CN116502260A - 生物数据存储方法、识别方法、装置、设备和介质 - Google Patents

生物数据存储方法、识别方法、装置、设备和介质 Download PDF

Info

Publication number
CN116502260A
CN116502260A CN202310287385.3A CN202310287385A CN116502260A CN 116502260 A CN116502260 A CN 116502260A CN 202310287385 A CN202310287385 A CN 202310287385A CN 116502260 A CN116502260 A CN 116502260A
Authority
CN
China
Prior art keywords
biological data
fragments
data template
execution environment
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310287385.3A
Other languages
English (en)
Inventor
徐超
卞阳
张伟奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Fudata Technology Co ltd
Original Assignee
Shanghai Fudata Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Fudata Technology Co ltd filed Critical Shanghai Fudata Technology Co ltd
Priority to CN202310287385.3A priority Critical patent/CN116502260A/zh
Publication of CN116502260A publication Critical patent/CN116502260A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02ATECHNOLOGIES FOR ADAPTATION TO CLIMATE CHANGE
    • Y02A90/00Technologies having an indirect contribution to adaptation to climate change
    • Y02A90/10Information and communication technologies [ICT] supporting adaptation to climate change, e.g. for weather forecasting or climate simulation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及一种生物数据存储方法、识别方法、装置、设备和介质。所述方法包括:通过所述服务器集群中的服务器接收终端发送的生物数据模板碎片,所述生物数据模板碎片是将完整的生物数据模板进行碎片化得到的,不同的所述生物数据模板碎片存储至不同的所述服务器中;分别在所述服务器的可信执行环境中,对所述生物数据模板碎片进行加密;将加密后的所述生物数据模板碎片存储至对应的服务器的文件系统。采用本方法能够适用于大数据场景且保证数据安全性。

Description

生物数据存储方法、识别方法、装置、设备和介质
技术领域
本申请涉及生物识别技术领域,特别是涉及一种生物数据存储方法、识别方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
人脸识别、指纹识别等生物识别技术是人工智能的典型应用,在一些行业已经有所应用。显然,随着人工智能的进一步发展,生物识别作为人和智能的连接入口有着巨大的潜力。随着智能终端上的生物识别技术普及,用户接受和使用频率的逐步提高,在给用户带来贴身服务和便利的同时,也吸引了黑客攻击者的关注,使生物识别的应用终端面临着网络安全、数据安全以及隐私安全等问题。
近年来,可信执行环境的概念在物联网安全领域也逐渐流传。可信执行环境(TEE,Trusted ExecutionEnvironment)在智能手机中的应用已经非常广泛,几乎所有新上市的安卓手机都有TEE。由全球平台组织(Global Plantform,GP)制定并推进的可信执行环境标准,是面向移动终端,由硬件实现,通过开辟移动终端主处理器内部的安全区域,提供一个隔离的可信执行环境。终端通过分离TEE和REE(rich executionenvironment,富执行环境)的软硬件资源,实现对敏感数据的存储与保护,确保TEE内代码和数据的安全性、机密性以及完整性。TEE的安全级别比REE安全级别更高,能够满足大多数应用的安全需求。特别在移动支付、移动办公等对安全需求较高的领域,将指纹识别+TEE、人脸识别+TEE等技术引入移动终端,是一种更安全的数据安全保护机制,也成为产业链众多终端厂商的选择。
然而,基于TEE的生物识别技术主要是面向移动终端,在识别数据较少的情况下,数据库模板就可存储在终端内部,比如公司的考勤场景等;当面对海量数据的识别时,数据库模板需要存储到云端,如何保障云端的数据完整性、机密性等,成为生物识别的一大痛点,比如城市安全场景等。虽然,当前也有相关研究利用英特尔SGX的TEE技术,实现云端数据的保护,但是SGX本身也存在侧信道攻击等安全威胁,因此如何解决云端生物数据的完整性和机密性等问题成为生物数据识别急需解决的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够适用于大数据场景且保证数据安全性的生物数据存储方法、识别方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供一种生物数据存储方法,应用于服务器集群,所述方法包括:
通过所述服务器集群中的服务器接收终端发送的生物数据模板碎片,所述生物数据模板碎片是将完整的生物数据模板进行碎片化得到的,不同的所述生物数据模板碎片存储至不同的所述服务器中;
分别在所述服务器的可信执行环境中,对所述生物数据模板碎片进行加密;
将加密后的所述生物数据模板碎片存储至对应的服务器的文件系统。
在其中一个实施例中,所述通过所述服务器集群中的服务器接收终端发送的生物数据模板碎片之前,包括:
接收终端发送的认证请求,所述认证请求用于确认所述服务器集群中的各所述服务器存在可信执行环境;
基于所述认证请求完成所述服务器的认证,并返回认证结果至所述终端。
在其中一个实施例中,所述分别在所述服务器的可信执行环境中,对所述生物数据模板碎片进行加密,包括:
获取对应的加密密钥,通过所述加密密钥对所述生物数据模板碎片进行加密;
所述分别在所述服务器的可信执行环境中,对所述生物数据模板碎片进行加密之后,还包括:
对所述加密密钥进行加密,并将加密后的加密密钥存储至文件系统。
第二方面,本申请还提供一种生物数据识别方法,应用于服务器集群,所述方法包括:
通过所述服务器集群中的服务器接收终端发送的生物数据碎片,所述生物数据碎片是将完整的生物数据进行碎片化得到的,不同的所述生物数据碎片存储至不同的所述服务器中;
将各所述服务器中加密的生物数据模板碎片读取至可信执行环境中,在所述可信执行环境中对所述加密的生物数据模板碎片进行解密得到生物数据模板碎片明文;所述加密的生物数据模板碎片是基于上述的生物数据存储方法得到的;
通过多方安全计算算法,在所述可信执行环境中通过所述生物数据模板碎片明文对生物数据碎片进行识别得到识别结果。
在其中一个实施例中,所述在所述可信执行环境中对所述加密的生物数据模板碎片进行解密得到生物数据模板碎片明文,包括:
读取加密的加密密钥至所述可信执行环境中,并在所述可信执行环境中解密得到加密密钥;
通过解密得到的加密密钥对所述加密的生物数据模板碎片进行解密得到生物数据模板碎片明文。
在其中一个实施例中,所述通过多方安全计算算法,在所述可信执行环境中通过所述生物数据模板碎片明文对生物数据碎片进行识别得到识别结果之前,还包括:
将生物识别模型加载至各所述服务器的可信执行环境中。
第三方面,本申请还提供一种生物数据存储装置,所述装置包括:
第一接收模块,用于通过所述服务器集群中的服务器接收终端发送的生物数据模板碎片,所述生物数据模板碎片是将完整的生物数据模板进行碎片化得到的,不同的所述生物数据模板碎片存储至不同的所述服务器中;
加密模块,用于分别在所述服务器的可信执行环境中,对所述生物数据模板碎片进行加密;
存储模块,用于将加密后的所述生物数据模板碎片存储至对应的服务器的文件系统。
第四方面,本申请还提供一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任意一个实施例中所述的方法的步骤。
第五方面,本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一个实施例中所述的方法的步骤。
第六方面,本申请还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述任意一个实施例中所述的方法的步骤。
上述生物数据存储方法、识别方法、装置、计算机设备、存储介质和计算机程序产品,终端发送的是生物数据模板碎片,这样服务器集群中的任意服务器都无法获取到完整的数据,保证了安全性,此外,服务器集群中的服务器在可信执行环境中对生物数据模板碎片进行加密,且服务器是通过可信执行环境接收到的生物数据模板碎片,这样生物数据模板碎片在整个传输过程中都是安全可靠的,加密后的生物数据模板碎片更是进一步提高了安全性,保证了生物数据模板碎片的安全性,从而保证了生物数据模板的安全性,且生物数据模板是存储在服务器集群中的,而不是存储在终端本地,这样也适用于大数据的场景。
附图说明
图1为一个实施例中生物数据存储方法的应用环境图;
图2为一个实施例中生物数据存储方法的流程示意图;
图3为一个实施例中远程认证过程的示意图;
图4为一个实施例中的服务器的结构的示意图;
图5为一个实施例中生物数据识别方法的流程示意图;
图6为一个实施例中的多方安全计算算法的场景图;
图7为一个实施例中的多方安全计算算法的示意图;
图8为另一个实施例中生物数据识别方法的流程示意图;
图9为一个实施例中生物数据存储装置的结构框图;
图10为一个实施例中生物数据识别装置的结构框图;
图11为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的生物数据存储方法和识别方法,可以应用于如图1所示的应用环境中。其中,终端通过网络与服务器集群进行通信。数据存储系统可以存储服务器集群需要处理的数据。数据存储系统可以集成在服务器集群上,也可以放在云上或其他网络服务器上。
其中需要说明的一点是,本实施例中的服务器集群中的每一服务器都部署有可信执行环境,采用基于因特尔(Intel)配置第三代SGX技术的系列处理器,SGX通过提供一系列CPU指令码,允许用户代码创建具有高访问权限的私有内存区域(Enclave-飞地),包括OS,VMM,BIOS等均无法私自访问Enclave,Enclave中的数据只有在CPU计算时,通过CPU上的硬件进行解密。同时,Intel还提供了一套远程认证机制(Remote Attestation),通过这套机制,用户可以在远程确认跑在Enclave中的代码是否符合预期。
此外,本申请所涉及的生物数据包括但不限于人脸、虹膜、掌纹、指纹等识别数据。
本申请中对生物数据的处理包括生物数据模板的存储,以及生物数据的识别,其存储和识别均是通过终端-服务器集群的方式实现的。在终端对生物数据模板或生物数据进行采集以及碎片化处理,并将碎片化处理所得到的生物数据模板碎片或生物数据碎片发送至服务器集群中,以便于服务器集群在可信执行环境中对生物数据模板碎片进行加密,或者是在识别的过程中在可信执行环境中对生物数据模板碎片进行解密,并在可信执行环境中通过多方安全计算算法对生物数据进行识别,保证了生物数据碎片的安全性。
其中,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器集群中的服务器用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种生物数据存储方法,以该方法应用于图1中的服务器集群为例进行说明,包括以下步骤:
S202:通过服务器集群中的服务器接收终端发送的生物数据模板碎片,生物数据模板碎片是将完整的生物数据模板进行碎片化得到的,不同的生物数据模板碎片存储至不同的服务器中。
具体地,生物数据模板是终端采集的用户的生物数据,例如用户第一次在终端中输入的满足完整度要求的生物数据。生物数据模板碎片则是终端在采集到生物数据模板后,对生物数据模板进行碎片化处理得到的,例如按照服务器集群中的可用服务器的数量对生物数据模板进行碎片化处理,得到对应数量的生物数据模板碎片。在其他的实施例中,生物数据模板碎片的数量可以是预先设定的,这样根据该数量对生物数据模板进行碎片化处理得到多个生物数据模板碎片。可选地对生物数据模板进行碎片化处理的方式可以是任意方式,在此不做具体限定。
实际应用中,终端借助物联网感知层的传感器摄像头采集生物数据模板,采集的生物数据模板经过一定的预处理之后会被碎片化。
在其中一个可选的实施例中,终端还对碎片化后的生物数据模板碎片进行加密处理,这样终端获得了生物数据模板碎片密文,从而将生物数据模板碎片密文传输至服务器集群,解决了安全传输的问题。
具体地,不同的生物数据模板碎片存储至服务器集群的不同的服务器中,这样服务器集群中的任一服务器均不可能得到完整的生物数据模板,例如存在N张生物数据模板碎片,则将N张生物数据模板碎片分别传输至N个服务器中,从而保证了生物数据模板的安全性。需要说明的一点是,在终端获取到生物数据模板碎片后,则分别建立与服务器集群中的不同的服务器的通信链路,从而将对应的生物数据模板碎片传输至不同的服务器的可信执行环境中,也就是说服务器是在可信执行环境中接收到的生物数据模板碎片,这样也保证了其的安全性。
可选地,本实施例中的服务器集群中的各个服务器可以是同一个服务商提供的服务器,也可以是不同的服务商提供的服务器,在此不做具体的限定。
S204:分别在服务器的可信执行环境中,对生物数据模板碎片进行加密。
具体地,可信执行环境是基于因特尔(Intel)配置第三代SGX技术的系列处理器得到的,其允许用户代码创建具有高访问权限的私有内存区域(Enclave-飞地),在该实施例中,对生物数据模板碎片进行加密的过程是将生物数据模板碎片密封到SGX密封标识。
其中,为了保护和保存数据,SGX架构提供硬件指令EGETKEY以支持密封,EGETKEY为enclave软件提供了对密封过程中使用到的密钥访问权限,EGETKEY提供对永久性密封密钥的访问,enclave软件可以使用这些密钥加密和保护数据的完整性。
也就是服务器集群中的各个服务器在可信执行环境中,和获取到密封密钥,通过该密封密钥对生物数据模板碎片进行密封,即加密处理。
S206:将加密后的生物数据模板碎片存储至对应的服务器的文件系统。
具体地,加密后的生物数据模板碎片是安全的,因此直接存储至服务器的文件系统即可,即使非法人员获取到该些加密后的生物数据模板碎片,也无法得到明文,或者说即使非法人员获取到生物数据模板碎片的明文,也无法得到完整的生物数据模板,因为生物数据模板碎片是存储在不同的服务器中,对于非法人员来说其获取到所有的明文的生物数据模板碎片的可能性可以忽略不计。
上述生物数据存储方法,终端发送的是生物数据模板碎片,这样服务器集群中的任意服务器都无法获取到完整的数据,保证了安全性,此外,服务器集群中的服务器在可信执行环境中对生物数据模板碎片进行加密,且服务器是通过可信执行环境接收到的生物数据模板碎片,这样生物数据模板碎片在整个传输过程中都是安全可靠的,加密后的生物数据模板碎片更是进一步提高了安全性,保证了生物数据模板碎片的安全性,从而保证了生物数据模板的安全性,且生物数据模板是存储在服务器集群中的,而不是存储在终端本地,这样也适用于大数据的场景。
在其中一个实施例中,通过服务器集群中的服务器接收终端发送的生物数据模板碎片之前,包括:接收终端发送的认证请求,认证请求用于确认服务器集群中的各服务器存在可信执行环境;基于认证请求完成服务器的认证,并返回认证结果至终端。
具体地,认证过程是在生物数据模板碎片传输之前完成的,例如在终端开机后、打开对应的应用程序后或者是采集对应的生物数据模板时或后,终端启动与服务器集群中的各个服务器的认证过程,以确保云端的服务器集群中的各个服务器是存在可信执行环境的。其中认证是指将Inter SGX软件和平台硬件的信息组合起来用于生成评价,然后将该评价发送到第三方服务器以建立信任。该软件包括应用程序的安全区,以及由Intel提供的QE(Quoting enclave)和PvE(Provisioning enclave)。在证明各服务器的硬件是支持IntelSGX的CPU后,软件信息的摘要会与来自硬件平台的唯一非对称密钥组合以生成评价,该评价通过经认证的信道发送到远程服务器。如果远程服务器确定该安全区已正确实例化并且正在支持正版Intel SGX的处理器上运行,则它可以信任该安全区并选择使用经过身份验证的通道向其提供机密信息。
具体地,结合图3所示,图3为一个实施例中远程认证过程的示意图,在该实施例中,引入引用enclave,且认证采用非对称秘钥机制,由引用enclave创建平台认证的签名密钥EPID(enhanced privacy identification),该密钥不仅代表平台,还代表着底层硬件的可信度,并且绑定处理器固件的版本,当enclave系统运行时,只有引用enclave才能访问到EPID密钥。采集终端要认证服务器集群中各个服务器的Enclave(A),其远程认证的过程如下:
首先终端向服务器集群中各个服务器Enclave(A)发送认证请求。
服务器Enclave(A)将服务器的身份和附件信息(软件信息以及硬件信息)组合生成REPORT结构,利用引用enclave的签名密钥生成一个MAC,将所得到的MAC以及REPORT结构发送至引用enclave。
引用enclave创建平台认证的签名密钥EPID(enhanced privacyidentification),通过该结构验证服务器Enclave(A)是否运行于同一平台,然后将它封装为一个引用结构体QUOTE,并使用签名密钥EPID进行签名。引用enclave将引用结构体QUOTE和签名一同发给终端完成认证。其中,REPORT结构还可以提供额外的用户数据域,可用来传递用户自定义的信息,以支持更复杂的交互方式。
上述实施例中,利用碎片化计算模式以及TEE可信执行环境的双重保护机制,在碎片化模式下对采集的生物数据模板进行处理后,利用SGX的密封特性,对生物识别数据模板碎片进行加密存储,对传输、存储、使用等生物数据模板全链路安全都进行了保护,进一步保障了生物数据模板的隐私和安全性。
在其中一个实施例中,分别在服务器的可信执行环境中,对生物数据模板碎片进行加密,包括:获取对应的加密密钥,通过加密密钥对生物数据模板碎片进行加密;分别在服务器的可信执行环境中,对生物数据模板碎片进行加密之后,还包括:对加密密钥进行加密,并将加密后的加密密钥存储至文件系统。
具体地,加密密钥可以是存储至可信执行环境中的,或者是对加密密钥进行加密后存储至文件系统中的。具体地,若加密秘钥是第一次使用则直接在可信执行环境中生成,若是后续使用,则可以先查询可信执行环境中是否存在明文的加密密钥,若是存在,则直接使用,否则从文件系统获取到加密的加密密钥,然后再进行解密得到明文的加密密钥,并通过明文的加密密钥对生物数据模板碎片进行加密。
此外,若是加密密钥第一次使用,则在使用完成后对加密密钥进行加密,并将加密后的加密密钥存储至文件系统,方便后续调用,若非第一次使用,则无需执行加密步骤。
具体地,结合图4所示,其中服务器被划分为可信执行环境以及文件系统,文件系统中存储有密封的加密密钥以及加密的生物数据模板碎片,这样服务器可以在可信执行环境中获取到加密密钥的明文,并通过该明文对生物数据模板碎片进行加密得到加密的生物数据模板碎片,并存储至文件系统中。
具体地,本实施例中,由于加密的是生物数据模板碎片,其占用内存较大,因此在本实施例中对加密密钥以及加密机制进行加密,并且其明文隐藏在可信执行环境中,提高了资源的利用率。
在一个实施例中,如图5所示,提供了一种生物数据识别方法,以该方法应用于图1中的服务器集群为例进行说明,包括以下步骤:
S502:通过服务器集群中的服务器接收终端发送的生物数据碎片,生物数据碎片是将完整的生物数据进行碎片化得到的,不同的生物数据碎片存储至不同的服务器中。
具体地,生物数据碎片传输至服务器集群中的各个服务器的过程可以参见上文中的生物数据模板碎片传输至服务器集群中的各个服务器的过程,在此不再赘述。
S504:将各服务器中加密的生物数据模板碎片读取至可信执行环境中,在可信执行环境中对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文;加密的生物数据模板碎片是基于上述任意一个实施例中的生物数据存储方法得到的。
具体地,加密的生物数据模板碎片存储在文件系统,这样后续在可信执行环境中并没有存储生物数据模板碎片,因此服务器先将加密的生物数据模板碎片读取至可信执行环境中,并在执行环境中进行解密得到生物数据模板碎片明文。
在其中一个实施例中,在可信执行环境中对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文,包括:读取加密的加密密钥至可信执行环境中,并在可信执行环境中解密得到加密密钥;通过解密得到的加密密钥对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文。
实际应用中,各TEE服务器利用TEE可信执行环境中内部特有密钥对存储的生物数据模板碎片进行解封,使其在可信执行环境内恢复明文。解密模块运行在SGX的可信执行环境中,主要是用于对存储在文件系统中加密过的生物数据模板碎片进行解密操作,它利用了SGX以硬件CPU可信的原理来保障解密后图像的安全。
S506:通过多方安全计算算法,在可信执行环境中通过生物数据模板碎片明文对生物数据碎片进行识别得到识别结果。
具体地,在服务器解密得到生物数据模板碎片明文后,则通过生物数据模板碎片明文对生物数据碎片进行识别得到识别结果,具体地,各TEE服务器通过集群内网通信进行交互,实现基于多方安全计算算法MPC的生物识别模型计算,对所需识别的生物数据进行推理识别,并匹配获得碎片化恢复后的识别结果。
在其中一个实施例中,通过多方安全计算算法,在可信执行环境中通过生物数据模板碎片明文对生物数据碎片进行识别得到识别结果之前,还包括:将生物识别模型加载至各服务器的可信执行环境中。
具体地,生物识别模型的功能是在需要对给出人脸数据的用户进行权限判断时,利用初始化时训练好的模型来进行是否拥有权限的判断。生物识别模型需要对人脸图像数据进行计算判断,因此与图像数据相关的操作运行在Enclave可信执行环境中,其余在可信执行环境外的部分将通过参数SGX的参数传递机制与可信执行环境中的内容进行交互,具体可以参见图6所示。
为了方便理解,以两方计算为例,结合图7所示,需要识别的生物数据碎片以及历史存储的生物数据模板碎片,分别在可信执行环境内进行解密,获得生物数据模板碎片明文图像。接着,加载已经训练好的基于MPC的生物识别模型,包括特征提取、距离计算和阈值判断等几部分,对待识别的生物数据碎片以及历史存储的生物数据模板碎片一次进行特征向量距离计算,并获得匹配结果。最后对碎片化的识别结果进行恢复,获得最终的识别结果。由于生物识别的计算过程是基于秘密分享MPC的机制,所以在模型加载、特征提取、距离计算、阈值判断等过程都需要进行碎片态的通信交互。但由于碎片态交互是在集群内进行,其通信效率基本可以达到公网通信效率的1000倍左右。故在实现TEE以及MPC双重安全保障的同时,也获得了较高的识别效率。
后续在得到识别结果后,将识别结果加密传输至终端,从而终端基于识别结果完成生物识别的过程。
上述生物数据识别方法,终端发送的是生物数据碎片,这样服务器集群中的任意服务器都无法获取到完整的数据,保证了安全性,此外,服务器集群中的服务器在可信执行环境中对生物数据碎片进行加密,且服务器是通过可信执行环境接收到的生物数据碎片,这样生物数据碎片在整个传输过程中都是安全可靠的,加密后的生物数据碎片更是进一步提高了安全性,保证了生物数据碎片的安全性,从而保证了生物数据的安全性,且生物数据是存储在服务器集群中的,而不是存储在终端本地,这样也适用于大数据的场景。此外,生物数据模板碎片是在可信执行环境中进行解密,并与生物数据碎片比对的,这样非法用户是无法获取到该生物数据模板碎片的,保证了生物数据模板的安全性,且比对识别是基于多方安全计算算法的,这样在秘密分享模式下利用TEE进行加密存储,对传输和存储的生物数据安全都进行了保护,进一步保障了生物识别的隐私和安全性。
具体地,结合图8所示,为了方便理解,给出生物数据识别过程的示意图。在该实施例中,首先终端采集需要进行识别的生物数据,比如人脸数据、指纹数据等,并进行碎片化处理,以将生物数据碎片化得到N份生物数据碎片,云端的SGX进行远程认证,保证远程服务可信执行环境的有效性,然后将生物数据碎片进行碎片化传输,也即加密传输至服务器集群中的N个服务器中。
每个服务器利用可信执行环境内部特有的加密密钥对存储的生物数据模板碎片进行解封,使其在可信执行环境内恢复明文。解密模块运行在SGX的可信执行环境中,主要是用于对存储在文件系统中加密过的生物数据模板碎片进行解密操作,它利用了SGX以硬件CPU可信的原理来保障解密后图像的安全。
各TEE服务器通过集群内网通信进行交互,实现基于多方安全计算算法MPC的生物识别模型计算,对所需识别的生物数据进行推理识别,并匹配获得碎片化恢复后的识别结果,最后服务器集群将识别结果传输至终端,以完成生物数据识别。
上述实施例中,生物数据从采集后就立即被碎片化并且加密,从而从终端至服务器的通信过程中,在云端服务器的非安全区中,始终处于密文状态,从生物数据被采集的那一刻直到在可信执行环境中被解密,生物数据的隐私安全始终能得到生物数据加密算法的保障。且利用SGX技术底层硬件提供运行安全环境保障。通过在内存中划分出一块隔离的区域,并设计一套指令来控制访问,安全认证等保障这块区域的安全。该方案中的生物数据解密、生物数据识别中,涉及需要利用图像数据有关的内容全部放在可信执行区域中进行,并通过SGX的参数访问来与非安全区进行交互,从而保障了生物数据需要在明文状态下进行计算时,图像数据的安全性。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的生物数据存储方法和识别方法的生物数据存储装置和识别装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个生物数据存储装置和识别装置实施例中的具体限定可以参见上文中对于生物数据存储方法和识别方法的限定,在此不再赘述。
在一个实施例中,如图9所示,提供了一种生物数据存储装置,包括:第一接收模块901、加密模块902和存储模块903,其中:
第一接收模块901,用于通过服务器集群中的服务器接收终端发送的生物数据模板碎片,生物数据模板碎片是将完整的生物数据模板进行碎片化得到的,不同的生物数据模板碎片存储至不同的服务器中;
加密模块902,用于分别在服务器的可信执行环境中,对生物数据模板碎片进行加密;
存储模块903,用于将加密后的生物数据模板碎片存储至对应的服务器的文件系统。
在其中一个实施例中,上述生物数据存储装置还包括:
第二接收模块,用于接收终端发送的认证请求,认证请求用于确认服务器集群中的各服务器存在可信执行环境;
认证模块,用于基于认证请求完成服务器的认证,并返回认证结果至终端。
在其中一个实施例中,上述加密模块902还用于获取对应的加密密钥,通过加密密钥对生物数据模板碎片进行加密;上述存储模块903还用于对加密密钥进行加密,并将加密后的加密密钥存储至文件系统。
在一个实施例中,如图10所示,提供了一种生物数据识别装置,包括:第三接收模块1001、模板获取模块1002和识别模块1003,其中:
第三接收模块1001,用于通过服务器集群中的服务器接收终端发送的生物数据碎片,生物数据碎片是将完整的生物数据进行碎片化得到的,不同的生物数据碎片存储至不同的服务器中;
模板获取模块1002,用于将各服务器中加密的生物数据模板碎片读取至可信执行环境中,在可信执行环境中对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文;加密的生物数据模板碎片是基于上述任意一个实施例中的生物数据存储方法得到的;
识别模块1003,用于通过多方安全计算算法,在可信执行环境中通过生物数据模板碎片明文对生物数据碎片进行识别得到识别结果。
在其中一个实施例中,上述模板获取模块1002还用于读取加密的加密密钥至可信执行环境中,并在可信执行环境中解密得到加密密钥;通过解密得到的加密密钥对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文。
在其中一个实施例中,上述生物数据识别装置还包括:加载模块,用于将生物识别模型加载至各服务器的可信执行环境中。
上述生物数据存储装置和识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图11所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种生物数据存储方法和识别方法。
本领域技术人员可以理解,图11中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:通过服务器集群中的服务器接收终端发送的生物数据模板碎片,生物数据模板碎片是将完整的生物数据模板进行碎片化得到的,不同的生物数据模板碎片存储至不同的服务器中;分别在服务器的可信执行环境中,对生物数据模板碎片进行加密;将加密后的生物数据模板碎片存储至对应的服务器的文件系统。
在一个实施例中,处理器执行计算机程序时所实现的通过服务器集群中的服务器接收终端发送的生物数据模板碎片之前,包括:接收终端发送的认证请求,认证请求用于确认服务器集群中的各服务器存在可信执行环境;基于认证请求完成服务器的认证,并返回认证结果至终端。
在一个实施例中,处理器执行计算机程序时所实现的分别在服务器的可信执行环境中,对生物数据模板碎片进行加密,包括:获取对应的加密密钥,通过加密密钥对生物数据模板碎片进行加密;处理器执行计算机程序时所实现的分别在服务器的可信执行环境中,对生物数据模板碎片进行加密之后,还包括:对加密密钥进行加密,并将加密后的加密密钥存储至文件系统。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:通过服务器集群中的服务器接收终端发送的生物数据碎片,生物数据碎片是将完整的生物数据进行碎片化得到的,不同的生物数据碎片存储至不同的服务器中;将各服务器中加密的生物数据模板碎片读取至可信执行环境中,在可信执行环境中对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文;加密的生物数据模板碎片是基于上述任意一个实施例中的生物数据存储方法得到的;通过多方安全计算算法,在可信执行环境中通过生物数据模板碎片明文对生物数据碎片进行识别得到识别结果。
在一个实施例中,处理器执行计算机程序时所实现的在可信执行环境中对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文,包括:读取加密的加密密钥至可信执行环境中,并在可信执行环境中解密得到加密密钥;通过解密得到的加密密钥对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文。
在一个实施例中,处理器执行计算机程序时所实现的通过多方安全计算算法,在可信执行环境中通过生物数据模板碎片明文对生物数据碎片进行识别得到识别结果之前,还包括:将生物识别模型加载至各服务器的可信执行环境中。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:通过服务器集群中的服务器接收终端发送的生物数据模板碎片,生物数据模板碎片是将完整的生物数据模板进行碎片化得到的,不同的生物数据模板碎片存储至不同的服务器中;分别在服务器的可信执行环境中,对生物数据模板碎片进行加密;将加密后的生物数据模板碎片存储至对应的服务器的文件系统。
在一个实施例中,计算机程序被处理器执行时所实现的通过服务器集群中的服务器接收终端发送的生物数据模板碎片之前,包括:接收终端发送的认证请求,认证请求用于确认服务器集群中的各服务器存在可信执行环境;基于认证请求完成服务器的认证,并返回认证结果至终端。
在一个实施例中,计算机程序被处理器执行时所实现的分别在服务器的可信执行环境中,对生物数据模板碎片进行加密,包括:获取对应的加密密钥,通过加密密钥对生物数据模板碎片进行加密;计算机程序被处理器执行时所实现的分别在服务器的可信执行环境中,对生物数据模板碎片进行加密之后,还包括:对加密密钥进行加密,并将加密后的加密密钥存储至文件系统。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:通过服务器集群中的服务器接收终端发送的生物数据碎片,生物数据碎片是将完整的生物数据进行碎片化得到的,不同的生物数据碎片存储至不同的服务器中;将各服务器中加密的生物数据模板碎片读取至可信执行环境中,在可信执行环境中对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文;加密的生物数据模板碎片是基于上述任意一个实施例中的生物数据存储方法得到的;通过多方安全计算算法,在可信执行环境中通过生物数据模板碎片明文对生物数据碎片进行识别得到识别结果。
在一个实施例中,计算机程序被处理器执行时所实现的在可信执行环境中对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文,包括:读取加密的加密密钥至可信执行环境中,并在可信执行环境中解密得到加密密钥;通过解密得到的加密密钥对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文。
在一个实施例中,计算机程序被处理器执行时所实现的通过多方安全计算算法,在可信执行环境中通过生物数据模板碎片明文对生物数据碎片进行识别得到识别结果之前,还包括:将生物识别模型加载至各服务器的可信执行环境中。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:通过服务器集群中的服务器接收终端发送的生物数据模板碎片,生物数据模板碎片是将完整的生物数据模板进行碎片化得到的,不同的生物数据模板碎片存储至不同的服务器中;分别在服务器的可信执行环境中,对生物数据模板碎片进行加密;将加密后的生物数据模板碎片存储至对应的服务器的文件系统。
在一个实施例中,计算机程序被处理器执行时所实现的通过服务器集群中的服务器接收终端发送的生物数据模板碎片之前,包括:接收终端发送的认证请求,认证请求用于确认服务器集群中的各服务器存在可信执行环境;基于认证请求完成服务器的认证,并返回认证结果至终端。
在一个实施例中,计算机程序被处理器执行时所实现的分别在服务器的可信执行环境中,对生物数据模板碎片进行加密,包括:获取对应的加密密钥,通过加密密钥对生物数据模板碎片进行加密;计算机程序被处理器执行时所实现的分别在服务器的可信执行环境中,对生物数据模板碎片进行加密之后,还包括:对加密密钥进行加密,并将加密后的加密密钥存储至文件系统。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:通过服务器集群中的服务器接收终端发送的生物数据碎片,生物数据碎片是将完整的生物数据进行碎片化得到的,不同的生物数据碎片存储至不同的服务器中;将各服务器中加密的生物数据模板碎片读取至可信执行环境中,在可信执行环境中对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文;加密的生物数据模板碎片是基于上述任意一个实施例中的生物数据存储方法得到的;通过多方安全计算算法,在可信执行环境中通过生物数据模板碎片明文对生物数据碎片进行识别得到识别结果。
在一个实施例中,计算机程序被处理器执行时所实现的在可信执行环境中对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文,包括:读取加密的加密密钥至可信执行环境中,并在可信执行环境中解密得到加密密钥;通过解密得到的加密密钥对加密的生物数据模板碎片进行解密得到生物数据模板碎片明文。
在一个实施例中,计算机程序被处理器执行时所实现的通过多方安全计算算法,在可信执行环境中通过生物数据模板碎片明文对生物数据碎片进行识别得到识别结果之前,还包括:将生物识别模型加载至各服务器的可信执行环境中。
需要说明的是,本申请所涉及的用户生物数据,均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种生物数据存储方法,其特征在于,应用于服务器集群,所述方法包括:
通过所述服务器集群中的服务器接收终端发送的生物数据模板碎片,所述生物数据模板碎片是将完整的生物数据模板进行碎片化得到的,不同的所述生物数据模板碎片存储至不同的所述服务器中;其中,所述生物数据模板是终端采集的用户的生物数据;所述服务器包括:可信执行环境和文件系统;所述文件系统中包括存储有密封的加密密钥,所述可信执行环境中包括所述加密密钥的明文;
分别在所述服务器的可信执行环境中,基于所述加密密钥的明文对所述生物数据模板碎片进行加密;
将加密后的所述生物数据模板碎片存储至对应的服务器的文件系统。
2.根据权利要求1所述的方法,其特征在于,所述通过所述服务器集群中的服务器接收终端发送的生物数据模板碎片之前,包括:
接收终端发送的认证请求,所述认证请求用于确认所述服务器集群中的各所述服务器存在可信执行环境;
基于所述认证请求完成所述服务器的认证,并返回认证结果至所述终端。
3.根据权利要求1所述的方法,其特征在于,所述分别在所述服务器的可信执行环境中,基于所述加密密钥的明文对所述生物数据模板碎片进行加密,包括:
读取所述密封的加密密钥至所述可信执行环境中,并在所述可信执行环境中解密得到所述加密密钥的明文;
通过所述加密密钥的明文对所述生物数据模板碎片进行加密;
所述分别在所述服务器的可信执行环境中,对所述生物数据模板碎片进行加密之后,还包括:
对所述加密密钥进行加密,并将加密后的加密密钥存储至文件系统。
4.一种生物数据识别方法,其特征在于,应用于服务器集群,所述方法包括:
通过所述服务器集群中的服务器接收终端发送的生物数据碎片,所述生物数据碎片是将完整的生物数据进行碎片化得到的,不同的所述生物数据碎片存储至不同的所述服务器中;
将各所述服务器中加密的生物数据模板碎片读取至可信执行环境中,在所述可信执行环境中对所述加密的生物数据模板碎片进行解密得到生物数据模板碎片明文;所述加密的生物数据模板碎片是基于权利要求1至3任意一项所述的生物数据存储方法得到的;
通过多方安全计算算法,在所述可信执行环境中通过所述生物数据模板碎片明文对生物数据碎片进行识别得到识别结果。
5.根据权利要求4所述的方法,其特征在于,所述在所述可信执行环境中对所述加密的生物数据模板碎片进行解密得到生物数据模板碎片明文,包括:
读取加密的加密密钥至所述可信执行环境中,并在所述可信执行环境中解密得到加密密钥;
通过解密得到的加密密钥对所述加密的生物数据模板碎片进行解密得到生物数据模板碎片明文。
6.根据权利要求4所述的方法,其特征在于,所述通过多方安全计算算法,在所述可信执行环境中通过所述生物数据模板碎片明文对生物数据碎片进行识别得到识别结果之前,还包括:
将生物识别模型加载至各所述服务器的可信执行环境中。
7.一种生物数据存储装置,其特征在于,所述装置包括:
第一接收模块,用于通过服务器集群中的服务器接收终端发送的生物数据模板碎片,所述生物数据模板碎片是将完整的生物数据模板进行碎片化得到的,不同的所述生物数据模板碎片存储至不同的所述服务器中;其中,所述服务器包括:可信执行环境和文件系统;所述文件系统中包括存储有密封的加密密钥,所述可信执行环境中包括所述加密密钥的明文;
加密模块,用于分别在所述服务器的可信执行环境中,基于所述加密密钥的明文对所述生物数据模板碎片进行加密;
存储模块,用于将加密后的所述生物数据模板碎片存储至对应的服务器的文件系统。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至3或4至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至3或4至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至3或4至6中任一项所述的方法的步骤。
CN202310287385.3A 2023-03-22 2023-03-22 生物数据存储方法、识别方法、装置、设备和介质 Pending CN116502260A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310287385.3A CN116502260A (zh) 2023-03-22 2023-03-22 生物数据存储方法、识别方法、装置、设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310287385.3A CN116502260A (zh) 2023-03-22 2023-03-22 生物数据存储方法、识别方法、装置、设备和介质

Publications (1)

Publication Number Publication Date
CN116502260A true CN116502260A (zh) 2023-07-28

Family

ID=87320893

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310287385.3A Pending CN116502260A (zh) 2023-03-22 2023-03-22 生物数据存储方法、识别方法、装置、设备和介质

Country Status (1)

Country Link
CN (1) CN116502260A (zh)

Similar Documents

Publication Publication Date Title
US11558381B2 (en) Out-of-band authentication based on secure channel to trusted execution environment on client device
CN107743133B (zh) 移动终端及其基于可信安全环境的访问控制方法和系统
KR101608510B1 (ko) 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법
CN105760764B (zh) 一种嵌入式存储设备文件的加解密方法、装置及终端
KR102381153B1 (ko) 신원 정보에 기초한 암호화 키 관리
WO2015180691A1 (zh) 验证信息的密钥协商方法及装置
TWI724684B (zh) 用於執行經過身分驗證的加密操作的方法、系統及裝置
WO2021190197A1 (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
CN110445840B (zh) 一种基于区块链技术的文件存储和读取的方法
KR102234825B1 (ko) 암호 동작들의 안전한 수행
US11856101B2 (en) Remote secured terminal
CN110737905B (zh) 数据授权方法、数据授权装置及计算机存储介质
JP2020521341A (ja) 識別情報に基づく暗号鍵の管理
US20180218363A1 (en) Payment instrument management with key tokenization
WO2023040451A1 (zh) 资源转移
CN108449317B (zh) 一种基于sgx与同态加密进行安全验证的门禁系统及其实现方法
US20180218357A1 (en) Export high value material based on ring 1 evidence of ownership
CN116502260A (zh) 生物数据存储方法、识别方法、装置、设备和介质
Jain et al. Four-Factor Authentication with Emerging Cybersecurity for Mobile Transactions
CN115426195B (zh) 数据传输方法、装置、计算机设备和存储介质
Foltz et al. Secure Server Key Management Designs for the Public Cloud.
Kaushik A Novel Approach to Secure Files Using Color Code Authentication
CN114969784A (zh) 一种模型的处理方法、装置及设备
CN116264505A (zh) 密钥管理系统和方法、电子设备和计算机可读存储介质
CN115688124A (zh) 一种传输交集数据的方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination