允许基于生物识别数据在安全通信信道上进行客户端设备的用户的认证的方法和设备技术

在本发明专利技术的一个方面中，提供了一种网络节点(300)，其被配置成允许基于由客户端设备(100，500)捕获的生物识别数据进行客户端设备(100，500)的用户(200)的认证，其中，网络节点(300)接收对客户端设备(500)的用户进行认证的请求，该认证请求包括用户标识符，提取与用户标识符相对应的至少一个登记的经转换的生物识别数据集和秘密特征转换密钥，其中当在网络节点(300)处登记经转换的生物识别数据时利用秘密特征转换密钥对生物识别数据进行转换，并且通过安全通信信道向客户端设备(500)提交经转换的生物识别数据和秘密特征转换密钥。

Methods and devices that allow authentication of users of client devices over secure communication channels based on biometric data

In one aspect of the invention, a network node (300) is provided that is configured to allow authentication of a user (200) of a client device (100, 500) based on biometric data captured by a client device (100, 500), where the network node (300) receives a request for authentication of a user of a client device (500), including a user identifier, extraction and use. The user identifier corresponds to at least one registered converted biometric data set and secret feature conversion key, in which the converted biometric data is converted using the secret feature conversion key when registering the converted biometric data at the network node (300) and the converted biometric data and secret features are submitted to the client device (500) through a secure communication channel. Convert the key.

【技术实现步骤摘要】
【国外来华专利技术】允许基于生物识别数据在安全通信信道上进行客户端设备的用户的认证的方法和设备
本专利技术涉及允许基于生物识别数据在安全通信信道上进行客户端设备的用户的认证的方法和设备。
技术介绍
基于生物识别的识别是一种用于安全地认证人类用户的用户友好的方法。当在分布式系统中将生物识别数据用于识别目的时，利用生物识别数据的一个重要问题是模板生物识别数据必须在应该识别终端用户的计算机系统中的节点处是可用的。由于这通常需要将原始、明文生物识别数据存储在中央节点处并且分布在分布式计算机系统中，因而构成分布式计算机系统中的重要安全设计挑战。这种解决方案非常容易受原始生物识别数据折衷的影响，并且在一个系统上折衷的数据可能导致如下情况：相同的生物识别数据还在使用该生物识别数据的所有其他系统上被折衷。由于在认证期间原始生物识别数据必须在远程位置处是可用的，简单地对该生物识别数据进行加密将不能解决这个问题。因此，需要提供允许基于生物识别远程授权并且同时提供对原始生物识别数据的保护的解决方案。
技术实现思路
本专利技术的目的是解决或者至少缓解本领域中的该问题，并且因此提供一种允许基于生物识别数据在安全通信信道上进行客户端设备的用户的认证的改进方法。在本专利技术的第一方面中，通过由客户端设备执行的、允许基于由客户端设备捕获的生物识别数据进行客户端设备的用户认证的方法来实现该目的。该方法包括：捕获用户的至少一个生物识别数据集；将至少一个生物识别数据集转换成不可逆的生物识别数据；并且通过安全通信信道向受信网络节点提交包括经转换的生物识别数据和用户标识符的登记请求。在本专利技术的第二方面中，通过被配置成允许基于由客户端设备捕获的生物识别数据进行客户端设备的用户认证的客户端设备来实现该目的。该客户端设备包括具有生物识别数据传感器和处理单元的生物识别数据感测系统。生物识别数据传感器被配置成捕获用户的至少一个生物识别数据集，并且处理单元被配置成将该至少一个生物识别数据集转换成不可逆的生物识别数据，并且通过安全通信信道向受信网络节点提交包括经转换的生物识别数据和用户标识符的登记请求。在本专利技术的第三方面中，通过允许基于由客户端设备捕获的生物识别数据进行客户端设备的用户认证的网络节点执行的方法来实现该目的。该方法包括：通过安全通信信道从客户端设备接收包括用户的至少一个经转换的生物识别数据集和用户标识符的登记请求；并且将接收到的经转换的生物识别数据、秘密特征转换密钥和用户标识符存储在安全终端用户储存库中，其中利用该秘密特征转换密钥生物识别数据在客户端设备处被转换。在本专利技术的第四方面中，通过被配置成允许基于由客户端设备捕获的生物识别数据进行客户端设备的用户认证的网络节点来实现该目的。该受信网络节点包括处理单元，该处理单元被配置成通过安全通信信道从客户端设备接收包括用户的至少一个经转换的生物识别数据集和用户标识符的登记请求，并且将接收到的经转换的生物识别数据、秘密特征转换密钥和用户标识符储存在安全终端用户储存库中，其中利用该秘密特征转换密钥生物识别数据在客户端设备处被转换。在本专利技术的第五方面中，通过允许由基于由客户端设备捕获的生物识别数据进行客户端设备的用户认证的网络节点执行的方法来实现该目的。该方法包括从客户端设备接收对客户端设备的用户进行认证的请求，该认证请求包括用户标识符；从安全终端用户储存库提取与从客户端设备接收的该用户标识符相对应的至少一个登记的经转换的生物识别数据集和秘密特征转换密钥，其中当在网络节点处登记经转换的生物识别数据时利用秘密特征转换密钥对生物识别数据进行转换；以及通过安全通信信道向客户端设备提交经转换的生物识别数据和秘密特征转换密钥。在本专利技术的第六方面中，通过被配置成允许基于由客户端设备捕获的生物识别数据进行客户端设备的用户认证的网络节点来实现该目的。该受信网络节点包括处理单元，该处理单元被配置成从客户端设备接收对客户端设备的用户进行认证的请求，该认证请求包括用户标识符；从安全终端用户储存库提取与从客户端设备接收的该用户标识符相对应的至少一个登记的经转换的生物识别数据集和秘密特征转换密钥，其中当在网络节点处登记经转换的生物识别数据时利用秘密特征转换密钥对生物识别数据进行转换；以及通过安全通信信道向客户端设备提交经转换的生物识别数据和秘密特征转换密钥。在本专利技术的第七方面中，通过允许基于在受信网络节点处登记的生物识别数据进行客户端设备的用户认证的客户端设备执行的方法来实现该目的。该方法包括：向受信网络节点提交对客户端设备的用户进行认证的请求，该认证请求包括用户标识符；从受信网络节点接收与利用授权请求提交的用户标识符相对应的至少一个经转换的生物识别数据集和秘密特征转换密钥，其中当在网络节点处登记经转换的生物识别数据时利用秘密特征转换密钥对接收到的生物识别数据进行转换；捕获用户的生物识别数据；利用接收到的特征转换密钥将该生物识别数据转换成不可逆的生物识别数据；并且将经转换的生物识别数据与从受信网络节点接收的至少一个经转换的生物识别数据集进行比较；以及如果存在匹配，则在客户端设备处认证用户。在本专利技术的第八方面中，通过被配置成允许基于在受信网络节点处登记的生物识别数据进行客户端设备的用户认证的客户端设备来实现该目的。该客户端设备包括具有生物识别数据传感器和处理单元的生物识别数据感测系统，该处理单元被配置成向受信网络节点提交对客户端设备的用户进行认证的请求，该授权请求包括用户标识符；以及从受信网络节点接收与利用授权请求提交的用户标识符相对应的至少一个经转换的生物识别数据集和秘密特征转换密钥，其中当在网络节点处登记经转换的生物识别数据时利用秘密特征转换密钥对接收到的生物识别数据进行转换。生物识别数据传感器被配置成捕获用户的生物识别数据。处理单元还被配置成利用接收到的特征转换密钥将生物识别数据转换成不可逆的生物识别数据，并且将经转换的生物识别数据与从受信网络节点处接收到的至少一个经转换的生物识别数据集进行比较，并且如果存在匹配，则在客户端设备处认证用户。简而言之，例如以智能手机形式实现的第一客户端设备例如利用指纹传感器来捕获用户的生物识别数据。然后，利用特征转换在智能手机处保护该生物识别数据并且利用将受保护的生物识别数据存储在安全中央储存库中的远程定位的受信网络节点安全地注册或登记该生物识别数据。随后，用户将在本地计算站即第二客户端设备处通过使计算站捕获用户的生物识别数据、保护捕获的生物识别数据以及将在计算站处的受保护的生物识别数据与先前利用受信服务器注册并且现在被发送至本地计算站的受保护的生物识别数据匹配来对自己进行认证。在成功认证时，用户将被准许访问本地计算站。有利地，用户的生物识别数据的明文拷贝不会离开智能手机或本地计算站。作为一种替选方案，作为一种使用他的/她的智能手机的替选方案，用户利用受信服务器经由计算站登记。在这种情况下，通过同一客户端设备来执行登记和认证两者。更详细地，智能手机捕获用户的生物识别数据并且利用适当的特征转换方案将捕获的生物识别数据转换成经转换的生物识别数据集。使用的转换方案应产生不可逆的经转换的生物识别数据，即对于攻击者而言，即使在访问到特征转换中使用的特征转换密钥和经转换的生物识别数据两者的情况下重建原始生物识别数据也应该是不可行本文档来自技高网...

【技术保护点】
1.一种由网络节点(300)执行的、允许基于由客户端设备(100，500)捕获的生物识别数据进行所述客户端设备(100，500)的用户(200)的认证的方法，包括：从所述客户端设备(500)接收(S106)对所述客户端设备(500)的用户进行认证的请求，所述认证请求包括用户标识符；从安全终端用户储存库(400)提取(S107)与从所述客户端设备(500)接收的所述用户标识符相对应的至少一个登记的经转换的生物识别数据集和秘密特征转换密钥，其中当在所述网络节点(300)处登记经转换的生物识别数据时利用所述秘密特征转换密钥对所述生物识别数据进行转换；以及通过安全通信信道向所述客户端设备(500)提交(S108)所述经转换的生物识别数据和所述秘密特征转换密钥，其中，在所述客户端设备(500)处将所提交的经转换的生物识别数据与在所述客户端设备(500)处捕获并且利用所述秘密特征转换密钥转换的生物识别数据进行比较，并且如果存在匹配，则所述用户被认证。

【技术特征摘要】
【国外来华专利技术】2017.07.27 SE 1750964-71.一种由网络节点(300)执行的、允许基于由客户端设备(100，500)捕获的生物识别数据进行所述客户端设备(100，500)的用户(200)的认证的方法，包括：从所述客户端设备(500)接收(S106)对所述客户端设备(500)的用户进行认证的请求，所述认证请求包括用户标识符；从安全终端用户储存库(400)提取(S107)与从所述客户端设备(500)接收的所述用户标识符相对应的至少一个登记的经转换的生物识别数据集和秘密特征转换密钥，其中当在所述网络节点(300)处登记经转换的生物识别数据时利用所述秘密特征转换密钥对所述生物识别数据进行转换；以及通过安全通信信道向所述客户端设备(500)提交(S108)所述经转换的生物识别数据和所述秘密特征转换密钥，其中，在所述客户端设备(500)处将所提交的经转换的生物识别数据与在所述客户端设备(500)处捕获并且利用所述秘密特征转换密钥转换的生物识别数据进行比较，并且如果存在匹配，则所述用户被认证。2.根据权利要求1所述的方法，其中，与从所述客户端设备(500)接收到的所述用户标识符相对应的多个登记的经转换的生物识别数据集被从所述安全终端用户储存库(400)中提取(S107)并且被提交(S108)至所述客户端设备(500)。3.根据权利要求1或2中任一项所述的方法，还包括：从所述客户端设备(500)接收(S111b)至少一个经数字签名的经转换的生物识别数据集；验证(S111c)所述至少一个经数字签名的经转换的生物识别数据集；并且如果验证成功：向所述客户端设备(500)提交(S111d)认证授权。4.根据权利要求1至3中任一项所述的方法，还包括：将存储在所述安全终端用户储存库(400)中的每个经转换的生物识别数据集与索引号相关联，其中，与从所述客户端设备(500)接收到的所述用户标识符相对应的多个经转换的生物识别数据集的提交(S108)还包括：提交与每个经转换的生物识别数据集相关联的所述索引号，其中，从所述客户端设备(500)接收(S111b)的至少一个经数字签名的经转换的生物识别数据集还包括：接收用于每个经数字签名的经转换的生物识别数据集的索引号；以及验证所述至少一个经数字签名的经转换的生物识别数据集(S111c)还包括：验证从所述客户端设备(500)接收到的每个索引号是否与先前提交的用于每个经转换的生物识别数据集的对应索引号相符。5.一种由网络节点(300)执行的、允许基于在受信网络节点(300)处登记的生物识别数据进行客户端设备(500)的用户(200)的认证的方法，包括：向所述受信网络节点(300)提交(S106)对所述客户端设备(500)的所述用户(200)进行认证的请求，所述认证请求包括用户标识符；从所述受信网络节点(300)接收(S108)与利用所述认证请求提交的所述用户标识符相对应的至少一个经转换的生物识别数据集和秘密特征转换密钥，其中当在所述网络节点(300)处登记所述经转换的生物识别数据时利用所述秘密特征转换密钥对接收到的所述生物识别数据进行转换；捕获(S109)所述用户(200)的生物识别数据；利用接收到的所述特征转换密钥将所述生物识别数据转换成(S110)不可逆的生物识别数据；以及将所述经转换的生物识别数据与从所述受信网络节点(300)接收到的至少一个经转换的生物识别数据集进行比较(S111)；并且如果存在匹配在所述客户端设备(500)处(S112)认证所述用户。6.根据权利要求5所述的方法，其中，多个经转换的生物识别数据集被从所述受信网络节点(300)接收(S108)并且与在所述客户端设备(500)处转换的生物识别数据进行比较，其中，如果在所述客户端设备处转换的生物识别数据与从所述受信网络节点(300)接收到(S108)的每个经转换的生物识别数据集匹配，则所述用户被认证(S112)。7.根据权利要求5或6所述的方法，还包括：对存在匹配的至少一个接收到的经转换的生物识别数据集进行数字签名(S111a)；向所述受信网络节点(300)提交(S111b)经数字签名的所述生物识别数据；在所述受信网络节点(300)成功地验证经数字签名的生物识别数据的情况下，从所述受信网络节点(300)接收(S111c)认证授权，其中，所述用户在所述客户端设备(500)处被认证。8.根据权利要求7所述的方法，其中，与从所述客户端设备(500)接收到的所述用户标识符相对应的多个经转换的生物识别数据集的接收(S108)还包括：接收与每个经转换的生物识别数据集相关联的索引号，并且其中，至少一个经数字签名的经转换的生物识别数据集的提交(S111b)还包括：提交每个经数字签名的经转换的生物识别数据集的所述索引号。9.根据前述权利要求中任一项所述的方法，其中，请求认证的所述客户端设备(500)不同于请求登记的所述客户端设备(100)。10.一种网络节点(300)，被配置成允许基于由客户端设备(100，500)捕获的生物识别数据来进行所述客户端设备(100，500)的用户(200)的认证，所述受信网络节点(300)包括处理单元(301)，所述处理单元(301)被配置成：从所述客户端设备(500)接收对所述客户端设备(500)的用户进行认证的请求，所述认证请求包括用户标识符；从安全终端用户储存库(400)提取与从所述客户端设备(500)接收到的...

【专利技术属性】
技术研发人员：克里斯蒂安·格尔曼，
申请(专利权)人：指纹卡有限公司，
类型：发明
国别省市：瑞典,SE