[0001] 本实用新型涉及人脸支付领域，尤其涉及一种基于安全单元和可信执行环境的人脸识别支付终端平台。

[0002] 随着人工智能技术的快速发展与衍化，人脸识别技术逐渐被应用于金融支付领域，而人脸识别支付终端的出现向原有支付系统引入了潜在的安全风险。在未有针对性安全保护的情况下，人脸识别相关算法及人脸图像数据在现有支付终端普通操作系统中，容易遭受到外来的恶意攻击，致使用户的支付交易面临严峻的安全威胁。设计一种人脸识别安全支付终端平台，可以有效提高支付终端的防御能力，保证以人脸识别作为用户身份辨别与认证途径从而执行支付流程的安全与稳定。安全支付终端平台以安全单元为基础，以可信执行环境为依托，以防止人脸活体检测结果和用户人脸图像被恶意篡改、窃取和伪造为目的，从而保障终端支付安全。安全单元解决核心密钥存储与密码学算法服务的问题。可信执行环境解决人脸活体检测算法执行、算法结果和人脸图像的完整性、认证性和机密性保护问题。

[0003] 用于支付终端平台的安全单元(Secure Element，SE)，多为一颗独立的安全芯片，能够防止外部恶意解析攻击，保护核心敏感数据安全，在芯片中具有密码算法逻辑电路，可以向外部提供安全的密码学算法服务。SE概念在金融领域应用起源于金融IC卡芯片，后来在金融交易终端上逐渐推广具有类似功能的SE芯片，近年来手机终端也开始配备专用的嵌入式SE芯片。SE不仅能防止来自软件层的逻辑攻击，还能抵抗物理攻击，即使其被物理破坏拆解，也能够保护其中存储数据的安全。SE的安全防护能力极高，但其计算和存储资源有限，通常仅用于保护核心敏感的安全密钥数据及提供底层密码学算法服务，不适用于对较大规模数据和较复杂程序逻辑执行的保护。

[0004] 可信执行环境(Trusted Execution Environment，TEE)，借鉴于可信计算技术思想，其旨在保护安全敏感的代码执行和相关数据信息免受恶意敌手的攻击和破坏，是建立可信移动终端平台的基础。TEE主要由微内核操作系统组成，隔离于由普通终端操作系统(如安卓和iOS等)组成的富执行环境(Rich Execution Environment，REE)。TEE能够抵御来自软件层的攻击，安全防护能力低于SE，但其实际运行于终端的主控芯片(CPU)上，具有较强的计算能力，能够执行复杂的逻辑程序。国际标准组织(GlobalPlatform，GP)在2011年为TEE制定了标准白皮书，并给出了系统架构设计指南。ARM公司提出了为TEE提供硬件支持的TrustZone隔离技术，通过自底向上的方法可以构建高安全性的隔离环境。近年来，在移动终端设备上构建TEE已经成为手机厂商的标准配置。

[0005] 人脸识别技术已广泛应用与安防、金融和智慧家居等领域，以实现人脸比对与辨别为目的，借助人脸这一生物特征，完成用户个体的身份识别和认证。人脸识别应用于支付领域，是通过人脸特征识别来辨别和确认付款主体的身份，其即可以实现用户(及其对应账户)的辨别(类比于确定银行卡号)，又可以作为一种身份认证要素实现身份的确认(类比于输入密码)。在使用过程中，为了提高安全性，人脸识别往往结合用户密码输入等认证手段一起完成对支付用户的身份认证。人脸识别过程与支付安全相关的算法主要包括活体检测算法和人脸比对算法，前者主要用于确定人脸图像来源于一个真实的活体，防止照片和视频等假体攻击，后者是主要实现在大量用户图像数据中确定当前用户的身份。在支付终端中，一般只集成活体检测算法，而人脸比对算法主要部署在支付机构或认证机构的后台服务器中，结合大量的人脸图像数据库一并使用。

[0006] 为降低支付交易的安全风险，现有支付终端设备在操作系统、物理硬件和密码输入保护方面做了一定的安全设计。然而针对人脸识别算法和相关流程，上述安全设计不足以保护算法的安全执行及结果，且人脸图像数据面临着泄露、篡改和伪造的风险。基于TEE和SE的人脸识别安全支付终端平台，能够有效解决相关安全问题，但在具体的实施和应用中，尚存在以下几点问题：

[0007] 1、现有支付终端没有专为保护人脸活体检测算法进行设计，无法对算法执行及算法结果的完整性、认证性和机密性保护。

[0008] 2、现有支付终端未针对人脸识别流程进行保护。

[0009] 3、人脸图像数据属于用户的隐私数据，一旦泄露将为用户带来长久的安全隐患。现有支付终端在普通操作系统REE中处理人脸图像，由于REE极易被攻破，则人脸图像数据也面临较高的泄露风险。从而，如何为人脸图像数据在终端的产生、处理和传输等各阶段设计安全保护方案，以保障人脸识别支付流程中的图像数据安全性成为亟待解决的问题。
实用新型内容

[0010] 本实用新型提供一种基于安全单元和可信执行环境的人脸识别支付方法及平台，用以解决现有技术中人脸支付过程中无法对人脸支付相关算法执行、算法结果、人脸识别流程和人脸图像数据的完整性、认证性和机密性保护的问题。

[0011] 为了实现上述目的，本实用新型技术方案提供了基于安全单元和可信执行环境的人脸识别支付终端平台，包括：安全芯片SE、密码键盘PINPAD、人脸识别摄像头，外设总线，高性能总线，终端设备，外设总线，通过MIPI接口与所述人脸识别摄像头的图像输出端连接，通过SPI接口与所述安全芯片SE的数据输出引脚连接，通过USB接口与所述密码键盘的输出端连接，通过总线桥与高性能总线衔接。高性能总线上设有能够与终端设备进行数据传输的数据线。

[0012] 作为上述技术方案的优选，较佳的，终端设备，包括处理器、一次性可编程寄存器、只读存储器和随机存储器，所述一次性可编程寄存器、所述只读存储器和随机存储器分别通过数据线经高性能总线与处理器连接。

[0013] 作为上述技术方案的优选，较佳的，MIPI接口为MIPI_CSI接口或MIP_DSI接口。

[0014] 作为上述技术方案的优选，较佳的，处理器中有可信执行环境，所述可信执行环境中有用于激活所述人脸识别摄像头的人脸识别可信应用，所述人安全芯片SE对人脸图像数据进行签名运算及生成密文数据，并经数据线将所述密文数据返回至可信执行环境；其中，人脸识别可信应用仅用于计算活体百分率。

[0015] 作为上述技术方案的优选，较佳的，终端设备中还包括，富执行环境，用于运行支付机构用于人脸识别交易的支付终端，支付终端运行有支付功能模块和人脸识别功能模块，分别处理常规支付流程和人脸识别流程，富执行环境中运行有支付工具以辅助完成支付交易，该支付工具与所述密码键盘PINPAD进行数据交互。

[0016] 作为上述技术方案的优选，较佳的，还包括认证服务器，用于根据所述密文数据和其存储的生物特征对当前用户进行身份认证。

[0017] 作为上述技术方案的优选，较佳的，还包括可信服务管理平台，用于通过安全通道与所述人脸识别支付平台进行数据交互，用于对安全单元的相关密钥及剩余应用进行下发、注册和更新管理，并对交易中人脸图像数据进行保护。

[0018] 作为上述技术方案的优选，较佳的，还包括：可信认证管理平台，用于通过安全通道与所述人脸识别支付平台进行数据交互，用于对可信执行环境的密钥及可信执行环境中的人脸识别可信应用进行下发、注册和更新管理，并对所述可信执行环境的身份进行认证。

[0019] 本实用新型技术方案提供了基于安全单元和可信执行环境的人脸识别支付终端平台，安全芯片SE、密码键盘PINPAD、人脸识别摄像头，外设总线，高性能总线，终端设备，外设总线，通过MIPI接口与所述人脸识别摄像头的图像输出端连接，通过SPI接口与所述安全芯片SE的数据输出引脚连接，通过USB接口与所述密码键盘的输出端连接，通过总线桥与高性能总线衔接。高性能总线上设有能够与终端设备进行数据传输的数据线。

[0020] 本实用新型的优点是：

[0021] 1、本实用新型通过增加安全单元SE使得支付终端平台能够对人脸活体检测结果和人脸识别图像的数据准确性、完整性、认证性和机密性的保护。具体的，安全单元SE能够提供安全的密码学算法服务，与设备终端的处理器协同工作，使得人脸识别支付的安全性得到提升。

[0022] 2、本实用新型能够与支付终端原有的支付流程紧密融合，基于终端平台的人脸识别安全支付方法可以有效减少人脸识别过程对传统支付交易引入的安全风险，且能够抵御来自软件层和部分硬件层对终端平台的恶意攻击，从而从整体上提升了人脸识别支付的安全性。

[0023] 3、本实用新型设计的终端平台和支付方法符合通用的安全单元SE与终端平台的TEE管理机制，配合成熟的TSM(可信服务管理平台)和TAM(可信认证管理平台)机制，能够有效实现所述安全支付终端平台的密钥生命周期管理与认证、TEE与TA的生命周期管理与认证，使平台快速融入现有的可信管理与认证系统环境，从而进一步提升人脸识别支付交易底层的安全管理能力。

[0028] 为使本实用新型实施例的目的、技术方案和优点更加清楚，下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本实用新型保护的范围。

[0029] 本实用新型用于人脸识别安全支付的终端平台，其特点为硬件层包含PINPAD密码键盘、安全芯片SE和人脸摄像头，软件层包含REE和TEE环境。其中，REE中运行有支付APP、支付设备SDK和TEE管理器，支付APP包含支付功能模块和人脸识别功能模块；TEE中运行有人脸识别可信应用TA，内含人脸活体检测算法SDK。该终端平台形成的实体终端设备，可以部署于普通商户，单独面向消费者通过人脸识别完成商品或服务的支付交易，也可以搭配现有支付MIS(管理信息系统)收银机具、自助贩售机具和POS终端，快速改造原有设备使其具备人脸识别支付功能。

[0030] 终端平台的PINPAD密码键盘，主要用于人脸支付时安全输入人脸交易密码，该PINPAD是物理实体键盘，非虚拟键盘。PINPAD需要通过金融行业有关部门的检测认证，内含独立的安全芯片，使用时与支付机构后台对接，直接获取分配给其的加密保护密钥和完整性保护密码，当用户输入人脸交易密码后，将直接在PINPAD内完成加密和完整性保护计算，然后发送至支付机构后台，用户密码不会明文出现在包含支付APP在内的其他环境中。PINPAD与REE连接，主要与支付设备SDK交互。

[0031] 终端平台的SE，直接位于平台主板上，用于对人脸活体检测结果进行签名，对人脸图像进行加密，并为上层提供安全的密码学算法，包括签名、对称加密和摘要算法等，SE中具有唯一身份识别序列号IDSE、人脸活体检测结果签名私钥SKFace以及人脸图像对称加密密钥FaceKey。SE直接与平台的TEE相连接，仅接受TEE发送的有效指令，并返回输出结果至TEE中对用的人脸识别可信应用TA。

[0032] 终端平台的人脸识别摄像头，专用于人脸识别过程中捕捉人脸图像数据，并具备活体检测的硬件支持功能，可以是3D结构光、TOF摄像头或红外双目摄像头，由TEE中的对应算法进行驱动。人脸识别摄像头仅与TEE直接连接，不与REE直接连，生成的人脸图像原始数据将仅能直接传入TEE中对应的TA进行处理。

[0033] 终端平台的TEE，基于ARMTrustZone硬件架构实现，是具备与REE隔离的专有环境，这里主要针对TEEOS层进行描述。TEE中安全执行有人脸识别TA，人脸识别TA运行有人脸活体检测算法SDK，可以对获取的人脸数据执行活体检测等相关算法，TEE存储有TEE身份标识序列号IDTEE、TEE认证私钥SKTEE和TA认证公钥PKTA_Certify；TEE与REE通过REE中的TEE管理器进行数据通信，TEE还可以执行其他安全敏感的可信应用TA。

[0034] 现具体说明本实用新型技术方案，图1为本实用新型实施例提供的结构示意图一，如图1所示，包括：

[0035] 安全芯片SE101、密码键盘PINPAD102、人脸识别摄像头103，外设总线(APB)104，高性能总线(AHB)105；终端设备，包括：处理器106、一次性可编程寄存器(OTP)107、只读存储器(ROM)108和随机存储器(RAM)109。

[0036] 外设总线104，通过MIPI接口与人脸识别摄像头103的图像输出端连接，通过SPI接口与安全芯片SE101的数据输出引脚连接，通过USB接口与密码键盘102的输出端连接，通过总线桥110与高性能总线105衔接。

[0037] 高性能总线105上设有能够与终端设备进行数据传输的数据线。

[0038] 终端设备的一次性可编程寄存器107、只读存储器108和随机存储器109分别通过数据线经高性能总线105与处理器106连接。

[0039] 其中，MIPI接口为MIPI_CSI接口或MIP_DSI接口。

[0040] 具体的，与本实用新型硬件构成相关的组件有核心处理器(Processor Cores)、一次性可编程(One Time Programmable，OTP)寄存器、只读存储器(Read-Only Memory，ROM)、随机存储器(Random-Access Memory，RAM)、人脸摄像头(Camera)、安全单元(SE)、密码键盘(PINPAD)、高性能总线(Advanced High Performance Bus，AHB)、外设总线(Advanced Peripheral Bus，APB)和AHB/APB桥(Bridge)，其中AHB/APB桥为总线桥110。

[0041] 根据TEE环境和REE环境，本实用新型平台硬件可相应分为安全状态和普通状态。图1中标有灰色背景的组件，表示其仅在平台安全状态下可用；标有白色背景的组件，表示其仅在平台普通状态下可用；标有一半白色和一半灰色背景的组件，表示其可以根据配置在安全或普通状态下使用，或者其不同部分区域可用于不同的状态。

[0042] 终端平台硬件组件通信的总线，主要包含AHB和APB，AHB用于Processor Core(s)与RAM、ROM和OTP之间的高速数据通信，APB相比于AHB速度较慢，用于连接Camera、SE和PINPAD这类可定义为外设的组件设备，AHB与APB间有AHB/APB桥，负责AHB与APB的数据通信转接。APB提供多种数据通信接口协议，包括USB、MIPI和SPI等。由AHB、APB和AHB/APB桥组成的总线系统，可以实现核心硬件的高速通信及各硬件组件与Processor Core(s)的联通。该终端平台的总线上，有一位数据线路专门配合Processor Core(s)完成对其他硬件组件当前安全状态的标记和识别，其他硬件组件在数据通信时，首先通过该线路表面自己当前的状态属性，由Processor Core(s)内的相关寄存器实现鉴别。总线通信的发起模式与常规方式相同，根据主从设备定义通信发起模式。

[0043] Processor Core(s)，为终端平台的核心CPU，应为ARM系列v7以上型号，宜为4核以上配置，具体可为：4核ARM Cortex-A53，型号为MTK8735。CPU支持TrustZone机制，可以实现基于硬件隔离的TEE环境，因此该CPU可以运行在普通状态下，执行REE OS，也可以运行在安全状态下，执行TEE OS。CPU内有CP15寄存器等组件，用于设定和认证平台上硬件的状态配置及属性，相关机制使其可以标记和配置其他硬件组件的状态，即普通状态和安全状态，以此实现TEE的若干功能。对于始终确定为某一状态下运行的硬件组件，终端平台出厂前将其定制配置为某一状态下的组件，不允许修改；对于可变状态下运行的硬件组件，其可以在终端平台运行过程中被动态配置和使用。

[0044] ROM与RAM，为终端平台的常规内置存储器，其相关地址空间根据需要均可以被配置为用于普通状态或安全状态，且可以在终端平台运行过程中动态配置。只有其安全状态对应的地址空间可以存储安全敏感的数据，如人脸图像活检结果等。

[0045] OTP，即终端平台的一次性可编程寄存器，所存储的数据出厂后不允许修改，并可添加额外密码学保护。终端平台出厂前OTP将被配置为只允许用于安全状态下的标记，该寄存器用于存储不可更改的数据，如TEE的ID和相关根密钥，只允许TEE在特定状态下访问OTP的特定数据。

[0046] Camera，专用于终端平台的人脸识别摄像头，其出厂前被配置为仅用于安全状态，同过MIPI接口协议连接APB总线，仅将人脸图像数据传输至安全状态的TEE中，即安全状态的Processor Core(s)中。

[0047] 安全芯片SE，为独立安全芯片，其出厂前被配置为仅用于安全状态，通过SPI接口协议连接APB总线，SE获取Processor Core(s)调用发送的密码学运算请求，传入待运算数据并进行运算后，由SPI输出运算结果。

[0048] PINPAD密码键盘，其出厂前被配置为仅用于普通状态，通过标准的USB串口连入APB总线，完成正常的数据输入与输出。

[0049] 本实用新型提供的基于安全单元和可信执行环境的形成的实体终端设备，可以部署于普通商户，单独面向消费者通过人脸识别完成商品或服务的支付交易，也可以搭配现有支付MIS(管理信息系统)收银机具、自助贩售机具和POS终端，快速改造原有设备使其具备人脸识别支付功能。

[0050] 进一步的，上述人脸识别支付平台分别与认证服务器、TSM(可信服务管理平台)和TAM(可信认证管理平台)进行相关信息数据交互，以支撑和完成人脸识别安全支付流程的进行。以下详细介绍终端平台与上述后台服务系统的交互内容，如图2所示。

[0051] 可信服务管理平台TSM21，用于通过安全通道与人脸识别支付平台进行数据交互，对安全单元生成的密文数据及剩余应用进行下发、注册和更新管理，并对交易中人脸图像数据进行保护。具体的，TSM既可以部署在支付机构后台，也可以由某机构独立运维，主要用于对终端平台的SE进行管理，需要与支付APP后台服务有数据交互。终端平台出厂前，厂商对SE进行密钥预置，则TSM与终端平台之间即可建立安全通道。在终端平台使用过程中，SE运行的Applet应用、功能密钥，均可由TSM通过安全通道下发至SE，同时这些数据的更新升级也通过TSM进行下发完成。TSM负责管理的SE密钥有FaceKey和SKFace，当某个终端SE在TSM处完成注册后，TSM将具有SE相对应的IDSE、FaceKey和PKFace，TSM将这些数据以某种形式经过某种方式传送至认证服务器，认证服务器在验证终端平台人脸支付交易时会使用到这些数据，以此作为验证的基础。

[0052] 可信认证管理平台TAM22，用于通过安全通道与所述人脸识别支付平台进行数据交互，用于对可信执行环境的密钥及可信执行环境中的人脸识别可信应用进行下发、注册和更新管理，并对所述可信执行环境的身份进行认证

[0053] TAM即可以部署在支付机构后台，也可以由某机构独立运维，主要用于对终端平台的TEE进行管理，需要与支付APP后台服务有数据交互。终端平台出厂前，厂商对TEE进行密钥预置，则TAM与终端平台之间即可建立安全通道。在终端平台使用过程中，TEE OS镜像、TEE运行的TA、功能密钥，均可由TAM通过安全通道下发至终端平台，同时这些数据的更新升级也通过TAM进行下发完成。TAM负责管理的TEE密钥有SKTEE和PKTA_Certify，当某个终端TEE在TAM处完成注册后，TAM将具有TEE相对应的IDTEE、PKTEE和SKTA_Certify，TAM将IDTEE和PKTEE以某种形式经过某种方式传送至认证服务器，认证服务器在验证终端平台TEE身份时会使用到这两个数据，以此作为验证的基础。

[0054] 认证服务器23，主要部署在支付机构后台，用于验证终端平台和消费者的合法身份，是人脸支付交易过程中进行后台人脸识别算法部署的主体，也进行人脸支付交易消费者账户认证的核心组件。人脸识别安全支付流程中，终端平台(支付APP)生成人脸识别组包数据均发送至该认证服务器，认证服务器使用TSM传输的对应密钥数据解包并校验终端平台数据，对活体百分率r进行合格判定后，使用人脸图像数据p和消费者人脸交易密码在自有的人脸图像数据库中进行比对检索，确定对应消费者的具体身份和消费账户，再通过传统路径完成具体金额的支付交易流程，以此完成人脸识别支付交易的核心验证步骤，实现人脸识别安全支付终端平台功能。

[0055] 本实用新型还提供了一种基于安全单元和可信执行环境的人脸识别支付平台，其结构示意图如图3所示：

[0056] 支付终端(支付APP)31，用于若未完成人脸活体检测数据和人脸图像数据的采集，调起人脸识别可信应用；还用于，将安全单元生成的密文数据传输至认证服务器，通过所述认证服务器对用户进行身份认证，以及用于进行支付流程。

[0057] 人脸识别可信应用TA32，用于激活人脸识别摄像头以及获取活体百分率，其内含人脸活体检测算法SDK；具体的，人脸识别可信应用TA32在本技术方案中的计算方面，仅承担计算活体百分率的任务。

[0058] 人脸识别摄像头33，用于抓取人脸活体检测数据和人脸图像数据，并将其发送至可信执行环境。此摄像头专用于人脸识别过程中捕捉人脸图像数据，并具备活体检测的硬件支持功能，可以是3D结构光、TOF摄像头(Time of Flight)或红外双目摄像头，由TEE中的对应算法进行驱动。人脸识别摄像头仅与TEE直接连接，不与REE直接连，生成的人脸图像原始数据将仅能直接传入TEE中对应的人脸识别可信应用TA进行处理。

[0059] 可信执行环境TEE34，用于调用安全单元SE中的对称加密算法对所述人脸识别可信应用获取的所述活体百分率和所述人脸识别摄像头采集的所述人脸图像数据进行签名运算，生成签名结果，向安全单元发送加密指令用于指示安全单元生成密文数据。

[0060] 可信执行环境34基于ARM TrustZone硬件架构实现，是具备与REE隔离的专有环境，这里主要针对TEE OS层进行描述。TEE中安全执行有人脸识别可信应用TA，人脸识别可信应用TA32运行有人脸活体检测算法SDK321，可以对获取的人脸数据执行活体检测等相关算法，TEE存储有TEE身份标识序列号IDTEE、TEE认证私钥SKTEE和TA认证公钥PKTA_Certify；TEE与REE通过REE中的TEE管理器进行数据通信，TEE还可以执行其他安全敏感的TA。

[0061] 安全单元SE35，用于对人脸识别可信应用TA32通过计算得到的活体百分率、可信执行环境34生成的签名结果和人脸识别摄像头采集的人脸图像数据进行加密运算，得到密文数据。具体的，密文数据为：签名结果、活体百分率和人脸图像数据三者的加密结果。

[0062] 具体的，安全单元SE，直接位于平台主板上，用于对人脸活体检测结果进行签名，对人脸图像进行加密，并为上层提供安全的密码学算法，包括签名、对称加密和摘要算法等，SE中具有唯一身份识别序列号IDSE、人脸活体检测结果签名私钥SKFace以及人脸图像对称加密密钥FaceKey。SE直接与平台的TEE相连接，仅接受TEE发送的有效指令，并返回输出结果至TEE中对用的可信应用TA。

[0063] 认证服务器36，用于根据所述密文数据和其存储的生物特征对当前用户进行身份认证，并回传至支付APP31中。

[0064] 富执行环境REE37，用于运行支付机构用于人脸识别交易的支付终端，支付终端运行有支付功能模块和人脸识别功能模块，分别处理常规支付流程和人脸识别流程，富执行环境中运行有支付工具以辅助完成支付交易，该支付工具与密码键盘进行数据交互。其为普通的Android操作系统，执行原有终端的应用程序、组件服务和驱动，运行有支付APP31，实现支付交易功能和人脸识别功能的上层接口和UI，该APP主要由支付机构负责实现。支付APP31的支付功能模块311，主要负责处理支付相关功能的请求、响应和数据组包；人脸识别功能模块312，主要负责处理人脸识别相关功能的请求、响应和数据组包。REE37中还运行有支付设备SDK371，用于处理原有的支付交易算法和协议，这部分内容与支付机构后台规则相关。REE37中运行TEE管理器372，用于实现TEE与REE的数据通信和命令调用功能，在支付APP调用人脸识别可信应用TA时负责发送调用请求，并接收其返回的数据结果。

[0065] PINPAD密码键盘38，用于用户向支付终端输入支付密码。具体的，用于人脸支付时安全输入人脸交易密码，该PINPAD是物理实体键盘，非虚拟键盘。PINPAD需要通过金融行业有关部门的检测认证，内含独立的安全芯片，使用时与支付机构后台对接，直接获取分配给其的加密保护密钥和完整性保护密码，当用户输入人脸交易密码后，将直接在PINPAD内完成加密和完整性保护计算，然后发送至支付机构后台，用户密码不会明文出现在包含支付APP在内的其他环境中。PINPAD与富执行环境REE连接，主要与支付设备SDK交互。

[0066] 现结合实际操作过程对本实用新型技术方案进行说明，

[0067] 消费者启动终端设备中的支付应用31开始支付，支付应用31激活TEE管理器372，从而调起可信执行环境TEE34中的人脸识别可信应用TA32，人脸识别可信应用TA32激活人脸识别摄像头33采集消费者人脸图像并将此图像回传至人脸识别可信应用TA32，人脸活体检测算法SDK321对人脸图像进行计算得到活体百分率r和人脸像素图像。人脸识别可信应用TA32将活体百分率r和人脸像素图像下发至安全单元SE35进行运算，得到密文数据m。再将密文数据m回传至人脸识别可信应用TA32，经TEE管理器372后回传至支付应用31。支付应用将密文数据m发送至认证服务器36认证后将认证结果回传至支付应用31，若认证通过则密码键盘38输入密码，再经支付设备SDK371计算后将计算结果发至支付应用31，支付应用31中的支付功能模块311执行支付流程。

[0068] 本实用新型提供的基于安全单元和可信执行环境的人脸识别支付终端平台，可以部署于普通商户，单独面向消费者通过人脸识别完成商品或服务的支付交易，也可以搭配现有支付MIS(管理信息系统)收银机具、自助贩售机具和POS终端，快速改造原有设备使其具备人脸识别支付功能。

[0069] 本实用新型技术方案提供了基于安全单元和可信执行环境的人脸识别支付终端平台，通过人脸识别可信应用通过人脸识别摄像头采集的人脸活体检测数据和人脸图像数据，获取活体百分率后可信执行环境通过安全单元获取密文数据，支付终端判断活体百分率是否大于预设活体百分率阈值，若大于则结合加密密钥进行身份认证，通过后在富执行环境中结合密码键盘进行剩余交易。

[0070] 本实用新型的优点是：

[0071] 1、本实用新型基于SE的终端平台可以安全管理与人脸识别过程相关的数据保护密钥，SE能够提供安全的密码学算法服务，TEE保证了人脸活体检测算法的安全执行，TEE与人脸识别摄像头直连，整体终端平台实现了对人脸活体检测结果和人脸识别图像的数据准确性、完整性、认证性和机密性的保护。

[0072] 2、本实用新型能够与支付终端原有的支付流程紧密融合，基于终端平台的人脸识别安全支付方法可以有效减少人脸识别过程对传统支付交易引入的安全风险，且能够抵御来自软件层和部分硬件层对终端平台的恶意攻击，从而从整体上提升了人脸识别支付的安全性。

[0073] 3、本实用新型设计的终端平台和支付方法符合通用的SE与TEE管理机制，配合成熟的TSM(可信服务管理平台)和TAM(可信认证管理平台)机制，能够有效实现所述安全支付终端平台的密钥生命周期管理与认证、TEE与TA的生命周期管理与认证，使平台快速融入现有的可信管理与认证系统环境，从而进一步提升人脸识别支付交易底层的安全管理能力。

[0074] 最后应说明的是：以上各实施例仅用以说明本实用新型的技术方案，而非对其限制；尽管参照前述各实施例对本实用新型进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本实用新型各实施例技术方案的范围。