WO2017004926A1

WO2017004926A1 - 一种虹膜识别方法及装置

Info

Publication number: WO2017004926A1
Application number: PCT/CN2015/095665
Authority: WO
Inventors: 钟焰涛; 傅文治; 蒋罗
Original assignee: 宇龙计算机通信科技(深圳)有限公司
Priority date: 2015-07-08
Filing date: 2015-11-26
Publication date: 2017-01-12
Also published as: CN105550626A; CN105550626B

Abstract

一种虹膜识别方法和装置，所述方法包括：获取用户的虹膜特征信息（S201）；读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的（S202）；根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥（S203）；判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配（S204）；若是，则确认虹膜识别成功（S205）。采用上述方法和装置，可以在对终端进行加密保护的同时，有效防止虹膜特征信息的泄漏。

Description

一种虹膜识别方法及装置

本申请要求于2015年07月08日提交中国专利局、申请号为201510399063.3、发明名称为“一种虹膜识别方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及一种电子技术领域，尤其涉及一种虹膜识别方法及装置。

背景技术

随着电子终端使用场景与功能越来越广泛，越来越多的个人隐私信息都开始保存在电子终端中，因此对电子终端的安全性和私密性也有了越来越高的要求，虹膜识别就是目前很受追捧的一种身份识别方式。但是由于虹膜的唯一性和不变性，一旦用户的虹膜模板泄露带来的安全风险是不可逆的，即用户无法使用类似于“更换密码”的方法来更换虹膜。而同时，电子终端由于体积小、轻便，容易被盗，因此在电子终端上应用虹膜识别方案时，如何保证所存储虹膜模板的安全性是非常关键的问题。目前主要的方案是直接存储虹膜模板在终端内，或者是通过用户设置一个密码对虹膜模板进行加密保存，但是由于密码加密的可逆性(即存在解密方法可以恢复原始数据)，还是存在攻击者拿到加密虹膜模板后成功解密，从而泄露虹膜模板的可能性。

发明内容

本发明实施例所要解决的技术问题在于，提供一种虹膜识别方法及装置，可以有效解决终端泄露虹膜特征信息造成的安全隐患。

为了解决上述技术问题，本发明实施例提供了一种虹膜识别方法，所述方法包括：

获取用户的虹膜特征信息；

读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的；

根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥；

判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配；

若是，则确认虹膜识别成功。

相应地，本发明实施例还提供了一种虹膜识别装置，所述装置包括：

虹膜获取模块，用于获取用户的虹膜特征信息；

vault值读取模块，用于读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的；

解密密钥模块，用于根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥；

密钥匹配模块，用于判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配；

识别确认模块，用于若所述计算得到的解密密钥与所述预设的加密密钥匹配时，确认虹膜识别成功。

本发明实施例通过获取用户的虹膜特征信息；读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的；根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥；判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配；若是，则确认虹膜识别成功，实现对终端进行加密保护的同时，有效防止虹膜特征信息的泄漏。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中虹膜识别设置方法的流程示意图；

图2是本发明实施例中一种虹膜识别方法的流程示意图；

图3是本发明另一实施例中虹膜识别方法的流程示意图；

图4是本发明实施例中一种虹膜识别装置的组成结构示意图；

图5是本发明实施例中图4的解密密钥模块组成结构图；

图6是本发明实施例中图4的密钥匹配模块组成结构图；

图7是本发明实施例中图4的vault值模块组成结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是本发明实施例中虹膜识别设置方法的流程示意图，本方法流程可以由虹膜识别装置实施，所述虹膜识别装置可以为用户虹膜识别装置或运行在用户虹膜识别装置的软件程序，所述用户虹膜识别装置可以包括手机、笔记本电脑、平板电脑、车载电脑、POS(Point Of Sales，销售点)机等。如图所述本实施例的方法可以包括：

步骤S101，获取授权用户的验证虹膜特征信息。

具体的，所述虹膜识别装置可以先通过虹膜识别装置摄像头或者其他摄像设备获取所述授权用户的眼部图像，再从所述眼部图像中采集所述验证虹膜特征信息，也可以直接采集所述授权用户的验证虹膜特征信息。所述的验证虹膜特征信息中包括多个验证虹膜特征点信息，所述验证虹膜特征点信息又包含了能反映所述授权用户虹膜特征的特征点的坐标、角度、位置等信息。需要说明的是，获取和采集的所述验证虹膜特征的特征点是由所述装置预设的，例如所述装置预设要采集虹膜与瞳孔边界的特征点、虹膜与虹膜边界的特征点、虹膜与眼球中心距离相同的特征点等等。举例来说，所述虹膜识别系统总共获取了20个所述验证虹膜特征点信息，若设一个所述验证虹膜特征点信息用三元组(x₁，y₁，θ₁)表示，其中(x，y)表示验证虹膜特征点所在平面坐标的位置，θ表示所述验证虹膜特征点的方向，则所述验证虹膜特征信息即为(x₁，y₁，θ₁)～(x₂₀，y₂₀，θ₂₀)的所述验证虹膜特征点信息的集合。具体实施中，虹膜识别装置可以提示所述授权用户将眼部对准摄像头进行眼部图像采集，获取到清晰的眼部图像之后，虹膜识别装置需要对所述眼部图像进行预处理。首先，需要检测眼部图像中虹膜与瞳孔的边界、虹膜与巩膜的边界、虹膜与上眼皮的边界以及虹膜与下眼皮的边界这几项特征的位置，以确定所述眼部图像中虹膜的位置；之后，虹膜识别装置就可以参照所述虹膜的位置，提取所述授权用户的验证虹膜特征信息；最后将所述验证虹膜特征信息进行归一化处理，即将所述验证虹膜特征信息调整到虹膜识别系统预设的固定尺寸，以保证对所述虹膜特征信息的精确识别；归一化之后的所述验证虹膜特征信息可以进行增强处理，例如调节亮度、对比度和平滑度等等指标，以提高对所述验证虹膜特征信息的识别率。

步骤S102，获取所述预设的加密密钥。

具体的，所述预设的加密密钥可以是所述虹膜识别装置出厂时已经设置好的，也可以是所述授权用户自己设置或者更改的，还可以是通过提取所述虹膜特征信息中的近似均匀分布的随机数据得到的。因此，虹膜识别装置只需要直接获取所述加密密钥用于步骤S103即可。例如，若所述加密密钥为000010010000001100000001，假设所述装置在运算域GF(2⁸)上实现，则所述加密密钥即为(00001001)，(00000011)，(00000001)，转化成十进制即为9，3，1。

步骤S103，根据所述授权用户的验证虹膜特征信息以及所述加密密钥，生成所述vault值并存储。

具体的，fuzzy vault算法可以将生物特征和密码学系统结合在一起，完成使用生物特征模板锁定密钥的功能，锁定后可以得到一个vault值。这里所述虹膜识别装置就是利用fuzzy vault算法根据所述授权用户的虹膜特征信息与所述预设的加密密钥生成所述vault值的。具体实施中，可以将所述加密密钥作为系数构造一个加密多项式函数，然后再根据所述验证虹膜特征信息以及所述加密多项式函数，生成所述vault值。

步骤S104，删除所述授权用户的验证虹膜特征信息。

具体的，在解密所述终端时，不需要再用到所述授权用户的验证虹膜特征信息，因此在执行完上述步骤S101～步骤S103之后，即可把所述授权用户的验证虹膜特征信息彻底删除。这样做就可以保证即使其他人盗取或者入侵所述终端时，也无法获得所述授权用户的验证虹膜特征信息，这样就有效的防止了因虹膜模板被泄露以及盗用而产生的安全问题。

本发明实施例通过获取授权用户的验证虹膜特征信息，获取所述预设的加密密钥，根据所述授权用户的验证虹膜特征信息以及所述加密密钥，生成所述vault值并存储，删除所述授权用户的验证虹膜特征信息以及所述加密密钥，实现了对装置进行加密保护的设置，有效防止虹膜特征信息的泄漏。

图2是本发明实施例中一种虹膜识别方法的流程示意图。如图所述本实施例的方法可以包括：

步骤S201，获取用户的虹膜特征信息。

具体的，所述虹膜识别装置可以先通过虹膜识别装置摄像头或者其他摄像设备获取所述用户的眼部图像，再从所述眼部图像中采集所述虹膜特征信息，也可以直接采集所述用户的虹膜特征信息。所述的虹膜特征信息中包括多个虹膜特征点信息，所述虹膜特征点信息又包含了能反映所述用户虹膜特征的特征点的坐标、角度、位置等信息。需要说明的是，获取和采集的所述虹膜特征的特征点是由所述装置预设的，例如所述装置预设要采集虹膜与瞳孔边界的特征点、虹膜与虹膜边界的特征点、虹膜与眼球中心距离相同的特征点等等。举例来说，所述虹膜识别系统总共获取了20个所述虹膜特征点信息，若设一个所述虹膜特征点信息用三元组(x₁₁，y₁₁，θ₁₁)表示，其中(x，y)表示虹膜特征点所在平面坐标的位置，θ表示所述虹膜特征点的方向，则所述虹膜特征信息即为(x₁₁，y₁₁，θ₁₁)～(x₂₀₂₀，y₂₀₂₀，θ₂₀₂₀)的所述虹膜特征点信息的集合。具体实施方法可以参见步骤S101。

步骤S202，读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的。

具体的，fuzzy vault算法可以将生物特征和密码学系统结合在一起，完成使用生物特征模板锁定密钥的功能，锁定后可以得到一个vault值。这里读取的所述vault值，就是步骤S103利用fuzzy vault算法根据所述授权用户的虹膜特征信息与所述预设的加密密钥生成的所述vault值的。读取所述vault值后，终端就可以通过执行步骤S203计算出所述解密密钥。

步骤S203，根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥。

具体的，由于所述虹膜识别装置是利用fuzzy vault算法根据所述授权用户的虹膜特征信息与所述预设的加密密钥生成所述vault值的，因此这里可以采用fuzzy vault算法的解密算法确定所述解密密钥。具体实施中，可以根据所述用户的虹膜特征信息以及所述vault值，构造解密多项式函数，然后再根据所述解密多项式函数，确定所述解密密钥。

步骤S204，判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配。

具体的，判断所述解密密钥与所述加密密钥是否匹配，就可以确定所述步骤S203中确定的所述解密密钥是否正确，也即所述用户的虹膜特征信息是否即为所述授权用户的虹膜特征信息。

步骤S205，若是，则确认虹膜识别成功。

具体的，若所述解密密钥与所述加密密钥匹配，则表示所述用户即为所述授权用户，则确认虹膜识别成功，进一步的可以为所述用户开启相应的授权功能或界面。需要说明的是，所述解密密钥与所述加密密钥不一定是完全一致的，可以允许它们之间有一定数值范围的误差。

本发明实施例通过获取用户的虹膜特征信息，读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的，根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥，判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配，若是，则确认虹膜识别成功，实现了对终端进行加密保护的同时，有效防止虹膜特征信息的泄漏。

图3是本发明另一实施例中虹膜识别方法的流程示意图。如图所述本实施例的方法可以包括：

步骤S301，获取授权用户的验证虹膜特征信息。

具体方法参考步骤S101。

步骤S302，获取所述预设的加密密钥。

具体方法参考步骤S102。

步骤S303，根据所述加密密钥构造加密多项式函数。

具体的，所述装置可以根据在步骤S302中获取到的所述加密密钥，采用所述装置预设的加密多项式函数构造规则，构造出所述加密多项式函数。所述加密多项式函数构造规则就是将所述加密密钥转化成所述加密多项式的一种数学方法。例如，假设所述加密多项式函数构造规则为将所述加密密钥作为所述加密多项式函数的系数，以x为变量构造幂次多项式函数，那么当所述加密密钥为000000100000000100000001时，假设所述装置在运算域GF(2⁸)上实现，则所述加密密钥即为(00000010)，(00000001)，(00000001)，转化成十进制即为2，1，1就可以作为所述加密多项式的系数，则可以构造一个所述加密多项式函数：2X²+X+1。进一步可选的，所述装置还可以使用预设的加密纠错码技术对所述加密密钥进行处理，并在所述加密密钥的后面接上所述纠错码技术产生的检验码，形成带检验码的加密密钥，然后使用所述带检验码的加密密钥构造所述加密多项式函数。

步骤S304，根据所述验证虹膜特征信息以及所述加密多项式函数，生成所述vault值并存储。

具体的，根据步骤S301中所述验证虹膜特征信息中的所述验证虹膜特征点信息，可以计算所述验证虹膜特征点信息经过(x，y)坐标级联之后的验证特征数值，然后计算所述验证特征数值在所述加密多项式函数上的映射点并与对应的特征数值组成映射点点对，然后再随机添加一系列杂凑点点对插入所述映射点点对中，最终得到所述vault值并存储在终端内。需要说明的是，所述杂凑点点对要求都不在所述加密多项式函数上并且要与所述验证虹膜特征信息的特征点有一定距离间隔。具体实施中，设一个所述验证虹膜特征点信息用三元组(x₁，y₁，θ₁)表示，所述加密多项式函数为P，则可以先级联横纵坐标得到特征数值(x₁|y₁)，然后计算(x₁|y₁)在所述加密多项式函数P上的映射点P(x₁|y₁)，则所述映射点点对即为{(x₁|y₁)，P(x₁|y₁)}；之后，再随机添加一系列杂凑点点对插入所述映射点点对中，最终就可以得到所述vault值。举例来说，所述虹膜识别系统总共获取了4个所述验证虹膜特征点信息(x₁，y₁，θ₁)～(x₄，y₄，θ₄)，并计算出所述特征数值(X|Y)的集合为{-1，-2，2，4}，所述加密多项式P为2X²+X+1，那么所述映射点点对的集合 {(X|Y)，P(X|Y)}即为{(-1，2)，(-2，7)，(2，11)，(4，37)}，再插入三个所述杂凑点点对{(0，2)，(2，0)，(1，1)}，则最终得到的vault值即为{(-1，2)，(-2，7)，(2，11)，(4，37)，(0，2)，(2，0)，(1，1)}。

步骤S305，获取预先构造的所述加密哈希函数。

具体的，所述加密哈希函数是可以是所述装置出厂时已经设置好的，也可以是所述装置自动设置或者更新的，还可以是所述装置程序随机产生后选取的。所述加密哈希函数是哈希函数中的一种，所述哈希函数的功能是对口令或密码进行一次性的加密处理而形成杂凑字符串，并且这个加密的过程是不可逆的，也就是说，即便所述终端被入侵或是偷盗，也只能获得杂凑字符串，并且通过所述杂凑字符串是无法还原出原来的口令或密码的。

步骤S306，获取所述终端的设备标识信息。

具体的，所述设备标识信息是代表每个所述虹膜识别装置的唯一识别号码，一般是印在所述装置的外部或者存储在终端内。例如，若所述装置是移动终端(手机、ipad)，则可以获取它的IMEI(International Mobile Equipment Identity，移动设备国际识别码)；若所述装置是个人电脑，则可以获取它的MAC(Media Access Control，媒体访问控制)地址。因为所述IMEI或者所述MAC地址都是与移动终端或者个人电脑存在唯一的一一对应关系的。

步骤S307，将所述设备标识信息和所述加密密钥代入所述加密哈希函数，计算并存储所述加密哈希值。

具体的，根据步骤S305中获取到的预先构造的所述加密哈希函数，将所述设备标识信息和所述加密密钥代入，就可以计算得到所述加密哈希值。在这里，所述加密哈希函数就是为了避免所述加密密钥丢失造成安全隐患，因而再对其进行哈希函数加密，这样即使他人获取了所述加密哈希值也无法恢复出所述加密密钥。以最简单常见的哈希函数为例，若所述加密哈希函数采用直接取余法，即所述装置的设备标识信息与所述加密密钥进行除法后所得的余数就是所述加密哈希值，那么设所述装置的设备标识信息为35，所述加密密钥为24，那么hash(35，24)＝11，所述加密哈希值即为11。当有人获取到所述加密哈希值11后，也是无法通过所述加密哈希值11知道所述加密密钥是24的。

步骤S308，删除所述授权用户的验证虹膜特征信息以及所述加密密钥。

具体的，因为在解密所述装置时，可以不需要再用到所述授权用户的验证虹膜特征信息以及所述加密密钥，只需要通过对比所述加密哈希值和所述解密哈希值是否匹配即可，因此在执行完上述步骤S301～步骤307之后，就可以把所述授权用户的验证虹膜特征信息以及所述加密密钥彻底删除。这样做就可以保证即使其他人盗取或者入侵所述终端时，也是无法获得所述授权用户的验证虹膜特征信息的，这样就有效的防止了因虹膜模板被泄露以及盗用而产生的安全问题。

步骤S309，获取用户的虹膜特征信息。

具体方法可以参考步骤S201。

步骤S310，读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的。

具体方法可以参考步骤S202。

步骤S311，根据所述用户的虹膜特征信息以及所述vault值，构造解密多项式函数。

具体的，根据步骤S309中所述虹膜特征信息中的所述虹膜特征点信息，可以计算所述虹膜特征点信息经过(x，y)坐标级联之后的特征数值，然后根据所述特征数值，在获取到的所述vault值中搜索与所述特征数值匹配的点作为候选点，如果所述用户为授权用户，这一步将会过滤掉大量的杂凑点点对；然后，在搜索到的所述候选点中使用Lagrange插值方法构造所述解密多项式函数。具体实施中，设一个所述虹膜特征点信息用三元组(x₁₁，y₁₁，θ₁₁)表示，则可以先级联横纵坐标得到特征数值(x₁₁|y₁₁)；然后，搜索所述vault值中和所述特征数值(x₁₁|y₁₁)匹配的候选点点对{(x₁₁|y₁₁)，B(x₁₁|y₁₁)}，最后使用Lagrange插值方法构造相应的所述解密多项式函数。例如，所述虹膜识别系统总共获取了4个所述虹膜特征点信息(x₁₁，y₁₁，θ₁₁)～(x₄₄，y₄₄，θ₄₄)，并计算出所述用户的特征数值集合为{-1，-2，2，4}，在步骤S310中读取的所述vault值为{(-1，2)，(-2，7)，(2，11)，(4，37)，(0，2)，(2，0)，(1，1)}，则可以得出所述候选点点对为{(-1， 4)，(-2，11)，(2，7)，(4，29)}，通过Lagrange插值方法构造出的所述解密多项式函数即为2X²+X+1。

步骤S312，根据所述解密多项式函数，确定所述解密密钥。

具体的，在步骤S311中构造的所述解密多项式函数可以通过所述装置预设的解密密钥恢复规则，确定出所述解密密钥。所述解密密钥恢复规则就是将所述解密多项式函数转化成所述解密密钥的一种数学方法。例如，假设所述解密密钥恢复规则为将所述解密多项式函数的系数作为所述解密密钥，那么当所述解密多项式函数为2X²+X+1时，所述系数即为2，1，1，假设所述装置在运算域GF(2⁸)上实现，那么所述解密密钥即为000000100000000100000001。进一步可选的，若在加密设置阶段所述装置使用预设的纠错码技术对所述加密密钥进行处理，那么在这一步骤中，装置可以先通过所述解密多项式函数确定带检验码的解密密钥，再通过使用所述纠错码技术来确定所述检验码，最后确定所述解密密钥。

步骤S313，获取终端的设备标识信息。

具体方法可以参考步骤S306。

步骤S314，将所述设备标识信息和所述解密密钥代入预先构造的加密哈希函数，计算解密哈希值。

具体的，可以根据预先构造的所述加密哈希函数，将所述设备标识信息和所述解密密钥代入，计算得到所述解密哈希值。以最简单常见的哈希函数为例，若所述加密哈希函数采用直接取余法，即所述装置的设备标识信息与所述解密密钥进行除法后所得的余数就是所述解密哈希值，那么设所述装置的设备标识信息为35，所述解密密钥为24，那么hash(35，24)＝11，所述解密哈希值即为11。

步骤S315，判断所述解密哈希值与加密哈希值是否匹配，所述加密哈希值是所述设备标识信息和所述加密密钥代入所述加密哈希函数计算得到的。

具体的，所述装置根据步骤S307得到的所述加密哈希值以及步骤S314得到的所述解密哈希值，判断所述解密哈希值与加密哈希值是否匹配，就可以确定所述步骤S312中确定的所述解密密钥是否正确，也即所述用户的虹膜特征信息是否即为所述授权用户的虹膜特征信息。

步骤S316，若是，则确认虹膜识别成功。

具体的，若所述解密哈希值与所述加密哈希值匹配，则表示所述用户即为所述授权用户，则确认虹膜识别成功，进一步的可以为所述用户开启相应的授权功能或界面。需要说明的是，所述解密哈希值与所述加密哈希值不一定是完全一致的，可以允许它们之间有一定数值范围的误差。

本发明实施例通过获取用户的虹膜特征信息；读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的；根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥；判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配；若是，则确认虹膜识别成功，实现了对终端进行加密保护的同时，有效防止虹膜特征信息的泄漏。

图4是本发明实施例中一种虹膜识别装置的组成结构示意图，所述虹膜识别装置可以为用户终端或运行在用户终端的软件程序，所述用户终端可以包括手机、笔记本电脑、平板电脑、车载电脑、POS(Point Of Sales，销售点)机等。如图所示所述装置可以包括：

虹膜获取模块410，用于获取用户的虹膜特征信息。

具体的，虹膜获取模块410可以先通过终端摄像头或者其他摄像设备获取所述用户的眼部图像，再从所述眼部图像中采集所述虹膜特征信息，也可以直接采集所述用户的虹膜特征信息。所述的虹膜特征信息中包括多个虹膜特征点信息，所述虹膜特征点信息又包含了能反映所述用户虹膜特征的特征点的坐标、角度、位置等信息。需要说明的是，获取和采集的所述虹膜特征的特征点是由所述虹膜获取模块410预设的，例如所述虹膜获取模块410预设要采集虹膜与瞳孔边界的特征点、虹膜与虹膜边界的特征点、虹膜与眼球中心距离相同的特征点等等。举例来说，所述虹膜获取模块410总共获取了20个所述虹膜特征点信息，若设一个所述虹膜特征点信息用三元组(x₁₁，y₁₁，θ₁₁)表示，其中(x，y)表示虹膜特征点所在平面坐标的位置，θ表示所述虹膜特征点的方向，则所述虹膜特征信息即为(x₁₁，y₁₁，θ₁₁)～(x₂₀₂₀，y₂₀₂₀，θ₂₀₂₀) 的所述虹膜特征点信息的集合。具体实施中，虹膜获取模块410可以提示所述用户将眼部对准摄像头进行眼部图像采集，若采集到的所述眼部图像完整且细节信息清晰，则对虹膜特征信息进行采集；若采集到的所述眼部图像不完整或细节信息不够清晰，则虹膜获取模块410需要再次获取所述用户的眼部图像，直到所述用户的眼部图像完整且细节信息清晰。获取到清晰的眼部图像之后，虹膜获取模块410需要对所述眼部图像进行预处理。首先，需要检测眼部图像中虹膜与瞳孔的边界、虹膜与巩膜的边界、虹膜与上眼皮的边界以及虹膜与下眼皮的边界这几项特征的位置，以确定所述眼部图像中虹膜的位置；之后，虹膜获取模块410就可以参照所述虹膜的位置，提取所述用户的虹膜特征信息；最后将所述虹膜特征信息进行归一化处理，即将所述虹膜特征信息调整到虹膜识别系统预设的固定尺寸，以保证对所述虹膜特征信息的精确识别；归一化之后的所述虹膜特征信息可以进行增强处理，例如调节亮度、对比度和平滑度等等指标，以提高对所述虹膜特征信息的识别率。

所述虹膜获取模块410还用于：获取授权用户的验证虹膜特征信息。

具体的，虹膜获取模块410可以先通过终端摄像头或者其他摄像设备获取所述授权用户的眼部图像，再从所述眼部图像中采集所述虹膜特征信息，也可以直接采集所述用户的虹膜特征信息。所述的验证虹膜特征信息中包括多个验证虹膜特征点信息，所述验证虹膜特征点信息又包含了能反映所述授权用户虹膜特征的特征点的坐标、角度、位置等信息。需要说明的是，获取和采集的所述验证虹膜特征的特征点是由所述虹膜获取模块410预设的，例如所述装置预设要采集虹膜与瞳孔边界的特征点、虹膜与虹膜边界的特征点、虹膜与眼球中心距离相同的特征点等等。举例来说，所述虹膜识别系统总共获取了20个所述验证虹膜特征点信息，若设一个所述验证虹膜特征点信息用三元组(x₁，y₁，θ₁)表示，其中(x，y)表示验证虹膜特征点所在平面坐标的位置，θ表示所述验证虹膜特征点的方向，则所述验证虹膜特征信息即为(x₁，y₁，θ₁)～(x₂₀，y₂₀，θ₂₀)的所述验证虹膜特征点信息的集合。

vault值读取模块412，用于读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的。

具体的，fuzzy vault算法可以将生物特征和密码学系统结合在一起，完成使用生物特征模板锁定密钥的功能，锁定后可以得到一个vault值。这里读取的所述vault值，就是利用fuzzy vault算法根据所述授权用户的虹膜特征信息与所述预设的加密密钥生成的所述vault值。vault值读取模块412读取所述vault值后，终端就可以通过解密密钥模块414计算出所述解密密钥。

解密密钥模块414，用于根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥。

具体的，由于所述虹膜识别装置是利用fuzzy vault算法根据所述授权用户的虹膜特征信息与所述预设的加密密钥生成所述vault值的，因此这里可以采用fuzzy vault算法的解密确定所述解密密钥。具体实施中，可以根据所述用户的虹膜特征信息以及所述vault值，构造解密多项式函数，然后再根据所述解密多项式函数，确定所述解密密钥。

所述解密密钥模块414包括：解密多项式单元414a和解密密钥确定单元414b，如图5所示。

解密多项式单元414a，用于根据所述用户的虹膜特征信息以及所述vault值，构造解密多项式函数。

具体的，根据虹膜获取模块410中所述虹膜特征信息中的所述虹膜特征点信息，可以计算所述虹膜特征点信息经过(x，y)坐标级联之后的特征数值，然后根据所述特征数值，在获取到的所述vault值中搜索与所述特征数值匹配的点作为候选点，如果所述用户为授权用户，这一步将会过滤掉大量的杂凑点点对；然后，在搜索到的所述候选点中使用Lagrange插值方法构造所述解密多项式函数。具体实施中，设一个所述虹膜特征点信息用三元组(x₁₁，y₁₁，θ₁₁)表示，则可以先级联横纵坐标得到特征数值(x₁₁|y₁₁)；然后，搜索所述vault值中和所述特征数值(x₁₁|y₁₁)匹配的候选点点对{(x₁₁|y₁₁)，B(x₁₁|y₁₁)}，最后使用Lagrange插值方法构造相应的所述解密多项式函数。例如，所述虹膜获取模块410总共获取了4个所述虹膜特征点信息(x₁₁，y₁₁，θ₁₁)～(x₄₄，y₄₄，θ₄₄)，并计算出所述用户的特征数值集合为{-1，-2，2，4}，在vault值读取模块412读取的所述vault值为{(-1，2)，(-2， 7)，(2，11)，(4，37)，(0，2)，(2，0)，(1，1)}，则可以得出所述候选点点对为{(-1，4)，(-2，11)，(2，7)，(4，29)}，通过Lagrange插值方法构造出的所述解密多项式函数即为2X²+X+1。

解密密钥确定单元414b，用于根据所述解密多项式函数，确定所述解密密钥。

具体的，在解密多项式单元414a中构造的所述解密多项式函数可以通过所述装置预设的解密密钥恢复规则，确定出所述解密密钥。所述解密密钥恢复规则就是将所述解密多项式函数转化成所述解密密钥的一种数学方法。例如，假设所述解密密钥恢复规则为将所述解密多项式函数的系数作为所述解密密钥，那么当所述解密多项式函数为2X²+X+1时，所述系数即为2，1，1，假设所述装置在运算域GF(2⁸)上实现，那么所述解密密钥即为000000100000000100000001。进一步可选的，若在加密设置阶段所述装置使用预设的纠错码技术对所述加密密钥进行处理，那么在这一步骤中，装置可以先通过所述解密多项式函数确定带检验码的解密密钥，再通过使用所述纠错码技术来确定所述检验码，最后确定所述解密密钥。

密钥匹配模块416，用于判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配。

具体的，密钥匹配模块416通过判断所述解密密钥与所述加密密钥是否匹配，就可以确定所述解密密钥是否正确，也即所述用户的虹膜特征信息是否即为所述授权用户的虹膜特征信息。

进一步可选的，所述密钥匹配模块416还可以包括：标识获取单元416a、解密哈希值单元416b和哈希值匹配单元416c，如图6所示。

标识获取单元416a，用于获取终端的设备标识信息。

具体的，所述设备标识信息是代表每个终端的唯一识别号码，一般是印在终端的外部或者存储在终端内。例如，若所述终端是移动终端(手机、ipad)，则标识获取单元416a可以获取它的IMEI(International Mobile Equipment Identity，移动设备国际识别码)；若所述终端是个人电脑，则标识获取单元416a可以获取它的MAC(Media Access Control，媒体访问控制)地址。因为所述 IMEI或者所述MAC地址都是与移动终端或者个人电脑存在唯一的一一对应关系的。

解密哈希值单元416b，用于将所述设备标识信息和所述解密密钥代入预先构造的加密哈希函数，计算解密哈希值。

具体的，解密哈希值单元416b可以根据预先构造的所述加密哈希函数，将所述设备标识信息和所述解密密钥代入，计算得到所述解密哈希值。以最简单常见的哈希函数为例，若所述加密哈希函数采用直接取余法，即所述装置的设备标识信息与所述解密密钥进行除法后所得的余数就是所述解密哈希值，那么设所述装置的设备标识信息为35，所述解密密钥为24，那么hash(35，24)＝11，所述解密哈希值即为11。

哈希值匹配单元416c，用于判断所述解密哈希值与加密哈希值是否匹配，所述加密哈希值是所述设备标识信息和所述加密密钥代入所述加密哈希函数计算得到的。

具体的，所述装置在加密设置阶段已经根据所述加密哈希函数得到了所述加密哈希值，则哈希值匹配单元416c通过判断所述解密哈希值与加密哈希值是否匹配，就可以确定所述解密密钥是否正确，也即所述用户的虹膜特征信息是否即为所述授权用户的虹膜特征信息。

识别确认模块418，用于若所述计算得到的解密密钥与所述预设的加密密钥匹配时，确认虹膜识别成功。

可选的，若所述解密哈希值与所述加密哈希值匹配，则表示所述用户即为所述授权用户，则确认虹膜识别成功，进一步的可以为所述用户开启相应的授权功能或界面。需要说明的是，所述解密哈希值与所述加密哈希值不一定是完全一致的，可以允许它们之间有一定数值范围的误差。

进一步的，所述装置还包括：

加密密钥模块420，用于获取所述预设的加密密钥。

具体的，所述预设的加密密钥可以是所述虹膜识别装置出厂时已经设置好的，也可以是所述授权用户自己设置或者更改的，还可以是通过提取所述虹膜特征信息中的近似均匀分布的随机数据得到的。因此，加密密钥模块420只需要直接获取所述加密密钥用于vault值模块422即可。例如，若所述加密密钥为000010010000001100000001，假设所述装置在运算域GF(2⁸)上实现，则所述加密密钥即为(00001001)，(00000011)，(00000001)，转化成十进制即为9，3，1。

vault值模块422，用于根据所述授权用户的验证虹膜特征信息以及所述加密密钥，生成所述vault值并存储。

具体的，fuzzy vault算法可以将生物特征和密码学系统结合在一起，完成使用生物特征模板锁定密钥的功能，锁定后可以得到一个vault值。这里所述vault值模块422就是利用fuzzy vault算法根据所述授权用户的虹膜特征信息与所述预设的加密密钥生成所述vault值的。具体实施中，可以将所述加密密钥作为系数构造一个加密多项式函数，然后再根据所述验证虹膜特征信息以及所述加密多项式函数，生成所述vault值。

所述vault值模块422包括：加密多项式单元422a和vault值生成单元422b，如图7所示。

加密多项式单元422a，用于根据所述加密密钥构造加密多项式函数。

具体的，加密多项式单元422a可以根据在加密密钥模块420中获取到的所述加密密钥，采用所述加密多项式单元422a预设的加密多项式函数构造规则，构造出所述加密多项式函数。所述加密多项式函数构造规则就是将所述加密密钥转化成所述加密多项式的一种数学方法。例如，假设所述加密多项式函数构造规则为将所述加密密钥作为所述加密多项式函数的系数，以x为变量构造幂次多项式函数，那么当所述加密密钥为000000100000000100000001时，假设所述装置在运算域GF(2⁸)上实现，则所述加密密钥即为(00000010)，(00000001)，(00000001)，转化成十进制即为2，1，1就可以作为所述加密多项式的系数，则可以构造一个所述加密多项式函数：2X²+X+1。进一步可选的，所述加密多项式单元422a还可以使用预设的加密纠错码技术对所述加密密钥进行处理，并在所述加密密钥的后面接上所述纠错码技术产生的检验码，形成带检验码的加密密钥，然后使用所述带检验码的加密密钥构造所述加密多项式函数。

vault值生成单元422b，用于根据所述验证虹膜特征信息以及所述加密多项式函数，生成所述vault值并存储。

具体的，根据虹膜获取模块410中所述验证虹膜特征信息中的所述验证虹膜特征点信息，vault值生成单元422b可以计算所述验证虹膜特征点信息经过(x，y)坐标级联之后的验证特征数值，然后计算所述验证特征数值在所述加密多项式函数上的映射点并与对应的特征数值组成映射点点对，然后再随机添加一系列杂凑点点对插入所述映射点点对中，最终得到所述vault值并存储在终端内。需要说明的是，所述杂凑点点对要求都不在所述加密多项式函数上并且要与所述验证虹膜特征信息的特征点有一定距离间隔。具体实施中，设一个所述验证虹膜特征点信息用三元组(x₁，y₁，θ₁)表示，所述加密多项式函数为P，则可以先级联横纵坐标得到特征数值(x₁|y₁)，然后计算(x₁|y₁)在所述加密多项式函数P上的映射点P(x₁|y₁)，则所述映射点点对即为{(x₁|y₁)，P(x₁|y₁)}；之后，再随机添加一系列杂凑点点对插入所述映射点点对中，最终就可以得到所述vault值。举例来说，所述虹膜获取模块410总共获取了4个所述验证虹膜特征点信息(x₁，y₁，θ₁)～(x₄，y₄，θ₄)，并计算出所述特征数值(X|Y)的集合为{-1，-2，2，4}，所述加密多项式P为2X²+X+1，那么所述映射点点对的集合{(X|Y)，P(X|Y)}即为{(-1，2)，(-2，7)，(2，11)，(4，37)}，再插入三个所述杂凑点点对{(0，2)，(2，0)，(1，1)}，则最终得到的vault值即为{(-1，2)，(-2，7)，(2，11)，(4，37)，(0，2)，(2，0)，(1，1)}。

删除模块424，用于删除所述授权用户的验证虹膜特征信息。

具体的，在解密所述终端时，不需要再用到所述授权用户的验证虹膜特征信息，因此在加密设置阶段完成之后，删除模块424即可把所述授权用户的验证虹膜特征信息彻底删除。这样做就可以保证即使其他人盗取或者入侵所述终端时，也无法获得所述授权用户的验证虹膜特征信息，这样就有效的防止了因虹膜模板被泄露以及盗用而产生的安全问题。

可选的，所述删除模块用于：删除所述授权用户的验证虹膜特征信息以及所述加密密钥。

具体的，在解密所述终端时，不需要再用到所述授权用户的验证虹膜特征信息以及所述加密密钥，因此在加密设置阶段完成之后，删除模块424即可把所述授权用户的验证虹膜特征信息以及所述加密密钥彻底删除。

进一步可选的，所述装置还包括：

加密哈希函数模块426，用于获取预先构造的所述加密哈希函数。

加密哈希值模块428，用于将所述设备标识信息和所述加密密钥代入所述加密哈希函数，计算并存储所述加密哈希值。

根据加密哈希函数模块426中获取到的预先构造的所述加密哈希函数，将所述设备标识信息和所述加密密钥代入，就可以计算得到所述加密哈希值。在这里，所述加密哈希函数就是为了避免所述加密密钥丢失造成安全隐患，因而再对其进行哈希函数加密，这样即使他人获取了所述加密哈希值也无法恢复出所述加密密钥。以最简单常见的哈希函数为例，若所述加密哈希函数采用直接取余法，即所述装置的设备标识信息与所述加密密钥进行除法后所得的余数就是所述加密哈希值，那么设所述装置的设备标识信息为35，所述加密密钥为24，那么hash(35，24)＝11，所述加密哈希值即为11。当有人获取到所述加密哈希值11后，也是无法通过所述加密哈希值11知道所述加密密钥是24的。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims

一种虹膜识别方法，其特征在于，所述方法包括：

获取用户的虹膜特征信息；

读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的；

根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥；

判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配；

若是，则确认虹膜识别成功。
如权利要求1所述的虹膜识别方法，其特征在于，所述判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配包括：

获取终端的设备标识信息；

将所述设备标识信息和所述解密密钥代入预先构造的加密哈希函数，计算解密哈希值；

判断所述解密哈希值与加密哈希值是否匹配，所述加密哈希值是所述设备标识信息和所述加密密钥代入所述加密哈希函数计算得到的。
如权利要求1所述的虹膜识别方法，其特征在于，所述根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥包括：

根据所述用户的虹膜特征信息以及所述vault值，构造解密多项式函数；

根据所述解密多项式函数，确定所述解密密钥。
如权利要求1所述的虹膜识别方法，其特征在于，所述获取用户的虹膜特征信息之前还包括：

获取授权用户的验证虹膜特征信息；

获取所述预设的加密密钥；

根据所述授权用户的验证虹膜特征信息以及所述加密密钥，生成所述vault值并存储；

删除所述授权用户的验证虹膜特征信息。
如权利要求4所述的虹膜识别方法，其特征在于，所述根据所述授权用户的验证虹膜特征信息以及所述加密密钥，生成所述vault值并存储之后还包括：

获取预先构造的加密哈希函数；

获取所述终端的设备标识信息；

将所述设备标识信息和所述加密密钥代入所述加密哈希函数，计算并存储所述加密哈希值；

所述删除所述授权用户的验证虹膜特征信息包括：

删除所述授权用户的验证虹膜特征信息以及所述加密密钥。
如权利要求4所述的虹膜识别方法，其特征在于，所述根据所述授权用户的验证虹膜特征信息以及所述加密密钥，生成所述vault值并存储包括：

根据所述加密密钥构造加密多项式函数；

根据所述验证虹膜特征信息以及所述加密多项式函数，生成所述vault值并存储。
一种虹膜识别装置，其特征在于，所述装置包括：

虹膜获取模块，用于获取用户的虹膜特征信息；

vault值读取模块，用于读取预先生成的vault值，所述vault值是预先根据授权用户的虹膜特征信息与预设的加密密钥计算得到的；

解密密钥模块，用于根据所述用户的虹膜特征信息以及所述vault值，计算解密密钥；

密钥匹配模块，用于判断所述计算得到的解密密钥与所述预设的加密密钥是否匹配；

识别确认模块，用于若所述计算得到的解密密钥与所述预设的加密密钥匹配时，确认虹膜识别成功。
如权利要求7所述的虹膜识别装置，其特征在于，所述密钥匹配模块包括：

标识获取单元，用于获取终端的设备标识信息；

解密哈希值单元，用于将所述设备标识信息和所述解密密钥代入预先构造的加密哈希函数，计算解密哈希值；

哈希值匹配单元，用于判断所述解密哈希值与加密哈希值是否匹配，所述加密哈希值是所述设备标识信息和所述加密密钥代入所述加密哈希函数计算得到的。
如权利要求7所述的虹膜识别装置，其特征在于，所述解密密钥模块包括：

解密多项式单元，用于根据所述用户的虹膜特征信息以及所述vault值，构造解密多项式函数；

解密密钥确定单元，用于根据所述解密多项式函数，确定所述解密密钥。
如权利要求7所述的虹膜识别装置，其特征在于，所述虹膜获取模块还用于：

获取授权用户的验证虹膜特征信息；

所述装置还包括：

加密密钥模块，用于获取所述预设的加密密钥；

vault值模块，用于根据所述授权用户的验证虹膜特征信息以及所述加密密钥，生成所述vault值并存储；

删除模块，用于删除所述授权用户的验证虹膜特征信息。
如权利要求10所述的虹膜识别装置，其特征在于，所述装置还包括：

加密哈希函数模块，用于获取预先构造的加密哈希函数；

加密哈希值模块，用于将所述设备标识信息和所述加密密钥代入所述加密哈希函数，计算并存储所述加密哈希值；

所述删除模块用于：

删除所述授权用户的验证虹膜特征信息以及所述加密密钥。
如权利要求10所述的虹膜识别装置，其特征在于，所述vault值模块包括：

加密多项式单元，用于根据所述加密密钥构造加密多项式函数；

vault值生成单元，用于根据所述验证虹膜特征信息以及所述加密多项式函数，生成所述vault值并存储。