WO2017215532A1

WO2017215532A1 - 一种生物特征识别装置和方法以及生物特征模板注册方法

Info

Publication number: WO2017215532A1
Application number: PCT/CN2017/087776
Authority: WO
Inventors: 李坤; 徐东; 樊磊; 张晋芳
Original assignee: 北京集创北方科技股份有限公司; 北京集创北方系统技术有限公司
Priority date: 2016-06-12
Filing date: 2017-06-09
Publication date: 2017-12-21
Also published as: JP2019508825A; US10956549B2; CN105975839A; KR20180088877A; CN105975839B; KR102070635B1; US20190130090A1

Abstract

一种生物特征识别装置、生物特征识别方法以及生物特征模板注册方法，生物特征识别装置包括：传感器，用于感测生物特征信息；以及安全芯片，用于存储生物特征模板，以及从传感器获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储的生物特征模板进行特征比对，以确定生物特征识别结果。由于整个生物特征识别过程在独立的安全芯片中完成，相比于传统的逻辑隔离，安全性有本质上的提高。

Description

一种生物特征识别装置和方法以及生物特征模板注册方法

本申请要求了2016年6月12日提交的、申请号为201610413002.2、发明名称为“一种生物特征识别装置和方法以及生物特征模板注册方法”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及生物特征识别技术领域，更具体地，涉及生物特征识别装置、生物特征识别方法以及生物特征模板注册方法。

背景技术

诸如指纹、虹膜和脸之类的生物特征由于具有唯一性、隐私性、不可更改性等特性，在身份鉴别领域逐步被广泛应用。传统生物特征识别方案中，存储的生物特征模板含有大量生物特征原始信息，甚至有些模板就是生物特征图像，一旦生物特征模板丢失或被盗取，入侵者可以直接用生物特征模板中包含的信息通过验证，还可以在不同应用的数据库间进行交叉验证，如可以用指纹门禁系统里盗取的指纹模板信息，入侵其对应的指纹认证的个人银行账户。有的甚至可以从生物特征模板直接伪造出对应生物特征样本，如可以从指纹细节点模板伪造出对应指纹。同时，由于生物特征具有不可更改性，一旦原始信息泄露，造成的危害将会是永久性和广泛性的。因此，生物特征识别中生物特征模板的安全保护处于重要位置。

目前使用iOS和Android系统的诸如智能手机、平板电脑之类的计算设备普遍采用Trust Zone安全技术(或Secure Enclave)，其将系统环境在逻辑上分为安全区和非安全区，在安全区中进行生物特征的注册和识别操作。但是由于安全区和非安全区的划分是纯粹的逻辑划分，与生物特征有关的信息在传输、存储和计算时容易被窃取，生物特征识别的整体安全强度不足。

发明内容

本发明的实施例提供了生物特征识别装置、生物特征识别方法以及生物特征模板注册方法，用于提高生物特征识别的安全性。

本发明的一方面提供了一种生物特征识别装置，包括：传感器，用于感测生物特征信息；以及安全芯片，用于存储生物特征模板，以及从传感器获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储的生物特征模板进行特征比对，以确定生物特征识别结果。

在一些实施例中，传感器和安全芯片封装在一起。

在一些实施例中，所述安全芯片包括：存储器，用于存储生物特征模板；以及处理器，用于从传感器获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储的生物特征模板进行特征比对，以确定生物特征识别结果，所述生物特征模板是在注册阶段由处理器通过从传感器获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的。

在一些实施例中，所述处理器包括：图像采集模块，用于从传感器感获取生物特征信息；图像预处理模块，用于对图像采集模块获取的生物特征信息进行预处理以获得生物特征的灰度图；特征提取模块，用于从图像预处理模块获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据；以及特征比对模块，用于将特征提取模块获得的生物特征数据与存储器中存储的生物特征模板相比较，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。

在一些实施例中，所述处理器还包括：签名模块，用于对生物特征识别结果进行数字签名。

在一些实施例中，所述数字签名包括：在生物特征模板注册成功后生成包括公钥和私钥的密钥对，将私钥存储在安全芯片中，并将公钥发送至生物特征识别装置外部，以及在确定生物特征识别结果后利用私钥对生物特征识别结果进行数字签名。

在一些实施例中，所述安全芯片为安全元件(Secure Element，SE)。

在一些实施例中，所述生物特征识别装置安装在计算设备中，所述安全芯片与所述计算设备的系统环境物理隔离。

在一些实施例中，所述生物特征包括指纹，所述生物特征信息包括指纹的图像信息，所述生物特征数据包括指纹的特征点数据，所述生物特征模板包括指纹特征模板。

本发明的另一方面提供了一种生物特征识别方法，包括：按照生物特征识别指令，通过传感器感测生物特征信息；通过安全芯片从传感器获取生物特征信息，对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据，并将生物特征数据与安全芯片中存储的生物特征模板相比较，以确定生物特征识别结果。

在一些实施例中，所述生物特征识别方法还包括：通过安全芯片对生物特征识别结果进行数字签名。

本发明的又一方面提供了一种生物特征模板注册方法，包括：按照生物特征模板注册指令，通过传感器感测生物特征信息；通过安全芯片从传感器获取生物特征信息，对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据，并将生物特征数据作为生物特征模板存储在安全芯片中。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例的附图作简单介绍，显而易见地，下面的描述中的附图仅涉及本发明的一些实施例，而非对本发明的限制。

图1示出了根据本发明的实施例的生物特征识别装置的框图。

图2示出了根据本发明的实施例的生物特征识别装置中的安全芯片的框图。

图3示出了根据本发明的实施例的生物特征识别方法的图。

图4示出了根据本发明的实施例的生物特征模板注册方法的图。

图5示出了示例数字签名过程的示意图。

图6示出了应用客户端与应用服务器之间的签名认证流程的示例图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例的附图，对本发明实施例的技术方案进行清楚、完整的描述。显然所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于所描述的本发明的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都术语本发明保护的范围。

图1示出了根据本发明的实施例的生物特征识别装置100的框图。本发明的实施例可以适用于一种或多种生物特征的识别，生物特征的示例包括但不限于纹理(包括指纹、掌纹、静脉及相关附属特征，如汗孔等)、生物膜(如虹膜、视网膜等)、面孔、耳道、语音、体形、个人习惯(例如敲击键盘的力度和频率、签字、步态)等。在本实施例中，生物特征可以例如是指纹。

在一些实施例中，生物特征识别装置100可以安装在诸如智能电话或平板电脑之类的计算设备中，安全芯片120与所述计算设备的系统环境物理隔离。

如图1所示，生物特征识别装置100包括传感器110和安全芯片130。

传感器110用于感测生物特征信息。生物特征信息可以包括与诸如纹理(包括指纹、掌纹、静脉及相关附属特征，如汗孔等)、生物膜(如虹膜、视网膜等)、面孔、耳道、语音、体形、个人习惯(例如敲击键盘的力度和频率、签字、步态)等一种或多种生物特征有关的信息。例如对于指纹识别，所述生物特征信息可以包括指纹的图像信息。在本发明的实施例中，传感器210可以是光学传感器、半导体传感器、超声波传感器、射频识别传感器或可以感测生物特征信息的任何传感器。

安全芯片120用于存储生物特征模板，以及从传感器110获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储的生物特征模板进行特征比对，以确定生物特征识别结果。在一些实施例中，安全芯片130可以为SE。

在一些实施例中，传感器110和安全芯片120可以封装在一起。例如可以通过多晶元封装的工艺将传感器110和安全芯片120封装在一起。多晶元封装工艺的示例包括但不限于(System in Package，SiP)工艺和多芯片模组(Multi-Chip Module，MCM)工艺。

图2示出了根据本发明的实施例的生物特征识别装置中的安全芯片的框图。如图2所示，安全芯片120可以包括存储器1201和处理器1202。

存储器1201用于存储生物特征模板。生物特征模板可以是在注册阶段由处理器1202通过从传感器110获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的。在本发明的实施例中，存储模块2301可以为非易失性存储器，例如闪存Flash、电可擦可编程只读存储器EEPROM、可擦可编程只读存储器EPROM、可编程只读存储器PROM或其他的在断电情况下能继续保留数据的磁、电存储介质。

处理器1202用于从传感器110获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储的生物特征模板进行特征比对，以确定生物特征识别结果。

如图2所示，处理器1202可以包括图像采集模块1202-1、图像预处理模块1202-2、特征提取模块1202-3和特征比对模块1202-4。可选地，处理器1202还可以包括签名模块1202-5。

图像采集模块1202-1用于从传感器110获取生物特征信息。例如，对于指纹，图像采集模块2201可以按照滑动采集方式或按压采集方式一次或多次从传感器感210获取指纹的图像信息。

图像预处理模块1202-2用于对图像采集模块1202-1获取的生物特征信息进行预处理以获得生物特征的灰度图。例如，对于指纹图像，预处理可以包括例如图像归一化、指纹有效区域分割处理、指纹方向图处理、指纹增强处理、指纹二值化处理和指纹细化处理等等。

特征提取模块1202-3用于从图像预处理模块1202-2获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据。例如，生物特征数据可以包括指纹的特征点数据。在生物特征模板的注册阶段，生成的生物特征数据作为生物特征模板存储在存储器1201中。

特征比对模块1202-4用于将特征提取模块1202-3获得的生物特征数据与存储器1201中存储的生物特征模板相比较，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。

签名模块1202-5用于对生物特征识别结果进行数字签名。在一些实施例中，数字签名可以包括：在生物特征模板注册成功后生成包括公钥和私钥的密钥对，将私钥存储在安全芯片120中，并将公钥发送至生物特征识别装置100外部，以及在确定生物特征识别结果后利用私钥对生物特征识别结果进行数字签名。

图5示出了示例数字签名过程的示意图。作为示例，签名过程可以包括签名登记阶段(如图5a所示)和签名比对阶段(如图5b所示)。

如图5a所示，生物特征模板注册成功后，进入签名登记阶段，在该阶段安全芯片120可以生成包括公钥和私钥的密钥对，将私钥存储在安全芯片120中(例如，存储在存储器1201中)，并将公钥发送至生物特征识别装置外部，例如经由安全芯片120所在的应用客户端510发送至应用服务器520。安全芯片120所在的应用客户端510可以是安装了本发明的实施例的生物特征识别装置100的诸如智能手机、平板电脑等计算设备。

如图5b所示，在确定生物特征识别结果后，进入签名比对阶段，在该阶段安全芯片120可以利用私钥对生物特征识别结果进行数字签名，并将已签名的生物特征识别结果经由应用客户端510发送至应用服务器520，应用服务器520可以利用之前收到的对应的公钥来验证已签名的生物特征识别结果是否合法。

图6示出了应用客户端510与应用服务器520之间的签名认证流程的示例图。

在步骤S610，应用客户端510向应用服务器520发出初始化认证请求。

在步骤S620，应用服务器520向应用客户端510发送认证请求消息。

在步骤S630，应用客户端510例如利用安装在其中的安全芯片来执行生物特征识别并利用私钥对生物特征识别结果进行签名。

在步骤S640，应用客户端510将经过签名的生物特征识别结果包含在应答消息中发送至应用服务器520。

在步骤S650，应用服务器520利用对应的公钥来验证签名的合法性。

在一些实施例中，计算设备的系统环境可以划分为安全区和非安全区的计算设备(例如，采用Trust Zone安全技术(或Secure Enclave)的智能手机或平板电脑)，生物特征识别装置100提供的生物特征识别结果可以在所述计算设备的非安全区中传送以简化操作，也可以在安全区中传送以进一步提高安全性。当然，本发明实施例的生物特征识别装置也可以安装在并未划分安全区和非安全区的计算设备中。可见，本发明的实施例适用于各种现有的智能手机或平板电脑等计算设备，具有较高的兼容性。

图3示出了根据本发明的实施例的生物特征识别方法300的图。

在步骤S310，按照生物特征识别指令，通过传感器感测生物特征信息，例如指纹的图像信息。生物特征识别指令可以来自诸如智能手机、平板电脑之类的计算设备。

在步骤S320，通过诸如SE之类的安全芯片从传感器获取生物特征信息，对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据，并将生物特征数据与安全芯片中存储的生物特征模板相比较，以确定生物特征识别结果。例如，安全芯片可以从传感器感获取生物特征信息(例如，指纹的图像信息)，对获取的生物特征信息进行预处理以获得生物特征的灰度图，从获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据(例如，指纹的特征点数据)，将微处理器获得的生物特征数据与安全芯片中存储的生物特征模板(例如，指纹特征模板)相比较，以确定生物特征识别结果。例如，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。

在一些实施例中，诸如指纹特征模板之类的生物特征模板可以是在注册阶段由微处理器通过对传感器感测到的生物特征信息进行获取、图像预处理和特征提取而生成的，并且被存储在安全芯片的存储器中，例如非易失性存储器。非易失性存储器的示例包括但不限于闪存Flash、电可擦可编程只读存储器EEPROM、可擦可编程只读存储器EPROM、可编程只读存储器PROM或其他的在断电情况下能继续保留数据的磁、电存储介质。

在一些实施例中，方法300还可以包括通过安全芯片对生物特征识别结果进行数字签名，例如，如图5和图6所示的数字签名。

在一些实施例中，方法300还可以包括向所述计算设备传送生物特征识别结果。作为示例，对于采用Trust Zone安全技术(或Secure Enclave)的诸如智能手机、平板电脑之类的计算设备，可以通过计算设备的处理器安全区或非安全区将生物特征识别结果(未签名的或已签名的)发送给该计算设备。

图4示出了根据本发明的实施例的生物特征模板注册方法400的图。

在步骤S410，按照生物特征模板注册指令，通过传感器感测生物特征信息，例如指纹的图像信息。生物特征模板注册指令可以来自诸如智能手机、平板电脑之类的计算设备。

在步骤S420，通过安全芯片从传感器获取生物特征信息，对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据，并将生物特征数据作为生物特征模板存储在安全芯片中。在一些实施例中，安全芯片与计算设备的系统环境物理隔离。作为示例，安全芯片可以从传感器获取生物特征信息(例如，指纹的图像信息)，对采集的生物特征信息进行预处理以获得生物特征的灰度图，从获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据(例如，指纹的特征点数据)，并将生物特征数据作为生物特征模板存储在安全芯片中。例如，可以将生物特征数据作为生物特征模板存储在安全芯片中的存储器中，例如非易失性存储器。非易失性存储器的示例包括但不限于闪存Flash、电可擦可编程只读存储器EEPROM、可擦可编程只读存储器EPROM、可编程只读存储器PROM或其他的在断电情况下能继续保留数据的磁、电存储介质。

本发明的实施例还提供了一种计算机可读存储介质，其存储有用于执行上述方法的指令。

在本发明的实施例中，整个生物特征识别过程都在独立的安全芯片中进行，由于安全芯片与诸如智能手机或平板电脑之类的计算设备的系统环境是物理隔离的，避免了在开放的主机环境中进行传输、存储和计算，相比于传统的逻辑隔离，安全性大大提高。

在本发明的实施例将安全芯片和传感器封装在一起，一方面可以进一步加强与计算设备的系统环境的物理隔离，另一方面还可以提高安全芯片和传感器之间信息传输的安全性。

本发明的实施例可以直接以明文的方式提供生物特征识别结果(例如，在安全性较高的系统环境中)，也可以提供经过数字签名的生物特征识别结果，以防止开放式应用环境中的木马或病毒篡改安全芯片输出的生物特征识别结果，使得未通过指纹验证的行为被授权通过。可见，本发明的实施例具有灵活的实现方式，可以根据需要而配置成适合不同安全等级的系统环境。

以上所述仅是本发明的示范性实施方式，而非用于限制本发明的保护范围，本发明的保护范围由所附的权利要求确定。

Claims

一种生物特征识别装置，包括：

传感器，用于感测生物特征信息；以及

安全芯片，用于存储生物特征模板，以及从传感器获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储的生物特征模板进行特征比对，以确定生物特征识别结果。
根据权利要求1所述的生物特征识别装置，其中，传感器和安全芯片封装在一起。
根据权利要求1所述的生物特征识别装置，其中，所述安全芯片包括：

存储器，用于存储生物特征模板；以及

处理器，用于从传感器获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储的生物特征模板进行特征比对，以确定生物特征识别结果，所述生物特征模板是在注册阶段由处理器通过从传感器获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的。
根据权利要求3所述的生物特征识别装置，其中，所述处理器包括：

图像采集模块，用于从传感器获取生物特征信息；

图像预处理模块，用于对图像采集模块获取的生物特征信息进行预处理以获得生物特征的灰度图；

特征提取模块，用于从图像预处理模块获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据；以及

特征比对模块，用于将特征提取模块获得的生物特征数据与存储器中存储的生物特征模板相比较，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。
根据权利要求4所述的生物特征识别装置，其中，所述处理器还包括：签名模块，用于对生物特征识别结果进行数字签名。
根据权利要求5所述的生物特征识别装置，其中，所述数字签名包括：在生物特征模板注册成功后生成包括公钥和私钥的密钥对，将私钥存储在安全芯片中，并将公钥发送至生物特征识别装置外部，以及在确定生物特征识别结果后利用私钥对生物特征识别结果进行数字签名。
根据权利要求1所述的生物特征识别装置，其中，所述安全芯片为安全元件 SE。
根据权利要求1所述的生物特征识别装置，其中，所述生物特征识别装置安装在计算设备中，所述安全芯片与所述计算设备的系统环境物理隔离。
根据权利要求1至8中任一项所述的生物特征识别装置，其中，所述生物特征包括指纹，所述生物特征信息包括指纹的图像信息，所述生物特征数据包括指纹的特征点数据，所述生物特征模板包括指纹特征模板。
一种生物特征识别方法，包括：

按照生物特征识别指令，通过传感器感测生物特征信息；

通过安全芯片从传感器获取生物特征信息，对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据，并将生物特征数据与安全芯片中存储的生物特征模板相比较，以确定生物特征识别结果。
根据权利要求10所述的方法，还包括：通过安全芯片对生物特征识别结果进行数字签名。
一种生物特征模板注册方法，包括：

按照生物特征模板注册指令，通过传感器感测生物特征信息；

通过安全芯片从传感器获取生物特征信息，对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据，并将生物特征数据作为生物特征模板存储在安全芯片中。