安全芯片的制作方法

本实用新型涉及生物特征识别技术领域，更具体地，涉及安全芯片。

背景技术：

诸如指纹、虹膜和脸之类的生物特征由于具有唯一性、隐私性、不可更改性等特性，在身份鉴别领域逐步被广泛应用。传统生物特征识别方案中，存储的生物特征模板含有大量生物特征原始信息，甚至有些模板就是生物特征图像，一旦生物特征模板丢失或被盗取，入侵者可以直接用生物特征模板中包含的信息通过验证，还可以在不同应用的数据库间进行交叉验证，如可以用指纹门禁系统里盗取的指纹模板信息，入侵其对应的指纹认证的个人银行账户。有的甚至可以从生物特征模板直接伪造出对应生物特征样本，如可以从指纹细节点模板伪造出对应指纹。同时，由于生物特征具有不可更改性，一旦原始信息泄露，造成的危害将会是永久性和广泛性的。因此，生物特征识别中生物特征模板的安全保护处于重要位置。

目前使用iOS和Android系统的诸如智能手机、平板电脑之类的计算设备普遍采用Trust Zone安全技术(或Secure Enclave)，其将系统环境在逻辑上分为安全区和非安全区，在安全区中进行生物特征的注册和识别操作。但是由于安全区和非安全区的划分是纯粹的逻辑划分，与生物特征有关的信息在传输、存储和计算时容易被窃取，生物特征识别的整体安全强度不足。

技术实现要素：

本实用新型的实施例提供了安全芯片，用于提高生物特征识别的安全性。

本实用新型的一方面提供了一种安全芯片，包括：传感器，用于感测生物特征信息；存储器，用于存储生物特征模板；以及信号处理器，所述信号处理器与传感器和存储器相连，用于从传感器获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储器存储的生物特征模板进行特征比对，以确定生物特征识别结果，所述生物特征模板是在注册阶段由信号处理器通过从传感器获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的，其中所述传感器、存储器和信号处理器集成在所述安全芯片中。

在一些实施例中，所述信号处理器包括：图像采集模块，所述图像采集模块与传感器相连，用于从传感器感获取生物特征信息；图像预处理模块，所述图像预处理模块与图像采集模块相连，用于对图像采集模块获取的生物特征信息进行预处理以获得生物特征的灰度图；特征提取模块，所述特征提取模块与图像预处理模块和存储器相连，用于从图像预处理模块获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据，其中特征提取模块在注册阶段将生成的生物特征数据作为生物特征模板存储在存储器中；以及特征比对模块，所述特征比对模块可与特征提取模块和存储器相连，用于将特征提取模块获得的生物特征数据与存储器中存储的生物特征模板相比较，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。

在一些实施例中，所述信号处理器还包括：签名模块，所述签名模块与特征比对模块相连，用于对生物特征识别结果进行数字签名。

在一些实施例中，所述安全芯片为安全元件(Secure Element，SE)。

在一些实施例中，所述安全芯片安装在计算设备中，并与计算设备的主机系统环境物理隔离。

在一些实施例中，所述计算设备的系统环境划分为安全区和非安全区，所述安全芯片通过所述安全区或非安全区向所述计算设备发送生物特征识别结果。

在一些实施例中，所述生物特征包括指纹，所述生物特征信息包括指纹的图像信息，所述生物特征数据包括指纹的特征点数据，所述生物特征模板包括指纹特征模板。

附图说明

为了更清楚地说明本实用新型实施例的技术方案，下面将对实施例的附图作简单介绍，显而易见地，下面的描述中的附图仅涉及本实用新型的一些实施例，而非对本实用新型的限制。

图1示出了根据本实用新型的实施例的安全芯片的框图。

图2示出了根据本实用新型的实施例的安全芯片的框图。

具体实施方式

为使本实用新型实施例的目的、技术方案和优点更加清楚，下面将结合本实用新型实施例的附图，对本实用新型实施例的技术方案进行清楚、完整的描述。显然所描述的实施例是本实用新型的一部分实施例，而不是全部的实施例。基于所描述的本实用新型的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都属于本实用新型保护的范围。

图1示出了根据本实用新型的实施例的安全芯片100的框图。如图1所示，安全芯片100包括传感器110、存储器120和信号处理器130。传感器110、存储器120和信号处理器130集成在所述安全芯片中。传感器110用于感测生物特征信息。存储器120用于存储生物特征模板。信号处理器130与传感器110和存储器120相连，用于从传感器110获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储器120存储的生物特征模板进行特征比对，以确定生物特征识别结果。所述生物特征模板是在注册阶段由信号处理器130通过从传感器110获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的。

在一些实施例中，信号处理器130可以包括：图像采集模块，所述图像采集模块与传感器110相连，用于从传感器110感获取生物特征信息；图像预处理模块，所述图像预处理模块与图像采集模块相连，用于对图像采集模块获取的生物特征信息进行预处理以获得生物特征的灰度图；特征提取模块，所述特征提取模块与图像预处理模块和存储器120相连，用于从图像预处理模块获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据，其中特征提取模块在注册阶段将生成的生物特征数据作为生物特征模板存储在存储器120中；以及特征比对模块，所述特征比对模块与特征提取模块和存储器120相连，用于将特征提取模块获得的生物特征数据与存储器120中存储的生物特征模板相比较，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。

在一些实施例中，信号处理器130还可以包括：签名模块，所述签名模块与特征比对模块相连，用于对生物特征识别结果进行数字签名。

在一些实施例中，安全芯片100可以为安全元件SE。

在一些实施例中，安全芯片100可以安装在计算设备中，并与计算设备的主机系统环境物理隔离。

在一些实施例中，所述计算设备的系统环境可以划分为安全区和非安全区，安全芯片100通过所述安全区或非安全区向所述计算设备发送生物特征识别结果。

在一些实施例中，所述生物特征可以包括指纹，所述生物特征信息可以包括指纹的图像信息，所述生物特征数据可以包括指纹的特征点数据，所述生物特征模板可以包括指纹特征模板。

图2示出了根据本实用新型的实施例的安全芯片的框图。本实用新型的实施例可以适用于一种或多种生物特征的识别，生物特征的示例包括但不限于纹理(包括指纹、掌纹、静脉及相关附属特征，如汗孔等)、生物膜(如虹膜、视网膜等)、面孔、耳道、语音、体形、个人习惯(例如敲击键盘的力度和频率、签字、步态)等。在本实施例中，生物特征可以例如是指纹。

如图2所示，安全芯片200包括传感器210、存储器220和信号处理器230。传感器210、存储器220和信号处理器230集成在所述安全芯片200中。在一些实施例中，安全芯片200可以为SE。

传感器210用于感测生物特征信息。生物特征信息可以包括与诸如纹理(包括指纹、掌纹、静脉及相关附属特征，如汗孔等)、生物膜(如虹膜、视网膜等)、面孔、耳道、语音、体形、个人习惯(例如敲击键盘的力度和频率、签字、步态)等一种或多种生物特征有关的信息。例如对于指纹识别，所述生物特征信息可以包括指纹的图像信息。在本实用新型的实施例中，传感器210可以是光学传感器、半导体传感器、超声波传感器、射频识别传感器或可以感测生物特征信息的任何传感器。

存储器220用于存储生物特征模板。生物特征模板可以是在注册阶段由信号处理器230通过从传感器210获取生物特征信息并对获取的生物特征信息进行图像预处理和特征提取而生成的。在本实用新型的实施例中，存储模块220可以为非易失性存储器，例如闪存Flash、电可擦可编程只读存储器EEPROM、可擦可编程只读存储器EPROM、可编程只读存储器PROM或其他的在断电情况下能继续保留数据的磁、电存储介质。

信号处理器230与传感器210和存储器220相连，用于从传感器210获取生物特征信息、对获取的生物特信息进行图像预处理和特征提取并与存储器220存储的生物特征模板进行特征比对，以确定生物特征识别结果。

在一些实施例中，信号处理器230可以包括图像采集模块2301、图像预处理模块2302、特征提取模块2303和特征比对模块2304。可选地，信号处理器230还可以包括签名模块2305。

图像采集模块2301与传感器210相连，用于从传感器210感获取生物特征信息。例如，对于指纹，图像采集模块2201可以按照滑动采集方式或按压采集方式一次或多次从传感器感210获取指纹的图像信息。

图像预处理模块2302与图像采集模块2301相连，用于对图像采集模块图像采集模块2301获取的生物特征信息进行预处理以获得生物特征的灰度图。例如，对于指纹图像，预处理可以包括例如图像归一化、指纹有效区域分割处理、指纹方向图处理、指纹增强处理、指纹二值化处理和指纹细化处理等等。

特征提取模块2303与图像预处理模块2302和存储器220相连，用于从图像预处理模块2302获得的灰度图中提取生物特征的特征点以获得与生物特征的特征点有关的生物特征数据。例如，生物特征数据可以包括指纹的特征点数据。在生物特征模板的注册阶段，特征提取模块2303将其生成的生物特征数据作为生物特征模板存储在存储器1201中。

特征比对模块2304与特征提取模块2303和存储器220相连，用于将特征提取模块2303获得的生物特征数据与存储器220中存储的生物特征模板相比较，如果生物特征数据与生物特征模板相匹配，则确定生物特征识别结果为通过，否则确定生物特征识别结果为未通过。

签名模块2305与特征比对模块2304相连，用于对生物特征识别结果进行数字签名。在一些实施例中，数字签名可以包括：在生物特征模板注册成功后生成包括公钥和私钥的密钥对，将私钥存储在安全芯片200中(例如，存储在存储器220中)，并将公钥发送至安全芯片200外部，以及在确定生物特征识别结果后利用私钥对生物特征识别结果进行数字签名。举例来说，安全芯片200可以在模板注册成功后生成密钥对，将私钥保存在安全芯片200中，经由安全芯片200所在的应用终端，例如安装有安全芯片200的智能电话或平板电脑，将公钥发送至应用服务器。安全芯片200在确定了生物特征识别结果之后，可以利用其保存的私钥对生物特征识别结果签名，并经由其所在的应用终端将经过签名的生物特征识别结果发送至应用服务器。应用服务器利用对应的公钥来验证该经过签名的生物特征识别结果的合法性。

在一些实施例中，安全芯片200可以安装在诸如智能电话或平板电脑之类的计算设备中，并与计算设备的系统环境物理隔离。所述计算设备的系统环境可以划分为安全区和非安全区(例如，采用Trust Zone安全技术(或Secure Enclave)的智能手机或平板电脑)，安全芯片200提供的生物特征识别结果可以在所述计算设备的非安全区中传送以简化操作，也可以在安全区中传送以进一步提高安全性。当然，安全芯片200也可以安装在并未划分安全区和非安全区的计算设备中。可见，本实用新型的实施例适用于各种现有的智能手机或平板电脑等计算设备，具有较高的兼容性。

在本实用新型的实施例中，从感测开始一直到识别完成，与生物特征有关的信息均由一个集成了传感器、存储器和信号处理器的安全芯片来独立处理，与诸如智能手机或平板电脑之类的计算设备的系统环境的物理隔离，相比于传统的逻辑隔离，安全性大大提高。

在本实用新型的数量中，通过在安全芯片中集成传感器、存储器和信号处理器，提升了产品的集成度，从而降低成本和减少合封后的封装尺寸。而且，安全芯片相对于传感器的面积比例较小，将传感器集成在安全芯片中扩展安全芯片的功能性对整体面积影响不大，最终封装的安全芯片尺寸相对系统级封装(System in Package，SiP)来说具有很大的优势。

本实用新型的实施例可以直接以明文的方式提供生物特征识别结果(例如，在安全性较高的系统环境中)，也可以提供经过数字签名的生物特征识别结果，以防止开放式应用环境中的木马或病毒篡改安全芯片输出的生物特征识别结果，使得未通过指纹验证的行为被授权通过。可见，本实用新型的实施例具有灵活的实现方式，可以根据需要而配置成适合不同安全等级的系统环境。

本实用新型实施例的生物特征识别装置可以安装在各种计算设备中，例如采用Trust Zone安全技术(或Secure Enclave)的智能手机或平板电脑等。安全芯片提供的生物特征识别结果可以在计算设备的非安全区中传送(例如在系统环境的安全性较高的情况下，或者在生物特征识别结果已被签名的情况下)，当然也可以在安全区中传送以进一步提高安全性。本实用新型实施例的生物特征识别装置也可以安装在并未划分安全区和非安全区的计算设备中。可见，本实用新型的实施例适用于各种现有的智能手机或平板电脑等计算设备，具有较高的兼容性。

以上所述仅是本实用新型的示范性实施方式，而非用于限制本实用新型的保护范围，本实用新型的保护范围由所附的权利要求确定。