WO2017215534A1 - 安全芯片、生物特征识别方法和生物特征模板注册方法 - Google Patents

Abstract

一种安全芯片、生物特征识别方法以及生物特征模板注册方法，安全芯片包括：传感器，用于感测生物特征信息；存储器，用于存储生物特征模板；以及处理器，用于从传感器获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储器存储的生物特征模板进行特征比对，以确定生物特征识别结果，所述生物特征模板是在注册阶段由处理器通过从传感器获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的，其中所述传感器、存储器和处理器集成在所述安全芯片中。与生物特征有关的信息的感测、存储和处理均在安全芯片中进行，与系统环境的物理隔离，相比于传统的逻辑隔离，安全性大大提高。

Description

安全芯片、生物特征识别方法和生物特征模板注册方法

本申请要求了2016年6月12日提交的、申请号为201610412982.4、发明名称为“安全芯片、生物特征识别方法和生物特征模板注册方法”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及生物特征识别技术领域，更具体地，涉及安全芯片、生物特征识别方法以及生物特征模板注册方法。

背景技术

诸如指纹、虹膜和脸之类的生物特征由于具有唯一性、隐私性、不可更改性等特性，在身份鉴别领域逐步被广泛应用。传统生物特征识别方案中，存储的生物特征模板含有大量生物特征原始信息，甚至有些模板就是生物特征图像，一旦生物特征模板丢失或被盗取，入侵者可以直接用生物特征模板中包含的信息通过验证，还可以在不同应用的数据库间进行交叉验证，如可以用指纹门禁系统里盗取的指纹模板信息，入侵其对应的指纹认证的个人银行账户。有的甚至可以从生物特征模板直接伪造出对应生物特征样本，如可以从指纹细节点模板伪造出对应指纹。同时，由于生物特征具有不可更改性，一旦原始信息泄露，造成的危害将会是永久性和广泛性的。因此，生物特征识别中生物特征模板的安全保护处于重要位置。

目前使用iOS和Android系统的诸如智能手机、平板电脑之类的计算设备普遍采用Trust Zone安全技术(或Secure Enclave)，其将系统环境在逻辑上分为安全区和非安全区，在安全区中进行生物特征的注册和识别操作。但是由于安全区和非安全区的划分是纯粹的逻辑划分，与生物特征有关的信息在传输、存储和计算时容易被窃取，生物特征识别的整体安全强度不足。

发明内容

本发明的实施例提供了安全芯片、生物特征识别方法以及生物特征模板注册方法，用于提高生物特征识别的安全性。

本发明的一方面提供了一种安全芯片，包括：传感器，用于感测生物特征信息； 存储器，用于存储生物特征模板；以及处理器，用于从传感器获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储器存储的生物特征模板进行特征比对，以确定生物特征识别结果，所述生物特征模板是在注册阶段由处理器通过从传感器获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的，其中所述传感器、存储器和处理器集成在所述安全芯片中。

在一些实施例中，所述处理器包括：图像采集模块，用于从传感器感获取生物特征信息；图像预处理模块，用于对图像采集模块获取的生物特征信息进行预处理以获得生物特征的灰度图；特征提取模块，用于从图像预处理模块获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据；以及特征比对模块，用于将特征提取模块获得的生物特征数据与存储器中存储的生物特征模板相比较，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。

在一些实施例中，所述处理器还包括：签名模块，用于对生物特征识别结果进行数字签名。

在一些实施例中，所述安全芯片为安全元件(Secure Element，SE)。

在一些实施例中，所述安全芯片安装在计算设备中，并与计算设备的主机系统环境物理隔离。

在一些实施例中，所述计算设备的系统环境划分为安全区和非安全区，所述安全芯片通过所述安全区或非安全区向所述计算设备发送生物特征识别结果。

在一些实施例中，所述生物特征包括指纹，所述生物特征信息包括指纹的图像信息，所述生物特征数据包括指纹的特征点数据，所述生物特征模板包括指纹特征模板。

本发明的另一方面提供了一种生物特征识别方法，包括在单个安全芯片中执行以下操作：按照生物特征识别指令，感测生物特征信息；获取感测到的生物特征信息；对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据；以及将生物特征数据与安全芯片中存储的生物特征模板相比较，以确定生物特征识别结果。

在一些实施例中，所述生物特征识别方法还包括：在安全芯片中对生物特征识别结果进行数字签名。

本发明的又一方面提供了一种生物特征模板注册方法，包括在单个安全芯片中执行以下操作：按照生物特征模板注册指令，感测生物特征信息；获取感测到的生物特征信息；对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据；以 及将生物特征数据作为生物特征模板存储在安全芯片中。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例的附图作简单介绍，显而易见地，下面的描述中的附图仅涉及本发明的一些实施例，而非对本发明的限制。

图1示出了根据本发明的实施例的安全芯片的框图。

图2示出了根据本发明的实施例的安全芯片的框图。

图3示出了根据本发明的实施例的生物特征识别方法的图。

图4示出了根据本发明的实施例的生物特征模板注册方法的图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例的附图，对本发明实施例的技术方案进行清楚、完整的描述。显然所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于所描述的本发明的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1示出了根据本发明的实施例的安全芯片100的框图。如图1所示，安全芯片100包括传感器110、存储器120和处理器130。传感器110、存储器120和处理器130集成在所述安全芯片中。传感器110用于感测生物特征信息。存储器120用于存储生物特征模板。处理器130用于从传感器110获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储器120存储的生物特征模板进行特征比对，以确定生物特征识别结果。所述生物特征模板是在注册阶段由处理器130通过从传感器110获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的。

在一些实施例中，处理器130可以包括：图像采集模块，用于从传感器110感获取生物特征信息；图像预处理模块，用于对图像采集模块获取的生物特征信息进行预处理以获得生物特征的灰度图；特征提取模块，用于从图像预处理模块获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据；以及特征比对模块，用于将特征提取模块获得的生物特征数据与存储器120中存储的生物特征模板相比较，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。

在一些实施例中，处理器130还可以包括：签名模块，用于对生物特征识别结果进行数字签名。

在一些实施例中，安全芯片100可以为安全元件SE。

在一些实施例中，安全芯片100可以安装在计算设备中，并与计算设备的主机系统环境物理隔离。

在一些实施例中，所述计算设备的系统环境可以划分为安全区和非安全区，安全芯片100通过所述安全区或非安全区向所述计算设备发送生物特征识别结果。

在一些实施例中，所述生物特征可以包括指纹，所述生物特征信息可以包括指纹的图像信息，所述生物特征数据可以包括指纹的特征点数据，所述生物特征模板可以包括指纹特征模板。

图2示出了根据本发明的实施例的安全芯片的框图。本发明的实施例可以适用于一种或多种生物特征的识别，生物特征的示例包括但不限于纹理(包括指纹、掌纹、静脉及相关附属特征，如汗孔等)、生物膜(如虹膜、视网膜等)、面孔、耳道、语音、体形、个人习惯(例如敲击键盘的力度和频率、签字、步态)等。在本实施例中，生物特征可以例如是指纹。

如图2所示，安全芯片200包括传感器210、存储器220和处理器230。传感器210、存储器220和处理器230集成在所述安全芯片200中。在一些实施例中，安全芯片200可以为SE。

传感器210用于感测生物特征信息。生物特征信息可以包括与诸如纹理(包括指纹、掌纹、静脉及相关附属特征，如汗孔等)、生物膜(如虹膜、视网膜等)、面孔、耳道、语音、体形、个人习惯(例如敲击键盘的力度和频率、签字、步态)等一种或多种生物特征有关的信息。例如对于指纹识别，所述生物特征信息可以包括指纹的图像信息。在本发明的实施例中，传感器210可以是光学传感器、半导体传感器、超声波传感器、射频识别传感器或可以感测生物特征信息的任何传感器。

存储器220用于存储生物特征模板。生物特征模板可以是在注册阶段由处理器230通过从传感器210获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的。在本发明的实施例中，存储模块220可以为非易失性存储器，例如闪存Flash、电可擦可编程只读存储器EEPROM、可擦可编程只读存储器EPROM、可编程只读存储器PROM或其他的在断电情况下能继续保留数据的磁、电存储介质。

处理器230用于从传感器210获取生物特征信息、对获取的生物特信息进行图像 预处理和特征提取并与存储器220存储的生物特征模板进行特征比对，以确定生物特征识别结果。

在一些实施例中，处理器230可以包括图像采集模块2301、图像预处理模块2302、特征提取模块2303和特征比对模块2304。可选地，处理器230还可以包括签名模块2305。

图像采集模块2301用于从传感器210感获取生物特征信息。例如，对于指纹，图像采集模块2201可以按照滑动采集方式或按压采集方式一次或多次从传感器感210获取指纹的图像信息。

图像预处理模块2302用于对图像采集模块图像采集模块2301获取的生物特征信息进行预处理以获得生物特征的灰度图。例如，对于指纹图像，预处理可以包括例如图像归一化、指纹有效区域分割处理、指纹方向图处理、指纹增强处理、指纹二值化处理和指纹细化处理等等。

特征提取模块2303用于从图像预处理模块2302获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据。例如，生物特征数据可以包括指纹的特征点数据。在生物特征模板的注册阶段，生成的生物特征数据作为生物特征模板存储在存储器1201中。

特征比对模块2304用于将特征提取模块2303获得的生物特征数据与存储器220中存储的生物特征模板相比较，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。

签名模块2305用于对生物特征识别结果进行数字签名。在一些实施例中，数字签名可以包括：在生物特征模板注册成功后生成包括公钥和私钥的密钥对，将私钥存储在安全芯片200中(例如，存储在存储器220中)，并将公钥发送至安全芯片200外部，以及在确定生物特征识别结果后利用私钥对生物特征识别结果进行数字签名。举例来说，安全芯片200可以在模板注册成功后生成密钥对，将私钥保存在安全芯片200中，经由安全芯片200所在的应用终端，例如安装有安全芯片200的智能电话或平板电脑，将公钥发送至应用服务器。安全芯片200在确定了生物特征识别结果之后，可以利用其保存的私钥对生物特征识别结果签名，并经由其所在的应用终端将经过签名的生物特征识别结果发送至应用服务器。应用服务器利用对应的公钥来验证该经过签名的生物特征识别结果的合法性。

在一些实施例中，安全芯片200可以安装在诸如智能电话或平板电脑之类的计算 设备中，并与计算设备的系统环境物理隔离。所述计算设备的系统环境可以划分为安全区和非安全区(例如，采用Trust Zone安全技术(或Secure Enclave)的智能手机或平板电脑)，安全芯片200提供的生物特征识别结果可以在所述计算设备的非安全区中传送以简化操作，也可以在安全区中传送以进一步提高安全性。当然，安全芯片200也可以安装在并未划分安全区和非安全区的计算设备中。可见，本发明的实施例适用于各种现有的智能手机或平板电脑等计算设备，具有较高的兼容性。

图3示出了根据本发明的实施例的生物特征识别方法300的图。整个方法300可以在单个安全芯片中进行，例如以上描述的安全芯片100和200。安全芯片可以安装在如智能手机、平板电脑之类的计算设备中，并且与计算设备的系统环境物理隔离。

在步骤S310，按照生物特征模板注册指令，感测生物特征信息，例如指纹的图像信息。生物特征识别指令可以来自诸如智能手机、平板电脑之类的计算设备。

在步骤S320，获取感测到的生物特征信息。

在步骤S330，对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据。例如，可以对获取的生物特征信息进行预处理(例如，图像归一化、指纹有效区域分割处理、指纹方向图处理、指纹增强处理、指纹二值化处理和指纹细化处理等等)以获得生物特征的灰度图，从获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据(例如，指纹的特征点数据)。

在步骤S340，将生物特征数据与安全芯片中存储的生物特征模板(例如，指纹特征模板)相比较，以确定生物特征识别结果。例如，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。

在一些实施例中，诸如指纹特征模板之类的生物特征模板可以是在注册阶段由安全芯片的处理器通过步骤S320和步骤S330而生成的，并且被存储在安全芯片的存储器中，例如非易失性存储器。非易失性存储器的示例包括但不限于闪存Flash、电可擦可编程只读存储器EEPROM、可擦可编程只读存储器EPROM、可编程只读存储器PROM或其他的在断电情况下能继续保留数据的磁、电存储介质。

在一些实施例中，方法300还可以包括通过安全芯片对生物特征识别结果进行数字签名，例如，以上描述的数字签名。

在一些实施例中，方法300还可以包括向所述计算设备传送生物特征识别结果。作为示例，对于采用Trust Zone安全技术(或Secure Enclave)的诸如智能手机、平板电脑之类的计算设备，可以通过计算设备的处理器安全区或非安全区将生物特征 识别结果(未签名的或已签名的)发送给该计算设备。

图4示出了根据本发明的实施例的生物特征模板注册方法400的图。整个方法400可以在单个安全芯片中进行，例如以上描述的安全芯片100和200。安全芯片可以安装在如智能手机、平板电脑之类的计算设备中，并且与计算设备的系统环境物理隔离。

在步骤S410，按照生物特征模板注册指令，感测生物特征信息，例如指纹的图像信息。生物特征模板注册指令可以来自诸如智能手机、平板电脑之类的计算设备。

在步骤S420，获取感测到的生物特征信息。

在步骤S430，对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据。例如，可以对生物特征信息进行预处理(例如图像归一化、指纹有效区域分割处理、指纹方向图处理、指纹增强处理、指纹二值化处理和指纹细化处理等等)以获得生物特征的灰度图，从获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据(例如，指纹的特征点数据)。

在步骤S440，将生物特征数据作为生物特征模板存储在安全芯片中。例如，可以将生物特征数据作为生物特征模板存储在安全芯片中的存储器中，例如非易失性存储器。非易失性存储器的示例包括但不限于闪存Flash、电可擦可编程只读存储器EEPROM、可擦可编程只读存储器EPROM、可编程只读存储器PROM或其他的在断电情况下能继续保留数据的磁、电存储介质。

本发明的实施例还提供了一种计算机可读存储介质，其存储有用于执行上述方法的指令。

在本发明的实施例中，从感测开始一直到识别完成，与生物特征有关的信息均由一个集成了传感器、存储器和处理器的安全芯片来独立处理，与诸如智能手机或平板电脑之类的计算设备的系统环境物理隔离，相比于传统的逻辑隔离，安全性大大提高。

在本发明的数量中，通过在安全芯片中集成传感器、存储器和处理器，提升了产品的集成度，从而降低成本和减少合封后的封装尺寸。而且，安全芯片相对于传感器的面积比例较小，将传感器集成在安全芯片中扩展安全芯片的功能性对整体面积影响不大，最终封装的安全芯片尺寸相对系统级封装(System in Package，SiP)来说具有很大的优势。

本发明的实施例可以直接以明文的方式提供生物特征识别结果(例如，在安全性较高的系统环境中)，也可以提供经过数字签名的生物特征识别结果，以防止开放式应用环境中的木马或病毒篡改安全芯片输出的生物特征识别结果，使得未通过指纹验 证的行为被授权通过。可见，本发明的实施例具有灵活的实现方式，可以根据需要而配置成适合不同安全等级的系统环境。

本发明实施例的生物特征识别装置可以安装在各种计算设备中，例如采用Trust Zone安全技术(或Secure Enclave)的智能手机或平板电脑等。安全芯片提供的生物特征识别结果可以在计算设备的非安全区中传送(例如在系统环境的安全性较高的情况下，或者在生物特征识别结果已被签名的情况下)，当然也可以在安全区中传送以进一步提高安全性。本发明实施例的生物特征识别装置也可以安装在并未划分安全区和非安全区的计算设备中。可见，本发明的实施例适用于各种现有的智能手机或平板电脑等计算设备，具有较高的兼容性。

以上所述仅是本发明的示范性实施方式，而非用于限制本发明的保护范围，本发明的保护范围由所附的权利要求确定。

Claims (10)

1. 一种安全芯片，包括：

   传感器，用于感测生物特征信息；

   存储器，用于存储生物特征模板；以及

   处理器，用于从传感器获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储器存储的生物特征模板进行特征比对，以确定生物特征识别结果，所述生物特征模板是在注册阶段由处理器通过从传感器获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的，

   其中所述传感器、存储器和处理器集成在所述安全芯片中。
2. 根据权利要求1所述的安全芯片，其中，所述处理器包括：

   图像采集模块，用于从传感器感获取生物特征信息；

   图像预处理模块，用于对图像采集模块获取的生物特征信息进行预处理以获得生物特征的灰度图；

   特征提取模块，用于从图像预处理模块获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据；以及

   特征比对模块，用于将特征提取模块获得的生物特征数据与存储器中存储的生物特征模板相比较，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。
3. 根据权利要求2所述的安全芯片，其中，所述处理器还包括：签名模块，用于对生物特征识别结果进行数字签名。
4. 根据权利要求1所述的安全芯片，其中，所述安全芯片为安全元件SE。
5. 根据权利要求1所述的安全芯片，其中，所述安全芯片安装在计算设备中，并与计算设备的主机系统环境物理隔离。
6. 根据权利要求1所述的安全芯片，其中，所述计算设备的系统环境划分为安全区和非安全区，所述安全芯片通过所述安全区或非安全区向所述计算设备发送生物特征识别结果。
7. 根据权利要求1至6中任一项所述的安全芯片，其中，所述生物特征包括指纹，所述生物特征信息包括指纹的图像信息，所述生物特征数据包括指纹的特征点数据，所述生物特征模板包括指纹特征模板。
8. 一种生物特征识别方法，包括在单个安全芯片中执行以下操作：

   按照生物特征识别指令，感测生物特征信息；

   获取感测到的生物特征信息；

   对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据；以及

   将生物特征数据与安全芯片中存储的生物特征模板相比较，以确定生物特征识别结果。
9. 根据权利要求8所述的方法，还包括：在安全芯片中对生物特征识别结果进行数字签名。
10. 一种生物特征模板注册方法，包括在单个安全芯片中执行以下操作：

    按照生物特征模板注册指令，感测生物特征信息；

    获取感测到的生物特征信息；

    对获取的生物特征信息进行图像预处理和特征提取以获得生物特征数据；以及

    将生物特征数据作为生物特征模板存储在安全芯片中。

Images