[发明专利]指纹的两步中央匹配

说明书

在本发明的第一方面，提供了一种由客户端设备(100)执行的通过安全通信通道向网络节点(300)登记客户端设备的用户(200)的生物特征数据的方法。该方法包括捕获(S101)用户(200)的生物特征数据，使用与在其处，用户(200)将被认证的任何其它客户端设备(500)共享的第一特征转换密钥将生物特征数据转换(S102)成第一组转换的生物特征数据，生成(S103)第二特征转换密钥，并使用第二特征转换密钥将生物特征数据转换(S104)成第二组转换的生物特征数据。该方法进一步包括使用与要在其上认证用户(200)的生物特征数据验证节点(400)共享的加密密钥来加密(S105)第一组转换的生物特征数据和第二组转换的生物特征数据，使用与要在其处登记第一组转换的生物特征数据和第二组转换的生物特征数据的网络节点(300)共享的加密密钥加密(S106)第二特征转换密钥，并且向网络节点(300)提交(S107)包括加密的第一组转换的生物特征数据、第二组转换的生物识别数据、加密的第二特征转换密钥以及用户简档数据的登记请求。

技术领域

本发明涉及通过安全通信通道向网络节点登记用户的生物特征数据的方法和设备。本发明进一步涉及使得能够基于登记的生物特征数据对用户进行认证的方法和设备。

背景技术

基于生物特征技术的识别是一种用户友好的方式来安全地验证人类用户。当在分布式系统中将其用于识别目的时，生物特征数据的一个主要问题是模板生物特征数据必须在识别最终用户的计算机系统中的节点处可用。这构成了分布式计算机系统中的主要安全设计挑战，因为这通常需要将原始的、明文的生物特征数据存储在中央节点并分布在系统中。这样的解决方案非常容易受到原始生物特征数据泄露的影响，并且在一个系统上受损的数据可能导致相同生物特征数据在所有其它系统上以及使用生物特征数据时受到损害的情况。简单地加密生物特征数据将无法解决此问题，因为在验证期间原始生物特征数据必须在远程位置可用。

因此，需要提供允许基于生物特征识别进行远程认证但同时提供对原始生物特征数据的保护的解决方案。

发明内容

本发明的目的是解决或至少减轻本领域中的该问题，从而提供一种使得能够基于用户的生物特征数据在生物特征数据验证节点处对客户端设备的用户进行远程认证的改进方法。

在本发明的第一方面，通过客户端设备执行的通过安全通信通道向网络节点登记客户端设备的用户的生物特征数据的方法来实现该目的。该方法包括捕获用户的生物特征数据，使用与要在其处认证用户的任何其它客户端设备共享的第一特征转换密钥将生物特征数据转换为第一组转换的生物特征数据，生成第二特征转换密钥，使用第二特征转换密钥将生物特征数据转换为第二组转换的生物特征数据，并使用与要在其处对用户进行认证的生物特征数据验证节点共享的加密密钥对第一和第二组转换的生物特征数据进行加密。该方法还包括使用与要在其处登记第一组转换的生物特征数据和第二组转换生物特征数据的网络节点共享的加密密钥来加密第二特征转换密钥，以及向网络节点提交包括加密的第一和第二组转换的生物特征数据、加密的第二特征转换密钥和用户简档数据的登记请求。

在本发明的第二方面，该目的通过客户端设备实现，该客户端设备被配置成通过安全通信通道向网络节点登记客户端设备的用户的生物特征数据，该客户端设备包括生物特征数据感测系统，该系统包括生物特征数据传感器和处理单元。生物特征数据传感器被配置成捕获用户的生物特征数据。处理单元被配置成使用与要对用户进行认证的任何其它客户端设备共享的第一特征转换密钥将生物特征数据转换成第一组转换的生物特征数据，生成第二特征转换密钥，使用第二特征转换密钥将生物特征数据转换成第二组转换的生物特征数据，并使用与要对用户进行认证的生物特征数据验证节点共享的加密密钥对第一和第二组转换的生物特征数据进行加密。处理单元进一步被配置成使用与要在其处登记第一和第二组转换的生物特征数据的网络节点(300)共享的加密密钥来加密第二特征转换密钥，并且向网络节点提交包括加密的第一和第二组转换的生物特征数据、加密的第二特征转换密钥和用户简档数据的登记请求。