CN110826038B - 数据加解密方法及装置 - Google Patents
数据加解密方法及装置 Download PDFInfo
- Publication number
- CN110826038B CN110826038B CN201910996224.5A CN201910996224A CN110826038B CN 110826038 B CN110826038 B CN 110826038B CN 201910996224 A CN201910996224 A CN 201910996224A CN 110826038 B CN110826038 B CN 110826038B
- Authority
- CN
- China
- Prior art keywords
- user
- iris
- data
- key
- nonvolatile memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/10—Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
- G06V40/18—Eye characteristics, e.g. of the iris
- G06V40/197—Matching; Classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Collating Specific Patterns (AREA)
- Biodiversity & Conservation Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Ophthalmology & Optometry (AREA)
- Human Computer Interaction (AREA)
- Multimedia (AREA)
- Bioethics (AREA)
Abstract
本发明实施例提供一种数据加解密方法及装置,该加密方法包括:获取用户的虹膜图像,生成第一虹膜模板;对所述第一虹膜模板分配唯一用户ID,进行关联后,存储到第一非易失存储器;产生与所述用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器;使用所述密钥对待加密数据进行加密。冒名者无法获取加密用户的虹膜模板,从而也无法获取加密用户的密钥,进而无法访问用户加密后的数据,具有较高的安全性。虹膜识别是目前识别精度仅次于DNA的为生物特征识别技术。本实施例使用虹膜识别技术作为鉴别合法用户的技术手段,每个合法用户拥有唯一的用户编号,能够有效的鉴别用户身份,且只能访问到各自的加密数据,能够有效保证数据的安全。
Description
技术领域
本发明涉及数据加密领域,尤其涉及一种数据加解密方法及装置。
背景技术
数据加密,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文,它的核心是密码学。数据加密仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。
目前的加密方法,如各种加密芯片的实现,本身只负责实现数据的加解密运算,对用户身份的鉴别由系统中的处理器软件完成。因此,无法有效鉴别数据访问者的合法性。例如:通过数字、图形作为数据访问的密码,很容易被窃取,被使用同一设备的用户,冒名非法访问未授权的加密数据。人脸和指纹作为登录密码的,也可以通过仿冒的手段,被获取。
现有的技术方案中,由于获取加密密钥的方式容易被仿冒,特别是在被多人公共使用的设备上,极易导致用户加密数据的泄露,从而带来损失。
发明内容
为了解决上述问题,本发明实施例提供一种数据加解密方法及装置。
第一方面,本发明实施例提供一种数据加密方法,包括:获取用户的虹膜图像,生成第一虹膜模板;对所述第一虹膜模板分配唯一用户ID,进行关联后,存储到第一非易失存储器;产生与所述用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器;使用所述密钥对待加密数据进行加密;其中,所述第一非易失存储器用于用户请求数据且虹膜模板匹配成功后,提供对应的用户ID,所述第二非易失存储器用于根据对应用户ID提供关联的密钥。
进一步地,所述第二非易失存储器设置在加密芯片内部。
进一步地,所述产生与所述用户ID唯一对应的密钥,包括:通过真随机数生成器,产生与所述用户ID唯一对应的随机密钥。
第二方面,本发明实施例提供一种数据解密方法,包括:接收用户的数据请求后,获取第二虹膜模板;在第一非易失存储器中查找与所述第二虹膜模板相匹配的虹膜模板;若存在匹配模板,则获取用户ID;在第二非易失存储器中查找与所述用户ID对应的密钥;根据查找到密钥对请求的数据进行解密;其中,所述第一非易失存储器中存储有真实用户对所述数据进行加密时提供的第一虹膜模板以及关联的唯一用户ID,所述第二非易失存储器中存储有与所述用户ID对应的唯一密钥。
进一步地,若不存在匹配模板,则拒接用户请求。
进一步地,获取第二虹膜模板之前,还包括:接收到用户的虹膜图像后,对所述虹膜图像的用户进行活体检测,若不通过,则拒绝用户请求。
第三方面,本发明实施例提供一种数据加密装置,包括:虹膜编码模块,用于获取用户的虹膜图像,生成第一虹膜模板;用户管理模块,用于对所述第一虹膜模板分配唯一用户ID,进行关联后,存储到第一非易失存储器;密钥管理模块,用于产生与所述用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器;加密管理模块,用于使用所述密钥对待加密数据进行加密;其中,所述第一非易失存储器用于用户请求数据且虹膜模板匹配成功后,提供对应的用户ID,所述第二非易失存储器用于根据对应用户ID提供关联的密钥。
第四方面,本发明实施例提供一种数据解密装置,包括:虹膜编码模块,用于接收用户的数据请求后,获取第二虹膜模板;虹膜比对模块,用于在第一非易失存储器中查找与所述第二虹膜模板相匹配的虹膜模板;用户管理模块,用于若存在匹配模板,则获取用户ID;密钥管理模块,用于在第二非易失存储器中查找与所述用户ID对应的密钥;解密管理模块,用于根据查找到密钥对请求的数据进行解密;其中,所述第一非易失存储器中存储有真实用户对所述数据进行加密时提供的第一虹膜模板以及关联的唯一用户ID,所述第二非易失存储器中存储有与所述用户ID对应的唯一密钥。
第五方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现本发明第一方面数据加密方法或第二方面数据解密方法的步骤。
第六方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本发明第一方面数据加密方法或第二方面数据解密方法的步骤。
本发明实施例提供的数据加解密方法及装置,通过产生与所述用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器,使用所述密钥对待加密数据进行加密,冒名者无法获取加密用户的虹膜模板,从而也无法获取加密用户的密钥,进而无法访问用户加密后的数据。而真实用户经虹膜模板匹配后,通过查找得到的密钥可以进行数据解密,最终获得解密后的数据,从而具有较高的安全性。虹膜识别是目前识别精度仅次于DNA的为生物特征识别技术。使用虹膜识别技术作为鉴别合法用户的技术手段,每个合法用户拥有唯一的用户编号,能够有效的鉴别用户身份,且只能访问到各自的加密数据,能够有效保证数据的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的数据加密方法流程图;
图2为本发明实施例提供的数据解密方法流程图;
图3为本发明实施例提供的数据加密装置结构图;
图4为本发明实施例提供的数据解密装置结构图;
图5为本发明实施例提供的加密芯片结构图;
图6为本发明实施例提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的数据加密方法流程图,如图1所示,本发明实施例提供一种数据加密方法,包括:
101,获取用户的虹膜图像,生成第一虹膜模板。
在101中,在数据进行加密的过程中,首先获取用户A的虹膜图像,如通过虹膜传感器获取。将获取的虹膜图像,转换成数据形式的具有唯一性的虹膜模板(这里称作第一虹膜模板,用于和后续解密的虹膜模板区别开来)。具体过程包括,获取用户图像,进行虹膜特征提取并进行编码,生成第一虹膜模板。
102,对第一虹膜模板分配唯一用户ID,进行关联后,存储到第一非易失存储器。
在102中,为该虹膜模板分配唯一的用户标识ID号,与该虹膜模板进行关联。将关联后的虹膜模板和用户ID作为一个单元,存储到非易失存储器中,将此处用到的非易失存储器称为第一非易失存储器,以区别后续的非易失存储器。第一非易失存储器用于用户请求数据且虹膜模板匹配成功后,提供对应的用户ID。
103,产生与用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器。
在103中,针对上述的用户ID,产生一个与该用户ID唯一对应的密钥。将该用户ID和对应的用户密钥作为一个单元,存储到非易失存储器中,为了区别上述第一非易失存储器,这里称为第二非易失存储器。需要说明的是,第一非易失存储器和第二非易失存储器可以是同一个存储器,在这种情况下,即为将第一虹膜模板、唯一的用户ID和唯一的密钥作为一个单元,存储到非易失存储器中。第二非易失存储器用于根据对应用户ID提供关联的密钥。
104,使用密钥对待加密数据进行加密。
在104中,利用生成的密钥对用户A需要加密的数据进行加密,具体可以是对所有新存入的数据进行加密,也可以是用户自行定义的数据范围进行加密。
本实施例提供的数据加密方法,通过产生与用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器,使用密钥对待加密数据进行加密,冒名者无法获取加密用户的虹膜模板,从而也无法获取加密用户的密钥,进而无法访问用户加密后的数据,具有较高的安全性。因虹膜纹理具有每个人都不同的唯一性、在婴儿阶段稳定后终身不变的稳定性。虹膜识别是目前识别精度仅次于DNA的为生物特征识别技术。本实施例使用虹膜识别技术作为鉴别合法用户的技术手段,每个合法用户拥有唯一的用户编号,能够有效的鉴别用户身份,且只能访问到各自的加密数据,能够有效保证数据的安全。
基于上述实施例的内容,作为一种可选实施例,第二非易失存储器设置在加密芯片内部。在本发明实施例中,第二非易失存储器设置在加密芯片内部,即对应的密钥也存储在加密芯片内部。由于密钥仅存储在芯片内部,无法被外部获取,从而能够保护加密密钥的安全。
基于上述实施例的内容,作为一种可选实施例,产生与用户ID唯一对应的密钥,包括:通过真随机数生成器,产生与用户ID唯一对应的随机密钥。本实施例中,加密密钥的产生由真随机数生成器产生。真随机数生成器(True Random Number Generator,TRNG)是一种通过物理过程而不是计算机程序来生成随机数字的设备,通过真随机数生成器产生的密钥,具有更高的复杂度,使暴力破解难以实现,从而有效提高加密的安全性。
图2为本发明实施例提供的数据解密方法流程图,如图2所示,本发明实施例提供一种数据解密方法,包括:
201,接收用户的数据请求后,获取第二虹膜模板。
在201中,接收到用户对数据的请求后,进入数据解密的过程。首先获取用户A`的虹膜图像,如通过虹膜传感器获取。将获取的虹膜图像,转换成数据形式的具有唯一性的虹膜模板(这里称作第二虹膜模板,区别于上述加密过程得到的虹膜模板)。具体过程包括,获取用户图像,进行虹膜特征提取并进行编码,生成第二虹膜模板。
202,在第一非易失存储器中查找与第二虹膜模板相匹配的虹膜模板。
在202中,第一非易失存储器中存储有真实用户对数据进行加密时提供的第一虹膜模板以及关联的唯一用户ID。即原用户A对数据进行加密时,在第一非易失存储器中存储了用户A的第一虹膜模板,以及为该第一虹膜模板分配的唯一用户标识ID。
在第一非易失存储器中查找,是否存在与用户A`的第二虹膜模板匹配的虹膜模板。若用户A`与原用户A是同一人,则第二虹膜模板与第一虹膜模板是一致的,能够得到匹配。
203,若存在匹配模板,则获取用户ID。
在203中,若202中匹配成功,则可从第一非易失存储器中获取到第二虹膜模板关联的唯一用户ID。
204,在第二非易失存储器中查找与用户ID对应的密钥。
第二非易失存储器中存储有与用户ID对应的唯一密钥。此步骤在第二非易失存储器中查找该用户ID对应的密钥。需要说明的是,与加密过程类似,第一非易失存储器和第二非易失存储器可以是同一个存储器,在这种情况下,即为将第一虹膜模板、唯一的用户ID和唯一的密钥作为一个单元,存储到非易失存储器中。解密过程是在该非易失存储器中查找匹配的虹膜模板所对应的用户ID,并进一步在该非易失存储器中找到加密时的密钥。
205,根据查找到密钥对请求的数据进行解密。
即利用查找到的密钥对用户请求的数据进行解密,解密后发送至用户,以响应用户请求。
本实施例提供的数据解密方法,通过在第一非易失存储器中查找与第二虹膜模板相匹配的虹膜模板,并在第二非易失存储器中查找与用户ID对应的密钥,使用查找到的密钥对待加密数据进行解密,冒名者无法获取加密用户的虹膜模板,从而也无法获取加密用户的密钥,进而无法访问用户加密后的数据。而真实用户经虹膜模板匹配后,通过查找得到的密钥可以进行数据解密,最终获得解密后的数据,从而具有较高的安全性。
基于上述实施例的内容,作为一种可选实施例,若不存在匹配模板,则拒接用户请求。即虹膜匹配失败,无法从第一非易失存储器中找到匹配的虹膜模板。此用户A`与原用户A不是同一人,则拒接用户的数据请求,从而确保原用户的数据安全性。
基于上述实施例的内容,作为一种可选实施例,获取第二虹膜模板之前,还包括:接收到用户的虹膜图像后,对虹膜图像的用户进行活体检测,若不通过,则拒绝用户请求。
为了提高虹膜验证的安全性,本实施在收到用户数据请求后,获取第二虹膜模板之前,进行虹膜图像的用户进行活体检测。活体检测的方法有多种,如根据环境光照强度的强弱将影响到人眼虹膜信息的多少实现,当光照强度比较强的时候,人眼的瞳孔缩小,虹膜信息量大;当光照强度比较弱的时候,人眼的瞳孔放大,虹膜信息量小。这些过程的变化完全出自于人的生理反应。人如果一旦死亡,虹膜将会扩散并消失,可以利用不同光照强度下虹膜的变化来进行活体的虹膜识别。
例如,将采集到的虹膜图像与预先存储的相同光照强度下的虹膜模板进行比对,得到多个光照强度下的比对分值;判断多个光照强度下的比对分值的变化是否在预定范围内,若是,虹膜为活体,否则,虹膜为非活体。
本实施例提供的数据解密方法,通过接收到用户的虹膜图像后,对虹膜图像的用户进行活体检测,有效降低冒名者防止虹膜模板的可能性,提高加密数据的安全性。
图3为本发明实施例提供的数据加密装置结构图,如图3所示,该数据加密装置包括:虹膜编码模块301、用户管理模块302、密钥管理模块303和加密管理模块304。其中,虹膜编码模块301用于获取用户的虹膜图像,生成第一虹膜模板;用户管理模块302用于对第一虹膜模板分配唯一用户ID,进行关联后,存储到第一非易失存储器;密钥管理模块303用于产生与用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器;加密管理模块304用于使用密钥对待加密数据进行加密。
在数据进行加密的过程中,虹膜编码模块301首先获取用户A的虹膜图像,如通过虹膜传感器获取。将获取的虹膜图像,进行编码后,转换成数据形式的具有唯一性的虹膜模板。
用户管理模块302为该虹膜模板分配唯一的用户标识ID号,与该虹膜模板进行关联。将关联后的虹膜模板和用户ID作为一个单元,存储到非易失存储器中,将此处用到的非易失存储器称为第一非易失存储器,以区别后续的非易失存储器。第一非易失存储器用于用户请求数据且虹膜模板匹配成功后,提供对应的用户ID。
密钥管理模块303针对上述的用户ID,产生一个与该用户ID唯一对应的密钥。将该用户ID和对应的用户密钥作为一个单元,存储到非易失存储器中,为了区别上述第一非易失存储器,这里称为第二非易失存储器。第二非易失存储器用于根据对应用户ID提供关联的密钥。需要说明的是,第一非易失存储器和第二非易失存储器可以是同一个存储器,在这种情况下,即为将第一虹膜模板、唯一的用户ID和唯一的密钥作为一个单元,存储到非易失存储器中。
加密管理模块304利用生成的密钥对用户A需要加密的数据进行加密,具体可以是对所有新存入的数据进行加密,也可以是用户自行定义的数据范围进行加密。
本发明实施例提供的数据加密装置实施例是为了实现上述各数据加密方法实施例的,具体流程和详细内容请参照上述方法实施例,此处不再赘述。
本发明实施例提供的数据加密装置,通过产生与用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器,使用密钥对待加密数据进行加密,冒名者无法获取加密用户的虹膜模板,从而也无法获取加密用户的密钥,进而无法访问用户加密后的数据,具有较高的安全性。
图4为本发明实施例提供的数据解密装置结构图,如图4所示,该数据解密装置包括:虹膜编码模块401、虹膜比对模块402、用户管理模块403、密钥管理模块404和解密管理模块405。其中,虹膜编码模块401用于接收用户的数据请求后,获取第二虹膜模板;虹膜比对模块402用于在第一非易失存储器中查找与第二虹膜模板相匹配的虹膜模板;用户管理模块403用于若存在匹配模板,则获取用户ID;密钥管理模块404用于在第二非易失存储器中查找与用户ID对应的密钥;解密管理模块405用于根据查找到密钥对请求的数据进行解密;其中,第一非易失存储器中存储有真实用户对数据进行加密时提供的第一虹膜模板以及关联的唯一用户ID,第二非易失存储器中存储有与用户ID对应的唯一密钥。
接收到用户对数据的请求后,进入数据解密的过程。虹膜编码模块401首先获取用户A`的虹膜图像,如通过虹膜传感器获取。将获取的虹膜图像,转换成数据形式的具有唯一性的虹膜模板(这里称作第二虹膜模板,区别于上述加密过程得到的虹膜模板)。具体过程包括,获取用户图像,进行虹膜特征提取并进行编码,生成第二虹膜模板。
第一非易失存储器中存储有真实用户对数据进行加密时提供的第一虹膜模板以及关联的唯一用户ID。即原用户A对数据进行加密时,在第一非易失存储器中存储了用户A的第一虹膜模板,以及为该第一虹膜模板分配的唯一用户标识ID。
虹膜比对模块402在第一非易失存储器中查找,是否存在与用户A`的第二虹膜模板匹配的虹膜模板。若用户A`与原用户A是同一人,则第二虹膜模板与第一虹膜模板是一致的,能够得到匹配。
若虹膜比对模块402匹配成功,则用户管理模块403可从第一非易失存储器中获取到第二虹膜模板关联的唯一用户ID。若匹配失败,则拒接用户的数据请求。
第二非易失存储器中存储有与用户ID对应的唯一密钥。密钥管理模块404在第二非易失存储器中查找该用户ID对应的密钥。需要说明的是,与加密过程类似,第一非易失存储器和第二非易失存储器可以是同一个存储器,在这种情况下,即为将第一虹膜模板、唯一的用户ID和唯一的密钥作为一个单元,存储到非易失存储器中。解密过程是在该非易失存储器中查找匹配的虹膜模板所对应的用户ID,并进一步在该非易失存储器中找到加密时的密钥。
解密管理模块405利用查找到的密钥对用户请求的数据进行解密,解密后发送至用户,以响应用户请求。
本发明实施例提供的数据解密装置实施例是为了实现上述各数据解密方法实施例的,具体流程和详细内容请参照上述方法实施例,此处不再赘述。
本发明实施例提供的数据解密装置,通过在第一非易失存储器中查找与第二虹膜模板相匹配的虹膜模板,并在第二非易失存储器中查找与用户ID对应的密钥,使用查找到的密钥对待加密数据进行解密,冒名者无法获取加密用户的虹膜模板,从而也无法获取加密用户的密钥,进而无法访问用户加密后的数据。而真实用户经虹膜模板匹配后,通过查找得到的密钥可以进行数据解密,最终获得解密后的数据,从而具有较高的安全性。
图5为本发明实施例提供的加密芯片结构图,如图5所示,该加密芯片同时包括上述装置实施例中的数据加密装置和数据解密装置,并实现上述数据加密方法及数据解密方法。具体包括如下:
系统控制模块,用于实现接收用户控制命令、管理和控制加密芯片配置和工作流程、输入待加密数据、导出加密/解密数据等功能。
图像处理模块,实现接收虹膜传感器芯片输出的图像数据,并进行图像预处理,进行图像质量判断、虹膜定位、活体鉴别处理等功能。
虹膜编码模块,实现提取虹膜特征并进行编码,生成虹膜模板并加密保存等功能。
虹膜比对模块,实现虹膜模板比对功能,确定使用人员身份,如果匹配成功,通过系统控制模块使能加密核心区(打开加密区电源控制并完成初始化等操作),将鉴别成功的使用人员信息传递到加密核心区的加密区用户管理单元。
加解密电源管理模块,用于管理核心加密区的电源开关控制,仅虹膜比对模块鉴别出合法的使用人员登录,才会开启核心加密区的电源,保护核心加密区。
加密区用户管理模块,用于管理已登记合法使用人员的特征信息及与该人员对应的数据加解密的密钥。
加解密密钥生成模块,通过一个真随机发生器,产生一个真随机数,作为合法使用人员的加解密密钥,与该人员的特征信息唯一对应。
加解密管理模块,当作为加密功能使用时,将需要加密的数据用合法使用人员唯一对应的密钥使用内置的加解密算法引擎进行加密后,存储到片内存储单元或通过扩展接口输出到扩展存储单元;当作为解密功能使用时,将接收的或存储在存储单元内的加密数据进行解密后输出。
扩展存储单元接口用于和对应的存储单元进行数据传输,同时也可在芯片内部设置存储单元。
具体方法流程可参见上述方法实施例,此处不再赘述。需要说明的是,以上加密芯片的实施例只是示意性的,可通过FPGA,或者芯片组,搭建类似的芯片结构。
图6为本发明实施例提供的一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)601、通信接口(Communications Interface)602、存储器(memory)603和总线604,其中,处理器601,通信接口602,存储器603通过总线604完成相互间的通信。通信接口602可以用于电子设备的信息传输。处理器601可以调用存储器603中的逻辑指令,以执行包括如下的方法:获取用户的虹膜图像,生成第一虹膜模板;对第一虹膜模板分配唯一用户ID,进行关联后,存储到第一非易失存储器;产生与用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器;使用密钥对待加密数据进行加密。
此外,上述的存储器603中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明上述各方法实施例的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法,例如包括:获取用户的虹膜图像,生成第一虹膜模板;对第一虹膜模板分配唯一用户ID,进行关联后,存储到第一非易失存储器;产生与用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器;使用密钥对待加密数据进行加密。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种数据加密方法,其特征在于,包括:
获取用户的虹膜图像,生成第一虹膜模板;
所述获取用户的虹膜图像,生成第一虹膜模板,包括:获取用户的虹膜图像,进行虹膜特征提取并进行编码,生成第一虹膜模板;
对所述第一虹膜模板分配唯一用户ID,进行关联后,存储到第一非易失存储器;
产生与所述用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器;
使用所述密钥对待加密数据进行加密;
所述产生与所述用户ID唯一对应的密钥,包括:
通过真随机数生成器,产生与所述用户ID唯一对应的随机密钥;
其中,所述第一非易失存储器用于用户请求数据且虹膜模板匹配成功后,提供对应的用户ID,所述第二非易失存储器用于根据对应用户ID提供关联的密钥。
2.根据权利要求1所述的数据加密方法,其特征在于,所述第二非易失存储器设置在加密芯片内部。
3.根据权利要求1所述的数据加密方法的数据解密方法,其特征在于,包括:
接收用户的数据请求后,获取第二虹膜模板;
所述获取第二虹膜模板,包括:获取用户的虹膜图像,进行虹膜特征提取并进行编码,生成第二虹膜模板;
在第一非易失存储器中查找与所述第二虹膜模板相匹配的第一虹膜模板;
若存在匹配模板,则获取用户ID;
在第二非易失存储器中查找与所述用户ID对应的密钥;
根据查找到密钥对请求的数据进行解密;
其中,所述第一非易失存储器中存储有真实用户对所述数据进行加密时提供的第一虹膜模板以及关联的唯一用户ID,所述第二非易失存储器中存储有与所述用户ID对应的唯一密钥。
4.根据权利要求3所述的数据解密方法,其特征在于,若不存在匹配模板,则拒接用户请求。
5.根据权利要求3所述的数据解密方法,其特征在于,获取第二虹膜模板之前,还包括:
接收到用户的虹膜图像后,对所述虹膜图像的用户进行活体检测,若不通过,则拒绝用户请求。
6.一种数据加密装置,其特征在于,包括:
虹膜编码模块,用于获取用户的虹膜图像,生成第一虹膜模板;
用户管理模块,用于对所述第一虹膜模板分配唯一用户ID,进行关联后,存储到第一非易失存储器;
密钥管理模块,用于产生与所述用户ID唯一对应的密钥,进行关联后,存储到第二非易失存储器;
所述密钥管理模块中所述的产生与所述用户ID唯一对应的密钥,包括:
通过真随机数生成器,产生与所述用户ID唯一对应的随机密钥;
加密管理模块,用于使用所述密钥对待加密数据进行加密;
其中,所述第一非易失存储器用于用户请求数据且虹膜模板匹配成功后,提供对应的用户ID,所述第二非易失存储器用于根据对应用户ID提供关联的密钥。
7.根据权利要求6所述的数据加密装置的数据解密装置,其特征在于,包括:
虹膜编码模块,用于接收用户的数据请求后,获取第二虹膜模板;
所述获取第二虹膜模板,包括:获取用户的虹膜图像,进行虹膜特征提取并进行编码,生成第二虹膜模板;
虹膜比对模块,用于在第一非易失存储器中查找与所述第二虹膜模板相匹配的第一虹膜模板;
用户管理模块,用于若存在匹配模板,则获取用户ID;
密钥管理模块,用于在第二非易失存储器中查找与所述用户ID对应的密钥;
解密管理模块,用于根据查找到密钥对请求的数据进行解密;
其中,所述第一非易失存储器中存储有真实用户对所述数据进行加密时提供的第一虹膜模板以及关联的唯一用户ID,所述第二非易失存储器中存储有与所述用户ID对应的唯一密钥。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述数据加密方法或数据解密方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述数据加密方法或数据解密方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910996224.5A CN110826038B (zh) | 2019-10-18 | 2019-10-18 | 数据加解密方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910996224.5A CN110826038B (zh) | 2019-10-18 | 2019-10-18 | 数据加解密方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110826038A CN110826038A (zh) | 2020-02-21 |
CN110826038B true CN110826038B (zh) | 2022-05-24 |
Family
ID=69549781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910996224.5A Active CN110826038B (zh) | 2019-10-18 | 2019-10-18 | 数据加解密方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110826038B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111177684A (zh) * | 2020-04-10 | 2020-05-19 | 支付宝(杭州)信息技术有限公司 | 用户身份识别方法、装置、设备及介质 |
CN112364323A (zh) * | 2020-11-16 | 2021-02-12 | 深圳安捷丽新技术有限公司 | 一种基于用户虹膜识别的高安全存储访问方法和装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110175441A (zh) * | 2019-04-12 | 2019-08-27 | 平安普惠企业管理有限公司 | 基于生物识别的数据管理方法、装置、设备及存储介质 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9690916B2 (en) * | 2013-11-05 | 2017-06-27 | Sunasic Technologies Inc. | Multi-function identification system and operation method thereof |
CN105550626B (zh) * | 2015-07-08 | 2019-03-22 | 宇龙计算机通信科技(深圳)有限公司 | 一种虹膜识别方法及装置 |
CN105320939B (zh) * | 2015-09-28 | 2019-01-25 | 深圳爱酷智能科技有限公司 | 虹膜活体检测的方法和装置 |
CN105447405A (zh) * | 2015-11-09 | 2016-03-30 | 南京以太安全技术有限公司 | 基于虹膜识别认证的文档加解密方法及装置 |
CN106878017B (zh) * | 2015-12-14 | 2020-02-28 | 中国电信股份有限公司 | 用于网络身份认证的方法、用户终端、网站服务器和系统 |
CN105429761B (zh) * | 2015-12-29 | 2018-12-25 | 宇龙计算机通信科技(深圳)有限公司 | 一种密钥生成方法及装置 |
CN107248972B (zh) * | 2017-03-17 | 2019-12-06 | 武汉虹识技术有限公司 | 数据加密、解密方法、装置及电子设备 |
CN109614810A (zh) * | 2018-12-14 | 2019-04-12 | 深圳市青葡萄科技有限公司 | 基于指纹的数据加密解密方法 |
CN110287670A (zh) * | 2019-06-26 | 2019-09-27 | 北京芯安微电子技术有限公司 | 一种生物特征信息和身份信息关联方法、系统及设备 |
-
2019
- 2019-10-18 CN CN201910996224.5A patent/CN110826038B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110175441A (zh) * | 2019-04-12 | 2019-08-27 | 平安普惠企业管理有限公司 | 基于生物识别的数据管理方法、装置、设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
"Image encryption algorithm Based on the key extracted from iris characteristics,";W.Wei等;《2013 IEEE 14th International Symposium on Computational Intelligence and Informatics (CINTI)》;20131121;第169-172页 * |
"基于虹膜特征的密钥生成和AES算法的图像加密";解瑞云等;《河南师范大学学报(自然科学版)》;20160907;第44卷(第5期);第163-168页 * |
Also Published As
Publication number | Publication date |
---|---|
CN110826038A (zh) | 2020-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107819587B (zh) | 基于全同态加密的认证方法和用户设备以及认证服务器 | |
EP3257194B1 (en) | Systems and methods for securely managing biometric data | |
JP7421766B2 (ja) | 公開キー/プライベートキーバイオメトリック認証システム | |
CN105429761B (zh) | 一种密钥生成方法及装置 | |
EP2813961B1 (en) | Biometric verification with improved privacy and network performance in client-server networks | |
KR101284481B1 (ko) | 생체이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증방법 및 장치 | |
CA2636453A1 (en) | Multisystem biometric token | |
NL1036400C2 (en) | Method and system for verifying the identity of an individual by employing biometric data features associated with the individual. | |
Zheng et al. | UDhashing: Physical unclonable function-based user-device hash for endpoint authentication | |
WO1999012144A1 (fr) | Serveur et procede de generation de signature numerique | |
CN104820814A (zh) | 第二代身份证防伪验证系统 | |
CN110826038B (zh) | 数据加解密方法及装置 | |
CN116580489B (zh) | 门禁设备、门禁卡和发卡器的控制方法、设备和介质 | |
US20190028470A1 (en) | Method For Verifying The Identity Of A Person | |
KR20210143378A (ko) | 유전체 정보로부터 개인 인증키를 생성하는 장치 및 이를 이용한 인증시스템 | |
KR101624394B1 (ko) | 패스워드 인증 장치 및 그 장치의 운용 방법 | |
KR101885733B1 (ko) | 바이오 인증 장치 및 바이오 인증 장치를 이용한 사용자 인증 방법 | |
Edwards et al. | FFDA: A novel four-factor distributed authentication mechanism | |
CN107680218B (zh) | 基于多生物特征识别与瞬时证照技术的安检方法及系统 | |
Rudrakshi et al. | A model for secure information storage and retrieval on cloud using multimodal biometric cryptosystem | |
CN109635906A (zh) | 二维码生成方法及装置 | |
CN109426709A (zh) | 一种生物识别芯片及方法 | |
CN116582281B (zh) | 一种基于密码技术的安全人脸识别方法、系统及设备 | |
Ajith et al. | Iris Cryptography for Security Purpose | |
WO2022237550A1 (zh) | 一种防止隐私泄露的门禁认证方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |