数字资产的处理方法、装置和电子设备与流程

本发明涉及数字资产技术领域，尤其是涉及一种数字资产的处理方法、装置和电子设备。

背景技术：

业务系统中的数字资产通过密钥进行加密。而密钥的存储系统通常与业务系统共享存储资源和子网资源，且密钥的存储系统中直接存储有密钥的私钥原文；如果业务系统或者存储介质被攻击，则密钥有被盗或被破坏的风险，进而导致数字资产也被转移或者被破坏，业务系统的安全性较低。

技术实现要素：

有鉴于此，本发明的目的在于提供一种数字资产的处理方法、装置和电子设备，以提高业务系统的安全性。

第一方面，本发明实施例提供了一种数字资产的处理方法，该方法应用于密钥管理服务器；密钥管理服务器中存储有每个区块链对应的子密钥；密钥管理服务器与数字资产管理服务器通信连接；方法包括：接收来自数字资产管理服务器的资产签名请求；其中，资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；根据所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。

进一步的，每个区块链对应的子密钥，通过下述方式生成：获取预先生成的根密钥；根密钥包括公钥种子文件和根私钥；根据根密钥中的公钥种子文件，生成每个区块链对应的子公钥；根据根密钥中的根私钥，生成每个区块链对应的子私钥。

进一步的，密钥管理服务器中还存储有区块链中每个用户的用户地址；区块链中每个用户的用户地址，通过下述方式生成：针对每个区块链，根据该区块链对应的子公钥，生成该区块链中每个用户的用户地址。

进一步的，根密钥，通过下述方式生成：如果接收到来自客户端的助记词获取指令，生成助记词；将生成的助记词返回至客户端，以通过客户端设置助记词对应的启动密码；如果接收到启动密码，根据助记词生成根密钥。

进一步的，资产签名请求还包括目标资产的所属用户；密钥管理服务器中还存储有每个用户的用户编号；根据所属区块链对应的子密钥，生成目标资产的签名私钥的步骤，包括：根据所属区块链对应的子密钥，以及目标资产的所属用户对应的用户编号，生成目标资产的签名私钥。

第二方面，本发明实施例提供了一种数字资产的处理方法，该方法应用于数字资产管理服务器；数字资产管理服务器与密钥管理服务器通信连接；密钥管理服务器中存储有每个区块链对应的子密钥；方法包括：如果接收到目标资产的资产处理请求，生成目标资产的资产签名请求；其中，资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；将资产签名请求发送至密钥管理服务器，以通过密钥管理服务器根据所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器；将资产处理请求和签名结果发送至目标资产的所属区块链，以通过所属区块链对目标资产进行处理。

第三方面，本发明实施例提供了一种数字资产的处理方法，该方法应用于终端设备；终端设备与密钥管理服务器通信连接；密钥管理服务器中存储有每个区块链对应的子密钥；密钥管理服务器与数字资产管理服务器通信连接；方法包括：向密钥管理服务器发送助记词获取指令，以通过密钥管理服务器生成助记词，将助记词返回至终端设备；设置助记词对应的启动密码；将启动密码发送至密钥管理服务器，以通过密钥管理服务器根据助记词生成根密钥；其中，根密钥用于：密钥管理服务器生成每个区块链对应的子密钥；密钥管理服务器接收到目标资产的资产签名请求后，根据目标资产的所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。

进一步的，根密钥包括公钥种子文件和根私钥；将启动密码发送至密钥管理服务器，以通过密钥管理服务器根据助记词生成根密钥的步骤之后，方法还包括：向密钥管理服务器发送子密钥生成请求和启动密码，以通过密钥管理服务器根据根密钥中的公钥种子文件，生成每个区块链对应的子公钥；根据根密钥中的根私钥，生成每个区块链对应的子私钥。

第四方面，本发明实施例提供了一种数字资产的处理装置，该装置设置于密钥管理服务器；密钥管理服务器中存储有每个区块链对应的子密钥；密钥管理服务器与数字资产管理服务器通信连接；装置包括：接收模块，用于接收来自数字资产管理服务器的资产签名请求；其中，资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；生成模块，用于根据所属区块链对应的子密钥，生成目标资产的签名私钥；签名模块，用于通过签名私钥对目标资产进行签名，得到签名结果；处理模块，用于将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。

第五方面，本发明实施例提供了一种数字资产的处理装置，该装置设置于数字资产管理服务器；数字资产管理服务器与密钥管理服务器通信连接；密钥管理服务器中存储有每个区块链对应的子密钥；装置包括：请求生成模块，用于如果接收到目标资产的资产处理请求，生成目标资产的资产签名请求；其中，资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；请求发送模块，用于将资产签名请求发送至密钥管理服务器，以通过密钥管理服务器根据所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器；资产处理模块，用于将资产处理请求和签名结果发送至目标资产的所属区块链，以通过所属区块链对目标资产进行处理。

第六方面，本发明实施例提供了一种数字资产的处理装置，该装置设置于终端设备；终端设备与密钥管理服务器通信连接；密钥管理服务器中存储有每个区块链对应的子密钥；密钥管理服务器与数字资产管理服务器通信连接；装置包括：指令发送模块，用于向密钥管理服务器发送助记词获取指令，以通过密钥管理服务器生成助记词，将助记词返回至终端设备；密码设置模块，用于设置助记词对应的启动密码；密码发送模块，用于将启动密码发送至密钥管理服务器，以通过密钥管理服务器根据助记词生成根密钥；其中，根密钥用于：密钥管理服务器生成每个区块链对应的子密钥；密钥管理服务器接收到目标资产的资产签名请求后，根据目标资产的所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。

第七方面，本发明实施例提供了一种电子设备，包括处理器和存储器，存储器存储有能够被处理器执行的机器可执行指令，处理器执行机器可执行指令以实现第一方面或第二方面或第三方面任一实施方式的数字资产的处理方法。

第八方面，本发明实施例提供了一种机器可读存储介质，该机器可读存储介质存储有机器可执行指令，机器可执行指令在被处理器调用和执行时，机器可执行指令促使处理器实现第一方面或第二方面或第三方面任一实施方式的数字资产的处理方法。

本发明实施例带来了以下有益效果：

本发明实施例提供了一种数字资产的处理方法、装置和电子设备，接收来自数字资产管理服务器的资产签名请求；该资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；根据所属区块链对应的子密钥，生成目标资产的签名私钥；通过该签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。该方式中，利用密钥管理服务器将用于加密数字资产的密钥与数字资产本身隔离存储，同时，在需要对数字资产进行签名时，实时生成签名私钥，进而对数字资产进行签名；该方式可以提高密钥的安全性，即使业务系统或者存储介质被攻击时，也能够有效保证密钥与数字资产的安全，提高了业务系统的安全性。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种数字资产的处理方法流程图；

图2为本发明实施例提供的一种根密钥的生成方法流程图；

图3为本发明实施例提供的一种数字资产的处理方法流程图；

图4为本发明实施例提供的一种数字资产的处理方法流程图；

图5为本发明实施例提供的一种数字资产的处理装置结构示意图；

图6为本发明实施例提供的一种数字资产的处理装置结构示意图；

图7为本发明实施例提供的一种数字资产的处理装置结构示意图；

图8为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

相关技术中，密钥的存储系统通常与业务系统共享存储资源和子网资源，且密钥的存储系统中直接存储有密钥的私钥原文；如果业务系统或者存储介质被攻击，存在密钥丢失，密钥被盗，存储介质损坏密钥无法还原等风险。目前，基于此，本发明实施例提供的一种数字资产的处理方法、装置和电子设备，该技术可以应用于具有数字资产管理的云服务器或实体服务器中，为便于对本实施例进行理解，首先对本发明实施例所公开的一种数字资产的处理方法进行详细介绍。

首先，本发明实施例提供了一种数字资产的处理方法，该方法应用于密钥管理服务器；密钥管理服务器中存储有每个区块链对应的子密钥；密钥管理服务器与数字资产管理服务器通信连接。该方法的执行主体为密钥管理服务器；如图1所示，该方法包括如下步骤：

步骤s102，接收来自数字资产管理服务器的资产签名请求；其中，资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；

上述资产签名请求通常是指rpc(remoteprocedurecall，远程过程调用)请求，使用该协议可以向网络中的另一个节点请求提供服务。另外，由于其包括待签名的目标资产，以及目标资产的所属区块链，因此可以向密钥管理服务器提供目标资产的区块链信息。上述数字资产管理服务器可以包括热钱包，用于存储数字资产，访问区块链；上述区块链可以包括公链或联盟链。

实际实现时，当用户需要对区块链中的目标资产进行处理时，首先，可以通过终端设备，比如，手机、电脑等设备，发起资产处理请求；当数字资产管理服务器接收到目标资产的资产处理请求后，可以生成该目标资产的资产签名请求；由于目标资产所属区块链的签名私钥与该目标资产隔离存储，数字资产管理服务器将生成的目标资产的资产签名请求发送至密钥管理服务器，以根据密钥管理服务器中存储的子密钥，对目标资产的资产签名请求进行签名操作。

步骤s104，根据所属区块链对应的子密钥，生成目标资产的签名私钥；

上述子密钥通常包括子公钥和子私钥；每个区块链对应一个子公钥；每个区块链上可以有多个用户的用户地址。实际实现时，密钥管理服务器根据接收到的资产签名请求中包括的待签名的目标资产所属区块链，从存储的每个区块链对应的子密钥中，获取该目标资产所属区块链对应的子密钥；利用获取到的子密钥中的子公钥和子私钥，通过分层确定性推导的方式，比如，bip32(bitcoinimprovementproposals32，比特币改进提议32)、bip44(bitcoinimprovementproposals44，比特币改进提议44)等，以及加密算法，比如，hmac-sha512(hash-basedmessageauthenticationcodesecurehashalgorithm512，散列消息认证码-安全哈希算法512)，以特定规则生成目标资产的签名私钥。

需要说明的是，上述生成的签名私钥是实时计算得到的，不会进行存储，通常只在密钥管理服务器的内存中保存几秒的时间，甚至几毫秒的时间；通常只会在需要进行签名时才会进行计算，生成对应的目标资产的签名私钥。避免了存储介质被攻破导致秘钥泄露；保证了签名私钥存储的安全性。

步骤s106，通过签名私钥对目标资产进行签名，得到签名结果；

实际实现时，通过签名私钥以及签名算法，比如，secp256k1(椭圆曲线算法参数)算法、dsa(digitalsignaturealgorithm，数字签名算法)等，对资产签名请求中的目标资产进行签名；该签名过程占用的宽带和存储资源较少，密钥的长度很短，计算量小，处理速度较快，同时具有较高的安全性。最后通过上述方法对目标资产进行签名后，得到签名结果。

步骤s108，将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。

密钥管理服务器将签名结果发送至数字资产管理服务器；数字资产管理服务器接收到签名结果后，可以根据目标资产所属区块链，将该签名结果发送至对应的区块链，以通过目标资产所属区块链，对目标资产进行处理；具体的，目标资产所属区块链可以对签名结果进行验证,以确保私钥签名是否正确；如果通过验证，可以根据资产处理请求，对目标资产进行处理，例如，将该用户的数字资产进行提现、将该交易过程在区块链上进行记录等。

本发明实施例提供了一种数字资产的处理方法，该方法的执行主体为密钥管理服务器，接收来自数字资产管理服务器的资产签名请求；该资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；根据所属区块链对应的子密钥，生成目标资产的签名私钥；通过该签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。该方式中，利用密钥管理服务器将用于加密数字资产的密钥与数字资产本身隔离存储，同时，在需要对数字资产进行签名时，实时生成签名私钥，进而对数字资产进行签名；该方式可以提高密钥的安全性，即使业务系统或者存储介质被攻击时，也能够有效保证密钥与数字资产的安全，提高了业务系统的安全性。

上述每个区块链对应的子密钥，通过下述方式生成：

步骤a1，获取预先生成的根密钥；根密钥包括公钥种子文件和根私钥；

上述预先生成的根密钥，可以是密钥管理服务器在离线状态下，根据密钥生成工具，比如，助记词、离线插件等工具生成的；根密钥中的公钥种子文件和根私钥通常保存在密钥管理服务器的存储区。

步骤a2，根据根密钥中的公钥种子文件，生成每个区块链对应的子公钥；根据根密钥中的根私钥，生成每个区块链对应的子私钥。

实际实现时，用户可以根据启动密码，正式启动密码管理服务器中的数字资产管理系统，该系统根据bip32，bip44采用分层确定的方式，基于根密钥生成多个子密钥；其中，子密钥的个数可以根据区块链的个数确定；通常业务系统中存在多少区块链，密码管理服务器中的数字资产管理系统会根据根密钥生成对应数量的子密钥；具体的，根据根密钥中的公钥种子文件，生成每个区块链对应的子公钥；不同的区块链对应有不同的子公钥。根据根密钥中的根私钥，生成每个区块链对应的子私钥。

需要说明的是，密码管理服务器将生成的子公钥持久化保存至数据库，比如，krds(kingsoftrelationaldatabaseservice，关系型数据库)等；将生成的子私钥不进行持久化保存，可以加载至服务器的内存中，以方便后续进行签名时，根据该子私钥生成签名私钥。

上述密钥管理服务器中还存储有区块链中每个用户的用户地址；区块链中每个用户的用户地址，通过下述方式生成：针对每个区块链，根据该区块链对应的子公钥，生成该区块链中每个用户的用户地址。

通常每个区块链上可以包括多个用户的用户地址，其中，区块链地址对应子公钥；上述区块链中每个用户的用户地址可以对应孙子公钥。在实际实现时，针对每个区块链，根据该区块链对应的子公钥，通过bip32，bip44采用分层确定的方式，生成该子公钥对应的多个孙子公钥，即上述该区块链中每个用户的用户地址。其中，孙子公钥的数量与每个区块链上对应的用户地址的数量相同。另外，一个用户可以在不同的区块链上有对应的用户地址；也可以在一个区块链上有多个用户地址。

需要说明的是，上述区块链中每个用户的用户地址，即孙子公钥，与子私钥的生成方式以及保存方式相同；在密钥管理服务器的数字资产管理系统启动后，根据公钥种子文件生成子公钥，再根据子公钥生成的孙子公钥；同时将生成的子公钥和孙子公钥持久化保存至数据库，比如，krds(kingsoftrelationaldatabaseservice，关系型数据库)。

综上，通常现有的密钥存储方式中，私钥未作后续加工，直接存储，会导致存储介质被攻破可直接获取到私钥原文，从而引起资产丢失风险。本实施例中采用分层确定的方式，以不同的方式存储子公钥、孙子公钥和子私钥可以保证密钥存储的安全性。

上述根密钥的生成方法，参见图2所示，该方法包括如下步骤：

步骤s202，如果接收到来自客户端的助记词获取指令，生成助记词；

实际实现时，用户可以根据手机、计算机等终端设备，向密钥管理服务器发送助记词获取指令，以通过密钥管理服务器生成助记词；例如，密钥管理服务器中的数字资产管理系统通过bip39等助记词生成工具，生成多个助记词；保存该助记词；其中，助记词的个数可以是12或者24个。

步骤s204，将生成的助记词返回至客户端，以通过客户端设置助记词对应的启动密码；

具体的，可以通过密钥管理服务器将生成的助记词发送至客户端；或者客户端可以通过密钥管理服务器中数字资产管理系统的离线插件获取生成的助记词；客户端可以保存该助记词，比如，通过备份、或者纸质的方式将该助记词进行保存。

客户端可以通过该离线插件设置助记词的启动密码，将该启动密码进行密码加盐，其中，该密码加盐包括随机值和加密方式；随机值是客户端随机产生的，并且以随机的方式混在原始密码里面，然后按照加密方式生成一串字符串保存在服务器。换言之，这中加密方式是单向的，客户端也不知道原始密码，即使知道加密方式，反向推出的加密前的字符串也是真正密码与随机值混合后的结果，从而无法解析真正密码。另外，对启动密码进行密码加盐操作后，可以根据加密算法，比如，sha256(securehashalgorithm256，安全哈希算法256)等，对该启动密码进行加密；将密码加盐并加密后的启动密码进行保存，可以将其保存至客户端或者密钥管理服务器中。

步骤s206，如果接收到启动密码，根据助记词生成根密钥。

如果密钥管理服务器接收到客户单发送的启动密码，密钥管理服务器根据前述生成的助记词，通过加密算法，比如，pbkdf2(password-basedkeyderivationfunction2，基于密码的密钥派生函数2)、bcrypt(文件加密工具)等算法，将助记词转换为根密钥，其中包括公钥种子文件以及根私钥文件。另外，密钥管理服务器可以将生成的根密钥进行保存，通常保存至密钥管理服务器的存储区。

需要说明的是，当设备被攻击破坏时，客户端同样可以在离线情况下，通过记录的助记词还原根密钥。

上述步骤s102中的资产签名请求还包括目标资产的所属用户；密钥管理服务器中还存储有每个用户的用户编号。根据所属区块链对应的子密钥，生成目标资产的签名私钥的步骤，包括：根据所属区块链对应的子密钥，以及目标资产的所属用户对应的用户编号，生成目标资产的签名私钥。

其中，系统可以根据用户地址自动分配对应的用户编号，每个用户编号有对应的用户地址；通常在对目标资产进行签名时，只能通过用户编号才可以获取到用户地址；通过孙子公钥不能获取到用户地址。

实际实现时，当密钥管理服务器接收到数字资产管理服务器的资产签名请求后，可以根据目标资产所属区块链获得对应的子公钥和子私钥；由于根据子私钥计算签名私钥过程中，需要获取用户地址，此时可以根据目标资产的所属用户对应的用户编号得到目标资产对应的用户地址；根据获取到的子私钥和用户地址，通过分层确定性推导的方式，比如，bip32(bitcoinimprovementproposals32，比特币改进提议32)、bip44(bitcoinimprovementproposals44，比特币改进提议44)等，以及加密算法，比如，hmac-sha512(hash-basedmessageauthenticationcodesecurehashalgorithm512，散列消息认证码-安全哈希算法512)，以特定规则生成目标资产的签名私钥。

需要说明的是，如果有人入侵到业务系统中时，想要更改一个收款人的地址，更改地址栏里的用户地址显示的并不是区块链上的用户地址，而是系统自动分配的用户编号；此时，入侵者无法根据自己的意愿更改收款人，在业务系统层面保证了数字资产的安全性。

本实施例中，通过密钥管理服务器单独存储根密钥、子密钥和孙子公钥，不仅在系统架构层面与业务系统分离，存储密钥的子网和介质，与业务系统都是分离的，部署方式中也进行了分离。其中的分离指的是网络上是隔离的，在网络上不可见。在私有云或公有云等云环境下规划出的子网的部署环境下，完全脱离正常外围的网络，具有单独的私有域，可以防止入侵。

本发明实施例提供了一种数字资产的处理方法，该方法应用于数字资产管理服务器；数字资产管理服务器与密钥管理服务器通信连接；密钥管理服务器中存储有每个区块链对应的子密钥；该方法的执行主体为数字资产管理服务器；如图3所示，该方法包括如下步骤：

步骤s302，如果接收到目标资产的资产处理请求，生成目标资产的资产签名请求；其中，资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；

实际实现时，当用户需要对区块链中的目标资产进行处理时，首先，可以通过终端设备，比如，手机、电脑等设备，向数字资产管理服务器发送资产处理请求；数字资产管理服务器接收到目标资产的资产处理请求后，根据目标资产所属区块链组装该请求，生成目标资产的资产签名请求；其以使该资产签名请求包括待签名的目标资产，以及目标资产的所属区块链。

步骤s304，将资产签名请求发送至密钥管理服务器，以通过密钥管理服务器根据所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器；

步骤s306，将资产处理请求和签名结果发送至目标资产的所属区块链，以通过所属区块链对目标资产进行处理。

本发明实施例提供了一种数字资产的处理方法，该方法的执行主体为数字资产管理服务器，如果接收到目标资产的资产处理请求，生成目标资产的资产签名请求；将资产签名请求发送至密钥管理服务器，以通过密钥管理服务器根据所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器；将资产处理请求和签名结果发送至目标资产的所属区块链，以通过所属区块链对目标资产进行处理。该方式中，利用密钥管理服务器将用于加密数字资产的密钥与数字资产本身隔离存储，同时，在需要对数字资产进行签名时，实时生成签名私钥，进而对数字资产进行签名；该方式可以提高密钥的安全性，即使业务系统或者存储介质被攻击时，也能够有效保证密钥与数字资产的安全，提高了业务系统的安全性。

本发明实施例提供的数字资产的处理方法，与上述实施例提供的数字资产的处理方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本发明实施例提供了一种数字资产的处理方法，该方法应用于终端设备；终端设备与密钥管理服务器通信连接；密钥管理服务器中存储有每个区块链对应的子密钥；密钥管理服务器与数字资产管理服务器通信连接；该方法的执行主体为终端设备；如图4所示，该方法包括如下步骤：

步骤s402，向密钥管理服务器发送助记词获取指令，以通过密钥管理服务器生成助记词，将助记词返回至终端设备；

步骤s404，设置助记词对应的启动密码；

步骤s406，将启动密码发送至密钥管理服务器，以通过密钥管理服务器根据助记词生成根密钥；

其中，根密钥用于：密钥管理服务器生成每个区块链对应的子密钥；密钥管理服务器接收到目标资产的资产签名请求后，根据目标资产的所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。

本发明实施例提供了一种数字资产的处理方法，该方法的执行主体为终端设备，向密钥管理服务器发送助记词获取指令，以通过密钥管理服务器生成助记词，将助记词返回至终端设备；设置助记词对应的启动密码；将启动密码发送至密钥管理服务器，以通过密钥管理服务器根据助记词生成根密钥。该方式中，利用密钥管理服务器将用于加密数字资产的密钥与数字资产本身隔离存储，同时，在需要对数字资产进行签名时，实时生成签名私钥，进而对数字资产进行签名；该方式可以提高密钥的安全性，即使业务系统或者存储介质被攻击时，也能够有效保证密钥与数字资产的安全，提高了业务系统的安全性。

进一步的，上述根密钥包括公钥种子文件和根私钥；将启动密码发送至密钥管理服务器，以通过密钥管理服务器根据助记词生成根密钥的步骤之后，该方法还包括：

向密钥管理服务器发送子密钥生成请求和启动密码，以通过密钥管理服务器根据根密钥中的公钥种子文件，生成每个区块链对应的子公钥；根据根密钥中的根私钥，生成每个区块链对应的子私钥。

本发明实施例提供的数字资产的处理方法，与上述实施例提供的数字资产的处理方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

对应上述的数字资产的处理方法实施例，本发明实施例还提供了一种数字资产的处理装置结构示意图，该装置设置于密钥管理服务器；密钥管理服务器中存储有每个区块链对应的子密钥；密钥管理服务器与数字资产管理服务器通信连接；如图5所示，该装置包括：

接收模块51，用于接收来自数字资产管理服务器的资产签名请求；其中，资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；

生成模块52，用于根据所属区块链对应的子密钥，生成目标资产的签名私钥；

签名模块53，用于通过签名私钥对目标资产进行签名，得到签名结果；

处理模块54，用于将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。

本发明实施例提供了一种数字资产的处理装置，该装置应用于密钥管理服务器，接收来自数字资产管理服务器的资产签名请求；该资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；根据所属区块链对应的子密钥，生成目标资产的签名私钥；通过该签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。该方式中，利用密钥管理服务器将用于加密数字资产的密钥与数字资产本身隔离存储，同时，在需要对数字资产进行签名时，实时生成签名私钥，进而对数字资产进行签名；该方式可以提高密钥的安全性，即使业务系统或者存储介质被攻击时，也能够有效保证密钥与数字资产的安全，提高了业务系统的安全性。

进一步的，上述每个区块链对应的子密钥，通过下述方式生成：获取预先生成的根密钥；根密钥包括公钥种子文件和根私钥；根据根密钥中的公钥种子文件，生成每个区块链对应的子公钥；根据根密钥中的根私钥，生成每个区块链对应的子私钥。

进一步的，上述密钥管理服务器中还存储有区块链中每个用户的用户地址；区块链中每个用户的用户地址，通过下述方式生成：针对每个区块链，根据该区块链对应的子公钥，生成该区块链中每个用户的用户地址。

进一步的，上述根密钥，通过下述方式生成：如果接收到来自客户端的助记词获取指令，生成助记词；将生成的助记词返回至客户端，以通过客户端设置助记词对应的启动密码；如果接收到启动密码，根据助记词生成根密钥。

进一步的，上述资产签名请求还包括目标资产的所属用户；密钥管理服务器中还存储有每个用户的用户编号；生成模块用于：根据所属区块链对应的子密钥，以及目标资产的所属用户对应的用户编号，生成目标资产的签名私钥。

本发明实施例提供的数字资产的处理装置，与上述实施例提供的数字资产的处理方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

对应上述的数字资产的处理方法实施例，本发明实施例还提供了一种数字资产的处理装置结构示意图，该装置设置于数字资产管理服务器；数字资产管理服务器与密钥管理服务器通信连接；密钥管理服务器中存储有每个区块链对应的子密钥；如图6所示，该装置包括：

请求生成模块61，用于如果接收到目标资产的资产处理请求，生成目标资产的资产签名请求；其中，资产签名请求包括待签名的目标资产，以及目标资产的所属区块链；

请求发送模块62，用于将资产签名请求发送至密钥管理服务器，以通过密钥管理服务器根据所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器；

资产处理模块63，用于将资产处理请求和签名结果发送至目标资产的所属区块链，以通过所属区块链对目标资产进行处理。

本发明实施例提供了一种数字资产的处理装置，该装置应用于数字资产管理服务器，如果接收到目标资产的资产处理请求，生成目标资产的资产签名请求；将资产签名请求发送至密钥管理服务器，以通过密钥管理服务器根据所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器；将资产处理请求和签名结果发送至目标资产的所属区块链，以通过所属区块链对目标资产进行处理。该方式中，利用密钥管理服务器将用于加密数字资产的密钥与数字资产本身隔离存储，同时，在需要对数字资产进行签名时，实时生成签名私钥，进而对数字资产进行签名；该方式可以提高密钥的安全性，即使业务系统或者存储介质被攻击时，也能够有效保证密钥与数字资产的安全，提高了业务系统的安全性。

本发明实施例提供的数字资产的处理装置，与上述实施例提供的数字资产的处理方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

对应上述的数字资产的处理方法实施例，本发明实施例提供了一种数字资产的处理装置，该装置设置于终端设备；终端设备与密钥管理服务器通信连接；密钥管理服务器中存储有每个区块链对应的子密钥；密钥管理服务器与数字资产管理服务器通信连接；如图7所示，该装置包括：

指令发送模块71，用于向密钥管理服务器发送助记词获取指令，以通过密钥管理服务器生成助记词，将助记词返回至终端设备；

密码设置模块72，用于设置助记词对应的启动密码；

密码发送模块73，用于将启动密码发送至密钥管理服务器，以通过密钥管理服务器根据助记词生成根密钥；

其中，根密钥用于：密钥管理服务器生成每个区块链对应的子密钥；密钥管理服务器接收到目标资产的资产签名请求后，根据目标资产的所属区块链对应的子密钥，生成目标资产的签名私钥；通过签名私钥对目标资产进行签名，得到签名结果；将签名结果返回至数字资产管理服务器，以通过数字资产管理服务器基于签名结果对目标资产进行处理。

本发明实施例提供了一种数字资产的处理装置，该装置应用于终端设备，向密钥管理服务器发送助记词获取指令，以通过密钥管理服务器生成助记词，将助记词返回至终端设备；设置助记词对应的启动密码；将启动密码发送至密钥管理服务器，以通过密钥管理服务器根据助记词生成根密钥。该方式中，利用密钥管理服务器将用于加密数字资产的密钥与数字资产本身隔离存储，同时，在需要对数字资产进行签名时，实时生成签名私钥，进而对数字资产进行签名；该方式可以提高密钥的安全性，即使业务系统或者存储介质被攻击时，也能够有效保证密钥与数字资产的安全，提高了业务系统的安全性。

进一步的，上述根密钥包括公钥种子文件和根私钥；上述装置还包括：请求模块，用于向密钥管理服务器发送子密钥生成请求和启动密码，以通过密钥管理服务器根据根密钥中的公钥种子文件，生成每个区块链对应的子公钥；根据根密钥中的根私钥，生成每个区块链对应的子私钥。

本发明实施例提供的数字资产的处理装置，与上述实施例提供的数字资产的处理方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本发明实施例还提供了一种电子设备，参见图8所示，该电子设备包括处理器80和存储器81，该存储器81存储有能够被处理器80执行的机器可执行指令，该处理器80执行机器可执行指令以实现上述数字资产的处理方法。

进一步地，图8所示的电子设备还包括总线82和通信接口83，处理器80、通信接口83和存储器81通过总线82连接。

其中，存储器81可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口83(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。总线82可以是isa总线、pci总线或eisa总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

处理器80可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器80中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器80可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessor，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现场可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器81，处理器80读取存储器81中的信息，结合其硬件完成前述实施例的方法的步骤。

本发明实施例还提供了一种机器可读存储介质，该机器可读存储介质存储有机器可执行指令，该机器可执行指令在被处理器调用和执行时，该机器可执行指令促使处理器实现上述数字资产的处理方法，具体实现可参见方法实施例，在此不再赘述。

本发明实施例所提供的数字资产的处理方法、装置和电子设备的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

最后应说明的是：以上实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。