CN115766003A - 一种秘密信息恢复的方法、装置、设备及存储介质 - Google Patents
一种秘密信息恢复的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115766003A CN115766003A CN202211427185.5A CN202211427185A CN115766003A CN 115766003 A CN115766003 A CN 115766003A CN 202211427185 A CN202211427185 A CN 202211427185A CN 115766003 A CN115766003 A CN 115766003A
- Authority
- CN
- China
- Prior art keywords
- secret information
- fragment
- protectors
- fragments
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 239000012634 fragment Substances 0.000 claims abstract description 196
- 230000001012 protector Effects 0.000 claims abstract description 103
- 238000011084 recovery Methods 0.000 claims abstract description 46
- 238000012795 verification Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 5
- 238000013467 fragmentation Methods 0.000 claims description 4
- 238000006062 fragmentation reaction Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种秘密信息恢复的方法、装置、设备及存储介质,通过根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者;将所述n个秘密信息分片保护者各自对应的计算者接收到的n个加密后的秘密信息分片上传至可信执行环境;在所述可信执行环境中,根据所述n个加密后的秘密信息分片,通过多方安全计算恢复秘密信息。由于秘密信息分片保护者不具有多方安全计算能力,具有多方安全计算能力的计算者只能接收到加密后的秘密信息分片,可以有效保护秘密信息分片,提高秘密信息的安全性。
Description
技术领域
本申请涉及多方安全计算技术领域,特别是涉及一种秘密信息恢复的方法、装置、设备及存储介质。
背景技术
随着互联网技术的普及和数字化的发展,越来越多的秘密信息被采用电子化的形式进行保存,秘密信息的安全性面临新的挑战。
现有技术中将秘密信息分成多个秘密信息分片,由多个秘密信息分片保护者对加密后的秘密信息分片进行保管,从多个秘密信息分片保护者中选取一个作为管理者,当需要恢复秘密信息时,加密后的秘密信息分片会被管理者的私钥解密成明文后,由管理者进行多方安全计算恢复秘密信息。
然而,由于管理者不仅是秘密信息分片保护者,同时还具有多方安全计算能力,秘密信息的安全性依赖于用户对管理者的可信度,导致秘密信息的安全性降低。
发明内容
基于上述问题,本申请提供了一种秘密信息恢复的方法、装置、设备及存储介质。
本申请实施例公开了如下技术方案:
第一方面,本申请实施例提供一种秘密信息恢复的方法,包括:
根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,所述加密后的秘密信息分片是所述秘密信息分片保护者利用对应的计算者的公钥对秘密信息分片进行加密获得的,n为正整数;
将所述n个秘密信息分片保护者各自对应的计算者接收到的n个加密后的秘密信息分片上传至可信执行环境;
在所述可信执行环境中,根据所述n个加密后的秘密信息分片,通过多方安全计算恢复秘密信息。
进一步地,所述在所述可信执行环境中,根据所述n个加密后的秘密信息分片,通过多方安全计算恢复秘密信息,包括:
在所述可信执行环境中,利用与所述n个秘密信息分片保护者各自对应的计算者的公钥对应的私钥,对所述n个加密后的秘密信息分片进行解密,获得n个秘密信息分片;
根据所述n个秘密信息分片,通过多方安全计算恢复秘密信息。
进一步地,所述在所述可信执行环境中,根据所述n个加密后的秘密信息分片,通过多方安全计算恢复秘密信息之后,还包括:
调用智能合约,利用与用户的私钥对应的公钥对所述秘密信息进行加密,获得加密后的秘密信息;
向所述用户发送所述加密后的秘密信息。
进一步地,所述秘密信息分片保护者和所述计算者的确定步骤包括:
根据多个秘密信息管理参与方在区块链中创建的分布式数字身份信息,从所述多个秘密信息管理参与方中确定秘密信息分片保护者和计算者。
进一步地,所述分布式数字身份信息,包括:分布式数字身份标识符和身份标识描述文档,所述身份标识描述文档中包括与所述分布式数字身份标识符对应的公钥、身份验证协议和身份验证的服务端点。
进一步地,所述根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,包括:
根据秘密信息恢复请求调用智能合约,将秘密信息恢复请求中的用户的分布式数字身份标识符与区块链中保存的所述用户的分布式数字身份标识符进行校验;
若校验通过,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者。
第二方面,本申请实施例提供一种秘密信息恢复的装置,包括:
发送模块、上传模块以及恢复模块;
所述发送模块,用于根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,所述加密后的秘密信息分片是所述秘密信息分片保护者利用对应的计算者的公钥对秘密信息分片进行加密获得的,n为正整数;
所述上传模块,用于将所述n个秘密信息分片保护者各自对应的计算者接收到的n个加密后的秘密信息分片上传至可信执行环境;
所述恢复模块,用于在所述可信执行环境中,根据所述n个加密后的秘密信息分片,恢复秘密信息。
进一步地,所述恢复模块,包括:
解密单元和恢复单元;
所述解密单元,用于在所述可信执行环境中,利用与所述n个秘密信息分片保护者各自对应的计算者的公钥对应的私钥,对所述n个加密后的秘密信息分片进行解密,获得n个秘密信息分片;
所述恢复单元,用于根据所述n个秘密信息分片,通过多方安全计算恢复秘密信息。
进一步地,还包括:加密模块和秘密信息发送模块;
所述加密模块,用于调用智能合约,利用与用户的私钥对应的公钥对所述秘密信息进行加密,获得加密后的秘密信息;
所述秘密信息发送模块,用于向所述用户发送所述加密后的秘密信息。
进一步地,所述秘密信息分片保护者和所述计算者的确定步骤包括:
根据多个秘密信息管理参与方在区块链中创建的分布式数字身份信息,从所述多个秘密信息管理参与方中确定秘密信息分片保护者和计算者。
进一步地,所述分布式数字身份信息,包括:分布式数字身份标识符和身份标识描述文档,所述身份标识描述文档中包括与所述分布式数字身份标识符对应的公钥、身份验证协议和身份验证的服务端点。
进一步地,所述发送模块,包括:
校验单元和发送单元;
所述校验单元,用于根据秘密信息恢复请求调用智能合约,将秘密信息恢复请求中的用户的分布式数字身份标识符与区块链中保存的所述用户的分布式数字身份标识符进行校验;
所述发送单元,用于若校验通过,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者。
第三方面,本申请实施例提供一种计算机设备,所述计算机设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行如上所述的一种秘密信息恢复的方法的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的一种秘密信息恢复的方法的步骤。
相较于现有技术,本申请具有以下有益效果:
本申请实施例通过根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,在所述可信执行环境中,根据n个计算者接收到的n个加密后的秘密信息分片,通过多方安全计算恢复秘密信息。由于秘密信息分片保护者不具有多方安全计算能力,具有多方安全计算能力的计算者只能接收到加密后的秘密信息分片,可以有效保护秘密信息分片,提高秘密信息的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种秘密信息恢复的方法的流程图;
图2为本申请实施例提供的一种秘密信息分片发送方法的流程图;
图3为本申请实施例提供的一种秘密信息恢复的装置的结构示意图。
具体实施方式
正如前文描述,目前的如何提高秘密信息的安全性,成为本领域技术人员亟待解决的技术问题。
经过研究发现,现有技术中将秘密信息分成多个秘密信息分片,由多个秘密信息分片保护者对秘密信息分片进行保管,从多个秘密信息分片保护者中选取一个作为管理者,当需要恢复秘密信息时,加密后保存的秘密信息分片会被管理者的私钥解密成明文后,再由管理者进行多方安全计算恢复秘密信息。由于管理者不仅是秘密信息分片保护者,同时还具有多方安全计算能力,秘密信息的安全性依赖于用户对管理者的可信度,如果管理者不诚信或是管理者私钥被泄露,那么秘密信息分片的明文就有可能泄露,从而存在安全隐患,导致秘密信息的安全性无法得到保障。
基于此,本申请通过根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,在所述可信执行环境中,根据n个计算者接收到的n个加密后的秘密信息分片,通过多方安全计算恢复秘密信息。由于秘密信息分片保护者不具有多方安全计算能力,具有多方安全计算能力的计算者只能接收到加密后的秘密信息分片,可以有效保护秘密信息分片,提高秘密信息的安全性。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1,该图为本申请实施例提供的一种秘密信息恢复的方法的流程图。一种秘密信息恢复的方法,可以通过S101~S103实现。
S101:根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,所述加密后的秘密信息分片是所述秘密信息分片保护者利用对应的计算者的公钥对秘密信息分片进行加密获得的,n为正整数。
具体地,利用区块链的智能合约技术,可以通过去中心化的方式完成对秘密信息的保护或恢复。只有用户,也就是秘密信息的拥有者,才可以使用用户的私钥来调用智能合约对秘密信息进行保护,或是发起秘密信息恢复的流程。
根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者。具体地,秘密信息被分为若干份,每份作为一个秘密信息分片,利用计算者的公钥进行加密后的秘密信息分片由秘密信息分片保护者进行保护,当需要恢复秘密信息时,需要一定数量的秘密信息分片保护者提供加密后的秘密信息分片,才能恢复秘密信息。其中n为正整数,是能够恢复秘密信息所需要的秘密信息分片的数量。
秘密信息分片保护者和计算者可以是多对一的关系,即不同秘密信息的秘密信息分片保护者可以选择同一个计算者进行秘密信息恢复的多方安全计算。例如,秘密信息A对应秘密信息分片保护者S1、S2、S3,秘密信息B对应秘密信息分片保护者S4、S5、S6,现有三个计算者C1、C2、C3,在进行秘密信息恢复的时候,秘密信息A秘密信息分片保护者S1和秘密信息B的秘密信息分片保护者S4可以选择同一个计算者C1,秘密信息A的秘密信息分片保护者S2和秘密信息B的秘密信息分片保护者S5可以选择计算者C2,秘密信息A的秘密信息分片保护者S3和秘密信息B的秘密信息分片保护者S6可以选择计算者C3。
其中,秘密信息分片保护者拥有秘密信息分片而没有计算能力,秘密信息分片保护者利用对应的计算者的公钥对秘密信息分片进行加密,将加密后的秘密信息分片发送给计算者,计算者拥有能将秘密信息恢复的多方安全计算能力而不能获得秘密信息分片的明文,即计算者只能接收到加密后的秘密信息分片,保障了秘密信息分片的安全性。
S102:将所述n个秘密信息分片保护者各自对应的计算者接收到的n个加密后的秘密信息分片上传至可信执行环境。
其中,可信执行环境(Trusted Execution Environment,TEE),是指在设备上的一个独立于不可信操作系统而存在的可信的、隔离的、独立的执行环境,为不可信环境中的隐私数据和敏感计算提供了一个安全而机密的空间,其安全性通常通过硬件相关的机制来保障。具体地,将系统的硬件和软件资源划分为两个执行环境,即可信执行环境和普通执行环境。两个环境是安全隔离的,有独立的内部数据通路和计算所需存储空间。普通执行环境的应用程序无法访问TEE,即使在TEE内部,多个应用的运行也是相互独立的,不能无授权而互访。将所述n个秘密信息分片保护者各自对应的计算者各自接收到的加密后的秘密信息分片上传至可信执行环境,以便在可信执行环境中恢复秘密信息。
S103:在所述可信执行环境中,根据所述n个加密后的秘密信息分片,通过多方安全计算恢复秘密信息。
具体地,计算者通过可信执行环境提供多方安全计算能力,秘密信息分片在可信执行环境内使用,即秘密信息分片的明文对计算者不可见,实现秘密信息分片保护者和计算者的分离,提高了秘密信息的安全性。
综上所述,本申请实施例中将计算者获得的加密后的秘密信息分片上传至可信执行环境,在可信执行环境中通过多方安全计算,恢复秘密信息。基于可信执行环境,提供加密后的秘密信息分片的秘密信息分片保护者不具有多方安全计算能力,而具有多方安全计算能力的计算者无法获得秘密信息分片,实现了秘密信息分片保护者与计算者的分离,提高了秘密信息分片的安全性。
进一步地,上述S103可以通过S201~S202实现。
S201:在所述可信执行环境中,利用与所述n个秘密信息分片保护者各自对应的计算者的公钥对应的私钥,对所述n个加密后的秘密信息分片进行解密,获得n个秘密信息分片。
具体地,与所述n个秘密信息分片保护者各自对应的计算者的公钥对应的私钥内嵌在可信执行环境中,由此私钥对计算者是不可见的。利用与n个计算者的公钥对应的n个私钥,在可信执行环境中对n个加密后的秘密信息分片进行解密,获得n个秘密信息分片,由于可信环境中的数据均对计算者不可见,进而该n个秘密信息分片对计算者也是不可见的。
S202:根据所述n个秘密信息分片,通过多方安全计算恢复秘密信息。
具体地,基于可信执行环境,可以在计算者无法获得秘密信息分片的情况下,恢复秘密信息,保障了秘密信息分片的安全性。
进一步地,上述S103之后,还包括S301~S302。
S301:调用智能合约,利用与用户的私钥对应的公钥对所述秘密信息进行加密,获得加密后的秘密信息。
具体地,在恢复出秘密信息后,在可信执行环境中利用与用户的私钥对应的公钥对所述秘密信息进行加密,以保障恢复出的秘密信息在传输过程中的安全性。
S302:向所述用户发送所述加密后的秘密信息。
具体地,向所述用户发送所述加密后的秘密信息,保障恢复出的秘密信息在传输过程中的安全性,用户收到加密后的秘密信息后,可以利用自身保存的私钥对该加密后的秘密信息进行解密,进而获得该秘密信息。
进一步地,所述秘密信息分片保护者和所述计算者的确定步骤包括:
根据多个秘密信息管理参与方在区块链中创建的分布式数字身份信息,从所述多个秘密信息管理参与方中确定秘密信息分片保护者和计算者。
其中,分布式数字身份信息是利用分布式数字身份技术(DID)为秘密信息管理参与方在区块链上创建,秘密信息管理参与方指用户、秘密信息分片保护者以及计算者,需要在区块链上创建各个身份对应的分布式数字身份信息,例如用户的分布式数字身份信息、秘密信息分片保护者的分布式数字身份信息以及计算者的分布式数字身份信息。根据分布式数字身份信息,可以从所述多个秘密信息管理参与方中确定秘密信息分片保护者和计算者。
具体地,分布式数字身份信息中,包括分布式数字身份标识符和身份标识描述文档。
其中,分布式数字身份标识符是与秘密信息管理参与方的身份对应,用于代表某个秘密信息管理参与方在秘密信息管理系统内的唯一身份。可以根据分布式数字身份标识符指定对应的秘密信息管理参与方为秘密信息分片保护者,由此根据所述n个秘密信息分片保护者的分布式数字身份标识符,可以确定该n个秘密信息分片保护者的身份,进而将区块链中保存的n个秘密信息分片分配给对应的该n个秘密信息分片保护者。每个秘密信息分片都对应唯一的秘密信息分片保护者的分布式数字身份标识符,通过智能合约,可以校验各个分布式数字身份标识符是否为区块链上注册过的有效的分布式标识符,进而保证秘密信息分片被分配给正确的秘密信息分片保护者。同样可以根据分布式数字身份标识符确定计算者。身份标识描述文档中包括与所述分布式数字身份标识符对应的公钥、身份验证协议和身份验证的服务端点,公钥可用于对秘密信息分片进行加密。
秘密信息管理参与方只需要提供自己的身份信息即可在区块链上注册自己的分布式数字身份信息。当用户需要选择秘密信息分片保护者时,选择与身份对应的唯一分布式数字身份标识符即可。被选择的秘密信息分片保护者可以是用户信任的人或者是身边熟悉的人,用户可以自由选择。同时,相比于现有技术中要求秘密信息分片保护者需要具备多方安全计算能力,在需要高成本的同时,使得用户在选择秘密信息分片保护者时也受到很大的限制。本申请实施例提供的方法由于秘密信息保护者不需要拥有多方安全计算能力,仅负责对秘密信息分片的保护,从而降低了对秘密信息分片保护者的要求。
进一步地,S101可以通过S401~S402实现,如图2所示,该图为本申请实施例提供的一种秘密信息分片发送方法的流程图。
S401:根据秘密信息恢复请求调用智能合约,将秘密信息恢复请求中的用户的分布式数字身份标识符与区块链中保存的所述用户的分布式数字身份标识符进行校验。
具体地,用户可以使用私钥对秘密信息分片进行签名,并将用户的分布式数字身份标识符和签名发给智能合约。在需要恢复秘密信息时,根据秘密信息恢复请求调用智能合约,将秘密信息恢复请求中的用户的分布式数字身份标识符与区块链中保存的所述用户的分布式数字身份标识符进行校验,以确保秘密信息恢复请求是用户发起的。
S402:若校验通过,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者。
具体地,若校验通过,则表示秘密信息恢复请求是用户发起的,可以将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,以恢复该秘密信息。
综上所述,本申请实施例中,秘密信息分片保护者负责对秘密信息分片的保护,不具有多方安全计算能力,降低了对秘密信息分片保护者的要求。计算者提供可信执行环境内的多方安全计算能力,可以对秘密信息分片保护者提供的加密后的秘密信息分片进行计算,恢复秘密信息。通过分布式数字身份技术和可信执行环境技术,实现了秘密信息分片保护者和计算者之间的分离,提高了秘密信息的安全性。
本申请实施例提供一种秘密信息恢复的装置,如图3所示,该图为本申请实施例提供的一种秘密信息恢复的装置的结构示意图。其具体实现方式与上述方法的实施例中记载的实施方式、所达到的技术效果一致,部分内容不再赘述。
一种秘密信息恢复的装置,包括:
发送模块1101、上传模块1102以及恢复模块1103;
所述发送模块1101,用于根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,所述加密后的秘密信息分片是所述秘密信息分片保护者利用对应的计算者的公钥对秘密信息分片进行加密获得的,n为正整数;
所述上传模块1102,用于将所述n个秘密信息分片保护者各自对应的计算者接收到的n个加密后的秘密信息分片上传至可信执行环境;
所述恢复模块1103,用于在所述可信执行环境中,根据所述n个加密后的秘密信息分片,恢复秘密信息。
进一步地,所述恢复模块1103,包括:
解密单元和恢复单元;
所述解密单元,用于在所述可信执行环境中,利用与所述n个秘密信息分片保护者各自对应的计算者的公钥对应的私钥,对所述n个加密后的秘密信息分片进行解密,获得n个秘密信息分片;
所述恢复单元,用于根据所述n个秘密信息分片,通过多方安全计算恢复秘密信息。
进一步地,还包括:加密模块和秘密信息发送模块;
所述加密模块,用于调用智能合约,利用与用户的私钥对应的公钥对所述秘密信息进行加密,获得加密后的秘密信息;
所述秘密信息发送模块,用于向所述用户发送所述加密后的秘密信息。
进一步地,所述秘密信息分片保护者和所述计算者的确定步骤包括:
根据多个秘密信息管理参与方在区块链中创建的分布式数字身份信息,从所述多个秘密信息管理参与方中确定秘密信息分片保护者和计算者。
进一步地,所述分布式数字身份信息,包括:分布式数字身份标识符和身份标识描述文档,所述身份标识描述文档中包括与所述分布式数字身份标识符对应的公钥、身份验证协议和身份验证的服务端点。
进一步地,所述发送模块,包括:
校验单元和发送单元;
所述校验单元,用于根据秘密信息恢复请求调用智能合约,将秘密信息恢复请求中的用户的分布式数字身份标识符与区块链中保存的所述用户的分布式数字身份标识符进行校验;
所述发送单元,用于若校验通过,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者。
综上所述,本申请实施例中将计算者获得的加密后的秘密信息分片上传至可信执行环境,在可信执行环境中通过多方安全计算,恢复秘密信息。基于可信执行环境,提供加密后的秘密信息分片的秘密信息分片保护者不具有多方安全计算能力,而具有多方安全计算能力的计算者无法获得秘密信息分片,实现了秘密信息分片保护者与计算者的分离,提高了秘密信息分片的安全性。
本申请实施例还提供一种计算机设备,所述计算机设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行如上所述的一种秘密信息恢复的方法的步骤。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的一种秘密信息恢复的方法的步骤。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、设备及存储介质实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置、设备及存储介质实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元提示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种秘密信息恢复的方法,其特征在于,包括:
根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,所述加密后的秘密信息分片是所述秘密信息分片保护者利用对应的计算者的公钥对秘密信息分片进行加密获得的,n为正整数;
将所述n个秘密信息分片保护者各自对应的计算者接收到的n个加密后的秘密信息分片上传至可信执行环境;
在所述可信执行环境中,根据所述n个加密后的秘密信息分片,通过多方安全计算恢复秘密信息。
2.根据权利要求1所述的方法,其特征在于,所述在所述可信执行环境中,根据所述n个加密后的秘密信息分片,通过多方安全计算恢复秘密信息,包括:
在所述可信执行环境中,利用与所述n个秘密信息分片保护者各自对应的计算者的公钥对应的私钥,对所述n个加密后的秘密信息分片进行解密,获得n个秘密信息分片;
根据所述n个秘密信息分片,通过多方安全计算恢复秘密信息。
3.根据权利要求1所述的方法,其特征在于,所述在所述可信执行环境中,根据所述n个加密后的秘密信息分片,通过多方安全计算恢复秘密信息之后,还包括:
调用智能合约,利用与用户的私钥对应的公钥对所述秘密信息进行加密,获得加密后的秘密信息;
向所述用户发送所述加密后的秘密信息。
4.根据权利要求1所述的方法,其特征在于,所述秘密信息分片保护者和所述计算者的确定步骤包括:
根据多个秘密信息管理参与方在区块链中创建的分布式数字身份信息,从所述多个秘密信息管理参与方中确定秘密信息分片保护者和计算者。
5.根据权利要求4所述的方法,其特征在于,所述分布式数字身份信息,包括:分布式数字身份标识符和身份标识描述文档,所述身份标识描述文档中包括与所述分布式数字身份标识符对应的公钥、身份验证协议和身份验证的服务端点。
6.根据权利要求1所述的方法,其特征在于,所述根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,包括:
根据秘密信息恢复请求调用智能合约,将秘密信息恢复请求中的用户的分布式数字身份标识符与区块链中保存的所述用户的分布式数字身份标识符进行校验;
若校验通过,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者。
7.一种秘密信息恢复的装置,其特征在于,包括:
发送模块、上传模块以及恢复模块;
所述发送模块,用于根据秘密信息恢复请求调用智能合约,将n个秘密信息分片保护者各自保存的加密后的秘密信息分片,发送给所述n个秘密信息分片保护者各自对应的计算者,所述加密后的秘密信息分片是所述秘密信息分片保护者利用对应的计算者的公钥对秘密信息分片进行加密获得的,n为正整数;
所述上传模块,用于将所述n个秘密信息分片保护者各自对应的计算者接收到的n个加密后的秘密信息分片上传至可信执行环境;
所述恢复模块,用于在所述可信执行环境中,根据所述n个加密后的秘密信息分片,恢复秘密信息。
8.根据权利要求7所述的装置,其特征在于,所述恢复模块,包括:
解密单元和恢复单元;
所述解密单元,用于在所述可信执行环境中,利用与所述n个秘密信息分片保护者各自对应的计算者的公钥对应的私钥,对所述n个加密后的秘密信息分片进行解密,获得n个秘密信息分片;
所述恢复单元,用于根据所述n个秘密信息分片,通过多方安全计算恢复秘密信息。
9.一种计算机设备,其特征在于,所述计算机设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行如权利要求1-6任一项所述的一种秘密信息恢复的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-6任一项所述的一种秘密信息恢复的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211427185.5A CN115766003A (zh) | 2022-11-15 | 2022-11-15 | 一种秘密信息恢复的方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211427185.5A CN115766003A (zh) | 2022-11-15 | 2022-11-15 | 一种秘密信息恢复的方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115766003A true CN115766003A (zh) | 2023-03-07 |
Family
ID=85371359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211427185.5A Pending CN115766003A (zh) | 2022-11-15 | 2022-11-15 | 一种秘密信息恢复的方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115766003A (zh) |
-
2022
- 2022-11-15 CN CN202211427185.5A patent/CN115766003A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361668B (zh) | 一种数据可信传输方法 | |
| CN111079128B (zh) | 一种数据处理方法、装置、电子设备以及存储介质 | |
| JP6612322B2 (ja) | データ処理方法およびデータ処理装置 | |
| CN111448779B (zh) | 用于混合秘密共享的系统、设备和方法 | |
| CN102271037B (zh) | 基于在线密钥的密钥保护装置 | |
| WO2017097041A1 (zh) | 数据传输方法和装置 | |
| CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
| US20130028419A1 (en) | System and a method for use in a symmetric key cryptographic communications | |
| CN109361508B (zh) | 数据传输方法、电子设备及计算机可读存储介质 | |
| US10263782B2 (en) | Soft-token authentication system | |
| CN112087304B (zh) | 可信计算环境的异构融合方法、装置及相关设备 | |
| CN113726733B (zh) | 一种基于可信执行环境的加密智能合约隐私保护方法 | |
| CN112307488A (zh) | 一种认证凭据保护方法和系统 | |
| EP3866039A1 (en) | Method and system for protecting authentication credentials | |
| JP2018026631A (ja) | Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム | |
| CN114244508A (zh) | 数据加密方法、装置、设备及存储介质 | |
| CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN109302442B (zh) | 一种数据存储证明方法及相关设备 | |
| CN102118311B (zh) | 一种数据传输方法 | |
| CN110858246B (zh) | 安全代码空间的认证方法和系统、及其注册方法 | |
| CN115189928B (zh) | 一种密码服务虚拟机动态安全迁移方法及系统 | |
| Hammami et al. | Secured outsourcing towards a cloud computing environment based on DNA cryptography | |
| CN115809459A (zh) | 软件密码模块的数据保护及解密方法、系统、设备及介质 | |
| CN115549906A (zh) | 基于区块链的隐私计算方法、系统、设备和介质 | |
| CN114826702A (zh) | 数据库访问密码加密方法、装置和计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |