专利名称:集中式生物测量认证的制作方法
技术领域:
本发明涉及通信网络中的认证。尤其是,本发明涉及一种通过通信网络来识别人的生物测量系统。
背景技术:
存在通过通信网络对人进行远程识别的需要。尤其是,需要生物测量服务使用人的生物测量特征信息对人的身份进行远程认证。例如,需要集中式生物测量认证系统通过呼叫通信网络中的通信平台对个体的身份进行认证。
现在,呼叫方可以通过按下数字键盘上的键产生可听的双音多频(DTMF,dual tone multifrequency)信号而与智能外围通信平台交互。智能外围通信平台翻译该可听信号,并向呼叫方提供话音信息和指令。例如,智能外围通信平台可以指示呼叫方使用数字键盘输入账号和密码。可以将对服务的访问仅限制于能够提供可验证帐户的正确密码的呼叫方。然而,智能外围通信平台使用双音多频信号识别不出个体呼叫方;相反地,智能外围通信平台仅保证呼叫方持有正确的账户密码。
此外,智能外围通信平台可以接受并解释来自呼叫方的话音。智能外围通信平台翻译呼叫方的话音,向呼叫方提供话音信息和指令。例如,智能外围通信平台可以指示呼叫方读出账号和密码。可以将对服务的访问仅限制于能够提供正确的帐户密码的呼叫方。然而,智能外围通信平台使用呼叫方的话音识别不出个体呼叫方;相反地,智能外围通信平台仅保证呼叫方持有正确的账户密码。
此外,例如语音邮件系统的通信平台可以使用与呼叫源的地址相关联的信息以允许对账户进行访问。例如,通信平台可以使用与呼叫源相关联的自动号码标识符(ANI,automatic numberidentifier)或因特网协议(IP,internet protocol)网络地址来识别并授权对账户的访问。可以将对服务的访问仅限制于从与账户相关联的被授权地址进行呼叫的呼叫方。然而,通信平台使用与电话号码相关联的信息识别不出个体呼叫方;相反地,通信平台仅保证呼叫方从与账户相关联的被授权地址进行呼叫。
近来,设置了使用生物测量信息来识别个体的性能。例如,可以使用语音特征信息、面部几何学、DNA、虹膜扫描信息及指纹来识别个体。然而,生物测量认证典型地包括对大量信息的复杂处理。因此,通信网络中的通信装置和通信平台可能不具有足够的存储器和处理能力以存储并快速处理个体的生物测量信息。由于该原因和其它原因,没有在对通信装置和通信平台进行条件访问的通信网络中使用生物测量认证。
因此,存在在通信网络中设置生物测量认证系统的需要。尤其是,存在如下需要提供一种在通信网络中设置认证身份并授权对由通信装置和/或通信平台所提供的服务进行访问的生物测量认证系统。例如,需要生物测量认证系统通过将生物测量信息与个体的识别信息相关联以注册个体的生物测量信息。此外,需要生物测量认证系统通过将从呼叫方或客户获得的生物测量信息与所注册的生物测量信息进行比较,接收来自通信平台或通信装置的请求以对作为个体的呼叫方或客户进行认证。
为解决上述问题,提供用于集中式生物测量认证的系统。
通过本发明实施例的非限制性的例子的方式,参考附图,在以下详细说明中进一步说明本发明,其中,相同的附图标记表示附图全部视图中相似的部分,其中图1示出根据本发明一个方面的用于进行集中式生物测量认证的典型的通信网络结构;图2示出根据本发明一个方面的用于进行集中式生物测量认证的典型验证系统;图3是示出根据本发明一个方面的使用集中式生物测量认证来认证个体呼叫方的方法的典型流程图;图4是示出根据本发明一个方面的使用集中式生物测量认证的通信平台的操作方法的典型流程图;图5是示出根据本发明一个方面的提供集中式生物测量认证的验证系统的操作方法的典型流程图;图6是根据本发明一个方面的用于进行集中式生物测量认证的另一个典型的通信网络结构;图7是示出根据本发明一个方面的使用集中式生物测量认证来对个体客户进行认证的方法的典型流程图;以及图8是示出根据本发明一个方面的使用集中式生物测量认证的交易平台的操作方法的典型流程图。
具体实施例方式
考虑前述内容,通过本发明的不同方面、实施例和/或具体特征或子组合的其中一个或多个,本发明旨在产生下面具体指出的优点中的一个或多个。
根据本发明的一个方面,提供一种集中式生物测量系统,其用于通过通信网络验证个体的身份。该系统包括存储器,其存储与识别个体的信息相关联的生物测量信息。该系统还包括接收器,其从通信装置和网络通信平台中的一个接收来自尝试从通信装置和网络通信平台中的一个获得服务的一方的生物测量样本,依据对作为个体的一方的认证提供服务。该系统还包括处理器,其将生物测量样本与生物测量信息进行比较以认证作为个体的一方的身份。
根据本发明的另一个方面,接收器接收来自各自向多个个体提供服务的多个客户通信装置的请求。
根据本发明的又一个方面,接收器接收来自各自向多个个体提供服务的多个网络通信平台的请求。
根据本发明的又一个方面,接收器通过因特网接收请求。根据本发明的另一个方面,通信装置是用于进行金融交易的交易平台。
根据本发明的又一个方面,通信装置是由个体使用以进行金融交易的个人计算机。
根据本发明的又一个方面,该系统还包括日志产生器,其产生与认证请求相关的信息的记录。
根据本发明的一个方面,提供一种用于验证个体的身份的方法,其使用集中式生物测量系统通过通信网络验证个体的身份。该方法包括存储与识别个体的信息相关联的生物测量信息。该方法还包括从通信装置和网络通信平台中的一个接收来自尝试从通信装置和网络通信平台中的一个获得服务的一方的生物测量样本,依据对作为个体的一方的认证提供服务。该方法还包括将生物测量样本与生物测量信息进行比较以认证作为个体的一方的身份。
根据本发明的另一个方面,从各自向多个个体提供服务的多个客户通信装置接收生物测量样本。
根据本发明的又一个方面,从各自向多个个体提供服务的多个网络通信平台接收生物测量样本。
根据本发明的又一个方面,通过因特网接收生物测量样本。
根据本发明的又一个方面,通信装置是由公众使用以进行金融交易的交易平台。
根据本发明的又一个方面,通信装置是由个体使用以进行金融交易的个人计算机。
根据本发明的又一个方面,该方法还包括产生与认证相关的信息的记录。
根据本发明的一个方面,提供一种计算机可读介质,用于存储使用集中式生物测量系统通过通信网络来验证个体的身份的程序。该计算机可读介质包括生物测量存储代码段,其存储与识别个体的信息相关联的生物测量信息。该计算机可读介质还包括接收代码段,其从通信装置和网络通信平台中的一个接收来自尝试从通信装置和网络通信平台中的一个获得服务的一方的生物测量样本,依据对作为个体的一方的认证提供服务。该计算机可读介质还包括比较代码段,其将生物测量样本与生物测量信息进行比较以认证作为个体的一方的身份。
根据本发明的另一个方面,从各自向多个个体提供服务的多个客户通信装置接收生物测量样本。
根据本发明的又一个方面,从各自向多个个体提供服务的多个网络通信平台接收生物测量样本。
根据本发明的又一个方面,通过因特网接收生物测量信息。
根据本发明的又一个方面,通信装置是由公众使用以进行金融交易的交易平台。
根据本发明的又一个方面,通信装置是由个体使用以进行金融交易的个人计算机。
根据本发明的又一个方面,该计算机可读介质还包括日志产生代码段,其产生与认证相关的信息的记录。
设置通信系统用于使用集中式生物测量认证来认证呼叫方的身份。在通信网络中设置通信系统,通信系统包括通信装置、通信平台和验证系统。在本申请中,呼叫方可以是使用通信装置获得对由通信平台所支持的服务的访问的例如客户的个体。此外,呼叫是呼叫方与目的地处的接受方进行通信的尝试。
在实施例中,通信网络是对呼叫方和呼叫接受方之间的呼叫提供专用连接的交换式交换网络(switch-based switchingnetwork)。交换式交换网络可以是包括服务交换点和服务控制点的高级智能网络(AIN,advanced intelligent network)。在高级智能网络中,例如电话或调制解调器的个体通信装置连接到服务交换点,当向个体通信装置输入特定拨号模式或序列时触发该服务交换点。当服务交换点检测到预定拨号模式时,该服务交换点通过信令网络向服务控制点发送询问。询问服务控制点使得发出将呼叫从服务交换点发送到通信平台的指令。当然,当呼叫方的发端电话号码和通信平台的目的地电话号码都不触发服务交换点时,可以将呼叫从服务交换点路由(route)到通信平台,而不调用服务控制点。
在另一个实施例中,通信网络是例如因特网的包交换网络。在包交换网络中,包运载处理信息使得可以单独路由每个包。因此,在包交换网络中不需要专用连接。作为例子,将例如具有浏览器的可支持因特网的计算机、个人数字助理(PDA,personaldigital assistant)或其它装置的个体通信装置连接到向通信平台路由打包后的数据的路由器。通信平台可以是专用应用服务器或通过通信网络提供服务的任何其它类型的通信设备。
在再一个实施例中,通信网络是例如专用网络或虚拟专用网络的安全网络。在虚拟专用网络中,通信仅限于较大网络中的装置的预定子集。作为例子,例如自动取款机或信用卡读取器的个体通信装置通过专用或虚拟专用网络向通信平台发送数据。通信平台可以是仅向较大网络上的通信装置的预定子集提供服务的专用服务器。
在又一个实施例中,通信网络是无线网络。因此,通信网络可以是用于发送通信的各种网络。当然,通信网络可以是包括有线网络、无线网络、包交换网络和交换式交换网络的用于发送通信的网络的任何组合或子组合。
在实施例中,通信平台是与交换式交换网络上的电话号码和/或包交换网络上的IP地址相对应的智能外围设备。可以通过其中一个(或两个)网络的组件向通信平台发送电话呼叫或数据包。交换式交换网络可以用于提供从呼叫方到智能外围设备的专用连接,而包交换网络可以用于向智能外围设备发送例如IP电话(VoIP,voice over internet protocol)的包。
通信平台对安全网络呼叫、交换式交换网络呼叫和/或包交换网络呼叫提供服务。通信平台将对至少一部分服务的访问仅限制于被授权的呼叫方。因此,当接收到通信时,通信平台与呼叫方交互,直到通信平台确定必须确认呼叫方的身份。当通信平台确定必须确认呼叫方的身份时,通信平台与验证系统交互以开始验证会话(session)。通信平台从呼叫方获得生物测量样本,并向验证系统提供该生物测量样本。
验证系统从通信平台接收生物测量样本,认证该生物测量样本来源于个体。当在呼叫方和通信平台之间的交互期间,判断为应当请求验证系统的认证功能时,通信平台使用因特网或另一包交换网络开始与验证系统进行通信。验证系统与通信平台交互,直到不再需要验证系统的功能。可以以分布式的方式实现验证系统。例如,通信网络可以包括从分布式数据库检索数据的集中式处理器。可选择地,通信网络可以包括从客户机接收请求、分析请求(及相关生物测量信息)并根据正在处理的信息的类型将请求发送到二次处理器的集中式处理器。
图1示出用于集中式生物测量认证的典型通信网络结构。如图所示,个体通信装置100是连接到公共交换电话网络(PSTN,public switched telephone network)的代表性的交换机105的电话机。在可供选择的实施例中,个体通信装置102是通过蜂窝塔台104与代表性的交换机105通信的蜂窝式电话或其它无线装置。在另一个实施例中,个人计算机101通过路由器103代替交换机105进行通信。个体通信装置可以以通过(pass-through)模式工作,在该模式下,呼叫方与通信平台和/或生物测量验证系统无缝地交互以执行各种安全功能。可选择地,装置可以以主动模式工作,在该模式下装置与呼叫方交互以收集在与集中式安全服务的交互中所使用的需要的生物测量数据。
根据本发明的实施例,用响应于例如用于通信服务的800拨号模式的特定拨号模式的发端触发器设置交换机105。响应于该触发器,交换机105挂起呼叫,向服务控制点115发送询问。交换机105和控制点115使用标准接口协议通过数据网络互相通信。图1中的数据链接用虚线段示出。在实施例中,用于交换机105和控制点115之间的通信的接口协议是SS7协议。基于控制点115对询问的解释,控制点115指示交换机105向通信平台150、152或154发送呼叫。交换机105通过交换式交换网络向通信平台150、152或154发送呼叫。
根据本发明的另一方面,根据包交换协议,例如传输控制协议/因特网协议(TCP/IP),路由器103发送包。路由器通过包交换网络向通信平台150、152或154发送例如IP电话(VOIP)的包。
通信平台150、152或154可以是交互式语音响应装置或另一种提供交互式语音响应功能的智能外围装置。在NOVACK于2003年6月30日提交的10/608,076号美国专利申请中,公开了使用智能外围设备的典型电信系统及服务节点/智能外围设备,该专利公开的全部内容通过引用包含于此。在NOVACK等于2004年1月5日提交的10/751,685号美国专利申请中,公开了使用智能外围设备和服务节点/智能外围设备的典型方法,该专利公开的全部内容通过引用包含于此。典型的交互式语音响应装置包括IBM资源管理器、朗讯(Lucent)小型服务节点或朗讯增强型媒体资源服务器(eMRS,enhanced media resource server)。通信平台150、152或154向呼叫方播放引导消息。引导消息可以包括使呼叫方通过说话或按下数字键盘上的按钮输入信息来产生双音多频(DTMF)音的请求。数字键盘上的按钮各自对应于由通信平台150、152或154接收的区别DTMF音。当通信平台150、152或154接收到表示需要识别并认证呼叫方的信息时,通信平台150、152或154指示呼叫方提供根据IP电话打包并从通信平台向验证系统200发送的语音样本。
通信平台150、152或154可以是独立确定向呼叫方发送的指令序列的服务节点/智能外围设备。服务节点/智能外围设备(SN/IP)可以是通过例如ISDN链接连接到交换机的计算机或通信服务器,ISDN链接使用ISDN-BRI(基本速率接口,basic rate interface)或ISDN-PRI(主速率接口,primary rate interface)协议之一,二者均为公知常识。可选择地,可以通过例如模拟线路、数据线路、或其它语音和/或数据电路将SN/IP连接到交换机。SN/IP可以使用外部电话资源提供话音识别、文本到话音(text-tp-speech)/话音到文本(speech-to-text)转换和双音多频(DTMF)识别。
在实施例中,通信平台150、152或154可以是向控制点(未示出)提供响应,并从控制点接收指令的智能外围设备。控制点处理来自从呼叫方接收的信号序列的数据,确定向呼叫方提供的响应。通信平台150、152或154及这种控制点通过例如SS7网络的信令网络进行通信。智能外围设备通过SR-3511协议可以在内部解释从服务控制点接收的数据消息,SR-3511协议的使用使得可以同时兼容交互式语音响应功能。
通信平台150、152或154根据脚本(scripted)呼叫流程处理呼叫。呼叫流程可以根据呼叫方所提供的信息而变化。呼叫流程前进直到通信平台150、152或154确定需要验证呼叫方的身份,这时通信平台150、152或154作为脚本呼叫流程中的一部分来联系验证系统200。作为例子,作为呼叫方请求需要认证呼叫方的身份的功能的结果而联系验证系统200。验证系统200通知通信平台150、152或154验证结果。
如果通信平台150、152或154是服务节点/智能外围设备,则可以将通信平台150、152或154的呼叫流程逻辑加载到通信平台150、152或154中。可选择地,将呼叫流程逻辑加载到与通信平台150、152或154相关联的、控制通信平台150、152或154的呼叫流程中的至少一部分的控制点中。
通信平台150、152或154与验证系统200交互,直到验证系统200判断是否可以确认呼叫方的身份。通信平台150、152或154通过网络与验证系统200进行通信。当然,当例如由相同的实体操作验证系统200以及通信平台150、152和/或154时,可以通过广域网和/或局域网来发送包。在实施例中,验证系统200可以仅接受来自通信平台150、152、154中的一个或多个的打包后的数据,使得阻止呼叫方直接与验证系统200进行通信。
验证系统200包括处理来自通信平台150、152和/或154的信息的认证服务器220。来自通信平台150、152和/或154的信息可以包括呼叫方的预期身份、根据IP电话打包的呼叫方的语音样本以及任何会对认证通信平台150、152、154所希望的呼叫方有用的其它信息。
此外,验证系统200包括存储一个或更多个体的预先注册的语音信息和/或识别信息的话音特征数据库210。认证服务器220从话音特征数据库210中检索语音信息,将检索到的语音信息与从通信平台接收到的语音样本进行比较。当比较结果确定语音样本中的一个或更多特征与来自话音特征数据库210的语音信息具有足够的相似性时,呼叫方的身份被认证。
作为使用图1所示的通信网络结构的例子,通信服务供应商可以允许用户通过呼叫对应于语音邮件通信平台152的服务号码查看语音邮件服务信息。语音邮件通信平台可以替代现有的基于PIN的技术,用于向语音邮件系统提供安全机制。通信服务供应商可以使用语音邮件通信平台152允许呼叫方请求改变服务。然而,通信服务供应商在处理例如改变密码的改变服务的特定请求之前可能需要对呼叫方进行认证。因此,当呼叫语音邮件通信平台152的呼叫流程到达呼叫方请求更新其服务信息处时,语音邮件通信平台152开始与验证系统200的IP电话会话。验证系统200接收IP电话包,将语音样本与话音特征数据库210中的语音信息进行比较。
作为使用图1所示的通信网络结构的另一个例子,金融机构可以使用智能外围设备通信平台150允许呼叫方访问帐户。然而,金融机构可能需要呼叫方提供附加信息以进行交易。因此,验证系统200可以用于将呼叫方的信息与帐户持有者的信息进行匹配。
作为又一个例子,验证系统200可以用于改变提供无线网络通信平台154的无限网络的用户的密码和个人识别号码。如上所述,验证系统200可以用于在允许呼叫方请求改变帐户的个人识别号码之前认证呼叫方的身份。
作为又一个例子,验证系统200可以替代现有的基于PIN的技术用于保证授权呼叫使用电话。例如,当存在呼叫方是否正在没有授权地使用通信装置的问题时,例如可以通过交换机或路由器联系验证系统200而不通知呼叫方。因此,例如无线电信服务供应商可以使用验证系统200拒绝通信装置访问整个网络,而不仅仅是网络中的特定通信平台。
因此,图1的通信系统能够进行集中式生物测量认证,使得验证系统200的功能可以用来增强由通信平台150、152或154提供的服务。可以通过支持通信平台150、152、154和验证系统200之间的直接或间接通信的因特网或任何其它包交换网络进行通信平台150、152或154和验证系统200之间的交互。此外,呼叫方可以首先与通信平台150、152、154建立电话呼叫,或者因特网交互、Web交互和/或数据交互其中之一。然后,通信平台可以对与呼叫方交互的安全服务提供IP电话通道以在各种认证级别处确认身份。确认之后,呼叫方被证明的身份可以被用来做出授权决定。
图2是集中式生物测量认证的典型验证系统200。如图所示,认证服务器220包括接收器221。接收器可以通过一个或更多端口接收信息,该端口接受由认证服务器220提供的一个或更多应用程序所使用的协议的通信。认证服务器220还包括发送器222,发送器222根据由认证服务器220提供的应用程序所使用的协议通过端口发送信息。接收器221通过因特网接收信息包,发送器222通过因特网发送信息包。
认证服务器220还包括数字信号处理器223。在接收器221接收到信息之后,或发送器222发送信息之前,数字信号处理器处理该信息。关于此,数字信号处理器可以将嵌入IP电话包中的音频样本解包。尤其是,IP电话包包括通信样本的数字化信息(即,位)。样本可以是离散时间周期的模拟信号的数字表示。连续对模拟信号进行采样,并将其转换为由包序列运载的数字样本。因特网协议包典型地包括以5到50毫秒的连续周期采样的音频样本。
作为例子,G.711编码数字样本是8位,按如下顺序包括符号位、三位指数和四位尾数。G.711是国际电信协会(ITU,International Telecommunication Union)的脉冲码调制(PCM,pulse code modulation)标准。G.171标准包含μ律(μ-law)脉冲码调制(PCM)编码和A律(A-law)脉冲码调制编码。在例如北美使用最广泛的陆上线路标准是μ律,而A律脉冲编码调制是在例如欧洲使用最广泛的陆上线路标准。
A律和μ律PCM编码都用于压缩和展开数字音频样本。A律和μ律脉冲码调制编码将14位线性编码数字音频样本映射到对数码样本。A律和μ律编码的附加效果是发送8位样本所需的带宽量减小。产生包括有序数字通信样本的包的处理称为打包。
如上所述,包是指一组数字信息。可以根据包交换协议通过包交换网络发送包。典型的包交换协议包括传输控制协议(TCP,transmission control protocol)、用户数据协议(UDP,user dataprotocol)、因特网协议(IP,internet protocol)、IP电话(VoIP)以及多协议标签交换(MPLS,multiprotocol label switching)协议。IP电话包括,例如,由ITU制定的“基于包的多媒体通信系统(Packet Based Multimedia Communication System)”。
包交换协议使包寻址的格式以及信息的路由和处理标准化,使得接收包的包交换网络的每一个节点可以检查包信息并独立地确定怎样继续路由和/或处理包是最佳的。例如,因特网协议包包括可以用于按优先顺序例如在包交换网络的节点进行对包的处理的三个优先级位。
通信平台150、152、154将从交换式交换网络接收到的话音打包。通过因特网将打包后的话音发送到验证系统200。当通过包交换交换网络从路由器103接收到话音时,话音已经被打包。然而,通信平台150、152、154可以将来自呼叫方的这种包解包以通过例如确定该包包括所请求的语音样本来处理该话音。在任何情况下,通信平台150、152和154根据IP电话向验证系统200提供打包后的数字音频样本。因此,认证服务器220的数字信号处理器223将包解包以获得话音样本,将解包后的话音样本与存储在access数据库210的语音样本部212中的语音信息进行比较。
话音信号是典型地非常复杂的呼叫方、背景和传输环境的函数。因此,基于从所谓的“训练”话音样本提取的说话者特征,所存储的音频样本可以是说话者的随机模型。语音特征可以包括个体语音的基音周期、节奏、语调、频谱幅度、频率和带宽。可以从ScanSoft Inc.of Peabody,MA或从Nuance of Menlo Park,CA获得典型的预打包语音识别软件工具。
如果解包后的音频样本与所存储的语音样本信息匹配,则证明了呼叫方。关于此,解包后的数字音频样本不需要准确地与所存储的音频样本匹配;相反,可以提供参数以判断何时发生匹配。例如,可以基于打分系统对呼叫方的身份进行认证。如果对于例如基音、基音范围、发音、口音等的不同种类中的每一个,匹配的置信度是98%,则可以认证呼叫方。
日志产生器224存储与认证尝试相关的信息。日志产生器产生之后可用于支持审核工作的包括呼叫和语音信息的信息。例如,日志产生器224可以存储表示通信平台150、152或154希望识别哪个人的信息,例如“John Smith,(703)555-1212”或“John Smith,账号111-22-3333”。日志产生器224还可以存储来自接收到的IP电话包的语音信息以保证保存了由请求被认证的呼叫方所提供的语音样本的记录。将来自日志产生器224的信息存储在access数据库210的会话信息部214中。
图3示出使用集中式生物测量认证对个体呼叫方进行认证的典型方法。当用户在S301中拨打服务号码以获得通信平台150、152和154中的一个所提供的服务时,该处理开始。在S302中,交换机105产生“Call_Forward(发送呼叫)”询问以从控制点115获得处理指令。在S304中,控制点115指示交换机105向通信平台150、152或154前转呼叫。在S305中,在呼叫方和通信平台150、152或154之间建立连接。
根据脚本呼叫流程在S310中处理呼叫。尤其是,通信平台150、152或154跟随预定脚本,请求来自呼叫方的信息。可以根据呼叫方所提供的信息对脚本逻辑进行分支。作为例子,脚本可以包括例如“如果您希望请求取消,请按1,如果您希望与客户服务代表会话,请按2”的指令。
在S320中,脚本到达通信平台150、152或154确定需要联系验证系统200来验证呼叫方的地方。在S326中,通信平台通过可以根据包交换协议进行数据通信的包交换网络联系验证系统200。例如,通信平台150、152或154可以发送会话初始请求以请求验证系统200的服务。在S347中,验证系统200指示通信平台150、152或154从呼叫方获得话音样本。例如,验证系统200可以指示通信平台150、152或154请求呼叫方读出短语,例如,“A-B-C-D-E-F-G”。在S348中,通信平台150、152或154从呼叫方获得语音样本,将IP电话包中的语音样本提供给认证服务器220。
在S352中,认证服务器220通过处理接收到的语音样本并根据最小得分或可能性判断是否可证实呼叫方是所希望的个体,来进行认证判断。验证系统200通知通信平台150、152或154认证决定,在S353中,通信平台150、152或154被通知了认证决定。在S354中,通信平台150、152或154根据脚本完成呼叫。如果呼叫方没有被认证为所希望的个体,可以通知呼叫方联系客户服务代表。因此,验证系统200保证不向冒名顶替者提供保密信息或决定权。
图4示出使用集中式生物测量认证的通信平台150的典型操作方法。处理开始之后,应答来自通信平台150、152或154的呼入,并在S410中根据脚本化呼叫流程处理该呼叫。在S420中,处理联系验证系统200的指令。在S426中,通信平台150、152或154向验证系统200发送请求以开始认证处理。该请求包括验证系统200用来判断请求者是否有效的请求者的信息。
在S427中,通信平台150、152或154接收表示请求者是否有效的响应。在S428中,通信平台150、152或154基于该响应判断请求者是否有效。如果判断为请求者无效(S428=否),则在S456中,指示呼叫方进行注册,给出注册信息,之后在S499中该处理结束。
如果判断为请求者有效(S428=是),则在S434中,指示呼叫方提供生物测量样本。例如,可以指示呼叫方说出特定的短语或发出一系列声音。可以指示呼叫方重复某个词。在S436中,通信平台150、152或154判断是否提供了生物测量样本。在S436中进行判断之前,该处理可以等待指定的时间,例如,10秒钟。如果没有接收到样本(S436=否),则在S457中指示呼叫方再次呼叫,在S499中该处理结束。如果在S436中接收到样本(S436=是),则在S437中通信平台150、152或154将样本打包,并将样本提供给验证系统200。
在S438中,通信平台150、152或154判断呼叫方是否被验证系统200授权。如果呼叫方没有被授权,则在S458中通知呼叫方失败,在S499中该处理结束。如果呼叫方被授权继续(S438=是),则在S450中通信平台150、152或154判断与验证系统200的会话是否已结束,或呼叫方是否需要来自验证系统200的另一个验证。如果与验证系统200的会话已经结束(S450=是),则在S459中继续呼叫流程直到该处理在S499中结束。然而,如果与验证系统的会话没有结束(S450=否),则在S460中通信平台150、152或154确定下一个需要进行的授权,随着使呼叫方提供生物测量样本的指令,在S434中重新开始该处理。
因此,验证系统200的功能用于授权呼叫方继续与通信平台150、152或154的交互。通信平台从呼叫方获得生物测量语音样本,将该样本打包,并将打包后的样本发送到验证系统200。
作为使用集中式生物测量认证的例子,具有智能外围通信平台150的银行可能希望在向呼叫方提供进行交易的信息或功能之前,获得呼叫方的身份的明确证明。因此,验证系统200可以属于例如电信服务供应商或甚至政府机构的第三方。验证系统200可以通过分析语音样本并将呼叫方的语音特征与所存储的银行客户的语音特征信息进行比较而向智能外围通信平台150提供验证,从而判断呼叫方是否是银行客户。因此,通过呼叫智能外围设备150,呼叫方可以获得例如帐户余额的信息。此外,可以授权呼叫方进行远程交易。因此,验证系统200使用在话音特征数据库210中的信息来验证个体呼叫方的身份。其结果是,银行不需仅因为呼叫方持有密码和帐号就对该呼叫方给予信任。
作为使用集中式生物测量认证的另一个例子,语音邮件通信平台152可能需要在允许呼叫方访问语音邮件之前对呼叫方进行验证。关于此,语音邮件系统可以要求对请求对全部语音邮件进行这种验证的用户进行这种验证。可选择地,语音邮件系统可以向留有语音邮件消息的呼叫方提供保证仅规定的个体接受方可以取得该语音邮件消息的选择。
图5示出验证系统200的典型操作方法。在S505中,验证系统200接收初始请求。初始请求可以包含表示呼叫方的声称的身份的信息。在S510中,验证系统200判断请求者是否有效。例如,验证系统200可以进行检查以判断要认证的个体是否已经预先注册。在S515,验证系统200通知通信平台150、152或154该询问是否识别了有效的主题。
在S520中,验证系统200判断是否从通信平台150、152或154接收到了打包后的语音样本。在S520中,例如,验证系统200可以在通知通信平台认证请求有效之后、在进行判断之前等待预定时间段。如果时间已到(S520=否),则验证系统在S550中超时,通知通信平台150、152或154该超时。出现超时之后,该处理结束。
如果接收到了打包后的语音样本(S520=是),则验证系统在S525中判断该样本是否可信。如果验证系统200证明呼叫方是正确的个体(S525=是),则在S530中通知通信平台,该处理结束。如果验证系统200不能证明呼叫方是正确的个体(S525=否),则在S540中通知通信平台呼叫方无效,该处理结束。
集中式生物测量认证的典型使用是作为由企业提供的服务。例如SBC Security可以提供通信平台150、152或154。SBCSecurity可以为金融机构提供认证服务。当金融机构的客户开设帐户时,引导他们使用SBC Security注册他们的生物测量信息。客户可以通过例如呼叫智能外围通信平台150注册,该智能外围通信平台150获得用于对验证系统200进行客户语音特征训练的、来自客户的初始语音特征信息。可以引导客户重复一系列短语,例如客户姓名。当客户随后需要获得认证以进行远程金融交易时,客户联系属于该金融机构的智能外围通信平台150。通信平台150、152或154指示客户提供打包后的生物测量语音样本,将其发送到验证系统200进行认证。
当然,集中式生物测量认证可以用于大量其它目的。如上所述,集中式生物测量认证可以用于在使呼叫方可以改变服务或进行交易之前认证呼叫方的身份。因此,集中式生物测量认证可以用在验证系统200的功能可以用于增强通信平台150、152或154的服务的任何环境中。
图6示出集中式生物测量认证的另一个典型的通信网络结构。在图6的实施例中,通过计算机网络将交易平台610和交易平台620各自连接到验证系统650。交易平台610和620可以在完全不同的网络上属于完全不同的公司。作为例子,各交易平台610和620可以是自动取款机(ATM)或接受信用卡的装置。
交易平台610包括生物测量输入接口612和交易接口614。交易接口614可以请求用户提供帐号和密码以及交易请求。生物测量输入接口612用于从用户获得生物测量信息。例如,生物测量输入接口可以是从用户获得指纹图像的指纹扫描器/触摸垫。与图1的实施例相同,生物测量输入接口可以是电话或其它语音通信装置。
在图6的典型实施例中,客户服务器615、625提供与图1的实施例中的通信平台150、152和154的功能相似的功能。客户服务器615、625处理来自用户的信息和请求。因此,将来自交易接口614、624的生物测量信息作为数据提供给客户服务器615、625。
当客户服务器615或625确定必须验证用户的身份时,交易平台610、620使用交易接口614、624指示用户提供生物测量输入。客户服务器615或625获取生物测量信息(例如,指纹图像或语音样本),并通过网络将其发送到验证系统650。
图6的实施例中,交易平台610处于具有客户服务器615的专用或虚拟专用网络中。类似地,交易平台620处于具有客户服务器625的专用或虚拟专用网络中。客户服务器615、625可以各自向大量交易平台提供服务和应用。例如,客户服务器615可以向多个自动取款机交易平台610提供服务和应用。此外,客户服务器625可以向例如设置在气泵上的信用卡读取器的多个信用卡读取器提供服务和应用。
客户服务器615、625确定在交易可以完成或向用户提供服务之前必须认证交易平台610、620的用户的身份。因此,客户服务器615、625指示交易接口614、624请求用户提供生物测量信息。例如,可以请求用户将其手指按压在作为生物测量输入接口612、622的手指扫描器屏幕上。可选择地,可以请求用户拿起电话听筒,说出指定的词语。
所提供的任何生物测量信息被客户服务器615、625打包后,发送到验证系统650。通过例如因特网的公共网络将打包后的生物测量信息通过路由器641、642路由到验证系统650。
验证系统650包括生物测量特征数据库654和认证服务器652。当信息是例如语音样本的语音生物测量信息时,验证系统650进行与验证系统200类似的分析。尤其是,验证系统650进行置信度检查以确定生物测量信息正确地识别作为特定个体的用户的概率。类似地,当信息是生物测量指纹图案时,认证系统650可以进行指纹分析。
验证系统650可以使用多种生物测量信息对大量客户提供服务。此外,验证系统650可以向大量客户系统和平台提供集中式生物测量服务。当然,如果被授权,验证系统650可以仅对一个客户提供集中式生物测量服务。
通过使用户预先注册,验证系统650首先从用户获得生物测量信息。关于此,用户第一次需要对服务注册生物测量信息时,可以指示用户直接联系被授权的注册主管,例如银行高级职员、用户雇主的代表或能证明用户进行了初始注册的任何其它人。在另一个实施例中,当用户第一次使信用卡或借记生效卡时,可以指示用户提供生物测量信息。在任何情况下,当随后需要识别用户时,生物测量信息用作用户的认证和识别密钥。
因此,验证系统650提供集中式服务以支持生物测量技术的使用,使得可以进行用户识别、认证和/或授权。虽然没有对各个类型的生物测量进行说明,生物测量信息可以包括语音、指纹、视网膜、基因、面部、手、手掌、笔迹、虹膜、体型几何技术和/或用于识别个体的任何其它识别特征。如上所述,可以要求尝试访问装置或系统的人在被允许访问系统、改变设置或进行交易之前,提供例如语音样本或指纹扫描的生物测量信息。此外,系统可以通过在数据库中找到最匹配的后选者而毋需知道该个体声明是谁地、盲目(即,无需假设该个体是谁的信息)地识别个体。换句话说,系统可以用于动态地发现或建立呼叫方的身份。可选择地,系统可以仅对用户关于用户所声明的身份的认识进行认证,从而仅将生物测量信息与对应于该身份的生物测量信息进行比较。
因此,使验证系统650集中化,使得可以使用人的生物测量特征信息进行人的身份的远程认证。如上所述,集中式验证系统650可以远程地识别出使用装置进行交易或获得服务的一方。集中式验证系统650通过公共包交换网络获得生物测量信息,因此可以对预定实体提供服务以识别其雇员或客户。
图7示出使用集中式生物测量认证对个体客户进行认证的典型方法。在S701中,客户向交易平台610的交易接口614提供例如信用卡或ATM卡的卡。例如,客户可以将卡插入指定的插卡口或通过读取卡上的磁条的卡读取器刷卡。在S702中,交易接口614将卡数据发送到客户服务器615。客户服务器615可以是例如属于银行的与大量交易平台610交互的集中式服务器。客户服务器615获得客户记录,确定可以向客户提供什么选项。
在S704中,客户服务器615向交易平台610提供处理指令。根据来自客户服务器615的处理指令,交易接口614向客户提供信息,并请求来自客户的信息。关于此,处理指令可以包括确定应当向客户呈现哪个信息的交互式脚本。例如,如果客户选择“提取现金”,则交易接口614可以向客户提供现金提取菜单。当然,交互式脚本可以嵌入有交易接口614,从而不需要由客户服务器615用处理指令提供。
在S720中,客户服务器615确定需要联系验证系统650。在S726中,客户服务器615联系验证系统650。在S747中,验证系统650指示交易平台610从客户获得生物测量样本。当然,当客户服务器615控制交易平台610时,可以向客户服务器615提供该指令。
在S748中,交易平台610从客户获得生物测量样本,将生物测量样本信息发送到验证系统650。尤其是,客户与生物测量输入接口612交互以提供生物测量样本,生物测量输入接口612处理该生物测量样本以取得生物测量样本信息。例如,客户可以将指尖按压到指纹扫描器以获得指纹的图像,在这种情况下,设置该图像信息设置作为生物测量样本信息。可选择地,客户可以按照引导向电话听筒或扬声器说话以提供打包后的语音信息作为生物测量样本信息。
在S753中,验证系统650判断生物测量样本信息是否可信,即,是否来自所希望的客户,并将结果通知交易平台610。在S754中,交易平台610依据验证系统650的授权决定根据交互式脚本完成交易。
根据图7所示的实施例,可以将使用ATM或信用卡机的客户单独地识别为例如使用信用而被授权进行交易的客户。当然,图7所示的功能可以用于识别任何地点的客户,只要使生物测量输入接口612可用即可。由于因特网的广泛使用,集中式验证系统650可以用于识别几乎任何地点的个体。
图8示出使用集中式生物测量认证的交易平台610的的典型操作方法。在S810中,交易接口614根据脚本化交互流程接收客户输入并与客户交互。在S820中,处理联系验证系统650的指令。在S826中,将初始验证会话的请求发送到验证系统650。在S827中,接收到对初始请求的响应。在S828中,判断S827中的响应是否表示请求者有效,即,使用集中式验证系统650进行了预先注册。
如果请求者无效(S828=否),则在S856中指示客户联系客户服务器,在S899中该处理结束。如果请求者有效(S828=是),则在S834中指示客户提供生物测量样本。在S836中,客户服务器615判断是否通过生物测量输入接口612接收到了样本。如果没有接收到样本(S836=否),则在S856中指示客户联系客户服务器,在S899中该处理结束。如果接收到了样本(S836=是),则在S837中将样本提供给验证系统650。在S838中判断验证系统650是否已通过使用生物测量样本认证客户而对交易提供了授权。如果接收到了授权(S838=是),则在S859中继续客户交互,直到在S899中结束。如果没接收到授权(S838=否),则在S858中通知客户识别失败,在S899中该处理结束。
因此,交易平台610可以用于使用集中式生物测量验证系统650来单独地识别客户。当然,不仅对ATM机或信用卡读取器设置交易平台610。此外,交易平台610可以包括作为交易接口614工作的个人计算机。此外,交易平台610可以包括作为个人计算机或其它个人网络装置的附件的生物测量输入接口612。关于此,支持IP电话的电话可以用作生物测量输入接口612以获得语音样本。例如,客户可以登录到作为客户服务器615工作的应用服务器,当客户尝试使用交易接口614进行交易时,客户服务器615可以请求客户认证。
此外,集中式验证系统650不限于仅用于金融交易。例如,集中式验证系统650可以用作监视假释者的家庭监视系统。关于此,如果假释者要遵守要求他在指定地址出现的假释规定,则可以通过使假释者联机到因特网、联系作为客户服务器615工作的监视服务器并根据请求提供生物测量语音样本来定时地验证假释者的个人出现。可以使用自动号码识别(ANI)或固定的IP地址验证客户的位置,可以使用生物测量样本验证假释者的身份。
因此,可以对必须远程认证个体身份的任何数量的环境设置验证系统650。可以在大量对应于客户服务器615、625的中间服务供应商的基础上设置验证系统650。例如,多个银行或其它金融机构可以订购验证系统650以保证可以认证客户。可选择地,验证系统650可以用于对与客户服务器615、625相对应的网站认证客户身份。网站可以在允许客户进行交易之前要求对客户进行生物测量认证。然而,如果个别企业必须单独提供这种服务,则他们可能发现提供生物测量认证的成本极其昂贵。集中式验证系统650允许大量客户和中间商进行远程身份认证,从而没有企业需要承担验证系统650的全部成本。当然,在某些情况下,验证系统650可以限于单个实体使用,例如大的电信服务提供商,而没有给实体造成不适当的负担。
因此,可以通过各种网络访问集中式生物测量验证系统200或650,包括传统的公共交换电话网络,高级智能网络,或例如因特网、无线网络的数据网络,或能够运载生物测量信息的任何其它网络。此外,生物测量信息可以包括语音信息、指纹或手掌信息、或可以输入到任何类型的生物测量输入接口的任何其它类型的生物测量信息。例如,生物测量输入接口可以包括电话、扬声器以及指纹或手掌扫描器。
此外,如上所述,如图1所示,可以通过交换网络提供生物测量语音样本。可以在通信平台将语音样本打包,并通过数据网络发送到验证系统进行识别/认证。因此,可以从几乎任何位置识别出个体,只要提供网络化的生物测量输入装置供使用即可。其结果是,可以以从前不可能的方式广泛地提供远程集中式生物测量认证。
当然,可以以不同的顺序执行或可以根本不执行图中所示的步骤。还可以通过集中式生物认证方法执行附加步骤。例如,图4的S410和S459各自可以包括呼叫方和通信平台150、152或154之间的各种交互。此外,代替在S456中指示呼叫者再次呼叫,该处理可以返回到S434以指示呼叫者提供另一个生物测量样本。此外,可以根据验证系统200的供应商认为可以接受的任何生物测量语音认证系统或方法,包括能够基于生物测量语音样本特征信息识别个体的最新开发的任何系统或方法,来识别和认证呼叫方。
虽然参考一些典型实施例说明了本发明,但是应当理解,所使用的词是说明和解释的词,而不是限制的词。根据上述说明并作为改进,在所附权利要求的范围内可以进行改变,而在各方面不脱离发明的范围和精神。虽然参考特定装置、材料和实施例说明了本发明,但是本发明不限于所公开的具体内容,相反,本发明扩展到全部在所附权利要求的范围内的功能等同结构、方法和使用。例如,代替使用IP电话打包,通信平台150、152或154可以使用多协议标签交换(MPLS)或用于包交换通信的任何其它标准对语音样本进行打包。
根据本发明的各种实施例,这里所说明的方法是指在计算机处理器上运行的软件程序进行的操作。包括但不局限于应用专用集成电路、可编程逻辑阵列和其它硬件装置的专用硬件工具可以同样用于实现这里所说明的方法。此外,包括但不局限于分布式处理或组件/目标分布式处理、并行处理、或虚拟机处理的可选软件工具也可以用来实现这里所说明的方法。
还应当指出,将这里所说明的本发明的软件工具可选择地存储在有形存储介质上,例如例如盘或带的磁性介质;例如盘的磁光或光介质;或例如安装有一个或更多只读(非易失性)存储器、随机存取存储器或其它可重写(易失性)存储器的存储卡或其它包的固态介质。将电子邮件的数字文件附件或其它自包含信息档案或档案组视为等同于有形存储介质的分布介质。因此,认为本发明包括这里所列的、包括技术认可的等同物及后续介质的有形存储介质或分布介质,其中存储这里的软件工具。
虽然本发明的说明书参考特定标准和协议说明了在实施例中所实现的组件和功能,但是本发明不限于这些标准和协议。用于信道网络传输(channeled network transmission)(例如,BRI、PRI)、包交换网络传输(例如,TCP、UDP、IP、VOIP、MPLS)和接口协议(例如,SR-3511)的标准中的每一个表示现有技术的状态的例子。这些标准周期性地被具有基本相同功能的更快或更有效的等同标准代替。因此,将具有相同功能的替代标准和协议视为等同物。
权利要求
1.一种集中式生物测量系统,其用于通过通信网络验证个体的身份,所述集中式生物测量系统包括存储器,其存储与识别个体的信息相关联的生物测量信息;接收器,其从通信装置和网络通信平台中的一个,接收来自正在尝试从所述通信装置和所述网络通信平台中的所述一个获得服务的一方的生物测量样本,所述服务是依据对作为所述个体的所述一方的认证来提供的;以及处理器,其将所述生物测量样本与所述生物测量信息进行比较以认证作为所述个体的所述一方的身份。
2.根据权利要求1所述的集中式生物测量系统,其特征在于,所述接收器从各自向多个个体提供服务的多个客户通信装置接收请求。
3.根据权利要求1所述的集中式生物测量系统,其特征在于,所述接收器从各自向多个个体提供服务的多个网络通信平台接收请求。
4.根据权利要求1所述的集中式生物测量系统,其特征在于,所述接收器通过因特网接收请求。
5.根据权利要求1所述的集中式生物测量系统,其特征在于,所述通信装置包括用于进行金融交易的交易平台。
6.根据权利要求1所述的集中式生物测量系统,其特征在于,所述通信装置包括由个体使用的用于进行金融交易的个人计算机。
7.根据权利要求1所述的集中式生物测量系统,其特征在于,还包括日志产生器,其产生与认证请求相关的信息的记录。
8.一种验证个体的身份的方法,其使用集中式生物测量系统通过通信网络验证所述个体的身份,所述方法包括存储与识别个体的信息相关联的生物测量信息;从通信装置和网络通信平台中的一个,接收来自正在尝试从所述通信装置和所述网络通信平台中的所述一个获得服务的一方的生物测量样本,所述服务是依据对作为所述个体的所述一方的认证来提供的;以及将所述生物测量样本与所述生物测量信息进行比较以认证作为所述个体的所述一方的身份。
9.根据权利要求8所述的验证个体的身份的方法,其特征在于从各自向多个个体提供服务的多个客户通信装置接收生物测量样本。
10.根据权利要求8所述的验证个体的身份的方法,其特征在于从各自向多个个体提供服务的多个网络通信平台接收生物测量样本。
11.根据权利要求8所述的验证个体的身份的方法,其特征在于,通过因特网接收所述生物测量样本。
12.根据权利要求8所述的验证个体的身份的方法,其特征在于,所述通信装置包括由公众使用的用于进行金融交易的交易平台。
13.根据权利要求8所述的验证个体的身份的方法,其特征在于,所述通信装置包括由个体使用的用于进行金融交易的个人计算机。
14.根据权利要求8所述的验证个体的身份的方法,其特征在于,还包括产生与认证相关的信息的记录。
15.一种计算机可读介质,其存储使用集中式生物测量系统通过通信网络来验证个体的身份的程序,所述计算机可读介质包括生物测量存储代码段,其存储与识别个体的信息相关联的生物测量信息;接收代码段,其从通信装置和网络通信平台中的一个,接收来自正在尝试从所述通信装置和所述网络通信平台中的所述一个获得服务的一方的生物测量样本,所述服务是依据对作为所述个体的所述一方的认证来提供的;以及比较代码段,其将所述生物测量样本与所述生物测量信息进行比较以认证作为所述个体的所述一方的身份。
16.根据权利要求15所述的计算机可读介质,其特征在于从各自向多个个体提供服务的多个客户通信装置接收生物测量样本。
17.根据权利要求15所述的计算机可读介质,其特征在于从各自向多个个体提供服务的多个网络通信平台接收生物测量样本。
18.根据权利要求15所述的计算机可读介质,其特征在于,通过因特网接收所述生物测量信息。
19.根据权利要求15所述的计算机可读介质,其特征在于,所述通信装置包括由公众使用的用于进行金融交易的交易平台。
20.根据权利要求15所述的计算机可读介质,其特征在于,所述通信装置包括由个体使用的用于进行金融交易的个人计算机。
21.根据权利要求15所述的计算机可读介质,其特征在于,还包括日志产生代码段,其产生与认证相关的信息的记录。
全文摘要
提供一种集中式生物测量系统(200),用于通过通信网络验证个体的身份。该系统包括存储器(210),其存储与识别个体的信息相关联的生物测量信息。该系统还包括接收器(221),其从通信装置(100/101/102)和网络通信平台(150/152/154)中的一个接收来自试图从通信装置和网络通信平台中的所述一个获得服务的一方的生物测量样本。依据对作为个人的一方的认证提供服务。该系统还包括处理器(223),其将生物测量样本与生物测量信息进行比较,以认证作为个体的一方的身份。
文档编号H04L9/08GK1969316SQ200580019939
公开日2007年5月23日 申请日期2005年7月28日 优先权日2004年7月30日
发明者布莱恩·M·诺伐克, 丹尼尔·拉里·麦德森, 帝莫锡·R·汤姆森 申请人:Sbc知识有限责任公司