CN113676462B - 一种密钥分发、解密方法、装置、设备及介质 - Google Patents

一种密钥分发、解密方法、装置、设备及介质 Download PDF

Info

Publication number
CN113676462B
CN113676462B CN202110884687.XA CN202110884687A CN113676462B CN 113676462 B CN113676462 B CN 113676462B CN 202110884687 A CN202110884687 A CN 202110884687A CN 113676462 B CN113676462 B CN 113676462B
Authority
CN
China
Prior art keywords
private key
key component
coordinate value
encrypted
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110884687.XA
Other languages
English (en)
Other versions
CN113676462A (zh
Inventor
安晓江
胡伯良
蒋红宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Haitai Fangyuan High Technology Co Ltd
Original Assignee
Beijing Haitai Fangyuan High Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Haitai Fangyuan High Technology Co Ltd filed Critical Beijing Haitai Fangyuan High Technology Co Ltd
Priority to CN202110884687.XA priority Critical patent/CN113676462B/zh
Publication of CN113676462A publication Critical patent/CN113676462A/zh
Application granted granted Critical
Publication of CN113676462B publication Critical patent/CN113676462B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例提供了一种密钥分发、解密方法、装置、设备及介质,用以解决现有技术中加密私钥不安全的问题。由于在本发明实施例中,服务端生成加密私钥以及第一私钥分量,并采用第一预设算法,根据加密私钥以及第一私钥分量,得到第二私钥分量,并将第一私钥分量以及第二私钥分量分别发送至协同端以及客户端,从而避免了直接将加密私钥保存在客户端,确保了加密私钥的安全性。

Description

一种密钥分发、解密方法、装置、设备及介质
技术领域
本发明涉及数据安全技术领域,尤其涉及一种密钥分发、解密方法、装置、设备及介质。
背景技术
随着社会的发展,数据安全的重要性也逐渐显露,现在通常为了确保数据的安全,通过公钥对所要传输的数据进行加密,采用该公钥对应的私钥对该公钥加密后的数据进行解密,即可得到源数据,通过传输加密后的数据来确保数据的安全性。
然而通常进行解密的加密私钥,是由服务端生成并发送至客户端的,然而由于客户端的移动性导致客户端的安全不能得到保证,容易出现客户端中保存的信息被窃取的情况,若客户端中保存的加密私钥丢失,则会导致数据的安全性得不到保证。
发明内容
本发明实施例提供了一种密钥分发、解密方法、装置、设备及介质,用以解决现有技术中加密私钥不安全的问题。
第一方面,本发明实施例提供了一种密钥分发方法,应用于CA服务端,所述方法包括:
生成加密私钥以及第一私钥分量;
采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量;
将所述第一私钥分量发送至协同端,并将所述第二私钥分量发送至客户端。
进一步地,所述将所述第一私钥分量发送至协同端包括:
接收协同端发送的第一公钥;
通过所述第一公钥对所述第一私钥分量进行加密,获取加密后的第一私钥分量;
将加密后的第一私钥分量发送至协同端。
进一步地,所述将所述第二私钥分量发送至客户端包括:
接收客户端发送的第二公钥;
通过所述第二公钥对所述第二私钥分量进行加密,获取加密后的第二私钥分量;
将加密后的第二私钥分量发送至客户端。
进一步地,所述采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量包括:
采用所述加密私钥减去所述第一私钥分量,得到第二私钥分量。
第二方面,本发明实施例还提供了一种解密方法,应用于客户端,所述方法包括:
接收加密得到的密文,提取所述密文中包含的目标比特串,并将所述目标比特串发送至协同端;
根据证书颁发机构CA服务端发送的第二私钥分量以及所述目标比特串,获取所述第二私钥分量对应的第二坐标值;
接收协同端发送的第一私钥分量对应的第三坐标值,其中,所述第三坐标值是所述协同端根据第一私钥分量以及所述目标比特串确定的;
采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密。
进一步地,所述第二私钥分量通过以下方式获取:
接收CA服务端发送的加密后的第二私钥分量,获取预先保存的加密所述第二私钥分量的第二公钥对应的第二私钥;
采用所述第二私钥对加密后的第二私钥分量进行解密,生成解密后的第二私钥分量。
进一步地,所述采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到第一坐标值包括:
采用所述第二坐标值加上所述第三坐标值,得到第一坐标值。
第三方面,本发明实施例还提供了一种解密方法,应用于协同端,所述方法包括:
接收客户端发送的目标比特串;根据证书颁发机构CA服务端发送的第一私钥分量以及所述目标比特串,获取所述第一私钥分量对应的第三坐标值;
将所述第三坐标值发送至所述客户端,以使客户端在解密时,根据所述第三坐标值以及所述客户端获取到第二私钥分量对应的第二坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密,其中,所述第二坐标值是所述客户端根据第二私钥分量以及所述目标比特串确定的。
进一步地,所述第一私钥分量通过以下方式获取:
接收CA服务端发送的加密后的第一私钥分量,获取预先保存的加密所述第一私钥分量的第一公钥对应的第一私钥;
采用所述第一私钥对加密后的第一私钥分量进行解密,生成解密后的第一私钥分量。
第四方面,本发明实施例还提供了一种密钥分发装置,所述装置包括:
生成模块,用于生成加密私钥以及第一私钥分量;
第一处理模块,用于采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量;将所述第一私钥分量发送至协同端,并将所述第二私钥分量发送至客户端。
进一步地,所述第一处理模块,具体用于接收协同端发送的第一公钥;通过所述第一公钥对所述第一私钥分量进行加密,获取加密后的第一私钥分量;将加密后的第一私钥分量发送至协同端。
进一步地,所述第一处理模块,具体用于接收客户端发送的第二公钥;通过所述第二公钥对所述第二私钥分量进行加密,获取加密后的第二私钥分量;将加密后的第二私钥分量发送至客户端。
进一步地,所述第一处理模块,具体用于采用所述加密私钥减去所述第一私钥分量,得到第二私钥分量。
第五方面,本发明实施例还提供了一种解密装置,所述装置包括:
第一接收获取模块,用于接收加密得到的密文,提取所述密文中包含的目标比特串,并将所述目标比特串发送至协同端;根据证书颁发机构CA服务端发送的第二私钥分量以及所述目标比特串,获取所述第二私钥分量对应的第二坐标值;接收协同端发送的第一私钥分量对应的第三坐标值,其中,所述第三坐标值是所述协同端根据第一私钥分量以及所述目标比特串确定的;
第二处理模块,用于采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密。
进一步地,所述第一接收获取模块,还用于接收CA服务端发送的加密后的第二私钥分量,获取预先保存的加密所述第二私钥分量的第二公钥对应的第二私钥;采用所述第二私钥对加密后的第二私钥分量进行解密,生成解密后的第二私钥分量。
进一步地,所述第二处理模块,具体用于采用所述第二坐标值加上所述第三坐标值,得到第一坐标值。
第六方面,本发明实施例还提供了一种解密装置,所述装置包括:
第二接收获取模块,用于接收客户端发送的目标比特串;根据证书颁发机构CA服务端发送的第一私钥分量以及所述目标比特串,获取所述第一私钥分量对应的第三坐标值;
发送模块,用于将所述第三坐标值发送所述至客户端。
进一步地,所述第二接收获取模块,还用于接收CA服务端发送的加密后的第一私钥分量,获取预先保存的加密所述第一私钥分量的第一公钥对应的第一私钥;采用所述第一私钥对加密后的第一私钥分量进行解密,生成解密后的第一私钥分量。
第七方面,本发明实施例还提供了一种电子设备,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时上述任一所述密钥分发及解密的步骤。
第八方面,本发明实施例还提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行上述任一所述密钥分发及解密的步骤。
由于在本发明实施例中,服务端生成加密私钥以及第一私钥分量,并采用第一预设算法,根据加密私钥以及第一私钥分量,得到第二私钥分量,并将第一私钥分量以及第二私钥分量分别发送至协同端以及客户端,从而避免了直接将加密私钥保存在客户端,确保了加密私钥的安全性。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种密钥分发过程示意图;
图2为本发明实施例提供的一种解密过程示意图;
图3为本发明实施例提供的一种解密过程示意图;
图4为本发明实施例提供的一种密钥分发装置结构示意图;
图5为本发明实施例提供的一种解密装置结构示意图;
图6为本发明实施例提供的一种解密装置结构示意图;
图7为本发明提供的一种电子设备结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的一种密钥分发过程示意图,该过程包括以下步骤:
S101:生成加密私钥以及第一私钥分量。
本发明实施例提供的密钥分发方法应用于证书颁发机构(CA)服务端。
在本发明实施例中,CA服务端首先生成加密私钥,并且为了确保加密私钥的安全性,将加密私钥进行分割。其中,在将加密私钥进行分割时,CA服务端可以先生成第一私钥分量,具体的,CA服务端生成第一私钥分量的过程为:CA服务端生成随机数,将该随机数确定为第一私钥分量。
S102:采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量。
在本发明实施例中,根据加密私钥以及第一私钥分量,确定加密私钥分割后的第二私钥分量,具体的过程为:采用第一预设算法,根据加密私钥以及第一私钥分量,得到一个数值,确定该数值为第二私钥分量。其中,采用第一预设算法生成第二私钥分量的过程可以为:将加密私钥加上第一私钥分量,得到一个数值,确定该数值为第二私钥分量。其中加密私钥加上第一私钥分量指的是数值之间的直接相加,也就是说该加密私钥也是一个数值。例如,生成的加密私钥为PRI-E,生成的第一私钥分量为PRI-ES,则第二私钥分量PRI-EC等于PRI-E加上PRI-ES。
S103:将所述第一私钥分量发送至协同端,并将所述第二私钥分量发送至客户端。
在确定第一私钥分量以及第二私钥分量后,将第一私钥分量发送至协同端,用于协同客户端进行解密,将第二私钥分量发送至客户端,用于使客户端进行解密。同时避免将第一私钥分量以及第二私钥分量发送至同一方,造成第一私钥分量以及第二私钥分量同时泄露,使得加密私钥对应的公钥加密的数据并不安全。
由于在本发明实施例中,服务端生成加密私钥以及第一私钥分量,并采用第一预设算法,根据加密私钥以及第一私钥分量,得到第二私钥分量,并将第一私钥分量以及第二私钥分量分别发送至协同端以及客户端,从而避免了直接将加密私钥保存在客户端,确保了加密私钥的安全性。
实施例2:
为了确保第一私钥分量的安全性,在上述实施例的基础上,在本发明实施例中,所述将所述第一私钥分量发送至协同端包括:
接收协同端发送的第一公钥;
通过所述第一公钥对所述第一私钥分量进行加密,获取加密后的第一私钥分量;
将加密后的第一私钥分量发送至协同端。
为了避免直接将第一私钥分量发送至协同端,造成第一私钥分量泄露,在本发明实施例中,CA服务端接收协同端发送的第一公钥,其中该第一公钥为协同端生成的,CA服务端根据该第一公钥对该第一私钥分量进行加密,并获取加密后的第一私钥分量,将加密后的第一私钥分量发送至协同端,从而使得发送的是第一私钥分量被加密后的内容,避免第一私钥分量直接被发送容易造成的第一私钥分量被泄露的风险。
例如,协同端生成并发送至CA服务端的第一公钥为PUB-SS=D2*G,其中,*表示椭圆曲线点乘运算,G表示椭圆曲线的基点,第一私钥分量为PRI-ES,CA服务端使用D2*G对PRI-ES加密得到PRI-ES’,将加密后得到的PRI-ES’发送至协同端。
为了确保第二私钥分量的安全性,在上述各实施例的基础上,在本发明实施例中,所述将所述第二私钥分量发送至客户端包括:
接收客户端发送的第二公钥;
通过所述第二公钥对所述第二私钥分量进行加密,获取加密后的第二私钥分量;
将加密后的第二私钥分量发送至客户端。
为了避免直接将第二私钥分量发送至客户端,造成第二私钥分量泄露,在本发明实施例中,CA服务端接收客户端发送的第二公钥,其中该第二公钥为客户端生成的,CA服务端采用该第二公钥对该第二私钥分量进行加密,并获取加密后的第二私钥分量,将加密后的第二私钥分量发送至客户端,从而使得发送的是第二私钥分量被加密后的内容,避免第二私钥分量直接被发送容易造成的第二私钥分量被泄露的风险。
例如,客户端生成并发送至CA服务端的第二公钥为PUB-ST,第二私钥分量为PRI-EC,CA服务端使用PUB-ST对PRI-EC加密得到PRI-EC’,将加密后得到的PRI-EC’发送至客户端。具体的,在实际应用过程中,可以是先将加密后的第二私钥分量发送至协同端,协同端再将加密后的第二私钥分量发送至客户端。
为了准确地生成第二私钥分量,在上述各实施例的基础上,在本发明实施例中,所述采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量包括:
采用所述加密私钥减去所述第一私钥分量,得到第二私钥分量。
在本发明实施例中,在CA服务端在根据加密私钥以及第一私钥分量,生成第二私钥分量时,具体的过程可以为:将加密私钥减去第一私钥分量,得到一个数值,确定该数值为第二私钥分量,其中加密私钥减去第一私钥分量指的是数值之间的直接相减,也就是说该加密私钥也是一个数值。
当然也可以是采用其他第一预设算法,根据加密私钥以及第一私钥分量,生成第二私钥分量。
实施例3:
图2为本发明实施例提供的一种解密过程示意图,该过程包括以下步骤:
S201:接收加密得到的密文,提取所述密文中包含的目标比特串,并将所述目标比特串发送至协同端。
本发明实施例提供的解密方法应用于客户端。
在本发明实施例中,客户端接收加密后得到的密文,其中,该密文是加密私钥对应的公钥加密所生成的。为了对该密文进行解密,提取该密文中包含的目标比特串,并将所提取出的目标比特串发送至协同端。其中,该目标比特串指的是密文C=C1||C3||C2中的C1。具体的,如何提取密文中包含的目标比特串为现有技术,在此不再赘述。
S202:根据证书颁发机构CA服务端发送的第二私钥分量以及所述目标比特串,获取所述第二私钥分量对应的第二坐标值。
客户端在进行解密时,根据CA服务端发送的第二私钥分量以及获取到的目标比特串,确定第二私钥分量对应的第二坐标值,具体的,客户端采用第二私钥分量点乘目标比特串获取第二坐标值。其中,如何根据私钥以及密文中的比特串C1确定对应的坐标值为现有技术,在此不再赘述。
S203:接收协同端发送的第一私钥分量对应的第三坐标值,其中,所述第三坐标值是所述协同端根据第一私钥分量以及所述目标比特串确定的。
客户端在进行解密时,接收协同端发送的第一私钥分量对应的第三坐标值,具体的,客户端接收第一私钥分量对应的第三坐标值的过程可以为:客户端在进行解密时,发送获取第一私钥分量对应的第三坐标值的指令至协同端,协同端在接收到指令后,根据第一私钥分量以及目标比特串,获取第一私钥分量对应的第三坐标值,并将生成的第一私钥分量对应的第三坐标值发送至客户端。其中,客户端可以将目标比特串携带在获取第一私钥分量对应的第三坐标值的指令中进行发送。
S204:采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密。
客户端在获取到第二坐标值,并接收到协同端发送的第三坐标值后,采用第二预设算法,根据第二坐标值及第三坐标值,生成加密私钥对应的第一坐标值,通过该第一坐标值即可进行后续解密,并且在解密过程中避免了完整的加密私钥的出现,进一步确保了加密私钥的安全性。
并且第二预设算法与第一预设算法是相对应的,若CA服务端采用第一预设算法生成第二私钥分量时,是将加密私钥加上第一私钥分量,得到第二私钥分量。那么客户端在采用第二预设算法生成加密私钥对应的第一坐标值时,则是将第二坐标值减去第三坐标值,得到一个坐标值,该坐标值即为加密私钥对应的第一坐标值。其中第二坐标值减去第三坐标值,指的是坐标值之间对应的位之间直接相减。
例如,CA服务端根据加密私钥PRI-E加上第一私钥分量PRI-ES生成第二私钥分量PRI-EC,并将第二私钥分量发送至客户端,将第一私钥分量发送至协同端。客户端在进行解密时,接收到的密文C=C1||C3||C2,并且提取出的目标比特串为C1,生成的第二坐标值为PRI-EC*C1;接收到的协同端发送的第一私钥分量对应的第三坐标值为PRI-ES*C1,则根据第二坐标值以及第三坐标值生成的加密私钥PRI-E对应的第一坐标值等于PRI-EC*C1减去PRI-ES*C1。由于CA服务端在将加密私钥分为第一私钥分量以及第二私钥分量时,是将加密私钥加上第一私钥分量获取到的第二私钥分量,因此客户端在解密时,通过第二私钥分量对应的第二坐标值减去第一私钥分量对应的第三坐标值可以准确地生成加密私钥对应的第一坐标值,也就是说PRI-EC*C1-PRI-ES*C1=(PRI-EC-PRI-ES)*C1=PRI-E*C1,因此可以准确地确定加密私钥对应的第一坐标值,从而进行后续解密。
实施例4:
为了确保第二私钥分量的安全性,在上述各实施例的基础上,在本发明实施例中,所述第二私钥分量通过以下方式获取:
接收CA服务端发送的加密后的第二私钥分量,获取预先保存的加密所述第二私钥分量的第二公钥对应的第二私钥;
采用所述第二私钥对加密后的第二私钥分量进行解密,生成解密后的第二私钥分量。
为了避免直接将第二私钥分量发送至客户端,容易造成的第二私钥分量被泄露的风险,在本发明实施例中,客户端接收到的是加密后的第二私钥分量。为了确保能够在进行解密时,准确地进行解密,在接收到加密后的第二私钥分量后,客户端获取预先保存的第二私钥,其中,第二私钥以及第二公钥为客户端生成的一对密钥对,并且客户端将第二公钥发送至CA服务端,CA服务端采用第二公钥对第二私钥分量进行加密,并将加密后的第二私钥分量发送至客户端。因此客户端采用该第二公钥对应的第二私钥对该加密后的第二私钥分量进行解密,即可获取解密后的第二私钥分量。
例如,客户端生成的第二私钥为PRI-ST,生成并发送至CA服务端的第二公钥为PUB-ST,第二私钥分量为PRI-EC,CA服务端采用PUB-ST对PRI-EC加密得到PRI-EC’,将加密后得到的PRI-EC’发送至客户端。客户端采用该第二公钥对应的第二私钥PRI-ST对PRI-EC’进行解密,获取解密后的第二私钥分量PRI-EC。
另外,在本发明实施例中,还可以是客户端在接收到加密后的第二私钥分量之后,根据预设的算法生成对第二私钥分量加密的第二公钥对应的第二私钥,并采用第二私钥对加密后的第二私钥分量进行解密。例如,客户端生成客户端签名私钥PRI-SC=D1,并根据采用预设的算法根据客户端签名私钥生成第二公钥PUB-ST=D1-1*G,将第二公钥发送至CA服务端,在接收到CA服务端发送的加密后的第二私钥分量之后,采用预设的算法根据客户端签名私钥生成第二公钥对应的第二私钥PRI-ST=D1-1,并采用第二私钥对加密后的第二私钥分量进行解密。
为了准确地生成加密私钥对应的第一坐标值,在上述各实施例的基础上,在本发明实施例中,所述采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到第一坐标值包括:
采用所述第二坐标值加上所述第三坐标值,得到第一坐标值。
在本发明实施例中,在客户端在根据第二坐标值以及第三坐标值,生成加密私钥对应的第一坐标值时,若CA服务端是将加密私钥减去第一私钥分量,得到第二私钥分量。则客户端生成加密私钥对应的第一坐标值具体的过程为:将第一私钥分量对应的第三坐标值加上第二私钥分量对应的第二坐标值,得到一个坐标值,确定该坐标值为加密私钥对应的第一坐标值,其中第二坐标值加上第三坐标值指的是解密算法中椭圆曲线上的坐标值之间相加,具体的,椭圆曲线上坐标值如何相加为现有技术,在此不再赘述。
当然若CA服务端,生成第二私钥分量时是采用的其他第一预设算法,则客户端生成加密私钥对应的第一坐标值时,则采用CA服务端所采用的第一预设算法对应的第二预设算法。
实施例5:
图3为本发明实施例提供的一种解密过程示意图,该过程包括以下步骤:
S301:接收客户端发送的目标比特串;根据证书颁发机构CA服务端发送的第一私钥分量以及所述目标比特串,获取所述第一私钥分量对应的第三坐标值。
本发明实施例提供的解密方法应用于协同端。
在本发明实施例中,在进行解密时,协同端接收客户端发送的目标比特串,并在接收到目标比特串后,根据CA服务端发送的第一私钥分量以及该目标比特串,获取第一私钥分量对应的第三坐标值。具体的,协同端采用第一私钥分量点乘目标比特串获取第三坐标值。其中,如何根据私钥以及密文中的比特串C1确定对应的坐标值为现有技术,在此不再赘述。
S302:将所述第三坐标值发送至所述客户端,以使客户端在解密时,根据所述第三坐标值以及所述客户端获取到第二私钥分量对应的第二坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密,其中,所述第二坐标值是所述客户端根据第二私钥分量以及所述目标比特串确定的。
协同端将第一私钥分量对应的第三坐标值发送至客户端,从而使得客户端在进行解密时,采用协同端发送的第三坐标值加上客户端生成的第二坐标值,生成加密私钥对应的第一坐标值,通过加密私钥对应的第一坐标值即可进行后续解密。具体的,在本发明实施例中,可以是在客户端在进行解密时,客户端发送获取第一私钥分量对应的第三坐标值的指令至协同端,协同端在接收到指令后,根据目标比特串以及第一私钥分量,生成对应的第三坐标值,并将第三坐标值发送至客户端。
实施例6:
为了确保第一私钥分量的安全性,在上述各实施例的基础上,在本发明实施例中,所述第一私钥分量通过以下方式获取:
接收CA服务端发送的加密后的第一私钥分量,获取预先保存的加密所述第一私钥分量的第一公钥对应的第一私钥;
采用所述第一私钥对加密后的第一私钥分量进行解密,生成解密后的第一私钥分量。
为了避免直接将第一私钥分量发送至协同端,容易造成的第一私钥分量被泄露的风险,在本发明实施例中,协同端接收到的是加密后的第一私钥分量,为了确保能够在进行解密时,准确地进行解密,在接收到第一私钥分量后,协同端获取预先保存的第一私钥,其中,第一私钥以及第一公钥为协同端生成的一对密钥对,并且协同端将第一公钥发送至CA服务端,CA服务端采用第一公钥对第一私钥分量进行加密,并将加密后的第一私钥分量发送至协同端。因此协同端采用该第一公钥对应的第一私钥对该加密后的第一私钥分量进行解密,获取解密后的第一私钥分量。
例如,协同端生成的第一私钥为PRI-SS,生成并发送至CA服务端的第一公钥为PUB-SS,第一私钥分量为PRI-ES,CA服务端采用PUB-SS对PRI-ES加密得到PRI-ES’,将加密后得到的PRI-ES’发送至协同端。协同端采用该第一公钥对应的第一私钥PRI-SS对PRI-ES’进行解密,获取解密后得到的第一私钥分量PRI-ES。
实施例7:
本发明实施例在进行密钥分发时的详细流程可以为,首先客户端生成客户端签名私钥PRI-SC=D1,并根据D1生成临时签名公钥PUB-ST=D1-1*G,也就是本发明实施例所说的第二公钥,然后将PUB-ST发给协同端,协同端生成协同端签名私钥PRI-SS=D2以及协同端签名公钥PUB-SS=D2*G,也就是本发明实施例所说的第一私钥以及第一公钥,然后协同端根据PRI-SS和PUB-ST生成签名公钥PUB-S=D2-1D1-1*G-G=(D1-1D2-1-1)*G,所以签名私钥PRI-S为D1-1D2-1-1,协同端将PUB-S发给CA服务端生成签名证书CRET-S。其中,通过协同端签名私钥以及临时签名公钥也就是本发明实施例中的第二公钥以及第一私钥,生成签名公钥的过程为现有技术中生成签名公钥的过程。
协同端将第二公钥PUB-ST和第一公钥PUB-SS发给CA服务端。CA服务端生成加密密钥PUB-E以及PRI-E,和加密证书CERT-E,然后生成随机数作为协同端加密私钥PRI-ES,也就是本发明实施例所说的第一私钥分量,然后计算客户端加密私钥PRI-EC为PRI-E减去PRI-ES,客户端加密私钥也就是本发明实施例所说的第二私钥分量。CA服务端使用第二公钥PUB-ST对第二私钥分量PRI-EC加密得到PRI-EC’,使用第一公钥PUB-SS=D2*G对第一私钥分量PRI-ES加密得到PRI-ES’,然后将PRI-EC’和PRI-ES’发给协同端。
协同端使用第一私钥PRI-SS=D2解密PRI-ES’,得到PRI-ES并保存在协同端,然后将PRI-EC’发给客户端,客户端通过PRI-SC=D1计算D1-1也就是生成第二公钥对应的第二私钥,然后使用第二私钥解密PRI-EC’,得到PRI-EC并保存在客户端。
后续在客户端进行解密时,客户端接收加密后的密文C=C=C1||C3||C2,提取出密文中的目标比特串为C1,将提取出的目标比特串发送至协同端,客户端根据目标比特串以及第二私钥分量,获取第二私钥分量对应的第二坐标值。协同端在接收到获取第一私钥分量的指令后,根据第一私钥分量以及目标比特串,获取第一私钥分量对应的第三坐标值,并将第三坐标值发送至客户端,客户端将第二坐标值加上第三坐标值,生成加密私钥PRI-E对应的第一坐标值,就可以使用第一坐标值对使用PUB-E加密的数据进行后续解密。
实施例8:
图4为本发明实施例提供的一种密钥分发装置结构示意图,该密钥分发装置包括:
生成模块401,用于生成加密私钥以及第一私钥分量;
第一处理模块402,用于采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量;将所述第一私钥分量发送至协同端,并将所述第二私钥分量发送至客户端。
在一种可能的实施方式中,所述第一处理模块402,具体用于接收协同端发送的第一公钥;通过所述第一公钥对所述第一私钥分量进行加密,获取加密后的第一私钥分量;将加密后的第一私钥分量发送至协同端。
在一种可能的实施方式中,所述第一处理模块402,具体用于接收客户端发送的第二公钥;通过所述第二公钥对所述第二私钥分量进行加密,获取加密后的第二私钥分量;将加密后的第二私钥分量发送至客户端。
在一种可能的实施方式中,所述第一处理模块402,具体用于采用所述加密私钥减去所述第一私钥分量,得到第二私钥分量。
图5为本发明实施例提供的一种解密装置结构示意图,该解密装置包括:
第一接收获取模块501,用于接收加密得到的密文,提取所述密文中包含的目标比特串,并将所述目标比特串发送至协同端;根据证书颁发机构CA服务端发送的第二私钥分量以及所述目标比特串,获取所述第二私钥分量对应的第二坐标值;接收协同端发送的第一私钥分量对应的第三坐标值,其中,所述第三坐标值是所述协同端根据第一私钥分量以及所述目标比特串确定的;
第二处理模块502,用于采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密。
在一种可能的实施方式中,所述第一接收获取模块501,还用于接收CA服务端发送的加密后的第二私钥分量,获取预先保存的加密所述第二私钥分量的第二公钥对应的第二私钥;采用所述第二私钥对加密后的第二私钥分量进行解密,生成解密后的第二私钥分量。
在一种可能的实施方式中,所述第二处理模块502,具体用于采用所述第二坐标值加上所述第三坐标值,得到第一坐标值。
图6为本发明实施例提供的一种解密装置结构示意图,该解密装置包括:
第二接收获取模块601,用于接收客户端发送的目标比特串;根据证书颁发机构CA服务端发送的第一私钥分量以及所述目标比特串,获取所述第一私钥分量对应的第三坐标值;
发送模块602,用于将所述第三坐标值发送至所述客户端。
在一种可能的实施方式中,所述第二接收获取模块601,还用于接收CA服务端发送的加密后的第一私钥分量,获取预先保存的加密所述第一私钥分量的第一公钥对应的第一私钥;采用所述第一私钥对加密后的第一私钥分量进行解密,生成解密后的第一私钥分量。
实施例9:
图7为本发明提供的一种电子设备结构示意图,在上述各实施例的基础上,本发明实施例还提供了一种电子设备,如图7所示,包括:处理器701、通信接口702、存储器703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信。
所述存储器703中存储有计算机程序,当所述程序被所述处理器701执行时,使得所述处理器701执行如下步骤:
生成加密私钥以及第一私钥分量;
采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量;
将所述第一私钥分量发送至协同端,并将所述第二私钥分量发送至客户端。
在一种可能的实施方式中,所述将所述第一私钥分量发送至协同端包括:
接收协同端发送的第一公钥;
通过所述第一公钥对所述第一私钥分量进行加密,获取加密后的第一私钥分量;
将加密后的第一私钥分量发送至协同端。
在一种可能的实施方式中,所述将所述第二私钥分量发送至客户端包括:
接收客户端发送的第二公钥;
通过所述第二公钥对所述第二私钥分量进行加密,获取加密后的第二私钥分量;
将加密后的第二私钥分量发送至客户端。
在一种可能的实施方式中,所述采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量包括:
采用所述加密私钥减去所述第一私钥分量,得到第二私钥分量。
在上述各实施例的基础上,本发明实施例还提供了一种电子设备,包括:处理器701、通信接口702、存储器703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信。
所述存储器中存储有计算机程序,当所述程序被所述处理器701执行时,使得所述处理器执行如下步骤:
接收加密得到的密文,提取所述密文中包含的目标比特串,并将所述目标比特串发送至协同端;
根据证书颁发机构CA服务端发送的第二私钥分量以及所述目标比特串,获取所述第二私钥分量对应的第二坐标值;
接收协同端发送的第一私钥分量对应的第三坐标值,其中,所述第三坐标值是所述协同端根据第一私钥分量以及所述目标比特串确定的;
采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密。
在一种可能的实施方式中,所述第二私钥分量通过以下方式获取:
接收CA服务端发送的加密后的第二私钥分量,获取预先保存的加密所述第二私钥分量的第二公钥对应的第二私钥;
采用所述第二私钥对加密后的第二私钥分量进行解密,生成解密后的第二私钥分量。
在一种可能的实施方式中,所述采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到第一坐标值包括:
采用所述第二坐标值加上所述第三坐标值,得到第一坐标值。
在上述各实施例的基础上,本发明实施例还提供了一种电子设备,包括:处理器701、通信接口702、存储器703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信。
所述存储器中存储有计算机程序,当所述程序被所述处理器701执行时,使得所述处理器执行如下步骤:
接收客户端发送的目标比特串;根据证书颁发机构CA服务端发送的第一私钥分量以及所述目标比特串,获取所述第一私钥分量对应的第三坐标值;
将所述第三坐标值发送至所述客户端,以使客户端在解密时,根据所述第三坐标值以及所述客户端获取到第二私钥分量对应的第二坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密,其中,所述第二坐标值是所述客户端根据第二私钥分量以及所述目标比特串确定的。
在一种可能的实施方式中,所述第一私钥分量通过以下方式获取:
接收CA服务端发送的加密后的第一私钥分量,获取预先保存的加密所述第一私钥分量的第一公钥对应的第一私钥;
采用所述第一私钥对加密后的第一私钥分量进行解密,生成解密后的第一私钥分量。
上述服务器提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字指令处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
实施例10:
在上述各实施例的基础上,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行如下步骤:
生成加密私钥以及第一私钥分量;
采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量;
将所述第一私钥分量发送至协同端,并将所述第二私钥分量发送至客户端。
在一种可能的实施方式中,所述将所述第一私钥分量发送至协同端包括:
接收协同端发送的第一公钥;
通过所述第一公钥对所述第一私钥分量进行加密,获取加密后的第一私钥分量;
将加密后的第一私钥分量发送至协同端。
在一种可能的实施方式中,所述将所述第二私钥分量发送至客户端包括:
接收客户端发送的第二公钥;
通过所述第二公钥对所述第二私钥分量进行加密,获取加密后的第二私钥分量;
将加密后的第二私钥分量发送至客户端。
在一种可能的实施方式中,所述采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量包括:
采用所述加密私钥减去所述第一私钥分量,得到第二私钥分量。
在上述各实施例的基础上,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有可由处理器执行的计算机程序,当所述程序在所述处理器上运行时,使得所述处理器执行时实现如下步骤:
接收加密得到的密文,提取所述密文中包含的目标比特串,并将所述目标比特串发送至协同端;
根据证书颁发机构CA服务端发送的第二私钥分量以及所述目标比特串,获取所述第二私钥分量对应的第二坐标值;
接收协同端发送的第一私钥分量对应的第三坐标值,其中,所述第三坐标值是所述协同端根据第一私钥分量以及所述目标比特串确定的;
采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密。
在一种可能的实施方式中,所述第二私钥分量通过以下方式获取:
接收CA服务端发送的加密后的第二私钥分量,获取预先保存的加密所述第二私钥分量的第二公钥对应的第二私钥;
采用所述第二私钥对加密后的第二私钥分量进行解密,生成解密后的第二私钥分量。
在一种可能的实施方式中,所述采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到第一坐标值包括:
采用所述第二坐标值加上所述第三坐标值,得到第一坐标值。
在上述各实施例的基础上,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有可由处理器执行的计算机程序,当所述程序在所述处理器上运行时,使得所述处理器执行时实现如下步骤:
接收客户端发送的目标比特串;根据证书颁发机构CA服务端发送的第一私钥分量以及所述目标比特串,获取所述第一私钥分量对应的第三坐标值;
将所述第三坐标值发送至所述客户端,以使客户端在解密时,根据所述第三坐标值以及所述客户端获取到第二私钥分量对应的第二坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密,其中,所述第二坐标值是所述客户端根据第二私钥分量以及所述目标比特串确定的。
在一种可能的实施方式中,所述第一私钥分量通过以下方式获取:
接收CA服务端发送的加密后的第一私钥分量,获取预先保存的加密所述第一私钥分量的第一公钥对应的第一私钥;
采用所述第一私钥对加密后的第一私钥分量进行解密,生成解密后的第一私钥分量。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (16)

1.一种解密方法,其特征在于,应用于客户端,所述方法包括:
接收加密得到的密文,提取所述密文中包含的目标比特串,并将所述目标比特串发送至协同端;
根据证书颁发机构CA服务端发送的第二私钥分量以及所述目标比特串,获取所述第二私钥分量对应的第二坐标值;
接收协同端发送的第一私钥分量对应的第三坐标值,其中,所述第三坐标值是所述协同端根据所述第一私钥分量以及所述目标比特串确定的;
采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密;
其中,所述采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到第一坐标值包括:
采用所述第二坐标值加上所述第三坐标值,得到第一坐标值。
2.根据权利要求1所述的方法,其特征在于,所述第二私钥分量通过以下方式获取:
接收CA服务端发送的加密后的第二私钥分量,获取预先保存的加密所述第二私钥分量的第二公钥对应的第二私钥;
采用所述第二私钥对加密后的第二私钥分量进行解密,生成解密后的第二私钥分量。
3.一种解密方法,其特征在于,应用于协同端,所述方法包括:
接收客户端发送的目标比特串;根据证书颁发机构CA服务端发送的第一私钥分量以及所述目标比特串,获取所述第一私钥分量对应的第三坐标值;
将所述第三坐标值发送至所述客户端,以使客户端在解密时,根据所述第三坐标值以及所述客户端获取到第二私钥分量对应的第二坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密,其中,所述第二坐标值是所述客户端根据所述第二私钥分量以及所述目标比特串确定的;
其中,所述客户端采用所述第二坐标值加上所述第三坐标值,得到第一坐标值。
4.根据权利要求3所述的方法,其特征在于,所述第一私钥分量通过以下方式获取:
接收CA服务端发送的加密后的第一私钥分量,获取预先保存的加密所述第一私钥分量的第一公钥对应的第一私钥;
采用所述第一私钥对加密后的第一私钥分量进行解密,生成解密后的第一私钥分量。
5.一种密钥分发方法,其特征在于,应用于证书颁发机构CA服务端,所述方法包括:
生成加密私钥以及第一私钥分量;
采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量;
将所述第一私钥分量发送至应用了如权利要求3-4任一项所述方法的协同端,并将所述第二私钥分量发送至应用了权利要求1-2任一项所述方法的客户端;
其中,所述采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量包括:
采用所述加密私钥减去所述第一私钥分量,第二私钥分量。
6.根据权利要求5所述的方法,其特征在于,所述将所述第一私钥分量发送至协同端包括:
接收协同端发送的第一公钥;
通过所述第一公钥对所述第一私钥分量进行加密,获取加密后的第一私钥分量;
将加密后的第一私钥分量发送至协同端。
7.根据权利要求5所述的方法,其特征在于,所述将所述第二私钥分量发送至客户端包括:
接收客户端发送的第二公钥;
通过所述第二公钥对所述第二私钥分量进行加密,获取加密后的第二私钥分量;
将加密后的第二私钥分量发送至客户端。
8.一种解密装置,其特征在于,所述装置包括:
第一接收获取模块,用于接收加密得到的密文,提取所述密文中包含的目标比特串,并将所述目标比特串发送至协同端;根据证书颁发机构CA服务端发送的第二私钥分量以及所述目标比特串,获取所述第二私钥分量对应的第二坐标值;接收协同端发送的第一私钥分量对应的第三坐标值,其中,所述第三坐标值是所述协同端根据第一私钥分量以及所述目标比特串确定的;
第二处理模块,用于采用第二预设算法,根据所述第二坐标值以及所述第三坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密;
其中,所述第二处理模块,具体用于采用所述第二坐标值加上所述第三坐标值,得到第一坐标值。
9.根据权利要求8所述的装置,其特征在于,所述第一接收获取模块,还用于接收CA服务端发送的加密后的第二私钥分量,获取预先保存的加密所述第二私钥分量的第二公钥对应的第二私钥;采用所述第二私钥对加密后的第二私钥分量进行解密,生成解密后的第二私钥分量。
10.一种解密装置,其特征在于,所述装置包括:
第二接收获取模块,用于接收客户端发送的目标比特串;根据证书颁发机构CA服务端发送的第一私钥分量以及所述目标比特串,获取所述第一私钥分量对应的第三坐标值;
发送模块,用于将所述第三坐标值发送至所述客户端;其中,客户端在解密时,根据所述第三坐标值以及所述客户端获取到第二私钥分量对应的第二坐标值,得到加密私钥对应的第一坐标值,并采用所述第一坐标值进行解密,其中,所述第二坐标值是所述客户端根据所述第二私钥分量以及所述目标比特串确定的;
所述客户端采用所述第二坐标值加上所述第三坐标值,得到第一坐标值。
11.根据权利要求10所述的装置,其特征在于,所述第二接收获取模块,还用于接收CA服务端发送的加密后的第一私钥分量,获取预先保存的加密所述第一私钥分量的第一公钥对应的第一私钥;采用所述第一私钥对加密后的第一私钥分量进行解密,生成解密后的第一私钥分量。
12.一种密钥分发装置,其特征在于,所述装置包括:
生成模块,用于生成加密私钥以及第一私钥分量;
第一处理模块,用于采用第一预设算法,根据所述加密私钥以及所述第一私钥分量,得到第二私钥分量;将所述第一私钥分量发送至应用了如权利要求10-11任一项所述装置的协同端,并将所述第二私钥分量发送至应用了如权利要求8-9任一项所述装置的客户端;
所述第一处理模块,具体用于采用所述加密私钥减去所述第一私钥分量,得到第二私钥分量。
13.根据权利要求12所述的装置,其特征在于,所述第一处理模块,具体用于接收协同端发送的第一公钥;通过所述第一公钥对所述第一私钥分量进行加密,获取加密后的第一私钥分量;将加密后的第一私钥分量发送至协同端。
14.根据权利要求12所述的装置,其特征在于,所述第一处理模块,具体用于接收客户端发送的第二公钥;通过所述第二公钥对所述第二私钥分量进行加密,获取加密后的第二私钥分量;将加密后的第二私钥分量发送至客户端。
15.一种电子设备,所述电子设备至少包括处理器和存储器,其特征在于,所述处理器用于执行存储器中存储的计算机程序时执行上述权利要求1-4中任一所述解密或上述权利要求5-7中任一所述密钥分发的步骤。
16.一种计算机可读存储介质,其存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行上述权利要求1-4中任一所述解密或上述权利要求5-7中任一所述密钥分发的步骤。
CN202110884687.XA 2021-08-03 2021-08-03 一种密钥分发、解密方法、装置、设备及介质 Active CN113676462B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110884687.XA CN113676462B (zh) 2021-08-03 2021-08-03 一种密钥分发、解密方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110884687.XA CN113676462B (zh) 2021-08-03 2021-08-03 一种密钥分发、解密方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN113676462A CN113676462A (zh) 2021-11-19
CN113676462B true CN113676462B (zh) 2022-08-19

Family

ID=78541658

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110884687.XA Active CN113676462B (zh) 2021-08-03 2021-08-03 一种密钥分发、解密方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN113676462B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109861816A (zh) * 2019-02-22 2019-06-07 矩阵元技术(深圳)有限公司 数据处理方法和装置
CN111010273A (zh) * 2019-12-23 2020-04-14 山东师范大学 基于位置解密的属性基加解密方法及加解密系统
CN111404892A (zh) * 2020-03-05 2020-07-10 北京金山云网络技术有限公司 数据监管方法、装置和服务器
CN112910645A (zh) * 2021-04-13 2021-06-04 三未信安科技股份有限公司 一种基于椭圆曲线的分布式协同解密方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2068490A1 (en) * 2007-12-05 2009-06-10 Nagravision S.A. Method to generate a private key in a Boneh-Franklin scheme
CN110830242A (zh) * 2019-10-16 2020-02-21 聚好看科技股份有限公司 一种密钥生成、管理方法和服务器
CN113098678B (zh) * 2019-12-23 2022-06-03 中移(苏州)软件技术有限公司 信息处理方法、终端、中心设备、服务器及存储介质
CN111049650B (zh) * 2019-12-27 2022-10-25 上海市数字证书认证中心有限公司 一种基于sm2算法的协同解密方法及装置、系统、介质
CN111211911B (zh) * 2019-12-31 2021-05-14 支付宝(杭州)信息技术有限公司 一种协同签名方法、装置、设备及系统
CN111314089B (zh) * 2020-02-18 2023-08-08 数据通信科学技术研究所 一种基于sm2的两方协同签名方法及解密方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109861816A (zh) * 2019-02-22 2019-06-07 矩阵元技术(深圳)有限公司 数据处理方法和装置
CN111010273A (zh) * 2019-12-23 2020-04-14 山东师范大学 基于位置解密的属性基加解密方法及加解密系统
CN111404892A (zh) * 2020-03-05 2020-07-10 北京金山云网络技术有限公司 数据监管方法、装置和服务器
CN112910645A (zh) * 2021-04-13 2021-06-04 三未信安科技股份有限公司 一种基于椭圆曲线的分布式协同解密方法

Also Published As

Publication number Publication date
CN113676462A (zh) 2021-11-19

Similar Documents

Publication Publication Date Title
CN110391900B (zh) 基于sm2算法的私钥处理方法、终端及密钥中心
CN110890962B (zh) 认证密钥协商方法、装置、存储介质及设备
CN110401615B (zh) 一种身份认证方法、装置、设备、系统及可读存储介质
EP3761203A1 (en) Information processing method, blockchain node, and electronic apparatus
CN114024710B (zh) 一种数据传输方法、装置、系统及设备
CN109818741B (zh) 一种基于椭圆曲线的解密计算方法及装置
TWI809292B (zh) 資料的加解密方法、裝置、存儲介質及加密文件
CN108199847B (zh) 数字安全处理方法、计算机设备及存储介质
CN113572604B (zh) 一种发送密钥的方法、装置、系统及电子设备
CN111901111A (zh) Sm9密钥生成方法、装置、系统及可读存储介质
CN109005184A (zh) 文件加密方法及装置、存储介质、终端
CN104092551B (zh) 一种基于rsa算法的安全密钥传输方法
CN113890731A (zh) 一种密钥管理方法、装置、电子设备及存储介质
CN112003697A (zh) 密码模块加解密方法、装置、电子设备及计算机存储介质
CN113326518B (zh) 一种数据处理方法及装置
KR101579696B1 (ko) 암호 기법 프로토콜의 개시 값들을 난독화하는 시스템 및 방법
CN110611681A (zh) 一种加密方法及装置、存储介质
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
CN112737783B (zh) 一种基于sm2椭圆曲线的解密方法及设备
CN113645235A (zh) 分布式数据加解密系统及加解密方法
CN113676462B (zh) 一种密钥分发、解密方法、装置、设备及介质
CN109102294B (zh) 信息传输方法和装置
CN111431846B (zh) 数据传输的方法、装置和系统
CN114065241A (zh) 一种密钥安全处理系统、方法、设备及介质
CN115344882A (zh) 基于可信计算环境的多方计算方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant