CN110601830B - 基于区块链的密钥管理方法、装置、设备及存储介质 - Google Patents
基于区块链的密钥管理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110601830B CN110601830B CN201910871597.XA CN201910871597A CN110601830B CN 110601830 B CN110601830 B CN 110601830B CN 201910871597 A CN201910871597 A CN 201910871597A CN 110601830 B CN110601830 B CN 110601830B
- Authority
- CN
- China
- Prior art keywords
- key
- node
- generated
- information processing
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明实施例公开了一种基于区块链的密钥管理方法、装置、设备及存储介质,本发明通过信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求;信息处理节点根据业务数据密钥生成请求对待生成密钥节点进行验证;当验证通过时,信息处理节点将验证通过的信息发送至待生成密钥节点;待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将会话密钥发送至信息处理中心;信息处理节点接收待生成密钥节点接收验证通过的信息反馈的会话密钥;信息处理节点获取业务密钥,并根据会话密钥对业务密钥进行加密,获得密文密钥;通过第二节点对所述密文密钥进行上链,并同步上传密文密钥。该方案可以防止密钥丢失,提高密钥管理的安全性。
Description
技术领域
本发明涉及通讯技术领域,具体涉及一种基于区块链的密钥管理方法、装置、设备及存储介质。
背景技术
区块链技术以去中心化,不可篡改,严格的同步及共识机制,在越来越多领域得到推广及应用,尤其在密钥管理中,得到越来越广的应用。
密钥密钥管理服务的主要功能是保护密钥的保密性、完整性和可用性,包括密钥生成,存储,分散等的全生命周期管理;在传统的密钥管理服务中,通过加密机,加密卡来做密钥的统一管控,容易出现单点故障,密钥丢失,或者使用不便的问题。
发明内容
本发明实施例提供一种基于区块链的密钥管理方法、装置、设备及存储介质,可以减少密钥管理出现单点故障的情况,提高密钥管理的安全性。
为解决上述技术问题,本发明实施例提供一种基于区块链的密钥管理方法,提供以下技术方案:
信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求;
信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证;
当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点;
待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心;
信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥;
信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;
通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥。
可选的,在一些实施例中,所述信息处理节点根据所述密钥生成请求对所述待生成密钥节点进行验证,包括:
信息处理节点根据所述待生成密钥节点标识从第二节点获取待生成密钥节点公钥;
信息处理节点通过所述待生成密钥节点公钥对所述待生成秘钥节点进行验证。
可选的,在一些实施例中,所述信息处理节点获取业务密钥,并根据所述会话密钥对业务密钥进行加密,获得密文密钥,包括:
信息处理节点获取所述会话密钥的字符串长度;
信息处理节点基于所述会话密钥的字符串长度获取分段规则;
信息处理节点基于所述分段规则,对所述会话密钥进行分段,获得分段后的会话密钥;
信息处理节点通过所述分段后的会话密钥对所述业务密钥进行加密,获得密文密钥。
可选的,在一些实施例中,所述通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥之后,还包括:
待生成密钥节点发送获取基于所述会话密钥密文密钥指令;
待生成密钥节点接收所述信息处理节点基于所述会话密钥生成的密文密钥;
待生成密钥节点根据所述会话密钥对所述密文密钥进行解密,获得业务数据。
可选的,在一些实施例中,所述待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心,包括:
待生成密钥节点获取自身标识;
待生成密钥节点根据所述标识生成初始会话密钥;
待生成密钥节点根据所述业务数据密钥生成请求生成随机数;
待生成密钥节点根据所述随机数与初始会话密钥协商会话密钥,获得会话密钥。
可选的,在一些实施例中,所述待生成密钥节点根据所述业务数据密钥生成请求生成随机数,包括:
获取待生成密钥节点自身生成的第一签名信息;
待生成密钥节点获取所述信息处理节点基于所述业务数据密钥生成请求生成的第二签名信息;
待生成密钥节点将所述第一签名信息和所述第二签名信息聚合,得到聚合后的签名信息;
待生成密钥节点根据所述聚合后的签名信息,得到随机数。
可选的,在一些实施例中,所述待生成密钥节点根据所述会话密钥对所述密文密钥进行解密,获得业务数据,包括:
待生成密钥节点根据所述会话密钥获取对应的分段规则;
待生成密钥节点基于所述会话密钥以及分段规则对所述密文密钥进行解密,获得业务数据。
相应的,本发明实施例还提供一种基于区块链的密钥管理装置,包括:
第一获取单元,用于信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求;
验证单元,用于信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证;
第一发送单元,用于当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点;
协商会话密钥单元,用于待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心;
第一接收单元,用于信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥;
第二获取单元,用于信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;
上链单元,用于通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥。
可选的,在一些实施例中,所述验证单元,包括:
第一获取子单元,用于信息处理节点根据所述待生成密钥节点标识从第二节点获取待生成密钥节点公钥;
验证子单元,用于信息处理节点通过所述待生成密钥节点公钥对所述待生成秘钥节点进行验证。
可选的,在一些实施例中,所述第二获取单元包括:
信息处理节点获取所述会话密钥的字符串长度;基于所述会话密钥的字符串长度获取分段规则;
分段子单元,用于信息处理节点基于所述分段规则,对所述会话密钥进行分段,获得分段后的会话密钥;
加密子单元,用于信息处理节点通过所述分段后的会话密钥对所述业务密钥进行加密,获得密文密钥。
可选的,在一些实施例中,所述基于区块链的密钥管理装置,还包括:
第二发送单元,用于待生成密钥节点发送获取基于所述会话密钥密文密钥指令;
第二接收单元,用于待生成密钥节点接收所述信息处理节点基于所述会话密钥生成的密文密钥;
解密单元,用于待生成密钥节点根据所述会话密钥对所述密文密钥进行解密,获得业务数据。
可选的,在一些实施例中,所述协商会话密钥单元包括:
第二获取子单元,用于待生成密钥节点获取自身标识;
生成子单元,用于待生成密钥节点根据所述标识生成初始会话密钥,待生成密钥节点根据所述业务数据密钥生成请求生成随机数;
获得子单元,用于待生成密钥节点根据所述随机数与初始会话密钥协商会话密钥,获得会话密钥。
可选的,在一些实施例中,所述生成子单元包括:
获取模块,用于获取待生成密钥节点自身生成的第一签名信息;待生成密钥节点获取所述信息处理节点基于所述业务数据密钥生成请求生成的第二签名信息;
聚合模块,用于待生成密钥节点将所述第一签名信息和所述第二签名信息聚合,得到聚合后的签名信息;待生成密钥节点根据所述聚合后的签名信息,得到随机数。
可选的,在一些实施例中,所述解密单元包括:
第三获取子单元,用于待生成密钥节点根据所述会话密钥获取对应的分段规则;
解密子单元,用于待生成密钥节点基于所述会话密钥以及分段规则对所述密文密钥进行解密,获得业务数据。
此外,本发明实施例还提供一种基于区块链的密钥管理设备,包括:处理器和存储器;所述存储器质存储有多条指令,所述处理器加载所述存储器存储的指令以执行本发明实施例提供的任一种所述的基于区块链的密钥管理方法。
此外,本发明实施例还提供一种计算机可读存储介质,所述计算机存储介质存储有多条指令,所述指令适于处理器进行加载,以执行本发明实施例提供的任一种基于区块链的密钥管理方法。
本发明实施例通过信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求;信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证;当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点;待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心;信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥;信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥,从而保证密文密钥的安全性,同时防止密文密钥丢失。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的基于区块链的密钥管理系统的结构示意图;
图2是本发明实施例提供的基于区块链的密钥管理方法的一流程图;
图3是本发明实施例提供的基于区块链的密钥管理方法的另一流程图;
图4是本发明实施例提供的基于区块链的密钥管理方法的又一流程图;
图5a是本发明实施例提供的基于区块链的密钥管理装置的一结构示意图;
图5b是本发明实施例提供的基于区块链的密钥管理装置的另一结构示意图;
图5c是本发明实施例提供的基于区块链的密钥管理装置的又一结构示意图;
图5d是本发明实施例提供的基于区块链的密钥管理装置的一结构示意图;
图5e是本发明实施例提供的基于区块链的密钥管理装置的另一结构示意图;
图5f是本发明实施例提供的基于区块链的密钥管理装置的另一结构示意图;
图6是本发明实施例提供的服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在对本发明实施例进行详细地解释说明之前,先对本发明实施例涉及到的一些名词进行解释说明。
区块链:区块链技术脱胎于比特币技术,是比特币的底层技术,其是去中心化的分布式账本数据库。区块链本身是一串使用密码学算法相关联产生的数据块(即区块),每一个数据块中包含了多次区块链网络交易有效确认的信息。正是基于此,所以无法通过篡改区块上的数据来进行作弊,能够确保任何区块上的数据均是公开透明的,确保了数据的安全性。
区块链可以分为公有链、私有链、联盟链。其中,联盟链则介于公有链和私有链之间,由若干组织一起合作维护一条区块链,该区块链的使用必须是有权限的管理,相关信息会得到保护,典型如金融组织。
总结来说,区块链是由节点参与的分布式数据库系统,或者,也可称之为一个基于P2P(点对点)网络的分布式公共账本,其特点是不可更改、不可伪造,还可以将其理解为账簿系统。
区块链上链:把区块链记录的内容采用签名、加密技术,调用区块链智能合约实现区块链数据上链,保证区块链数据安全。
区块链的节点:参与构建区块链的节点,可以为基于区块链的密钥管理的执行主体、节点之间交互可以实现交易等业务等,比如信息处理节点、待生成密钥节点,以及除信息处理节点、待生成密钥节点以外的第二节点等。该节点存储有相关区块数据。
接下来将介绍本申请实施例提供的一种基于区块链的密钥管理、管理装置及计算机可读存储介质。其中,该节点可以为智能手机、智能手表、平板电脑以及车载电脑、服务器等网络设备。以下分别进行详细说明。
请参阅图1,图1是本申请实施例所提供的区块链系统的场景示意图。
在本申请实施例中,区块链系统包括至少三个节点(图1中以区块链系统包括3个节点为例进行说明)。该至少三个节点通过网络连接,连接方式可以是无线连接或有线连接。具体的,该至少三个节点通过对等网络动态组网,形成一个“去中心化”的系统,该至少三个节点互为对等节点,即每个节点对于整个区块链系统来说都是一样的。可以理解的是,区块链系统中的节点数量可以N个,其中,N为正整数,且N不小于3(例如N=4),也即只需满足区块链系统包括相互连接的至少三个节点即可,本申请对此不作限定。
在本申请实施例中,区块链系统包括信息处理节点、待生成密钥节点以及除信息处理节点、待生成密钥节点以外的第二节点,如图1所示,需要说明的是,信息处理节点、待生成密钥节点以及除信息处理节点、待生成密钥节点以外的第二节点地位对等,信息处理节点、待生成密钥节点以及除信息处理节点、待生成密钥节点以外的第二节点的编号命名并不对其进行限定,编号命名仅仅是为了便于说明各节点之间发生的信息交互。
需要说明的是,图1所示的区块链系统的场景示意图仅仅是一个示例,本申请实施例描述的区块链系统以及场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着区块链系统的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
在本申请实施例中,将从区块链节点的信息处理节点与待生成密钥节点角度进行描述,从区块链系统中的其他节点的角度,同样能够执行本申请基于区块链的密钥管理方法。
本申请提供一种基于区块链的密钥管理方法,应用于区块链系统,区块链系统包括相互连接的至少三个节点,即信息处理节点、待生成密钥节点以及第二节点,包括:信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求;信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证;当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点;待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心;信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥;信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥。
请参阅图2,图2是本申请实施例提供的基于区块链的密钥管理方法的一个实施例流程示意图,包括:
201,信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求。
在具体实施过程中,待生成密钥节点为了自身业务数据的安全性,可发送密钥生成请求至信息处理节点,以便信息处理节点根据密钥生成请求生成密钥,具体地,待生成密钥节点可针对业务数据将业务数据密钥生成请求发送至信息处理节点,密钥生成请求可包括待生成密钥节点序列号、发送时间、待生成密钥节点基本信息与待生成密钥节点签名信息,其中待生成密钥节点包括待生成密钥节点标识等,信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求。在本实施例中,待生成密钥节点可包括机构、企业等,各个不同的机构可针对自身的业务,发送不同的业务数据密钥请求至信息处理节点,信息处理节点针对不同的业务数据密钥请求进行处理,生成不同的密文密钥。
202,信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证。
203,当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点。
在一实施例中,信息处理节点根据业务数据密钥生成请求中的待生成密钥节点标识从区块链节点获取待生成密钥节点的公钥,根据获取到的公钥对待生成密钥节点身份进行验证。验证通过时,信息处理节点将验证通过的信息发送至待生成密钥节点。
即步骤202可包括:
A1、信息处理节点根据所述待生成密钥节点标识从区块链节点获取待生成密钥节点公钥;
A2、信息处理节点通过所述待生成密钥节点公钥对所述待生成秘钥终端进行验证。
具体的验证可包括验证待生成密钥节点证书有否过期、数字签名是否有效等。若确定待生成密钥节点证书有否过期、数字签名等有效,则确定待生成密钥节点验证通过,若确定待生成密钥节点证书有否过期、数字签名等任一项无效,则确定待生成密钥节点验证不通过。在确定待生成密钥节点验证通过时,可将验证通过的信息发送至待生成密钥节点,以便待生成密钥节点进行协商会话。在确定待生成密钥节点验证不通过时,可将验证不通过的信息以及具体验证不通过的原因发送至待生成密钥节点,以便待生成密钥节点进行修改后,重新上传公钥,其中,验证不通过的原因可包括比如证书过期、数字签名无效等。
204,待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心。
当验证结果为验证通过时,待生成密钥节点进行协商会话密钥,获得会话密钥,具体可根据待生成密钥节点标识与生成的随机数进行协商会话密钥,从而获得会话密钥。并将会话密钥发送至信息处理节点。同时将需要进行加密的业务密钥发送至信息处理节点。
待生成密钥节点可预先针对每一种业务设置与之对应的密钥种子组,并将所述业务与密钥种子组的对应关系进行存储;所述密钥种子组中包含至少一个密钥种子及其对应的密钥种子标识符;当需要生成业务密钥时,从对应于业务的密钥种子组中选择一个密钥种子,根据选择的密钥种子生成业务密钥。
具体地,步骤204可包括:
B1、待生成密钥节点获取自身标识;
B2、根据所述标识生成初始会话密钥;
B3、根据所述业务数据密钥生成请求生成随机数;
B4、根据所述随机数与初始会话密钥协商会话密钥,获得会话密钥。
待生成密钥节点获取自身标识,根据待生成密钥节点标识生成初始会话密钥,根据业务数据密钥生成请求生成随机数,具体可根据待生成密钥节点自身生成的第一签名信息,以及信息处理节点基于业务数据密钥生成请求生成的第二签名信息生成随机数,将随机数与初始会话密钥协商会话密钥,获得会话密钥。
具体地,步骤B3可包括:
待生成密钥节点获取待生成密钥节点自身生成的第一签名信息;
待生成密钥节点获取所述信息处理节点基于所述业务数据密钥生成请求生成的第二签名信息;
待生成密钥节点将所述第一签名信息和所述第二签名信息聚合,得到聚合后的签名信息;
待生成密钥节点根据所述聚合后的签名信息,得到随机数。
具体地,待生成密钥节点对业务数据密钥生成请求进行签名,得到自身基于业务数据密钥生成请求生成的第一签名信息。获取信息处理节点基于所述业务数据密钥生成请求生成的第二签名信息,数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。对第一签名信息和第二签名信息依次进行合法性校验;当得到的第一签名信息和第二签名信息中存在合法签名信息时,将合法签名信息聚合,得到聚合后的签名信息。根据聚合后的签名信息,得到随机数。
205,信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥。
待生成密钥节点在接收到信息处理节点反馈的验证通过信息时,根据待生成密钥节点标识以及生成的随机数进行协商会话密钥,并将协商得到的会话密钥发送至信息处理节点。信息处理节点接收会话密钥,以便生成密文密钥。
206,信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥。
进一步地,在得到会话密钥之后,进一步获取业务密钥,业务密钥为业务数据对应的密钥,即需要进行加密的密钥,待生成密钥节点可根据具体的业务生成。然后根据会话密钥对所述业务密钥进行加密,即可获得密文密钥,具体可根据会话密钥的长度对业务密钥进行加密。
即步骤206可包括:
C1、信息处理节点获取所述会话密钥的字符串长度;
C2、信息处理节点基于所述会话密钥的字符串长度获取分段规则;
C3、信息处理节点基于所述分段规则,对所述会话密钥进行分段,获得分段后的会话密钥;
C4、通过所述分段后的会话密钥对所述业务密钥进行加密,获得密文密钥。
信息处理节点获取会话密钥的字符串长度,基于会话密钥的字符串长度获取分段规则,比如假设会话密钥的字符串长度,获取的分段规则可为每2个字符串为一段,或者每4个字符串为一段等,若每2个字符串为一段,则可将会话密钥分为平均的两段,若每4个字符串为一段,则可将会话密钥分为平均的四段,获得分段后的会话密钥,通过分段后的会话密钥对业务密钥进行加密,获得密文密钥,比如将每段会话密钥间隔插入至业务密钥,比如假设会话密钥分为平均的两段,则在业务密钥的头部插入一段会话密钥,在业务密钥的尾部插入一段会话密钥,从而进一步增加密文密钥的安全性。
207,通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥。
在信息处理节点生成密文密钥之后,需要将密文密钥进行同步上传,具体可通过第二节点对密文密钥进行上链,并同步上传密文密钥,从而保证密文密钥的安全性,同时防止密文密钥丢失。
进一步地,参照图3,步在骤207之后,还包括:
208,待生成密钥节点发送获取基于所述会话密钥密文密钥指令;
209,待生成密钥节点接收所述信息处理节点基于所述会话密钥生成的密文密钥;
210,待生成密钥节点根据所述会话密钥对所述密文密钥进行解密,获得业务数据。
在待生成密钥节点获取业务数据过程中,通过从区块链节点获取信息处理节点基于会话密钥生成的密文密钥,具体可通过发送获取基于会话密钥密文密钥指令至信息处理节点,接收信息处理节点反馈的密文密钥,从而获得密文密钥,然后根据协商得到的会话密钥对密文密钥进行解密,获得业务数据。同时将待生成密钥节点获取业务数据的记录通过审计日志的格式上传区块链,该审计信息由待生成密钥节点获取业务数据的私钥签名,以及代码待生成密钥节点的身份组成,在验证签名信息成功后,上传区块链,同时各个联盟区块链节点同步该审计日志。通过区块链不可篡改的特性,每条密钥请求过程,都可以在链上进行公示,如实记录密钥请求以及业务数据请求。
进一步地,当密文密钥为基于分段规则进行加密时,步骤210可包括:
D1、根据所述会话密钥获取对应的分段规则;
D2、基于所述会话密钥以及分段规则对所述密文密钥进行解密,获得业务数据。
根据会话密钥获取对应的分段规则,基于会话密钥以及分段规则对密文密钥进行解密,具体可结合在业务密钥添加会话密钥的位置进行解密,获得业务数据。
本实施例提出的基于区块链的密钥管理方法,通过信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求;信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证;当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点;待生成密钥节点进行协商会话密钥,获得会话密钥;信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥;信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥,从而保证密文密钥的安全性,同时防止密文密钥丢失。
根据前面实施例所描述的方法,以下将举例作进一步详细说明。
如图4所示,一种基于区块链的密钥管理方法,具体流程可以如下:
401,待生成密钥节点发送业务数据密钥生成请求至信息处理节点。
402,信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求。
待生成密钥节点为了自身业务数据的安全性,可发送密钥生成请求至信息处理节点,以便信息处理节点根据密钥生成请求生成密钥,具体地,待生成密钥节点可针对业务数据将业务数据密钥生成请求发送至信息处理节点,密钥生成请求可包括待生成密钥节点序列号、发送时间、待生成密钥节点基本信息与待生成密钥节点签名信息,其中待生成密钥节点包括待生成密钥节点标识等,信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求。在本实施例中,待生成密钥节点可包括机构、企业等,各个不同的机构可针对自身的业务,发送不同的业务数据密钥请求至信息处理节点。
403,信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证。
根据业务数据密钥生成请求中的待生成密钥节点标识从区块链节点获取待生成密钥节点的公钥,根据获取到的公钥对待生成密钥节点身份进行验证。
404,当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点。
405,待生成密钥节点接收所述信息处理节点基于所述业务数据密钥生成请求反馈的验证结果。
406,当所述验证结果为验证通过时,待生成密钥节点进行协商会话密钥,获得会话密钥。
信息处理节点接收到业务数据密钥生成请求,即对待生成密钥节点进行验证,具体可根据待生成密钥节点的公钥进行验证,在此不再赘述。在验证通过之后,信息处理节点将验证通过的信息发送至待生成密钥节点,接收所述信息处理节点基于业务数据密钥生成请求反馈的验证通过信息,在验证不通过时,信息处理节点也可将验证不通过的信息以及具体不通过的原因发送至待生成密钥节点,以便待生成密钥节点进行修改。
407、待生成密钥节点将业务密钥与所述会话密钥发送至所述信息处理节点。
当验证结果为验证通过时,进行协商会话密钥,获得会话密钥,具体可根据待生成密钥节点标识与生成的随机数进行协商会话密钥,从而获得会话密钥。并将会话密钥发送至信息处理节点。同时将需要进行加密的业务密钥发送至信息处理节点。
待生成密钥节点可预先针对每一种业务设置与之对应的密钥种子组,并将所述业务与密钥种子组的对应关系进行存储;所述密钥种子组中包含至少一个密钥种子及其对应的密钥种子标识符;当需要生成业务密钥时,从对应于业务的密钥种子组中选择一个密钥种子,根据选择的密钥种子生成业务密钥。
408,信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥。
409、信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥。
410、信息处理节点通过区块链节点对所述密文密钥进行上链,并同步上传所述密文密钥。
待生成密钥节点在接收到信息处理节点反馈的验证通过信息时,根据待生成密钥节点标识以及生成的随机数进行协商会话密钥,并将协商得到的会话密钥发送至信息处理节点。信息处理节点接收会话密钥,以便生成密文密钥。
进一步地,在得到会话密钥之后,进一步获取业务密钥,业务密钥为业务数据对应的密钥,即需要进行加密的密钥,待生成密钥节点可根据具体的业务生成。然后根据会话密钥对所述业务密钥进行加密,即可获得密文密钥,具体可根据会话密钥的长度对业务密钥进行加密。
具体获取会话密钥的字符串长度,基于会话密钥的字符串长度获取分段规则,比如假设会话密钥的字符串长度,获取的分段规则可为每2个字符串为一段,或者每4个字符串为一段等,若每2个字符串为一段,则可将会话密钥分为平均的两段,若每4个字符串为一段,则可将会话密钥分为平均的四段,获得分段后的会话密钥,通过分段后的会话密钥对业务密钥进行加密,获得密文密钥,比如将每段会话密钥间隔插入至业务密钥,比如假设会话密钥分为平均的两段,则在业务密钥的头部插入一段会话密钥,在业务密钥的尾部插入一段会话密钥,从而进一步增加密文密钥的安全性。
通过区块链节点对密文密钥进行上链,并同步上传密文密钥,从而保证密文密钥的安全性,同时防止密文密钥丢失。
411、待生成密钥节点获取所述信息处理节点基于所述会话密钥生成的密文密钥。
412、待生成密钥节点根据所述会话密钥对所述密文密钥进行解密,获得业务数据。
在信息处理节点生成密文密钥之后,需要将密文密钥进行同步上传,因此在待生成密钥节点获取业务数据过程中,通过从区块链节点获取信息处理节点基于会话密钥生成的密文密钥,根据协商得到的会话密钥对密文密钥进行解密,获得业务数据。
进一步地,当密文密钥是基于分段规则生成时,可进一步接收信息处理节点发送的分段规则以及加密规则,根据会话密钥获取对应的分段规则,基于会话密钥以及分段规则对密文密钥进行解密,具体可结合在业务密钥添加会话密钥的位置进行解密,获得业务数据。
本实施例提出的基于区块链的密钥管理方法,通过获取待生成密钥节点发送的业务数据密钥生成请求;根据业务数据密钥生成请求对所述待生成密钥节点进行验证;当验证通过时,将验证通过的信息发送至所述待生成密钥节点;接收待生成密钥节点接收所述验证通过的信息反馈的会话密钥;获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;通过区块链节点对密文密钥进行上链,并同步上传密文密钥,从而保证密文密钥的安全性,同时防止密文密钥丢失;在待生成密钥节点获取业务数据过程中,通过获取所述信息处理节点基于所述会话密钥生成的密文密钥,从而减少待生成密钥节点存储密文密钥的空间;然后根据会话密钥对所述密文密钥进行解密,获得业务数据。
为了更好地实施以上方法,本发明实施例还可以提供一种基于区块链的密钥装置,该基于区块链的密钥装置具体可以集成在网络设备中,该网络设备可以是终端、区块链或服务器等设备。
例如,如图5a所示,该基于区块链的密钥装置可以包括第一获取单元501、验证单元502、发送单元503、协商会话密钥单元504、第一接收单元505、第二获取单元506和上链单元507,如下:
(1)第一获取单元501;
第一获取单元501,用于信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求。
(2)验证单元502;
验证单元502,用于信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证。
信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求,根据业务数据密钥生成请求中的待生成密钥节点标识从区块链节点获取待生成密钥节点的公钥,根据获取到的公钥对待生成密钥节点身份进行验证。
(3)发送单元503;
发送单元503,用于当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点。
在验证通过之后,信息处理节点将验证通过的信息发送至待生成密钥节点。
(4)协商会话密钥单元504;
协商会话密钥单元504,用于待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心。
当验证结果为验证通过时,待生成密钥节点进行协商会话密钥,获得会话密钥,具体可根据待生成密钥节点标识与生成的随机数进行协商会话密钥,从而获得会话密钥。并将会话密钥发送至信息处理节点。同时将需要进行加密的业务密钥发送至信息处理节点。
待生成密钥节点可预先针对每一种业务设置与之对应的密钥种子组,并将所述业务与密钥种子组的对应关系进行存储;所述密钥种子组中包含至少一个密钥种子及其对应的密钥种子标识符;当需要生成业务密钥时,从对应于业务的密钥种子组中选择一个密钥种子,根据选择的密钥种子生成业务密钥。
(5)第一接收单元505;
第一接收单元505,用于信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥。
待生成密钥节点在接收到信息处理节点反馈的验证通过信息时,根据待生成密钥节点标识以及生成的随机数进行协商会话密钥,并将协商得到的会话密钥发送至信息处理节点。信息处理节点接收会话密钥,以便生成密文密钥。
(6)第二获取单元506;
第二获取单元506,用于信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥。
(7)上链单元507,用于通过第二节点对所述密文密钥进行上链,并同步上传所述密文密钥。
待生成密钥节点在接收到信息处理节点反馈的验证通过信息时,根据待生成密钥节点标识以及生成的随机数进行协商会话密钥,并将协商得到的会话密钥发送至信息处理节点。信息处理节点接收会话密钥,以便生成密文密钥。
进一步地,在得到会话密钥之后,进一步获取业务密钥,业务密钥为业务数据对应的密钥,即需要进行加密的密钥,待生成密钥节点可根据具体的业务生成。然后根据会话密钥对所述业务密钥进行加密,即可获得密文密钥,具体可根据会话密钥的长度对业务密钥进行加密。
具体获取会话密钥的字符串长度,基于会话密钥的字符串长度获取分段规则,比如假设会话密钥的字符串长度,获取的分段规则可为每2个字符串为一段,或者每4个字符串为一段等,若每2个字符串为一段,则可将会话密钥分为平均的两段,若每4个字符串为一段,则可将会话密钥分为平均的四段,获得分段后的会话密钥,通过分段后的会话密钥对业务密钥进行加密,获得密文密钥,比如将每段会话密钥间隔插入至业务密钥,比如假设会话密钥分为平均的两段,则在业务密钥的头部插入一段会话密钥,在业务密钥的尾部插入一段会话密钥,从而进一步增加密文密钥的安全性。
通过第二节点对密文密钥进行上链,并同步上传密文密钥,从而保证密文密钥的安全性,同时防止密文密钥丢失。
具体地,如图5b所示,验证单元502可以包括第一获取子单元508和验证子单元509:
第一获取子单元508,用于信息处理节点根据所述待生成密钥节点标识从区块链节点获取待生成密钥节点公钥;
验证子单元509,用于信息处理节点通过所述待生成密钥节点公钥对所述待生成秘钥终端进行验证。
具体的验证可包括验证待生成密钥节点证书有否过期、数字签名是否有效等。若确定待生成密钥节点证书有否过期、数字签名等有效,则确定待生成密钥节点验证通过,若确定待生成密钥节点证书有否过期、数字签名等任一项无效,则确定待生成密钥节点验证不通过。在确定待生成密钥节点验证通过时,可将验证通过的信息发送至待生成密钥节点,以便待生成密钥节点进行协商会话。在确定待生成密钥节点验证不通过时,可将验证不通过的信息以及具体验证不通过的原因发送至待生成密钥节点,以便待生成密钥节点进行修改后,重新上传公钥,其中,验证不通过的原因可包括比如证书过期、数字签名无效等。
具体地,如图5c所示,第二获取单元可以包括第二获取子单元510、分段子单元511和加密子单元512:
第二获取子单元510,用于信息处理节点获取所述会话密钥的字符串长度;基于所述会话密钥的字符串长度获取分段规则;
分段子单元511,用于信息处理节点基于所述分段规则,对所述会话密钥进行分段,获得分段后的会话密钥;
加密子单元512,用于信息处理节点通过所述分段后的会话密钥对所述业务密钥进行加密,获得密文密钥。
信息处理节点获取会话密钥的字符串长度,基于会话密钥的字符串长度获取分段规则,比如假设会话密钥的字符串长度,获取的分段规则可为每2个字符串为一段,或者每4个字符串为一段等,若每2个字符串为一段,则可将会话密钥分为平均的两段,若每4个字符串为一段,则可将会话密钥分为平均的四段,获得分段后的会话密钥,通过分段后的会话密钥对业务密钥进行加密,获得密文密钥,比如将每段会话密钥间隔插入至业务密钥,比如假设会话密钥分为平均的两段,则在业务密钥的头部插入一段会话密钥,在业务密钥的尾部插入一段会话密钥,从而进一步增加密文密钥的安全性。
具体地,如图5d所示,基于区块链的密钥管理装置还包括:第二发送单元513、第二接收单元514以及解密单元515:
第二发送单元513,用于待生成密钥节点发送获取基于所述会话密钥密文密钥指令;
第二接收单元514,用于待生成密钥节点接收所述信息处理节点基于所述会话密钥生成的密文密钥;
解密单元515,用于待生成密钥节点根据所述会话密钥对所述密文密钥进行解密,获得业务数据。
在待生成密钥节点获取业务数据过程中,通过从区块链节点获取信息处理节点基于会话密钥生成的密文密钥,具体可通过发送获取基于会话密钥密文密钥指令至信息处理节点,接收信息处理节点反馈的密文密钥,从而获得密文密钥,然后根据协商得到的会话密钥对密文密钥进行解密,获得业务数据。同时将待生成密钥节点获取业务数据的记录通过审计日志的格式上传区块链,该审计信息由待生成密钥节点获取业务数据的私钥签名,以及代码待生成密钥节点的身份组成,在验证签名信息成功后,上传区块链,同时各个联盟区块链节点同步该审计日志。通过区块链不可篡改的特性,每条密钥请求过程,都可以在链上进行公示,如实记录密钥请求以及业务数据请求。
具体地,如图5e所示,协商会话密钥单元504包括
第二获取子单元516,用于待生成密钥节点获取自身标识;
生成子单元517,用于待生成密钥节点根据所述标识生成初始会话密钥,待生成密钥节点根据所述业务数据密钥生成请求生成随机数;
获得子单元518,用于待生成密钥节点根据所述随机数与初始会话密钥协商会话密钥,获得会话密钥。
获取待生成密钥节点自身标识,根据待生成密钥节点标识生成初始会话密钥,根据业务数据密钥生成请求生成随机数,具体可根据待生成密钥节点自身生成的第一签名信息,以及信息处理节点基于业务数据密钥生成请求生成的第二签名信息生成随机数,将随机数与初始会话密钥协商会话密钥,获得会话密钥。
具体地,生成子单元517包括:
获取模块,用于获取待生成密钥节点自身生成的第一签名信息;获取所述信息处理节点基于所述业务数据密钥生成请求生成的第二签名信息;
聚合模块,用于待生成密钥节点将所述第一签名信息和所述第二签名信息聚合,得到聚合后的签名信息;根据所述聚合后的签名信息,得到随机数。
具体地,待生成密钥节点对业务数据密钥生成请求进行签名,得到自身基于业务数据密钥生成请求生成的第一签名信息。获取信息处理节点基于所述业务数据密钥生成请求生成的第二签名信息,数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。对第一签名信息和第二签名信息依次进行合法性校验;当得到的第一签名信息和第二签名信息中存在合法签名信息时,将合法签名信息聚合,得到聚合后的签名信息。根据聚合后的签名信息,得到随机数。
具体地,如图5f所示,解密单元515包括:
第三获取子单元19,用于待生成密钥节点根据所述会话密钥获取对应的分段规则;
解密子单元520,用于待生成密钥节点基于所述会话密钥以及分段规则对所述密文密钥进行解密,获得业务数据。
在信息处理节点生成密文密钥之后,需要将密文密钥进行同步上传,因此在待生成密钥节点获取业务数据过程中,通过从区块链节点获取信息处理节点基于会话密钥生成的密文密钥,根据协商得到的会话密钥对密文密钥进行解密,获得业务数据。
进一步地,当密文密钥是基于分段规则生成时,可进一步接收信息处理节点发送的分段规则以及加密规则,根据会话密钥获取对应的分段规则,基于会话密钥以及分段规则对密文密钥进行解密,具体可结合在业务密钥添加会话密钥的位置进行解密,获得业务数据。
由上可知,本实施例的信息处理节点中的第一获取单元501通过获取待生成密钥节点发送的业务数据密钥生成请求;验证单元502根据业务数据密钥生成请求对所述待生成密钥节点进行验证;当验证通过时,发送单元503将验证通过的信息发送至所述待生成密钥节点;接收单元504接收待生成密钥节点接收所述验证通过的信息反馈的会话密钥;第二获取单元505获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;上链单元506通过区块链节点对密文密钥进行上链,并同步上传密文密钥,从而保证密文密钥的安全性,同时防止密文密钥丢失;在待生成密钥节点获取业务数据过程中,待生成密钥节点中的第二发送单元508发送获取基于所述会话密钥密文密钥指令;以便获取密文密钥,从而减少待生成密钥节点存储密文密钥的空间;然后解密单元514待生成密钥节点根据所述会话密钥对所述密文密钥进行解密,获得业务数据。
本发明实施例还提供一种服务器,如图6所示,其示出了本发明实施例所涉及的服务器的结构示意图,具体来讲:
该服务器可以包括一个或者一个以上处理核心的处理器701、一个或一个以上计算机可读存储介质的存储器702、电源703和输入单元704等部件。本领域技术人员可以理解,图6中示出的服务器结构并不构成对服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中:
处理器701是该服务器的控制中心,利用各种接口和线路连接整个服务器的各个部分,通过运行或执行存储在存储器702内的软件程序和/或模块,以及调用存储在存储器702内的数据,执行服务器的各种功能和处理数据,从而对服务器进行整体监控。可选的,处理器701可包括一个或多个处理核心;优选的,处理器701可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器701中。
存储器702可用于存储软件程序以及模块,处理器701通过运行存储在存储器702的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器702可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据服务器的使用所创建的数据等。此外,存储器702可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器702还可以包括存储器控制器,以提供处理器701对存储器702的访问。
服务器还包括给各个部件供电的电源703,优选的,电源703可以通过电源管理系统与处理器701逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源703还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该服务器还可包括输入单元704,该输入单元704可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,服务器还可以包括显示单元等,在此不再赘述。具体在本实施例中,服务器中的处理器701会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器702中,并由处理器701来运行存储在存储器702中的应用程序,从而实现各种功能,如下:
信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求;
信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证;
当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点;
待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心;
信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥;
信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;
通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本发明实施例提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种基于区块链的密钥管理方法中的步骤。例如,该指令可以执行如下步骤:
信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求;
信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证;
当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点;
待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心;
信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥;
信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;
通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种基于区块链的密钥管理方法中的步骤,因此,可以实现本发明实施例所提供的任一种基于区块链的密钥管理方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本发明实施例所提供的一种基于区块链的密钥管理方法、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种基于区块链的密钥管理方法,应用于区块链系统,所述区块链系统包括信息处理节点、待生成密钥节点与第二节点,其中,所述第二节点包括多个区块链节点,其特征在于,包括:
信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求;
信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证;
当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点;
待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心;
信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥;
信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;
通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥。
2.如权利要求1所述的基于区块链的密钥管理方法,所述密钥生成请求包括待生成密钥节点标识,其特征在于,所述信息处理节点根据所述密钥生成请求对所述待生成密钥节点进行验证,包括:
信息处理节点根据所述待生成密钥节点标识从第二节点获取待生成密钥节点公钥;
信息处理节点通过所述待生成密钥节点公钥对所述待生成秘钥节点进行验证。
3.如权利要求1所述的基于区块链的密钥管理方法,其特征在于,所述信息处理节点获取业务密钥,并根据所述会话密钥对业务密钥进行加密,获得密文密钥,包括:
信息处理节点获取所述会话密钥的字符串长度;
信息处理节点基于所述会话密钥的字符串长度获取分段规则;
信息处理节点基于所述分段规则,对所述会话密钥进行分段,获得分段后的会话密钥;
信息处理节点通过所述分段后的会话密钥对所述业务密钥进行加密,获得密文密钥。
4.如权利要求1所述的基于区块链的密钥管理方法,其特征在于,所述通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥之后,还包括:
待生成密钥节点发送获取基于所述会话密钥密文密钥指令;
待生成密钥节点接收所述信息处理节点基于所述会话密钥生成的密文密钥;
待生成密钥节点根据所述会话密钥对所述密文密钥进行解密,获得业务秘钥。
5.如权利要求1所述的基于区块链的密钥管理方法,其特征在于,所述待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心,包括:
待生成密钥节点获取自身标识;
待生成密钥节点根据所述标识生成初始会话密钥;
待生成密钥节点根据所述业务数据密钥生成请求生成随机数;
待生成密钥节点根据所述随机数与初始会话密钥确定会话密钥,获得会话密钥。
6.如权利要求5所述的基于区块链的密钥管理方法,其特征在于,所述待生成密钥节点根据所述业务数据密钥生成请求生成随机数,包括:
获取待生成密钥节点自身生成的第一签名信息;
待生成密钥节点获取所述信息处理节点基于所述业务数据密钥生成请求生成的第二签名信息;
待生成密钥节点将所述第一签名信息和所述第二签名信息聚合,得到聚合后的签名信息;
待生成密钥节点根据所述聚合后的签名信息,得到随机数。
7.如权利要求4所述的基于区块链的密钥管理方法,其特征在于,所述待生成密钥节点根据所述会话密钥对所述密文密钥进行解密,获得业务数据,包括:
待生成密钥节点根据所述会话密钥获取对应的分段规则;
待生成密钥节点基于所述会话密钥以及分段规则对所述密文密钥进行解密,获得业务秘钥。
8.一种基于区块链的密钥管理装置,应用于区块链系统,所述区块链系统包括信息处理节点、待生成密钥节点与第二节点,其中,所述第二节点包括多个区块链节点,其特征在于,包括:
第一获取单元,用于信息处理节点获取待生成密钥节点发送的业务数据密钥生成请求;
验证单元,用于信息处理节点根据所述业务数据密钥生成请求对所述待生成密钥节点进行验证;
发送单元,用于当验证通过时,信息处理节点将验证通过的信息发送至所述待生成密钥节点;
协商会话密钥单元,用于待生成密钥节点基于验证通过的信息进行协商会话密钥,获得会话密钥,并将所述会话密钥发送至信息处理中心;
接收单元,用于信息处理节点接收所述待生成密钥节点接收所述验证通过的信息反馈的会话密钥;
第二获取单元,用于信息处理节点获取业务密钥,并根据所述会话密钥对所述业务密钥进行加密,获得密文密钥;
上来单元,用于通过所述第二节点对所述密文密钥进行上链,并同步上传所述密文密钥。
9.一种基于区块链的密钥管理设备,其特征在于,包括:处理器和存储器;所述存储器质存储有多条指令,所述处理器加载所述存储器存储的指令以执行权利要求1-7任一项所述的基于区块链的密钥管理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的基于区块链的密钥管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910871597.XA CN110601830B (zh) | 2019-09-16 | 2019-09-16 | 基于区块链的密钥管理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910871597.XA CN110601830B (zh) | 2019-09-16 | 2019-09-16 | 基于区块链的密钥管理方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110601830A CN110601830A (zh) | 2019-12-20 |
| CN110601830B true CN110601830B (zh) | 2021-08-31 |
Family
ID=68859797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910871597.XA Active CN110601830B (zh) | 2019-09-16 | 2019-09-16 | 基于区块链的密钥管理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110601830B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111062058B (zh) * | 2019-12-26 | 2022-04-15 | 深圳天玑数据有限公司 | 基于区块链的密钥对处理方法、装置、终端及可读存储介质 |
| CN111294203B (zh) * | 2020-01-22 | 2022-02-11 | 腾讯科技(深圳)有限公司 | 信息传输方法 |
| CN112118245B (zh) * | 2020-09-10 | 2023-01-10 | 中国联合网络通信集团有限公司 | 密钥管理方法、系统和设备 |
| CN113037499B (zh) * | 2021-03-15 | 2024-01-05 | 杭州链网科技有限公司 | 一种区块链加密通讯方法及系统 |
| CN113449338B (zh) * | 2021-06-29 | 2024-07-26 | 右来了(北京)科技有限公司 | 基于区块链的信息加密存储方法及系统 |
| CN114244514B (zh) * | 2022-02-21 | 2022-05-24 | 图灵人工智能研究院(南京)有限公司 | 一种基于车联网的数据安全处理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106604070A (zh) * | 2016-11-24 | 2017-04-26 | 中国传媒大学 | 云环境下流媒体的分布式密钥管理系统与密钥管理方法 |
| CN108964903A (zh) * | 2018-07-12 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 密码存储方法及装置 |
| CN109039649A (zh) * | 2018-08-03 | 2018-12-18 | 北京大学深圳研究生院 | 一种ccn中基于区块链的密钥管理方法、装置及存储介质 |
| CN110049067A (zh) * | 2019-05-30 | 2019-07-23 | 全链通有限公司 | 会话密钥的传输方法、设备及计算机可读存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101699891B (zh) * | 2009-10-21 | 2012-07-25 | 西安西电捷通无线网络通信股份有限公司 | 一种传感器网络密钥管理和节点鉴别方法 |
| CN101908959B (zh) * | 2010-07-28 | 2012-08-22 | 北京握奇数据系统有限公司 | 一种建立共享密钥的方法、设备及其系统 |
| US11386017B2 (en) * | 2018-06-20 | 2022-07-12 | Intel Corporation | Technologies for secure authentication and programming of accelerator devices |
-
2019
- 2019-09-16 CN CN201910871597.XA patent/CN110601830B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106604070A (zh) * | 2016-11-24 | 2017-04-26 | 中国传媒大学 | 云环境下流媒体的分布式密钥管理系统与密钥管理方法 |
| CN108964903A (zh) * | 2018-07-12 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 密码存储方法及装置 |
| CN109039649A (zh) * | 2018-08-03 | 2018-12-18 | 北京大学深圳研究生院 | 一种ccn中基于区块链的密钥管理方法、装置及存储介质 |
| CN110049067A (zh) * | 2019-05-30 | 2019-07-23 | 全链通有限公司 | 会话密钥的传输方法、设备及计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| "分布式网络环境下基于区块链的密钥管理方案";戴千一等;《网络与信息安全学报》;20180915;第4卷(第9期);第23-35页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110601830A (zh) | 2019-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110601830B (zh) | 基于区块链的密钥管理方法、装置、设备及存储介质 | |
| CN109033855B (zh) | 一种基于区块链的数据传输方法、装置及存储介质 | |
| CN106503098B (zh) | 内置于Paas服务层的区块链云服务框架系统 | |
| KR101974060B1 (ko) | 분산 해시 테이블과 피어투피어 분산 대장을 사용하여 디지털 자산의 소유권을 검증하기 위한 방법 및 시스템 | |
| US10657293B1 (en) | Field-programmable gate array based trusted execution environment for use in a blockchain network | |
| US20240013212A1 (en) | Transferring cryptocurrency from a remote limited access wallet | |
| CN110881063B (zh) | 一种隐私数据的存储方法、装置、设备及介质 | |
| US7975312B2 (en) | Token passing technique for media playback devices | |
| CN110061845A (zh) | 区块链数据加密方法、装置、计算机设备及存储介质 | |
| CN110188550B (zh) | 一种区块链的数据验证方法和装置 | |
| CN108292402A (zh) | 用于信息的安全交换的公共秘密的确定和层级确定性密钥 | |
| US20090077376A1 (en) | Method and a system for secure execution of workflow tasks in a distributed workflow management system within a decentralized network system | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN107534855A (zh) | 远程控制目标安全元件的权限和权利的方法 | |
| CN111125781B (zh) | 一种文件签名方法、装置和文件签名验证方法、装置 | |
| US10887110B2 (en) | Method for digital signing with multiple devices operating multiparty computation with a split key | |
| US10574458B2 (en) | Media storage structures for storing content, devices for using such structures, systems for distributing such structures | |
| EP2065828A2 (en) | Media storage structures for storing content, devices for using such structures, systems for distributing such structures | |
| JP2010231404A (ja) | 秘密情報管理システム、秘密情報管理方法、および秘密情報管理プログラム | |
| CN101325483B (zh) | 对称密钥更新方法和对称密钥更新装置 | |
| JP2022548185A (ja) | 制限トランザクションを有するブロックチェーン装置 | |
| CN105634720B (zh) | 一种加密安全配置文件的方法、终端设备和系统 | |
| CN110827034A (zh) | 用于发起区块链交易的方法及装置 | |
| CN118214614B (zh) | 区块链系统上数据的访问控制方法、装置及系统 | |
| RU2787945C2 (ru) | Система защищенного электронного документооборота и способ автоматизированного контроля её инфраструктуры на основе технологии распределенных реестров (блокчейн) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |