专利名称:保存生物信息完整性的生物标识设备的制作方法
发明的背景1、发明的领域本发明涉及安全系统领域,具体来说本发明涉及使用生物信息的确认和访问安全性。
2、相关技术的描述生物信息通常被用来唯一地标识个体,例如用指纹、视网膜图案、和声谱等。如
图1所示,可以利用一个电的访问系统100,从个体读出110生物数据101,比较140编码的生物标识设备111与规定的个体的生物信息的数据库130,并且,如果发现匹配141,则授权访问150。
和其它的安全系统相比,基于生物学的安全系统具有更大的固有安全性,其原因在于伪造或仿制的困难。和使用标识卡和需要手动输入个人标识号(PIN)的安全系统相比,基于生物学的安全系统还具有更加容易的固有使用性。随着技术的进展,自动出纳机(ATM)可能会配备能够读出个体的指纹的指纹垫,基于这个指纹的标识,有可能授权访问个人的银行帐目。可以设想,这个设备将包括一种装置,这个装置用于区分来自模拟生物数据101’的生物数据101与例如来自指纹的造型复制品的数据。按另一种方式,ATM可以配备视网膜扫描设备,因为视网膜图案的仿造更加困难,生物数据的获得更加困难。
不幸的是,对于基于生物学的安全系统有优点的生物信息的特征也是利用基于生物学的安全系统的特征,而基于生物学的安全系统是有严重问题的。例如,考虑利用上述的电的指纹读出设备。为了获得商业成功,这些设备必须能够迅速可靠地读出并编码指纹。它们迅速获取指纹信息的能力对于想要暗中收集这个生物信息的坏分子是颇具吸引力的。这样一个坏分子例如可能用一个指纹收集设备115替换电梯的呼叫按钮,以收集120每个人的指纹,或者选择使用电梯的人。按另一种方式,这个坏分子可能通过违反安全设备100的安全性并记录编码的信号111来拷贝生物信息的编码。个体的编码的生物信息111的每次通信,都将增加坏分子获得这个信息的可能性。这个坏分子因为具有另一个个体的指纹的记录的编码,所以他可能破坏这个安全设备100的实际安全性,在111’插入另一个个体的指纹,并且获得一次未被授权的访问。虽然这个未被授权的访问可能需要破译实际的安全设备100,但它不需要侵犯个体的安全性,例如一个对个人信用卡的偷窃,因此很少有立即发现的。
现在考虑由于生物信息的另一个属性(唯一性和不变性)引起的困难。一个个体的指纹对于这个个体来说是唯一的,不可能改变。当一个个人信用卡被偷,这个个人只能取消这个被偷的卡并且获得一个新卡;在妥善处理个人的PIN时,这个人只能选择另一个号码。开始段的未被授权的访问可能会引起损失,但通过使非法的信息作废无效可免去未来的损失。使非法的信息作废无效的方法是向安全当局宣告这个信用卡或PIN终止,阻止根据这个信用卡或PIN的再次授权。然而,当一个人的生物信息被偷时,这个人就不可能实现补救措施。这个个体和安全当局唯一能作的选择就是通过宣告这个生物信息终止、并且禁止使用这个生物信息进行访问控制来使这个生物信息作废无效。因此,迫使他的生物信息已经终止的每个个体重新回到更加传统的标识措施,如卡或PIN。这就是说,一旦坏分子开发了新的措施通过拷贝生物信息可以破译生物安全系统,使用生物信息进行安全的访问和确认变得越来越不切实际。
本发明的这些目的和其它目的是通过提供一种标记设备(tokendevice)实现的,所说的标记设备与一个个人生物信息结合使用,用于确认和访问安全。这个标记设备包含一个密钥,这个密钥是使用用户的生物信息加密的。这个安全系统使用一种可靠的询问-应答方案与标记设备通信的。标记设备要求存在来自个人的生物信息,以便与安全系统一起可靠地操作,其中使用生物信息解密在这个安全系统中使用的上述密钥。于是,只在标记传递到安全系统同时生物信息传递到标记的条件下,才授权访问。或者标记不存在,或者生物信息不存在,都禁止访问。
除了需要生物信息和标记,这两者增加了安全性以外,按照本发明的安全系统不将这个生物信息通信到安全系统。进而,按照本发明,如果没有标记,生物信息的拷贝是无用的,并且,只作废破译的标记可使生物信息和标记这两者的安全性都损失的效果减至最小。
附图的简要说明图1表示现有技术的访问安全系统的示例性方块图;图2表示按照本发明的访问安全系统的示例性方块图;图3表示按照本发明借助于私人的密钥的加密启动一个标记的示例性的流程图;图4表示按照本发明的一个访问安全系统的示例性的流程图。
本发明的详细描述图2表示按照本发明的访问安全系统的示例性方块图。这里所用的术语“访问”具有最普通的含义,包括访问位置、目标、和信息,以及一个个体的确认结果,如一个记录中的一项。安全系统包括由个人携带的一个安全标记200和与标记200相互作用以确认这个个体是一个授权的用户的访问设备300。
图2的举例的访问设备300是一个常规的询问应答型确认设备。在这个例中,访问设备300使用了一个非对称的、双重密钥(公共/私人)的、加密系统。如在本领域中通用的,在一个双重密钥系统中,使用这一对密钥中的一个密钥加密的数据能够用这对密钥中的另一个密钥解密。为方便起见,这里使用字母U和V分别区别一个双重密钥对中的公共密钥和私人密钥。示例性访问设备300包括一个随机数发生器310、一个确认解码器320、一组授权用户的公共密钥330、一个比较器340、和一个访问锁350。访问设备300作为一个询问传递一个随机数R311,并且响应于这个询问接收随机数R311的加密E(R、V)251。随机数R311的加密E(R、V)251是基于密钥V241的加密。如下面将要讨论的,如果授权的用户是这个标记的当前用户,密钥V241将是这个授权用户的私人密钥。确认解码器320利用这个授权用户的公共密钥U331解密随机数R311的加密E(R,V)311。如果解密的结果D(E(R,V),U)321与传递到标记200的随机数311相等,则断定是匹配341的,并且授权访问250。这就是说,只有在访问设备300上使用对应于公共密钥U的授权用户的私人密钥V加密随机数R311,才授权访问。
在图2中还表示出一个任选的散列设备H255、355,用于附加的安全。确认加密器250不是直接加密随机数R311,而是加密来自散列设备255的随机数R311的散列编码H(R)256。在这个可以选择的实施例中,确认加密器250向访问设备300传递加密的响应E(H(R),V)251。以类似的方式,散列设备355利用相同的散列函数H向比较器340提供随机数R311的散列编码H(R)356。比较器340比较散列编码H(R)356与解密的结果D(E(H(R),V),U)321,以便基于这些散列编码356、321的匹配341确定访问状态。只在散列编码356、321匹配的条件下才授权访问。为清楚起见,并且为了容易理解,下面的详细描述针对的是随机数R311的加密和解密,而不经过随机数R311的上述的任选的散列编码256、356。基于以上的对于使用任选的散列设备255、355的实施情况的详细描述,将散列编码256、356适当替换成随机数R311对于本领域的普遍技术人员来说是显而易见的。
按照本发明,将授权用户的私人密钥V241以加密的形式230存储在标记200中。授权用户的私人密钥V的加密E(V,B)230是基于对应于授权用户的生物加密密钥B211。示例性的标记200包括生物传感器210、一次性生物加密器220、存储器230、生物解密器240、确认加密器250。标记200还包括一个任选的标记标识码290。
在图2的示例性的标记200中,加密的密钥E(V,B)是对称加密的,其中使用相同的密钥B211来加密和解密这个密钥V。当标记200初次发给授权用户时,将这个授权用户的私人密钥V202输入到一次性生物加密器220,同时,授权用户向标记200提供生物数据201,例如通过用一个手指握住标记的生物传感器210。在这里使用的术语生物加密器和生物解密器是为了区分加密器220和本发明中的其它加密器和解密器;形容词“生物的“只是为了表示为了加密和解密使用的密钥的出处来源。一次性生物加密器220利用来自生物传感器210的授权用户的编码的生物密钥B211,这个加密密钥E(V,B)存储在存储器230中。在一个优选实施例中,用户的私人密钥V202是在加密后立即破坏掉的。
与这个私人密钥V202对应的授权用户的公共密钥U203存储在访问设备300的授权用户公共密钥数据库330中。在一个优选实施例中,访问设备300包含保护措施,从而可以保证,只有授权用户的公共密钥才能进入这个数据库330。例如,如果从一个远处的位置将授权用户的公共密钥传递到访问设备300,则利用在本领域中通用的认证系统来接收这些由权威当局用数字方式签发的唯一的密钥。和这个公共密钥U相关的或者是用户的标识,或者是标记的标识,或者是这两者。例如,为了访问ATM,要使公共密钥U与特定用户的银行帐号相关联,或者与用户的社会安全号相关联,或者与用于标识用户的某些其它数据相关联。为使用户不太需要经单独的过程提供这种标识,示例性的标记200包含一个标记标识码290,标记标识码290标识访问设备300的用户或用户标记。由标记标识码290提供的标识291可以是用户的银行帐号、用户的社会安全号、或与数据库330中的用户有关的其它号码。
生物传感器210将标记200的当前用户的生物度量值201转换成编码形式B211,这个编码形式B211适于用作为私人密钥V202加密的一个对称的密钥。如在密码领域公知的,某些形式的信息比其它的信息更有利于保密,把信息从一种原始的形式转换成可用作加密密钥的一种优选形式的技术通常是可以得到的。在优选实施例中,使用一个散列函数产生用于普通的加密算法的生物密钥B211,如DES或3重DES等。在优选实施例中,生物密钥B211的特征是生物密钥B211是提供解密的密钥V241的唯一密钥,所说解密的密钥V241等同于来自存储的加密E(V,B)的私人密钥V202。如果使用一个散列函数,则生物密钥211也具有期望的特征从密钥B211导出原始的生物数据201实际上是不可能的。值得注意的是,生物加密器220不必留在标记200内;它可以是一个外部的加密器,这个加密器从生物传感器210或一个不同的生物传感器210’接收生物密钥B,并且向标记200的存储器230提供加密的密钥E(V,B)。
当用户期望经过访问设备300访问时,用户要向访问设备300出示标记200,以便进行上述的询问应答程序。其生物学特征201形成用来加密私人密钥V202的用户在这里称之为标记200的授权用户。当授权用户向生物传感器210提供生物学特征时,例如在一个指纹传感器上加一手指,生物加密器240解密已加密的私人密钥E(V,B)230,并且产生私人密钥V241。当授权用户在存在访问设备300的情况下操作标记时,确认加密器250使用私人密钥V241加密询问的随机数R311,所说的私人密钥V241对应于存储在授权用户的公共密钥数据库330中的公共密钥U331。访问设备300中的解密器320解密来自标记200中的加密器250的应答E(R,V)251,并且从中产生解密的结果R321。只在利用私人密钥V241加密应答E(R,V)251、所说的私人密钥V241对应于这个授权用户的公共密钥U331的条件下,解密的结果R321才与原始的随机数R311匹配。如果解密的结果R321与随机数R311匹配,则授权访问。
值得注意的是,如果例如由另一个人提供不同的生物学特征201,解密的密钥241将不是加密的私人密钥V,并且,解密的结果321将不是原来的随机数R311,因此将不授权访问。还要注意的是,标记200既不存储又不传递这个生物信息。为了获得访问,坏分子必然要偷窃标记,并且必然还要伪造生物学特征201或者生物加密密钥211。为了阻止这个行动,在优选实施例中,将标记200制造成一旦访问标记200的内部,必将破坏加密密钥230和所有形式的生物数据。如在本领域中通用的,可以使用物理的或电的装置来破坏标记200的内容。电的擦除装置例如包括在存储器230中使用可熔化的连接、易失性存储元件、和类似的装置。物理安全装置例如包括在标记200的封装破坏时释放的酸。
在发现安全性破坏时,例如,标记神秘失踪,只要从授权用户的公共密钥330的数据库中除掉公共密钥U331,就可以使这个标记作废无效。可以使用一对新密钥U’,V’来将新标记发送给用户。在此之后,将可以使用一个新的包含加密密钥E(V’,B)的标记200’去访问包含公共密钥U’的访问设备300,其条件只是,在访问时要给新的标记200’提供合适的生物学特征201以产生正确的生物密钥B211。于是,如图所示,按照本发明,在不会无效生物信息(201、B211)本身的情况下可以无效生物学特征信息的使用(通过被偷的标记200)。
可以按各种各样的形式实施标记200。例如,可以将指纹标记作成具有指纹传感器的一个手持式设备,用户将拇指放在这个传感器上就可以激励这个传感器,同时将标记对准访问设备、类似的库门开启工具、或其它类型的遥控器。类似地,标记可以是具有指纹传感器或换能器的ID卡形式。可以将一个视网膜扫描标记作成一个单片眼镜,用户将这个单片眼镜放在一只眼睛上,同时面对访问设备。可以将一个声谱标记作成一个麦克风。随着技术的进展,这样的标记可以埋在用户的皮肤下,例如使用用户的DNA作为生物学特征数据。本发明的这些和其他的实施对于本领域的普遍技术人员来说是显而易见的。
图3表示按照本发明利用一个私人密钥V的加密来启动标记的一个示例性的流程图。在410步,读出生物数据,例如利用指纹垫、视网膜扫描、声谱、等进行这种读出。收集和处理生物学特征的输入以产生对应于单个用户的一致性的和可重复的生物数据的技术和设备在本领域中都是通用的。在图3中表示的就是任选的散列编码方法,在420步,使用这个任选的散列编码方法从编码的生物信息产生生物密钥B。一般来说,生物读出器的分辨率都是按照编码的位数规定的。类似地,在430步的加密过程的密钥的大小也是按照密钥的位数规定的。密钥的位数决定了所提供的安全性的水平,这是因为破坏一个码的安全性的困难程度与密钥的位数成指数关系。优选地,生物信息所含的分辨率应足以产生至少和加密密钥的位数一样多的位数。模块420的散列和密钥产生函数实现的是从生物信息的位数到密钥的合适位数一种转换。任选地,如果优选的散列函数是不能实施的,则模块420通过截断或复制生物信息中的一些位来为密钥提供合适的位数。这就是说,例如,如果生物传感器产生64位的生物信息,并且,加密密钥是56位,则要从生物信息截去8位。如果在生物信息中存在有效位,则选择最低有效位(即最少的信息内容)作为要截去的位。类似地,例如,如果生物传感器产生40位的生物信息,并且,加密密钥是56位,则要复制16位生物信息,以产生生物加密密钥B所需的56位,或者说,将密钥B的16位设定为预定值。
与此相关地,在这460步,产生一个双重密钥对U、V。双重密钥对U、V的产生可以经过用于产生非对称的公共密钥/私人密钥的、任何数目的现有的算法。在430步,使用生物密钥B加密私人密钥V。在440步,在标记中存储基于生物密钥B,E(V,B)的私人密钥V的加密。在470步,向所有的每个安全设备公布对应于加密的私人密钥V的公共密钥U,这里所说的安全设备是用户打算经过包含加密密钥V的标记使用的那些设备。为了安全的目的,应该破坏私人密钥V和它的所有的复制品,如块450所示。
图4表示出用于按照本发明的一个访问安全系统的示例性的流程图。图4的访问安全系统包括一个标记500和一个访问设备600。方块510和520完成和以上讨论的方块410和420相同的功能。图4中使用和图2相比不同的数字,以便清楚表明图4中所示的私人密钥V的加密可以使用和标记200中使用的不同的部件,条件只是这些部件要能实现用户的生物度量值至相同的生物密钥B的相同转换。为了便于查证,就此而论,这时的用户称之为当前用户,因为还不知道这个用户是授权用户还是已经偷窃了标记的一个坏分子。当标记500的当前用户是授权用户时,通过方块510和520产生了生物密钥B;在当前用户不是授权用户时,由方块510和520产生一个不同的生物密钥B’。方块530代表授权用户的加密的私人密钥E(V,B)的上述存储。在540步,加密的私人密钥E(V,B)通过生物密钥B解密以产生私人密钥V。如果使用一个不同的生物密钥B’,在540步将产生一个不同的密钥V’。
当访问设备600发出一个如以下讨论的询问R631时,标记500在550步接收它,并且将其提供给加密方块560。加密方块560使用密钥V(或V’)加密这个询问R631,方块570向访问设备600发送加密E(R,V)或E(R,V’)。为了安全的目的,方块580要求迅速破坏私人密钥V的所有的拷贝和与生物学特征有关的所有的数据。实现这种破坏的方法例如是,快速清除已经保存有在510步读出的生物学特征、520步的散列的对称密钥B、540步的私人密钥V的任何寄存器等等。
访问设备600在610步接收一个用户的标识ID。例如用户将银行卡提供给ATM机,从而可以输入这个标识。在优选实施例中,在方决590,通过标记500提供这种标识,借此,用户不再需要携带标识卡和标记这两样东西。在收到一个用户标识时,访问设备600在620步通过产生一个随机数启动询问应答协议,并且在630步,将其发送到标记500,以此作为询问R631。在610步接收用户的标识ID,也启动一次授权用户数据库的查找,查找与已标识的用户有关的公共密钥U。如果用户标识ID没有对应的公共密钥U,方块540将产生一个零密钥U’。
响应于询问R,标记500返回询问R的加密。这个加密或者是E(R,V)(基于正确的私人密钥V的加密),或者是E(R,V’)(基于错误的密钥V’的加密,这个错误的密钥V’是在560步由不同的人员的生物密钥B’产生的)。在方块560,接收加密的应答E(R,V)或E(R,V’)。解密方块660将用户的公共密钥U加到加密的应答E(R,V)或E(R,V’)上。如果接收到前一个加密应答E(R,V),则解密方块660将产生一个解密的结果D(E(R,V),U),这个结果等于原始的询问R631。如果接收到后一个加密应答E(R,V’),则解密方块660将产生一个解密的结果D(E(R,V’),U),这个结果不等于原始的询问R631。在670步,解密的结果D(E(R,V),U)或解密的结果D(E(R,V’),U)与原始的询问R631比较,以便确定访问状态。如果在675步,解密的结果匹配原始的询问,则在690步授权访问;如果解密的结果不匹配原始的询问,则在680步拒绝访问。值得注意的是,如果例如在610步响应一个不正确的用户标识的过程中方块640提供了一个不正确的用户密钥U’,也要发生不匹配的情况。
因此,如通过图4的示例性的流程图可以看见的,只有生物密钥B匹配用来加密私人密钥V的原始生物密钥、并且私人密钥V对应于在这个访问设备中存储的公共密钥U时才授权访问。如果系统的安全性遭到了破坏,只要从授权用户的数据库中除去公共密钥U,就可以拒绝随后的访问。通过提供一组新的公共密钥/私人密钥通行字并且重复图3的过程,就可以实现随后的授权访问。
如以上所述,本发明的优选实施例包括高安全性的非对称的公共密钥/私人密钥和一个询问应答安全协议。如本领域的普遍技术人员显而易见的,可以使用复杂性较小的方法,当然,它所提供的安全性的水平也随之降低。例如,标记可以只包括用户的PIN的一个加密,并且可以构造这个标记,以便可以解密这个PIN并且将这个PIN直接传递到访问设备。这就是说,例如,这样一个标记可能代替用户在一个经过改进的可以接收从标记传递的PIN的传统的ATM机上敲击这个PIN。这样一个标记不会提供和优选的双重密钥实施例相同的安全性水平,但它比当前的键盘方法更可靠,因为它消除了坏分子通过观察用户的键盘敲击确定PIN的可能性。在这个示例性的低安全性和高安全性实施例之间的其它的安全措施对于本领域的普遍技术人员来说是显而易见的。
以上只说明了本发明的原理。因此,可以理解,本领域的普遍技术人员将能够设计出各种装置,这些装置虽然在这里没有明显地描述和表示,但它们实施的必然是本发明的原理,因此在本发明的构思和范围内。例如,不是经291向访问设备300提供用户或标记的标识,而是由访问设备300实现授权用户的公共密钥数据库330的穷举搜索,以确定在数据库330中的公共密钥U中的任何一个是否能实现原始随机数R311的解密。如果是,则授权访问,其中具有或者没有明显标识哪一个授权用户。类似地,一对密钥U、V可能与一组用户相关,而不是和每个单个用户相关。在这个例子中,这个组内的每个用户具有一个标记,这个标记包含同一个私人密钥V的加密,但每个加密都基于每个用户的生物信息。还有,生物信息不必对于每个用户都是唯一的。例如,生物信息可以只是一个血型,并且,具有这个血型的任何一个人都可以使用相同的标记。例如,这种标记可以用来防止错误的输血。或者,例如,这种标记可以用来授权或拒绝基于另一个特征(例如性别、年龄、如此等等)的访问。
这里讨论的特定实施例只是为了说明的目的。如本领域的普遍技术人员显而易见的,可以用硬件、软件、或二者的组合来实施标记200和访问设备300的各个部件。标记200和访问设备300内的功能方块的分割和位置都可根据需要或期望调节。例如,授权用户的公共密钥数据库不必与访问设备一起定位。数据库可以定位在万维网,解密器320经web网页访问来检索用户的公共密钥U。就授权用户公共密钥数据库的数据的输入而论,在优选实施例中,授权用户的公共密钥的通信也是经本领域中通用的认证系统确认的。访问锁350可以远距离定位,或者根本没有。例如,访问设备300可以是在一个警卫单位的设备,其中的匹配341提供只由供警卫研讨的一个绿灯显示的访问状态。
本发明的其它应用对于本领域的普遍技术人员来说也是显而易见的。标记200还可以包括一个位置标识器,例如一个GPS设备,并且,利用访问设备300跟踪每个个体的位置。通过来自比较器340的不匹配信息,立刻就可以探测出抛弃标记200避免跟踪的企图。类似地,可以利用标记的一种组合来表示一种安全性状态,例如在一个区域内无论何时存在一个囚犯的标记就有一个和警卫标记的组合。
权利要求
1.一种安全标记(200),包括一个生物传感器(210),它根据一个当前用户的一个生物度量值提供安全标记(200)的当前用户的第一生物密钥(211);一个存储元件(230),它存储一个第二密钥(202)的加密(E(V,B)),加密(E(V,B))是基于授权用户的第二生物密钥(211);和一个生物解密器(240),按可操作方式耦合到生物传感器(210)和存储元件(230),用于解密安全标记(202)的加密(E(V,B)),借此产生解密的安全密钥(241),当第一生物密钥(211)等效于第二生物密钥(211)时,这个解密的密钥(241)等于安全密钥。
2.权利要求1的安全标记(200),其特征在于进一步包括一个确认加密器(250),它按可操作方式耦合到生物解密器(240),用于解密一个询问的参数(311),从而可以产生一个基于解密的安全密钥(241)的应答参数(311)。
3.权利要求2的安全标记(200),其特征在于进一步包括一个标记标识令器(290),用于提供与授权用户相关的标识(291)。
4.权利要求1的安全标记(200),其特征在于进一步包括一个标记标识器(290),用于提供和授权用户相关的标识(291)。
5.权利要求1的安全标记(200),其特征在于生物传感器(210),它基于当前用户的生物度量值的散列提供第一生物度量值(211)。
6.权利要求1的安全标记(200),其特征在于第二生物密钥(211)是一个对称密钥。
7.权利要求8的安全标记(200),其特征在于安全密钥(202)是一套非对称的密钥中的一个私人密钥,这套非对称的密钥包括至少一个私人密钥和至少一个公共密钥。
8.权利要求1的安全标记(200),其特征在于进一步包括一个一次性加密器(220),它基于第二生物密钥(211)产生安全密钥(202)的加密(E(V,B))。
9.一种安全系统,包括一个标记(200),标记(200)包括一个生物传感器(210),它根据一个当前用户的一个生物度量值提供安全标记(200)的当前用户的第一生物密钥(211);一个第二密钥(202)的加密(E(V,B)),加密(E(V,B))是基于授权用户的第二生物密钥(211);和一个生物解密器(240),用于解密安全标记(202)的加密(E(V,B)),借此产生解密的安全密钥(241),从而当第一生物密钥(211)等效于第二生物密钥(211)时,这个解密的安全密钥(241)等于第二生物密钥(211),并且当第一生物密钥(211)不同于第二生物密钥(211)时,这个解密的安全密钥(241)是一个错误的密钥;和一个访问设备,这个访问设备在按可操作方式耦合到标记(200)时基于解密的安全密钥(241)确定一个访问状态(271)。
10.权利要求9的安全系统,其特征在于访问状态(671)是一个认证当前用户是授权用户。
11.权利要求9的安全系统,其特征在于访问设备包括一个询问设备,它向标记(200)提供一个询问参数(311);和一个接收设备,它基于询问参数(311)和解密的安全密钥(241)从标记(200)接收应答参数(251);其中访问状态(671)是基于应答参数(251)确定的。
12.权利要求11的安全系统,其特征在于标记(200)进一步包括一个确认加密器(250),用于加密询问参数(311)以产生应答参数(251),加密(E(V,B))是基于解密的安全密钥(241)实现的。
13.权利要求12的安全系统,其特征在于安全密钥(202)是一对非对称的密钥中的第一密钥,并且,接收设备包括一个确认解密器(320),它解密应答参数(251)以产生一个解密的结果(321),解密是基于这对非对称的密钥中的一个第二密钥进行的;和一个比较器(340),比较解密的结果(321)与询问参数(311)以确定访问状态(671)。
14.权利要求13的安全系统,其特征在于进一步包括一个授权用户密钥数据库(330),从这个数据库(330)确定对应于授权用户的这对非对称的密钥的第二密钥。
15.权利要求14的安全系统,其特征在于标记(200)进一步包括一个标记标识令器(290),用于提供和授权用户对应的标识(291),并且从授权用户密钥数据库(330)确定对应于授权用户的这对非对称的密钥的第二密钥是基于与授权用户对应的标识(291)。
16.权利要求11的安全系统,其特征在于标记(200)进一步包括阻碍接近标记(200)的部件的一个封装,和用于当封装被破坏时至少破坏第二生物密钥(211)和安全密钥(202)的加密(E(V,B))之一的装置。
17.权利要求11的安全系统,其特征在于访问设备进一步包括一个随机数发生器(310),便于根据解密的安全密钥(241)确定访问状态(671)。
18.一种确定访问状态(671)的方法,包括如下步骤加密一个安全密钥(202),以便基于进入标记(200)的授权用户的第一生物密钥(211)产生一个加密的安全密钥(E(V,B));根据当前用户的生物度量值确定标记(200)的当前用户的第二生物密钥(211);解密已加密的安全密钥(E(V,B)),以便根据第二生物度量值产生一个解密的安全密钥(241);和根据解密的安全密钥(241)确定一个访问状态(671)。
19.权利要求18的步骤,其特征在于进一步包括如下步骤将一个询问参数(311)传递给标记(200),并且根据询问参数(311)和第二生物密钥(211)确定一个应答参数(251);和其中的确定访问状态(671)的步骤是基于应答参数(251)完成的。
20.权利要求19的方法,其特征在于安全密钥(202)是一对非对称的密钥中的第一密钥;确定应答参数(251)的步骤包括如下步骤基于第二生物密钥(211)加密询问参数(311);确定访问状态(671)的步骤包括如下步骤解密应答参数(251),从而可以根据这对非对称的密钥中的第二密钥产生一个解密的结果(321),并且比较解密的结果(321)和询问参数(311)以确定访问状态(671)。
全文摘要
通过使用标记设备便于利用生物信息进行确认和访问控制。标记设备包含基于授权用户的生物信息的密钥加密。安全系统与标记设备进行通信以确定标记的当前用户是否是一个授权用户。标记设备需要有来自授权用户的生物信息才能与安全系统一起可靠地操作,其中使用了生物信息来解密上述的密钥以使用在安全系统中。因此,授权访问的必要条件是:对于安全系统来说存在标记,同时对于标记来说存在生物信息。或者没有标记,或者没有生物信息,全都拒绝访问。按照本发明,如果没有标记,生物信息的拷贝是没有用的,并且,通过无效受到破坏的标记,可将破坏生物信息和标记这两者安全性的效果减至最小。
文档编号H04L9/08GK1297553SQ99805077
公开日2001年5月30日 申请日期1999年11月26日 优先权日1998年12月14日
发明者M·埃普斯坦 申请人:皇家菲利浦电子有限公司