[发明专利]生物识别安全装置

说明书

本发明涉及一种生物识别安全装置。所述生物识别安全装置包括生物识别信息获取模块与处理模块。所述处理模块具有非易失性储存单元与处理单元。非易失性储存单元包括安全储存单元与通用储存单元。具有安全电子密钥设计供储存秘密数据的生物识别安全装置利用TrustZone^TM(或相似技术)与生物识别认证技术，如此一来，它可以为多个用户或应用程序提供使用生物识别安全装置或生物识别安全装置所安装的任何设备的灵活性，却不会损害储存在其中数据的安全性。

技术领域

本发明涉及一种生物识别安全装置，特别是涉及一种具有生物识别认证功能的安全数字电子密钥的生物识别安全装置及操作所述安全数字电子密钥的方法。

背景技术

物联网影响我们与周围的世界进行互动的方式。数十亿的“物”正在相互沟通，从电视机、电冰箱和汽车，到智能电表，健康监测仪和穿戴式设备，物联网安全是获得和保持消费者对隐私信任并充分发挥物联网承诺的全部潜力的关键。硬件安全模块(HardwareSecurity Modules，HSMs)用于保护最敏感的物联网设备的数字密钥，其集中储存在服务器或其它系统上。智能型手机是终端用户储存个人数字密钥的流行电子设备。然而，这些终端用户设备或许不够安全，也许不够方便使用，无法让第三方存取利用其中构建的安全环境，以使用数据密钥。事实上，许多智能型手机都拒绝第三方应用程序存取其安全环境。此外，智能型手机的设计不是用来管理单个设备(如连接的汽车或智能设备)的多个用户。

近年来，ARM^TM提供的TrustZone^TM技术，基于硬件的安全建置于系统单芯片中，以提供安全端点和设备信任源。许多智能型手机和物联网设备都在使用TrustZone^TM技术以储存数字密钥于可信赖的环境中，以改善其安全，但它们只能在攻击者没有取得系统权限的情况下，确保储存于其中数据密钥的机密性和完整性。使用安全组件作为设备中的密钥储存可以解决机密性和完整性问题，但它不符合成本效益。

美国专利第9,690,916号提供一种包括电子钥匙的多功能识别系统，秘密数据(数字密钥)储存于其中并使用用户的生物识别数据加密。电子密钥可能是安全的，但所有与密钥一起工作的电器软件可能需要系统制造商提供，且所有电器和密钥都需要具有相同的电器连接器。然而，各种设备(如ATM设备、汽车和电子锁)不太可能具有相同的电器连接器。此外，当需要强健的安全机制时，一个系统可能具有独特的设计，其中的设备软件可能无法适应其它系统。

为了解决上述问题，期望能有一种终端用户密钥存储设备的更灵活的设计产品。利用TrustZone^TM(或相似技术)与生物识别认证技术，具有安全电子密钥设计供储存秘密数据的生物识别安全装置可以提供使用的灵活性而不影响储存于其中数据的安全性。

发明内容

基于此，有必要针对上述技术问题，提供一种生物识别安全装置。

一种生物识别安全装置，其中，所述装置包括：

生物识别信息获取模块，所述生物识别信息获取模块用于获取生物识别信息，并将所述生物识别信息转换为取得的生物识别数据；

处理模块，所述处理模块内安装有管理软件，所述处理模块配置有两个隔离的环境：安全执行环境与普通执行环境；存储在所述安全执行环境中的任何指令和数据无法从所述普通执行环境或外部设备进行存取，所述处理模块包括非易失性储存单元，所述非易失性储存单元包括：

安全储存单元，所述安全储存单元包括生物辨识数据库、应用数据库与所述管理软件的指令，所述生物辨识数据库具有多个生物识别条目；每一个生物识别条目包括至少一个储存的生物识别数据；所述应用数据库具有多个应用程序条目；每一个应用程序条目包括注册应用程序ID与秘密数据；储存的数据只能通过管理软件存取；

通用储存单元，所述通用储存单元储存有注册应用程序软件，其中每一个注册应用程序软件具有一个对应的注册应用程序ID；