CN112364316A - 基于结构光阵列识别的高安全等级数据访问方法和装置 - Google Patents

基于结构光阵列识别的高安全等级数据访问方法和装置 Download PDF

Info

Publication number
CN112364316A
CN112364316A CN202011278762.XA CN202011278762A CN112364316A CN 112364316 A CN112364316 A CN 112364316A CN 202011278762 A CN202011278762 A CN 202011278762A CN 112364316 A CN112364316 A CN 112364316A
Authority
CN
China
Prior art keywords
information
key
user
unit
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011278762.XA
Other languages
English (en)
Other versions
CN112364316B (zh
Inventor
廖裕民
骆飞
刘学
王俊
康宽弘
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Anjilite New Technology Co ltd
Original Assignee
Shenzhen Anjili New Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Anjili New Technology Co ltd filed Critical Shenzhen Anjili New Technology Co ltd
Priority to CN202011278762.XA priority Critical patent/CN112364316B/zh
Publication of CN112364316A publication Critical patent/CN112364316A/zh
Application granted granted Critical
Publication of CN112364316B publication Critical patent/CN112364316B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种基于结构光阵列识别的高安全等级数据访问方法和装置,所述装置包括:结构光阵列比对单元、合法结构光阵列信息存储单元、用户等级存储单元、用户校验信息存储单元、第一解密电路、校验密钥存储单元、密钥产生单元、数字签名运算单元、用户信息比对单元、读写控制电路和数据存储单元。本发明通过对采集的当前用户的结构光阵列信息进行识别以实现对数据存储单元的访问,在结构光阵列信息比对通过后根据用户安全等级来获取不同的访问密钥信息,并通过对用户数字签名信息进行认证来决定是否允许当前用户对所述数据存储单元进行访问,极大增强了用户对数据访问的安全性和唯一性。

Description

基于结构光阵列识别的高安全等级数据访问方法和装置
技术领域
本发明涉及芯片电路设计领域,特别涉及一种基于结构光阵列识别的高安全等级数据访问方法和装置。
背景技术
SSD数据存储已经逐渐成为消费设备数据存储和云存储的主要存储介质。对于SSD数据存储来说,数据纠错的意义十分重大,特别是个人关键数据和政府机构相关的数据。SSD主控芯片作为SSD存储设备的大脑,其安全性能直接决定SSD硬盘整体最终的安全性能。
目前,对于每个用户数据的安全访问,最常用的方法仍然是设置密码的方式,通过对密码进行校验的方式完成用户授权,但一个SSD存储设备可能被不同的用户使用,而不同的用户应该有不同的安全等级,以便赋予不同存储空间的访问权限。采用设置密码的方式不仅无法保证用户对于相应存储区访问的唯一性,也容易导致用户忘记密码而无法对存储设备的数据区进行访问的情况发生。
发明内容
为此,需要提供一种基于结构光阵列识别的高安全等级数据访问的技术方案,用以解决目前对于同一存储设备的数据访问时存在的安全性弱、用户体验差的问题。
为实现上述目的,本发明提供了一种基于结构光阵列识别的高安全等级数据访问方法,所述装置包括:结构光阵列比对单元、合法结构光阵列信息存储单元、用户等级存储单元、用户校验信息存储单元、第一解密电路、校验密钥存储单元、密钥产生单元、数字签名运算单元、用户信息比对单元、读写控制电路和数据存储单元;
所述结构光阵列比对单元分别与结构光阵列采集单元、所述合法结构光阵列信息存储单元、所述用户等级存储单元、用户校验信息存储单元和所述密钥产生单元连接,所述密钥产生单元和所述数字签名运算单元连接,所述数字签名运算单元与所述用户信息比对单元连接;
所述第一解密电路分别与所述用户校验信息存储单元、校验密钥存储单元、用户信息比对单元连接,所述用户信息比对单元与所述读写控制电路连接,所述读写控制电路分别与所述第一安全等级存储区和第二安全等级存储区连接;
所述方法包括以下步骤:
结构光阵列比对单元接收结构光阵列采集单元采集的当前用户的结构光阵列信息,将采集的所述当前用户的结构光阵列信息与所述合法结构光阵列信息存储单元中存储的合法结构光阵列信息进行比对,若比对通过则从所述用户等级存储单元中获取当前用户对应的用户等级;
密钥产生单元根据所述当前用户对应的用户等级生成访问密钥信息;
数字签名运算单元对所述访问密钥信息进行哈希运算,得到用户数字签名信息;
第一解密电路从所述用户校验信息存储单元中获取加密后的用户签名校验信息以及从所述校验密钥存储单元中获取校验密钥信息,采用所述校验密钥信息对所述加密后的用户签名校验信息进行解密,并将解密后的用户签名校验信息发送给所述用户信息比对单元;
用户信息比对单元接收所述用户数字签名信息和所述解密后的用户签名校验信息,并根据两者的比对结果发送相应的控制信号至所述读写控制电路;
读写控制电路根据所述控制信号确定是否允许当前用户对数据存储单元进行访问。
进一步地,所述数据存储单元包括多个不同安全等级的数据存储区;
所述方法包括:
读写控制电路接收所述用户信息比对单元发出的第一控制信号,并根据当前用户对应的用户等级访问与当前用户对应的用户等级相匹配的数据存储区;所述第一控制信号为所述用户数字签名信息校验通过后所述用户信息比对单元发出的控制信号。
进一步地,所述装置包括第二加解密电路,所述第二加解密电路分别与所述密钥产生单元、用户信息比对单元连接;
所述方法包括:
第二加解密电路接收数据读写设备的数据读取指令,采用所述访问密钥信息对所述读写控制电路从所述数据存储单元中读取的加密后的待读取数据进行解密,并将解密后的待读取数据发送给数据读写设备;或者,第二加解密电路接收数据读写设备的数据写入指令和待写入数据,采用所述访问密钥信息对待写入数据进行加密,并通过所述读写控制电路将加密后的待写入数据写入到数据存储单元中。
进一步地,所述装置还包括读写限制单元,所述读写限制单元分别与所述第二加解密单元、所述结构光阵列比对单元连接;
所述方法包括:
读写限制单元在接收到数据读写设备发出的数据读写指令后,获取所述结构光阵列比对单元传输的当前用户安全等级,并根据当前用户安全等级对所述数据读写指令能够访问的数据存储单元中的数据存储区位置进行限制。
进一步地,所述装置还包括计数器和擦除电路;所述计数器分别与所述结构光阵列比对单元、所述擦除电路连接,所述擦除电路与读写控制电路连接;
所述方法包括:
计数器统计预设时间段内结构光阵列比对结果为错误的次数,在判定预设时间段内结构光阵列比对结果为错误的次数超过预设数值时,发送擦除信号至擦除电路;
擦除电路接收所述擦除信号,擦除所述数据存储单元中安全等级符合预设安全等级的数据存储区中的数据。
进一步地,所述数据存储单元包括多个数据存储区,不同数据存储区对应不同安全等级;
所述“密钥产生单元根据所述当前用户对应的用户等级生成访问密钥信息”包括:密钥产生单元获取所述当前用户对应的用户等级,并生成与当前用户对应的用户等级相匹配的安全等级的访问密钥信息。
进一步地,所述密钥产生单元包括源数据解密单元、根密钥运算单元和层级解密运算单元;所述源数据解密单元与根密钥运算单元连接,所述根密钥运算单元和层级解密运算单元连接;
所述方法包括:
源数据解密单元获取加密后的源数据进行解密,得到解密后的源密钥和解密后的层级加解密算法;
根密钥运算单元根据所述解密后的源密钥计算得到根密钥信息;
层级解密运算单元获取层级密钥信息、层级密钥加解密算法和根密钥信息,根据所述层级密钥加解密算法采用所述根密钥信息对所述层级密钥信息进行解密,得到访问密钥信息。
进一步地,所述密钥产生单元还包括层级信息存储单元和主控芯片;
层级解密运算单元包括一级解密运算单元和二级解密运算单元;所述层级密钥信息包括第一层级密钥信息和第二层级密钥信息;所述层级加解密算法包括第一层级加解密算法和第二层加解密算法;
所述方法包括:
主控芯片从所述层级信息存储单元获取一级层级密钥信息,并将所述一级层级密钥信息传输给一级解密运算单元,以及从所述层级信息存储单元获取二级层级密钥信息,并将所述二级层级密钥信息传输给二级解密运算单元;
一级解密运算单元根据所述一级层级密钥加解密算法采用所述根密钥信息对所述一级层级密钥信息进行解密,得到一级密钥;
二级解密运算单元获取所述一级密钥,并根据所述二级层级密钥加解密算法采用所述一级密钥信息对所述二级层级密钥信息进行解密,得到二级密钥。
进一步地,所述层级信息存储单元还存储有握手请求信息和握手响应信息;所述密钥产生单元还包括握手解密运算电路、握手加密运算电路和握手信息校验电路;
所述方法包括:
握手解密运算电路采用所述访问密钥信息对所述访问密钥信息自身进行解密,得到握手加密密钥信息;
握手加密运算电路接收主控芯片发送的所述握手请求信息,并采用所述握手加密密钥信息对所述握手请求信息进行加密,得到握手加密信息;
握手信息校验电路获取所述握手加密信息和主控芯片发送的握手响应信息,并判断两者是否匹配,若是则输出所述访问密钥信息。
本发明第二方面还提供了一种基于结构光阵列识别的高安全等级数据访问装置,所述装置用于执行如本发明第一方面所述的方法。
本申请相较于现有技术有以下优点:由于用户数字签名信息是根据密钥产生单元生成的访问密钥信息实时运算得到的,而用户校验信息又是经过单独的校验密钥信息进行加密后存储的,从而极大增强了用户对数据访问的安全性。
附图说明
图1为本发明一实施例涉及的密钥产生单元的结构示意图;
图2为本发明另一实施例涉及的密钥产生单元的结构示意图;
图3为本发明另一实施例涉及的密钥产生单元的结构示意图;
图4为本发明一实施例涉及的密钥产生方法的流程图;
图5为本发明另一实施例涉及的密钥产生方法的流程图;
图6为本发明另一实施例涉及的密钥产生方法的流程图;
图7为本发明一实施例涉及的基于结构光阵列识别的高安全等级数据访问装置的结构示意图;
图8为本发明另一实施例涉及的基于结构光阵列识别的高安全等级数据访问装置的结构示意图;
图9为本发明一实施例涉及的基于结构光阵列识别的高安全等级数据访问方法的流程图;
附图标记说明:
10、基于结构光阵列识别的高安全等级数据访问装置;
201、结构光阵列采集单元;202、结构光阵列比对单元;203、用户等级存储单元;204、数据存储单元;205、读写控制电路;206、用户校验信息存储单元;207、用户信息比对单元;
208、第一安全等级存储区;209、第二安全等级存储区;210、第三安全等级存储区;211、数字签名运算单元;212、第一解密电路;213、校验密钥存储单元;214、读写限制单元;215、第二加解密电路;216、计数器;217、擦除电路;218、合法结构光阵列信息存储单元;
30、密钥产生单元;
301、源数据存储单元;
302、源数据解密单元;
303、算法信息存储单元;
304、层级信息存储单元;
305、根密钥运算单元;
306、层级解密运算单元;3061、一级解密运算单元;3062、二级解密运算单元;3063、三级解密运算单元;
307、握手解密运算电路;3071、一级握手解密运算电路;3072、二级握手解密运算电路;3073、三级握手解密运算电路;
308、握手加密运算电路;3081、一级握手加密运算电路;3082、二级握手加密运算电路;3083、三级握手加密运算电路;
309、握手信息校验电路;
310、密钥选择单元;
311、算法选择单元;3111、一级算法选择单元;3112、二级算法选择单元;3113、三级算法选择单元;
313、用户标识信息存储单元;
40、密钥记录单元;
50、数据读写设备。
具体实施方式
为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明。
如图9所示,本发明第一方面提供了一种基于结构光阵列识别的高安全等级数据访问方法,所述方法包括以下步骤:
首先进入步骤S901结构光阵列比对单元接收结构光阵列采集单元采集的当前用户的结构光阵列信息,将采集的所述当前用户的结构光阵列信息与所述合法结构光阵列信息存储单元中存储的合法结构光阵列信息进行比对,若比对通过则从所述用户等级存储单元中获取当前用户对应的用户等级;
而后进入步骤S902密钥产生单元根据所述当前用户对应的用户等级生成访问密钥信息;
而后进入步骤S903数字签名运算单元对所述访问密钥信息进行哈希运算,得到用户数字签名信息;
而后进入步骤S904第一解密电路从所述用户校验信息存储单元中获取加密后的用户签名校验信息以及从所述校验密钥存储单元中获取校验密钥信息,采用所述校验密钥信息对所述加密后的用户签名校验信息进行解密,并将解密后的用户签名校验信息发送给所述用户信息比对单元;
而后进入步骤S905用户信息比对单元接收所述用户数字签名信息和所述解密后的用户签名校验信息,并根据两者的比对结果发送相应的控制信号至所述读写控制电路;
而后进入步骤S906读写控制电路根据所述控制信号确定是否允许当前用户对数据存储单元进行访问。
由于用户数字签名信息是实时运算得到的,用户校验信息又是经过单独的密钥加密存储的,从而极大增强了用户对数据访问的安全性。此外,不同用户的安全等级可以设置为不同,不同安全等级又可以产生不同等级的访问密钥信息,从而实现对数据存储单元中不同数据存储区的差异化访问,提升用户对数据访问的唯一性。
在某些实施例中,所述数据存储单元包括多个不同安全等级的数据存储区。所述方法包括:读写控制电路接收所述用户信息比对单元发出的第一控制信号,并根据当前用户对应的用户等级访问与当前用户对应的用户等级相匹配的数据存储区;所述第一控制信号为所述用户数字签名信息校验通过后所述用户信息比对单元发出的控制信号。
优选的,所述“密钥产生单元根据所述当前用户对应的用户等级生成访问密钥信息”包括:密钥产生单元获取所述当前用户对应的用户等级,并生成与当前用户对应的用户等级相匹配的安全等级的访问密钥信息。在这一实施例中,不同用户的用户等级各不相同,对应生成的访问密钥信息的安全等级也各不同相同,基于所述访问密钥信息生成的待认证用户信息也存在着不同的等级。通过对数据存储单元中的各数据存储区配置不同的用户校验信息,可以实现不同用户等级的用户对不同安全等级的数据存储区中的访问,保证了用户访问所述数据存储单元的唯一性。
在某些实施例中,所述装置包括第二加解密电路,所述第二加解密电路分别与所述密钥产生单元、用户信息比对单元连接;所述方法包括:第二加解密电路接收数据读写设备的数据读取指令,采用所述访问密钥信息对所述读写控制电路从所述数据存储单元中读取的加密后的待读取数据进行解密,并将解密后的待读取数据发送给数据读写设备;或者,第二加解密电路接收数据读写设备的数据写入指令和待写入数据,采用所述访问密钥信息对待写入数据进行加密,并通过所述读写控制电路将加密后的待写入数据写入到数据存储单元中。
在某些实施例中,所述装置还包括读写限制单元,所述读写限制单元分别与所述第二加解密单元、所述结构光阵列比对单元连接;所述方法包括:读写限制单元在接收到数据读写设备发出的数据读写指令后,获取所述结构光阵列比对单元传输的当前用户安全等级,并根据当前用户安全等级对所述数据读写指令能够访问的数据存储单元中的数据存储区位置进行限制。
简言之,每一用户都有自身对应的用户等级,不同用户等级能够访问数据存储单元中数据存储区的权限是不一样的。一般用户等级越高,其能够访问的数据存储区的安全等级就越高。例如数据存储单元分为高安全数据存储区和低安全数据存储区,用户等级分为高用户等级和低用户等级,高用户等级被赋予权限能够访问高安全数据存储区,低用户等级被赋予权限能够访问低安全数据存储区但不能访问高安全数据存储区。当结构光阵列比对单元经过结构光阵列信息比对后发现当前用户的用户等级为低用户等级,但当前数据读写设备传输的数据读写指令的操作对象却是对高安全数据区中的数据进行访问时,则读写限制单元将直接反馈错误信号,限制当前数据读写指令的执行,从而保证数据访问的安全性。
在某些实施例中,所述装置还包括计数器和擦除电路;所述计数器分别与所述结构光阵列比对单元、所述擦除电路连接,所述擦除电路与读写控制电路连接。所述方法包括:计数器统计预设时间段内结构光阵列比对结果为错误的次数,在判定预设时间段内结构光阵列比对结果为错误的次数超过预设数值时,发送擦除信号至擦除电路;擦除电路接收所述擦除信号,擦除所述数据存储单元中安全等级符合预设安全等级的数据存储区中的数据。这样,当采集到的结构光阵列信息频繁比对错误时,擦除电路可以自动对安全级别最高的数据存储区中的数据予以擦除,进一步保证了数据存储的安全性。
本发明的第二方面还提供了一种基于结构光阵列识别的高安全等级数据访问装置,所述装置用于执行如本申请第一方面所述的方法。如图7所示,为本发明一实施例涉及的基于结构光阵列识别的高安全等级数据访问装置的结构示意图。
所述装置包括:结构光阵列比对单元202、合法结构光阵列信息存储单元218、用户等级存储单元203、用户校验信息存储单元206、密钥产生单元30、数字签名运算单元211、用户信息比对单元207、读写控制电路205、数据存储单元204、第一解密电路212、校验密钥存储单元213;所述数据存储单元204包括第一安全等级存储区208和第二安全等级存储区209;
所述结构光阵列比对单元202分别与结构光阵列采集单元201、所述合法结构光阵列信息存储单元218、所述用户等级存储单元203、所述密钥产生单元30、用户校验信息存储单元206连接,所述密钥产生单元30和所述数字签名运算单元211连接,所述数字签名运算单元211分别与所述用户信息比对单元207连接,所述用户信息比对单元207与所述第一解密电路212、读写控制电路205连接。所述第一解密电路212与所述用户校验信息存储单元206、校验密钥存储单元213连接,所述读写控制电路205分别与所述第一安全等级存储区208和第二安全等级存储区209连接。所述结构光阵列采集单元201为能够发射红外光并通过用户身体部分返回的红外信号生成相应部分的生物特征影像信息的电子元件,所述生物特征影像信息即为结构光阵列信息。
在使用装置10时,首先结构光阵列识别单元202接收结构光阵列采集单元201采集用户的结构光阵列信息,并将当前采集得到的结构光阵列信息与合法结构光阵列信息存储单元218中事先存储的结构光阵列信息进行比对,如果比对正确则结构光阵列识别单元202根据采集的结构光阵列信息从所述用户等级存储单元203中获取当前用户对应的安全等级,并将获取的安全等级发给密钥产生单元30。密钥产生单元30接收当前用户的安全等级后,会根据当前用户的安全等级产生与所述安全等级相匹配的访问密钥信息。而后数字签名运算单元211对所述访问密钥信息进行哈希运算,得到待认证的用户数字签名信息,并将待认证的用户数字签名信息传输给用户信息比对单元207。与此并行地,用户校验信息存储单元206会根据结构光阵列识别单元202的比对结果将当前用户对应的加密后的用户校验信息发送给第一解密电路212,第一解密电路212获取所述加密后的用户签名校验信息和所述校验密钥存储单元213中存储的校验密钥信息,采用所述校验密钥信息对所述加密后的用户签名校验信息进行解密,并将解密后的用户签名校验信息发送给所述用户信息比对单元207。所述用户信息比对单元207。所述用户信息比对单元207获取所述待认证的用户数字签名信息和当前用户对应的用户校验信息,对两者进行比对并根据比对结果发送控制信号至所述读写控制电路205。
优选的,数字签名运算单元211根据以下方式实时生成的用户数字签名信息:数字签名运算单元211获取访问密钥信息后,根据预设加密算法(如SM3加密算法)对所述访问密钥信息进行哈希散列计算,从而得到用户数字签名信息。哈希运算属于加解密运算中的常用功能,因而数字签名运算单元211可以采用内置有哈希运算模块的加解密运算电路来实现。由于用户校验信息是经过加密后存储,而用户数字签名信息是根据访问密钥信息实时生成的,进一步增强了数据访问过程中的安全性。所述读写控制电路为NAND读写控制器。
在本申请中,所述数据存储单元204包括第一安全等级存储区208和第二安全等级存储区209,不同用户可以将私有数据存储在不同的安全等级存储区中,不同用户的安全等级可以设置为不同,当用户安全等级不同时,密钥产生单元30又可以产生不同等级的密钥,从而实现对于第一安全等级存储区和第二安全等级存储区中数据的差异化范围,提升用户对数据访问的唯一性。
如图8所示,在某些实施例中,所述装置10包括第二加解密电路215,所述第二加解密电路215分别与所述密钥产生单元30、用户信息比对单元207连接。所述第二加解密电路215用于接收所述密钥产生单元30生成的访问密钥信息,并采用所述访问密钥信息对从所述数据存储单元204中读取的数据进行解密或者对待写入所述数据存储单元204中的数据进行加密。
进一步地,所述装置还包括读写限制单元214。所述读写限制单元214分别与所述第二加解密单元215、结构光阵列比对单元202连接,用于在接收到数据读写设备50发出的数据读写指令后,获取所述结构光阵列比对单元202传输的当前用户安全等级,并根据当前用户安全等级对所述数据读写指令能够访问的数据存储单元204中的数据存储区位置进行限制。
当数据读写设备50需要对数据存储单元204进行访问时,无论是读取数据还是写入数据,其所发出的数据读写指令都会被传输至所述读写限制单元214中,而后结构光阵列比对单元202在结构光阵列信息比对通过后会获取当前用户的安全等级传输至读写限制单元214中,如果读写限制单元214检测到接收的当前用户的安全等级与所述数据读写指令将要访问的数据存储区不匹配,则其会直接反馈错误标记给所述数据读写设备50,从而拒绝数据读写设备50对数据存储区的进一步访问。例如读写限制单元214接收到数据读写设备50传输的对所述第三安全等级存储区中存储的数据的读取指令,但结构光阵列比对单元202经过比对后获取的当前用户安全等级为第二安全等级,说明当前用户无权限读取所述第三安全等级存储区中存储的数据,则读写限制单元214会直接拒绝所述数据读写设备50的数据读取请求,以增强数据整体的安全性。
在某些实施例中,所示数据存储单元204还包括第三安全等级存储区。相应的,用户安全等级包括第一安全等级、第二安全等级和第三安全等级,所述第三安全等级高于所述第二安全等级,所述第二安全等级高于所述第一安全等级。如果用户想要访问第一安全等级存储区中的数据,那么结构光阵列比对单元所获取的用户安全等级要求为第一安全等级;如果用户想要访问第二安全等级存储区中的数据,那么结构光阵列比对单元所获取的用户安全等级要求为第二安全等级;如果用户想要访问第三安全等级存储区中的数据,那么结构光阵列比对单元所获取的用户安全等级要求为第三安全等级。
优选的,用户安全等级与用户能够访问的安全等级存储区之间的对应关系可以根据实际需要进行配置。以所述数据存储区包括第一安全等级存储区208、第二安全等级存储区209和第三安全等级存储区210为例,所述对应关系可以配置为:第一安全等级的用户只能够访问第一安全等级存储区208中的数据,第二安全等级的用户只能够访问所述第二安全等级存储区209中的数据,第三安全等级的用户只能够访问所述第三安全等级存储区210中的数据。当然,所述对应关系也可以被配置为:第一安全等级的用户只能够访问第一安全等级存储区208中的数据,第二安全等级的用户能够访问所述第一安全等级存储区208和所述第二安全等级存储区209中的数据,第三安全等级的用户能够访问所述第一安全等级存储区208、所述第二安全等级存储区209和第三安全等级存储区210中的数据。
如前所述,数据读写设备50发出的数据读取指令和数据写入指令都会先经过读写限制单元214,如果读写限制单元214判断当前用户安全等级符合访问相应数据存储区的要求,则会将数据读取指令或数据写入指令发给所述第二加解密电路215。下面结合从数据存储单元204中读取数据以及将数据写入数据存储单元204中两个过程,对于图8涉及的本发明涉及的装置中各模块的数据处理流程做进一步说明。
数据读取过程具体如下:读写限制单元214接收所述数据读写设备50的数据读取指令,在判定结构光阵列比对单元202传输来的当前用户的安全等级符合条件(即当前用户安全等级能够访问待读取数据的数据存储区)后,将所述数据读取指令发给用户信息比对单元207,用户信息比对单元207在用户信息校对通过后将数据读取指令发给所述读写控制电路205,所述数据读写电路205根据所述数据读取指令从相应安全等级的数据存储区中读取数据后,将读取的数据发给第二加解密电路215。为了保证数据存储的安全性,因而待读取的数据在数据存储区中也是加密存储中,因而在将数据返回给所述数据读写设备50之前还需要对读取的数据进行解密,具体则是所述第二加解密电路215根据所述密钥产生单元30产生的访问密钥信息,对所述读取的加密后的数据进行解密,并将解密后的数据返回给所述数据读写设备50,从而完成整个数据读取过程。
数据写入过程具体如下:读写限制单元214接收所述数据读写设备50的数据写入指令和待写入数据,在判定结构光阵列比对单元202传输来的当前用户的安全等级符合条件(即当前用户安全等级能够访问待写入数据的数据存储区)后,将所述待写入数据发送给第二加解密电路215,所述第二加解密电路215根据所述密钥产生单元30产生的访问密钥信息对待写入数据进行加密,并将加密后的待写入数据发送给用户信息比对单元207。用户信息比对单元207在用户信息校对通过后将加密后的待写入数据发给所述读写控制电路205,所述数据读写电路205根据所述数据写入指令将加密后的待写入数据存储至相应安全等级的数据存储区中,从而完成整个数据写入过程。
在某些实施例中,如图8所示,所述装置还包括计数器216和擦除电路217;所述计数器216分别与所述结构光阵列比对单元202、所述擦除电路217连接,所述擦除电路217与读写控制电路205连接;所述擦除电路217,用于在计数器216统计得到的结构光阵列比对结果为错误的次数超过预设数值时,通过所述读写控制电路205擦除所述数据存储单元204中符合预设安全等级的数据存储区中的数据。优选的,所述预设安全等级为安全性排名靠前的安全等级,如最高的安全等级。结构光阵列信息频繁比对出错,说明当前数据存储单元存在着被非法访问的可能,擦除电路217会及时对于高安全等级数据存储区中的存储数据及时进行擦除,进一步增强了数据安全性。
密钥信息作为数据加解密的工具,是芯片安全认证的关键一环,保证密钥生成过程的安全性就显得尤为重要。为了加强密钥生成过程的安全性,本申请设计了专门的密钥产生单元30来生成最终所需的密钥信息。
如图1所示,为本发明一实施例涉及的密钥产生单元30的结构示意图。所述密钥产生单元30包括:
源数据解密单元301,用于获取加密后的源数据进行解密,得到解密后的源密钥和解密后的层级加解密算法;
根密钥运算单元305,用于根据所述解密后的源密钥计算得到根密钥信息;
层级解密运算单元306,用于获取层级密钥信息、层级密钥加解密算法和根密钥信息,根据所述层级密钥加解密算法采用所述根密钥信息对所述层级密钥信息进行解密,得到访问密钥信息。由于访问密钥信息是由源密钥经过多层加密手段得到,从而极大提升了密钥生成过程中的安全性。
如图2所示,在某些实施例中,所述密钥产生单元30还包括:
算法信息存储单元303,用于存储解密后的层级加解密算法。所述层级加解密算法是后续进行数据加解密时所选择的算法,具体可以包括aes算法、tdes算法、sm4算法中的任意一种或多种。源数据解密单元301解密得到层级加解密算法后,会将层级加解密算法存储到算法信息存储单元303中,以等到后续调用。
算法选择单元311,用于根据用户安全等级选择不同的层级加解密算法至所述层级解密运算单元306。所述用户安全等级是指能够访问数据存储单元中不同安全等级存储区所需的访问权限。用户安全等级越高,其能够访问的安全存储区的安全性越高,对应的密钥生成过程也越复杂。
例如有用户A、用户B和用户C,分别对应的用户安全等级是低安全等级、中安全等级和高安全等级。层级密钥解密运算单元包括第一层级密钥解密运算单元、第二层级密钥解密运算单元和第三层级密钥解密运算单元。假设算法信息存储单元存储有a、b、c三种加解密算法。
在生成用户A对应的访问密钥信息时,密钥产生单元30只启动第一层级密钥解密运算单元完成加解密运算,算法选择单元只需要将加解密算法a发送至第一层级密钥解密运算单元即可。
在生成用户B对应的访问密钥信息时,密钥产生单元30会启动第一层级密钥解密运算单元和第二层级密钥解密运算单元进行加解密运算,算法选择单元先选择加解密算法a发送至第一层级密钥解密运算单元,并在后续第二层级密钥解密运算单元进行加解密运算时将加解密算法b发送至第二层级密钥解密运算单元。
在生成用户C对应的访问密钥信息时,密钥产生单元30不仅会启动第一层级密钥解密运算单元和第二层级密钥解密运算单元进行加解密运算,还会启动第三层级密钥解密运算单元进行加解密运算。算法选择单元先选择加解密算法a发送至第一层级密钥解密运算单元,并在第二层级密钥解密运算单元进行加解密运算时将加解密算法b发送至第二层级密钥解密运算单元,以及在后续并在第三层级密钥解密运算单元进行加解密运算时将加解密算法c发送至第三层级密钥解密运算单元,以使得第三层级密钥解密运算单元完成相应的加解密运算以输出所述访问密钥信息。
在这一实施例中,通过算法选择单元311根据用户安全等级的不同从所述算法信息存储单元303中选择不同的层级加解密算法至相应的层级解密运算单元306,可以使得不同安全等级用户对于数据存储单元中不同安全等级存储区的访问实现差异化,保证不同安全等级用户的对于数据存储单元的访问互不影响,进一步提升访问过程的私密性和安全性。
在某些实施例中,所述密钥产生单元30还包括:
层级信息存储单元304,用于存储层级密钥信息;
主控芯片312,用于获取所述层级信息存储单元304中的层级密钥信息,并将所述层级密钥信息传输给所述层级密钥解密运算单元306。
这样,访问密钥信息产生过程中的解密算法来自于算法信息存储单元303中的加解密算法,并通过算法选择单元311进行筛选,筛选的加解密算法的解密对象为主控芯片312发送的层级密钥信息,解密过程中使用的密钥为根密钥信息,具体是:层级解密运算单元306根据所述层级密钥加解密算法采用所述根密钥信息对所述层级密钥信息进行解密,得到访问密钥信息。由于层级密钥信息、层级密钥加解密算法和根密钥信息三者分别来自于不同的单元,从而进一步提升了生成的访问密钥信息的安全性。
在某些实施例中,所述主控芯片312还用于根据当前用户对应的安全等级发送相应的层级密钥信息至所述层级解密运算单元。同一个数据存储单元可能被多个不同用户访问,为保证各个用户对于同一数据存储单元的访问互不影响,扣对每个数据存储区都设置了相应的安全等级,并对各用户的安全等级匹配有相应的层级密钥信息,以便于不同用户访问数据存储区时密钥产生单元30能够产生不同安全等级的访问密钥信息。
例如有用户A、用户B和用户C,分别对应的用户安全等级是低安全等级、中安全等级和高安全等级。层级密钥解密运算单元包括第一层级密钥解密运算单元、第二层级密钥解密运算单元和第三层级密钥解密运算单元。
假设层级密钥信息包括第一层源密钥、第二层源密钥和第三层源密钥,那么在生成用户A对应的访问密钥信息时,所述密钥产生单元30只启动第一层级密钥解密运算单元完成加解密运算,算法选择单元只需要将加解密算法a发送至第一层级密钥解密运算单元,第一层级解密运算单元根据加解密算法a采用所述根密钥信息对所述第一层源密钥进行解密,得到一级密钥。对于用户A而言,一级密钥即为所需的访问密钥信息。
在生成用户B对应的访问密钥信息时,所述密钥产生单元30会启动第一层级密钥解密运算单元和第二层级密钥解密运算单元进行加解密运算,算法选择单元先选择加解密算法a发送至第一层级密钥解密运算单元,第一层级密钥解密运算单元解密得到一级密钥后(具体做法参考用户A的访问密钥信息的生成过程),会将一级密钥发送给所述第二层级密钥解密运算单元。在第二层级密钥解密运算单元进行解密运算时,主控芯片会将第二层源密钥发送给第二层级密钥解密运算单元,算法选择单元会选择加解密算法b发送至第二层级密钥解密运算单元。而后第二层级密钥解密运算单元根据加解密算法b采用所述一级密钥对所述第二层源密钥进行解密,得到二级密钥。对于用户B而言,二级密钥即为所需的访问密钥信息。
在生成用户C对应的访问密钥信息时,所述密钥产生单元30不仅会启动第一层级密钥解密运算单元和第二层级密钥解密运算单元进行加解密运算,还会启动第三层级密钥解密运算单元进行加解密运算。算法选择单元先选择加解密算法a发送至第一层级密钥解密运算单元,并在第二层级密钥解密运算单元进行加解密运算时将加解密算法b发送至第二层级密钥解密运算单元。第二层级密钥解密运算单元解密得到二级密钥后(具体做法参考用户B的访问密钥信息的生成过程),会将二级密钥发送给所述第三层级密钥解密运算单元。在第三层级密钥解密运算单元进行加解密运算时,算法选择单元会选择加解密算法c发送至第三层级密钥解密运算单元,主控芯片也会将第三层源密钥发送至第三层级密钥解密运算单元,以使得第三层级密钥解密运算单元根据加解密算法c采用所述二级密钥对所述第三层源密钥进行解密,得到三级密钥。对于用户C而言,三级密钥即为所需的访问密钥信息。
在某些实施例中,所述密钥产生单元30还包括:
用户标识信息存储单元313,用于存储用户标识信息。优选的,所述用户标识信息存储单元313中存储有多个不同用户的用户标识信息。所述用户标识信息为区分不同用户的ID,例如可以是用户各自设置的密码,如一串字符串。
根密钥运算单元305,用于获取所述用户标识信息和解密后的源密钥,根据所述解密后的源密钥对所述用户标识信息进行哈希运算,得到根密钥信息。由于根密钥信息是通过解密后的源密钥对所述用户标识信息进行哈希运算得到,可以保证源密钥和生成的根密钥的位数保持一致,同时保证不同用户进行认证时,所生成的根密钥信息均是不同的,进一步提升了密钥生成的安全性。
在某些实施例中,所述密钥产生单元30还包括:源数据存储单元301,用于存储加密后的源数据,所述源数据包括源密钥和层级加解密算法。在本实施方式中,所述源数据存储单元301为OTP存储单元(即一次性可编程单元),这样可以有效防止源数据被篡改。为了防止黑客从源数据存储单元301中直接获得源数据,因而在本申请中是先对源数据进行加密后再存储至OTP存储单元中,对源数据进行加密采用的初始密钥可以被存储于其他存储单元中,以提升源数据存储的安全性。
为了防止访问密钥信息在生成过程中被截获篡改,在本实施方式中,所述层级信息存储单元还用于存储握手请求信息和握手响应信息,如图3所示,所述密钥产生单元30包括:
握手解密运算电路307,用于采用所述访问密钥信息对所述访问密钥信息自身进行解密,得到握手加密密钥信息。访问密钥信息自身在传输过程中容易被截获或篡改,但是如果先用访问密钥信息对所述访问密钥信息自身进行解密后,黑客反向破解的难度就会成指数级增加,因而本申请在进行密钥数据校验前先让访问密钥信息对所述访问密钥信息自身进行解密,得到握手加密密钥信息。
握手加密运算电路308,用于接收所述握手请求信息,并采用所述握手加密密钥信息对所述握手请求信息进行加密,得到握手加密信息。握手请求信息可以预先存储于握手信息存储单元304中,握手请求信息是指待验证的信息,其通过握手加密密钥信息进行加密后可以得到握手加密信息。
握手信息校验电路309,用于获取所述握手响应信息和所述握手加密信息,并判断两者是否匹配,若是则通过校验则输出所述访问密钥信息。所述握手响应信息是指预先存储于握手信息存储单元304中、且是握手请求信息经过加密后得到的校验标准信息。通过比对所述握手响应信息和所述握手加密信息,就可以推知当前访问密钥信息是否被篡改,若两者匹配则可以输出访问密钥信息。
如图3所示,密钥产生单元30可以根据用户的安全等级产生相应层级的访问密钥信息,用户安全等级越高,产生的访问密钥信息的安全性也就越高。
以密钥等级为三个安全等级为例,所述密钥产生单元30包括密钥选择单元310。所述解密运算单元包括一级解密运算单元3061、二级解密运算单元3062、三级解密运算单元3063。所述握手解密运算电路包括一级握手解密运算电路3071、二级握手解密运算电路3072、三级握手解密运算电路3073。所述握手加密运算电路包括一级握手加密运算电路3081、二级握手加密运算电路3082、三级握手加密运算电路3083。算法信息存储单元303中设置有多种加解密算法,包括一级加解密算法、二级加解密算法和三级加解密算法,并依次通过一级算法选择单元3111、二级算法选择单元3112、三级算法选择单元3113进行选择。所述层级密钥信息包括第一层源密钥、第二层源密钥和第三层源密钥。
图3所述的密钥产生单元30的工作原理如下:密钥产生单元30获取当前用户等级,并通过密钥选择单元310输出与所述用户等级相匹配的访问密钥信息至所述密钥记录单元40。假设用户等级有三级,则密钥选择单元310可以根据当前用户的安全等级选择一级密钥或二级密钥或三级密钥进行输出。优选的,三级密钥的安全等级大于二级密钥,二级密钥的安全等级大于一级密钥。
一级密钥的产生过程如下:
源数据解密单元302获取所述源数据存储单元301中加密后的源密钥和层级加解密算法进行解密,得到解密后的源密钥和层级加解密算法,并将所述解密后的源密钥送往根密钥运算单元305,将所述解密后的层级密钥加解密算法存储于算法信息存储单元303中。根密钥运算单元获取所述用户标识信息和解密后的源密钥,根据所述解密后的源密钥对所述用户标识信息进行哈希运算,得到根密钥信息。
而后一级解密运算单元3061接收层级信息存储单元304的第一层源密钥,一级算法选择单元3111选择一级密钥加解密算法至一级解密运算单元3061,以使得一级解密运算单元3061采用一级密钥加解密算法应用所述根密钥信息对所述第一层源密钥进行解密,得到一级密钥。如果当前用户的安全等级为一级,则密钥选择单元310可以选择所述一级密钥输出。
在输出之前,为了防止一级密钥在传输过程中被篡改,需要对生成的一级密钥进行校验,具体是先通过一级握手解密运算电路3071使用一级密钥对一级密钥自身做一次加密,得到一级握手加密密钥信息。而后通过一级握手加密运算电路3081接收所述层级信息存储单元304传输的第一层握手请求数据,并采用所述一级握手加密密钥信息对所述第一层握手请求数据进行加密,得到第一层握手加密信息。而后接收所述层级信息存储单元304传输的第一层握手响应数据,将所述第一层握手响应数据与所述第一层握手加密信息进行比较,若两者匹配说明一级密钥没有被篡改,可以通过密钥选择单元310进行输出。
二级密钥的产生过程如下:
二级密钥的产生过程与一级密钥类似,区别在于一级密钥作为二级密钥产生的输入参数(相当于一级密钥产生时输入的根密钥),具体是二级解密运算单元3062接收层级信息存储单元304的第二层源密钥,二级算法选择单元3112选择二级密钥加解密算法至二级解密运算单元3062,以使得二级解密运算单元3062采用二级密钥加解密算法应用所述一级密钥对所述第二层源密钥进行解密,得到二级密钥。如果当前用户的安全等级为二级,则密钥选择单元310可以选择所述二级密钥输出。
在输出之前,为了防止二级密钥在传输过程中被篡改,需要对生成的二级密钥进行校验,具体是先通过二级握手解密运算电路3072使用二级密钥对二级密钥自身做一次加密,得到二级握手加密密钥信息。而后通过二级握手加密运算电路3082接收所述层级信息存储单元304传输的第二层握手请求数据,并采用所述二级握手加密密钥信息对所述第二层握手请求数据进行加密,得到第二层握手加密信息。而后接收所述层级信息存储单元304传输的第二层握手响应数据,将所述第二层握手响应数据与所述第二层握手加密信息进行比较,若两者匹配说明二级密钥没有被篡改,可以通过密钥选择单元310进行输出,否则可以发出提示信息。
三级密钥的产生过程如下:
三级密钥的产生过程与二级密钥类似,区别在于二级密钥作为三级密钥产生的输入参数(相当于二级密钥产生时输入的一级密钥),具体是三级解密运算单元3063接收层级信息存储单元304的第三层源密钥,三级算法选择单元3113选择三级密钥加解密算法至三级解密运算单元3062,以使得三级解密运算单元3063采用三级密钥加解密算法应用所述二级密钥对所述第三层源密钥进行解密,得到三级密钥。如果当前用户的安全等级为三级,则密钥选择单元310可以选择所述三级密钥输出。
在输出所述三级密钥之前,为了防止三级密钥在传输过程中被篡改,需要对生成的三级密钥进行校验,具体是先通过三级握手解密运算电路3073使用三级密钥对三级密钥自身做一次加密,得到三级握手加密密钥信息。而后通过三级握手加密运算电路3083接收所述层级信息存储单元304传输的第三层握手请求数据,并采用所述三级握手加密密钥信息对所述第三层握手请求数据进行加密,得到第三层握手加密信息。而后接收所述层级信息存储单元304传输的第三层握手响应数据,将所述第三层握手响应数据与所述第三层握手加密信息进行比较,若两者匹配说明三级密钥没有被篡改,可以通过密钥选择单元310进行输出,否则可以发出提示信息。
当然,在另一些实施例中,设置的用户等级的数量还可以为其他数值,如两个安全等级或四个以上的安全等级,相对应的,生成所述访问密钥信息所需的层级数量也可以为其他数量,具体根据实际需要进行设置。当访问密钥信息的层级为其他数量时,其产生的方式可以参考图3所示的密钥生成过程,此处不再赘述。
在某些实施例中,密钥产生单元30产生的访问密钥信息可以被存储至密钥记录单元40中,以等到其他功能模块的选择调用。
如图4所示,本申请还提供了一种密钥产生方法,所述方法应用于如本申请所述的密钥产生单元,所述方法包括以下步骤:
首先进入步骤S401源数据解密单元获取加密后的源数据进行解密,得到解密后的源密钥和解密后的层级加解密算法;
而后进入步骤S402根密钥运算单元根据所述解密后的源密钥计算得到根密钥信息;
而后进入步骤S403层级解密运算单元获取层级密钥信息、层级密钥加解密算法和根密钥信息,根据所述层级密钥加解密算法采用所述根密钥信息对所述层级密钥信息进行解密,得到访问密钥信息。
通常,密钥产生单元30在投入使用前需要进行一定的出厂设置,具体是将密钥产生密钥过程中需要用到的一些校验数据固化在密钥产生单元30内部,如图5所示,所述方法包括以下步骤:
首先进入步骤S501预先设置用户安全等级,并将设置的用户安全等级存储至用户等级存储单元。
而后进入步骤S502设置源密钥。
步骤S502后可以进入步骤S503根据源密钥通过派生算法得到层级密钥信息和握手请求信息;同步地,可以进入步骤S505对当前用户设置对应的安全等级和该用户对应的用户标识信息。
步骤S503后可以进入步骤S504将所述层级密钥信息和所述握手请求信息存储于层级密钥信息存储单元中。
而后进入步骤S506完成用户密钥初始设置。
如图6所示,在某些实施例中,所述密钥产生方法包括以下步骤:
首先进入步骤S601源数据存储单元存储加密后的源数据,所述源数据包括源密钥和层级加解密算法。
而后可以进入步骤S602源数据解密单元获取所述加密后的源数据进行解密,得到解密后的源密钥和解密后的层级加解密算法,并将所述解密后的源密钥送往根密钥运算单元,将所述解密后的层级密钥加解密算法存储于算法信息存储单元中。
与步骤S601和步骤S602相并行地,可以进入步骤S603层级信息存储单元存储层级密钥信息;用户标识信息存储单元存储用户标识信息。
步骤S602和步骤S603后可以进入步骤S604根密钥运算单元获取所述用户标识信息和解密后的源密钥,根据所述解密后的源密钥对所述用户标识信息进行哈希运算,得到根密钥信息。
步骤S604之后可以进入步骤S605层级解密运算单元获取所述层级密钥加解密算法、所述层级密钥信息和所述根密钥信息,采用所述层级密钥加解密算法应用所述根密钥信息对所述层级密钥信息进行解密,得到访问密钥信息。
需要说明的是,尽管在本文中已经对上述各实施例进行了描述,但并非因此限制本发明的专利保护范围。因此,基于本发明的创新理念,对本文所述实施例进行的变更和修改,或利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接地将以上技术方案运用在其他相关的技术领域,均包括在本发明的专利保护范围之内。

Claims (10)

1.一种基于结构光阵列识别的高安全等级数据访问方法,其特征在于,所述装置包括:结构光阵列比对单元、合法结构光阵列信息存储单元、用户等级存储单元、用户校验信息存储单元、第一解密电路、校验密钥存储单元、密钥产生单元、数字签名运算单元、用户信息比对单元、读写控制电路和数据存储单元;
所述结构光阵列比对单元分别与结构光阵列采集单元、所述合法结构光阵列信息存储单元、所述用户等级存储单元、用户校验信息存储单元和所述密钥产生单元连接,所述密钥产生单元和所述数字签名运算单元连接,所述数字签名运算单元与所述用户信息比对单元连接;
所述第一解密电路分别与所述用户校验信息存储单元、校验密钥存储单元、用户信息比对单元连接,所述用户信息比对单元与所述读写控制电路连接,所述读写控制电路分别与所述第一安全等级存储区和第二安全等级存储区连接;
所述方法包括以下步骤:
结构光阵列比对单元接收结构光阵列采集单元采集的当前用户的结构光阵列信息,将采集的所述当前用户的结构光阵列信息与所述合法结构光阵列信息存储单元中存储的合法结构光阵列信息进行比对,若比对通过则从所述用户等级存储单元中获取当前用户对应的用户等级;
密钥产生单元根据所述当前用户对应的用户等级生成访问密钥信息;
数字签名运算单元对所述访问密钥信息进行哈希运算,得到用户数字签名信息;
第一解密电路从所述用户校验信息存储单元中获取加密后的用户签名校验信息以及从所述校验密钥存储单元中获取校验密钥信息,采用所述校验密钥信息对所述加密后的用户签名校验信息进行解密,并将解密后的用户签名校验信息发送给所述用户信息比对单元;
用户信息比对单元接收所述用户数字签名信息和所述解密后的用户签名校验信息,并根据两者的比对结果发送相应的控制信号至所述读写控制电路;
读写控制电路根据所述控制信号确定是否允许当前用户对数据存储单元进行访问。
2.如权利要求1所述的基于结构光阵列识别的高安全等级数据访问方法,其特征在于,所述数据存储单元包括多个不同安全等级的数据存储区;
所述方法包括:
读写控制电路接收所述用户信息比对单元发出的第一控制信号,并根据当前用户对应的用户等级访问与当前用户对应的用户等级相匹配的数据存储区;所述第一控制信号为所述用户数字签名信息校验通过后所述用户信息比对单元发出的控制信号。
3.如权利要求1所述的基于结构光阵列识别的高安全等级数据访问方法,其特征在于,所述装置包括第二加解密电路,所述第二加解密电路分别与所述密钥产生单元、用户信息比对单元连接;
所述方法包括:
第二加解密电路接收数据读写设备的数据读取指令,采用所述访问密钥信息对所述读写控制电路从所述数据存储单元中读取的加密后的待读取数据进行解密,并将解密后的待读取数据发送给数据读写设备;或者,第二加解密电路接收数据读写设备的数据写入指令和待写入数据,采用所述访问密钥信息对待写入数据进行加密,并通过所述读写控制电路将加密后的待写入数据写入到数据存储单元中。
4.如权利要求3所述的基于结构光阵列识别的高安全等级数据访问方法,其特征在于,所述装置还包括读写限制单元,所述读写限制单元分别与所述第二加解密单元、所述结构光阵列比对单元连接;
所述方法包括:
读写限制单元在接收到数据读写设备发出的数据读写指令后,获取所述结构光阵列比对单元传输的当前用户安全等级,并根据当前用户安全等级对所述数据读写指令能够访问的数据存储单元中的数据存储区位置进行限制。
5.如权利要求1所述的基于结构光阵列识别的高安全等级数据访问方法,其特征在于,所述装置还包括计数器和擦除电路;所述计数器分别与所述结构光阵列比对单元、所述擦除电路连接,所述擦除电路与读写控制电路连接;
所述方法包括:
计数器统计预设时间段内结构光阵列比对结果为错误的次数,在判定预设时间段内结构光阵列比对结果为错误的次数超过预设数值时,发送擦除信号至擦除电路;
擦除电路接收所述擦除信号,擦除所述数据存储单元中安全等级符合预设安全等级的数据存储区中的数据。
6.如权利要求2所述的基于结构光阵列识别的高安全等级数据访问方法,其特征在于,所述数据存储单元包括多个数据存储区,不同数据存储区对应不同安全等级;
所述“密钥产生单元根据所述当前用户对应的用户等级生成访问密钥信息”包括:密钥产生单元获取所述当前用户对应的用户等级,并生成与当前用户对应的用户等级相匹配的安全等级的访问密钥信息。
7.如权利要求1所述的基于结构光阵列识别的高安全等级数据访问方法,其特征在于,所述密钥产生单元包括源数据解密单元、根密钥运算单元和层级解密运算单元;所述源数据解密单元与根密钥运算单元连接,所述根密钥运算单元和层级解密运算单元连接;
所述方法包括:
源数据解密单元获取加密后的源数据进行解密,得到解密后的源密钥和解密后的层级加解密算法;
根密钥运算单元根据所述解密后的源密钥计算得到根密钥信息;
层级解密运算单元获取层级密钥信息、层级密钥加解密算法和根密钥信息,根据所述层级密钥加解密算法采用所述根密钥信息对所述层级密钥信息进行解密,得到访问密钥信息。
8.如权利要求7所述的基于结构光阵列识别的高安全等级数据访问方法,其特征在于,所述密钥产生单元还包括层级信息存储单元和主控芯片;
层级解密运算单元包括一级解密运算单元和二级解密运算单元;所述层级密钥信息包括第一层级密钥信息和第二层级密钥信息;所述层级加解密算法包括第一层级加解密算法和第二层加解密算法;
所述方法包括:
主控芯片从所述层级信息存储单元获取一级层级密钥信息,并将所述一级层级密钥信息传输给一级解密运算单元,以及从所述层级信息存储单元获取二级层级密钥信息,并将所述二级层级密钥信息传输给二级解密运算单元;
一级解密运算单元根据所述一级层级密钥加解密算法采用所述根密钥信息对所述一级层级密钥信息进行解密,得到一级密钥;
二级解密运算单元获取所述一级密钥,并根据所述二级层级密钥加解密算法采用所述一级密钥信息对所述二级层级密钥信息进行解密,得到二级密钥。
9.如权利要求8所述的基于结构光阵列识别的高安全等级数据访问方法,其特征在于,所述层级信息存储单元还存储有握手请求信息和握手响应信息;所述密钥产生单元还包括握手解密运算电路、握手加密运算电路和握手信息校验电路;
所述方法包括:
握手解密运算电路采用所述访问密钥信息对所述访问密钥信息自身进行解密,得到握手加密密钥信息;
握手加密运算电路接收主控芯片发送的所述握手请求信息,并采用所述握手加密密钥信息对所述握手请求信息进行加密,得到握手加密信息;
握手信息校验电路获取所述握手加密信息和主控芯片发送的握手响应信息,并判断两者是否匹配,若是则输出所述访问密钥信息。
10.一种基于结构光阵列识别的高安全等级数据访问装置,其特征在于,所述装置用于执行如权利要求1至9任一项所述的方法。
CN202011278762.XA 2020-11-16 2020-11-16 基于结构光阵列识别的高安全等级数据访问方法和装置 Active CN112364316B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011278762.XA CN112364316B (zh) 2020-11-16 2020-11-16 基于结构光阵列识别的高安全等级数据访问方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011278762.XA CN112364316B (zh) 2020-11-16 2020-11-16 基于结构光阵列识别的高安全等级数据访问方法和装置

Publications (2)

Publication Number Publication Date
CN112364316A true CN112364316A (zh) 2021-02-12
CN112364316B CN112364316B (zh) 2022-03-29

Family

ID=74515722

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011278762.XA Active CN112364316B (zh) 2020-11-16 2020-11-16 基于结构光阵列识别的高安全等级数据访问方法和装置

Country Status (1)

Country Link
CN (1) CN112364316B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114139181A (zh) * 2021-11-30 2022-03-04 四川效率源信息安全技术股份有限公司 一种设置、清除及打开固态硬盘密码的方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101281498A (zh) * 2007-04-02 2008-10-08 北京华旗资讯数码科技有限公司 加密型移动存储装置
CN101488110A (zh) * 2008-12-30 2009-07-22 成都市华为赛门铁克科技有限公司 加密存储的方法、装置和系统
US20140032933A1 (en) * 2012-07-24 2014-01-30 Ned M. Smith Providing access to encrypted data
US20150261972A1 (en) * 2014-03-12 2015-09-17 Samsung Electronic Co.,Ltd. System and method of encrypting folder in device
US9665501B1 (en) * 2013-06-18 2017-05-30 Western Digital Technologies, Inc. Self-encrypting data storage device supporting object-level encryption
US20180219675A1 (en) * 2017-01-31 2018-08-02 Pure Storage, Inc. Separate encryption for a solid-state drive

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101281498A (zh) * 2007-04-02 2008-10-08 北京华旗资讯数码科技有限公司 加密型移动存储装置
CN101488110A (zh) * 2008-12-30 2009-07-22 成都市华为赛门铁克科技有限公司 加密存储的方法、装置和系统
US20140032933A1 (en) * 2012-07-24 2014-01-30 Ned M. Smith Providing access to encrypted data
US9665501B1 (en) * 2013-06-18 2017-05-30 Western Digital Technologies, Inc. Self-encrypting data storage device supporting object-level encryption
US20150261972A1 (en) * 2014-03-12 2015-09-17 Samsung Electronic Co.,Ltd. System and method of encrypting folder in device
US20180219675A1 (en) * 2017-01-31 2018-08-02 Pure Storage, Inc. Separate encryption for a solid-state drive

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
高杨: "基于分区储存的安全U盘密钥管理方案", 《电子世界》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114139181A (zh) * 2021-11-30 2022-03-04 四川效率源信息安全技术股份有限公司 一种设置、清除及打开固态硬盘密码的方法

Also Published As

Publication number Publication date
CN112364316B (zh) 2022-03-29

Similar Documents

Publication Publication Date Title
US8572392B2 (en) Access authentication method, information processing unit, and computer product
US5844497A (en) Apparatus and method for providing an authentication system
US9858401B2 (en) Securing transactions against cyberattacks
KR101659110B1 (ko) 테스트 디바이스에 의한 보안 칩으로의 액세스 인증 방법
US20050154924A1 (en) Multiple factor-based user identification and authentication
CN112836221B (zh) 一种多安全级别分区的便携固态硬盘及其设计方法
CN112364323A (zh) 一种基于用户虹膜识别的高安全存储访问方法和装置
JP2017512044A (ja) 生体認証に基づく携帯型本人確認装置
CN103929306A (zh) 智能密钥设备和智能密钥设备的信息管理方法
CN112887085B (zh) 一种ssd固态硬盘主控芯片安全密钥生成方法、装置和系统
CN108683626A (zh) 一种数据访问控制方法及装置
US20120096280A1 (en) Secured storage device with two-stage symmetric-key algorithm
CN109214164A (zh) 基于互联网的计算机通信安全登录方法及系统
US9003197B2 (en) Methods, apparatus and system for authenticating a programmable hardware device and for authenticating commands received in the programmable hardware device from a secure processor
CN112364324A (zh) 一种基于声纹识别的高安全等级数据访问方法和装置
CN112272090B (zh) 一种密钥产生方法和装置
CN112906071B (zh) 一种基于页温动态冷热切换的数据保护方法和装置
CN112364316B (zh) 基于结构光阵列识别的高安全等级数据访问方法和装置
CN213814671U (zh) 一种基于结构光阵列识别的高安全等级数据访问装置
CN112685351B (zh) 一种pcie转usb协议的桥接芯片及其运行方法
CN213814673U (zh) 一种基于用户指纹识别的多安全等级存储访问装置
CN112685352A (zh) 一种pcie转sata协议的桥接芯片及其运行方法
CN112347446A (zh) 一种基于用户人脸识别的多安全等级存储访问方法和装置
CN116599750A (zh) 一种利用加密技术确保数据变更可追溯的系统和方法
CN213817804U (zh) 一种密钥产生装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: No.302, no.6, zone 2, Fuhai Industrial Zone, Fuyong community, Fuyong street, Bao'an District, Shenzhen City, Guangdong Province

Patentee after: Shenzhen anjilite New Technology Co.,Ltd.

Address before: No.302, no.6, zone 2, Fuhai Industrial Zone, Fuyong community, Fuyong street, Bao'an District, Shenzhen City, Guangdong Province

Patentee before: Shenzhen anjili New Technology Co.,Ltd.