[发明专利]认证数据传输方法与系统

说明书

一种认证数据传输方法与系统，该方法运行于计算机系统中，计算机系统连接生物识别装置，在该方法中，计算机系统先与生物识别装置之间依据安全协议建立安全通道，经认证请求后，可从生物识别装置接收经加密形成的生物特征数据，在计算机系统建立的安全执行环境中解密生物特征数据，并提取生物特征信息，经比对数据库中特征数据后产生比对结果，之后回传该比对结果至生物识别装置，使得生物识别装置可以根据安全协议加密比对结果，以符合所述安全协议的方式通过安全通道传送至计算机系统。

技术领域

本发明提出一种传输认证数据的方法，特别是一种运行于计算机系统中符合安全传输协议的认证数据传输方法与系统。

背景技术

在计算机主机上设置安全登入的措施的目的是要提供一种安全登入计算机系统的解决方案，除了传统密码帐号登入的方式外，还有计算机主机在登入系统时要求以生物识别技术(biometrics)提供更安全的登入方法，可以避免非计算机使用者或恶意程序非法登入系统，通过生物识别技术可以确保使用者本人登入系统。

为了达到以上安全登入的目标，微软公司(Microsoft^TMCorp.)提出一种安全装置连接协议(Secure Device Connection Protocol，SDCP)，使得计算机操作系统可以接受生物识别技术成为登入验证的安全通道，如此可以有效避免外部恶意程序侵入系统。

然而，根据微软公司提出的安全装置连接协议，需要芯片匹配(Match on Chip，MOC)的设备才能支持该安全装置连接协议，使得上述的生物识别认证系统在设计上受到了许多限制。

发明内容

为了让以主机匹配(Match on Host，MOH)技术实现的生物识别装置可应用在安全协议下的认证环境，本发明提出一种认证数据传输方法与系统，通过新设计的安全通道(secure channel)让原本不支持主机匹配技术的安全协议仍可接受相关认证程序。

根据所述认证数据传输方法的实施例，该方法运行于计算机系统中，计算机系统连接生物识别装置，在该方法中，计算机系统通过特定连接方式连接生物识别装置，两者之间依据安全协议先建立安全通道。

当计算机系统执行需要通过生物识别认证的程序时，先发出认证请求至生物识别装置，之后由生物识别装置采集到使用者的生物特征数据，可以经加密后传送到计算机系统，计算机系统即从生物识别装置接收经加密形成的生物特征数据。之后，在安全执行环境中解密生物特征数据，再从生物特征数据中提取生物特征信息，用以比对数据库中的特征数据，产生比对结果。

接着，计算机系统传送该比对结果至生物识别装置，在生物识别装置中，即可以根据所述安全协议加密比对结果，再通过依照此安全协议建立的安全通道传送经加密的比对结果至计算机系统，而该传送过程即已符合原本仅支持芯片匹配(MOC)技术的安全协议。

优选地，所述生物识别装置是以主机匹配技术实现，其中设有采集生物特征的传感器，以及经传感器采集到生物特征后，形成生物特征数据的处理电路。

优选地，计算机系统可通过驱动程序接口连接生物识别装置的处理电路，计算机系统可通过驱动程序接口从处理电路接收生物特征数据，也经驱动程序接口将比对结果传送至处理电路。

进一步地，所述安全执行环境为由计算机系统通过其处理器执行软件程序形成，可在该安全执行环境中执行解密、提取生物特征信息，以及比对生物特征信息，产生比对结果。

根据一个实施例，所述安全协议可为微软公司提出的安全装置连接协议(SDCP)，所述安全通道即为在该安全装置连接协议下建立的安全通道一。

进一步地，当计算机系统通过所述安全通道接收比对结果时，经确认比对结果后，即停止访问生物识别装置。