具有基于生物测定学的验证能力的便携式装置

1、一种便携数据存储装置，其连接到主机以用于与所述主机数 据交换，所述存储装置包括：
一个整体凸形连接器，其用来将所述的便携存储装置直接连接到 主机上以及用来在便携式存储器和主机之间进行数据交换；
一非易失性存储器，其用于与所述整体凸形连接器数据交换并且 用于存储将要存放在所述整体凸形连接器上的数据，所述存储器具有 至少8MB的容量；
一个微处理器，其连接到所述非易失性存储器以与所述非易失性 存储器数据交换，配置所述微处理器以便由主机的用户提供并限制到 所述非易失性存储器的访问；
一个连接所述微处理器的基于生物测定学的验证模块以用于与所 述微处理器数据交换，所述验证模块配置用于验证了一个用户的身份， 并且根据成功验证所述验证模块配置用于与所述微处理器交换表示成 功验证的信息；
其中所述微处理器进一步配置为根据接收的表示成功验证的信息 提供用户到所述非易失性存储器的访问，根据接收的表示部成功验证 的信息限制用户到所述非易失性存储器的访问。
2、根据权利要求1所述的便携存储装置，其中基于生物测定学 的验证模块是指纹验证模块。
3、根据权利要求2所述的便携存储装置，其中指纹验证模块包 括一个指纹传感器元件。
4、根据权利要求3所述的便携存储装置，其中传感器元件在检 测操作期间是可旋转的，使用户手指的连续部分开始与传感器滚动接 触，从而检测用户指纹的连续部分。
5、根据权利要求3或4所述的便携存储装置，其中指纹验证模 块包括一个盖子，该盖子是为了在覆盖传感器元件的第一部位与暴露 传感器元件的第二部位之间的移动而装配的。
6、根据权利要求1所述的便携存储装置，其中，所述凸形连接 器是一个USBA-型凸形连接器，用以将所述的便携存储装置直接连接 在具有USB控制器的主机上。
7、根据权利要求1所述的便携存储装置，其中基于生物测定学 的验证模块包括安装在便携存储装置一个表面上的一个生物测定学传 感器。
8、根据权利要求1所述的便携存储装置，其中所述的非易失性 存储器包括快擦写存储器。
9、根据权利要求1所述的便携存储装置，其中所述微处理器被 配置为，当基于生物测定学的验证模块确定验证失败时，提供一个验 证的旁路机构。
10、一种便携存储装置，包括
一个总线；
一个连接在所述总线上的微处理器；
一个连接在所述总线上的非易失存储器；以及
一个连接在所述总线上的基于生物测定学的验证模块，其中在所 述微处理器的控制下，该基于生物测定学的验证模块被配置为(1)捕 获一个第一生物测定学标记；(2)将第一生物测定学标记存储到非易 失性存储器中；(3)捕获一个第二生物测定学标记；和(4)对照第 一生物学测定标记，确定第二生物测定学标记是否可以被验证；和 一个连接到总线上的整体凸形连接器，用来将该便携存储装置直接连 接在具有一个控制器的主机上，并用以在测定第二生物测定学标记对 照第一生物学测定标记可被验证时，在该主机和非易失性存储器之间 的数据交换。
11、根据权利要求10所述的便携存储装置，其中基于生物测定 学的验证模块是指纹验证模块。
12、根据权利要求10或11所述的便携存储装置，其中还包括一 个连接总线的USB装置控制器，以及一个连接总线的通用串行总线连 接器，从而该便携存储装置能够经过通用串行总线同主平台连通。
13、根据权利要求10所述的便携存储装置，其中基于生物测定 学的验证模块结构上同该便携存储装置整合成一单一的结构，并包括 一个安装在该便携存储装置表面的生物测定学传感器。
14、根据权利要求13所述的便携存储装置，其中传感器是一个 指纹传感器，并且包括一个在检测操作期间可旋转的元件，该旋转元 件使用户手指的连续部分开始与传感器滚动接触，从而检测用户指纹 的连续部分。
15、根据权利要求13所述的便携存储装置，其中基于生物测定 学的验证模块包括一个盖子，该盖子是为了在覆盖该元件的第一部位 与暴露传感器的第二部位之间的移动而装配的。
16、根据权利要求10所述的便携存储装置，其中所述的非易失 性存储器包括快擦写存储器。
17、根据权利要求10所述的便携存储装置，其中基于生物测定 学的验证模块还构建成在所述的非易失性存储器中存储所述的第一生 物测定学标记之前，将所述第一生物测定学标记加密。
18、根据权利要求10所述的便携存储装置，其中所述的微处理 器被设置假如没有生物测定学标记存储在非易失性存储器中，直接将 所述的基于生物测定学的验证模块捕获并存储所述的第一生物测定学 标记。
19、根据权利要求10所述的便携存储装置，其中所述的微处理 器被设置成根据基于生物测定学的验证模块验证成功的确认，能够访 问所述的非易失性存储器。
20、根据权利要求10所述的便携存储装置，其中所述的微处理 器被设置成当基于生物测定学的验证模块确定验证失败时，不能访问 所述的非易失性存储器。
21、根据权利要求10所述的便携存储装置，其中所述的微处理 器被设置成当基于生物测定学的验证模块确定验证失败时，提供一个 验证的旁路机构。
22、一种使用一个便携存储装置进行的基于生物测定学验证方 法，该方法包括的步骤为：
(A)使用安装在所述便携存储装置上的生物测定感受器从一个用 户捕获一个第一生物测定学标记，该便携存储装置具有至少8MB数据 的存储量；
(B)从该便携存储装置的内存中恢复一个注册的生物测定学标 记，该注册的生物测定学标记在注册过程中已经被存储在存储器当中；
(C)比较该第一生物测定学标记与该注册的生物测定学标记；和
(D)假如在步骤(C)的匹配被验证后，将发送验证成功信号；以 及
(E)当收到验证成功时，向该便携存储装置的内存提供访问，而 后在该便携存储装置的内存和具有控制器的主机之间进行数据交换， 与便携存储装置的数据交换经过一个凸形连接器。
23、根据权利要求22所述的基于生物测定学的验证方法，其中所 述注册的生物测定学标记是指纹。
24、根据权利要求22所述的基于生物测定学的验证方法，其中所 述的注册的生物测定学标记被以加密格式存储。
25、根据权利要求22所述的基于生物测定学的访问控制方法，其 中所述的步骤(D)包括授权客户访问非易失存储器。
26、根据权利要求22所述的基于生物测定学的访问控制方法，还 包括假如在步骤(C)中未确定一个匹配，则拒绝用户访问非易失存储 器的步骤。
27、根据权利要求22或26所述的基于生物测定学的访问控制方 法，还包括假如在所述步骤(C)中未确定一个匹配，则向用户提供一 个旁路验证处理步骤。

本发明涉及一种便携装置，特别是一种具有基于生物测定学的验 证能力的便携数据存储和存取装置。\n便携数据存储装置已经成为一种在商业、教育和家庭计算中被广 泛利用的必不可少的外围设备。这些装置通常不是固定安装在诸如个 人计算机(PC)的特定主机平台上，而是，可以方便地拆除并安装到 具有合适的连接端口(例如，一个类似USB端口的串行总线端口，一 个IEEE1494(“Firewire”)端口)的任何计算机上。因而，这些便携 数据存储装置能够使用户传递不能以另外方式相连的不同计算机中的 数据。一种流行的便携存储装置将一个非易失性固态存储器(例如， 快闪存储器)利用为存储媒介，所以不需要存取数据的移动部件和机 械驱动机构。缺少驱动机构能够使这些便携固态存储装置比诸如磁盘 和CD-ROM的表面存储装置更紧凑。\n随着便携存储装置变得更加广泛地在各种团体以及个人计算环境 中使用，防止未授权用户存取便携式和指定存储媒体上存储地信息已 经是当今信息技术地最重要地挑战之一。例如，为了保护机密地商业 信息、像医疗和金融和其他类型地敏感信息地个人信息，最基本的是 具有一个使用简单、便利的可靠的安全测量，并且为将要保护的信息 类型提供适当的保护等级。\n到目前为止，大多数便携存储装置求助于用户口令作为防止未授 权数据存取的一个安全测量。虽然作为验证机构使用的口令提供了某 些防止未授权存取的等级，但是用户经常认为它是麻烦的和不便利的， 因为需要记住改口令并且在用户每次请求存取时需要键入该口令。在 许多系统中，还要求用户周期性地改变他/她的口令，作为附加的安全 等级。这进一步增加了使用的不便利性。此外，由于一个典型的用户 需要访问要求访问控制的多个计算机系统和/或网络，因此用户也许必 须记住众多的不同口令，因为对于不同系统这些口令不一定是等同的。 因而，提供一个可靠的验证机构，以避免未授权访问对用户来说是很 方便的便携式或指定的存储媒介上存储的信息，将是有利的。\n此外，口令在不同用户中不是唯一的，口令还会遭受熟练的电脑 黑客的非法访问。一旦口令被泄漏，不论是由真实用户无意公开给未 授权方还是通过恶意非法访问披露的，通过口令保护支持的机密数据 都不再得到防护。实际上，未授权访问这种数据在长时间内将不会被 人们察觉。进行中的侵入通常不会被阻止，直至受到伤害的用户最终 认识到数据已经被访问和/或被损坏，或者直至系统管理员检测到一个 可疑行为的图像。因此，有利的情况是，应当提供一种防止未授权访 问存储在便携存储媒介和各种计算机系统中数据的安全访问控制机 构，它不容易通过侵入而泄密，并且最好提供一个用于每个用户的“访 问密钥”。\n所以，本发明提供了一种给予高度可靠和用户友好的验证机构的 方法和系统，以防止未授权访问存储在便携或指定存储媒介上的信息。 此外，本发明的实施例还提供了一种高度安全访问控制机构，用于防 止未授权访问已存储的数据和计算机资源，以及防止未授权的登陆许 可。这里将详细说明本发明的一个方面，它将一个唯一生物测定学标 记作为身份验证的基础以及作为每个用户的“访问密钥”。\n具体地说，本发明的一个优选实施例提供了一种便携装置，包括： 一个微处理器，一个与微处理器连接的非易失性存储器，和一个由微 处理器控制的基于生物测定学验证模块。最好是，所用的生物测定学 技术是指纹验证技术，快闪存储器被用作非易失存储器。在该实施例 中，在用户第一次使用便携装置时，指纹验证模块自动地提示用户使 用该便携装置注册他/她地指纹。在一个目前的优选实施例中，当注册 处理完成时，一个袖珍的加密的指纹版本被存储在便携装置的快闪存 储器中。在一个随后的使用时，指纹验证模块读出用户的指纹，将它 与存储在快闪存储器中的已注册的指纹进行比较，从而可靠地确定两 者之间是否存在一个匹配。如果一个匹配备确定，用户身份的验证就 是成功的，并且准许已验证的用户访问受限制资源，该访问通过使用 目前的访问控制系统来保证。另一方面，如果不能在用户的指纹与注 册的指纹之间发现一个匹配，则拒绝对受限制资源的访问。因此，本 发明的该实施例提供了一种高度便利、安全可靠的用户验证和访问控 制的系统，它优于现有技术的基于口令的验证方案。本发明意识到指 纹是个人的独特签名，一个世纪以来在证实身份方面具有法律效力并 且被普遍接受，指纹作为口令不可能被用户忘却，并且指纹几乎不可 能被改变、复制、或者通过非法访问而破解。因此，作为本发明的具 体实施，指纹和其他基于生物测定学的技术适用于用作验证和/或访问 控制方案。\n下面将说明本发明的优点，其中一部分在下面的说明中描述，一 部分将由本领域的熟练人员依据该说明来理解。\n并入并构成说明书一部分的附图与说明书一起图示说明了本发明 的几个实施例，用于解释本发明的原理。\n图1A是举例说明本发明的便携装置的一个实施例的功能块和本 发明的一个示范性配置的方框图；\n图1B是举例说明本发明的便携装置的另一个实施例的方框图；\n图2是一个根据本发明一个实施例的具有集成指纹模块的便携装 置的前透视图；\n图3是一个如图2所示的具有集成指纹模块的便携装置的后透视 图；\n图4是一个如图2所示的具有集成指纹模块的便携装置的底部平 面图；\n图5是一个如图2所示的具有集成指纹模块的便携装置的顶部平 面图；\n图6是一个如图2所示的具有集成指纹模块的便携装置的左侧正 视图；\n图7是一个如图2所示的具有集成指纹模块的便携装置的右侧正 视图；\n图8是一个如图2所示的具有集成指纹模块的便携装置的前部正 视图；\n图9是一个如图2所示的具有集成指纹模块的便携装置的后部正 视图；\n图10是使用本发明一个实施例的便携装置举例说明一个用户注册 /验证处理步骤的流程图；\n图11(a)和图11(b)是本发明一个实施例的第二便携装置的后 部透视图；\n图12是一个如图11(a)和11(b)所示的具有集成指纹模块的 第二便携装置的顶部平面图；\n图13是一个如图11(a)和11(b)所示的具有集成指纹模块的 第二便携装置的底部平面图；\n图14是一个如图11(a)和11(b)所示的具有集成指纹模块的 第二便携装置的左侧图；\n图15是一个如图11(a)和11(b)所示的具有集成指纹模块的 第二便携装置的右侧图；\n图16是一个如图11(a)和11(b)所示的具有集成指纹模块的 第二便携装置的前部正视图；\n图17是一个如图11(a)和11(b)所示的具有集成指纹模块的 第二便携装置的后部正视图。\n下面将参照显示本发明优选实施例的附图更详细地说明本发明。 然而，本发明可以以许多不同方式具体实施，并且不能巴本发明被解 释为限制到这里所述的这些实施例；提供这些实施例是使公开充分和 完整，并充分地告知本领域的熟练技术人员。实际上，本发明的意图 是覆盖包含在由权利要求所定义的本发明范围和精神之内的这些实施 例的替代物、修改物和等同物。此外，在本发明的下面的详细说明中， 描述了大量的具体细节，以便提供对本发明的彻底理解。然而，本领 域的普通技术人员将会明白，没有这些具体细节也将实行本发明。在 另一个实例中，未详细说明已知方法、处理、部件和电路，以便不对 本发明的各方面造成不必要的理解难度。\n图1A是举例说明本发明的便携装置的一个实施例的功能块和本 发明的一个示范性操作配置的方框图。图1A示出了连接主机平台90 的便携装置70。在该实施例中，主机平台90连接位于便携装置70内 的电源电路80。电源电路80从主机平台90提取电力，用作便携装置 70各部件的电源。\n再参见图1A，便携装置70还包括一个集成电路10、一个快闪存 储器20、一个易失性存储器30和一个指纹模块50。集成电路10可以 按惯例实施为专用集成电路(ASIC)。在目前的优选实施例中，快闪 存储器20可以具有一个8MB至512MB的存储容量，是可以用来存储 根据下面所述的本发明的生成的一个或多个模板的一部分。此外，在 一个优选实施例中，模板被存储在快闪存储器20的一个保留区中，该 保留区是专用于此目的的，用户不能另行访问。此外，如下面的详细 说明那样，在目前的优选实施例中，模板是加密之后再存储到快闪存 储器20中的，因此提供了附加的抗击非法访问的安全性。在一个实施 例中，易失性存储器30位于集成电路10的外部，并且可以包括一个 动态随机存取存储器(DRAM)或者包括一个静态随机存取存储器 (SRAM)。在这些使用中，易失性存储器30可以用作根据本发明获 取的指纹图像的初始存储和升级区域。\n集成电路10包括一个微处理器11，在一个实施例中它是RISC处 理器。在一个目前的优选实施例中，验证引擎12被包含在集成电路10 中。验证引擎又包括一个模板生成器12a和一个确认模块12b。模板生 成器12a用来生成指纹图像的编码版本。在本发明的范围内，将这种 被编码指纹称作模板。应当理解的是，根据当前的生物测定学技术， 利用指纹的原始图像中的8至13个独特的点就可以唯一地识别一个指 纹。因而可以按照浓缩方式方便地将指纹信息存储为关于8至13个有 关数据点的数据。本发明的一个优选实施例有利于将一个致密格式中 的一个指纹存储为上述的一个模板。在该实施例中，一个模板具有512 字节的字长。其它实施例可以使用不同字长的模板验证引擎12的其它 部件，确认模块12b被用来将新生成的模板与存储的模板进行比较， 以确认声称是一个授权用户的某人提供的指纹的真实性。因而，验证 引擎12与指纹模块50联合工作(下面将详细说明)，以实施本发明 的用户确认。\n应当理解的是，验证引擎12适合于本发明的范围内的多种实施。 再一个实施例中，验证引擎12被实施为便携装置70的非易失性存储 器中存储的固件。在另一个实施例中，验证引擎12被实施为微处理器 11的部件。在再一个实施例中，验证引擎12被实施为与微处理器11 分离的一个处理器。在再一个实施例中，验证引擎12包括上述的相同 部件并且具有上述的相同功能，但是该验证引擎位于主机平台90中而 不是位于编携装置70中。换言之，在本发明的范围内，验证引擎不需 要设置在编携装置70中。而是可以依照一个设计选择来放置验证引擎 12，因而提供了适合于本发明可以被利用的不同应用的设计灵活性。\n参见图1A，在一个优选实施例中，集成电路10还可以包括便于 在集成电路10与其它部件，比如易失性存储器30之间通信的总线接 口13。集成电路10还包括一个控制访问快闪存储器20的快闪控制器 14。在一个实施例中，当在用户注册期间成功地生成一个模板时，快 闪存储器14与模板生成器12a通信，将新生成的模板存储到快闪存储 器20中，供其后的用户验证使用。此外，在一个当前的优选实施例中， 便携装置70符合通用串行总线(USB)标准并且包括一个USB连接 器(未示出)。在该实施例中，集成电路10还包括一个用来控制便携 装置70与主机平台90之间通信的USB装置控制器15，比如，具有 USB主机控制器93的USB可兼容个人计算机(PC)。\n参见图1A，集成电路10还包括一个易失性存储器16和一个非易 失性存储器17。在一个优选实施例中，易失性存储器16是一个随机存 取存储器(RAM)，在操作期间用作微处理器11的工作存储器。非易 失性存储器17在该实施例中是一个只读存储器(ROM)并且可以用来 存储执行便携装置70的各种功能的固件。此外，集成电路10包括一 个可选差错检验(ECC)引擎19，在便携装置70的操作期间执行各种 差错检验任务。应当理解的是，ECC引擎19类似于验证引擎12，也 适合于本发明范围内的多种实施。例如，ECC引擎19可以由软件(例 如，存储在非易失性存储器中的固件)实施，作为微处理器11的部分， 或者作为与微处理器11分离的一个处理器。\n参见图1A，指纹模块50包括一个传感器52，用来捕获放在其上 的手指的指纹图像。指纹模块50还包括一个变换器54，用来将捕获的 指纹图像转换为代表该图像的电信号。在一个目前优选实施例中，变 换器54将指纹印迹图像变换成64KB数据，并且发送给用于临时存储 的便携装置70的易失性存储器30。在其它实施例中，变换器54可以 产生不同大小的图像数据。指纹模块50还包括可选控制单元56，在一 个当前优选实施例中，该可选控制单元56经由便携装置70的微处理 器11来控制，并且用来检验由传感器52捕获的指纹图像的质量，以 确定一个给定图像是否是可接受的。如下文更详细描述的那样，如果 确定一个被捕获图像的质量是不可接受的，则提示用户再次将他/她手 指放置在传感器52上，以便可以捕获一个新图像。\n参见图1B，该图1B是举例说明本发明另一个实施例的功能块的 方框图。在该实施例中，便携装置170符合USB标准，并且包括一个 USB插头118，如图1B所示，该USB插头118连接主机平台的USB 主机控制器193。任选地，便携装置170还包括一个连接USB插头118 的附加USB端口162。USB端口162被设置为一个方便部件，可以用 来经便携装置170将其它USB兼容装置连接到USB。在该实施例中， 便携装置170还包括一个USB装置控制器115，用于经USB主机控制 器193控制便携装置170与主机平台之间的通信。在一个实施例中， 一个驱动器软件177和一个包括监控软件199的应用编程接口(API) 197置于主机平台内并且与USB主机控制器193通信，以便于便携装 置170的操作。\n便携装置170还包括一个集成电路110，一个快闪存储器120和一 个易失性存储器130。集成电路110可以被方便地实施为一个ASIC。 在一个优选实施例中，快闪存储器120的保留区域122存储一个或多 个根据本发明生成的模板。此外，在该实施例中，保留的快闪存储器 区域122包括一个状态标志121，标志121指示是否已经根据本发明预 先注册了便携装置170。因而，状态标志121能够使便携装置170在初 始使用时自动地调用一个注册处理，下面将进行详细说明。在一个实 施例中，易失性存储器130包括一个DRAM或者一个SRAM，用作根 据本发明捕获的指纹图像的初始存储区域。\n继续参见图1B，集成电路110包括一个微处理器111，最好是一 个RISC处理器。集成电路110还包括：一个快闪控制器114，用于控 制对快速存储器120的访问；和一个存储器控制器133，用于控制对易 失性存储器130的访问。集成电路110还包括一个易失性存储器116 和一个非易失性存储器117。易失性存储器116最好包括一个在操作期 间用作微处理器111的工作存储器的RAM；而非易失性存储器117最 好包括一个ROM，用于存储执行便携装置170的各种功能的固件。具 体地说，在一个实施例中，ROM 117存储以下固件码：读指纹传感器 152的固件117a，处理指纹图像的固件117b，生成模板的固件117c， 加密指纹图象和/或模板的固件117d，和确认指纹真实性的固件117e。 然而，应当理解的是，在本发明的一个可替换实施例中，这样的固件 可以存储在主机平台一个非易失性存储器中，而不是存储在便携装置 170的一个非易失性存储器中。\n此外，集成电路110包括一个可选插座检验(ECC)引擎119，用 于在便携装置170的操作期间执行各种差错检验。应当理解的是，在 本发明的范围内，ECC引擎119可以被实施为软件(例如，固件)或 硬件(例如，处理器/处理器模块)。\n继续参见图1B，指纹模块150包括一个传感器152，一个变换器 154和一个可选控制器156。在该实施例中，传感器152被用来捕获放 置在其上的手指的指纹图像，变换器154用来将捕获的指纹图像变换 成代表该图像的电信号，可选控制器156用来检验由传感器152捕获 的指纹图像的质量，以确定给定的图像是否是可接受的。应当理解的 是，可以使用本发明范围内的软件(例如，固件)或硬件(例如，处 理器/处理器模块)实施这种图像处理能力。\n在一个如图1B所示的当前优选实施例中，微处理器111控制便携 装置170的各种部件，这些部件包括：快闪控制器114，USB装置控 制器115，RAM 116，ROM 117(和其内存储的固件的运行)，ECC引 擎119，存储器控制器33，和指纹模块150的控制器156。在该实施例 中，便携装置170还包括一个写保护开关140，启动时，该开关140触 发微处理器111禁止对快闪存储器120的写访问。\n参见图2，该图2显示了本发明一个实施例的具有集成指纹模块的 便携装置的第一形状的前部透视图。在图2中，便携装置70被显示为 具有从前端伸出的USB连接器18。指纹模块50被显示为在结构上按 整体结构与便携装置70集成为一体，具有设置在便携装置70顶面的 传感器52。还显示了一个设置在便携装置70的顶面边缘附近的发光二 极管(LED)73。在一个实施例中，LED 73在便携装置中的数据被访 问时闪烁，从而，用作一个活动指示器。在另一个实施例中，LED 73 点亮，以指示验证处理正在进行。\n接下来参见图3，图3显示了图2所示的具有集成的指纹模块的便 携装置的后部透视图。便携装置70被显示为具有从前端伸出的USB 连接器18；指纹模块50被显示为在结构上按整体结构与便携装置70 集成为一体，具有设置在便携装置70顶面的传感器52。LED 73被显 示为设置在便携装置70的顶面边缘附近。可选写保护开关40被显示 为设置在便携装置70的后部。\n参见图4，图4显示了如图2所示的具有集成的指纹模块的便携装 置的底部平面图。实际上半圆的缺口77，即，一个当便携装置70连接 主机平台90(图1A)或者便携装置70与主机平台90分离时允许用户 稳定地手持便携装置70的可选部件被显示在图4的便携装置70的底 面上。此外，还显示了USB连接器18。\n参见图5，图5显示了如图2所示的具有集成的指纹模块的便携装 置的顶部平面图。便携装置70被显示为具有从前端伸出的USB连接 器18，指纹模块50被显示为在结构上按照整体结构与便携装置70集 成为一体，具有设置在顶面上的传感器52。LED 73被显示为设置在便 携装置70的顶面边缘附近。\n参见图6，图6是如图2所示的具有集成的指纹模块的便携装置的 左侧正视图。USB连接器18被显示为从便携装置70伸出，传感器52 的周围被显示为略微高出便携装置70的顶面。\n图7是如图2所示的具有集成的指纹模块的便携装置的右侧平面 图。再一次显示USB连接器18从便携装置70伸出，传感器52的周 围略微高出便携装置70的顶面。\n参见图8，图8示出了如图2所示的具有集成的指纹模块的便携装 置的前部平面图。USB连接器18的插入端被显示在中央部位，传感器 52的周围被显示为略微高出便携装置70的顶面。\n参见图9，图9是图2所示的具有集成的指纹模块的便携式装置的 后部正视图。传感器52的周围被显示为略微高出便携装置70的顶面， 并且还能够看见位于便携装置70底面上的可选缺口77。可选写保护开 关40也被显示为位于便携装置70的后部。\n参见图11(a)，该图显示了本发明一个实施例的具有集成的指纹 模块的第二便携装置370的第一后部透视图。装置370的电子结构与 装置70相同(因而，图11(a)所使用的许多参考编号与图2中使用 的编号相似，只不过在数字上高300)，但是，除了一个不同的外部形 状外，它具有两个附加部件。第一，具有一个滑动地覆盖一个传感器 352的盖子300。该盖子300被显示在图11(a)的闭合位置中；图11 (b)是图11(a)所示的便携装置370的第二后部透视图，但是具有 一个打开配置的盖子300。第二，传感器352在检测指纹的操作期间可 以旋转，以便滚动接触手指。\n在图11(a)和图11(b)中，便携装置379被显示为具有从前端 伸出的USB连接器318。指纹模块350被显示为在结构上以一个整体 结构与便携装置集成为一体，具有设置在便携装置370的顶面上的传 感器352(被显示在图11(b)中)。发光二极管(LED)373也被显 示为设置在便携装置370的后部上。在一个实施例中，LED 373在便 携装置中的数据正在访问时闪烁，从而用作一个动作指示器。在另一 个实施例中，LES 373点亮，以指示验证处理正在进行。\n盖子300被设置为一个支持通过L形导向器400在便携装置372 的顶面的平面滑动的平板。该L形导向器400从便携装置370的上表 面伸出。盖子300供有手指嵌入装置(例如，槽)450，以便用户可以 在盖子300覆盖和保护传感器352的第一位置(图11a)与不覆盖的第 二位置之间滑动盖子。\n可选写保护开关340也被显示为位于便携装置370的后部。\n参见图12，图12显示了一个如图11(a)和图(b)所示的具有 集成的指纹模块的便携装置的顶部平面图。便携装置370被显示为具 有从前端伸出的USB连接器318。指纹模块350被显示为在结构上以 一个整体结构与便携装置370集成为一体，具有设置在顶面上的传感 器52。盖子300是一个图11(b)的打开配置。\n参见图13，图13显示了如图11(a)和11(b)所示的具有集成 的指纹模块的第二便携装置的底部平面图。实际上半圆的缺口377，即， 一个当便携装置370连接主机平台90(图1A)或者便携装置370与主 机平台90分离时允许用户稳定地手持便携装置370的可选部件被显示 在图13的便携装置370的底面上。此外，还显示了USB连接器318。\n参见图14，图14显示了如图11(a)和11(b)所示的具有集成 的指纹模块的第二便携装置的左侧图。USB连接器318被显示为从便 携装置370伸出，盖子300和引导器400被显示为略微高出携装置370 的顶面。\n图15是一个如图11(a)和11(b)所示的具有集成指纹模块的 第二便携装置的右侧图。USB连接器318被显示为从便携装置370伸 出，盖子300和引导器400被显示为略微高出便携装置370的顶面。\n参见图16，图16是一个如图11(a)和11(b)所示的具有集成 指纹模块的第二便携装置的前部正视图。USB连接器318的插入端被 显示在中央部位，盖子300和引导器400被显示为略微高出便携装置 370的顶面。\n参见图17，图17是一个如图11(a)和11(b)所示的具有集成 指纹模块的第二便携装置的后部正视图。盖子300和引导器400被显 示为略微高出便携装置370的顶面。可选写保护开关340也被显示为 位于便携装置370的后部。\n如上所述，便携装置70的第一形状与便携装置370的第二形状的 主要差别是便携装置370第二形状的传感器252被设置为一个圆柱， 其中心线平行于装置370的顶部表面和后部表面。换言之，该中心线 从左至右贯穿整个装置370，加在底部表面与顶部表面之间。\n传感器352被设计为可以绕该中心线旋转(充分旋转，或者在规 定的角度内旋转)。在盖子300打开时，圆柱面传感器252的一部分 是在最上端，并且经便携装置370外壳的一个开口暴露，但是该部分 随着传感器352旋转而变化。当用户开始使用该装置时，他首先打开 盖子300(从而暴露传感器352的柱形表面的一部分)，然后在传感器 352的柱形表面上滚动他的手指(或拇指)，使它旋转，并且连续地把 柱形表面的新位置带入暴露的区域。这样用户就能够使他的手指整个 地接触传感器，其接触区域大于任何一个瞬间暴露的圆柱表面的区域。\n该特征的优点在于，尽管传感器352占据的便携装置370的顶部 表面的比例基本上保持为图2的装置70中的比例，但是，与传感器52 相比，传感器352能够检测手指的更大区域。本发明人已经发现了这 是一个有用的特征，这意味着一个单个装置可以由其指纹尺寸非常不 同的个人，例如不同种族的个人进行操作。\n参见图10，图10显示了一个举例说明使用本发明一个实施例的具 有集成指纹模块的第一形状的装置70或者第二形状的装置370进行用 户注册/确认处理的步骤地流程图200。在下面的说明中，各种模块和 部件涉及在上文中已经使用相同的标号结合图1A说明的模块和部件。 在步骤210中，在连接主机平台地时候，便携装置70、370经历一个 初始化处理。在一个当前优选实施例中，该初始处理包括建立与主机 平台的通信，确保该主机平台知道便携装置70、370已经与其连接。\n在步骤220，便携装置70、370确定一个用户注册是否是必要的。 例如，如果便携装置70、370是第一次使用，还未在快闪存储器20中 存储模板，则便携装置70、370将引导用户通过主机平台经由用户接 口(例如，弹出消息窗口)完成注册处理(如下所述的步骤225，235， 245和255)。因而，当首次使用便携装置70、370(例如，购买即刻)， 一个优选实施例自动的初始化注册处理，以生成第一模板(“主模板”)。 这种处理最好通过检验一个状态标记来实现(例如，图1B的快闪存储 器120中的标志121)。各用户可以通过主机平台上的软件启动如下文 所述的后续注册。\n在一个实施例中，便携装置70、370支持一个以上的用户。在另 一个实施例中，同一用户可以把多个指纹注册为多个单独的模板。在 另一个实施例中，同一用户指纹可以被多次注册为多个不同模板。这 样，通过周期性地(例如，启动时)询问一个新用户/模板是否需要添 加，或者在用户请求时(步骤220)，便携装置70、370就可以方便地 注册附加的用户和/或附加的模板。如果一个附加的用户/模板要被注 册，则调用该注册处理。如果确定不需要新的注册，则处理前进到一 个确认处理(如下文所述的步骤230、240和260)。\n应当理解的是，在本发明的范围内，软件(例如，一个软件驱动 器)可能需要在首次使用便携装置70、370之前，安装到主机平台上， 以便能够利用主机平台的用户接口与用户通信。还应当理解的是，如 果主机平台的操作系统具有这种功能性的内置支持，则不需要将附加 软件安装在主机平台上。\n继续参见图10描述注册处理。在步骤225，初始化注册处理。在 一个实施例中，该初始化处理包括通知用户一个注册处理将开始，以 及提示用户把他/她的手指放在传感器52上。\n在步骤235，读传感器52，以捕获已经放置在传感器上的用户的 手指的指纹。在一个目前的优选实施例中，步骤235还包括确认所捕 获得指纹图像具有用于进一步处理(例如，模板生成)的足够质量。 这最好按照微处理器11的命令由控制单元56执行。在一个优选实施 例中，如果所捕获的指纹图像的质量是不可接受的，则重复步骤235。 在这种环境下，将提示用户再次把他/她的手指放到传感器52上，以便 可以捕获新的图像。重试的次数是用户可配置的。\n一旦在步骤235捕获了一个可接受的指纹图像，处理200就进入 步骤245，在此步骤中根据捕获得指纹图像生成一个模板。如上所述， 在一个优选实施例中，不获得指纹图像被变换成64KB的数据，然后 将该数据用作对模板生成器12a的输入，以生成一个512字节模板。\n在步骤248中，将步骤245中生成的模板加密。在一个实施例中， 该加密友固件(例如，图1B的加密固件117d)，从而提供防范非法 访问的增加的安全水平。\n在步骤255中，加密的模板被存储在快速存储器20中。在一个实 施例中，当成功地生成和加密一个模板时，模板生成器12a提示快闪 控制器14将新生成的和加密的模板存储在快闪存储器20中，以供后 续用户验证使用。此外，如上所述，在一个优选实施例中，该模板被 存储在快闪存储器20的一个保留区域中，该保留区域是为存储模板而 特别指定的，并且用户不能另行访问。   在步骤280中，生成一个指示注册处理成功完成的地信号或者消 息。在便携装置70、370北用作安全存储装置的一个实施例中，步骤 280还可以使便携装置启动，即，授权新注册的用户访问(例如，从此 读取数据和写数据)便携装置70、370，并且将便携装置70、370映射 到主机平台90的有效驱动字母。\n继续参见图10说明使用便携装置70、370的验证处理。在步骤230 中，读传感器52、352，以捕获已经放置在传感器上的用户手指的指纹 图像。在一个目前的优选实施例中，步骤230还包括控制单元56所进 行的被捕获图像的质量检验，以便当捕获的指纹图像的质量是模板生 成所不能接受时，将重复图像捕获。如果需要一个重复的捕获，则将 提示用户。重试的次数最好是用户可配置的。在一个目前的优选实施 例中，步骤230还包括根据捕获得指纹图像生成一个模板，以及将得 到的模板存储到易失性存储器16中。\n在步骤240，从快闪存储器20中读取所存储的模板，该模板用作 验证其指纹图像已经在步骤230中捕获的用户的身份的基础。在一个 目前的优选实施例中，微处理器11命令快闪存储器14从快闪存储器 20中检索被注册的模板。\n在步骤250中，解密从快闪存储器20中读出的注册模板，该模板 在一个优选实施例中是以加密格式存储的。在一个实施例中，解密的 模板被加载到易失性存储器16上。\n在步骤260中，确定是否可以对照记录的已注册指纹模板验证用 户的指纹。在一个当前的优选实施例中，确认模块12不将待确认得模 板与已注册的模板进行比较。如果检测到一个匹配，则该用户被确认； 否则，验证失败。在一个实施例中，如果一个初始的尝试失败，则允 许用户再次尝试该验证处理(例如，重复步骤230、240和250)。重 复尝试的次数最好是用户可配置的，并且可以在授权的用户已经被验 证和授权访问的时候设置。\n在一个实施例中，当一个用户不能验证他/她的身份为一个授权用 户时，将阻塞队快闪存储器20的访问(例如，在软件驱动器置于主机 平台90的一个实施例中，软件驱动器可以禁止这种访问)。在另一个 实施例中，在这种验证失败的时候，便携装置70的微处理器11将关 闭或者禁止快闪存储器14。这些动作用作防范对快闪存储器20中存储 的数据的潜在的非法访问和未授权访问的其他形式地增加的安全措 施，并且通过重复失败的验证尝试来触发。\n在一个实施例中，提供了一个可选步骤270。在该实施例中，确认 模块12b将禁止和拒绝验证一个其指纹已经事先注册的授权用户，该 用户被供有旁路指纹验证并提供一个替代访问获取的口令选项。该实 施例为用户提供了避免一个无助状况的能力，在该无助状况中，如果 不确定确认模块12b以及在确定该确认模块12b之前，不可能有对快 闪存储器20的内容的访问。如果正确地输入该旁路口令，则用户验证 则被认为是成功的；否则，用户验证则维持失败。还应当理解的是， 如果增加的安全性是预期的，则除了用于本发明范围内的正常的例行 验证的指纹验证之外，还可以实施一个口令要求。\n在步骤280中，生成一个指示成功确认的信号和消息。在便携装 置70、370被用作一个安全存储装置的实施例中，步骤280还可以包 括使便携装置启动，即，准许新注册的用户访问(例如，从中读取数 据和写入数据)便携装置70、370，并且把便携装置70、370映射到主 机平台90的有效驱动字母上。\n应当理解的是，在验证引擎12位于主机平台90上的一个实施例 中，需要对上述的验证处理进行适当地修改。具体地说，一旦在步骤 230获取了满意的指纹，就首先对图像数据进行加密，然后发送给主机 平台90，其中将完成将由验证引擎执行的步骤。因此，依据特定的实 施或者应用，从便携装置70、370发送到主机平台90的消息可以是成 功验证时的简单的成功通知，或者是代表一个正在等待验证的一个用 户指纹的图象数据。\n在一个目前的优选实施例中，处理200的各步骤的执行由运行固 件码的微处理器11控制，该固件码最好被存储在便携装置70、370的 非易失性存储器17中。\n显然，应当理解，本发明不仅考虑了强便携装置70、370用作一 个安全数据存储装置，而且还用作一个访问控制装置。具体地说，在 本发明的范围内，便携装置70、370可以充当进入连接便携装置70、 370的主机平台90的“访问密钥”。更具体地说，在本发明的一个实 施例中，为了访问主机平台90上的任何资源(例如，数据，文档，应 用程序，外围设备)和/或附加在其上的任何资源(例如，网络访问， 网络打印机和存储装置，电子邮件)，需要一个用户使用具有集成的 指纹模块50的便携装置70、370首先成功地验证作为一个授权用户的 他/她的身份，根据该实施例，最好使用这种指纹验证替代传统的基于 口令的验证(或者作为选择，可在口令验证的基础上加之这种指纹验 证)。这样，根据本发明，可以有利地消除基于口令验证方案的现有 技术中固有的用户不方便和不严格的安全性。\n除了对各种计算机资源的访问控制外，还可以在大量的其他应用 中有利地利用本发明，比如，进入私宅、办公室、旅馆房间、银行金 库和保险箱，等等。本发明还适用于将诸如工厂的机器和车辆的机械 操作限制到经过适当训练的那些人员。在一个实施例中，访问控制装 置70、370可以用作进入私宅的住宅钥匙或者进入旅馆房间的房间钥 匙，以替代传统的钥匙。在第一实施例中，当基于生物测定学的锁安 装在住宅上时，住宅的主人首先注册他/她的指纹。在后面的实施例中， 当旅馆的旅客在旅馆登记时，首先注册他/她的指纹。此后，进入住宅 或旅馆房间就被安全的限制到相应的钥匙持有者(住宅主人和旅馆的 旅客)。这里所公开的基于生物测定学访问装置技术的这些和其他的 宽范围应用都落入了本发明的精神和范围之内。\n尽管这里是按照使用指纹验证技术实施访问控制来公开本发明的 实施例的，但应当理解的是，本发明不限于此，本发明包括其他的基 于生物测定学技术的使用。一种这样的技术是iris scan技术。尽管这里 未特别说明这样的其他基于生物学测定的技术，但是它们的对使用一 个便携装置的访问控制实施的适用性落入本发明所公开的范围和精神 之内。\n此外，尽管这里是按照快闪存储器用作一个存储媒介来公开本发 明的优选实施例的，但是应当理解的是，在本发明的范围内，也可以 使用其它类型的非易失性存储器，比如铁电体随机存取存储器(FRAM) 和磁随机存取存储器(MRAM)。此外，尽管在这里是按照适合于USB 标准来描述这样的优选实施例的，但是本发明的便携装置不限于此。 而是，本发明的意图是包含支持其他通信协议和/或总线标准，比如 IEEE1394(“firewire”)标准的便携装置。\n尽管本发明的优选实施例，一个使用基于生物测定学技术实施访 问控制的方法和系统已经被公开，但是本领域的熟练技术人员将明白， 现在和将来，可以作出落入下面的权利要求中的各种改进和提高。这 些权利要求应当被解释为主张这里所首次公开的本发明的适当保护范 围。