专利名称:一种带生物特征识别功能的身份认证系统及其认证方法
技术领域:
本发明涉及信息安全领域和移动支付领域以及生物识别领域,尤其是一种带生物 特征识别功能的身份认证系统及其认证方法。
背景技术:
作为信息安全的第一道大门用户身份认证是各种安全措施可以发挥作用的前提。 而作为所有信息安全应用的计算基础结构的核心部件PKI产品,可以为个人信息的安全存 储及传输提供更多的功能和更好的服务。其中电子签证机构(CA)作为通信的第三方,为各 种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证 和密钥管理等功能。目前针对个人信息安全的身份认证产品主要是能够完成设备对设备的认证,如 USB Key、SDKey、数字证书等。该类产品对设备持有人的合法身份确定主要是通过PIN码来 确定的,由此带来的安全隐患可轻易的被不法分子利用。如USB Key、SDKey、数字证书都有 被骗签的安全隐患。中国发明专利申请第CN101561873A号公开了一种具备虹膜识别和USB Key功能 的多模态身份认证设备。该专利是利用了人自身的虹膜特征唯一性的特点在硬件设备层实 现了用虹膜识别身份认证方式替代普通PIN码身份认证方式,能有效的验证USB Key持有 人身份解决PIN码失窃、冒用等潜在风险。但由于虹膜识别功能模块作为单独的模块完成 身份识别,再通过物理链路通知USB Key功能模块认证是否成功,这在防范恶意破坏性攻击 方面是无法保障USB Key的安全身份认证的。如非法用户在获取到该硬件设备后可破解物 理链路上的数据,进而绕开虹膜识别功能模块直接向USBKey功能模块发送认证通过信息。中国实用新型专利第CN201349222Y号公开了一种利用指纹判定实现身份认证的 USB Key加密设备。该专利通过运行个性化认证程序解决了 Key模块和FM职指纹识别模块 间的连接问题,借助USB HUB控制器和USB数据总线将Key模块和FM指纹识别模块连接起 来,在一定程度上提高了 USB Key的使用安全性。但同输入PIN码的USB Key漏洞相同,非 法用户都可以通过木马监控到USB接口的数据,进而控制Key模块完成非法认证。中国发明专利第CN 101251878A号公开了一种借助硬件认证身份的SD存储卡,该 专利通过组合SD主控模块、信息安全模块、闪存介质通过SD memory与PC、PDA和/或移动 电话一类的主设备完成数据交换,解决了在手机等不带USB接口的移动设备上和在PC上同 时使用的问题。但同样未从根本上解决SDKey在PIN码输入上的安全漏洞。CN101561873A号专利申请和第CN201349222Y号专利均揭示利用人自身的生物特 征唯一性的特点分别在硬件设备层和软件层面增强了 USB Key使用的安全性,但并没有从 根本上解决设备持有人身份的确定。同时由于通过增加生物识别模块的方法代价昂贵,并 且在现有通用设备如PC机等设备上难以升级,在PDA和/或移动电话上都很难实现。而第 CN 101251878A号专利申请揭示通过将个人安全信息放在硬件SD卡上的形式解决了 PC与 移动设备通用的问题,解决了硬件设备对银行终端的身份确认,但同样无法从根本上解决设备持有人对银行终端的身份确认。本发明要解决的技术问题在于从根本上解决设备持有人对银行终端的身份认证 的同时高效安全便捷保护个人身份信息的存储及传输。同时可方便的通过只对现有常用安全设备如USB Key、SDKey、0TP等产品进行升级 即可满足各个应用领域对个人身份信息安全要求的保证,避免大量应用终端如PC、手机等 产品的升级改造。另外,可有效避免交易信息在送到个人身份认证终端时被篡改的漏洞。
发明内容
本发明要解决上述现有技术的缺点,提供一种带生物特征识别功能的身份认证系 统及其认证方法,提高设备持有人对银行终端认证的安全性。本发明解决其技术问题采用的技术方案这种带生物特征识别功能的身份认证系 统,包括CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对 外通讯单元、人机交互控制单元、外部存储器控制单元、PKI系统和传感器系统;所述传感器系统单元109包括指纹和或面部和或虹膜等生物特征采集传感器,如 CMOS、半导体指纹传感器、摄像头等面部、虹膜采集传感器,组成的最小单元。还可包括控制 传感器并生成特征的MCU组成的特征采集生成模组单元;所述PKI系统108包括利用PKI体系完成数字签名所需的软、硬件系统;所述CPU主控单元101主要为各种底层软件COS及生物识别算法软件提供硬件执 行的平台,包括主控CPU内核及ROM、RAM、CACHE等;所述系统控制单元102主要为系统运行及防止非法破解攻击提供必须的硬件设 备。主要包括电源、功耗控制单元、ROSC(片上环振)和/或OSC(片上振荡器)、PLL、FD (频 率检测)等功能;可单颗芯片实现最小系统;所述硬件加解密单元103主要为保护个人信息和数据信息的安全存储及传输所 需的各种加解密算法,包括软件算法和/或硬件算法和/或软硬结合的算法。该单元主要 包括随机数模块、各种硬件加解密算法,如RSA、AES、DES、SMl、HASH等算法;可采用软硬件 结合的方式,成本低、速度快。所述带MPU保护功能的片上存储器104主要为实现个人信息、数据、程序、密钥、系 统参数等数据的安全存储及安全访问,可有效防止程序及数据被破解。该单元主要包括存 储器逻辑控制部分及存储介质部分,其中存储器逻辑控制部分主要包含加解密控制、擦除 控制、逻辑分区控制及读写权限控制等。可实现对存储介质的读、写、擦除、写入保护、读保 护、数据加解密等操作;存储介质部分可划分成JTAG锁止域、用户域、唯一序列号域、开放 数据区、保护数据区、一般程序区、只执行程序区、配置参数区。其中JTAG锁止域、用户域、 唯一序列号域为一次性写入区域,写入数据后不能修改。JTAG锁止域设定后不能通过JTAG 接口仿真调试程序,保证芯片内部信息不被读出,用户域允许用户一次性写入数据,序列号 域存放唯一序列号。保护数据区可加密存储区,只执行程序区CPU只可执行程序不可读出, 所有区域都具有写使能保护功能。所述对外通讯单元105主要为系统软件与外部控制设备进行通讯及数据交换。该 通讯单元包括SD卡主接口、SD卡从接口、USB接口、UART接口或NFC接口等;其中NFC接口 为非接触式通讯接口;
所述人机交互控制单元106主要为系统软件获取外部设备信息及状态、控制和/ 或指示外部设备。该单元主要包括通用10、液晶屏控制、按键扫描、指示控制、传感器驱动控 制、等控制接口 ;所述外部存储器控制单元107主要为实现较大容量的数据安全存放,可通过硬件 加解密单元103完成对数据流的加解密。所述外部存储器控制单元107包括Nandflash 并行控制接口、串行flash SPI/SQI接口或SATA/IDE接口。CPU可通过总线直接访问多片 Nandflash0OTP存储区采用Antifuse型0ΤΡ/ΜΤΡ,与普通电荷型的OTP、EEI3ROM或FLASH相比 具有极高的良率、极高的可靠性一不丢失数据、极高的安全性一抗反向设计,抗芯片剖片拍 照。本系统利用人体生物特征的的唯一性(每个人的指纹、脸型、虹膜等都各不相 同)、随机性(同一枚手指或面部图像或虹膜等多次采集生成的特征都不尽相同)和可匹配 性(虽然同一手指或脸型或虹膜等多次采集生成的特征都不相同,但可以通过算法来验证 是不是同一指纹或同一人的脸型或虹膜等),以及利用所述的带MPU保护功能的片上存储 器结合加解密技术实现生物特征在CPU内进行比对认证,杜绝了利用外部截获攻击等手段 破解获取用户身份信息的可能性。从外部的输入来看,生物特征可以认为是随机密码,完全可以代替原有的PIN码, 同时由于其随机性又可以作为动态密码来防止被木马等黑客行为截获利用。同时作为脱机 系统挂接传感器系统共同使用时由于其应用环境的独立性无法被远程截获破解,同时由于 需要验证使用者的生物特征因此也不用担心遗失或被盗等人为盗用行为真正做到了使用 者对终端的确认。解决了以前只能做到设备对终端的确认。作为优选,用户密钥放在用户域,核心程序放在只执行程序区,用户生物特征等数 据放在保护数据区,其他数据放在开放数据区,用户COS程序放在一般程序区,在量产时将 JTAG锁止域锁定后外部没有任何方法来非法获取内部数据,也无法通过芯片剖片拍照的方 式获取内部存储的数据,具有高安全性。CPU通过指令Cache读取并执行程序区代码,存储 区域的数据通过加解密通道进行加密存储及解密读出,该加密通道可通过寄存器来配置设 定,同时具有存储器保护功能,防止代码或数据被意外修改。通过内嵌的Flash逻辑控制部 分简称EFC,用户可以实现对内嵌Flash的读操作、擦除操作以及编程操作等基本操作,还 可以实现对内嵌Flash的加密、保护和限制等特殊功能。本发明所述的这种带生物特征识别功能的身份认证系统的认证方法,通过片上生 物特征比对的方法实现对设备持有人身份的认证,通过PKI系统实现设备中存储的个人身 份对银行终端的安全认证,具体步骤如下一、生产及发行初始化流程如下1)发行机构和/或其指定机构完成相关COS系统的开发及烧录后提供给发行机 构;2)发行机构通过外部主控系统采集申请用户的生物特征信息,包括指纹和或 CMOS和或虹膜和或静脉等;3)发行机构根据用户申请生成包含生物特征信息的数字证书;4)发行机构主控系统通过设备对外通讯单元105与设备通讯,将该数字证书加密写入到带MPU保护功能的片上存储器104上;该下载过程可以为有线方式包括USB和/或 UART和/或SPI和/或I2C、无线方式包括Internet和/或Wap和/或NFC等方式;5)初始化完成。二、实现设备持有人对银行终端的认证的流程如下1)外部主控系统通过人机交互控制单元106采集外部传感器生物信息,或设备 CPU主控单元101通过人机交互控制单元106采集外部传感器生物信息;传感器包括指纹 采集器和或CMOS采集器和或虹膜采集器和或静脉采集器等;2)外部主控系统根据获取到生物信息并提取其特征A,生成包括指纹、面相、虹 膜、静脉等在内的生物特征;3)外部主控系统通过对外通讯单元105将上述生物特征传输到CPU主控单元 101 ;4)CPU主控单元101读取带MPU保护功能的片上存储器104上的用户生物特征信 息B,并通过硬件加解密单元103对读出的用户特征信息解密;5) CPU主控单元101运行生物特征比对算法完成生物特征A与生物特征B的比对, 如果比对失败则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对失败应 答包,并记录失败次数。如果连续比对失败超过系统设定的χ次,则系统自动锁定。如果比 对成功则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对成功应答包, 同时发送PKI体系所需要的加密后的用户数字证书给外部主控系统。6)外部主控系统成功获取到硬件身份认证芯片返回的加密用户数字证书后通过 有线方式包括USB和/或UART和/或SPI和/或I2C、无线方式包括Internet和/或Wap 和/或NFC等方式将信息发送到银行终端完成设备持有人的身份认证。7)认证成功。作为优选的,所述身份认证系统包括所述SOC芯片、设有按键的液晶屏、PC电脑及 银行终端,所述SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、带MPU保 护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元,安全认证, 具体步骤如下所述PC电脑发起身份认证请求,SOC芯片接收到所述请求后,通过人机交互控制 单元或者由PC电脑控制外部传感器获取到用户生物图像信息,比对通过后发送加密后的 用户数字证书给外部PC电脑,PC电脑将用户数字证书加密发送到银行终端,银行终端确认 用户身份后将交易成功与否及交易数据的信息加密返回给PC电脑,PC电脑通过SOC芯片 在设有按键的液晶屏上显示交易信息,用户核对无误后完成交易。作为优选的,所述身份认证系统包括所述SOC芯片、SD卡从接口、手持设备主控芯 片、生物识别传感器以及银行终端。SOC芯片包括所述CPU主控单元、系统控制单元、硬件加 解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器 控制单元,安全认证,具体步骤如下所述手持设备主控芯片发起身份认证请求,通过手持设备主控芯片的SD卡从接 口与SOC芯片进行通讯,完成身份认证请求;SOC芯片接收到身份验证的请求后,等待手持 设备主控芯片从传感器上采集生物图像信息,该图像信息通过SOC芯片进行比对,通过后 发送加密后的用户数字证书给外部手持设备主控芯片,手持设备主控芯片将用户数字证书
9加密发送到银行终端,银行终端5确认用户身份后将交易成功与否及交易数据的信息加密 返回给手持设备主控芯片,手持设备主控芯片通过软件控制在手持设备的液晶屏上显示交 易信息,用户核对无误后完成交易。作为优选的,该认证系统包括SOC芯片,SD卡从接口,USB转SD卡芯片,生物识别 传感器,PC电脑,手持设备主控芯片以及银行终端,所述SOC芯片包括所述CPU主控单元、 系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互 控制单元、外部存储器控制单元;安全认证,具体步骤如下所述手持设备主控芯片或由PC电脑通过USB转SD卡芯片发起身份认证请求,通 过SD卡接口与SOC芯片进行通讯,完成身份认证请求;SOC芯片接收到身份验证的请求后, 等待手持设备主控芯片或PC电脑从传感器上采集生物图像信息,该图像信息通过SOC芯片 进行比对,比对通过后SOC芯片发送加密后的用户数字证书给外部手持设备主控芯片或PC 电脑,手持设备主控芯片或PC电脑将用户数字证书加密发送到银行终端,银行终端确认用 户身份后将交易成功与否及交易数据的信息加密返回给手持设备主控芯片或PC电脑,手 持设备主控芯片通过软件控制在手持设备的液晶屏上显示交易信息,或PC电脑通过显示 屏显示交易信息,用户核对无误后完成交易。作为优选的,该认证系统包括SOC芯片、智能卡接口、读/写卡设备、生物特征采集 设备以及银行终端,所述SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、 带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元, 所述所述智能卡接口包括IC和或SIM和或RFID卡;安全认证,具体步骤如下所述读/写卡设备发起身份认证请求,通过读/写卡设备的智能卡接口与SOC芯 片进行通讯,完成身份认证请求,SOC芯片接收到身份验证的请求后,等待读/写卡设备从 生物特征采集设备上采集生物图像信息,该图像信息通过SOC芯片进行比对,通过后SOC芯 片发送加密后的用户数字证书给外部读/写卡设备,读/写卡设备将用户数字证书加密发 送到银行终端,银行终端确认用户身份后将交易成功与否及交易数据的信息加密返回给读 /写卡设备,读/写卡设备通过软件控制在读/写卡设备显示和/或打印出交易信息,用户 核对无误后完成交易。作为优选的,该所述认证系统包括SOC芯片、传感器、存储介质以及PC电脑,所述 SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存 储器、对外通讯单元、人机交互控制单元、外部存储器控制单元,安全认证,具体步骤如下所述认证系统通过PC电脑取电,上电后SOC芯片1加载上位机软件到PC电脑运 行,由加载到PC电脑上的软件向SOC芯片发起身份认证请求,SOC芯片将采集到的生物信 息进行比对,比对通过后存储介质与PC电脑之间实现数据交流。作为优选的,所述认证系统为Micro SD卡形式,包括SOC芯片、NFC控制器、存储介 质、天线、MicroSD卡接口以及USB接口,SOC芯片为芯片形式和/或Mini SD卡和/或DIE 形式,NFC控制器包括芯片和/或模块,天线包括PCB天线和/或印刷软质薄型天线,存储介 质包括并行接口或四通道串行SPI接口 Nandflash,Micro SD卡接口为可与外部SD Host 设备通讯的接口,USB接口 6为与PC电脑直接相连的接口。作为优选的,所述认证系统包括基于SOC芯片的Mini SD卡、手机SD卡接口、手机 内置NFC芯片组、手机主控芯片、传感器、POS机以及银联CUPMobile系统。安全认证,具体步骤如下所述认证系统由手机主控芯片发起身份认证请求,手机主控芯片通过传感器获取 生物特征图像,通过SOC芯片比对通过后,用户信息通过手机SD卡接口到手机主控芯片, 然后通过WAP或GPRS传输到银联CUPMobile系统;或用户信息通过手机SD卡接口到手机 主控芯片然后通过手机内置NFC芯片组发送到POS机,然后发送到CUPMobile系统,完成认 证,用户交易成功后将交易信息发送到手机主控芯片通过手机屏幕显示,完成交易。本发明有益的效果是1、解决现有安全产品PIN码的安全漏洞,从根本解决了个人身份的认证,安全性 高;生物特征片上比对(match on card/chip)2、从硬件上保障用户个人信息不通过逻辑攻击、边频攻击、物理攻击等手段被破 解;频率检测(FD)3、从硬件上保障用户个人信息安全存储并且不通过芯片剖片拍照等手段被破解。带MPU保护功能的片上存储器4、通过各种方式的封装可方便应用在PC、手持设备(如P0S/PDA/手机)、加密存 储、身份认证加密智能卡等领域;5、可有效避免交易信息在送到个人身份认证终端时被篡改的漏洞。通过人机交 互界面6、通过软件的方式可方便实现在现有应用终端实现更高安全的个人信息保护,避 免大量应用终端如PC、手机等产品的升级改造。
图1是本发明的系统方框结构示意图;图2是本发明带MPU保护功能的片上存储器的方框示意图;图3是本发明生产及发行初始化流程示意图;图4是本发明中实现设备持有人对银行终端的认证的流程示意图;图5带片上生物识别功能的身份认证USB Key 1 ;图6带片上生物识别功能的身份认证USB Key 2 ;图7带片上生物识别功能的身份认证SD卡;图8PC及手持设备通用带片上生物识别功能的身份认证Key ;图9带片上生物识别功能的身份认证智能卡;图10带片上生物识别身份认证功能的加密存储设备1 ;图11带片上生物识别身份认证功能的加密存储设备2 ;图12安全U盘、智能卡、安全支付Key—体机设备;图13带片上生物识别身份认证功能的手机支付方案。
具体实施例方式下面结合附图和实施例对本发明作进一步说明请参阅图1至2所示,本发明所述带生物特征识别功能的身份认证系统,包括CPU 主控单元101、系统控制单元102、硬件加解密单元103、带MPU保护功能的片上存储器104、对外通讯单元105、人机交互控制单元106、外部存储器控制单元107、PKI系统108和传感 器系统109 ;所述传感器系统单元109包括指纹和或面部和或虹膜等生物特征采集传感器,如 CMOS、半导体指纹传感器、摄像头等面部、虹膜采集传感器,组成的最小单元。还可包括控制 传感器并生成特征的MCU组成的特征采集生成模组单元;所述PKI系统108包括利用PKI体系完成数字签名所需的软、硬件系统;所述CPU主控单元101主要为各种底层软件COS及生物识别算法软件提供硬件执 行的平台,包括主控CPU内核及ROM、RAM、CACHE等;所述系统控制单元102主要为系统运行及防止非法破解攻击提供必须的硬件设 备。主要包括电源、功耗控制单元、ROSC(片上环振)和/或OSC(片上振荡器)、PLL、FD (频 率检测)等功能;可单颗芯片实现最小系统;所述硬件加解密单元103主要为保护个人信息和数据信息的安全存储及传输所 需的各种加解密算法,包括软件算法和/或硬件算法和/或软硬结合的算法。该单元主要 包括随机数模块、各种硬件加解密算法,如RSA、AES、DES、SMl、HASH等算法;可采用软硬件 结合的方式,成本低、速度快。请参阅图2所示,所述带MPU保护功能的片上存储器104主要为实现个人信息、数 据、程序、密钥、系统参数等数据的安全存储及安全访问,可有效防止程序及数据被破解。该 单元主要包括存储器逻辑控制部分及存储介质部分,其中存储器逻辑控制部分主要包含加 解密控制、擦除控制、逻辑分区控制及读写权限控制等。可实现对存储介质的读、写、擦除、 写入保护、读保护、数据加解密等操作;存储介质部分可划分成JTAG锁止域、用户域、唯一 序列号域、开放数据区、保护数据区、一般程序区、只执行程序区、配置参数区。其中JTAG锁 止域、用户域、唯一序列号域为一次性写入区域,写入数据后不能修改。JTAG锁止域设定后 不能通过JTAG接口仿真调试程序,保证芯片内部信息不被读出,用户域允许用户一次性写 入数据,序列号域存放唯一序列号。保护数据区可加密存储区,只执行程序区CPU只可执行 程序不可读出,所有区域都具有写使能保护功能。所述对外通讯单元105主要为系统软件与外部控制设备进行通讯及数据交换。该 通讯单元包括SD卡主接口、SD卡从接口、USB接口、UART接口或NFC接口等;其中NFC接口 为非接触式通讯接口;所述人机交互控制单元106主要为系统软件获取外部设备信息及状态、控制和/ 或指示外部设备。该单元主要包括通用10、液晶屏控制、按键扫描、指示控制、传感器驱动控 制、等控制接口 ;所述外部存储器控制单元107主要为实现较大容量的数据安全存放,可通过硬件 加解密单元103完成对数据流的加解密。所述外部存储器控制单元107包括Nandflash 并行控制接口、串行flash SPI/SQI接口或SATA/IDE接口。CPU可通过总线直接访问多片 Nandflash0OTP存储区采用Antifuse型0ΤΡ/ΜΤΡ,与普通电荷型的OTP、EEI3ROM或FLASH相比 具有极高的良率、极高的可靠性(即不丢失数据)、极高的安全性(即抗反向设计,抗芯片剖 片拍照)。用户密钥放在用户域,核心程序放在只执行程序区,用户生物特征等数据放在保
12护数据区,其他数据放在开放数据区,用户COS程序放在一般程序区,在量产时将JTAG锁止 域锁定后外部没有任何方法来非法获取内部数据,也无法通过芯片剖片拍照的方式获取内 部存储的数据,具有高安全性。CPU通过指令Cache读取并执行程序区代码,存储区域的数 据通过加解密通道进行加密存储及解密读出,该加密通道可通过寄存器来配置设定,同时 具有存储器保护功能,防止代码或数据被意外修改。通过内嵌的Flash逻辑控制部分简称 EFC,用户可以实现对内嵌Flash的读操作、擦除操作以及编程操作等基本操作,还可以实 现对内嵌Flash的加密、保护和限制等特殊功能。请参阅图3至4所示,本发明所述的这种带生物特征识别功能的身份认证系统的 认证方法,通过片上生物特征比对的方法实现对设备持有人身份的认证,通过PKI系统实 现设备中存储的个人身份对银行终端的安全认证,具体步骤如下一、生产及发行初始化流程如下1)发行机构和/或其指定机构完成相关COS系统的开发及烧录后提供给发行机 构;2)发行机构通过外部主控系统采集申请用户的生物特征信息,包括指纹和或 CMOS和或虹膜和或静脉等;3)发行机构根据用户申请生成包含生物特征信息的数字证书;4)发行机构主控系统通过设备对外通讯单元105与设备通讯,将该数字证书加密 写入到带MPU保护功能的片上存储器104上;该下载过程可以为有线方式包括USB和/或 UART和/或SPI和/或I2C、无线方式包括Internet和/或Wap和/或NFC等方式;5)初始化完成。二、实现设备持有人对银行终端的认证的流程如下1)外部主控系统通过人机交互控制单元106采集外部传感器生物信息,或设备 CPU主控单元101通过人机交互控制单元106采集外部传感器生物信息;传感器包括指纹 采集器和或CMOS采集器和或虹膜采集器和或静脉采集器等;2)外部主控系统根据获取到生物信息并提取其特征A,生成包括指纹、面相、虹 膜、静脉等在内的生物特征;3)外部主控系统通过对外通讯单元105将上述生物特征传输到CPU主控单元 101 ;4)CPU主控单元101读取带MPU保护功能的片上存储器104上的用户生物特征信 息B,并通过硬件加解密单元103对读出的用户特征信息解密;5) CPU主控单元101运行生物特征比对算法完成生物特征A与生物特征B的比对, 如果比对失败则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对失败应 答包,并记录失败次数。如果连续比对失败超过系统设定的χ次,则系统自动锁定。如果比 对成功则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对成功应答包, 同时发送PKI体系所需要的加密后的用户数字证书给外部主控系统。6)外部主控系统成功获取到硬件身份认证芯片返回的加密用户数字证书后通过 有线方式包括USB和/或UART和/或SPI和/或I2C、无线方式包括Internet和/或Wap 和/或NFC等方式将信息发送到银行终端完成设备持有人的身份认证。7)认证成功。
实施例1 本发明一种生物特征识别功能的身份认证系统及其认证方法,如图5所示为带片 上生物识别功能的身份认证USB Key装置,以下简称UKey。该装置包括SOC芯片1,生物识 别传感器2,设有按键的液晶屏3,PC电脑4,银行终端5。所述SOC芯片1包括CPU主控单 元101、系统控制单元102、硬件加解密单元103、带MPU保护功能的片上存储器104、对外通 讯单元105、人机交互控制单元106、外部存储器控制单元107 ;所述MeyPC电脑4发起身 份认证请求,通过PC电脑4的USB接口与SOC芯片1的对外通讯单元105进行通讯,完成 身份认证请求;SOC芯片1接收到身份验证的请求后,通过人机交互控制单元106控制外部 传感器获取到用户生物图像信息,该信息经过生物特征提取算法生成特征A,然后与存储在 带MPU保护功能的片上存储器104上用户特征信息B进行比对,如果连续多次比对不通过 则SOC芯片1内的COS将锁定设备,不再工作。如果比对通过则CPU主控单元101通过对外 通讯单元105向外部主控系统返回比对成功应答包,同时发送PKI体系所需要的加密后的 用户数字证书给外部PC电脑4。PC电脑4将用户数字证书加密发送到银行终端5,银行终 端5确认用户身份后将交易成功与否及交易数据的信息加密返回给PC电脑4,PC电脑4通 过对外通讯单元105将交易信息发送给SOC芯片1的CPU主控单元101,CPU主控单元101 控制人机交互控制单元106在设有按键的液晶屏3上显示交易信息,用户核对无误后完成 交易。该实施例可进一步演变成如图6所示实施例,将传感器2的控制权由SOC芯片1 转交给PC电脑4。具体流程为所述Mey PC电脑4发起身份认证请求,通过PC电脑4的 USB接口与SOC芯片1的对外通讯单元105进行通讯,完成身份认证请求;SOC芯片1接收 到身份验证的请求后,等待PC电脑4从传感器2上采集生物图像信息,该图像信息在PC电 脑4生成生物特征A后通过对外通讯单元105发送给CPU主控单元101,或PC电脑4将采 集到的生物图像信息通过对外通讯单元105发送给SOC芯片1后,由其CPU主控单元101 运行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的片上存储器104上用 户特征信息B进行比对,如果连续多次比对不通过则SOC芯片1内的COS将锁定设备,不再 工作。如果比对通过则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对 成功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外部PC电脑4。PC电脑 4将用户数字证书加密发送到银行终端5,银行终端5确认用户身份后将交易成功与否及交 易数据的信息加密返回给PC电脑4,PC电脑4通过对外通讯单元105将交易信息发送给 SOC芯片1的CPU主控单元101,CPU主控单元101控制人机交互控制单元106在液晶屏3 上显示交易信息,用户核对无误后完成交易。以上实施例可在具有传感器(如CMOS和或指纹传感器)的设备上直接通过对SOC 芯片1的软件升级即可完成高安全级别的身份认证功能。避免了 USB Key设备及PC、笔记 本等终端设备的硬件升级改造。实施例2:本发明一种生物特征识别功能的身份认证系统及其认证方法,如图7所示为带片 上生物识别功能的身份认证SDKey装置,以下简称SDKey。该装置包括SOC芯片1,SD卡从 接口 2,手持设备主控芯片3,生物识别传感器4,银行终端5。所述SDKey手持设备主控芯 片3发起身份认证请求,通过手持设备主控芯片3的SD卡接口与SOC芯片1的对外通讯单元105进行通讯,完成身份认证请求;SOC芯片1接收到身份验证的请求后,等待手持设备 主控芯片3从传感器4上采集生物图像信息,该图像信息在手持设备主控芯片3生成生物 特征A后通过对外通讯单元105发送给CPU主控单元101,或手持设备主控芯片3将采集 到的生物图像信息通过对外通讯单元105发送给SOC芯片1后,由其CPU主控单元101运 行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的片上存储器104上用户 特征信息B进行比对,如果连续多次比对不通过则SOC芯片1内的COS将锁定设备,不再工 作。如果比对通过则CPU主控单元101通过对外通讯单元105向外部主控系统返回比对成 功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外部手持设备主控芯片3。 手持设备主控芯片3将用户数字证书加密发送到银行终端5,银行终端5确认用户身份后将 交易成功与否及交易数据的信息加密返回给手持设备主控芯片3,手持设备主控芯片3通 过软件控制在手持设备的液晶屏上显示交易信息,用户核对无误后完成交易。以上实施例可利用现有部分手持设备具备传感器(如CMOS和或指纹传感器等) 的特性,直接通过对SOC芯片1的软件升级即可完成高安全级别的身份认证功能。避免了 大量手持设备如手机等终端设备的硬件升级改造,有利于普及推广。实施例3:本发明一种生物特征识别功能的身份认证系统及其认证方法,如图8所示为PC及 手持设备通用带片上生物识别功能的身份认证Key,以下简称SmartSDKey。该装置包括SOC 芯片1,SD卡从接口 2,USB转SD卡芯片3,生物识别传感器4,PC电脑5,手持设备主控芯 片6,银行终端7。所述SmartSDKey手持设备主控芯片6或由PC电脑5通过USB转SD卡 芯片3发起身份认证请求,通过SD卡接口与SOC芯片1的对外通讯单元105进行通讯,完 成身份认证请求;SOC芯片1接收到身份验证的请求后,等待手持设备主控芯片6或PC电脑 5从传感器4上采集生物图像信息,该图像信息在手持设备主控芯片6或PC电脑5上生成 生物特征A后通过对外通讯单元105发送给CPU主控单元101。或手持设备主控芯片6或 PC电脑5将采集到的生物图像信息通过对外通讯单元105发送给SOC芯片1后,由其CPU 主控单元101运行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的片上存 储器104上用户特征信息B进行比对,如果连续多次比对不通过则SOC芯片1内的COS将 锁定设备,不再工作。如果比对通过则CPU主控单元101通过对外通讯单元105向外部主 控系统返回比对成功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外部手 持设备主控芯片6或PC电脑5。手持设备主控芯片6或PC电脑5将用户数字证书加密发 送到银行终端5,银行终端5确认用户身份后将交易成功与否及交易数据的信息加密返回 给手持设备主控芯片6或PC电脑5,手持设备主控芯片6通过软件控制在手持设备的液晶 屏上显示交易信息,或PC电脑5通过显示屏显示交易信息,用户核对无误后完成交易。实施例4:本发明一种生物特征识别功能的身份认证系统及其认证方法,如图9所示为带片 上生物识别功能的身份认证智能卡装置,以下简称SmartCard装置。该装置包括SOC芯片 1,智能卡接口 2 (包括IC/SIM/RFID卡等),读/写卡设备3,生物特征采集设备4,银行终端 5。所述SmartCard装置读/写卡设备3发起身份认证请求,通过读/写卡设备3的智能卡 接口 2与SOC芯片1的对外通讯单元105进行通讯,完成身份认证请求;其中通讯方式符合 包括ISO 7816和/或ISO 14443等在内的接触或非接触式协议。SOC芯片1接收到身份验证的请求后,等待读/写卡设备3从生物特征采集设备4上采集生物图像信息,该图像信息 在读/写卡设备3生成生物特征A后通过对外通讯单元105发送给CPU主控单元101,或 读/写卡设备3将采集到的生物图像信息通过对外通讯单元105发送给SOC芯片1后,由 其CPU主控单元101运行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的 片上存储器104上用户特征信息B进行比对,如果连续多次比对不通过则SOC芯片1内的 COS将锁定设备,不再工作。如果比对通过则CPU主控单元101通过对外通讯单元105向外 部主控系统返回比对成功应答包,同时发送PKI体系所需要的加密后的用户数字证书给外 部读/写卡设备3。读/写卡设备3将用户数字证书加密发送到银行终端5,银行终端5确 认用户身份后将交易成功与否及交易数据的信息加密返回给读/写卡设备3,读/写卡设备 3通过软件控制在读/写卡设备显示和/或打印出交易信息,用户核对无误后完成交易。以上实施例可利用通过对现有的读/写卡设备如POS等设备增加生物特征采集设 备(如CMOS和或指纹传感器等模块)并通过对现有读/写卡设备的软件升级即可使现有 读/写卡设备具备高安全级别的身份认证功能。同时通过修改SOC芯片1的底层软件COS 可方便支持电子钱包等在内的近距离刷卡消费。实施例5:本发明一种生物特征识别功能的身份认证系统及其认证方法,如图10所示为带 片上生物识别身份认证功能的加密存储设备,以下简称加密存储装置。该装置包括SOC芯 片1,传感器2(包括CMOS和或指纹传感器等),存储介质3,PC电脑4。所述加密存储装置 通过PC的USB取电,上电后SOC芯片1通过USB接口加载上位机软件到PC电脑端运行,由 加载到PC电脑4上的软件通过USB向SOC芯片1发起身份认证请求,SOC芯片1通过人机 交互控制单元106采集生物信息,然后通过CPU主控单元101运行相关生物识别算法生成 特征A。然后与存储在带MPU保护功能的片上存储器104上用户特征信息B进行比对,如果 比对不通过则SOC芯片1通过对外通讯单元105向PC电脑4发送失败应答包,则PC电脑 4端将不能显示U盘等盘符,用户不能访问该设备;如果比对通过则CPU主控单元101通过 对外通讯单元105向PC电脑4发送返回比对成功应答包,PC电脑4端显示U盘盘符,用户 可访问该设备。此时存储在存储介质中的数据通过外部存储器控制单元107将加密后的数 据通过硬件加解密单元103解密后由CPU主控单元101通过对外通讯单元105的USB接口 读出显示在PC上。对加密存储装置的写操作过程由PC电脑端通过USB接口发送需保存的 文件道SOC芯片1的CPU主控单元101,CPU主控单元101调用硬件加解密单元103将数据 流进行加密后通过外部存储器控制单元107将数据存储在存储介质3上。以上实施例可完成小容量加密存储的需求,实现了对数据流的加密,该存储介质 内的数据为加密数据,为高密存储,其加密密钥为存储在带MPU保护功能的片上存储器104 上唯一用户密钥。通过身份认证及加密安全存储可确保用户信息的安全。该实施例可进一步演变成如图11所示实施例。该装置包括SOC芯片1,传感器 2 (包括CMOS和或指纹传感器等),USB3. 0转SATA芯片3,移动硬盘4,PC电脑5。所述加 密存储装置通过PC的双USB线取电,SOC芯片1与USB3. 0转SATA芯片3都通过USB与PC 电脑5相连,SOC芯片1控制USB3. 0转SATA芯片3和传感器2。装置上电后SOC芯片1通 过USB接口加载上位机软件到PC电脑端运行,由加载到PC电脑4上的软件通过USB向SOC 芯片1发起身份认证请求,SOC芯片1通过人机交互控制单元106采集生物信息,然后通过CPU主控单元101运行相关生物识别算法生成特征A。然后与存储在带MPU保护功能的片上 存储器104上用户特征信息B进行比对,如果比对不通过则人机交互控制单元106发送信 号控制USB3. 0转SATA芯片3不能连同移动硬盘4与PC电脑5,同时SOC芯片1通过对外 通讯单元105向PC电脑5发送失败应答包,则用户不能访问该移动硬盘;如果比对通过则 CPU主控单元101通过人机交互控制单元106发送信号控制USB3. 0转SATA芯片3连同移 动硬盘4与PC电脑5,同时对外通讯单元105向PC电脑4发送返回比对成功应答包,PC电 脑4端显示相应移动硬盘盘符,用户可读写该移动硬盘。加载到PC端的软件可选择对移动 硬盘内的数据是否进行加密存储,加密存储过程如下S0C芯片1调用硬件加解密单元103 生成的唯一密钥,在PC端运行加密算法对文件进行加密后通过USB3. 0转SATA芯片3存储 到移动硬盘4中。其中加密密钥的传输是通过加密方式传输到PC电脑5的,可有效防止被 截获破解。移动硬盘加密文件的解密过程如下PC电脑5在读取移动硬盘4加密文件时自 动关联运行SOC芯片1加载到PC电脑5端的软件,要求用户输入指纹解密,用户按要求输 入指纹验证成功后(验证过程同上),PC电脑5用SOC芯片1的唯一密钥解密后文件以明 文方式读出,用户修改加密文件后保存过程见上一步加密存储过程。以上实施例可完成大容量加密存储速度及安全的需求,同时可满足用户对部分保 密信息的安全保护,这样即不影响用户正常使用又可满足用户对信息安全的保护需求。密 钥来自芯片端可有效保证加密信息不被非法破解。实施例6:本发明一种生物特征识别功能的身份认证系统及其认证方法,如图12所示为安 全U盘、智能卡、安全支付Key —体机设备,以下简称一体机设备。该装置包括SOC芯片1, NFC控制器2,存储介质3,天线4,Micro SD卡接口 5,USB接口 6,带孔可拆除结构7。所述 一体机设备主要为Micro SD卡形式,其中SOC芯片1包括芯片形式和/或Mini SD卡和/ 或DIE形式,其中NFC控制器2包括芯片和/或模块,天线4包括PCB天线和/或印刷软质 薄型天线,存储介质3包括并行接口或四通道串行SPI接口 Nandflash,Micro SD卡接口 5 为可以为与外部SD Host设备通讯的接口,USB接口 6可以为与PC电脑直接相连的接口, 带孔可拆除结构7包括塑料件和/或金属件,带孔可拆卸,拆卸下后可方便USB直接插入PC 电脑端,同时小孔可方便挂在钥匙环上方便随身携带。应用领域近距离现场支付、手机远 程支付、电脑USBKey认证、安全存储。近距离现场支付流程见实施例4 ;
手机远程支付流程见实施例2 ;电脑USB Key认证流程见实施例1 ;安全存储流程见实施例5。实施例7:本发明一种生物特征识别功能的身份认证系统及其认证方法,如图13所示为带 片上生物识别身份认证功能的手机支付方案,以下简称带生物认证的手机支付装置。该装 置包括基于安全芯片的Mini SD卡1,手机SD卡接口 2,手机内置NFC芯片组3,手机主控 芯片4,传感器5,POS机6,银联CUPMobile系统7。在本实施方式中,所述传感器5可以为 CMOS传感器或指纹传感器。在其他实施方式中,所述传感器5可以为如CMOS、半导体指纹 传感器、摄像头等面部、虹膜采集传感器,组成的最小单元。所述带生物认证的手机支付装置由手机主控芯片4上的支付软件发起身份认证请求,手机主控芯片4通过CMOS传感器5 获取用户面部图像或通过指纹传感器6获取指纹图像,生成特征A,然后通过手机SD卡接 口 2将特征A传输到Mini SD卡1中的CPU中,或者将手机主控芯片4采集到的面部图像 或指纹图像通过手机SD卡接口 2传输到Mini SD卡1中的CPU中生成特征A。Mini SD卡 1中的CPU调用带MPU保护功能的片上存储器特征B到CPU中,CPU运行对应的算法比对特 征。比对通过后,用户信息通过b通道经过SD卡接口 2到手机主控芯片4然后通过WAP或 GPRS传输到银联CUPMobile系统7,或用户信息通过b通道经过SD卡接口 2到手机主控芯 片4然后通过手机内置NFC芯片组3通过ISO 14443即c通道发送到POS机6然后通过其 收单前置端发送到CUPMobile系统7,完成认证。用户交易成功后将交易信息发送到手机主 控芯片4通过手机屏幕显示,完成交易。术语解释USB Key :USB接口的硬件设备。SDKey 带身份识别功能的SD卡。OTP :one time program( 一次性编程)。CPRM Content Protection Recordable Media 内才户"SJi己 Μ。骗签指安全认证设备在持有人PC或手持设备等交易平台上被非法用户通过木 马等手段完成非持有人操作的安全认证设备对交易终端的签名认证过程。主要方式为通过 木马截获Pin码的输入后,利用持有人认证设备完成认证后进行转账等交易。NFC符合NFCIP-2标准,支持非接触式的支付,提供NFC双向通信,任意两张支付卡 可以互相读写(主动模式和被动模式),支持Ρ2Ρ点对点通信,支持非接触式的支付,工作在 13. 56MHz频段,支持IS0/IEC14443 (A)/MIFARE机制,传输距离5CM左右,电池可以充电,支 持省电模式。BVCI 总线的一种。MPU =Memory Protection Unit 存储器保护单元。OTA :0ver-the-air(0TA-无线下载),空中下载。CUPS 中国银联银行卡信息交换系统。芯片剖片拍照属于芯片物理攻击的版图重构中的一种。逻辑攻击逻辑攻击的主要方法是对外处理器的通信接口进行分析,以其发现智 能卡协议、密码算法及其实现过程中所潜藏的逻辑缺陷,包括潜藏未用的命令、不良参数与 缓冲器溢出、文件存取漏洞、恶意进程、通信协议和加密协议的设计与执行过程中插入窃听 程序,利用这些缺陷诱骗卡泄露机密数据或允许非期望的数据修改。边频攻击边频攻击是通过观察电路中的某些物理量如能量消耗、电磁辐射、时间 等的变化规律来分析智能卡的加密数据。物理攻击物理攻击的主要方法包括微探针技术、版图重构、聚离子束(FLB),物 理攻击是实现成功探测的强有力手段。 除上述实施例外,本发明还可以有其他实施方式。凡采用等同替换或等效变换形 成的技术方案,均落在本发明要求的保护范围。
18
权利要求
一种带生物特征识别功能的身份认证系统,其特征在于包括CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元、PKI系统和传感器系统;所述传感器系统单元包括指纹和或面部和或虹膜生物特征采集传感器,控制传感器并生成特征的MCU组成的特征采集生成模组单元;所述PKI系统包括利用PKI体系完成数字签名所需的软、硬件系统;所述CPU主控单元用于为各种底层软件COS及生物识别算法软件提供硬件执行的平台;所述系统控制单元用于为系统运行及防止非法破解攻击提供必须的硬件设备;所述硬件加解密单元用于保护个人信息和数据信息的安全存储及传输所需的各种加解密算法;所述带MPU保护功能的片上存储器用于实现个人信息、数据、程序、密钥、系统参数数据的安全存储及安全访问;该单元包括存储器逻辑控制部分及存储介质部分,其中存储器逻辑控制部分包含加解密控制、擦除控制、逻辑分区控制及读写权限控制,对存储介质的读、写、擦除、写入保护、读保护、数据加解密操作;存储介质部分划分成JTAG锁止域、用户域、唯一序列号域、开放数据区、保护数据区、一般程序区、只执行程序区、配置参数区;其中JTAG锁止域、用户域、唯一序列号域为一次性写入区域,写入数据后不能修改;JTAG锁止域设定后不能通过JTAG接口仿真调试程序,用户域允许用户一次性写入数据,序列号域存放唯一序列号;保护数据区加密存储区,只执行程序区CPU只可执行程序不可读出,所有区域都具有写使能保护功能;所述对外通讯单元用于系统软件与外部控制设备进行通讯及数据交换;所述人机交互控制单元用于系统软件获取外部设备信息及状态、控制和/或指示外部设备;所述外部存储器控制单元用于实现较大容量的数据安全存放,通过硬件加解密单元完成对数据流的加解密。
2.根据权利要求1所述的带生物特征识别功能的身份认证系统,其特征是用户密钥 放在用户域,核心程序放在只执行程序区,用户生物特征数据放在保护数据区,其他数据放 在开放数据区,用户COS程序放在一般程序区;CPU主控单元通过指令Cache读取并执行程 序区代码,存储区域的数据通过加解密通道进行加密存储及解密读出,该加密通道通过寄 存器来配置设定。
3.一种采用如权利要求1所述的带生物特征识别功能的身份认证系统的认证方法,其 特征在于通过片上生物特征比对的方法实现对设备持有人身份的认证,通过PKI系统实 现设备中存储的个人身份对银行终端的安全认证,具体步骤如下一、生产及发行初始化流程如下1)发行机构和/或其指定机构完成相关COS系统的开发及烧录后提供给发行机构;2)发行机构通过外部主控系统采集申请用户的生物特征信息;3)发行机构根据用户申请生成包含生物特征信息的数字证书;4)发行机构主控系统通过设备对外通讯单元与设备通讯,将该数字证书加密写入到带 MPU保护功能的片上存储器上;5)初始化完成;二、实现设备持有人对银行终端的认证的流程如下1)通过人机交互控制单元采集外部传感器生物信息;2)根据获取到生物信息并提取其特征A;3)外部主控系统通过对外通讯单元将上述生物特征传输到CPU主控单元;4)CPU主控单元读取带MPU保护功能的片上存储器上的用户生物特征信息B,并通过硬 件加解密单元对读出的用户特征信息解密;5)CPU主控单元运行生物特征比对算法完成生物特征A与生物特征B的比对,如果比对 失败则CPU主控单元通过对外通讯单元向外部主控系统返回比对失败应答包,并记录失败 次数;如果连续比对失败超过系统设定的χ次,则系统自动锁定;如果比对成功则CPU主控 单元通过对外通讯单元向外部主控系统返回比对成功应答包,同时发送PKI系统所需要的 加密后的用户数字证书给外部主控系统;6)外部主控系统成功获取到硬件身份认证芯片返回的加密用户数字证书后通过有线 方式或无线方式将信息发送到银行终端完成设备持有人的身份认证;7)认证成功。
4.根据权利要求3所述的带生物特征识别功能的身份认证方法,其特征在于所述认 证系统包括SOC芯片、设有按键的液晶屏、PC电脑及银行终端,所述SOC芯片包括CPU主控 单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机 交互控制单元、外部存储器控制单元,安全认证,具体步骤如下所述的PC电脑发起身份认证请求,SOC芯片接收到所述请求后,通过人机交互控制单 元或者由PC电脑控制外部传感器获取到用户生物图像信息,比对通过后发送加密后的用 户数字证书给外部PC电脑,PC电脑将用户数字证书加密发送到银行终端,银行终端确认用 户身份后将交易成功与否及交易数据的信息加密返回给PC电脑,PC电脑通过SOC芯片在 设有按键的液晶屏上显示交易信息,用户核对无误后完成交易。
5.根据权利要求3所述的带生物特征识别功能的身份认证方法,其特征在于所述认 证系统包括所述SOC芯片、SD卡从接口、手持设备主控芯片、生物识别传感器以及银行终 端;SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片 上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元,安全认证,具体步骤如 下所述手持设备主控芯片发起身份认证请求,通过手持设备主控芯片的SD卡从接口与 SOC芯片进行通讯,完成身份认证请求;SOC芯片接收到身份验证的请求后,等待手持设备 主控芯片从传感器上采集生物图像信息,该图像信息通过SOC芯片进行比对,通过后发送 加密后的用户数字证书给外部手持设备主控芯片,手持设备主控芯片将用户数字证书加密 发送到银行终端,银行终端确认用户身份后将交易成功与否及交易数据的信息加密返回给 手持设备主控芯片,手持设备主控芯片通过软件控制在手持设备的液晶屏上显示交易信 息,用户核对无误后完成交易。
6.根据权利要求3所述的带生物特征识别功能的身份认证方法,其特征在于所述认 证系统包括SOC芯片,SD卡从接口,USB转SD卡芯片,生物识别传感器,PC电脑,手持设备 主控芯片以及银行终端,所述SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制 单元;安全认证,具体步骤如下所述手持设备主控芯片或由PC电脑通过USB转SD卡芯片发起身份认证请求,通过SD 卡接口与SOC芯片进行通讯,完成身份认证请求;SOC芯片接收到身份验证的请求后,等待 手持设备主控芯片或PC电脑从传感器上采集生物图像信息,该图像信息通过SOC芯片进行 比对,比对通过后SOC芯片发送加密后的用户数字证书给外部手持设备主控芯片或PC电 脑,手持设备主控芯片或PC电脑将用户数字证书加密发送到银行终端,银行终端确认用户 身份后将交易成功与否及交易数据的信息加密返回给手持设备主控芯片或PC电脑,手持 设备主控芯片通过软件控制在手持设备的液晶屏上显示交易信息,或PC电脑通过显示屏 显示交易信息,用户核对无误后完成交易。
7.根据权利要求3所述的带生物特征识别功能的身份认证方法,其特征在于所述认 证系统包括SOC芯片、智能卡接口、读/写卡设备、生物特征采集设备以及银行终端,所述 SOC芯片包括所述CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存 储器、对外通讯单元、人机交互控制单元、外部存储器控制单元,所述所述智能卡接口包括 IC和或SIM和或RFID卡;安全认证,具体步骤如下所述读/写卡设备发起身份认证请求,通过读/写卡设备的智能卡接口与SOC芯片进 行通讯,完成身份认证请求,SOC芯片接收到身份验证的请求后,等待读/写卡设备从生物 特征采集设备上采集生物图像信息,该图像信息通过SOC芯片进行比对,通过后SOC芯片发 送加密后的用户数字证书给外部读/写卡设备,读/写卡设备将用户数字证书加密发送到 银行终端,银行终端确认用户身份后将交易成功与否及交易数据的信息加密返回给读/写 卡设备,读/写卡设备通过软件控制在读/写卡设备显示和/或打印出交易信息,用户核对 无误后完成交易。
8.根据权利要求3所述的带生物特征识别功能的身份认证方法,其特征在于所述认 证系统包括SOC芯片、传感器、存储介质以及PC电脑,所述SOC芯片包括所述CPU主控单 元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交 互控制单元、外部存储器控制单元,安全认证,具体步骤如下所述认证系统通过PC电脑取电,上电后SOC芯片1加载上位机软件到PC电脑运行,由 加载到PC电脑上的软件向SOC芯片发起身份认证请求,SOC芯片将采集到的生物信息进行 比对,比对通过后存储介质与PC电脑之间实现数据交流。
9.根据权利要求3所述的带生物特征识别功能的身份认证方法,其特征在于所述认 证系统为MicroSD卡形式,包括SOC芯片、NFC控制器、存储介质、天线、Micro SD卡接口以 及USB接口,SOC芯片为芯片形式和/或Mini SD卡和/或DIE形式,NFC控制器包括芯片 和/或模块,天线包括PCB天线和/或印刷软质薄型天线,存储介质包括并行接口或四通道 串行SPI接口 Nandflash,Micro SD卡接口为可与外部SDHost设备通讯的接口,USB接口 6为与PC电脑直接相连的接口。
10.根据权利要求3所述的带生物特征识别功能的身份认证方法,其特征在于所述认 证系统包括基于SOC芯片的Mini SD卡、手机SD卡接口、手机内置NFC芯片组、手机主控芯 片、传感器、POS机以及银联CUPMobile系统;安全认证,具体步骤如下所述认证系统由手机主控芯片发起身份认证请求,手机主控芯片通过传感器获取生物特征图像,通过SOC芯片比对通过后,用户信息通过手机SD卡接口到手机主控芯片,然后通 过WAP或GPRS传输到银联CUPMobile系统;或用户信息通过手机SD卡接口到手机主控芯 片然后通过手机内置NFC芯片组发送到POS机,然后发送到CUPMobile系统,完成认证,用 户交易成功后将交易信息发送到手机主控芯片通过手机屏幕显示,完成交易。
全文摘要
本发明涉及一种带生物特征识别功能的身份认证系统及其认证方法,包括CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元、PKI系统和传感器系统;带MPU保护功能的片上存储器为实现个人信息、数据、程序、密钥、系统参数等数据的安全存储及安全访问。本发明有益的效果是1、解决现有安全产品PIN码的安全漏洞,从根本解决了个人身份的认证,安全性高;2、从硬件上保障用户个人信息不通过逻辑攻击、边频攻击、物理攻击等手段被破解;3、从硬件上保障用户个人信息安全存储并且不通过芯片剖片拍照等手段被破解。4、可有效避免交易信息在送到个人身份认证终端时被篡改的漏洞。
文档编号G06K9/00GK101986597SQ20101051680
公开日2011年3月16日 申请日期2010年10月20日 优先权日2010年10月20日
发明者邱柏云, 郭志 申请人:杭州晟元芯片技术有限公司