專利名稱:生物統(tǒng)計(jì)的加密密鑰生成器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信系統(tǒng),更具體而言,涉及一種采用通信數(shù)據(jù)加密 的通信系統(tǒng)。
背景技術(shù):
許多類型的通信是易受竊聽攻擊的。例如,僅通過使用某種無線 電掃描器, 一些移動電話通信便可被竊聽。近來,這對公眾人物造成 了相當(dāng)大的尷尬,這些公眾人物忙著他們認(rèn)為私密的通信,,結(jié)果卻 發(fā)現(xiàn)那些通信記錄(transcript)在超級市場小報(bào)中發(fā)表了。這種竊聽也 會危害商業(yè),因?yàn)樯虅?wù)人士通過他們的移動裝置交流機(jī)密信息。
為了防止這樣的竊聽,許多的移動裝置可以以許多方式利用安全 網(wǎng)關(guān)(SGW)來建立安全隧道,例如虛擬個(gè)人網(wǎng)絡(luò)(VPN)隧道,這些方式 包括在對稱密鑰技術(shù)中使用公共密鑰基礎(chǔ)結(jié)構(gòu)以及使用預(yù)共享密鑰, 所述對稱密鑰技術(shù)需要該移動裝置和該網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)(通常為SGW)知 道用于認(rèn)證和授權(quán)的密鑰。在移動裝置中,預(yù)共享密鑰通常被包括在 由服務(wù)提供商提供的用戶識別模塊(SIM)卡中,或者從該SIM卡中的信
息和存儲在移動手持通話器中的信息組合產(chǎn)生。
這樣的技術(shù)可能不是足夠地安全。而且,這個(gè)技術(shù)不是可擴(kuò)展的, 并且該密鑰可能被盜用,從而使得該隧道和網(wǎng)絡(luò)對黑客開放。此外, 如果密鑰丟失,那么該用戶就不能建立通信,或者該通信將不安全。
一些類型的基于計(jì)算機(jī)的系統(tǒng)使用生物統(tǒng)計(jì)輸入(例如,從指紋掃 描器或視網(wǎng)膜掃描儀輸入)來啟動該系統(tǒng)的使用。通常,該類型的系統(tǒng) 要求用戶(例如,通過使手指經(jīng)過指紋掃描器)輸入生物統(tǒng)計(jì)的信息作為使用該系統(tǒng)的條件。該生物統(tǒng)計(jì)數(shù)據(jù)與用戶的已知生物統(tǒng)計(jì)的數(shù)據(jù)相 比較,并且它實(shí)質(zhì)上取代了密碼的使用。然而,這樣的生物統(tǒng)計(jì)的數(shù) 據(jù)沒有被用于加密正在通信的數(shù)據(jù)。
因此,需要一種可擴(kuò)展并安全的自動化預(yù)共享密鑰的技術(shù)。
還需要一種產(chǎn)生用戶特有的加密密鑰的系統(tǒng)。
發(fā)明內(nèi)容
現(xiàn)有技術(shù)的缺點(diǎn)通過本發(fā)明被克服, 一方面,本發(fā)明是一種使加 密通信便于應(yīng)用在由用戶操作的本地裝置和遠(yuǎn)程裝置之間通信中的方 法。從生物統(tǒng)計(jì)輸入接口接收該用戶的生物統(tǒng)計(jì)特征的數(shù)據(jù)表示。使 用預(yù)定的一套規(guī)則,將該數(shù)據(jù)表示轉(zhuǎn)換成生物統(tǒng)計(jì)加密密鑰。
另一方面,本發(fā)明是一種提供便于本地裝置和通信服務(wù)器之間通 信的加密通信帳戶的方法,其中在通信服務(wù)器從本地裝置接收僅單次 使用的密鑰。采用單次使用的密鑰在通信服務(wù)器和本地裝置之間建立 加密通信隧道。通過該加密的通信隧道從該本地裝置接收生物統(tǒng)計(jì)密 鑰。在通信服務(wù)器該生物統(tǒng)計(jì)的密鑰被存儲在與該本地裝置相關(guān)聯(lián)的 存儲器中。
又一個(gè)方面,本發(fā)明是一種用于在包括生物統(tǒng)計(jì)的輸入接口、處 理器和收發(fā)器的網(wǎng)絡(luò)上通信的裝置。該處理器被配置用于將從生物統(tǒng) 計(jì)輸入接口輸入的生物統(tǒng)計(jì)數(shù)據(jù)轉(zhuǎn)換為加密密鑰,并且用于使用加密
密鑰加密在該網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù),從而生成加密的數(shù)據(jù)。該收發(fā)器被 配置用于將該加密數(shù)據(jù)發(fā)送給該網(wǎng)絡(luò)。
由結(jié)合附圖對優(yōu)選實(shí)施例的下列描述,本發(fā)明的這些和其他方面 將變得顯而易見。如對本領(lǐng)域技術(shù)人員來說顯而易見的,在不偏離本 公開的新穎概念的精神和范圍的情況下,可以對本發(fā)明實(shí)行許多變化和修改。
圖1是使用本發(fā)明一個(gè)示例實(shí)施例的無線通信裝置的俯視圖。圖2是圖1所示實(shí)施例的立視圖。圖3是本發(fā)明一個(gè)實(shí)施例的示意圖。
圖4是表示本發(fā)明的一個(gè)實(shí)施例使用的方法的流程圖。
圖5是表示提供帳戶中所使用的方法的流程圖。
具體實(shí)施例方式
現(xiàn)在詳細(xì)說明本發(fā)明的優(yōu)選實(shí)施例。參照附圖,其中全部附圖中相同的數(shù)字表示相同的部分。如此處以及貫穿權(quán)利要求的描述中所使用的,除非上下文明確地指示另外的含義,以下術(shù)語采用這里顯然相
關(guān)聯(lián)的含義"一"(a、 an)和"該"(所述)(the)的含義包括復(fù)數(shù)參考,"在......中(in)"的含義包括"在......中"和"在......上"。
如圖l所示,本發(fā)明的一個(gè)說明性實(shí)施例使用一種無線通信裝置,例如蜂窩電話100,其包括用戶輸入端112,數(shù)據(jù)輸出屏幕114,聽筒116,麥克風(fēng)118和生物統(tǒng)計(jì)輸入裝置,例如指紋掃描儀120。如圖2所示,當(dāng)在數(shù)據(jù)輸出屏幕114上要求這么做時(shí),該用戶可通過(例如在方向A上)將手指IO滑過指紋掃描器120來使用指紋掃描儀120。盡管圖1和圖2中示出了一種無線裝置,但是應(yīng)當(dāng)注意到,可以利用采用加密密鑰的任何通信類型使用本發(fā)明,并且希望下述權(quán)利要求的范圍將適用于所有這樣的裝置。
如圖3所示,無線通信裝置包括與數(shù)字存儲器312數(shù)據(jù)通信的處理器310。存儲器312可以被用于存儲加密密鑰以及用于控制處理器310的程序。該處理器從生物統(tǒng)計(jì)傳感器320接收輸入并且與用戶界面330進(jìn)行通信。(例如,如圖1和圖2所示,用戶界面可包括鍵盤112,顯示器114,麥克風(fēng)118和聽筒116b。)處理器310還與包括無線芯片組340的無線收發(fā)器通信,其通過天線342發(fā)射并且接收通信。
如圖4所顯示,當(dāng)用戶啟動本地裝置和遠(yuǎn)程裝置(例如通信服務(wù)器)之間的通信410時(shí),例如所公開的這些裝置,該裝置將首先使用生成生物統(tǒng)計(jì)輸入的數(shù)據(jù)表示的該生物統(tǒng)計(jì)輸入接口從該用戶讀取該生物統(tǒng)計(jì)輸入412。接著該裝置將通過使用一套規(guī)則(例如已知的加密密鑰生成算法)轉(zhuǎn)換該生物統(tǒng)計(jì)輸入的數(shù)據(jù)表示來生成生物統(tǒng)計(jì)加密密鑰414。該系統(tǒng)也可以結(jié)合該生物統(tǒng)計(jì)的輸入數(shù)據(jù)使用其他類型數(shù)據(jù)(例如,該裝置的序列號等等)以生成生物統(tǒng)計(jì)密鑰,從而生成用戶特有和裝置特有的生物統(tǒng)計(jì)的加密密鑰。
系統(tǒng)判定是否是第一次使用加密416。如果是,那么系統(tǒng)將利用單次使用密鑰418(通常存儲在系統(tǒng)中或以其他方式提供給用戶)建立安全隧道。接著該系統(tǒng)將通過該安全隧道420發(fā)送該生物統(tǒng)計(jì)密鑰。然后,該遠(yuǎn)程裝置將為該本地裝置提供帳號,其中要求該本地裝置和該遠(yuǎn)程裝置之間的所有后續(xù)加密的通信都使用該生物統(tǒng)計(jì)加密密鑰。
該系統(tǒng)也可以將該生物統(tǒng)計(jì)密鑰存儲在內(nèi)部數(shù)字存儲器中,并且對所有后續(xù)通信都使用所存儲的密鑰。在此實(shí)施例中,并不要求該系統(tǒng)在每當(dāng)建立新的通信時(shí)就產(chǎn)生加密密鑰,從而減少了該系統(tǒng)的呼叫啟動的開銷。
由于安全原因,不存儲該生物統(tǒng)計(jì)密鑰也許是理想的。在這種情況下,每當(dāng)參與新的通信時(shí),該裝置將重新生成生物統(tǒng)計(jì)密鑰。
在步驟416,如果該系統(tǒng)判定當(dāng)前通信不是第一次使用,則該系統(tǒng)將判定它當(dāng)前是否正在發(fā)送數(shù)據(jù)422,并且如果是,則系統(tǒng)就使用生物統(tǒng)計(jì)密鑰加密傳輸424 (通常以多個(gè)數(shù)據(jù)包的形式)并且將被加密的數(shù)據(jù)包發(fā)送給該遠(yuǎn)程裝置。否則,該系統(tǒng)將判定它是否正在接收數(shù)據(jù)426,并且如果是,它就使用該生物統(tǒng)計(jì)密鑰解密該傳輸428。否則,然后該系統(tǒng)就判定該通信是否已經(jīng)結(jié)束430,并且如果是,該系統(tǒng)就返回步驟
410,否則它就返回步驟422。
圖5示出了通信服務(wù)器可以與本地裝置互動的一種方式。當(dāng)該本地裝置啟動呼叫時(shí),該服務(wù)器判定該呼叫是否是與本地裝置的第一次通信,并且如果是,則從該本地裝置接收僅單次使用的密鑰510。該本地裝置和該服務(wù)器使用該單次使用的密鑰建立加密的通信隧道512。然后該服務(wù)器從該本地裝置接收生物統(tǒng)計(jì)密鑰514并且將其存儲在與該本地裝置相關(guān)聯(lián)的存儲器位置516。如果測試的結(jié)果表明該呼叫不是第一次通信502,則該服務(wù)器就檢索所存儲的生物統(tǒng)計(jì)密鑰518并且使用該生物統(tǒng)計(jì)密鑰加密和解密在通信中后續(xù)交流的數(shù)據(jù)520。
在使用指紋掃描技術(shù)的實(shí)施例的一個(gè)例子中,對初次使用移動裝置的用戶來說,將使用現(xiàn)有的因特網(wǎng)密鑰交換(IKE)技術(shù)建立VPN隧道。當(dāng)該隧道安全地被建立時(shí),下一個(gè)步驟是在SGW和移動裝置之間發(fā)送三條消息的序列,交換在第一次使用期間僅使用預(yù)共享、單次使用的密鑰加密的移動用戶的指紋(或其他生物統(tǒng)計(jì))數(shù)據(jù)。該移動裝置將請求用戶在裝置上進(jìn)行指紋掃瞄。然后,該移動裝置將分析此指紋掃瞄并且基于該掃瞄生成唯一信息。該移動裝置可以請求三次或者更多次掃瞄以確保正確的分析。 一旦完成該分析,該信息就通過隧道被傳送到安全網(wǎng)關(guān)。該安全網(wǎng)關(guān)將利用此信息動態(tài)地更新該移動用戶的紀(jì)錄。該移動裝置軟件具有安全地存儲指紋分析或者在該隧道被拆除之后放棄它的選項(xiàng)。
盡管上述實(shí)施例包括提交時(shí)發(fā)明人已知的本發(fā)明的優(yōu)選實(shí)施例和最佳方式,但是上述的實(shí)施例僅作為說明性例子給出。在不偏離本發(fā)明的精神和范圍的情況下,很容易理解,對在本說明書中公開的具體實(shí)施例可以進(jìn)行許多改變。因此,本發(fā)明的范圍將通過權(quán)利要求來確定,而不限于上面具體描述的實(shí)施例。
8
權(quán)利要求
1. 一種使加密通信便于應(yīng)用在由用戶操作的本地裝置與遠(yuǎn)程裝置之間的通信中的方法,該方法包括如下步驟從生物統(tǒng)計(jì)的輸入接口接收所述用戶的生物統(tǒng)計(jì)特征的數(shù)據(jù)表示(412);以及使用預(yù)定的一套規(guī)則將所述數(shù)據(jù)表示轉(zhuǎn)換成生物統(tǒng)計(jì)加密密鑰(414)。
2.根據(jù)權(quán)利要求0所述的方法,其進(jìn)一步包括如下步驟將單次使用密鑰發(fā)送給所述遠(yuǎn)程裝置(418),從而建立加密通信隧道;以及通過所述加密通信隧道將所述生物統(tǒng)計(jì)加密密鑰發(fā)送給所述遠(yuǎn)程裝置(420),從而使所述遠(yuǎn)程裝置能夠給本地裝置提供帳戶,以便要求所述本地裝置和遠(yuǎn)程裝置之間的所有后續(xù)加密通信都使用所述生物統(tǒng)計(jì)加密密鑰。
3.根據(jù)權(quán)利要求0所述的方法,其進(jìn)一步包括如下步驟使用所述生物統(tǒng)計(jì)加密密鑰加密至少一個(gè)數(shù)據(jù)包(424),從而創(chuàng)建加密的數(shù)據(jù)包;以及將所述加密的數(shù)據(jù)包發(fā)送給所述遠(yuǎn)程裝置。
4.根據(jù)權(quán)利要求0所述的方法,其進(jìn)一步包括如下步驟從所述遠(yuǎn)程裝置接收至少一個(gè)數(shù)據(jù)包;以及使用所述生物統(tǒng)計(jì)加密密鑰解密所述數(shù)據(jù)包(428),從而創(chuàng)建解密的數(shù)據(jù)包。
5.根據(jù)權(quán)利要求0所述的方法,其進(jìn)一步包括如下步驟每當(dāng)啟動新的加密通信時(shí),就從所述生物統(tǒng)計(jì)輸入接口接收所述用戶的生物統(tǒng)計(jì)特征的數(shù)據(jù)表示(412)。
6. 根據(jù)權(quán)利要求0所述的方法,其進(jìn)一步包括如下步驟在數(shù)字 存儲器中存儲所述加密密鑰。
7. —種提供便于本地裝置和通信服務(wù)器之間通信的加密通信帳戶 的方法,其包括如下步驟在通信服務(wù)器,從所述本地裝置接收僅單次使用的密鑰(510); 使用所述單次使用的密鑰,在所述通信服務(wù)器和所述本地裝置之 間建立加密的通信隧道(512);通過所述加密的通信隧道從所述本地裝置接收生物統(tǒng)計(jì)密鑰(514;i;以及在所述通信服務(wù)器,將所述生物統(tǒng)計(jì)密鑰存儲與所述本地裝置相關(guān)聯(lián)的存儲器中(516)。
8. 根據(jù)權(quán)利要求7所述的方法,其進(jìn)一步包括如下步驟使用所述生物統(tǒng)計(jì)密鑰來解密從所述本地裝置到所述通信服務(wù)器的所有后續(xù)加密的通信(520)。
9. 一種用于在網(wǎng)絡(luò)上通信的裝置,其包括 生物統(tǒng)計(jì)輸入接口(320);處理器(310),其被配置用于將從所述生物統(tǒng)計(jì)輸入接口輸入的生 物統(tǒng)計(jì)數(shù)據(jù)轉(zhuǎn)換成加密密鑰,并且用于使用所述加密密鑰來加密在所 述網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù),從而生成加密數(shù)據(jù);以及收發(fā)器(340),其被配置用于向所述網(wǎng)絡(luò)發(fā)送所述加密數(shù)據(jù)。
10. 根據(jù)權(quán)利要求9所述的裝置,其中所述處理器(310)進(jìn)一步被 編程以使用所述加密密鑰來解密從所述網(wǎng)絡(luò)接收的數(shù)據(jù)。
全文摘要
在一種使加密通信便于應(yīng)用在由用戶操作的本地裝置與遠(yuǎn)程裝置之間的通信中的方法中,從生物統(tǒng)計(jì)的輸入接口(120)接收該用戶的生物統(tǒng)計(jì)特征的數(shù)據(jù)表示(412)。使用預(yù)定的一套規(guī)則將所述數(shù)據(jù)表示轉(zhuǎn)換成生物統(tǒng)計(jì)的加密密鑰(414)。一種用于在網(wǎng)絡(luò)上通信的裝置包括生物統(tǒng)計(jì)輸入接口(320)、處理器(310)以及收發(fā)器(340)。該處理器(310)將從該生物統(tǒng)計(jì)輸入接口(320)輸入的生物統(tǒng)計(jì)數(shù)據(jù)轉(zhuǎn)換成加密密鑰,并且使用加密密鑰加密網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù),從而生成加密數(shù)據(jù)。該收發(fā)器(340)將該加密數(shù)據(jù)發(fā)送到該網(wǎng)絡(luò)。
文檔編號H04L9/00GK101461171SQ200780011756
公開日2009年6月17日 申請日期2007年3月21日 優(yōu)先權(quán)日2006年4月5日
發(fā)明者維諾德·K·庫爾卡尼 申請人:摩托羅拉公司