CN116192368A - 数据处理方法、装置及相关设备 - Google Patents

数据处理方法、装置及相关设备 Download PDF

Info

Publication number
CN116192368A
CN116192368A CN202211580966.8A CN202211580966A CN116192368A CN 116192368 A CN116192368 A CN 116192368A CN 202211580966 A CN202211580966 A CN 202211580966A CN 116192368 A CN116192368 A CN 116192368A
Authority
CN
China
Prior art keywords
secure
processor
key
blockchain
secure channel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211580966.8A
Other languages
English (en)
Inventor
应志伟
姜新
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Haiguang Information Technology Co Ltd
Original Assignee
Haiguang Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Haiguang Information Technology Co Ltd filed Critical Haiguang Information Technology Co Ltd
Priority to CN202211580966.8A priority Critical patent/CN116192368A/zh
Publication of CN116192368A publication Critical patent/CN116192368A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例提供一种数据处理方法、装置及相关设备,通过将用户私钥存储于为安全处理器配置的安全存储设备中,该安全存储设备禁止处理器访问,从而基于在进行交易数据签名时,通过安全处理器执行对交易数据的签名,避免计算机系统访问或调取用户私钥,从而提高了用户私钥的安全性,避免由于用户私钥泄漏为用户造成损失。

Description

数据处理方法、装置及相关设备
技术领域
本发明实施例涉及虚拟机技术领域,具体涉及一种数据处理方法、装置及相关设备。
背景技术
区块链是由互联网上的计算机系统组成的分布式网络,这些计算机系统共同保存在区块链产生的交易账户和交易信息。在区块链中,区块链数据分散保存在整个网络中并受到保护,链上的每台计算机都可以作为一个节点,通过信息交换获取区块链中的信息,从而使得区块链中的数据无法通过网络进行篡改。有鉴于此,越来越多的用户选择利用区块链网络进行交易。
然而,在区块链网络中,仍可能由于计算机系统的安全性不足造成用户损失。
发明内容
有鉴于此,本发明实施例提供一种数据处理方法、装置及相关设备,以提高计算机系统的安全性。
为实现上述目的,本发明实施例提供如下技术方案:
一种数据处理方法,所述方法包括:
生成待签名数据;
发送安全通道建立请求,以建立与安全处理器间的安全通道;所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问;
在安全通道建立后,基于所述安全通道,发送所述待签名数据至安全处理器,以使所述安全处理器基于所述用户私钥对所述待签名数据签名;
获取安全通道传输的签名后的签名数据。
可选的,所述发送安全通道建立请求之后,所述基于所述安全通道,发送所述待签名数据至安全处理器之前,还包括:
基于所述安全通道,向安全处理器发送密钥生成请求,以使安全处理器生成用户密钥对,所述用户密钥对包括相匹配的用户公钥和用户私钥,其中,所述用户私钥用于存储至安全存储设备;
获取安全处理器基于所述安全通道传输的用户公钥。
可选的,所述发送安全通道建立请求,以建立与安全处理器间的安全通道,包括:
基于第一预设密钥签名所述安全通道建立请求;
将签名后的安全通道建立请求发送至安全处理器,其中,所述安全处理器中配置有第二预设密钥,所述第二预设密钥与所述第一预设密钥相匹配。
可选的,所述第一预设密钥为区块链私钥,所述第二预设密钥为区块链公钥,所述区块链私钥和所述区块链公钥基于区块链网络获取的区块链软件中的区块链证书获取;
所述基于第一预设密钥签名所述安全通道建立请求之前,还包括:
将所述区块链软件中的区块链证书导入至安全处理器,以使安全处理器基于所述区块链证书,获取所述区块链公钥;其中,所述区块链证书中至少包括所述区块链公钥。
可选的,所述将所述区块链软件中的区块链证书导入至安全处理器之前,还包括:
在安装区块链软件后,利用处理器的固设密钥签名所述区块链软件中的区块链证书。
可选的,所述获取安全处理器基于所述安全通道传输的用户公钥之后,还包括:
将所述用户公钥同步至区块链网络内的所有节点。
可选的,所述基于所述安全通道,发送所述待签名数据至安全处理器之前,还包括:
接收对应处理器端的安全通道密钥,其中,所述处理器端的安全通道密钥基于区块链公钥加密;
基于区块链私钥,解密得到对应处理器端的安全通道密钥。
可选的,所述待签名数据包括区块链的交易数据和对应交易数据的哈希值。
可选的,所述获取安全通道传输的签名后的签名数据之后,还包括:
将所述签名后的签名数据广播至区块链网络。
可选的,所述获取安全通道传输的签名后的签名数据之后,或者,所述获取基于所述安全通道传输的用户公钥之后,还包括:
发出通道销毁请求,以使安全处理器销毁所述安全通道。
本发明实施例还提供一种数据处理方法,应用于安全处理器,所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问,包括:
获取安全通道建立请求,所述安全通道建立请求用于建立与处理器间的安全通道;
基于所述安全通道建立请求,建立安全通道;
利用安全存储设备存储的所述用户私钥,对所述安全通道传输的待签名数据签名,得到签名后的签名数据;
基于所述安全通道,发送所述签名后的签名数据。
可选的,所述基于所述安全通道建立请求,建立安全通道之后,所述对所述安全通道传输的待签名数据签名之前,还包括:
基于所述安全通道传输的密钥生成请求,生成用户密钥对,所述用户密钥对包括相匹配的用户公钥和用户私钥,其中,所述用户私钥用于存储至安全存储设备;
基于所述安全通道,发送所述用户公钥至处理器。
可选的,所述获取安全通道建立请求,包括:
获取第一预设密钥签名的所述安全通道建立请求;
基于第二预设密钥验签所述安全通道建立请求,若验签通过,所述安全通道建立请求合法。
可选的,所述第一预设密钥为区块链私钥,所述第二预设密钥为区块链公钥,所述区块链私钥和所述区块链公钥基于区块链网络获取的区块链软件中的区块链证书获取;
所述获取第一预设密钥签名所述安全通道建立请求之前,还包括:
接收处理器导入的区块链软件中的区块链证书,所述区块链证书中至少包括所述区块链公钥;
基于所述区块链证书,获取所述区块链公钥。
可选的,所述基于所述区块链证书,获取所述区块链公钥,包括:
利用处理器的固设密钥验签所述区块链软件中的区块链证书。
可选的,所述基于所述安全通道建立请求,建立安全通道,包括:
基于所述安全通道建立请求,生成安全通道密钥;
将对应处理器端的安全通道密钥发送至处理器,其中所述处理器端的安全通道密钥基于区块链公钥加密。
可选的,所述基于所述安全通道,发送所述签名后的签名数据之后,或者,所述基于所述安全通道,发送所述用户公钥至处理器之后,还包括:
基于接收到的通道销毁请求,销毁安全通道。
本发明实施例还提供一种数据处理装置,包括:
签名数据生成模块,用于生成待签名数据;
请求发送模块,用于发送安全通道建立请求,以建立与安全处理器间的安全通道;所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问;
第一数据发送模块,用于在安全通道建立后,基于所述安全通道,发送所述待签名数据至安全处理器,以使所述安全处理器基于所述用户私钥对所述待签名数据签名;
第一数据获取模块,用于获取安全通道传输的签名后的签名数据。
本发明实施例还提供一种数据处理装置,应用于安全处理器,所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问,包括:
请求获取模块,用于获取安全通道建立请求,所述安全通道建立请求用于建立与处理器间的安全通道;
通道建立模块,用于基于所述安全通道建立请求,建立安全通道;
第二数据签名模块,用于利用安全存储设备存储的所述用户私钥,对所述安全通道传输的待签名数据签名,得到签名后的签名数据;
第二数据发送模块,用于基于所述安全通道,发送签名后的签名数据。
本发明实施例还提供一种处理器,所述处理器被配置为执行如本发明实施例的数据处理方法。
本发明实施例还提供一种安全处理器,所述安全处理器被配置为执行如本发明实施例的数据处理方法。
本发明实施例还提供一种计算机设备,包括如本发明实施例的处理器,和/或,如本发明实施例的安全处理器,所述处理器被配置为执行本发明实施例的数据处理方法,和/或,所述安全处理器被配置为执行如本发明实施例的数据处理方法
本发明实施例提供一种数据处理方法、装置及相关设备,所述方法包括:生成待签名数据;发送安全通道建立请求,以建立与安全处理器间的安全通道;所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问;在安全通道建立后,基于所述安全通道,发送所述待签名数据至安全处理器,以使所述安全处理器基于所述用户私钥对所述待签名数据签名;获取安全通道传输的签名后的签名数据。
可以看出,本发明实施例通过将用户私钥存储于为安全处理器配置的安全存储设备中,该安全存储设备禁止处理器访问,从而基于在进行交易数据签名时,通过安全处理器执行对交易数据的签名,避免计算机系统访问或调取用户私钥,从而提高了用户私钥的安全性,避免由于用户私钥泄漏为用户造成损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为区块链交易的可选示意图;
图2为一种计算机架构示意图;
图3为本发明实施例提供的一种计算机架构的可选示意图;
图4为本发明实施例的一种数据处理方法可选流程图;
图5为本发明实施例的步骤S220的可选流程图;
图6为本发明实施例的一种安全处理器配置区块链公钥的可选流程图;
图7为本发明实施例的一种步骤S230的可选流程图;
图8为本发明实施例的一种处理器解密处理器端的安全通道密钥的可选流程图;
图9为本发明实施例的数据处理方法的另一可选流程图;
图10为本发明实施例的数据处理装置的可选框图;
图11为本发明实施例的数据处理装置的另一可选框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如背景技术所述,在区块链网络中,仍可能由于计算机系统的安全性不足造成用户损失。下面,结合区块链的交易流程进行详细的说明。
具体的,参考图1示出的区块链交易的可选示意图,利用区块链进行交易的流程可以包括:
步骤S100:用户A参与某区块链时,运行于计算机系统的区块链软件产生对应用户A的账户信息,并生成用户A的公钥和私钥,同时把公钥信息(也称为用户公钥)同步至区块链全网;
步骤S110:在用户A需要进行交易时,运行于计算机系统的区块链软件发送交易请求以请求进行交易,并以用户A的私钥对交易信息n(可以包括货币值、合同、记录或其他信息)进行签名,同时,将签名后的交易广播至区块链网络的所有节点;
步骤S120:区块链网络的节点利用用户A的公钥验证并确认交易信息n;
步骤S130:区块链网络的节点将通过验证的交易信息n加入至区块链中,形成永久且不可篡改的一个区块,进而使得交易完成。
结合图2示出的一种计算机架构示意图,其中,所述计算机架构可以作为区块链网络的一个节点,以x86CPU为例的计算机可以由处理器、内存(例如DRAM)、计算机系统和区块链软件等构成。其中,区块链软件运行于计算机系统上,计算机系统运行于所述处理器上,区块链数据,密钥(用户公钥、用户私钥、其他密钥等)均会保存在本地的内存中。
然而,上述方案中,区块链的密钥也会保存在本地的内存中,若运行于本地的其他软件中包括恶意软件,则恶意软件可能利用计算机系统漏洞恶意访问并窃取相应的密钥信息,并恶意伪造交易数据,从而给用户造成损失。
发明人分析后认为,在上述方案中,用户的私钥(也称为用户私钥)作为提供交易信息签名的密钥信息,是用于验证用户信息的最重要的密钥,只有采用用户私钥签名的交易信息,才能被区块链网络利用用户的公钥(也称为用户公钥)验证并确认,进而认为,可以通过提高用户私钥的安全性,从而避免为用户造成损失。
在此思路下,本发明实施例提供一种数据处理方案,通过将用户私钥存储于为安全处理器配置的安全存储设备中,该安全存储设备禁止处理器访问,从而基于在进行交易数据签名时,通过安全处理器执行对交易数据的签名,避免计算机系统访问或调取用户私钥,从而提高了用户私钥的安全性,避免由于用户私钥泄漏为用户造成损失。
下面将对本发明实施例提供的数据处理方案进行详细介绍。
在可选实现中,图3示出了本发明实施例提供的可选的计算机架构示意图,如图3所示,该计算机在包括处理器、内存、计算机系统和区块链软件之外,还进一步包括安全固件、安全处理器和为所述安全处理器配置的安全存储设备,其中,安全固件可以理解为运行于所述安全处理器上的组件,安全处理器可以基于安全固件与运行于处理器上的计算机系统交互,从而实现数据的安全传输和处理。
安全处理器是与所述处理器相互独立的一数据处理设备,所述安全处理器内部的数据处理流程不受处理器控制,且配置于安全处理器的安全存储设备不允许处理器访问,从而能够在硬件上保证数据的独立性和安全性。在本发明实施例中,可以通过将用户密钥存储于安全存储设备,并基于安全处理器执行对用户私钥的访问,从而提高用户私钥的安全性。
其中,安全存储设备可以为安全处理器中的安全内存,也可以为安全处理器中固设的存储设备,本发明在此不做具体的限定。在具体的示例中,区块链软件中的数据可以划分为机密数据和非机密数据,其中的机密数据可以包括用户公钥、用户私钥和其他密钥等,非机密数据可以包括区块链数据,对应的,可以将机密数据存储于安全存储设备,非机密数据存储于内存中。
需要说明的是,区块链软件的任务,实际上是由处理器在计算机系统的控制下执行的,安全固件的任务,则是基于安全处理器执行的,对应的,区块链软件与安全固件的交互,可以理解为处理器与安全处理器的交互。
基于上述计算机架构,本发明实施例进一步提供了一种数据处理方法,参考图4示出本发明实施例的一种数据处理方法可选流程图,所述方法包括:
步骤S200:处理器生成待签名数据;
其中,所述待签名数据可以包括区块链的交易数据和对应交易数据的哈希值。具体的,所述交易数据可以包含用户发起的交易请求信息,交易对应的货币值、合同、记录等信息。其中,为区分区块链中的区块,用户端还进一步计算出对应交易数据的哈希值。对应的,区块链中的交易数据和对应交易数据的哈希值一并作为待签名数据进行签名。
步骤S210:处理器发送安全通道建立请求,以建立与安全处理器间的安全通道;
通过建立安全通道,以保证处理器与安全处理器间的数据交互安全。在本示例中,所述安全通道用于传输待签名数据,从而确保待签名数据的传输安全。
所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问;可以理解的是,通过将用户私钥存储于所述安全处理器配置的禁止处理器访问的安全存储设备中,可以避免处理器对用户私钥的访问,从而保证用户私钥的安全性。
在可选示例中,所述安全通道建立请求,可以为经过第一预设密钥签名的请求,具体的,处理器可以基于第一预设密钥签名所述安全通道建立请求,并进一步将签名后的安全通道建立请求发送至安全处理器。其中,所述第一预设密钥可以为区块链私钥,所述区块链私钥与区块链公钥相匹配,对应的,区块链私钥与区块链公钥可以基于区块链网络获取的区块链软件和区块链证书中获取,区块链证书中可以包括当前下载的区块链软件的公钥和度量摘要等信息,并由处理器的固设密钥签名,例如可以为处理器的芯片商密钥签名,从而使得区块链证书与当前下载的区块链软件一一对应。
在进一步的示例中,所述安全通道建立请求还可以进行基于完整性密钥进行完整性验证,相应的,处理器和安全处理器中可以预先配置完整性密钥,例如在区块链证书中配置完整性密钥,基于区块链证书的交互,实现完整性密钥的预先配置,并基于该完整性密钥实现对应的完整性验证。
在具体的示例中,在步骤S210之前,还可以将所述区块链软件中的区块链证书导入至安全处理器,以使安全处理器基于所述区块链证书,获取所述区块链公钥;其中,所述区块链证书中至少包括所述区块链公钥。同时,为保证区块链证书的安全性,所述区块链证书导入至安全处理器之前,还可以利用处理器的固设密钥签名所述区块链软件中的区块链证书,从而使得安全处理器可以基于处理器的固设密钥对所述区块链证书进行验签。
具体的,所述区块链证书可以在安装区块链软件后,由处理器导入安全处理器,并由安全处理器基于处理器的芯片商签名进行验签,在验签通过后,即认为区块链证书合法,从而存储所述区块链证书。
其中,在处理器发送安全通道建立请求,以建立与安全处理器间的安全通道后,相应的,安全处理器获取所述安全通道建立请求。
步骤S220:安全处理器获取安全通道建立请求;
在具体的示例中,在安全通道建立请求为经过第一预设密钥签名的请求时,安全处理器在获取安全通道建立请求后,还可以基于与第一预设密钥相匹配的第二预设密钥对所述安全通道建立请求进行验签,从而确定所述安全通道建立请求是否合法,进而在安全通道建立请求合法时,建立安全通道。其中,若验签通过,所述安全通道建立请求合法。
在具体的示例中,参考图5示出的步骤S220的可选流程图,步骤S220可以包括:
步骤S221:获取第一预设密钥签名的所述安全通道建立请求;
步骤S222:基于第二预设密钥验签所述安全通道建立请求,若验签通过,所述安全通道建立请求合法。
其中,在所述第一预设密钥可以为区块链私钥时,所述第二预设密钥为区块链公钥,在具体的示例中,安全处理器可以基于区块链证书确定对应的区块链公钥,从而基于所述区块链公钥对安全通道建立请求进行验签。
相应的,在步骤S220之前,还可以进一步将区块链公钥配置至安全处理器中,具体的,参考图6示出的一种安全处理器配置区块链公钥的可选流程,所述流程包括:
步骤S321:接收处理器导入的区块链软件中的区块链证书,所述区块链证书中至少包括所述区块链公钥;
步骤S322:基于所述区块链证书,获取所述区块链公钥。
通过获取对应的区块链公钥,从而以所述区块链公钥作为第二预设密钥对安全通道建立请求进行验签。
同时,为保证区块链证书的安全性,所述区块链证书导入至安全处理器之前,还利用处理器的固设密钥签名所述区块链软件中的区块链证书时,安全处理器还可以基于处理器的固设密钥对所述区块链证书进行验签。
具体的,所述区块链证书可以在安装区块链软件后,由处理器导入安全处理器,并由安全处理器基于处理器的芯片商签名进行验签,在验签通过后,即认为区块链证书合法,从而存储所述区块链证书。
接着,参考图4,执行步骤S230:安全处理器基于所述安全通道建立请求,建立安全通道;
其中,所述安全通道可以理解为用于进行数据传输而建立起的短暂的加密通道,在一个可选的示例中,建立安全通道可以通过生成通道密钥对实现。具体的,所述安全通道密钥例如可以包括通道加密密钥和完整性密钥,其中,通道加密密钥用于对待传输的待签名数据进行加密,其具体可以包括相匹配的处理器端密钥和安全处理器端密钥,其中,一端的密钥可以解密对端的密文,例如,安全处理器端密钥可以解密处理器端密钥加密的密文,处理器端密钥可以解密安全处理器端密钥加密的密文;完整性密钥用于对待传输数据进行完整性保护。所述安全处理器在生成对应的安全通道密钥后,可以将对应处理器端的安全通道密钥发送至处理器,以使得处理器基于对应处理器端的安全通道密钥进行数据的保护。
步骤S240:处理器基于所述安全通道,发送所述待签名数据至安全处理器;
其中,通过发送所述待签名数据至安全处理器,以使所述安全处理器基于所述用户私钥对所述待签名数据签名。
在安全通道密钥包括通道加密密钥和完整性密钥的示例中,处理器可以利用处理器端密钥对待签名数据进行加密,得到待签名数据的密文,并利用完整性密钥对待签名数据的密文进行完整性保护计算,得到对应的完整性验证码,并将密文和完整性验证码发送至安全处理器。
步骤S250:安全处理器利用安全存储设备存储的所述用户私钥,对所述安全通道传输的待签名数据签名,得到签名后的签名数据;
可以理解的是,安全处理器端存在对应安全通道密钥的匹配密钥,即完整性密钥和对应通道加密密钥的安全处理器端密钥,安全处理器在接收处理器传输的数据后,可以基于完整性密钥对密文进行完整性校验,验证完整性验证码成功后,利用对应通道加密密钥的安全处理器端密钥对待签名数据的密文进行解密,获取对应的待签名数据。
在得到对应的待签名数据后,可以利用安全存储设备存储的用户私钥,对待签名数据进行签名。
步骤S260:安全处理器基于所述安全通道,发送所述签名数据;
在对待签名数据签名后,可以进一步基于安全通道发送签名数据。
可以理解的是,基于安全通道进行数据的传输,具体可以为,基于安全通道密钥的匹配密钥对所述签名数据进行数据的安全性保护。例如,可以利用安全处理器端密钥对签名数据进行加密得到签名数据的密文,并利用完整性密钥计算对应密文的完整性校验码,相应的,发送所述签名数据的密文和完整性校验码。
步骤S270:处理器获取安全通道传输的签名后的签名数据;
可以理解的是,安全通道传输的数据为安全性保护后的数据,对应的,所获取到签名数据,为签名数据的密文和完整性校验码,相应的,处理器可以基于处理器端的完整性密钥验证签名数据的密文的完整性,并在完整性验证成功后,利用处理器端密钥对签名数据的密文进行解密,得到对应的签名数据。
在本发明实施例中处理器端在获取所述签名数据后,还可以进一步执行下述步骤:
步骤S280:处理器将所述签名后的签名数据广播至区块链网络;
通过将签名数据广播至区块链网络,可以使得区块链网络的全网节点获取到对应的签名数据,并进一步在利用用户公开的用户公钥验证和确认对应的签名数据,并在确认通过后,将签名数据对应的交易数据以及对应交易数据的哈希值加入至区块链中,形成永久且不可篡改的区块数据。
在一个可选的示例中,在步骤S270之后,步骤S280之前,处理器还可以发出通道销毁请求,以通知安全处理器销毁对应安全通道,以使得安全处理器销毁安全通道,例如删除与安全通道相关的信息,从而避免处理器中运行的其他软件利用相应的安全通道,保证安全处理器的数据安全。
在一个具体的示例中,在安全通道为通过生成通道密钥对实现时,所述安全通道密钥例如可以包括通道加密密钥和完整性密钥,安全处理器在接收通道销毁请求后,可以销毁所述通道密钥。其中,所述通道销毁请求,可以基于所述安全通道传输。
可以理解的是,处理器和安全处理器之间,可以在需要交互的场景下建立安全通道,并在交互完成后即销毁安全通道。
在具体的示例中,参考图7示出的步骤S230的可选流程,所述步骤S230,安全处理器基于所述安全通道建立请求,建立安全通道的具体流程可以包括:
步骤S231:安全处理器基于所述安全通道建立请求,生成安全通道密钥;
在具体的示例中,所述安全通道建立请求可以采用区块链私钥签名,进而,安全处理器可以基于区块链公钥进行验签,从而保证安全通道建立请求的合法性,并在安全通道建立请求合法时生成安全通道密钥。
所生成的安全通道密钥,可以包括一个,也可以包括多个,其中,基于数据传输数据的保密性,可以生成用于加解密的密钥对,基于传输数据的完整性,可以生成完整性密钥。在本发明实施例中,所生成的通道密包括通道加密密钥TEK和完整性密钥TIK,其中,通道加密密钥TEK用于对待传输的待签名数据进行加密,其具体可以包括相匹配的处理器端密钥和安全处理器端密钥;完整性密钥TIK用于对待传输数据进行完整性保护。
步骤S232:安全处理器将对应处理器端的安全通道密钥发送至处理器;
其中,为保证处理器端的安全通道密钥的安全性,安全处理器可以在对处理器端的安全通道密钥加密后发出。可以理解的是,本示例中,所述处理器端的安全通道密钥包括通道加密密钥TEK中的处理器端密钥和完整性密钥TIK。
具体的,处理器端的安全通道密钥可以基于区块链公钥进行加密,从而使得处理器可以基于区块链私钥对处理器端的安全通道密钥进行解密,进而基于处理器端的安全通道密钥进行数据的加密传输。
可以理解的是,在本发明步骤S240前,处理器还接收对应处理器端的安全通道密钥,其中,在对应处理器端的安全通道密钥为加密后的密文,并解密得到对应处理器端的安全通道密钥。其中,安全处理器采用区块链公钥进行安全通道密钥的加密时,处理器可以基于区块链私钥对处理器端的安全通道密钥进行解密。
具体的,步骤S240之前,参考图8示出的处理器解密处理器端的安全通道密钥的可选
流程,所述流程包括:
步骤S331:接收对应处理器端的安全通道密钥,其中,所述处理器端的安全通道密钥基于区块链公钥加密;
步骤S331:基于区块链私钥,解密得到对应处理器端的安全通道密钥。
可以看出,上述安全通道的建立流程,也是在相应的区块链密钥的保护下执行的,从而能够保证安全通道的安全。
在进一步的示例中,为保证用户私钥在全流程中的安全,本发明实施例中进一步配置安全处理器生成对应用户的密钥对,即,由安全处理器生成用户公钥和用户私钥,从而直接在处理器内保存用户私钥至安全存储设备,进而避免用户私钥被窥视。
具体的,可以首先执行步骤S210~步骤S230建立安全通道,在步骤S230之后,步骤S240之前,参考图9示出的数据处理方法的另一可选流程图,所述方法还可以进一步包括:
步骤S300:处理器基于所述安全通道,向安全处理器发送密钥生成请求。
可以理解的是,基于所述安全通道发送密钥生成请求,即基于安全通道密钥进行密钥生成请求的加密和完整性保护,具体可以为,利用处理器端密钥对密钥生成请求加密形成密文,得到密钥生成请求的密文,并利用完整性密钥对密钥生成请求的密文进行完整性保护计算,得到对应的完整性验证码,并将密文和完整性验证码发送至安全处理器。
步骤S310:安全处理器基于所述安全通道传输的密钥生成请求,生成用户密钥对,所述用户密钥对包括相匹配的用户公钥和用户私钥,其中,所述用户私钥用于存储至安全存储设备。
其中,在本步骤中,安全处理器可以首先获取安全通道传输的密钥生成请求的密文和完整性验证码,并对密钥生成请求的密文进行完整性校验,验证完整性验证码成功后,利用对应通道加密密钥的安全处理器端密钥对密钥生成请求的密文进行解密,得到对应的密钥生成请求。
在确定对应的密钥生成请求后,基于所述密钥生成请求,可以生成对应的用户密钥对,其中,用户公钥可以通过安全通道发送至处理器,用户私钥则存储至对应的安全存储设备。
步骤S320:安全处理器基于所述安全通道,发送所述用户公钥至处理器。
在生成用户密钥对后,可以基于所述安全通道,将所述用户公钥发送至处理器,可以理解的是,基于所述安全通道发送用户公钥,即基于安全通道密钥进行用户公钥的加密和完整性保护,具体可以为,利用安全处理器端密钥对用户公钥加密形成密文,得到用户公钥的密文,并利用完整性密钥对用户公钥的密文进行完整性保护计算,得到对应的完整性验证码,并将密文和完整性验证码发送至处理器。
步骤S330:处理器获取基于所述安全通道传输的用户公钥。
其中,在本步骤中,处理器可以首先获取安全通道传输的用户公钥的密文和完整性验证码,并对用户公钥的密文进行完整性校验,验证完整性验证码成功后,利用对应通道加密密钥的处理器端密钥对用户公钥的密文进行解密,得到对应的用户公钥。
步骤S340:处理器将所述用户公钥广播至区块链网络;
通过将所述用户公钥广播至区块链网络,以向区块链网络内的所有节点同步所述用户公钥,从而使得区块链网络内的节点内部基于所述用户公钥,对用户私钥签名的数据进行确认。
另外,需要说明的是,基于用户的交易需求时间不确定,处理器生成交易数据并进行交易数据的签名流程并不一定在生成用户密钥对后即执行,为避免安全通道被攻击,本发明实施例可以在步骤S330处理器获取对应的安全公钥后,步骤S340前,处理器还可以发出通道销毁请求,以使得安全处理器销毁安全通道,例如删除与安全通道相关的信息,从而避免处理器中运行的其他软件利用相应的安全通道,保证安全处理器的数据安全。
在具体的示例中,在安全通道为通过生成通道密钥对实现时,所述安全通道密钥例如可以包括通道加密密钥和完整性密钥,安全处理器在接收通道销毁请求后,可以销毁所述通道密钥。
可以理解的是,在用户具有交易需求或其他需要安全通道传输数据时,若安全通道已销毁,可以再次执行步骤S210~步骤S230生成安全通道。
需要说明的是,上述流程基于硬件执行端进行的说明,在软件层面,可以表现为在进行交易数据签名时,通过调用安全处理器中的安全固件,由安全固件执行交易数据的签名,避免计算机系统访问或调取用户私钥。
上文描述了本发明实施例提供的多个实施例方案,各实施例方案介绍的各可选方式可在不冲突的情况下相互结合、交叉引用,从而延伸出多种可能的实施例方案,这些均可认为是本发明实施例披露、公开的实施例方案。
下面从处理器的角度,对本发明实施例提供的数据处理装置进行介绍,下文描述的数据处理装置可以认为是,处理器为实现本发明实施例提供的数据处理方法,所需设置的功能模块;下文描述的数据处理装置的内容,可与上文描述的方法内容相互对应参照。
在可选实现中,图10示出了本发明实施例提供的数据处理装置的可选框图,该数据处理装置可应用于处理器,如图10所示,该数据处理装置可以包括:
签名数据生成模块100,用于生成待签名数据;
请求发送模块110,用于发送安全通道建立请求,以建立与安全处理器间的安全通道;所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问;
第一数据发送模块120,用于在安全通道建立后,基于所述安全通道,发送所述待签名数据至安全处理器,以使所述安全处理器基于所述用户私钥对所述待签名数据签名;
第一数据获取模块130,用于获取安全通道传输的签名后的签名数据。
可选的,所述请求发送模块110还用于:
基于所述安全通道,向安全处理器发送密钥生成请求,以使安全处理器生成用户密钥对,所述用户密钥对包括相匹配的用户公钥和用户私钥,其中,所述用户私钥用于存储至安全存储设备;
所述第一数据获取模块130,还用于获取安全处理器基于所述安全通道传输的用户公钥。
可选的,所述请求发送模块110,用于发送安全通道建立请求,以建立与安全处理器间的安全通道,包括:
基于第一预设密钥签名所述安全通道建立请求;
将签名后的安全通道建立请求发送至安全处理器,其中,所述安全处理器中配置有第二预设密钥,所述第二预设密钥与所述第一预设密钥相匹配。
可选的,所述第一预设密钥为区块链私钥,所述第二预设密钥为区块链公钥,所述区块链私钥和所述区块链公钥基于区块链网络获取的区块链软件中的区块链证书获取;
所述数据处理装置还包括:
数据导入模块140,用于将所述区块链软件中的区块链证书导入至安全处理器,以使安全处理器基于所述区块链证书,获取所述区块链公钥;其中,所述区块链证书中至少包括所述区块链公钥。
可选的,数据处理装置还包括:第一数据签名模块150,用于在安装区块链软件后,利用处理器的固设密钥签名所述区块链软件中的区块链证书。
可选的,数据处理装置还包括:数据同步模块160,用于将所述用户公钥同步至区块链网络内的所有节点。
可选的,所述第一数据获取模块,还用于接收对应处理器端的安全通道密钥,其中,所述处理器端的安全通道密钥基于区块链公钥加密;基于区块链私钥,解密得到对应处理器端的安全通道密钥。
可选的,所述待签名数据包括区块链的交易数据和对应交易数据的哈希值。
可选的,数据同步模块160,还用于将所述签名后的签名数据广播至区块链网络。
可选的,所述请求发送模块110,还用于,发出通道销毁请求,以使安全处理器销毁所述安全通道。
下面从安全处理器的角度,对本发明实施例提供的数据处理装置进行介绍,下文描述的数据处理装置可以认为是,安全处理器为实现本发明实施例提供的数据处理方法,所需设置的功能模块;下文描述的数据处理装置的内容,可与上文描述的方法内容相互对应参照。
在可选实现中,图11示出了本发明实施例提供的数据处理装置的另一可选框图,该数据处理装置可应用于安全处理器,所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问,如图11所示,该数据处理装置可以包括:
请求获取模块200,用于获取安全通道建立请求,所述安全通道建立请求用于建立与处理器间的安全通道;
通道建立模块210,用于基于所述安全通道建立请求,建立安全通道;
第二数据签名模块220,用于利用安全存储设备存储的所述用户私钥,对所述安全通道传输的待签名数据签名,得到签名后的签名数据;
第二数据发送模块230,用于基于所述安全通道,发送所述签名后的签名数据。
可选的,所述数据处理装置,还包括:
密钥生成模块240,用于基于所述安全通道传输的密钥生成请求,生成用户密钥对,所述用户密钥对包括相匹配的用户公钥和用户私钥,其中,所述用户私钥用于存储至安全存储设备;
第二数据发送模块230,还用于基于所述安全通道,发送所述用户公钥至处理器。
可选的,所述请求获取模块200,用于获取安全通道建立请求,包括:
获取第一预设密钥签名的所述安全通道建立请求;
基于第二预设密钥验签所述安全通道建立请求,若验签通过,所述安全通道建立请求合法。
可选的,所述第一预设密钥为区块链私钥,所述第二预设密钥为区块链公钥,所述区块链私钥和所述区块链公钥基于区块链网络获取的区块链软件中的区块链证书获取;
所述数据处理装置,还包括:
第二数据获取模块250,用于接收处理器导入的区块链软件中的区块链证书,所述区块链证书中至少包括所述区块链公钥;基于所述区块链证书,获取所述区块链公钥。
可选的,所述第二数据获取模块250,用于基于所述区块链证书,获取所述区块链公钥,包括:
利用处理器的固设密钥验签所述区块链软件中的区块链证书。
可选的,所述通道建立模块210,用于基于所述安全通道建立请求,建立安全通道,包括:
基于所述安全通道建立请求,生成安全通道密钥;
将对应处理器端的安全通道密钥发送至处理器,其中所述处理器端的安全通道密钥基于区块链公钥加密。
可选的,所述通道建立模块210,还用于,基于接收到的通道销毁请求,销毁安全通道。
本发明实施例还提供一种处理器,该处理器可被配置为执行本发明实施例提供的处理器角度的数据处理方法,具体内容可参照上文相应部分的描述,此处不再进一步展开介绍。
本发明实施例还提供一种安全处理器,该安全处理器可被配置为执行本发明实施例提供的安全处理器角度的数据处理方法,具体内容可参照上文相应部分的描述,此处不再进一步展开介绍。
本发明实施例还提供一种计算机设备,该计算机设备例如云主机,该电子设备可以包括上述所述的处理器,和\或,安全处理器,该处理器可被配置为执行本发明实施例提供的处理器角度的数据处理方法,和/或,本发明实施例提供的安全处理器角度的数据传输方法,该计算机设备的可选结构可如图3所示,此处不再进一步展开介绍。
虽然本发明实施例披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。

Claims (22)

1.一种数据处理方法,其特征在于,包括:
生成待签名数据;
发送安全通道建立请求,以建立与安全处理器间的安全通道;所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问;
在安全通道建立后,基于所述安全通道,发送所述待签名数据至安全处理器,以使所述安全处理器基于所述用户私钥对所述待签名数据签名;
获取安全通道传输的签名后的签名数据。
2.根据权利要求1所述的数据处理方法,其特征在于,所述基于所述安全通道,发送所述待签名数据至安全处理器之前,还包括:
基于所述安全通道,向安全处理器发送密钥生成请求,以使安全处理器生成用户密钥对,所述用户密钥对包括相匹配的用户公钥和用户私钥,其中,所述用户私钥用于存储至安全存储设备;
获取安全处理器基于所述安全通道传输的用户公钥。
3.根据权利要求1所述的数据处理方法,其特征在于,所述发送安全通道建立请求,以建立与安全处理器间的安全通道,包括:
基于第一预设密钥签名所述安全通道建立请求;
将签名后的安全通道建立请求发送至安全处理器,其中,所述安全处理器中配置有第二预设密钥,所述第二预设密钥与所述第一预设密钥相匹配。
4.根据权利要求3所述的数据处理方法,其特征在于,所述第一预设密钥为区块链私钥,所述第二预设密钥为区块链公钥,所述区块链私钥和所述区块链公钥基于区块链网络获取的区块链软件中的区块链证书获取;
所述基于第一预设密钥签名所述安全通道建立请求之前,还包括:
将所述区块链软件中的区块链证书导入至安全处理器,以使安全处理器基于所述区块链证书,获取所述区块链公钥;其中,所述区块链证书中至少包括所述区块链公钥。
5.根据权利要求4所述的数据处理方法,其特征在于,所述将所述区块链软件中的区块
链证书导入至安全处理器之前,还包括:
在安装区块链软件后,利用处理器的固设密钥签名所述区块链软件中的区块链证书。
6.根据权利要求2所述的数据处理方法,其特征在于,所述获取安全处理器基于所述安全通道传输的用户公钥之后,还包括:
将所述用户公钥同步至区块链网络内的所有节点。
7.根据权利要求3所述的数据处理方法,其特征在于,所述基于所述安全通道,发送所述待签名数据至安全处理器之前,还包括:
接收对应处理器端的安全通道密钥,其中,所述处理器端的安全通道密钥基于区块链公钥加密;
基于区块链私钥,解密得到对应处理器端的安全通道密钥。
8.根据权利要求1所述的数据处理方法,其特征在于,所述待签名数据包括区块链的交易数据和对应交易数据的哈希值。
9.根据权利要求1所述的数据处理方法,其特征在于,所述获取安全通道传输的签名后的签名数据之后,还包括:
将所述签名后的签名数据广播至区块链网络。
10.根据权利要求2所述的数据处理方法,其特征在于,所述获取安全通道传输的签名后的签名数据之后,或者,所述获取基于所述安全通道传输的用户公钥之后,还包括:
发出通道销毁请求,以使安全处理器销毁所述安全通道。
11.一种数据处理方法,其特征在于,应用于安全处理器,所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问,包括:
获取安全通道建立请求,所述安全通道建立请求用于建立与处理器间的安全通道;
基于所述安全通道建立请求,建立安全通道;
利用安全存储设备存储的所述用户私钥,对所述安全通道传输的待签名数据签名,得到签名后的签名数据;
基于所述安全通道,发送所述签名后的签名数据。
12.根据权利要求11所述的数据处理方法,其特征在于,所述基于所述安全通道建立请求,建立安全通道之后,所述对所述安全通道传输的待签名数据签名之前,还包括:
基于所述安全通道传输的密钥生成请求,生成用户密钥对,所述用户密钥对包括相匹配的用户公钥和用户私钥,其中,所述用户私钥用于存储至安全存储设备;
基于所述安全通道,发送所述用户公钥至处理器。
13.根据权利要求11所述的数据处理方法,其特征在于,所述获取安全通道建立请求,包括:
获取第一预设密钥签名的所述安全通道建立请求;
基于第二预设密钥验签所述安全通道建立请求,若验签通过,所述安全通道建立请求合法。
14.根据权利要求13所述的数据处理方法,其特征在于,所述第一预设密钥为区块链私钥,所述第二预设密钥为区块链公钥,所述区块链私钥和所述区块链公钥基于区块链网络获取的区块链软件中的区块链证书获取;
所述获取第一预设密钥签名的所述安全通道建立请求之前,还包括:
接收处理器导入的区块链软件中的区块链证书,所述区块链证书中至少包括所述区块链公钥;
基于所述区块链证书,获取所述区块链公钥。
15.根据权利要求14所述的数据处理方法,其特征在于,所述基于所述区块链证书,获取所述区块链公钥,包括:
利用处理器的固设密钥验签所述区块链软件中的区块链证书。
16.根据权利要求11所述的数据处理方法,其特征在于,所述基于所述安全通道建立请求,建立安全通道,包括:
基于所述安全通道建立请求,生成安全通道密钥;
将对应处理器端的安全通道密钥发送至处理器,其中所述处理器端的安全通道密钥基于区块链公钥加密。
17.根据权利要求12所述的数据处理方法,其特征在于,所述基于所述安全通道,发送所述签名后的签名数据之后,或者,所述基于所述安全通道,发送所述用户公钥至处理器之后,还包括:
基于接收到的通道销毁请求,销毁安全通道。
18.一种数据处理装置,其特征在于,包括:
签名数据生成模块,用于生成待签名数据;
请求发送模块,用于发送安全通道建立请求,以建立与安全处理器间的安全通道;所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问;
第一数据发送模块,用于在安全通道建立后,基于所述安全通道,发送所述待签名数据至安全处理器,以使所述安全处理器基于所述用户私钥对所述待签名数据签名;
第一数据获取模块,用于获取安全通道传输的签名后的签名数据。
19.一种数据处理装置,其特征在于,应用于安全处理器,所述安全处理器用于存储用户私钥至所述安全处理器配置的安全存储设备,所述安全存储设备禁止处理器访问,包括:
请求获取模块,用于获取安全通道建立请求,所述安全通道建立请求用于建立与处理器间的安全通道;
通道建立模块,用于基于所述安全通道建立请求,建立安全通道;
第二数据签名模块,用于利用安全存储设备存储的所述用户私钥,对所述安全通道传输的待签名数据签名,得到签名后的签名数据;
第二数据发送模块,用于基于所述安全通道,发送所述签名后的签名数据。
20.一种处理器,其特征在于,所述处理器被配置为执行如权利要求1-10任一项所述的数据处理方法。
21.一种安全处理器,其特征在于,所述安全处理器被配置为执行如权利要求11-17任一项所述的数据处理方法。
22.一种计算机设备,其特征在于,包括如权利要求20所述的处理器,和/或,如权利要求21所述的安全处理器,所述处理器被配置为执行权利要求1-10任一项所述的数据处理方法,和/或,所述安全处理器被配置为执行如权利要求11-17任一项所述的数据处理方法。
CN202211580966.8A 2022-12-09 2022-12-09 数据处理方法、装置及相关设备 Pending CN116192368A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211580966.8A CN116192368A (zh) 2022-12-09 2022-12-09 数据处理方法、装置及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211580966.8A CN116192368A (zh) 2022-12-09 2022-12-09 数据处理方法、装置及相关设备

Publications (1)

Publication Number Publication Date
CN116192368A true CN116192368A (zh) 2023-05-30

Family

ID=86449740

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211580966.8A Pending CN116192368A (zh) 2022-12-09 2022-12-09 数据处理方法、装置及相关设备

Country Status (1)

Country Link
CN (1) CN116192368A (zh)

Similar Documents

Publication Publication Date Title
US11323276B2 (en) Mutual authentication of confidential communication
EP3642997B1 (en) Secure communications providing forward secrecy
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
CN109728909B (zh) 基于USBKey的身份认证方法和系统
JP4617763B2 (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
CN101212293B (zh) 一种身份认证方法及系统
CN111030814B (zh) 秘钥协商方法及装置
JP2011521548A (ja) トークンとベリファイアとの間の認証のためのネットワーク・ヘルパー
CN110690956B (zh) 双向认证方法及系统、服务器和终端
CN112351037B (zh) 用于安全通信的信息处理方法及装置
CN113806772A (zh) 基于区块链的信息加密传输方法及装置
CN115499250A (zh) 一种数据加密方法及装置
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
US20240106633A1 (en) Account opening methods, systems, and apparatuses
CN114513345A (zh) 信息传输系统以及使用者装置与信息安全硬件模块
CN113612852A (zh) 一种基于车载终端的通信方法、装置、设备及存储介质
CN114760046A (zh) 一种身份鉴别方法和装置
EP1793526A1 (en) Data communication method
JP4255046B2 (ja) 暗号通信路の確立方法、プログラム及びプログラム媒体、並びに、暗号通信システム
CN115801287A (zh) 签名认证方法和装置
CN112769759B (zh) 信息处理方法、信息网关、服务器及介质
JP2006129143A (ja) 秘密情報送受信システム及び方法、サーバー装置及びプログラム、並びに鍵情報保持装置
KR101256114B1 (ko) 다수의 mac검증서버에 의한 메시지인증코드 검증 방법 및 시스템
CN116192368A (zh) 数据处理方法、装置及相关设备
JP2004274134A (ja) 通信方法並びにこの通信方法を用いた通信システム、サーバおよびクライアント

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination