WO2021013245A1

WO2021013245A1 - 一种数据密钥保护方法、系统及电子设备和存储介质

Info

Publication number: WO2021013245A1
Application number: PCT/CN2020/104463
Authority: WO
Inventors: 王鹏; 罗影; 李先强; 竹贝芬; 曾伟; 周海涛
Original assignee: 江苏芯盛智能科技有限公司
Priority date: 2019-07-25
Filing date: 2020-07-24
Publication date: 2021-01-28
Also published as: CN110378139B; CN110378139A

Abstract

本申请公开了一种数据密钥保护方法、系统及一种电子设备和计算机可读存储介质，该方法包括：获取原始口令，将所述原始口令作为预设规则的输入值执行所述预设规则，并将所述预设规则的输出值作为加密密钥；利用所述加密密钥对数据密钥采用第一加密算法进行加密，得到所述数据密钥对应的密文和第一消息认证码；其中，所述第一加密算法包括SM4-AE算法；其中，所述预设规则包括：利用目标算法计算输入值对应的杂凑值，并根据所述杂凑值确定输出值。本申请提供的数据密钥保护方法，提高了数据密钥保护的安全性。

Description

一种数据密钥保护方法、系统及电子设备和存储介质

技术领域

本申请涉及数据安全技术领域，更具体地说，涉及一种数据密钥保护方法、系统及一种电子设备和一种计算机可读存储介质。

背景技术

在相关技术中，对于数据密钥的保护方法一般为利用加密密钥对数据密钥进行加密处理，需要对加密密钥进行存储，安全性不高。

因此，如何提高数据密钥保护的安全性是本领域技术人员需要解决的技术问题。

发明内容

本申请的目的在于提供一种数据密钥保护方法、系统及一种电子设备和一种计算机可读存储介质，提高了数据密钥保护的安全性。

为实现上述目的，本申请提供了一种数据密钥保护方法，包括：

获取原始口令，将所述原始口令作为预设规则的输入值执行所述预设规则，并将所述预设规则的输出值作为加密密钥；

利用所述加密密钥对数据密钥采用第一加密算法进行加密，得到所述数据密钥对应的密文和第一消息认证码；其中，所述第一加密算法包括SM4-AE算法；

其中，所述预设规则包括：利用目标算法计算输入值对应的杂凑值，并根据所述杂凑值确定输出值。

其中，所述根据所述杂凑值确定输出值，包括：

确定链式变换次数和每次链式变换的盐值；

根据所述盐值对所述杂凑值进行链式变换，得到所述输出值。

其中，利用目标算法计算所述输入值对应的杂凑值之后，还包括：

对所述杂凑值进行数据分割，得到多个数据段；

对所述多个数据段进行数据分散，得到所述杂凑值对应的哈希值；

所述根据所述杂凑值确定输出值包括：

根据所述哈希值确定所述输出值。

其中，对所述杂凑值进行数据分割，得到多个数据段，包括：

根据所述第一加密算法的分组粒度确定分割粒度；其中，所述分组粒度为所述分割粒度的整数倍；

基于所述分割粒度将所述杂凑值分割为多个数据段。

其中，所述基于所述分割粒度将所述杂凑值分割为多个数据段，包括：

将所述杂凑值进行二等分得到第一数据段和第二数据段；

对所述多个数据段进行数据分散，得到所述杂凑值对应的哈希值，包括：

将所述第二数据段按位取反得到第三数据段，并将所述第三数据段和所述第一数据段拼接为所述哈希值。

其中，所述根据所述盐值对所述杂凑值进行链式变换，得到所述输出值，包括：

根据所述盐值对所述杂凑值进行链式变换，得到变换值；

根据所述变换值确定中间密钥，并确定变换因子；

利用所述中间密钥对所述变换因子采用第二加密算法进行加密得到所述输出值；其中，所述第二加密算法包括SM4算法。

其中，所述根据所述变换值确定中间密钥，包括：

将所述变换值二等分得到第四数据段和第五数据段；

对所述第四数据段和所述第五数据段进行异或操作得到所述中间密钥。

其中，还包括：

当接收到解密请求时，获取所述解密请求中的目标原始口令；

将所述目标原始口令作为预设规则的输入值执行所述预设规则，并将所述预设规则的输出值作为解密密钥；

利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥。

其中，所述利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥，包括：

利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥和第二消息验证码；

获取所述第一消息验证码，通过对比所述第一消息验证码和所述第二消息验证码对所述目标原始口令进行验证。

为实现上述目的，本申请提供了一种数据密钥保护系统，包括：

第一获取模块，用于获取原始口令，将所述原始口令作为计算模块的输入值并启动所述计算模块的工作流程；

所述计算模块，用于利用目标算法计算输入值对应的杂凑值，并根据所述杂凑值确定输出值；

加密模块，用于利用所述计算模块的输出值对数据密钥采用第一加密算法进行加密，得到所述数据密钥对应的密文和消息认证码；其中，所述第一加密算法包括SM4-AE算法。

为实现上述目的，本申请提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述数据密钥保护方法的步骤。

为实现上述目的，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述数据密钥保护方法的步骤。

通过以上方案可知，本申请提供的一种数据密钥保护方法，包括：获取原始口令，将所述原始口令作为预设规则的输入值执行所述预设规则，并将所述预设规则的输出值作为加密密钥；利用所述加密密钥对数据密钥采用第一加密算法进行加密，得到所述数据密钥对应的密文和第一消息认证码；其中，所述第一加密算法包括SM4-AE算法；其中，所述预设规则包括：利用目标算法计算输入值对应的杂凑值，并根据所述杂凑值确定输出值。

本申请提供的数据密钥保护方法，通过对原始口令的变换实现加密密钥的生成，从而不需要特定的功能来保存加密密钥，提高了加密密钥的安全性。本申请不需要保存数据密钥的明文，而保存数据密钥的密文，从根本上实现了对数据密钥的保护。当非法获取数据密钥的密文，并获取原始口令时，不经过对原始口令的变换，同样无法还原数据密钥明文，从而无法还原受数据密钥保护的真实数据，进而保证了真实数据的安全性。本申请还公开了一种数据密钥保护系统及一种电子设备和一种计算机可读存储介质，同样能实现上述技术效果。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：

图1为根据一示例性实施例示出的一种数据密钥保护方法的流程图；

图2为根据一示例性实施例示出的另一种数据密钥保护方法的流程图；

图3为数据密钥加密的流程图；

图4为根据一示例性实施例示出的又一种数据密钥保护方法的流程图；

图5为根据一示例性实施例示出的一种数据密钥保护系统的结构图；

图6为根据一示例性实施例示出的一种电子设备的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例公开了一种数据密钥保护方法，提高了数据密钥保护的安全性。

参见图1，根据一示例性实施例示出的一种数据密钥保护方法的流程图，如图1所示，包括：

S101：获取原始口令，将所述原始口令作为预设规则的输入值执行所述预设规则，并将所述预设规则的输出值作为加密密钥；

在本步骤中，获取用户输入的原始口令，并利用预设规则对原始口令进行变换得到加密密钥，该加密密钥用于对数据密钥进行加密。由于该加密密钥是由用户输入的原始口令变换得到的，因此不需要对其进行存储，保证了加密密钥的安全性。

此处的预设规则包括：利用目标算法计算输入值对应的杂凑值，并根据所述杂凑值确定输出值。本实施例不对目标算法进行具体限定，可以包括SM3算法(国产哈希算法)、MD5、SHA-1等算法。在预设规则中，首先利用SM3算法(国产哈希算法)计算输入值的杂凑值，若目标算法为SM3算法，则该杂凑值为32字节的数据段。然后对生成的杂凑值进行变换得到输出值。

为了增加加密密钥的保密性和随机性，优选的，在上述预设规则中，利用目标算法计算所述输入值对应的杂凑值之后，还包括：对所述杂凑值进行数据分割，得到多个数据段；对所述多个数据段进行数据分散，得到所述杂凑值对应的哈希值。相应的，所述根据所述杂凑值确定输出值包括：根据所述哈希值确定所述输出值。

此处不对具体的分割方式进行限定，分割粒度可以根据后续的第一加密算法的分组粒度进行确定，即对所述杂凑值进行数据分割，得到多个数据段的步骤可以包括：根据所述第一加密算法的分组粒度确定分割粒度；其中，所述分组粒度为所述分割粒度的整数倍；基于所述分割粒度将所述杂凑值分割为多个数据段。

例如，当第一加密算法为SM4算法时，其分组粒度为16字节，那么此处的分割粒度也可以为16字节，若杂凑值为32字节的数据段，则此处的分割方式为对该杂凑值进行二等分，此时的数据分散方式可以为变换两个数据段的顺序，还可以对其中的一者或两者进行取反操作。当然分割粒度也可以为4字节，若杂凑值为32字节的数据段，则将杂凑值分割为8个数据段，可以取数据段1、3、5、7组成第一个16字节的数据段，取数据段2、4、6、8组成第二个16字节的数据段，然后对两个16字节的数据段进行上述数据分散操作。总之，基于第一加密算法的分组粒度为分割粒度的整数倍的数据分割方式均在本实施例的保护范围内。

在预设规则中，不对利用杂凑值的变换方式进行限定，例如，可以采用链式变换，即本步骤可以包括：确定链式变换次数和每次链式变换的盐值；根据所述盐值对所述杂凑值进行链式变换，得到所述加密密钥。在具体实施中，链式变换可以具体为HMAC-SM3(基于SM3的消息认证码算法)，HMAC-SM3的迭代次数，即上述的链式变换次数可以灵活设定，每次链式变换的盐值可以随机生成，提高了加密密钥的安全性和随机性，在不影响用户体验的前提下，加大了破解难度。可以理解的是，每次链式变换的盐值需要进行存储，在解密时对用户输入的原始口令进行相同的变换过程，以得到加密密钥进行解密。

S102：利用所述加密密钥对数据密钥采用第一加密算法进行加密，得到所述数据密钥对应的密文和第一消息认证码；其中，所述第一加密算法包括SM4-AE算法。

在本步骤中，利用上一步骤变换得到的加密密钥对数据密钥进行加密，生成数据密钥的密文和消息认证码。不需要保存数据密钥的明文，而保存数据密钥的密文，从根本上实现了对数据密钥的保护。此处用于加密的第一加密算法可以包括SM4-AE算法，SM4-AE算法的加密认证模式可以包括GCM、CCM、KeyWrap、CBC-PKCS#5-padding等模式。

可以理解的是，根据SM4-AE算法的特性，对数据加密的同时，还会对数据进行完整性保护。在本步骤中，对数据密钥进行加密生成密文的同时，还会生成消息验证码，即本步骤中的第一消息验证码。解密时，算法在得到明文的同时会计算消息验证码与此处的第一消息验证码进行对比，以此来验证数据密钥的完整性。

本申请实施例提供的数据密钥保护方法，通过对原始口令的变换实现加密密钥的生成，从而不需要特定的功能来保存加密密钥，提高了加密密钥的安全性。本申请实施例不需要保存数据密钥的明文，而保存数据密钥的密文，从根本上实现了对数据密钥的保护。当非法获取数据密钥的密文，并获取原始口令时，不经过对原始口令的变换，同样无法还原数据密钥明文，从而无法还原受数据密钥保护的真实数据，进而保证了真实数据的安全性。

本申请实施例公开了一种数据密钥保护方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图2，根据一示例性实施例示出的另一种数据密钥保护方法的流程图，如图2所示，包括：

S201：获取原始口令，利用SM3算法计算所述原始口令对应的杂凑值；

S202：将所述杂凑值进行二等分得到第一数据段和第二数据段；

S203：将所述第二数据段按位取反得到第三数据段，并将所述第三数据段和所述第一数据段拼接为哈希值；

在本实施例中，为了增加加密密钥的保密性和随机性，可以首先对杂凑值进行数据分割和数据分散，得到新的杂凑值，后续步骤利用新的杂凑值进行链式HMAC-SM3变换。本实施例的杂凑值为根据SM3算法计算得到的32字节的数据段，将其进行二等分得到前16字节的数据段(第一数据段)和后16字节的数据段(第二数据段)，将第二数据段按位取反得到第三数据段，并将第一数据段拼接至第三数据段后面得到哈希值

S204：根据所述盐值对所述新的杂凑值进行链式HMAC-SM3变换，得到变换值；

S205：根据所述变换值确定中间密钥，并确定变换因子；

S206：利用所述中间密钥对所述变换因子采用第二加密算法进行加密得到所述加密密钥；

在具体实施中，可以将链式变换的变换值直接作为加密密钥，当然也可以为了增加加密密钥的保密性和随机性，对链式变换的变换值进行变换。优选的，可以采用SM4算法的ECB模式，首先确定变换因子，对变换值进行变换得到中间密钥，利用该中间密钥对变换因子进行加密得到最终的加密密钥。此处不对变换值变换为中间密钥的具体变换方式进行限定，作为一种优选实施方式，所述根据所述变换值确定中间密钥的步骤可以包括：将所述变换值分割为第四数据段和第五数据段；其中，所述第四数据段为所述变换值的前16字节，所述第五数据段为所述变换值的后16字节；对所述第四数据段和所述第五数据段进行异或操作得到所述中间密钥。

S207：利用所述加密密钥对数据密钥采用第一加密算法进行加密，得到所述数据密钥对应的密文和第一消息认证码；其中，所述第一加密算法包括SM4-AE算法。

对于本实施例的方案，如图3所示，对用户输入的原始口令通过SM3算法计算出32字节的杂凑值，将32字节的杂凑值分为前16字节和后16字节。将前16字节数据移动至后16字节，同时将后16字节数据按位取反后移动至前16字节形成32字节的U-hash-value。将U-hash-value作为输入，Salt拼接计数器Counter _i(i∈[1,n]，n为链式变换次数)作为密钥进行链式HMAC-SM3变换，增强随机性，最终计算结果记为U-KEY。将32字节的U-KEY前16字节和后16字节异或得到的值作为密钥，T-Value作为明文，采用SM4-ECB加密得到加密密钥。将加密密钥作为SM4-AE的密钥，用于保护数据密钥，实现数据密钥的密文保存。

下面对密文的解密方式进行介绍，具体的：

参见图4，根据一示例性实施例示出的又一种数据密钥保护方法的流程图，如图4所示，包括：

S301：当接收到解密请求时，获取所述解密请求中的目标原始口令；

S302：将所述目标原始口令作为预设规则的输入值执行所述预设规则，并将所述预设规则的输出值作为解密密钥；

S303：利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥。

在解密时，对于用户输入的目标原始口令采用加密时相同的变换过程，即预设规则得到解密密钥，利用加密算法相应的解密算法对密文进行解密得到数据密钥的明文。在具体实施中，通过解密的成功与否来判断加密密钥的正确性，进而判断用户输入的目标原始口令的正确性，实现口令验证，错误口令会造成解密的失败。

在解密明文的同时，对消息认证码进行认证，即利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥的步骤包括：利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥和第二消息验证码；获取所述第一消息验证码，通过对比所述第一消息验证码和所述第二消息验证码对所述目标原始口令进行验证。在具体实施中，若第一消息验证码与第二消息验证码则说明解密密钥不正确或密文不正确，由于密文存在芯片内部，因此一般判定为解密密钥不正确，从而推导出目标原始口令有误。此时算法不会输出数据密钥的明文的，进行报错。

下面对本申请实施例提供的一种数据密钥保护系统进行介绍，下文描述的一种数据密钥保护系统与上文描述的一种数据密钥保护方法可以相互参照。

参见图5，根据一示例性实施例示出的一种数据密钥保护系统的结构图，如图5所示，包括：

第一获取模块501，用于获取原始口令，将所述原始口令作为计算模块的输入值并启动所述计算模块502的工作流程；

所述计算模块502，用于利用目标算法计算输入值对应的杂凑值，并根据所述杂凑值确定输出值；

加密模块503，用于利用所述计算模块的输出值对数据密钥采用第一加密算法进行加密，得到所述数据密钥对应的密文和消息认证码；其中，所述第一加密算法包括SM4-AE算法。

本申请实施例提供的数据密钥保护系统，通过对原始口令的变换实现加密密钥的生成，从而不需要特定的功能来保存加密密钥，提高了加密密钥的安全性。本申请实施例不需要保存数据密钥的明文，而保存数据密钥的密文，从根本上实现了对数据密钥的保护。当非法获取数据密钥的密文，并获取原始口令时，不经过对原始口令的变换，同样无法还原数据密钥明文，从而无法还原受数据密钥保护的真实数据，进而保证了真实数据的安全性。

在上述实施例的基础上，作为一种优选实施方式，所述计算模块502包括：

计算单元，用于利用目标算法计算输入值对应的杂凑值；

确定单元，用于确定链式变换次数和每次链式变换的盐值；

变换单元，用于根据所述盐值对所述杂凑值进行链式变换，得到所述输出值。

在上述实施例的基础上，作为一种优选实施方式，所述计算模块502还包括：

分割单元，用于对所述杂凑值进行数据分割，得到多个数据段；

分散单元，用于对所述多个数据段进行数据分散，得到所述杂凑值对应的哈希值。

在上述实施例的基础上，作为一种优选实施方式，所述分割单元包括：

确定分割粒度子单元，用于根据所述第一加密算法的分组粒度确定分割粒度；其中，所述分组粒度为所述分割粒度的整数倍；

分割子单元，用于基于所述分割粒度将所述杂凑值分割为多个数据段。

在上述实施例的基础上，作为一种优选实施方式，所述分割子单元具体为将所述杂凑值进行二等分得到第一数据段和第二数据段的子单元；

所述分散单元具体为将所述第二数据段按位取反得到第三数据段，并将所述第三数据段和所述第一数据段拼接为所述哈希值的单元。

在上述实施例的基础上，作为一种优选实施方式，所述变换单元包括：

变换子单元，用于根据所述盐值对所述杂凑值进行链式变换，得到变换值；

确定子单元，用于根据所述变换值确定中间密钥，并确定变换因子；

加密子单元，用于利用所述中间密钥对所述变换因子采用第二加密算法进行加密得到所述输出值；其中，所述第二加密算法包括SM4算法。

在上述实施例的基础上，作为一种优选实施方式，所述确定子单元具体为将所述变换值二等分得到第四数据段和第五数据段，对所述第四数据段和所述第五数据段进行异或操作得到所述中间密钥，并确定变换因子的子单元。

在上述实施例的基础上，作为一种优选实施方式，还包括：

第二获取模块，用于当接收到解密请求时，获取所述解密请求中的目标原始口令；

确定模块，用于将所述目标原始口令作为预设规则的输入值执行所述预设规则，并将所述预设规则的输出值作为解密密钥；

解密模块，用于利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥。

在上述实施例的基础上，作为一种优选实施方式，所述解密模块包括：

解密单元，用于利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥和第二消息验证码；

验证单元，用于获取所述第一消息验证码，通过对比所述第一消息验证码和所述第二消息验证码对所述目标原始口令进行验证。

关于上述实施例中的系统，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本申请还提供了一种电子设备，参见图6，本申请实施例提供的一种电子设备600的结构图，如图6所示，可以包括处理器11和存储器12。该电子设备600还可以包括多媒体组件13，输入/输出(I/O)接口14，以及通信组件15中的一者或多者。

其中，处理器11用于控制该电子设备600的整体操作，以完成上述的数据密钥保护方法中的全部或部分步骤。存储器12用于存储各种类型的数据以支持在该电子设备600的操作，这些数据例如可以包括用于在该电子设备600上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如联系人数据、收发的消息、图片、音频、视频等等。该存储器12可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(Static Random Access Memory，简称SRAM)，电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，简称EEPROM)，可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，简称EPROM)，可编程只读存储器(Programmable Read-Only Memory，简称PROM)，只读存储器(Read-Only Memory，简称ROM)，磁存储器，快闪存储器，磁盘或光盘。多媒体组件13可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器12或通过通信组件15发送。音频组件还包括至少一个扬声器，用于输出音频信号。I/O接口14为处理器11和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件15用于该电子设备600与其他设备之间进行有线或无线通信。无线通信，例如Wi-Fi，蓝牙，近场通信(Near Field Communication，简称NFC)，2G、3G或4G，或它们中的一种或几种的组合，因此相应的该通信组件15可以包括：Wi-Fi模块，蓝牙模块，NFC模块。

在一示例性实施例中，电子设备600可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit，简称ASIC)、数字信号处理器(Digital Signal Processor，简称DSP)、数字信号处理设备(Digital Signal Processing Device，简称DSPD)、可编程逻辑器件(Programmable Logic Device，简称PLD)、现场可编程门阵列(Field Programmable Gate Array，简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述的数据密钥保护方法。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述数据密钥保护方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器12，上述程序指令可由电子设备600的处理器11执行以完成上述的数据密钥保护方法。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims

一种数据密钥保护方法，其特征在于，包括：

获取原始口令，将所述原始口令作为预设规则的输入值执行所述预设规则，并将所述预设规则的输出值作为加密密钥；

利用所述加密密钥对数据密钥采用第一加密算法进行加密，得到所述数据密钥对应的密文和第一消息认证码；其中，所述第一加密算法包括SM4-AE算法；

其中，所述预设规则包括：利用目标算法计算输入值对应的杂凑值，并根据所述杂凑值确定输出值。
根据权利要求1所述数据密钥保护方法，其特征在于，所述根据所述杂凑值确定输出值，包括：

确定链式变换次数和每次链式变换的盐值；

根据所述盐值对所述杂凑值进行链式变换，得到所述输出值。
根据权利要求1所述数据密钥保护方法，其特征在于，利用目标算法计算所述输入值对应的杂凑值之后，还包括：

对所述杂凑值进行数据分割，得到多个数据段；

对所述多个数据段进行数据分散，得到所述杂凑值对应的哈希值；

所述根据所述杂凑值确定输出值包括：

根据所述哈希值确定所述输出值。
根据权利要求3所述数据密钥保护方法，其特征在于，对所述杂凑值进行数据分割，得到多个数据段，包括：

根据所述第一加密算法的分组粒度确定分割粒度；其中，所述分组粒度为所述分割粒度的整数倍；

基于所述分割粒度将所述杂凑值分割为多个数据段。
根据权利要求4所述数据密钥保护方法，其特征在于，所述基于所述分割粒度将所述杂凑值分割为多个数据段，包括：

将所述杂凑值进行二等分得到第一数据段和第二数据段；

对所述多个数据段进行数据分散，得到所述杂凑值对应的哈希值，包括：

将所述第二数据段按位取反得到第三数据段，并将所述第三数据段和所述第一数据段拼接为所述哈希值。
根据权利要求2所述数据密钥保护方法，其特征在于，所述根据所述盐值对所述杂凑值进行链式变换，得到所述输出值，包括：

根据所述盐值对所述杂凑值进行链式变换，得到变换值；

根据所述变换值确定中间密钥，并确定变换因子；

利用所述中间密钥对所述变换因子采用第二加密算法进行加密得到所述输出值；其中，所述第二加密算法包括SM4算法。
根据权利要求6所述数据密钥保护方法，其特征在于，所述根据所述变换值确定中间密钥，包括：

将所述变换值二等分得到第四数据段和第五数据段；

对所述第四数据段和所述第五数据段进行异或操作得到所述中间密钥。
根据权利要求1至7中任一项所述数据密钥保护方法，其特征在于，还包括：

当接收到解密请求时，获取所述解密请求中的目标原始口令；

将所述目标原始口令作为预设规则的输入值执行所述预设规则，并将所述预设规则的输出值作为解密密钥；

利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥。
根据权利要求8所述数据密钥保护方法，其特征在于，所述利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥，包括：

利用所述解密密钥采用第一加密算法对应的解密算法对所述密文进行解密，得到所述数据密钥和第二消息验证码；

获取所述第一消息验证码，通过对比所述第一消息验证码和所述第二消息验证码对所述目标原始口令进行验证。
一种数据密钥保护系统，其特征在于，包括：

获取模块，用于获取原始口令，将所述原始口令作为计算模块的输入值并启动所述计算模块的工作流程；

所述计算模块，用于利用目标算法计算输入值对应的杂凑值，并根据所述杂凑值确定输出值；

加密模块，用于利用所述计算模块的输出值对数据密钥采用第一加密算法进行加密，得到所述数据密钥对应的密文和消息认证码；其中，所述第一加密算法包括SM4-AE算法。
一种电子设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至9任一项所述数据密钥保护方法的步骤。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至9任一项所述数据密钥保护方法的步骤。