專利名稱:一種安全存儲裝置帳戶輸入及認證方法
技術領域:
本發明涉及安全移動存儲設備,具體涉及一種安全存儲裝置帳戶輸入及認證方法。
背景技術:
安全存儲裝置內部保存用于遠程認證的用戶私鑰和數字證書,其中常用的安全存儲裝置,如:鑰匙U盤(USB Key),是一種USB接口的硬件設備。USB Key內置單片機或智能卡芯片,有一定的存儲空間,可以存儲用戶的私鑰以及數字證書,利用USB Key內置的公鑰算法實現對用戶身份的認證。由于用戶私鑰保存在密碼鎖中,理論上使用任何方式都無法讀取,因此保證了用戶認證的安全性。但是,傳統的USB KEY只存儲一份用戶的私鑰以及數字證書、使用PIN碼來保護,網絡后臺服務器獲取用戶私鑰以及數字證書進行驗證,每個人對應一份用戶的私鑰以及數字證書,使用自己的個人識別密碼(PIN),在擁有USB KEY情況下可以通過猜測PIN碼假冒合法用戶的身份,因而無法多人使用,最多綁定同一個人的多個帳戶,這給多人使用(如:家庭)帶來諸多不便。另一方面,傳統的USB Key帳戶輸入只針對單人,根本無須、也不適合于用戶自己管理;同樣帳戶驗證也無法滿足多人需要。
發明內容
本發明需要解決的技術問題是,如何提供一種安全存儲裝置帳戶輸入及認證方法,能輸入多個帳戶給多個人使用,同時方便用戶自己管理并保證安全,進一步能防止他人拾取安全存儲裝置后進行假冒。本發明的技術問題這樣解決:構建一種安全存儲裝置帳戶輸入及認證方法,包括以下步驟:通過安全存儲裝置操作系統在內部建立用戶帳戶,記錄輸入的對應PIN碼和通過安全存儲裝置的指紋傳感器采集的對應用戶指紋;連接網絡后臺服務器,由安全存儲裝置內部安全芯片和操作系統將所述用戶帳戶及其對應PIN碼和對應用戶指紋的組合傳送并保存到網絡后臺服務器的數據庫中;認證時,網絡后臺服務器獲取經安全存儲裝置傳送的用戶帳戶、用戶輸入的PIN碼和通過安全存儲裝置的指紋傳感器采集的用戶指紋的組合,與網絡后臺服務器自身所述數據庫中的保存數據進行比對,一致則驗證通過,并利用所述用戶指紋作為密鑰讀取安全存儲裝置中的安全數據進行帳戶認證;不一致則驗證失敗、帳戶認證不通過直接結束。按照本發明提供的安全存儲裝置帳戶輸入及認證方法,還包括:通過安全存儲裝置操作系統在內部刪除用戶帳戶;連接網絡后臺服務器,由安全存儲裝置內部安全芯片和操作系統將被刪除的用戶帳戶傳送到網絡后臺服務器并在所述數據庫中刪除。按照本發明提供的安全存儲裝置帳戶輸入及認證方法,還包括刪除被刪除用戶帳戶對應的PIN碼和用戶指紋。按照本發明提供的安全存儲裝置帳戶輸入及認證方法,還包括:比較獲取用戶輸入的PIN碼和通過安全存儲裝置的指紋傳感器采集的用戶指紋與安全存儲裝置管理者帳戶對應的PIN碼和用戶指紋是否一致,一致則利用所述管理者帳戶對應的用戶指紋作為密鑰在安全存儲裝置內部建立或刪除用戶帳戶,并允許將所述用戶帳戶及其對應PIN碼和對應用戶指紋傳送并保存到網絡后臺服務器的數據庫中或者將被刪除的用戶帳戶傳送到網絡后臺服務器并在所述數據庫中刪除;不一致則不允許在安全存儲裝置內部建立或刪除用戶帳戶,并不允許將所述用戶帳戶及其對應PIN碼和對應用戶指紋傳送并保存到網絡后臺服務器的數據庫中或者將被刪除的用戶帳戶傳送到網絡后臺服務器并在所述數據庫中刪除。按照本發明提供的安全存儲裝置帳戶輸入及認證方法,所述安全存儲裝置管理者帳戶對應的PIN碼和用戶指紋信息同時保存在所述網絡后臺服務器的數據庫和安全存儲裝置內部安全芯片的片內存儲區中。按照本發明提供的安全存儲裝置帳戶輸入及認證方法,所述比較獲取用戶輸入的PIN碼和通過安全存儲裝置的指紋傳感器采集的用戶指紋信息與安全存儲裝置管理者帳戶對應的PIN碼和用戶指紋信息是否一致的步驟是按PIN碼在先、用戶指紋在后的順序逐一進行比較,全部相同則一致,否則是不一致。按照本發明提供的安全存儲裝置帳戶輸入及認證方法,所述比對是按PIN碼在先、用戶指紋信息在后的順序逐一進行比對,全部相同則一致,否則是不一致。按照本發明提供的安全存儲裝置帳戶輸入及認證方法,還包括通過安全存儲裝置操作系統中指紋算法處理模塊對采集到的用戶指紋進行圖像識別和處理。按照本發明提供的安全存儲裝置帳戶輸入及認證方法,所述安全存儲裝置包括但不限制于是USB KEY、安全硬盤等安全移動存儲設備。本發明提供的安全存儲裝置帳戶輸入及認證方法,通過安全存儲裝置和網絡后臺服務器的交互程序,結合安全芯片、安全存儲裝置內部操作系統、指紋認證、管理員權限和后臺管理,實現多用戶和多帳戶的安全輸入,方便多個人使用和用戶自主管理,并保證了安全性,同時也使他人拾取安全存儲裝置后更難進行假冒,進一步提升安全存儲裝置的安全。
下面結合附圖和具體實施例進一步對本發明進行詳細說明:圖1是本發明具體實施例USB Key裝置系統結構示意圖;圖2是圖1所示裝置管控程序的流程示意圖;圖3是圖2對應的狀態示意圖。
具體實施例方式下面結合附圖和具體實施方式
對本發明作進一步說明。首先,說明本發明具體實施例裝置的硬件基礎:圖1為本發明基于國密算法的高速指紋KEY盤的邏輯結構示意圖。如圖1所示,該指紋KEY盤包括:型號“SSX45”的安全芯片I (SSX45安全芯片),閃存(NANDFLASH)存儲芯片2,指紋傳感器3和外圍芯片組4四個部分組成。SSX45安全芯片I作為主控芯片分別和NANDFLASH存儲芯片2、指紋傳感器3及外圍芯片組4相連,控制整個Key盤的工作。SSX45安全芯片通過USB總線與PC機相連。基于國產密碼算法的高速指紋KEY盤的核心組件為SSX45安全芯片,該芯片采用32位CPU核,內置高性能的協處理器,具有快速處理能力,程序和數據存儲區為512K字節。其結構如下:安全芯片是該設備的核心部件,它主要完成芯片端程序的存儲,MCU的調度與協調,內部硬件IP核的運算等用途。NANDFLASH存儲芯片2用于存儲大容量的文件數據。安全芯片I內部采用非線性宏單元模式,為固態大容量內存的實現提供了廉價有效的解決方案。NANDFLASH存儲器具有容量較大,改寫速度快等優點,適用于大量數據的存儲。它是非易失存儲器,可以對稱為塊的存儲器單元塊進行擦寫和再編程。指紋傳感器3在此所采用的是電容式的指紋傳感器,它是實現指紋自動采集的關鍵器件。它屬于第二代指紋識別系統實現了識別范圍從表皮到真皮的轉換,從而大大提高了識別的準確率和系統的安全性。外圍芯片組4包括電源管理芯片、時鐘芯片、USB接口等元器件。電源管理芯片對電壓做降壓處理,同時對電流進行濾波處理,它為其它硬件提供穩定的電流和電壓同時對電路進行保護的,電壓異常時采取相應措施。時鐘芯片通過震蕩電路用于產生芯片正常工作的頻率60M,80M,100M,輸入為12M晶振。USB接口用于實現KEY盤與PC端相連接。KEY盤中的USB Mass Storage命令處理模塊11實現USB Mass-Storage協議的Bulk-only子協議和UFI子協議,實現免驅動的指紋KEY盤。NANDFLASH文件管理模塊12用于管理NANDFLASH存儲芯片讀寫擦除。國密算法外理模塊及硬件IP核接口模塊13,用于調用芯片內的國密算法的IP核以實現安全可靠的高速加密/解密。指紋算法處理模塊14,用于處理指紋傳感器采集到的指紋信息,包括指紋圖像壓縮、指紋圖像質量判斷、自主自適應指紋處理算法、圖像拼接算法、多平臺指紋算法、交叉比對、片上指紋比對等技術。片內存儲區15,在SSX45芯片內的一塊存儲區域,用于存放認證信息、密鑰信息、
指紋信息等重要安全信息。智能卡芯片操作系統(COS)文件管理系統是整個設備的核心軟件,它包含安全機制控制,密鑰管理機制,文件管理模塊幾個部分。在進行安全體系的規劃過程中,實現了以下幾種安全機制:認證機制:終端認證(外部認證),設備認證(內部認證),用戶身份認證(指紋驗證);訪問控制機制:安全狀態,設置狀態機,設置目錄,文件的訪問權限,設置密鑰文件的訪問權限,設置密鑰文件中密鑰的訪問權限,以及密鑰的重試次數;安全報文傳送機制:線路認證方式(明文+硬件地址(MAC)),線路加密方式(密文),線路加密認證方式(密文+MAC);防拔機制,掉電保護機制:確保設備在非正常拔下,或意外掉電的情況下數據存儲的完整性。密鑰的管理機制包括主控密鑰,外部認證密鑰,內部認證密鑰指紋可以有多個,通過密鑰ID標識。密鑰的使用,要符合讀權限的管理要求,當前安全狀態滿足密鑰使用權限的要求才可使用密鑰。密鑰的更新,要符合寫權限的管理要求,當前安全狀態滿足密鑰寫權限的要求才可更新密鑰。密鑰的使用權限和寫權限都存儲在密鑰文件的密鑰屬性中。文件管理模塊實現NORFLASH上的文件系統,提供統一的文件訪問接口,實現文件的安全訪問。文件系統支持的文件類型包括:二進制文件,定長記錄文件,變長記錄文件和循環記錄文件。文件系統完全符合國際標準化組織(ISO)/國際電工委員會(IEC) 7816標準,并符合公鑰基礎設施(PKI)應用體系的應用特點,對各種文件實現安全操作和訪問,包括主控文件(MF)、應用目錄文件(DF)和基本文件(EF)。可以支持五層目錄文件結構,在對目錄、文件及其數據操作前,將根據當前目錄或文件的安全屬性檢查設備的安全狀態,以確定操作如創建、刪除和讀寫的可行性。對目錄或文件數據的操作和管理將按照一定的規則進行。第二,簡要說明本發明具體實施例裝置的軟件核心:在一個指紋Key盤在成功量產以后,支持多用戶進行使用,具體軟件實現如圖2所示,包括以下處理:(一)本發明的多帳戶輸入,如圖中步驟101 104)當上述指紋Key盤插入PC機時,在MASS-Storage命令及USB傳輸外理模塊作用下與PC機相連,首先SSX45安全芯片會調用并啟動指紋算法處理模塊及國密算法外理模塊,在指紋算法處理模塊的作用下,打開指紋傳感器,并在國密算法處理模塊的保護下提取指紋信息,然后將提取的指紋信息送入安全芯片。經量產后的指紋Key盤,如果第一次使用那么PC端會彈出一個會話界面,此時用戶可以建立管理員帳戶并輸入Pin及指紋信息作為密碼,如步驟101)。當然也可以建立第二個帳戶,第三個帳戶...第N個帳戶,如步驟102) 104)。不同的賬戶可以供不同的用戶使用。一個指紋Key盤只能有一個管理員帳戶,管理員的權限高于其他帳戶的權限,并可以在不知道其他帳戶Pin及指紋的情況下強制刪除其他帳戶,但管理員沒有權限獲取其他帳戶的Pin及指紋信息,其他帳戶沒有權限刪除管理員帳戶也沒有權限獲取管理員帳戶的Pin及指紋信息。建立每個帳戶都包括步驟:1001)建立好的帳戶信息、相應的Pin及指紋信息;1002)在安全芯片的保護下傳送;1003)存儲到網絡后臺服務器中,以備以后驗證時使用。如果是第一次登入指紋Key盤,那么SSX45安全芯片會將指紋信息以特征點的方式存入在SSX45安全芯片的保護下存入后臺服務器。( 二)本發明的帳戶認證,如圖中步驟201 208)在進行指紋驗證的時候,指紋傳感器采集指紋信息,在國密算法模塊的保護下,SSX45安全芯片會將相應帳戶的Pin及指紋傳感器中所采集的指紋信息送到網絡后臺服務器并與后臺服務器中存儲的相應帳戶的Pin及指紋信息進行比對,如步驟201) 204)。如果比對成功,則通過SSX45芯片調用片內存儲區相應賬戶的數字證書,如步驟208)。另外還包括步驟:205)調用數字證書;206)打開 NANDFLASH 芯片;207)用戶選擇用作KEY盤。(三)本發明的保密U盤方法,如圖中步驟201 207)和209)在調用片內存儲區相應賬戶的數字證書的同時,在NANDFLASH文件管理模塊的管理下打開NADNFLASH存儲芯片供用戶使用,如步驟209)。在保密U盤方法的步驟207)中,用戶選擇用作U盤。
在另一個實施例中,在SSX45安全芯片的片內存儲區中同時保存管理者帳戶的指紋和pin碼,在未連接網絡后臺服務器時,驗證管理者的指紋和pin碼,通過將內部NANDFLASH存儲芯片作為U盤使用,但不能調用SSX45安全芯片的片內存儲區中的安全數據。最后,簡要說明本發明具體實施例裝置的具體實現:如圖3所示,該裝置增加了指紋算法處理模塊14和NANDFLASH存儲芯片2,并對其他模塊進行增強,通過指紋算法處理模塊14與命令管理模塊、安全管理模塊和文件管理模塊交互或通訊,以及NANDFLASH存儲芯片2與命令管理模塊和文件管理模塊交互或通訊,在各模塊自身功能的基礎上實現圖2所示控制程序的作用。本發明方法包括但不限制于應用于USB KEY中,還可應用到其他安全存儲裝置上。
權利要求
1.一種安全存儲裝置帳戶輸入及認證方法,其特征在于,包括以下步驟: 通過安全存儲裝置操作系統在內部建立用戶帳戶,記錄輸入的對應PIN碼和通過安全存儲裝置的指紋傳感器(3)采集的對應用戶指紋信息; 連接網絡后臺服務器,由安全存儲裝置內部安全芯片(I)和操作系統將所述用戶帳戶及其對應PIN碼和對應用戶指紋信息的組合傳送并保存到網絡后臺服務器的數據庫中; 認證時,網絡后臺服務器獲取經安全存儲裝置傳送的用戶帳戶、用戶輸入的PIN碼和通過安全存儲裝置的指紋傳感器采集的用戶指紋信息的組合,與網絡后臺服務器自身所述數據庫中的保存數據進行比對,一致則驗證通過,利用所述用戶指紋信息作為密鑰讀取安全存儲裝置中的安全數據進行帳戶認證;不一致則驗證失敗、帳戶認證不通過直接結束。
2.根據權利要求1所述安全存儲裝置帳戶輸入及認證方法,其特征在于,還包括: 通過安全存儲裝置操作系統在內部刪除用戶帳戶; 連接網絡后臺服務器,由安全存儲裝置內部安全芯片(I)和操作系統將被刪除的用戶帳戶傳送到網絡后臺服務器并在所述數據庫中刪除。
3.根據權利要求2所述安全存儲裝置帳戶輸入及認證方法,其特征在于,還包括刪除被刪除用戶帳戶對應的PIN碼和用戶指紋信息。
4.根據權利要求1或2所述安全存儲裝置帳戶輸入及認證方法,其特征在于,還包括:比較獲取用戶輸入的PIN碼和通過安全存儲裝置的指紋傳感器(3)采集的用戶指紋信息與安全存儲裝置管理者帳戶對應的PIN碼和用戶指紋信息是否一致,一致則利用所述管理者帳戶對應的用戶指紋作為密鑰在安全存儲裝置內部建立或刪除用戶帳戶,并允許將所述用戶帳戶及其對應PIN碼和對應用戶指紋信息傳送并保存到網絡后臺服務器的數據庫中或者將被刪除的用戶帳戶傳送到網絡后臺服務器并在所述數據庫中刪除;不一致則不允許在安全存儲裝置內部建立或刪除用戶帳戶,并不允許將所述用戶帳戶及其對應PIN碼和對應用戶指紋信息傳送并保存到網絡后臺服務器的數據庫中或者將被刪除的用戶帳戶傳送到網絡后臺服務器并在所述數據庫中刪除。
5.根據權利要求4所述安全存儲裝置帳戶輸入及認證方法,其特征在于,所述安全存儲裝置管理者帳戶對應的PIN碼和用戶指紋信息同時保存在所述網絡后臺服務器的數據庫和安全存儲裝置內部安全芯片的片內存儲區(15)中。
6.根據權利要求4所述安全存儲裝置帳戶輸入及認證方法,其特征在于,所述比較獲取用戶輸入的PIN碼和通過安全存儲裝置的指紋傳感器(3)采集的用戶指紋信息與安全存儲裝置管理者帳戶對應的PIN碼和用戶指紋信息是否一致的步驟是按PIN碼在先、用戶指紋在后的順序逐一進行比較,全部相同則一致,否則是不一致。
7.根據權利要求1所述安全存儲裝置帳戶輸入及認證方法,其特征在于,所述比對是按PIN碼在先、用戶指紋信息在后的順序逐一進行比對,全部相同則一致,否則是不一致。
8.根據權利要求1所述安全存儲裝置帳戶輸入及認證方法,其特征在于,還包括通過安全存儲裝置操作系統中指紋算法處理模塊(14)對采集到的用戶指紋進行圖像識別和處理。
9.根據權利要求1所述安全存儲裝置帳戶輸入及認證方法,其特征在于,所述安全存儲裝置是USB KEY裝置。
10.根據權利要求1所述安全存儲裝置帳戶輸入及認證方法,其特征在于,所述安全存儲裝置是安全硬盤。
全文摘要
本發明涉及一種安全存儲裝置帳戶輸入及認證方法,包括通過安全存儲裝置操作系統在內部建立用戶帳戶,記錄輸入的對應PIN碼和通過安全存儲裝置的指紋傳感器(3)采集的對應用戶指紋信息;連接網絡后臺服務器,由安全存儲裝置內部安全芯片(1)和操作系統將用戶帳戶及其對應PIN碼和用戶指紋信息的組合傳送并保存到網絡后臺服務器的數據庫中;認證時,網絡后臺服務器獲取經安全存儲裝置獲取、傳送的用戶帳戶、PIN碼和用戶指紋信息的組合,與網絡后臺服務器自身數據庫中的保存數據進行比對,一致則驗證通過,利用所述用戶指紋信息作為密鑰讀取安全存儲裝置中的安全數據進行帳戶認證;不一致則驗證失敗。這種方法適用于多用戶和帳戶管理。
文檔編號H04L9/32GK103117853SQ201110363860
公開日2013年5月22日 申請日期2011年11月16日 優先權日2011年11月16日
發明者王永寶, 蘇斌 申請人:航天信息股份有限公司