[发明专利]使用安全生物测定模型的基于身份的对称密码系统

说明书

背景

领域

本发明各方面涉及密码系统，尤其涉及用于使用生物测定数据的基于身份的对称密码系统的系统、装置和方法，该基于身份的对称密码系统既提供安全数据传输又提供对传送的安全接入。

背景

传统基于口令的安全性系统一般包括两个阶段。首先——初始注册阶段，用户在该初始登记阶段期间选择口令，这些口令随后被存储在诸如认证服务器等认证设备上。其次——认证阶段，该阶段允许用户通过输入其口令——随后对照所存储的口令版本验证这些口令——来获得对资源的访问。然而，这样基于口令的安全性机制非常容易受到攻击。例如，如果口令被存储为未经加密的明文，则获得对系统的访问的敌方可获得系统中的每个口令。在此情形中，即使是敌方的单次成功的攻击都会危及整个系统的安全。另外，基于口令的计算机安全性系统易受到强力攻击，在这种强力攻击中所有可能性被搜索以解密口令，或者易受到字典攻击，在这种字典攻击中仅仅最可能成功的可能性(例如，从字典中的单词推导出的列表)被搜索。

另一涉及基于口令的安全性系统的问题在于：不要求口令是用户特有的，因为可在一个以上的个体/用户之间共享口令，这使得对于系统而言，难以知晓在任意给定时间点上谁拥有口令。因而，此类安全性系统中的认证是基于拥有权，由此对口令的拥有权足以建立用户真实性。这意味着口令不能提供必不可少的不可抵赖。

为了解决这些问题，传统口令系统已演化成实现加密。例如，使用加密或散列函数在登记阶段加密口令，并且在认证阶段，当用户输入候选口令时，该加密或散列函数被应用于候选口令，并且如果经加密的候选口令与在登记阶段所存储的经加密口令相匹配，则授予权限。此类经加密的口令没有向敌方提供益处，除非敌方拥有或具备关于加密或散列函数的知识。然而，敌方已显示出能够破解或另外解密加密代码的倾向，除非加密函数被认为是很强的。所谓“强的”加密代码——虽然它们可能防止破解——对于某些情形中的实现而言是过分昂贵、复杂和/或低效的。

近来，生物测定数据已被用作提供用户认证的手段。在生物测定安全性系统中，测量用户的物理生物测定特征以获得生物测定参数，这通常被称为观测。生物测定特征可包括但不限于指纹、眼相关的特征——诸如虹膜识别、其他面部识别特征、语音识别特征等等。然而，其中生物测定数据未被加密的传统生物测定安全性系统具有与传统的基于口令的系统相同的弱点。具体而言，如果数据库将未经加密的生物测定模板存储在中央数据库或用户设备中，则会使参数遭受攻击或误用。一旦生物测定参数被违法地定位，则敌方就能修改这些参数以匹配敌方的外貌或特性，从而获得未经授权的访问。另外，存在具有以人工方式输入的“伪装”生物测定数据。而且，与口令安全性不同，生物测定数据不是秘密，并且因此，一些生物测定数据，诸如指纹等，可被容易地伪造——在获得这些数据的情况下。

另外，对生物测定数据的加密已被证明是一项挑战性任务。原因特别在于，测量生物测定特征的方式以及生物测定特征在逐次测量之间的偏差——称为“噪声”——对实现生物测定数据的密码系统造成障碍。例如，可在登记阶段捕捉并输入生物测定参数，以使得使用恰当的加密函数来加密登记生物测定参数。然而，在认证阶段期间，从同一用户处获得的生物测定参数可能与在登记时获取的那些不同。例如，如果生物测定数据与面部特征识别有关，则捕捉装置和照明可能是不同的，因此特征本身可能随时间的不同而改变。因而，如果在认证期间捕捉的生物测定数据经过相同的加密函数，则结果可能与登记数据不匹配。在这点上，没有用于对生物测定所特有的噪声结构执行纠错或校正子(syndrome)码解码的可接受方法。大多数先前的安全生物测定系统使用低存储器噪声模型，或者将噪声的特性过分简化从而不能反映真实的操作条件的其他模型。因此，先前对安全生物测定的尝试不足以表示时变生物测定特征动态以及获取和测量过程。

近来，已引入多模式生物测定融合，其以组合方式使用一个以上的生物测定数据源和纠错及一些秘密信息——诸如口令或PIN——来生成密钥。然而，此类型的安全性技术要求大量数据存储，且其实现往往是资源密集型的，并且由此相比于其他生物测定技术而言，其实现较为昂贵。另外，已实现对生物测定数据的生动检测测试，其中“生动的”人类特性被捕捉，诸如温度、血流、心跳等。然而，对生动检测测试的实现在资源受限的设备——诸如手持式无线设备等——上可能是不可行的，这种生动检测测试可能需要与此类设备上当前可用的传感器不同类型的传感器。

因此，存在开发这种高度安全的生物测定模型的需要：通过该生物测定模型可有效地使得访问和传输两者变得极为安全。合意的模型应当解决和克服生物测定数据的固有可变性，同时提供防止复制生物测定数据的模型。