生物识别方法及装置制造方法及图纸

本申请公开了一种生物识别方法及装置，属于计算机技术领域。该方法包括：在TEE下获取生物图像后，在所述TEE下提取所述生物图像中的生物特征数据，然后在SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果。本申请中由于SE的安全级别高于TEE，所以使得生物识别功能达到了高安全级别。并且，由于生物特征数据的模板匹配的计算复杂不高，SE的处理压力较小，所以可以保证模板匹配速度较高，从而可以保证生物识别速度较高。如此，本申请在仅略微增加时延，且不影响生物识别性能的情况下，使得生物识别得到了高安全级别的保护，从而可以提高生物识别的安全性。

【技术实现步骤摘要】
【国外来华专利技术】生物识别方法及装置
本申请涉及计算机
，特别涉及一种生物识别方法及装置。
技术介绍
生物识别是指通过将计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的诸如生理特征(如指纹、人脸、或虹膜等)、或行为特征(如笔迹、声音、或步态等)等生物特征来进行个人身份的鉴定。随着计算机技术的发展，生物识别已经作为一种便捷又相对安全的人机验证方式被广泛使用。由于用户的生物特征是用户不可更换的资产，且终端可以使用生物特征来进行系统解锁、或数值转移等操作，所以为了保证数据安全，生物识别过程要求在终端的安全区域中实现。目前，终端中可以设置有可信执行环境(TrustedExecutionEnvironment，TEE)，终端可以在TEE下进行生物识别过程。具体地，终端可以在TEE下，先获取生物图像，再提取该生物图像中的生物特征数据，然后将该生物特征数据与存储的生物特征模板进行匹配，得到生物识别结果。然而，TEE的安全程度有限，还是比较容易被攻击者攻击。当攻击者攻破TEE后，就可以在不对该生物特征数据进行匹配的情况下，直接控制输出的生物识别结果为识别通过；或者，可以将存储的生物特征模板替换为其它的生物特征模板，以使该生物特征数据匹配成功，继而输出的生物识别结果就会为识别通过。如此，导致生物识别的安全性较低。
技术实现思路
本申请提供了一种生物识别方法及装置，可以提高生物识别的安全性。所述技术方案如下：第一方面，提供了一种生物识别方法，其特征在于，所述方法包括：在TEE下获取生物图像；在所述TEE下提取所述生物图像中的生物特征数据；在安全元件(SecureElement，SE)中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果。需要说明的是，生物图像为包含有生物特征的图像，例如，该生物图像可以为指纹图像、掌纹图像、人脸图像或虹膜图像等中的至少一个。此时该生物特征模板可以为指纹模板、掌纹模板、人脸模板或虹膜模板中的至少一个。在本申请实施例中，在TEE下获取生物图像并提取该生物图像中的生物特征数据，由于TEE的安全级别高于普通执行环境(RichExecutionEnvironment，REE)，所以可以保证生物图像和生物特征数据的安全。并且，由于TEE运行时是使用系统处理器，因而TTE下的计算能力和存储能力都较高，所以可以保证生物特征数据的提取速度较高，从而保证生物识别速度较高。另外，在SE中对生物特征数据进行至少一部分模板匹配并输出生物识别结果，由于SE的安全级别高于TEE，所以使得生物识别功能达到了高安全级别。并且，由于生物特征数据的模板匹配的计算复杂不高，SE的处理压力较小，所以可以保证模板匹配速度较高，从而可以保证生物识别速度较高。如此，提供了一种用SE支持生物识别的方案，在仅略微增加时延，且不影响生物识别性能(识别率和误识率)的情况下，使得生物识别得到了高安全级别的保护，从而可以提高生物识别的安全性。一种可能的实现方式中，所述在SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果之前，还包括：在所述TEE下将所述生物特征数据的全部发送至所述SE。相应地，所述在SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果，包括：在所述SE中，将所述生物特征数据的全部与预设的生物特征模板进行匹配，得到生物识别结果。在本申请实施例中，可以由SE全部完成对该生物特征数据的模板匹配来得到生物识别结果，从而可以大大提高生物识别的安全性。另一种可能的实现方式中，所述在SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果之前，还包括：在所述TEE下，将所述生物特征数据中的至少一部分数据与第一生物特征模板进行第一匹配，得到第一匹配结果；在所述TEE下将所述第一匹配结果和将所述生物特征数据中的至少另一部分数据发送至所述SE。相应地，所述在SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果，包括：在所述SE中，将所述生物特征数据中的至少另一部分数据与第二生物特征模板进行第二匹配，得到第二匹配结果，并根据所述第一匹配结果和所述第二匹配结果，确定生物识别结果。需要说明的是，第一生物特征模板和第二生物特征模板均属于预设的生物特征模板，且第二生物特征模板包括预设的生物特征模板中不同于第一生物特征模板的部分，即第二生物特征模板和第一生物特征模板可以不完全相同，例如，第一生物特征模板和第二生物特征模板可以有所重叠。再例如，第一生物特征模板和第二生物特征模板可以完全不同，即第一生物特征模板和第二生物特征模板可以分别为预设的生物特征模板中的不同部分。在本申请实施例中，可以由TEE和SE结合完成对该生物特征数据的模板匹配来得到生物识别结果，即是由TEE和SE来进行两段式的模板匹配，如此可以有效保证模板匹配速度不因使用SE而产生较大的影响，从而在提高生物识别的安全性的同时，可以保证模板匹配速度较高，继而可以保证生物识别速度较高。值得注意的是，所述在TEE下获取生物图像之前，还包括：获取所述预设的生物特征模板；从所述预设的生物特征模板中提取所述第一生物特征模板和所述第二生物特征模板。需要说明的是，预设的生物特征模板可以为在生物注册成功后生成的完整的生物特征模板。从预设的生物特征模板中提取第一生物特征模板和第二生物特征模板后，为了保证第一生物特征模板和第二生物特征模板的安全，可以将第一生物特征模板存储于TEE下的存储器中，将第二生物特征模板存储于SE中。进一步地，将所述生物特征数据中的至少另一部分数据与第二生物特征模板进行第二匹配之前，还包括：当所述第一匹配结果指示的匹配度大于或等于第一匹配度时，触发在所述SE中，将所述至少另一部分数据与第二生物特征模板进行第二匹配的操作。当所述第一匹配结果指示的匹配度小于第一匹配度时，在所述TEE下直接确定生物识别结果为识别不通过，结束生物识别操作。在本申请实施例中，当第一匹配结果指示的匹配度小于第一匹配度时，表明该生物特征数据中的至少一部分数据与第一生物特征模板很不匹配，即在TEE下进行的第一段模板匹配的匹配程度非常低，因而此时无需在SE中进行第二段模板匹配，可以直接在TEE下确定生物识别不通过，结束生物识别操作。如此，当对一个没有进行生物注册的生物图像进行识别时，就可以很快确定出生物识别不通过，从而可以减小在输入的生物图像错误的情况下的生物识别时延。当第一匹配结果指示的匹配度大于或等于第一匹配度时，表明该生物特征数据中的至少一部分数据与第一生物特征模板较为匹配，即在TEE下进行的第一段模板匹配的匹配程度不是非常低，因而此时可以继续在SE中进行第二段模板匹配，并由SE进行最终的生物识别结果的输出。如此，可以保证生物识别的准确率。需要说明的是，可以存在多个第一生物特征模板和多个第二生物特征模板，所述多个第一生物特征模板与所述多个第二生物特征模板一一对应，对应的一个第一生物特征模板与一个第二生物特征模板属本文档来自技高网...

【技术保护点】
一种生物识别方法，其特征在于，所述方法包括：/n在可信执行环境TEE下获取生物图像；/n在所述TEE下提取所述生物图像中的生物特征数据；/n在安全元件SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果。/n

【技术特征摘要】
【国外来华专利技术】一种生物识别方法，其特征在于，所述方法包括：
在可信执行环境TEE下获取生物图像；
在所述TEE下提取所述生物图像中的生物特征数据；
在安全元件SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果。


如权利要求1所述的方法，其特征在于，所述在安全元件SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果之前，还包括：
在所述TEE下将所述生物特征数据的全部发送至所述SE；
相应地，所述在安全元件SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果，包括：
在所述SE中，将所述生物特征数据的全部与预设的生物特征模板进行匹配，得到生物识别结果。


如权利要求1所述的方法，其特征在于，所述在安全元件SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果之前，还包括：
在所述TEE下，将所述生物特征数据中的至少一部分数据与第一生物特征模板进行第一匹配，得到第一匹配结果；
在所述TEE下将所述第一匹配结果和将所述生物特征数据中的至少另一部分数据发送至所述SE；
相应地，所述在安全元件SE中，将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果，包括：
在所述SE中，将所述生物特征数据中的至少另一部分数据与第二生物特征模板进行第二匹配，得到第二匹配结果，并根据所述第一匹配结果和所述第二匹配结果，确定生物识别结果；
其中，所述第二生物特征模板包括预设的生物特征模板中不同于所述第一生物特征模板的部分。


如权利要求3所述的方法，其特征在于，所述第一生物特征模板和所述第二生物特征模板分别为预设的生物特征模板中的不同部分。


如权利要求3或4所述的方法，其特征在于，所述在可信执行环境TEE下获取生物图像之前，还包括：
获取所述预设的生物特征模板；
从所述预设的生物特征模板中提取所述第一生物特征模板和所述第二生物特征模板。


如权利要求3-5中任一项所述的方法，其特征在于，所述在所述SE中，将所述生物特征数据中的至少另一部分数据与第二生物特征模板进行第二匹配之前，还包括：
当所述第一匹配结果指示的匹配度大于或等于第一匹配度时，触发在所述SE中，将所述至少另一部分数据与第二生物特征模板进行第二匹配的操作。


如权利要求3-6中任一项所述的方法，其特征在于，存在多个第一生物特征模板和多个第二生物特征模板，所述多个第一生物特征模板与所述多个第二生物特征模板一一对应，对应的一个第一生物特征模板与一个第二生物特征模板属于同一个预设的生物特征模板；
所述在所述TEE下，将所述生物特征数据中的至少一部分数据与第一生物特征模板进行第一匹配，得到第一匹配结果，包括：
在所述TEE下，将所述至少一部分数据与所述多个第一生物特征模板中的每个第一生物特征模板进行第一匹配，得到所述每个第一生物特征模板对应的第一匹配结果；
相应地，所述在所述SE中，将所述生物特征数据中的至少另一部分数据与第二生物特征模板进行第二匹配，得到第二匹配结果，并根据所述第一匹配结果和所述第二匹配结果，确定生物识别结果，包括：
在所述SE中，按照所述多个第一生物特征模板对应的多个第一匹配结果指示的多个匹配度由高到低的顺序，对所述多个第二生物特征模板进行排序；
在所述SE中，按照所述排序，将所述至少另一部分数据依次与所述多个第二生物特征模板进行第二匹配；
在所述SE中，每当完成所述至少另一部分数据与一个第二生物特征模板的第二匹配时，得到一个第二匹配结果，根据所述第二匹配结果和所述第一匹配结果，确定对应于所述第二生物特征模板的生物识别结果。


如权利要求1-7中任一项所述的方法，其特征在于，所述生物特征模板为指纹模板、人脸模板或虹膜模板中的至少一个。


一种生物识别装置，其特征在于，所述装置包括：处理器和安全元件SE；
所述处理器，用于在可信执行环境TEE下，获取生物图像，提取所述生物图像中的生物特征数据；
所述SE，用于将所述生物特征数据的全部或部分与生物特征模板进行匹配，得到生物识别结果。


如权利要求9所述的装置，其特征在于，
所述处理器，还用于在所述TEE下将所述生物特征数据的全部发送至所述SE；
相应地，所述SE，用于将所述生物特征数据的全部与预设的生物特征模板进行匹配，得到生物识别结果。


如权利要求9所述的装置，其特征在于，
所述处理器，还用于在所述TEE下，将所述生物特征数据中的至少一部分数据与第一生物特征模板进行第一匹配，得到第一匹配结果；在所述TEE下将所述第一匹配结果和将所述生物特征数据中的至少另一部分数据发送至所述SE；
相应地，所述SE，用于将所述生物特征数据中的至少另一部分数据与第二生物特征...

【专利技术属性】
技术研发人员：潘时林，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44