响应于试图访问敏感信息的认证技术的制作方法

本公开整体涉及计算机安全，更具体地涉及用于存储敏感用户信息的计算设备的认证技术。

背景技术

传统认证措施通常依赖于用户提供一个或多个凭据来证明用户的正当性。例如，试图对用户进行认证的移动设备可在允许用户访问该设备之前要求用户提供密码。为了降低对用户的负担，一些设备可要求用户提供生物特征凭据。例如，移动设备可包括被配置为收集指纹生物特征信息的指纹传感器，所述指纹生物特征信息可与所存储的已知用户的指纹信息进行比较。又如，移动设备可使用面部识别来对已知用户进行认证。生物特征认证可以是有利的，因为用户可能忘记有效密码，并且与例如输入密码或某种其他凭据相比，其允许用户更快地进行认证。

设备的注册用户或拥有者的标识可以是认证凭据(例如用户名与密码组合中的用户名)或者可被用于确定其他凭据(例如，如果试图欺骗用户的生物特征凭据的话)。因此，确定用户标识可能是想要获取对用户设备的未授权访问的恶意实体进行的第一步。例如，如果恶意个体偷窃未受照管的设备并且想要解锁该设备，则如果设备的用户是已知的，可能更容易确定其他认证因素。

技术实现要素：

本公开描述了用于基于检测到对于特定类型信息的请求而改变所要求的认证的类型的技术。例如，考虑设备公开了设备拥有者的身份而未被锁定的情形。在一些实施方案中，设备被配置为在所述公开之后要求手动输入密码来解锁设备，而不是允许生物特征认证。在各种实施方案中，所公开的技术可阻止或减少对设备的未授权访问。

附图说明

图1是根据一些实施方案示出基于生物特征数据对用户进行认证的计算设备的一个示例的框图。

图2a是根据一些实施方案示出一种用于响应于对特定信息的请求而对于动作要求不同的认证类型的示例性方法的流程图。

图2b是根据一些实施方案示出一种用于响应于检测到指示与设备相关联的用户的信息被公开而要求手动认证的示例性方法的流程图。

图2c是根据一些实施方案示出一种用于在已执行生物特征认证之后要求手动输入认证凭据的示例性方法的流程图。

图3是根据一些实施方案示出一种示例性安全电路的框图。

图4a-图4e是根据一些实施方案示出示例性用户界面的图示。

图5是根据一些实施方案示出一种存储设计信息的示例性计算机可读介质的图示。

本公开包括对“一个实施方案”或“实施方案”的提及。出现短语“在一个实施方案中”或“在实施方案中”并不一定是指同一个实施方案。特定特征、结构或特性可以与本公开一致的任何适当的方式组合。

在本公开内，不同实体(其可被不同地称为“单元”、“电路”、其他部件等等)可被描述或声称成“被配置为”执行一个或多个任务或操作。这个表达方式—被配置为[执行一个或多个任务]的[实体]—在本文中用于指代结构(即物理的事物，诸如电子电路)。更具体地，这个表达方式用于指示该结构被布置成在操作期间执行所述一个或多个任务。结构可被描述成“被配置为”执行某个任务，即使该结构当前并非正被操作。“被配置为执行认证的安全电路”旨在涵盖例如具有在操作期间执行该功能的电路系统的集成电路，即使所涉及的集成电路当前并非正被使用(例如电源未连接到它)。因此，被描述或表述成“被配置为”执行某个任务的实体是指用于实施该任务的物理的事物，诸如设备、电路、存储有可执行程序指令的存储器等等。该短语在本文中不被用于指代无形的事物。因此，“被配置为”结构在本文中不被用于指代软件实体，诸如应用编程接口(api)。

术语“被配置为”并不旨在表示“能被配置为”。例如，未经编程的fpga不会被认为是“被配置为”执行某个特定功能，虽然其可能“能被配置为”执行该功能并且在编程之后可以“被配置为”执行该功能。

所附权利要求中的表述结构“被配置为”执行一个或多个任务明确地旨在对那个权利要求元素不援引35u.s.c.§112(f)。因此，所提交的本申请中没有任何权利要求是旨在要被解释为具有装置+功能要素。如果申请人在申请过程中想要援引节段112(f)，则其将利用“用于”[执行功能]“的装置”结构来表述权利要求要素。

如本文所用，术语“第一”、“第二”等充当其之后的名词的标签，并且不暗指任何类型的排序(例如，空间的、时间的、逻辑的等)，除非有明确指出。例如，移动设备可具有第一用户和第二用户。术语“第一”并不限于设备的初始用户。在移动设备只有一个用户存在时也可使用术语“第一”。

如本文所用，术语“基于”用于描述影响确定的一个或多个因素。该术语不排除可能有附加因素可影响确定。即，确定可仅基于所指定的因素或基于所指定的因素及其他未指定的因素。考虑短语“基于b确定a”。这个短语指定b是用于确定a的因素或者其影响a的确定。这个短语并不排除a的确定也可能基于某个其他因素诸如c。这个短语还旨在涵盖a仅基于b来确定的实施方案。如本文所用，短语“基于”因此与短语“至少部分地基于”是同义的。

具体实施方式

本公开整体涉及可能与未授权用户相关联的特定用户动作的上下文中的认证技术。此类动作的示例包括请求特定类型的信息(例如标识用户的信息)、使用设备执行特定动作诸如从锁定屏幕进行紧急呼叫、设备显示联系人信息等等。个体试图偷窃设备(或在未授权的情况下访问设备上的信息)通常需要设备拥有者的标识来强行进入被锁定设备。设备本身可以各种形式存储这个信息，并且还可存储有标识多个用户或拥有者的信息。例如，设备可被配置为存储医疗信息、个体姓名、用户的联系人信息(这可通过虚拟助手应用程序明确地与拥有者相关联)、与设备相关联的电话号码等等。不幸的是，如果用户遗忘其设备而使其未受照管，则恶言者可能访问身份信息。

例如，特定信息可能在没有认证的情况下例如经由设备的锁定屏幕能够被访问。例如，虚拟助手应用程序可被配置为回答问题，而不要求解锁设备。另外，设备可将生物特征令牌发布给一个或多个元件以允许在特定时间间隔上在没有附加认证的情况下执行特定活动(例如，可向安全元件发布令牌以在没有附加认证的情况下启用移动支付)。又如，如果设备是在设备拥有者已执行了认证之后被遗忘而未受照管，则各种信息可以很容易经由设备而获得。

因此，在所公开的实施方案中，一种计算设备被配置为响应于用户试图访问特定类型信息而要求非默认形式的认证。例如，不是允许生物特征认证，设备可要求手动输入认证凭据以便解锁设备、访问所请求的信息、访问其他设备功能性等等。

图1是根据一些实施方案示出一种示例性设备100的框图。设备100例如可以是移动设备，诸如蜂窝电话或膝上型计算机。在其它实施方案中，设备100可以是固定式的，诸如台式计算机。在一些实施方案中，设备100为可穿戴设备。所公开的设备100的示例是为了解释的目的而被包括的，而并非意图要限制本公开的范围。设备100的各种元件(例如sep130和cpu110)可被包括在同一片上系统(soc)中。

在例示的实施方案中，设备100包括中央处理单元(cpu)110、存储器120、安全区域处理器130、生物特征传感器140和输入设备150。在例示的实施方案中，元件110、130、140和150被配置为经由互连器182进行通信。

在例示的实施方案中，响应于对敏感信息的请求，cpu110被配置为将请求转发给sep130。在一些实施方案中，敏感信息被存储在sep130中或由sep130控制，并且除了经由sep130之外不能被cpu110访问。在其它实施方案中，所述信息可供cpu110使用(例如被存储在存储器120中)。在例示的实施方案中，响应于该请求，sep130被配置为例如通过改变认证要求135的数值和/或撤销发布给设备100的其他元件的令牌(未明确示出)来调节认证要求。cpu110可包括一个或多个处理器内核。一般来讲，处理器内核可包括被配置为执行在由处理器实施的指令集架构中定义的指令的电路系统。处理器可与其他部件一起被实施在集成电路上，作为片上系统(soc)或其他集成水平。处理器还可包括分立的微处理器、处理器内核和/或集成到多芯片模块具体实施中的微处理器、被实施为多个集成电路的处理器等等。

应用程序125在一些实施方案中是能被cpu110执行以有利于执行用户认证的应用程序。应用程序125的执行可使cpu110与生物特征传感器140通信以执行生物特征认证。在一些实施方案中，代替cpu110或者除了cpu110之外，在生物特征认证过程中涉及sep130。存储器120在例示的实施方案中被配置为存储应用程序125的程序指令。存储器120通常可包括用于存储数据的电路系统。例如，存储器120可以是静态随机存取存储器(sram)、动态ram(dram)诸如包括双倍数据速率(ddr、ddr2、ddr3、ddr4等)dram的同步dram(sdram)。可支持ddrdram的低功率/移动版本(例如，lpddr、mddr等)。设备100可包括存储器控制器(未示出)，存储器控制器可包括存储器操作队列，用于对这些操作进行排序(并且可能重新排序)并将这些操作提供给存储器120。存储器控制器还可包括用于存储等待写到存储器的写数据和等待返回给存储器操作来源的读数据的数据缓冲器。在一些实施方案中，存储器控制器可包括用于存储最近访问的存储器数据的存储器高速缓存。在一些实施方案中，存储器120可包括能被一个或多个处理器执行以使设备100执行本文所述的各种功能性的程序指令，诸如应用程序125的指令。

在一些实施方案中，应用程序125能被执行以有利于在认证执行时sep130与设备100的用户之间的交互。因此，应用程序125在这些过程中可为用户提供各种提示，从而指示用户执行各种动作。在这些过程期间，如果合适的话，应用程序125还可激活生物特征传感器140和/或sep130。

生物特征传感器140在一些实施方案中被配置为基于生物特征诸如指纹、眼睛特征(例如虹膜特性)、面部特征等等生成数据。虽然在本文中讨论了单个生物特征传感器，但可使用多个生物特征传感器以改善生物特征认证过程的安全性。另选地，可实现多个生物特征认证过程使用不同传感器用于不同认证等级。

sep130在例示的实施方案中被配置为保持认证要求信息135和生物特征存储装置180。在其它实施方案中，认证要求信息135可被存储在另一存储元件或处理元件中。在一些实施方案中，sep130是被配置为对活动用户(即当前正在使用设备100的用户)进行认证的安全电路。如本文所用，术语“安全电路”是指保护经隔离的内部资源使其不被外部电路直接访问的电路。这个内部资源可以是存储敏感数据诸如个人信息(例如生物特征信息、信用卡信息等等)、加密密钥、随机数生成器种子等等的存储器。这个内部资源也可以是执行与敏感数据相关联的服务/操作的电路系统。在各种实施方案中，sep130被配置为基于例如用户经由输入设备150手动输入的附加认证凭据对用户进行认证。在一些实施方案中，sep130被配置为将来自传感器140的生物特征信息与生物特征存储装置180中的用户模板生物特征数据进行比较。在一些实施方案中，在本文中被描述为由sep130执行的功能性可利用专用电路系统、通过执行存储在非暂态计算机可读介质(未明确示出)中的程序指令、或通过以上二者的组合来实现。

输入设备150在例示的实施方案中被配置为接收用户输入以及发送用户输入数据给cpu110。输入设备150例如可以是触摸板、按钮或触摸屏。

在一些实施方案中，sep130还被配置为存储一种或多种敏感类型的信息。一种这样类型的信息是标识设备100的用户或拥有者的信息。敏感信息例如可被用于至少部分地对用户进行认证。在其它实施方案中，sep130被配置为加密这些类型的信息以及将其存储在sep130之外，例如存储在存储器120中。在这些实施方案中，sep130仍然保持对这种类型的信息的控制，尤其是在用于加密敏感信息的加密密钥对于sep130是内部的实施方案中。

认证要求135在一些实施方案中指示为了执行一个或多个动作而要求的一种或多种类型的信息。动作的非限制性示例包括解锁设备100、使用设备100的传感器、打开特定应用程序、访问特定数据等。在一些实施方案中，默认认证要求可允许多种类型的认证(例如生物特征或手动)来执行各种动作。在一些实施方案中，提高的认证要求可以只允许可用类型的认证的子集(例如只允许手动认证)。在一些实施方案中，提高的认证要求可要求多种类型的认证(例如手动和生物特征二者)。在一些实施方案中，响应于请求访问特定类型的信息，sep130被配置为将认证要求135从第一状态改变成第二状态。

在一些实施方案中，sep130被配置为保持对于多种认证类型中每一者指定该类型的认证当前是否有效(例如在特定的最近时间间隔内是否已经执行)的信息。在一些实施方案中，sep130被配置为基于特定类型的认证当前是否有效的逻辑组合来授权各种功能性。

在一些实施方案中，认证要求135为特定动作或特定类型的动作指示为了执行那些动作而当前要求的认证类型(其在设备100的不同操作模式中可以是不同的)。在一些实施方案中，响应于可能导致公开标识设备100的用户的信息的用户活动，sep130被配置为改变认证要求135而要求附加认证(例如与通常操作模式中所要求的相比更多类型的认证)以便执行特定动作或特定类型的动作。例如，如果用户经由锁定屏幕访问医疗id，则sep130可对于解锁设备的操作改变认证要求135，使得还要求手动输入认证凭据。又如，sep130在这种情形中可要求多种类型的生物特征认证，而不是单个类型的生物特征认证。除了本文所讨论的第一因素之外和/或代替本文所讨论的第一因素，也可要求各种第二因素中的任何第二因素作为不同类型的认证。例如，sep130可使信息被发送给另一可信设备(例如，附加密码或其他信息可被发送给同一用户拥有的个人计算机)并要求信息被输入到设备100中。第二因素认证的再一示例涉及要求用户位于特定位置或者位于另一设备(例如无线接入点或者用户的另一设备)的特定邻近区域内(这可通过网络连接性、近场通信、卫星导航数据、蜂窝三角测量等等来验证)。在一些实施方案中，设备100可被配置为与一个或多个服务器通信以发起和/或有利于第二因素认证。

在一些实施方案中，sep130被配置为响应于用户认证而将令牌发布给一个或多个其他处理元件。例如，sep130可将令牌发布给支付处理元件以用于支付事务。令牌可以是对从所述其他处理元件发送的质询信息的经签名的响应，例如sep130可接收质询信息并基于所存储的加密私钥对质询信息签名。支付处理元件(例如安全元件(se))例如可被配置为在发送支付凭据之前确认存在来自sep130的有效令牌。在一些实施方案中，响应于对特定类型的信息的请求，sep130还被配置为使发送给另一处理元件的令牌无效，使得在执行该令牌授权的活动之前必须协商另一令牌。sep130例如可通过向所述另一处理元件发送指示令牌已被撤销的信息来使令牌无效。一般来讲，sep130可响应于对特定类型的信息的请求而改变sep130所保持的认证要求(例如信息135)和/或其他处理元件所保持的认证状态。

虽然图1为了例示的目的示出设备100内的部件，但图1的具体配置并不意图限制本公开的范围。例如，在其他实施方案中可使用各种互连具体实施中的任何具体实施来连接图1的元件。又如，被描述为由图1的一个元件执行的至少一部分功能性在其他实施方案中可由图1的其他元件或者未描绘的其他元件执行。

需注意，在本文中被描述为由sep130执行的各种动作可由cpu110执行和/或由cpu110促进。例如，cpu110可执行实施使用对sep130的api调用来有利于本文所公开的各种功能性的简档的认证层或其他代码。在各种实施方案中，将sep130用于生物特征认证和有利于所公开的与调节认证要求135有关的技术二者就可相对于不可信处理器执行所公开的技术而言改善设备100的安全性。

图2a是根据一些实施方案示出一种用于响应于检测到标识与设备相关联的用户的信息的可能公开而要求不同类型的认证的示例性方法的框图。除了其他之外，图2a所示的方法可结合本文公开的计算机电路系统、系统、设备、元件或部件中的任一者来使用。在各种实施方案中，所示的方法要素中的一些可同时执行，按与所示顺序不同的顺序执行，或者可被省略。还可根据需要执行附加的方法要素。

在210，在例示的实施方案中，设备100检测到标识与设备相关联的用户的信息的可能公开。这可包括例如：确定用户信息被显示在设备的屏幕上(例如姓名、电话号码、医疗id、用户名等)、检测到用户输入请求特定类型的信息、检测到移除sim卡、检测到用户信息向附近设备传输(例如无线)、检测到虚拟助手进行信息的听觉输出等等。在一些实施方案中，其他可疑用户动作诸如从锁定屏幕进行紧急呼叫可替代方法要素210，即使用户标识信息未被公开。需注意，这些可能信息公开中的各种可能在没有事先用户认证的情况下发生。

在220，在例示的实施方案中，相对于一个或多个用户动作的默认认证类型，设备100在授权所述一个或多个用户动作之前响应于检测到要素210而要求不同的认证类型。例如，不是基于默认用户偏好而允许生物特征认证或手动输入pin来解锁设备100的锁定屏幕，设备100(例如经由sep130)可以只要求手动输入pin(或者可以要求手动和生物特征认证二者)。对不同的认证“类型”的提及可以是指不同组合的认证类型以及独立类型。可要求的认证类型的类型示例包括但不限于：手动输入密码或pin、语音认证、面部识别、指纹识别、眼睛识别、手势识别等等。

在一些实施方案中，要素220可被描述为相对于第一(例如默认)操作模式进入第二操作模式。模式的改变例如可由认证要求135来指定。设备100可响应于方法要素210而进入第二操作模式。

图2b是根据一些实施方案示出用于在信息显示之后要求手动输入认证凭据的方法的流程图。除了其他之外，图2b所示的方法可结合本文公开的计算机电路系统、系统、设备、元件或部件中的任一者来使用。在各种实施方案中，所示的方法要素中的一些可同时执行，按与所示顺序不同的顺序执行，或者可被省略。还可根据需要执行附加的方法要素。需注意，图2b为图2a的方法的一个具体示例。可对应于图2a和图2b的方法的示例性界面在下文中参考图4a-图4c来讨论。

在230，在例示的实施方案中，设备100检测到标识与设备相关联的用户的信息的显示。

在240，在例示的实施方案中，设备100响应于所述检测而要求手动认证来解锁设备，其中在检测到信息显示之前不要求手动认证。在一些实施方案中，设备100也被配置为在显示所请求的信息之前要求认证。

在一些实施方案中，sep130也被配置为基于检测到方法要素210而撤销或无效发布给其他处理元件的一个或多个令牌。这可在执行所述其他处理元件所有利于的动作诸如支付事务、网络连接、设备操作模式等之前要求用户重新认证以生成另一令牌。

虽然在图2a中讨论了请求访问特定类型的所存储信息，但可使设备100要求并非默认认证类型的一个或多个不同认证类型的活动的其他示例可包括：从锁定屏幕进行紧急呼叫、移除sim卡(例如于是可对其进行访问以确定与设备相关联的电话号码)、设备显示另一特定类型的信息(这可能甚至在没有对于该信息的明确用户请求的情况下发生，例如作为弹出式通知)等等。

在一些实施方案中，所述特定类型的信息包括标识设备100的注册用户(例如已在设备100上创建一个或多个账户的用户)的信息。需注意，给定设备100可以有多个注册用户。在一些实施方案中，一个或多个注册用户是已经创建了生物特征认证模板数据的登记用户。在一些实施方案中，所述特定类型的信息包括标识设备100的拥有者的信息。此类信息的示例可包括个体的姓名、其联系人信息、其医疗信息等等。虽然在本文中讨论了与设备100的用户的身份有关的各种信息，但这些示例并不旨在限制本公开的范围。在其它实施方案中，可响应于试图访问各种类型信息中的任何信息而实施类似的技术。在一些实施方案中，设备100可基于敏感度来分类不同类型的信息，并且根据所请求类型的信息的所确定的分类而在要素220要求更多或更少数量的认证凭据。

示例性闭锁触发

在各种实施方案中，设备100被配置为响应于各种事件触发而强加闭锁。闭锁可在预定时间间隔(或无期限地)阻止对设备的所有访问或者可要求额外的认证来绕过闭锁(例如除了生物特征认证之外或代替生物特征认证使用密码或pin、或者使用只有制造方知道的私密密钥)。例如，“生物特征闭锁”在允许对设备100的访问之前可要求一个或多个非生物特征认证类型。在各种实施方案中，生物特征闭锁例如可增大生物特征欺骗和/或重放攻击的难度。在各种实施方案中，在给定设备中可以不同间隔、解锁条件等等实现多个不同类型的闭锁。以下讨论在一些实施方案中提供了使设备100进入闭锁状态的事件的非限制性示例。

在一些实施方案中，设备100的重新引导或者来自用户的远程指示可导致闭锁。在一些实施方案中，确定自用户上一次成功认证以来已经经过了一定时间间隔可导致闭锁。例如，如果用户已经有几天未被认证，则除了生物特征认证之外或代替生物特征认证可要求输入pin或密码。在一些实施方案中，以一种或多种方式解除紧急屏幕可导致闭锁。在一些实施方案中，规避闭锁可要求来自另一可信设备的准许，或者可要求用户调用服务来获取访问权限。

与生物特征认证有关的闭锁触发可包括：特定数量的匹配生物特征尝试不成功(尝试例如只有在面部或指纹被检测到但不匹配已知用户的情况下才被计数)、在会话密钥过期之后接收到生物特征数据、接收到签名丢失或不正确的生物特征数据、接收到生物特征数据先前接收的数据等等。

需注意，在一些实施方案中，这些事件中的多个可被一起计数。另外，不同触发可导致不同闭锁间隔，并且附加触发可增大当前闭锁间隔。

在一些实施方案中，在允许生物特征认证之前，设备100被配置为要求用户以用于解锁设备的密码来设置设备100。生物特征认证(例如面部识别)于是可被用于在不使用密码的情况下解锁设备100。这可允许设备100要求比传统密码更长和/或更复杂的密码，例如因为用户可能频率更低地使用密码。更强的密码可提高设备100的总体安全性。在一些实施方案中，设备100将始终接受已知用户的密码来代替面部识别。在一些实施方案中，在以下示例性情形中要求密码：设备刚被开启或重启、设备在阈值时间间隔内还未被解锁、密码在阈值时间间隔内还未被用于解锁设备、设备已接收到远程锁定命令、面部失败已经不成功超过尝试阈值数量、关机或紧急模式已被发起然后被取消、或者标识设备用户的信息已被提供。

在一些实施方案中，当生物特征认证被禁用时，用于受高度保护的数据(例如sep130所控制的数据)的密钥被丢弃。此类数据的示例可包括钥匙串信息，诸如基于一个或多个经授权用户过去在网站上的活动的表格填充信息。在这些实施方案中，在利用密码解锁设备100之前，被保护数据于是是不能访问的。在一些实施方案中，当生物特征认证被启用时，此类密钥在设备锁定时不被丢弃，但以sep130提供的密钥进行封装。如果面部识别会话成功，则sep130可提供用于对数据保护密钥解封装的密钥，并解锁设备100。数据保护与生物特征认证系统之间的配合可提高安全性。在各种实施方案中，与面部识别有关的一个或多个密钥在要求密码输入时被丢弃。

这里讨论的生物特征比较可以是指纹比较、面部比较、眼睛比较等等。设备100可包括各种适当的生物特征设备(例如扫描仪、相机、投射器等)中的任何设备以便测量生物特征信息。

图2c是根据一些实施方案示出用于响应于对敏感信息的请求而要求认证或重新认证的方法的流程图。除了其他之外，图2c所示的方法可结合本文公开的计算机电路系统、系统、设备、元件或部件中的任一者来使用。在各种实施方案中，所示的方法要素中的一些可同时执行，按与所示顺序不同的顺序执行，或者可被省略。还可根据需要执行附加的方法要素。

在250，设备100经由生物特征认证对用户进行认证。sep130可通过将来自生物特征传感器140的数据与生物特征存储装置180中的模板数据进行比较来执行认证。sep130可基于所述认证而将一个或多个令牌发布给其他处理元件。在其它实施方案中，可为方法要素250实施其他类型的认证(例如非生物特征)。

在260，响应于请求访问特定类型的所存储信息，sep130在对动作进行授权之前要求用户手动输入认证凭据。所述动作例如可以是提供所述特定类型的信息或者解锁设备。在一些实施方案中，sep130也被配置为在提供所述特定类型的信息之前除了手动输入认证凭据之外还要求利用生物特征技术重新认证。在这些实施方案中，sep130被配置为验证生物特征样本和手动凭据二者。所述请求可利用触摸屏或麦克风例如经由用户界面和/或虚拟助手(例如，其可实施人工智能来回答用户查询)被输入给设备。在一些实施方案中，设备100可响应于信息公开而进入锁定状态，并对于解锁设备发布提高的认证要求。

例如考虑用户在屏幕被解锁的情况下将其移动设备遗留在桌子上(例如，用户可能已经利用生物特征认证解锁了屏幕)的情形。恶意个体可拿起移动设备并尝试访问标识设备拥有者的信息。响应于这个尝试，移动设备(例如设备100)可进入锁定模式并显示锁定屏幕。设备在解锁之前和/或在允许访问所请求信息之前可要求手动认证凭据诸如pin和生物特征认证二者。

在一些实施方案中，设备100还可被配置为例如在所述尝试访问所述信息后认证尝试失败了特定数量之后删除所请求的信息。如上所述，sep130也可撤销一个或多个令牌，这可阻止用户在重新认证之前执行其他设备功能性。

在一些实施方案中，设备100被配置为，为了改变认证设置(例如面部识别设置)，即使用户已通过生物特征认证也要求手动输入密码。

图3是根据一些实施方案示出一种示例性sep130的框图。在例示的实施方案中，sep130包括经由互连器390耦接在一起的过滤器310、安全邮箱320、处理器330、安全rom340、密码引擎350、密钥存储装置560、和图像传感器流水线370。在一些实施方案中，sep130可包括比图3所示更多(或更少)的部件。如上所述，sep130是保护内部资源诸如部件用户认证密钥362和/或图像传感器流水线370的安全电路。如下文所述，sep130通过使用过滤器310和安全邮箱320来实现安全电路。

过滤器310在例示的实施方案中是被配置为严密控制对sep130的访问以增大sep130相对于计算设备100的其余部分的隔离性、并因此提高设备100的总体安全性的电路系统。更特别地，在一些实施方案中，过滤器310被配置为只有在来自cpu110(或耦接cpu110和sep130的结构上的其他外围设备)的读/写操作寻址到安全邮箱320的情况下才允许其进入sep130。因此，在这些实施方案中，其他操作不可从互连器182进展到sep130中。甚至更特别地，过滤器310可允许对分配给安全邮箱320的收件箱部分的地址的写操作以及对分配给安全邮箱320的发件箱部分的地址的读操作。过滤器310可阻止/过滤所有其他读/写操作。因此，安全邮箱320包括设备100中的其他元件能访问的预定存储器位置，并且sep130中电路系统的其余部分不能被设备100的其他元件访问。在一些实施方案中，过滤器310可用错误对其他读/写操作进行响应。在一个实施方案中，过滤器310可接纳与被过滤的写操作相关联的写数据，而不将所述写数据传递给本地互连器390。在一个实施方案中，过滤器310可将非安全数据供应作为用于被过滤的读操作的读数据。这个数据(例如“无用数据”)一般可以是不与sep130内的被寻址资源相关联的数据。过滤器310可将任何数据供应作为无用数据(例如全零、全1、来自随机数生成器的随机数据、被编程到过滤器310中以作为读数据进行响应的数据、读事务的地址等等)。

在各种实施方案中，过滤器310可以只过滤外部读/写操作。因此，sep130的部件可具有对计算设备100的其他部件(包括cpu110、存储器120、和/或传感器140)的完全访问权限。因此，过滤器310可以不过滤响应于sep130发布的读/写操作而提供的来自互连器182的响应。

安全邮箱320是在一些实施方案中包括收件箱和发件箱的电路系统。收件箱和发件箱二者可以是数据的先进先出缓冲器(fifo)。缓冲器可具有任意尺寸(例如任意数量的条目，其中每个条目能够存储来自读/写操作的数据)。特别地，收件箱可被配置为存储来自源于cpu110的写操作的写数据。发件箱可存储来自源于处理器330的写操作的写数据。(如本文所用，“邮箱机构”是指暂时存储1)安全电路的输入直到其能被该电路检索和/或2)安全电路的输出直到其能被外部电路检索的存储器电路。)

在一些实施方案中，在cpu110上执行的软件(例如应用程序125)可经由计算设备100的操作系统支持的应用编程接口(api)请求sep130的服务—即，请求方可进行请求sep130的服务的api调用。这些调用可使相应请求被写到邮箱机构320，其然后被从邮箱320检索并被处理器330分析以确定其是否应对请求提供服务。因此，这个api可被用于将生物特征数据142和授权指示152递送给邮箱320，通过验证这个信息来请求用户的认证，并经由邮箱来递送认证结果302。通过以这种方式隔离sep130，图像传感器流水线370的完整性可得到增强。

sep处理器330被配置为处理从计算设备100中各种资源(例如从cpu110)接收的命令并且可使用各种安全外围设备来实现这些命令。处理器330于是可执行存储在安全rom340中的指令，诸如认证应用程序342，以执行用户的认证。例如，sep处理器330可执行应用程序342以提供适当的命令给图像传感器流水线370以便验证生物特征数据142和/或指示152。在一些实施方案中，应用程序342可包括从存储器120中可信区加载的经加密的程序指令。

安全rom340是被配置为存储用于引导sep130的程序指令的存储器。在一些实施方案中，rom340可只对分配给本地互连器390上安全rom340的特定地址范围进行响应。所述地址范围可以是硬连线的，并且处理器330可被硬连线以在引导时从该地址范围进行取操作以便从安全rom340引导。过滤器310可过滤分配给安全rom340的地址范围(如上所述)内的地址，从而阻止从sep130外部的部件对安全rom340的访问。在一些实施方案中，安全rom340可包括sep处理器330在使用期间执行的其他软件。这个软件可包括用于处理收件箱消息和生成发件箱消息、用于与处理元件交互的代码等的程序指令。

密码引擎350是被配置为为sep130执行密码操作的电路系统，包括密钥生成以及利用密钥存储装置360中的密钥的加密和解密。密码引擎350可实现任何合适的加密算法，诸如des、aes、rsa等。在一些实施方案中，引擎350还可实现椭圆曲线密码方案(ecc)。在各种实施方案中，引擎350负责解密从其他处理元件接收的通信以及加密发送给其他处理元件的通信。

密钥存储装置360是被配置为存储密码密钥的本地存储器(即内部存储器)。在一些实施方案中，这些密钥可包括用于建立sep130和其他处理元件之间安全信道的密钥。如图所示，在一些实施方案中，这些密钥包括认证密钥362。这些密钥也可被用于例如通过对来自其他处理元件的质询数据进行签名来验证sep130的身份。

图像传感器流水线370在一个实施方案中是被配置为将从正被认证的用户捕获的生物特征数据142与经授权用户的生物特征数据372进行比较的电路系统。在一些实施方案中，流水线370可利用流水线370中包括的神经网络集合来执行比较，每个网络被配置为将在单个帧中捕获的生物特征数据142与经授权用户的在多个帧中捕获的生物特征数据372进行比较。如图所示，流水线370可被配置为从存储器120读取生物特征数据372，生物特征数据372在一些实施方案中可通过加密进行保护或者被存储在只能被sep130访问的存储器120的相关联部分中。(在另一实施方案中，sep130可内部地存储数据372。)

需注意，虽然生物特征存储装置380在例示的实施方案中被包括在sep130中，但在其他实施方案中，sep130被配置为(例如利用密钥存储装置260中的加密密钥)加密数据382并将经加密的数据存储在sep130之外。在一些实施方案中，用于此类加密的加密密钥从不离开sep130并且对于设备100是独特的，这可提高此类被加密数据在被存储在sep130之外时的安全性。

本公开已经在上文中详细描述了各种示例性电路。意图在于本公开不仅涵盖包括此类电路系统的实施方案，而且还涵盖包括指定此类电路系统的设计信息的计算机可读存储介质。因此，本公开旨在支持不仅涵盖包括所公开电路系统的装置、而且还涵盖以被配置为生成包括所公开电路系统的硬件(例如集成电路)的制造系统识别的格式指定电路系统的存储介质的权利要求。对此类存储介质的权利要求旨在涵盖例如生成电路设计但本身不制造该设计的实体。

示例性界面

图4a示出了根据一些实施方案的一种示例性锁定屏幕用户界面。在例示的实施方案中，锁定屏幕包括所显示的小键盘并且指示用户可要么输入pin要么使用生物特征传感器来认证和解锁设备。需注意，所述用户界面可明确指定对于解锁锁定屏幕有效的一个或多个生物特征认证特定传感器或生物特征认证特定类型。在其它实施方案中，锁定屏幕可以不指定什么认证类型是有效的，而是设备100可被配置为在默认配置中允许要么生物特征要么手动认证。在其它实施方案或设置的用户配置中，各种认证类型或认证类型组合中的任一者都可被实施成默认要求和/或提高的认证要求。

可触发对于一个或多个动作所要求的认证类型的改变的动作的例示示例包括经由用户界面左下方元件进入紧急菜单和进行紧急呼救(下文讨论的图4e例示了一种示例性紧急菜单屏幕)。这些功能对于在某些情形下允许其他用户访问设备功能性或医疗信息可能是重要的，但也可能是未经授权个体正在使用设备100的迹象，从而可能期望对于其他动作有提高的认证要求。在一些实施方案中，在可疑动作之后可以有超时间隔，在此之后设备100对于一个或多个动作可恢复到默认认证类型。在一些实施方案中，设备100可在用户已经利用响应于可疑活动而要求的不同认证类型成功认证之后对于一个或多个动作恢复到默认认证过程。

经由锁定屏幕的信息公开的另一示例是弹出式通知，例如关于帐户abc@email.com已经接收到来自另一用户xyz的消息的通知。这是通过标识与设备100注册的电子邮件帐户而可能标识设备100的用户的信息的另一示例。

图4b示出了经由虚拟助手对标识设备100的用户的信息的另一示例性公开。在例示的实施方案中，用户已询问“这是谁的电话”并且虚拟助手已经回答“我想这个电话属于janedoe”并且已经显示jane的电话号码和照片。在一些实施方案中，虚拟助手可被配置为在没有事先认证的情况下(例如在设备仍然被锁定时)执行这个功能性。需注意，虚拟助手可以是设备100和/或一个或多个其他设备(例如使用配对设备或云计算)执行的程序。

在设备100与另一设备通信的实施方案中，设备100可向另一设备指示另一设备也应要求不同类型的认证。例如，如果设备100是与智能手表配对的移动设备并且设备100检测到某种类型的信息的公开，则其可向智能手表指示要求并非默认类型的不同认证类型(或者反之亦然)。因此，一般来讲，一个设备上的闭锁过程也可触发一个或多个其他设备上的闭锁。

在一些实施方案中，设备可要求手动输入来解锁锁定屏幕。例如，图4c示出了指示要求手动密码输入的一种示例性锁定屏幕。这可响应于用户例如通过将其手指放在指纹传感器上来试图进行生物特征认证或者试图触发面部识别认证而被显示。

图4d示出了响应于用于特定活动的令牌过期而要求重新认证的一种示例性用户界面。虽然所述界面表明令牌已“过期”，但在一些实施方案中，令牌是被sep130例如响应于图2b的方法要素150而撤销的。可要求各种认证类型中的任何认证类型来重新生成用于所期望动作的令牌。例如，用于支付事务的安全元件可先前已获得了用于在支付事务中使用的生物特征令牌，sep130可响应于用户信息的可能公开而使其无效。在这点，设备100可显示图4d的用户界面以要求重新认证(需注意，甚至在不使用令牌的实施方案中也可要求重新认证)。重新认证可以是也可以不是默认类型的。

图4e示出了根据一些实施方案的一种示例性紧急菜单界面。在例示的实施方案中，紧急菜单允许进行紧急呼叫(例如呼叫特定的预定号码)并且包括用于访问医疗id信息的图标。医疗id信息的示例包括但不限于：姓名、血型、身高、体重、紧急联系人信息、过敏原等。

附加示例性实施方案

在一些实施方案中，一种装置包括一个或多个处理元件，处理元件被配置为：通过将来自一个或多个生物特征传感器的数据与所存储的用户模板生物特征数据进行比较来对该用户进行认证；以及在认证之后，响应于请求访问存储在装置上的特定类型的信息，在对动作(例如，诸如提供所述特定类型的信息给该用户)授权之前要求用户既手动输入认证凭据又利用所述一个或多个生物特征传感器重新认证。

在一些实施方案中，一种装置包括一个或多个处理元件，处理元件被配置为通过将来自一个或多个生物特征传感器的数据与所存储的用户模板生物特征数据进行比较来对该用户进行认证；基于所述认证为该用户生成令牌；响应于请求访问存储在装置上的特定类型的信息：使该令牌无效；以及在提供所述特定类型的信息给用户之前要求该用户手动输入认证凭据。在一些实施方案中，所述装置还被配置为在提供所述特定类型的信息给该用户之前要求生物特征重新认证。

示例性设计信息

图5是根据一些实施方案示出一种存储电路设计信息的示例性非暂态计算机可读存储介质的框图。在例示的实施方案中，半导体制造系统520被配置为处理存储在非暂态计算机可读介质510上的设计信息515并基于设计信息515制造集成电路530。

非暂态计算机可读介质510可包括各种适当类型的存储器设备或存储设备中的任何设备。介质510可以是安装介质，例如cd-rom、软盘或磁带设备；计算机系统存储器或随机存取存储器诸如dram、ddrram、sram、edoram、rambusram等；非易失性存储器，诸如闪存存储器、磁介质存储器例如硬盘驱动器或光学存储装置；寄存器，或其他类似类型的存储器元件等。介质510也可包括其他类型的非暂态存储器或它们的组合。介质510可包括可驻留在不同位置例如通过网络连接的不同计算机系统中的两个或更多个存储器介质。

设计信息515可利用各种适当的计算机语言中的任何语言来指定，包括硬件描述语言诸如但不限于：vhdl、verilog、systemc、systemverilog、rhdl、m、myhdl等。设计信息515可以能被半导体制造系统520用来制造集成电路530的至少一部分。设计信息515的格式可被至少一个半导体制造系统520识别。在一些实施方案中，设计信息515还可包括指定集成电路530的综合和/或布局的一个或多个单元库。在一些实施方案中，设计信息整体或部分地以指定单元库元素及其连接性的网表的形式来指定。

半导体制造系统520可包括被配置为制造集成电路的各种适当元件中的任何元件。这可包括例如用于(例如在可包括掩膜的晶片上)沉积半导体材料、移除材料、改变所沉积材料的形状、(例如通过掺杂材料或利用紫外处理修改介电常数)对材料改性等等的元件。半导体制造系统520还可被配置为对于正确操作执行所制造电路的各种测试。

在各种实施方案中，集成电路530被配置为根据设计信息515指定的电路设计来操作，这可包括执行本文所述的功能性中的任何功能性。例如，集成电路530可包括图1和/或图3中所示的各种元件中的任何元件。另外，集成电路530可被配置为执行本文结合其他部件所述的各种功能。另外，本文所述的功能性可由多个连接的集成电路来执行。

如本文所用，形式为“指定被配置为…的电路的设计的设计信息”的短语并不暗示为了满足该要素就必须制造所涉及的电路。相反，该短语表明设计信息描述了一种电路，该电路在被制造时将被配置为执行所指示的动作或者将包括所指定的部件。

尽管特定实施方案已经在上文被描述并且已经在下面的附图中进行了图示，但这些实施方案并非要限制本公开的范围，即使相对于特定特征只描述了单个实施方案的情况下也是如此。本公开中提供的特征的示例意在进行例示，而非限制，除非做出不同表述。例如，对术语“汽车”的提及可涵盖任何合适的车辆(或者甚至其他能从移动设备接收命令的设备)。又如，对术语“电话”的提及可涵盖任何合适的移动设备。因此，以上和以下的描述意在涵盖受益于本公开的本领域技术人员会明了的此类替代形式、修改形式和等价形式。

本公开的范围包括本文(明确或暗示)公开的任意特征或特征组合，或其任意推广，无论其是否减轻了本文解决的任何或所有问题。因此，在本申请(或要求享有其优先权的申请)进行期间可以针对特征的任何此类组合做出新的权利要求。具体地，参考所附权利要求，可以将从属权利要求的特征与独立权利要求的特征组合，并可以通过任何适当方式而不是仅仅通过所附权利要求中列举的具体组合来组合来自相应独立权利要求的特征。