委派生物特征认证的制作方法

委派生物特征认证
相关申请交叉引用本技术是pct申请，其要求2019年10月1日提交的第16/589,609号美国非临时申请的优先权，出于所有目的将所述美国非临时申请以全文引用的方式并入本文中。


背景技术：
“生物特征”可以指可以用于标识或认证个体的身体测量。包括数字摄像头的传感器技术的改进已使得生物特征能够更容易地用于认证过程。例如，可以使用面部识别来锁定或解锁某些品牌的智能手机。最近的趋势表明，与更传统的认证信息(例如，密码、个人标识码(pin)等)相反，生物特征在未来可能会更常用于认证。虽然欺诈者可能记忆和盗窃密码，但通常更难获取或伪造例如虹膜、视网膜、面部或指纹扫描之类的生物特征信息。在一些情况下，生物特征认证可以为用户提供更多便利。例如，在传统系统中，用户可通过主动地将密码输入到终端来认证，而在生物特征认证系统中，用户可被动地注视摄像头。这样做无需费力，对用户而言可能更快、更方便。与此相关，处理和网络技术的改进已带来例如物联网(iot)装置之类的智能连接装置的激增。这些装置以多种不同方式为用户提供了更高的便利性。例如，智能电视可以允许用户方便地购买按次付费内容，并且智能恒温器可以允许用户在远离家时控制其房屋的温度。iot装置以及其它公共装置在例如酒店、图书馆、飞机、出租车或共享汽车后部之类的公共空间越来越普遍。这些公共装置可以由用户在这些公共空间停留期间使用，例如在度假期间、出行到图书馆时、乘车到机场时等。许多这些公共装置允许用户执行交互，例如图书馆登记借书或从酒店智能电视购买按次付费内容。这些交互可以涉及认证，即特定的基于生物特征的认证。然而，存在与在并非由对应于生物特征的用户拥有的装置上使用例如那些生物特征的敏感认证信息相关联的固有安全风险。例如，用户的智能手机将通常由用户拥有，并且仅能由用户访问，而酒店的智能电视可以由数百或数千个用户访问，包括潜在黑客或欺诈者。实施例单独地以及共同地解决了这些和其它问题。


技术实现要素：

实施例涉及委派生物特征认证系统和相关方法。实施例允许用户在不损害用户安全和隐私的情况下使用公共装置进行生物特征认证。在这样做时，在不牺牲用户便利性的情况下保护敏感生物特征信息(例如，生物特征模板)和交互令牌(例如，支付令牌，包括有限使用或有限时间令牌)。一些实施例包括与委派生物特征系统相关联的装置，包括与用户相关联的通信装置(例如，智能手机、笔记本电脑等)、公共装置(例如，与公共空间相关联的公共iot装置，例如，酒店智能电视、用于在图书馆登记借书的终端等)、认证服务器计算机和令牌服务器计
算机。在一些实施例中，认证服务器计算机可用于验证用户的通信装置在设置阶段期间连接(例如，使用nfc)到注册的公共iot装置。随后，认证服务器可以控制所述过程(例如，请求iot装置上的清理过程)。在一些实施例中，令牌服务器计算机可以发出访问数据，例如交互令牌(例如支付令牌)和/或主秘密密钥。通过使用委派认证系统，用户可以将生物特征认证委派给公共装置，使得用户可以使用公共装置以便使用生物特征(例如，面部扫描、虹膜扫描、视网膜扫描、指纹扫描、语音记录、手写签名等)来认证自己。这可以允许用户安全地且方便地执行需要某种形式的认证的交互(例如，购买、借用图书馆书籍、访问电子邮件或银行账户等)。实施例可以利用模糊提取器方案，例如模糊仓库方案。这些模糊仓库方案可用于安全地存储呈数据仓库形式的敏感信息(例如交互令牌)。可以使用其它信息或数据(例如，生物特征模板)来锁定敏感数据，所述其它信息或数据可被视为密钥。用户可以通过向公共装置提供生物特征模板形式的密钥(例如，通过使用附接到公共装置的数字摄像头执行面部扫描)来解锁数据仓库。因为使用与用户相关联的生物特征模板激将交互令牌锁定在数据仓库中，所以其它用户不能访问和滥用交互令牌(例如，通过使用交互令牌进行未授权购买)。此外，由于数据仓库不以明文形式存储生物特征模板或交互令牌，所以黑客或其它恶意用户不能访问公共装置的存储器而窃取生物特征模板或交互令牌。因此，委派认证系统为使用公共装置的用户提供更大的安全性和便利性。一个实施例涉及一种方法，其包括：由公共装置从用户接收与资源提供商进行交互的请求；由所述公共装置从所述用户收集对应于所述用户的第一生物特征模板；由所述公共装置使用所述第一生物特征模板解锁数据仓库，其中所述数据仓库包括使用对应于所述用户的第二生物特征模板锁定的访问数据；由所述公共装置将所述访问数据发送到所述资源提供商；以及由所述公共装置与所述资源提供商进行所述交互。另一实施例涉及一种公共装置，其包括：处理器；以及耦合到所述处理器的非瞬态计算机可读介质，所述非瞬态计算机可读介质包括可由所述处理器执行以实施上述方法的代码。另一实施例涉及一种方法，其包括：由与用户相关联的通信装置从认证服务器计算机或令牌服务器计算机接收访问数据；由所述通信装置通过使用对应于所述用户的生物特征模板锁定所述访问数据来生成模糊仓库；以及由所述通信装置将所述数据仓库发送到公共装置。另一实施例涉及一种方法，其包括：由认证服务器计算机从公共装置接收验证请求消息，所述验证请求消息包括与用户相关联的通信装置的标识符；由所述认证服务器计算机向所述通信装置发送委派确认消息；由所述认证服务器计算机从所述通信装置接收委派确认响应；由所述认证服务器计算机向令牌服务器计算机发送对访问数据的请求；由所述认证服务器计算机从所述令牌服务器计算机接收访问数据；以及由所述认证服务器计算机向所述通信装置发送所述访问数据，其中所述通信装置使用与所述用户相关联的生物特征模板将所述访问数据锁定在数据仓库中。术语在论述本发明的具体实施例之前，可详细描述一些术语。“服务器计算机”可包括功能强大的计算机或计算机集群。例如，服务器计算机可
以是大型主机、小型计算机集群，或者像单元一样工作的一组服务器。在一个示例中，服务器计算机可以是耦合到web服务器的数据库服务器。服务器计算机可以包括一个或多个计算设备，并且可以使用多种计算结构、布置和编译中的任一种来服务于来自一个或多个客户端计算机的请求。“存储器”可包括可存储电子数据的合适的一个或多个装置。合适的存储器可以包括非瞬态计算机可读介质，其存储可以由处理器执行以实现期望方法的指令。存储器的示例可以包括一个或多个存储器芯片、磁盘驱动器，等等。此类存储器可使用任何合适的电气、光学和/或磁性操作模式来操作。“处理器”可以包括任何合适的一个或多个数据计算装置。处理器可以包括一起工作以实现所要功能的一个或多个微处理器。处理器可以包括cpu，所述cpu包括至少一个高速数据处理器，所述高速数据处理器足以执行用于执行用户和/或系统生成的请求的程序组件。所述cpu可以是微处理器，例如amd的速龙(athlon)、钻龙(duron)和/或皓龙(opteron)；ibm和/或摩托罗拉(motorola)的powerpc；ibm和索尼(sony)的cell处理器；英特尔(intel)的赛扬(celeron)、安腾(itanium)、奔腾(pentium)、至强(xeon)和/或xscale；和/或类似处理器。“通信装置”可包括可以提供通信能力的任何电子装置，包括通过移动电话(无线)网络、无线数据网络(例如，3g、4g或类似网络)、wi-fi、wi-max或可提供对网络例如互联网或专用网络的访问的任何其它通信介质。通信装置的示例包括移动电话(例如，蜂窝电话)、pda、平板电脑、上网本、笔记本电脑、个人音乐播放器、手持式专用阅读器、可穿戴装置(例如手表)、车辆(例如，汽车)等。通信装置可包括用于执行此类功能的任何合适的硬件和软件，并且还可包括多个装置或组件(例如，当装置通过系固到另一装置(即，使用另一装置作为中继器)而远程访问网络时，合在一起的两个装置可以被视为单个通信装置)。通信装置可以存储和捕获生物特征模板，例如，使用摄像头来捕获面部扫描或使用触摸屏来捕获指纹。移动装置可以将生物特征模板存储在安全存储器元件上。通信装置可以是用户的“专用装置”。用户的专用装置可能仅由单个用户使用。“生物特征模板”可以是从生物特征实例中提取的独特特征的数字参考。模板在生物特征认证过程期间使用。“模糊提取器”可以是允许使用由用户的生物特征数据构成的生物特征模板作为密钥进行用户认证的生物特征工具。模糊仓库或模糊仓库方案可以是模糊提取器的示例。“模糊仓库”或“模糊仓库方案”可以是基于模糊集合匹配提供安全认证的方法。模糊仓库可以是这样的一种加密方案：其利用纠错码的一些概念对信息进行编码，编码方式使得即使用于编码的方法是众所周知的，但如果没有用于编码的“密钥”，也很难获取信息。编码信息可以呈数据仓库的形式。以下文档中描述了模糊仓库：a.juels和m.sudan的“模糊仓库方案(afuzzy vault scheme)”，ieee信息理论国际研讨会论文集(proc.ieee int.l.symp.inf.theory)，a.lapidoth和e.teletar编辑，第408页，2002年；k.nandakumar等人的“基于指纹的模糊仓库：实施和性能(fingerprint-based fuzzy vault:implementation and performance)”，ieee信息取证与安全汇刊(ieee transactions on information forensics and security)(2007年12月)；以及u.uludag等人的“模糊指纹仓库(fuzzy fingerprint vault)”，研讨会论文集：生物特征：从理论到实践的挑战
(proc.workshop:biometrics:challenges arising from theory to practice)，第13-16页，2004年。“数据仓库”可以是数据的安全编码。数据仓库中的数据可能以某种形式进行保护，使得只能用正确的密钥获得数据。数据仓库可以是加密的数据，并且在一些实施例中，数据仓库可以使用模糊仓库方案形成。“公共装置”可以是未被指定供单个用户使用而是通常供许多用户使用的装置。因此，可以提供给公共装置的数据安全性可以小于特定地与某一用户相关联的装置。“用户”可以包括个人。在一些实施例中，用户可以与一个或多个个人账户和/或移动装置相关联。用户还可以称为持卡人、账户持有人或消费者。“生物特征实例”可包括与生物学观察相关的信息。生物特征实例可包括对应于生物特征样本的生物特征数据。“生物特征模板”可以从生物特征实例中导出。可经由“生物特征接口”、用于捕获生物特征实例的硬件来捕获生物特征实例。例如，可经由包括红外光源和摄像头的例如虹膜扫描仪的生物特征接口来捕获生物特征实例。生物特征实例的示例包括虹膜扫描的数字表示(例如，表示虹膜的二进制代码)、指纹、语音记录、面部扫描，等等。“资源提供商”可以包括可以提供例如商品、服务、信息和/或访问的资源的实体。资源提供商的示例包括商家、政府实体、提供安全位置访问的实体、数据访问提供商等。“商家”可以是参与交易并且可以出售商品或服务或提供对商品或服务的取用的实体。“收单方”可以包括与特定商家或其它实体有业务关系的业务实体(例如，商业银行)。一些实体可以执行发行方功能和收单方功能两者。一些实施例可涵盖此类单实体发行方-收单方。收单方可以操作收单方计算机，该所述收单方计算机一般也可以被称为“传输计算机”。“授权实体”可以包括授权请求的任何实体。授权实体的实例可包括发行方、政府机构、文档存储库、访问管理员，等等。“发行方”通常可以指维护用户账户的商业实体(例如银行)。发行方还可以向消费者发行存储在移动装置例如蜂窝电话、智能手推车卡、平板电脑或笔记本电脑上的支付凭证。授权实体可操作授权计算机。“认证数据”可包括适合于证明某事真实有效的任何数据。认证数据可以从用户或由用户操作的装置获得。从用户获得的认证数据的实例可包括pin(个人标识号)、密码等。可以从移动装置获得的认证数据的示例可以包括装置序列号、硬件安全元件标识符、装置指纹、电话号码、imei编号、存储在移动装置上的生物特征模板等。“支付装置”可包括可用于进行例如向商家提供支付凭证的金融交易的任何合适的装置。支付装置可以是软件对象、硬件对象或物理对象。作为物理对象的示例，支付装置可以包括基板(例如纸卡或塑料卡)，以及在对象的表面处或附近印刷、压花、编码或以其它方式包括的信息。硬件对象可涉及电路系统(例如，永久电压值)，而软件对象可涉及存储在装置上的非永久性数据。支付装置可以与例如货币价值、折扣或商店信用的值相关联，并且支付装置可以与例如银行、商家、支付处理网络或个人的实体相关联。支付装置可用于进行支付交易。合适的支付装置可以是手持式的并且是紧凑的，使得能够将它们放到用户的钱包和/或口袋中(例如，可为口袋大小的)。示例性支付装置可包括智能卡、磁条卡、密钥链装置(例如可从exxon-mobil公司商购获得的speed-pass
tm
)等。移动装置的其它示例包括寻呼机、支付卡、安全卡、访问卡、智能媒介、应答器等。如果支付装置呈借记卡、信用卡或智能卡
的形式，那么支付装置还可任选地具有例如磁条的特征。此类装置可以接触式或非接触式模式操作。在一些实施例中，移动装置可以用作支付装置(例如，移动装置可以存储并且能够发送用于交易的支付凭证)。“访问数据”可以包括可用于访问资源的任何合适的数据。访问数据可以呈任何合适的形式。访问数据的示例可以包括凭证(例如，令牌，例如交互令牌)、可用于对交互令牌进行解密的主秘密密钥等。在实施例中，主秘密密钥的使用可能是合乎需要的。这样做的好处是，主密钥可以采用预定义的固定格式(例如，256位密钥)，而交互令牌可以是通用的；因此使得框架可展开/可扩展。“凭证”可以包括充当价值、拥有权、身份或权力的可靠证据的任何合适的信息。“访问凭证”可以是可用于获得对特定资源(例如，商品、服务、位置等)的访问的凭证。凭证可以是一串数字、字母或任何其它合适的字符，或者可以充当确认的任何对象或文档。凭证的示例包括身份证、认证文档、访问卡、密码和其它登录信息、支付账号、访问徽章编号、支付令牌、访问令牌等。“支付凭证”可包括与账户相关联的任何合适的信息(例如，支付账户和/或与该所述账户相关联的支付装置)。此类信息可以与账户直接相关，或者可源自与账户相关的信息。账户信息的示例可包括pan(主账号或“账号”)、用户姓名、有效日期、cvv(卡验证值)、dcvv(动态卡验证值)、cvv2(卡验证值2)等。支付凭证可以是标识支付账户或与支付账户相关联的任何信息。可以提供支付凭证以便从支付账户进行支付。支付凭证还可以包括用户名、有效日期、礼品卡号或代码以及任何合适的信息。“交互令牌”可以包括可用于交互的真实凭证的任何替代值。令牌可以是一种凭证，并且可以是一串数字、字母或任何其它合适的字符。令牌的示例包括支付令牌、个人标识令牌等。“支付令牌”可以包括支付账户的标识符，所述标识符是账户标识符的替代，例如主要账户号码(pan)。例如，令牌可以包括可以用作原始账户标识符的替代的一连串字母数字字符。例如，令牌4900 0000 0000 0001可用于代替pan 4147 0900 0000 1234。在一些实施例中，令牌可以是“保留格式的”，并且可具有与现有交易处理网络中使用的账户标识符相符的数字格式(例如，iso 8583金融交易消息格式)。在一些实施例中，令牌可以代替pan用来发起、授权、处理或解决支付交易，或者在通常将提供原始凭证的其它系统中表示原始凭证。在一些实施例中，可生成令牌值，使得可以不通过计算方式从令牌值导出原始pan或其它账户标识符的恢复。另外，在一些实施例中，令牌格式可配置成允许接收令牌的实体将其标识为令牌，并辨识发行令牌的实体。“授权请求消息”可以包括被发送以请求授权交易的电子消息。在一些实施例中，“授权请求消息”可以是被发送给支付处理网络和/或支付卡的发行方来请求授权交易的电子消息。根据一些实施例的授权请求消息可以符合iso 8583，一种用于交换与由消费者使用支付装置或支付账户进行的支付相关联的电子交易信息的系统的标准。授权请求消息可以包括可与支付装置或支付账户相关联的发行方账户标识符。授权请求消息还可以包括对应于“标识信息”的额外数据元素，仅作为实例包括：服务代码、cvv(卡验证值)、dcvv(动态卡验证值)、到期日期等。授权请求消息还可以包括“交易信息”，例如与当前交易相关联的任何信息，例如，交易金额、商家标识符、商家位置等，以及可以用于确定是否标识和/或授
权交易的任何其它信息。“授权响应消息”可以包括对授权请求消息的电子消息回复。它可以由发行金融机构或支付处理网络生成。仅作为实例，授权响应消息可包括以下状态指示符中的一个或多个状态指示符：批准—交易被批准；拒绝—交易未被批准；或呼叫中心—挂起更多信息的响应，商家必须呼叫免费授权电话号码。授权响应消息还可以包括授权代码，该所述授权代码可以是信用卡发行银行响应于电子消息中的授权请求消息(直接地或通过支付处理网络)，返回给商家访问装置(例如，pos设备)的指示交易被批准的代码。所述代码可充当授权的证据。“装置代码”或“装置标识符”可以包括特定地与装置(例如，仅一个装置)相关联的任何代码。可从任何装置特定信息中导出装置代码，这些信息包括但不限于以下项中的一个或多个：安全元件标识符(se id)、imei编号、电话号码、地理位置、装置序列号、装置指纹等。可使用包括散列和/或加密的任何适当的数学运算来从此类信息中导出此类代码。装置代码可包括任何合适数量和/或类型的字符。
附图说明
图1示出根据一些实施例的委派生物特征认证系统的系统框图。图2示出根据一些实施例的委派生物特征认证的泳道图。图3a示出根据一些实施例的模糊仓库撤销方法的流程图。图3b示出根据一些实施例的模糊仓库替换方案方法的流程图。图4示出根据一些实施例的数据仓库生成方法的混合图。图5示出根据一些实施例的解锁使用模糊仓库方案形成的数据仓库的方法的混合图。图6示出根据一些实施例的用于说明第一示例性交互的系统框图。图7示出根据一些实施例的用于说明第二示例性交互的系统框图。图8示出根据一些实施例的示例性通信装置的系统框图。图9示出根据一些实施例的示例性公共装置的系统框图。图10示出根据一些实施例的由认证服务器计算机执行的示例性方法。
具体实施方式
实施例涉及使用户能够经由公共装置与资源提供商进行交互的方法和系统。公共装置可以包括各种用户使用或位于公共空间中的计算机或物联网(iot)装置。酒店房间中的智能电视、图书馆中的计算机以及公寓大楼的安全终端都是公共装置的示例。实施例可用于进行各种不同类型的交互。例如，实施例可用于在用户与资源提供商之间进行交易交互。例如，酒店房间的顾客可以使用公共智能电视购买广播公司资源提供商提供的按次付费拳击比赛。实施例还可用于在用户与资源提供商之间进行非交易交互。例如，图书馆的用户可以使用公共图书馆计算机作为登记借书交互的一部分，以便从图书馆借出一本书籍。这些交互可以涉及使用交互令牌，即用户可以使用的凭证，以便授权交互。这些交互可能首先需要用户认证。认证有几个好处，包括欺诈预防。可使用例如虹
膜扫描、面部扫描等生物特征进行认证。生物特征可以比常规认证信息(例如，用户名、密码、对安全问题的回答等)更安全，并且对用户来说更方便，因为可以被动地(例如，由拍摄用户面部照片的装置)而不是主动地(例如，用户经由键盘将密码输入到计算机系统中)收集生物特征。实施例还包括用于执行生物特征认证委派过程的方法，所述过程使得公共装置能够用于生物特征认证。传统上，公共装置可能太不安全，无法执行生物特征认证，因为用户和资源提供商不相信公共装置或公共装置的恶意用户不会盗窃或滥用敏感数据(例如交互令牌和生物特征模板)。然而，实施例提供执行委派生物特征认证的方法，其涉及使公共装置能够用于生物特征认证的额外安全和隐私措施。这些额外的安全和隐私措施包括使用使用模糊仓库方案形成的数据仓库。使用模糊仓库方案形成的数据仓库可以使用对应于用户的生物特征模板锁定交互令牌或用于对交互令牌进行加密的主秘密密钥。数据仓库可以被发送到公共装置，并且公共装置可以使用数据仓库来执行委派生物特征认证。公共装置可以从用户捕获生物特征实例样本，并且可以接着从生物特征实例确定生物特征模板。然后，公共装置可以使用生物特征模板来解锁数据仓库。如果成功解锁数据仓库，则对用户进行生物特征认证，并且可以将交互令牌(或其它访问数据)发送到资源提供商以便授权交互。此外，数据仓库不会被公共装置的黑客或恶意用户破坏。因此，包括生物特征模板和交互令牌的用户信息是安全的，并且用户和资源提供商可以信任公共装置在交互期间执行委派生物特征认证。图1示出根据一些实施例的示例性委派生物特征认证系统100。系统100可包括用户102、公共装置104、通信装置106、资源提供商108、交互网络110、生物特征服务器计算机112以及令牌服务器计算机114。系统100的实体可经由一个或多个通信网络彼此可操作地通信。另外，系统100的实体可以经由例如直接连接、蓝牙、近场通信(nfc)等其它合适的方式彼此通信。通信网络可采用任何合适的形式，所述形式可以包括以下项中的任何一种和/或组合：直接互连、互联网、局域网(lan)、城域网(man)、作为互联网节点的运行任务(omni)、安全定制连接、广域网(wan)、无线网络(例如，采用例如但不限于无线应用协议(wap)的协议、i-模式等)，等等。实体与计算机之间的消息可使用安全通信协议进行发送，所述安全通信协议例如但不限于文件传输协议(ftp)；超文本传输协议(http)；安全超文本传输协议(https)；安全套接字层(ssl)、iso(例如，iso 8583)，等等。通常，委派生物特征认证系统100使用户102能够使用公共装置104与一个或多个资源提供商108进行交互。这些交互可包括交易。例如，资源提供商108可包括具有体育比赛(例如，拳击比赛)的广播权的广播公司，并且公共装置104可包括智能电视。用户102可以使用公共装置104以按次付费方式购买运动比赛，从而允许用户102观看公共装置104上的运动比赛。作为另一实例，资源提供商108可包括向用户102出借书籍的图书馆。公共装置104可以是允许用户102在交互中从资源提供商108登记借书的终端。作为交互的第三示例，资源提供商108可包括控制对例如公寓大楼的安全建筑物的访问的建筑物安防组。用户102可以使用公共装置104(例如，安全终端)以便获得对公寓大楼的访问。此外，为了使用公共装置104进行这些交互，公共装置104可以使用生物特征认证用户102，即，使用对应于用户102的一个或多个生物特征(例如，虹膜扫描、视网膜扫描、面
部扫描、指纹等)验证用户102的身份。这通过使恶意用户或欺诈者更难以冒充用户102来为用户102提供额外安全性。另外，生物特征认证可以为用户102提供改进的便利，因为他们可能能够在没有通常与那些交互相关联的装置的情况下进行交互，例如，在不使用信用卡的情况下进行交易或在没有图书馆卡的情况下借用图书馆书籍。委派生物特征认证可以涉及使用模糊仓库方案来产生数据仓库。数据仓库可以指使用一些其它信息或数据锁定的一些信息或数据。例如，使用生物特征模板锁定的交互令牌(用于进行交互的令牌化数据)。为了访问锁定在数据仓库中的数据(例如，交互令牌)，必须首先例如使用与用于形成数据仓库的生物特征模板相对应的生物特征模板来解锁数据仓库。包含对应于用户102并且使用对应于用户102的生物特征锁定的交互令牌的数据仓库可以由通信装置106提供给公共装置104。为了使用交互令牌执行与资源提供商108的交互，首先使用对应于用户102的生物特征模板解锁数据仓库。因此，解锁数据仓库是生物特征认证的形式，因为如果没有与用户102相关联的有效生物特征模板，则无法解锁数据仓库。此外，如果没有生物特征模板，则无法确定锁定在数据仓库中的交互令牌(或主密钥)或用于锁定交互令牌的生物特征模板。因此，即使存储在超出用户102控制范围的公共装置104上，此敏感信息也是安全的。公共装置104可包括物联网(iot)或能够经由例如互联网的网络与其它装置通信的其它智能装置。公共装置104可以另外使用其它手段与装置通信。例如，公共装置104可以经由蓝牙或nfc与通信装置106通信。公共装置104可以存在于例如酒店房间、图书馆、餐厅、银行、杂货店等公共或共享空间中。公共装置的示例包括智能电视、自助结账终端、用于图书馆登记借书的终端、atm、视频游戏控制台、笔记本电脑、平板电脑、台式计算机等。公共装置104可以在其操作期间由各种用户使用。例如，第一用户可以使用酒店房间中的智能电视，然后，后续用户可以在第一用户从房间中结账之后使用所述智能电视等。公共装置104可以存储对应于各种用户的数据仓库。此外，公共装置104可包括一个或多个生物特征接口，所述一个或多个生物特征接口用于从用户收集生物特征实例。生物特征实例可以形成为生物特征实例，然后形成为生物特征模板，所述生物特征模板可以用于解锁对应的数据仓库。面参考图8更详细地描述公共装置104。用户102可以拥有和/或操作通信装置106。通信装置106可以是与用户102相关联的个人装置。例如，通信装置106可以是用户102拥有的智能手机、笔记本电脑、平板电脑、桌面等。通信装置106可包括处理器、存储器以及用于执行各种功能的代码或指令，包括收集生物特征实例、从生物特征实例生成的生物特征实例形成生物特征模板、生成数据仓库，以及将生物特征认证委派给公共装置104。用户102可以使用通信装置106来执行额外功能，例如拨打和接收呼叫、发送文本消息、浏览互联网、流媒体视频等。下文参考图9更详细地描述通信装置106。资源提供商108可以包括作为交互的一部分向用户提供资源的一个或多个资源提供商。例如，这些资源提供商可能包括企业、政府和非盈利组织。资源提供商的示例包括向客户提供商品或服务的商家、向借书人借出书籍的图书馆、允许进入建筑物的建筑物管理器、允许访问广播内容的广播公司等。资源提供商108可以与交互网络110通信或者是所述交互网络的一部分。交互网络
110可包括链接或连接在一起以便于交互的实体。例如，支付处理网络可以是用于处理支付交互的交互网络。下文参考图6和7更详细地描述交互网络和交互的示例。在一些实施例中，交互网络110可另外包括图1中所示的一个或多个计算机或实体，包括资源提供商108、认证服务器计算机112、令牌服务器计算机114等。认证服务器计算机112可包括可验证用户102和通信装置106的服务器计算机。它还可以验证生物特征委派。认证服务器计算机112可以存储或以其它方式管理在生物特征认证系统中登记的用户或通信装置的列表或注册表。用户102在过去的某个时刻可能已经在生物特征认证系统中登记了通信装置106。在一些实施例中，向认证服务器计算机112登记可以是使用系统100执行委派生物特征认证的先决条件。认证服务器计算机112可以使用用户列表或注册表，以便验证用户102是合法的(例如，并非被欺诈者冒充)。认证服务器计算机112可以与令牌服务器计算机114通信，以便将交互令牌(或其它访问数据)提供给通信装置106。这些交互令牌(或其它访问数据)随后可被通信装置106锁定在数据仓库中。令牌服务器计算机114可以包括与令牌化服务相关联的服务器计算机。令牌服务器计算机114可以生成、管理和分发可用于与资源提供商108进行交互的交互令牌。交互令牌可以包括例如数字或字母数字序列，例如“40001234 5678 9000”。交互令牌可能受制于令牌服务器计算机114分配和/或执行的任何数目的限制。例如，令牌服务器计算机114可以生成有限使用的令牌，其对于有限数目的交互(例如，三个交互)可为有效的。另外，令牌服务器计算机114可以生成有限时间的令牌，其仅在特定时间段内(例如，在生成一周内)可为有效的。此外，令牌服务器计算机114可以生成有限数额的令牌，其在假设不超过一定数额的事物时可为有效的(例如，对于交易，有限数额的令牌可以对应于金额，例如$100.00。假设在一个或多个交易过程中花费少于$100.00时，有限数额的令牌可为有效的)。在一些实施例中，由令牌服务器计算机114生成的交互令牌可以替代其它凭证，例如支付凭证，例如pan。令牌服务器计算机114可以维护将交互令牌与其替代的凭证相关的安全数据库。在其它实施例中，令牌服务器计算机114可以是提供访问数据的计算机，其可以提供包括主秘密密钥的其它类型的访问数据。图2示出根据一些实施例的委派生物特征认证方法的序列图。通常，所述方法涉及通信装置204使用有关用户的第二生物特征模板的模糊仓库技术来生成发送到公共装置206的数据仓库。稍后，当用户202希望使用公共装置206执行交互(例如，交易)时，用户202可以在公共装置206上利用其第一生物特征模板来解锁数据仓库。注意，本技术中提及“第一”、“第二”、“第三”等不需要暗示任何特定顺序或优先级，而是可以指定相同类型物品的不同实例。在步骤s214，用户202可以向通信装置204提供生物特征实例。例如，用户202可以使用通信装置204上的摄像头以便收集面部扫描、虹膜扫描或视网膜扫描。替代地，用户202可以使用通信装置204上的麦克风以便捕获语音记录，或使用通信装置204上的触摸屏以便捕获手写样本。通信装置204可以生成生物特征实例，然后生成生物特征模板，并且接着可以将生物特征模板安全地存储在安全存储器元件上。在步骤s216，公共装置206可以从通信装置204接收委派请求消息。委派请求消息可以指示用户202希望将生物特征认证委派给公共装置206。委派请求消息可以由通信装置204通过任何适当手段生成。例如，通信装置204可以存储并执行使用户202能够发起委派请
求消息的生成和发送的应用程序(例如智能手机应用程序)。委派请求消息可以包括数据或信息，例如使得公共装置206能够唯一地标识与委派请求消息相关联的通信装置204或用户的通信装置标识符或用户标识符。通信装置204可以经由任何适当手段，例如经由例如局域网或互联网的网络将委派请求消息发送到公共装置206。在一些实施例中，用户202可以经由近场通信，即通过将通信装置204与公共装置206上的近场通信元件拉近，将通信装置204连接到公共装置206。替代地，通信装置204可以经由蓝牙、zigbee、wi-fi或任何其它适当的网络或通信手段连接到公共装置206。在步骤s218，公共装置206可以向认证服务器计算机208发送验证请求消息。验证请求消息可以向认证服务器计算机208指示通信装置204正尝试将生物特征认证委派给公共装置206。验证请求消息可以进一步指示公共装置206想要验证通信装置204和委派请求。验证请求消息可以包括通信装置标识符和/或用于标识通信装置204的用户标识符。认证服务器计算机208可以维护在生物特征认证程序中注册或登记的用户或通信装置(包括用户202和通信装置204)的注册表。用户202可能先前已在此程序中登记了通信装置204。认证服务器计算机208可以使用通信装置标识符、用户标识符或验证请求消息中包含的其它适当标识符来验证通信装置204被登记或注册。在步骤s220，通信装置204可以从认证服务器计算机接收委派确认消息。委派确认消息可以指示认证服务器计算机208可能希望通信装置204或用户202确认生物特征认证应被委派给公共装置206。可以使用通信装置标识符，例如蜂窝电话号码，将委派确认消息路由或发送到通信装置204。委派确认消息可以任何适当形式发送，例如作为文本消息、电子邮件或经由存储在通信装置204上的应用程序(例如，智能手机应用程序)接收的推送通知。委派确认消息可以显示在通信装置204上，使得用户202可以读取并响应它。委派确认消息可包括例如公共装置206的名称或标识符的信息，以及提示，例如文本提示。例如，委派确认消息可包括例如“您是否要将生物特征认证委派给酒店智能电视？”的消息以及例如确认按钮或拒绝按钮的用户界面元素。在步骤s222，用户202可以将对委派确认消息的响应提供到通信装置204。例如，用户202可以选择指示用户202确认生物特征认证应委派给公共装置206的按钮，或者选择指示生物特征认证不应委派给公共装置206的不同的按钮。作为对委派确认消息提供响应的一部分，用户202可以提供额外形式的认证或验证，例如密码、原生生物特征认证或对安全问题的回复(例如，“您母亲的婚前姓是什么？”)。在步骤s224，通信装置204可以将委派确认响应发送到认证服务器计算机208。委派确认响应可以指示用户202是否确认生物特征认证委派。在步骤s226，认证服务器计算机208可以向令牌服务器计算机210发送对交互令牌的请求。通信装置204可以使用交互令牌以便执行交互。例如，通信装置204可以使用交互令牌以便与资源提供商(例如，商家)执行交易。交互令牌可以用作另一个支付凭证的替代。例如，交互令牌可以用作支付凭证的替代，例如pan(例如，信用卡号)。如果交互令牌用作支付凭证的替代，则交互令牌可以某种方式与其替代的凭证相关联。例如，令牌服务器计算机210可以维护将交互令牌与其对应的支付凭证相关的数据库或其它适当数据结构。交互令牌可能受到任何数目的限制。例如，交互令牌可以是有限使用的令牌，其只能用于有限数目的交互(例如，三个交互)。例如，如果交互令牌用于在图书馆处登记借书，
则交互令牌仅可用于有限数目的书籍登记借出。作为另一示例，如果交互令牌用作支付令牌，则交互令牌仅可用于执行有限数目的购买。交互令牌还可以限于时间段，使得交互令牌只能用于在所述时间段内执行交互。同样，交互令牌可以限于数额，例如金额，例如$100.00。如果使用交互令牌执行交易，则可以使用交互令牌，直到使用交互令牌执行的交易的总成本达到所述金额。在接收到对交互令牌的请求后，令牌服务器计算机210可以生成交互令牌，并且例如通过将交互令牌与用户标识符、通信装置标识符或由认证服务器计算机208或令牌服务器计算机210管理的用户账户相关联，将交互令牌与用户202或通信装置204相关联。交互令牌可包括可用于执行或促进交互的任何适当数据。交互令牌可符合任何适当标准，包括iso 8583金融交易消息格式。如果交互令牌是另一个凭证的替代，例如支付凭证，例如pan，则交互令牌可以采用类似于其替代的凭证的形式。例如，pan(例如，信用卡号)通常采用16位数字序列的形式。充当pan的替代的交互令牌同样可以采用16位数字序列的形式。可以从交互令牌替代的凭证导出交互令牌(例如，可以通过散列pan来生成交互令牌)，或者可以使用任何其它适当手段，例如随机或伪随机数生成器来导出交互令牌。在步骤s228，通信装置204可以从认证服务器计算机208或令牌服务器计算机210接收交互令牌。通信装置204可以例如使用移动钱包应用程序或安全存储器元件安全地存储交互令牌。在步骤s230，通信装置204可以通过使用对应于用户202的生物特征模板锁定交互令牌来使用模糊仓库方法/技术生成数据仓库。在其它实施例中，通信装置204可以通过锁定生成以加密交互令牌的主秘密密钥来使用模糊仓库方法/技术生成数据仓库。生物特征模板可以基于在步骤s214处从用户202收集的生物特征实例或样本。数据仓库可以传输到公共装置206，并且由用户202使用以使用公共装置206执行生物特征认证和交互(例如，交易)。参考图4，可以更好地理解步骤s230，该图示出对应于生成或锁定数据仓库的混合图。通常，数据仓库(例如，数据仓库416)包括一组未排序的点。每个点可包括两个值，在图4中标记为“x”和“y”。有些点是“随机点”或“杂凑点”。这些点可包括两个随机值。其它点对应于数据以及所述数据的函数。在实施例中，这些其它点可被称为“生物特征点”，且可对应于生物特征模板406(例如，对应于通信装置的用户的生物特征模板)和函数p(x)404。函数p(x)404可以从交互令牌导出，例如从交互令牌402导出。因此，数据仓库可包括一组未排序的点，其包括对应于生物特征模板和交互令牌的多个随机点和多个生物特征点。由于数据仓库416包括随机点，因此无法仅通过观察来区分与生物特征模板相对应的点。因此，生物特征模板无法从数据仓库中提取。同样，因为数据仓库包括随机点，因此无法仅通过观察来唯一地确定函数p(x)404和交互令牌402。根据一些实施例的使用模糊仓库方案生成数据仓库的方法如下。首先，通信装置可以生成对应于交互令牌402的编码函数p(x)404。在其它实施例中，交互令牌也可以是可用于对加密的交互令牌进行解密的主秘密密钥。在图4中，交互令牌示为16位数字序列。可以使用多种不同的技术来生成编码函数p(x)404。一种技术涉及使用对应于交互令牌402的数字生成x的多项式函数。图4示出这种技术的示例性应用。可以通过使用四个连续交互令牌402数字的每个块作为多项式系数来生成编码函数p(x)404。多项式函数可能是方便的，
因为存在生成和内插多项式的有效技术，可以分别用于锁定和解锁仓库。然而，实施例可以用除多项式函数之外的函数p(x)404来实现。然后，通信装置可以通过将生物特征模板406用作编码函数p(x)404的输入来生成多个生物特征点。生物特征模板406可包括对应于生物特征的数据值的序列或阵列。每个数据值可以用数字表示，并且可以作为输入应用于编码函数p(x)404。结果是多个p(x)或“y”值。这些值可以与它们各自的生物特征模板406(“x”)值配对，以生成多个生物特征点。同样，通信装置可以例如使用随机或伪随机数生成器生成多个随机点。图形408示出数据仓库的图形表示。点410是随机点的示例，其不对应于编码函数p(x)404或生物特征模板406。点412是生物特征点的示例，其对应于生物特征模板406且位于对应于编码函数p(x)404的线414上。数据仓库416以二维阵列示出数据仓库的表示，包括多个生物特征点以及多个随机点。数据仓库416可能未排序或混淆，因此无法根据数据仓库416中的点的顺序确定哪些点是随机点以及哪些点是生物特征点。回到图2，在步骤s232，通信装置204可以将数据仓库发送到公共装置206。数据仓库可以经由任何适当的手段发送，例如蓝牙、wi-fi、zigbee、lan、互联网等。在步骤s232结束时，生物特征认证已成功地委派给公共装置206。此时，用户202可以使用公共装置206以便执行生物特征认证和执行交互。步骤s234-s242对应于根据一些实施例的生物特征认证和交互过程。在步骤s234，公共装置206可以从用户202接收与资源提供商212执行交互的请求。此请求可包括与商家资源提供商212执行交易的请求。例如，公共装置206可以是酒店房间中的智能电视，并且资源提供商212可以是按次付费的广播公司。执行交互的请求可以包括从资源提供商212购买按次付费内容(例如，拳击比赛)的请求。在步骤s236，公共装置206可以从用户202收集对应于用户202的第一生物特征实例。可以将所述生物特征实例变换成某一生物特征实例，继而可将所述某一生物特征实例变换成第一生物特征模板。所述第一生物特征模板可以包括基于指纹扫描、面部扫描、虹膜扫描、视网膜扫描、dna样本、手写签名和/或语音记录的数据，或任何其它生物特征数据。公共装置206可以使用任何适当的生物特征接口收集第一生物特征实例。例如，公共装置206可以使用附接到公共装置206的摄像头捕获用户的虹膜扫描。公共装置206可以将第一生物特征模板存储在临时存储器中。在步骤s238，公共装置206可以使用第一生物特征模板解锁数据仓库，其中数据仓库包括使用与对应于用户202相对应的第二生物特征模板锁定的交互令牌或主秘密密钥。也就是说，数据仓库可包括在步骤s228提供给通信装置204、使用在步骤s214收集的生物特征模板锁定的交互令牌。如果第一生物特征模板和第二生物特征模板均对应于用户202，则公共装置应能够成功地解锁数据仓库。在这样做时，公共装置206以生物特征方式认证用户202。通过解锁数据仓库，公共装置206访问交互令牌，所述交互令牌随后可用于执行所请求的与资源提供商214的交互。在解锁数据仓库之后，公共装置206可以将交互令牌存储在临时存储器存储装置中。参考图5，可以更好地理解步骤s238，该图示出根据一些实施例的用于解锁数据仓库的方法的混合图。
公共装置可以将数据仓库502与捕获的生物特征模板504(即，图2的步骤s236中引用的“第一生物特征模板”)进行比较，以便由公共装置确定多个生物特征点506中的对应于第一生物特征模板的子集。多个生物特征点506的子集包括在确定的生物特征模板504与数据仓库502之间具有共同值的点。出于各种原因，由公共装置确定的生物特征模板504(另外称为“第一生物特征模板”)和由通信装置确定的用于锁定数据仓库的生物特征模板(也称为第二生物特征模板)预期并不相同，即使它们来自同一用户。例如，如果生物特征模板对应于面部扫描，则照明条件在收集对应于第一生物特征模板和第二生物特征模板的生物特征实例期间可能不同。作为另一实例，如果生物特征模板对应于语音记录，则背景噪声(例如，由交通或其它背景噪声引起)在捕获与生物特征模板相关联的一个生物特征实例期间可能更大，并且在捕获与另一个生物特征模板相关联的另一个生物特征实例期间更柔和。因此，预期生物特征模板不完全匹配，即，捕获的生物特征模板504中不一定存在对应于每个生物特征值的生物特征点。然而，期望生物特征点中的至少一些(即，子集)将对应于捕获的生物特征模板504。这些生物特征点506的子集可以包括来自模糊仓库502的与生物特征模板504共享值(例如，“x”值)的点。图形508示出生物特征点506的子集的图形表示。点510是属于此子集的一个点的示例。线512对应于编码函数p(x)514。因为生物特征点506的子集包括生物特征点，所以生物特征点506的子集位于对应于编码函数p(x)514的线512上。然后，公共装置可以基于多个生物特征点的子集确定编码函数p(x)514。有多种技术能用于确定编码函数p(x)514。例如，如果编码函数p(x)514是多项式函数(如图5所示)，则可以使用多项式内插，例如通过使用拉格朗日多项式，来确定所述函数。通常，需要k个独特点以便定义k-1次多项式。由于这种特性，只要多个生物特征点506的子集包括至少k个点，就可以准确地重建编码函数p(x)514。例如，对于四项多项式编码函数p(x)514(如图5所示)，多个生物特征点506的子集必须包括至少五个点。又例如，对于十六项多项式编码函数p(x)514，多个生物特征点506的子集必须包括至少17个点。此特性使得即使在不完美的生物特征匹配条件下，数据仓库也能够被解锁。然后，公共装置可以基于编码函数p(x)514来确定交互令牌516。公共装置可以利用或撤销用于生成编码函数p(x)514的过程，以确定交互令牌516。例如，如果通信装置使用交互令牌516来生成多项式系数，公共装置可以使用所述多项式系数以生成交互令牌516。图5示出编码函数p(x)514的多项式系数(即，4000、1234、5678和9000)对应于交互令牌516的数字的情况。返回到图2，在步骤s240，公共装置206可以将交互令牌发送到资源提供商212，以便发起用户在步骤s234处请求的交互。交互令牌可以经由任何适当手段，例如使用例如互联网的网络发送到资源提供商212。交互令牌可以用加密或未加密的形式发送。在步骤s242，公共装置206可以执行与资源提供商212的交互。取决于公共装置206和资源提供商212的性质，交互可以采取许多形式。例如，如果公共装置206是智能电视，则交互可以包括用户202从资源提供商212(即，与体育联盟相关联的广播公司)购买按次付费内容。替代地，如果公共装置206是用于控制对由建筑物管理器(资源提供商212)管理的建筑物(资源)的访问的安全系统，则交互可包括资源提供商212在步骤s240接收到交互令牌
后自动解锁电子受控门。下文参考图6和7更详细地描述交互的两个示例。在步骤s240处将交互令牌发送到资源提供商之后，公共装置206可以从临时存储器存储装置中删除第一生物特征模板和交互令牌，以便保护用户202的隐私，并且防止第一生物特征模板和交互令牌被黑客、欺诈者或公共装置206的恶意用户获取。此清理步骤可由先前描述的认证服务器计算机执行。委派生物特征认证系统可以支持额外特征，所述额外特征可以为用户提供更多便利和安全性。这些额外特征可包括委派撤销特征，包括用户发起的撤销和其它形式的撤销。这些额外特征还可包括反复生物特征认证委派。图3a和3b示出分别对应于撤销和反复生物特征认证委派方法的流程图。图3a示出根据一些实施例的对应于生物特征认证撤销方法的流程图302。例如用户、认证服务器计算机、令牌服务器计算机或另一实体(例如，发行方)的实体可以撤销公共装置执行生物特征认证的能力。当用户不再希望使用公共装置来执行交互时，这可能有用。例如，用户可能已经住在其房间内配有智能电视公共装置的酒店。在用户停留期间，用户可能使用智能电视来购买按次付费内容，例如，拳击比赛的广播。然而，当用户从酒店结账时，用户可能不再需要使用智能电视购买内容，并且可能希望撤销数据仓库。在步骤s306，通信装置可以生成撤销消息。撤销消息可以指示用户希望撤销存储在公共装置上的数据仓库。撤销消息可包括用于标识与用户或通信装置相关联的数据仓库的用户标识符或通信装置标识符。在步骤s308，通信装置可例如通过蓝牙、wi-fi、zigbee、nfc、lan、互联网等将撤销消息发送到公共装置。在步骤s310，公共装置可以从通信装置接收撤销消息。在其它实施例中，可以从认证服务器计算机接收撤销消息。在步骤s312，响应于接收到撤销消息，公共装置可以从存储器中删除数据仓库。另外或替代地，公共装置或通信装置可以向认证服务器计算机或令牌服务器计算机发送请求，以便请求交互令牌的到期。替代地，撤销消息可能不是由用户生成，而是可由另一实体生成，例如认证服务器计算机、令牌服务器计算机或发行方。例如，如果交互令牌是有限时间的令牌或有限使用的令牌并且过期，则令牌服务器计算机可以向公共装置发送撤销消息，以便撤销对应于交互令牌的数据仓库。替代地，如果用户取消订阅生物特征认证服务，则认证服务器计算机可以向公共装置发出撤销消息。作为另一实例，如果发行方(例如，为用户管理支付账户的发行方)怀疑滥用交互令牌(例如，使用交互令牌的欺诈性支出)，则发行方可以向公共装置发送撤销消息。撤销过程可另外包括用户以某种方式验证其身份，以便确定用户而非恶意实体正试图撤销数据仓库。用户可以通过向公共装置提供生物特征模板(例如，通过使用公共装置上的摄像头来执行虹膜扫描)来验证其身份。公共装置可以使用生物特征模板打开数据仓库以验证用户的身份，然后作为撤销过程的一部分删除数据仓库。
113.图3b示出根据一些实施例的执行重复委派生物特征认证的方法。这对于定期使用公共装置执行交互的用户来说是很方便的。例如，如果用户每隔几周就到某家杂货店购买杂货，或者每隔几周就到图书馆登记借书。使用反复委派生物特征认证，用户可以利用使用
有限交互令牌(例如，有限时间的令牌)的安全性益处，同时仍保持与委派生物特征认证相关联的便利性。例如，使用反复委派生物特征认证，用户的通信装置可以每周生成新的数据仓库，并将数据仓库发送到公共装置，替换前一周的数据仓库。在步骤s314，通信装置可以生成后续数据仓库。后续数据仓库可包括使用第二生物特征模板(即，用于生成图2的步骤s230中的原始数据仓库的生物特征模板)或对应于用户的后续生物特征模板锁定的后续交互令牌。在步骤s316，公共装置可以从通信装置接收后续数据仓库。公共装置可以经由任何适当的通信手段，例如，如上文所描述的蓝牙或nfc，接收后续数据仓库。在步骤s318，公共装置可以用后续数据仓库替换数据仓库。这可包括例如从存储器中删除数据仓库并将后续数据仓库存储在存储器中。可以参考图6-7和以下描述更好地理解交互和交互网络。图6示出用于执行交易交互的交易处理系统的示例。图7示出用于执行访问交互的建筑物访问网络的示例(即，授予用户建筑物访问权)。图6示出可用于执行用户与资源提供商之间的交互的交易处理系统的框图。来自图1的交互网络110可以包括图6的交易处理系统的一个或多个计算机或实体。图6示出可以操作公共装置604的用户602。用户602可以使用公共装置604来执行与资源提供商的交易交互。资源提供商可以操作资源提供商计算机608。访问网络606(例如，例如互联网的网络)可以用来实现公共装置604与资源提供商计算机608之间的通信。资源提供商计算机608可经由收单方计算机610和支付处理网络612与发行方计算机614进行通信。支付处理网络612可包括数据处理子系统、网络，以及用于支持及传送授权服务、异常文件服务和清算与结算服务的操作。示例性支付处理网络612可包括visanet
tm
。例如visanet
tm
的支付处理网络能够处理信用卡交易、借记卡交易以及其它类型的商业交易。visanet
tm
尤其包括处理授权请求的vip系统(visa集成支付系统)和执行清算和结算服务的base ii系统。支付处理网络可以使用任何合适的有线或无线网络，包括互联网。涉及公共装置604的典型支付交易流程可描述如下。用户602具有由公共装置604捕获的第一生物特征模板(例如，公共装置604使用摄像头扫描用户602的602面部)。如上所述，公共装置604使用第一生物特征模板解锁对应于用户602的数据仓库。在这样做时，公共装置604访问可用于授权用户602与资源提供商之间的交互的交互令牌(例如，支付令牌)。交互令牌可以从公共装置604安全地发送(例如，以加密形式发送)到资源提供商计算机608。然后，资源提供商计算机608可以生成包括交互令牌以及额外交易信息(例如与交易相关联的金额或成本、商家标识符或类别代码、时间戳等)的授权请求消息，并且将此信息以电子方式发送到收单方计算机610。然后，收单方计算机610可经由支付处理网络612接收、处理授权请求消息并且将其转发到发行方计算机614，以进行授权。发行方计算机614可以用授权响应消息回复。授权响应消息可经由支付处理网络612和收单方计算机608从发行方计算机614发送到资源提供商计算机608。授权响应消息可经由资源提供商608和访问网络606转发到公共装置604。在接收到授权响应消息之后，与资源提供商计算机608相关联的资源提供商可以经由公共装置604向用户602提供商品或服务。例如，资源提供商计算机608可以将数字视频文件发送到公共装置604，然后用户602可以观看所述数字视频文件。在一天结束时或在某个其它合适的时间间隔处，可以执行收单方计算机610、支付
处理网络612与发行方计算机614之间的清算与结算流程。图7示出可使用一些实施例实施的建筑物访问系统的框图。图7示出由用户704操作的公共装置702。所述公共装置702可经由访问网络706与资源提供商计算机708通信。资源提供商计算机708可以用来控制对建筑物710的访问，例如，资源提供商计算机708可以接合或脱离电子锁以便锁定或解锁建筑物710的门。例如，建筑物710可以是位于繁忙街道上的公寓大楼。为了确保居民的安全，可能需要生物特征认证才能进入建筑物710。用户704可以是建筑物710的居民，并且可以接近公共装置702以进行生物特征认证。公共装置702可以从用户704收集第一生物特征模板，并使用第一生物特征模板解锁用对应于用户且包含交互令牌的第二生物特征模板锁定的数据仓库。公共装置702可以经由访问网络706将交互令牌发送到资源提供商计算机708。资源提供商计算机708可以验证交互令牌并解锁建筑物710的门，从而允许用户704进入。图8示出根据一些实施例的示例性通信装置800。通信装置800可以包括用于启用例如无线通信或电话的某些装置功能的电路系统。负责实现那些功能的功能元件可包括处理器802，所述处理器可执行实现装置的功能和操作的指令。处理器802可以访问数据存储装置810(或另一合适的存储器区或元件)以检取指令或用于执行指令的数据。例如键盘或触摸屏的数据输入/输出元件806可用于使用户能够操作通信装置800(例如，允许用户导航至移动钱包应用程序814)。数据输入/输出806还可以配置成(例如，经由扬声器)输出数据。显示器804也可用于将数据输出给用户。通信元件808可用于实现通信装置800与有线或无线网络之间的数据传输(例如经由天线824)，实现数据传输功能，并且可用于辅助连接到互联网或另一网络。通信装置800还可以包括非接触式元件接口820，以实现非接触式元件822与装置的其它元件之间的数据传输。非接触式元件820可包括安全存储器和近场通信数据传输元件(或短距离通信技术的另一种形式)。如所指出的，根据实施例，蜂窝电话、智能手机、可穿戴装置、笔记本电脑或其它类似装置是通信装置的示例。数据存储装置810可以包括计算机可读介质，所述计算机可读介质可以包括许多软件模块，例如通信模块812、移动钱包应用程序814、委派应用程序816和模糊提取器应用程序818。通信模块812可以包括使处理器802能够实施或启用通信装置800与其它装置之间的通信的代码，所述其它装置例如其它移动装置或访问终端。通信模块812可允许根据任何适当的协议进行通信，例如tcp、udp、is-is、ospf、igrp、eigrp、rip、bgp等。通信模块812可以通过使处理器802能够在通信装置800与其它装置之间建立安全或加密的通信信道来允许安全通信。例如，通信模块812可以包括可由处理器802执行以用于在通信装置800与例如公共装置的另一装置之间执行密钥交换(例如diffie-hellman密钥交换)的代码。通信模块812可以允许将数据仓库发送到其它装置，例如公共装置。移动钱包应用程序814可包括使通信装置800能够管理令牌的代码，所述令牌包括交互令牌和其它支付凭证。例如，移动钱包应用程序814可包括使处理器802能够经由非接触式元件接口820检取存储在安全存储器822中的访问令牌的代码。移动钱包应用程序814还可以包括使通信装置800能够显示任何合适的令牌信息的代码，例如，提供交互令牌的时间和日期，对应于交互令牌的别名或标识符，涉及交互令牌的最新交互或交易的时间和日期等。此外，移动钱包应用程序814可包括使处理器802能够显示使用户能够激活令牌相关
功能性的图形用户界面(gui)的代码。委派应用程序816可包括使通信装置800能够执行委派生物特征认证过程所涉及的任何和所有方法的代码。参考以上描述和图2-4可以更好地理解这些方法。委派应用程序816可能已经在登记过程期间例如使用来自图1的认证服务器计算机112配置给通信装置800。委派应用程序816的功能可包括经由数据输入/输出806捕获生物特征实例。用户可以使用通信装置800捕获初始生物特征模板(例如面部扫描)，所述初始生物特征模板用于使用模糊仓库方法将交互令牌锁定在数据仓库中，如上文参考图2所描述。委派应用程序816可以用来捕获生物特征模板，并将模板以加密或未加密形式存储在安全存储器822上。模糊提取器应用程序818可包括使通信装置800能够执行与生成数据仓库相关联的任何功能的代码。这些功能可包括基于交互令牌生成编码函数，通过将生物特征模板作为所述编码函数的输入来生成生物特征点，生成随机点或杂凑点，以及将生物特征点和随机点打包或分组到数据仓库中，如上文参考图4所描述。模糊提取器应用程序818可以利用任何适当的数学文库来执行这些函数，例如与随机或伪随机数生成、编码函数生成和函数分析相关联的文库。图9示出根据一些实施例的示例性公共装置900。公共装置900可包括处理器902、通信接口904、生物特征接口906和计算机可读介质908。计算机可读介质908可包括多个软件模块，包括通信模块910、生物特征模块912、模糊提取器模块914、临时存储器存储装置916、交互模块918和撤销模块920。处理器902可以是如上文中所描述的任何合适的处理设备或装置。通信接口904可包括使公共装置900能够通过例如互联网的网络与其它计算机或系统通信的网络接口。通信接口904可包括使公共装置900能够与其它计算机或系统通信的接口上的额外接口。例如，通信接口904可包括近场通信接口等。生物特征接口906可包括用于捕获用户的生物特征实例的硬件。例如，生物特征接口906可包括虹膜扫描仪，包括低能量红外光发射器和红外光检测器。视网膜扫描仪可以将红外光照射到用户的眼睛上，然后记录由检测器拾取的反射红外光。记录光可以被编译成生物特征模板，所述生物特征模板可以存储在计算机可读介质908上，例如存储在临时存储器存储装置916中。生物特征接口906可由生物特征软件模块912支持，所述生物特征软件模块可包括可由处理器902执行以用于控制生物特征接口906的操作的代码。例如，生物特征模块912可以包括用于将捕获的生物特征转换为生物特征模板的信号处理算法或光学处理算法。通信模块910可包括使处理器902能够生成消息、重新格式化消息和/或以其它方式与其它实体或计算机通信的代码。这可包括与通信装置通信、从通信装置接收数据仓库、以及将交互令牌发送到资源提供商计算机或以其它方式与资源提供商计算机通信。通信模块910可以使公共装置能够根据例如tcp、udp等任何适当的通信协议通过网络进行通信。模糊提取器模块914可包括可由处理器902执行以用于存储和解锁数据仓库的代码或指令，如上文参考图2和5所描述。这些代码或指令可以包括例如使用捕获的生物特征来确定对应于数据仓库的生物特征点的子集，内插编码函数，以及基于编码函数确定交互令牌。模糊提取器模块914可用于存储和管理对应于各种用户(即，多于一个用户)的数据仓
库。模糊提取器模块914可另外存储数据仓库或将数据仓库与用户标识符或通信装置标识符相关联。临时存储器存储装置916可包括可由处理器902执行以用于临时存储数字材料的代码或指令。这些可以包括经由生物特征接口906收集的交互令牌和生物特征。这些临时材料可以在需要用时由公共装置900存储，并且随后删除。交互模块918可包括可由处理器902执行以用于与资源提供商进行交互的代码或指令，例如，如上文参考图6-7所描述。这些指令可包括用于生成包括交互令牌的交互消息并将这些交互消息发送到资源提供商的指令。指令还可包括用于接收和解释由资源提供商接收的授权响应消息的指令。撤销模块920可包括可由处理器902执行以用于撤销数据仓库的代码或指令，如上文参考图3所描述。这些指令可以包括用于接收、解释和验证撤销消息以及从计算机可读介质908中删除数据仓库的指令。图10示出根据一些实施例的由认证服务器计算机执行的示例性方法的流程图。在步骤s1002，认证服务器计算机可以从公共装置接收验证请求消息，所述验证请求消息包括与用户相关联的通信装置的标识符。验证请求消息可以指示公共装置希望验证用户是否登记到生物特征认证系统中并且是系统的合法用户，如上文参考图2所描述。认证服务器计算机可以使用通信装置的标识符以便将消息路由到通信装置。在步骤s1004，认证服务器计算机可以向通信装置发送委派确认消息。认证服务器计算机可以使用通信装置的标识符，以便向通信装置发送委派确认消息。委派确认消息可请求用户或通信装置确认生物特征认证委派是合法的委派请求，如上文参考图2所描述。在步骤s1006，认证服务器计算机可以从通信装置接收委派确认响应。委派确认响应可以指示生物特征委派是合法的还是欺诈性的。委派确认响应可包括肯定确认，指示用户实际上正尝试将生物特征认证委派给公共装置，如上文参考图2所描述。在步骤s1008，认证服务器计算机可以向令牌服务器计算机发送对交互令牌的请求，如上文参考图2的步骤s226所描述。在步骤s1010，认证服务器计算机可以响应于对交互令牌的请求而从令牌服务器计算机接收交互令牌，如上文参考图2的步骤s228所描述。在步骤s1012，认证服务器计算机可以向通信装置发送交互令牌，其中通信装置使用与用户相关联的生物特征模板将交互令牌锁定在数据仓库中，如上文参考图4和图2的s230所描述。本发明的实施例的优点在于，在认证时创建生物特征模板并在认证时使用，紧接着弃用。在认证时创建的生物特征模板不绑定到特定身份，而是仅用于检查其是否可以解锁仓库。因此，公共装置从不了解用户的确切身份(保留隐私)。另一个优点是登记模板在登记或认证期间不从用户的私人通信装置发送到公共装置。这样做的好处是安全性更高。本文所提及的任何计算机系统都可以使用任何合适数量的子系统。在一些实施例中，计算机系统包括单个计算机设备，其中子系统可以是计算机设备的组件。在其它实施例中，计算机系统可以包括多个计算机设备，每个计算机设备都是具有内部组件的子系统。计算机系统可以包括例如由外部接口或由内部接口连接在一起的多个组件或子系统。在一些实施例中，计算机系统、子系统或设备可以通过网络进行通信。在此类情况下，
一个计算机可视为客户端，且另一计算机可视为服务器，其中每台计算机可以是同一计算机系统的一部分。客户端和服务器可以各自包括多个系统、子系统或组件。应理解，本发明的任何实施例都可以使用硬件(例如，专用集成电路或现场可编程门阵列)和/或使用计算机软件以控制逻辑的形式实施，其中通用可编程处理器是模块化的或集成的。如本文所用，处理器包括单核处理器、在同一集成芯片上的多核处理器，或在单个电路板上或网络化的多个处理单元。基于本公开和本文中所提供的教示，本领域的普通技术人员将知道并且了解使用硬件和硬件与软件的组合来实施本发明的实施例的其它方式和/或方法。本技术中描述的任何软件组件或功能可实施为使用例如java、c、c 、c#、objective-c、swift的任何合适的计算机语言或例如perl或python的脚本语言使用例如常规的或面向对象的技术由处理器执行的软件代码。该所述软件代码可以作为一系列指令或命令存储在计算机可读介质上以供存储和/或传输，合适的介质包括随机存取存储器(ram)、只读存储器(rom)、磁性介质(例如硬盘驱动器或软盘)，或者光学介质(例如光盘(cd)或数字通用光盘(dvd))、闪存存储器，等等。计算机可读介质可以是此类存储装置或发送装置的任何组合。此类程序还可以使用适合于经由包括互联网在内的符合多种协议的有线网络、光学网络和/或无线网络进行传输的载波信号来编码和发送。因此，根据本发明的一个实施例的计算机可读介质可以使用以此类程序编码的数据信号来创建。以程序代码编码的计算机可读介质可以与兼容装置一起封装或者与其它装置分开提供(例如，经由互联网下载)。任何此类计算机可读介质可以驻留于单个计算机产品(例如，硬盘驱动器、cd或整个计算机系统)上或内，且可存在于系统或网络内的不同计算机产品上或内。计算机系统可以包括用于将本文中所提及的任何结果提供给用户的监视器、打印机或其它合适的显示器。本文所述的任何方法可以完全地或部分地用包括可配置成执行这些步骤的一个或多个处理器的计算机系统执行。因此，实施例可涉及配置成执行本文描述的任何方法的步骤、可能具有执行相应步骤或相应步骤群组的不同组件的计算机系统。尽管以编号的步骤呈现，但是本文中的方法步骤也可以同时执行或以不同的次序执行。另外，这些步骤的部分可与来自其它方法的其它步骤的部分一起使用。同样，一个步骤的全部或部分可以是可选的。另外，任何方法的任何步骤可以用模块、电路或用于执行这些步骤的其它手段来执行。在不偏离本发明的实施例的精神和范围的情况下，具体实施例的特定细节可以任何合适方式组合。然而，本发明的其它实施例可涉及与每个单独的方面相关的特定实施例，或者这些单独的方面的特定组合。上文对本发明的示例性实施例的描述已经出于说明和描述的目的呈现。不旨在是详尽的，或将本发明局限到描述的精确形式，根据上文的教导许多修改和变形是可能的。选择和描述这些实施例是为了最好地解释本发明的原理及其实际应用，由此使本领域的技术人员能够在各种实施例中最好地利用本发明，并且进行适合于预期的特定用途的各种修改。以上描述是说明性的而不是限制性的。在阅读了本公开之后，本发明的许多变型形式对于本领域的技术人员将变得显而易见。因此，本发明的范围不应当参考上面的描述来确定，而是应当参考未决的权利要求连同其完整范围或等同物来确定。
在不偏离本发明的范围的情况下，任何实施例的一个或多个特征可以与任何其它实施例的一个或多个特征组合。除非明确指示有相反的意思，否则叙述“一”或“所述”旨在表示“一个或多个”。除非明确指示有相反的意思，“或”的使用旨在表示是“包括性的或”，而不是“排他性的或”。本文中提及的所有专利、专利申请、公开和描述出于所有目的以引用方式全部并入本文。不承认它们是现有技术。