【技术实现步骤摘要】
【国外来华专利技术】指纹的两步中央匹配
本专利技术涉及通过安全通信通道向网络节点登记用户的生物特征数据的方法和设备。本专利技术进一步涉及使得能够基于登记的生物特征数据对用户进行认证的方法和设备。
技术介绍
基于生物特征技术的识别是一种用户友好的方式来安全地验证人类用户。当在分布式系统中将其用于识别目的时,生物特征数据的一个主要问题是模板生物特征数据必须在识别最终用户的计算机系统中的节点处可用。这构成了分布式计算机系统中的主要安全设计挑战,因为这通常需要将原始的、明文的生物特征数据存储在中央节点并分布在系统中。这样的解决方案非常容易受到原始生物特征数据泄露的影响,并且在一个系统上受损的数据可能导致相同生物特征数据在所有其它系统上以及使用生物特征数据时受到损害的情况。简单地加密生物特征数据将无法解决此问题,因为在验证期间原始生物特征数据必须在远程位置可用。因此,需要提供允许基于生物特征识别进行远程认证但同时提供对原始生物特征数据的保护的解决方案。
技术实现思路
本专利技术的目的是解决或至少减轻本领域中的该问题,从而提供一种使得能够基于用户的生物特征数据在生物特征数据验证节点处对客户端设备的用户进行远程认证的改进方法。在本专利技术的第一方面,通过客户端设备执行的通过安全通信通道向网络节点登记客户端设备的用户的生物特征数据的方法来实现该目的。该方法包括捕获用户的生物特征数据,使用与要在其处认证用户的任何其它客户端设备共享的第一特征转换密钥将生物特征数据转换为第一组转换的生物特征数据,生成第二特征转换密钥,使用第二特征转换密钥将生物特征数据转换为第二组转换的生物特征数据,并使用与要在其处对...
【技术保护点】
1.一种由客户端设备(100)执行的通过安全通信通道向网络节点(300)登记所述客户端设备的用户(200)的生物特征数据的方法,包括:捕获(S101)所述用户(200)的所述生物特征数据;使用与任何其它客户端设备(500)共享的第一特征转换密钥,将所述生物特征数据转换(S102)成第一组转换的生物特征数据,其中要在所述任何其它客户端设备处对所述用户(200)进行认证;生成(S103)第二特征转换密钥;使用所述第二特征转换密钥将所述生物特征数据转换(S104)成第二组转换的生物特征数据;使用与生物特征数据验证节点(400)共享的加密密钥加密(S105)所述第一和第二组转换的生物特征数据,其中要在所述生物特征数据验证节点处对所述用户(200)进行认证;使用与所述网络节点(300)共享的加密密钥加密(S106)所述第二特征转换密钥,其中要在所述网络节点处登记所述第一和第二组转换的生物特征数据;以及向所述网络节点(300)提交(S107)包括加密的第一和第二组转换的生物特征数据、加密的第二特征转换密钥以及用户简档数据的登记请求。
【技术特征摘要】
【国外来华专利技术】2017.11.29 SE 1751469-61.一种由客户端设备(100)执行的通过安全通信通道向网络节点(300)登记所述客户端设备的用户(200)的生物特征数据的方法,包括:捕获(S101)所述用户(200)的所述生物特征数据;使用与任何其它客户端设备(500)共享的第一特征转换密钥,将所述生物特征数据转换(S102)成第一组转换的生物特征数据,其中要在所述任何其它客户端设备处对所述用户(200)进行认证;生成(S103)第二特征转换密钥;使用所述第二特征转换密钥将所述生物特征数据转换(S104)成第二组转换的生物特征数据;使用与生物特征数据验证节点(400)共享的加密密钥加密(S105)所述第一和第二组转换的生物特征数据,其中要在所述生物特征数据验证节点处对所述用户(200)进行认证;使用与所述网络节点(300)共享的加密密钥加密(S106)所述第二特征转换密钥,其中要在所述网络节点处登记所述第一和第二组转换的生物特征数据;以及向所述网络节点(300)提交(S107)包括加密的第一和第二组转换的生物特征数据、加密的第二特征转换密钥以及用户简档数据的登记请求。2.根据权利要求1所述的方法,其中所述第一和第二组转换的生物特征数据的加密(S105)进一步包括:为所述第一和第二组转换的生物特征数据提供要由所述生物特征数据验证节点(400)验证的真实性。3.根据权利要求1或2所述的方法,其中所述第二特征转换密钥的加密(S105)进一步包括:为所述第二特征转换密钥提供要由所述网络节点(300)验证的真实性。4.一种由网络节点(300)执行的通过安全通信通道登记客户端设备(100)的用户(200)的生物特征数据的方法,包括:从所述客户端设备(100)接收(S107)登记请求,所述登记请求包括所述用户(200)的加密的第一和第二组转换的生物特征数据、加密的第二特征转换密钥以及用户简档数据,所述第一组生物特征数据已经被用第一特征转换密钥转换,所述加密的第二特征转换密钥已被用于转换所述第二组转换的生物特征数据;解密(S108)所述加密的第二特征转换密钥;生成(S109)用于所接收的第二特征转换密钥的用户索引;存储(S110)所述第二特征转换密钥、所述用户简档数据和所述用户索引;以及向生物特征数据验证节点(400)提交所述加密的第一和第二组转换的生物特征数据、所述用户简档数据和所述用户索引。5.一种由生物特征数据验证节点(400)执行的通过安全通信通道登记客户端设备(100)的用户(200)的生物特征数据的方法,包括:从被配置成与所述客户端设备(100)通信的网络节点(300)接收(S111)登记请求,所述登记请求包括所述客户端设备(100)的所述用户(200)的加密的第一和第二组转换的生物特征数据、用户简档数据以及与所接收数据相关联的用户索引,所述生物特征数据组已经被用所述生物特征数据验证节点(400)不可访问的特征转换密钥转换;解密(S112)所述加密的第一和第二组转换的生物特征数据;以及存储(S113)用于所述用户(200)的后续认证的所述第一和第二组转换的生物特征数据、所述用户简档数据和所述用户索引。6.一种由客户端设备(500)执行的使得能够基于生物特征数据通过安全通信通道使用网络节点(300)对所述客户端设备(500)的用户(200)进行认证的方法,包括:从所述网络节点(300)接收(S202)会话值;捕获(S203)所述用户(200)的所述生物特征数据;使用与已登记的生物特征数据的客户端设备(100)共享的第一特征转换密钥将所述生物特征数据转换(S204)成第一组转换的生物特征数据,其中要对照所登记的生物特征数据执行认证;使用与生物特征数据验证节点(400)共享的加密密钥加密(S205)所述第一组转换生物特征数据和所接收的会话值,其中要在所述生物特征数据验证节点处对所述用户(200)进行认证;使用与所述网络节点(300)共享的加密密钥加密(S206)所述会话值;向所述网络节点(300)提交(S207)加密的第一组转换的生物特征数据、两个加密的会话值和用户简档数据;接收(S216)至少一个加密的第二特征转换密钥和所述会话值的加密副本,其中所述至少一个第二特征转换密钥和所述会话值已经使用与所述网络节点共享的密钥被加密;解密(S217)所述加密的至少一个第二特征转换密钥和所述加密的会话值,并验证所解密的会话值与先前接收的会话值符合;使用与所述网络节点(300)共享的所述至少一个第二特征转换密钥将所述生物特征数据转换(S218)成至少一个第二组转换的生物特征数据;使用与所述生物特征数据验证节点(400)共享的密钥加密(S219)所述至少一个第二组转换的生物特征数据和所述会话值;以及向所述网络节点提交(S220)加密的至少一个第二组转换的生物特征数据和加密的会话值,其中所述网络节点(300)将所提交的数据转发至所述生物特征数据验证节点(400)以用于所述客户端设备的认证。7.根据权利要求6所述的方法,其中所述第一组转换的生物特征数据和所接收到的会话值的加密(S205)进一步包括:为所述第一组转换的生物特征数据和所接收的会话值提供要由所述生物特征数据验证节点(400)验证的真实性。8.根据权利要求6或7所述的方法,其中所述会话值的加密(S206)进一步包括:为所述加密的会话值提供要由所述网络节点(300)验证的真实性。9.根据权利要求6-8中任一项所述的方法,其中所述至少一个第二组转换的生物特征数据和所述会话值的加密(S219)进一步包括:为所述至少一个第二组转换的生物特征数据和所述会话值提供要由所述生物特征数据验证节点(400)验证的真实性。10.一种由网络节点(300)执行的使得能够基于生物特征数据通过安全通信通道使用生物特征数据验证节点(400)对客户端设备(500)的用户(200)进行认证的方法,包括:向所述客户端设备(500)提交(S202)会话值;从所述客户端设备接收(S207)所述用户的加密的第一组转换的生物特征数据、使用与所述客户端设备共享的密钥加密的会话值、用户简档数据以及使用在所述客户端设备和所述生物特征数据验证节点之间共享的所述密钥加密的所述会话值,所述第一组生物特征数据已经被用第一特征转换密钥转换并且使用在所述客户端设备和所述生物特征数据验证节点之间共享的密钥被加密;解密(S208)所接收的加密会话值并验证所解密的会话值与先前发送的所述会话值符合;提交(S209)所述加密的第一组转换的生物特征数据和用户简档数据、所述会话值和已经使用在所述客户端设备和所述生物特征数据验证节点之间共享的所述密钥加密的所述会话值;从所述生物特征数据验证节点接收(S212)与先前已在所述生物特征数据验证节点处登记并且匹配所提交的第一组转换的生物特征数据的至少一组转换的生物特征数据中的每一个相关联的用户索引,以及所述会话值;验证(S213)所述会话值与先前发送至所述生物特征数据验证节点的所述会话值符合;针对每个接收到的用户索引,取回(S214)先前登记的第二特征转换密钥:使用与所述客户端设备共享所述密钥加密(S215)所取回的至少一个第二特征转换密钥以及所述会话值;向所述客户端设备提交(S216)加密的第二特征转换密钥和会话值;从所述客户端设备(500)接收(S220)已经使用所述至少一个第二特征转换密钥转换的加密的至少一个第二组转换生物特征数据,以及所述会话值的加密副本,其中所述至少一个第二组转换的生物特征数据和所述会话值已经使用在所述客户端设备(500)和所述生物特征数据验证节点(400)之间共享的密钥被加密;向所述生物特征数据验证节点(400)提交(S221)所述加密的至少一个第二组转换的生物特征数据、所述会话值和加密的会话值;以及在所述生物特征数据验证节点将所述至少一个第二组转换的生物特征数据匹配到先前已经针对所述用户索引登记的至少一组转换的生物特征数据的情况下,从所述生物特征数据验证节点接收(S224)与所述至少一个先前登记的第二特征转换密钥中的每一个相关联的所述用户索引以及所述会话值,其中所述用户被认为是被认证的。11.根据权利要求10所述的方法,其中所取回的至少一个第二特征转换密钥和所述会话值的加密(S215)进一步包括:为所取回的至少一个第二特征转换密钥和所述会话值提供要由所述网络节点(300)验证的真实性。12.一种由生物特征数据验证节点(400)执行的使得能够基于生物特征数据通过安全通信通道对客户端设备(500)的用户(200)进行认证的方法,包括:从被配置成与所述客户端设备(500)通信的网络节点(300)接收(S209)加密的第一组转换的生物特征数据、会话值、已经使用与所述客户端设备(500)共享的密钥加密的会话值以及用户简档数据;解密(S210)所述加密的第一组转换的生物特征数据和加密的会话值,并验证解密的会话值与所接收的会话值符合;对解密的第一组转换的生物特征数据与先前已经针对所接收的用户简档数据登记的至少一组转换的生物特征数据进行匹配(S211);向所述网络节点(300)提交(S212)与存在匹配的先前登记的至少一组转换生物特征数据中的每个相关联的用户索引以及所述会话值;从所述网络节点接收(S221)加密的至少一个第二组转换的生物特征数据、加密会话值和所述会话值的明文副本;解密(S222)所述加密的至少一个第二组转换的生物特征数据和所述加密的会话值,并验证所解密的会话值与所述明文会话值符合;对所述解密的至少一个第二组转换的生物特征数据与先前已经登记的至少一组转换后的生物特征数据进行匹配(S223);以及向所述网络节点提交(S224)存在匹配的至少一个用户索引以及所述会话值,其中所述用户被认为是被认证的。13.一种客户端设备(100),其被配置成通过安全通信通道向网络节点(300)登记所述客户端设备的用户(200)的生物特征数据,所述客户端设备(100)包括生物特征数据感测系统(101),所述系统包括生物特征数据传感器(102)和处理单元(103),所述生物特征数据传感器(102)被配置成:捕获所述用户(200)的生物特征数据;以及所述处理单元(103)被配置成:使用与任何其它客户端设备(500)共享的第一特征转换密钥,将所述生物特征数据转换成第一组转换的生物特征数据,其中要在所述任何其它客户端设备处对所述用户(200)进行认证;生成第二个特征转换密钥;...
【专利技术属性】
技术研发人员:克里斯蒂安·格尔曼,史蒂文·波普,
申请(专利权)人:指纹卡有限公司,
类型:发明
国别省市:瑞典,SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。