基於字符串的生物測定驗證方法和系統的製作方法

2023-05-27 16:54:01 2

專利名稱：基於字符串的生物測定驗證方法和系統的製作方法
技術領域：
本申請大體涉及生物測定'驗i正(biometric authentication)系統。更具 體地，本發明涉及使用表示生物測定的唯一截取的字符串來驗證授權用戶 的生物測定一驗i正系統。
背景技術：
網上銀行業務欺詐行為的增加對用戶和銀行有厲害關係。身份被盜和 密碼剽竊日益增加。用戶需要更加安全的並且給他們提供保護其數據的保 密性的能力的軟體。對受保護的資源的訪問應只授予給合法和授權的用 戶。
通過使用生物測定技術進行了其它已知的努力來使銀行業務系統更 安全。然而，它們的應用一般限制於存儲完整的指紋(例如，沒有限制性 的指紋)圖像或模板，或者使用標記。基於標記的方法不存儲指紋，並可 能由此產生多個問題。這樣的問題包括在資料庫存儲器中佔據增加數量的
空間、網絡安全以及用戶對他們存儲在資料庫中的指紋的擔心。結果，對 一個問題的解決方案導致甚至更多的問題，所以仍然必須考慮對網上銀行 業務欺詐行為的可行的解決方案。


在附圖中本發明作為例子而不是限制被示出，並且其中相似的參考號
表示相似的組成部分，其中
圖1示出了顯示傳統銀行業務系統的流程圖2示出了根據本發明的實施方案被嵌入圖1的傳統驗證系統中的本 發明的指紋I/P和驗證(TA)步驟的實施例；
圖3示出了根據本發明的實施方案的指紋I/P和驗證(TA)的示例性詳 細步驟；
圖4作為例子而不是限制示出了根據本發明的實施方案指故驗證系 統可以如何加強傳統驗證系統；
圖5a和5b示出了根據本發明的實施方案的在驗證處理期間事件的最 高階層流動(top-level flow);
圖6a和6b作為例子而不是限制示出了包括實現本發明的實施方案的 軟體代碼的示例性代碼模塊的名稱；
圖7示出了根據本發明的實施方案的圖6的不同類之間的繼承以及它 們如何關聯和集合；
圖8示出了根據本發明的實施方案在可能的實現中產生的一些示例 性的類；以及
圖9示出了根據本發明的實施方案在被適當配置或設計時可以作為 可實現驗證系統的計算機系統的示例性計算機系統。
除非另有說明，附圖中的實例不需要按照比例繪製。

發明內容
為了實現前述和其他目標以及根據本發明的目的，描述了用於基於字 符串的生物測定驗證的各種技術。
在一個實施方案中，提供了包括以下步驟的基於字符串的生物測定驗
證方法接收與個人有關的用戶名和密碼組合；從個人獲取生物測定數據； 如果是第一次驗證個人，則利用隨機化函數根據生物測定數據來產生生物 測定信息的隨機字符串，截取所述隨機生物測定字符串，並將所述截取的 隨機生物測定字符串連同個人的相關用戶名和密碼組合一起存儲在生物 測定資料庫中，用於將來驗證同一個人；但是，如果不是第一次驗證個人， 則將所獲取的生物測定數據與所述生物測定資料庫中截取的生物測定字 符串進行比較而搜索匹配；以及如果找到匹配，就傳送個人的授權以訪問 資源。
還提供了系統、裝置、步驟、計算機軟體產品和計算機可讀介質，其 實施方案適於實現和/或獲得前述功能。
根據應結合附圖閱讀的下列詳細說明，本發明的其他特徵、優點以及 目的將變得更加明顯並且更加容易理解。
具體實施例方式
通過參考這裡陳述的詳細附圖和說明來最佳地理解本發明。
以下參考附圖來討論本發明的實施方案。但是，本領域的技術人員應 該容易認識到，這裡給出的關於這些圖的詳細說明是出於解釋的目的，因 為本發明擴展而超出這些限制的實施方案。
現在參考其中如附圖中所示的實施方案來詳細描述本發明。儘管以下 參考附圖討論了本發明的實施方案，本領域的技術人員應該容易認識到， 這裡給出的關於這些圖的詳細說明是出於解釋的目的，因為本發明擴展而 超出這些限制的實施方案。
本發明的一個方面是以創新的方法實現生物測定技術，該方法處理網 上系統中安全性的缺乏和與生物測定的使用有關的實際問題。本發明的優選實施方案利用生物測定驗證作為安全的附加層，而沒有用傳統的驗證系 統代替或幹預。此外，所述的實施方案對指紋掃描是快速、可靠、方便並 且相對負擔得起的事實產生影響。
本發明的 一 個方面是隨機產生的稍後被截取並存儲在資料庫中的字 符串與用戶的指紋圖像或模板無直接關係，該方面至少具有兩個附帶方 面。 一個是用戶的指紋不能在網絡上傳送。而是它被轉換為字符串，第二 個是對資料庫的任何未授權的訪問不產生用戶日誌在數據方面的任何損 害。本實施方案的另一方面是隨機產生的字符串而不是指紋圖像或模板存 儲在資料庫中。這解決了資料庫存儲、網絡安全以及反對生物測定的使用 如指紋數據的存儲的問題。在資料庫中數據的字符串不佔據很多空間，且 沒有黑客或身份盜賊能夠像他們可用基於安全系統的帳戶密碼做的那樣 來利用字符串。
圖1示出了顯示傳統銀行業務系統的流程圖。傳統的銀行業務系統
100包括稱為用戶ID的用戶名以及密碼(110),用戶名是用戶的身份， 密碼是具體用戶的授權密鑰。傳統的銀行業務系統100僅僅需要兩個數據 輸入用戶名和密碼。當驗證了用戶名和密碼時(120)，用戶就被允許 訪問受保護的資源(130)。圖1清楚地示出了人們在被認出並最終被阻 止之前可以獲得對帳戶的訪問並獲得對帳戶的全部控制是多麼簡單。
圖2示出了根據本發明的實施方案被嵌入圖1的傳統驗證系統中的本 發明的指紋I/P和驗證(TA)方法的實施例。在本實施方案中，在通過指紋 驗證方法對用戶授權之後，他或她被允許在例如不受限制的情況下訪問受 保護的資源，獲得對網上銀行業務系統的訪問。在步驟210驗證了用戶名 和密碼之後，在步驟220指紋驗證用於驗證用戶的ID。如果在步驟210 用戶名和密碼在輸入時是錯誤的，那麼提示用戶重新輸入用戶名和密碼。 如果在步驟210用戶名和密碼是正確的，系統繼續轉到獲取並驗證用戶指 紋數據的步驟220。應認識到，執行部分或所有指紋數據獲取和/或驗證的 系統可以與執行任何其他步驟的位置相隔甚遠(例如，非限制性地，在網 絡、網際網路、內聯網、電話線、無線設備等範圍內的伺服器上)。可以預 料，本領域的技術人員根據本發明的教導將容易地認識到，本算法可以適
於在各種可選的配置中使用。例如，非限制性地， 一些可選系統配置包括 在中央伺服器上用於驗證的基於窗口的內聯網系統中的用戶和計算機驗 證、門保護和出勤記錄以及作為獨立應用的桌上型電腦保護。
圖3示出了根據本發明的實施方案的指紋I/P和驗證(TA)的示例性詳 細步驟。在本實施方案中，程序通過對訪問的用戶請求開始。在步驟305, 用戶通過輸入用戶名和密碼來請求訪問。接著，在步驟310通過將該用戶 名和密碼與存儲在用戶名和密碼資料庫中的用戶名和密碼進行比較而驗 證該用戶名和密碼。如果用戶名和密碼在步驟312被驗證，那麼系統進行 至以步驟315開始的指紋I/P和驗證(TA),如以下所詳述的。
在本實施方案中， 一旦利用圖1中所示的傳統驗證系統驗證了用戶， 在步驟315就提示用戶在傳統的指紋設備/控制臺上輸入指紋，並處理該 指紋。作為實施例而不是限制， 一般類型的指紋設備/控制臺可以是插入 合併在系統中的計算機的USB埠/控制臺的一種設備。在本實施方案中， 如果用戶使用系統第一次驗證，則系統轉到步驟335,其中它產生指紋信 息的隨機字符串。隨機字符串是利用隨機化函數基於指紋數據來產生的。 可以利用本領域的技術人員公知的任何適當的技術來實現隨機化；然而， 本實施方案使用RSA加密法，因為RSA是一種用於加密的廣泛接受的算 法，並且基於用法來產生不同長度的隨機字符串。與直接映射的字符串或 者利用簡單技術產生的字符串相比，隨機字符串 一般更加安全並且難以推 觀'J。根據本發明的教導，本領域的技術人員將容易地認識到基於指紋信息 來產生指紋字符串表示的許多可選和適當的技術。
在相同用戶的隨後驗證中，系統將改為從步驟315進入步驟330,其 中利用資料庫中存儲的截取的字符串來驗證用戶。存儲的截取的字符串與 在步驟315中用戶試圖驗證時產生的字符串比較。對於新用戶，來自步驟 335的隨機字符串在步驟330中被截取。在本實施方案中，截取字符串增 加了字符串的複雜性，並使它甚至更難推測和解譯字符串。本方法的一個 方面是，它提供了每字符串存儲較少的數據的益處，並且它更加複雜。在 步驟330中產生截取的數據字符串的過程中，數據字符串在它被驗證並允 許訪問之前，優選地縮短一個位的信息。在本實施方案中，利用壓縮算法
來執行截取，其中可以保證截取的字符串包括與原字符串相比至少少 一位 的字符串。以下將更加詳細地描述截取過程的實施例。本實施方案中，在
步驟335和330中指紋數據字符串產生並被存儲之後，系統繼續進行到步 驟325，其中，截取的數據字符串存儲在指紋資料庫中，指紋資料庫還存 儲了用於隨後驗證相同用戶的用戶的用戶名和密碼數據。接著在步驟320 中，通過將用戶輸入的數據、用戶名、密碼和指紋與存儲在指紋資料庫中 的數據進行比較而驗證用戶。如果數據被證實為匹配指紋資料庫中存儲的 數據，則系統進行至步驟340,在該步驟中用戶被允許訪問受保護的資源。 如果用戶名、密碼或指紋數據不匹配存儲的數據，則系統返回步驟312或 步驟315,且用戶^C請求重新輸入用戶名、密碼或指紋。
圖4作為實施例而不是限制示出了根據本發明的實施方案加強傳統 驗證系統的示例性指紋驗證方法。將會顯示，本驗證方法的加強如何比單 獨的傳統系統提供更多的安全性。所示的方法包括利用密碼驗證用戶名的 傳統/現有的驗證模塊410。然而，不是到訪問準予模塊460的直接路徑， 其中訪問權通常授予給用戶(省略的路徑由帶雙畫線的箭頭表示)，本實施 方案提供了驗證用戶的附加安全裝置，因此對傳統的/現有驗證系統410 增加了另一安全層。
圖中示出了根據本發明的實施方案的驗證系統400。以下將結合圖6， 進一步描述一些實現的細節。本過程以用戶的指紋被輸入指紋獲取模塊 420開始。唯一的ID由傳統的驗證系統410產生，並被傳輸至本驗證系 統，以唯一地驗證特定的用戶。用戶可被提示來利用指紋設備/控制臺輸 入其指紋，且指紋被掃描並被提供至本驗證系統，所述指紋設備/控制臺 例如非限制性地插入計算機的USB埠或合併在特定的電子設備中。隨 機化模塊425為用戶指紋分配隨機字符串，並將隨機指紋字符串傳送給截 取模塊440，其將截取的指紋字符串連同其相應的唯一 ID存儲在指紋數 據庫(未示出)中。在本實施方案中，隨機產生的字符串在用戶和指紋之間 有識別聯繫。但是，在本發明的一些可選實施方案中，唯一的ID可以由 任何傳統裝置提供，或者在其他實施方案中，根本不使用；例如非限制性 地，在一些應用中，可以不要求它明確地或者唯一地識別個體(即，利用
唯一的ID),而是改為確定指紋是否是訪問特定資源的授權類用戶的一部 分(例如非限制性地為安全系統的管理員)。驗證模塊驗證來自資料庫的 用戶的指紋。
在本實施方案中，驗證模塊450對現有用戶與它對新用戶起不同的作 用。在現有用戶的情況下，比較存儲在資料庫中的隨機字符串和驗證時輸 入的字符串來驗證用戶。在成功驗證之後，驗證模塊450將驗證信號傳送 至允許用戶訪問受保護資源的訪問準予模塊460。然而，如果用戶是第一 次訪問系統，隨機字符串會被存儲在資料庫中，用戶會被註冊，並且最終 用戶通過訪問準予模塊460被允許訪問數據。根據本發明的教導，本領域 的技術人員將容易地認識到許多可選和適當的應用、步驟和/或系統配置 來實現本實施方案的一些或所有的新穎方面。
圖5a和5b作為例子示出根據本發明的實施方案的在驗證處理期間事 件的最高階層流動。在本實施方案中，註冊提示階段500用於確定用戶是 新用戶還是現有用戶。在開始502,用戶在步驟504確定用戶是新用戶還 是現有用戶。帳戶創建和驗證階段510將處理新用戶和現有用戶。如果用 戶是新的，那麼帳戶開始在步驟512被創建，與現有用戶相反，其改為在 步驟514被提示輸入現有用戶的用戶名和密碼用於驗證。在錯誤處理階段 520確定用戶名和密碼的正確性。可以預料，在一些實際的驗證系統實施 方案中，利用被管理網際網路空間的創造團體識別和接受的標準加密技術來 加密所有的密碼。對於密碼，存在某些傳統的準則，例如最少數量的字符、 至少一個數字等。這些準則的任何違背將產生被顯示給用戶的適當的錯誤 消息，並要求用戶糾正它。如果用戶名和密碼無效，則用戶步驟528接收 錯誤消息。作為實施例而不是限制，在步驟528可以給予現有用戶三次機 會來正確地輸入有效的用戶名和密碼。 一些實施方案可以允許更多或更少 的輸入用戶名和密碼的機會。在本實施方案中，在用戶名/密碼資料庫處 理階段530,帳戶在步驟532創建以匹配新信息，或用戶在步驟535被驗 證。為了驗證現有用戶，輸入的數據在資料庫中與現有數據比較和匹配 (534)。如果為新用戶創建新的帳戶，那麼在步驟532將新用戶客戶數據 輸入用戶/密碼資料庫中。 一般，在將數據輸入資料庫之前，需要在資料庫中創建類似於資料庫表格的結構，以按正確的格式保存數據。 一旦這種 情況實現，資料庫連接就被建立且數據以正確的格式輸入。在此之後通常 關閉到資料庫的連接以維持資料庫系統的完整性和一致性。但是，本領域 的技術人員可以基於前述最適合特定應用的教導來設計可選的方法。
在任何情況下，無論用戶是新的還是現有的，指紋都在指紋輸入階段
540被掃描並在步驟542被輸入系統中。應該注意，出於清楚的目的，圖 5b頂部的圓圈A表示從前面的圖5a的繼續。在拇指處理階段544期間， 指紋圖像在步驟546變成數據字符串。接著在步驟547產生唯一的隨機數 字。然後，在步驟548截取隨機產生的數字。在用戶分類階段550,在步 驟552確定用戶是新的還是現有的。在指紋/用戶ID/密碼(T/U/P)資料庫處 理階段560,如果用戶是新的，則在步驟562將關於指紋、用戶名和密碼 的數據存儲在資料庫中。但是，如果用戶已經有帳戶，即，現有用戶，則 在保存所存儲的指故驗證信息的資料庫中搜索並匹配現有用戶的指紋。在 本實施方案中，系統在步驟564建立資料庫連接。在本實施方案中，利用 資料庫中存儲的指紋字符串與當用戶試圖驗證時產生的指紋字符串來驗 證現有用戶。作為實施例而不是限制， 一些實施方案可以利用一般的防欺 詐措施，例如但不限於在指紋匹配之前給予現有用戶有限數量的時間來正 確地掃描其指紋；否則，用戶被阻止訪問受保護的資源。步驟568示出了 給予用戶3次嘗試來正確地掃描其指紋，但是可以允許任意數量的掃描。 在本實施方案中，在指紋驗證階段570，對於新用戶可以確定在步驟574 拇指是否正確地插入在設備中。如果拇指不正確地插入，新用戶被退回到 步驟572並接收到錯誤消息。在階段570對於現有用戶，在步驟576檢查 指紋數據以確定指紋是否是真實的。在權限準予階段580,在步驟582為 新用戶創建帳戶。對於現有用戶，在步驟586驗證帳戶並準予對數據的訪 問。在控制移交階段590期間，控制在步驟592被移交至客戶平臺用於綜 合處理。根據本發明的教導，本領域的技術人員將容易認識到許多可選和 適當的方案，以結合傳統的安全方案來實現本實施方案的一些或所有的新 穎方面，從而滿足具體應用的需要。軟體代碼的示例性代碼模塊的名稱。這些類對本領域的技術人員是自我解 釋的，且代碼維持前述系統和方法實施方案的模塊性和結構。在本實施方
案中，"DBCreat，，類處理與資料庫有關的所有活動如創建表格、從表格 中插入並選擇數據。它還建立了與資料庫伺服器的連接。"ProcessThumb" 類處理輸入的指紋並^S正來自資料庫的指紋字符串和用戶輸入的指紋字 符串之間的匹配。
作為例子而不是限制，參考圖3和6b,在本發明的一個實施方案中， 指紋(TP)獲取、處理和存儲算法(例如，步驟315至340)可實現為如下以 偽代碼定義的軟體子程序
輸入用戶指紋輸入
輸出在資料庫中存儲的字符串
100開始
110獲得作為輸入數據的指紋特徵；並定義為TP(i)(來自指紋獲取i殳備)。
120將指紋轉換為字符串；定義為TP(s)。
130應用具有TP(r)的輸出的隨機算法(例如，對TP(s)的隨機)。
140應用具有TP(t)的輸出的截取算法(對TP(r)的截取)。
150將TP(t)存儲在指紋資料庫中。
160停止。
作為進一步的例子而不是限制，參考圖4和6a,在本發明的一個實 施方案中，從資料庫中獲取字符串以及將其與輸入的指紋匹配(例如步驟 450)可實現為如下以偽代碼定義的軟體子程序
輸入資料庫中存儲的指紋字符串
輸出匹配成功或失敗結果的指紋
200開始
210從指紋資料庫中獲取指紋字符串TP(t)。
220對TP(t)應用截取逆算法(truncation reversal algorithm) Truncaterev
以恢復TP(r)。
230對TP(r)應用隨機化逆算法Randomrev以恢復TP(s)。
240將指紋字符串TP(s)轉換為指紋特徵TP(i)。
250從待驗證的用戶獲得作為新輸入的指紋特徵TP(n)。
260利用賣方特定的匹配算法^f吏TP(i)與TP(n)匹配。
270根據用於匹配的閾值顯示成功/失敗。
停止。
在本實施方案中，"Fingerprint"類包含唯一的ID和指紋特性。同樣， "StringCrypto"用於字符串數據的加密和解密。
作為進一步的例子而不是限制，前述隨機化算法可實現為如下以偽代 碼定義的軟體子程序
Algorithm Random
輸入字符串TP(s)
輸出字符串TP(r)
300開始
310將輸入TP(s)分割為等長的字符串，最後的字符串小於其他字符 串。這些字符串現在是以S(i)格式。在本實施方案中，基於編碼格式的實 現而執行TP(s)的分割。對於統一代碼編碼，每個字符串優選地不能超過 58個字符，而對於其他編碼，此限制為116個字符。
320對Tp(s)中的每個S(i)重複
325利用具有公共密鑰P(pub-k)的RSA加密S(i)以獲取S(r)。
330結束循環。
340將所有的S(r)組合在一起以產生TP (r)。 350返回TP(r)。
360停止。
應認識到，根據具體應用的需要，所使用的加密可以基於其他標準的加密算法。然而，目前RSA在數據中提供了最大的冗餘度。優選地，通 過適當地分割數據並在單獨段的數據上執行RSA來實現隨機化。
作為進一步的例子而不是限制，前述隨機化逆算法可實現為如下以偽 代碼定義的軟體子程序
Randomrev 0
輸入字符串TP(r)
輸出字符串TP(s)
400開始
410將輸入TP(r)分割為等長的字符串S(i)。最後的字符串也與其他字 符串等長。
420對Tp(r)中的每個S(i)重複。
430利用具有個人密鑰P(pri-k)的RSA加密法解密S(i)以獲取S(s)。 440結束循環。
450將所有的S(s)組合在一起以產生TP(s)。 460返回TP(s)。 470停止。
該類可以用於提供被應用程式使用的附加的加密和解密特徵，並且可 以用於整個本驗證系統以實現應用程式中的安全性。
作為進一步的例子而不是限制，前述縮短算法可實現為如下以偽代碼 定義的軟體子程序
Truncate
輸出字符串TP(r) 輸出字符串TP(t) 500開始
510獲得輸入TP(r)。
520利用現有算法壓縮以產生TP(t)。
530返回TP(t)。 540停止
作為進一步的例子而不是限制，前述縮短逆算法可實現為如下以偽代 碼定義的軟體子程序
Truncalerev
輸入字符串TP(t)
輸出字符串TP(r)
600開始
610獲得輸入TP(t)
620在Truncate 中利用相同的算法解壓以產生TP (r)。 630返回TP(r) 640停止
作為進一步的例子而不是限制，得到隨機化截取的字符串的方法可實 現為如下的一系列數學變換。在下列實施例中，輸入的指紋特徵是以字符 串/字節格式的tp(i)。程序通過對tp(i)應用變換T而開始Tp=T[tp(i)]。然 後，對tp(s)應用Algorithm Random: TP(r)=R[tp(s)]，接著對tp(r)應用 Algorithm Truncate: tp(t)=Tr[tp(r)]，其中，T為從字節/字符串到字符串 格式的變換，R是隨機化函數，以及Tr是截取函數。同樣，T'、 R'、 Tr' 分別是T、 R、 Tr的逆變換。
作為進一步的例子而不是限制，隨機化函數R可實現為如下的一系列 數學過程，其中tp(s)作為輸入P(即，R[輸入])傳遞
700對輸入求微分為F (p) = d/d(x)(P),以產生P。,P!，P2……Pn,其中 x=0......n;
710將RSA應用於Po,Pi,P2......Pn,其中《=0......n:
F (p)=RSA (Po,PbP2……Pn)，其中乂=0……n;
F(p)=RSA(P0)+RSA(P1)+RSA(P2)+……+RSA(Pn);其中x=0……n;(以 下將更加詳細地描述RSA)
產生的結果是
72(^00=110+1^+112+......+Rn;其中x:0......n;
對所有的項求和F(r"ZRi;其中x=0......n;
在本實施方案中，，隨機化不必是僅僅執行RSA的事件，而是包括 將數據分割為不同的段，並對這些數據的單獨段應用RSA。當這些應用 RSA的數據被收集到一起時，就獲得了隨機字符串。這個完整的過程稱 為隨機化，並且對此目前稱為隨機化函數。
730對標準導數求積分項，結果
tp(r)=(x=0,x=n) J R(x) dx; tp(r)現在代表隨機字符串。
740對tp(r)應用Tr以得到F(t):
F(t)=Tr[tp(r)]
置換tp( r )
F(t)=Tr [(x=0，x=n) J" R(x) dx];
F(I)=C(R0+C(R1)+C(R2)+……C(Rn);其中，x=0......n，且C是壓縮
變換。壓縮技術在計算機領域中是公知的，以壓縮數據來降低空間要求並 通過提供傳輸較少位的數據來維持網絡上的高性能。
F(t) = ZC(Ri);其中x=0……n;
740tp(t)=(x=0,x=n)fC(R(x))dx;其中tp(t)為隨機截取的字符串，其存 儲在資料庫中。
750以逆序對Tr、 R和T應用逆變換，如下
對tp(t)應用變換Tr': tp(r)=Tr'[tp(t)];
對tp(r)應用變換R': tp(s)=R[tp(r)];
對tp(s)應用變換T': tp(i)=T[tp(s)];
其中tp(i)是待匹配的最終的字符串/字節數據
接著是對RSA(輸入，密鑰)的更詳細的描述。在本實施方案中，如果 密鑰是^^共的，則它加密輸入，否則它解密輸入。
作為例子而不是限制，前述RSA公共密鑰加密算法可實現為如下以 偽代碼的定義的軟體子程序
800找出屍和g,兩個大(例如，1024位)質悽史。
810選擇￡，使得￡大於1、五小於戶g,以及￡和(？-"(^-"為_^# 炎，這意味著它們沒有公共的質因子。五不必是質數，但是它必須是奇數。 ^P-"fg-"不可以是質數，因為它是偶數。
820計算D,使得(D五-"被〖P-"(1g-"恰好整除。數學家將這寫為 D￡=/ c^fP-"(^-"」，並且他們將D稱為￡的,法逆力,。對於本領域 的技術人員而言這是眾所周知的；例如，技術人員可以簡單地找出使D=(X 〖P-" (^-"+"/E為整數的整數X,並且接著使用D的那個值。
830根據加密函數C=fT^)wod戶Q加密，其中C為密文(正整數)，r 為明文(正整數)，而八表示求冪。消息被加密，r必須小於模數PQ。
840根據解密函數r^c^D)w^/i^解密，其中c為密文(正整數)，r
為明文(正整數)，而A表示求冪。
A4,韻為對fP^E)。個乂,勿為數字D,並且應該保密。乘積 為模炎，在文獻中一般稱為N。五是^# 炎。D為汆、,褙炎。在本實施 方案中，"ThumbControl，，包括與設備連接有關的所有功能，從用戶獲取 指紋以及對設備處理的誤差。"Already Registered"類處理與已經用系統注 冊的用戶有關的函數。它還利用資料庫驗證用戶。"NewUser"類處理與 使用系統的新用戶有關的功能。它還將用戶的記錄插入系統中。在本實施 方案中，Jagrsa.cs類(未示出)包括實現字符串的截取和縮減的方法的公共 界面，字符串通過Jagcompress方法被隨機化。CryptoGrapliy.es類(未示出) 實現系統的截取和加密特徵的核心功能。類使用128位密鑰加密，並且完 整的數據利用該類提供的方法^皮截取和加密。Jagcompress.es類提供了隨 機化指紋輸入的特徵，並將它轉換為包括無用數據的隨機字符串，而且數 據與實際的指紋沒有關係。它還實現了字符串到指紋轉換的反向過程。根 據本發明的教導，本領域的技術人員根據具體應用的需要將容易地認識到 許多可選和適當的加密/解密或者可逆字符串安全技術。
圖7示出了根據本發明的實施方案的圖6的不同類之間的繼承以及它 們如何關聯併集合。附圖示出了這些類的功能和關聯以及它們互相作用來 完成系統的方式。例如，非限制性地， 一頁是其他頁起源的主要類。登記 頁為新用戶產生，並且當新用戶成功地登錄時，他們被引向歡迎頁。該繼 承是基本發展平臺和語言的特徵。
圖8示出了根據本發明的實施方案的在可能的實現中產生的一些示 例性的類。附圖中所示的是取樣類，其包括被相同類或其他類使用以得到 功能的特性和方法。例如，非限制性地，thumbprint類包括用戶名、密碼 和指紋，作為可被設置並使用它的方法獲得的功能。類似地，頁類包括按 鈕、文本框等以及執行基於輸入的活動的方法。
圖9示出了根據本發明的實施方案的示例性計算機系統，在適當配置 或設計時，所述計算機系統可以用作可實現驗證系統的計算機系統。計算 機系統1300包括也被稱為中央處理單元或CPU的任何數量的處理器 1310。 CPU 1310可以連接至包括主存儲器1306和主存儲器1304的存儲 設備，主存儲器1306 —般為隨機存取存儲器或RAM，主存儲器1304 — 般為只讀存儲器或ROM。 CPU3310可以為各種類型的微控制器或微處理 器，例如但不限於可編程設備，例如但不限於CPLD和FPGA,以及不可 編程設備例如但不限於門陣列ASIC或通用微處理器。如本領域所公知的， 主存儲器1304起作用來將數據和指令單向地傳遞至CPU 1310，而主存儲 器1306 —般用於以雙向方式傳遞數據和指令。這兩個主存儲設備都可以 包括任何適當的計算機可讀介質，例如以上所述的計算機可讀介質。在本 實施方案中，大容量存儲設備1308還可以雙向地連接至CPU 1310，並提 供額外的數據存儲容量，而且可以包括以上所述的任何計算機可讀介質。 大容量存儲設備1308可以用於存儲程序、數據等，並且一般為輔助存儲 介質例如硬碟。應認識到，在適當情況下，保留在大容量存儲設備1308 中的信息可按標準方式合併作為虛擬存儲器的主存儲器1306的一部分。 在本實施方案中，特定的大容量存儲設備例如CD-ROM還可以將數據雙 向地傳送至CPU。
在本實施方案中，CPU 1310還可以連接至接口 1302,所述接口 1302
連接至一個或更多的輸入/輸出設備，例如但不限於視頻監控器、跟蹤球、 滑鼠、鍵盤、擴音器、觸敏顯示器、傳感器讀卡器、磁或紙帶閱讀機、寫
字板、觸針、聲音或筆跡識別器。最後，CPU 1310可選地可光學連接至
外部設備，例如但不限於使用外部連接的資料庫或計算機或電信或網際網路
網絡，如通常在1312所示的。利用這樣的連接，可以預料，在執行這裡 所述的方法步驟的過程中，CPU可以接收來自網際網路的信息，或者可以 將信息輸出至網絡。
鑑於前述教導，顯然，本發明的實施方案超過傳統驗證系統而有效地 保護商業和金融業務/資源。本發明的另一方面是它使想要控制其金融和/ 或交易本身的個人能夠不依賴於獨立締約團隊來建立他們的生物測定驗
證系統。以這種方式，企業、商行以及個人獲得了更多的自由和控制，因 為他們是其活動的主要決策者。
本領域的技術人員將容易地認識到根據前述教導來如何實現本發明 的編碼。作為實施例而不是限制，可以利用C弁的Microsoft Visual Studio.Net和ASP.NET來編寫軟體代碼。它還可以被編碼成在IIS 6.0和 更高版本以及現代網頁瀏覽器(例如，Internet Explorer 6.0和更高版本)上 適當i也執4亍。適當的悽t據庫例如j旦不限於Microsoft SQL Server、 Oracle 以及IBMDB2。
根據本發明的教導，本領域的技術人員應該容易認識到，可以適當地 替換、重新排序、去除任何前述步驟和/或系統模塊，以及可以根據具體 應用的需要插入另外的步驟和/或系統模塊，並且前述實施方案的系統可 以利用各種適當的程序和系統模塊中的任一個來實現，而且不限於任何特 定的計算機硬體、軟體、固件、微代碼等。
已經完整地描述了本發明的至少一個實施方案，根據本發明實現基於
而易見的。例如，儘管前述基於字符串的驗證技術的具體實現指向指紋實 現，可以預料，類似的技術可以應用於能夠用參數表示成參量字符串的任 何生物測定驗證信息(其中，指紋僅僅是一種)，例如但不限於視網膜掃描、 聲紋、掌紋、血管和血流識別系統、手部幾何形狀以及臉部特徵，其中，
本發明的這樣的實現全部設想為在本發明的範圍中。已經通過例證描述了 本發明，並且公開的具體實施方案並不旨在將本發明限於公開的特定形 式。因此，本發明覆蓋了落於下列權利要求的精神和範圍內的所有的修改、 等效以及可選形式。
權利要求
1.一種基於字符串的生物測定驗證方法，所述方法包括步驟接收與個人有關聯的用戶名和密碼組合；從個人獲取生物測定數據；如果是第一次驗證所述個人，則利用隨機化函數根據所述生物測定數據來產生生物測定信息的隨機字符串，截取所述隨機生物測定字符串，並將所述截取的隨機生物測定字符串連同所述個人的關聯用戶名和密碼組合一起存儲在生物測定資料庫中，用於將來對同一個人進行驗證；如果不是第一次驗證所述個人，將所獲取的生物測定數據與所述生物測定資料庫中截取的生物測定字符串進行比較而搜索匹配；以及如果找到匹配，就傳送所述個人的授權以訪問資源。
2. 根據權利要求1所述的基於字符串的生物測定驗證方法，其中， 所述隨機化函數基於RSA加密算法。
3. 根據權利要求2所述的基於字符串的生物測定驗證方法，其中， 所述RSA加密算法是包括執行RSA公共密鑰加密算法的步驟的軟體子程序。
4. 根據權利要求1所述的基於字符串的生物測定驗證方法，其中， 所述生物測定數據為指紋。
5. 根據權利要求1所述的基於字符串的生物測定驗證方法，其中， 所述生物測定數據基於^L網膜掃描、聲紋、掌紋、血管或血流模式、手部 幾何形狀模式和/或臉部特徵模式中的一個或多個。
6. 根據權利要求1所述的基於字符串的生物測定驗證方法，其中， 所述截取步驟包括步驟將所述隨機生物測定字符串縮短一個位的信息。
7. 根據權利要求1所述的基於字符串的生物測定驗證方法，其中， 所述截取步驟包括步驟截取所述隨機指紋字符串。
8. 根據權利要求1所述的基於字符串的生物測定驗證方法，其中，所述產生隨機字符串的步驟包括步驟產生隨機指紋字符串。
9. 根據權利要求1所述的基於字符串的生物測定驗證方法，其中， 產生所述截取的隨機字符串的所述步驟被計算為包括以下步驟的一 系列 數學變換對tp(i)應用變換T: Tp=T[tp(i)]，其中，tp(i)為以字符串/字節格式的 輸入生物測定數據特徵；對tp(s)應用隨機算法R: Tp(r)=R[tp(s)];對tp(r)應用截取算法tp(t)=Tr[tp(r)]，其中，T為從字節/字符串到字 符串格式的變換，而Tr為截取函數。
10. 根據權利要求9所述的基於字符串的生物測定驗證方法，其中， 產生隨機字符串的所述隨機化函數R實現為如下的一系列數學過程a. 對輸入求微分為F(p)=d/d(x)(P),以產生Po，Pi,P2......,Pn;其中x=0...n;b. F(p)=RSA (P。,P!，P2......,Pn);其中x=0...n;且RSA為RSA^^共密鑰加密算法；c. F(p"RSA(P。)+RSA(P0+RSA(P2)十......+RSA(Pn);其中x=0.. .n,d. F(r) =ZRi =Ro+Ri+R2+......+Rn;其中x=0...n,且i=0. .n;e. tp(r)=(x=0,x=n) J" R(x) dx; tp(r)表示隨機字符串；f. F(t)=Tr[tp(r)];g. F(t)=Tr[(x=0,x=n) { R(x) dx];h. F(時C(Ri)《(Ro)+C(R0+C(R2)十……C(Rn);其中x=0...n;且C為壓縮變換；i. tp(t)=(x=0,x=n){C(R(x))dx;其中tp(t)為存儲在所述資料庫中的隨機 化的截取字符串；j.tp(r)=Tr'[tp(t)];其中，Tr'是Tr的逆變換；k.tp(s)=R'[tp(r)];其中，R'是R的逆變換；1. tp(i)=T[tp(s)];其中，T'是T的逆變換,且tp(i)是待匹配的最終的字符串/字節數據。
11. 一種基於字符串的生物測定驗證系統，所述系統包括 用於接收與個人有關聯的用戶名和密碼組合的裝置；用於從所述個人獲取生物測定數據的裝置；基於所述生物測定數據產生生物測定信息的隨^L字符串的裝置；用於截取所述隨機生物測定字符串的裝置；用於將所述截取的隨機生物測定字符串連同所述個人的關聯用戶名 和密碼組合一起存儲在生物測定資料庫中用於將來對同 一個人進行驗證 的裝置；測定字符串進行比較而搜索匹配的裝置；以及如果找到匹配就傳送所述個人的授權以訪問資源的裝置。
12. —種基於字符串的生物測定驗證方法，所述方法包括 用於接收與個人有關聯的用戶名和密碼組合的步驟；用於從所述個人獲取生物測定數據的步驟；如果是第一次驗證所述個人，利用隨機化函數根據所述生物測定數據 來產生生物測定信息的隨機字符串的步驟，截取所述隨機生物測定字符串 的步驟，以及將所述截取的隨機生物測定字符串連同所述個人的關聯用戶 名和密碼組合一起存儲在生物測定資料庫中用於將來對同 一個人進行驗 證的步驟；如果不是第一次驗證所述個人，將所獲取的生物測定數據與所述生物如果找到匹配就傳送所述個人的授權以訪問資源的步驟。
13. —種存儲用於基於字符串的生物測定驗證的計算機可執行部件 的計算機可讀介質，其包括接收全部與個人有關聯的生物測定數據以及用戶名和密碼的部件； 基於所述生物測定數據而產生生物測定信息的隨機字符串的部件；截取所述隨機生物測定字符串的部件；將所述截取的隨機生物測定字符串連同個人的關聯用戶名和密碼組 合一起存儲在生物測定資料庫中用於將來對同一個人進行驗證的部件；字符串進行比較而搜索匹配的部件；以及如果找到匹配就傳送所述個人的授權以訪問資源的部件。
14. 根據權利要求13所述的計算機可讀介質，其中，所述生物測定 數據為指紋。
15. —種電腦程式產品，保留在或分布於一個或更多計算機可讀介 質上，所述電腦程式產品上儲存有多個指令，當一個或更多有關聯的處 理器執行所述指令時，使所述一個或更多處理器接收與個人有關聯的用戶名和密碼組合；從所述個人獲取生物測定數據；如果是第一次驗證所述個人，利用隨機化函數根據所述生物測定數據 來產生生物測定信息的隨機字符串，截取所述隨機生物測定字符串，並將一起存儲在生物測定資料庫中，用於將來對同一個人進行驗證；如果不是第一次驗證所述個人，將所獲取的生物測定數據與所述生物 測定資料庫中截取的生物測定字符串進行比較而搜索匹配；以及如果找到匹配，就傳送所述個人的授權以訪問資源。
16. 根據權利要求15所述的電腦程式產品，其中，所述計算機可 讀介質是從由載波中包括的數據信號、光碟、硬碟、軟盤、磁帶機、快閃記憶體 以及半導體存儲器組成的組中選擇的一種。
17. 根據權利要求15所述的電腦程式產品，其中，所述生物測定 數據為指紋。
18. 根據權利要求15所述的電腦程式產品，其中，所述隨機化函 數基於RSA加密算法。
19. 根據權利要求15所述的電腦程式產品，其中，所述截取包括 將所述隨機生物測定字符串縮短一個位的信息。
20. 根據權利要求15所述的電腦程式產品，其中，所述生物測定 數據基於視網膜掃描、聲紋、掌紋、血管或血流模式、手部幾何形狀模式 和/或臉部特徵模式中的 一個或多個。
全文摘要
描述了基於字符串的生物測定驗證技術，其包括所提供的用於基於字符串的生物測定驗證的方法，所述方法包括步驟接收與個人有關的用戶名和密碼組合；從個人獲取生物測定數據；利用隨機化函數基於生物測定數據來產生生物測定信息的隨機字符串；截取所述隨機生物測定字符串；以及將所述截取的隨機生物測定字符串連同個人的相關用戶名和密碼組合一起存儲在生物測定資料庫中用於將來驗證同一個人。為了驗證用戶，將所獲取的生物測定數據與生物測定資料庫中截取的生物測定字符串進行比較而搜索匹配，並且如果找到匹配，就給予個人訪問資源的授權。
文檔編號H04L9/32GK101199160SQ200680021178
公開日2008年6月11日 申請日期2006年4月12日 優先權日2005年4月15日
發明者朱利葉斯·穆瓦勒 申請人:朱利葉斯·穆瓦勒