The invention provides a face payment security method and a platform based on a security unit and a trusted execution environment. The face live detection data and the face image data collected by the face recognition trusted application and the face recognition camera are collected by the face recognition, and the living environment percentage is calculated after the trusted execution environment is calculated, and then the safety unit is used to obtain the percentage signature result and the ciphertext data, and the percentage of the living body is judged by the application. Whether it is greater than the preset percentage of living threshold, and if it is greater than it, user identity authentication and remaining transactions will be performed in the rich execution environment in combination with the password keyboard. In this scheme, the security unit provides a secure cryptographic algorithm service and a face recognition data protection key. The trusted execution environment ensures the safe execution of the face living detection algorithm, and ensures the integrity, authentication and confidentiality of the data in the face payment process by directly connecting with the face recognition camera.
【技术实现步骤摘要】
基于安全单元和可信执行环境的人脸支付安全方法及平台
本专利技术涉及人脸支付领域,尤其涉及一种基于安全单元和可信执行环境的人脸支付安全方法及平台。
技术介绍
随着人工智能技术的快速发展与衍化,人脸识别技术逐渐被应用于金融支付领域,而人脸识别支付应用的出现向原有支付系统引入了潜在的安全风险。在未有针对性安全保护的情况下,人脸识别相关算法及人脸图像数据在现有支付应用普通操作系统中,容易遭受到外来的恶意攻击,致使用户的支付交易面临严峻的安全威胁。设计一种人脸识别安全支付应用平台,可以有效提高支付应用的防御能力,保证以人脸识别作为用户身份辨别与认证途径从而执行支付流程的安全与稳定。安全支付应用平台以安全单元为基础,以可信执行环境为依托,以防止人脸活体检测结果和用户人脸图像被恶意篡改、窃取和伪造为目的,从而保障终端支付安全。安全单元解决核心密钥存储与密码学算法服务的问题。可信执行环境解决人脸活体检测算法执行、算法结果和人脸图像的完整性、认证性和机密性保护问题。用于支付应用平台的安全单元(SecureElement,SE),多为一颗独立的安全芯片,能够防止外部恶意解析攻击,保护核心敏感数据安全,在芯片中具有密码算法逻辑电路,可以向外部提供安全的密码学算法服务。SE概念在金融领域应用起源于金融IC卡芯片,后来在金融交易终端上逐渐推广具有类似功能的SE芯片,近年来手机终端也开始配备专用的嵌入式SE芯片。SE不仅能防止来自软件层的逻辑攻击,还能抵抗物理攻击,即使其被物理破坏拆解,也能够保护其中存储数据的安全。SE的安全防护能力极 ...
【技术保护点】
1.基于安全单元和可信执行环境的人脸支付安全方法,其特征在于,包括:/n可信执行环境中的人脸识别可信应用根据采集的人脸活体检测数据和人脸图像数据,生成活体百分率;/n安全单元对所述活体百分率和人脸图像数据进行签名和加密后将生成的签名结果和密文数据回传至所述人脸识别可信应用;/n支付应用判断所述活体百分率是否大于预设活体百分率阈值,若大于则进行身份认证,通过后进行剩余交易。/n
【技术特征摘要】
1.基于安全单元和可信执行环境的人脸支付安全方法,其特征在于,包括:
可信执行环境中的人脸识别可信应用根据采集的人脸活体检测数据和人脸图像数据,生成活体百分率;
安全单元对所述活体百分率和人脸图像数据进行签名和加密后将生成的签名结果和密文数据回传至所述人脸识别可信应用;
支付应用判断所述活体百分率是否大于预设活体百分率阈值,若大于则进行身份认证,通过后进行剩余交易。
2.根据权利要求1所述的基于安全单元和可信执行环境的人脸支付安全方法,其特征在于,所述可信执行环境中的人脸识别可信应用根据采集的人脸活体检测数据和人脸图像数据,包括:
支付应用判断所述人脸活体检测数据和人脸图像数据的采集是否完成;
若未完成,所述支付应用通过可信执行环境调用所述人脸识别可信应用;
所述人脸识别可信应用激活人脸识别摄像头用于抓取人脸数据。
3.根据权利要求1所述的基于安全单元和可信执行环境的人脸支付安全方法,其特征在于,所述可信执行环境中人脸识别可信应用通过采集的人脸活体检测数据和人脸图像数据,并生成活体百分率,包括:
人脸识别摄像头被所述可信执行环境中的人脸识别可信应用激活后抓取所述人脸活体检测数据和人脸图像数据;
所述人脸识别可信应用调用活体检测算法根据所述人脸活体检测数据和人脸图像数据计算得到所述活体百分率;
其中,人脸识别摄像头采集的所述人脸图像和所述人脸活体检测数据,仅通过可信执行环境通道传送至可信执行环境中对应的人脸识别工具。
4.根据权利要求1所述的基于安全单元和可信执行环境的人脸支付安全方法,其特征在于,所述安全单元对所述活体百分率和人脸图像数据进行签名和加密后将生成的签名结果和密文数据回传至所述人脸识别可信应用,包括:
所述人脸识别可信应用调用安全单元接口,所述安全单元对所述活体百分率和所述人脸图像数据进行签名运算,生成签名结果;
所述安全单元调用加密算法对所述活体百分率、签名结果和人脸图像数据进行加密运算,生成密文数据并将所述密文数据回传至所述人脸识别可信应用。
5.根据权利要求2所述的基于安全单元和可信执行环境的人脸支付安全方法,其特征在于,所述支付应用判断所述活体百分率是否大于预设活体百分率阈值,若大于则进行身份认证,包括:
若完成所述人脸活体检测数据和人脸图像数据的采集则直接利用活体百分率和已生成的密文数据执行支付认证流程;
支付应用将所述活体百分...
【专利技术属性】
技术研发人员:杨波,于鸽,尚可,董晶,
申请(专利权)人:北京银联金卡科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。