技术领域
[0001] 本
申请涉及服务端私钥托管技术领域,尤其涉及一种基于区块链的私钥加解密托管方法及设备、介质。
背景技术
[0002] 随着新一代信息科技的发展,在新型智慧城市建设与发展中,人与人、人与物、物与物之间的联系会越来越多,智能化的产品和服务将大量融入到人民的日常生活中,在人民的日常生活中必然会产生大量的公共数据和个人数据。在
大数据、城市数字化发展形势下,如何保护用户个人数据及隐私数据的安全,已经成为不可规避的重要问题。
[0003] 传统的
数据网络方法用户首次注册ID成功后,方法会自动生成向用户分配密钥对,即公钥数据和私钥数据。由于公钥数据和私钥数据的代码都比较复杂,所以用户往往直接将分配给他的私钥数据直接交给托管方进行托管,在需要用私钥数据进行加解密时,可以很方便地从托管方获取私钥数据。但是传统的私钥托管方法存在一定的安全隐患,因为用户将私钥数据完全委托给托管方,这就使得托管方可以很轻松地获得用户的私钥数据,再加上密钥对中公开的公钥数据,托管方就可以很容易地获得用户的个人数据甚至是隐私数据。一旦托管方个别人员受到利益驱使,违规获取并利用用户的私钥数据进行牟利,用户将遭受无法挽回的损失。
[0004] 用户作为私钥数据的拥有者,在本质上缺少对私钥数据的掌控权,其私钥数据可能在不被告知的情况下被没有取得用户授权的第三方获取到,导致用户隐私数据泄露等事件频发。
[0005] 因此,目前迫切需要开发一种新型的私钥数据托管方法,保证用户对其拥有的私钥数据的掌控权,即只有用户自己或取得了用户授权的托管方一部分人员才能获得用户的私钥数据。
发明内容
[0006] 本
说明书实施例提供一种基于区块链的私钥加解密托管方法及设备、介质,用于解决
现有技术中的如下技术问题:用户将私钥数据完全委托给托管方,导致用户自身无法掌控私钥数据的提取权限,用户私钥数据存在被违规获取的危险。
[0007] 本说明书实施例采用下述技术方案:
[0008] 一种基于区块链的私钥数据加解密托管方法,包括加密过程和解密过程:
[0009] 所述加密过程,包括:
[0010] 获取私钥托管密码及授权托管方信息数据;
[0011] 利用所述私钥托管密码为第一加密密钥,根据第一加解密
算法,对私钥数据进行加密,得到加密私钥数据;
[0012] 利用授权托管方信息数据为第二加密密钥,根据第二加解密算法,对所述私钥托管密码进行加密,得到加密私钥托管密码;
[0013] 根据私钥托管
智能合约,将所述加密私钥数据与所述加密私钥托管密码上传至私钥托管区块链;
[0014] 所述解密过程,包括:
[0015] 获取提取私钥托管方信息数据,对比所述提取私钥托管方信息数据与所述授权托管方信息数据,确认是否具有提取所述私钥数据的权限,若有,则:
[0016] 根据所述私钥托管智能合约从所述私钥托管区块链中提取所述加密私钥托管密码;
[0017] 利用所述提取私钥托管方信息数据,根据所述第二加解密算法对所述加密私钥托管密码进行解密,得到私钥托管密码;
[0018] 利用所述私钥托管密码,根据所述第一加解密算法对所述加密私钥数据进行解密,得到私钥数据。
[0019] 可选地,基于区块链的私钥数据加解密托管方法,还包括:
[0020] 统计提取私钥托管方信息数据及相应的提取时间和/或提取次数,并将统计数据上传至所述私钥托管区块链。
[0021] 可选地,基于区块链的私钥数据加解密托管方法,还包括:
[0022] 获取私钥托管密码的哈希值,根据私钥托管智能合约将所述私钥托管密码的哈希值上传至所述私钥托管区块链。
[0023] 可选地,基于区块链的私钥数据加解密托管方法,还包括:
[0024] 获取输入密码的哈希值,对比所述输入密码的哈希值与所述私钥托管密码的哈希值,确认是否具有提取所述私钥数据的权限,若有,则:根据所述私钥托管智能合约从所述私钥托管区块链中得到私钥数据。
[0025] 可选地,基于区块链的私钥数据加解密托管方法,还包括:
[0026] 获取用户注册产生的用户信息数据,根据所述用户信息数据得到公钥数据与私钥数据。
[0027] 可选地,所述第一加密算法采用对称加密算法,所述第二加密算法采用非对称加密算法。
[0028] 可选地,所述对称加密算法包括以下至少一个:AES算法、SM4算法。
[0029] 可选地,所述非对称加密算法包括以下至少一个:RSA算法、SM4算法。
[0030] 一种基于区块链的私钥数据加解密托管设备,其特征在于,包括:
[0031] 至少一个处理器;以及,
[0032] 与所述至少一个处理器通信连接的
存储器;其中,
[0033] 所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
[0034] 包括加密过程和解密过程,
[0035] 所述加密过程,包括:
[0036] 获取私钥托管密码及授权托管方信息数据;
[0037] 利用所述私钥托管密码为第一加密密钥,根据第一加解密算法,对私钥数据进行加密,得到加密私钥数据;
[0038] 利用授权托管方信息数据为第二加密密钥,根据第二加解密算法,对所述私钥托管密码进行加密,得到加密私钥托管密码;
[0039] 根据私钥托管智能合约,将所述加密私钥数据与所述加密私钥托管密码上传至私钥托管区块链;
[0040] 所述解密过程,包括:
[0041] 获取提取私钥托管方信息数据,对比所述提取私钥托管方信息数据与所述授权托管方信息数据,确认是否具有提取所述私钥数据的权限,若有,则:
[0042] 根据所述私钥托管智能合约从所述私钥托管区块链中提取所述加密私钥托管密码;
[0043] 利用所述提取私钥托管方信息数据,根据所述第二加解密算法对所述加密私钥托管密码进行解密,得到私钥托管密码;
[0044] 利用所述私钥托管密码,根据所述第一加解密算法对所述加密私钥数据进行解密,得到私钥数据。
[0045] 一种基于区块链的私钥数据加解密托管的非易失性计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令设置为:
[0046] 包括加密过程和解密过程,
[0047] 所述加密过程,包括:
[0048] 获取私钥托管密码及授权托管方信息数据;
[0049] 利用所述私钥托管密码为第一加密密钥,根据第一加解密算法,对私钥数据进行加密,得到加密私钥数据;
[0050] 利用授权托管方信息数据为第二加密密钥,根据第二加解密算法,对所述私钥托管密码进行加密,得到加密私钥托管密码;
[0051] 根据私钥托管智能合约,将所述加密私钥数据与所述加密私钥托管密码上传至私钥托管区块链;
[0052] 所述解密过程,包括:
[0053] 获取提取私钥托管方信息数据,对比所述提取私钥托管方信息数据与所述授权托管方信息数据,确认是否具有提取所述私钥数据的权限,若有,则:
[0054] 根据所述私钥托管智能合约从所述私钥托管区块链中提取所述加密私钥托管密码;
[0055] 利用所述提取私钥托管方信息数据,根据所述第二加解密算法对所述加密私钥托管密码进行解密,得到私钥托管密码;
[0056] 利用所述私钥托管密码,根据所述第一加解密算法对所述加密私钥数据进行解密,得到私钥数据。
[0057] 本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:
[0058] (1)用户在进行私钥托管时,通过设置私钥托管密码对私钥数据进行加密。同时,用户选择其信任的托管方进行授权,即允许从私钥托管区块链上提取其私钥数据的托管方,并根据授权托管方信息数据对用户设置对私钥托管密码进行再次加密。只有取得用户授权的托管方采用其自身的信息数据才能取得用户的私钥托管密码,从而进一步取得用户的私钥,而没有被用户授权的托管方是无法取得用户的私钥托管密码的,也就没法取得用户的私钥数据。将加密后的私钥数据与加密后的私钥托管密码通过私钥托管智能合约上传至私钥托管区块链中,通过私钥托管智能合约实现私钥提取权限控制和私钥数据自动加密保存和解密提取,使用户即控制了私钥数据的提取权限,只有其授权的托管方才能提取,又隐藏了私钥数据加解密过程中密码信息,达到了提高安全性的目的。
[0059] (2)通过统计提取私钥托管方信息数据和进行私钥数据提取操作时的时间与次数,并将这些统计数据上传至私钥托管区块链中。通过区块链级别的日志记录,对统计数据进行了存证留痕,保证了统计数据的真实性与不可篡改性。这样一方面,可以对每一次私钥提取操作进行追溯核查;另外如果出现未授权人员违规提取用户私钥数据也可以留痕存证,方便追查。
[0060] (3)通过将私钥托密码的哈希值上传至私钥托管区块链上,比对其与输入托管密码的哈希值,可以方便用户自己提取私钥数据,进行操作。
[0061] (4)通过综合运用对称加密解算法与非对称加解密算法等多种加解密算法对用户私钥数据进行加解密处理,增强了用户私钥数据的安全性。
附图说明
[0062] 此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0063] 图1为本说明书实施例提供的基于区块链的私钥加解密托管方法中加密过程的一种流程示意图;
[0064] 图2为本说明书实施例提供的基于区块链的私钥加解密托管方法这个解密过程的一种流程示意图。
具体实施方式
[0065] 为使本说明书的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0066] 以下结合附图,详细说明本申请各实施例提供的技术方案。
[0067] 本申请的方案提供了一种基于区块链的私钥数据加解密托管方法,包括加密过程和解密过程:
[0068] 所述加密过程,包括:
[0069] 获取私钥托管密码及授权托管方信息数据;
[0070] 利用所述私钥托管密码为第一加密密钥,根据第一加解密算法,对私钥数据进行加密,得到加密私钥数据;
[0071] 利用授权托管方信息数据为第二加密密钥,根据第二加解密算法,对所述私钥托管密码进行加密,得到加密私钥托管密码;
[0072] 根据私钥托管智能合约,将所述加密私钥数据与所述加密私钥托管密码上传至私钥托管区块链;
[0073] 所述解密过程,包括:
[0074] 获取提取私钥托管方信息数据,对比所述提取私钥托管方信息数据与所述授权托管方信息数据,确认是否具有提取所述私钥数据的权限,若有,则:
[0075] 根据所述私钥托管智能合约从所述私钥托管区块链中提取所述加密私钥托管密码;
[0076] 利用所述提取私钥托管方信息数据,根据所述第二加解密算法对所述加密私钥托管密码进行解密,得到私钥托管密码;
[0077] 利用所述私钥托管密码,根据所述第一加解密算法对所述加密私钥数据进行解密,得到私钥数据。
[0078] 为便于对本发明的理解,下面对上述基于区块链的私钥数据加解密托管方法的具体步骤做进一步的描述:
[0079] 首先搭建私钥托管区块链网络,在所搭建的私钥托管区块链上部署私钥托管智能合约,通过部署的私钥托管智能合约保存数据信息和日志留痕信息。
[0080] 在本申请的一些实施例中,采用超级账本fabric区块链网络搭建私钥托管区块链。
[0081] 在本申请的一些实施例中,用户首次注册生成用户信息数据,用户信息数据比如包括用户ID,将用户ID记为U,以U为用户名在超级账本fabric网络中注册身份,并获得公钥数据与私钥数据。
[0082] 对私钥数据进行加密的过程为:
[0083] 用户自己设置其私钥托管密码,将私钥托管密码记为PWD,根据私钥托管智能合约,私钥托管密码PWD的哈希值自动保存到区块链
数据库中用以进行验证。
[0084] 同时,用户对其信任的托管方进行授权,获得授权的托管方即为用户允许其从私钥托管区块链上提取其私钥数据的人员,授权托管方数量记为n。
[0085] 获取授权托管方的用户信息列表,其用户信息列表中至少包括授权托管方信息数据。
[0086] 将用户私钥数据使用第一加解密算法以私钥托管密码PWD为第一加密密钥进行加密,得到加密后的私钥数据,将获得的加密私钥数据记为EK。
[0087] 使用第二加密算法与各个授权用户的公钥分别对私钥托管密码PWD进行加密得到一组加密后的私钥托管密码,将获得的加密私钥托管密码记为EP1-EPn。
[0088] 将以上信息组装为json串写入私钥托管区块链,以U作为key。
[0089] 其中,json结构如下:
[0090]
[0091] 对私钥数据进行解密,提取私钥数据的过程为:
[0092] 进行私钥数据提取操作的托管方输入他的信息数据,即提取私钥托管方信息数据,这些信息数据中包括其用户信息中的私钥。对比提取私钥托管方信息数据与用户授权的托管方信息数据,确认其是不是用户授权的托管方之一,如果是则具有提取私钥数据的权限。确认其具有权限后根据私钥托管智能合约自动从私钥托管区块链上提取加密私钥托管密码EP,EP为EP1-EPn中的一个。根据提取私钥托管方的用户信息中的私钥,利用第二加解密算法,对加解密私钥托管密码EP进行解密,得到私钥托管密码PWD。最后,根据私钥托管密码PWD,利用第一加解密算法对加密私钥数据EK进行解密,得到用户的私钥数据。
[0093] 进行私钥托管时,用户通过设置私钥托管密码对私钥数据进行加密。同时,用户授权其信任的一些托管方,允许他们提取其私钥数据。利用授权托管方自己的信息数据对用户设置的私钥托管密码进行加密。这样就使得只有用户授权的托管方才能够对加密后私钥托管密码进行解密,从而能进一步获得用户的私钥数据,而没有被授权的托管方是无法解密获得用户的私钥托管密码的,也就无法取得私钥数据。将加密后的私钥数据与加密后的私钥托管密码通过私钥托管智能合约上传至私钥托管区块链中,使用户即控制了私钥数据的提取权限,又隐藏了私钥数据加解密过程中密码信息,达到了提高安全性的目的。
[0094] 在本申请的一些实施例中,第一加密算法采用对称加密算法,对称加密算法比如包括以下至少一个:AES算法、SM4算法。
[0095] 在本申请的一些实施例中,第二加密算法采用非对称加密算法,非对称加密算法比如包括以下至少一个:RSA算法、SM4算法。
[0096] 通过综合运用对称加密解算法与非对称加解密算法等多种加解密算法对用户私钥数据进行加解密处理,增强了用户私钥数据的安全性。
[0097] 在本申请的一些实施例中,基于区块链的私钥数据加解密托管方法,还包括统计提取私钥托管方信息数据及相应的提取时间,并将统计数据上传至私钥托管区块链。
[0098] 将提取私钥托管方信息数据写入区块链,key为用户ID。日志内容json结构如下:
[0099]
[0100] 当然可以理解的是,上传至区块链日志的统计信息不仅可以是提取时间,还可以是提取次数等与在区块链上提取私钥数据有关的信息。通过统计提取私钥托管方信息数据和与其对应的提取操作的时间、次数,将这些统计数据上传至私钥托管区块链,通过区块链级别的日志记录进行证留痕。保证了统计数据的真实性与不可篡改性,这样可以对每一次私钥提取操作进行追溯核查,如果出现未授权人员违规提取用户私钥数据可以留痕存证,方便追查。
[0101] 在本申请的一些实施例中,基于区块链的私钥数据加解密托管方法,还包括获取私钥托管密码的哈希值,根据私钥托管智能合约将私钥托管密码的哈希值上传至私钥托管区块链。用户在设置私钥托管密码时,根据私钥托管智能合约自动计算将私钥拖管密码的哈希值,并上传至私钥托管区块链。
[0102] 用户自己需要提前私钥数据进行操作时,只需要输入密码,如果用户所输入的密码的哈希值与区块链中存储的私钥托管密码的哈希值一致,就确认其具有提取私钥数据的权限,根据私钥托管智能合约自动从私钥托管区块链中得到私钥数据。通过将私钥托密码的哈希值上传至私钥托管区块链上,比对其与输入托管密码的哈希值,可以方便用户自己提取私钥数据,进行操作。
[0103] 本申请的一些实施例提供的对应于图1的基于区块链的私钥加解密托管设备,包括:
[0104] 至少一个处理器;以及,
[0105] 与所述至少一个处理器通信连接的存储器;其中,
[0106] 所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
[0107] 包括加密过程和解密过程,
[0108] 所述加密过程,包括:
[0109] 获取私钥托管密码及授权托管方信息数据;
[0110] 利用所述私钥托管密码为第一加密密钥,根据第一加解密算法,对私钥数据进行加密,得到加密私钥数据;
[0111] 利用授权托管方信息数据为第二加密密钥,根据第二加解密算法,对所述私钥托管密码进行加密,得到加密私钥托管密码;
[0112] 根据私钥托管智能合约,将所述加密私钥数据与所述加密私钥托管密码上传至私钥托管区块链;
[0113] 所述解密过程,包括:
[0114] 获取提取私钥托管方信息数据,对比所述提取私钥托管方信息数据与所述授权托管方信息数据,确认是否具有提取所述私钥数据的权限,若有,则:
[0115] 根据所述私钥托管智能合约从所述私钥托管区块链中提取所述加密私钥托管密码;
[0116] 利用所述提取私钥托管方信息数据,根据所述第二加解密算法对所述加密私钥托管密码进行解密,得到私钥托管密码;
[0117] 利用所述私钥托管密码,根据所述第一加解密算法对所述加密私钥数据进行解密,得到私钥数据。
[0118] 本申请的一些实施例提供的对应于图1的一种全要素
质量数据管理的非易失性计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为:
[0119] 包括加密过程和解密过程,
[0120] 所述加密过程,包括:
[0121] 获取私钥托管密码及授权托管方信息数据;
[0122] 利用所述私钥托管密码为第一加密密钥,根据第一加解密算法,对私钥数据进行加密,得到加密私钥数据;
[0123] 利用授权托管方信息数据为第二加密密钥,根据第二加解密算法,对所述私钥托管密码进行加密,得到加密私钥托管密码;
[0124] 根据私钥托管智能合约,将所述加密私钥数据与所述加密私钥托管密码上传至私钥托管区块链;
[0125] 所述解密过程,包括:
[0126] 获取提取私钥托管方信息数据,对比所述提取私钥托管方信息数据与所述授权托管方信息数据,确认是否具有提取所述私钥数据的权限,若有,则:
[0127] 根据所述私钥托管智能合约从所述私钥托管区块链中提取所述加密私钥托管密码;
[0128] 利用所述提取私钥托管方信息数据,根据所述第二加解密算法对所述加密私钥托管密码进行解密,得到私钥托管密码;
[0129] 利用所述私钥托管密码,根据所述第一加解密算法对所述加密私钥数据进行解密,得到私钥数据。
[0130] 本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备和介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0131] 本申请实施例提供的设备和介质与方法是一一对应的,因此,设备和介质也具有与其对应的方法类似的有益技术效果,由于上面已经对方法的有益技术效果进行了详细说明,因此,这里不再赘述设备和介质的有益技术效果。
[0132] 本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或
计算机程序产品。因此,本发明可采用完全
硬件实施例、完全
软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0133] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的
流程图和/或方
框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程
数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中
指定的功能的装置。
[0134] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0135] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0136] 在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出
接口、网络接口和内存。
[0137] 内存可能包括计算机可读介质中的非永久性存储器,
随机存取存储器(RAM)和/或非易失性内存等形式,如
只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
[0138] 计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于
相变内存(PRAM)、静态随机存取存储器(SRAM)、
动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、
电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他
磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备
访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据
信号和载波。
[0139] 还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0140] 以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何
修改、等同替换、改进等,均应包含在本申请的
权利要求范围之内。
