CN1504947A

CN1504947A - 利用嵌入图像数据用于处理卡安全性的方法和装置

Info

Publication number: CN1504947A
Application number: CNA021557462A
Authority: CN
Inventors: L・A・雷; L·A·雷; 洪辛格; C·W·洪辛格
Original assignee: Eastman Kodak Co
Current assignee: Gaozhi 83 Foundation Co.,Ltd.
Priority date: 2002-12-03
Filing date: 2002-12-03
Publication date: 2004-06-16
Anticipated expiration: 2022-12-03
Also published as: CN1265314C

Abstract

通过拥有一个包含机器可读取信息的区，以及通过拥有一个打印区域，获得一个高度安全性的个人身份识别标记，其中使图象中的嵌入数据被打印到所述打印区域上。产生所述身份识别标记的方法包括下述步骤：形成一个标记持有者的数字图像；利用一个应用种子值的随机数产生器，产生一个随机数阵列；将所述随机数阵列加到所述数字图像上，以产生一个被修改的数字图像；以及将所修改的图像打印到身份识别标记上。通过在身份识别标记上扫描所述图像，以产生一个被恢复的数字图像；以及通过将随机数阵列与被恢复的数字图像相关联，以产生一个身份识别标记的合法性检查，所述标记得到鉴别。

Description

利用嵌入图像数据用于处理卡安全性的方法和装置

技术领域

本发明属于个人身份识别相关的资料技术的领域，并且更具体地涉及处理卡(transaction card)安全性以及在处理卡和其它个人身份识别相关的资料上成象的领域。

技术背景

大量范围的资料需要个人化。一些实例是护照、处理卡、进入通行证及驾驶执照。个人化的主要目的是给予持有者一些特权并且防止他人访问此特权。结果是这些资料通常使一种个人身份识别的方法包括在资料内。在下文中，这个大量范围的资料将是指个人身份识别相关的资料。在下文中，我们采用术语处理卡来涵盖所有的个人身份识别相关的资料，并且反之亦然。

处理卡的使用是普遍存在的，并且其向卡持有者提供对金融资源以及许多服务的访问。在许多情况下，处理卡已经成为现金的替代品，且成为欺诈做法的注目目标。为了防止金融机构、消费者以及商人免受这些卡的欺诈做法，信用卡工业已经向所述卡中引入许多特性以减少欺诈。包括在所述特性清单中的有：磁条、全息照片、特殊覆盖层、卡验证值等。因为那些对进行信用卡欺诈感兴趣的人正在寻找避开所述安全性特性的方法，因此始终存在对新技术的需求，来阻止上述人的企图。

典型地处理卡与数据存储区域一起被提供，所述的数据存储区域由一个机器来访问。其典型的实例是在大多数信用卡中普遍使用的磁条。然而，其它数据存储方法也是存在的，如在所谓的智能卡情况下的小微处理器。在任何情况下，这个数据存储器的目的是充当一个电子装置，便于在事务处理点的设备来收集有关正在被服务帐户的信息。在标准信用卡的情况下，在存储区域上的信息包括帐户号、被授权的卡持有者的姓名以及失效日期。

与处理卡一道使用的设备在技术上已经得到进步。通常收银机包括一个微处理器，所述微处理器具有一个与普通家用计算机系统兼容的计算能力。这些系统经常被联网，用于与较大的商店系统和金融网络相互作用。自动取款机(ATM)在技术上也是尖端的，并且典型地被联网到全球的金融系统。

大多数ATM机的一个通用特性是：处理卡被机器整个地俘获。当在设备上划卡时，通常的事务处理终端，如那些由厂商如Verifone所生产的终端，经常仅读取磁条。

将机器可读取数据存储到卡上的其它方法包括：由其中的GemPlus所制造和销售的所谓的智能卡、如由Symbol Technologies，Inc.(Symbol技术公司)所销售的那些两维条码、以及由Sandia Imaging所销售的数据图示符。所有的这些方法均向处理卡中存储了有限数量的机器可读取数据，并且被处理卡的不同发行者所使用。

用于向处理卡上打印的方法是众所周知的。具有独特或少量的处理卡打印也可以通过市场上可买到的系统(如出自Datacard的ImageCard IV Photo ID打印机)来打印。这些打印机允许数据图像直接被打印到PVC材料上。

几年来处理卡发行者一直将卡持有者的图像加到卡中。这个图像提供一些安全性，因为呈现具有其他人照片的卡将使人质疑是否此卡的使用是合法的。这个想法的一个延伸便是将卡持有者的照片压缩并且存储到卡的数据存储器中。用于将卡持有者的肖像俘获、存储以及压缩到计算机磁条中的方法已经被研制(见1995年11月14日Ray等人的题目为“METHOD AND APPARATUS FOR IMAGECOMPRESSION，STORAGE，AND RETRIEVAL ON MAGNETIC TRANSACTIONCARDS”“用于在磁处理卡上进行图像压缩、存储以及检索的方法和装置”的美国专利号5,466,918，)，其在此引入作为参考。

图像扫描是一个通用的作法，并且完成这个任务的设备已经变得既经济又相对地结构紧凑。典型地，所述扫描可以以500点/英寸(dpi)的分辨率以及彩色形式进行。扫描过程也是相当快，在几秒钟扫描一整页。

经常需要把相对大量的数据记录提取成为较短的参考值或关键字(key)。所需要的是从数据中建立关键字，但是具有这样可忽略的可能性，即从两个截然不同的记录中产生相同的关键字。经常这些方法被称为散列算法(hash algorithms)，并且它们在计算机系统中被广泛使用。众所周知的散列算法是National Institute of Standards andTechnology(NIST)(国家标准和技术协会)所谓的安全散列算法(SHA)。这个算法将512位记录处理成160位(20个字节)的关键字。从数学上，散列功能是一个从m位串的空间到n位串的空间的映射，其中m＞n。例如如果m＝512，且n＝160，则SHA是这样的一个映射，即其只是简单地在头160位之后截断所述串。

用于保证图像安全性的方法是数据隐藏或嵌入，其中信息以这样的方式被编码成一个图像，以便于使它对于观察者是不可视的，但是通过图像扫描器和图像处理设备则变成可读取。然而，更实际地，所隐藏的信息必须被快速地从被扫描数据中得以恢复，并且必须能够经受住打印过程和磨损如划伤的影响。此外，为了将所隐藏的信息与卡上的其它信息相关联，所隐藏的信息必须具有携带信息的能力。例如，如果所隐藏的信息仅携带一位数据，则所隐藏的信息可能赋址的姓名的最多数目将是两个。然而如果所隐藏的信息可能成功地携带32位信息，则可能最多有大约100亿人可以被赋址。当然，这些计算假定：使姓名与自然状态的位序有关系的数据库被采用。

目前存在几个拥有这一鲁棒水平和信息携带能力的算法。例如，见1997年6月3日Rhoads的题目为“STEGANOGRAPHY METHODSEMPLOYING EMBEDDED CALIBRATION DATA”(“应用嵌入校正数据的隐写术方法”)的美国专利5,636,292，其描述了一种将N个随机图像结合以构成一个复合图像的方法，所述复合图像被加到照片上，其中所述的每个随机图像包括一个单一位信息。当需要检索所隐藏的信息时，N个随机图像中的每一个被与照片相关联，多个所产生的相关性确定出具体的位值。

在2000年3月28日Hongsinger等人发表的题为“METHOD FORGENERATING AN IMPROVED CARRIER FOR USE IN AN IMAGEDATA EMBEDDING APPLICATION”(“用于产生使用在图像数据嵌入应用中的改良载体的方法”)的美国专利号6,044,156已经被证明足够鲁棒，能够经受打印、扫描、以及磨损，而同时携带多达160位的信息。这种应用在此被引入以作参考。所述算法超出Rhoads的优点在于：仅需要执行一次关联，这使快速处理这一前景更易实现。也要注意到：来自SHA的输出也是160位。

这个Honsinger等人的专利规定了一种产生具有最佳信息携带能力和鲁棒性的载体(随机图像)的装置。在这个应用中，用于将一个信息嵌入到数字化图像的方法被加以讲解，所述方法包括下述步骤：形成所要求信息的一个数字化版本；产生一个随机的相位载体；将所形成的所要求信息的数字化版本和所产生的随机相位载体卷积，以构成一个加扰的信息；以及将所加扰的信息与数字化的图像相组合，以构成一个嵌入的信息图像。在Honsinger等人的专利中所讲解的改良载体信号被设计在傅立叶频率域中。在傅立叶域中，在每个频率的信号值被表征为一个复数，其可以被表示为实数/虚数对或者被表示为振幅/相位对。所述载体信号以这样的方式被设计在傅立叶域，以便于在每个频率的载体的振幅是一个常量，并且在每个频率的载体的相位是一个随机的数字，所述随机数字均匀地分布在0至360度之间。这种载体信号的自动关联具有相似于δ函数的形状，其改善了所恢复信息的完整性。通过使用一个流密码加密系统的输出，载体的随机相位被构建。结果是：实际上，对没有加密系统的私人关键字入口的任何未被授权人员将不可能复制载体功能。这个载体的技术要求的中心是：使用一个种子来产生载体的某些随机特征。在本发明中，要理解为：所述种子可以直接来源于机器可读取的信息或来源于机器可读取信息的SHA。这将嵌入算法所要求的信息能力仅提供给一个位，因为在机器可读取信息被读取时，它将可能再生在原始嵌入时刻所使用的载体。然而，如果要求嵌入在机器可读取码中不存在的其它信息，可以理解的是：在多位方案中，也可能采用利用机器可读取信息作为种子而得到载体来携带这个信息。

如果一个处理卡被呈现用于授权，则可能出现两种类型的错误；有效卡被拒绝，即假阴性，或无效卡被接受，即假阳性。在理想的情况下，所述假阴性和假阳性率均为零，但是这是不现实的。然而，假阴性和假阳性的可接受水平是被预先设定的，然后所述的这些水平被用来确定需要相符的位数，以便使处理卡能够被接受。在有效卡的情况下，嵌入数据可以被恢复，但是若干少量百分比的被恢复位将出现错误，即位错误率。

众所周知，已知位的错误率及在被恢复数据串中的位数，则可知具有规定错误位数的串的概率分布。事实上，这由Poisson分布来完成(见William Feller，An Introduction to Probability，Theoryand Its Application，(概率、理论及应用的介绍)John Wiley & Sons，New York，1976，pp。153-159)。因而，一旦可接受的假阳性率，即位错误率和在被恢复数据中的位数是已知的，则必须相符的位数据可以被容易地加以确定。作为一个实例，如果位错误率是0.01且160位被恢复，则每第1百万个卡将有11位以上的错误，并且149位是正确的，即93％的位是正确的。

在欺诈性的卡被呈现给系统的情况下，需要有这种卡被接受的一个可接受的水平，即使所述水平可能相当小。在这种情况下，位错误率可能是与被嵌入到打印区域的数据有0.5链接，并且在机器可读取区内的数据并没有明确地已知。在这种情况下，具有m位错误的n位串的概率分布通过Gaussian分布近似得到。这在概率领域是众所周知的(见William Feller，An Introduction to Probability，Theoryand Its Application，(概率、理论及应用的介绍)John Wiley & Sons，New York，1976，pp.179-182)。因而，已知所要求的要相符的位数，则很容易确定随机位串将被接受的概率。利用上述实例，假阳性的可能性在10²⁷中小于1，即一个非常小的数。

因此，在被恢复的嵌入数据和源自机器可读取数据的数据之间需要相符合的位数必须足够大，以使假阳性率可被接受，且所述位数据必须足够小，以使假阴性率可被接受。但是这不是一个主要的障碍，因为实际实施将具有足够小的位错误率以及足够大的位数以确保相符。

作为一个可选择方案，因为在这种类型应用中所出现的错误特征是可能预测的，所以利用EDAC(错误探测和校正)技术，信息极好地适合于编码。这种码的一个实例是著名的Reed-Solomon码，所述Reed-Solomorn码被广泛地使用在许多应用上。EDAC提供一种有效的方法来恢复实际的信息，即使有由于噪声而引起的朦胧。经常地，EDAC仅要求少部分数据开销量的便可以被应用(见Elwyn R.Berlekamp，Algebraic Coding Theory(代数编码理论)，Aegean Park Press，1984，ISBN：0-89412-063-8)。一些位被用于执行EDAC，因此源自机器可读取区域的位数必须被减小以便于容纳EDAC位。

对于个人身份识别相关的资料如处理卡，需要一个更高水平的安全性，以便于减少这种资料的欺诈性行为，其中包括如撇渣行为。撇渣是将机器可读取数据从一个卡拷贝到另一个卡的操作。此外，如果这种个人身份识别相关的资料的安全性特性免去职员通过察看图像或卡保护特性来验证卡的真实性，则它更为优选。此外，如果具有增强安全特性的个人身份识别相关的资料和读取器系统用已建立的处理卡程序诸如通过使CVV作为要被散列数据的一部分的卡合法性值(CCV)、且对图像验证值亦同来工作是有利的。现有技术未能讲解一个包括这些特性的个人身份识别相关的资料和读取器系统。

发明内容

因此本发明的一个目的是：提供一种个人身份识别相关的资料如处理卡和读取器系统，其减少了这种资料的欺诈使用。

本发明的另一个目的是：提供一种具有增强安全特性的个人身份识别相关的资料和读取器系统，其用已建立的处理卡程序工作。

本发明的另一个目的是：提供一种个人身份识别相关的资料(如处理卡)以及读取器系统，其免去职员通过察看一个图像或卡的保扩特性来验证卡的真实性这一需要。

本发明的另一目的是：提供一种个人身份识别相关的资料(如处理卡)和读取器系统，其用已建立的处理卡程序如通过使CVV作为要被散列数据的一部分的卡合法性值(CCV)并且对图像验证值亦同来工作。

本发明的另一个目的是：提供一种个人身份识别相关的资料(如处理卡)和读取器系统，其用无人看管的事务处理终端，如ATM来操作，并且提供高水平的安全性。

本发明的另一个目的是：提供一种个人身份识别相关的资料(如处理卡)和读取器系统，其将被打印的处理卡与该卡的机器可读数据部分相链接。

本发明的另一个目的是：提供一种个人身份识别相关的资料(如处理卡)和读取器系统，其包括对于正常观看者不可见的嵌入数据。

简单而言，在阅读此处所提供的详细说明、权利要求和所附的附图时，本发明的上述及众多其它特性、目的及优点将很显而易见。通过提供一个个人身份识别标记(badge)，所述的这些特性、目的及优点得以实现，所述的标记具有其中包含机器可读取信息的区，其还具有一个使图像中的嵌入数据被打印在其上的打印区域。产生身份识别标记的方法包括下述步骤：形成标记持有者的数字图像；利用随机数产生器产生一个随机数阵列，其中所述的随机数产生器采用一个种子值；将所述随机数阵列加到数字图像中，以产生一个被修改的数字图像；以及在身份识别标记上打印所述被修改的数字图像。通过扫描在身份识别标记上的图像，以产生一个被恢复的数字图像；以及通过将随机数阵列与被恢复的数字图像相关联，以产生身份识别标记的合法性检查，标记得以鉴别。

附图说明

图1是个人身份识别相关的资料与个人身份识别相关的资料读取器系统的示意性说明。

图2是示出用于产生个人身份识别相关的资料如处理卡的基本过程步骤的方框图。

图3是本发明的读取设备与本发明的个人身份识别相关的资料的示意图。

图4是示出实践本发明的优选方法的流程图。

优选实施例详述

首先翻到图1，其中示出一种个人身份识别相关的资料10，其通过实例方法被表示为处理卡。处理卡10通常是一种平面板12，其是一种其上可以被打印的材料。处理卡10包括一个可打印区域14和一个包含机器可读取数据16的区。机器可读取数据区16可以以几种众所周知的格式存在，包括但不局限于磁条、集成电路、智能卡、条形码(一维及二维的)以及数据图示符。这些机器可读取数据区16的数据能力相对较小。在磁条的情况下，数据能力可能在500位的数量级。适合于打印的可打印区域14可以是PVC、纸或任何其它可打印的材料，其可以被形成以呈现出一个平坦的表面。要求可打印区域14所选择的材料要能够以这样的方式被打印，以便于单独的点或阵列可以被打印。

处理卡10与图1中方框图中所示的本发明的处理卡读取器系统20相连接。处理卡读取器系统20确定处理卡10是否是合法的。处理卡10以这样的方式被呈现给系统20，以便于处理卡的机器可读取区16和打印区域14均可供系统20来检查。卡的机器可读取区16由读取设备22来读取，所述读取设备22包括针对所选择的存储装置的适当读取器23，如在磁条情况下的磁条读取器。读取设备22还包括一个图像扫描器24，以将打印在可打印区域14上的图像转化成一个数字图像。来自读取器23和图像扫描器24的数据被送到处理器26。针对从处理卡10的机器可读取部分俘获的数据，所述处理器26执行一个安全性散列算法。处理器26还对从可打印区域14上的数字化图像中获取的图像数据进行操作，并且抽取图像内出的嵌入数据。所述的两个数据流被传递到比较器28，以便确定这两个数据串是否相同或相对应；即以便确定它们是否达到了一个预先设定的相符水平。如果比较器28将这两个数据串区配，则它通过将指示灯30开启到“on”状态给使用者报警，且如果这两个串没有通过比较器28测试，则拒绝(decline)指示灯31被开启到“on”状态。

现在参考图2，其中示出一个方框图，所述方框图示出用于产生个人身份识别相关的资料如处理卡10的基本过程步骤。为了使上述方法可操作，一个要求是应该生产出具有特别特性的处理卡10。这种处理卡10包含对卡持有者很重要的信息，如帐户号、姓名等。卡10还必须包含被打印的材料，如数字图像34(例如，卡持有者的图像)，并且图像34必须具有随后可以被恢复的嵌入数据。卡持有者信息32被输入到处理器36，在此处理器36处所述信息被施加一个散列算法，如安全散列算法，并且造成一个输出位流。然后，即将被打印的图像34被输入到处理器36，并且由数据嵌入算法进行修改，以便于存储来自SHA的输出。随后，所修改的图像以及来自SHA的输出被传输到处理卡打印机38，在此打印机38处，被修改的图像被打印在可打印区域14上，并且卡持有者信息被写入到处理卡10的机器可读取区16上。

随后再看图3，其中示出读取设备22的方框图。如上所述，读取设备22包括一个读取器23和一个图象扫描器24，其有几个子系统。当处理卡10被放入到读取器22内时，处理卡10由传感器41感测，当所述处理卡10已经进入到系统中时所述传感器41能够察觉到。传感器41激励卡传输子系统40，所述子传输系统致使处理卡10沿着轨道42被拉进读取器22中。传感器41激励适当的读取器23，如一个磁带读取器，以开始读取处理卡10的机器可读取区16，并且激励光学图像扫描器24来扫描处理卡10的打印区域14。图像扫描器24具有足够的分辩能力，以保证对所嵌入的图像信息进行解密。

虽然包括嵌入信息的被打印信息可以是任何图像，但是使图像成为卡持有者照片具有优越性。如果一个人正在进行事务处理时，这提供了有关卡持有者合法性的额外可视信息。此外，这个人的图像可以被压缩并且所述数据可以被存储在机器可读取区16内，并且随后被用作通过SHA的信息流的一部分。所述图像信息也可以被用作具有中央处理卡控制权限的处理卡验证的装置，其由Ray等人于1995年7月25日的题目为“METHOD AND APPRATUS FOR TRANSACTION CARDVERIFICATION”(处理卡验证的方法和装置)的美国专利号5,436,970所设想。

在本发明中，要理解为：所述种子可能是直接来源于机器可读取信息或来源于机器可读取信息的SHA。这将嵌入算法所要求的信息能力仅提供给一个位，因为在机器可读取信息被读取时，将有可能再生在原始嵌入时刻所使用的载体。

参考图4，根据所优选的实施例，标记持有者的数字图像被形成44，例如使用一个数字相机来构成一个具有300×400象素的图像。利用种子值45，如标记持有者的姓名、标记序号、或其它唯一性身份识别号，产生一个512×512的随机数阵列46。例如，利用由Honsiner等人于2000年3月28日发表的题目为“METHOD FOR GENERATINGAN IMPROVED CARRIER FOR USE IN AN IMAGE DATAEMBEDDING APPLICATION”(用于产生使用在图像数据嵌入应用中的改良载体的方法)的美国专利号6,044,156所说明的技术，产生所述阵列。来自512×512阵列的头300×400随机数阵列被加到数字图像中48，以产生一个被修改的数字图像，并且被修改的数字图像被打印到身份识别标记上。所述300×400随机数阵列可以被存储49，以备将来在鉴别标记的图像时使用。另外，在鉴别之时，利用如上所述可以以机器可读取形式被存储在标记上的种子45，可以再生随机数阵列51。为了鉴别图像，所述图像被扫描50，以形成一个被恢复的数字图像，并且将被恢复的数字图像与随机数阵列相关联52。如果所述图像是真实的，则关联将带来强烈的关联峰。如果所述图像不是真实的，则关联峰将很弱或者不存在。将图像与随机数阵列相关联的这一简单做法，与从图像中抽取信息并且将所抽取的信息和卡中所存储的数据相比较具有同样的效果。

从上所述中将可以看出：这个发明是这样的一个发明，其极好地适合于取得上述所提出的所有目标和目的，以及显而易见的且所述过程所固有的其它优点。

将理解为：某些特性和子组合具有实用性，并且参考其它特性和子组合可以被实施。这已经被考虑到且属于本权利要求的范围之内。

由于许多可能的实施例可能是由本发明构成，而不偏离其中的范围，所以要理解为：在此所提供的并且在附图中所示的所有事项均被解释为是示例性的，而不是限制性的意义。

Claims

1.一种产生可鉴别的身份识别标记的方法，包括下述步骤：

(a)提供一个标记持有者的数字图像；

(b)利用应用种子值的随机数产生器，产生一个随机数阵列；

(c)将所述随机数阵列与所述数字图像组合，以产生一个被修改的数字图像；

(d)在所述身份识别标记上打印被修改的数字图像；以及

(e)在标记上记录所述种子值。

2.根据权利要求1的方法，进一步包括下述步骤：

(a)在所述身份识别标记上扫描所述被修改的数字图像，以产生一个被恢复的数字图像；

(b)从所述标记中读取种子值；

(c)利用随机数产生器和从所述标记中读取的种子值，再生随机数阵列；以及

(d)将随机数阵列与被恢复的数字图像相关联，以产生一个身份识别标记的合法性检查。

3.根据权利要求1的方法，其中所述种子值是一个对于身份识别标记持有者具有唯一性的身份识别码。

4.根据权利要求3的方法，其中所述种子值包括标记持有者的姓名。

5.根据权利要求3的方法，其中所述种子值以机器可读取的形式被存储在身份识别标记中。

6.根据权利要求2的方法，其中所述随机数阵列从所述种子值中再生。