[发明专利]一种带生物特征识别功能的身份认证系统及其认证方法

权利要求书

1.一种带生物特征识别功能的身份认证系统，其特征在于：包括CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元、PKI系统和传感器系统；

所述传感器系统单元包括指纹和或面部和或虹膜生物特征采集传感器，控制传感器并生成特征的MCU组成的特征采集生成模组单元；

所述PKI系统包括利用PKI体系完成数字签名所需的软、硬件系统；

所述CPU主控单元用于为各种底层软件COS及生物识别算法软件提供硬件执行的平台；

所述系统控制单元用于为系统运行及防止非法破解攻击提供必须的硬件设备；

所述硬件加解密单元用于保护个人信息和数据信息的安全存储及传输所需的各种加解密算法；

所述带MPU保护功能的片上存储器用于实现个人信息、数据、程序、密钥、系统参数数据的安全存储及安全访问；该单元包括存储器逻辑控制部分及存储介质部分，其中存储器逻辑控制部分包含加解密控制、擦除控制、逻辑分区控制及读写权限控制，对存储介质的读、写、擦除、写入保护、读保护、数据加解密操作；存储介质部分划分成JTAG锁止域、用户域、唯一序列号域、开放数据区、保护数据区、一般程序区、只执行程序区、配置参数区；其中JTAG锁止域、用户域、唯一序列号域为一次性写入区域，写入数据后不能修改；JTAG锁止域设定后不能通过JTAG接口仿真调试程序，用户域允许用户一次性写入数据，序列号域存放唯一序列号；保护数据区加密存储区，只执行程序区CPU只可执行程序不可读出，所有区域都具有写使能保护功能；

所述对外通讯单元用于系统软件与外部控制设备进行通讯及数据交换；

所述人机交互控制单元用于系统软件获取外部设备信息及状态、控制和/或指示外部设备；

所述外部存储器控制单元用于实现较大容量的数据安全存放，通过硬件加解密单元完成对数据流的加解密。

2.根据权利要求1所述的带生物特征识别功能的身份认证系统，其特征是：用户密钥放在用户域，核心程序放在只执行程序区，用户生物特征数据放在保护数据区，其他数据放在开放数据区，用户COS程序放在一般程序区；CPU主控单元通过指令Cache读取并执行程序区代码，存储区域的数据通过加解密通道进行加密存储及解密读出，该加密通道通过寄存器来配置设定。

3.一种采用如权利要求1所述的带生物特征识别功能的身份认证系统的认证方法，其特征在于：通过片上生物特征比对的方法实现对设备持有人身份的认证，通过PKI系统实现设备中存储的个人身份对银行终端的安全认证，具体步骤如下：

一、生产及发行初始化流程如下：

1)发行机构和/或其指定机构完成相关COS系统的开发及烧录后提供给发行机构；

2)发行机构通过外部主控系统采集申请用户的生物特征信息；

3)发行机构根据用户申请生成包含生物特征信息的数字证书；

4)发行机构主控系统通过设备对外通讯单元与设备通讯，将该数字证书加密写入到带MPU保护功能的片上存储器上；

5)初始化完成；

二、实现设备持有人对银行终端的认证的流程如下：

1)通过人机交互控制单元采集外部传感器生物信息；

2)根据获取到生物信息并提取其特征A；

3)外部主控系统通过对外通讯单元将上述生物特征传输到CPU主控单元；

4)CPU主控单元读取带MPU保护功能的片上存储器上的用户生物特征信息B，并通过硬件加解密单元对读出的用户特征信息解密；

5)CPU主控单元运行生物特征比对算法完成生物特征A与生物特征B的比对，如果比对失败则CPU主控单元通过对外通讯单元向外部主控系统返回比对失败应答包，并记录失败次数；如果连续比对失败超过系统设定的x次，则系统自动锁定；如果比对成功则CPU主控单元通过对外通讯单元向外部主控系统返回比对成功应答包，同时发送PKI系统所需要的加密后的用户数字证书给外部主控系统；

6)外部主控系统成功获取到硬件身份认证芯片返回的加密用户数字证书后通过有线方式或无线方式将信息发送到银行终端完成设备持有人的身份认证；

7)认证成功。