專利名稱:一種數(shù)據(jù)加密存儲的方法
技術領域:
本發(fā)明涉及電子數(shù)據(jù)存儲技術����,尤其是涉及一種應用于電子數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)加密存儲方法。
背景技術:
隨著信息技術的發(fā)展�����,包括計算機����、服務器等在內的各種電子數(shù)據(jù)處理系統(tǒng)的應用日益廣泛,人們日常接觸和處理的數(shù)據(jù)越來越多����。與此同時���,數(shù)據(jù)的安全性問題也逐漸成為人們所關注的一個課題。
現(xiàn)有技術中�����,存在多種對數(shù)據(jù)進行加密后存儲的方法���。例如,由用戶采用個人選用的數(shù)字��、文字�、字母或其他符號或者其組合等作為密碼,用于對文件進行保護���,當用戶需要打開文件時�����,需要向系統(tǒng)提交密碼進行身份驗證�����,驗證通過�,則允許用戶打開文件,否則禁止用戶對文件的操作����。但是,該現(xiàn)有技術的缺陷在于����,該作為身份驗證的密碼容易遺忘,易用性有待提高��。
為此�����,現(xiàn)有技術中存在一些采用特殊的硬件來進行身份驗證的技術方案����,所述硬件可以是U盤、ID卡等�����。但是���,該現(xiàn)有技術也存在缺陷�,即相應的身份驗證硬件容易丟失,且使用硬件作為身份驗證物的用戶必須隨身攜帶該硬件����,較為麻煩,易用性不高�。
并且,上述這兩種方式存在一個共同的缺陷�����,那就是由于數(shù)據(jù)存放在普通的存儲空間�����,一旦系統(tǒng)崩潰后�,將有可能無法恢復數(shù)據(jù)文件����,從而給用戶帶來不可彌補的損失。
有鑒于此�,需要研發(fā)出一種新型的數(shù)據(jù)加密存儲的方法。
發(fā)明內容
針對現(xiàn)有技術的不足��,本發(fā)明解決的技術問題在于提供一種數(shù)據(jù)加密存儲的方法����,其易用性較高����,而且在系統(tǒng)崩潰后仍能找到加密存儲后的數(shù)據(jù)�����。
為此�,本發(fā)明提供的數(shù)據(jù)加密存儲的方法,包括步驟1)接收用戶創(chuàng)建數(shù)據(jù)存儲保險箱的請求�;2)基于該用戶的生物特征信息生成用戶身份驗證信息;
3)在存儲單元創(chuàng)建HPA���,作為創(chuàng)建數(shù)據(jù)存儲保險箱的空間���;在保險箱中以加密方式保存用戶的身份驗證信息;4)接收用戶訪問保險箱的請求���;5)采集用戶的生物特征信息進行身份驗證���;如果驗證通過,則進入步驟6)����;否則��,進入步驟7)����;6)接收用戶對保險箱以及對保險箱內存儲的數(shù)據(jù)的操作信息�,進行相應的處理;7)拒絕用戶對保險箱的訪問���。
優(yōu)選地����,所述步驟2)中生成用戶身份驗證信息時采用第一單向加密算法進行����。
優(yōu)選地�����,所述步驟3)進一步包括基于用戶的生物特征信息��,采用不同于第一單向加密算法的第二單向加密算法�����,生成對所存儲的數(shù)據(jù)進行加密、解密的密鑰�。
優(yōu)選地,所述步驟2)采用的生物特征信息不同于步驟5)所采用的生物特征信息����。
優(yōu)選地,所述生物特征信息是人像特征信息或者指紋信息����。
優(yōu)選地,在步驟2)和步驟3)之間還包括接收用戶設置的備份訪問密碼�����;在所述步驟3)中還包括在保險箱中存儲該備份訪問密碼����;在所述步驟5)和步驟7)之間還包括驗證備份訪問密碼;如果不通過��,則進入步驟7)��;如果通過,則進入步驟6)��。
優(yōu)選地���,在所述步驟2)之前檢測是否存在當前系統(tǒng)用戶賬戶對應的保險箱�;如果否����,則進入步驟2);如果是�,則進行認領保險箱的步驟。
優(yōu)選地�,所述認領保險箱包括81)采集用戶的生物特征信息進行身份驗證;如果驗證通過�����,則進入步驟83)���;否則���,進入步驟82)��;82)驗證備份訪問密碼;如果通過����,則進入步驟83);如果否����,則進入步驟84);83)認領成功��,建立保險箱和該系統(tǒng)用戶賬戶的關聯(lián)����;84)認領失敗。
優(yōu)選地�,還包括接收用戶刪除保險箱的指令,刪除該用戶賬戶對應的指定保險箱��。
優(yōu)選地��,在所述步驟4)和步驟5)之間還包括檢測是否存在當前系統(tǒng)用戶賬戶對應的保險箱���;如果是�����,則進入步驟5)��;如果否����,則創(chuàng)建新的保險箱。
相對于現(xiàn)有技術����,本發(fā)明的有益效果是由于本發(fā)明基于用戶的生物特征信息生成用戶訪問保險箱的身份驗證信息,因此可以解決現(xiàn)有技術中用于身份驗證的密碼容易遺忘或是相應的身份驗證硬件容易丟失�����、易用性不高等缺陷���。并且將數(shù)據(jù)存儲在HPA空間中�����,使得在系統(tǒng)崩潰后可以恢復存儲的數(shù)據(jù)文件����。同時���,利用生物特征信息作為數(shù)據(jù)加/解的密鑰的生成源��,使得密鑰的唯一性得到了提高��。
在本發(fā)明的優(yōu)選方案中���,基于生物特征的加/解密是通過單向加密算法對特征進行運算后得到的,兩個加密算法能夠得到兩個數(shù)據(jù)信息�,其中一個是用戶驗證身份,稱之為身份驗證信息�;可以保存到HPA里,即便在使用過程中被破譯����,也因為其使用的是單向加密算法而無法得到原始特征信息。另一個是用以加密數(shù)據(jù)����,稱之為加密密鑰,因為不會用于驗證��,因此很難破解����。同時由于原始特征信息是不會被獲取到的���,因此就能保證數(shù)據(jù)的安全。
此外���,在優(yōu)選方案中��,采用兩種不同的生物特征信息來分別生成身份驗證信息和加密密鑰�����,可使安全性得到進一步的提高���。
圖1是本發(fā)明的數(shù)據(jù)加密存儲方法的流程圖;圖2是本發(fā)明的數(shù)據(jù)加密存儲方法的一個實施例中創(chuàng)建和認領保險箱的流程圖�;圖3是本發(fā)明的數(shù)據(jù)加密存儲方法的一個實施例中打開保險箱的流程圖;圖4是本發(fā)明的數(shù)據(jù)加密存儲方法的實施例中基于人像信息進行加密的示意圖����;圖5是本發(fā)明的數(shù)據(jù)加密存儲方法的實施例中基于人像信息進行加密的另一示意圖。
具體實施例方式
請參閱圖1���,是本發(fā)明的數(shù)據(jù)加密存儲方法的流程圖��。
步驟S110�,獲取用戶的生物特征信息。
步驟S120���,接收用戶創(chuàng)建數(shù)據(jù)存儲保險箱的請求���。
步驟S130�����,基于前述生物特征信息生成用戶身份驗證信息�。
步驟S140,在存儲單元創(chuàng)建HPA���,作為創(chuàng)建存儲數(shù)據(jù)保險箱的空間�����。
其中�����,在硬盤上創(chuàng)建所述HPA(Host Protected Area����,硬盤主機保護區(qū)域),HPA是一個公開的標準����。
步驟S150,接收用戶訪問保險箱的請求��,采集用戶的生物特征信息進行身份驗證����;如果驗證通過,則進入步驟S160��;否則����,進入步驟S170,拒絕用戶對保險箱的訪問����。
步驟S160,接收用戶對保險箱以及對保險箱內存儲的數(shù)據(jù)的操作信息�����,進行相應的處理�,包括對數(shù)據(jù)的加密�����、解密和/或存取操作���。
本領域的技術人員可以理解,所述步驟S160中對保險箱的操作類似于對一般的文件夾的操作��,例如��,用戶可以將文將復制到里面���,也可以直接打開文件進行編輯。
需要說明的是��,保險箱中的數(shù)據(jù)是經(jīng)過加密后存儲的��,加密的密鑰是通過用戶的生物特征信息經(jīng)過轉換得來���。其中����,可以通過對同一種生物特征信息采用兩種不同的加密算法得到兩個數(shù)據(jù)信息���,一個作為身份驗證信息�����,一個作為數(shù)據(jù)加密密鑰��。當然����,也可以運用兩種不同的生物特征信息提取技術,取得兩種不同的生物特征信息��,從而分別用于生成身份驗證信息和數(shù)據(jù)加密密鑰���。
此外����,由于存儲數(shù)據(jù)的保險箱是HPA空間�����,因此在系統(tǒng)崩潰后���,保險箱和其內的數(shù)據(jù)均不會丟失��。但是此時需要用戶重新進行認領(步驟S180)�����。當然���,也允許用戶刪除該保險箱(步驟S190)����,并轉入步驟S130�����,以創(chuàng)建新的保險箱�����。
為了便于對本發(fā)明的理解�����,下面結合實施例對本發(fā)明進行詳細的說明��。
請參閱圖2�,是本發(fā)明的數(shù)據(jù)加密存儲方法的一個實施例中創(chuàng)建和認領保險箱的流程圖。
步驟S211��,接收用戶創(chuàng)建保險箱的請求���。
步驟S212�,檢測是否存在對應當前系統(tǒng)用戶賬戶的保險箱��。如果是�,則進入步驟S221或步驟S331;如果否��,則進入步驟S213��。
其中���,所述系統(tǒng)用戶賬戶是指數(shù)據(jù)處理系統(tǒng)的操作系統(tǒng)的用戶賬戶����,例如Windows賬戶���。
步驟S213����,獲取用戶的生物特征信息。
本實施例中���,使用人像識別算法創(chuàng)建合法用戶的人像模版樣本�,也就是說���,所述生物特征信息是指用戶的人像特征信息��。當然����,所述生物特征信息也可以是用戶的指紋等具有唯一性的信息���。
所述人像特征信息在此前的步驟S201中采集����,并通過步驟S202存儲生成數(shù)據(jù)信息�,存儲在系統(tǒng)的數(shù)據(jù)庫中��。
所述人像特征信息可以采用多種現(xiàn)有技術運算得到��,例如可以采用現(xiàn)有技術中的Neurotechnologija公司的Verilook人像識別算法。
步驟S214����,接收用戶設置的備份訪問密碼。
在用戶第一次使用本發(fā)明所述功能時����,需要用戶設置一個備份訪問密碼。
步驟S215����,接收用戶設置保險箱大小的信息。
當用戶設置好備份訪問密碼之后����,用戶還需要設定保險箱的大小,比如說50MB���。如果用戶未設置��,則采用默認的空間大小�。
步驟S216�,創(chuàng)建HPA空間,作為存儲數(shù)據(jù)的保險箱���。同時在保險箱中以加密的形式保存當前的系統(tǒng)用戶賬戶信息��、生物特征那個信息��、備份密碼�。
HPA空間的創(chuàng)建的過程采用現(xiàn)有技術,向硬盤發(fā)送設置最大地址指令SetMax Address即可���。該命令用于設置硬盤可用的最大地址���,此最大地址小于硬盤實際物理最大地址(Native Max)。硬盤可用的最大地址設置成功后����,大于最大地址小于硬盤實際物理最大地址的硬盤空間成為HPA,即保護空間����。該空間無法被任何軟件包括OS和BIOS所訪問。從而保證保護分區(qū)被加鎖后�,實現(xiàn)了數(shù)據(jù)存儲的安全性。而設置后最大地址以下硬盤空間為用戶可用空間�����,可以被正常的軟件所訪問���,并表現(xiàn)出該最大地址即為當前的硬盤的大小��。
當上述步驟都完成后�����,用戶就可以開始使用該系統(tǒng)的保險箱功能了���。
此外,當用戶系統(tǒng)崩潰����,重新安裝之后,其保險箱是不會丟失的��,但是用戶需要重新認領一遍其保險箱��,認領之前首先需要用戶確認的是上一次Windows用戶賬戶信息(步驟S212)�。
步驟S221,接收用戶認領保險箱的請求�����。
步驟S222,當用戶選擇好所用賬戶信息后�����,系統(tǒng)會要求核對相應賬戶信息中的人像信息����,核對不通過,則進入步驟S223�����;如果通過�����,則進入步驟S224�����。
步驟S223�����,要求輸入備份訪問密碼用以驗證身份,如果匹配����,則進入步驟S224�����,將該保險箱與當前用戶關聯(lián)����;如果不匹配,則拒絕關聯(lián)�����,并予以用戶一個可刪除該保險箱的權力��。
步驟S224�,將該保險箱與當前用戶關聯(lián)。
步驟S231��,用戶可以根據(jù)實際情況或自身需求�����,刪除該保險箱��。
請參閱圖3,是本發(fā)明的數(shù)據(jù)加密存儲方法的一個實施例中打開保險箱的流程圖��。
步驟S311�,接收用戶打開保險箱的請求。
步驟S312���,驗證HPA內是否存在當前系統(tǒng)用戶賬戶對應的保險箱�����。如果存在���,則進入步驟S313;如果不存在����,則放棄對保險箱功能的使用或者進入步驟S321,創(chuàng)建新的保險箱���。
步驟S313�,驗證用戶的人像特征信息����。
當用戶需要打開保險箱時���,系統(tǒng)會提取存儲在保險箱內的人像信息,驗證用戶的人像信息�,如果通過,則進入步驟S314���;如果不通過,則進入步驟S315���。
步驟S314��,成功打開保險箱���,允許用戶進行各種操作。
打開保險箱���,即希望訪問到保護空間HPA時����,需要重新利用Set MaxAddress指令�,將硬盤可用的最大地址設置到硬盤實際物理最大地址才可以訪問。
打開保險箱后,操作保險箱的方式與操作文件夾的方式一樣�,用戶可以將文將復制到里面,也可以直接打開文件進行編輯����。
對保險箱及其存儲的數(shù)據(jù)操作完畢后,執(zhí)行關閉HPA操作��,大多數(shù)硬盤在重新加電后自動關閉HPA�。
步驟S315,要求用戶輸入備份訪問密碼��,從保險箱提取用戶設置的備份訪問密碼�,用以驗證用戶身份。如果匹配���,則進入步驟S314��,打開保險箱��;如果不匹配�����,則進入步驟S316或者步驟S317����。
步驟S316,拒絕用戶訪問�。
步驟S317,刪除保險箱��。
請參閱圖4��,是本發(fā)明的數(shù)據(jù)加密存儲方法的實施例中基于人像信息進行加密的示意圖�����。
其中�,基于人像的加/解密是通過單向加密算法對人像特征進行運算后得到的��,兩個加密算法能夠得到兩個數(shù)據(jù)信息��,其中一個是用戶驗證身份�����,稱之為人像特征信息���;可以保存到HPA里�����,即便在使用過程中被破譯����,也因為其使用的是單向加密算法而無法得到原始人像特征信息。另一個是用以加密數(shù)據(jù)���,稱之為人像加密密鑰��,因為不會用于驗證�,因此很難破解���。同時由于原始人像特征信息是不會被獲取到的��,因此就能保證數(shù)據(jù)的安全��。
所述的單向加密算法可以采用現(xiàn)有技術�����。例如�,可以采用MD5(MessageDigest Algorithm 5)�����,這是RSA數(shù)據(jù)安全公司開發(fā)的一種單向散列算法,MD5被廣泛使用�����,可以用來將不同長度的數(shù)據(jù)塊進行暗碼運算成一個128位的數(shù)值����。也可以采用SHA(Secure Hash Algorithm),這是一種較新的散列算法����,可以對任意長度的數(shù)據(jù)運算生成一個160位的數(shù)值。
請參閱圖5��,是本發(fā)明的數(shù)據(jù)加密存儲方法的實施例中基于人像信息進行加密的另一示意圖���。
本領域的技術人員可以理解,如果實施本方法時�����,人像采集的硬件設備具有兩種以上的功能���,那么通過人像識別算法的運算后�,可以得到兩個或兩個以上的人像特征信息,這樣���,就可以使用這兩個或兩個以上的人像特征信息分別用于不同的需求����。
例如�,可以通過附帶紅外鏡頭的設備采集一組人像信息,通過算法計算后得到人像特征信息A���,我們可以將其應用于身份識別��;當紅外鏡頭被換成普通鏡頭后����,則能夠采集到另一組人像信息���,那么通過計算后又能得到不同的人像特征信息B���,我們可以將其應用于加密密鑰的生成。反之��,亦可。這樣�����,其安全性就能達到更高的水準����。
綜上所述,本發(fā)明涉及了一種數(shù)據(jù)保密存儲技術���,尤其是涉及一種通過人像識別身份驗證訪問存儲于HPA空間的內的通過人像識別加密的文件的方法技術��。由于目前的人像識別技術具有較好的準確度���、易用性,同時硬盤HPA技術也越來越成熟����,使得本發(fā)明所述的方法可以得到實現(xiàn)及應用���。
總之���,本發(fā)明使用人像識別技術作為驗證用戶身份的方法���,使用人像特征信息作為密鑰生成的信息源,同時使用HPA空間作為數(shù)據(jù)文件的保存區(qū)域��,具有較好的易用性����,人像特征信息產(chǎn)生的密鑰又能使得唯一性得到加強,安全性得以提高�,同時由于使用了HPA作為存儲空間,能夠使用戶在系統(tǒng)崩潰后還能找到保密數(shù)據(jù)文件����。
以上所述僅是本發(fā)明的優(yōu)選實施方式,應當指出��,對于本技術領域的普通技術人員來說���,在不脫離本發(fā)明原理的前提下�����,還可以做出若干改進和潤飾�,這些改進和潤飾也應視為本發(fā)明的保護范圍。
權利要求
1.一種數(shù)據(jù)加密存儲的方法����,其特征在于,包括步驟1)接收用戶創(chuàng)建數(shù)據(jù)存儲保險箱的請求����;2)基于該用戶的生物特征信息生成用戶身份驗證信息;3)在存儲單元創(chuàng)建HPA���,作為創(chuàng)建數(shù)據(jù)存儲保險箱的空間�����;在保險箱中以加密方式保存用戶的身份驗證信息�;4)接收用戶訪問保險箱的請求�����;5)采集用戶的生物特征信息進行身份驗證�����;如果驗證通過�����,則進入步驟6)����;否則,進入步驟7)����;6)接收用戶對保險箱以及對保險箱內存儲的數(shù)據(jù)的操作信息,進行相應的處理��;7)拒絕用戶對保險箱的訪問�。
2.根據(jù)權利要求1所述的數(shù)據(jù)加密存儲的方法,其特征在于���,所述步驟2)中生成用戶身份驗證信息時采用第一單向加密算法進行���。
3.根據(jù)權利要求2所述的數(shù)據(jù)加密存儲的方法,其特征在于����,所述步驟3)進一步包括基于用戶的生物特征信息,采用不同于第一單向加密算法的第二單向加密算法����,生成對所存儲的數(shù)據(jù)進行加密����、解密的密鑰�。
4.根據(jù)權利要求1至3任一項所述的數(shù)據(jù)加密存儲的方法,其特征在于�,所述步驟2)采用的生物特征信息不同于步驟5)所采用的生物特征信息。
5.根據(jù)權利要求4所述的數(shù)據(jù)加密存儲的方法��,其特征在于��,所述生物特征信息是人像特征信息或者指紋信息��。
6.根據(jù)權利要求4所述的數(shù)據(jù)加密存儲的方法��,其特征在于�,在步驟2)和步驟3)之間還包括接收用戶設置的備份訪問密碼;在所述步驟3)中還包括在保險箱中存儲該備份訪問密碼�;在所述步驟5)和步驟7)之間還包括驗證備份訪問密碼;如果不通過���,則進入步驟7)����;如果通過,則進入步驟6)�����。
7.根據(jù)權利要求6所述的數(shù)據(jù)加密存儲的方法��,其特征在于���,還包括在所述步驟2)之前檢測是否存在當前系統(tǒng)用戶賬戶對應的保險箱;如果否�����,則進入步驟2)��;如果是���,則進行認領保險箱的步驟���。
8.根據(jù)權利要求7所述的數(shù)據(jù)加密存儲的方法,其特征在于�,所述認領保險箱包括81)采集用戶的生物特征信息進行身份驗證;如果驗證通過���,則進入步驟83)�;否則,進入步驟82)���;82)驗證備份訪問密碼�����;如果通過����,則進入步驟83)�;如果否,則進入步驟84)�����;83)認領成功�����,建立保險箱和該系統(tǒng)用戶賬戶的關聯(lián)�����;84)認領失敗。
9.根據(jù)權利要求8所述的數(shù)據(jù)加密存儲的方法��,其特征在于����,還包括接收用戶刪除保險箱的指令,刪除該用戶賬戶對應的指定保險箱����。
10.根據(jù)權利要求4所述的數(shù)據(jù)加密存儲的方法�����,其特征在于�����,在所述步驟4)和步驟5)之間還包括檢測是否存在當前系統(tǒng)用戶賬戶對應的保險箱����;如果是,則進入步驟5)�;如果否,則創(chuàng)建新的保險箱�����。
全文摘要
本發(fā)明公開一種數(shù)據(jù)加密存儲的方法,包括步驟1)接收用戶創(chuàng)建數(shù)據(jù)存儲保險箱的請求���;2)基于該用戶的生物特征信息生成用戶身份驗證信息�;3)在存儲單元創(chuàng)建HPA��,作為創(chuàng)建數(shù)據(jù)存儲保險箱的空間���;在保險箱中以加密方式保存用戶的身份驗證信息�����;4)接收用戶訪問保險箱的請求����;5)采集用戶的生物特征信息進行身份驗證�;驗證通過,則進入步驟6)�;否則,進入步驟7)��;6)接收并處理用戶對保險箱以及對保險箱內存儲的數(shù)據(jù)的操作信息�;7)拒絕用戶對保險箱的訪問��。本發(fā)明基于生物特征信息生成訪問保險箱的身份驗證信息����,可以解決身份驗證密碼容易遺忘或是身份驗證硬件容易丟失�����、易用性不高等缺陷�����,并且在系統(tǒng)崩潰后可以恢復存儲的數(shù)據(jù)文件�����。
文檔編號G06F12/14GK1940803SQ200510107419
公開日2007年4月4日 申請日期2005年9月30日 優(yōu)先權日2005年9月30日
發(fā)明者孟智明 申請人:聯(lián)想(北京)有限公司