本发明实施例涉及安全技术领域,尤其涉及一种密钥和密钥的使用方法。
背景技术:
随着网络信息安全的提升,企业的终端通过终端存储、传输的信息越来越多也越来重要。密钥(usb-key)作为企业终端的安全设备越来越普及,也越来越必要。传统终端(例如电脑)的usb-key采用单一的口令验证方式,存在口令易忘记、易泄露、易破解等严重安全问题及易用性差的弊端。目前,存在一些其他领域的usb-key采用指纹的技术方案,但是指纹存在容伪造且受手指纹纹路、干湿、干净程度影响大,严重影响用户体验和安全性问题。并且在没事需要认证时都需要用手去摸,不适用于未来终端无纸化办公的流程签章环境。
技术实现要素:
本发明提供一种密钥和密钥的使用方法,以提高密钥的安全性和适用性。
第一方面,本发明实施例提供了一种密钥,包括人脸采集单元、控制单元和通讯单元;
所述通讯单元与所述控制单元连接,所述控制单元与所述人脸采集单元连接,所述通讯单元用于在触发后输出启动信号,所述控制单元用于根据所述启动信号启动所述人脸采集单元,所述人脸采集单元采集人脸信息,所述控制单元还用于根据所述人脸信息和证书信息判断是否授予相应的访问控制权项。
可选地,密钥还包括存储单元;
所述存储单元与所述控制单元连接,所述控制单元用于控制所述存储单元为写入状态或读取状态,所述存储单元用于在所述写入状态时存储所述人脸信息和所述证书信息,在所述读取状态时输出所述人脸信息和所述证书信息。
可选地,密钥还包括初加解密单元;
所述加解密单元与所述控制单元连接,所述控制单元用于控制所述加解密单元为加密状态或解密状态,所述加解密单元用于对初始化时的初始化人脸信息和所述证书信息进行加密;所述存储单元与所述加解密单元连接,所述存储单元用于存储加密后的初始化人脸信息和证书信息。
可选地,所述控制单元包括控制模块和特征提取及计算模块;
所述控制模块与所述存储单元连接,所述特征提取及计算模块与所述控制模块连接,所述控制模块用于读取所述存储单元中所述人脸信息和所述初始化人脸信息至所述特征提取及计算模块,所述特征提取及计算模块用于根据所述人脸信息和所述初始化人脸信息进行比对,并输出对比结果;其中,当所述人脸信息和所述初始化人脸信息的特征差小于或等于预设阈值时,则所述对比结果为对比成功,当所述人脸信息和所述初始化人脸信息的特征差大于所述预设阈值时,则所述对比结果为对比失败。
可选地,当所述对比结果为对比成功时,所述控制模块还用于读取所述存储单元中所述证书信息传输至所述通讯单元;所述通讯单元还用于输出所述证书信息至服务器,所述控制模块还用于在所述服务器验证所述证书信息成功后授予相应的访问控制权项。
可选地,密钥还包括指示单元,所述指示单元与所述控制单元连接,所述指示单元用于根据所述启动信号指示所述人脸采集单元采集所述人脸信息。
第二方面,本发明实施例还提供了一种密钥的使用方法,包括:
触发通讯单元使所述通讯单元输出启动信号;
控制单元根据所述启动信号启动人脸采集单元采集人脸信息;
控制单元根据所述人脸信息和证书信息判断是否授予相应的访问控制权项。
可选地,在控制单元根据所述启动信号启动人脸采集单元采集人脸信息之后,还包括:
存储单元在写入状态时存储所述人脸信息和所述证书信息,在读取状态时输出所述人脸信息和所述证书信息。
可选地,所述控制单元包括控制模块和特征提取及计算模块;控制单元根据所述人脸信息和证书信息判断是否授予相应的访问控制权项,包括:
控制模块读取所述存储单元中所述人脸信息和初始化人脸信息;
所述特征提取及计算模块根据所述人脸信息和所述初始化人脸信息进行比对,并输出对比结果;其中,当所述人脸信息和所述初始化人脸信息的特征差小于或等于预设阈值时,则所述对比结果为对比成功,当所述人脸信息和所述初始化人脸信息的特征差大于所述预设阈值时,则所述对比结果为对比失败;
当所述对比结果为对比成功时,所述控制模块读取所述存储单元中所述证书信息传输至所述通讯单元;
所述通讯单元输出所述证书信息至服务器;
所述控制模块在所述服务器验证所述证书信息成功后授予相应的访问控制权项。
可选地,所述控制模块在所述服务器验证所述证书信息成功后授予相应的访问控制权项之后,还包括:
所述人脸采集单元持续更新人脸信息;
所述控制单元根据更新后的人脸信息和所述证书信息判断是否授予相应的访问控制权项。
本发明通过人脸采集单元采集人脸信息,并作为密钥的私钥。人脸信息不易复制,且在人脸信息采集时的时效性比较高,可以实现密钥由逻辑识别进化到物理识别,进而可以提高密钥的安全性和易用性,从而可以推动企业的数字化和智能化转型。
附图说明
图1为本发明实施例一提供的一种密钥的结构示意图;
图2为本发明实施例二提供的一种密钥的结构示意图;
图3为本发明实施例三提供的一种密钥的结构示意图;
图4为本发明实施例四提供的一种密钥的结构示意图;
图5为本发明实施例四提供的一种密钥的集装结构示意图;
图6为实施例五提供的一种密钥的使用方法的流程示意图;
图7为实施例六提供的一种密钥的使用方法的流程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种密钥的结构示意图,如图1所示,该密钥包括人脸采集单元110、控制单元120和通讯单元130;
通讯单元130与控制单元120连接,控制单元120与人脸采集单元110连接,通讯单元130用于在触发后输出启动信号,控制单元120用于根据启动信号启动人脸采集单元110,人脸采集单元110采集人脸信息,控制单元120还用于根据人脸信息和证书信息判断是否授予相应的访问控制权项。
具体地,通讯单元130用于实现密钥与外界的通信。示例性地,通选单元130可以为usb通讯接口。当通讯单元130与终端连接时,通讯单元130被触发,并输出启动信号至控制单元120,控制单元120启动人脸采集单元110,然后会按需在终端的显示装置中弹出预览框,并通过人脸采集单元110开始采集人脸信息。其中,终端示例性地可以为电脑,人脸采集单元110示例性地可以为摄像头。在上述过程中,当密钥插接到电脑上时,激活通讯单元130,通讯单元130通过控制单元120点亮摄像头,并在电脑的显示器上弹出预览框,开始采集人脸信息。人脸信息可以为密钥的私钥。证书信息是由证书管理机构(certificateauthority,ca)颁发的数字证书,其包括密钥中的公钥、公钥拥有者名称、ca的数字签名、有效期、授权中心名称、证书序列号等信息,即证书信息可以为密钥的公钥。控制单元120根据人脸信息和密钥中的证书信息进行判断是否满足访问终端的条件。当采集到的人脸信息与预设的人脸信息匹配成功后,且证书信息能够经过终端认证,则密钥的公钥和私钥均能满足访问条件,控制单元120授予相应的访问控制权项,即允许用户登录终端系统。由于密钥中的私钥为人脸信息,人脸信息不易复制,且在人脸信息采集时的时效性比较高,可以实现密钥由逻辑识别进化到物理识别,进而可以提高密钥的安全性和易用性,从而可以推动企业的数字化和智能化转型。
实施例二
图2为本发明实施例二提供的一种密钥的结构示意图,如图2所示,在实施例一的基础上,该密钥还包括存储单元140;存储单元140与控制单元120连接,控制单元120用于控制存储单元140为写入状态或读取状态,存储单元140用于在写入状态时存储人脸信息和证书信息,在读取状态时输出人脸信息和证书信息。
具体地,在密钥正式使用之前,管理人员可以初始化密钥,并预先存储初始化人脸信息和证书信息,作为密钥的私钥和公钥。存储单元140可以用于存储初始化人脸信息和证书信息。另外,人脸采集单元110采集的人脸信息也可以存储至存储单元140。在存储人脸信息时,控制单元120根据人脸采集单元110的采集状态控制存储单元140为写入状态,并将人脸采集单元110采集的人脸信息写入存储单元140,存储单元140进行暂存。在控制单元120根据人脸信息和证书信息判断是否授予相应的访问控制权项时,控制单元120可以控制存储单元140为读取状态,读取存储单元140中的初始化人脸信息、人脸采集单元110采集的人脸信息以及证书信息,并判断人脸信息和证书信息是否满足授予相应的访问控制权项的访问条件。当人脸信息和证书信息满足授予相应的访问控制权项的访问条件时,控制单元120授予相应的访问控制权项。当人脸信息和证书信息中的任一不满足授予相应的访问控制权项的访问条件时,控制单元120不授予相应的访问控制权项。
另外,在验证证书信息时,控制单元120验证证书信息不满足授予相应的访问控制权项的访问条件时,可以将证书信息上传至终端的后台服务器,并验证后台服务器返回的信息,更新证书信息后允许登录。示例性地,当控制单元120验证证书信息中的安全期已经超出时,可以将证书信息推送至后台服务器,并验证后台服务器返回的信息,更新证书信息中的安全期后允许登录。
需要说明的是,人脸采集单元110采集的人脸信息还可以暂存至服务器,在控制单元120进行判断是否授予相应的访问控制权项时,从服务器回传。
可选地,继续参考图2,该密钥还包括初加解密单元150;加解密单元150与控制单元120连接,控制单元120用于控制加解密单元150为加密状态或解密状态,加解密单元150用于对初始化时的初始化人脸信息和证书信息进行加密;存储单元140与加解密单元150连接,存储单元140用于存储加密后的初始化人脸信息和证书信息。
具体地,在存储单元140存储初始化人脸信息和证书信息之前,可以通过加解密单元150对初始化人脸信息和证书信息进行加密。即初始化人脸信息和证书信息先通过加解密单元150对初始化信息和证书信息进行加密,然后再传输至存储单元140进行存储。另外,在控制单元120根据人脸信息和证书信息判断是否授予相应的访问控制权项,需要调取初始化人脸信息和证书信息时,控制单元120控制加解密单元150为解密状态,存储单元140存储的初始化信息和证书信息通过加解密单元150进行解密后传输至控制单元120,并判断人脸信息和证书信息是否授予相应的访问控制权项。
需要说明的是,初始化人脸信息可以为管理人通过人脸采集单元110采集得到的人脸信息。
实施例三
图3为本发明实施例三提供的一种密钥的结构示意图,如图3所示,在实施例二的基础上,控制单元120包括控制模块121和特征提取及计算模块122;控制模块121与存储单元140连接,特征提取及计算模块122与控制模块121连接,控制模块121用于读取存储单元140中人脸信息和初始化人脸信息至特征提取及计算模块122,特征提取及计算模块122用于根据人脸信息和初始化人脸信息进行比对,并输出对比结果;其中,当人脸信息和初始化人脸信息的特征差小于或等于预设阈值时,则对比结果为对比成功,当人脸信息和初始化人脸信息的特征差大于预设阈值时,则对比结果为对比失败。
具体地,人脸信息和初始化人脸信息均可以包括多个特征,且多个特征一一对应。人脸信息和初始化人脸信息的特征差可以为人脸信息和初始化人脸信息对应的多个特征中比对结果为不同特征的数量。预设阈值可以为大于或等于零的整数,其具体数值可以根据密钥的安全性设置。存储单元140存储的初始化人脸信息包括每一特征。当人脸采集单元110采集到人脸信息后,特征提取及计算模块122对人脸信息的特征进行提取,并调取初始化人脸信息对应的特征进行对比。当人脸信息和初始化人脸信息的特征差小于或等于预设阈值时,此时认为人脸信息和初始化人脸信息比对成功,则密钥的私钥验证通过,可以继续进行证书信息的验证,即对密钥的公钥进行验证。当人脸信息和初始化人脸信息的特征差大于预设阈值时,此时认为人脸信息和初始化人脸信息比对失败,则可以不授予相应的访问控制权项,并继续通过人脸采集单元110采集人脸信息。
可选地,当对比结果为对比成功时,控制模块121还用于读取存储单元140中证书信息传输至通讯单元130;通讯单元130还用于输出证书信息至服务器,控制模块121还用于在服务器验证证书信息成功后授予相应的访问控制权项。
具体地,在人脸信息比对成功后,密钥的私钥验证通过。控制模块121控制存储单元140为读取状态,读取存储单元140中的证书信息,并通过通讯单元130上传至服务器,服务器对证书信息进行验证并返回信息,当返回的信息为验证失败时,则密钥的公钥验证通过,控制模块121授予相应的访问控制权项。当返回的信息为验证失败时,则更新证书信息,并在更新验证通过后授予相应的访问控制权项。
需要说明的是,在授予相应的访问控制权项后,可以通过人脸采集单元110持续采集人脸信息,并重复上述判断过程。当更新后的人脸信息验证失败后,则停止授予相应的访问控制权项,从而可以进一步地提高人脸信息的时效性,进一步地提高密钥的安全性。
另外,在人脸采集单元110持续采集人脸信息时,可以间隔一段时间采集一次,避免密钥高频重复上述判断过程,影响密钥的寿命。示例性地,人脸采集单元110可以间隔5秒采集一次人脸信息,既可以保证密钥的安全性,又可以保证密钥的寿命。
实施例四
图4为本发明实施例四提供的一种密钥的结构示意图,如图4所示,在上述任意实施例的基础上,密钥还包括指示单元160,指示单元160与控制单元120连接,指示单元160用于根据启动信号指示人脸采集单元采集人脸信息。
具体地,指示单元160可以为指示灯。当通讯单元130与终端连接,通讯单元130被触发,控制单元120控制人脸采集单元110开始采集人脸信息时,可以同时控制指示单元160指示人脸采集单元110开始工作,从而可以提醒用户密钥的状态。示例性地,当指示单元160为led指示灯时,在人脸采集单元110开始采集人脸信息时,指示灯点亮,用于指示人脸采集单元110开始采集人脸信息。
图5为本发明实施例四提供的一种密钥的集装结构示意图,如图5所示,该密钥包括塑料制外壳10、摄像头20、led指示灯30、电路板4和usb接口。塑料制外壳10用于承载和保护密钥的其他部分。摄像头20作为人脸采集单元,led指示灯30作为指示单元,usb接口作为通讯单元,电路板4上设置有控制单元、存储单元和加解密单元。当usb接口与终端连接时,则可以启动摄像头20采集人脸信息,同时led指示灯30点亮,指示摄像头20处于工作状态,然后通过电路板4根据摄像头20采集的人脸信息判断是否授予相应的访问控制权项。
实施例五
本发明实施例还提供一种密钥的使用方法。该密钥的使用方法可适用于终端验证密钥判断是否授予相应的访问控制权项的情况。该方法可以由本发明任意实施例提供的密钥来执行,图6为实施例五提供的一种密钥的使用方法的流程示意图。如图6所示,该方法具体包括如下步骤:
s610、触发通讯单元使通讯单元输出启动信号;
s620、控制单元根据启动信号启动人脸采集单元采集人脸信息;
s630、控制单元根据人脸信息和证书信息判断是否授予相应的访问控制权项。
本发明实施例的技术方案,由于控制单元根据人脸信息和证书信息判断是否授予相应的访问控制权项,即密钥中的私钥为人脸信息,人脸信息不易复制,且在人脸信息采集时的时效性比较高,可以实现密钥由逻辑识别进化到物理识别,进而可以提高密钥的安全性和易用性,从而可以推动企业的数字化和智能化转型。
可选地,在控制单元根据启动信号启动人脸采集单元采集人脸信息之后,还包括:
存储单元在写入状态时存储人脸信息和证书信息,在读取状态时输出人脸信息和证书信息。
实施例六
控制单元包括控制模块和特征提取及计算模块。图7为实施例六提供的一种密钥的使用方法的流程示意图。如图7所示,该方法包括:
s710、触发通讯单元使通讯单元输出启动信号;
具体地,在使用密钥之前,管理人员可以将密钥与终端连接,对密钥进行初始化。在初始化密钥的过程中,可以预先存储初始化人脸信息和证书信息,作为密钥的私钥和公钥。
s720、控制单元根据启动信号启动人脸采集单元采集人脸信息;
s730、控制模块读取存储单元中人脸信息和初始化人脸信息;
s740、特征提取及计算模块根据人脸信息和初始化人脸信息进行比对,并输出对比结果;其中,当人脸信息和初始化人脸信息的特征差小于或等于预设阈值时,则对比结果为对比成功,当人脸信息和初始化人脸信息的特征差大于预设阈值时,则对比结果为对比失败;
具体地,如图7所示,当人脸信息和初始化人脸信息对比成功时,则可以进入到步骤s750,当人脸信息和初始化人脸信息对比失败时,则返回至步骤s720,人脸采集单元继续采集人脸信息,直至密钥的验证次数达到上限或人脸信息与初始化人脸信息对比成功。
s750、当对比结果为对比成功时,控制模块读取存储单元中证书信息传输至通讯单元;
s760、通讯单元输出证书信息至服务器;
s770、控制模块在服务器验证证书信息成功后授予相应的访问控制权项。
可选地,继续参考图7,在控制模块在服务器验证证书信息成功后授予相应的访问控制权项之后,还包括:
人脸采集单元持续更新人脸信息;
控制单元根据更新后的人脸信息和证书信息判断是否授予相应的访问控制权项。
具体地,如图7所示,在控制模块在服务器验证证书信息成功后授予相应的访问控制权项,可以返回步骤s720,继续通过人脸采集单元采集人脸信息,对人脸信息进行更新。通过持续更新人脸信息,并根据更新后的人脸信息和证书信息重新判断是否授予相应的访问控制权项,可以进一步地提高人脸信息的时效性,进一步地提高密钥的安全性。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
1.一种密钥,其特征在于,包括人脸采集单元、控制单元和通讯单元;
所述通讯单元与所述控制单元连接,所述控制单元与所述人脸采集单元连接,所述通讯单元用于在触发后输出启动信号,所述控制单元用于根据所述启动信号启动所述人脸采集单元,所述人脸采集单元采集人脸信息,所述控制单元还用于根据所述人脸信息和证书信息判断是否授予相应的访问控制权项。
2.根据权利要求1所述的密钥,其特征在于,还包括存储单元;
所述存储单元与所述控制单元连接,所述控制单元用于控制所述存储单元为写入状态或读取状态,所述存储单元用于在所述写入状态时存储所述人脸信息和所述证书信息,在所述读取状态时输出所述人脸信息和所述证书信息。
3.根据权利要求2所述的密钥,其特征在于,还包括初加解密单元;
所述加解密单元与所述控制单元连接,所述控制单元用于控制所述加解密单元为加密状态或解密状态,所述加解密单元用于对初始化时的初始化人脸信息和所述证书信息进行加密;所述存储单元与所述加解密单元连接,所述存储单元用于存储加密后的初始化人脸信息和证书信息。
4.根据权利要求3所述的密钥,其特征在于,所述控制单元包括控制模块和特征提取及计算模块;
所述控制模块与所述存储单元连接,所述特征提取及计算模块与所述控制模块连接,所述控制模块用于读取所述存储单元中所述人脸信息和所述初始化人脸信息至所述特征提取及计算模块,所述特征提取及计算模块用于根据所述人脸信息和所述初始化人脸信息进行比对,并输出对比结果;其中,当所述人脸信息和所述初始化人脸信息的特征差小于或等于预设阈值时,则所述对比结果为对比成功,当所述人脸信息和所述初始化人脸信息的特征差大于所述预设阈值时,则所述对比结果为对比失败。
5.根据权利要求4所述的密钥,其特征在于,当所述对比结果为对比成功时,所述控制模块还用于读取所述存储单元中所述证书信息传输至所述通讯单元;所述通讯单元还用于输出所述证书信息至服务器,所述控制模块还用于在所述服务器验证所述证书信息成功后授予相应的访问控制权项。
6.根据权利要求1所述的密钥,其特征在于,还包括指示单元,所述指示单元与所述控制单元连接,所述指示单元用于根据所述启动信号指示所述人脸采集单元采集所述人脸信息。
7.一种密钥的使用方法,其特征在于,包括:
触发通讯单元使所述通讯单元输出启动信号;
控制单元根据所述启动信号启动人脸采集单元采集人脸信息;
控制单元根据所述人脸信息和证书信息判断是否授予相应的访问控制权项。
8.根据权利要求7所述的密钥的使用方法,其特征在于,在控制单元根据所述启动信号启动人脸采集单元采集人脸信息之后,还包括:
存储单元在写入状态时存储所述人脸信息和所述证书信息,在读取状态时输出所述人脸信息和所述证书信息。
9.根据权利要求8所述的密钥的使用方法,其特征在于,所述控制单元包括控制模块和特征提取及计算模块;控制单元根据所述人脸信息和证书信息判断是否授予相应的访问控制权项,包括:
控制模块读取所述存储单元中所述人脸信息和初始化人脸信息;
所述特征提取及计算模块根据所述人脸信息和所述初始化人脸信息进行比对,并输出对比结果;其中,当所述人脸信息和所述初始化人脸信息的特征差小于或等于预设阈值时,则所述对比结果为对比成功,当所述人脸信息和所述初始化人脸信息的特征差大于所述预设阈值时,则所述对比结果为对比失败;
当所述对比结果为对比成功时,所述控制模块读取所述存储单元中所述证书信息传输至所述通讯单元;
所述通讯单元输出所述证书信息至服务器;
所述控制模块在所述服务器验证所述证书信息成功后授予相应的访问控制权项。
10.根据权利要求9所述的密钥的使用方法,其特征在于,所述控制模块在所述服务器验证所述证书信息成功后授予相应的访问控制权项之后,还包括:
所述人脸采集单元持续更新人脸信息;
所述控制单元根据更新后的人脸信息和所述证书信息判断是否授予相应的访问控制权项。
技术总结