数据安全处理方法和数据安全存储设备转让专利
申请号 : CN200810219277.8
文献号 : CN101458750B
文献日 : 2011-03-02
发明人 : 张海光 , 崔铭常 , 马建设 , 倪凯 , 程雪岷 , 林家用 , 王怀涛 , 张松 , 毛乐山 , 林喜荣
申请人 : 东莞市智盾电子技术有限公司 , 清华大学深圳研究生院
摘要 :
本发明公开了一种应用生物特征密钥的数据安全处理方法和数据安全存储设备,涉及数据安全技术领域。数据安全处理方法包括,注册过程,通过生物特征采集设备采集用户的第一生物特征;提取第一生物特征的第一生物特征模板;保存第一生物特征模板;使用过程,通过生物特征采集设备采集用户的第二生物特征;提取第二生物特征的第二生物特征模板;确定第一生物特征模板与第二生物特征模板相匹配后,允许设备访问并使用第一生物特征模板对设备数据进行加解密处理。本技术方案使用从生物特征中提取的生物特征模板实现设备的访问控制和数据加解密,从而提高设备数据的安全。
权利要求 :
1.一种应用生物特征密钥的数据安全处理方法,其特征在于,包括:A注册过程
通过生物特征采集设备采集用户的第一生物特征;
提取所述第一生物特征的第一生物特征模板;
对所述第一生物特征模板进行加密,保存加密后的第一生物特征模板;
B使用过程
通过生物特征采集设备采集用户的第二生物特征;
提取所述第二生物特征的第二生物特征模板;
获取所述加密后的第一生物特征模板,并对其进行解密;
确定所述第一生物特征模板与所述第二生物特征模板相匹配后,允许设备访问,并使用所述第一生物特征模板对流入设备的数据进行加密处理,对流出设备的数据进行解密处理,使得保存在设备里面的数据处于加密状态。
2.根据权利要求1所述的数据安全处理方法,其特征在于,所述保存加密后的第一生物特征模板具体为:将所述第一生物特征模板保存到设备自身密钥存储区或移动存储设备。
3.根据权利要求1至2任意一项所述的数据安全处理方法,其特征在于,所述生物特征具体为指纹特征、掌纹特征、面部特征或虹膜特征。
4.一种应用生物特征密钥的数据安全存储设备,其特征在于,包括:第一生物特征获取单元,用于获取用户的第一生物特征;
第一生物特征模板提取单元,用于提取所述第一生物特征的第一生物特征模板;
非统一密钥存储单元,用于保存所述第一生物特征模板;
第二生物特征获取单元,用于获取用户的第二生物特征;
第二生物特征模板提取单元,用于提取所述第二生物特征的第二生物特征模板;
特征模板相匹配单元,用于确定所述第一生物特征模板与所述第二生物特征模板相匹配后,发出模板匹配信息;
存储数据加解密单元,用于接收到所述模板匹配信息后,允许设备访问并使用第一生物特征模板对设备数据进行加解密处理;
所述存储数据加解密单元包括:
存储数据加密单元,用于对流入设备的数据进行加密处理;
存储数据解密单元,用于对流出设备的数据进行解密处理;
所述数据安全存储设备进一步包括:
特征模板加密单元,用于对所述第一生物特征模板进行加密,并向所述非统一密钥存储单元保存加密后的第一生物特征模板;
特征模板解密单元,用于从所述非统一密钥存储单元获取所述加密后的第一生物特征模板,并对其进行解密。
5.根据权利要求4所述的数据安全存储设备,其特征在于:所述非统一密钥存储单元具体为设备自身密钥存储区或移动存储设备;
所述生物特征具体为指纹特征、掌纹特征、面部特征或虹膜特征。
6.根据权利要求4至5任意一项所述的数据安全存储设备,其特征在于,进一步包括生物特征采集设备,用于采集用户的生物特征;
其中,所述第一生物特征获取单元获取用户的第一生物特征为,通过所述生物特征采集设备获取用户的第一生物特征;所述第二生物特征获取单元获取用户的第二生物特征为,通过所述生物特征采集设备获取用户的第二生物特征。
说明书 :
数据安全处理方法和数据安全存储设备
技术领域
[0001] 本发明涉及数据安全技术领域,尤其涉及一种应用生物特征密钥的数据安全处理方法和数据安全存储设备。
背景技术
[0002] 生物特征具有独特性、永久性和防伪性等特征,并且为随身携带,在身份验证场合可以代替传统密码和ID卡,以获得更高的安全性和更好的使用体验。利用生物特征对数据安全存储设备的访问控制通道进行加密,可以提高数据安全存储设备对非法入侵的抵御能力。
[0003] 在现有技术中,数据安全存储设备对访问用户的生物特征进行匹配,如果该生物特征与之前合法注册的生物特征匹配,打开通信通道,否则关闭通信通道,现有技术通过生物特征实现安全的访问控制。但是,由于数据安全存储设备里面的数据仍以明文的形式存在,非法用户可以通过通信欺骗方式来绕过访问控制,或者通过暴力方式拆出[0004] 数据安全存储设备里面的存储器,然后读取该数据安全存储设备保存的数据,现有技术的设备数据存在一定的安全隐患。
发明内容
[0005] 本发明提供一种应用生物特征密钥的数据安全处理方法和数据安全存储设备,其使用从生物特征中提取的生物特征模板实现访问控制和设备数据加解密处理,从而提高设备数据的安全。
[0006] 一种应用生物特征密钥的数据安全处理方法,包括:A注册过程,通过生物特征采集设备采集用户的第一生物特征;提取第一生物特征的第一生物特征模板;保存第一生物特征模板;B使用过程,通过生物特征采集设备采集用户的第二生物特征;提取第二生物特征的第二生物特征模板;确定第一生物特征模板与第二生物特征模板相匹配后,允许设备访问并使用第一生物特征模板对设备数据进行加解密处理。
[0007] 其中,对设备数据进行加解密处理具体为:对流入设备的数据进行加密处理,对流出设备的数据进行解密处理。
[0008] 其中,保存第一生物特征模板具体为:对第一生物特征模板进行加密,保存加密后的第一生物特征模板;第一生物特征模板与第二生物特征模板相匹配之前,进一步包括:获取加密后的第一生物特征模板,并对其进行解密。
[0009] 其中,保存第一生物特征模板具体为:将第一生物特征模板保存到设备自身密钥存储区或移动存储设备。
[0010] 其中,生物特征具体为指纹特征、掌纹特征、面部特征或虹膜特征。
[0011] 一种应用生物特征密钥的数据安全存储设备,包括:第一生物特征获取单元,用于获取用户的第一生物特征;第一生物特征模板提取单元,用于提取第一生物特征的第一生物特征模板;非统一密钥存储单元,用于保存第一生物特征模板;第二生物特征获取单元,用于获取用户的第二生物特征;第二生物特征模板提取单元,用于提取第二生物特征的第二生物特征模板;特征模板相匹配单元,用于确定第一生物特征模板与第二生物特征模板相匹配后,发出模板匹配信息;存储数据加解密单元,用于接收到模板匹配信息后,允许设备访问并使用第一生物特征模板对设备数据进行加解密处理。
[0012] 其中,存储数据加解密单元包括:存储数据加密单元,用于对流入设备的数据进行加密处理;存储数据解密单元,用于对流出设备的数据进行解密处理。
[0013] 其中,进一步包括:特征模板加密单元,用于对第一生物特征模板进行加密,并向非统一密钥存储单元保存加密后的第一生物特征模板;特征模板解密单元,用于从非统一密钥存储单元获取加密后的第一生物特征模板,并对其进行解密。
[0014] 其中,非统一密钥存储单元具体为设备自身密钥存储区或移动存储设备;生物特征具体为指纹特征、掌纹特征、面部特征或虹膜特征。
[0015] 其中,进一步包括生物特征采集设备,用于采集用户的生物特征;其中,第一生物特征获取单元获取用户的第一生物特征为,通过生物特征采集设备获取用户的第一生物特征;第二生物特征获取单元获取用户的第二生物特征为,通过生物特征采集设备获取用户的第二生物特征。
[0016] 从以上技术方案可以看出,在本发明中,数据安全处理方法包括,注册过程,通过生物特征采集设备采集用户的第一生物特征;提取第一生物特征的第一生物特征模板;保存第一生物特征模板;使用过程,通过生物特征采集设备采集用户的第二生物特征;提取第二生物特征的第二生物特征模板;确定第一生物特征模板与第二生物特征模板相匹配后,允许设备访问并使用第一生物特征模板对设备数据进行加解密处理。本技术方案不仅使用生物特征模板实现数据安全存储设备的安全访问控制,而且使用生物特征模板对设备数据进行加解密处理,使保存在设备里面的数据处于加密状态,通过生物特征模板实现双重保护,从而提高设备数据的安全。
附图说明
[0017] 图1为本发明实施例的数据安全处理方法流程图;
[0018] 图2为本发明实施例的数据安全存储设备示意图。
具体实施方式
[0019] 实施例一
[0020] 参见附图1,为本发明实施例的数据安全处理方法流程图。本实施例的数据安全处理方法,包括注册过程和使用过程两大部分;其中注册过程包括步骤101至步骤103,使用过程包括步骤104至步骤108。
[0021] 步骤101.数据安全存储设备通过生物特征采集设备采集用户的第一生物特征。生物特征具体为指纹特征、掌纹特征、面部特征或虹膜特征,除此之外,还可以为其它生物特征,比如为手血管纹理和DNA等。
[0022] 大部分的生物特征可以通过光学传感器如CCD或CMOS形成图像信号,比如指纹、掌纹、面部等;但对于虹膜来说,需要红外光源才可以得到细节清晰的特征。本实施例通过与采集的生物特征相对应的生物特征采集设备采集上述生物特征。各生物特征有自身的特点,比如,指纹特征为基于手指表面的一连串脊、沟以及手指表面的细节特征点构成的特征,其中细节特征点指的是脊的交叉点或端点;面部特征为基于面部关键特征的空间几何关系,通常以眼睛、鼻子、下颚边等之间的距离来度量;虹膜特征为基于虹膜所形成的图案,即眼球中的有色部分。
[0023] 步骤102.提取第一生物特征的第一生物特征模板。采集生物特征后,对其进行取样,并转换为数字代码,由数字代码组成生物特征模板。比如使用Dr.Daugman的算法,在直径11mm的虹膜上,用3.4个字节的数据来代表每平方毫米的虹膜信息,这样,一个虹膜约有266个量化特征点,然后将这些特征点转换为数字代码。根据特征提取算法的不同,生物特征模板的长度也不同,一般超过150字节,即1200位,利用位数较高生物特征模板作为密钥进行加解密处理,可使暴力破解成本剧增。
[0024] 步骤103.数据安全存储设备对第一生物特征模板进行加密,保存加密后的第一生物特征模板。可使用MD5(消息摘要算法5)等加密算法对第一生物特征模板进行加密。可以将第一生物特征模板保存到设备自身密钥存储区或移动存储设备;移动存储设备可为移动U盘、存储卡等;对于将第一生物特征模板保存到移动存储设备的情况,用户在不使用数据安全存储设备时,可以断开移动存储设备与数据安全存储设备的连接,并将移动存储设备放置在安全的地方,从而提高使用安全性。
[0025] 以上步骤完成了用户在数据安全存储设备的注册过程,以下步骤为用户使用数据安全存储设备,对设备保存的数据进行操作的使用过程。
[0026] 步骤104.数据安全存储设备通过生物特征采集设备采集用户的第二生物特征。
[0027] 步骤105.提取第二生物特征的第二生物特征模板。
[0028] 步骤106.获取上述加密后的第一生物特征模板,并对其进行解密。
[0029] 步骤107.判断第一生物特征模板与第二生物特征模板是否相匹配,如果是,继续步骤108,否则,退出设备数据处理。
[0030] 每个用户具有自身独特的生物特征,如步骤101和步骤104对同一个用户进行采集,则第一生物特征模板与第二生物特征模板相匹配,说明步骤104的用户为注册用户,该用户具有使用数据安全存储设备的权限,可以对设备数据进行操作。
[0031] 步骤108.允许设备访问并使用第一生物特征模板对设备数据进行加解密处理。上述对设备数据进行加解密处理具体为,对流入设备的数据进行加密处理,对流出设备的数据进行解密处理。
[0032] 如果第一生物特征模板或第二生物特征模板相匹配,说明它们的内容是相同的;使用第一生物特征模板或第二生物特征模板对数据进行加解密,它们的效果相同。在本实施例中,先将生物特征模板初始化存储数据加解密单元,然后由存储数据加解密单元对对流入设备的数据进行加密处理,对流出设备的数据进行解密处理,使得保存在设备里面的数据处于加密状态。
[0033] 由于生物特征模板提取及匹配、生物特征模板作为密钥的加密存储及读取解密、设备数据加解密等均在数据安全存储设备内部实现,一般的通信欺骗将变得无效,敌手要破解该设备,需要付出芯片分析或同等级别以上的代价。而在本实施例中,可将生物特征模板保存到移动存储设备,即生物特征模板脱机保管,设备内使用该生物特征模板加密的数据可以被认为是非常安全的。必要时,合法注册用户有权更改或销毁该密钥,并使设备存储的数据完全失效。
[0034] 本技术方案不仅使用生物特征模板实现数据安全存储设备的安全访问控制,而且使用生物特征模板对设备数据进行加解密处理,使保存在设备里面的数据处于加密状态,通过生物特征模板实现双重保护,从而提高设备数据的安全。
[0035] 现有的对明文加密方式如下,在设备制作时,预先制订一系列用于数据加密的密钥,并在用户注册时随机选定其中一个。在用户认证
[0036] 通过后,设备从密钥存储区读出注册时选定的密钥,并完成数据的加解密处理。由于这些密钥是预先设定的,因此可以通过窃取设备设计资料获得;由于这些密钥是从固定的存储区、密钥池中选择的,其数量有限,因此可以通过存储区数据分析和穷举所有存储区密钥的方式破解,进而获取设备存储数据的明文。而本技术方案中,直接以生物特征模板作为数据的加解密密钥,不在设备制作时预先制订任何数据加解密密钥,而只在用户注册时产生属于本用户和设备的,独特的(非统一)数据加解密密钥,以此使每个设备的加解密密钥都是独特的,防止通过窃取设备设计资料获得密钥,防止通过密钥穷举破解密钥,从而提高安全性。
[0037] 作为本发明的另一个实施例,与上述实施例不同之处在于,在步骤103中,直接保存没有加密的第一生物特征模板,即不需要加密步骤;相应的,步骤106中,获取没有加密的第一生物特征模板,即不需要解密步骤。考虑到可以将第一生物特征模板保存在移动存储设备,在不使用该第一生物特征模板时,可以断开移动存储设备与数据安全存储设备的连接,并将移动存储设备放置在安全的地方;故即使不对存储在移动存储设备的第一生物特征模板进行加密,也不会对使用安全性造成太大的影响。
[0038] 实施例二
[0039] 参见图2,为本发明实施例的数据安全存储设备示意图。一种应用生物特征密钥的数据安全存储设备,包括:第一生物特征获取单元11,用于获取用户的第一生物特征;第一生物特征模板提取单元12,用于提取第一生物特征的第一生物特征模板;非统一密钥存储单元17,用于保存第一生物特征模板;第二生物特征获取单元13,用于获取用户的第二生物特征;第二生物特征模板提取单元14,用于提取第二生物特征的第二生物特征模板;特征模板相匹配单元15,用于确定第一生物特征模板与第二生物特征模板相匹配后,发出模板匹配信息;存储数据加解密单元19,用于接收到模板匹配信息后,允许设备访问并使用第一生物特征模板对设备数据进行加解密处理。
[0040] 本实施例中,数据安全存储设备提供三个接口,分别为,生物特征采集设备10控制及通讯接口、数据安全存储设备存储芯片(组)控制及通讯接口、数据安全存储设备对外通讯接口。上述获取用户的第一生物特征和第二生物特征为从外接的生物特征采集设备10中获取。
[0041] 其中,存储数据加解密单元19包括:存储数据加密单元,用于对流入设备的数据进行加密处理;存储数据解密单元,用于对流出设备的数据进行解密处理。
[0042] 其中,进一步包括:特征模板加密单元16,用于对第一生物特征模板进行加密,并向非统一密钥存储单元17保存加密后的第一生物特征模板;特征模板解密单元18,用于从非统一密钥存储单元17获取加密后的第一生物特征模板,并对其进行解密。
[0043] 其中,非统一密钥存储单元17具体为设备自身密钥存储区或移动存储设备;生物特征具体为指纹特征、掌纹特征、面部特征或虹膜特征。
[0044] 作为另一个优选的实施例,数据安全存储设备进一步包括生物特征采集设备10,其用于采集用户的生物特征。第一生物特征获取单元11获取用户的第一生物特征为,通过生物特征采集设备10获取用户的第一生物特征;第二生物特征获取单元13获取用户的第二生物特征为,通过生物特征采集设备10获取用户的第二生物特征。生物特征采集设备10可以为独立于数据安全存储设备的设备,通过生物特征采集设备10控制及通讯接口与数据安全存储设备连接,可以根据不同类型的生物特征插接不同类型的生物特征采集设备
10;而在该实施例,把生物特征采集设备10设置在数据安全存储设备中,有利于设备集成和设备维护。
10;而在该实施例,把生物特征采集设备10设置在数据安全存储设备中,有利于设备集成和设备维护。
[0045] 以上内容仅为本发明的较佳实施例,对于本领域的普通技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,本说明书内容不应理解为对本发明的限制。