私钥云存储制造技术

一种用于非对称加密的系统(1)，包括装置(10)和网络存储设备(30)，其中装置与网络存储设备通信地连接，其中网络存储设备被配置为存储私钥，其中装置被配置为从网络存储设备中获取私钥以在装置的安全执行环境(12)中使用私钥执行加密操作，并且其中安全执行环境被配置为仅临时存储用于加密操作的私钥。

【技术实现步骤摘要】
【国外来华专利技术】私钥云存储
本专利技术涉及一种用于非对称加密的系统、一种在用于非对称加密的系统中使用的装置、一种在用于非对称加密的系统中使用的网络存储设备以及一种用于非对称加密的计算机实现的方法。
技术介绍
在非对称加密系统中，私钥通常被存储在如TPM、智能卡、安全文件系统(iOS/Android密钥库)、可信执行环境等安全执行环境中，并在其中使用。私钥通常被绑定到托管装置，从而使加密操作容易出现潜在的问题。例如，在装置丢失或被盗的情况下，存储在装置的安全执行环境中的所有绑定的私钥也会丢失。此外，装置故障会导致私钥丢失或不可用，例如导致无法对文档/交易进行签名或无法认证如银行服务的相关服务。在已知的系统中，装置的丢失或被盗通常导致私钥丢失管理和撤销过程(例如管理信用卡的撤销和替换、IT认证服务的供应或替换安全执行环境的恢复和重新配置)的基础设施成本高。在加密货币系统中，私钥的丢失或被盗通常意味着金钱的明确损失。例如，比特币私钥的被盗或丢失通常会导致比特币信贷和储蓄的明确损失。需要基于非对称密钥对和保护私钥操作的改进的加密机制。
技术实现思路
本公开适用于实现保护私钥操作的创新方式的基于非对称密钥对的加密机制。它基于创新的网络存储设备的使用。它可以应用于但不限于区块链技术以及安全认证方案例如线上快速身份验证(FastIdentityOnline，FIDO)和物联网(InternetofThings，IoT)对象管理。根据本公开的一个方面，提出了一种用于非对称加密的系统。系统可以包括装置和网络存储设备。装置可以与网络存储设备通信地连接。网络存储设备可以被配置为存储私钥。装置可以被配置为从网络存储设备中获取私钥，以在装置的安全执行环境中使用私钥执行加密操作。安全执行环境可以被配置为临时存储用于加密操作的私钥。例如，当已经完成了加密功能时，可以从存储器中删除私钥。在一个实施方式中，私钥可以作为加密的私钥被存储在网络存储设备中。加密的私钥可以包括使用客户机密加密的私钥。装置可以被配置为从网络存储设备中获取加密的私钥。装置可以被配置为获得客户机密。安全执行环境可以被配置为使用客户机密对加密的私钥进行解密以获得私钥。在一个实施方式中，装置可以被配置为建立用于在安全执行环境与在装置上运行的软件应用程序之间传输客户机密的第一安全链路。在一个实施方式中，安全执行环境可以被配置为经由第一安全链路向软件应用程序提供加密操作的结果。在一个实施方式中，装置可以被配置为建立用于在网络存储设备与安全执行环境之间传输私钥的第二安全链路。在一个实施方式中，安全执行环境可以被配置为创建包括私钥的非对称密钥对。安全执行环境可以被配置为临时存储所创建的私钥，直到将其存储在网络存储设备中。装置可以被配置为将所创建的私钥传输到网络存储设备以存储私钥。在一个实施方式中，安全执行环境可以被配置为在传输到网络存储设备之前使用客户机密对私钥进行加密。根据本公开的一个方面，提出了一种装置，其用于在具有上述一个或多个特征的用于非对称加密的系统中使用。装置可以与被配置为存储私钥的网络存储设备通信地连接。装置可以被配置为从网络存储设备中获取私钥，以在装置的安全执行环境中使用私钥执行加密操作。安全执行环境可以被配置为临时存储用于加密操作的私钥。例如，当已经完成了加密功能时，可以从存储器中删除私钥。根据本公开的一个方面，提出了一种网络存储设备，其用于在具有上述一个或多个特征的用于非对称加密的系统中使用。网络存储设备可以与装置通信地连接。网络存储设备可以被配置为存储私钥。网络存储设备还可以被配置为传输用于使用私钥进行加密操作的装置的安全执行环境。根据本公开的一个方面，提出了一种计算机实现的方法，其用于在具有上述一个或多个特征的系统中进行非对称加密。系统可以包括装置和网络存储设备。装置可以与网络存储设备通信地连接。网络存储设备可以被配置为存储私钥。方法可以包括在装置中从网络存储设备中获取私钥以在装置的安全执行环境中使用私钥执行加密操作。方法还可以包括在安全执行环境中临时存储私钥以用于加密操作。例如，当已经完成了加密功能时，可以从存储器中删除私钥。在一个实施方式中，可以将私钥作为加密的私钥存储在网络存储设备中，其中加密的私钥包括使用客户机密加密的私钥。方法可以包括在装置中从网络存储设备中获取加密的私钥。方法还可以包括在装置中获得客户机密。方法还可以包括在安全执行环境中使用客户机密对加密的私钥进行解密以获得私钥。在一个实施方式中，方法还可以包括在装置中建立第一安全链路，用于：在安全执行环境与在装置上运行的软件应用程序之间传输客户机密，和/或从安全执行环境向软件应用程序提供加密操作的结果。在一个实施方式中，方法还可以包括建立用于在网络存储设备与安全执行环境之间传输私钥的第二安全链路。在一个实施方式中，方法还可以包括在安全执行环境中创建包括私钥的非对称密钥对。方法还可以包括在安全执行环境中临时存储所创建的私钥，直到将其存储在网络存储设备中。方法还可以包括：将所创建的私钥从装置传输到网络存储设备以存储私钥。在一个实施方式中，方法还可以包括在传输到网络存储设备之前，在安全执行环境中使用客户机密对私钥进行加密。有利地，本公开防止了个人机密数据的丢失。实际上，装置的安全执行环境(例如TPM、智能卡、作为iOS/Android密钥库的安全文件系统、可信执行环境等)可能在不泄露私钥的情况下丢失或被盗。此外，由于在安全执行环境中没有存储私钥，因此可以在不需要撤消或全面安装的情况下以相对较低的迁移成本替换安全执行环境。在安全执行环境中没有存储任何加密密钥(例如私钥)的情况下，有利地可以将相同的安全执行环境(例如，令牌)提供给多个或所有用户。有利地，关于私钥保密性，可以实现为云存储服务(CSS)的网络存储设备不需要直接访问私钥值，确保私钥保密性。保护私钥的加密资产无需由云服务进行管理。有利地，安全执行环境可以被标准化并且对于任何使用都是相同的。不需要任何安全执行环境特定的数据，例如存储在安全执行环境中的私钥。有利地，安全执行环境的证明过程可以不太复杂：无需将任何私钥存储在安全执行环境上，因此不需要安全存储管理证明。有利地，由于网络存储设备可以可靠地捕获任何密钥访问和使用，因此利用本公开使可靠的密钥使用监视分析成为了可能。在下文中，将更详细地描述本公开的实施方式。然而，应当理解，这些实施方式不可被解释为限制本公开的保护范围。附图说明现在将仅通过举例的方式参照所附的示意图来描述实施方式，在附图中，对应的附图标记表示对应的部分，并且在附图中：图1示出了示例性实施方式的系统；图2示出了示例性私钥创建方法的时序图；图3示出了示例性私钥使用方法的时序图；以及图4示出了计算装置的一种实现方式的框图。这些附图仅是出于说明的目的，并不用作对权利要求书所规定的范围或保护的限制。具体实施方式...

【技术保护点】
1.一种系统(1)，其包括：/n与网络存储设备(30)通信地连接的装置(10)，其中所述网络存储设备被配置为存储加密的私钥，所述加密的私钥包括已经使用客户机密进行了加密的私钥，/n其中所述装置包括：/n一个或多个处理器；以及/n所述一个或多个处理器能够访问的存储器，所述存储器存储指令，所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作：/n从所述网络存储设备中获取所述加密的私钥；/n获得客户机密；/n使用所述客户机密对所述加密的私钥进行解密以获得所述私钥；/n临时存储所述私钥以用于加密操作；/n使用所述私钥执行所述加密操作；以及/n提供所述加密操作的结果。/n

【技术特征摘要】
【国外来华专利技术】20181123 EP 18208108.31.一种系统(1)，其包括：
与网络存储设备(30)通信地连接的装置(10)，其中所述网络存储设备被配置为存储加密的私钥，所述加密的私钥包括已经使用客户机密进行了加密的私钥，
其中所述装置包括：
一个或多个处理器；以及
所述一个或多个处理器能够访问的存储器，所述存储器存储指令，所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作：
从所述网络存储设备中获取所述加密的私钥；
获得客户机密；
使用所述客户机密对所述加密的私钥进行解密以获得所述私钥；
临时存储所述私钥以用于加密操作；
使用所述私钥执行所述加密操作；以及
提供所述加密操作的结果。


2.根据权利要求1所述的系统，其中所述装置包括安全执行环境，并且其中所述安全执行环境被配置为：
使用所述客户机密对所述加密的私钥进行解密以获得所述私钥；
临时存储所述私钥以用于所述加密操作；以及使用所述私钥执行所述加密操作。


3.根据权利要求2所述的系统，其中所述指令在由所述一个或多个处理器执行时还使所述一个或多个处理器执行以下操作：
在所述装置的安全执行环境与在所述装置上执行的应用程序之间配置第一安全链路；以及
经由所述第一安全链路获得所述客户机密，
并且其中所述安全执行环境被配置为经由所述第一安全链路向所述应用程序提供所述加密操作的结果。


4.根据权利要求2所述的系统，其中所述指令在由所述一个或多个处理器执行时还使所述一个或多个处理器执行以下操作：
配置用于在所述网络存储设备与所述装置之间传输所述加密的私钥的第二安全链路。


5.根据权利要求4所述的系统，其中所述安全执行环境还被配置为：
创建包括所述私钥的非对称密钥对；
临时存储所创建的私钥，直到将其存储在所述网络存储设备中；以及
在传输到所述网络存储设备之前，使用所述客户机密对所述私钥进行加密，
并且其中所述装置还被配置为：
将所述加密的私钥传输到所述网络存储设备。


6.一种装置(10)，其包括：
一个或多个处理器；以及
所述一个或多个处理器能够访问的存储器，所述存储器存储指令，所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作：
从网络存储设备中获取加密的私钥；
获得客户机密；
使用所述客户机密对所述加密的私钥进行解密以获得所述私钥；
临时存储所述私钥以用于加密操作；
使用所述私钥执行所述加密操作；以及
提供所述加密操作的结果。


7.根据权利要求6所述的装置，其中所述装置包括安全执行环境，并且其中所述安全执行环境被配置为：
使用所述客户机密对所述加密的私钥进行解密以获得所述私钥；
临时存储所述私钥以用于所述加密操作；以及
使用所述私钥执行所述加密操作。


8.根据权利要求7所述的装置，其中所述指令在由所述一个或多个处理器执行时还使所述一个或多个处理器执行以下操作：
在所述装置的安全执行环境与在所述装置上执行的应用程序之间配置第一安全链路；以及
经由所述第一安全链路获得所述客户机密，
并且其中所述安全执行环境被配置为经由所述第一安全链路向所述应用程序提供所述加密操作的结果。


9.一种计算机实现的方法，其包括：
将加密的私钥存储在网络存储设备中，所述加密的私钥包括已经使用客户机密进...

【专利技术属性】
技术研发人员：阿尔夫·勒托罗，安东尼·切莱蒂，
申请(专利权)人：耐瑞唯信有限公司，
类型：发明
国别省市：瑞士;CH