專利名稱：數(shù)據(jù)安全處理方法和數(shù)據(jù)安全存儲設(shè)備的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及數(shù)據(jù)安全技術(shù)領(lǐng)域，尤其涉及一種應(yīng)用生物特征密鑰 的數(shù)據(jù)安全處理方法和數(shù)據(jù)安全存儲設(shè)備。
背景技術(shù)：
生物特征具有獨特性、永久性和防偽性等特征，并且為隨身攜帶，
在身份驗證場合可以代替?zhèn)骼m(xù)密碼和ID卡，以獲得更高的安全性和 更好的使用體驗。利用生物特征對數(shù)據(jù)安全存儲設(shè)備的訪問控制通道 進行加密，可以提高數(shù)據(jù)安全存儲設(shè)備對非法入侵的抵御能力。
在現(xiàn)有技術(shù)中，數(shù)據(jù)安全存儲設(shè)備對訪問用戶的生物特征進行 匹配，如果該生物特征與之前合法注冊的生物特征匹配，打開通信通 道，否則關(guān)閉通信通道，現(xiàn)有技術(shù)通過生物特征實現(xiàn)安全的訪問控制。 但是，由于數(shù)據(jù)安全存儲設(shè)備里面的數(shù)據(jù)仍以明文的形式存在，非法 用戶可以通過通信欺騙方式來繞過訪問控制，或者通過暴力，式拆出 數(shù)據(jù)安全存儲設(shè)備里面的存儲器，然后讀取該數(shù)據(jù)安全存儲設(shè)備保存 的數(shù)據(jù)，現(xiàn)有技術(shù)的設(shè)備數(shù)據(jù)存在一定的安全隱患。

發(fā)明內(nèi)容
本發(fā)明提供一種應(yīng)用生物特征密鑰的數(shù)據(jù)安全處理方法和數(shù)據(jù) 安全存儲設(shè)備，其使用從生物特征中提取的生物特征模板實現(xiàn)訪問控 制和設(shè)備數(shù)據(jù)加解密處理，從而提高設(shè)備數(shù)據(jù)的安全。一種應(yīng)用生物特征密鑰的數(shù)據(jù)安全處理方法，包括A注冊過程， 通過生物特征采集設(shè)備采集用戶的第一生物特征；提取第一生物特征 的第一生物特征模板；保存第一生物特征模板；B使用過程，通過生 物特征采集設(shè)備采集用戶的第二生物特征；提取第二生物特征的第二 生物特征模板；確定第一生物特征模板與第二生物特征模板相匹配 后，允許設(shè)備訪問并使用第一生物特征模板對設(shè)備數(shù)據(jù)進行加解密處 理。
其中，對設(shè)備數(shù)據(jù)進行加解密處理具體為對流入設(shè)備的數(shù)據(jù)進 行加密處理，對流出設(shè)備的數(shù)據(jù)進行解密處理。
其中，保存第一生物特征模板具體為對第一生物特征模板進行 加密，保存加密后的第一生物特征模板；第一生物特征模板與第二生 物特征模板相匹配之前，進一步包括獲取加密后的第一生物特征模 板，并對其進行解密。
其中，保存第一生物特征模板具體為將第一生物特征模板保存 到設(shè)備自身密鑰存儲區(qū)或移動存儲設(shè)備。
其中；生物特征具體為指紋特征、掌紋特征、面^特征或虹膜特征。
一種應(yīng)用生物特征密鑰的數(shù)據(jù)安全存儲設(shè)備，包括第一生物特 征獲取單元，用于獲取用戶的第一生物特征；第一生物特征模板提取 單元，用于提取第一生物特征的第一生物特征模板；非統(tǒng)一密鑰存儲 單元，用于保存第一生物特征模板；第二生物特征獲取單元，用于獲 取用戶的第二生物特征；第二生物特征模板提取單元，用于提取第二生物特征的第二生物特征模板；特征模板相匹配單元，用于確定第一 生物特征模板與第二生物特征模板相匹配后，發(fā)出模板匹配信息；存 儲數(shù)據(jù)加解密單元，用于接收到模板匹配信息后，允許設(shè)備訪問并使 用第一生物特征模板對設(shè)備數(shù)據(jù)進行加解密處理。
其中，存儲數(shù)據(jù)加解密單元包括存儲數(shù)據(jù)加密單元，用于對流 入設(shè)備的數(shù)據(jù)進行加密處理；存儲數(shù)據(jù)解密單元，用于對流出設(shè)備的 數(shù)據(jù)進行解密處理。
其中，進一步包括特征模板加密單元，用于對第一生物特征模
板進行加密，并向非統(tǒng)一密鑰存儲單元保存加密后的第一生物特征模
板；特征模板解密單元，用于從非統(tǒng)一密鑰存儲單元獲取加密后的第 一生物特征模板，并對其進行解密。
其中，非統(tǒng)一密鑰存儲單元具體為設(shè)備自身密鑰存儲區(qū)或移動存 儲設(shè)備；生物特征具體為指紋特征、掌紋特征、面部特征或虹膜特征。
其中，進一步包括生物特征采集設(shè)備，用于采集用戶的生物特征； 其中，第一生物特征獲取單元獲取用戶的第一生物特征為，通過生物 特癥采集設(shè)備獲取用戶的第一生物特征；第二生揚特征獲取單元獲取 用戶的第二生物特征為，通過生物特征采集設(shè)備獲取用戶的第二生物 特征。
從以上技術(shù)方案可以看出，在本發(fā)明中，數(shù)據(jù)安全處理方法包括， 注冊過程，通過生物特征采集設(shè)備采集用戶的第一生物特征；提取第 一生物特征的第一生物特征模板；保存第一生物特征模板；使用過程， 通過生物特征采集設(shè)備采集用戶的第二生物特征；提取第二生物特征的第二生物特征模板；確定第一生物特征模板與第二生物特征模板相
匹配后，允許設(shè)備訪問并使用m—生物特征模板對設(shè)備數(shù)據(jù)進行加解 密處理。本技術(shù)方案不僅使用生物特征模板實現(xiàn)數(shù)據(jù)安全存儲設(shè)備的 安全訪問控制，而且使用生物特征模板對設(shè)備數(shù)據(jù)進行加解密處理， 使保存在設(shè)備里面的數(shù)據(jù)處于加密狀態(tài)，通過生物特征模板實現(xiàn)雙重 保護，從而提高設(shè)備數(shù)據(jù)的安全。


圖1為本發(fā)明實施例的數(shù)據(jù)安全處理方法流程圖； 圖2為本發(fā)明實施例的數(shù)據(jù)安全存儲設(shè)備示意圖。
具體實施例方式
實施例一
參見附圖l，為本發(fā)明實施例的數(shù)據(jù)安全處理方法流程圖。本實 施例的數(shù)據(jù)安全處理方法，包括注冊過程和使用過程兩大部分；其中 注冊過程包括步驟101至步驟103，使用過程包括步驟104至步驟 108。
步驟IOI.數(shù)據(jù)安全存儲設(shè)備通過生物特征采集設(shè)備采集用戶的 第一生物特征。生物特征具體為指紋特征、掌紋特征、面部特征或虹 膜特征，除此之外，還可以為其它生物特征，比如為手血管紋理和 DNA等。
大部分的生物特征可以通過光學(xué)傳感器如CCD或CMOS形成 圖像信號，比如指紋、掌紋、面部等；但對于虹膜來說，需要紅外光 源才可以得到細節(jié)清晰的特征。本實施例通過與采集的生物特征相對應(yīng)的生物特征采集設(shè)備采集上述生物特征。各生物特征有自身的特 點，比如，指紋特征為基于手指表面的一連串脊、溝以及手指表面的'
細節(jié)特征點構(gòu)成的特征，其中細節(jié)特征點指的是脊的交叉點或端點； 面部特征為基于面部關(guān)鍵特征的空間幾何關(guān)系，通常以眼睛、鼻子、 下顎邊等之間的距離來度量；虹膜特征為基于虹膜所形成的圖案，即 眼球中的有色部分。
步驟102.提取第一生物特征的第一生物特征模板。采集生物特征 后，對其進行取樣，并轉(zhuǎn)換為數(shù)字代碼，由數(shù)字代碼組成生物特征模 板。比如使用Dr.Daugman的算法，在直徑llmm的虹膜上，用3.4 個字節(jié)的數(shù)據(jù)來代表每平方毫米的虹膜信息，這樣， 一個虹膜約有 266個量化特征點，然后將這些特征點轉(zhuǎn)換為數(shù)字代碼。根據(jù)特征提 取算法的不同，生物特征模板的長度也不同， 一般超過150字節(jié)，即 1200位，利用位數(shù)較高生物特征模板作為密鑰進行加解密處理，可 使暴力破解成本劇增。 -
步驟103.數(shù)據(jù)安全存儲設(shè)備對第一生物特征模板進行加密，保存 加密后的第一生物特征模板?？墒褂肕D5 (消息摘要算法5)等加密 算法對第一生物特征模板進行加密。可以將第一生物特征模板保存到 設(shè)備自身密鑰存儲區(qū)或移動存儲設(shè)備；移動存儲設(shè)備可為移動U盤、 存儲卡等；對于將第一生物特征模板保存到移動存儲設(shè)備的情況，用 戶在不使用數(shù)據(jù)安全存儲設(shè)備時，可以斷開移動存儲設(shè)備與數(shù)據(jù)安全 存儲設(shè)備的連接，并將移動存儲設(shè)備放置在安全的地方，從而提高使 用安全性。以上步驟完成了用戶在數(shù)據(jù)安全存儲設(shè)備的注冊過程，以下步驟 為用戶使用數(shù)據(jù)安全存儲設(shè)備，對設(shè)備保存的數(shù)據(jù)進行操作的使用過 程。
步驟104.數(shù)據(jù)安全存儲設(shè)備通過生物特征采集設(shè)備采集用戶的 第二生物特征。
步驟105.提取第二生物特征的第二生物特征模板。
步驟106.獲取上述加密后的第一生物特征模板，并對其進行解密。
步驟107.判斷第一生物特征模板與第二生物特征模板是否相匹 配，如果是，繼續(xù)步驟108，否則，退出設(shè)備數(shù)據(jù)處理。
每個用戶具有自身獨特的生物特征，如步驟101和步驟104對同 一個用戶進行采集，則第一生物特征模板與第二生物特征模板相匹 配，說明步驟104的用戶為注冊用戶，該用戶具有使用數(shù)據(jù)安全存儲 設(shè)備的權(quán)限，可以對設(shè)備數(shù)據(jù)進行操作。
步驟108.允許設(shè)備訪問并使用第一生物特征模板對設(shè)備數(shù)據(jù)進 行加解密處理。上述對設(shè)備數(shù)^據(jù)進行加解密處理具體為，對流入設(shè)備 的數(shù)據(jù)進行加密處理，對流出設(shè)備的數(shù)據(jù)進行解密處理。
如果第一生物特征模板或第二生物特征模板相匹配，說明它們的 內(nèi)容是相同的；使用第一生物特征模板或第二生物特征模板對數(shù)據(jù)進 行加解密，它們的效果相同。在本實施例中，先將生物特征模板初始 化存儲數(shù)據(jù)加解密單元，然后由存儲數(shù)據(jù)加解密單元對對流入設(shè)備的 數(shù)據(jù)進行加密處理，對流出設(shè)備的數(shù)據(jù)進行解密處理，使得保存在設(shè)備里面的數(shù)據(jù)處于加密狀態(tài)。，
由于生物特征模板提取及匹配、生物特征模板作為密鑰的加密存 儲及讀取解密、設(shè)備數(shù)據(jù)加解密等均在數(shù)據(jù)安全存儲設(shè)備內(nèi)部實現(xiàn)， 一般的通信欺騙將變得無效，敵手要破解該設(shè)備，需要付出芯片分析 或同等級別以上的代價。而在本實施例中，可將生物特征模板保存到 移動存儲設(shè)備，即生物特征模板脫機保管，設(shè)備內(nèi)使用該生物特征模 板加密的數(shù)據(jù)可以被認為是非常安全的。必要時，合法注冊用戶有權(quán) 更改或銷毀該密鑰，并使設(shè)備存儲的數(shù)據(jù)完全失效。
本技術(shù)方案不僅使用生物特征模板實現(xiàn)數(shù)據(jù)安全存儲設(shè)備的安 全訪問控制，而且使用生物特征模板對設(shè)備數(shù)據(jù)進行加解密處理，使 保存在設(shè)備里面的數(shù)據(jù)處于加密狀態(tài)，通過生物特征模板實現(xiàn)雙重保 護，從而提高設(shè)備數(shù)據(jù)的安全。
現(xiàn)有的對明文加密方式如下，在設(shè)備制作時，預(yù)先制訂一系列用 于數(shù)據(jù)加密的密鑰，并在用戶注冊時隨機選定其中一個。在用戶認證 通過后，設(shè)備從密鑰存儲區(qū)讀出注冊時選定的密鑰，并完成數(shù)據(jù)的加 解密處理。由于這些密鑰是預(yù)先設(shè)定的，因此可以通過竊取設(shè)備設(shè)計 資料獲得；由于這些密鑰是從固定的存儲區(qū)、密鑰池中選擇的，其數(shù) 量有限，因此可以通過存儲區(qū)數(shù)據(jù)分析和窮舉所有存儲區(qū)密鑰的方式 破解，進而獲取設(shè)備存儲數(shù)據(jù)的明文。而本技術(shù)方案中，直接以生物 特征模板作為數(shù)據(jù)的加解密密鑰，不在設(shè)備制作時預(yù)先制訂任何數(shù)據(jù) 加解密密鑰，而只在用戶注冊時產(chǎn)生屬于本用戶和設(shè)備的，獨特的(非 統(tǒng)一)數(shù)據(jù)加解密密鑰，以此使每個設(shè)備的加解密密鑰都是獨特的，防止通過竊取設(shè)備設(shè)計資料獲得密鑰，防止通過密鑰窮舉破解密鑰，從而挺高安全性。 '
作為本發(fā)明的另一個實施例，與上述實施例不同之處在于，在步
驟103中，直接保存沒有加密的第一生物特征模板，即不需要加密步驟；相應(yīng)的，步驟106中，獲取沒有加密的第一生物特征模板，即不需要解密步驟?？紤]到可以將第一生物特征模板保存在移動存儲設(shè)備，在不使用該第一生物特征模板時，可以斷開移動存儲設(shè)備與數(shù)據(jù)安全存儲設(shè)備的連接，并將移動存儲設(shè)備放置在安全的地^";故即使
不對存儲在移動存儲設(shè)備的第一生物特征模板進行加密，也不會對使用安全性造成太大的影響。實施例二
參見圖2，為本發(fā)明實施例的數(shù)據(jù)安全存儲設(shè)備示意圖。 一種應(yīng)用生物特征密鑰的數(shù)據(jù)安全存儲設(shè)備，包括第一生物特征獲取單元11，用于獲取用戶的第一生物特征；第一生物特征模板提取單元12，用于提取第一生物特征的第一生物特征模板；非統(tǒng)一密鑰存儲單元17，用于保存第^生物特征模板；第二生物特征獲取單元13%用于獲取用戶的第二生物特征；第二生物特征模板提取單元14，用于提取第二生物特征的第二生物特征模板；特征模板相匹配單元15，用于確定第一生物特征模板與第二生物特征模板相匹配后，發(fā)出模板匹配信息；存儲數(shù)據(jù)加解密單元19，用于接收到模板匹配信息后，允許設(shè)各訪問并使用第一生物特征模板對設(shè)備數(shù)據(jù)進行加解密處理。
本實施例中，數(shù)據(jù)安全存儲設(shè)備提供三個接口，分別為，生物特征采集設(shè)備IO控制及通訊接口、數(shù)據(jù)安全存儲設(shè)備存儲芯片(組)控制及通訊接口、數(shù)據(jù)安全存儲設(shè)備對外通訊接口。上述獲取用戶的第一生物特征和第二生物特征為從外接的生物特征采集設(shè)備io中獲取。
其中，存儲數(shù)據(jù)加解密單元19包括存儲數(shù)據(jù)加密單元，用于對流入設(shè)備的數(shù)據(jù)進行加密處理；存儲數(shù)據(jù)解密單元，用于對流出設(shè)
備的數(shù)據(jù)進行解密處理。
其中，進一步包括特征模板加密單元16，用于對第一生物特
征模板進行加密，并向非統(tǒng)一密鑰存儲單元17保存加密后的第一生物特征模板；特征模板解密單元18，用于從非統(tǒng)一密鑰存儲單元17獲取加密后的第一生物特征模板，并對其進行解密。
其中.，非統(tǒng)一密鑰存儲單元17具體為設(shè)備自身密鑰存儲區(qū)或移動存儲設(shè)備；生物特征具體為指紋特征、掌紋特征、面部特征或虹膜特征。
作為另一個優(yōu)選的實施例，數(shù)據(jù)安全存儲設(shè)備進一步包括生物特征采集設(shè)備10,其用于采集用戶的生物特征。第一生物特征獲取單元11獲取用戶的第一生物特征為，通過生物特征采集設(shè)備10獲取用戶的第一生物特征；第二生物特征獲取單元13獲取用戶的第二生物特征為，通過生物特征采集設(shè)備IO獲取用戶的第二生物特征。生物特征采集設(shè)備10可以為獨立于數(shù)據(jù)安全存儲設(shè)備的設(shè)備，通過生物特征采集設(shè)備IO控制及通訊接口與數(shù)據(jù)安全存儲設(shè)備連接，可以根據(jù)不同類型的生物特征插接不同類型的生物特征采集設(shè)備10;而在該實施例，把生物特征采集設(shè)備io設(shè)置在數(shù)據(jù)安全存儲設(shè)備中，有
利于設(shè)備集成和設(shè)備維護。
以上內(nèi)容僅為本發(fā)明的較佳實施例，對于本領(lǐng)域的普通技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實施方式
及應(yīng)用范圍上均會有改變之處，本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
權(quán)利要求
1. 一種應(yīng)用生物特征密鑰的數(shù)據(jù)安全處理方法，其特征在于，包括A注冊過程通過生物特征采集設(shè)備采集用戶的第一生物特征；提取所述第一生物特征的第一生物特征模板；保存所述第一生物特征模板；B使用過程通過生物特征采集設(shè)備采集用戶的第二生物特征；提取所述第二生物特征的第二生物特征模板；確定所述第一生物特征模板與所述第二生物特征模板相匹配后，允許設(shè)備訪問并使用所述第一生物特征模板對設(shè)備數(shù)據(jù)進行加解密處理。
2. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全處理方法，其特征在于，所述 對設(shè)備數(shù)據(jù)進行加解密處理具體為對流入設(shè)備的數(shù)據(jù)進行加密處 理，對流出設(shè)備的數(shù)據(jù)進行解密處理。
3. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全處理方法，其特征在于 所述保存所述第一生物特征模板具體為對所述第一生物特征模板進行加密，保存加密后的第一生物特征模板；所述第一生物特征模板與所述第二生物特征模板相匹配之前，進 一步包括獲取所述加密后的第一生物特征模板，并對其進行解密。
4. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全處理方法，其特征在于，所述保存所述第一生物特征模板具體為將所述第一生物特征模板保存到 設(shè)備自身密鑰存儲區(qū)或移動存儲設(shè)備。
5. 根據(jù)權(quán)利要求1至4任意一項所述的數(shù)據(jù)安全處理方法，其特 征在于，所述生物特征具體為指紋特征、掌紋特征、面部特征或虹膜 特征。
6. —種應(yīng)用生物特征密鑰的數(shù)據(jù)安全存儲設(shè)備，其特征在于，包括第一生物特征獲取單元，用于獲取用戶的第一生物特征； 第一生物特征模板提取單元，用于提取所述第一生物特征的第一生物特征模板；非統(tǒng)一密鑰存儲單元，用于保存所述第一生物特征模板； 第二生物特征獲取單元，用于獲取用戶的第二生物特征； 第二生物特征模板提取單元，用于提取所述第二生物特征的第二生物特征模板；特征模板相匹配單元，用于確定所述第一生物特征模板與所述第 二生物特征模板相匹配后，發(fā)出模板匹配信息；存儲數(shù)據(jù)加解密單元，用于接收到所述模板匹配信息后，允許設(shè) 備訪問并使用第一生物特征模板對設(shè)備數(shù)據(jù)進行加解密處理。
7. 根據(jù)權(quán)利要求6所述的數(shù)據(jù)安全存儲設(shè)備，其特征在于，所述 存儲數(shù)據(jù)加解密單元包括存儲數(shù)據(jù)加密單元，用于對流入設(shè)備的數(shù)據(jù)進行加密處理；存儲數(shù)據(jù)解密單元，用于對流出設(shè)備的數(shù)據(jù)進行解密處理。
8. 根據(jù)權(quán)利要求6所述的數(shù)據(jù)安全存儲設(shè)備，其特征在于，進一 步包括特征模板加密單元，用于對所述第一生物特征模板進行加密，并 向所述非統(tǒng)一密鑰存儲單元保存加密后的第一生物特征模板；特征模板解密單元，用于從所述非統(tǒng)一密鑰存儲單元獲取所述加 密后的第一生物特征模板，并對其進行解密。
9. 根據(jù)權(quán)利要求6所述的數(shù)據(jù)安全存儲設(shè)備，其特征在于 所述非統(tǒng)一密鑰存儲單元具體為設(shè)備自身密鑰存儲區(qū)或移動存儲設(shè)備；所述生物特征具體為指紋特征、掌紋特征、面部特征或虹膜特征。
10. 根據(jù)權(quán)利要求6至9任意一項所述的數(shù)據(jù)安全存儲設(shè)備，其 特征在于，進一步包括生物特征采集設(shè)備，用于采集用戶的生物特征；其中，所述第一生物特征獲取單元獲取用戶的第一生物特征為， 通過所述生物特征采集設(shè)備獲取用戶的第一生物特征；所述第二生物 特征獲取單元獲取用戶的第二生物特征為，通過所述生物特征采集設(shè) 備獲取用戶的第二生物特征。
全文摘要
本發(fā)明公開了一種應(yīng)用生物特征密鑰的數(shù)據(jù)安全處理方法和數(shù)據(jù)安全存儲設(shè)備，涉及數(shù)據(jù)安全技術(shù)領(lǐng)域。數(shù)據(jù)安全處理方法包括，注冊過程，通過生物特征采集設(shè)備采集用戶的第一生物特征；提取第一生物特征的第一生物特征模板；保存第一生物特征模板；使用過程，通過生物特征采集設(shè)備采集用戶的第二生物特征；提取第二生物特征的第二生物特征模板；確定第一生物特征模板與第二生物特征模板相匹配后，允許設(shè)備訪問并使用第一生物特征模板對設(shè)備數(shù)據(jù)進行加解密處理。本技術(shù)方案使用從生物特征中提取的生物特征模板實現(xiàn)設(shè)備的訪問控制和數(shù)據(jù)加解密，從而提高設(shè)備數(shù)據(jù)的安全。
文檔編號G06F21/00GK101458750SQ20081021927
公開日2009年6月17日 申請日期2008年11月21日 優(yōu)先權(quán)日2008年11月21日
發(fā)明者凱 倪, 崔銘常, 松 張, 張海光, 林喜榮, 林家用, 毛樂山, 王懷濤, 程雪岷, 馬建設(shè) 申請人:東莞市智盾電子技術(shù)有限公司;清華大學(xué)深圳研究生院