密钥管理方法、电子设备以及存储介质与流程

1.本发明涉及密钥生成领域，特别是涉及密钥管理方法、电子设备以及存储介质。


背景技术：

2.进年来，随着互联网和计算机技术的迅猛发展，促使人类社会逐渐进入信息化时代，生活中互联网的覆盖面和使用范围也越来越广泛。我国互联网经过了二十多年的快速发展，现在已经达到了人物互联的阶段，互联网和计算技术给人类社会生活带来便利的同时，用户隐私泄露、敏感信息泄露和网络攻击等信息安全问题也越来越频繁。
3.在目标设备的私钥计算过程中，如果只是使用单台的密钥生成服务器，可能会出现服务器不可信的情况。在这种情况下客户终端私钥、设备私钥或平台服务器私钥就会泄露。


技术实现要素：

4.本发明提供了一种密钥管理方法、电子设备以及存储介质，以提高私钥生成的安全性。
5.为解决上述技术问题，本发明提供一种密钥管理方法，包括：响应于接收到目标设备的私钥申请指令，生成主私钥；利用主私钥验证多个密钥生成服务器的可信性；响应于多个密钥生成服务器具备可信性，通过多个密钥生成服务器生成目标设备的私钥，并发送给目标设备。
6.其中，利用主私钥验证多个密钥生成服务器的可信性，包括：将主私钥分割成多份子秘密份额，并将各子秘密份额分别对应发送给多个密钥生成服务器；接收各待验证的密钥生成服务器发送的待验证子秘密份额；基于各待验证子秘密份额构建出待验证主私钥；响应于待验证主私钥与主私钥一致，确定多个密钥生成服务器具备可信性。
7.其中，将主私钥分割成多份子秘密份额，并将各子秘密份额分别对应发送给多个密钥生成服务器，包括：将主私钥分割成多份子秘密份额，并将各子秘密份额以及对应的分割验证信息分别发送给对应的密钥生成服务器，以使各密钥生成服务器基于对应的分割验证信息校验子秘密份额的正确性。
8.其中，将主私钥分割成多份子秘密份额，并将各子秘密份额以及对应的分割验证信息分别发送给对应的密钥生成服务器，以使各密钥生成服务器基于对应的分割验证信息校验子秘密份额的正确性，包括：设置秘密数，通过构建多项式将秘密数以及主私钥分别进行分割，得到多个子秘密数以及多个子主私钥；将各子秘密数以及对应的子主私钥确定为对应的密钥生成服务器的子秘密份额；基于多项式生成对应的分割验证信息；将各子秘密份额以及对应的分割验证信息分别发送给对应的密钥生成服务器，以使各密钥生成服务器基于对应的分割验证信息校验子秘密份额的正确性。
9.其中，响应于接收到目标设备的私钥申请指令，生成主私钥，还包括：响应于接收到目标设备的私钥申请指令，生成主私钥，并基于主私钥生成主公钥；将主公钥发送给目标
设备，以使目标设备通过主公钥对目标设备的标识进行加密得到加密标识，并接收目标设备发送的加密标识。
10.其中，通过多个密钥生成服务器生成目标设备的私钥，并发送给目标设备，包括：通过主私钥对加密标识进行解密，得到目标设备的标识，并将目标设备的标识发送给任意一密钥生成服务器；通过多个密钥生成服务器基于对应的子秘密份额以及目标设备的标识生成目标设备的私钥，并发送给目标设备。
11.其中，通过多个密钥生成服务器基于对应的子秘密份额以及目标设备的标识生成目标设备的私钥，并发送给目标设备，包括：通过综合各密钥生成服务器对应的子秘密份额以及目标设备的标识生成目标设备的私钥，并发送给目标设备。
12.其中，目标设备利用私钥对目标设备的数据进行签名，得到签名数据，并将签名数据传输给目标对象；以使目标对象利用私钥对应的公钥对签名数据进行验签。
13.为解决上述技术问题，本发明还提供了一种电子设备，电子设备包括：相互耦接的存储器和处理器，处理器用于执行存储器中存储的程序指令，以实现上述任一项的密钥管理方法。
14.为解决上述技术问题，本发明还提供了一种计算机可读存储介质，计算机可读存储介质存储有程序数据，程序数据能够被执行以实现如上述任一项的密钥管理方法。
15.本发明的有益效果是：区别于现有技术的情况，本发明通过在接收到目标设备的私钥申请指令后，生成主私钥；利用主私钥验证多个密钥生成服务器的可信性；并在多个密钥生成服务器具备可信性时，通过多个密钥生成服务器生成目标设备的私钥，并发送给目标设备，从而提高目标设备的私钥生成的安全性与可靠性，避免私钥泄漏的风险，提高数据传输的保密性。
附图说明
16.图1是本发明提供的密钥管理方法一实施例的流程示意图；
17.图2是本发明提供的密钥管理方法另一实施例的流程示意图；
18.图3是密钥管理中心一实施方式的结构示意图；
19.图4是本发明提供的电子设备一实施例的结构示意图；
20.图5是本发明提供的计算机可读存储介质一实施例的结构示意图。
具体实施方式
21.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
22.请参阅图1，图1是本发明提供的密钥管理方法一实施例的流程示意图。
23.步骤s11：响应于接收到目标设备的私钥申请指令，生成主私钥。
24.目标设备可以包括客户终端、终端设备以及平台服务器等可以与外界设备进行消息传输的设备。其中，客户终端包括智能移动终端、电脑终端等用户侧终端，终端设备包括摄像头、检测仪器、传感器等终端。平台服务器指的是给各类终端提供资源管理、性能维护
和监控配置等服务的服务器。
25.当目标设备需要对数据进行加密传输时，其向密钥管理中心发送私钥申请指令，以从密钥管理中心获得目标设备的私钥，对数据进行加密后传输。
26.密钥管理中心响应于接收到客户终端、终端设备或平台服务器的私钥申请指令，生成主私钥。本步骤中的主私钥可以是随机生成的，也可以是基于目标设备的标识生成的，在此不做限定。
27.步骤s12：利用主私钥验证多个密钥生成服务器的可信性。
28.密钥生成服务器是用于生成目标设备的私钥的服务器。本步骤利用生成的主私钥对多个密钥生成服务器进行验证，确定各密钥生成服务器的可信性，以防止在密钥生成服务器在被攻击、被劫持或被伪造等不可信的情况下生成了目标设备的私钥，从而导致信息泄露的情况产生。
29.在一个具体的应用场景中，生成主私钥后，可以通过加密方式将主私钥发送给各密钥生成服务器，再接收各密钥生成服务器发送的待验证主私钥，当判断出待验证主私钥与之前生成的主私钥一致时，确定对应的密钥生成服务器可信。当判断出待验证主私钥与主私钥不一致时，确定对应的密钥生成服务器不可信。
30.在另一个具体的应用场景中，生成主私钥后，可以采取特殊方式将主私钥进行分割成多份子主私钥，再将各子主私钥分别发送给对应的密钥生成服务器；再接收各密钥生成服务器发送的待验证子主私钥，利用特殊方式对应的拼接方式将各待验证子主私钥拼接成待验证主私钥，当判断出待验证主私钥与主私钥一致时，确定各密钥生成服务器可信。当判断出待验证主私钥与主私钥部一致时，确定各密钥生成服务器不可信。具体地，利用主私钥验证多个密钥生成服务器的可信性的方式在此不做限定。
31.步骤s13：响应于多个密钥生成服务器具备可信性，通过多个密钥生成服务器生成目标设备的私钥，并发送给目标设备。
32.当多个密钥生成服务器均具备可信性时，说明多个密钥生成服务器正常运行在可信环境中，通过多个密钥生成服务器生成目标设备的私钥，并发送给目标设备，使得目标设备能够安全地利用私钥进行数据加密传输。
33.通过上述步骤，本实施例的密钥管理方法通过在接收到目标设备的私钥申请指令后，生成主私钥；利用主私钥验证多个密钥生成服务器的可信性；并在多个密钥生成服务器具备可信性时，通过多个密钥生成服务器生成目标设备的私钥，并发送给目标设备，从而提高目标设备的私钥生成的安全性与可靠性，避免私钥泄漏的风险，提高数据传输的保密性。
34.请参阅图2，图2是本发明提供的密钥管理方法另一实施例的流程示意图。
35.步骤s21：响应于接收到目标设备的私钥申请指令，生成主私钥，并基于主私钥生成主公钥。
36.当目标设备传输数据需要进行加密时，其向密钥管理中心发送私钥申请指令，以从密钥管理中心获得私钥，对数据进行加密传输。
37.请参阅图3，图3是密钥管理中心一实施方式的结构示意图。
38.本实施方式的密钥管理中心30包括n个密钥生成服务器33、主密钥生成中心31以及通信模块32。n可以为大于且不等于1的任意正整数，例如：2、5、6、8、10等，具体可以基于实际情况进行设置，在此不做限定。
39.在一个具体的应用场景中，n个密钥生成服务器33、主密钥生成中心31以及通信模块32之间可以通信连接。
40.密钥生成服务器33用于计算生成目标设备的私钥。主密钥生成中心31(key generation center，kgc)运行在可信环境中，用于生成主私钥以及主公钥；通信模块32用于与目标设备通信，以实现各类信息传输。
41.主密钥生成中心31包括秘密共享模块(图未示)和秘密重构模块(图未示)，秘密共享模块负责进行主私钥的分割，秘密重构模块负责主私钥的重构。密钥生成服务器33主要包括密钥生成、通信以及其他功能模块组成。
42.当接收到目标设备向密钥管理中心30发送的私钥申请指令时，主密钥生成中心31随机生成主私钥，并基于主私钥生成主公钥。主公钥(public key)与主私钥(private key)是通过加密算法得到的一个密钥对(即一个公钥和一个私钥，也就是非对称加密方式)。
43.步骤s22：将主公钥发送给目标设备，以使目标设备通过主公钥对目标设备的标识进行加密得到加密标识，并接收目标设备发送的加密标识。
44.主密钥生成中心31通过通信模块32将主公钥发送给目标设备。目标设备接收到主公钥后，利用主公钥对目标设备的标识进行加密得到加密标识，再将加密标识发送给运行在可信环境中的主密钥生成中心31，使主密钥生成中心31接收到加密标识。
45.目标设备的标识指的是目标设备的唯一标识信息，其可以表征目标设备的唯一性。
46.步骤s23：将主私钥分割成多份子秘密份额，并将各子秘密份额分别对应发送给多个密钥生成服务器。
47.将主私钥分割成多份子秘密份额，其中，子秘密份额的数量可以与密钥生成服务器33的数量相同，以分别对应发送。
48.在一个具体的应用场景中，通过主密钥生成中心31的秘密共享模块将主私钥分割成多份子秘密份额，并将各子秘密份额以及对应的分割验证信息分别发送给对应的密钥生成服务器33，以使各密钥生成服务器33基于对应的分割验证信息校验子秘密份额的正确性。在一个具体的应用场景中，当存在5个密钥生成服务器时，通过主密钥生成中心31的秘密共享模块将主私钥分割成5份子秘密份额，即s1、s2、s3、s4以及s5，各子秘密份额对应的分割验证信息分别为：e1、e2、e3、e4以及e5。将各子秘密份额以及对应的分割验证信息分别发送给对应的密钥生成服务器；例如：将子秘密份额s1以及分割验证信息e1发送给第一台密钥生成服务器，使得第一台密钥生成服务器基于分割验证信息e1校验子秘密份额s1的正确性。其他密钥生成服务器同理，不再赘述。
49.在一个具体的应用场景中，设置秘密数，通过构建多项式将秘密数以及主私钥分别进行分割，得到多个子秘密数以及多个子主私钥；再将各子秘密数以及对应的子主私钥确定为对应的密钥生成服务器33的子秘密份额；并基于多项式生成对应的分割验证信息；将各子秘密份额以及对应的分割验证信息分别发送给对应的密钥生成服务器33，以使各密钥生成服务器33基于对应的分割验证信息校验子秘密份额的正确性。
50.具体地，随机选取一个大素数p，q为素数p-1的一个大素数因子，g是有限域z
p
中唯一q阶子群，g和h是g的生成元，s为主私钥，s∈zq，密钥生成服务器33的数量为n，i为n个密钥生成服务器33中的任一个(i＝1,2,...,n)，t为门限值，表明只有大于或等于t个密钥生
成服务器33所持有的子秘密份额可以重构成主私钥。其中，zq是秘密空间和秘密份额空间的有限域。
51.在z
p
上选取一个秘密数k，其中，z
p
是秘密数空间和秘密数份额空间的有限域。计算承诺e0＝e(s，k)＝g
shk
。然后在z
p
随机选取多项式：
52.f(x)＝s+a1x+a2x2+...+a
t-1
x
t-1
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)
53.g(x)＝k+b1x+b2x2+...+b
t-1
x
t-1
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
54.则：
55.si＝f(i)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)
56.ki＝g(i)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(4)
57.其中，si是主私钥被分割后与第i个密钥生成服务器33对应的子主私钥。ki是秘密数k被分割后与第i个密钥生成服务器33对应的子秘密数。通过公式(1)-(4)来构建多项式将秘密数以及主私钥分别进行分割，得到多个子秘密数以及多个子主私钥。
58.将子秘密数ki以及对应的子主私钥si确定为对应的密钥生成服务器33的子秘密份额(si,ki)，将子秘密份额(si,ki)发送给对应的第i个密钥生成服务器33。然后计算并广播密钥生成服务器33对应的分割验证信息ei：
59.ei＝e(ai,bi)＝g
aihbi
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(5)
60.基于多项式的各项系数生成第i个密钥生成服务器33的分割验证信息ei。
61.通过上述多项式将主私钥分割成份子秘密份额(si,ki)以及生成对应的验证信息ei。并将各子秘密份额(si,ki)以及对应的分割验证信息ei分别发送给对应的第i个密钥生成服务器33，以使各密钥生成服务器33基于对应的分割验证信息ei校验子秘密份额(si,ki)的正确性。
62.其中，密钥生成服务器33通过如下验证公式可以验证拥有子秘密份额的正确性：
[0063][0064]
如果上式成立，说明密钥生成服务器33接收到的子秘密份额有效。否则无效。
[0065]
上述分割验证信息ei的设置，能够使得各参与私钥计算的密钥生成服务器33在进行私钥计算前，验证各自拥有主私钥的子秘密份额的正确性，在不正确时，不计算私钥，正确时，才计算私钥，从而进一步提高目标设备的私钥生成的安全性。
[0066]
步骤s24：接收各待验证的密钥生成服务器发送的待验证子秘密份额；基于各待验证子秘密份额构建出待验证主私钥；响应于待验证主私钥与主私钥一致，确定多个密钥生成服务器具备可信性。
[0067]
主密钥生成中心31将子秘密份额(si,ki)以及对应的分割验证信息ei分别发送给对应的密钥生成服务器33后，接收各待验证的密钥生成服务器33发送的待验证子秘密份额。并基于各待验证子秘密份额构建出待验证主私钥。
[0068]
在一个具体的应用场景中，可以通过拉格朗日插值法重构出共享秘密：
[0069][0070]
当重构出的待验证主私钥与主私钥一致，确定多个密钥生成服务器33具备可信性。当重构出的待验证主私钥与主私钥不一致，确定多个密钥生成服务器33不具备可信性。
[0071]
步骤s25：通过主私钥对加密标识进行解密，得到目标设备的标识，并将目标设备的标识发送给任意一密钥生成服务器。
[0072]
主密钥生成中心31在得到加密标识后，通过主私钥对加密标识进行解密，得到目标设备的标识，并将目标设备的标识发送给任意一密钥生成服务器33。由于后续目标设备的私钥的生成需要综合各密钥生成服务器33的子秘密份额，各密钥生成服务器33会交互信息，因此，目标设备的标识发送给任意一密钥生成服务器33均可实现私钥的生成。
[0073]
其中，加密标识的接收与解密以及目标设备的标识发送给任意一密钥生成服务器的步骤，只需在步骤s26之前以及主公钥发送之后发生即可，不对其顺序进行限制。
[0074]
步骤s26：通过多个密钥生成服务器基于对应的子秘密份额以及目标设备的标识生成目标设备的私钥，并发送给目标设备。
[0075]
在一个具体的应用场景中，可以通过综合各密钥生成服务器33对应的子秘密份额以及目标设备的标识生成目标设备的私钥，并发送给目标设备。
[0076]
由于目标设备的标识指的是目标设备的唯一标识信息，因此，综合目标设备的标识以及各密钥生成服务器33对应的子秘密份额生成的私钥，能够与目标设备进行绑定，从而进一步提高私钥与目标设备之间的针对性，进一步提高私钥以及消息传输的可靠性、安全性。
[0077]
其中，各密钥生成服务器33通过互相交换子秘密份额来实现子秘密份额的综合。且当密钥生成服务器33收到其他的密钥生成服务器33的子秘密份额后，会先通过对应的分割验证信息验证收到的子秘密份额的正确性，当验证正确后，再进行综合计算，从而进一步保障私钥生成的安全性。其中，具体的验证方法请参阅公式(6)，在此不再赘述。
[0078]
在一个具体的应用场景中，当密钥生成服务器33有两台时，综合各密钥生成服务器33对应的子秘密份额以及目标设备的标识的方法如下：
[0079]
第一密钥生成服务器和第二密钥生成服务器各自拥有主私钥的子秘密份额(s1,k1)和(s2,k2)。第一密钥生成服务器和第二密钥生成服务器分别利用对应的分割验证信息e(s1,k1)和e(s2,k2)验证子秘密份额(s1,k1)和(s2,k2)的正确性。
[0080]
具体地，第一密钥生成服务器和第二密钥生成服务器将各自的子秘密份额发送给主密钥生成中心31，主密钥生成中心31重构出主私钥，判断其是否与原主私钥一致，从而验证第一密钥生成服务器和第二密钥生成服务器的真实性。
[0081]
当确定了第一密钥生成服务器和第二密钥生成服务器的真实性后，开始私钥的生成：第一密钥生成服务器先在[0，n-1]中随机选取一个整数a1，并计算得到a2＝(a1)-1，其中，a2是a1的模n乘法逆元，然后计算：
[0082]
c0＝e(a1)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(8)
[0083]
c1＝(a1(h
id
+s1))mod n
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(9)
[0084]
其中，c0/e(a1)为使用同态加密函数对a1进行加密，h
id
是目标设备的标识及其他信息计算得到的杂凑值。c1是综合目标设备的标识以及第一密钥生成服务器的子秘密份额s1后的值。
[0085]
第一密钥生成服务器将c0和c1发送给第二密钥生成服务器，服务2收到后，在[0，n-1]中随机选取2个整数b1和w2，并计算得到b2＝n-b1，然后计算：
[0086]
[0087]
c3＝(w2 c1+b2)mod n
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(11)
[0088]
其中，
⊕
表示同态加密的加法运算符，
⊙
表示同态加密中明文数和密文数的乘法运算符，z1和z2为只有第二密钥生成服务器知道的整数。c2综合了第二密钥生成服务器的子秘密份额s2、w2以及z2，c3综合了w2、c1以及b2。
[0089]
第二密钥生成服务器将c2和c3发送给第一密钥生成服务器。第一密钥生成服务器计算c4＝d(c2)，其中，d()为同态加密的解密函数。第一密钥生成服务器检查c3或c4是否为0，如果存在一个0，那么终止计算，否则：
[0090]
c＝(a2(c3+c4)) mod n
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(12)
[0091]
q1＝[(h
id
c-1
) mod n]p1
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(13)
[0092]
其中c-1是c的模n乘法逆元，q1综合了第一密钥生成服务器以及第二密钥生成服务器各自的子秘密份额以及目标设备的标识。第一密钥生成服务器将q1发送给第二密钥生成服务器。其中，p1是为g的生成元。
[0093]
第二密钥生成服务器接收到q1，通过q2＝p1-[w2]q1计算得到目标设备的私钥q2。
[0094]
密钥生成服务器33生成目标设备的私钥，通过通信模块32将私钥发送给目标设备。
[0095]
在一个具体的应用场景中，当密钥生成服务器33有多台时，综合各密钥生成服务器33对应的子秘密份额以及目标设备的标识的方法与上述类似，不再赘述。
[0096]
目标设备得到私钥后，目标设备利用私钥对目标设备的数据进行签名，得到签名数据，并将签名数据传输给目标对象。其中，目标对象的设备分类与目标设备相同。目标对象利用私钥对应的公钥对签名数据进行验签，以验证签名数据的合法性。
[0097]
目标设备中的客户终端或终端设备与平台服务器的交互过程使用客户终端私钥、设备私钥或平台服务器私钥对消息进行签名，能够保证了消息来源可靠性及完整性，具体步骤如下：
[0098]
在一个具体的应用场景中，客户终端向平台服务器发送消息时，使用客户终端私钥对消息进行签名，然后将消息与签名值一起发送给平台服务器。平台服务器在接收消息前要验证消息的来源真实性，利用客户终端私钥对应的公钥进行验签。如果合法，则平台服务器对接收的消息进行处理。
[0099]
在一个具体的应用场景中，平台服务器向客户终端发送消息时，使用平台服务器私钥对消息进行签名，然后将消息与签名值一起发送给客户终端。客户终端在接收消息前要验证消息的来源真实性，利用平台服务器私钥对应的公钥进行验签。如果合法，则客户终端对接收的消息进行处理。
[0100]
在一个具体的应用场景中，终端设备向平台服务器发送消息时，使用设备私钥对消息进行签名，然后将消息与签名值一起发送给平台服务器。平台服务器在接收消息前要验证消息的来源真实性，利用设备私钥对应的公钥进行验签。如果合法，则平台服务器对接收的消息进行处理。
[0101]
在一个具体的应用场景中，平台服务器向终端设备发送消息时，使用平台服务器私钥对消息进行签名，然后将消息与签名值一起发送给终端设备。终端设备在接收消息前要验证消息的来源真实性，利用平台服务器私钥对应的公钥进行验签。如果合法，则终端设备对接收的消息进行处理。
[0102]
在一个具体的应用场景中，平台服务器也可以采取上述方法向其他平台服务器发送消息；客户终端也可以采取上述方法向其他客户终端发送消息；终端设备也可以采取上述方法向其他终端设备发送消息。
[0103]
通过目标设备的私钥对传输的消息进行签名，能够解决消息在传输过程中被伪造的问题，接收端利用对应的公钥进行验签，能够保证消息来源的可靠性及完整性。
[0104]
通过上述步骤，本实施例的密钥管理方法通过将主私钥利用多项式进行分割处理，得到主私钥的多份子秘密份额，将其分发给参与计算的密钥生成服务器，各参与计算的密钥生成服务器在进行密钥计算前，利用可验证秘密共享原理进行验证各自拥有主私钥秘密份额的正确性及密钥生成服务器的真实性，实现了目标设备的私钥生成的安全性。且通过利用目标设备的私钥对传输的消息进行签名，接收端利用对应的公钥进行验签，保证了消息来源可靠性及完整性。以及通过将主公钥加密目标设备的标识进行网络传输，实现了目标设备的标识的机密性。
[0105]
基于同样的发明构思，本发明还提出了一种电子设备，该电子设备能够被执行以实现上述任一实施例的密钥管理方法，请参阅图4，图4是本发明提供的电子设备一实施例的结构示意图，电子设备包括处理器41以及存储器42。
[0106]
处理器41用于执行存储器42中存储的程序指令，以实现上述任一密钥管理方法的步骤。在一个具体的实施场景中，电子设备可以包括但不限于：微型计算机、服务器，此外，电子设备还可以包括笔记本电脑、平板电脑等移动设备，在此不做限定。
[0107]
具体而言，处理器41用于控制其自身以及存储器42以实现上述任一实施例的步骤。处理器41还可以称为cpu(central processing unit，中央处理单元)。处理器41可能是一种集成电路芯片，具有信号的处理能力。处理器41还可以是通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。另外，处理器41可以由集成电路芯片共同实现。
[0108]
上述方案，能够提高颜色识别的准确性和鲁棒性。
[0109]
基于同样的发明构思，本发明还提出了一种计算机可读存储介质，请参阅图5，图5是本发明提供的计算机可读存储介质一实施例的结构示意图。计算机可读存储介质50中存储有至少一个程序数据51，程序数据51用于实现上述任一方法。在一个实施例中，计算机可读存储介质50包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0110]
在本发明所提供的几个实施例中，应该理解到，所揭露的方法和装置，可以通过其它的方式实现。例如，以上所描述的装置实施方式仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0111]
作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络
单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。
[0112]
另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0113]
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中。
[0114]
以上所述仅为本发明的实施方式，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

技术特征：
1.一种密钥管理方法，其特征在于，包括：响应于接收到目标设备的私钥申请指令，生成主私钥；利用所述主私钥验证多个密钥生成服务器的可信性；响应于多个所述密钥生成服务器具备可信性，通过所述多个密钥生成服务器生成所述目标设备的私钥，并发送给所述目标设备。2.根据权利要求1所述的密钥管理方法，其特征在于，所述利用所述主私钥验证多个密钥生成服务器的可信性，包括：将所述主私钥分割成多份子秘密份额，并将各所述子秘密份额分别对应发送给多个密钥生成服务器；接收各待验证的密钥生成服务器发送的待验证子秘密份额；基于各待验证子秘密份额构建出待验证主私钥；响应于所述待验证主私钥与所述主私钥一致，确定多个所述密钥生成服务器具备可信性。3.根据权利要求2所述的密钥管理方法，其特征在于，所述将所述主私钥分割成多份子秘密份额，并将各所述子秘密份额分别对应发送给多个密钥生成服务器，包括：将所述主私钥分割成多份子秘密份额，并将各所述子秘密份额以及对应的分割验证信息分别发送给对应的密钥生成服务器，以使各所述密钥生成服务器基于对应的分割验证信息校验子秘密份额的正确性。4.根据权利要求3所述的密钥管理方法，其特征在于，所述将所述主私钥分割成多份子秘密份额，并将各所述子秘密份额以及对应的分割验证信息分别发送给对应的密钥生成服务器，以使各所述密钥生成服务器基于对应的分割验证信息校验子秘密份额的正确性，包括：设置秘密数，通过构建多项式将所述秘密数以及所述主私钥分别进行分割，得到多个子秘密数以及多个子主私钥；将各子秘密数以及对应的子主私钥确定为对应的密钥生成服务器的子秘密份额；基于所述多项式生成对应的分割验证信息；将各所述子秘密份额以及对应的分割验证信息分别发送给对应的密钥生成服务器，以使各所述密钥生成服务器基于对应的分割验证信息校验子秘密份额的正确性。5.根据权利要求2所述的密钥管理方法，其特征在于，所述响应于接收到目标设备的私钥申请指令，生成主私钥，还包括：响应于接收到目标设备的私钥申请指令，生成主私钥，并基于所述主私钥生成主公钥；将所述主公钥发送给所述目标设备，以使所述目标设备通过所述主公钥对所述目标设备的标识进行加密得到加密标识，并接收所述目标设备发送的加密标识。6.根据权利要求5所述的密钥管理方法，其特征在于，所述通过所述多个密钥生成服务器生成所述目标设备的私钥，并发送给所述目标设备，包括：通过所述主私钥对所述加密标识进行解密，得到所述目标设备的标识，并将所述目标设备的标识发送给任意一所述密钥生成服务器；通过所述多个密钥生成服务器基于对应的子秘密份额以及目标设备的标识生成所述目标设备的私钥，并发送给所述目标设备。
7.根据权利要求6所述的密钥管理方法，其特征在于，所述通过所述多个密钥生成服务器基于对应的子秘密份额以及目标设备的标识生成所述目标设备的私钥，并发送给所述目标设备，包括：通过综合各所述密钥生成服务器对应的子秘密份额以及目标设备的标识生成所述目标设备的私钥，并发送给所述目标设备。8.根据权利要求1所述的密钥管理方法，其特征在于，所述响应于多个所述密钥生成服务器具备可信性，通过所述多个密钥生成服务器生成所述目标设备的私钥，并发送给所述目标设备，之后包括：所述目标设备利用所述私钥对所述目标设备的数据进行签名，得到签名数据，并将所述签名数据传输给目标对象，以使所述目标对象利用所述私钥对应的公钥对所述签名数据进行验签。9.一种电子设备，其特征在于，所述电子设备包括：相互耦接的存储器和处理器，所述处理器用于执行所述存储器中存储的程序指令，以实现如权利要求1至8任一项所述的密钥管理方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有程序数据，所述程序数据能够被执行以实现如权利要求1至8任一项所述的密钥管理方法。

技术总结
本发明公开了一种密钥管理方法、电子设备以及存储介质，其中，密钥管理方法包括：响应于接收到目标设备的私钥申请指令，生成主私钥；利用主私钥验证多个密钥生成服务器的可信性；响应于多个密钥生成服务器具备可信性，通过多个密钥生成服务器生成目标设备的私钥，并发送给目标设备。通过上述方式，本发明能够提高目标设备的私钥生成的安全性与可靠性，避免私钥泄漏的风险，提高数据传输的保密性。提高数据传输的保密性。提高数据传输的保密性。


技术研发人员：李超 张军昌 魏东
受保护的技术使用者：浙江大华技术股份有限公司
技术研发日：2023.02.23
技术公布日：2023/8/9