一种授权方法、生物特征信息发送方法及装置
技术领域
本申请涉及计算机技术领域,尤其涉及一种授权方法、生物特征信息发送方法及装置。
背景技术
离线授权,是指终端没有登录到服务器(即终端“不在线”)的情况下获得服务器授权的一种技术。
一种典型的离线授权是基于U盾实现的。U盾,即U type shield,一般是银行提供的办理网上银行业务的高级别安全工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。就U盾的工作原理而言,其主要用于在用户尝试进行网上交易时,获得银行端发出的由时间字串、地址字串、交易信息字串和防重放攻击字串组合在一起进行加密后得到的字串1,进而根据用户的个人证书对字串1进行不可逆运算得到字串2,并将字串2发送给银行端。银行端也同时进行该不可逆运算,如果银行端运算结果和U盾反馈给银行的运算结果一致,则用户尝试进行的网上交易可以获得授权,该网上交易便可以完成,如果不一致,则该网上交易会由于无法获得授权从而失败。
基于U盾的离线授权存在的缺陷在于U盾易遗失、在未被挂失之前容易被恶意者用来进行简单的身份冒用。
目前,也有技术提出基于生物特征(比如指纹特征或人脸特征等)信息进行离线授权。其大致原理是以生物特征信息作为离线授权过程中的认证信息,当用户通过其终端向服务器侧提供的生物特征信息与服务器侧(如前文所述的银行端)保存的该用户的生物特征信息匹配一致时,用户终端尝试进行的相应业务可以获得授权,而如果不一致,则该业务不能够获得授权。由于用户的生物特征信息相对于U盾而言不易丢失,因此相比于基于U盾的离线授权,基于生物特征信息的离线授权能够很大程度上避免用户身份认证和授权时的身份冒用。然而,由于基于生物特征信息的离线授权需要在授权过程中传输生物特征信息,从而仍然会面临一定的信息泄露和用户隐私信息扩散风险。
发明内容
本申请实施例提供一种授权方法,用以提高授权过程传输的生物特征信息的安全性。
本申请实施例还提供一种授权装置,用以提高授权过程传输的生物特征信息的安全性。
本申请实施例还提供一种生物特征信息发送方法和装置。
本申请实施例采用下述技术方案:
第一方面,一种授权方法,包括:接收待识别的生物特征信息;其中,所述待识别的生物特征信息是用户终端通过中继设备发送的,所述待识别的生物特征信息是根据特定信息和加密方法对第一生物特征信息进行加密处理得到的;根据所述特定信息和所述加密方法对保存的第二生物特征信息进行加密处理,得到注册的生物特征信息;确定待识别的生物特征信息与所述注册的生物特征信息之间的相似度,并在所述相似度满足预定条件时,为所述中继设备授予与所述注册的生物特征信息相匹配的权限。
第二方面,一种生物特征信息发送方法,包括:获得生物特征信息;根据特定信息和加密方法,对获得的生物特征信息进行加密处理,得到加密处理后的生物特征信息;发送所述加密处理后的生物特征信息。
第三方面,一种授权装置,包括:信息接收单元,用于接收待识别的生物特征信息;其中,所述待识别的生物特征信息是用户终端通过中继设备发送的,所述待识别的生物特征信息是根据特定信息和加密方法对第一生物特征信息进行加密处理得到的;加密单元,用于根据所述特定信息和所述加密方法对保存的第二生物特征信息进行加密处理,得到注册的生物特征信息;相似度确定单元,用于确定信息接收单元接收的待识别的生物特征信息与加密单元得到的所述注册的生物特征信息之间的相似度;授权单元,用于在相似度确定单元确定出的所述相似度满足预定条件时,为所述中继设备授予与所述注册的生物特征信息相匹配的权限。
第四方面,一种生物特征信息发送装置,包括:信息获得单元,用于获得生物特征信息;加密单元,用于根据特定信息和加密方法,对信息获得单元获得的生物特征信息进行加密处理,得到加密处理后的生物特征信息;信息发送单元,用于发送加密单元得到的所述加密处理后的生物特征信息。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
由于发送给服务器的待识别的生物特征信息是进行了加密处理的生物特征信息,从而即便待识别的生物特征信息在传输给服务器的过程中发生了泄露,泄露的该待识别的生物特征信息也难以被破解,从而提高了授权过程中传输的生物特征信息的安全性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例1提供的一种授权方法的具体流程示意图;
图2为本申请实施例2提供的一种生物特征信息的发送方法的具体流程示意图;
图3为二维空间中的坐标相对于该空间中指定坐标点的偏转角度示意图;
图4a为本申请实施例3所提供的基于多维生物特征向量集合的授权方法的实施场景示意图;
图4b为本申请实施例3提供的一种基于多维生物特征向量集合的授权方法的具体流程示意图;
图5为本申请实施例4提供的一种授权装置的具体结构示意图;
图6为实施例5提供的一种生物特征信息发送装置的具体结构示意图;
图7为实施例6提供的一种生物特征信息发送装置的具体结构示意图;
图8为实施例7提供的一种授权装置的具体结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
实施例1
实施例1提供一种授权方法,该授权方法的具体实现流程图如图1所示,包括下述主要步骤:
步骤11,接收待识别的生物特征信息。
其中,该待识别的生物特征信息可以是由用户终端通过中继设备发送的。
待识别的生物特征信息是根据特定信息和加密方法对第一生物特征信息进行加密处理得到的。
步骤12,根据特定信息和加密方法对保存的第二生物特征信息进行加密处理,得到注册的生物特征信息。
实施例1中,第一生物特征信息和第二生物特征信息可以但不限于为指纹特征信息、掌纹特征信息、人脸特征信息、虹膜特征信息或眼纹特征信息等。第一生物特征信息和第二生物特征信息的类型可能相同也可能不同。
步骤13,确定待识别的生物特征信息与注册的生物特征信息之间的相似度,并在相似度满足预定条件时,为中继设备授予与注册的生物特征信息相匹配的权限。
一般地,生物特征信息可以是一个向量。从而不同的生物特征信息之间的相似度可以由它们之间的欧式距离的值来衡量。或者,还可以采用汉明距离或集合距离来衡量不同生物特征向量之间的相似度。或者,也可以采用支持向量机(Support Vector Machine,SVM)预先训练相似度评分模型,然后再通过模型打分的方式确定不同生物特征向量之间的相似度的值。相似度满足特定操作执行条件可以是指相似度的值大于相似度阈值。
此外,上文所述的特定信息可以但不限于包括随机字符串、终端唯一标识和用户密钥三者中的至少一个。随机字符串可以是由服务器12随机生成的,也可以是用户终端13或中继设备11随机生成的;终端唯一标识一般是指图1所示的该用户终端13的唯一标识,以手机这一用户终端为例,手机的唯一标识可以但不限于是手机的国际移动设备识别码(International Mobile EquipmentIdentification Number,IMEI)、国际移动用户识别码(International MobileSubscriber Identification Number,IMSI)、中央处理单元(Center Processing Unit,CPU)的型号、介质访问控制(Medium/Media Access Control,MAC)地址、操作系统的标识和/或操作系统的版本信息等;用户密钥可以是由用户输入的一个字符串,比如用户可以将该字符串输入到用户终端中,进而用户终端可以通过中继设备对该字符串进行发送。
为更清楚地说明实施例1提供的该授权方法,下文特别对步骤12的具体实现方式进行详细说明:
当第二生物特征信息为生物特征向量构成的集合时,步骤12的具体实现方式可以包括:根据特定信息和加密方法,对构成上述集合的生物特征向量包括的至少一个元素进行不可逆的加密运算,得到注册的生物特征信息。其中,这里所说的不可逆的加密运算可以但不限于是包括取模运算的加密算法。
以下以不同的实施场景为例,说明步骤12在不同实施场景下的实现流程。
第一种实施场景:生物特征向量包括第一元素和第二元素;且第一元素用于表示生物细节特征信息在图像所在的二维空间中的横坐标,第二元素用于表示生物细节特征信息在该二维空间中的纵坐标。
在第一种实施场景中,根据特定信息和加密方法对生物特征向量包括的至少一个元素进行不可逆的加密运算可以包括:根据特定信息和加密方法,对构成第二生物特征信息的每个生物特征向量包括的第一元素和第二元素分别进行不可逆的加密运算。
具体地,当特定信息为随机字符串、终端唯一标识和用户密钥时,根据特定信息和加密方法,对构成第二生物特征信息的每个生物特征向量包括的第一元素和第二元素分别进行不可逆的加密运算可以包括如下子步骤:
子步骤一:利用加密算法1对由随机字符串、终端唯一标识和用户密钥构成的信息集合进行加密计算,得到安全信息集合1。
其中,加密算法1可以采用密码散列函数的加密算法,比如可以是安全散列算法(Secure Hash Algorithm,SHA)。
子步骤二:利用加密算法2再次对安全信息集合1进行加密处理,得到加密处理后的安全信息集合1。
其中,加密算法2也可以为采用密码散列函数的加密算法,比如可以是SHA。
子步骤三:针对第二生物特征信息所包括的每个生物特征向量分别执行操作:根据加密处理后的安全信息集合1、图像的高度值和宽度值,以及坐标转换算法,对生物特征向量中的第一元素和第二元素分别进行转换,得到转换后的第一元素和第二元素。
子步骤三中使用的坐标转换算法可以进一步参考后文的实施例3,在此不再赘述。
在第一种实施场景中,若构成第二生物特征信息的生物特征向量还包括第三元素,且该第三元素用于表示生物细节特征信息的特征样式标识,则根据特定信息和加密方法对生物特征向量包括的至少一个元素进行不可逆的加密运算的过程中还可以进一步包括:根据特征样式总数目和特征样式标识转换算法,对构成第二生物特征信息的每个生物特征向量包括的第三元素分别进行加密运算,得到加密后的第三元素。
其中,特征样式总数目为统计出的能够被识别的生物细节特征信息的特征样式总数目,该特征样式总数目可以通过对包括生物细节特征信息的图像样本进行训练而得到。特征样式标识转换算法可以进一步参考后文的实施例3,在此不再赘述。
在第一种实施场景中,除了对第三元素进行上述加密运算外,还可以对第三元素进行其他的可逆或不可逆的加密运算。
在第一种实施场景中,若构成第二生物特征信息的生物特征向量还包括第四元素,且第四元素用于表示生物细节特征信息在图像所在二维空间中的坐标相对于该二维空间中指定参考物的偏转角度,则根据特定信息和加密方法,对生物特征向量包括的至少一个元素进行不可逆的加密运算的过程中还可以进一步:根据特定信息和加密方法,对构成第二生物特征信息的每个生物特征向量包括的第四元素分别进行加密运算,得到加密后的第四元素。
具体的,当特定信息为随机字符串、终端唯一标识和用户密钥时,对构成第二生物特征信息的每个生物特征向量包括的第四元素进行加密运算的过程可以包括如下子步骤:
子步骤一:利用加密算法3对由随机字符串、终端唯一标识和用户密钥构成的信息集合进行加密计算,得到安全信息集合2。
其中,加密算法3可以采用密码散列函数的加密算法,比如可以是SHA。
子步骤二:利用加密算法4再次对安全信息集合2进行加密处理,得到加密处理后的安全信息集合2。
其中,加密算法4也可以为采用密码散列函数的加密算法,比如可以是SHA。
子步骤三:针对第二生物特征信息所包括的每个生物特征向量分别执行操作:根据偏转角度转换算法和加密处理后的安全信息集合2,对生物特征向量中的第四元素进行转换,得到转换后的第四元素。
该子步骤三中使用的偏转角度转换算法可以进一步参考后文的实施例3,在此不再赘述。
在第一种实施场景中,若构成第二生物特征信息的生物特征向量除了包括前文所述的第一元素和第二元素外,还包括第五元素(用于表示组合的标识),且这里所说的组合为生物细节特征信息在图像所在二维空间中的坐标相对于该二维空间中指定参考物的偏转角度和生物细节特征信息的特征样式标识所构成的组合,那么,根据特定信息和加密方法,对生物特征向量包括的至少一个元素进行不可逆的加密运算的过程还可以进一步包括:
根据组合标识转换算法,以及对图像样本进行训练而确定出的组合数,对构成第二生物特征信息的每个生物特征向量包括的第三元素分别进行加密运算,得到加密后的第三元素。这里所说的组合标识转换算法可以进一步参考后文实施例3中的公式[2],在此不再赘述。
需要说明的是,上述组合数为不同生物细节特征信息在二维空间中的坐标分别相对于二维空间中指定参考物的偏转角度与所述不同生物细节特征信息的特征样式标识的组合数目。上述图像可以为包括生物细节特征信息的图像。上述二维空间可以为包括生物细节特征信息的图像所在的二维空间。
在第一种实施场景中,除了可以对第五元素进行上述加密运算外,还可以对第五元素进行其他的可逆或不可逆的加密运算。
第二种实施场景:生物特征向量仅包括前文所述的第三元素。
在第二种实施场景下,根据特定信息和加密方法,对构成第二生物特征信息的生物特征向量包括的至少一个元素进行不可逆的加密运算,得到注册的生物特征信息的具体实现方式可以包括:根据特定信息和加密方法,对构成第二生物特征信息的各生物特征向量中的第三元素分别进行不可逆的加密运算,得到加密后的第三元素。
第三种实施场景:生物特征向量包括前文所述的第三元素和第四元素。
在第三种实施场景下,根据特定信息和加密方法,对构成第二生物特征信息的生物特征向量包括的至少一个元素进行不可逆的加密运算,得到注册的生物特征信息的具体实现方式可以包括:根据特定信息和加密方法,对构成第二生物特征信息的各生物特征向量中的第三元素和第四元素分别进行不可逆的加密运算,得到加密后的第三元素。或者,也可以只对各生物特征向量中的第三元素分别进行不可逆的加密运算,得到加密后的第三元素;或者,也可以只对各生物特征向量中的第四元素分别进行不可逆的加密运算,得到加密后的第四元素。
实施例1中对其他实施场景不再一一列举。但本领域技术人员可以明白,视特定信息内容的不同、使用的加密算法的不同,以及使用加密算法的次数不同等,步骤12还可以有其他实现方式。但只要是根据特定信息和加密方法,对构成第二生物特征信息的生物特征向量包括的至少一个元素进行不可逆的加密运算,均为步骤12所能涵盖的下位方案。
可选的,为了加强注册的生物特征信息的安全性,注册的生物特征信息中还可以被添加杂凑点,以实现对生物特征信息的隐藏。
以下进一步对步骤13进行详细说明:
若实施例1中利用杂凑点对待识别的生物特征均进行了隐藏,则可以采用下述方式确定待识别的生物特征信息与注册的生物特征信息之间的相似度:
首先,可以从待识别的生物特征信息中删除满足第一特定条件的特定数目的信息;以及从注册的生物特征信息中删除满足第二特定条件的特定数目的信息。其中,该特定数目为待识别的生物特征信息中添加的杂凑点的数目;第一特定条件为“与注册的生物特征信息中包括的任一信息相同”;第二特定条件为“与待识别的生物特征信息中包括的任一信息相同”。
然后,再确定删除了特定数目的信息后的待识别的生物特征信息和删除了特定数目的信息后的注册的生物特征信息之间的相似度。
对注册的生物特征信息和待识别的生物特征信息中的相同信息进行删除的好处在于,可以避免由于杂凑点的存在而导致待识别的生物特征信息和注册的生物特征信息之间的相似度的值的准确性受到影响。
由对于实施例1的上述说明可知,由于中继设备所转发的待识别的生物特征信息是进行了加密处理的生物特征信息,从而即便待识别的生物特征信息在转发过程中发生了泄露,泄露的该待识别的生物特征信息也难以被破解,从而提高了授权过程中传输的生物特征信息的安全性。
实施例1提供的该方法的执行主体可以是网络侧的服务器等设备。步骤11~步骤13可以是由同一设备执行的,也可以是由不同设备分别执行的。
实施例2
实施例2提供一种生物特征信息发送方法,该方法的具体实现流程图如图2所示,包括如下步骤:
步骤21,获得生物特征信息;
步骤22,根据特定信息和加密方法,对获得的生物特征信息进行加密处理,得到加密处理后的生物特征信息;。
步骤22的具体实现过程与实施例1中生成注册的生物特征信息的实现过程类似,在此不再赘述。
步骤23,发送加密处理后的生物特征信息。
实施例2由于对生物特征信息进行了加密处理后才对其进行发送,而不是直接发送获得的原始生物特征信息,从而增大了被发送的生物特征信息的破译难度。采用本申请实施例2提供的该方法,即便被发送的加密处理后的生物特征信息被拦截,拦截者也由于无法获知对生物特征信息的具体加密处理方式,而无法根据加密处理后的生物特征信息得到加密处理前的原始生物特征信息,从而保证了被发送的生物特征信息的安全性。
需要说明的是,实施例2所提供方法的各步骤的执行主体均可以是同一终端,或者,该方法也由不同终端作为执行主体。比如,步骤21和步骤22的执行主体可以为终端1,步骤23的执行主体可以为终端2;又比如,步骤21的执行主体可以为终端1,步骤22和步骤23的执行主体可以为终端2;等等。
实施例3
采用目前的现有技术,对存在于图像中的生物特征(如指纹特征、掌纹特征、人脸特征、虹膜特征和眼纹特征等)信息进行提取后,可以得到相应的生物特征信息,即多维生物特征向量集合。
具体地,以指纹特征为例,采用指纹特征识别和提取方法对图像进行处理后,可以得到多个指纹特征码,该些指纹特征码可以构成一个四维指纹特征向量集合,或者可以转换为该四维指纹特征向量集合。该四维指纹特征向量集合所包括的四维指纹特征向量的前两个元素(即前两维)一般用于表示:某指纹细节特征信息在上述图像所在的二维空间中的坐标;四维指纹特征向量的第三个元素(即第三维)一般用于描述该指纹细节特征信息的特征样式标识;四维指纹特征向量的第四个元素(即第四维)则用于描述该指纹细节特征信息在前述二维空间中的坐标相对于该二维空间中指定坐标点(和/或坐标轴)的偏转角度,比如按照顺时针的反向相对于该二维空间的原点的偏转角度,如图3所示。
对于上述描述中的一些名词解释如下:
指纹细节特征信息是指构成指纹的线条的特征信息;
指纹细节特征信息的特征样式是指构成指纹的线条所具备的特征样式,比如棒形线型、弧形线型、波浪线型、箕形线型以及螺形线型等等。实施例3中,假设目前能够被识别的指纹细节特征信息的特征样式共有m种,从而特征样式标识的范围可以是[1,m]。
类似于指纹特征向量集合的生成方式,采用生物特征识别方法对图像中的其他生物特征信息进行识别后,也可以得到相应的生物特征向量集合。
虽然在实际应用中,上述多维生物特征向量集合所包括的元素个数(即维数)会受到该集合中的元素所要描述的生物细节特征信息所属的生物特征种类、生成该集合时所使用的特征识别和提取方法或该集合中的元素对于生物细节特征信息的描述方式的影响,从而使得该集合的维数可能不止四维。但无论该集合的维数数量是多少,该集合包括的元素所表示的信息基本上可以划分为三部分,它们分别为:生物细节特征信息在包括有该生物细节特征信息的图像所在的二维空间中的坐标(为便于描述,后文将包括有该生物细节特征信息的图像所在的二维空间简称为“图像所在二维空间”)、生物细节特征信息的特征样式标识,以及生物细节特征信息在图像所在二维空间中的坐标相对于该二维空间中指定坐标点(和/或坐标轴)的偏转角度。
基于上述介绍,以下对本申请实施例3进行详细说明。
本申请实施例3提供一种基于多维生物特征向量集合的授权方法。其中,所述多维生物特征向量集合中的每个多维生物特征向量所分别表示的信息至少包括前文所述的三部分。
为方便对本申请实施例3提供的该方法进行清楚的描述,下文以用户提供包括掌纹特征信息的图像为例,说明如何对该图像进行生物特征信息提取而得到四维掌纹特征向量集合、如何对四维掌纹特征向量集合进行特定转换并利用杂凑点对转换后得到的四维掌纹特征向量集合进行隐藏,以及如何基于隐藏的多维掌纹特征向量集合对用户再次提供的掌纹特征信息进行识别比对。该方法也可以用于处理除掌纹特征信息之外的其他生物特征信息,如指纹特征信息、虹膜特征信息、人脸特征信息以及步态特征信息等等。
请参照附图4a和附图4b。其中,图4a为本申请实施例3所提供的基于多维生物特征向量集合的授权方法的实施场景示意图,该实施场景中的设备主要包括服务器、中继设备和用户终端;图4b为本申请实施例3所提供的基于多维生物特征向量集合的授权方法的具体实现流程示意图,该方法主要包括注册过程和授权过程两部分。其中,注册过程包括的步骤为步骤41,而授权过程包括的步骤为步骤42~步骤417。以下对图4所示的各步骤进行详细说明:
步骤41,服务器获得注册到服务器中的生物特征信息。
在用户使用基于多维生物特征向量集合的授权方法完成对业务的授权之前,需要在服务器处注册自身的账户和生物特征信息。具体的注册过程可以是基于用户终端与服务器建立的连接完成的,比如,用户终端通过与服务器之间建立的有线或无线连接,将自身的账户信息(一般包括用户名和密码)以及采集到的用户特征信息发送给服务器;或者,用户也可以在专门办理生物特征信息注册业务的网点实现将自身的账户信息和用户特征信息提供给服务器,从而完成生物特征信息的注册。其中,提供给服务器的账户信息一方面是用于后续对用户身份的认证;另一方面,其也可以与用户特征信息对应存储在服务器中,以便于后续服务器可以根据用户终端再次提供的账户信息,查找到相应的用户特征信息并调用。
以指纹特征信息为例,用户可以在用户终端中安装的用于引导用户拍摄指纹的客户端的指引下,利用用户终端中安装的或用户终端所连接的USB指纹采集器采集指纹,从而使得用户终端获得包括有指纹特征信息的图像。其中,用户终端可以仅采集一次自己的指纹,也可以进行多次(如三次)采集。实施例3中,假设获得的各图像的长度均为l,高度均为h。
假设用户进行了三次指纹采集,从而获得相应的尺寸为l×h的三幅图像,则用户终端可以采用预先设置在用户终端中的指纹特征信息识别和提取方法,实现对图像中的指纹特征信息的提取,从而得到由k个四维指纹特征向量构成的四维指纹特征向量集合。实施例3中,k表示采用所述指纹特征信息识别和提取方法从上述三幅图像中识别出的指纹细节特征信息的数目,其大小一般为十几或者几十甚至上百,该数目往往与指纹特征识别和提取方法有关。为了便于描述,得到的四维指纹特征向量集合可以表示为C={(a11,…,a41),(a12,…,a42)…,(a1k,…,a4k)},aij(i∈[1,4],j∈[1,k])表示构成四维指纹特征向量的元素。C中的每个四维指纹特征向量满足:前两维表示某指纹细节特征信息在相应的图像所在的二维空间中的坐标;第三维用于描述该指纹细节特征信息的特征样式标识;第四维用于描述该指纹细节特征信息在相应的图像所在的二维空间中的坐标相对于该二维空间中指定坐标点(和/或坐标轴)的偏转角度。实施例3中,假设指纹细节特征信息的特征样式标识所处范围为[1,m]。
服务器在获得用户的生物特征信息后,可以对获得的该生物特征信息进行加密存储,并向用户终端发送用于生物特征信息注册完成的消息。其中,对生物特征信息进行加密的方式可以但不限于采用现有技术中的各种文件加密方式。
步骤42,用户终端在向服务器申请对于某业务(比如付费业务)的授权时,向中继设备发送授权申请。
其中,该授权申请中可以包括用户终端请求被授权的业务的标识。
步骤43,中继设备将用户终端发来的授权申请发送给服务器。
步骤44,服务器在接收到中继设备发来的授权申请后,生成随机字符串A和B,并将A和B发送给中继设备。
其中,A和B可以是随机生成的,也可以是以某种特定的信息为依据而生成的。比如,A可以是根据用户输入的用户账号生成的,而B则可以是根据用户终端的唯一标识生成的。具体地,服务器在接收到用户终端发送的用户账号“cherry”后,可以在“cherry”这一字符串后添加随机字符从而生成A;类似地,可以根据用户终端的唯一标识构成的一个字符串,并在该字符串后添加随机字符从而生成B。以手机这一用户终端为例,手机的唯一标识可以但不限于是手机的IMEI、IMSI、CPU的型号、MAC地址、操作系统的标识和/或操作系统的版本信息等。
其中,A和B的长度可以都是512bit。
步骤45,中继设备利用其与用户终端之间的有线连接或者近场无线通信连接,将A和B发送给用户终端;
步骤46,用户终端在接收到A和B后,采集用户的生物特征信息。
需要说明的是,为了与实施例1的描述方式相对应,步骤46中所述的该生物特征信息可以称为第一生物特征信息,而步骤41中所述的生物特征信息则可以称为第二生物特征信息。
在步骤46中,为了采集第一生物特征信息,用户终端中可以内置一个生物特征信息采集器,或者可以外接一个生物特征信息采集器。以指纹特征信息为例,用户终端可以外接一个USB指纹采集器来采集指纹特征信息;或者,用户终端中可以设置一个指纹传感器来采集指纹特征信息。以指纹特征信息和眼纹特征信息为例,用户终端可以外接或内设一个摄像头来采集指纹特征信息和眼纹特征信息。此外,用户终端中还可以安装一个用于引导用户进行生物特征信息采集的客户端。
实施例3中,假设采集到的第一特征信息可以表示为C1={(α11,…,α41),(α12,…,α42)…,(α1k,…,α4k)},αij(i∈[1,4],j∈[1,k])。
步骤47,用户终端对采集到的第一生物特征信息进行混淆处理。
具体而言,用户终端可以利对用户终端获得的四维指纹特征向量集合C1中的各四维指纹特征向量中的每一个元素分别进行混淆处理,其中,对某些元素进行混淆处理时可以利用A或B。
其中,对四维指纹特征向量中的每一个元素进行混淆处理的方法可以包括下述子步骤:
子步骤一:对四维指纹特征向量中用于描述指纹细节特征信息的特征样式标识的元素进行混淆处理。
以C1中的四维指纹特征向量(α11,…,α41)为例,上述用于描述指纹细节特征信息的特征样式标识的元素一般为该四维指纹特征向量中的第三维,即α31。
前文已指出,实施例3中的指纹特征信息的特征样式总共可以有m种,则当每一种特征样式不重复地被分配1~m范围内的唯一标识时,α31所描述的特征样式的标识所在的区间是[1,m]。实施例3中,可以采用下述公式[1]对α31进行混淆处理,得到相应的混淆后的元素α’31:
α’31=m+1-α31 [1]
子步骤二:对四维指纹特征向量中的第四维进行混淆处理。
其中,四维指纹特征向量中的第四维用于描述:指纹细节特征信息在相应的图像所在二维空间中的坐标相对于该二维空间中指定坐标点(和/或坐标轴)的偏转角度。
仍然以C1中的四维指纹特征向量(α11,…,α41)为例,子步骤二中可以采用SHA-1对B进行加密处理,得到长度为160bits的一个字符串r,然后,可以采用下述公式[2]对(α11,…,α41)中的α41进行混淆处理,得到相应的混淆后的元素α’41:
α’41=α41+(r mod360) [2]
子步骤三:对四维指纹特征向量中的第一维和第二维分别进行混淆处理。
具体地,以C1中的四维指纹特征向量(α11,…,α41)为例,子步骤三的实现过程可以如下:
首先,利用SHA-1对A进行加密处理,得到长度为160bits的字符串q,并将q均分为5个部分,每部分的长度均为32bits。这5个部分可以分别标注为a、b、c、d、e。
然后,按照下述公式[3]计算一个旋转圆心点坐标(x,y),并按照公式[4]计算一个旋转角度v:
v=c mod360 [4]
最后,以(x,y)为圆心坐标,使(α11,…,α41)中的第一维和第二维所表示的坐标(α11,α21)按照正时针方向相对于(x,y)旋转v,从而得到(α11,α21)所对应的新坐标(x’,y’)。进一步地,采用下述公式[5]对新坐标(x’,y’)进行偏移处理,获得对(α11,α21)进行混淆处理后得到的(α’11,α’21):
通过执行上述子步骤一~子步骤三,可以实现对四维指纹特征向量(α11,…,α41)中的各元素分别进行混淆处理,从而得到相应的混淆结果,即得到混淆后的四维指纹特征向量(α’11,α’21,α’31,α’41)。
对四维指纹特征向量集合C1中各四维指纹特征向量进行如上的类似处理,可以得到混淆后的四维指纹特征向量集合D,也称混淆集合结果D。
需要说明的是,SHA是由美国国家安全局设计,并由美国国家标准与技术研究院发布的一系列密码散列函数。正式名称为SHA的家族第一个成员发布于1993年。然而现在的人们给它取了一个非正式的名称SHA-0以避免与它的后继者混淆。两年之后,SHA-0的第一个后继者SHA-1发布了。除SHA-1外,SHA-0另外还有四种变体,分别为SHA-224、SHA-256、SHA-384和SHA-512(这些变体也被称做SHA-2)。由于采用SHA-512对字符串进行加密处理已是比较成熟的现有技术,实施例3中对此部分内容不再进行详细说明。
步骤48,用户终端获得杂凑点模板。
杂凑点模板是由多个多维生物特征向量构成的一个集合,当该集合添加到生物特征向量集合中时,对生物特征向量集合中的信息可以起到掩盖的作用。杂凑点模板中包括的每个多维生物特征向量可以称为杂凑点。杂凑点模板既可以是由用户终端生成的,也可以是由服务器生成并发送给用户终端的。
杂凑点模板的生成方式可以是随机生成的,但对应于将要添加杂凑点模板的生物特征向量集合,生成的杂凑点的维数一般满足:等于生物特征向量集合中向量的维数。
步骤49,用户终端将获得的杂凑点模板添加到混淆后的四维指纹特征向量集合D中,得到隐藏的四维指纹特征向量集合E。
杂凑点模板和D均为四维向量所构成的集合,将杂凑点模板Q添加到D中相当于是生成了一个较大的四维向量集合E。E中包括的四维向量的个数为D中包括的四维指纹特征向量的个数k与Q中包括的杂凑点的个数的总和。
E即为前文所述的待识别的生物特征信息。
步骤410,用户终端用其与中继设备之间的有线连接或者近场无线通信连接,将E发送给中继设备。
步骤411,中继设备将E发送给服务器。
值得说明的是,实施例3中利用杂凑点模板对混淆后的四维指纹特征向量集合D进行了隐藏,从而即便是用户终端的安全性被破坏而导致隐藏有D的四维指纹特征向量集合E泄露,但由于破坏者无从得知杂凑点模板的生成方式,因此仍然难以从E中解析出D。进一步地,由于D是利用随机字符串A、随机字符串B以及SHA-512等对四维指纹特征向量集合C1进行混淆处理而得到的,因此破坏者即便能解析出D,也很难完整地收集到用于进行混淆处理的各项参数,从而无法实现根据D而获得最原始的多维指纹特征向量集合C1。可见,采用实施例3中的该方法,可以非常完善地保证多维指纹特征向量集合C1的安全性,有效避免用户的隐私信息泄露。
步骤412,服务器在接收到E后,对保存的第二生物特征信息进行混淆处理。
具体地,服务器可以利用A和B,对保存的第二生物特征信息即四维指纹特征向量集合C中的各四维指纹特征向量中的每一个元素分别进行混淆处理。
由于步骤412中对C中的各四维指纹特征向量中的每一个元素分别进行混淆处理的方式与步骤47类似,因此不再赘述。
实施例3中,可以假设对C进行混淆处理后得到的混淆集合结果为D1。
步骤413,服务器将杂凑点模板添加到混淆集合结果为D1中,得到隐藏的四维指纹特征向量集合F,F是一个包括k个四维指纹特征向量的四维指纹特征向量集合。
步骤414,服务器确定F与保存在用户终端中的E之间的相似度的值。
本申请实施例中,可以以F和E之间的欧式距离的值来表示F与E之间的相似度的值。其中,F和E之间的欧式距离的值是指F包括的单个特征向量与E所包括的单个特征向量之间的欧式距离的值,或者,F和E之间的欧式距离的值还可以是指F包括的多个特征向量与E所包括的多个特征向量之间的欧式距离的值的平均值。比如,F包括的特征向量θ1与E包括的特征向量θ2之间的欧式距离的值为λ1,F包括的特征向量β1与E包括的特征向量β2之间的欧式距离的值为λ2,F包括的特征向量γ1与E包括的特征向量γ2之间的欧式距离的值为λ3,则F和E之间的欧式距离的值可以为(λ1+λ2+λ3)/3。
可选的,可以按照一定向量排序规则对F和E所包括特征向量进行排序后,再确定F包括的单个特征向量和E所包括的与该单个特征向量处于相同的排列位置的单个特征向量之间的欧式距离的值。其中,这里所说的向量排序规则比如可以为:按照向量中的第三维所表示的特征样式标识由大至小的顺序;或按照向量中的第四维所表示的偏转角度由小至大的顺序,等等。
本申请实施例中,还可以采用汉明距离或集合距离来衡量F和E之间的相似度。或者,也可以采用SVM预先训练相似度评分模型,然后再通过模型打分的方式确定F和E之间的相似度的值。
需要说明的是,E和F中都包括有相同的杂凑点模板,在确定E和F之间的相似度的值之前,可以先对E和F中包括的完全一样的向量进行过滤,并在过滤掉的向量的个数等于杂凑点的个数后,再执行确定E和F之间的相似度的值的操作。对杂凑点进行过滤的好处在于,可以避免由于杂凑点的存在而导致确定出的E和F之间的相似度的值的准确性受到影响。
步骤415,用户终端根据F与E之间的相似度的值,判断是否对业务进行授权。
具体地,若用户终端判断出F与E之间的欧式距离的值小于某一距离阈值,则说明“注册的指纹特征信息”与“待认证的指纹特征信息”是来自于同一用户,从而执行步骤416;而若用户终端判断出F与E之间的欧式距离的值不小于该距离阈值,则说明“注册的指纹特征信息”与“待认证的指纹特征信息”不是来自于同一用户,从而执行步骤417。
需要说明的是,上述距离阈值可以是对多个用户的生物特征信息进行训练而得到的。比如,通过计算由同一用户的多个指纹特征信息所分别构成的互不相同的指纹特征向量之间的欧式距离的值,可以确定出该距离阈值的大小。
步骤416,向中继设备发送授权成功通知消息,流程结束。
其中,该授权成功通知消息中可以包括用户终端请求被授权的业务的标识。
步骤417,向中继设备发送授权失败通知消息,流程结束。
其中,该授权失败通知消息中可以包括用户终端请求被授权的业务的标识。
通过以上步骤41~步骤417可知,采用本申请实施例3提供的该基于多维生物特征向量集合的授权方法,可以在保证多维生物特征向量集合的安全性的前提下,实现利用生物特征信息对用户请求获得的授权的业务进行授权。
实施例4
实施例4提供一种授权装置,用以提高授权过程传输的生物特征信息的安全性。该装置的具体结构示意图如图5所示,包括信息接收单元51、加密单元52、相似度确定单元53和授权单元54。对于各功能单元的介绍如下:
信息接收单元51,用于接收待识别的生物特征信息。
其中,待识别的生物特征信息是用户终端通过中继设备发送的,待识别的生物特征信息是根据特定信息和加密方法对第一生物特征信息进行加密处理得到的。
加密单元52,用于根据特定信息和加密方法对保存的第二生物特征信息进行加密处理,得到注册的生物特征信息。
相似度确定单元53,用于确定信息接收单元51接收的待识别的生物特征信息与加密单元52得到的注册的生物特征信息之间的相似度。
授权单元54,用于在相似度确定单元53确定出的相似度满足预定条件时,为中继设备授予与注册的生物特征信息相匹配的权限。
可选的,当第二生物特征信息为生物特征向量构成的集合时,加密单元52具体可以用于根据特定信息和加密方法,对生物特征向量包括的至少一个元素进行不可逆的加密运算,得到注册的生物特征信息。
具体而言,若生物特征向量包括第一元素和第二元素,且第一元素用于表示生物细节特征信息在图像所在的二维空间中的横坐标,第二元素用于表示生物细节特征信息在所述二维空间中的纵坐标,则加密单元52具体可以包括第一加密子单元。该第一加密子单元用于根据特定信息和加密方法,对构成第二生物特征信息的每个生物特征向量包括的第一元素和第二元素分别进行不可逆的加密运算。
若生物特征向量在包括第一元素和第二元素的同时还包括第三元素,且第三元素用于表示生物细节特征信息的特征样式标识;则加密单元52还可以包括第二加密子单元。该第二加密子单元用于根据特征样式总数目和特征样式标识转换算法,对构成第二生物特征信息的每个生物特征向量包括的第三元素分别进行加密运算,得到加密后的第三元素。其中,特征样式总数目为统计出的能够被识别的生物细节特征信息的特征样式总数目。
若生物特征向量在包括第一元素和第二元素的同时还包括第四元素,且第四元素用于表示生物细节特征信息在图像所在二维空间中的坐标相对于该二维空间中指定参考物的偏转角度,则加密单元52还可以包括第三加密子单元。该第三加密子单元用于根据特定信息和加密方法,对构成第二生物特征信息的每个生物特征向量包括的第四元素分别进行加密运算,得到加密后的第四元素。
可选的,若生物特征向量在包括第一元素和第二元素的同时还包括第五元素,且第五元素用于表示组合的标识,这里所说的组合为生物细节特征信息在图像所在二维空间中的坐标相对于该二维空间中指定参考物的偏转角度和生物细节特征信息的特征样式标识所构成的组合,那么加密单元52还可以包括第四加密子单元。其中,该第四加密子单元用于根据组合标识转换算法,以及对图像样本进行训练而确定出的组合数,对构成第二生物特征信息的每个生物特征向量包括的第五元素分别进行加密运算,得到加密后的第五元素。其中,上述组合数为不同生物细节特征信息在所述二维空间中的坐标分别相对于所述指定参考物的偏转角度与所述不同生物细节特征信息的特征样式标识的组合数目。
可选的,注册的生物特征信息中可以添加有杂凑点。
可选的,对应于相似度确定单元53功能的一种实现方式,可以将相似度确定单元53划分为以下功能子单元,包括:
信息删除子单元,用于从待识别的生物特征信息中删除满足第一特定条件的特定数目的信息;从注册的生物特征信息中删除满足第二特定条件的特定数目的信息;相似度确定子单元,用于确定删除了特定数目的信息后的待识别的生物特征信息和删除了特定数目的信息后的注册的生物特征信息之间的相似度。其中,特定数目为待识别的生物特征信息中添加的杂凑点的数目。第一特定条件为与注册的生物特征信息中包括的任一信息相同;第二特定条件为与待识别的生物特征信息中包括的任一信息相同。
可选的,上述特定信息可以包括随机字符串、终端唯一标识或用户密钥。
采用本申请实施例4提供的该授权装置,可以在保证授权过程中传输的生物特征信息的安全性。
实施例5
实施例5提供一种生物特征信息发送装置,该装置的具体结构示意图如图6所示,包括如下主要功能单元:
信息获得单元61,用于获得生物特征信息。
加密单元62,用于根据特定信息和加密方法,对信息获得单元61获得的生物特征信息进行加密处理,得到加密处理后的生物特征信息。
信息发送单元63,用于发送加密单元62得到的加密处理后的生物特征信息。
实施例5中所述的加密单元62的功能实现方式与实施例4中所述的加密单元52的功能实现方式类似,在此不再赘述。
采用实施例5提供的该装置,由于是对生物特征信息进行加密处理后才发送,从而可以保证被发送的加密处理后的生物特征信息的安全性。
实施例6
实施例6提供一种生物特征信息发送装置,该装置的具体结构示意图如图7所示,包括下述功能实体:
信号采集器71,用于获得生物特征信息。
处理器72,用于根据特定信息和加密方法,对信号采集器71获得的生物特征信息进行加密处理,得到加密处理后的生物特征信息。
信号发射器73,用于发送处理器72得到的加密处理后的生物特征信息。
可选的,处理器72根据特定信息和加密算法,对信号采集器71获得的生物特征信息进行加密处理的方式与实施例4中所述的加密单元52的功能实现方式类似,在此不再赘述。
采用实施例6提供的该装置,由于是对生物特征信息进行加密处理后才发送,从而可以保证被发送的加密处理后的生物特征信息的安全性。
实施例7
实施例7提供一种授权装置,用以提高授权过程传输的生物特征信息的安全性。该装置的具体结构示意图如图8所示,包括信号接收器81和处理器82,对于它们的功能介绍如下:
信号接收器81,用于接收待识别的生物特征信息。其中,待识别的生物特征信息是用户终端通过中继设备发送的,待识别的生物特征信息是根据特定信息和加密方法对第一生物特征信息进行加密处理得到的。
处理器82,用于根据特定信息和加密方法对保存的第二生物特征信息进行加密处理,得到注册的生物特征信息;确定注册的生物特征信息与信号接收器81接收的待识别的生物特征信息之间的相似度,并在该相似度满足预定条件时,为中继设备授予与注册的生物特征信息相匹配的权限。
实施例7中的处理器82根据特定信息和加密方法对保存的第二生物特征信息进行加密处理的方式与实施例4中所述的加密单元52的功能实现方式类似,在此不再赘述。
采用本申请实施例4提供的该授权装置,可以在保证授权过程中传输的生物特征信息的安全性。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。