专利名称:一种数据加密存储的方法
技术领域:
本发明涉及电子数据存储技术,尤其是涉及一种应用于电子数据处理系统的数据加密存储方法。
背景技术:
随着信息技术的发展,包括计算机、服务器等在内的各种电子数据处理系统的应用日益广泛,人们日常接触和处理的数据越来越多。与此同时,数据的安全性问题也逐渐成为人们所关注的一个课题。
现有技术中,存在多种对数据进行加密后存储的方法。例如,由用户采用个人选用的数字、文字、字母或其他符号或者其组合等作为密码,用于对文件进行保护,当用户需要打开文件时,需要向系统提交密码进行身份验证,验证通过,则允许用户打开文件,否则禁止用户对文件的操作。但是,该现有技术的缺陷在于,该作为身份验证的密码容易遗忘,易用性有待提高。
为此,现有技术中存在一些采用特殊的硬件来进行身份验证的技术方案,所述硬件可以是U盘、ID卡等。但是,该现有技术也存在缺陷,即相应的身份验证硬件容易丢失,且使用硬件作为身份验证物的用户必须随身携带该硬件,较为麻烦,易用性不高。
并且,上述这两种方式存在一个共同的缺陷,那就是由于数据存放在普通的存储空间,一旦系统崩溃后,将有可能无法恢复数据文件,从而给用户带来不可弥补的损失。
有鉴于此,需要研发出一种新型的数据加密存储的方法。
发明内容
针对现有技术的不足,本发明解决的技术问题在于提供一种数据加密存储的方法,其易用性较高,而且在系统崩溃后仍能找到加密存储后的数据。
为此,本发明提供的数据加密存储的方法,包括步骤1)接收用户创建数据存储保险箱的请求;2)基于该用户的生物特征信息生成用户身份验证信息;
3)在存储单元创建HPA,作为创建数据存储保险箱的空间;在保险箱中以加密方式保存用户的身份验证信息;4)接收用户访问保险箱的请求;5)采集用户的生物特征信息进行身份验证;如果验证通过,则进入步骤6);否则,进入步骤7);6)接收用户对保险箱以及对保险箱内存储的数据的操作信息,进行相应的处理;7)拒绝用户对保险箱的访问。
优选地,所述步骤2)中生成用户身份验证信息时采用第一单向加密算法进行。
优选地,所述步骤3)进一步包括基于用户的生物特征信息,采用不同于第一单向加密算法的第二单向加密算法,生成对所存储的数据进行加密、解密的密钥。
优选地,所述步骤2)采用的生物特征信息不同于步骤5)所采用的生物特征信息。
优选地,所述生物特征信息是人像特征信息或者指纹信息。
优选地,在步骤2)和步骤3)之间还包括接收用户设置的备份访问密码;在所述步骤3)中还包括在保险箱中存储该备份访问密码;在所述步骤5)和步骤7)之间还包括验证备份访问密码;如果不通过,则进入步骤7);如果通过,则进入步骤6)。
优选地,在所述步骤2)之前检测是否存在当前系统用户账户对应的保险箱;如果否,则进入步骤2);如果是,则进行认领保险箱的步骤。
优选地,所述认领保险箱包括81)采集用户的生物特征信息进行身份验证;如果验证通过,则进入步骤83);否则,进入步骤82);82)验证备份访问密码;如果通过,则进入步骤83);如果否,则进入步骤84);83)认领成功,建立保险箱和该系统用户账户的关联;84)认领失败。
优选地,还包括接收用户删除保险箱的指令,删除该用户账户对应的指定保险箱。
优选地,在所述步骤4)和步骤5)之间还包括检测是否存在当前系统用户账户对应的保险箱;如果是,则进入步骤5);如果否,则创建新的保险箱。
相对于现有技术,本发明的有益效果是由于本发明基于用户的生物特征信息生成用户访问保险箱的身份验证信息,因此可以解决现有技术中用于身份验证的密码容易遗忘或是相应的身份验证硬件容易丢失、易用性不高等缺陷。并且将数据存储在HPA空间中,使得在系统崩溃后可以恢复存储的数据文件。同时,利用生物特征信息作为数据加/解的密钥的生成源,使得密钥的唯一性得到了提高。
在本发明的优选方案中,基于生物特征的加/解密是通过单向加密算法对特征进行运算后得到的,两个加密算法能够得到两个数据信息,其中一个是用户验证身份,称之为身份验证信息;可以保存到HPA里,即便在使用过程中被破译,也因为其使用的是单向加密算法而无法得到原始特征信息。另一个是用以加密数据,称之为加密密钥,因为不会用于验证,因此很难破解。同时由于原始特征信息是不会被获取到的,因此就能保证数据的安全。
此外,在优选方案中,采用两种不同的生物特征信息来分别生成身份验证信息和加密密钥,可使安全性得到进一步的提高。
图1是本发明的数据加密存储方法的流程图;图2是本发明的数据加密存储方法的一个实施例中创建和认领保险箱的流程图;图3是本发明的数据加密存储方法的一个实施例中打开保险箱的流程图;图4是本发明的数据加密存储方法的实施例中基于人像信息进行加密的示意图;图5是本发明的数据加密存储方法的实施例中基于人像信息进行加密的另一示意图。
具体实施例方式
请参阅图1,是本发明的数据加密存储方法的流程图。
步骤S110,获取用户的生物特征信息。
步骤S120,接收用户创建数据存储保险箱的请求。
步骤S130,基于前述生物特征信息生成用户身份验证信息。
步骤S140,在存储单元创建HPA,作为创建存储数据保险箱的空间。
其中,在硬盘上创建所述HPA(Host Protected Area,硬盘主机保护区域),HPA是一个公开的标准。
步骤S150,接收用户访问保险箱的请求,采集用户的生物特征信息进行身份验证;如果验证通过,则进入步骤S160;否则,进入步骤S170,拒绝用户对保险箱的访问。
步骤S160,接收用户对保险箱以及对保险箱内存储的数据的操作信息,进行相应的处理,包括对数据的加密、解密和/或存取操作。
本领域的技术人员可以理解,所述步骤S160中对保险箱的操作类似于对一般的文件夹的操作,例如,用户可以将文将复制到里面,也可以直接打开文件进行编辑。
需要说明的是,保险箱中的数据是经过加密后存储的,加密的密钥是通过用户的生物特征信息经过转换得来。其中,可以通过对同一种生物特征信息采用两种不同的加密算法得到两个数据信息,一个作为身份验证信息,一个作为数据加密密钥。当然,也可以运用两种不同的生物特征信息提取技术,取得两种不同的生物特征信息,从而分别用于生成身份验证信息和数据加密密钥。
此外,由于存储数据的保险箱是HPA空间,因此在系统崩溃后,保险箱和其内的数据均不会丢失。但是此时需要用户重新进行认领(步骤S180)。当然,也允许用户删除该保险箱(步骤S190),并转入步骤S130,以创建新的保险箱。
为了便于对本发明的理解,下面结合实施例对本发明进行详细的说明。
请参阅图2,是本发明的数据加密存储方法的一个实施例中创建和认领保险箱的流程图。
步骤S211,接收用户创建保险箱的请求。
步骤S212,检测是否存在对应当前系统用户账户的保险箱。如果是,则进入步骤S221或步骤S331;如果否,则进入步骤S213。
其中,所述系统用户账户是指数据处理系统的操作系统的用户账户,例如Windows账户。
步骤S213,获取用户的生物特征信息。
本实施例中,使用人像识别算法创建合法用户的人像模版样本,也就是说,所述生物特征信息是指用户的人像特征信息。当然,所述生物特征信息也可以是用户的指纹等具有唯一性的信息。
所述人像特征信息在此前的步骤S201中采集,并通过步骤S202存储生成数据信息,存储在系统的数据库中。
所述人像特征信息可以采用多种现有技术运算得到,例如可以采用现有技术中的Neurotechnologija公司的Verilook人像识别算法。
步骤S214,接收用户设置的备份访问密码。
在用户第一次使用本发明所述功能时,需要用户设置一个备份访问密码。
步骤S215,接收用户设置保险箱大小的信息。
当用户设置好备份访问密码之后,用户还需要设定保险箱的大小,比如说50MB。如果用户未设置,则采用默认的空间大小。
步骤S216,创建HPA空间,作为存储数据的保险箱。同时在保险箱中以加密的形式保存当前的系统用户账户信息、生物特征那个信息、备份密码。
HPA空间的创建的过程采用现有技术,向硬盘发送设置最大地址指令SetMax Address即可。该命令用于设置硬盘可用的最大地址,此最大地址小于硬盘实际物理最大地址(Native Max)。硬盘可用的最大地址设置成功后,大于最大地址小于硬盘实际物理最大地址的硬盘空间成为HPA,即保护空间。该空间无法被任何软件包括OS和BIOS所访问。从而保证保护分区被加锁后,实现了数据存储的安全性。而设置后最大地址以下硬盘空间为用户可用空间,可以被正常的软件所访问,并表现出该最大地址即为当前的硬盘的大小。
当上述步骤都完成后,用户就可以开始使用该系统的保险箱功能了。
此外,当用户系统崩溃,重新安装之后,其保险箱是不会丢失的,但是用户需要重新认领一遍其保险箱,认领之前首先需要用户确认的是上一次Windows用户账户信息(步骤S212)。
步骤S221,接收用户认领保险箱的请求。
步骤S222,当用户选择好所用账户信息后,系统会要求核对相应账户信息中的人像信息,核对不通过,则进入步骤S223;如果通过,则进入步骤S224。
步骤S223,要求输入备份访问密码用以验证身份,如果匹配,则进入步骤S224,将该保险箱与当前用户关联;如果不匹配,则拒绝关联,并予以用户一个可删除该保险箱的权力。
步骤S224,将该保险箱与当前用户关联。
步骤S231,用户可以根据实际情况或自身需求,删除该保险箱。
请参阅图3,是本发明的数据加密存储方法的一个实施例中打开保险箱的流程图。
步骤S311,接收用户打开保险箱的请求。
步骤S312,验证HPA内是否存在当前系统用户账户对应的保险箱。如果存在,则进入步骤S313;如果不存在,则放弃对保险箱功能的使用或者进入步骤S321,创建新的保险箱。
步骤S313,验证用户的人像特征信息。
当用户需要打开保险箱时,系统会提取存储在保险箱内的人像信息,验证用户的人像信息,如果通过,则进入步骤S314;如果不通过,则进入步骤S315。
步骤S314,成功打开保险箱,允许用户进行各种操作。
打开保险箱,即希望访问到保护空间HPA时,需要重新利用Set MaxAddress指令,将硬盘可用的最大地址设置到硬盘实际物理最大地址才可以访问。
打开保险箱后,操作保险箱的方式与操作文件夹的方式一样,用户可以将文将复制到里面,也可以直接打开文件进行编辑。
对保险箱及其存储的数据操作完毕后,执行关闭HPA操作,大多数硬盘在重新加电后自动关闭HPA。
步骤S315,要求用户输入备份访问密码,从保险箱提取用户设置的备份访问密码,用以验证用户身份。如果匹配,则进入步骤S314,打开保险箱;如果不匹配,则进入步骤S316或者步骤S317。
步骤S316,拒绝用户访问。
步骤S317,删除保险箱。
请参阅图4,是本发明的数据加密存储方法的实施例中基于人像信息进行加密的示意图。
其中,基于人像的加/解密是通过单向加密算法对人像特征进行运算后得到的,两个加密算法能够得到两个数据信息,其中一个是用户验证身份,称之为人像特征信息;可以保存到HPA里,即便在使用过程中被破译,也因为其使用的是单向加密算法而无法得到原始人像特征信息。另一个是用以加密数据,称之为人像加密密钥,因为不会用于验证,因此很难破解。同时由于原始人像特征信息是不会被获取到的,因此就能保证数据的安全。
所述的单向加密算法可以采用现有技术。例如,可以采用MD5(MessageDigest Algorithm 5),这是RSA数据安全公司开发的一种单向散列算法,MD5被广泛使用,可以用来将不同长度的数据块进行暗码运算成一个128位的数值。也可以采用SHA(Secure Hash Algorithm),这是一种较新的散列算法,可以对任意长度的数据运算生成一个160位的数值。
请参阅图5,是本发明的数据加密存储方法的实施例中基于人像信息进行加密的另一示意图。
本领域的技术人员可以理解,如果实施本方法时,人像采集的硬件设备具有两种以上的功能,那么通过人像识别算法的运算后,可以得到两个或两个以上的人像特征信息,这样,就可以使用这两个或两个以上的人像特征信息分别用于不同的需求。
例如,可以通过附带红外镜头的设备采集一组人像信息,通过算法计算后得到人像特征信息A,我们可以将其应用于身份识别;当红外镜头被换成普通镜头后,则能够采集到另一组人像信息,那么通过计算后又能得到不同的人像特征信息B,我们可以将其应用于加密密钥的生成。反之,亦可。这样,其安全性就能达到更高的水准。
综上所述,本发明涉及了一种数据保密存储技术,尤其是涉及一种通过人像识别身份验证访问存储于HPA空间的内的通过人像识别加密的文件的方法技术。由于目前的人像识别技术具有较好的准确度、易用性,同时硬盘HPA技术也越来越成熟,使得本发明所述的方法可以得到实现及应用。
总之,本发明使用人像识别技术作为验证用户身份的方法,使用人像特征信息作为密钥生成的信息源,同时使用HPA空间作为数据文件的保存区域,具有较好的易用性,人像特征信息产生的密钥又能使得唯一性得到加强,安全性得以提高,同时由于使用了HPA作为存储空间,能够使用户在系统崩溃后还能找到保密数据文件。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种数据加密存储的方法,其特征在于,包括步骤1)接收用户创建数据存储保险箱的请求;2)基于该用户的生物特征信息生成用户身份验证信息;3)在存储单元创建HPA,作为创建数据存储保险箱的空间;在保险箱中以加密方式保存用户的身份验证信息;4)接收用户访问保险箱的请求;5)采集用户的生物特征信息进行身份验证;如果验证通过,则进入步骤6);否则,进入步骤7);6)接收用户对保险箱以及对保险箱内存储的数据的操作信息,进行相应的处理;7)拒绝用户对保险箱的访问。
2.根据权利要求1所述的数据加密存储的方法,其特征在于,所述步骤2)中生成用户身份验证信息时采用第一单向加密算法进行。
3.根据权利要求2所述的数据加密存储的方法,其特征在于,所述步骤3)进一步包括基于用户的生物特征信息,采用不同于第一单向加密算法的第二单向加密算法,生成对所存储的数据进行加密、解密的密钥。
4.根据权利要求1至3任一项所述的数据加密存储的方法,其特征在于,所述步骤2)采用的生物特征信息不同于步骤5)所采用的生物特征信息。
5.根据权利要求4所述的数据加密存储的方法,其特征在于,所述生物特征信息是人像特征信息或者指纹信息。
6.根据权利要求4所述的数据加密存储的方法,其特征在于,在步骤2)和步骤3)之间还包括接收用户设置的备份访问密码;在所述步骤3)中还包括在保险箱中存储该备份访问密码;在所述步骤5)和步骤7)之间还包括验证备份访问密码;如果不通过,则进入步骤7);如果通过,则进入步骤6)。
7.根据权利要求6所述的数据加密存储的方法,其特征在于,还包括在所述步骤2)之前检测是否存在当前系统用户账户对应的保险箱;如果否,则进入步骤2);如果是,则进行认领保险箱的步骤。
8.根据权利要求7所述的数据加密存储的方法,其特征在于,所述认领保险箱包括81)采集用户的生物特征信息进行身份验证;如果验证通过,则进入步骤83);否则,进入步骤82);82)验证备份访问密码;如果通过,则进入步骤83);如果否,则进入步骤84);83)认领成功,建立保险箱和该系统用户账户的关联;84)认领失败。
9.根据权利要求8所述的数据加密存储的方法,其特征在于,还包括接收用户删除保险箱的指令,删除该用户账户对应的指定保险箱。
10.根据权利要求4所述的数据加密存储的方法,其特征在于,在所述步骤4)和步骤5)之间还包括检测是否存在当前系统用户账户对应的保险箱;如果是,则进入步骤5);如果否,则创建新的保险箱。
全文摘要
本发明公开一种数据加密存储的方法,包括步骤1)接收用户创建数据存储保险箱的请求;2)基于该用户的生物特征信息生成用户身份验证信息;3)在存储单元创建HPA,作为创建数据存储保险箱的空间;在保险箱中以加密方式保存用户的身份验证信息;4)接收用户访问保险箱的请求;5)采集用户的生物特征信息进行身份验证;验证通过,则进入步骤6);否则,进入步骤7);6)接收并处理用户对保险箱以及对保险箱内存储的数据的操作信息;7)拒绝用户对保险箱的访问。本发明基于生物特征信息生成访问保险箱的身份验证信息,可以解决身份验证密码容易遗忘或是身份验证硬件容易丢失、易用性不高等缺陷,并且在系统崩溃后可以恢复存储的数据文件。
文档编号G06F12/14GK1940803SQ200510107419
公开日2007年4月4日 申请日期2005年9月30日 优先权日2005年9月30日
发明者孟智明 申请人:联想(北京)有限公司