[发明专利]基于安全单元和可信执行环境的人脸支付安全方法及平台

说明书

本发明涉及人脸支付安全技术领域，具体为基于安全单元和可信执行环境的人脸支付安全方法及平台，包括如下步骤：S1：获取用户的人脸特征，对获取的用户人脸特征进行识别并存储；S2：将用户人脸特征通过存储单元绑定在本地装置，本地装置通过安全加密芯片对用户人脸特征进行加密处理；S3：人脸支付时服务终端收到支付请求，支付应用调用摄像头获取支付用户的人脸特征，人脸识别单元对支付用户的人脸特征与存储在存储单元内的用户人脸特征进行识别匹配。本发明中本地装置通过安全加密芯片对用户人脸特征进行加密处理，服务终端与支付应用之间通过密钥方式进行加密传输，形成多重加密防护，有效保护人脸支付程序，提高人脸支付的安全性。

技术领域

本发明涉及人脸支付安全方法及平台，特别是涉及基于安全单元和可信执行环境的人脸支付安全方法及平台，属于人脸支付安全技术领域。

背景技术

随着科技的不断进步，生物识别技术的应用也越来越广泛，尤其是人脸识别，已广泛应用于身份认证、移动支付、模拟动态表情等场景，人脸识别支付系统是一款基于脸部识别系统的支付平台，该系统不需要钱包、信用卡或手机，支付时只需要面对POS机屏幕上的摄像头，系统会自动将消费者面部信息与个人账户相关联，整个交易过程十分便捷。

中国发明专利CN 110555706 A提供基于安全单元和可信执行环境的人脸支付安全方法及平台，通过人脸识别可信应用和人脸识别摄像头采集的人脸活体检测数据和人脸图像数据，可信执行环境计算获取活体百分率后调用安全单元获取百分率签名结果及密文数据，支付应用判断活体百分率是否大于预设活体百分率阈值，若大于则在富执行环境中结合密码键盘进行用户身份认证和剩余交易。本方案中，安全单元提供安全的密码学算法服务和人脸识别数据保护密钥，可信执行环境保证了人脸活体检测算法的安全执行，并通过与人脸识别摄像头直连保证了人脸支付过程中各数据的完整性、认证性和机密性的保护。

中国发明专利CN 107506986 A涉及一种基于安全环境或可信执行环境的支付方法以及支付系统。该方法包括下述步骤：从用户终端将与用户私钥对应的用户公钥发送到支付平台以申请用户证书，在用户终端的安全环境或可信执行环境中存储所述用户私钥以及从支付平台返回的用户证书和支付根证书；商户终端提供包含订单信息的二维码信息并对二维码信息用商户私钥进行签名；用户终端获取所述二维码信息并验证二维码信息的有效性；以及用户终端在验证二维码信息有效的情况下，将所述订单信息在用户终端的安全环境或可信执行环境中利用用户私钥进行签名并将签名后的订单信息上传到支付平台。根据本发明，能够在提供便捷支付方式的基础上保证支付的安全性。

上述两个发明专利均提出了支付方法，但是在人脸支付过程中对于用户人脸特征的保护不足，容易导致用户人脸特征在支付过程中别窃取，不能完全保护用户的支付信息，支付安全等级低，大大降低人脸支付的安全性。

因此，亟需对人脸支付安全方法及平台进行改进，以解决上述存在的问题。

发明内容

本发明的目的是提供基于安全单元和可信执行环境的人脸支付安全方法及平台，本发明中用户人脸特征通过存储单元绑定在本地装置，本地装置通过安全加密芯片对摄像头获取的用户人脸特征进行加密处理，同时可信执行环境中的服务终端与本地装置内的支付应用之间通过密钥方式进行加密传输，形成多重加密防护，有效保护人脸支付程序，提高人脸支付的安全性。

为了达到上述目的，本发明采用的主要技术方案包括：

一种基于安全单元和可信执行环境的人脸支付安全方法，包括如下步骤：

S1：可信执行环境中的可信应用通过摄像头获取用户的人脸特征，可信执行环境中的人脸识别单元对摄像头获取的用户人脸特征进行识别，并将识别后的用户人脸特征存储在可信执行环境中的存储单元内；

S2：将用户人脸特征通过存储单元绑定在本地装置，本地装置通过安全加密芯片对摄像头获取的用户人脸特征进行加密处理；