密钥管理方法、系统、装置、电子装置和存储介质与流程

电子通信装置的制造及其应用技术1.本技术涉及密钥管理技术领域，特别是涉及一种密钥管理方法、系统、装置、电子装置和存储介质。背景技术：2.随着信息技术的不断发展，数字货币作为区块链上的核心应用，其密钥的安全性是一个非常重要的环节，基于安全多方计算（secure multi-party computation，mpc）的门限签名方式是目前数字货币密钥管理的一个趋势。安全多方计算是指用户在无需进行数据归集的情况下，完成数据协同计算，同时保护数据所有方的原始数据隐私。整个计算过程中，计算参与各方除了自己的输入数据和输出结果外，无法获知任何额外有效信息，并且保证计算结果准确。门限签名是通过门限密码学构造出的签名方案。例如，在一个t/n门限签名方式中，n个参与方组成群组，并用n个参与方的隐私碎片信息(如，私钥碎片)生成一个协同账户的钱包地址(以下简称协同地址)；当需要动用协同地址上的资产时，需要不少于t个参与方利用各自的隐私碎片信息进行mpc计算，才能产生针对协同地址的交易签名，从而发生到链上完成等同与私钥的交易。3.目前，基于mpc的门限签名中，每一参与方与mpc系统中的节点是一一绑定的，若mpc系统中的某个节点出现异常，则容易影响数字货币密钥管理系统的安全性以及数字货币密钥管理系统整体的正常运行。4.针对相关技术中存在数字货币密钥管理系统安全性低的问题，目前还没有提出有效的解决方案。技术实现要素：5.在本实施例中提供了一种密钥管理方法、系统、装置、电子装置和存储介质，以解决相关技术中数字货币密钥管理系统安全性低的问题。6.第一个方面，在本实施例中提供了一种密钥管理方法，应用于密钥管理系统，包括：当用户创建数字资产账户时，所述密钥管理系统通过mpc算法计算生成n个私钥碎片，n为大于等于2的整数，n个所述私钥碎片与所述数字资产账户对应；根据加密公钥分别对n个所述私钥碎片进行加密，得到n个私钥碎片密文；根据预设t/n的门限签名规则从n个所述私钥密文碎片中确定t个目标私钥密文碎片，t为大于1且小于n的整数；从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点，使t个所述目标mpc系统节点基于t个所述目标私钥密文碎片对业务请求进行安全多方计算的门限签名。7.在其中的一些实施例中，所述从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点，使t个所述目标mpc系统节点基于t个所述目标私钥密文碎片对业务请求进行安全多方计算的门限签名，包括：获取密钥管理设备发送的解密私钥，并将所述解密私钥发送至t个所述目标mpc系统节点，以使每个所述目标mpc系统节点从t个所述目标私钥密文碎片中随机确定一个所述目标私钥密文碎片作为当前目标mpc系统节点对应的目标私钥密文碎片，并使t个所述目标mpc系统节点根据获取的所述解密私钥对相应的目标私钥密文碎片进行解密，得到t个所述私钥碎片，并基于t个所述私钥碎片对所述业务请求进行基于安全多方计算的门限签名，所述解密私钥以及所述加密公钥为密钥对，在用户创建所述数字资产账户时在所述密钥管理设备中生成的。8.在其中的一些实施例中，在所述根据预设t/n的门限签名规则从n个所述私钥密文碎片中确定t个目标私钥密文碎片，还包括：接收所述用户的身份信息；根据所述身份信息对所述用户进行多因素身份认证；在身份认证通过后，接收所述业务请求；根据所述业务请求以及所述预设t/n的门限签名规则从n个所述私钥密文碎片中确定t个目标私钥密文碎片。9.在其中的一些实施例中，所述获取密钥管理设备发送的解密私钥，包括：根据所述数字资产账户生成二维码，所述二维码用户获取所述密钥管理设备中的解密私钥；接收所述密钥管理设备根据所述二维码反馈的所述解密私钥。10.在其中的一些实施例中，所述根据所述数字资产账户生成二维码之后，还包括：根据预设变换规则在预设时间段内更新所述二维码。11.在其中的一些实施例中，所述根据加密公钥分别对n个所述私钥碎片进行加密，得到n个私钥密文碎片之后，还包括：将n个所述私钥密文碎片存储在kms系统中，以使kms系统每隔预设时间对n个所述私钥密文碎片进行更新。12.第二个方面，在本实施例中提供了一种密钥管理系统，包括：密钥管理模块以及安全多方计算模块，所述安全多方计算模块中包括至少n个mpc系统节点；所述密钥管理模块，用于当用户创建数字资产账户时，通过mpc算法计算生成n个私钥碎片，n为大于等于2的整数；根据加密公钥分别对n个所述私钥碎片进行加密，得到n个私钥密文碎片；根据预设t/n的门限签名规则从n个所述私钥密文中确定t个目标私钥密文碎片，t为大于1且小于n的整数；从至少n个所述mpc系统节点中任意选取t个所述mpc系统节点作为t个目标mpc系统节点；t个所述目标mpc系统节点，用于基于t个所述目标私钥密文碎片对业务请求进行安全多方计算的门限签名。13.第三个方面，在本实施例中提供了一种密钥管理装置，包括：私钥碎片生成模块，用于当用户创建数字资产账户时，通过mpc算法计算生成n个私钥碎片，n为大于等于2的整数，n个所述私钥碎片与所述数字资产账户对应；加密模块，用于根据加密公钥分别对n个所述私钥碎片进行加密，得到n个私钥密文碎片；等类似的词并不表示数量上的限制，它们可以是单数或者复数。在本技术中所涉及的术语“包括”、“包含”、“具有”及其任何变体，其目的是涵盖不排他的包含；例如，包含一系列步骤或模块（单元）的过程、方法和系统、产品或设备并未限定于列出的步骤或模块（单元），而可包括未列出的步骤或模块（单元），或者可包括这些过程、方法、产品或设备固有的其他步骤或模块（单元）。在本技术中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接，而可以包括电气连接，无论是直接连接还是间接连接。在本技术中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。通常情况下，字符“/”表示前后关联的对象是一种“或”的关系。在本技术中所涉及的术语“第一”、“第二”、“第三”等，只是对相似对象进行区分，并不代表针对对象的特定排序。22.在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行，图1是本技术实施例提供的一种密钥管理方法的终端的硬件结构框图。如图1所示，终端可以包括一个或多个（图1中仅示出一个）处理器102和用于存储数据的存储器104，其中，处理器102可以包括但不限于微处理器（microcontroller unit，mcu）或可编程逻辑器件（field programmable gate array，fpga）等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述终端的结构造成限制。例如，终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示出的不同配置。23.存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如在本实施例中的密钥管理方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实施例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实施例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。24.传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实施例中，传输设备106包括一个网络适配器（network interface controller，简称为nic），其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实施例中，传输设备106可以为射频（radio frequency，简称为rf）模块，其用于通过无线方式与互联网进行通讯。25.随着信息技术的不断发展，数字货币作为区块链上的核心应用，其密钥的安全性是一个非常重要的环节，基于安全多方计算（secure multi-party computation，mpc）的门限签名方式是目前数字货币密钥管理的一个趋势。安全多方计算是指用户在无需进行数据归集的情况下，完成数据协同计算，同时保护数据所有方的原始数据隐私。整个计算过程中，计算参与各方除了自己的输入数据和输出结果外，无法获知任何额外有效信息，并且保证计算结果准确。门限签名是通过门限密码学构造出的签名方案。例如，在一个t/n门限签名方式中，n个参与方组成群组，并用n个参与方的隐私碎片信息(如，私钥碎片)生成一个协同账户的钱包地址(以下简称协同地址)；当需要动用协同地址上的资产时，需要不少于t个参与方利用各自的隐私碎片信息进行mpc计算，才能产生针对协同地址的交易签名，从而发生到链上完成等同与私钥的交易。26.目前，基于mpc的门限签名中，每一参与方与mpc系统中的节点是一一绑定的，若mpc系统中的某个节点出现异常，则容易影响数字货币密钥管理系统的安全性以及数字货币密钥管理系统整体的正常运行。27.因此，如何提高数字货币密钥管理系统的安全性，是一个需要解决的问题。28.在本实施例中提供了一种密钥管理方法，该方法应用于密钥管理系统，具体的，密钥管理系统可以是数字货币密钥管理系统，该方法的执行主体可以是电子装置，可选的，电子装置可以是数字货币密钥管理系统的服务器，也可以是终端设备，但本技术不限于此。以电子装置为数字货币密钥管理系统的服务器为例进行说明，图2是本技术实施例提供的一种密钥管理方法的流程图，如图2所示，该流程包括如下步骤：步骤s201，当用户创建数字资产账户时，密钥管理系统通过mpc算法计算生成n个私钥碎片。29.其中，n为大于等于2的整数，n个私钥碎片与数字资产账户对应。30.示例性地，当用户创建数字资产账户时，数字货币密钥管理系统通过mpc算法根据用户预先配置的参数n生成n个私钥碎片。31.需要说明的是，参数n可以根据业务的需求配置，通常用n表示一个账户私钥碎片的个数，n为大于等于2的整数。32.步骤s202，根据加密公钥分别对n个私钥碎片进行加密，得到n个私钥密文碎片。33.示例性地，当n个私钥碎片创建好后是以明文的方式保存的，虽然这些明文泄露后不经过mpc计算系统是无法进行数字资产操作的，但对于高级黑客在获取t个私钥碎片后可以通过自己构件mpc系统对账户进行操作。因此，为了确保私钥碎片的安全性，需要对n个私钥碎片进行加密。34.具体的，数字货币密钥管理系统的服务器获取加密公钥，并根据加密公钥分别对n个私钥碎片进行非对称加密，得到n个私钥密文。35.在上述实现过程中，采用非对称加密的方式对n个私钥碎片进行加密，得到n个私钥密文碎片，即使在私钥密文碎片被泄露后但没有拿到私钥密文碎片的解密密钥，依然无法盗取数字资产，从而确保了私钥碎片的安全性。36.步骤s203，根据预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片。37.其中，t为大于1且小于n的整数。38.示例性地，当用户需要对账户进行业务操作时，用户通过用户端向数字货币密钥管理系统的服务器发起业务请求，例如，用户需要对账户中的资金进行转账，业务请求为转账请求，或用户需要对账户中的资产进行销售时，业务请求为资产销售请求。39.进一步地，数字货币密钥管理系统的服务器接收到用户的业务请求，并从预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片。40.具体的，预设t/n的门限签名规则为2/3门限签名规则为例，从3个私钥密文碎片中确定2个私钥密文碎片作为2个目标私钥密文碎片。41.需要说明的是，本技术实施例中，仅以预设t/n的门限签名规则为2/3门限签名规则为例进行说明，在实际应用中，预设t/n的门限签名规则也可以是3/5门限签名规则，也可以是4/5门限签名规则，也可以是4/6门限签名规则，在此不做限制。42.步骤s204，从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点。43.进一步地，当确定出t个目标私钥密文碎片后，数字货币密钥管理系统的服务器从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点。44.进一步地，得到t个目标mpc系统节点后，使t个目标mpc系统节点基于t个目标私钥密文碎片对业务请求进行安全多方计算的门限签名。45.在上述实现过程中，当用户创建数字资产账户时，密钥管理系统通过mpc算法计算生成n个私钥碎片，并根据加密公钥分别对n个私钥碎片进行加密，得到n个私钥密文碎片，从而确保了每一私钥密文碎片的安全性，进一步地，根据预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片，t为大于1且小于n的整数，并从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点，从而无需将私钥密文一一绑定存储在mpc系统节点中，实现了私钥密文碎片与mpc系统节点的解耦，有效地避免了某个存储有私钥密文的mpc系统节点出现异常时，影响私钥密文的安全性，并且，在某一mpc系统节点出现异常时，其他的mpc系统节点仍然可以使用，提高了数字货币密钥管理系统的安全性，进一步地，使t个目标mpc系统节点基于t个目标私钥密文碎片对业务请求进行安全多方计算的门限签名；从而实现了数字货币密钥管理系统整体正常稳定的运行。46.在其中的一些实施例中，从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点，使t个目标mpc系统节点基于t个目标私钥密文碎片对业务请求进行安全多方计算的门限签名，包括：获取密钥管理设备发送的解密私钥，并将解密私钥发送至t个目标mpc系统节点，以使每个目标mpc系统节点从t个目标私钥密文碎片中随机确定一个目标私钥密文碎片作为当前目标mpc系统节点对应的目标私钥密文碎片，并使t个目标mpc系统节点根据获取的解密私钥对相应的目标私钥密文碎片进行解密，得到t个私钥碎片，并基于t个私钥碎片对业务请求进行基于安全多方计算的门限签名，解密私钥以及加密公钥为密钥对，在用户创建数字资产账户时在密钥管理设备中生成的。47.示例性地，数字货币密钥管理系统的服务器确定出t个目标mpc系统节点之后，获取密钥管理设备发送的解密私钥，进一步地，将解密私钥分别发送至t个目标mpc系统节点，进一步地，每个目标mpc系统节点从t个目标私钥密文碎片中随机确定一个目标私钥密文碎片作为当前目标mpc系统节点对应的目标私钥密文碎片，进一步地，t个目标mpc系统节点根据解密私钥对相应的目标私钥密文碎片进行解密，得到t个私钥碎片，进一步地，t个目标mpc系统节点根据t个私钥碎片对业务请求进行基于安全多方计算的门限签名。48.其中，解密私钥以及加密公钥为用户创建数字资产账户时，数字货币密钥管理系统的服务器与密钥管理设备交互时，在密钥管理设备中生成的密钥对，密钥管理设备在生成解密私钥和加密公钥的密钥对后，将加密公钥发送至数字货币密钥管理系统的服务器，解密私钥则保存在密钥管理设备中。49.需要说明的是，密钥管理设备可以是移动终端、固定终端或便携式终端，也可以是用户对应的手持终端，例如移动手机、站点、单元、设备、多媒体计算机以及多媒体平板等，在此不做限制。50.在上述实现过程中，获取密钥管理设备中的解密私钥，并将解密私钥发送至t个目标mpc系统节点，便于t个目标mpc系统节点对目标私钥密文碎片进行解码，从而得到对应的t个私钥碎片，进一步便于t个目标mpc系统节点根据t个私钥碎片对业务请求进行基于安全多方计算的门限签名。51.在其中的一些实施例中，在根据预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片，还可以包括以下步骤：步骤1：接收用户的身份信息。52.示例性地，用户通过终端向数字货币密钥管理系统的服务器发送用户的身份信息，进一步地，数字货币密钥管理系统的服务器接收到用户的身份信息。53.具体的，用户的身份信息可以包括用户的账户名、密码、人脸信息以及指纹信息中的至少两种，且该用户的身份信息是经过用户授权后得到的。54.步骤2：根据身份信息对用户进行多因素身份认证。55.进一步地，数字货币密钥管理系统的服务器根据用户的身份信息对用户进行多因素身份认证（mfa）。56.作为另一种实施例，数字货币密钥管理系统的服务器将获取的用户身份信息发送至多因素身份认证单元，多因素身份认证单元对用户的身份信息进行多因素身份认证。57.步骤3：在身份认证通过后，接收业务请求。58.步骤4：根据业务请求以及预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片。59.进一步地，当对用户进行多因素身份认证成功后，数字货币密钥管理系统的服务器确定接收用户的业务请求。60.进一步地，根据业务请求以及预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片。61.在上述实现过程中，通过对用户的身份信息进行多因素身份认证，并在身份认证通过后，根据业务请求以及预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片，从而确保了用户身份的合法性。62.在其中的一些实施例中，获取密钥管理设备发送的解密私钥，可以包括以下步骤：步骤1：根据数字资产账户生成二维码，二维码用户获取密钥管理设备中的解密私钥。63.步骤2：接收密钥管理设备根据二维码反馈的解密私钥。64.示例性地，数字货币密钥管理系统的服务器接收到业务请求后，根据数字资产账户生成二维码，具体的，当数字货币密钥管理系统的服务器生成二维码后，将二维码通过显示装置反馈给用户，用户可以通过密钥管理设备扫描显示装置上的二维码，进一步地，用户可以在密钥管理设备确认扫描结果，当用户同意扫描结果后，密钥管理设备将解密私钥发送至数字货币密钥管理系统的服务器，进一步地，数字货币密钥管理系统的服务器接收密钥管理设备反馈的解密私钥。65.在上述实现过程中，通过生成获取解密私钥的二维码，并通过二维码从密钥管理设备中获取到解密私钥，便于后续目标mpc系统节点根据解密私钥对私钥密文碎片进行解密，从而得到私钥碎片。66.在其中的一些实施例中，根据数字资产账户生成二维码之后，还包括：根据预设变换规则在预设时间段内更新二维码。67.具体的，在根据数字资产的账户生成二维码之后，还可以根据预设变换规则随机生成该数字资产账户对应的多种二维码，并将多种二维码在预设时间段内随机显示，从而实现了二维码的动态显示。68.需要说明的是，预设变换规则可以是用于生成动态二维码的计算机程序，可以根据该程序生成不同形式的二维码，但当密钥管理设备扫描到不同形式的二维码后，识别到最终的信息是相同的，都与该数字资产的账户对应。预设时间段也可以是1秒，也可以是2秒，也可以是其他较短的时间，在此不做限制。69.在上述实现过程中，通过预设变换规则在预设时间段内更新二维码，从而实现二维码的动态更新，能够有效地避免采用固定的二维码获取解密私钥的方式导致用户的解密私钥被泄露的问题，从而提高了获取解密私钥的安全性。70.在其中的一些实施例中，根据加密公钥分别对n个私钥碎片进行加密，得到n个私钥密文碎片之后，还包括：将n个私钥密文碎片存储在kms系统中，以使kms系统每隔预设时间对n个私钥密文碎片进行更新。71.示例性地，数字货币密钥管理系统得到n个私钥密文碎片之后，将n个私钥密文碎片存储在kms系统中，进一步地，kms系统每隔预设时间对n个私钥密文碎片进行更新。72.具体的，kms系统为密钥管理服务系统（key management service）与数字货币密钥管理系统可以是同一系统，也可以是不同系统，当kms系统与数字货币密钥管理系统为不同系统时，该kms系统与密钥管理设备进行信息交互，以使kms系统得到解密私钥，进一步地，kms系统每隔预设时间根据解密私钥对n个私钥密文碎片进行解密，得到私钥碎片，并对私钥碎片进行更新，得到新的私钥碎片，即kms系统通过mpc计算生成的新的私钥碎片，进一步地，kms系统从密钥管理设备获取新的加密公钥，并根据新的加密公钥对新的私钥碎片进行加密，从而得到新的n个私钥密文碎片，从而实现n个私钥密文碎片的更新。73.进一步地，当数字货币密钥管理系统根据预设t/n的门限签名规则从n个所述私钥密文碎片中确定t个目标私钥密文碎片时，可以从kms系统中获取更新后的私钥密文。74.作为另一个实施例，kms系统与数字货币密钥管理系统为相同系统时，根据加密公钥分别对n个私钥碎片进行加密，得到n个私钥密文之后，还包括：步骤1：将n个私钥密文碎片存储在数字货币密钥管理系统集群中。75.步骤2：每隔预设时间对数字货币密钥管理系统集群中的n个私钥密文碎片进行更新。76.示例性地，将n个私钥密文碎片存储在数字货币密钥管理系统集群中，该数字货币密钥管理系统集群中可以包括至少n个mpc系统节点。77.需要说明的是，该数字货币密钥管理系统集群可以具备水平扩展的mpc系统，根据预设t/n的门限签名规则，使用2n-1规则预先设置多个mpc系统节点，可以根据需要增加或减少该池子中mpc系统节点的数量，并且，每一mpc系统节点可以分布在不同的地区。因此，当单个mpc系统节点出现问题，或者单个区域机房出现故障不影响系统正常运行。同时因mpc系统节点分布的区域性，提高了数字货币密钥管理系统的安全性。78.进一步地，数字货币密钥管理系统的服务器每隔预设时间对数字货币密钥管理系统集群中的n个子私钥密文碎片进行更新。具体的，电子装置每隔10分钟根据n个私钥密文碎片的生成方法，即步骤s201至步骤s202，重新生成n个私钥密文碎片，并将重新生成的n个私钥密文碎片存储在数字货币密钥管理集群中，从而实现对n个私钥密文碎片的更新。79.需要说明的是，本技术实施例中，仅以预设时间为10分钟为例进行说明，在实际应用中，预设时间也可以是15分钟，也可以是5分钟，也可以20分钟，该预设时间可以根据需要进行设定，在此不做限制。80.在上述实现过程中，将n个私钥密文碎片存储在数字货币密钥管理系统集群中，并且该集群中的多个mpc系统节点可分布在不同的区域，提高了数字货币密钥管理系统的高并发拓展能力，并且，可以通过增加mpc系统节点以及灵活配置节点的方式解决数字货币密钥管理系统的性能问题，同时提升了数字货币密钥管理系统运行的稳定性。有效地避免了某个存储有私钥密文碎片的mpc系统节点出现异常时，影响私钥密文碎片的安全性，并且，每隔预设时间对n个私钥密文碎片进行更新，从而在使用固定不变的私钥密文碎片的基础上，提高了私钥密文的安全性。81.下面通过优选实施例对本实施例进行描述和说明。82.图3是本技术实施例提供的一种密钥管理系统结构图，如图3所示的数字货币密钥管理系统300包括：密钥管理模块301以及安全多方计算模块302，安全多方计算模块302与密钥管理模块301连接，安全多方计算模块302中包括至少n个mpc系统节点，密钥管理模块301，用于当用户创建数字资产账户时，通过mpc算法计算生成n个私钥碎片，n为大于等于2的整数，n个私钥碎片与数字资产账户对应；进一步地，密钥管理模块301根据加密公钥分别对n个私钥碎片进行加密，得到n个私钥密文碎片；根据预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片，t为大于1且小于n的整数；从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点。83.t个目标mpc系统节点，用于基于t个目标私钥密文碎片对业务请求进行安全多方计算的门限签名。84.具体的，当用户创建数字资产账户时，密钥管理模块301通过mpc算法计算生成n个私钥碎片，进一步地，密钥管理模块301与密钥管理设备交互，获取密钥管理设备中的加密公钥，并根据加密公钥分别对n个私钥碎片进行加密，得到n个私钥密文碎片，并将n个私钥密文碎片存储在kms系统中，kms系统每隔预设时间对n个私钥密文碎片进行更新，当接收到用户的业务请求时，密钥管理模块301根据预设t/n的门限签名规则从kms系统中的n个私钥密文碎片中确定t个目标私钥密文碎片，并从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点。85.进一步地，t个目标mpc系统节点基于t个目标私钥密文碎片对业务请求进行安全多方计算的门限签名。86.在其中的一些实施例中，密钥管理模块301中包括多因素身份认证单元，用于根据身份信息对用户进行多因素身份认证。87.示例性地，密钥管理模块301中包括多因素身份认证单元，多因素身份认证单元用于获取用户的身份信息，并根据身份信息对用户进行多因素身份认证，从而保证了用户身份的合法性，进一步地使签名过程更可靠。88.图4是本技术实施例提供的一种密钥管理方法的实施例流程图，如图4所示的流程图包括以下步骤：步骤401：开始。89.具体的，当用户创建数字资产账户时，数字货币密钥管理系统的服务器通过mpc算法计算生成n个私钥碎片，并根据加密公钥分别对n个私钥碎片进行加密，得到n个私钥密文碎片，并将n个私钥密文碎片存储在数字货币密钥管理集群中，该数字货币密钥管理集群中包括n个mpc系统节点。90.步骤402：对用户进行多因素身份认证。91.具体的，当接收到用户的业务请求时，获取用户的身份信息，并通过多因素身份认证单元对用户的身份信息进行多因素身份认证。92.步骤403：判断认证是否成功。93.具体的，判断多因素身份认证是否成功，若是，则执行步骤404，若未成功，则返回步骤402，继续对用户进行多因素身份认证。94.步骤404：根据预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片。95.具体的，根据业务请求以及预设t/n的门限签名规则从数字货币密钥管理集群中的n个私钥碎片中确定t个目标私钥碎片。96.步骤405：从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点。97.进一步地，数字货币密钥管理系统的服务器从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点。98.步骤406：t个目标mpc系统节点基于t个目标私钥密文碎片对业务请求进行安全多方计算的门限签名。99.进一步地，t个目标mpc系统节点基于t个目标私钥密文碎片对业务请求进行安全多方计算的门限签名。100.步骤407：每隔预设时间对n个私钥碎片进行更新。101.具体的，数字货币密钥管理系统的服务器每隔预设时间对数字货币密钥管理集群中的n个私钥碎片进行更新，从而实现私钥碎片的动态变化。102.需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。103.在本实施例中还提供了一种密钥管理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。104.图5是本技术实施例提供的一种密钥管理装置的结构框图，如图5所示，该装置包括：私钥碎片生成模块501，用于当用户创建数字资产账户时，通过mpc算法计算生成n个私钥碎片，n为大于等于2的整数；加密模块502，用于根据加密公钥分别对n个私钥碎片进行加密，得到n个私钥密文碎片；确定模块503，用于根据预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片，t为大于1且小于n的整数；选取模块504，用于从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点，使t个目标mpc系统节点基于t个目标私钥密文碎片对业务请求进行安全多方计算的门限签名。105.在其中的一些实施例中，选取模块504具体用于：获取密钥管理设备发送的解密私钥，并将解密私钥发送至t个目标mpc系统节点，以使每个目标mpc系统节点从t个目标私钥密文碎片中随机确定一个目标私钥密文碎片作为当前目标mpc系统节点对应的目标私钥密文碎片，并使t个目标mpc系统节点根据获取的解密私钥对相应的目标私钥密文碎片进行解密，得到t个私钥碎片，并基于t个私钥碎片对业务请求进行基于安全多方计算的门限签名，解密私钥以及加密公钥为密钥对，在用户创建数字资产账户时在密钥管理设备中生成的。106.在其中的一些实施例中，确定模块503还用于：接收用户的身份信息；根据身份信息对用户进行多因素身份认证；在身份认证通过后，接收业务请求；根据业务请求以及预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片。107.在其中的一些实施例中，选取模块504具体用于：根据数字资产账户生成二维码，二维码用户获取密钥管理设备中的解密私钥；接收密钥管理设备根据二维码反馈的解密私钥。108.在其中的一些实施例中，选取模块504具体用于：根据预设变换规则在预设时间段内更新二维码。109.在其中的一些实施例中，加密模块502具体用于：将n个私钥密文碎片存储在kms系统中，以使kms系统每隔预设时间对n个私钥密文碎片进行更新。110.需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。111.在本实施例中还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。112.可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。113.可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：s1，当用户创建数字资产账户时，密钥管理系统mpc算法计算生成n个私钥碎片，n为大于等于2的整数，n个私钥碎片与数字资产账户对应。114.s2，根据加密公钥分别对n个私钥碎片进行加密，得到n个私钥密文碎片。115.s3，根据预设t/n的门限签名规则从n个私钥密文碎片中确定t个目标私钥密文碎片，t为大于1且小于n的整数。116.s4，从至少n个mpc系统节点中任意选取t个mpc系统节点作为t个目标mpc系统节点，使t个目标mpc系统节点基于t个目标私钥密文碎片对业务请求进行安全多方计算的门限签名。117.需要说明的是，在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，在本实施例中不再赘述。118.此外，结合上述实施例中提供的一种密钥管理方法，在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种密钥管理方法。119.应该明白的是，这里描述的具体实施例只是用来解释这个应用，而不是用来对它进行限定。根据本技术提供的实施例，本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例，均属本技术保护范围。120.显然，附图只是本技术的一些例子或实施例，对本领域的普通技术人员来说，也可以根据这些附图将本技术适用于其他类似情况，但无需付出创造性劳动。另外，可以理解的是，尽管在此开发过程中所做的工作可能是复杂和漫长的，但是，对于本领域的普通技术人员来说，根据本技术披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段，不应被视为本技术公开的内容不足。[0121]“实施例”一词在本技术中指的是结合实施例描述的具体特征、结构或特性可以包括在本技术的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例，也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是，本技术中描述的实施例在没有冲突的情况下，可以与其它实施例结合。[0122]以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!