具体实施方式

现在将参照附图在下文中更全面地描述本发明，在附图中示出了本发明的某些实施方式。然而，本发明可以以许多不同的形式实施，而不应被解释为限于本文阐述的实施方式；相反，这些实施方式是作为示例提供的，使得本公开内容将是透彻和完整的，并且将本发明的范围充分传达给本领域技术人员。在整个说明书中，相同的附图标记指代相同的元件。

根据本文中的实施方式，减少在凭证评估器中使用的用于生物计量匹配的潜在匹配的数量，以降低生物计量匹配中的误报的风险。最靠近屏障的人的生物计量数据仅与匹配列表的一组生物计量模板进行匹配。匹配列表是在凭证评估器的范围内的所有凭证的严格子集。具体地，基于每个凭证已经在范围内多长时间来确定匹配列表。

图1是示出可以应用本文中所提出的实施方式的环境的示意图。对物理空间16的访问受到选择性地可解锁的物理屏障15的限制。物理屏障15位于受限物理空间16与可访问物理空间14之间。注意，可访问物理空间14本身可以是受限物理空间，但是相对于该物理屏障15，可访问物理空间14是可访问的。屏障15可以是门、大门、旋转栅门、舱口、柜门、抽屉、窗等。为了通过选择性地解锁屏障15控制对物理空间16的访问，提供了凭证评估器12。凭证评估器12包括电子可控锁。可选地，电子可控锁设置在凭证评估器12的外部。电子可控锁可由凭证评估器12控制为处于锁定状态或处于解锁状态，从而控制对受限物理空间的访问。

凭证评估器12与相应的用户(人)4a-4d的密钥设备2a-2d无线地通信。可以使用任何合适的无线协议，例如蓝牙或蓝牙低功耗(BLE)、ZigBee、IEEE 802.11x标准(也称为WiFi)中的任一种、等等。每个密钥设备2a-2d包含一个或更多个相应的凭证3a-3d。凭证可以是任何合适的形式，例如作为BLE标识符。凭证评估器中的无线通信依赖于天线21。

在图1所示的实施方式中，基于作为描绘一个或更多个面部的图像的生物计量数据，以面部识别的形式执行生物计量匹配。要注意的是，所提出的构思同样适用于任何其他类型的已知的或未来的生物计量学，例如视网膜识别、红外特征识别、虹膜识别、步态识别等。

使用生物计量学，如果在系统中注册了许多用户，则难以提供安全的解决方案。一般而言，如果N很大，则当今的生物计量不适合识别或1:N匹配，其中，N是生物计量数据与其匹配的生物计量模板的数量。在具有大量用户的环境诸如办公室中，N可以容易地增长超过1000，这显著降低了安全性。根据本文中所提出的实施方式，即使当用户的数量很大时，N显著地减小以增加安全性。

要注意的是，在这种情况下，生物计量学用于识别，即在N个生物计量模板的池中找到生物计量匹配的匹配，即1:N匹配。当验证生物计量数据是否匹配特定的生物计量模板，即1:1匹配时，生物计量学的另一种用途是验证。

具有第一密钥设备2a的第一用户4a最靠近屏障15。然而，密钥设备2a-2d中的两个或更多个可能在天线21的通信范围内。考虑如下情形：第一密钥设备2a的第一凭证3a不应被准许访问，而第二密钥设备2b的第二凭证3b将被准许访问。因此，期望凭证评估器12仅确定第一密钥设备2a的用户的访问而不是第二密钥设备2b的用户的访问。为此，在凭证评估器12的内部或外部设置有相机20，其捕获包括最靠近相机20的人的面部的图像。

然后将最靠近相机20的人的面部与一组面部模板匹配。每个面部模板与凭证标识符相关联。以这种方式，凭证评估器12仅确定具有与最靠近相机20的人的被识别的面部相关联的凭证的密钥设备的访问。在这种情况下，最靠近相机20的人的面部和与第一凭证3a相关联的面部模板匹配。因此，凭证评估器12与具有第一凭证3a的密钥设备2a通信。如果在面部识别中不存在匹配，则凭证评估器不与任何密钥设备通信，直到出现新的面部，新的面部产生面部模板的匹配。

一旦面部被识别，相关联的凭证被认证并被发现具有授权，屏障15被解锁，从而准许对受限物理空间16的访问。要注意的是，凭证的认证(和授权)可以在生物计量匹配之前或之后发生。

图2是示出与图1所示的情况类似的情况但是具有几个屏障和更多的人的示意俯视图。在该情形下，有三个屏障15a-15c和相应的凭证评估器12a-12c。在该示例中，有十四个人4a-4n和相应的密钥设备和凭证(未示出)。

在图2的情况之前，用户需要注册在系统中。在注册时，创建并存储用户的生物计量模板。例如，在说明性面部识别示例中，用户的面部的图像可以在注册站(例如，前台或保安人员)处被捕获。然后图像(或潜在多个图像)可以被转换成用加密层包裹的面部模板。该加密的面部模板然后可以被发布和存储在适当的访问控制凭证上或中央位置中。

凭证评估器12a-12c的通信范围内的密钥设备和凭证的数量可以很大，高达几十个甚至数百个。如果与范围内的凭证相关联的所有生物计量模板将形成该组生物计量模板的一部分来匹配最靠近屏障的人，则误报的风险大大增加。在生物计量学中，误报率也称为错误接受率(FAR)或误报识别率(FPIR)。这不仅是未被授权的人被给予访问的问题，而且如果访问控制是一次性条目(例如音乐会或体育赛事的门票)，则与(错误的)条目相关联的人也可能不被给予访问。

因此，根据本文中所提出的实施方式，仅与范围内的凭证相关联的生物计量模板的严格子集形成用于生物计量识别的该组生物计量模板的一部分。如下面更详细地说明的，该子集是基于每个凭证已经在生物计量范围内多长时间而形成的。通过减少生物计量模板的数量，大大降低误报的风险。

图3A至图3C是示出用于基于生物计量匹配来选择性地准许对由屏障保护的物理空间的访问的方法的实施方式的流程图。在凭证评估器中执行该方法。生物计量匹配可以基于任何类型的已知或未来的生物计量学，例如面部识别、视网膜识别、红外特征识别、虹膜识别、步态识别等。

在确定匹配列表步骤40中，凭证评估器确定匹配列表。该匹配列表是在设置在屏障附近的天线的范围内的凭证的凭证标识符的严格子集。该匹配列表基于每个凭证已经在天线的范围内多长时间(即，持续时间)。具体地，匹配列表可以包含已经在范围内最长时间的那些凭证。可以配置匹配列表中的条目的(最大)数量。匹配列表中的条目越多，后续生物计量匹配花费的时间就越长。

该步骤可以包括确定包括多个条目的匹配列表。换言之，匹配列表包括至少两个条目(当至少三个凭证在范围内并且匹配列表是范围内的凭证的严格子集时)。

在一个实施方式中，匹配列表还基于包括凭证的每个设备的在天线处接收到的信号强度。例如，即使从凭证进入范围时起的时间相对较短，也可以将具有非常高的RSSI的密钥设备的凭证添加到匹配列表。这解决了拥挤队列的某些部分比其他部分移动得更快的情况。此外，该实施方式解决了移动缓慢的队列的情况：由于生存时间到期而将凭证从匹配列表移除(参见下文)并且凭证现在已经到达屏障处。

匹配列表基于每个凭证已经在范围内多长时间的效果是在快速生物计量匹配(由于有限的匹配列表)与多个用户的进展(通过使匹配列表具有多个条目)之间实现谨慎的平衡。匹配列表基于每个凭证已经在范围内多长时间，这对应于人已经排队的时间(即，队列等待)。因此，匹配列表可以包含与已经排队最长时间的人相对应的那些条目，但是仅包含有限数量的条目。这解决了如下问题：通过锁实现大量用户的快速进展(因为列表包含可能最靠近该锁的那些条目)，同时保持每个用户的生物计量处理时间较短(通过保持匹配列表的条目数量有限)。

在获取生物计量模板步骤44中，凭证评估器获取一组生物计量模板。该组生物计量模板包括分别与匹配列表的凭证标识符相关联的生物计量模板。换言之，在该组中的生物计量模板与匹配列表中的条目之间存在一对一的关系。

在获取生物计量数据步骤46中，凭证评估器获取最靠近屏障的人的生物计量数据。

在条件匹配步骤47中，凭证评估器确定生物计量数据是否匹配生物计量模板中的一个生物计量模板。如果是这种情况，则方法进行到可选的访问控制步骤48。否则，该方法结束，或者返回到该方法的开始。

当生物计量数据在可接受的匹配阈值内匹配生物计量模板中的一个生物计量模板时，可以确定匹配。

在可选的访问控制步骤48中，凭证评估器继续执行访问控制。该访问控制基于与匹配的模板，即与匹配的生物计量数据的人相关联的凭证标识符。访问控制可以根据基于与凭证的无线通信的认证。在该步骤中生物计量学和访问控制的结合提供了极大的安全性。

在可选的移除匹配的条目步骤50中，凭证评估器移除匹配列表中的与匹配模板相关联的条目。这允许在该方法的后续迭代中将新条目添加到匹配列表，以根据配置保持匹配列表中的条目的数量。

在分开的执行序列(分开的线程、进程等)中，存在可选的移除旧条目步骤52。可替选地，该步骤可以形成其他步骤的执行序列的一部分。在该步骤中，凭证评估器从匹配列表移除已经在列表中长于预定时间段的每个条目。以这种方式，如果人接近屏障并且相应的凭证标识符被添加到匹配列表，则该人可能决定离开而不进入，由此在预定的时间段(即，生存时间段)之后将条目从匹配列表移除。

当该方法应用于多个屏障时，可选地在所有凭证评估器12a-12c之间共享匹配列表。

使用该方法，无论在通信范围内有多少凭证，与匹配列表相对应的、用于生物计量识别的条目的数量保持较低。仍然，通过在匹配列表中包括多个条目，执行生物计量匹配的过程(参见下文)与单个条目相比更有效，因为凭证评估器准备好与对应于匹配列表中的条目的生物计量模板中的任一个匹配。换言之，只要一个人的一个生物计量数据被用于条目，就存在对其进行匹配的其他生物计量数据条目。由于匹配列表中的条目(以及由此获得的生物计量数据)基于凭证已经在范围内多长时间(对应于相应的人的排队时间)，因此可以快速且有效地评估排队的下一个人。

现在看图3B，这是示出图3A的确定匹配列表步骤的可选的子步骤的流程图。

在可选的确定等待列表步骤40a中，凭证评估器确定包含在天线范围内的凭证的凭证标识符的等待列表。

在可选的从等待列表确定匹配列表步骤40b中，凭证评估器将匹配列表确定为等待列表中的预定数量的凭证标识符。以这种方式，确保已经在范围内最长时间段的凭证标识符形成匹配列表的一部分。

在可选的从等待列表移除的步骤中，针对匹配列表中的每个条目，凭证评估器移除等待列表中的相应条目。

随着时间的推移使用步骤40a-40c，当凭证进入通信范围时，首先将条目添加到等待列表，并且随后添加到匹配列表。以这种方式，匹配列表包含与已经在范围内最长时间段的凭证相对应的预定数量的条目。

通过使匹配列表基于每个凭证已经在范围内的持续时间，匹配列表可以保持较小，同时仍然提供透明的用户体验。由于针对较小数量的潜在匹配执行生物计量匹配，减小匹配列表提高了安全性，从而降低了误报的风险。

现在看图3C，将仅描述与图3A的步骤相比新的或修改的步骤。

在该实施方式中，在确定匹配列表步骤40之前执行可选的访问控制步骤48。在此，该步骤包括对范围内的每个凭证的每个凭证标识符进行认证。在一个实施方式中，步骤48以与该方法的其余部分分开的执行序列(分开的线程、进程等)被执行。

在该步骤中生物计量学和访问控制的结合提供了极大的安全性。

图4是示出图1的凭证评估器12的部件的示意图。使用能够执行软件指令67的合适的中央处理单元(CPU)、多处理器、微控制器、数字信号处理器(DSP)等中的一个或更多个的任意组合来提供处理器60，软件指令67存储在存储器64中，因此存储器64可以是计算机程序产品。可替选地，可以使用专用集成电路(ASIC)、现场可编程门阵列(FPGA)等来实现处理器60。处理器60可以被配置成执行上面参照图3A至图3C描述的方法。

存储器64可以是随机存取存储器(RAM)和/或只读存储器(ROM)的任何组合。存储器64还包括永久性存储装置，该永久性存储装置例如可以是磁存储器、光学存储器、固态存储器或甚至远程安装的存储器中的任何单独一个或组合。

还提供了用于在处理器60中执行软件指令期间读取和/或存储数据的数据存储器66。数据存储器66可以是RAM和/或ROM的任何组合。

凭证评估器12还包括用于与外部和/或内部实体通信的I/O接口62。可选地，I/O接口62还包括用户接口。

为了不使本文所提出的构思模糊，省略了凭证评估器12的其他部件。

图5示出了包括计算机可读装置的计算机程序产品90的一个示例。在该计算机可读装置上可以存储计算机程序91，该计算机程序可以使处理器执行根据本文描述的实施方式的方法。在该示例中，计算机程序产品是光盘例如CD(压缩盘)或DVD(数字多功能盘)或蓝光盘。如上所述，也可以在设备的存储器中实施计算机程序产品，例如图4的计算机程序产品64。虽然计算机程序91在此示意性地被示为所示光盘上的轨道，但是计算机程序可以以适于计算机程序产品的任何方式诸如可移除固态存储器例如通用串行总线(USB)驱动器来存储。

上面主要参考一些实施方式描述了本发明。然而，如本领域技术人员容易理解的，除了上面公开的实施方式以外的其他实施方式同样可以在由所附专利的权利要求限定的本发明的范围内。