CN111523881B - 一种数字资产分管系统和方法 - Google Patents
一种数字资产分管系统和方法 Download PDFInfo
- Publication number
- CN111523881B CN111523881B CN201911342711.6A CN201911342711A CN111523881B CN 111523881 B CN111523881 B CN 111523881B CN 201911342711 A CN201911342711 A CN 201911342711A CN 111523881 B CN111523881 B CN 111523881B
- Authority
- CN
- China
- Prior art keywords
- server
- key
- digital asset
- dimensional code
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K17/00—Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations
- G06K17/0022—Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations arrangements or provisious for transferring data to distant stations, e.g. from a sensing device
- G06K17/0025—Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations arrangements or provisious for transferring data to distant stations, e.g. from a sensing device the arrangement consisting of a wireless interrogation device in combination with a device for optically marking the record carrier
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3678—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种数字资产分管系统,包括:与外网通信的金融管理服务器,经第一通信通道与所述金融管理服务器通信的管理服务器和钱包服务器,经第二通信信道与所述管理服务器和所述钱包服务器通信的密钥服务器,经第三通信信道与所述密钥服务器通信的离线加密机,以及与所述钱包服务器通信的在线加密机。本发明还涉及一种数字资产分管方法。本发明通过将数字资产按照不同的比例分别存储在离线加密机和在线加密机中,即方便快速存取,又加强了安全性。对于存储在在线加密机中的数字资产,客户可以快速存取;对于存储在离线加密机的数字资产,私钥存储在离线加密机中,签名也在离线加密机中进行,因此保证了数字资产的安全性。
Description
技术领域
本发明涉及数字资产分管领域,更具体地说,涉及一种数字资产分管系统和方法。
背景技术
数字资产(Digital assets)是指企业或个人拥有或控制的,以电子数据形式存在的,在日常活动中持有以备出售或处于生产过程中的非货币性资产。例如计算机化的设备的软件、固件、可执行指令、数字证书(例如公共密钥证书)、密码密钥、比特币等等。而这些数字资产通常存放在一些数字资产分管平台中。
由于数字资产通常具有较高价值,因此很多黑客采用各种技术手段对数字资产分管平台进行攻击,从而盗取其中的数字资产。而现有技术中的数字资产分管平台,容易受到网络攻击,存在较大的安全隐患和信息泄露风险。
发明内容
本发明要解决的技术问题在于,针对现有技术的数字资产分管平台容易受到网络攻击、存在较大安全隐患和信息泄露风险的缺陷,提供一种数字资产分管系统和方法,能够安全高效的对密钥进行保护,进而确保数字资产的安全。
本发明解决其技术问题采用的技术方案是,构造一种数字资产分管系统,包括:与外网通信的金融管理服务器,经第一通信通道与所述金融管理服务器通信的管理服务器和钱包服务器,经第二通信信道与所述管理服务器和所述钱包服务器通信的密钥服务器,经第三通信信道与所述密钥服务器通信的离线加密机,以及与所述钱包服务器通信的在线加密机;
所述金融管理服务器接收密钥申请,并通过所述管理服务器传送给所述密钥服务器,所述密钥服务器生成密钥,并将所述密钥传送给所述离线加密机和所述在线加密机;所述在线加密机加密所述密钥以生成第一加密私钥和第一公钥并在内部存储所述第一加密私钥并将所述第一公钥返回给所述密钥服务器和所述金融管理服务器;所述离线加密机加密所述密钥以生成第二加密私钥和第二公钥并在内部存储所述第二加密私钥并将所述第二公钥返回给所述密钥服务器,所述密钥服务器将所述第二公钥返回到所述金融管理服务器;
所述钱包服务器接收数字资产存入请求并根据设定规则将第一比例的数字资产存入所述在线加密机,并将第二比例的数字资产存入所述离线加密机;和/或
所述金融管理服务器接收数字资产取出请求,并将其发送给所述钱包服务器,所述钱包服务器根据设定规则从所述在线加密机和/或所述离线加密机取出所述数字资产,并返回到所述金融管理服务器。
在本发明所述的数字资产分管系统中,所述钱包服务器基于所述数字资产取出请求和所述设定规则解析需要所述在线加密机签名的第一交易数据和/或需要所述离线加密机签名的第二交易数据,所述密钥服务器采用第一公钥加密所述第一交易数据后将第一加密数据经所述钱包服务器发送给所述在线加密机,所述在线加密机采用所述第一加密私钥签名所述第一加密数据,然后将生成的第一签名数据返回给所述钱包服务器,所述钱包服务器将所述第一签名数据原路返回到所述金融管理服务器;所述密钥服务器采用第二公钥加密所述第二交易数据后将第二加密数据经所述第三通信信道发送给所述离线加密机,所述离线加密机采用所述第二加密私钥签名所述第二加密数据,然后将生成的第二签名数据返回给所述密钥服务器,所述密钥服务器将所述第二签名数据原路返回到所述金融管理服务器。
在本发明所述的数字资产分管系统中,所述第三通信信道包括设置在所述密钥服务器上的第一声波收发装置和设置在所述离线加密机上的第二声波收发装置。
在本发明所述的数字资产分管系统中,所述第三通信信道包括设置在所述密钥服务器上的扫描装置和显示装置,以及设置在所述离线加密机上的扫描装置和显示装置;所述密钥服务器在接收到所述第二交易数据后将第二交易数据进行二维码编码,然后将获得的二维码采用所述第二公钥加密,并将加密二维码在其显示装置上进行显示;所述离线加密机上的扫描装置扫描获取所述加密二维码,采用所述第二加密私钥解密所述加密二维码以获得所述第二交易数据并采用所述第二加密私钥进行签名,并对所述签名数据进行二维码编码以生成签名二维码,然后采用其显示装置显示所述签名二维码;所述密钥服务器上的扫描装置扫描获取所述签名二维码以获得所述第二签名数据,并将所述第二签名数据原路返回到所述金融管理服务器。
在本发明所述的数字资产分管系统中,所述数字资产分管系统包括多个离线加密机,所述第三通信信道包括设置在所述密钥服务器上的扫描装置和显示装置,以及设置在各个所述离线加密机上的扫描装置和显示装置;对于每个第二交易数据,所述管理服务器选择所述多个离线加密机中的至少两个进行签名;所述密钥服务器在接收到所述第二交易数据后将第二交易数据进行二维码编码,然后将获得的二维码采用所述第二公钥加密,并将加密二维码在其显示装置上进行显示;所述管理服务器选定的第一离线加密机上的扫描装置扫描获取所述加密二维码,采用其第二加密私钥解密所述加密二维码以获得所述第二交易数据并采用所述第二加密私钥进行签名,并对所述签名数据进行二维码编码以生成一次签名二维码,然后采用其显示装置显示所述一次签名二维码;所述管理服务器选定的第二离线加密机上的扫描装置扫描获取所述一次签名二维码,采用其第二加密私钥解密所述一次签名二维码以获得所述第二交易数据并采用所述第二加密私钥进行二次签名,二次签名数据进行二维码编码以生成二次签名二维码然后采用其显示装置显示所述二次签名二维码;所述密钥服务器上的扫描装置扫描获取所述二次签名二维码以获得所述第二签名数据,并将所述第二签名数据原路返回到所述金融管理服务器。
在本发明所述的数字资产分管系统中,所述第一通信通道中设置第一道防火墙,所述管理服务器设置在内部网络中;所述第二通信通道中设置第二道防火墙,所述密钥服务器设置在隔离网络中,所述密钥服务器与所述离线加密机之间物理隔离。
在本发明所述的数字资产分管系统中,所述钱包服务器首先判定所述在线加密机中存储的总数字资产是否满足所述数字资产取出请求,如果是则从所述在线加密机中取出所述数字资产,并返回到所述金融管理服务器,否则从所述在线加密机和所述离线加密机分别取出第一数字资产和第二数字资产,并返回到所述金融管理服务器,其中所述第一数字资产和所述第二数字资产之和大于或等于所述数字资产取出请求。
在本发明所述的数字资产分管系统中,当所述第一数字资产和所述第二数字资产之和大于所述数字资产取出请求时,所述金融管理服务器将剩余数字资产返回到所述在线加密机中存储。
在本发明所述的数字资产分管系统中,所述离线加密机上的所述扫描装置和所述显示装置通过USB接口与所述离线加密机连接,设置在所述密钥服务器上的扫描装置和显示装置通过USB接口与所述密钥服务器连接。
本发明解决其技术问题采用的另一技术方案是,构造一种数字资产分管方法,包括:
S1、构建前述的数字资产分管系统;
S2、采用所述数字资产分管系统完成密钥申请;
S3、采用所述数字资产分管系统完成数字资产存入;和/或
S4、采用所述数字资产分管系统完成数字资产取出。
实施本发明的数字资产分管方法系统和方法,通过将数字资产按照不同的比例分别存储在离线加密机和在线加密机中,即方便快速存取,又加强了安全性。对于存储在在线加密机中的数字资产,客户可以快速存取;对于存储在离线加密机的数字资产,私钥存储在离线加密机中,签名也在离线加密机中进行,因此保证了数字资产的安全性。进一步地,通过多层网络隔离,从而避免了容易受到网络攻击、存在较大安全隐患和信息泄露风险的缺陷。进一步地,所述密钥服务器与所述离线加密机之间只能通过声波通信或二维码扫描通信,加密过程复杂、安全程度高。再进一步的,可以自行设置数字资产在在线和离线加密机中的存储比例以及存取规则,设置灵活,取用方便。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的数字资产分管系统的第一优选实施例的原理框图;
图2是本发明的数字资产分管系统的第三通信信道的优选实施例的结构示意图;
图3是本发明的数字资产分管系统的第三优选实施例的原理框图;
图4是本发明的数字资产分管方法的第一实施例的方法流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1是本发明的数字资产分管系统的第一实施例的原理框图。如图1所示,所述数字资产分管系统,包括:与外网通信的金融管理服务器100,经第一通信通道200与所述金融管理服务器100通信的管理服务器300和钱包服务器800,经第二通信信道400与所述管理服务器300和钱包服务器800通信的密钥服务器500,经第三通信信道600与所述密钥服务器500通信的离线加密机700,以及与所述钱包服务器800通信的在线加密机900。如图1所示,所述第一通信通道200中设置第一道防火墙,所述管理服务器300设置在内部网络中;所述第二通信通道400中设置第二道防火墙,所述密钥服务器500设置在隔离网络中,所述离线加密机700离线。在本发明中,离线是指除本文中提及的通信方式以外,不跟任何外部网络通信。在线加密机900是指该加密机可以通过所述钱包服务器800、金融管理服务器100从而与外部网络连接。
在密钥申请过程中,所述金融管理服务器100接收密钥申请,然后经第一通信通道200将该密钥申请传送给处于内网中的所述管理服务器300。所述管理服务器300在经过第二通信通道400将该密钥申请传送给处于隔离网络中的所述密钥服务器500。所述密钥服务器500生成密钥,并通过第三通信信道600将所述密钥传送给所述离线加密机700和所述钱包服务器800。所述钱包服务器800将所述密钥又发送给所述在线加密机900。所述在线加密机900加密所述密钥以生成第一加密私钥和第一公钥并在内部存储所述第一加密私钥并将所述第一公钥返回给所述钱包服务器800。而所述钱包服务器800将所述第一公钥分别经第二通信信道400和第二通信信道200返回给所述密钥服务器500和所述金融管理服务器100。所述离线加密机700加密所述密钥以生成第二加密私钥和第二公钥并在内部存储所述第二加密私钥并将所述第二公钥经第三通信信道600返回给所述密钥服务器500,所述密钥服务器500经所述第二通信信道400和所述管理服务器300将所述第二公钥返回到所述金融管理服务器100,当然所述密钥服务器500经所述第二通信信道400和所述钱包服务器800将所述第二公钥返回到所述金融管理服务器100。
当需要存入数字资产时,所述金融管理服务器100接收数字资产存入请求,并将其发送给所述钱包服务器800,所述钱包服务器800根据设定规则将第一比例的数字资产存入所述在线加密机900,并将第二比例的数字资产存入所述离线加密机700。在本发明的一个优选实施例中,首先可以通过金融管理服务器100接收来自各个用户客户端的多笔数字资产,当累积到一定数额时,所述金融管理服务器100生成数字资产存入请求。在本发明的另一个优选实施例中,也可以金融管理服务器100接收来自各个用户客户端的数字资产存入请求。通常情况下,会将小比例的数字资产(例如5-10%)存储在在线加密机中以应对账户流通,而将大比例的数字资产(90-95%)存储在离线加密机中,以保证账户安全。当然,还可以根据实际需要进行其他设置。通常可以通过离线比特币钱包地址的方式来将大比例的数字资产(90-95%)存储在离线加密机700。该数字资产在离线加密机700中的存储方式,也可以根据实际需要设定,例如可以将全部数字资产写入同一个比特币钱包地址,然后设置多个备份比特币钱包地址,以用于后续的资产取出操作,也可以将全部的数字资产按照一定的比例规则,等额或者不等额的写入不同的比特币钱包地址,以便于后续的资产取出操作。每条比特币钱包地址在签名取出之后失效。
当需要取出数字资产时,所述金融管理服务器100例如接收来自某个或者多个用户客户端的数字资产取出请求。这时,其将该数字资产取出请求转发给所述钱包服务器800。所述钱包服务器800根据设定规则从所述在线加密机900和/或所述离线加密机700取出所述数字资产,并返回到所述金融管理服务器100,再通过区块链发送给客户端。例如,所述钱包服务器800发现数字资产取出请求所要求取出的数字资产总额低于所述在线加密机900中存储的数字资产总额,并且在所述在线加密机900支取之后,也不会低于其规定的最低存储额,那么直接从在线加密机900中支取。如果所述钱包服务器800发现数字资产取出请求所要求取出的数字资产总额低于所述在线加密机900中存储的数字资产总额,但在所述在线加密机900支取之后,将低于其规定的最低存储额,那么直接从在线加密机900中支取,并且随后或者再设定时间段内在所述离线加密机700中支取特定的数字资产,将其冲入所述在线加密机900。又例如,如果所述钱包服务器800发现数字资产取出请求所要求取出的数字资产总额高于所述在线加密机900中存储的数字资产总额,那么按照一定的规则(比如一定的比例,或者要求)分别从在线加密机900中支取第一数字资产,而在所述离线加密机700中支取第二数字资产。当所述第一数字资产和所述第二数字资产之和大于所述数字资产取出请求时,所述金融管理服务器将剩余数字资产返回到所述在线加密机中存储。当然在本发明的另一优选实施例中例如发现数字资产取出请求所要求取出的数字资产总额较大,而所述在线加密机900存储的数字资产已经低于或者等于其规定的最低存储额,那么可以只从所述离线加密机700中支取。当然,基于本发明的教导,本领域技术人员还可以设置其他的规则和要求。
在本发明的优选实施例中,当需要取出数字资产时,所述钱包服务器基800于所述数字资产取出请求和所述设定规则解析需要所述在线加密机900签名的第一交易数据和/或需要所述离线加密机700签名的第二交易数据。如前所述,当只需要从所述在线加密机900支取时,只解析出第一交易数据,当只需要从所述离线加密机700支取时,只解析出第二交易数据,而当需要从两者支取时,将解析出第一和第二交易数据。
当解析出第一交易数据时,所述密钥服务器500采用第一公钥加密所述第一交易数据后将第一加密数据经所述钱包服务器800发送给所述在线加密机900,所述在线加密机900采用所述第一加密私钥签名所述第一加密数据,然后将生成的第一签名数据返回给所述钱包服务器800,所述钱包服务器800将所述第一签名数据原路返回到所述金融管理服务器100。当解析出第二交易数据时,所述密钥服务器500采用第二公钥加密所述第二交易数据后将第二加密数据经所述第三通信信道600发送给所述离线加密机700,所述离线加密机700采用所述第二加密私钥签名所述第二加密数据,然后将生成的第二签名数据返回给所述密钥服务器500,所述密钥服务器500将所述第二签名数据原路返回到所述金融管理服务器100。当同时解析出第一和第二交易数据时,同时执行上述两步即可。在本发明的一个优选实施例中,所述第三通信信道600包括设置在所述密钥服务器500上的第一声波收发装置和设置在所述离线加密机700上的第二声波收发装置。通过第一声波收发装置和第二声波收发装置实现上述通信。
实施本发明的数字资产分管方法系统,通过将数字资产按照不同的比例分别存储在离线加密机和在线加密机中,即方便快速存取,又加强了安全性。对于存储在在线加密机中的数字资产,客户可以快速存取;对于存储在离线加密机的数字资产,私钥存储在离线加密机中,签名也在离线加密机中进行,因此保证了数字资产的安全性。进一步地,通过多层网络隔离,从而避免了容易受到网络攻击、存在较大安全隐患和信息泄露风险的缺陷。
图2是本发明的数字资产分管系统的第三通信信道的优选实施例的结构示意图。如图2所示,所述第三通信信道600包括设置所述密钥服务器500上的扫描装置610和显示装置620,以及设置在所述离线加密机700上的扫描装置和显示装置。扫描装置610和显示装置620设置在所述密钥服务器500同侧,且位于安装结构640上,并通过USB接口630与所述密钥服务器500通信。设置在所述离线加密机700上的扫描装置和显示装置同样位于所述离线加密机700的同侧且位于安装结构650上,并通过USB接口660与所述离线加密机700通信。
在需要所述离线加密机700进行签名时,所述密钥服务器500在接收到所述第二交易数据后将第二交易数据进行二维码编码,然后将获得的二维码采用所述第二公钥加密,并将加密二维码在其显示装置620上进行显示。所述离线加密机700上的扫描装置扫描获取所述加密二维码,采用所述第二加密私钥解密所述加密二维码以获得所述第二交易数据并采用所述第二加密私钥进行签名,并对所述签名数据进行二维码编码以生成签名二维码,然后采用其显示装置显示所述签名二维码。所述密钥服务器500上的扫描装置610扫描获取所述签名二维码以获得所述第二签名数据,并将所述第二签名数据原路返回到所述金融管理服务器100。同理,在本实施例中,在密钥申请过程中,所述密钥服务器500与所述离线加密机700之间的通信也是如此,在此就不再累述了。
在本发明的优选实施例中,可以采用任何已知的编码方法,将获得的交易数据编码成可以供显示装置进行显示的二维码。进一步的,任何加密方法都可以用来对获得的二维码进行加密。例如,可以采用常见的DES与RSA混合加密算法。优选的,所述加密二维码例如每隔设定时间进行更新显示。优选的,所述扫描装置可以以定时轮询的方式扫描获取上述二维码。当然,在本发明的另一优选实施例中,所述扫描装置也可以一直保持扫描,从而在第一时间获取二维码。优选地,所述扫描装置为扫描器,所述显示装置为液晶显示屏,所述液晶显示屏上贴防偷窥膜。
在本实施例中,所述密钥服务器与所述离线加密机之间只能通过二维码扫描通信,加密过程复杂、安全程度高。
图3是本发明的数字资产分管系统的第三优选实施例的原理框图。在图3所示实施例中,所述数字资产分管系统,包括:与外网通信的金融管理服务器100,经第一通信通道200与所述金融管理服务器100通信的管理服务器300和钱包服务器800,经第二通信信道400与所述管理服务器300和钱包服务器800通信的密钥服务器500,经第三通信信道600与所述密钥服务器500通信的离线加密机700,以及与所述钱包服务器800通信的多个离线加密机710、720和730。
在本实施例中,在密钥申请过程与图1-2实施例类似,其区别仅在于,离线加密机710、720和730可以分别加密所述密钥以生成各自的第二加密私钥和第二公钥,并在内部存储所述各自的第二加密私钥并将所述第二公钥原路返回到所述金融管理服务器100。其对第二交易数据的签名也可以与实施例1-2所示实施例类似,其区别仅在于,需要至少选择多个离线加密机710、720和730中的至少两个进行两次签名。基于本发明的教导,本领域技术人员能够实现该方式,在此就不再累述了。
在本发明的进一步的优选实施例中,各个所述离线加密机上设置扫描装置和显示装置。其实现方式与图2所示的实施例类似。例如,当解析出第二交易数据时,对于每个第二交易数据,所述管理服务器300选择所述多个离线加密机710-730中的至少两个进行签名。当然该选择也可以是金融管理服务器100做出。在本实施例中,例如选择离线加密机710和720。所述密钥服务器500在接收到所述第二交易数据后将第二交易数据进行二维码编码,然后将获得的二维码采用所述第二公钥加密,并将加密二维码在其显示装置上进行显示,选择哪一个公钥可以由所述密钥服务器500指定。离线加密机710上的扫描装置扫描获取所述加密二维码,采用其第二加密私钥解密所述加密二维码以获得所述第二交易数据并采用所述第二加密私钥进行签名,并对所述签名数据进行二维码编码以生成一次签名二维码,然后采用其显示装置显示所述一次签名二维码。离线加密机720上的扫描装置扫描获取所述一次签名二维码,采用其第二加密私钥解密所述一次签名二维码以获得所述第二交易数据并采用所述第二加密私钥进行二次签名,二次签名数据进行二维码编码以生成二次签名二维码然后采用其显示装置显示所述二次签名二维码。所述密钥服务器500上的扫描装置扫描获取所述二次签名二维码以获得所述第二签名数据,并将所述第二签名数据原路返回到所述金融管理服务器。本领域技术人员知悉,可以设置更多数量的离线加密机,其签名次数可以更多,选择哪一个公钥进行签名,以及选择哪个或者那些离线加密机都可以根据实际需要由系统管理员进行定义。在本实施例中,通过多重签名交易,进一步增强了交易的安全性,这样,即使一个离线加密机出现问题,也不会使得签名被盗。
图4是本发明的数字资产分管方法的第一实施例的方法流程示意图。在步骤S1中,构建数字资产分管系统。在本实施例中,可以根据图1-3中所示的任意实施例,构建所述数字资产分管系统。
在步骤S2中,采用所述数字资产分管系统完成密钥申请。在本发明的优选实施例中,在本步骤中,所述金融管理服务器接收密钥申请,并通过所述管理服务器传送给所述密钥服务器,所述密钥服务器生成密钥,并将所述密钥传送给所述离线加密机和所述在线加密机;所述在线加密机加密所述密钥以生成第一加密私钥和第一公钥并在内部存储所述第一加密私钥并将所述第一公钥返回给所述密钥服务器和所述金融管理服务器;所述离线加密机加密所述密钥以生成第二加密私钥和第二公钥并在内部存储所述第二加密私钥并将所述第二公钥返回给所述密钥服务器,所述密钥服务器将所述第二公钥返回到所述金融管理服务器。
在步骤S3中,采用所述数字资产分管系统完成数字资产存入。在本发明的优选实施例中,在本步骤中,所述钱包服务器接收数字资产存入请求并根据设定规则将第一比例的数字资产存入所述在线加密机,并将第二比例的数字资产存入所述离线加密机。
在步骤S4中,采用所述数字资产分管系统完成数字资产取出。在本发明的优选实施例中,在本步骤中,所述金融管理服务器接收数字资产取出请求,并将其发送给所述钱包服务器,所述钱包服务器根据设定规则从所述在线加密机和/或所述离线加密机取出所述数字资产,并返回到所述金融管理服务器。在本发明的优选实施例中,所述钱包服务器首先判定所述在线加密机中存储的总数字资产是否满足所述数字资产取出请求,如果是则从所述在线加密机中取出所述数字资产,并返回到所述金融管理服务器,否则从所述在线加密机和所述离线加密机分别取出第一数字资产和第二数字资产,并返回到所述金融管理服务器,其中所述第一数字资产和所述第二数字资产之和大于所述数字资产取出请求。当所述第一数字资产和所述第二数字资产之和大于所述数字资产取出请求时,所述金融管理服务器将剩余数字资产返回到所述在线加密机中存储。
进一步的,在本发明的优选实施例中,可以利用参照图1-3中任何实施例,实现本发明的数字资产分管方法。基于本发明的教导,本领域技术人员能够实现本发明的数字资产分管方法。
实施本发明的数字资产分管方法,通过将数字资产按照不同的比例分别存储在离线加密机和在线加密机中,即方便快速存取,又加强了安全性。对于存储在在线加密机中的数字资产,客户可以快速存取;对于存储在离线加密机的数字资产,私钥存储在离线加密机中,签名也在离线加密机中进行,因此保证了数字资产的安全性。进一步地,通过多层网络隔离,从而避免了容易受到网络攻击、存在较大安全隐患和信息泄露风险的缺陷。进一步地,所述密钥服务器与所述离线加密机之间只能通过声波通信或二维码扫描通信,加密过程复杂、安全程度高。再进一步的,可以自行设置数字资产在在线和离线加密机中的存储比例以及存取规则,设置灵活,取用方便。
因此,本发明可以通过硬件、软件或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现,或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现本发明方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统,通过安装和执行程序控制计算机系统,使其按本发明方法运行。
本发明还可以通过计算机程序产品进行实施,程序包含能够实现本发明方法的全部特征,当其安装到计算机系统中时,可以实现本发明的方法。本文件中的计算机程序所指的是:可以采用任何程序语言、代码或符号编写的一组指令的任何表达式,该指令组使系统具有信息处理能力,以直接实现特定功能,或在进行下述一个或两个步骤之后实现特定功能:a)转换成其它语言、编码或符号;b)以不同的格式再现。
虽然本发明是通过具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换及等同替代。另外,针对特定情形或材料,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种数字资产分管系统,其特征在于,包括:与外网通信的金融管理服务器,经第一通信通道与所述金融管理服务器通信的管理服务器和钱包服务器,经第二通信信道与所述管理服务器和所述钱包服务器通信的密钥服务器,经第三通信信道与所述密钥服务器通信的离线加密机,以及与所述钱包服务器通信的在线加密机;
所述金融管理服务器接收密钥申请,并通过所述管理服务器传送给所述密钥服务器,所述密钥服务器生成密钥,并将所述密钥传送给所述离线加密机和所述在线加密机;所述在线加密机加密所述密钥以生成第一加密私钥和第一公钥并在内部存储所述第一加密私钥并将所述第一公钥返回给所述密钥服务器和所述金融管理服务器;所述离线加密机加密所述密钥以生成第二加密私钥和第二公钥并在内部存储所述第二加密私钥并将所述第二公钥返回给所述密钥服务器,所述密钥服务器将所述第二公钥返回到所述金融管理服务器;
所述钱包服务器接收数字资产存入请求并根据设定规则将第一比例的数字资产存入所述在线加密机,并将第二比例的数字资产存入所述离线加密机;和/或
所述金融管理服务器接收数字资产取出请求,并将其发送给所述钱包服务器,所述钱包服务器根据设定规则从所述在线加密机和/或所述离线加密机取出所述数字资产,并返回到所述金融管理服务器。
2.根据权利要求1所述的数字资产分管系统,其特征在于,所述钱包服务器基于所述数字资产取出请求和所述设定规则解析需要所述在线加密机签名的第一交易数据和/或需要所述离线加密机签名的第二交易数据,所述密钥服务器采用第一公钥加密所述第一交易数据后将第一加密数据经所述钱包服务器发送给所述在线加密机,所述在线加密机采用所述第一加密私钥签名所述第一加密数据,然后将生成的第一签名数据返回给所述钱包服务器,所述钱包服务器将所述第一签名数据原路返回到所述金融管理服务器;所述密钥服务器采用第二公钥加密所述第二交易数据后将第二加密数据经所述第三通信信道发送给所述离线加密机,所述离线加密机采用所述第二加密私钥签名所述第二加密数据,然后将生成的第二签名数据返回给所述密钥服务器,所述密钥服务器将所述第二签名数据原路返回到所述金融管理服务器。
3.根据权利要求2所述的数字资产分管系统,其特征在于,所述第三通信信道包括设置在所述密钥服务器上的第一声波收发装置和设置在所述离线加密机上的第二声波收发装置。
4.根据权利要求2所述的数字资产分管系统,其特征在于,所述第三通信信道包括设置在所述密钥服务器上的扫描装置和显示装置,以及设置在所述离线加密机上的扫描装置和显示装置;所述密钥服务器在接收到所述第二交易数据后将第二交易数据进行二维码编码,然后将获得的二维码采用所述第二公钥加密,并将加密二维码在其显示装置上进行显示;所述离线加密机上的扫描装置扫描获取所述加密二维码,采用所述第二加密私钥解密所述加密二维码以获得所述第二交易数据并采用所述第二加密私钥进行签名,并对所述第二签名数据进行二维码编码以生成签名二维码,然后采用其显示装置显示所述签名二维码;所述密钥服务器上的扫描装置扫描获取所述签名二维码以获得所述第二签名数据,并将所述第二签名数据原路返回到所述金融管理服务器。
5.根据权利要求4所述的数字资产分管系统,其特征在于,所述数字资产分管系统包括多个离线加密机,所述第三通信信道包括设置在所述密钥服务器上的扫描装置和显示装置,以及设置在各个所述离线加密机上的扫描装置和显示装置;对于每个第二交易数据,所述管理服务器选择所述多个离线加密机中的至少两个进行签名;所述密钥服务器在接收到所述第二交易数据后将第二交易数据进行二维码编码,然后将获得的二维码采用所述第二公钥加密,并将加密二维码在其显示装置上进行显示;所述管理服务器选定的第一离线加密机上的扫描装置扫描获取所述加密二维码,采用其第二加密私钥解密所述加密二维码以获得所述第二交易数据并采用所述第二加密私钥进行签名,并对所述第二签名数据进行二维码编码以生成一次签名二维码,然后采用其显示装置显示所述一次签名二维码;所述管理服务器选定的第二离线加密机上的扫描装置扫描获取所述一次签名二维码,采用其第二加密私钥解密所述一次签名二维码以获得所述第二交易数据并采用所述第二加密私钥进行二次签名,二次签名数据进行二维码编码以生成二次签名二维码然后采用其显示装置显示所述二次签名二维码;所述密钥服务器上的扫描装置扫描获取所述二次签名二维码以获得所述第二签名数据,并将所述第二签名数据原路返回到所述金融管理服务器。
6.根据权利要求5所述的数字资产分管系统,其特征在于,所述第一通信通道中设置第一道防火墙,所述管理服务器设置在内部网络中;所述第二通信信道 中设置第二道防火墙,所述密钥服务器设置在隔离网络中,所述密钥服务器与所述离线加密机之间物理隔离。
7.根据权利要求6所述的数字资产分管系统,其特征在于,所述钱包服务器首先判定所述在线加密机中存储的总数字资产是否满足所述数字资产取出请求,如果是则从所述在线加密机中取出所述数字资产,并返回到所述金融管理服务器,否则从所述在线加密机和所述离线加密机分别取出第一数字资产和第二数字资产,并返回到所述金融管理服务器,其中所述第一数字资产和所述第二数字资产之和大于或等于所述数字资产取出请求的数量。
8.根据权利要求7所述的数字资产分管系统,其特征在于,当所述第一数字资产和所述第二数字资产之和大于所述数字资产取出请求的数量时,所述金融管理服务器将剩余数字资产返回到所述在线加密机中存储。
9.根据权利要求8所述的数字资产分管系统,其特征在于,所述离线加密机上的所述扫描装置和所述显示装置通过USB接口与所述离线加密机连接,设置在所述密钥服务器上的扫描装置和显示装置通过USB接口与所述密钥服务器连接。
10.一种数字资产分管方法,其特征在于,包括:
S1、构建根据权利要求1-9中任意一项所述的数字资产分管系统;
S2、采用所述数字资产分管系统完成密钥申请;
S3、采用所述数字资产分管系统完成数字资产存入;和/或
S4、采用所述数字资产分管系统完成数字资产取出。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911342711.6A CN111523881B (zh) | 2019-12-23 | 2019-12-23 | 一种数字资产分管系统和方法 |
PCT/CN2020/070536 WO2021114446A1 (zh) | 2019-12-13 | 2020-01-06 | 数字资产隔离管理系统和方法 |
US17/050,909 US20220129886A1 (en) | 2019-12-13 | 2020-01-06 | System and method for isolated management of digital assets |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911342711.6A CN111523881B (zh) | 2019-12-23 | 2019-12-23 | 一种数字资产分管系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111523881A CN111523881A (zh) | 2020-08-11 |
CN111523881B true CN111523881B (zh) | 2023-03-10 |
Family
ID=71900235
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911342711.6A Active CN111523881B (zh) | 2019-12-13 | 2019-12-23 | 一种数字资产分管系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111523881B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107292735A (zh) * | 2017-05-27 | 2017-10-24 | 唐盛(北京)物联技术有限公司 | 一种基于区块链技术的抵押融资方法及系统 |
CN108154366A (zh) * | 2017-12-25 | 2018-06-12 | 丁江 | 跨链数字资产转移方法和终端设备 |
CN108764877A (zh) * | 2018-06-05 | 2018-11-06 | 广州裕如优信息科技有限公司 | 基于区块链技术的数字资产确权交易方法 |
WO2019204213A1 (en) * | 2018-04-15 | 2019-10-24 | Cooner Jason | Encryption for blockchain cryptocurrency transactions and uses in conjunction with carbon credits |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8909924B2 (en) * | 2006-11-30 | 2014-12-09 | Dapict, Inc. | Digital asset management system |
WO2015175854A2 (en) * | 2014-05-15 | 2015-11-19 | Cryptyk, Inc. (Trading As Bitsavr Inc.) | System and method for digital currency storage, payment and credit |
US10992469B2 (en) * | 2015-07-14 | 2021-04-27 | Fmr Llc | Seed splitting and firmware extension for secure cryptocurrency key backup, restore, and transaction signing platform apparatuses, methods and systems |
-
2019
- 2019-12-23 CN CN201911342711.6A patent/CN111523881B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107292735A (zh) * | 2017-05-27 | 2017-10-24 | 唐盛(北京)物联技术有限公司 | 一种基于区块链技术的抵押融资方法及系统 |
CN108154366A (zh) * | 2017-12-25 | 2018-06-12 | 丁江 | 跨链数字资产转移方法和终端设备 |
WO2019204213A1 (en) * | 2018-04-15 | 2019-10-24 | Cooner Jason | Encryption for blockchain cryptocurrency transactions and uses in conjunction with carbon credits |
CN108764877A (zh) * | 2018-06-05 | 2018-11-06 | 广州裕如优信息科技有限公司 | 基于区块链技术的数字资产确权交易方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111523881A (zh) | 2020-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102180991B1 (ko) | 블록 체인 기밀 거래의 규제 | |
CN106452775B (zh) | 实现电子签章的方法、装置及签章服务器 | |
CN109687963A (zh) | 基于公钥池的抗量子计算联盟链交易方法和系统 | |
JP6880255B2 (ja) | ブロックチェーン機密トランザクションの管理 | |
EP3269059A1 (en) | METHOD AND APPARATUS FOR PROVIDING A UNIVERSAL DETERMINISTICALLY REPRODUCIBLE CRYPTOGRAPHIC KEY-PAIR REPRESENTATION FOR ALL SKUs, SHIPPING CARTONS, AND ITEMS | |
US20080104709A1 (en) | System and method for secure data storage | |
CN109670803A (zh) | 线上交易前测试的方法、装置、介质及电子设备 | |
CN108876593A (zh) | 一种在线交易方法和装置 | |
US8867743B1 (en) | Encryption of large amounts of data using secure encryption methods | |
CN108810017A (zh) | 业务处理安全验证方法及装置 | |
US20170200020A1 (en) | Data management system, program recording medium, communication terminal, and data management server | |
CN112800479B (zh) | 利用可信第三方的多方联合数据处理方法及装置 | |
CN111507707B (zh) | 一种数字资产隔离分管系统和方法 | |
CN112000978A (zh) | 隐私数据的输出方法、数据处理系统及存储介质 | |
CN114240347A (zh) | 业务服务安全对接方法、装置、计算机设备、存储介质 | |
US20220129886A1 (en) | System and method for isolated management of digital assets | |
CN112862477A (zh) | 一种基于区块链的数字商品原子交易方法及系统 | |
CN111523881B (zh) | 一种数字资产分管系统和方法 | |
CN111523880B (zh) | 一种数字资产异地分管系统和方法 | |
CN111523882B (zh) | 一种数字资产异地隔离分管系统和方法 | |
CN111144885B (zh) | 一种数字资产托管方法和系统 | |
US20220122066A1 (en) | System and method for remote management of digital assets | |
KR102475434B1 (ko) | 암호화폐 보안 방법 및 시스템 | |
CN111523879B (zh) | 一种数字资产安全隔离托管系统和方法 | |
CN111178882B (zh) | 一种数字资产安全托管系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40028329 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |