CN117240565A

CN117240565A - 数据加密方法、数据解密方法、装置和计算机设备

Info

Publication number: CN117240565A
Application number: CN202311250881.8A
Authority: CN
Inventors: 王李彧; 张晓玉; 王晓红; 薛阳; 李丹
Original assignee: Bank of China Ltd
Current assignee: Bank of China Ltd
Priority date: 2023-09-26
Filing date: 2023-09-26
Publication date: 2023-12-15

Abstract

本申请涉及一种数据加密方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括：响应数据传输操作，获取待传输数据、操作对象的虹膜特征数据、以及操作对象的身份ID，发送编码算法约定消息至服务器，接收服务器反馈的目标编码算法标识，并根据目标编码算法对虹膜特征数据进行编码，得到加密密钥，根据加密密钥对待传输数据进行加密，得到加密数据，发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID。采用上述数据加密方法能提高数据传输过程的安全性。本申请还提供一种数据解密方法、装置、计算机设备、存储介质和计算机程序产品，采用上述数据解密方法能提高数据传输的安全性。

Description

数据加密方法、数据解密方法、装置和计算机设备

技术领域

本申请涉及计算机数据处理技术领域，特别是涉及一种数据加密方法、装置、计算机设备、存储介质和计算机程序产品，以及一种数据解密方法、装置、计算机设备、存储介质和计算机程序产品。

背景技术

随着计算机网络技术的高速发展，电子商务和网上银行等技术日趋成熟，网络安全问题也日益突出，数据传输的安全性成为了当下日益关注的话题。以手机银行的应用为例，手机银行的客户终端在将数据传输至银行后台服务器的过程中，若传输的数据被其他第三方人劫持破解，并篡改数据，再将篡改后的数据传输至后台服务器，后台服务器便会执行一个错误的数据操作。因此，保证数据传输的完整性和机密性显得尤为重要。

目前，数据传输常用的加密方式主要包括以下两种：一种是移动端生成密钥，利用密钥将待传输的数据加密后，将密钥传送到服务端进行数据解密；另一种是将服务端随机数和客户终端随机数混合加密，移动端首先请求获取客户终端随机数，并在本地生成服务器端随机数，通过混合客户终端随机数和服务器端随机数对报文加密后，将客户终端随机数和服务器端随机数一起上送到服务器端进行数据解密。

然而，上述方式仍然存在数据传输安全性不高的问题。

发明内容

基于此，有必要针对上述技术问题，提供一种能够提高数据传输安全性的数据加密方法、装置、计算机设备、存储介质和计算机程序产品，以及数据解密方法、装置、计算机设备、存储介质和计算机程序产品。

第一方面，本申请提供了一种数据加密方法，应用于客户终端。所述方法包括：

响应数据传输操作，获取待传输数据、操作对象的虹膜特征数据、以及操作对象的身份ID(Identity，身份)；

发送编码算法约定消息至服务器；

接收服务器反馈的目标编码算法标识，并根据与目标编码算法标识对应的目标编码算法对虹膜特征数据进行编码，得到加密密钥，目标编码算法不同于上一次接收的编码算法；

根据加密密钥对待传输数据进行加密，得到加密数据；

发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID。

在其中一个实施例中，首次接收的目标编码算法标识为所述服务器从预设的编码算法库中随机选择的编码算法标识，非首次接收的目标编码算法标识不同于上一次接收的目标编码算法标识。

在其中一个实施例中，获取操作对象的虹膜特征数据包括以下方式中的任意一项：

第一项，推送虹膜采集授权提示消息，在获取虹膜数据采集授权信息的情况下，采集操作对象的虹膜图像，提取虹膜图像的虹膜特征，得到虹膜特征数据；

第二项，推送人脸图像采集授权提示消息，在获取人脸图像采集授权信息的情况下，采集操作对象的人脸图像，从人脸图像中截取虹膜图像，提取虹膜图像的虹膜特征，得到虹膜特征数据。

在其中一个实施例中，提取虹膜图像的虹膜特征，得到虹膜特征数据包括：

对虹膜图像进行预处理，得到目标虹膜图像；

对目标虹膜图像进行边缘检测，定位目标虹膜图像中的虹膜区域；

提取虹膜区域中的纹理特征和结构特征，得到虹膜特征数据。

第二方面，本申请还提供了一种数据加密装置，应用于客户终端。装置包括：

数据获取模块，用于响应数据传输操作，获取待传输数据、操作对象的虹膜特征数据、以及操作对象的身份ID；

算法约定消息发送模块，用于发送编码算法约定消息至服务器；

密钥生成模块，用于接收服务器反馈的目标编码算法标识，并根据与目标编码算法标识对应的目标编码算法对虹膜特征数据进行编码，得到加密密钥；

数据加密模块，用于根据加密密钥对待传输数据进行加密，得到加密数据；

数据发送模块，用于发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID。

第三方面，本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

响应数据传输操作，获取待传输数据、操作对象的虹膜特征数据、以及操作对象的身份ID；

发送编码算法约定消息至服务器；

接收服务器反馈的目标编码算法标识，并根据与目标编码算法标识对应的目标编码算法对虹膜特征数据进行编码，得到加密密钥；

根据加密密钥对待传输数据进行加密，得到加密数据；

第四方面，本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

发送编码算法约定消息至服务器；

根据加密密钥对待传输数据进行加密，得到加密数据；

第五方面，本申请还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

发送编码算法约定消息至服务器；

接收服务器反馈的目标编码算法标识，并根据与目标编码算法标识对应的目标编码算法对虹膜特征数据进行编码，得到密钥；

根据加密密钥对待传输数据进行加密，得到加密数据；

上述数据加密方法、装置、计算机设备、存储介质和计算机程序产品，在需要传输数据至服务器时，通过采集操作对象的虹膜图像，提取虹膜特征数据，并通过与服务器约定出的编码算法对虹膜特征数据进行编码，得到私密性强的密钥，然后通过该密钥对待传输数据进行加密，得到加密数据，再发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID。整个方案，通过具有个体唯一性的虹膜特征数据作为生成密钥的基础，并根据该密钥对数据进行加密，能够有效提高数据破解的难度和数据的安全性，整个数据传输过程无需传输密钥，通过在每次数据传输过程中，使用与服务器约定的目标编码算法对虹膜特征数据进行编码得到密钥，能够降低密钥被恶意获取或泄露的风险。综上所述，采用本方法能够提高数据传输的安全性。

第六方面，本申请还提供了一种数据解密方法，应用于服务器。所述方法包括：

响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，并将目标编码算法的标识发送至客户终端；

接收客户终端发送的报文数据，报文数据携带加密数据、操作对象的虹膜特征数据、以及操作对象的身份ID；

在基于操作对象的身份ID成功验证操作对象的身份的情况下，根据目标编码算法对虹膜特征数据进行编码，得到解密密钥；

根据解密密钥对加密数据进行解密，得到明文数据；

其中，加密数据由客户终端根据加密密钥对待传输数据进行加密得到，加密密钥由客户终端根据目标编码算法标识对应的目标编码算法对操作对象的虹膜特征数据进行编码得到。

在其中一个实施例中，所述方法还包括：

若首次接收到客户终端发送的编码算法约定消息，则从预设的编码算法库中随机选择出目标编码算法，并将目标编码算法的标识发送至客户终端；

若非首次接收到客户终端发送的编码算法约定消息，则从预设的编码算法库中选择出与上一次选择的编码算法不同的目标编码算法，将目标编码算法的标识发送至客户终端。

在其中一个实施例中，对操作对象进行身份验证包括以下步骤：

从预设的数据库中查找出与操作对象的身份ID对应的目标虹膜特征数据；

对目标虹膜特征数据与虹膜特征数据进行相似度匹配，得到相似度；

若相似度超出预设的相似度阈值，则判定操作对象通过身份验证。

第七方面，本申请还提供了一种数据解密装置，应用于服务器。装置包括：

编码算法选择模块，用于响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，并将目标编码算法的标识发送至客户终端；

数据接收模块，用于接收客户终端发送的报文数据，报文数据携带加密数据、操作对象的虹膜特征数据、以及操作对象的身份ID；

密钥生成模块，用于在基于操作对象的身份ID成功验证操作对象的身份的情况下，根据目标编码算法对虹膜特征数据进行编码，得到解密密钥；

数据解密模块，用于根据解密密钥对加密数据进行解密，得到明文数据；

其中，目标编码算法不同于上一次发送至客户终端的编码算法，加密数据由客户终端根据加密密钥对待传输数据进行加密得到，加密密钥由客户终端根据目标编码算法标识对应的目标编码算法对操作对象的虹膜特征数据进行编码得到。

第八方面，本申请还提供了一种计算机设备。计算机设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现以下步骤：

响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，并发送目标编码算法标识至客户终端；

根据解密密钥对加密数据进行解密，得到明文数据；

第九方面，本申请还提供了一种计算机可读存储介质。计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

根据解密密钥对加密数据进行解密，得到明文数据；

第十方面，本申请还提供了一种计算机程序产品。计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

根据解密密钥对加密数据进行解密，得到明文数据；

上述数据解密方法、装置、计算机设备、存储介质和计算机程序产品，服务器响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，反馈目标编码算法至客户终端，接收客户终端发送的报文数据，在基于操作对象的身份ID成功验证操作对象的身份的情况下，同样地，根据目标编码算法对虹膜特征数据进行编码，得到密钥，利用对密钥对加密数据进行解密，得到明文数据。整个数据传输过程，无需传输密钥数据，通过具有个体唯一性的虹膜特征数据，能够生成具备唯一性破解难度高的密钥，在数据解密过程中，采用对称解密的方式，通过上述密钥实现加密数据的快速解密，此外，通过每次使用与终端约定出的新的目标编码算法对虹膜特征数据进行编码，能够降低密钥被恶意获取或泄露的风险。综上所述，采用本方法能够提高数据传输的安全性。

附图说明

图1为一个实施例中数据加密方法或数据解密方法的应用环境图；

图2为一个实施例中数据加密方法的流程示意图；

图3为一个实施例中获取虹膜特征数据步骤的流程示意图；

图4为一个实施例中数据解密方法的流程示意图；

图5为一个实施例中对操作对象进行身份验证步骤的详细流程示意图；

图6为一个实施例中数据加密装置的结构框图；

图7为另一个实施例中数据解密装置的结构框图；

图8为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请实施例提供的数据加密方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上，也可以放在云上或其他网络服务器上。具体地，可以是操作员通过终端102进行操作，提交数据传输操作，终端102响应数据传输操作，获取待传输数据、操作对象的虹膜特征数据、以及操作对象的身份ID，发送编码算法约定消息至服务器104，接收服务器104反馈的目标编码算法，并根据与目标编码算法标识对应的目标编码算法对虹膜特征数据进行编码，得到密钥，目标编码算法不同于上一次接收的编码算法，然后，根据加密密钥对待传输数据进行加密，得到加密数据，发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID106。

其中，终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备，物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

在其中一个实施例中，如图2所示，提供了一种数据加密方法，以该方法应用于图1中的终端例进行说明，包括以下步骤：

S100，响应数据传输操作，获取待传输数据、操作对象的虹膜特征数据、以及操作对象的身份ID。

操作对象可以是用户以及业务员等。虹膜特征数据用于识别和描述虹膜结构的信息。虹膜特征数据包括虹膜纹理信息、虹膜结构信息以及血管特征等。其中，虹膜纹理信息包括纹理细节、纹路、纹理分布等。虹膜结构特征数据包括几何结构特征数据，如虹膜的形状、大小和轮廓等。

具体实施时，以操作对象为用户为例，可以是用户在终端进行操作，提交数据传输操作，终端响应数据传输操作，获取待传输数据以及用户身份ID，在获得用户的数据采集授权后，获取用户的虹膜特征数据。

S300，发送编码算法约定消息至服务器。

编码算法约定消息用于与服务器进行协商约定确定本次数据传输中使用的编码算法。具体实施时，可以是客户端在获取用户的虹膜特征数据后，对虹膜特征数据进行编码之前，发送编码算法约定消息至服务器。

S500，接收服务器反馈的目标编码算法标识，并根据与目标编码算法标识对应的目标编码算法对虹膜特征数据进行编码，得到加密密钥。

目标编码算法标识可以是算法编号、或算法名称等数据。终端与服务器的数据库中均构建有相同的编码算法库，该编码算法库中包含有多组不同的编码算法。

承接上一实施例，服务器在接收到客户端的编码算法约定消息后，可从预设的编码算法库中选取出与上一次挑选出的编码算法不同的目标编码算法，并将选取出的目标编码算法的标识发送给客户终端。若服务器首次接收到客户终端的编码算法约定消息，则可以是从预设的编码算法库中随机选取出目标编码算法。

客户终端接收服务器反馈的目标编码算法标识，然后，从自身的编码算法库中查找出与目标编码算法标识对应的目标编码算法，根据该目标编码算法对虹膜特征数据进行编码，得到加密密钥。本实施例中，可以是从虹膜特征数据中提取出128bit数据作为密钥。具体地，可以是提取出虹膜特征数据中128bit数据，然后通过目标编码算法将提取出的128bit数据转换为二进制码，得到虹膜特征编码数据，再对虹膜特征编码数据进行进一步处理，如转换或组合等方式，得到长度适当、随机性强且足够复杂的加密密钥。其中，目标编码算法包括但不限于哈希函数、加密散列函数以及其他可用于将虹膜特征数据转换为数字表示形式的算法。

S700，根据加密密钥对待传输数据进行加密，得到加密数据。

客户终端通过上述方式得到加密密钥后，可基于该加密密钥，调用预设的加密算法对待传输数据进行加密，得到加密数据。加密算法包括但不限于对称加密算法、非对称加密算法或者哈希函数等算法。具体地，可根据具体应用场景和安全需求选择合适的加密算法。

S900，发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID。

操作对象的身份ID包括ID(Identity，身份)数据、账户名、数字识别码等数据。报文数据是网络中交换与传输的数据单元，即站点一次性要发送的数据块，包含了将要发送的完整的数据信息。

本实施例中，以操作对象的身份ID为用户ID为例进行说明。承接上一实施例，当根据加密密钥对待传输数据进行加密，得到加密数据后，可以将加密数据、虹膜特征数据以及操用户ID进行打包，并将打包后的数据添加于报文数据中发送给服务器，服务器接收到报文数据后，可采用目标编码算法对用户的虹膜特征数据进行编码，得到解密密钥，再通过解密密钥对报文数据进行解密，得到明文数据。

上述数据加密方法中，在需要传输数据至服务器时，通过采集操作对象的虹膜图像，提取虹膜特征数据，并通过与服务器约定出的编码算法对虹膜特征数据进行编码，得到私密性强的密钥，然后通过该密钥对待传输数据进行加密，得到加密数据，再发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID。整个方案，通过具有个体唯一性的虹膜特征数据作为生成密钥的基础，并根据该密钥对数据进行加密，能够有效提高数据破解的难度和数据的安全性，整个数据传输过程无需传输密钥，通过在每次数据传输过程中，使用与服务器约定的目标编码算法对虹膜特征数据进行编码得到密钥，能够降低密钥被恶意获取或泄露的风险，提高数据传输的安全性。

第一项，推送虹膜采集授权提示消息，在获取虹膜数据采集授权信息的情况下，采集操作对象的虹膜图像，提取虹膜图像的虹膜特征，得到虹膜特征数据。

第一项，推送人脸图像采集授权提示消息，在获取人脸图像采集授权信息的情况下，采集操作对象的人脸图像，从人脸图像中截取虹膜图像，提取虹膜图像的虹膜特征，得到虹膜特征。

在实际应用中，为了验证确保操作对象身份的正确性，可以是在每次传输数据前，采集操作对象的虹膜数据。本实施例中，可以是客户终端推送虹膜采集授权提示消息于屏幕，并等待用户响应。若用户同意授权终端采集其虹膜信息时，终端唤醒图像采集模块如摄像头或虹膜扫描模块，显示正在采集虹膜信息的提示信息，并开始采集用户的虹膜图像，然后，通过相应的虹膜特征提取算法或模型，提取虹膜图像的虹膜特征，得到虹膜特征数据。

在另一个实施例中，也可以是客户终端推送人脸图像采集授权提示消息于屏幕，并等待用户响应。若用户同意授权终端采集其脸部图像信息时，终端唤醒图像采集模块如摄像头，显示正在采集人脸信息的提示信息，并开始采集用户的人脸图像，然后，使用虹膜检测算法，截取出人脸图像中的虹膜图像，通过相应的虹膜特征提取算法或模型，提取虹膜图像的虹膜特征，得到虹膜特征数据。可以理解是，在其他实施例中，还可以采用其他方式采集虹膜图像，得到虹膜特征数据。

上述实施例中，提供有多种虹膜特征数据获取方式，提高了虹膜特征数据获取的灵活性。

如图3所示，在其中一个实施例中，提取虹膜图像的虹膜特征，得到虹膜特征数据包括：

S120，对虹膜图像进行预处理，得到目标虹膜图像。

S140，对目标虹膜图像进行边缘检测，定位目标虹膜图像中的虹膜区域。

S160，提取虹膜区域中的纹理特征和结构特征，得到虹膜特征数据。

虹膜区域中的纹理特征包括纹孔纹理、纹线纹理等信息。结构特征即指虹膜几何结构特征，包括虹膜半径、虹膜环结构等信息。

具体实施时，当采集得到虹膜图像后，可以是对虹膜图像进行预处理，包括图像去噪、图像增强、图像对比度调整等预处理，然后通过边缘检测算法，定位出虹膜区域。具体地，可以是检测出虹膜图像中的上下眼睑区域，确上下眼睑区域中的虹膜外切圆区域，对虹膜外切圆区域的图像进行梯度计算获取虹膜外切圆边缘，以虹膜外切圆边缘为界，将虹膜外切圆边缘内的区域标记为虹膜的核心特征区域即虹膜区域。然后，从定位的虹膜区域中提取纹理特征和结构特征，得到虹膜特征数据。本实施例中，可以是使用图像处理算法(如Gabor滤波器等)提取虹膜纹理特征，如虹膜的细节纹理，如纹孔纹理、纹线纹理等。通过检测虹膜边界、虹膜主要结构等，提取出虹膜的结构特征，包括虹膜半径、虹膜环结构等信息。然后，归集虹膜纹理特征和结构特征，得到虹膜特征数据。可以理解的是，在其他实施例中，还可以是采用阈值分割算法、形态学操作算法等算法定位虹膜图像的虹膜区域。

本实施例中，通过图像预处理能够去除虹膜图像中的噪声，提高后续处理的准确性，通过能够适应不同形状的虹膜的边缘检测可以准确地定位虹膜的边缘，得到高精度的虹膜轮廓信息，通过提取虹膜区域中的纹理特征和结构特征，可以得到更准确的虹膜特征数据。

基于同样的发明构思，本申请还提供了一种数据解密算法。本申请实施例提供的数据解密方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上，也可以放在云上或其他网络服务器上。具体地，可以是操作员通过终端102进行操作，提交数据传输操作，终端102响应数据传输操作，获取待传输数据、操作对象的虹膜特征数据、以及操作对象的身份ID，发送编码算法约定消息至服务器104，服务器104响应终端102发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，并将目标编码算法的标识发送至终端102，终端102根据与目标编码算法标识对应的目标编码算法对虹膜特征数据进行编码，得到密钥，然后，根据加密密钥对待传输数据进行加密，得到加密数据，发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID106，服务器106接收终端102发送的报文数据，在基于操作对象的身份ID成功验证操作对象的身份的情况下，根据目标编码算法对虹膜特征数据进行编码，得到解密密钥，再根据该解密密钥对加密数据进行解密，得到明文数据。

在其中一个实施例中，如图4所示，提供了一种数据解密方法，以该方法应用于图1中的服务器为例进行说明，包括以下步骤：

S200，响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，并发送目标编码算法的标识至客户终端。

本实施例中，目标编码算法不同于上一次发送至客户终端的编码算法。

编码算法约定消息为客户终端用于与服务器进行协商约定确定本次数据传输中使用的编码算法。目标编码算法的标识可以是算法编号、或算法名称等数据。终端与服务器的数据库中均构建有相同的编码算法库，该编码算法库中包含有多组不同的编码算法。

具体实施时，可以是客户端在获取用户的虹膜特征数据后，对虹膜特征数据进行编码之前，发送编码算法约定消息至服务器。服务器在接收到客户端的编码算法约定消息后，可从预设的编码算法库中选取出与上一次挑选出的编码算法不同的目标编码算法，并将选取出的目标编码算法的标识发送给客户终端。其中，若服务器首次接收到客户终端的编码算法约定消息，则可以是从预设的编码算法库中随机选取出目标编码算法。

S400，接收客户终端发送的报文数据，报文数据携带加密数据、操作对象的虹膜特征数据、以及操作对象的身份ID。

客户终端接收服务器反馈的目标编码算法标识，然后，从自身的编码算法库中查找出与目标编码算法标识对应的目标编码算法，根据该目标编码算法对虹膜特征数据进行编码，得到加密密钥。具体地，可以是提取出虹膜特征数据中128bit数据，然后通过目标编码算法将提取出的128bit数据转换为二进制码，得到虹膜特征编码数据，再对虹膜特征编码数据进行进一步处理，如转换或组合等方式，得到长度适当、随机性强且足够复杂的密钥。其中，目标编码算法包括但不限于哈希函数、加密散列函数以及其他可用于将虹膜特征数据转换为数字表示形式的算法。再基于该加密密钥，调用预设的加密算法对待传输数据进行加密，得到加密数据。再将加密数据、虹膜特征数据以及操用户ID进行打包，并将打包后的数据添加于报文数据中发送给服务器。服务器接收该报文数据。

加密数据由客户终端根据上述数据加密方法实施例中的步骤生成的密钥对待传输数据进行加密得到。

S600，在基于操作对象的身份ID成功验证操作对象的身份的情况下，根据目标编码算法对虹膜特征数据进行编码，得到解密密钥。

服务器接收到报文数据后，可先对操作对象进行身份验证，在操作对象通过身份验证后，采用约定好的目标编码算法对接收到的操作对象的虹膜特征数据进行编码，得到密钥(即解密密钥)。可以理解的是，客户终端生成的加密密钥和服务器生成的解密密钥，由于是采用同样的编码算法对同样的虹膜特征数据进行编码，因此，加密密钥和解密密钥可以是相同的密钥。

S800，根据解密密钥对加密数据进行解密，得到明文数据。

承接上述实施例，在得到解密密钥后，可以根据该密钥对加密数据进行解密，得到明文数据。进一步地，服务器可识别该明文数据，进一步响应明文数据，执行相应的操作。

上述数据解密方法中，服务器响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，反馈目标编码算法至客户终端，接收客户终端发送的报文数据，在基于操作对象的身份ID成功验证操作对象的身份的情况下，同样地，根据目标编码算法对虹膜特征数据进行编码，得到密钥，利用对密钥对加密数据进行解密，得到明文数据。整个数据传输过程，无需传输密钥数据，通过具有个体唯一性的虹膜特征数据，能够生成具备唯一性破解难度高的密钥，在数据解密过程中，采用对称解密的方式，通过上述密钥实现加密数据的快速解密，此外，通过每次使用与终端约定出的新的目标编码算法对虹膜特征数据进行编码，能够降低密钥被恶意获取或泄露的风险，提高数据传输的安全性。

如图5所示，在其中一个实施例中，对操作对象进行身份验证包括以下步骤：

S520，从预设的数据库中查找出与操作对象的身份ID对应的目标虹膜特征数据。

S540，对目标虹膜特征数据与虹膜特征数据进行相似度匹配，得到相似度。

S560，若相似度超出预设的相似度阈值，则判定操作对象通过身份验证。

在实际应用中，服务器的数据库中存储有与操作对象身份标识相关联的历史虹膜特征数据。例如，可以是在操作对象第一次注册账号的过程中，通过与客户终端进行交互，得到操作对象的虹膜特征数据。也可以是得到操作对象的虹膜图像，采用上述数据加密方法实施例中的方式，提取虹膜图像的虹膜特征数据，再将虹膜特征数据与操作对象的身份ID如身份ID绑定。

以操作对象为用户为例，以标识为身份ID为例。具体实施时，可以是根据用户身份ID，从预设的数据库中查找出与用户身份ID对应的目标虹膜特征数据。然后，计算目标虹膜特征数据与客户终端发送的虹膜特征数据的相似度，若相似度超出预设的相似度阈值如98％，则判定用户通过身份验证，否则，推送身份验证不通过的消息至客户终端，以便客户终端再次核对用户身份。

本实施例中，通过对目标虹膜特征数据与虹膜特征数据进行相似度匹配，通过比较相似度和预设的相似度阈值，能够简单且准确地判定操作对象的身份。

为了对本申请提供的数据加密方法和数据解密方法做出更为清楚的说明，下面结合一个具体实施例进行说明，该实施例包括以下步骤：

步骤1，客户终端响应数据传输操作，获取待传输数据、操作对象的虹膜特征数据、以及操作对象的身份ID。

步骤2，客户终端发送编码算法约定消息至服务器。

步骤3，服务器响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，并发送目标编码算法标识至客户终端。

步骤4，客户终端接收服务器反馈的目标编码算法标识，并根据与目标编码算法标识对应的目标编码算法对虹膜特征数据进行编码，得到加密密钥。

步骤5，客户终端根据加密密钥对待传输数据进行加密，得到加密数据。

步骤6，客户终端发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID。

步骤7，服务器接收客户终端发送的报文数据。

步骤8，服务器从预设的数据库中查找出与操作对象的身份ID对应的目标虹膜特征数据，对目标虹膜特征数据与虹膜特征数据进行相似度匹配，得到相似度，若相似度超出预设的相似度阈值，则判定操作对象通过身份验证。

步骤9，服务器根据目标编码算法对虹膜特征数据进行编码，得到解密密钥。

步骤10，根据解密密钥对加密数据进行解密，得到明文数据。

具体实施时，当客户终端采集得到虹膜图像后，可以是对虹膜图像进行预处理，包括图像去噪、图像增强、图像对比度调整等预处理，然后通过边缘检测算法，定位出虹膜区域。具体地，可以是检测出虹膜图像中的上下眼睑区域，确上下眼睑区域中的虹膜外切圆区域，对虹膜外切圆区域的图像进行梯度计算获取虹膜外切圆边缘，以虹膜外切圆边缘为界，将虹膜外切圆边缘内的区域标记为虹膜的核心特征区域即虹膜区域。然后，从定位的虹膜区域中提取纹理特征和结构特征，得到虹膜特征数据。本实施例中，可以是使用图像处理算法(如Gabor滤波器等)提取虹膜纹理特征，如虹膜的细节纹理，如纹孔纹理、纹线纹理等。通过检测虹膜边界、虹膜主要结构等，提取出虹膜的结构特征，包括虹膜半径、虹膜环结构等信息。然后，归集虹膜纹理特征和结构特征，得到虹膜特征数据。可以理解的是，在其他实施例中，还可以是采用阈值分割算法、形态学操作算法等算法定位虹膜图像的虹膜区域。

应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

基于同样的发明构思，本申请实施例还提供了一种用于实现上述所涉及的数据加密方法的数据加密装置，以及一种用于实现上述所涉及的数据解密方法的数据解密装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个数据加密装置实施例中的具体限定可以参见上文中对于数据加密方法的限定，下面所提供的一个或多个数据解密装置实施例中的具体限定可以参见上文中对于数据解密方法的限定在此不再赘述。

在其中一个实施例中，如图6所示，提供了一种数据加密装置600，应用于客户终端，包括：数据获取模块610、算法约定消息发送模块620、密钥生成模块630、数据加密模块640和数据发送模块650，其中：

数据获取模块610，用于响应数据传输操作，获取待传输数据、操作对象的虹膜特征数据、以及操作对象的身份ID。

算法约定消息发送模块620，用于发送编码算法约定消息至服务器。

密钥生成模块630，用于接收服务器反馈的目标编码算法标识，并根据与目标编码算法标识对应的目标编码算法对虹膜特征数据进行编码，得到加密密钥。

数据加密模块640，用于根据加密密钥对待传输数据进行加密，得到加密数据。

数据发送模块650，用于发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID。

上述数据加密装置，在需要传输数据至服务器时，通过采集操作对象的虹膜图像，提取虹膜特征数据，并通过与服务器约定出的编码算法对虹膜特征数据进行编码，得到私密性强的密钥，然后通过该密钥对待传输数据进行加密，得到加密数据，再发送报文数据至服务器，报文数据携带加密数据、虹膜特征数据以及操作对象的身份ID。整个方案，通过具有个体唯一性的虹膜特征数据作为生成密钥的基础，并根据该密钥对数据进行加密，能够有效提高数据破解的难度和数据的安全性，整个数据传输过程无需传输密钥，通过在每次数据传输过程中，使用与服务器约定的目标编码算法对虹膜特征数据进行编码得到密钥，能够降低密钥被恶意获取或泄露的风险。综上所述，采用本装置能够提高数据传输的安全性。

在其中一个实施例中，数据获取模块610还用于推送虹膜采集授权提示消息，在获取虹膜数据采集授权信息的情况下，采集操作对象的虹膜图像，提取虹膜图像的虹膜特征，得到虹膜特征数据；或者，推送人脸图像采集授权提示消息，在获取人脸图像采集授权信息的情况下，采集操作对象的人脸图像，从人脸图像中截取虹膜图像，提取虹膜图像的虹膜特征，得到虹膜特征。

在其中一个实施例中，数据获取模块610还用于对虹膜图像进行预处理，得到目标虹膜图像，对目标虹膜图像进行边缘检测，定位目标虹膜图像中的虹膜区域，提取虹膜区域中的纹理特征和结构特征，得到虹膜特征数据。

在其中一个实施例中，如图7所示，提供了一种数据解密装置700，应用于服务器，包括：编码算法选择模块710、数据接收模块720、密钥生成模块730和数据解密模块740，其中：

编码算法选择模块710，用于响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，并将目标编码算法的标识发送至客户终端。

数据接收模块720，用于接收客户终端发送的报文数据，报文数据携带加密数据、操作对象的虹膜特征数据、以及操作对象的身份ID。

密钥生成模块730，用于在基于操作对象的身份ID成功验证操作对象的身份的情况下，根据目标编码算法对虹膜特征数据进行编码，得到解密密钥。

数据解密模块740，用于根据解密密钥对加密数据进行解密，得到明文数据；

上述数据解密装置，响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，反馈目标编码算法至客户终端，接收客户终端发送的报文数据，在基于操作对象的身份ID成功验证操作对象的身份的情况下，同样地，根据目标编码算法对虹膜特征数据进行编码，得到密钥，利用对密钥对加密数据进行解密，得到明文数据。整个数据传输过程，无需传输密钥数据，通过具有个体唯一性的虹膜特征数据，能够生成具备唯一性破解难度高的密钥，在数据解密过程中，采用对称解密的方式，通过上述密钥实现加密数据的快速解密，此外，通过每次使用与终端约定出的新的目标编码算法对虹膜特征数据进行编码，能够降低密钥被恶意获取或泄露的风险。综上所述，采用本装置能够提高数据传输的安全性。

在其中一个实施例中，编码算法选择模块710还用于若首次接收到客户终端发送的编码算法约定消息，则从预设的编码算法库中随机选择出目标编码算法，并将目标编码算法的标识发送至客户终端；若非首次接收到客户终端发送的编码算法约定消息，则从预设的编码算法库中选择出与上一次选择的编码算法不同的目标编码算法，将目标编码算法的标识发送至客户终端。

在其中一个实施例中，数据解密装置还包括身份验证模块732，用于从预设的数据库中查找出与操作对象的身份ID对应的目标虹膜特征数据，对目标虹膜特征数据与虹膜特征数据进行相似度匹配，得到相似度，若相似度超出预设的相似度阈值，则判定操作对象通过身份验证。

上述数据加密装置或数据解密装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在其中一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图8所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output，简称I/O)和通信接口。其中，处理器、存储器和输入/输出接口通过系统总线连接，通信接口通过输入/输出接口连接到系统总线。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储历史故障数据、运行状态数据以及故障预测结果数据等数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据加密方法或数据解密方法。

本领域技术人员可以理解，图8中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在其中一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各数据加密方法实施例或数据解密方法实施例中的步骤。

在其中一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述各数据加密方法实施例或数据解密方法实施例中的步骤。

在其中一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各数据加密方法实施例或数据解密方法实施例中的步骤。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory，MRAM)、铁电存储器(Ferroelectric Random Access Memory，FRAM)、相变存储器(Phase Change Memory，PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器等。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory，DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。

Claims

1.一种数据加密方法，其特征在于，应用于客户终端，所述方法包括：

发送编码算法约定消息至服务器；

接收服务器反馈的目标编码算法标识，并根据所述目标编码算法标识对应的目标编码算法对所述虹膜特征数据进行编码，得到加密密钥；

根据所述加密密钥对所述待传输数据进行加密，得到加密数据；

发送报文数据至所述服务器，所述报文数据携带所述加密数据、所述虹膜特征数据以及所述身份ID。

2.根据权利要求1所述的数据加密方法，其特征在于，首次接收的目标编码算法标识为所述服务器从预设的编码算法库中随机选择的编码算法标识，非首次接收的目标编码算法标识不同于上一次接收的目标编码算法标识。

3.根据权利要求1所述的数据加密方法，其特征在于，获取操作对象的虹膜特征数据包括以下方式中的任意一项：

第一项，推送虹膜采集授权提示消息，在获取虹膜数据采集授权信息的情况下，采集所述操作对象的虹膜图像，提取所述虹膜图像的虹膜特征，得到虹膜特征数据；

第二项，推送人脸图像采集授权提示消息，在获取人脸图像采集授权信息的情况下，采集所述操作对象的人脸图像，从所述人脸图像中截取虹膜图像，提取所述虹膜图像的虹膜特征，得到虹膜特征数据。

4.根据权利要求3所述的数据加密方法，其特征在于，所述提取所述虹膜图像的虹膜特征，得到虹膜特征数据包括：

对所述虹膜图像进行预处理，得到目标虹膜图像；

对所述目标虹膜图像进行边缘检测，定位所述目标虹膜图像中的虹膜区域；

提取所述虹膜区域中的纹理特征和结构特征，得到虹膜特征数据。

5.一种数据解密方法，其特征在于，应用于服务器，所述方法包括：

响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，并将所述目标编码算法的标识发送至所述客户终端；

接收所述客户终端发送的报文数据，所述报文数据携带加密数据、操作对象的虹膜特征数据、以及操作对象的身份ID；

在基于所述操作对象的身份ID成功验证所述操作对象的身份的情况下，根据所述目标编码算法对所述虹膜特征数据进行编码，得到解密密钥；

根据所述解密密钥对所述加密数据进行解密，得到明文数据；

其中，所述加密数据由所述客户终端根据加密密钥对待传输数据进行加密得到，所述加密密钥由所述客户终端根据所述目标编码算法标识对应的目标编码算法对所述操作对象的虹膜特征数据进行编码得到。

6.根据权利要求5所述的数据解密方法，其特征在于，所述方法还包括：

若首次接收到所述客户终端发送的编码算法约定消息，则从预设的编码算法库中随机选择出目标编码算法，并将所述目标编码算法的标识发送至所述客户终端；

若非首次接收到所述客户终端发送的编码算法约定消息，则从预设的编码算法库中选择出与上一次选择的编码算法不同的目标编码算法，将所述目标编码算法的标识发送至所述客户终端。

7.根据权利要求5或6所述的数据解密方法，其特征在于，对所述操作对象进行身份验证包括以下步骤：

从预设的数据库中查找出与所述操作对象的身份ID对应的目标虹膜特征数据；

对所述目标虹膜特征数据与虹膜特征数据进行相似度匹配，得到相似度；

若所述相似度超出预设的相似度阈值，则判定所述操作对象通过身份验证。

8.一种数据加密装置，其特征在于，应用于客户终端，所述装置包括：

密钥生成模块，用于接收服务器反馈的目标编码算法标识，并根据所述目标编码算法对所述虹膜特征数据进行编码，得到加密密钥；

数据加密模块，用于根据所述加密密钥对所述待传输数据进行加密，得到加密数据；

数据发送模块，用于发送报文数据至所述服务器，所述报文数据携带所述加密数据、所述虹膜特征数据以及所述身份ID。

9.一种数据解密装置，其特征在于，应用于服务器，所述装置包括：

编码算法选择模块，用于响应客户终端发送的编码算法约定消息，从预设的编码算法库中选择出目标编码算法，并将所述目标编码算法的标识发送至所述客户终端；

数据接收模块，用于接收所述客户终端发送的报文数据，所述报文数据携带加密数据、操作对象的虹膜特征数据、以及操作对象的身份ID；

密钥生成模块，用于在基于所述操作对象的身份ID成功验证所述操作对象的身份的情况下，根据所述目标编码算法对虹膜特征数据进行编码，得到解密密钥；

数据解密模块，用于根据所述解密密钥对所述加密数据进行解密，得到明文数据；

其中，所述加密数据由所述客户终端根据加密密钥对待传输数据进行加密得到，所述加密密钥为根据所述目标编码算法对所述操作对象的虹膜特征数据进行编码得到。

10.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至4、或5至7中任一项所述的方法的步骤。