CN112910654A - 一种私钥管理方法、系统、设备及存储介质 - Google Patents
一种私钥管理方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN112910654A CN112910654A CN202110071067.4A CN202110071067A CN112910654A CN 112910654 A CN112910654 A CN 112910654A CN 202110071067 A CN202110071067 A CN 202110071067A CN 112910654 A CN112910654 A CN 112910654A
- Authority
- CN
- China
- Prior art keywords
- seed
- key
- private key
- random
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及数据安全技术领域,提供一种私钥管理方法,所述私钥管理方法应用于私钥管理设备,所述私钥管理方法包括:从随机种子管理设备获取随机种子;从密钥种子管理设备获取密钥种子及令牌参数;根据所述随机种子及密钥种子生成私钥文件密钥;根据所述随机种子及令牌文件生成私钥文件向量;根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,和/或进行解密处理。相应地,本申请还提供了应用于随机种子管理设备的私钥管理方法、应用于密钥种子管理设备的私钥管理方法、私钥管理系统、终端设备及可读存储介质。实施本申请,可有效防范私钥文件被盗用,提高区块链账户的安全性。
Description
技术领域
本申请涉及数据安全技术领域,尤其提供一种私钥管理方法、系统、设备及存储介质。
背景技术
目前很多区块链钱包保存的私钥文件都是没有经过特殊加密的,一旦密钥文件被窃取,盗用者只需要启动对应的区块链程序即可使用该私钥文件。另外,很多公司必须将区块链账户私钥文件放到服务器上,以便自动发送区块链交易。在服务器中保存原始的私钥文件会非常不安全,因为所有能够登录该服务器的人,比如公司内部员工、黑客等,都能拿到并使用这些账户私钥。但是,传统的加密技术,比如常规的对称或非对称加密方法,并不能解决上述私钥安全性问题,因为对私钥文件进行加解密的密钥,同样存在被盗用的问题。
发明内容
本申请的目的在于提供一种私钥管理方法、系统、设备及存储介质,旨在解决现有的问题,即现有技术难以防范私钥文件被盗用。
为实现上述目的,本申请采用的技术方案是:
第一方面,本申请提供了一种私钥管理方法,所述私钥管理方法应用于私钥管理设备,所述私钥管理方法包括:
从随机种子管理设备获取随机种子;
从密钥种子管理设备获取密钥种子及令牌参数;
根据所述随机种子及密钥种子生成私钥文件密钥;
根据所述随机种子及令牌文件生成私钥文件向量;
根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,和/或进行解密处理。
第二方面,本申请提供了一种私钥管理方法,所述私钥管理方法应用于随机种子管理设备,所述私钥管理方法包括:
在接收到随机种子获取请求时,提取所述随机种子获取请求中的IP地址,生成请求方地址,并判断随机种子数据库中是否存在所述请求方地址对应的随机种子;
判断为是时,将所述随机种子返回给所述请求方地址对应的私钥管理设备;
判断为否时,随机生成种子数据以作为所述随机种子,将所述随机种子与所述请求方地址进行关联并保存在所述随机种子数据库中,将所述随机种子返回给所述请求方地址对应的所述私钥管理设备;
所述私钥管理设备用于实现第一方面所述的私钥管理方法。
第三方面,本申请提供了一种私钥管理方法,所述私钥管理方法应用于密钥种子管理设备,所述私钥管理方法包括:
在接收到密钥种子获取请求时,提取所述密钥种子获取请求中的IP地址,生成请求方地址,判断所述密钥种子获取请求是否包含令牌参数,
判断为是时,若密钥种子数据库中存在与所述请求方地址及令牌参数匹配的密钥种子,将所述密钥种子返回给所述请求方地址对应的私钥管理设备,否则返回错误提示信息至所述请求方地址对应的私钥管理设备,
判断为否时,若密钥种子数据库中存在与所述请求方地址匹配的密钥种子,返回错误提示信息至所述请求方地址对应的私钥管理设备,否则,分别生成两个随机数据以作为令牌参数及密钥种子,随后将所述令牌参数、密钥种子及请求方地址进行关联并保存在所述密钥种子数据库中,向所述请求方地址对应的所述私钥管理设备返回令牌参数及密钥种子;
所述私钥管理设备用于实现第一方面所述的私钥管理方法。
第四方面,本申请提供了一种私钥管理系统,所述私钥管理系统包括私钥管理设备、随机种子管理设备及密钥种子管理设备;
所述私钥管理设备包括:
随机种子获取模块,用于从随机种子管理设备获取随机种子;
密种令牌获取模块,用于从密钥种子管理设备获取密钥种子及令牌参数;
私钥文件密钥生成模块,用于根据所述随机种子及密钥种子生成私钥文件密钥;
私钥文件向量生成模块,用于根据所述随机种子及令牌文件生成私钥文件向量;
私钥加解密模块,用于根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,和/或进行解密处理;
所述随机种子管理设备包括:
随种请求判断模块,用于在接收到随机种子获取请求时,提取所述随机种子获取请求中的IP地址,生成请求方地址,并判断随机种子数据库中是否存在所述请求方地址对应的随机种子;
随机种子返回模块,用于判断为是时,将所述随机种子返回给所述请求方地址对应的私钥管理设备;
随种生成返回模块,用于判断为否时,随机生成种子数据以作为所述随机种子,将所述随机种子与所述请求方地址进行关联并保存在所述随机种子数据库中,将所述随机种子返回给所述请求方地址对应的所述私钥管理设备;
所述密钥种子管理设备包括:
密种请求判断模块,用于在接收到密钥种子获取请求时,提取所述密钥种子获取请求中的IP地址,生成请求方地址,判断所述密钥种子获取请求是否包含令牌参数;
密钥种子返回模块,用于判断为是时,若密钥种子数据库中存在与所述请求方地址及令牌参数匹配的密钥种子,将所述密钥种子返回给所述请求方地址对应的私钥管理设备,否则返回错误提示信息至所述请求方地址对应的私钥管理设备;
密种令牌返回模块,用于判断为否时,若密钥种子数据库中存在与所述请求方地址匹配的密钥种子,返回错误提示信息至所述请求方地址对应的私钥管理设备,否则,分别生成两个随机数据以作为令牌参数及密钥种子,随后将所述令牌参数、密钥种子及请求方地址进行关联并保存在所述密钥种子数据库中,向所述请求方地址对应的所述私钥管理设备返回令牌参数及密钥种子。
第五方面,本申请还提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序;
所述处理器执行所述计算机程序时实现上述第一方面的私钥管理方法;
或者,所述处理器执行所述计算机程序时实现上述第二方面的私钥管理方法;
或者,所述处理器执行所述计算机程序时实现上述第三方面的私钥管理方法。
第六方面,本申请还提供了一种计算机可读存储介质,存储有计算机程序,
所述计算机程序被处理器执行时实现上述第一方面的私钥管理方法;
或者,所述计算机程序被处理器执行时实现上述第二方面的私钥管理方法;
或者,所述计算机程序被处理器执行时实现上述第三方面的私钥管理方法。
本申请的有益效果:
本申请的提供的一种私钥管理方法、系统、设备及存储介质,有效防范私钥文件被盗用,提高区块链账户的安全性。
本申请的提供的私钥管理方法由私钥管理设备、随机种子管理设备及密钥种子管理设备三个设备执行,使得即使登录了私钥管理设备,只要不是合法操作,则无法使用私钥文件。
具体来说,第一,在应用于私钥管理设备的私钥管理方法中,需要从随机种子管理设备获取随机种子,以及从密钥种子管理设备获取密钥种子及令牌参数,然后根据所述随机种子及密钥种子生成私钥文件密钥,并根据所述随机种子及令牌文件生成私钥文件向量,最后根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,和/或进行解密处理。因此,如果有用户进行非法操作,无法同时从随机种子管理设备及密钥种子管理设备获得解密私钥文件必须的随机种子、密钥种子、令牌参数等数据,增强了私钥文件的安全性。
第二,在应用于随机种子管理设备的私钥管理方法中,在接收到随机种子获取请求时,提取所述随机种子获取请求中的IP地址,生成请求方地址,然后判断随机种子数据库中是否存在所述请求方地址对应的随机种子,如果是,将该随机种子返回给所述请求方地址对应的私钥管理设备,否则,返回新生成的随机种子。因此,如果有用户对随机管理设备进行非法操作,从随机种子管理设备中只能获得解密私钥文件必须的随机种子,由于解密私钥文件必须还要密钥种子、令牌参数等数据,因此只获取随机种子也无法进行解密,增强了私钥文件的安全性。
第三,在应用于密钥种子管理设备的私钥管理方法中,在接收到密钥种子获取请求时,提取所述密钥种子获取请求中的IP地址,生成请求方地址,如果所述密钥种子获取请求包含令牌参数,当密钥种子数据库中存在匹配的密钥种子,返回给私钥管理设备。如果密钥种子获取请求不包含令牌参数,当密钥种子数据库中存在与匹配的密钥种子,说明非法操作,返回错误提示信息,当密钥种子数据库中不存在与匹配的密钥种子,此种情况是新的用户要新建令牌参数及密钥种子,则分别生成两个随机数据以作为令牌参数及密钥种子并进行关联存储,最后返回令牌参数及密钥种子。因此,如果有用户对密钥种子管理设备进行非法操作,从密钥种子管理设备只能获得解密私钥文件必须的令牌参数及密钥种子,由于解密私钥文件必须还要随机种子等数据,因此只获取令牌参数及密钥种子也无法进行解密,增强了私钥文件的安全性。
可以理解的是,可以实现上述方法的系统、终端设备及计算机可读存储介质具有相同的有益效果。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请私钥管理方法实施例一的流程图;
图2为本申请私钥管理方法实施例一的获取随机种子的流程图;
图3为本申请私钥管理方法实施例一的获取密钥种子及令牌参数的流程图;
图4为本申请私钥管理方法实施例一的生成私钥文件密钥的流程图;
图5为本申请私钥管理方法实施例一的生成私钥文件向量的流程图;
图6为本申请私钥管理方法实施例二的流程图;
图7为本申请私钥管理方法实施例三的流程图;
图8为本申请私钥管理系统实施例的结构框图;
图9为本申请私钥管理系统实施例的私钥管理设备的结构框图;
图10为本申请私钥管理系统实施例的随机种子管理设备的结构框图;
图11为本申请私钥管理系统实施例的密钥种子管理设备的结构框图;
图12为本申请终端设备实施例的结构框图。
其中,图中各附图标记:
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
在本申请的描述中,需要理解的是,术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本申请中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请中的具体含义。
本申请的提供的一种私钥管理方法、系统、设备及存储介质,可以对私钥管理设备上的私钥文件做特定的加密处理,使得在私钥文件被盗用的情况下,盗用者也无法使用该私钥文件盗取区块链账户余额。
不同于单纯的对称加密或非对称加密的技术,本申请将加密私钥文件的关键因子,即随机种子及密钥种子,分开保存在两个不同的设备中,并且这两个设备可以分别由两个管理人员进行管理。私钥管理设备需要对私钥文件进行加密时都需要分别从这两个设备中获取随机因子和密钥种子,然后再根据随机因子和密钥种子对私钥文件进行加密处理,从而确保无论是开发人员还是运维人员,都无法接触到解密私钥文件的关键因子。
为了说明本申请所述的技术方案,下面通过以下实施例来进行说明。
实施例一
本申请实施例提供的私钥管理方法,可以应用于私钥管理设备。私钥管理设备可以是区块链服务器,也可以是独立于区块链服务器的专门服务器设备。本申请实施例对私钥管理设备的具体类型不做任何限制。
请参阅图1,本申请实施例提供的私钥管理方法,包括:
步骤S101,从随机种子管理设备获取随机种子。
请参阅图2,在一个实施例中,所述从随机种子管理设备获取随机种子,包括:
步骤S1011,判断内存中是否有随机种子。
步骤S1012,判断内存中没有随机章子时,向所述随机种子管理设备发出随机种子获取请求,在所述随机种子管理设备返回随机种子后将所述随机种子存放于内存。
在一个实施例中,随机种子可以是一个64byte长度的随机数。随机种子由随机种子管理设备生成并返回给私钥管理设备。私钥管理设备在接收到随机种子后会一直存放在内存中,直到私钥管理设备关机或清空内存,这样可以多次使用随机种子进行加密和解密,无需每次都向随机种子管理设备请求随机种子。
步骤S102,从密钥种子管理设备获取密钥种子及令牌参数。
请参阅图3,在一个实施例中,所述从密钥种子管理设备获取密钥种子及令牌参数,包括:
步骤S1021,判断本地存储器是否存储所述令牌文件。
步骤S1022,判断本地存储器存储所述令牌文件时,从所述本地存储器读取所述令牌文件,在所述随机种子中提取令牌密钥及令牌向量,根据所述令牌密钥及令牌向量对所述令牌文件进行解密,生成令牌参数,向所述密钥种子管理设备发送包含所述令牌参数的密钥种子获取请求,以驱动所述密钥种子管理设备返回所述密钥种子;
步骤S1023,判断本地存储器不存储所述令牌文件时,向所述密钥种子管理设备发出密钥种子获取请求,在接收到所述密钥种子管理设备返回的令牌参数及密钥种子时,从所述随机种子中提取令牌密钥及令牌向量,根据所述令牌密钥及令牌向量对令牌参数进行加密处理,生成令牌文件,并将所述令牌文件保存在所述本地存储器。
在一个实施例中,随机种子可以是64byte长度的随机数,则可以将随机种子的前32byte数值段作为令牌密钥,同时将紧接32byte数值段之后的16byte数值段作为令牌向量,再根据令牌密钥及令牌向量对令牌参数进行加密处理,或者根据令牌密钥及令牌向量对令牌文件进行解密处理,具体可采用AES-CTR算法进行加密或解密。
在一个实施例中,本地存储器可以是硬盘,也可以是其他外接存储器,比如U盘,但不能是内存。因为令牌文件是在本地长期存储的文件,如果出现内存清空或设备关机,就会丢失。另外,为了增加令牌文件的保密性,在将令牌文件保存在本地存储器时,可以将令牌文件所在的文件夹设置为隐藏文件夹。
另外,密钥种子和令牌参数都可以放在内存中以方便访问。
步骤S103,根据所述随机种子及密钥种子生成私钥文件密钥。
请参阅图4,在一个实施例中,所述根据所述随机种子及密钥种子生成私钥文件密钥,包括:
步骤S1031,对所述随机种子通过散列函数进行处理,生成随机种子哈希值。
散列函数可把任意长度的输入变换成固定长度的输出,该输出就是散列值,在本申请实施例中即为随机种子哈希值。通过散列函数的转换处理是一种压缩映射,也就是,散列值的空间通常远小于输入的空间。在应用中,可以采用SHA-256算法作为散列函数对随机种子进行处理,生成长度为32byte的随机种子哈希值。
步骤S1032,将所述随机种子哈希值划分为预设随机求余因子数量的随机求余因子。
步骤S1033,将每个所述随机求余因子分别与所述密钥种子的长度值进行求余运算,生成所述预设随机求余因子数量的密钥索引值;
步骤S1034,根据所述密钥索引值在预设密钥索引文件中查找出对应的密钥因子,并将所述密钥因子进行拼接,生成所述私钥文件密钥。
在应用中,可以将长度为32byte的随机种子哈希值中每两个byte的数值段转换成数字,进而得到16个数字,即16个随机求余因子。随后逐一使用这16个随机求余因子与密钥种子的长度值进行求余运算,将16个运算结果作为密钥索引值。比如,其中一个随机求余因子为65536,密钥种子的长度为1048576byte,则计算65536mod 1048576=65536,65536即为一个密钥索引值。最后根据16个密钥索引值在预设密钥索引文件中按序索引出对应的密钥因子并进行拼接,生成私钥文件密钥。其中,预设密钥索引文件是预先建立并设置的数值表,该数值表包含密钥索引值与密钥因子的映射。
步骤S104,根据所述随机种子及令牌文件生成私钥文件向量。
请参阅图5,在一个实施例中,所述根据所述随机种子及令牌文件生成私钥文件向量,包括:
步骤S1041,对所述令牌参数通过散列函数进行处理,生成令牌哈希值。
散列函数的说明参见步骤S1031的说明,在此不再赘述。在应用中,同样可以采用SHA-256算法作为散列函数对令牌参数进行处理,生成长度为32byte的令牌哈希值。
步骤S1042,将所述令牌哈希值划分为预设令牌求余因子数量的令牌求余因子;
步骤S1043,将每个所述令牌求余因子分别与所述密钥种子的长度值进行求余运算,生成所述预设令牌求余因子数量的向量索引值;
步骤S1044,根据所述向量索引值在预设向量索引文件中查找出对应的向量因子,并将所述向量因子进行拼接,生成所述私钥文件向量。
在应用中,与对随机种子哈希值的处理类似,也可以将长度为32byte的令牌哈希值中每两个byte的数值段转换成数字,进而得到16个数字,即16个令牌求余因子。随后逐一使用这16个令牌求余因子与密钥种子的长度值进行求余运算,将16个运算结果作为向量索引值。比如,假设其中一个令牌求余因子为65536,密钥种子的长度为1048576byte,则计算65536mod 1048576=65536,65536即为一个向量索引值。最后根据16个向量索引值在预设向量索引文件中按序索引出对应的向量因子并进行拼接,生成私钥文件向量。其中,预设向量索引文件是预先建立并设置的数值表,该数值表包含向量索引值与向量因子的映射。
步骤S105,根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,和/或进行解密处理。
需要说明的是,对私钥文件进行加密处理需要根据私钥文件密钥及私钥文件向量进行,对私钥文件进行解密处理也需要根据私钥文件密钥及私钥文件向量进行。另外可以理解的是,步骤S105中至少可包含三种情况:根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理;根据所述私钥文件密钥及私钥文件向量对私钥文件进行解密处理;根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理及解密处理。
在应用中,根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,或进行解密处理,可以采用AES-CTR算法,具体是可将私钥文件密钥作为AES-CTR算法的密钥,可将私钥文件向量作为AES-CTR算法的nonce参数。当然,加密处理及解密处理也可以采用其他算法,比如采用AES-CBC算法,此时可将私钥文件密钥作为AES-CBC算法的密钥,可将私钥文件向量作为AES-CBC算法的初始向量。
在一个实施例中,在根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理后,可以在加密后的私钥文件前加上加密标记,比如“encrypted-key”字样标识,以明确私钥文件的加密状态。之后在对私钥文件进行加密状态判定时,只需判断私钥文件的文件头是否为加密标记“encrypted-key”,如果是,则无需重复加密,并在使用时进行解密,解密时,截取加密标记“encrypted-key”后的内容进行解密即可,如果不是,则立即根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,以确保私钥文件的安全性。
本申请实施例从随机种子管理设备获取随机种子,以及从密钥种子管理设备获取密钥种子及令牌参数,然后根据所述随机种子及密钥种子生成私钥文件密钥,并根据所述随机种子及令牌文件生成私钥文件向量,最后根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,和/或进行解密处理。因此,如果有用户进行非法操作,无法同时从随机种子管理设备及密钥种子管理设备获得解密私钥文件必须的随机种子、密钥种子、令牌参数等数据,增强了私钥文件的安全性。
实施例二
本申请实施例提供一种私钥管理方法,可以应用于随机种子管理设备。随机种子管理设备可以是服务器、工作站等设备,本申请实施例对随机种子管理设备的具体类型不做任何限制。
另外,为了增强安全性,随机种子管理设备可由具有高级别管理权限的人员进行管理,比如是企业高管,从而让一般的用户无法操作随机种子管理设备。
请参阅图6,本实施例中的私钥管理方法包括:
步骤S201,在接收到随机种子获取请求时,提取所述随机种子获取请求中的IP地址,生成请求方地址,并判断随机种子数据库中是否存在所述请求方地址对应的随机种子。
在应用中,随机种子可以为随机生成的长度为64byte的随机数。随机种子数据库可以是在随机种子管理设备内安装的数据库软件,也可以是一个独立于随机种子管理设备并安装有数据库软件的存储设备。
步骤S202,判断随机种子数据库中存在所述请求方地址对应的随机种子时,将所述随机种子返回给所述请求方地址对应的私钥管理设备。
步骤S203,判断随机种子数据库中不存在所述请求方地址对应的随机种子时,随机生成种子数据以作为所述随机种子,将所述随机种子与所述请求方地址进行关联并保存在所述随机种子数据库中,将所述随机种子返回给所述请求方地址对应的所述私钥管理设备。
在一个实施例中,私钥管理设备用于实现实施例一的私钥管理方法,包括步骤S101至步骤S105,以及步骤S101至步骤S105中的具体步骤。本实施例中关于私钥管理设备的功能、方法说明等内容是对实施例一的进一步说明,与实施例一相同或相似的地方,具体可参见实施例一的相关描述,此处不再赘述。
本申请实施例在接收到随机种子获取请求时,提取所述随机种子获取请求中的IP地址,生成请求方地址,然后判断随机种子数据库中是否存在所述请求方地址对应的随机种子,如果是,将该随机种子返回给所述请求方地址对应的私钥管理设备,否则,返回新生成的随机种子。因此,如果有用户对随机管理设备进行非法操作,从随机种子管理设备中只能获得解密私钥文件必须的随机种子,由于解密私钥文件必须还要密钥种子、令牌参数等数据,因此只获取随机种子也无法进行解密,增强了私钥文件的安全性。
实施例三
本申请实施例提供一种私钥管理方法,可以应用于密钥种子管理设备。密钥种子管理设备可以是服务器、工作站等设备,本申请实施例对密钥种子管理设备的具体类型不做任何限制。
另外,为了增强安全性,密钥种子管理设备可由具有高级别管理权限的人员进行管理,比如是企业高管,从而让一般的用户无法操作密钥种子管理设备。
请参阅图7,本实施例中的私钥管理方法包括:
步骤S301,在接收到密钥种子获取请求时,提取所述密钥种子获取请求中的IP地址,生成请求方地址,判断所述密钥种子获取请求是否包含令牌参数。
步骤S302,判断所述密钥种子获取请求包含令牌参数时,若密钥种子数据库中存在与所述请求方地址及令牌参数匹配的密钥种子,将所述密钥种子返回给所述请求方地址对应的私钥管理设备,否则返回错误提示信息至所述请求方地址对应的私钥管理设备。
在一个实施例中,密钥种子获取请求中包含了令牌参数,但是与密钥种子数据库中请求方地址对应的令牌参数不一致的原因,有可能是请求方传送错了令牌参数,也有可能是没有令牌参数的请求方恶意请求密钥种子。因此,不管是何种原因导致上述情况,都返回错误提示信息给请求方地址对应的私钥管理设备。
在应用中,密钥种子数据库可以是在密钥种子管理设备内安装的数据库软件,也可以是一个独立于密钥种子管理设备并安装有数据库软件的存储设备。
步骤S303,判断所述密钥种子获取请求不包含令牌参数时,若密钥种子数据库中存在与所述请求方地址匹配的密钥种子,返回错误提示信息至所述请求方地址对应的私钥管理设备,否则,分别生成两个随机数据以作为令牌参数及密钥种子,随后将所述令牌参数、密钥种子及请求方地址进行关联并保存在所述密钥种子数据库中,向所述请求方地址对应的所述私钥管理设备返回令牌参数及密钥种子。
需要说明的是,如果密钥种子获取请求中没有包含令牌参数,但密钥种子数据库中存在与请求方地址匹配的密钥种子,说明请求方有可能漏传了令牌参数,此时应返回错误提示信息。
如果密钥种子获取请求中没有包含令牌参数,同时密钥种子数据库中也没有与请求方地址匹配的密钥种子,该情况有可能是请求方要为私钥文件申请新的密钥种子及对应的令牌参数,此时就分别生成新的密钥种子及令牌参数返回给该私钥管理设备。在生成新的令牌参数时,可以随机生成长度为32byte的随机数作为令牌参数。在生成密钥种子时,可以通过硬件随机函数随机生成一个大小为1MB至2MB的随机数据作为密钥种子。新生成的密钥种子和令牌参数必须与同时与请求方地址进行关联,并将关联数据存储在密钥种子数据库中以备后续查询。
另外,对于密钥种子获取请求中没有包含令牌参数,同时密钥种子数据库中也没有与请求方地址匹配的密钥种子的情况,有可能是非法登录私钥管理设备的用户,比如黑客,发出恶意请求以盗取令牌参数及密钥种子。但是,私钥文件是用之前生成的随机种子及密钥种子进行加密处理,解密时也需要用加密时用的随机种子及密钥种子进行解密。因此,即使非法登录方获取到新生成的密钥种子和令牌参数,也无法对之前加密的私钥文件进行解密。
在一个实施例中,私钥管理设备可用于实现实施例一的私钥管理方法,包括步骤S101至步骤S105,以及步骤S101至步骤S105中的具体步骤。本实施例中关于私钥管理设备的功能、方法说明等内容是对实施例一的进一步说明,与实施例一相同或相似的地方,具体可参见实施例一的相关描述,此处不再赘述。
本申请实施例在接收到密钥种子获取请求时,提取所述密钥种子获取请求中的IP地址,生成请求方地址,如果所述密钥种子获取请求包含令牌参数,当密钥种子数据库中存在匹配的密钥种子,返回给私钥管理设备。如果密钥种子获取请求不包含令牌参数,当密钥种子数据库中存在与匹配的密钥种子,说明非法操作,返回错误提示信息,当密钥种子数据库中不存在与匹配的密钥种子,此种情况是新的用户要新建令牌参数及密钥种子,则分别生成两个随机数据以作为令牌参数及密钥种子并进行关联存储,最后返回令牌参数及密钥种子。因此,如果有用户对密钥种子管理设备进行非法操作,从密钥种子管理设备只能获得解密私钥文件必须的令牌参数及密钥种子,由于解密私钥文件必须还要随机种子等数据,因此只获取令牌参数及密钥种子也无法进行解密,增强了私钥文件的安全性。
实施例四
对应于上文实施例所述的私钥管理方法,图8示出了本申请实施例提供的私钥管理系统100的结构框图,该系统可以是终端设备中的虚拟装置(virtual appliance),由终端设备的处理器运行,也可以是集成于终端设备本身。为了便于说明,仅示出了与本申请实施例相关的部分。
本申请实施例私钥管理系统100包括私钥管理设备1、随机种子管理设备2及密钥种子管理设备3。
请参阅图9,所述私钥管理设备1包括:
随机种子获取模块11,用于从随机种子管理设备获取随机种子;
密种令牌获取模块12,用于从密钥种子管理设备获取密钥种子及令牌参数;
私钥文件密钥生成模块13,用于根据所述随机种子及密钥种子生成私钥文件密钥;
私钥文件向量生成模块14,用于根据所述随机种子及令牌文件生成私钥文件向量;
私钥加解密模块15,用于根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,和/或进行解密处理;
请参阅图10,所述随机种子管理设备2包括:
随种请求判断模块21,用于在接收到随机种子获取请求时,提取所述随机种子获取请求中的IP地址,生成请求方地址,并判断随机种子数据库中是否存在所述请求方地址对应的随机种子;
随机种子返回模块22,用于判断随机种子数据库中存在所述请求方地址对应的随机种子时,将所述随机种子返回给所述请求方地址对应的私钥管理设备;
随种生成返回模块23,用于判断随机种子数据库中不存在所述请求方地址对应的随机种子时,随机生成种子数据以作为所述随机种子,将所述随机种子与所述请求方地址进行关联并保存在所述随机种子数据库中,将所述随机种子返回给所述请求方地址对应的所述私钥管理设备;
请参阅图11,所述密钥种子管理设备3包括:
密种请求判断模块31,用于在接收到密钥种子获取请求时,提取所述密钥种子获取请求中的IP地址,生成请求方地址,判断所述密钥种子获取请求是否包含令牌参数;
密钥种子返回模块32,用于判断所述密钥种子获取请求包含令牌参数时,若密钥种子数据库中存在与所述请求方地址及令牌参数匹配的密钥种子,将所述密钥种子返回给所述请求方地址对应的私钥管理设备,否则返回错误提示信息至所述请求方地址对应的私钥管理设备;
密种令牌返回模块33,用于判断所述密钥种子获取请求不包含令牌参数时,若密钥种子数据库中存在与所述请求方地址匹配的密钥种子,返回错误提示信息至所述请求方地址对应的私钥管理设备,否则,分别生成两个随机数据以作为令牌参数及密钥种子,随后将所述令牌参数、密钥种子及请求方地址进行关联并保存在所述密钥种子数据库中,向所述请求方地址对应的所述私钥管理设备返回令牌参数及密钥种子。
在一个实施例中,所述随机种子获取模块包括:
内存随机种子判断单元,用于判断内存中是否有随机种子;
随机种子请求单元,用于判断内存中没有随机种子时,向所述随机种子管理设备发出随机种子获取请求,在所述随机种子管理设备返回随机种子后将所述随机种子存放于内存。
在一个实施例中,所述密种令牌获取模块包括:
内存令牌判断单元,用于判断本地存储器是否存储所述令牌文件;
密钥请求单元,用于判断本地存储器存储所述令牌文件时,从所述本地存储器读取所述令牌文件,在所述随机种子中提取令牌密钥及令牌向量,根据所述令牌密钥及令牌向量对所述令牌文件进行解密,生成令牌参数,向所述密钥种子管理设备发送包含所述令牌参数的密钥种子获取请求,以驱动所述密钥种子管理设备返回所述密钥种子;
令牌密钥请求单元,用于判断本地存储器不存储所述令牌文件时,向所述密钥种子管理设备发出密钥种子获取请求,在接收到所述密钥种子管理设备返回的令牌参数及密钥种子时,从所述随机种子中提取令牌密钥及令牌向量,根据所述令牌密钥及令牌向量对令牌参数进行加密处理,生成令牌文件,并将所述令牌文件保存在所述本地存储器。
在一个实施例中,所述私钥文件密钥生成模块包括:
随机哈希值生成单元,用于对所述随机种子通过散列函数进行处理,生成随机种子哈希值;
随机因子生成单元,用于将所述随机种子哈希值划分为预设随机求余因子数量的随机求余因子;
随机求余单元,用于将每个所述随机求余因子分别与所述密钥种子的长度值进行求余运算,生成所述预设随机求余因子数量的密钥索引值;
私钥密钥生成单元,用于根据所述密钥索引值在预设密钥索引文件中查找出对应的密钥因子,并将所述密钥因子进行拼接,生成所述私钥文件密钥。
在一个实施例中,所述私钥文件向量生成模块包括:
令牌哈希生成单元,用于对所述令牌参数通过散列函数进行处理,生成令牌哈希值;
令牌因子生成单元,用于将所述令牌哈希值划分为预设令牌求余因子数量的令牌求余因子;
令牌求余单元,用于将每个所述令牌求余因子分别与所述密钥种子的长度值进行求余运算,生成所述预设令牌求余因子数量的向量索引值;
私钥向量生成单元,用于根据所述向量索引值在预设向量索引文件中查找出对应的向量因子,并将所述向量因子进行拼接,生成所述私钥文件向量。
本申请实施例包括私钥管理设备、随机种子管理设备及密钥种子管理设备三个设备,使得即使登录了私钥管理设备,只要不是合法操作,则无法使用私钥文件。
具体来说,第一,私钥管理设备在执行私钥管理方法时,需要从随机种子管理设备获取随机种子,以及从密钥种子管理设备获取密钥种子及令牌参数,然后根据所述随机种子及密钥种子生成私钥文件密钥,并根据所述随机种子及令牌文件生成私钥文件向量,最后根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,和/或进行解密处理。因此,如果有用户进行非法操作,无法同时从随机种子管理设备及密钥种子管理设备获得解密私钥文件必须的随机种子、密钥种子、令牌参数等数据,增强了私钥文件的安全性。
第二,随机种子管理设备在执行私钥管理方法时,在接收到随机种子获取请求时,提取所述随机种子获取请求中的IP地址,生成请求方地址,然后判断随机种子数据库中是否存在所述请求方地址对应的随机种子,如果是,将该随机种子返回给所述请求方地址对应的私钥管理设备,否则,返回新生成的随机种子。因此,如果有用户对随机管理设备进行非法操作,从随机种子管理设备中只能获得解密私钥文件必须的随机种子,由于解密私钥文件必须还要密钥种子、令牌参数等数据,因此只获取随机种子也无法进行解密,增强了私钥文件的安全性。
第三,密钥种子管理设备在执行私钥管理方法时,在接收到密钥种子获取请求时,提取所述密钥种子获取请求中的IP地址,生成请求方地址,如果所述密钥种子获取请求包含令牌参数,当密钥种子数据库中存在匹配的密钥种子,返回给私钥管理设备。如果密钥种子获取请求不包含令牌参数,当密钥种子数据库中存在与匹配的密钥种子,说明非法操作,返回错误提示信息,当密钥种子数据库中不存在与匹配的密钥种子,此种情况是新的用户要新建令牌参数及密钥种子,则分别生成两个随机数据以作为令牌参数及密钥种子并进行关联存储,最后返回令牌参数及密钥种子。因此,如果有用户对密钥种子管理设备进行非法操作,从密钥种子管理设备只能获得解密私钥文件必须的令牌参数及密钥种子,由于解密私钥文件必须还要随机种子等数据,因此只获取令牌参数及密钥种子也无法进行解密,增强了私钥文件的安全性。
实施例五
如图12所示,本申请还提供了一种终端设备200,包括存储器201、处理器202以及存储在所述存储器中并可在所述处理器上运行的计算机程序203,例如。所述处理器202执行所述计算机程序203时实现上述各私钥管理方法实施例中的步骤,例如实施例一、实施例二和/或实施例三中的方法步骤。所述处理器202执行所述计算机程序203时实现上述各装置实施例中各模块的功能,例如实施例四中各模块、单元的功能。
示例性的,所述计算机程序203可以被分割成一个或多个模块,所述一个或者多个模块被存储在所述存储器201中,并由所述处理器202执行,以完成本申请实施例一、实施例二、实施例三和/或实施例四。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序203在所述终端设备200中的执行过程。例如,所述计算机程序203可以被分割成随机种子获取模块、密种令牌获取模块、私钥文件密钥生成模块、私钥文件向量生成模块、私钥加解密模块等,各模块具体功能在上述实施例四中已有描述,此处不再赘述。
所述终端设备200可以有多个,比如包括三个终端设备,三个终端设备分别作为实施例一中的私钥管理设备、实施例二中的随机种子管理设备及实施例三中的密钥种子管理设备。所述终端设备可包括,但不仅限于存储器201,处理器202。本领域技术人员可以理解,图12仅仅是终端设备200的示例,并不构成对终端设备200的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所述存储器201可以是所述终端设备200的内部存储单元,例如终端设备200的硬盘或内存。所述存储器201也可以是所述终端设备200的外部存储设备,例如所述终端设备200上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器201还可以既包括所述终端设备200的内部存储单元也包括外部存储设备。所述存储器201用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器201还可以用于暂时地存储已经输出或者将要输出的数据。
所称处理器202可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种私钥管理方法,其特征在于,所述私钥管理方法应用于私钥管理设备,所述私钥管理方法包括:
从随机种子管理设备获取随机种子;
从密钥种子管理设备获取密钥种子及令牌参数;
根据所述随机种子及密钥种子生成私钥文件密钥;
根据所述随机种子及令牌文件生成私钥文件向量;
根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,和/或进行解密处理。
2.根据权利要求1所述的私钥管理方法,其特征在于,所述从随机种子管理设备获取随机种子,包括:
判断内存中是否有随机种子,判断为否时,向所述随机种子管理设备发出随机种子获取请求,在所述随机种子管理设备返回随机种子后将所述随机种子存放于内存。
3.根据权利要求1所述的私钥管理方法,其特征在于,所述从密钥种子管理设备获取密钥种子及令牌参数,包括:
判断本地存储器是否存储所述令牌文件,
判断为是时,从所述本地存储器读取所述令牌文件,在所述随机种子中提取令牌密钥及令牌向量,根据所述令牌密钥及令牌向量对所述令牌文件进行解密,生成令牌参数,向所述密钥种子管理设备发送包含所述令牌参数的密钥种子获取请求,以驱动所述密钥种子管理设备返回所述密钥种子;
判断为否时,向所述密钥种子管理设备发出密钥种子获取请求,在接收到所述密钥种子管理设备返回的令牌参数及密钥种子时,从所述随机种子中提取令牌密钥及令牌向量,根据所述令牌密钥及令牌向量对令牌参数进行加密处理,生成令牌文件,并将所述令牌文件保存在所述本地存储器。
4.根据权利要求1所述的私钥管理方法,其特征在于,所述根据所述随机种子及密钥种子生成私钥文件密钥,包括:
对所述随机种子通过散列函数进行处理,生成随机种子哈希值;
将所述随机种子哈希值划分为预设随机求余因子数量的随机求余因子;
将每个所述随机求余因子分别与所述密钥种子的长度值进行求余运算,生成所述预设随机求余因子数量的密钥索引值;
根据所述密钥索引值在预设密钥索引文件中查找出对应的密钥因子,并将所述密钥因子进行拼接,生成所述私钥文件密钥。
5.根据权利要求1所述的私钥管理方法,其特征在于,所述根据所述随机种子及令牌文件生成私钥文件向量,包括:
对所述令牌参数通过散列函数进行处理,生成令牌哈希值;
将所述令牌哈希值划分为预设令牌求余因子数量的令牌求余因子;
将每个所述令牌求余因子分别与所述密钥种子的长度值进行求余运算,生成所述预设令牌求余因子数量的向量索引值;
根据所述向量索引值在预设向量索引文件中查找出对应的向量因子,并将所述向量因子进行拼接,生成所述私钥文件向量。
6.一种私钥管理方法,其特征在于,所述私钥管理方法应用于随机种子管理设备,所述私钥管理方法包括:
在接收到随机种子获取请求时,提取所述随机种子获取请求中的IP地址,生成请求方地址,并判断随机种子数据库中是否存在所述请求方地址对应的随机种子;
判断为是时,将所述随机种子返回给所述请求方地址对应的私钥管理设备;
判断为否时,随机生成种子数据以作为所述随机种子,将所述随机种子与所述请求方地址进行关联并保存在所述随机种子数据库中,将所述随机种子返回给所述请求方地址对应的所述私钥管理设备;
所述私钥管理设备用于实现如权利要求1-5任一项所述的私钥管理方法。
7.一种私钥管理方法,其特征在于,所述私钥管理方法应用于密钥种子管理设备,所述私钥管理方法包括:
在接收到密钥种子获取请求时,提取所述密钥种子获取请求中的IP地址,生成请求方地址,判断所述密钥种子获取请求是否包含令牌参数,
判断为是时,若密钥种子数据库中存在与所述请求方地址及令牌参数匹配的密钥种子,将所述密钥种子返回给所述请求方地址对应的私钥管理设备,否则返回错误提示信息至所述请求方地址对应的私钥管理设备,
判断为否时,若密钥种子数据库中存在与所述请求方地址匹配的密钥种子,返回错误提示信息至所述请求方地址对应的私钥管理设备,否则,分别生成两个随机数据以作为令牌参数及密钥种子,随后将所述令牌参数、密钥种子及请求方地址进行关联并保存在所述密钥种子数据库中,向所述请求方地址对应的所述私钥管理设备返回令牌参数及密钥种子;
所述私钥管理设备用于实现如权利要求1-5任一项所述的私钥管理方法。
8.一种私钥管理系统,其特征在于,所述私钥管理系统包括私钥管理设备、随机种子管理设备及密钥种子管理设备;
所述私钥管理设备包括:
随机种子获取模块,用于从随机种子管理设备获取随机种子;
密种令牌获取模块,用于从密钥种子管理设备获取密钥种子及令牌参数;
私钥文件密钥生成模块,用于根据所述随机种子及密钥种子生成私钥文件密钥;
私钥文件向量生成模块,用于根据所述随机种子及令牌文件生成私钥文件向量;
私钥加解密模块,用于根据所述私钥文件密钥及私钥文件向量对私钥文件进行加密处理,和/或进行解密处理;
所述随机种子管理设备包括:
随种请求判断模块,用于在接收到随机种子获取请求时,提取所述随机种子获取请求中的IP地址,生成请求方地址,并判断随机种子数据库中是否存在所述请求方地址对应的随机种子;
随机种子返回模块,用于判断为是时,将所述随机种子返回给所述请求方地址对应的私钥管理设备;
随种生成返回模块,用于判断为否时,随机生成种子数据以作为所述随机种子,将所述随机种子与所述请求方地址进行关联并保存在所述随机种子数据库中,将所述随机种子返回给所述请求方地址对应的所述私钥管理设备;
所述密钥种子管理设备包括:
密种请求判断模块,用于在接收到密钥种子获取请求时,提取所述密钥种子获取请求中的IP地址,生成请求方地址,判断所述密钥种子获取请求是否包含令牌参数;
密钥种子返回模块,用于判断为是时,若密钥种子数据库中存在与所述请求方地址及令牌参数匹配的密钥种子,将所述密钥种子返回给所述请求方地址对应的私钥管理设备,否则返回错误提示信息至所述请求方地址对应的私钥管理设备;
密种令牌返回模块,用于判断为否时,若密钥种子数据库中存在与所述请求方地址匹配的密钥种子,返回错误提示信息至所述请求方地址对应的私钥管理设备,否则,分别生成两个随机数据以作为令牌参数及密钥种子,随后将所述令牌参数、密钥种子及请求方地址进行关联并保存在所述密钥种子数据库中,向所述请求方地址对应的所述私钥管理设备返回令牌参数及密钥种子。
9.一种终端设备,其特征在于,所述终端设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序;
所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述的私钥管理方法;
或者,所述处理器执行所述计算机程序时实现如权利要求6所述的私钥管理方法;
或者,所述处理器执行所述计算机程序时实现如权利要求7所述的私钥管理方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的私钥管理方法;
或者,所述计算机程序被处理器执行时实现如权利要求6所述的私钥管理方法;
或者,所述计算机程序被处理器执行时实现如权利要求7所述的私钥管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110071067.4A CN112910654B (zh) | 2021-01-19 | 2021-01-19 | 一种私钥管理方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110071067.4A CN112910654B (zh) | 2021-01-19 | 2021-01-19 | 一种私钥管理方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112910654A true CN112910654A (zh) | 2021-06-04 |
| CN112910654B CN112910654B (zh) | 2023-04-28 |
Family
ID=76115947
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110071067.4A Active CN112910654B (zh) | 2021-01-19 | 2021-01-19 | 一种私钥管理方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112910654B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013185735A2 (zh) * | 2012-09-20 | 2013-12-19 | 中兴通讯股份有限公司 | 一种加密实现方法及系统 |
| US20170012949A1 (en) * | 2006-04-25 | 2017-01-12 | Stephen Laurence Boren | Dynamic identity verification and authentication continuous, dynamic one-time-pad/one-time passwords and dynamic distributed key infrastructure for secure communications with a single key for any key-based network security controls |
| WO2017093917A1 (en) * | 2015-12-01 | 2017-06-08 | Groupe Mw Inc. | Method and system for generating a password |
| JP2018148493A (ja) * | 2017-03-08 | 2018-09-20 | 日本放送協会 | 鍵生成装置、中間暗号化装置、委託暗号化装置、データ検索装置、復号装置およびそれらのプログラム |
-
2021
- 2021-01-19 CN CN202110071067.4A patent/CN112910654B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170012949A1 (en) * | 2006-04-25 | 2017-01-12 | Stephen Laurence Boren | Dynamic identity verification and authentication continuous, dynamic one-time-pad/one-time passwords and dynamic distributed key infrastructure for secure communications with a single key for any key-based network security controls |
| WO2013185735A2 (zh) * | 2012-09-20 | 2013-12-19 | 中兴通讯股份有限公司 | 一种加密实现方法及系统 |
| WO2017093917A1 (en) * | 2015-12-01 | 2017-06-08 | Groupe Mw Inc. | Method and system for generating a password |
| JP2018148493A (ja) * | 2017-03-08 | 2018-09-20 | 日本放送協会 | 鍵生成装置、中間暗号化装置、委託暗号化装置、データ検索装置、復号装置およびそれらのプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112910654B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324143B (zh) | 数据传输方法、电子设备及存储介质 | |
| US20210099287A1 (en) | Cryptographic key generation for logically sharded data stores | |
| AU2018367363B2 (en) | Processing data queries in a logically sharded data store | |
| EP3585032B1 (en) | Data security service | |
| US8693690B2 (en) | Organizing an extensible table for storing cryptographic objects | |
| US9020149B1 (en) | Protected storage for cryptographic materials | |
| US20140229732A1 (en) | Data security service | |
| CA3065767C (en) | Cryptographic key generation for logically sharded data stores | |
| CN114003559A (zh) | 一种日志访问方法、装置、设备及计算机可读存储介质 | |
| CN115514578B (zh) | 基于区块链的数据授权方法和装置、电子设备和存储介质 | |
| US8755521B2 (en) | Security method and system for media playback devices | |
| CN110955909A (zh) | 个人数据保护方法及区块链节点 | |
| CN112910654B (zh) | 一种私钥管理方法、系统、设备及存储介质 | |
| CN114978664A (zh) | 一种数据共享方法、装置及电子设备 | |
| CN114611137B (zh) | 数据访问方法、数据访问装置及电子设备 | |
| CN117521149B (zh) | 基于量子密码设备的文件系统流加解密方法及系统 | |
| CN117614671A (zh) | 一种电子会计档案的加密处理方法及装置 | |
| Nasreen et al. | Cloud forensics: A centralized cloud provenance investigation system using MECC | |
| CN114065139A (zh) | 多媒体文件防篡改方法及装置 | |
| CN115580400A (zh) | 一种涉密文件授权方法、装置、系统、设备及存储介质 | |
| CN115694818A (zh) | 数据一致性校验方法及装置 | |
| CN117421770A (zh) | 基于区块链的资源处理方法、装置、电子设备和存储介质 | |
| CN115396216A (zh) | 一种网络数据交换方法及装置 | |
| CN115964724A (zh) | 数据处理方法、装置及电子设备 | |
| CN116975919A (zh) | 一种基于可信ui服务的授权方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |