CN112200168B - 一种移动存储设备安全访问的方法及系统 - Google Patents

Abstract

本发明提供了一种基于指静脉及TCM的存储设备安全访问方法及系统，包括：设备激活；获取手指静脉原始图形，通过存储设备集成的指静脉装置录入指静脉图像信息；Niblack分割；消除斑点空洞干扰、依次经过细化操作、去毛刺后，最后提取特征点。本发明采用指静脉技术及TCM技术的双保险策略最大限度地保障了信息安全；指静脉装置集成于移动存储设备保证了设备的便携性；FPGA芯片承担大量数据处理和通信接口功能，最大限度提高了数据传输效率，大大降低对TCM芯片的要求，为TCM芯片型号的选择和成本降低提供更大空间。

Description

一种移动存储设备安全访问的方法及系统

技术领域

本发明涉及数据保护技术领域，具体而言，涉及一种移动存储设备安全访问的方法及系统。

背景技术

以身份标识物品（如智能卡等）和身份标识知识（如账户和密码）为代表的传统身份鉴定方法需要借助外物进行身份认证，该方式在日益严重的信息安全领域面临存在着被盗取的风险，因此，以生物识别技术为核心的信息技术保护手段应运而生。目前应用较为广泛的生物识别技术主要有指纹识别、人脸识别、虹膜识别、视网膜识别、指静脉识别和基因识别等，其中，指纹识别技术破解难度较低，在高安全领域已不再广泛推广。人脸识别、虹膜识别、视网膜识别等技术安全系数高，一般应用于固定设备的信息保护，该技术集成于设备后整机体积较大、研发及生产费用较高，在移动存储技术领域缺乏实用性。基因识别是一种高级的生物识别技术，但由于目前技术的限制，还无法做到实时取样和迅速鉴定，这在某种程度上限制了它的推广。

针对移动存储设备需要具有便携性及价高性价比要求的特点，本发明设计了一种基于指静脉及TCM技术的移动存储设备安全访问方法。指静脉识别技术是利用近红外线穿透手指后所得的静脉纹路影像来进行个人识别，是具有高精度、高速度的世界上最尖端的生物识别技术之一。在各种生物识别技术中，因其是利用外部看不到的生物内部特征进行识别的技术，所以作为具有高防伪性的第二代生物识别技术备受重视。TCM是可信计算平台（trusted computing platform）的简称，其概念由国家密码管理局提出，其是构建在计算系统中，用于实现可信计算功能的支撑系统。该技术包括密码算法、密钥管理、证书管理、密码协议、密码服务等内容，为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。目前国产TCM芯片技术已较为成熟，并在安全保密市场获得广泛应用。

发明内容

鉴于此，本发明为解决移动存储设备数据的安全访问问题以及避免存储设备丢失后可能造成的信息泄露风险，提出了一种基于指静脉及TCM技术的移动存储设备安全访问方法，将目前安全性最高的生物识别技术和可信计算平台技术应用于移动存储数据的保护领域，最大限度保证了信息安全，适用于军用及安全保密领域，将该方法应用于数据安全领域，可以有效防止移动存储设备数据泄露。在系统组成上主要包括专用管理软件和专用移动存储设备两部分。

本发明提供一种移动存储设备安全访问的方法，包括以下步骤：

S1、获取手指静脉原始图形，通过移动存储设备集成的指静脉装置录入指静脉图像信息；

录入指静脉图像信息的方法包括：通过近红外光线照射，利用CCD摄像头获取手指静脉的图像，对提取的信息进行处理，通过I2C总线和FPGA芯片建立连接，通过TCM芯片存储TCM密码算法，通过SPI总线向FPGA芯片提供算法支持；

S2、对录入的指静脉图像信息进行Niblack分割；

所述Niblack分割，用于对录入的指静脉图像信息进行二值化处理，对某一像素点(x,y)根据其r×r邻域内的所有元素，计算出对应邻域窗口内像素平均灰度值m(x,y)与标准方差s(x,y)，根据该平均灰度和方差值得到一个阈值T(x,y)，用于对指静脉图像信息纹路进行最终判决，表达式如下：

式中，f(i,j)是处于(i,j)处的像素点灰度值，m(x,y)是处于(x,y)处的像素点在邻域窗口内的平均灰度值，s(x,y)是处于(x,y)像素点领域窗口的标准方差，k是修正权值；

S3、对二值化处理后的指静脉图像信息进行消除斑点空洞干扰，再经过细化操作、去毛刺后，最后提取特征点；

S4、所述提取特征点存入TCM芯片并作为算法密钥进行使用。

进一步地，所述S1步骤之前的步骤是激活移动存储设备，将移动存储设备的唯一标识码输入管理计算机中的专用软件，通过USB接口将移动存储设备和安装有专用管理软件的安全计算机建立连接，专用管理软件通过USB接口扫描移动存储设备的主控芯片中的唯一标识码，直至获取的唯一标识码和输入的管理员标识码相同；

所述主控芯片用于数据读写任务分配，建立USB接口和FPGA芯片的连接，采用嵌入式除错引擎ECC Engine及均匀抹除Wear Leveling技术。

进一步地，所述S3步骤，所述消除斑点空洞干扰的方法是采用阈值判断法对二值化指静脉图像信息纹路的斑点及空洞进行消除。

进一步地，所述S3步骤，所述细化操作的方法是实际录入指静脉图像与TCM芯片存储的指静脉图像信息进行比对时，静脉纹路图像中静脉纹路较粗，而指静脉纹路的基本结构及走向较为稳定，其粗细受拍摄光照影响粗细度不稳定，使用四连通并行快速细化算法对指静脉图像信息纹路中静脉纹路进行处理。

进一步地，所述实际录入指静脉图像与TCM芯片存储的指静脉图像信息进行比对成功后，FPGA芯片调用TCM密码算法，使用Flash并口标准连接主控芯片和Flash芯片组，对传输数据进行加解密处理；

所述Flash芯片组为通用存储芯片，保障了数据存储的易用性、稳定性和高性价比。

进一步地，所述实际录入指静脉图像与TCM芯片存储的指静脉图像信息进行比对失败后，通过主控芯片登记计算机的物理地址和IP地址后断开与USB接口的连接，物理上切断存储设备和计算机的连接，直至下次指静脉图像认证成功。

进一步地，所述S3步骤，所述去毛刺的方法是从每个端点开始沿非零点进行搜索，直到达到交叉点或另一端点位置，同时记录所经历的像素点个数，用像素点数同设定阈值进行比较，将小于阈值的端点所在路径所有1置位为0。

进一步地，所述S3步骤，所述提取特征点的方法是提取指静脉骨架中的交叉点和端点两种关键性节点。

进一步地，所述移动存储设备在出厂前注入唯一标识码，此时FPGA芯片为透明状态，移动存储设备无法作为涉密载体进行使用。

本发明还提供一种移动存储设备安全访问的系统，包括：

（1）指静脉录入模块：用于获取手指静脉原始图像信息及特征点提取，包括：

图像录入单元：录入指静脉图像信息的物理装置；

图像分割单元：用于对录入的指静脉图像信息进行二值化处理，对指静脉图像信息纹路进行最终判决；

提取特征点单元：用于对二值化处理后的指静脉图像信息进行消除斑点空洞干扰，再经过细化操作、去毛刺后，最后提取特征点；

（2）加解密模块：用于基于指静脉图像信息生成密钥，对传输数据进行加解密处理；

（3）存储模块：用于存储加密后的数据。

与现有技术相比，本发明的有益效果是：

采用业内广泛认可的高安全性的指静脉技术及TCM技术的双保险策略最大限度地保障了信息安全；指静脉装置可进行小型化研制，集成于移动存储设备时保证了设备本身的便携性；FPGA芯片通过高速并口连接主控芯片及Flash芯片组，仅加解密过程消耗时间，本身传输过程不会造成时间损耗，最大限度提高了数据传输效率；FPGA芯片承担大量数据处理和通信接口功能，大大降低对TCM芯片的要求，为TCM芯片型号的选择和成本降低提供更大空间。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。

在附图中：

图1是本发明一种基于指静脉及TCM技术的移动存储设备安全访问方法的流程图；

图2为本发明系统框架图；

图3为本发明指静脉装置设计图；

图4为本发明指静脉图像信息处理流程图；

图5 为本发明加密算法流程图；

图6 为本发明解密算法流程图；

图7为本发明数据访问流程。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本发明提供一种移动存储设备安全访问的方法，参阅图1所示，包括以下步骤：

S1、获取手指静脉原始图形，通过移动存储设备集成的指静脉装置录入指静脉图像信息；

录入指静脉图像信息的方法包括：通过近红外光线照射，利用CCD摄像头获取手指静脉的图像，对提取的信息进行处理，通过I2C总线和FPGA芯片建立连接，通过TCM芯片存储TCM密码算法，通过SPI总线向FPGA芯片提供算法支持；

S2、对录入的指静脉图像信息进行Niblack分割；

所述Niblack分割，用于对录入的指静脉图像信息进行二值化处理，对某一像素点(x,y)根据其r×r邻域内的所有元素，计算出对应邻域窗口内像素平均灰度值m(x,y)与标准方差s(x,y)，根据该平均灰度和方差值得到一个阈值T(x,y)，用于对指静脉图像信息纹路进行最终判决，表达式如下：

式中，f(i,j)是处于(i,j)处的像素点灰度值，m(x,y)是处于(x,y)处的像素点在邻域窗口内的平均灰度值，s(x,y)是处于(x,y)像素点领域窗口的标准方差，k是修正权值；

S3、对二值化处理后的指静脉图像信息进行消除斑点空洞干扰，再经过细化操作、去毛刺后，最后提取特征点；

S4、所述提取特征点存入TCM芯片并作为算法密钥进行使用。

所述S1步骤之前的步骤是激活移动存储设备，将移动存储设备的唯一标识码输入管理计算机中的专用软件，通过USB接口将移动存储设备和安装有专用管理软件的安全计算机建立连接，专用管理软件通过USB接口扫描移动存储设备的主控芯片中的唯一标识码，直至获取的唯一标识码和输入的管理员标识码相同；

所述主控芯片用于数据读写任务分配，建立USB接口和FPGA芯片的连接，采用嵌入式除错引擎ECC Engine及均匀抹除Wear Leveling技术；

本发明实施例中，在出厂前，移动存储设备生产商向每个移动存储设备的主控芯片注入唯一标识码，同时，指静脉装置未使用，FPGA及TCM芯片的加解密功能未激活，当移动存储设备连接至计算机时，FPGA仅起到连接主控芯片和Flash芯片组的作用，可视其为透明状态，该状态下移动存储设备无法作为涉密载体进行使用；

本发明实例中，到达客户手中后，对设备进行激活，由管理员首先将移动存储设备的唯一标识码输入管理计算机中的专用软件，然后通过USB接口将移动存储设备和安装有专用管理软件的安全计算机建立连接，专用管理软件通过USB接口扫描移动存储设备的主控芯片中的唯一标识码，如果获取的唯一标识码和管理员输入的标识码相同则认证成功，管理计算机通过主控芯片对FPGA和TCM芯片的加解密功能进行激活，以此完成设备激活。

所述S3步骤，所述消除斑点空洞干扰的方法是采用阈值判断法对二值化指静脉图像信息纹路的斑点及空洞进行消除。

所述S3步骤，所述细化操作的方法是实际录入指静脉图像与TCM芯片存储的指静脉图像信息进行比对时，静脉纹路图像中静脉纹路较粗，而指静脉纹路的基本结构及走向较为稳定，其粗细受拍摄光照影响粗细度不稳定，使用四连通并行快速细化算法对指静脉图像信息纹路中静脉纹路进行处理。

所述S1步骤，在本发明实施例中，用户使用移动存储设备之前需要通过存储设备集成的指静脉装置录入指静脉图像信息，指静脉装置的原理如图3所示；移动存储设备插入待访问计算机USB接口，指静脉装置上电运行并等待用户录入指静脉图像信息，通过近红外光线照射，利用CCD摄像头获取手指静脉的图像，获取原始图形后，指静脉装置对图形进行图像增强、Niblack分割、去斑点及空洞、细化等一系列操作，最终提取指静脉骨架图像中的特征点集，参阅图4所示，指静脉装置完成上述所有操作后将特征点数值存入TCM芯片并作为算法密钥进行使用；

用户录入信息完成后，TCM芯片将该数据与本身存储的指静脉数值进行比对，若比对成功，计算机和移动存储设备可进行通信，数据访问步骤参阅图7所示，具体方式为：

（1）若待访问计算机向存储介质传输数据

参阅图2所示，TCM芯片对通过指静脉装置采集的信息和TCM芯片中存储的指静脉特征值进行比对，比对成功后，FPGA芯片调用TCM芯片中的加密算法及基于指静脉图像信息生成的密钥主控芯片传输过来的数据进行加密，加密流程参阅图5所示，加密后数据被存入Flash芯片组，所述Flash芯片组为通用存储芯片，保障了数据存储的易用性、稳定性和高性价比。若录入指静脉比对失败，则主控芯片登记计算机的物理地址和IP地址后断开与USB接口的连接，从而在物理上切断存储设备和计算机的连接，直至下次指静脉认证成功。

（2）若存储介质向待访问计算机传输数据

参阅图2所示，TCM芯片对通过指静脉装置采集的信息和TCM芯片中存储的指静脉特征值进行比对，比对成功后，Flash芯片调用TCM芯片的解密算法及基于指静脉图像信息生成的密钥对Flash芯片组中的数据进行解密，解密后主控芯片将数据传入计算机，解密流程参阅图6所示。若录入指静脉比对失败，则主控芯片登记计算机的物理地址和IP地址后断开与USB接口的连接，从而在物理上切断存储设备和计算机的连接，直至下次指静脉认证成功。

所述S3步骤，所述去毛刺的方法是从每个端点开始沿非零点进行搜索，直到达到交叉点或另一端点位置，同时记录所经历的像素点个数，用像素点数同设定阈值进行比较，将小于阈值的端点所在路径所有1置位为0。

所述S3步骤，所述提取特征点的方法是提取指静脉骨架中的交叉点和端点两种关键性节点。

所述移动存储设备在出厂前注入唯一标识码，此时FPGA芯片为透明状态，移动存储设备无法作为涉密载体进行使用。

（1）指静脉录入模块：用于获取手指静脉原始图像信息及特征点提取，包括：

图像录入单元：录入指静脉图像信息的物理装置；

图像分割单元：用于对录入的指静脉图像信息进行二值化处理，对指静脉图像信息纹路进行最终判决；

提取特征点单元：用于对二值化处理后的指静脉图像信息进行消除斑点空洞干扰，再经过细化操作、去毛刺后，最后提取特征点；

（2）加解密模块：用于基于指静脉图像信息生成密钥，对传输数据进行加解密处理；

（3）存储模块：用于存储加密后的数据。

本实施例的架构组成，参阅图2所示，包括：专用管理软件，专用移动存储设备；其中，

所述专用管理软件，包括：管理系统客户端和管理系统后台；

所述管理系统客户端提供人机界面管理服务，包括用户移动存储设备账户的注册、删除和存储设备算法销毁等功能；

所述管理系统后台提供注册信息存储及识别、算法调用及安全认证、数据传输管控及违规记录。

与现有技术相比，本发明的有益效果是：

采用业内广泛认可的高安全性的指静脉技术及TCM技术的双保险策略最大限度地保障了信息安全；指静脉装置可进行小型化研制，集成于移动存储设备时保证了设备本身的便携性；FPGA芯片通过高速并口连接主控芯片及Flash芯片组，仅加解密过程消耗时间，本身传输过程不会造成时间损耗，最大限度提高了数据传输效率；FPGA芯片承担大量数据处理和通信接口功能，大大降低对TCM芯片的要求，为TCM芯片型号的选择和成本降低提供更大空间。

至此，已经结合附图所示的优选实施方式描述了本发明的技术方案，但是，本领域技术人员容易理解的是，本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下，本领域技术人员可以对相关技术特征做出等同的更改或替换，这些更改或替换之后的技术方案都将落入本发明的保护范围之内。

以上所述仅为本发明的优选实施例，并不用于限制本发明；对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (2)

1.一种移动存储设备安全访问的方法，其特征在于，包括以下步骤：

S1、获取手指静脉原始图形，通过移动存储设备集成的指静脉装置录入指静脉图像信息；

录入指静脉图像信息的方法包括：通过近红外光线照射，利用CCD摄像头获取手指静脉的图像，对提取的信息进行处理，通过I2C总线和FPGA芯片建立连接，通过TCM芯片存储TCM密码算法，通过SPI总线向FPGA芯片提供算法支持；

S2、对录入的指静脉图像信息进行Niblack分割；

所述Niblack分割，用于对录入的指静脉图像信息进行二值化处理，对某一像素点(x,y)根据其r×r邻域内的所有元素，计算出对应邻域窗口内像素平均灰度值m(x,y)与标准方差s(x,y)，根据该平均灰度和方差值得到一个阈值T(x,y)，用于对指静脉图像信息纹路进行最终判决，表达式如下：

式中，f(i,j)是处于(i,j)处的像素点灰度值，m(x,y)是处于(x,y)处的像素点在邻域窗口内的平均灰度值，s(x,y)是处于(x,y)像素点领域窗口的标准方差，k是修正权值；

S3、对二值化处理后的指静脉图像信息进行消除斑点空洞干扰，再经过细化操作、去毛刺后，最后提取特征点；

所述细化操作的方法是实际录入指静脉图像与TCM芯片存储的指静脉图像信息进行比对时，使用四连通并行快速细化算法对指静脉图像信息纹路中静脉纹路进行处理；

所述实际录入指静脉图像与TCM芯片存储的指静脉图像信息进行比对成功后，FPGA芯片调用TCM密码算法，使用Flash并口标准连接主控芯片和Flash芯片组，对传输数据进行加解密处理；

所述实际录入指静脉图像与TCM芯片存储的指静脉图像信息进行比对失败后，通过主控芯片登记计算机的物理地址和IP地址后断开与USB接口的连接，物理上切断存储设备和计算机的连接，直至下次指静脉图像认证成功；

S4、所述提取特征点存入TCM芯片并作为算法密钥进行使用；

所述移动存储设备在出厂前注入唯一标识码，此时FPGA芯片为透明状态，移动存储设备无法作为涉密载体进行使用；

所述S1步骤之前的步骤是激活移动存储设备，将移动存储设备的唯一标识码输入管理计算机中的专用软件，通过USB接口将移动存储设备和安装有专用管理软件的安全计算机建立连接，专用管理软件通过USB接口扫描移动存储设备的主控芯片中的唯一标识码，直至获取的唯一标识码和输入的管理员标识码相同；

所述S3步骤，所述消除斑点空洞干扰的方法是采用阈值判断法对二值化指静脉图像信息纹路的斑点及空洞进行消除；

所述S3步骤，所述去毛刺的方法是从每个端点开始沿非零点进行搜索，直到达到交叉点或另一端点位置，同时记录所经历的像素点个数，用像素点数同设定阈值进行比较，将小于阈值的端点所在路径所有1置位为0；

所述S3步骤，所述提取特征点的方法是提取指静脉骨架中的交叉点和端点两种关键性节点。

2.执行如权利要求1所述的移动存储设备安全访问的方法的系统，其特征在于，包括：

（1）指静脉录入模块：用于获取手指静脉原始图像信息及特征点提取，包括：

图像录入单元：录入指静脉图像信息的物理装置；

图像分割单元：用于对录入的指静脉图像信息进行二值化处理，对指静脉图像信息纹路进行最终判决；

提取特征点单元：用于对二值化处理后的指静脉图像信息进行消除斑点空洞干扰，再经过细化操作、去毛刺后，最后提取特征点；

（2）加解密模块：用于基于指静脉图像信息生成密钥，对传输数据进行加解密处理；

（3）存储模块：用于存储加密后的数据。

Images