一种活体人像照片加密、解密方法及加解密系统与流程

本发明涉及信息保密领域，更具体地，涉及一种活体人像照片加密、解密方法及加解密系统。

背景技术：

随着互联网时代的到来，互联网+的飞跃发展，来自互联网的系统安全漏洞、病毒木马、信息泄露等信息安全问题日益突出。当前，在社会治安领域，基于公民身份验证提供服务的场景越来越多，因公民信息泄露导致的骚扰广告、诈骗横行等问题成为重中之重。

公民身份验证服务需通过互联网采集生物特征信息，采集的信息传输到公安内网进行识别认证，对公安内网的访问、对个人用户的信息保护需要建立安全防护体系，如何在保护个人信息安全的前提下，通过互联网提供个人身份验证服务，是有效提高互联网+公安政务服务的关键技术。因此，有必要开发一种活体人像照片加解密方法。

公开于本发明背景技术部分的信息仅仅旨在加深对本发明的一般背景技术的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。

技术实现要素：

本发明提出了一种活体人像照片加密、解密方法及加解密系统，其能够通过对互联网端采集的活体人像生物信息进行加密解决个人信息被泄露、被冒用等问题，通过在服务端与终端建立安全通信管道解决个人信息被攻击、被篡改等问题，通过服务端解密控件验证加密信息的安全性，建设全面的安全防护体系，加强互联网+公安政务服务平台建设，保护公民个人信息安全。

根据本发明的一方面，提出了一种活体人像照片加密方法。所述方法可以包括：

生成随机数序列作为随机密钥；

利用所述随机密钥对活体人像照片加密，生成照片数据密文；

利用加密公钥对所述随机密钥进行加密，生成加密随机密钥；

根据所述照片数据密文生成摘要数据；

利用用户证书私钥对所述摘要数据签名生成签名数据；

利用应用程序私钥对用户信息进行加密生成id密文；

基于所述照片数据密文、所述加密随机密钥、所述签名数据和用户id密文以及用户id生成业务报文。

优选地，利用所述随机密钥对用户证书进行加密生成用户证书密文，并将所述用户证书密文添加至业务报文中。

优选地，利用所述随机密钥对所述token令牌及序列号进行加密生成密文，并将生成的token令牌及序列号密文添加至所述业务报文中。

根据本发明的另一方面，提出了一种活体人像照片解密方法，对活体人像照片加密方法生成的业务报文进行解密，包括：

接收所述业务报文；

利用所述业务报文中的用户id及数据库存储的应用程序公钥解密用户id信息；

调用解密私钥对所述加密随机密钥进行解密，获取随机密钥；

获取用户证书公钥对所述签名数据验签；

利用所述解密出的随机密钥对所述照片数据密文解密，获得照片数据。

优选地，还包括利用所述随机密钥解密所述用户证书密文获得用户证书，并验证所述用户证书是否合法及有效，判定有效后再进行所述签名数据验签。

优选地，还包括利用所述随机密钥对token令牌及序列号密文进行解密，获得token令牌及序列号。

根据本发明的再一方面，提出了一种活体人像照片加解密系统，其特征在于，包括：客户端和服务端；

所述客户端，用于生成随机数序列作为随机密钥；利用所述随机密钥对活体人像照片加密，生成照片数据密文；利用加密公钥对所述随机密钥进行加密，生成加密随机密钥；根据所述照片数据密文生成摘要数据；利用用户证书私钥对所述摘要数据签名生成签名数据；利用应用程序私钥对用户信息进行加密生成id密文；基于所述照片数据密文、所述加密随机密钥、所述签名数据和用户id密文以及用户id生成业务报文并发送所述业务报文；

所述服务端，用于接收所述业务报文；利用所述业务报文中的用户id及数据库存储的认证公钥解密用户id信息；调用解密私钥对所述加密随机密钥进行解密，获取随机密钥；获取用户证书公钥对所述签名数据验签；利用所述解密出的随机密钥对所述照片数据密文解密，获得照片数据。

优选地，所述客户端还包括人像采集单元，用于进行活体人像照片采集。

优选地，在进行活体人像照片加密前通过以下步骤对所述客户端进行认证、激活及登录授权：

所述认证步骤包括：

所述客户端发送认证申请信息到所述服务端；

所述服务端对所述认证申请信息审核，审核通过后保存认证id、应用程序公钥和认证公钥到数据库，发送所述认证id、认证公钥和认证私钥到所述客户端；

所述激活步骤包括：

所述客户端利用所述认证私钥对提交的使用用户信息、使用用户的用户证书、用户证书公钥及认证id进行加密，生成激活加密信息，并将所述激活加密信息发送到所述服务端；

所述服务端利用所述认证公钥对所述激活加密信息进行解密，通过根证书验证所述用户证书，保存用户证书公钥，验证通过后发送激活成功指令到所述客户端完成激活；

所述登录授权步骤包括：

所述客户端利用所述认证私钥对提交的客户端使用用户信息、使用用户的用户证书及认证id进行加密，生成授权登录加密信息，并将所述授权登录加密信息发送到所述服务端；

所述服务端利用所述认证公钥对所述授权登录加密信息进行解密，通过根证书验证所述用户证书，验证通过后发送token令牌及加密公钥到所述客户端完成授权登录。

优选地，所述token令牌存在生存周期，当用户使用的token令牌过期，自动进行客户端授权登录获取新的token令牌。

本发明的有益效果在于：通过建立包括多层加密、解密体系的系统，加强了对照片信息的安全性的保护，完善了安全防护体系，加强互联网+公安政务服务平台建设，保护公民个人信息安全。

本发明具有其它的特性和优点，这些特性和优点从并入本文中的附图和随后的具体实施方式中将是显而易见的，或者将在并入本文中的附图和随后的具体实施方式中进行详细陈述，这些附图和具体实施方式共同用于解释本发明的特定原理。

附图说明

通过结合附图对本发明示例性实施例进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显，其中，在本发明示例性实施例中，相同的参考标号通常代表相同部件。

图1示出了根据本发明的活体人像照片加密方法的步骤的流程图；

图2示出了根据本发明的活体人像照片解密方法的步骤的流程图；

图3示出了根据本发明的活体人像照片加解密系统的认证的步骤的流程图；

图4示出了根据本发明的活体人像照片加解密系统的激活的步骤的流程图；

图5示出了根据本发明的活体人像照片加解密系统的登录授权的步骤的流程图。

具体实施方式

下面将参照附图更详细地描述本发明。虽然附图中显示了本发明的优选实施例，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了使本发明更加透彻和完整，并且能够将本发明的范围完整地传达给本领域的技术人员。

图1示出了根据本发明的活体人像照片加密方法的步骤的流程图。

在该实施例中，根据本发明的活体人像照片加密方法可以包括：

步骤101，生成随机数序列作为随机密钥；

在一个示例中，使用加密控件生成随机sm4密钥作为后续随机密钥。

步骤102，利用所述随机密钥对活体人像照片加密，生成照片数据密文；

步骤103，利用加密公钥对所述随机密钥进行加密，生成加密随机密钥；

步骤104，根据所述照片数据密文生成摘要数据；

在一个示例中，利用sm3国密摘要算法对照片数据密文进行摘要运算，sm3杂凑算法是我国自主设计的密码杂凑算法满足多种密码应用的安全需求。为了保证杂凑算法的安全性，其产生的杂凑值的长度不应太短，例如md5输出128比特杂凑值，输出长度太短，影响其安全性sha-1算法的输出长度为160比特，sm3算法的输出长度为256比特，因此sm3算法的安全性要高于md5算法和sha-1算法。

步骤105，利用用户证书私钥对所述摘要数据签名生成签名数据；

步骤106，利用所述随机密钥对用户证书进行加密生成用户证书密文；

步骤107，利用应用程序私钥对用户信息进行加密生成id密文；

步骤108，利用所述随机密钥对所述token令牌及序列号进行加密生成token令牌及序列号密文；

步骤109，基于所述照片数据密文、所述加密随机密钥、所述签名数据和用户id密文以及用户id生成业务报文。图2示出了根据本发明的活体人像照片解密方法的步骤的流程图。

在该实施例中，根据本发明的活体人像照片加密方法可以包括：

步骤201，接收所述业务报文；

步骤202，利用所述业务报文中的用户id及数据库中存储的应用程序公钥解密出用户id信息；

步骤203，调用解密私钥对加密随机密钥进行解密，获取随机密钥；

步骤204，利用所述随机密钥解密所述用户证书密文获得用户证书，并验证所述用户证书是否合法及有效，判定有效后再进行步骤205；

步骤205，获取用户证书公钥对签名数据验签，签名正确后再进行步骤206；

步骤206，利用所述随机密钥对token令牌及序列号密文进行解密，获得token令牌及序列号，当token令牌未过期，继续执行步骤207；

步骤207，利用所述解密出的随机密钥对所述照片数据密文解密，获得照片数据。

在一个示例中，利用有生存周期的token令牌，保证了接入的安全性，通过token令牌的生存期也可以达到定期更换加密公钥的作用，更进一步的保证了接入的安全性。获取证书签发的根证书及证书失效名单的同步，对证书进行各个环节的验签，保证证书的安全性及有效性；通过对业务数据加密、对加密密钥加密、对加密数据签名，进行多重加密保护，保证了数据的安全性，加强报文数据的防抵赖、防篡改。

具体地，使用了采用国密算法sm2、sm4进行加解密，避免了采用商密算法导致泄密的风险。sm4是2006年中国公布的无限局域网产品使用的sm4密码算法，sm2算法由中国国家密码管理局于2010年12月17日发布，全称为椭圆曲线算法。

根据本发明的活体人像照片加解密系统可以包括：客户端和服务端；

客户端，用于生成随机数序列作为随机密钥；利用所述随机密钥对活体人像照片加密，生成照片数据密文；利用加密公钥对所述随机密钥进行加密，生成加密随机密钥；根据所述照片数据密文生成摘要数据；利用用户证书私钥对所述摘要数据签名生成签名数据；利用应用程序私钥对用户信息进行加密生成id密文；基于所述照片数据密文、所述加密随机密钥、所述签名数据和用户id密文以及用户id生成业务报文并发送所述业务报文；

服务端，用于接收所述业务报文；利用所述业务报文中的用户id及数据库存储的认证公钥解密用户id信息；调用解密私钥对所述加密随机密钥进行解密，获取随机密钥；获取用户证书公钥对所述签名数据验签；利用所述解密出的随机密钥对所述照片数据密文解密，获得照片数据。

在一个示例中，客户端还包括人像采集单元，用于进行活体人像照片采集。

具体地，客户端中还设有加密控件，用于生成随机密钥以及可以调用加密控件中的其他密钥进行加密。服务端中设有解密控件，用于调用解密控件中的密钥进行解密。同时，在客户端中，设有硬件加密卡，用于获取用户证书，用户证书公钥通过在客户端激活时通过加密方式被传输到服务端，服务端能够通过接口获取ca中心根证书以及实时同步证书失效名单，验签证书的安全性及有效性，用户证书采用x.509证书，能够与ca证书相适应。在服务端中还设有加密机，用于管理加密公私钥，加密公私钥的生成、发放、调用均在加密机内部完成，保证加解密环节的安全性。

在一个示例中，图3示出了活体人像照片加解密系统的认证的步骤的流程图，在该示例中，认证步骤包括：

步骤301，客户端发送认证申请信息到服务端；

步骤302，服务端对所述认证申请信息审核，审核通过后保存认证id、应用程序公钥和认证公钥到数据库，发送所述认证id、认证公钥和认证私钥到所述客户端；

图4示出了活体人像照片加解密系统的激活的步骤流程图，在该示例性实施例中，激活步骤包括：

步骤401，客户端利用所述认证私钥对提交的使用用户信息、使用用户的用户证书及认证id进行加密，生成激活加密信息，并将所述激活加密信息发送到所述服务端；

步骤402，服务端利用所述认证公钥对所述激活加密信息进行解密，通过根证书验证所述用户证书，验证通过后发送激活成功指令到所述客户端完成激活；

图5示出了活体人像照片加解密系统的登录授权步骤的流程图，在该示例性实施例中，登录授权步骤包括：

步骤501，客户端利用所述认证私钥对提交的客户端使用用户信息、使用用户的用户证书、用户证书公钥及认证id进行加密，生成授权登录加密信息，并将所述授权登录加密信息发送到所述服务端；

步骤502，服务端利用所述认证公钥对所述授权登录加密信息进行解密，通过根证书验证所述用户证书，保存用户证书公钥，验证通过后发送token令牌及加密公钥到所述客户端完成授权登录。

在一个示例中，token令牌存在生存周期，当用户使用的token令牌过期，自动进行客户端授权登录获取新的token令牌。

综上所述，本发明通过经过设备安全认证、设备注册激活、设备登录授权环节，获取加密环节所需的公私钥及有生存期的token令牌，保证接入设备的安全性，并能够通过token令牌的生存期定期更换加密公钥，保证接入系统的安全性；通过获取证书签发的根证书及证书失效名单的同步，对证书进行各个环节的验签，保证证书的安全性及有效性；通过对业务数据加密、对加密密钥加密、对加密数据签名，进行多重加密保护，保证了数据的安全性，加强报文数据的防抵赖、防篡改，保证了密文数据的安全通信，避免采集信息的泄露、传输过程的被攻击被篡改等安全风险，有效保护个人信息的隐私安全、互联网到公安内网的通信安全，为互联网+公安政务服务提供安全通道，促进互联网+的实名认证、实名验证服务。

本领域技术人员应理解，上面对本发明的实施例的描述的目的仅为了示例性地说明本发明的实施例的有益效果，并不意在将本发明的实施例限制于所给出的任何示例。

以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。