经由区块链使用生物特征数据和不可逆函数进行身份验证
阅读:691发布:2020-05-08
专利汇可以提供经由区块链使用生物特征数据和不可逆函数进行身份验证专利检索,专利查询,专利分析的服务。并且一种计算机实现的方法,包括:由计算设备经由用户设备接收用户的 生物 特征数据作为 访问 安全设备的 请求 的一部分;由计算设备将不可逆函数应用于 生物特征数据 以加扰生物特征数据;由计算设备确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配;以及由计算设备基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本匹 配向 安全设备提供认证消息请求对用户进行认证,其中提供认证消息向用户设备的用户提供对安全设备的访问。,下面是经由区块链使用生物特征数据和不可逆函数进行身份验证专利的具体信息内容。
1.一种计算机实现的方法,包括:
由计算设备经由用户设备接收用户的生物特征数据作为访问安全设备的请求的一部分;
由计算设备将不可逆函数应用于生物特征数据以加扰生物特征数据;
由计算设备确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配;
以及
由计算设备基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本匹配向安全设备提供认证消息请求对用户进行认证,其中提供认证消息向用户设备的用户提供对安全设备的访问。
2.如权利要求1所述的方法,进一步包括:
确定与用户相关联的认知状态数据;以及
基于确定认知状态数据将不可逆函数应用于认知状态数据,其中加扰的生物特征数据包括在不可逆函数已被应用于认知状态数据之后的认知状态数据。
3.如权利要求2所述的方法,进一步包括基于认知状态数据选择多个不可逆函数中的特定不可逆函数,其中应用不可逆函数是基于选择特定不可逆函数。
4.如权利要求1所述的方法,其中确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配包括:确定加扰的生物特征数据是否以可配置的阈值程度与加扰的生物特征数据的预注册版本匹配。
5.如权利要求1所述的方法,其中加扰数据的预注册版本被包括作为区块链中的区块链事务。
6.如权利要求5所述的方法,其中区块链由多个分布式认证服务器维护。
7.如权利要求1所述的方法,进一步包括:
经由用户设备接收用户的注册生物特征数据作为注册请求的一部分;
将不可逆函数应用于注册生物特征数据,以对注册生物特征数据加扰,并形成加扰生物特征数据的预注册版本;以及
存储加扰的生物特征数据的预注册版本。
8.如权利要求7所述的方法,其中加扰的生物特征数据的预注册版本被存储为区块链中的区块链事务。
9.如权利要求1所述的方法,其中安全设备包括从由以下各项组成的组中选择的至少一项:
客户端服务器;以及
具有计算机网络通信能力的物理设备。
10.如权利要求1所述的方法,其中服务提供商创建、维护、部署和支持该计算设备中的至少一个。
11.如权利要求1所述的方法,其中接收生物特征数据、应用不可逆函数、确定加扰的生物特征数据与预注册版本是否匹配、以及提供认证消息是由服务提供商在订阅、广告和/或费用的基础上提供的。
12.如权利要求1所述的方法,其中计算设备包括被提供为云环境中的服务的软件。
13.如权利要求1所述的方法,进一步包括部署用于认证用户的系统,包括提供可操作来执行以下操作的计算机基础架构:接收生物特征数据、应用该不可逆函数、确定加扰的生物特征数据与预注册版本是否匹配、以及提供认证消息。
14.一种用于认证用户以访问安全设备的计算机程序产品,计算机程序产品包括具有体现在其上的程序指令的计算机可读存储介质,程序指令可由计算设备执行以使计算设备:
经由用户设备接收用户的注册生物特征数据作为注册请求的一部分;
对注册生物特征数据应用不可逆函数,以对注册生物特征数据进行加扰并且形成加扰的生物特征数据的预注册版本;
将加扰的生物特征数据的预注册版本存储为区块链事务;
经由用户设备接收用户的生物特征数据作为访问安全设备的请求的一部分;
对生物特征数据应用不可逆函数,以对生物特征数据进行加扰;
通过访问区块链,确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配;以及
基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本匹配,向安全设备提供认证消息请求对用户进行认证,其中提供认证消息向用户设备的用户提供对安全设备的访问。
15.如权利要求14所述的计算机程序产品,其中一个或多个处理器进一步使得计算装置:
确定与用户相关联的认知状态数据;以及
将不可逆函数应用于认知状态数据,其中加扰的数据包括在不可逆函数已被应用于认知状态数据之后的认知状态数据。
16.如权利要求15所述的计算机程序产品,其中一个或多个处理器进一步使得计算装置基于认知状态数据选择多个不可逆函数中的特定不可逆函数,其中应用不可逆函数是基于选择特定不可逆函数。
17.如权利要求14所述的计算机程序产品,其中确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配包括:确定加扰的生物特征数据是否以可配置的阈值程度与加扰的生物特征数据的预注册版本匹配。
18.如权利要求14所述的计算机程序产品,其中区块链由多个分布式认证服务器维护。
19.一种系统,包括:
与计算设备相关联的CPU、计算机可读存储器和计算机可读存储介质;
用于维护区块链的程序指令,区块链存储用户的加扰生物特征数据的预注册版本;
用于经由用户设备接收用户的生物特征数据作为访问安全设备的请求的一部分的程序指令;
用于使用不可逆函数对生物特征数据进行加扰的程序指令;
用于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配的程序指令;以及
用于基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本匹配向安全设备提供认证消息请求对用户进行认证的程序指令,其中提供认证消息向用户设备的用户提供对安全设备的访问;
其中程序指令存储在计算机可读存储媒质上以供CPU经由计算机可读存储器执行。
20.如权利要求19所述的系统,还包括用于基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本不匹配,拒绝对安全设备的访问或请求附加认证信息的程序指令。
21.一种系统,包括:
与计算设备相关联的CPU、计算机可读存储器和计算机可读存储介质;
用于经由用户设备接收用户的生物特征数据的程序指令;
用于使用不可逆函数对生物特征数据进行加扰的程序指令;以及
用于基于加扰的生物特征数据与区块链中存储的加扰的生物特征数据的预注册版本匹配向安全设备提供认证消息,请求对用户进行认证的程序指令,其中提供认证消息向用户设备的用户提供对安全设备的访问;
其中程序指令存储在计算机可读存储介质上以供CPU经由计算机可读存储器执行。
22.如权利要求21所述的系统,还包括用于基于加扰的生物特征数据与加扰的生物特征数据的预注册版本不匹配,拒绝对安全设备的访问的程序指令。
23.如权利要求21所述的系统,其中对生物特征数据进行加扰包括使用从由以下各项组成的组中选择的加扰技术:
笛卡尔加扰技术;
极性加扰技术;以及
表面折叠加扰技术。
24.一种用于认证用户以访问安全设备的计算机程序产品,计算机程序产品包括具有体现在其上的程序指令的计算机可读存储介质,程序指令可由计算设备执行以使计算设备:
经由用户设备接收用户的注册生物特征数据作为注册请求的一部分;
当接收到注册生物特征数据时确定用户的认知状态;
基于用户的认知状态从多个不可逆函数中选择不可逆函数;
将不可逆函数应用于注册生物特征数据以加扰注册生物特征数据以形成加扰生物特征数据的预注册版本;
将加扰的生物特征数据的预注册版本存储为区块链事务;
经由用户设备接收用户的生物特征数据作为访问安全设备的请求的一部分;
对生物特征数据应用不可逆函数以对生物特征数据进行加扰;
通过访问区块链,确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配;以及
基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本匹配,向安全设备提供认证消息,请求对用户进行认证,其中提供认证消息向用户设备的用户提供对安全设备的访问。
25.如权利要求24所述的计算机程序产品,其中生物特征数据被存储为区块链事务。
经由区块链使用生物特征数据和不可逆函数进行身份验证
背景技术
[0002] 身份验证(例如,出于授权个体访问资产的目的)通常使用生物特征数据(例如,个体的生物特征的计算机扫描,诸如视网膜扫描、指纹扫描、语音扫描等)来实现。生物特征数据可以与个体的预先注册的生物特征数据进行比较,并且当扫描的生物特征数据与预先注册的生物特征数据匹配时,可以准许访问。
[0003] 存储预先注册的生物特征数据可能是有问题的,因为如果存储预先注册的生物特征数据的认证服务器由恶意方访问,则恶意方可能能够使用预先注册的生物特征数据来访问他们未被授权的资产。照此,大量金融损失、身份盗窃和/或其他损失可从依赖于生物特征数据的非安全身份验证技术发生。
[0004] 安全漏洞的频率和成本随着包含敏感的、个体可识别的、和支付信息的站点的体积和流量的增加而持续增加。可实现客户端侧认证中的附加层,然而这些附加层通常不足以防止昂贵的安全攻击。多层客户端认证对用户来说可能是繁重的,用户将需要记忆越来越多的凭证,并且将需要周期性地(例如,每几个月)改变这些凭证。另外,多层客户端认证仍不能限制攻击者所使用的战略(例如,从识别客户端侧弱点,到犯罪证和其他类型的攻击/违反的传播)。
发明内容
[0005] 在本发明的一方面,一种计算机实现的方法包括:由计算设备经由用户设备接收用户的生物特征数据作为访问安全设备的请求的一部分;由计算设备将不可逆函数应用于生物特征数据以加扰生物特征数据;由计算设备确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配;以及由计算设备基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本匹配向安全设备提供认证消息请求对用户进行认证,其中提供认证消息向用户设备的用户提供对安全设备的访问。计算机实现的方法还包括确定与用户相关联的认知状态数据;以及基于确定认知状态数据将不可逆函数应用于认知状态数据,其中加扰的生物特征数据包括在不可逆函数已被应用于认知状态数据之后的认知状态数据。有利的是,本发明的各方面可以通过存储加扰的生物特征数据而不是原始生物特征数据来改进用户认证和欺诈检测,并且可以将用户认证与认知状态数据相结合。
[0006] 在本发明的一方面,存在一种用于认证用户访问安全设备的计算机程序产品。该计算机程序产品包括具有体现在其上的程序指令的计算机可读存储介质,程序指令可由计算设备执行以使计算设备:经由用户设备接收用户的注册生物特征数据作为注册请求的一部分;对注册生物特征数据应用不可逆函数,以对注册生物特征数据进行加扰并且形成加扰的生物特征数据的预注册版本;将加扰的生物特征数据的预注册版本存储为区块链事务;经由用户设备接收用户的生物特征数据作为访问安全设备的请求的一部分;对生物特征数据应用不可逆函数,以对生物特征数据进行加扰;通过访问区块链,确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配;以及基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本匹配,向安全设备提供认证消息请求对用户进行认证,其中提供认证消息向用户设备的用户提供对安全设备的访问。在实施例中,区块链可由多个分布式认证服务器维护。有利的是,本发明的各方面可以通过存储加扰的生物特征数据而不是原始生物特征数据来改进用户认证和欺诈检测,并且可以使用区块链以分布式方式存储数据以防止单个漏洞点。
[0007] 在本发明的一方面,一种系统包括:与计算设备相关联的CPU、计算机可读存储器和计算机可读存储介质;用于维护区块链的程序指令,区块链存储用户的加扰生物特征数据的预注册版本;用于经由用户设备接收用户的生物特征数据作为访问安全设备的请求的一部分的程序指令;用于使用不可逆函数对生物特征数据进行加扰的程序指令;用于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配的程序指令;以及用于基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本匹配向安全设备提供认证消息请求对用户进行认证的程序指令,其中提供认证消息向用户设备的用户提供对安全设备的访问。程序指令存储在计算机可读存储媒质上以供CPU经由计算机可读存储器执行。系统还包括用于基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本不匹配,拒绝对安全设备的访问或请求附加认证信息的程序指令。有利的是,本发明的各方面可以通过存储加扰的生物特征数据而不是原始生物特征数据来改进用户认证和欺诈检测,并且可在需要时获取额外的身份认证数据。
[0008] 在本发明的一方面,一种系统包括:与计算设备相关联的CPU、计算机可读存储器和计算机可读存储介质;用于经由用户设备接收用户的生物特征数据的程序指令;用于使用不可逆函数对生物特征数据进行加扰的程序指令;以及用于基于加扰的生物特征数据与区块链中存储的加扰的生物特征数据的预注册版本匹配来向安全设备提供认证消息,请求对用户进行认证的程序指令,其中提供认证消息向用户设备的用户提供对安全设备的访问。程序指令存储在计算机可读存储介质上以供CPU经由计算机可读存储器执行。所述系统还包括用于基于加扰的生物特征数据与加扰的生物特征数据的预注册版本不匹配,拒绝对安全设备的访问的程序指令。对生物特征数据进行加扰包括使用从由以下各项组成的组中选择的加扰技术:笛卡尔加扰技术;极性加扰技术;以及表面折叠加扰技术。
[0009] 在本发明的一方面,存在一种用于认证用户访问安全设备的计算机程序产品,计算机程序产品包括具有体现在其上的程序指令的计算机可读存储介质。程序指令可由计算设备执行以使计算设备:经由用户设备接收用户的注册生物特征数据作为注册请求的一部分;当接收到注册生物特征数据时确定用户的认知状态;基于用户的认知状态从多个不可逆函数中选择不可逆函数;将不可逆函数应用于注册生物特征数据以加扰注册生物特征数据以形成加扰生物特征数据的预注册版本;将加扰的生物特征数据的预注册版本存储为区块链事务;经由用户设备接收用户的生物特征数据作为访问安全设备的请求的一部分;对生物特征数据应用不可逆函数以对生物特征数据进行加扰;通过访问区块链,确定加扰的生物特征数据与加扰的生物特征数据的预注册版本是否匹配;以及基于确定加扰的生物特征数据与加扰的生物特征数据的预注册版本匹配,向安全设备提供认证消息,请求对用户进行认证,其中提供认证消息向用户设备的用户提供对安全设备的访问。在进一步的方面,生物特征数据被存储为区块链事务。附图说明
[0010] 在下面的详细描述中,参照所提到的多个附图,通过本发明的示例性实施例的非限制性示例来描述本发明。
[0012] 图2描绘了根据本发明的实施例的云计算环境。
[0013] 图3描绘了根据本发明的实施例的抽象模型层。
[0014] 图4A和4B示出了根据本发明的方面的示例实现的概述。
[0015] 图5示出了根据本发明的方面的示例环境。
[0016] 图6示出了根据本发明的各方面的认证服务器的示例组件的框图。
[0017] 图7示出了根据本发明的各方面的用于经由一个或多个认证服务器注册用户进行认证的过程的示例流程图。
[0018] 图8示出了根据本发明的各方面的用于认证用户以访问客户端服务器的过程的示例流程图。
[0019] 图9-11示出了根据本发明的各方面的用于加扰(scrambling)生物特征数据的示例。
具体实施方式
[0020] 本发明总体上涉及使用生物特征数据的身份验证,并且更具体地涉及使用生物特征数据和经由区块链的不可逆函数的身份验证。本发明的各方面可通过以下操作来验证或认证个体的身份:接收与该个体相关联的生物特征数据,使用非可逆或加扰函数来加扰该生物特征数据,以及将经加扰的生物特征数据与预先注册的加扰的生物特征数据进行比较,以确定加扰的生物特征数据是否与预先注册的加扰的生物特征数据相匹配,以便认证该个体的身份。在实施例中,本发明的各个方面可以考虑用于身份验证的其他因素。例如,认知状态数据可以用于验证个体的身份。在实施例中,认知状态数据可以包括指示个体的当前活动、个体的历史模式(例如,历史购物模式、服务访问模式、资产访问模式等)的信息。
[0021] 在实施例中,认知状态数据还可以被加扰并且与加扰的生物特征数据组合以用于识别个体。附加地或可替代地,认知状态数据可被用于选择特定不可逆函数以在对生物特征数据加扰时使用。如本文所描述的,加扰数据可以与预注册的加扰数据进行比较以认证个体。一旦个体已经被认证,可以准予对资产的访问(例如,对用于访问电子资金的金融服务器的访问、对电子信息的访问、计算机应用、诸如保险箱的物理资产、贵金属和/或其他贵重物品的储存库等的访问)。
[0022] 本发明的各方面可以使用区块链技术来共享和发布注册和加扰的数据,从而使得分布式认证服务器可以用于认证或验证个体的身份。对此,单个认证服务器在尝试访问加扰数据时可能不会受到损害。此外,由于认证服务器或区块链没有存储实际的生物特征数据,所以恶意方不可能访问或窃取与个体相关联的生物特征数据。结果,个体认证中的安全性被极大地提高。
[0023] 如在此所描述的,当用户尝试认证其身份时,认证服务器可以验证区块链中的加扰的生物特征数据、认知状态数据和/或交易数据。以此方式,用户认证可能更安全并且对于用户而言也是较不繁重的,因为将不需要用户记住用于认证的不同口令来访问不同客户端服务器。此外,认证服务器可以针对每个区块链交易对情感或认知状态进行分类,并且将认知状态与客户端服务器所托管的客户端站点上的用户体验相关联。在实施例中,不可逆行为和生物特征数据可与每个区块链交易相关联。以此方式,针对每一交易捕捉端到端数据(例如,用户信息、生物测定和行为/认知状态、客户端服务器信息等)。如本文所描述的,区块链技术连同不可逆函数可以用于加密和管理生物特征数据、认知状态数据和客户端站点数据之间的链接。
[0024] 本发明的各方面通过提供一种以不可逆函数加扰生物特征数据的技术方案,可以解决身份认证的技术问题。另外或替代地,本发明的各方面提供一种用于基于个体的认知状态来验证身份、使用认知状态数据来选择用于加扰生物特征数据的特定不可逆函数、以及使用认知状态数据结合加扰的生物特征数据来认证个体的身份的技术方案。附加地或可替代地,本发明的各方面提供一种通过利用区块链技术来安全地共享和分发用于认证身份的信息,从而防止单个认证服务器易受攻击,来提高身份认证的完整性的技术方案。附加地或可替代地,本发明的各方面提供了一种用于通过仅存储加扰的数据而非实际生物特征数据来提高身份认证的完整性的技术方案。在实施例中,本发明的各方面可通过将生物特征数据与用于认证用户的认知状态数据组合来改善欺诈检测。
[0025] 本发明可以是处于任何可能的技术细节集成水平的系统、方法和/或计算机程序产品。该计算机程序产品可以包括其上具有用于使处理器执行本发明的各方面的计算机可读程序指令的计算机可读存储介质。
[0026] 计算机可读存储介质可以是有形的设备,其可以保留和存储由指令执行设备使用的指令。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述的任何合适的组合。计算机可读存储介质的更具体示例的非穷举列表包括以下内容:便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式光盘只读存储器(CD-ROM)、数字多功能磁盘(DVD)、记忆棒、软盘、机械编码设备,例如打孔卡或凹槽中的凸起结构,上面记录了指令,以及上述内容的任何合适组合。如本文所使用的,计算机可读存储介质不应被理解为本身是瞬时信号,例如无线电波或其他自由传播的电磁波,通过波导传播的电磁波或其他传输介质(例如,通过光纤电缆的光脉冲)或通过电线传输的电信号。
[0027] 在此所描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备或者通过网络(例如,互联网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输纤维、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口从网络接收计算机可读程序指令,并且转发所述计算机可读程序指令以存储在相应的计算/处理设备内的计算机可读存储媒质中。
[0028] 用于执行本发明的操作的计算机可读程序指令可以是汇编器指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据、或以一种或多种编程语言的任何组合编写的源代码或目标代码(包括面向对象的编程语言,诸如Smalltalk、C++等)、以及过程编程语言(诸如“C”编程语言或类似的编程语言。计算机可读程序指令可以完全在用户计算机上执行、部分在用户计算机上执行、作为独立软件包执行、部分在用户计算机上部分在远程计算机上执行、或完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用互联网服务提供商的互联网)。在一些实施例中,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来个性化电子电路来执行计算机可读程序指令,以便执行本发明的各方面。
[0029] 在此参照根据本发明的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的多个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
[0030] 这些计算机可读程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而生产出一种机器,使得这些计算机程序指令在通过计算机或其他可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,其中存储有指令的计算机可读存储介质包括一个包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各方面的指令的制造品。
[0031] 这些计算机可读程序指令还可以被加载到计算机、其他可编程数据处理装置、或其他设备上,以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤以产生计算机实现的过程,从而使得在计算机、其他可编程装置或其他设备上执行的指令实现在流程图和/或框图的一个或多个块中指定的功能/动作。
[0032] 附图中的流程图和框图示出了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。对此,流程图或框图中的每个方框可以表示指令模块、段或部分,其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些替代实现方式中,在这些框中指出的功能可以不按照在这些图中指出的顺序发生。例如,连续示出的两个块实际上可基本上同时执行,或者这些块有时可按相反的顺序执行,这取决于所涉及的功能。还将注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以由执行指定功能或动作或执行专用硬件与计算机指令的组合的基于专用硬件的系统来实现。
[0033] 首先应当理解,尽管本公开包括关于云计算的详细描述,但其中记载的技术方案的实现却不限于云计算环境,而是能够结合现在已知或以后开发的任何其它类型的计算环境而实现。
[0034] 云计算是一种服务交付模式,用于对共享的可配置计算资源池进行方便、按需的网络访问。可配置计算资源是能够以最小的管理成本或与服务提供者进行最少的交互就能快速部署和释放的资源,例如可以是网络、网络带宽、服务器、处理、内存、存储、应用、虚拟机和服务。这种云模式可以包括至少五个特征、至少三个服务模型和至少四个部署模型。
[0035] 特征包括:
[0036] 按需自助式服务:云的消费者在无需与服务提供者进行人为交互的情况下能够单方面自动地按需部署诸如服务器时间和网络存储等的计算能力。
[0037] 广泛的网络接入:计算能力可以通过标准机制在网络上获取,这种标准机制促进了通过不同种类的瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑、个体数字助理PDA)对云的使用。
[0038] 资源池:提供者的计算资源被归入资源池并通过多租户(multi-tenant)模式服务于多重消费者,其中按需将不同的实体资源和虚拟资源动态地分配和再分配。一般情况下,消费者不能控制或甚至并不知晓所提供的资源的确切位置,但可以在较高抽象程度上指定位置(例如国家、州或数据中心),因此具有位置无关性。
[0039] 迅速弹性:能够迅速、有弹性地(有时是自动地)部署计算能力,以实现快速扩展,并且能迅速释放来快速缩小。在消费者看来,用于部署的可用计算能力往往显得是无限的,并能在任意时候都能获取任意数量的计算能力。
[0040] 可测量的服务:云系统通过利用适于服务类型(例如存储、处理、带宽和活跃用户帐号)的某种抽象程度的计量能力,自动地控制和优化资源效用。可以监测、控制和报告资源使用情况,为服务提供者和消费者双方提供透明度。
[0041] 服务模型如下:
[0042] 软件即服务(SaaS):向消费者提供的能力是使用提供者在云基础架构上运行的应用。可以通过诸如网络浏览器的瘦客户机接口(例如基于网络的电子邮件)从各种客户机设备访问应用。除了有限的特定于用户的应用配置设置外,消费者既不管理也不控制包括网络、服务器、操作系统、存储、乃至单个应用能力等的底层云基础架构。
[0043] 平台即服务(PaaS):向消费者提供的能力是在云基础架构上部署消费者创建或获得的应用,这些应用利用提供者支持的程序设计语言和工具创建。消费者既不管理也不控制包括网络、服务器、操作系统或存储的底层云基础架构,但对其部署的应用具有控制权,对应用托管环境配置可能也具有控制权。
[0044] 基础架构即服务(IaaS):向消费者提供的能力是消费者能够在其中部署并运行包括操作系统和应用的任意软件的处理、存储、网络和其他基础计算资源。消费者既不管理也不控制底层的云基础架构,但是对操作系统、存储和其部署的应用具有控制权,对选择的网络组件(例如主机防火墙)可能具有有限的控制权。
[0045] 部署模型如下:
[0046] 私有云:云基础架构单独为某个组织运行。云基础架构可以由该组织或第三方管理并且可以存在于该组织内部或外部。
[0047] 共同体云:云基础架构被若干组织共享并支持有共同利害关系(例如任务使命、安全要求、政策和合规考虑)的特定共同体。共同体云可以由共同体内的多个组织或第三方管理并且可以存在于该共同体内部或外部。
[0048] 公共云:云基础架构向公众或大型产业群提供并由出售云服务的组织拥有。
[0049] 混合云:云基础架构由两个或更多部署模型的云(私有云、共同体云或公共云)组成,这些云依然是独特的实体,但是通过使数据和应用能够移植的标准化技术或私有技术(例如用于云之间的负载平衡的云突发流量分担技术)绑定在一起。
[0050] 云计算环境是面向服务的,特点集中在无状态性、低耦合性、模块性和语意的互操作性。云计算的核心是包含互连节点网络的基础架构。
[0051] 现在参考图1,其中显示了云计算节点的一个例子。云计算节点10仅仅是适合的云计算节点的一个示例,不应对本发明实施例的功能和使用范围带来任何限制。总之,云计算节点10能够被用来实现和/或执行以上所述的任何功能。
[0052] 云计算节点10具有计算机系统/服务器12或可移动电子装置(例如通讯装置),其可与众多其它通用或专用计算系统环境或配置一起操作。众所周知,适于与计算机系统/服务器12一起操作的计算系统、环境和/或配置的例子包括但不限于:个体计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个体电脑、小型计算机系统﹑大型计算机系统和包括上述任意系统的分布式云计算技术环境,等等。
[0053] 计算机系统/服务器12可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括执行特定的任务或者实现特定的抽象数据类型的例程、程序、目标程序、组件、逻辑、数据结构等。计算机系统/服务器12可以在通过通信网络链接的远程处理设备执行任务的分布式云计算环境中实施。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
[0054] 如图1所示,云计算节点10中的计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统存储器28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
[0055] 总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
[0056] 计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是能够被计算机系统/服务器12访问的任意可获得的介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
[0057] 系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图中未显示,通常称为“硬盘驱动器”)。尽管图中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
[0058] 具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
[0059] 计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白,尽管图中未示出,其它硬件和/或软件模块可以与计算机系统/服务器12一起操作,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
[0060] 现在参考图2,其中显示了示例性的云计算环境50。如图所示,云计算环境50包括云计算消费者使用的本地计算设备可以与其相通信的一个或者多个云计算节点10,本地计算设备例如可以是个体数字助理(PDA)或移动电话54A,台式电脑54B、笔记本电脑54C和/或汽车计算机系统54N。云计算节点10之间可以相互通信。可以在包括但不限于如上所述的私有云、共同体云、公共云或混合云或者它们的组合的一个或者多个网络中将云计算节点10进行物理或虚拟分组(图中未显示)。这样,云的消费者无需在本地计算设备上维护资源就能请求云计算环境50提供的基础架构即服务(IaaS)、平台即服务(PaaS)和/或软件即服务(SaaS)。应当理解,图2显示的各类计算设备54A-N仅仅是示意性的,云计算节点10以及云计算环境50可以与任意类型网络上和/或网络可寻址连接的任意类型的计算设备(例如使用网络浏览器)通信。
[0061] 现在参考图3,其中显示了云计算环境50(图2)提供的一组功能抽象层。首先应当理解,图3所示的组件、层以及功能都仅仅是示意性的,本发明的实施例不限于此。如图3所示,提供下列层和对应功能:
[0062] 硬件和软件层60包括硬件和软件组件。硬件组件的例子包括:主机61;基于RISC(精简指令集计算机)体系结构的服务器62;服务器63;刀片服务器64;存储设备65;网络和网络组件66。软件组件的例子包括:网络应用服务器软件67以及数据库软件68。
[0063] 虚拟层70提供一个抽象层,该层可以提供下列虚拟实体的例子:虚拟服务器71、虚拟存储72、虚拟网络73(包括虚拟私有网络)、虚拟应用和操作系统74,以及虚拟客户端75。
[0064] 在一个示例中,管理层80可以提供下述功能:资源供应功能81:提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取;计量和定价功能82:在云计算环境内对资源的使用进行成本跟踪,并为此提供帐单和发票。在一个例子中,该资源可以包括应用软件许可。安全功能:为云的消费者和任务提供身份认证,为数据和其它资源提供保护。用户门户功能83:为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能84:提供云计算资源的分配和管理,以满足必需的服务水平。服务水平协议(SLA)计划和履行功能85:为根据SLA预测的对云计算资源未来需求提供预先安排和供应。
[0065] 工作负载层90提供云计算环境可能实现的功能的示例。在该层中,可提供的工作负载或功能的示例包括:地图绘制与导航91;软件开发及生命周期管理92;虚拟教室的教学提供93;数据分析处理94;交易处理95;以及安全用户认证96。
[0066] 返回参见图1,程序/实用程序40可以包括一个或多个程序模块42,这些程序模块42通常执行在此描述的本发明的实施例的功能和/或方法(例如,诸如由安全用户认证96提供的功能)。具体地,程序模块42可以接收与用户相关联的生物特征数据,确定用户的认知状态,将与认知状态相关联的不可逆函数应用于生物特征数据,将加扰数据与存储的加扰数据进行匹配,并且当加扰数据与存储的加扰数据匹配时,认证用户。另外或可替代地,程序模块42可以将认证相关的事务记录在区块链中,并且访问区块链以获得所存储的加扰数据。这里进一步描述程序模块42的其他功能,使得程序模块42不限于上述功能。此外,应注意,模块42中的一些可实现在图1-3中所示的基础架构内。例如,模块42可以表示图4A所示的认证服务器。
[0067] 图4A和4B示出了根据本发明的各方面的示例实现的概述。如图4A中所示,认证服务器230-1至230-N如在此所描述的,可以各自维护具有可以用于身份认证的数据的区块链。例如,区块链可存储与用户的加扰的生物特征数据、用户的认知状态数据以及与客户端服务器(例如,可向授权用户授予对其访问的服务器)相关联的数据有关的事务/记录。如本文所描述的,每个认证服务器230可以用于认证用户以访问客户端服务器。这样,通过允许多个认证服务器230用于认证,使得单个认证服务器230可能不会受到危害,使用区块链可以提高安全性。进一步,使用区块链可允许数据以永久和安全的方式存储,使得数据无法被恶意方更改或修改。
[0068] 参见图4B,认证服务器230可以接收生物特征数据(步骤1.1)。例如,认证服务器230可以从用户接收生物特征数据(例如,经由用户设备210,诸如智能电话、平板计算机、台式计算机/膝上型计算机等)。在各实施例中,认证服务器230可以从用户接收生物特征数据作为访问客户端服务器220或其他安全设备(例如,安全计算设备、物理设备,诸如安全存款盒等)的请求的一部分。例如,为了处理电子商务交易的支付、允许访问安全目录等,客户端服务器220可以请求用户认证。在实施例中,生物特征数据可以包括指纹扫描、视网膜扫描、面部扫描和/或其他类型的生物特征数据。在步骤1.2,认证服务器230可以对生物特征数据应用不可逆函数(例如,加扰生物特征数据)。在各实施例中,认证服务器230可以使用多个不同的不可逆函数之一来加扰生物特征数据。如本文所描述的,认证服务器230可以确定用户的认知状态并且可以选择多个不同的不可逆函数之一来应用于生物特征数据。在实施例中,认证服务器230可以基于用户的活动或与客户端服务器220的交互(例如,当客户端服务器220主存电子商务页面时用户的购物历史、当客户端服务器220主存安全文件系统时用户的安全文件的访问历史等)确定认知状态。
[0069] 在步骤1.3,认证服务器230可以将加扰的生物特征数据与预先存储的与用户相关联的加扰的生物特征数据进行匹配。如果两个数据集匹配,则认证服务器230可以向客户端服务器220发送认证消息(步骤1.4)。基于接收到认证消息,客户端服务器220可以向用户设备210授予对客户端服务器220的访问。例如,在步骤1.5,客户端服务器220可以基于接收到认证消息来建立与用户设备210的安全会话。如果数据集不匹配,则认证服务器230可以向用户查询(例如,通过向用户设备210发送消息)附加认证信息,或者可以通过制止从客户端服务器220发送认证消息来简单地拒绝对客户端服务器220的访问。
[0070] 在实施例中,认知状态数据还可以与生物特征数据组合,并且组合的数据可以被加扰。此外,关于客户端服务器220的数据可以用于确定用户的认知状态。附加地或可替代地,关于客户端服务器220的数据可以与生物特征数据组合,并且组合的数据可以被加扰并且与预先存储的用于用户的加扰数据匹配。如本文所描述的,只有加扰数据可以由区块链存储,而不是任何实际的生物特征数据。照此,生物特征数据可能不被恶意方危害或窃取。
[0071] 图5示出了根据本发明的各方面的示例环境。如图5所示,环境500可以包括用户设备210、客户端服务器220、认证服务器230和网络240。在实施例中,环境500中的一个或多个组件可以对应于图2的云计算环境中的一个或多个组件。在实施例中,环境500中的一个或多个部件可以包括图1的计算机系统/服务器12的部件。
[0072] 用户设备210可以包括能够经由网络(如网络240)进行通信的计算设备。例如,用户设备210可对应于移动通信设备(例如,智能电话或个体数字助理(PDA))、便携式计算机设备(例如,膝上型计算机或平板计算机)、台式计算设备或另一类型的计算设备。在一些实施例中,用户设备210可请求访问客户端服务器220,接收生物特征数据,并将生物特征数据提供给认证服务器230。在各实施例中,用户设备210可以仅仅是向认证服务器230提供生物特征数据的生物特征收集设备。
[0073] 客户端服务器220可以包括各自托管一个或多个安全应用和/或安全数据的一个或多个计算装置(例如,诸如图1的计算机系统/服务器12)。客户端服务器220可以从用户设备210接收对访问的请求,指导认证服务器230对用户设备210的用户进行认证,并且当认证服务器230基于本文所述的过程对用户进行认证时,从认证服务器230接收认证消息。
[0074] 认证服务器230可以包括可以从客户端服务器220接收对用户进行认证的请求的分布式计算装置(例如,图1的计算机系统/服务器12)。认证服务器230可以基于生物特征数据、与正被请求访问的客户端服务器220相关联的数据和/或认知状态数据认证用户。在各实施例中,每个认证服务器230可以维护存储与注册用户相关联的预注册(例如,先前注册和存储)的加扰的生物特征数据的区块链。如本文所描述的,认证服务器230可以对生物特征数据应用不可逆函数以对生物特征数据进行加扰,并且将加扰的生物特征数据与预先注册的加扰的生物特征数据进行比较。当加扰的生物特征数据与预注册的加扰的生物特征数据之间识别出匹配(达到可配置阈值程度)时,认证服务器230可以向客户端服务器220提供认证消息。
[0075] 网络240可以包括网络节点,例如图2的网络节点10。附加地或可替代地,网络240可包括一个或多个有线和/或无线网络。例如,网络240可包括蜂窝网络(例如,第二代(2G)网络、第三代(3G)网络、第四代(4G)网络、第五代(5G)网络、长期演进(LTE)网络、全球移动通信系统(GSM)网络、码分多址(CDMA)网络、演进数据优化(EVDO)网络等)、公共陆地移动网络(PLMN)和/或另一网络。附加地或可替代地,网络240可包括局域网(LAN)、广域网(WAN)、城域网(MAN)、公共交换电话网(PSTN)、自组织网络、管理的互联网协议(IP)网络、虚拟专用网(VPN)、内联网、互联网、基于光纤的网络和/或这些或其他类型的网络的组合。
[0076] 环境500中的设备和/或网络的数量不限于图5中所示的。实际上,环境500可以包括附加设备和/或网络;更少的设备和/或网络;不同的设备和/或网络;或与图5中所示不同地布置的设备和/或网络。而且,在一些实现方式中,环境500的设备中的一个或多个可以执行被描述为由环境500的设备中的另一个或多个执行的一个或多个功能。环境500的设备可经由有线连接、无线连接或有线和无线连接的组合来互连。
[0077] 图6示出了根据本发明的各方面的认证服务器的示例部件的框图。如图6所示,认证服务器230可以包括生物特征数据接收模块610、认知状态确定模块620、不可逆函数应用模块630、认证模块640和区块链接口模块650。在实施方式中,认证服务器230可以包括比图6中所示的部件更多或更少的部件。在实施例中,单独的组件可以集成到单个计算组件或模块中。附加地或可替代地,单个组件可以被实现为多个计算组件或模块。
[0078] 生物特征数据接收模块610可以包括程序模块(例如,图1的程序模块42),所述程序模块响应于从客户端服务器220接收的对与用户设备210相关联的用户进行认证的请求而接收生物特征数据(例如,从用户设备210)。在实施例中,生物特征数据接收模块610可以接收生物特征数据的任何组合,如指纹数据、手印数据、视网膜数据、面部成像数据、脉搏率信息等。在各实施例中,生物特征数据接收模块610可以接收生物特征数据作为注册过程的一部分,以便注册有待由一个或多个认证服务器230认证的用户。
[0079] 认知状态确定模块620可以包括程序模块(例如,图1的程序模块42),该程序模块确定与请求访问客户端服务器220的用户设备210相关联的用户的认知状态,或者作为用户注册的一部分。在实施例中,认知状态可以基于所接收的指示用户的情绪、情感状态等的生物特征数据。附加地或可替代地,认知状态可以基于用户设备210和客户端服务器220之间的用户交互(例如,电子商务购物活动、浏览活动等)。附加地或可替代地,认知状态可以基于其他合适的数据或其他合适的技术。
[0080] 不可逆函数应用模块630可以包括将不可逆函数应用于生物特征数据的程序模块(例如,图1的程序模块42)。在实施例中,不可逆函数应用模块630可基于用户的认知状态(例如,由认知状态确定模块620确定)选择许多不可逆功能中的特定一者来应用。在各实施例中,不可逆函数应用模块630可将不可逆函数应用于生物特征数据以加扰生物特征数据。此外,不可逆函数应用模块630可将认知状态数据与生物特征数据进行组合,并对组合的数据进行加扰。
[0081] 如在此所描述的,不可逆函数应用模块630可以使用一种或多种技术对数据进行加扰。例如,指纹数据可以使用笛卡尔加扰技术、极加扰技术和/或表面折叠技术(例如,如下文参见图9至11更详细描述的)来加扰。附加地或可替代地,可使用任何其他合适的技术来加扰生物特征数据。
[0082] 认证模块640可以包括程序模块(例如,图1的程序模块42),该程序模块接收加扰数据(例如,来自不可逆函数应用模块630)并且将加扰数据与用户的预注册(例如,先前注册和存储)的加扰数据进行比较。如果加扰数据与预注册的加扰数据匹配到可配置的阈值程度(例如,匹配到可以由认证服务器230的管理员经由用户界面定义的某个百分比匹配内或其他度量内),则认证模块640可以认证用户并向客户端服务器220提供认证消息。如果数据集不匹配,则认证模块640可向用户查询(例如,通过向用户设备210发送消息)附加认证信息,或可通过制止从客户端服务器220发送认证消息来简单地拒绝对客户端服务器220的访问。
[0083] 区块链接口模块650可以包括可以维护、访问和/或修改区块链的程序模块(例如,图1的程序模块42)。如本文所描述的,区块链可以存储标识用户的加扰数据的记录,认证模块640可以与该加扰数据进行比较以进行认证。此外,可在认证时收集用于提供身份认证的数据以及用户周围的任何额外数据,例如用户行为、关于客户端服务器220的信息和/或与用户验证过程的任何其他交互以及用户装置210与客户端服务器220之间的交互。这样的数据可以被安全地存储,并且聚合地关联以绘制洞察,用于将来认证未来的用户,并且将认证链接到用户体验。此外,数据将用于帮助分类并且更好地理解用户的认知、情感和一般精神状态之间的关系以及与由客户端服务器220托管的站点和/或应用的交互。
[0084] 如在此所描述的,对这些关联的理解可以帮助客户端服务器220的管理员基于他们的即时认知和情感状态向他们的用户提供更好的体验,以及提供更有针对性的洞察和预测。为了类似的益处、理解和改进的洞察和预测,该数据和它们的关联也可以被提供给第三方应用。
[0085] 图7示出了根据本发明的方面的用于经由一个或多个认证服务器注册用户进行认证的过程的示例流程图。图7的步骤可以在图5的环境中实施,例如,并且使用图5中描绘的元件的附图标记来描述。如上所述,该流程图示出了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。
[0086] 如图7所示,过程700可以包括接收生物特征数据(步骤710)。例如,如以上关于生物特征数据接收模块610所描述的,认证服务器230可以从用户设备210接收生物特征数据,作为注册将由一个或多个认证服务器230认证的用户的注册过程的一部分。在实施例中,认证服务器230可以接收任何合适的生物特征数据,包括但不限于:指纹数据、手印数据、视网膜数据、面部成像数据、脉搏率信息中的至少一项。
[0087] 过程700还可以包括确定用户的认知状态(步骤720)。例如,如以上关于认知状态确定模块620所描述的,认证服务器230可确定与正在向认证服务器230注册认证服务的用户设备210相关联的用户的认知状态。在实施例中,认知状态可以基于所接收的指示用户的情绪、情感状态等的生物特征数据。附加地或可替代地,认知状态可以基于用户设备210和客户端服务器220之间的用户交互(例如,电子商务购物活动、浏览活动等)。附加地或可替代地,认知状态可以基于其他合适的数据或其他合适的技术。
[0088] 过程700可以进一步包括将多个不同不可逆函数中的特定不可逆函数应用于生物特征数据(步骤730)。例如,如上文关于不可逆函数应用模块630所描述,认证服务器230可基于用户的认知状态(例如,如由认知状态确定模块620确定)选择许多不可逆功能中的特定一者来应用。在各实施例中,认证服务器230可以将不可逆函数应用于生物特征数据以加扰生物特征数据。此外,认证服务器230可以将认知状态数据与生物特征数据组合,并且对组合的数据进行加扰。
[0089] 过程700还可以包括存储与生物特征数据、用户和认知状态数据相关联的加扰数据(步骤740)。例如,如以上关于区块链接口模块650所描述的,认证服务器230可以存储标识用户的加扰数据的记录,认证服务器230可以稍后与该加扰数据进行比较以进行认证。在实施例中,认证服务器230可以将加扰数据存储为区块链事务。附加地或可替代地,认证服务器230可以将其他数据存储为区块链事务(例如,将认知状态数据与加扰的生物特征数据链接的认知状态数据)。
[0090] 图8示出了根据本发明的各方面的用于认证用户以访问客户端服务器的过程的示例流程图。图8的步骤可以在图5的环境中实施,例如,并且使用图5中描绘的元件的附图标记来描述。如上所述,该流程图示出了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。
[0091] 如图8所示,过程800可以包括接收生物特征数据(步骤810)。例如,认证服务器230可以从用户设备210接收生物特征数据,作为来自用户设备210的用户的访问客户端服务器220的请求的一部分。在实施例中,认证服务器230可以接收合适的生物特征数据,包括但不限于以下各项中的至少一项:指纹数据、手印数据、视网膜数据、面部成像数据、脉搏率信息。
[0092] 过程800还可以包括确定用户的认知状态(步骤820)。例如,如以上关于认知状态确定模块620所描述的,认证服务器230可以确定与正在请求接入客户端服务器220的用户设备210相关联的用户的认知状态。在实施例中,认证服务器230可以以与上面关于图7中所示的认知状态确定模块620和过程步骤720所描述的类似的方式确定认知状态。
[0093] 过程800可以进一步包括将多个不同不可逆函数中的特定不可逆函数应用于该生物特征数据(步骤830)。例如,如以上关于图7的不可逆函数应用模块630和过程步骤730所描述的,认证服务器230可以基于用户的认知状态(例如,如由认知状态确定模块620所确定的)选择许多不可逆功能中的特定一个来应用。在各实施例中,认证服务器230可以将不可逆函数应用于生物特征数据以加扰生物特征数据。此外,认证服务器230可以将认知状态数据与生物特征数据组合,并且对组合的数据进行加扰。
[0094] 过程800还可以包括将加扰数据与存储的加扰数据进行比较(步骤840)。例如,如以上关于认证模块640所描述的,认证服务器230可以将加扰数据与用户的加扰数据的存储或预注册版本(例如,记录为区块链事务的用户的加扰数据)进行比较。
[0095] 如果加扰数据与加扰数据的预注册版本匹配到可配置的阈值程度(步骤850-是),则认证服务器230可以对用户进行认证并且向客户端服务器220提供认证消息(步骤860)。然后,客户端服务器220可以授权用户设备210经由安全会话访问客户端服务器220。
[0096] 如果数据集不匹配(步骤850-否),则认证服务器230可在步骤870(例如,通过向用户设备210发送消息)向用户查询附加认证信息(例如,附加生物特征数据,从而使得过程800返回到步骤810)。可替代地,认证服务器230可以通过制止从客户端服务器220发送认证消息来简单地拒绝对客户端服务器220的访问(例如,如果认证已经被尝试大于阈值次数)。
[0097] 如在此所描述,认证服务器230可以进一步基于指示授权用户的习惯、历史活动等的区块链中的交易信息来认证用户(或确定未授权用户未被认证)。当用户尝试认证他们的身份时,认证服务器230可以验证区块链中的加扰的生物特征数据、认知状态数据和/或交易数据。以此方式,用户认证可能更安全并且对于用户而言也是较不繁重的,因为将不需要用户记忆不同口令以用于对不同客户端服务器220进行认证。此外,认证服务器230可以对每个区块链交易的情感或认知状态进行分类,并且将认知状态与客户端服务器220托管的客户端站点上的用户体验相关联。在实施例中,不可逆行为和生物统计数据可与每个区块链交易相关联。以此方式,针对每一交易捕捉端到端数据(例如,用户信息、生物特征和行为/认知状态、客户端服务器220信息等)。如本文所描述的,区块链技术连同不可逆函数可以用于加密和管理生物特征数据、认知状态数据和客户端站点数据之间的链接。
[0098] 图9-11示出了根据本发明的各方面的用于加扰生物特征数据的示例。在实施例中,图9-11的示例可以对应于用于根据图8中所描述的过程步骤830通过向生物特征数据应用不可逆函数来加扰生物特征数据的示例技术。如图9所示,笛卡尔加扰可用于加扰生物特征数据(例如,指纹)。例如,可基于指纹图案将不同坐标的值分配给指纹。可使用任何合适的随机化或加扰算法来加扰坐标,并且可将加扰的数据存储和加密为区块链分类账中的区块链事务。
[0099] 参见图10,极性加扰也可以用于对生物特征数据(例如,指纹数据)进行加扰。例如,可基于指纹图案将不同坐标的值分配给指纹,并且可将所述值分配给圆形图上的位置。可使用任何合适的随机化或加扰算法来加扰位置和/或值,并且可将加扰的数据存储和加密为区块链分类账中的区块链事务。
[0100] 参见图11,表面折叠可以用于对生物特征数据(例如,指纹数据)进行加扰。例如,可以基于指纹图案将不同坐标的值分配给指纹,并且可以将该值分配给表面图形上的位置。可使用任何合适的随机化或加扰算法来加扰位置和/或值,并且可以基于加扰的位置和值来修改表面图(例如,“折叠”)。加扰或折叠的表面图形可以被存储和加密为区块链分类账中的区块链事务。
[0101] 在实施例中,可以使用不同于图9-11中所示的那些加扰技术的其他加扰技术。此外,其他类型的生物特征数据可以被加扰(例如,视网膜扫描、面部成像、脉冲模式等)。认知状态数据还可与生物特征数据组合和加扰。例如,生物特征数据可被转换成散列或一系列数字/字符,并与生物特征数据一起被加扰。
[0102] 在实施例中,服务提供商可以提供执行在此描述的过程。在这种情况下,服务提供商可以为一个或多个客户创建、维护、部署、支持等执行本发明的处理步骤的计算机基础架构。这些客户可以是例如使用技术的任何企业。反过来,服务提供商可以在订阅和/或费用协议下从客户接收支付,和/或服务提供商可以从广告内容向一个或多个第三方的销售接收支付。
[0103] 在仍另外的实施例中,本发明提供了一种经由网络的计算机实现的方法。在这种情况下,可以提供一种计算机基础架构,如计算机系统/服务器12(图1),并且可以获得(例如,创建、购买、使用、修改等)用于执行本发明的这些过程的一个或多个系统并且将其部署到该计算机基础架构。就此而言,系统的部署可以包括以下各项中的一项或多项:(1)从计算机可读介质在诸如计算机系统/服务器12(如图1所示)的计算设备上安装程序代码;(2)将一个或多个计算设备添加到计算机基础架构;以及(3)并入和/或修改计算机基础架构的一个或多个现有系统,以使计算机基础架构能够执行本发明的过程。
[0104] 以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 基于内插使用低速率指纹识别建立和使用时间映射,以帮助促进帧准确内容修正 | 2020-05-08 | 557 |
| 信息处理方法及装置、电子设备和存储介质 | 2020-05-11 | 174 |
| 信息处理方法及信息处理装置 | 2020-05-08 | 429 |
| 一种智能广告插播方法、装置及服务器 | 2020-05-08 | 991 |
| 一种图片播放方法及终端设备 | 2020-05-11 | 347 |
| 利用前贴片广告时间的多模终端无线传输接口优选方法 | 2020-05-11 | 804 |
| 一种基于大数据进行外部数据分析的广告牌及工作方法 | 2020-05-08 | 153 |
| 一种移动式广告识别采集设备 | 2020-05-08 | 121 |
| 一种广告屏消防预警及联动系统 | 2020-05-08 | 344 |
| 一种共享陪护床收纳架 | 2020-05-08 | 491 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
广告服务器热门专利
QQ群二维码
意见反馈
意见反馈