一种基于骨声纹的密钥保护方法及系统与流程

1.本发明涉及加密技术领域，具体是一种基于骨声纹的密钥保护方法及系统。


背景技术：

2.密钥是密码系统的一种重要参数，它是在明文转换为密文或将密文转换为明文的密码算法中输入的固定参数。密码算法通常是公开的，如国际标准算法rsa、aes、des、3des和我国商用密码sm2、sm3、sm4、sm9等，掌握了密钥就可以使用公开的密码算法进行数据加解密、签名验签运算，因此密钥需要非常可靠的安全手段保障不被窃取，才能保证数据加密、电子签名的可靠性。
3.目前主流的密钥保护手段主要是将密钥存储在一个硬件安全介质中，比如芯片、ukey、密码卡等硬件密码模块，并设置密钥保护口令（pin码），密钥在使用过程中不出硬件安全介质，以此方式提供高安全的密钥安全保护措施和安全的算法运算环境。
4.以硬件安全介质来保障密钥安全，安全性高，但易用性低，并且在智能终端、云计算等纯软件环境中无法应用。
5.单纯依靠pin码保护的软件环境密钥保护方案，易用性较高，但安全性降低，一旦pin码泄露则意味着密钥泄露。因此，如何提高pin码的保密性是本发明技术方案想要解决的技术问题。


技术实现要素：

6.本发明的目的在于提供一种基于骨声纹的密钥保护方法及系统，以解决上述背景技术中提出的问题。
7.为实现上述目的，本发明提供如下技术方案：一种基于骨声纹的密钥保护方法，所述方法包括：接收含有用户信息的数据加密请求，根据所述用户信息对用户进行安全验证；当用户通过安全验证时，开放信息输入端口，采集用户发出的声音信号及发出声音信号时产生的骨骼振动信号；根据所述声音信号和所述骨骼振动信号生成骨声纹数据；对所述骨声纹数据进行sm3
‑
hmac运算，生成并存储密钥保护pin码；其中，所述密钥用于转换密文密钥和明文密钥。
8.作为本发明技术方案进一步的限定：所述接收含有用户信息的数据加密请求，根据所述用户信息对用户进行安全验证的步骤包括：实时监听终端的软件访问网络的行为；接收到含有用户信息的数据加密请求时，截取请求的网页地址；查找所述网页地址中的识别字段，并判断所述识别字段与预留字段是否相同；若所述访问请求的网页地址与服务器地址相同，则判断所述网页地址是否由浏览器发送，并基于判断结果建立连接通道；
若所述访问请求的网页地址与服务器地址不同，则发送访问流程。
9.作为本发明技术方案进一步的限定：所述判断所述网页地址是否由浏览器发送，并基于判断结果建立连接通道的步骤包括：获取所述浏览器的运行状态；若所述浏览器没有运行，则发送访问流程；若所述浏览器正在运行，则读取所述浏览器历史记录中的历史访问网址，并判断所述历史访问网址与所述请求的网页地址是否相同；若所述历史访问网址与所述请求的网页地址相同，则建立连接通道，若所述历史访问网址与所述请求的网页地址不同，则发送访问流程。
10.作为本发明技术方案进一步的限定：所述根据所述声音信号和所述骨骼振动信号生成骨声纹数据的步骤包括：读取所述声音信号，将所述声音信号转换为音频信息；对所述音频信息进行纯声学特征提取，生成特征矩阵，基于所述特征矩阵确认文本信息；对所述文本信息进行语意识别，所述文本信息通过语意识别时，将所述音频信息和骨骼振动信号输入训练好的波动匹配模型；当所述波动匹配模型的输出结果为真时，根据预设的拟合函数将所述声音信号和所述骨骼振动信号拟合为骨声纹数据。
11.作为本发明技术方案进一步的限定：所述方法还包括：设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，所述密码运算核被禁止运行操作系统的其它进程、并被专用于执行转换运算；其中，所述转换运算的双方是密文密钥和明文密钥；基于所述密码运算核执行转换运算；其中，密文密钥以及运算过程中使用的中间数据变量存储于所述密码运算核独占的高速缓冲存储器；当转换计算结束时，将计算结果同步至计算机内存，并对所述密码运算核独占的高速缓冲存储器执行数据清空操作。
12.作为本发明技术方案进一步的限定：密文密钥存储于所述密码运算核独占的高速缓冲存储器的步骤包括：转换运算的密文密钥以口令保护的形式保存于硬盘；密码运算核读取计算输入数据，加载密码计算调度程序，并提供用户输入口令的操作界面，同时从所述硬盘中读取以口令保护的所述密文密钥；所述密码运算核利用用户输入的口令解密以口令保护的所述密文密钥，并将所述密文密钥的明文存储于所述密码运算核的高速缓冲存储器中用于计算。
13.作为本发明技术方案进一步的限定：所述转换运算包括明文密钥操作运算和密文密钥操作运算，所述密文密钥操作运算包括数字签名和/或解密步骤包括：将所述密码运算核的扩展栈指针寄存器和扩展基址指针寄存器指向所述密码运算核独占的高速缓冲存储器的一个地址连续的静态缓冲区；将计算过程中产生的中间数据变量和计算结果存储于所述高速缓冲存储器的地址连续的静态缓冲区中；
基于密文密钥进行数字签名和/或解密步骤。
14.本发明技术方案还提供了一种基于骨声纹的密钥保护系统，所述系统包括：安全验证模块，用于接收含有用户信息的数据加密请求，根据所述用户信息对用户进行安全验证；信号采集模块，用于当用户通过安全验证时，开放信息输入端口，采集用户发出的声音信号及发出声音信号时产生的骨骼振动信号；数据转换模块，用于根据所述声音信号和所述骨骼振动信号生成骨声纹数据；pin码生成模块，用于对所述骨声纹数据进行sm3
‑
hmac运算，生成并存储密钥保护pin码；其中，所述密钥用于转换密文密钥和明文密钥。
15.作为本发明技术方案进一步的限定：所述安全验证模块包括：监听单元，用于实时监听终端的软件访问网络的行为；截取单元，用于接收到含有用户信息的数据加密请求时，截取请求的网页地址；识别字段比对单元，用于查找所述网页地址中的识别字段，并判断所述识别字段与预留字段是否相同；判断单元，用于若所述访问请求的网页地址与服务器地址相同，则判断所述网页地址是否由浏览器发送，并基于判断结果建立连接通道；矫正单元，用于若所述访问请求的网页地址与服务器地址不同，则发送访问流程。
16.作为本发明技术方案进一步的限定：所述判断单元包括：状态读取子单元，用于获取所述浏览器的运行状态；网址比对子单元，若所述浏览器没有运行，则用于发送访问流程；若所述浏览器正在运行，则用于读取所述浏览器历史记录中的历史访问网址，并判断所述历史访问网址与所述请求的网页地址是否相同；连接子单元，若所述历史访问网址与所述请求的网页地址相同，则用于建立连接通道，若所述历史访问网址与所述请求的网页地址不同，则用于发送访问流程。
17.与现有技术相比，本发明的有益效果是：声纹是每个人所具备的独一无二的特殊信息，但容易通过录音等复制手段进行破解，本发明借助高分辨率骨声纹振动传感器，其将声纹与人体的骨骼密度进行结合，通过采集使用者的人体骨骼声音传递产生的振动信号，实现骨声纹特征提取，并将骨声纹特征值进行sm3
‑
hmac（含有密钥的sm3散列函数算法）运算，生成固定长度的字符串，该字符串为密钥所有者唯一特有，通过该字符串作为密钥保护pin码，可实现只有密钥所有者有能力解锁、使用密钥进行算法运算。
附图说明
18.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。
19.图1示出了基于骨声纹的密钥保护方法的流程框图。
20.图2示出了基于骨声纹的密钥保护方法的第一子流程框图。
21.图3示出了基于骨声纹的密钥保护方法的第二子流程框图。
22.图4示出了基于骨声纹的密钥保护方法的第三子流程框图。
23.图5示出了基于骨声纹的密钥保护系统的组成结构框图。
24.图6示出了基于骨声纹的密钥保护系统中安全验证模块的组成结构框图。
25.图7示出了安全验证模块中判断单元的组成结构框图。
具体实施方式
26.为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
27.实施例1图1示出了基于骨声纹的密钥保护方法的流程框图，本发明实施例中，一种基于骨声纹的密钥保护方法，所述方法包括：步骤s100：接收含有用户信息的数据加密请求，根据所述用户信息对用户进行安全验证；步骤s200：当用户通过安全验证时，开放信息输入端口，采集用户发出的声音信号及发出声音信号时产生的骨骼振动信号；步骤s300：根据所述声音信号和所述骨骼振动信号生成骨声纹数据；步骤s400：对所述骨声纹数据进行sm3
‑
hmac运算，生成并存储密钥保护pin码；其中，所述密钥用于转换密文密钥和明文密钥。
28.声纹是每个人所具备的独一无二的特殊信息，但容易通过录音等复制手段进行破解，本发明借助高分辨率骨声纹振动传感器，其将声纹与人体的骨骼密度进行结合，通过采集使用者的人体骨骼声音传递产生的振动信号，实现骨声纹特征提取，并将骨声纹特征值进行sm3
‑
hmac（含有密钥的sm3散列函数算法）运算，生成固定长度的字符串，该字符串为密钥所有者唯一特有，通过该字符串作为密钥保护pin码，可实现只有密钥所有者有能力解锁、使用密钥进行算法运算。
29.基于骨声纹的密钥保护与使用方法，其具体工作流程描述如下：首先：密钥所有者使用骨传导耳机，通过讲话输入骨骼振动信号a，骨传导耳机通过骨声纹振动传感器采集并生成骨声纹数据b，之后通过蓝牙输出到智能终端。
30.然后：智能终端（手机、pad、智能家居、智能汽车控制终端等）通过蓝牙接收骨声纹数据b，将骨声纹数据b进行sm3
‑
hmac运算，将骨声纹数据b转换为密钥保护pin码，通过pin码实现原始密钥的加密保护，生成密文密钥c。
31.最后：智能终端（手机、pad、智能家居、智能汽车控制终端等）通过蓝牙接收骨声纹数据b，将骨声纹数据b进行sm3
‑
hmac运算，将骨声纹数据b转换为密钥保护pin码，通过pin码实现密文密钥的解密处理，得到明文密钥d，之后可使用明文密钥d进行数据加解密、签名验签等密码算法运算。
32.基于骨声纹的密钥保护与使用方法，其关键点在于将骨声纹数据转换为可用于密钥保护的pin码，改进了传统pin码需要手动设置的问题。在本发明中，密钥保护pin码由软件自动基于骨声纹数据生成，无需用户手动设置，使用过程中也不需要用户手动输入，极大简化了用户操作，并且pin码与用户生物特征（骨声纹）关联，在提高密钥安全性的基础上切实做到了不影响用户的易用性。
33.图2示出了基于骨声纹的密钥保护方法的第一子流程框图，所述接收含有用户信息的数据加密请求，根据所述用户信息对用户进行安全验证的步骤包括步骤s101
‑
步骤s103：步骤s101
‑
步骤s103的作用是确定访问来源，这里的访问请求发送者是软件，并非是用户，目的是要检测出用户是通过何种方式进行远程访问的，因为最终访问的目的一样，通过限制访问来源的方式去提高安全性是很有效也是很容易的，目前，浏览器的稳定性很高，各种浏览器软件也比较成熟，安全性自然也比较高，不容易被植入插件；换而言之，步骤s101
‑
步骤s103的目的是将访问来源限制在浏览器中。
34.步骤s101：实时监听终端的软件访问网络的行为；步骤s102：接收到含有用户信息的数据加密请求时，截取请求的网页地址；上述内容存在一个误区，既然访问地址是系统所在地址，直接记录系统地址即可，截取请求的网页地址不免有些画蛇添足，实际上，请求的网页地址与系统地址之间存在着一系列传输过程，在这一过程中，是极其容易发生变动的，尤其是一些合法的跳转网页，那种渠道也是系统所允许的访问方式，但是如果直接记录系统地址，并将系统地址作为比对模板，是提高了访问限制的，这会影响系统访问的便捷性。
35.步骤s103：查找所述网页地址中的识别字段，并判断所述识别字段与预留字段是否相同；在一个访问网址中，一定有着自己的特有字段，比如www.***.com中的***字段，它就可以作为一个网址的识别字段。
36.步骤s104：若所述访问请求的网页地址与服务器地址相同，则判断所述网页地址是否由浏览器发送，并基于判断结果建立连接通道；判断访问请求的网页地址与服务器地址是否相同是网络访问过程中的必有步骤，如果不是访问实际站点，那么就有可能是跳转网页，判断所述网页地址是否由浏览器发送，并基于判断结果建立连接通道是核心步骤，即，本发明与现有技术的不同点。
37.步骤s105：若所述访问请求的网页地址与服务器地址不同，则发送访问流程。
38.步骤s105的目的是发送正确的访问流程，因为现有的许多网站，其访问过程有很多种，这些访问过和会触发上述监听过程，在监听过程之后，有一步再次判断过程，就是判断网页地址与服务器地址是否相同，这一步相当于是二次检测，是一种保护措施，如果所述访问请求的网页地址与服务器地址不同，但实际上，用户也已经触发了监听过程，那么就说明用户想要去访问服务设备，所以步骤s105是在触发监听过程，并且所述访问请求的网页地址与服务器地址又不同的情况下做出的。
39.图3示出了基于骨声纹的密钥保护方法的第二子流程框图，所述判断所述网页地址是否由浏览器发送，并基于判断结果建立连接通道的步骤包括步骤s1041至步骤s1043：步骤s1041：获取所述浏览器的运行状态；步骤s1042：若所述浏览器没有运行，则发送访问流程；若所述浏览器正在运行，则读取所述浏览器历史记录中的历史访问网址，并判断所述历史访问网址与所述请求的网页地址是否相同；步骤s1043：若所述历史访问网址与所述请求的网页地址相同，则建立连接通道，若所述历史访问网址与所述请求的网页地址不同，则发送访问流程。
40.上述内容的目的是判断所述网页地址是否由浏览器发送，浏览器在访问一个网页时，总会存在记录，如果发生了访问过程，但是历史记录中又没有，那么就说明访访问过程并不是通过浏览器发送的。
41.图4示出了基于骨声纹的密钥保护方法的第三子流程框图，所述根据所述声音信号和所述骨骼振动信号生成骨声纹数据的步骤包括步骤s301至步骤s304：步骤s301：读取所述声音信号，将所述声音信号转换为音频信息；步骤s302：对所述音频信息进行纯声学特征提取，生成特征矩阵，基于所述特征矩阵确认文本信息；步骤s303：对所述文本信息进行语意识别，所述文本信息通过语意识别时，将所述音频信息和骨骼振动信号输入训练好的波动匹配模型；步骤s304：当所述波动匹配模型的输出结果为真时，根据预设的拟合函数将所述声音信号和所述骨骼振动信号拟合为骨声纹数据。
42.上述内容的重点是基于骨骼振动信号确定骨声纹数据，在这一基础上，增加了对声音信号的判断，根据所述声音信号和所述骨骼振动信号共同确定骨声纹数据；当然，声音信号的影响要远小于骨声纹数据的影响，它更像是一个条件，只有当声音信号达到某个最低标准时，骨骼振动信号才被认为是有意义的。
43.进一步的，所述方法还包括：设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，所述密码运算核被禁止运行操作系统的其它进程、并被专用于执行转换运算；其中，所述转换运算的双方是密文密钥和明文密钥；基于所述密码运算核执行转换运算；其中，密文密钥以及运算过程中使用的中间数据变量存储于所述密码运算核独占的高速缓冲存储器；当转换计算结束时，将计算结果同步至计算机内存，并对所述密码运算核独占的高速缓冲存储器执行数据清空操作。
44.在上述内容中，密文密钥以及运算过程中使用的中间数据变量存储于所述密码运算核独占的高速缓冲存储器过程中的“密文密钥存储于所述密码运算核独占的高速缓冲存储器”的步骤包括：转换运算的密文密钥以口令保护的形式保存于硬盘；密码运算核读取计算输入数据，加载密码计算调度程序，并提供用户输入口令的操作界面，同时从所述硬盘中读取以口令保护的所述密文密钥；所述密码运算核利用用户输入的口令解密以口令保护的所述密文密钥，并将所述密文密钥的明文存储于所述密码运算核的高速缓冲存储器中用于计算。
45.具体的，所述转换运算包括明文密钥操作运算和密文密钥操作运算，所述密文密钥操作运算包括数字签名和/或解密步骤包括：将所述密码运算核的扩展栈指针寄存器和扩展基址指针寄存器指向所述密码运算核独占的高速缓冲存储器的一个地址连续的静态缓冲区；将计算过程中产生的中间数据变量和计算结果存储于所述高速缓冲存储器的地址连续的静态缓冲区中；基于密文密钥进行数字签名和/或解密步骤。
46.实施例2图5示出了基于骨声纹的密钥保护系统的组成结构框图，本发明实施例中，一种基于骨声纹的密钥保护系统，所述系统10包括：安全验证模块11，用于接收含有用户信息的数据加密请求，根据所述用户信息对用户进行安全验证；信号采集模块12，用于当用户通过安全验证时，开放信息输入端口，采集用户发出的声音信号及发出声音信号时产生的骨骼振动信号；数据转换模块13，用于根据所述声音信号和所述骨骼振动信号生成骨声纹数据；pin码生成模块14，用于对所述骨声纹数据进行sm3
‑
hmac运算，生成并存储密钥保护pin码；其中，所述密钥用于转换密文密钥和明文密钥。
47.图6示出了基于骨声纹的密钥保护系统中安全验证模块的组成结构框图，所述安全验证模块11包括：监听单元111，用于实时监听终端的软件访问网络的行为；截取单元112，用于接收到含有用户信息的数据加密请求时，截取请求的网页地址；识别字段比对单元113，用于查找所述网页地址中的识别字段，并判断所述识别字段与预留字段是否相同；判断单元114，用于若所述访问请求的网页地址与服务器地址相同，则判断所述网页地址是否由浏览器发送，并基于判断结果建立连接通道；矫正单元115，用于若所述访问请求的网页地址与服务器地址不同，则发送访问流程。
48.图7示出了安全验证模块中判断单元的组成结构框图，所述判断单元114包括：状态读取子单元1141，用于获取所述浏览器的运行状态；网址比对子单元1142，若所述浏览器没有运行，则用于发送访问流程；若所述浏览器正在运行，则用于读取所述浏览器历史记录中的历史访问网址，并判断所述历史访问网址与所述请求的网页地址是否相同；连接子单元1143，若所述历史访问网址与所述请求的网页地址相同，则用于建立连接通道，若所述历史访问网址与所述请求的网页地址不同，则用于发送访问流程。
49.上述基于骨声纹的密钥保护方法所能实现的功能均由计算机设备完成，所述计算机设备包括一个或多个处理器和一个或多个存储器，所述一个或多个存储器中存储有至少一条程序代码，所述程序代码由所述一个或多个处理器加载并执行以实现所述基于骨声纹的密钥保护方法的功能。
50.处理器从存储器中逐条取出指令、分析指令，然后根据指令要求完成相应操作，产生一系列控制命令，使计算机各部分自动、连续并协调动作，成为一个有机的整体，实现程序的输入、数据的输入以及运算并输出结果，这一过程中产生的算术运算或逻辑运算均由运算器完成；所述存储器包括只读存储器（read
‑
only memory，rom），所述只读存储器用于存储计算机程序，所述存储器外部设有保护装置。
51.示例性的，计算机程序可以被分割成一个或多个模块，一个或者多个模块被存储在存储器中，并由处理器执行，以完成本发明。一个或多个模块可以是能够完成特定功能的
一系列计算机程序指令段，该指令段用于描述计算机程序在终端设备中的执行过程。
52.本领域技术人员可以理解，上述服务设备的描述仅仅是示例，并不构成对终端设备的限定，可以包括比上述描述更多或更少的部件，或者组合某些部件，或者不同的部件，例如可以包括输入输出设备、网络接入设备、总线等。
53.所称处理器可以是中央处理单元（central processing unit，cpu），还可以是其他通用处理器、数字信号处理器 （digital signal processor，dsp）、专用集成电路（application specific integrated circuit，asic）、现成可编程门阵列 （field
‑
programmable gate array，fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，上述处理器是上述终端设备的控制中心，利用各种接口和线路连接整个用户终端的各个部分。
54.上述存储器可用于存储计算机程序和/或模块，上述处理器通过运行或执行存储在存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现上述终端设备的各种功能。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序（比如信息采集模板展示功能、产品信息发布功能等）等；存储数据区可存储根据泊位状态显示系统的使用所创建的数据（比如不同产品种类对应的产品信息采集模板、不同产品提供方需要发布的产品信息等）等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡（smart media card， smc），安全数字（secure digital， sd）卡，闪存卡（flash card）、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
55.终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例系统中的全部或部分模块/单元，也可以通过计算机程序来指令相关的硬件来完成，上述的计算机程序可存储于计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个系统实施例的功能。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器（rom，read
‑
only memory）、随机存取存储器（ram，random access memory）、电载波信号、电信信号以及软件分发介质等。
56.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
57.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。