本申请涉及互联网技术领域,具体涉及一种钱包加密存储方法、签名方法、计算机设备和存储介质。
背景技术:
当前区块链钱包对于私钥或助记词等敏感数据的存储方式通常是通过用户密钥对这些敏感数据进行加密后存储在硬盘中。
上述方案的问题在于,当存储有加密的敏感数据的计算机设备被入侵后,入侵者可以窃取加密的敏感数据,再通过窃取/骗取用户密钥、根据用户的私人信息破解用户密钥等方式对所窃取的数据进行解密,导致私钥或助记词等敏感数据存在被窃取后被破解导致资产损失的风险。
技术实现要素:
鉴于现有技术中的上述缺陷或不足,期望提供一种保障资产不会因为钱包数据被窃取而遭受损失的钱包加密存储方法、签名方法、计算机设备和存储介质。
第一方面,本发明提供一种钱包加密存储方法,执行该方法的计算机设备配置有独立于操作系统的tee,钱包应用安装和运行在操作系统中,该方法包括:
钱包应用在生成私钥信息后,获取用户密钥,将私钥信息和用户密钥发送至tee中的第一ta;其中,私钥信息包括以下至少一项:私钥,对应于私钥的助记词;
第一ta根据用户密钥和计算机设备的huk生成可信存储密钥;
第一ta生成文件加密密钥,根据文件加密密钥对私钥信息进行加密,生成并存储加密私钥信息;
第一ta根据可信存储密钥对文件加密密钥进行加密,生成并存储加密密钥信息。
第二方面,本发明提供一种签名方法,签名所需的私钥信息通过如第一方面的钱包加密存储方法所存储,该签名方法包括:
响应于签名请求,钱包应用获取用户密钥,生成包括用户密钥的私钥信息获取请求并发送至第一ta;
第一ta根据用户密钥和huk生成可信存储密钥;
第一ta根据可信存储密钥对加密密钥信息进行解密以获取文件加密密钥;
第一ta根据文件加密密钥对加密私钥信息进行解密以获取私钥信息,将私钥信息返回给钱包应用;
钱包应用根据私钥信息进行签名。
第三方面,本发明还提供一种计算机设备,包括一个或多个处理器和存储器,其中存储器包含可由该一个或多个处理器执行的指令以使得该一个或多个处理器执行根据本发明各实施例提供的方法。
第四方面,本发明还提供一种存储有计算机程序的存储介质,该计算机程序使计算机执行根据本发明各实施例提供的方法。
本发明诸多实施例提供的钱包加密存储方法、签名方法、计算机设备和存储介质通过在设备中配置tee,并在tee中通过该设备的huk对用于加密私钥信息的文件加密密钥进行加密,使入侵者即便同时窃取到加密数据和用户密钥也无法破解获得私钥或助记词,保障了不会因为钱包数据被窃取而遭受资产损失。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本发明一实施例提供的一种钱包加密存储方法的流程图。
图2为图1所示方法的一种优选实施方式中步骤s13的流程图。
图3为本发明一实施例提供的一种签名方法的流程图。
图4为图3所示方法的一种优选实施方式中步骤s23的流程图。
图5为本发明一实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1为本发明一实施例提供的一种钱包加密存储方法的流程图。
如图1所示,在本实施例中,本发明提供一种钱包加密存储方法,执行该方法的计算机设备配置有独立于操作系统的tee,钱包应用安装和运行在操作系统中,该方法包括:
s11:钱包应用在生成私钥信息后,获取用户密钥,将私钥信息和用户密钥发送至tee中的第一ta;其中,私钥信息包括以下至少一项:私钥,对应于私钥的助记词;
s13:第一ta根据用户密钥和计算机设备的huk生成可信存储密钥;
s15:第一ta生成文件加密密钥,根据文件加密密钥对私钥信息进行加密,生成并存储加密私钥信息;
s17:第一ta根据可信存储密钥对文件加密密钥进行加密,生成并存储加密密钥信息。
具体地,以下以用户甲的用户端存储用户甲的私钥和助记词为例,对上述方法进行示例性的阐述。
在步骤s11中,当钱包app生成私钥p1和相应的助记词word1-word15之后,获取用户密钥userkey,将私钥p1、助记词word1-word15和用户密钥userkey发送至tee中的钱包加密存储可信应用。
具体地,用户密钥userkey可以根据用户名和用户密码进行加密运算所生成,也可以根据本领域技术人员可以理解的其它常用手段生成。
在本实施例中,第一ta配置为专用于与钱包app通信、加密存储私钥和/或助记词等敏感数据的钱包加密存储可信应用;在更多实施例中,还可以根据实际需求将第一ta配置为兼具其它功能的可信应用,只要第一ta能与钱包app通信、能加密存储私钥和/或助记词等敏感数据,即可实现相同的技术效果。
在步骤s13中,钱包加密存储可信应用根据用户密钥userkey和当前计算机设备的huk生成可信存储密钥tsk。
图2为图1所示方法的一种优选实施方式中步骤s13的流程图。
如图2所示,在本实施例中,步骤s13包括:
s131:第一ta根据用户密钥和huk生成安全存储密钥;
s133:第一ta根据安全存储密钥和第一ta的uuid生成可信存储密钥。
在步骤s131中,钱包加密存储可信应用根据用户密钥userkey和当前计算机设备的huk生成安全存储密钥ssk:
ssk=hmacsha256(huk,”userkey”);
在步骤s133中,钱包加密存储可信应用根据安全存储密钥ssk和钱包加密存储可信应用的uuid生成可信存储密钥tsk:
tsk=hmacsha256(ssk,uuid)。
在本实施例中,第一ta配置为先根据userkey和huk生成ssk、再根据ssk生成tsk,以及,采用hmacsha256()算法进行运算;在更多实施例中,还可根据实际需求配置为直接根据userkey和huk生成tsk,还可采用本领域常用的其它加密算法进行运算,均可实现相同的技术效果。
在步骤s15中,钱包加密存储可信应用生成文件加密密钥fek,并根据该文件加密密钥fek对待存储的私钥p1和相应的助记词word1-word15进行加密,生成加密私钥信息并存储。
具体地,在tee中,当一个ta在使用安全存储方式创建一个安全文件时就会生成一个随机数作为文件加密密钥,本领域技术人员可以理解该过程,具体不再赘述。
在步骤s17中,钱包加密存储可信应用根据步骤s13生成的可信存储密钥tsk对步骤s15生成的文件加密密钥fek进行加密,生成加密密钥信息并存储。
上述实施例以私钥信息同时包括私钥和对应的助记词为例,对图1-2所示的方法进行了示例性的阐述,在更多实施例中,私钥信息还可以配置为只包括私钥或助记词,可实现相同的技术效果。
图3为本发明一实施例提供的一种签名方法的流程图。如图3所示,在本实施例中,本发明还提供一种签名方法,签名所需的私钥信息通过如图1-2所示的钱包加密存储方法所存储,该签名方法包括:
s21:响应于签名请求,钱包应用获取用户密钥,生成包括用户密钥的私钥信息获取请求并发送至第一ta;
s23:第一ta根据用户密钥和huk生成可信存储密钥;
s25:第一ta根据可信存储密钥对加密密钥信息进行解密以获取文件加密密钥;
s27:第一ta根据文件加密密钥对加密私钥信息进行解密以获取私钥信息,将私钥信息返回给钱包应用;
s29:钱包应用根据私钥信息进行签名。
具体地,同样以用户甲的用户端需要使用用户甲的私钥进行签名为例,对上述方法进行示例性的阐述。
在步骤s21中,钱包app响应于签名请求,获取用户密钥userkey(获取方式同步骤s11,不再赘述),生成包括userkey的私钥信息获取请求并发送至钱包加密存储可信应用。
在步骤s23中,钱包加密存储可信应用根据用户密钥userkey和当前计算机设备的huk生成可信存储密钥tsk。
图4为图3所示方法的一种优选实施方式中步骤s23的流程图。
如图4所示,在本实施例中,步骤s23包括:
s231:第一ta根据用户密钥和huk生成安全存储密钥;
s233:第一ta根据安全存储密钥和第一ta的uuid生成可信存储密钥。
具体地,步骤s23中生成tsk的原理和过程与步骤s13完全相同,此处不再赘述。
在步骤s25中,钱包加密存储可信应用根据步骤s23生成的可信存储密钥tsk对步骤s17所存储的加密密钥信息进行解密,获取文件加密密钥fek。
在步骤s27中,钱包加密存储可信应用根据步骤s25获取的文件加密密钥fek对步骤s15所存储的加密私钥信息进行解密,获取私钥信息并返回给钱包app。
在步骤s29中,钱包app根据钱包加密存储可信应用返回的私钥信息中的私钥或助记词进行签名。
上述实施例通过在设备中配置tee,并在tee中通过该设备的huk对用于加密私钥信息的文件加密密钥进行加密,使入侵者即便同时窃取到加密数据和用户密钥也无法破解获得私钥或助记词,保障了不会因为钱包数据被窃取而遭受资产损失。
图5为本发明一实施例提供的一种计算机设备的结构示意图。
如图5所示,作为另一方面,本申请还提供了一种计算机设备500,包括一个或多个中央处理单元(cpu)501,其可以根据存储在只读存储器(rom)502中的程序或者从存储部分508加载到随机访问存储器(ram)503中的程序而执行各种适当的动作和处理。在ram503中,还存储有设备500操作所需的各种程序和数据。cpu501、rom502以及ram503通过总线504彼此相连。输入/输出(i/o)接口505也连接至总线504。
以下部件连接至i/o接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至i/o接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本公开的实施例,上述任一实施例描述的方法可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,计算机程序包含用于执行上述任一方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。
作为又一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例的装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,该程序被一个或者一个以上的处理器用来执行描述于本申请提供的方法。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这根据所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以通过执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以通过专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,例如,各单元可以是设置在计算机或移动智能设备中的软件程序,也可以是单独配置的硬件装置。其中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离本申请构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
1.一种钱包加密存储方法,其特征在于,执行所述方法的计算机设备配置有独立于操作系统的tee(trustedexecutionenvironment,可信执行环境,简称tee),钱包应用安装和运行在所述操作系统中,所述方法包括:
所述钱包应用在生成私钥信息后,获取用户密钥,将所述私钥信息和所述用户密钥发送至tee中的第一ta(trustedapplication,可信应用,简称ta);其中,所述私钥信息包括以下至少一项:私钥,对应于所述私钥的助记词;
所述第一ta根据所述用户密钥和所述计算机设备的huk(hardwareuniquekey,硬件唯一密钥,简称huk)生成可信存储密钥;
所述第一ta生成文件加密密钥,根据所述文件加密密钥对所述私钥信息进行加密,生成并存储加密私钥信息;
所述第一ta根据所述可信存储密钥对所述文件加密密钥进行加密,生成并存储加密密钥信息。
2.根据权利要求1所述的方法,其特征在于,所述第一ta根据所述用户密钥和所述计算机设备的huk生成可信存储密钥包括:
所述第一ta根据所述用户密钥和所述huk生成安全存储密钥;
所述第一ta根据所述安全存储密钥和所述第一ta的uuid生成可信存储密钥。
3.一种签名方法,其特征在于,签名所需的私钥信息通过如权利要求1或2所述的钱包加密存储方法所存储,所述签名方法包括:
响应于签名请求,所述钱包应用获取所述用户密钥,生成包括所述用户密钥的私钥信息获取请求并发送至所述第一ta;
所述第一ta根据所述用户密钥和所述huk生成所述可信存储密钥;
所述第一ta根据所述可信存储密钥对所述加密密钥信息进行解密以获取所述文件加密密钥;
所述第一ta根据所述文件加密密钥对所述加密私钥信息进行解密以获取所述私钥信息,将所述私钥信息返回给所述钱包应用;
所述钱包应用根据所述私钥信息进行签名。
4.根据权利要求3所述的签名方法,其特征在于,所述第一ta根据所述用户密钥和所述huk生成所述可信存储密钥包括:
所述第一ta根据所述用户密钥和所述huk生成安全存储密钥;
所述第一ta根据所述安全存储密钥和所述第一ta的uuid生成可信存储密钥。
5.一种计算机设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1-4中任一项所述的方法。
6.一种存储有计算机程序的存储介质,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一项所述的方法。
技术总结