一种指纹安全单元se模组及支付验证方法
【技术领域】
[0001]本发明涉及一种指纹安全单元SE模组及支付验证方法。
【背景技术】
[0002]目前市面上主流的移动终端指纹识别模组大部分是直接用处理器进行对指纹特征提取,分析,存储。这样虽然可以实现指纹功能,但是大部分处理器不具备安全单元这样高的安全级别,因此在指纹支付的时候,会有很大风险。鉴于个人指纹是唯一且不可更改的绝密隐私信息。如果一但泄露出去,被人复制后果将不可想象。而当前移动终端指纹方案采用更多的则是利用CPU里面集成的ARM的TrustZone技术,类似于在ARM里面虚拟出一块区域来实现安全性能,虽然这种方式能够暂时缓解安全性能,但是安全认证的时间远远慢于移动终端CPU更新的速度。再加上现在移动终端的开放性能权限越来越大,各种刷机等等带来的隐患和风险,移动终端内部CPU集成的TrustZone技术面对这种情况,也变得犹未可知。
【发明内容】
[0003]本发明提供了一种安全性高、验证效率高的指纹安全单元SE模组及支付验证方法,其中SE (secure element)是带有指纹存储及验证的安全单元;KEY是具有身份认证功能的密码设备。
[0004]本发明采用的技术方案是:
一种指纹安全单元SE模组,其特征在于:包括与移动终端应用处理器通讯连接的安全单元SE,所述安全单元SE上连接有用于采集指纹的生物信息传感器,所述安全单元SE包括存储证书信息和用户账户信息以及指纹信息的非易失性存储器、与生物信息传感器连接的实现指纹采集生成比对的指纹系统管理单元、与非易失性存储器连接的管理各种信息的文件系统管理单元、作为核心处理的安全处理单元、用于数据加解密的算法管理单元。本发明是将传统移动终端直接对指纹传感器方法处理转变成,建立以独立安全芯片机制的具有SE指纹模组,使得整个与指纹一切相关的操作方式均与移动终端应用处理器没有关系,既保证了移动终端应用处理器更新换代研发的效率性,也保证了指纹安全性和便利性。生物信息传感器与安全单元SE相连后再与移动终端应用处理器相连,防止人为的对指纹信息进行截取,篡改。再由于安全单元SE内部的文件系统管理单元和安全处理单元双重机制下,让SE指纹模组在使用KEY的时候,具有非常便捷,安全高效性能。生物信息传感器采集的指纹信息直接存储在SE内的非易失性存储器中,在安全单元SE内进行特征生成与比对,防止人为的对指纹信息进行截取和篡改,保证了指纹信息的安全性。
[0005]进一步,所述安全单元SE与移动终端应用处理器之间是密文形式通讯。安全单元SE将指纹相关操作完成之后,会用密文的形式发送出来,而移动终端在通过安全协议进行解密,把结果解读出来。移动终端只是主动进行了对指纹相关操作命令进行发起,并且移动终端与SE模组命令交互的时候,均是以密文形式进行通信,也不会存在被截取或者截获之后被解码的风险。
[0006]进一步,所述安全单元SE与移动终端应用处理器之间是串行数据口连接通讯。串行数据口可以是SP1、IIC、UART等常用接口。发送出来具有加密效果的密文,使得外界无法截取和获得。
[0007]上述指纹安全单元SE模组的支付验证方法,其具体步骤如下:
(1)移动终端获取支付信息,通知服务器启动支付流程;
(2)移动终端、服务器和指纹安全单元SE模组互相认证,建立安全通道,产生会话秘钥;
(3)安全单元SE通知生物信息传感器采集指纹,生物信息传感器将采集到的指纹信息传输给安全单元SE,并在安全单元SE中生成指纹特征,安全单元SE返回检测到有效指纹信息的消息给移动终端,移动终端确认支付并发送支付命令给安全单元SE,安全单元SE比对指纹信息、认证身份、判断账户信息、支付处理并产生交易报文给移动终端;或者,移动终端确认支付并发送支付命令给安全单元SE,安全单元SE通知生物信息传感器采集指纹,生物信息传感器将采集到的指纹信息传输给安全单元SE,并在安全单元SE中生成指纹特征并比对指纹信息,认证身份、判断账户信息、确认证书、支付处理并产生交易报文给移动终端;
(4)移动终端将交易报文发送给服务器;
(5)服务器处理交易信息,返回结果给移动终端;
(6)移动终端确认支付完成。本方法很好安全便捷取代了以前移动终端支付需要通过短信或者密码来验证支付的方式,而且所有与指纹相关的操作均在安全单元SE里面进行,有效并安全保证了指纹的机密性和安全性,KEY的随机密码通过密文的方式发送,具有有效和安全性;并且所有指纹信息,KEY信息均能保证不被其它应用所篡改。
[0008]进一步,服务器和安全单元SE认证过程如下:
a、服务器发送认证信息给安全单元SE;
b、安全单元SE认证服务器信息,不通过则拒绝;通过后发送安全单元SE认证信息给服务器;
c、服务器认证安全单元SE信息,不通过则拒绝;通过后发送确认信息给安全单元SE;
d、步骤b、c都通过后,完成认证;
e、通过秘钥交换协议产生会话秘钥,完成安全通道建立。
[0009]进一步,在支付验证前需要将指纹信息、账户信息注册存储在安全单元SE里,其具体步骤如下:
A、移动终端获取注册信息并进行移动终端权限确认,确认成功后进行账户信息注册并通知安全单元SE录入支付指纹;
B、安全单元SE通知生物信息传感器采集指纹,安全单元SE进行指纹采集生成合成模板并返回成功指令给移动终端;
C、移动终端发送存储命令给安全单元SE,安全单元SE将相关账户信息、指纹信息存储并返回成功指令给移动终端;
D、移动终端显示注册成功。
[0010]进一步,移动终端权限确认的步骤包括: 1、移动终端发送登入指令给安全单元SE;
I1、安全单元SE通知生物信息传感器采集指纹,安全单元SE进行指纹采集、生成并比对,并返回成功指令给移动终端;
II1、移动终端权限确认完成。
[0011]本发明的有益效果:建立以独立安全芯片机制的具有SE指纹模组,使得整个与指纹一切相关的操作方式均与移动终端没有关系,既保证了移动终端更新换代研发的效率性,也保证了指纹安全性和便利性。所有与指纹相关的操作均在安全单元SE里面进行,有效并安全保证了指纹的机密性和安全性,KEY的随机密码通过密文的方式发送,具有有效和安全性;并且所有指纹信息,KEY信息均能保证不被其它应用所篡改。移动终端只需要通过串行通讯接口直接对SE指纹模块的进行访问,既可以开发,大大缩短了开发时间和加大了工作效率。
【附图说明】
[0012]图1是本发明的应用逻辑图。
[0013]图2是本发明中安全单元SE的具体结构示意图。
[0014]图3是本发明与移动终端交互工作方式示意图。
[0015]图4是本发明中实施例二的支付验证流程图。
[0016]图5是本发明中实施例二的支付验证具体使用流程图。
[0017]图6是本发明中实施例三的支付验证流程图。
[0018]图7是本发明中实施例三的支付验证具体使用流程图。
[0019]图8是本发明的注册流程图。
[0020]图9是本发明的注册具体使用流程图。
【具体实施方式】
[0021]下面结合具体实施例来对本发明进行进一步说明,但并不将本发明局限于这些【具体实施方式】。本领域技术人员应该认识到,本发明涵盖了权利要求书范围内所可能包括的所有备选方案、改进方案和等效方案。
[0022]实施例一
参见图1-3,一种指纹安全单元SE模组,包括与移动终端应用处理器4通讯连接的安全单元SEl,所述安全单元SEl上连接有用于采集指纹的生物信息传感器2,所述安全单元SEl包括存储证书信息和用户账户信息以及指纹信息的非易失性存储器3、与生物信息传感器2连接的实现指纹采集生成比对的指纹系统管理单元11、与非易失性存储器3连接的管理各种信息的文件系统管理单元12、作为核心处理的安全处理单元13、用于数据加解密的算法管理单元14。本发明是将传统移动终端直接对指纹传感器方法处理转变成,建立以独立安全芯片机制的具有SE指纹模组,使得整个与指纹一切相关的操作方式均与移动终端应用处理器4没有关系,既保证了移动终端更新换代研发的效率性,也保证了指纹安全性和便利性。生物信息传感器与安全单元SE相连后再与移动终端应用处理器相连,防止人为的对指纹信息进行截取,篡改。再由于安全单元SE内部的文件系统管理单元12和安全处理单元13双重机制下,让SE指纹模组在使用KEY的时候,具有非常便捷,安全高效性能。生物信息传感器2采集的指纹信息直接存储在SE内的非易失性存储器中,在安全单元SEl内进行特征生成与比对,防止人为的对指纹信息进行截取和篡改,保证了指纹信息的安全性。
[0023]本实施例的安全单元SEl是含有安全内核的S0C,安全内核必须要有一种或多种公私钥加解密算法、分组数据加解密算法和杂凑算法;安全处理单元13