用于存储网站私钥明文的方法、系统和装置与流程

本申请涉及计算机技术领域，具体涉及加密和解密技术领域，尤其涉及用于存储网站私钥明文的方法、系统和装置。

背景技术：

目前，为保证网站访问的安全性，许多互联网公司普遍上线了全站式HTTPS(Hypertext Transport Protocol Server，超文本传送协议服务器)的安全搜索，默认将HTTP(Hypertext Transport Protocol，超文本传送协议)请求跳转成HTTPS。HTTPS在传输数据之前需要客户端(浏览器)和服务器(网站)之间进行一次握手，在握手的过程中将确立双方加密传输数据的密码信息，因此，保证存储在网站服务器中的网站私钥证书的安全性具有至关重要的作用。

然而，目前网站私钥证书通常以文件形式永久的存储在HTTPS接入的网站服务器中，并可以采用某些加密算法对网站私钥证书加密之后存储，但即便存储的文件可以加密，但是在HTTPS握手阶段，网站私钥在服务器中仍然是以明文的形式存在的，网站私钥一旦被攻击者获取，就会对用户的隐私、密码和财产安全造成严重的威胁。

技术实现要素：

本申请的目的在于提出一种改进的用于存储网站私钥明文的，来解决以上背景技术部分提到的技术问题。

第一方面，本申请提供了一种用于存储网站私钥明文的方法，所述方法包括：接收用于加解密的终端发送的公钥，其中，所述公钥是所述终端随机生成的；利用所述公钥加密网站私钥明文，生成网站私钥密文，其中，所述网站私钥明文是预先获取的；向所述终端发送所述网站私钥密文，以供所述终端利用所述私钥解密所述网站私钥密文，生成网站私钥明文并将所述网站私钥明文存储在所述终端中。

在一些实施例中，在所述接收用于加解密的终端发送的公钥之后，所述方法还包括：执行如下对所述公钥的检验步骤：获取预设长度的数据；利用所述公钥加密所述数据，生成数据密文；向所述终端发送所述数据密文；接收所述终端发送的数据明文，其中，所述数据明文是所述终端利用私钥对所述数据密文进行解密后生成的；检验所述数据明文与所述数据是否一致；若一致，则利用所述公钥加密网站私钥明文；若不一致，则向所述终端发送重新生成密钥对的指令，之后，接收所述终端发送的公钥，并继续执行对所述公钥的检验步骤。

在一些实施例中，所述向所述终端发送所述网站私钥密文，包括：响应于接收到网站私钥明文添加指令，向所述终端发送与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，所述网站私钥标识与所述网站私钥密文是预先存储的、且一一对应的。

在一些实施例中，所述向所述终端发送所述网站私钥密文，包括：响应于接收到网站私钥明文删除指令，向所述终端发送与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识。

在一些实施例中，所述方法还包括：接收用户终端发送的网站密文和网站私钥标识；向所述终端发送所述网站密文和所述网站私钥标识；接收所述终端发送的网站明文，其中，所述网站明文是所述终端利用查找到与所述网站私钥标识对应的网站私钥明文对所述网站密文进行解密所生成的。

第二方面，本申请提供了一种用于存储网站私钥明文的方法，所述方法包括：随机生成密钥对，其中，所述密钥对包括公钥和私钥；向服务器发送所述公钥；接收所述服务器发送的网站私钥密文，其中，所述网站私钥密文是所述服务器利用所述公钥对网站私钥明文进行加密后生成的，所述网站私钥明文是预先获取的；利用所述私钥解密所述网站私钥密文，生成网站私钥明文；存储所述网站私钥明文。

在一些实施例中，所述方法还包括：接收所述服务器发送的数据密文，其中，所述数据密文是所述服务器利用所述公钥对数据进行加密后生成的；利用所述私钥解密所述数据密文，生成数据明文；向所述服务器发送所述数据明文。

在一些实施例中，所述方法还包括：响应于接收到所述服务器发送的重新生成密钥对的指令，则重新随机生成密钥对，并向所述服务器发送重新生成的公钥。

在一些实施例中，所述接收所述服务器发送的网站私钥密文，包括：接收所述服务器发送的与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，所述网站私钥标识与所述网站私钥密文是预先存储的、且一一对应的，所述网站私钥标识是所述服务器接收到网站私钥明文添加指令后所发送的；以及存储所述网站私钥明文，包括：存储所述网站私钥明文与所述网站私钥标识的对应关系。

在一些实施例中，所述接收所述服务器发送的网站私钥密文，还包括：接收所述服务器发送的与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，所述网站私钥标识是所述服务器接收到网站私钥明文删除指令后所发送的；查找与所述网站私钥标识对应的网站私钥明文；删除所述网站私钥明文以及所述网站私钥明文与所述网站私钥标识的对应关系。

在一些实施例中，所述方法还包括：接收所述服务器发送的网站密文和网站私钥标识，其中，所述网站密文和网站私钥标识是所述服务器接收到用户终端发送的；查找与所述网站私钥标识对应的网站私钥明文；利用所述网站私钥明文对所述网站密文进行解密，并生成网站明文；向所述服务器发送所述网站明文。

第三方面，本申请提供了一种用于存储网站私钥明文的系统，所述系统包括：服务器，用于接收用于加解密的终端发送的公钥，并利用所述公钥加密网站私钥明文以生成网站私钥密文，并向所述终端发送所述网站私钥密文，其中，所述网站私钥明文是预先获取的；用于加解密的终端，用于随机生成密钥对，并向服务器发送所述公钥，之后接收所述服务器发送的网站私钥密文，并利用私钥解密所述网站私钥密文以生成网站私钥明文，并存储所述网站私钥明文，其中，所述密钥对包括公钥和私钥。

在一些实施例中，所述服务器还用于执行如下对所述公钥的检验步骤：获取预设长度的数据；利用所述公钥加密所述数据，生成数据密文；向所述终端发送所述数据密文；接收所述终端发送的数据明文；检验所述数据明文与所述数据是否一致；若一致，则利用所述公钥加密网站私钥明文；若不一致，则向所述终端发送重新生成密钥对的指令，之后，接收所述终端发送的公钥，并继续执行对所述公钥的检验步骤；所述用于加解密的终端还用于接收所述服务器发送的数据密文，并利用所述私钥解密所述数据密文以生成数据明文，之后向所述服务器发送所述数据明文；响应于接收到所述服务器发送的重新生成密钥对的指令，则重新随机生成密钥对，并向所述服务器发送重新生成的公钥。

在一些实施例中，所述服务器还用于响应于接收到网站私钥明文添加指令，向所述终端发送与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，所述网站私钥标识与所述网站私钥密文是预先存储的、且一一对应的；所述用于加解密的终端还用于接收所述服务器发送的与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，并存储所述网站私钥明文与所述网站私钥标识的对应关系。

在一些实施例中，所述服务器还用于响应于接收到网站私钥明文删除指令，向所述终端发送与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识；所述用于加解密的终端还用于接收所述服务器发送的与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，查找与所述网站私钥标识对应的网站私钥明文，并删除所述网站私钥明文以及所述网站私钥明文与所述网站私钥标识的对应关系。

在一些实施例中，所述服务器还用于接收用户终端发送的网站密文和网站私钥标识，向所述终端发送所述网站密文和所述网站私钥标识，之后接收所述终端发送的网站明文；所述用于加解密的终端还用于接收所述服务器发送的网站密文和网站私钥标识，查找与所述网站私钥标识对应的网站私钥明文，利用所述网站私钥明文对所述网站密文进行解密以生成网站明文，之后向所述服务器发送所述网站明文。

第四方面，本申请提供了一种用于存储网站私钥明文的装置，所述装置包括：第一接收单元，配置用于接收用于加解密的终端发送的公钥，其中，所述公钥是所述终端随机生成的；加密单元，配置用于利用所述公钥加密网站私钥明文，生成网站私钥密文，其中，所述网站私钥明文是预先获取的；第一发送单元，配置用于向所述终端发送所述网站私钥密文，以供所述终端利用所述私钥解密所述网站私钥密文，生成网站私钥明文并将所述网站私钥明文存储在所述终端中。

在一些实施例中，所述装置还包括：检验单元，配置用于执行如下对所述公钥的检验步骤：获取预设长度的数据；利用所述公钥加密所述数据，生成数据密文；向所述终端发送所述数据密文；接收所述终端发送的数据明文，其中，所述数据明文是所述终端利用私钥对所述数据密文进行解密后生成的；检验所述数据明文与所述数据是否一致；若一致，则利用所述公钥加密网站私钥明文；若不一致，则向所述终端发送重新生成密钥对的指令，之后，接收所述终端发送的公钥，并继续执行对所述公钥的检验步骤。

在一些实施例中，所述第一发送单元进一步配置用于：响应于接收到网站私钥明文添加指令，向所述终端发送与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，所述网站私钥标识与所述网站私钥密文是预先存储的、且一一对应的。

在一些实施例中，所述第一发送单元进一步配置用于：响应于接收到网站私钥明文删除指令，向所述终端发送与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识。

在一些实施例中，所述装置还包括：第二接收单元，配置用于接收用户终端发送的网站密文和网站私钥标识；第二发送单元，配置用于向所述终端发送所述网站密文和所述网站私钥标识；第三接收单元，配置用于接收所述终端发送的网站明文，其中，所述网站明文是所述终端利用查找到与所述网站私钥标识对应的网站私钥明文对所述网站密文进行解密所生成的。

第五方面，本申请提供了一种用于存储网站私钥明文的装置，所述装置包括：生成单元，配置用于随机生成密钥对，其中，所述密钥对包括公钥和私钥；第一发送单元，配置用于向服务器发送所述公钥；第一接收单元，配置用于接收所述服务器发送的网站私钥密文，其中，所述网站私钥密文是所述服务器利用所述公钥对网站私钥明文进行加密后生成的，所述网站私钥明文是预先获取的；第一解密单元，配置用于利用所述私钥解密所述网站私钥密文，生成网站私钥明文；存储单元，配置用于存储所述网站私钥明文。

在一些实施例中，所述装置还包括：第二接收单元，配置用于接收所述服务器发送的数据密文，其中，所述数据密文是所述服务器利用所述公钥对数据进行加密后生成的；第二解密单元，配置用于利用所述私钥解密所述数据密文，生成数据明文；第二发送单元，配置用于向所述服务器发送所述数据明文。

在一些实施例中，所述装置还包括：第三发送单元，配置用于响应于接收到所述服务器发送的重新生成密钥对的指令，则重新随机生成密钥对，并向所述服务器发送重新生成的公钥。

在一些实施例中，所述第一接收单元进一步配置用于：接收所述服务器发送的与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，所述网站私钥标识与所述网站私钥密文是预先存储的、且一一对应的，所述网站私钥标识是所述服务器接收到网站私钥明文添加指令后所发送的；以及所述存储单元进一步配置用于：存储所述网站私钥明文与所述网站私钥标识的对应关系。

在一些实施例中，所述第一接收单元包括：接收模块，配置用于接收所述服务器发送的与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，所述网站私钥标识是所述服务器接收到网站私钥明文删除指令后所发送的；查找模块，配置用于查找与所述网站私钥标识对应的网站私钥明文；删除模块，配置用于删除所述网站私钥明文以及所述网站私钥明文与所述网站私钥标识的对应关系。

在一些实施例中，所述装置还包括：第三接收单元，配置用于接收所述服务器发送的网站密文和网站私钥标识，其中，所述网站密文和网站私钥标识是所述服务器接收到用户终端发送的；查找单元，配置用于查找与所述网站私钥标识对应的网站私钥明文；第三解密单元，配置用于利用所述网站私钥明文对所述网站密文进行解密，并生成网站明文；第四发送单元，配置用于向所述服务器发送所述网站明文。

本实施例提供的用于存储网站私钥明文的，通过用于加解密的终端随机生成公钥和私钥，并将公钥发送给服务器以供服务器利用上述公钥对网站私钥明文进行加密，并将加密之后的网站私钥密文发送给上述终端使得上述终端可以利用私钥对上述网站私钥密文进行解密，并将解密后生成的网站私钥明文存储，从而提高了网站私钥明文存储的安全性。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1是根据本申请的用于存储网站私钥明文的系统的示例性架构图；

图2是根据本申请的用于存储网站私钥明文的系统的一实施例的时序图；

图3是根据本申请的用于存储网站私钥明文的系统的又一实施例的时序图；

图4是根据本申请的用于存储网站私钥明文的系统的再一实施例的时序图；

图5是根据本申请的用于存储网站私钥明文的方法的一个实施例的流程图；

图6是根据本申请的用于存储网站私钥明文的方法的又一个实施例的流程图；

图7是根据本申请的用于存储网站私钥明文的装置的一个实施例的结构示意图；

图8是根据本申请的用于存储网站私钥明文的装置的又一个实施例的结构示意图；

图9是适于用来实现本申请实施例的用户终端或服务器的计算机系统的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

图1示出了根据本申请的用于存储网站私钥明文的系统的示例性架构100。

如图1所示，系统架构100可以包括用户终端设备101和102，网络103，服务器104和用于加解密的终端设备105。网络103用以在用户终端设备101和102和服务器104之间，服务器104和用于加解密的终端设备105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用用户终端设备101、102通过网络103与服务器104交互，以接收或发送消息等。用户终端设备101、102上可以安装有各种通讯客户端应用，例如网页浏览器应用、购物类应用、支付类应用等。

响应于接收到网站私钥明文添加指令，网站私钥明文删除指令以及用户对网站进行请求时，服务器104可以通过网络103与用于加解密的终端设备105进行交互，以接收或发送消息等。

用户终端设备101、102可以是具有显示屏并且支持网站请求的各种电子设备，包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture Experts Group Audio Layer III，动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV，动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。

用于加解密的终端设备105可以是加载了加密和/或解密程序的各种终端设备，例如包含已加载加密和/或解密程序的FPGA(Field-Programmable Gate Array，现场可编程门阵列)芯片的终端设备。用于加解密的终端设备105可以存储网站私钥明文和网站私钥标识的对应关系，也可以根据接收到的网站私钥标识，添加和/或删除网站私钥明文，还可以对接收到的网站密文进行解密等操作。

服务器105可以是提供各种服务的服务器，例如对用户终端设备101、102请求的网站提供支持的后台服务器，或者利用用于加解密的终端设备105进行网站私钥明文存储的后台服务器。后台服务器可以对接收到网站密文和网站私钥标识等数据发送给用于加解密的终端设备105，用于加解密的终端设备105对上述数据进行分析等处理，并利用处理结果(例如网站明文)与用户终端设备进行数据传输。

应该理解，图1中的用户终端设备、网络、服务器和用于加解密的终端设备的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

图2示出了根据本申请的用于存储网站私钥明文的系统的一实施例的时序图。

本实施例的用于存储网站私钥明文的系统包括：服务器和用于加解密的终端；其中，服务器，用于接收用于加解密的终端发送的公钥，并利用公钥加密网站私钥明文以生成网站私钥密文，并向终端发送网站私钥密文，其中，网站私钥明文是预先获取的；用于加解密的终端，用于随机生成密钥对，并向服务器发送公钥，之后接收服务器发送的网站私钥密文，并利用私钥解密网站私钥密文以生成网站私钥明文，并存储网站私钥明文，其中，密钥对包括公钥和私钥。

本实施例提供的用于存储网站私钥明文的系统通过用于加解密的终端随机生成公钥和私钥，并将公钥发送给服务器以供服务器利用上述公钥对网站私钥明文进行加密，并将加密之后的网站私钥密文发送给上述终端使得上述终端可以利用私钥对上述网站私钥密文进行解密，并将解密后生成的网站私钥明文存储，从而提高了网站私钥明文存储的安全性。

在本实施例的一些可选的实现方式中，上述用于存储网站私钥明文的系统还可以包括用户终端，其中，上述用户终端用于向上述服务器发送网站密文和网站私钥标识以建立连接从而实现数据传输。

如图2所示，在步骤201中，用于加解密的终端随机生成密钥对。

在这里，密钥对包括公钥和私钥。用于加解密的终端可以将上述私钥保存在用于加解密的终端的内部，且对外不可读。如果用密钥对中的公钥加密数据的话，就必须用密钥对中的私钥进行解密；如果用密钥对中的私钥加密数据的话，就必须用密钥对中的公钥进行解密，否则解密不会成功。用于加解密的终端可以是包含已加载加密和/或解密程序的FPGA芯片的终端设备。

在步骤202中，用于加解密的终端向服务器发送公钥。

在这里，用于加解密的终端在生成密钥对之后，可以向预先建立连接的服务器发送上述密钥对中的公钥，以供上述服务器利用上述公钥对预先获取的网站私钥明文进行加密，并生成网站私钥密文。

在步骤203中，服务器接收用于加解密的终端发送的公钥。

在这里，服务器接收用于加解密的终端发送的公钥，其中，上述公钥是用于加解密的终端随机生成的。

在步骤204中，服务器利用公钥加密网站私钥明文，生成网站私钥密文。

在这里，服务器利用上述公钥加密网站私钥明文，例如，利用非对称加密算法(例如，RSA加密算法)加密网站私钥明文，以生成网站私钥密文，其中，上述网站私钥明文是服务器预先从离线服务器中获取的。为了保证安全性，在用于存储网站私钥明文的系统的设计中，可以设置离线服务器，并将网站私钥明文保存在上述离线服务器中。

在步骤205中，服务器向用于加解密的终端发送网站私钥密文。

在这里，服务器向用于加解密的终端发送网站私钥密文，以供用于加解密的终端利用随机生成的私钥对网站私钥密文进行解密，并在用于加解密的终端中存储解密出的网站私钥明文。

在步骤206中，用于加解密的终端接收服务器发送的网站私钥密文。

在这里，网站私钥密文是服务器利用接收到的公钥对预先获取到的网站私钥明文加密之后得到的。

在步骤207中，用于加解密的终端利用私钥解密网站私钥密文，生成网站私钥明文。

在这里，用于加解密的终端利用私钥对从服务器接收的网站私钥密文进行解密，例如，利用非对称解密算法(例如，RSA解密算法)进行解密，并生成网站私钥明文。

在步骤208中，用于加解密的终端存储网站私钥明文。

在这里，用于加解密的终端将解密后的网站私钥明文进行存储。

在本实施例的一些可选的实现方式中，服务器执行如下对公钥的检验步骤：服务器首先获取预设长度的数据，其中，上述预设长度可以为512比特(bit)、1024比特和2048比特等，上述数据可以是上述预设长度的任意数据；之后，服务器利用公钥加密上述数据以生成数据密文，并调用RSA Challenge接口(用于检验公钥的有效性的接口)向用于加解密的终端发送上述数据密文；当用于加解密的终端接收到RSA Challenge命令(用于检验公钥的有效性的命令)时，用于加解密的终端通过RSA Challenge接口接收服务器发送的数据密文；之后，用于加解密的终端利用私钥对上述数据密文进行解密，例如，可以利用非对称解密算法进行解密，以生成数据明文；然后，用于加解密的终端向服务器发送上述数据明文；服务器接收到用于加解密的终端发送的数据明文之后，检验上述数据明文与上述数据是否一致；若一致，则说明上述公钥是有效的，服务器执行步骤204；若不一致，则说明上述公钥是无效的，服务器向用于加解密的终端发送重新生成密钥对的指令，当用于加解密的终端接收到服务器发送的重新生成密钥对的指令时用于加解密的终端重新随机生成密钥对，并向服务器发送重新生成的公钥；之后，服务器接收用于加解密的终端发送的公钥，并继续执行对公钥的检验步骤，直至检验出上述公钥为有效的公钥为止。

在本实施例的一些可选的实现方式中，服务器在与用户终端传输数据之前可以进行一次握手，在握手过程中可以首先接收用户终端发送的网站密文和网站私钥标识；之后，服务器向用于加解密的终端发送上述网站密文和网站私钥标识；当用于加解密的终端接收到服务器发送的网站密文和网站私钥标识；用于加解密的终端查找与上述网站私钥标识对应的网站私钥明文；然后，用于加解密的终端利用上述网站私钥明文对上述网站密文进行解密以生成网站明文，并向服务器发送解密后生成的网站明文；最后，服务器接收用于加解密的终端发送的网站明文。

图3示出了根据本申请的用于存储网站私钥明文的系统的又一实施例的时序图。

本实施例的用于存储网站私钥明文的系统包括：服务器和用于加解密的终端；其中，服务器还用于响应于接收到网站私钥明文添加指令，向终端发送与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，网站私钥标识与网站私钥密文是预先存储的、且一一对应的；用于加解密的终端还用于接收服务器发送的与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，并存储网站私钥明文与网站私钥标识的对应关系。

如图3所示，在步骤301中，服务器接收到网站私钥明文添加指令。

在这里，网站私钥明文添加指令中可以包括待添加的网站私钥明文。

在步骤302中，服务器向用于加解密的终端发送与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识。

在这里，服务器首先获取待添加的网站私钥明文；之后，服务器对上述网站私钥明文进行加密，生成网站私钥密文；然后，服务器查找与上述网站私钥密文相对应的网站私钥标识，其中，上述网站私钥密文与上述网站私钥标识的对应关系是预先存储的，且一一对应；最后，向用于加解密的终端发送上述网站私钥标识。服务器可以从离线服务器获取与网站私钥密文相对应的网站私钥标识。为了保证安全性，在用于存储网站私钥明文的系统的设计中，可以设置离线服务器，并将网站私钥明文保存在上述离线服务器中；之后，离线服务器利用SSL(Secure Socket Layer，安全套接层)加速卡的公钥对上述网站私钥明文进行加密，得到网站私钥密文；然后离线服务器利用MD5(Message-Digest Algorithm 5，信息-摘要算法5)对上述网站私钥密文进行计算，得到网站私钥标识。

在步骤303中，用于加解密的终端接收服务器发送的与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识。

在这里，网站私钥标识是当服务器接收到网站私钥明文添加指令后，从离线服务器获取的与上述网站私钥密文相对应的网站私钥标识，上述网站私钥标识与上述网站私钥密文是预先存储的、且一一对应的。

在步骤304中，用于加解密的终端存储网站私钥明文与所述网站私钥标识的对应关系。

在这里，用于加解密的终端将上述待添加的网站私钥明文和上述网站私钥标识的对应关系进行存储。

图4示出了根据本申请的用于存储网站私钥明文的系统的再一实施例的时序图。

本实施例的用于存储网站私钥明文的系统包括：服务器和用于加解密的终端；其中，服务器还用于响应于接收到网站私钥明文删除指令，向终端发送与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识；用于加解密的终端还用于接收服务器发送的与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，查找与网站私钥标识对应的网站私钥明文，并删除网站私钥明文以及网站私钥明文与网站私钥标识的对应关系。

如图4所示，在步骤401中，服务器接收到网站私钥明文删除指令。

在这里，网站私钥明文删除指令中可以包括待删除的网站私钥明文。

在步骤402中，服务器向用于加解密的终端发送与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识。

在这里，服务器首先获取待删除的网站私钥明文；之后，服务器对上述网站私钥明文进行加密，生成网站私钥密文；然后，查找与上述网站私钥密文相对应的网站私钥标识，其中，上述网站私钥密文与上述网站私钥标识的对应关系是预先存储的，且一一对应；最后，向用于加解密的终端发送上述网站私钥标识。

在步骤403中，用于加解密的终端接收服务器发送的与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识。

在这里，用于加解密的终端接收上述服务器发送的与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，上述网站私钥标识是当服务器接收到网站私钥明文删除指令后，从离线服务器获取的与上述网站私钥密文相对应的网站私钥标识。

在步骤404中，用于加解密的终端查找与网站私钥标识对应的网站私钥明文。

在这里，用于加解密的终端利用网站私钥标识查找与其对应的网站私钥明文。

在步骤405中，用于加解密的终端删除网站私钥明文以及网站私钥明文与网站私钥标识的对应关系。

在这里，用于加解密的终端删除上述网站私钥明文以及上述网站私钥明文和上述网站私钥标识的对应关系。

继续参考图5，其示出了根据本申请的用于存储网站私钥明文的方法的一个实施例的流程500。本实施例所示的用于存储网站私钥明文的方法一般由图1所示的服务器执行。所述的用于存储网站私钥明文的方法，包括以下步骤：

步骤501，接收用于加解密的终端发送的公钥。

在本实施例中，用于存储网站私钥明文的方法运行于其上的电子设备(例如图1所示的服务器)可以接收用于加解密的终端发送的公钥，其中，上述用于加解密的终端可以是包含已加载加密和/或解密程序的FPGA芯片的终端设备。上述公钥是上述终端随机生成的。

在本实施例的一些可选的实现方式中，上述电子设备(例如图1所示的服务器)可以执行如下对上述公钥的检验步骤：可以首先获取预设长度的数据，其中，上述预设长度可以为512比特、1024比特和2048比特等，上述数据可以是上述预设长度的任意数据；之后，上述电子设备可以利用上述公钥加密上述数据以生成数据密文，并调用RSA Challenge接口向上述终端发送上述数据密文；然后，上述电子设备可以接收上述终端发送的数据明文，其中，上述数据明文是上述终端利用私钥对接收到的数据密文进行解密之后而生成的；最后，可以检验上述数据明文与上述数据是否一致；若一致，则说明上述公钥是有效的，可以执行步骤502；若不一致，则说明上述公钥是无效的，可以向上述终端发送重新生成密钥对的指令，之后，接收上述终端发送的公钥，并继续执行上述对上述公钥的检验步骤，直至检验出上述公钥为有效的公钥为止。

步骤502，利用公钥加密网站私钥明文，生成网站私钥密文。

在本实施例中，在接收到步骤501中的公钥之后，上述电子设备可以利用上述公钥加密网站私钥明文，例如，可以利用非对称加密算法加密网站私钥明文，以生成网站私钥密文，其中，上述网站私钥明文是上述电子设备(例如在线服务器)预先从离线服务器中获取的。为了保证安全性，在用于存储网站私钥明文的系统的设计中，可以设置离线服务器，并将网站私钥明文保存在上述离线服务器中。

步骤503，向终端发送网站私钥密文，以供终端利用私钥解密网站私钥密文，生成网站私钥明文并将网站私钥明文存储在所述终端中。

在本实施例中，在步骤502中生成网站私钥密文之后，上述电子设备可以向用于加解密的终端发送上述网站私钥密文，以供上述终端可以利用随机生成的私钥对上述网站私钥密文进行解密，并在上述终端中存储解密出的网站私钥明文。

在本实施例的一些可选的实现方式中，当接收到网站私钥明文添加指令时，上述电子设备可以首先获取待添加的网站私钥明文；之后，可以对上述网站私钥明文进行加密，生成网站私钥密文；然后，查找与上述网站私钥密文相对应的网站私钥标识，其中，上述网站私钥密文与上述网站私钥标识的对应关系是预先存储的，且一一对应；最后，向上述终端发送上述网站私钥标识。上述电子设备可以从离线服务器获取与网站私钥密文相对应的网站私钥标识。为了保证安全性，在用于存储网站私钥明文的系统的设计中，可以设置离线服务器，并将网站私钥明文保存在上述离线服务器中；之后，可以利用SSL加速卡的公钥对上述网站私钥明文进行加密，得到网站私钥密文；然后可以利用MD5对上述网站私钥密文进行计算，得到网站私钥标识。

在本实施例的一些可选的实现方式中，当接收到网站私钥明文删除指令时，上述电子设备可以首先获取待删除的网站私钥明文；之后，可以对上述网站私钥明文进行加密，生成网站私钥密文；然后，查找与上述网站私钥密文相对应的网站私钥标识，其中，上述网站私钥密文与上述网站私钥标识的对应关系是预先存储的，且一一对应；最后，向上述终端发送上述网站私钥标识。

在本实施例的一些可选的实现方式中，上述电子设备(例如图1所示的服务器)在与用户终端传输数据之前可以进行一次握手，在握手过程中可以首先接收用户终端发送的网站密文和网站私钥标识；之后，可以向上述终端发送上述网站密文和网站私钥标识，以供上述终端可以查找与上述网站私钥标识相对应的网站私钥明文，并利用上述网站私钥明文对上述网站密文进行解密，并生成网站明文；最后，上述电子设备可以接收上述终端发送的网站明文。

继续参考图6，其示出了根据本申请的用于存储网站私钥明文的方法的又一个实施例的流程600。本实施例所示的用于存储网站私钥明文的方法一般由图1所示的用于加解密的终端执行。所述的用于存储网站私钥明文的方法，包括以下步骤：

步骤601，随机生成密钥对。

在本实施例中，用于存储网站私钥明文的方法运行于其上的电子设备(例如图1所示的用于加解密的终端)可以在初始化阶段随机生成密钥对，其中，上述密钥对包括公钥和私钥。上述电子设备可以将上述私钥保存在上述电子设备的内部，且对外不可读。如果用密钥对中的公钥加密数据的话，就必须用密钥对中的私钥进行解密；如果用密钥对中的私钥加密数据的话，就必须用密钥对中的公钥进行解密，否则解密不会成功。上述电子设备可以是包含已加载加密和/或解密程序的FPGA芯片的终端设备。

步骤602，向服务器发送公钥。

在本实施例中，在步骤601中随机生成密钥对之后，用于存储网站私钥明文的方法运行于其上的电子设备(例如图1所示的用于加解密的终端)可以向服务器发送上述密钥对中的公钥，以供上述服务器利用上述公钥对预先获取的网站私钥明文进行加密，并生成网站私钥密文。

步骤603，接收服务器发送的网站私钥密文。

在本实施例中，用于存储网站私钥明文的方法运行于其上的电子设备(例如图1所示的用于加解密的终端)可以接收上述服务器发送的网站私钥密文，其中，上述网站私钥密文是上述服务器利用接收到的公钥对预先获取到的网站私钥明文加密之后得到的。

在本实施例的一些可选的实现方式中，上述电子设备(例如图1所示的用于加解密的终端)可以首先接收上述服务器发送的与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，上述网站私钥标识可以是当上述服务器接收到网站私钥明文添加指令后，从离线服务器获取的与上述网站私钥密文相对应的网站私钥标识，上述网站私钥标识与上述网站私钥密文是预先存储的、且一一对应的；之后，可以将上述待添加的网站私钥明文和上述网站私钥标识的对应关系进行存储。

在本实施例的一些可选的实现方式中，上述电子设备(例如图1所示的用于加解密的终端)可以首先接收上述服务器发送的与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，上述网站私钥标识可以是当上述服务器接收到网站私钥明文删除指令后，从离线服务器获取的与上述网站私钥密文相对应的网站私钥标识，上述网站私钥标识与上述网站私钥密文是预先存储的、且一一对应的；之后，可以查找与上述网站私钥标识对应的网站私钥明文；最后，可以删除上述网站私钥明文以及上述网站私钥明文和上述网站私钥标识的对应关系。

步骤604，利用私钥解密网站私钥密文，生成网站私钥明文。

在本实施例中，用于存储网站私钥明文的方法运行于其上的电子设备(例如图1所示的用于加解密的终端)可以利用上述私钥对从服务器接收的网站私钥密文进行解密，例如，可以利用非对称解密算法进行解密，并生成网站私钥明文。

步骤605，存储网站私钥明文。

在本实施例中，用于存储网站私钥明文的方法运行于其上的电子设备(例如图1所示的用于加解密的终端)可以将步骤604生成的网站私钥明文进行存储。

在本实施例的一些可选的实现方式中，当接收到RSA Challenge命令时，上述电子设备(例如图1所示的用于加解密的终端)可以首先通过RSA Challenge接口接收上述服务器发送的数据密文，其中，上述数据密文是上述服务器在对上述公钥的有效性进行检验时，利用上述公钥对预设长度的任意数据进行加密后生成的；之后，可以利用上述私钥对上述数据密文进行解密，例如，可以利用非对称解密算法进行解密，以生成数据明文；最后，可以向上述服务器发送上述数据明文。

在本实施例的一些可选的实现方式中，当接收到上述服务器发送的重新生成密钥对的指令时，上述电子设备(例如图1所示的用于加解密的终端)可以重新随机生成密钥对，并向上述服务器发送重新生成的公钥。

在本实施例的一些可选的实现方式中，上述电子设备(例如图1所示的用于加解密的终端)可以首先接收上述服务器发送的网站密文和网站私钥标识，其中，上述网站密文和网站私钥标识是上述服务器与用户终端在握手过程中接收到上述用户终端发送的；之后，上述电子设备可以查找与上述网站私钥标识对应的网站私钥明文；然后，可以利用上述网站私钥明文对上述网站密文进行解密，并生成网站明文；最后，可以向上述服务器发送解密后生成的网站明文。

进一步参考图7，作为对上述各图所示方法的实现，本申请提供了一种用于存储网站私钥明文的装置的一个实施例，该装置实施例与图5所示的方法实施例相对应，该装置具体可以应用于各种电子设备中。

如图7所示，本实施例所述的用于存储网站私钥明文的装置700包括：第一接收单元701、加密单元702和第一发送单元703。其中，第一接收单元701配置用于接收用于加解密的终端发送的公钥，其中，所述公钥是所述终端随机生成的；加密单元702配置用于利用所述公钥加密网站私钥明文，生成网站私钥密文，其中，所述网站私钥明文是预先获取的；第一发送单元703配置用于向所述终端发送所述网站私钥密文，以供所述终端利用所述私钥解密所述网站私钥密文，生成网站私钥明文并将所述网站私钥明文存储在所述终端中。

在本实施例中，用于存储网站私钥明文的装置700的第一接收单元701可以接收用于加解密的终端发送的公钥，其中，上述用于加解密的终端可以是包含已加载加密和/或解密程序的FPGA芯片的终端设备。上述公钥是上述终端随机生成的。

在本实施例中，在第一接收单元701接收到公钥之后，上述加密单元702可以利用上述公钥加密网站私钥明文，例如，可以利用非对称加密算法加密网站私钥明文，以生成网站私钥密文。

在本实施例中，第一发送单元703可以向用于加解密的终端发送上述网站私钥密文，以供上述终端可以利用随机生成的私钥对上述网站私钥密文进行解密，并在上述终端中存储解密出的网站私钥明文。

在本实施例的一些可选的实现方式中，用于存储网站私钥明文的装置700还可以包括检验单元。其中，上述检验单元可以执行如下对上述公钥的检验步骤：可以首先获取预设长度的数据，其中，上述预设长度可以为512比特、1024比特和2048比特等，上述数据可以是上述预设长度的任意数据；之后，上述检验单元可以利用上述公钥加密上述数据以生成数据密文，并调用RSA Challenge接口向上述终端发送上述数据密文；然后，上述检验单元可以接收上述终端发送的数据明文，其中，上述数据明文是上述终端利用私钥对接收到的数据密文进行解密之后而生成的；最后，可以检验上述数据明文与上述数据是否一致；若一致，则说明上述公钥是有效的，可以利用上述加密单元702执行加密步骤；若不一致，则说明上述公钥是无效的，可以向上述终端发送重新生成密钥对的指令，之后，接收上述终端发送的公钥，并继续执行上述对上述公钥的检验步骤，直至检验出上述公钥为有效的公钥为止。

在本实施例的一些可选的实现方式中，当接收到网站私钥明文添加指令时，上述第一发送单元703可以首先获取待添加的网站私钥明文；之后，可以对上述网站私钥明文进行加密，生成网站私钥密文；然后，查找与上述网站私钥密文相对应的网站私钥标识；最后，向上述终端发送上述网站私钥标识。上述第一发送单元703可以从离线服务器获取与网站私钥密文相对应的网站私钥标识。

在本实施例的一些可选的实现方式中，当接收到网站私钥明文删除指令时，上述第一发送单元703可以首先获取待删除的网站私钥明文；之后，可以对上述网站私钥明文进行加密，生成网站私钥密文；然后，查找与上述网站私钥密文相对应的网站私钥标识。

在本实施例的一些可选的实现方式中，上述用于存储网站私钥明文的装置700还可以包括：第二接收单元、第二发送单元和第三接收单元。上述第二接收单元在与用户终端传输数据之前可以进行一次握手，在握手过程中可以首先接收用户终端发送的网站密文和网站私钥标识；之后，上述第二发送单元可以向上述终端发送上述网站密文和网站私钥标识，以供上述终端可以查找与上述网站私钥标识相对应的网站私钥明文，并利用上述网站私钥明文对上述网站密文进行解密，并生成网站明文；最后，上述第三接收单元可以接收上述终端发送的网站明文。

进一步参考图8，作为对上述各图所示方法的实现，本申请提供了一种用于存储网站私钥明文的装置的又一个实施例，该装置实施例与图6所示的方法实施例相对应，该装置具体可以应用于各种电子设备中。

如图8所示，本实施例所述的用于存储网站私钥明文的装置800包括：生成单元801、第一发送单元802、第一接收单元803、第一解密单元804和存储单元805。其中，生成单元801配置用于随机生成密钥对，其中，所述密钥对包括公钥和私钥；第一发送单元802配置用于向服务器发送所述公钥；第一接收单元803配置用于接收所述服务器发送的网站私钥密文，其中，所述网站私钥密文是所述服务器利用所述公钥对网站私钥明文进行加密后生成的，所述网站私钥明文是预先获取的；第一解密单元804配置用于利用所述私钥解密所述网站私钥密文，生成网站私钥明文；存储单元805配置用于存储所述网站私钥明文。

在本实施例中，用于存储网站私钥明文的装置800的生成单元801可以在初始化阶段随机生成密钥对，其中，上述密钥对包括公钥和私钥。

在本实施例中，在上述生成单元801随机生成密钥对之后，上述第一发送单元802可以向服务器发送上述密钥对中的公钥，以供上述服务器利用上述公钥对预先获取的网站私钥明文进行加密，并生成网站私钥密文。

在本实施例中，上述第一接收单元803可以接收上述服务器发送的网站私钥密文，其中，上述网站私钥密文是上述服务器利用接收到的公钥对预先获取到的网站私钥明文加密之后得到的。

在本实施例中，上述第一解密单元804可以利用上述私钥对从服务器接收的网站私钥密文进行解密，例如，可以利用非对称解密算法进行解密，并生成网站私钥明文。

在本实施例中，上述存储单元805可以上述第一解密单元804生成的网站私钥明文进行存储。

在本实施例的一些可选的实现方式中，上述用于存储网站私钥明文的装置800还可以包括：第二接收单元、第二解密单元和第二发送单元。上述第二接收单元可以首先通过RSA Challenge接口接收上述服务器发送的数据密文，其中，上述数据密文是上述服务器在对上述公钥的有效性进行检验时，利用上述公钥对预设长度的任意数据进行加密后生成的；之后，上述第二解密单元可以利用上述私钥对上述数据密文进行解密，例如，可以利用非对称解密算法进行解密，以生成数据明文；最后，上述第二发送单元可以向上述服务器发送上述数据明文。

在本实施例的一些可选的实现方式中，上述用于存储网站私钥明文的装置800还可以包括：第三发送单元。当接收到上述服务器发送的重新生成密钥对的指令时，上述第三发送单元可以重新随机生成密钥对，并向上述服务器发送重新生成的公钥。

在本实施例的一些可选的实现方式中，上述第一接收单元803可以首先接收上述服务器发送的与待添加的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，上述网站私钥标识可以是当上述服务器接收到网站私钥明文添加指令后，从离线服务器获取的与上述网站私钥密文相对应的网站私钥标识，上述网站私钥标识与上述网站私钥密文是预先存储的、且一一对应的；之后，上述存储单元805可以将上述待添加的网站私钥明文和上述网站私钥标识的对应关系进行存储。

在本实施例的一些可选的实现方式中，上述第一接收单元803可以包括：接收模块、查找模块和删除模块。上述接收模块可以首先接收上述服务器发送的与待删除的网站私钥明文加密后的网站私钥密文对应的网站私钥标识，其中，上述网站私钥标识可以是当上述服务器接收到网站私钥明文删除指令后，从离线服务器获取的与上述网站私钥密文相对应的网站私钥标识，上述网站私钥标识与上述网站私钥密文是预先存储的、且一一对应的；之后，上述查找模块可以查找与上述网站私钥标识对应的网站私钥明文；最后，上述删除模块可以删除上述网站私钥明文以及上述网站私钥明文和上述网站私钥标识的对应关系。

在本实施例的一些可选的实现方式中，上述用于存储网站私钥明文的装置800还可以包括：第三接收单元、查找单元、第三解密单元和第四发送单元。上述第三接收单元可以首先接收上述服务器发送的网站密文和网站私钥标识，其中，上述网站密文和网站私钥标识是上述服务器与用户终端在握手过程中接收到上述用户终端发送的；之后，上述查找单元可以查找与上述网站私钥标识对应的网站私钥明文；然后，上述第三解密单元可以利用上述网站私钥明文对上述网站密文进行解密，并生成网站明文；最后，上述第四发送单元可以向上述服务器发送解密后生成的网站明文。

下面参考图9，其示出了适于用来实现本申请实施例的用户终端(例如图1所示的用户终端101或102)或服务器(例如图1所示的服务器104)的计算机系统900的结构示意图。

如图9所示，计算机系统900包括中央处理单元(CPU)901，其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。在RAM 903中，还存储有系统900操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。

以下部件连接至I/O接口905：包括键盘、鼠标等的输入部分906；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907；包括硬盘等的存储部分908；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器910上，以便于从其上读出的计算机程序根据需要被安装入存储部分908。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，上述计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分909从网络上被下载和安装，和/或从可拆卸介质911被安装。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、单元、程序段、或代码的一部分，上述模块、单元、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括第一接收单元、加密单元和第一发送单元。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，第一发送单元还可以被描述为“向所述终端发送所述网站私钥密文的单元”。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，例如，可以描述为：一种处理器包括生成单元、第一发送单元、第一接收单元、第一解密单元和存储单元。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定，例如，生成单元还可以被描述为“用于随机生成密钥对的单元”。

作为另一方面，本申请还提供了一种非易失性计算机存储介质，该非易失性计算机存储介质可以是上述实施例中上述装置中所包含的非易失性计算机存储介质；也可以是单独存在，未装配入终端中的非易失性计算机存储介质。上述非易失性计算机存储介质存储有一个或者多个程序，当上述一个或者多个程序被一个设备执行时，使得上述设备：接收用于加解密的终端发送的公钥，其中，公钥是终端随机生成的；利用公钥加密网站私钥明文，生成网站私钥密文，其中，网站私钥明文是预先获取的；向终端发送网站私钥密文，以供所述终端利用所述私钥解密所述网站私钥密文，生成网站私钥明文并将所述网站私钥明文存储在所述终端中。

作为另一方面，本申请还提供了一种非易失性计算机存储介质，该非易失性计算机存储介质可以是上述实施例中上述装置中所包含的非易失性计算机存储介质；也可以是单独存在，未装配入终端中的非易失性计算机存储介质。上述非易失性计算机存储介质存储有一个或者多个程序，当上述一个或者多个程序被一个设备执行时，使得上述设备：随机生成密钥对，其中，密钥对包括公钥和私钥；向服务器发送公钥；接收服务器发送的网站私钥密文，其中，网站私钥密文是服务器利用公钥对网站私钥明文进行加密后生成的，网站私钥明文是预先获取的；利用私钥解密网站私钥密文，生成网站私钥明文；存储网站私钥明文。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。