CN116938453B - 密钥管理方法、装置、设备及存储介质 - Google Patents
密钥管理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116938453B CN116938453B CN202311189946.2A CN202311189946A CN116938453B CN 116938453 B CN116938453 B CN 116938453B CN 202311189946 A CN202311189946 A CN 202311189946A CN 116938453 B CN116938453 B CN 116938453B
- Authority
- CN
- China
- Prior art keywords
- key
- fragments
- cold
- plaintext
- preset number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 22
- 239000012634 fragment Substances 0.000 claims abstract description 317
- 230000004044 response Effects 0.000 claims abstract description 25
- 238000000034 method Methods 0.000 claims abstract description 24
- 238000011084 recovery Methods 0.000 claims description 21
- 238000013467 fragmentation Methods 0.000 claims description 18
- 238000006062 fragmentation reaction Methods 0.000 claims description 18
- 230000001419 dependent effect Effects 0.000 claims description 14
- 230000011218 segmentation Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 238000013500 data storage Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 2
- 238000000638 solvent extraction Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 7
- 238000010276 construction Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 239000011521 glass Substances 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开是关于一种密钥管理方法、装置、设备及存储介质,该方法包括:响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量;基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。本公开可避免密钥冷分片存储的单点风险,且无需对冷备密钥分片进行加密,可以提升用户的体验。
Description
技术领域
本公开涉及信息安全技术领域,尤其涉及一种密钥管理方法、装置、设备及存储介质。
背景技术
门限签名(Threshold Signature Scheme ,TSS)是一种加密数字签名协议。在一组签名者中间,一部分签名者可以代替整个组对消息进行签名,这能极大的提升数字签名系统的安全性和隐私性。门限签名可以应用于加密钱包(即门限签名钱包)等领域。
相关技术中,门限签名钱包需利用冷备密钥分片(即,密钥冷分片)来恢复钱包的密钥。然而,冷备密钥分片通常需要经过加密后保存在第三方存储上,导致用户需要提供加密的密钥来对该冷备密钥分片进行加密,容易发生用户忘记密钥等情况,会为用户带来不便,并且由于将上述冷备密钥分片存在第三方存储上,因而会单点风险。
发明内容
为克服相关技术中存在的问题,本公开实施例提供一种密钥管理方法、装置、设备及存储介质,用以解决相关技术中的缺陷。
根据本公开实施例的第一方面,提供一种密钥管理方法,所述方法包括:
响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量;
基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。
在一些实施例中,所述基于所述第一预设数量的明文分片恢复出密钥冷分片,包括:
采用预设分片算法对所述第一预设数量的明文分片进行恢复,得到所述密钥冷分片。
在一些实施例中,所述采用预设分片算法对所述第一预设数量的明文分片进行恢复,得到所述密钥冷分片,包括:
基于所述第一预设数量的明文分片构建第一多项式;
基于所述第一多项式确定所述密钥冷分片。
在一些实施例中,所述基于所述第一预设数量的明文分片构建第一多项式,包括:
基于明文分片/>构建出/>次的所述第一多项式/>,其中,/>为第/>个数据保管方,/>为第/>个数据保管方所保管明文分片的秘密值,/>为所述第一预设数量,为第/>个数据保管方所保管明文分片的拉格朗日插值系数,/>为/>所组成的集合;
所述基于所述第一多项式确定所述密钥冷分片,包括:令所述多项式中的,得到所述密钥冷分片。
在一些实施例中,所述方法还包括基于以下方式向所述数据保管方分发所述密钥冷分片的明文分片:
响应于获取到用于冷备恢复密钥的密钥冷分片,将所述密钥冷分片划分成第二预设数量的明文分片;
将所述第二预设数量的明文分片分发给所述第二预设数量的数据保管方,所述明文分片与所述数据保管方之间一一对应,所述第二预设数量大于或等于所述第一预设数量。
在一些实施例中,所述方法还包括基于以下方式获取所述密钥冷分片:
响应于生成所述密钥,将所述密钥划分成第三预设数量的密钥分片,所述第三预设数量的密钥分片中包括所述密钥冷分片、第一密钥热分片和第二密钥热分片,所述第一密钥热分片用于供服务器保存,所述第二密钥热分片用于客户端保存。
在一些实施例中,所述将所述密钥冷分片划分成第二预设数量的明文分片,包括:
采用预设分片算法对所述密钥冷分片进行分片,得到所述第二预设数量的明文分片。
在一些实施例中,所述采用预设分片算法对所述密钥冷分片进行分片,得到所述第二预设数量的明文分片,包括:
确定预设的分片参数和/>,其中,/>为第二预设数量,用于表征对所述密钥冷分片进行分片的总数量;/>为所述第一预设数量,用于表征恢复所述密钥冷分片时所需明文分片的最少数量;
构建以下第二多项式:;
其中,为所述密钥的秘密值,/>为/>个随机数,/>为自变量,/>为因变量;
将个自变量/>分别带入所述第二多项式,得到/>个因变量;
将所述个自变量和相应的因变量分别进行组合,得到/>个明文分片。
根据本公开实施例的第二方面,提供一种密钥管理装置,所述装置包括:
分片获取模块,用于响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量;
分片恢复模块,用于基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。
在一些实施例中,所述分片恢复模块还用于采用预设分片算法对所述第一预设数量的明文分片进行恢复,得到所述密钥冷分片。
在一些实施例中,所述分片恢复模块,包括:
多项式构建单元,用于基于所述第一预设数量的明文分片构建第一多项式;
分片恢复单元,用于基于所述第一多项式确定所述密钥冷分片。
在一些实施例中,所述多项式构建单元还用于基于明文分片/>构建出/>次的所述第一多项式,其中,/>为第/>个数据保管方,/>为第/>个数据保管方所保管明文分片的秘密值,/>为所述第一预设数量,/>为第/>个数据保管方所保管明文分片的拉格朗日插值系数,/>为/>所组成的集合;
所述分片恢复单元还用于令所述多项式中的/>,得到所述密钥冷分片。
在一些实施例中,所述装置还包括分片分发模块;
所述分片分发模块,包括:
分片划分单元,用于响应于获取到用于冷备恢复密钥的密钥冷分片,将所述密钥冷分片划分成第二预设数量的明文分片;
分片分发单元,用于将所述第二预设数量的明文分片分发给所述第二预设数量的数据保管方,所述明文分片与所述数据保管方之间一一对应,所述第二预设数量大于或等于所述第一预设数量。
在一些实施例中,所述分片分发模块还包括:
密钥划分单元,用于响应于生成所述密钥,将所述密钥划分成第三预设数量的密钥分片,所述第三预设数量的密钥分片中包括所述密钥冷分片、第一密钥热分片和第二密钥热分片,所述第一密钥热分片用于供服务器保存,所述第二密钥热分片用于客户端保存。
在一些实施例中,所述分片划分单元还用于采用预设分片算法对所述密钥冷分片进行分片,得到所述第二预设数量的明文分片。
在一些实施例中,所述分片划分单元还用于:
确定预设的分片参数和/>,其中,/>为第二预设数量,用于表征对所述密钥冷分片进行分片的总数量;/>为所述第一预设数量,用于表征恢复所述密钥冷分片时所需明文分片的最少数量;
构建以下第二多项式:;
其中,为所述密钥的秘密值,/>为/>个随机数,/>为自变量,/>为因变量;
将个自变量/>分别带入所述第二多项式,得到/>个因变量;
将所述个自变量和相应的因变量分别进行组合,得到/>个明文分片。
根据本公开实施例的第三方面,提供一种电子设备,所述设备包括:
处理器以及用于存储计算机程序的存储器;
其中,所述处理器被配置为在执行所述计算机程序时,实现:
响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量;
基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。
根据本公开实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现:
响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量;
基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开通过响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量,并基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取,由于将密钥冷分片进行了分片处理,并分发至多个数据保管方进行保管,因而可以避免相关技术中将密钥冷分片完整存储于第三方存储所导致的单点风险,且避免了对冷备密钥分片进行加密,进而可以避免发生用户忘记密钥的问题,可以提升用户的体验。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是根据本公开一示例性实施例示出的一种密钥管理方法的流程图;
图2是根据本公开一示例性实施例示出的如何采用预设分片算法对所述第一预设数量的明文分片进行恢复的流程图;
图3A是根据本公开一示例性实施例示出的如何向所述数据保管方分发所述密钥冷分片的明文分片的流程图;
图3B是根据本公开一示例性实施例示出的对密钥进行分片的示意图;
图3C是根据本公开一示例性实施例示出的对密钥冷分片进行分片的示意图;
图4是根据本公开一示例性实施例示出的一种密钥管理装置的框图;
图5是根据本公开一示例性实施例示出的又一种密钥管理装置的框图;
图6是根据本公开一示例性实施例示出的一种电子设备的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本公开相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
图1是根据一示例性实施例示出的一种密钥管理方法的流程图;本实施例的方法可以由密钥管理装置来执行,该密钥管理装置可以配置在电子设备中,例如服务器、工作站、个人电脑、移动终端(如手机、平板电脑等)、可穿戴设备(如眼镜、手表等)等。具体地,如图1所示,该方法包括以下步骤S101-S103:
在步骤S101中,响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片。
本实施例中,电子设备可以响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片。
其中,上述密钥冷分片包括预先对所述密钥进行分片所得到的分片,即该密钥的一级分片。上述明文分片包括预先对所述密钥冷分片进行分片所得到的分片,即上述密钥的二级分片。
值得说明的是,上述对所述密钥进行分片以及对所述密钥冷分片进行分片的方式可以参见相关技术中的记载,本实施例对此不进行限定。在另一些实施例中,上述对所述密钥进行分片以及对所述密钥冷分片进行分片的方式还可以分别参见下述图3A所示实施例,在此先不进行详述。
上述第一预设数量可以为恢复所述密钥冷分片时所需明文分片的最少数量。
举例来说,当采用3-of-5门限分片方案时,上述第一预设数量可以为3;而当采用4-of-7门限分片方案时,上述第一预设数量可以为4,本实施例对此不进行限定。
在步骤S102中,基于所述第一预设数量的明文分片恢复出密钥冷分片。
本实施例中,当从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片后,可以基于所述第一预设数量的明文分片恢复出密钥冷分片。其中,上述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。
举例来说,当基于所述第一预设数量的明文分片恢复出密钥冷分片,例如采用预设分片算法对所述第一预设数量的明文分片进行恢复,得到所述密钥冷分片后,可以进一步基于该密钥冷分片冷备恢复所述密钥,进而实现后续针对恢复的密钥的读取。
值得说明的是,上述预设分片算法可以基于实际场景的需求从相关技术中进行选取,如选取为Shamir分片算法等,本实施例对此不进行限定。
在另一些实施例中,上述基于所述第一预设数量的明文分片恢复出密钥冷分片的方式还可以分别参见下述图2所示实施例,在此先不进行详述。
由上述描述可知,本实施例的方法通过响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量,并基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取,由于将密钥冷分片进行了分片处理,并分发至多个数据保管方进行保管,因而可以避免相关技术中将密钥冷分片完整存储于第三方存储所导致的单点风险,且避免了对冷备密钥分片进行加密,进而可以避免发生用户忘记密钥的问题,可以提升用户的体验。
图2是根据本公开一示例性实施例示出的如何采用预设分片算法对所述第一预设数量的明文分片进行恢复的流程图;本实施例在上述实施例的基础上以如何采用预设分片算法对所述第一预设数量的明文分片进行恢复为例进行示例性说明。
如图2所示,上述步骤S102中所述的采用预设分片算法对所述第一预设数量的明文分片进行恢复,可以包括以下步骤S201-S202:
在步骤S201中,基于所述第一预设数量的明文分片构建第一多项式;
在步骤S202中,基于所述第一多项式确定所述密钥冷分片。
本实施例中,当基于所述第一预设数量的明文分片构建第一多项式时,可以基于明文分片/>构建出如下式(2-1)所示的/>次的第一多项式:
;(2-1)
上式中:为第/>个数据保管方,/>为第/>个数据保管方所保管明文分片的秘密值,/>为所述第一预设数量(即,恢复所述密钥冷分片时所需明文分片的最少数量),/>为第/>个数据保管方所保管明文分片的拉格朗日插值系数,其表达式可以如下式(2-2)所示:
;(2-2)
其中,为/>所组成的集合。
在此基础上,当基于所述第一多项式确定所述密钥冷分片时,可以令所述多项式中的/>,得到所述密钥冷分片。
以3-of-5(即,)门限分片为例,可以由任意可用的3个数据保管方所提供的明文分片来恢复密钥冷分片的秘密值/>,即从3个数据保管方/>处拿出他们的部分秘密/>,以将3个明文分片/>、/>以及/>重建出下式(2-3)所示的第一多项式:
;(2-3)
然后,可以基于下式(2-4)至(2-6)计算拉格朗日插值系数:
;(2-4)
;(2-5)
;(2-6)
进而将上述计算出的拉格朗日插值系数代入,则恢复的秘密值/>可以如下式(2-7)所示:
;(2-7)
由上述描述可知,本实施例通过基于所述第一预设数量的明文分片构建第一多项式,并基于所述第一多项式确定所述密钥冷分片,可以实现基于所述第一预设数量的明文分片恢复出密钥冷分片,进而可以实现后续基于密钥冷分片冷备恢复所述密钥,以实现对所述密钥的读取,由于将密钥冷分片进行了分片处理,并分发至多个数据保管方进行保管,因而可以避免相关技术中将密钥冷分片完整存储于第三方存储所导致的单点风险,且避免了对冷备密钥分片进行加密,进而可以避免发生用户忘记密钥的问题,可以提升用户的体验。
图3A是根据本公开一示例性实施例示出的如何向所述数据保管方分发所述密钥冷分片的明文分片的流程图;本实施例在上述实施例的基础上以如何向所述数据保管方分发所述密钥冷分片的明文分片为例进行示例性说明。
如图3A所示,本实施例的密钥管理方法还可以包括基于以下步骤S301-S302向所述数据保管方分发所述密钥冷分片的明文分片:
在步骤S301中,响应于获取到用于冷备恢复密钥的密钥冷分片,将所述密钥冷分片划分成第二预设数量的明文分片。
本实施例中,当电子设备获取到用于冷备恢复密钥的密钥冷分片时,可以将所述密钥冷分片划分成第二预设数量的明文分片。
举例来说,图3B是根据本公开一示例性实施例示出的对密钥进行分片的示意图;如图3B所示,电子设备可以响应于生成所述密钥,将所述密钥划分成第三预设数量的密钥分片,该第三预设数量的密钥分片中包括所述密钥冷分片100、第一密钥热分片200和第二密钥热分片300,其中,密钥冷分片100可以用于冷备恢复上述密钥,第一密钥热分片200可以用于供服务器进行保存,第二密钥热分片300可以用于客户端(如,门限签名钱包的客户端等)进行保存。
在此基础上,当获取到上述密钥冷分片后,可以采用预设分片算法对所述密钥冷分片进行分片,得到所述第二预设数量的明文分片。
值得说明的是,上述预设分片算法可以基于实际场景的需求从相关技术中进行选取,如选取为Shamir分片算法等,本实施例对此不进行限定。
在步骤S302中,将所述第二预设数量的明文分片分发给所述第二预设数量的数据保管方。
本实施例中,当将所述密钥冷分片划分成第二预设数量的明文分片后,可以将所述第二预设数量的明文分片分发给所述第二预设数量的数据保管方。
其中,上述明文分片与所述数据保管方之间一一对应(即,每个明文分片可以被分配给一个不同的数据保管方),第二预设数量大于或等于所述第一预设数量。
例如,当采用3-of-5门限分片方案时,上述第一预设数量可以为3,则第二预设数量可以为5;而当采用4-of-7门限分片方案时,上述第一预设数量可以为4,则第二预设数量可以为7,本实施例对此不进行限定。
作为示例,上述数据保管方的设备类型可以包括以下至少一种:当前用户的冷备设备、第三方存储、区块链、所述当前用户的关联用户(如,当前用户的朋友、亲戚等)的设备。
其中,上述冷备设备可以包括手机、移动硬盘、平板电脑、U盘中的至少一种;
上述第三方存储可以包括以下至少一种个人云盘:Dropbox(Dropbox公司运行的在线存储服务)、GoogleDrive(谷歌开发的云存储服务)、iCloud(苹果公司提供的云存储服务);
上述区块链可以包括Arweave(永久存储范式的区块链)等。
举例来说,当采用预设分片算法对所述密钥冷分片进行分片,得到所述第二预设数量的明文分片时,可以先确定预设的分片参数和/>。
其中,为第二预设数量,用于表征对所述密钥冷分片进行分片的总数量;/>为所述第一预设数量,用于表征恢复所述密钥冷分片时所需明文分片的最少数量;
然后,可以构建如下式(3-1)所示的第二多项式:
;(3-1)
上式中,为所述密钥的秘密值,/>为/>个随机数,/>为自变量,/>为因变量。
在此基础上,可以将个自变量/>分别带入所述第二多项式,得到个因变量/>;
进而,可以将所述个自变量和相应的因变量分别进行组合,得到/>个明文分片。
举例来说,图3C是根据本公开一示例性实施例示出的对密钥冷分片进行分片的示意图。如图3C所示,本实施例中是采用3-of-5的门限分片方式,即,,其可以表示将密钥冷分片划分成5部分(即,图3C中的分片I至分片V),进而后续可以根据其中至少3部分分片来恢复密钥冷分片。
具体地,当进行门限分享时,可以随机选取2个数以构建下式(3-2):
;(3-2)
上式中,为所述密钥的秘密值。
然后,可以令中的/>,进而可以得到每个明文分片的秘密值,即,/>,/>,/>,/>。在此基础上,电子设备可以将/>,/>,/>,/>,/>分别分发给预设的5个数据保管方来明文保存。
由上述描述可知,本实施例通过响应于获取到用于冷备恢复密钥的密钥冷分片,将所述密钥冷分片划分成第二预设数量的明文分片,并将所述第二预设数量的明文分片分发给所述第二预设数量的数据保管方,可以实现向所述数据保管方分发所述密钥冷分片的明文分片,进而可以实现后续当响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,以及基于所述第一预设数量的明文分片恢复出密钥冷分片,可避免密钥冷分片存储的单点风险,且无需对冷备密钥分片进行加密,可以提升用户的体验。
图4是根据本公开一示例性实施例示出的一种密钥管理装置的框图;本实施例的装置可以配置在电子设备中,例如服务器、工作站、个人电脑、移动终端(如手机、平板电脑等)、可穿戴设备(如眼镜、手表等)等。具体地,如图4所示,该装置可以包括:分片获取模块110和分片恢复模块120,其中:
分片获取模块110,用于响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量;
分片恢复模块120,用于基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。
由上述描述可知,本实施例的装置通过响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量,并基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取,由于将密钥冷分片进行了分片处理,并分发至多个数据保管方进行保管,因而可以避免相关技术中将密钥冷分片完整存储于第三方存储所导致的单点风险,且避免了对冷备密钥分片进行加密,进而可以避免发生用户忘记密钥的问题,可以提升用户的体验。
图5是根据本公开一示例性实施例示出的又一种密钥管理装置的框图;本实施例的装置可以配置在电子设备中,例如服务器、工作站、个人电脑、移动终端(如手机、平板电脑等)、可穿戴设备(如眼镜、手表等)等。其中,分片获取模块210和分片恢复模块220与前述图4所示实施例中的分片获取模块110和分片恢复模块120的功能相同,在此不进行赘述。
本实施例中,分片恢复模块220还可以用于采用预设分片算法对所述第一预设数量的明文分片进行恢复,得到所述密钥冷分片。
在一些实施例中,分片恢复模块220,可以包括:
多项式构建单元221,用于基于所述第一预设数量的明文分片构建第一多项式;
分片恢复单元222,用于基于所述第一多项式确定所述密钥冷分片。
在一些实施例中,上述多项式构建单元221还可以用于基于明文分片/>构建出/>次的所述第一多项式/>,其中,/>为第/>个数据保管方,/>为第/>个数据保管方所保管明文分片的秘密值,/>为所述第一预设数量,/>为第/>个数据保管方所保管明文分片的拉格朗日插值系数,/>为/>所组成的集合;
所述分片恢复单元还用于令所述多项式中的/>,得到所述密钥冷分片。
在一些实施例中,上述装置还可以包括分片分发模块230;
进而,分片分发模块230,可以包括:
分片划分单元231,用于响应于获取到用于冷备恢复密钥的密钥冷分片,将所述密钥冷分片划分成第二预设数量的明文分片;
分片分发单元232,用于将所述第二预设数量的明文分片分发给所述第二预设数量的数据保管方,所述明文分片与所述数据保管方之间一一对应,所述第二预设数量大于或等于所述第一预设数量。
在一些实施例中,分片分发模块230还可以包括:
密钥划分单元233,用于响应于生成所述密钥,将所述密钥划分成第三预设数量的密钥分片,所述第三预设数量的密钥分片中包括所述密钥冷分片、第一密钥热分片和第二密钥热分片,所述第一密钥热分片用于供服务器保存,所述第二密钥热分片用于客户端保存。
在一些实施例中,分片划分单元231还可以用于采用预设分片算法对所述密钥冷分片进行分片,得到所述第二预设数量的明文分片。
在一些实施例中,分片划分单元231还可以用于:
确定预设的分片参数和/>,其中,/>为第二预设数量,用于表征对所述密钥冷分片进行分片的总数量;/>为所述第一预设数量,用于表征恢复所述密钥冷分片时所需明文分片的最少数量;
构建以下第二多项式:;
其中,为所述密钥的秘密值,/>为/>个随机数,/>为自变量,/>为因变量;
将个自变量/>分别带入所述第二多项式,得到/>个因变量;/>
将所述个自变量和相应的因变量分别进行组合,得到/>个明文分片。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图6是根据一示例性实施例示出的一种电子设备的框图。例如,设备900可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图6,设备900可以包括以下一个或多个组件:处理组件902,存储器904,电源组件906,多媒体组件908,音频组件910,输入/输出(I/O)的接口912,传感器组件914,以及通信组件916。
处理组件902通常控制设备900的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件902可以包括一个或多个处理器920来执行指令,以完成上述的密钥管理方法的全部或部分步骤。此外,处理组件902可以包括一个或多个模块,便于处理组件902和其他组件之间的交互。例如,处理组件902可以包括多媒体模块,以方便多媒体组件908和处理组件902之间的交互。
存储器904被配置为存储各种类型的数据以支持在设备900的操作。这些数据的示例包括用于在设备900上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器904可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件906为设备900的各种组件提供电力。电源组件906可以包括电源管理系统,一个或多个电源,及其他与为设备900生成、管理和分配电力相关联的组件。
多媒体组件908包括在所述设备900和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示面板和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件908包括一个前置摄像头和/或后置摄像头。当设备900处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件910被配置为输出和/或输入音频信号。例如,音频组件910包括一个麦克风(MIC),当设备900处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器904或经由通信组件916发送。在一些实施例中,音频组件910还包括一个扬声器,用于输出音频信号。
I/O接口912为处理组件902和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件914包括一个或多个传感器,用于为设备900提供各个方面的状态评估。例如,传感器组件914可以检测到设备900的打开/关闭状态,组件的相对定位,例如所述组件为设备900的显示面板和小键盘,传感器组件914还可以检测设备900或设备900一个组件的位置改变,用户与设备900接触的存在或不存在,设备900方位或加速/减速和设备900的温度变化。传感器组件914还可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件914还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件914还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件916被配置为便于设备900和其他设备之间有线或无线方式的通信。设备900可以接入基于通信标准的无线网络,如WiFi,2G或3G,4G或5G或它们的组合。在一个示例性实施例中,通信组件916经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件916还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,设备900可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子组件实现,用于执行上述的密钥管理方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器904,上述指令可由设备900的处理器920执行以完成上述的密钥管理方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (11)
1.一种密钥管理方法,其特征在于,所述方法包括:
响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量;
基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一预设数量的明文分片恢复出密钥冷分片,包括:
采用预设分片算法对所述第一预设数量的明文分片进行恢复,得到所述密钥冷分片。
3.根据权利要求2所述的方法,其特征在于,所述采用预设分片算法对所述第一预设数量的明文分片进行恢复,得到所述密钥冷分片,包括:
基于所述第一预设数量的明文分片构建第一多项式;
基于所述第一多项式确定所述密钥冷分片。
4.根据权利要求3所述的方法,其特征在于,所述基于所述第一预设数量的明文分片构建第一多项式,包括:
基于所述第一预设数量的明文分片构建出/>次的所述第一多项式/>,其中,/>为第/>个数据保管方,/>为第/>个数据保管方所保管明文分片的秘密值,/>为所述第一预设数量,/>为第/>个数据保管方所保管明文分片的拉格朗日插值系数,/>为/>所组成的集合;
所述基于所述第一多项式确定所述密钥冷分片,包括:令所述多项式中的/>,得到所述密钥冷分片。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括基于以下方式向所述数据保管方分发所述密钥冷分片的明文分片:
响应于获取到用于冷备恢复密钥的密钥冷分片,将所述密钥冷分片划分成第二预设数量的明文分片;
将所述第二预设数量的明文分片分发给所述第二预设数量的数据保管方,所述明文分片与所述数据保管方之间一一对应,所述第二预设数量大于或等于所述第一预设数量。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括基于以下方式获取所述密钥冷分片:
响应于生成所述密钥,将所述密钥划分成第三预设数量的密钥分片,所述第三预设数量的密钥分片中包括所述密钥冷分片、第一密钥热分片和第二密钥热分片,所述第一密钥热分片用于供服务器保存,所述第二密钥热分片用于客户端保存。
7.根据权利要求5所述的方法,其特征在于,所述将所述密钥冷分片划分成第二预设数量的明文分片,包括:
采用预设分片算法对所述密钥冷分片进行分片,得到所述第二预设数量的明文分片。
8.根据权利要求7所述的方法,其特征在于,所述采用预设分片算法对所述密钥冷分片进行分片,得到所述第二预设数量的明文分片,包括:
确定预设的分片参数和/>,其中,/>为第二预设数量,用于表征对所述密钥冷分片进行分片的总数量;/>为所述第一预设数量,用于表征恢复所述密钥冷分片时所需明文分片的最少数量;
构建以下第二多项式:;
其中,为所述密钥的秘密值,/>为/>个随机数,/>为自变量,为因变量;
将个自变量/>分别带入所述第二多项式,得到/>个因变量;
将所述个自变量和相应的因变量分别进行组合,得到/>个明文分片。
9.一种密钥管理装置,其特征在于,所述装置包括:
分片获取模块,用于响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量;
分片恢复模块,用于基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。
10.一种电子设备,其特征在于,所述设备包括:
处理器以及用于存储计算机程序的存储器;
其中,所述处理器被配置为在执行所述计算机程序时,实现:
响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量;
基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现:
响应于密钥读取请求,从多个数据保管方分别获取密钥冷分片的明文分片,得到第一预设数量的明文分片,所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片,所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片,所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量;
基于所述第一预设数量的明文分片恢复出密钥冷分片,所述密钥冷分片用于冷备恢复所述密钥,以实现对所述密钥的读取。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311189946.2A CN116938453B (zh) | 2023-09-14 | 2023-09-14 | 密钥管理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311189946.2A CN116938453B (zh) | 2023-09-14 | 2023-09-14 | 密钥管理方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116938453A CN116938453A (zh) | 2023-10-24 |
| CN116938453B true CN116938453B (zh) | 2023-12-12 |
Family
ID=88377508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311189946.2A Active CN116938453B (zh) | 2023-09-14 | 2023-09-14 | 密钥管理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116938453B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102387014A (zh) * | 2011-10-24 | 2012-03-21 | 北京工业大学 | 一种Mesh网络的密钥管理方法 |
| CN103414682A (zh) * | 2013-04-07 | 2013-11-27 | 深圳大学 | 一种数据的云端存储方法及系统 |
| KR20190017127A (ko) * | 2017-08-10 | 2019-02-20 | 네이버 주식회사 | 데이터베이스 샤딩 환경에서의 복제 로그 기반의 마이그레이션 |
| CN111342966A (zh) * | 2020-05-22 | 2020-06-26 | 支付宝(杭州)信息技术有限公司 | 一种数据的存储方法、数据的恢复方法、装置及设备 |
| CN115001681A (zh) * | 2022-06-29 | 2022-09-02 | 浙江大华技术股份有限公司 | 密钥恢复方法、装置、系统、存储介质及电子装置 |
| CN115242555A (zh) * | 2022-09-21 | 2022-10-25 | 北京邮电大学 | 一种可监管的跨链隐私数据共享方法及装置 |
| CN115549907A (zh) * | 2022-11-24 | 2022-12-30 | 北京智芯微电子科技有限公司 | 根密钥管理系统、备份方法、恢复方法、装置及电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11943350B2 (en) * | 2019-10-16 | 2024-03-26 | Coinbase, Inc. | Systems and methods for re-using cold storage keys |
-
2023
- 2023-09-14 CN CN202311189946.2A patent/CN116938453B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102387014A (zh) * | 2011-10-24 | 2012-03-21 | 北京工业大学 | 一种Mesh网络的密钥管理方法 |
| CN103414682A (zh) * | 2013-04-07 | 2013-11-27 | 深圳大学 | 一种数据的云端存储方法及系统 |
| KR20190017127A (ko) * | 2017-08-10 | 2019-02-20 | 네이버 주식회사 | 데이터베이스 샤딩 환경에서의 복제 로그 기반의 마이그레이션 |
| CN111342966A (zh) * | 2020-05-22 | 2020-06-26 | 支付宝(杭州)信息技术有限公司 | 一种数据的存储方法、数据的恢复方法、装置及设备 |
| CN115001681A (zh) * | 2022-06-29 | 2022-09-02 | 浙江大华技术股份有限公司 | 密钥恢复方法、装置、系统、存储介质及电子装置 |
| CN115242555A (zh) * | 2022-09-21 | 2022-10-25 | 北京邮电大学 | 一种可监管的跨链隐私数据共享方法及装置 |
| CN115549907A (zh) * | 2022-11-24 | 2022-12-30 | 北京智芯微电子科技有限公司 | 根密钥管理系统、备份方法、恢复方法、装置及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 高可靠性分片密钥分配与恢复;何明星 等;计算机工程与应用(第20期);第137-140页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116938453A (zh) | 2023-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3001640B1 (en) | Secure information exchange methods and wearable device | |
| US10019591B1 (en) | Low-latency media sharing | |
| CN111178538B (zh) | 垂直数据的联邦学习方法及装置 | |
| KR101768813B1 (ko) | 원격 상담 서비스 제공 시스템 및 시스템 보안방법 | |
| KR101639147B1 (ko) | 음성 서비스에서의 정보 송신 방법, 장치, 프로그램 및 기록매체 | |
| CN111475832B (zh) | 一种数据管理的方法以及相关装置 | |
| CN107147815B (zh) | 基于打车的通话处理方法和装置 | |
| CN109246110B (zh) | 数据共享方法、装置及计算机可读存储介质 | |
| CN111368232A (zh) | 口令分享回流方法、装置、电子设备及存储介质 | |
| CN109241423B (zh) | 信息推荐方法、装置、电子设备及存储介质 | |
| CN114969830B (zh) | 一种隐私求交方法、系统和可读存储介质 | |
| CN112632418A (zh) | 口令分享方法、装置、电子设备及存储介质 | |
| CN112861175A (zh) | 一种数据处理方法、装置和用于数据处理的装置 | |
| CN115333813A (zh) | 一种数据加密传输方法、装置、电子设备及存储介质 | |
| CN108053241B (zh) | 数据分析方法、装置及计算机可读存储介质 | |
| CN111917728A (zh) | 一种密码验证方法及装置 | |
| CN108664216B (zh) | 数据存储方法及装置 | |
| CN108155993B (zh) | Vsim卡的数据加密方法及装置 | |
| US9374559B1 (en) | Low-latency media sharing | |
| CN112163046A (zh) | 基于区块链的设备数据存储方法、装置及系统 | |
| CN116938453B (zh) | 密钥管理方法、装置、设备及存储介质 | |
| CN116401423A (zh) | 基于安全多方计算的中位数确定方法、装置、设备及介质 | |
| CN114666048A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN107302519B (zh) | 一种终端设备的身份认证方法、装置和终端设备、服务器 | |
| CN111414639B (zh) | 文件加密和解密方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |