CN112862491A - 基于安全单元和可信执行环境的人脸支付安全方法及平台 - Google Patents

基于安全单元和可信执行环境的人脸支付安全方法及平台 Download PDF

Info

Publication number
CN112862491A
CN112862491A CN202110059578.4A CN202110059578A CN112862491A CN 112862491 A CN112862491 A CN 112862491A CN 202110059578 A CN202110059578 A CN 202110059578A CN 112862491 A CN112862491 A CN 112862491A
Authority
CN
China
Prior art keywords
face
payment
user
features
execution environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110059578.4A
Other languages
English (en)
Other versions
CN112862491B (zh
Inventor
高天笑
周梓荣
陈云
尹波
龚庆祝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Convenisun Technology Co ltd
Original Assignee
Guangdong Convenisun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Convenisun Technology Co ltd filed Critical Guangdong Convenisun Technology Co ltd
Priority to CN202110059578.4A priority Critical patent/CN112862491B/zh
Publication of CN112862491A publication Critical patent/CN112862491A/zh
Application granted granted Critical
Publication of CN112862491B publication Critical patent/CN112862491B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/16Human faces, e.g. facial parts, sketches or expressions
    • G06V40/161Detection; Localisation; Normalisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/16Human faces, e.g. facial parts, sketches or expressions
    • G06V40/168Feature extraction; Face representation
    • G06V40/171Local features and components; Facial parts ; Occluding parts, e.g. glasses; Geometrical relationships
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N5/00Details of television systems
    • H04N5/76Television signal recording

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Oral & Maxillofacial Surgery (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Virology (AREA)
  • Human Computer Interaction (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Business, Economics & Management (AREA)
  • Biomedical Technology (AREA)
  • Strategic Management (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本发明涉及人脸支付安全技术领域,具体为基于安全单元和可信执行环境的人脸支付安全方法及平台,包括如下步骤:S1:获取用户的人脸特征,对获取的用户人脸特征进行识别并存储;S2:将用户人脸特征通过存储单元绑定在本地装置,本地装置通过安全加密芯片对用户人脸特征进行加密处理;S3:人脸支付时服务终端收到支付请求,支付应用调用摄像头获取支付用户的人脸特征,人脸识别单元对支付用户的人脸特征与存储在存储单元内的用户人脸特征进行识别匹配。本发明中本地装置通过安全加密芯片对用户人脸特征进行加密处理,服务终端与支付应用之间通过密钥方式进行加密传输,形成多重加密防护,有效保护人脸支付程序,提高人脸支付的安全性。

Description

基于安全单元和可信执行环境的人脸支付安全方法及平台
技术领域
本发明涉及人脸支付安全方法及平台,特别是涉及基于安全单元和可信执行环境的人脸支付安全方法及平台,属于人脸支付安全技术领域。
背景技术
随着科技的不断进步,生物识别技术的应用也越来越广泛,尤其是人脸识别,已广泛应用于身份认证、移动支付、模拟动态表情等场景,人脸识别支付系统是一款基于脸部识别系统的支付平台,该系统不需要钱包、信用卡或手机,支付时只需要面对POS机屏幕上的摄像头,系统会自动将消费者面部信息与个人账户相关联,整个交易过程十分便捷。
中国发明专利CN 110555706 A提供基于安全单元和可信执行环境的人脸支付安全方法及平台,通过人脸识别可信应用和人脸识别摄像头采集的人脸活体检测数据和人脸图像数据,可信执行环境计算获取活体百分率后调用安全单元获取百分率签名结果及密文数据,支付应用判断活体百分率是否大于预设活体百分率阈值,若大于则在富执行环境中结合密码键盘进行用户身份认证和剩余交易。本方案中,安全单元提供安全的密码学算法服务和人脸识别数据保护密钥,可信执行环境保证了人脸活体检测算法的安全执行,并通过与人脸识别摄像头直连保证了人脸支付过程中各数据的完整性、认证性和机密性的保护。
中国发明专利CN 107506986 A涉及一种基于安全环境或可信执行环境的支付方法以及支付系统。该方法包括下述步骤:从用户终端将与用户私钥对应的用户公钥发送到支付平台以申请用户证书,在用户终端的安全环境或可信执行环境中存储所述用户私钥以及从支付平台返回的用户证书和支付根证书;商户终端提供包含订单信息的二维码信息并对二维码信息用商户私钥进行签名;用户终端获取所述二维码信息并验证二维码信息的有效性;以及用户终端在验证二维码信息有效的情况下,将所述订单信息在用户终端的安全环境或可信执行环境中利用用户私钥进行签名并将签名后的订单信息上传到支付平台。根据本发明,能够在提供便捷支付方式的基础上保证支付的安全性。
上述两个发明专利均提出了支付方法,但是在人脸支付过程中对于用户人脸特征的保护不足,容易导致用户人脸特征在支付过程中别窃取,不能完全保护用户的支付信息,支付安全等级低,大大降低人脸支付的安全性。
因此,亟需对人脸支付安全方法及平台进行改进,以解决上述存在的问题。
发明内容
本发明的目的是提供基于安全单元和可信执行环境的人脸支付安全方法及平台,本发明中用户人脸特征通过存储单元绑定在本地装置,本地装置通过安全加密芯片对摄像头获取的用户人脸特征进行加密处理,同时可信执行环境中的服务终端与本地装置内的支付应用之间通过密钥方式进行加密传输,形成多重加密防护,有效保护人脸支付程序,提高人脸支付的安全性。
为了达到上述目的,本发明采用的主要技术方案包括:
一种基于安全单元和可信执行环境的人脸支付安全方法,包括如下步骤:
S1:可信执行环境中的可信应用通过摄像头获取用户的人脸特征,可信执行环境中的人脸识别单元对摄像头获取的用户人脸特征进行识别,并将识别后的用户人脸特征存储在可信执行环境中的存储单元内;
S2:将用户人脸特征通过存储单元绑定在本地装置,本地装置通过安全加密芯片对摄像头获取的用户人脸特征进行加密处理;
S3:当用户使用支付应用人脸支付时,可信执行环境中的服务终端收到支付请求,然后支付应用调用摄像头获取支付用户的人脸特征,人脸识别单元对支付用户的人脸特征与存储在存储单元内的用户人脸特征进行识别匹配,若支付用户的人脸特征与存储单元内的用户人脸特征匹配成功,则进入支付页面,完成支付,若支付用户的人脸特征与存储单元内的用户人脸特征匹配失败,则终止支付交易;
S4:当支付用户的人脸特征与存储单元内的用户人脸特征匹配失败时,支付应用调用摄像头对支付用户进行拍照和录像,并将摄像头获取的图片和视频数据上传给可信执行环境中的服务终端,服务终端会立即切断与本地装置内的支付应用之间的关联;
通过上述技术方案,本发明中用户人脸特征通过存储单元绑定在本地装置,本地装置通过安全加密芯片对摄像头获取的用户人脸特征进行加密处理,同时可信执行环境中的服务终端与本地装置内的支付应用之间通过密钥方式进行加密传输,形成多重加密防护,有效保护人脸支付程序,提高人脸支付的安全性;
人脸支付过程中,当支付用户的人脸特征与存储单元内的用户人脸特征匹配失败时,支付应用调用摄像头对支付用户进行拍照和录像,并将摄像头获取的图片和视频数据上传给可信执行环境中的服务终端,服务终端会立即切断与本地装置内的支付应用之间的关联,及时切断支付程序与终端的关联,避免用户信息泄露,进一步提高人脸支付的安全性。
优选的,在S1中,人脸识别单元用于判断人脸特征采集是否完成;
若未完成,可信执行环境中的可信应用调用摄像头对用户进行人脸特征采集;
若完成,则进入步骤S2。
优选的,在S1中,人脸特征包括人脸图像数据、人脸视频数据以及虹膜数据;
摄像头在获取用户的人脸特征时,用户需完成可信应用给出的指定动作,然后人脸识别单元对用户人脸特征进行人脸识别操作。
优选的,在S2中,本地装置绑定存储单元内的人脸特征,同时本地装置通过加密传输方式将人脸特征传输给可信执行环境中的服务终端,可信执行环境中的服务终端对接收到的人脸特征进行加密保存。
优选的,在S3中,可信执行环境中的服务终端与本地装置内的支付应用之间通过密钥方式进行加密传输;
由支付应用形成用户私钥,将与该用户私钥对应的用户公钥发送到可信执行环境中的服务终端以申请用户证书;
从可信执行环境中的服务终端返回用户证书和支付根证书给支付应用。
优选的,在S4中,可信执行环境中的服务终端和支付应用之间设有拦截模块。
优选的,所述S3中,所述人脸识别单元对支付用户的人脸特征与存储在存储单元内的用户人脸特征进行识别匹配,其过程包括如下步骤:
A1、将支付用户的人脸特征进行识别预处理;
R(x,y)=W(σi(r(x,y))),i=1,2,...,n
其中,R(x,y)表示识别预处理后的人脸特征,r(x,y)表示支付用户的人脸特征,σi表示第i层加密处理的密钥,n表示加密处理中密钥数目,W为作用关系映射函数,表示第2层加密处理的密钥是在第1层加密处理的密钥作用结果上进行加密,第3次层加密处理的密钥是在第2层加密处理的密钥作用结果上进行加密,依次类推;
A2、根据下述公式计算支付用户的人脸特征与存储在存储单元内用户的人脸特征的识别度;
Figure BDA0002901926990000051
上述公式中,αj表示支付用户的人脸特征与存储在存储单元内第j个用户的人脸特征之间的识别度,arcsin表示反正弦函数,sqrt表示算术平方根函数,Tj(x,y)表示存储在存储单元内第j个用户的人脸特征;
A3、根据识别度确定识别结果;
Figure BDA0002901926990000052
其中,FRY表示识别结果,a表示匹配成功,b表示匹配失败,a表示绝对值函数,k表示预设参照值,取值范围为0至1,H表示阈值。
一种基于安全单元和可信执行环境的人脸支付安全平台,包括服务终端、本地装置、可信应用、支付应用以及摄像头;
所述服务终端用于接收所述本地装置发送的人脸特征,且所述服务终端还用于加密存储人脸特征;
所述本地装置包括存储单元、人脸识别单元、支付应用以及摄像头,所述本地装置用于对人脸特征进行识别存储;
所述可信应用用于调用摄像头对用户进行人脸特征采集;
所述支付应用用于用户进行支付交易页面;
所述摄像头用于获取用户的人脸特征。
优选的,所述服务终端与所述本地装置连接,所述服务终端和所述本地装置内的支付应用之间设有拦截模块,所述拦截模块为网络杀毒拦截软件;
通过上述技术方案,本发明中服务终端和本地装置内的支付应用之间设有拦截模块,拦截模块为网络杀毒拦截软件,在服务终端和本地装置进行交互时,可有效拦截木马病毒,并对网络病毒进行清除,进一步加强人脸支付的防护性能,避免服务终端受到非法网络攻击,提高支付平台使用的安全性。
优选的,所述可信应用与所述本地装置连接,所述可信应用还与所述服务终端连接。
本发明至少具备以下有益效果:
1、本发明中用户人脸特征通过存储单元绑定在本地装置,本地装置通过安全加密芯片对摄像头获取的用户人脸特征进行加密处理,同时可信执行环境中的服务终端与本地装置内的支付应用之间通过密钥方式进行加密传输,形成多重加密防护,有效保护人脸支付程序,提高人脸支付的安全性;
2、人脸支付过程中,当支付用户的人脸特征与存储单元内的用户人脸特征匹配失败时,支付应用调用摄像头对支付用户进行拍照和录像,并将摄像头获取的图片和视频数据上传给可信执行环境中的服务终端,服务终端会立即切断与本地装置内的支付应用之间的关联,及时切断支付程序与终端的关联,避免用户信息泄露,进一步提高人脸支付的安全性;
3、本发明中服务终端和本地装置内的支付应用之间设有拦截模块,拦截模块为网络杀毒拦截软件,在服务终端和本地装置进行交互时,可有效拦截木马病毒,并对网络病毒进行清除,进一步加强人脸支付的防护性能,避免服务终端受到非法网络攻击,提高支付平台使用的安全性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明的人脸支付安全方法流程图;
图2为本发明的人脸支付安全平台示意图;
图3为本发明的本地装置示意图;
图4为本发明的人脸特征示意图。
具体实施方式
以下将配合附图及实施例来详细说明本申请的实施方式,借此对本申请如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
如图1-图4所示,本实施例提供的基于安全单元和可信执行环境的人脸支付安全方法,包括如下步骤:
S1:可信执行环境中的可信应用通过摄像头获取用户的人脸特征,可信执行环境中的人脸识别单元对摄像头获取的用户人脸特征进行识别,并将识别后的用户人脸特征存储在可信执行环境中的存储单元内;
在S1中,人脸识别单元用于判断人脸特征采集是否完成;
若未完成,可信执行环境中的可信应用调用摄像头对用户进行人脸特征采集;若完成,则进入步骤S2;
人脸特征包括人脸图像数据、人脸视频数据以及虹膜数据;
摄像头在获取用户的人脸特征时,用户需完成可信应用给出的指定动作,然后人脸识别单元对用户人脸特征进行人脸识别操作;
S2:然后将用户人脸特征通过存储单元绑定在本地装置,本地装置通过安全加密芯片对摄像头获取的用户人脸特征进行加密处理;
在S2中,本地装置绑定存储单元内的人脸特征,同时本地装置通过加密传输方式将人脸特征传输给可信执行环境中的服务终端,可信执行环境中的服务终端对接收到的人脸特征进行加密保存;
S3:当用户使用支付应用人脸支付时,可信执行环境中的服务终端收到支付请求,然后支付应用调用摄像头获取支付用户的人脸特征,人脸识别单元对支付用户的人脸特征与存储在存储单元内的用户人脸特征进行识别匹配,若支付用户的人脸特征与存储单元内的用户人脸特征匹配成功,则进入支付页面,完成支付,若支付用户的人脸特征与存储单元内的用户人脸特征匹配失败,则终止支付交易;
人脸识别是一种基于人的相貌特征信息进行身份认证的生物特征识别技术,技术的最大特征是能避免个人信息泄露,并采用非接触的方式进行识别,人脸识别与指纹识别、掌纹识别、视网膜识别、骨骼识别、心跳识别等都属于人体生物特征识别技术,都是随着光电技术、微计算机技术、图像处理技术与模式识别等技术的快速发展应运而生的,可以快捷、精准、卫生地进行身份认定;具有不可复制性,人脸识别系统在世界上的应用已经相当广泛,在中国就已广泛的应用于公安、安全、海关、金融、军队、机场、边防口岸、安防等多个重要行业及领域,以及智能门禁、门锁、考勤、手机、数码相机、智能玩具等民用市场,结账时,消费者只需在收银台面对POS机屏幕上的摄像头,系统自动拍照,扫描消费者面部,再把图像与数据库中的存储信息进行对比。消费者面部信息同时与支付系统相关联。等到消费者的身份信息显示出来后,他/她只需在触摸显示屏上点击“OK”确认,全部交易过程即告完成。
在S3中,可信执行环境中的服务终端与本地装置内的支付应用之间通过密钥方式进行加密传输;
由支付应用形成用户私钥,将与该用户私钥对应的用户公钥发送到可信执行环境中的服务终端以申请用户证书;
从可信执行环境中的服务终端返回用户证书和支付根证书给支付应用;
S4:当支付用户的人脸特征与存储单元内的用户人脸特征匹配失败时,支付应用调用摄像头对支付用户进行拍照和录像,并将摄像头获取的图片和视频数据上传给可信执行环境中的服务终端,服务终端会立即切断与本地装置内的支付应用之间的关联;
人脸识别系统主要包括四个组成部分,分别为:人脸图像采集及检测、人脸图像预处理、人脸图像特征提取以及匹配与识别;
1、人脸图像采集及检测:
人脸图像采集:不同的人脸图像都能通过摄像镜头采集下来,比如静态图像、动态图像、不同的位置、不同表情等方面都可以得到很好的采集。当用户在采集设备的拍摄范围内时,采集设备会自动搜索并拍摄用户的人脸图像;
人脸检测:人脸检测在实际中主要用于人脸识别的预处理,即在图像中准确标定出人脸的位置和大小,人脸图像中包含的模式特征十分丰富,如直方图特征、颜色特征、模板特征、结构特征及Haar特征等,人脸检测就是把这其中有用的信息挑出来,并利用这些特征实现人脸检测;
主流的人脸检测方法基于以上特征采用Adaboost学习算法,Adaboost算法是一种用来分类的方法,它把一些比较弱的分类方法合在一起,组合出新的很强的分类方法;
人脸检测过程中使用Adaboost算法挑选出一些最能代表人脸的矩形特征,按照加权投票的方式将弱分类器构造为一个强分类器,再将训练得到的若干强分类器串联组成一个级联结构的层叠分类器,有效地提高分类器的检测速度。
2、人脸图像预处理:
人脸图像预处理:对于人脸的图像预处理是基于人脸检测结果,对图像进行处理并最终服务于特征提取的过程。系统获取的原始图像由于受到各种条件的限制和随机干扰,往往不能直接使用,必须在图像处理的早期阶段对它进行灰度校正、噪声过滤等图像预处理,对于人脸图像而言,其预处理过程主要包括人脸图像的光线补偿、灰度变换、直方图均衡化、归一化、几何校正、滤波以及锐化等。
3、人脸图像特征提取
人脸图像特征提取:人脸识别系统可使用的特征通常分为视觉特征、像素统计特征、人脸图像变换系数特征、人脸图像代数特征等,人脸特征提取就是针对人脸的某些特征进行的。人脸特征提取,也称人脸表征,它是对人脸进行特征建模的过程,人脸特征提取的方法归纳起来分为两大类:一种是基于知识的表征方法;另外一种是基于代数特征或统计学习的表征方法;
基于知识的表征方法主要是根据人脸器官的形状描述以及他们之间的距离特性来获得有助于人脸分类的特征数据,其特征分量通常包括特征点间的欧氏距离、曲率和角度等,人脸由眼睛、鼻子、嘴、下巴等局部构成,对这些局部和它们之间结构关系的几何描述,可作为识别人脸的重要特征,这些特征被称为几何特征,基于知识的人脸表征主要包括基于几何特征的方法和模板匹配法。
4、人脸图像匹配与识别:
人脸图像匹配与识别:提取的人脸图像的特征数据与数据库中存储的特征模板进行搜索匹配,通过设定一个阈值,当相似度超过这一阈值,则把匹配得到的结果输出,人脸识别就是将待识别的人脸特征与已得到的人脸特征模板进行比较,根据相似程度对人脸的身份信息进行判断,这一过程又分为两类:一类是确认,是一对一进行图像比较的过程,另一类是辨认,是一对多进行图像匹配对比的过程。
在S4中,可信执行环境中的服务终端和支付应用之间设有拦截模块。
本发明中用户人脸特征通过存储单元绑定在本地装置,本地装置通过安全加密芯片对摄像头获取的用户人脸特征进行加密处理,同时可信执行环境中的服务终端与本地装置内的支付应用之间通过密钥方式进行加密传输,形成多重加密防护,有效保护人脸支付程序,提高人脸支付的安全性;
同时人脸支付过程中,当支付用户的人脸特征与存储单元内的用户人脸特征匹配失败时,支付应用调用摄像头对支付用户进行拍照和录像,并将摄像头获取的图片和视频数据上传给可信执行环境中的服务终端,服务终端会立即切断与本地装置内的支付应用之间的关联,及时切断支付程序与终端的关联,避免用户信息泄露,进一步提高人脸支付的安全性。
进一步地,在S3中,所述人脸识别单元对支付用户的人脸特征与存储在存储单元内的用户人脸特征进行识别匹配,其过程包括如下步骤:
A1、将支付用户的人脸特征进行识别预处理;
R(x,y)=W(σi(r(x,y))),i=1,2,...,n
其中,R(x,y)表示识别预处理后的人脸特征,r(x,y)表示支付用户的人脸特征,σi表示第i层加密处理的密钥,n表示加密处理中密钥数目,W为作用关系映射函数,表示第2层加密处理的密钥是在第1层加密处理的密钥作用结果上进行加密,第3次层加密处理的密钥是在第2层加密处理的密钥作用结果上进行加密,依次类推;
A2、根据下述公式计算支付用户的人脸特征与存储在存储单元内用户的人脸特征的识别度;
Figure BDA0002901926990000111
上述公式中,αj表示支付用户的人脸特征与存储在存储单元内第j个用户的人脸特征之间的识别度,arcsin表示反正弦函数,sqrt表示算术平方根函数,Tj(x,y)表示存储在存储单元内第j个用户的人脸特征;
A3、根据识别度确定识别结果;
Figure BDA0002901926990000112
其中,FRY表示识别结果,a表示匹配成功,b表示匹配失败,a表示绝对值函数,k表示预设参照值,取值范围为0至1,H表示阈值。
人脸识别单元针对支付用户的人脸特征与存储在存储单元内的用户人脸特征进行识别匹配时,通过将支付用户的人脸特征进行识别预处理使得支付用户的人脸特征在计算识别度时与存储在存储单元内的用户人脸特征保持一致,进而便于计算识别度,而且在确定识别结果的时候,通过计算识别度之后根据条件规则获得识别结果,在这里令预设参照值k取值为0,阈值H设置为1×10-4,提高了人脸识别单元的准确率,进而使得人脸识别单元对支付用户的人脸特征与存储在存储单元内的用户人脸特征进行识别匹配的准确率高达百分之一,此外,在根据识别度确定识别结果时,通过存在与任意的条件规则,提高了识别的灵敏度,使得识别结果更加准确。
如图2和图3所示,本实施例提供的基于安全单元和可信执行环境的人脸支付安全平台,包括服务终端、本地装置、可信应用、支付应用以及摄像头;
服务终端用于接收本地装置发送的人脸特征,且服务终端还用于加密存储人脸特征;
本地装置包括存储单元、人脸识别单元、支付应用以及摄像头,本地装置用于对人脸特征进行识别存储;
可信应用用于调用摄像头对用户进行人脸特征采集;
支付应用用于用户进行支付交易页面;
摄像头用于获取用户的人脸特征;
服务终端与本地装置连接,服务终端和本地装置内的支付应用之间设有拦截模块,拦截模块为网络杀毒拦截软件;
可信应用与本地装置连接,可信应用还与服务终端连接;
本发明中服务终端和本地装置内的支付应用之间设有拦截模块,拦截模块为网络杀毒拦截软件,在服务终端和本地装置进行交互时,可有效拦截木马病毒,并对网络病毒进行清除,进一步加强人脸支付的防护性能,避免服务终端受到非法网络攻击,提高支付平台使用的安全性。
如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语,故应解释成“包含但不限定于”。“大致”是指在可接收的误差范围内,本领域技术人员能够在一定误差范围内解决技术问题,基本达到技术效果。
需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括要素的商品或者系统中还存在另外的相同要素。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。

Claims (10)

1.一种基于安全单元和可信执行环境的人脸支付安全方法,其特征在于,包括如下步骤:
S1:可信执行环境中的可信应用通过摄像头获取用户的人脸特征,可信执行环境中的人脸识别单元对摄像头获取的用户人脸特征进行识别,并将识别后的用户人脸特征存储在可信执行环境中的存储单元内;
S2:将用户人脸特征通过存储单元绑定在本地装置,本地装置通过安全加密芯片对摄像头获取的用户人脸特征进行加密处理;
S3:当用户使用支付应用人脸支付时,可信执行环境中的服务终端收到支付请求,然后支付应用调用摄像头获取支付用户的人脸特征,人脸识别单元对支付用户的人脸特征与存储在存储单元内的用户人脸特征进行识别匹配,若支付用户的人脸特征与存储单元内的用户人脸特征匹配成功,则进入支付页面,完成支付,若支付用户的人脸特征与存储单元内的用户人脸特征匹配失败,则终止支付交易;
S4:当支付用户的人脸特征与存储单元内的用户人脸特征匹配失败时,支付应用调用摄像头对支付用户进行拍照和录像,并将摄像头获取的图片和视频数据上传给可信执行环境中的服务终端,服务终端会立即切断与本地装置内的支付应用之间的关联。
2.根据权利要求1所述的基于安全单元和可信执行环境的人脸支付安全方法,其特征在于:在S1中,人脸识别单元用于判断人脸特征采集是否完成;
若未完成,可信执行环境中的可信应用调用摄像头对用户进行人脸特征采集;
若完成,则进入步骤S2。
3.根据权利要求1所述的基于安全单元和可信执行环境的人脸支付安全方法,其特征在于:在S1中,人脸特征包括人脸图像数据、人脸视频数据以及虹膜数据;
摄像头在获取用户的人脸特征时,用户需完成可信应用给出的指定动作,然后人脸识别单元对用户人脸特征进行人脸识别操作。
4.根据权利要求1所述的基于安全单元和可信执行环境的人脸支付安全方法,其特征在于:在S2中,本地装置绑定存储单元内的人脸特征,同时本地装置通过加密传输方式将人脸特征传输给可信执行环境中的服务终端,可信执行环境中的服务终端对接收到的人脸特征进行加密保存。
5.根据权利要求1所述的基于安全单元和可信执行环境的人脸支付安全方法,其特征在于:在S3中,可信执行环境中的服务终端与本地装置内的支付应用之间通过密钥方式进行加密传输;
由支付应用形成用户私钥,将与该用户私钥对应的用户公钥发送到可信执行环境中的服务终端以申请用户证书;
从可信执行环境中的服务终端返回用户证书和支付根证书给支付应用。
6.根据权利要求1所述的基于安全单元和可信执行环境的人脸支付安全方法,其特征在于:在S4中,可信执行环境中的服务终端和支付应用之间设有拦截模块。
7.根据权利要求1所述的基于安全单元和可信执行环境的人脸支付安全方法,其特征在于:所述S3中,所述人脸识别单元对支付用户的人脸特征与存储在存储单元内的用户人脸特征进行识别匹配,其过程包括如下步骤:
A1、将支付用户的人脸特征进行识别预处理;
R(x,y)=W(σi(r(x,y))),i=1,2,...,n
其中,R(x,y)表示识别预处理后的人脸特征,r(x,y)表示支付用户的人脸特征,σi表示第i层加密处理的密钥,n表示加密处理中密钥数目,W为作用关系映射函数,表示第2层加密处理的密钥是在第1层加密处理的密钥作用结果上进行加密,第3次层加密处理的密钥是在第2层加密处理的密钥作用结果上进行加密,依次类推;
A2、根据下述公式计算支付用户的人脸特征与存储在存储单元内用户的人脸特征的识别度;
Figure FDA0002901926980000031
上述公式中,αj表示支付用户的人脸特征与存储在存储单元内第j个用户的人脸特征之间的识别度,arcsin表示反正弦函数,sqrt表示算术平方根函数,Tj(x,y)表示存储在存储单元内第j个用户的人脸特征;
A3、根据识别度确定识别结果;
Figure FDA0002901926980000032
其中,FRU表示识别结果,a表示匹配成功,b表示匹配失败,a表示绝对值函数,k表示预设参照值,取值范围为0至1,H表示阈值。
8.一种基于安全单元和可信执行环境的人脸支付安全平台,其特征在于,包括服务终端、本地装置、可信应用、支付应用以及摄像头;
所述服务终端用于接收所述本地装置发送的人脸特征,且所述服务终端还用于加密存储人脸特征;
所述本地装置包括存储单元、人脸识别单元、支付应用以及摄像头,所述本地装置用于对人脸特征进行识别存储;
所述可信应用用于调用摄像头对用户进行人脸特征采集;
所述支付应用用于用户进行支付交易页面;
所述摄像头用于获取用户的人脸特征。
9.根据权利要求8所述的基于安全单元和可信执行环境的人脸支付安全平台,其特征在于:所述服务终端与所述本地装置连接,所述服务终端和所述本地装置内的支付应用之间设有拦截模块,所述拦截模块为网络杀毒拦截软件。
10.根据权利要求8所述的基于安全单元和可信执行环境的人脸支付安全平台,其特征在于:所述可信应用与所述本地装置连接,所述可信应用还与所述服务终端连接。
CN202110059578.4A 2021-01-18 2021-01-18 基于安全单元和可信执行环境的人脸支付安全方法及平台 Active CN112862491B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110059578.4A CN112862491B (zh) 2021-01-18 2021-01-18 基于安全单元和可信执行环境的人脸支付安全方法及平台

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110059578.4A CN112862491B (zh) 2021-01-18 2021-01-18 基于安全单元和可信执行环境的人脸支付安全方法及平台

Publications (2)

Publication Number Publication Date
CN112862491A true CN112862491A (zh) 2021-05-28
CN112862491B CN112862491B (zh) 2022-03-15

Family

ID=76005934

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110059578.4A Active CN112862491B (zh) 2021-01-18 2021-01-18 基于安全单元和可信执行环境的人脸支付安全方法及平台

Country Status (1)

Country Link
CN (1) CN112862491B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114693306A (zh) * 2022-04-28 2022-07-01 润芯微科技(江苏)有限公司 一种适用非授权用户的付费预警方法及系统
CN117474556A (zh) * 2023-12-26 2024-01-30 深圳市唯博易科技有限公司 基于生物特征的pos机身份快速识别方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150006892A1 (en) * 2013-06-27 2015-01-01 Hitech & Development Wireless Sweden Ab Methods and apparatuses for secure end to end communication
CN105005779A (zh) * 2015-08-25 2015-10-28 湖北文理学院 基于交互式动作的人脸验证防伪识别方法及系统
WO2017128084A1 (zh) * 2016-01-26 2017-08-03 罗剑锋 人脸与信用卡匹配技术的使用数据统计方法以及验证系统
CN107506986A (zh) * 2017-08-04 2017-12-22 深圳市雪球科技有限公司 基于安全环境或可信执行环境的支付方法以及支付系统
CN110008903A (zh) * 2019-04-04 2019-07-12 北京旷视科技有限公司 人脸识别方法、装置、系统、存储介质和人脸支付方法
CN110414200A (zh) * 2019-04-08 2019-11-05 广州腾讯科技有限公司 身份验证方法、装置、存储介质和计算机设备
CN110555706A (zh) * 2019-08-30 2019-12-10 北京银联金卡科技有限公司 基于安全单元和可信执行环境的人脸支付安全方法及平台
CN111275448A (zh) * 2020-02-22 2020-06-12 腾讯科技(深圳)有限公司 人脸数据处理方法、装置和计算机设备
CN111967033A (zh) * 2020-08-28 2020-11-20 深圳康佳电子科技有限公司 基于人脸识别的图片加密方法、装置、终端及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150006892A1 (en) * 2013-06-27 2015-01-01 Hitech & Development Wireless Sweden Ab Methods and apparatuses for secure end to end communication
CN105005779A (zh) * 2015-08-25 2015-10-28 湖北文理学院 基于交互式动作的人脸验证防伪识别方法及系统
WO2017128084A1 (zh) * 2016-01-26 2017-08-03 罗剑锋 人脸与信用卡匹配技术的使用数据统计方法以及验证系统
CN107506986A (zh) * 2017-08-04 2017-12-22 深圳市雪球科技有限公司 基于安全环境或可信执行环境的支付方法以及支付系统
CN110008903A (zh) * 2019-04-04 2019-07-12 北京旷视科技有限公司 人脸识别方法、装置、系统、存储介质和人脸支付方法
CN110414200A (zh) * 2019-04-08 2019-11-05 广州腾讯科技有限公司 身份验证方法、装置、存储介质和计算机设备
CN110555706A (zh) * 2019-08-30 2019-12-10 北京银联金卡科技有限公司 基于安全单元和可信执行环境的人脸支付安全方法及平台
CN111275448A (zh) * 2020-02-22 2020-06-12 腾讯科技(深圳)有限公司 人脸数据处理方法、装置和计算机设备
CN111967033A (zh) * 2020-08-28 2020-11-20 深圳康佳电子科技有限公司 基于人脸识别的图片加密方法、装置、终端及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吴永斌 等: "学生宿舍人脸识别考勤系统设计", 《软件导刊》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114693306A (zh) * 2022-04-28 2022-07-01 润芯微科技(江苏)有限公司 一种适用非授权用户的付费预警方法及系统
CN117474556A (zh) * 2023-12-26 2024-01-30 深圳市唯博易科技有限公司 基于生物特征的pos机身份快速识别方法
CN117474556B (zh) * 2023-12-26 2024-03-08 深圳市唯博易科技有限公司 基于生物特征的pos机身份快速识别方法

Also Published As

Publication number Publication date
CN112862491B (zh) 2022-03-15

Similar Documents

Publication Publication Date Title
WO2020207189A1 (zh) 身份验证方法、装置、存储介质和计算机设备
Ross et al. Handbook of multibiometrics
Bolle et al. Guide to biometrics
Jain et al. Biometrics: a tool for information security
CN104700094B (zh) 一种用于智能机器人的人脸识别方法及系统
US10810451B2 (en) ATM with biometric security
TWI727329B (zh) 用於基於深度學習方法提供對資源之選擇性存取之防欺騙系統及方法
US10922399B2 (en) Authentication verification using soft biometric traits
CN112862491B (zh) 基于安全单元和可信执行环境的人脸支付安全方法及平台
Walia et al. Design and analysis of adaptive graph-based cancelable multi-biometrics approach
Belkhede et al. Biometric mechanism for enhanced security of online transaction on Android system: A design approach
CN105184236A (zh) 机器人人脸识别系统
CN205318544U (zh) 一种基于三维人脸识别的atm机防欺诈装置及系统
Ashiba et al. Implementation face based cancelable multi-biometric system
Bhanushali et al. Fingerprint based ATM system
CN113268769A (zh) 基于随机混淆的生物特征数据处理方法、系统及存储介质
Arora et al. Biometrics for forensic identification in web applications and social platforms using deep learning
SulaimanAlshebli et al. The cyber security biometric authentication based on liveness face-iris images and deep learning classifier
Kumari et al. A novel approach for secure multimodal biometric system using multiple biometric traits
Ghouzali Multimodal Biometric Watermarking-based Transfer Learning Authentication
Li et al. Online detection of spoof fingers for smartphone-based applications
Pathari et al. Human Recognition System using Behavioral and Physical Biometrics
Xiao et al. A Unified Identity Authentication Method Based on Face Information
Benlamri et al. Secure human face authentication for mobile e-government transactions
Kothawade et al. Application of deep convolutional neural network to prevent ATM fraud by facial disguise identification

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant