WO2016110101A1 - 一种指纹认证方法、装置、智能终端和计算机存储介质 - Google Patents

Abstract

一种指纹认证方法、装置、智能终端和计算机存储介质，其中方法包括：预先将用户指纹信息与用户认证信息的绑定关系存储于智能终端的安全存储区域(201)；在用户身份的认证阶段采集用户指纹信息(202)；将采集到的用户指纹信息与安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息(203)；将确定的用户认证信息发送给服务器端以进行用户身份的认证(204)。该方案能够简化用户操作，提高认证安全性，能够应用于诸如支付类认证等高安全性要求的场景。

Description

一种指纹认证方法、装置、智能终端和计算机存储介质

本申请要求了申请日为2015年01月08日，申请号为201510009630.X，发明名称为“一种指纹认证方法和装置”的中国专利申请的优先权。

技术领域

本发明涉及计算机应用技术领域，特别涉及一种指纹认证方法、装置、智能终端和计算机存储介质。

背景技术

随着诸如智能手机、平板电脑、智能电视等智能终端的不断发展和利用，人们利用智能终端设备越来越多地进行交易、获取服务，然而其中不可避免地会涉及到身份认证的问题。比如，用户在进行网上交易的过程中，需要将用户的支付信息提交给服务器端以实现支付功能，再比如，用户在网上获取某种服务时，需要将用户账户信息提交给服务器端以实现登录和服务获取。然而，现有技术中认证的过程大多需要用户手动输入认证信息，实现比较麻烦，账号信息也容易泄露，安全性较差。

发明内容

有鉴于此，本发明提供了一种指纹认证方法、装置、智能终端和计算机存储介质，以便于简化用户操作，提高安全性。

具体技术方案如下：

一种指纹认证方法，预先将用户指纹信息与用户认证信息的绑定关系存储于智能终端的安全存储区域；该方法还包括：

在用户身份的认证阶段采集用户指纹信息；

将采集到的用户指纹信息与安全存储区域中的用户指纹信息进行匹 配，确定匹配到的用户指纹信息对应的用户认证信息；

将确定的用户认证信息发送给服务器端以进行用户身份的认证。

根据本发明一优选实施方式，所述用户认证信息为支付信息，所述支付信息包括账号和密码中的至少一种，或者所述支付信息包括所述服务器端针对用户生成的随机串；

在用户身份的认证阶段采集用户指纹信息包括：从服务器端获取订单信息后，或者从服务器端接收到获取支付信息的请求后，采集用户指纹信息。

根据本发明一优选实施方式，所述智能终端预先被划分为普通执行环境和安全执行环境，所述安全存储区域创建于所述安全执行环境。

根据本发明一优选实施方式，所述将用户指纹信息与用户认证信息的绑定关系存储于智能终端的安全存储区域包括：

获取用户指纹信息，从普通模式切换至安全监视模式，在所述安全执行环境将所述用户指纹信息存储至所述安全存储区域，切换回普通模式；获取用户认证信息，从普通模式切换至安全监视模式，在所述安全执行环境将所述用户认证信息存储至所述安全存储区域，将存储的所述用户指纹信息和用户认证信息进行绑定；或者，

获取用户认证信息，从普通模式切换至安全监视模式，在所述安全执行环境将所述用户认证信息存储于所述安全存储区域，切换回普通模式；获取用户指纹信息，从普通模式切换至安全监视模式，在所述安全执行环境将所述用户指纹信息存储于所述安全存储区域，将存储的所述用户指纹信息和用户认证信息进行绑定。

根据本发明一优选实施方式，在用户身份的认证阶段采集用户指纹 信息之后，从普通模式切换至安全监视模式，在所述安全执行环境执行所述将采集到的用户指纹信息与安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息的步骤；

从安全监视模式切换回普通模式，在所述普通执行环境执行所述将确定的用户认证信息发送给服务器端的步骤。

根据本发明一优选实施方式，在获取或采集用户指纹信息时，向用户提供指纹录入界面并通过指纹录入界面获取用户指纹信息；

在获取用户认证信息时，向用户提供认证信息录入界面并通过认证信息录入界面获取用户认证信息。

根据本发明一优选实施方式，将所述用户指纹信息存储至所述安全存储区域包括：对用户指纹信息进行指纹特征的提取，将提取的指纹特征存入所述安全存储区域；

将存储的所述用户指纹信息和用户认证信息进行绑定包括：将存储的所述指纹特征和用户认证信息进行绑定；

所述将采集到的用户指纹信息与安全存储区域中的用户指纹信息进行匹配包括：将所述采集到的用户指纹信息进行指纹特征的提取，将提取的指纹特征与安全存储区域中的指纹特征进行匹配。

根据本发明一优选实施方式，在将所述用户认证信息存储至所述安全存储区域之前，将所述用户认证信息进行加密；

在确定匹配到的用户指纹信息对应的用户认证信息后，将确定的用户认证信息进行解密。

根据本发明一优选实施方式，在所述安全执行环境执行的步骤通过调用Trustzone提供的应用环境编程接口API实现。

本发明还提供了一种指纹认证装置，该装置包括：采集模块、管理模块、匹配模块和认证模块；

所述采集模块，用于在绑定阶段，采集用户指纹信息与用户认证信息，并提供给所述管理模块；在认证阶段采集用户指纹信息，并提供给所述匹配模块；

所述管理模块，用于在绑定阶段将所述采集模块提供的用户指纹信息和用户认证信息之间的绑定关系存储于智能终端的安全存储区域；

所述匹配模块，用于将所述采集模块提供的用户指纹信息与安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息并提供给所述认证模块；

所述认证模块，用于将所述匹配模块提供的用户认证信息发送给服务器端以进行用户身份的认证。

根据本发明一优选实施方式，所述用户认证信息为支付信息，所述支付信息包括账号和密码中的至少一种，或者所述支付信息包括所述服务器端针对用户生成的随机串；

所述采集模块在认证阶段从服务器端获取订单信息后，或者从服务器端接收到获取支付信息的请求后，采集用户指纹信息；

所述采集模块和所述认证模块设置于支付客户端中。

根据本发明一优选实施方式，所述智能终端预先被划分为普通执行环境和安全执行环境，所述安全存储区域创建于所述安全执行环境。

根据本发明一优选实施方式，该装置还包括：监视模块；

所述监视模块，用于绑定阶段所述采集模块采集到用户指纹信息后，从普通模式切换至安全监视模式；收到所述管理模块的触发后，切换回 普通模式；在所述采集模块采集到用户认证信息后，从普通模式切换至安全监视模式；

所述管理模块在安全执行环境将所述用户指纹信息存储至所述安全存储区域，触发所述监视模块；在安全执行环境将用户认证信息存储至所述安全存储区域，将存储的所述用户指纹信息和用户认证信息进行绑定，触发所述监视模块；或者，

所述监视模块，用于绑定阶段所述采集模块采集到用户认证信息后，从普通模式切换至安全监视模式；收到所述管理模块的触发后，切换回普通模式；在所述采集模块采集到用户指纹信息后，从普通模式切换至安全监视模式；

所述管理模块在安全执行环境将所述用户认证信息存储至所述安全存储区域，触发所述监视模块；在安全执行环境将用户指纹信息存储至所述安全存储区域，将存储的所述用户指纹信息和用户认证信息进行绑定，触发所述监视模块。

根据本发明一优选实施方式，所述监视模块，还用于在认证阶段所述采集模块采集到用户指纹信息后，从普通模式切换至安全监视模式；收到所述匹配模块的触发后，从安全监视模式切换回普通模式；

所述匹配模块，还用于在安全执行环境执行所述匹配的操作后，触发所述监视模块；

所述认证模块在普通执行环境执行将所述匹配模块提供的用户认证信息发送给服务器端的操作。

根据本发明一优选实施方式，所述采集模块在采集用户指纹信息时，向用户提供指纹录入界面并通过指纹录入界面获取用户指纹信息；在获 取用户认证信息时，向用户提供认证信息录入界面并通过认证信息录入界面获取用户认证信息。

根据本发明一优选实施方式，该装置还包括：特征提取模块，用于将所述采集模块采集到的用户指纹信息进行指纹特征的提取，将提取的指纹特征提供给所述管理模块和匹配模块；

所述管理模块在执行所述绑定的操作时，具体用于将所述特征提取模块提供的指纹特征存储于所述安全存储区域，将存储的所述指纹特征和用户认证信息进行绑定；

所述匹配模块在执行所述匹配操作时，具体用于将所述特征提取模块提供的指纹特征与安全存储区域中的指纹特征进行匹配，确定匹配的指纹特征对应的用户认证信息。

根据本发明一优选实施方式，所述管理模块还用于在将所述用户认证信息存储至所述安全存储区域之前，将所述用户认证信息进行加密；

所述匹配模块还用于在确定匹配到的用户指纹信息对应的用户认证信息后，将确定的用户认证信息进行解密。

根据本发明一优选实施方式，所述监视模块、管理模块和匹配模块设置于安全执行环境，并通过Trustzone提供的API被客户端调用。

一种智能终端，包括：一个或者多个处理器；存储器，存储有一个或多个程序；当所述一个或多个程序被所述一个或者多个处理器执行时，使得所述一个或多个处理器：在用户身份的认证阶段采集用户指纹信息；将采集到的用户指纹信息与所述智能终端的安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息；将确定的用户认证信息发送给服务器端以进行用户身份的认证；其中，所述 安全存储区域中预先存储有用户指纹信息与用户认证信息的绑定关系。

一种非易失性计算机存储介质，所述计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被一个智能终端执行时，使得所述智能终端：在用户身份的认证阶段采集用户指纹信息；将采集到的用户指纹信息与智能终端的安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息；将确定的用户认证信息发送给服务器端以进行用户身份的认证；其中，所述安全存储区域中预先存储有用户指纹信息与用户认证信息的绑定关系。

由以上技术方案可以看出，通过用户指纹信息与用户认证信息的绑定，使得在认证阶段用户仅需要录入指纹信息即可完成用户身份的认证，而无需手工输入认证信息，简化了用户操作。另外，由于绑定关系存储于智能终端的安全存储区域，不可被随意获取，提高了安全性。

附图说明

图1为本发明实施例所基于的系统结构图；

图2为本发明实施例提供的主要方法流程图；

图3为本发明实施例提供的指纹录入区域的示意图；

图4为本发明实施例提供的认证信息录入区域的示意图；

图5为本发明实施例提供的指纹支付的方法流程图；

图6为本发明实施例提供的装置结构图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

图1为本发明实施例所基于的系统结构图，如图1中所示，本发明 所基于的系统主要由智能终端和服务器端构成，其中服务器端可以包括一台或多台服务器，在本发明实施例中主要负责用户身份认证的处理，在身份认证阶段获取智能终端提供的用户认证信息，基于用户认证信息进行用户身份的认证。智能终端可以是但不限于智能手机、平板电脑、PC(个人计算机)、PDA(个人数字助理)、POS(Pointofsales，销售点情报管理系统)机、智能电视等设备。在该智能终端上安装并运行了与服务器端之间进行交互已完成用户身份认证的客户端。

这些服务器和智能终端在架构上都包含一些基本组件，如总线、处理系统、存储系统、一个或多个输入/输出系统、和通信接口等。总线可以包括一个或多个导线，用来实现服务器或终端设备各组件之间的通信。处理系统包括各类型的用来执行指令、处理进程或线程的处理器或微处理器。存储系统可以包括存储动态信息的随机访问存储器(RAM)等动态存储器，和存储静态信息的只读存储器(ROM)等静态存储器，以及包括磁或光学记录介质与相应驱动的大容量存储器。输入系统供用户输入信息到服务器或终端设备，如键盘、鼠标、手写笔、声音识别系统、或生物测定系统等。输出系统包括用来输出信息的显示器、打印机、扬声器等。通信接口用来使服务器或终端设备与其它系统或系统进行通信。通信接口之间可通过有线连接、无线连接、或光连接连接到网络中，使客户端与服务器端间能够通过网络实现相互间的通信。网络可以包括局域网(LAN)、广域网(WAN)、电话网络如公共交换电话网(PSTN)、企业内部的互联网、因特网、或上述这些网络的结合等。

服务器端和智能终端上均包含有用来管理系统资源、控制其它程序运行的操作系统软件，以及用来实现特定功能模块的应用软件。

图2为本发明实施例提供的主要方法流程图，如图2中所示，该方法可以包括以下步骤：

在201中，预先将用户指纹信息与用户认证信息的绑定关系存储于智能终端的安全存储区域。

在本步骤中，预先采集用户指纹信息以及用户输入的认证信息，然后将两者的绑定关系存储于智能终端的安全存储区域。可以首先向用户提供指纹录入界面(可以如图3中所示)并通过所述指纹录入界面获取用户指纹信息，在本发明实施例中，智能终端中内嵌有指纹传感器，该传感器可以采用芯片形式，诸如光学芯片、热感芯片、电容式芯片、压电电容式芯片、压电电阻式芯片等。在采集用户指纹信息时，可以弹出指纹录入的UI提示，用户将手指放入指纹录入区域，指纹传感器能够从该区域采集到用户指纹信息。

然后，客户端向用户提供认证信息录入界面，优选地，该认证信息录入界面可以包括虚拟键盘，优选可以采用安全键盘以保证认证信息录入的安全性，(可以如图4中所示)，用户在该信息录入区域输入认证信息。该认证信息可以包括账号、密码等中的至少一种。

当然，也可以先向用户提供认证信息录入界面以获取用户认证信息，然后向用户提供指纹录入界面以获取用户指纹信息。

在获取用户指纹信息之后，可以提取用户指纹信息的指纹特征，该指纹特征可以采用向量的形式，将该指纹特征与用户认证信息之间的绑定关系存入安全存储区域。

另外，为了进一步保证安全性，可以将用户认证信息进行加密后进行绑定存储，进行加密的密钥只有该客户端知晓。

在本发明实施例中为了保证信息存储的安全性，将用户指纹信息与用户认证信息的绑定关系存储于智能终端的安全存储区域。在此可以利用诸如Trustzone技术将智能终端划分为普通执行环境和安全执行环境，在安全执行环境中创建安全存储区域，将需要保证安全性的数据处理和存储在安全执行环境中完成，例如本步骤中指纹的采集和用户认证信息的获取在普通执行环境中执行，指纹的特征提取和存储、用户认证信息的加密和存储、指纹特征和用户认证信息的绑定都在安全执行环境中完成。

TrustZone技术提供了一种低成本的方案，针对系统单芯片(SoC)内加入专属的安全核心，由硬件建构的存取控制方式支援两颗虚拟的处理器。这个方式可使得应用程式核心能够在两个模式之间切换，即普通模式和安全监视模式，在此架构下可以避免数据从较可信的核心领域(即安全执行环境)泄漏至较不安全的领域(即普通执行环境)。这种内核领域之间的切换通常是与处理器其他功能完全无关联性，因此各个领域可以各自独立运作但却仍能使用同一颗内核。典型的TrustZone技术应用是要能在一个缺乏安全性的环境下完整地执行操作系统，并在可信的环境下能有更少的安全性的编码。

TrustZone技术主要通过以下方式确保安全：隔离所有SoC硬件和软件，使他们分别处于两个区域，普通存储区域和安全存储区域。支持Trustzone的总线架构中的硬件逻辑可确保普通存储区域的组件无法访问安全存储区域的资源，从而在这两个区域之间构建强大边界。

本发明实施例中对TrustZone技术的利用将在后续实施例中进行详细描述。

在202中，在用户身份的认证阶段采集用户指纹信息。

本步骤中采集用户指纹信息的时机是在服务器端需要获取用户认证信息的时候，该时机可以由客户端依据从服务器端获取的信息来判断，例如在交易过程中的支付阶段，当客户端从服务器端获取订单信息后，可以判断出下一步要获取用户支付信息。也可以响应服务器端的请求来确定时机，例如在交易过程中的支付阶段，当客户端接收到来自服务器端发送的获取支付信息的请求后，判断出下一步要获取用户支付信息。

同样，在采集用户指纹信息时，可以采用诸如图3所示的指纹录入界面。该用户指纹信息的采集可以在普通执行环境下完成。

在203中，将采集到的用户指纹信息与安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息。

在本步骤中，可以将采集到的用户指纹信息进行指纹特征的提取，将提取的指纹特征与安全存储区域中的指纹特征进行匹配，由于安全存储区域中存在一一对应的绑定关系，因此可以确定匹配到的指纹特征对应的用户认证信息。

为了保证安全性，本步骤中可能涉及的指纹特征的提取、匹配处理可以在安全执行环境中完成。

在204中，将确定的用户认证信息发送给服务器端以进行用户身份的认证。

如果确定出的用户认证信息是加密的，客户端可以首先对该用户认证信息进行解密后发送给服务器端。其中，客户端可以进一步对解密后的用户认证信息采用与服务器端约定的方式进行加密。服务器端接收到用户认证信息后，利用用户认证信息进行用户身份的认证。

本步骤中的处理可以在普通执行环境完成。

可以看出，本发明所涉及的上述流程对服务器端而言没有进行变更，可以对现有服务器端进行完美适配。

下面结合图5以利用指纹进行支付为例，对本发明提供的方法进行详细描述。本发明实施例的前提是，预先采用Trustzone技术将智能终端划分为普通执行环境和安全执行环境，并在安全执行环境中创建了安全存储区域。该方法流程可以包括两个阶段，一个是绑定阶段，一个是支付阶段。其中绑定阶段包括步骤501～步骤504，支付阶段包括步骤505～步骤50B。绑定阶段是预先执行的，但用户也可以在后续重新执行步骤501～步骤50A对绑定关系进行修改。如图5中所示，该流程具体包括以下步骤：

在501中，向用户提供指纹录入界面，获取用户在指纹录入界面中的指纹录入区域录入的用户指纹信息。

在通常情况下，智能终端处于普通模式，本步骤中客户端处于普通模式下，在普通执行环境向用户提供指纹录入界面并获取用户指纹信息。

在502中，从普通模式切换至安全监视模式，从用户指纹信息提取指纹特征，并将指纹特征存储至安全存储区域。

本步骤中，可以从用户指纹信息中提取指纹特征向量，将指纹特征向量存入安全存储区域，为了保证安全性，上述的提取和存储的操作都在切换至安全监控模式后，在安全执行环境中进行。

可以通过SPI或者其他串口将用户指纹信息送入安全执行环境，即将上下文信息保存至寄存器，并通过SMI(安全监视中断)或Trustzone技术中的SMC(安全监视调用)指令切换至安全监视模式，从寄存器读 取上下文信息，调用Trustzone提供的API(Application Programming Interface，应用程序编程接口)，从用户指纹信息提取指纹特征，并将指纹特征存储至安全存储区域。

在503中，切换回普通模式，向用户提供认证信息录入界面，获取用户在认证信息录入界面中的认证信息录入区域录入的账号和密码。

同样可以通过SMI或SMC指令，从安全监视模式切换回普通模式，从而实现从安全执行环境到普通执行环境的切换。

在504中，从普通模式切换至安全监视模式，将账号和密码进行加密后存储至安全存储区域，在安全存储区域中将指纹特征与加密后的账号和密码进行绑定。

可以通过SPI或者其他串口将账号和密码送入安全执行环境，即将上下文信息保存至寄存器，并通过中断或Trustzone技术中的SMC指令切换至安全监视模式，从寄存器读取上下文信息，调用Trustzone提供的API将账号和密码进行加密后存储至安全存储区域，在安全存储区域中将指纹特征与加密后的账号和密码进行绑定。

至此，绑定阶段的流程结束，切换回普通模式。

当用户在交易过程中创建一个订单完成，则客户端可以收到服务器端发送的订单信息，进入支付界面，此时可以开始执行505，即向用户提供指纹信息录入界面，采集用户在指纹录入界面中的指纹录入区域录入的用户指纹信息。

在506中，从普通模式切换至安全监视模式，从采集到的用户指纹信息中提取指纹特征，将提取的指纹特征与安全存储区域中的指纹特征进行匹配，确定匹配到的指纹特征对应的账号和密码，将该账号和密码 进行解密。

在本步骤中，通过SPI或者其他串口将采集到的用户指纹信息送入安全执行环境，即将上下文信息保存至寄存器，并通过中断或SMC指令切换至安全监视模式，从寄存器读取上下文信息，调用Trustzone提供的API，执行上述提取、匹配和解密的操作。

在507中，从安全监视模式切换回普通模式，将解密后的账号和密码发送给服务器端以完成支付。

在本步骤，客户端可以采用与服务器端约定的密钥和加密方式对解密后的账号和密码重新进行加密后发送给服务器端。在服务器端就可以利用接收到的账号和密码信息完成订单的支付，实质上是利用了账号和密码信息对用户的支付身份进行了认证，如果利用账号和密码信息认证成功，则可以向客户端返回支付成功的响应，否则可以向客户端返回支付失败的响应。

除了503和504所示的用户认证信息的获取方式和形式之外，该用户认证信息也可以是从服务器端获取的，例如服务器端之前已经对用户输入的账号和密码进行过认证，可以为该用户生成一个随机串，该随机串可以唯一标识该用户，客户端获取到该随机串后，将该随机串作为用户认证信息，从普通模式切换至安全监视模式后，在安全执行环境将该随机串存储在安全存储区域，并将指纹特征与该随机串进行绑定，之后在506中匹配得到该随机串，将该随机串发送给服务器端用于进行免密码支付。

以上是对本发明实施例提供的方法进行的详细描述，下面对本发明提供的装置进行详细描述。

图6为本发明实施例提供的指纹认证装置结构图，该装置设置于智能终端中，如图6中所示，该装置可以包括采集模块01、管理模块02、匹配模块03和认证模块04，还可以包括监视模块05和特征提取模块06。

采集模块01在绑定阶段，采集用户指纹信息与用户认证信息，并提供给管理模块02；管理模块02在绑定阶段将采集模块01提供的用户指纹信息和用户认证信息之间的绑定关系存储于智能终端的安全存储区域。至此完成绑定阶段的操作。

采集模块01在认证阶段采集用户指纹信息，并提供给匹配模块03。匹配模块03将采集模块01提供的用户指纹信息与安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息并提供给认证模块04。认证模块04将匹配模块03提供的用户认证信息发送给服务器端以进行用户身份的认证。

上述采集模块01可以通过智能终端内嵌的指纹传感器获取用户指纹信息。该指纹传感器可以采用芯片形式，诸如光学芯片、热感芯片、电容式芯片、压电电容式芯片、压电电阻式芯片等。

为了保证信息存储的安全性，可以利用诸如Trustzone技术将智能终端划分为普通执行环境和安全执行环境，上述的安全存储区域创建于安全执行环境。上述的用户身份认证可以是用户支付信息的认证，此时用户认证信息为支付信息，支付信息包括账号和密码中的至少一种，也可以包括服务器端针对用户生成的随机串。采集模块01在认证阶段可以从服务器端获取订单信息后，或者从服务器端接收到获取支付信息的请求后，采集用户指纹信息。

在Trustzone技术中会涉及到两种模式的切换，即普通模式和安全监 视模式，在普通模式下智能终端工作于普通执行环境，在安全监视模式下，工作于安全执行环境。两种模式的切换由监视模块05执行。

具体地，在绑定阶段可以采用以下两种方式实现：

第一种方式：监视模块05可以在绑定阶段采集模块01采集到用户指纹信息后，从普通模式切换至安全监视模式。管理模块02在安全执行环境将用户指纹信息存储至安全存储区域，触发监视模块05。监视模块05收到管理模块02的触发后，切换回普通模式。监视模块05在采集模块01采集到用户认证信息后，从普通模式切换至安全监视模式。管理模块02在安全执行环境将用户认证信息存储至安全存储区域，将存储的用户指纹信息和用户认证信息进行绑定，触发监视模块05；监视模块05收到管理模块02的触发后，切换回普通模式。

第二种方式：监视模块05绑定阶段采集模块01采集到用户认证信息后，从普通模式切换至安全监视模式；管理模块02在安全执行环境将用户认证信息存储至安全存储区域，触发监视模块05；监视模块05收到管理模块02的触发后，切换回普通模式；监视模块05在采集模块01采集到用户指纹信息后，从普通模式切换至安全监视模式。管理模块02在安全执行环境将用户指纹信息存储至安全存储区域，将存储的用户指纹信息和用户认证信息进行绑定，触发监视模块05。

对于认证阶段而言，监视模块05在采集模块01采集到用户指纹信息后，从普通模式切换至安全监视模式；匹配模块03在安全执行环境执行匹配的操作后，触发监视模块05。监视模块05收到匹配模块03的触发后，从安全监视模式切换回普通模式。认证模块04在普通执行环境执行将匹配模块03提供的用户认证信息发送给服务器端的操作。

其中，监视模块05可以通过Trustzone技术提供的SMI或SMC指令来进行普通模式与安全监视模式之间的切换。

采集模块01在采集用户指纹信息时，可以向用户提供指纹录入界面并通过指纹录入界面获取用户指纹信息，如图3中所示。在获取用户认证信息时，可以向用户提供认证信息录入界面并通过认证信息录入界面获取用户认证信息，如图4中所示。

更具体地，特征提取模块06可以将采集模块01采集到的用户指纹信息进行指纹特征的提取，将提取的指纹特征提供给管理模块02和匹配模块03。管理模块02在执行绑定的操作时，实际上是将特征提取模块06提供的指纹特征存储于安全存储区域，将存储的指纹特征和用户认证信息进行绑定，也就是说，安全存储区域中的绑定关系可以是用户的指纹特征和用户认证信息之间的绑定关系。匹配模块03在执行匹配操作时，将特征提取模块06提供的指纹特征与安全存储区域中的指纹特征进行匹配，确定匹配的指纹特征对应的用户认证信息。

为了更进一步保证安全性，管理模块02在将用户认证信息存储至安全存储区域之前，可以将用户认证信息进行加密；相应地，匹配模块03还用于在确定匹配到的用户指纹信息对应的用户认证信息后，将确定的用户认证信息进行解密。

移动终端中的客户端通常运行于普通执行环境中，在诸如指纹支付这种应用场景下，支付客户端运行于普通执行环境中，该装置中的采集模块01和认证模块04可以设置于支付客户端中。管理模块02、匹配模块03、监视模块05和特征提取模块06设置于安全执行环境，并通过Trustzone提供的API被客户端调用以完成相应功能。

由以上描述可以看出，本发明提供的方法和装置可以具备以下优点：

1)通过用户指纹信息与用户认证信息的绑定，使得在认证阶段用户仅需要录入指纹信息即可完成用户身份的认证，而无需手工输入认证信息，简化了用户操作。另外，由于绑定关系存储于智能终端的安全存储区域，不可被随意获取，提高了安全性。

2)本发明利用了诸如Trustzone技术将智能终端划分为普通执行环境和安全执行环境，将诸如指纹特征的提取和存储、用户认证信息的加密和存储，绑定，指纹特征的匹配等在安全执行环境中完成，从而保证了在智能终端中认证流程的安全性，从而可以应用于诸如支付类认证等高安全性要求的场景。

3)指纹特征的提取和识别都在本地的安全执行环境中进行，避免上传指纹信息至服务器端所带来的网络消耗和安全隐患。

4)无需对服务器端进行功能变更，完美适配现有服务器端的功能。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集 成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (20)

1. 一种指纹认证方法，其特征在于，预先将用户指纹信息与用户认证信息的绑定关系存储于智能终端的安全存储区域；该方法还包括：

   在用户身份的认证阶段采集用户指纹信息；

   将采集到的用户指纹信息与安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息；

   将确定的用户认证信息发送给服务器端以进行用户身份的认证。
2. 根据权利要求1所述的方法，其特征在于，所述用户认证信息为支付信息，所述支付信息包括账号和密码中的至少一种，或者所述支付信息包括所述服务器端针对用户生成的随机串；

   在用户身份的认证阶段采集用户指纹信息包括：从服务器端获取订单信息后，或者从服务器端接收到获取支付信息的请求后，采集用户指纹信息。
3. 根据权利要求1或2所述的方法，其特征在于，所述智能终端预先被划分为普通执行环境和安全执行环境，所述安全存储区域创建于所述安全执行环境。
4. 根据权利要求3所述的方法，其特征在于，所述预先将用户指纹信息与用户认证信息的绑定关系存储于智能终端的安全存储区域包括：

   获取用户指纹信息，从普通模式切换至安全监视模式，在所述安全执行环境将所述用户指纹信息存储至所述安全存储区域，切换回普通模式；获取用户认证信息，从普通模式切换至安全监视模式，在所述安全执行环境将所述用户认证信息存储至所述安全存储区域，将存储的所述用户指纹信息和用户认证信息进行绑定；或者，

   获取用户认证信息，从普通模式切换至安全监视模式，在所述安全执行环境将所述用户认证信息存储于所述安全存储区域，切换回普通模式；获取用户指纹信息，从普通模式切换至安全监视模式，在所述安全执行环境将所述用户指纹信息存储于所述安全存储区域，将存储的所述用户指纹信息和用户认证信息进行绑定。
5. 根据权利要求4所述的方法，其特征在于，在用户身份的认证阶段采集用户指纹信息之后，从普通模式切换至安全监视模式，在所述安全执行环境执行所述将采集到的用户指纹信息与安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息的步骤；

   从安全监视模式切换回普通模式，在所述普通执行环境执行所述将确定的用户认证信息发送给服务器端的步骤。
6. 根据权利要求4所述的方法，其特征在于，在获取或采集用户指纹信息时，向用户提供指纹录入界面并通过指纹录入界面获取用户指纹信息；

   在获取用户认证信息时，向用户提供认证信息录入界面并通过认证信息录入界面获取用户认证信息。
7. 根据权利要求5所述的方法，其特征在于，将所述用户指纹信息存储至所述安全存储区域包括：对用户指纹信息进行指纹特征的提取，将提取的指纹特征存入所述安全存储区域；

   将存储的所述用户指纹信息和用户认证信息进行绑定包括：将存储的所述指纹特征和用户认证信息进行绑定；

   所述将采集到的用户指纹信息与安全存储区域中的用户指纹信息进 行匹配包括：将所述采集到的用户指纹信息进行指纹特征的提取，将提取的指纹特征与安全存储区域中的指纹特征进行匹配。
8. 根据权利要求5所述的方法，其特征在于，在将所述用户认证信息存储至所述安全存储区域之前，将所述用户认证信息进行加密；

   在确定匹配到的用户指纹信息对应的用户认证信息后，将确定的用户认证信息进行解密。
9. 根据权利要求5所述的方法，其特征在于，在所述安全执行环境执行的步骤通过调用Trustzone提供的应用环境编程接口API实现。
10. 一种指纹认证装置，其特征在于，该装置包括：采集模块、管理模块、匹配模块和认证模块；

    所述采集模块，用于在绑定阶段，采集用户指纹信息与用户认证信息，并提供给所述管理模块；在认证阶段采集用户指纹信息，并提供给所述匹配模块；

    所述管理模块，用于在绑定阶段将所述采集模块提供的用户指纹信息和用户认证信息之间的绑定关系存储于智能终端的安全存储区域；

    所述匹配模块，用于将所述采集模块提供的用户指纹信息与安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息并提供给所述认证模块；

    所述认证模块，用于将所述匹配模块提供的用户认证信息发送给服务器端以进行用户身份的认证。
11. 根据权利要求10所述的装置，其特征在于，所述用户认证信息为支付信息，所述支付信息包括账号和密码中的至少一种，或者所述支付信息包括所述服务器端针对用户生成的随机串；

    所述采集模块在认证阶段从服务器端获取订单信息后，或者从服务器端接收到获取支付信息的请求后，采集用户指纹信息；

    所述采集模块和所述认证模块设置于支付客户端中。
12. 根据权利要求10或11所述的装置，其特征在于，所述智能终端预先被划分为普通执行环境和安全执行环境，所述安全存储区域创建于所述安全执行环境。
13. 根据权利要求12所述的装置，其特征在于，该装置还包括：监视模块；

    所述监视模块，用于绑定阶段所述采集模块采集到用户指纹信息后，从普通模式切换至安全监视模式；收到所述管理模块的触发后，切换回普通模式；在所述采集模块采集到用户认证信息后，从普通模式切换至安全监视模式；

    所述管理模块在安全执行环境将所述用户指纹信息存储至所述安全存储区域，触发所述监视模块；在安全执行环境将用户认证信息存储至所述安全存储区域，将存储的所述用户指纹信息和用户认证信息进行绑定，触发所述监视模块；或者，

    所述监视模块，用于绑定阶段所述采集模块采集到用户认证信息后，从普通模式切换至安全监视模式；收到所述管理模块的触发后，切换回普通模式；在所述采集模块采集到用户指纹信息后，从普通模式切换至安全监视模式；

    所述管理模块在安全执行环境将所述用户认证信息存储至所述安全存储区域，触发所述监视模块；在安全执行环境将用户指纹信息存储至所述安全存储区域，将存储的所述用户指纹信息和用户认证信息进行绑 定，触发所述监视模块。
14. 根据权利要求13所述的装置，其特征在于，所述监视模块，还用于在认证阶段所述采集模块采集到用户指纹信息后，从普通模式切换至安全监视模式；收到所述匹配模块的触发后，从安全监视模式切换回普通模式；

    所述匹配模块，还用于在安全执行环境执行所述匹配的操作后，触发所述监视模块；

    所述认证模块在普通执行环境执行将所述匹配模块提供的用户认证信息发送给服务器端的操作。
15. 根据权利要求13所述的装置，其特征在于，所述采集模块在采集用户指纹信息时，向用户提供指纹录入界面并通过指纹录入界面获取用户指纹信息；在获取用户认证信息时，向用户提供认证信息录入界面并通过认证信息录入界面获取用户认证信息。
16. 根据权利要求14所述的装置，其特征在于，该装置还包括：特征提取模块，用于将所述采集模块采集到的用户指纹信息进行指纹特征的提取，将提取的指纹特征提供给所述管理模块和匹配模块；

    所述管理模块在执行所述绑定的操作时，具体用于将所述特征提取模块提供的指纹特征存储于所述安全存储区域，将存储的所述指纹特征和用户认证信息进行绑定；

    所述匹配模块在执行所述匹配操作时，具体用于将所述特征提取模块提供的指纹特征与安全存储区域中的指纹特征进行匹配，确定匹配的指纹特征对应的用户认证信息。
17. 根据权利要求14所述的装置，其特征在于，所述管理模块还用 于在将所述用户认证信息存储至所述安全存储区域之前，将所述用户认证信息进行加密；

    所述匹配模块还用于在确定匹配到的用户指纹信息对应的用户认证信息后，将确定的用户认证信息进行解密。
18. 根据权利要求14所述的装置，其特征在于，所述监视模块、管理模块和匹配模块设置于安全执行环境，并通过Trustzone提供的API被客户端调用。
19. 一种智能终端，包括：

    一个或者多个处理器；

    存储器，存储有一个或多个程序；

    当所述一个或多个程序被所述一个或者多个处理器执行时，使得所述一个或多个处理器：

    在用户身份的认证阶段采集用户指纹信息；

    将采集到的用户指纹信息与所述智能终端的安全存储区域中的用户指纹信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息；

    将确定的用户认证信息发送给服务器端以进行用户身份的认证；

    其中，所述安全存储区域中预先存储有用户指纹信息与用户认证信息的绑定关系。
20. 一种非易失性计算机存储介质，所述计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被一个智能终端执行时，使得所述智能终端：

    在用户身份的认证阶段采集用户指纹信息；

    将采集到的用户指纹信息与智能终端的安全存储区域中的用户指纹 信息进行匹配，确定匹配到的用户指纹信息对应的用户认证信息；

    将确定的用户认证信息发送给服务器端以进行用户身份的认证；

    其中，所述安全存储区域中预先存储有用户指纹信息与用户认证信息的绑定关系。

Images