专利名称:加密装置和加密方法
技术领域:
本发明涉及加密装置和加密方法,并更具体地,本发明应用于对用于证明识别目标合法性的信息(以下称作识别信息)进行加密的情形。
背景技术:
迄今为止,采用秘密密钥加密方法或公共密钥加密方法的加密装置被设计为通过使用储存在内部非易失性存储器中的加密密钥信息,执行规定的与识别有关的加密,从而创建加密的识别信息,并把它发送给解密装置。
在此情况下,加密装置通过防止储存在非易失性存储器中的加密密钥信息被窃取而保证加密功能的可靠性。对于防止加密密钥信息被窃取的方法,在位于加密装置深部的单元之间安装非易失性存储器,或者,非易失性存储器和只有当信息储存在非易失性存储器中时才对加密密钥信息加密的加密/解密单元被安装成一个端部(例如见专利参考1)。
专利参考1日本专利特开平2003-256282然而,此加密装置不足以提供加密功能的可靠性,因为不仅非易失性存储器的安装复杂,而且也不能防止从非易失性存储器窃取加密密钥信息。
发明内容
本发明已经考虑到以上方面,并且提出能提高加密功能可靠性的加密装置和加密方法。
为了解决以上问题,本发明提供一种对与机密目标有关的信息加密的加密装置,包括基于从作为单元的元件组输出的信号而创建元件组唯一参数的创建部件,其中,所述元件组内具有多个元件;以及通过使用创建部件创建的唯一参数而对信息加密的加密部件。
进一步地,本发明提供一种对与机密目标有关的信息加密的加密方法,包括基于从作为单元的元件组输出的信号而创建元件组唯一参数的第一步骤,其中,所述元件组内具有多个元件;以及通过使用创建的唯一参数而对信息加密的第二步骤。
如上所述,根据本发明,通过使用内部元件组的唯一参数而对信息加密。这意味着即使在制造时,不必事先在非易失性存储器等中储存参数,就可通过使用第三方不能检测的唯一参数来执行加密,从而能容易保证识别信息D1的机密性,并因而提高加密功能的可靠性。
图1为示出识别系统的构造的框图。
图2为示出根据此实施例的加密装置的构造的框图。
图3为示出成像单元的构造的示意图。
图4为示出解密装置的构造的框图。
具体实施例方式
以下结合附图详细描述本发明的一个实施例。
(1)识别系统的构造参照图1,参考号1表示根据此实施例的识别系统,其中,作为通信源的多个加密装置2(2A-2N)无线连接到作为通信方的解密装置3,从而,加密装置2与解密装置3可互相交流各种信息。
在此情况下,加密装置2创建使用此加密装置2的用户的规定部分的特征图案,作为开始与解密装置3通信时的识别信息。接着,加密装置2通过对此识别信息加密而创建加密的识别信息,并把它发送给解密装置3。
另一方面,解密装置3通过对接收的加密识别信息进行解密而恢复识别信息,并且,比较此识别信息与先前登记的相应登记信息。
解密装置3只有当基于比较结果而确定使用加密装置2的用户是合法登记者时才继续与加密装置2的信息通信,其中,加密装置2发送所述识别信息。
如上所述,在此识别系统1中,通过使用与用户有关的人体信息而确定使用加密装置2的用户的合法性。
(2)加密装置的构造由于加密装置2(2A-2N)相同,因此,现在描述加密装置2A的构造。
参照图2,加密装置2A由成像单元11、识别信息创建单元12、加密单元13和通信单元14组成,其中,成像单元11以手指内的血管为成像目标进行成像;识别信息创建单元12基于成像单元11的成像结果而创建识别信息;加密单元13对识别信息加密;通信单元14通过采用规定无线电通信方案的通信过程而交流信息。
此成像单元11设计成通过使用血管内的还原血红蛋白(静脉血)或氧化血红蛋白(动脉血)专门吸收近红外线带宽的光线(近红外光)的特征,而对血管成像。
实际上,如图3所示,成像单元11具有一个或两个或更多个发射近红外光的光源21(在图3中示出三个光源)。在从光源21发射的近红外光的光路上,按顺序设置第一滤波器22、第二滤波器23和三维成像元件24,其中,第一滤波器22允许近红外光中特定的近红外线带宽的光通过,第二滤波器23在通过第一滤波器22得到的光中允许静脉血中吸收的近红外线带宽的光及其相邻的光通过。
另外,成像单元11在与近红外线光路不同的位置(以下称作光路外位置)P1上设置散射板25。此散射板25可在光路外位置P1和远离三维成像元件24规定距离的位置(以下称作光路上位置)P2之间移动。
进而,在此成像单元11中,手指FG可插入到第一滤波器22和第二滤波器23之间,并且,设置屏蔽单元26,其中,在插入手指FG的同时,屏蔽单元26用于把空气中的外部光线阻挡在近红外线光路之外,从而,在对手指FG内的血管成像时,能减小存在于屏蔽单元26之外的可见光和紫外线对近红外光的影响。
在此情况下,当在第一和第二滤波器22和23之间插入手指FG的同时成像单元11接收成像命令时,它从光源21发射近红外光,并且,用通过第一滤波器22的光照射手指FG。
由于此近红外光由手指FG内的血管组织中的固有血红蛋白专门吸收,因此,通过手指FG获得的近红外光通过第二滤波器23进入三维成像元件24,作为表示血管组织的形成图案的血管图案光线。
接着,成像单元11用布置在三维成像元件24内的多个光电转换元件对血管图案光线执行光电转换,并且,把光电转换元件创建的血管图像信号S1发送给识别信息创建单元12(图2)。
以此方式,成像单元11能以人体内的血管为成像目标而进行成像。
识别信息创建单元12通过对接收的血管图像信号S1执行A/D(模拟/数字)转换而创建血管图像数据,并且基于血管图像数据而从血管图像提取先前指定区域的血管。接着,识别信息创建单元12创建所提取血管的形成图案,作为识别信息D1,并且,把它发送给加密单元13。
加密单元13具有存储器(以下称作加密密钥信息存储器)13a,其中,存储器13a用于储存以规定算法顺序创建的多个加密密钥信息,并且,例如,加密单元13根据通过通信单元14从解密装置3(图1)发送的请求,而从储存在加密密钥信息存储器13a中的多个加密密钥信息D2(D21-D2n)选择和读取加密密钥信息D21。
接着,加密单元13通过例如以AES(高级加密标准),用读取的加密密钥信息D21对接收的识别信息D1进行加密,从而创建加密的识别信息D3,并且,通过通信单元14把识别信息D3发送给解密装置3(图1)。
由于加密装置2A以此方式创建表示对人体内部唯一的血管形成图案的识别信息D1,因此,与创建存在于体表上的指纹作为识别信息的情形相比,可防止从人体直接窃取,因而能事先防止使用加密装置2A的用户假装他/她是登记者。
(3)加密密钥信息创建过程除了以上配置之外,此加密装置2A还设计成基于成像单元11对均匀成像目标的成像结果而创建对于此加密装置2A唯一的多个加密密钥信息D2(D21-D2n)。
在此情况下,加密装置2A设计成每当通过通信单元14从解密装置3(图1)接收创建加密密钥信息的请求时执行规定的加密密钥信息创建过程,并且,在加密单元13的加密密钥信息存储器13a中储存或更新创建的加密密钥信息D2。现在描述用于执行此加密密钥信息创建过程的加密密钥信息创建单元15。
当解密装置3发出创建请求时,加密密钥信息创建单元15使成像单元11对均匀成像目标进行成像,并且,基于作为成像结果得到的信号而创建加密密钥信息。
实际上,加密密钥信息创建单元15控制成像单元11(图3)的散射板25,以便从光路外位置P1移动到光路上位置P2,并且,向成像单元11发送成像命令。
在此情况下,在成像单元11中(图3),用从光源21发射的顺序通过第一和第二滤波器22和23的近红外光照射散射板25,并且,使光线散射向三维成像元件24,作为均匀的散射光(以下称作均匀散射光),从而,光线进入三维成像元件24。
此三维成像元件24设置有开孔和集光透镜,其中,所述透镜与布置在三维成像元件24的矩阵内的多个光电转换元件相对应。这些开孔和集光透镜由于制造时的各种原因而具有不同的尺寸,并且,此差异对于三维成像元件24是唯一的。
从而,因在三维成像元件24上对均匀散射光执行光电转换而输入到加密密钥信息创建单元15(图2)的信号(以下称作均匀图像信号)S2包括对三维成像元件24唯一的差异,作为噪声图案(以下称作差异图案),其中,所述差异在制造时是不知道的。
加密密钥信息创建单元15通过对如上所述获得的均匀图像信号S2执行A/D转换而创建均匀图像数据,并且,基于唯一图像数据而创建属于三维成像元件24的唯一差异图案所有的参数(以下称作元件特定参数)。
在此实施例中,对于创建元件特定参数的方法,加密密钥信息创建单元15计算均匀图像数据与规定评估图案数据的汉明(hamming)距离,并且,从计算结果创建元件特定参数。
具体地,加密密钥信息创建单元15具有信息存储器15a,其中,信息存储器15a例如储存汉明距离不同的三个数据串,作为评估图案AEV、BEV和CEV。通过使用这些评估图案AEV、BEV和CEV,把均匀图像数据中数据长度与评估图案相同的更高阶均匀图像数据(以下称作更高阶均匀图像数据)记为“X”,并把“异或(XOR)”记作“^”,并且,利用以下等式dH(x,AEV)=∑xi^Ai=XadH(x,BEV)=∑xi^Bi=Xb ......(1)dH(x,CEV)=∑xi^Ci=Xc这里,i=1-n。
加密密钥信息创建单元15计算更高阶均匀图像数据Z与每个评估图案AEV、BEV和CEV的汉明距离Xa、Xb、Xc,并且,组合汉明距离Xa、Xb、Xc,由此创建元件特定参数。
在此情况下,即使在均匀图像数据随着成像时的成像情况而变化的情况下,加密密钥信息创建单元15也可保持由于差异图案而获得的元件特定参数的可重复性。这是因为从更高阶均匀图像数据X与评估图案AEV、BEV和CEV之间的关联结果而创建元件特定参数。
另外,在此情况下,加密密钥信息创建单元15在制造之后基于从三维成像元件24输出的均匀图像信号S2而创建元件特定参数。从而,此参数可被创建为三维成像元件24的制造商不知道的信息。进而,不是从关联结果与三维成像元件24本身的差异图案的组合,而是从关联结果与评估图案AEV、BEV和CEV的组合创建元件特定参数。从而,此参数可被创建为此三维成像元件24的制造商和窃取三维成像元件24的人不知道的信息。
接着,加密密钥信息创建单元15根据规定算法,用因此创建的元件特定参数作为种籽而创建多个加密密钥信息D2(D21-D2n),并且,在加密单元13的加密密钥信息存储器13a中储存或更新加密密钥信息D2。
结果,例如使用对此加密装置(三维成像元件24)唯一的加密密钥信息D21,通过加密过程而把赋予加密单元13的识别信息D1转换为加密识别信息D3,并且,此信息通过通信单元14发送给解密装置3。
应指出,当加密密钥信息创建单元15创建多个新的加密密钥信息D2时,它可按照规定的过程,或通过对加密密钥信息D2执行规定的加密过程并且把结果发送给解密装置3,而在解密装置3的数据库中登记多个新的加密密钥信息D2。
如上所述,此加密装置2通过使用从在制造时不知道的元件特定参数提取的加密密钥信息D2而对识别信息D1加密,因而,使得有可能通过严格避免假装登记者的用户使用加密装置2而显著提高加密功能的可靠性。
(4)解密装置的构造解密装置3由通信单元30、请求单元31、解密单元32、比较单元33和登记数据库DB组成,其中,通信单元30在规定的无线电通信方案下通过通信过程而交流信息,请求单元31向加密装置2(2A-2N)发出各种请求,解密单元32对通过通信单元30接收的加密识别信息D3进行解密,比较单元33通过使用解密单元32的解密结果而执行规定的识别过程。
此登记数据库DB把加密装置2(2A-2N)的成像单元11要成像的与血管相同部分的血管形成图案以及从加密装置2(2A-2N)的三维成像元件24的相同元件特定参数获得的多个加密密钥信息D2储存为登记信息D10(D101-D10n)。
在此情况下,请求单元31在规定的定时向通过通信单元30连接的加密装置2(2A-2N)请求用于识别过程的各种条件。所述条件包括在多个加密密钥信息中将要使用的加密密钥信息D21,D22,...,D2n的数量、以及其它内容。在此情况下,向解密单元32通知指定加密密钥信息的数量。
另外,如果需要,请求单元31请求创建加密密钥信息D2。在此情况下,登记在登记数据库DB中的相应登记信息D101,D102,...,或D10n的加密密钥信息D2更新为由加密装置2最新创建的并且通过规定的登记过程或通过通信单元30获得的加密密钥信息。
解密单元32基于在通过通信单元30提供的加密识别信息D3的头部中写的发送源地址,从登记数据库DB读取例如与加密装置2A相应的登记信息D101,并且,从登记信息D101的多个加密密钥信息D21-D2n中选择从请求单元31通知的加密密钥信息D21。
解密单元32使用选择的加密密钥信息D21,通过对加密识别信息D3执行与加密装置2A相同的加密过程而恢复识别信息D1,并且,把识别信息D1和相应的登记信息D101发送给比较单元33。
比较单元33用规定的技术比较提供的识别信息D1的血管形成图案和相应登记信息D101的血管形成图案。如果比较结果不能满足规定的匹配水平,使用加密装置2A并发送识别信息D1的用户就被确定为第三方,并且,控制通信单元30,以便停止与加密装置2A的信息通信。
当获得规定的匹配水平时,比较单元34确定使用加密装置2A并发送识别信息D1的用户是合法用户。在此情况下,比较单元33控制通信单元30,以便在加密装置2A与内部信息处理单元(未示出)之间交流信息。
如上所述,解密装置3能通过用对人体唯一的识别信息D1(血管形成图案)和从对三维成像元件24唯一的元件特定参数获得的加密密钥信息D2而执行识别过程。
(5)此实施例的操作和效果根据以上配置,此加密装置2(2A-2N)基于从三维成像元件24输出的均匀图像信号S2而创建对三维成像元件24唯一的元件特定参数,其中,所述均匀图像信号S2是成像单元11对均匀成像目标进行成像的结果。
接着,加密装置2(2A-2N)通过使用从元件特定参数获得的规定加密密钥信息D2而对识别信息D1进行加密。
从而,与常规系统不同,加密装置2(2A-2N)不需在非易失性存储器中事先储存加密密钥,就能创建从元件特定参数获得的加密密钥信息D2,因而能容易地保证识别信息D1的机密性,其中,元件特定参数在制造时可以由第三方知道。
根据以上配置,基于从三维成像元件24输出的均匀图像信号S2而创建对三维成像元件24唯一的元件特定参数,其中,所述均匀图像信号S2是对均匀图像目标进行成像的结果,并且,用从元件特定参数获得的规定加密密钥信息D2对识别信息D1加密,因而能容易地保证识别信息D1的机密性,并且提高加密功能的可靠性。
(6)其它实施例应指出,以上实施例描述以下情形创建部件基于从布置在三维成像元件24内的多个光电转换元件输出的均匀图像信号S2而创建对三维成像元件24唯一的元件特定参数,其中,所述创建部件基于从作为单元的元件组输出的信号而创建元件组的唯一参数,在所述元件组内具有多个元件。然而,本发明不局限于此,并且,可基于例如从触摸屏的压电元件组输出的信号而创建唯一参数。可替换地,可以创建具有有源元件组或无源元件组的元件组的唯一参数,其中,所述元件组作为单元。
在此情况下,即使元件组由一种或多种元件组成,也可获得与以上实施例相同的效果。
进一步地,以上实施例描述以下情形创建部件通过直接计算从元件组输出的均匀图像信号S2的数据与储存在信息存储器中的三个不同评估图案AEV、BEV和CEV之间的汉明距离(关联值),并且按规定顺序组合计算结果,而创建唯一参数,其中,所述信息存储器用作存储装置。然而,本发明不局限于此,并且,可对均匀图像信号S2的数据执行FFT(快速傅里叶变换),并且,可组合此结果与评估图案AEV、BEV和CEV的汉明距离的计算结果。可替换地,可以只对FFT结果中的低频分量数据执行反向FFT,并且,组合FFT结果与评估图案AEV、BEV和CEV的汉明距离的结果。或者,组合这些处理结果。通过这样做,可创建具有高度机密性和可重复性的唯一参数,因而使得有可能显著提高加密功能的可靠性。
在此情况下,加密密钥信息创建单元15使成像单元11对散射板25成像,并且,基于作为成像结果得到的信号而创建唯一参数,作为加密密钥信息。然而,本发明不局限于此,并且,成像单元11可对除散射板25之外的另一均匀成像目标成像,或者,不必创建加密密钥信息,而只需创建唯一参数。简而言之,可以使用另一种用于创建唯一参数的创建单元。
另外,在此情况下,每次在通过通信单元14从解密装置3接收创建加密密钥信息的请求时,创建加密密钥信息。然而,本发明不局限于此,并且,可以使用其它的创建定时,如只使用制造时间。
进一步地,对于评估图案,在信息存储器中储存规定的评估图案。然而,本发明不局限于此,并且,在信息存储器中储存多个评估图案,并且,可从这些评估图案中选择规定数量的评估图案。可替换地,根据解密装置3的请求而选择不同的评估图案。可替换地,在规定定时按照规定算法创建的评估图案可储存在信息存储器中。通过这样做,即使窃取识别信息D1,或者即使从加密密钥信息解密评估图案,也不能使用相应的评估图案,因而使得有可能显著提高加密功能的可靠性。
进而,在信息存储器中储存三种评估图案,作为评估图案的数量。然而,本发明不局限于此,并且,如果在信息存储器中储存至少两种评估图案,就可获得与以上实施例相同的效果。
进而,以上实施例描述采用加密单元13作为用唯一参数对信息加密的加密部件的情形,其中,加密单元13通过使用从唯一参数提取的加密密钥信息而对包括血管形成图案的识别信息D1加密。然而,本发明不局限于此,并且,可以采用通过用唯一参数对识别信息D1加密的加密单元。
在此情况下,人体内的血管形成图案被加密成识别信息D1。然而,本发明不局限于此,并且,其它种类的人体信息,如存在于体表上的特征图案,如指纹,可被加密成识别信息。另外,既不是识别信息,也不是人体信息,而是作为机密目标的信息被加密。
工业应用在使外部装置识别装置自身的情况下,本发明可用于诸如个人计算机和移动电话的终端装置、以及家用电子装置。
权利要求
1.一种对与机密目标有关的信息加密的加密装置,包括基于从作为单元的元件组输出的信号而创建元件组唯一参数的创建部件,其中,所述元件组内具有多个元件;以及通过使用创建部件创建的唯一参数而对信息加密的加密部件。
2.如权利要求1所述的加密装置,其中创建部件包括用于储存多个不同评估图案的存储部件,并且,创建信号与储存在存储部件内的评估图案之间的关联值的组合,作为唯一参数。
3.如权利要求2所述的加密装置,包括用于与规定的通信方通信的通信部件,其中创建部件从储存在存储部件内的评估图案选择由通信方请求的评估图案,并且创建信号与所选评估图案之间的关联值的组合,作为唯一参数。
4.如权利要求1所述的加密装置,包括用于对规定的成像目标成像的三维成像元件,其中创建部件基于从三维成像元件输出的作为对均匀成像目标成像结果的信号而创建三维成像元件的唯一参数。
5.如权利要求1所述的加密装置,包括用于对规定的成像目标成像的三维成像元件,其中创建部件包括基于从三维成像元件输出的作为对均匀成像目标成像结果的信号而创建三维成像元件唯一参数的参数创建部件;以及基于从三维成像元件输出的作为对体表或人体内部成像结果的信号而创建对人体唯一的人体信息的人体信息创建部件;以及通过使用参数创建部件创建的唯一参数而对人体信息创建部件创建的人体信息加密的加密部件。
6.一种对与机密目标有关的信息加密的加密方法,包括基于从作为单元的元件组输出的信号而创建元件组唯一参数的第一步骤,其中,所述元件组内具有多个元件;以及通过使用创建的唯一参数而对信息加密的第二步骤。
7.如权利要求6所述的加密方法,其中第一步骤创建信号与多个不同评估图案之间的关联值的组合,作为唯一参数。
8.如权利要求7所述的加密方法,其中第一步骤从评估图案选择满足规定通信方请求的评估图案,并且创建信号与所选评估图案之间的关联值的组合,作为唯一参数。
9.如权利要求6所述的加密方法,其中第一步骤基于从三维成像元件输出的作为对均匀成像目标成像结果的信号而创建三维成像元件的唯一参数。
10.如权利要求6所述的加密方法,其中第一步骤包括基于从三维成像元件输出的作为对均匀成像目标成像结果的信号而创建三维成像元件唯一参数的参数创建步骤;以及基于从三维成像元件输出的作为对体表或人体内部成像结果的信号而创建对人体唯一的人体信息的人体信息创建步骤;以及通过使用唯一参数而对人体信息加密的第二步骤。
全文摘要
本发明涉及加密装置和加密方法,其可以提高加密功能可靠性。基于从三维成像元件输出的均匀图像信号(S2)而产生对三维成像元件特定的参数,其中,均匀图像信号(S2)是成像部件(11)内均匀主体的成像结果。从前面特定参数得到的加密密钥信息(D2)用于对识别信息(D1)加密。以此方式,可以简单容易地保持识别信息(D1)的隐蔽性,从而,可提高加密功能的可靠性。
文档编号H04L9/32GK1778064SQ20048001088
公开日2006年5月24日 申请日期2004年12月22日 优先权日2004年2月24日
发明者佐藤英雄 申请人:索尼株式会社