以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0070]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0071]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0072]尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
【主权项】
1.一种脱机虹膜认证设备,其特征在于: 所述脱机虹膜认证设备包括虹膜摄像头、通用芯片以及安全芯片,其中: 所述通用芯片与虹膜摄像头实现双向通信,并且所述通信芯片包括第一处理器,所述安全芯片与所述通信芯片实现双向通信,并且所述安全芯片包括第二处理器和第二存储器; 所述安全芯片的第二处理器用于发出提示用户对准虹膜摄像头的指令以及向通用芯片发出开始采集图像和提取特征的指令; 所述通用芯片的第一处理器基于来自安全芯片的指令调用虹膜摄像头拍摄用户的虹膜图像,获取虹膜图像并运行虹膜特征提取过程以从虹膜图像中提取出虹膜特征值,以及利用此次会话的会话秘钥加密虹膜特征值,并传输至安全芯片; 所述安全芯片的第二处理器还用于接收所述加密的虹膜特征值,并在第二存储器中存储所述虹膜特征值或使用该虹膜特征值与第二存储器中预存的虹膜特征值对比以进行虹膜认证。2.根据权利要求1所述的脱机虹膜认证设备,其特征在于: 所述安全芯片的第二处理器用于在用户注册的过程中,接收到所述加密的虹膜特征值后,利用会话秘钥解密所述加密的虹膜特征值,然后利用私有的秘钥加密解密后的虹膜特征值,将利用私有的秘钥加密的虹膜特征值存储在第二存储器中。3.根据权利要求2所述的脱机虹膜认证设备,其特征在于: 所述安全芯片的第二处理器用于在用户认证的过程中,接收到所述加密的虹膜特征值后,利用会话秘钥解密所述加密的虹膜特征值,并利用私有的秘钥解密存储在第二存储器中的虹膜特征值,将两个虹膜特征值进行比对,获得认证结果,其中,如果比对成功,则认为通过身份认证,否则认为身份认证失败。4.根据权利要求1至3任一所述的脱机虹膜认证设备,其特征在于: 通用芯片的第一处理器还用于向安全芯片发送查询公钥的指令; 所述安全芯片的第二处理器还用于接收到查询公钥的指令后,判断是否存在公钥,如果存在公钥,则反馈给通用芯片,如果不存在公钥,则在内部创建非对称秘钥,所述非对称秘钥包括公钥和私钥,并将公钥反馈给通用芯片; 所述通用芯片的第一处理器还用于生成随机数作为会话秘钥,并用从安全芯片获得的公钥值对该会话秘钥加密成密文发送给安全芯片; 所述安全芯片的第二处理器用于在接收到加密的密文后使用与公钥配对的私钥解密该密文以得到会话秘钥。5.根据权利要求1至3任一所述的脱机虹膜认证设备,其特征在于: 所述通用芯片还包括第一存储器,所述第一存储器用于存储虹膜摄像头拍摄的用户的虹膜图像,所述第一处理器用于从第一存储器中获取虹膜图像并执行之后的虹膜特征提取过程。6.一种脱机虹膜认证方法,其特征在于,所述脱机虹膜认证方法在脱机虹膜认证设备上执行,其中所述脱机虹膜认证设备包括虹膜摄像头、通用芯片以及安全芯片,所述方法包括: 所述安全芯片发出提示用户对准虹膜摄像头的指令以及向通用芯片发出开始采集虹膜图像和提取虹膜特征的指令; 所述通用芯片在收到来自安全芯片的指令后调用虹膜摄像头拍摄用户的虹膜图像;所述通用芯片获取虹膜摄像头拍摄的虹膜图像并运行虹膜特征提取过程以从虹膜图像中提取出虹膜特征值; 所述通用芯片利用此次会话的会话秘钥加密虹膜特征值,并传输至安全芯片; 所述安全芯片接收所述加密的虹膜特征值,存储所述虹膜特征值或使用该虹膜特征值进行虹膜认证。7.根据权利要求6所述的脱机虹膜认证方法,其特征在于: 在用户注册的过程中,所述安全芯片接收到所述加密的虹膜特征值后,利用会话秘钥解密所述加密的虹膜特征值,然后利用私有的秘钥加密解密后的虹膜特征值,并存储利用私有的秘钥加密的虹膜特征值。8.根据权利要求7所述的脱机虹膜认证方法,其特征在于: 在用户认证的过程中,所述安全芯片接收到所述加密的虹膜特征值后,利用会话秘钥解密所述加密的虹膜特征值,并利用私有的秘钥解密之前存储的虹膜特征值,将两个虹膜特征值进行比对,获得认证结果,其中,如果比对成功,则认为通过身份认证,否则认为身份认证失败。9.根据权利要求6至8任一所述的脱机虹膜认证方法,其特征在于: 在使用所述会话秘钥之前: 通用芯片向安全芯片发送查询公钥的指令; 所述安全芯片接收到查询公钥的指令后,如果存在公钥,则反馈给通用芯片,如果不存在公钥,则安全芯片在内部创建非对称秘钥,所述非对称秘钥包括公钥和私钥,并将公钥反馈给通用芯片; 所述通用芯片生成随机数作为会话秘钥,并用从安全芯片获得的公钥值对该会话秘钥加密成密文发送给安全芯片; 所述安全芯片接收加密的密文,并使用与公钥配对的私钥解密该密文以得到会话秘钥。10.根据权利要求7或8所述的脱机虹膜认证方法,其特征在于: 安全芯片发出提示用户的指令以在脱机虹膜认证设备的显示器上显示用户注册或用户认证的结果。
【专利摘要】本申请提供一种脱机虹膜认证设备和方法,属于信息安全技术领域。所述脱机虹膜认证设备脱离PC、移动终端或其他设备独立完成虹膜注册和认证过程。所述脱机虹膜认证设备包括虹膜摄像头、通用芯片以及安全芯片,所述通用芯片用于调用虹膜摄像头获取虹膜图像并从中提取虹膜特征值,并利用安全通道传递至安全芯片,安全芯片获得所述虹膜特征值,当用户注册时加密存储虹膜特征值,当认证时将通用芯片传递的虹膜特征值与预存的虹膜特征值比对并反馈比对结果。在安全芯片和通用芯片之间还加入了针对每次会话的独特的会话秘钥以形成所述安全通道。本方案避免了其他设备的危险因素带来的安全风险,并通过设备内芯片间的安全信息通道,进一步提升了安全性。
【IPC分类】H04L29/06, H04L9/32
【公开号】CN105516168
【申请号】CN201510977186
【发明人】董晓林, 朱华峰
【申请人】恒宝股份有限公司
【公开日】2016年4月20日
【申请日】2015年12月22日