[发明专利]一种基于密钥分存与硬件绑定的密钥安全系统

说明书

本发明公开了一种基于密钥分存与硬件绑定的密钥安全系统，用于解决现有的密钥存储安全存在使用不方便、容易泄漏以及安全性低的问题，包括移动客户端和服务器端，移动客户端用于发送请求内容至服务器端并接收反馈的实名核验指令，当接收到实名核验指令后进行实名验证，验证成功后，检测移动客户端的硬件信息，根据硬件信息生成哈希，再将硬件信息及对应哈希发送至服务器端；接收服务器端反馈的第一部分密钥以及完整密钥的哈希并存储；本发明通过移动客户端不持久化保存完整密钥，即使本地保存的部分密钥泄漏，在其它终端上也无法使用，同时服务器端也不保存完整密钥，防止服务器被攻击导致密钥泄漏。

技术领域

本发明涉及密钥安全存储技术领域，具体为一种基于密钥分存与硬件绑定的密钥安全系统。

背景技术

分布式数字身份利用DPKI体系实现身份的安全存储及签名的验证，密钥的安全是整个体系安全的关键。传统上主要有两类密钥存储方案：一是通过专有的硬件钱包实现密钥存储以及数据的加密、签名与验签；二是通过文件存储用户密钥，通过软件实现数据的加密、签名与验签；但是两者存储方案都存在不足，硬件密钥钱包能够达到安全等级的要求，但成本较高、使用不方便，特别是在移动应用场景下，需要底层硬件厂商及操作系统的支持。通过文件存储密钥安全性低；通过文件存储密钥成本低、使用方便，但容易泄漏，安全性低；

因此，设计一款基于密钥分存与硬件绑定的密钥安全系统，以实现既能在一定程度上保障密钥的安全，又能在通用的移动终端中易于实现。

发明内容

本发明的目的就在于为了解决现有的密钥存储安全存在使用不方便、容易泄漏以及安全性低的问题，而提出一种基于密钥分存与硬件绑定的密钥安全系统。

本发明的目的可以通过以下技术方案实现：一种基于密钥分存与硬件绑定的密钥安全系统，包括移动客户端和服务器端，移动客户端与服务器端采用SSL/TLS安全传输通道进行通信连接；

移动客户端用于发送请求内容至服务器端并接收反馈的实名核验指令，当接收到实名核验指令后进行实名验证，验证成功后，检测移动客户端的硬件信息，根据硬件信息生成哈希，再将硬件信息及对应哈希发送至服务器端；接收服务器端反馈的第一部分密钥以及完整密钥的哈希并存储；请求内容包括第一请求和第二请求；第一请求为新用户注册；第二请求为请求第二部分密钥；

服务器端用于接收移动客户端发送的请求内容并进行处理，具体处理过程为：

当接收到的请求内容为第一请求时，生成请求内容对应的实名核验指令，接收移动客户端的硬件信息和哈希时，生成移动客户端的完整密钥以及完整密钥对应的哈希，对硬件信息进行处理以得到密钥的分割值，根据分割值对完整密钥进行分割以得到第一部分密钥和第二部分密钥，对第二部分密钥进行存储并将第一部分密钥与接收到的哈希进行关联绑定，同时得到两者之间的关联关系存证，将关联关系存证发送至区块链；将第一部分密钥以及完整密钥的哈希发送至移动客户端；

当接收到的请求内容为第二请求时，生成请求内容对应的实名核验指令并发送至移动客户端，核验通过后返回第二部分密钥至移动客户端，移动客户端将第二部分密钥本地保存的第一部分密钥合并得到完整密钥，并校验完整密钥的哈希，校验通过后将完整密钥缓存在内存中，当完整密钥使用完成后，将内存中的完整密钥删除。