RU2320009C2 - Системы и способы для защищенной биометрической аутентификации - Google Patents

Системы и способы для защищенной биометрической аутентификации Download PDF

Info

Publication number
RU2320009C2
RU2320009C2 RU2004137285/09A RU2004137285A RU2320009C2 RU 2320009 C2 RU2320009 C2 RU 2320009C2 RU 2004137285/09 A RU2004137285/09 A RU 2004137285/09A RU 2004137285 A RU2004137285 A RU 2004137285A RU 2320009 C2 RU2320009 C2 RU 2320009C2
Authority
RU
Russia
Prior art keywords
session
packet
authentication
information
authentication module
Prior art date
Application number
RU2004137285/09A
Other languages
English (en)
Other versions
RU2004137285A (ru
Inventor
Мира К. ЛАКУС (US)
Мира К. ЛАКУС
Original Assignee
Байо-Ки Интернэшнл, Инк.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Байо-Ки Интернэшнл, Инк. filed Critical Байо-Ки Интернэшнл, Инк.
Publication of RU2004137285A publication Critical patent/RU2004137285A/ru
Application granted granted Critical
Publication of RU2320009C2 publication Critical patent/RU2320009C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Collating Specific Patterns (AREA)
  • Computer And Data Communications (AREA)

Abstract

Раскрыта биометрическая система защиты. Система включает в себя клиентскую систему безопасности, сконфигурированную для формирования запроса на доступ к модулю приложения. Модуль приложения сконфигурирован для приема запроса и выдачи ответа посредством отправки инструкции модулю аутентификации для инициации сеанса аутентификации. Модуль аутентификации сконфигурирован для приема инструкции и выдачи ответа посредством генерации сеансового пакета, который передается клиентской системе безопасности. Клиентская система безопасности дополнительно сконфигурирована для генерации пакета авторизации, который возвращается модулю аутентификации после шифрования с использованием информации, содержащейся в сеансовом пакете. Технический результат - доступ обеспечивается только по уникальным и доверенным вызовам санкционированной биометрической информации. 3 н. и 40 з.п. ф-лы, 10 ил.

Description

Настоящее изобретение, в целом, относится к биометрическим системам защиты данных. А именно, настоящее изобретение имеет отношение к биометрическим системам защиты данных, которые обеспечивают повышенную защиту от незаконных программистов-злоумышленников и других системных нарушителей.
В рамках типовой биометрической системы защиты данных существует, по меньшей мере, две операции: регистрация и аутентификация. Операция регистрации осуществляет первоначальный отбор проб биометрической информации субъекта, а также создание и сохранение шаблона соответствия (известного под именем шаблона регистрации), являющегося представлением первоначального образца в виде данных. Операция аутентификации включает в себя вызов биометрического образца для идентификации или проверку пользователя системы при помощи сравнения представления биометрического образца в виде данных с одним или несколькими сохраненными шаблонами соответствия.
По своей природе биометрическая информация является достаточно общедоступной информацией. Часто биометрические данные субъекта неумышленно остаются после субъекта или могут быть легко подсмотрены или зафиксированы. Это справедливо для всех форм биометрических данных, включая, но не ограничиваясь нижеперечисленным, отпечатки пальцев, характерные черты радужной оболочки глаза, черты лица и информацию о голосе. Например, рассмотрим встречу двух друзей. Один друг узнает другого по его лицу и другим видимым ключевым особенностям. Такая информация является общедоступной. Тем не менее, фотография этого же самого субъекта «не является» этим субъектом. Аналогичным образом, эта проблема применяется электронным образом, к биометрической аутентификации, основанной на применении вычислительной машины, где копия санкционированной биометрической информации восприимчива к предъявлению в качестве представления соответствующей оригинальной информации. В рамках приложений биометрической защиты данных, важным является уникальный и доверенный вызов санкционированной биометрической информации, что и делает возможным безопасную аутентификацию.
Основной проблемой, противодействующей распространению биометрической аутентификации для приложений защиты данных, является обеспечение некоторого рода гарантии того, что биометрический образец, обрабатываемый в процесс аутентификации, является правильным и доверенным образцом. Многочисленные известные биометрические системы безопасности чувствительны к обману, в случае если представление данных, обрабатываемое процессором безопасности, в действительности является мошенническим вызовом биометрической информации. Например, лицо, владеющее копией санкционированной биометрической информации, может представить эту копию в процессе аутентификации, для того чтобы получить несанкционированный доступ. В особо опасном сценарии, лицо, владеющее электронной копией санкционированной биометрической информации, может обманным путем избежать физического сбора биометрической информации и непосредственно представить копию электронному процессору безопасности в ходе операции аутентификации для того, чтобы получить несанкционированный доступ.
Для того, чтобы гарантировать санкционированный вызов биометрической информации, должна поддерживаться целостность данных на каждом этапе или уровне процесса аутентификации. Должна поддерживаться целостность в любых передачах информации между устройством захвата и процессором, и между процессором и любыми последующими приложениями. В частности, процессор, отвечающий за прием и обработку биометрической информации, представленной пользователем, должен быть способен «доверять» получаемые биометрические данные. Другими словами, должны существовать доверительные отношения между устройством, собирающим биометрическую информацию пользователя (например, сканер отпечатков пальцев), и процессором безопасности, отвечающим за обработку этой биометрической информации.
Гарантирование того, что доступ дается только по уникальным и доверенным вызовам санкционированной биометрической информации, является сложной задачей, имеющей отношение практически ко всем биометрическим системам защиты данных.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Один вариант реализации настоящего изобретения имеет отношение к биометрическим системам защиты данных. Система включает в себя клиентскую систему безопасности, сконфигурированную для выдачи запроса к модулю прикладных программ. Модуль аутентификации сконфигурирован для получения инструкции и ответа посредством генерации сеансового пакета, передаваемого клиентской системе безопасности. Далее, клиентская система безопасности сконфигурирована для генерации пакета авторизации, который возвращается к модулю аутентификации после шифрования с использованием информации, содержащейся в сеансовом пакете.
Согласно аспекту настоящего изобретения раскрыта биометрическая система защиты, включающая в себя клиентскую систему безопасности, предназначенную для формирования запроса на доступ к модулю приложения; модуль приложения, предназначенный для приема запроса и выдачи ответа посредством отправки инструкции о инициации сеанса аутентификации модулю аутентификации; и модуль аутентификации, выполненный с возможностью приема инструкции и выдачи ответа посредством генерации сеансового пакета, который передается клиентской системе безопасности, при этом клиентская система безопасности дополнительно выполнена с возможностью генерации пакета авторизации, который возвращается к модулю аутентификации после шифрования с использованием информации, содержащейся в сеансовом пакете.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Фиг.1 - блок-схема системы аутентификации пользователя.
Фиг.2 - схема последовательности операций, иллюстрирующая операции, выполняемые в биометрической системе защиты данных.
Фиг.3 - блок-схема детального иллюстративного окружения, в котором используется клиент для доступа к приложению, которое защищено системой контроля доступа, включающей в себя модуль аутентификации.
Фиг.4 - схема последовательности операций, иллюстрирующая операции, выполняемые для повышения уровня безопасности, предоставляемого системой аутентификации пользователя.
Фиг.5 - схематическая диаграмма, иллюстрирующая детальное иллюстративное окружение, включающее в себя распределенную сеть компьютеров.
Фиг.6 - схема последовательности операций, иллюстрирующая создание сеансового пакета.
Фиг.7 - диаграммное представление сеансового пакета.
Фиг.8 - схема последовательности операций, иллюстрирующая создание пакета авторизации.
Фиг.9 - диаграммное представление пакета авторизации.
Фиг.10 - схема последовательности операций, иллюстрирующая оценку пакета авторизации.
ПОДРОБНОЕ ОПИСАНИЕ ИЛЛЮСТРАТИВНЫХ РЕАЛИЗАЦИИ
I. ИЛЛЮСТРАТИВНЫЕ КОНТЕКСТНО-ЗАВИСИМЫЕ ОКРУЖЕНИЯ
Различные аспекты настоящего изобретения имеют отношение к биометрическим системам защиты данных, обеспечивающим улучшенную защиту от незаконных взломщиков и других нарушителей системы. Концепции настоящего изобретения предназначены для совместного функционирования с широким диапазоном приложений безопасности общего назначения, включая, но не ограничиваясь перечисленным, контролирующие физический доступ приложения безопасности, приложения безопасности компьютерных сетей, приложения безопасности отдельных компьютеров, приложения и системы, базирующиеся на сети Интернет, приложения безопасности и другие приложения безопасности общего назначения. Способы и системы настоящего изобретения также подходят для улучшения производительности и надежности систем аутентификации пользователя.
Варианты реализации настоящего изобретения могут быть специально реализованы для повышения безопасности, обеспечиваемой совместно с множеством точек доступа. Некоторые из этих точек доступа связаны с физическим пространством, таким как здание, комната, определенный терминал аэропорта, самолет и тому подобное. В соответствии с одним вариантом реализации, биометрический сканер физически расположен в небезопасной области, в то время как доступ к отделенной безопасной области запрещен любому, кто не способен представить санкционированную биометрическую информацию биометрическому сканеру для обработки соответствующей программой контроля доступа. В соответствии с другим вариантом реализации, биометрический сканер физически расположен на небезопасной стороне запертой двери, которая остается запертой до тех пор, пока санкционированная биометрическая информация не будет получена биометрическим сканером и адекватно обработана соответствующей программой контроля доступа.
Варианты реализации настоящего изобретения могут быть также выполнены для повышения безопасности, обеспечиваемой в связи с электронными точками доступа. Посредством взаимодействия с вычислительным устройством пользователь способен столкнуться с большим диапазоном функциональных и информационных точек доступа или с точками доступа для проведения транзакций, большая часть которых может быть потенциально защищена при помощи систем и способов, связанных с настоящим изобретением.
Потенциально защищаемая электронная точка доступа встречается, когда имеется пользователь, способный получить общий доступ к конкретной компьютерной сети (например, конкретная локальная сеть, Интернет и так далее). Другая потенциально защищаемая электронная точка доступа встречается, когда имеется пользователь, способный получить доступ к конкретному набору сведений (например, медицинские записи, информация об учетных записях, информация о персонале, защищенные файлы данных и так далее), которые хранятся в вычислительном устройстве, с которым взаимодействует пользователь, или сохранены доступным образом на удаленном вычислительном устройстве. Другая потенциально защищаемая электронная точка доступа встречается, когда имеется пользователь, способный получить доступ к и взаимодействовать с конкретной программой, которая хранится в вычислительном устройстве, с которым взаимодействует пользователь, или сохранена доступным образом на удаленном вычислительном устройстве. Еще одна потенциально защищаемая электронная точка доступа встречается, когда имеется пользователь, способный получить доступ к информации, сохраненной в конкретном файле или директории, или способный получить доступ к информации некоторого класса, которая идентифицируется конкретным образом (например, как конфиденциальная), или способный использовать функции, связанные с другим независимым устройством (например, конкретная камера, сканер, кассовый аппарат, сейф, и тому подобное). Это только несколько примеров из множества электронных точек доступа, которые могут быть защищены с использованием систем и способов настоящего изобретения.
Настоящее изобретение является полезным для различных типов биометрических технологий. Конкретные технологии включают в себя, например, сканирование радужной оболочки или сетчатки глаза, голосовые технологии, физиономические технологии, технологии, связанные с геометрией ладони, технологии анализа ДНК, спектральные биометрические технологии и технологии отпечатков пальцев. Поскольку настоящее описание описывает систему, основанную на отпечатках пальцев, такое описание является только одним примером подходящей системы. Объем настоящего изобретения не является настолько ограниченным.
II. ИЛЛЮСТРАТИВНОЕ РАБОЧЕЕ ОКРУЖЕНИЕ
На фиг.1 представлена блок-схема системы 10 аутентификации пользователя. Система 10 аутентификации пользователя включает в себя считывающую часть 12, анализатор/процессор 14 изображения и базу 16 данных с возможностью поиска, которая также обеспечивает вывод 15. Считывающая часть 12 может быть любой из известных систем, способных сканировать изображение отпечатков пальцев и передавать данные, относящиеся к изображению, к анализатору изображения, такому как анализатор/процессор 14 изображения.
Во многих случаях считывающая часть 12 будет включать в себя оптическое или электронное устройство, включающее в себя плоскую рабочую поверхность, предназначенную для приема пальца для получения изображения, а затем формируется оцифрованное изображение. Как правило, считывающее устройство использует свет или электричество для получения изображения структуры отпечатка пальца. Окончательно оцифрованное изображение передается от считывающей части к анализатору/процессору 14 изображения. Анализаторы/процессоры 14 изображения различаются в зависимости от приложения, но, как правило, анализируют полученные данные изображения для широкого диапазона целей и приложений.
Анализатор/процессор 14 изображения иллюстративно сконфигурирован для создания модели аутентификации (другими словами, модели изображения) на основе определенных признаков и характеристик изображений, принятых от считывающей части 12. В соответствии с одной реализацией, модели аутентификации содержат больше информации, чем точные копии связанных с ними отпечатков пальцев, и включают в себя уникальный диапазон элементов данных, которые обеспечивают различные аналитические возможности. Создание модели аутентификации описано в Патенте США №09/911,589 от 16 ноября 2001 г. «Система идентификации изображения», являющемся собственностью заявителя.
В одной реализации, анализатор/процессор 14 изображения непосредственно или косвенно сравнивает элементы данных сгенерированной модели аутентификации с элементами данных, по меньшей мере, одной другой модели аутентификации, сохраненными в базе 16 данных с возможностью поиска. Модели аутентификации, сохраненные в базе 16 данных, иллюстративно соответствуют ранее полученным сканированным изображениям, в то время как сравниваемая модель аутентификации иллюстративно соответствует сосканированному в данный момент времени изображению. Система 10 аутентификации пользователя сконфигурирована для эффективного выполнения определения, является ли модель аутентификации, соответствующая сканированному в данный момент времени отпечатку пальца, по существу подобной какой-либо из моделей аутентификации (или непосредственно связанных коллекций данных), содержащихся в базе 16 данных с возможностью поиска. Таким образом, система 10 аутентификации пользователя обеспечивает эффективную и точную систему идентификации изображений отпечатков пальцев. Такие системы используются, например, как мера безопасности для определения, должен ли быть санкционирован доступ в комнату, доступ к банковскому счету, или какие-либо другие действия, для персоны, приложившей палец к считывающей части 12.
Как показано на фиг.1, база 16 данных с возможностью поиска обеспечивает вывод 15. Точный вид выходных данных 15 вывода зависит от условий, в которых применяется система 10 аутентификации пользователя. Например, выходные данные 15 могут быть индикацией положительного или отрицательного соответствия или индикацией идентификации модели аутентификации или коллекции данных, содержащихся в базе 16 данных с возможностью поиска, которая в значительной степени соответствует изображению, сканированному считывающей частью 12. Это только несколько примеров из большого количества потенциальных форм выходных данных 15. В качестве дополнения, выходные данные 15 могут включать в себя данные, передаваемые приложению.
III. ОПИСАНИЕ РАБОТЫ
На фиг.2 представлена схема последовательности операций, иллюстрирующая операции, которые должны быть выполнены в системе 10, например, в анализаторе/процессоре 14, в соответствии с реализацией настоящего изобретения. Процесс начинается, когда анализатор/процессор 14 изображения принимает данные изображения от считывающей части 12. После приема данных изображения, анализатор/процессор 14 изображения, во-первых, иллюстративно, выполняет, как показано на этапе 18 на фиг.2, серию функций проверки пригодности (оценки) изображения.
Кратко говоря, оценка 18 изображения включает в себя быструю обработку всех или части имеющихся данных изображения, для того чтобы удостовериться в том, что принятое изображение есть результат сканирования реального отпечатка пальцев (в отличие от поддельного отпечатка пальцев) и обладает достаточным качеством для дальнейшей обработки. В одной реализации, в случае если процесс проверки пригодности (оценки) изображения приводит к заключению о том, что сканированное изображение является подделкой или имеет недостаточное качество, обработка изображения прерывается. В таком случае пользователю системы отправляется уведомление, имеющее отношение к обнаруженным несоответствиям, и продолжение обработки допускается только после исправления несоответствий.
Этап 20 на фиг.2 представляет точку, в которой получают пригодное изображение. После того как получены пригодные данные изображения, эти данные изображения используются для, по меньшей мере, одной из двух целей. Во-первых, как показано на этапе 22, это создание и внесение в список (регистрация) шаблона соответствия. Этап 22 представляет процесс, в котором генерируются шаблоны соответствия (например, на основе данных оцифрованного пригодного изображения), а затем вводятся и каталогизируются в базе 16 данных с возможностью поиска.
В соответствии с одной реализацией, шаблоны соответствия и модели аутентификации генерируются в соответствии с одним и тем же алгоритмом или двумя по существу подобными алгоритмами таким образом, что они формируются в одинаковом или по существу одинаковом формате. Тем не менее, в соответствии с одной реализацией, шаблоны соответствия генерируются с использованием алгоритма, который существенно отличается от алгоритма, используемого для генерации моделей аутентификации. Соответственно, модель аутентификации и шаблон соответствия, сгенерированные на основе одних и тех же данных, будут связаны, но не идентичны. Это делает возможным непрямой, основанный на взаимоотношениях процесс сравнения в ходе аутентификации. Этому процессу посвящена патентная заявка, находящаяся в процессе одновременного рассмотрения, принадлежащая настоящему заявителю.
Как показано на этапе 26 на фиг.2, поиск 26 в базе данных может выполняться в связи со сравнением модели 24 для определения, какой, если существует, из множества шаблонов соответствия, сохраненных в базе данных с возможностью поиска, адекватно соответствует сгенерированной модели аутентификации. Иллюстративно, поиск 26 в базе данных является быстрым и эффективным определением, какой из, если такой существует, потенциально тысяч или даже миллионов, сохраненных шаблонов (или связанных коллекций данных) в базе 16 данных обладает заданным уровнем подобия по сравнению с целевой моделью аутентификации. Поиск может быть выполнен по самой биометрической информации или по некоторому идентификатору, подобному идентификатору работника, идентификатору пользователя, номеру счета, и так далее. В соответствии с одной реализацией, идентификатор (например, идентификатор работника, идентификатор пользователя, номер счета и тому подобное) используется для выбора единственной коллекции данных для сравнения с целевой моделью аутентификации на основе принципа "один к одному". Целевая модель аутентификации, иллюстративно, является моделью аутентификации, связанной с сканированным, в данный момент времени, изображением.
В соответствии с одной реализацией, вместо того чтобы сравнивать модель аутентификации непосредственно с шаблонами соответствия, определяется набор ключей базы данных, описывающих различные характеристики шаблона соответствия, для того чтобы упростить общие, а не частные, сравнения, производимые в процессе поиска 26 в базе данных.
Основа обеспечиваемой безопасности заключается в способности получить уникальный и санкционированный вызов биометрических данных пользователя. Соответственно, процесс генерации модели аутентификации на основе биометрической информации пользователя должен быть защищен, санкционирован и безопасен. Должна выполняться проверка того, что модель аутентификации является истинным представлением биометрической информации, вновь представленной пользователем (например, «живой» вызов). Анализатор/процессор должен быть способен проверить принятые биометрические данные. Предотвращение воспроизведения данных модели аутентификации (например, электронное воспроизведение) является первостепенной задачей.
IV. УЛУЧШЕННАЯ БЕЗОПАСНОСТЬ АУТЕНТИФИКАЦИИ
Система 10 аутентификации пользователя (фиг.1) может быть встроена в различные окружения для обеспечения безопасности общего назначения. Существует одно иллюстративное окружение, в котором клиентскому вычислительному устройству дают команду осуществить доступ к приложению некоторого рода, которое защищено системой контроля доступа, которая включает в себя модуль аутентификации. На фиг.3 представлена общая блок-схема такого окружения.
Со ссылкой на фиг.3, клиент 30 иллюстративно инструктируется (например, непосредственно пользователем) для доступа к модулю 32 приложения (например, инструктируется использовать модуль 32 для доступа к некоторой коллекции данных). Для примера, клиент 30 включает в себя считывающее устройство 12 и анализатор/процессор 14 изображения, описанные выше со ссылкой на фиг.1. Соответственно, клиент 30 сконфигурирован для приема биометрической информации от пользователя и генерации модели аутентификации, как было описано выше.
Модуль 32 приложения, иллюстративно, может быть приложением любого типа, включая, но не ограничиваясь перечисленным, приложением базы данных, Web-приложением, приложением электронной почты, приложением Web-браузера, приложением обработки текстов, приложением электронных таблиц, управляющим приложением или приложением управления физического или электронного доступа. Некоторые аспекты модуля 32 приложения (или данные, доступ к которым можно получить с использованием данного приложения), например, могут нуждаться в защите, поэтому желательно, чтобы доступ к ним предоставлялся только санкционированным клиентам и/или пользователям. Для того чтобы сделать установку предоставления и отказа в доступе величиной по выбору, модуль 32 приложения взаимодействует с модулем 34 аутентификации для облегчения фильтрации (отбора) идентификационной информации клиента 30 и/или связанного с ним пользователя. Модуль 34 аутентификации, в качестве примера, включает в себя базу 16 данных с возможностью поиска, как описано в связи с фиг.1.
В соответствии с одним аспектом настоящего изобретения клиент 30 способствует генерации модели аутентификации и затем передаче модели аутентификации модулю 34 аутентификации. Затем модуль 34 аутентификации оценивает модель аутентификации (например, идентифицирует, связана ли она с авторизованным пользователем, имеющим биометрическую информацию, сохраненную в базе 16 данных). После того как оценка завершена, результат отправляется к модулю 32 приложения, который, например, предоставляет или отказывает в доступе в зависимости от результатов оценки. Специалисты в данной области должны принять во внимание то, что различные иллюстративные (примерные) модули могут быть связаны с одним вычислительным устройством или распределены по множеству вычислительных устройств. Множество вычислительных устройств может распределяться по одной или более компьютерным сетям, включая, но не ограничиваясь перечисленным, сеть Интернет.
Фиг.4 в соответствии с одним аспектом настоящего изобретения иллюстрирует способ повышения уровня безопасности, обеспечиваемого в рамках описанных выше процессов аутентификации. Способ, представленный на фиг.4, в общем, применим в рамках окружения, описанного в связи с фиг.3.
Сначала, как показано на этапе 102, зависимость (взаимосвязь) шифрования предварительно устанавливается между клиентом 30 и модулем 34 аутентификации. В одном режиме работы каждый из клиентов 30 и модуль 34 аутентификации имеют сохраненный компонент шифрования (например, компонент шифрования, оперативно сохраняемый вместе со связанным специализированным программным компонентом). Компонент шифрования, связанный с клиентом 30, напрямую соединяется с компонентом шифрования, связанным с модулем 34 аутентификации (например, один из компонентов шифрования используется для дешифровки информации, предварительно зашифрованной другим компонентом шифрования).
В соответствии с одной реализацией, компонент шифрования, связанный с клиентом 30, является первой частью криптографической пары (ключей), используемой в инфраструктуре открытого ключа (PKI), а компонент шифрования, связанный с модулем 34 аутентификации, является второй частью криптографической пары. Одна из первой и второй частей криптографической пары (ключей), используемой в инфраструктуре открытого ключа, является секретным ключом шифрования, а другая соответствует открытому ключу шифрования. Соответствующие пары компонента шифрования, отличные от пары из инфраструктуры открытого ключа (например, предопределенные соответствующие статические пары ключей), могут быть использованы без выхода за пределы объема настоящего изобретения.
После предварительного установления зависимости (взаимосвязи) шифрования между клиентом 30 и модулем 34 аутентификации, следующим этапом, в соответствии с этапом 104 на фиг.4, является запрос клиентом 30 доступа к модулю 32 приложения. В соответствии с одним вариантом реализации, запрос соответствует команде или подобному взаимодействию, инициированному пользователем. После того как доступ запрошен, подразумевая, что запрошенный доступ подразумевает ограниченные или охраняемые права, модуль 32 приложения связывается с модулем 34 аутентификации для инициализации сессии авторизации на этапе 106. Например, сессия авторизации начинается после инициализации и закрывается после истечения предопределенного периода времени. Предопределенный период времени иллюстративно выбирается настолько продолжительным, с таким требуемым временем подготовки или поддержки, насколько требуется для завершения процесса авторизации (процесс авторизации описан подробно ниже). В соответствии с одной реализацией, предопределенный период времени выбирается настолько продолжительным, насколько требуется среднему пользователю для участия и для завершения процесса авторизации.
Затем, на этапе 108, модуль 34 аутентификации генерирует сеансовый пакет. Сеансовый пакет, например, включает в себя два элемента. Первым элементом является номер сеанса, который является уникальным, например непоследовательно сгенерированным числом, которое создается для каждого сеансового пакета. Сеансовый пакет создается для каждого инициированного сеанса. Сеанс инициируется для каждого запроса доступа к охраняемому элементу. Вторым элементом, содержащимся в сеансовом пакете, является одна часть криптографической пары, используемой в инфраструктуре открытого ключа, для примера - открытый ключ.
После того как сеансовый пакет сгенерирован, он шифруется с использованием предварительно установленной компоненты шифрования, связанной с модулем 34 аутентификации. Затем зашифрованный сеансовый пакет передается клиенту 30. Копия номера сеанса, например, сохраняется модулем аутентификации. Также сохраняется секретный ключ. Секретный ключ, например, соответствует открытому ключу, который сохранен в зашифрованном виде в сеансовом пакете.
Как показано на этапе 110, клиент 30 генерирует пакет авторизации. Для выполнения этого действия клиент 30 использует предварительно установленный компонент шифрования, связанный с клиентом 30, для дешифровки сеансового пакета. Соответственно, затем клиент 30 получает доступ к сгенерированному (иллюстративно, но необязательно, уникальному) открытому ключу. Клиент 30 извлекает биометрическую информацию пользователя, запросившего доступ, и генерирует модель аутентификации на основе этой информации. Модель аутентификации и номер сеанса, иллюстративно, образуют, по меньшей мере, две части пакета авторизации. Пакет авторизации шифруется в соответствии с открытым ключом, взятым из сеансового пакета.
Далее, зашифрованный пакет авторизации передается модулю аутентификации. Здесь используется сохраненный секретный ключ для дешифровки пакета авторизации, который был зашифрован с использованием соответствующего открытого ключа (открытого ключа, переданного ранее в составе сеансового пакета). Как показано на этапе 112, сохраненный номер сеанса сравнивается с принятым номером сеанса, для того чтобы удостовериться в том, что эти две величины совпадают. Производится проверка, для того чтобы удостовериться в том, что принятый номер сеанса был принят в пределах предопределенного интервала времени (например, измеряемого от момента времени, в который был создан сеансовый пакет). Если номер сеанса не совпадает или не был принят вовремя, то модель аутентификации никоим образом не используется в дальнейшем.
Предполагая, что номера сеансов совпадают, и временное тактирование во времени корректно, и что при помощи сгенерированного секретного ключа можно дешифровать данные, модель аутентификации затем используется для выполнения задачи, такой как сравнение модели аутентификации (например, сравнение базы данных) или регистрация шаблона в базе данных. Сеансовый пакет и/или пакет авторизации могут быть иллюстративно сформированы таким образом, чтобы содержать в себе командный элемент, соответствующий задаче, которую предполагается выполнить.
После того как выполнение задачи завершено, как показано на этапе 114, модуль аутентификации передает результат модулю 32 приложения на этапе 114. Результатом может быть, но не ограничиваясь перечисленным, сообщение о том, что сохранение регистрационной информации завершено или сообщение о положительном или отрицательном результате сравнения.
V. ПРИМЕНЕНИЕ В СЕТЕВОМ ОКРУЖЕНИИ
Одним полезным окружением для способа, представленного на фиг.4, является распределенная сеть компьютеров, такая как Интернет. Фиг.5 иллюстрирует такое примерное окружение. Примерное окружение включает в себя клиент 200, сервер 202 приложений и сервер 204 аутентификации. Клиент 200 включает в себя приложение 210 доступа, компонент 212 шифрования, программу 214 шифрования, сменный блок 216 безопасности и интерфейс 218 устройства ввода. Устройством 220 ввода может быть устройство чтения или сканер отпечатков пальцев, как описано выше, или некоторое другое устройство приема биометрической информации. Устройство 220 ввода взаимодействует с клиентом 200 через интерфейс 218 пользовательского ввода. Клиент 200 соединяется с сервером 202 приложений через сеть 222, которая, для примера, может быть сетью Интернет, локальной сетью или другой сетевой системой.
Сервер 202 приложений включает в себя сменный блок 230 безопасности, который имеет программный интерфейс 232 приложения безопасности. Сервер 202 приложений также включает в себя приложение 234. Далее, сервер 202 приложений имеет доступ к целевым данным 236 с использованием приложения 234.
Сервер 204 аутентификации включает в себя программу 250 безопасности, компонент 252 шифрования, и программу 254 шифрования. Сервер 204 аутентификации имеет доступ к базе 256 данных аутентификации.
Клиент 200 включает в себя компонент 212 шифрования, соответствующий компоненту 252 шифрования, хранящемуся на сервере 204 аутентификации. В одном варианте реализации, программа 254 шифрования генерирует криптографическую пару, используемую в инфраструктуре открытого ключа. Компонент 252 шифрования сохраняет секретный ключ для последующей дешифровки возвращенного сеансового пакета, и возвращает открытый ключ для использования компонентом 212 шифрования. Этот процесс описан подробно ниже. Программа 250 безопасности, как правило, использует компонент 252 шифрования и программу 254 шифрования для шифровки некоторых сеансов связи с клиентом 200. Клиент 200 использует компонент 212 шифрования для дешифровки этих сеансов связи, которые используют компонент 212 шифрования и программу 214 шифрования.
На фиг.5, иллюстрирующей примерное окружение, предполагается, что клиент 200 хочет получить доступ к целевым данным 236, которые доступны при помощи приложения 234 на сервере 202 приложений. Для примера, доступ к целевым данным 236 охраняется и ограничен только санкционированным доступом. Клиент 200 включает в себя приложение 210 доступа, которое позволяет клиенту 200 получить доступ к приложению 234. Например, приложением 210 доступа является WWW-браузер, а приложением 234 является узел сети Интернет. Целевыми данными 236 может быть персональная информация, такая как номер банковского счета или медицинская информация. В предположении что он или она имеют право на такие действия и могут адекватно подтвердить это право, пользователь может использовать клиент 200 для доступа к целевым данным 236. Когда пользователь выдает команду клиенту 200 для запроса доступа к целевым данным 236, сменный блок 230 безопасности совместно с программным интерфейсом 232 приложения безопасности запрашивает программу 250 безопасности о начале сеанса авторизации.
Сервер 204 авторизации генерирует сеансовый пакет в соответствии со способом 400, представленным на фиг.6. На этапе 402 сервер 204 авторизации инициирует сеанс авторизации. Затем генерируются номер сеанса и ключ сеанса (пара открытый/секретный ключ) на этапе 404. На этапе 406 сохраняются данные сеанса (например, номер сеанса и отметка времени). Секретный ключ, соответствующий открытому ключу сеанса, сохраняется для последующей дешифровки данных, посланных клиентом 200. Информация сеансового пакета собирается на этапе 408. Далее, на этапе 410, информация сеансового пакета шифруется с использованием компонента 252 шифрования в программе 254 шифрования.
В результате выполнения этапов способа 400 генерируется сеансовый пакет 500, показанный на фиг.7. Как показано, сеансовый пакет 500 зашифрован при помощи компонента 252 шифрования и готов к передаче клиенту 200. Сеансовый пакет 500 включает в себя информацию 506 сеансового пакета, которая, для примера, содержит номер 508 сеанса, ключ 510 сеанса (открытый ключ), команду 512 (необязательный элемент), отметку 514 времени и другие данные 516.
Номером 508 сеанса, для примера, является непоследовательно сгенерированное число, уникальное для конкретного сеанса. Ключ 510 сеанса (открытый ключ) также может быть уникальным для конкретного сеанса, хотя это и необязательно. Тем не менее, более безопасно, когда он уникален. Вне зависимости от того, варьируется ли открытый ключ, важно, чтобы соответствующий секретный ключ был доступен серверу 204 аутентификации. Команда 512 показывает, какому действию (например, сравнению или сохранению) должен способствовать клиент 200. Отметка 514 времени показывает время инициации сеанса. Другие данные 516 также могут входить в состав данных 506 сеанса. После того как сеансовый пакет собран и зашифрован в соответствии с компонентом 252 шифрования, он передается клиенту 200.
Как только клиент 200 принимает сеансовый пакет 500, клиент 200 выполняет способ 550, показанный на фиг.8. Способ включает в себя дешифровку сеансового пакета на этапе 552. Эта дешифровка завершается с использованием компонента шифрования, как правило, компонента 212, представленного на фиг.5. Когда сеансовый пакет дешифрован, клиент 200 будет запрашивать и принимать биометрическую идентификацию пользователя на основе команды, принятой в сеансовом пакете. В одном режиме работы пользователь будет выполнять сканирование отпечатка пальцев с использованием устройства 12 чтения. На этапе 556 генерируется модель аутентификации. На этапе 558 собирается информация пакета авторизации. Информация пакета авторизации включает в себя номер сеанса, присланный в сеансовом пакете, и модель аутентификации, сгенерированную на этапе 556. Как только информация пакета авторизации собрана, информация шифруется с использованием ключа сеанса (открытого ключа), присланного в сеансовом пакете 500. Это выполняется на этапе 560.
На фиг.9 представлен пакет 600 авторизации. Пакет 600 авторизации зашифрован с использованием ключа сеанса (открытого ключа) и включает в себя информацию 606 пакета авторизации. Информация 606 пакета авторизации включает в себя номер 508 сеанса, модель 608 аутентификации и другие данные 610. Как только пакет 600 авторизации собран, он передается серверу 204 аутентификации через сервер 202 приложений.
Как только сервер 204 аутентификации принимает пакет 600 авторизации, выполняется способ 650, представленный на фиг.10. Сначала пакет 600 авторизации дешифруется с использованием сохраненного ключа сеанса (секретного ключа) на этапе 652. Затем на этапе 654 номер сеанса проверяется. Для того чтобы обеспечить повышенную безопасность, авторизация может быть отклонена, если номер сеанса неправильный, например, если он не совпадает с сохраненным значением или если пакет авторизации не был принят за заданный период времени. Авторизация отклоняется на этапе 656, и на этапе 660 выходные данные посылаются серверу приложений, показывая отклонение авторизации. Если был принят правильный номер сеанса, способ выполняет сравнение или сохранение на этапе 658. Как только сравнение или сохранение выполнены, на этапе 660 выходные данные посылаются серверу приложений. Как было описано раньше, выходные данные, отправленные на этапе 660, могут быть различными типами информации. В одном режиме выходным сигналом является отклонение или принятие авторизации. В другом режиме могут быть отправлены данные, связанные с пользователем, например авторизация кредитной карты на основе записи о пользователе.
Хотя настоящее изобретение было описано со ссылкой на предпочтительные варианты реализации, специалист в данной области поймет, что могут быть сделаны изменения в форме и деталях без выхода за пределы объема и сущности нижеследующей формулы изобретения.

Claims (43)

1. Способ использования модуля аутентификации для облегчения регулирования доступа пользователей к целевым данным посредством модуля приложения в контексте биометрической системы защиты данных, причем способ включает в себя этапы, на которых
предварительно устанавливают взаимосвязь для шифрования передачи данных между клиентской системой безопасности и модулем аутентификации;
принимают в модуле аутентификации инструкцию от модуля приложения о начале сеанса авторизации упомянутого доступа;
генерируют в модуле аутентификации сеансовый пакет, шифруют его, и передают клиентской системе безопасности; и
принимают в модуле аутентификации шифрованный клиентской системой безопасности пакет авторизации, содержащий информацию об аутентификации пользователя, сгенерированную из биометрической информации пользователя, принятой клиентом в ответ на команду из сеансового пакета, дешифруют принятый пакет, и выдают модулю приложения информацию о предоставлении или отклонении доступа на основе содержимого упомянутой информации, содержащейся в пакете авторизации.
2. Способ по п.1, в котором генерация сеансового пакета включает в себя генерацию номера сеанса и сохранение этого номера в сеансовом пакете.
3. Способ по п.2, дополнительно включающий в себя этап, на котором номер сеанса сохраняют в базе данных, связанной с моделью аутентификации.
4. Способ по п.1, в котором генерация сеансового пакета включает в себя получение номера сеанса и сохранение этого номера в сеансовом пакете.
5. Способ по п.4, дополнительно содержащий этап, на котором номер сеанса сохраняют в базе данных, связанной с моделью аутентификации.
6. Способ по п.4, в котором прием пакета авторизации и его дешифровка включают в себя прием пакета авторизации и дешифровку с ключом шифрования, который комплементарно связан с ключом сеанса.
7. Способ по п.4, в котором получение ключа сеанса включает в себя генерацию части открытого ключа из криптографической пары, используемой в инфраструктуре открытого ключа.
8. Способ по п.7, в котором прием пакета авторизации и его дешифровка включают в себя прием пакета авторизации и дешифровку частью секретного ключа из криптографической пары, используемой в инфраструктуре открытого ключа.
9. Способ по п.1, в котором прием пакета авторизации и его дешифровка включают в себя прием пакета авторизации и дешифровку с использованием компонента шифрования, независящего от предварительно установленной взаимосвязи для выполнения шифрования.
10. Способ по п.1, в котором генерация сеансового пакета включает в себя генерацию отметки времени сеанса и сохранение ее в сеансовом пакете.
11. Способ по п.1, в котором генерация сеансового пакета включает в себя
генерацию номера сеанса и сохранение его в сеансовом пакете;
получение ключа сеанса и сохранение его в сеансовом пакете; и
генерацию отметки времени сеанса и сохранение ее в сеансовом пакете.
12. Способ по п.11, дополнительно включающий в себя сохранение номера сеанса, ключа сеанса и отметки времени сеанса в базе данных, связанной с модулем аутентификации.
13. Способ по п.1, в котором выдача информации о том, предоставить или отказать в доступе на основе содержимого, содержит сравнение номера сеанса со списком достоверных значений, и выдачу информации о том, предоставить или отказать в доступе на основе, по меньшей мере, частично, этого сравнения.
14. Способ по п.1, в котором выдача информации о том, предоставить или отказать в доступе на основе содержимого, содержит оценку отметки времени сеанса для определения, принят ли пакет авторизации в течение предопределенного периода времени, и выдачу информации о том, предоставить или отказать в доступе на основе, по меньшей мере, частично, этой оценки.
15. Способ по п.1, в котором выдача информации о том, предоставить или отказать в доступе на основе содержимого, содержит сравнение представления данных о биометрической информации пользователя с, по меньшей мере, одним представлением данных биометрической информации, сохраненным в базе данных, и выдачу информации о том, предоставить или отказать в доступе на основе, по меньшей мере, частично, этого сравнения.
16. Способ по п.1, в котором предоставление информации о том, предоставить или отказать в доступе на основе содержимого, содержит этапы:
сравнивают номер сеанса со списком правильных значений;
оценивают отметку времени сеанса для определения, принят ли пакет авторизации в течение предопределенного периода времени;
сравнивают представление данных о биометрической информации пользователя с, по меньшей мере, одним представлением данных биометрической информации, сохраненным в базе данных; и
выдают информацию о том, предоставить или отказать в доступе, на основе результатов сравнения номера сеанса, оценки отметки времени сеанса и сравнения представления данных.
17. Способ по п.1, в котором предварительное установление взаимосвязи шифрования заключается в сохранении первого компонента шифрования клиентским вычислительным устройством и второго компонента шифрования модулем аутентификации, причем один из этих двух компонентов шифрования предназначен для дешифровки информации, которая была ранее зашифрована с использованием другого из первого и второго компонентов шифрования.
18. Способ по п.17, в котором шифрование сеансового пакета заключается в шифровании сеансового пакета с использованием одного из первого и второго компонентов шифрования.
19. Способ по п.1, в котором предварительное установление взаимосвязи для выполнения шифрования заключается в сохранении первой части криптографической пары, используемой в инфраструктуре открытого ключа клиентским вычислительным устройством, и второй части криптографической пары, используемой в инфраструктуре открытого ключа, моделью аутентификации, причем одна из первой и второй части предназначена для дешифровки информации, которая была ранее зашифрована с использованием другой части.
20. Способ по п.19, в котором шифрование сеансового пакета заключается в шифровании сеансового пакета с использованием одной из первой и второй части криптографической пары, используемой в инфраструктуре открытого ключа.
21. Способ по п.1, в котором предварительное установление взаимосвязи для выполнения шифрования заключается в сохранении первой части статической криптографической пары клиентским вычислительным устройством и второй части статической криптографической пары моделью аутентификации, причем одна из первой и второй части предназначена для дешифровки информации, которая была ранее зашифрована с использованием другой части.
22. Способ по п.21, в котором шифрование сеансового пакета заключается в шифровании сеансового пакета с использованием одной из первой и второй частей статической криптографической пары.
23. Способ по п.1, в котором использование модуля аутентификации заключается в использовании модуля аутентификации для управления доступом пользователей к коллекции информации, связанной с модулем приложения.
24. Способ по п.23, в котором использование модуля аутентификации для управления доступом пользователей к коллекции информации, связанной с модулем приложения, содержит этапы:
используют модуль аутентификации для управления доступом пользователей к коллекции информации, связанной с модулем приложения, который удаленно доступен клиентскому вычислительному устройству, в котором реализована клиентская система безопасности.
25. Способ по п.24, в котором использование модуля аутентификации для управления доступом пользователей к коллекции информации, связанной с модулем приложения, который удаленно доступен клиентскому вычислительному устройству, в котором реализована клиентская система безопасности, содержит этапы:
используют модуль аутентификации для управления доступом пользователей к коллекции информации, связанной с модулем приложения, который доступен через сеть Интернет клиентскому вычислительному устройству, в котором реализована клиентская система безопасности.
26. Способ по п.23, в котором использование модуля аутентификации для управления доступом пользователей к коллекции информации, связанной с модулем приложения, заключается в использовании модуля аутентификации для удаленного взаимодействия с модулем приложения.
27. Способ по п.26, в котором использование модуля аутентификации для удаленного взаимодействия с модулем приложения заключается в использовании модуля аутентификации для удаленного взаимодействия с модулем приложения через сеть Интернет.
28. Сигнал для передачи от модели аутентификации к клиентской системе безопасности в процессе аутентификации в биометрической системе защиты, содержащий сеансовый пакет данных, который включает в себя: ключ сеанса, причем ключ сеанса является ключом шифрования, предназначенным для использования при шифровании данных.
29. Сигнал по п.28, в котором ключ сеанса есть часть открытого ключа из криптографической пары, используемой в инфраструктуре открытого ключа.
30. Сигнал по п.28, в котором сеансовый пакет дополнительно включает в себя номер сеанса.
31. Сигнал по п.30, в котором номер сеанса есть величина, соответствующая инициированному сеансу, в котором генерируется сеансовый пакет.
32. Сигнал по п.30, в котором сеансовый пакет дополнительно включает в себя отметку времени, которая представляет собой время, в которое был инициирован сеанс.
33. Сигнал по п.28, в котором сеансовый пакет дополнительно включает в себя отметку времени.
34. Сигнал по п.33, в котором отметка времени есть значение времени, соответствующее примерному времени начала сеанса, инициированного в момент генерации сеансового пакета.
35. Сигнал по п.28, в котором сеансовый пакет дополнительно включает в себя номер сеанса и отметку времени.
36. Сигнал по п.28, в котором сеансовый пакет дополнительно включает в себя коллекцию командных данных.
37. Биометрическая система защиты, включающая в себя
клиентскую систему безопасности, предназначенную для формирования запроса на доступ к модулю приложения;
модуль приложения, предназначенный для приема запроса и выдачи ответа посредством отправки модулю аутентификации инструкции о инициации сеанса аутентификации; и
модуль аутентификации, выполненный с возможностью приема инструкции и выдачи ответа посредством генерации сеансового пакета, который передается клиентской системе безопасности, при этом клиентская система безопасности дополнительно выполнена с возможностью генерации пакета авторизации, который возвращается к модулю аутентификации после шифрования с использованием информации, содержащейся в сеансовом пакете.
38. Система по п.37, в которой модуль аутентификации предназначен для шифрования сеансового пакета с использованием первой части комплементарной криптографической пары ключей и в которой пользовательская система безопасности выполнена с возможностью дешифровки сеансового пакета с использованием второй части комплементарной криптографической пары ключей.
39. Система по п.38, в которой первая часть комплементарной криптографической пары ключей есть первая часть криптографической пары ключей, используемой в инфраструктуре открытого ключа, которая сохраняется модулем аутентификации, и в которой вторая часть комплементарной криптографической пары ключей есть вторая часть криптографической пары, используемой в инфраструктуре открытого ключа, которая сохраняется клиентской системой безопасности.
40. Система по п.38, в которой первая часть комплементарной криптографической пары есть первая часть статической криптографической пары ключей, которая сохраняется модулем аутентификации, и в которой вторая часть комплементарной криптографической пары ключей есть вторая часть статической криптографической пары ключей, которая сохраняется клиентской системой безопасности.
41. Система по п.37, в которой клиентская система безопасности дополнительно выполнена с возможностью получения ключа сеанса и сохранения его в сеансовом пакете, и в которой клиентская система безопасности выполнена с возможностью шифрования пакета авторизации с помощью ключа сеанса.
42. Система по п.41, в которой модуль аутентификации дополнительно выполнен с возможностью дешифровки пакета аутентификации с помощью сохраненного ключа сеанса, который комплементарен ключу сеанса, при этом сохраненный ключ сеанса хранится в месте, доступном модулю аутентификации.
43. Система по п.42, в которой клиентская система безопасности дополнительно выполнена с возможностью получения биометрической информации пользователя и сохранения ее в пакете аутентификации.
RU2004137285/09A 2002-05-21 2003-05-20 Системы и способы для защищенной биометрической аутентификации RU2320009C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US38228202P 2002-05-21 2002-05-21
US60/382,282 2002-05-21

Publications (2)

Publication Number Publication Date
RU2004137285A RU2004137285A (ru) 2005-07-20
RU2320009C2 true RU2320009C2 (ru) 2008-03-20

Family

ID=30000416

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2004137285/09A RU2320009C2 (ru) 2002-05-21 2003-05-20 Системы и способы для защищенной биометрической аутентификации

Country Status (7)

Country Link
US (1) US7117356B2 (ru)
EP (1) EP1537513A4 (ru)
AU (1) AU2003265238A1 (ru)
CA (1) CA2490226C (ru)
RU (1) RU2320009C2 (ru)
WO (1) WO2004001656A2 (ru)
ZA (1) ZA200410191B (ru)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2355307C2 (ru) * 2007-05-21 2009-05-20 Александр Иванович Иванов Способ аутентификации личности по рисунку отпечатка пальца и устройство для его реализации
RU2595885C2 (ru) * 2010-09-24 2016-08-27 Виза Интернэшнл Сервис Ассосиэйшн Способ и система, использующие универсальный идентификатор и биометрические данные
RU2604988C2 (ru) * 2012-05-09 2016-12-20 Морфо Способ проверки данных базы данных, относящейся к лицам
RU2644117C2 (ru) * 2013-10-25 2018-02-07 Хуавей Текнолоджиз Ко., Лтд. Способ аутентификации пользователя и терминал

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7422150B2 (en) * 2000-11-20 2008-09-09 Avante International Technology, Inc. Electronic voting apparatus, system and method
CA2469146A1 (en) * 2000-11-20 2002-09-12 Amerasia International Technology, Inc. Electronic voting apparatus, system and method
US7461787B2 (en) * 2000-11-20 2008-12-09 Avante International Technology, Inc. Electronic voting apparatus, system and method
US8548927B2 (en) * 2001-07-10 2013-10-01 Xatra Fund Mx, Llc Biometric registration for facilitating an RF transaction
US7635087B1 (en) 2001-10-01 2009-12-22 Avante International Technology, Inc. Method for processing a machine readable ballot and ballot therefor
US7077313B2 (en) 2001-10-01 2006-07-18 Avante International Technology, Inc. Electronic voting method for optically scanned ballot
US7828215B2 (en) 2001-10-01 2010-11-09 Avante International Technology, Inc. Reader for an optically readable ballot
US7415605B2 (en) * 2002-05-21 2008-08-19 Bio-Key International, Inc. Biometric identification network security
AU2003262746A1 (en) * 2002-08-20 2004-03-11 Fusionarc, Inc. Method of multiple algorithm processing of biometric data
US20050234735A1 (en) * 2003-11-26 2005-10-20 Williams Jim C Digital rights management using proximity testing
KR101226651B1 (ko) * 2003-12-24 2013-01-25 텔레콤 이탈리아 소시에떼 퍼 아찌오니 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조
US20050204005A1 (en) * 2004-03-12 2005-09-15 Purcell Sean E. Selective treatment of messages based on junk rating
US20060021003A1 (en) * 2004-06-23 2006-01-26 Janus Software, Inc Biometric authentication system
EP1815309A2 (en) * 2004-11-19 2007-08-08 Triad Biometrics, LLC Methods and systems for use in biomeiric authentication and/or identification
US20060129485A1 (en) * 2004-12-14 2006-06-15 International Business Machines Corporation Business method for credit card verification
JP2006221411A (ja) * 2005-02-10 2006-08-24 Sharp Corp 認証アルゴリズム評価装置および方法
US20070078908A1 (en) * 2005-05-17 2007-04-05 Santu Rohatgi Method and system for child safety
US20060282679A1 (en) * 2005-06-10 2006-12-14 Microsoft Corporation Secure rapid navigation and power control for a computer
US8232860B2 (en) * 2005-10-21 2012-07-31 Honeywell International Inc. RFID reader for facility access control and authorization
US20070245152A1 (en) * 2006-04-13 2007-10-18 Erix Pizano Biometric authentication system for enhancing network security
US7818395B2 (en) * 2006-10-13 2010-10-19 Ceelox, Inc. Method and apparatus for interfacing with a restricted access computer system
US7962755B2 (en) * 2006-04-28 2011-06-14 Ceelox, Inc. System and method for biometrically secured, transparent encryption and decryption
KR100744603B1 (ko) 2006-08-04 2007-08-01 이대성 생체 데이터를 이용한 패킷 레벨 사용자 인증 방법
US8412947B2 (en) * 2006-10-05 2013-04-02 Ceelox Patents, LLC System and method of secure encryption for electronic data transfer
US20080162527A1 (en) * 2006-12-29 2008-07-03 Ceelox Inc. System and method for secure and/or interactive dissemination of information
US8756422B2 (en) * 2006-12-29 2014-06-17 Ceelox Patents, LLC System and method for secure and/or interactive dissemination of information
WO2009030972A1 (en) * 2007-09-06 2009-03-12 Chin San Sathya Wong Method and system of generating and presenting search results
SG155082A1 (en) * 2008-02-26 2009-09-30 Victor Company Of Japan System for securely storing and distributing digital content, processes to be implemented in the system, and data format and structure therefor
US8066184B2 (en) 2008-04-30 2011-11-29 Avante International Technology, Inc. Optically readable marking sheet and reading apparatus and method therefor
WO2010106474A1 (en) 2009-03-19 2010-09-23 Honeywell International Inc. Systems and methods for managing access control devices
US8782755B2 (en) * 2009-03-20 2014-07-15 Citrix Systems, Inc. Systems and methods for selecting an authentication virtual server from a plurality of virtual servers
US8261985B2 (en) 2009-04-07 2012-09-11 Avante Corporation Limited Manual recount process using digitally imaged ballots
US8649519B2 (en) * 2009-09-04 2014-02-11 Rgb Systems, Inc. Method and apparatus for secure distribution of digital content
US8261986B2 (en) 2009-10-21 2012-09-11 Kevin Kwong-Tai Chung System and method for decoding an optically readable markable sheet and markable sheet therefor
US9280365B2 (en) 2009-12-17 2016-03-08 Honeywell International Inc. Systems and methods for managing configuration data at disconnected remote devices
US8787725B2 (en) 2010-11-11 2014-07-22 Honeywell International Inc. Systems and methods for managing video data
WO2012174603A1 (en) 2011-06-24 2012-12-27 Honeywell International Inc. Systems and methods for presenting dvm system information
US9344684B2 (en) 2011-08-05 2016-05-17 Honeywell International Inc. Systems and methods configured to enable content sharing between client terminals of a digital video management system
US10038872B2 (en) 2011-08-05 2018-07-31 Honeywell International Inc. Systems and methods for managing video data
US10362273B2 (en) 2011-08-05 2019-07-23 Honeywell International Inc. Systems and methods for managing video data
EP2973164B1 (en) 2013-03-15 2019-01-30 Intel Corporation Technologies for secure storage and use of biometric authentication information
US9160730B2 (en) 2013-03-15 2015-10-13 Intel Corporation Continuous authentication confidence module
US9590966B2 (en) 2013-03-15 2017-03-07 Intel Corporation Reducing authentication confidence over time based on user history
US9286482B1 (en) * 2013-06-10 2016-03-15 Amazon Technologies, Inc. Privacy control based on user recognition
US10523903B2 (en) 2013-10-30 2019-12-31 Honeywell International Inc. Computer implemented systems frameworks and methods configured for enabling review of incident data
US9646146B2 (en) 2014-03-10 2017-05-09 Bio-Key International, Inc. Utilization of biometric data
WO2015175107A1 (en) 2014-05-15 2015-11-19 Bio-Key International, Inc. Adaptive short lists and acceleration of biometric database search
KR102758937B1 (ko) * 2019-02-18 2025-01-23 삼성전자주식회사 생체 정보를 인증하기 위한 전자 장치 및 그의 동작 방법
CN111726348B (zh) * 2020-06-16 2022-09-30 中国建设银行股份有限公司 一种业务处理方法、装置及系统
US12567072B2 (en) * 2020-10-07 2026-03-03 Mastercard International Incorporated Systems and methods for use in biometric-enabled network interactions

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2158444C2 (ru) * 1995-11-06 2000-10-27 Ай Ди Системс, Инк. Электронная контролирующая система/сеть
RU2161826C2 (ru) * 1998-08-17 2001-01-10 Пензенский научно-исследовательский электротехнический институт Способ автоматической идентификации личности
US6256737B1 (en) * 1999-03-09 2001-07-03 Bionetrix Systems Corporation System, method and computer program product for allowing access to enterprise resources using biometric devices
US6263438B1 (en) * 1996-03-21 2001-07-17 Walker Digital, Llc Method and apparatus for secure document timestamping

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3959884A (en) 1975-07-25 1976-06-01 First Ann Arbor Corporation Method of classifying fingerprints
US4185270A (en) 1976-07-19 1980-01-22 Fingermatrix, Inc. Fingerprint identification method and apparatus
US4151512A (en) 1976-09-10 1979-04-24 Rockwell International Corporation Automatic pattern processing system
US4607384A (en) 1984-05-01 1986-08-19 At&T - Technologies, Inc. Fingerprint classification arrangement
US4790564A (en) 1987-02-20 1988-12-13 Morpho Systemes Automatic fingerprint identification system including processes and apparatus for matching fingerprints
KR920002928B1 (ko) 1989-11-28 1992-04-10 한국과학기술연구원 지문 인식 방법
US5261008A (en) 1990-08-07 1993-11-09 Yozan, Inc. Fingerprint verification method
US5140642A (en) 1991-04-23 1992-08-18 Wen Hsing Hsu Method and device for allocating core points of finger prints
US6002787A (en) 1992-10-27 1999-12-14 Jasper Consulting, Inc. Fingerprint analyzing and encoding system
CA2116600C (en) 1993-04-10 1996-11-05 David Jack Ittner Methods and apparatus for inferring orientation of lines of text
US5572597A (en) * 1994-03-29 1996-11-05 Loral Corporation Fingerprint classification system
US5631971A (en) 1994-05-24 1997-05-20 Sparrow; Malcolm K. Vector based topological fingerprint matching
US5659626A (en) 1994-10-20 1997-08-19 Calspan Corporation Fingerprint identification system
JP2776409B2 (ja) * 1995-08-02 1998-07-16 日本電気株式会社 皮膚紋様並びに指紋紋様の分類装置
US5841888A (en) 1996-01-23 1998-11-24 Harris Corporation Method for fingerprint indexing and searching
US5909501A (en) 1996-09-09 1999-06-01 Arete Associates Systems and methods with identity verification by comparison and interpretation of skin patterns such as fingerprints
US6072895A (en) 1996-12-13 2000-06-06 International Business Machines Corporation System and method using minutiae pruning for fingerprint image processing
US5953442A (en) 1997-07-24 1999-09-14 Litton Systems, Inc. Fingerprint classification via spatial frequency components
US6289112B1 (en) 1997-08-22 2001-09-11 International Business Machines Corporation System and method for determining block direction in fingerprint images
US6049621A (en) * 1997-08-22 2000-04-11 International Business Machines Corporation Determining a point correspondence between two points in two respective (fingerprint) images
US6233348B1 (en) 1997-10-20 2001-05-15 Fujitsu Limited Fingerprint registering apparatus, fingerprint identifying apparatus, and fingerprint identifying method
US20020030359A1 (en) 1998-04-02 2002-03-14 Jerker Bergenek Fingerprint system
US6241288B1 (en) 1998-04-02 2001-06-05 Precise Biometrics Ab Fingerprint identification/verification system
US20020031245A1 (en) 1999-05-14 2002-03-14 Roman Rozenberg Biometric authentification method
TW545023B (en) * 1999-12-10 2003-08-01 Koninkl Philips Electronics Nv Synchronization of session keys
FR2810822B1 (fr) 2000-06-23 2004-09-17 France Telecom Procede d'authentification/identification biometrique securise, module de saisie et module de verification de donnees biometriques permettant de mettre en oeuvre le procede
WO2002032308A1 (en) * 2000-10-17 2002-04-25 Kent Ridge Digital Labs Biometrics authentication system and method
JP2002247047A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
US7100054B2 (en) * 2001-08-09 2006-08-29 American Power Conversion Computer network security system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2158444C2 (ru) * 1995-11-06 2000-10-27 Ай Ди Системс, Инк. Электронная контролирующая система/сеть
US6263438B1 (en) * 1996-03-21 2001-07-17 Walker Digital, Llc Method and apparatus for secure document timestamping
RU2161826C2 (ru) * 1998-08-17 2001-01-10 Пензенский научно-исследовательский электротехнический институт Способ автоматической идентификации личности
US6256737B1 (en) * 1999-03-09 2001-07-03 Bionetrix Systems Corporation System, method and computer program product for allowing access to enterprise resources using biometric devices

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2355307C2 (ru) * 2007-05-21 2009-05-20 Александр Иванович Иванов Способ аутентификации личности по рисунку отпечатка пальца и устройство для его реализации
RU2595885C2 (ru) * 2010-09-24 2016-08-27 Виза Интернэшнл Сервис Ассосиэйшн Способ и система, использующие универсальный идентификатор и биометрические данные
RU2604988C2 (ru) * 2012-05-09 2016-12-20 Морфо Способ проверки данных базы данных, относящейся к лицам
RU2644117C2 (ru) * 2013-10-25 2018-02-07 Хуавей Текнолоджиз Ко., Лтд. Способ аутентификации пользователя и терминал
US10068105B2 (en) 2013-10-25 2018-09-04 Huawei Technologies Co., Ltd. User authentication method and terminal

Also Published As

Publication number Publication date
RU2004137285A (ru) 2005-07-20
EP1537513A2 (en) 2005-06-08
CA2490226A1 (en) 2003-12-31
WO2004001656A2 (en) 2003-12-31
AU2003265238A1 (en) 2004-01-06
ZA200410191B (en) 2006-04-26
WO2004001656A3 (en) 2005-04-14
US20030218534A1 (en) 2003-11-27
CA2490226C (en) 2012-04-24
US7117356B2 (en) 2006-10-03
EP1537513A4 (en) 2007-02-07

Similar Documents

Publication Publication Date Title
RU2320009C2 (ru) Системы и способы для защищенной биометрической аутентификации
US8214652B2 (en) Biometric identification network security
RU2343639C2 (ru) Высоконадежное биометрическое устройство
US11669605B1 (en) Dynamic enrollment using biometric tokenization
Idrus et al. A review on authentication methods
US8984601B2 (en) Enterprise security system
JP4111810B2 (ja) 個人認証端末、個人認証方法及びコンピュータプログラム
US7454624B2 (en) Match template protection within biometric security systems
US20070220594A1 (en) Software based Dynamic Key Generator for Multifactor Authentication
US20030101348A1 (en) Method and system for determining confidence in a digital transaction
US20100174914A1 (en) System and method for traceless biometric identification with user selection
US20080313707A1 (en) Token-based system and method for secure authentication to a service provider
CA2362321A1 (en) Digital signature providing non-repudiation based on biological indicia
AU2005307724A2 (en) Methods and systems for use in biomeiric authentication and/or identification
EP1160648A2 (en) Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium
US20190132312A1 (en) Universal Identity Validation System and Method
Chao Biometric-based personal identity-authentication system and security analysis
CN120408579B (zh) 安全认证方法、基板管理控制器、存储介质和程序产品
Schaffer Ontology for authentication
KR102310912B1 (ko) 생체 측정 식별 시스템 및 작동 방법
Wu Biometrics authentication system on open network and security analysis
KR20060040155A (ko) 지문인증기반의 데이터 보안 시스템 및 방법
Badıa-Reyes A FRAMEWORK FOR AUDITABLE, PAPER-EQUIVALENT ELECTRONIC FORMS USING DATA LOGGING, SECURE ACCESS CONTROLS, AND ELECTRONIC CERTIFICATES