密钥管理方法、装置、设备及存储介质与流程

本公开涉及信息安全，尤其涉及一种密钥管理方法、装置、设备及存储介质。

背景技术：

1、门限签名（threshold signature scheme ，tss）是一种加密数字签名协议。在一组签名者中间，一部分签名者可以代替整个组对消息进行签名，这能极大的提升数字签名系统的安全性和隐私性。门限签名可以应用于加密钱包（即门限签名钱包）等领域。

2、相关技术中，门限签名钱包需利用冷备密钥分片（即，密钥冷分片）来恢复钱包的密钥。然而，冷备密钥分片通常需要经过加密后保存在第三方存储上，导致用户需要提供加密的密钥来对该冷备密钥分片进行加密，容易发生用户忘记密钥等情况，会为用户带来不便，并且由于将上述冷备密钥分片存在第三方存储上，因而会单点风险。

技术实现思路

1、为克服相关技术中存在的问题，本公开实施例提供一种密钥管理方法、装置、设备及存储介质，用以解决相关技术中的缺陷。

2、根据本公开实施例的第一方面，提供一种密钥管理方法，所述方法包括：

3、响应于密钥读取请求，从多个数据保管方分别获取密钥冷分片的明文分片，得到第一预设数量的明文分片，所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片，所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片，所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量；

4、基于所述第一预设数量的明文分片恢复出密钥冷分片，所述密钥冷分片用于冷备恢复所述密钥，以实现对所述密钥的读取。

5、在一些实施例中，所述基于所述第一预设数量的明文分片恢复出密钥冷分片，包括：

6、采用预设分片算法对所述第一预设数量的明文分片进行恢复，得到所述密钥冷分片。

7、在一些实施例中，所述采用预设分片算法对所述第一预设数量的明文分片进行恢复，得到所述密钥冷分片，包括：

8、基于所述第一预设数量的明文分片构建第一多项式；

9、基于所述第一多项式确定所述密钥冷分片。

10、在一些实施例中，所述基于所述第一预设数量的明文分片构建第一多项式，包括：

11、基于所述第一预设数量的明文分片构建出次的所述第一多项式，其中，为第个数据保管方，为第个数据保管方所保管明文分片的秘密值，为所述第一预设数量，为第个数据保管方所保管明文分片的拉格朗日插值系数，为所组成的集合；

12、所述基于所述第一多项式确定所述密钥冷分片，包括：令所述多项式中的,得到所述密钥冷分片。

13、在一些实施例中，所述方法还包括基于以下方式向所述数据保管方分发所述密钥冷分片的明文分片：

14、响应于获取到用于冷备恢复密钥的密钥冷分片，将所述密钥冷分片划分成第二预设数量的明文分片；

15、将所述第二预设数量的明文分片分发给所述第二预设数量的数据保管方，所述明文分片与所述数据保管方之间一一对应，所述第二预设数量大于或等于所述第一预设数量。

16、在一些实施例中，所述方法还包括基于以下方式获取所述密钥冷分片：

17、响应于生成所述密钥，将所述密钥划分成第三预设数量的密钥分片，所述第三预设数量的密钥分片中包括所述密钥冷分片、第一密钥热分片和第二密钥热分片，所述第一密钥热分片用于供服务器保存，所述第二密钥热分片用于客户端保存。

18、在一些实施例中，所述将所述密钥冷分片划分成第二预设数量的明文分片，包括：

19、采用预设分片算法对所述密钥冷分片进行分片，得到所述第二预设数量的明文分片。

20、在一些实施例中，所述采用预设分片算法对所述密钥冷分片进行分片，得到所述第二预设数量的明文分片，包括：

21、确定预设的分片参数和，其中，为第二预设数量，用于表征对所述密钥冷分片进行分片的总数量；为所述第一预设数量，用于表征恢复所述密钥冷分片时所需明文分片的最少数量；

22、构建以下第二多项式：；

23、其中，为所述密钥的秘密值，为个随机数，为自变量，为因变量；

24、将个自变量分别带入所述第二多项式，得到个因变量；

25、将所述个自变量和相应的因变量分别进行组合，得到个明文分片。

26、根据本公开实施例的第二方面，提供一种密钥管理装置，所述装置包括：

27、分片获取模块，用于响应于密钥读取请求，从多个数据保管方分别获取密钥冷分片的明文分片，得到第一预设数量的明文分片，所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片，所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片，所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量；

28、分片恢复模块，用于基于所述第一预设数量的明文分片恢复出密钥冷分片，所述密钥冷分片用于冷备恢复所述密钥，以实现对所述密钥的读取。

29、在一些实施例中，所述分片恢复模块还用于采用预设分片算法对所述第一预设数量的明文分片进行恢复，得到所述密钥冷分片。

30、在一些实施例中，所述分片恢复模块，包括：

31、多项式构建单元，用于基于所述第一预设数量的明文分片构建第一多项式；

32、分片恢复单元，用于基于所述第一多项式确定所述密钥冷分片。

33、在一些实施例中，所述多项式构建单元还用于基于所述第一预设数量的明文分片构建出次的所述第一多项式，其中，为第个数据保管方，为第个数据保管方所保管明文分片的秘密值，为所述第一预设数量，为第个数据保管方所保管明文分片的拉格朗日插值系数，为所组成的集合；

34、所述分片恢复单元还用于令所述多项式中的,得到所述密钥冷分片。

35、在一些实施例中，所述装置还包括分片分发模块；

36、所述分片分发模块，包括：

37、分片划分单元，用于响应于获取到用于冷备恢复密钥的密钥冷分片，将所述密钥冷分片划分成第二预设数量的明文分片；

38、分片分发单元，用于将所述第二预设数量的明文分片分发给所述第二预设数量的数据保管方，所述明文分片与所述数据保管方之间一一对应，所述第二预设数量大于或等于所述第一预设数量。

39、在一些实施例中，所述分片分发模块还包括：

40、密钥划分单元，用于响应于生成所述密钥，将所述密钥划分成第三预设数量的密钥分片，所述第三预设数量的密钥分片中包括所述密钥冷分片、第一密钥热分片和第二密钥热分片，所述第一密钥热分片用于供服务器保存，所述第二密钥热分片用于客户端保存。

41、在一些实施例中，所述分片划分单元还用于采用预设分片算法对所述密钥冷分片进行分片，得到所述第二预设数量的明文分片。

42、在一些实施例中，所述分片划分单元还用于：

43、确定预设的分片参数和，其中，为第二预设数量，用于表征对所述密钥冷分片进行分片的总数量；为所述第一预设数量，用于表征恢复所述密钥冷分片时所需明文分片的最少数量；

44、构建以下第二多项式：；

45、其中，为所述密钥的秘密值，为个随机数，为自变量，为因变量；

46、将个自变量分别带入所述第二多项式，得到个因变量；

47、将所述个自变量和相应的因变量分别进行组合，得到个明文分片。

48、根据本公开实施例的第三方面，提供一种电子设备，所述设备包括：

49、处理器以及用于存储计算机程序的存储器；

50、其中，所述处理器被配置为在执行所述计算机程序时，实现：

51、响应于密钥读取请求，从多个数据保管方分别获取密钥冷分片的明文分片，得到第一预设数量的明文分片，所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片，所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片，所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量；

52、基于所述第一预设数量的明文分片恢复出密钥冷分片，所述密钥冷分片用于冷备恢复所述密钥，以实现对所述密钥的读取。

53、根据本公开实施例的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现：

54、响应于密钥读取请求，从多个数据保管方分别获取密钥冷分片的明文分片，得到第一预设数量的明文分片，所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片，所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片，所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量；

55、基于所述第一预设数量的明文分片恢复出密钥冷分片，所述密钥冷分片用于冷备恢复所述密钥，以实现对所述密钥的读取。

56、本公开的实施例提供的技术方案可以包括以下有益效果：

57、本公开通过响应于密钥读取请求，从多个数据保管方分别获取密钥冷分片的明文分片，得到第一预设数量的明文分片，所述密钥冷分片包括预先对所述密钥进行分片所得到的一级分片，所述明文分片包括预先对所述密钥冷分片进行分片所得到的二级分片，所述第一预设数量为恢复所述密钥冷分片时所需明文分片的最少数量，并基于所述第一预设数量的明文分片恢复出密钥冷分片，所述密钥冷分片用于冷备恢复所述密钥，以实现对所述密钥的读取，由于将密钥冷分片进行了分片处理，并分发至多个数据保管方进行保管，因而可以避免相关技术中将密钥冷分片完整存储于第三方存储所导致的单点风险，且避免了对冷备密钥分片进行加密，进而可以避免发生用户忘记密钥的问题，可以提升用户的体验。

58、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。