CN1299496A

CN1299496A - 电子设备和对该电子设备进行用户鉴别的方法

Info

Publication number: CN1299496A
Application number: CN98814125A
Authority: CN
Inventors: K·P·卡曼
Original assignee: Siemens AG
Current assignee: Siemens AG
Priority date: 1998-04-21
Filing date: 1998-08-21
Publication date: 2001-06-13
Also published as: EP1424659A1; BR9815824A; KR20010042881A; EP1074004A1; CA2329311A1; JP2002512409A; WO1999054851A1

Abstract

本发明的设备具有测定生物特征BM(如:指印)的传感器(SE)和用于输入鉴别数据AUTINF(如:PIN)的输入装置。该设备的数据处理设备(DE)从生物特征BM中求出鉴别信息FPAUTINF,然后由一种检验装置PE检验该鉴别信息,所述检验装置同样也检验通过输入设备EE而输入的鉴别信息AUTINF。因此,该设备EG可以被多个用户使用,其使用方式与不带有生物特征传感器的设备是一样的。鉴别规则(譬如移动电话是通过SIM卡)可不必为实现生物特征的鉴别而改变。

Description

电子设备和对该电子设备进行用户鉴别的方法

已知有许多种电子设备必须在使用前进行用户鉴别。重要的例子有各种结构的计算机(信息处理设备)和诸如移动电话等通信设备。有些设备通常被加以保护以避免非法使用，譬如通过设置密码；另一些设备则只保护一些确定的功能免遭非法访问(譬如通过设置所谓的个人识别号PIN)。此外，这还包括保护某些数据和业务的访问，即使这些数据或业务不是由该设备而是由计算机网络或通信网络中的其它设备提供使用的。

毫无疑问，如今鉴别信息最常用的输入方式是通过设备的键盘来输入的。在信息输入以后，通常使用该设备、计算机网络或通信网络中的检验装置来检验输入的正确性，然后给执行该输入的用户授权。在遵照GSM标准的移动电话中，这是通过如下方式来进行的，即由一种数据处理设备对设备的所谓SIM卡进行检验，看输入的PIN是否与存储在SIM卡中的信息相匹配。如果匹配，则SIM卡准许移动电话被使用。在此，GSM标准不允许将PIN存储在设备中，而是只能以加密的形式存储在SIM卡上，这样，电话用户的安全性就得到了提高。

采取其它形式的用户鉴别技术已经应用了一段时间。该技术的基础是通过特殊传感器来测定用户特有的生物特征。指印识别所用到的传感器就是其中重要的一例。其它生物特征，如人眼视网膜的纹理或人的声音特征也已经在一些设备中用到。

通常在设备或通信网络的数据处理设备中，把传感器测定的特征与已知的合法用户的特征进行比较，如果两者充分地符合，那他就有权访问所需的业务、想要的数据或所选的设备功能。

在一些设备类型中，把上面提到的两种鉴别方法结合起来考虑看来是有意义的。譬如就移动电话来说，一定都希望该移动电话不仅能由其拥有者通过指印传感器来使用，而且被告知PIN的其他人或愿意用他们自己的SIM卡使用该设备的人也应该能在授权范围内使用它。另外，通过指印进行鉴别可能偶尔会失败或者不可能实现，比如：用户的手弄脏了或是戴着手套的时候。因为这些或相似的原因，能用不同的方式鉴别设备的一个或多个用户是为人所希望的和必要的。在该情形下，除了通过PIN输入进行鉴别外，还应该可以进行生物特征鉴别。对符合GSM标准的移动电话而言，另外由标准强制性地规定了通过PIN输入进行鉴别的可能性。

从所述的情况来看，移动电话因与GSM标准兼容而被强制要求用SIM卡进行PIN鉴别，所以在符合GSM标准的移动电话中使用传统的生物特征鉴别是不可能的。首先，由于安全的原因，GSM标准不允许把移动电话的PIN存储在除SIM卡外的任何地方，因此，下述显而易见的可能性是不予考虑的，即：把PIN存储在设备中，然后在成功地检验出测定的指印与所存储的合法用户指印相符合时，把该存储的PIN传入SIM卡以便进行检验。所以在这种情况下，生物特征鉴别只能作为一种附加的安全措施来考虑。但是，考虑到输入PIN进行鉴别已有很高的安全性，所以不再需要这种附加的安全措施，而且它也不会被许多用户接受。

因此，本发明的任务在于阐明一种技术方案，即使是在符合GSM标准的移动电话或相类似的情况下，本技术方案都可以把生物的用户鉴别和PIN输入鉴别结合起来，其中，一种形式的鉴别应该总是足够的。这样，用户就可以选择他们所希望使用的那种鉴别方式。可以想见，实际上也可以使一些尤其突出的用户(如：设备的拥有者)在设备上设置两种鉴别方法的“与”逻辑连接。该任务由权利要求任一条所述的设备或方法来实现。

本发明规定，用一种传感装置来测定用户的生物特征，然后借助数学方法把测定的生物特征转化为用于鉴别的信息。由此，在对这种生物特征进行分析后得出一个鉴别信息，并可以采用同一检验装置来对该信息和用户通过信息输入设备(如键盘)输入的鉴别信息进行检验。在最简单的情形下，指印的分析结果就是用户也可通过键盘输入的同一个PIN。但这种PIN并不存储在该设备中，而是从传感装置测定的用户生物特征中算出。

通过这种对传感装置测定的生物特征所进行的分析，这种鉴别在结果上与用键盘输入进行鉴别是等价的，而且用于检验鉴别信息有效性的常用接口也可以保持不变。特别是，任何标准化的规定都不必改变。这两种鉴别方法可以轻易地并列使用；另外，无论什么时候、在什么情况下，用户都可以从两种方法中自由选择。当然，用户也可以以“与”连接的方式使用该两种方法，其中，只有成功地通过两种检验方法的用户才被允许访问。

下面将借助优选实施例和附图来对本发明进行更详细的说明。

图1示出了本发明的一个实施例，其中在设备内集成了所有的鉴别方法和装置。

图2示出了本发明的一个实施例，其中检验装置并不位于该设备之内。

图3示出了本发明的一个实施例，其中该设备内集成了一种能显示鉴别信息的显示器。

本发明的一个非常特殊但非常重要的实施方案就是遵循GSM标准的移动电话，这种移动电话有一个用于用户鉴别的指印传感器。该指印传感器是一种如附图1所示的特殊传感装置(SE)。当该设备(EG)的用户把手指放在该指印传感器上后，该设备就会等待一个用户鉴定，这就好比输入PIN或超PIN或(部分取决于厂商的)PIN2，这样，指印传感器便测定相关用户的相应生物特征(BM)，并将该特征输入数据处理设备(DE)。

对GSM移动电话而言，这种数据处理设备是一种已经存在于移动电话中、且接有在其上运行的软件的处理器。但另一方面，指印传感器(或统称为传感装置)也可以有自己的处理单元，在该处理单元上运行一个进行指印识别的特殊软件，这样，数据处理设备在本发明的意义上被全部或部分地集成在传感装置之中。因为专业技术人员已充分了解指印识别法、识别生物特征的其它方法、以及它们在不同配置(和子系统划分或已知硬件模块的组合)的数据处理设备上的实现，所以实现本发明一定没有什么大问题。

在此，根据本发明，该数据处理设备从测定的生物特征中求出适合于鉴别用户的信息。最简单的情况就是以加密形式存储于SIM卡中的、合法用户的PIN(或PIN2或其它类似物)。为了检验，此时的这种PIN被传入SIM卡中，其方式与用户在通过移动电话的数字键盘(信息输入装置)输入时是一样的。这时，在移动电话的检验装置(SIM卡，有时还连同设备的数据处理设备一起)中运行该每个专业人员都熟悉的、在GSM标准中规定的检验过程。如果鉴别信息(FPAUTINF)正确，也就是说与存于SIM卡中PIN相符，则鉴别所保护的设备功能(如：访问网络，等等)将被允许。

本发明所说的解决方案的决定性优点在于：在用户合法时，指印识别可以把用户的PIN传到SIM卡中，因为这能使GSM标准的安全性规定完全保持不变。而开始那些似乎很显而易见的解决方案都没有这样的优越性。无论如何，任何其它方案要么要求用键盘另外输入PIN，要么要求回避或改变GSM标准。而实际上只有当指印识别作为PIN输入的附加安全措施时，通过键盘附加地输入PIN才有意义。

当然，利用本发明，这样一种附加鉴别也是可能的。在该情形下，不必把由传感数据求出的鉴别信息传到SIM卡中。替而代之的是，人们可以譬如故意地给SIM卡输入一个错误的PIN，或者模拟一个输入错误或输入中断，或其它类似情况。这样，SIM卡就会要求重新输入PIN。如果输入的PIN与求出的鉴别信息一致或相符，数据处理设备(DE)就会把该PIN传到SIM卡中，这样，该SIM卡便发出允许信息。

当然，由传感数据求出的PIN不必与SIM卡的PIN相同。如果标准或者-在其它设备中-相关的安全协议允许的话，这种检验装置也可以由此检验两条不同的鉴别信息，以确定他们是否相互匹配。

对于不符合GSM标准的其它设备，即便是在由传感数据单独进行鉴别的时候(也就是说，与PIN输入无关但又包括有PIN输入)，只要检验装置能识别出由传感数据算出的鉴别信息FPAUTINF与由键盘输入的鉴别信息AUTINF在它们俩指示用户合法的意义上是相互匹配的，则它们两者也可以不同。

原则上讲，所有给指印或其它BM分配PIN或其它形式(一般已经过字符编码)鉴别信息AUTINF的、并且满足下列条件的数学表示(函数)，都将被考虑作为从BM计算鉴别信息FPAUTINF的方法：

a)充分相似的BM将得出相同的鉴别信息FPAUTINF。

B)非常不同的BM将得出不同的鉴别信息FPAUTINF。

c)未经授权的用户实际上不能从BM中得出(或猜出)鉴别信息FPAUTINF，或在不知道BM的情况下也不能得出该鉴别信息。

条件a)应该确保指印识别要足够可靠地防止小干扰。否则，对合法用户的拒绝率就会太高。条件b)确保了不同用户的指印能以足够高的概率得出不同的鉴别信息FPAUTINF。条件c)的意义是显而易见的。

专业人员都知道各种(可能或较好或稍好地)满足这种要求的数学表示。具有该特性的数学表示可以由所谓的向量量化得出。对于专业人员本来就知道的这种方法，此处只将其说明到为理解本发明所需要的程度。

如果把这种方法用于本发明的目的，首先要假定：由传感装置测定的生物特征能够变为所谓的特征向量形式。这种假定实际上并不是一种限制，原因是传感数据总可以表示为规则的、n元组的n个测试数据(特征向量)。这些特征向量组成了一个n维空间。在这个空间内，存在一组抽样向量(码本向量)，并定义了差异程度(生物特征的近似程度)。对于每个抽样向量，该空间内都有一个按如下方式定义的单元，即对于单元中的每个特征向量，该单元的抽样向量是在该差异程度意义最接近的抽样向量。

每个抽样向量都需要分配一个原则上适合于鉴别的信息。给抽样向量分配正确的鉴别信息(譬如：实际PIN)。显然，从这些解释中可以得出：若用户合法，在计算最接近于与所测传感数据一致的特征向量的抽样向量时将得到正确的鉴别信息(如：实际PIN)，否则将得到错误的鉴别信息。如果确保与合法用户的生物特征相关联的特征向量是抽样向量中的一个，则这种方法的错误率就能得到最优化。这可以通过如下方法来实现，即让系统自己在初始化阶段与合法用户的生物特征相适配(码本适配)。

向量量化并不是本发明中可以使用的唯一方法。专业人员也熟悉其它方法，这里不必多做解释。

通过向量量化从用户生物特征中计算出鉴别信息FPAUTINF-如果从字句上来看-本来也是与在设备中“存储PIN”联系在一起的，原因是码本的每个抽样向量都真正地被分配了一个原则上可能的鉴别信息(FPAUTINF)。但几乎在所有情况下(除合法用户的特征向量的情况之外)，该信息都不真正适合于鉴别。譬如对于五位字母数字的PIN，理想的情况是所有可以想见的PIN和与之相对应的抽样向量可以这样来存储，使得只有当传感器中进行足够准确的抽样向量测定时，才能对有效的PIN进行寻址。尽管正确的PIN因此要被“存储在设备中”，但它们还是不能寻见地藏匿在许多可能的PIN之中，而且只有具有正确生物特征的用户才能找到它们。当标准不允许在设备中存储PIN时，就不作这种打算。

GSM标准是不允许在设备中存储PIN的。但PIN经常需要改变，譬如因为它已被第三方所知。然而，我们是从指印中求出(亦即计算)PIN的，这种情况看起来好象是不可能的，因为改变指印或其它生物特征是不可能的。不过，为了使用户可以改变他的PIN，本发明的优选实施方案中规定了在设备中使用一整套这种方法，而不仅仅是一种计算方法。可给每个单独的计算方法分配一个连续的号，这样，合法的用户就能够随时改变所使用的方法了。因为每个方法(M1,…,Mn)能为一个和同一个指印(BM)算出不同的PIN(FPAUTINF1…FPAUTINFn)，所以用户从中可以选择与各种计算方法一样多的PIN。

本发明的该实施方案同样是利用向量量化来实现的，其中不只是设立了一个码本，而是多个抽样向量码本。每个码本都有一个号，用这个号可以选择该码本。其它方法可能会依赖于一个参数。如果这个参数改变了，那就会得到一个不同的数学表示。如果与这种参数的依赖关系足够复杂，那么实际上就不可能猜出鉴别信息因参数改变而发生的改变。某些这类的神经网络(譬如所谓的多层感知器)适合于实现这种表示。在基于这种神经网络的解决方案中，PIN实际上并不是在任何地方都是按字符顺序而存储的，而只是(通过隐式加密)存储在网络结构和加权系数中。

本发明的该实施方案变型是非常有意义的，它考虑了这样一个事实：为了完全不同的目的和设备，许多人需要一系列不同的密码字。记住这么多密码字变得越来越困难。如果用多个方法(M1～Mn)(数学表示)从一个单独的特征向量(或传感数据组)中计算出多个鉴别信息(FPAUTINF1…FPAUTINFn)，那么该问题便降低为：使用合适的传感器对用户特有的不能转让的生物特征进行测定。

为选择某种方法，所需要做的只是在所提供的用户界面环境中输入该方法的标号。于是，可通过软件相应地安装该数据处理设备。

当然，多个人的生物特征也可以与正确的PIN或多个正确的PIN逻辑地连接起来。作为一个例外，如果设备是某个人专用的，也就是说仅仅只用一个SIM卡，那么它的允许功能可以附加地与另一安全机构(比如：设备码)逻辑地连接起来。对此，在具有极高的安全性和与标准的兼容性的同时，本发明还具有各种灵活性。

特别地，如果要改变PIN，本发明另一个有效的实施方案将是有利的，其中设置了一个用于显示鉴别信息的显示器。在许多这种设备中已经有这种显示器，由此它也可以用于该目的。如果用户希望改变他从键盘输入的、并与SIM卡相匹配或是存储在该SIM卡上的鉴别信息(AUTINF)，譬如PIN，那么在一些计算方法中，有时并不是所有可想见的符号数字组合都可用作PIN，譬如由于码本小于所有可想见的PIN数目等原因。在这种情况下，通过改变所使用的计算方法的参数(譬如改变码本号或是改变神经网络的参数)就足以改变PIN至抽样向量的分配，并由此改变分配给其专用特征向量的PIN。之后，他在不知道PIN的情况下不能在同一意义上改变SIM卡上的PIN(或统称为输入的PIN)。然而，这在我们的任务的意义上进一步使用是有必要的。优选地，在该设备的显示改变后，通过相应的、可能是一次性短暂地显示该PIN，合法用户可获悉变化后的PIN。其它解决方案也是可以想见的(比如发送新PIN邮件)。

当然，本发明并不限于移动电话，更不限于符合GSM标准的移动电话。借助本发明的说明，专业人员不难知道怎样在其它设备或系统中实施本发明。

特别是本发明并不局限于把检验单元(PE)集成在设备之内。附图2示出了一种重要情形，该设备譬如通过通信网络与至少一个装有检验装置的其它设备相连。实际上，甚至负责从用户的生物特征BM中算出鉴别信息FPAUTINF的全部或部分数据处理单元(DE)也不必位于该设备之内。当然，该设备也不必有集成的检验装置(SE)或集成的键盘(EE)。显然，这些装置也可以以外部模块的形式与设备相连。本发明的这些实施方案应该受方法权利要求的保护。

Claims

1．电子设备(EG)，尤其是用于信息处理或通信的设备，它具有：

a)一种测定该设备用户的生物特征(BM)的传感设备(SE)，尤其是测定指印，

b)一种从测定的生物特征中求出用于鉴别用户的信息(FPAUTINF)的数据处理设备(DE)，

c)一种用于输入信息的信息输入设备(EE)，通过该输入设备可以输入用于鉴别用户的信息(AUTINF)，

d)一种检验装置(PE)，用于检验求出的或输入的鉴别信息，如果检验成功，还用于为该用户允许设备的功能。

2．如权利要求1所述的设备，其数据处理设备(DE)可以如此进行设置，使得为进行成功地鉴别检验而用输入设备输入的鉴别信息(PIN)与由合法用户的生物特征求出的鉴别信息(FPPIN)相同。

3．如上述权利要求之一所述的设备，其数据处理设备(DE)具有多个方法(M1,…,Mn)，用来从测定的用户生物特征中求出用于鉴别该用户的信息(FPAUTINF1,…,FPAUTINFn)。

4．如权利要求3所述的设备，其数据处理设备允许合法用户从所述多个方法中选择他所需要的方法，以便从生物特征中求出鉴别信息。

5．如上述权利要求之一所述的设备，具有用于显示从用户生物特征中求出的鉴别信息(FPAUTINF)的装置。

6．对设备进行用户鉴别的方法，其中，用户可以借助其特有的生物特征对自己进行鉴别，或者通过用信息输入设备输入鉴别信息来对自己进行鉴别，其中在第一种情况下，由传感装置测定用户生物特征，再由测定的生物特征求出用于鉴别的信息，然后由一种检验装置检验该信息，其中在第二种情况下，用户通过输入设备而输入的鉴别信息由上述同一检验装置进行检验。

7．如权利要求6所述的对设备进行用户鉴别的方法，具有以下步骤：

a)从传感装置的测试数据中求出一个特征向量，

b)把求出的特征向量进行向量量化，以及

c)检验属于该向量量化结果的鉴别信息。