用于电子文档流转的虹膜动态加密解密系统及方法
【技术领域】
[0001]本发明属于电子通信技术领域,更进一步涉及网络数据通信技术领域中的一种用于电子文档流转的虹膜动态加密解密系统及方法。本发明利用虹膜特征的唯一性,提供了一种采用虹膜特征值动态加解密电子文档的系统和方法。本发明支持基于局域网、广域网中电子文档的加解密流转时,可以安全实时地实现电子文档在部门之间的上传下达,满足电子文档安全保密级别的需要。
【背景技术】
[0002]电子文档是当下计算机、平板电脑、手机、个人数字助理PDA等终端设备及应用系统发展的产物,也是政府部门、部队、企事业单位处理公务和行政管理的重要载体,在各级机关、单位中,“办公”的一个重要内容就是办理和制发文件,即“办文”,办文是每个机关、单位大量的日常工作。依靠计算机网络信息技术对电子文档进行高效有序的电子化处理,是电子政务建设的重要组成部分。用于电子文档流转的虹膜动态加密解密系统及方法的设计按照统一标准,依托计算机网络,在不同地区、不同单位之间进行电子文档的虹膜加密传输,保证电子文档在传递过程中的安全性、时效性。可实现安全可靠的政务电子文档信息交换,提高办公效率,推进政务信息化建设的发展。
[0003]北京释码大华科技有限公司申请的专利“一种基于虹膜识别的文件加解密系统及其方法”(专利申请号201410180785.5,申请公布号CN 103927470 A)公开了一种基于虹膜识别的文件加解密系统及其方法。该系统包括:虹膜识别设备,用于虹膜图像的采集、注册和验证;文件加解密管理客户端,用来实现与用户的人机交互;计算机文件系统,用来管理计算机中的文件;在进行文件加解密操作时,虹膜识别设备采集用户的虹膜图像,进行身份验证;在用户身份验证通过后,虹膜识别设备将基于自身硬件的序列号作为种子产生密钥,并将该密钥发送给文件加解密管理客户端,文件加解密管理客户端执行文件的加解密操作。该方法利用虹膜识别设备的唯一序列号作为种子产生加密密钥,保证了加密密钥和加密装置的唯一性。但是该方法仍然存在的不足之处是:其一,该方法用到的虹膜识别,只是作为加解密方法的第一步,用来验证加解密者的身份,而实际作为密钥的是虹膜设备自身硬件的序列号,意味着在同一台虹膜设备上加密的文件都用的是同一个密钥,属于静态加密,一旦更换设备即丢失了密钥。其二,该方法中的解密必须在同一台虹膜设备下进行,加密文件无法异地解密。其三,该系统产生的密文无法通过该系统流转。
[0004]东莞市智盾电子技术有限公司和清华大学深圳研宄生院共同申请的专利“数据安全处理方法和数据安全存储设备”(专利申请号200810219277.8,申请公布号CN 101458750A)公开了一种涉及数据安全技术领域中的应用生物特征密钥的数据安全处理方法和数据安全存储设备。该数据安全处理方法的具体步骤包括,注册过程,通过生物特征采集设备采集用户的第一生物特征;提取第一生物特征的第一生物特征模板;保存第一生物特征模板;使用过程,通过生物特征采集设备采集用户的第二生物特征;提取第二生物特征的第二生物特征模板;确定第一生物特征模板与第二生物特征模板相匹配后,允许设备访问并使用第一生物特征模板对设备数据进行加解密处理。该方法虽然采用了生物特征模板实现设备的访问控制和数据加解密。但是该方法仍然存在的不足之处是:该数据安全处理方法只针对该技术所述存储设备,对流入该存储设备的数据进行加密,对流出该存储设备的数据进行解密,加解密动作都由同一个人来完成,这样的应用只限个人使用,当遇到电子文档的上传下达时则无法解决。
[0005]北京鹏宇成软件技术有限公司申请的专利“一种基于身份的文件加密传输方法”(专利申请号201310212203.2,申请公布号CN 103354498 A)公开了一种基于身份的文件加密传输方法。该方法适用于基于FTP协议的客户端/服务器架构的系统,以基于身份加密算法为基础。该方法包括:客户端与服务器生成公钥与私钥步骤、身份验证步骤、对称密钥的协商步骤、加密文件传输步骤及密钥更新与管理步骤。该方法采用基于身份加密(IBE),使得任何一对用户之间能够安全的通信以及在不需要交换私钥和公钥的情况下验证每一个人的签名。但是该方法仍然存在的不足之处是:该方法适用于基于FTP协议的客户端/服务器架构,无法实现客户端与客户端之间的点对点传输,时效性无法得到保障。
[0006]黄艺海申请的专利“安全终端仿真协议监控时实现加密文件传输和跟踪的方法”(专利申请号201010533662.7,申请公布号CN 101989987 A)公开了一种安全终端仿真协议监控时实现加密文件传输和跟踪的方法。该方法的具体实现步骤是:(1)监控系统对SSH协议进行二次登录或代理,在监控系统和客户端之间建立一个新的文件传输通道;⑵同时在服务器端和监控系统之间也建立一个新的文件传输通道;⑶监控系统将两端所有的文件传输通道一一对应地映射起来M)监控系统根据客户端发送来的通道请求,分析是请求目录结构还是请求文件传输;(5)在监控系统的面向客户端模块上对客户端发起的请求进行反解析即可对用户文件操作进行跟踪。通过该发明的技术手段在满足了对安全终端仿真协议进行监控的前提下,还实现了在客户端和服务器端之间直接进行加密文件传输和全过程跟踪。但是该方法仍然存在的不足之处是:该系统中的文件传输是指客户端和服务器端之间的上传下载,需要在每个网络终端安装客户端管理软件,造成网络终端资源分散浪费。
【发明内容】
[0007]本发明的目的是针对上述现有技术存在的不足,提供一种用于电子文档流转的虹膜动态加密解密系统及方法。
[0008]实现本发明的具体思路是,本发明所述的用于电子文档流转的虹膜动态加密解密系统及方法是用户通过各自的网络通信终端设备访问电子文档流转服务器来实现的。在发送电子文档之初电子文档流转服务器通过调用虹膜服务模块中的接收者基本信息,将接收者的虹膜特征值作为密钥,为电子文档加密,加密后的电子文档只能由指定的接收者通过虹膜图像采集单元识别通过后,调用网络通信终端设备本地磁盘中存储的接收者的虹膜特征值信息为电子文档解密。利用虹膜特征值的唯一性,加密发送的对象不同密钥就不相同,生成的加密电子文档也不会相同,所以实现了电子文档的动态加密。同时,该方法包括但不局限于单个电子文档、批量电子文档的加密传输,可以同时选择多个部门的不同接收者进行加密发送,生成的密文只有各自对应的接收者通过虹膜识别才能打开。本发明方法中用于加解密的虹膜特征值信息可依据系统安全等级进行加密处理,即使有人非法获取到接收者的虹膜特征值信息也无法用于解密电子文档。综上所述,具体实现如下:首先,发送者加密发送电子文档,发送者在网络通信终端设备上通过浏览器访问电子文档流转服务器,在电子文档管理单元选择本地磁盘中的待发送电子文档,然后点击电子文档管理单元中的选择接收者按钮,调用虹膜服务模块中的人员信息管理单元,从中选择待接收单位,用来定位接收者的网络地址,再从单位人员列表中选择接收者信息,点击电子文档管理单元中的加密按钮,加密解密单元调用虹膜特征值存储单元中接收者的虹膜特征值为电子文档加密,点击电子文档管理单元中的发送按钮,调用电子文档传输单元,通过网络将加密电子文档传输至接收者的网络通信终端。其次,接收者接收电子文档并解密,接收者在连接有虹膜图像采集单元的网络终端设备上访问电子文档流转服务器,启动电子文档管理单元,将接收到的加密电子文档下载到本地磁盘。接收者在电子文档管理单元,选中下载到本地磁盘的加密电子文档,点击解密按钮调用加密解密单元进行解密,加密解密单元提示接收者识别虹膜,接收者靠近本地网络终端设备上连接的虹膜图像采集单元,采集虹膜特征信息,虹膜特征值处理单元,从所采集的虹膜特征信息中提取接收者的虹膜特征值,虹膜特征值处理单元,将网络终端本地磁盘预先注册的接收者虹膜特征值与当前采集的接收者的虹膜特征值进行比对,判断预先注册的接收者的虹膜特征值与当前采集的接收者的虹膜特征值是否匹配,若是,则加密解密单元调用本地磁盘存储的接收者的虹膜特征值信息为电子文档解密,否则,返回重新解密。
[0009]本发明的加密解密系统,包含电子文档流转服务器和网络通信终端,其中:所述的电子文档流转服务器,包括虹膜服务模块和电子文档流转模块,所述虹膜服务模块用于录入接收者的基本信息,采集接收者的虹膜特征信息,