криптографически защищенная идентификация личности

Формула изобретения

1. Система выпуска документов персональной идентификации, содержащая

камеру для получения исходной фотографии лица человека;

принтер для печати упомянутой исходной фотографии, текста, ассоциированного с человеком, и подписанного штрих-кода на документе персональной идентификации;

модуль штрих-кода для:

преобразования упомянутой исходной фотографии лица в представление с малым количеством измерений с использованием факторного анализа, причем число факторов лица в представлении с малым количеством измерений меньше или равно одной сотне, и представление с малым количеством измерений имеет N _A битов;

сжатия текста, причем сжатый текст имеет N_B битов, где N_B меньше, чем N_A; и

объединения представления с малым количеством измерений и сжатого текста в данные штрих-кода, при этом данные штрих-кода имеют N_С битов, где N_С равно N_А, причем для формирования подписанного штрих-кода для шифрования данных штрих-кода используется секретный ключ организации, выпускающей документ идентификации;

при этом для аутентификации исходной фотографии лица на документе персональной идентификации вычислительное устройство получает отсканированную фотографию лица, полученную с документа персональной идентификации, получает отсканированный подписанный штрих-код, дешифрует подписанный штрих-код с использованием открытого ключа организации, выпускающей документ идентификации, создает восстановленное изображение из представления с малым количеством измерений, сохраненного в данных штрих-кода, и сравнивает восстановленное изображение с просканированной фотографией лица для аутентификации фотографии лица на документе персональной идентификации, если совпадение фотографии лица на документе персональной идентификации с восстановленным изображением превышает порог.

2. Система по п.1, в которой модуль штрих-кода линейно комбинирует компоненты фотографии лица путем факторного анализа в матрицу загрузки факторов для получения представления с малым количеством измерений фотографии лица.

3. Система по п.1, в которой текст дополнительно содержит информацию, относящуюся к человеку, причем эти данные выбраны из группы, состоящей из имени человека, номера социального обеспечения человека, номера счета человека, веса человека, роста человека, цвета волос человека, цвета глаз человека, информации о родимых пятнах человека, информации о татуировках человека, одной или более отличительных черт этого человека и контактной информации человека.

4. Система по п.1, в которой вместо штрих-кода используются одна или более магнитных полос.

5. Карта персональной идентификации, включающая в себя информацию самоаутентификации, содержащая

фотографию человека, подлежащего идентификации посредством карты персональной идентификации;

текст, описывающий человека, подлежащего идентификации;

штрих-код, содержащий подписанные данные штрих-кода;

при этом математическое уплотнение фотографии имеет N_D битов, и уплотненная версия текста имеет N_E битов, где N_E меньше, чем N_D, при этом уплотненная фотография объединена с уплотненным текстом для формирования данных штрих-кода, имеющих N_G битов, где N _G равно N_D, и при этом данные штрих-кода зашифрованы секретным ключом организации, выпускающей карту персональной идентификации, для формирования подписанных данных штрих-кода.

6. Карта персональной идентификации по п.5, в которой подписанный штрих-код используется для аутентификации фотографии и текста, когда вычислительное устройство считывает фотографию, текст и штрих-код; вычислительное устройство дешифрует штрих-код с использованием открытого ключа организации; вычислительное устройство уплотняет считанный текст; вычислительное устройство выделяет уплотненную фотографию из дешифрованного штрих-кода с использованием уплотненного текста; вычислительное устройство разуплотняет математическое уплотнение фотографии; вычислительное устройство сравнивает разуплотненную фотографию со считанной фотографией для аутентификации карты персональной идентификации.

7. Карта персональной идентификации по п.5, в которой фотография содержит цифровую фотографию низкого разрешения.

8. Карта персональной идентификации по п.5, в которой математическое уплотнение фотографии получено путем сжатия данных, основанных на изображении собственно лица.

9. Карта персональной идентификации по п.8, в которой сжатие данных, основанных на изображении собственно лица, сокращает размер данных фотографии до величины в пределах от 2500 битов до 3500 битов при сохранении четкости основных характеристик лица человека.

10. Карта персональной идентификации по п.5, в которой математическое уплотнение фотографии получено путем анализа основных компонентов.

11. Карта персональной идентификации по п.5, в которой штрих-код содержит цветной штрих-код, имеющий размер данных в пределах от 2500 битов до 3500 битов.

12. Карта персональной идентификации по п.5, в которой вычислительное устройство считывает штрих-код с использованием сканера, имеющего 48-битовую сенсорную матрицу на приборах с зарядовой связью с разрешением 1000 точек на дюйм.

13. Карта персональной идентификации по п.5, дополнительно содержащая магнитную полосу вместо штрих-кода.

14. Способ изготовления надежной и защищенной от подделки карты персональной идентификации, которая может изготавливаться обычными аппаратными средствами компьютера и принтера и сканироваться обычными аппаратными средствами устройства считывания штрих-кода, содержащий

распечатывание фотографии лица человека на материале карты,

распечатывание текста, относящегося к человеку, на материале карты;

уплотнение фотографии до уплотненных данных изображения размерами от 2500 битов до 3500 битов, при этом уплотненные данные изображения имеют N_X битов, причем уплотненные данные изображения могут быть разуплотнены для восстановления основных характеристик лица человека;

уплотнение текста, при этом уплотненный текст имеет N _Y битов, где N_Y меньше, чем N _X,

объединение уплотненных данных изображения и уплотненного текста, причем указанное объединение содержит N _Z битов, где N_Z равно N _X,

шифрование объединения уплотненных данных изображения и уплотненного текста с помощью секретного ключа организации, выпускающей карту персональной идентификации, для формирования подписанных данных штрих-кода; и

распечатывание подписанных данных штрих-кода в виде штрих-кода на материале карты.

15. Способ по п.14, в котором уплотнение фотографии включает в себя уплотнение посредством сжатия данных, основанных на изображении собственно лица.

16. Способ по п.14, в котором уплотнение включает в себя уплотнение посредством анализа основных компонентов.

17. Способ по п.14, в котором распечатывание штрих-кода включает в себя распечатывание цветного штрих-кода.

18. Способ по п.14, дополнительно содержащий аутентификацию фотографии и текста, включающую в себя

сканирование фотографии;

сканирование текста;

сканирование штрих-кода;

дешифрование штрих-кода открытым ключом организации,

выпускающей карту персональной идентификации;

уплотнение просканированного текста;

выделение уплотненных данных изображения из штрих-кода с использованием уплотненного просканированного текста;

разуплотнение уплотненных данных изображения и

сравнение разуплотненных данных изображения с просканированной фотографией для аутентификации карты персональной идентификации.

19. Способ по п.18, в котором сканирование штрих-кода использует сканирование 48-битовой сенсорной матрицей на приборах с зарядовой связью с разрешением 1000 точек на дюйм.

20. Способ по п.14, дополнительно содержащий создание магнитной полосы вместо печати штрих-кода.

Описание изобретения к патенту

ОБЛАСТЬ ТЕХНИКИ

Данное изобретение относится к технологии, облегчающей проверку подлинности документов идентификации человека.

ПРЕДШЕСТВУЮЩИЙ УРОВЕНЬ ТЕХНИКИ

В данном случае проверка подлинности (аутентификация) документа идентификации (ДИ) человека относится к подтверждению того, что представленный ДИ является подлинным, реальным, законным, правильным и/или настоящим. Это можно также назвать сертификацией ДИ человека. Примеры таких персональных ДИ включают в себя иммиграционные документы, паспорта и водительские права.

Напротив, "верификация лица" относится к подтверждению, что персональная информация в ДИ соответствует лицу, представляющему данный ДИ.

Существует много обычных подходов к проверке подлинности ДИ человека. Самым обычным подходом является изготовление сложного документа. Другие обычные подходы включают в себя использование биометрической информации, интеллектуальных карт и водяных знаков.

Усложнение изготовления документов

Исторически и во многих культурах проверка идентификационной информации лица подтверждается обладанием документами идентификации. Критерием достоверности таких документов была трудность изготовления таких документов. Бумажные деньги, хотя они не являются документом идентификации, представляют простой пример, когда получатель полагается на их подлинность, потому что трудно изготовить удовлетворительную подделку.

Однако недавние усовершенствования в технологии печати сделали высококачественные устройства печати относительно недорогими. Доступность высококачественных принтеров сделала процесс подделки большинства персональных документов идентификации (ДИ) относительно простой задачей. Это также значительно подняло затраты на печать официальных документов выпускающими организациями.

В ответ стороны, выпускающие официальные документы (например, правительства), реализуют значительно более сложные и предположительно более дорогие методы производства. Например, выпускающие организации используют голограммы, водяные знаки, микропечать, бумагу для специальной печати и/или химическое покрытие и т.д. Так как производство ДИ стало более сложным, проверка подлинности стала, соответственно, более сложной, ненадежной и, что наиболее важно, дорогостоящей.

Биометрические подходы

Биометрическая идентификация определяется как процесс автоматического опознавания человека с использованием его отличительных признаков. Были предложены различные биометрические подходы, основанные на опознавание лица, речи, отпечатков пальцев, почерка и/или сетчатки и радужной оболочки. Обзор этих методов обеспечен "Биометрическим консорциумом" по адресу "http://www.biometrics.org".

Как правило, система биометрической идентификации человека включает в себя человека-контролера, который исключает неправильное обращение с идентифицирующей системой. Это может случиться, когда противник показывает фотографию лица в реальном размере авторизованной персоны перед детектором лица или воспроизводит запись голоса перед детектором речи.

Хотя некоторые виды биометрической идентификации человека (например, данные сканирования сетчатки или обнаружения отпечатков пальцев) могут быть очень надежными, часто они бывают пугающими (например, сканирование сетчатки) и могут использоваться злонамеренно для обвинения в преступлении невинных пользователей (например, сканирование отпечатков пальцев). С помощью злонамеренно используемого датчика можно сделать запись отпечатка пальца человека, создать его физическую копию, и затем намеренно обвинить в преступлении этого человека. Это делает системы обнаружения отпечатков пальцев весьма нежелательными для большинства сценариев идентификации человека.

Наконец, некоторые системы, которые используют биометрическую информацию, обычно подвергаются жалобам на вторжение в личную жизнь. Например, широко распространенные пункты регистрации лиц могут раскрывать в любое время местонахождение любого человека организации, которая получает контроль над такой системой.

Однако почти все системы биометрической идентификации человека имеют три главных недостатка:

- недостаточная надежность (особенно для распознавания лица и речи) при увеличении масштаба системы, что обычно делает эти системы весьма склонными к ложным тревогам и ложным положительным срабатываниям;

- средство проверки подлинности должно быть связано с центральным высоконадежным сервером, который фактически выполняет идентификацию; и

- оборудование, выполняющее проверку подлинности, является дорогостоящим.

Для большинства применений биометрические подходы являются неудобными, дорогостоящими и, что наиболее важно, ненадежными.

Интеллектуальные карты

Представляется, что интеллектуальные карты являются эффективным подходом к идентификации человека. Преимущество интеллектуальных карт, которое часто рекламируется, - их полностью цифровая связь со средством проверки подлинности.

Простой сценарий предусматривает интеллектуальную карту, которая содержит цифровую фотографию, персональные данные описания и подписан хэш этой информации, использующий секретный ключ выпускающей организации. Проверка подлинности выполняется путем хеширования данных фотографии и персональных данных описания и затем проверки подлинности этого хэша по отношению к подписи с использованием открытого ключа выпускающей организации. Наконец, средство проверки подлинности должно отображать сертифицированную цифровую фотографию, чтобы человек мог проверить, что на фотографии изображен человек, личность которого идентифицируется.

Персональные ДИ часто теряются или повреждаются. Замена интеллектуальной карты связана с покупкой другого аппаратного устройства в дополнение к программированию этого устройства соответствующим идентифицирующим содержимым. Это может потребовать дополнительных затрат.

Из-за своего относительно большого объема памяти, интеллектуальные карты могут создать впечатление, что они могут использоваться для хранения дополнительной информации, в частности личной информации о владельце (например, секретных ключей, которые отменяются, если интеллектуальная карта потеряна). Однако, было показано, что интеллектуальные карты нельзя считать защищенным запоминающим устройством, потому что относительно просто извлечь скрытую информацию даже без обратного проектирования интеллектуальной карты.

Примеры атак, с помощью которых успешно идентифицировали ключи шифрования (как симметричные, так и секретные ключи), основаны на анализе поведения ввода - вывода интеллектуальных карт посредством дифференциального анализа мощности питания или временного анализа. Таким образом, нельзя ожидать, что интеллектуальная карта сможет хранить что-то большее, чем открытую информацию о пользователе, которая во многих случаях эквивалентна фотографии на ДИ.

Водяные знаки

Другой метод проверки подлинности содержимого состоит в том, чтобы скрывать незаметную секретную информацию, такую как водяной знак, в цифровой фотографии. Серьезным недостатком этого вида подтверждения подлинности ДИ является тот факт, что в большинстве систем с водяными знаками скрытый в фотографии секретный ключ должен присутствовать в средстве проверки подлинности. Следовательно, взлом одного устройства проверки подлинности приводит к взлому всей системы.

Однако неожиданным образом были разработаны системы с водяными знаками на основе открытого ключа, предназначенные для других целевых применений. Кроме того, такая система требует основных сигналов значительно большей длины, чем одна фотография, для статистически надежного обнаружения существования данного секретного ключа. Кроме того, такая система требует, чтобы секретный ключ, используемый для маркировки фотографии, обновлялся после нескольких фотографий.

Наконец, злонамеренный пользователь может всегда попытаться оценить секретный ключ, делая много своих фотографий и сравнивая их с фотографией на ДИ. В сущности, использование водяных знаков для проверки подлинности ДИ с открытым ключом является надежным методом для выполнения проверки подлинности защищенного ДИ.

Решаемая проблема

Все обычные подходы (например, использование усложненых изделий, биометрической информации, интеллектуальных карт и водяных знаков) изобилуют недостатками. Они все имеют один или более из следующих недостатков:

- высокая стоимость реализации, обслуживания и/или масштабирования;

- сложность реализации, обслуживания и/или масштабирования;

- сложность эффективной проверки подлинности человеком, который выполняет такую проверку;

- ненадежные результаты (например, недопустимая степень ложных срабатываний или пропусков); и

- ненадежная защита (например, противнику все проще разрушать или вводить в заблуждение систему).

Решаемая проблема заключается в обеспечении архитектуры для создания защищенных персональных идентифицирующих документов (ДИ), которые отличаются сложностью подделки, простой и экономичностью производства, и которые не требуют применения интеллектуальной карты, биометрических методов или усложнения изделия.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Ниже описан способ, облегчающий проверку подлинности персональных документов идентификации.

Одна из описанных реализаций представляет собой простую, экономичную и криптографически защищенную архитектуру персональных ДИ. При такой реализации можно эффективно создавать и проверять подлинность защищенных персональных документов идентификации (ДИ) с фотографией, что препятствует попыткам фальсификации и подделки. Этот ДИ использует компактный, криптографически подписанный штриховой код, который может считываться обычным сканером.

Данное описание сущности изобретения не ограничивает объем патента. Кроме того, название данного патента не ограничивает объем патента. Настоящее изобретение поясняется в последующем подробном описании и прилагаемой формуле изобретения во взаимосвязи с иллюстрирующими чертежами. Объем настоящего изобретения определяется прилагаемой формулой изобретения.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Одинаковые ссылочные позиции используются во всех чертежах для обозначения одинаковых элементов и признаков.

Фиг. 1 - иллюстрация примерного персонального документа идентификации, который может использоваться в соответствии с описанной реализацией.

Фиг. 2 - обобщенное графическое представление выпускающей организации, которая выпускает персональный документ идентификации в соответствии с описанной реализацией.

Фиг. 3 - обобщенное графическое представление проверки подлинности персонального документа идентификации в соответствии с описанной реализацией.

Фиг. 4 - функциональная структурная схема, поясняющая описанную реализацию.

Фиг. 5 - пример вычислительной среды, в которой может быть реализован (полностью или частично) по меньшей мере один из описанных вариантов осуществления.

ПОДРОБНОЕ ОПИСАНИЕ ПРЕДПОЧТИТЕЛЬНОГО ВАРИАНТА ОСУЩЕСТВЛЕНИЯ

В последующем описании, для целей объяснения, конкретные числа, материалы и конфигурации приведены для обеспечения полного понимания настоящего изобретения. Однако специалисту будет очевидно, что настоящее изобретение может применяться без данных конкретных примерных подробностей. В других случаях, известные особенности опущены или упрощены для ясности описания примерных реализаций настоящего изобретения, чтобы лучше объяснить настоящее изобретение. Кроме того, для простоты понимания, определенные этапы способа описаны как отдельные этапы; однако эти отдельно описанные этапы не должны интерпретироваться как обязательно зависящие от порядка их выполнения.

Последующее описание формулирует одно или большее количество примерных реализаций, криптографически защищенной идентификации личности, воплощающих элементы, приведенные в прилагаемой формуле изобретения. Эти реализации специально описаны для удовлетворения установленного законом требования к письменному описанию, возможности осуществления и раскрытию в описании предпочтительного (лучшего) варианта осуществления изобретения. Однако само описание не ограничивает объем патента.

Изобретатели подразумевают, что приведенные варианты реализации являются только примерами. Изобретатели не подразумевают, что приведенные варианты реализации ограничивают объем заявленного изобретения. Напротив, изобретатели исходят из того, что заявленное изобретение также может быть реализовано и осуществлено другими способами в связи с другими существующими или будущими технологиями.

Пример варианта осуществления криптографически защищенной идентификации личности может упоминаться, как примерная "сертификация лица" или примерная "архитектура FaceCert" для краткости.

Введение

Один или более описанных примеров реализаций заявленного изобретения могут быть воплощены (полностью или частично) с помощью архитектуры FaceCert 400 и/или с помощью вычислительной среды, подобной показанной на фиг. 5.

Приведенная для примера архитектура FaceCert представляет собой простую, экономичную и криптографически защищенную архитектуру персонального ДИ. С помощью архитектуры FaceCert можно эффективно создавать и проверять подлинность защищенных персональные документы идентификации (ДИ) с фотографией, которые препятствуют попыткам фальсификации и подделки.

Этот ДИ использует компактный, криптографически подписанный штриховой код, который может считываться обычным сканером. Это обеспечивает эффективный, простой, экономичный и защищенный механизм проверки подлинности идентификации человека с использованием ДИ, которые отличаются сложностью подделки, но просты и экономичны в изготовлении.

В обычном сценарии система проверки подлинности (т.е. "средство проверки подлинности") ДИ человека должна соединяться с удаленной базой данных и извлекать хранящуюся там фотографию для сравнения с ДИ.

В отличие от обычных подходов, архитектура FaceCert не требует усложненных изделий, интеллектуальных карт, биометрической информации и/или массивных удаленных баз данных. Еще интересней то, что не требуется печатать ДИ с помощью высоконадежного или высококачественного принтера (как обычно имеет место при обычных подходах). Вместо этого ДИ может печататься где угодно, когда угодно и потенциально кем угодно.

С помощью архитектуры FaceCert все необходимые данные для проверки подлинности хранятся защищенным образом непосредственно на ДИ в форме криптографически подписанного штрихового кода. Он не зависит от технологии распознавания лица.

Защищенная идентификация по фотографии, обеспечиваемая с помощью архитектуры FaceCert, будет способствовать усилиям правительства по созданию эффективного, защищенного и экономичного цифрового удостоверения личности, так как она обеспечивает криптографическую защиту, развертывание и обслуживание экономичной, полностью цифровой инфраструктуры, которая удобна в использовании и для пользователей, и выпускающих документы идентификации.

Документы идентификации архитектуры FaceCert

Архитектура FaceCert представляет собой простую, экономичную и криптографически защищенную архитектуру персонального ДИ. Вместо того, чтобы полагаться на сложность процесса печати в целях затруднения подделок, архитектура FaceCert основывается на шифровании открытым ключом для обеспечения защиты при использовании дешевого процесса цветной печати со стандартным качеством.

Как показано на фиг. 1, персональный ДИ 100 архитектуры FaceCert включает в себя "отличающие человека данные" в "считываемом человеком" представлении и в "считываемом компьютером" представлении.

В данном случае обозначение "считываемое человеком" не исключает возможности того, что компьютер может считывать данное представление. Фактически, с помощью архитектуры FaceCert, вычислительное устройство на самом деле "считывает" считываемое человеком представление. По сути данное обозначение подразумевает, что оно легко считывается человеком. Примеры таких представлений включают в себя фотографии, изображения, символы и текст на человеческом языке (например, на английском языке).

Точно так же обозначение "считываемое компьютером" обращает внимание на легкость, в которой компьютер может считывать данное представление, а не на невозможность считывания его человеком.

В общем случае "отличающие человека данные" включают в себя информацию, которая в достаточной степени отличает одного человека от другого. Примеры отличающих человека данных включают в себя (но не ограничены ими) следующую информацию об определенном человеке: одно или более изображений лица человека, данные сканирования сетчатки глаза, данные сканирования радужной оболочки глаза, имя человека, его номер социального обеспечения, его номер счета, его вес, рост, цвет волос, цвет глаз, один или большее количество отпечатков пальцев, информацию о родимых пятнах, информацию о татуировках, индивидуальную присущую данному человеку учетную информацию, одну или большее количество отличительных черт этого человека и его контактную информацию.

При использовании архитектуры FaceCert считываемое человеком представление включает в себя считываемую человеком распечатку портретной фотографии 110 человека и любую дополнительную информацию 120 (обычно, персональную информацию). Считываемое компьютером представление включает в себя считываемый устройством 2-мерный цветной штриховой код 130, который содержит криптографически подписанное сообщение.

Это закодированное в штриховом коде сообщение 130 включает в себя компактные версии дополнительной информации 120 и представления лица (портретной фотографии). Данное сообщение подписывается (например, с использованием RSA (алгоритм Rivest - Shamir - Adelman асимметричного шифрования с открытыми ключами) с использованием секретного ключа стороны, выпускающей ДИ (т.е. издателя).

Выпуск ДИ архитектуры FaceCert

Как показано на фиг. 2, основным примером организации 200, выпускающей ДИ, является правительственный орган. Выпускающая организация 200 официально выпускает ДИ 100.

Как правило, считываемые человеком отличающие человека данные, которые удостоверяют на ДИ архитектуры FaceCert, являются фотографическими и текстовыми. Фотография 110 является портретом владельца ДИ архитектуры FaceCert. Фотография может иметь любое соответствующее разрешение. Так как распечатка на ДИ соответствует определенной фиксированной области, это разрешение может ограничиваться. Разрешение должно быть достаточно большим, чтобы фотография эффективно считывалась людьми и устройством.

Дополнительная информация 120 представляет собой любые соответствующие данные. Вероятно, что она будут меняться в зависимости от конкретного применения. Как показано на фиг. 1, данная информация обычно будет индивидуальной учетной информацией, такой как имя, возраст, вес, рост, цвет глаз, другие персональные данные и т.д. Эти данные печатают на ДИ 100.

Как правило, считываемые компьютером отличающие человека данные, которые удостоверяют на ДИ архитектуры FaceCert, представляют собой двумерный цветной штриховой код (например, штриховой код 130). Альтернативно, это может быть магнитная полоса или некоторый другой соответствующий машиночитаемый носитель.

При использовании архитектуры FaceCert желательно, чтобы устройство считывания штрихового кода считывало штриховой код 130 на ДИ архитектуры FaceCert с относительной точностью. Так как вероятность ошибки считывания увеличивается с увеличением количества битов, закодированных в штриховом коде, при изготовлении ДИ архитектуры FaceCert обычно соблюдается баланс между точностью и памятью данных. Кроме того, этот баланс учитывает требования к размеру и к качеству воспроизведения ДИ.

Эффективное сжатие данных цифрового изображения лица является предпочтительным в некоторых случаях по следующим причинам:

- Для заданного размера штрихового кода, эффективное сжатие данных лица максимизирует точность представления лица с помощью сжатых данных по отношению к лицу в исходном изображении - это уменьшает риск обнаружения двойников или имитации конкретного лица; и

- Для заданной точности представления лица, эффективное сжатие уменьшает длину сообщения, которое должно криптографически подписываться, таким образом уменьшая стоимость вычислений для проверки подлинности криптографической подписи, что ограничивают количество данных, которые могут быть подписаны, если желательно проверять подлинности ДИ за одну или несколько секунд.

Поэтому архитектура FaceCert использует штриховой код объемом приблизительно 3 Кбит, что учитывает соотношение этих факторов. Конечно, другая реализация может использовать штриховой код, который кодирует большее или меньшее количество данных.

Современные сканеры могут надежно считывать приблизительно до шести максимально разделенных цветов. Таким образом, для сообщения из n_s битов, архитектура FaceCert использует n_slog₆2 элементов дискретизации в штриховом коде. Например, для n _s =3072 бита, используют 1189 элементов, что приводит к штриховому коду 120 x 10 элементов.

Желательно, чтобы область печати каждого элемента дискретизации была такой, чтобы при сканировании штрихового кода ошибка была меньше определенного требуемого минимального предельного значения. Реально предположить, что самая большая длина штрихового кода достигает 1 дюйма. Если каждый элемент дискретизации сканируется матрицей на основе приборов с зарядовой связью (ПЗС, CCD) 10x10 (48-битовая матрица датчика ПЗС с разрешением 1000 точек на дюйм является стандартным оборудованием большинства сканеров нижнего ценового диапазона), то данные в штриховом коде могут обнаруживаться с высокой надежностью.

Архитектура FaceCert сжимает данные изображения лица 112 до объема в несколько тысяч битов с сохранением четкости основных черт лица. Т.к. архитектура FaceCert использует методы сжатия, основанные на способе собственных характеристик, и усовершенствованные варианты анализа главных компонент, такая скорость кодирования легко достигается даже при обучении для анализа компонент, выполняемом на малой базе данных изображений.

Потеря ДИ может привести к потенциально злонамеренному многократному использованию ДИ противником, если этот противник - почти совершенный двойник. Чтобы предотвратить этот маловероятный сценарий, ДИ может содержать описательную информацию определенной уникальной отметки владельца ДИ.

Проверка подлинности ДИ

Фиг. 3 показывает пример проверки подлинности ДИ архитектуры FaceCert. Она выполняется с помощью интеллектуального сканирующего устройства (такого, как средство 300 проверки подлинности архитектуры FaceCert). Как показано на фиг. 3, средство 300 проверки подлинности сканирует фотографию, дополнительную информацию и штриховой код ДИ 100.

Средство 300 проверки подлинности получает открытый ключ выпускающей ДИ организации. Ключ может храниться в средстве проверки подлинности или в локальном запоминающем устройстве. Альтернативно, ключ может извлекаться через удаленное (например, Интернет) соединение.

Средство 300 проверки подлинности сканирует штриховой код, декодирует криптографическую подпись и затем выполняет проверку подлинности подписи (например, выполняя дешифрацию декодированных данных с помощью открытого ключа), используя открытый ключ выпускающей организации 200. В результате средство 300 проверки подлинности получает сообщение, подписанное с помощью секретного ключа выпускающей организации.

Это сообщение включает в себя отличающие человека данные. Более конкретно, данное сообщение содержит дополнительную информацию 120 и сжатое представление лица 112 на фотографии 110. Затем средство проверки подлинности сканирует текстовую дополнительную информацию 120 с ДИ 100, выполняет распознавание символов и сравнивает распознанный текст с извлеченной дополнительной информацией.

Затем средство 300 проверки подлинности сканирует фотографию ДИ 100. Оно обнаруживает лицо на фотографии и выполняет статистическое сравнение с лицом, восстановленным из ранее сжатой информации, извлеченной из закодированного с помощью штрихового кода сообщения. С использованием напечатанных на ДИ направляющих 114 можно достичь точного выравнивания при сканировании, например, выполняя вращение и масштабирование.

Если соответствие двух лиц превышает определенное пороговое значение (которое может определяться произвольно, статистически и/или опытным путем), то средство 300 проверки подлинности заключает, что ДИ подлинный. В противном случае принимается решение, что ДИ был подделан или поврежден, или при сканировании ДИ произошла ошибка. На это может указывать обычная цветовая индикация (например, красный или зеленый свет) и/или звуковой тональный сигнал (например, зуммер или гудок).

Поэтому подделка фотографии или дополнительной информации на официально выпущенном ДИ означает, что они не будут соответствовать отличающим человека данным, закодированным в криптографически подписанном штриховом коде.

Проверка с помощью человека

Хотя средство 300 проверки подлинности выполняет проверку подлинности конкретного ДИ архитектуры FaceCert, реально существующий человек проверяет, что лицо на ДИ соответствует человеку, представляющему ДИ. Этого человека в данной работе называют чиновником-контролером 305. Функция человека в связи с архитектурой FaceCert заключается в проверке того, что лицо на ДИ соответствует человеку, представляющему ДИ. Это та же самая функция, которую люди-контролеры часто выполняют в обычных условиях обеспечения безопасности или идентификации человека.

Поэтому в обычных условиях идентификации человека функция архитектуры FaceCert состоит в проверке подлинности ДИ. Это выполняется путем подтверждения того, что информация на ДИ (включая фотографию) не была изменена после того, как ДИ был выпущен выпускающей организацией. Вместо проверки подлинности ДИ, функцией чиновника-контролера 305 является проверка того, что лицо на ДИ (и другие отличающие человека данные на ДИ) соответствует человеку, представляющему ДИ.

При положительным подтверждении с помощью архитектуры FaceCert, человек-контролер 305 может уверенно полагаться на отличающие человека данные (включая фотографию) на представленном ДИ. Наоборот, при отрицательном подтверждении с помощью архитектуры FaceCert, человек-контролер 305 может иметь вероятную причину подозревать, что информация на представленном ДИ была изменена.

Хотя этот процесс проверки подлинности и проверки (верификации) обычно выполняется лично, он может происходить интерактивно через вэб-камеру, кабельное телевидение и т.п.

С помощью архитектуры FaceCert, человек-контролер 305, при желании, может отображать лицо, восстановленное из штрихового кода, на видеоэкране и дважды проверять, что все в порядке. Этот сценарий особенно удобен при пересечении границы, когда представители иммиграционных властей уже находятся перед компьютером, и их сканирующее устройство может посылать всю информацию компьютеру для отображения.

Предшествующий уровень техники шифрования

Архитектура FaceCert использует инфраструктуру с открытым ключом (PKI) для того, чтобы криптографически подписывать данные в штриховом коде ДИ. Более конкретно, она использует алгоритм шифрования с открытым ключом RSA. Однако другие реализации архитектуры FaceCert могут использовать другой криптографически защищенный механизм, особенно те, которые используют структуры с секретным-открытым ключом.

Хотя инфраструктура шифрования с открытым ключом RSA известна специалистам, многие из ее ключевых аспектов описаны ниже для обеспечения предпосылок для последующего описания его использования в связи с архитектурой FaceCert.

Предполагается, что в системе создания подписи с открытым ключом RSA каждый участник связи имеет два ключа: открытый ключ, который доступен каждому и используется для проверки подлинности подписи, и секретный ключ, который надежно хранится создающей подписи организацией и который используется для подписания сообщений. Пара открытого ключа и секретного ключа создается следующим образом:

- Генерируют два больших и отличающихся друг от друга простых числа p и q.

- Вычисляют n = pq и = (p-1)(q-1).

- Выбирают случайное значение е Z* | <e < , gcd (e, ) = 1.

- Находят d Z* | <d< , ed 1 (mod ).

Созданная пара ключей включает в себя: секретный ключ d, и открытый ключ в виде набора из двух чисел (n, e). Обычно, в коммуникационных протоколах, которые используют криптографическую систему с открытым ключом RSA (например, протокол безопасных соединений - SSL) e является фиксированным значением, обычно e = 2¹⁶ +1, следовательно, уменьшая количество информации, которая представляет открытый ключ, до значения n, а также увеличивая скорость проверки подлинности подписи. Сообщение m [0, n-1] обычно подписывается с использованием секретного ключа d следующим образом:

s = md (mod n).

(0.1)

Процедура проверки подлинности показывает, что для данного сообщения m, подпись s была получена подписыванием сообщения m с использованием ключа d. Однако секретный ключ d не используется, вместо него соответствующий открытый ключ n обычно используется для выполнения той же самой задачи следующим образом:

r = se (mod n).

(0.2)

Если r = m, то s является действительной подписью для m, в противном случае подпись s не соответствует сообщению m.

Архитектура FaceCert не зависит от единственного секретного ключа, хранящегося в единственном защищенном месте. Вместо этого она использует методы защищенного хранения для задающей секретной информации (например, секретных ключей).

Например, в одном из методов, множество пар открытых и секретных ключей используется для создания цепочки подписей (например, выходной результат одной RSA-процедуры подписи посылается в качестве входных данных другой RSA-процедуры подписи с отличающимся секретным ключом). Каждый секретный ключ может храниться в географически различных, но защищенных местоположениях.

В другом примере метода защищенного хранения, части каждого секретного ключа хранятся в k различных местоположениях так, что каждый ключ может быть извлечен, только если n из k (n k) объединят свою информацию для создания ключа. Специалистам известен этот метод как "разделение секретного ключа". Согласно этому методику, выпускающая организация дополнительно рассредоточивает части "головоломки", которую противник должен собрать, чтобы взломать систему.

В других примерных методах секретные ключи могут храниться в устойчивых к взлому аппаратных средствах.

Конечно, архитектура FaceCert может использовать другие подходящие методы защищенного хранения.

Архитектура и методология FaceCert

Фиг. 4 показывает функциональные компоненты и одно или более методологических реализаций архитектуры FaceCert 400. Верхняя часть 410 фиг. 4 показывает выпуск ДИ 100 архитектуры FaceCert, в то время нижняя часть 420 показывает проверку подлинности этого ДИ. Эти одна или более методологических реализаций могут выполняться в программном обеспечении, в аппаратных средствах или в их комбинации.

Как показано в части 410 выпуска на фиг. 4, организация, выпускающая ДИ архитектуры FaceCert 200 создает сообщение m, которое подписывается посредством RSA.

В блоке 210, архитектура FaceCert сжимает информацию лица на фотографии 110 из ДИ 100. Эти сжатые данные лица (например, сообщение f) является сжатым, но относительно полным представлением конкретного лица на конкретной фотографии 110.

Результатом сжатия данных лица является сообщение f, причем n _F > n_T битов. Параметр n _F является фиксированным и он равен n_F = k * n_RSA, k Z*, где n_RSA - длина открытого ключа алгоритма RSA (принимается, что n_RSA = 1024), и k обычно устанавливается на значение k [2,5].

При заданном фиксированном значении n _F, одной из задач сжатия данных лица является увеличение меры различия между любыми двумя отдельными структурами лица. Выполнение этой задачи приводит непосредственно к минимизации вероятности ложного отрицательного определения и ложного положительного определения при проверке подлинности.

В блоке 220 дополнительная информация 120 (например, текстовые данные) сжимается с использованием любого подходящего метода сжатия данных. Например, напечатанное сообщение может быть сжато как простой текст с использованием алгоритма сжатия LZ77, или семантически с помощью оптимального кодирования (например, адреса, преобразованные в широту/долготу, кодируются с использованием арифметического кодирования). Выходной результат операции сжатия текста обозначается как сообщение t из n_T битов.

Архитектура FaceCert считывает данные из ДИ архитектуры FaceCert предположительно без ошибок. Затем она сжимает данные или криптографически хеширует их перед объединением в комбинированное сообщение, как в уравнении (1.3). Так как выходной результат всегда имеет фиксированную длину, хеширование иногда более желательно по сравнению со сжатием. Примерными хеш-функциями являются SHA1 и MD5.

Сообщения f и t объединяются в сообщение m с длиной n_M = n_F, с использованием оператора 230, в соответствии с которым каждый бит m зависит по меньшей мере от одного бита из f и t, и существует по меньшей мере один бит в m, который зависит от заданного бита в f или t. Это помогает увеличивать количество битов, которыми нужно манипулировать в фотографии для создания определенного сообщения m. Примером такого оператора является следующий:

где m_i, f _i и t_i представляют i-тый бит сообщений m, f и t соответственно.

В блоке 240, сообщение m подписывается с помощью секретного ключа 242 организации, выпускающей ДИ архитектуры FaceCert. Каждые n_RSA битов сообщения m подписываются отдельно. Результирующая подпись s имеет n _S = n_M = n_F битов. Результирующая подпись s печатается как двухцветный штриховой код 130 на ДИ 100 архитектуры FaceCert.

Как показано в части 420 проверки подлинности на фиг. 4, средство 300 проверки подлинности архитектуры FaceCert проверяет, что криптографически подписанные данные в штриховом коде соответствуют дополнительным данным 120 и лицу 112 на фотографии 110 на ДИ архитектуры FaceCert.

Средство 300 проверки подлинности сначала сканирует все три напечатанных компонента ДИ: фотографию 110, дополнительную текстовую информацию 120 и штриховой код 130. Это представлено сканированием 310 фотографии, сканированием 320 текста OCR и сканированием 330 штрихового кода.

В блоке 322 сканированная дополнительная текстовая информация также преобразуется в текстовую строку. Эта текстовая строка сжимается с использованием того же самого метода сжатия (например, на основе уравнения (0.2)), что и использованный выше компонентом 220. Это приводит к созданию сообщения t _v. Обычное оптическое распознавание символов (OCR) не требуется для этой задачи, потому что шрифт, используемый для печати текста, известен средству проверки подлинности и может оптимизироваться для улучшения OCR.

В блоке 332 средство 300 проверки подлинности принимает сканированные данные штрихового кода. Оно преобразует сканированный штриховой код в подпись s_v проверки подлинности. Средство проверки подлинности получает открытый ключ 334 выпускающей организации. Оно выполняет проверку подлинности RSA подписи s_v с использованием открытого ключа выпускающей организации, и получает подписанное сообщение m_v.

Если ДИ не был подделан, то подпись s_v проверки подлинности и первоначально напечатанная подпись s будут совпадать. Однако средство проверки подлинности не имеет прямого доступа к проверяемой копии первоначально напечатанной подписи. Вместо этого оно должно подтвердить, что подпись s_v проверки подлинности представленного ДИ на самом деле является первоначально напечатанной подписью s.

Так как фотография и дополнительная информация на представленном ДИ предположительно использовались для генерации подписи s _v проверки подлинности, то данные, закодированные в s, должны соответствовать лицу и дополнительным данным, извлеченным из нее. Если ДИ остался в первоначальном и неизмененном состоянии, то они будут соответствовать. В противном случае, они не будут соответствовать.

В блоке 340 сообщение f _v вычисляется из m_v и t _v.

В блоке 350 средство 300 проверки подлинности применяет метод восстановления ранее сжатой информации для извлечения цифровых данных особенностей лица из f_v .

В блоке 360 средство проверки подлинности сравнивает данные особенностей лица, извлеченные из f_v , с цифровыми данными особенностей лица сканированной фотографии представленного ДИ. Оно определяет количественное значение уровня подобия (например, корреляцию) между двумя лицами: восстановленным из ранее сжатой информации и сканированным.

В блоке 370 средство 300 проверки подлинности сообщает результаты обработки компонента 360. Если определенное количественное значение уровня корреляции выше порогового значения, то оно сообщает, что ДИ подлинный. В противном случае оно сообщает, что он недействительный.

Альтернативно, средство проверки подлинности может сообщать, что ДИ действителен, но обеспечивать дополнительную индикацию (например, мигающий синий свет и чистый звуковой сигнал), что этот конкретный человек должен быть задержан. Он может разыскиваться властями как человек, вызывающий интерес, подозреваемый, беглец, преступник и т.д.

И вновь, задача проверки подлинности лица не связана с распознаванием лица при типичном использовании биометрической информации, а скорее решает более прямую задачу определения корреляции двух эквивалентных элементов лица.

Если средство 300 проверки подлинности указывает, что ДИ является подлинным, то чиновник-контролер 305 уверенно выполняет свои типичные обязанности проверки, что считываемые человеком данные (которые включают в себя фотографию) на ДИ соответствуют человеку, представляющему ДИ. Если средство 300 проверки подлинности указывает, что ДИ является недействительным, то это является для чиновника-контролера 305 основанием для дополнительного расследования. Данные на ДИ могут быть подделаны и, следовательно, предъявитель выдает себя за другое лицо. Данные на ДИ могут быть искажены или просто неправильно считаны.

Компендиум лица (краткий перечень данных о лице)

Цифровое представление особенностей лица 112 на фотографии 110 на ДИ 100 хранится в штриховом коде 130. Если баланс между точностью считывания штрихового кода и имеющимся пространством допускает, то все несжатые данные фотографии могут кодироваться в штриховом коде. Когда ключевая отличающая информация найдена на изображении лица человека, то упомянутый баланс факторов может предоставить возможность, чтобы несжатые данные той части фотографии, которая представляет лицо, кодировались в штриховом коде.

Если реальные условия таковы, что количество данных в штриховом коде меньше того количества, которое может полностью представлять лицо на фотографии в несжатом виде, то цифровое изображение 110 лица сжимается с использованием архитектуры FaceCert. Хотя изображение лица может сжиматься с использованием традиционных методов сжатия изображения (например, формата объединенной группы экспертов в области фотографии (JPEG), формата обмена графическими изображениями (GIF) и т.д.), могут использоваться другие методы для дополнительного уменьшения требований к памяти при сохранении четкости представления лица.

В архитектуре FaceCert цифровые данные особенностей лица в штриховом коде должны быть сжатым, но приемлемо полным, представлением лица на конкретной фотографии. В отличие от биометрических подходов распознавания лица, цифровые данные особенностей лица не должны представлять лицо человека, наблюдаемое под множеством углов зрения и при множестве условий.

Вместо этого цифровые данные особенностей лица на ДИ архитектуры FaceCert должны только представлять конкретное лицо на конкретной фотографии. Это обусловлено тем, что архитектура FaceCert подтверждает, что лицо на фотографии на ДИ соответствует лицу, представленному с помощью цифровых данных особенностей лица в штриховом коде.

Так как цифровые данные особенностей лица действительно являются сжатым, но приемлемо полным представлением лица на конкретной фотографии, его можно определить понятием "компендиум лица". Компендиум лица является "приемлемо полным" в том смысле, что компендиум содержит достаточные данные для восстановления изображения лица. Кроме того, компендиум является в достаточной степени "приемлемо полным", потому что достаточное количество данных особенностей лица закодированы в нем, чтобы потенциально отличать представленное лицо от других подобных лиц.

Хотя в других реализациях могут использоваться штриховые коды, которые кодируют большее или меньшее количество данных, одна из описанных реализаций использует штриховой код приблизительно из 3000 битов. Это является приемлемым компромиссом многих факторов, которые включают в себя (но не ограничены ими), точность считывания штрихового кода и пространство для нанесения штрихового кода.

Для улучшения этого компромисса, архитектура FaceCert использует метод сжатия, который идентифицирует объект, представляющий интерес (например, определенную черту лица) и сжимает информацию, относящуюся к его признакам вместо сжатия всего изображения, используя стандартные методы сжатия изображения, такие как JPEG.

Обнаружение лица и сжатие данных лица

Специалисты в области компьютерного зрения за последние несколько лет изучили различные модели лиц. Архитектура FaceCert должна кодировать изображение лица для облегчения распознавания человека не на отличающихся изображениях, а на той же самой фотографии, из которой был извлечен код лица. Таким образом для архитектуры FaceCert не существует трудной проблемы дополнительной тренировки, которая характерна для обычного применения биометрического распознавания лица.

Вместо этого архитектура FaceCert использует эффективный метод сжатия информации особенностей лица. Хотя могут использоваться общие коэффициенты DCT, изображения лица могут сжиматься более эффективно с использованием моделей подпространства, полученных их большой базы данных лица.

Проблема обучения на подпространстве может быть изящно определена в терминах модели генерации, которая описывает совместную генерацию координат подпространства, или факторов, y и изображения g с помощью линейного объединения компонент изображения в так называемой матрице загрузки факторов :

где Ф является неоднородным шумом изображения (т.е. изменчивостью, не зафиксированной в модели подпространства). является матрицей n x k, используемой для расширения от k-мерного подпространства в полное n-мерное подпространство, где n - количество пикселей в изображении g.

Параметры , Ф и могут быть получены путем максимизации вероятности набора изображений g_t,

и приемлемое с малым количеством измерений представление изображения стремится к E [y | g].

Приведенная выше вероятностная модель, называемая факторным анализом (ФА), также обеспечивает разработку оптимальной стратегии кодирования для факторов у. В результате изображение лица может эффективно кодироваться с помощью приблизительно 85 байтов, представляющих 100 факторов у лица.

Модель подпространства может быть расширена, принимая во внимание возможное преобразование изображения лица, такое как сдвиг, вращение и масштабирование. В этой модели, которую называют анализом преобразованных компонентов (TCA), дополнительная случайная переменная преобразования T применяется к изображению, расширенному относительно y, и наблюдается новое изображение h:

Такая модель при тренировке на наборе изображений имеет тенденцию к автоматическому выравниванию всех изображений для создания очень компактного представления подпространства. Модели регулярного подпространства в присутствии преобразовательной изменчивости в тренировочных данных будут стремиться к созданию расплывчатых моделей, в то время как TCA создает более четкие компоненты.

Проверка подлинности в архитектуре FaceCert

Задача проверки подлинности, выполняемая с помощью архитектуры FaceCert, может рассматриваться как сравнение с шаблонами. В качестве оценки может использоваться вероятность по окнам на изображении вместо отличий от шаблона, хотя мог бы работать и прямой метод корреляции.

Например, для использования вероятности в качестве меры подобия, можно было бы взять сообщение f, извлечь размер окна и пороговое значение обнаружения thr, а так же параметры у подпространства с помощью вычисления:

для всех окон соответствующего размера. Если max_h log p(h) > thr, то фотография ДИ действительно содержит лицо, закодированное в штриховом коде.

Если единственными смоделированными преобразованиями являются сдвиги, то интегрирование по преобразованию T не является необходимым, так как поиск выполняется по всем окнам на изображении. Этот процесс эквивалентен сравнению + у с окном h, в смысле расстояния Махаланобиса, зависящего от тренировочной шумовой модели. Эти типы вычислений столь же эффективны, как корреляция изображения, и могут выполняться очень эффективно с использованием быстрого преобразования Фурье (FFT).

При создании ДИ с фотографией, на предусмотренной фотографии выполняется поиск лица, изображение которого обрезается и сжимается, эффективно используя средство анализа преобразованных компонент. Код лица, вместе с ошибкой сжатия и размером окна (или даже расположением), подписывается с помощью секретного ключа.

ДИ архитектуры FaceCert затем создается как комбинация текста, фотографии и штрихового кода, содержащего закодированное изображение лица. Во время проверки подлинности, штриховой код декодируется, и код лица, состоящий из факторов у, порогового значения вероятности (или ошибка кодирования) и размера окна, декодируется из штрихового кода с использованием открытого ключа, и изображение лица, хранящееся в штриховом коде, сравнивается с лицом на реальной фотографии на ДИ архитектуры FaceCert.

Сканирование двухцветных штриховых кодов

Конечно, желательно иметь высокую точность при считывании двухцветного штрихового кода. Современные дешевые устройства сканирования обычно имеют точность 48 битов на пиксель в цветовом пространстве RGB. Однако вряд ли информация о цвете цифрового изображения извлекается точно после печати и затем сканирования.

Предполагая использование дешевых устройств и материалов печати, можно в лучшем случае надеяться на то, что только несколько цветов будут передаваться надежно по этому коммуникационному каналу. В предположении штрихового кода из n_B элементов, вероятность того, что он будет неправильно просканирован, равняется:

где - сканированный штриховой код из n_B элементов, и - максимальная вероятность неправильного сканирования для данного цвета, используемого в штриховом коде. По меньшей мере, одна описанная реализация использует 6-цветные штриховые коды:

RGB: Г = [0, 0, 0], [0, 0, 255], [0, 255, 0], [255, 0, 0], [255, 255, 255], [255, 255, 0]

в качестве надежного коммуникационного канала <10^-8, который может удовлетворять вероятности ошибки считывания по меньшей мере Pr [ ] < 10^-4.

Обычно для заданного типа сканера (например, сканера с матрицей на основе ПЗС), один из следующих цветов [255, 255, 0], [255, 0, 255], [0, 255, 255] имеет самую высокую частоту ошибок считывания относительно других цветов в Г. Таким образом, для данного типа устройства сканирования с ПЗС, спектр Г - один из этих цветов, который приводит к хорошей частоте ошибок считывания.

Точность считывания штрихового кода может быть улучшена посредством обнаружения ошибок (например, с использованием проверки на четность) и кодов с исправлением ошибок (например, кодов Рида-Соломона), хотя обычно хорошие показатели достигаются путем печатания Г цветов в известном расположении на ДИ, чтобы обеспечить возможность точной настройки сканера.

Примерная вычислительная система и среда

На фиг. 5 показан пример соответствующей вычислительной среды 500, в которой может быть реализована (полностью или частично) описанная архитектура FaceCert. Вычислительная среда 500 может использоваться в описанных в данной работе компьютерной и сетевой архитектурах.

Вычислительная среда 500 является только одним из примеров вычислительной среды и не предполагает каких-либо ограничений относительно возможностей использования или функциональных возможностей компьютерной и сетевой архитектур. Также вычислительная среда 500 не должна интерпретироваться, как имеющая какую-либо зависимость или требования, относящиеся к какому-нибудь одному или комбинации компонентов, показанных в примерной вычислительной среде 500.

Архитектура FaceCert может быть реализована с помощью множества других универсальных или специальных вычислительных систем, сред или конфигураций. Примеры известных вычислительных систем, сред и/или конфигураций, которые могут использоваться, включают в себя, без ограничения указанным, персональные компьютеры, компьютеры-серверы, «тонкие» клиенты (малофункциональные маломощные сетевые клиенты-терминалы), «толстые клиенты» (рабочие места на основе ПК), карманные или портативные компьютеры, многопроцессорные системы, системы на основе микропроцессора, компьютерные приставки к телевизору, программируемую бытовую электронику, сетевые ПК, мини-компьютеры, компьютеры-мэйнфреймы (универсальные электронно-вычислительные машины), распределенные вычислительные среды, которые включают в себя любую из перечисленных выше систем или устройств, и т.п.

Архитектура FaceCert может описываться в общем контексте выполняемых компьютером команд, таких как модули программ, выполняемые компьютером. В общем случае модули программ включают в себя подпрограммы, программы, задачи, компоненты, структуры данных и т.д., которые выполняют конкретные задачи или реализуют определенные абстрактные типы данных. Архитектура FaceCert может также применяться в распределенных вычислительных средах, в которых задачи выполняются удаленными устройствами обработки, которые связаны через коммуникационную сеть. В распределенной вычислительной среде модули программ могут располагаться в местных и в удаленных компьютерных носителях данных, которые включают в себя запоминающие устройства.

Вычислительная среда 500 включает в себя универсальное вычислительное устройство в форме компьютера 502. Компоненты компьютера 502 могут включать в себя один или большее количество процессоров или блоков обработки данных 504, системную память 506 и системную шину 508, которая связывает различные системные компоненты, включающие в себя процессор 504, с системной памятью 506, но его состав не ограничен ими.

Системная шина 508 представляет одну или более шинных структур любого типа, которые включают в себя шину памяти или контроллер памяти, периферийную шину, ускоренный графический порт и процессорную или локальную шину, использующих любую из разнообразных шинных архитектур. Например, такая архитектура может включать в себя шину архитектуры, соответствующей промышленному стандарту (ISA), шину микроканальной архитектуры (MCA), шину расширенной стандартной архитектуры для промышленного применения (EISA), локальную шину Ассоциации по стандартам в области видеоэлектроники (VESA) и шину соединения периферийных устройств (PCI), также известную, как шина расширения.

Компьютер 502 обычно включает в себя разнообразные считываемые компьютером носители. Такие носители могут быть любыми доступными носителями, к которым может обращаться компьютер 502, и включающими в себя энергозависимые и энергонезависимые носители, съемные и несъемные носители.

Системная память 506 включает в себя считываемые компьютером носители в форме энергозависимой памяти, например, оперативную память (ОП) 510, и/или энергонезависимой памяти, например, постоянное запоминающее устройство (ПЗУ) 512. Базовая система ввода-вывода (BIOS) 514, которая содержит основные подпрограммы, которые помогают перемещать информацию между элементами в пределах компьютера 502, например, во время запуска, хранится в ПЗУ 512. ОП 510 обычно содержит данные и/или модули программ, которые мгновенно доступны и/или в данный момент обрабатываются процессором 504.

Компьютер 502 может также включать в себя другие съемные/ несъемные, энергозависимые/энергонезависимые компьютерные носители данных. Например, на фиг. 5 показан накопитель 516 на жестком диске, предназначенный для считывания информации с несъемного энергонезависимого магнитного носителя (не показан) и для записи информации на него, накопитель 518 на магнитном диске, предназначенный для считывания информации и для записи информации на съемный энергонезависимый магнитный диск 520 (например, "гибкий диск"), и оптический дисковод 522, предназначенный для считывания информации и/или для записи информации на съемный энергонезависимый оптический диск 524, такой как CD-ROM, DVD-ROM или другие оптические носители. Каждый из накопителя 516 на жестком диске, накопителя 518 на магнитном диске и оптического дисковода 522 связан с системной шиной 508 через один или более интерфейсов 526 носителей данных. Альтернативно, накопитель 516 на жестком диске, накопитель 518 на магнитном диске и оптический дисковод 522 могут быть связаны с системной шиной 508 с помощью одного или более интерфейсов (не показан).

Устройства и связанные с ними считываемые компьютером носители обеспечивают энергонезависимое хранение считываемых компьютером команд, структур данных, модулей программ и других данных для компьютера 502. Хотя в качестве примера показаны накопитель 516 на жестком диске, сменный магнитный диск 520 и сменный оптический диск 524, ясно, что при реализации примерной вычислительной системы и среды могут также использоваться другие типы считываемых компьютером носителей для хранения данных, к которым обращается компьютер, такие как магнитные кассеты или другие магнитные запоминающие устройства, платы флэш-памяти, компакт-диски (CD-ROM), цифровые универсальные диски (DVD) или другие оптические запоминающие устройства, оперативная память (ОП), постоянное запоминающее устройство (ПЗУ), электрически стираемое программируемое постоянное запоминающее устройство (ЭСППЗУ) и т.п.

Любое количество модулей программ может храниться на жестком диске 516, магнитном диске 520, оптическом диске 524, в ПЗУ 512 и/или в ОП 510, которые включают в себя, например, операционную систему 526, одну или большее количество прикладных программ 528, другие модули 530 программ и данные 532 программ.

Пользователь может вводить команды и информацию в компьютер 502 через устройства ввода данных, такие как клавиатура 534 и координатно-указательное устройство 536 (например, "мышь"). Другие устройства 538 ввода данных (не показаны конкретно) могут включать в себя микрофон, джойстик, игровую панель, спутниковую антенну, последовательный порт, сканер и/или подобные им устройства. Эти и другие устройства ввода данных связаны с процессором 504 через интерфейс 540 ввода - вывода, который связан с системной шиной 508, но могут быть связаны с другим интерфейсом и шинными структурами, такими как параллельный порт, игровой порт или универсальная последовательная шина (USB).

Монитор 542 или другой тип устройства отображения может также быть связан с системной шиной 508 через интерфейс, такой как видеоадаптер 544. В дополнение к монитору 542, другие периферийные устройства вывода могут включать в себя такие компоненты, как динамики (не показаны) и принтер 546, который может быть связан с компьютером 502 через интерфейс ввода - вывода 540.

Компьютер 502 может работать в сетевом окружении с использованием логических соединений с одним или более удаленных компьютеров, таких как удаленное вычислительное устройство 548. Например, удаленное вычислительное устройство 548 может быть персональным компьютером, портативным компьютером, сервером, маршрутизатором, сетевым компьютером, равноправным сетевым устройством или другим обычным сетевым узлом и т.п. Удаленное вычислительное устройство 548 показано как портативный компьютер, который может включать в себя многие или все элементы и особенности, описанные относительно компьютера 502.

Логические соединения между компьютером 502 и удаленным компьютером 548 показаны как локальная сеть (ЛС) 550 и обобщенная глобальная сеть (ГС) 552. Такие сетевые среды обычно применяются в офисах, компьютерных сетях в масштабах предприятия, в корпоративных сетях (интранет) и Интернет.

При работе в среде с ЛС, компьютер 502 связан с локальной сетью 550 через сетевой интерфейс или адаптер 554. При работе в среде с ГС, компьютер 502 обычно включает в себя модем 556 или другое средство для установления связи по глобальной сети 552. Модем 556, который может быть внутренним или внешним для компьютера 502, может быть связан с системной шиной 508 через интерфейс ввода - вывода 540 или другие соответствующие механизмы. Ясно, что показанные сетевые соединения приведены для примера и могут использоваться другие средства установления связи между компьютерами 502 и 548.

В сетевом окружении, таком как показано с помощью вычислительной среды 500, модули программ, показанные относительно компьютера 502 или его частей, могут храниться в удаленном запоминающем устройстве. Например, удаленные прикладные программы 558 находятся в запоминающем устройстве удаленного компьютера 548. В целях иллюстрации прикладные программы и другие компоненты исполняемых программ, такие как операционная система, показаны как отдельные блоки, хотя ясно, что такие программы и компоненты находятся в различное время в различных компонентах хранения вычислительного устройства 502, и выполняются с помощью процессора(ов) обработки данных компьютера.

Выполняемые компьютером команды

Реализация примерной архитектуры FaceCert может быть описана в общем контексте выполняемых компьютером команд, таких как модули программ, выполняемые одним или большим количеством компьютеров или другими устройствами. В общем случае, модули программ включают в себя подпрограммы, программы, задачи, компоненты, структуры данных и т.д., которые выполняют конкретные задачи или реализуют определенные абстрактные типы данных. Как правило, функциональные возможности модулей программ могут объединяться или распределяться по желанию в различных вариантах осуществления.

Примерная рабочая среда

Фиг. 5 показывает пример соответствующей среды 500, в которой может быть реализована архитектура FaceCert. Более конкретно, описанная архитектура FaceCert может быть реализована (полностью или частично) с помощью любых модулей программ 528-530 и/или с помощью операционной системы 526 на фиг. 5 или с помощью части описанного выше.

Данная рабочая среда является только примером соответствующей среды, и она не предполагает каких-либо ограничений относительно возможностей или использования функциональных возможностей архитектуры FaceCert, описанной в данной работе. Другие известные вычислительные системы, среды, и/или конфигурации, применяемые для использования, включают в себя, без ограничения указанным, персональные компьютеры (ПК), компьютеры-серверы, карманные или портативные компьютеры, многопроцессорные системы, системы на основе микропроцессора, программируемую бытовую электронику, беспроводные телефоны и оборудование, устройства общего и специального назначения, специализированные интегральные схемы (СпИС), сетевые ПК, мини-компьютеры, компьютеры-мэйнфреймы (универсальные ЭВМ), распределенные вычислительные среды, которые включают в себя любую из указанных выше систем или устройств, и т.п.

Считываемый компьютером носитель

Реализация архитектуры FaceCert может храниться в считываемой компьютером среде некоторого вида или передаваться через нее. Считываемая компьютером среда может быть любым доступным носителем, к которому может обращаться компьютер. Для примера, а не в качестве ограничения, считываемая компьютером среда может содержать "компьютерные носители данных" и "средства связи".

"Компьютерные носители данных" включают в себя энергозависимые и энергонезависимые, съемные и несъемные носители, реализованные с помощью любого способа или технологии для хранения такой информации, как считываемые компьютером команды, структуры данных, модули программ или другие данные. Компьютерные носители данных включают в себя ОП, ПЗУ, ЭСППЗУ, флэш-память или память другой технологии, компакт диски (CD-ROM), цифровые универсальные диски (DVD) или другие оптические запоминающие устройства, магнитные кассеты, магнитную ленту, запоминающее устройство на магнитном диске или другие магнитные запоминающие устройства, или любой другой носитель, который может использоваться для хранения необходимой информации и к которому может обращаться компьютер, но не ограничены ими.

"Средства связи" обычно реализуют считываемые компьютером команды, структуры данных, модули программ или другие данные в модулированном сигнале данных, таком как несущая, или используют другой механизм транспортировки. Средства связи также включают в себя любые средства доставки информации.

Термин "модулированный сигнал данных" означает сигнал, который имеет одну или более характеристик, которые устанавливаются или изменяются таким образом, чтобы кодировать информацию в сигнале. Для примера, а не в качестве ограничения, средства связи включают в себя проводные каналы связи, такие как проводные сети или прямое проводное соединение, и беспроводные каналы связи, такие как акустические, радиочастотные (РЧ), инфракрасные и другие беспроводные каналы связи. Машино-читаемые носители должны также включать в себя комбинации любых из указанных выше носителей.

Сравнение с существующими подходами

Архитектура FaceCert не требует использования интеллектуальных карт или дорогих биометрических подходов для подтверждения личности человека. Она не основывается на усложнении создания ДИ для содействия в подтверждении личности человека с помощью уменьшения вероятности использования подделок.

Усложнение изготовления документов

При легкодоступном и относительно недорогом высококачественном сложном промышленном оборудовании недобросовестный нарушитель может легко и с низкими затратами создать весьма правдоподобные поддельные документы, включая ДИ личности. В ответ выпускающие организации (например, правительственные) реализуют значительно более сложные и по всей вероятности более дорогие методы производства.

Например, выпускающие организации используют голограммы, водяные знаки, микропечать, специальную бумагу для печати и/или химическое покрытие и т.д. Так как производство ДИ стало более сложным, проверка подлинности стала, соответственно, более сложной, ненадежной и, что наиболее важно, дорогостоящей.

С помощью архитектуры FaceCert выпускающие организации могут закончить этот возрастающий цикл все более дорогостоящих и усложненных методов производства и все более сложных, ненадежных и дорогостоящих методов проверки подлинности. В отличие от обычных подходов, архитектура FaceCert основывается не на сложность изготовления ДИ для увеличения уровня доверия, что представленный ДИ не является подделкой.

Не требуется, чтобы ДИ архитектуры FaceCert печатался с помощью высоконадежного или высококачественного принтера. Не требуется, чтобы он создавался с использованием сложных методов изготовления для того, чтобы сделать изготовление поддельных ДИ более трудным и дорогостоящим для недобросовестных нарушителей.

Вместо этого ДИ архитектуры FaceCert может печататься где угодно, когда угодно и потенциально кем угодно с использованием стандартных, недорогих принтеров. Это объясняется тем, что архитектура FaceCert основывается на криптографически подписанных данных в штриховом коде, а не на усложнении производства, чтобы сделать более трудным и дорогостоящим изготовление поддельных ДИ для противника.

С помощью архитектуры FaceCert отдел транспортных средств может, например, посылать по электронной почте ДИ - водительские права (в цифровом формате) клиенту, который может печатать их на своем собственном принтере, создавая столько копий, сколько захочет. В отличие от обычных подходов, потеря ДИ архитектуры FaceCert приведет к минимальным издержкам клиента.

Биометрические подходы

С помощью биометрического подхода компьютер может автоматически распознавать человека, используя отличительные черты этого человека. Предложены несколько биометрических подходов к идентификации человека. Некоторые из них включают в себя способы, основанные на автоматическом распознавании отличительных черт лица человека, речи, отпечатков пальцев, почерка и/или радужной оболочки и сетчатки.

Хотя некоторые виды биометрической идентификации человека (такие как сканирование сетчатки или обнаружение отпечатков пальцев) могут быть надежными, часто они вызывают опасение (например, сканирование сетчатки) и могут использоваться злонамеренно для обвинения в преступлении невинных пользователей (например, сканирование отпечатков пальцев). С помощью злонамеренно используемого датчика можно сделать запись отпечатка пальца человека, создать его физическую копию, и затем, при желании, обвинить в преступлении этого человека. Это делает системы обнаружения отпечатков пальцев весьма нежелательными для большинства сценариев идентификации человека.

Как правило, в биометрической системе идентификации человека участвует человек-контролер, который гарантирует, что идентифицирующую систему не вводят в заблуждение. Это может случиться, когда противник показывает фотографию лица проверяемого человека в реальном размере перед детектором лица или воспроизводит запись голоса перед детектором речи.

Наконец, некоторые биометрические системы обычно вызывают жалобы на вторжение в личную жизнь. Например, широко распространенные пункты регистрации лиц могут раскрывать в любое время местонахождение любого человека организации, которая получает контроль над такой системой.

Для большинства применений биометрические подходы рассматриваются как неудобные, дорогостоящие и, что наиболее важно, ненадежные.

Интеллектуальные карты

С помощью системы, основанной на интеллектуальной карте, хранящееся в цифровой форме, изображение лица человека должно отображаться так, чтобы человек-контролер мог подтвердить, что лицо на изображении, хранящемся на карте, соответствует лицу предъявителя интеллектуальной карты. Типичным дисплеем является жидкокристаллический (ЖК) или другой дисплей с плоским экраном.

Однако в архитектуре FaceCert нет необходимости отображать какое-либо изображение. Вместо этого в ней используется оптический сканер (например, на основе приборов с зарядовой связью (ПЗС)) для сканирования фотографии, дополнительной информации и штрихового кода. Человек-контролер подтверждает, что лицо на печатном изображении соответствует лицу предъявителя ДИ архитектуры FaceCert.

Дисплеи (например, ЖК) среднего качества значительно дороже сканеров ПЗС (до 5 раз). По одной оценке, выпускаемый серийно сканер для средства проверки подлинности архитектуры FaceCert не должен стоить больше 15 долларов США, в противоположность средству проверки подлинности интеллектуальной карты, затраты на которое должны составлять по меньшей мере 50 долларов США только для жидкокристаллического дисплея. Следовательно, стоимость инфраструктуры проверки подлинности архитектуры FaceCert значительно меньше, чем стоимость инфраструктуры проверки подлинности для подхода, основанного на интеллектуальной карте.

Кроме того, персональные ДИ часто теряются или повреждаются. Замена ДИ архитектуры FaceCert предусматривает только простое перепечатывание. В то же время, замена интеллектуальной карты предусматривает покупку другого аппаратного устройства в дополнение к программированию этого устройства соответствующим идентифицирующим содержимым.

Кроме того, данные, хранящиеся на интеллектуальных картах, не защищены. Данные из интеллектуальной карты могут быть извлечены с использованием различных методов. Что еще более важно, они могут быть заменены новыми данными. Это уменьшает общий уровень уверенности в защищенности интеллектуальных карт.

Из-за своего относительно большого объема памяти, интеллектуальные карты могут производить впечатление, что они могут использоваться для хранения дополнительной информации, в частности личной информации о владельце (например, секретных ключей, которые отменяются, если интеллектуальная карта потеряна).

Заключение

Хотя данное изобретение описано на языке, специфическом для структурных признаков и/или этапов способа, следует иметь в виду, что данное изобретение, описанное в прилагаемой формуле изобретения, не должно ограничиваться конкретными описанными признаками или этапами. Напротив, эти конкретные признаки и этапы раскрыты как предпочтительные варианты реализации заявленного изобретения.