技術領域

本發明涉及信息安全領域，具體涉及一種指靜脈識別可信運行控制方法和系統。

背景技術

指靜脈身份識別技術是利用流動的血液中血紅蛋白對近紅外光的吸收而形成的靜脈血管圖像，同存儲在服務器中的指靜脈模板進行比對，從而確認身份的技術過程，是一種真正的活體生物識別技術。它有別于如聲波、指紋、人臉、虹膜等采用體外生物特征為判定依據的第一代生物識別技術，它主要是利用外部看不到的生物體內部特征進行身份識別，具有高精度、高速度、高防偽性的特征，是目前世界上最尖端的第二代生物識別技術。

而普通存儲的指靜脈模板容易被篡改，從而需要一種具有完整性度量及運行控制的指靜脈識別可信運行控制方法和系統。

發明內容

針對上述現有技術中指靜脈模板容易被篡改的問題，本發明的目的在于提供一種指靜脈識別可信運行控制方法和系統。

為了實現上述目的，本發明采用的技術方案如下：

一種指靜脈識別可信運行控制方法，包括指靜脈初始特征采集步驟和指靜脈特征認證步驟，

指靜脈初始特征采集步驟：S100：采集指靜脈初始特征并對指靜脈初始特征進行編碼，編碼后的指靜脈初始特征記為T₁；S110：對T₁通過TCM加密，并存儲于存儲區；S120：計算加密后的T₁的哈希值，作為T₁預期值，并存儲于存儲區；

指靜脈特征認證步驟：S200：采集指靜脈認證特征并對指靜脈認證特征進行編碼，編碼后的指靜脈認證特征記為T₂；S210：計算加密后的T₁的哈希值并與T₁預期值進行比較，若比較不通過，方法終止，若比較通過，進行到步驟S220；S220：通過TCM對所加密的T₁解密，得到T₁，并與T₂對比認證，若認證不通過，方法終止，若認證通過，進行到步驟S230；S230：授權用戶訪問系統和/或程序。

進一步地，步驟S120中通過TCM對稱加密算法對T₁加密。

進一步地，步驟S110中加密后的T₁存儲于TCM內部非易失性存儲區；和/或步驟S120中，加密后的T1的哈希值存儲于TCM內部非易失性存儲區。

進一步地，步驟S100中，對指靜脈初始特征進行編碼是采用base64編碼；步驟S200中，對指靜脈認證特征進行編碼是采用base64編碼。

進一步地，指靜脈初始特征采集步驟由注冊管理工具引導。

進一步地，指靜脈特征認證步驟由認證控制軟件引導。

一種指靜脈識別可信運行控制系統，包括指靜脈識別設備、指靜脈初始特征采集模塊、指靜脈特征認證模塊以及TCM，

指靜脈識別設備用于采集指靜脈初始生物信息和指靜脈認證生物信息；指靜脈初始特征采集模塊與指靜脈識別設備通信來采集指靜脈初始特征和指靜脈認證特征，對指靜脈初始特征和指靜脈認證特征分別進行base64編碼，編碼后的指靜脈初始特征記為T₁，編碼后的指靜脈認證特征記為T₂；TCM用于對T₁加密并計算加密后的T₁的哈希值以作為T₁預期值；加密后的T₁和加密后的T₁的哈希值存儲于TCM的存儲區；

TCM還用于計算加密后的T₁的哈希值并與T₁預期值進行比較并判斷比較結果，以及比較結果通過后對加密后的T₁解密并與T₂對比認證；指靜脈特征認證模塊是指靜脈特征認證與可信運行控制的集成，可信運行控制的軟件根據不同權限配置程序白名單，只有通過指靜脈特征認證后才可使用程序白名單內程序。

進一步地，TCM采用對稱加密算法加密。

進一步地，對指靜脈初始特征進行編碼是采用base64編碼；對指靜脈認證特征進行編碼是采用base64編碼。

進一步地，TCM的存儲區為非易失性存儲區。

本發明通過以上技術方案，能夠獲得以下有益技術效果：

(1)通過對指靜脈初始特征進行加密再計算哈希值并與預存儲的預期值比較，即進行完整性度量，以保證指靜脈初始特征不被篡改；

(2)將指靜脈初始特征及其哈希值存儲在TCM內非易失性存儲區中，保證指靜脈初始特征存儲安全。