本文公开了用于基于用户身份信息管理加密密钥的方法、系统和装置,包括编码在计算机存储介质上的计算机程序。方法之一包括:接收用以将身份信息和用户密钥对存储到芯片上的存储器中的请求,该请求被数字地签有数字签名,该身份信息唯一地标识用户,并且该用户密钥对被分配给该用户;基于预先存储在存储器中的公钥确定数字签名是可信的;对身份信息和用户密钥对进行加密;并将身份信息和用户密钥对存储到存储器中。
Encryption key management based on identity information
【技术实现步骤摘要】
【国外来华专利技术】基于身份信息的加密密钥管理
本文涉及身份认证技术和数据安全性。
技术介绍
身份认证技术通常用于计算机网络中以验证用户身份并确保数据安全性。如同在计算机网络中数字化存储或传送的其他信息一样,身份信息可以由数据集表示。计算机可以基于用户的数字身份来识别和认证用户。对于数据安全性,重要的是确保数字身份属于授权用户,或者换句话说,数字身份与用户的实际身份相匹配。随着技术的发展,已经出现了诸如区块链网络和物联网(IoT)网络的去中心化系统。在去中心化系统下,个人可以安全地自行存储他们自己的身份信息。例如,用户可以持有数字钱包,该数字钱包存储用户可以用来添加数字签名以授权区块链网络或IoT设备上的交易的私钥。私钥通常作为具有加密语义的数据串存储在计算设备上,并且意图仅供用户访问。与其他数据串一样,私钥可潜在地被复制和共享。具有私钥的任何用户都可以控制与该私钥相关联的数字资产。此外,如果私钥丢失,则无法检索数字资产。因此,安全存储和有效使用加密密钥会是重要的。期望开发一种密钥管理技术,其可以有效地验证用户的身份信息并安全地管理用户的加密密钥。
技术实现思路
本文描述了用于基于唯一地标识用户的身份信息来管理分配给用户的用户加密密钥的技术。这些技术总体上涉及由身份加密芯片(ICC)接收身份信息和用户加密密钥,身份信息和用户加密密钥被数字地签有数字签名,该数字签名由分配给主用户的私钥生成,基于分配给主用户的公钥确定数字签名是可信的,公钥被预先存储在ICC上的存储器中,并且将身份信息和用户加密密钥加密并存储到存储器中。本文还提供了耦接到一个或多个处理器并且其上存储有指令的一个或多个非暂态计算机可读存储介质,当所述指令由所述一个或多个处理器执行时,所述指令将促使所述一个或多个处理器按照本文提供的方法的实施例执行操作。本文还提供了用于实施本文提供的所述方法的系统。该系统包括一个或多个处理器以及耦接到所述一个或多个处理器并且其上存储有指令的计算机可读存储介质,当所述指令由所述一个或多个处理器执行时,所述指令将导致所述一个或多个处理器按照本文提供的方法的实施例执行操作。应了解,依据本文的方法可以包括本文描述的方面和特征的任意组合。也就是说,根据本文的方法不限于本文具体描述的方面和特征的组合,还包括所提供的方面和特征的任意组合。以下在附图和描述中阐述了本文的一个或多个实施例的细节。根据说明书和附图以及权利要求,本文的其他特征和优点将显而易见。附图说明图1是示出用于执行可用于执行本文的实施例的处理的身份加密芯片的示例的示图。图2是示出根据本文的实施例的用于身份加密芯片初始化处理的示例的流程图。图3是示出根据本文的实施例的用于向身份加密芯片输入信息的处理的示例的流程图。图4是示出根据本文的实施例的使用身份加密芯片执行加密操作的处理的示例的流程图。图5是示出根据本文的实施例的密钥管理设备的示例的示图。图6描绘了可以根据本文的实施例执行的方法的示例。图7描绘了根据本文的实施例的装置的模块的示例。各附图中相同的附图标记和名称表示相同的元件。具体实施方式本文描述了用于基于唯一地标识用户的身份信息来管理分配给用户的用户加密密钥的技术。这些技术总体上涉及由身份加密芯片(ICC)接收身份信息和用户加密密钥,身份信息和用户加密密钥被数字地签有由分配给主用户的私钥生成的数字签名,基于分配给主用户的公钥确定数字签名是可信的,公钥被预先存储在ICC上的存储器中,并且将身份信息和用户加密密钥加密并存储到存储器。图1是示出用于执行可用于执行本文的实施例的处理的ICC100的示例的示图。在较高层面上,ICC100可以是包括存储器102和逻辑计算组件104的计算机芯片。ICC100可用于安全地执行加密操作。在一些实施例中,ICC100可以是包括一个或多个芯片组件的芯片组。存储器102和逻辑计算组件104可以集成到不同的芯片组件中。在一些实施例中,存储器102可用于提供永久存储。在一些示例中,存储器102可以是可编程只读存储器(PROM),其允许数据被写入一次并且之后仅只读。在一些示例中,存储器102可以是电可擦除可编程只读存储器(EEPROM)或闪存,其可以被重新格式化并重新编程。在一些实施例中,逻辑计算组件可以是专用集成电路(ASIC)或单片机(SCM)。在一些计算机网络中,实施密码术以维护数据或交易的隐私。例如,如果两个用户想要保持交易隐私,使得其他用户无法辨别该交易的细节,则用户可以加密交易数据。示例性加密操作包括但不限于对称密钥加密和非对称密钥加密。对称加密是指使用单个密钥既进行加密(从明文生成密文)又进行解密(从密文生成明文)的加密处理。非对称加密使用密钥对,每个密钥对包括私钥和公钥,私钥仅对相应用户是已知的,并且公钥可以公开地传播。用户可以使用另一用户的公钥来加密数据,并且该加密的数据可以使用该另一用户的私钥来解密。可以使用非对称加密来提供数字签名,这使得交易中的参与者能够确认交易中的其他参与者以及交易的有效性。例如,用户可以对消息进行数字签名,而另一用户可以基于数字签名确认消息是由该用户发送的。数字签名还可用于确保消息在传输过程中不被篡改。例如,用户A将向用户B发送消息。用户A生成消息的哈希值,然后使用其私钥加密哈希值以提供为加密哈希值的数字签名。用户A将数字签名附加到消息,并将带有数字签名的消息发送给用户B。用户B使用用户A的公钥解密数字签名,并提取哈希值。用户B对消息进行哈希处理并比较哈希值。如果哈希值相同,则用户B可以确认该消息确实来自用户A,并且未被篡改。ICC100可以用于基于对用户身份信息进行验证来安全地执行加密操作。存储器102可用于存储可信用户身份信息和加密密钥信息。存储器102还可以存储身份认证算法(例如,作为计算机可执行代码)和加密操作算法(例如,作为计算机可执行代码)。在一些实施例中,存储在存储器102中的信息和算法被加密以即使在ICC100被进行逆向工程的情况下也防止泄密。当从用户接收到用以执行加密操作的请求时,逻辑计算组件104可以使用从用户收集的身份信息和存储在存储器102中的可信用户身份信息,以基于身份认证算法验证用户的身份。例如,如果身份信息是用户指纹的指纹图像,则身份认证算法可以是本地认证算法,其将从用户收集的指纹图像和存储的指纹图像进行比较。如果收集的指纹图像与存储的指纹图像匹配,则成功验证用户的身份。然后,逻辑计算组件104可以使用所存储的加密密钥信息来执行所请求的加密操作。在执行加密操作之后,可以由ICC100输出操作结果。通过使用ICC100,可以仅在验证或认证用户的身份可信之后执行加密操作。这样,可以保证用户执行操作的权限。此外,由于加密密钥作为密文存储在ICC100中,因此加密操作在ICC100内部执行。只有操作结果从ICC100输出。以这种方式,可以确保加密密钥的安全性。在一些实施例中,ICC100的主用户可以使用公有授权密钥来向用户提本文档来自技高网...
【技术保护点】
1.一种计算机实施的用于管理用户密钥对的方法,所述方法包括:/n接收用以将身份信息和用户密钥对存储到身份加密芯片ICC上的存储器中的请求,所述请求被数字地签有数字签名,所述身份信息唯一地标识用户,并且所述用户密钥对被分配给所述用户;/n基于预先存储在所述存储器中的公有授权密钥确定所述数字签名是可信的;/n对所述身份信息和所述用户密钥对进行加密;以及/n将所述身份信息和所述用户密钥对存储到所述存储器中。/n
【技术特征摘要】
【国外来华专利技术】1.一种计算机实施的用于管理用户密钥对的方法,所述方法包括:
接收用以将身份信息和用户密钥对存储到身份加密芯片ICC上的存储器中的请求,所述请求被数字地签有数字签名,所述身份信息唯一地标识用户,并且所述用户密钥对被分配给所述用户;
基于预先存储在所述存储器中的公有授权密钥确定所述数字签名是可信的;
对所述身份信息和所述用户密钥对进行加密;以及
将所述身份信息和所述用户密钥对存储到所述存储器中。
2.如权利要求1所述的计算机实施的方法,还包括:
通过预先存储所述公有授权密钥和私有授权密钥来对所述ICC进行初始化,
其中,所述公有授权密钥和所述私有授权密钥是分配给所述ICC的主用户的非对称密钥对。
3.如权利要求2所述的计算机实施的方法,其中,对所述ICC进行初始化还包括:
存储能够被执行以基于所述身份信息认证所述用户的身份认证代码。
4.如权利要求2或3所述的计算机实施的方法,其中,对所述ICC进行初始化还包括:
存储能够被执行以基于所述私有授权密钥添加所述数字签名的第一加密操作代码;以及
存储能够被执行以基于所述用户密钥对来执行文件加密或文件解密的第二加密操作代码。
5.如权利要求4所述的计算机实施的方法,其中,用于存储身份信息和所述用户密钥对的所述请求是第一请求,所述身份信息是第一身份信息,所述数字签名是第一数字签名,并且所述计算机实施的方法还包括:
接收第二身份信息和用以向...
【专利技术属性】
技术研发人员:冯志远,李艳鹏,程龙,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。