CN110741369A - 使用电子身份进行安全生物统计认证 - Google Patents
使用电子身份进行安全生物统计认证 Download PDFInfo
- Publication number
- CN110741369A CN110741369A CN201780091522.9A CN201780091522A CN110741369A CN 110741369 A CN110741369 A CN 110741369A CN 201780091522 A CN201780091522 A CN 201780091522A CN 110741369 A CN110741369 A CN 110741369A
- Authority
- CN
- China
- Prior art keywords
- biometric template
- derivative
- user
- authentication
- server computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 45
- 230000003993 interaction Effects 0.000 claims abstract description 15
- 238000012545 processing Methods 0.000 claims description 82
- 238000012795 verification Methods 0.000 claims description 28
- 238000013507 mapping Methods 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 11
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 238000010200 validation analysis Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 230000008901 benefit Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000001815 facial effect Effects 0.000 description 2
- 238000007620 mathematical function Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241001247986 Calotropis procera Species 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000004900 laundering Methods 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明的实施例涉及一种方法。所述方法可包括接收用户的第二生物统计模板,以及将认证请求消息提供到资源提供商计算机以进行交互,所述认证请求消息包括所述用户的电子身份和所述第二生物统计模板的导数。所述认证请求能由所述资源提供商计算机转发到处理服务器计算机,并且所述用户装置能从所述处理服务器计算机接收包括认证结果的认证响应消息。所述认证结果能由所述处理服务器计算机基于所述第二生物统计模板的所述导数与所述处理服务器计算机可访问的第一生物统计模板的导数的比较来确定。所述认证结果也能基于所述电子身份的有效性。
Description
相关申请交叉引用
无。
背景技术
在当今的技术环境中,人们通常会随身携带标识卡来证明他们的身份。标识卡可由政府机构或金融机构颁发,标识卡可以向用户指派标识号或账号。标识卡可具有标识号、用户姓名,并且可能具有打印、压印和/或存储在卡上的用户照片。当用户想证明他或她的身份时,用户可以递交卡,并且卡上的任何凭证都可以被验证以认证用户。
使用标识卡作为标识方式可能会引起许多问题。首先,用户通常必须随身携带多张标识卡以便获得多种商品和/或服务。例如,用户可以携带驾照、多张信用/借记卡、社会保障卡、医疗保障卡等。这对用户来说可能不便,并且可能进一步增加用户身份被盗的几率。此外,当在线递交凭证时,使用标识卡可能尤其不便,这时用户通常需要扫描或甚至手动输入其信息。其次,标识卡的有效性通常受制于人的评估,这可能是不一致的,并假设评估标识卡的人员是可信的。这可能导致用户更加不便,例如员工可能窃取用户信息,或者员工可能由于用户外貌的轻微变化而将标识卡视为无效。最后,就标识卡来说,标识的人为因素在实施时通常不足或不符合要求。也就是说,利用卡的标识系统通常不需要生物统计认证,并且那些标识系统希望用户相信他们的生物统计数据不会被盗并且不会以不期望的方式使用。
本领域中需要一种用于验证个人身份的安全方法。
发明内容
本发明的实施例涉及一种方法。所述方法可包括接收用户的第二生物统计模板,以及将认证请求消息提供到资源提供商计算机以进行交互,所述认证请求消息包括所述用户的电子身份和所述第二生物统计模板的导数。所述认证请求可由所述资源提供商计算机转发到处理服务器计算机,并且所述用户装置可以从所述处理服务器计算机接收包括认证结果的认证响应消息。所述认证结果可由所述处理服务器计算机基于所述第二生物统计模板的所述导数与所述处理服务器计算机可访问的第一生物统计模板的导数的比较来确定。所述认证结果也可以基于所述电子身份的有效性。
所述方法可进一步包括接收用户的第一生物统计模板,生成第一生物统计模板的导数,以及为用户生成对电子身份的身份请求消息。身份请求消息可包括用户的第一生物统计模板的导数和账户标识符。此外,所述方法可包括将身份请求消息发送到验证服务器,其中所述验证服务器验证账户标识符并生成电子身份。电子身份可以由处理服务器计算机链接到数据库中的第一生物统计模板的导数。所述方法还可以包括接收包括电子身份的身份响应消息,以及将电子身份存储在用户装置的存储器中以供稍后在交互中使用。
本发明的其它实施例涉及与本文中所描述的方法相关联的系统、设备、便携式消费装置和计算机可读介质。
可以参考以下详细描述和附图来更好地了解本发明的性质和优点。
附图说明
图1示出用于实施安全生物统计认证的系统的框图。
图2A和2B示出用于实施安全生物统计认证的过程流程图。
图3示出用于实施生物统计认证的处理服务器计算机的框图。
图4示出用于实施生物统计认证的用户装置的框图。
术语
“服务器计算机”可包括功能强大的计算机或计算机集群。例如,服务器计算机可以是大型主机、小型计算机集群或作为一个单元运作的一组服务器。在一个实例中,服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可以耦合到数据库,并可以包括用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其它逻辑或前述各项的组合。服务器计算机可以包括一个或多个计算设备,并可以使用多种计算结构、布置和编译中的任一种来服务于来自一个或多个客户端计算机的请求。
“应用程序接口”或“API”可以指指定系统的组件应如何交互的软件。API可包括可在上面建置软件应用程序的一组例程、协议和工具。API可以用于基于网络的系统、操作系统、数据库系统、计算机硬件或软件库,并且可包括用于例程、数据结构、对象类别、变量和/或远程调用的规范。
术语“网关”可以指允许使用不同协议介接网络节点的硬件或软件。接口可包括协议转换器、代理服务器、路由器、防火墙等。网关也可被称作“网络网关”。例如,控制来自因特网服务提供商(ISP)的业务的计算机可以是网络网关。
术语“认证”可以指验证某物(例如,用户)的身份的过程。一种形式的认证可以是生物统计认证。
“生物统计”可以是对于个人是唯一的任何人类特性。例如,生物统计可以是人的指纹、面部、DNA等。
“生物统计读取器”可以指用于捕获来自个人生物统计样本的数据的装置。生物统计读取器的实例可包括指纹读取器、前置相机、麦克风和虹膜扫描仪。
“生物统计样本”可以指由生物统计读取器获得的数据。数据可以是用户生物统计的模拟或数字表示,所述数据是在确定匹配所需的不同特征之前生成的。例如,用户面部的生物统计样本可以是图像数据。在另一实例中,用户语音的生物统计样本可以是音频文件。
“生物统计模板”可以指含有从生物统计认证过程期间可使用的生物统计样本提取的不同特性的文件。举例来说,生物统计模板可以是二进制数学文件,其表示执行个人的准确验证所需的个人的指纹、眼睛、手或语音的唯一特征。
术语“零知识证明”或“零知识协议”可以指在不传送实际信息自身的情况下证明信息为真实的方法。在零知识协议中,机密信息可在不揭露的情况下得以验证。有关零知识证明的更多信息,请参阅:
J.Camenisch和M.Stadler,有关离散对数的一般陈述的证据系统。技术报告TR260,理论计算机科学研究所,ETH Zürich,1997年3月。
在一些实施例中,用以验证特定人员的真实性的生物统计模板的导数的比较可使用零知识协议。
术语“区块链”可以是一种分布式数据库,其维护不断增长的记录列表,以防篡改和修订。区块链可以包括多个交互记录块。区块链中的每个块还可以包括时间戳和到前一个块的链接。例如,每个块可以包括或附加到上一个块的散列。换句话说,区块链中的交易记录可存储为一系列“块”或包括在给定时间周期内发生的数笔交易的记录的永久性文件。在完成块且校验块之后可通过适当节点将块附加到区块链。在本发明的实施例中,区块链可以是分布式的,且可以在验证网络中的每个节点处维护区块链的副本。验证网络中的任何节点随后可以使用区块链来验证交易。区块链的安全性可以使用加密方案获得。
“数字签名”可以指用以提供关于电子记录或消息的来源和身份的保证或证据的数据。数字签名可以基于公钥密码(即,非对称密码)。数字签名可以使用例如RSA等公钥算法来生成。为了创建数字签名,可以使用签名软件来创建待由签名实体签名的电子数据的单向散列。接着使用签名实体的私钥对散列进行加密并形成数字签名。
术语“校验”可以指检查或确认信息是合法的行为。实例可以是检查附加到电子记录的数字签名实际上是合法的并且属于签名实体的行为。数字签名可根据验证算法结合签名实体的公钥来校验。
“电子身份”或“eID”可以指用于标识个人的唯一字符串或符号串。在优选实施例中,电子身份可以从与用户相关联的信息用数学方法导出。例如,在一些实施例中,电子身份可以是通过对多个实体可用的一个或多个输入值(客户姓名、国家代码等)进行散列运算计算出的值。以此方式,电子身份可以由具有先决条件信息的任何实体独立生成。电子身份可以是被更改(例如,散列运算和/或加密)的与用户相关联的信息。例如,在一些实施例中,电子身份可以从国家代码、客户姓名、出生日期和社会保障号的最后四位数字的组合导出,例如SHA256(USA*JOHN SMITH*19700101*1234)。对此值进行散列运算可能产生看似随机的字符串,例如754WD2E2513BF546050C2D079FF5D65AB6E318E,这可以是电子身份。在一些实施例中,电子身份与密码相关联,所述密码是为了访问与电子身份相关联的任何交互记录提供的。电子身份有时可被称为“eID”、电子标识符或电子标识数据。
“账户标识符”可以指用于标识帐户的一系列数字和/或字母。帐户可以是银行账户、信用卡帐户、政府福利帐户、医疗保险帐户等。账户标识符的一个实例可以是主账号(PAN),PAN可以是用以标识用户可用以进行交易的16位数字。
“了解你的客户”或“KYC”过程可以指企业识别和验证客户身份的过程。所述术语还用于指管控这些活动的银行和反洗钱法规。KYC过程可用以验证用户的信息并为用户生成电子身份。
具体实施方式
实施例提供用于实施安全生物统计认证的系统、设备和方法。“生物统计”可以是对于个人是唯一的任何人类特性。例如,生物统计可以是人的指纹、面部、DNA等。生物统计认证可用以按比典型标识方法更便利和高效的方式识别个人。其可用以识别多种情境中的个人,例如登录网络、进入建筑或进行交易的个人。因为生物统计认证使用人类特性而不是账户信息或标识卡,所以生物统计认证的用户不需要担心记住用户名和密码或跟踪ID卡。
与实施生物统计认证系统相关联的问题在于隐私和安全性。用户因为害怕生物统计数据可能被盗或误用而常常不信任生物统计认证。此外,需要验证用户身份(例如,出于授权交易的目的)的实体也与认证的准确性息息相关,并且可能希望限制身份盗用和虚假身份创建的扩散。
本文中所描述的本发明的实施例通过以下操作来解决这些问题:使用户的生物统计模板通过导出公式,并将导出的生物统计模板链接到由受信任方校验的电子身份。可以对照存储在区块链中的记录并根据数字签名算法校验电子身份。以此方式,用户的生物统计数据保密,并通过多次校验检查,因此防止认证系统被骗子滥用。实施例将区块链技术与其它生物统计认证技术组合,以提供可以通过用户的移动装置上的应用程序使用的安全认证系统。因此,本文中所描述的本发明的实施例比其它识别方法更安全、更高效并且更便利。
图1示出用于实施安全生物统计认证的系统的框图。系统100可包括用于在安全生物统计认证中处理认证请求的处理服务器计算机150。处理服务器计算机150可以跨数个协议通过网络网关,例如网关130连接到多个服务器、计算机和装置。系统100还可以包括移动装置110,所述移动装置110可包括认证应用程序112。认证应用程序112可以是存储在移动装置110上的应用程序,所述应用程序包括用于实施生物统计认证的指令。这些指令可包括用于与验证服务器140、处理服务器计算机150和资源提供商计算机120通信的指令。认证应用程序112可进一步包括用于请求电子身份的指令,所述指令可以由验证服务器140通过身份请求API 142提供。
根据实施例,的资源提供商的计算机,例如资源提供商计算机120,可包括用于认证移动装置110的用户的认证API 122。资源提供商计算机120可以通过从移动装置110接收用户数据来认证用户,所述用户数据可以被转发到处理服务器计算机150以接收认证结果。处理服务器计算机150可以通过与认证服务器160通信并且基于存储在认证数据数据库160B和公共区块链170C中的数据来确定认证结果。
移动装置110可以是用于传达和存储用户的用户数据的任何移动装置。例如,移动装置110可以是智能手机、智能可穿戴装置(例如,智能手表或眼镜),或用户拥有的任何其它便携式通信装置。移动装置110可以借助于一个或多个应用程序,例如认证应用程序112来存储和传达用户数据。用户数据可包括用户的电子身份和用户的生物统计模板的导数。在一个实施例中,移动装置110还可以包括用于连接到资源提供商计算机120的资源提供商应用程序。例如,移动装置110可包括商家应用程序,用户可以访问所述商家应用程序以连接到商家服务器计算机并在线购买。移动装置110的元件可以在图4中进一步看到,如下文进一步描述。
认证应用程序112可包括用于进行以下操作的指令:从用户接收用户数据,将用户数据存储在移动装置110的存储器中,和通过例如无线接口(例如,WiFi、蓝牙、近场通信、RFID等)的通信接口发送用户数据。例如,认证应用程序112可以是移动支付应用程序,用户可以访问所述移动支付应用程序以便在进行购买时递交他或她的凭证。在一个实施例中,认证应用程序112可包括用于从生物统计样本数据生成生物统计模板的指令。生物统计模板可以是包括准确匹配所需的生物统计样本的特征的数据。生物统计模板可包括例如位置、类型或角度的细节信息,和/或可包括如ISO/IEC JTC 1/SC37中所描述的图案信息(脊形结构)。举例来说,生物统计模板可包括用户的指纹数据的特征,其始终出现在生物统计样本数据中。这可包括在采集样本时不管用户手指定位于指纹读取器上何处可检测到的特征,例如构成用户的指纹的线条(即轮廓)相对于彼此的相对位置。在另一实例中,用户可以多次出示他或她的生物统计样本,并且统计模型可用以生成生物统计模板,所述生物统计模板捕获最有可能出现在从用户获取的下一个生物统计样本中的顶部特征。在一个实施例中,移动装置110或存储在移动装置上的认证应用程序112可包括生物统计模板生成算法,每当用户从特定生物统计捕获样本时(例如,每当他或她出示相同的手指、虹膜等时),根据所述生物统计模板算法生成相同的生物统计模板。
认证应用程序112可进一步包括用于创建生物统计模板的导数的指令。例如,认证应用程序112可包括用于进行以下操作的指令:使生物统计模板通过用数学方法改变所述生物统计模板的数据值或移除某些数据值以形成生物统计模板的导数的算法。例如,在一些实施例中,生物统计模板可包括数据串,而生物统计模板的导数可以在预定位置移除或转换数据串中的一些数据。生物统计模板的导数可与生物统计模板相关,但可能不是整个生物统计模板。在一个实施例中,用于改变数据值的算法可以是单向函数,在所述单向函数中,计算上难以反转所执行的操作,并因此几乎无法获得初始模板。例如,在一个实施例中,生物统计模板数据可表达为串,其中用户生物统计中很有可能出现在捕获样本中的唯一且一致的特征被转换成一系列唯一的字符。为了导出生物统计模板,可以使包括一系列唯一的字符的串通过散列算法以生成唯一散列。在另一实施例中,生物统计模板可以分成多个部分,并且所述多个部分可以各自通过单向函数并收集在一起以形成导数。例如,表示用户的指纹模板的字符串可以划分成20个具有相等长度的串,所述串可以各自进行散列运算,并且所得散列可以附加在一起以形成导数。
资源提供商计算机120可以是用以向用户提供资源的计算机。在实施例中,在认证用户的凭证(例如,用户生物统计)后,可以将资源提供给用户。例如,资源提供商计算机120可以是控制进入/离开建筑或终端的计算机。在另一实例中,资源提供商计算机120可以是商家的服务器计算机,所述服务器计算机可用以授权访问商品或服务。在一个实施例中,可以使用资源提供商应用程序从移动装置110访问商家的服务器计算机。在又一实例中,资源提供商计算机120可以是政府机构的计算机,可用于确认个人身份(例如,出于授权访问社会保障福利的目的)。资源提供商计算机120可以是用于执行根据本发明的实施例的计算机功能的任何计算装置,例如个人计算机、笔记本电脑、平板计算机、销售点终端、智能手机、智能可穿戴装置等。
资源提供商计算机120可包括用于在交互中(例如,在交易、登录尝试、安全检查点等期间)认证用户的认证API 122。认证API可包括用于通过网关130与处理服务器计算机150通信的指令。认证API可进一步包括用于在与用户交互时接收用户数据的指令,以及用于将用户数据发送处理服务器计算机150以接收认证结果的指令。在一个实施例中,认证API 122可包括由处理服务器计算机150的实体提供的软件。认证API 122可包括用于在认证请求消息中接收用户数据的指令,所述认证请求消息可包括用户的导出生物统计模板和电子身份,并且认证API 122可进一步包括用于将认证请求消息转发到处理服务器计算机150以接收认证结果的指令。认证结果可以指示用户的凭证(即,生物统计)是否合法并且是否可基于在认证请求消息中接收的数据的验证与校验。
在实施例中,在认证期间装置之间的消息可以通过网关130。网关130可以是用于介接使用不同协议操作的两个网络的网络节点。网络节点可以是由硬件提供的物理节点,或可以是由软件提供的虚拟节点。例如,网关130可以是允许移动装置或计算机经由因特网连接到例如银行网络或支付处理网络等实体网络的软件。在一个实施例中,网关130可以允许包括认证应用程序112或认证API 122的装置与验证服务器140和/或处理服务器计算机150通信。
验证服务器140可以是用于验证用户信息以为用户生成电子身份的服务器。例如,验证服务器140可以是金融机构的服务器,所述服务器可以验证用户的银行账户信息和/或金融文件。在另一实例中,验证服务器140可以是政府机构的服务器,所述服务器可以验证由用户递交的政府文件,例如用户的护照、社会保障号、出生证、驾照等。验证服务器140可以借助于身份请求API 142为用户生成电子身份,所述身份请求API 142可包括用于从用户装置接收身份请求消息的指令。在实施例中,验证服务器140可以是能够验证用户身份以使得用户可以注册到生物统计认证程序的实体的任何服务器。
根据实施例,处理服务器计算机150可以是用于在网络中处理数据的服务器计算机。网络可以是例如支付处理网络,例如VisaNet。处理服务器计算机150可包括用于基于例如用户电子身份、生物统计或其导数等用户数据确定认证结果的装置。在实施例中,处理服务器计算机150可以通过将认证请求消息中的数据与存储在认证数据数据库160B和公共区块链170C中的数据进行比较来确定认证结果。处理服务器计算机150可以通过将用户的第一生物统计模板的导数与用户的第二生物统计模板的导数进行比较来认证用户。处理服务器计算机150可以通过识别区块链中与用户的电子身份相关的记录并校验附加到所述记录的数字签名来进一步认证用户。处理服务器计算机150的元件可以在图3中进一步看到,如下文进一步描述。
认证服务器160可以是用于认证用户凭证的服务器。在实施例中,用户凭证可包括用户的生物统计模板的导数,所述导数可以与存储在认证数据数据库160B中的数据进行比较以认证用户。在一个实施例中,认证服务器160可以从处理服务器计算机150接收对要在交互中认证的用户的生物统计模板的导数的请求。请求可包括在注册期间登记的用户的第一生物统计模板的导数的标识符。可以从认证数据数据库160B检索第一生物统计模板的导数并将其发送到处理服务器计算机150以在认证期间与用户的第二生物统计模板的导数进行比较。
在另一实施例中,认证服务器160可以在认证期间比较第一生物统计模板和第二生物统计模板的导数。例如,在请求进入建筑期间,处理服务器计算机150可以转发认证请求消息,所述认证请求消息包括用户的虹膜数据的导数。导数可以是用户虹膜数据,所述用户虹膜数据已经通过算法以便防止用户的虹膜数据以明文形式被传输。认证服务器160可以接收认证请求消息中的导数,并且可以查询认证数据数据库160以获得用户的虹膜数据的匹配导数。认证服务器160可以确定是否存在匹配,并将结果发送到处理服务器计算机。取决于匹配结果,用户可以被认证以进入建筑。在又一实施例中,认证服务器160和处理服务器计算机150可以是相同的服务器,或可属于同一实体。
除了比较与生物统计相关的数据之外,系统100中的用户的认证还可以包括校验分布式数据库的记录。具体地说,分布式数据库可以是区块链,例如公共区块链170C。公共区块链170C可以是不可变块的公共分类账簿。公共区块链170C中的每个不可变块可以引用前一个块,使得这些块以链链接。公共区块链170C的副本可以分布到网络中的多个节点。根据实施例,公共区块链170可包括用于校验用户的电子身份的签名记录。签名记录可以由受信任节点校验。例如,公共区块链可包括可以由受信任服务器计算机验证、能够在公钥加密方案中验证数字签名的数据块。数字签名可以是银行或政府机构的数字签名,所述数字签名可以促进为用户创建电子身份。
流程1到24示出在实施由系统100进行的生物统计认证过程时的数据流。这可包括注册和执行生物统计认证程序。用户可首先从他或她的移动装置注册到生物统计认证中。参与可以涉及在验证服务器140处验证用户的身份(流程1到3),所述验证服务器140可以接着为用户生成电子身份。电子身份可以接着发送到处理服务器计算机150(流程4到6),使得身份可以链接到用户认证数据(例如,用户的生物统计模板的导数)。认证数据可以存储在认证数据数据库160B中(流程7到9),并且所链接的电子身份和认证数据的记录可以写入到公共区块链170C中(流程10到11)。电子身份可以接着发送到用户的移动装置110以供稍后在交互中使用(流程12到13)。当用户想证明他或她的身份时(例如,在交易期间),用户可以将他或她的认证数据从移动装置110发送到资源提供商计算机120(流程14)。资源提供商计算机可以接着将用户的数据发送到处理服务器计算机150(流程16),并且处理服务器计算机可以将所述数据与认证数据数据库160B中的数据进行比较(流程17到19)并与向公共区块链170C公布的记录进行比较(流程20到21),以确定认证结果。认证结果可以接着发送到资源提供商计算机120和移动装置110,使得可以向用户和资源提供商告知用户的身份是否已被成功认证(流程22到24)。
下文在图2A和图2B的描述中进一步解释关于在图1中所示的流程期间发生的处理步骤的更多细节。流程1到3可以对应于图2A的步骤S201到S206。流程3到6可以对应于步骤S207到S210。流程6到9可以对应于步骤S211到S212。流程9到11可以对应于步骤S213。流程11到13可以对应于步骤S214到S215。流程14到16可以对应于步骤S216到S221。流程16可以对应于步骤S222。流程16到19可以对应于步骤S223到S225。流程19到22可以对应于步骤S226到S228。并且流程22到24可以对应于步骤S229。
图2A和2B示出用于实施安全生物统计认证的过程流程图。具体地说,步骤S201到S229描述结合存储在用户装置上的生物统计认证软件注册和使用电子身份的过程。根据实施例,步骤S201到S229可由图1中的系统100的系统组件执行。
在步骤S201处,移动装置的用户可以发起到生物统计认证程序的注册。在一个实施例中,这可以使用存储在用户的移动装置上的认证应用程序来进行。认证应用程序可以是可安装到用户的移动装置上的应用程序。认证应用程序可以进一步将应用程序数据存储在存储器中,所述应用程序数据可包括用于生成生物统计模板的数据、用于导出公式的数据和用于用户的电子身份的数据.为了发起注册,用户可从他或她的移动装置打开/加载认证应用程序,并且认证应用程序可提示用户选择注册到生物统计认证程序中的选项(例如,通过使用移动装置的输入元素选择选项)。
在步骤S202处,在发起注册后,用户可以将他或她的生物统计样本提供到移动装置,使得可以创建用户的生物统计模板。认证应用程序可以提示用户提供他或她的生物统计样本,所述生物统计样本可用以生成含有个人生物统计的不同特征的模板。生物统计样本的实例可包括用户指纹的样本、用户的当前照片或用户的语音样本。其它实例可包括用户的虹膜、用户的手掌或个人的任何其它区别特征。生物统计样本可使用生物统计读取器读取,所述生物统计读取器可包括指纹读取器、前置相机、麦克风等。当从用户获取生物统计样本时,样本的独特特征可以数字形式表示为生物统计模板。例如,数据文件可从由生物统计读取器在样本读取期间生成的电磁信号的捕获创建,其中信号可根据预定义分辨率(即,如由图像中的像素数目或音频文件的样本速率所表达)分组成离散位。存储在移动装置上的软件接着可用于标识数据文件的准确验证用户所需的特征。举例来说,可要求用户多次出示他或她的生物统计,并且可以使用数学模型来确定始终出现的特征。特征可表示为二进制数字文件,其可形成生物统计模板。
在步骤S203处,存储在移动装置上的认证应用程序可以生成用户的生物统计模板的导数。导数可以是已更改数据的生物统计模板的表示,以便隐藏初始生物统计模板的初始特征数据。例如,表示用户指纹的特性特征的二进制文件可以通过以看似随机的方式改变每个数据值的数学函数。在另一实施例中,可以移除表示生物统计模板的数据串的预定位置处的数据值,从而隐藏初始生物统计模板。在一个实施例中,数学函数可以是基于零知识协议的单向函数,例如单向散列函数。例如,认证应用程序可包括用于辨识用户指纹样本的很有可能被捕获并且每当获取样本时都相同的特征的代码,并且可以将所述特征表达为每当形成字符串时都可相同的唯一字符串。所述串可以接着通过散列算法(例如,SHA256()),以生成唯一散列。唯一散列可用作无法从除用户的生物统计以外的任何生物统计复制的生物统计模板的导数。在另一实施例中,生物统计模板可以分成多个部分,并且所述多个部分可以各自通过单向函数并收集在一起以形成导数。例如,表示用户的指纹模板的字符串可以划分成20个具有相等长度的串,所述串可以各自进行散列运算,并且所得散列可以附加在一起以形成导数。在匹配期间,如果读取器捕获用户的生物统计的一致特征并且在通过单向函数之后所得生物统计模板或生物统计模板的部分与预期结果匹配,那么可以验证导数。根据实施例,无法反向设计导数以获得用户生物统计样本的一致特征。
在一个实施例中,可以通过使生物统计模板令牌化并通过零知识安全层传输导数来生成导数。零知识安全层可以是使用零知识证明屏蔽来源并使公布到区块链的数据内容匿名化的额外区块链层。例如,可以通过生成令牌来导出生物统计模板,其中所述令牌定向于特定条件,例如特定使用时间和/或特定接收地址以便为有效的。令牌可以是例如字符串,所述字符串可使用零知识证明来验证,并且仅可以出于其定向目的且在隐藏的随机数r已知的情况下使用。令牌可以接着用作记录来代替模板数据,使得导数可以匿名化。
有关零知识安全层的更多信息,请参阅:
Eli Ben Sasson,Alessandro Chiesa,Christina Garman,Matthew Green,IanMiers,Eran Tromer,Madars Virza,“Zerocash:来自比特币的分散式匿名支付(Zerocash:Decentralized Anonymous Payments from Bitcoin)”,安全与隐私(SP)2014年IEEE会议,第459-474页,2014年,ISSN 1081-6011。
在步骤S204处,移动装置可以检索用户的账户标识符。账户标识符可以是向用户颁发的帐户的标识符,例如银行账户或社会保障帐户的标识符。在其它实例中,账户标识符可以是主账号(PAN)、驾照号、护照ID号、用户名和密码等。账户标识符可以由用户输入到移动装置中,或可以从移动装置的存储器检索,例如从装置的安全元件或从应用程序数据检索。在其它实施例中,可以从云端服务器检索账户标识符,或可以通过另一应用程序,例如数字钱包应用程序,在移动装置上提供账户标识符。
在步骤S205处,移动装置可以生成身份请求消息。身份请求消息可包括用户的生物统计模板的导数和账户标识符。在已导出用户的生物统计模板之后和在已检索账户标识符之后,可以生成身份请求消息。在一个实施例中,消息可以在由用户指示后发送。例如,认证应用程序可包括用于向用户显示可选选项的指令,所述选项在被选择时可能导致生成和发送身份请求消息。在一些实施例中,身份请求消息可包括用户的额外信息,例如他或她的姓名、地址、出生日期等。
在步骤S206处,可以将身份请求消息从移动装置发送到验证服务器。验证服务器可以是例如政府机构或银行等验证实体的服务器。身份请求消息可以借助于网络网关,例如图1的网关130从移动装置发送到验证服务器。例如,网关可以是能够通过因特网接收身份请求消息并将消息转发到银行的服务器的网络节点。验证服务器能够经由API,例如图1的身份请求API 142通过网络网关接收和发送消息。
在步骤S207处,验证服务器可以验证用户的账户标识符。根据实施例,验证服务器可以接收身份请求消息,并且可以标识账户标识符的数据字段和生物统计模板的导数。验证服务器可以接着将账户标识符与存储在帐户数据库中的账户标识符进行比较,并且可以验证账户标识符和任何额外用户信息的有效性。例如,银行服务器可以接收身份请求消息中的银行账户号和用户姓名,并且可以验证银行账户号存在,在用户名下,并且信誉良好。在一个实施例中,验证服务器可以进一步对用户执行其它检查,例如信用查询、犯罪背景调查等,这可能会影响用户是否已在认证程序中验证。在一个实施例中,可以根据“了解你的客户”或“KYC”过程验证用户信息。
在步骤S208处,如果已验证账户标识符,那么验证服务器可以为用户生成电子身份。在一个实施例中,电子身份或eID可以从与用户相关联的信息用数学方法导出。电子身份可以是通过对一个或多个输入值进行散列运算而计算的值。例如,电子身份可以从国家代码、客户姓名、出生日期和用户的社会保障号的最后四位数字的组合导出,例如SHA256(USA*JOHN SMITH*19700101*1234)。对此值进行散列运算可能产生看似随机的字符串,例如754WD2E2513BF546050C2D079FF5D65AB6E318E,这可以是用户的电子身份或eID。
在步骤S209处,验证服务器可以为彼此链接或相关联的电子身份和第一生物统计模板的导数生成记录,并且可以使用所述验证服务器的私钥对记录进行签名。根据实施例,记录可以充当注册到生物统计认证程序中的证书。记录可包括用户的电子身份的散列和生物统计模板的导数。例如,记录可包括作为连接电子身份和导数的串并将所述连接串输入到SHA256()中的结果的散列。记录还可以包括与验证用户的信息相关的时间信息。记录可以接着由验证服务器根据数字签名算法签名。例如,联邦信息处理标准数字签名算法(DSA)可以与银行的私钥结合使用以生成可以附加到散列记录的可验证数字签名。在一个实施例中,记录可以由例如交易ID等记录标识符标识。根据实施例,通过提供所链接的电子身份和导数的由验证服务器签名的记录,可以防止犯罪人员将虚假或被盗的身份注册到认证系统中。
在步骤S210处,验证服务器可以将签名记录插入身份请求消息中,并且可以接着将身份请求消息转发到处理服务器计算机以供处理。处理服务器计算机可以是图1的处理服务器计算机150。在一个实施例中,可以使用分配的数据字段将签名记录存储在消息中,使得所述签名记录可以由处理服务器计算机接收和读取。验证服务器可以使用存储在身份请求API中的指令并借助于网络网关将身份请求消息发送到处理服务器计算机。
在步骤S211处,处理服务器计算机可以接收身份请求消息,并且可以链接数据库中的电子身份和生物统计模板的导数。在一个实施例中,处理服务器计算机可以读取为电子身份(eID)和生物统计模板的导数分配的数据字段,并且可以接着将eID或eID的副本连同生物统计模板的导数的标识符存储在数据库中,所述电子身份和导数可以链接在数据库中。例如,电子身份‘754WD2E2513BF546050C2D079FF5D65AB6E318E’和导数ID‘derivative#129578190’可以一起链接在关系型数据库或映射表的一行中。
在步骤S212处,处理服务器计算机可以将生物统计模板的导数提交到认证服务器以供存储。根据实施例,生物统计模板的导数可以存储在认证数据数据库中,其中可以稍后在用户认证期间访问和检索所述导数。认证服务器可以是认证服务器160,并且认证数据数据库可以是图1的认证数据数据库160B。在一个实施例中,处理服务器计算机和认证服务器可以是相同的服务器,或可属于同一实体。在一个实施例中,处理服务器计算机还可以附加导数的标识符,认证服务器可以接收所述标识符并将其链接到认证数据数据库中的导数。当查询导数时,标识符可在稍后时间点用作参考。
在步骤S213处,处理服务器计算机可以对验证服务器所生成的记录进行签名,并且可以接着将记录公布到公共区块链。区块链可以是图1的公共区块链170C。可以使用处理服务器计算机的私钥并根据数字签名算法对记录进行签名。处理服务器计算机可以将其数字签名附加到记录,并且可以接着发起将记录写入到数据块中并将数据块公布到区块链。数据块可以稍后在用户在交互中认证期间读取,使得用户的电子身份的有效性和其在生物统计认证程序中的证明可以被验证。
在步骤S214处,处理服务器计算机可以将电子身份发送到移动装置。处理服务器计算机可以生成包括电子身份的身份响应消息,所述身份响应消息可以通过例如因特网等网络(例如,经由网络网关)发送到移动装置。身份响应消息还可以包括指示用户成功注册到生物统计认证程序中的数据,例如用于确认消息的数据。
在步骤S215处,移动装置可以接收身份响应消息并且可以将电子身份存储在存储器中。存储器可以是认证应用程序的应用程序存储器,或可以是移动装置的安全元件。在一个实施例中,存储器可以是云端存储器,其可以允许移动装置从网络上的服务器访问电子身份。一旦注册和设置过程已完成,用户就可以稍后使用他或她的移动装置在交互中证明他或她的身份。
在步骤S216处,用户可以在与资源提供商计算机交互时出示移动装置。例如,用户可以使用移动装置的通信接口,例如通过蓝牙或近场通信与访问装置交互。在一个实施例中,用户可以通过存储在用户的移动装置上的资源提供商应用程序与资源提供商交互。资源提供商应用程序可以允许在移动装置与资源提供商的服务器计算机之间交换数据,使得用户可以被认证并授予资源,例如商品或请求的服务。资源提供商计算机可以是图1的资源提供商计算机120。
在步骤S217处,用户可以将第二生物统计样本提供到移动装置。生物统计样本可属于在注册到认证程序中期间使用,在步骤S202处采用的相同生物统计。例如,如果用户在注册期间使用他或她的面部图像作为生物统计,那么用户可以接着在与资源提供商交互期间拍摄他或她自己的当前照片。在另一实例中,如果用户在注册期间采集他或她的右手食指的样本,那么用户可以接着在交互期间使用移动装置来采集他或她的右手食指的样本。移动装置可以采集用户的生物统计样本并生成第二生物统计模板。
在步骤S218处,存储在移动装置上的认证应用程序可以生成用户的第二生物统计模板的导数。第二生物统计模板的导数可以与在步骤S203处生成第一生物统计模板的导数的方式相同的方式生成。这样做可以使得匹配的样本应产生在预定阈值内的导数。
在步骤S219处,移动装置可以从存储器检索电子身份。存储器可以是在步骤S215处在其中存储电子身份的存储器。在一个实施例中,可以使用密码或用户名和密码来保护对电子身份的访问。例如,电子身份可以存储在安全存储器中,其中如果用户输入他或她的pin码,那么只能将访问权限授予应用程序。
在步骤S220处,认证应用程序可以将电子身份(eID)附加到用户的第二生物统计模板的导数。在一个实施例中,电子身份和第二生物统计模板的导数都可以表示为具有预定义长度的字符串。例如,电子身份可以是30个字母和数字的散列,并且第二生物统计模板的导数可以是100个字符的串,其表示用户生物统计样本的用数学方法导出的特征数据。附加的eID和导数可以接着具有130个字符的串的长度。
在步骤S221处,移动装置可以生成包括附加电子身份和导数的认证请求消息,并且可以将认证请求消息发送到资源提供商计算机。资源提供商计算机可以接着使用认证API将认证请求消息转发到处理服务器计算机。认证API可以是图1的认证API 122。在步骤S222处,处理服务器计算机可以接收认证请求消息。
在步骤S223处,处理服务器计算机可以使电子身份与第二生物统计模板的导数解除耦合。在一个实施例中,这可以通过以下操作来进行:确定电子身份的长度和第二生物统计模板的导数的长度,且接着基于所述长度将附加的电子身份和导数分成两个单独的数据元。例如,处理服务器计算机可以确定电子身份应为30个字符的串,并且第二生物统计模板的导数应为100个字符的串。当处理服务器计算机接收认证请求消息中的130字符串时,其可以声明其分配串的前30个字符的电子身份的变量,并且可以声明其分配剩余100个字符的第二生物统计模板的导数的变量。在其它实施例中,一个或多个指定字符可以分离电子身份数据和第二生物统计模板的导数。在其它实施例中,可以在已知数据字段中提供这两个数据块。
在步骤S224处,处理服务器计算机可以根据记录确定链接到电子身份的第一生物统计模板的导数。这一导数可以是在步骤S211处链接到电子身份的导数。记录可以采用映射表或关系型数据库的形式,处理服务器计算机可以针对电子身份(eID)和身份导数以及链接到所查询电子身份的其它数据查询所述映射表或关系型数据库。例如,eID可以在关系型数据库的一行中链接到用户的第一生物统计模板的导数的标识符并链接到用户的其它额外信息,例如姓名、地址等。处理服务器计算机可以通过向认证服务器发送请求而从认证数据数据库检索标识的导数。例如,处理服务器计算机可以发送包括用户的第一生物统计模板的导数的标识符(例如,‘derivative#129578190’)。标识符可由认证服务器使用以查询导数,认证服务器可以将所述导数提交到处理服务器计算机以与用户的第二生物统计模板的导数进行比较。
在步骤S225处,处理服务器计算机可以将第二生物统计模板的导数与第一生物统计模板的导数进行比较以供匹配。在一个实施例中,这可通过比较第二生物统计模板的导数的每个数据元与第一生物统计模板的导数的对应数据元来进行。在一些实施例中,如果小于预定数目的数据元不同,那么两个导数可被视为匹配。例如,导数可表达为具有相等长度的串,并且处理服务器计算机可使来自每个串的每个对应字符(第一、第二、第三等)相互比较,并在小于10个字符不同的情况下可确定匹配。在其它实施例中,如果存在完全匹配(例如,如同从在不同时间获得的生物统计样本导出的相同数据的两个散列),那么两个导数匹配。
同时,在步骤S226处,处理服务器计算机可以搜索公共区块链上与电子身份和第一生物统计模板相关的记录。处理服务器计算机可以搜索包括电子身份的数据块的区块链。在一个实施例中,这可以通过扫描包括在步骤S209处生成的记录标识符的数据块的区块链来进行。例如,处理服务器计算机可以耦合到关系型数据库,在关系型数据库中,电子身份链接到交易ID和交易时间戳的条目,所述交易时间戳与使用电子身份将用户注册到生物统计认证程序中的时间相关。处理服务器计算机可以接着搜索包括交易ID和交易时间戳的记录的区块链。在一个实施例中,记录可包括电子身份和第一生物统计模板的导数的散列,并且处理服务器计算机可以验证电子身份和第一生物统计模板的导数的散列与预期结果匹配。例如,处理服务器计算机可以连接电子身份和导数的串并将所述连接串输入到SHA256()中。处理服务器计算机可以接着确定所得输出是否与在区块链上标识的对应记录匹配。在实施例中,这种类型的验证可以视为第一校验检查。
在步骤S227处,处理服务器计算机可以通过验证附加到记录的一个或多个数字签名来校验记录。在一个实施例中,可以通过将数字签名和宣称的签名实体的公钥输入到验证算法中并确定输出是否与预期结果匹配来验证数字签名。在步骤S228处,处理服务器计算机可以至少基于导数的比较和电子身份的有效性来确定认证结果。根据实施例,如果生物统计模板的两个导数匹配且如果附加到所链接的eID和导数的记录(即,注册证书)的数字签名被校验,那么认证结果可被视为肯定的(即,真实用户)。
在步骤S229处,处理服务器计算机可以在认证响应消息中将认证结果发送到移动装置。认证结果可以首先发送到资源提供商计算机,然后转发到移动装置。如果认证结果为肯定的,那么资源提供商计算机可以将用户的凭证视为真实的,并且可以准予访问请求资源。例如,资源提供商计算机可以是解锁建筑的门的计算机,并且肯定的认证结果可以启动致动器以停用门的锁定机构。
根据本发明的实施例,由图2A和2B描述的过程可以允许用户使用安全生物统计认证来证明他或她的身份。生物统计可以是由用户移动装置的生物统计读取器提供的指纹、用户的面部图像、用户的语音记录等。用户的生物统计的导出模板可以首先在注册期间登记并链接到用户唯一的电子身份。电子身份和与其相关联的生物统计模板导数的生成可以表示为在公共区块链上公布的记录。记录可以充当注册的证书,并且可以由受信任实体(银行、政府机构等)进行数字方法签名以便提供更多的校验检查。电子身份可以存储在用户的移动装置上,并且可以发送到处理服务器计算机以在与资源提供商交互期间认证用户。认证过程可进一步包括采集用户的生物统计的第二样本以生成第二生物统计模板的导数,所述导数可以与在注册期间生成的导数进行比较。所提供的方法可能比其它生物统计认证系统更安全,因为用户的生物统计模板被导出以便隐藏存储在其中的数据的性质。此外,生物统计模板的有效性还取决于电子身份的有效性,电子身份的有效性是通过对附加到区块链上的记录的数字签名进行验证来确定的。因此,本发明的实施例提供一种比其它证明个人身份方式更安全并且更便利的认证方法。
图3示出用于实施生物统计认证的处理服务器计算机的框图。所示的处理服务器计算机300可以是图1的处理服务器计算机150。处理服务器计算机300可包括用于执行指令的处理器310和用于通过网络通信的网络接口320。处理服务器计算机300可进一步包括计算机可读介质330。计算机可读介质330可以是以代码形式存储可执行指令的存储器。计算机可读介质330可包括可以由处理器310执行的代码模块,例如通信模块330A、映射模块330B、认证数据存储模块330C、签名模块330D、块写入模块330E、认证请求模块330F、数据查找模块330G、导数比较模块330H、签名校验模块330I和认证响应模块330J。处理器服务器计算机330可以进一步耦合到一个或多个数据库,例如eID映射数据库300A、认证数据数据库300B和公共区块链300C。
eID映射数据库300A可以是电子身份链接到用户数据的数据库。在实施例中,用户数据可包括用户的生物统计模板的导数。在用户注册到生物统计认证程序中期间,处理服务器计算机300A可以接收身份请求消息,包括用户的电子身份和生物统计模板的导数。处理服务器计算机300A可以接着在eID映射数据库300A的映射表(即,查找表)中将电子身份链接到用户的生物统计模板的导数,稍后可以在用户的认证期间查询所述映射表。例如,eID映射数据库300A可以是关系型数据库,其中列中的电子身份各自在一行中链接到生物统计模板的一个或多个导数的一个或多个标识符。如上文所解释,电子身份可以是从与用户相关联的信息用数学方法导出的散列。
生物统计模板的导数还可以表示为串,例如图像的改变的像素值的串(例如,“255232 45 678 56 23....345 76 44 767 433 345”)。在一个实施例中,生物统计模板的导数的标识符,而不是生物统计模板的导数自身,可以存储在eID映射数据库中。同时,导数自身可以存储在认证数据数据库300B中。例如,导数可以由导数标识符‘derivative#129578190’标识,所述导数标识符可以被认证服务器引用以从认证数据数据库300B查询和检索导数。
认证数据数据库300B可以是可以存储用户认证数据的数据库。在实施例中,用户认证数据可包括用户的生物统计模板的导数。在一个实施例中,认证数据数据库300B可以由处理服务器计算机300借助于认证服务器访问。例如,处理服务器计算机300可以将对认证数据的请求发送到认证服务器,所述认证服务器可以从认证数据数据库300B检索认证数据。请求可包括认证数据的标识符,例如标识用户的生物统计模板的导数的导数ID(例如,‘derivative#129578190’)。
公共区块链300C可以是分布式数据库,在所述分布式数据库中,不可变记录存储并链接在一起。在一个实施例中,不可变记录可包括用于在生物统计认证程序中证明电子身份的记录。不可变记录可以通过分布式验证网络进一步验证,在所述分布式验证网络中,可以由受信任实体校验记录。受信任实体可以通过比较使用签名实体的公钥附加到记录的数字签名来校验不可变记录。例如,支付处理网络的服务器计算机可以通过输入记录和宣称在验证算法中公证所述记录的银行公钥并接着检查输出是否与预期结果匹配来校验记录。
如上文所解释,处理服务器计算机300可包括多个软件模块,所述软件模块可包括用于执行根据实施例的任务的指令。通信模块330A可包括用于发送、接收和重新格式化消息的指令。消息可以由处理服务器计算机300通过网络接口320发送和接收。例如,处理服务器计算机300可以接收身份请求消息和认证请求消息,并且可以通过网络接口320发送身份响应消息和认证消息。
映射模块330B可包括用于将电子身份映射到用户数据的指令。用户数据可包括用户的生物统计模板的导数。根据实施例,验证服务器可以在验证用户的账户标识符后为用户生成电子身份(eID)。验证服务器可以将包括用户的eID和生物统计模板的导数的身份请求消息转发到处理服务器计算机300。映射模块330B可包括用于标识为eID和导数分配的身份请求消息中的数据字段的指令。映射模块330B可进一步包括用于读取数据字段并将字段的数据(或其标识符)存储在数据库中的指令。例如,电子身份和导数标识符可以存储在eID映射数据库300A中,其中所述电子身份和导数标识符可以在映射表中彼此链接。在一个实例中,处理服务器计算机可以将以下存储在关系型数据库的一行中:电子身份754WD2E2513BF546050C2D079FF5D65AB6E318E,以及生物统计模板导数的标识符,例如‘derivative#129578190’。在另一实施例中,电子身份可以进一步链接到所链接的eID和导数的记录的标识符,例如交易ID或证书ID,所述标识符可用以标识公共区块链300C上的记录。
认证数据存储模块330C可包括用于将用户认证数据存储在数据库中的指令。根据实施例,认证数据可包括用户的生物统计模板的导数。在一个实施例中,认证数据存储模块330C可包括用于将标识符附加到用户的生物统计模板的导数,并且可进一步包括用于将导数发送到认证服务器的指令。认证服务器可以将导数连同其标识符存储在认证数据数据库300B中,使得所述导数可以稍后被标识和检索。
签名模块330D可包括用于使用私钥对记录进行签名的指令。根据实施例记录可以由受信任实体在分布式验证网络中根据数字签名算法签名。处理服务器计算机300可以是分布式验证网络的节点,并且签名模块330D可包括指令处理器310使用所述签名模块的私钥结合数字签名算法对接收的记录进行签名的代码。
块写入模块330E可包括用于发起将数据写入到公共区块链300C的指令。根据实施例,公共区块链300C可用以存储与用户注册到生物统计认证程序中相关的记录。每个记录可包括对用户的所链接的电子身份和生物统计模板导数的指示。每个记录可进一步包括受信任实体的一个或多个数字签名。在一个实施例中,处理服务器计算机300可以通过广播新数据块来发起将记录公布到公共区块链300C。例如,块写入模块330E可包括指令处理器310生成记录的新数据块的代码。块写入模块330E可进一步包括用于将新数据块广播到公共区块链300C以使得存储公共区块链300C的副本的分布式网络的节点可以公布新数据块的指令。用于写入到公共区块链的方法可以根据针对区块链建立的共识方法而变化。共识管控区块链中的块的写入的示例方法可包括工作量证明、权益证明、空间证明、权威证明等。
认证请求模块330F可包括用于解码在认证请求消息中接收的数据的指令。根据实施例,认证请求消息可以由处理服务器计算机300从资源提供商计算机接收,使得处理服务器计算机300可以认证用户。在一个实施例中,认证请求消息可包括用户的电子身份和生物统计模板的导数。电子身份和导数可以一起包括在认证请求消息中(例如,作为附加串),并且认证请求模块330F可包括用于使电子身份和导数解除耦合的指令。认证请求模块330F可包括供处理器310进行以下操作的指令:标识针对电子身份和导数分配的一个或多个数据字段,读取一个或多个数据字段,并声明应向其指派电子身份和导数的变量。例如,处理器310可以确定附加串的前30个字符应作为电子身份被指派和分配,并且剩余的100个字符作为导数被指派和分配。
数据查找模块330G可包括用于在数据库,例如eID映射数据库300A中查找数据的指令。根据实施例,当认证请求消息由处理服务器计算机300接收时,处理服务器计算机300可以标识在消息中接收的电子身份,并且可以确定链接到电子身份的生物统计模板的导数。链接到电子身份的导数可以链接在eID映射数据库300A中,并且数据查找模块330G可包括用于针对电子身份和链接到其的任何数据查询eID映射数据库300A的指令。例如,eID映射数据库300A可以是关系型数据库,并且数据查找模块330G可包括用于检索关系型数据库中的一行数据的指令,所述关系型数据库包括在认证请求消息中接收的电子身份。所述一行数据可进一步包括用户的生物统计模板的导数的标识符(例如,‘derivative#129578190’)。
导数比较模块330H可包括用于比较第一生物统计模板和第二生物统计模板的导数的指令。根据一些实施例,在注册期间存储的第一生物统计模板的导数可以与第二生物统计模板的导数进行比较以认证用户。在一个实施例中,如果导数的预定数目的数据元匹配,那么两个导数可被视为匹配。例如,用于用户指纹的特征数据的导数可表达为表示一系列值的字符串。所述一系列值可以是已经用数学方法导出的生物统计模板数据的值。可通过比较两个串之间的每个对应字符并确定预定数目的字符是否匹配来确定匹配。在另一实例中,用户面部的样本的导数可表示为改变的像素值的矩阵。可通过比较两个矩阵之间的每个对应矩阵元素并确定预定数目的元素是否匹配来确定匹配。在其它实例中,导数可表达为一系列位、阵列中的字节等。导数比较模块330H可包括用于比较两个导数的数据元并在数据元在预定阈值内匹配的情况下(例如两个串之间至少90%的字符匹配)确定匹配的指令。在一些实施例中,可以通过使用小于整个生物统计模板的数据来比较生物统计模板的导数,且比较过程在一些实施例中可使用“零知识证明”协议。
签名校验模块330I可以包括用于使用一个或多个公钥验证一个或多个数字签名的指令。根据实施例,在认证期间,可以搜索公共区块链300C的记录,并且所述记录可包括一个或多个数字签名。在一个实施例中,签名校验模块330I可包括指令处理服务器计算机300根据数字签名算法(DSA)校验一个或多个签名的代码。代码可包括用于检索或获得签名实体的一个或多个公钥以及结合验证算法用所述一个或多个公钥验证一个或多个数字签名的指令。例如,签名实体可包括银行和政府,所述银行和政府可以允许在分布式验证网络中访问他们的公钥。公钥可以由处理服务器计算机300检索并用以确定附加到记录的数字签名是否有效。
认证响应模块330J可包括用于生成包括认证结果的认证响应的指令。根据一些实施例,在确定肯定认证结果(即,用户凭证被确定为真实的)后,可以在交互期间认证用户。在一个实施例中,处理服务器计算机300可以基于对用户的第一生物统计模板和第二生物统计模板的导数的比较并基于电子身份的有效性来确定认证结果。可以使用来自导数比较模块330H的指令确定导数的比较,并且电子身份(eID)的有效性可以基于附加到与eID相关的记录的一个或多个数字签名的校验。认证响应模块330J可包括用于确定认证结果并且用于将认证结果插入认证响应消息中的代码。例如,认证响应模块330J可包括用于在所比较的导数之间发生匹配的情况下以及在电子身份被确定为有效的情况下生成肯定认证结果的指令。认证响应模块330J可进一步包括用于将肯定认证结果插入认证响应消息中的代码。可以接着将包括认证结果的认证响应消息发送到资源提供商计算机并转发到用户装置以认证装置的用户(例如,出于获得网络访问的目的)。
根据本发明的一些实施例,处理服务器计算机300可以处理数据以实施用户的生物统计认证。用户可首先使用用户装置注册到生物统计认证程序中。用户装置可用以生成用户的第一生物统计模板的导数,并请求可以在公布到公共区块链300C的记录中证明的电子身份。用户装置可以存储用户的电子身份以供稍后在交互中使用。在交互期间,用户装置可以生成用户的第二生物统计模板的导数,所述导数可以发送到处理服务器计算机300。处理服务器计算机300可以接着基于对用户的第一生物统计模板和第二生物统计模板的导数的比较并基于为用户生成的电子身份的有效性认证用户。
图4示出用于实施生物统计认证的用户装置的框图。用户装置410可以是图1的移动装置110。用户装置410可包括存储器411。存储器411可以存储数据,例如用于一个或多个应用程序的数据。一个或多个应用程序可以包括认证应用程序412和资源提供商应用程序420。用户装置410可进一步包括用于读取用户的生物统计样本的生物统计读取器414和用于在生物统计读取器414与用户装置的应用程序之间传输数据的生物统计接口413。生物统计读取器414的实例可包括指纹读取器、前置相机、麦克风等。用户装置410可进一步包括通信元件415,其用于例如通过无线通信(例如,经由天线419)允许用户装置410与其它装置之间的通信。
另外,用户装置410还可包括用于从用户接收输入的数据输入/输出416。举例来说,数据输入/输出416可以是触摸屏的输入元件,可以从所述触摸屏选择显示图标,并且可以从所述触摸屏显示虚拟键盘以接收用户命令。用户装置410还可包括用于将数据显示给用户的显示器417和用于处理数据并执行指令以完成任务的处理器418。
根据实施例,用户可以注册到生物统计认证程序中以在与资源提供商交互时证明他或她的身份。交互可以是例如与商家交易或尝试登录到网络中。用户可以经由认证应用程序412注册,所述认证应用程序412可以通过网络将用户连接到一个或多个服务器计算机。认证应用程序412可用以导出从生物统计接口413和生物统计读取器414获取的用户的生物统计模板,所述生物统计模板可以由服务器计算机中的一个链接到为用户生成的电子身份(eID)。eID可以存储在用户装置410上,并且在交互期间,用户装置410可以将eID和第二生物统计模板的导数发送到服务器计算机(例如,经由通信元件415和天线419)以供认证。可以基于第二生物统计模板的导数与在注册期间记录的第一生物统计模板的导数的比较并基于电子身份的有效性而确定认证结果。用户装置410可以接着接收指示是否已经成功证明用户身份的认证结果。
所描述的实施例提供优于现有技术的数个技术优点。本发明的实施例允许用户在交互中使用他或她的移动装置识别他或她自己。这不需要随身携带物理标识卡,这对用户来说可能是不便的。根据实施例,用户可以仅仅使用生物统计(例如,通过拍摄他或她的当前面部照片,或通过读取他或她的指纹)来识别他或她自己。此外,本发明的实施例比先前构想的其它生物统计认证方法更安全。例如,导出而不是以明文形式发送用户的生物统计数据,但仍可以验证所述生物统计数据而不揭露用户的初始生物统计。此外,本发明的实施例使用户的生物统计数据的使用经受涉及受信任方的数字签名和不可变记录的许多校验检查。这可以防止犯罪人员在认证系统中成功地使用虚假或被盗的身份。对于身份验证和生物统计认证服务器的分布性质,本发明的实施例提供允许与多个验证实体兼容的API,因此可以轻松执行校验检查并根据需要提供更高的安全性。
本文中所提及的任何计算机系统都可以利用任何合适数目的子系统。在一些实施例中,计算机系统包括单个计算机设备,其中子系统可以是计算机设备的组件。在其它实施例中,计算机系统可以包括具有内部组件的多个计算机设备,每个计算机设备都是子系统。
计算机系统可以包括例如由外部接口连接在一起的多个相同组件或子系统。在一些实施例中,计算机系统、子系统或设备可以通过网络通信。在此类情况下,一个计算机可被视为客户端,并且另一计算机可被视为服务器。客户端和服务器可以各自包括本文中所提及的多个系统、子系统或组件。
在不偏离本发明的实施例的精神和范围的情况下,具体实施例的特定细节可以任何适当方式组合。然而,本发明的其它实施例可以涉及与每个单独方面或这些单独方面的特定组合相关的特定实施例。
应当理解,如上文描述的本发明可以模块化或集成方式使用硬件和/或使用计算机软件以控制逻辑的形式来实施。基于本文中所提供的公开内容和教示,本领域的普通技术人员将知道并了解使用硬件和硬件与软件的组合来实施本发明的其它方式和/或方法。
本申请中描述的任何软件组件或功能可以实施为使用任何适当计算机语言(例如Java、C++或Perl),使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可作为一系列指令或命令存储在计算机可读介质上以供存储和/或传输,合适的介质包括随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘等磁性介质,或例如光盘(CD)或数字通用盘(DVD)等光学介质、闪存等等。计算机可读介质可以是此类存储或传输装置的任何组合。
此类程序还可以使用适于经由包括因特网的符合多种协议的有线、光学和/或无线网络进行传输的载波信号来编码和传输。因此,根据本发明的实施例的计算机可读介质可以使用以此类程序编码的数据信号来创建。以程序代码编码的计算机可读介质可与兼容装置一起封装或与其它装置分开地提供(例如,经由因特网下载)。任何此类计算机可读介质可以驻留于单个计算机程序产品(例如,硬盘驱动器、CD或整个计算机系统)上或内,且可存在于系统或网络内的不同计算机程序产品上或内。计算机系统可以包括用于将本文中所提及的任何结果提供给用户的监视器、打印机或其它合适的显示器。
上文对本发明的示例性实施例的描述已经出于说明和描述的目的呈现。其不希望是详尽的,或将本发明限于所描述的精确形式,并且根据上文的教示,许多修改和变化是可能的。选择和描述这些实施例是为了最好地解释本发明的原理及其实际应用,从而使本领域的技术人员能够在各种实施例中最好地利用本发明,并且进行适合于预期的特定用途的各种修改。
Claims (20)
1.一种方法,其包括:
由用户装置接收用户的第二生物统计模板;
由所述用户装置将认证请求消息提供到资源提供商计算机以进行交互,所述认证请求消息包括所述用户的电子身份和所述第二生物统计模板的导数,所述认证请求由所述资源提供商计算机转发到处理服务器计算机;以及
由所述用户装置从所述处理服务器计算机接收包括认证结果的认证响应消息,
其中所述认证结果是由所述处理服务器计算机基于所述第二生物统计模板的所述导数与所述处理服务器计算机能够访问的第一生物统计模板的导数的比较而确定的,并且其中所述认证结果还基于所述电子身份的有效性。
2.根据权利要求1所述的方法,其进一步包括:
由所述用户装置接收所述用户的所述第一生物统计模板;
由所述用户装置生成所述第一生物统计模板的所述导数;
由所述用户装置为所述用户生成对电子身份的身份请求消息,所述身份请求消息包括所述用户的所述第一生物统计模板的所述导数和账户标识符;
由所述用户装置将所述身份请求消息发送到验证服务器,其中所述验证服务器验证所述账户标识符并生成所述电子身份,并且其中所述电子身份由所述处理服务器计算机链接到数据库中的所述第一生物统计模板的所述导数;
由所述用户装置接收包括所述电子身份的身份响应消息;以及
由所述用户装置将所述电子身份存储在所述用户装置的存储器中以供稍后在交互中使用。
3.根据权利要求2所述的方法,其中所述处理服务器计算机发起将记录公布到区块链,所述记录包括所述用户的所链接的所述电子身份和所述第一生物统计模板的所述导数的记录。
4.根据权利要求3所述的方法,其中所述电子身份的所述有效性至少基于在所述区块链上公布的、所述用户的所链接的所述电子身份和所述第一生物统计模板的所述导数的所述记录。
5.根据权利要求3所述的方法,其中所链接的所述电子身份和所述第一生物统计模板的所述导数的所述记录由所述验证服务器和所述处理服务器计算机使用数字签名加密方案进行签名。
6.根据权利要求5所述的方法,其中所述电子身份的所述有效性至少基于对附加到所链接的所述电子身份和所述第一生物统计模板的所述导数的所述记录的一个或多个数字签名的校验。
7.根据权利要求2所述的方法,其中所述第一生物统计模板的所述导数和所述第二生物统计模板的所述导数是通过使所述第一生物统计模板和所述第二生物统计模板通过算法而分别从所述用户的所述第一生物统计模板和所述第二生物统计模板导出的。
8.根据权利要求2所述的方法,其中所述第一生物统计的所述导数通过与认证服务器通信而由所述处理服务器计算机存储和检索。
9.一种服务器计算机,其包括:
网络接口;
处理器;以及
非瞬态计算机可读介质,其包括用于指令所述处理器实施一种方法的代码,所述方法包括:
由所述服务器计算机接收认证请求消息,所述认证请求消息包括用户装置的用户的电子身份和第二生物统计模板的导数;
由所述服务器计算机确定链接到所述电子身份的第一生物统计模板的导数;
由所述服务器计算机检索所述第一生物统计模板的所述导数;
由所述服务器计算机将所述第一生物统计模板的所述导数与所述第二生物统计模板的所述导数进行比较;以及
由所述服务器计算机至少基于所述第一生物统计模板的所述导数与所述第二生物统计模板的所述导数的比较并至少基于所述电子身份的有效性来确定认证结果。
10.根据权利要求9所述的服务器计算机,其中所述方法进一步包括:
由所述服务器计算机接收包括所述第一生物统计模板的所述导数和所述电子身份的身份请求消息,其中所述电子身份是在验证服务器验证所述用户的账户标识符之后从所述验证服务器接收的;
由所述服务器计算机在映射表中链接所述第一生物统计模板的所述导数和所述电子身份;
由所述服务器计算机将所述第一生物统计模板的所述导数存储在数据库中;以及
由所述服务器计算机生成包括所述电子身份的身份响应消息,其中所述身份响应消息由所述用户装置接收,并且其中所述用户装置将所述电子身份存储在所述用户装置的存储器中以供稍后在交互中使用。
11.根据权利要求10所述的服务器计算机,其中所述方法进一步包括:
由所述服务器计算机发起将记录公布到区块链,所述记录包括所链接的所述电子身份和所述第一生物统计模板的所述导数的记录。
12.根据权利要求11所述的服务器计算机,其中至少基于所述电子身份的所述有效性来确定所述认证结果包括:
由所述服务器计算机将所述电子身份与所述区块链上所链接的所述电子身份和所述第一生物统计模板的所述导数的记录进行比较;以及
如果所述电子身份与在所述区块链上公布的所述记录匹配,那么由所述服务器计算机校验所述电子身份。
13.根据权利要求11所述的服务器计算机,其中所述区块链上的所链接的所述电子身份和所述第一生物统计模板的所述导数的所述记录由所述验证服务器和所述服务器计算机使用数字签名加密方案进行签名。
14.根据权利要求13所述的服务器计算机,其中至少基于所述电子身份的所述有效性来确定所述认证结果包括:
由所述服务器计算机使用至少所述验证服务器的公钥来校验附加到在所述区块链上公布的所述记录的所述数字签名。
15.根据权利要求10所述的服务器计算机,其中所述第一生物统计模板的所述导数和所述第二生物统计模板的导数是通过使所述第一生物统计模板和所述第二生物统计模板通过算法而分别从所述用户的所述第一生物统计模板和所述第二生物统计模板导出的。
16.根据权利要求10所述的服务器计算机,其中将所述第一生物统计模板的所述导数存储在数据库中包括:
由所述服务器计算机将所述第一生物统计模板的所述导数发送到认证服务器,其中所述认证服务器将所述第一生物统计模板的所述导数存储在所述数据库中,并且其中检索所述第一生物统计模板的所述导数包括将请求发送到所述认证服务器。
17.一种资源提供商计算机,其包括:
网络接口;
处理器;以及
非瞬态计算机可读介质,其包括用于指令所述处理器实施一种方法的代码,所述方法包括:
由所述资源提供商计算机从用户的用户装置接收认证请求消息,所述认证请求消息包括所述用户的电子身份和第二生物统计模板的导数;
由所述资源提供商计算机将所述认证请求消息发送到处理服务器计算机,所述处理服务器计算机至少基于所述第二生物统计模板的所述导数与第一生物统计模板的导数的比较并至少基于所述电子身份的有效性来确定认证结果;
由所述资源提供商计算机从所述处理服务器计算机接收包括所述认证结果的认证响应消息;
由所述资源提供商计算机将所述认证响应消息发送到所述用户装置;以及
如果所述认证结果指示所述第二生物统计模板的所述导数与所述第一生物统计模板的所述导数匹配,并且如果所述认证结果指示所述电子身份有效,那么由所述资源提供商计算机认证所述用户,其中所述电子身份由验证服务器在验证所述用户的账户标识符后生成。
18.根据权利要求17所述的资源提供商计算机,其中所述电子身份的所述有效性至少基于在区块链上公布的、所链接的所述电子身份和所述第一生物统计模板的所述导数的记录。
19.根据权利要求18所述的资源提供商计算机,其中在所述区块链上公布的所述记录由所述验证服务器和所述处理服务器计算机签名。
20.根据权利要求19所述的资源提供商计算机,其中所述电子身份的所述有效性至少基于对附加到在所述区块链上公布的所述记录的一个或多个数字签名的校验。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2017/035783 WO2018222211A1 (en) | 2017-06-02 | 2017-06-02 | Secure biometric authentication using electronic identity |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110741369A true CN110741369A (zh) | 2020-01-31 |
CN110741369B CN110741369B (zh) | 2023-10-31 |
Family
ID=64456486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780091522.9A Active CN110741369B (zh) | 2017-06-02 | 2017-06-02 | 使用电子身份进行安全生物统计认证 |
Country Status (4)
Country | Link |
---|---|
US (2) | US11190355B2 (zh) |
EP (1) | EP3631664B1 (zh) |
CN (1) | CN110741369B (zh) |
WO (1) | WO2018222211A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111614679A (zh) * | 2020-05-22 | 2020-09-01 | 深圳前海微众银行股份有限公司 | 联邦学习资格恢复方法、设备及可读存储介质 |
CN112953888A (zh) * | 2020-12-29 | 2021-06-11 | 合肥达朴汇联科技有限公司 | 应用于区块链客户端的区块链匿名用户审计方法、系统 |
CN114896575A (zh) * | 2022-04-28 | 2022-08-12 | 西安电子科技大学 | 一种基于虚假属性检测的可信身份辨识方法及装置 |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102397812B1 (ko) | 2016-08-23 | 2022-05-13 | 비자 인터네셔널 서비스 어소시에이션 | 로컬 저장된 생체인식 인증 데이터의 원격 사용 |
US10277400B1 (en) * | 2016-10-20 | 2019-04-30 | Wells Fargo Bank, N.A. | Biometric electronic signature tokens |
CN107257340B (zh) * | 2017-06-19 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 一种认证方法、基于区块链的认证数据处理方法及设备 |
US11018870B2 (en) * | 2017-08-10 | 2021-05-25 | Visa International Service Association | Biometric verification process using certification token |
WO2019144948A1 (en) * | 2018-01-27 | 2019-08-01 | Redrock Biometrics Inc | Decentralized biometric authentication platform |
WO2019231252A1 (en) * | 2018-05-31 | 2019-12-05 | Samsung Electronics Co., Ltd. | Electronic device for authenticating user and operating method thereof |
US11184175B2 (en) | 2018-07-30 | 2021-11-23 | Hewlett Packard Enterprise Development Lp | Systems and methods for using secured representations of location and user distributed ledger addresses to prove user presence at a location and time |
US11403674B2 (en) * | 2018-07-30 | 2022-08-02 | Hewlett Packard Enterprise Development Lp | Systems and methods for capturing time series dataset over time that includes secured representations of distributed ledger addresses |
US11356443B2 (en) | 2018-07-30 | 2022-06-07 | Hewlett Packard Enterprise Development Lp | Systems and methods for associating a user claim proven using a distributed ledger identity with a centralized identity of the user |
US11488160B2 (en) | 2018-07-30 | 2022-11-01 | Hewlett Packard Enterprise Development Lp | Systems and methods for using captured time series of secured representations of distributed ledger addresses and smart contract deployed on distributed ledger network to prove compliance |
US11250466B2 (en) | 2018-07-30 | 2022-02-15 | Hewlett Packard Enterprise Development Lp | Systems and methods for using secured representations of user, asset, and location distributed ledger addresses to prove user custody of assets at a location and time |
US11270403B2 (en) | 2018-07-30 | 2022-03-08 | Hewlett Packard Enterprise Development Lp | Systems and methods of obtaining verifiable image of entity by embedding secured representation of entity's distributed ledger address in image |
US11233641B2 (en) | 2018-07-31 | 2022-01-25 | Hewlett Packard Enterprise Development Lp | Systems and methods for using distributed attestation to verify claim of attestation holder |
US11488161B2 (en) | 2018-07-31 | 2022-11-01 | Hewlett Packard Enterprise Development Lp | Systems and methods for providing transaction provenance of off-chain transactions using distributed ledger transactions with secured representations of distributed ledger addresses of transacting parties |
US11271908B2 (en) | 2018-07-31 | 2022-03-08 | Hewlett Packard Enterprise Development Lp | Systems and methods for hiding identity of transacting party in distributed ledger transaction by hashing distributed ledger transaction ID using secured representation of distributed ledger address of transacting party as a key |
CN109088865B (zh) * | 2018-08-02 | 2021-10-12 | 京东方科技集团股份有限公司 | 用户身份认证方法、装置、可读存储介质和计算机设备 |
US11057377B2 (en) * | 2018-08-26 | 2021-07-06 | Ncr Corporation | Transaction authentication |
JP7206698B2 (ja) * | 2018-08-28 | 2023-01-18 | セイコーエプソン株式会社 | 提供装置、処理システム及び通信方法 |
WO2020123192A1 (en) | 2018-12-14 | 2020-06-18 | Mastercard International Incorporated | Systems, methods, and non-transitory computer-readable media for secure individual identification |
DE102018010027A1 (de) * | 2018-12-19 | 2020-06-25 | Daimler Ag | Abwicklungssystem |
FR3091941B1 (fr) * | 2019-01-22 | 2023-01-13 | Idemia Identity & Security France | Procédé de vérification d’une authentification biométrique |
KR20200100481A (ko) * | 2019-02-18 | 2020-08-26 | 삼성전자주식회사 | 생체 정보를 인증하기 위한 전자 장치 및 그의 동작 방법 |
US11070379B2 (en) * | 2019-04-18 | 2021-07-20 | Advanced New Technologies Co., Ltd. | Signature verification for a blockchain ledger |
US11115420B2 (en) | 2019-04-26 | 2021-09-07 | Visa International Service Association | Distributed ledger data verification network |
US11165582B2 (en) * | 2019-05-20 | 2021-11-02 | Chia Network Inc. | Consensus layer architecture for maintaining security with reduced processing power dependency in untrusted decentralized computing platforms |
FR3096480B1 (fr) * | 2019-05-24 | 2021-04-23 | Idemia Identity & Security France | Procédé d’authentification forte d’un individu |
US11425165B2 (en) * | 2019-06-04 | 2022-08-23 | Mcafee, Llc | Methods, systems, articles of manufacture and apparatus to reduce spoofing vulnerabilities |
US20210049588A1 (en) * | 2019-08-13 | 2021-02-18 | Mastercard International Incorporated | Systems and methods for use in provisioning tokens associated with digital identities |
US11321445B2 (en) | 2019-10-01 | 2022-05-03 | Visa International Service Association | Delegated biometric authentication |
EP4185976A4 (en) * | 2020-07-21 | 2024-01-03 | Royal Bank of Canada | SEGMENTATION INTO LEXICAL UNITS OF FACIAL RECOGNITION |
US11977611B2 (en) * | 2020-10-20 | 2024-05-07 | Mastercard International Incorporated | Digital rights management platform |
US11854009B2 (en) | 2021-10-07 | 2023-12-26 | Chia Network Inc. | Method for pooling in a proof-of-space-based blockchain via singletons |
US20230336523A1 (en) * | 2022-04-13 | 2023-10-19 | Unstoppable Domains, Inc. | Domain name registration based on verification of entities of reserved names |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060112278A1 (en) * | 2004-11-19 | 2006-05-25 | Cohen Mark S | Method and system for biometric authentication of user feedback |
US20090100269A1 (en) * | 2007-10-12 | 2009-04-16 | Compagnie Industrielle Et Financiere D'ingenierie "Ingenico" | Biometric authentication method, computer program, authentication server, corresponding terminal and portable object |
US20150317851A1 (en) * | 2012-11-16 | 2015-11-05 | Koninklijke Philips N.V. | Biometric system with body coupled communication interface |
CN105868970A (zh) * | 2016-03-25 | 2016-08-17 | 联想(北京)有限公司 | 一种认证方法和电子设备 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU6501496A (en) * | 1995-07-19 | 1997-02-18 | Ascom Nexion Inc. | Point-to-multipoint transmission using subqueues |
JP2003016295A (ja) * | 2001-06-28 | 2003-01-17 | Nec Corp | オンラインショッピング方法及びそのシステム並びにプログラム |
US7697737B2 (en) * | 2005-03-25 | 2010-04-13 | Northrop Grumman Systems Corporation | Method and system for providing fingerprint enabled wireless add-on for personal identification number (PIN) accessible smartcards |
US20070220274A1 (en) * | 2005-10-17 | 2007-09-20 | Saflink Corporation | Biometric authentication system |
US20080209226A1 (en) * | 2007-02-28 | 2008-08-28 | Microsoft Corporation | User Authentication Via Biometric Hashing |
US8625785B2 (en) * | 2008-05-15 | 2014-01-07 | Qualcomm Incorporated | Identity based symmetric cryptosystem using secure biometric model |
US8365248B2 (en) * | 2008-05-30 | 2013-01-29 | Sharp Kabushiki Kaisha | Data providing device, operation device, and data processing device |
JP5355502B2 (ja) * | 2010-06-07 | 2013-11-27 | 株式会社日立情報制御ソリューションズ | 生体情報貸出しシステム及び生体情報貸出し方法 |
WO2012124115A1 (ja) | 2011-03-17 | 2012-09-20 | 富士通株式会社 | 生体情報取得装置、生体情報照合装置、及びプログラム |
US8752146B1 (en) | 2012-03-29 | 2014-06-10 | Emc Corporation | Providing authentication codes which include token codes and biometric factors |
US20130318361A1 (en) * | 2012-05-22 | 2013-11-28 | Partnet, Inc. | Encrypting and storing biometric information on a storage device |
JP6115292B2 (ja) * | 2013-05-01 | 2017-04-19 | 富士通株式会社 | 生体認証システム、生体認証方法、および生体認証装置 |
US20170055146A1 (en) * | 2015-08-19 | 2017-02-23 | Hajoon Ko | User authentication and/or online payment using near wireless communication with a host computer |
EP4354311A3 (en) | 2015-10-17 | 2024-05-22 | Banqu, Inc. | Blockchain-based identity and transaction platform |
US9847997B2 (en) * | 2015-11-11 | 2017-12-19 | Visa International Service Association | Server based biometric authentication |
US10587609B2 (en) * | 2016-03-04 | 2020-03-10 | ShoCard, Inc. | Method and system for authenticated login using static or dynamic codes |
US10425408B2 (en) * | 2016-09-07 | 2019-09-24 | Bank Of America Corporation | Encrypted biometric authenication |
US10484178B2 (en) * | 2016-10-26 | 2019-11-19 | Black Gold Coin, Inc. | Systems and methods for providing a universal decentralized solution for verification of users with cross-verification features |
US11080380B2 (en) * | 2016-11-08 | 2021-08-03 | Aware, Inc. | Decentralized biometric identity authentication |
US10560476B2 (en) * | 2017-02-22 | 2020-02-11 | International Business Machines Corporation | Secure data storage system |
-
2017
- 2017-06-02 CN CN201780091522.9A patent/CN110741369B/zh active Active
- 2017-06-02 WO PCT/US2017/035783 patent/WO2018222211A1/en unknown
- 2017-06-02 EP EP17911928.4A patent/EP3631664B1/en active Active
- 2017-06-02 US US16/618,741 patent/US11190355B2/en active Active
-
2021
- 2021-10-28 US US17/513,467 patent/US20220052852A1/en not_active Abandoned
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060112278A1 (en) * | 2004-11-19 | 2006-05-25 | Cohen Mark S | Method and system for biometric authentication of user feedback |
US20090100269A1 (en) * | 2007-10-12 | 2009-04-16 | Compagnie Industrielle Et Financiere D'ingenierie "Ingenico" | Biometric authentication method, computer program, authentication server, corresponding terminal and portable object |
US20150317851A1 (en) * | 2012-11-16 | 2015-11-05 | Koninklijke Philips N.V. | Biometric system with body coupled communication interface |
CN105868970A (zh) * | 2016-03-25 | 2016-08-17 | 联想(北京)有限公司 | 一种认证方法和电子设备 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111614679A (zh) * | 2020-05-22 | 2020-09-01 | 深圳前海微众银行股份有限公司 | 联邦学习资格恢复方法、设备及可读存储介质 |
CN112953888A (zh) * | 2020-12-29 | 2021-06-11 | 合肥达朴汇联科技有限公司 | 应用于区块链客户端的区块链匿名用户审计方法、系统 |
CN112953888B (zh) * | 2020-12-29 | 2023-10-31 | 合肥达朴汇联科技有限公司 | 应用于区块链客户端的区块链匿名用户审计方法、系统 |
CN114896575A (zh) * | 2022-04-28 | 2022-08-12 | 西安电子科技大学 | 一种基于虚假属性检测的可信身份辨识方法及装置 |
CN114896575B (zh) * | 2022-04-28 | 2024-04-16 | 西安电子科技大学 | 一种基于虚假属性检测的可信身份辨识方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
US11190355B2 (en) | 2021-11-30 |
EP3631664A1 (en) | 2020-04-08 |
US20200092102A1 (en) | 2020-03-19 |
CN110741369B (zh) | 2023-10-31 |
US20220052852A1 (en) | 2022-02-17 |
WO2018222211A1 (en) | 2018-12-06 |
EP3631664B1 (en) | 2022-04-27 |
EP3631664A4 (en) | 2020-05-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3631664B1 (en) | Secure biometric authentication using electronic identity | |
US20220058655A1 (en) | Authentication system | |
US10810290B2 (en) | Robust method and an apparatus for authenticating a client in non-face-to-face online interactions based on a combination of live biometrics, biographical data, blockchain transactions and signed digital certificates | |
US11936788B1 (en) | Distributed ledger system for identity data storage and access control | |
AU2018246993B2 (en) | Systems and methods for providing digital identity records to verify identities of users | |
US20230246842A1 (en) | Compact recordation protocol | |
EP3132564B1 (en) | Identity verification system and associated methods | |
US9544308B2 (en) | Compliant authentication based on dynamically-updated credentials | |
US11394712B2 (en) | Secure account access | |
KR20200110605A (ko) | 추적 정보를 획득하고 블록체인 상에 기록하는 방법 및 디바이스 | |
US20150082390A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
US20230360031A1 (en) | Controlling publishing of assets on a blockchain | |
WO2020165174A1 (en) | A one-click login procedure | |
US11044250B2 (en) | Biometric one touch system | |
KR20200004666A (ko) | 머신러닝과 블록체인을 이용한 생체정보 인증 시스템 | |
KR101679183B1 (ko) | 전자 서명 서버 및 방법 | |
CN112785410A (zh) | 依赖方风险调整指示符系统和方法 | |
US20230336523A1 (en) | Domain name registration based on verification of entities of reserved names | |
WO2020167274A1 (en) | A document signing system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |