[发明专利]一种基于可信环境和双安全芯片的安全人脸识别装置

权利要求书

1.一种基于可信环境和双安全芯片的安全人脸识别装置，其特征在于，包括安全人脸信息采集单元和与安全人脸信息采集单元进行加密信息交互的安全主控单元；

所述安全人脸信息采集单元包括：

图像采集模块：用于采集人脸图像；

图像处理控制单元：与图像采集模块连接，用于对所述人脸图像进行图像处理得到人脸数据；

安全芯片cSE：分别与图像采集模块和图像处理控制单元连接，用于密钥的生成和存储，对与所述安全人脸信息采集单元交互的数据进行加密处理；

所述安全主控单元包括：

安全芯片tSE：用于密钥的生成和存储，对与所述安全主控单元交互的数据进行加密处理；

主控TEE：与安全芯片tSE连接，用于切换图像采集模块的采集人脸图像和停止采集人脸图像的工作状态，将所述人脸数据传递给主控REE；

主控REE：与外部存储有安全人脸数据的云服务器进行加密数据交互，云服务器对所述人脸数据和所述安全人脸数据进行对比得到对比结果，主控REE对对比结果进行存储和显示；

其中：所述图像处理控制单元、安全芯片cSE和安全芯片tSE均通过TMP安全触点和导电触头压合封装；当图像处理控制单元或安全芯片cSE或安全芯片tSE检测到对应的安全触点与导电触头断开，即清除存储数据或密钥。

2.根据权利要求1所述的一种基于可信环境和双安全芯片的安全人脸识别装置，其特征在于，所述安全人脸信息采集单元和安全主控单元均还包括：

GPS扩展模块：与云服务器连接，用于对安全人脸信息采集单元和安全主控单元的物理位置定位。

3.根据权利要求2所述的一种基于可信环境和双安全芯片的安全人脸识别装置，其特征在于，所述主控REE包括：

TEEdeamon：用于与主控TEE通信连接；

支付App：用于通过TEEdeamon通知主控TEE进行支付处理；

通信模块：用于形成网路接口与云服务器进行加密数据交互；所述通信模块包括：网卡、4G模块、WIFI和蓝牙模块；

显示模块：用于显示人脸数据对比结果；

存储模块：用于存储人脸数据和对比结果。

4.根据权利要求3所述的一种基于可信环境和双安全芯片的安全人脸识别装置，其特征在于，所述主控TEE包括：

FaceTA：用于接收支付App进行支付处理指令并命令向图像采集模块进行图像采集。

5.根据权利要求4所述的一种基于可信环境和双安全芯片的安全人脸识别装置，其特征在于，所述图像采集模块包括：

3D结构光摄像头：用于采集人脸图像；

安全摄像头芯片：与3D结构光摄像头连接，用于接收FaceTA命令控制3D结构光摄像头进行人脸图像采集。

6.根据权利要求5所述的一种基于可信环境和双安全芯片的安全人脸识别装置，其特征在于，所述安全主控单元通过通信接口与安全人脸信息采集单元进行加密信息交互。

7.根据权利要求6所述的一种基于可信环境和双安全芯片的安全人脸识别装置，其特征在于，所述安全人脸信息采集单元密钥生成包括如下步骤：在生产阶段,

S11：利用产线工具通过安全人脸信息采集单元中控制单元向安全芯片cSE发送生成公私密钥对指令；

S12：安全芯片cSE接收到生成公私密钥对指令后生成公私密钥对；

S13：安全芯片cSE将公钥返回给产线工具；

S14：产线工具向云服务器请求对公钥进行签名；

S15：云服务器对cSE公钥签名后形成cPUK；

S16：云服务器将cPUK返回给安全芯片cSE。