CN115801232A - 一种私钥保护方法、装置、设备及存储介质 - Google Patents
一种私钥保护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115801232A CN115801232A CN202211182328.0A CN202211182328A CN115801232A CN 115801232 A CN115801232 A CN 115801232A CN 202211182328 A CN202211182328 A CN 202211182328A CN 115801232 A CN115801232 A CN 115801232A
- Authority
- CN
- China
- Prior art keywords
- key
- private key
- encrypted
- private
- symmetric
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种私钥保护方法、装置、设备及存储介质,涉及信息安全技术领域,包括:在隐私计算平台的可信执行环境中生成一对非对称密钥得到第一私钥和第一公钥;在可信执行环境中生成一个对称密钥;获取USBKey发送的第二公钥,并利用第二公钥对第一私钥进行加密得到加密后私钥;利用第一公钥对对称密钥进行加密得到加密后对称密钥;当获取到用户端发送的目标数据时,向其下发加密后私钥和加密后对称密钥,以利用内置于USBKey中的第二私钥对加密后私钥进行解密得到第一私钥,并利用第一私钥对加密后对称密钥进行解密得到对称密钥,再利用对称密钥对目标数据进行加密。本申请通过USBKey生产的公钥保护了私钥在传输过程中的安全,使私钥传输更安全。
Description
技术领域
本申请涉及信息安全技术领域,特别涉及一种私钥保护方法、装置、设备及存储介质。
背景技术
随着隐私计算(Privacy compute)的蓬勃发展,隐私计算技术已经在各行各业得到了广泛的应用。在隐私计算技术中有一个关键的技术,就是密码学。其中,私钥的安全决定了隐私计算过程中各个环境的数据安全,特别是数据传输、数据存储、数据操作验证时,私钥的携带成为了隐私计算过程中的新问题。因此,如何解决私钥携带的安全、私钥传输的安全、私钥验签的安全,成为了亟需解决的突出问题。
然而,目前的私钥携带、传输和验签存在以下缺点:私钥容易被复制和删除;私钥在传输的过程中,由于没有保护措施,所以容易被窃取;私钥验签太复杂,需要手动执行脚本。
发明内容
有鉴于此,本申请的目的在于提供一种私钥保护方法、装置、设备及存储介质,能够保护私钥在传输过程中的安全,实现数据提供方对自己的私钥进行保护,避免私钥在传输途中被泄密及被复制的风险,使私钥传输更安全。其具体方案如下:
第一方面,本申请公开了一种私钥保护方法,应用于隐私计算平台,包括:
在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥;
在所述可信执行环境中生成一个对称密钥;
获取USBKey发送的内置于所述USBKey中的第二公钥,并利用所述第二公钥对所述第一私钥进行加密,得到加密后私钥;
利用所述第一公钥对所述对称密钥进行加密,得到加密后对称密钥;
当获取到用户端发送的目标数据时,向所述用户端下发所述加密后私钥和所述加密后对称密钥,以利用内置于所述USBKey中的第二私钥对所述加密后私钥进行解密得到所述第一私钥,并利用所述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥,再利用所述对称密钥对所述目标数据进行加密得到目标密文。
可选的,所述在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥,包括:
在所述隐私计算平台的可信执行环境中通过密钥管理服务***生成一对非对称密钥,得到第一私钥和第一公钥。
可选的,所述获取USBKey发送的内置于所述USBKey中的第二公钥,包括:
获取USBKey通过用户注册的方式发送的内置于所述USBKey中的第二公钥。
可选的,所述利用所述对称密钥对所述目标数据进行加密得到目标密文之后,还包括:
通过所述用户端将所述目标密文发送至所述隐私计算平台,以便通过所述隐私计算平台对所述目标密文进行存储。
可选的,所述在所述隐私计算平台的可信执行环境中生成一对非对称密钥之前,还包括:
通过所述USBKey随机的生成一对公私钥,得到所述第二公钥和所述第二私钥,并将所述第二公钥和所述第二私钥内置于所述USBKey中。
可选的,所述利用所述对称密钥对所述目标数据进行加密得到目标密文之后,还包括:
利用所述对称密钥对所述目标密文进行解密,得到所述目标数据。
可选的,所述向所述用户端下发所述加密后私钥和所述加密后对称密钥之前,还包括:
利用所述USBKey中内置的公钥算法对所述用户端的身份进行认证,若认证通过则执行所述向所述用户端下发所述加密后私钥和所述加密后对称密钥的步骤。
第二方面,本申请公开了一种私钥保护装置,应用于隐私计算平台,包括:
非对称密钥生成模块,用于在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥;
对称密钥生成模块,用于在所述可信执行环境中生成一个对称密钥;
公钥获取模块,用于获取USBKey发送的内置于所述USBKey中的第二公钥;
公钥加密模块,用于利用所述第二公钥对所述第一私钥进行加密,得到加密后私钥;
对称密钥加密模块,用于利用所述第一公钥对所述对称密钥进行加密,得到加密后对称密钥;
密钥下发模块,用于当获取到用户端发送的目标数据时,向所述用户端下发所述加密后私钥和所述加密后对称密钥;
解密模块,用于利用内置于所述USBKey中的第二私钥对所述加密后私钥进行解密得到所述第一私钥,并利用所述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥;
数据加密模块,用于利用所述对称密钥对所述目标数据进行加密得到目标密文。
第三方面,本申请公开了一种电子设备,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的计算机程序时实现前述的私钥保护方法。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述的私钥保护方法。
可见,本申请先在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥,然后在所述可信执行环境中生成一个对称密钥,接着获取USBKey发送的内置于所述USBKey中的第二公钥,并利用所述第二公钥对所述第一私钥进行加密,得到加密后私钥,再利用所述第一公钥对所述对称密钥进行加密,得到加密后对称密钥,当获取到用户端发送的目标数据时,向所述用户端下发所述加密后私钥和所述加密后对称密钥,以利用内置于所述USBKey中的第二私钥对所述加密后私钥进行解密得到所述第一私钥,并利用所述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥,再利用所述对称密钥对所述目标数据进行加密得到目标密文。本申请通过USBKey随时生产的公私钥中公钥保护了私钥在传输过程中的安全,实现了数据提供方对自己的私钥进行保护,避免了私钥在传输途中被泄密及被复制的风险,使私钥传输更安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种私钥保护方法流程图;
图2为本申请公开的一种具体的私钥保护方法流程图;
图3为本申请公开的一种具体的私钥保护方法流程框图;
图4为本申请公开的一种具体的私钥验签流程图;
图5为本申请公开的一种私钥保护装置结构示意图;
图6为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例公开了一种私钥保护方法,应用于隐私计算平台,参见图1所示,该方法包括:
步骤S11:在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥。
本实施例中,首先再所述隐私计算平台的可信执行环境(TEE,Trusted ExecutionEnvironment)中随时的生成一对非对称密钥,得到相应的第一私钥和第一公钥。其中,所述可信执行环境能够使基于inter硬件厂商底层架构可信,并且,通过CPU(CentralProcessing Unit,中央处理器)底层架构保障所述可信执行环境的可信,同时inter的可信执行环境服务中心远程对访问可信执行环境的可信身份验证。例如,当数据参与方需要验证可信执行环境是否可信时,在参与方本地随时的生成随机数r,然后通过可信执行环境对随机数r进行可信认证,并返回可信认证报告;当数据参与方获取到上述可信认证报告时将其自动转发至inter的可信执行环境服务中心,然后通过可信执行环境服务中心验证该可信认证报告的可信执行环境的参数是否有改动,若有改动,则表明可信执行环境不可信;若无改动,则表明可信执行环境可信。
需要指出的是,所述在所述隐私计算平台的可信执行环境中生成一对非对称密钥之前,具体还包括:通过USBKey随机的生成一对公私钥,得到所述第二公钥和所述第二私钥,并将所述第二公钥和所述第二私钥内置于所述USBKey中。也即,预先通过USBKey随机的生成一对公私钥,然后将其保存至USBKey中。
具体的,所述在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥,可以包括:在所述隐私计算平台的可信执行环境中通过密钥管理服务***生成一对非对称密钥,得到第一私钥和第一公钥。也即,可以基于隐私计算平台的可信执行环境通过密钥管理服务(KMS,Key Management Service)***生成一对非对称密钥。
步骤S12:在所述可信执行环境中生成一个对称密钥。
本实施例中,在所述隐私计算平台的可信执行环境中生成一对非对称密钥得到第一私钥和第一公钥之后,进一步的在上述隐私计算平台的可信执行环境中生成一个对称密钥。
步骤S13:获取USBKey发送的内置于所述USBKey中的第二公钥,并利用所述第二公钥对所述第一私钥进行加密,得到加密后私钥。
本实施例中,在所述可信执行环境中生成一个对称密钥之后,先获取由USBKey发送的并且内置于上述USBKey中的第二公钥,然后利用所述第二公钥对上述第一私钥进行加密处理,得到加密后私钥。
步骤S14:利用所述第一公钥对所述对称密钥进行加密,得到加密后对称密钥。
本实施例中,利用所述第二公钥对所述第一私钥进行加密得到加密后私钥之后,接着利用上述第一公钥对上述对称密钥进行加密处理,得到相应的加密后对称密钥。
步骤S15:当获取到用户端发送的目标数据时,向所述用户端下发所述加密后私钥和所述加密后对称密钥,以利用内置于所述USBKey中的第二私钥对所述加密后私钥进行解密得到所述第一私钥,并利用所述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥,再利用所述对称密钥对所述目标数据进行加密得到目标密文。
本实施例中,利用所述第一公钥对所述对称密钥进行加密得到加密后对称密钥之后,当获取到由用户端发送的目标数据时,先将上述加密后私钥和上述加密后对称密钥下发至上述用户端,然后在所述用户端侧自动执行所述USBKey中的脚本,并利用内置于上述USBKey中的第二私钥对上述加密后私钥进行解密操作,进而得到上述第一私钥,接着利用解密后得到的所述第一私钥对上述加密后对称密钥进行解密,得到上述对称密钥,进一步的,利用上述对称密钥对上述目标数据进行加密得到相应的目标密文。
另外,所述向所述用户端下发所述加密后私钥和所述加密后对称密钥之前,具体还包括:利用所述USBKey中内置的公钥算法对所述用户端的身份进行认证,若认证通过则执行所述向所述用户端下发所述加密后私钥和所述加密后对称密钥的步骤。需要指出的是,所述USBKey是一种USB接口的硬件设备,内置了单片机或智能卡芯片,并且具有一定的存储空间,可以存储用户的私钥以及数字证书等信息,利用USB Key内置的公钥算法可以实现对用户身份的认证,由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此采用USB Key能够保证用户认证的安全性。本实施例在向用户端下发密钥信息时,为了确保信息发送的安全性,可以先通过USBKey中内置的公钥算法对用户端的身份进行认证,如果认证通过则进行相应的信息下发操作。
需要指出的是,所述利用所述对称密钥对所述目标数据进行加密得到目标密文之后,还可以包括:通过所述用户端将所述目标密文发送至所述隐私计算平台,以便通过所述隐私计算平台对所述目标密文进行存储。本实施例中,为了提高目标密文存储的安全性,在用户端生成目标密文之后,可以将其发送至隐私计算平台中进行保存。
进一步的,所述利用所述对称密钥对所述目标数据进行加密得到目标密文之后,还可以包括:利用所述对称密钥对所述目标密文进行解密,得到所述目标数据。本实施例中,为了对私钥进行验签,还可以利用内置于USBKey中的上述第二私钥对所述加密后私钥进行解密,得到所述第一私钥,然后利用上述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥,再利用所述对称密钥对上述目标密文数据进行解密,得到明文信息,即所述目标数据,以上便完成了对私钥的验签。
可见,本申请实施例先在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥,然后在所述可信执行环境中生成一个对称密钥,接着获取USBKey发送的内置于所述USBKey中的第二公钥,并利用所述第二公钥对所述第一私钥进行加密,得到加密后私钥,再利用所述第一公钥对所述对称密钥进行加密,得到加密后对称密钥,当获取到用户端发送的目标数据时,向所述用户端下发所述加密后私钥和所述加密后对称密钥,以利用内置于所述USBKey中的第二私钥对所述加密后私钥进行解密得到所述第一私钥,并利用所述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥,再利用所述对称密钥对所述目标数据进行加密得到目标密文。本申请实施例通过USBKey随时生产的公私钥中公钥保护了私钥在传输过程中的安全,实现了数据提供方对自己的私钥进行保护,避免了私钥在传输途中被泄密及被复制的风险,使私钥传输更安全。
本申请实施例公开了一种具体的私钥保护方法,应用于隐私计算平台,参见图2和图3所示所示,该方法包括:
步骤S21:在所述隐私计算平台的可信执行环境中通过密钥管理服务***生成一对非对称密钥,得到第一私钥和第一公钥。
在一种具体的实施方式中,参见图3所示,先通过USBKey随时的生成一对公私钥对,得到私钥UK1和公钥UK2,接着密钥管理服务***在隐私计算平台的可信执行环境中生成一对非对称密钥,得到私钥K1和公钥K2。需要指出的是,所述可信执行环境采用硬件生成密钥的方式,所述密钥管理服务***用于数据流通中全生命周期加密,提供独立统一密钥管理,支持独立密钥管理体系,包含加密密钥生成、分配、备份、恢复、密钥不出设备等功能,加密密钥统一由主密钥进行保护,主密钥由所述密钥管理服务***通过硬件密码设备产生并管理,确保主密钥安全。
步骤S22:在所述可信执行环境中生成一个对称密钥。
进一步的,通过上述密钥管理服务***在上述可信执行环境中生成一个对称密钥K。
步骤S23:获取USBKey通过用户注册的方式发送的内置于所述USBKey中的第二公钥,并利用所述第二公钥对所述第一私钥进行加密,得到加密后私钥。
例如,在所述可信执行环境中生成一个对称密钥K之后,通过用户注册的方式将上述USBKey中的所述公钥UK2发送到上述隐私计算平台,所述隐私计算平台接收到上述公钥UK2后,使用上述公钥UK2对上述非对称密钥中的私钥K1进行加密,得到加密后私钥UK12。
步骤S24:利用所述第一公钥对所述对称密钥进行加密,得到加密后对称密钥。
进一步的,利用上述非对称密钥中的公钥K2对上述对称密钥K进行加密,得到加密后对称密钥KK2。
步骤S25:当获取到用户端发送的目标数据时,向所述用户端下发所述加密后私钥和所述加密后对称密钥,以利用内置于所述USBKey中的第二私钥对所述加密后私钥进行解密得到所述第一私钥,并利用所述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥,再利用所述对称密钥对所述目标数据进行加密得到目标密文。
在一种具体的实施例中,当获取到用户端发送的目标数据时,通过所述隐私计算平台向所述用户端下发上述加密后私钥UK12和上述加密后对称密钥KK2,然后在所述用户端自动执行上述USBkey中脚本,并使用上述私钥UK1对上述加密后私钥UK12进行解密,得到上述私钥K1,接着使用上述私钥K1对上述加密后对称密钥KK2进行解密,得到所述对称密钥K,最后在所述用户端本地使用上述对称密钥K对待进行加密的本地文件,得到密文KM,还可以进一步的将上述密文KM上传至上述隐私计算平台中进行保存。可以理解的是,通过内置脚本在USBKey中可以自动化进行私钥验签,可以更方便、安全的对数据集进行授权。
另外,参见图4所示,图4示出了一种具体的私钥验签过程,先将USBKey***到隐私计算平台中,然后利用上述私钥UK1对上述加密后私钥UK12进行解密,得到上述私钥K1,然后利用上述私钥K1对上述加密后对称密钥KK2进行解密,得到所述对称密钥K,接着同步上述密文KM进入到所述隐私计算平台的可信执行环境中,并将上述对称密钥K同步进入至上述可信执行环境中,以利用上述对称密钥K对上述密文KM进行解密,得到明文M。
可见,本申请提出的私钥保护方案通过是USBKey随时生产的公私钥中的公钥对隐私计算平台分配的私钥进行加密的,并通过用户端本地的USBKey进行私钥验签,可以实现数据提供方对自己的私钥进行保护,防止因私钥泄漏发生数据安全风险,简化了私钥验证的过程,提升了用户使用感,无须手动执行脚本,使私钥验签更方便、更安全,在保护私钥在传输过程中安全性的同时,能够快速的对私钥进行验签,并且能够二次确认用户的真实性。
相应的,本申请实施例还公开了一种私钥保护装置,应用于隐私计算平台,参见图5所示,该装置包括:
非对称密钥生成模块11,用于在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥;
对称密钥生成模块12,用于在所述可信执行环境中生成一个对称密钥;
公钥获取模块13,用于获取USBKey发送的内置于所述USBKey中的第二公钥;
公钥加密模块14,用于利用所述第二公钥对所述第一私钥进行加密,得到加密后私钥;
对称密钥加密模块15,用于利用所述第一公钥对所述对称密钥进行加密,得到加密后对称密钥;
密钥下发模块16,用于当获取到用户端发送的目标数据时,向所述用户端下发所述加密后私钥和所述加密后对称密钥;
解密模块17,用于利用内置于所述USBKey中的第二私钥对所述加密后私钥进行解密得到所述第一私钥,并利用所述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥;
数据加密模块18,用于利用所述对称密钥对所述目标数据进行加密得到目标密文。
其中,关于上述各个模块的具体工作流程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本申请实施例中,先在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥,然后在所述可信执行环境中生成一个对称密钥,接着获取USBKey发送的内置于所述USBKey中的第二公钥,并利用所述第二公钥对所述第一私钥进行加密,得到加密后私钥,再利用所述第一公钥对所述对称密钥进行加密,得到加密后对称密钥,当获取到用户端发送的目标数据时,向所述用户端下发所述加密后私钥和所述加密后对称密钥,以利用内置于所述USBKey中的第二私钥对所述加密后私钥进行解密得到所述第一私钥,并利用所述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥,再利用所述对称密钥对所述目标数据进行加密得到目标密文。本申请实施例通过USBKey随时生产的公私钥中公钥保护了私钥在传输过程中的安全,实现了数据提供方对自己的私钥进行保护,避免了私钥在传输途中被泄密及被复制的风险,使私钥传输更安全。
在一些具体实施例中,所述非对称密钥生成模块11,具体可以包括:
第一非对称密钥生成单元,用于在所述隐私计算平台的可信执行环境中通过密钥管理服务***生成一对非对称密钥,得到第一私钥和第一公钥。
在一些具体实施例中,所述公钥获取模块13,具体可以包括:
公钥获取单元,用于获取USBKey通过用户注册的方式发送的内置于所述USBKey中的第二公钥。
在一些具体实施例中,所述数据加密模块18之后,还可以包括:
密文发送单元,用于通过所述用户端将所述目标密文发送至所述隐私计算平台;
密文存储单元,用于通过所述隐私计算平台对所述目标密文进行存储。
在一些具体实施例中,所述非对称密钥生成模块11之前,还可以包括:
第二非对称密钥生成单元,用于通过所述USBKey随机的生成一对公私钥,得到所述第二公钥和所述第二私钥;
存储单元,用于将所述第二公钥和所述第二私钥内置于所述USBKey中。
在一些具体实施例中,所述数据加密模块18之后,还可以包括:
密文解密单元,用于利用所述对称密钥对所述目标密文进行解密,得到所述目标数据。
在一些具体实施例中,所述密钥下发模块16之前,还可以包括:
身份认证单元,用于利用所述USBKey中内置的公钥算法对所述用户端的身份进行认证,若认证通过则执行所述向所述用户端下发所述加密后私钥和所述加密后对称密钥的步骤。
进一步的,本申请实施例还公开了一种电子设备,图6是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图6为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的私钥保护方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作***221、计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作***221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的私钥保护方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的私钥保护方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种私钥保护方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种私钥保护方法,其特征在于,应用于隐私计算平台,包括:
在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥;
在所述可信执行环境中生成一个对称密钥;
获取USBKey发送的内置于所述USBKey中的第二公钥,并利用所述第二公钥对所述第一私钥进行加密,得到加密后私钥;
利用所述第一公钥对所述对称密钥进行加密,得到加密后对称密钥;
当获取到用户端发送的目标数据时,向所述用户端下发所述加密后私钥和所述加密后对称密钥,以利用内置于所述USBKey中的第二私钥对所述加密后私钥进行解密得到所述第一私钥,并利用所述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥,再利用所述对称密钥对所述目标数据进行加密得到目标密文。
2.根据权利要求1所述的私钥保护方法,其特征在于,所述在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥,包括:
在所述隐私计算平台的可信执行环境中通过密钥管理服务***生成一对非对称密钥,得到第一私钥和第一公钥。
3.根据权利要求1所述的私钥保护方法,其特征在于,所述获取USBKey发送的内置于所述USBKey中的第二公钥,包括:
获取USBKey通过用户注册的方式发送的内置于所述USBKey中的第二公钥。
4.根据权利要求1所述的私钥保护方法,其特征在于,所述利用所述对称密钥对所述目标数据进行加密得到目标密文之后,还包括:
通过所述用户端将所述目标密文发送至所述隐私计算平台,以便通过所述隐私计算平台对所述目标密文进行存储。
5.根据权利要求1所述的私钥保护方法,其特征在于,所述在所述隐私计算平台的可信执行环境中生成一对非对称密钥之前,还包括:
通过所述USBKey随机的生成一对公私钥,得到所述第二公钥和所述第二私钥,并将所述第二公钥和所述第二私钥内置于所述USBKey中。
6.根据权利要求1所述的私钥保护方法,其特征在于,所述利用所述对称密钥对所述目标数据进行加密得到目标密文之后,还包括:
利用所述对称密钥对所述目标密文进行解密,得到所述目标数据。
7.根据权利要求1至6任一项所述的私钥保护方法,其特征在于,所述向所述用户端下发所述加密后私钥和所述加密后对称密钥之前,还包括:
利用所述USBKey中内置的公钥算法对所述用户端的身份进行认证,若认证通过则执行所述向所述用户端下发所述加密后私钥和所述加密后对称密钥的步骤。
8.一种私钥保护装置,其特征在于,应用于隐私计算平台,包括:
非对称密钥生成模块,用于在所述隐私计算平台的可信执行环境中生成一对非对称密钥,得到第一私钥和第一公钥;
对称密钥生成模块,用于在所述可信执行环境中生成一个对称密钥;
公钥获取模块,用于获取USBKey发送的内置于所述USBKey中的第二公钥;
公钥加密模块,用于利用所述第二公钥对所述第一私钥进行加密,得到加密后私钥;
对称密钥加密模块,用于利用所述第一公钥对所述对称密钥进行加密,得到加密后对称密钥;
密钥下发模块,用于当获取到用户端发送的目标数据时,向所述用户端下发所述加密后私钥和所述加密后对称密钥;
解密模块,用于利用内置于所述USBKey中的第二私钥对所述加密后私钥进行解密得到所述第一私钥,并利用所述第一私钥对所述加密后对称密钥进行解密,得到所述对称密钥;
数据加密模块,用于利用所述对称密钥对所述目标数据进行加密得到目标密文。
9.一种电子设备,其特征在于,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的计算机程序时实现如权利要求1至7任一项所述的私钥保护方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的私钥保护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211182328.0A CN115801232A (zh) | 2022-09-27 | 2022-09-27 | 一种私钥保护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211182328.0A CN115801232A (zh) | 2022-09-27 | 2022-09-27 | 一种私钥保护方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115801232A true CN115801232A (zh) | 2023-03-14 |
Family
ID=85432268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211182328.0A Pending CN115801232A (zh) | 2022-09-27 | 2022-09-27 | 一种私钥保护方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115801232A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117544430A (zh) * | 2024-01-10 | 2024-02-09 | 北京佳芯信息科技有限公司 | 智能化数据加密方法及*** |
-
2022
- 2022-09-27 CN CN202211182328.0A patent/CN115801232A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117544430A (zh) * | 2024-01-10 | 2024-02-09 | 北京佳芯信息科技有限公司 | 智能化数据加密方法及*** |
| CN117544430B (zh) * | 2024-01-10 | 2024-03-29 | 北京佳芯信息科技有限公司 | 智能化数据加密方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109495274B (zh) | 一种去中心化智能锁电子钥匙分发方法及*** | |
| CN107358441B (zh) | 支付验证的方法、***及移动设备和安全认证设备 | |
| CN111464301B (zh) | 一种密钥管理方法及*** | |
| US20140112470A1 (en) | Method and system for key generation, backup, and migration based on trusted computing | |
| CN103138939B (zh) | 云存储模式下基于可信平台模块的密钥使用次数管理方法 | |
| CN114788226B (zh) | 用于建立分散式计算机应用的非托管工具 | |
| CN101515319B (zh) | 密钥处理方法、密钥密码学服务***和密钥协商方法 | |
| EP3001598B1 (en) | Method and system for backing up private key in electronic signature token | |
| CN106227503A (zh) | 安全芯片cos固件更新方法、服务端、终端及*** | |
| EP3001599B1 (en) | Method and system for backing up private key of electronic signature token | |
| CN110932850B (zh) | 通信加密方法及*** | |
| CN108632296B (zh) | 一种网络通信的动态加密与解密方法 | |
| CN103036880A (zh) | 网络信息传输方法、设备及*** | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN108809936B (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现*** | |
| CN104866784A (zh) | 一种基于bios加密的安全硬盘、数据加密及解密方法 | |
| CN113868684A (zh) | 一种签名方法、装置、服务端、介质以及签名*** | |
| CN111654503A (zh) | 一种远程管控方法、装置、设备及存储介质 | |
| CN115801232A (zh) | 一种私钥保护方法、装置、设备及存储介质 | |
| CN111435389A (zh) | 一种配电终端运维工具安全防护*** | |
| CN116244750A (zh) | 一种涉密信息维护方法、装置、设备及存储介质 | |
| KR101793528B1 (ko) | 무인증서 공개키 암호 시스템 | |
| CN115795446A (zh) | 在可信计算平台中处理数据的方法及管理装置 | |
| CN111327415A (zh) | 一种联盟链数据保护方法及装置 | |
| CN115348077A (zh) | 一种虚拟机加密方法、装置、设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |