一种脱机虹膜认证设备和方法
【技术领域】
[0001]本申请涉及信息安全技术领域,尤其涉及一种脱机虹膜认证设备和方法。
【背景技术】
[0002]目前,对于用户的身份认证存在多种方式,诸如最简单的用户名和密码认证,以及目前逐渐普遍的生物认证方式。所述生物认证方式包括声音认证、指纹认证、虹膜认证等。其中,虹膜认证在生物识别领域具有安全性高、防伪能力强等优点。目前的虹膜认证设备都依赖于PC或移动终端。即,在认证过程中,这些虹膜认证设备,诸如USBKEY设备需要连接至PC或移动终端,所述虹膜认证设备上的虹膜摄像头在采集到用户的虹膜图像后,将该虹膜图像发送至PC或移动终端,由PC或移动终端提取虹膜图像中的特征点,并与预存的生物特征信息进行对比,由此来判定用户是否是授权用户。也就是说,虹膜特征值的存储、虹膜特征的提取以及虹膜特征的比对都在PC或移动终端中实现。而PC或移动终端本身由于并非专用设备,其上运行的程序多种多样,特别是联网后可能收到很多无法保证安全的信息,从而可能受到一些木马、病毒的侵入,而不法分子可能利用这些后门来扰乱上述身份认证的过程,因此,上述依赖于PC或移动终端的身份认证过程并不是安全的。
【发明内容】
[0003]有鉴于此,本申请提供一种脱机虹膜认证设备和方法。所述设备和方法能够在脱离PC或移动终端的情况下脱机实现,并结合其中包含的特定安全措施,极大地保证了身份认证过程的安全。
[0004]本发明首先提出了一种脱机虹膜认证设备,所述脱机虹膜认证设备包括虹膜摄像头、通用芯片以及安全芯片,其中:所述通用芯片与虹膜摄像头实现双向通信,并且所述通信芯片包括第一处理器,所述安全芯片与所述通信芯片实现双向通信,并且所述安全芯片包括第二处理器和第二存储器;所述安全芯片的第二处理器用于发出提示用户对准虹膜摄像头的指令以及向通用芯片发出开始采集图像和提取特征的指令;所述通用芯片的第一处理器基于来自安全芯片的指令调用虹膜摄像头拍摄用户的虹膜图像,获取虹膜图像并运行虹膜特征提取过程以从虹膜图像中提取出虹膜特征值,以及利用此次会话的会话秘钥加密虹膜特征值,并传输至安全芯片;所述安全芯片的第二处理器还用于接收所述加密的虹膜特征值,并在第二存储器中存储所述虹膜特征值或使用该虹膜特征值与第二存储器中预存的虹膜特征值对比以进行虹膜认证。
[0005]根据本发明的一个方面,所述安全芯片的第二处理器用于在用户注册的过程中,接收到所述加密的虹膜特征值后,利用会话秘钥解密所述加密的虹膜特征值,然后利用私有的秘钥加密解密后的虹膜特征值,将利用私有的秘钥加密的虹膜特征值存储在第二存储器中。
[0006]根据本发明的一个方面,所述安全芯片的第二处理器用于在用户认证的过程中,接收到所述加密的虹膜特征值后,利用会话秘钥解密所述加密的虹膜特征值,并利用私有的秘钥解密存储在第二存储器中的虹膜特征值,将两个虹膜特征值进行比对,获得认证结果,其中,如果比对成功,则认为通过身份认证,否则认为身份认证失败。
[0007]根据本发明的一个方面,通用芯片的第一处理器还用于向安全芯片发送查询公钥的指令;所述安全芯片的第二处理器还用于接收到查询公钥的指令后,判断是否存在公钥,如果存在公钥,则反馈给通用芯片,如果不存在公钥,则在内部创建非对称秘钥,所述非对称秘钥包括公钥和私钥,并将公钥反馈给通用芯片;所述通用芯片的第一处理器还用于生成随机数作为会话秘钥,并用从安全芯片获得的公钥值对该会话秘钥加密成密文发送给安全芯片;所述安全芯片的第二处理器用于在接收到加密的密文后使用与公钥配对的私钥解密该密文以得到会话秘钥。
[0008]根据本发明的一个方面,所述通用芯片还包括第一存储器,所述第一存储器用于存储虹膜摄像头拍摄的用户的虹膜图像,所述第一处理器用于从第一存储器中获取虹膜图像并执行之后的虹膜特征提取过程。
[0009]本发明还提出了一种脱机虹膜认证方法,所述脱机虹膜认证方法在脱机虹膜认证设备上执行,其中所述脱机虹膜认证设备包括虹膜摄像头、通用芯片以及安全芯片,所述方法包括:所述安全芯片发出提示用户对准虹膜摄像头的指令以及向通用芯片发出开始采集虹膜图像和提取虹膜特征的指令;所述通用芯片在收到来自安全芯片的指令后调用虹膜摄像头拍摄用户的虹膜图像;所述通用芯片获取虹膜摄像头拍摄的虹膜图像并运行虹膜特征提取过程以从虹膜图像中提取出虹膜特征值;所述通用芯片利用此次会话的会话秘钥加密虹膜特征值,并传输至安全芯片;所述安全芯片接收所述加密的虹膜特征值,存储所述虹膜特征值或使用该虹膜特征值进行虹膜认证。
[0010]根据本发明的一个方面,在用户注册的过程中,所述安全芯片接收到所述加密的虹膜特征值后,利用会话秘钥解密所述加密的虹膜特征值,然后利用私有的秘钥加密解密后的虹膜特征值,并存储利用私有的秘钥加密的虹膜特征值。
[0011]根据本发明的一个方面,在用户认证的过程中,所述安全芯片接收到所述加密的虹膜特征值后,利用会话秘钥解密所述加密的虹膜特征值,并利用私有的秘钥解密之前存储的虹膜特征值,将两个虹膜特征值进行比对,获得认证结果,其中,如果比对成功,则认为通过身份认证,否则认为身份认证失败。
[0012]根据本发明的一个方面,在使用所述会话秘钥之前:通用芯片向安全芯片发送查询公钥的指令;所述安全芯片接收到查询公钥的指令后,如果存在公钥,则反馈给通用芯片,如果不存在公钥,则安全芯片在内部创建非对称秘钥,所述非对称秘钥包括公钥和私钥,并将公钥反馈给通用芯片;所述通用芯片生成随机数作为会话秘钥,并用从安全芯片获得的公钥值对该会话秘钥加密成密文发送给安全芯片;所述安全芯片接收加密的密文,并使用与公钥配对的私钥解密该密文以得到会话秘钥。
[0013]根据本发明的一个方面,安全芯片发出提示用户的指令以在脱机虹膜认证设备的显示器上显示用户注册或用户认证的结果。
[0014]由以上技术方案可见,本申请在诸如USBKEY的虹膜认证设备中加入了通用芯片,并改进了原有安全芯片的功能,使得所述虹膜认证设备本身具有提取虹膜图像并从中提取特征值以及与安全存储的虹膜特征值进行比对的功能,此外,在通用芯片和安全芯片之间还建立了更为安全私密的通信通道,从而在脱机的情况下可以进行非常安全的虹膜认证。
【附图说明】
[0015]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0016]图1是脱机虹膜认证设备的整体结构图;
[0017]图2是脱机虹膜认证设备进行用户注册时的整体流程图;
[0018]图3是脱机虹膜认证设备进行虹膜认证时的整体流程图;
[0019]图4是脱机虹膜认证设备的会话秘钥的协商过程的流程图。
【具体实施方式】
[0020]为了使