一種生物特征識別裝置和方法以及生物特征模板注冊方法
【專利摘要】一種生物特征識別裝置�����、生物特征識別方法以及生物特征模板注冊方法���,生物特征識別裝置包括:傳感器��,用于感測生物特征信息����;以及安全芯片���,用于存儲生物特征模板�����,以及從傳感器獲取生物特征信息����、對獲取的生物特信息進行圖像預處理和特征提取并與存儲的生物特征模板進行特征比對,以確定生物特征識別結果�。由于整個生物特征識別過程在獨立的安全芯片中完成,相比于傳統(tǒng)的邏輯隔離�,安全性有本質上的提高。
【專利說明】
一種生物特征識別裝置和方法以及生物特征模板注冊方法
技術領域
[0001]本發(fā)明涉及生物特征識別技術領域��,更具體地�����,涉及生物特征識別裝置�����、生物特征識別方法以及生物特征模板注冊方法�����。
【背景技術】
[0002]諸如指紋�����、虹膜和臉之類的生物特征由于具有唯一性���、隱私性、不可更改性等特性,在身份鑒別領域逐步被廣泛應用�。傳統(tǒng)生物特征識別方案中,存儲的生物特征模板含有大量生物特征原始信息����,甚至有些模板就是生物特征圖像,一旦生物特征模板丟失或被盜取���,入侵者可以直接用生物特征模板中包含的信息通過驗證�����,還可以在不同應用的數(shù)據庫間進行交叉驗證���,如可以用指紋門禁系統(tǒng)里盜取的指紋模板信息,入侵其對應的指紋認證的個人銀行賬戶���。有的甚至可以從生物特征模板直接偽造出對應生物特征樣本���,如可以從指紋細節(jié)點模板偽造出對應指紋。同時�,由于生物特征具有不可更改性,一旦原始信息泄露�,造成的危害將會是永久性和廣泛性的����。因此���,生物特征識別中生物特征模板的安全保護處于重要位置����。
[0003]目前使用1S和Android系統(tǒng)的諸如智能手機�����、平板電腦之類的計算設備普遍采用Trust Zone安全技術(或Secure Enclave)����,其將系統(tǒng)環(huán)境在邏輯上分為安全區(qū)和非安全區(qū),在安全區(qū)中進行生物特征的注冊和識別操作��。但是由于安全區(qū)和非安全區(qū)的劃分是純粹的邏輯劃分��,與生物特征有關的信息在傳輸�����、存儲和計算時容易被竊取����,生物特征識別的整體安全強度不足。
【發(fā)明內容】
[0004]本發(fā)明的實施例提供了生物特征識別裝置��、生物特征識別方法以及生物特征模板注冊方法�,用于提高生物特征識別的安全性。
[0005]本發(fā)明的一方面提供了一種生物特征識別裝置����,包括:傳感器,用于感測生物特征信息����;以及安全芯片,用于存儲生物特征模板��,以及從傳感器獲取生物特征信息��、對獲取的生物特信息進行圖像預處理和特征提取并與存儲的生物特征模板進行特征比對�����,以確定生物特征識別結果����。
[0006]在一些實施例中���,傳感器和安全芯片封裝在一起。
[0007]在一些實施例中��,所述安全芯片包括:存儲器�,用于存儲生物特征模板;以及處理器��,用于從傳感器獲取生物特征信息��、對獲取的生物特信息進行圖像預處理和特征提取并與存儲的生物特征模板進行特征比對����,以確定生物特征識別結果,所述生物特征模板是在注冊階段由處理器通過從傳感器獲取生物特征信息并對獲取的生物特征信息進行圖像預處理和特征提取而生成的����。
[0008]在一些實施例中,所述處理器包括:圖像采集模塊���,用于從傳感器感獲取生物特征信息���;圖像預處理模塊���,用于對圖像采集模塊獲取的生物特征信息進行預處理以獲得生物特征的灰度圖�����;特征提取模塊��,用于從圖像預處理模塊獲得的灰度圖中提取生物特征的特征點以獲得與生物特征的特征點有關的生物特征數(shù)據�����;以及特征比對模塊�����,用于將特征提取模塊獲得的生物特征數(shù)據與存儲器中存儲的生物特征模板相比較���,如果生物特征數(shù)據與生物特征模板相匹配���,則確定生物特征識別結果為通過,否則確定生物特征識別結果為未通過�。
[0009]在一些實施例中,所述處理器還包括:簽名模塊�,用于對生物特征識別結果進行數(shù)字簽名。
[0010]在一些實施例中����,所述數(shù)字簽名包括:在生物特征模板注冊成功后生成包括公鑰和私鑰的密鑰對�����,將私鑰存儲在安全芯片中����,并將公鑰發(fā)送至生物特征識別裝置外部�,以及在確定生物特征識別結果后利用私鑰對生物特征識別結果進行數(shù)字簽名。
[0011 ] 在一些實施例中�,所述安全芯片為安全元件(Secure Element,SE) ο
[0012]在一些實施例中,所述生物特征識別裝置安裝在計算設備中�,所述安全芯片與所述計算設備的系統(tǒng)環(huán)境物理隔離。
[0013]在一些實施例中���,所述生物特征包括指紋����,所述生物特征信息包括指紋的圖像信息��,所述生物特征數(shù)據包括指紋的特征點數(shù)據���,所述生物特征模板包括指紋特征模板���。
[0014]本發(fā)明的另一方面提供了一種生物特征識別方法��,包括:按照生物特征識別指令,通過傳感器感測生物特征信息;通過安全芯片從傳感器獲取生物特征信息���,對獲取的生物特征信息進行圖像預處理和特征提取以獲得生物特征數(shù)據�,并將生物特征數(shù)據與安全芯片中存儲的生物特征模板相比較���,以確定生物特征識別結果�����。
[0015]在一些實施例中�,所述生物特征識別方法還包括:通過安全芯片對生物特征識別結果進行數(shù)字簽名����。
[0016]本發(fā)明的又一方面提供了一種生物特征模板注冊方法,包括:按照生物特征模板注冊指令�����,通過傳感器感測生物特征信息;通過安全芯片從傳感器獲取生物特征信息,對獲取的生物特征信息進行圖像預處理和特征提取以獲得生物特征數(shù)據����,并將生物特征數(shù)據作為生物特征模板存儲在安全芯片中。
【附圖說明】
[0017]為了更清楚地說明本發(fā)明實施例的技術方案���,下面將對實施例的附圖作簡單介紹��,顯而易見地���,下面的描述中的附圖僅涉及本發(fā)明的一些實施例,而非對本發(fā)明的限制��。
[0018]圖1示出了根據本發(fā)明的實施例的生物特征識別裝置的框圖�。
[0019]圖2示出了根據本發(fā)明的實施例的生物特征識別裝置中的安全芯片的框圖。
[0020]圖3示出了根據本發(fā)明的實施例的生物特征識別方法的圖�����。
[0021 ]圖4示出了根據本發(fā)明的實施例的生物特征模板注冊方法的圖��。
[0022]圖5示出了示例數(shù)字簽名過程的示意圖�����。
[0023]圖6示出了應用客戶端與應用服務器之間的簽名認證流程的示例圖。
【具體實施方式】
[0024]為使本發(fā)明實施例的目的�、技術方案和優(yōu)點更加清楚,下面將結合本發(fā)明實施例的附圖���,對本發(fā)明實施例的技術方案進行清楚���、完整的描述����。顯然所描述的實施例是本發(fā)明的一部分實施例,而不是全部的實施例����。基于所描述的本發(fā)明的實施例�����,本領域普通技術人員在無需創(chuàng)造性勞動的前提下所獲得的所有其他實施例��,都術語本發(fā)明保護的范圍��。
[0025]圖1示出了根據本發(fā)明的實施例的生物特征識別裝置100的框圖����。本發(fā)明的實施例可以適用于一種或多種生物特征的識別����,生物特征的示例包括但不限于紋理(包括指紋�、掌紋、靜脈及相關附屬特征���,如汗孔等)��、生物膜(如虹膜�、視網膜等)�、面孔、耳道�、語音、體形�、個人習慣(例如敲擊鍵盤的力度和頻率、簽字����、步態(tài))等。在本實施例中�����,生物特征可以例如是指紋。
[0026]在一些實施例中�,生物特征識別裝置100可以安裝在諸如智能電話或平板電腦之類的計算設備中,安全芯片120與所述計算設備的系統(tǒng)環(huán)境物理隔離����。
[0027]如圖1所示,生物特征識別裝置100包括傳感器110和安全芯片130��。
[0028]傳感器110用于感測生物特征信息���。生物特征信息可以包括與諸如紋理(包括指紋�、掌紋�����、靜脈及相關附屬特征�,如汗孔等)����、生物膜(如虹膜、視網膜等)��、面孔�����、耳道、語音��、體形�、個人習慣(例如敲擊鍵盤的力度和頻率、簽字��、步態(tài))等一種或多種生物特征有關的信息�����。例如對于指紋識別���,所述生物特征信息可以包括指紋的圖像信息�。在本發(fā)明的實施例中����,傳感器210可以是光學傳感器、半導體傳感器�����、超聲波傳感器�、射頻識別傳感器或可以感測生物特征信息的任何傳感器����。
[0029]安全芯片120用于存儲生物特征模板�����,以及從傳感器110獲取生物特征信息����、對獲取的生物特信息進行圖像預處理和特征提取并與存儲的生物特征模板進行特征比對,以確定生物特征識別結果�。在一些實施例中,安全芯片130可以為SE����。
[0030]在一些實施例中,傳感器110和安全芯片120可以封裝在一起�����。例如可以通過多晶元封裝的工藝將傳感器110和安全芯片120封裝在一起�。多晶元封裝工藝的示例包括但不限于(System in Package��,SiP)工藝和多芯片模組(Mult1-Chip Module�����,MCM)工藝。
[0031]圖2示出了根據本發(fā)明的實施例的生物特征識別裝置中的安全芯片的框圖��。如圖2所示��,安全芯片120可以包括存儲器1201和處理器1202����。
[0032]存儲器1201用于存儲生物特征模板。生物特征模板可以是在注冊階段由處理器1202通過從傳感器110獲取生物特征信息并對獲取的生物特征信息進行圖像預處理和特征提取而生成的����。在本發(fā)明的實施例中,存儲模塊2301可以為非易失性存儲器���,例如閃存Flash��、電可擦可編程只讀存儲器EEPR0M�、可擦可編程只讀存儲器EPR0M��、可編程只讀存儲器PROM或其他的在斷電情況下能繼續(xù)保留數(shù)據的磁�����、電存儲介質。
[0033]處理器1202用于從傳感器110獲取生物特征信息���、對獲取的生物特信息進行圖像預處理和特征提取并與存儲的生物特征模板進行特征比對�,以確定生物特征識別結果�����。
[0034]如圖2所示���,處理器1202可以包括圖像采集模塊1202-1��、圖像預處理模塊1202-2�、特征提取模塊1202-3和特征比對模塊1202-4�。可選地�����,處理器1202還可以包括簽名模塊1202-5����。
[0035]圖像采集模塊1202-1用于從傳感器110獲取生物特征信息��。例如,對于指紋���,圖像采集模塊2201可以按照滑動采集方式或按壓采集方式一次或多次從傳感器感210獲取指紋的圖像信息����。
[0036]圖像預處理模塊1202-2用于對圖像采集模塊1202-1獲取的生物特征信息進行預處理以獲得生物特征的灰度圖����。例如,對于指紋圖像���,預處理可以包括例如圖像歸一化����、指紋有效區(qū)域分割處理����、指紋方向圖處理、指紋增強處理��、指紋二值化處理和指紋細化處理等等���。
[0037]特征提取模塊1202-3用于從圖像預處理模塊1202-2獲得的灰度圖中提取生物特征的特征點以獲得與生物特征的特征點有關的生物特征數(shù)據���。例如���,生物特征數(shù)據可以包括指紋的特征點數(shù)據。在生物特征模板的注冊階段�����,生成的生物特征數(shù)據作為生物特征模板存儲在存儲器1201中�����。
[0038]特征比對模塊1202-4用于將特征提取模塊1202-3獲得的生物特征數(shù)據與存儲器1201中存儲的生物特征模板相比較���,如果生物特征數(shù)據與生物特征模板相匹配�,則確定生物特征識別結果為通過�,否則確定生物特征識別結果為未通過。
[0039]簽名模塊1202-5用于對生物特征識別結果進行數(shù)字簽名����。在一些實施例中,數(shù)字簽名可以包括:在生物特征模板注冊成功后生成包括公鑰和私鑰的密鑰對�,將私鑰存儲在安全芯片120中�����,并將公鑰發(fā)送至生物特征識別裝置100外部,以及在確定生物特征識別結果后利用私鑰對生物特征識別結果進行數(shù)字簽名��。
[0040]圖5示出了示例數(shù)字簽名過程的示意圖��。作為示例���,簽名過程可以包括簽名登記階段(如圖5a所示)和簽名比對階段(如圖5b所示)�����。
[0041]如圖5a所示�����,生物特征模板注冊成功后�����,進入簽名登記階段�,在該階段安全芯片120可以生成包括公鑰和私鑰的密鑰對�,將私鑰存儲在安全芯片120中(例如�����,存儲在存儲器1201中)�,并將公鑰發(fā)送至生物特征識別裝置外部���,例如經由安全芯片120所在的應用客戶端510發(fā)送至應用服務器520�。安全芯片120所在的應用客戶端510可以是安裝了本發(fā)明的實施例的生物特征識別裝置100的諸如智能手機���、平板電腦等計算設備�����。
[0042]如圖5b所示���,在確定生物特征識別結果后,進入簽名比對階段��,在該階段安全芯片120可以利用私鑰對生物特征識別結果進行數(shù)字簽名�,并將已簽名的生物特征識別結果經由應用客戶端510發(fā)送至應用服務器520,應用服務器520可以利用之前收到的對應的公鑰來驗證已簽名的生物特征識別結果是否合法�。
[0043]圖6示出了應用客戶端510與應用服務器520之間的簽名認證流程的示例圖。
[0044]在步驟S610�����,應用客戶端510向應用服務器520發(fā)出初始化認證請求。
[0045]在步驟S620���,應用服務器520向應用客戶端510發(fā)送認證請求消息。
[0046]在步驟S630�����,應用客戶端510例如利用安裝在其中的安全芯片來執(zhí)行生物特征識別并利用私鑰對生物特征識別結果進行簽名��。
[0047]在步驟S640��,應用客戶端510將經過簽名的生物特征識別結果包含在應答消息中發(fā)送至應用服務器520�����。
[0048]在步驟S650�����,應用服務器520利用對應的公鑰來驗證簽名的合法性�����。
[0049]在一些實施例中,計算設備的系統(tǒng)環(huán)境可以劃分為安全區(qū)和非安全區(qū)的計算設備(例如�����,采用Trust Zone安全技術(或Secure Enclave)的智能手機或平板電腦)���,生物特征識別裝置100提供的生物特征識別結果可以在所述計算設備的非安全區(qū)中傳送以簡化操作�,也可以在安全區(qū)中傳送以進一步提高安全性���。當然��,本發(fā)明實施例的生物特征識別裝置也可以安裝在并未劃分安全區(qū)和非安全區(qū)的計算設備中�����?���?梢?,本發(fā)明的實施例適用于各種現(xiàn)有的智能手機或平板電腦等計算設備,具有較高的兼容性�。
[0050]圖3示出了根據本發(fā)明的實施例的生物特征識別方法300的圖。
[0051]在步驟S310�,按照生物特征識別指令��,通過傳感器感測生物特征信息�,例如指紋的圖像信息���。生物特征識別指令可以來自諸如智能手機��、平板電腦之類的計算設備���。
[0052]在步驟S320���,通過諸如SE之類的安全芯片從傳感器獲取生物特征信息�����,對獲取的生物特征信息進行圖像預處理和特征提取以獲得生物特征數(shù)據��,并將生物特征數(shù)據與安全芯片中存儲的生物特征模板相比較����,以確定生物特征識別結果����。例如�����,安全芯片可以從傳感器感獲取生物特征信息(例如����,指紋的圖像信息)�����,對獲取的生物特征信息進行預處理以獲得生物特征的灰度圖��,從獲得的灰度圖中提取生物特征的特征點以獲得與生物特征的特征點有關的生物特征數(shù)據(例如�,指紋的特征點數(shù)據),將微處理器獲得的生物特征數(shù)據與安全芯片中存儲的生物特征模板(例如����,指紋特征模板)相比較,以確定生物特征識別結果����。例如,如果生物特征數(shù)據與生物特征模板相匹配��,則確定生物特征識別結果為通過,否則確定生物特征識別結果為未通過����。
[0053]在一些實施例中,諸如指紋特征模板之類的生物特征模板可以是在注冊階段由微處理器通過對傳感器感測到的生物特征信息進行獲取����、圖像預處理和特征提取而生成的,并且被存儲在安全芯片的存儲器中���,例如非易失性存儲器����。非易失性存儲器的示例包括但不限于閃存Flash�、電可擦可編程只讀存儲器EEPROM���、可擦可編程只讀存儲器EPR0M����、可編程只讀存儲器PROM或其他的在斷電情況下能繼續(xù)保留數(shù)據的磁���、電存儲介質�����。
[0054]在一些實施例中�����,方法300還可以包括通過安全芯片對生物特征識別結果進行數(shù)字簽名�����,例如�,如圖5和圖6所示的數(shù)字簽名。
[0055]在一些實施例中�����,方法300還可以包括向所述計算設備傳送生物特征識別結果��。作為示例���,對于采用Trust Zone安全技術(或Secure Enclave)的諸如智能手機��、平板電腦之類的計算設備�,可以通過計算設備的處理器安全區(qū)或非安全區(qū)將生物特征識別結果(未簽名的或已簽名的)發(fā)送給該計算設備���。
[0056]圖4示出了根據本發(fā)明的實施例的生物特征模板注冊方法400的圖��。
[0057]在步驟S410��,按照生物特征模板注冊指令��,通過傳感器感測生物特征信息����,例如指紋的圖像信息。生物特征模板注冊指令可以來自諸如智能手機��、平板電腦之類的計算設備�。
[0058]在步驟S420,通過安全芯片從傳感器獲取生物特征信息����,對獲取的生物特征信息進行圖像預處理和特征提取以獲得生物特征數(shù)據,并將生物特征數(shù)據作為生物特征模板存儲在安全芯片中�����。在一些實施例中�,安全芯片與計算設備的系統(tǒng)環(huán)境物理隔離�����。作為示例,安全芯片可以從傳感器獲取生物特征信息(例如���,指紋的圖像信息)�,對采集的生物特征信息進行預處理以獲得生物特征的灰度圖��,從獲得的灰度圖中提取生物特征的特征點以獲得與生物特征的特征點有關的生物特征數(shù)據(例如���,指紋的特征點數(shù)據)�,并將生物特征數(shù)據作為生物特征模板存儲在安全芯片中���。例如����,可以將生物特征數(shù)據作為生物特征模板存儲在安全芯片中的存儲器中�,例如非易失性存儲器。非易失性存儲器的示例包括但不限于閃存Flash���、電可擦可編程只讀存儲器EEPROM��、可擦可編程只讀存儲器EPR0M��、可編程只讀存儲器PROM或其他的在斷電情況下能繼續(xù)保留數(shù)據的磁���、電存儲介質�。
[0059]本發(fā)明的實施例還提供了一種計算機可讀存儲介質��,其存儲有用于執(zhí)行上述方法的指令�。
[0060]在本發(fā)明的實施例中,整個生物特征識別過程都在獨立的安全芯片中進行����,由于安全芯片與諸如智能手機或平板電腦之類的計算設備的系統(tǒng)環(huán)境是物理隔離的,避免了在開放的主機環(huán)境中進行傳輸�����、存儲和計算�����,相比于傳統(tǒng)的邏輯隔離���,安全性大大提高。
[0061]在本發(fā)明的實施例將安全芯片和傳感器封裝在一起�,一方面可以進一步加強與計算設備的系統(tǒng)環(huán)境的物理隔離�����,另一方面還可以提高安全芯片和傳感器之間信息傳輸?shù)陌踩浴?br>[0062]本發(fā)明的實施例可以直接以明文的方式提供生物特征識別結果(例如����,在安全性較高的系統(tǒng)環(huán)境中)�����,也可以提供經過數(shù)字簽名的生物特征識別結果��,以防止開放式應用環(huán)境中的木馬或病毒篡改安全芯片輸出的生物特征識別結果��,使得未通過指紋驗證的行為被授權通過���?���?梢?�,本發(fā)明的實施例具有靈活的實現(xiàn)方式�,可以根據需要而配置成適合不同安全等級的系統(tǒng)環(huán)境。
[0063]以上所述僅是本發(fā)明的示范性實施方式�,而非用于限制本發(fā)明的保護范圍���,本發(fā)明的保護范圍由所附的權利要求確定。
【主權項】
1.一種生物特征識別裝置��,包括: 傳感器���,用于感測生物特征信息��;以及 安全芯片�,用于存儲生物特征模板����,以及從傳感器獲取生物特征信息、對獲取的生物特信息進行圖像預處理和特征提取并與存儲的生物特征模板進行特征比對��,以確定生物特征識別結果�����。2.根據權利要求1所述的生物特征識別裝置��,其中��,傳感器和安全芯片封裝在一起�����。3.根據權利要求1所述的生物特征識別裝置���,其中����,所述安全芯片包括: 存儲器�����,用于存儲生物特征模板��;以及 處理器�����,用于從傳感器獲取生物特征信息�、對獲取的生物特信息進行圖像預處理和特征提取并與存儲的生物特征模板進行特征比對,以確定生物特征識別結果���,所述生物特征模板是在注冊階段由處理器通過從傳感器獲取生物特征信息并對獲取的生物特征信息進行圖像預處理和特征提取而生成的����。4.根據權利要求3所述的生物特征識別裝置,其中��,所述處理器包括: 圖像采集模塊����,用于從傳感器獲取生物特征信息; 圖像預處理模塊�,用于對圖像采集模塊獲取的生物特征信息進行預處理以獲得生物特征的灰度圖; 特征提取模塊�,用于從圖像預處理模塊獲得的灰度圖中提取生物特征的特征點以獲得與生物特征的特征點有關的生物特征數(shù)據;以及 特征比對模塊����,用于將特征提取模塊獲得的生物特征數(shù)據與存儲器中存儲的生物特征模板相比較,如果生物特征數(shù)據與生物特征模板相匹配����,則確定生物特征識別結果為通過,否則確定生物特征識別結果為未通過����。5.根據權利要求4所述的生物特征識別裝置,其中����,所述處理器還包括:簽名模塊�,用于對生物特征識別結果進行數(shù)字簽名���。6.根據權利要求5所述的生物特征識別裝置���,其中�,所述數(shù)字簽名包括:在生物特征模板注冊成功后生成包括公鑰和私鑰的密鑰對,將私鑰存儲在安全芯片中����,并將公鑰發(fā)送至生物特征識別裝置外部,以及在確定生物特征識別結果后利用私鑰對生物特征識別結果進行數(shù)字簽名����。7.根據權利要求1所述的生物特征識別裝置,其中���,所述安全芯片為安全元件SE�����。8.根據權利要求1所述的生物特征識別裝置�,其中,所述生物特征識別裝置安裝在計算設備中�,所述安全芯片與所述計算設備的系統(tǒng)環(huán)境物理隔離。9.根據權利要求1至8中任一項所述的生物特征識別裝置�,其中,所述生物特征包括指紋��,所述生物特征信息包括指紋的圖像信息����,所述生物特征數(shù)據包括指紋的特征點數(shù)據,所述生物特征模板包括指紋特征模板�。10.一種生物特征識別方法,包括: 按照生物特征識別指令�,通過傳感器感測生物特征信息; 通過安全芯片從傳感器獲取生物特征信息����,對獲取的生物特征信息進行圖像預處理和特征提取以獲得生物特征數(shù)據,并將生物特征數(shù)據與安全芯片中存儲的生物特征模板相比較�����,以確定生物特征識別結果�。11.根據權利要求10所述的方法,還包括:通過安全芯片對生物特征識別結果進行數(shù)字簽名�����。12.一種生物特征模板注冊方法,包括: 按照生物特征模板注冊指令���,通過傳感器感測生物特征信息�����;通過安全芯片從傳感器獲取生物特征信息�����,對獲取的生物特征信息進行圖像預處理和特征提取以獲得生物特征數(shù)據,并將生物特征數(shù)據作為生物特征模板存儲在安全芯片中���。
【文檔編號】G06F21/32GK105975839SQ201610413002
【公開日】2016年9月28日
【申請日】2016年6月12日
【發(fā)明人】李坤, 徐東, 樊磊, 張晉芳
【申請人】北京集創(chuàng)北方科技股份有限公司