CN108833379A - 一种数据加密传输方法和装置 - Google Patents

一种数据加密传输方法和装置 Download PDF

Info

Publication number
CN108833379A
CN108833379A CN201810548648.0A CN201810548648A CN108833379A CN 108833379 A CN108833379 A CN 108833379A CN 201810548648 A CN201810548648 A CN 201810548648A CN 108833379 A CN108833379 A CN 108833379A
Authority
CN
China
Prior art keywords
user
biological characteristic
registration
private key
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810548648.0A
Other languages
English (en)
Inventor
龚开圳
苏恒
陈满才
仲海港
裴磊
姚新亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN201810548648.0A priority Critical patent/CN108833379A/zh
Publication of CN108833379A publication Critical patent/CN108833379A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种数据加密传输方法和装置,用于生物识别技术中防止生物特征被盗,通过匹配认证用户的生物特征与用户注册的生物特征,解锁用户终端上预先加密的密钥,利用密钥间接替换生物特征进行业务活动,传输到服务器进行生物识别,使得用户的生物特征仅存储在用户终端上,生物特征既不直接在网络上传输,也不直接在服务器上存储,通过一对非对称密钥的公钥和私钥配合进行业务活动和业务认证,即使密钥泄漏,也可采取挂失措施补救,进而减少用户损失。

Description

一种数据加密传输方法和装置
技术领域
本发明涉及数据传输领域,尤其涉及一种数据加密传输方法和装置。
背景技术
生物识别技术主要是指通过人类生物特征进行身份认证的一种技术,使得用户不用输入密码即可实现用户认证,方便快捷,生物特征主要包括指纹、人脸、虹膜、静脉、声纹等。随着深度学习算法的成熟、生物特征提取所依赖的硬件成本的不断降低、生物识别技术标准的不断完善,生物识别技术应用越来越广泛,但随之而来的问题是生物特征的安全性问题。
生物特征是人所固有的,具有唯一性、不变性和可测量性等特点,将其量化后可形成由计算机测度的数字身份,正是由于生物特征的这些特点,生物特征一旦丢失,就很难像银行卡或身份证那样挂失补办。手机、PC等终端设备广泛应用生物识别技术,每天因各种业务需要,生物特征需要通过互联网传输到相应的后台服务器,传输次数非常多,同时服务器往往也存储了用户的生物特征数据,使得生物特征数据非常容易在传输和存储过程中被不法分子盗取,生物特征数据一旦被盗,将无法挂失,产生的后果无法估量。
发明内容
有鉴于此,本发明提供一种数据加密传输方法和装置,以解决现有技术中生物特征数据非常容易在传输和存储过程中被不法分子盗取,以及生物特征数据一旦被盗则无法挂失,产生的后果无法估量的问题。
为达到上述目的,本发明采用如下技术方案:
一种数据加密传输方法,包括:
根据用户的安全认证请求采集认证用户的生物特征;
将认证用户的生物特征与用户注册的生物特征进行匹配;
若匹配成功,根据用户注册时生成的私钥对相关业务数据进行加密后传输给服务器。
一实施例中,数据加密传输方法还包括:
根据用户的注册请求采集注册用户的生物特征;
利用预先生成的非对称密钥中的私钥对注册用户的生物特征进行加密,生成加密数据;
将非对称密钥中的公钥发送给服务器。
一实施例中,利用预先生成的非对称密钥中的私钥对注册用户的生物特征进行加密,包括:
使用循环冗余校验在私钥尾部加上特定位数的校验码形成私钥码;
利用私钥码构造多项式函数;
提取用于加密注册用户的生物特征的细节点位置,级联细节点位置的横坐标和纵坐标,找到级联后坐标在多项式函数上的投影点并将投影点放入保险箱中;
随机添加一组不在多项式函数上且距离投影点一设定距离的杂凑点到保险箱中,形成最终的保险箱。
一实施例中,数据加密传输方法还包括:
基于认证用户的生物特征解密加密数据。
一实施例中,基于认证用户的生物特征解密加密数据,包括:
提取用于比对的认证用户的生物特征的细节点位置,级联细节点位置的横坐标和纵坐标,找到级联后坐标在保险箱中对应的候选点,得到若干组候选点;
使用拉格朗日插值法重构若干组候选点对应的多项式函数;
基于重构的多项式函数,使用循环冗余校验确定私钥,得到用户注册的生物特征和用户注册时生成的私钥。
一种数据加密传输装置,包括:
第一采集模块,用于根据用户的安全认证请求采集认证用户的生物特征;
匹配模块,用于将认证用户的生物特征与用户注册的生物特征进行匹配;
业务数据加密解密模块,用于根据用户注册时生成的私钥对相关业务数据进行加密后传输给服务器。
一实施例中,数据加密传输装置还包括:
第二采集模块,用于根据用户的注册请求采集注册用户的生物特征;
注册数据加密模块,用于利用预先生成的非对称密钥中的私钥对注册用户的生物特征进行加密,生成加密数据;
发送模块,用于将非对称密钥中的公钥发送给服务器。
一实施例中,注册数据加密模块包括:
编码单元,用于使用循环冗余校验在私钥尾部加上特定位数的校验码形成私钥码;
函数构造单元,用于利用私钥码构造多项式函数;
加密单元,用于提取加密注册用户的生物特征的细节点位置,级联细节点位置的横坐标和纵坐标,找到级联后坐标在多项式函数上的投影点并将投影点放入保险箱中;
加扰单元,用于随机添加一组不在多项式函数上且距离投影点一设定距离的杂凑点到保险箱中,形成最终的保险箱。
一实施例中,数据加密传输装置还包括:
解密模块,用于基于认证用户的生物特征解密加密数据。
一实施例中,解密模块包括:
解密单元,用于提取比对认证用户的生物特征的细节点位置,级联细节点位置的横坐标和纵坐标,找到级联后坐标在保险箱中对应的候选点,得到若干组候选点;
重构单元,使用拉格朗日插值法重构若干组候选点对应的多项式函数;
解码单元,基于重构的多项式函数,使用循环冗余校验确定私钥,得到用户注册的生物特征和用户注册时生成的私钥,完成解密。
本发明提供的数据加密传输方法和装置,通过匹配认证用户的生物特征与用户注册的生物特征,解锁用户终端上预先加密的密钥,利用密钥间接替换生物特征进行业务活动,传输到服务器进行业务认证,使得用户的生物特征仅存储在用户终端上,有效防止生物特征在网络上直接传输和在服务器上直接存储过程中被盗取,保护用户隐私。
另外,通过利用一对非对称密钥的公钥和私钥配合进行业务活动和业务认证,即使密钥泄漏,也可采取挂失措施补救,进而减少用户损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例数据加密传输方法的应用场景图;
图2为本发明实施例的数据加密传输方法的流程示意图一;
图3为本发明实施例的数据加密传输方法的流程示意图二;
图4为本发明实施例的加密注册用户生物特征的原理图;
图5为本发明实施例的注册加密方法的流程示意图;
图6为本发明实施例的解密原理图;
图7为本发明实施例的解密方法的流程示意图;
图8为本发明实施例的数据加密传输装置的结构示意图一;
图9为本发明实施例的数据加密传输装置的结构示意图二;
图10为本发明实施例的注册数据加密模块的结构示意图;
图11为本发明实施例的数据加密传输装置的结构示意图三;
图12为本发明实施例的解密模块的结构示意图。
图13为采用本发明实施例的数据加密传输装置的生物特征保护系统的结构示意图;
附图标号:1-数据加密传输装置;10-第一采集模块;20-匹配模块;30-业务数据加密解密模块;40-第二采集模块;50-注册数据加密模块;51-编码单元51;52-函数构造单元;53-加密单元;54-加扰单元;60-发送模块;70-解密模块;71-解密单元;72-重构单元;73-解码单元;80-第一通信装置;100-终端;300-服务器;301-业务处理装置;302-公钥存储装置;303-第二通信装置;304-数据加密解密装置;200-通信网络。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着互联网技术和终端技术的高速发展,网络金融业务、电子商务等通过网络远程进行业务处理的需求不断增加,其中,如何进行准确的远程身份识别是保障业务安全的关键;因为生物特征的唯一性、不变性和可测量性,使得生物识别被广泛应用在互联网远程身份识别中,而现有基于生物识别技术的身份识别方案是将用户生物特征通过互联网传输到相应的后台服务器,由后台服务器将接收的用户生物特征与预留的用户生物特征进行匹配,进而确定用户身份的合法性,采用这种方案,导致生物特征在互联网中的传输次数非常多,同时服务器存储了用户的生物特征数据,使生物特征数据非常容易在传输和存储过程中被不法分子盗取,本发明实施例提供的数据加密传输方法和装置,可以有效解决上述问题。
图1为本发明实施例数据加密传输方法的应用场景图。在如图1所示的场景下,用户远程进行网络金融业务、电子商务等业务处理之前需要进行用户注册;注册时,终端100首先根据用户的注册请求采集注册用户的生物特征,并根据注册指令生成包含私钥和公钥的一对非对称密钥,然后将公钥发送至服务器300,并将采集的注册用户的生物特征利用私钥进行加密,最后生成加密数据并进行安全存储。
在用户远程进行网络金融业务、电子商务等业务处理时,终端100首先根据用户的安全认证请求采集认证用户的生物特征,然后根据所采集的认证用户的生物特征解密注册时生成的加密数据,得到注册用户的生物特征和私钥,之后将所采集的认证用户的生物特征与注册用户的生物特征进行匹配,若匹配成功,则表示该用户为合法用户,即可利用私钥将相关业务数据加密和/或签名,最后将生成的加密业务数据通过通信网络200发送至服务器300;若匹配失败,则表示该用户为非法用户,输出安全认证失败提示信息;
另外,服务器300根据用户注册时传来的公钥,对终端100上传的加密业务数据进行解密和/或验证签名,若解密和/或验证成功,则利用解密后的数据进行业务处理,并将业务处理结果进行加密后,通过通信网络200反馈至终端100,进而实现服务器300和终端100之间的业务认证和业务交互;若解密和/或验证失败,则拒绝进行业务处理,并反馈业务认证失败信息至终端100。
其中,终端可以是智能手机、平板电脑、个人数字助理(PDA)、平板电脑、笔记本电脑、台式计算机等,包括但不限于此。通信网络可以是互联网、移动通信网络、WLAN等,包括但不限于此。
综上所述,本发明实施例的数据加密传输方法,通过在终端100上进行用户注册和用户安全认证,匹配认证用户的生物特征与注册用户的生物特征,认证用户身份,在确定用户为合法用户的情况下,利用一对非对称密钥中的私钥和公钥进行业务数据的加解密,实现终端和服务器之间的业务认证,在业务认证成功后才能进行相关业务处理流程,通过上述方法,使得用户的生物特征仅存储在用户终端100上,有效防止生物特征在网络上直接传输或在服务器300上直接存储,进而避免生物特征被盗,另外,一旦密钥被盗,可采取挂失措施补救,防止用户损失,提高交易的安全性。
图2为本发明实施例的数据加密传输方法的流程示意图一。如图2所示,本实施例提供一种数据加密传输方法,包括:
步骤S201:根据用户的安全认证请求采集认证用户的生物特征;
步骤S202:将采集的认证用户的生物特征与用户注册的生物特征进行匹配;
步骤S203:若匹配成功,根据用户注册时生成的私钥对相关业务数据进行加密后通过通信网络传输给服务器。
由图2所示的流程可知,本发明首先根据用户的安全认证请求采集认证用户的生物特征(如指纹、人脸、虹膜、静脉、声纹等),然后将采集的认证用户的生物特征与用户注册的生物特征进行匹配,并在匹配成功时,根据用户注册时生成的私钥对相关业务数据进行加密后通过通信网络传输给服务器。通过该方法,在生物识别成功后,利用密钥间接替换生物特征进行业务活动,传输到服务器进行业务认证,使得用户的生物特征仅存储在用户终端上,有效防止生物特征在网络上直接传输和在服务器上直接存储过程中被盗取。
具体地,终端首先根据用户的触发,采集认证用户的生物特征,之后利用生物特征提取算法提取所采集的认证用户的生物特征的特征值,与终端中用户注册时预留的生物特征进行匹配,实现对用户的身份认证,若认证成功,则表明该用户为合法用户,进而根据用户注册时预留的私钥对相关业务数据进行加密,之后将加密业务数据传输给服务器,其中,加密业务数据中不包含用户的生物特征。
另外,该生物特征提取算法可以随时进行更换,以适应用户需要。
图3为本发明实施例的数据加密传输方法的流程示意图二。如图3所示,数据加密传输方法除了包含图2所示的步骤之外,还包括:
步骤S301:根据用户的注册请求采集注册用户的生物特征;
步骤S302:利用预先生成的非对称密钥中的私钥对注册用户的生物特征进行加密,生成加密数据;
步骤S303:将非对称密钥中的公钥发送给服务器;
上述步骤是在用户进行业务处理之前,预先进行用户注册的过程。具体地,终端首先根据用户的注册请求,利用密钥生成算法生成一对非对称密钥,其中,非对称密钥是私钥和公钥的组合,私钥和公钥用于用户数据加密和/或进行数字签名;另外,终端根据注册请求采集注册用户的生物特征(如指纹、人脸、虹膜、静脉、声纹等),然后采用生物特征提取算法提取所采集的注册用户的生物特征的特征值,与非对称密钥中的私钥以某种方式(比如按位异或)有机结合到一起,生成加密数据;并且,还可以将加密数据安全存储,并将该非对称密钥的公钥通过通信网络发送至服务器,完成用户注册。
其中,通过该注册过程,利用私钥加密注册用户的生物特征,并将与私钥对应的公钥传输至服务器用于后续业务认证,从而提高了注册用户生物特征在终端上的存储安全性,同时也提高了业务处理的安全性。
另外,非对称密钥的设置可在公钥或私钥其中之一被泄漏的情况下,保护另一者的安全性,进一步保障业务处理的安全性。
并且,该生物特征提取算法和密钥生成算法可以随时进行更换,以适应用户需要。
图4为加密注册用户生物特征的原理图。如图4所示,本发明实施例涉及的注册加密过程的原理如下所述:通过循环冗余校验(Cyclic Redundancy Check,CRC)对私钥进行编码,将编码后的私钥作为多项式的系数构造多项式函数,选取注册用户的生物特征的细节点,细节点数量基于兼顾加解密精度和加解密效率的原则选取,级联各细节点的横坐标和纵坐标,分别找到各级联后坐标在多项式函数上的投影点,得到数量与细节点数量相同的投影点,随机选取多个杂凑点,将投影点和杂凑点列表混合存入保险箱中,进而形成最终的保险箱。
图5为本发明实施例的注册加密方法的流程示意图。如图5所示,本发明实施例中利用私钥对注册用户的生物特征进行加密的步骤包括:
步骤S501:使用循环冗余校验在私钥尾部加上特定位数的校验码形成私钥码;
步骤S502:利用私钥码构造多项式函数;
步骤S503:提取用于加密注册用户的生物特征的细节点位置,级联细节点位置的横坐标和纵坐标,找到级联后坐标在多项式函数上的投影点并将投影点放入保险箱中;
步骤S504:随机添加一组不在多项式函数上且距离投影点一设定距离的杂凑点到保险箱中,形成最终的保险箱。
由图5所示的流程可知,本发明首先使用循环冗余校验对私钥S进行处理,在私钥S的尾部加上特定位数的校验码形成私钥码SC,然后利用私钥码按照设定的规则构造多项式函数P,如将私钥码SC分成5段,从高位到低位分为记为r4、r3、r2、r1、r0,构造多项式P(x)=r4x4+r3x3+r2x2+r1x+r0。另外,提取用于加密注册用户的生物特征的细节点位置(x,y),级联细节点位置的横坐标和纵坐标即x|y,之后找到级联后坐标x|y在多项式函数P上的投影点,即(x|y,p(x|y)),并将投影点放入保险箱V中,最后随机添加一组不在多项式函数P上且距离投影点一设定距离的杂凑点C到保险箱中,形成最终的保险箱。
通过上述步骤,将注册用户的生物特征和私钥在终端中加密,只有采用正确的算法解密成功之后,私钥和注册用户的生物特征才被提取出来,用于后续处理,若解密失败,则会输出一个拒绝信号,有效防止用户终端中的注册用户的生物特征和私钥被盗,进一步保障业务处理的安全性。
另一实施例中,数据加密传输方法除了包括图2和图3所示的步骤之外,还可以包括基于认证用户的生物特征解密终端中的加密数据的步骤。
具体解密的原理如图6所示,首先提取用于比对的认证用户的生物特征的细节点,细节点数量基于兼顾加解密精度和加解密效率的原则选取,级联细节点的横坐标和纵坐标,找到级联后坐标在保险箱中对应的候选点,得到若干组候选点,形成组合集,之后进行组合集识别,在保险箱中找到对应组合集的值,如果组合集中的元素个数大于或等于多项式系数的个数,即可以通过拉格朗日(Lagrange)插值法重构出多项式,利用CRC判断原始多项式系数,根据判断结果释放私钥。
图7示出了解密方法的具体流程,包括:
步骤S701:提取用于比对的认证用户的生物特征的细节点位置,级联细节点位置的横坐标和纵坐标,找到级联后坐标在保险箱中对应的候选点,得到若干组候选点;
步骤S701:使用拉格朗日插值法重构若干组候选点对应的多项式函数;
步骤S701:基于重构的多项式函数,使用循环冗余校验确定私钥,得到用户注册的生物特征和用户注册时生成的私钥,完成解密。
由图7所示的流程可知,本发明首先提取用于比对的认证用户的生物特征的细节点位置(x,y),然后级联细节点位置的横坐标和纵坐标即x|y,之后找到级联后坐标x|y在保险箱V中对应的候选点,得到若干组候选点,并使用拉格朗日插值法重构若干组候选点对应的多项式函数P,最后基于重构的多项式函数P,使用循环冗余校验确定私钥S,得到用户注册的生物特征和用户注册时生成的私钥S。其中,用户注册的生物特征用于安全认证时与认证用户的生物特征进行匹配,认证用户身份,私钥用于业务数据加密流程。
上述实施例中的注册加密步骤和解密步骤配合,保障了终端中用户注册特征和私钥的安全,有效认证了用户的身份,防止非法用户盗用私钥进行业务处理,进一步增加业务安全性。
基于同一发明构思,本申请实施例还提供了一种数据加密传输装置,可以用于实现上述实施例所描述的方法,如下面的实施例所述。由于数据加密传输装置解决问题的原理与上述方法相似,因此数据加密传输装置的实施可以参见上述方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图8为本发明实施例的数据加密传输装置1的结构示意图一。如图8所示,本实施例的数据加密传输装置1包括:
第一采集模块10,用于根据用户的安全认证请求采集认证用户的生物特征;
匹配模块20,用于将认证用户的生物特征与用户注册的生物特征进行匹配;
业务数据加密解密模块30,根据用户注册时生成的私钥对相关业务数据进行加密后传输给服务器300。
优选地,第一采集模块10包括:
第一采集单元,用于采集认证用户的生物特征,可通过摄像头、传感器、声音接收器等实现,包括但不限于此;
第一特征提取单元,用于提取认证用户的生物特征的特征值,其中,第一特征提取单元支持指纹、人脸、虹膜、静脉、声纹等生物特征提取算法,支持算法可插拔;
发送单元,用于将提取的认证用户的生物特征的特征值发送至匹配模块20。
优选地,匹配模块20可以包括:
第一接收单元,用于接收用户注册的生物特征、私钥以及认证用户的生物特征的特征值;
数据处理单元,用于对认证用户的生物特征的特征值和用户注册的生物特征进行预处理;
数据比对单元,用于对经过预处理的认证用户的生物特征的特征值和用户注册的生物特征进行比对,生成比对结果;
输出单元,用于发送私钥和比对结果。
图9为本发明实施例的数据加密传输装置1的结构示意图二。如图9所示,数据加密传输装置1除了包括图8所示的模块之外,还包括:
第二采集模块40,用于根据用户的注册请求采集注册用户的生物特征;
注册数据加密模块50,用于利用预先生成的非对称密钥中的私钥对注册用户的生物特征进行加密,生成加密数据;
发送模块60,用于发送非对称密钥中的公钥发送给服务器300。
优选地,数据加密传输装置1还可以包括:
密钥处理模块,用于接收发送模块60发送的公钥,并将公钥通过终端的通信装置发送至服务器,另外,该密钥处理模块还用于接收匹配模块20输出的私钥和比对结果,若比对成功,则将私钥发送至注册数据加密模块50,若比对失败,则销毁私钥。
密钥生成模块,用于根据密钥生成指令生成一对非对称密钥,并且该密钥生成模块支持支持非对称密钥生成算法,支持算法可插拔;
安全存储模块,用于存储加密数据,并且该安全存储模块只向解密模块开放数据查询接口。
优选地,第二采集模块40可以包括:
第二采集单元,用于采集注册用户的生物特征,可通过摄像头、传感器、声音接收器等实现,包括但不限于此;
第二特征提取单元,用于提取注册用户的生物特征的特征值,其中,该第二特征提取单元支持指纹、人脸、虹膜、静脉、声纹等生物特征提取算法,支持算法可插拔;
第二发送单元,将注册用户的生物特征的特征值发送至注册数据加密模块50,其中,第二采集模块也可以复用第一采集模块10。
图10为本发明实施例的注册数据加密模块50的结构示意图。如图10所示,注册数据加密模块50包括:
编码单元51,用于使用循环冗余校验在私钥尾部加上特定位数的校验码形成私钥码;
函数构造单元52,用于利用私钥码构造多项式函数,如将私钥码SC分成5段,从高位到低位分为记为r4、r3、r2、r1、r0,构造多项式P(x)=r4x4+r3x3+r2x2+r1x+r0
加密单元53,用于提取加密注册用户的生物特征的细节点位置,级联细节点位置的横坐标和纵坐标,找到级联后坐标在多项式函数上的投影点并将投影点放入保险箱中;
加扰单元54,用于随机添加一组不在多项式函数上且距离投影点一设定距离的杂凑点到保险箱中,形成最终的保险箱。
优选地,注册数据加密模块50还可以包括第二接收单元,用于接收第二采集模块40采集的生物特征的特征值以及密钥生成模块生成的私钥。
图11为本发明实施例的数据加密传输装置1的结构示意图三。如图11所示,数据加密传输装置1除了包括图9所示的模块之外,还包括:
解密模块70,用于基于认证用户的生物特征解密存储在安全存储模块中的加密数据,得到用户注册的生物特征和用户注册时生成的私钥,并发送至匹配模块20。
图12为本发明实施例的解密模块70的结构示意图。如图12所示,解密模块70包括:
解密单元71,提取用于比对的认证用户的生物特征的细节点位置,级联细节点位置的横坐标和纵坐标,找到级联后坐标在保险箱中对应的候选点,得到若干组候选点;
重构单元72,使用拉格朗日插值法重构若干组候选点对应的多项式函数;
解码单元73,基于重构的多项式函数,使用循环冗余校验确定私钥,得到用户注册的生物特征和用户注册时生成的私钥,完成解密。
优选地,解密模块70还可以包括:
数据读取单元,用于根据用户的安全认证请求读取安全存储模块中的加密数据和第一采集模块10采集的认证用户的生物特征,并传输至解密单元71;
数据发送单元,用于将解密出的数据发送至匹配模块20。
图13为采用本发明实施例的数据加密传输装置1的生物特征保护系统的结构示意图。如图13所示,该生物特征保护系统包括:终端100、通信网络200和服务器300,其中,终端100包括:数据加密传输装置1和第一通信装置80,该数据加密传输装置1包括:第一采集模块10、匹配模块20、业务数据加密解密模块30、第二采集模块40、注册数据加密模块50、发送模块60、解密模块70、密钥处理模块、密钥生成模块、安全存储模块,服务器300包括业务处理装置301、公钥存储装置302、第二通信装置303和数据加密解密装置304。
其中,在业务处理之前进行用户注册时,第二采集模块40采集注册用户的生物特征,密钥生成模块生成含有公钥和私钥的一对非对称密钥,并将私钥发送至注册数据加密模块,并将公钥发送至密钥处理模块,注册数据加密模块50将注册用户的生物特征与非对称密钥中的私钥进行加密并存储于安全存储模块中,密钥处理模块将接收到的公钥通过第一通信装置80发送至服务器300;
在进行业务交互时,第一采集模块10采集认证用户的生物特征,解密模块70读取安全存储模块中的加密数据,并基于认证用户的生物特征和解密算法对加密数据进行解密,得到用户注册的生物特征和私钥,发送至匹配模块20,匹配模块20对认证用户的生物特征和用户注册的生物特征进行匹配,并将匹配结果和私钥发送至密钥处理模块,密钥处理模块在匹配成功时,将私钥发送至业务数据加密解密模块30,若匹配失败,则输出拒绝信息;业务数据加密解密模块30利用接收的私钥对相关业务数据进行加密,生成的加密业务数据通过第一通信装置80传送至服务器300;
服务器300的第二通信装置22接收终端100上传的加密业务数据,并传输至第二数据加密解密装置23,第二数据加密解密装置23读取公钥存储装置21中存储的公钥,并基于该公钥解密该加密业务数据,之后传至业务处理装置20进行业务处理,并反馈处理结果给第二数据加密解密装置23进行加密,加密后的处理结果通过第二通信装置22下达至终端100;
终端100中的第一通信装置80将接收到的加密处理结果发送至业务数据加密解密模块30进行解密,终端100基于解密后的处理结果进行一系列的操作,进而实现终端100和服务器300的业务交互。
其中,服务器的公钥存储装置21用于存储用户注册时上传的公钥,用户注册生物特征所对应的私钥与公钥相匹配。
综上所述,本发明提供的数据加密传输方法和装置,通过匹配认证用户的生物特征与用户注册的生物特征,对用户身份进行认证,解锁用户终端上预先加密的密钥,利用密钥间接替换生物特征进行业务活动,传输到服务器进行业务认证,使得用户的生物特征仅存储在用户终端上,有效防止生物特征在网络上直接传输和在服务器上直接存储过程中被盗取。
另外,通过利用一对非对称密钥的公钥和私钥配合进行业务认证,即使密钥泄漏,也可采取挂失措施补救,进而减少用户损失。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种数据加密传输方法,其特征在于,包括:
根据用户的安全认证请求采集认证用户的生物特征;
将所述认证用户的生物特征与用户注册的生物特征进行匹配;
若匹配成功,根据用户注册时生成的私钥对相关业务数据进行加密后传输给服务器。
2.根据权利要求1所述数据加密传输方法,其特征在于,还包括:
根据用户的注册请求采集注册用户的生物特征;
利用预先生成的非对称密钥中的私钥对所述注册用户的生物特征进行加密,生成加密数据;
将所述非对称密钥中的公钥发送给所述服务器。
3.根据权利要求2所述数据加密传输方法,其特征在于,所述利用预先生成的非对称密钥中的私钥对所述注册用户的生物特征进行加密,包括:
使用循环冗余校验在所述私钥尾部加上特定位数的校验码形成私钥码;
利用所述私钥码构造多项式函数;
提取用于加密所述注册用户的生物特征的细节点位置,级联所述细节点位置的横坐标和纵坐标,找到级联后坐标在所述多项式函数上的投影点并将所述投影点放入保险箱中;
随机添加一组不在所述多项式函数上且距离所述投影点一设定距离的杂凑点到所述保险箱中,形成最终的保险箱。
4.根据权利要求3所述数据加密传输方法,其特征在于,还包括:
基于所述认证用户的生物特征解密所述加密数据。
5.根据权利要求4所述数据加密传输方法,其特征在于,所述基于认证用户的生物特征解密所述加密数据,包括:
提取用于比对所述认证用户的生物特征的细节点位置,级联所述细节点位置的横坐标和纵坐标,找到级联后坐标在所述保险箱中对应的候选点,得到若干组候选点;
使用拉格朗日插值法重构所述若干组候选点对应的多项式函数;
基于重构的所述多项式函数,使用循环冗余校验确定所述私钥,得到用户注册的生物特征和用户注册时生成的私钥。
6.一种数据加密传输装置,其特征在于,包括:
第一采集模块,用于根据用户的安全认证请求采集认证用户的生物特征;
匹配模块,用于将所述认证用户的生物特征与用户注册的生物特征进行匹配;
业务数据加密解密模块,用于根据用户注册时生成的私钥对相关业务数据进行加密后传输给服务器。
7.根据权利要求6所述数据加密传输装置,其特征在于,还包括:
第二采集模块,用于根据用户的注册请求采集注册用户的生物特征;
注册数据加密模块,用于利用预先生成的非对称密钥中的私钥对所述注册用户的生物特征进行加密,生成加密数据;
发送模块,用于将所述非对称密钥中的公钥发送给所述服务器。
8.根据权利要求7所述数据加密传输装置,其特征在于,所述注册数据加密模块包括:
编码单元,用于使用循环冗余校验在所述私钥尾部加上特定位数的校验码形成私钥码;
函数构造单元,用于利用所述私钥码构造多项式函数;
加密单元,用于提取加密所述注册用户的生物特征的细节点位置,级联所述细节点位置的横坐标和纵坐标,找到级联后坐标在所述多项式函数上的投影点并将所述投影点放入保险箱中;
加扰单元,用于随机添加一组不在所述多项式函数上且距离所述投影点一设定距离的杂凑点到所述保险箱中,形成最终的保险箱。
9.根据权利要求8所述数据加密传输装置,其特征在于,还包括:
解密模块,用于基于所述认证用户的生物特征解密所述加密数据。
10.根据权利要求9所述数据加密传输装置,其特征在于,所述解密模块包括:
解密单元,用于提取比对所述认证用户的生物特征的细节点位置,级联所述细节点位置的横坐标和纵坐标,找到级联后坐标在所述保险箱中对应的候选点,得到若干组候选点;
重构单元,使用拉格朗日插值法重构所述若干组候选点对应的多项式函数;
解码单元,基于重构的所述多项式函数,使用循环冗余校验确定所述私钥,得到用户注册的生物特征和用户注册时生成的私钥。
CN201810548648.0A 2018-05-31 2018-05-31 一种数据加密传输方法和装置 Pending CN108833379A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810548648.0A CN108833379A (zh) 2018-05-31 2018-05-31 一种数据加密传输方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810548648.0A CN108833379A (zh) 2018-05-31 2018-05-31 一种数据加密传输方法和装置

Publications (1)

Publication Number Publication Date
CN108833379A true CN108833379A (zh) 2018-11-16

Family

ID=64145407

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810548648.0A Pending CN108833379A (zh) 2018-05-31 2018-05-31 一种数据加密传输方法和装置

Country Status (1)

Country Link
CN (1) CN108833379A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111538969A (zh) * 2020-03-30 2020-08-14 北京万里红科技股份有限公司 文档加密方法、文档解密方法、装置、电子设备及介质
CN112800477A (zh) * 2021-04-02 2021-05-14 西安慧博文定信息技术有限公司 一种基于生物特征值的数据加解密系统及方法

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN2609069Y (zh) * 2002-04-03 2004-03-31 杭州中正生物认证技术有限公司 指纹数字签名器
US20060176146A1 (en) * 2005-02-09 2006-08-10 Baldev Krishan Wireless universal serial bus memory key with fingerprint authentication
CN101321069A (zh) * 2008-06-23 2008-12-10 刘洪利 手机生物身份证明制作、认证方法及其认证系统
CN101340285A (zh) * 2007-07-05 2009-01-07 杭州中正生物认证技术有限公司 利用指纹USBkey进行身份验证的方法及系统
CN101814131A (zh) * 2009-02-25 2010-08-25 中国科学院自动化研究所 一种增强模糊指纹保险箱安全性的方法
CN102223233A (zh) * 2011-06-15 2011-10-19 刘洪利 一种生物密码认证系统,以及一种生物密码认证方法
CN102510330A (zh) * 2011-11-02 2012-06-20 杭州电子科技大学 一种基于指纹特征数据与匹配算法的新型模糊金库方法
CN105141424A (zh) * 2015-08-14 2015-12-09 南昌航空大学 一种掌纹掌脉双源模糊保险箱的密钥提取方法
CN105207776A (zh) * 2014-06-18 2015-12-30 中标软件有限公司 一种指纹认证方法及系统
CN105959287A (zh) * 2016-05-20 2016-09-21 中国银联股份有限公司 一种基于生物特征的安全认证方法及装置
CN106878017A (zh) * 2015-12-14 2017-06-20 中国电信股份有限公司 用于网络身份认证的方法、用户终端、网站服务器和系统
CN106941400A (zh) * 2017-03-06 2017-07-11 东南大学 一种基于sram‑puf的模糊保险箱认证方法
CN107077679A (zh) * 2017-02-16 2017-08-18 深圳市汇顶科技股份有限公司 基于指纹识别的校验方法、装置、以及交易系统
CN107908942A (zh) * 2017-11-30 2018-04-13 北京集创北方科技股份有限公司 电子设备、显示系统、集成控制装置和生物特征验证方法

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN2609069Y (zh) * 2002-04-03 2004-03-31 杭州中正生物认证技术有限公司 指纹数字签名器
US20060176146A1 (en) * 2005-02-09 2006-08-10 Baldev Krishan Wireless universal serial bus memory key with fingerprint authentication
CN101340285A (zh) * 2007-07-05 2009-01-07 杭州中正生物认证技术有限公司 利用指纹USBkey进行身份验证的方法及系统
CN101321069A (zh) * 2008-06-23 2008-12-10 刘洪利 手机生物身份证明制作、认证方法及其认证系统
CN101814131A (zh) * 2009-02-25 2010-08-25 中国科学院自动化研究所 一种增强模糊指纹保险箱安全性的方法
CN102223233A (zh) * 2011-06-15 2011-10-19 刘洪利 一种生物密码认证系统,以及一种生物密码认证方法
CN102510330A (zh) * 2011-11-02 2012-06-20 杭州电子科技大学 一种基于指纹特征数据与匹配算法的新型模糊金库方法
CN105207776A (zh) * 2014-06-18 2015-12-30 中标软件有限公司 一种指纹认证方法及系统
CN105141424A (zh) * 2015-08-14 2015-12-09 南昌航空大学 一种掌纹掌脉双源模糊保险箱的密钥提取方法
CN106878017A (zh) * 2015-12-14 2017-06-20 中国电信股份有限公司 用于网络身份认证的方法、用户终端、网站服务器和系统
CN105959287A (zh) * 2016-05-20 2016-09-21 中国银联股份有限公司 一种基于生物特征的安全认证方法及装置
CN107077679A (zh) * 2017-02-16 2017-08-18 深圳市汇顶科技股份有限公司 基于指纹识别的校验方法、装置、以及交易系统
CN106941400A (zh) * 2017-03-06 2017-07-11 东南大学 一种基于sram‑puf的模糊保险箱认证方法
CN107908942A (zh) * 2017-11-30 2018-04-13 北京集创北方科技股份有限公司 电子设备、显示系统、集成控制装置和生物特征验证方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111538969A (zh) * 2020-03-30 2020-08-14 北京万里红科技股份有限公司 文档加密方法、文档解密方法、装置、电子设备及介质
CN112800477A (zh) * 2021-04-02 2021-05-14 西安慧博文定信息技术有限公司 一种基于生物特征值的数据加解密系统及方法

Similar Documents

Publication Publication Date Title
CN103124269B (zh) 云环境下基于动态口令与生物特征的双向身份认证方法
CN109040139B (zh) 一种基于区块链与智能合约的身份认证系统及方法
US9646161B2 (en) Relational database fingerprinting method and system
US11063941B2 (en) Authentication system, authentication method, and program
CN109040067A (zh) 一种基于物理不可克隆技术puf的用户认证设备及认证方法
EP3532972A1 (en) Authentication method and system
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
KR20070024633A (ko) 갱신가능한 그리고 개인적인 바이오메트릭
CN109347626B (zh) 一种具有反跟踪特性的安全身份认证方法
Giri et al. A novel and efficient session spanning biometric and password based three-factor authentication protocol for consumer USB mass storage devices
CN105553667A (zh) 一种动态口令的生成方法
Lee et al. A biometric-based authentication and anonymity scheme for digital rights management system
CN114065169B (zh) 一种隐私保护生物认证方法和装置、电子设备
Wang et al. Biometrics-authenticated key exchange for secure messaging
CN113507380B (zh) 一种隐私保护远程统一生物认证方法及装置、电子设备
CN108833379A (zh) 一种数据加密传输方法和装置
Zhu et al. A Novel and Provable Authenticated Key Agreement Protocol with Privacy Protection Based on Chaotic Maps towards Mobile Network.
CN116112242B (zh) 面向电力调控系统的统一安全认证方法及系统
CN109687960A (zh) 基于多个公共非对称密钥池的抗量子计算代理云存储方法和系统
EP3185504A1 (en) Security management system for securing a communication between a remote server and an electronic device
Seo et al. Fuzzy vector signature and its application to privacy-preserving authentication
Johnson et al. With vaulted voice verification my voice is my key
CN115277267B (zh) 一种文档安全加解密方法
CN111445235A (zh) 一种基于医疗区块链的密钥管理方法
CN117896079B (zh) 一种基于puf和可撤销生物特征的高效认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20181116