CN111400688B - 一种采用TrustZone技术实现移动终端语音身份验证的方法 - Google Patents

一种采用TrustZone技术实现移动终端语音身份验证的方法 Download PDF

Info

Publication number
CN111400688B
CN111400688B CN202010200132.4A CN202010200132A CN111400688B CN 111400688 B CN111400688 B CN 111400688B CN 202010200132 A CN202010200132 A CN 202010200132A CN 111400688 B CN111400688 B CN 111400688B
Authority
CN
China
Prior art keywords
user
identity authentication
voice
domain
voiceprint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010200132.4A
Other languages
English (en)
Other versions
CN111400688A (zh
Inventor
戴鸿君
王振东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong University
Original Assignee
Shandong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong University filed Critical Shandong University
Priority to CN202010200132.4A priority Critical patent/CN111400688B/zh
Publication of CN111400688A publication Critical patent/CN111400688A/zh
Application granted granted Critical
Publication of CN111400688B publication Critical patent/CN111400688B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明涉及一种采用TrustZone技术实现移动终端语音身份验证的方法,该方法包括以下步骤:用户初次登陆***,完成用户语音信息的初次采集;二次获取用户语音信息,将用户的声纹特征封装为身份认证凭据,并将身份认证凭据与用户账号共同上报到身份认证服务器中。用户再次登陆***时,获取用户的身份认证凭据和用户的语音信息,将获取用户的语音信息封装为临时身份认证凭据;将身份认证凭据与临时身份认证凭据进行比较,验证身份认证凭据。本发明在可信域将语音信息封装为身份认证凭据,避免了语音的声纹特征泄露,通过利用加密算法进行二次的安全验证,同时也解决了语音认证过程中语音的多次获取的问题,简化了语音获取的流程。

Description

一种采用TrustZone技术实现移动终端语音身份验证的方法
技术领域
本发明涉及一种采用TrustZone技术实现移动终端语音身份验证的方法,属于移动终端身份验证领域。
背景技术
TrustZone在处理器的架构上将每个物理核虚拟为两个核,分别是属于安全执行环境Secure的安全核(Secure Core)和属于非安全执行环境Normal的普通核(NormalCore)。为了保证***的安全性,普通核(Normal Core)只能访问非安全的***资源,而安全核(Secure Core)可以访问所有的***资源,两个虚拟的核以基于时间片的方式运行,根据需要实时占用物理核,并通过监视模式(Monitor Mode)在安全世界和非安全世界之间切换,类似同一CPU下的多应用程序环境,不同的是多应用程序环境下操作***实现的是进程间切换,而Trustzone下的监视模式(Monitor Mode)实现了同一CPU上两个操作***间的切换。
而当今互联网和电子商务的高速发展所带动的在线交易,网络银行等繁荣,但对于移动终端的身份校验的安全问题愈发让人担忧。移动终端身份的验证愈发的重要,其中安全性校验是重中之重。
目前的语音身份安全认证需要外部智能卡或者安全专用处理器,处理器效率低,并且增大了板子面积,增加了设计复杂度,降低了开发效率。移动终端的身份校验的安全问题同传统的电脑问题相同,病毒、恶意程序、木马等侵害终端,造成死机、隐藏信息泄露、费用不明增加等问题。
发明内容
针对现有技术的不足,本发明提供了一种采用TrustZone技术实现移动终端语音身份验证的方法,本发明采用TrustZone可信域封装语音信息为身份认证凭据的方法,在利用传统语音信息的基础之上,对语音信息进行了封装,避免了语音的声纹特征泄露,并且再验证身份的过程中不仅仅采用了用户的声纹特征,通过利用加密算法等不可破解的方法进行二次的安全验证,并且身份凭据的生成也解决了语音认证过程中语音的多次获取的问题,简化了语音获取的流程,方便了用户。
本发明的技术方案为:
一种采用TrustZone技术实现移动终端语音身份验证的方法,包括步骤如下:
(1)用户初次登陆***时,用户访问身份认证服务器获取身份认证凭据,得出不存在身份认证凭据的结果;
(2)在普通域中获取动态语音模板,提示用户读取动态语音模板的内容,初次获取用户的语音信息,语音模板的内容是在普通域的语音模板信息中随机选出的;
(3)在可信域中,调用分析语音模块对步骤(2)获取的用户语音信息进行分析,初步获取到用户的声纹特征,并将所述声纹特征预存储到可信域的内存中;方便下次可信域获取数据;
(4)提示用户再次读取动态语音模板的内容,第二次获取用户语音信息;即用户读出移动终端在普通域中获取的动态语音模板的内容,采集用户的语音记录;语音模板的内容是在普通域的语音模板信息中随机选出的;
(5)在可信域中,调用分析语音模块,获取到用户的声纹特征,调用可信域中的比较语音模块,将本步骤中获得的声纹特征与步骤(3)中预存储到可信域中的声纹特征进行比较,得出两次声纹特征一致或者不一致的结论;
(6)在两次声纹特征一致的前提下,在可信域中,将步骤(5)获取到的用户的声纹特征封装为身份认证凭据,并将身份认证凭据与用户账号共同上报到身份认证服务器中,完成用户语音声纹特征的采集操作;以上为对用户身份认证的凭据初次封装。
(7)用户再次登陆***时,从身份认证服务器中获取用户的身份认证凭据,并将身份认证凭据传输到可信域的物理内存中;
(8)在普通域中获取动态语音模板并提示用户读取模板内容,获取到用户的语音信息;
(9)建立普通域与可信域之间的通信会话,在可信域中,通过分析语音模块得到用户的声纹特征,并将声纹特征封装为临时身份认证凭据;在可信域的物理内存中,将步骤(7)中获取的用户的身份认证凭据与本步骤中得到的所述临时身份认证凭据进行比较,验证身份认证凭据,得出判别一致或者判别不一致的结论;
(10)当步骤(9)中,两个身份认证凭据的判别一致时,则通过身份认证,移动终端获取通过身份验证通过指令,完成身份验证。
本发明提供的身份验证的方法,摒弃了复杂的用户名密码的身份认证,节约了时间,提高了效率。实现一个完整的可信域,完成身份校验所需对安全资源的操作从普通世界到安全世界的物理隔离。
根据本发明优选的,所述步骤(6)中,在可信域中,通过AES加密算法将分析得到的用户的声纹特征封装为身份认证凭据;
所述步骤(9)中,通过AES加密算法将该步骤中获取的声纹特征封装为临时身份认证凭据。AES加密算法是一种对称加密算法,其复杂度较低,占用内存空间少,其核心是加密的密钥,将用户的声纹特征作为密钥进行加密完成身份认证凭借的封装,实现加密简洁,占有内存少,利用用户声纹的不可模仿来确保其安全性。
根据本发明优选的,步骤(5)中,两次声纹特征不一致时,重复步骤(4)-(5)。
根据本发明优选的,步骤(9)中,当两个身份认证凭据的判别不一致时,重复步骤(8)-(9)。
本发明的有益效果为:
1.本发明所述基于TrustZone技术的语音身份安全认证,从硬件级别解决了终端所面临的认证信息的安全性;在一个核上虚拟成安全和非安全世界,而不需要外部智能卡或者安全专用处理器,提高了处理器效率,节约了板子面积,简化了设计复杂度,提高了开发效率。
2.本发明所述语音身份认证的方法,只用于一次的用户语音的采集,方便了用户自身的身份验证,摒弃了复杂的用户名密码的身份认证,节约了时间,提高了效率。
3.本发明所述语音身份安全认证的方法,提供一个安全框架使设备可以面对多种威胁;基于可信平台概念在嵌入式领域实现可信计算;TrustZone架构可以使***中任何资源变得安全,达到端到端的安全解决方案。
4.本发明所述语音身份安全认证的方法,基于ARM提出的TrustZone技术实现,保证了安全操作***运行在物理隔离的安全内存区从而保证了安全;并且详细介绍了安全操作***与普通世界操作***的切换,以语音身份认证场景详细的介绍了***运行过程;更能保证身份认证的安全性。
5.本发明将语音身份验证的核心运行在锁定的安全物理内存,使用锁定的安全设备实现身份校验关键操作的硬件级隔离。其核心是基于TrustZone(可信域)上的物理内存,实现一个完整的可信域,完成身份校验所需对安全资源的操作从普通世界到安全世界的物理隔离;通过***调用实现了普通世界对安全世界的调用和返回。
附图说明
图1是实施例1提供的采用TrustZone技术实现移动终端语音身份验证的方法的流程示意图;
图2是实施例1提供的采用TrustZone技术实现移动终端语音身份验证的方法的语音采集示意图。
具体实施方式
下面结合实施例和说明书附图对本发明做进一步说明,但不限于此。
实施例1
一种采用TrustZone技术实现移动终端语音身份验证的方法,如图1和图2所示,包括步骤如下:
(1)用户初次登陆***时,用户访问身份认证服务器获取身份认证凭据,得出不存在身份认证凭据的结果;用户登录***向身份认证服务器发送请求,请求中包含用户的唯一Id,期望服务器返回身份认证凭据,如果对应用户Id不存在身份认证凭据,则通过步骤(2)-(6)初次封装用户的身份认证凭据。
(2)在普通域中获取动态语音模板,提示用户读取动态语音模板的内容,初次获取用户的语音信息,语音模板的内容是在普通域的语音模板信息中随机选出的;
(3)在可信域中,调用分析语音模块对步骤(2)获取的用户语音信息进行分析,初步获取到用户的声纹特征,并将声纹特征预存储到可信域的内存中;方便下次可信域获取数据;
(4)提示用户再次读取动态语音模板的内容,第二次获取用户语音信息;即用户读出移动终端在普通域中获取的动态语音模板的内容,采集用户的语音记录;语音模板的内容是在普通域的语音模板信息中随机选出的;
步骤(2)和步骤(4)中使用的语音模板不是同一个模板信息,语音模板的内容是从普通域语音模板信息中随机抽取的,用户前后两次读取的内容不一致,但用户声纹特征是一致的。
(5)建立普通域与可信域之间的通信会话,在可信域中,调用分析语音模块,获取到用户的声纹特征,调用可信域中的比较语音模块,将本步骤中获得的声纹特征与步骤(3)中预存储到可信域中的声纹特征进行比较,得出两次声纹特征一致或者不一致的结论;
两次声纹特征不一致时,重复步骤(4)-(5)。
(6)在两次声纹特征一致的前提下,在可信域中,将步骤(5)获取到的用户的声纹特征封装为身份认证凭据,并将身份认证凭据与用户账号共同上报到身份认证服务器中,完成用户语音声纹特征的采集操作;以上为对用户身份认证的凭据初次封装。
步骤(6)中,在可信域中,通过AES加密算法将分析得到的用户的声纹特征封装为身份认证凭据。AES加密算法是一种对称加密算法,其复杂度较低,占用内存空间少,其核心是加密的密钥,将用户的声纹特征作为密钥进行加密完成身份认证凭借的封装,实现加密简洁,占有内存少,利用用户声纹的不可模仿来确保其安全性。
(7)用户再次登陆***时,从身份认证服务器中获取用户的身份认证凭据,并将身份认证凭据传输到可信域的物理内存中;
(8)在普通域中获取动态语音模板并提示用户读取模板内容,获取到用户的语音信息;
(9)建立普通域与可信域之间的通信会话,在可信域中,通过分析语音模块得到用户的声纹特征,并将声纹特征封装为临时身份认证凭据;在可信域的物理内存中,将步骤(7)中获取的用户的身份认证凭据与本步骤中得到的临时身份认证凭据进行比较,验证身份认证凭据,得出判别一致或者判别不一致的结论;
步骤(9)中,当两个身份认证凭据的判别不一致时,重复步骤(8)-(9)。
步骤(9)中,通过AES加密算法将该步骤中获取的声纹特征封装为临时身份认证凭据。
(10)当步骤(9)中,两个身份认证凭据的判别一致时,则通过身份认证,移动终端获取通过身份验证通过指令,完成身份验证。
本发明提供的身份验证的方法,摒弃了复杂的用户名密码的身份认证,节约了时间,提高了效率。实现一个完整的可信域,完成身份校验所需对安全资源的操作从普通世界到安全世界的物理隔离。

Claims (4)

1.一种采用TrustZone技术实现移动终端语音身份验证的方法,其特征在于,包括步骤如下:
(1)用户初次登陆***时,用户访问身份认证服务器获取身份认证凭据,得出不存在身份认证凭据的结果;
(2)在普通域中获取动态语音模板,提示用户读取动态语音模板的内容,初次获取用户的语音信息,语音模板的内容是在普通域的语音模板信息中随机选出的;
(3)在可信域中,调用分析语音模块对步骤(2)获取的用户语音信息进行分析,初步获取到用户的声纹特征,并将所述声纹特征预存储到可信域的内存中;
(4)提示用户再次读取动态语音模板的内容,第二次获取用户语音信息;即用户读出移动终端在普通域中获取的动态语音模板的内容,采集用户的语音记录;语音模板的内容是在普通域的语音模板信息中随机选出的;
(5)在可信域中,调用分析语音模块,获取到用户的声纹特征,调用可信域中的比较语音模块,将本步骤中获得的声纹特征与步骤(3)中预存储到可信域中的声纹特征进行比较,得出两次声纹特征一致或者不一致的结论;
(6)在两次声纹特征一致的前提下,在可信域中,将步骤(5)获取到的用户的声纹特征封装为身份认证凭据,并将身份认证凭据与用户账号共同上报到身份认证服务器中,完成用户语音声纹特征的采集操作;
(7)用户再次登陆***时,从身份认证服务器中获取用户的身份认证凭据,并将身份认证凭据传输到可信域的物理内存中;
(8)在普通域中获取动态语音模板并提示用户读取模板内容,获取到用户的语音信息;
(9)建立普通域与可信域之间的通信会话,在可信域中,通过分析语音模块得到用户的声纹特征,并将声纹特征封装为临时身份认证凭据;在可信域的物理内存中,将步骤(7)中获取的用户的身份认证凭据与本步骤中得到的所述临时身份认证凭据进行比较,验证身份认证凭据,得出判别一致或者判别不一致的结论;
(10)当步骤(9)中,两个身份认证凭据的判别一致时,则通过身份认证,移动终端获取通过身份验证通过指令,完成身份验证。
2.根据权利要求1所述的一种采用TrustZone技术实现移动终端语音身份验证的方法,其特征在于,所述步骤(6)中,在可信域中,通过AES加密算法将分析得到的用户的声纹特征封装为身份认证凭据;
所述步骤(9)中,通过AES加密算法将该步骤中获取的声纹特征封装为临时身份认证凭据。
3.根据权利要求1所述的一种采用TrustZone技术实现移动终端语音身份验证的方法,其特征在于,步骤(5)中,两次声纹特征不一致时,重复步骤(4)-(5)。
4.根据权利要求1-3任一项所述的一种采用TrustZone技术实现移动终端语音身份验证的方法,其特征在于,步骤(9)中,当两个身份认证凭据的判别不一致时,重复步骤(8)-(9)。
CN202010200132.4A 2020-03-20 2020-03-20 一种采用TrustZone技术实现移动终端语音身份验证的方法 Active CN111400688B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010200132.4A CN111400688B (zh) 2020-03-20 2020-03-20 一种采用TrustZone技术实现移动终端语音身份验证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010200132.4A CN111400688B (zh) 2020-03-20 2020-03-20 一种采用TrustZone技术实现移动终端语音身份验证的方法

Publications (2)

Publication Number Publication Date
CN111400688A CN111400688A (zh) 2020-07-10
CN111400688B true CN111400688B (zh) 2022-05-17

Family

ID=71434440

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010200132.4A Active CN111400688B (zh) 2020-03-20 2020-03-20 一种采用TrustZone技术实现移动终端语音身份验证的方法

Country Status (1)

Country Link
CN (1) CN111400688B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112104675B (zh) * 2020-11-19 2021-02-05 深圳市房多多网络科技有限公司 身份验证方法和***

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105227537A (zh) * 2014-06-16 2016-01-06 华为技术有限公司 用户身份认证方法、终端和服务端

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10540979B2 (en) * 2014-04-17 2020-01-21 Qualcomm Incorporated User interface for secure access to a device using speaker verification
US9887995B2 (en) * 2015-03-20 2018-02-06 Cyberdeadbolt Inc. Locking applications and devices using secure out-of-band channels
CN106603237B (zh) * 2015-10-16 2022-02-08 中兴通讯股份有限公司 一种安全支付方法及装置
CN105959947A (zh) * 2016-04-23 2016-09-21 乐视控股(北京)有限公司 一种安全接入网络的方法及其***
CN107330696A (zh) * 2016-04-29 2017-11-07 宇龙计算机通信科技(深圳)有限公司 一种运用语音识别技术的支付方法、装置、终端及***
CN109802942B (zh) * 2018-12-17 2021-06-25 西安电子科技大学 一种隐私保护的声纹认证方法
CN109754800B (zh) * 2018-12-28 2021-07-02 上海龙旗科技股份有限公司 基于声波识别用户与设备身份安全的方法及设备
CN110414200B (zh) * 2019-04-08 2021-07-23 广州腾讯科技有限公司 身份验证方法、装置、存储介质和计算机设备
CN110245001B (zh) * 2019-05-05 2023-04-18 创新先进技术有限公司 数据隔离方法及装置、电子设备
CN110677418B (zh) * 2019-09-29 2021-11-19 四川虹微技术有限公司 可信声纹认证方法、装置、电子设备及存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105227537A (zh) * 2014-06-16 2016-01-06 华为技术有限公司 用户身份认证方法、终端和服务端

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
E-pass using DRM in Symbian v8 OS and TrustZone : securing vital data on mobile devices;Hussin, W.H. et al.;《2006 International Conference on Mobile Business》;20061231;全文 *

Also Published As

Publication number Publication date
CN111400688A (zh) 2020-07-10

Similar Documents

Publication Publication Date Title
CN109981561A (zh) 单体架构***迁移到微服务架构的用户认证方法
US8386795B2 (en) Information security device of Universal Serial Bus Human Interface Device class and data transmission method for same
CN106330850B (zh) 一种基于生物特征的安全校验方法及客户端、服务器
CN111931144B (zh) 一种操作***与业务应用统一安全登录认证方法及装置
CN101374050B (zh) 一种实现身份认证的装置、***及方法
CN112651036B (zh) 基于协同签名的身份认证方法及计算机可读存储介质
CN108964925B (zh) 一种文件认证设备方法、装置、设备及可读介质
CN112953970B (zh) 一种身份认证方法及身份认证***
US9055061B2 (en) Process of authentication for an access to a web site
CN101951321B (zh) 一种实现身份认证的装置、***及方法
US20070180507A1 (en) Information security device of universal serial bus human interface device class and data transmission method for same
CN110650021A (zh) 一种认证终端网络实名认证方法和***
CN114996724B (zh) 一种基于国密算法模块的安全操作***
CN109587123A (zh) 双因子验证方法及认证服务器、生物特征验证服务器
CN111400688B (zh) 一种采用TrustZone技术实现移动终端语音身份验证的方法
CN110149211A (zh) 服务鉴权方法、服务鉴权装置、介质以及电子设备
CN113872989A (zh) 基于ssl协议的认证方法、装置、计算机设备和存储介质
CN112039857B (zh) 一种公用基础模块的调用方法和装置
CN113297563B (zh) 访问片上***特权资源的方法、装置及片上***
CN116346415A (zh) 一种工控plc***的多因素登录认证方法、装置及plc***
Aussel Smart cards and digital identity
CN113672888A (zh) 一种云平台的访问方法、装置、***及云平台服务器
CN113591053A (zh) 通用性的移动设备基于生物信息的识别方法及***
CN112529574A (zh) 一种智能密码设备证书的保护方法及智能密码设备
CN113938323B (zh) 基于jwt的防重放攻击方法、装置、设备以及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant