本發(fā)明涉及通訊領(lǐng)域，尤指一種指紋加密的裝置及實(shí)現(xiàn)方法。

背景技術(shù)：

目前指紋技術(shù)已經(jīng)成為手持移動(dòng)終端的一個(gè)標(biāo)準(zhǔn)配置而存在，蘋果的技術(shù)把指紋算法和指紋存儲(chǔ)放在CPU(Central Processing Unit，中央處理器)的隔離區(qū)中，安全性級(jí)別較低，因?yàn)門EE(Trust Execution Environment，可信執(zhí)行環(huán)境)的存儲(chǔ)安全性不夠，無(wú)法保證關(guān)鍵數(shù)據(jù)的安全，TEE的物理防御攻擊能力較差，在外部?jī)?nèi)存中的數(shù)據(jù)可能被篡改。

現(xiàn)有技術(shù)中，指紋的模板存儲(chǔ)在外掛FLASH(閃存)中，容易被破解，指紋模板是移動(dòng)終端指紋的關(guān)鍵，移動(dòng)終端指紋解鎖，指紋支付等均是使用當(dāng)前采集指紋，與指紋模板進(jìn)行比對(duì)，所以指紋模板是一個(gè)關(guān)鍵數(shù)據(jù)，應(yīng)需要更安全的方案。

技術(shù)實(shí)現(xiàn)要素：

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種指紋加密的裝置及實(shí)現(xiàn)方法，能夠保證指紋模板的安全存儲(chǔ)。

為了達(dá)到本發(fā)明目的，本發(fā)明提供了一種指紋加密的裝置，應(yīng)用于移動(dòng)終端，包括依次相連的指紋輸入模塊、主控模塊和指紋加密模塊，其中，

所述指紋輸入模塊用于接收輸入的指紋，發(fā)送至所述主控模塊；

所述主控模塊用于對(duì)接收到的指紋進(jìn)行圖像處理，提取指紋模板，將所述指紋模板中的部分?jǐn)?shù)據(jù)傳輸至所述指紋加密模塊；

所述指紋加密模塊用于對(duì)接收到的指紋模板數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

可選地，所述主控模塊還用于將所述指紋模板中的剩余部分?jǐn)?shù)據(jù)存儲(chǔ)至閃存中，在進(jìn)行指紋比對(duì)時(shí)，讀取所述指紋加密模塊中的指紋模板數(shù)據(jù)和閃存中的指紋模板數(shù)據(jù)并合并至隨機(jī)存取存儲(chǔ)器RAM中，形成完整的指紋模板。

可選地，所述主控模塊通過(guò)兩個(gè)獨(dú)立的串行外設(shè)接口SPI分別與所述指紋輸入模塊和指紋加密模塊相連；

所述主控模塊還用于通過(guò)SPI加擾的方式與所述指紋加密模塊和/或指紋輸入模塊傳輸數(shù)據(jù)。

可選地，所述指紋加密模塊還用于與所述移動(dòng)終端的主芯片序列號(hào)進(jìn)行綁定；與所述主控模塊通訊時(shí)，進(jìn)行主芯片序列號(hào)認(rèn)證，若認(rèn)證通過(guò)，則正常通訊，若認(rèn)證失敗，則拒絕通訊。

可選地，所述指紋加密模塊還用于對(duì)自身的引導(dǎo)文件進(jìn)行加密處理，以防止被惡意篡改。

本發(fā)明還提供了一種指紋加密的實(shí)現(xiàn)方法，應(yīng)用于移動(dòng)終端，包括：

指紋輸入模塊接收輸入的指紋，發(fā)送至主控模塊；

所述主控模塊對(duì)接收到的指紋進(jìn)行圖像處理，提取指紋模板，將所述指紋模板中的部分?jǐn)?shù)據(jù)傳輸至指紋加密模塊；

指紋加密模塊對(duì)接收到的指紋模板數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

可選地，所述實(shí)現(xiàn)方法還包括：

所述主控模塊將所述指紋模板中的剩余部分?jǐn)?shù)據(jù)存儲(chǔ)至閃存中；

在進(jìn)行指紋比對(duì)時(shí)，所述主控模塊讀取所述指紋加密模塊中的指紋模板數(shù)據(jù)和閃存中的指紋模板數(shù)據(jù)并合并至隨機(jī)存取存儲(chǔ)器RAM中，形成完整的指紋模板。

可選地，所述主控模塊通過(guò)SPI加擾的方式與所述指紋加密模塊和/或指紋輸入模塊傳輸數(shù)據(jù)。

可選地，所述實(shí)現(xiàn)方法還包括：

所述指紋加密模塊將所述移動(dòng)終端的主芯片序列號(hào)與自身綁定；

所述指紋加密模塊與所述主控模塊通訊時(shí)，進(jìn)行主芯片序列號(hào)認(rèn)證，若認(rèn)證通過(guò)，則正常通訊，若認(rèn)證失敗，則拒絕通訊。

可選地，所述實(shí)現(xiàn)方法還包括：

所述指紋加密模塊對(duì)自身的引導(dǎo)文件進(jìn)行加密處理，以防止被惡意篡改。

本發(fā)明實(shí)施例通過(guò)采用指紋加密模塊，對(duì)部分指紋模板數(shù)據(jù)進(jìn)行加密存儲(chǔ)，可以保證指紋模板的安全存儲(chǔ)。進(jìn)一步地，通過(guò)采用SPI加擾的方式，防止使用示波器等設(shè)備在SPI(Serial Peripheral Interface，串行外設(shè)接口)線上采集數(shù)據(jù)，保證數(shù)據(jù)傳輸?shù)陌踩?。通過(guò)綁定移動(dòng)終端的主芯片序列號(hào)，防止非法換安全芯片或非法訪問(wèn)。通過(guò)對(duì)指紋加密模塊自身的引導(dǎo)文件進(jìn)行加密，防止被惡意篡改，以及便于后續(xù)進(jìn)行軟件升級(jí)。

本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書(shū)中闡述，并且，部分地從說(shuō)明書(shū)中變得顯而易見(jiàn)，或者通過(guò)實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在說(shuō)明書(shū)、權(quán)利要求書(shū)以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得。

附圖說(shuō)明

附圖用來(lái)提供對(duì)本發(fā)明技術(shù)方案的進(jìn)一步理解，并且構(gòu)成說(shuō)明書(shū)的一部分，與本申請(qǐng)的實(shí)施例一起用于解釋本發(fā)明的技術(shù)方案，并不構(gòu)成對(duì)本發(fā)明技術(shù)方案的限制。

圖1為本發(fā)明實(shí)施例的指紋加密的裝置組成示意圖；

圖2為本發(fā)明應(yīng)用示例的指紋加密的裝置組成示意圖；

圖3為本發(fā)明實(shí)施例的指紋加密的實(shí)現(xiàn)方法流程圖；

圖4為本發(fā)明應(yīng)用示例的防止加密芯片非法替換和訪問(wèn)的流程圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白，下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明。需要說(shuō)明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。

在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行。并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

目前技術(shù)將指紋模板放在CPU隔離區(qū)中，但是安全級(jí)別不高。本發(fā)明實(shí)施例基于TEE基礎(chǔ)上進(jìn)行指紋模板的安全存儲(chǔ)，并使得當(dāng)前移動(dòng)終端指紋的驗(yàn)證流程等不改變。

如圖1所示，本發(fā)明實(shí)施例的指紋加密的裝置，應(yīng)用于移動(dòng)終端，包括依次相連的指紋輸入模塊11、主控模塊12和指紋加密模塊13，其中，

所述指紋輸入模塊11用于接收輸入的指紋，發(fā)送至所述主控模塊12；

所述主控模塊12用于對(duì)接收到的指紋進(jìn)行圖像處理，提取指紋模板，將所述指紋模板中的部分?jǐn)?shù)據(jù)傳輸至所述指紋加密模塊13；

所述指紋加密模塊13用于對(duì)接收到的指紋模板數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

因目前移動(dòng)終端指紋模板數(shù)據(jù)較大，通常大約30MB，所以全部加載到加密芯片中是不可能的，所以采用指紋數(shù)據(jù)分離存儲(chǔ)的方案。本實(shí)施例中，對(duì)部分指紋模板數(shù)據(jù)進(jìn)行加密存儲(chǔ)，可以保證指紋模板的安全存儲(chǔ)。

所述指紋輸入模塊11可采用指紋傳感器，所述主控模塊12可采用主控芯片，所述指紋加密模塊13可采用加密芯片。

在一可選實(shí)施例中，所述主控模塊12還用于將所述指紋模板中的剩余部分?jǐn)?shù)據(jù)存儲(chǔ)至閃存中，在進(jìn)行指紋比對(duì)時(shí)，讀取所述指紋加密模塊13中的指紋模板數(shù)據(jù)和閃存中的指紋模板數(shù)據(jù)并合并至隨機(jī)存取存儲(chǔ)器RAM中，形成完整的指紋模板。

本實(shí)施例中，在指紋比對(duì)時(shí)，將指紋加密模塊13中指紋模板數(shù)據(jù)和主控模塊12中的剩余部分指紋模板數(shù)據(jù)合并，得到完整的指紋模板，保證了指紋比對(duì)的完整性和安全性。

在一可選實(shí)施例中，所述主控模塊12通過(guò)兩個(gè)獨(dú)立的SPI分別與所述指紋輸入模塊11和指紋加密模塊13相連；所述主控模塊12還用于通過(guò)SPI加擾的方式與所述指紋加密模塊13和/或指紋輸入模塊11傳輸數(shù)據(jù)。

本實(shí)施例中，通過(guò)采用SPI加擾的方式，防止使用示波器等設(shè)備在SPI線上采集數(shù)據(jù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

在一可選實(shí)施例中，所述指紋加密模塊13還用于與所述移動(dòng)終端的主芯片序列號(hào)進(jìn)行綁定；與所述主控模塊11通訊時(shí)，進(jìn)行主芯片序列號(hào)認(rèn)證，若認(rèn)證通過(guò)，則正常通訊，若認(rèn)證失敗，則拒絕通訊。

本實(shí)施例中，通過(guò)綁定移動(dòng)終端的主芯片序列號(hào)，防止非法換安全芯片或非法訪問(wèn)。

在一可選實(shí)施例中，所述指紋加密模塊還用于對(duì)自身的引導(dǎo)文件(BOOT)進(jìn)行加密處理，以防止被惡意篡改。

本實(shí)施例中，通過(guò)對(duì)指紋加密模塊13自身的引導(dǎo)文件進(jìn)行加密，防止被惡意篡改，以及便于后續(xù)進(jìn)行軟件升級(jí)。

下面以一應(yīng)用示例進(jìn)行說(shuō)明。

如圖2所示，為本發(fā)明應(yīng)用示例的指紋加密的裝置組成示意圖，其中，本示例中，指紋輸入模塊采用指紋傳感器，例如電容式指紋傳感器，主控模塊采用主控芯片，指紋加密模塊采用指紋加密處理芯片。主控芯片外掛有閃存(FLASH)。

本應(yīng)用示例中，主控芯片有兩種工作模式，一種是正常工作模式，可以執(zhí)行富指令集，稱為REE環(huán)境(Rich Execution Environment)，另一種是安全模式，只能執(zhí)行受信任指令，稱為TEE環(huán)境。主控芯片針對(duì)指紋操作采用TEE環(huán)境，通過(guò)兩個(gè)獨(dú)立的SPI接口分別與指紋傳感器和指紋加密處理芯片連接。

指紋注冊(cè)時(shí)：按指紋傳感器，指紋算法處理在TEE中進(jìn)行，進(jìn)行指紋圖像處理，提取指紋模板；將指紋模板分取部分?jǐn)?shù)據(jù)傳輸給指紋加密處理芯片，剩余部分存儲(chǔ)到TEE FLASH中；

指紋比對(duì)時(shí)：移動(dòng)終端開(kāi)機(jī)時(shí)，首先將指紋加密處理芯片中的數(shù)據(jù)和TEE Flash中的指紋數(shù)據(jù)讀取并合成，搬移到主控芯片中的RAM中形成一個(gè)完整的指紋模板，移動(dòng)終端掉電后數(shù)據(jù)丟失。

其中，將部分指紋模板數(shù)據(jù)存儲(chǔ)到指紋加密處理芯片，通過(guò)SPI接口傳輸，傳輸時(shí)，采用SPI加擾技術(shù)，防止使用示波器等設(shè)備在SPI線上采集數(shù)據(jù)；存儲(chǔ)時(shí)采用對(duì)稱加密存儲(chǔ)，讀取時(shí)先進(jìn)行解密，然后再讀取。

通過(guò)綁定移動(dòng)終端的主芯片序列號(hào)，判讀是否允許讀取并存貯。

指紋加密處理芯片自身BOOT(引導(dǎo)文件)/COS(Card Operating System，卡片操作系統(tǒng))可以防止被惡意軟件更改，以及為了便于后續(xù)進(jìn)行軟件升級(jí)，所以BOOT也進(jìn)行加密處理。

在生成BOOT/COS的二進(jìn)制文件中，會(huì)在COS的地址空間的特定地址，亂序?qū)懭隑OOT文件的SHA(Secure Hash Algorithm，安全哈希算法)160的20個(gè)字節(jié)計(jì)算值。BOOT/COS代碼通過(guò)SPI收完下載文件后，計(jì)算文件的SHA160值并進(jìn)行對(duì)比，對(duì)比正確，則將二進(jìn)制文件寫入指紋加密處理芯片F(xiàn)LASH，否則不寫入并返回錯(cuò)誤。

如圖3所示，本發(fā)明實(shí)施例的指紋加密的實(shí)現(xiàn)方法包括如下步驟：

步驟201，指紋輸入模塊接收輸入的指紋，發(fā)送至主控模塊；

步驟202，所述主控模塊對(duì)接收到的指紋進(jìn)行圖像處理，提取指紋模板，將所述指紋模板中的部分?jǐn)?shù)據(jù)傳輸至指紋加密模塊；

步驟203，指紋加密模塊對(duì)接收到的指紋模板數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

因目前移動(dòng)終端指紋模板數(shù)據(jù)較大，通常大約30MB，所以全部加載到加密芯片中是不可能的，所以采用指紋數(shù)據(jù)分離存儲(chǔ)的方案。本實(shí)施例中，對(duì)部分指紋模板數(shù)據(jù)進(jìn)行加密存儲(chǔ)，可以保證指紋模板的安全存儲(chǔ)。

可選地，所述方法還包括：

所述主控模塊將所述指紋模板中的剩余部分?jǐn)?shù)據(jù)存儲(chǔ)至閃存中；

在進(jìn)行指紋比對(duì)時(shí)，所述主控模塊讀取所述指紋加密模塊中的指紋模板數(shù)據(jù)和閃存中的指紋模板數(shù)據(jù)并合并至隨機(jī)存取存儲(chǔ)器RAM中，形成完整的指紋模板。

在指紋比對(duì)時(shí)，將指紋加密模塊中指紋模板數(shù)據(jù)和主控模塊中的剩余部分指紋模板數(shù)據(jù)合并，得到完整的指紋模板，保證了指紋比對(duì)的完整性和安全性。

可選地，所述主控模塊通過(guò)SPI加擾的方式與所述指紋加密模塊和/或指紋輸入模塊傳輸數(shù)據(jù)。

通過(guò)采用SPI加擾的方式，防止使用示波器等設(shè)備在SPI線上采集數(shù)據(jù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

可選地，所述方法還包括：所述指紋加密模塊將所述移動(dòng)終端的主芯片序列號(hào)與自身綁定；

所述指紋加密模塊與所述主控模塊通訊時(shí)，進(jìn)行主芯片序列號(hào)認(rèn)證，若認(rèn)證通過(guò)，則正常通訊，若認(rèn)證失敗，則拒絕通訊。

通過(guò)綁定移動(dòng)終端的主芯片序列號(hào)，防止非法換安全芯片或非法訪問(wèn)。

可選地，所述方法還包括：所述指紋加密模塊對(duì)自身的引導(dǎo)文件進(jìn)行加密處理，以防止被惡意篡改。

通過(guò)對(duì)指紋加密模塊自身的引導(dǎo)文件進(jìn)行加密，防止被惡意篡改，以及便于后續(xù)進(jìn)行軟件升級(jí)。

如圖4所示，本發(fā)明應(yīng)用示例的防止加密芯片非法替換和訪問(wèn)的流程包括如下步驟：

步驟301，主控芯片與指紋加密處理芯片通訊時(shí)，首先初始化SPI；

步驟302，判斷指紋加密處理芯片是否綁定了移動(dòng)終端的主芯片序列號(hào)，若是，則步驟305，若否，則執(zhí)行步驟303；

步驟303，讀取移動(dòng)終端的主芯片序列號(hào)；

步驟304，指紋加密處理芯片綁定該序列號(hào)并設(shè)置綁定標(biāo)記；

步驟305，進(jìn)行主芯片序列號(hào)認(rèn)證；

步驟306，判斷認(rèn)證是否通過(guò)，若通過(guò)，則執(zhí)行步驟307，若不通過(guò)，則執(zhí)行步驟308；

步驟307，主控芯片與指紋加密處理芯片通訊。

步驟308，關(guān)閉SPI接口，拒絕通訊。

綜上所述，本發(fā)明實(shí)施例采用指紋數(shù)據(jù)分離存儲(chǔ)的方案，指紋數(shù)據(jù)存儲(chǔ)時(shí)，采用獨(dú)立的加密芯片的加密技術(shù)，實(shí)現(xiàn)數(shù)據(jù)傳輸加密。采用與移動(dòng)終端ID綁定加密認(rèn)證技術(shù)，實(shí)現(xiàn)加密芯片防拆技術(shù)。以及，采用BOOT/COS加密技術(shù)，實(shí)現(xiàn)BOOT/COS防篡改，保證了指紋模板存儲(chǔ)、傳輸?shù)陌踩?，以及加密芯片自身安全防拆及軟件更新的安全性，并且符合?dāng)前移動(dòng)終端的應(yīng)用環(huán)境及應(yīng)用場(chǎng)景。

顯然，本領(lǐng)域的技術(shù)人員應(yīng)該明白，上述的本發(fā)明實(shí)施例的模塊或步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn)，它們可以集中在單個(gè)的計(jì)算裝置上，或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn)，從而，可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行，并且在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟，或者將它們分別制作成集成電路模塊，或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣，本發(fā)明實(shí)施例不限制于任何特定的硬件和軟件結(jié)合。

雖然本發(fā)明所揭露的實(shí)施方式如上，但所述的內(nèi)容僅為便于理解本發(fā)明而采用的實(shí)施方式，并非用以限定本發(fā)明。任何本發(fā)明所屬領(lǐng)域內(nèi)的技術(shù)人員，在不脫離本發(fā)明所揭露的精神和范圍的前提下，可以在實(shí)施的形式及細(xì)節(jié)上進(jìn)行任何的修改與變化，但本發(fā)明的專利保護(hù)范圍，仍須以所附的權(quán)利要求書(shū)所界定的范圍為準(zhǔn)。