[发明专利]经认证的外部生物特征读取器和验证设备

说明书

公开了用于提供对计算设备的访问控制的外部生物特征读取器和验证设备，以及相关联的方法。外部读取器能够在所述计算设备的控制下存储和验证生物特征，并向所述计算设备发送身份验证消息。一种公开的设备包括可通信地连接到外部安全微控制器的生物特征读取器。所述外部安全微控制器存储生物特征数据集和签署密钥。所述签署密钥能够由设备制造商在制造设施的受控密钥注入室中注入，并且能够用于对证书进行签署。能够对所述计算设备的操作系统进行编程以发送对所述证书的请求、接收所述证书，以及使得使用所述验证消息对所述操作系统的访问控制基于所述证书的验证。

背景技术

身份认证是现代计算机设备的重要特征。计算机化的设备为敏感控制系统、机密信息和个人身份信息提供门户，这些门户应当仅由特定个人或特定人群访问。除了安全性，身份认证还可以为跟踪设备的使用或为用户定制设备提供一定程度的便利。在多用户设备的情况下，设备可以使用身份认证信息来提供专门适用于单个用户的数据或接口，或者提供有关哪个用户使用该设备进行了哪些动作的更准确记录。例如，工厂终端可以跟踪哪个员工使用该设备进行了具体的装配线动作。此外，一些多用户设备被专门设计用于识别目的，诸如用于跟踪员工何时上班的考勤卡系统或用于确定用户是否被授权通过物理障碍的电子控制的接入点。

传统的用于身份认证的方法包括使用各种信息进行的验证操作，这些信息通俗地被称为：您是谁、您知道什么以及您拥有什么。由于生物特征(您是谁)信息的普遍性、永久性和便利性，它正在取代越来越多的应用中的密码(您知道什么)信息。但是，生物特征信息的永久性已造成使用量的增加，同时也增加了对隐私的关注。如果身份窃贼破坏了喜欢的密码，那么用户可以非常容易地切换到其它任意字符串。但是，如果生物特征数据遭到破坏，情况将更加严重。除了其永久性之外，生物特征信息是一个人的一部分这一简单事实导致对恶意行为者暗中获取该信息的敏感性提高。通常不关心存储在外部并用来识别他们的身份的永久个人信息(如母亲的娘家姓)的人们，有时会不愿意向第三方提供指纹或虹膜扫描。

发明内容

本公开涉及外部生物特征读取器和验证设备。特别地，设备被称为“外部”，因为它们向与其物理上分离的相关联的计算设备提供生物特征服务。例如，外部设备可以是经由通用串行总线(USB)连接到膝上型计算机的物理上分离的指纹读取器。在整个本公开中用作示例的计算设备是具有操作系统的多用户计算设备，其中基于经由生物特征信息的用户身份认证来确定对操作系统的至少一个服务的访问。计算设备和外部设备在物理上可以是不同的，并且可以分别制造和分销，然后通过在两个设备之间形成通信连接来配对。通信连接可以由诸如将计算设备的外部端口连接到外部设备的USB电线之类的电线来形成。外部生物特征设备可以为计算设备提供使用通过通信连接发送的消息经由生物特征信息对用户身份进行上面提到的验证的能力。

通过其中生物特征读取器和验证设备是外部设备的实施例来实现具体的好处，因为它可以用于扩充任何需要生物特征访问的设备，唯一的要求就是能够在那个设备的操作系统和外部设备之间形成通信连接的能力以及根据以下详细描述中公开的方法对所述操作系统的软件修改。此外，通过其中计算设备是多用户设备的实施例来实现具体的好处，因为生物特征被本地存储在外部设备上，并且与尚未针对生物特征信息的安全存储进行优化的计算设备相比，可以使外部设备更加安全。此外，通过在外部设备上进行生物特征验证来实现具体的好处，因为生物特征本身不需要通过网络发送，甚至不需要通过专用的设备间连接发送。

虽然将外部设备用于生物特征验证提供了如上所述的某些好处，但是利用该方法的实施例也会产生某些技术问题。例如，由于生物特征验证现在是在外部进行的，因此必须注意确保验证消息由已向计算设备进行认证的设备提供。否则，可以从冒充经过认证的生物特征验证设备的恶意设备提供欺骗的认证消息，以便获得对计算设备的未授权访问。