一种密钥分量的密钥管理方法和系统与流程

本发明涉及通信技术领域，尤其涉及一种密钥分量的密钥管理方法和系统。

背景技术：

目前用户已经对数据隐私保护越来越注重，但是各设备运营商或者用户自身针对数据的保护方法还比较弱，数据的隐私采用加密保存是目前最为有效的手段，但是由于密钥的保护力度不足或者密钥经常被用户忘记，导致加密的数据无法解开，虽然数据的隐私得到很好地保护，但是密钥忘记带来的数据无法利用就产生了数据无效性，目前在各类个人消费类产品中还未有一种有效的手段能够平衡数据的安全隐私和数据的找回能力。

目前各设备运营商或者软件运营商都是采用自行提供的密钥对数据进行加解密操作，对于用户来说其数据隐私性都是依赖设备运营商或者软件运营商的信誉来保证。

技术实现要素：

针对现有技术中存在的上述问题，现提供一种密钥分量的密钥管理方法和系统。

具体技术方案如下：

一种密钥分量的密钥管理方法，其中，包括以下步骤：

设备端接收客户端的密钥输入选择，根据密钥输入选择确定密钥分量的第一数量，并根据第一数量确定第二数量，和根据第一数量确定第三数量；

其中，第二数量与第三数量的和等于第一数量，并且第一数量、第二数量和第三数量之间存在预设关系；

设备端生成小于或等于第三数量的密钥分量，客户端生成小于或等于第二数量的密钥分量；

若客户端，或客户端和设备端输入的密钥分量数量为第二数量，则根据客户端，或客户端和设备端输入的密钥分量对数据进行加解密。

优选的，密钥分量的密钥管理方法，其中，第一数量，第二数量和第三数量之间的预设关系如下述公式所示：

a+n＝m；

m＝2n-1；

其中，m用于表示第一数量，并且m是大于或等于3的奇数；

n用于表示第二数量；

a用于表示第三数量。

优选的，密钥分量的密钥管理方法，其中，还包括：客户端将生成的第四数量的密钥分量采用第四方进行保存，其中第四数量小于或等于第二数量。

优选的，密钥分量的密钥管理方法，其中，将生成的第四数量的密钥分量采用第四方进行保存的方式包括：将第四数量的密钥分量存储到存储设备中，使得存储设备对第四数量的密钥分量进行加密存储；或

采用生物信息对第四数量的密钥分量进行加密存储；或

采用加密密码对第四数量的密钥分量进行加密存储。

优选的，密钥分量的密钥管理方法，其中，于客户端将生成的第四数量的密钥分量采用第四方进行保存时，若客户端，或客户端和设备端，或客户方和第四方，或客户端、第四方和设备端输入的密钥分量数量为第二数量，则根据客户端，或客户端和设备端，或客户端和第四方，或客户端、第四方和设备端输入的密钥分量对数据进行加解密。

优选的，密钥分量的密钥管理方法，其中，于第四方将密钥分量输入时，向客户端发送对第四方的验证请求，当客户端返回的验证结果为通过验证时，接收第四方输入的密钥分量。

优选的，密钥分量的密钥管理方法，其中，若客户端，或客户端和设备端输入的密钥分量数量为第二数量，则根据客户端，或客户端和设备端输入的密钥分量对数据进行加解密，包括以下步骤：

判断客户端的密钥分量的输入数量是否等于第二数量；

若是，根据客户端输入的密钥分量对数据进行加解密；

若否，获取设备端输入的密钥分量，并且使得客户端和设备端输入的密钥分量数量为第二数量，根据客户端输入的密钥分量和设备端输入的密钥分量对数据进行加解密。

还包括一种密钥分量的密钥管理系统，其中，包括以下步骤：

设置模块，接收客户端的密钥输入选择，根据密钥输入选择确定密钥分量的第一数量，并根据第一数量确定第二数量，和根据第一数量确定第三数量；

密钥分量生成模块，设备端生成小于或等于第三数量的密钥分量，客户端生成小于或等于第二数量的密钥分量；

加解密模块，若客户端，或客户端和设备端输入的密钥分量数量为第二数量，则根据客户端，或客户端和设备端输入的密钥分量对数据进行加解密；

其中，第二数量与第三数量的和等于第一数量，并且第一数量、第二数量和第三数量之间存在预设关系。

还包括一种电子设备，包括处理器以及用于存储处理器可执行指令的存储器，处理器执行指令时实现上述中任一项方法的步骤。

还包括一种计算机可读存储介质，其上存储有计算机指令，指令被执行时实现上述任一项方法的步骤。

上述技术方案具有如下优点或有益效果：

实现用户可以选择是否将数据隐私依赖于设备端的密钥分量，即实现了可以在不依赖设备端的情况下使用客户端的密钥分量来保证数据不被丢失，解决了现有技术中必须由设备端对数据进行加解密所存在的安全性和灵活性不高的技术问题，进而以提高密钥分量的灵活性，和提升数据的安全性；

保证设备端无法脱离用户独立使用密钥分量解开数据，提高用户数据的安全性。

附图说明

参考所附附图，以更加充分的描述本发明的实施例。然而，所附附图仅用于说明和阐述，并不构成对本发明范围的限制。

图1为本发明密钥分量的密钥管理方法的实施例的简化流程图；

图2为本发明密钥分量的密钥管理方法的实施例的第二流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。

本发明包括一种密钥分量的密钥管理方法，如图1-2所示，包括以下步骤：

步骤s1，设备端接收客户端的密钥输入选择，根据密钥输入选择确定密钥分量的第一数量，并根据第一数量确定第二数量，和根据第一数量确定第三数量；

其中，第二数量与第三数量的和等于第一数量，并且第一数量、第二数量和第三数量之间存在预设关系；

步骤s2，设备端生成小于或等于第三数量的密钥分量，客户端生成小于或等于第二数量的密钥分量；

步骤s3，若客户端，或客户端和设备端输入的密钥分量数量为第二数量，则根据客户端，或客户端和设备端输入的密钥分量对数据进行加解密。

在上述实施例中，实现用户可以选择是否将数据隐私依赖于设备端的密钥分量，并且实现了可以在不依赖设备端的情况下，使用客户端的密钥分量来保证数据不被丢失，解决了现有技术中必须由设备端对数据进行加解密所存在的安全性和灵活性不高的技术问题，进而以提高密钥分量的灵活性，和提升用户数据的安全性。

在上述实施例中，通过设置第三数量小于第二数量，从而保证设备端无法脱离用户独立使用密钥分量解开数据，提高用户数据的安全性。

在上述实施例中，客户端为用户使用方，包括但不限于手机，和电脑等，客户端具体以哪种形式存在可以根据实际需要选择，本申请对此不做限定。上述的设备端用于提供密钥相关服务，可以为设备运营商和软件运营商等。

需要说明的是，客户端生成不大于第二数量的密钥分量的步骤可以和设备端生成不大于第三数量的密钥分量的步骤可以同时或顺序执行。

进一步地，在上述实施例中，第一数量，第二数量和第三数量之间的预设关系如下述公式所示：

a+n＝m；

m＝2n-1；

其中，m用于表示第一数量，并且m是大于或等于3的奇数；

n用于表示第二数量；

a用于表示第三数量。

在上述实施例中，按照m选n机制，其中，可以强制设备端可以生成并保存最多a个密钥分量，从而根据客户端提供的密钥分量数量补全设备端输入的密钥分量数量到第二数量时，即可实现客户端与设备端一起对数据进行加解密操作，也可以实现只需要客户端提供第二数量的密钥分量对数据进行加解密操作。

在上述实施例中，当用户需要对数据进行加密保存时，设备端向用户所在的客户端提供密钥输入选择的请求，使得用户通过客户端输入对应的密钥输入选择；

此处的密钥输入选择可以为用户自定义数据加密采用的密钥分量产生方式，密钥分量产生方式可以包括：3选2(m＝3，n＝2)，5选3(m＝5，n＝3)，和7选4(m＝7，n＝4)等方式；

例如，3选2方式是密钥产生时由三个密钥分量组成或者密钥本身为3个密钥分量，当对数据进行加解密时，只需要3个密钥分量中的两个密钥分量即可对数据进行加解密操作；

3选2方式的原理是：当用户选择3选2的密钥输入选择时，设备端可以生产最多1个密钥分量，而用户所在的客户端可以选择产生1个或者2个密钥分量，如果用户选择产生一个密钥分量，此时普通加密一样，只是数据安全提高一个等级，原本客户端的一个密钥就可以对数据进行加解密操作，现在必须要客户端的一个密钥分量和设备端的一个密钥分量一起才能对数据进行加解密，即此时的设备端需要生成一个密钥分量；

如果用户选择产生2个密钥分量，那么可以通过客户端的两个密钥分量自行对数据进行加解密操作，此时的设备端不需要生成密钥分量；也可以，客户端提供其中一个密钥分量与设备端提供的一个密钥分量一起解开数据，此时的设备端需要生成一个密钥分量；

因此，设备端是否生成密钥分量和设备端是否输入密钥分量均必须用户授权，用户也可以对输入的密钥分量进行验证，以确定是否为正确的密钥分量。

其中，其他的密钥分量产生方式也是以此类推，选择分量越多，对于数据找回能力越大。

需要说明的是，在上述公式中可以得到，第三数量小于第二数量，因此仅依靠设备端的密钥分量对数据进行加解密操作。

进一步地，在上述实施例中，还包括：客户端将生成的第四数量的密钥分量采用第四方进行保存，其中第四数量小于或等于第二数量。

在上述实施例中，由于密钥分量会存在全部忘记的风险，因此可以对密钥分量的硬件保护机制，上述硬件保护机制为将客户端将生成的第四数量的密钥分量采用第四方进行保存，从而避免由于密钥分量的丢失而导致数据无法被加解密，进而提高密钥分量的找回率。

作为优选的实施方式，将生成的第四数量的密钥分量采用第四方进行保存的方式包括：将第四数量的密钥分量存储到存储设备中，使得存储设备对第四数量的密钥分量进行加密存储；

在上述优选的实施方式中，存储设备可以为ukey，其中ukey为一种微型的类似u盘的存储介质，密钥分量可以被ukey加密保存，只有特定软件驱动可以对密钥分量进行识别解密，该ukey可以与客户端(可以为手机和电脑等)直接有线和无线的方式连接。

需要说明的是，一个密钥分量可以存储于多个存储设备中，例如，一个密钥分量可以存储在多个ukey中。

作为优选的实施方式，将生成的第四数量的密钥分量采用第四方进行保存的方式包括：采用生物信息对第四数量的密钥分量进行加密存储；

在上述优选的实施方式中，生物信息可以为可信任对应的指纹加密、瞳孔加密等生物加密信息。

作为优选的实施方式，将生成的第四数量的密钥分量采用第四方进行保存的方式包括：采用加密密码对第四数量的密钥分量进行加密存储。

进一步地，在上述实施例中，于客户端将生成的第四数量的密钥分量采用第四方进行保存时，若客户端，或客户端和设备端，或客户方和第四方，或客户端、第四方和设备端输入的密钥分量数量为第二数量，则根据客户端，或客户端和设备端，或客户端和第四方，或客户端、第四方和设备端输入的密钥分量对数据进行加解密。

在上述实施例中，需要采用第四方输入的密钥分量时，可以结合客户端和第四方输入的密钥分量数量为第二数量时的，采用客户端和第四方输入的密钥分量对数据进行加解密；

需要采用第四方输入的密钥分量时，可以结合客户端、第四方和设备端输入的密钥分量数量为第二数量时的，采用客户端、第四方和设备端输入的密钥分量对数据进行加解密。

进一步地，在上述实施例中，于第四方将密钥分量输入时，向客户端发送对第四方的验证请求，当客户端返回的验证结果为通过验证时，接收第四方输入的密钥分量。

在上述实施例中，第四方独立拿着密钥分量是无法通过验证的，只有在获取得到用户通过客户端返回的通过验证的验证结果时，才能接收第四方输入的密钥分量。

进一步地，在上述实施例中，若客户端，或客户端和设备端输入的密钥分量数量为第二数量，则根据客户端，或客户端和设备端输入的密钥分量对数据进行加解密，包括以下步骤：

判断客户端的密钥分量的输入数量是否等于第二数量；

若是，根据客户端输入的密钥分量对数据进行加解密；

若否，获取设备端输入的密钥分量，并且使得客户端和设备端输入的密钥分量数量为第二数量，根据客户端输入的密钥分量和设备端输入的密钥分量对数据进行加解密。

在上述实施例中，只要输入有第二数量的密钥分量就可以对数据进行加解密，从而实现可以用户和设备端一起参与对数据的加解密，也可以实现用户直接对数据进行加解密，进而实现了不依赖设备端就可以对数据进行加解密。

作为具体的实施方式，设备端(可以为设备提供商或者软件服务提供商)在用户数据初始化使用时，提示用户是否需要对数据进行加密保存，此处的数据为用户数据，当用户需要对数据进行加密保存时，用户通过客户端输入3选2的密钥输入选择；

用户通过客户端生成两个密钥分量，并且将其中一个密钥分量保存到第四方，设备端生成另外一个那个密钥分量，后续用户的所有数据将由上述客户端、第四方和设备端的密钥分量轮询加密保存，且加密过程都是在客户端完成，其中，设备端不会保存客户端生成的密钥分量；

接着，用户可以邀请第四方进行数据保护，即此时对数据进行加解密需要第四方保存的密钥分量；但这里第四方独立拿着密钥分量是无法通过验证，因此需要先获取得到用户对输入操作的授权才能进行第四方的密钥分量的输入操作。

还包括一种密钥分量的密钥管理系统，其中，包括以下步骤：

设置模块，设备端接收客户端的密钥输入选择，根据密钥输入选择确定密钥分量的第一数量，并根据第一数量确定客户端需要生成的密钥分量的第二数量，和根据第一数量确定设备端需要生成的密钥分量的第三数量；

加解密模块，若客户端，或客户端和设备端输入的密钥分量数量为第二数量，则根据客户端，或客户端和设备端输入的密钥分量对数据进行加解密；

其中，第二数量与第三数量的和等于第一数量，并且第一数量、第二数量和第三数量之间存在预设关系。

需要说明的是，密钥分量的密钥管理系统的实施例与上述密钥分量的密钥管理方法的实施例一致，在此不做赘述。

还包括一种电子设备，包括处理器以及用于存储处理器可执行指令的存储器，处理器执行指令时实现上述中任一项方法的步骤。

需要说明的是，电子设备的实施例与上述密钥分量的密钥管理方法的实施例一致，在此不做赘述。

还包括一种计算机可读存储介质，其上存储有计算机指令，指令被执行时实现上述任一项方法的步骤。

需要说明的是，计算机可读存储介质的实施例与上述密钥分量的密钥管理方法的实施例一致，在此不做赘述。以上仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。