CN1820279B

CN1820279B - 能通过生物测量创建和操作多用途凭证管理装置的方法和系统

Info

Publication number: CN1820279B
Application number: CN2004800168280A
Authority: CN
Inventors: 约翰·罗伯特·科因; 克里斯托弗·安德鲁·科因; 威廉·马克·亚当斯; 雷蒙德·芒森·华莱士
Original assignee: URU TECHNOLOGIES Inc
Current assignee: URU TECHNOLOGIES Inc
Priority date: 2003-06-16
Filing date: 2004-06-15
Publication date: 2012-01-25
Anticipated expiration: 2024-06-15
Also published as: IL172568A; RU2005138121A; US8144941B2; US7715593B1; KR20060035623A; US20100117794A1; CA2529176C; MXPA05013288A; WO2004114190A1; JP2006527890A; KR101100286B1; EP1656639A4; IL172568A0; US20100275259A1; AU2004250655A1; CA2529176A1; CN1820279A; EP1656639A1

Abstract

一种用于将多种安全凭证方式集成到小型自供电的且可通过生物测量方式保护的装置并对该装置进行控制的方法和系统，其中所述多种安全凭证方式包括磁条、条形码、接触式和非接触式智能卡芯片(12)、短消息系统(SMS)、全球定位系统(GPS)、短距离式射频识别装置(RFID)(14)以及超短距离式RFID(22)。

Description

能通过生物测量创建和操作多用途凭证管理装置的方法和系统

本申请是2003年6月16日提交的申请号为60/478,363的美国临时专利申请“能通过生物测量创建和操作多用途凭证管理装置的方法和系统”的部分连续申请，并要求其优先权。

背景技术

本发明涉及一种用于将多种安全凭证方式集成到小型自供电的且可通过生物测量方式保护的装置并对这些装置进行控制的方法和系统，其中所述多种安全凭证方式包括磁条、条形码、接触式和非接触式智能卡芯片、短消息系统(SMS)、全球定位系统(GPS)、短距离式(vicinity type)射频识别装置(RFID)以及超短距离式(proximity type)RFID。

发明内容

本发明10由数字识别验证鉴定-个人识别装置(Digital IdentificationVerification Authentication-Personal Identification Device)(DIVA-PID12)和注册系统14组成，其中注册系统14也能够针对选择的应用程序而启动对装置持有者及其凭证(credential)的即时识别和验证。通过利用一对多匹配方式(one-to-few match)来发放持有者的凭证，DIVA-PID12可以保护用户的个人生物测量数据，而不是指纹图像。

发放的凭证可启动多种用途的应用程序。本发明用于利用适当的授权获取个人后台校验(background check)的结果以验证和鉴定人员的状态，将该数据转换为加密的安全的个人凭证，将该凭证传送到所述装置上，随后在该装置上对用户进行验证。

用户只有通过指纹驱动生物测量系统才能够激活装置12。该装置的应用程序包括对于接入控制、金融交易、忠诚度或会员程序、雇员识别、护照、VISA、驾驶执照以及政府识别凭证的可视电子个人识别。

本发明的主要目的和优点为本发明允许凭证注册授权机构、装置所有者和使用应用程序的地点通过独有的处理和设备，建立和限定对于凭证信息和接入控制信息的接入和传输的控制。

本发明的另一目的和优点在于，本发明能够不需使用外部电源、人员或电子检测装置，而在凭证管理装置上实现对所有者的有效识别，从而保护了个人的公民权益。

本发明的再一目的和优点在于，本发明中的凭证管理装置除了由所有者激活的情况之外是视觉无法鉴定的、不可接入的以及不可使用的。

本发明的又一目的和优点在于，本发明创建了一种用于提供安全的、秘密的且有效的接入和交易账户控制的方法，其能够与已部署的多种基础设施以及新的基础设施进行交互，所述基础设施包括自动柜员机(ATM)、电子收款机(POS)终端、智能卡接触式和非接触式终端、射频终端、短消息系统(SMS)、全球定位系统(GPS)、磁条读取器以及条形码扫描器。

本发明的另一目的和优点在于，本发明的DIVA-PID可以制造并集成为小型、自供电的构型设计(form factors)例如信用卡、钥匙链、传呼机或其他相似大小的装置。

本发明的另一目的和优点在于，由于可通过使用多个手指的图案而创建不同的“通过码(pass code)”以激活生物测量启动开关，因此本发明具有较高的安全性。此外，凭证的发放被加密。

本发明的另一目的和优点在于，本发明具有独有的制造方法，即利用压敏印刷材料大量创建DIVA-PID磁芯功能模块。印刷材料所具有的柔韧性、可靠性和基础性能符合甚至超出对信用卡和相似装置做出规定的ISO标准。

本发明的另一目的和优点在于，本发明具有独有的自适应应用程序。与一种基础设施交互的信息，例如经由连接到个人计算机的智能卡读取器获取的新账户的凭证，可以与另一基础设施进行交互，例如在与ATM或POS终端交易期间通过磁条仿真使用该新的账户信息。

本发明的另一主要目的和优点在于，本发明将大量的凭证、接入控制及凭证传输技术集成到由指纹系统启动并保护的单个装置。

本发明的另一目的和优点在于，本发明将弹性玻璃衬底材料集成到装置层中，以提供电路层和组件的非传导性绝缘，从而符合ISO7816标准对厚度和柔韧性的规定。

本发明的另一目的和优点在于，该装置能够将指纹生物测量与例如语音识别的第二生物测量组合，以增强装置的安全性。

本发明的另一目的和优点在于，本发明使用Tempest屏蔽以防止经由远程电子窃听而对电子系统和数据进行未授权接入。

本发明的另一目的和优点在于，本发明使用了诱骗电路(decoy circuit)以防止或延迟将破坏本发明及其数据的内部安全性的反向工程(reverseengineering)。

本发明的另一目的和优点在于，本发明提供了电路间通信方式(inter-circuit communication)，其在内部加密以确保应用程序和数据的保密性。

本发明的另一目的和优点在于，本发明通过板上(on-board)应用程序检测异常行为，并向发放者(issuer)发出警报或禁止继续使用本发明。

本发明的另一目的和优点在于，本发明允许发放者初始化多种可以任意组合使用的加密，以从内部和外部保证应用程序和数据的安全性。

本发明的另一目的和优点在于，本发明允许对每一次的数据传输进行独有的加密，以限制对数据通信及传输数据的复制的进行窃听或窃取的有效性。

附图说明

图1是本发明的注册系统的示意图。

图2A是具有与信用卡相似的构型设计的本发明装置第一实施例的俯视平面图。

图2B是具有与信用卡相似的构型设计的本发明装置第一实施例的仰视平面图。图4是具有与钥匙链相似的构型设计的本发明第二实施例的平面图。

图3是本发明装置的各个单元的示意图。

图4是具有与钥匙链相似的构型设计的本发明第二实施例的示意图。

图5A-5C是具有与寻呼机相似的构型设计的本发明第三实施例的透视图。

图6是本发明装置的各个层的分解透视图。

图7是本发明的装置注册方法的流程图。

图8是本发明的装置激活方法的流程图。

图9是本发明的安全控制方法的流程图。

具体实施方式

DIVA-PID12的构型设计具有三种通用配置，即信用卡状形式、钥匙链状形式和寻呼机状形式。这些配置可以进行多种改变。注册站点14是一组集成的装置(见图1)和配置成多种适合于应用程序的结构的软件。DIVA-PID12和注册站点14包括凭证鉴定(authentication)和管理系统的单元。

注册和凭证控制中心

具有三个用以注册和凭证控制的功能实体：

DIVA-PID注册站点14

安全控制设备16

通信处理装置(未示出)

DIVA-PID注册站点

注册站点14用于创建和管理人员接入(personnel access)。其包括用于获取数据的生物测量装置接口模块、将该装置与安全集成引擎集成于一体的多个联网站点以及用于创建和控制人员注册和授权(authorization)记录的联网站点。

具体地，DIVA-PID注册站点14用于：

创建授权的人员记录；

获取指纹记录(如果被底层策略(underlying policy)所期望或要求)；

利用适当的授权机构来运行后台校验程序以验证人员状态(如果被基本底层所期望或要求)；

对DIVA-PID12接入装置编程；

基于持有者的独有档案(profile)进行授权；

印制(print)和保障(secure)多个DIVA-PID12装置，并将各装置分发给被鉴定的个人。

安全控制设备

SCS16用于监测接入控制应用程序的状态并进行必要的干预。SCS16也可用于修改系统正在使用的通用安全协议，或者修改传感器正在使用的专用协议。

具体地，SCS16可用于：

在整个控制区域内追踪授权人员的位置；

监测DIVA-PID12的报警状态，并追踪控制区域内的未授权侵入人员的位置。

通信处理装置

所用的一套通信方法集成了兼容的无线和非无线装置，并仅对授权装置启动接入控制。通信处理装置由集成有安全的无线和非无线语音通信装置的联网站点构成。

具体地，通信处理装置用于：

管理与安全机构的防卫人员的通信，包括安全协议的传输以及向报警状态的转变；

控制和/或限制对通信网络的接入；

更新、添加或删除凭证信息。

典型的注册处理(图8)

将空置(blank)的DIVA-PID12递送到注册中心，以针对终端用户进行个性化处理，并添加适当的码、标记和凭证(见图8)。在发放DIVA-PID12之前，注册管理员将遵循已建立的策略进行卡的发放。策略通常包括后台校验和凭证和/或接入权的验证。注册管理员和策略机构负责在后续处理之前验证申请人是否已被有效地识别。基于底层策略，用户将注册一个手指的信息或者一组数字。注册多个数字的功能意味着一个以上的人员可以向一个卡注册。可将DIVA-PID12设置为当有效地识别出内存中当前存储的任何一个数字或者具有特定顺序的数字组合以作为额外的安全性检测时，激活该DIVA-PID12。可将某一图案的指纹指定为用于在鉴定时秘密地指出用户正被挟持。

当完成注册处理时，通过电子方式禁用注册电路，使得只有注册机构能够注册或重新注册用户。如果策略允许，DIVA-PID12可被设置为允许通过RFID添加或删除凭证。在注册时：

DIVA-PID12可采用加密和数字安全传输机制；

DIVA-PID12可用于满足从接入控制到信用卡保护的每一种安全卡的需求；

每一个DIVA-PID12具有存储多个凭证的能力，例如驾驶执照、护照、建筑大楼进入、信用卡、医疗保健卡(health care card)等。

除非被鉴定，否则DIVA-PID12将保持在“深度睡眠”的默认模式，但是一旦DIVA-PID12进入RFID网络的读取范围内，DIVA-PID12将被“看到”。这是由于当卡处于深度睡眠状态时，DIVA-PID12的板上RFID处于半激活RFID模式。只有当被鉴定的持有者开启DIVA-PID12时，才能激活卡的功能。

注册中心设各说明

注册中心数字摄像机

数字摄像机18连接到注册站点计算机以由注册管理员获取人员的照片。用于该用途的典型的摄像机为Polaroid SX-2型照片ID摄像机。

注册中心打印机

卡打印机20用于在未选择有源显示配置时在丢失了信息或照片ID的情况下，打印返回地址(return address)。典型的ID卡打印机为Fargo CardJet410照相Id系统。

注册中心注册站点

优选地，注册站点14是一台个人计算机，其运行来自银河控制模型/系统602的接入控制软件。该系统获取从后台校验数据库传送的个人凭证信息，并将该信息存储在安全凭证存储数据库中。将数字照片电子附着到存储的凭证上以完成注册处理的数据部分。优选地，个人计算机是例如DellDimension^TM4600等来自任何商业来源的安装有标准windows2000操作系统的台式计算机。

注册中心RFID读取器

RFID读取器22是802.15.4收发器装置，其基于障碍物或选择的特定频率而检测高达300英尺范围内的DIVA-PID12的存在。读取器将向后连接(interface back)到注册站点计算机14，以便当装置持有者鉴定DIVA-PID12时验证装置持有者的凭证。读取器的结构与DIVA卡的结构相同，除了其不包括例如LED、乐音发生器、LCD、显示器、智能芯片或磁条仿真器等可选功能。根据应用程序的需要，读取器可通过有线或无线连接的方式向后连接到注册站点。优选地，读取器与Chipcon CC2420DK开发工具相兼容。

注册中心安全后台校验数据库

安全服务器24用于存储、搜索和找回关于已注册用户的后台信息。优选地，可将使用windows2000服务器等的普通SQL数据库用于数据结构。优选地，该服务器与Dell PowerEdge^TM700系列服务器兼容。

注册中心安全凭证存储器

安全凭证存储服务器26用于在注册站点和安全后台数据库中存储、搜索和找回关于已注册用户的凭证信息。优选地，可将使用windows2000服务器等的普通SQL数据库用于数据结构。优选地，该服务器与DellPowerEdge^TM700系列服务器兼容。

注册中心空置的DIVA-PID

在所有的三种配置中可用的多个DIVA-PID12被递送到授权的注册中心，以与用户匹配并被激活。

DIVA-PID12典型的构型设计

(a)信用卡状配置

DIVA卡12的形式(format)12a通常被设计为除了柔韧性外还具有符合标准磁条卡和智能卡的物理需求(如在国际标准化组织(“ISO”)中规定的标准ISO7811和ISO7816)的构型设计(见图2A、2B和3)，并且基于应用程序和特性，其厚度可位于0.78到5.0毫米的范围内。

本发明10包括与控制电路(未示出)耦接的生物测量传感器30、微处理器32、内存34以及板上电源36。设置字母数字式显示器38、乐音发生器40和多个LED42以与用户进行交互。具有有源显示或可打印区域的可视显示区域44设有多个可与用户和与现有的基础设施进行安全交互的装置，包括：用于与ATM或POS装置中的磁条读取器进行交互的磁条仿真器45；具有0.78mm厚度配置的智能卡接触垫片46；以及嵌入式天线48，用于与多个电磁装置进行交互，这些电磁装置包括非接触式智能卡读取器、SMS、GPS和射频识别装置(RFID)。字母数字式显示器38也能够通过显示条形码而与红外条形码扫描器交互，所述条形码类似于例如在零售店使用的在大多数消费品上使用的通用产品码、或者其类型可用于识别消费者的忠诚度或会员账号的条形码。板上电源可包括可充电电池、不可充电电池或这些装置的某种组合。图4示出了构成DIVA卡的磁芯功能模块的多个层的分解图。

(b)钥匙链状配置(图3和图4)

DIVA钥匙链12的形式12b包括下列组件：生物测量传感器30，其与控制电路(未示出)和内存34耦接；板上电源36；与用户交互的装置，如字母数字式显示器装置38；以及各种与现有的基础设施安全交互的装置，例如用于经由磁条仿真器45而与ATM或POS装置中的磁条读取器交互，经由天线48与任意数量的电磁装置终端交互，所述电磁装置终端例如为非接触式智能卡读取器或其他射频装置。

在一种变化形式中，可包含一通用串行总线(USB)插头50，用于与典型个人计算机的USB端口交互。电源36包括可充电电池、不可充电电池或者这些电源的某种组合。在一种变化形式中，显示器38能够通过显示条形码而与例如在零售店交款通道处使用的标准红外条形码扫描器的条形码扫描器交互，该条形码类似于例如在零售店使用的在大多数消费品上使用的通用产品码，或者其类型可用于识别消费者的忠诚度或会员账号的条形码。

在这种构型设计中，磁条仿真器45并不是在ATM和加油站中所使用的那种类型的所谓的获取磁条读取器中使用，而是在大多数刷卡式POS终端中使用，其中将磁条刷过一个含有磁条读取头的槽。

(c)寻呼机状配置(图3、5A、5B和5C)

DIVA寻呼机12的形式12c包括下列组件：生物测量传感器30，其与控制电路(未示出)和内存34耦接；板上电源36；与用户交互的装置，如字母数字式显示器38和可视显示区域44；以及各种与现有的基础设施安全交互的装置，例如用于经由磁条仿真器45与ATM或POS装置中的磁条读取器交互，经由天线48与任意数量的电磁装置终端交互，所述电磁装置终端例如为非接触式智能卡读取器或其他射频装置。

在一种变化形式中(未示出)，包含一通用串行总线(USB)插头，用于与典型个人计算机的USB端口交互。电源36是标准蜂窝电话可充电电池。在一种变化形式中，显示器38能够通过显示条形码而与例如在零售店交款通道处使用的标准红外条形码扫描器的条形码扫描器交互，该条形码类似于例如在零售店使用的在大多数消费品上使用的通用产品码，或者其类型可用于识别消费者的忠诚度或会员账号的条形码。

在一种变化形式中(未示出)，可包含音频乐音发生器和多个LED，用于协助与用户的交互。

在该DIVA寻呼机构型设计中，磁条仿真器45从外壳的侧面弹出，并且不是在ATM和加油站中所使用的那种类型的所谓的获取磁条读取器中使用，而是在大多数刷卡式POS终端中使用，其中将磁条刷过一个含有磁条读取头的槽。

DIVA-PID制造方式(图6)

由DIVA-PID12装置集成的磁芯功能模块使用了为压敏材料产业开发的独有制造处理，以便通过较高机器速度的原料供给(feeds)(见图10)、利用弹性玻璃、玻璃环氧树脂或聚酰亚胺衬底构建功能装置的多个印刷层。

使用了弹性衬底的压敏粘合层

磁芯功能模块被分为三层粘合材料，这三层粘合材料相组合以形成用于DIVA卡和DIVA寻呼机形式的单一弹性组件。衬底材料优选为利用无溶剂树脂技术在真空浸渍的薄的编织玻璃纤维片。这种材料具有非常好的热稳定性和机械稳定性，并且具有良好的绝缘特性。可将各层涂敷到辊子(roller)上，并将其配置为在机器中随着其他层一起滚动，以便制造出最终的组件。在将多个层永久地粘合在一起的处理期间使用粘合剂。

DIVA钥匙将使用相同的制造技术，但是其将不同的层安装到不规则外壳中。

智能卡接触式/非接触式芯片

DIVA-PID12包括非接触式智能卡装置，并能够与通常连接到商业终端和标准计算机的类型的标准智能卡读取器交互，如在ISO7816规范中说明的Datakey330型。DIVA卡也具有智能卡接触终端垫片46。标准智能卡用于多种交互，包括建筑大楼进入、计算机接入、网络接入、电子金融钱包、投币式公用电话上的长途电话呼叫、移动电话网络接入以及移动电话账号或钱包。首先与至少具有一个预先设立的信用或借记账号的个性化DIVA-PID12交互。已授权用户的指纹样版及设立的账号存储在该装置的非易失性内存中。其处理包括三个基本步骤：启动该装置、选择账户和启动智能芯片。

磁条仿真

DIVA-PID磁条仿真处理包括在ATM或在销售点的账号设立处理及仿真处理。普通识别卡的磁条由美国国家标准化组织(ANSI)所规定，例如采用ANSI的X4.16-1983标准，以及由ANSI/ISO/IEC-7811部分1-5中提供的用于识别卡的更多近来的国际标准所规定。利用磁条仿真器对此处描述的各种装置的典型处理为使用POS终端或ATM的磁条仿真，以向磁条读取器发送信用或借记账号。

首先与至少具有一个预先设立的信用或借记账号的个性化装置交互。已授权用户的指纹样版及设立的账号存储在该装置的非易失性内存中。其处理包括三个基本步骤：启动该装置、选择账户和磁条仿真。

磁条仿真器是公知的。例如，参见美国专利No.6,206,293、No.5,834,747和No.4,791,283。本发明并不是要再现整个磁条，而是在注册处理中电子连接在磁条磁轨上写入的一部分所需码。通过这种方式，电力的需求被最小化，并且只有由被鉴定的装置持有者开启时才可读取磁条。

生物测量控制系统

本发明10可包含三种可用类型的指纹传感器技术30a，即压力、光和超声波。目前，由于尺寸、成本和在薄膜材料上的制造便利性的原因，主要采用Fidelica公司的压力型指纹传感器。此外，压力型传感器30a可用作选择器开关，从而无需额外的装置。指纹传感器30a用作对DIVA-PID12中包括的所有功能模块的智能开启-关闭开关。在注册处理期间，DIVA-PID12的所有者可以注册任何手指或拇指的信息以及多个附加数字，以激活该装置。对于更加安全的应用程序，注册处理可能要求以特定的顺序输入多个手指的信息，从而使伪造更为困难。一旦完成指纹注册处理，样版被存储在内存中，并且注册处理被永久性地电子破坏，以便不会发生对鉴定处理的篡改。用于与结果匹配的软件算法对于“单次接触”具有0.001％的误接受率(FAR)和0.08％的误拒绝率(FRR)，并且其基于由BioScrypt开发的主要法庭用(leadingforensic)指纹算法。

首先与通过已授权的注册机构存储在该装置的非易失性内存中的已授权用户的指纹样版进行交互。其处理包括四个基本状态：未鉴定、已鉴定、鉴定失败和“受挟持”鉴定。

RFID系统

RFID天线48和芯片支持从800MHz到2.45GHz的工作频率，并且为在半激活和激活模式工作的收发器类型。初始配置使用Chipcon cc2420中的IEEE802.15.4/Zigbee协议(见图14)。当已授权用户激活生物测量传感器30时，RFID电路可被选择为在激活模式工作。半激活模式允许该装置可被短距离和超短距离读取器检测到，以向读取器发出“装置进入了控制区域，但是其还未被鉴定为可传送感应凭证信息”的警报。这一特性用于检测和追踪工具，其在接入控制应用程序中是很重要的。读取/写入功能允许已授权的注册代理可电子更新、添加或删除凭证。

首先与至少具有一个已存储凭证的个性化装置交互。已授权用户的指纹样版以及激活与半激活凭证被存储在该装置的非易失性内存中。即使处在“深度睡眠”模式，该装置也总是处于半激活模式，以便其能够检测到RF读取器或者能够被RF读取器检测到。当检测到该装置时，读取器可激活装置的乐音发生器40或LED42，以表明用户应尝试鉴定该装置。一旦被鉴定，就发送一个或多个凭证，或者激活卡上的其它功能，以与读取器交互。

条形码

由此处描述的装置所显示的条形码被动态地呈现在字母数字式显示器38上，其可由标准条形码扫描器读取。此外，用户能够从该装置中存储的多个条形码中选择条形码。此外，可指示显示装置从显示器上去除条形码的图像，以使条形码不能被扫描，直到用户再次选择待显示的条形码为止，从而通过生物测量输入而再次潜在地验证用户身份。本发明10可用于显示零售或杂货店所使用类型的会员账号，以及会员俱乐部例如乡间俱乐部或健身俱乐部使用的会员号码。

首先与至少具有一个已存储凭证的个性化装置交互。已授权用户的指纹样版和条形码信息被存储在该装置的非易失性内存中。当用户鉴定卡时，手指压盘30a可用作鼠标以指示LCD上显示的功能，直到选择了条形码功能为止。然后便可扫描条形码。

字母数字式显示器

基本显示卡包括在安全多接入显示卡(Security Multi-access Displaycard)中列出的所有装置，其具有显示字母数字文本、图形和条形码的小显示器38。小显示器使用1到2行最多显示20个字符。在制造过程中用专用的薄膜材料涂敷在显示器上以使LCD能够仿真可由标准条形码扫描器读取的条形码。

首先与至少具有一个已存储凭证的个性化装置进行交互。已授权用户的指纹样版被存储在该装置的非易失性内存中。当用户鉴定卡时，手指压盘30a可用于指示LCD上显示的功能，所需的功能被选择并被激活了预定的时间段为止。

有源显示器

为有源显示器44提供了一种可选配置，其具有用以生成信息表格的足够的分辨率。信息可存储在内存中，或者经由RF接口而动态地写入卡中。当写入了图像时，就不需要保持施加到显示器以保持图像的电力，从而节省了电池的电力。

在该显示器的一项应用中，表格包括已授权用户的移民和签证信息。在另一项应用中，显示器示出了在驾驶执照上通常包含的信息。然而，由于生物测量传感器垫片允许包含选择和显示多页信息功能的用户输入，因而该装置并不限于仅存储一项显示应用。

作为实例，一个装置能够存储和显示各种用途的数据，如护照控制、驾驶执照信息、边境控制授权、建筑大楼进入和计算机网络接入控制、金融账户和余额信息、信用/借记卡授权以及医疗保健信息。

控制电子装置和操作软件

控制电子装置将卡的所有功能结合在一起并控制其操作，这些操作包括电源管理和电池充电。专用集成电路和离散装置与内存装置、操作软件和加密技术结合使用，完成对DIVA-PID结构的整体控制。

除非经由成功的指纹匹配而初次启动，否则除了RFID半激活模式中可用的受限制信息外不能执行任何功能。

电力产生

通过将传统的薄膜沉积技术与利用例如锂聚合体的高能量密度材料制作可充电电池的技术相组合而实现电力的产生，其中高能量密度材料被直接集成进正被制造的功能元件的薄膜层中。由于有更多的可用空间，因此DIVA钥匙12b和DIVA寻呼机12c可使用标准电池技术来用于电子装置。电池使用于脉冲模式，以便使两次充电的时间间隔最大化。

短消息服务

可选的SMS电路(未示出)能够利用与现有双向寻呼机所使用的基础设施相同的基础设施配置来发送和接收消息。

首先与至少具有一个已存储凭证的个性化装置进行交互。已授权用户的指纹样版被存储在该装置的非易失性内存中。当DIVA-PID12进入读取器的范围时，读取器可向用户发送用于鉴定的信号以便接收消息。当用户鉴定卡时，手指压盘可用于指示LCD上显示的功能，直到所需的SMS功能被选择并被激活了预定的时间段为止。

全球定位系统

可选的GPS接收电路(未示出)可由微处理器查询以确定该装置的全球位置。

首先与至少具有一个已存储凭证的个性化装置进行交互。已授权用户的指纹样版被存储在该装置的非易失性内存中。DIVA-PID12可被设置为向读取器周期性地发送GPS协议格式，或者可经由RF读取器对其进行查询，并且用户可以决定是否其想要发送用以识别其位置的信号。

使用本发明的方式和处理

通过接触来激活DIVA-PID指纹压盘30a，该接触开启了电子装置并启动了当前指纹与板上指纹的比较。如果当前指纹与存储的指纹之一或者存储的指纹的正确图案匹配，则启动该卡；否则，禁用该卡以使该装置不能发送数据。当压盘30a被激活时，其可用作选择/滚读接触感应控制垫片。

由于卡会被交给第三方(例如商家)以进行各种交易，所以可对计时器编程以使卡保持固定时间段(例如十五秒到两分钟)的可用性，以便该卡能够得到授权并更新处理。在时间期满后，该卡会禁用，直到再次由生物测量激活。

可以将有效期设置为以固定的时间以禁用该卡。卡可由已授权的注册代理处理，以便远程地删除或更新凭证数据。卡具有多种与基础设施交互的可选方式。磁条仿真与标准磁条读取器交互。智能卡接触垫片用于与智能卡接触读取器交互。天线提供与非接触式读取/写入装置的交互，并可与例如EZPass和SpeedPass的普通发射机应答器技术交互。

此外，根据电力和数据传输速度的需要，可以从达到300英尺的距离处管理卡的查询和检测。

除了生物测量安全性外，DIVA-PID12的显著优点为磁条仿真功能，其使得通用磁条读取器能够与DIVA-PID12交互，所述磁条读取器是低成本且广为使用的信用卡读取装置。大多数信用卡和接入控制基础设施都基于磁条读取器来实施。

本发明开发了一种用于将信号发送到卡的磁条区域45以“解锁”磁卡条的方法。与通用磁条技术的主要区别在于，除非装置由已鉴定的持有者开启，否则磁条不能够被读取。这极大地增强了这种最基本的技术的安全性。

利用仅由已被验证的用户激活的数字显示来代替浮凸号码显示(embossed number)，可以克服浮凸号码显示带来的另一安全风险。作为这种功能的附属产品，可以浏览并使用多个卡账户、奖励程序、优惠券、接入规则、凭证、特殊应用程序及其它数字不动产。与品牌和发放者的规则无关，一个卡能够包含发放银行账户信息，以及VISA、万事达信用卡、美国万国宝通或任何其它所需的借记/信用支付系统的账号。

(d)典型的操作模式

1.RFID凭证审查通过(pass)

a.用户收到黄色的LED及一次可听音，表明其位于读取器的范围内。

b.用户通过将正确的手指放置在压盘30a上而激活卡12。当完成扫描时，产生一个可听音，并激活LCD44以允许用户通过滚读而选择所需的功能。

c.用户利用压盘30a滚读到有源RFID功能，然后“按压压盘两次”以执行有源RFID功能，并且以每秒X次的频率发送凭证X秒。

d.当有源RFID功能已被激活时，计时器启动总共X秒，然后关闭有源RFID。

e.在开始发送时可听到一次可听音，在到达时限时可听到两次可听音。

f.用户可以经由LCD44选择另一功能，或者不采取任何动作使得卡12会在X秒/分钟后关闭。当已到达时限时，卡12将解除激活，这将由两次可听音告知。

2.有源显示数据

a.用户通过将正确的手指放在压盘30a上而激活卡12。当完成扫描时，产生一次可听音，并激活LCD以允许用户通过滚读而选择所需的功能。

b.用户利用压盘30a滚读到可视数据功能，然后“按压压盘两次”以执行可视数据功能。

c.当可视显示功能已被激活时，显示图像被保持，直到被下一次的交易清除或替换为止。

d.用户可以经由LCD44选择另一功能，或者不采取任何动作使得卡12在X秒/分钟后禁用。当已到达时限时，卡12会解除激活，这将由两次可听音告知。

3.LCD数据显示

a.用户通过将正确的手指放在压盘30a上而激活卡12。当完成扫描时，产生一次可听音，并激活LCD44以允许用户通过滚读而选择所需的功能。

b.可按压压盘30a一次，以根据需要滚读字母数字数据的功能或行(line)。当停止按压压盘X秒时，会听到一次可听音，以警告用户卡会在X秒/分钟后禁用。

c.如果在到达时限后仍按压压盘30a，则将重新启动时限。当已到达时限时，卡将解除激活，这将由两次可听音告知。

4.智能卡操作

b.用户利用压盘30a滚读到智能卡功能，然后“按压压盘两次”以执行智能卡功能，并且以每秒X次的频率发送标记X秒。

c.当智能卡功能已被激活时，计时器启动总共10秒，然后智能卡功能关闭。

d.在开始发送时可听到一次可听音，在到达时限时可听到两次可听音。

e.用户可以经由LCD44选择另一功能，或者不采取任何动作使得卡12在X分钟后禁用。

f.当已到达时限时，卡12会解除激活，这将由两次可听音告知。

5.磁条操作

b.用户利用压盘30a滚读到磁条功能，然后“按压压盘两次”以执行磁条功能。

c.当磁条功能已被激活时，可听到一次可听音，磁条仿真电路被激活以形成磁条信息，并且计时器启动30秒，然后磁条仿真电路关闭并停止该功能，同时发出两次可听音。

d.用户可以经由LCD44选择另一功能，或者不采取任何动作使得卡12在一分钟后禁用。当已到达时限时，卡12会解除激活，这将由两次可听音告知。

6.条形码操作

b.用户利用压盘30a滚读到条形码功能，然后“按压压盘两次”以执行条形码功能。

c.当条形码功能已被激活时，可听到一次可听音，LCD仿真电路被激活以显示条形码信息，并且计时器启动x秒，然后条形码LCD电路关闭并停止该功能，同时发出两次可听音。

d.用户可以经由LCD44选择另一功能，或者不采取任何动作使得卡12在x分钟后禁用。当已到达时限时，卡12会解除激活，这将由两次可听音告知。

7.SMS和GPS消息通知

a.用户接收到黄色的LED和一次可听音，表明其位于启动了SMS和GPS的读取器的范围内。

b.用户通过将正确的手指放在压盘30a上而激活卡12。当完成扫描时，产生一次可听音，并激活LCD44以允许用户通过滚读而选择所需的功能。

c.用户利用压盘30a滚读到SMS或GPS功能，然后“按压压盘两次”以执行SMS或GPS功能，并且以每秒X次的频率发送凭证X秒。

d.当SMS或GPS功能已被激活时，发送或接收消息，并且计时器启动总共X秒，然后关闭SMS或GPS。如果想要追踪，则可将GPS编程为周期性的发送。

f.用户可以经由LCD44选择另一功能，或者不采取任何动作使得卡12在X分钟后禁用。当已到达时限时，卡12会解除激活，这将由两次可听音告知。

个性化处理

在此处描述的任一DIVA-PID12装置可用于代表特定的用户处理交易之前，该装置必须针对所有者进行个性化处理。例如，所有者需要经由生物测量指纹压盘30a向该装置注册其指纹。在个性化处理步骤之后，该用户成为特定装置的授权用户。对于具有显示器44的装置，可经由显示器中的图形提示而使授权处理更为方便。对于安全凭证，必须使用注册和凭证系统。然而，存在大量的应用程序使得所有者能够通过智能芯片垫片和PCMCIA卡从互联网直接将信息下载到DIVA-PID12，而无需注册系统14。例如，一个公司可能希望向DIVA-PID所有者提供优惠券、特价或忠诚度程序。

初始化处理

当DIVA-PID12已被个性化处理时，可经由注册和凭证管理系统，利用诸如关于特定信用账户的账号信息之类的数据对DIVA-PID12进行初始化。

远程初始化处理的基本步骤为：

·由已授权的所有者启动该装置

·建立到已授权的初始化机构的安全连接，以便将特定的信息下载到生物测量装置

·验证用户接入到所搜寻的信息(sought after information)的权利，并将信息下载到生物测量装置。也可由位于不同地点的已授权的读取器站点下载凭证。参见图8，其详细示出了初始化和管理处理的系统视图。

启动处理

参见附图

图8卡激活

图7卡注册

图9安全控制

当已经利用与已授权用户相关的必要信息初始化DIVA-PID12时，启动处理将验证该用户是否是该装置的授权用户。

在该装置将任何个人数据发送到任意外部装置之前，必须成功地进行启动处理。启动处理对于所有的生物测量装置都是相同的。在生物测量装置30包括指纹传感器30a时，通过已授权用户将用户注册的手指或按照一定顺序排列的多个手指放置在指纹压盘30a上而启动生物测量装置30。指纹压盘30a识别出手指的放置且开始扫描手指以确定指纹，并将指纹缩减为细节样版(template of minutiae)，这在本领域是公知的。用该细节样版与事先存储的指纹细节样版相比较，并对两个样板之间的匹配程度进行计算。如果匹配符合事先建立的标准，则该匹配被验证并且生物测量装置转换到启动状态。

启动步骤至少需要两秒钟。

启动处理的基本步骤在本领域内是标准的。与本发明10的概念相一致，在装置中包含充足的电力，使得可在无需任何其他装置的协助下进行启动处理。该步骤对于启动生物测量装置30以与其他系统交互是十分重要的，所述其他系统例如为磁条读取器、接触式或非接触式智能卡读取器、射频装置或条形码扫描器。

根据此处的本发明10，各装置包括显示器或音频乐音发生器，或者他们的某些组合，其单独或一起通过在显示器上提供提示或产生一个或多个乐音或乐音序列，或这些提示或反馈的某些组合而在启动处理中协助该装置的授权用户。启动后，该装置可保持已启动状态，直到例如经过了预定的时间段或使用了预定的次数为止。当该装置处于已启动状态时，则该装置准备好了进行账户选择的步骤。对于此处描述的具有有源显示器44的装置，显示器可将上一次交易使用的账号或者可识别账号的某些图形或文本显示给用户，例如机构名称、贷款机构的名称或图标。

所有者使用手指压盘30a指示期望进行的交易类型。如果用户希望用于指定交易的账户与前一交易使用的账户相同，则该步骤完成。当选择了所需的账户时，用户再次将其手指放置到指纹压盘30a上以确认新的账户选择，从而结束账户选择步骤。当已授权的用户在已启动的装置上选择了所需账户时，用户可以将DIVA-PID12交给商店店员以便店员刷卡或将卡插入磁条读取器，用户也可以自己刷卡或将卡插入该装置。

禁用处理

根据此处描述的本发明10，选择账户信息或关于安全装置的所有信息可被利用SMS的已授权中心业务或相似的无线消息通知业务所删除。已授权中心业务以加密的方式传输禁用指令。当用户不再被授权使用特定的账户或当用户报告装置丢失或被盗时，将调用禁用指令。

实施本发明的最佳模式

由集成生物测量装置实现的商业处理存在于如下领域：金融交易、信息安全交易、物理接入控制、识别、装置接入控制、忠诚度程序交易、移民和边境控制、旅游识别、优惠卷请求和优惠卷兑换处理等等。

本发明的新颖性之一在于与一个基础设施交互的信息，例如经由连接到个人计算机的智能卡读取器获取的新的账户信息，可以随后在与其他基础设施交互的过程中使用，例如在经由磁条仿真而与ATM或POS终端进行交易的过程中使用该新的账户信息。

移民处理

在DIVA-PID12的一种变化形式中，可被显示的某些页的信息包含与标准护照相同的信息，包括护照类型、护照号码、姓、教名、国籍、出生日期和地点、性别以及发放护照的日期、护照的有效期、权限和护照持有者的照片。在该变化形式中，可以选择的其他页包含关于进入和离开一国家的信息。

驾驶执照处理

在具有大显示器44的DIVA-PID12的一种变化形式中，可被显示的某些页的信息包含与国家发放的驾驶执照相同的信息，包括执照状态、驾驶执照号码、驾驶员姓名、当前地址、出生日期、性别、体重、身高、眼睛颜色、驾驶员照片以及其他发放国家需要的信息。

旅游处理

在此处描述的装置的一种变化形式中，装置可用于旅游处理中，以验证持有该装置的用户是否是已授权用户。然后，在乘客被授权登上例如轮船、飞机、公共汽车或火车之类的商用交通工具之前检查乘客的地方，可将这些信息用于加速安全许可处理。

多路径通过(Multi-pass)处理

目前，部署有几种现有的基础设施，其利用经由射频发送识别码的能力而作为与预定的顾客进行交易的装置。车辆驾驶员可利用该射频识别(RFID)处理在收费公路或收费桥的过路收费亭处支付费用，驾驶员可利用RFID处理而在加油站为汽油付费，并且便利店和餐馆的顾客可利用RFID处理为商品和服务付费。在本技术领域中，为了接受付费而部署RFID基础设施的各个机构也为预定RFID付费业务的每一个顾客提供与预设的RFID号码对应的物理标记。

根据此处描述的本发明10，DIVA-PID12装置的某些变化形式可与一个或更多的这些现有RFID付费基础设施交互。在利用一个或多个授权的用户的RFID号码成功地初始化装置后，装置的已授权用户可启动该装置、选择所需的RFID账户并与RFID付费基础设施交互。

优惠券选择处理

根据此处描述的本发明10，DIVA-PID12的某些变化形式可以与计算机应用程序以及与可接受商店发放的或厂家发放的优惠卷的零售店装置交互。装置可以与计算机应用程序交互，以下载由商店、厂家或代表优惠券发放单位的第三方实体机构提供给装置用户的电子版本的优惠券。与优惠券供给和折扣数量相关的UPC码、规则或者一个产品或多个产品的码图被下载到装置的非易失性内存中。

在具有经由射频进行交互的功能的装置(有RF功能的装置)的变化形式中，在进入参与活动的零售店时，这些装置可被激活并可向装置用户提供可听或可视的提示，以告知该用户可使用优惠券进行购物。在该变化形式中，用户可以接着与装置进行交互以查看对刚进入的零售店销售的商品提供的优惠券，并可选择接受一个或多个将要使用的优惠券。在一种变化形式中，优惠券发放者可以选择被选优惠券的有效期。

在有RF功能的装置的某些变化形式中，装置可以与位于该商品附近的货架上的电子优惠券分发装置进行交互。当用户装置进入预选距离(例如，十英尺或更短)时，货架装置可通过在货架单元上闪烁灯光和/或在附着到货架单元或作为货架单元一部分的显示器上显示提示信息，而通知购物者可使用优惠券选购。

在至少一种变化形式中，货架单元包含关于选购可用的购物券的默认价格的信息。在另一变化形式中，货架单元从用户装置接收优惠券的价格。该步骤通过在优惠券下载处理期间预先选择特定用户的优惠券的价格，使得优惠券发放者能够向装置用户提供与默认价格不同的优惠券。然后，在货架单元上就会显示个性化的优惠券的价格，以供装置用户查看。

优惠券兑换处理

与此处描述的本发明10相一致，已选择的优惠券在零售店的交款通道处的处理中兑换。在交款通道处有一个装置(“交款装置”)，其使用任何用户装置支持的方式与用户装置进行交互。交款装置也与商店记录器交互。在传统的优惠券兑换处理中，购物者支付折后价格，并且商店接收打印的优惠券，该优惠券被送到优惠券发放者或者第三方优惠券兑换处，以支付优惠券的面值及手续费。然而，在此处描述的处理中，商店接收商品或服务的全部付款。商店记录器将交易记录发送到交款装置。在一种变化形式中，交款装置接着从用户装置获取选择的优惠券并将交易记录、选择的优惠券以及用户识别信息发送到电子优惠券兑换服务程序。

在一种可选的变化形式中，交款装置将交易记录发送到用户装置，并且用户装置将交易记录、选择的优惠券和用户识别信息发送到中心优惠券兑换服务程序。在两种变化形式中，可以在完成交款处理后的某一时间将信息发送到中心服务程序，例如夜里。

在用户装置发送信息的变化形式中，用户装置使用双向寻呼机所使用的SMS网络将信息发送到中心服务程序。在所有的变化形式中，商店接收被购买的商品或服务的全部付款，包括用户已经为其选择了优惠券的商品或服务。然后，优惠券发放者对优惠券面值和手续或交易费支付的兑换资金被划到用户的账户。在一种变化形式中，一部分手续费由商店负担。在另一种变化形式中，商店接收对至少包含一项优惠券兑换的任何交易记录的交易记录传输费。在购买时，用户装置或者计算将被标上标记并划到用户账户的总的优惠券节余资金，或者经由SMS消息通知或类似的无线消息通知服务而从中心服务程序接收总的优惠券节余资金。当已经从优惠券发放者处兑换了优惠券且中心优惠券兑换服务程序接收到资金后，接着适当的被标上标记的资金被划到用户的账户。在具有显示器和无线消息通知业务的装置上，用户可以直接通过安全装置上的显示而查看优惠券兑换账户的余额。当用户在类似于传统的使用信用或借记卡的金融交易中选择使用该账户时，这笔资金可以直接使用通过该装置被使用。

交易记录处理

根据此处描述的本发明10，在优惠券兑换处理中从DIVA-PID12装置获得的交易记录由中心服务程序保存。用户能够查看其交易记录，并且这些记录可用作输入信息以输入到各种算法中，所述算法允许用户检查其以前的购买模式以及其对优惠券和优惠券节余的使用。此外，交易记录也用于协助准备用户的购物清单。

在该处理的一种变化形式中，用户在成功地将购物清单发送到参与活动的商店后选择待兑换的优惠券，然后商店准备好挑选或递送的商品。

融合的技术

上述装置可集成并使用多种可用的技术，包括：

·指纹传感器，Fidelica公司等提供。

·电池技术，Solicore公司等提供。

·有源显示器，ZBD显示器公司等提供。

·压敏材料制造，MACtac公司等提供。

·LDC显示器、乐音发生器、标准电子元件，大量商业来源提供。

·微处理器和内存装置，Atmel公司等提供。

·IEEE802.15.4/zigbee协议芯片组，Chipcon公司等提供。

·指纹匹配算法，BioScrypt公司、Fidelica公司等提供。

·智能芯片芯片组，Datakey等提供。

·弹性玻璃衬底，Atholl Imagineers有限公司等提供。

·照片ID摄像机，如Polaroid SX-2型照片ID摄像机等提供。

·识别卡打印机，如Fargo CardJet410型照片Id系统等提供。

·注册站点及软件，Galaxy Controls公司的例如型号/系统602等提供。

·个人计算机，如Dell Dimension^TM4600等提供。

·RF读取器，Chipcon公司等提供，如CC2420DK型开发工具及其改进型。

·安全后台校验数据库，Dell PowerEdge^TM700系列服务器等提供。

除非另行定义，此处使用的所有技术和科学术语的含义都与本发明10所属技术领域的普通技术人员通常能够理解的含义相同。虽然在本发明10的实践或测试中可以使用与此处描述的方法和材料相似或等效的方法和材料，但是下面将描述适当的方法和材料。在适用的法律和法规允许的限度内，本发明将通过援引而包含其中提及的所有出版物、专利申请、专利及其他参考文献的全部内容。包含具体限定的本发明的说明书将在发生冲突的情况下起主导作用。

在不脱离本发明的精神和实质特征的情况下，可以用其它具体的形式实施本发明，因此，期望实施例在所有方面都被视为示例性而非限定性的说明，其作为随附的权利要求的参考，而并非用于限制本发明的范围。

Claims

1.一种便携式手持可编程装置，用于集成和控制多个安全凭证应用程序，并用于与外部系统进行交互，该装置上集成有：

生物测量传感器，其为指纹传感器；

微处理器；

内存，存有所述多个安全凭证应用程序；

电源，用于为所述便携式手持可编程装置供电；

控制电路，用于耦接所述生物测量传感器、所述微处理器、所述内存和所述电源；以及

到外部系统的多个接口，

其特征在于，所述生物测量传感器识别用户，并也用作选择/滚读接触感应控制垫片以选择所述多个安全凭证应用程序中的一个，以及用于激活所选择的安全凭证应用程序，在所述用户的至少一个指纹与存储的指纹数据匹配时，激活所选择的安全凭证应用程序，

其特征还在于，所述控制电路通过所述操作软件选择所述多个接口中的一个，激活所选择的接口的每个电路，并且通过所选择的接口将一个与所述用户的指纹数据相关联的选择的安全凭证传送给外部系统，

其特征还在于，到外部系统的特定接口是基于所选择的安全凭证应用程序和所述用户的指纹，当所述用户的至少一个指纹与所存储的指纹数据匹配时，激活所选择的接口。

2.如权利要求1所述的装置，其特征在于，其中还包括集成在所述装置中的用于与用户进行交互的装置。

3.如权利要求2所述的装置，其特征在于，其中所述用于与用户进行交互的装置还包括字母数字式显示器、乐音发生器、LED以及可视显示器。

4.如权利要求1-3中的一个所述的装置，其特征在于，其中所述到外部系统的多个接口中的一个包括可视显示区域。

5.如权利要求1-3中的一个所述的装置，其中所述到外部系统的多个接口中的一个包括磁条仿真器。

6.如权利要求1-3中的一个所述的装置，其中所述到外部系统的多个接口中的一个包括智能卡接触垫片。

7.如权利要求1-3中的一个所述的装置，其中所述到外部系统的多个接口中的一个包括天线装置。

8.如权利要求7所述的装置，其中所述天线装置包括RFID天线和支持从800MHz到2.45GHz的工作频率的芯片。

9.如权利要求1-3中的一个所述的装置，其中所述到外部系统的多个接口中的一个包括可仿真条形码的字母数字式显示器。

10.如权利要求1-3中的一个所述的装置，其中所述到外部系统的多个接口中的一个包括能够发送消息的SMS。

11.如权利要求1-3中的一个所述的装置，其中所述到外部系统的多个接口中的一个包括GPS电路。

12.如权利要求1-3中的一个所述的装置，其中所述到外部系统的多个接口中的一个包括USB连接器。

13.如权利要求1-3中的一个所述的装置，其保持在半激活模式，直到被所述生物测量传感器激活为止。

14.如权利要求1-3中的一个所述的装置，其中所述电源包括板上电池。

15.如权利要求1-3中的一个所述的装置，其构型设计符合ISO 7811和ISO 7816规定的标准磁条卡和智能卡的物理要求。

16.如权利要求1-3中的一个所述的装置，其构型设计为钥匙链形式。

17.如权利要求1-3中的一个所述的装置，其构型设计为寻呼机形式。

18.如权利要求1-3中的一个所述的装置，其中在所述生物测量传感器识别出已授权的用户之前，所述操作软件一直使该装置禁用。

19.一种数据处理方法，用于集成和控制在小型自供电的利用指纹以可通过生物测量方式保护的装置上执行的多个安全凭证应用程序，所述方法包括如下步骤：

(a)向注册站点插入空置的所述可通过生物测量方式保护的装置；

(b)加载安全策略；

(c)从所述注册站点向所述可通过生物测量方式保护的装置加载人员数据和安全凭证；

(d)用户将至少一个手指放置在所述可通过生物测量方式保护的装置上的指纹传感器上；

(e)在所述可通过生物测量方式保护的装置上存储指纹数据，并将所存储的指纹数据与所述人员数据和安全凭证关联；

(f)从所述注册站点删除所述可通过生物测量方式保护的装置，

其特征在于，所述步骤(c)还包括从所述注册站点向所述可通过生物测量方式保护的装置加载所述多个安全凭证应用程序，

其特征还在于，将所述用户的指纹与所述可通过生物测量方式保护的装置上所存储的指纹数据相比较，当所述用户的至少一个指纹与所存储的指纹数据匹配时，激活用户借助于所述可通过生物测量方式保护的装置上的所述指纹传感器从所述多个安全凭证应用程序中选择的一个安全凭证应用程序，

其特征还在于，从到外部系统的多个接口中选择一个，激活所选择的接口的每个电路，通过所选择的接口将一个安全凭证传送给外部系统，

其特征还在于，所选择的接口是基于所激活的安全凭证应用程序而选择的，通过所选择的接口将所述安全凭证从所选择的安全凭证应用程序发送到期望该安全凭证的外部系统。