本发明专利技术提供基于可信计算环境的私钥管理方法和装置,方法用于私钥生成包括:利用可信计算环境生成私钥;利用可信计算环境私钥加密用户私钥;利用云服务厂商加密服务和加密版本号确定最后加密私钥,存储最后加密私钥至云服务厂商数据库。方法用于私钥签名包括:获取最后加密私钥,利用云服务厂商加密服务和加密版本号,可信计算环境对其解密,得到用户原始私钥;对原始私钥进行签名处理。方法用于加密私钥更新包括:根据云服务厂商信息和其存储的私钥,确定用户加密私钥;利用待更换新云服务厂商的加密服务对该私钥进行加密,加密版本号对加密后的私钥加密,存储最终加密私钥至云服务厂商数据库。本发明专利技术避免获取原始私钥的风险,保证私钥安全。
【技术实现步骤摘要】
基于可信计算环境的私钥管理方法和装置
本专利技术涉及私钥管理
,特别涉及一种基于可信计算环境的私钥管理方法和装置。
技术介绍
基于区块链技术的去中心化数字资产正在成为一种越来越重要的资产,私钥在去中心化数字资产中相当于一把具有对资产完全控制权的钥匙。现有的去中心化数字资产钱包按照私钥是否由用户本身管理可以分为两类:(1)本地钱包:用户完全掌控私钥的一种钱包(2)云钱包:用户将数字资产托管到云平台,由云钱包服务商帮助用户管理私钥的一种钱包。在云钱包中,由于平台要管理众多用户私钥,保证私钥安全成为了平台的立足之本。在现有云平台架构中,由于私钥存储在云端,所以私钥存在受到外部黑客、内部人员以及云服务厂商的窃取的威胁。基于上述现有技术存在的缺点,现急需一种具有保护私钥不被窃取,能够避免外部黑客、内部人员和云服务厂商带来私钥安全威胁的方法。
技术实现思路
为了解决云端存储的私钥易受到外部黑客、内部人员以及云服务厂商的窃取的威胁的问题,本专利技术提供一种基于可信计算环境的私钥管理方法和装置。第一方面,本专利技术提供一种基于可信计算环境的私钥管理方法,该方法用于私钥生成,该方法包括:利用可信计算环境生成内部可信计算环境私钥;根据可信计算环境私钥加密用户私钥,得到用户加密后的第一私钥;利用云服务厂商的加密服务对第一私钥进行加密,得到用户加密后的第二私钥;将云服务厂商的加密版本号添加至第二私钥中,得到用户加密后的第三私钥;存储第三私钥至云服务厂商数据库。第二方面,本专利技术提供一种基于可信计算环境的私钥管理方法,该方法用于私钥签名,该方法包括:获取云服务厂商内存储的第三私钥;从第三私钥内获取云服务厂商的加密版本号和用户加密后的第二私钥;根据云服务厂商的加密版本号确定云服务厂商的加密服务,对第二私钥进行解密,得到用户加密后的第一私钥;利用可信计算环境解密第一私钥,得到用户原始私钥;利用原始私钥对待签名数据进行处理,得到签名数据。第三方面,本专利技术提供一种基于可信计算环境的私钥管理方法,该方法用于加密私钥更新,该方法包括:获取云服务厂商内存储的第三私钥,待更换的新云服务厂商信息;根据第三私钥、云服务厂商加密版本号和加密服务,确定用户加密后的第一私钥;根据新云服务厂商的加密版本号确定新云服务厂商的加密服务,对第一私钥进行加密,得到用户加密后的新的第二私钥;将新云服务厂商的加密版本号添加至新的第二私钥中,得到用户加密后的新的第三私钥;将用户加密后的新的第三私钥更新第三私钥;存储更新后的第三私钥至云服务厂商数据库。进一步地,根据第三私钥、云服务厂商加密版本号和加密服务,确定用户加密后的第一私钥包括:根据第三私钥获取云服务厂商加密版本号和用户加密后的第二私钥;根据云服务厂商加密版本号确定对应的云服务厂商解密服务,解密第二私钥,得到用户加密后的第一私钥。第四方面,本专利技术提供一种基于可信计算环境的私钥管理装置,该装置为私钥生成模块,该装置包括:生成可信计算环境私钥单元,用于利用可信计算环境生成内部可信计算环境私钥;第一私钥获取单元,用于根据可信计算环境私钥加密用户私钥,得到用户加密后的第一私钥;第二私钥获取单元,用于利用云服务厂商的加密服务对第一私钥进行加密,得到用户加密后的第二私钥;第三私钥获取单元,用于将云服务厂商的加密版本号添加至第二私钥中,得到用户加密后的第三私钥;存储单元,用于存储第三私钥至云服务厂商数据库。第五方面,本专利技术提供一种基于可信计算环境的私钥管理装置,该装置为私钥签名模块,该装置包括:第三私钥获取单元,用于获取云服务厂商内存储的第三私钥;第二私钥获取单元,用于从第三私钥内获取云服务厂商的加密版本号和用户加密后的第二私钥;第一私钥获取单元,用于根据云服务厂商的加密版本号确定云服务厂商的加密服务,对第二私钥进行解密,得到用户加密后的第一私钥;用户原始私钥得到单元,用于利用可信计算环境解密第一私钥,得到用户原始私钥;签名处理单元,用于利用原始私钥对待签名数据进行处理,得到签名数据。第六方面,本专利技术提供一种基于可信计算环境的私钥管理装置,该装置为加密私钥更新模块,该装置包括:第三私钥和待更换新云服务厂商获取单元,用于获取云服务厂商内存储的第三私钥,待更换的新云服务厂商信息;第一私钥确定单元,用于根据第三私钥、云服务厂商加密版本号和加密服务,确定用户加密后的第一私钥;新的第二私钥获取单元,用于根据新云服务厂商的加密版本号确定新云服务厂商的加密服务,对第一私钥进行加密,得到用户加密后的新的第二私钥;新的第三私钥获取单元,用于将新云服务厂商的加密版本号添加至新的第二私钥中,得到用户加密后的新的第三私钥;更新第三私钥单元,用于将用户加密后的新的第三私钥更新第三私钥;存储单元,用于存储更新后的第三私钥至云服务厂商数据库。第七方面,本专利技术提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一或第二或第三方面提供的基于可信计算环境的私钥管理方法的步骤。第八方面,本专利技术提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现第一或第二或第三方面提供的基于可信计算环境的私钥管理方法的步骤。本专利技术在私钥生成方法中,原始私钥仅在可信计算环境中出现,二次加密后私钥存储在云服务厂商数据库服务中,依靠可信计算环境的保护,有效避免了原始私钥泄漏、窃取等问题;私钥签名方法中,在使用私钥签名时,私钥也只在可信计算环境中出现,保证了私钥的安全,并且在可信计算环境中可以实现多种签名算法,以满足不同区块链系统等签名要求;私钥更新方法中,通过云服务厂商加密服务版本号机制可以进行加密后私钥升级,可以升级到不同云服务厂商的加密服务或者相同云服务厂商不同班的加密服务,在更新的过程中未出现原始私钥,保证了原始私钥的安全,而且加密后私钥升级机制的设计也提高了私钥管理方法的灵活性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的基于可信计算环境的私钥管理方法流程示意图;图2为本专利技术另一实施例提供的基于可信计算环境的私钥管理方法流程示意图;图3为本专利技术再一实施例提供的基于可信计算环境的私钥管理方法流程示意图;图4为本专利技术实施例提供的基于可信计算环境的私钥管理装置框图;图5为本专利技术另一实施例提供的基于可信计算环境的私钥管理装置框图;图6为本专利技术再一实施例提供的基于可信本文档来自技高网...
【技术保护点】
1.一种基于可信计算环境的私钥管理方法,其特征在于,所述方法用于私钥生成,所述方法包括:/n利用可信计算环境生成内部可信计算环境私钥;/n根据所述可信计算环境私钥加密用户私钥,得到用户加密后的第一私钥;/n利用云服务厂商的加密服务对所述第一私钥进行加密,得到用户加密后的第二私钥;/n将云服务厂商的加密版本号添加至第二私钥中,得到用户加密后的第三私钥;/n存储所述第三私钥至云服务厂商数据库。/n
【技术特征摘要】
1.一种基于可信计算环境的私钥管理方法,其特征在于,所述方法用于私钥生成,所述方法包括:
利用可信计算环境生成内部可信计算环境私钥;
根据所述可信计算环境私钥加密用户私钥,得到用户加密后的第一私钥;
利用云服务厂商的加密服务对所述第一私钥进行加密,得到用户加密后的第二私钥;
将云服务厂商的加密版本号添加至第二私钥中,得到用户加密后的第三私钥;
存储所述第三私钥至云服务厂商数据库。
2.一种基于可信计算环境的私钥管理方法,其特征在于,所述方法用于私钥签名,所述方法包括:
获取云服务厂商内存储的第三私钥;
从所述第三私钥内获取云服务厂商的加密版本号和用户加密后的第二私钥;
根据云服务厂商的加密版本号确定云服务厂商的加密服务,对所述第二私钥进行解密,得到用户加密后的第一私钥;
利用可信计算环境解密所述第一私钥,得到用户原始私钥;
利用所述原始私钥对待签名数据进行处理,得到签名数据。
3.一种基于可信计算环境的私钥管理方法,其特征在于,所述方法用于加密私钥更新,所述方法包括:
获取云服务厂商内存储的第三私钥,待更换的新云服务厂商信息;
根据所述第三私钥、云服务厂商加密版本号和加密服务,确定用户加密后的第一私钥;
根据新云服务厂商的加密版本号确定新云服务厂商的加密服务,对所述第一私钥进行加密,得到用户加密后的新的第二私钥;
将新云服务厂商的加密版本号添加至新的第二私钥中,得到用户加密后的新的第三私钥;
将用户加密后的新的第三私钥更新所述第三私钥;
存储更新后的第三私钥至云服务厂商数据库。
4.根据权利要求3所述的方法,其特征在于,所述根据所述第三私钥、云服务厂商加密版本号和加密服务,确定用户加密后的第一私钥包括:
根据第三私钥获取云服务厂商加密版本号和用户加密后的第二私钥;
根据云服务厂商加密版本号确定对应的云服务厂商解密服务,解密所述第二私钥,得到用户加密后的第一私钥。
5.一种基于可信计算环境的私钥管理装置,其特征在于,所述装置为私钥生成模块,所述装置包括:
生成可信计算环境私钥单元,用于利用可信计算环境生成内部可信计算环境私钥;
第一私钥获取单元,用于根据所述可信计算环...
【专利技术属性】
技术研发人员:王珂,
申请(专利权)人:北京千云天下科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。