基于生物特征的业务密钥管理方法、服务端及系统与流程

1.本申请涉及信息安全领域，特别涉及一种基于生物特征的业务密钥管理方法、服务端及系统。


背景技术：

2.在信息安全领域中，用户需要使用业务密钥，来对目标任务进行处理，如使用业务密钥对待处理数据进行数字签名或者数据解密等工作。但是在具体的使用场景中，该业务密钥一旦被发送给具体处理人后，该业务密钥的使用情况便不能被有效控制。这就需要业务密钥所有者对业务密钥进行有效的管理，包括对业务密钥的所用者的身份进行认证，并在身份符合要求的情况下给予相应的业务密钥的许可。但目前来说，并没有有效的方式来对所用者的身份进行判断，不能有效的管理该业务密钥的使用，从而造成了业务密钥使用过程中的安全隐患。


技术实现要素：

3.本申请实施例的目的在于提供一种基于生物特征的业务密钥管理方法、服务端及系统，该方法能够防止业务密钥被泄露或被非法使用，而且在调用业务密钥时，服务端可以通过对第一客户端发送的请求使用者的第一生物特征进行判断，保证请求使用者的合法身份，进而有效防止业务密钥被泄露或被非法使用。
4.为了解决上述技术问题，本申请的实施例采用了如下技术方案：一种基于生物特征的业务密钥管理方法，应用于服务端，包括：
5.获取第一客户端发送的第一请求信息，其中，所述第一请求信息用于请求服务端使用存储的业务密钥处理待处理数据，所述第一请求信息包括所述业务密钥的请求使用者的第一生物特征；
6.基于所述第一请求信息获取所述业务密钥对应的许可信息，其中，所述许可信息包括至少一个针对使用所述业务密钥的许可条款；
7.分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件；
8.在确定所述许可信息符合所述第一预设条件，且所述第一生物特征符合所述第二预设条件的情况下，调用所述第一请求信息对应的所述业务密钥，以对所述待处理数据进行处理。
9.作为可选，所述的分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件，包括：
10.将所述第一生物特征与存储的第二生物特征进行比对，其中，所述第二生物特征预先与所述许可信息进行关联；
11.在确定所述第一生物特征与存储的第二生物特征相同的情况下，确定所述第一生物特征对应的身份信息，以确定所述第一生物特征符合所述第二预设条件。
12.作为可选，所述第一生物特征和所述第二生物特征均至少包括以下一种单一特征：面部特征，指纹特征以及虹膜特征；
13.相应的，所述的将所述第一生物特征与存储的第二生物特征进行比对，包括：
14.将所述第一生物特征的单一特征与所述第二生物特征中的相对应的单一特征进行比对。
15.作为可选，所述的分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件，包括：
16.获取所述许可信息的许可签名；
17.在所述许可签名有效的情况下，基于所述许可签名，确定所述许可信息是否有效，其中所述第一预设条件包括所述许可信息有效的条件。
18.作为可选，所述的分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件，包括：
19.获取所述许可条款中使用所述业务密钥的第一用途信息，获取所述第一请求信息中使用所述业务密钥的第二用途信息；
20.确定所述第一用途信息是否与所述第二用途信息相一致，其中，所述第一预设条件包括所述第一用途信息与所述第二用途信息相一致的条件。
21.作为可选，所述方法还包括：接收第二客户端发送的经过了许可签名的所述许可信息，以及与所述许可信息关联的第二生物特征，其中，所述第二生物特征为授权使用所述业务密钥的目标对象的生物特征，所述目标对象的生物特征包括所述请求使用者的所述第一生物特征。
22.作为可选，所述方法还包括获取所述业务密钥的操作，其中包括：
23.获取所述第二客户端发送的第二请求信息，其中所述第二请求信息包括所述第二客户端中的用户信息和/或客户端密钥信息，其中，所述客户端密钥信息包括所述第二客户端中的个人密钥的公钥和/或个人密钥的标识；
24.基于所述第二请求信息生成相应的所述业务密钥；
25.将所述用户信息和/或所述客户端密钥信息与生成的所述业务密钥进行绑定。
26.作为可选，所述方法还包括获取所述业务密钥的操作，其中包括：
27.接收外部设备直接导入或通过所述第二客户端导入的所述业务密钥；
28.获取所述第二客户端发送的所述用户信息和/或所述客户端密钥信息，其中，所述客户端密钥信息包括所述第二客户端中的个人密钥的公钥和/或个人密钥的标识；
29.将所述用户信息和/或所述客户端密钥信息与获取到的所述业务密钥进行绑定。
30.作为可选，所述方法还包括：接收所述第一客户端发送的所述待处理数据，其中，所述待处理数据与所述第一生物特征相关联。
31.作为可选，所述第一请求信息还包括以下至少一个：所述第一客户端中的用户信息、个人密钥信息和业务密钥标识。
32.本申请实施例还提供了一种基于生物特征的业务密钥管理方法，应用于第一客户端，包括：
33.向服务端发送第一请求信息，以使所述服务端基于所述第一请求信息获取业务密钥对应的许可信息，其中，所述第一请求信息用于请求服务端使用存储的所述业务密钥处
理待处理数据，所述第一请求信息包括所述业务密钥的请求使用者的第一生物特征，所述许可信息包括至少一个针对使用所述业务密钥的许可条款；
34.接收所述服务端发送的通过所述业务密钥对所述待处理数据进行处理的处理结果，其中，所述处理结果为所述服务端分别对所述许可信息和所述第一生物特征进行分析，在确定所述许可信息符合第一预设条件，且所述第一生物特征符合第二预设条件的情况下，调用所述第一请求信息对应的所述业务密钥，对所述待处理数据进行处理的结果。
35.本申请实施例还提供了一种服务端，包括：
36.第一获取模块，其配置为：获取第一客户端发送的第一请求信息，其中，所述第一请求信息用于请求服务端使用存储的业务密钥处理待处理数据，所述第一请求信息包括所述业务密钥的请求使用者的第一生物特征；
37.第二获取模块，其配置为：基于所述第一请求信息获取所述业务密钥对应的许可信息，其中，所述许可信息包括至少一个针对使用所述业务密钥的许可条款；
38.处理模块，其配置为：分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件；
39.在确定所述许可信息符合所述第一预设条件，且所述第一生物特征符合所述第二预设条件的情况下，调用所述第一请求信息对应的所述业务密钥，以对所述待处理数据进行处理。
40.本申请实施例还提供了一种管理系统，包括如上所述的服务端，还包括至少一个如上所述的第一客户端，以及如上所述的第二客户端。
41.本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在计算机上运行时，实现如下步骤：
42.获取第一客户端发送的第一请求信息，其中，所述第一请求信息用于请求服务端使用存储的业务密钥处理待处理数据，所述第一请求信息包括所述业务密钥的请求使用者的第一生物特征；
43.基于所述第一请求信息获取所述业务密钥对应的许可信息，其中，所述许可信息包括至少一个针对使用所述业务密钥的许可条款；
44.分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件；
45.在确定所述许可信息符合所述第一预设条件，且所述第一生物特征符合所述第二预设条件的情况下，调用所述第一请求信息对应的所述业务密钥，以对所述待处理数据进行处理。
46.本申请实施例的有益效果在于：该基于生物特征的业务密钥管理方法，使得服务端可以对业务密钥进行托管，防止业务密钥被泄露或被非法使用。而且在调用业务密钥时，服务端可以通过对第一客户端发送的请求使用者的第一生物特征进行判断，保证请求使用者的合法身份，确定其有权使用该业务密钥，进而在灵活运用该业务密钥的同时，也保证了业务密钥的安全性。
附图说明
47.图1为本申请实施例的基于生物特征的业务密钥管理方法的流程图；
48.图2为本申请实施例的图1中步骤s2的一个实施例的流程图；
49.图3为本申请实施例的图1中步骤s2的另一个实施例的流程图；
50.图4为本申请实施例的图1中步骤s2的又一个实施例的流程图；
51.图5为本申请实施例的服务端的结构框图。
具体实施方式
52.此处参考附图描述本申请的各种方案以及特征。
53.应理解的是，可以对此处申请的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
54.包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例，并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
55.通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本申请的这些和其它特性将会变得显而易见。
56.还应当理解，尽管已经参照一些具体实例对本申请进行了描述，但本领域技术人员能够确定地实现本申请的很多其它等效形式。
57.当结合附图时，鉴于以下详细说明，本申请的上述和其他方面、特征和优势将变得更为显而易见。
58.此后参照附图描述本申请的具体实施例；然而，应当理解，所申请的实施例仅仅是本申请的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此，本文所申请的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
59.本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本申请的相同或不同实施例中的一个或多个。
60.本申请实施例的一种基于生物特征的业务密钥管理方法，该方法可以应用于服务端，该服务端可以为服务器或者其他具有与服务器相似功能的电子设备，该方法能够利用服务端对业务密钥进行托管。该服务端可以与至少一个客户端连接，并进行数据交互。
61.本实施例中，该业务密钥并不会交给客户端而是由服务端保管，以保证业务密钥的安全性。第一客户端向服务端发送第一请求信息，请求服务端使用存储的业务密钥处理待处理数据，其中第一客户端可以是请求使用者对应的客户端。当然该业务密钥可以由服务端生成，也可以是具有权限的客户端或其他客户端(如业务密钥的拥有者所在的客户端)预先发送给服务端等，使得该业务密钥在使用时均是存储在服务端上以便使用。
62.第一请求信息包括业务密钥的请求使用者的第一生物特征该，第一生物特征可以是请求给使用者的面部特征，指纹特征以及虹膜特征等特征中的一个或多个。该第一生物特征能够被用来证明请求使用者的身份。当然该第一请求信息中还包括请求使用者的用户信息、个人密钥信息和/或业务密钥标识。
63.服务端可以基于第一请求信息获取业务密钥对应的许可信息。而且服务端可以分
别对许可信息和第一生物特征进行分析，确定许可信息是否符合第一预设条件，以及第一生物特征是否符合第二预设条件。该许可信息被使用时服务端可以启动获取动作，此时该许可信息可以由客户端提供给服务端，也可以由服务端即时从存储器中获取。
64.服务端在确定许可信息符合第一预设条件，且第一生物特征符合第二预设条件的情况下，调用第一请求信息对应的业务密钥，以对待处理数据进行处理。例如服务端在确定许可信息有效，许可信息与第一请求信息逻辑上并不抵触，以及第一请求信息所具有的请求内容与业务密钥的用途相一致等，则认为许可信息符合第一预设条件。而且服务端如果确定第一生物特征合法，或者第一生物特征符合业务密钥的所有者的预先设定的生物特征，则可以确定第一生物特征符合第二预设条件。服务端调用业务密钥来对待处理数据进行处理。
65.该方法中，服务端可以对业务密钥进行托管，防止业务密钥被泄露或被非法使用。而且在调用业务密钥时，服务端可以通过对第一客户端发送的请求使用者的第一生物特征进行判断，保证请求使用者的合法身份，确定其有权使用该业务密钥，进而在灵活运用该业务密钥的同时，也保证了业务密钥的安全性。
66.为了更好的理解上述技术方案，下面通过附图以及具体实施例对本发明技术方案做详细的说明，应当理解本申请实施例以及实施例中的具体特征是对本发明技术方案的详细的说明，而不是对本发明技术方案的限定，在不冲突的情况下，本申请实施例以及实施例中的技术特征可以相互结合。
67.图1为本申请实施例的基于生物特征的业务密钥管理方法的流程图；本申请实施例的基于生物特征的业务密钥管理方法，可以应用于服务端，如图1所示，该方法包括以下步骤：
68.s1，获取第一客户端发送的第一请求信息，其中，所述第一请求信息用于请求服务端使用存储的业务密钥处理待处理数据，所述第一请求信息包括所述业务密钥的请求使用者的第一生物特征。
69.服务端可以与一个或多个客户端连接，业务密钥的使用者或业务密钥的所有者均对应有相应的客户端。当然，业务密钥的所有者也同时可以为业务密钥的使用者，在此不作限定。本实施中，第一客户端可以是业务密钥的请求使用者所对应的客户端。第一客户端向服务端发送第一请求信息，以请求服务端使用保管的业务密钥来处理待处理数据。第一请求信息包括业务密钥的请求使用者的第一生物特征，该第一生物特征可以是请求给使用者的面部特征，指纹特征以及虹膜特征等特征中的一个或多个。该第一请求信息还可以包括以下至少一个：第一客户端中的用户信息、个人密钥信息和业务密钥标识。其中，该用户信息可以是业务密钥的请求使用者的相关信息；个人密钥信息可以是请求使用者具有的个人密钥，如个人密钥的公钥和/或个人密钥的id等；而业务密钥标识则可以是使用者提供的与其所请求使用的业务密钥的相关信息，如所请求使用的业务密钥的id。
70.s2，基于所述第一请求信息获取所述业务密钥对应的许可信息，其中，所述许可信息包括至少一个针对使用所述业务密钥的许可条款。
71.服务端接收到第一请求信息，便可以根据第一请求信息中包含的至少一个特征信息来获取业务密钥对应的许可信息。例如根据请求使用者的第一生物特征、用户信息、个人密钥信息和业务密钥标识来获取相应的许可信息，该许可信息可以是服务端预先存储，也
可以是服务端从客户端获取。许可信息包括至少一个针对使用业务密钥的许可条款。该许可条款可以是业务密钥的所有者所许可的具体内容。当然同一个业务密钥如果对应了不同的第一客户端，则该许可条款可以并不相同。这使得业务密钥对于不同的使用者可以具有不同的使用方式，使用方式灵活。而该许可条款表征了该业务密钥的具体的使用方式。例如许可生效时间、许可过期时间、许可使用次数以及用途信息等，从而在保证使用者使用该业务密钥的同时还确保了业务密钥并不能被非法使用。
72.s3，分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件。
73.请求使用者的第一生物特征可以是面部特征，指纹特征以及虹膜特征等特征中的一个或多个。本实施例中可以对请求使用者的面部特征，指纹特征以及虹膜特征等特征中的一个或多个进行分析。以确定上述信息是否符合第二预设条件，例如是否符合业务密钥所有者所要求的生物特征。而且服务端还需要对许可信息进行分析，确定其是否符合第一预设条件。例如，服务端需要确定许可信息是否有效，许可信息与第一请求信息逻辑上是否抵触，以及第一请求信息所具有的请求内容是否与业务密钥的用途相一致等，当上述的子条件均符合要求则可以确定许可信息符合第一预设条件。
74.s4，在确定所述许可信息符合所述第一预设条件，且所述第一生物特征符合所述第二预设条件的情况下，调用所述第一请求信息对应的所述业务密钥，以对所述待处理数据进行处理。
75.本实施例中，第一生物特征符合所述第二预设条件，可以确定请求使用者的身份符合业务密钥所有者的要求，进一步保证了业务密钥的安全性。本实施还需要确定许可信息符合所述第一预设条件，服务端才可以调用业务密钥对待处理数据进行处理，生成相应的处理结果，从而进一步提高了业务密钥使用的安全性。生成处理结果后，服务端也可以将该处理结果发送给第一客户端，从而满足了业务密钥的使用者的使用需求。此外，对于第一预设条件和第二预设条件的具体内容，可以根据实际使用需求来进行设定，例如第一预设条件可以根据业务密钥的具体内容，以及服务端对业务密钥的保密程度来设定。第二预设条件则可以根据请求使用者容貌的改变来做出调整，如可以根据请求使用者的面部特征的胖瘦的改变等来做出调整。
76.在本申请的一个实施例中，所述的分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件，如图2所示，包括：
77.s21，将所述第一生物特征与存储的第二生物特征进行比对，其中，所述第二生物特征预先与所述许可信息进行关联。
78.具体的，第二生物特征可以是业务密钥的所有者所提供的允许使用业务密钥的目标对象的生物特征，目标对象可以是请求使用者，和/或与请求使用者相关的对象，如请求使用者的上级等。第二生物特征可以预先将其与许可信息进行关联，如所有者可以将该第二生物特征与许可信息进行绑定，并将绑定的相关信息发送给服务端，以使其存储。第一客户端向服务端发送第一请求信息后，服务端可以对将第一请求信息中的第一生物特征与存储的第二生物特征进行比对，而具体的比对过程可以是每个单一特征的比对。
79.s22，在确定所述第一生物特征与存储的第二生物特征相同的情况下，确定所述第
一生物特征对应的身份信息，以确定所述第一生物特征符合所述第二预设条件。
80.具体的，一方面，在第一生物特征与存储的第二生物特征完全相同的情况下，确定第一生物特征对应的身份信息。即第一生物特征中所有的单一特征均与第二生物特征中的相对应的特征相同，才可以确定第一生物特征对应的身份信息，进而确定第一生物特征符合第二预设条件，该方式可以提高确定请求使用者的身份过程中的安全认证程度。另一方面，在第一生物特征与存储的第二生物特征相似度大于预设值的情况下，如多个单一特征中多数均与第二生物特征中相对应的特征相同，而仅仅是个别的单一特征不同，则可以对不同的单一特征进行复查，或要求第一客户端进一步提供证明信息，以进一步来判断第一生物特征对应的身份信息。又一方面，在第一生物特征与存储的第二生物特征相似度大于预设值的情况下，便可以确定第一生物特征对应的身份信息，以确定第一生物特征符合第二预设条件，如对于保密要求并不高的业务密钥则可以选择该判断方式，以便提高处理效率。上述的多个判断过程可以根据实际使用情况来做出相应的选择。
81.在本申请的一个实施例中，所述第一生物特征和所述第二生物特征均至少包括以下一种单一特征：面部特征，指纹特征以及虹膜特征；
82.相应的，所述的将所述第一生物特征与存储的第二生物特征进行比对，包括：
83.将所述第一生物特征的单一特征与所述第二生物特征中的相对应的单一特征进行比对。
84.具体的，服务端在进行比对时可以将第一生物特征中的第一面部特征与第二生物特征中的第二面部特征进行比对，将第一生物特征中的第一指纹特征与第二生物特征中的第二指纹特征进行比对，将第一生物特征中的第一虹膜特征与第二生物特征中的第二虹膜特征进行比对。如果所有的单一特征均相同，则可以认为第一生物特征与第二生物特征相同。当然，如果第一生物特征中仅有一个单一特征，则仅需要将该仅有的单一特征与第二生物特征中相对应的单一特征进行比对即可。
85.在本申请的一个实施例中，所述的分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件，如图3所示，包括：
86.s23，获取所述许可信息的许可签名；
87.s24，在所述许可签名有效的情况下，基于所述许可签名，确定所述许可信息是否有效，其中所述第一预设条件包括所述许可信息有效的条件。
88.具体的，许可签名可以是业务密钥的所有者具有的签名，从而保证了业务密钥的所有者同意对业务密钥进行许可，也保证了该许可信息的合法性和有效性。在具有的验证该许可签名是否有效时可以基于业务密钥的所有者的公钥来验证该签名是否有效。而该所有者的公钥可以由所有者对应的第二客户端所提供。如果许可签名有效，则可以基于该许可签名来验证许可信息是否有效。第一预设条件包括了许可信息有效的条件，即许可信息有效可以是许可信息符合第一预设条件的前提。当然该第一预设条件还可以包括其他条件。
89.在本申请的一个实施例中，所述的分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件，如图4所示，包括：
90.s25，获取所述许可条款中使用所述业务密钥的第一用途信息，获取所述第一请求信息中使用所述业务密钥的第二用途信息；
91.s26，确定所述第一用途信息是否与所述第二用途信息相一致，其中，所述第一预设条件包括所述第一用途信息与所述第二用途信息相一致的条件。
92.具体的，本实施例中，一方面，在确定许可信息符合第一预设条件的情况下，调用业务密钥对待处理数据进行处理；另一方面，在确定许可信息和/或业务密钥符合第一预设条件的情况下，调用业务密钥对待处理数据进行处理。从第一方面来说，许可条款中具有使用业务密钥的第一用途信息，第一请求信息中也具有使用该业务密钥的第二用途信息，如加密、签名等用途。第一用途信息与所述第二用途信息相一致则可以是第一预设条件中的一个子条件。即启动调用业务密钥则需要第一用途信息与第二用途信息相一致，如许可条款中许可业务密钥是签名使用，第一请求信息中的请求业务密钥的用途也是签名使用，则可以认为第一用途信息与第二用途信息相一致。对于另一方面来说，业务密钥本身具有第三用途信息，如用途为加密、解密、签名、验签、计算mac等。在第一用途信息、第二用途信息和第三用途信息均一致的情况下，可以认为满足了第一预设条件的子条件。例如，使用者对应的第一客户端发起“签名”请求，服务端检查业务密钥的许可用途是否包含“签名”功能，如果有，则认为是可以做“签名”，否则如果业务密钥没有“签名”功能，而第一请求信息又请求使用业务密钥进行签名，则可以认为该情况不能满足第一预设条件。
93.在本申请的一个实施例中，所述方法还包括：接收第二客户端发送的经过了许可签名的所述许可信息，以及与所述许可信息关联的第二生物特征，其中，所述第二生物特征为授权使用所述业务密钥的目标对象的生物特征，所述目标对象的生物特征包括所述请求使用者的所述第一生物特征。
94.具体的，该许可签名为业务密钥的所有者对应的第二客户端的个人密钥签名。而许可信息包括了被授权人信息和/或被授权人个人密钥信息。从而使得服务端在获取许可信息时，可以分析许可信息中的被授权人信息和/或被授权人个人密钥信息，进而判断该许可信息是否与第一客户端发出的第一请求信息相适配，如第一请求信息中所包含的请求使用者的用户信息与许可信息中被授权人信息相一致，和/或第一请求信息中所包含的个人密钥信息与许可信息中被授权人个人密钥信息相一致，则可以获取相应的许可信息。
95.一方面，本实施例中，第二生物特征与许可信息相关联，从而可以将请求使用者的第二生物特征与业务密钥的所有者发送的许可信息相关联。具体的相关联操作，可以是通过第二生物特征的id与许可信息中具有唯一标识的信息关联，例如第二生物特征的id与许可信息中的被授权人信息和/或被授权人个人密钥的id相关联，从而实现第二生物特征与许可信息相关联。第二生物特征为授权使用所述业务密钥的目标对象的生物特征，目标对象可以为业务密钥的请求使用者，也可以包括为请求使用者的相关对象，如请求使用者的上级和/或请求使用者所指定的对象。而目标对象的生物特征包括请求使用者的第一生物特征，还包括请求使用者的相关对象的生物特征。从而便于灵活的给予授权使用业务密钥。
96.另一方面，第二生物特征也可以被包含在许可信息中，作为许可信息的一部分内容，从而使得第二生物特征与许可信息中的其他内容(如许可条款)被认为是一个整体关联在一起，以便被服务端可以方便的对比第二生物特征与请求使用者的第一生物特征，进而基于对比结果判断是否给予授权许可条款中许可使用的业务密钥。
97.在本申请的一个实施例中，所述方法还包括获取所述业务密钥的操作，其中包括：
98.获取所述第二客户端发送的第二请求信息，其中，所述第二请求信息包括所述第二客户端中的用户信息和/或客户端密钥信息，其中，所述客户端密钥信息包括所述第二客户端中的个人密钥的公钥和/或个人密钥的标识；
99.基于所述第二请求信息生成相应的所述业务密钥；
100.将所述用户信息和/或所述客户端密钥信息与生成的所述业务密钥进行绑定。
101.具体来说，第二客户端可以是业务密钥的所有者所对应的客户端，第二客户端可以通过服务端生成其所有的业务密钥。例如服务端的所有者可以是该业务密钥的所有者，因此其可以利用第二客户端登陆服务端，通过服务端生成其所拥有的业务密钥。生成操作包括：第二客户端向服务端发送第二请求信息，该第二请求信息包括业务密钥的所有者的授权意图的相关信息，还包括所有者对应的第二客户端的用户信息和/或客户端密钥信息。该客户端密钥信息包括第二客户端的个人密钥的公钥和/或个人密钥的标识，如个人密钥id，根据与所有者相关的用户信息、个人密钥的公钥和/或个人密钥的标识，并根据所有者的授权意图可以生成相应的业务密钥。本实施例中，可以将用户信息和/或客户端密钥信息与生成的业务密钥进行绑定，如将业务密钥、用户信息、客户端密钥信息打包为数据包，并对数据包进行计算使其具有密钥校验码，该密钥校验码可以是数字签名，hmac，cmac等。将用户信息和/或客户端密钥信息与生成的业务密钥进行绑定，可以将业务密钥与其所有者的信息相关联。
102.在一个实施例中，由于业务密钥的所有者也可以是该业务密钥的使用者，因此在该所有者需要使用业务密钥的情况下，也需要通过第二客户端来向服务端发送第一请求信息，以请求服务端调用业务密钥来处理预处理数据，在此情况下业务密钥的所有者所对应的第二客户端则与第一客户端等同。
103.在本申请的一个实施例中，所述方法还包括获取所述业务密钥的操作，其中包括：
104.接收外部设备直接导入或通过所述第二客户端导入的所述业务密钥；
105.获取所述第二客户端发送的所述用户信息和/或所述客户端密钥信息，其中，所述客户端密钥信息包括所述第二客户端中的个人密钥的公钥和/或个人密钥的标识；
106.将所述用户信息和/或所述客户端密钥信息与获取到的所述业务密钥进行绑定。
107.具体的，服务端获取业务密钥的方式并不仅限于自身生成，也能够通过其他方式获取。本实施例中，该业务密钥可以由外部设备(如手机盾或其他业务组织的设备)导入，导入的方式可以是由外部设备直接与服务端连接，从而进行导入操作，以使服务端获取并存储。或者外部设备将该业务密钥发送给第二客户端，即业务密钥的所有者所对应的客户端，由第二客户端将该业务密钥发送给服务端，以使服务端获取并存储。此外，第二客户端还将所有者所关联的用户信息和/或客户端密钥信息发送给服务端，其中，该客户端密钥信息包括第二客户端中的个人密钥的公钥和/或个人密钥的标识，如个人密钥id。需要说明的是，第二客户端在发送业务密钥，以及用户信息和/或客户端密钥信息时，可以分别将其进行发送，也可以同时将业务密钥，以及用户信息和/或客户端密钥信息发送给服务端，发送方式在此并不限定。服务端接收到该用户信息和/或客户端密钥信息后，可以将用户信息和/或客户端密钥信息与获取到的业务密钥进行绑定，可以将业务密钥与其所有者的信息相关联。
108.在本申请的一个实施例中，所述方法还包括：接收所述第一客户端发送的所述待处理数据，其中，所述待处理数据与所述第一生物特征相关联。
109.具体的，待处理数据可以是第一客户端在向服务端发送第一请求信息的同时向服务端发送该待处理数据，而该待处理数据可以是第一客户端利用使用者相关的个人密钥对其进行签名，从而保证待处理数据在向服务端传输的过程中没有被修改，增加了待处理数据的安全性。本实施中可以将待处理数据与第一生物特征相关联，从而使得待处理数据与请求使用者的身份信息相关联。
110.在本申请的一个实施例中，所述第一请求信息还包括以下至少一个：所述第一客户端中的用户信息、个人密钥信息和业务密钥标识。
111.该第一客户端中的用户信息可以是业务密钥的请求使用者的相关信息；第一客户端中的个人密钥信息可以是请求使用者具有的个人密钥，如个人密钥的公钥和/或个人密钥的id等；而第一客户端中的业务密钥标识则可以是使用者提供的与其所请求的业务密钥的相关信息，如所请求使用的业务密钥的id。
112.在本申请的一个实施例中，所述方法还包括：
113.基于个人密钥的公钥对所述处理结果进行加密；
114.将加密后的所述处理结果发送给所述第一客户端，以使所述第一客户端通过个人密钥的私钥对所述处理结果进行解密。
115.在本申请的一个实施例中，所述许可条款包括以下至少一个：许可生效时间、许可过期时间、许可使用次数以及用途信息。
116.本申请实施还提供了一种基于生物特征的业务密钥管理方法，应用于第一客户端，包括：
117.向服务端发送第一请求信息，以使所述服务端基于所述第一请求信息获取业务密钥对应的许可信息，其中，所述第一请求信息用于请求服务端使用存储的所述业务密钥处理待处理数据，所述第一请求信息包括所述业务密钥的请求使用者的第一生物特征，所述许可信息包括至少一个针对使用所述业务密钥的许可条款；
118.接收所述服务端发送的通过所述业务密钥对所述待处理数据进行处理的处理结果，其中，所述处理结果为所述服务端分别对所述许可信息和所述第一生物特征进行分析，在确定所述许可信息符合第一预设条件，且所述第一生物特征符合第二预设条件的情况下，调用所述第一请求信息对应的所述业务密钥，对所述待处理数据进行处理的结果。
119.具体的，服务端可以与一个或多个客户端连接，业务密钥的使用者或业务密钥的所有者均对应有相应的客户端。当然，业务密钥的所有者也同时可以为业务密钥的使用者，在此不作限定。本实施中，第一客户端可以是业务密钥的请求使用者所对应的客户端。第一客户端向服务端发送第一请求信息，以请求服务端使用保管的业务密钥来处理待处理数据。第一请求信息包括业务密钥的请求使用者的第一生物特征，该第一生物特征可以是请求给使用者的面部特征，指纹特征以及虹膜特征等特征中的一个或多个。该第一请求信息还可以包括以下至少一个：第一客户端中的用户信息、个人密钥信息和业务密钥标识。其中，该用户信息可以是业务密钥的请求使用者的相关信息；个人密钥信息可以是请求使用者具有的个人密钥，如个人密钥的公钥和/或个人密钥的id等；而业务密钥标识则可以是使用者提供的与其所请求使用的业务密钥的相关信息，如所请求使用的业务密钥的id。
120.服务端接收到第一请求信息，便可以根据第一请求信息中包含的至少一个特征信息来获取业务密钥对应的许可信息。例如根据请求使用者的第一生物特征、用户信息、个人密钥信息和业务密钥标识来获取相应的许可信息，该许可信息可以是服务端预先存储，也可以是服务端从客户端获取。许可信息包括至少一个针对使用业务密钥的许可条款。该许可条款可以是业务密钥的所有者所许可的具体内容。当然同一个业务密钥如果对应了不同的第一客户端，则该许可条款可以并不相同。这使得业务密钥对于不同的使用者可以具有不同的使用方式，使用方式灵活。而该许可条款表征了该业务密钥的具体的使用方式。例如许可生效时间、许可过期时间、许可使用次数以及用途信息等，从而在保证使用者使用该业务密钥的同时还确保了业务密钥并不能被非法使用。
121.请求使用者的第一生物特征可以是面部特征，指纹特征以及虹膜特征等特征中的一个或多个。本实施例中可以对请求使用者的面部特征，指纹特征以及虹膜特征等特征中的一个或多个进行分析。以确定上述信息是否符合第二预设条件，例如是否符合业务密钥所有者所要求的生物特征。而且服务端还需要对许可信息进行分析，确定其是否符合第一预设条件。例如，服务端需要确定许可信息是否有效，许可信息与第一请求信息逻辑上是否抵触，以及第一请求信息所具有的请求内容是否与业务密钥的用途相一致等，当上述的子条件均符合要求则可以确定许可信息符合第一预设条件。
122.本实施例中，第一生物特征符合所述第二预设条件，可以确定请求使用者的身份符合业务密钥所有者的要求，进一步保证了业务密钥的安全性。本实施还需要确定许可信息符合所述第一预设条件，服务端才可以调用业务密钥对待处理数据进行处理，生成相应的处理结果，从而进一步提高了业务密钥使用的安全性。生成处理结果后，服务端也可以将该处理结果发送给第一客户端，从而满足了业务密钥的使用者的使用需求。此外，对于第一预设条件和第二预设条件的具体内容，可以根据实际使用需求来进行设定，例如第一预设条件可以根据业务密钥的具体内容，以及服务端对业务密钥的保密程度来设定。第二预设条件则可以根据请求使用者容貌的改变来做出调整，如可以根据请求使用者的面部特征的胖瘦的改变等来做出调整。
123.本申请实施例还提供了一种服务端，该服务端可以为服务器或者其他具有与服务器相似功能的电子设备，如图5所示，该服务端包括：
124.第一获取模块，其配置为：获取第一客户端发送的第一请求信息，其中，所述第一请求信息用于请求服务端使用存储的业务密钥处理待处理数据，所述第一请求信息包括所述业务密钥的请求使用者的第一生物特征。
125.服务端可以与一个或多个客户端连接，业务密钥的使用者或业务密钥的所有者均对应有相应的客户端。当然，业务密钥的所有者也同时可以为业务密钥的使用者，在此不作限定。本实施中，第一客户端可以是业务密钥的请求使用者所对应的客户端。第一客户端向服务端发送第一请求信息，以请求服务端使用保管的业务密钥来处理待处理数据。第一获取模块获取该第一请求信息，该第一请求信息包括业务密钥的请求使用者的第一生物特征，该第一生物特征可以是请求给使用者的面部特征，指纹特征以及虹膜特征等特征中的一个或多个。该第一请求信息还可以包括以下至少一个：第一客户端中的用户信息、个人密钥信息和业务密钥标识。其中，该用户信息可以是业务密钥的请求使用者的相关信息；个人密钥信息可以是请求使用者具有的个人密钥，如个人密钥的公钥和/或个人密钥的id等；而
业务密钥标识则可以是使用者提供的与其所请求使用的业务密钥的相关信息，如所请求使用的业务密钥的id。
126.第二获取模块，其配置为：基于所述第一请求信息获取所述业务密钥对应的许可信息，其中，所述许可信息包括至少一个针对使用所述业务密钥的许可条款。
127.服务端接收到第一请求信息，第二获取模块便可以根据第一请求信息中包含的至少一个特征信息来获取业务密钥对应的许可信息。例如第二获取模块根据请求使用者的第一生物特征、用户信息、个人密钥信息和业务密钥标识来获取相应的许可信息，该许可信息可以是服务端预先存储，也可以是服务端从客户端获取。许可信息包括至少一个针对使用业务密钥的许可条款。该许可条款可以是业务密钥的所有者所许可的具体内容。当然同一个业务密钥如果对应了不同的第一客户端，则该许可条款可以并不相同。这使得业务密钥对于不同的使用者可以具有不同的使用方式，使用方式灵活。而该许可条款表征了该业务密钥的具体的使用方式。例如许可生效时间、许可过期时间、许可使用次数以及用途信息等，从而在保证使用者使用该业务密钥的同时还确保了业务密钥并不能被非法使用。
128.处理模块，其配置为：分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件；在确定所述许可信息符合所述第一预设条件，且所述第一生物特征符合所述第二预设条件的情况下，调用所述第一请求信息对应的所述业务密钥，以对所述待处理数据进行处理。
129.具体的，请求使用者的第一生物特征可以是面部特征，指纹特征以及虹膜特征等特征中的一个或多个。本实施例中处理模块可以对请求使用者的面部特征，指纹特征以及虹膜特征等特征中的一个或多个进行分析。以确定上述信息是否符合第二预设条件，例如是否符合业务密钥所有者所要求的生物特征。而且处理模块还需要对许可信息进行分析，确定其是否符合第一预设条件。例如，处理模块需要确定许可信息是否有效，许可信息与第一请求信息逻辑上是否抵触，以及第一请求信息所具有的请求内容是否与业务密钥的用途相一致等，当上述的子条件均符合要求则可以确定许可信息符合第一预设条件。
130.本实施例中，第一生物特征符合所述第二预设条件，处理模块可以确定请求使用者的身份符合业务密钥所有者的要求，进一步保证了业务密钥的安全性。本实施处理模块还需要确定许可信息符合所述第一预设条件，才可以调用业务密钥对待处理数据进行处理，生成相应的处理结果，从而进一步提高了业务密钥使用的安全性。生成处理结果后，服务端也可以将该处理结果发送给第一客户端，从而满足了业务密钥的使用者的使用需求。此外，对于第一预设条件和第二预设条件的具体内容，可以根据实际使用需求来进行设定，例如第一预设条件可以根据业务密钥的具体内容，以及服务端对业务密钥的保密程度来设定。第二预设条件则可以根据请求使用者容貌的改变来做出调整，如可以根据请求使用者的面部特征的胖瘦的改变等来做出调整。
131.在本申请的一个实施例中，处理模块进一步配置为：
132.将所述第一生物特征与存储的第二生物特征进行比对，其中，所述第二生物特征预先与所述许可信息进行关联；
133.在确定所述第一生物特征与存储的第二生物特征相同的情况下，确定所述第一生物特征对应的身份信息，以确定所述第一生物特征符合所述第二预设条件。
134.在本申请的一个实施例中，其中，所述第一生物特征和所述第二生物特征均至少
包括以下一种单一特征：面部特征，指纹特征以及虹膜特征；
135.相应的，处理模块进一步配置为：
136.将所述第一生物特征的单一特征与所述第二生物特征中的相对应的单一特征进行比对。
137.在本申请的一个实施例中，处理模块进一步配置为：
138.获取所述许可信息的许可签名；
139.在所述许可签名有效的情况下，基于所述许可签名，确定所述许可信息是否有效，其中所述第一预设条件包括所述许可信息有效的条件。
140.在本申请的一个实施例中，处理模块进一步配置为：
141.获取所述许可条款中使用所述业务密钥的第一用途信息，获取所述第一请求信息中使用所述业务密钥的第二用途信息；
142.确定所述第一用途信息是否与所述第二用途信息相一致，其中，所述第一预设条件包括所述第一用途信息与所述第二用途信息相一致的条件。
143.在本申请的一个实施例中，第一获取模块进一步配置为：接收第二客户端发送的经过了许可签名的所述许可信息，以及与所述许可信息关联的第二生物特征，其中，所述第二生物特征为授权使用所述业务密钥的目标对象的生物特征，所述目标对象的生物特征包括所述请求使用者的所述第一生物特征。
144.在本申请的一个实施例中，所述服务端还包括生成模块，所述生成模块配置为获取所述业务密钥的操作，其中包括：
145.获取所述第二客户端发送的第二请求信息，其中所述第二请求信息包括所述第二客户端中的用户信息和/或客户端密钥信息，其中，所述客户端密钥信息包括所述第二客户端中的个人密钥的公钥和/或个人密钥的标识；
146.基于所述第二请求信息生成相应的所述业务密钥；
147.将所述用户信息和/或所述客户端密钥信息与生成的所述业务密钥进行绑定。
148.在本申请的一个实施例中，所述服务端还包括生成模块，所述生成模块配置为获取所述业务密钥的操作，其中包括：
149.接收外部设备直接导入或通过所述第二客户端导入的所述业务密钥；
150.获取所述第二客户端发送的所述用户信息和/或所述客户端密钥信息，其中，所述客户端密钥信息包括所述第二客户端中的个人密钥的公钥和/或个人密钥的标识；
151.将所述用户信息和/或所述客户端密钥信息与获取到的所述业务密钥进行绑定。
152.在本申请的一个实施例中，第一获取模块进一步配置为：接收所述第一客户端发送的所述待处理数据，其中，所述待处理数据与所述第一生物特征相关联。
153.在本申请的一个实施例中，所述第一请求信息还包括以下至少一个：所述第一客户端中的用户信息、个人密钥信息和业务密钥标识。
154.本申请实施例还提供了一种管理系统，包括如上所述的服务端，还包括至少一个如上所述的第一客户端，以及如上所述的第二客户端。其中第一客户端可以为业务密钥的请求使用者所对应的客户端，而第二客户端则可以为业务密钥的所有者所对应的客户端。
155.本申请实施例还提供了一种一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在计算机上运行时，实现如下步骤：
156.获取第一客户端发送的第一请求信息，其中，所述第一请求信息用于请求服务端使用存储的业务密钥处理待处理数据，所述第一请求信息包括所述业务密钥的请求使用者的第一生物特征。
157.服务端可以与一个或多个客户端连接，业务密钥的使用者或业务密钥的所有者均对应有相应的客户端。当然，业务密钥的所有者也同时可以为业务密钥的使用者，在此不作限定。本实施中，第一客户端可以是业务密钥的请求使用者所对应的客户端。第一客户端向服务端发送第一请求信息，以请求服务端使用保管的业务密钥来处理待处理数据。第一请求信息包括业务密钥的请求使用者的第一生物特征，该第一生物特征可以是请求给使用者的面部特征，指纹特征以及虹膜特征等特征中的一个或多个。该第一请求信息还可以包括以下至少一个：第一客户端中的用户信息、个人密钥信息和业务密钥标识。其中，该用户信息可以是业务密钥的请求使用者的相关信息；个人密钥信息可以是请求使用者具有的个人密钥，如个人密钥的公钥和/或个人密钥的id等；而业务密钥标识则可以是使用者提供的与其所请求使用的业务密钥的相关信息，如所请求使用的业务密钥的id。
158.基于所述第一请求信息获取所述业务密钥对应的许可信息，其中，所述许可信息包括至少一个针对使用所述业务密钥的许可条款。
159.服务端接收到第一请求信息，便可以根据第一请求信息中包含的至少一个特征信息来获取业务密钥对应的许可信息。例如根据请求使用者的第一生物特征、用户信息、个人密钥信息和业务密钥标识来获取相应的许可信息，该许可信息可以是服务端预先存储，也可以是服务端从客户端获取。许可信息包括至少一个针对使用业务密钥的许可条款。该许可条款可以是业务密钥的所有者所许可的具体内容。当然同一个业务密钥如果对应了不同的第一客户端，则该许可条款可以并不相同。这使得业务密钥对于不同的使用者可以具有不同的使用方式，使用方式灵活。而该许可条款表征了该业务密钥的具体的使用方式。例如许可生效时间、许可过期时间、许可使用次数以及用途信息等，从而在保证使用者使用该业务密钥的同时还确保了业务密钥并不能被非法使用。
160.分别对所述许可信息和所述第一生物特征进行分析，确定所述许可信息是否符合第一预设条件，以及所述第一生物特征是否符合第二预设条件。
161.请求使用者的第一生物特征可以是面部特征，指纹特征以及虹膜特征等特征中的一个或多个。本实施例中可以对请求使用者的面部特征，指纹特征以及虹膜特征等特征中的一个或多个进行分析。以确定上述信息是否符合第二预设条件，例如是否符合业务密钥所有者所要求的生物特征。而且服务端还需要对许可信息进行分析，确定其是否符合第一预设条件。例如，服务端需要确定许可信息是否有效，许可信息与第一请求信息逻辑上是否抵触，以及第一请求信息所具有的请求内容是否与业务密钥的用途相一致等，当上述的子条件均符合要求则可以确定许可信息符合第一预设条件。
162.在确定所述许可信息符合所述第一预设条件，且所述第一生物特征符合所述第二预设条件的情况下，调用所述第一请求信息对应的所述业务密钥，以对所述待处理数据进行处理。
163.本实施例中，第一生物特征符合所述第二预设条件，可以确定请求使用者的身份符合业务密钥所有者的要求，进一步保证了业务密钥的安全性。本实施还需要确定许可信息符合所述第一预设条件，服务端才可以调用业务密钥对待处理数据进行处理，生成相应
的处理结果，从而进一步提高了业务密钥使用的安全性。生成处理结果后，服务端也可以将该处理结果发送给第一客户端，从而满足了业务密钥的使用者的使用需求。此外，对于第一预设条件和第二预设条件的具体内容，可以根据实际使用需求来进行设定，例如第一预设条件可以根据业务密钥的具体内容，以及服务端对业务密钥的保密程度来设定。第二预设条件则可以根据请求使用者容貌的改变来做出调整，如可以根据请求使用者的面部特征的胖瘦的改变等来做出调整。
164.以上实施例仅为本申请的示例性实施例，不用于限制本申请，本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内，对本申请做出各种修改或等同替换，这种修改或等同替换也应视为落在本申请的保护范围内。