一种数据加密存储的方法

1.一种数据加密存储的方法，其特征在于，包括步骤： 1)接收用户创建数据存储保险箱的请求； 2)基于该用户的生物特征信息生成用户身份验证信息； 3)在存储单元创建硬盘主机保护区域，作为创建数据存储保险箱的空间；在保险箱中以加密方式保存用户的身份验证信息； 4)接收用户访问保险箱的请求； 5)采集用户的生物特征信息进行身份验证；如果验证通过，则进入步骤6)；否则，进入步骤7)； 6)接收用户对保险箱以及对保险箱内存储的数据的操作信息，进行相应的处理； 7)拒绝用户对保险箱的访问。
2. 根据权利要求1所述的数据加密存储的方法，其特征在于，所述步骤2) 中生成用户身份验证信息时采用第一单向加密算法进行。
3. 根据权利要求2所述的数据加密存储的方法，其特征在于，所述步骤3) 进一步包括：基于用户的生物特征信息，采用不同于第一单向加密算法的 第二单向加密算法，生成对所存储的数据进行加密、解密的密钥。
4. 根据权利要求1至3任一项所述的数据加密存储的方法，其特征在于， 所述步骤2)采用的生物特征信息不同于步骤5)所采用的生物特征信息。
5. 根据权利要求4所述的数据加密存储的方法，其特征在于，所述生物 特征信息是人像特征信息或者指故信息。
6. 根据权利要求4所述的数据加密存储的方法，其特征在于，在步骤2) 和步骤3)之间还包括接收用户设置的备份访问密码；在所述步骤3)中还包 括在保险箱中存储该备份访问密码；在所述步骤5 )中还包括如果验证不通过， 要求输入备份访问密码用以验证身份，如果匹配，则进入步骤6);如果不匹 配，则进入步骤7)。
7. 根据权利要求6所述的数据加密存储的方法，其特征在于，还包括在 所述步骤2)之前检测是否存在当前系统用户账户对应的保险箱；如果否，则 进入步骤2);如果是，则进行认领保险箱的步骤。
8. 根据权利要求7所述的数据加密存储的方法，其特征在于，所述认领保险箱包括： 81) 采集用户的生物特征信息进行身份验证；如果验证通过，则进入步骤 83);否则，进入步骤82); 82) 验证*沐问密码；如果通过，则进入步骤83);如果否，则进入步 骤84); 83) 认领成功，建立保险箱和该系统用户账户的关联； 84) 认领失败。
9. 根据权利要求8所述的数据加密存储的方法，其特征在于，还包括接 收用户删除保险箱的指令，删除该用户账户对应的指定保险箱。
10. 根据权利要求4所述的数据加密存储的方法，其特征在于，在所述步 骤4)和步骤5)之间还包括检测是否存在当前系统用户账户对应的保险箱； 如果是，则进入步骤5);如果否，则创建新的保险箱。

一种数据加密存储的方法\n技术领域\n本发明涉及电子数据存储技术，尤其是涉及一种应用于电子数据处理系统 的数据加密存储方法。\n背景技术\n随着信息技术的发展，包括计算机、服务器等在内的各种电子数据处理系 统的应用日益广泛，人们日常接触和处理的数据越来越多。与此同时，数据的 安全性问题也逐渐成为人们所关注的 一 个课题。\n现有技术中，存在多种对数据进行加密后存储的方法。例如，由用户采用 个人选用的数字、文字、字母或其他符号或者其组合等作为密码，用于对文件 进行保护，当用户需要打开文件时，需要向系统提交密码进行身份验证，验证 通过，则允许用户打开文件，否则禁止用户对文件的操作。但是，该现有技术 的缺陷在于，该作为身份验证的密码容易遗忘，易用性有待提高。\n为此，现有技术中存在一些采用特殊的硬件来进行身份验证的技术方案，\n所述硬件可以是U盘、ID卡等。但是，该现有技术也存在缺陷，即相应的身 份验证硬件容易丢失，且使用硬件作为身份验证物的用户必须随身携带该硬 件，较为麻烦，易用性不高。\n并且，上述这两种方式存在一个共同的缺陷，那就是由于数据存放在普通 的存储空间， 一旦系统崩溃后，将有可能无法恢复数据文件，从而给用户带来 不可弥补的损失。\n有鉴于此，需要研发出一种新型的数据加密存储的方法。 发明内容\n针对现有技术的不足，本发明解决的技术问题在于提供一种数据加密存储 的方法，其易用性较高，而且在系统崩溃后仍能找到加密存储后的数据。 为此，本发明提供的数据加密存储的方法，包括步骤：\n1) 接收用户创建数据存储保险箱的请求；\n2) 基于该用户的生物特征信息生成用户身份验证信息；3 )在存储单元创建硬盘主机保护区域，作为创建数据存储保险箱的空间； 在保险.箱中以加密方式保存用户的身份验证信息；\n4) 接收用户访问保险箱的请求；\n5) 采集用户的生物特征信息进行身份验证；如果验证通过，则进入步骤 6);否则，进入步骤7);\n6) 接收用户对保险箱以及对保险箱内存储的数据的操作信息，进行相应 的处理；\n7) 拒绝用户对保险箱的访问。\n优选地，所述步骤2)中生成用户身份验证信息时采用第一单向加密算法 进行。\n优选地，所述步骤3)进一步包括：基于用户的生物特征信息，采用不同 于第一单向加密算法的第二单向加密算法，生成对所存储的数据进行加密、解\n密的密钥。\n优选地，所述步骤2)采用的生物特征信息不同于步骤5)所釆用的生物 特征信息。\n优选地，所述生物特征信息是人像特征信息或者指紋信息。\n优选地，在步骤2)和步骤3)之间还包括接收用户设置的备份访问密码； 在所述步骤3)中还包括在保险箱中存储该备份访问密码；在所述步骤5)中 还包括如果验证不通过，要求输入备份访问密码用以验证身份，如果匹配，则 进入步骤6);如果不匹配，则进入步骤7)。\n优选地，在所述步骤2)之前检测是否存在当前系统用户账户对应的保险 箱；如果否，则进入步骤2);如果是，则进行认领保险箱的步骤。\n优选地，所述认领保险箱包括：\n81) 采集用户的生物特征信息进行身份验证；如果验证通过，则进入步骤 83);否则，进入步骤82);\n82) 验证备份访问密码；如果通过，则进入步骤83);如果否，则进入步 骤84);\n83) 认领成功，建立保险箱和该系统用户账户的关联；\n84) 认领失败。优选地，还包括接收用户删除保险箱的指令，删除该用户账户对应的指定 保险箱。\n优选地，在所述步骤4)和步骤5)之间还包括检测是否存在当前系统用 户账户对应的保险箱；如果是，则进入步骤5);如果否，则创建新的保险箱。\n相对于现有技术，本发明的有益效果是：由于本发明基于用户的生物特征 信息生成用户访问保险箱的身份验证信息，因此可以解决现有技术中用于身份 验证的密码容易遗忘或是相应的身份验ii^件容易丟失、易用性不高等缺陷。 并且将数据存储在HPA空间中，使得在系统崩溃后可以恢复存储的数据文件。 同时，利用生物特征信息作为数据加/解的密钥的生成源，使得密钥的唯一性 得到了提高。\n在本发明的优选方案中，基于生物特征的加/解密是通过单向加密算法对 特征进行运算后得到的，两个加密算法能够得到两个数据信息，其中一个是用 户验证身份，称之为身份^HM言息；可以保存到HPA里，即便在使用过程中 被破译，也因为其使用的是单向加密算法而无法得到原始特征信息。另一个是 用以加密数据，称之为加密密钥，因为不会用于验证，因此很难破解。同时由 于原始特征信息是不会被获取到的，因此就能保证数据的安全。\n此外，在优选方案中，采用两种不同的生物特征信息来分别生成身份验证 信息和加密密钥，可^t安全性得到进一步的提高。 附困说明\n图1是本发明的数据加密存储方法的流程图；； 图2是本发明的数据加密存储方法的一个实施珅中创建和认领保险箱的 流程图；\n图3是本发明的教:据加密存储方法的一个实施例中打开保险箱的流程图； 图4是本发明的数据加密存储方法的实施例中基于人像信息进行加密的 示意图；\n图5是本发明的数据加密存储方法的实施例中基于人像信息进行加密的 另一示意图。\n具体实施方式\n请参阅图l,是本发明的数据加密存储方法的流程图.步骤S110,获取用户的生物特征信息。\n步骤S120,接收用户创建数据存储保险箱的请求。\n步骤S130,基于前述生物特征信息生成用户身份验证信息。\n步骤S140,在存储单元创建HPA，作为创建存储数据保险箱的空间。\n其中，在硬盘上创建所述HPA( Host Protected Area,硬盘主机保护区域），\nHPA是一个公开的标准。\n步骤S150,接收用户访问保险箱的请求，采集用户的生物特征信息进行\n身份验证；如果验汪通过，则进入步骤S160;否则，进入步骤S170,拒绝用\n户对保险箱的访问。\n步骤S160,接收用户对保险箱以及对保险箱内存储的数据的操作信息，\n进行相应的处理，包括对数据的加密、解密和/或存取操作。\n本领域的技术人员可以理解，所述步骤S160中对保险箱的搮作类似于对\n一般的文件夹的操作，例如，用户可以将文将复制到里面，也可以直接打开文\n件进行编辑。\n需要说明的是，保险箱中的数据是经过加密后存储的，加密的密钥是通过 用户的生物特征信息经过转换得来。其中，可以通过对同一种生物特征信息采 用两种不同的加密算法得到两个数据信息， 一个作为身份验证信息， 一个作为 数据加密密钥。当然，也可以运用两种不同的生物特征信息提取技术，取得两 种不同的生物特征信息，从而分别用于生成身份验证信息和数据加密密钥。\n此外，由于存^f^lt据的保险箱是HPA空间，因此在系统崩溃后，保险箱 和其内的数据均不会丢失。但是此时需要用户重新进行认领（步骤S180)。当 然，也允许用户删除该保险箱（步骤S190),并转入步骤S130,以创建新的保 险箱。\n为了便于对本发明的理解，下面结合实施例对本发明进行详细的说明。 请参阅图2,是本发明的数据加密存储方法的一个实施例中创建和认领保 险箱的流程图.\n步骤S211，接收用户创建保险箱的请求。\n步骤S212,检测是否存在对应当前系统用户账户的保险箱。如果是，则 进入步骤S221或步骤S331;如果否，则进入步骤S213。其中，所述系统用户账户是指数据处理系统的採作系统的用户账户，例如\nWindows账户。\n步骤S213，获取用户的生物特征信息。\n本实施例中，使用人像识别算法创建合法用户的人^M莫版样本，也就是说， 所述生物特征信息是指用户的人像特征信息.当然，所述生物特征信息也可以 是用户的指紋等具有唯一性的信息.\n所iMJ象特征信息在此前的步骤S201中采集，并通过步骤S202存储生成 数据信息，存储在系统的数据库中，\n所i^A像特征信息可以采用多种现有技术运算得到，例如可以采用现有技 术中的Neurotechnologija公司的VeriJook人像识别算法。\n步骤S214，接收用户设置的4^r问密码。\n在用户第一次使用本发明所述功能时，需要用户设置一个备份访问密码。 步骤S215，接收用户设置保险箱大小的信息。\n当用户设置好"^#访问密码之后，用户还需要设定保险箱的大小，比如说 50MB。如果用户未设置，则采用默认的空间大小。\n步骤S216,创建HPA空间，作为存储数据的保险箱。同时在保险箱中以 加密的形式保存当前的系统用户账户信息、生物特征那个信息、备份密码。\nHPA空间的创建的过程采用现有技术，向硬盘发送设置最大地址指令Set Max Address即可。该命令用于设置硬盘可用的最大地址，此最大地址小于硬 盘实际物理最大地址(Native Max),硬盘可用的最大地址设置成功后，大于最 大地址小于硬盘实际物理最大地址的硬盘空间成为HPA，即保护空间。该空间 无法被^^f可软件包括OS和BIOS所访问。从而保证保护分区被加锁后，实现 了数据存储的安全性。而设置后最大地址以下硬盘空间为用户可用空间，可以 被正常的软件所访问，并表现出该最大地址即为当前的硬盘的大小。\n当上述步骤都完成后，用户就可以开始使用该系统的保险箱功能了 。\n此外，当用户系统崩溃，重新安装之后，其保险箱是不会丢失的，但是用 户需要重新认领一遍其保险箱，认领之前首先需要用户确认的是上一次 Windows用户账户信息（步骤S212 )。\n步骤S221,接收用户认领保险箱的请求。步骤S222,当用户选#^所用账户信息后，系统会要求核对相应账户信 息中的人^f象信息，核对不通过，则进入步骤S223;如果通过，则进入步骤S224。\n步骤S223,要求榆入备份访问密码用以验证身份，如果匹配，则进入步 骤S224，将该保险箱与当前用户关联；如果不匹配，则拒绝关联，并予以用 户 一个可删除该保险箱的权力。\n步骤S224,将该保险箱与当前用户关联。\n步骤S231，用户可以4艮据实际情况或自身需求，删除该保险箱。 请参阅图3,是本发明的数据加密存储方法的一个实施例中打开保险箱的 流程图。\n步骤S311，接收用户打开保险箱的请求。\n步骤S312, JlHtHPA内是否存在当前系统用户账户对应的保险箱。如果 存在，则ii^步骤S313;如果不存在，则放弃对保险箱功能的使用或者进入 步骤S321，创建新的保险箱。\n步骤S313,验证用户的人像特征信息。\n当用户需要打开保险箱时，系统会提M储在保险箱内的人像信息，验证 用户的人像信息，如果通过，则进入步骤S314;如果不通过，则进入步骤S315。 步骤S314，成功打开保险箱，允许用户进行各种操作。 打开保险箱，即希望访问到保护空间HPA时，需要重新利用Set Max Address指令，将硬盘可用的最大地址设置到硬盘实际物理最大地址才可以访 问。\n打开保险箱后，操作保险箱的方式与操作文件夹的方式一样，用户可以将 文将复制到里面，也可以直接打开文件进行编辑。\n对保险箱及其存储的数据操作完毕后，执行关闭HPA操作，大多数硬盘 在重新加电后自动关闭HPA。\n步骤S315,要求用户输入"^#访问密码，从保险箱提取用户设置的备份 访问密码，用以驺i用户身份。如果匹配，则进入步骤S314,打开保险箱； 如果不匹配，则进入步骤S316或者步骤S317。\n步骤S316,拒绝用户访问。\n步骤S317，删除保险箱。请参阅图4，是本发明的数据加密存储方法的实施例中基于人像信息进行 加密的示意图。\n其中，基于人像的加/解密是通过单向加密算法对人像特征进行运算后得 到的，两个加密算法能够得到两个数据信息，其中一个是用户验证身份，称之 为人像特征信息；可以保存到HPA里，即便在使用过程中被破译，也因为其 使用的是单向加密算法而无法得到原始人像特征信息。另 一个是用以加密数 据，称之为人像加密密钥，因为不会用于验证，因此m^破解。同时由于原始 人像特征信息是不会被获取到的，因此就能保证数据的安全。\n所述的单向加密算法可以采用现有技术。例如，可以采用MD5 (Message Digest Algorithm 5)，这是RSA数据安全公司开发的一种单向散列算法，MD5 被广泛使用，可以用来将不同长度的数据块进行暗码运算成一个128位的数 值。也可以采用SHA( Secure Hash Algorithm),这是一种较新的散列算法，可 以对任意长度的数据运算生成一个160位的数值。\n请参阅图5,是本发明的数据加密存储方法的实施例中基于人像信息进行 加密的另一示意图。\n本领域的技术人员可以理解，如果实施本方法时，人像采集的硬件设备具 有两种以上的功能，那么通itA像识别算法的运算后，可以得到两个或两个以 上的人像特征信息，这样，就可以使用这两个或两个以上的人像特征信息分别 用于不同的需求。\n例如，可以通过附带红外镜头的设备采集一組人像信息，通过算法计算后 得到人像特征信息A，我们可以将其应用于身份识别；当红外镜头被换成普通 镜头后，则能够釆集到另一组人像信息，那么通过计算后又能得到不同的人像 特征信息B，我们可以将其应用于加密密钥的生成。反之，亦可。这样，其安 全性就能达到更高的水准。\n综上所述，本发明涉及了一种数据保密存储4支术，尤其是涉及一种通过人 像识别身份B访问存储于HPA空间的内的通过人像识别加密的文件的方法 技术。由于目前的人像识别技术具有较好的准确度、易用性，同时硬盘HPA 技术也越来越成熟，使得本发明所述的方法可以得到实现及应用。\n总之，本发明使用人像识别技术作为验证用户身份的方法，使用人像特征信息作为密钥生成的信息源，同时使用HPA空间作为数据文件的保存区域， 具有较好的易用性，人像特征信息产生的密钥又能使得唯一性得到加强，安全 性得以提高，同时由子使用了 HPA作为存储空间，能够使用户在系统崩溃后 还能找到保密数据文件。\n以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通 技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰， 这些改进和润饰也应视为本发明的保护范围。