[发明专利]受信密钥服务器

说明书

本发明涉及用于使得能够基于生物特征数据对用户进行认证的方法和设备。在本发明的一方面提供了由受信网络节点(300)执行的使得能够基于由第一客户端设备(100)捕获到的生物特征数据来对第二客户端设备(600)的用户(200)进行认证的方法。

技术领域

本发明涉及用于使得能够基于生物特征数据对用户进行认证的方法和设备。

背景技术

在现有技术的多用户生物特征认证系统中，需要在基于生物特征数据实现对用户的识别例如指纹识别的一个客户端设备处捕获生物特征数据，同时使得生物特征数据可用于另一生物特征认证设备处的认证。

然而，由于从安全角度来看原始生物特征数据模板非常敏感，因此确保原始生物特征数据仅在受信生物特征读取设备上可用并且生物特征数据永远不离开这种设备上的安全计算环境是至关重要的。

生物特征技术允许有效的终端用户识别，而无需终端用户记住用户名或密码或携带专用硬件令牌。然而，虽然当在单个设备上执行基于生物特征数据的认证时可以减轻隐私影响，但是在设备之间传输生物特征数据时保护原始生物特征数据是非常重要的。

根据定义，生物特征数据必须可在生物特征传感器处可获得。在特定的生物特征传感器上存储有限数量的生物特征数据并不存在争议。因此，如果在将生物特征数据从一个设备传送至另一个设备时可以保证安全性，则传送有限数目的生物特征数据模板是可接受的。然而，必须存在适当的机制，其可以确保在传输期间明文生物特征数据仅在受信生物特征传感器设备中可用，而在其他位置不可用，这实际上难以实现。

发明内容

本发明的一个目的是解决或至少减轻本领域中的这个问题，并且因此提供一种使得能够基于在第一客户端设备处初始捕获的用户的生物特征数据来在第二客户端设备处对用户进行认证的方法。

该目的在本发明的第一方面中通过由第一客户端设备执行的使得能够基于由第一客户端设备捕获的生物特征数据来在第二客户端设备处对第一客户端设备的用户进行认证的方法实现。该方法包括：生成至少一个秘密密钥，所述至少一个秘密密钥随后用于对由第一客户端设备捕获的用户的生物特征数据进行加密；通过安全通信通道将所生成的至少一个秘密密钥提交至受信网络节点以用于向受信网络节点登记至少一个秘密密钥；以及从受信网络节点接收与至少一个秘密密钥相关联的参考信息。该方法还包括：捕获用户的生物特征数据；使用所生成的至少一个秘密密钥对所捕获的生物特征数据进行加密；基于所接收到的参考信息创建认证令牌，该令牌被配置成由受信网络节点进行认证；以及将经加密的生物特征数据和认证令牌提交至第三方网络节点以使得能够经由第二客户端设备对用户进行认证。

该目的在本发明的第二方面中通过由第二客户端设备执行的使得能够基于由第一客户端设备捕获的生物特征数据来在第二客户端设备处对第一客户端设备的用户进行认证的方法实现。该方法包括：从用于对第二客户端设备的用户进行认证的第三方网络节点接收用户的经加密的生物特征数据和认证令牌；将认证令牌通过安全通信通道提交至受信网络节点，认证令牌指示由第一客户端设备先前向受信网络节点登记的秘密密钥，第一客户端设备利用该秘密密钥对生物特征数据进行加密；以及如果受信网络节点能够认证该认证令牌，则从受信网络节点接收该秘密密钥，其中，可以使用接收到的秘密密钥对经加密的生物特征数据进行解密。