用于拆分和恢复密钥的方法、程序产品、存储介质和系统技术方案

本公开涉及用于拆分和恢复密钥的方法、存储介质、计算机程序产品和密钥管理系统。提供了一种用于在密钥管理系统中拆分交易密钥的方法，密钥管理系统包括用于管理用户组中的用户的用户设备的管理设备和与管理设备相连的硬件安全模块。该方法包括，在硬件安全模块处：获取用户组的用户个数和第一预定值；基于关于用户组中除拆分用户之外的其他用户的消息，随机生成与本次交易的处理权限相关联的交易密钥；将交易密钥拆分成与用户个数相同的多个子密钥，多个子密钥中的每一个子密钥与用户组中的一个用户相对应；以及使用与多个子密钥相对应的用户的公钥对多个子密钥分别进行加密。

Methods, program products, storage media and systems for splitting and restoring keys

【技术实现步骤摘要】
用于拆分和恢复密钥的方法、程序产品、存储介质和系统
本公开涉及密钥管理的方法和产品，更具体地，涉及用于拆分和恢复密钥的方法、计算机程序产品、存储介质和密钥管理系统。
技术介绍
公开密钥(publickey，简称公钥)、私有密钥(privatekey，简称私钥)来自于密码学的非对称加密算法，是区块链技术的基础。公钥是公开的，而私钥则要进行安全保管。私钥是基于随机数生成的，而公钥是将私钥通过算法推导出来的。公钥与私钥的使用场景主要有两种：公钥加密、私钥解密；以及私钥签名、公钥验签。公钥加密、私钥解密就是用公钥加密原始数据，只有对应的私钥才能解开原始数据。这样能使得原始数据在网络中传播不被窃取，保护隐私。私钥签名、公钥验签就是用私钥对原始数据进行签名，只有对应的公钥才能验证签名串与原数据是匹配的。私钥相当于中心化记账系统中的密码，是对资产所有权的凭证。在电子商务、资产分割、资金管理等诸多场景下，需要多个用户对待处理的交易具有支配与管理权限。在传统的权限管理方案中，为了提高安全性，防止密钥被个别拥有权限的用户所泄露，通常会采用多重签名的解决手段。在区块链
，多重签名可以理解为由多个拥有本文档来自技高网...

【技术保护点】
1.一种用于在密钥管理系统中拆分交易密钥的方法，所述密钥管理系统包括用于管理用户组中的用户的用户设备的管理设备和与所述管理设备相连的硬件安全模块，所述方法包括，在所述硬件安全模块处：获取所述用户组的用户个数和第一预定值，其中所述第一预定值指示恢复所述交易密钥的最小用户个数，所述用户组用于管理所述交易密钥；基于关于所述用户组中除被确定为用于拆分所述交易密钥的拆分用户之外的其他用户的消息，随机生成与本次交易的处理权限相关联的所述交易密钥，所述关于其他用户的消息至少指示其他用户的公钥；将所述交易密钥拆分成与所述用户个数相同的多个子密钥，所述多个子密钥中的每一个子密钥与所述用户组中的一个用户相对应；以...

【技术特征摘要】
1.一种用于在密钥管理系统中拆分交易密钥的方法，所述密钥管理系统包括用于管理用户组中的用户的用户设备的管理设备和与所述管理设备相连的硬件安全模块，所述方法包括，在所述硬件安全模块处：获取所述用户组的用户个数和第一预定值，其中所述第一预定值指示恢复所述交易密钥的最小用户个数，所述用户组用于管理所述交易密钥；基于关于所述用户组中除被确定为用于拆分所述交易密钥的拆分用户之外的其他用户的消息，随机生成与本次交易的处理权限相关联的所述交易密钥，所述关于其他用户的消息至少指示其他用户的公钥；将所述交易密钥拆分成与所述用户个数相同的多个子密钥，所述多个子密钥中的每一个子密钥与所述用户组中的一个用户相对应；以及使用与所述多个子密钥相对应的用户的公钥对所述多个子密钥分别进行加密。2.根据权利要求1所述的方法，还包括，在所述管理设备处：在所述用户组中指定或随机确定所述拆分用户。3.根据权利要求1所述的方法，其中，所述关于其他用户的消息还指示以下各项中的至少一项：用于验证所述其他用户的公钥的签名信息；所述其他用户的标识；所述其他用户的合并数据的哈希值的签名信息；以及所述关于其他用户的消息的有效期。4.根据权利要求3所述的方法，其中，随机生成与本次交易的处理权限相关联的所述交易密钥包括：基于所述其他用户的公钥的签名信息，确认所述其他用户的公钥是否通过验证；以及响应于所述其他用户的公钥通过验证，随机生成与所述第一预定值相同的多个用于构建拆分多项式的随机数，所述多个用于构建拆分多项式的随机数包括所述交易密钥。5.根据权利要求4所述的方法，其中所述关于其他用户的消息还指示所述管理设备的证书，并且其中基于所述其他用户的公钥的签名信息，确认所述其他用户的公钥是否通过验证还包括：确认所述管理设备的证书是否通过验证，以及响应于确认所述管理设备的证书通过验证，基于所述其他用户的公钥的签名信息，确认所述其他用户的公钥是否通过验证。6.根据权利要求4所述的方法，其中，将所述交易密钥拆分成与所述用户个数相同的多个子密钥包括：基于所述用户组的所述用户个数和所述多个用于构建拆分多项式的随机数，确定所述多个子密钥，其中每一个子密钥包括第一子密钥分量和第二子密钥分量。7.根据权利要求1所述的方法，其中，使用与所述多个子密钥相对应的用户的公钥对所述多个子密钥分别进行加密包括：基于与所述子密钥对应的用户的公钥和所述关于其他用户的消息的有效期，加密所述子密钥。8.根据权利要求1所述的方法，还包括，在所述管理设备处：利用所述管理设备的私钥对一随机数进行签名以产生签名数据，并将所产生的签名数据发送给被确定为用于组建所述用户组的组队用户；以及从所述组队用户接收关于所述用户组的业务信息、所述用户设备的公钥和经由所述组队用户的用户设备的私钥签名的所述签名数...

【专利技术属性】
技术研发人员：顾建良，马帮亚，
申请(专利权)人：巍乾全球技术有限责任公司，
类型：发明
国别省市：卢森堡,LU