信息的安全多方存储和传递的加密私钥管理的方法和系统技术方案

本公开涉及信息的安全多方存储和传递的加密私钥管理的方法和系统。加密密钥管理系统被配置为提供密钥管理服务，用于私人加密密钥和其他信息的安全和分散的控制和存储。资产私钥、种子、通行码和其他数字化信息可以被分割成多个子密钥并被分配给一组人，以允许该组在指定条件发生时取得对资产私钥的控制。在一些例子中，该一组人接收到少于恢复资产私钥所需的阈值数量的子密钥，以及恢复资产私钥所需的一个或更多个子密钥被定义为验证者子密钥，验证者子密钥被分开地且安全地存储。在一些例子中，验证者子密钥被加密，并且加密的验证者子密钥存储在区块链平台上。

The method and system of management of encrypted private key for secure multi-party storage and transmission of information

【技术实现步骤摘要】
信息的安全多方存储和传递的加密私钥管理的方法和系统相关申请数据本申请要求2018年11月16日提交的且标题为“MethodsandSystemsForSecureMultipartyStorageAndTransferOfInformation”的美国临时专利申请序列号62/768,550和2019年11月14日提交的且标题为“MethodsandSystemsForCryptographicPrivateKeyManagementForSecureMultipartyStorageAndTransferOfInformation”的美国临时专利申请序列号62/935,393的优先权利益，其中的每个申请都通过引用被全部并入本文。专利
本专利技术一般涉及加密密钥管理的领域。特别是，本公开目的在于用于信息的安全多方存储和传递的加密私钥管理的方法和系统。背景加密货币、数字资产和经由加密私钥或秘密对资产的保护通常涉及私钥或秘密的安全存储和使用以取得对资产的访问。在资产被私钥(例如加密货币钱包的私钥)保护的情况下，如果密钥被丢失，则受保护的资产(例如加密货币)可能永久地被丢失。秘密密钥或密码的这个潜在丢失以及相应的密码货币的丢失阻碍数字资产在现代世界中的进步和广泛利用。被私钥保护的资产的所有者可能希望通过向他们的继承人提供某个程度的访问或备份来确保他们的资产不在他们死亡或丧失能力的情况下丢失，同时不放弃对他们的资产的控制直到适当的时间为止。类似地，资产可以由希望控制对资产的访问的一组人共同拥有而不在该组的任何一个成员中提供不等量的控制。概述在一个实现中，本公开针对一种通过使用密钥管理系统来将资产私钥的控制从发起用户传递到一组用户的方法，该密钥管理系统包括被配置为提供基于网络的密钥管理服务的密钥管理计算设备和发起用户计算设备。该方法包括用发起用户计算设备将资产私钥分割成多个子密钥；定义恢复资产私钥所需的子密钥的阈值数量T；识别待传递到该一组用户的子密钥的第一部分，其中在第一部分中的子密钥的数量小于T；将至少一个子密钥识别为验证者子密钥；用发起用户计算设备随机地生成验证者私钥；用验证者私钥将验证者子密钥加密以生成加密的验证者子密钥；将加密的验证者子密钥存储在分布式文件系统上；将子密钥的第一部分存储在至少一个存储设备上；以及将验证者私钥存储在验证者存储设备上。在另一实现中，本公开针对一种用密钥管理设备提供密钥管理服务用于传递对资产私钥的控制的方法。该方法包括：在密钥管理设备处接收来自发起用户计算设备的资产私钥分割请求；以及从密钥管理设备向发起用户计算设备发送用于在发起用户计算设备的网络浏览器中执行的密钥分割指令，其中密钥分割指令包括用密钥分割算法将资产私钥分割成多个子密钥；识别子密钥的第一部分用于分配给多个用户；识别子密钥的第二部分，该第二部分包括至少一个验证者子密钥；将子密钥的第一部分中的子密钥存储在多个冷存储设备上用于传递到多个用户；随机地生成验证者非对称公-私密钥对和通行码；用验证者私钥将至少一个验证者子密钥加密；以及将至少一个加密的验证者子密钥传输到密钥管理设备用于存储在区块链平台上。在又一实现中，本公开针对一种从多个子密钥恢复资产私钥的方法。该方法包括：用验证者计算设备向密钥管理设备发送恢复请求以从多个子密钥恢复资产私钥；用验证者计算设备向密钥管理设备发送验证者计算设备有权访问第一数量的子密钥的确认；在验证者计算设备处从密钥管理设备接收至少一个验证者子密钥；以及用由验证者计算设备执行的恢复算法从第一数量的子密钥和验证者子密钥恢复资产私钥；其中至少一个验证者子密钥是恢复资产私钥所需的，其中密钥管理设备在区块链平台上存储验证者子密钥的加密版本，并且响应于从验证者计算设备接收到恢复请求和确认使用由密钥管理设备安全地存储的区块链映射信息来定位和访问验证者子密钥的加密版本。在又一实现中，本公开针对一种用密钥管理设备提供密钥管理服务用于从多个子密钥恢复资产私钥的方法。该方法包括：在密钥管理设备处接收来自验证者计算设备的恢复请求以从多个子密钥恢复资产私钥，该恢复请求包括用户ID；从验证者计算设备接收子密钥信息，用于确认验证者计算设备有权访问第一数量的子密钥；用密钥管理设备访问与用户ID相关联的组映射信息；确定组映射信息是否匹配接收到的子密钥信息；响应于确定组映射信息与接收到的子密钥信息匹配而访问至少一个验证者子密钥并将至少一个验证者子密钥发送到验证者计算设备；以及向验证者计算设备发送用于恢复资产私钥的指令；其中至少一个验证者子密钥是恢复资产私钥所需的，其中访问至少一个验证者子密钥包括使用组映射信息用于从区块链平台定位和访问至少一个验证者子密钥的加密版本。附图说明为了说明本公开的目的，附图示出本公开的一个或更多个实施例的多个方面。然而应该理解，本公开不限于在附图中所示的精确布置和工具，其中：图1示出了示例密钥管理系统的架构图；图2是根据本公开的各方面执行密钥管理系统的功能的数据流图；以及图3是用于执行本公开的任一个或更多个方面和/或方法的计算设备的一个示例的图形表示。详细描述本公开的各方面包括密钥管理系统，其被配置为提供基于网络(也被称为基于云)的密钥管理服务以用于私有加密密钥和/或其他信息的安全和分散的控制和存储。如下面更详细描述的，资产私钥、种子、通行码或任何其他数字数据串或数据集可以被分割成多个子密钥，并被分配给在特定条件出现的情况下可以取得对资产私钥的控制的一组人。在一些例子中，该组人接收恢复资产私钥所需的少于阈值数量的子密钥，以及恢复资产私钥所需的一个或更多个子密钥被定义为验证者子密钥并且被单独且安全地存储。在一些例子中，验证者子密钥被加密，并且加密的验证者子密钥存储在区块链平台上。发起用户可以从多个密钥管理程序选择以确定资产私钥将如何被分割以及验证者子密钥将如何被存储和访问。图1示出了根据本公开制造的示例密钥管理系统100的架构图。系统100包括用户103_1-103n的多个用户计算设备102_1、102_2、102_n，用户计算设备102经由网络104通信地耦合到密钥管理设备106，密钥管理设备106向用户103提供密钥管理服务用于资产的安全存储和传递。系统100被设计和配置为安全地存储资产私钥110以确保资产私钥从不永久地丢失以及它仅在被授权的条件下才被访问，该资产私钥110是用于取得对资产111的访问的加密密钥、种子、通行码或其他数字数据串。系统100还可以用于安全地存储任何类型的信息，例如用于保护资产的任何秘密，例如加密非对称公-私密钥对的私钥、密码、通行码或任何其他数字数据串(包括任何词或词的组合)、或其他数字数据文件(例如数字图像)等。如本文使用的术语“资产”可以是由秘密保护的任何东西，例如资产私钥，例如加密货币或者任何种类的信息。密钥管理设备106可以是本领域中已知的各种计算设备中的任何一种，并且可以包括软件112，软件112包括用于执行一个或更多个密钥分配协议114的指令，如本文所述。密钥分配协议114可以包括用于执行分割算法以将资本文档来自技高网...

【技术保护点】
1.一种通过使用密钥管理系统来将资产私钥的控制从发起用户传递到一组用户的方法，所述密钥管理系统包括发起用户计算设备和被配置为提供基于网络的密钥管理服务的密钥管理计算设备，所述方法包括：/n用所述发起用户计算设备将所述资产私钥分割成多个子密钥；/n定义恢复所述资产私钥所需的所述子密钥的阈值数量T；/n识别待传递到所述一组用户的所述子密钥的第一部分，其中在所述第一部分中的所述子密钥的数量小于T；/n将所述子密钥中的至少一个识别为验证者子密钥；/n用所述发起用户计算设备随机地生成验证者私钥；/n用所述验证者私钥将所述验证者子密钥加密以生成加密的验证者子密钥；/n将所述加密的验证者子密钥存储在分布式文件系统上；/n将所述子密钥的所述第一部分存储在至少一个存储设备上；以及/n将所述验证者私钥存储在验证者存储设备上。/n

【技术特征摘要】
20181116 US 62/768,550;20191114 US 62/935,3931.一种通过使用密钥管理系统来将资产私钥的控制从发起用户传递到一组用户的方法，所述密钥管理系统包括发起用户计算设备和被配置为提供基于网络的密钥管理服务的密钥管理计算设备，所述方法包括：
用所述发起用户计算设备将所述资产私钥分割成多个子密钥；
定义恢复所述资产私钥所需的所述子密钥的阈值数量T；
识别待传递到所述一组用户的所述子密钥的第一部分，其中在所述第一部分中的所述子密钥的数量小于T；
将所述子密钥中的至少一个识别为验证者子密钥；
用所述发起用户计算设备随机地生成验证者私钥；
用所述验证者私钥将所述验证者子密钥加密以生成加密的验证者子密钥；
将所述加密的验证者子密钥存储在分布式文件系统上；
将所述子密钥的所述第一部分存储在至少一个存储设备上；以及
将所述验证者私钥存储在验证者存储设备上。


2.根据权利要求1所述的方法，还包括：
将所述子密钥中的至少一个识别为备份子密钥；
用所述发起用户计算设备随机地生成备份私钥；
用所述备份私钥将所述备份子密钥加密；以及
将加密的备份子密钥存储在所述分布式文件系统上。


3.根据权利要求1所述的方法，其中，随机地生成所述验证者私钥的步骤还包括生成用于将所述验证者私钥加密的通行码，所述方法还包括将所述通行码传递到所述密钥管理计算设备用于存储。


4.根据权利要求3所述的方法，其中，将所述验证者私钥存储在验证者存储设备上的步骤包括将验证者冷存储设备通信地耦合到所述发起用户计算设备并将所述验证者私钥传递到所述验证者冷存储设备用于由所述一组用户中的一个用户或可信第三方安全地长期存储。


5.根据权利要求1所述的方法，其中，在所述分布式文件系统上存储所述加密的验证者子密钥的步骤包括在所述分布式文件系统上与所述加密的验证者子密钥一起存储唯一ID，所述方法还包括在所述密钥管理设备的存储介质中存储包括所述唯一ID的组映射信息，其中所述密钥管理设备安全地存储所述组映射信息并且不将所述组映射信息传递到所述发起用户设备或其他实体，以从而防止第三方在所述分布式文件系统上定位所述加密的验证者子密钥。


6.根据权利要求1所述的方法，还包括用所述发起用户计算设备执行网络浏览器软件程序以通过网络与所述密钥管理系统通信，其中根据从所述密钥管理设备接收的指令用所述网络浏览器软件程序来执行所述分割的步骤。


7.根据权利要求1所述的方法，其中，所述至少一个存储设备是加密的冷存储设备。


8.根据权利要求7所述的方法，其中，所述加密的冷存储设备被配置为根据FIDO协议与所述发起用户计算设备和密钥管理设备通信，并且经由FIDO协议的传输层在所述冷存储设备和发起用户计算设备之间传递所述子密钥。


9.根据权利要求1所述的方法，其中，被传递给在所述一组用户中的每个用户的所述子密钥的数量大于被识别为所述验证者子密钥的所述至少一个子密钥的数量。


10.根据权利要求1所述的方法，还包括经由所述发起用户计算设备的网络浏览器来接收密钥管理计划的选择；
其中，将所述验证者私钥存储在验证者存储设备上的步骤包括：如果第一密钥管理计划被选择则将所述验证者私钥传递到所述密钥管理设备，或者如果第二密钥管理计划被选择则将所述验证者私钥传递到通信地耦合到所述发起计算设备的冷存储设备。


11.根据权利要求10所述的方法，其中，所述第一密钥管理计划包括当所述密钥管理设备接收到经授权的恢复请求时自动恢复所述资产私钥。


12.根据权利要求10所述的方法，其中，所述第二密钥管理计划包括在所述资产私钥的恢复之前由在所述一组用户中的用户之一或可信第三方验证指定条件已经被满足。


13.根据权利要求12所述的方法，其中，所述指定条件包括死亡或丧失能力的验证、所有权的转移或来自恢复所述资产私钥的最小数量的所述一组用户的请求之一。


14.根据权利要求1所述的方法，还包括：
经由验证者计算设备的网络浏览器向所述密钥管理设备发送恢复请求；
向所述密钥管理设备发送大于T的数量的所述子密钥的所述第一部分是可用的确认；
在所述验证者计算设备处接收所述验证者子密钥；以及
用在所述验证者计算设备的所述网络浏览器中执行的恢复算法从所述子密钥的所述第一部分和所述验证者子密钥恢复所述资产私钥。


15.根据权利要求14所述的方法，其中，所述验证者子密钥由所述密钥管理设备从所述分布式文件系统获得，并且从所述密钥管理设备传递到所述验证者计算设备。


16.根据权利要求15所述的方法，其中，所述验证者子密钥由所述密钥管理设备通过访问由所述密钥管理设备安全地存储的区块链映射信息以确定在所述分布式文件系统上的所述加密的验证者子密钥的存储位置来从所述分布式文件系统获得。


17.根据权利要求1所述的方法，其中，所述分布式文件系统是区块链平台。


18.根据权利要求1所述的方法，其中，所...

【专利技术属性】
技术研发人员：尤尔根·舒佩，
申请(专利权)人：安全技术私人有限责任公司，
类型：发明
国别省市：比利时;BE