CPK密钥安全传输方法、存储方法及装置与流程

cpk密钥安全传输方法、存储方法及装置
技术领域
1.本发明涉及密码安全技术领域，具体地涉及一种cpk密钥安全传输方法、一种cpk密钥安全存储方法、一种cpk密钥安全传输装置、一种cpk密钥安全存储装置、一种cpk密钥发行系统、一种电子设备以及对应的存储介质。


背景技术：

2.安全芯片在存储密钥过程中通常是采用密钥文件的方式，密钥文件为存放密钥记录的文件，不可由外界读出。当满足文件的增加密钥权限时可以向文件中写入一条密钥记录；当满足密钥的使用权限时可在加密存储型安全模块内进行相应的密码运算；当满足某条密钥的更改权限时可以修改此密钥(口令密钥除外)。密钥文件可以采用定长记录或变长记录格式，属于内部安全文件。密钥信息包含密钥头和密钥数值，其中密钥头包含了密钥属性信息，如：密钥id，密钥权限，密钥使用算法等。对于cpk密钥体系中的公钥矩阵和私钥来说，以上存储方式不能很好的适用。这两种密钥的存储容量要求不一，而且后续的使用方法也不一样。目前缺少设计合理的密钥分发及存储方式。
3.cpk(combined public key cryptosystem)：组合公钥体制，是在椭圆曲线密码算法(ecc)的基础上实现的基于标识的非对称公众密钥体制，由组合矩阵和分割密钥序列构成。组合矩阵(combining-matrix)分为私钥矩阵和公钥矩阵。分割密钥序列(separating-key sequence)由一定数量的分割密钥(separating-key)构成，密钥对用(ssk，spk)标记。


技术实现要素：

4.本发明实施例的目的是提供一种cpk密钥安全传输方法、存储方法及装置，针对cpk密钥中的公钥矩阵数据量比较大，私钥数据保密性要求高的特点，采用专用传输指令等措施，以至少解决背景技术中的部分问题。
5.为了实现上述目的，在本发明中提供了一种cpk密钥安全传输方法，应用于cpk密钥发行端，该方法包括：
6.将所述cpk密钥中的公钥矩阵分为若干个公钥矩阵分量；根据公钥矩阵分量的分布情况得到第一特征数据；以公钥矩阵分量为传输指令的载荷，根据所述载荷的第二特征数据生成传输指令的报头，组成传输指令；将所述第一特征数据和所述传输指令传输至对端。
7.优选地，所述第一特征数据包括：公钥矩阵分量的大小、公钥矩阵分量的总数n、公钥矩阵和/或公钥矩阵分量的摘要值。
8.优选地，所述载荷中的公钥矩阵分量的数目为一个或多个。
9.优选地，根据所述载荷的第二特征数据生成传输指令的报头，包括：根据载荷中的公钥矩阵分量在公钥矩阵的序号生成报头中的数据分组编号；根据载荷中包含的公钥矩阵分量的数目生成报头中的公钥矩阵分量个数；根据载荷中数据量的大小生成报头中的长度指示。
10.优选地，所述方法还包括：根据接收到的身份标识生成所述cpk密钥中的私钥，将所述私钥加密传输至所述对端。
11.在本发明中提供了一种cpk密钥安全存储方法，应用于cpk密钥接收端，该方法包括：根据接收到的第一特征数据为待接收的cpk密钥中的公钥矩阵分配存储区域；响应于接收到传输指令，根据所述传输指令报头中的第二特征数据对所述传输指令载荷中的公钥矩阵分量进行验证；在验证通过的情况下，判断所述传输指令报头中的数据分组编号是否等于数据块的总块号；在两者相等的情况下，判断接收到的公钥矩阵分量的总数是否等于第一特征数据中的公钥矩阵分量个数；在两者相等的情况下，确定所述公钥矩阵接收完成。
12.优选地，所述方法还包括：在确定接收公钥矩阵完成之后，对所述存储区域计算摘要，判断计算的摘要是否等于第一特征数据中的数据摘要；在所述摘要等于第一特征数据中的数据摘要的情况下，确定所述公钥矩阵接收成功。
13.优选地，所述方法还包括：将cpk密钥接收端的身份标识发送至cpk密钥发行端；将接收到的由cpk密钥发行端根据接收到的身份标识生成的私钥作为所述cpk密钥中的私钥。
14.在本发明中还提供了一种cpk密钥安全传输装置，应用于cpk密钥发行端，该装置包括：矩阵分割模块，用于将所述cpk密钥中的公钥矩阵分为若干个公钥矩阵分量；特征提取模块，用于根据公钥矩阵分量的分布情况得到第一特征数据；指令生成模块，用于以公钥矩阵分量为传输指令的载荷，根据所述载荷的第二特征数据生成传输指令的报头，组成传输指令；以及数据发送模块，用于将所述第一特征数据和所述传输指令传输至对端。
15.优选地，所述第一特征数据包括：公钥矩阵分量的大小、公钥矩阵分量的总数、公钥矩阵和/或公钥矩阵分量的摘要值。
16.优选地，所述载荷中的公钥矩阵分量的数目为一个或多个。
17.优选地，根据所述载荷的第二特征数据生成传输指令的报头，包括：根据载荷中的公钥矩阵分量在公钥矩阵的序号生成报头中的数据分组编号；根据载荷中包含的公钥矩阵分量的数目生成报头中的公钥矩阵分量个数；根据载荷中数据量的大小生成报头中的长度指示。
18.优选地，所述装置还包括：私钥生成发送模块，用于根据接收到的身份标识生成所述cpk密钥中的私钥，将所述私钥加密传输至所述对端。
19.在本发明中还提供了一种cpk密钥安全存储装置，应用于cpk密钥接收端，该装置包括：存储分配模块，用于根据接收到的第一特征数据为待接收的cpk密钥中的公钥矩阵分配存储区域；分块验证模块，用于响应于接收到传输指令，根据所述传输指令报头中的第二特征数据对所述传输指令载荷中的公钥矩阵分量进行验证；块号确认模块，用于在验证通过的情况下，判断所述传输指令报头中的数据分组编号是否等于数据块的总块号；分量确认模块，用于在两者相等的情况下，判断接收到的公钥矩阵分量的总数是否等于第一特征数据中的公钥矩阵分量个数；完成确认模块，用于在两者相等的情况下，确定所述公钥矩阵接收完成。
20.优选地，所述装置还包括：摘要处理模块，用于在确定接收公钥矩阵完成之后，对所述存储区域计算摘要，判断计算的摘要是否等于第一特征数据中的数据摘要；在所述摘要等于第一特征数据中的数据摘要的情况下，确定所述公钥矩阵接收成功。
21.优选地，所述装置还包括：数据交互模块，用于将cpk密钥接收端的身份标识发送
至cpk密钥发行端；将接收到的由cpk密钥发行端根据接收到的身份标识生成的私钥作为所述cpk密钥中的私钥。
22.优选地，所述装置为安全芯片。
23.在本发明中还提供了一种cpk密钥发行系统，包括前述的cpk密钥安全传输装置和前述的cpk密钥安全存储装置。
24.在本发明中还提供了一种电子设备，包括：至少一个处理器；存储器，与所述至少一个处理器连接；其中，所述存储器存储有能被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现前述的cpk密钥安全传输方法的步骤，和/或实现前述的cpk密钥安全存储方法的步骤。
25.在本发明中还提供了一种机器可读存储介质，该机器可读存储介质上存储有指令，该指令在被处理器执行时使得处理器被配置成执行实现前述的cpk密钥安全传输方法的步骤，和/或实现前述的cpk密钥安全存储方法的步骤。
26.在本发明中还提供了一种计算机程序产品，包括计算机程序，该计算机程序在被处理器执行时实现前述的cpk密钥安全传输方法的步骤，和/或实现前述的cpk密钥安全存储方法的步骤。
27.上述技术方案具有以下有益效果：
28.(1)通过应用及指令的合理化设计，使得数据传输长度可以针对不同的芯片以及应用场景特点进行灵活调整，提升了安全芯片的兼容性。
29.(2)对于数据量大的公钥矩阵pkm，采用单帧数据以及整体数据2级验证的方式，提高传输的正确性，防止数据篡改或丢失。
30.(3)对于公钥矩阵和用户私钥分别采用不同的保护机制，保证数据完整性和机密性的前提下，提升数据传输效率。
31.(4)支持公钥矩阵分量重发，避免因为某一个分量丢失导致整个分发过程失败，提高密钥分发的效率。
32.本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
33.附图是用来提供对本发明实施例的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明实施例，但并不构成对本发明实施例的限制。在附图中：
34.图1示意性示出了根据本发明实施方式的cpk密钥安全传输方法的步骤示意图；
35.图2示意性示出了根据本发明实施方式中cpk密钥的私钥存储流程实施示意图；
36.图3示意性示出了根据本发明实施方式中cpk密钥安全存储方法的实施示意图；
37.图4示意性示出了根据本发明实施方式的cpk密钥安全传输装置的结构示意图；
38.图5示意性示出了根据本发明实施方式的cpk密钥传输系统的流程示意图。
具体实施方式
39.以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明实施例，并不用于限制本发明实施例。
40.图1示意性示出了根据本发明实施方式的cpk密钥安全传输方法的步骤示意图。如图1所示，一种cpk密钥安全传输方法，应用于cpk密钥发行端，该方法包括：
41.s01、将所述cpk密钥中的公钥矩阵分为若干个公钥矩阵分量；
42.s02、根据公钥矩阵分量的分布情况得到第一特征数据；
43.s03、以公钥矩阵分量为传输指令的载荷，根据所述载荷的第二特征数据生成传输指令的报头，组成传输指令；
44.s04、将所述第一特征数据和所述传输指令传输至对端。
45.通过本发明的以上实施方式，采用公钥矩阵传输专用指令对公钥矩阵进行传输，并可通过指令参数动态控制传输数据块大小。
46.在本发明提供的一些实施方式中，所述第一特征数据包括：公钥矩阵分量的大小、公钥矩阵分量的总数、公钥矩阵和/或公钥矩阵分量的摘要值。其中，公钥矩阵分量的大小用于表征公钥矩阵分量的数据量大小，公钥矩阵分量的总数用于接收端验证是否完成公钥矩阵分量的接收，公钥矩阵和/或公钥矩阵分量的摘要值用于接收端验证接收的公钥矩阵分量是否正确。
47.在本发明提供的一些实施方式中，所述载荷中的公钥矩阵分量的数目为一个或多个。由于公钥矩阵的大小不一样，芯片单条传输指令接收数据长度不一样，因此每条传输指令的载荷中的公钥矩阵分量可以根据实际情况进行设置，从而提高兼容性和传输速度。当一条传输指令中的公钥矩阵分量仅有一个时，需要与公钥矩阵分量的总数相等的传输指令的条数才能将公钥矩阵传输完成。当一条传输指令中的公钥矩阵分量为多个时，需要的传输指令条数小于公钥矩阵分量的总数。
48.在本发明提供的一些实施方式中，根据所述载荷的第二特征数据生成传输指令的报头，包括：根据载荷中的公钥矩阵分量在公钥矩阵的序号生成报头中的数据分组编号；根据载荷中包含的公钥矩阵分量的数目生成报头中的公钥矩阵分量个数；根据载荷中数据量的大小生成报头中的长度指示。具体参数如下表所示。
49.代码数值cla
‘
80’ins
‘
2a’p1序号，从01开始递增p2公钥矩阵分量个数lc变长data公钥矩阵分量
50.其中，p1表示公钥矩阵下发的数据分组编号，从01开始，连续分配且是递增的。p2表示该条传输指令中包含公钥矩阵分量的个数。由于公钥矩阵的大小不一样，芯片单条传输指令接收数据长度不一样，因此p2的大小可以根据实际情况进行设置，提高兼容性和传输速度。lc为数据的变长，即长度指示。data为载荷。
51.在本发明的一些实施方式中，密钥发行端的具体步骤包括：密钥发行端准备cpk公钥矩阵(pkm)数据。计算pkm下发初始化数据，如：矩阵分量大小、矩阵分量总数、矩阵的摘要值等。下发pkm数据，具体指令如下表；安全芯片处理接收到的数据，处理流程如后文所述。所有pkm数据处理完成，下发过程结束。
52.在本发明提供的一些实施方式中，所述方法还包括：根据接收到的身份标识生成所述cpk密钥中的私钥，将所述私钥加密传输至所述对端。图2示意性示出了根据本发明实施方式中cpk密钥的私钥存储流程实施示意图。如图2所示，安全芯片等密钥接收端内部专用存储区读取唯一身份标识id；将id数据发送到密钥发行端；密钥发行端根据标识id生成私钥；采用对称加密方式对私钥进行保护。此处的保护密钥可采用专用对称密钥，或者采用数字信封的方式生成会话密钥；安全芯片验证数据的机密性及完整性，验证通过进入下一步，否则返回错误；密钥接收端将私钥进行安全存储。
53.与前述的cpk密钥安全传输方法相对应的，本发明的实施方式中还提供了一种cpk密钥安全存储方法，应用于cpk密钥接收端，该方法包括：
54.根据接收到的第一特征数据为待接收的cpk密钥中的公钥矩阵分配存储区域；响应于接收到传输指令，根据所述传输指令报头中的第二特征数据对所述传输指令载荷中的公钥矩阵分量进行验证；在验证通过的情况下，判断所述传输指令报头中的数据分组编号是否等于数据块的总块号；在两者相等的情况下，判断接收到的公钥矩阵分量的总数是否等于第一特征数据中的公钥矩阵分量个数；在两者相等的情况下，确定所述公钥矩阵接收完成。
55.以及在一些可选实施方式中，在确定接收公钥矩阵完成之后，对所述存储区域计算摘要，判断计算的摘要是否等于第一特征数据中的数据摘要；在所述摘要等于第一特征数据中的数据摘要的情况下，确定所述公钥矩阵接收成功。
56.图3示意性示出了根据本发明实施方式中cpk密钥安全存储方法的实施示意图。如图3所示，安全芯片等cpk密钥接收端在处理时的流程包括空间开辟、数据处理、逻辑控制、容错性设计等，具体的步骤包括：
57.(1)接收初始化数据，即前述的第一特征数据，将矩阵分量总数、摘要值等信息放在一个专用存储区，用于后续对整个pkm的存储过程进行验证；
58.(2)根据pkm的存储所需分配芯片数据空间；
59.(3)接收pkm分量数据，对指令参数进行校验，如：验证p1参数的连续性和递增性；验证p2指明的分量个数是否与实际传输数据一致等；
60.(4)判断指令的完整性，可采用hash或者mac等方式。验证正确，则继续执行第3步，验证失败，返回错误给密钥发行端，密钥发行端可将对应的矩阵分量进行重发；
61.(5)判断数据块号是否为总块号，如果是则下一步，否则继续执行第(3)(4)步接收数据；
62.(6)验证pkm分量传输的总个数是否等于初始化时的总个数，对整个pkm存储区计算摘要，判断是否等于初始化时的摘要值。如果两者一致，则表示传输成功，否则传输失败。
63.在本发明的一些实施方式中，所述方法还包括：将cpk密钥接收端的身份标识发送至cpk密钥发行端；将接收到的由cpk密钥发行端根据接收到的身份标识生成的私钥作为所述cpk密钥中的私钥。在cpk密钥接收端，对私钥部分的处理流程同样如图2所示，此处不再重复。
64.通过以上实施方式，通过应用及指令的合理化设计，使得数据传输长度可以针对不同的芯片以及应用场景特点进行灵活调整，提升了安全芯片的兼容性。对于数据量大的公钥矩阵pkm，采用单帧数据以及整体数据两级验证的方式，提高传输的正确性，防止数据
篡改或丢失。对于公钥矩阵和用户私钥分别采用不同的保护机制，保证数据完整性和机密性的前提下，提升数据传输效率。通过分拆为单个传输指令的方式，支持公钥矩阵分量重发，避免因为某一个分量丢失导致整个分发过程失败，提高密钥分发的效率。
65.基于同一发明构思，本发明实施方式还提供了一种cpk密钥安全传输装置，应用于cpk密钥发行端。图4示意性示出了根据本发明实施方式的cpk密钥安全传输装置的结构示意图。如图4所示，该装置包括：矩阵分割模块，用于将所述cpk密钥中的公钥矩阵分为若干个公钥矩阵分量；特征提取模块，用于根据公钥矩阵分量的分布情况得到第一特征数据；指令生成模块，用于以公钥矩阵分量为传输指令的载荷，根据所述载荷的第二特征数据生成传输指令的报头，组成传输指令；以及数据发送模块，用于将所述第一特征数据和所述传输指令传输至对端。
66.在一些可选实施方式中，所述第一特征数据包括：公钥矩阵分量的大小、公钥矩阵分量的总数n、公钥矩阵和/或公钥矩阵分量的摘要值。
67.在一些可选实施方式中，所述载荷中的公钥矩阵分量的数目为一个或多个。
68.在一些可选实施方式中，根据所述载荷的第二特征数据生成传输指令的报头，包括：根据载荷中的公钥矩阵分量在公钥矩阵的序号生成报头中的数据分组编号；根据载荷中包含的公钥矩阵分量的数目生成报头中的公钥矩阵分量个数；根据载荷中数据量的大小生成报头中的长度指示。
69.在一些可选实施方式中，所述装置还包括：私钥生成发送模块，用于根据接收到的身份标识生成所述cpk密钥中的私钥，将所述私钥加密传输至所述对端。
70.对应地，在本发明中还提供了一种cpk密钥安全存储装置，应用于cpk密钥接收端，该装置包括：存储分配模块，用于根据接收到的第一特征数据为待接收的cpk密钥中的公钥矩阵分配存储区域；分块验证模块，用于响应于接收到传输指令，根据所述传输指令报头中的第二特征数据对所述传输指令载荷中的公钥矩阵分量进行验证；块号确认模块，用于在验证通过的情况下，判断所述传输指令报头中的数据分组编号是否等于数据块的总块号；分量确认模块，用于在两者相等的情况下，判断接收到的公钥矩阵分量的总数是否等于第一特征数据中的公钥矩阵分量个数；完成确认模块，用于在两者相等的情况下，确定所述公钥矩阵接收完成。
71.在一些可选实施方式中，所述装置还包括：摘要处理模块，用于在确定接收公钥矩阵完成之后，对所述存储区域计算摘要，判断计算的摘要是否等于第一特征数据中的数据摘要；在所述摘要等于第一特征数据中的数据摘要的情况下，确定所述公钥矩阵接收成功。
72.在一些可选实施方式中，所述装置还包括：数据交互模块，用于将cpk密钥接收端的身份标识发送至cpk密钥发行端；将接收到的由cpk密钥发行端根据接收到的身份标识生成的私钥作为所述cpk密钥中的私钥。
73.在一些可选实施方式中，所述装置为安全芯片。
74.上述的cpk密钥安全传输装置和cpk密钥安全存储装置中的各个功能模块的具体限定可以参见上文中对于cpk密钥安全传输方法和cpk密钥安全存储方法的限定，在此不再赘述。上述装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
75.在本发明中还提供了一种cpk密钥发行系统，包括前述的cpk密钥安全传输装置和前述的cpk密钥安全存储装置，两者之间通过有线通信或无线通信的通信链路连接。图5示意性示出了根据本发明实施方式的cpk密钥传输系统的流程示意图。如图5所示，密钥发行端首先将cpk公钥矩阵pkm下发初始化，将初始化数据下发至安全芯片等cpk密钥安全存储装置。然后通过多条传输指令将公钥矩阵pkm数据下发，安全芯片对接收到地pkm进行存储。当密钥发行端下发结束之后，由安全芯片验证pkm的完整性，随后发出存储完成响应。以此实现cpk公钥矩阵pkm的下发，并具有前述的有益效果。
76.在本发明的一些实施方式中，还提供了一种电子设备，包括：至少一个处理器；存储器，与所述至少一个处理器连接；其中，所述存储器存储有能被所述至少一个处理器执行的指令，所述至少一个处理器通过执行前述的cpk密钥安全传输方法的步骤和/或实现前述的cpk密钥安全存储方法的步骤。此处的控制模块或处理器具有数值计算和逻辑运算的功能，其至少具有数据处理能力的中央处理器cpu、随机存储器ram、只读存储器rom、多种i/o口和中断系统等。处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来实现前述的方法。存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
77.在本发明提供的一种实施方式中，提供了一种机器可读存储介质，该机器可读存储介质上存储有指令，该指令在被处理器执行时使得处理器被配置成执行上述的前述的cpk密钥安全传输方法的步骤和/或前述的cpk密钥安全存储方法。
78.在本发明提供的一种实施方式中，提供了一种计算机程序产品，包括计算机程序，该计算机程序在被处理器执行时实现上述的前述的cpk密钥安全传输方法的步骤和/或前述的cpk密钥安全存储方法。
79.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
80.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
81.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
82.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或
其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
83.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
84.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
85.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
86.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
87.以上仅为本发明的实施例而已，并不用于限制本发明。对于本领域技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的权利要求范围之内。

技术特征：
1.一种cpk密钥安全传输方法，应用于cpk密钥发行端，其特征在于，该方法包括：将所述cpk密钥中的公钥矩阵分为若干个公钥矩阵分量；根据公钥矩阵分量的分布情况得到第一特征数据；以公钥矩阵分量为传输指令的载荷，根据所述载荷的第二特征数据生成传输指令的报头，组成传输指令；将所述第一特征数据和所述传输指令传输至对端。2.根据权利要求1所述的方法，其特征在于，所述第一特征数据包括：公钥矩阵分量的大小、公钥矩阵分量的总数、公钥矩阵和/或公钥矩阵分量的摘要值。3.根据权利要求1所述的方法，其特征在于，所述载荷中的公钥矩阵分量的数目为一个或多个。4.根据权利要求1所述的方法，其特征在于，根据所述载荷的第二特征数据生成传输指令的报头，包括：根据载荷中的公钥矩阵分量在公钥矩阵的序号生成报头中的数据分组编号；根据载荷中包含的公钥矩阵分量的数目生成报头中的公钥矩阵分量个数；根据载荷中数据量的大小生成报头中的长度指示。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据接收到的身份标识生成所述cpk密钥中的私钥，将所述私钥加密传输至所述对端。6.一种cpk密钥安全存储方法，应用于cpk密钥接收端，其特征在于，该方法包括：根据接收到的第一特征数据为待接收的cpk密钥中的公钥矩阵分配存储区域；响应于接收到传输指令，根据所述传输指令报头中的第二特征数据对所述传输指令载荷中的公钥矩阵分量进行验证；在验证通过的情况下，判断所述传输指令报头中的数据分组编号是否等于数据块的总块号；在两者相等的情况下，判断接收到的公钥矩阵分量的总数是否等于第一特征数据中的公钥矩阵分量个数；在两者相等的情况下，确定所述公钥矩阵接收完成。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：在确定接收公钥矩阵完成之后，对所述存储区域计算摘要，判断计算的摘要是否等于第一特征数据中的数据摘要；在所述摘要等于第一特征数据中的数据摘要的情况下，确定所述公钥矩阵接收成功。8.根据权利要求6所述的方法，其特征在于，所述方法还包括：将cpk密钥接收端的身份标识发送至cpk密钥发行端；将接收到的由cpk密钥发行端根据接收到的身份标识生成的私钥作为所述cpk密钥中的私钥。9.一种cpk密钥安全传输装置，应用于cpk密钥发行端，其特征在于，该装置包括：矩阵分割模块，用于将所述cpk密钥中的公钥矩阵分为若干个公钥矩阵分量；特征提取模块，用于根据公钥矩阵分量的分布情况得到第一特征数据；指令生成模块，用于以公钥矩阵分量为传输指令的载荷，根据所述载荷的第二特征数据生成传输指令的报头，组成传输指令；以及
数据发送模块，用于将所述第一特征数据和所述传输指令传输至对端。10.根据权利要求9所述的装置，其特征在于，所述第一特征数据包括：公钥矩阵分量的大小、公钥矩阵分量的总数、公钥矩阵和/或公钥矩阵分量的摘要值。11.根据权利要求9所述的装置，其特征在于，所述载荷中的公钥矩阵分量的数目为一个或多个。12.根据权利要求9所述的装置，其特征在于，根据所述载荷的第二特征数据生成传输指令的报头，包括：根据载荷中的公钥矩阵分量在公钥矩阵的序号生成报头中的数据分组编号；根据载荷中包含的公钥矩阵分量的数目生成报头中的公钥矩阵分量个数；根据载荷中数据量的大小生成报头中的长度指示。13.根据权利要求9所述的装置，其特征在于，所述装置还包括：私钥生成发送模块，用于根据接收到的身份标识生成所述cpk密钥中的私钥，将所述私钥加密传输至所述对端。14.一种cpk密钥安全存储装置，应用于cpk密钥接收端，其特征在于，该装置包括：存储分配模块，用于根据接收到的第一特征数据为待接收的cpk密钥中的公钥矩阵分配存储区域；分块验证模块，用于响应于接收到传输指令，根据所述传输指令报头中的第二特征数据对所述传输指令载荷中的公钥矩阵分量进行验证；块号确认模块，用于在验证通过的情况下，判断所述传输指令报头中的数据分组编号是否等于数据块的总块号；分量确认模块，用于在传输指令报头中的数据分组编号等于数据块的总块号的情况下，判断接收到的公钥矩阵分量的总数是否等于第一特征数据中的公钥矩阵分量个数；完成确认模块，用于在接收到的公钥矩阵分量的总数等于第一特征数据中的公钥矩阵分量个数的情况下，确定所述公钥矩阵接收完成。15.根据权利要求14所述的装置，其特征在于，所述装置还包括：摘要处理模块，用于在确定接收公钥矩阵完成之后，对所述存储区域计算摘要，判断计算的摘要是否等于第一特征数据中的数据摘要；在所述摘要等于第一特征数据中的数据摘要的情况下，确定所述公钥矩阵接收成功。16.根据权利要求14所述的装置，其特征在于，所述装置还包括：数据交互模块，用于将cpk密钥接收端的身份标识发送至cpk密钥发行端；将接收到的由cpk密钥发行端根据接收到的身份标识生成的私钥作为所述cpk密钥中的私钥。17.根据权利要求14所述的装置，其特征在于，所述装置为安全芯片。18.一种cpk密钥发行系统，其特征在于，包括权利要求9至13中任一项权利要求所述的cpk密钥安全传输装置和权利要求14至17中任一项权利要求所述的cpk密钥安全存储装置。19.一种电子设备，其特征在于，包括：至少一个处理器；存储器，与所述至少一个处理器连接；其中，所述存储器存储有能被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现权利要求1至5中任一项权利要求所述的cpk密钥安全传输方法的步骤，和/或实现权利要求6至8中任一项权利要求所述的cpk密钥安全存储方法
的步骤。20.一种机器可读存储介质，其特征在于，该机器可读存储介质上存储有指令，该指令在被处理器执行时使得处理器被配置成实现权利要求1至5中任一项权利要求所述的cpk密钥安全传输方法和/或实现权利要求6至8中任一项权利要求所述的cpk密钥安全存储方法。

技术总结
本发明涉及密码安全技术领域，实施例提供一种CPK密钥安全传输方法、存储方法及装置。其中，一种CPK密钥安全传输方法，应用于CPK密钥发行端，该方法包括：将所述CPK密钥中的公钥矩阵分为若干个公钥矩阵分量；根据公钥矩阵分量的分布情况得到第一特征数据；以公钥矩阵分量为传输指令的载荷，根据所述载荷的第二特征数据生成传输指令的报头，组成传输指令；将所述第一特征数据和所述传输指令传输至对端。本发明提供的实施方式提升了CPK密钥分发和存储中的传输效率和安全性。的传输效率和安全性。的传输效率和安全性。


技术研发人员：张彦杰 李延 张磊 袁艳芳 杨峰 王辉 高志洲 张亮 蔡翔 方圆 李明 盛剑桥
受保护的技术使用者：国网安徽省电力有限公司信息通信分公司 国网安徽省电力有限公司 国家电网有限公司
技术研发日：2023.06.08
技术公布日：2023/9/9