密钥存储方法、数据加解密方法、电子签名方法及其装置制造方法及图纸

本发明专利技术提供了一种密钥存储方法、数据加解密方法、电子签名方法及其装置，其中，在密钥存储方法中：接收认证服务器下发的安全插件并对其进行存储，安全插件中包括与用户唯一关联的运算算法和应用信息；根据应用信息随机生成密钥；调用安全插件对密钥进行加密并将加密后生成的保护密钥连同应用信息一并存储在安全插件中，安全插件将应用信息作为计算因子、使用运算算法对密钥进行加密生成保护密钥；销毁密钥。由每个终端设备中存储的安全插件都是唯一的，使用该安全插件对密钥进行加密生成的保护密钥自然具备了唯一性，大大提高了密钥的安全性能，不容易被破解，即使某一终端设备中安装的安全插件被破解了，也不会影响其他用户的安全性能。

【技术实现步骤摘要】
密钥存储方法、数据加解密方法、电子签名方法及其装置
本专利技术涉及安全
，尤其涉及一种密钥存储方法及其装置、一种数据加解密方法及其装置以及一种电子签名方法及其装置。
技术介绍
密钥一般泛指生产、生活所应用到的各种加密技术，能够对个人资料、企业机密进行有效的监管。密钥管理是指对密钥进行管理的行为，如加密、解密、破解等等，包括从密钥的产生到密钥销毁的各个方面，广泛应用于各个领域。在使用密钥进行加密解密的过程中，无论采用的是何种加解密方式，包括对称加密、非对称加密等加密方式，都需要对相应的密钥(尤指私钥)进行存储。如，在使用Android系统的终端设备中，一般采用以下方式对密钥进行存储：1)直接硬编码在代码中；2)通过明文方式或通过固定密钥加密方式对密钥进行加密后存储在终端设备中；3)使用keystore密钥库进行存储等。但是，由于终端设备的不安全性，传统的密钥管理技术不再能保证密钥的安全性能。具体，对于以上描述的三种存储方式来说，采用前两种方式存储的密钥，不法分子可以直接通过反编译的方式得到存储的密钥，可见，采用这两种方式存储的密钥无意易遭到非法渗透和窃取；采用后一种方式存储的密钥，不法分子可以通过字典式攻击，如工具Android-keystore-password-recover进行破译得到相应的密钥，同样不能实现密钥的安全存储。对于终端设备应用程序爆棚式发展的今天来说，如何安全存储密钥成为一个棘手且亟需解决的技术问题。
技术实现思路
针对上述问题，本专利技术提供了一种密钥存储方法及其装置、一种数据加解密方法及其装置以及一种电子签名方法及其装置，有效解决了终端设备中密钥，尤指私钥的安全存储问题。本专利技术提供的技术方案如下：一种密钥存储方法，应用于终端设备，所述终端设备中的终端应用与认证服务器通信连接，所述密钥存储方法中包括：S11接收认证服务器下发的安全插件并对其进行存储，所述安全插件中包括与用户唯一关联的运算算法和应用信息；S21根据应用信息随机生成密钥；S31调用安全插件对密钥进行加密并将加密后生成的保护密钥连同应用信息一并存储在安全插件中，所述安全插件将应用信息作为计算因子、使用运算算法对密钥进行加密生成保护密钥；S41销毁密钥。进一步优选地，在步骤S21中具体包括：根据应用信息生成密钥对，所述密钥对中包括私钥和公钥；在步骤S31中具体包括：调用安全插件对私钥进行加密并将加密后生成的私钥保护密钥连同应用信息一并存储在安全插件中，所述安全插件将应用信息作为计算因子、使用运算算法对私钥进行加密生成私钥保护密钥；在步骤41中具体包括：销毁私钥。本专利技术还提供了一种密钥存储方法，应用于终端设备，所述终端设备中的终端应用与认证服务器通信连接，所述密钥存储方法中包括：S12接收认证服务器下发的安全插件并对其进行存储，所述安全插件中包括与用户唯一关联的运算算法、应用信息及密钥，所述密钥由认证服务器根据应用信息生成；S22调用安全插件对密钥进行加密并将加密后生成的保护密钥连同应用信息一并存储在安全插件中，所述安全插件将应用信息作为计算因子、使用运算算法对密钥进行加密生成保护密钥；S32销毁密钥。进一步优选地，在认证服务器中，生成的密钥包括密钥对，所述密钥对中包括私钥和公钥；则在步骤S22中具体包括：调用安全插件对私钥进行加密并将加密后生成的私钥保护密钥连同应用信息一并存储在安全插件中，所述安全插件将应用信息作为计算因子、使用运算算法对私钥进行加密生成私钥保护密钥；在步骤S32中具体包括：销毁私钥。本专利技术还提供了一种数据加解密方法，所述数据加解密方法应用于上述密钥存储方法，所述数据加解密方法中包括：S13获取应用信息并调用安全插件对其进行验证；S23调用安全插件对内部存储的保护密钥进行解密得到密钥，所述安全插件将应用信息作为计算因子、使用运算算法对保护密钥进行解密还原得到密钥；S33调用安全插件采用还原得到的密钥和预设加密算法对待发送数据进行加密并将加密后的数据发送出去，或调用安全插件采用还原得到的密钥和预设解密算法对接收到的加密数据进行解密得到解密后的数据；S43销毁密钥。本专利技术还提供了一种数据解密方法，所述数据解密方法应用于上述密钥存储方法，所述数据解密方法中具体包括：S14获取应用信息并调用安全插件对其进行验证；S24调用安全插件对内部存储的私钥保护密钥进行解密得到私钥，所述安全插件将应用信息作为计算因子、使用运算算法对私钥保护密钥进行解密还原得到私钥；S34调用安全插件采用还原得到的私钥和预设解密算法对接收到的加密数据进行解密，以此得到解密后的数据；S44销毁私钥。本专利技术还提供了一种电子签名方法，所述电子签名方法应用于上述密钥存储方法，所述电子签名方法中包括：S15获取应用信息并调用安全插件对其进行验证；S25调用安全插件对内部存储的保护密钥进行解密得到私钥，所述安全插件将应用信息作为计算因子、使用运算算法对私钥保护密钥进行解密还原得到私钥；S35调用安全插件采用生成的私钥和预设签名算法对待签名原文进行签名；S45销毁私钥。本专利技术还提供了一种密钥存储装置，应用于终端设备，所述终端设备中的终端应用与认证服务器通信连接，所述密钥存储装置中包括：存储模块，用于存储与用户唯一关联的运算算法、应用信息以及对密钥加密生成的保护密钥，或用于存储与用户唯一关联的运算算法、应用信息以及对私钥加密生成的私钥保护密钥；信息提取模块，用于从存储模块中提取应用信息及从外部提取密钥/私钥；第一运算模块，用于将应用信息作为计算因子、使用运算算法对密钥进行加密生成保护密钥，或用于将应用信息作为计算因子、使用运算算法对私钥进行加密生成私钥保护密钥；以及第一密钥销毁模块，在生成保护密钥后销毁密钥，或在生成私钥保护密钥之后销毁私钥。本专利技术还提供了一种数据加解密装置，应用于终端设备，所述数据加解密装置中包括上述密钥存储装置，在所述密钥存储装置中：所述存储模块还存储有对待发送数据进行加密的预设加密算法，和/或存储有对接收到的加密数据进行解密的预设解密算法；所述数据加解密装置还包括：第一应用信息验证模块，根据存储模块中存储的应用信息对获取的应用信息进行验证；第二运算模块，用于采用密钥和预设加密算法对待发送数据进行加密，或还用于采用私钥和预设解密算法对接收到的加密数据进行解密；以及，第二密钥销毁模块，在对待发送数据进行加密后销毁密钥，或在对接收到的加密数据进行解密后销毁密钥。本专利技术还提供了一种电子签名装置，应用于终端设备，所述电子签名装置中包括上述数据加解密装置，在所述密钥存储装置中：所述存储模块还存储有对待签名原文进行签名的预设签名算法及对接收到的签名进行解析的电子证书和预设解签算法；所述电子签名装置中还包括：第二应用信息验证模块，根据存储模块中存储的应用信息对获取的应用信息进行验证；第三运算模块，用于采用生成的私钥和预设签名算法对待签名原文进行签名，或采用公钥、电子证书和预设解签算法对接收到的签名进行解析；第三密钥销毁模块，在对待签名原文进行签名之后销毁私钥。与现有技术相比，本专利技术的有益效果在于：在本专利技术提供的密钥存储方法及其装置中，终端设备中的安全插件使用应用信息作为安全因子，使用与用户唯一关联的运算算法对密钥/私钥进行加密生成保护密钥/私钥本文档来自技高网...

【技术保护点】
一种密钥存储方法，其特征在于，应用于终端设备，所述终端设备中的终端应用与认证服务器通信连接，所述密钥存储方法中包括：S11接收认证服务器下发的安全插件并对其进行存储，所述安全插件中包括与用户唯一关联的运算算法和应用信息；S21根据应用信息随机生成密钥；S31调用安全插件对密钥进行加密并将加密后生成的保护密钥连同应用信息一并存储在安全插件中，所述安全插件将应用信息作为计算因子、使用运算算法对密钥进行加密生成保护密钥；S41销毁密钥。

【技术特征摘要】
1.一种密钥存储方法，其特征在于，应用于终端设备，所述终端设备中的终端应用与认证服务器通信连接，所述密钥存储方法中包括：S11接收认证服务器下发的安全插件并对其进行存储，所述安全插件中包括与用户唯一关联的运算算法和应用信息；S21根据应用信息随机生成密钥；S31调用安全插件对密钥进行加密并将加密后生成的保护密钥连同应用信息一并存储在安全插件中，所述安全插件将应用信息作为计算因子、使用运算算法对密钥进行加密生成保护密钥；S41销毁密钥。2.如权利要求1所述的密钥存储方法，其特征在于，在步骤S21中具体包括：根据应用信息生成密钥对，所述密钥对中包括私钥和公钥；在步骤S31中具体包括：调用安全插件对私钥进行加密并将加密后生成的私钥保护密钥连同应用信息一并存储在安全插件中，所述安全插件将应用信息作为计算因子、使用运算算法对私钥进行加密生成私钥保护密钥；在步骤41中具体包括：销毁私钥。3.如权利要求1或2所述的密钥存储方法，其特征在于，在步骤S11中还包括认证服务器根据终端应用发送的应用信息运算得到运算算法并编译成安全插件的步骤，具体包括：S011根据接收的应用信息生成随机数，并将所述随机数设定为密钥参数；S012根据所述密钥参数对预设签名算法进行重构得到运算算法；S013将接收到的应用信息和生成的运算算法一并编译得到安全插件并将其下发至支付应用。4.如权利要求3所述的密钥存储方法，其特征在于，在步骤S012，对预设签名算法进行重构得到运算算法的步骤中，具体包括：根据密钥参数改变预设签名算法的运算顺序得到运算算法；和/或，根据密钥参数改变预设签名算法的分组数据块的结构及对应分组数据块的运算顺序得到运算算法；和/或，根据密钥参数改变预设签名算法的固定参数得到运算算法。5.一种密钥存储方法，其特征在于，应用于终端设备，所述终端设备中的终端应用与认证服务器通信连接，所述密钥存储方法中包括：S12接收认证服务器下发的安全插件并对其进行存储，所述安全插件中包括与用户唯一关联的运算算法、应用信息及密钥，所述密钥由认证服务器根据应用信息生成；S22调用安全插件对密钥进行加密并将加密后生成的保护密钥连同应用信息一并存储在安全插件中，所述安全插件将应用信息作为计算因子、使用运算算法对密钥进行加密生成保护密钥；S32销毁密钥。6.如权利要求5所述的密钥存储方法，其特征在于，在认证服务器中，生成的密钥包括密钥对，所述密钥对中包括私钥和公钥；则在步骤S22中具体包括：调用安全插件对私钥进行加密并将加密后生成的私钥保护密钥连同应用信息一并存储在安全插件中，所述安全插件将应用信息作为计算因子、使用运算算法对私钥进行加密生成私钥保护密钥；在步骤S32中具体包括：销毁私钥。7.如权利要求5或6所述的密钥存储方法，其特征在于，在步骤S11中还包括认证服务器根据终端应用发送的应用信息随机生成密钥的步骤及根据应用信息运算得到运算算法并编译成安全插件的步骤，具体包括：S021根据终端应用发送的应用信息随机生成密钥；S022根据接收的应用信息生成随机数，并将所述随机数设定为密钥参数；S023根据所述密钥参数对预设签名算法进行重构得到运算算法；S024将接收到的应用信息、生成的密钥及运算算法一并编译得到安全插件并将其下发至支付应用。8.如权利要求7所述的密钥存储方法，其特征在于，在步骤S023，对预设签名算法进行重构得到运算算法的步骤中，具体包括：根据密钥参数改变预设签名算法的运算顺序得到运算算法；和/或，根据密钥参数改变预设签名算法的分组数据块的结构及对应分组数据块的运算顺序得到运算算法；和/或，根据密钥参数改变预设签名算法的固定参数得到运算算法。9.一种数据加解密方法，其特征在于，所述数据加解密方法应用于如权利要求1或5所述的密钥存储方法，所述数据加解密方法中包括：S13获取应用信息并调用安全插件对其进行验证；S23调用安全插件对内部存储的保护密钥进行解密得到密钥，所述安全插件将应用信息作为计算因子、使用运算算法对保护密钥进行解密还原得到密钥；S33调用安全插件采用还原得到的密钥...

【专利技术属性】
技术研发人员：谈剑锋，李享泽，姜立稳，胡剑波，谢勇，钱金金，
申请(专利权)人：上海众人网络安全技术有限公司，
类型：发明
国别省市：上海,31