本发明专利技术实施例公开一种私钥保护方法、装置、系统及存储介质,其中,所述方法包括在CPU内置的安全处理模块存储用户私钥;认证应用程序是否合法;确定应用程序合法后,利用用户私钥进行应用程序的数据加解密处理。本发明专利技术能够能够以较低的成本很好地防止用户私钥泄露,保证用户私钥地安全性。证用户私钥地安全性。证用户私钥地安全性。
【技术实现步骤摘要】
一种私钥保护方法、装置、系统及存储介质
[0001]本专利技术涉及信息安全
,尤其涉及一种私钥保护方法、装置、系统及存储介质。
技术介绍
[0002]数字证书和私钥是公钥基础设施系统(PublicKeyInfrastructure
‑
PKI)中的核心元素。数字证书是一个实体身份的有效标识,而与之对应的私钥则用于这个身份的证明,其作用类似于“身份证”。私钥用于签名,公钥用于验签。数学上保证了私钥签名的不可伪造,不可否认性。比如在一次SSL(Secure Sockets Layer,安全套接字协议)握手中,私钥的拥有者利用自己的私钥做数据签名,并和数字证书一同发送给接收方,接收方在收到信息后可以用对方的公钥来验签,来验证发送者的真实身份。如果黑客窃取了私钥,那么就完全可以伪造数据发起方来欺骗对方,从而进行非法的活动。
[0003]秘钥泄露的危害是非常高的。国内很多密码卡或者密码机厂商都需要通过专用硬件的方法来保存秘钥。但是,这些设计方案都无法使用通用CPU(central processing unit,中央处理器)的加解密功能,性能都存在瓶颈。
[0004]目前,CPU通常提供有加解密协处理器(CCP:Crypto Co
‑
Processor),可以用来专门做加解密操作,秘钥需要由用户通过API(Application Programming Interface,应用程序接口)写入,并把需要加解密的数据和命令发送给CCP来完成操作。然而,该设计中,秘钥需要由客户软件自行管理,暴露在操作系统一侧,容易收到攻击。
技术实现思路
[0005]有鉴于此,本专利技术实施例提供一种私钥保护方法、装置、系统及存储介质,以实现对用户私钥的安全保护。
[0006]第一方面,本专利技术实施例提供一种私钥保护方法,包括:
[0007]在CPU内置的安全处理模块存储用户私钥;
[0008]认证应用程序是否合法;
[0009]确定应用程序合法后,利用用户私钥进行应用程序的数据加解密处理。
[0010]可选的,在CPU内置的安全处理模块存储用户私钥之前,所述方法还包括:
[0011]离线加密用户私钥;
[0012]将加密后的用户私钥放入CPU内置的安全处理模块,由安全处理模块解密用户私钥。
[0013]进一步的,离线加密用户私钥,包括:
[0014]离线利用CPU内置的证书链得到加密封装公钥;
[0015]利用加密封装公钥加密用户私钥。
[0016]可选的,在CPU内置的安全处理模块存储用户私钥之前,所述方法还包括:
[0017]在CPU内置的安全处理模块生成用户私钥。
[0018]可选的,在CPU内置的安全处理模块存储用户私钥,包括:
[0019]在CPU内置的安全处理模块中的可信子模块存储用户私钥。
[0020]可选的,认证应用程序是否合法,包括:
[0021]将应用程序的存储地址发送到CPU内置的安全处理模块,以使CPU内置的安全处理模块利用自身的可信子模块认证应用程序是否合法。
[0022]可选的,在CPU内置的安全处理模块存储用户私钥之后,所述方法还包括:将CPU内置的安全处理模块存储的用户私钥编程入密码协处理器;
[0023]利用用户私钥进行应用程序的数据加解密处理,包括:由密码协处理器使用用户私钥进行应用程序的数据加解密处理。
[0024]第二方面,本专利技术实施例提供一种私钥保护装置,包括:
[0025]用户私钥存储单元,用于在CPU内置的安全处理模块存储用户私钥;
[0026]程序认证单元,用于认证应用程序是否合法;
[0027]加解密处理单元,用于确定应用程序合法后,利用用户私钥进行应用程序的数据加解密处理。
[0028]可选的,所述装置还包括:
[0029]用户私钥离线加密单元,用于离线加密用户私钥;
[0030]用户私钥传送单元,用于将加密后的用户私钥放入CPU内置的安全处理模块,由安全处理模块解密用户私钥后触发用户私钥存储单元存储解密后的用户私钥。
[0031]进一步的,用户私钥离线加密单元用于离线加密用户私钥,包括:
[0032]离线利用CPU内置的证书链得到加密封装公钥;
[0033]利用加密封装公钥加密用户私钥。
[0034]可选的,在CPU内置的安全处理模块存储用户私钥之前,所述装置还包括:
[0035]用户私钥产生单元,用于在CPU内置的安全处理模块生成用户私钥,触发用户私钥存储单元存储生成的用户私钥。
[0036]可选的,用户私钥存储单元用于在CPU内置的安全处理模块存储用户私钥,包括:
[0037]在CPU内置的安全处理模块中的可信子模块存储用户私钥。
[0038]可选的,程序认证单元用于认证应用程序是否合法,包括:
[0039]将应用程序的存储地址发送到CPU内置的安全处理模块,以使CPU内置的安全处理模块利用自身的可信子模块认证应用程序是否合法。
[0040]第三方面,本专利技术实施例提供一种私钥保护系统,所述系统包括内置有安全处理模块的中央处理器;其中:中央处理器包括上述第二方面所述的私钥保护装置。
[0041]可选的,所述中央处理器还内置有与安全处理模块连接的密码协处理器;其中:中央处理器将CPU内置的安全处理模块存储的用户私钥编程入密码协处理器,由密码协处理器使用用户私钥进行应用程序的数据加解密处理。
[0042]第四方面,本专利技术的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个中央处理器执行,以实现前述第一方面所述的私钥保护方法。
[0043]本专利技术实施例提供的技术方案中,利用设备上CPU内置的安全处理模块来保护运行时的用户私钥,并且只有在应用程序的合法性认证通过后方可使用该用户私钥作加解密
处理,能够以较低的成本很好地防止用户私钥泄露,保证用户私钥地安全性。
附图说明
[0044]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0045]图1为本专利技术实施例一提供的一种私钥保护方法的流程图;
[0046]图2为本专利技术实施例二提供的一种私钥保护方法的流程图;
[0047]图3为本专利技术实施例三提供的一种私钥保护方法适用的架构图;
[0048]图4为本专利技术实施例三提供的一种私钥保护装置的结构示意图。
具体实施方式
[0049]下面结合附图对本专利技术实施例进行详细描述。
[0050]应当明确,所描述的实施例仅仅是本专利技术一部分实施例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种私钥保护方法,其特征在于,所述方法包括:在CPU内置的安全处理模块存储用户私钥;认证应用程序是否合法;确定应用程序合法后,利用用户私钥进行应用程序的数据加解密处理。2.根据权利要求1所述的方法,其特征在于,在CPU内置的安全处理模块存储用户私钥之前,所述方法还包括:离线加密用户私钥;将加密后的用户私钥放入CPU内置的安全处理模块,由安全处理模块解密用户私钥。3.根据权利要求2所述的方法,其特征在于,离线加密用户私钥,包括:离线利用CPU内置的证书链得到加密封装公钥;利用加密封装公钥加密用户私钥。4.根据权利要求1所述的方法,其特征在于,在CPU内置的安全处理模块存储用户私钥之前,所述方法还包括:在CPU内置的安全处理模块生成用户私钥。5.根据权利要求1所述的方法,其特征在于,在CPU内置的安全处理模块存储用户私钥,包括:在CPU内置的安全处理模块中的可信子模块存储用户私钥。6.根据权利要求1所述的方法,其特征在于,认证应用程序是否合法,包括:将应用程序的存储地址发送到CPU内置的安全处理模块,以使CPU内置的安全处理模块利用自身的可信子模块认证应用程序是否合法。7.根据权利要求1所述的方法,其特征在于,在CPU内置的安全处理模块存储用户私钥之后,所述方法还包括:将CPU内置的安全处理模块存储的用户私钥编程入密码协处理器;利用用户私钥进行应用程序的数据加解密处理,包括:由密码协处理器使用用户私钥进行应用程序的数据加解密处理。8.一种私钥保护装置,其特征在于,所述装置包括:用户私钥存储单元,用于在CPU内置的安全处理模块存储用户私钥;程序认证单元,用于认证应用程序是否合法;加解密处理单元,用于确定应用程序合法后,利用用户私钥进行应用程序的数据加解密处理。9.根据权利要求8所述的装置,其特征在于,所述装置还包括:用户私钥离线加密单...
【专利技术属性】
技术研发人员:应志伟,
申请(专利权)人:海光信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。