CN115459909A - 密钥数据处理方法及装置 - Google Patents
密钥数据处理方法及装置 Download PDFInfo
- Publication number
- CN115459909A CN115459909A CN202211070591.0A CN202211070591A CN115459909A CN 115459909 A CN115459909 A CN 115459909A CN 202211070591 A CN202211070591 A CN 202211070591A CN 115459909 A CN115459909 A CN 115459909A
- Authority
- CN
- China
- Prior art keywords
- key
- data
- primary
- ciphertext
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种密钥数据处理方法及装置,涉及信息安全领域,方法包括:接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成;本申请能够有效分担密钥保护的风险,提高密钥存储与加载的安全性。
Description
技术领域
本申请涉及信息安全领域,具体涉及一种密钥数据处理方法及装置。
背景技术
现有的密钥存储与加载,一般使用保护密钥来加密工作密钥明文成密文,之后对密钥密文进行存储,加载时一般解密通过保护密钥解密成明文。密码技术的安全性,取决于密钥管理的重要密钥的安全性。
密钥管理目前主流使用密钥加密密钥明文,这样密钥管理的密钥的管理有可能存在密钥存储的安全问题。一则密钥管理过于集中即密钥风险集中。二则保护密钥一旦被攻破,也可以攻破工作密钥。
发明内容
针对现有技术中的问题,本申请提供一种密钥数据处理方法及装置,能够有效分担密钥保护的风险,提高密钥存储与加载的安全性。
为了解决上述问题中的至少一个,本申请提供以下技术方案:
第一方面,本申请提供一种密钥数据处理方法,包括:
接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;
接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成。
进一步地,在所述接收用户发送的数据明文之后,包括:
将所述数据明文作为一级密钥主体并通过同态加密拆分为多个一级密钥分量;
将所述一级密钥分量作为二级密钥主体并通过秘密分享拆分为多个二级密钥分量,其中,所述一级密钥分量和所述二级密钥分量分别由不同密钥持有者持有。
进一步地,在所述接收所述用户发送的数据密文之后,包括:
将二级密钥分量通过秘密分享组合为二级密钥主体,并将得到的所述二级密钥主体作为一级密钥分量;
将所述一级密钥分量通过同态加密组合为一级密钥主体,加载得到对应的密钥。
进一步地,所述将所述数据明文作为一级密钥主体并通过同态加密拆分为多个一级密钥分量,还包括:
根据预设公钥对所述一级密钥分量进行加密,得到一级密钥分量密文;
根据预设私钥对所述一级密钥分量密文进行签名,得到签名后的一级密钥分量密文。
进一步地,所述将所述一级密钥分量作为二级密钥主体并通过秘密分享拆分为多个二级密钥分量,还包括:
根据随机系数、自然数列指数以及预设公钥构造一级密钥分量加密函数;
根据所述一级密钥分量加密函数对各二级密钥分量持有者标识进行加密,并将加密后的密文分发至各二级密钥分量持有者。
进一步地,所述将二级密钥分量通过秘密分享组合为二级密钥主体,并将得到的所述二级密钥主体作为一级密钥分量,还包括:
根据一级密钥分量加密函数和二级密钥分量持有者标识对各二级密钥分量持有者存储的密文进行解密;
将解密后得到的一级密钥分量进行签名校验。
进一步地,所述将所述一级密钥分量通过同态加密组合为一级密钥主体,加载得到对应的密钥,包括:
接收各一级密钥分量持有者存储的一级密钥分量密文;
通过同态加密将各一级密钥分量密文组合为一级密钥主体密文并进行解密,得到对应的密钥。
第二方面,本申请提供一种密钥数据处理装置,包括:
密钥存储模块,用于接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;
密钥加载模块,用于接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成。
第三方面,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的密钥数据处理方法的步骤。
第四方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的密钥数据处理方法的步骤。
第五方面,本申请提供一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现所述的密钥数据处理方法的步骤。
由上述技术方案可知,本申请提供一种密钥数据处理方法及装置,通过接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成,由此能够有效分担密钥保护的风险,提高密钥存储与加载的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中的密钥数据处理方法的流程示意图之一;
图2为本申请实施例中的密钥数据处理方法的流程示意图之二;
图3为本申请实施例中的密钥数据处理方法的流程示意图之三;
图4为本申请实施例中的密钥数据处理方法的流程示意图之四;
图5为本申请实施例中的密钥数据处理方法的流程示意图之五;
图6为本申请实施例中的密钥数据处理方法的流程示意图之六;
图7为本申请实施例中的密钥数据处理方法的流程示意图之七;
图8为本申请实施例中的密钥数据处理装置的结构图;
图9为本申请实施例中的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
考虑到现有技术中存在的问题,本申请提供一种密钥数据处理方法及装置,通过接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成,由此能够有效分担密钥保护的风险,提高密钥存储与加载的安全性。
为了能够有效分担密钥保护的风险,提高密钥存储与加载的安全性,本申请提供一种密钥数据处理方法的实施例,参见图1,所述密钥数据处理方法具体包含有如下内容:
步骤S101:接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有。
步骤S102:接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成。
可选的,本申请密钥服务调用时送入数据明文,密钥管理模块生成密钥,并用密钥把数据明文加密成密文,密文返回服务调用方。对密钥的存储与加载,由多级密钥参与,每一级密钥可分为多个密钥分量,每一个密钥分量由一个密钥持有者持有,多级密钥对应多级密钥分量。
可选的,密钥存储过程中,上级密钥通过秘密分享或者同态加密逆方法将密钥拆分成下级密钥的下级密钥分量。
可选的,密钥加载过程中,下级密钥通过下级密钥分量通过秘密分享的逆方法或同态加密方法,将下级密钥分量组合成上级主体的上级密钥。通过密钥分级拆分与组合保证密钥的存储和加载安全。
可选的,密钥加载后,密钥服务调用方送入数据密文,密钥管理模块用密钥对数据密文解密获得数据明文,数据明文返回服务调用方。
本申请的密钥分级存储以二级为例,分为一级密钥和二级密钥,一级密钥可分为多个一级密钥分量,每个一级密钥分量由对应一个一级密钥持有者持有。每一个一级密钥分量,作为二级密钥主体,可分成多个二级密钥分量,每个二级密钥分量,由对应一个二级密钥持有者持有。
可以理解的是,本申请的密钥持有者持有密钥分量,密钥持有者可以是人,也可以是能够存储密钥的U盘、数据库、硬件等存储介质。
举例来说,每级密钥拆分与组合,可采用秘密分享或者同态加密技术,本申请一级密钥采用同态加密为例,二级密钥采用秘密分享为例。
一级密钥存储过程中,密钥明文作为一级密钥主体,通过同态加密拆分为多个一级密钥分量。二级密钥存储过程中,每一个一级密钥分量,作为二级密钥主体,再通过秘密分享技术,将一级密钥分量分为多个二级密钥分量。基于秘密分享技术,需要一定数量的二级密钥分量,才可通过组合计算,计算出二级密钥,全部二级主体,作为一级密钥分量,通过同态加密才能组成完整密钥。
一级密钥加载过程中,将一定数量的二级密钥分量通过秘密分享技术,组合计算出二级密钥。二级密钥加载过程中,全部二级密钥,作为一级密钥分量,通过签名验签技术,向密钥加载方验证自己的身份,再通过同态加密计算出密钥,进而加载密钥。
从上述描述可知,本申请实施例提供的密钥数据处理方法,能够通过接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成,由此能够有效分担密钥保护的风险,提高密钥存储与加载的安全性。
在本申请的密钥数据处理方法的一实施例中,参见图2,还可以具体包含如下内容:
步骤S201:将所述数据明文作为一级密钥主体并通过同态加密拆分为多个一级密钥分量。
步骤S202:将所述一级密钥分量作为二级密钥主体并通过秘密分享拆分为多个二级密钥分量,其中,所述一级密钥分量和所述二级密钥分量分别由不同密钥持有者持有。
其中,参见图4,上述步骤S201还可以具体包含如下内容:
步骤S401:根据预设公钥对所述一级密钥分量进行加密,得到一级密钥分量密文。
步骤S402:根据预设私钥对所述一级密钥分量密文进行签名,得到签名后的一级密钥分量密文。
参见图5,上述步骤S202还可以具体包含如下内容:
步骤S501:根据随机系数、自然数列指数以及预设公钥构造一级密钥分量加密函数。
步骤S502:根据所述一级密钥分量加密函数对各二级密钥分量持有者标识进行加密,并将加密后的密文分发至各二级密钥分量持有者。
可选的,本申请可以接收密钥明文,对密钥进行处理。密钥存储子模块用于针对N个一级密钥持有者将一级密钥主体拆分为N个一级密钥分量p,每个一级密钥持有者对应一个一级密钥分量pn。拆分方法可使用乘法、加法、异或等同态加密算法的逆方法,后续可以用相应方法合成回密钥。
本申请N以3为例,以加法的逆方法拆分,将23拆分为8、6和9共3个一级密钥分量。即p1=8,p2=6,p3=9。
密钥管理模块的密钥存储子模块生成一对公私钥对,公钥Puk0和私钥Pri0。公钥Puk0发给各个一级密钥持有者的一级密钥管理模块的一级密钥存储子模块201,私钥Pri0保存在密钥存储子模块。
每个一级密钥持有者的生成公钥对,以第一个一级密钥持有者为例。一级密钥管理模块的一级密钥存储子模块生成一对公私钥,公钥Puk1和私钥Pri1,公钥Puk1发给密钥管理模块的密钥存储子模块,私钥Pri1保存在一级密钥存储子模块。
密钥管理模块的密钥存储子模块,对每一个密钥分量进行处理。以第一个一级密钥分量p1为例。密钥存储子模块使用公钥Puk1,对一级密钥分量p1加密成一级密钥分量密文E(Puk1,p1),发给对应一级密钥持有者的一级密钥存储子模块。一级密钥持有者的一级密钥存储子模块,先使用私钥Pri1对E(Puk1,p1)解密出一级密钥分量p1,使用私钥Pri1对p1进行签名,保留签名值Sign1存储至一级密钥存储子模块。
可选的,本申请的一级密钥存储子模块用于对一级密钥分量p1进行二级密钥分量存储处理。
一级密钥存储子模块用于针对每一个二级密钥分量持有者,将一级密钥分量p1分解成多个二级密钥分量。以一级密钥分量p1,假设二级密钥分量持有者的数量为w,设定安全阀值为m,m<w。
1)一级密钥存储子模块随机产生m个随机数作为系数,即c1,c2,...,ci...cm。
2)一级密钥存储子模块构造自然数列作为指数,如1,3,...,i,...,m。
3)一级密钥存储子模块使用公钥Puk1,对一级密钥分量p1加密,加密成密文b,即b=E(Puk1,p1)。
通过上述系数、指数和一级密钥分量的密文b,构造属于该密钥分量的函数:
其中:
c1,c2,...,ci...cm是随机生成。
u1,u2,...,ui...um是自然数列。
b为一级密钥分量的密文E(Puk1,p1)。
一级密钥存储子模块针对每一个二级密钥分量持有者,对二级密钥分量持有者的标识对应数值dm,代入到函数f(x),计算得到数值z,即z=f(dm),将二级密钥分量持有者的二级密钥分量的标识数值dm,以及其对应的密文z,交由各个二级密钥持有者的二级密钥管理模块的二级密钥存储子模块存储。
在本申请的密钥数据处理方法的一实施例中,参见图3,还可以具体包含如下内容:
步骤S301:将二级密钥分量通过秘密分享组合为二级密钥主体,并将得到的所述二级密钥主体作为一级密钥分量。
步骤S302:将所述一级密钥分量通过同态加密组合为一级密钥主体,加载得到对应的密钥。
其中,参见图6,上述步骤S301还可以具体包含如下内容:
步骤S601:根据一级密钥分量加密函数和二级密钥分量持有者标识对各二级密钥分量持有者存储的密文进行解密。
步骤S602:将解密后得到的一级密钥分量进行签名校验。
其中,参见图7,上述步骤S302还可以具体包含如下内容:
步骤S701:接收各一级密钥分量持有者存储的一级密钥分量密文。
步骤S702:通过同态加密将各一级密钥分量密文组合为一级密钥主体密文并进行解密,得到对应的密钥。
可选的,本申请可以对w个二级密钥持有者,根据安全阀值m,从w个二级密钥持有者中至少任意m个二级密钥持有者。每个二级密钥持有者的二级密钥管理模块的二级密钥存储子模块,获取存储的二级密钥的标识数值dm和密文z,并发给一级密钥管理模块的一级密钥存储子模块。
一级密钥管理模块的一级密钥存储子模块,对接收的标识数值dm和密文z构造函数。
对第1个二级密钥的标识数值d1和密文z1=f(d1)构造函数:
对第2个二级密钥的标识数值d2和密文z2=f(d2)构造函数:
以此类推,对第m个二级密钥的标识数值dm和密文zm=f(dm)构造函数:
将各个函数组成函数组,并根据函数组解出一级密钥密文b,即得到E(Puk1,p1)。
一级密钥存储子模块使用私钥Pri1对b解密,获得一级密钥分量p1,并使用私钥对p1签名,签名值与存储的签名值Sign1校验,是否一致。校验不一致则报错。校验一致,则使用密钥管理***的公钥Puk0,加密成E(Puk0,p1),发送给密钥管理模块的密钥加载子模块。
密钥管理模块的密钥加载子模块用于接收每个一级密钥持有者把对应的一级密钥分量的密文E(Puk0,pn)。采用同态加密,对所有一级密钥的一级密钥分量的密文E(Puk0,pn),进行同态合成密钥主体的密文c,合成方法是拆分方法的逆方法,即可使用乘法、加法、异或等同态加密算法,以Paillier为例,同态合成结果,使用私钥Pri0进行解密,D(Pri0,c),得到密钥明文。密钥明文送给密钥服务子模块。
为了能够有效分担密钥保护的风险,提高密钥存储与加载的安全性,本申请提供一种用于实现所述密钥数据处理方法的全部或部分内容的密钥数据处理装置的实施例,参见图8,所述密钥数据处理装置具体包含有如下内容:
密钥存储模块10,用于接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有。
密钥加载模块20,用于接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成。
从上述描述可知,本申请实施例提供的密钥数据处理装置,能够通过接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成,由此能够有效分担密钥保护的风险,提高密钥存储与加载的安全性。
从硬件层面来说,为了能够有效分担密钥保护的风险,提高密钥存储与加载的安全性,本申请提供一种用于实现所述密钥数据处理方法中的全部或部分内容的电子设备的实施例,所述电子设备具体包含有如下内容:
处理器(processor)、存储器(memory)、通信接口(Communications Interface)和总线;其中,所述处理器、存储器、通信接口通过所述总线完成相互间的通信;所述通信接口用于实现密钥数据处理装置与核心业务***、用户终端以及相关数据库等相关设备之间的信息传输;该逻辑控制器可以是台式计算机、平板电脑及移动终端等,本实施例不限于此。在本实施例中,该逻辑控制器可以参照实施例中的密钥数据处理方法的实施例,以及密钥数据处理装置的实施例进行实施,其内容被合并于此,重复之处不再赘述。
可以理解的是,所述用户终端可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、台式电脑、个人数字助理(PDA)、车载设备、智能穿戴设备等。其中,所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。
在实际应用中,密钥数据处理方法的部分可以在如上述内容所述的电子设备侧执行,也可以所有的操作都在所述客户端设备中完成。具体可以根据所述客户端设备的处理能力,以及用户使用场景的限制等进行选择。本申请对此不作限定。若所有的操作都在所述客户端设备中完成,所述客户端设备还可以包括处理器。
上述的客户端设备可以具有通信模块(即通信单元),可以与远程的服务器进行通信连接,实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器,其他的实施场景中也可以包括中间平台的服务器,例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备,也可以包括多个服务器组成的服务器集群,或者分布式装置的服务器结构。
图9为本申请实施例的电子设备9600的***构成的示意框图。如图9所示,该电子设备9600可以包括中央处理器9100和存储器9140;存储器9140耦合到中央处理器9100。值得注意的是,该图9是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
一实施例中,密钥数据处理方法功能可以被集成到中央处理器9100中。其中,中央处理器9100可以被配置为进行如下控制:
步骤S101:接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有。
步骤S102:接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成。
从上述描述可知,本申请实施例提供的电子设备,通过接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成,由此能够有效分担密钥保护的风险,提高密钥存储与加载的安全性。
在另一个实施方式中,密钥数据处理装置可以与中央处理器9100分开配置,例如可以将密钥数据处理装置配置为与中央处理器9100连接的芯片,通过中央处理器的控制来实现密钥数据处理方法功能。
如图9所示,该电子设备9600还可以包括:通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是,电子设备9600也并不是必须要包括图9中所示的所有部件;此外,电子设备9600还可以包括图9中没有示出的部件,可以参考现有技术。
如图9所示,中央处理器9100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。
其中,存储器9140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序,以实现信息存储或处理等。
输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器9140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142,该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。
存储器9140还可以包括数据存储部9143,该数据存储部9143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块9110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132,以经由扬声器9131提供音频输出,并接收来自麦克风9132的音频输入,从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器9130还耦合到中央处理器9100,从而使得可以通过麦克风9132能够在本机上录音,且使得可以通过扬声器9131来播放本机上存储的声音。
本申请的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的密钥数据处理方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器或客户端的密钥数据处理方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤S101:接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有。
步骤S102:接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成。
从上述描述可知,本申请实施例提供的计算机可读存储介质,通过接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成,由此能够有效分担密钥保护的风险,提高密钥存储与加载的安全性。
本申请的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的密钥数据处理方法中全部步骤的一种计算机程序产品,该计算机程序/指令被处理器执行时实现所述的密钥数据处理方法的步骤,例如,所述计算机程序/指令实现下述步骤:
步骤S101:接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有。
步骤S102:接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成。
从上述描述可知,本申请实施例提供的计算机程序产品,通过接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成,由此能够有效分担密钥保护的风险,提高密钥存储与加载的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (11)
1.一种密钥数据处理方法,其特征在于,所述方法包括:
接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;
接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成。
2.根据权利要求1所述的密钥数据处理方法,其特征在于,在所述接收用户发送的数据明文之后,包括:
将所述数据明文作为一级密钥主体并通过同态加密拆分为多个一级密钥分量;
将所述一级密钥分量作为二级密钥主体并通过秘密分享拆分为多个二级密钥分量,其中,所述一级密钥分量和所述二级密钥分量分别由不同密钥持有者持有。
3.根据权利要求1所述的密钥数据处理方法,其特征在于,在所述接收所述用户发送的数据密文之后,包括:
将二级密钥分量通过秘密分享组合为二级密钥主体,并将得到的所述二级密钥主体作为一级密钥分量;
将所述一级密钥分量通过同态加密组合为一级密钥主体,加载得到对应的密钥。
4.根据权利要求2所述的密钥数据处理方法,其特征在于,所述将所述数据明文作为一级密钥主体并通过同态加密拆分为多个一级密钥分量,还包括:
根据预设公钥对所述一级密钥分量进行加密,得到一级密钥分量密文;
根据预设私钥对所述一级密钥分量密文进行签名,得到签名后的一级密钥分量密文。
5.根据权利要求2所述的密钥数据处理方法,其特征在于,所述将所述一级密钥分量作为二级密钥主体并通过秘密分享拆分为多个二级密钥分量,还包括:
根据随机系数、自然数列指数以及预设公钥构造一级密钥分量加密函数;
根据所述一级密钥分量加密函数对各二级密钥分量持有者标识进行加密,并将加密后的密文分发至各二级密钥分量持有者。
6.根据权利要求3所述的密钥数据处理方法,其特征在于,所述将二级密钥分量通过秘密分享组合为二级密钥主体,并将得到的所述二级密钥主体作为一级密钥分量,还包括:
根据一级密钥分量加密函数和二级密钥分量持有者标识对各二级密钥分量持有者存储的密文进行解密;
将解密后得到的一级密钥分量进行签名校验。
7.根据权利要求3所述的密钥数据处理方法,其特征在于,所述将所述一级密钥分量通过同态加密组合为一级密钥主体,加载得到对应的密钥,包括:
接收各一级密钥分量持有者存储的一级密钥分量密文;
通过同态加密将各一级密钥分量密文组合为一级密钥主体密文并进行解密,得到对应的密钥。
8.一种密钥数据处理装置,其特征在于,包括:
密钥存储模块,用于接收用户发送的数据明文,调用预存储的密钥将所述数据明文加密为数据密文并返回所述用户,其中,所述密钥在存储时通过秘密分享或同态加密方法拆分为多个下级密钥分量后由不同密钥持有者持有;
密钥加载模块,用于接收所述用户发送的数据密文,加载对应的密钥将所述数据密文解密为数据明文并返回所述用户,其中,所述密钥在加载时通过秘密分享或同态加密方法由不同密钥持有者将多个下级密钥分量组合而成。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述的密钥数据处理方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7任一项所述的密钥数据处理方法的步骤。
11.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1至7任一项所述的密钥数据处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211070591.0A CN115459909A (zh) | 2022-09-02 | 2022-09-02 | 密钥数据处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211070591.0A CN115459909A (zh) | 2022-09-02 | 2022-09-02 | 密钥数据处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115459909A true CN115459909A (zh) | 2022-12-09 |
Family
ID=84301909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211070591.0A Pending CN115459909A (zh) | 2022-09-02 | 2022-09-02 | 密钥数据处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115459909A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116800419A (zh) * | 2023-08-14 | 2023-09-22 | 深圳竹云科技股份有限公司 | 密钥生成方法、装置、计算机设备和存储介质 |
| CN117118608A (zh) * | 2023-08-15 | 2023-11-24 | 华能信息技术有限公司 | 一种虚拟秘钥数据处理方法 |
-
2022
- 2022-09-02 CN CN202211070591.0A patent/CN115459909A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116800419A (zh) * | 2023-08-14 | 2023-09-22 | 深圳竹云科技股份有限公司 | 密钥生成方法、装置、计算机设备和存储介质 |
| CN116800419B (zh) * | 2023-08-14 | 2023-11-21 | 深圳竹云科技股份有限公司 | 密钥生成方法、装置、计算机设备和存储介质 |
| CN117118608A (zh) * | 2023-08-15 | 2023-11-24 | 华能信息技术有限公司 | 一种虚拟秘钥数据处理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109309569B (zh) | 基于sm2算法的协同签名的方法、装置及存储介质 | |
| CN102546181B (zh) | 基于密钥池的云存储加解密方法 | |
| CN111130803B (zh) | 数字签名的方法、***及装置 | |
| CN115459909A (zh) | 密钥数据处理方法及装置 | |
| CN111404943B (zh) | 数据的处理方法、装置、电子设备及计算机可读存储介质 | |
| CN110100422B (zh) | 基于区块链智能合约的数据写入方法、装置及存储介质 | |
| CN112003696B (zh) | Sm9密钥生成方法、***、电子设备、装置及存储介质 | |
| CN204360381U (zh) | 移动设备 | |
| CN113743939A (zh) | 基于区块链的身份认证方法、装置及*** | |
| US20190065759A1 (en) | Method for protecting data | |
| CN113987583A (zh) | 一种隐匿查询方法及*** | |
| CN113987584A (zh) | 一种隐匿查询方法及*** | |
| CN105208028A (zh) | 一种数据传输方法和相关装置及设备 | |
| CN111740815A (zh) | 基于密文的两方秘密分享方法、装置、设备及存储介质 | |
| CN111931209A (zh) | 基于零知识证明的合同信息验证方法及装置 | |
| CN115001733B (zh) | 一种数据确定方法、装置、存储介质及终端 | |
| CN112839013B (zh) | 一种密钥传输方法、装置及计算机可读存储介质 | |
| CN111431922A (zh) | 物联网数据加密传输方法及*** | |
| CN113055184B (zh) | 数据加解密方法及装置 | |
| CN114117406A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN116455572B (zh) | 数据加密方法、装置及设备 | |
| CN115378592A (zh) | 密码服务调用方法和*** | |
| CN117171202A (zh) | 一种数据查询方法及装置 | |
| EP4125236A1 (en) | Secret code verification protocol | |
| CN110598427A (zh) | 数据的处理方法、***和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |