生物特徵模板保存、驗證方法及生物特徵識別裝置、終端與流程

2023-04-29 00:47:26

本發明實施例涉及生物識別技術領域，尤其涉及一種生物特徵模板保存、驗證方法及生物特徵識別裝置、終端。

背景技術：

由於人體的生物特徵如指紋、掌紋、唇紋和虹膜等具有獨一無二性，因此可用於身份驗證等，以滿足不同應用場景的安全、保密要求。例如，筆記本電腦、手機、平板電腦在開機時，或者進入重要涉密場所時，均需採集使用者的指紋來進行身份驗證。

使用生物特徵作為身份驗證手段時，如圖1a所示，通常的做法是先將生物特徵原始數據處理成生物特徵模板即註冊模板，然後再將生物特徵模板整體保存在一個相對安全的存儲區域中，圖1a中以保存在tee(trustedexecutionenvironment，可信存儲環境)的emmc(embeddedmultimediacard，嵌入式多媒體卡)存儲器中為例。需要進行身份驗證比對時，再將所述生物特徵模板整體提取出來與新採集的生物特徵模板進行安全比對，比對通過則驗證通過，否則驗證不通過。

由於生物特徵模板整體性地保存在一個並非十分安全的存儲區域中，因此如果該存儲區域遭到攻擊，相應地，生物特徵模板也會被整體洩漏，從而給生物特徵模板的應用帶來較大安全隱患。

技術實現要素：

有鑑於此，本發明實施例提供的生物特徵模板保存、驗證方法及生物特徵識別裝置、終端，用以至少解決現有技術中存在的上述問題。

本發明實施例第一個方面提供一種生物特徵模板保存方法，該生物特徵模板保存方法包括：

對根據生物特徵模板加密生成的生物特徵加密模板進行處理，得到m組生物特徵加密模板數據，m≥2；

將m組生物特徵加密模板數據存入n個存儲區域中，存入後的每個存儲區域中至少存有1組生物特徵加密模板數據，1<n≤m。

可選地，在本發明一具體實施例中，所述n個存儲區域中至少有一個存儲區域為晶片級安全環境的存儲區域。

可選地，在本發明一具體實施例中，所述對根據生物特徵模板生成的生物特徵加密模板進行處理包括：對所述生物特徵加密模板進行拆分處理。

可選地，在本發明一具體實施例中，對根據生物特徵模板加密生成的生物特徵加密模板進行處理，得到m組生物特徵加密模板數據之前還包括：將根據生物特徵模板加密生成生物特徵加密模板時所用的密鑰置入到生物特徵加密模板中的任一位置。

可選地，在本發明一具體實施例中，所述密鑰被置入到所述生物特徵加密模板的起始位置或末尾位置。

可選地，在本發明一具體實施例中，該方法還包括：

將對所述生物特徵模板進行一致性校驗得到的校驗數據置入到所述生物特徵模板中的任一位置；

對含有校驗數據的生物特徵模板進行加密，生成所述生物特徵加密模板。

可選地，在本發明一具體實施例中，所述一致性校驗為哈希校驗，所述得到的校驗數據為哈希校驗值，且所述哈希校驗值被置入到所述生物特徵模板的起始位置之前或末尾位置之後。

可選地，在本發明一具體實施例中，該方法還包括：

採集生物特徵原始數據；

對所述採集到的生物特徵原始數據進行生物特徵和/或圖像特徵提取，得到多個生物特徵數據；

對所述多個生物特徵數據進行組合，得到所述生物特徵模板。

可選地，在本發明一具體實施例中，所述生物特徵原始數據為指紋特徵原始數據或指紋圖像數據；

其中，所述生物特徵數據為指紋特徵點數據或指紋特徵圖像極值數據；

所述對採集到的生物特徵原始數據進行生物特徵和/或圖像特徵提取，得到多個生物特徵數據包括：對採集到的指紋特徵點原始數據進行指紋特徵點提取，得到多個指紋特徵點數據，和/或，對採集到的指紋特徵原始數據進行指紋特徵圖像提取，得到多個指紋特徵圖像極值數據。

本發明實施例第二個方面提供一種生物特徵模板驗證方法，其特徵在於，包括：

對從n個存儲區域中獲取的m組關聯生物特徵加密模板數據進行處理，得到生物特徵加密模板，m≥2，1<n≤m；

對根據所述生物特徵加密模板得到的待驗證生物特徵模板進行一致性校驗驗證，若驗證通過，則判定所述待驗證生物特徵模板與原生物特徵模板一致。

可選地，在本發明一具體實施例中，所述n個存儲區域中至少含有一個晶片級安全環境的存儲區域。

可選地，在本發明一具體實施例中，所述將根據生物特徵加密模板得到的待驗證生物特徵模板進行一致性校驗驗證包括：將對待驗證生物特徵模板進行一致性校驗所生成的第一校驗數據與從待驗證生物校驗模板中獲取到的第二校驗數據進行比對驗證；

若第一校驗數據與第二校驗數據相同，則認為驗證通過。

可選地，在本發明一具體實施例中，所述對待驗證生物特徵模板進行一致性校驗包括：對待驗證生物特徵模板進行哈希校驗。

可選地，在本發明一具體實施例中，所述第二校驗數據從所述待驗證生物校驗模板的頭部或尾部提取出。

可選地，在本發明一具體實施例中，所述根據生物特徵加密模板得到待驗證生物特徵模板包括：

從所述生物特徵加密模板的頭部或尾部提取出密鑰；

根據所述密鑰對生物特徵加密模板進行解密，得到待驗證生物特徵模板。

本發明實施例第三個方面提供一種生物特徵識別裝置，其特徵在於，包括生物特徵採集模塊、生物特徵數據處理晶片和存儲模塊；

生物特徵採集模塊用於採集用戶的生物特徵信息；

生物特徵數據處理晶片用於對所述生物特徵信息進行特徵提取，得到生物特徵數據並組合成生物特徵模板，並對所述生物特徵模板進行加密處理，生成生物特徵加密模板；以及用於對根據生物特徵模板加密生成的生物特徵加密模板進行處理，得到m組生物特徵加密模板數據，m≥2；

存儲模塊用於存儲所述m組生物特徵加密模板數據，所述存儲模塊包括n個存儲區域，且所述m組生物特徵加密模板數據存入到所述存儲模塊後，每個存儲區域中至少存有1組生物特徵加密模板數據，1<n≤m。

可選地，在本發明一具體實施例中，包括模板生成單元和模板處理單元；

所述模板生成單元，用於對所述生物特徵信息進行特徵提取，得到生物特徵數據並組合成生物特徵模板，並對所述生物特徵模板進行加密處理，生成生物特徵加密模板；

所述模板處理單元，用於對根據生物特徵模板加密生成的生物特徵加密模板進行處理，得到m組生物特徵加密模板數據。

可選地，在本發明一具體實施例中，所述生物特徵數據處理晶片還包括：模板數據獲取單元、模板還原單元以及模板驗證單元；

所述模板數據獲取單元，用於從所述存儲模塊的n個存儲區域中獲取相互關聯的m組生物特徵加密模板數據；

所述模板還原單元，用於將所述m組生物特徵加密模板數據進行重組，還原得到生物特徵加密模板；

所述解密驗證單元，用於對所述生物特徵加密模板進行解密處理，得到待驗證生物特徵模板，並通過對所述待驗證生物特徵模板進行一致性校驗驗證，判定所述待驗證生物特徵模板是否與原生物特徵模板一致。

本發明實施例第四個方面提供一種終端，該終端包括如權利要求16至18任一項所述的生物特徵識別裝置。

由以上技術方案可見，本發明實施例通過將生物特徵加密模板處理成例如拆分成多組生物特徵加密模板數據後，再將上述多個生物特徵加密模板數據分散保存在至少2個存儲區域中，使得多組生物特徵加密模板數據分散保存在多個存儲區域中，與現有技術中將生物特徵模板整體性地保存在一個存儲區域相比，分散保存在多個存儲區域的多組生物特徵加密模板數據同時遭攻擊的概率更小，相應地被整體洩漏的概率也更低，從而可有效消除現有技術給生物特徵模板的應用帶來的較大安全隱患。

附圖說明

圖1a為現有技術生物特徵模板存儲示意圖。

圖1b為本發明實施例一提供的生物特徵模板保存方法流程圖。

圖2為本發明實施例二提供的生物特徵模板保存方法流程圖。

圖3為本發明實施例三提供的生物特徵模板保存方法流程圖。

圖4為本發明實施例四提供的生物特徵模板驗證方法流程圖。

圖5為本發明實施例五提供的生物特徵識別裝置結構圖。

具體實施方式

為使本領域的普通技術人員更好地理解本發明實施例中的技術方案，下面結合附圖對本發明實施例中的技術方案進行清楚、完整地描述。顯然，所描述的實施例僅是本發明的一部分實施例，而不是全部實施例。因此，本領域普通技術人員基於所描述的實施例而獲得的其他實施例，都應當屬於本發明實施例保護的範圍。

[實施例一]

圖1b為本發明實施例一提供的生物特徵模板保存方法流程圖。如圖1b所示，所述生物特徵模板保存方法包括：

s11、對根據生物特徵模板加密生成的生物特徵加密模板進行處理，得到m組生物特徵加密模板數據，m≥2。

本步驟中，生物特徵模板可由多個生物特徵數據組合而生成，即對多個生物特徵數據進行組合可生成生物特徵模板。其中，生物特徵數據可通過對採集到的生物特徵原始數據進行指紋特徵提取和/或圖像特徵提取處理所得到的數據。

本步驟中，根據生物特徵模板加密生成生物特徵加密模板具體可以為使用aes(128位或256位)加密算法對生物特徵模板進行加密生成生物特徵加密模板。示例性地，如果使用aes256加密算法的話，具體可採用aes256-cbc算法。採用aes256-cbc算法對生物特徵模板進行加密時，可先將生物特徵模板分為若干個待加密密碼塊(相當於明文塊)，然後按照以下方法對每一個待加密密碼塊進行加密：

將第一個待加密密碼塊與一個初始化向量數據塊進行異或後再用加密密鑰(256位，隨機生成)進行加密，生成第一個密文；

將第二個待加密密碼塊與第一個密文進行異或後再用所述加密密鑰進行加密，生成第二個密文；

將第三個待加密密碼塊與第二個密文進行異或後再用所述加密密鑰進行加密，生成第三個密文，以此類推，直至對全部待加密密碼塊加密完成，生成全部密文，所述全部密文即為生物特徵加密模板。

上述加密過程中，由於aes256-cbc算法中對明文塊(從第二個開始)進行了與前一個密文的異或運算，進而使得生成的生物特徵加密模板更為複雜，因此採用aes256-cbc算法所生成的生物特徵加密模板具有破解難度大、不易主動攻擊的優點。

可替代地，在本實施例中，還可採用aes128-cbc(加密密鑰為128位)算法進行加密處理，其處理方法與aes256-cbc算法類似，在此不再贅述。

本步驟中，為了得到m組(至少2組)生物特徵加密模板數據，在對生物特徵加密模板進行處理時具體可以是對生物特徵加密模板進行拆分處理，從而形成m組生物特徵加密模板數據。其中，拆分處理可採用比較簡便易行的拆分算法進行處理，例如將生物特徵加密模板均勻地拆分成m組，或者將生物特徵模板的前10kb數據拆分出來作為一組生物特徵模板加密數據、將生物特徵模板的剩餘數據拆分出來作為另一組生物特徵模板加密數據(此處以m＝2為例)。拆分處理也可採用其他拆分算法進行處理，以能滿足將生物特徵加密模板拆分成m組生物特徵加密模板數據為準。拆分處理後，m組生物特徵加密數據中每一組中的數據量可以全部相同例如均為5kb，也可以部分相同、部分不相同，還可以互不相同，具體可依實際需求而定。

s12、將所述m組生物特徵加密模板數據存入n個存儲區域中，存入後的每個存儲區域中至少存有1組生物特徵加密模板數據，1<n≤m。

執行本步驟後，會出現以下兩種情況之一：

⑴n個存儲區域中的每個存儲區域中均存有1組生物特徵加密模板數據(即m＝n時)。

⑵n個存儲區域中的每個存儲區域中至少存有一組生物特徵加密模板數據(即1<n<m時)。例如，m＝3，n＝2時，則2個存儲區域中的其中1個存儲區域中存有1組生物特徵加密模板數據，另一個存儲區域中存有2組生物特徵加密模板數據。

本實施例中，通過將生物特徵加密模板處理成例如拆分成多組生物特徵加密模板數據再將上述多個生物特徵加密模板數據分散保存在至少2個存儲區域中，使得多組生物特徵加密模板數據分散保存在多個存儲區域中，與現有技術中將生物特徵模板整體性地保存在一個存儲區域相比，分散保存在多個存儲區域的多組生物特徵加密模板數據同時遭攻擊的概率更小，相應地被整體洩漏的概率也更低，從而可有效消除現有技術給生物特徵模板的應用帶來的較大安全隱患。也就是說，本實施例得益於生物特徵模板數據分散存儲的特點，如果遭到攻擊，則不易發生物特徵模板數據整體洩漏的問題，當然也並不排除有部分生物特徵加密數據被洩漏的可能性，但由於只有將m組生物特徵模板加密數據整體獲取到才可以解密出生物特徵模板，因此即使部分生物特徵加密數據被洩漏也難以被還原成生物特徵模板。進一步地，即使非法獲取到所述多組生物特徵加密模板數據，也會因無法得知相應的處理方法(如組合處理方法，顯而易見對非法獲取者而言是未知的)而難以生成相應的生物特徵加密模板。同時，由於生物特徵加密模板是加密數據，因此也難以進行非法解密。

在具體應用中，n個存儲區域中至少有一個存儲區域是晶片級安全環境例如se(secureelement，安全元件)的存儲區域。由於晶片級安全環境是一種硬體級別的安全環境，被攻擊成功的可能性極低，其對數據的安全防護等級較軟體級、半軟體級安全環境都要高，因此保存在該晶片級安全環境的儲存區域中的生物特徵加密模塊數據被洩漏的難度較大。換句話說，即使其他存儲區域中的生物特徵加密模板數據被洩漏，那麼保存在晶片級安全環境的存儲區域中的生物特徵加密模板數據也難以遭到洩漏，從而使得所述m組生物特徵模板加密數據難以被整體洩漏，進而可有效消除現有技術對生物特徵模板的應用所造成的較大安全隱患。因此，通過採用晶片級安全環境的存儲區域來保存至少一組生物特徵加密模板數據的方式，既可滿足分散保存的要求，又可滿足生物特徵加密數據免遭整體洩漏的要求。

進一步地，當m組生物特徵加密模板數據總的數據量較大時，晶片級安全環境的存儲區域的由於總存儲容量較小的原因，難以用來保存數據量較大的一組或多組生物特徵加密模板數據。為了解決這個問題，可選地，可將m組生物特徵加密模板數據中的一組或幾組數據量較小的生物特徵加密模板數據存入晶片級安全環境的存儲區域中，將其餘的一組或幾組數據量較大的生物特徵加密模板數據存入總存儲容量較大的軟體級或半軟體級安全環境例如tee(可信執行環境)、trustzone(信任區)、sgx(softwareguardextensions，軟體防護擴展指令)或richos(富作業系統)等的存儲區域如外部存儲介質：emmc存儲器、sd卡、磁碟中等。

[實施例二]

圖2為本發明實施例二提供的生物特徵模板保存方法流程圖。如圖2所示，在本發明實施例一的基礎上，所述生物特徵模板保存方法包括：

s21、將根據生物特徵模板加密生成生物特徵加密模板時所用的密鑰置入生物特徵加密模板中的任一位置。

生物特徵加密模板本質上是一個具有一定長度的數據序列，由此，將所述密鑰置入生物特徵加密模板中的任一位置則可以是置入到生物特徵加密模板即所述數據序列的第一個數據之前、所述數據序列中任意兩個數據之間、所述數據序列的最後一個數據之後。在對所述密鑰進行置入時可對其所置入的位置進行記錄，以便在後續應用中例如解密時能準確地對所述密鑰進行定位提取。優選地方式是所述密鑰被置入到所述數據序列的第一個數據之前，即生物特徵加密模板的起始位置之前，或者所述密鑰被置入到所述數據序列的最後一個數據之後，即生物特徵加密模板的末尾位置之後。所述密鑰置入到生物特徵加密模板中後，相當於生物特徵加密模板中包含了所述密鑰。示例性地，所述密鑰屬於對稱密鑰，具體可由系統的隨機數生成函數隨機生成，也可以預先進行設定(如在程序代碼中寫入)。

s22、對根據所述生物特徵模板加密生成的生物特徵加密模板進行處理，得到m組生物特徵加密模板數據，m≥2。

步驟s22與本發明實施例一中的步驟s11相一致，其實現原理類似，在此不再贅述。需要說明的是，本步驟中的生物特加密模板中已包含了所述密鑰。

s23、將所述m組生物特徵加密模板數據存入n個存儲區域中，存入後的每個存儲區域中至少存有1組生物特徵加密模板數據，1<n≤m。

本步驟與本發明實施例一中的步驟s12相一致，其實現原理與步驟s12類似，在此不再贅述。需要說明的是，由於密鑰通常是加密和解密的關鍵，因此為使密鑰更難於被洩漏，也可將所述密鑰一併存入晶片級安全環境的存儲區域中，例如將包含有所述密鑰的一組生物特徵加密模板數據(如不小於64byte的數據)存入晶片級安全環境的存儲區域中。

本實施例通過將密鑰置入生物特徵加密模板，可使得在後續應用中可通過該密鑰對生物特徵加密模板進行解密，以便得到原生物特徵模板(即經加密生成生物特徵加密模板的生物特徵模板)。

[實施例三]

圖3為本發明實施例三提供的生物特徵模板保存方法流程圖。如圖3所示，在本發明實施例一的基礎上，所述生物特徵模板保存方法包括：

s31、將對生物特徵模板進行一致性校驗得到的校驗數據置入到生物特徵模板中的任一位置。

本步驟中，生物特徵模板可由多個生物特徵數據組合而生成，即對多個生物特徵數據進行組合可生成生物特徵模板。進一步地，生物特徵數據是指對採集到的生物特徵原始數據進行指紋特徵提取和/或圖像特徵提取處理所得到的數據，即對採集到的生物特徵原始數據進行生物特徵和/或圖像特徵提取，可得到多個生物特徵數據。同時，為確保生物特徵數據更加精確，可以通過多次採集生物特徵原始數據，然後再對採集到的生物特徵原始數據進行生物特徵提取和/或圖像特徵提取，從而得到更多的生物特徵數據。

通常，生物特徵原始數據可以包括指指紋、掌紋、唇紋和虹膜特徵原始數據等。本實施例中以指紋特徵原始數據為例，指紋特徵原始數據可包括指紋谷脊原始數據或指紋圖像原始數據。指紋特徵數據一般為指紋特徵點數據或指紋特徵圖像極值數據。

對應地，上述對採集到的生物特徵原始數據進行生物特徵和/或圖像特徵提取，得到多個生物特徵數據具體包括：對採集到的指紋特徵點原始數據例如指紋谷脊數據進行指紋特徵點提取，得到多個指紋特徵點數據，和/或對採集到的指紋特徵原始數據例如指紋圖像數據進行指紋特徵圖像提取，得到多個指紋特徵圖像極值數據。

可選地，對於採集指紋特徵原始數據的較大尺寸的指紋模組而言，由於較大尺寸的指紋模組採集到的指紋特徵原始數據(如指紋谷脊數據)數量較大、包含的指紋特徵原始數據也相對較為完整，因此可採用指紋特徵點提取方式對指紋特徵原始數據進行提取即可得到多個指紋特徵數據；而對於小尺寸的指紋模組而言，由於其尺寸較小，採集到的指紋特徵原始數據量相對較小、包含的指紋特徵原始數據相對不夠完整，因此通常採用基於指紋圖像特徵提取的方式來提取出多個指紋特徵圖像極值數據，進而得到多個指紋特徵數據。或者也可以是，無論指紋模組的尺寸大小，既採集指紋特徵原始數據，也採集指紋圖像原始數據，而後分別以指紋特徵點提取的方式對指紋特徵原始數據進行提取並以基於指紋圖像特徵提取的方式對指紋圖像原始數據進行提取，從而得到多個指紋特徵數據。在此基礎上得到的指紋特徵模板可以是基於指紋谷脊數據所得到的指紋特徵模板，可以是基於指紋圖像數據所得到的指紋特徵模板，還可以是基於指紋谷脊數據和指紋圖像數據二者的結合所得到的指紋特徵模板。

可選地，指紋特徵點數據可以包括指紋終結點、分叉點、分歧點、孤立點、環點和/或短紋數據。

一個典型的獲得指紋特徵模板的過程如下：

a)系統通過界面提示用戶按壓指紋模組；

b)用戶根據界面提示以手指按壓指紋模組；

c)系統檢測到用戶按壓指紋模組後，通過指紋模組採集用戶指紋特徵原始數據例如指紋谷脊數據和/或指紋圖像數據；

d)對指紋特徵原始數據進行指紋特徵提取例如通過指紋特徵提取算法提取和/或指紋圖像特徵提取，得到多個指紋特徵數據；

e)反覆執行步驟a至d，即可得到一個由大量指紋特徵數據組成的指紋特徵模板。

需要說明的是，通過指紋原始特徵數據可得到指紋特徵模板，但反向過程是不可逆的，即通過指紋特徵模板卻不能還原指紋原始特徵數據，原因是指紋特徵提取算法提取的只是指紋上的特徵點的數據，並沒有保存指紋的所有紋理信息，因此必然存在部分指紋紋理信息丟失的問題，因此不能通過指紋模板還原出指紋特徵原始數據。

在本步驟s31中，為了在後續驗證生物特徵模板被獲取後是否遭到篡改或破壞，可將校驗數據置入生物特徵加密模板中的任一位置，通過該校驗數據則可判斷獲取到的生物特徵模板與原生物特徵模板是否完全一致。例如，對獲取到的待驗證生物特徵模板也進行同樣的哈希校驗則得到可作為校驗數據的哈希校驗值，將該哈希校驗值與得到該待驗證生物特徵模板時同時得到的另一個校驗數據(如另一個哈希校驗值)進行比對，若這兩個哈希校驗值相同，則可判定該待驗證生物特徵模板與原生物特徵模板完全一致，否則可判定該待驗證生物特徵模板為非法生物特徵模板。

本步驟中，所述校驗數據例如所述哈希校驗值被置入到生物特徵模板中的位置可自由選擇，一般不做限制。較為常見的是，所述校驗數據例如所述哈希校驗值可被置入到所述生物特徵模板的起始位置之前或末尾位置之後。在使用中，通常要將所述位置進行記錄，以便在後續應用中需要對獲取到的生物特徵模板進行一致性驗證時可以根據所述記錄保存的位置準確提取出相應的校驗數據。顯然，校驗數據被置入到生物特徵模板中，即相當於生物特徵模板中包含了該校驗數據。

本步驟中，可利用sha-256算法對生物特徵模板或者待驗證生物特徵模板進行哈希運算，相應地得到的對應的作為校驗數據的哈希校驗值。

s32、對含有校驗數據的生物特徵模板進行加密，生成生物特徵加密模板。

示例性地，本步驟中的加密可採用本發明實施例一中aes256-cbc算法。當然，也可以採用其他加密算法。

s33、對根據生物特徵模板加密生成的生物特徵加密模板進行處理，得到m組生物特徵加密模板數據，m≥2。

s34、將m組生物特徵加密模板數據存入n個存儲區域中，存入後的每個存儲區域中至少存有1組生物特徵加密模板數據，1<n≤m。

本實施例中，生物特徵加密模板可以是對含有校驗數據的生物特徵模板進行加密所生成的生物特徵加密模板。步驟s33、s34分別與本發明實施例一中的步驟s11、s12相一致，其實現原理與s11、s12類似，在此不再贅述。

本實施例通過將校驗數據置入生物特徵模板，可使得在後續應用中可通過該校驗數據對獲取到的生物特徵模板進行一致性校驗，以保證獲取到的生物特徵模板與原生物特徵模板完全一致。

[實施例四]

圖4為本發明實施例四提供的生物特徵模板驗證方法流程圖。如圖4所示，所述生物特徵模板驗證方法包括：

s41、對從n個存儲區域中獲取的m組關聯生物特徵加密模板數據進行處理，得到生物特徵加密模板，m≥2，1<n≤m。

本步驟中，從n個存儲區域中例如至少包括一個晶片級安全環境的儲存區域的n個存儲區域中獲取m組關聯生物特徵加密數據的操作具體可以是，與存入所述m組關聯生物特徵加密數據時相對應的逆操作。即原來是按照存入的方式將m組生物特徵加密模板數據存入n個存儲區域的，那麼獲取的時候也要按照與原來存入方式相對應的方式將所述m組生物特徵加密模板數據從所述n個存儲區域中取出來。例如，存入時的方式是：將3組生物特徵模板加密數據存入2個存儲區域中，其中第1組和第2組生物特徵加密模板數據保存在第1個存儲區域中，第3組生物特徵加密模板數據保存在第2個存儲區域中；那麼獲取時的方式則是：從第1個存儲區域中取出第1組和第2組生物特徵加密模板數據，從第2個存儲區域中取出第3組生物特徵加密模板數據。

本步驟中，從m組關聯生物特徵加密模板數據得到生物特徵加密模板的處理與從生物特徵加密模板得到m組生物特徵加密模板數據的處理可為一對互逆操作。例如，從生物特徵加密模板得到m組生物特徵加密模板數據的處理是拆分處理，那麼從m組關聯生物特徵加密模板數據得到生物特徵加密模板的處理則是與所述拆分處理相對應的組合處理。

s42、對根據所述生物特徵加密模板得到的待驗證生物特徵模板進行一致性校驗驗證，若驗證通過，則判定所述待驗證生物特徵模板與原生物特徵模板一致。

具體地，根據生物特徵加密模板得到待驗證生物特徵模板的處理與根據原生物特徵模板(相當於上述實施例中的生物特徵模板，下同)加密生成生物特徵加密模板的處理一對互逆操作。例如，根據原生物特徵模板加密生成生物特徵加密模板的處理是利用aes256-cbc算法對原生物特徵模板進行加密生成生物特徵模板，那麼根據生物特徵加密模板得到待驗證生物特徵模板的處理則是利用與aes256-cbc算法相對應的逆算法對生物特徵加密模板進行解密得到待驗證生物特徵模板。

示例性地，根據生物特徵加密模板得到待驗證生物特徵模板的方式包括：根據從生物特徵加密模板中獲取到的密鑰對生物特徵加密模板進行解密，得到待驗證生物特徵模板。該方式具體可以是，從所述生物特徵加密模板一個約定位置例如頭部或尾部提取出密鑰；根據所述密鑰對生物特徵加密模板進行解密，得到待驗證生物特徵模板。其中所述約定位置可以從保存有密鑰在生物特徵加密模板中的位置的記錄中得到。

本步驟中，對待驗證生物特徵模板進行的一致性校驗驗證與對原生物特徵模板進行的一致性校驗的處理是相一致的。即對待驗證生物特徵模板和對原生物特徵模板所進行的一致性校驗處理是相同的。例如所進行的一致性校驗可以是相同的哈希校驗如sha-256校驗。

示例性地，得到待驗證生物特徵模板以及對待驗證生物特徵模板進行一致性校驗驗證的過程可包括：

a)對生物特徵加密模板進行解密，得到待驗證生物特徵模板以及校驗數據一。根據哈希校驗原理，此處校驗數據一可視為原生物特徵模板經同樣的哈希校驗所產生的校驗數據。

b)通過同樣的哈希校驗對待驗證生物特徵模板進行一致性校驗，生成校驗數據二。

c)將校驗數據二與校驗數據一進行比對，若二者相同，則判定待驗證生物特徵模板與原生物特徵模板完全一致，即待驗證生物特徵模板合法。否則，判定待驗證生物特徵模板與原生物特徵模板不一致，即待驗證生物特徵模板不合法。

本實施例四提供的生物特徵模板驗證方法，通過對從n個存儲區域中獲取的m組關聯生物特徵加密模板數據進行處理，得到生物特徵加密模板，再對由生物特徵加密模板得到的待驗證生物特徵模板進行一致性驗證，從而實現判定待驗證生物特徵模板與原生物特徵模板是否一致，即待驗證生物特徵模板是否合法的目的。

通常，上述實施例中提供的生物特徵模板保存方法與生物特徵模板驗證方法可以配合使用。下面介紹一下配合使用的流程：

s501、對生物特徵模板進行哈希校驗(如sha-256算法校驗)，產生第一哈希校驗值。

s502、將第一哈希校驗值置入生物特徵模板的末尾位置之後，生成生物特徵校驗模板。

s503、通過第一密鑰(相當於上述實施例中的密鑰)對生物特徵校驗模板進行加密(例如採用aes256-cbc算法進行加密)，生成生物特徵加密模板，所述密鑰可由系統的隨機數生成函數隨機生成，也可預先設定好，如在實現程序(代碼)中預先寫入。

s504、將第一密鑰置入到生物特徵加密模板中的起始位置之前。

s505、對置入了第一密鑰的生物特徵加密模板進行拆分，得到2組生物特徵加密模板數據。

s506、將其中一組例如含有第一密鑰的一組生物特徵加密模板數據存入se安全環境的存儲區域中，將另一組生物特徵加密模板數據存入tee安全環境的存儲區域中。

實際應用中，若上述流程中加密時採用了aes256-cbc算法進行加密，則其中含有第一密鑰的那一組生物特徵加密模板數據的數據容量應大於等於64bytes並小於等於10kb。將容量設為大於等於64bytes是為了將第一密鑰(如256位)完整地包含在該組的數據中，同時設為不大於10kb是基於se存儲區域的總容量較小的考慮。

s507、從se的存儲區域中和tee的存儲區域中取出2組關聯的待驗證生物特徵加密模板數據。

s508、將2組待驗證生物特徵加密模板數據進行組合處理(與上述拆分處理相對應)，得到待驗證生物特徵加密模板(相當於上述生物特徵加密模板)。

s509、根據從待驗證生物特徵加密模板頭部取出的第二密鑰對待驗證生物特徵加密模板(除去第二密鑰的部分)進行解密，得到待驗證生物特徵校驗模板(相當於上述生物特徵校驗模板)。

s510、從待驗證生物特徵校驗模板的尾部取出第二哈希校驗值(相當於上述第一哈希校驗值)，以及待驗證生物特徵模板。

s511、對待驗證生物特徵模板進行哈希校驗(與上述哈希校驗相同)，得到第三哈希校驗值，若第三哈希校驗值與第二哈希校驗值相同，則判定待驗證生物特徵模板與上述生物特徵模板完全一致，即待驗證生物特徵模板為合法生物特徵模板。否則，判定待驗證生物特徵模板與上述生物特徵模板不一致，即待驗證生物特徵模板為非法生物特徵模板。

[實施例五]

圖5為本發明實施例五提供的生物特徵識別裝置結構圖。該生物特徵識別裝置是包括生物特徵採集模塊1(比如指紋採集晶片、指紋傳感器等)、生物特徵數據處理晶片2(比如微處理器)和存儲模塊3的裝置。所述生物特徵識別裝置可以應用在移動終端(比如智慧型手機、平板電腦等)或者其他電子設備上，以用於執行如上述各個實施例描述的生物特徵模板保存方法和/或生物特徵模板驗證方法。

具體地，作為一種實施例，生物特徵採集模塊1用於在生物特徵註冊階段採集用戶的生物特徵信息。所述生物特徵採集模塊1可以具體為用於採集生物特徵信息的生物特徵傳感器(比如指紋傳感器)。所述生物特徵信息可以具體為生物特徵原始數據(比如指紋原始數據)。

生物特徵數據處理晶片2用於對所述生物特徵採集模塊1採集到的生物特徵信息進行特徵提取來得到生物特徵數據並組合成生物特徵模板，並且對所述生物特徵模板進行加密處理，生成生物特徵加密模板；以及用於對根據生物特徵模板加密生成的生物特徵加密模板進行處理，得到m組生物特徵加密模板數據，m≥2，比如，所述生物特徵數據處理晶片2可以通過預設拆分算法將所述生物特徵加密模板拆分成所述m組生物特徵加密模板數據。

可選地，所述生物特徵數據處理晶片2包括：模板生成單元和模板處理單元。

所述模板生成單元，用於對所述生物特徵採集模塊1採集到的生物特徵信息進行特徵提取來得到生物特徵數據並組合成生物特徵模板，並且對所述生物特徵模板進行加密處理，生成生物特徵加密模板。

所述模板處理單元，用於對根據生物特徵模板加密生成的生物特徵加密模板進行處理，得到m組生物特徵加密模板數據，m≥2，比如，所述模板處理單元可以通過預設拆分算法將所述生物特徵加密模板拆分成所述m組生物特徵加密模板數據。

可選地，在具體實施例中，所述模板生成單元還可以用於在所述模板處理單元對所述生物特徵加密模板進行處理並得到m組生物特徵加密模板數據之前，將根據生物特徵模板加密生成生物特徵加密模板時所用的密鑰置入到生物特徵加密模板中的任一位置。

可選地，在具體實施例中，所述模板生成單元還可以用於在所述模板處理單元對所述生物特徵加密模板進行處理並得到m組生物特徵加密模板數據之前，對所述生物特徵模板進行一致性校驗，並將對生物特徵模板進行一致性校驗得到的校驗數據置入到生物特徵模板中的任一位置。所述模板生成單元具體可以通過對含有所述校驗數據的生物特徵模板進行加密，生成所述生物特徵加密模板。

存儲模塊3用於存儲所述m組生物特徵加密模板數據。具體地，所述存儲模塊3可以包括n個存儲區域，且所述m組生物特徵加密模板數據存入到所述存儲模塊後，每個存儲區域中至少存有1組生物特徵加密模板數據，1<n≤m。

作為一種優選的實施例，在所述存儲模塊的m個存儲區域中，至少有一個存儲區域是晶片級安全環境例如se(secureelement，安全元件)的存儲區域。

實際應用中，所述生物特徵識數據處理晶片一般還可包括：模板數據獲取單元、模板還原單元以及模板驗證單元。

所述模板數據獲取單元，用於從所述存儲模塊的n個存儲區域中獲取相互關聯的m組生物特徵加密模板數據；

所述模板還原單元，用於將所述m組生物特徵加密模板數據進行重組，還原得到生物特徵加密模板；

所述解密驗證單元，用於對所述生物特徵加密模板進行解密處理，得到待驗證生物特徵模板，並通過對所述待驗證生物特徵模板進行一致性校驗驗證，判定所述待驗證生物特徵模板是否與原生物特徵模板一致。

可選地，所述解密驗證單元具體用於將對所述待驗證生物特徵模板進行一致性校驗所生成的第一校驗數據與從所述待驗證生物校驗模板中獲取到的第二校驗數據進行比對驗證，若所述第一校驗數據與所述第二校驗數據相同，則驗證通過並可判定所述待驗證生物特徵模板與原生物特徵模板一致；否則驗證不通過並可判定所述待驗證生物特徵模板與原生物特徵模板不致。

可選地，所述生物特徵識別裝置可用於執行本發明實施例一至四中的相應方法或步驟，或者可進一步通過所包含的模塊(單元)等執行本發明實施例一至四中的相應方法或步驟。其實現原理與本發明實施例一至四類似，在此不再贅述。

示例性地，本實施例所述生物特徵數據處理晶片可以復用所述移動終端或者其他電子設備的cpu晶片，而不一定必須是專用cpu晶片(例如集成在生物採集模塊中的專用cpu)，即採用可復用的cpu晶片的形式，從而可進一步發揮所述可復用的cpu晶片的處理功效。

[實施例六]

本發明實施例六提供一種終端。該終端包括如本發明實施例五所述的生物特徵識別裝置。示例性地，該終端可以是包含有如本發明實施例五所述的生物特徵識別裝置的手機、平板、個人計算機、伺服器、網絡設備或其他電子設備等。

最後應說明的是：以上實施例僅用以說明本發明實施例的技術方案，而非對其限制；儘管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的精神和範圍。