在数据存储装置中存储和获取用户数据的方法及数据安全存储装置的制作方法

专利名称：在数据存储装置中存储和获取用户数据的方法及数据安全存储装置的制作方法
在数据存储装置中存储和获取用户数据的方法及数据安全存储装置技术领域：
本发明涉及存储和/或获取用户数据的方法及数据的安全存储装置， 特别是涉及一种利用生物特征(指紋)技术以确保存储在所述装置中的数 据和信息为个人生物特征信息所保护，用户因此可访问、存储和获取存储 在所述存储装置中的数据，以及可移动且能与计算机主机系统相连的数据 安全存储装置。
背景技术：
US 6125192公开了与数字系统相连的指紋传感器，其对数字系统的访 问需要指紋鉴定。类似地，US 6353472公开了在授权进行某项操作前通过 指紋鉴别个人身份的装置。
然而，当人体手指上的指紋图案由于某种原因被破坏，从而使指紋图 案无法验证时，利用指紋作为数据存储装置的安全存取方式可能存在问 题，并进而使得无法访问所述数据存储装置。

发明内容
本发明旨在克服现有技术的缺陷，而提供一种通用性更强，同时具有 高的安全性，可防止未经授权而对数据存储装置中的用户数据进行存取的 在数据存储装置中存储和获取用户数据的方法。
本发明进一步提供了实现上述方法的数据安全存储装置。 为实现上述目的，本发明提供了一种存储和/或获取数据安全存储装
置中的用户数据的方法，该方法包括
A、 通过以下步骤注册管理员指紋
在数据存储装置的注册模式，扫描至少 一个管理员的M个不同的管理 员指紋，其中M ^ 2，由被扫描的管理员指紋产生管理员指紋生物数据， 且储存管理员指紋生物数据以注册管理员指紋；
B、 通过以下步骤在数据存储装置中进行存取
在数据存储装置的普通操作模式，扫描P个不同的指紋，其中2^P^ M，将P个指紋中的每个指紋与注册的管理员指紋进行验证，如果P个指紋 中的每个指紋验证成功，则接收用户数据，并将用户数据储存在数据存储 装置中，和/或读取数据存储装置中的用户数据，并且从数据存储装置输 出用户数据。
在上述步骤A、 B中，管理员可以是协调一个或多个用户使用所述数据 存储装置的人员，或者管理员自己就是一个用户。使用数据存储装置的可 以是一个以上的管理员，而并非一个管理员。
步骤A中，在注册管理员指紋时，至少要取得两个不同的管理员指紋。 所述的至少两个指紋可取自同一人或不同的人。至少两个指紋的要求提高 了数据存储装置在此后的使用过程中的安全程度，同时，可使数据存储装 置在使用过程中更不易受到注册的管理员指紋图案无意破坏的影响(从而 使该指紋无法验证)。
步骤B中，在普通操作模式下使用数据存储装置时，对访问该装置所 需的管理员指紋数目P可进行选择，使其少于注册的管理员指紋数目M,由 于可使用其他的管理员指紋，从而使注册的管理员指紋图案的无意的破坏 不致造成对数据存储装置的不可存取。成功验证P个管理员指紋后，可向 数据存储装置写入用户数据，或从数据存储装置获取用户数据。
该方法还包括
C、 通过以下步骤注册用户指紋
在数据存储装置的注册模式，扫描至少 一个用户的N个不同的用户指
紋，其中N ^ 2，由被扫描的用户指紋产生用户指紋生物数据，且存储用
户指紋生物数据以注册用户指紋，
D、 当在数据存储装置中存取时，将P个指紋中的每个指紋与注册的管 理员指紋和注册的用户指紋进行验证，其中2 ￡ P ^ M+N)。
根据上述步骤C、 D，如果验证成功，可使用总共为P个指紋的管理员 指紋和用户指紋的任意组合以访问所述数据存储装置，其中所述P个指紋 可包括O个管理员指紋至P个管理员指紋，以及O至P间任意数目的管理员指 纹，P个指紋中的其余指紋可包括O个用户指紋(当管理员指紋的数目为P时) 至P个用户指紋(当管理员指紋的数目为0时)，以及O至P间任意数目的用户 指紋(其中P个指紋的其余指紋与管理员指紋相加等于P)。
当数据存储装置的管理员和/或用户发生变化时，可根据管理员指紋 的可用性或者管理员指紋和用户指紋的可用性重设或删除注册的指紋。
因此，该方法还包^r:
E、 如果只有管理员指紋可用，则已注册的管理员指纹可通过以下步 骤重设
在数据存储装置的注册模式，扫描M个不同的指紋，将M个指紋中的每 个指紋与注册的管理员指紋进行验证，如果M个指纹中的每个指紋的验证 成功，则重设所有注册的管理员指紋。
因数据存储装置在普通操作模式变得不可访问，该步骤有效恢复了数 据存储装置的出厂设置。数据存储装置中的所有用户数据都被删除。
F、 如果管理员和用户指紋均可用，则可通过以下步骤将已注册的管 理员指紋和用户指紋重设
在数据存储装置的注册模式，扫描M个不同的指紋，将M个指紋中的每
个指紋与注册的管理员指紋进行验证，如果M个指紋中的每个指紋的验证 成功，则重设所有注册的管理员指紋和所有注册的用户指紋。
由于数据存储装置在普通操作模式变得不可访问，该操作有效恢复了 数据存储装置的出厂设置。数据存储装置中的所有用户数据都被删除。
G、 如果管理员和用户指紋均可用，则通过以下步骤对已注册的用户
指紋进行重设
在数据存储装置的注册模式，扫描Q个不同的指紋，其中Q^M+N,对 Q个指紋中的每个指紋与注册的管理员指紋和注册的用户指纹进行验证， 如果Q个指紋中的每个指紋的验证成功，且Q个指紋中的至少一个与注册的
用户指紋的验证成功，则重设所有注册的用户指紋。
该步骤使得先前的任何用户在普通操作模式均不能访问数据存储装 置。另一方面，仍可通过管理员指紋访问数据存储装置。可以删除也可以 不删除数据存储装置中的任何用户数据。
在将用户数据存储在数据存储装置之前，可将用户数据加密，然后可 将加密的用户数据加以存储。类似地，在从数据存储装置获取用户数据前， 可将加密的用户数据解密，然后从数据存储装置输出解密的用户数据。为 此，该方法还进一步包括
H、 通过以下步骤存取用户数据
接收用户数据，对用户数据加密以产生加密的用户数据，且将加密的 用户数据储存在数据存储装置中，和/或读取数据存储装置中的加密的用 户数据，解密加密的用户数据以得到用户数据；且从数据存储装置输出用 户数据。
在A H的各步骤中，如果至少连续三次指紋验证不成功，则拒绝对所 述数据存储装置进行存取。
更具体地，在上述步骤中，取M-2、 ^=2或4、 P=2和Q=2。
本发明也提供了实现上述方法的装置，该装置包括
用于扫描指紋以产生指紋生物数据的指紋传感器； 用于储存指紋生物数据的生物数据存储单元； 用于储存用户数据的用户数据存储单元；
与指紋传感器、生物数据存储单元、用户数据存储单元和外部计算机 主机系统连接的数据处理系统，
其中，数据处理单元用于通过以下步骤存储和/或获取数据存储装置 中的用户数据 一
a、 通过以下步骤注册管理员指紋
在数据存储装置的注册模式，通过指紋传感器扫描至少一个管理员的 M个不同的管理员指紋，其中M^2,数据处理系统由被扫描的管理员指紋 产生管理员指紋生物数据，并将管理员指紋生物数据储存在生物数据存储 单元中以注册管理员指紋；
b、 通过以下步骤在数据存储装置中进行存取
在数据存储装置的普通操作模式，通过指紋传感器扫描P个不同的指 紋，其中2 ^ P ^ M,数据处理系统将P个指紋中的每个指紋与注册的管理 员指紋进行验证，如果P个指紋中的每个指紋的验证成功，则数据处理系 统接收来自外部计算机主机系统的用户数据，并将用户数据储存在用户数 据存储单元中，和/或数据处理系统读取用户数据存储单元中的用户数据， 并将用户数据输出到外部计算机主机系统。
其中所述数据处理单元通过以下步骤注册用户指紋
a、 在数据存储装置的注册模式，通过指紋传感器扫描至少一个用户 的N个不同的用户指紋，其中N^2，数据处理系统由被扫描的用户指紋产 生用户指紋生物数据，并储存用户指紋生物数据以注册用户指紋；
b、 当在数据存储装置中存取时，将P个指紋中的每个指紋与注册的管
理员指紋和注册的用户指紋进行验证，其中2 ^ P ^ M+N。 其中所述指紋传感器为电容式或电场式传感装置。
装置还包括与数据处理系统结合、用于将数据存储装置连接到计算机 主机系统的计算才几串行总线接口单元。
其中所述计算机串行总线接口单元包括USB或FireWire 计算机串行 总线接口单元。
本发明的贡献在于，它有效克服了现有生物特征存取方法因人体手指 上的指紋图案由于某种原因被破坏而使指紋图案无法验证，导致无法访问 其数据存储装置等缺陷。本发明的方法中，由于要求必须注册至少两个指 紋，而提高了数据存储装置在此后的使用过程中的安全程度，使得数据存 储装置在使用过程中不易受到注册的管理员指紋图案无意破坏的影响而 使该指紋无法验证。本发明的存储装置可移动，并可用作能与计算机主机 系统相连的硬盘，且装置中的数据通过指紋技术得到了保护，因此只有一 个或多个先前录入指紋的人才可激活所述存储装置的功能。


图l是本发明的由生物特征参数保护的具有计算机串行总线接口的可 移动数据存储装置的实施例示意图。
图2是本发明的数据存储装置实施例结构框图。
具体实施方式
下列实施例是对本发明的进一步解释和说明，对本发明不构成任何限制。
现结合图l及图2对本发明的在数据存储装置中存储和获取用户数据 的方法及数据安全存储装置进行更加具体的说明。
图1和图2示出了本发明的便携式的数据存储装置IOO,该装置包括计
算机串行总线接口单元l4、指紋传感器l2 (例如电容式的或电场式的传感 装置)及数据处理系统的外壳IO，外壳内设有数据处理系统，该数据处理
系统包括嵌入的指紋生物特征处理单元20、微控制器和数据处理单元30以 及闪存40。本实施例中，指紋传感器12与指紋生物特征处理单元20相连接， 该指紋生物特征处理单元20包括生物特征处理单元22和一个生物数据存 储单元24。生物特征处理单元22与存取控制决策单元32相连，然后与数据 处理单元34连接。在数据存储装置1GQ上可设置开关16或任何其他控制装 置，使数据存储装置100处于注册模式，即开关位置A或处于普通操作模式， 即开关位置B。计算机串行总线接口单元可包括USB计算机串行总线接口单 元或FireWire(IEEE 1 394)计算机串行总线接口单元。
参见图2，在本发明的数据存储装置中存储和获取用户数据时，数据 存储装置100的管理员或用户将手指放置在指紋传感器12 (其用作指紋阅 读器)上，指紋传感器12扫描指紋，并将指紋生物数据发送到指紋生物特 征处理单元20。在嵌入式指紋生物特征处理单元20中，生物特征处理单元 22将指紋生物数据与存储(可能受到密钥保护)在生物数据存储单元24中 的先前注册的指紋生物数据进行验证。必须扫描至少两个不同的指紋，并 与先前注册的指紋验证成功才可访问数据存储装置10 0以储存和/或获取 用户数据。如果验证不成功，则拒绝对数据存储装置中的用户数据的存取， 或必须重新扫描相应指紋。验证成功后，生物特征处理单元22生成一个加 密指针，该加密指针可从生物数据存储单元24获取加密密钥。获取的加密 密钥在多项附加程序中可选地受到保护。工厂代码或解密密钥与加密密钥 一起启动微控制器和数据处理单元30中的数据加密/解密程序。存取控制 决策单元32被启动后，它指示数据处理单元34提取存储在闪存储器40中的 信息，并将其发送到计算机主机系统，该主机系统通过计算机串行总线接
口单元14与数据存储装置100相连。
数据存储装置100在可以被使用前，须将通过扫描一个或多个管理员
的指紋获得的管理员指紋生物数据注册并录入指紋生物特征处理单元20 中。第一次注册时，通过将开关16转换至相应的位置A使数据存储装置100 在注册模式工作， 一个或多个管理员，也可以是数据存储装置100的一个 或多个用户，通过指紋传感器12扫描至少两个管理员指紋，并由生物特征 处理单元22对指紋生物数据进行处理并将数据储存在生物数据存储单元 24中。再次注册时，通过将开关16转换至相应的位置A使数据存储装置100 在注册模式工作，通过指紋传感器12对一个或多个用户的至少两个用户指 紋进行扫描，并由生物特征处理单元22对指紋生物数据进行处理，并将数 据储存在生物数据存储单元24中。
注册的管理员指紋生物数据可用于产生密钥，例如128位密钥，以分 别加密和解密写入数据存储装置100和从数据存储装置100读取的用户数 据。
管理员指紋在注册后，通过将开关16转换至相应的位置B使数据存储 装置100工作在普通操作模式，通过成功验证至少两个不同的管理员指紋 可对用于储存和/或获取用户数据的数据存储装置进行存取。在管理员指 紋和用户指紋注册后，通过将开关16转换至相应的位置B使数据存储装置 IOO工作在普通操作模式，通过成功验证至少两个不同的指紋可对用于储 存和/或获取用户数据的数据存储装置进行存取，其中所有的或并非所有 的指紋可以是管理员指紋，也可以是用户指紋。
注册的指紋可按如下方式取消。管理员指紋在注册后，通过将开关16 转换至相应的位置A使数据存储装置100工作在注册模式，再通过成功验证
所有先前注册的管理员指紋可重设管理员指紋。管理员指紋和用户指紋注 册后，通过将开关16转换至相应的位置A使数据存储装置100工作在注册模
式，再通过成功验证所有先前注册的管理员指紋可重设管理员指紋和用户 指紋。管理员指紋和用户指紋注册后，通过将开关16转换至相应的位置A 使数据存储装置iOO工作在注册模式，再通过成功验证至少两个先前注册 的指纹(其中至少一个为用户指紋)可重设用户指紋。当重设管理员指紋
时，数据存储装置100中可用的用户数据被删除。当重设用户指紋，而不
重设管理员指紋时，可以删除也可以不删除数据存储装置中可用的用户数 据，这取决于数据处理系统的设置。
虽然已通过具体实施例对本发明进行了描述，但应当理解的是可在本 发明范围内作出改进，说明书对本发明的描述不应被看作是对发明范围的 限定，而发明的范围由权利要求加以限定。
权利要求
1、一种在数据安全存储装置中存储和获取用户数据的方法，其特征在于，该方法包括A、通过以下步骤注册管理员指纹在数据存储装置的注册模式，扫描至少一个管理员的M个不同的管理员指纹，其中M≥2，由被扫描的管理员指纹产生管理员指纹生物数据，且储存管理员指纹生物数据以注册管理员指纹；B、通过以下步骤在数据存储装置中进行存取在数据存储装置的普通操作模式，扫描P个不同的指纹，其中2≤P≤M，将P个指纹中的每个指纹与注册的管理员指纹进行验证，如果P个指纹中的每个指纹验证成功，则接收用户数据，并将用户数据储存在数据存储装置中，和/或读取数据存储装置中的用户数据，并且从数据存储装置输出用户数据。
2、 如权利要求l所述的方法，其特征在于，该方法还包括C、 通过以下步骤注册用户指紋在数据存储装置的注册模式，扫描至少 一个用户的N个不同的用户指 紋，其中N ^ 2，由被扫描的用户指紋产生用户指紋生物数据，且存储用 户指紋生物数据以注册用户指紋，D、 当在数据存储装置中存取时，将P个指紋中的每个指紋与注册的管 理员指紋和注册的用户指紋进行验证，其中2 ^ P ￡ M+N)。
3、 如权利要求l所述的方法，其特征在于，该方法还包括E、 已注册的指紋可通过以下步骤重设在数据存储装置的注册模式，扫描M个不同的指纹，将M个指紋中的每 个指紋与注册的管理员指紋进行验证，如果M个指紋中的每个指紋的验证 成功，则重设所有注册的管理员指紋。
4、 如权利要求2所述的方法，其特征在于，该方法还包括F、 已注册的指紋可通过以下步骤重设在数据存储装置的注册模式，扫描M个不同的指紋，将M个指紋中的每 个指紋与注册的管理员指紋进行验证，如果M个指紋中的每个指紋的验证 成功，则重设所有注册的管理员指紋和所有注册的用户指紋。
5、 如权利要求2所述的方法，其特征在于，该方法还包括G、 已注册的指紋可通过以下步骤重设在数据存储装置的注册模式，扫描Q个不同的指紋，其中Q^M+N，对 Q个指紋中的每个指紋与注册的管理员指紋和注册的用户指紋进行验证， 如果Q个指紋中的每个指紋的验证成功，且Q个指紋中的至少一个与注册的用户指紋的验证成功，则重设所有注册的用户指紋。
6、 如权利要求l ~ 5中任一项所述的方法，其特征在于，其中M二2。
7、 如权利要求2、 4或5中任一项所述的方法，其特征在于，其中N-2或4。
8、 如权利要求6所述的方法，其特征在于，其中P二2。
9、 如权利要求6所述的方法，其特征在于，其中0=2。
10、 如权利要求6所述的方法，其特征在于，其中如果至少连续三次 指紋验证不成功，则拒绝对所述数据存储装置进行存取。
11、 如权利要求6所述的方法，其特征在于，该方法还包括H、 通过以下步骤存取用户数据接收用户数据，对用户数据加密以产生加密的用户数据，且将加密的 用户数据储存在数据存储装置中，和/或读取数据存储装置中的加密的用 户数据，解密加密的用户数据以得到用户数据；且从数据存储装置输出用 户数据。
12、 一种数据安全存储装置，其特征在于，该装置包括 用于扫描指紋以产生指紋生物数据的指紋传感器；用于储存指紋生物数据的生物数据存储单元； 用于储存用户数据的用户数据存储单元；与指紋传感器、生物数据存储单元、用户数据存储单元和外部计算机 主机系统连接的数据处理系统，其中，数据处理单元用于通过以下步骤存储和/或获取数据存储装置 中的用户数据a、 通过以下步骤注册管理员指紋在数据存储装置的注册模式，通过指紋传感器扫描至少一个管理员的 M个不同的管理员指紋，其中M^2，数据处理系统由被扫描的管理员指紋 产生管理员指紋生物数据，并将管理员指紋生物数据储存在生物数据存储 单元中以注册管理员指紋；b、 通过以下步骤在数据存储装置中进行存取在数据存储装置的普通操作模式，通过指紋传感器扫描P个不同的指 紋，其中2^P^M,数据处理系统将P个指紋中的每个指紋与注册的管理 员指紋进行验证，如果P个指紋中的每个指紋的验证成功，则数据处理系 统接收来自外部计算机主机系统的用户数据，并将用户数据储存在用户数 据存储单元中，和/或数据处理系统读取用户数据存储单元中的用户数据， 并将用户数据输出到外部计算机主机系统。
13、 如权利要求12所述的数据安全存储装置，其特征在于，其中所述 数据处理单元通过以下步骤注册用户指紋a、在数据存储装置的注册模式，通过指紋传感器扫描至少一个用户 的N个不同的用户指紋，其中N^2，数据处理系统由被扫描的用户指紋产 生用户指纹生物数据，并储存用户指紋生物数据以注册用户指紋；b、当在数据存储装置中存取时，将P个指紋中的每个指紋与注册的管理员指紋和注册的用户指紋进行验证，其中2 ^ P ￡ M+N。
14、 如权利要求12或13所述的数据安全存储装置，其特征在于，其中 所述指紋传感器为电容式或电场式传感装置。
15、 如权利要求14所述的数据安全存储装置，其特征在于，所述装置 还包括与数据处理系统结合、用于将数据存储装置连接到计算机主机系统 的计算机串行总线接口单元。
16、 如权利要求15所述的数据安全存储装置，其特征在于，其中所述 计算机串行总线接口单元包括USB或FireWire 计算机串行总线接口单 元。
全文摘要
一种在数据存储装置中存储和获取用户数据的方法及数据安全存储装置，其中，方法包括在可移动的安全数据存储装置中，通过指纹传感器扫描至少两个不同的指纹以在数据存储装置中进行存取。在数据存储装置的注册模式，扫描和注册至少一个管理员的至少两个不同的管理员指纹。在数据存储装置的另一注册模式，扫描和注册至少一个用户的至少两个不同的用户指纹。在数据存储装置的普通操作模式，扫描至少两个不同的指纹，并将其与注册的管理员指纹和注册的用户指纹进行验证，如对各个不同指纹的验证成功，则可在数据存储装置中存取。装置包括指纹传感器、生物数据存储单元、用户数据存储单元及与各单元及外部计算机主机系统连接的数据处理系统。
文档编号G06K9/00GK101105775SQ20071014884
公开日2008年1月16日 申请日期2007年8月29日 优先权日2007年8月29日
发明者林文南 申请人:利特国际有限公司