专利名称:一种安全存储装置帐户输入及认证方法
技术领域:
本发明涉及安全移动存储设备,具体涉及一种安全存储装置帐户输入及认证方法。
背景技术:
安全存储装置内部保存用于远程认证的用户私钥和数字证书,其中常用的安全存储装置,如:钥匙U盘(USB Key),是一种USB接口的硬件设备。USB Key内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。但是,传统的USB KEY只存储一份用户的私钥以及数字证书、使用PIN码来保护,网络后台服务器获取用户私钥以及数字证书进行验证,每个人对应一份用户的私钥以及数字证书,使用自己的个人识别密码(PIN),在拥有USB KEY情况下可以通过猜测PIN码假冒合法用户的身份,因而无法多人使用,最多绑定同一个人的多个帐户,这给多人使用(如:家庭)带来诸多不便。另一方面,传统的USB Key帐户输入只针对单人,根本无须、也不适合于用户自己管理;同样帐户验证也无法满足多人需要。
发明内容
本发明需要解决的技术问题是,如何提供一种安全存储装置帐户输入及认证方法,能输入多个帐户给多个人使用,同时方便用户自己管理并保证安全,进一步能防止他人拾取安全存储装置后进行假冒。本发明的技术问题这样解决:构建一种安全存储装置帐户输入及认证方法,包括以下步骤:通过安全存储装置操作系统在内部建立用户帐户,记录输入的对应PIN码和通过安全存储装置的指纹传感器采集的对应用户指纹;连接网络后台服务器,由安全存储装置内部安全芯片和操作系统将所述用户帐户及其对应PIN码和对应用户指纹的组合传送并保存到网络后台服务器的数据库中;认证时,网络后台服务器获取经安全存储装置传送的用户帐户、用户输入的PIN码和通过安全存储装置的指纹传感器采集的用户指纹的组合,与网络后台服务器自身所述数据库中的保存数据进行比对,一致则验证通过,并利用所述用户指纹作为密钥读取安全存储装置中的安全数据进行帐户认证;不一致则验证失败、帐户认证不通过直接结束。按照本发明提供的安全存储装置帐户输入及认证方法,还包括:通过安全存储装置操作系统在内部删除用户帐户;连接网络后台服务器,由安全存储装置内部安全芯片和操作系统将被删除的用户帐户传送到网络后台服务器并在所述数据库中删除。按照本发明提供的安全存储装置帐户输入及认证方法,还包括删除被删除用户帐户对应的PIN码和用户指纹。按照本发明提供的安全存储装置帐户输入及认证方法,还包括:比较获取用户输入的PIN码和通过安全存储装置的指纹传感器采集的用户指纹与安全存储装置管理者帐户对应的PIN码和用户指纹是否一致,一致则利用所述管理者帐户对应的用户指纹作为密钥在安全存储装置内部建立或删除用户帐户,并允许将所述用户帐户及其对应PIN码和对应用户指纹传送并保存到网络后台服务器的数据库中或者将被删除的用户帐户传送到网络后台服务器并在所述数据库中删除;不一致则不允许在安全存储装置内部建立或删除用户帐户,并不允许将所述用户帐户及其对应PIN码和对应用户指纹传送并保存到网络后台服务器的数据库中或者将被删除的用户帐户传送到网络后台服务器并在所述数据库中删除。按照本发明提供的安全存储装置帐户输入及认证方法,所述安全存储装置管理者帐户对应的PIN码和用户指纹信息同时保存在所述网络后台服务器的数据库和安全存储装置内部安全芯片的片内存储区中。按照本发明提供的安全存储装置帐户输入及认证方法,所述比较获取用户输入的PIN码和通过安全存储装置的指纹传感器采集的用户指纹信息与安全存储装置管理者帐户对应的PIN码和用户指纹信息是否一致的步骤是按PIN码在先、用户指纹在后的顺序逐一进行比较,全部相同则一致,否则是不一致。按照本发明提供的安全存储装置帐户输入及认证方法,所述比对是按PIN码在先、用户指纹信息在后的顺序逐一进行比对,全部相同则一致,否则是不一致。按照本发明提供的安全存储装置帐户输入及认证方法,还包括通过安全存储装置操作系统中指纹算法处理模块对采集到的用户指纹进行图像识别和处理。按照本发明提供的安全存储装置帐户输入及认证方法,所述安全存储装置包括但不限制于是USB KEY、安全硬盘等安全移动存储设备。本发明提供的安全存储装置帐户输入及认证方法,通过安全存储装置和网络后台服务器的交互程序,结合安全芯片、安全存储装置内部操作系统、指纹认证、管理员权限和后台管理,实现多用户和多帐户的安全输入,方便多个人使用和用户自主管理,并保证了安全性,同时也使他人拾取安全存储装置后更难进行假冒,进一步提升安全存储装置的安全。
下面结合附图和具体实施例进一步对本发明进行详细说明:图1是本发明具体实施例USB Key装置系统结构示意图;图2是图1所示装置管控程序的流程示意图;图3是图2对应的状态示意图。
具体实施例方式下面结合附图和具体实施方式
对本发明作进一步说明。首先,说明本发明具体实施例装置的硬件基础:图1为本发明基于国密算法的高速指纹KEY盘的逻辑结构示意图。如图1所示,该指纹KEY盘包括:型号“SSX45”的安全芯片I (SSX45安全芯片),闪存(NANDFLASH)存储芯片2,指纹传感器3和外围芯片组4四个部分组成。SSX45安全芯片I作为主控芯片分别和NANDFLASH存储芯片2、指纹传感器3及外围芯片组4相连,控制整个Key盘的工作。SSX45安全芯片通过USB总线与PC机相连。基于国产密码算法的高速指纹KEY盘的核心组件为SSX45安全芯片,该芯片采用32位CPU核,内置高性能的协处理器,具有快速处理能力,程序和数据存储区为512K字节。其结构如下:安全芯片是该设备的核心部件,它主要完成芯片端程序的存储,MCU的调度与协调,内部硬件IP核的运算等用途。NANDFLASH存储芯片2用于存储大容量的文件数据。安全芯片I内部采用非线性宏单元模式,为固态大容量内存的实现提供了廉价有效的解决方案。NANDFLASH存储器具有容量较大,改写速度快等优点,适用于大量数据的存储。它是非易失存储器,可以对称为块的存储器单元块进行擦写和再编程。指纹传感器3在此所采用的是电容式的指纹传感器,它是实现指纹自动采集的关键器件。它属于第二代指纹识别系统实现了识别范围从表皮到真皮的转换,从而大大提高了识别的准确率和系统的安全性。外围芯片组4包括电源管理芯片、时钟芯片、USB接口等元器件。电源管理芯片对电压做降压处理,同时对电流进行滤波处理,它为其它硬件提供稳定的电流和电压同时对电路进行保护的,电压异常时采取相应措施。时钟芯片通过震荡电路用于产生芯片正常工作的频率60M,80M,100M,输入为12M晶振。USB接口用于实现KEY盘与PC端相连接。KEY盘中的USB Mass Storage命令处理模块11实现USB Mass-Storage协议的Bulk-only子协议和UFI子协议,实现免驱动的指纹KEY盘。NANDFLASH文件管理模块12用于管理NANDFLASH存储芯片读写擦除。国密算法外理模块及硬件IP核接口模块13,用于调用芯片内的国密算法的IP核以实现安全可靠的高速加密/解密。指纹算法处理模块14,用于处理指纹传感器采集到的指纹信息,包括指纹图像压缩、指纹图像质量判断、自主自适应指纹处理算法、图像拼接算法、多平台指纹算法、交叉比对、片上指纹比对等技术。片内存储区15,在SSX45芯片内的一块存储区域,用于存放认证信息、密钥信息、
指纹信息等重要安全信息。智能卡芯片操作系统(COS)文件管理系统是整个设备的核心软件,它包含安全机制控制,密钥管理机制,文件管理模块几个部分。在进行安全体系的规划过程中,实现了以下几种安全机制:认证机制:终端认证(外部认证),设备认证(内部认证),用户身份认证(指纹验证);访问控制机制:安全状态,设置状态机,设置目录,文件的访问权限,设置密钥文件的访问权限,设置密钥文件中密钥的访问权限,以及密钥的重试次数;安全报文传送机制:线路认证方式(明文+硬件地址(MAC)),线路加密方式(密文),线路加密认证方式(密文+MAC);防拔机制,掉电保护机制:确保设备在非正常拔下,或意外掉电的情况下数据存储的完整性。密钥的管理机制包括主控密钥,外部认证密钥,内部认证密钥指纹可以有多个,通过密钥ID标识。密钥的使用,要符合读权限的管理要求,当前安全状态满足密钥使用权限的要求才可使用密钥。密钥的更新,要符合写权限的管理要求,当前安全状态满足密钥写权限的要求才可更新密钥。密钥的使用权限和写权限都存储在密钥文件的密钥属性中。文件管理模块实现NORFLASH上的文件系统,提供统一的文件访问接口,实现文件的安全访问。文件系统支持的文件类型包括:二进制文件,定长记录文件,变长记录文件和循环记录文件。文件系统完全符合国际标准化组织(ISO)/国际电工委员会(IEC) 7816标准,并符合公钥基础设施(PKI)应用体系的应用特点,对各种文件实现安全操作和访问,包括主控文件(MF)、应用目录文件(DF)和基本文件(EF)。可以支持五层目录文件结构,在对目录、文件及其数据操作前,将根据当前目录或文件的安全属性检查设备的安全状态,以确定操作如创建、删除和读写的可行性。对目录或文件数据的操作和管理将按照一定的规则进行。第二,简要说明本发明具体实施例装置的软件核心:在一个指纹Key盘在成功量产以后,支持多用户进行使用,具体软件实现如图2所示,包括以下处理:(一)本发明的多帐户输入,如图中步骤101 104)当上述指纹Key盘插入PC机时,在MASS-Storage命令及USB传输外理模块作用下与PC机相连,首先SSX45安全芯片会调用并启动指纹算法处理模块及国密算法外理模块,在指纹算法处理模块的作用下,打开指纹传感器,并在国密算法处理模块的保护下提取指纹信息,然后将提取的指纹信息送入安全芯片。经量产后的指纹Key盘,如果第一次使用那么PC端会弹出一个会话界面,此时用户可以建立管理员帐户并输入Pin及指纹信息作为密码,如步骤101)。当然也可以建立第二个帐户,第三个帐户...第N个帐户,如步骤102) 104)。不同的账户可以供不同的用户使用。一个指纹Key盘只能有一个管理员帐户,管理员的权限高于其他帐户的权限,并可以在不知道其他帐户Pin及指纹的情况下强制删除其他帐户,但管理员没有权限获取其他帐户的Pin及指纹信息,其他帐户没有权限删除管理员帐户也没有权限获取管理员帐户的Pin及指纹信息。建立每个帐户都包括步骤:1001)建立好的帐户信息、相应的Pin及指纹信息;1002)在安全芯片的保护下传送;1003)存储到网络后台服务器中,以备以后验证时使用。如果是第一次登入指纹Key盘,那么SSX45安全芯片会将指纹信息以特征点的方式存入在SSX45安全芯片的保护下存入后台服务器。( 二)本发明的帐户认证,如图中步骤201 208)在进行指纹验证的时候,指纹传感器采集指纹信息,在国密算法模块的保护下,SSX45安全芯片会将相应帐户的Pin及指纹传感器中所采集的指纹信息送到网络后台服务器并与后台服务器中存储的相应帐户的Pin及指纹信息进行比对,如步骤201) 204)。如果比对成功,则通过SSX45芯片调用片内存储区相应账户的数字证书,如步骤208)。另外还包括步骤:205)调用数字证书;206)打开 NANDFLASH 芯片;207)用户选择用作KEY盘。(三)本发明的保密U盘方法,如图中步骤201 207)和209)在调用片内存储区相应账户的数字证书的同时,在NANDFLASH文件管理模块的管理下打开NADNFLASH存储芯片供用户使用,如步骤209)。在保密U盘方法的步骤207)中,用户选择用作U盘。
在另一个实施例中,在SSX45安全芯片的片内存储区中同时保存管理者帐户的指纹和pin码,在未连接网络后台服务器时,验证管理者的指纹和pin码,通过将内部NANDFLASH存储芯片作为U盘使用,但不能调用SSX45安全芯片的片内存储区中的安全数据。最后,简要说明本发明具体实施例装置的具体实现:如图3所示,该装置增加了指纹算法处理模块14和NANDFLASH存储芯片2,并对其他模块进行增强,通过指纹算法处理模块14与命令管理模块、安全管理模块和文件管理模块交互或通讯,以及NANDFLASH存储芯片2与命令管理模块和文件管理模块交互或通讯,在各模块自身功能的基础上实现图2所示控制程序的作用。本发明方法包括但不限制于应用于USB KEY中,还可应用到其他安全存储装置上。
权利要求
1.一种安全存储装置帐户输入及认证方法,其特征在于,包括以下步骤: 通过安全存储装置操作系统在内部建立用户帐户,记录输入的对应PIN码和通过安全存储装置的指纹传感器(3)采集的对应用户指纹信息; 连接网络后台服务器,由安全存储装置内部安全芯片(I)和操作系统将所述用户帐户及其对应PIN码和对应用户指纹信息的组合传送并保存到网络后台服务器的数据库中; 认证时,网络后台服务器获取经安全存储装置传送的用户帐户、用户输入的PIN码和通过安全存储装置的指纹传感器采集的用户指纹信息的组合,与网络后台服务器自身所述数据库中的保存数据进行比对,一致则验证通过,利用所述用户指纹信息作为密钥读取安全存储装置中的安全数据进行帐户认证;不一致则验证失败、帐户认证不通过直接结束。
2.根据权利要求1所述安全存储装置帐户输入及认证方法,其特征在于,还包括: 通过安全存储装置操作系统在内部删除用户帐户; 连接网络后台服务器,由安全存储装置内部安全芯片(I)和操作系统将被删除的用户帐户传送到网络后台服务器并在所述数据库中删除。
3.根据权利要求2所述安全存储装置帐户输入及认证方法,其特征在于,还包括删除被删除用户帐户对应的PIN码和用户指纹信息。
4.根据权利要求1或2所述安全存储装置帐户输入及认证方法,其特征在于,还包括:比较获取用户输入的PIN码和通过安全存储装置的指纹传感器(3)采集的用户指纹信息与安全存储装置管理者帐户对应的PIN码和用户指纹信息是否一致,一致则利用所述管理者帐户对应的用户指纹作为密钥在安全存储装置内部建立或删除用户帐户,并允许将所述用户帐户及其对应PIN码和对应用户指纹信息传送并保存到网络后台服务器的数据库中或者将被删除的用户帐户传送到网络后台服务器并在所述数据库中删除;不一致则不允许在安全存储装置内部建立或删除用户帐户,并不允许将所述用户帐户及其对应PIN码和对应用户指纹信息传送并保存到网络后台服务器的数据库中或者将被删除的用户帐户传送到网络后台服务器并在所述数据库中删除。
5.根据权利要求4所述安全存储装置帐户输入及认证方法,其特征在于,所述安全存储装置管理者帐户对应的PIN码和用户指纹信息同时保存在所述网络后台服务器的数据库和安全存储装置内部安全芯片的片内存储区(15)中。
6.根据权利要求4所述安全存储装置帐户输入及认证方法,其特征在于,所述比较获取用户输入的PIN码和通过安全存储装置的指纹传感器(3)采集的用户指纹信息与安全存储装置管理者帐户对应的PIN码和用户指纹信息是否一致的步骤是按PIN码在先、用户指纹在后的顺序逐一进行比较,全部相同则一致,否则是不一致。
7.根据权利要求1所述安全存储装置帐户输入及认证方法,其特征在于,所述比对是按PIN码在先、用户指纹信息在后的顺序逐一进行比对,全部相同则一致,否则是不一致。
8.根据权利要求1所述安全存储装置帐户输入及认证方法,其特征在于,还包括通过安全存储装置操作系统中指纹算法处理模块(14)对采集到的用户指纹进行图像识别和处理。
9.根据权利要求1所述安全存储装置帐户输入及认证方法,其特征在于,所述安全存储装置是USB KEY装置。
10.根据权利要求1所述安全存储装置帐户输入及认证方法,其特征在于,所述安全存储装置是安全硬盘。
全文摘要
本发明涉及一种安全存储装置帐户输入及认证方法,包括通过安全存储装置操作系统在内部建立用户帐户,记录输入的对应PIN码和通过安全存储装置的指纹传感器(3)采集的对应用户指纹信息;连接网络后台服务器,由安全存储装置内部安全芯片(1)和操作系统将用户帐户及其对应PIN码和用户指纹信息的组合传送并保存到网络后台服务器的数据库中;认证时,网络后台服务器获取经安全存储装置获取、传送的用户帐户、PIN码和用户指纹信息的组合,与网络后台服务器自身数据库中的保存数据进行比对,一致则验证通过,利用所述用户指纹信息作为密钥读取安全存储装置中的安全数据进行帐户认证;不一致则验证失败。这种方法适用于多用户和帐户管理。
文档编号H04L9/32GK103117853SQ201110363860
公开日2013年5月22日 申请日期2011年11月16日 优先权日2011年11月16日
发明者王永宝, 苏斌 申请人:航天信息股份有限公司