一种数据加密方法及装置与流程

本发明涉及数据安全技术领域，特别是指一种数据传输方法及装置。

背景技术：

密码技术是保障信息和数据安全的基本手段，但传统的密码机制、体系和技术所要求的算法是公开的，整个系统的安全完全依赖于密钥的安全。长的密码安全性高但不便记忆和管理，短的密码容易记忆但是也容易被破解。为了克服密钥安全性和易记性之间的矛盾，用户往往会将密钥记录和保存起来，这样又带来了密钥被泄露和被窃取的风险。同时密钥与用户之间缺乏对应的必然联系，系统只能鉴别密钥的正确性，无法判断密钥使用者是否是其合法拥有者，从而导致密钥的非法共享、冒用和篡用现象，给系统的信息和数据安全带来风险。

传统的密钥保护机制有口令(如：密码)和实物凭证(印章、数字水印、u盾等)两大类方法，但这两类方法都不能解决密钥拥有者与使用者的唯一绑定/对应关系的确认与核实，从而给系统和信息安全带来风险。

随着移动互联网应用的日益丰富，大数据和云计算技术的发展和广泛应用，与个人相关的信息出现井喷式的增长，而对个人信息(尤其是其中涉及到隐私的信息)的保护却显得非常薄弱，迫切需要一种高效、安全、便捷的个人隐私信息保护方法和机制。由于人的生物特征具有“人人拥有、各自不同”的特点，同时具有随身携带、不易丢失、不易被窃取和遗忘、难以破解、有效性、安全性、便捷性等突出优点，使得生物特征识别技术在信息安全、身份认证、密码等领域得到了广泛的应用。

生物特征虽然可以用于个体的区分，但当样本规模达到一定程度的时候，将使得不同个体具备相似的生物特征的可能性大大增加，同时，由于生物特征自身的微弱变化以及采集装置造成的误差，使得即便是相同的个体，不同的时 间采集到的生物特征也不能保持完全一致，再加上生物特征的预处理、特征向量提取等环节中带来的误差，使得生物特征很难用于产生唯一的密钥，而唯一确定的密钥是现有加解密体系和方法的基本要求。

综上所述，目前传统的安全机制都是面向“物”的(包括：密码、u盾等)，只是实现了“物”的合法身份校验；而不是面向“人”的，以实现“人”的合法身份校验；或者是将“物”的校验(即：密码、u盾等校验)与“人”的校验(即：身份认证、权限核实与管理等)分开实现。无法做到密钥与合法拥有者和使用者的统一，迫切需要一种与个人对应的密钥产生机制，并以此来对其个人隐私信息进行保护的方法。

技术实现要素：

本发明的目的在于提供一种数据加密方法及装置，用以解决现有密钥与用户之间缺乏对应关系，无法判断密钥使用者是否是其合法拥有者的问题。

为了实现上述目的，本发明提供了一种数据加密方法，包括：

获取用户的生物特征数据；

根据所述生物特征数据，生成特征向量；

根据预定算法对所述特征向量进行处理，生成与所述用户对应的个人密钥；

根据所述个人密钥对所述用户的待加密信息进行加密处理。

其中，所述根据预定算法对所述特征向量进行处理，生成与所述用户对应的个人密钥，包括：

根据所述预定算法对所述特征向量进行序列化处理，得到序列化后的特征向量；

根据所述预定算法从所述序列化后的特征向量中，提取出符合均匀分布的序列数据作为与所述用户对应的个人密钥。

其中，所述根据所述预定算法从所述序列化后的特征向量中，提取出符合均匀分布的序列数据作为与所述用户对应的个人密钥，包括：

根据预设随机生成方法将所述序列化后的特征向量分解为残差序列和随机序列；

判断所述随机序列是否符合均匀分布；

若所述随机序列符合均匀分布，则将所述随机序列作为与所述用户对应的个人密钥，并对所述残差序列进行可逆加密处理，得到一公开密钥；

若所述随机序列不符合均匀分布，则重新根据所述预设随机生成方法对所述序列化后的特征向量进行分解处理，直至得到符合均分分布的随机序列，并将重新分解出的符号均匀分布的随机序列作为与所述用户对应的个人密钥。

其中，所述判断所述随机序列是否符合均匀分布，包括：

在所述随机序列中提取多个随机均匀分布子序列；

判断多个所述随机均匀分布子序列之间的距离值是否处于预设范围内；

若多个所述随机子序列之间的距离值处于所述预设范围内，则判断出所述随机序列符合均匀分布，否则，不符合均匀分布。

其中，上述数据加密方法，还包括：

对所述用户已加密的信息进行解密时，从当前获取的生物特征数据中重新提取出序列化后的特征向量；

根据重新提取出的序列化后的特征向量和所述公开密钥重新建立一个人密钥；

根据重新建立的个人密钥对所述用户已加密的信息进行解密处理。

本发明的实施例还提供了一种数据加密装置，包括：

第一获取模块，用于获取用户的生物特征数据；

第一生成模块，用于根据所述生物特征数据，生成特征向量；

第二生成模块，用于根据预定算法对所述特征向量进行处理，生成与所述用户对应的个人密钥；

加密模块，用于根据所述个人密钥对所述用户的待加密信息进行加密处理。

其中，所述第二生成模块包括：

获取子模块，用于根据所述预定算法对所述特征向量进行序列化处理，得到序列化后的特征向量；

提取子模块，用于根据所述预定算法从所述序列化后的特征向量中，提取出符合均匀分布的序列数据作为与所述用户对应的个人密钥。

其中，所述提取子模块包括：

分解单元，用于根据预设随机生成方法将所述序列化后的特征向量分解为 残差序列和随机序列；

判断单元，用于判断所述随机序列是否符合均匀分布；

确定单元，用于若所述随机序列符合均匀分布，则将所述随机序列作为与所述用户对应的个人密钥，并对所述残差序列进行可逆加密处理，得到一公开密钥；

处理单元，用于若所述随机序列不符合均匀分布，则重新根据所述预设随机生成方法对所述序列化后的特征向量进行分解处理，直至得到符合均分分布的随机序列，并将重新分解出的符号均匀分布的随机序列作为与所述用户对应的个人密钥。

其中，所述判断单元包括：

提取子单元，用于在所述随机序列中提取多个随机均匀分布子序列；

判断子单元，用于判断多个所述随机均匀分布子序列之间的距离值是否处于预设范围内；

确定子单元，用于若多个所述随机子序列之间的距离值处于所述预设范围内，则判断出所述随机序列符合均匀分布，否则，不符合均匀分布。

其中，上述数据加密装置，还包括：

第二获取模块，用于对所述用户已加密的信息进行解密时，从当前获取的生物特征数据中重新提取出序列化后的特征向量；

重建模块，用于根据重新提取出的序列化后的特征向量和所述公开密钥重新建立一个人密钥；

解密模块，用于根据重新建立的个人密钥对所述用户已加密的信息进行解密处理。

本发明实施例具有以下有益效果：

本发明实施例的数据加密方法，获取用户的生物特征数据；根据所述生物特征数据，生成特征向量；根据预定算法对所述特征向量进行处理，生成与所述用户对应的个人密钥；根据个人密钥对所述用户的待加密信息进行加密处理。本发明实施例根据用户的生物特征数据生成与该用户对应的个人密钥，并对待加密信息进行加密处理，使得密钥与用户建立对应关系，防止密钥被冒用及窃取风险，从而增强了用户个人信息的安全性。

附图说明

图1为本发明实施例的数据加密方法的第一工作流程图；

图2为本发明实施例的数据加密方法的第二工作流程图；

图3为本发明实施例的数据加密方法的第三工作流程图；

图4为本发明实施例的数据加密装置的结构示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合具体实施例及附图进行详细描述。

目前，生物特征技术通常是用于用户身份识别和认证，通过识别认证后按照既有的规则给合法用户分配一个密钥，但存在以下缺点：

(1)不是从生物特征本身出发生成密钥，往往是对生物特征本身不进行特殊处理，而只是用外部生成的密钥对生物特征进行加密，此类方法使得加密后的数据不能与生物特征产生一一对应的关系，同时其安全性有赖于外部生成的密钥本身以及所采用的加解密机制和体系。

(2)存在绕过身份认证和识别环节，直接冒用、窃取密钥的风险。

(3)现有的隐私保护方法主要是对待保护的敏感和隐私信息进行加密，而加密的密钥生成和分配机制与敏感和隐私信息的所有者个人是完全割裂开而没有任何关系的，这不利于个人隐私信息有针对性的和个性化的保护。

(4)现有的方法主要是对用于身份认证和识别的生物特征信息进行加密和变换，以增加生物特征信息被盗用和破解的难度，从而保证存储在用户设备上的个人生物特征信息的安全性和唯一性。

基于此，本发明的实施例提供了一种数据加密方法及装置，解决了现有密钥与用户之间缺乏对应关系，无法判断密钥使用者是否是其合法拥有者的问题。

第一实施例：

如图1所示，本发明实施例的数据加密方法，包括：

步骤11：获取用户的生物特征数据。

这里，可具体通过各种类型的生物特征传感设备采集用户的生物特征数据， 其中，生物特征可具体为指纹、虹膜、声音、人脸、掌纹、静脉等。

步骤12：根据所述生物特征数据，生成特征向量。

具体的，通过特征提取的方法从上述用户的生物特征数据中提取生物特征，且可根据用户需要对提取出的生物特征进行融合处理，然后将生物特征(包括融合后的生物特征)向量化，生成特定长度的数据串。

步骤13：根据预定算法对所述特征向量进行处理，生成与所述用户对应的个人密钥。

在本发明的具体实施例中，将特征向量数据串进行序列化，并通过密钥提取算法从中提取稳定的序列化数据作为与此用户唯一对应的密钥。这里，稳定的序列化数据是指符合均匀分布的序列数据。

步骤14：根据所述个人密钥对所述用户的待加密信息进行加密处理。

在本发明的具体实施例中，可根据上述个人密钥采用非对称算法，如rsa加密算法、椭圆加密算法ecc等，对用户的待加密信息进行加密处理。

本发明实施例的数据加密方法，根据用户的生物特征数据生成与该用户对应的个人密钥，并对待加密信息进行加密处理，使得密钥与用户建立对应关系，防止密钥被冒用及窃取风险，从而增强了用户个人信息的安全性。

第二实施例：

如图2所示，本发明实施例的数据加密方法，包括：

步骤21：获取用户的生物特征数据。

这里，可具体通过各种类型的生物特征传感设备采集用户的生物特征数据，其中，生物特征可具体为指纹、虹膜、声音、人脸、掌纹、静脉等。

步骤22：根据所述生物特征数据，生成特征向量。

步骤23：根据所述预定算法对所述特征向量进行序列化处理，得到序列化后的特征向量。

在本发明的具体实施例中，根据预定算法的需求，将不同长度的特征值向量(或不同格式的待保护信息和数据)转化为指定长度的序列。

步骤24：根据所述预定算法从所述序列化后的特征向量中，提取出符合均匀分布的序列数据作为与所述用户对应的个人密钥。

本发明从固定长度序列中生成唯一的序列作为个人密钥，个人密钥长度可 根据不同需求进行选择(比如：128位、192位、256位等)。具体的，首先根据预设随机生成方法将所述序列化后的特征向量分解为残差序列和随机序列；判断所述随机序列是否符合均匀分布；若所述随机序列符合均匀分布，则将所述随机序列作为与所述用户对应的个人密钥，并对所述残差序列进行可逆加密处理，得到一公开密钥；若所述随机序列不符合均匀分布，则重新根据所述预设随机生成方法对所述序列化后的特征向量进行分解处理，直至得到符合均分分布的随机序列，并将重新分解出的符号均匀分布的随机序列作为与所述用户对应的个人密钥。

进一步地，上述判断所述随机序列是否符合均匀分布可具体包括：

在所述随机序列中提取多个随机均匀分布子序列；

判断多个所述随机均匀分布子序列之间的距离值是否处于预设范围内；

若多个所述随机子序列之间的距离值处于所述预设范围内，则判断出所述随机序列符合均匀分布，否则，不符合均匀分布。

步骤25：根据所述个人密钥对所述用户的待加密信息进行加密处理。

本发明实施例的数据加密方法，通过对应的采集设备采集个人生物特征数据(如：指纹、虹膜、声音、人脸、掌纹、静脉等)，并通过特征提取的方法提取其中特征并生成特征向量，依据此特征向量利用具有容错能力的密钥生成器生成与该用户个人唯一对应的个人密钥，并用此个人密钥对该用户相关的隐私数据和信息进行加密保护，使用该方法用户将不用特意记录和保管密钥，同时密钥的安全性、抗仿冒性、加密强度及破解的难度均得到很大增强。

进一步地，本发明实施例的数据加密算法，还包括：

对所述用户已加密的信息进行解密时，从当前获取的生物特征数据中重新提取出序列化后的特征向量；

根据重新提取出的序列化后的特征向量和所述公开密钥重新建立一个人密钥；

根据重新建立的个人密钥对所述用户已加密的信息进行解密处理。

在本发明的具体实施例中，对已加密信息进行解密时，将重新提取出的序列化后的特征向量和公开密钥通过序列重建方法，得到稳定唯一的个人密钥，并以此进行解密处理。其中随机生成和序列重建是该步骤的关键，可以使用模 糊方法、粗糙集方法以及基于概率统计的方法来实现。

本发明实施例的数据加密方法，无需保存或管理用于加密的个人密钥，当加密保护后的隐私数据需要解密的时候，从当前的生物特征数据中提取出序列化特征向量，并结合公开密钥来重建唯一的确定的个人密钥，并用于已加密信息的解密。在本发明的具体实施例中，也可只保存从个人密钥中变换或提取出的特征值(可利用md5等算法)，并将重新建立的个人密钥的特征值与存储的密钥特征值进行比对，并在一致时对隐私数据进行解密处理，以此保证使用或操作隐私数据的当前用户为数据拥有者本人，增强用户隐私数据的安全性。

第三实施例：

如图3所示，本发明实施例的数据加密方法，包括：

步骤31：获取用户的生物特征信息，并生成特征向量。

步骤32：对特征向量进行融合处理。

步骤33：对融合处理后的特征向量进行序列化处理，得到序列化后的特征向量。

步骤34：根据密钥生成算法，得到随机序列和残差序列。

步骤35：判断所述随机序列是否稳定。

步骤36：若稳定，则将该随机序列作为与所述用户位于对应的个人密钥，并对残差序列进行可逆加密处理，得到一公开密钥。

步骤37：若不稳定，则重新生成随机序列和残差序列，直至得到的随机序列符合均匀分布，将此随机序列对待加密信息进行加密，同时，将此时对应的残差序列经过可逆变换后得到公开密钥，并返回步骤35。

步骤38：根据个人密钥对序列化后的待加密隐私及敏感信息进行加密或解密处理。

其中，首先要对用户的待加密隐私及敏感信息(若文本、表、键值对、xml)等进行格式转换(归一化、序列化)处理，得到隐私信息序列。

本发明实施例的数据加密方法，系统无需保存用户密钥本身，需要使用的时候直接从用户当前的生物特征中提取，增强了系统的安全性，且本发明实施例的个人密钥与用户本人一一对应，加大仿冒、盗用的难度。

第四实施例：

如图4所示，本发明还提供了一种数据加密装置，包括：

第一获取模块41，用于获取用户的生物特征数据；

第一生成模块42，用于根据所述生物特征数据，生成特征向量；

第二生成模块43，用于根据预定算法对所述特征向量进行处理，生成与所述用户对应的个人密钥；

加密模块44，用于根据所述个人密钥对所述用户的待加密信息进行加密处理。

本发明实施例的数据加密装置，所述第二生成模块43包括：

获取子模块431，用于根据所述预定算法对所述特征向量进行序列化处理，得到序列化后的特征向量；

提取子模块432，用于根据所述预定算法从所述序列化后的特征向量中，提取出符合均匀分布的序列数据作为与所述用户对应的个人密钥。

本发明实施例的数据加密装置，所述提取子模块432包括：

分解单元4321，用于根据预设随机生成方法将所述序列化后的特征向量分解为残差序列和随机序列；

判断单元4322，用于判断所述随机序列是否符合均匀分布；

确定单元4323，用于若所述随机序列符合均匀分布，则将所述随机序列作为与所述用户对应的个人密钥，并对所述残差序列进行可逆加密处理，得到一公开密钥；

处理单元4324，用于若所述随机序列不符合均匀分布，则重新根据所述预设随机生成方法对所述序列化后的特征向量进行分解处理，直至得到符合均分分布的随机序列，并将重新分解出的符号均匀分布的随机序列作为与所述用户对应的个人密钥。

本发明实施例的数据加密装置，所述判断单元4322包括：

提取子单元43221，用于在所述随机序列中提取多个随机均匀分布子序列；

判断子单元43222，用于判断多个所述随机均匀分布子序列之间的距离值是否处于预设范围内；

确定子单元43223，用于若多个所述随机子序列之间的距离值处于所述预设范围内，则判断出所述随机序列符合均匀分布，否则，不符合均匀分布。

本发明实施例的数据加密装置，还包括：

第二获取模块45，用于对所述用户已加密的信息进行解密时，从当前获取的生物特征数据中重新提取出序列化后的特征向量；

重建模块46，用于根据重新提取出的序列化后的特征向量和所述公开密钥重新建立一个人密钥；

解密模块47，用于根据重新建立的个人密钥对所述用户已加密的信息进行解密处理。

需要说明的是，该装置是与上述方法实施例对应的装置，上述方法实施例中所有实现方式均适用于该装置的实施例中，也能达到相同的技术效果。

本发明实施例的数据加密方法及装置，获取用户的生物特征数据；根据所述生物特征数据，生成特征向量；根据预定算法对所述特征向量进行处理，生成与所述用户对应的个人密钥；根据所述个人密钥对所述用户的待加密信息进行加密处理。本发明实施例根据用户的生物特征数据生成与该用户对应的个人密钥，并对待加密信息进行加密处理，使得密钥与用户建立对应关系，防止密钥被冒用及窃取风险，从而增强了用户个人信息的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。