区块链签名机安全设计方法及签名机技术

本申请提供了一种区块链签名机安全设计方法，包括：响应于签名请求，从多个分量持有人获取第一级密钥的多份分量；根据所述多份分量恢复所述第一级密钥；根据所述第一级密钥恢复后续密钥，其中，所述后续密钥用于导出区块链私钥。本申请提供的技术方案，采用多级密钥体系，逐级加密方式，分量持有人只能掌握第一级密钥的分量，第一级密钥被恢复后，只能用来恢复后续密钥，从而避免了分量持有人能够脱离签名机直接恢复区块链私钥的问题，解决了签名机的安全设计问题。的安全设计问题。的安全设计问题。

【技术实现步骤摘要】
区块链签名机安全设计方法及签名机


[0001]本申请涉及区块链
，尤其涉及一种区块链签名机安全设计方法、签名机、计算机设备及计算机可读存储介质。

技术介绍

[0002]区块链上广泛使用非对称加密算法和公私钥对，其中私钥可以用来证明其对链上地址的所有权，进而是该地址所关联资产等的所有权。因此，在区块链的应用上，私钥的安全管理至关重要。甚至在一些公链上，私钥是证明所有权的唯一凭证，它不像银行账户：如果某位用户忘记银行卡口令，可以凭身份证明去银行重置口令，而在区块链上特别是某些公链上，一旦丢失私钥，则相关资产将无法恢复。
[0003]签名机管理重要资产的私钥，为了安全管理私钥(区块链私钥)，签名机的安全设计非常重要。

技术实现思路

[0004]本申请的目的是提供一种区块链签名机安全设计方法、签名机、计算机设备及计算机可读存储介质，用于解决签名机的安全设计问题。
[0005]本申请实施例的一个方面提供了一种区块链签名机安全设计方法，其特征在于，包括：响应于签名请求，从多个分量持有人获取第一级密钥的多份分量；根据所述多份分量恢复所述第一级密钥；根据所述第一级密钥恢复后续密钥，其中，所述后续密钥用于导出区块链私钥。
[0006]可选地，所述第一级密钥利用秘密分割算法分割为n份分量，任意t份分量恢复出所述第一级密钥，任意少于t份分量无法恢复出所述第一级密钥；所述根据所述多份分量恢复所述第一级密钥，包括：利用秘密分割算法根据大于等于t份分量恢复所述第一级密钥；将所述第一级密钥与预存的完整性信息比对，以确保所述第一级密钥被正确恢复。
[0007]可选地，所述将所述第一级密钥与预存的完整性信息比对，包括：预存第一校验信息作为完整性信息，其中，所述第一校验信息是将正确的第一级密钥使用校验算法结合预设参数得到的；利用恢复出来的第一级密钥使用校验算法结合所述预设参数得到第二校验信息；比对所述第一校验信息与所述第二校验信息是否完全等同；如果完全等同，则所述第一级密钥被正确恢复；如果不完全等同，则所述第一级密钥未被正确恢复。
[0008]可选地，所述根据所述第一级密钥恢复后续密钥，包括：根据所述第一级密钥恢复第二级密钥；根据所述第二级密钥恢复第三级密钥。
[0009]可选地，所述根据所述第一级密钥恢复第二级密钥，包括：预先保存第一预存信息，其中，所述第一预存信息是使用第一加密算法结合第一分组模式以及第一额外信息对所述第二级密钥进行加密得到的，所述第一预存信息包括第一密文以及第一完整性保护附加信息；以恢复出来的第一级密钥为密钥，使用第一加密算法结合所述第一分组模式以及所述第一额外信息，从所述第一预存信息解密出所述第二级密钥。
[0010]可选地，所述根据所述第二级密钥恢复第三级密钥，包括：预先保存第二预存信息，其中，所述第二预存信息是使用第二加密算法结合第二分组模式以及第二额外信息对所述第三级密钥进行加密得到的，所述第二预存信息包括第二密文以及第二完整性保护附加信息；以恢复出来的第二级密钥为密钥，使用第二加密算法结合所述第二分组模式以及所述第二额外信息，从所述第二预存信息解密出所述第三密钥。
[0011]可选地，所述的区块链签名机安全设计方法还包括：接收第一签名请求，所述第一签名请求包括预设信息，所述预设信息为待签名信息；提供所述预设信息给多个分量持有人确认；接收第二签名请求；如果所述第二签名请求与所述预设信息相符，且预设信息有效，对所述第二签名请求进行签名，签名完成后，如所述签名次数已经达到预设限制，则所述预设信息失效；如果所述第二签名请求与所述预设信息不相符，或者所述预设信息已经失效，则拒绝所述第二签名请求。
[0012]可选地，所述的区块链签名机安全设计方法还包括：设置待签名信息的白名单，所述白名单的过滤条件为待签名信息的一个或多个特征；接收签名请求；若所述签名请求符合所述白名单，则对所述签名请求进行签名；若所述签名请求不符合白名单，则拒绝所述签名请求。
[0013]可选地，所述的区块链签名机安全设计方法还包括：记录所述预设信息以及对所述预设信息的确认信息，作为审计依据；及/或通过发送邮件或调用工作流，报告所述预设信息以及对所述预设信息的确认信息，作为审计依据。
[0014]本申请实施例的一个方面又提供了一种签名机，包括：获取模块，用于响应于签名请求，从多个分量持有人获取第一级密钥的多份分量；恢复模块，用于根据所述多份分量恢复所述第一级密钥，并根据所述第一级密钥恢复后续密钥，其中，所述后续密钥用于导出区块链私钥。
[0015]本申请实施例的一个方面又提供了一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述区块链签名机安全设计方法的步骤。
[0016]本申请实施例的一个方面又提供了一种计算机可读存储介质，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述区块链签名机安全设计方法的步骤。
[0017]本申请实施例提供的区块链签名机安全设计方法、签名机、计算机设备及计算机可读存储介质，采用多级密钥体系，逐级加密方式，分量持有人只能掌握第一级密钥的分量，第一级密钥被恢复后，只能用来恢复后续密钥，从而避免了分量持有人能够脱离签名机直接恢复区块链私钥的问题，解决了签名机的安全设计问题。
附图说明
[0018]图1示意性示出了根据本申请实施例一的区块链签名机安全设计方法中多级密钥体系的示意图；
[0019]图2示意性示出了根据本申请实施例一的区块链签名机安全设计方法中多级密钥体系的流程图；
[0020]图3为图2中步骤S202的子步骤图；
[0021]图4为图3中步骤S302的子步骤图；
[0022]图5为图2中步骤S204的子步骤图；
[0023]图6为图5中步骤S500的子步骤图；
[0024]图7为图5中步骤S502的子步骤图；
[0025]图8示意性示出了根据本申请实施例一的区块链签名机安全设计方法中预设信息确认以及一次性签名设计的流程图；
[0026]图9示意性示出了根据本申请实施例一的区块链签名机安全设计方法中白名单制度的流程图；
[0027]图10示意性示出了根据本申请实施例一的区块链签名机安全设计方法中邮件或流程记录的流程图；
[0028]图11示意性示出了本申请区块链签名机安全设计方法中多级密钥体系的一个具体示例图；
[0029]图12示意性示出了本申请区块链签名机安全设计方法中预设信息确认以及白名单过滤的一个具体示例图；
[0030]图13示意性示出了根据本申请实施例二的签名机的框图；及
[0031]图14示意性示出了根据本申请实施例三的适于实现区块链签名机安全设计方法的计算机设备的硬件架构示意图。
具体实施方式
[0032]为了使本申请的目的、技术方案及优点更加清楚明白，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种区块链签名机安全设计方法，其特征在于，包括：响应于签名请求，从多个分量持有人获取第一级密钥的多份分量；根据所述多份分量恢复所述第一级密钥；根据所述第一级密钥恢复后续密钥，其中，所述后续密钥用于导出区块链私钥。2.根据权利要求1所述的区块链签名机安全设计方法，其特征在于，所述第一级密钥利用秘密分割算法分割为n份分量，任意t份分量恢复出所述第一级密钥，任意少于t份分量无法恢复出所述第一级密钥；所述根据所述多份分量恢复所述第一级密钥，包括：利用秘密分割算法根据大于等于t份分量恢复所述第一级密钥；将所述第一级密钥与预存的完整性信息比对，以确保所述第一级密钥被正确恢复。3.根据权利要求2所述的区块链签名机安全设计方法，其特征在于，所述将所述第一级密钥与预存的完整性信息比对，包括：预存第一校验信息作为完整性信息，其中，所述第一校验信息是将正确的第一级密钥使用校验算法结合预设参数得到的；利用恢复出来的第一级密钥使用校验算法结合所述预设参数得到第二校验信息；比对所述第一校验信息与所述第二校验信息是否完全等同；如果完全等同，则所述第一级密钥被正确恢复；如果不完全等同，则所述第一级密钥未被正确恢复。4.根据权利要求1所述的区块链签名机安全设计方法，其特征在于，所述根据所述第一级密钥恢复后续密钥，包括：根据所述第一级密钥恢复第二级密钥；根据所述第二级密钥恢复第三级密钥。5.根据权利要求4所述的区块链签名机安全设计方法，其特征在于，所述根据所述第一级密钥恢复第二级密钥，包括：预先保存第一预存信息，其中，所述第一预存信息是使用第一加密算法结合第一分组模式以及第一额外信息对所述第二级密钥进行加密得到的，所述第一预存信息包括第一密文以及第一完整性保护附加信息；以恢复出来的第一级密钥为密钥，使用第一加密算法结合所述第一分组模式以及所述第一额外信息，从所述第一预存信息解密出所述第二级密钥。6.根据权利要求5所述的区块链签名机安全设计方法，其特征在于，所述根据所述第二级密钥恢复第三级密钥，包括：预先保存第二预存信息，其中，所述第二预存信息是使用第二加密算法结合第二分组模式以及第二额外信息对所述第三级密钥进行加密得到的，所述第二预存信息包括第二密文以及第...

【专利技术属性】
技术研发人员：郭伟基，周晨程，孙英男，王炜煜，
申请(专利权)人：上海加密原生科技有限公司，
类型：发明
国别省市：