本發明公開了一種基于密鑰分存與硬件綁定的密鑰安全系統，用于解決現有的密鑰存儲安全存在使用不方便、容易泄漏以及安全性低的問題，包括移動客戶端和服務器端，移動客戶端用于發送請求內容至服務器端并接收反饋的實名核驗指令，當接收到實名核驗指令后進行實名驗證，驗證成功后，檢測移動客戶端的硬件信息，根據硬件信息生成哈希，再將硬件信息及對應哈希發送至服務器端；接收服務器端反饋的第一部分密鑰以及完整密鑰的哈希并存儲；本發明通過移動客戶端不持久化保存完整密鑰，即使本地保存的部分密鑰泄漏，在其它終端上也無法使用，同時服務器端也不保存完整密鑰，防止服務器被攻擊導致密鑰泄漏。

技術領域

本發明涉及密鑰安全存儲技術領域，具體為一種基于密鑰分存與硬件綁定的密鑰安全系統。

背景技術

分布式數字身份利用DPKI體系實現身份的安全存儲及簽名的驗證，密鑰的安全是整個體系安全的關鍵。傳統上主要有兩類密鑰存儲方案：一是通過專有的硬件錢包實現密鑰存儲以及數據的加密、簽名與驗簽；二是通過文件存儲用戶密鑰，通過軟件實現數據的加密、簽名與驗簽；但是兩者存儲方案都存在不足，硬件密鑰錢包能夠達到安全等級的要求，但成本較高、使用不方便，特別是在移動應用場景下，需要底層硬件廠商及操作系統的支持。通過文件存儲密鑰安全性低；通過文件存儲密鑰成本低、使用方便，但容易泄漏，安全性低；

因此，設計一款基于密鑰分存與硬件綁定的密鑰安全系統，以實現既能在一定程度上保障密鑰的安全，又能在通用的移動終端中易于實現。

發明內容

本發明的目的就在于為了解決現有的密鑰存儲安全存在使用不方便、容易泄漏以及安全性低的問題，而提出一種基于密鑰分存與硬件綁定的密鑰安全系統。

本發明的目的可以通過以下技術方案實現：一種基于密鑰分存與硬件綁定的密鑰安全系統，包括移動客戶端和服務器端，移動客戶端與服務器端采用SSL/TLS安全傳輸通道進行通信連接；

移動客戶端用于發送請求內容至服務器端并接收反饋的實名核驗指令，當接收到實名核驗指令后進行實名驗證，驗證成功后，檢測移動客戶端的硬件信息，根據硬件信息生成哈希，再將硬件信息及對應哈希發送至服務器端；接收服務器端反饋的第一部分密鑰以及完整密鑰的哈希并存儲；請求內容包括第一請求和第二請求；第一請求為新用戶注冊；第二請求為請求第二部分密鑰；

服務器端用于接收移動客戶端發送的請求內容并進行處理，具體處理過程為：

當接收到的請求內容為第一請求時，生成請求內容對應的實名核驗指令，接收移動客戶端的硬件信息和哈希時，生成移動客戶端的完整密鑰以及完整密鑰對應的哈希，對硬件信息進行處理以得到密鑰的分割值，根據分割值對完整密鑰進行分割以得到第一部分密鑰和第二部分密鑰，對第二部分密鑰進行存儲并將第一部分密鑰與接收到的哈希進行關聯綁定，同時得到兩者之間的關聯關系存證，將關聯關系存證發送至區塊鏈；將第一部分密鑰以及完整密鑰的哈希發送至移動客戶端；

當接收到的請求內容為第二請求時，生成請求內容對應的實名核驗指令并發送至移動客戶端，核驗通過后返回第二部分密鑰至移動客戶端，移動客戶端將第二部分密鑰本地保存的第一部分密鑰合并得到完整密鑰，并校驗完整密鑰的哈希，校驗通過后將完整密鑰緩存在內存中，當完整密鑰使用完成后，將內存中的完整密鑰刪除。