一种带生物特征识别功能的身份认证系统及其认证方法
技术领域
本发明涉及信息安全领域和移动支付领域以及生物识别领域,尤其是一种带生物特征识别功能的身份认证系统及其认证方法。
背景技术
作为信息安全的第一道大门用户身份认证是各种安全措施可以发挥作用的前提。而作为所有信息安全应用的计算基础结构的核心部件PKI产品,可以为个人信息的安全存储及传输提供更多的功能和更好的服务。其中电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。
目前针对个人信息安全的身份认证产品主要是能够完成设备对设备的认证,如USB Key、SDKey、数字证书等。该类产品对设备持有人的合法身份确定主要是通过PIN码来确定的,由此带来的安全隐患可轻易的被不法分子利用。如USB Key、SDKey、数字证书都有被骗签的安全隐患。
中国发明专利申请第CN101561873A号公开了一种具备虹膜识别和USB Key功能的多模态身份认证设备。该专利是利用了人自身的虹膜特征唯一性的特点在硬件设备层实现了用虹膜识别身份认证方式替代普通PIN码身份认证方式,能有效的验证USB Key持有人身份解决PIN码失窃、冒用等潜在风险。但由于虹膜识别功能模块作为单独的模块完成身份识别,再通过物理链路通知USB Key功能模块认证是否成功,这在防范恶意破坏性攻击方面是无法保障USB Key的安全身份认证的。如非法用户在获取到该硬件设备后可破解物理链路上的数据,进而绕开虹膜识别功能模块直接向USBKey功能模块发送认证通过信息。
中国实用新型专利第CN201349222Y号公开了一种利用指纹判定实现身份认证的USB Key加密设备。该专利通过运行个性化认证程序解决了Key模块和FM职指纹识别模块间的连接问题,借助USB HUB控制器和USB数据总线将Key模块和FM指纹识别模块连接起来,在一定程度上提高了USB Key的使用安全性。但同输入PIN码的USB Key漏洞相同,非法用户都可以通过木马监控到USB接口的数据,进而控制Key模块完成非法认证。
中国发明专利第CN 101251878A号公开了一种借助硬件认证身份的SD存储卡,该专利通过组合SD主控模块、信息安全模块、闪存介质通过SD memory与PC、PDA和/或移动电话一类的主设备完成数据交换,解决了在手机等不带USB接口的移动设备上和在PC上同时使用的问题。但同样未从根本上解决SDKey在PIN码输入上的安全漏洞。
CN101561873A号专利申请和第CN201349222Y号专利均揭示利用人自身的生物特征唯一性的特点分别在硬件设备层和软件层面增强了USB Key使用的安全性,但并没有从根本上解决设备持有人身份的确定。同时由于通过增加生物识别模块的方法代价昂贵,并且在现有通用设备如PC机等设备上难以升级,在PDA和/或移动电话上都很难实现。而第CN 101251878A号专利申请揭示通过将个人安全信息放在硬件SD卡上的形式解决了PC与移动设备通用的问题,解决了硬件设备对银行终端的身份确认,但同样无法从根本上解决设备持有人对银行终端的身份确认。
本发明要解决的技术问题在于从根本上解决设备持有人对银行终端的身份认证的同时高效安全便捷保护个人身份信息的存储及传输。
同时可方便的通过只对现有常用安全设备如USB Key、SDKey、OTP等产品进行升级即可满足各个应用领域对个人身份信息安全要求的保证,避免大量应用终端如PC、手机等产品的升级改造。另外,可有效避免交易信息在送到个人身份认证终端时被篡改的漏洞。
发明内容
本发明要解决上述现有技术的缺点,提供一种带生物特征识别功能的身份认证系统及其认证方法,提高设备持有人对银行终端认证的安全性。
本发明解决其技术问题采用的技术方案:这种带生物特征识别功能的身份认证系统,包括CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元、PKI系统和传感器系统;
所述传感器系统单元109包括指纹和或面部和或虹膜等生物特征采集传感器,如CMOS、半导体指纹传感器、摄像头等面部、虹膜采集传感器,组成的最小单元。还可包括控制传感器并生成特征的MCU组成的特征采集生成模组单元;
所述PKI系统108包括利用PKI体系完成数字签名所需的软、硬件系统;
所述CPU主控单元101主要为各种底层软件COS及生物识别算法软件提供硬件执行的平台,包括主控CPU内核及ROM、RAM、CACHE等;
所述系统控制单元102主要为系统运行及防止非法破解攻击提供必须的硬件设备。主要包括电源、功耗控制单元、ROSC(片上环振)和/或OSC(片上振荡器)、PLL、FD(频率检测)等功能;可单颗芯片实现最小系统;
所述硬件加解密单元103主要为保护个人信息和数据信息的安全存储及传输所需的各种加解密算法,包括软件算法和/或硬件算法和/或软硬结合的算法。该单元主要包括随机数模块、各种硬件加解密算法,如RSA、AES、DES、SM1、HASH等算法;可采用软硬件结合的方式,成本低、速度快。
所述带MPU保护功能的片上存储器104主要为实现个人信息、数据、程序、密钥、系统参数等数据的安全存储及安全访问,可有效防止程序及数据被破解。该单元主要包括存储器逻辑控制部分及存储介质部分,其中存储器逻辑控制部分主要包含加解密控制、擦除控制、逻辑分区控制及读写权限控制等。可实现对存储介质的读、写、擦除、写入保护、读保护、数据加解密等操作;存储介质部分可划分成JTAG锁止域、用户域、唯一序列号域、开放数据区、保护数据区、一般程序区、只执行程序区、配置参数区。其中JTAG锁止域、用户域、唯一序列号域为一次性写入区域,写入数据后不能修改。JTAG锁止域设定后不能通过JTAG接口仿真调试程序,保证芯片内部信息不被读出,用户域允许用户一次性写入数据,序列号域存放唯一序列号。保护数据区可加密存储区,只执行程序区CPU只可执行程序不可读出,所有区域都具有写使能保护功能。
所述对外通讯单元105主要为系统软件与外部控制设备进行通讯及数据交换。该通讯单元包括SD卡主接口、SD卡从接口、USB接口、UART接口或NFC接口等;其中NFC接口为非接触式通讯接口;
所述人机交互控制单元106主要为系统软件获取外部设备信息及状态、控制和/或指示外部设备。该单元主要包括通用IO、液晶屏控制、按键扫描、指示控制、传感器驱动控制、等控制接口;
所述外部存储器控制单元107主要为实现较大容量的数据安全存放,可通过硬件加解密单元103完成对数据流的加解密。所述外部存储器控制单元107包括Nandflash并行控制接口、串行flash SPI/SQI接口或SATA/IDE接口。CPU可通过总线直接访问多片Nandflash。
OTP存储区采用Antifuse型OTP/MTP,与普通电荷型的OTP、EEPROM或FLASH相比具有极高的良率、极高的可靠性—不丢失数据、极高的安全性—抗反向设计,抗芯片剖片拍照。
本系统利用人体生物特征的的唯一性(每个人的指纹、脸型、虹膜等都各不相同)、随机性(同一枚手指或面部图像或虹膜等多次采集生成的特征都不尽相同)和可匹配性(虽然同一手指或脸型或虹膜等多次采集生成的特征都不相同,但可以通过算法来验证是不是同一指纹或同一人的脸型或虹膜等),以及利用所述的带MPU保护功能的片上存储器结合加解密技术实现生物特征在CPU内进行比对认证,杜绝了利用外部截获攻击等手段破解获取用户身份信息的可能性。
从外部的输入来看,生物特征可以认为是随机密码,完全可以代替原有的PIN码,同时由于其随机性又可以作为动态密码来防止被木马等黑客行为截获利用。同时作为脱机系统挂接传感器系统共同使用时由于其应用环境的独立性无法被远程截获破解,同时由于需要验证使用者的生物特征因此也不用担心遗失或被盗等人为盗用行为真正做到了使用者对终端的确认。解决了以前只能做到设备对终端的确认。
作为优选,用户密钥放在用户域,核心程序放在只执行程序区,用户生物特征等数据放在保护数据区,其他数据放在开放数据区,用户COS程序放在一般程序区,在量产时将JTAG锁止域锁定后外部没有任何方法来非法获取内部数据,也无法通过芯片剖片拍照的方式获取内部存储的数据,具有高安全性。CPU通过指令Cache读取并执行程序区代码,存储区域的数据通过加解密通道进行加密存储及解密读出,该加密通道可通过寄存器来配置设定,同时具有存储器保护功能,防止代码或数据被意外修改。通过内嵌的Flash逻辑控制部分简称EFC,用户可以实现对内嵌Flash的读操作、擦除操作以及编程操作等基本操作,还可以实现对内嵌Flash的加密、保护和限制等特殊功能。
本发明所述的这种带生物特征识别功能的身份认证系统的认证方法,通过片上生物特征比对的方法实现对设备持有人身份的认证,通过PKI系统实现设备中存储的个人身份对银行终端的安全认证,具体步骤如下:
一、生产及发行初始化流程如下:
1)发行机构和/或其指定机构完成相关COS系统的开发及烧录后提供给发行机构;
2)发行机构通过外部主控系统采集申请用户的生物特征信息,包括指纹和或CMOS和或虹膜和或静脉等;
3)发行机构根据用户申请生成包含生物特征信息的数字证书;
4)发行机构主控系统通过设备对外通讯单元105与设备通讯,将该数字证书加密写入到带MPU保护功能的片上存储器104上;该下载过程可以为有线方式包括USB和/或UART和/或SPI和/或I2C、无线方式包括Internet和/或Wap和/或NFC等方式;
5)初始化完成。
二、实现设备持有人对银行终端的认证的流程如下:
1)外部主控系统通过人机交互控制单元106采集外部传感器生物信息,或设备CPU主控单元101通过人机交互控制单元106采集外部传感器生物信息;传感器包括指纹采集器和或CMOS采集器和或虹膜采集器和或静脉采集器等;
2)外部主控系统根据获取到生物信息并提取其特征A,生成包括指纹、面相、虹膜、静脉等在内的生物特征;
3)外部主控系统通过对外通讯单元105将上述生物特征传输到CPU主控单元101;
4)CPU主控单元101读取带MPU保护功能的片上存储器104上的用户生物特征信息B,并通过硬件加解密单元103对读出的用户特征信息解密;
5)CPU主控单元101运行生物特征比对算法完成生物特征A与生物特征B的比对,如果比对失败则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对失败应答包,并记录失败次数。如果连续比对失败超过系统设定的x次,则系统自动锁定。如果比对成功则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对成功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外部主控系统。
6)外部主控系统成功获取到硬件身份认证芯片返回的加密用户数字证书后通过有线方式包括USB和/或UART和/或SPI和/或I2C、无线方式包括Internet和/或Wap和/或NFC等方式将信息发送到银行终端完成设备持有人的身份认证。
7)认证成功。
作为优选的,所述身份认证系统包括所述SOC芯片、设有按键的液晶屏、PC电脑及银行终端,所述SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元,安全认证,具体步骤如下:
所述PC电脑发起身份认证请求,SOC芯片接收到所述请求后,通过人机交互控制单元或者由PC电脑控制外部传感器获取到用户生物图像信息,比对通过后发送加密后的用户数字证书给外部PC电脑,PC电脑将用户数字证书加密发送到银行终端,银行终端确认用户身份后将交易成功与否及交易数据的信息加密返回给PC电脑,PC电脑通过SOC芯片在设有按键的液晶屏上显示交易信息,用户核对无误后完成交易。
作为优选的,所述身份认证系统包括所述SOC芯片、SD卡从接口、手持设备主控芯片、生物识别传感器以及银行终端。SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元,安全认证,具体步骤如下:
所述手持设备主控芯片发起身份认证请求,通过手持设备主控芯片的SD卡从接口与SOC芯片进行通讯,完成身份认证请求;SOC芯片接收到身份验证的请求后,等待手持设备主控芯片从传感器上采集生物图像信息,该图像信息通过SOC芯片进行比对,通过后发送加密后的用户数字证书给外部手持设备主控芯片,手持设备主控芯片将用户数字证书加密发送到银行终端,银行终端5确认用户身份后将交易成功与否及交易数据的信息加密返回给手持设备主控芯片,手持设备主控芯片通过软件控制在手持设备的液晶屏上显示交易信息,用户核对无误后完成交易。
作为优选的,该认证系统包括SOC芯片,SD卡从接口,USB转SD卡芯片,生物识别传感器,PC电脑,手持设备主控芯片以及银行终端,所述SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元;安全认证,具体步骤如下:
所述手持设备主控芯片或由PC电脑通过USB转SD卡芯片发起身份认证请求,通过SD卡接口与SOC芯片进行通讯,完成身份认证请求;SOC芯片接收到身份验证的请求后,等待手持设备主控芯片或PC电脑从传感器上采集生物图像信息,该图像信息通过SOC芯片进行比对,比对通过后SOC芯片发送加密后的用户数字证书给外部手持设备主控芯片或PC电脑,手持设备主控芯片或PC电脑将用户数字证书加密发送到银行终端,银行终端确认用户身份后将交易成功与否及交易数据的信息加密返回给手持设备主控芯片或PC电脑,手持设备主控芯片通过软件控制在手持设备的液晶屏上显示交易信息,或PC电脑通过显示屏显示交易信息,用户核对无误后完成交易。
作为优选的,该认证系统包括SOC芯片、智能卡接口、读/写卡设备、生物特征采集设备以及银行终端,所述SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元,所述所述智能卡接口包括IC和或SIM和或RFID卡;安全认证,具体步骤如下:
所述读/写卡设备发起身份认证请求,通过读/写卡设备的智能卡接口与SOC芯片进行通讯,完成身份认证请求,SOC芯片接收到身份验证的请求后,等待读/写卡设备从生物特征采集设备上采集生物图像信息,该图像信息通过SOC芯片进行比对,通过后SOC芯片发送加密后的用户数字证书给外部读/写卡设备,读/写卡设备将用户数字证书加密发送到银行终端,银行终端确认用户身份后将交易成功与否及交易数据的信息加密返回给读/写卡设备,读/写卡设备通过软件控制在读/写卡设备显示和/或打印出交易信息,用户核对无误后完成交易。
作为优选的,该所述认证系统包括SOC芯片、传感器、存储介质以及PC电脑,所述SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元,安全认证,具体步骤如下:
所述认证系统通过PC电脑取电,上电后SOC芯片1加载上位机软件到PC电脑运行,由加载到PC电脑上的软件向SOC芯片发起身份认证请求,SOC芯片将采集到的生物信息进行比对,比对通过后存储介质与PC电脑之间实现数据交流。
作为优选的,所述认证系统为Micro SD卡形式,包括SOC芯片、NFC控制器、存储介质、天线、MicroSD卡接口以及USB接口,SOC芯片为芯片形式和/或Mini SD卡和/或DIE形式,NFC控制器包括芯片和/或模块,天线包括PCB天线和/或印刷软质薄型天线,存储介质包括并行接口或四通道串行SPI接口Nandflash,Micro SD卡接口为可与外部SD Host设备通讯的接口,USB接口6为与PC电脑直接相连的接口。
作为优选的,所述认证系统包括基于SOC芯片的Mini SD卡、手机SD卡接口、手机内置NFC芯片组、手机主控芯片、传感器、POS机以及银联CUPMobile系统。安全认证,具体步骤如下:
所述认证系统由手机主控芯片发起身份认证请求,手机主控芯片通过传感器获取生物特征图像,通过SOC芯片比对通过后,用户信息通过手机SD卡接口到手机主控芯片,然后通过WAP或GPRS传输到银联CUPMobile系统;或用户信息通过手机SD卡接口到手机主控芯片然后通过手机内置NFC芯片组发送到POS机,然后发送到CUPMobile系统,完成认证,用户交易成功后将交易信息发送到手机主控芯片通过手机屏幕显示,完成交易。
本发明有益的效果是:
1、解决现有安全产品PIN码的安全漏洞,从根本解决了个人身份的认证,安全性高;【生物特征片上比对(match on card/chip)】
2、从硬件上保障用户个人信息不通过逻辑攻击、边频攻击、物理攻击等手段被破解;【频率检测(FD)】
3、从硬件上保障用户个人信息安全存储并且不通过芯片剖片拍照等手段被破解。【带MPU保护功能的片上存储器】
4、通过各种方式的封装可方便应用在PC、手持设备(如POS/PDA/手机)、加密存储、身份认证加密智能卡等领域;
5、可有效避免交易信息在送到个人身份认证终端时被篡改的漏洞。【通过人机交互界面】
6、通过软件的方式可方便实现在现有应用终端实现更高安全的个人信息保护,避免大量应用终端如PC、手机等产品的升级改造。
附图说明
图1是本发明的系统方框结构示意图;
图2是本发明带MPU保护功能的片上存储器的方框示意图;
图3是本发明生产及发行初始化流程示意图;
图4是本发明中实现设备持有人对银行终端的认证的流程示意图;
图5带片上生物识别功能的身份认证USB Key 1;
图6带片上生物识别功能的身份认证USB Key 2;
图7带片上生物识别功能的身份认证SD卡;
图8PC及手持设备通用带片上生物识别功能的身份认证Key;
图9带片上生物识别功能的身份认证智能卡;
图10带片上生物识别身份认证功能的加密存储设备1;
图11带片上生物识别身份认证功能的加密存储设备2;
图12安全U盘、智能卡、安全支付Key一体机设备;
图13带片上生物识别身份认证功能的手机支付方案。
具体实施方式
下面结合附图和实施例对本发明作进一步说明:
请参阅图1至2所示,本发明所述带生物特征识别功能的身份认证系统,包括CPU主控单元101、系统控制单元102、硬件加解密单元103、带MPU保护功能的片上存储器104、对外通讯单元105、人机交互控制单元106、外部存储器控制单元107、PKI系统108和传感器系统109;
所述传感器系统单元109包括指纹和或面部和或虹膜等生物特征采集传感器,如CMOS、半导体指纹传感器、摄像头等面部、虹膜采集传感器,组成的最小单元。还可包括控制传感器并生成特征的MCU组成的特征采集生成模组单元;
所述PKI系统108包括利用PKI体系完成数字签名所需的软、硬件系统;
所述CPU主控单元101主要为各种底层软件COS及生物识别算法软件提供硬件执行的平台,包括主控CPU内核及ROM、RAM、CACHE等;
所述系统控制单元102主要为系统运行及防止非法破解攻击提供必须的硬件设备。主要包括电源、功耗控制单元、ROSC(片上环振)和/或OSC(片上振荡器)、PLL、FD(频率检测)等功能;可单颗芯片实现最小系统;
所述硬件加解密单元103主要为保护个人信息和数据信息的安全存储及传输所需的各种加解密算法,包括软件算法和/或硬件算法和/或软硬结合的算法。该单元主要包括随机数模块、各种硬件加解密算法,如RSA、AES、DES、SM1、HASH等算法;可采用软硬件结合的方式,成本低、速度快。
请参阅图2所示,所述带MPU保护功能的片上存储器104主要为实现个人信息、数据、程序、密钥、系统参数等数据的安全存储及安全访问,可有效防止程序及数据被破解。该单元主要包括存储器逻辑控制部分及存储介质部分,其中存储器逻辑控制部分主要包含加解密控制、擦除控制、逻辑分区控制及读写权限控制等。可实现对存储介质的读、写、擦除、写入保护、读保护、数据加解密等操作;存储介质部分可划分成JTAG锁止域、用户域、唯一序列号域、开放数据区、保护数据区、一般程序区、只执行程序区、配置参数区。其中JTAG锁止域、用户域、唯一序列号域为一次性写入区域,写入数据后不能修改。JTAG锁止域设定后不能通过JTAG接口仿真调试程序,保证芯片内部信息不被读出,用户域允许用户一次性写入数据,序列号域存放唯一序列号。保护数据区可加密存储区,只执行程序区CPU只可执行程序不可读出,所有区域都具有写使能保护功能。
所述对外通讯单元105主要为系统软件与外部控制设备进行通讯及数据交换。该通讯单元包括SD卡主接口、SD卡从接口、USB接口、UART接口或NFC接口等;其中NFC接口为非接触式通讯接口;
所述人机交互控制单元106主要为系统软件获取外部设备信息及状态、控制和/或指示外部设备。该单元主要包括通用IO、液晶屏控制、按键扫描、指示控制、传感器驱动控制、等控制接口;
所述外部存储器控制单元107主要为实现较大容量的数据安全存放,可通过硬件加解密单元103完成对数据流的加解密。所述外部存储器控制单元107包括Nandflash并行控制接口、串行flash SPI/SQI接口或SATA/IDE接口。CPU可通过总线直接访问多片Nandflash。
OTP存储区采用Antifuse型OTP/MTP,与普通电荷型的OTP、EEPROM或FLASH相比具有极高的良率、极高的可靠性(即不丢失数据)、极高的安全性(即抗反向设计,抗芯片剖片拍照)。
用户密钥放在用户域,核心程序放在只执行程序区,用户生物特征等数据放在保护数据区,其他数据放在开放数据区,用户COS程序放在一般程序区,在量产时将JTAG锁止域锁定后外部没有任何方法来非法获取内部数据,也无法通过芯片剖片拍照的方式获取内部存储的数据,具有高安全性。CPU通过指令Cache读取并执行程序区代码,存储区域的数据通过加解密通道进行加密存储及解密读出,该加密通道可通过寄存器来配置设定,同时具有存储器保护功能,防止代码或数据被意外修改。通过内嵌的Flash逻辑控制部分简称EFC,用户可以实现对内嵌Flash的读操作、擦除操作以及编程操作等基本操作,还可以实现对内嵌Flash的加密、保护和限制等特殊功能。
请参阅图3至4所示,本发明所述的这种带生物特征识别功能的身份认证系统的认证方法,通过片上生物特征比对的方法实现对设备持有人身份的认证,通过PKI系统实现设备中存储的个人身份对银行终端的安全认证,具体步骤如下:
一、生产及发行初始化流程如下:
1)发行机构和/或其指定机构完成相关COS系统的开发及烧录后提供给发行机构;
2)发行机构通过外部主控系统采集申请用户的生物特征信息,包括指纹和或CMOS和或虹膜和或静脉等;
3)发行机构根据用户申请生成包含生物特征信息的数字证书;
4)发行机构主控系统通过设备对外通讯单元105与设备通讯,将该数字证书加密写入到带MPU保护功能的片上存储器104上;该下载过程可以为有线方式包括USB和/或UART和/或SPI和/或I2C、无线方式包括Internet和/或Wap和/或NFC等方式;
5)初始化完成。
二、实现设备持有人对银行终端的认证的流程如下:
1)外部主控系统通过人机交互控制单元106采集外部传感器生物信息,或设备CPU主控单元101通过人机交互控制单元106采集外部传感器生物信息;传感器包括指纹采集器和或CMOS采集器和或虹膜采集器和或静脉采集器等;
2)外部主控系统根据获取到生物信息并提取其特征A,生成包括指纹、面相、虹膜、静脉等在内的生物特征;
3)外部主控系统通过对外通讯单元105将上述生物特征传输到CPU主控单元101;
4)CPU主控单元101读取带MPU保护功能的片上存储器104上的用户生物特征信息B,并通过硬件加解密单元103对读出的用户特征信息解密;
5)CPU主控单元101运行生物特征比对算法完成生物特征A与生物特征B的比对,如果比对失败则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对失败应答包,并记录失败次数。如果连续比对失败超过系统设定的x次,则系统自动锁定。如果比对成功则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对成功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外部主控系统。
6)外部主控系统成功获取到硬件身份认证芯片返回的加密用户数字证书后通过有线方式包括USB和/或UART和/或SPI和/或I2C、无线方式包括Internet和/或Wap和/或NFC等方式将信息发送到银行终端完成设备持有人的身份认证。
7)认证成功。
实施例1:
本发明一种生物特征识别功能的身份认证系统及其认证方法,如图5所示为带片上生物识别功能的身份认证USB Key装置,以下简称UKey。该装置包括SOC芯片1,生物识别传感器2,设有按键的液晶屏3,PC电脑4,银行终端5。所述SOC芯片1包括CPU主控单元101、系统控制单元102、硬件加解密单元103、带MPU保护功能的片上存储器104、对外通讯单元105、人机交互控制单元106、外部存储器控制单元107;所述UKeyPC电脑4发起身份认证请求,通过PC电脑4的USB接口与SOC芯片1的对外通讯单元105进行通讯,完成身份认证请求;SOC芯片1接收到身份验证的请求后,通过人机交互控制单元106控制外部传感器获取到用户生物图像信息,该信息经过生物特征提取算法生成特征A,然后与存储在带MPU保护功能的片上存储器104上用户特征信息B进行比对,如果连续多次比对不通过则SOC芯片1内的COS将锁定设备,不再工作。如果比对通过则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对成功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外部PC电脑4。PC电脑4将用户数字证书加密发送到银行终端5,银行终端5确认用户身份后将交易成功与否及交易数据的信息加密返回给PC电脑4,PC电脑4通过对外通讯单元105将交易信息发送给SOC芯片1的CPU主控单元101,CPU主控单元101控制人机交互控制单元106在设有按键的液晶屏3上显示交易信息,用户核对无误后完成交易。
该实施例可进一步演变成如图6所示实施例,将传感器2的控制权由SOC芯片1转交给PC电脑4。具体流程为所述UKey PC电脑4发起身份认证请求,通过PC电脑4的USB接口与SOC芯片1的对外通讯单元105进行通讯,完成身份认证请求;SOC芯片1接收到身份验证的请求后,等待PC电脑4从传感器2上采集生物图像信息,该图像信息在PC电脑4生成生物特征A后通过对外通讯单元105发送给CPU主控单元101,或PC电脑4将采集到的生物图像信息通过对外通讯单元105发送给SOC芯片1后,由其CPU主控单元101运行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的片上存储器104上用户特征信息B进行比对,如果连续多次比对不通过则SOC芯片1内的COS将锁定设备,不再工作。如果比对通过则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对成功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外部PC电脑4。PC电脑4将用户数字证书加密发送到银行终端5,银行终端5确认用户身份后将交易成功与否及交易数据的信息加密返回给PC电脑4,PC电脑4通过对外通讯单元105将交易信息发送给SOC芯片1的CPU主控单元101,CPU主控单元101控制人机交互控制单元106在液晶屏3上显示交易信息,用户核对无误后完成交易。
以上实施例可在具有传感器(如CMOS和或指纹传感器)的设备上直接通过对SOC芯片1的软件升级即可完成高安全级别的身份认证功能。避免了USB Key设备及PC、笔记本等终端设备的硬件升级改造。
实施例2:
本发明一种生物特征识别功能的身份认证系统及其认证方法,如图7所示为带片上生物识别功能的身份认证SDKey装置,以下简称SDKey。该装置包括SOC芯片1,SD卡从接口2,手持设备主控芯片3,生物识别传感器4,银行终端5。所述SDKey手持设备主控芯片3发起身份认证请求,通过手持设备主控芯片3的SD卡接口与SOC芯片1的对外通讯单元105进行通讯,完成身份认证请求;SOC芯片1接收到身份验证的请求后,等待手持设备主控芯片3从传感器4上采集生物图像信息,该图像信息在手持设备主控芯片3生成生物特征A后通过对外通讯单元105发送给CPU主控单元101,或手持设备主控芯片3将采集到的生物图像信息通过对外通讯单元105发送给SOC芯片1后,由其CPU主控单元101运行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的片上存储器104上用户特征信息B进行比对,如果连续多次比对不通过则SOC芯片1内的COS将锁定设备,不再工作。如果比对通过则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对成功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外部手持设备主控芯片3。手持设备主控芯片3将用户数字证书加密发送到银行终端5,银行终端5确认用户身份后将交易成功与否及交易数据的信息加密返回给手持设备主控芯片3,手持设备主控芯片3通过软件控制在手持设备的液晶屏上显示交易信息,用户核对无误后完成交易。
以上实施例可利用现有部分手持设备具备传感器(如CMOS和或指纹传感器等)的特性,直接通过对SOC芯片1的软件升级即可完成高安全级别的身份认证功能。避免了大量手持设备如手机等终端设备的硬件升级改造,有利于普及推广。
实施例3:
本发明一种生物特征识别功能的身份认证系统及其认证方法,如图8所示为PC及手持设备通用带片上生物识别功能的身份认证Key,以下简称SmartSDKey。该装置包括SOC芯片1,SD卡从接口2,USB转SD卡芯片3,生物识别传感器4,PC电脑5,手持设备主控芯片6,银行终端7。所述SmartSDKey手持设备主控芯片6或由PC电脑5通过USB转SD卡芯片3发起身份认证请求,通过SD卡接口与SOC芯片1的对外通讯单元105进行通讯,完成身份认证请求;SOC芯片1接收到身份验证的请求后,等待手持设备主控芯片6或PC电脑5从传感器4上采集生物图像信息,该图像信息在手持设备主控芯片6或PC电脑5上生成生物特征A后通过对外通讯单元105发送给CPU主控单元101。或手持设备主控芯片6或PC电脑5将采集到的生物图像信息通过对外通讯单元105发送给SOC芯片1后,由其CPU主控单元101运行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的片上存储器104上用户特征信息B进行比对,如果连续多次比对不通过则SOC芯片1内的COS将锁定设备,不再工作。如果比对通过则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对成功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外部手持设备主控芯片6或PC电脑5。手持设备主控芯片6或PC电脑5将用户数字证书加密发送到银行终端5,银行终端5确认用户身份后将交易成功与否及交易数据的信息加密返回给手持设备主控芯片6或PC电脑5,手持设备主控芯片6通过软件控制在手持设备的液晶屏上显示交易信息,或PC电脑5通过显示屏显示交易信息,用户核对无误后完成交易。
实施例4:
本发明一种生物特征识别功能的身份认证系统及其认证方法,如图9所示为带片上生物识别功能的身份认证智能卡装置,以下简称SmartCard装置。该装置包括SOC芯片1,智能卡接口2(包括IC/SIM/RFID卡等),读/写卡设备3,生物特征采集设备4,银行终端5。所述SmartCard装置读/写卡设备3发起身份认证请求,通过读/写卡设备3的智能卡接口2与SOC芯片1的对外通讯单元105进行通讯,完成身份认证请求;其中通讯方式符合包括ISO 7816和/或ISO 14443等在内的接触或非接触式协议。SOC芯片1接收到身份验证的请求后,等待读/写卡设备3从生物特征采集设备4上采集生物图像信息,该图像信息在读/写卡设备3生成生物特征A后通过对外通讯单元105发送给CPU主控单元101,或读/写卡设备3将采集到的生物图像信息通过对外通讯单元105发送给SOC芯片1后,由其CPU主控单元101运行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的片上存储器104上用户特征信息B进行比对,如果连续多次比对不通过则SOC芯片1内的COS将锁定设备,不再工作。如果比对通过则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对成功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外部读/写卡设备3。读/写卡设备3将用户数字证书加密发送到银行终端5,银行终端5确认用户身份后将交易成功与否及交易数据的信息加密返回给读/写卡设备3,读/写卡设备3通过软件控制在读/写卡设备显示和/或打印出交易信息,用户核对无误后完成交易。
以上实施例可利用通过对现有的读/写卡设备如POS等设备增加生物特征采集设备(如CMOS和或指纹传感器等模块)并通过对现有读/写卡设备的软件升级即可使现有读/写卡设备具备高安全级别的身份认证功能。同时通过修改SOC芯片1的底层软件COS可方便支持电子钱包等在内的近距离刷卡消费。
实施例5:
本发明一种生物特征识别功能的身份认证系统及其认证方法,如图10所示为带片上生物识别身份认证功能的加密存储设备,以下简称加密存储装置。该装置包括SOC芯片1,传感器2(包括CMOS和或指纹传感器等),存储介质3,PC电脑4。所述加密存储装置通过PC的USB取电,上电后SOC芯片1通过USB接口加载上位机软件到PC电脑端运行,由加载到PC电脑4上的软件通过USB向SOC芯片1发起身份认证请求,SOC芯片1通过人机交互控制单元106采集生物信息,然后通过CPU主控单元101运行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的片上存储器104上用户特征信息B进行比对,如果比对不通过则SOC芯片1通过对外通讯单元105向PC电脑4发送失败应答包,则PC电脑4端将不能显示U盘等盘符,用户不能访问该设备;如果比对通过则CPU主控单元101通过对外通讯单元105向PC电脑4发送返回比对成功应答包,PC电脑4端显示U盘盘符,用户可访问该设备。此时存储在存储介质中的数据通过外部存储器控制单元107将加密后的数据通过硬件加解密单元103解密后由CPU主控单元101通过对外通讯单元105的USB接口读出显示在PC上。对加密存储装置的写操作过程由PC电脑端通过USB接口发送需保存的文件道SOC芯片1的CPU主控单元101,CPU主控单元101调用硬件加解密单元103将数据流进行加密后通过外部存储器控制单元107将数据存储在存储介质3上。
以上实施例可完成小容量加密存储的需求,实现了对数据流的加密,该存储介质内的数据为加密数据,为高密存储,其加密密钥为存储在带MPU保护功能的片上存储器104上唯一用户密钥。通过身份认证及加密安全存储可确保用户信息的安全。
该实施例可进一步演变成如图11所示实施例。该装置包括SOC芯片1,传感器2(包括CMOS和或指纹传感器等),USB3.0转SATA芯片3,移动硬盘4,PC电脑5。所述加密存储装置通过PC的双USB线取电,SOC芯片1与USB3.0转SATA芯片3都通过USB与PC电脑5相连,SOC芯片1控制USB3.0转SATA芯片3和传感器2。装置上电后SOC芯片1通过USB接口加载上位机软件到PC电脑端运行,由加载到PC电脑4上的软件通过USB向SOC芯片1发起身份认证请求,SOC芯片1通过人机交互控制单元106采集生物信息,然后通过CPU主控单元101运行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的片上存储器104上用户特征信息B进行比对,如果比对不通过则人机交互控制单元106发送信号控制USB3.0转SATA芯片3不能连同移动硬盘4与PC电脑5,同时SOC芯片1通过对外通讯单元105向PC电脑5发送失败应答包,则用户不能访问该移动硬盘;如果比对通过则CPU主控单元101通过人机交互控制单元106发送信号控制USB3.0转SATA芯片3连同移动硬盘4与PC电脑5,同时对外通讯单元105向PC电脑4发送返回比对成功应答包,PC电脑4端显示相应移动硬盘盘符,用户可读写该移动硬盘。加载到PC端的软件可选择对移动硬盘内的数据是否进行加密存储,加密存储过程如下:SOC芯片1调用硬件加解密单元103生成的唯一密钥,在PC端运行加密算法对文件进行加密后通过USB3.0转SATA芯片3存储到移动硬盘4中。其中加密密钥的传输是通过加密方式传输到PC电脑5的,可有效防止被截获破解。移动硬盘加密文件的解密过程如下:PC电脑5在读取移动硬盘4加密文件时自动关联运行SOC芯片1加载到PC电脑5端的软件,要求用户输入指纹解密,用户按要求输入指纹验证成功后(验证过程同上),PC电脑5用SOC芯片1的唯一密钥解密后文件以明文方式读出,用户修改加密文件后保存过程见上一步加密存储过程。
以上实施例可完成大容量加密存储速度及安全的需求,同时可满足用户对部分保密信息的安全保护,这样即不影响用户正常使用又可满足用户对信息安全的保护需求。密钥来自芯片端可有效保证加密信息不被非法破解。
实施例6:
本发明一种生物特征识别功能的身份认证系统及其认证方法,如图12所示为安全U盘、智能卡、安全支付Key一体机设备,以下简称一体机设备。该装置包括SOC芯片1,NFC控制器2,存储介质3,天线4,Micro SD卡接口5,USB接口6,带孔可拆除结构7。所述一体机设备主要为Micro SD卡形式,其中SOC芯片1包括芯片形式和/或Mini SD卡和/或DIE形式,其中NFC控制器2包括芯片和/或模块,天线4包括PCB天线和/或印刷软质薄型天线,存储介质3包括并行接口或四通道串行SPI接口Nandflash,Micro SD卡接口5为可以为与外部SD Host设备通讯的接口,USB接口6可以为与PC电脑直接相连的接口,带孔可拆除结构7包括塑料件和/或金属件,带孔可拆卸,拆卸下后可方便USB直接插入PC电脑端,同时小孔可方便挂在钥匙环上方便随身携带。应用领域:近距离现场支付、手机远程支付、电脑USBKey认证、安全存储。
近距离现场支付流程:见实施例4;
手机远程支付流程:见实施例2;
电脑USB Key认证流程:见实施例1;
安全存储流程:见实施例5。
实施例7:
本发明一种生物特征识别功能的身份认证系统及其认证方法,如图13所示为带片上生物识别身份认证功能的手机支付方案,以下简称带生物认证的手机支付装置。该装置包括基于安全芯片的Mini SD卡1,手机SD卡接口2,手机内置NFC芯片组3,手机主控芯片4,传感器5,POS机6,银联CUPMobile系统7。在本实施方式中,所述传感器5可以为CMOS传感器或指纹传感器。在其他实施方式中,所述传感器5可以为如CMOS、半导体指纹传感器、摄像头等面部、虹膜采集传感器,组成的最小单元。所述带生物认证的手机支付装置由手机主控芯片4上的支付软件发起身份认证请求,手机主控芯片4通过CMOS传感器5获取用户面部图像或通过指纹传感器6获取指纹图像,生成特征A,然后通过手机SD卡接口2将特征A传输到Mini SD卡1中的CPU中,或者将手机主控芯片4采集到的面部图像或指纹图像通过手机SD卡接口2传输到Mini SD卡1中的CPU中生成特征A。Mini SD卡1中的CPU调用带MPU保护功能的片上存储器特征B到CPU中,CPU运行对应的算法比对特征。比对通过后,用户信息通过b通道经过SD卡接口2到手机主控芯片4然后通过WAP或GPRS传输到银联CUPMobile系统7,或用户信息通过b通道经过SD卡接口2到手机主控芯片4然后通过手机内置NFC芯片组3通过ISO 14443即c通道发送到POS机6然后通过其收单前置端发送到CUPMobile系统7,完成认证。用户交易成功后将交易信息发送到手机主控芯片4通过手机屏幕显示,完成交易。
术语解释:
USB Key:USB接口的硬件设备。
SDKey:带身份识别功能的SD卡。
OTP:one time program(一次性编程)。
CPRM:Content Protection Recordable Media内容保护可记录介质。
骗签:指安全认证设备在持有人PC或手持设备等交易平台上被非法用户通过木马等手段完成非持有人操作的安全认证设备对交易终端的签名认证过程。主要方式为通过木马截获pin码的输入后,利用持有人认证设备完成认证后进行转账等交易。
NFC符合NFCIP-2标准,支持非接触式的支付,提供NFC双向通信,任意两张支付卡可以互相读写(主动模式和被动模式),支持P2P点对点通信,支持非接触式的支付,工作在13.56MHz频段,支持ISO/IEC14443(A)/MIFARE机制,传输距离5CM左右,电池可以充电,支持省电模式。
BVCI:总线的一种。
MPU:Memory Protection Unit存储器保护单元。
OTA:Over-the-air(OTA-无线下载),空中下载。
CUPS:中国银联银行卡信息交换系统。
芯片剖片拍照:属于芯片物理攻击的版图重构中的一种。
逻辑攻击:逻辑攻击的主要方法是对外处理器的通信接口进行分析,以其发现智能卡协议、密码算法及其实现过程中所潜藏的逻辑缺陷,包括潜藏未用的命令、不良参数与缓冲器溢出、文件存取漏洞、恶意进程、通信协议和加密协议的设计与执行过程中插入窃听程序,利用这些缺陷诱骗卡泄露机密数据或允许非期望的数据修改。
边频攻击:边频攻击是通过观察电路中的某些物理量如能量消耗、电磁辐射、时间等的变化规律来分析智能卡的加密数据。
物理攻击:物理攻击的主要方法包括微探针技术、版图重构、聚离子束(FLB),物理攻击是实现成功探测的强有力手段。
除上述实施例外,本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案,均落在本发明要求的保护范围。