CN101470783B - 一种基于可信平台模块的身份识别方法及装置 - Google Patents
一种基于可信平台模块的身份识别方法及装置 Download PDFInfo
- Publication number
- CN101470783B CN101470783B CN2007101253835A CN200710125383A CN101470783B CN 101470783 B CN101470783 B CN 101470783B CN 2007101253835 A CN2007101253835 A CN 2007101253835A CN 200710125383 A CN200710125383 A CN 200710125383A CN 101470783 B CN101470783 B CN 101470783B
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- fingerprint template
- uefi
- hard disk
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Collating Specific Patterns (AREA)
- Storage Device Security (AREA)
Abstract
本发明适用于计算机安全领域,提供了一种基于TPM的身份识别方法及装置,该方法包括下述步骤:TPM对加密得到的指纹模板的加密密钥进行加密后,存储至硬盘的保护分区;采集用户的指纹信息并缓存;UEFI获取硬盘保护分区的访问权限,并将硬盘保护分区的加密后的指纹模板的加密密钥发送至TPM;TPM对其进行解密,并将解密得到的指纹模板的加密密钥和比对授权证书发送至集成于UEFI的指纹识别系统;指纹识别系统对加密的指纹模板进行解密,将解密得到的指纹模板与缓存的指纹信息进行比对;如果比对成功,TPM发送认证通过签名证书至UEFI。本发明实施例既保证了指纹模板存储的安全性,又保证了UEFI与硬盘保护分区之间的通讯安全。
Description
技术领域
本发明属于计算机信息安全领域,尤其涉及一种基于可信平台模块的身份识别方法及装置。
背景技术
随着计算机技术的不断发展,信息安全已成为计算机用户普遍关注的焦点。许多计算机厂商在计算机启动之后,操作系统启动之前,如基本输入输出系统(Basic Input Output System,BIOS),或统一可扩展固件接口(Unified ExtensibleFirmware Interface,UEFI)层设置一套高安全机制的身份识别方法,以对计算机用户的身份进行识别,对计算机的操作访问权限进行控制。由于研究发现,没有任何两个手指指纹的纹线形态一致,指纹纹线的形态终身不变,因此,指纹识别技术已被广泛的应用于计算机身份识别领域。
现有技术提供了一种通过计算机软件实现指纹识别的方法,由于该方法是完全通过软件来实现的,因此只有在成功加载计算机操作系统被之后才能实现指纹识别,而无法在计算机启动以后,操作系统加载之前进行指纹识别,从而给计算机身份识别带来安全隐患。
现有技术还提供了一种基于可信平台模块(Trusted Platform Model,TPM)的指纹身份识别方法,其具体过程如下:采集计算机合法用户输入的指纹信息,从采集的指纹信息中提取关键特征,得到指纹模板,将该指纹模板存储至TPM芯片内部的非易失性存储器中,或者采用TPM芯片对指纹模板进行加密后,存储至其他外部存储器。由于将TPM作为加密设备,一定程度上保证的指纹模板存储的安全性,但难以避免在进行指纹识别过程中指纹识别算法受到攻击,因此,安全性不如预期的高。
现有技术提供的另一种基于TPM的指纹身份识别方法通过将指纹识别算法全部或者部分集成到TPM芯片中,同时计算机合法用户预置的指纹模板也存储在TPM芯片的非易失性存储器中,或者采用TPM芯片对指纹模板进行加密后,存储至其他外部存储器,以确保指纹模板的安全,同时指纹识别算法不受攻击。这种方法通过TPM对指纹识别算法和指纹模板信息同时进行保护,由于TPM的处理能力有限,难以执行类似图像识别这样的复杂计算任务,速度过慢。
发明内容
本发明实施例的目的在于提供一种基于可信平台模块的身份识别方法,旨在解决现有技术存在的在计算机用户身份识别时,难以保证UEFI与存储指纹模板的存储空间之间的通讯安全的问题。
本发明实施例是这样实现的,一种基于可信平台模块的身份识别方法,所述方法包括下述步骤:
采集用户的指纹图像,根据所述指纹图像生成指纹信息,并缓存所述指纹信息;
UEFI获取硬盘保护分区的访问权限,调用预置于硬盘保护分区的加密后的指纹模板的加密密钥,并将所述加密后的指纹模板的加密密钥发送至可信平台模块;
可信平台模块对所述加密后的指纹模板的加密密钥进行解密,并将解密得到的指纹模板的加密密钥和比对授权证书发送至集成于UEFI的指纹识别系统;
指纹识别系统采用所述指纹模板的加密密钥对加密的指纹模板进行解密,将解密得到的指纹模板与所述缓存的指纹信息进行比对;如果比对成功,可信平台模块发送认证通过签名证书至UEFI。
本发明实施例的另一目的在于提供一种基于可信平台模块的身份识别装置,所述装置包括:
集成于UEFI的指纹信息获取模块,用于采集用户的指纹图像,根据所述指纹图像生成指纹信息,并缓存所述指纹信息;
集成于UEFI的硬盘访问权限获取模块,用于获取硬盘保护分区的访问权限;
集成于UEFI的指纹模板调用模块,用于调用预置于硬盘保护分区的加密后的指纹模板的加密密钥,并将所述加密后的指纹模板的加密密钥发送至可信平台模块;
可信平台模块,用于对所述加密后的指纹模板的加密密钥进行解密,并将解密得到的指纹模板的加密密钥和比对授权证书发送至集成于UEFI的指纹模板加解密模块;
集成于UEFI的指纹模板加解密模块,用于采用所述指纹模板的加密密钥对加密的指纹模板进行解密;
集成于UEFI的指纹比对模块,用于将解密得到的指纹模板与所述指纹信息获取模块缓存的指纹信息进行比对;如果比对成功,可信平台模块发送认证通过签名证书至UEFI。
在本发明实施例中,TPM对加密得到的指纹模板的加密密钥进行加密,并将加密后的指纹模板的加密密钥存储至硬盘的保护分区,从而保证了指纹模板的存储安全;由于UEFI访问硬盘保护分区的所有指令,均需要通过TPM进行加密,并通过TPM的解密和完整性检测,从而保证了UEFI与硬盘保护分区的通讯安全。
附图说明
图1是本发明实施例提供的基于TPM的指纹模板的采集和存储方法的实现流程图;
图2是本发明实施例提供的层叠式存储加密方法的示意图;
图3是本发明实施例提供的基于TPM的身份识别方法的实现流程图;
图4是本发明实施例提供的基于TPM的身份识别装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明实施例中,TPM对指纹识别系统加密后的指纹模板的加密密钥进行加密,并存储至硬盘的保护分区中。在进行指纹身份识别时,UEFI采用经TPM加密的调用指令从计算机硬盘的保护分区中调用加密后的指纹模板的加密密钥,并传输至TPM,TPM对加密后的指纹模板的加密密钥进行解密,并通过UEFI将解密得到的指纹模板的加密密钥和比对授权证书发送至指纹识别系统,指纹识别系统对加密的指纹模板进行解密,并将解密后的指纹模板与用户输入的指纹信息进行比对。当比对成功时,TPM发送认证通过签名证书至UEFI,UEFI在接收到该认证通过签名证书后,即可打开硬盘用户使用分区,从而完成指纹身份识别的过程。
本发明实施例提供的基于TPM的指纹身份识别方法是在计算机启动之后,操作系统加载之前的UEFI环境下,实现的对计算机用户进行身份识别的方法。
其中UEFI是一种开放的(即不依赖于特定平台)用于定义平台固件与操作系统之间的接口规范,是连接上层操作系统和计算机硬件之间的桥梁,为操作系统以及启动前的运行状态提供一个标准环境,系统地规定了计算机系统的控制权如何从启动前的环境传递给操作系统。它支持安全启动、驱动签名和散列(Hash)技术。计算机启动后,首先执行UEFI初始化程序,对计算机的CPU、北桥、南桥以及存储器进行初始化。接着载入UEFI驱动执行环境(DriverExecution Environment,DXE)。然后再加载计算机硬件设备的驱动程序。
指纹识别系统是集成于UEFI中的,其包括指纹信息获取模块,指纹模板加解密模块以及指纹比对模块。
TPM是集成于计算机主板上的一个安全可信的硬件平台,可以独立进行密钥生成、加解密,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为计算机提供加密和安全认证服务,用TPM进行加密,密钥被存储在硬件(即TPM或是硬盘的安全保护分区)中,被窃的数据无法解密,从而使计算机平台可信并保护了数据安全。
硬盘的保护分区是硬盘在初始化(出厂)时,由硬盘的嵌入式系统从硬盘中划分出的与硬盘的其他存储空间绝对隔离一部分存储空间。其初始状态是关闭的,不受一般的指令控制。现有的硬盘分区工具、磁盘管理工具都不能访问这部分的空间,只有底层UEFI或者BIOS采用经TPM加密,并通过TPM的完整性检测的指令才能访问硬盘的保护分区,同时硬盘需要接收到TPM发送的授权证书,才能向UEFI打开硬盘的保护分区。
且在计算机系统启动过程中,为了保证计算机系统的安全,在UEFI与硬盘进行相互通信前,需要与硬盘进行相互认证。只有UEFI与硬盘之间的相互认证通过,UEFI才能与硬盘进行相互通信。其中UEFI与硬盘之间的相互认证的原理如下:硬盘在初始化时与UEFI进行一次绑定。绑定成功后,硬盘自带的嵌入式加密系统产生一关键字,并同时将该关键字分别写入硬盘自带的嵌入式加密系统的存储空间和UEFI中。当UEFI与硬盘进行相互认证时,UEFI将写入的关键字传输至硬盘,硬盘自带的嵌入式加密系统将UEFI传输的关键字与其存储空间中的关键字进行比对,如果比对成功,则UEFI与硬盘之间的相互认证通过,否则,UEFI与硬盘之间的相互认证未通过。
现有的指纹身份识别方法一般分为两个过程:第一个过程是指纹模板的采集和存储,第二个过程是指纹身份识别。本发明实施例提供的基于TPM的指纹身份识别方法也分为上述两个过程。
图1示出了本发明实施例提供的基于TPM的指纹模板的采集和存储方法的实现流程,详述如下:
在步骤S101中,采集计算机合法用户输入的指纹图像,并根据采集的指纹图像生成指纹模板。其具体步骤为:
A、采集计算机合法用户通过指纹输入设备输入的指纹图像。其中指纹输入设备包括指纹传感器。
在计算机合法用户通过指纹输入设备,如指纹传感器等,输入其指纹时,由于用户手指的压力或者手指接触指纹输入设备的位置不当等原因,输入的指纹的局部区域的效果不理想,使采集的指纹图像不符合标准,从而降低指纹的识别率。因此,在采集用户输入的指纹图像之前,需要对用户输入的指纹进行选取,以得到有效的指纹区域。其具体过程是:首先将用户输入的指纹区域分成若干个小块,再对指纹的节点进行提取。由于指纹是由纹脊和纹谷组成的,指纹的节点是指纹纹脊的交叉点。在采集指纹图像时,为了采集到效果较好的指纹图像,一般都要经过多次指纹图像的采集。
B、根据采集的指纹图像生成指纹模板。其具体步骤为:
B1、对采集的指纹图像进行处理,以提高指纹图像的质量和清晰度。
由于在采集指纹图像时,受用户的使用习惯,熟练程度,或者用户指纹特征的影响,使采集到的指纹图像质量较差,指纹的清晰度不够。因此,为了提高指纹图像的质量和指纹的清晰度,需要对采集的指纹图像进行处理。
B2、从处理后的指纹图像中提取指纹的关键特征。
其中指纹的关键特征是预先设置的,其可以唯一的标识指纹。对于不同的指纹识别方法,预设的指纹的关键特征可能不同,在提取指纹的关键特征时,需要提取一套相对比较清晰的指纹的关键特征,如可以从处理后的指纹图像中提取多个小块区域,多个节点,或者多个曲线段作为指纹的关键特征。
B3、对提取的指纹的关键特征进行数字化处理,生成指纹模板。
为了使提取的指纹的关键特征更能准确、清晰的反应用户的指纹特征,在对提取的指纹的关键特征进行数字化处理之前,先通过滤波器滤除提取的指纹的关键特征中,不符合要求的关键特征。其具体实现方式如下:采用线性滤波器和中间非线性滤波器,去除纹谷的黑色区域,以及纹脊或者节点周围的孤立区域。再对提取的指纹的关键特征进行数字化处理,生成指纹模板。
在步骤S102中,对生成的指纹模板进行加密,得到指纹模板的加密密钥,并将得到的指纹模板的加密密钥发送至TPM。
可以通过计算机硬盘自带的加密系统,外接于计算机的加密卡,或者UEFI的软加密系统对生成的指纹模板进行加密。
在步骤S103中,TPM对接收的指纹模板的加密密钥进行加密,并将加密后的指纹模板的加密密钥存储至硬盘的保护分区。
在本发明实施例中,TPM采用非对称加密算法对指纹模板的加密密钥进行加密。由于将加密后的指纹模板的加密密钥存储于硬盘的保护分区,由于UEFI访问硬盘的保护分区时,需要调用经TPM加密后的,并且经过TPM的完整性检测的指令,才可以从硬盘的保护分区中调用加密后的指纹模板的加密密钥,因此,相对于现有技术的指纹模板的存储方式,本发明实施例提供的指纹模板的存储方式具有更高的安全性。
在本发明实施例中,在对指纹模板进行加密存储时(加密存储包括集成于UEFI中的指纹模板加密模块对指纹模板的加密存储,以及TPM对指纹模板的加密密钥的加密存储),采用了如图2所示的层叠式加密存储方式,从而保证了指纹模板的存储安全。
层叠式加密存储方式的原理是:存储根密钥(Storage Root Key,SRK)对其下一级存储密钥(Storage Key,SK)进行加解密,下一级存储密钥对其下级存储密钥进行加解密,层叠进行。其中SRK是一对非对称密钥,包括公钥和私钥,公钥用于加密下一级存储密钥,私钥用于对加密的下一级存储密钥进行解密,私钥始终保存在TPM内部。
以下详细说明采用层叠式加密存储方式对指纹模板加解密的过程:
在对指纹模板进行加密时,集成于UEFI中的指纹模板加密模块采用对成加密算法通过存储密钥(Storage Key,SK)对指纹模板加密后,得到指纹模板的加密密钥SK,UEFI将得到的指纹模板的加密密钥SK发送至TPM。TPM采用非对称加密算法通过存储根密钥(Storage Root Key,SRK),如SRK的公钥对指纹模板的加密密钥加密后,将加密后的指纹模板的加密密钥存储至硬盘的保护分区。
在对指纹模板进行解密时,将存储在硬盘的保护分区的加密后的指纹模板的加密密钥加载至TPM,通过TPM内部的SRK(如SRK的私钥)对加密后的指纹模板的加密密钥解密,得到指纹模板的加密密钥。TPM将该加密密钥发送至集成于UEFI中的指纹识别系统,指纹识别系统通过采用该加密密钥对加密的指纹模板进行解密,从而得到指纹模板。由于采用上述层叠式加密存储方式,对指纹模板的加解密可以通过加密卡或者加密软件在TPM外部完成,而将指纹模板的加密密钥发送至TPM,在TPM内部,再对指纹模板的加密密钥进行加解密,由于对指纹模板的加密密钥进行加密和解密的SRK在TPM中,不会外泄,从而保证了指纹模板的存储安全。
图3示出了本发明实施例提供的基于TPM的指纹身份识别的方法的实现流程,详述如下:
在步骤S301中,指纹识别系统采集当前用户的指纹图像,根据采集的指纹图像生成指纹信息,并对生成的指纹信息进行缓存,等待比对。其具体过程与图1所示的指纹模板的生成过程相似,在此不再赘述。
在步骤S302中,UEFI获取其对硬盘的保护分区的访问权限,以使UEFI可以访问硬盘的保护分区。其具体步骤为:
A、UEFI向硬盘发送专用于访问硬盘的保护分区的访问指令。为了防止该访问指令在传输过程中被伪造,该访问指令是预先经TPM进行了加密的。
B、TPM对该访问指令进行解密和完整性检测,如果完整性检测通过,TPM向硬盘发送访问签名证书,以通知硬盘,该访问指令通过了TPM的完整性检测,执行步骤C;如果未通过完整性检测,指纹身份识别失败。TPM在对该访问指令进行完整性检测时,主要检测该访问指令是否被修改过,如果被修改过,则完整性检测未通过;未被修改过,则完整性检测通过。
C、硬盘在接收到TPM发送的访问签名证书后,授予UEFI对其保护分区的访问权限。
在步骤S303中,UEFI从硬盘的保护分区中调用加密后的指纹模板的加密密钥,并将获取的加密后的指纹模板的加密密钥发送至TPM。其具体过程为:
A、UEFI向硬盘发送加密数据调用指令,以调用存储在硬盘保护分区中的加密后的指纹模板的加密密钥。该加密数据调用指令是预先经过TPM加密的。
B、TPM对该加密数据调用指令进行解密和完整性检测,如果完整性检测通过,TPM向硬盘发送调用签名证书,以通知硬盘,该加密数据调用指令已经通过了TPM的完整性检测,是可信的,执行步骤C;如果未通过完整性检测,则TPM不会向硬盘发送调用签名证书,指纹身份识别失败。TPM在对该加密数据调用指令进行完整性检测时,主要检测该加密数据调用指令是否被修改过,如果被修改过,则完整性检测未通过;未被修改过,则完整性检测通过。
C、硬盘在接收到TPM发送的调用签名证书后,响应UEFI发送的加密数据调用指令,允许UEFI调用存储于其保护分区中的加密后的指纹模板的加密密钥。如果硬盘未接收到TPM发送的调用签名证书,则硬盘不响应该加密数据调用指令,使UEFI无法调用硬盘的保护分区中的加密后的指纹模板的加密密钥,从而无法完成指纹身份识别。这样,避免了该加密数据调用指令在传输过程中被伪造,保证了UEFI与硬盘的保护分区之间的通信安全。
D、UEFI调用存储在硬盘的保护分区中加密后的指纹模板的加密密钥,并将调用的加密后的指纹模板的加密密钥发送至TPM。
由于UEFI向硬盘发送的所有指令,都是采用特殊的指令传输协议,经TPM加密后进行传输的,而且在传输过程中,需要通过TPM的解密和完整性检验,由TPM向硬盘发送授权证书后,硬盘才能响应UFEI发送的指令,允许UEFI访问其保护分区,因此,保证了UEFI与硬盘的保护分区之间的通讯安全。
在步骤S304中,TPM对接收到的加密后的指纹模板的加密密钥进行解密,得到指纹模板的加密密钥,TPM通过UEFI将得到指纹模板的加密密钥以及比对授权证书发送至集成于UEFI的指纹识别系统。由于对加密后的指纹模板的加密密钥进行解密的操作是在TPM内部进行的,因此,安全性较高。
在步骤S305中,集成于UEFI的指纹识别系统接收到TPM发送的指纹模板的加密密钥和比对授权证书后,对加密后的指纹模板进行解密,并将得到的指纹模板和缓存的指纹信息进行比对。集成于UEFI的指纹识别系统只有在同时接收到TPM发送的指纹模板的加密密钥和比对授权证书后,才能对加密后的指纹模板进行解密。
在步骤S306中,当比对成功时,TPM向UEFI发送认证通过签名证书,UEFI接收到TPM发送的认证通过签名证书后,即可访问硬盘的用户使用分区,至此指纹身份识别成功,不再执行以下步骤。
在步骤S307中,向用户提示指纹身份识别失败的原因,提示用户重新输入指纹。
在本发明实施例中,在采集用户指纹信息时,由于受用户的手指与指纹输入设备接触的位置、用户的指纹输入习惯、熟练程度等因素的影响,可能一次无法采集符合要求的用户指纹信息,因此,在进行指纹身份识别时,可以预先设置允许的指纹输入次数,在进行指纹身份识别时,如果指纹比对不成功,则用户可以再次输入指纹,按照上述指纹身份识别流程进行识别,如果指纹输入次数达到预先设置的允许的指纹输入次数,指纹比对还未成功,则指纹身份识别失败,UEFI不再响应当前用户的任何指令。
图4示出了本发明实施例提供的指纹身份识别装置的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
本发明实施例是在计算机启动之后,操作系统加载之前的UEFI层设置的指纹身份识别装置。该指纹身份识别装置是在UEFI与硬盘之间的相互认证通过之后开始对计算机用户的身份进行认证的。该指纹身份识别装置包括集成于UEFI的指纹识别系统1、硬盘访问权限获取模块2和指纹模板调用模块3,TPM芯片4以及存储指纹模板的硬盘5。指纹识别系统1包括指纹信息获取模块11,指纹模板加解密模块12以及指纹比对模块13。其中UEFI和TPM芯片4是承载在计算机主板上的。
在本发明实施例中,首先采集计算机合法用户的指纹信息作为指纹模板,并将该指纹模板预置于硬盘的保护分区中。在指纹身份识别过程中,采集当前用户的指纹信息,并将采集的当前用户的指纹信息与预置的指纹模板进行比对,如果比对成功,则指纹身份识别通过,如果比对不成功,则指纹身份识别失败。
指纹信息获取模块11采集用户的指纹图像,根据采集的指纹图像生成指纹信息。该指纹信息获取模块11包括指纹采集模块111、指纹信息生成模块112。其中指纹采集模块111采集计算机合法用户通过指纹输入设备输入的指纹图像。其中指纹输入设备可以是指纹传感器(图未示出)等。指纹信息生成模块112根据指纹采集模块111采集的指纹图像,生成指纹信息。当用户还未存储指纹模板时,将指纹信息生成模块112生成的指纹信息作为指纹模板。当用户在进行身份识别过程中时,缓存指纹信息生成模块生成的指纹信息,等待比对。生成指纹信息的具体过程如上所述,在此不再赘述。
指纹模板加解密模块12对指纹信息生成模块112生成的指纹模板进行加密,得到指纹模板的加密密钥,并将得到指纹模板的加密密钥发送至TPM芯片4。指纹模板加解密模块12采用的加密算法可以是对称加密算法。其中指纹模板加解密模块12可以通过计算机硬盘自带的加密系统,外接于计算机的加密卡,或者UEFI的软加密系统对生成的指纹模板进行加密。
TPM芯片4对指纹模板加解密模块12发送的指纹模板的加密密钥进行加密,并将加密后的指纹模板的加密密钥存储至硬盘5的保护分区。TPM芯片4采用非对称加密算法对指纹模板的加密密钥进行加密。其中硬盘5的保护分区如上所述,由于UEFI访问硬盘5的保护分区的所有访问指令,均是预先经TPM芯片4进行了加密的,而且TPM需要对该访问指令进行完整性校验,只有通过TPM的完整性校验的访问指令,才能被硬盘响应。因此,相对于现有技术的指纹模板的存储方式,本发明实施例提供的指纹模板的存储方式具有更高的安全性。
当需要进行指纹身份识别时,指纹信息获取模块11采集用户的指纹图像,根据采集的指纹图像生成指纹信息,缓存生成的指纹信息,等待比对。
集成于UEFI的硬盘访问权限获取模块2获取硬盘保护分区的访问权限,其具体过程如下:硬盘访问权限获取模块2向硬盘5发送经过TPM芯片4加密后的访问指令,TPM芯片4对该访问指令进行解密和完整性检测,当完整性检测通过时,TPM芯片4向硬盘5发送访问签名证书,硬盘5接收到TPM芯片发送的访问签名证书后,即可授予UEFI对硬盘保护分区的访问权限。
指纹模板调用模块3在硬盘访问权限获取模块2获取了硬盘保护分区的访问权限后,从硬盘保护分区调用加密后的指纹模板的加密密钥。其具体过程如下:指纹模板调用模块3向硬盘5发送经过TPM芯片4加密后的加密数据调用指令,TPM芯片4对接收到的加密数据调用指令进行解密和完整性检测,当完整性检测通过时,TPM芯片4向硬盘5发送调用签名证书,硬盘5接收到TPM芯片发送的调用签名证书后,指纹模板调用模块3即可调用硬盘保护空间中存储的加密后的指纹模板的加密密钥。通过UEFI将调用到的加密后的指纹模板的加密密钥传输至TPM芯片4。TPM芯片4对接收的加密后的指纹模板的加密密钥进行解密,并将解密得到的指纹模板的加密密钥和比对授权证书发送至集成于UEFI的指纹识别系统1。
当指纹识别系统1接收到TPM芯片4发送的指纹模板的加密密钥和比对授权证书后,由其指纹模板加解密模块12采用接收到的指纹模板的加密密钥对加密的指纹模板进行解密,并将解密后的指纹模板传输至指纹比对模块13。指纹比对模块13将解密得到的指纹模板与指纹信息获取模块11获取的指纹信息进行比对,如果比对成功,则TPM芯片4向UEFI发送认证通过签名证书,UEFI接收到TPM芯片4发送的认证通过签名证书后,即可访问硬盘的用户使用分区,至此指纹身份识别成功。如果比对不成功,则向用户提示指纹身份识别失败的原因,提示用户重新输入指纹。
在本发明实施例中,采集计算机合法用户输入的指纹图像,根据采集的指纹图像生成指纹模板,对该指纹模板进行加密后,将得到的指纹模板的加密密钥发送至TPM,TPM对该指纹模板的加密密钥进行加密后,存储至硬盘的保护分区,从而保证了指纹模板的存储安全。由于UEFI与硬盘的保护分区之间的访问指令都是预先经过TPM加密的,并且需要通过TPM的完整性检测后,才能访问硬盘的保护分区,从而避免了访问指令被拦截以及伪指令攻击,保证了UEFI与硬盘的保护分区之间的通讯安全。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于可信平台模块的身份识别方法,其特征在于,所述方法包括下述步骤:
指纹识别系统采集用户的指纹图像,根据所述指纹图像生成指纹信息,并缓存所述指纹信息;
UEFI获取硬盘保护分区的访问权限,调用预置于硬盘保护分区的加密后的指纹模板的加密密钥,并将所述加密后的指纹模板的加密密钥发送至可信平台模块;
可信平台模块对所述加密后的指纹模板的加密密钥进行解密,并将解密得到的指纹模板的加密密钥和比对授权证书发送至集成于UEFI的指纹识别系统;
指纹识别系统采用所述指纹模板的加密密钥对加密的指纹模板进行解密,将解密得到的指纹模板与所述缓存的指纹信息进行比对;如果比对成功,可信平台模块发送认证通过签名证书至UEFI。
2.如权利要求1所述的方法,其特征在于,将所述加密后的指纹模板的加密密钥预置于硬盘的保护分区的步骤具体为:
采集计算机合法用户输入的指纹图像,并根据采集的指纹图像生成指纹模板;
对生成的指纹模板进行加密,并将得到的指纹模板的加密密钥发送至可信平台模块;
可信平台模块对所述指纹模板的加密密钥进行加密,并将加密后的指纹模板的加密密钥存储至硬盘的保护分区。
3.如权利要求2所述的方法,其特征在于,所述采集计算机合法用户输入的指纹图像,并根据采集的指纹图像生成指纹模板的步骤具体为:
采集计算机合法用户输入的指纹图像;
对所述指纹图像进行处理;
从所述指纹图像中提取指纹的关键特征;
对所述指纹的关键特征进行数字化处理,生成指纹模板。
4.如权利要求2所述的方法,其特征在于,可信平台模块对所述指纹模板的加密密钥进行加密时,采用非对称加密算法。
5.如权利要求1所述的方法,其特征在于,所述UEFI获取硬盘保护分区的访问权限的步骤具体为:
UEFI向硬盘发送经可信平台模块加密后的访问指令;
可信平台模块对所述访问指令进行解密和完整性检测,如果完整性检测未通过,用户此次指纹身份识别失败,如果完整性检测通过,可信平台模块向硬盘发送访问签名证书,继续执行下述步骤;
硬盘在接收到所述访问签名证书后,授予UEFI对其保护分区的访问权限。
6.如权利要求1所述的方法,其特征在于,所述UEFI调用预置于硬盘保护分区的加密后的指纹模板的加密密钥的步骤具体为:
UEFI向硬盘发送经可信平台模块加密的加密数据调用指令;
可信平台模块对所述加密数据调用指令进行解密和完整性检测,如果完整性检测未通过,用户此次指纹身份识别失败,如果完整性检测通过,可信平台模块向硬盘发送调用签名证书,继续执行下述步骤;
硬盘在接收到所述调用签名证书后,响应UEFI发送的加密数据调用指令。
7.如权利要求1至6任一权利要求所述的方法,其特征在于,所述方法还包括下述步骤:
设置允许的指纹输入次数。
8.一种基于可信平台模块的身份识别装置,其特征在于,所述装置包括:
集成于UEFI的指纹信息获取模块,用于采集用户的指纹图像,根据所述指纹图像生成指纹信息,并缓存所述指纹信息;
集成于UEFI的硬盘访问权限获取模块,用于获取硬盘保护分区的访问权限;
集成于UEFI的指纹模板调用模块,用于调用预置于硬盘保护分区的加密后的指纹模板的加密密钥,并将所述加密后的指纹模板的加密密钥发送至可信平台模块;
可信平台模块,用于对所述加密后的指纹模板的加密密钥进行解密,并将解密得到的指纹模板的加密密钥和比对授权证书发送至集成于UEFI的指纹模板加解密模块;
集成于UEFI的指纹模板加解密模块,用于采用所述指纹模板的加密密钥对加密的指纹模板进行解密;
集成于UEFI的指纹比对模块,用于将解密得到的指纹模板与所述指纹信息获取模块缓存的指纹信息进行比对;如果比对成功,可信平台模块发送认证通过签名证书至UEFI。
9.如权利要求8所述的装置,其特征在于,所述指纹信息获取模块包括:
指纹采集模块,用于采集计算机合法用户或者当前用户的指纹图像;
指纹信息生成模块,用于根据所述指纹图像生成指纹信息或者指纹模板。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101253835A CN101470783B (zh) | 2007-12-25 | 2007-12-25 | 一种基于可信平台模块的身份识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101253835A CN101470783B (zh) | 2007-12-25 | 2007-12-25 | 一种基于可信平台模块的身份识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101470783A CN101470783A (zh) | 2009-07-01 |
| CN101470783B true CN101470783B (zh) | 2010-09-01 |
Family
ID=40828247
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101253835A Active CN101470783B (zh) | 2007-12-25 | 2007-12-25 | 一种基于可信平台模块的身份识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101470783B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102262599B (zh) * | 2011-09-02 | 2013-11-20 | 江苏博智软件科技有限公司 | 一种基于可信根的移动硬盘指纹认证方法 |
| CN102572314B (zh) * | 2011-12-22 | 2015-01-14 | 格科微电子(上海)有限公司 | 图像传感器以及支付认证方法 |
| CN103220279A (zh) * | 2013-04-02 | 2013-07-24 | 工业和信息化部电子第五研究所 | 数据安全传输的方法和系统 |
| GB2515536A (en) * | 2013-06-27 | 2014-12-31 | Ibm | Processing a guest event in a hypervisor-controlled system |
| CN104008342B (zh) * | 2014-06-06 | 2017-12-15 | 山东超越数控电子股份有限公司 | 一种通过bios和内核实现安全可信认证的方法 |
| CN105373741B (zh) * | 2015-10-19 | 2018-01-19 | 广东欧珀移动通信有限公司 | 一种指纹信息的使用方法及装置 |
| US10019279B2 (en) | 2015-12-17 | 2018-07-10 | International Business Machines Corporation | Transparent secure interception handling |
| US9841987B2 (en) | 2015-12-17 | 2017-12-12 | International Business Machines Corporation | Transparent secure interception handling |
| CN107918752A (zh) * | 2016-10-08 | 2018-04-17 | 成都方程式电子有限公司 | 单芯片安全指纹识别系统 |
| CN106682522A (zh) * | 2016-11-29 | 2017-05-17 | 大唐微电子技术有限公司 | 一种指纹加密的装置及实现方法 |
| CN107786341B (zh) | 2017-10-11 | 2019-11-29 | Oppo广东移动通信有限公司 | 证书加载方法及移动终端和计算机可读存储介质 |
| CN108509874A (zh) * | 2018-03-16 | 2018-09-07 | 联想(北京)有限公司 | 一种数据处理方法及电子设备、计算机存储介质 |
| CN110580420B (zh) * | 2018-06-11 | 2023-03-28 | 阿里巴巴集团控股有限公司 | 基于集成芯片的数据处理方法、计算机设备、存储介质 |
| CN109918887A (zh) * | 2019-04-03 | 2019-06-21 | 中电科技(北京)有限公司 | 基于uefi的固件层指纹识别方法及计算机系统 |
| CN110489956B (zh) * | 2019-08-26 | 2022-11-22 | 顺德职业技术学院 | 一种计算机数据的安全保护方法及系统 |
| CN113495922B (zh) * | 2020-04-02 | 2023-12-22 | 广州汽车集团股份有限公司 | 车载指纹识别系统及其指纹模板同步方法 |
| CN112130919A (zh) * | 2020-09-28 | 2020-12-25 | 山东超越数控电子股份有限公司 | 一种指纹设备自适应方法、计算机以及指纹设备 |
-
2007
- 2007-12-25 CN CN2007101253835A patent/CN101470783B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101470783A (zh) | 2009-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101470783B (zh) | 一种基于可信平台模块的身份识别方法及装置 | |
| CN103886234B (zh) | 一种基于加密硬盘的安全计算机及其数据安全控制方法 | |
| JP6275653B2 (ja) | データ保護方法及びシステム | |
| CN106663161B (zh) | 安全主机交互 | |
| JP4461145B2 (ja) | Sim装置用コンピュータシステム及び方法 | |
| US20070237366A1 (en) | Secure biometric processing system and method of use | |
| CN101430747B (zh) | 基于可信嵌入式平台的移动设备及其安全存储方法 | |
| US7861015B2 (en) | USB apparatus and control method therein | |
| EP1866873B1 (en) | Method, system, personal security device and computer program product for cryptographically secured biometric authentication | |
| CN202795383U (zh) | 一种保护数据的设备和系统 | |
| CN106953724A (zh) | 动态加密式指纹传感器及动态加密指纹数据的方法 | |
| CN101441601B (zh) | 一种硬盘ata指令的加密传输的方法及系统 | |
| US20070226514A1 (en) | Secure biometric processing system and method of use | |
| US20050228993A1 (en) | Method and apparatus for authenticating a user of an electronic system | |
| CN102136048B (zh) | 基于手机蓝牙的计算机环绕智能防护装置及方法 | |
| CN107908574B (zh) | 固态盘数据存储的安全保护方法 | |
| CN203746071U (zh) | 一种基于加密硬盘的安全计算机 | |
| JP2007013433A (ja) | 暗号化データを送受信する方法及び情報処理システム | |
| JP2016531508A (ja) | データセキュアストレージ | |
| EP2628133B1 (en) | Authenticate a fingerprint image | |
| CN102163267A (zh) | 固态硬盘安全访问控制方法、装置和固态硬盘 | |
| CN101364187A (zh) | 可对抗木马程式的双操作系统计算机 | |
| US20170026385A1 (en) | Method and system for proximity-based access control | |
| US20070226515A1 (en) | Secure biometric processing system and method of use | |
| CN110740036A (zh) | 基于云计算的防攻击数据保密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 518057 computer building of the Great Wall, Nanshan District science and Technology Park, Shenzhen, Guangdong Patentee after: China the Great Wall science and technology group Limited by Share Ltd Address before: 518057 computer building of the Great Wall, Nanshan District science and Technology Park, Shenzhen, Guangdong Patentee before: China Changcheng Computer Shenzhen Co., Ltd. |