使用裝置證實進行生物計量驗證的系統和方法

使用裝置證實進行生物計量驗證的系統和方法
【專利說明】
[0001] 對優先權的要求
[0002] 本申請要求 2013 年 5 月 30 日提交的名稱為"Combining Biometric Authentication With Device Attestation"（組合生物計量驗證與裝置證實）的共同待審的美國臨時專利 申請No. 61/829, 081的權益，該專利轉讓給本非臨時專利申請的受讓人并且據此以引用方 式并入。
技術領域
[0003] 本發明整體涉及數據處理系統的領域。更具體地講，本發明涉及使用裝置證實進 行生物計量驗證的系統和方法。
【背景技術】
[0004] 現有系統已設計用于使用生物計量傳感器經由網絡提供安全用戶驗證。例如，專 利申請No. 2011/0082801 ("'801申請"）描述了一種在網絡上進行用戶注冊和驗證的框架， 這種框架提供強驗證（例如，防御身份竊取和網絡釣魚）、安全交易（例如，防御交易中的 "瀏覽器中的惡意軟件"和"中間人"攻擊）和客戶端驗證令牌的登記/管理（例如，指紋讀 取器、面部識別裝置、智能卡、可信平臺模塊等等）。
[0005] 生物計量傳感器在商用現成計算機系統（諸如LeiMvo ^ThinkPad1(和HP'# Elite Bookli )的本地計算機驗證中已使用多年。集成到這些計算機系統的生物計量傳感 器通常可依賴于計算機系統的完整性，因為便捷性（而非抵抗攻擊）是它們的主要目標。另 外商業計算機系統通常不夠穩固，根本無法抵御物理篡改。因此單獨為指紋傳感器添加物 理保護并沒有受到優先考慮。
[0006] 由于生物計量裝置已經用于遠程驗證某些應用程序，因此需要嚴格的組織方法來 保護生物計量系統的完整性。例如，這些生物計量系統通常是封閉的，并且它們到計算機系 統的接口只有授權人員和可信人員（例如，確保使用已知可接受的生物計量裝置并且該裝 置不會被篡改的可信個人或團體）才能訪問。
[0007] 隨著云服務被越來越多地采用，發展出了新的生物計量驗證使用案例，即對云服 務進行基于生物計量的驗證。在這種情況下，可將至少生物計量傳感器附接到無監督機器 上。這種無監督情況有兩個后果：
[0008] a)由于沒有檢查系統是否正遭到欺騙的監督方，生物計量裝置應具有集成的防欺 騙方法（即檢測虛假生物計量）；以及
[0009] b)機器和生物計量裝置的完整性不能被假設為由外部方法保護，因此需要有它們 自己的屏蔽機制。
[0010] 研究團體（Murali Mohan Chakka, 2011) (Marcialis, 2009) (Umut Uludag，Anil K. Jain;密歇根州立大學計算機科學與工程系）很好地識別并解決了（a)的需求。然而， (b)的技術尚未完全開發出來。特別地，對于應用程序要確定它是在與真正的生物計量裝置 通信還是在與惡意軟件通信，目前還沒有標準化的技術。另外，對于遠程依賴方（諸如云服 務）要確定訪問服務的請求是正由可信應用程序還是惡意軟件發送，目前還不存在可接受 的技術。
[0011] 圖1示出了具有生物計量裝置100的示例性客戶端120。正常運行時，生物計量 傳感器102從用戶讀取原始生物計量數據（例如，捕捉用戶指紋，記錄用戶聲音，拍攝用戶 的照片，等等），并且特征提取模塊103提取原始生物計量數據的指定特征（例如，注重于 指紋的某些區域、某些面部特征等等）。匹配器模塊104將所提取的特征133與存儲在客 戶端120上的安全存儲裝置中的生物計量參考數據110進行比較，并且基于所提取的特征 與生物計量參考數據110之間的相似性來生成得分153。生物計量參考數據110通常是登 記過程的結果，在登記過程中用戶向裝置100登記指紋、聲音樣本、圖像或其他生物計量數 據。應用程序105可接著使用得分135來確定驗證是否成功（例如，得分是否高于某個指 定閾值）。
[0012] 攻擊者可將生物計量管道內的不同位置130至136作為目標。例如，在130處，攻 擊者可向生物計量傳感器102提交虛假生物計量數據（例如，提交用戶聲音的錄音或用戶 指紋的照片）。在131處，攻擊者可再次向特征提取模塊103提交包含先前捕捉的特征的舊 信號，或者在132處，可完全重寫特征提取功能。在133處，攻擊者可篡改提供給匹配器104 的特征表示，或者在134處，可重寫匹配功能。在136處，攻擊者可向匹配器104提供偽造 的生物計量參考數據，或者在135處，可向應用程序105提供偽造的得分。因此，如圖1所 示，生物計量管道內有許多位置容易成為攻擊者的目標。

【發明內容】

【附圖說明】
[0013] 可結合下列附圖從以下【具體實施方式】更好地理解本發明，其中：
[0014] 圖1示出配備有生物計量裝置的示例性客戶端。
[0015] 圖2示出使用裝置證實進行生物計量驗證的系統架構的一個實施例。
[0016] 圖3A至C示出事務圖，顯示了依賴方與生物計量裝置上的加密引擎之間的示例性 交易。
[0017] 圖4A至B示出安全驗證系統架構的兩個不同實施例。
【具體實施方式】
[0018] 下文描述了用于在客戶端-服務器環境中實施使用裝置證實的驗證框架的設備、 方法以及機器可讀介質。在整個描述中，出于解釋的目的，本文陳述了許多特定細節以便透 徹理解本發明。然而，本領域的技術人員將容易明白，可在沒有這些特定細節中的一些的情 況下實踐本發明。在其他情況下，為免模糊本發明的基本原理，已熟知的結構和裝置未示出 或以框圖形式示出。
[0019] 下文論述的本發明的實施例涉及具有驗證能力（諸如生物計量裝置或PIN輸入） 的客戶端裝置。這些裝置在本文中有時稱為"令牌"、"驗證裝置"或"驗證器"。可使用各種 不同的生物計量裝置，包括但不限于指紋傳感器、聲音識別硬件/軟件（例如，用于識別用 戶聲音的麥克風和相關聯軟件）、面部識別硬件/軟件（例如，用于識別用戶面部的相機和 相關聯軟件）、以及光學識別功能（例如，用于掃描用戶的視網膜的光學掃描器和相關聯軟 件）。驗證能力還可包括非生物計量裝置，諸如可信平臺模塊（TPM)和智能卡。
[0020] 如上所述，在移動式生物計量的具體實施中，生物計量裝置可遠離依賴方。如本文 所用，術語"遠離"意味著生物計量傳感器不是其以通信方式耦接到的計算機的安全邊界的 一部分（例如，生物計量傳感器未嵌入到與依賴方計算機相同的物理外殼中）。舉例來說， 生物計量裝置可經由網絡（例如，因特網、無線網絡鏈路等）或經由外圍輸入（諸如USB端 口）耦接到依賴方。在這些條件下，依賴方可能無法知道裝置是否為得到依賴方授權的裝 置（例如，提供可接受等級的驗證和完整性保護的裝置）以及/或者黑客是否已經危及生 物計量裝置。生物計量裝置的置信度取決于裝置的特定實施。
[0021] 本發明的一個實施例采用密碼證實來向依賴方確保使用的是正確的生物計量裝 置。生物計量裝置可進入密碼證實交易，這時依賴方驗證生物計量裝置具有的傳感器類型。 具體地講，具有安全證實密鑰存儲裝置的加密引擎包括在生物計量裝置中，以向依賴方提 供安全證實。
[0022] 圖2示出本發明的一個實施例，其包括用于證實驗證器200的模型和/或完整性 的加密引擎205。具體地講，如下文詳細論述，加密引擎205執行與依賴方207的證實交易， 從而證明驗證器200的完整性。在該實施例中，依賴方207只有在它還能夠對驗證器200 完整性的證據進行驗證的情況下，才會信任匹配器204生成的得分。如圖2所示，在一個實 施例中，依賴方207可為云服務。然而，本發明的基本原理不限于任何特定類型的依賴方。
[0023] 在操作中，加密引擎205有權訪問安全密鑰存儲裝置211，該安全密鑰存儲裝置用 于存儲證實交易期間所使用的證實密鑰。例如，該密鑰可為生產時存儲在驗證器200中的 私有密鑰并且依賴方207可存儲對應的公共密鑰。然而，本發明的基本原理不限于任何特 定不對稱或對稱的密鑰具體實施。
[0024] 在一個實施例中，生物計量裝置包括保護證實密鑰的附加保護邏輯。響應于檢測 到某種篡改密鑰的企圖，保護邏輯會自動擦除密鑰。在一個實施例中，安全密鑰存儲裝置 211可以是與用于存儲生物計量參考數據210的安全存儲裝置相同的安全存儲裝置，但本 發明的基本原理不限于此具體實施。
[0025] 圖3a示出本發明的一個實施例中所采用的一系列證實交易。在交易300中，依賴 方207生成質詢，并且在交易301中將質詢發送到應用程序206,在交易302中，應用程序 206將質詢轉發到加密引擎205。在一個實施例中，質詢是依賴方207選擇的隨機數字或隨 機數。在操作303中，加密引擎205對該質詢生成簽名，并使用證實密鑰生成得