认证装置和用户的制作方法
专利名称:认证装置和用户的制作方法
技术领域:
本发明涉及一种用于认证装置和用户的方法和系统。在一个实施例中,本发明提供了一种用于健康服务的组合式装置和患者认证系统,尤其是作为患者和保健提供商彼此远离且由电子系统连接的系统的一部分提供的系统。
背景技术:
保健领域中越来越重要的趋势是所有水平的保健都涉及消费者/患者之一。人们正在其自身的健康管理中扮演着更为主动的角色。这种患者授权的趋势已经得到广泛支持。很多方案(例如,Capmed,http //www. phrforme. com/index, asp,Medkey,http //www. medkey. com/和ffebmd, http//www. webmd. com)已经被引入市场中,其允许患者收集他们自己健康相关信息并将这些信息存储在便携式装置、计算机上和在线服务中。常常把这些方案称为个人健康记录(PHR)服务。市场上已经有很多产品允许患者自动向他们的PHR 中输入测量结果禾口其他医疗数据,例如Lifesensor,https://www. lifesensor. com/en/us 和healthvault,http://search, healthvault. coiV。例如,体重计经由蓝牙向计算机发送其信息,从计算机将数据上载到PHR。这允许患者收集和管理他们的健康数据,但更重要的是与其治疗涉及的众多保健专业人员共享数据。保健领域中的另一个重要趋势是保健的提供逐渐从急救机构护理扩展到门诊护理和家庭护理。信息和通信技术上的进步已经实现了远程保健服务(远程保健),包括电视医疗和远程患者监护。市场中有许多服务已经部署了远程保健基本设施,其中经由家庭集线器将测量装置连接到远程后端服务器。保健提供商使用这种架构从远程访问测量数据并辅助患者。范例是疾病管理服务(例如Wiilips Motiva和PTS)或紧急响应服务(Philips Lifeline)。测量装置、家庭集线器和后端服务的互操作性对于这种市场的实现和进一步发展变得非常重要。这种需求被Contimm健康联盟认识到,例如参见http://WWW. contirumaliance.org。如图1所示,这种初步行动旨在使测量装置、家庭集线器(应用托管)装置、在线保健/健康服务(WAN)和健康记录装置(PHR/EHR)之间的协议标准化。除了数据格式和交换问题之外,Continua联盟还解决安全和保障问题。远程保健领域中的基本安全和保障问题之一是用户和装置的认证/识别问题。亦即,当患者远程测量的数据被远程保健服务使用或在医疗专业界内被使用时,保健提供商需要对患者报告的信息给予更大信任。具体而言,必须要向他们保证测量结果来自正确的患者且使用适当的装置来进行测量。考虑血压测量;关键是知道测量的是注册用户(不是他的朋友/子女)的血压,且测量是用经证实的装置而不是廉价伪造装置进行的。这是非常重要的,因为否则的话,可能会导致关键性保健决定是基于错误数据做出的。在当前实践中,装置标识符(装置ID)或者被用作用户标识符(用户ID),或者被用作获得用户ID的手段(如果多个用户在使用同一装置的话)。例如,在Contirum系统中,如在 2007 年 12 月的"Continua Health Alliance, Recommendations for Proper UserIdentification in Continua Version I-PANand xHR interfaces (Draft v. 01),,中所述, 在PAN接口处,如图1所示,要求每个Contirum装置发送其自己唯一的装置ID。用户ID是可选的(可以仅仅简单地为1、2、A、B)。在集线器装置(应用托管装置)处获得有效的用户ID,该装置能够提供与装置ID相关联的简单用户ID与有效用户ID之间的映射。还可能有测量装置能够接着装置ID发送有效用户ID。那么就不需要映射。当前的方式有若干问题。例如,当前的方式不支持用户/装置的认证,其仅仅将用户ID附加到测量结果上。不能确定数据的出处,因为稍后在过程中保健提供商不能可靠地找到使用哪个装置生成的测量结果。其次,当前的映射方法不会迅速将用户和装置ID锁定一起,而是引入了弄错的可能。用户犯了无意的错误(如果需要手工映射,用户必须要在应用托管装置或测量装置处针对每个测量结果选择其ID (1或A)),或者系统可能会混淆用户(应用的设计者应当特别小心地提供数据管理,以减小将测量结果关联到错误用户的可能)。在这种布置中,恶意用户可能通过假扮实际用户来引入错误的测量结果。类似地,装置ID能够被拷贝到可能容易地被引入eco系统中的伪造装置。然后,用户能够使用这些装置产生看起来可靠但实际上不可靠的数据。因此,本发明的目的是对已知技术进行改进。根据本发明的第一方面,提供了一种认证装置和用户的方法,包括接收用户输入, 从用户输入产生第一密钥,执行装置的物理测量,获得对于装置的辅助数据,从物理测量和辅助数据计算第二密钥,以及使用第一和第二密钥执行操作。根据本发明的第二方面,提供了一种用于认证装置和用户的系统,包括布置成接收用户输入的用户接口,布置成执行所述装置的物理测量的问询部件,以及连接到所述用户接口和所述问询部件的处理部件,该处理部件布置成从所述用户输入产生第一密钥,获得对于所述装置的辅助数据,从所述物理测量和所述辅助数据计算第二密钥,并使用所述第一密钥和所述第二密钥执行操作。根据本发明的第三方面,提供了一种注册装置和用户的方法,包括接收用户输入, 从用户输入产生第一密钥,执行装置的物理测量,从物理测量产生对于所述装置的第二密钥和辅助数据,使用第一密钥和第二密钥执行操作,以及向远程数据存储发送所述操作的输出。根据本发明的第四方面,提供了一种用于注册装置和用户的系统,包括布置成接收用户输入的用户接口,布置成执行所述装置的物理测量的问询部件,以及处理部件,其布置成从所述用户输入产生第一密钥、从所述物理测量产生对于装置的第二密钥和辅助数据、使用所述第一和第二密钥执行操作、并向远程数据存储发送所述操作的输出。归功于本发明,才可能绑定用户和装置的身份,以便证实源于装置的数据是来自特定装置和特定用户。这支持个人保健应用中的数据质量保证和可靠性。在这种系统中, 提供了一种尽快绑定用户身份和装置标识符的方法,以便证实源于装置的数据来自特定装置和特定用户。为了确保合适的装置和用户认证/识别,可以结合用户输入使用物理不可克隆函数(PUF,下文详述)。结果,通过分别提供以下内容解决了现有技术的三个问题紧密耦合用户ID和用于进行测量的装置标识(立即探测未注册装置/用户的使用)、强的用户认证和防伪装,以及强装置认证。这有以下益处,患者安全(诊断和健康决定基于可靠数据),降低成本(在
5消费者健康和专业保健领域中重复使用患者提供的数据),以及对于患者便利(他们能够在家进行保健测量)。在优选实施例中,接收用户输入的步骤包括执行用户的生物特征测量(biometric measurement),从所述用户输入产生第一密钥的步骤包括获得对于所述用户的辅助数据并从所述生物特征测量和所述用户辅助数据计算所述第一密钥。用户的生物特征测量(例如指纹)提高了系统的安全性,并确保在由远程健康系统分析数据时,从经认证个体获取的任何数据都来自该特定个体。有利地,该方法包括对第一密钥和第二密钥执行定义的函数以获得第三密钥。如果在向远程位置进行任何发送之前将两个密钥(一个来自装置,一个来自用户)组合在一起以生成第三密钥,可以提高系统的安全性。能够根据两种输入的函数进行组合。这样的函数例如可以是(i)两个串(string)的级联、两个串的M)R、两个串的级联以及接下来对所得串的散列化、两个串的XOR然后对所得串散列化、根据加密算法(例如高级加密标准) 对一个串加密,进而使用串中的一个作为密钥且第二串作为明文,等等。在另一实施例中,接收用户输入的步骤包括接收口令,而从所述用户输入产生第一密钥的步骤包括从所述口令计算所述第一密钥。不使用生物特征数据,而是能够使用简单的口令来认证用户。尽管这没有与使用生物特征数据相关联的最高水平的安全性,但这仍然提供了相对于当前已知系统而言改进的系统。理想地,获得对于所述装置的辅助数据的步骤包括从所述第一密钥和存储的部分计算辅助数据。从对装置和辅助数据执行的物理测量生成对于装置的密钥(第二密钥)。 如果辅助数据是从第一密钥(来自用户)和一些存储的部分重建的,那么就增强了认证装置和用户的系统的安全性,因为辅助数据永远不会以明文存储。有利地,该方法还包括获得用户份额(share),获得装置份额,并对所述用户份额、 装置份额、第一和第二密钥执行定义的函数以获得第三密钥。使用用户份额和装置份额允许将超过一个装置认证到特定用户,这提高了注册和认证系统的效率。
现在将参考附图仅以举例的方式描述本发明的实施例,在附图中图1是保健系统的示意图;图2是保健系统的另一示意图;图3是装置和用户认证系统的示意图;图4是注册流程的流程图;图5是认证流程的流程图;图6a是认证系统的优选实施例的示意图;以及图6b是认证系统的优选实施例的另一示意图;以及图7是系统的另一实施例的示意图。
具体实施例方式图1中示出了保健系统的范例。示出了各种PAN (个人区域网)装置10,例如手表和血压测量装置,其直接测量用户的生理参数。此外还提供了 LAN(局域网)装置12,例如还能够用于收集用户的保健信息的踏车。PAN装置10和LAN装置12经由适当接口(有线的和/或无线的)连接到适当的应用托管装置14,例如计算机或移动电话,它们将位于PAN 和LAN装置10和12的本地。这一托管装置14将运行适当的应用,该应用能够从各种PAN 装置10和LAN装置12收集并整理输出。应用托管装置14连接到诸如服务器的WAN(广域网)装置16。WAN连接可以经由诸如因特网的网络。服务器16也经由适当接口连接到健康记录装置18,健康记录装置为系统的用户维持健康记录。如上所述,极为重要的是,首先向正确的用户分配装置18存储的由个体健康记录所记录的数据,此外,以绝对的确定性知道对数据进行记录的装置。同样可取的是还对相关PAN装置10或LAN装置12进行核准,以用于系统中。图2示出了图1的系统,其中示出了利用PAN装置10进行测量的用户20。通过家庭集线器14,能够将数据发送到维持患者记录22的远程记录装置18。远程记录装置18 还直接与GP记录M通信。在本范例中,用户20向装置10错误标识了他们自己,并且也使用了不正确的装置10进行他们试图进行的测量。在常规系统中,这将导致在他们的记录22 中做出不正确的输入,并可能导致对患者状况发出不正确的提示。为了避免图2所示那种错误,在图3中概括了根据本发明的系统。本图示出了与远程保健装置18通信的装置10和用户20。根本原理是,从用户20导出一密钥并且从装置10导出一密钥,在一个实施例中,将这些密钥组合到一起并作为第三密钥发送到远程服务器18。用户20可以提供口令,或在优选实施例中,对用户20进行生物特征测量(例如指纹),并且从这一生物特征测量产生用户密钥。来自装置10的密钥是从装置的物理测量结果导出的。实现这一目的的一种方法是使用如下所述的称为PUF的函数。图3中用于认证装置10和用户20的系统包括布置成接收用户输入的用户接口、 布置成对装置执行物理测量的问询部件以及连接到用户接口和问询部件的处理部件,该处理部件布置成从用户输入产生第一密钥,获得对于装置的辅助数据,从物理测量结果和辅助数据计算第二密钥,并使用第一和第二密钥执行操作。用户接口、问询部件和处理部件这三个部件都可以包含于装置10之内,或可以分布在不同装置上。实际上可以在包含于不同装置中的不同处理器之间划分处理部件的功能。物理不可克隆函数(PUF)是由物理系统实现的函数,该函数容易评价,但物理系统难以表征并难以克隆,例如参见R. Pappu的“ Wiysical One-Way Functions”,博士论文, MIT,2001。由于不能对PUF进行拷贝或建模,所以装备了 PUF的装置变得不可克隆。由非受控生产过程(即,包含一些随机性)生产的物理系统是PUF的良好候选。设计PUF的物理系统,使其以复杂方式与刺激(质询(challenge))交互作用并产生唯一但不可预知的响应。PUF质询和对应的响应一起被称为质询响应对。PUF可能有单一质询,或有限(小)数量的质询(例如,少于32个),或大数量的质询(2"个质询,11>5)。PUF的一个范例是所谓的SRAM PUF。就当前试验所表明的情况而言,这些PUF存在于具有板上SRAM的任何装置上。这基于如下现象在启动SRAM单元时,它是以随机状态启动的。不过,在多次这样做时,在大多数时候SRAM在相同状态下启动,因此能够用作一种类型的PUF。在ID685102中更详细地描述了 S-RAM PUF。其他PUF包括以上参考文献中公开的光学PUF和延迟PUF (参见Gassend等人,Su等人,-IC PUF (延迟PUF) CCS 2002,ACSAC 2002)。
如前所述,PUF响应有噪声且不是完全随机的。于是,需要模糊提取器或辅助数据算法(参见,J.-P.M. G. Linnartz 禾口 P. Tuyls 的"New Shielding Functions to Enhance Privacy and Prevent Misuse of Biometric Templates,,,Audio-and Video-Based Biometrie Person Authentication—AVBPA 2003, ser. LNCS, J. Kittler 禾口 M.S.Nixon, Eds.,vol. 2688. Springer, 2003 年 6 月 9-11,393-402 页,以及 Y. Dodis, Μ. Reyzin 和 A.Smith 的"Fuzzy extractors :How to generate strong keys from biometrics and other noisy Data,,,Advances in Crypto 1 οgy—EUR0CRYPT 2004,ser. LNCS,C. Cachin 禾口 J. Camenisch,Eds. ,vol. 3027Springer_Verlag,2004,523-540 页)来从 PUF 响应中提取一个(或多个)安全密钥。在下文中,提供了算法背后的直观认识。模糊提取器需要两个基本初衷,首先是信息一致性或错误校正,第二是私密性放大或随机提取,这确保了输出非常接近于成为均勻分布的随机变量。为了实现这两个初衷,在登记或注册阶段产生辅助数据W。之后,在密钥重建或认证阶段期间,基于有噪声的测量结果Ri和辅助数据W重建密钥。在(在信任环境中执行的)登记阶段期间,运行称为Gen的或然过程。这个过程以PUF响应R作为其输入, 并产生密钥K和辅助数据W作为输出(K,W) —Gen(R)。为了产生辅助数据W,选择纠错码 C,使得至少能够校正t误差。要校正的误差数目取决于具体应用和PUF属性。一旦选择了适当的代码,就通过首先从C选择随机码字Cs并计算Wl =C:S R来产生辅助数据W。此外,从集合H随机选择通用散列函数(参见L. Carter和M. N. Wegman 的"Universal Classes of Hash Functions,,,J. Comput. Syst. Sci. , vol. 18, no. 2, PP. 143-154,1979) h"并将密钥K定义为K^hi (R)。然后将辅助数据定义为W = (Wl,i)。在密钥重建阶段期间,运行被称为Rep的流程。它以有噪声响应R'和辅助数据W作为输入,并重建密钥K(如果R'与R来自相同的源),即,K —R印(R',W)。通过计算Cs'= Wl R’、 经由C的解码算法将Cs'解码成Cs、恢复R = Cs Wl、并最后计算K = h (R)来实现密钥重建。本方法对于其他类型的辅助数据也将有效。例如,除了 M)R,也可能执行置换。应当指出,使用符号Θ表示XOR操作。逻辑操作互斥析取(exclusive disjunction),也称为异或O(OR),是两个操作数的一种逻辑析取,当且仅当操作数之一恰好具有“真”值时得到“真” 值。还能够使用模糊提取器构造从生物特征测定数据产生唯一的标识符或密钥。除了具有PUF响应之外,还使用人的生物特征测定数据。这可以通过计算K(其中K = h (R), 且R为生物特征测量结果)的散列数据(即SHA-幻来进一步增强。参见T.Kevenaar, G.J. Schrijen, A. Akkermans, Μ. Damstra, P.Tuyls, Μ. van der Veen, Robust and Secure Biometrics :Some Application Examples, ISSE 2006,其中描述了这种构造不同应用的概述;参见 Kevenaar, Τ. A. M,Schrijen, G. J.,van der Veen, Μ.,Akkermans, Α. H. Μ.禾口 Zuo, F. :Face Recognition with Renewable and Privacy Preserving Templates,Proc. 4th IEEE Workshop on Automatic Identification Advanced Technologies (AutoID 2005), 2005年10月17-18,21- 页,其中描述了应用于基于面部识别的生物特征测定的范例。如前所述,本发明的系统设计用于将测量结果链接到装置ID和特定用户两者。可以从PUF响应和关联的辅助数据导出稳定的装置ID。可以从纠错码的码字随机选择辅助数据。在优选实施例中,从纠错码以及从根据用户生物特征测量结果导出的串两者导出辅助数据。通过构造这样的辅助数据,能够立刻认证装置和用户两者。在优选实施例中,假设正使用的装置上以下条件是成立的PUF使得在利用Ci质询时产生响应Ri,写为Ri — PUF(Ci) ;GenPUF算法在得到PUF响应Ri时输出(Ki,ffi), (Ki, Wi) — GenPUF(Ri) ;R印PUF算法在得到PUF响应Ri ‘和辅助数据Wi时,如果Ri和Ri ‘充分接近,输出密钥Ki,Ki—R印PUF (Ri',Wi) ;GenBio算法在从用户U得到生物特征测量结果 BMu时,输出(KuJu),(KuJu) — GenBio(BMu) ;R印Bio算法在从用户U得到生物特征测量结果BMu和辅助数据mi时,如果BMu和BMu'充分接近,输出密钥Ku,Ku — R印Bio (BMu', ■)。假设用于执行测量的装置中嵌入了 PUF。从包含例如SRAM存储器的任何装置,例如任何微处理器或微控制器,能够容易地预计这种情况。显然,可以但未必一定在装置上实施算法GenPUF、GenBi0、R印PUF和R印Bio。可以在第二装置上实施这些算法。从安全的角度讲,第一种选择更好。不过,第二种选择使得处理能力有限的装置能够实施该系统。图4结合注册流程的优选实施例示出了系统如何工作。首先,一组用户具有装
置i,装置i测量用户Ul、U2、U3......Un的一些信号。在第一次使用该装置之前,用户之
一 (Uj)在装置i的PUF上运行流程GenPUF,并获得与源于装置i的响应Ri对应的(Ki, Wi) — GenPUF(Ri)。这是该过程的步骤Si。注意,这个步骤不需要由装置i运行。具体而言,可以由独立的实体运行这个流程。该实体运行GenPUF唯一需要的是响应Ri。在第二步骤S2,在装置i的非易失性存储器中存储辅助数据Wi。个体用户,用户Uj 对其生物特征测定值(例如指纹)运行GenBio并获得Kuj,这是步骤S3。在步骤S4,利用 Wi对该值进行XOR以产生Wi,uj,在步骤S5中在用户Uj的存储器简档空间中的装置中存储 Wi, Uj0换言之,Wi,uj = WiM)R Kuj。在装置中存储数据库,条目如下(Kuj ;Wi,uj)。下一步骤为步骤S6,其中,对于用户Uj,作为Ki和Kuj的函数计算密钥Kij,写为Kij—f(Ki, Kuj)。在步骤S7,以安全方式向健康服务提供商发送这个密钥。为希望使用该装置的每位用户重复步骤3到7。在装置的数据库中存储对(Kuj ;ffi,uj)的备选方法是存储一对(Uj, Wi,uj)。这假设用户具有标识其的串Uj。这是更安全的,因为在装置中不存储密钥Kuj,而是在每次需要时进行重建。串Uj可以是任何标识信息,例如用户的姓名、他的社会保险号、 驾驶员的驾照号码、电子邮件地址等。总之,注册装置和用户的方法包括接收用户输入(可以是生物特征测量结果或口令),从用户输入产生第一密钥,执行装置的物理测量(例如PUF),从物理测量为装置产生第二密钥和辅助数据,使用第一和第二密钥执行操作,以及向远程数据存储发送操作的输
出ο图5中示出了认证流程的优选实施例。按照图4的流程图,在注册用户和装置之后使用该流程。用户Uj希望使用装置i执行测量。在能够操作装置之前,第一步骤Sl是用户Uj运行Kuj —R印Bio (BMuj’,mij)和恢复Kuj。在步骤S2,装置i在其数据库中搜索与Kuj的匹配。如果其发现了这样的匹配,继续进行步骤3,否则,装置停止,并告诉用户首先注册,以便能够使用装置i。如果匹配,然后在步骤S3,装置i将Kuj与Wi,uj进行M)R,以获得Wi = Wi,uj XOR 1(11」,随后是步骤54,其中装置1运行灯一1 印 皿(财,,1丨)以恢复Ki。在步骤S5,装置i计算Ki和Kuj的函数,写为f(Ki,Kuj),得到串Kij,在步骤S6,装置i对利用秘密密钥Kij测量的数据计算消息认证码(MAC)。最后,在步骤S7,装置i向健康服务提供商发送数据和MAC。健康服务提供商验证MAC,并且如果验证成功,接受数据。通过这种方式,提供了一种认证装置和用户的安全方法。装置的物理函数(在优选实施例中为PUF)和来自用户的数据(在优选实施例中为生物特征测定数据)都无法以任何方式被克隆或伪造,将这些密钥(或从两者导出的单一密钥)发送到健康服务提供商允许对装置和用户都进行认证。流程图4和5的流程提供的方案的备选方案(实施例2、是对装置和患者进行独立的认证,然后将这些标识符/密钥组合或将它们独立发送到服务提供商。例如,可能从 PUF导出Ki,然后从用户的生物特征测定值导出Kuj,并且然后将这些密钥组合成单个密钥Kij = Hash (Ki I I Kuj)。基于这个密钥(Kij),能够计算数据的MAC或签名,然后发送到服务提供商。不过,在开始时这会无法识别在第一次使用测量装置之前未运行注册流程的用户(即,用户必须要针对他获得的每个新装置注册新密钥;并且必须要在使用其数据的所有服务提供商和/或健康服务基本设施进行这种注册)。优选实施例的其他变体也是可能的。例如,装置自己不执行密钥重建,而是将实测信号连同PUF响应Ri' —起发送给功能更强的装置,例如图2中的家庭集线器14,在那里执行所有处理。注意,在这种特定情况下,不用担心响应的保密。相反,系统仅对确保正确用户和装置与正确数据相关联感兴趣。也可以调整以上方法,从而不计算辅助数据Wi,Uj,而是装置可以简单地存储Wi, 然后计算Ki和Kuj的XOR作为Kij。不过,这将无法在开始时识别在第一次使用测量装置之前未运行注册流程的用户。另一种备选方案可以是,不是使用基于对称密钥的系统,而是系统能够使用基于非对称密钥的系统。不将Kij视为对称密钥,而是系统能够使用基于公共密钥的系统的秘密密钥。然后在注册流程(图4)的步骤S7中,不向服务提供商发送Kij,而是装置可以发送与秘密密钥Kij相关联的公共密钥。对于典型的基于公共密钥的系统,这是容易计算的。在一个实施例中,对来自用户的第一密钥和来自装置的第二密钥执行定义的函数以获得第三密钥(Kij)。用于从Ki和Kuj计算Kij的函数例如可以是Ki和Kuj的级联的散歹Ij (hash) (SHA-1, SHA-2, MD5,RipeMD 等),Ki 禾口 Kuj 的 X0R,使用密钥 Ki 和 Kuj 对常数串的加密,以及使用Kuj作为加密系统的加密密钥的加密,使用Ki作为加密系统加密密钥对Kuj的加密,从η中选2阈值方案导出的值,其中份额中的两个对应于Ki和Kuj (参见下文中使用阈值方案的额外优点),或适于该应用的Ki和Kuj的任何其他函数。图6a和图6b中示出了本发明的优选实施例。在图6a中,将处理器30连接到装置10和用户输入装置32。装置10是用于测量用户血压的装置,而用户输入装置32是用于在用户将其手指放到装置中时测量用户指纹的装置。这幅图的系统假设已经发生了注册过程,且用户已利用装置10对其血压进行了测量。用户希望在向第三方健康服务提供商发送采集的数据之前认证采集的数据。图乩示出了处理器30采取的动作。处理器30从用户输入装置32接收用户输入 ;34,用户输入34是用户指纹的生物特征测量。还从应用于装置10的问询接收PUF 36。在系统之内存在问询部件,其向装置10做出PUF问询。可以在装置10之内构建这个部件(未示出)。将用户输入34与用户辅助数据38组合以产生第一密钥40,将PUF 36与装置辅助数据42组合以产生第二密钥。
在该图中,密钥产生过程被示为独立的,但可以以这样的方式配置它们,即,使用来自一方的密钥产生另一方的辅助数据,反之亦然,作为额外的安全特性,使用额外存储的部件。两个密钥40和44的产生可以是同时发生的,或者在使用一方的密钥产生另一方辅助数据的情况下,那么产生将会顺序发生。可以首先产生任一密钥。将用户密钥表示为第一密钥40不表示它是由处理器30产生的第一个密钥。在已经产生密钥40和44之后,然后将它们传递到操作阶段46,使用两个密钥40 和44执行操作。这种操作可以采取许多不同形式。在最简单的实施例中,该操作是将两个密钥40和44,与采集到的关于用户血压的数据一起发送到第三方服务提供商。另一种选择是将两个密钥40和44组合成第三密钥并与数据一起发送该第三密钥。第三种选择是利用两个密钥40和44,或使用从两个密钥40和44导出的某物(例如散列函数输出)对用户健康数据加密。另一种选择是使用密钥40和44产生数字签名以在发送数据之前对数据签名。通过这种方式,使用两个密钥40和44认证用户收集的数据。可以从例如口令导出从用户导出的密钥Kuj,在优选实施例中它是生物特征测量。 意图是使用于签名的密钥取决于用户Uj必须提供或输入到系统中的某物。其未必一定是生物特征测定的,尽管这样会使其更不容易受仿冒攻击。在图7中示出了这个实施例。在这一实施例中,用户20提供的用户输入是口令28。装置10从口令产生密钥,还 (使用PUF)执行装置的物理测量。装置访问装置的辅助数据并从物理测量和辅助数据计算第二密钥,如上文详细所述。该装置然后向健康服务提供商18发送第一和第二密钥(或从这两个密钥导出的第三密钥)。还可以调整系统以从多个装置产生每位用户的单一密钥。在这一实施例中,提供了一种方式,不论用于获得数据的装置数量有多少,每个患者/用户仅使用一个密钥(与前面的实施例不同,前面的实施例中每一用户-装置组合必须有一个密钥)。对于这种构造, 可以使用阈值秘密共享,在下文中描述这种情况。在 Alfred J. Menezes,Paul C. van Oorschot 禾口 Scott A. Vanstone 的"Handbook of Applied Cryptography”,CRC Press, 1997 中描述了阈值秘密共享。(t,n)阈值方案(t <=η)是这样一种方法,利用这种方法,受信任方从初始秘密S计算秘密份额Si, 1 < = i <=n,并向用户Pi可靠地分配Si,使得以下描述为真任何t个或更多共享其份额的用户可以容易地恢复S,但仅知道t-i个或更少份额的任何组都不能。一种完美的阈值方案是这样的阈值方案,其中,仅知道t-ι个或更少份额相对于不知道份额没有任何优势(在信息理论的意义上,没有关于S的信息,无论是什么信息)。Shamir的阈值方案基于多项式内插法和如下事实t_l次单变量多项式y = f (χ) 是由具有不同Xi的t个点(Xi ;Yi)唯一界定的(因为这些点定义了 t个线性无关的t个未知数的方程)。由拉格朗日插值公式给出由点(XiWi)定义的次数小于t的未知多项式 f(x)的系数,1 <= i <= t
权利要求
1.一种认证装置(10)和用户00)的方法包括-接收用户输入08,34),-从所述用户输入( ,34)产生第一密钥00),-执行对所述装置(10)的物理测量(36),-获得对于所述装置(10)的辅助数据G2),-从所述物理测量(36)和所述辅助数据G4)计算第二密钥04),以及-使用所述第一密钥GO)和所述第二密钥G4)执行操作06)。
2.根据权利要求1所述的方法,其中,使用所述第一密钥GO)和所述第二密钥G4)执行操作G6)的步骤包括对所述第一密钥GO)和所述第二密钥G4)执行定义的函数以获得第三密钥。
3.根据权利要求1或2所述的方法,其中,接收用户输入08)的步骤包括接收口令 (观),并且从所述用户输入08)产生第一密钥00)的步骤包括从所述口令08)计算所述第一密钥(40)。
4.根据权利要求1或2所述的方法,其中,接收用户输入(34)的步骤包括执行所述用户00)的生物特征测量(34),并且从所述用户输入(34)产生第一密钥00)的步骤包括获得对于所述用户00)的辅助数据(38)并从所述生物特征测量(34)和所述用户辅助数据 (38)计算所述第一密钥GO)。
5.一种根据权利要求4所述的方法,其中,获得对于所述装置(10)的辅助数据02)的步骤包括从所述第一密钥GO)和存储的部分计算所述辅助数据02)。
6.根据前述权利要求中的任一项所述的方法,还包括获得用户份额,获得装置份额,并对所述用户份额、装置份额、第一密匙GO)和第二密钥04)执行定义的函数以获得第三密钥。
7.一种用于认证装置(10)和用户00)的系统包括-布置成接收用户输入( ,34)的用户接口(32),-布置成执行对所述装置(10)的物理测量(36)的问询部件,以及-连接到所述用户接口(3 和所述问询部件的处理部件(30),所述处理部件(30)布置成从所述用户输入( ,34)产生第一密钥(40)、获得对于所述装置(10)的辅助数据 (42)、从所述物理测量(36)和所述辅助数据G2)计算第二密钥04)并使用所述第一密钥 (40)和所述第二密钥(44)执行操作(46)。
8.根据权利要求7所述的系统,其中,所述处理部件(30)布置成,在使用所述第一密钥 (40)和所述第二密钥G4)执行操作06)时,对所述第一密钥00)和所述第二密钥G4) 执行定义的函数以获得第三密钥。
9.根据权利要求7或8所述的系统,其中,所述用户输入08)包括口令(观),并且所述处理部件(30)布置成,在从所述用户输入08)产生第一密钥00)时,从所述口令08) 计算所述第一密钥GO)。
10.根据权利要求7或8所述的系统,其中,所述用户输入(34)包括所述用户00)的生物特征测量(34),并且所述处理部件(30)布置成,在从所述用户输入(34)产生第一密钥GO)时,获得对于所述用户00)的辅助数据(38)并从所述生物特征测量(34)和所述用户的辅助数据(38)计算所述第一密钥00)。
11.根据权利要求10所述的系统,其中,所述处理部件(30)布置成,在获得对于所述装置(10)的辅助数据G2)时,从所述第一密钥00)和存储的部分计算所述辅助数据(42)。
12.根据权利要求7到11中的任一项所述的系统,其中,所述处理部件(30)进一步布置成获得用户份额,获得装置份额,并对所述用户份额、装置份额、第一密钥GO)和第二密钥G4)执行定义的函数以获得第三密钥。
13.根据权利要求7到12中的任一项所述的系统,其中,所述用户接口、所述问询部件和所述处理部件包含在单一装置之内。
14.根据权利要求7到12中的任一项所述的系统,其中,所述用户接口(32)、所述问询部件(10)和所述处理部件(30)分布于多个装置上。
15.一种注册装置(10)和用户00)的方法包括-接收用户输入08,34),-从所述用户输入( ,34)产生第一密钥00),-执行对所述装置(10)的物理测量(36),-从所述物理测量(36)产生对于所述装置(10)的第二密钥04)和辅助数据G2),-使用所述第一密匙G2)和所述第二密钥G4)执行操作(46),并且向远程数据存储发送所述操作G6)的输出。
16.一种根据权利要求15所述的方法,其中,接收用户输入(34)的步骤包括执行对所述用户00)的生物特征测量(34),并且从所述用户输入(34)产生第一密钥00)的步骤包括产生对于所述用户00)的辅助数据(38)。
17.一种用于注册装置(10)和用户00)的系统包括-布置成接收用户输入08,34)的用户接口(32),-布置成执行对所述装置(10)的物理测量(36)的问询部件,以及-处理部件(30),其布置成从所述用户输入(28,34)产生第一密钥(40)、从所述物理测量(36)产生对于所述装置(10)的第二密钥04)和辅助数据(42)、使用所述第一密匙 (40)和所述第二密钥G4)执行操作06)并向远程数据存储发送所述操作G6)的输出。
18.根据权利要求17所述的系统,其中,所述用户输入(34)包括所述用户00)的生物特征测量(34),并且所述处理部件(30)进一步布置成,在从所述用户输入(34)产生第一密钥GO)时,产生对于所述用户00)的辅助数据(38)。
全文摘要
一种认证装置和用户的方法包括接收用户输入,从用户输入产生第一密钥,执行装置的物理测量,获得对于装置的辅助数据,从物理测量和辅助数据计算第二密钥,以及使用第一密钥和第二密钥执行操作。在优选实施例中,该方法包括对第一密钥和第二密钥执行定义的函数以获得第三密钥。通过如下方式提供了额外的安全性接收用户输入的步骤包括执行用户的生物特征测量,并且从所述用户输入产生第一密钥的步骤包括获得对于所述用户的辅助数据并从生物特征测量结果和所述用户辅助数据计算所述第一密钥。
文档编号G06F21/32GK102165458SQ200980137508
公开日2011年8月24日 申请日期2009年9月21日 优先权日2008年9月26日
发明者J·瓜哈尔多梅尔尚, M·彼特科维克 申请人:皇家飞利浦电子股份有限公司
技术领域:
本发明涉及一种用于认证装置和用户的方法和系统。在一个实施例中,本发明提供了一种用于健康服务的组合式装置和患者认证系统,尤其是作为患者和保健提供商彼此远离且由电子系统连接的系统的一部分提供的系统。
背景技术:
保健领域中越来越重要的趋势是所有水平的保健都涉及消费者/患者之一。人们正在其自身的健康管理中扮演着更为主动的角色。这种患者授权的趋势已经得到广泛支持。很多方案(例如,Capmed,http //www. phrforme. com/index, asp,Medkey,http //www. medkey. com/和ffebmd, http//www. webmd. com)已经被引入市场中,其允许患者收集他们自己健康相关信息并将这些信息存储在便携式装置、计算机上和在线服务中。常常把这些方案称为个人健康记录(PHR)服务。市场上已经有很多产品允许患者自动向他们的PHR 中输入测量结果禾口其他医疗数据,例如Lifesensor,https://www. lifesensor. com/en/us 和healthvault,http://search, healthvault. coiV。例如,体重计经由蓝牙向计算机发送其信息,从计算机将数据上载到PHR。这允许患者收集和管理他们的健康数据,但更重要的是与其治疗涉及的众多保健专业人员共享数据。保健领域中的另一个重要趋势是保健的提供逐渐从急救机构护理扩展到门诊护理和家庭护理。信息和通信技术上的进步已经实现了远程保健服务(远程保健),包括电视医疗和远程患者监护。市场中有许多服务已经部署了远程保健基本设施,其中经由家庭集线器将测量装置连接到远程后端服务器。保健提供商使用这种架构从远程访问测量数据并辅助患者。范例是疾病管理服务(例如Wiilips Motiva和PTS)或紧急响应服务(Philips Lifeline)。测量装置、家庭集线器和后端服务的互操作性对于这种市场的实现和进一步发展变得非常重要。这种需求被Contimm健康联盟认识到,例如参见http://WWW. contirumaliance.org。如图1所示,这种初步行动旨在使测量装置、家庭集线器(应用托管)装置、在线保健/健康服务(WAN)和健康记录装置(PHR/EHR)之间的协议标准化。除了数据格式和交换问题之外,Continua联盟还解决安全和保障问题。远程保健领域中的基本安全和保障问题之一是用户和装置的认证/识别问题。亦即,当患者远程测量的数据被远程保健服务使用或在医疗专业界内被使用时,保健提供商需要对患者报告的信息给予更大信任。具体而言,必须要向他们保证测量结果来自正确的患者且使用适当的装置来进行测量。考虑血压测量;关键是知道测量的是注册用户(不是他的朋友/子女)的血压,且测量是用经证实的装置而不是廉价伪造装置进行的。这是非常重要的,因为否则的话,可能会导致关键性保健决定是基于错误数据做出的。在当前实践中,装置标识符(装置ID)或者被用作用户标识符(用户ID),或者被用作获得用户ID的手段(如果多个用户在使用同一装置的话)。例如,在Contirum系统中,如在 2007 年 12 月的"Continua Health Alliance, Recommendations for Proper UserIdentification in Continua Version I-PANand xHR interfaces (Draft v. 01),,中所述, 在PAN接口处,如图1所示,要求每个Contirum装置发送其自己唯一的装置ID。用户ID是可选的(可以仅仅简单地为1、2、A、B)。在集线器装置(应用托管装置)处获得有效的用户ID,该装置能够提供与装置ID相关联的简单用户ID与有效用户ID之间的映射。还可能有测量装置能够接着装置ID发送有效用户ID。那么就不需要映射。当前的方式有若干问题。例如,当前的方式不支持用户/装置的认证,其仅仅将用户ID附加到测量结果上。不能确定数据的出处,因为稍后在过程中保健提供商不能可靠地找到使用哪个装置生成的测量结果。其次,当前的映射方法不会迅速将用户和装置ID锁定一起,而是引入了弄错的可能。用户犯了无意的错误(如果需要手工映射,用户必须要在应用托管装置或测量装置处针对每个测量结果选择其ID (1或A)),或者系统可能会混淆用户(应用的设计者应当特别小心地提供数据管理,以减小将测量结果关联到错误用户的可能)。在这种布置中,恶意用户可能通过假扮实际用户来引入错误的测量结果。类似地,装置ID能够被拷贝到可能容易地被引入eco系统中的伪造装置。然后,用户能够使用这些装置产生看起来可靠但实际上不可靠的数据。因此,本发明的目的是对已知技术进行改进。根据本发明的第一方面,提供了一种认证装置和用户的方法,包括接收用户输入, 从用户输入产生第一密钥,执行装置的物理测量,获得对于装置的辅助数据,从物理测量和辅助数据计算第二密钥,以及使用第一和第二密钥执行操作。根据本发明的第二方面,提供了一种用于认证装置和用户的系统,包括布置成接收用户输入的用户接口,布置成执行所述装置的物理测量的问询部件,以及连接到所述用户接口和所述问询部件的处理部件,该处理部件布置成从所述用户输入产生第一密钥,获得对于所述装置的辅助数据,从所述物理测量和所述辅助数据计算第二密钥,并使用所述第一密钥和所述第二密钥执行操作。根据本发明的第三方面,提供了一种注册装置和用户的方法,包括接收用户输入, 从用户输入产生第一密钥,执行装置的物理测量,从物理测量产生对于所述装置的第二密钥和辅助数据,使用第一密钥和第二密钥执行操作,以及向远程数据存储发送所述操作的输出。根据本发明的第四方面,提供了一种用于注册装置和用户的系统,包括布置成接收用户输入的用户接口,布置成执行所述装置的物理测量的问询部件,以及处理部件,其布置成从所述用户输入产生第一密钥、从所述物理测量产生对于装置的第二密钥和辅助数据、使用所述第一和第二密钥执行操作、并向远程数据存储发送所述操作的输出。归功于本发明,才可能绑定用户和装置的身份,以便证实源于装置的数据是来自特定装置和特定用户。这支持个人保健应用中的数据质量保证和可靠性。在这种系统中, 提供了一种尽快绑定用户身份和装置标识符的方法,以便证实源于装置的数据来自特定装置和特定用户。为了确保合适的装置和用户认证/识别,可以结合用户输入使用物理不可克隆函数(PUF,下文详述)。结果,通过分别提供以下内容解决了现有技术的三个问题紧密耦合用户ID和用于进行测量的装置标识(立即探测未注册装置/用户的使用)、强的用户认证和防伪装,以及强装置认证。这有以下益处,患者安全(诊断和健康决定基于可靠数据),降低成本(在
5消费者健康和专业保健领域中重复使用患者提供的数据),以及对于患者便利(他们能够在家进行保健测量)。在优选实施例中,接收用户输入的步骤包括执行用户的生物特征测量(biometric measurement),从所述用户输入产生第一密钥的步骤包括获得对于所述用户的辅助数据并从所述生物特征测量和所述用户辅助数据计算所述第一密钥。用户的生物特征测量(例如指纹)提高了系统的安全性,并确保在由远程健康系统分析数据时,从经认证个体获取的任何数据都来自该特定个体。有利地,该方法包括对第一密钥和第二密钥执行定义的函数以获得第三密钥。如果在向远程位置进行任何发送之前将两个密钥(一个来自装置,一个来自用户)组合在一起以生成第三密钥,可以提高系统的安全性。能够根据两种输入的函数进行组合。这样的函数例如可以是(i)两个串(string)的级联、两个串的M)R、两个串的级联以及接下来对所得串的散列化、两个串的XOR然后对所得串散列化、根据加密算法(例如高级加密标准) 对一个串加密,进而使用串中的一个作为密钥且第二串作为明文,等等。在另一实施例中,接收用户输入的步骤包括接收口令,而从所述用户输入产生第一密钥的步骤包括从所述口令计算所述第一密钥。不使用生物特征数据,而是能够使用简单的口令来认证用户。尽管这没有与使用生物特征数据相关联的最高水平的安全性,但这仍然提供了相对于当前已知系统而言改进的系统。理想地,获得对于所述装置的辅助数据的步骤包括从所述第一密钥和存储的部分计算辅助数据。从对装置和辅助数据执行的物理测量生成对于装置的密钥(第二密钥)。 如果辅助数据是从第一密钥(来自用户)和一些存储的部分重建的,那么就增强了认证装置和用户的系统的安全性,因为辅助数据永远不会以明文存储。有利地,该方法还包括获得用户份额(share),获得装置份额,并对所述用户份额、 装置份额、第一和第二密钥执行定义的函数以获得第三密钥。使用用户份额和装置份额允许将超过一个装置认证到特定用户,这提高了注册和认证系统的效率。
现在将参考附图仅以举例的方式描述本发明的实施例,在附图中图1是保健系统的示意图;图2是保健系统的另一示意图;图3是装置和用户认证系统的示意图;图4是注册流程的流程图;图5是认证流程的流程图;图6a是认证系统的优选实施例的示意图;以及图6b是认证系统的优选实施例的另一示意图;以及图7是系统的另一实施例的示意图。
具体实施例方式图1中示出了保健系统的范例。示出了各种PAN (个人区域网)装置10,例如手表和血压测量装置,其直接测量用户的生理参数。此外还提供了 LAN(局域网)装置12,例如还能够用于收集用户的保健信息的踏车。PAN装置10和LAN装置12经由适当接口(有线的和/或无线的)连接到适当的应用托管装置14,例如计算机或移动电话,它们将位于PAN 和LAN装置10和12的本地。这一托管装置14将运行适当的应用,该应用能够从各种PAN 装置10和LAN装置12收集并整理输出。应用托管装置14连接到诸如服务器的WAN(广域网)装置16。WAN连接可以经由诸如因特网的网络。服务器16也经由适当接口连接到健康记录装置18,健康记录装置为系统的用户维持健康记录。如上所述,极为重要的是,首先向正确的用户分配装置18存储的由个体健康记录所记录的数据,此外,以绝对的确定性知道对数据进行记录的装置。同样可取的是还对相关PAN装置10或LAN装置12进行核准,以用于系统中。图2示出了图1的系统,其中示出了利用PAN装置10进行测量的用户20。通过家庭集线器14,能够将数据发送到维持患者记录22的远程记录装置18。远程记录装置18 还直接与GP记录M通信。在本范例中,用户20向装置10错误标识了他们自己,并且也使用了不正确的装置10进行他们试图进行的测量。在常规系统中,这将导致在他们的记录22 中做出不正确的输入,并可能导致对患者状况发出不正确的提示。为了避免图2所示那种错误,在图3中概括了根据本发明的系统。本图示出了与远程保健装置18通信的装置10和用户20。根本原理是,从用户20导出一密钥并且从装置10导出一密钥,在一个实施例中,将这些密钥组合到一起并作为第三密钥发送到远程服务器18。用户20可以提供口令,或在优选实施例中,对用户20进行生物特征测量(例如指纹),并且从这一生物特征测量产生用户密钥。来自装置10的密钥是从装置的物理测量结果导出的。实现这一目的的一种方法是使用如下所述的称为PUF的函数。图3中用于认证装置10和用户20的系统包括布置成接收用户输入的用户接口、 布置成对装置执行物理测量的问询部件以及连接到用户接口和问询部件的处理部件,该处理部件布置成从用户输入产生第一密钥,获得对于装置的辅助数据,从物理测量结果和辅助数据计算第二密钥,并使用第一和第二密钥执行操作。用户接口、问询部件和处理部件这三个部件都可以包含于装置10之内,或可以分布在不同装置上。实际上可以在包含于不同装置中的不同处理器之间划分处理部件的功能。物理不可克隆函数(PUF)是由物理系统实现的函数,该函数容易评价,但物理系统难以表征并难以克隆,例如参见R. Pappu的“ Wiysical One-Way Functions”,博士论文, MIT,2001。由于不能对PUF进行拷贝或建模,所以装备了 PUF的装置变得不可克隆。由非受控生产过程(即,包含一些随机性)生产的物理系统是PUF的良好候选。设计PUF的物理系统,使其以复杂方式与刺激(质询(challenge))交互作用并产生唯一但不可预知的响应。PUF质询和对应的响应一起被称为质询响应对。PUF可能有单一质询,或有限(小)数量的质询(例如,少于32个),或大数量的质询(2"个质询,11>5)。PUF的一个范例是所谓的SRAM PUF。就当前试验所表明的情况而言,这些PUF存在于具有板上SRAM的任何装置上。这基于如下现象在启动SRAM单元时,它是以随机状态启动的。不过,在多次这样做时,在大多数时候SRAM在相同状态下启动,因此能够用作一种类型的PUF。在ID685102中更详细地描述了 S-RAM PUF。其他PUF包括以上参考文献中公开的光学PUF和延迟PUF (参见Gassend等人,Su等人,-IC PUF (延迟PUF) CCS 2002,ACSAC 2002)。
如前所述,PUF响应有噪声且不是完全随机的。于是,需要模糊提取器或辅助数据算法(参见,J.-P.M. G. Linnartz 禾口 P. Tuyls 的"New Shielding Functions to Enhance Privacy and Prevent Misuse of Biometric Templates,,,Audio-and Video-Based Biometrie Person Authentication—AVBPA 2003, ser. LNCS, J. Kittler 禾口 M.S.Nixon, Eds.,vol. 2688. Springer, 2003 年 6 月 9-11,393-402 页,以及 Y. Dodis, Μ. Reyzin 和 A.Smith 的"Fuzzy extractors :How to generate strong keys from biometrics and other noisy Data,,,Advances in Crypto 1 οgy—EUR0CRYPT 2004,ser. LNCS,C. Cachin 禾口 J. Camenisch,Eds. ,vol. 3027Springer_Verlag,2004,523-540 页)来从 PUF 响应中提取一个(或多个)安全密钥。在下文中,提供了算法背后的直观认识。模糊提取器需要两个基本初衷,首先是信息一致性或错误校正,第二是私密性放大或随机提取,这确保了输出非常接近于成为均勻分布的随机变量。为了实现这两个初衷,在登记或注册阶段产生辅助数据W。之后,在密钥重建或认证阶段期间,基于有噪声的测量结果Ri和辅助数据W重建密钥。在(在信任环境中执行的)登记阶段期间,运行称为Gen的或然过程。这个过程以PUF响应R作为其输入, 并产生密钥K和辅助数据W作为输出(K,W) —Gen(R)。为了产生辅助数据W,选择纠错码 C,使得至少能够校正t误差。要校正的误差数目取决于具体应用和PUF属性。一旦选择了适当的代码,就通过首先从C选择随机码字Cs并计算Wl =C:S R来产生辅助数据W。此外,从集合H随机选择通用散列函数(参见L. Carter和M. N. Wegman 的"Universal Classes of Hash Functions,,,J. Comput. Syst. Sci. , vol. 18, no. 2, PP. 143-154,1979) h"并将密钥K定义为K^hi (R)。然后将辅助数据定义为W = (Wl,i)。在密钥重建阶段期间,运行被称为Rep的流程。它以有噪声响应R'和辅助数据W作为输入,并重建密钥K(如果R'与R来自相同的源),即,K —R印(R',W)。通过计算Cs'= Wl R’、 经由C的解码算法将Cs'解码成Cs、恢复R = Cs Wl、并最后计算K = h (R)来实现密钥重建。本方法对于其他类型的辅助数据也将有效。例如,除了 M)R,也可能执行置换。应当指出,使用符号Θ表示XOR操作。逻辑操作互斥析取(exclusive disjunction),也称为异或O(OR),是两个操作数的一种逻辑析取,当且仅当操作数之一恰好具有“真”值时得到“真” 值。还能够使用模糊提取器构造从生物特征测定数据产生唯一的标识符或密钥。除了具有PUF响应之外,还使用人的生物特征测定数据。这可以通过计算K(其中K = h (R), 且R为生物特征测量结果)的散列数据(即SHA-幻来进一步增强。参见T.Kevenaar, G.J. Schrijen, A. Akkermans, Μ. Damstra, P.Tuyls, Μ. van der Veen, Robust and Secure Biometrics :Some Application Examples, ISSE 2006,其中描述了这种构造不同应用的概述;参见 Kevenaar, Τ. A. M,Schrijen, G. J.,van der Veen, Μ.,Akkermans, Α. H. Μ.禾口 Zuo, F. :Face Recognition with Renewable and Privacy Preserving Templates,Proc. 4th IEEE Workshop on Automatic Identification Advanced Technologies (AutoID 2005), 2005年10月17-18,21- 页,其中描述了应用于基于面部识别的生物特征测定的范例。如前所述,本发明的系统设计用于将测量结果链接到装置ID和特定用户两者。可以从PUF响应和关联的辅助数据导出稳定的装置ID。可以从纠错码的码字随机选择辅助数据。在优选实施例中,从纠错码以及从根据用户生物特征测量结果导出的串两者导出辅助数据。通过构造这样的辅助数据,能够立刻认证装置和用户两者。在优选实施例中,假设正使用的装置上以下条件是成立的PUF使得在利用Ci质询时产生响应Ri,写为Ri — PUF(Ci) ;GenPUF算法在得到PUF响应Ri时输出(Ki,ffi), (Ki, Wi) — GenPUF(Ri) ;R印PUF算法在得到PUF响应Ri ‘和辅助数据Wi时,如果Ri和Ri ‘充分接近,输出密钥Ki,Ki—R印PUF (Ri',Wi) ;GenBio算法在从用户U得到生物特征测量结果 BMu时,输出(KuJu),(KuJu) — GenBio(BMu) ;R印Bio算法在从用户U得到生物特征测量结果BMu和辅助数据mi时,如果BMu和BMu'充分接近,输出密钥Ku,Ku — R印Bio (BMu', ■)。假设用于执行测量的装置中嵌入了 PUF。从包含例如SRAM存储器的任何装置,例如任何微处理器或微控制器,能够容易地预计这种情况。显然,可以但未必一定在装置上实施算法GenPUF、GenBi0、R印PUF和R印Bio。可以在第二装置上实施这些算法。从安全的角度讲,第一种选择更好。不过,第二种选择使得处理能力有限的装置能够实施该系统。图4结合注册流程的优选实施例示出了系统如何工作。首先,一组用户具有装
置i,装置i测量用户Ul、U2、U3......Un的一些信号。在第一次使用该装置之前,用户之
一 (Uj)在装置i的PUF上运行流程GenPUF,并获得与源于装置i的响应Ri对应的(Ki, Wi) — GenPUF(Ri)。这是该过程的步骤Si。注意,这个步骤不需要由装置i运行。具体而言,可以由独立的实体运行这个流程。该实体运行GenPUF唯一需要的是响应Ri。在第二步骤S2,在装置i的非易失性存储器中存储辅助数据Wi。个体用户,用户Uj 对其生物特征测定值(例如指纹)运行GenBio并获得Kuj,这是步骤S3。在步骤S4,利用 Wi对该值进行XOR以产生Wi,uj,在步骤S5中在用户Uj的存储器简档空间中的装置中存储 Wi, Uj0换言之,Wi,uj = WiM)R Kuj。在装置中存储数据库,条目如下(Kuj ;Wi,uj)。下一步骤为步骤S6,其中,对于用户Uj,作为Ki和Kuj的函数计算密钥Kij,写为Kij—f(Ki, Kuj)。在步骤S7,以安全方式向健康服务提供商发送这个密钥。为希望使用该装置的每位用户重复步骤3到7。在装置的数据库中存储对(Kuj ;ffi,uj)的备选方法是存储一对(Uj, Wi,uj)。这假设用户具有标识其的串Uj。这是更安全的,因为在装置中不存储密钥Kuj,而是在每次需要时进行重建。串Uj可以是任何标识信息,例如用户的姓名、他的社会保险号、 驾驶员的驾照号码、电子邮件地址等。总之,注册装置和用户的方法包括接收用户输入(可以是生物特征测量结果或口令),从用户输入产生第一密钥,执行装置的物理测量(例如PUF),从物理测量为装置产生第二密钥和辅助数据,使用第一和第二密钥执行操作,以及向远程数据存储发送操作的输
出ο图5中示出了认证流程的优选实施例。按照图4的流程图,在注册用户和装置之后使用该流程。用户Uj希望使用装置i执行测量。在能够操作装置之前,第一步骤Sl是用户Uj运行Kuj —R印Bio (BMuj’,mij)和恢复Kuj。在步骤S2,装置i在其数据库中搜索与Kuj的匹配。如果其发现了这样的匹配,继续进行步骤3,否则,装置停止,并告诉用户首先注册,以便能够使用装置i。如果匹配,然后在步骤S3,装置i将Kuj与Wi,uj进行M)R,以获得Wi = Wi,uj XOR 1(11」,随后是步骤54,其中装置1运行灯一1 印 皿(财,,1丨)以恢复Ki。在步骤S5,装置i计算Ki和Kuj的函数,写为f(Ki,Kuj),得到串Kij,在步骤S6,装置i对利用秘密密钥Kij测量的数据计算消息认证码(MAC)。最后,在步骤S7,装置i向健康服务提供商发送数据和MAC。健康服务提供商验证MAC,并且如果验证成功,接受数据。通过这种方式,提供了一种认证装置和用户的安全方法。装置的物理函数(在优选实施例中为PUF)和来自用户的数据(在优选实施例中为生物特征测定数据)都无法以任何方式被克隆或伪造,将这些密钥(或从两者导出的单一密钥)发送到健康服务提供商允许对装置和用户都进行认证。流程图4和5的流程提供的方案的备选方案(实施例2、是对装置和患者进行独立的认证,然后将这些标识符/密钥组合或将它们独立发送到服务提供商。例如,可能从 PUF导出Ki,然后从用户的生物特征测定值导出Kuj,并且然后将这些密钥组合成单个密钥Kij = Hash (Ki I I Kuj)。基于这个密钥(Kij),能够计算数据的MAC或签名,然后发送到服务提供商。不过,在开始时这会无法识别在第一次使用测量装置之前未运行注册流程的用户(即,用户必须要针对他获得的每个新装置注册新密钥;并且必须要在使用其数据的所有服务提供商和/或健康服务基本设施进行这种注册)。优选实施例的其他变体也是可能的。例如,装置自己不执行密钥重建,而是将实测信号连同PUF响应Ri' —起发送给功能更强的装置,例如图2中的家庭集线器14,在那里执行所有处理。注意,在这种特定情况下,不用担心响应的保密。相反,系统仅对确保正确用户和装置与正确数据相关联感兴趣。也可以调整以上方法,从而不计算辅助数据Wi,Uj,而是装置可以简单地存储Wi, 然后计算Ki和Kuj的XOR作为Kij。不过,这将无法在开始时识别在第一次使用测量装置之前未运行注册流程的用户。另一种备选方案可以是,不是使用基于对称密钥的系统,而是系统能够使用基于非对称密钥的系统。不将Kij视为对称密钥,而是系统能够使用基于公共密钥的系统的秘密密钥。然后在注册流程(图4)的步骤S7中,不向服务提供商发送Kij,而是装置可以发送与秘密密钥Kij相关联的公共密钥。对于典型的基于公共密钥的系统,这是容易计算的。在一个实施例中,对来自用户的第一密钥和来自装置的第二密钥执行定义的函数以获得第三密钥(Kij)。用于从Ki和Kuj计算Kij的函数例如可以是Ki和Kuj的级联的散歹Ij (hash) (SHA-1, SHA-2, MD5,RipeMD 等),Ki 禾口 Kuj 的 X0R,使用密钥 Ki 和 Kuj 对常数串的加密,以及使用Kuj作为加密系统的加密密钥的加密,使用Ki作为加密系统加密密钥对Kuj的加密,从η中选2阈值方案导出的值,其中份额中的两个对应于Ki和Kuj (参见下文中使用阈值方案的额外优点),或适于该应用的Ki和Kuj的任何其他函数。图6a和图6b中示出了本发明的优选实施例。在图6a中,将处理器30连接到装置10和用户输入装置32。装置10是用于测量用户血压的装置,而用户输入装置32是用于在用户将其手指放到装置中时测量用户指纹的装置。这幅图的系统假设已经发生了注册过程,且用户已利用装置10对其血压进行了测量。用户希望在向第三方健康服务提供商发送采集的数据之前认证采集的数据。图乩示出了处理器30采取的动作。处理器30从用户输入装置32接收用户输入 ;34,用户输入34是用户指纹的生物特征测量。还从应用于装置10的问询接收PUF 36。在系统之内存在问询部件,其向装置10做出PUF问询。可以在装置10之内构建这个部件(未示出)。将用户输入34与用户辅助数据38组合以产生第一密钥40,将PUF 36与装置辅助数据42组合以产生第二密钥。
在该图中,密钥产生过程被示为独立的,但可以以这样的方式配置它们,即,使用来自一方的密钥产生另一方的辅助数据,反之亦然,作为额外的安全特性,使用额外存储的部件。两个密钥40和44的产生可以是同时发生的,或者在使用一方的密钥产生另一方辅助数据的情况下,那么产生将会顺序发生。可以首先产生任一密钥。将用户密钥表示为第一密钥40不表示它是由处理器30产生的第一个密钥。在已经产生密钥40和44之后,然后将它们传递到操作阶段46,使用两个密钥40 和44执行操作。这种操作可以采取许多不同形式。在最简单的实施例中,该操作是将两个密钥40和44,与采集到的关于用户血压的数据一起发送到第三方服务提供商。另一种选择是将两个密钥40和44组合成第三密钥并与数据一起发送该第三密钥。第三种选择是利用两个密钥40和44,或使用从两个密钥40和44导出的某物(例如散列函数输出)对用户健康数据加密。另一种选择是使用密钥40和44产生数字签名以在发送数据之前对数据签名。通过这种方式,使用两个密钥40和44认证用户收集的数据。可以从例如口令导出从用户导出的密钥Kuj,在优选实施例中它是生物特征测量。 意图是使用于签名的密钥取决于用户Uj必须提供或输入到系统中的某物。其未必一定是生物特征测定的,尽管这样会使其更不容易受仿冒攻击。在图7中示出了这个实施例。在这一实施例中,用户20提供的用户输入是口令28。装置10从口令产生密钥,还 (使用PUF)执行装置的物理测量。装置访问装置的辅助数据并从物理测量和辅助数据计算第二密钥,如上文详细所述。该装置然后向健康服务提供商18发送第一和第二密钥(或从这两个密钥导出的第三密钥)。还可以调整系统以从多个装置产生每位用户的单一密钥。在这一实施例中,提供了一种方式,不论用于获得数据的装置数量有多少,每个患者/用户仅使用一个密钥(与前面的实施例不同,前面的实施例中每一用户-装置组合必须有一个密钥)。对于这种构造, 可以使用阈值秘密共享,在下文中描述这种情况。在 Alfred J. Menezes,Paul C. van Oorschot 禾口 Scott A. Vanstone 的"Handbook of Applied Cryptography”,CRC Press, 1997 中描述了阈值秘密共享。(t,n)阈值方案(t <=η)是这样一种方法,利用这种方法,受信任方从初始秘密S计算秘密份额Si, 1 < = i <=n,并向用户Pi可靠地分配Si,使得以下描述为真任何t个或更多共享其份额的用户可以容易地恢复S,但仅知道t-i个或更少份额的任何组都不能。一种完美的阈值方案是这样的阈值方案,其中,仅知道t-ι个或更少份额相对于不知道份额没有任何优势(在信息理论的意义上,没有关于S的信息,无论是什么信息)。Shamir的阈值方案基于多项式内插法和如下事实t_l次单变量多项式y = f (χ) 是由具有不同Xi的t个点(Xi ;Yi)唯一界定的(因为这些点定义了 t个线性无关的t个未知数的方程)。由拉格朗日插值公式给出由点(XiWi)定义的次数小于t的未知多项式 f(x)的系数,1 <= i <= t
权利要求
1.一种认证装置(10)和用户00)的方法包括-接收用户输入08,34),-从所述用户输入( ,34)产生第一密钥00),-执行对所述装置(10)的物理测量(36),-获得对于所述装置(10)的辅助数据G2),-从所述物理测量(36)和所述辅助数据G4)计算第二密钥04),以及-使用所述第一密钥GO)和所述第二密钥G4)执行操作06)。
2.根据权利要求1所述的方法,其中,使用所述第一密钥GO)和所述第二密钥G4)执行操作G6)的步骤包括对所述第一密钥GO)和所述第二密钥G4)执行定义的函数以获得第三密钥。
3.根据权利要求1或2所述的方法,其中,接收用户输入08)的步骤包括接收口令 (观),并且从所述用户输入08)产生第一密钥00)的步骤包括从所述口令08)计算所述第一密钥(40)。
4.根据权利要求1或2所述的方法,其中,接收用户输入(34)的步骤包括执行所述用户00)的生物特征测量(34),并且从所述用户输入(34)产生第一密钥00)的步骤包括获得对于所述用户00)的辅助数据(38)并从所述生物特征测量(34)和所述用户辅助数据 (38)计算所述第一密钥GO)。
5.一种根据权利要求4所述的方法,其中,获得对于所述装置(10)的辅助数据02)的步骤包括从所述第一密钥GO)和存储的部分计算所述辅助数据02)。
6.根据前述权利要求中的任一项所述的方法,还包括获得用户份额,获得装置份额,并对所述用户份额、装置份额、第一密匙GO)和第二密钥04)执行定义的函数以获得第三密钥。
7.一种用于认证装置(10)和用户00)的系统包括-布置成接收用户输入( ,34)的用户接口(32),-布置成执行对所述装置(10)的物理测量(36)的问询部件,以及-连接到所述用户接口(3 和所述问询部件的处理部件(30),所述处理部件(30)布置成从所述用户输入( ,34)产生第一密钥(40)、获得对于所述装置(10)的辅助数据 (42)、从所述物理测量(36)和所述辅助数据G2)计算第二密钥04)并使用所述第一密钥 (40)和所述第二密钥(44)执行操作(46)。
8.根据权利要求7所述的系统,其中,所述处理部件(30)布置成,在使用所述第一密钥 (40)和所述第二密钥G4)执行操作06)时,对所述第一密钥00)和所述第二密钥G4) 执行定义的函数以获得第三密钥。
9.根据权利要求7或8所述的系统,其中,所述用户输入08)包括口令(观),并且所述处理部件(30)布置成,在从所述用户输入08)产生第一密钥00)时,从所述口令08) 计算所述第一密钥GO)。
10.根据权利要求7或8所述的系统,其中,所述用户输入(34)包括所述用户00)的生物特征测量(34),并且所述处理部件(30)布置成,在从所述用户输入(34)产生第一密钥GO)时,获得对于所述用户00)的辅助数据(38)并从所述生物特征测量(34)和所述用户的辅助数据(38)计算所述第一密钥00)。
11.根据权利要求10所述的系统,其中,所述处理部件(30)布置成,在获得对于所述装置(10)的辅助数据G2)时,从所述第一密钥00)和存储的部分计算所述辅助数据(42)。
12.根据权利要求7到11中的任一项所述的系统,其中,所述处理部件(30)进一步布置成获得用户份额,获得装置份额,并对所述用户份额、装置份额、第一密钥GO)和第二密钥G4)执行定义的函数以获得第三密钥。
13.根据权利要求7到12中的任一项所述的系统,其中,所述用户接口、所述问询部件和所述处理部件包含在单一装置之内。
14.根据权利要求7到12中的任一项所述的系统,其中,所述用户接口(32)、所述问询部件(10)和所述处理部件(30)分布于多个装置上。
15.一种注册装置(10)和用户00)的方法包括-接收用户输入08,34),-从所述用户输入( ,34)产生第一密钥00),-执行对所述装置(10)的物理测量(36),-从所述物理测量(36)产生对于所述装置(10)的第二密钥04)和辅助数据G2),-使用所述第一密匙G2)和所述第二密钥G4)执行操作(46),并且向远程数据存储发送所述操作G6)的输出。
16.一种根据权利要求15所述的方法,其中,接收用户输入(34)的步骤包括执行对所述用户00)的生物特征测量(34),并且从所述用户输入(34)产生第一密钥00)的步骤包括产生对于所述用户00)的辅助数据(38)。
17.一种用于注册装置(10)和用户00)的系统包括-布置成接收用户输入08,34)的用户接口(32),-布置成执行对所述装置(10)的物理测量(36)的问询部件,以及-处理部件(30),其布置成从所述用户输入(28,34)产生第一密钥(40)、从所述物理测量(36)产生对于所述装置(10)的第二密钥04)和辅助数据(42)、使用所述第一密匙 (40)和所述第二密钥G4)执行操作06)并向远程数据存储发送所述操作G6)的输出。
18.根据权利要求17所述的系统,其中,所述用户输入(34)包括所述用户00)的生物特征测量(34),并且所述处理部件(30)进一步布置成,在从所述用户输入(34)产生第一密钥GO)时,产生对于所述用户00)的辅助数据(38)。
全文摘要
一种认证装置和用户的方法包括接收用户输入,从用户输入产生第一密钥,执行装置的物理测量,获得对于装置的辅助数据,从物理测量和辅助数据计算第二密钥,以及使用第一密钥和第二密钥执行操作。在优选实施例中,该方法包括对第一密钥和第二密钥执行定义的函数以获得第三密钥。通过如下方式提供了额外的安全性接收用户输入的步骤包括执行用户的生物特征测量,并且从所述用户输入产生第一密钥的步骤包括获得对于所述用户的辅助数据并从生物特征测量结果和所述用户辅助数据计算所述第一密钥。
文档编号G06F21/32GK102165458SQ200980137508
公开日2011年8月24日 申请日期2009年9月21日 优先权日2008年9月26日
发明者J·瓜哈尔多梅尔尚, M·彼特科维克 申请人:皇家飞利浦电子股份有限公司
最新回复(0)