使用生物特征识别和隐私保护方法在线认证账户持有者专利检索-生物特征认证鉴别电脑安全专利检索查询-专利查询网

使用生物特征识别和隐私保护方法在线认证账户持有者

阅读：727发布：2020-05-11

专利汇可以提供使用生物特征识别和隐私保护方法在线认证账户持有者专利检索，专利查询，专利分析的服务。并且实施方案涉及一种用于安全地在线执行生物特征认证的方法。所描述的方法能够用于在移动设备上安全地执行生物特征认证。为了保护所述用户生物特征识别数据的隐私，能够使用密码比较协议来执行加密的模板的匹配。例如，所述密码比较协议能够涉及模糊提取器(FE)、同态加密(HE)和/或安全多方计算(SMPC)。，下面是使用生物特征识别和隐私保护方法在线认证账户持有者专利的具体信息内容。

权利要求

1.一种计算机实现的方法，包括：
由移动设备上的资源提供商应用程序获得由所述移动设备捕获的生物特征样本；
由所述资源提供商应用程序根据所述生物特征样本来生成用户的生物特征认证模板；
由所述资源提供商应用程序获得与所述生物特征认证模板相关的生物特征匹配信息；
由所述资源提供商应用程序基于所述生物特征认证模板、生物特征匹配信息和密码比较协议来对所述移动设备的用户进行认证；以及
响应于所述用户通过认证，由所述资源提供商应用程序执行至少一项操作。
2.如权利要求1所述的计算机实现的方法，其中所述密码比较协议包括以下一项或多项：安全多方计算、同态加密和/或模糊提取器。
3.如权利要求1所述的计算机实现的方法，其中所述生物特征匹配信息包括生物特征注册模板，所述生物特征注册模板从以下至少一项获得：所述移动设备上的认证应用程序或者从认证网关计算机。
4.如权利要求1所述的计算机实现的方法，还包括：
由所述移动设备的所述资源提供商应用程序发起用于认证用户设备的用户的认证过程；
由所述资源提供商应用程序向认证网关计算机发送用户标识符；
由所述资源提供商应用程序从所述认证网关计算机接收用户注册信息，所述用户注册信息包括注册的指示和由认证计算机管理的一个或多个标识符。
5.如权利要求4所述的计算机实现的方法，其中所述资源提供商应用程序在所述移动设备上操作并且/或者作为网络服务器上的应用程序。
6.如权利要求4所述的计算机实现的方法，其中所述生物特征匹配信息包括生物特征注册模板或被混淆的匹配电路，所述被混淆的匹配电路被配置为提供输出，能够从所述输出标识两个生物特征模板之间的匹配。
7.如权利要求6所述的计算机实现的方法，还包括：
由所述资源提供商应用程序从所述认证网关计算机请求所述生物特征匹配信息，所述生物特征匹配信息包括生物特征注册模板；以及
由所述资源提供商应用程序从所述认证网关计算机接收所述生物特征注册模板。
8.如权利要求4所述的计算机实现的方法，还包括注册过程，所述注册过程包括：
由所述移动设备上的认证应用程序发起用于将所述用户注册在认证程序中的注册过程；
由所述认证应用程序根据在所述注册过程期间由所述移动设备获得的生物特征识别信息来生成包括所述用户的生物特征注册模板的所述生物特征匹配信息；
由所述认证应用程序将所述用户的所述生物特征注册模板与以下至少一项相关联：所述用户标识符或由所述认证计算机管理的所述一个或多个标识符中的标识符；以及由所述认证应用程序存储所述生物特征注册模板。
9.如权利要求8所述的计算机实现的方法，其中所述生物特征注册模板被存储在所述移动设备和/或所述认证计算机处。
10.如权利要求1所述的计算机实现的方法，其中所述至少一项操作包括基于所述用户通过认证，递送对由资源提供商提供的资源的访问。
11.一种用户设备，包括：
一个或多个生物特征捕获设备；
一个或多个处理器；以及
一个或多个存储器，所述一个或多个存储器包括计算机可执行指令，其中由所述一个或多个处理器执行所述计算机可执行指令使所述用户设备执行以下操作：
由在所述用户设备上操作的资源提供商应用程序，利用所述用户设备的所述一个或多个生物特征捕获设备获得生物特征样本；
由所述资源提供商应用程序根据所述生物特征样本来生成生物特征认证模板；
由所述资源提供商应用程序获得与所述生物特征认证模板相关的生物特征匹配信息；
由所述资源提供商应用程序基于所述生物特征认证模板、所述生物特征匹配信息和密码比较协议来对所述用户设备的用户进行认证；以及
响应于所述用户通过认证，由所述资源提供商应用程序执行至少一项操作。
12.如权利要求11所述的用户设备，其中所述密码比较协议包括以下一项或多项：安全多方计算、同态加密和/或模糊提取器。
13.如权利要求11所述的用户设备，其中所述生物特征匹配信息包括生物特征注册模板，所述生物特征注册模板从以下至少一项获得：所述用户设备上的认证应用程序或者从认证网关计算机。
14.如权利要求11所述的用户设备，其中所述一个或多个处理器进一步致使所述用户设备执行以下操作：
由所述资源提供商应用程序发起用于认证所述用户设备的用户的认证过程；
由所述资源提供商应用程序向认证网关计算机发送用户标识符；以及
由所述资源提供商应用程序从所述认证网关计算机接收用户注册信息，所述用户注册信息包括注册的指示和由认证计算机管理的一个或多个标识符。
15.如权利要求14所述的用户设备，其中所述资源提供商应用程序在所述用户设备上操作或者作为网络服务器上的应用程序。
16.如权利要求14所述的用户设备，其中所述生物特征匹配信息包括生物特征注册模板或被混淆的匹配电路，所述被混淆的匹配电路被配置为提供输出，能够从所述输出标识两个生物特征模板之间的匹配。
17.根据权利要求16所述的用户设备，还包括：
由所述资源提供商应用程序从所述认证网关计算机请求所述生物特征匹配信息，所述生物特征匹配信息包括生物特征注册模板；以及
由所述资源提供商应用程序从所述认证网关计算机接收所述生物特征注册模板。
18.如权利要求14所述的用户设备，其中所述一个或多个处理器进一步致使所述用户设备执行注册过程，所述注册过程包括：
由在所述用户设备上操作的认证应用程序发起用于将所述用户注册在认证程序中的注册过程；
由所述认证应用程序根据在所述注册过程期间由所述用户设备获得的初始生物特征样本来生成包括所述用户的生物特征注册模板的所述生物特征匹配信息；
由所述认证应用程序将所述用户的所述生物特征注册模板与以下至少一项相关联：所述用户标识符或由所述认证计算机管理的所述一个或多个标识符中的标识符；以及由所述认证应用程序存储所述生物特征注册模板。
19.如权利要求18所述的用户设备，其中所述生物特征注册模板被存储在所述用户设备或所述认证计算机处。
20.如权利要求11所述的用户设备，其中所述至少一项操作包括基于所述用户通过认证，递送对由资源提供商提供的资源的访问。

说明书全文

使用生物特征识别和隐私保护方法在线认证账户持有者

[0001] 相关申请的交叉引用

[0002] 本申请要求于2017年8月10日提交的美国临时申请No.62/543,500的申请日的权益，该临时申请的全部内容出于所有目的以引用方式并入本文。

背景技术

[0003] 在当今的技术环境中，用户通常随身携带移动电子设备，诸如智能电话和可穿戴设备。这些移动电子设备通常能够接收、发送、生成和存储用户数据。这样，实体从移动电子设备接受数字记录变得越来越普遍。例如，对于用户来讲，使用他们的移动电话来标识自己而不是出示身份标识卡可能会很方便。但是，可能会出现一个问题，即用户希望在不暴露任何敏感信息的情况下验证其记录。例如，用户希望避免将其指纹、语音和/或面部数据暴露给可能拦截数据消息的黑客。

[0004] 用于在线交易期间认证的常规系统通常使用用户密码。然而，密码很容易被盗。在线交易中不使用生物特征识别数据，因为传输用户的生物特征识别信息可能会给用户带来严重的问题，因为与密码不同，用户无法更改其生物特征识别信息。因此，用于在线交易期间认证的常规系统存在缺陷。

[0005] 本发明的实施方案单独地或共同地解决了这些和其他问题。

发明内容

[0006] 如上所述，移动设备可以用于接收、发送、生成和存储用户数据。然而，为了在移动设备上安全地处理敏感信息，当在设备及其应用程序之间进行通信时，可能要求绝不可以将敏感信息作为明文进行传输。例如，如果要使用在移动设备上生成的面部数据来标识用户，则应该确保该面部数据不会被盗窃并且不会被犯罪分子用来冒充用户。

[0007] 本文所述的本发明的实施方案涉及一种用于安全地在线执行生物特征认证的方法。资源提供商可以使用本文所述的方法在移动设备交互期间对用户进行在线认证。例如，该方法可以允许商家在接受从用户设备中检索到的付款凭证时标识用户。这样，商家就可以确信购买者确实是付款凭证的所有者，而不是拥有用户电话的犯罪分子。此外，商家可以验证用户的身份，而不会向黑客暴露用户的敏感信息。

[0008] 本发明的一个实施方案涉及一种方法，该方法包括：由移动设备上的资源提供商应用程序发起用于认证用户设备的用户的认证过程。该方法还可以包括由资源提供商应用程序向认证网关计算机发送用户标识符。该方法还可以包括由资源提供商应用程序从认证网关计算机接收用户注册信息。在一些实施方案中，用户注册信息可以包括注册的指示。该方法还可以包括由资源提供商应用程序获得由移动设备捕获的生物特征样本。该方法还可以包括由资源提供商应用程序根据生物特征样本来生成用户的加密的生物特征模板。该方法还可以包括由资源提供商应用程序获得加密的生物特征注册模板。在一些实施方案中，在认证过程之前进行的注册过程期间生成加密的生物特征注册模板。该方法还可以包括由资源提供商应用程序基于利用密码比较协议将加密的生物特征模板与加密的生物特征注册模板进行比较来认证用户。该方法还可以包括响应于用户通过认证，由资源提供商应用程序执行至少一项操作。

[0009] 本发明的另一个实施方案涉及一种方法，该方法包括由移动设备上的资源提供商应用程序获得由移动设备捕获的生物特征样本。该方法还可以包括由资源提供商应用程序根据生物特征样本来生成用户的生物特征认证模板。该方法还可以包括由资源提供商应用程序获得与生物特征认证模板(例如，生物特征注册模板和/或被混淆的匹配电路，该被混淆的匹配电路被配置为提供输出，可以从该输出标识两个生物特征模板之间的匹配)相关的生物特征匹配信息。在一些实施方案中，生物特征匹配信息(例如，生物特征注册模板)是在认证过程之前进行的注册过程期间生成的。该方法还可以包括由资源提供商应用程序基于生物特征认证模板、生物特征匹配信息和密码比较协议来认证用户。该方法还可以包括响应于用户通过认证，由资源提供商应用程序执行至少一项操作。

[0010] 本发明的另一个实施方案涉及一种用户设备，该用户设备包括：一个或多个生物特征捕获设备，一个或多个处理器，以及一个或多个存储器，该一个或多个存储器包括计算机可执行指令，这些计算机可执行指令在由一个或多个处理器执行时致使用户设备执行操作。这些操作可以包括由移动设备上的资源提供商应用程序发起用于认证用户设备的用户的认证过程。这些操作还可以包括由资源提供商应用程序向认证网关计算机发送用户标识符。这些操作还可以包括由资源提供商应用程序从认证网关计算机接收用户注册信息。在一些实施方案中，用户注册信息可以包括注册的指示。这些操作还可以包括由资源提供商应用程序获得由移动设备捕获的生物特征样本。这些操作还可以包括由资源提供商应用程序根据生物特征样本来生成用户的加密的生物特征模板。这些操作还可以包括由资源提供商应用程序获得加密的生物特征注册模板。在一些实施方案中，在认证过程之前进行的注册过程期间生成加密的生物特征注册模板。这些操作还可以包括由资源提供商应用程序基于利用密码比较协议将加密的生物特征模板与加密的生物特征注册模板进行比较来认证用户。这些操作还可以包括响应于用户通过认证，由资源提供商应用程序执行至少一项操作。

[0011] 本发明的又一个实施方案涉及一种用户设备，该用户设备包括：一个或多个生物特征捕获设备，一个或多个处理器，以及一个或多个存储器，该一个或多个存储器包括计算机可执行指令，这些计算机可执行指令在由一个或多个处理器执行时致使用户设备执行操作。这些操作可以包括由资源提供商应用程序获得由移动设备捕获的生物特征样本。这些操作还可以包括由资源提供商应用程序根据生物特征样本来生成用户的生物特征认证模板。这些操作还可以包括由资源提供商应用程序获得与生物特征认证模板(例如，生物特征注册模板和/或被混淆的匹配电路，该被混淆的匹配电路被配置为提供输出，可以从该输出标识两个生物特征模板之间的匹配)相关的生物特征匹配信息。在一些实施方案中，生物特征匹配信息是在认证过程之前进行的注册过程期间生成的。这些操作还可以包括由资源提供商应用程序基于生物特征认证模板、生物特征匹配信息和密码比较协议来认证用户。这些操作还可以包括响应于用户通过认证，由资源提供商应用程序执行至少一项操作。

[0012] 在一些实施方案中，上述方法和/或用户设备的密码比较协议可以包括以下一项或多项：安全多方计算、同态加密和/或模糊提取器。

[0013] 在一些实施方案中，资源提供商应用程序在用户设备上操作或作为网络服务器上的应用程序。

[0014] 在一些实施方案中，可以从以下至少一项获得生物特征注册模板：移动设备上的凭证持有者应用程序(例如，认证应用程序)或者从认证网关计算机。

[0015] 在一些实施方案中，可以对生物特征注册模板和/或生物特征认证模板进行加密。

[0016] 在一些实施方案中，本文所讨论的方法和/或用户设备的操作还可以包括：由移动设备上的资源提供商应用程序发起用于认证用户设备的用户的认证过程。这些方法/操作还可以包括由资源提供商应用程序向认证网关计算机发送用户标识符。这些方法/操作还可以包括由资源提供商应用程序从认证网关计算机接收用户注册信息，该用户注册信息包括注册的指示和/或由凭证持有者计算机(例如，认证计算机)管理的一个或多个标识符。

[0017] 在一些实施方案中，注册过程可以包括由用户设备上的凭证持有者应用程序(例如，认证应用程序)发起用于将用户注册在认证程序中的注册过程。该注册过程还可以包括由凭证持有者应用程序根据在注册过程期间由移动设备获得的生物特征识别信息来生成用户的生物特征注册模板，该注册过程还可以包括由凭证持有者应用程序将用户的生物特征注册模板与以下至少一项相关联：用户标识符或由认证计算机管理的一个或多个标识符中的标识符。注册过程还可以包括由凭证持有者应用程序存储生物特征注册模板。

[0018] 在一些实施方案中，本文所讨论的方法和/或用户设备的操作还可以包括由资源提供商应用程序从认证网关计算机请求生物特征注册模板，并且由资源提供商应用程序从认证网关计算机接收生物特征注册模板。

[0019] 在一些实施方案中，生物特征注册模板可以被存储在用户设备(例如，移动设备)处和/或凭证持有者计算机(例如，认证计算机)处和/或凭证持有者应用程序(例如，认证应用程序)处。

[0020] 在一些实施方案中，至少一项操作包括基于用户通过认证递送对由资源提供商提供的资源的访问。

[0021] 在一些实施方案中，用户标识符标识用户设备的用户或该用户的账户。

[0022] 在一些实施方案中，由资源提供商应用程序向认证网关计算机发送用户标识符，使得认证网关计算机从凭证持有者计算机(例如，认证计算机)请求用户注册信息。

[0023] 在一些实施方案中，凭证持有者计算机(例如，认证计算机)管理用户标识符与以下至少一项之间的映射：用户注册信息或由凭证持有者计算机(例如，认证计算机)管理的一个或多个标识符。附图说明

[0024] 图1示出根据一些实施方案的用于在用户设备处认证用户的系统的框图。

[0025] 图2示出根据一些实施方案的注册过程的流程图。

[0026] 图3示出根据一些实施方案的用于在用户设备上操作的应用程序上安全地认证用户的过程框图。

[0027] 图4示出根据一些实施方案的用于在用户设备上操作的应用程序上安全地认证用户的另选的过程框图。

[0028] 图5示出根据一些实施方案的用于安全地在线执行生物特征认证的方法的流程图。

[0029] 图6示出根据一些实施方案的用于安全地在线执行生物特征认证的另一种方法的另一流程图。

具体实施方式

[0030] 实施方案涉及一种用于安全地在线执行生物特征认证的方法。所描述的方法可以用于在用户的设备(例如，移动设备)上安全地执行生物特征认证。为了保护用户的生物特征识别数据的隐私，可以使用密码比较协议来执行加密的和/或未加密的生物特征模板的匹配。例如，密码比较协议可涉及模糊提取器(FE)、同态加密(HE)和/或安全多方计算(SMPC)。

[0031] 一个用例可涉及用户在他或她的移动电话上具有一个或多个钱包应用程序并且注册在生物特征认证程序中。例如，认证程序可以是提供的服务，用于使用面部数据(例如，通过使用前置相机生成自拍照或“自拍”)或其他生物特征识别数据(例如，指纹、视网膜扫描等)进行交易。随后，用户可以使用在其设备上操作的资源提供商应用程序，诸如连接到商家服务器的移动应用程序或网络应用程序，使得用户可以查看他或她希望购买的项目并且进行交易。资源提供商应用程序可以提供允许用户发起认证的选择，由此用户可以通过拍摄他或她脸部的照片(或提供与注册时提供的生物特征识别信息类型相对应的生物特征识别数据)来进行交易。然后可以将图片(或其他生物特征识别数据)与注册时生成的自拍照(或其他生物特征识别信息)数据进行比较。为了以保留用户隐私的方式比较生物特征识别数据，资源提供商应用程序可以实现模糊提取器(FE)、同态加密(HE)或安全多方计算(SMPC)。这可以确保在匹配期间明文数据不会流入资源提供商应用程序或从资源提供商应用程序流出。

[0032] 在讨论本发明的详细实施方案之前，某些术语的某些描述可能是有用的。

[0033] “计算设备”可以是可以执行计算并且可以与其他设备通信的任何合适的设备。移动设备是计算设备的示例。其他类型的计算设备可能无法移动。

[0034] “移动设备”可以包括用户可以携带和操作的任何电子设备，该电子设备还可以提供与网络的远程通信能力。远程通信能力的示例包括使用移动电话(无线)网络、无线数据网络(例如，3G、4G或类似网络)、Wi-Fi、Wi-Max，或可以提供对网络诸如互联网或专用网络的访问的任何其他通信介质。移动设备的示例包括移动电话(例如，蜂窝电话)、PDA、平板计算机、上网本、膝上型计算机、个人音乐播放器、手持式专用阅读器、可穿戴设备(例如，手表)、车辆(例如，汽车)，等等。移动设备可以包括用于执行此类功能的任何合适的硬件和软件，并且还可以包括多个设备或部件(例如，当设备通过系链到另一个设备而远程访问网络(即，使用其他设备作为中继器)时，一起使用的两个设备可以被认为是单个移动设备)。

[0035] “用户设备”可以包括可以由用户操作的任何电子设备，该电子设备还可以提供与网络的远程通信能力。移动设备和/或计算设备可以是用户设备的示例。

[0036] “认证应用程序”可以是由授权实体(例如，银行)提供的软件应用程序(例如，在用户设备上操作并且由服务器托管)。在一些实施方案中，认证应用程序可以包括钱包应用程序，该钱包应用程序可以是可以被提供来执行各种交易的软件应用程序，这些交易为诸如但不限于电子商务、社交网络、转账/个人支付、移动商务、接近支付、博彩等，用于零售购买、数字商品购买、公用设施支付、从博彩网站购买游戏或博彩积分、用户间转移资金，等等。

[0037] “授权实体”可以是授权请求的实体。授权实体的示例可以是发行方、政府机构、文档存储库、访问管理员等等。“发行方”通常可以指维护用户账户的商业实体(例如银行)。发行方也可以向消费者发行存储在用户装置(诸如蜂窝电话、智能卡、平板或膝上型计算机)上的支付凭证。“认证计算机”可以由授权实体或代表授权实体进行操作。

[0038] “收单方”通常可以是与特定商家或其他实体具有业务关系的业务实体(例如，商业银行)。一些实体可执行发行方和收单方两者的功能。一些实施方案可涵盖此类单实体发行方-收单方。收单方可以操作收单方计算机，该收单方计算机一般也可以被称为“传输计算机”。

[0039] “资源提供商”可以是可以提供资源诸如商品、服务、信息和/或访问的实体。资源提供商的示例包括商家、访问设备、安全数据访问点，等等。“商家”通常可以是参与交易并且可出售商品或服务或提供对商品或服务的访问的实体。“资源提供商计算机”可以是可以由资源提供商或代表资源提供商操作的任何合适的计算设备。

[0040] “处理网络计算机”可以包括用于处理网络数据的服务器计算机。在一些实施方案中，处理网络计算机可以被耦合到数据库，并且可以包括用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其他逻辑部件或前述项的组合。处理网络计算机可以包括一个或多个计算装置，并且可以使用各种计算结构、布置和编译中的任一种来服务来自一个或多个客户端计算机的请求。在一些实施方案中，处理网络计算机可以操作多个服务器计算机。在此类实施方案中，每个服务器计算机都可以被配置为处理给定区域的交易或基于交易数据处理特定类型的交易。

[0041] 处理网络计算机可以包括用于支持和递送授权服务、异常文件服务以及清算与结算服务的数据处理子系统、网络和操作。示例性处理网络计算机可以包括VisaNetTM。包括VisaNetTM在内的网络能够处理信用卡交易、借记卡交易和其他类型的商业交易。VisaNetTM具体包括处理授权请求的集成支付系统以及执行清算和结算服务的Base II系统。处理网络计算机可以使用任何合适的有线或无线网络，包括互联网。

[0042] “生物特征识别数据”意在指任何合适的生物度量。生物特征识别数据的示例可以包括视网膜图像、虹膜图像、面部图像、指纹、手印或人的声音的录音等。“生物特征样本”可以包括生物特征识别数据的至少一个实例。

[0043] “生物特征模板”意在指已经从生物特征样本/生物特征识别数据中提取的不同特征的数字参考。举例来讲，可以利用生物特征样本来提取样本的唯一特征，然后可以对这些唯一特征进行分析并且将其转换为被称为生物特征模板的数学文件。该模板可以不再包括由用户设备捕获的原始生物特征识别数据。

[0044] “生物特征认证模板”意在指根据在利用用户设备进行的认证过程期间提供的生物特征识别数据(例如，一个或多个生物特征样本)生成的生物特征模板。

[0045] “生物特征注册模板”意在指根据在利用用户设备进行的注册过程中(或至少在发起认证过程之前)提供的生物特征识别数据(例如，一个或多个生物特征样本)生成的生物特征模板。

[0046] 如本文所述，“模糊提取器”可以对应于用于从生物特征模板生成密码密钥的密码比较协议，从生物特征模板生成密码密钥的方式是，如果该机制从第一生物特征模板生成特定的密码密钥，则该机制将从第二生物特征模板生成相同的密码密钥，只要第二生物特征模板与第一生物特征模板匹配(即，不一定完全相同，但足够接近)即可。可以比较由模糊提取器从两个生物特征模板生成的密码密钥，以验证两个生物特征模板相匹配(例如，在某个阈值程度上相同或至少类似)。

[0047] 在一些实施方案中，模糊提取器包括两个函数：第一模糊提取器函数G和第二模糊提取器函数R。G可以采用生物特征模板W_D并且将其映射到一对值(R_D，S_D)，其中R_D是保密的加密密钥，并且S_D是从与W_D匹配的任何生物特征模板W_D’中重新创建R_D所需的公共值。R取W_D'和S_D，并且将它们映射到保密的密码密钥R_D'，其中如果W_D’与W匹配，则R_D’等于R_D。换句话讲，模糊提取器函数G用于从第一生物特征模板生成保密的密码密钥和公共值，而第二模糊提取器函数R可以从相同的公共值和第二生物特征模板重新生成相同的保密的密码密钥，只要第一生物特征模板和第二生物特征模板匹配即可。关于模糊提取器的其他细节可参见Yegeniy Dodis等人的标题为“Fuzzy Extractors；How to Generate Strong Keys from Biometric and Other Noisy Data”(SIAM Journal on Computing，38(1)：97-139，2008)的文章。出于所有目的，该参考文献通过引用整体并入本文中。

[0048] “同态加密”意在指一种加密形式，它允许对密文进行计算，从而生成加密的结果，该加密的结果在被解密后与操作的结果相匹配，犹如这些操作已对明文执行。因此，可以使用两个加密的生物特征模板来生成加密的结果，该结果在被解密时与操作的结果相匹配，犹如这些操作已对未加密的生物特征模板执行。因此，加密的结果可以在设备和/或软件应用程序之间传递，并且接收设备可以解密该加密的结果，并且将加密和/或解密的结果用于匹配验证的目的。

[0049] 本文所用的“安全多方计算(SMPC)”是指一种利用加密技术的加密机制，以便使多个实体能够共同计算函数，同时将它们对函数的输入保密。因此，在本文所讨论的一些实施方案中，两个应用程序和/或系统可以利用两个对应的被混淆的生物特征模板来共同计算函数。然后，该函数(和/或函数输出)可以用于验证每个应用程序/系统处的加密的生物特征模板相匹配(或基本匹配)，同时使生物特征模板保持保密，换句话讲，无需在应用程序/系统之间交换生物特征模板。

[0050] 例如，第一计算模块(例如，设备、应用程序)可以确定认证函数。该认证函数可以实现匹配算法，该匹配算法可以被配置为比较两个模板(例如，生物特征注册模板和生物特征认证模板)并且基于比较来输出认证结果(例如，匹配/不匹配、匹配的可能性为90％，等等)。在一些实施方案中，可以将认证函数从采用两个输入的函数F变换为采用一个输入的函数G。然后，第一计算模块可以确定表示函数G的电路。该第一计算模块可以通过将一个或多个随机值分配给电路的每条线来混淆电路。该第一计算模块可以将与被混淆的电路相关联的信息发送至第二计算模块(例如，不同的设备或应用程序)。在一些实施方案中，该信息可以包括与被混淆的电路中的每个逻辑门相关联的被混淆的值，以及指示被混淆的电路中的逻辑门如何彼此连接的信息。

[0051] 第二计算模块可以利用第二生物特征模板(例如，生物特征认证模板)作为输入来评估被混淆的电路。在一些实施方案中，可以在将生物特征模板用作被混淆的电路的输入之前对其进行混淆。在一些实施方案中，第二计算模块可以向第一计算模块发送请求以将生物特征认证模板转换为被混淆的认证模板。这可以使第一计算模块发起茫然传输协议。该茫然传输协议可以使第一计算模块能够部分发送被混淆的认证模板，然后由第二计算模块接收这些部分。通过使用被混淆的认证模板，第二计算模块可以评估被混淆的电路以确定被混淆的认证结果。该认证结果可以被提供回第一计算模块。在此所述的传输是安全的，因为中间物将无法基于拦截被混淆的认证结果来得出任何有意义的信息。第一计算模块可以被配置为基于被混淆的结果来确定用户是否通过认证。举例来讲，第一计算模块可以利用被混淆的值与对应于被混淆的电路的线的未经混淆的值之间的存储的映射。基于一个或多个映射，可以确定与被包括在被混淆的认证结果中的被混淆的值相关联的未经混淆的值。第一计算模块可以基于所确定的未经混淆的值来确定认证结果。

[0052] “服务器计算机”通常是功能强大的计算机或计算机集群。举例来说，服务器计算机可以是大型主机、小型计算机集群或像单元一样工作的一组服务器。在一个实例中，服务器计算机可以是耦合到网络服务器的数据库服务器。

[0053] “处理器”可以指任何合适的一个或多个数据计算设备。处理器可包括一起工作以实现所要功能的一个或多个微处理器。处理器可包含CPU，所述CPU包括足以执行用于执行用户和/或系统生成的请求的程序组件的至少一个高速数据处理器。所述CPU可以是微处理器，例如AMD的速龙(Athlon)、钻龙(Duron)和/或皓龙(Opteron)；IBM和/或摩托罗拉(Motorola)的PowerPC；IBM和索尼(Sony)的Cell处理器；英特尔(Intel)的赛扬(Celeron)、安腾(Itanium)、奔腾(Pentium)、至强(Xeon)和/或XScale；以及/或类似处理器。

[0054] “存储器”可以是可以存储电子数据的任何合适的一个或多个设备。合适的存储器可包括非暂时性计算机可读介质，其存储可由处理器执行以实现所要方法的指令。存储器的示例可包括一个或多个存储器芯片、磁盘驱动器等等。此类存储器可使用任何合适的电、光和/或磁操作模式来操作。

[0055] I.系统

[0056] 图1示出根据本发明的实施方案的系统100的框图。系统100包括用户设备102、资源提供商计算机104、传输计算机106、处理网络计算机108、认证计算机110，以及认证网关计算机112。用户设备102可以是移动设备的示例。这些系统和计算机中的每一个都可以彼此进行操作性通信。为了简化说明，在图1中示出了特定数量的部件。然而，应理解，本发明的实施方案可包含多于一个每种部件。另外，本发明的一些实施方案可包含比图1中所示的所有部件少或多的部件。另外，图1中的部件可以使用任何合适的通信协议经由任何合适的通信媒体(包含因特网)通信。

[0057] 便携式设备102可以是任何合适的形式。用户设备102的示例包括能够访问互联网的任何设备，诸如个人计算机、蜂窝或无线电话、个人数字助理(PDA)、平板计算机、膝上型计算机，以及手持式专用读取器。用户设备102可以通过通信介质传输数据。

[0058] 用户设备102可以具有任何合适的特征。用户设备102可以包括处理器和耦合到该处理器的计算机可读介质，该计算机可读介质包括可由处理器执行的用于执行本文所述的功能性的代码。用户设备102可以经由通信介质可通信地耦合到资源提供商计算机104，以便与同资源提供商计算机104相关联的资源提供商交换信息。在一些实施方案中，用户设备102可以通过在用户设备102上操作并且由资源提供商和/或资源提供商计算机104托管的资源提供商应用程序116来与资源提供商计算机104通信。用户设备102可以可通信地耦合到认证计算机110。在一些实施方案中，用户设备102可以经由通信介质可通信地耦合到认证计算机110，以便与同认证计算机110相关联的授权实体(例如，银行)交换信息。在一些实施方案中，用户设备102可以经由在用户设备102上操作的认证应用程序114与认证计算机
110交换数据。认证应用程序(例如，钱包应用程序)可以由授权实体/认证计算机操作或代表授权实体/认证计算机操作。

[0059] 资源提供商计算机104可以包括由资源提供商(例如，商家)操作的任何合适的计算装置。资源提供商计算机104可以包括处理器和耦合到该处理器的计算机可读介质，该计算机可读介质包括可由处理器执行的用于执行本文所述的功能性的代码。在一些实施方案中，资源提供商计算机104可以包括一个或多个服务器计算机，所述一个或多个服务器计算机可以托管与该资源提供商(例如，商家)相关联的一个或多个网站。在一些实施方案中，资源提供商计算机104可以被配置为经由传输计算机106将数据发送至处理网络计算机108，作为用于用户(例如，消费者)与资源提供商之间的交易的支付验证和/或认证过程的一部分。资源提供商计算机104还可以被配置为生成用于资源提供商和用户118之间的交易的授权请求消息，并且将该授权请求消息路由至认证计算机110以进行附加的交易处理。

[0060] 在一些实施方案中，可以经由用户设备102可访问的由资源提供商操作的网站来访问资源提供商计算机104。该网站可以被配置为可从在用户设备102上操作的应用程序(例如，浏览器应用程序、资源提供商应用程序116等)访问。

[0061] 认证计算机110通常与发行和维护消费者的消费者账户的商业实体(例如，银行)相关联。认证计算机110可以发行用于消费者账户的支付设备，包括信用卡和借记卡、数字钱包，并且/或者可以提供经由用户设备102存储和访问的用户账户。在一些实施方案中，认证计算机110可以被配置为存储与用户账户相关联的凭证(例如，用户标识符、生物特征识别数据、生物特征模板等)。

[0062] 在一些实施方案中，认证计算机110(或由授权实体或代表授权实体操作的另一个计算系统)可以管理并且向用户118提供与在线银行账户相关的服务。可以经由认证应用程序114(例如，银行应用程序、数字钱包应用程序、网络浏览器等)将服务提供给用户，并且存储在用户的计算机设备(例如，用户设备102)上。认证计算机110可以向存储在用户设备102上的应用程序(例如，认证应用程序114)发送空中(OTA)消息。在至少一个示例中，认证计算机110可以负责提供与发行方实体相关联的一个或多个网络页面。可以经由用户设备102可访问的由发行方操作的网站来访问认证计算机110。该网站可以被配置为可从在用户设备102上操作的应用程序(例如，浏览器应用程序、认证应用程序114等)访问。认证应用程序
114可以被配置为使用一个或多个服务呼叫来接收和传输数字钱包/银行数据。例如，认证计算机110可以被配置为处理来自在用户设备102上操作的应用程序(例如，浏览器应用程序和/或认证应用程序114)的服务呼叫请求。响应于所接收的请求，认证计算机110可以服务于可以在用户设备102处(例如，经由浏览器应用程序、认证应用程序114等)呈现的各种用户界面。

[0063] 认证应用程序114可以与数字钱包账户相关联，该数字钱包账户可以存储用户配置文件信息、支付账户信息、银行账户信息、凭证(例如，支付凭证、用户名/密码、生物特征识别数据和/或模板等)等，并且可以用于各种交易，诸如但不限于电子商务、社交网络、转账/个人支付、移动商务、接近支付、博彩等，用于零售购买、数字商品购买、公用设施支付、从博彩网站购买游戏或博彩积分、用户间转移资金，等等。在一些实施方案中，认证应用程序114可以被称为“凭证持有者应用程序”，并且认证应用程序110可以被称为“凭证持有者计算机”。

[0064] 在一些实施方案中，用户118可以通过与认证计算机110交换数据，利用认证应用程序114来执行注册过程。通过该注册过程，用户可以注册/登记，以便具有通过用户经由用户设备102提供的生物特征识别信息进行认证的能力。参考图2进一步讨论了用于注册的示例性过程。在注册期间，可以提示用户118提供生物特征识别数据。可以分析该数据并且可以提取唯一特征以根据生物特征识别数据生成生物特征注册模板。可以由认证应用程序114将生物特征注册模板存储在用户设备102处，或者认证应用程序114可以将生物特征注册模板提供给认证计算机110。

[0065] 传输计算机106通常与商业实体(例如，商业银行)相关联，该商业实体与特定资源提供商(例如，商家)或其他实体具有商业关系并且可以涉及交易过程。传输计算机106可以发行和管理资源提供商的账户，并且代表资源提供商与认证计算机110交换资金。一些实体既可以执行认证计算机110的功能，也可以执行传输计算机106的功能。本发明的实施方案包括此类单实体发行方-收单方计算机。处理网络计算机108可以为标准支付交易提供交易授权，以及在传输计算机106和认证计算机110之间的清算和结算服务。

[0066] 处理网络计算机108可以是包括或操作用于处理(例如，支付处理)的至少一个服务器计算机的网络。处理网络计算机108中的服务器计算机可以包括处理器和耦合到该处理器的计算机可读介质，该计算机可读介质包括可由处理器执行的用于执行本文所述的功能性的代码。在一些实施方案中，服务器计算机可以耦合到数据库，并且可以包括用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其他逻辑部件或前述项的组合。服务器计算机可包括一个或多个计算设备，且可使用各种计算结构、布置和编译中的任一种来服务来自一个或多个客户端计算机的请求。在一些实施方案中，处理网络计算机108可以操作多个服务器计算机。在此类实施方案中，每个服务器计算机都可以被配置为处理给定区域的交易或基于交易数据处理特定类型的交易。

[0067] 处理网络计算机108可以包括用来支持和传递授权服务、异常文件服务以及清算与结算服务的数据处理子系统、网络和操作。处理网络计算机108可以包括VisaNetTM。包括VisaNetTM在内的网络能够处理信用卡交易、借记卡交易和其他类型的商业交易。VisaNetTM具体包括处理授权请求的集成支付系统以及执行清算和结算服务的Base II系统。支付处理网络可以使用任何合适的有线或无线网络，包含互联网。

[0068] 处理网络计算机108可以处理交易请求消息，并且为交易请求消息确定适当的目的地(例如，一个或多个认证计算机)。处理网络计算机108还可以处理和/或促进交易的清算和结算。

[0069] 在一些实施方案中，提供了认证网关计算机112。认证网关计算机112可以与认证计算机110、资源提供商计算机104和/或资源提供商应用程序116可通信地耦合。认证网关计算机112可以被配置为接收(例如，来自资源提供商计算机104和/或资源提供商应用程序116的)请求以验证用户118在生物特征认证程序中的注册。在一些实施方案中，认证网关计算机112可以被配置为从认证计算机110(或另一个合适的本地/远程存储位置)请求注册信息(例如，一个或多个生物特征注册模板)。认证网关计算机112可以被配置为(例如，经由资源提供商应用程序116)向用户设备提供注册信息(例如，生物特征注册模板)。示例性生物特征认证过程在下面参考图3和图4进一步详细讨论。

[0070] 图2的开始

[0071] 图2示出根据一些实施方案的注册过程的流程图200。

[0072] 根据实施方案，用户可以使用凭证持有者应用程序202来注册到生物特征认证程序中。凭证持有者应用程序202可以是被配置为存储一个或多个用户凭证的在用户设备(例如，图1的用户设备102)上操作的任何合适的应用程序。凭证持有者应用程序202可以是图1的认证应用程序114的示例。尽管图2中描述的注册过程被描述为由凭证持有者应用程序和凭证持有者服务器204(例如，图1的认证计算机110的示例)执行，但是应当理解，注册信息可以包括更多、更少或不同的设备，诸如以上结合图1所讨论的计算设备的任何合适的组合。作为非限制性示例，可能的情况是，凭证持有者应用程序202和/或凭证持有者服务器204可以将注册数据的任何适当部分提供给图1的认证网关计算机112，以进行存储和以后的处理。

[0073] 在206处，凭证持有者应用程序202可以向用户提供/显示选择，该选择可以用于指示注册到认证程序中的请求。凭证持有者应用程序202可以接收请求，并且可以根据注册模块(例如，分别为图3和图4的注册模块330和/或430)的指令来发起注册过程。为了发起注册过程，凭证持有者应用程序202可以首先提示用户将他或她的生物特征样本输入到他的移动设备(例如，图1的用户设备102)中。例如，凭证持有者应用程序202可以提示用户使用前置相机来拍摄他或她脸部的照片。可以被输入到移动设备中的生物特征样本的其他示例可以包括用户的语音、指纹、虹膜等的样本。

[0074] 一旦用户的生物特征样本已经由移动设备捕获，凭证持有者应用程序202就可以在208处生成生物特征模板。例如，注册模块可以包括用于根据用户的生物特征样本来生成生物特征模板的指令。在一些实施方案中，注册模块可以包括用于使生物特征模板经过加密算法使得其数据值可以被混淆的指令。

[0075] 一旦生物特征(注册)模板已经生成(并且可能被加密)，则凭证持有者应用程序202可以在210处将生物特征模板与用户标识符和凭证持有者标识符相关联。用户标识符的示例可以包括设备ID、账号、用户名或移动设备的用户的任何其他唯一标识符。凭证持有者标识符的示例可以包括钱包ID、移动银行ID号码或凭证持有者应用程序202的任何其他唯一标识符。在一个实施方案中，可以生成用于生物特征模板的标识符，使得可以将用于生物特征模板的标识符链接到存储器存储或数据库中的用户标识符和凭证持有者应用程序
202。

[0076] 根据实施方案，可以存储在注册过程期间生成的生物特征模板以供以后使用。在一个实施方案中，生物特征模板可以作为加密的生物特征模板数据(例如，分别为图3和图4的加密的生物特征模板数据332和432)安全地存储在移动设备上。在另一个实施方案中，可以将加密的生物特征模板存储在与凭证持有者应用程序202相关联的远程服务器诸如凭证持有者服务器204处。

[0077] 例如，在212处，可以将包括加密的生物特征模板及其相关联的用户标识符和凭证持有者标识符的注册消息传输至凭证持有者服务器204。凭证持有者服务器204然后可以在214处接收注册消息，存储加密的生物特征模板，并且(例如，在关系数据库中)将加密的生物特征模板链接到用户标识符和凭证持有者标识符。在一些实施方案中，加密的生物特征模板可以部分地存储在用户设备上(在凭证持有者应用程序202可访问的存储位置中)，并且部分地存储在凭证持有者服务器204上。例如，加密的生物特征模板可以被表示为可以被分成两个或更多个部分的一串位或字符。然后可以将两个或更多个部分分别存储在用户设备(例如，图1的用户设备102)和凭证持有者服务器204处。

[0078] 一旦用户成功注册到生物特征认证程序，他或她就可以根据以下描述的过程在线向资源提供商认证他或她自己。

[0079] II.方法

[0080] 图3示出根据实施方案的用于在资源提供商应用程序处安全地认证用户的过程流程图。系统300可以包括用户的移动设备302。移动设备302可以是图1的用户设备102的示例。移动设备302可以是任何移动电子设备，诸如移动电话、可穿戴设备、膝上型计算机、平板电脑等。系统300还可以包括用于存储用户的凭证的凭证持有者应用程序304。凭证持有者应用程序304可以是图1的认证应用程序114和/或图2的凭证持有者应用程序202的示例。在一些实施方案中，凭证持有者应用程序304可以是数字钱包应用程序或移动银行应用程序，可以存储用户凭证，诸如可以用于支付的支付凭证或令牌。在一个实施方案中，用户凭证可以作为凭证数据306安全地存储在凭证持有者应用程序304处，并且可以由移动设备
302检索以进行交易。

[0081] 在一些实施方案中，以上结合图2描述的注册过程已经在参考图3描述的认证过程之前进行。因此，凭证持有者应用程序304可以访问加密的生物特征模板数据332，该加密的生物特征模板数据可以包括在注册过程期间由注册模块330以图2中描述的方式生成的加密的生物特征注册模板。

[0082] 在图3所示的实施方案中，移动设备302可以包括资源提供商应用程序308(例如，图1的资源提供商应用程序116)。在一个实施方案中，资源提供商应用程序308可以是与资源提供商服务器310(例如，图1的资源提供商计算机104)执行后端通信的移动应用程序。例如，资源提供商应用程序308可以是由商家提供给用户的移动应用程序，使得用户可以直接从他们的移动设备302与商家进行交互。在另一个实施方案中，资源提供商应用程序308可以是可以连接到资源提供商服务器310的网站或网络应用程序。例如，用户可以使用移动设备302的网络浏览器连接到提供资源提供商应用程序308的功能性的商家网站。

[0083] 参照图3，用户可以首先发起用于在移动设备302上进行安全交互的认证过程。例如，资源提供商应用程序308的结账/购买页面可以向用户提供/显示选择，从而允许用户使用注册的生物特征认证程序(在此也被称为“认证程序”)请求对支付交易的认证。在用户选择之后，认证请求模块312可以接收请求以发起由所示的步骤1至步骤6表示的认证过程。

[0084] 在步骤1处，可以从移动设备302检索用户标识符，并且将其发送至认证网关计算机314(例如，图1的认证网关计算机120)。例如，可以从移动应用程序或网页中检索设备ID或网络地址。又如，可以将用户ID或账号输入到移动设备302中并且转发至认证网关计算机314。在实施方案中，认证网关计算机314可以是专用服务器，用于在执行生物特征认证过程中路由消息。在一个实施方案中，资源提供商应用程序308与认证网关计算机314之间的通信可以通过一个或多个应用程序接口(API)来完成。例如，资源提供商应用程序308可以提交用于将用户标识符提交给认证网关计算机314并且接收适当响应的API调用。

[0085] 在步骤2处，认证网关计算机314可以接收用户标识符，并且可以确定用户的注册信息，然后可以将该注册信息发送回资源提供商应用程序308。在一个实施方案中，用户注册信息可以包括用户注册的指示(例如，是或否)，以及一个或多个凭证持有者标识符。在一些实施方案中，注册信息被存储在认证网关计算机314处，而在其他实施方案中，注册信息的至少某些部分可以被存储在凭证持有者服务器316处。在一些示例中，认证网关计算机314可以调出到凭证持有者服务器316以确定用户标识符是否与凭证持有者标识符相关联，并且可以进一步确定用户标识符是否与已注册的生物特征模板(例如，生物特征注册模板)相关联。认证网关计算机314然后可以检索与用户标识符相关联的任何凭证持有者标识符，并且可以将该凭证持有者标识符和注册的指示发送至资源提供商应用程序308。例如，认证网关计算机314可以发送API响应，该API响应包括注册指示(例如，‘已注册＝真’)和标识存储用户凭证的一个或多个数字钱包的一个或多个标识符(例如，钱包标识符)。

[0086] 在步骤3处，资源提供商应用程序308可以(例如，经由认证请求模块312)接收用户注册信息，并且可以检索来自用户的生物特征样本。例如，用户注册信息可以包括注册的肯定指示，这可以发起生物特征采样模块318的指令。例如，指令可以包括用于提示用户经由移动设备302提供生物特征样本的代码。举例来讲，可以提示用户使用移动设备302的相机来拍摄自拍照。然后，可以使用从相机生成的图像数据提取用户面部的生物特征样本。在其他实施方案中，资源提供商应用程序308可以使用其他生物特征读取设备诸如麦克风、指纹读取器等来检索必要的生物特征样本。在由资源提供商应用程序308提示时，用户可有义务捕获他或她的生物特征样本，或者可以选择取消和终止认证过程。

[0087] 在步骤4处，成功捕获用户的生物特征样本可以发起安全匹配过程。在实施方案中，可以使用资源提供商匹配模块320的指令来发起和执行安全匹配过程。这些指令可以包括接收用户的生物特征样本，根据该生物特征样本来生成生物特征模板，以及加密该生物特征模板。例如，资源提供商匹配模块320可以包括用于提取生物特征的生物特征模板导出算法，并且可以包括用于对生物特征模板数据进行加密的加密算法，使得提取的特征可以被混淆。因此，在一些示例中，资源提供商匹配模块320可以被配置为根据由生物特征采样模块318捕获的生物特征样本来生成生物特征模板。在一些实施方案中，生物特征模板由资源提供商匹配模块320加密。

[0088] 在步骤5处，资源提供商应用程序308可以通过检索在用户注册到认证程序期间存储的加密的生物特征模板(例如，生物特征注册模板)来继续安全匹配过程。如前所述，加密的生物特征模板数据332可以包括在以上结合图2描述的注册过程期间生成的生物特征注册模板。资源提供商应用程序308可以基于在步骤2中从认证网关计算机314接收的一个或多个凭证持有者标识符来确定加密的生物特征模板数据332的位置。如果存在两个或更多个凭证持有者标识符，则资源提供商应用程序308可以询问用户他们希望使用哪个凭证持有者。例如，资源提供商应用程序308可以确定存储用户的凭证数据306的一个或多个数字钱包，并且可以向用户呈现/显示用于选择他们希望用于与资源提供商进行交易的钱包或凭证的选择。资源提供商应用程序308可以检索存储在凭证持有者应用程序304处的加密的生物特征模板数据332以执行安全匹配。

[0089] 为了保护移动设备302的用户及其他或她的生物特征识别数据的隐私，可以使用密码比较协议来执行生物特征注册模板与认证时生成的生物特征模板的匹配。生物特征匹配模块322可以执行此类密码比较并且/或者资源提供商匹配模块320可以被配置为执行这些密码比较。密码比较协议可以允许模板的匹配，而无需在凭证持有者应用程序304、资源提供商应用程序308和/或凭证持有者服务器316之间传输任何明文生物特征识别数据。然而，在比较之后，可以在系统300的所有部件处获得与匹配结果(匹配/不匹配)有关的可靠信息。在实施方案中，可以通过以下任何一种来完成密码比较：安全多方计算(SMPC)、同态加密(HE)和/或模糊提取器(FE)。关于密码比较协议的更多信息可以参见国际专利申请号：PCT/US17/24099和国际专利申请号：PCT/US16/58880，这些申请的全部内容出于所有目的以引用方式并入本文。另外，下面还可以进一步描述与密码比较协议相关的附加细节。在一些实施方案中，至少一些密码比较协议可以利用加密的生物特征模板。

[0090] 作为其中利用密码比较协议诸如SMPC来确定匹配的非限制性示例，生物特征匹配模块322可以确定认证函数。该认证函数可以实现匹配算法，该匹配算法可以被配置为比较两个模板(例如，生物特征注册模板和生物特征认证模板)并且基于比较来输出认证结果(例如，匹配/不匹配、匹配的可能性为90％，等等)。在一些实施方案中，可以将认证函数从采用两个输入的函数F变换为采用一个输入的函数G。然后，生物特征匹配模块322可以确定表示函数G的电路。生物特征匹配模块322可以通过将一个或多个随机值分配给电路的每条线来混淆电路。生物特征匹配模块322可以将与被混淆的电路相关联的信息发送至资源提供商匹配模块320。在一些实施方案中，该信息可以包括与被混淆的电路中的每个逻辑门相关联的被进一步混淆的值，以及指示被混淆的电路中的逻辑门如何彼此连接的信息。

[0091] 资源提供商匹配模块320可以利用生物特征认证模板作为输入来评估被混淆的电路。在一些实施方案中，可以在将生物特征认证模板用作被混淆的电路的输入之前对其进行混淆。在一些实施方案中，资源提供商可以向生物特征匹配模块322发送请求，以将生物特征认证模板转换为被混淆的认证模板。这可以使生物特征匹配模块322发起茫然传输协议。茫然传输协议可以使生物特征匹配模块322能够部分发送被混淆的认证模板，然后由资源提供商匹配模块320接收这些部分。通过使用被混淆的认证模板，资源提供商匹配模块320可以评估被混淆的电路以确定被混淆的认证结果。该认证结果可以由资源提供商匹配模块320提供给生物特征匹配模块322。在此所述的传输是安全的，因为中间物将无法基于拦截被混淆的认证结果来得出任何有意义的信息。生物特征匹配模块322可以被配置为基于被混淆的结果来确定用户是否通过认证。举例来讲，生物特征匹配模块322可以利用被混淆的值与对应于被混淆的电路的线的未经混淆的值之间的存储的映射。基于该映射，可以确定与被包括在被混淆的认证结果中的被混淆的值相关联的未经混淆的值。生物特征映射模块322可以基于所确定的未经混淆的值来确定认证结果。

[0092] 应当理解，在一些实施方案中，生物特征匹配模块322的功能可以由资源提供商匹配模块322提供，反之亦然。因此，在以上示例中，资源提供商匹配模块322可以被配置为确定被混淆的电路和匹配结果。

[0093] 在步骤6处，如果比较结果为肯定的匹配结果(即，‘匹配＝真’)，则可以检索凭证数据306并且将其用于执行一个或多个操作。举例来讲，凭证数据306可以被用来授权对由资源提供商提供的资源的访问。在另一个实施方案中，资源提供商应用程序308可以进一步将生物特征注册模板或在认证过程期间生成的生物特征模板与存储在资源提供商应用程序308处的照片进行比较，作为附加的安全检查。例如，资源提供商应用程序308可以是社交媒体应用程序，可以将在认证时生成的生物特征模板与用户的社交媒体资料的一张或多张照片进行比较。

[0094] 图4示出根据实施方案的用于在资源提供商应用程序处安全地认证用户的过程流程图。系统400可以包括用户的移动设备402。移动设备402可以是图3的移动设备302的示例。移动设备402可以是任何移动电子设备，诸如移动电话、可穿戴设备、膝上型计算机、平板电脑等。系统400还可以包括用于存储用户的凭证的凭证持有者应用程序404。凭证持有者应用程序404可以分别是图1的认证应用程序114和/或图2和图3的凭证持有者应用程序202和304的示例。在一些实施方案中，凭证持有者应用程序404可以是数字钱包应用程序或移动银行应用程序，可以存储用户凭证，诸如可以用于支付的支付凭证或令牌。在一些实施方案中，用户凭证可以包括生物特征注册模板。在一个实施方案中，用户凭证可以作为凭证数据406安全地存储在凭证持有者应用程序404处，并且可以由移动设备402检索以进行交易。

[0095] 在一些实施方案中，以上结合图2描述的注册过程已经在参考图4描述的认证过程之前进行。因此，凭证持有者应用程序404可以访问加密的生物特征模板数据432，该加密的生物特征模板数据可以包括在注册过程期间由注册模块330以图2中描述的方式生成的加密的生物特征注册模板。

[0096] 在图4所示的实施方案中，移动设备402可以包括资源提供商应用程序408(例如，图1的资源提供商应用程序116，图3的资源提供商应用程序308)。在一个实施方案中，资源提供商应用程序408可以是与资源提供商服务器410(例如，图1的资源提供商计算机104，图3的资源提供商服务器310，等等)执行后端通信的移动应用程序。例如，资源提供商应用程序408可以是由商家提供给用户的移动应用程序，使得用户可以直接从他们的移动设备402与商家进行交互。在另一个实施方案中，资源提供商应用程序408可以是可以连接到资源提供商服务器410的网站或网络应用程序。例如，用户可以使用移动设备402的网络浏览器连接到提供资源提供商应用程序408的功能性的商家网站。

[0097] 参照图4，用户可以首先发起用于在移动设备402上进行安全交互的认证过程。例如，资源提供商应用程序408的结账/购买页面可以向用户提供/显示选择，从而允许用户使用注册的生物特征认证程序请求对支付交易的认证。在用户选择之后，认证请求模块412可以接收该请求以发起由所示的步骤1至步骤8表示的认证过程。

[0098] 在步骤1处，可以从移动设备402检索用户标识符，并且将其发送至认证网关计算机414(例如，图1的认证网关计算机120、图3的认证网关计算机314，等等)。例如，可以从资源提供商应用程序408或网页中检索设备ID或网络地址。又如，可以将用户ID或账号输入到移动设备402中并且转发至认证网关计算机414。在实施方案中，认证网关计算机414可以是专用服务器，用于在执行生物特征认证过程中路由消息。在一个实施方案中，资源提供商应用程序408与认证网关计算机414之间的通信可以通过一个或多个应用程序接口(API)来完成。例如，资源提供商应用程序408可以提交用于将用户标识符提交给认证网关计算机414并且接收适当响应的API调用。

[0099] 在步骤2处，认证网关计算机414可以接收用户标识符，并且可以确定用户的注册信息，然后可以将该注册信息发送回资源提供商应用程序408。在一个实施方案中，用户注册信息可以包括用户注册的指示(例如，是或否)，以及一个或多个凭证持有者标识符。例如，认证网关计算机414可以访问存储在认证网关计算机414处的注册信息(例如，先前由凭证持有者服务器416提供的注册信息)，和/或认证网关计算机414可以调出到凭证持有者服务器416以确定用户标识符是否与凭证持有者标识符相关联。凭证持有者服务器416可以进一步被配置为确定用户标识符是否与已注册的生物特征模板(例如，生物特征注册模板)相关联。如果用户标识符与已注册的生物特征模板相关联，则认证网关计算机414然后可以检索与用户标识符相关联的任何凭证持有者标识符，并且可以将该凭证持有者标识符和注册的指示发送至资源提供商应用程序408。例如，认证网关计算机414可以发送API响应，该API响应包括注册指示(例如，‘已注册＝真’)和一个或多个标识符(例如，标识存储用户凭证的一个或多个数字钱包的钱包标识符)。

[0100] 在步骤3处，资源提供商应用程序408可以(例如，经由认证请求模块412)接收用户注册信息，并且可以检索来自用户的生物特征样本。例如，用户注册信息可以包括注册的肯定指示，这可以发起生物特征采样模块418的指令。例如，指令可以包括用于提示用户经由移动设备402提供生物特征样本的代码。举例来讲，可以提示用户使用移动设备402的相机拍摄自拍照。然后，可以使用从相机生成的图像数据提取用户面部的生物特征样本。在其他实施方案中，资源提供商应用程序408可以使用其他生物特征读取设备诸如麦克风、指纹读取器等来检索必要的生物特征样本。在由资源提供商应用程序408提示时，用户可有义务捕获他或她的生物特征样本，或者可以选择取消和终止认证过程。

[0101] 在步骤4处，成功捕获用户的生物特征样本可以发起安全匹配过程。在实施方案中，可以使用资源提供商匹配模块420的指令来发起和执行安全匹配过程。这些指令可以包括接收用户的生物特征样本，根据该生物特征样本来生成生物特征模板，以及加密该生物特征模板。例如，资源提供商匹配模块420可以包括用于提取生物特征的生物特征模板导出算法，并且可以包括用于对生物特征模板数据进行加密的加密算法，使得提取的特征可以被混淆。因此，在一些示例中，资源提供商匹配模块420可以被配置为根据由生物特征采样模块418捕获的生物特征样本来生成生物特征模板。在一些实施方案中，生物特征模板由资源提供商匹配模块420加密。

[0102] 在步骤5处，资源提供商应用程序408可以从凭证持有者服务器416检索已注册的加密的生物特征模板(例如，生物特征注册模板)以进行匹配。在一些实施方案中，加密的生物特征模板数据432被部分或全部存储在凭证持有者服务器416处。在其他实施方案中，加密的生物特征模板数据432的至少一部分被存储在移动设备402处。在步骤5处，可以将API调用发送至认证网关计算机414，该认证网关计算机在步骤6处可以从凭证持有者服务器416检索加密的生物特征模板数据432(例如，与用户/用户标识符相关联的生物特征注册模板)。在步骤7处，认证网关计算机414可以将加密的生物特征模板数据432(例如，包括生物特征注册模板)提交给资源提供商应用程序408。如果加密的生物特征模板数据432的一部分被存储在移动设备402处，则应当理解，可以从凭证持有者应用程序404中检索已注册的加密的生物特征模板(例如，生物特征注册模板)的那些部分以用于匹配。

[0103] 为了保护移动设备402的用户和他或她的生物特征识别数据的隐私，可以使用密码比较协议来执行加密的生物特征模板数据432(例如，加密的生物特征注册模板)与在认证时生成的模板的匹配。生物特征匹配模块422可以执行此类密码比较并且/或者资源提供商匹配模块420可以被配置为执行这些密码比较。密码比较协议可以允许模板的匹配，而无需在凭证持有者应用程序404、资源提供商应用程序408和/或凭证持有者服务器416之间传输任何明文生物特征识别数据。然而，在比较之后，可以在系统400的所有部件处获得与匹配结果(匹配/不匹配)有关的可靠信息。在实施方案中，可以通过以下任何一种来完成密码比较：安全多方计算(SMPC)、同态加密(HE)和/或模糊提取器(FE)。关于密码比较协议的更多信息可以参见国际专利申请号：PCT/US17/24099和国际专利申请号：PCT/US16/58880，这些申请的全部内容出于所有目的以引用方式并入本文。另外，下面还可以进一步描述与密码比较协议相关的附加细节。

[0104] 在步骤8处，如果比较结果为肯定的匹配结果(即，‘匹配＝真’)，则凭证数据406可以被检索并且用于执行一个或多个操作，诸如但不限于授权对由资源提供商提供的资源的访问。在另一个实施方案中，资源提供商应用程序408可以进一步将加密的生物特征模板(例如，捕获的生物特征模板和/或生物特征注册模板)中的任一个与存储在资源提供商应用程序408处的照片进行比较，作为附加的安全检查。例如，资源提供商应用程序可以是社交媒体应用程序，可以将在认证时生成的生物特征模板与用户的社交媒体资料的一张或多张照片进行比较。

[0105] 图5示出根据一个实施方案的用于安全地在线执行生物特征认证的方法500的流程图。在步骤501处，可以(例如，分别由图3或图4的移动设备302和/或移动设备402)发起认证过程。例如，在使用商家应用程序(例如，分别为图3或图4的资源提供商应用程序308和/或408)进行的交易期间，用户可以选择“免手提支付”选项。

[0106] 在步骤502处，可以将用户标识符发送至认证提供商。例如，账户ID可以被自动填充到商家应用程序中，然后在其中可以将其经由认证网关(例如，认证网关计算机314或414)提交给认证提供商。认证提供商可以与用户已利用来注册到生物特征认证程序中的实体相关联，诸如移动银行或支付处理实体。例如，在一些实施方案中，认证网关可以由与凭证持有者服务器416相关联的实体提供，而在其他实施方案中，认证提供商可以被提供为与图1的处理网络计算机108相关联的实体的一部分或代表该实体。

[0107] 在步骤503处，可以从认证提供商检索用户注册信息。例如，用户的移动设备上的商家应用程序可以接收注册的指示和与该用户的注册相关联的一个或多个标识符(例如，钱包标识符)。

[0108] 在步骤504处，如果已经确认了用户的注册，则可以生成用户的第二加密的生物特征模板。可以从认证过程期间由移动设备(例如，移动设备302或402)捕获的生物特征样本中生成第二加密的生物特征模板。例如，商家应用程序可以访问移动设备的相机功能，并且可以提示用户拍摄他或她脸部的照片。在拍摄照片之后，商家应用程序然后可以提取特征以生成生物特征模板，并且可以加密该生物特征模板，使得这些特征可以被混淆。可以利用类似的过程使用其他捕获的生物特征识别数据(诸如，一个或多个虹膜扫描、视网膜扫描、音频语音记录、指纹扫描、手印扫描等)来生成加密的生物特征模板。

[0109] 在步骤505处，可以检索在注册时生成的第一加密的生物特征模板(在本文中也被称为生物特征注册模板)。例如，移动银行应用程序、数字钱包应用程序或其服务器可以将加密的生物特征模板(例如，生物特征注册模板)发送至在移动设备(例如，移动设备302或402)上运行的商家应用程序(例如，资源提供商应用程序308或408)或商家网页。

[0110] 在步骤506处，可以使用密码比较协议来比较第一加密的生物特征模板和第二加密的生物特征模板，使得可以确定匹配。例如，为了执行同态加密过程，商家应用程序(例如，资源提供商应用程序308或408)可以在加密的域中执行比较，并且可以将加密的匹配结果发送回与用户的注册相关联的凭证持有者(例如，银行或数字钱包)应用程序(例如，凭证持有者应用程序304或404)或凭证持有者服务器(例如，凭证持有者服务器316或416)。凭证持有者应用程序和/或服务器然后可以解密匹配结果，并且可以将该结果以及证实凭证持有者如实进行解密的证明(例如，数字签名或其他证明机制)通知给商户应用程序。

[0111] 在一些实施方案中，凭证持有者应用程序或凭证持有者服务器可以包括多个一次性使用的加密的生物特征模板，所述多个一次性使用的加密的生物特征模板可以在特定的认证过程中用作第一加密的生物特征模板(例如，在注册过程期间生成的加密的生物特征模板)。在一个实施方案中，可以根据Shamir秘密共享方案，将第一加密的生物特征模板划分为在移动设备上的凭证持有者应用程序与凭证持有者服务器之间的多个部分，然后可以将这些部分重构以进行匹配。在一个实施方案中，可以将第一加密的生物特征模板周期性地分成多个部分，使得这些部分可以在不同的时间变化。在又一个实施方案中，凭证持有者应用程序可以生成加密的生物特征模板部件以存储在凭证持有者服务器上，并且将额外的信息(例如，种子)存储在移动设备上的cookie中。这样，商家应用程序/网页可以检索cookie并且将其与凭证持有者服务器一起使用以进行比较。

[0112] 在步骤507处，可以基于匹配结果来授权用户对资源的访问。例如，如果用户的第一生物特征模板和第二生物特征模板匹配，则商家应用程序可以处理由用户进行的购买。

[0113] 图6示出根据一个实施方案的用于安全地在线执行生物特征认证的方法600的流程图。在步骤601处，可以获得生物特征样本(例如，一个或多个图像、指纹扫描、手印扫描、音频语音记录、虹膜扫描、视网膜扫描，等等)。在一些实施方案中，生物特征样本可以由移动设备(例如，图4的移动设备302或402，或者用户设备诸如图1的用户设备102)利用设备的对应特征部(例如，相机、扫描仪等)或移动设备可访问的设备来捕获。

[0114] 在步骤602处，可以根据由移动设备获得的生物特征样本来生成生物特征认证模板。在一些实施方案中，可以如上文结合图3和图4所描述的那样，在确定用户已经注册认证程序之后，生成生物特征认证模板。在一些实施方案中，商家应用程序可以访问移动设备的相机功能，并且可以提示用户拍摄他或她脸部的照片。在拍摄照片之后，商家应用程序可以提取特征以生成生物特征模板。在一些实施方案中，商家应用程序可以加密和/或混淆生物特征认证模板，使得特征可以被保密。可以利用类似的过程使用其他捕获的生物特征数据(诸如，一个或多个虹膜扫描、视网膜扫描、音频语音记录、指纹扫描、手印扫描等)来生成加密的生物特征模板。

[0115] 在步骤603处，可以获得与生物特征认证模板相关的生物特征识别信息。生物特征匹配信息可以包括在注册过程期间生成的生物特征注册模板和/或被混淆的匹配电路，该被混淆的匹配电路被配置为提供输出，可以从该输出标识两个生物特征模板之间的匹配。例如，移动银行应用程序、数字钱包应用程序或其服务器可以将生物特征注册模板发送给在移动设备(例如，移动设备302或402)上运行的商家应用程序(例如，资源提供商应用程序
308或408)或商家网页。在一些实施方案中，生物特征注册模板可以先前已经被加密。在其他实施方案中，移动银行应用程序、数字钱包应用程序或其服务器可以发送被混淆的匹配电路，该被混淆的匹配电路可以被配置为当将生物特征认证模板作为输入提供给电路时生成认证结果。该认证结果可以用于标识生物特征认证模板是否与生物特征注册模板相匹配。

[0116] 在步骤604处，可以至少部分地基于生物特征认证模板、生物特征匹配信息和密码比较协议来认证用户。例如，为了执行同态加密过程，商家应用程序(例如，资源提供商应用程序308或408)可以在加密的域中执行比较，并且可以将加密的匹配结果发送回与用户的注册相关联的凭证持有者(例如，银行或数字钱包)应用程序(例如，凭证持有者应用程序304或404)或凭证持有者服务器(例如，凭证持有者服务器316或416)。凭证持有者应用程序和/或服务器然后可以解密匹配结果，并且可以将该结果以及证实凭证持有者如实进行解密的证明(例如，数字签名或其他证明机制)通知给商户应用程序。

[0117] 又如，为了利用SMPC对用户进行认证，商家应用程序(例如，资源提供商应用程序308或408)可以(例如，基于所接收的指示电路的门如何连接的信息)将生物特征认证模板输入到被混淆的电路中，以生成认证结果。认证结果可以被返回给凭证持有者应用程序(例如，凭证持有者应用程序304或416)。凭证持有者应用程序然后可以解释认证结果以确定生物特征认证模板是否与与用户相关联的生物特征注册模板相匹配。

[0118] 在一些实施方案中，凭证持有者应用程序或凭证持有者服务器可以包括多个一次性使用的加密的生物特征模板，所述多个一次性使用的加密的生物特征模板可以在特定的认证过程中用作第一加密的生物特征模板(例如，在注册过程期间生成的加密的生物特征模板)。在一个实施方案中，可以根据Shamir秘密共享方案，将第一加密的生物特征模板划分为在移动设备上的凭证持有者应用程序与凭证持有者服务器之间的多个部分，然后可以将这些部分重构以进行匹配。在一个实施方案中，可以将第一加密的生物特征模板周期性地分成多个部分，使得这些部分可以在不同的时间变化。在又一个实施方案中，凭证持有者应用程序可以生成加密的生物特征模板部件以存储在凭证持有者服务器上，并且将额外的信息(例如，种子)存储在移动设备上的cookie中。这样，商家应用程序/网页可以检索cookie并且将其与凭证持有者服务器一起使用以进行比较。

[0119] 在步骤605处，可以基于在604处对用户进行认证来执行一个或多个操作。作为非限制性示例，可以基于匹配结果来向用户提供对资源提供商的资源的访问。即，如果在认证过程期间捕获的生物特征认证模板与在注册过程期间捕获的生物特征注册模板匹配，则商家应用程序可以处理由用户进行的购买。

[0120] 本发明的实施方案具有许多技术优点。例如，与利用密码的常规认证系统不同，本文的系统和方法详述了可以利用生物特征识别数据进行认证的系统。然而，鉴于生物特征识别数据的敏感性质，用户无法更改此类数据以及在在线交易期间暴露此类敏感数据的风险，本文所述的实施方案提供了保护该敏感数据的改进。即，本发明的实施方案确保只有加密的生物特征识别数据在设备之间传递，并且比较两个模板以确定匹配是利用加密的和/或被混淆的生物特征模板而不是未加密的数据。因此，本文的认证系统、设备和方法利用本来就更安全的生物特征识别数据，但是以与传统认证系统相比提供改进的数据安全性的方式来进行。

[0121] 本文所述的任何计算设备可以是计算机系统的示例，该计算机系统可以用于实现上述任何实体或部件。此类计算机系统的子系统可以经由系统总线互连。附加子系统包括打印机、键盘、存储装置和监视器，该监视器联接到显示器适配器。外围设备和输入/输出(I/O)装置耦连至I/O控制器，并且可以通过本领域已知的许多手段中的任何一种(诸如串行端口)连接到计算机系统。例如，I/O端口或外部接口可以用于将计算机装置连接到广域网(诸如，互联网)、鼠标输入设备或扫描器。经由系统总线的互连可以允许中央处理器与每个子系统通信，并且控制来自系统存储器或存储设备的指令的执行，以及在子系统之间的信息交换。系统存储器和/或存储装置可以体现计算机可读介质。

[0122] 如上所述，本发明的服务可以涉及实现一个或多个功能、过程、操作或方法步骤。在一些实施方案中，由于通过适当编程的计算设备、微处理器、数据处理器等执行指令集或软件代码，可以实现功能、过程、操作或方法步骤。指令集或软件代码可以存储在由计算装置、微处理器等访问的存储器或其他形式的数据存储元件中。在其他实施方案中，功能、过程、操作或方法步骤可以由固件或专用处理器、集成电路等实现。

[0123] 本申请中描述的任何软件部件或功能可以使用例如常规的或面向对象的技术并且使用任何合适的计算机语言(例如，Java、C++或Perl)实现为由处理器执行的软件代码。软件代码可以存储为例如随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘的磁性介质或例如CD-ROM的光学介质的计算机可读介质上的一系列指令或命令。任何此类计算机可读介质可驻存在单个计算装置上或单个计算装置内，并且可以存在于系统或网络内的不同计算装置上或不同计算装置内。

[0124] 以上描述是说明性的而不是限制性的。在所属领域的技术人员阅读了本公开后，本发明的许多变化将变得显而易见。因此，本发明的范围不应参考以上描述来确定，而是应参考待决的权利要求以及其完整范围或等效物来确定。

[0125] 在不偏离本发明的范围的情况下，任何实施方案的一个或多个特征可以与任何其他实施方案的一个或多个特征组合。

[0126] 除非明确指示有相反的意思，否则“一个/种”或“该/所述”的叙述旨在表示“一个/种或多个/种”。

[0127] 上文所提及的所有专利、专利申请、公开和描述都出于所有目的以其全文引用的方式并入本文中。不承认它们是现有技术。

标题	发布/更新时间	阅读量
信息处理方法、装置、系统以及处理设备	2020-05-12	108
认证方法、认证终端以及系统	2020-05-11	991
用于生物特征认证的方法、系统和计算机可读介质	2020-05-11	696
智能家居的控制方法、系统、终端、FIDO服务器及安全设备	2020-05-11	187
多服务器环境下基于智能卡的认证方法	2020-05-11	296
一种跨平台人工智能助理系统应用方案	2020-05-11	433
一种基于生物识别的多用户智能控制台系统和控制方法	2020-05-12	762
一种用于商品防盗的安全系统、安全设备和控制装置	2020-05-08	821
一种基于红外识别的鉴权方法及系统	2020-05-12	403
一种具有AI技术的智能锁控装置	2020-05-12	248

使用生物特征识别和隐私保护方法在线认证账户持有者

使用生物特征识别和隐私保护方法在线认证账户持有者

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：