专利名称:数据安全处理方法和数据安全存储设备的制作方法
技术领域:
本发明涉及数据安全技术领域,尤其涉及一种应用生物特征密钥 的数据安全处理方法和数据安全存储设备。
背景技术:
生物特征具有独特性、永久性和防伪性等特征,并且为随身携带,
在身份验证场合可以代替传续密码和ID卡,以获得更高的安全性和 更好的使用体验。利用生物特征对数据安全存储设备的访问控制通道 进行加密,可以提高数据安全存储设备对非法入侵的抵御能力。
在现有技术中,数据安全存储设备对访问用户的生物特征进行 匹配,如果该生物特征与之前合法注册的生物特征匹配,打开通信通 道,否则关闭通信通道,现有技术通过生物特征实现安全的访问控制。 但是,由于数据安全存储设备里面的数据仍以明文的形式存在,非法 用户可以通过通信欺骗方式来绕过访问控制,或者通过暴力,式拆出 数据安全存储设备里面的存储器,然后读取该数据安全存储设备保存 的数据,现有技术的设备数据存在一定的安全隐患。
发明内容
本发明提供一种应用生物特征密钥的数据安全处理方法和数据 安全存储设备,其使用从生物特征中提取的生物特征模板实现访问控 制和设备数据加解密处理,从而提高设备数据的安全。一种应用生物特征密钥的数据安全处理方法,包括A注册过程, 通过生物特征采集设备采集用户的第一生物特征;提取第一生物特征 的第一生物特征模板;保存第一生物特征模板;B使用过程,通过生 物特征采集设备采集用户的第二生物特征;提取第二生物特征的第二 生物特征模板;确定第一生物特征模板与第二生物特征模板相匹配 后,允许设备访问并使用第一生物特征模板对设备数据进行加解密处 理。
其中,对设备数据进行加解密处理具体为对流入设备的数据进 行加密处理,对流出设备的数据进行解密处理。
其中,保存第一生物特征模板具体为对第一生物特征模板进行 加密,保存加密后的第一生物特征模板;第一生物特征模板与第二生 物特征模板相匹配之前,进一步包括获取加密后的第一生物特征模 板,并对其进行解密。
其中,保存第一生物特征模板具体为将第一生物特征模板保存 到设备自身密钥存储区或移动存储设备。
其中;生物特征具体为指纹特征、掌纹特征、面^特征或虹膜特征。
一种应用生物特征密钥的数据安全存储设备,包括第一生物特 征获取单元,用于获取用户的第一生物特征;第一生物特征模板提取 单元,用于提取第一生物特征的第一生物特征模板;非统一密钥存储 单元,用于保存第一生物特征模板;第二生物特征获取单元,用于获 取用户的第二生物特征;第二生物特征模板提取单元,用于提取第二生物特征的第二生物特征模板;特征模板相匹配单元,用于确定第一 生物特征模板与第二生物特征模板相匹配后,发出模板匹配信息;存 储数据加解密单元,用于接收到模板匹配信息后,允许设备访问并使 用第一生物特征模板对设备数据进行加解密处理。
其中,存储数据加解密单元包括存储数据加密单元,用于对流 入设备的数据进行加密处理;存储数据解密单元,用于对流出设备的 数据进行解密处理。
其中,进一步包括特征模板加密单元,用于对第一生物特征模
板进行加密,并向非统一密钥存储单元保存加密后的第一生物特征模
板;特征模板解密单元,用于从非统一密钥存储单元获取加密后的第 一生物特征模板,并对其进行解密。
其中,非统一密钥存储单元具体为设备自身密钥存储区或移动存 储设备;生物特征具体为指纹特征、掌纹特征、面部特征或虹膜特征。
其中,进一步包括生物特征采集设备,用于采集用户的生物特征; 其中,第一生物特征获取单元获取用户的第一生物特征为,通过生物 特症采集设备获取用户的第一生物特征;第二生扬特征获取单元获取 用户的第二生物特征为,通过生物特征采集设备获取用户的第二生物 特征。
从以上技术方案可以看出,在本发明中,数据安全处理方法包括, 注册过程,通过生物特征采集设备采集用户的第一生物特征;提取第 一生物特征的第一生物特征模板;保存第一生物特征模板;使用过程, 通过生物特征采集设备采集用户的第二生物特征;提取第二生物特征的第二生物特征模板;确定第一生物特征模板与第二生物特征模板相
匹配后,允许设备访问并使用m—生物特征模板对设备数据进行加解 密处理。本技术方案不仅使用生物特征模板实现数据安全存储设备的 安全访问控制,而且使用生物特征模板对设备数据进行加解密处理, 使保存在设备里面的数据处于加密状态,通过生物特征模板实现双重 保护,从而提高设备数据的安全。
图1为本发明实施例的数据安全处理方法流程图; 图2为本发明实施例的数据安全存储设备示意图。
具体实施例方式
实施例一
参见附图l,为本发明实施例的数据安全处理方法流程图。本实 施例的数据安全处理方法,包括注册过程和使用过程两大部分;其中 注册过程包括步骤101至步骤103,使用过程包括步骤104至步骤 108。
步骤IOI.数据安全存储设备通过生物特征采集设备采集用户的 第一生物特征。生物特征具体为指纹特征、掌纹特征、面部特征或虹 膜特征,除此之外,还可以为其它生物特征,比如为手血管纹理和 DNA等。
大部分的生物特征可以通过光学传感器如CCD或CMOS形成 图像信号,比如指纹、掌纹、面部等;但对于虹膜来说,需要红外光 源才可以得到细节清晰的特征。本实施例通过与采集的生物特征相对应的生物特征采集设备采集上述生物特征。各生物特征有自身的特 点,比如,指纹特征为基于手指表面的一连串脊、沟以及手指表面的'
细节特征点构成的特征,其中细节特征点指的是脊的交叉点或端点; 面部特征为基于面部关键特征的空间几何关系,通常以眼睛、鼻子、 下颚边等之间的距离来度量;虹膜特征为基于虹膜所形成的图案,即 眼球中的有色部分。
步骤102.提取第一生物特征的第一生物特征模板。采集生物特征 后,对其进行取样,并转换为数字代码,由数字代码组成生物特征模 板。比如使用Dr.Daugman的算法,在直径llmm的虹膜上,用3.4 个字节的数据来代表每平方毫米的虹膜信息,这样, 一个虹膜约有 266个量化特征点,然后将这些特征点转换为数字代码。根据特征提 取算法的不同,生物特征模板的长度也不同, 一般超过150字节,即 1200位,利用位数较高生物特征模板作为密钥进行加解密处理,可 使暴力破解成本剧增。 -
步骤103.数据安全存储设备对第一生物特征模板进行加密,保存 加密后的第一生物特征模板。可使用MD5 (消息摘要算法5)等加密 算法对第一生物特征模板进行加密。可以将第一生物特征模板保存到 设备自身密钥存储区或移动存储设备;移动存储设备可为移动U盘、 存储卡等;对于将第一生物特征模板保存到移动存储设备的情况,用 户在不使用数据安全存储设备时,可以断开移动存储设备与数据安全 存储设备的连接,并将移动存储设备放置在安全的地方,从而提高使 用安全性。以上步骤完成了用户在数据安全存储设备的注册过程,以下步骤 为用户使用数据安全存储设备,对设备保存的数据进行操作的使用过 程。
步骤104.数据安全存储设备通过生物特征采集设备采集用户的 第二生物特征。
步骤105.提取第二生物特征的第二生物特征模板。
步骤106.获取上述加密后的第一生物特征模板,并对其进行解密。
步骤107.判断第一生物特征模板与第二生物特征模板是否相匹 配,如果是,继续步骤108,否则,退出设备数据处理。
每个用户具有自身独特的生物特征,如步骤101和步骤104对同 一个用户进行采集,则第一生物特征模板与第二生物特征模板相匹 配,说明步骤104的用户为注册用户,该用户具有使用数据安全存储 设备的权限,可以对设备数据进行操作。
步骤108.允许设备访问并使用第一生物特征模板对设备数据进 行加解密处理。上述对设备数^据进行加解密处理具体为,对流入设备 的数据进行加密处理,对流出设备的数据进行解密处理。
如果第一生物特征模板或第二生物特征模板相匹配,说明它们的 内容是相同的;使用第一生物特征模板或第二生物特征模板对数据进 行加解密,它们的效果相同。在本实施例中,先将生物特征模板初始 化存储数据加解密单元,然后由存储数据加解密单元对对流入设备的 数据进行加密处理,对流出设备的数据进行解密处理,使得保存在设备里面的数据处于加密状态。,
由于生物特征模板提取及匹配、生物特征模板作为密钥的加密存 储及读取解密、设备数据加解密等均在数据安全存储设备内部实现, 一般的通信欺骗将变得无效,敌手要破解该设备,需要付出芯片分析 或同等级别以上的代价。而在本实施例中,可将生物特征模板保存到 移动存储设备,即生物特征模板脱机保管,设备内使用该生物特征模 板加密的数据可以被认为是非常安全的。必要时,合法注册用户有权 更改或销毁该密钥,并使设备存储的数据完全失效。
本技术方案不仅使用生物特征模板实现数据安全存储设备的安 全访问控制,而且使用生物特征模板对设备数据进行加解密处理,使 保存在设备里面的数据处于加密状态,通过生物特征模板实现双重保 护,从而提高设备数据的安全。
现有的对明文加密方式如下,在设备制作时,预先制订一系列用 于数据加密的密钥,并在用户注册时随机选定其中一个。在用户认证 通过后,设备从密钥存储区读出注册时选定的密钥,并完成数据的加 解密处理。由于这些密钥是预先设定的,因此可以通过窃取设备设计 资料获得;由于这些密钥是从固定的存储区、密钥池中选择的,其数 量有限,因此可以通过存储区数据分析和穷举所有存储区密钥的方式 破解,进而获取设备存储数据的明文。而本技术方案中,直接以生物 特征模板作为数据的加解密密钥,不在设备制作时预先制订任何数据 加解密密钥,而只在用户注册时产生属于本用户和设备的,独特的(非 统一)数据加解密密钥,以此使每个设备的加解密密钥都是独特的,防止通过窃取设备设计资料获得密钥,防止通过密钥穷举破解密钥,从而挺高安全性。 '
作为本发明的另一个实施例,与上述实施例不同之处在于,在步
骤103中,直接保存没有加密的第一生物特征模板,即不需要加密步骤;相应的,步骤106中,获取没有加密的第一生物特征模板,即不需要解密步骤。考虑到可以将第一生物特征模板保存在移动存储设备,在不使用该第一生物特征模板时,可以断开移动存储设备与数据安全存储设备的连接,并将移动存储设备放置在安全的地^";故即使
不对存储在移动存储设备的第一生物特征模板进行加密,也不会对使用安全性造成太大的影响。实施例二
参见图2,为本发明实施例的数据安全存储设备示意图。 一种应用生物特征密钥的数据安全存储设备,包括第一生物特征获取单元11,用于获取用户的第一生物特征;第一生物特征模板提取单元12,用于提取第一生物特征的第一生物特征模板;非统一密钥存储单元17,用于保存第^生物特征模板;第二生物特征获取单元13%用于获取用户的第二生物特征;第二生物特征模板提取单元14,用于提取第二生物特征的第二生物特征模板;特征模板相匹配单元15,用于确定第一生物特征模板与第二生物特征模板相匹配后,发出模板匹配信息;存储数据加解密单元19,用于接收到模板匹配信息后,允许设各访问并使用第一生物特征模板对设备数据进行加解密处理。
本实施例中,数据安全存储设备提供三个接口,分别为,生物特征采集设备IO控制及通讯接口、数据安全存储设备存储芯片(组)控制及通讯接口、数据安全存储设备对外通讯接口。上述获取用户的第一生物特征和第二生物特征为从外接的生物特征采集设备io中获取。
其中,存储数据加解密单元19包括存储数据加密单元,用于对流入设备的数据进行加密处理;存储数据解密单元,用于对流出设
备的数据进行解密处理。
其中,进一步包括特征模板加密单元16,用于对第一生物特
征模板进行加密,并向非统一密钥存储单元17保存加密后的第一生物特征模板;特征模板解密单元18,用于从非统一密钥存储单元17获取加密后的第一生物特征模板,并对其进行解密。
其中.,非统一密钥存储单元17具体为设备自身密钥存储区或移动存储设备;生物特征具体为指纹特征、掌纹特征、面部特征或虹膜特征。
作为另一个优选的实施例,数据安全存储设备进一步包括生物特征采集设备10,其用于采集用户的生物特征。第一生物特征获取单元11获取用户的第一生物特征为,通过生物特征采集设备10获取用户的第一生物特征;第二生物特征获取单元13获取用户的第二生物特征为,通过生物特征采集设备IO获取用户的第二生物特征。生物特征采集设备10可以为独立于数据安全存储设备的设备,通过生物特征采集设备IO控制及通讯接口与数据安全存储设备连接,可以根据不同类型的生物特征插接不同类型的生物特征采集设备10;而在该实施例,把生物特征采集设备io设置在数据安全存储设备中,有
利于设备集成和设备维护。
以上内容仅为本发明的较佳实施例,对于本领域的普通技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,本说明书内容不应理解为对本发明的限制。
权利要求
1. 一种应用生物特征密钥的数据安全处理方法,其特征在于,包括A注册过程通过生物特征采集设备采集用户的第一生物特征;提取所述第一生物特征的第一生物特征模板;保存所述第一生物特征模板;B使用过程通过生物特征采集设备采集用户的第二生物特征;提取所述第二生物特征的第二生物特征模板;确定所述第一生物特征模板与所述第二生物特征模板相匹配后,允许设备访问并使用所述第一生物特征模板对设备数据进行加解密处理。
2. 根据权利要求1所述的数据安全处理方法,其特征在于,所述 对设备数据进行加解密处理具体为对流入设备的数据进行加密处 理,对流出设备的数据进行解密处理。
3. 根据权利要求1所述的数据安全处理方法,其特征在于 所述保存所述第一生物特征模板具体为对所述第一生物特征模板进行加密,保存加密后的第一生物特征模板;所述第一生物特征模板与所述第二生物特征模板相匹配之前,进 一步包括获取所述加密后的第一生物特征模板,并对其进行解密。
4. 根据权利要求1所述的数据安全处理方法,其特征在于,所述保存所述第一生物特征模板具体为将所述第一生物特征模板保存到 设备自身密钥存储区或移动存储设备。
5. 根据权利要求1至4任意一项所述的数据安全处理方法,其特 征在于,所述生物特征具体为指纹特征、掌纹特征、面部特征或虹膜 特征。
6. —种应用生物特征密钥的数据安全存储设备,其特征在于,包括第一生物特征获取单元,用于获取用户的第一生物特征; 第一生物特征模板提取单元,用于提取所述第一生物特征的第一生物特征模板;非统一密钥存储单元,用于保存所述第一生物特征模板; 第二生物特征获取单元,用于获取用户的第二生物特征; 第二生物特征模板提取单元,用于提取所述第二生物特征的第二生物特征模板;特征模板相匹配单元,用于确定所述第一生物特征模板与所述第 二生物特征模板相匹配后,发出模板匹配信息;存储数据加解密单元,用于接收到所述模板匹配信息后,允许设 备访问并使用第一生物特征模板对设备数据进行加解密处理。
7. 根据权利要求6所述的数据安全存储设备,其特征在于,所述 存储数据加解密单元包括存储数据加密单元,用于对流入设备的数据进行加密处理;存储数据解密单元,用于对流出设备的数据进行解密处理。
8. 根据权利要求6所述的数据安全存储设备,其特征在于,进一 步包括特征模板加密单元,用于对所述第一生物特征模板进行加密,并 向所述非统一密钥存储单元保存加密后的第一生物特征模板;特征模板解密单元,用于从所述非统一密钥存储单元获取所述加 密后的第一生物特征模板,并对其进行解密。
9. 根据权利要求6所述的数据安全存储设备,其特征在于 所述非统一密钥存储单元具体为设备自身密钥存储区或移动存储设备;所述生物特征具体为指纹特征、掌纹特征、面部特征或虹膜特征。
10. 根据权利要求6至9任意一项所述的数据安全存储设备,其 特征在于,进一步包括生物特征采集设备,用于采集用户的生物特征;其中,所述第一生物特征获取单元获取用户的第一生物特征为, 通过所述生物特征采集设备获取用户的第一生物特征;所述第二生物 特征获取单元获取用户的第二生物特征为,通过所述生物特征采集设 备获取用户的第二生物特征。
全文摘要
本发明公开了一种应用生物特征密钥的数据安全处理方法和数据安全存储设备,涉及数据安全技术领域。数据安全处理方法包括,注册过程,通过生物特征采集设备采集用户的第一生物特征;提取第一生物特征的第一生物特征模板;保存第一生物特征模板;使用过程,通过生物特征采集设备采集用户的第二生物特征;提取第二生物特征的第二生物特征模板;确定第一生物特征模板与第二生物特征模板相匹配后,允许设备访问并使用第一生物特征模板对设备数据进行加解密处理。本技术方案使用从生物特征中提取的生物特征模板实现设备的访问控制和数据加解密,从而提高设备数据的安全。
文档编号G06F21/00GK101458750SQ20081021927
公开日2009年6月17日 申请日期2008年11月21日 优先权日2008年11月21日
发明者凯 倪, 崔铭常, 松 张, 张海光, 林喜荣, 林家用, 毛乐山, 王怀涛, 程雪岷, 马建设 申请人:东莞市智盾电子技术有限公司;清华大学深圳研究生院