[发明专利]一种指静脉识别可信运行控制方法和系统

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种指静脉识别可信运行控制方法和系统。

背景技术

指静脉身份识别技术是利用流动的血液中血红蛋白对近红外光的吸收而形成的静脉血管图像，同存储在服务器中的指静脉模板进行比对，从而确认身份的技术过程，是一种真正的活体生物识别技术。它有别于如声波、指纹、人脸、虹膜等采用体外生物特征为判定依据的第一代生物识别技术，它主要是利用外部看不到的生物体内部特征进行身份识别，具有高精度、高速度、高防伪性的特征，是目前世界上最尖端的第二代生物识别技术。

而普通存储的指静脉模板容易被篡改，从而需要一种具有完整性度量及运行控制的指静脉识别可信运行控制方法和系统。

发明内容

针对上述现有技术中指静脉模板容易被篡改的问题，本发明的目的在于提供一种指静脉识别可信运行控制方法和系统。

为了实现上述目的，本发明采用的技术方案如下：

一种指静脉识别可信运行控制方法，包括指静脉初始特征采集步骤和指静脉特征认证步骤，

指静脉初始特征采集步骤：S100：采集指静脉初始特征并对指静脉初始特征进行编码，编码后的指静脉初始特征记为T₁；S110：对T₁通过TCM加密，并存储于存储区；S120：计算加密后的T₁的哈希值，作为T₁预期值，并存储于存储区；

指静脉特征认证步骤：S200：采集指静脉认证特征并对指静脉认证特征进行编码，编码后的指静脉认证特征记为T₂；S210：计算加密后的T₁的哈希值并与T₁预期值进行比较，若比较不通过，方法终止，若比较通过，进行到步骤S220；S220：通过TCM对所加密的T₁解密，得到T₁，并与T₂对比认证，若认证不通过，方法终止，若认证通过，进行到步骤S230；S230：授权用户访问系统和/或程序。

进一步地，步骤S120中通过TCM对称加密算法对T₁加密。

进一步地，步骤S110中加密后的T₁存储于TCM内部非易失性存储区；和/或步骤S120中，加密后的T1的哈希值存储于TCM内部非易失性存储区。

进一步地，步骤S100中，对指静脉初始特征进行编码是采用base64编码；步骤S200中，对指静脉认证特征进行编码是采用base64编码。

进一步地，指静脉初始特征采集步骤由注册管理工具引导。

进一步地，指静脉特征认证步骤由认证控制软件引导。

一种指静脉识别可信运行控制系统，包括指静脉识别设备、指静脉初始特征采集模块、指静脉特征认证模块以及TCM，

指静脉识别设备用于采集指静脉初始生物信息和指静脉认证生物信息；指静脉初始特征采集模块与指静脉识别设备通信来采集指静脉初始特征和指静脉认证特征，对指静脉初始特征和指静脉认证特征分别进行base64编码，编码后的指静脉初始特征记为T₁，编码后的指静脉认证特征记为T₂；TCM用于对T₁加密并计算加密后的T₁的哈希值以作为T₁预期值；加密后的T₁和加密后的T₁的哈希值存储于TCM的存储区；

TCM还用于计算加密后的T₁的哈希值并与T₁预期值进行比较并判断比较结果，以及比较结果通过后对加密后的T₁解密并与T₂对比认证；指静脉特征认证模块是指静脉特征认证与可信运行控制的集成，可信运行控制的软件根据不同权限配置程序白名单，只有通过指静脉特征认证后才可使用程序白名单内程序。

进一步地，TCM采用对称加密算法加密。

进一步地，对指静脉初始特征进行编码是采用base64编码；对指静脉认证特征进行编码是采用base64编码。

进一步地，TCM的存储区为非易失性存储区。

本发明通过以上技术方案，能够获得以下有益技术效果：

(1)通过对指静脉初始特征进行加密再计算哈希值并与预存储的预期值比较，即进行完整性度量，以保证指静脉初始特征不被篡改；

(2)将指静脉初始特征及其哈希值存储在TCM内非易失性存储区中，保证指静脉初始特征存储安全。