生物特征数据处理方法、装置、电子设备和存储介质

技术领域

本发明涉及信息技术领域，尤其涉及数据安全和隐私保护的领域，具体涉及一种生物特征数据处理方法、装置、电子设备和存储介质。

背景技术

目前，生物特征数据的隐私和安全问题已经成为当前数据安全和隐私保护领域面临的严峻挑战。传统的生物特征数据加密技术通常采用对生物特征数据进行加密传输或者加密存储的方法，但这些技术存在以下缺点和不足：首先，传统的生物特征数据加密技术难以避免生物特征数据的泄露和盗取，因为这些数据在加密传输或者加密存储过程中仍然会暴露在网络或存储介质上。黑客或者其他恶意攻击者可能会利用漏洞或者技术手段获取这些数据，导致用户的隐私和安全受到威胁。其次，传统的生物特征数据加密技术对于密钥的保管，通常采用硬件存储或软件存储，但是现有存储方式容易被攻击，而导致密钥丢失。

发明内容

本发明提供了一种生物特征数据处理方法、装置、电子设备和存储介质。

根据本发明的一方面，提供了一种生物特征数据处理方法，包括：

获取待处理生物特征数据和目标设备的身份标识数据；

基于预设密钥生成算法和所述目标设备的身份标识数据生成密钥，并将生成的密钥保存在设备运行内存中；

基于所述密钥，对所述待处理生物特征数据进行加密，得到加密生物特征数据；

基于预设加密传输算法，将所述加密生物特征数据传输到所述目标设备中进行存储。

根据本发明的另一方面，提供了一种生物特征数据处理装置，置包括：

数据获取模块，用于获取待处理生物特征数据和目标设备的身份标识数据；

密钥生成模块，用于基于预设密钥生成算法和所述目标设备的身份标识数据生成密钥，并将生成的密钥保存在设备运行内存中；

数据加密模块，用于基于所述密钥，对所述待处理生物特征数据进行加密，得到加密生物特征数据；

数据传输模块，用于基于预设加密传输算法，将所述加密生物特征数据传输到所述目标设备中进行存储。

根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明实施例所述的生物特征数据处理方法。

根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明实施例所述的生物特征数据处理方法。

本发明实施例的技术方案，生成的密钥保存在设备运行内存中，而不在设备的存储器中保存，以此可以保证密钥的安全性，避免密钥丢失；而且由于生物特征数据在加密传输之前，已利用设备运行内存中保存的密钥进行加密，使得攻击者即使在加密传输阶段或者在存储阶段窃取到相应数据，由于无法窃取到密钥，使得攻击者无法对窃取到的加密生物特征数据进行解密，由此保证了生物特征数据的隐私和安全，避免生物特征数据被非法获取和利用。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例一提供的一种生物特征数据处理方法的流程示意图；

图2是根据本发明实施例二提供的一种生物特征数据处理方法的流程示意图；

图3是根据本发明实施例三提供的一种生物特征数据处理装置的结构示意图；

图4是实现本发明实施例的生物特征数据处理方法的电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

实施例一

图1为本发明实施例一提供了一种生物特征数据处理方法的流程图，本实施例可适用于智能家居场景中，典型的，适用于对智能家居场景下的生物特征数据进行加密保护的情况，该方法可以由生物特征数据处理装置来执行，该生物特征数据处理装置可以采用硬件和/或软件的形式实现，该生物特征数据处理装置可配置于电子设备中。

如图1所示，该生物特征数据处理方法包括：

S101、获取待处理生物特征数据和目标设备的身份标识数据。

本发明实施例中，待处理生物特征数据可选的是由生物特征数据采集设备(例如摄像头、指纹采集器等)所采集，可以是采集的人脸特征数据、指纹特征数据、虹膜特征数据等。

目标设备可选的是智能家居场景中的智能设备，例如，目标设备可以为门禁设备、智能锁设备等需要进行生物特征验证的设备。而目标设备的身份标识数据可选的是能够唯一表征目标设备的数据，可选的，身份标识数据可以为目标设备的序列号。

需要说明的是，获取待处理生物特征数据，其目的对其进行加密保护，避免用户的生物特征数据被非法获取和利用。而待处理生物特征数据的加密保护过程可参见后续S102-S104步骤。

S102、基于预设密钥生成算法和所述目标设备的身份标识数据生成密钥，并将生成的密钥保存在设备运行内存中。

本实施例中，预设密钥生成算法可选的是基于身份的标识算法，在此算法的基础上，生成密钥的过程如下：首先，预先确定一个加密盐值；其中，加密盐值可选的是预先约定的安全随机数。进而，将目标设备的身份标识数据(例如目标设备的序列号)与预先确定的加密盐值进行融合，得到融合数据；其中，数据融合的过程如下：将所述目标设备的身份标识数据与预先确定的加密盐值进行串联拼接；或者，将所述目标设备的身份标识数据与预先确定的加密盐值进行逻辑运算。由此可得到包括加密盐值和身份标识数据的融合数据。进一步的，基于哈希算法，对所述融合数据进行哈希运算，得到目标哈希值。例如，使用SHA-256哈希函数对新生成的融合数据进行哈希运算，得到一个256位的目标哈希值。最后将将所述目标哈希值作为所述密钥，并将生成的密钥保存在设备运行内存中。

在此需要说明的是，之所以将生成的密钥保存的设备运行内存中，而不是通过硬件存储(通过内置一个专门的硬件存储器(如EEPROM)来存储密钥)或软件存储(将密钥存储在内部的存储器中)，是因为硬件存储和软件存储存在一定的不足，例如硬件存储存在因为物理攻击而导致密钥丢失的风险；软件存储相比于硬件存储，更容易收到外部攻击而导致密钥丢失。如此，将密钥保存在设备运行内存中，可以保证密钥的安全性。

S103、基于所述密钥，对所述待处理生物特征数据进行加密，得到加密生物特征数据。

本实施例中，在通过S102步骤生成密钥后，可直接利用该密钥对待处理生物特征数据进行加密。可选的，基于该密钥，采用对称加密算法或非对称加密算法，对待处理生物特征数据进行加密，得到加密生物特征数据。

S104、基于预设加密传输算法，将所述加密生物特征数据传输到所述目标设备中进行存储。

在一种可选的实施方式中，可基于所述目标设备的公钥，采用SM9算法对加密生物特征数据进行再次加密处理，并传输到所述目标设备；进而，基于预先注册的私钥，采用SM9算法对二次加密后的加密生物特征数据进行解密并保存，可选的保存在目标设备的存储其中，由此实现了对生物特征数据的加密保存。

本发明实施例中，生成的密钥保存在设备运行内存中，而不在设备的存储器中保存，以此可以保证密钥的安全性，避免密钥丢失；而且由于生物特征数据在加密传输之前，已利用设备运行内存中保存的密钥进行加密，使得攻击者即使在加密传输阶段或者在存储阶段窃取到相应数据，由于无法窃取到密钥，使得攻击者无法对窃取到的加密生物特征数据进行解密，由此保证了生物特征数据的隐私和安全，避免生物特征数据被非法获取和利用。

实施例二

图2为本发明实施例二提供的一种生物特征数据处理方法的流程图。本实施例中增加了加密后的生物特征数据的解密和识别过程，参见图2，该方法流程包括如下步骤：

S201、获取待处理生物特征数据和目标设备的身份标识数据。

本实施例中，获取待处理生物特征数据的过程可以包括如下步骤：获取原始生物特征数据(即生物特征数据采集设备所采集的包括生物信息的数据，例如采集的人脸图像信息数据)，并对所述原始生物特征数据进行预处理；其中，所述预处理至少包括去燥处理。如此，通过去燥处理，可以保证后续提取的生物特征的准确性。进一步的，基于预训练的生物特征采集模型(可选的为卷积神经网络(CNN)模型或循环神经网络(RNN)模型)，对预处理后原始生物特征数据进行特征提取，得到所述待处理生物特征数据。需要说明的是，生物特征采集模型可以根据生物特征的特点和应用场景进行优化设计。

目标设备可选的是智能家居设备，例如，可以是门禁设备、智能锁设备等。

S202、基于预设密钥生成算法和所述目标设备的身份标识数据生成密钥，并将生成的密钥保存在设备运行内存中。

S203、基于所述密钥，对所述待处理生物特征数据进行加密，得到加密生物特征数据。

S204、基于预设加密传输算法，将所述加密生物特征数据传输到所述目标设备中进行存储。

本事实例中，步骤S202-S204的具体实现过程可参见上述实施例，在此不再赘述。本实施例中，在将加密生物特征数据保存在目标设备(例如智能家居设备)中后，可以基于保存的加密生物特征数据对新输入的指纹、人脸等验证信息进行识别，从而实现智能家居设备的自动化控制，具体的过程可参见步骤S205-S207。

S205、获取待验证的生物特征数据，并从所述设备运行内存中获取密钥。

其中，获取待验证的生物特征数据的过程如下：获取生物特征采集设备所采集的包括生物信息的数据；对采集的数据进行去燥处理，并利用预训练的生物特征采集模型从去燥处理后的生物信息数据中提取待验证的生物特征数据。

由于要对目标设备中保存的加密生物特征数据进行解密，需要从设备运行内存中获取预先生成的密钥，以便保证后续的解密操作。需要说明的是，由于密钥保存在设备运行内存中，在设备出现异常导致内存中的密钥丢失后，可以根据目标设备的身份标识数据重新生成密钥。

S206、基于所述密钥，采用预设解密算法对所述目标设备中保存的加密生物特征数据进行解密。

S207、确定待验证的生物特征数据与解密后得到的生物特征数据之间的相似度，并根据所述相似度确定验证结果。

本实施例中，在得到密钥后，可直接采用预设解密算法对所述目标设备中保存的加密生物特征数据进行解密，得到解密后的生物特征数据。进而，求解待验证的生物特征数据与解密后得到的生物特征数据之间的相似度。由于待验证的生物特征数据和解密后的生物特征数据都是以特征向量的形式表示，因此可通过两种特征向量之间的欧式距离，确定相似度的大小；若相似度大于或等于预设阈值，则确定验证成功，此时目标设备可以相应验证成功的消息，执行相应的控制操作，以此实现目标设备的自动化控制。

本实施例中，通过输入指纹、人脸等验证信息对加密后的数据进行解密和识别，从而实现智能家居设备的自动化控制。

为了详述整个过程，以人脸识别场景为例进行举例说明。

例如，作为智能家居设备的目标设备支持人脸识别技术，需要将用户的人脸特征数据进行加密处理，以保证用户隐私安全。首先，在用户注册时，设备要求用户提供自己的人脸照片，并进行预处理，如去除噪点、对比度增强等操作，以确保后续的人脸识别效果。

然后，将预处理后的人脸照片转换为数字化的人脸特征向量，也即是对预处理后的人脸照片进行特征提取，可选的，利用生物特征提取模型进行该操作。得到的特征向量通常包含几百个数值，用于描述人脸的各种特征，如轮廓、颜色、纹理等。

进一步的，获取目标设备的身份标识数据，并基于身份标识数据生成密钥，具体的生成过程可参见上述实施例的描述，在此不再赘述，同时将密钥保存的设备运行内存中。在此基础上，基于生成的密钥，利用对称加密算法或非对称加密算法，对人脸特征向量进行加密处理。进而将加密处理后的人脸特征向量保存到目标设备的存储中。需要说明的是，生成的密钥只存留于设备的运行内存中，不在设备的存储器中保存，以保证密钥的安全性。

在后续的人脸识别过程中，设备需要对用户的人脸照片进行识别，判断用户身份。这个过程包括将新采集的用户的人脸照片转换为数字化的人脸特征向量，并与之前保存人脸特征向量经过解密后的数据进行匹配。如果匹配成功，则认为用户身份验证通过，此时目标设备可进行相应的控制操作(例如开锁操作)，否则认为身份验证失败。需要说明的是，在进行匹配前，需要对目标设备保存的已加密的人脸特征向量进行解密处理，解密过程如下：从设备运行内存中获取生成的密钥，基于该密钥，采用预设的解密算法对已加密的人脸特征向量进行解密。

实施例三

图3为本发明实施例三提供的一种生物特征数据处理装置的结构示意图，本实施例可适用于智能家居场景中，典型的，适用于对智能家居场景下的生物特征数据进行加密保护的情况。如图3所示，该装置包括：

数据获取模块301，用于获取待处理生物特征数据和目标设备的身份标识数据；

密钥生成模块302，用于基于预设密钥生成算法和所述目标设备的身份标识数据生成密钥，并将生成的密钥保存在设备运行内存中；

数据加密模块303，用于基于所述密钥，对所述待处理生物特征数据进行加密，得到加密生物特征数据；

数据传输模块304，用于基于预设加密传输算法，将所述加密生物特征数据传输到所述目标设备中进行存储。

可选的，在一些实施例中，所述密钥生成模块包括：

数据融合单元，用于将所述目标设备的身份标识数据与预先确定的加密盐值进行融合，得到融合数据；

运算单元，用于基于哈希算法，对所述融合数据进行哈希运算，得到目标哈希值；

密钥确定单元，用于将所述目标哈希值作为所述密钥。

可选的，在一些实施例中，所述数据融合单元还用于：

将所述目标设备的身份标识数据与预先确定的加密盐值进行串联拼接；或者，将所述目标设备的身份标识数据与预先确定的加密盐值进行逻辑运算。

可选的，在一些实施例中，数据传输模块还用于：

基于所述目标设备的公钥，采用SM9算法对加密生物特征数据进行再次加密处理，并传输到所述目标设备；

基于预先注册的私钥，采用SM9算法对二次加密后的加密生物特征数据进行解密并保存。

可选的，在一些实施例中，数据获取模块还用于：

获取原始生物特征数据，并对所述原始生物特征数据进行预处理；其中，所述预处理至少包括去燥处理；

基于预训练的生物特征采集模型，对预处理后原始生物特征数据进行特征提取，得到所述待处理生物特征数据。

可选的，在一些实施例中，还包括：

验证数据获取模块，用于获取待验证的生物特征数据，并从所述设备运行内存中获取密钥；

解密模块，用于基于所述密钥，采用预设解密算法对所述目标设备中保存的加密生物特征数据进行解密；

验证模块，用于确定待验证的生物特征数据与解密后得到的生物特征数据之间的相似度，并根据所述相似度确定验证结果。

本发明实施例所提供的生物特征数据处理装置可执行本发明任意实施例所提供的生物特征数据处理方法，具备执行方法相应的功能模块和有益效果。

实施例四

图4示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图4所示，电子设备10包括至少一个处理器11，以及与至少一个处理器11通信连接的存储器，如只读存储器(ROM)12、随机访问存储器(RAM)13等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序，来执行各种适当的动作和处理。在RAM 13中，还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。

电子设备10中的多个部件连接至I/O接口15，包括：输入单元16，例如键盘、鼠标等；输出单元17，例如各种类型的显示器、扬声器等；存储单元18，例如磁盘、光盘等；以及通信单元19，例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理，例如执行生物特征数据处理方法。

在一些实施例中，生物特征数据处理方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元18。在一些实施例中，计算机程序的部分或者全部可以经由ROM12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM13并由处理器11执行时，可以执行上文描述的生物特征数据处理方法的一个或多个步骤。备选地，在其他实施例中，处理器11可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行生物特征数据处理方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。