专利名称:安全计算机的指纹生物识别装置及其识别方法
技术领域:
本发明涉及可信计算平台的安全计算机的生物识别技术领域,特别涉及计算机指纹生物识别技术领域,具体是指一种安全计算机的指纹生物识别装置及其识别方法。
背景技术:
指纹生物识别技术是目前国际公认的是生物识别技术中最成熟的识别技术,也是应用最广泛,价格最低廉、易用性最高的生物认证技术,相对于其它身份认证技术,自动指纹识别具有如下许多独到的信息安全优点(1)每个人的指纹是相当固定的,不会随着人的年龄的增长或身体健康程度的变化而变化,但是人的声音、面相等却存在较大变化的可能。
(2)指纹样本便于获取,易于开发识别系统,实用性强。
(3)一个人的十指指纹皆不相同,这样可以方便地利用多个指纹构成多重口令,提高系统的安全性。
(4)指纹识别中使用的模板是由指纹图中提取的关键特征,这样存储量较小,可以大大减少网络传输的负担,便于实现认证。
TPM(可信平台模块,Trusted Platform Module)安全芯片,在本发明中简称“安全芯片”。TPM实际上是一个含有密码运算部件和存储部件的小型片上系统,安全芯片是一款SOC(System-on-Chip)芯片,内部集成了CPU内核、RAM、ROM、Flash、加密算法协处理器、随机数生成器等模块。由国际上主流计算机厂商鉴于解决目前信息安全组成的可信计算组织(TCG,Trusted Computing Group)提出的基于计算机从硬件到软件的整体安全提出的解决方案。
可信计算组织(TCG,Trusted Computing Group)指定的可信计算平台标准实施规范中指名可信计算包括三个属性与功能(1)确保用户身份的唯一性,用户工作空间的完整性与私有性。
(2)确保硬件环境配置、OS内核、服务及应用程序的完整性。
(3)确保存储、处理、传输的信息的保密性/完整性。
可信计算终端系统平台安全体系结构请参阅图1所示,该体系结构由安全硬件层、安全基础平台层和安全应用层三大部分构成。也就是说,可信计算终端系统平台涵盖了基础硬件、基础软件平台以及和各种丰富的安全应用。
可信计算终端系统平台体系结构的安全功能主要体现在以下三条安全功能主线上第一条安全功能主线在安全芯片(TPM)支撑下,由LT、计算域安全管理器和OS安全机制建立安全可信计算域,其中LT是一种CPU/芯片组/内存之间设置的安全技术,实现目标程序进程的物理计算空间的安全性(安全隔离),OS安全机制实现目标程序进程的逻辑计算空间的安全性,而计算域安全管理器(DM)是程序进程的逻辑计算空间和物理计算空间之间安全转换的管理程序。
通过安全可信计算域,可以使每一个安全应用程序进程能在一个安全专有的空间中进行计算,可以非常有效地防止现今各种恶意代码(病毒、蠕虫、木马、间谍程序)和缓冲区溢出攻击,以确保应用程序运行过程中的可信赖性和数据安全性。
第二条安全功能主线主板建有唯一一个CRTM(Core Root of Trust Measurement),除厂商外,任何主体无法更改CRTM。系统每次启动时,以CRTM为起点(或称核心根),由JY_TPM支撑建立系统平台的信任链,即在TPM的支持下,由CRTM度量BIOS/EFI(Extended Firmware Interface)的完整性,并将度量结果存放于TPM中,若度量结果经比较是可信赖的,则由BIOS/EFI度量OS Loader的完整性,之后由OS Loader度量OS Kernel的完整性,再由OS Kernel度量本地应用程序或远程应用程序的完整性,从而建立一条信任链。通过信任链确保计算平台和应用程序的可信赖性。
建立信任链过程中所有度量将构成系统平台的度量,这些度量将构成平台可信赖性判断依据,也是建立平台之间的可信网络连接(TNC--Trusted Network Connecting)的重要依据。
第三条安全功能主线TPM作为硬件密码模块,通过TPM软件中间件,向系统平台和应用程序提供可信赖的密码学服务。其中,密钥管理、数据安全封装/解封装和数字签名运算具有高安全性,是未来开展电子政务的基础保障。
通过扩展安全芯片的功能模块,增加安全的指纹识别引擎模块,能增强可信计算平台对非法用户的安全拒绝,确保用户身份的唯一性,通过指纹实名的结合能拓展可信计算局限于通过各层次安全模块的相互支撑构建统一的可信计算系统平台安全体系结构。安全硬件层主要由安全芯片(TPM)、可信赖BIOS、安全I/O等构成。
安全应用层通过如下流程实现与安全硬件的统一。安全服务模块接受来自应用系统的安全请求指令,由安全核心服务模块进行处理将应用层的验证等指令编码、分类后将编码后的指令发送给芯片驱动程序库,芯片驱动程序驱动芯片完成指令任务;芯片将完成的指令任务结果返回给安全核心服务,由安全核心服务模块进行识别将结果返回给发出指令的应用。
计算机系统的总线机构按级别划分,有如下几种●CPU总线位于CPU内部,它主要负责ALU与各种寄存器等功能元件间的相互连接。也可称为CPU级总线。
●局部总线介于CPU总线和系统总线之间。一侧面向CPU总线,一侧面向系统总线,分别由桥电路连接。局部总线的存在使外设与CPU之间的数据传输速率有了很大的提高。局部总线又可分为专用局部总线、VL总线、PCI总线,目前普遍应用的是PCI总线。
●系统总线系统内部各部件之间进行连接和传输信息的一组信号线。也称为插板级的总线或I/O通道总线。如ISA总线,EISA总线。
●通信总线也可称为外部总线,是系统之间或计算机系统与设备之间进行通信的一组信号线。如RS-232/RE485总线,IEEE-488总线,USB等。总线通过其总线频率、总线宽度、总线的数据传输率来描述。
在生物识别技术实现信息安全身份认证方面,目前大多指纹技术都在操作系统、应用层面或独立硬件上实现,由于指纹数据要加载到内存,存在指纹数据、处理被截取或被病毒感染或被攻击的安全隐患;指纹传感器采集指纹信息与通常其他设备共享通信线路,存在探针攻击、欺诈等安全隐患;涉及到独立硬件,通常偏重于某一方面的保障和认证,不能实现计算机整体安全。
要实现更深层面的计算机安全性,还要从安全芯片出发,与可信平台接合。
上述技术中,对于安全芯片的应用来讲,与指纹识别技术的结合只停留在对指纹数据的安全加密存储,即将指纹特征信息存放在安全芯片内部或通过安全芯片内部加密后存放在外部,这样仅仅是将指纹数据信息作为重要信息进行管理和存储,并没有真正发挥指纹识别本身的意义。
将指纹采集、处理和比对与指纹数据分开存放和处理,存在安全的隐患,至少需要比对的指纹辩识码与指纹比对处理存放安全芯片内,即Java Card国际组织提出的嵌入式指纹认证技术的MOC要求。实现指纹识别才能达到强双因子安全,结合安全芯片来增强及达到整体信息安全。
现有技术中,应用于TPM安全芯片及其他类型安全芯片的计算机系统进行生物指纹识别的方法有以下专利●基于可信平台模块的指纹生物识别引擎系统及其识别方法,申请号200610024673.6●单安全芯片生物指纹识别系统及其方法,申请号200610027006.
发明内容本发明的目的是克服了上述现有技术中的缺点,提供一种将可信计算与计算机系统安全芯片的生物认证及识别技术相结合、能够完善和增强计算机系统从硬件、操作系统及基础平台到应用层的全面安全。至少预存的指纹辨识码存储于安全芯片内,且指纹采集及比对在安全芯片内部完成,运行效率较高、系统稳定性较强、适用范围较为广泛的安全计算机的指纹生物识别装置及其识别方法。
为了实现上述的目的,本发明的安全计算机的指纹生物识别装置及其识别方法如下该安全计算机的指纹生物识别装置,包括计算机主板和主板上所承载并通过系统总线相互连接的基本输入输出系统BIOS、安全芯片、中央处理器、随机访问存储器和其它计算机硬件,所述的安全芯片内具有内置功能模块和芯片操作系统,其主要特点是,所述的识别装置还包括指纹传感器、计算机主板上所承载的指纹处理模块、非易失性存储器、安全芯片内置的指纹采集模块、指纹比对模块和通信接口,所述的指纹传感器的输出端通过独立数据传输线路和安全芯片的通信接口与指纹采集模块的输入端相连接,且指纹传感器与安全芯片之间的该数据传输线路不被其它具有相同通信接口的设备或硬件模块所共享,指纹采集模块的输出端与所述的指纹处理模块的输入端相连接,指纹处理模块的输出端与所述的指纹比对模块的输入端相连接,所述的指纹比对模块与所述的非易失性存储器相连接。
该安全计算机的指纹生物识别装置的指纹处理模块内置于所述的安全芯片内,且指纹处理模块分别与指纹比对模块和指纹采集模块相连接,所述的非易失性存储器为安全芯片中的非易失性存储器,所述的指纹比对模块与所述的安全芯片中的非易失性存储器相连接。
该安全计算机的指纹生物识别装置的指纹处理模块置于所述的计算机主板所承载的基本输入输出系统BIOS内,且指纹处理模块通过系统总线分别与指纹比对模块和指纹采集模块相连接,所述的非易失性存储器为基本输入输出系统BIOS中的加密存储区,所述的指纹比对模块通过系统总线与该基本输入输出系统BIOS中的加密存储区相连接。
该安全计算机的指纹生物识别装置的指纹处理模块置于所述的计算机主板所承载的具有片内中央处理器的嵌入式SOC芯片内或者不具有片内中央处理器而有非易失性存储空间的芯片内,且指纹处理模块通过系统总线分别与指纹比对模块和指纹采集模块相连接,所述的非易失性存储器为嵌入式SOC芯片中的非易失性存储器或者不具有片内中央处理器的芯片中的非易失性存储器,所述的指纹比对模块通过系统总线与该嵌入式SOC芯片中的非易失性存储器相连接或者与不具有片内中央处理器的芯片中的非易失性存储器相连接。
该安全计算机的指纹生物识别装置的通信接口可以为串口、并口、USB接口或者专用I/O接口。
该安全计算机的指纹生物识别装置的串口可以为SPI接口或者UART接口。
该安全计算机的指纹生物识别装置的非易失性存储器为闪存Flash、电可擦写可编程只读存储器EEPROM、可擦写可编程只读存储器EPROM、可编程只读存储器PROM或者其他的在断电情况下能继续保留数据的磁、电存储介质。
该安全计算机的指纹生物识别装置的指纹传感器嵌装于计算机的主板、键盘、鼠标或者机壳表面,或者作为独立装置通过独享数据通讯连接线与安全芯片相连接;所述的指纹传感器为光学指纹传感器、半导体指纹传感器、超声波指纹传感器或者其他能够通过感应获取指纹图像数据的传感器,所述的半导体指纹传感器为硅电容式指纹传感器、半导体压感式指纹传感器或者半导体温度感应指纹传感器。
该使用上述的识别装置进行指纹生物识别的方法,其主要特点是,所述的方法包括以下步骤(1)系统进行初始化设置;(2)安全芯片操作系统判断是进行初始指纹登记设置操作还是进行指纹比对操作;(3)如果是进行初始指纹登记设置操作,则指纹采集通过指纹传感器采集指纹的原始图像信息,并将该信息传送至指纹处理模块;(4)指纹处理模块对传入的原始图像信息进行信息处理,提取指纹特征信息并生成辨识码的操作处理;(5)安全芯片操作系统将生成辨识码预存储于芯片内的非易失性存储器中;(6)如果是进行指纹比对操作,则指纹采集通过指纹传感器采集指纹的原始图像信息,并将该信息传送至指纹处理模块;(7)指纹处理模块对传入的原始图像信息进行信息处理,提取指纹特征信息并生成辨识码的操作处理;(8)安全芯片操作系统从芯片内的非易失性存储器内提取出预存的指纹辨识码,并将提取的指纹辨识码传送至指纹比对模块;(9)指纹比对模块将提取的预存的指纹辨识码与当前从指纹原始图像信息提取生成的辨识码进行比对,并将比对结果返回给芯片操作系统。
该进行指纹生物识别的方法的所述的原始图像信息为数字指纹图像信息。
该进行指纹生物识别的方法的根据该原始图像信息进行提取指纹特征信息并生成辨识码的操作处理包括以下步骤(1)指纹处理模块根据特定的指纹算法,从原始图像信息中提取出指纹特征信息;(2)指纹处理模块对上述的指纹特征信息进行编码和归类,并生成辩识码。
该进行指纹生物识别的方法的判断是进行初始指纹登记设置操作还是进行指纹比对操作为安全芯片操作系统判断芯片内的非易失性存储器内是否预存储有指纹辨识码,如果否,则返回是进行初始指纹登记设置操作的结果;如果是,则返回是进行指纹比对操作的结果;或者为判断安全芯片操作系统设置的标识值是进行初始指纹登记设置操作还是指纹比对操作。
采用了该发明的安全计算机的指纹生物识别装置及其识别方法,由于基于安全芯片在计算机主板上形成了指纹生物识别装置,并在安全芯片内的安全环境下与预存在安全芯片内的指纹进行比对,实现指纹比对认证,甚至可以将指纹的采集、处理和比对工作全部在安全芯片内完成,而且指纹传感器与安全芯片之间的通信使用独享的总线或接口,没有其他任何设备与模块使用指纹传感器与安全芯片之间通信的总线,有利于信息稳定、安全的传输,同时通信过程可以采用串口、并口、USB、UART接口或者SPI等标准接口进行通信,也可采用指纹传感器与安全芯片之间的专用I/O接口进行通信,而使用专用接口更有利于提高安全性,从而能够得到更高的系统安全性和可靠性;同时,指纹预存数据和比对没有跨出过TPM,实现了强双因子安全认证;不仅如此,该指纹生物识别引擎系统可以接收其它任何系统硬件层、操作系统及基础平台层、安全应用层的认证请求,并将认证结果返回,从而实现了安全指纹生物认证,确保了用户及信息的完整性与私有性,确保了系统硬件、OS内核、服务及应用程序的完整性,可以应用于开机指纹安全身份认证、操作系统指纹安全身份认证和应用层指纹安全身份认证等领域,不仅运行效率较高,而且系统稳定性较强,适用范围较为广泛,为计算机安全认证技术的进一步发展奠定了坚实的基础。
图1为现有技术中的可信计算终端系统平台安全体系结构图。
图2为本发明的可信平台模块安全芯片系统架构图。
图3为本发明的安全计算机的指纹生物识别装置的第一种实施例的系统架构示意图。
图4为本发明应用于笔记本电脑中的指纹传感器安设位置示意图。
图5为本发明的安全计算机的生物指纹识别装置进行指纹登记设置操作的流程图。
图6为本发明的安全计算机的生物指纹识别装置进行指纹比对设置操作的流程图。
具体实施例方式
为了进一步说明本发明为达到预定目的所采用的技术、方法及功能效果,请参阅以下有关本发明的详细说明和附图,相信本发明的目的、特征与特点,当可得到深入和具体的了解,然而所附图示仅供参考和说明用,并非对本发明加以限制。
请参阅图2所示,为计算机主板安全芯片(TPM)的方块架构示意图。一般安全芯片(TPM)内有一中央处理器(CPU)、非对称密码协处理器(RSA)、真随机数生成器(RNG)、存储模块(RAM)、非易失性存储(Non-Volatile Storage)和安全防护、管理及接口模块等等,从而构成了完整的安全芯片。
安全芯片通过安全芯片操作系统及内置的功能模块形成系统安全认证体系。在身份认证上,安全芯片内拥有存储区,可以存储证书,通常利用存储在片内的证书和各种加密算法完成安全认证。
关于安全芯片的进一步技术细节,请参考“一种安全芯片及基于该芯片的信息安全处理设备和方法”的专利文献(专利申请号03138380.7)。
再请参阅图3所示,为本发明的识别装置的第一种实施例,其中该安全计算机的指纹生物识别装置,包括计算机主板和主板上所承载并通过系统总线相互连接的基本输入输出系统BIOS、可信平台模块安全芯片、中央处理器、随机访问存储器,所述的可信平台模块安全芯片内具有内置功能模块和芯片操作系统,其中,所述的识别装置还包括指纹传感器、计算机主板上所承载的指纹处理模块、非易失性存储器、可信平台模块安全芯片内置的指纹采集模块、指纹比对模块和通信接口,该指纹对比模块形成了安全芯片中的指纹生物识别引擎;该指纹处理模块置于所述的计算机主板所承载的基本输入输出系统BIOS内,且指纹处理模块通过系统总线分别与指纹采集模块和指纹比对模块相连接;所述的指纹传感器的输出端通过独立数据传输线路和安全芯片的通信接口与指纹采集模块的输入端相连接,指纹采集模块的输出端与所述的指纹处理模块的输入端相连接,指纹处理模块的输出端与所述的指纹比对模块的输入端相连接,所述的非易失性存储器为基本输入输出系统BIOS中的加密存储区,所述的指纹比对模块通过系统总线与该基本输入输出系统BIOS中的加密存储区相连接。
此时的安全芯片硬件资源不能完成指纹处理运算,而必须利用主机板上现有芯片或增加芯片,在本实施例中是利用现有BIOS和BIOS中的加密存储区来实现,其运算能力依赖于主板上的中央处理器,内存则是主板上的随机存储器RAM。
不仅如此,与上述第一种实施例相类似的,也可以采用以下本发明的引擎系统的第二种此时的安全芯片硬件资源不能完成指纹处理运算,而必须利用主机板上现有芯片或增加芯片,在本实施例中是利用主板上的嵌入式SOC芯片来实现,其运算能力依赖于主板上的中央处理器,内存则是主板上的随机存储器RAM。
与上述第一种实施例相类似的,还可以采用以下本发明的引擎系统的第三种实施例其中该安全计算机的指纹生物识别装置,包括计算机主板和主板上所承载并通过系统总线相互连接的基本输入输出系统BIOS、可信平台模块安全芯片、中央处理器、随机访问存储器RAM,所述的可信平台模块安全芯片内具有内置功能模块和芯片操作系统,其中,所述的引擎系统还包括指纹传感器、计算机主板上所承载的指纹处理模块、非易失性存储器、可信平台模块安全芯片内置的指纹采集模块、指纹比对模块和通信接口,该指纹比对模块形成了安全芯片中的指纹生物识别引擎;该指纹处理模块置于所述的计算机主板所承载的具有片内中央处理器的嵌入式SOC芯片内,且指纹处理模块通过系统总线分别与指纹采集模块和指纹比对模块相连接;所述的指纹传感器的输出端通过独立数据传输线路和安全芯片的通信接口与指纹采集模块的输入端相连接,指纹采集模块的输出端与所述的指纹处理模块的输入端相连接,指纹处理模块的输出端与所述的指纹比对模块的输入端相连接,所述的非易失性存储器为嵌入式SOC芯片中的加密非易失性存储器,所述的指纹比对模块通过系统总线与该嵌入式SOC芯片中的加密非易失性存储器相连接。
此时的安全芯片硬件资源不能完成指纹处理运算,而必须利用主机板上现有芯片或增加芯片,在本实施例中是利用主板上的嵌入式SOC芯片来实现,其运算能力依赖于嵌入式SOC芯片中的中央处理器,内存则是嵌入式SOC芯片内的随机存储器RAM。
为了使得BIOS能够达到更高的安全级别,随着安全芯片的发展,BIOS将可以内置于安全芯片内,此时,指纹采集、指纹处理、指纹比对模块将全部内置于安全芯片内,此时便可以采用本发明的识别装置的第四种实施例,其中该安全计算机的指纹生物识别装置的指纹采集模块、指纹处理模块和指纹比对模块均内置于所述的可信平台模块安全芯片内,该指纹采集模块、指纹处理模块与指纹比对模块共同形成了安全芯片中的指纹生物识别引擎,且指纹采集模块与指纹处理模块之间、指纹处理模块与指纹比对模块之间均相连接,所述的非易失性存储器为可信平台模块安全芯片中的非易失性存储器,所述的指纹比对模块与所述的可信平台模块安全芯片中的非易失性存储器相连接。
此时的安全芯片硬件资源能够完成指纹采集、处理和比对运算,其运算能力完全依赖于片内的CPU,其内存则是利用了片内的RAM。
同时,该安全计算机的指纹生物识别装置中的通信接口可以为串口、并口、USB接口、专用I/O接口,其中串口可以为UART接口或者SPI接口,该指纹传感器的驱动程序可预置于安全芯片的非易失性存储器中,也可置于BIOS中,也可置于其他安全芯片可访问的拥有存储空间的芯片内;该安全计算机的指纹生物识别装置的非易失性存储器可以为闪存Flash、电可擦写可编程只读存储器EEPROM、可擦写可编程只读存储器EPROM、可编程只读存储器PROM或者其他的在断电情况下能继续保留数据的磁、电存储介质。其中的磁存储器单元的详细技术信息请参阅美国专利文献“Thin Film Magnetic Core Memory And Method OfMaking Same”,专利号5126971,1992年6月30日出版。
在实际应用当中,本发明是在安全芯片内增加指纹生物认证引擎,并连接一个指纹传感器,该指纹传感器通过计算机的基本输入输出系统(I/O)将采集到的指纹图象传给TPM的指纹生物认证引擎指纹采集模块,指纹采集模块采集到的数字指纹图像传送给指纹处理模块,由指纹处理模块进行指纹特征值提取,编码为指纹辩识码。
指纹比对模块将指纹辩识码与安全芯片内预存的指纹辩识码进行比对,完成身份认证。
本发明主要是提供安全计算机硬件安全芯片的片内指纹生物认证技术及实现方法,而其关键是在安全芯片内增加一个生物识别引擎模块,在安全芯片内的安全环境下与预存于安全芯片内指纹辨识码进行比对,实现指纹比对认证。
由于指纹采集和处理有一定的复杂度,安全芯片内的硬件资源不够完成复杂的处理运算,在上述第一种实施例中,将指纹采集和处理置于主机板上其他嵌入式SOC芯片内完成,将指纹传感器传入的指纹图像处理成含指纹特征信息的数据,安全的存储到安全芯片内或与安全芯片内的预存指纹信息进行比对;而在上述第二种实施例中,当安全芯片内的硬件资源达到能够处理指纹的采集和处理运算时,指纹的采集、处理和比对工作全部在安全芯片内完成。
指纹预存数据和比对没有跨出过安全芯片,实现强双因子安全认证。安全芯片内指纹生物识别引擎接收其他任何系统硬件层、操作系统及基础平台层、安全应用层的认证请求,将认证结果返回,实现安全指纹生物认证,确保用户及信息的完整性与私有性,确保系统硬件、OS内核、服务及应用程序的安全性、完整性。
再请参阅图4所示,本发明的安全计算机的指纹生物识别装置的指纹传感器1可以根据情况嵌装于计算机的鼠标或者笔记本电脑的机壳表面,或者作为独立装置通过数据通讯连接线与计算机相连接,而安全芯片2则嵌装于笔记本电脑的主板上。
同时,该指纹传感器1可以为光学指纹传感器、半导体指纹传感器、超声波指纹传感器或者其他能够通过感应获取指纹图像数据的传感器,所述的半导体指纹传感器为硅电容式指纹传感器、半导体压感式指纹传感器或者半导体温度感应指纹传感器。
在实际使用当中,该指纹传感器1可以使用各种类型的指纹传感器。目前主要包含三种大类的指纹传感器,分别是光学、半导体、超声波指纹传感器。其中半导体式指纹传感器又分为硅电容式、半导体压感式、半导体温度感应等传感器。随着技术的发展,新类型的传感器会不断推出,本发明中指纹采集可使用各种通过感应获取指纹图像数据的传感器来获取指纹影像信息;同时,指纹传感器1在计算机上放置的部位键盘、鼠标、机壳、及各种通过数据通讯连接线连接到计算机上的独立的指纹传感器。
再请参阅图5和图6所示,本发明的使用上述的识别装置进行指纹生物识别的方法,包括以下步骤(1)系统进行初始化设置;(2)安全芯片操作系统判断是进行初始指纹登记设置操作还是进行指纹比对操作,该判断操作可以为安全芯片操作系统判断芯片内的非易失性存储器内是否预存储有指纹辨识码,如果否,则返回是进行初始指纹登记设置操作的结果;如果是,则返回是进行指纹比对操作的结果;也可以为判断芯片操作系统设置的标识值是进行初始指纹登记设置操作还是指纹比对操作;(3)如果是进行初始指纹登记设置操作,则指纹采集通过指纹传感器采集指纹的原始图像信息,并将该信息传送至指纹处理模块,该原始图像信息为数字指纹图像信息;(4)指纹处理模块对传入的原始图像信息进行信息处理,提取指纹特征信息并进行生成辨识码的操作处理,该操作处理包括以下步骤(a)指纹处理模块根据特定的指纹算法,从原始图像信息中提取出指纹特征信息;(b)指纹处理模块对上述的指纹特征信息进行编码和归类,并生成辩识码;(5)芯片操作系统将生成辨识码预存储于芯片内的非易失性存储器中;(6)如果是进行指纹比对操作,则指纹采集通过指纹传感器采集指纹的原始图像信息,并将该信息传送至指纹处理模块;(7)指纹处理模块对传入的原始图像信息进行信息处理,提取指纹特征信息并进行生成辨识码的操作处理;(8)芯片操作系统从芯片内的非易失性存储器内提取出预存的指纹辨识码,并将提取的指纹辨识码传送至指纹比对模块;(9)指纹比对模块将提取的预存的指纹辨识码与当前从指纹原始图像信息提取生成的辨识码进行比对,并将比对结果返回给芯片操作系统。
在实际使用当中,本发明所要解决的技术问题在于在计算机安全芯片内实现指纹生物识别引擎模块的方法,即在安全芯片内完成指纹的算法、指纹的采集处理、指纹的比对认证,做到所有指纹处理永不出安全芯片,作为一种可信计算机的基本生物认证功能模块提供给从计算机系统安全硬件层、安全操作系统及基础平台层、安全应用层使用。
因此,计算机需要连接指纹采集设备,既各种类型的指纹传感器,在计算机需要指纹影像信息的时候,采集活体指纹信息,将采集的活体指纹信息传递给安全芯片内部的指纹生物认证引擎。指纹生物认证引擎对传入的原始活体指纹信息通过指纹算法进行运算和处理,存储在安全芯片存储区或作出认证结果,返回给调用指纹生物认证引擎的设备和程序。
上述的认证过程中,包括以下几个步骤(1)指纹采集通过各种指纹采集传感器,采集指纹的原始图像,该原始图像信息为非模拟的数字指纹图象信息。然后传送给指纹处理模块。指纹采集包含与各种指纹传感器的接口,指纹影像采集判断等。
(2)指纹处理指纹处理模块根据指纹算法,提取指纹特征信息,对指纹特征信息进行编码、归类,编码为辩识码。
关于指纹算法的技术细节,请参考“指纹识别方法”的专利文献(专利申请号03142267.5)。
(3)指纹比对将采集到的使用者的指纹辩识码与安全芯片中预存的指纹辩识码进行比对。
指纹比对程序预存于安全芯片的非易失性存储器内。
采用了上述的安全计算机的指纹生物识别装置及其识别方法,由于基于安全芯片在计算机主板上形成了指纹生物识别装置,并在安全芯片内的安全环境下与预存在安全芯片内的指纹进行比对,实现指纹比对认证,甚至可以将指纹的采集、处理和比对工作全部在安全芯片内完成,而且指纹传感器与安全芯片之间的通信使用独享的总线或接口,没有其他任何设备与模块使用指纹传感器与安全芯片之间通信的总线,有利于信息稳定、安全的传输,同时通信过程可以采用串口、并口、USB、UART接口或者SPI等标准接口进行通信,也可采用指纹传感器与安全芯片之间的专用I/O接口进行通信,而使用专用接口更有利于提高安全性,从而能够得到更高的系统安全性和可靠性;同时,指纹预存数据和比对没有跨出过TPM,实现了强双因子安全认证;不仅如此,该指纹生物识别引擎系统可以接收其它任何系统硬件层、操作系统及基础平台层、安全应用层的认证请求,并将认证结果返回,从而实现了安全指纹生物认证,确保了用户及信息的完整性与私有性,确保了系统硬件、OS内核、服务及应用程序的完整性,可以应用于开机指纹安全身份认证、操作系统指纹安全身份认证和应用层指纹安全身份认证等领域,不仅运行效率较高,而且系统稳定性较强,适用范围较为广泛,为计算机安全认证技术的进一步发展奠定了坚实的基础。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
权利要求
1.一种安全计算机的指纹生物识别装置,包括计算机主板和主板上所承载并通过系统总线相互连接的基本输入输出系统BIOS、安全芯片、中央处理器、随机访问存储器和其它计算机硬件,所述的安全芯片内具有内置功能模块和芯片操作系统,其特征在于,所述的识别装置还包括指纹传感器、计算机主板上所承载的指纹处理模块、非易失性存储器、安全芯片内置的指纹采集模块、指纹比对模块和通信接口,所述的指纹传感器的输出端通过独立数据传输线路和安全芯片的通信接口与指纹采集模块的输入端相连接,且指纹传感器与安全芯片之间的该数据传输线路不被其它具有相同通信接口的设备或硬件模块所共享,指纹采集模块的输出端与所述的指纹处理模块的输入端相连接,指纹处理模块的输出端与所述的指纹比对模块的输入端相连接,所述的指纹比对模块与所述的非易失性存储器相连接。
2.根据权利要求1所述的安全计算机的指纹生物识别装置,其特征在于,所述的指纹处理模块内置于所述的安全芯片内,且指纹处理模块分别与指纹比对模块和指纹采集模块相连接,所述的非易失性存储器为安全芯片中的非易失性存储器,所述的指纹比对模块与所述的安全芯片中的非易失性存储器相连接。
3.根据权利要求1所述的安全计算机的指纹生物识别装置,其特征在于,所述的指纹处理模块置于所述的计算机主板所承载的基本输入输出系统BIOS内,且指纹处理模块通过系统总线分别与指纹比对模块和指纹采集模块相连接,所述的非易失性存储器为基本输入输出系统BIOS中的加密存储区,所述的指纹比对模块通过系统总线与该基本输入输出系统BIOS中的加密存储区相连接。
4.根据权利要求1所述的安全计算机的指纹生物识别装置,其特征在于,所述的指纹处理模块置于所述的计算机主板所承载的具有片内中央处理器的嵌入式SOC芯片内或者不具有片内中央处理器而有非易失性存储空间的芯片内,且指纹处理模块通过系统总线分别与指纹比对模块和指纹采集模块相连接,所述的非易失性存储器为嵌入式SOC芯片中的非易失性存储器或者不具有片内中央处理器的芯片中的非易失性存储器,所述的指纹比对模块通过系统总线与该嵌入式SOC芯片中的非易失性存储器相连接或者与不具有片内中央处理器的芯片中的非易失性存储器相连接。
5.根据权利要求1至4中任一项所述的安全计算机的指纹生物识别装置,其特征在于,所述的通信接口为串口、并口、USB接口或者专用I/O接口。
6.根据权利要求5所述的安全计算机的指纹生物识别装置,其特征在于,所述的串口为SPI接口或者UART接口。
7.根据权利要求1至4中任一项所述的安全计算机的指纹生物识别装置,其特征在于,所述的非易失性存储器为闪存Flash、电可擦写可编程只读存储器EEPROM、可擦写可编程只读存储器EPROM、可编程只读存储器PROM或者其他的在断电情况下能继续保留数据的磁、电存储介质。
8.根据权利要求1至4中任一项所述的安全计算机的指纹生物识别装置,其特征在于,所述的指纹传感器嵌装于计算机的主板、键盘、鼠标或者机壳表面,或者作为独立装置通过独享数据通讯连接线与安全芯片相连接;所述的指纹传感器为光学指纹传感器、半导体指纹传感器、超声波指纹传感器或者其他能够通过感应获取指纹图像数据的传感器,所述的半导体指纹传感器为硅电容式指纹传感器、半导体压感式指纹传感器或者半导体温度感应指纹传感器。
9.一种使用权利要求1所述的识别装置进行指纹生物识别的方法,其特征在于,所述的方法包括以下步骤(1)系统进行初始化设置;(2)安全芯片操作系统判断是进行初始指纹登记设置操作还是进行指纹比对操作;(3)如果是进行初始指纹登记设置操作,则指纹采集通过指纹传感器采集指纹的原始图像信息,并将该信息传送至指纹处理模块;(4)指纹处理模块对传入的原始图像信息进行信息处理,提取指纹特征信息并生成辨识码的操作处理;(5)安全芯片操作系统将生成辨识码预存储于芯片内的非易失性存储器中;(6)如果是进行指纹比对操作,则指纹采集通过指纹传感器采集指纹的原始图像信息,并将该信息传送至指纹处理模块;(7)指纹处理模块对传入的原始图像信息进行信息处理,提取指纹特征信息并生成辨识码的操作处理;(8)安全芯片操作系统从芯片内的非易失性存储器内提取出预存的指纹辨识码,并将提取的指纹辨识码传送至指纹比对模块;(9)指纹比对模块将提取的预存的指纹辨识码与当前从指纹原始图像信息提取生成的辨识码进行比对,并将比对结果返回给芯片操作系统。
10.根据权利要求9所述的进行指纹生物识别的方法,其特征在于,所述的原始图像信息为数字指纹图像信息。
11.根据权利要求9或10所述的进行指纹生物识别的方法,其特征在于,所述的根据该原始图像信息进行提取指纹特征信息并生成辨识码的操作处理包括以下步骤(1)指纹处理模块根据特定的指纹算法,从原始图像信息中提取出指纹特征信息;(2)指纹处理模块对上述的指纹特征信息进行编码和归类,并生成辩识码。
12.根据权利要求9或10所述的进行生物指纹识别的方法,其特征在于,所述的判断是进行初始指纹登记设置操作还是进行指纹比对操作为安全芯片操作系统判断芯片内的非易失性存储器内是否预存储有指纹辨识码,如果否,则返回是进行初始指纹登记设置操作的结果;如果是,则返回是进行指纹比对操作的结果;或者为判断安全芯片操作系统设置的标识值是进行初始指纹登记设置操作还是指纹比对操作。
全文摘要
本发明涉及一种安全计算机的指纹生物识别装置及方法,该装置中包括安全芯片、指纹传感器、指纹处理模块、非易失性存储器、安全芯片内置的指纹采集和指纹比对模块,指纹传感器通过独享的硬件接口和数据传输线路依次通过指纹采集模块、指纹处理模块、指纹比对模块与非易失性存储器连接,该数据传输线路不被其它设备或硬件模块共享,该方法包括采集指纹的原始图像信息、提取指纹特征信息生成辨识码、判断是否初始指纹登记设置、根据判断结果将辨识码存储于安全芯片非易失性存储器内或提取预存于安全芯片内的辨识码进行比对。采用该种指纹生物识别装置及方法,对安全计算机进行扩展与完善,为安全计算机生物认证技术拓展奠定了基础。
文档编号G06F21/00GK1900939SQ200610029068
公开日2007年1月24日 申请日期2006年7月18日 优先权日2006年7月18日
发明者沈英俊, 肖朝昕 申请人:上海一维科技有限公司