[发明专利]允许基于生物识别数据通过安全通信信道进行对客户端设备的用户的认证的方法和设备

说明书

本发明涉及允许基于生物识别数据通过安全通信信道来进行对客户端设备(100，500)的用户(200)的认证的方法和设备。在本发明的一方面，提供了被配置成允许基于由客户端设备(100，500)捕获的生物识别数据来进行对客户端设备(100，500)的用户(200)的认证的网络节点(300)，该受信网络节点(300)包括处理单元(301)，该处理单元(301)被配置成：从客户端设备(500)接收用于对客户端设备(500)的用户进行认证的请求，该认证请求包括使用与客户端设备共享的第一秘密特征转换密钥转换的第一经转换的生物识别数据集；从安全终端用户储存库(400)获取第二秘密特征转换密钥和与从客户端设备(500)接收的第一经转换的生物识别数据集相关联的第二登记的经转换的生物识别数据集，在网络节点(300)处登记经转换的生物识别数据时，利用该第二秘密特征转换密钥对第二生物识别数据集进行转换；以及通过安全通信信道向客户端设备(500)提交第二经转换的生物识别数据集和第二秘密特征转换密钥。

技术领域

本发明涉及基于生物识别数据通过安全通信信道实现对客户端设备的用户的认证的方法和设备。

背景技术

基于生物特征的识别是安全地对人类用户进行认证的用户友好的方式。当在分布式系统中将生物识别数据用于识别目的时，生物识别数据的一个主要问题是模板生物识别数据必须在计算机系统中的节点处可用，假设在此节点处终端用户将被识别。这在分布式计算机系统中构成了主要安全设计挑战，因为这通常需要将原始的明文生物识别数据存储在中央节点处并分布在系统中。这样的解决方案非常容易受到原始生物识别数据损害的影响，并且在一个系统上受到损害的数据可能导致生物识别数据在所有其他系统上的相同的生物识别数据受到损害以及在使用生物识别数据的地方受到损害的情况。简单地加密生物识别数据将无法解决此问题，因为在认证期间原始生物识别数据必须在远程位置处可用。

因此，存在提供允许基于生物特征识别进行远程认证但同时提供对原始生物识别数据的保护的解决方案的需要。

发明内容

本发明的目的是解决或至少减轻本领域中的这个问题，因此提供了一种基于生物识别数据通过安全通信信道来实现对客户端设备的用户的认证的改进的方法。

在本发明的第一方面，该目的通过由客户端设备执行的允许基于由客户端设备捕获的生物识别数据来进行对客户端设备的用户的认证的方法来实现。该方法包括：捕获用户的至少一个生物识别数据集；将至少一个生物识别数据集转换成第一不可逆生物识别数据集和第二不可逆生物识别数据集；以及通过安全通信信道向受信网络节点提交包括第一经转换的生物识别数据集和第二经转换的生物识别数据集的登记请求。

在本发明的第二方面，该目的通过被配置成允许基于由客户端设备捕获的生物识别数据来进行对客户端设备的用户的认证的客户端设备来实现。该客户端设备包括包含生物识别数据传感器和处理单元的生物识别数据感测系统。生物识别数据传感器被配置成：捕获用户的至少一个生物识别数据集；以及处理单元被配置成：将至少一个生物识别数据集转换成第一不可逆生物识别数据集和第二不可逆生物识别数据集；以及通过安全通信信道向受信网络节点提交包括第一经转换的生物识别数据集和第二经转换的生物识别数据集的登记请求。

在本发明的第三方面，该目的通过由网络节点执行的允许基于由客户端设备捕获的生物识别数据来进行对客户端设备的用户的认证的方法来实现。该方法包括：通过安全通信信道从客户端设备接收登记请求，该登记请求包括至少用户的第一经转换的生物识别数据集和第二经转换的生物识别数据集；以及将所接收的第一经转换的生物识别数据集和第二经转换的生物识别数据集、秘密特征转换密钥存储在安全终端用户储存库中，在客户端设备处使用该秘密特征转换密钥对第二生物识别数据集进行转换。