一种密钥的处理方法、装置及电子设备与流程

1.本技术属于信息安全技术领域，具体涉及一种密钥的处理方法、装置及电子设备。


背景技术：

2.信息安全或数据安全有两方面的含义：一是数据本身的安全，主要是指采用现代密钥算法对数据进行主动保护，如数据保密、数据完整性、双向强身份认证等，二是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。数据安全是一种主动的保护措施，数据本身的安全必须基于可靠的加密算法与安全体系。其中，对于一些加密的电子设备、装置、存储介质等，密钥处理是一个很重要部分，如果密钥处理不当会给非法用户可乘之机，导致数据的泄露。
3.但是，现有的密钥处理方案适用的场景各不相同，面对不同的客户需求或者在不同的应用场景下，现有的密钥处理方案在密钥保护方面的安全性不高。


技术实现要素：

4.本技术实施例提供一种密钥的处理方法、装置及电子设备，能够解决不同场景下，对于密钥的处理安全性不高的问题，提高了密钥处理的安全性。
5.第一方面，本技术实施例提供了一种密钥的处理方法，应用于用户端，该方法包括：获取第一数据密钥和用户信息；通过所述用户信息对所述第一数据密钥进行加密，得到目标数据密钥；通过预先存储的公钥对所述目标数据密钥进行加密，得到第二数据密钥；将所述第二数据密钥传输至设备端。
6.第二方面，本技术实施例提供了一种密钥的处理方法，应用于设备端，该方法包括：接收用户端发送的第二数据密钥，其中所述第二数据密钥为所述用户端通过预先存储的公钥对目标数据密钥加密得到，所述目标数据密钥为通过用户信息对第一数据密钥进行加密得到；获取所述设备端的设备信息和预先存储的第一私钥，其中所述第一私钥为通过所述设备信息对第二私钥加密后得到，且所述第二私钥与所述公钥为一个密钥对；通过所述设备信息对所述第一私钥进行解密，得到第二私钥；通过所述第二私钥对所述第二数据密钥进行解密，得到所述目标数据密钥。
7.第三方面，本技术实施例提供了一种密钥的处理装置，应用于用户端，该装置包括：获取模块，用于获取第一数据密钥和用户信息；第一加密模块，用于通过所述用户信息对所述第一数据密钥进行加密，得到目标数据密钥；第二加密模块，用于通过预先存储的公钥对所述目标数据密钥进行加密，得到第二数据密钥；传输模块，用于将所述第二数据密钥传输至设备端。
8.第四方面，本技术实施例提供了一种密钥的处理装置，应用于设备端，该装置包括：接收模块，用于接收用户端发送的第二数据密钥，其中所述第二数据密钥为所述用户端通过预先存储的公钥对目标数据密钥加密得到，所述目标数据密钥为通过用户信息对第一数据密钥进行加密得到；获取模块，用于获取所述设备端的设备信息和预先存储的第一私
钥，其中所述第一私钥为通过所述设备信息对第二私钥加密后得到，且所述第二私钥与所述公钥为一个密钥对；第一解密模块，用于通过所述设备信息对所述第一私钥进行解密，得到第二私钥；第二解密模块，用于通过所述第二私钥对所述第二数据密钥进行解密，得到所述目标数据密钥。
9.第五方面，本技术实施例提供了一种电子设备，该电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。
10.第六方面，本技术实施例提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤。
11.在本技术实施例中，通过获取第一数据密钥和用户信息；通过所述用户信息对所述第一数据密钥进行加密，得到目标数据密钥；通过预先存储的公钥对所述目标数据密钥进行加密，得到第二数据密钥；将所述第二数据密钥传输至设备端；使得密钥在用户端生成，且密钥和设备端分离，并且实现了目标数据密钥的生成过程与用户信息相绑定，提高了目标数据密钥的安全性，解决了相关技术中对于密钥的处理安全性不高的问题。
附图说明
12.图1是本技术实施例提供的一种密钥的处理方法的流程示意图；
13.图2是本技术实施例提供的另一种密钥的处理方法的流程示意图；
14.图3是本技术的整体流程图；
15.图4是本技术实施例提供的一种密钥的处理装置的结构示意图；
16.图5是本技术实施例提供的另一种密钥的处理装置的结构示意图；
17.图6是本技术实施例提供的一个电子设备的结构示意图。
具体实施方式
18.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
19.本技术的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。
20.下面结合附图，通过具体的实施例及其应用场景对本技术实施例提供的密钥的处理方法、装置及电子设备进行详细地说明。
21.图1示出本发明的一个实施例提供的一种密钥的处理方法，应用于用户端，该用户端可以是客户端，也可以是一个集成在设备中的用户模块，该方法包括如下步骤：
22.步骤102：获取第一数据密钥和用户信息。
23.具体的，用户端获取第一数据密钥和用户信息。
24.第一数据密钥可以由用户端预先存储，且可以是由随机数字组成的预设长度范围的数字串；用户信息可以是用户的指纹、用户持有的密码或用户的集成电路卡信息，在此不对第一数据密钥和用户信息做具体限定。
25.步骤104：通过所述用户信息对所述第一数据密钥进行加密，得到目标数据密钥。
26.具体的，通过用户信息对第一数据密钥进行加密，得到目标数据密钥，这样，使得目标数据密钥与用户信息绑定，在非法用户没有获得用户信息的情况下，无法得到目标数据密钥，提高了目标数据密钥的安全性。
27.需要说明的是，用户端不会对目标数据密钥进行存储，每次获取目标数据密钥时，都需要执行根据用户信息对第一数据密钥进行加密的操作，这样，使得非法用户无法直接从用户端得到目标数据密钥，提升了目标数据密钥的安全性。
28.可以理解的是，用户信息作为对第一数据密钥进行加密的加密密钥，用户端可以更新该用户信息，且用户端更新用户信息不会对设备端的解密过程造成影响。
29.步骤106：通过预先存储的公钥对所述目标数据密钥进行加密，得到第二数据密钥。
30.通过公钥对目标数据密钥进行加密，得到第二数据密钥，其中，公钥为预先设置并存储在用户端。
31.这样，对目标数据密钥进行加密，使得目标数据密钥在传输的过程中以第二数据密钥的状态进行传输，即使第二数据密钥在传输的过程中被非法用户截取，非法用户也无法直接得到目标数据密钥，提升了目标数据密钥传输过程中的安全性。
32.步骤108：将所述第二数据密钥传输至设备端。
33.具体的，用户端将第二数据密钥传输至设备端，而不是由设备端自身生成第二数据密钥，实现了第二数据密钥和设备端分离，第二数据密钥掌握在用户端侧，非法用户无法直接从设备端获取目标数据密钥，提升了密钥处理过程中的安全性。
34.本发明实施例提供的一种密钥的处理方法，通过获取第一数据密钥和用户信息；通过用户信息对第一数据密钥进行加密，得到目标数据密钥；通过预先存储的公钥对目标数据密钥进行加密，得到第二数据密钥；将第二数据密钥传输至设备端，实现了目标数据密钥与用户信息绑定，使得非法用户在没有获得用户信息的情况下，无法得到目标数据密钥，且目标数据密钥在传输的过程中以第二数据密钥的状态进行传输，使得即使第二数据密钥在传输的过程中被非法用户截取，非法用户也无法直接得到目标数据密钥，并且实现了生成目标数据密钥的过程与设备端分离，非法用户无法直接从设备端获取目标数据密钥，提升了密钥处理过程中的安全性。
35.在一种实现方式中，所述获取第一数据密钥，包括：获取真随机数发生器生成的所述第一数据密钥。
36.具体的，第一数据密钥可以通过用户端中的真随机数发生器生成。
37.可选的，第一数据密钥可以是在真随机数发生器中生成的预设长度范围的数字串。
38.通过真随机数发生器生成第一数据密钥，实现了第一数据密钥的随机性，提高了非法用户获取第一数据密钥的难度，提升了密钥处理过程的安全性。
39.此外，可选的，在真随机数发生器生成第一数据密钥后，用户端可以存储该第一数据密钥，从而使得用户端可以直接获取预先存储的第一数据密钥，而不需要重新由真随机数发生器生成第一数据密钥，提高了获取第一数据密钥的效率。
40.在一种实现方式中，所述通过所述用户信息对所述第一数据密钥进行加密，得到目标数据密钥时，可以通过预先设置的第一对称加密算法，使用所述用户信息对所述第一数据密钥进行加密，得到所述目标数据密钥。
41.对称加密算法为将原始数据和加密密钥一起经过特殊加密算法处理后，使其成为复杂的加密密文，并且，对加密密文进行解密也需要使用与加密时使用的相同的加密密钥，对称加密算法的特点是计算量小、加密速度快、加密效率高。
42.具体的，可以通过预先设置的第一对称加密算法，使用用户信息对第一数据密钥进行加密，得到目标数据密钥，其中，用户信息可以作为第一对称算法的加密密钥，第一数据密钥为待加密的原始数据。
43.通过预先设置的第一对称加密算法对第一数据密钥进行加密生成目标数据密钥，即用户端并未存储目标数据密钥，而是通过第一对称加密算法和用户信息对第一数据密钥加密得到，加强了目标数据密钥本身安全性；并且，通过第一对称加密算法计算得到目标数据密钥，即使设备端损坏，仍然可以通过用户端的目标数据密钥最大限度挽救数据。
44.在一种实现方式中，所述通过预先存储的公钥对所述目标数据密钥进行加密，得到第二数据密钥时，可以通过预先设置的非对称加密算法，使用所述公钥对所述目标数据密钥进行加密，得到所述第二数据密钥。
45.使用非对称加密算法需要两个密钥：公钥和私钥。公钥与对应的私钥是存在唯一对应关系，如果使用公钥对数据进行加密，只有使用公钥对应的私钥才能对加密的数据进行解密。
46.具体的，可以使用预先设置的非对称加密算法对目标数据密钥进行加密以得到第二数据密钥，其中，用户端的中用于对目标数据密钥进行加密的公钥与设备端中的私钥为预先设置的。
47.这样，通过预先设置的非对称加密算法，使用公钥对目标数据密钥进行加密，得到第二数据密钥，使得对目标数据密钥的加密过程与解密过程不存在于同一个设备，并且通过预先设置公钥和公钥对应的私钥，使得用户端不需要传输用于对第二数据密钥进行解密的私钥，提高了第二数据密钥传输过程中的安全性。
48.图2示出本发明的一个实施例提供的一种密钥的处理方法，应用于设备端，该设备端可以是单独的一个设备，也可以是一个集成在设备中的存储模块，该方法包括如下步骤：
49.步骤202：接收用户端发送的第二数据密钥。
50.设备端接收用户端发送的第二数据密钥，其中所述第二数据密钥为所述用户端通过预先存储的公钥对目标数据密钥加密得到，所述目标数据密钥为通过用户信息对第一数据密钥进行加密得到。
51.这样，通过将生成目标数据密钥的过程与设备端分离，非法用户无法直接从设备端获取目标数据密钥，提升了密钥处理过程中的安全性。
52.步骤204：获取所述设备端的设备信息和预先存储的第一私钥。
53.具体的，所述第一私钥为通过所述设备信息对第二私钥加密后得到，且所述第二
私钥与所述公钥为一个密钥对。
54.设备信息可以包括设备端的身份编号、设备端的序列号等，在此不对设备信息做具体限定。
55.具体的，设备端并未直接存储与公钥配对的第二私钥，而是存储通过设备信息加密后的第一私钥，这使得设备端需要获取第二私钥进行解密时，需要首先获取设备信息对第一私钥进行解密，实现了将设备信息与第二私钥进行绑定，在没有得到设备信息的情况下，无法对第一私钥进行解密并获得第二私钥，提高了得到目标数据密钥的难度，从而提高了设备端使用目标数据密钥的安全性。
56.例如，在一种应用场景下，假设采用目标数据密钥对硬盘或存储模块进行了加密，若该硬盘或存储模块离开了当前的设备环境，即离开了设备端，则非法用户无法获取设备信息，因此无法对第二数据密钥进行解密以得到目标数据密钥，避免了硬盘或存储模块被解密的问题，提高了数据安全性。
57.此外，可以理解的是，设备信息是作为对第二私钥进行加密的加密密钥，因此设备端可以更换设备信息，而设备端更换设备信息不会对用户端造成影响。
58.步骤206：通过所述设备信息对所述第一私钥进行解密，得到第二私钥。
59.具体的，将设备信息作为解密密钥对第一私钥进行解密以得到第二私钥。
60.设备端中不对第二私钥进行存储，如需使用第二私钥，需要获取设备端的设备信息，通过设备信息对第一私钥进行解密以得到第二私钥。
61.这样，通过将设备信息作为解密密钥对第一私钥进行解密以得到第二私钥，使得设备信息与第二私钥进行了绑定，在未获得设备信息的情况下，无法对第一私钥进行解密以得到第二私钥，提高了第二私钥的安全性。
62.步骤208：通过所述第二私钥对所述第二数据密钥进行解密，得到所述目标数据密钥。
63.具体的，由于第二数据密钥是由与第二私钥对应的公钥加密得到，因此可以通过第二私钥对第二数据密钥进行解密，得到目标数据密钥。这样设备端要解密得到目标数据密钥时，需要用户端传输第二数据密钥，并同时需要设备信息才能得到对第二数据密钥进行解密的第二私钥，提高了获取目标数据密钥的安全性，从而提高了数据安全。
64.本发明实施例提供的一种密钥的处理方法，接收用户端发送的第二数据密钥，其中所述第二数据密钥为所述用户端通过预先存储的公钥对目标数据密钥加密得到，所述目标数据密钥为通过用户信息对第一数据密钥进行加密得到，并获取所述设备端的设备信息和预先存储的第一私钥，所述第一私钥为通过所述设备信息对第二私钥加密后得到，且所述第二私钥与所述公钥为一个密钥对，然后通过所述设备信息对所述第一私钥进行解密，得到第二私钥，并通过所述第二私钥对所述第二数据密钥进行解密，得到所述目标数据密钥；实现了目标数据密钥的产生过程与设备端分离，提高了目标数据密钥的产生过程的安全性；且预先存储的第一私钥为通过设备信息对第二私钥加密后得到，实现了第二私钥与设备信息相绑定，在设备端只有获取到设备信息作为解密密钥才能对第一私钥进行解密得到第二密钥，在非法用户缺失设备信息的情况下，无法对第一私钥进行解密并获得第二私钥，进而得到目标数据密钥，提高了密钥处理过程的安全性，并提高了数据安全。
65.在一种实现方式中，所述第一私钥为通过预先设置的第二对称加密算法，使用所
述设备信息对所述第二私钥加密后得到；此时所述通过所述设备信息对所述第一私钥进行解密，得到第二私钥时，可以通过与所述第二对称加密算法对应的对称解密算法，使用所述设备信息对所述第一私钥解密，得到所述第二私钥。
66.具体的，设备端预先通过第二对称加密算法对第二私钥进行加密以得到第一私钥，并将第一私钥存储在设备端，设备端的设备信息作为加密第二私钥时的加密密钥，这使得只有将设备信息作为解密密钥才能对第一私钥进行解密以得到第二私钥，提高了设备端获取第二私钥的安全性。
67.这样，通过将设备信息作为加密密钥对第二私钥进行加密以得到第一私钥，并且将设备信息作为解密密钥对第一私钥进行解密以得到第二私钥，使得第二私钥与设备信息进行绑定，必须通过设备信息作为解密密钥对第一私钥进行解密才能得到第二密钥，在非法用户缺失设备信息的情况下，无法对第一私钥进行解密并获得第二私钥，提高了密钥处理过程的安全性。
68.在一种实现方式中，所述通过所述第二私钥对所述第二数据密钥进行解密，得到所述目标数据密钥时，可以通过预先设置的非对称解密算法，使用所述第二私钥对所述第二数据密钥进行解密，得到所述目标数据密钥；
69.其中，所述第二数据密钥为所述用户端通过预先设置的非对称加密算法，使用所述公钥对所述目标数据密钥加密得到。
70.具体的，非对称解密算法与非对称加密算法相对应。
71.设备端通过预先设置的非对称解密算法，使用第二私钥对第二数据密钥进行解密，得到目标数据密钥，其中，第二私钥对应用户端中预先设置的公钥。
72.这样，通过预先设置的非对称解密算法，使用第二私钥对第二数据密钥进行解密，可以得到目标数据密钥，并且，在设备端使用根据设备信息得到的第二私钥对第二数据密钥进行解密，使得利用设备信息得到的第二私钥为获得目标数据密钥的密钥条件，在非法用户没有利用设备信息得到第二私钥的情况下，无法对第二数据密钥进行解密，即无法得到目标数据密钥，提高了目标数据密钥处理过程的安全性。
73.并且，对第二私钥采用对称加密算法进行加密，对目标数据密钥采用非对称加密算法进行加密，使得对称加密算法能够和非对称加密算法相结合，加强了目标数据密钥的安全性。
74.下面结合图3对本技术的一个整体流程实施例进行说明，具体如下：
75.步骤302：用户端获取第一数据密钥和用户信息。
76.具体的，首先第一数据密钥可以是由用户端的“真随机数发生器”产生的初始数据密钥，该第一数据密钥并非真正的用于对数据进行保护的数据密钥，且该第一数据密钥经过对称加密算法加密之后生成对数据进行保护的目标数据密钥。
77.第一数据密钥生成目标数据密钥的加密过程是由用户信息充当加密密钥。
78.用户信息可以是用户的指纹、用户持有的密码或用户的集成电路卡信息，用户使用时(即需要获取目标数据密钥解密数据时)，可以通过密码、指纹、集成电路卡等用户信息作为密钥，将第一数据密钥加密得到目标数据密钥。
79.第一数据密钥产生之后可以存储在用户端中，这样以后使用第一数据密钥时可以直接从存储的地方读取，而不需要重新由真随机数发生器产生。
80.步骤304：用户端通过用户信息对第一数据密钥进行加密，得到目标数据密钥。
81.对第一数据密钥进行加密时，可以通过预先设置的第一对称加密算法，使用用户信息对第一数据密钥进行加密，得到目标数据密钥。其中，用户信息可以作为第一对称算法的加密密钥，第一数据密钥为待加密的原始数据，对称加密算法为将原始数据和加密密钥一起经过特殊加密算法处理后，使其成为复杂的加密密文，并且，对加密密文进行解密也需要使用与加密时使用的相同的加密密钥。
82.这样，使得目标数据密钥与用户信息绑定，在非法用户没有获得用户信息的情况下，无法得到目标数据密钥，提高了目标数据密钥的安全性，并且，通过第一对称加密算法计算得到目标数据密钥，即使设备端损坏，而存储数据的存储模块未损坏，仍然可以通过用户端的目标数据密钥最大限度挽救数据。
83.需要说明的是，用户端不会对目标数据密钥进行存储，每次获取目标数据密钥时，都需要执行根据用户信息对第一数据密钥进行加密的操作，这样，使得非法用户无法直接从用户端得到目标数据密钥，提升了目标数据密钥的安全性。
84.步骤306：用户端通过预先存储的公钥对目标数据密钥进行加密，得到第二数据密钥，并将第二数据密钥传输至设备端。
85.具体的，目标数据密钥不会直接传递给设备端，而是通过一个公钥进行非对称加密之后获得第二数据密钥。其中，用户端的中用于对目标数据密钥进行加密的公钥与设备端中的私钥为预先设置的。
86.使用非对称加密算法需要两个密钥：公钥和私钥。公钥与对应的私钥是存在唯一对应关系，如果使用公钥对数据进行加密，只有使用公钥对应的私钥才能对加密的数据进行解密。
87.这样，通过预先设置的非对称加密算法，使用公钥对目标数据密钥进行加密得到第二数据密钥，实现了第二数据密钥的生成过程中，对称加密算法和非对称加密算法结合实现第二数据密钥的生成，加强了第二数据密钥本身的安全性，且实现了第二数据密钥在用户端、设备端以及传输过程中的安全性。
88.此外，用户端将第二数据密钥传输至设备端，而不是由设备端自身生成第二数据密钥，实现了第二数据密钥和设备端分离，第二数据密钥掌握在用户端侧，非法用户无法直接从设备端获取目标数据密钥，提升了密钥处理过程中的安全性。
89.步骤308：设备端接收用户端发送的第二数据密钥。
90.设备端接收用户端发送的第二数据密钥，其中第二数据密钥为用户端通过预先存储的公钥对目标数据密钥加密得到，目标数据密钥为通过用户信息对第一数据密钥进行加密得到。
91.这样，通过将生成目标数据密钥的过程与设备端分离，非法用户无法直接从设备端获取目标数据密钥，提升了密钥处理过程中的安全性。
92.步骤310：设备端获取设备信息和预先存储的第一私钥，并通过设备信息对第一私钥进行解密，得到第二私钥。
93.具体的，设备端收到第二数据密钥之后，需要通过事先约定好的私钥解密成真正的目标数据密钥。但是设备端并未直接存储与公钥配对的第二私钥，而是存储通过设备信息加密后的第一私钥。因此设备端要想获得目标数据密钥，首先读取存在设备端中的加密
后的第一私钥，然后获取设备信息作为密钥，对加密后的第一私钥进行解密，获得第二私钥。具体的，通过所述设备信息对所述第一私钥进行解密，得到第二私钥时，可以通过与所述第二对称加密算法对应的对称解密算法，使用所述设备信息对所述第一私钥解密，得到所述第二私钥。
94.设备端预先通过第二对称加密算法对第二私钥进行加密以得到第一私钥，并将第一私钥存储在设备端，设备端的设备信息作为加密第二私钥时的加密密钥，这使得只有将设备信息作为解密密钥才能对第一私钥进行解密以得到第二私钥，提高了设备端获取第二私钥的安全性。
95.步骤312：设备端通过第二私钥对第二数据密钥进行解密，得到目标数据密钥。
96.具体的，由于第二数据密钥是由与第二私钥对应的公钥加密得到，因此可以通过第二私钥对第二数据密钥进行解密，得到目标数据密钥。
97.设备端通过预先设置的非对称解密算法，使用第二私钥对第二数据密钥进行解密，得到目标数据密钥。
98.这样在对通过目标数据密钥加密的数据进行解密时，需要用户端传输第二数据密钥，并同时需要设备信息才能得到对第二数据密钥进行解密得到第二私钥，即整个解密过程需要同时利用用户信息和设备信息才能够得到目标数据密钥，提高了获取目标数据密钥的安全性，从而提高了数据安全。
99.下面通过具体示例对本技术进行说明。
100.示例一，假设用户端为用户终端，设备端为服务器。
101.用户终端通过终端设备识别信息和用户密码等用户信息对第一数据密钥进行加密得到目标数据密钥，通过预先设置的公钥对目标数据密钥加密后生成第二数据密钥，并将第二数据密钥传输至服务器，服务器端通过设备信息(例如服务器主板id等存储设备识别信息)对预先存储的第一私钥解密后获得第二私钥，并通过第二私钥对从用户终端获取的第二数据密钥进行解密以获得目标数据密钥，并将目标数据密钥传输至用户端。
102.示例二，假设用户端为用户终端，设备端为安全电脑。
103.用户终端通过终端设备识别信息和用户密码等用户信息对第一数据密钥进行加密得到目标数据密钥，通过预先设置的公钥对目标数据密钥加密后生成第二数据密钥，并将第二数据密钥传输至安全电脑，安全电脑端通过设备信息(例如安全电脑主板id等存储设备识别信息)对预先存储的第一私钥解密后获得第二私钥，并通过第二私钥对从用户终端获取的第二数据密钥进行解密以获得目标数据密钥，并通过该目标数据密钥解密数据。
104.示例三，假设用户端为安全电脑中的用户认证模块，设备端为安全电脑中的存储模块(可以是硬盘)。
105.本示例中，安全电脑包括用户认证模块、电脑主机模块和存储模块。用户认证模块接收用户输入的密码、指纹、身份编号等用户信息后，通过用户信息对第一数据密钥进行加密以得到目标数据密钥；通过预先设置的公钥对目标数据密钥加密后生成第二数据密钥，并将第二数据密钥传输至存储模块；存储模块通过电脑主机模块的识别信息对预先存储的第一私钥进行解密以生成第二私钥，并通过第二私钥对第二数据密钥进行解密以生成目标数据密钥，其中第二私钥与公钥为一个密钥对。
106.示例三与示例二的区别为：示例二中通过网络对第二数据密钥进行传输，示例三
中是在安全电脑本地模块之间对第二数据密钥进行传输。
107.示例四，假设用户端为移动硬盘中的用户认证模块，设备端为移动硬盘中的存储模块(可以是硬盘)。
108.本示例中，移动硬盘包括用户认证模块、接口模块和存储模块。用户认证模块接收用户输入的密码、指纹、身份编号等用户信息后，通过用户信息对第一数据密钥进行加密以得到目标数据密钥，通过预先设置的公钥对目标数据密钥加密后生成第二数据密钥，并将第二数据密钥传输至存储模块；存储模块通过接口模块的识别信息对预先存储的第一私钥进行解密以生成第二私钥，并通过第二私钥对第二数据密钥进行解密以生成目标数据密钥。
109.需要说明的是，本技术实施例提供的密钥的处理方法，执行主体可以为密钥的处理装置，或者该密钥的处理装置中的用于执行密钥的处理方法的控制模块。本技术实施例中以密钥的处理装置执行密钥的处理方法为例，说明本技术实施例提供的密钥的处理装置。
110.图4是根据本发明实施例的密钥的处理装置的结构示意图。如图4所示，密钥的处理装置400包括：获取模块410、第一加密模块420、第二加密模块430和传输模块440。
111.获取模块410，用于获取第一数据密钥和用户信息；第一加密模块420，用于通过所述用户信息对所述第一数据密钥进行加密，得到目标数据密钥；第二加密模块430，用于通过预先存储的公钥对所述目标数据密钥进行加密，得到第二数据密钥；传输模块410，用于将所述第二数据密钥传输至设备端。
112.在一种实现方式中，获取模块410，用于获取真随机数发生器生成的所述第一数据密钥。
113.在一种实现方式中，第一加密模块420，用于通过预先设置的第一对称加密算法，使用所述用户信息对所述第一数据密钥进行加密，得到所述目标数据密钥。
114.在一种实现方式中，第二加密模块430，用于通过预先设置的非对称加密算法，使用所述公钥对所述目标数据密钥进行加密，得到所述第二数据密钥。
115.本技术实施例中的密钥的处理装置可以是装置，也可以是终端中的部件、集成电路、或芯片。该装置可以是移动电子设备，也可以为非移动电子设备。示例性的，移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer，umpc)、上网本或者个人数字助理(personal digital assistant，pda)等，非移动电子设备可以为服务器、网络附属存储器(network attached storage，nas)、个人计算机(personal computer，pc)、电视机(television，tv)、柜员机或者自助机等，本技术实施例不作具体限定。
116.本技术实施例中的密钥的处理装置可以为具有操作系统的装置。该操作系统可以为安卓(android)操作系统，可以为ios操作系统，还可以为其他可能的操作系统，本技术实施例不作具体限定。
117.本技术实施例提供的密钥的处理装置能够实现图1的方法实施例中实现的各个过程，为避免重复，这里不再赘述。
118.需要说明的是，本技术实施例提供的密钥的处理方法，执行主体可以为密钥的处理装置，或者该密钥的处理装置中的用于执行密钥的处理方法的控制模块。本技术实施例
中以密钥的处理装置执行密钥的处理方法为例，说明本技术实施例提供的密钥的处理装置。
119.图5是根据本发明实施例的密钥的处理装置的结构示意图。如图5所示，密钥的处理装置500包括：接收模块510、获取模块520、第一解密模块530和第二解密模块540。
120.接收模块510，用于接收用户端发送的第二数据密钥，其中所述第二数据密钥为所述用户端通过预先存储的公钥对目标数据密钥加密得到，所述目标数据密钥为通过用户信息对第一数据密钥进行加密得到；获取模块520，用于获取所述设备端的设备信息和预先存储的第一私钥，其中所述第一私钥为通过所述设备信息对第二私钥加密后得到，且所述第二私钥与所述公钥为一个密钥对；第一解密模块530，用于通过所述设备信息对所述第一私钥进行解密，得到第二私钥；第二解密模块540，用于通过所述第二私钥对所述第二数据密钥进行解密，得到所述目标数据密钥。
121.在一种实现方式中，所述第一私钥为通过预先设置的第二对称加密算法，使用所述设备信息对所述第二私钥加密后得到，第一解密模块530，用于通过与所述第二对称加密算法对应的对称解密算法，使用所述设备信息对所述第一私钥解密，得到所述第二私钥。
122.在一种实现方式中，第二解密模块540，用于通过预先设置的非对称解密算法，使用所述第二私钥对所述第二数据密钥进行解密，得到所述目标数据密钥；其中，所述第二数据密钥为所述用户端通过预先设置的非对称加密算法，使用所述公钥对所述目标数据密钥加密得到。
123.本技术实施例中的密钥的处理装置可以是装置，也可以是终端中的部件、集成电路、或芯片。该装置可以是移动电子设备，也可以为非移动电子设备。示例性的，移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer，umpc)、上网本或者个人数字助理(personal digital assistant，pda)等，非移动电子设备可以为服务器、网络附属存储器(network attached storage，nas)、个人计算机(personal computer，pc)、电视机(television，tv)、柜员机或者自助机等，本技术实施例不作具体限定。
124.本技术实施例中的密钥的处理装置可以为具有操作系统的装置。该操作系统可以为安卓(android)操作系统，可以为ios操作系统，还可以为其他可能的操作系统，本技术实施例不作具体限定。
125.本技术实施例提供的密钥的处理装置能够实现图2的方法实施例中实现的各个过程，为避免重复，这里不再赘述。
126.可选的，如图6所示，本技术实施例还提供了一种电子设备600，包括处理器601，存储器602，存储器602上存储有可在所述处理器601上运行的程序或指令，该程序或指令被处理器601执行时实现：获取第一数据密钥和用户信息；通过所述用户信息对所述第一数据密钥进行加密，得到目标数据密钥；通过预先存储的公钥对所述目标数据密钥进行加密，得到第二数据密钥；将所述第二数据密钥传输至设备端。
127.在一种实现方式中，获取真随机数发生器生成的所述第一数据密钥。
128.在一种实现方式中，通过预先设置的第一对称加密算法，使用所述用户信息对所述第一数据密钥进行加密，得到所述目标数据密钥。
129.在一种实现方式中，通过预先设置的非对称加密算法，使用所述公钥对所述目标
数据密钥进行加密，得到所述第二数据密钥。
130.或者，该程序或指令被处理器601执行时实现：收用户端发送的第二数据密钥，其中所述第二数据密钥为所述用户端通过预先存储的公钥对目标数据密钥加密得到，所述目标数据密钥为通过用户信息对第一数据密钥进行加密得到；获取所述设备端的设备信息和预先存储的第一私钥，其中，所述第一私钥为通过所述设备信息对第二私钥加密后得到，且所述第二私钥与所述公钥为一个密钥对；通过所述设备信息对所述第一私钥进行解密，得到第二私钥；通过所述第二私钥对所述第二数据密钥进行解密，得到所述目标数据密钥。
131.在一种实现方式中，通过与所述第二对称加密算法对应的对称解密算法，使用所述设备信息对所述第一私钥解密，得到所述第二私钥。
132.在一种实现方式中，通过预先设置的非对称解密算法，使用所述第二私钥对所述第二数据密钥进行解密，得到所述目标数据密钥；其中，所述第二数据密钥为所述用户端通过预先设置的非对称加密算法，使用所述公钥对所述目标数据密钥加密得到。
133.具体执行步骤可以参见上述密钥的处理方法实施例的各个步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。
134.需要说明的是，本技术实施例中的电子设备包括：服务器、终端或除终端之外的其他设备。
135.以上电子设备结构并不构成对电子设备的限定，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，例如，输入单元，可以包括图形处理器(graphics processing unit，gpu)和麦克风，显示单元可以采用液晶显示器、有机发光二极管等形式来配置显示面板。用户输入单元包括触控面板以及其他输入设备中的至少一种。触控面板也称为触摸屏。其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。
136.存储器可用于存储软件程序以及各种数据。存储器可主要包括存储程序或指令的第一存储区和存储数据的第二存储区，其中，第一存储区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外，存储器可以包括易失性存储器或非易失性存储器，或者，存储器可以包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-onlymemory，rom)、可编程只读存储器(programmablerom，prom)、可擦除可编程只读存储器(erasableprom，eprom)、电可擦除可编程只读存储器(electricallyeprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(random access memory，ram)，静态随机存取存储器(static ram，sram)、动态随机存取存储器(dynamic ram，dram)、同步动态随机存取存储器(synchronous dram，sdram)、双倍数据速率同步动态随机存取存储器(double data rate sdram，ddrsdram)、增强型同步动态随机存取存储器(enhanced sdram，esdram)、同步连接动态随机存取存储器(synchlink dram，sldram)和直接内存总线随机存取存储器(direct rambus ram，drram)。
137.处理器可包括一个或多个处理单元；可选的，处理器集成应用处理器和调制解调处理器，其中，应用处理器主要处理涉及操作系统、用户界面和应用程序等的操作，调制解调处理器主要处理无线通信信号，如基带处理器。可以理解的是，上述调制解调处理器也可以不集成到处理器中。
138.本技术实施例还提供一种可读存储介质，所述可读存储介质上存储有程序或指
令，该程序或指令被处理器执行时实现上述密钥的处理方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
139.其中，所述处理器为上述实施例中所述的电子设备中的处理器。所述可读存储介质，包括计算机可读存储介质，如计算机只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等。
140.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本技术实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。
141.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例所述的方法。
142.上面结合附图对本技术的实施例进行了描述，但是本技术并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本技术的启示下，在不脱离本技术宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本技术的保护之内。