[go: up one dir, main page]

TWI735691B - 資料金鑰的保護方法、裝置和系統 - Google Patents

資料金鑰的保護方法、裝置和系統 Download PDF

Info

Publication number
TWI735691B
TWI735691B TW106137120A TW106137120A TWI735691B TW I735691 B TWI735691 B TW I735691B TW 106137120 A TW106137120 A TW 106137120A TW 106137120 A TW106137120 A TW 106137120A TW I735691 B TWI735691 B TW I735691B
Authority
TW
Taiwan
Prior art keywords
key
user
information
voiceprint feature
acquisition request
Prior art date
Application number
TW106137120A
Other languages
English (en)
Other versions
TW201837776A (zh
Inventor
付穎芳
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201837776A publication Critical patent/TW201837776A/zh
Application granted granted Critical
Publication of TWI735691B publication Critical patent/TWI735691B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Computing Systems (AREA)

Abstract

本發明公開了一種資料金鑰的保護方法、裝置和系統。其中,該方法包括:使用者身份管理子系統伺服器接收使用者終端發送的第一金鑰獲取請求,其中,第一金鑰獲取請求包括使用者的身份驗證資訊;使用者身份管理子系統伺服器依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊;使用者身份管理子系統伺服器接收使用者終端依據待驗證語音資訊上傳的使用者語音;使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求;使用者身份管理子系統伺服器將第二金鑰獲取請求發送至可信晶片。本發明解決了由於現有技術中存在的金鑰容易洩密的技術問題。

Description

資料金鑰的保護方法、裝置和系統
本發明涉及可信計算技術領域,具體而言,涉及一種資料金鑰的保護方法、裝置和系統。
可信計算能夠在計算運算的同時進行安全防護,使計算結果總是與預期一致,計算全程可測可控,不被干擾。   目前可信計算有國內可信平臺控制模組(Trusted Platform Control Module,簡稱TPCM)和國際可信計算(Trusted Computing Group,簡稱TCG)標準組織的可信平臺模組(Trusted Platform Module,簡稱TPM)兩種技術路線。   可信計算的核心要素是可信鏈與可信根,TCG規範中的可信平臺模組(Trusted Platform Module,簡稱TPM)是可信計算平臺的硬體可信根,TPM是提供受保護的安全儲存、密碼運算能力的安全晶片。TPM透過物理方式與計算平臺相連並透過外部匯流排連接到CPU上,例如PC機平臺上採取直接固化在主機板上的方式並透過線性預測編碼(Linear Predictive Coding,簡稱LPC)匯流排連接。   TCG規範中給出了對可信(trusted)的定義:一個實體一直以一種可預期的方式為特定的目標運行。可信計算的核心機制是透過信任鏈機制構建可信計算環境,目前運行實體是否可信是建立系統前一運行過程是否可信的基礎上。基於這種信任關係,如果系統從一個初始的信任根出發,在平臺計算環境的每一次轉換時,這種信任可以透過傳遞的方式維持下去,從而在計算平臺上建立了一級驗證一級,一級信任一級的可信鏈,該計算環境就始終是可信的,它就能夠被本地使用者或遠端實體信任,如圖1所示,圖1是TCG信任鏈的結構示意圖。   可信計算的關鍵技術包括可信度量,可信報告,可信儲存和可信網路連接等幾部分。   可信平臺控制模組TPCM實現了可信平臺模組的基本功能,其功能組成和與TPM基本相同,但由於TPM的核心度量根(Core Root of Trust for Measurement,簡稱CRTM)處於基本輸入輸出系統(Basic Input Output System,簡稱BIOS)中,不受TPM的保護,因此,TPCM提出新的可信度量根設計,解決了可信度量根的起始度量點問題,改變了啟動和度量順序,在此基礎上,建立了以該晶片為信任根的信任鏈度量流程,實現了由該晶片控制整個系統的啟動,I/O介面控制以及系統組態等,體現了該晶片對系統可信性的控制作用。   在計算平臺的運行控制傳遞過程中,可信根TPCM判斷其下一級執行代碼的真實性和完整性是否被篡改,如果沒有,系統將運行控制權傳遞到下一級可信執行代碼,系統的可信範圍因擴大到下一級功能代碼;同理,這種系統控制權不斷傳遞,就可以實現信任鏈的建立和傳遞過程,最終實現系統範圍可信構建。一個完整的系統可信傳遞過程要從可信根開始,系統控制權順序由可信平臺控制模組傳遞到可信的BIOS,再傳遞到可信的作業系統裝載器,從可信的作業系統裝載器傳遞到可信的作業系統,再從可信的作業系統傳遞到可信的應用。   其中,在現有的金融加密機保護資料金鑰方法中:   銀行業使用標準為:ansi x9.17,為三層金鑰體系,對不同金鑰(特別是工作金鑰)的功能做了嚴格的使用限制,專鑰專用限定。金鑰分層體系圖,圖2是金鑰體系結構圖,如圖2所示;   第一層是加密機主金鑰(Master Key,簡稱MK或LMK),第二層是銀行主金鑰(Bank Master Key,簡稱BMK或ZMK),第三層是工作金鑰包括資訊完整性金鑰(MAK)、PIN保護金鑰(PI K) 、終端金鑰(TMK )。   第一層,MK為加密機主金鑰,由三個成分組成,採用雙倍標準的3DES 金鑰 (長達 128),存放在硬體加密機內。它的作用保護儲存在加密機外的各種金鑰和關鍵資料的加密金鑰。   第二層,BMK通常稱為金鑰加密金鑰(Kev—encrypting Key)或金鑰交換金鑰 (KeyExchange Key)。它的作用是採用對稱(DES演算法)或非對稱(RSA演算法)加密在通訊線路上需要傳遞的工作金鑰,從而實現工作金鑰的自動分配。在本地或共用網路中,不同的兩個通訊網點使用不同的金鑰加密金鑰,從而實現金鑰的分工管理,它在本地存放時,處於本地MK的加密之下或直接保存在硬體加密機中。   第三層,通常稱為工作金鑰或資料金鑰。包括PIK、MAK、TM K(包括TPK、TAK)等金鑰。它的作用是加密各種不同的資料,從而實現資料的保密、資訊的認證,以及數位簽章等功能,這些資料金鑰在本地存放時,處於BMK的加密之下或直接保存在硬體加密機中。   如圖3所示,圖3是加密機典型部署結構示意圖,典型部署包括加密機、使用者終端、系統應用主機,可以將一台應用主機專門用來安裝授權系統,當使用者使用資料金鑰時,從使用者端上傳證書及口令,以傳輸金鑰加密的方式,傳到授權系統,授權系統鑒別為合法使用者後,才允許從加密機以明文的方式調用資料金鑰至應用主機進行資料加解密服務。   但是該方案缺陷在於加密機將資料金鑰傳輸到加密機相連的伺服器,其資料金鑰是明文傳輸,這存在一定風險;憑證證書及口令的鑒權方式,其證書需產生及管理維護成本;需要有額外新增一個專門保存口令的設備,如果沒有該設備,記在腦子中,存在失憶資料金鑰無法使用的風險。   除上述方案外,可信計算中金鑰的保護還包括:可信晶片保護資料金鑰方法,其中,可信晶片保護資料金鑰方法透過將使用者資料金鑰存在可信晶片裡,當需要使用該金鑰的時候,憑藉使用者口令獲取使用資料金鑰許可權。   但是該方案的缺陷在於需要額外新增一個專門保存口令的設備,如果沒有該設備,記在腦子中,存在失憶,以致資料金鑰無法使用的風險。   針對上述由於現有技術中存在的金鑰容易洩密的問題,目前尚未提出有效的解決方案。
本發明實施例提供了一種資料金鑰的保護方法、裝置和系統,以至少解決由於現有技術中存在的金鑰容易洩密的技術問題。   根據本發明實施例的一個方面,提供了一種資料金鑰的保護方法,包括:使用者身份管理子系統伺服器接收使用者終端發送的第一金鑰獲取請求,其中,第一金鑰獲取請求包括使用者的身份驗證資訊;使用者身份管理子系統伺服器依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊;使用者身份管理子系統伺服器接收使用者終端依據待驗證語音資訊上傳的使用者語音;使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求;使用者身份管理子系統伺服器將第二金鑰獲取請求發送至可信晶片。   可選的,在身份驗證資訊包括身份資訊標識和金鑰控制碼的情況下,使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求包括:使用者身份管理子系統伺服器提取使用者語音中的聲紋特徵;使用者身份管理子系統伺服器透過可信晶片的公開金鑰加密聲紋特徵、身份資訊標識和金鑰控制碼,產生第二金鑰獲取請求。   可選的,在身份驗證資訊包括可信證書、身份資訊標識和金鑰控制碼的情況下,使用者身份管理子系統伺服器依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊包括:使用者身份管理子系統伺服器依據使用者身份管理子系統私密金鑰解密第一金鑰獲取請求,其中,第一金鑰獲取請求透過使用者身份管理子系統公開金鑰加密;使用者身份管理子系統私密金鑰與使用者身份管理子系統公開金鑰對應;使用者身份管理子系統伺服器解析解密後的第一金鑰獲取請求,獲取第一金鑰獲取請求中的可信證書;使用者身份管理子系統伺服器判斷可信證書是否滿足預設驗證條件;在判斷結果為是的情況下,使用者身份管理子系統伺服器向使用者終端返回待驗證聲音資訊,其中,待驗證聲音資訊包括:使用者身份管理子系統證書和待驗證語音。   進一步地,可選的,使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求包括:使用者身份管理子系統伺服器依據使用者身份管理子系統私密金鑰解密使用者語音,得到亂數、待加密或解密資料和待驗證聲音;使用者身份管理子系統伺服器提取待驗證聲音的聲紋特徵;使用者身份管理子系統伺服器透過可信晶片的公開金鑰加密聲紋特徵、亂數、待加密或解密資料、身份資訊標識和金鑰控制碼,產生第二金鑰獲取請求。   根據本發明實施例的一個方面,提供了另一種資料金鑰的保護方法,包括:可信晶片接收金鑰獲取請求,其中,金鑰獲取請求包括:聲紋特徵;其中,可信晶片為透過內置獨立處理器和記憶體執行加密或解密計算的資料處理晶片;可信晶片解析金鑰獲取請求,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對;若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片向使用者終端返回金鑰回應資訊。   可選的,在金鑰獲取請求包括聲紋特徵、身份資訊標識和金鑰控制碼的情況下,可信晶片解析金鑰獲取請求,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對包括:可信晶片透過可信晶片的私密金鑰解密金鑰獲取請求,提取聲紋特徵,其中,金鑰獲取請求透過可信晶片的公開金鑰加密;可信晶片的公開金鑰與可信晶片的私密金鑰對應;可信晶片將聲紋特徵與預存聲紋特徵進行比對,判斷聲紋特徵是否與預存聲紋特徵相同。   進一步地,可選的,若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片向使用者終端返回金鑰回應資訊包括:若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片依據聲紋特徵提取對應的資料金鑰;可信晶片透過使用者終端的公開金鑰加密資料金鑰,產生金鑰回應資訊;可信晶片將金鑰回應資訊返回使用者終端。   可選的,在金鑰獲取請求包括聲紋特徵、亂數、待加密或解密資料、身份資訊標識和金鑰控制碼的情況下,可信晶片解析金鑰獲取請求,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對包括:可信晶片透過可信晶片的私密金鑰解密金鑰獲取請求,得到聲紋特徵,其中,金鑰獲取請求透過可信晶片的公開金鑰加密;可信晶片的公開金鑰與可信晶片的私密金鑰對應;可信晶片將聲紋特徵與預存聲紋特徵進行比對,判斷聲紋特徵是否與預存聲紋特徵相同。   進一步地,可選的,若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片向使用者終端返回金鑰回應資訊包括:若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片依據聲紋特徵提取對應的資料金鑰;可信晶片依據資料金鑰對待加密或解密資料進行加密或解密,得到加密資訊或解密資訊;可信晶片將亂數與加密資訊或解密資訊進行預設計算,得到運算結果;可信晶片透過使用者終端的公開金鑰加密運算結果,產生金鑰回應資訊;可信晶片將金鑰回應資訊返回使用者終端。   根據本發明實施例的一個方面,提供了又一種資料金鑰的保護方法,包括:使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊;使用者終端向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;使用者終端接收可信晶片返回的金鑰回應資訊,其中,金鑰回應資訊對應向使用者身份管理子系統伺服器上傳的使用者語音。   可選的,在身份驗證資訊包括身份資訊標識和金鑰控制碼的情況下,使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求包括:使用者終端依據身份資訊標識和金鑰控制碼產生金鑰獲取請求;使用者終端將金鑰獲取請求發送至使用者身份管理子系統伺服器。   進一步地,可選的,在使用者終端接收可信晶片返回的金鑰回應資訊之後,該方法還包括:使用者終端依據使用者終端的私密金鑰解密金鑰回應資訊,獲取金鑰回應資訊攜帶的資料金鑰,其中,金鑰回應資訊透過使用者終端的公開金鑰加密,使用者終端的公開金鑰與使用者終端的私密金鑰對應;使用者終端依據資料金鑰對待加密或待解密資料進行加密或解密,得到加密資料資訊或解密資訊。   可選的,在身份驗證資訊包括可信證書、身份資訊標識和金鑰控制碼的情況下,使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求包括:使用者終端透過使用者身份管理子系統公開金鑰對可信證書、身份資訊標識和金鑰控制碼進行加密,產生金鑰獲取請求;使用者終端將金鑰獲取請求發送至使用者身份管理子系統伺服器。   進一步地,可選的,在使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊之後,該方法還包括:使用者終端解析待驗證語音資訊,得到使用者身份管理子系統證書和待驗證語音;使用者終端判斷使用者身份管理子系統證書是否滿足預設驗證條件;在判斷結果為是的情況下,使用者終端接收使用者朗讀的待驗證語音的聲音信號;使用者終端將亂數、聲音信號和待加密或解密資料透過使用者身份管理子系統公開金鑰進行加密,得到使用者語音;使用者終端向使用者身份管理子系統伺服器上傳使用者語音。   可選的,在使用者終端接收可信晶片返回的金鑰回應資訊之後,該方法還包括:使用者終端透過使用者終端的私密金鑰解密金鑰回應資訊,得到金鑰回應資訊中的運算結果;使用者終端依據亂數結合預設演算法校驗運算結果,判斷運輸結果是否滿足預設校驗標準;在判斷結果為是的情況下,使用者終端使用運算結果。   根據本發明實施例的一個方面,提供了再一種資料金鑰的保護方法,包括:使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊;使用者終端向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;使用者終端接收使用者身份管理子系統伺服器從使用者語音提取的聲紋特徵;使用者終端中的可信晶片將聲紋特徵與預存聲紋特徵進行比對;若聲紋特徵與預存聲紋特徵匹配,則使用者終端中的可信晶片提取與聲紋特徵對應的資料金鑰;使用者終端依據資料金鑰執行對應操作。   可選的,在使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求之前,方法還包括:使用者終端中的可信晶片導入預先獲取的身份資訊標識和聲紋特徵;使用者終端中的可信晶片依據可信儲存根金鑰對聲紋特徵進行加密,並儲存加密後的聲紋特徵;使用者終端中的可信晶片依據預設加密演算法和身份資訊標識,產生資料金鑰,並將資料金鑰的金鑰控制碼返回使用者終端;使用者終端中的可信晶片將資料金鑰、身份資訊標識和聲紋特徵進行映射,得到資料金鑰、身份資訊標識和聲紋特徵的映射關係,並儲存映射關係和資料金鑰。   根據本發明另一實施例的一個方面,提供了一種資料金鑰的保護方法,包括:獲取使用者登錄資訊,並觸發金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;依據金鑰獲取請求獲取對應待驗證語音資訊;接收使用者依據待驗證語音資訊錄入的使用者語音;依據使用者語音提取使用者的聲紋特徵;透過可信晶片將聲紋特徵與預存聲紋特徵進行比對;若聲紋特徵與預存聲紋特徵匹配,則透過可信晶片提取與聲紋特徵對應的資料金鑰;依據資料金鑰執行對應操作。   根據本發明實施例的另一方面,還提供了一種資料金鑰的保護裝置,包括:第一接收模組,用於接收使用者終端發送的第一金鑰獲取請求,其中,第一金鑰獲取請求包括使用者的身份驗證資訊;第一發送模組,用於依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊;第二接收模組,用於接收使用者終端依據待驗證語音資訊上傳的使用者語音;請求產生模組,用於提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求;第二發送模組,用於將第二金鑰獲取請求發送至可信晶片。   根據本發明實施例的另一方面,還提供了另一種資料金鑰的保護裝置,包括:第三接收模組,用於接收金鑰獲取請求,其中,金鑰獲取請求包括:聲紋特徵;解析模組,用於解析金鑰獲取請求,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對;第三發送模組,用於若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則向使用者終端返回金鑰回應資訊。   根據本發明實施例的另一方面,還提供了又一種資料金鑰的保護裝置,包括:第四發送模組,用於向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;第四接收模組,用於接收使用者身份管理子系統伺服器返回的待驗證語音資訊;第五發送模組,用於向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;第五接收模組,用於接收可信晶片返回的金鑰回應資訊,其中,金鑰回應資訊對應向使用者身份管理子系統伺服器上傳的使用者語音。   根據本發明實施例的另一方面,還提供了再一種資料金鑰的保護裝置,包括:第六發送模組,用於向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;第六接收模組,用於接收使用者身份管理子系統伺服器返回的待驗證語音資訊;第七發送模組,用於向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;第七接收模組,用於接收使用者身份管理子系統伺服器從使用者語音提取的聲紋特徵;特徵比對模組,用於將聲紋特徵與預存聲紋特徵進行比對;金鑰提取模組,用於若聲紋特徵與預存聲紋特徵匹配,則使用者終端中的可信晶片提取與聲紋特徵對應的資料金鑰;資料保護模組,用於依據資料金鑰執行對應操作。   根據本發明另一實施例的一方面,還提供了一種資料金鑰的保護裝置,包括:資訊獲取模組,用於獲取使用者登錄資訊,並觸發金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;待驗證資訊獲取模組,用於依據金鑰獲取請求獲取對應待驗證語音資訊;接收模組,用於接收使用者依據待驗證語音資訊錄入的使用者語音;提取模組,用於依據使用者語音提取使用者的聲紋特徵;特徵比對模組,用於透過可信晶片將聲紋特徵與預存聲紋特徵進行比對;金鑰提取模組,用於若聲紋特徵與預存聲紋特徵匹配,則透過可信晶片提取與聲紋特徵對應的資料金鑰;資料保護模組,用於依據資料金鑰執行對應操作。   根據本發明實施例的又一方面,還提供了一種資料金鑰的保護系統,包括:使用者聲紋身份管理子系統和可信晶片管理子系統,其中,使用者聲紋身份管理子系統,用於獲取每個使用者身份資訊和聲紋特徵;可信晶片管理子系統,用於依據每個使用者身份資訊和聲紋特徵產生對應的金鑰。   可選的,使用者聲紋身份管理子系統包括:使用者身份註冊模組、聲紋身份註冊模組、聲紋特徵模型建立模組和聲紋特徵提取模組,其中,使用者身份註冊模組,用於接收使用者終端提交的使用者身份資訊,並依據使用者身份資訊產生身份資訊標識,將身份資訊標識返回使用者終端;聲紋身份註冊模組,用於接收使用者終端提交的聲紋註冊請求,向使用者終端返回聲紋回應資訊,並接收使用者終端依據聲紋回應資訊上傳的使用者語音;其中,聲紋回應資訊包括待驗證的文本資訊,文本資訊用於指示使用者終端收錄使用者語音;聲紋特徵提取模組,用於提取使用者語音的聲紋特徵;聲紋特徵模型建立模組,用於依據聲紋特徵建立聲紋特徵模型。   進一步地,可選的,可信晶片管理子系統包括:使用者資訊導入模組、聲紋特徵儲存模組、使用者資料金鑰創建模組、使用者資料金鑰儲存模組、聲紋特徵比對模組和資料金鑰使用模組,其中,使用者資訊導入模組,用於在使用者資訊包括身份資訊標識和聲紋特徵的情況下,將身份資訊標識和聲紋特徵導入可信晶片;聲紋特徵儲存模組,用於依據可信儲存根金鑰對聲紋特徵進行加密,並儲存加密後的聲紋特徵;使用者資料金鑰創建模組,用於依據預設加密演算法和身份資訊標識,產生資料金鑰,並將資料金鑰的金鑰控制碼返回使用者終端;使用者資料金鑰儲存模組,用於將資料金鑰、身份資訊標識和聲紋特徵進行映射,得到資料金鑰、身份資訊標識和聲紋特徵的映射關係,儲存映射關係和資料金鑰;聲紋特徵比對模組,用於在使用者終端請求獲取資料金鑰時,提取使用者終端上傳的使用者語音,透過提取使用者語音的聲紋特徵,與使用者資料金鑰儲存模組中映射關係中的聲紋特徵進行比對;資料金鑰使用模組,用於在比對通過後,向使用者終端回饋資料金鑰,以使得使用者終端依據資料金鑰執行加密/解密操作。   根據本發明實施例的再一方面,還提供了一種儲存媒體,儲存媒體包括儲存的程式,其中,在程式運行時控制儲存媒體所在設備執行上述資料金鑰的保護方法。   根據本發明實施例的再一方面,還提供了一種處理器,處理器用於運行程式,其中,程式運行時執行上述資料金鑰的保護方法。   根據本發明實施例的再一方面,還提供了一種計算設備,包括處理器、記憶體,記憶體上儲存有程式,處理器用於運行程式,其中,程式運行時適於使處理器執行上述資料金鑰的保護方法。   在本發明實施例中,透過使用者身份管理子系統伺服器接收使用者終端發送的第一金鑰獲取請求,其中,第一金鑰獲取請求包括使用者的身份驗證資訊;使用者身份管理子系統伺服器依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊;使用者身份管理子系統伺服器接收使用者終端依據待驗證語音資訊上傳的使用者語音;使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求;使用者身份管理子系統伺服器將第二金鑰獲取請求發送至可信晶片,達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。
為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的圖式,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本發明保護的範圍。   需要說明的是,本發明的說明書和申請專利範圍及上述圖式中的術語“第一”、“第二”等是用於區別類似的物件,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本發明的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。實施例 1 本發明提供了如圖4所示的資料金鑰的保護方法。在使用者身份管理子系統伺服器側,圖4是根據本發明實施例一的資料金鑰的保護方法的流程圖。 根據本發明實施例的一個方面,提供了一種資料金鑰的保護方法,包括:   步驟S402,使用者身份管理子系統伺服器接收使用者終端發送的第一金鑰獲取請求,其中,第一金鑰獲取請求包括使用者的身份驗證資訊;   本發明上述步驟S402中,本實施例提供的資料金鑰的保護方法可以適用於可信計算,其中,使用者身份管理子系統伺服器可以用於與使用者所使用的移動終端進行互動,透過使用者使用的移動終端,接收使用者的各類請求以及向使用者回饋依據各類請求回饋的回應。   具體的,本實施例提供的資料金鑰的保護方法具體可適用於網際網路技術應用,特別是使用者線上執行身份驗證、資訊加密和解密時所需的可信計算,以網上銀行為例,當使用者線上交易時,使用者身份管理子系統接收使用者終端發送的第一金鑰獲取請求,該第一金鑰獲取請求可以用於引導使用者進入自己帳戶,獲取線上支付所需金鑰,避免了現有技術中人為記憶金鑰或加密機儲存金鑰帶來的不可靠問題,該不可靠問題可以體現在:人為記憶金鑰會導致金鑰遺忘;加密機傳輸金鑰報文導致的金鑰洩露。   在驗證初期,使用者身份管理子系統伺服器接收使用者終端發送的第一金鑰獲取請求,該請求會包括使用者的身份驗證資訊,其中,使用者終端可以包括:智慧手機、筆記型電腦、平板電腦、臺式電腦、掌上商務以及智慧穿戴設備。   步驟S404,使用者身份管理子系統伺服器依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊;   本發明上述步驟S404中,基於步驟S402中使用者身份管理子系統伺服器接收的第一金鑰獲取請求,使用者身份管理子系統伺服器解析該第一金鑰獲取請求,驗證該第一金鑰獲取請求中的使用者的身份驗證資訊,若驗證成功,則向使用者終端回饋待驗證語音資訊,該待驗證語音資訊可以包括:一連串由數字;或數位及字元隨機組成的沒變形處理的字元。   步驟S406,使用者身份管理子系統伺服器接收使用者終端依據待驗證語音資訊上傳的使用者語音;   本發明上述步驟S406中,基於步驟S404中使用者身份管理子系統伺服器向使用者終端返回的待驗證語音資訊,使用者身份管理子系統伺服器接收使用者終端上傳的使用者語音,其中,該使用者語音為使用者終端的收音裝置獲取的使用者朗讀待驗證語音資訊時產生的聲音資訊,該聲音資訊以音訊的形式上傳至使用者身份管理子系統伺服器,其中,該上傳過程可以為透過使用者終端將類比信號轉換為數位信號,透過對數位信號進行編碼以報文的形式發送至使用者身份管理子系統伺服器,進而在使用者身份管理子系統伺服器側進行解碼,獲取該數位信號,該數位信號可對應使用者在朗讀過程中的聲紋。   步驟S408,使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求;   本發明上述步驟S408中,基於步驟S406中使用者身份管理子系統伺服器接收的使用者語音,對該使用者語音進行聲紋特徵提取,並依據該聲紋特徵和步驟S402中接收第一金鑰獲取請求時獲取到的使用者的身份驗證資訊產生第二金鑰獲取請求。   步驟S410,使用者身份管理子系統伺服器將第二金鑰獲取請求發送至可信晶片。   本發明上述步驟S410中,基於步驟S408中使用者身份管理子系統伺服器產生的第二金鑰獲取請求,使用者身份管理子系統伺服器將該第二金鑰獲取請求發送至可信晶片。   在本發明實施例提供的資料金鑰的保護方法中,透過使用者身份管理子系統伺服器接收使用者終端發送的第一金鑰獲取請求,其中,第一金鑰獲取請求包括使用者的身份驗證資訊;使用者身份管理子系統伺服器依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊;使用者身份管理子系統伺服器接收使用者終端依據待驗證語音資訊上傳的使用者語音;使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求;使用者身份管理子系統伺服器將第二金鑰獲取請求發送至可信晶片,達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。   具體的,基於上述步驟S402至步驟S410,本實施例提供的資料金鑰的保護方法有兩種實現方式,具體實現方式如下:   方式一:身份驗證資訊包括:身份資訊標識和金鑰控制碼。   可選的,在身份驗證資訊包括身份資訊標識和金鑰控制碼的情況下,步驟S408中使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求包括:   Step1,使用者身份管理子系統伺服器提取使用者語音中的聲紋特徵;   本發明上述Step1中,在身份驗證資訊包括身份資訊標識和金鑰控制碼的情況下,基於步驟S402至步驟S406,使用者身份管理子系統伺服器接收使用者終端發送的攜帶身份資訊標識和金鑰控制碼的第一金鑰獲取請求,並向使用者終端回饋待驗證語音資訊,使用者身份管理子系統伺服器透過接收使用者終端上傳的依據待驗證語音資訊返回的使用者語音,使用者身份管理子系統伺服器提取該使用者語音中的聲紋特徵。   Step2,使用者身份管理子系統伺服器透過可信晶片的公開金鑰加密聲紋特徵、身份資訊標識和金鑰控制碼,產生第二金鑰獲取請求。   本發明上述Step2中,基於Step1提取的聲紋特徵,使用者身份管理子系統伺服器根據預先獲取的可信晶片的公開金鑰,對聲紋特徵、身份資訊標識和金鑰控制碼進行加密,從而產生第二金鑰獲取請求。   方式二:身份驗證資訊包括: 可信證書、身份資訊標識和金鑰控制碼。   可選的,在身份驗證資訊包括可信證書、身份資訊標識和金鑰控制碼的情況下,步驟S404中使用者身份管理子系統伺服器依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊包括:   Step1,使用者身份管理子系統伺服器依據使用者身份管理子系統私密金鑰解密第一金鑰獲取請求,其中,第一金鑰獲取請求透過使用者身份管理子系統公開金鑰加密;使用者身份管理子系統私密金鑰與使用者身份管理子系統公開金鑰對應;   本發明上述Step1中,區別於方式一實現本實施例提供的資料金鑰的保護方法的方式,在方式二中,在步驟S402使用者身份管理子系統伺服器接收第一金鑰獲取請求之後,該第一金鑰獲取請求為透過使用者身份管理子系統公開金鑰加密,且攜帶可信證書的請求,在傳輸上區別於方式一,由於透過使用者身份管理子系統公開金鑰加密以及攜帶了可信證書,從而使得在傳輸上保障了即使報文洩露,也不會洩密,且透過驗證可信證書更安全。   Step2,使用者身份管理子系統伺服器解析解密後的第一金鑰獲取請求,獲取第一金鑰獲取請求中的可信證書;   本發明上述Step2中,基於使用者身份管理子系統伺服器解密第一金鑰獲取請求,使用者身份管理子系統伺服器獲取該第一金鑰獲取請求中的可信證書。   Step3,使用者身份管理子系統伺服器判斷可信證書是否滿足預設驗證條件;   本發明上述Step3中,基於Step2獲取的可信證書,使用者身份管理子系統伺服器判斷該可信證書是否滿足預設驗證條件,即,判斷該可信證書的真偽,如果不是使用者身份管理子系統伺服器儲存的可信證書,則判斷該可信證書為非法,停止該使用者的金鑰獲取流程。若是,則執行Step4。   Step4,在判斷結果為是的情況下,使用者身份管理子系統伺服器向使用者終端返回待驗證聲音資訊,其中,待驗證聲音資訊包括:使用者身份管理子系統證書和待驗證語音。   本發明上述Step4中,在判斷結果為是的情況下,即,可信證書滿足預設驗證條件,使用者身份管理子系統伺服器向使用者終端返回待驗證聲音資訊,其中,該待驗證聲音資訊區別於方式一,除了待驗證語音,在方式二中還需添加使用者身份管理子系統證書。   進一步地,可選的,步驟S408中使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求包括:   Step1,使用者身份管理子系統伺服器依據使用者身份管理子系統私密金鑰解密使用者語音,得到亂數、待加密或解密資料和待驗證聲音;   本發明上述Step1中,在使用者身份管理子系統伺服器向使用者終端返回待驗證聲音資訊之後,在使用者身份管理子系統伺服器接收使用者終端上傳的使用者語音,該使用者語音不同於方式一的地方在於,除了使用者的聲音外,還攜帶了使用者終端上傳的亂數,以及待加密或解密資料。   Step2,使用者身份管理子系統伺服器提取待驗證聲音的聲紋特徵;   本發明上述Step2中,基於Step 1對使用者語音的解密,使用者身份管理子系統伺服器提取待驗證聲音的聲紋特徵。   Step3,使用者身份管理子系統伺服器透過可信晶片的公開金鑰加密聲紋特徵、亂數、待加密或解密資料、身份資訊標識和金鑰控制碼,產生第二金鑰獲取請求。   本發明上述Step3中,使用者身份管理子系統伺服器依據預先獲取的可信晶片的公開金鑰加密聲紋特徵、亂數、待加密或解密資料、身份資訊標識和金鑰控制碼,產生第二金鑰獲取請求。   綜上,本發明實施例提供的資料金鑰的保護方法中,使用者透過使用者終端,經由使用者身份管理子系統伺服器向可信晶片獲取金鑰的過程中,在使用者身份管理子系統伺服器側,即為上述實施例一,需要說明的是,在實現上述流程的過程中使用者身份管理子系統伺服器包括以下功能:   使用者身份註冊:使用者終端向使用者身份管理子系統伺服器中的使用者聲紋身份管理系統提交使用者身份相關資訊,使用者聲紋身份管理系統向使用者聲紋身份管理系統回饋使用者身份標識UID。   聲紋身份註冊:使用者終端向聲紋驗證伺服器提出以聲紋特徵登錄方式提出身份註冊請求,聲紋驗證伺服器回應請求,推送一連串由數位及字元隨機組成的沒變形處理的字元;   聲紋特徵模型建立:在提取使用者聲紋特徵基礎上,建立使用者聲紋特徵模型;   聲紋特徵提取:使用者終端口述聲紋驗證伺服器推送的字元,聲紋驗證伺服器採樣使用者語音,提取其聲紋特徵。實施例 2 本發明提供了如圖5所示的資料金鑰的保護方法。在可信晶片側,圖5是根據本發明實施例二的資料金鑰的保護方法的流程圖。 步驟S502,可信晶片接收金鑰獲取請求,其中,金鑰獲取請求包括:聲紋特徵;其中,可信晶片為透過內置獨立處理器和記憶體執行加密或解密計算的資料處理晶片;   本發明上述S502中,區別於實施例1,本實施例提供的資料金鑰的保護方法可以適用於可信晶片,其中,可信晶片可以位於使用者身份管理子系統伺服器中,還可以獨立於使用者身份管理子系統伺服器,成立一套獨立的可信晶片中聲紋特徵及資料金鑰管理子系統。   具體的,在使用者透過使用者終端,經由使用者身份管理子系統伺服器向可信晶片獲取金鑰的過程中,可信晶片接收使用者身份管理子系統伺服器發送的金鑰獲取請求,以使得可信晶片透過驗證金鑰獲取請求中的資訊,決定是否對使用者分配對應的金鑰,其中,在本實施例中,可信晶片透過聲紋特徵對使用者的金鑰請求進行驗證,具體步驟見步驟S504和S506。   步驟S504,可信晶片解析金鑰獲取請求,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對;   本發明上述S504中,基於步驟S502中可信晶片接收到的金鑰獲取請求,可信晶片解析金鑰獲取請求獲取該金鑰獲取請求中的聲紋特徵,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對。   具體的,每個在使用者身份管理子系統伺服器註冊成功的使用者,都會在可信晶片中儲存身份資訊標識和對應該身份資訊標識的聲紋特徵,以及對應的金鑰,因此若要獲取金鑰,則需要對使用者身份進行驗證,透過將使用者發送的身份資訊標識和對應該身份資訊標識的聲紋特徵與預先儲存的身份資訊標識和對應該身份資訊標識的聲紋特徵進行比對,可信晶片可以判斷是否將該金鑰回饋至該使用者。   步驟S506,若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片向使用者終端返回金鑰回應資訊。   本發明上述S506中,若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片向使用者終端返回金鑰回應資訊。   在本發明實施例提供的資料金鑰的保護方法中,透過可信晶片接收使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括:聲紋特徵;可信晶片解析金鑰獲取請求,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對;若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片向使用者終端返回金鑰回應資訊,達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。   具體的,基於上述步驟S502至步驟S506,本實施例提供的資料金鑰的保護方法有兩種實現方式,具體實現方式如下:   方式一:金鑰獲取請求包括聲紋特徵、身份資訊標識和金鑰控制碼。   可選的,在金鑰獲取請求包括聲紋特徵、身份資訊標識和金鑰控制碼的情況下,步驟S504中可信晶片解析金鑰獲取請求,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對包括:   Step1,可信晶片透過可信晶片的私密金鑰解密金鑰獲取請求,提取聲紋特徵,其中,金鑰獲取請求透過可信晶片的公開金鑰加密;可信晶片的公開金鑰與可信晶片的私密金鑰對應;   本發明上述Step1中,對應實施例1中使用者身份管理子系統伺服器的方式一中的步驟S408中的Step1和Step2。由於使用者身份管理子系統伺服器透過可信晶片的公開金鑰加密金鑰獲取請求,對應於可信晶片的公開金鑰,可信晶片透過可信晶片的私密金鑰解密金鑰獲取請求,提取該金鑰獲取請求中的聲紋特徵。   Step2,可信晶片將聲紋特徵與預存聲紋特徵進行比對,判斷聲紋特徵是否與預存聲紋特徵相同。   本發明上述Step2中,基於Step 1對金鑰獲取請求的解密,獲取金鑰獲取請求中的身份資訊標識,依據身份資訊標識查詢是否與可信晶片中預先儲存的身份資訊標識相同,如果相同,依據預先儲存的身份資訊標識獲取對應的聲紋特徵,將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對,判斷聲紋特徵是否與預存聲紋特徵相同,在判斷結果為是的情況下執行步驟S506;在判斷結果為否的情況下,使用者獲取金鑰的流程終止。   進一步地,可選的,步驟S506中若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片向使用者終端返回金鑰回應資訊包括:   Step1,若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片依據聲紋特徵提取對應的資料金鑰;   本發明上述Step1中,基於步驟S504的判斷,若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片依據聲紋特徵提取對應的資料金鑰。   Step2,可信晶片透過使用者終端的公開金鑰加密資料金鑰,產生金鑰回應資訊;   本發明上述Step2中,基於上述Step1可信晶片獲取到的資料金鑰,可信晶片透過使用者終端的公開金鑰加密資料金鑰,產生金鑰回應資訊,其中,該金鑰回應資訊可以包括:使用者透過使用者終端請求可信晶片分配的金鑰。   Step3,可信晶片將金鑰回應資訊返回使用者終端。   方式二:金鑰獲取請求包括聲紋特徵、亂數、待加密或解密資料、身份資訊標識和金鑰控制碼。   可選的,在金鑰獲取請求包括聲紋特徵、亂數、待加密或解密資料、身份資訊標識和金鑰控制碼的情況下,步驟S504中可信晶片解析金鑰獲取請求,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對包括:   Step1,可信晶片透過可信晶片的私密金鑰解密金鑰獲取請求,得到聲紋特徵,其中,金鑰獲取請求透過可信晶片的公開金鑰加密;可信晶片的公開金鑰與可信晶片的私密金鑰對應;   本發明上述Step1中,對應實施例1中使用者身份管理子系統伺服器的方式二中的步驟S408中的Step1至Step3。由於使用者身份管理子系統伺服器透過可信晶片的公開金鑰加密金鑰獲取請求,對應可信晶片的公開金鑰,可信晶片透過可信晶片的私密金鑰解密金鑰獲取請求,提取該金鑰獲取請求中的聲紋特徵。   Step2,可信晶片將聲紋特徵與預存聲紋特徵進行比對,判斷聲紋特徵是否與預存聲紋特徵相同。   本發明上述Step2中,基於Step 1對金鑰獲取請求的解密,獲取金鑰獲取請求中的身份資訊標識,依據身份資訊標識查詢是否與可信晶片中預先儲存的身份資訊標識相同,如果相同,依據預先儲存的身份資訊標識獲取對應的聲紋特徵,將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對,判斷聲紋特徵是否與預存聲紋特徵相同,在判斷結果為是的情況下執行步驟S506;在判斷結果為否的情況下,使用者獲取金鑰的流程終止。   進一步地,可選的,步驟S506若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片向使用者終端返回金鑰回應資訊包括:   Step1,若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片依據聲紋特徵提取對應的資料金鑰;   本發明上述Step1中,基於步驟S504的判斷,若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片依據聲紋特徵提取對應的資料金鑰。   Step2,可信晶片依據資料金鑰對待加密或解密資料進行加密或解密,得到加密資訊或解密資訊;   本發明上述Step2中,基於Step1提取的資料金鑰,可信晶片依據資料金鑰對待加密或解密資料進行加密或解密,得到加密資訊或解密資訊。   Step3,可信晶片將亂數與加密資訊或解密資訊進行預設計算,得到運算結果;   本發明上述Step3中,基於步驟Step2中可信晶片得到的加密資訊或解密資訊,在金鑰獲取請求包括亂數的情況下,可信晶片依據亂數對加密資訊或解密資訊進行預設計算,得到運算結果;其中,在本實施例中,較佳的以可信晶片依據亂數對加密資訊或解密資訊透過雜湊演算法進行計算,得到運算結果。   Step4,可信晶片透過使用者終端的公開金鑰加密運算結果,產生金鑰回應資訊;   本發明上述Step4中,基於上述Step3得到的運算結果,為保障金鑰在傳輸過程中的安全,以加密的形式對資料金鑰處理後的運算結果進行加密,其中,加密形式為:可信晶片透過使用者終端的公開金鑰加密運算結果,產生金鑰回應資訊。   Step5,可信晶片將金鑰回應資訊返回使用者終端。   區別於方式一,在方式二中,使用者終端直接將待加密或解密資料發送至可信晶片,由可信晶片在對使用者身份驗證無誤後,依據使用者的資料金鑰對待加密或解密資料進行對應的加密或解密操作,進而得到加密或解密後的資料,並將加密或解密後的資料返回使用者終端,省略了使用者終端運算的過程,減輕了使用者終端的運算壓力,並且最重要的是,資料金鑰不出可信晶片,避免了在報文傳輸過程中金鑰的洩露,保障了資料金鑰的安全。   綜上,本發明實施例提供的資料金鑰的保護方法中,使用者透過使用者終端,經由使用者身份管理子系統伺服器向可信晶片獲取金鑰的過程中,在可信晶片側,即為上述實施例二,需要說明的是,在實現上述流程的過程中可信晶片包括以下功能:   使用者身份及聲紋特徵導入:將使用者聲紋管理子系統伺服器中使用者UID、該使用者的聲紋特徵導入到可信晶片的非易失空間中,導入過程中,保證每個使用者的聲紋特徵與其UID是一一映射關係;   聲紋特徵儲存:導入到可信晶片的聲紋特徵用可信儲存根金鑰加密保存,以保證聲紋特徵資料的安全;   使用者資料金鑰創建:可信晶片按TCG可信標準,可以為每個唯一標識的使用者創建用來加密資料的資料金鑰,並將金鑰的控制碼keyID回饋給使用者終端,儲存過程中,保證每個使用者UID、使用者的聲紋特徵、使用者的資料金鑰是一一映射關係;   使用者資料金鑰的儲存:使用者的資料金鑰,可以用可信晶片的儲存根金鑰加密保護;   聲紋特徵比對:即時提取的使用者聲紋特徵,與先前初始化儲存的使用者聲紋特徵做比對;   資料金鑰使用:當使用者聲紋特徵比對通過後,使用者就有許可權使用該資料金鑰對資料進行加解密操作。   本實施例提供的資料金鑰的保護方法中的可信晶片用於執行可信計算,其中,可信計算包括5個關鍵技術概念,該可信晶片將遵從TCG(Trusted Computing Group)規範:   技術一:可信計算Endorsement key 簽注金鑰   簽注金鑰是一個2048位的RSA公共和私有金鑰對,它在晶片出廠時隨機產生並且不能改變。這個私有金鑰永遠在晶片裡,而公共金鑰用來認證及加密發送到該晶片的敏感性資料。   即,本實施例中使用者終端與可信晶片用於加密或解密過程中的可信晶片的公開金鑰和可信晶片的私密金鑰。   技術二:可信計算Secure input and output 安全輸入輸出   安全輸入輸出是指電腦使用者和使用者與之互動的軟體間受保護的路徑。當前,電腦系統上惡意軟體有許多方式來攔截使用者和軟體進程間傳送的資料。例如鍵盤監聽和截屏。   由於可信晶片的獨立儲存和運算能力,在本發明中若可信晶片內嵌入於使用者使用的終端中,將可以保護資料的私密性和安全性。   技術三:可信計算Memory curtaining 儲存器遮罩   儲存器遮罩拓展了一般的儲存保護技術,提供了完全獨立的儲存區域。例如,包含金鑰的位置。即使作業系統自身也沒有被遮罩儲存的完全存取權限,所以入侵者即便控制了作業系統資訊也是安全的。   即,基於上述技術二中提到的可信晶片的獨立儲存,不僅儲存獨立,並且儲存的資料中可透過加密的方式保存,在儲存資料的同時更增加了一套安全保障。   技術四:可信計算Sealed storage 密封儲存   密封儲存透過把私有資訊和使用的軟硬體平臺配置資訊捆綁在一起來保護私有資訊。意味著該資料只能在相同的軟硬體組合環境下讀取。例如,某個使用者在他們的電腦上保存一首歌曲,而他們的電腦沒有播放這首歌的許可證,他們就不能播放這首歌。   即,基於技術三中提到的,本實施例中提到的可信證書正是可以用於可信晶片驗證,在可信證書合法的情況下,可信晶片才會基於聲紋特徵做匹配,並執行後續提取資料金鑰的過程。   技術五:可信計算Remote attestation 遠端認證   遠端認證准許使用者電腦上的改變被授權方感知。例如,軟體公司可以避免使用者干擾他們的軟體以規避技術保護措施。它透過讓硬體產生當前軟體的證明書。隨後電腦將這個證明書傳送給遠端被授權方來顯示該軟體公司的軟體尚未被干擾(嘗試破解)。   即,可以與技術四中提到的可信證書相同,用於對終端設備或使用使用者進行驗證。實施例 3 根據本發明實施例,還提供了一種資料金鑰的保護方法實施例,需要說明的是,在圖式的流程圖示出的步驟可以在諸如一組電腦可執行指令的電腦系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的循序執行所示出或描述的步驟。   本發明實施例三所提供的方法實施例可以在移動終端、電腦終端或者類似的運算裝置中執行。以運行在電腦終端上為例,圖6是本發明實施例的一種資料金鑰的保護方法的電腦終端的硬體結構方塊圖。如圖6所示,電腦終端60可以包括一個或多個(圖中僅示出一個)處理器602(處理器602可以包括但不限於微處理器MCU或可程式設計邏輯器件FPGA等的處理裝置)、用於儲存資料的記憶體604、以及用於通信功能的傳輸模組606。本領域普通技術人員可以理解,圖6所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,電腦終端60還可包括比圖6中所示更多或者更少的元件,或者具有與圖6所示不同的配置。   記憶體604可用於儲存應用軟體的軟體程式以及模組,如本發明實施例中的資料金鑰的保護方法對應的程式指令/模組,處理器602透過運行儲存在記憶體604內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的應用程式的漏洞檢測方法。記憶體604可包括高速隨機記憶體,還可包括非易失性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非易失性固態記憶體。在一些實例中,記憶體604可進一步包括相對於處理器602遠端設置的記憶體,這些遠端存放器可以透過網路連接至電腦終端60。上述網路的實例包括但不限於網際網路、企業內部網、局域網、移動通信網及其組合。   傳輸模組606用於經由一個網路接收或者發送資料。上述的網路具體實例可包括電腦終端60的通信供應商提供的無線網路。在一個實例中,傳輸模組606包括一個網路介面卡(Network Interface Controller,NIC),其可透過基地台與其他網路設備相連從而可與網際網路進行通訊。在一個實例中,傳輸模組606可以為射頻(Radio Frequency,RF)模組,其用於透過無線方式與網際網路進行通訊。   在上述運行環境下,本發明提供了如圖7所示的資料金鑰的保護方法。在使用者終端側,圖7a是根據本發明實施例三的資料金鑰的保護方法的流程圖。   步驟S702,使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;   本發明上述步驟S702中,區別於實施例1和實施例2,本實施例提供的資料金鑰的保護方法可以適用於使用者終端,其中,該使用者終端可以包括:智慧手機、筆記型電腦、平板電腦、臺式電腦、掌上商務以及智慧穿戴設備。   具體的,在使用者透過使用者終端獲取資料金鑰時,使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,該過程可以表現為:登陸關聯至使用者身份管理子系統伺服器的網頁,使用者透過使用者終端在該網頁輸入自己的身份驗證資訊。   步驟S704,使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊;   本發明上述步驟S704中,基於步驟S702發送的金鑰獲取請求,使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊,在接到使用者身份管理子系統伺服器返回的待驗證語音資訊後,使用者終端透過收音裝置獲取使用者朗讀待驗證語音資訊的聲音,該待驗證語音資訊可以為一連串由數位及字元隨機組成的沒變形處理的字元。   步驟S706,使用者終端向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;   本發明上述步驟S706中,基於步驟S704接收到的待驗證語音資訊,使用者終端向使用者身份管理子系統伺服器上傳使用者語音。   步驟S708,使用者終端接收可信晶片返回的金鑰回應資訊,其中,金鑰回應資訊對應向使用者身份管理子系統伺服器上傳的使用者語音。   本發明上述步驟S708中,在使用者終端向使用者身份管理子系統伺服器上傳使用者語音之後,可信晶片會依據使用者語音中的聲紋特徵回饋對應的資料金鑰,其中,資料金鑰在傳輸的過程中以金鑰回應資訊的形式返回使用者終端。   在本發明實施例中,透過使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊;使用者終端向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;使用者終端接收可信晶片返回的金鑰回應資訊,其中,金鑰回應資訊對應向使用者身份管理子系統伺服器上傳的使用者語音,達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。   具體的,基於上述步驟S702至步驟S708,本實施例提供的資料金鑰的保護方法有兩種實現方式,具體實現方式如下:   方式一:身份驗證資訊包括:身份資訊標識和金鑰控制碼。   可選的,在身份驗證資訊包括身份資訊標識和金鑰控制碼的情況下,步驟S706中使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求包括:   Step1,使用者終端依據身份資訊標識和金鑰控制碼產生金鑰獲取請求;   本發明上述步驟Step1中,對應實施例1中使用者身份管理子系統伺服器的方式一和實施例2中可信晶片的方式一。使用者終端將使用者的身份資訊標識和金鑰控制碼進行封裝,得到金鑰獲取請求。   Step2,使用者終端將金鑰獲取請求發送至使用者身份管理子系統伺服器。   進一步地,可選的,在步驟S708中使用者終端接收可信晶片返回的金鑰回應資訊之後,本實施例提供的資料金鑰的保護方法還包括:   Step1,使用者終端依據使用者終端的私密金鑰解密金鑰回應資訊,獲取金鑰回應資訊攜帶的資料金鑰,其中,金鑰回應資訊透過使用者終端的公開金鑰加密,使用者終端的公開金鑰與使用者終端的私密金鑰對應;   本發明上述步驟Step1中,對應實施例2中可信晶片方式一中步驟S506中的Step1至Step3,由於可信晶片透過使用者終端的公開金鑰加密資料金鑰,在使用者終端側透過使用者終端的私密金鑰解密金鑰回應資訊,獲取金鑰回應資訊攜帶的資料金鑰。   Step2,使用者終端依據資料金鑰對待加密或待解密資料進行加密或解密,得到加密資料資訊或解密資訊。   本發明上述步驟Step2中,基於上述Step1獲取的資料金鑰,使用者終端依據資料金鑰對待加密或待解密資料進行加密或解密,得到加密後的資料資訊或解密資訊。   方式二:身份驗證資訊包括:可信證書、身份資訊標識和金鑰控制碼。   可選的,在身份驗證資訊包括可信證書、身份資訊標識和金鑰控制碼的情況下,步驟S702中使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求包括:   Step1,使用者終端透過使用者身份管理子系統公開金鑰對可信證書、身份資訊標識和金鑰控制碼進行加密,產生金鑰獲取請求;   本發明上述步驟Step1中,區別於方式一,本實施例的方式二在產生金鑰獲取請求的過程中透過添加可信證書,以及依據使用者身份管理子系統公開金鑰對可信證書、身份資訊標識和金鑰控制碼進行加密,保障了使用者的身份驗證資訊的安全。   需要說明的是,可信證書可以用於驗證當前使用者終端是否有許可權發起獲取資料金鑰流程,其中,可信證書可以是使用者從協力廠商獲得的資料安全證書。   Step2,使用者終端將金鑰獲取請求發送至使用者身份管理子系統伺服器。   進一步地,可選的,在步驟S704中使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊之後,本實施例提供的資料金鑰的保護方法還包括:   Step1,使用者終端解析待驗證語音資訊,得到使用者身份管理子系統證書和待驗證語音;   本發明上述步驟Step1中,在方式二中,在使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊之後,使用者終端接收到的待驗證語音資訊中包括使用者身份管理子系統證書和待驗證語音,在提示使用者朗讀待驗證語音之前,需要對使用者身份管理子系統證書進行驗證,驗證步驟執行Step2,驗證成功執行Step3至Step5。   Step2,使用者終端判斷使用者身份管理子系統證書是否滿足預設驗證條件;   本發明上述步驟Step2中,在驗證使用者身份管理子系統證書的過程中,需判斷使用者身份管理子系統證書是否能夠與使用者終端的驗證條件對應上,若是執行Step3。   Step3,在判斷結果為是的情況下,使用者終端接收使用者朗讀的待驗證語音的聲音信號;   本發明上述步驟Step3中,基於Step2的判斷,在判斷結果為是的情況下,使用者終端透過自身的收音裝置接收使用者朗讀的待驗證語音的聲音信號,其中,該收音裝置可以為移動終端上的麥克介面,例如,智慧手機中的話筒。   Step4,使用者終端將亂數、聲音信號和待加密或解密資料透過使用者身份管理子系統公開金鑰進行加密,得到使用者語音;   本發明上述步驟Step4中,基於Step3得到的聲音信號,為保障資訊傳輸的安全,使用者終端將亂數、聲音信號和待加密或解密資料透過使用者身份管理子系統公開金鑰進行加密,得到使用者語音。   Step5,使用者終端向使用者身份管理子系統伺服器上傳使用者語音。   可選的,在步驟S708中使用者終端接收可信晶片返回的金鑰回應資訊之後,本實施例提供的資料金鑰的保護方法還包括:   Step1,使用者終端透過使用者終端的私密金鑰解密金鑰回應資訊,得到金鑰回應資訊中的運算結果;   本發明上述步驟Step1中,對應實施例2中方式二中步驟S506中的Step1至Step5。使用者終端接收可信晶片返回的金鑰回應資訊之後,由於可信晶片透過使用者終端的公開金鑰加密金鑰回應資訊,對應的使用者終端透過使用者終端的私密金鑰解密金鑰回應資訊,得到金鑰回應資訊中的運算結果。   Step2,使用者終端依據亂數結合預設演算法校驗運算結果,判斷運輸結果是否滿足預設校驗標準;   本發明上述步驟Step2中,基於Step1中得到的運算結果,為保障資料的完整,需要在使用該運算結果之前對該運算結果進行驗證,該驗證方式為:使用者終端依據亂數依據預設演算法校驗運算結果,判斷運輸結果是否滿足預設校驗標準,其中,本實施例中較佳的,該預設演算法為雜湊演算法,即,使用者終端依據亂數結合雜湊演算法校驗運算結果,判斷運輸結果是否滿足預設校驗標準。   Step3,在判斷結果為是的情況下,使用者終端使用運算結果。   本發明上述步驟Step3中,基於Step2的判斷,在判斷結果為是的情況下,使用者終端使用運算結果,其中,該運算結果可以為透過資料金鑰加密後的資料資訊或透過資料金鑰解密後的解密資訊。如圖7b所示,圖7b是根據本發明實施例三的資料金鑰的保護方法中使用者身份管理子系統伺服器內嵌可信晶片與使用者終端連接的示意圖。實施例 4 本發明提供了如圖8所示的資料金鑰的保護方法。在使用者終端側,圖8是根據本發明實施例四的資料金鑰的保護方法的流程圖。   步驟S802,使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;   步驟S804,使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊;   步驟S806,使用者終端向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;   步驟S808,使用者終端接收使用者身份管理子系統伺服器從使用者語音提取的聲紋特徵;   步驟S810,使用者終端中的可信晶片將聲紋特徵與預存聲紋特徵進行比對;   步驟S812,若聲紋特徵與預存聲紋特徵匹配,則使用者終端中的可信晶片提取與聲紋特徵對應的資料金鑰;   步驟S814,使用者終端依據資料金鑰執行對應操作。   綜上,結合步驟S802至步驟S814,本實施例提供的資料金鑰的保護方法可以適用於使用者終端側,與實施例3所提供的使用者終端不同的地方在於,本實施例提供的資料金鑰的保護方法可以適用於內嵌有可信晶片的使用者終端。如圖9a所示,圖9a是根據本發明實施例中的一種資料金鑰的保護方法中的使用者身份管理子系統伺服器與使用者終端內嵌可信晶片連接的示意圖。   具體的,使用者終端在需要資料金鑰時,向使用者身份管理子系統伺服器發送金鑰獲取請求,其中金鑰獲取請求攜帶有使用者的身份驗證資訊,使用者身份管理子系統伺服器在驗證該身份驗證資訊成功之後向使用者終端返回一段待驗證語音資訊,使用者終端透過收音裝置採集使用者在朗讀該待驗證語音資訊時的使用者聲音,並將該使用者聲音上傳至使用者身份管理子系統伺服器,待使用者身份管理子系統伺服器返回提取該使用者聲音的聲紋特徵後,在使用者終端中透過可信晶片將該聲紋特徵與預存聲紋特徵進行比對,若該聲紋特徵與預存聲紋特徵匹配,則提取資料金鑰;進而使用者終端可以依據該資料金鑰執行資料傳輸時的加密或解密。   其中,以訪問網上銀行為例,當使用者初次註冊帳號時,對應該使用者,網上銀行系統會對應產生一串身份標識,例如,帳號,在依據該帳號註冊聲紋驗證時,在使用者終端側對應該使用者的聲紋特徵以及身份標識產生對應的資料金鑰,其中,該資料金鑰儲存在可信晶片中,在可信晶片中透過對該資料金鑰進行可信計算加密,提升資料金鑰的安全性。在使用者透過使用者終端訪問網上銀行時,使用者終端透過向網上銀行的使用者身份管理子系統伺服器發送金鑰獲取請求,在使用者身份管理子系統伺服器返回待驗證語音資訊後,使用者終端透過收音裝置採集使用者朗讀該待驗證語音資訊的使用者語音;並上傳該使用者語音至使用者身份管理子系統伺服器;在接收使用者身份管理子系統伺服器返回的提取的使用者語音的聲紋特徵後,使用者終端中的可信晶片依據該聲紋特徵與預存聲紋特徵進行比對,若該聲紋特徵與預存聲紋特徵匹配,則提取資料金鑰。   需要說明的是,在可信晶片內嵌於使用者終端側的情況下,減少了使用者終端與使用者身份管理子系統伺服器之間的信令互動,避免了在信令互動過程中資料金鑰的洩漏;並且由於可信晶片位於使用者終端內,在獲取資料金鑰的過程中資料金鑰始終位於使用者終端內,降低了資料金鑰洩漏的風險,並且解決了從可信晶片獲取資料金鑰的口令金鑰難記問題。   在本發明實施例中,透過使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊;使用者終端向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;使用者終端接收使用者身份管理子系統伺服器從使用者語音提取的聲紋特徵;使用者終端中的可信晶片將聲紋特徵與預存聲紋特徵進行比對;若聲紋特徵與預存聲紋特徵匹配,則使用者終端中的可信晶片提取與聲紋特徵對應的資料金鑰;使用者終端依據資料金鑰執行對應操作。達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。   可選的,在步驟S802中使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求之前,本實施例提供的資料金鑰的保護方法還包括:   步驟S797,使用者終端中的可信晶片導入預先獲取的身份資訊標識和聲紋特徵;   步驟S798,使用者終端中的可信晶片依據可信儲存根金鑰對聲紋特徵進行加密,並儲存加密後的聲紋特徵;   步驟S799,使用者終端中的可信晶片依據預設加密演算法和身份資訊標識,產生資料金鑰,並將資料金鑰的金鑰控制碼返回使用者終端;   步驟S800,使用者終端中的可信晶片將資料金鑰、身份資訊標識和聲紋特徵進行映射,得到資料金鑰、身份資訊標識和聲紋特徵的映射關係,並儲存映射關係和資料金鑰。   具體的,結合步驟S797至步驟S800,使用者終端中的可信晶片在使用者獲取資料金鑰之前,將先針對使用者產生對應的資料金鑰。其中,產生資料金鑰的過程如下:   第一,將使用者聲紋管理子系統伺服器中使用者UID、該使用者的聲紋特徵導入到可信晶片的非易失空間中,導入過程中,保證每個使用者的聲紋特徵與其UID是一一映射關係;   第二,導入到可信晶片的聲紋特徵用可信儲存根金鑰加密保存,以保證聲紋特徵資料的安全;   第三,可信晶片按TCG可信標準,可以為每個唯一標識的使用者創建用來加密資料的資料金鑰,並將金鑰的控制碼keyID回饋給使用者終端,儲存過程中,保證每個使用者UID、使用者的聲紋特徵、使用者的資料金鑰是一一映射關係;   第四,使用者的資料金鑰,可以用可信晶片的儲存根金鑰加密保護。   需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本發明並不受所描述的動作順序的限制,因為依據本發明,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬於較佳實施例,所涉及的動作和模組並不一定是本發明所必須的。   透過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的資料金鑰的保護方法可借助軟體加必需的通用硬體平臺的方式來實現,當然也可以透過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,電腦,伺服器,或者網路設備等)執行本發明各個實施例的方法。   綜上,結合上述實施例1至4,基於使用者身份管理子系統伺服器、可信晶片和使用者終端的兩種實現方式(方式一和方式二),本發明實施例提供的資料金鑰的保護方法具體如下:   場景一:   假設可信晶片為使用者UID(即,本實施例中的身份資訊標識)已創建其平臺身份公私密金鑰對UPK和USK、資料金鑰Data_Key,該使用者的聲紋特徵及資料金鑰安全保存在可信晶片中,局限可信晶片計算能力的有限,現使用者欲獲取可信晶片中資料金鑰,在本地對某敏感性資料Data進行加密或解密,互動過程中,對使用者端實現身份驗證,圖9b是根據本發明實施例中的一種資料金鑰的保護方法中的使用者身份管理子系統伺服器、可信晶片和使用者終端的互動示意圖,該流程如圖9b所示:   步驟1,使用者終端向使用者身份管理子系統伺服器提交{UID , keyID }(即,本發明中的第一金鑰獲取請求);   步驟2,使用者身份管理子系統伺服器回應使用者終端請求,並要求使用者終端傳輸一段語音(即,本發明中的待驗證語音資訊);   步驟3,使用者終端借助語音通信裝置,回傳一段語音(即,本發明中的使用者語音);   步驟4,使用者身份管理子系統伺服器對使用者終端傳過來的語音進行特徵提取,產生聲紋特徵資訊msg(即,本發明中的第二金鑰獲取請求);   步驟5,使用者身份管理子系統伺服器用可信晶片聲紋特徵及資料金鑰管理子系統公開金鑰M_PK加密聲紋特徵資訊msg得到{Msg, UID , keyID }M_PK(即,本發明中的第二金鑰獲取請求),並將{Msg, UID , keyID }M_PK回傳給可信晶片聲紋特徵及資料金鑰管理子系統(即,本發明中的可信晶片);   步驟6,可信晶片聲紋特徵及資料金鑰管理子系統收到聲紋特徵密文資訊(即,本發明中的第二金鑰獲取請求)後,先用使用者身份管理子系統私密金鑰M_SK解密,獲得Msg明文後,與使用者註冊時儲存的聲紋特徵資訊做比對,如果比對通過,則繼續第(7)步,否則停止;   步驟7,可信晶片聲紋特徵系統用使用者平臺身份公開金鑰(即,本發明中的使用者終端的公開金鑰)加密其資料金鑰回傳給使用者終端,即回傳的資訊為{Data_Key}U_pk(即,本發明中的金鑰回應資訊);   步驟8,使用者終端收到資訊後,用其平臺身份私密金鑰U_SK(即,本發明中的使用者終端的私密金鑰)解密,獲得資料金鑰Data_Key後,就可利用資料金鑰Data_Key對敏感性資料進行加密操作,或用Data_Key對敏感性資料密文進行解密操作。   場景二:   假設可信晶片為使用者UID(即,本實施例中的身份資訊標識)已創建其平臺身份公私密金鑰對UPK和USK(即,本發明中的使用者終端的公開金鑰和私密金鑰)、資料金鑰Data_Key;使用者從協力廠商那獲得可信證書Cert_U;使用者身份管理子系統公開金鑰為I_PK,私密金鑰為I_SK;聲紋特徵和數目金鑰管理子系統公開金鑰為M_PK,私密金鑰為M_SK(即,本發明中的可信晶片的公開金鑰和私密金鑰);其使用者的聲紋特徵及資料金鑰安全保存在可信晶片中,現使用者欲獲取可信晶片中資料金鑰使用權限,聲紋特徵及資料金鑰管理子系統在可信晶片內部對使用者敏感性資料Data進行加密或解密後返回給使用者,且互動過程中能實現雙向身份認證,圖10是根據本發明實施例中的另一種資料金鑰的保護方法中的使用者身份管理子系統伺服器、可信晶片和使用者終端的互動示意圖,該流程如圖10所示:   步驟1,使用者終端向使用者身份管理子系統伺服器提交{Cert_U,UID , keyID }I_PK(即,本發明中的第一金鑰獲取請求),其中I_PK是使用者身份管理子系統公開金鑰,Cert_U是使用者從協力廠商那獲得的可信證書;keyID表示使用者資料金鑰控制碼(即,本發明中的金鑰控制碼),{Cert_U,UID, keyID}I_PK,表示用使用者身份管理子系統的公開金鑰對使用者標識UID,使用者資料金鑰控制碼標識keyID,及使用者Cert_U進行加密;   步驟2,使用者身份管理子系統伺服器接收到資訊(即,本發明中的第一金鑰獲取請求)後,首先驗證可信證書的合法性,不合法則流程終止,否則回應使用者終端請求,回饋資訊{Cert_I,請回傳一段語音}(即,本發明中的待驗證語音資訊),即回饋的資訊包含了自己證書(即,本發明中的使用者身份管理子系統證書),並要求使用者終端回傳語音(即,本發明中的使用者語音);   步驟3,使用者終端接到資訊(即,本發明中的待驗證語音資訊)後,驗證使用者身份管理子系統證書的合法性,不合法則終止,否則產生一亂數N1,借助語音通信裝置(即,本發明中的語音裝置),回傳一段語音資訊Sound,要加密的原資料Data,或要解密的資料密文cipher,並用使用者身份管理子系統公開金鑰加密,即傳輸的資訊為{Sound,N1,Data/cipher }I_pk,其中(“/”表示資料明文,或者資料密文,或者這兩者均有)(即,本發明中的待加密或解密資料);其中,N1是為了後續用其來驗證回傳資料的完整性。   步驟4,使用者身份管理子系統伺服器對使用者終端傳過來的語音進行特徵提取,產生聲紋特徵資訊Msg(即,本發明中的第二金鑰獲取請求);   步驟5,使用者身份管理子系統伺服器用可信晶片聲紋特徵及資料金鑰管理子系統公開金鑰M_PK(即,本發明中可信晶片的公開金鑰)加密聲紋特徵資訊msg(即,本發明中的第二金鑰獲取請求),亂數N1,Data/Cipher,使用者UID,使用者資料金鑰控制碼keyID得到{N1,Msg,Data/Cipher,UID, keyID}M_PK,並將{Msg, UID, keyID}M_PK回傳給可信晶片聲紋特徵及資料金鑰管理子系統;   步驟6,可信晶片聲紋特徵及資料金鑰管理子系統收到資訊後,做如下工作:   a、先用其私密金鑰M_SK(即,本發明中可信晶片的私密金鑰)解密;   b、將解密後獲得的Msg資訊,將該資訊與使用者註冊時儲存的聲紋特徵資訊做比對,如果比對通過,則繼續第(c)步,否則停止;   c、依據解密後的UID, keyID找到相應的資料金鑰Data_Key;   d、用資料金鑰Data_Key對解密後的資訊Data/Cipher進行加密或者解密,獲得資訊Cipher/Data(即,本實施例中的運算結果);   步驟7,可信晶片聲紋特徵系統用使用者平臺身份公開金鑰加密其資料明文或其密文,同時將明文或密文與亂數進行雜湊運算,再將這些資訊回傳給使用者終端,即回傳的資訊為{hash(cipher/Data,N1),{cipher/Data}U_pk}(即,本發明中的金鑰回應資訊);   步驟8,使用者終端收到資訊後,用其平臺身份私密金鑰U_SK(即,使用者終端的私密金鑰)解密,獲得資訊cipher/Data,再利用本地儲備好的N1對其進行雜湊運算,合法則說明其傳輸的資料完整的。   本實施例提出一種資料金鑰的保護方法,即利用聲紋特徵作為獲取使用資料金鑰許可權的憑證,不需要額外保護口令的設備,避免了口令失憶,致使資料金鑰無法使用的風險。   需要說明的是,本發明實施例提供的資料金鑰的保護方法中,可信晶片的位置至少包括以下兩種:內嵌於使用者終端或內嵌於伺服器中,其中,可信晶片可以與使用者身份管理子系統位於同一伺服器;對應上述兩種實現方式,在可信晶片位於不同設備位置處,在實現上述方式一和方式二中區別僅在於,在可信晶片內嵌於使用者終端的情況下,使用者終端在向使用者身份管理子系統伺服器上傳使用者語音之後,使用者身份管理子系統伺服器返回該使用者語音的聲紋特徵,在使用者終端中可信晶片依據該聲紋特徵提前預存聲紋特徵,在匹配成功的情況下提取資料金鑰;   在可信晶片內嵌於服務的情況下,可信晶片可認為與使用者身份管理子系統伺服器位於同一伺服器,使用者終端在發出第一金鑰獲取請求後,使用者身份管理子系統伺服器與使用者終端互動,獲取使用者終端上傳的使用者語音,並透過提取該使用者語音的聲紋特徵,將該聲紋特徵以第二金鑰獲取請求的形式發送至位於同一伺服器的可信晶片,由可信晶片對該聲紋特徵進行驗證,並在驗證成功後提取該聲紋特徵對應的資料金鑰,並將該資料金鑰返回使用者終端,或,依據使用者終端在發送第一金鑰獲取請求時攜帶的需要加/解密的資料,可信晶片依據資料金鑰對該加/解密的資料執行對應的加/解密操作。具體實現方式見實施例1,或上述實現方式的方式一和方式二。實施例 5 本發明提供了如圖11a所示的資料金鑰的保護方法。在使用者終端側,圖11a是根據本發明實施例五的資料金鑰的保護方法的流程圖。 步驟S1101,獲取使用者登錄資訊,並觸發金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;   步驟S1102,依據金鑰獲取請求獲取對應待驗證語音資訊;   步驟S1103,接收使用者依據待驗證語音資訊錄入的使用者語音;   步驟S1104,依據使用者語音提取使用者的聲紋特徵;   步驟S1105,透過可信晶片將聲紋特徵與預存聲紋特徵進行比對;   步驟S1106,若聲紋特徵與預存聲紋特徵匹配,則透過可信晶片提取與聲紋特徵對應的資料金鑰;   步驟S1107,依據資料金鑰執行對應操作。   綜上,結合步驟S1101至步驟S1107,區別於實施例4中的使用者終端,在本實施例中使用者終端內嵌可信晶片,並整合了使用者身份管理子系統伺服器提供待驗證語音資訊以及聲紋特徵提取的功能,強化了使用者終端的資料處理功能,並且,由於所有的資料處理依據金鑰提取均在使用者終端側完成,從而在資訊安全中保障了使用者私人資訊不會透過使用者終端洩露至外界,保障了使用者的資訊安全。如圖11b所示,圖11b是根據本發明實施例五的資料金鑰的保護方法中使用者終端內嵌可信晶片的示意圖。   在本發明實施例中,透過獲取使用者登錄資訊,並觸發金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;依據金鑰獲取請求獲取對應待驗證語音資訊;接收使用者依據待驗證語音資訊錄入的使用者語音;依據使用者語音提取使用者的聲紋特徵;透過可信晶片將聲紋特徵與預存聲紋特徵進行比對;若聲紋特徵與預存聲紋特徵匹配,則透過可信晶片提取與聲紋特徵對應的資料金鑰;依據資料金鑰執行對應操作。達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。實施例 6 根據本發明實施例,還提供了一種用於實施上述資料金鑰的保護方法的裝置,在使用者身份管理子系統伺服器側,如圖12所示,該裝置包括:   圖12是根據本發明實施例六的資料金鑰的保護裝置的結構示意圖。   如圖12所示,該資料金鑰的保護裝置可以包括:第一接收模組1201、第一發送模組1202、第二接收模組1203、請求產生模組1204和第二發送模組1205。   其中,第一接收模組1201,用於接收使用者終端發送的第一金鑰獲取請求,其中,第一金鑰獲取請求包括使用者的身份驗證資訊;第一發送模組1202,用於依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊;第二接收模組1203,用於接收使用者終端依據待驗證語音資訊上傳的使用者語音;請求產生模組1204,用於提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求;第二發送模組1205,用於將第二金鑰獲取請求發送至可信晶片。   在本發明實施例中,透過使用者身份管理子系統伺服器接收使用者終端發送的第一金鑰獲取請求,其中,第一金鑰獲取請求包括使用者的身份驗證資訊;使用者身份管理子系統伺服器依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊;使用者身份管理子系統伺服器接收使用者終端依據待驗證語音資訊上傳的使用者語音;使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求;使用者身份管理子系統伺服器將第二金鑰獲取請求發送至可信晶片,達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。   此處需要說明的是,上述第一接收模組1201、第一發送模組1202、第二接收模組1203、請求產生模組1204和第二發送模組1205對應於實施例一中的步驟S402至步驟S410,五個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例一所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例一提供的使用者身份管理子系統伺服器中,可以透過軟體實現,也可以透過硬體實現。實施例 7 根據本發明實施例,還提供了一種用於實施上述資料金鑰的保護方法的裝置,在可信晶片側,如圖13所示,該裝置包括:   圖13是根據本發明實施例七的資料金鑰的保護裝置的結構示意圖。   如圖13所示,該資料金鑰的保護裝置可以包括:第三接收模組1302、解析模組1304和第三發送模組1306。   其中,第三接收模組1302,用於接收金鑰獲取請求,其中,金鑰獲取請求包括:聲紋特徵;解析模組1304,用於解析金鑰獲取請求,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對;第三發送模組1306,用於若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則向使用者終端返回金鑰回應資訊。   在本發明實施例中,透過可信晶片接收使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括:聲紋特徵;可信晶片解析金鑰獲取請求,並將金鑰獲取請求中的聲紋特徵與預存聲紋特徵進行比對;若金鑰獲取請求中的聲紋特徵與預存聲紋特徵匹配,則可信晶片向使用者終端返回金鑰回應資訊,達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。   此處需要說明的是,上述第三接收模組1302、解析模組1304和第三發送模組1306對應於實施例一中的步驟S502至步驟S506,三個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例二所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例二提供的可信晶片中,可以透過軟體實現,也可以透過硬體實現。實施例 8 根據本發明實施例,還提供了一種用於實施上述資料金鑰的保護方法的裝置,在使用者終端側,如圖14所示,該裝置包括:   圖14是根據本發明實施例八的資料金鑰的保護裝置的結構示意圖。   如圖14所示,該資料金鑰的保護裝置可以包括:第四發送模組1402、第四接收模組1404、第五發送模組1406和第五接收模組1408。   其中,第四發送模組1402,用於向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;第四接收模組1404,用於接收使用者身份管理子系統伺服器返回的待驗證語音資訊;第五發送模組1406,用於向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;第五接收模組1408,用於接收可信晶片返回的金鑰回應資訊,其中,金鑰回應資訊對應向使用者身份管理子系統伺服器上傳的使用者語音。   在本發明實施例中,透過使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊;使用者終端向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;使用者終端接收可信晶片返回的金鑰回應資訊,其中,金鑰回應資訊對應向使用者身份管理子系統伺服器上傳的使用者語音,達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。   此處需要說明的是,上述第四發送模組1402、第四接收模組1404、第五發送模組1406和第五接收模組1408對應於實施例三中的步驟S702至步驟S708,四個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例三所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例三提供的使用者終端中,可以透過軟體實現,也可以透過硬體實現。實施例 9 根據本發明實施例,還提供了一種用於實施上述資料金鑰的保護方法的裝置,在使用者終端側,如圖15所示,該裝置包括:   圖15是根據本發明實施例九的資料金鑰的保護裝置的結構示意圖。   如圖15所示,該資料金鑰的保護裝置可以包括:第六發送模組1502、第六接收模組1504、第七發送模組1506、第七接收模組1508、特徵比對模組1510、金鑰提取模組1512和資料保護模組1514。   其中,第六發送模組1502,用於向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;第六接收模組1504,用於接收使用者身份管理子系統伺服器返回的待驗證語音資訊;第七發送模組1506,用於向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;第七接收模組1508,用於接收使用者身份管理子系統伺服器從使用者語音提取的聲紋特徵;特徵比對模組1510,用於將聲紋特徵與預存聲紋特徵進行比對;金鑰提取模組1512,用於若聲紋特徵與預存聲紋特徵匹配,則使用者終端中的可信晶片提取與聲紋特徵對應的資料金鑰;資料保護模組1514,用於依據資料金鑰執行對應操作。   在本發明實施例中,透過使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;使用者終端接收使用者身份管理子系統伺服器返回的待驗證語音資訊;使用者終端向使用者身份管理子系統伺服器上傳使用者語音,其中,使用者語音對應待驗證語音資訊;使用者終端接收使用者身份管理子系統伺服器從使用者語音提取的聲紋特徵;使用者終端中的可信晶片將聲紋特徵與預存聲紋特徵進行比對;若聲紋特徵與預存聲紋特徵匹配,則使用者終端中的可信晶片提取與聲紋特徵對應的資料金鑰;使用者終端依據資料金鑰執行對應操作。達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。   此處需要說明的是,上述第六發送模組1502、第六接收模組1504、第七發送模組1506、第七接收模組1508、特徵比對模組1510、金鑰提取模組1512和資料保護模組1514對應於實施例四中的步驟S802至步驟S815,七個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例四所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例四提供的使用者終端中,可以透過軟體實現,也可以透過硬體實現。實施例 10 根據本發明實施例,還提供了一種用於實施上述資料金鑰的保護方法的裝置,在使用者終端側,如圖16所示,該裝置包括:   圖16是根據本發明實施例十的資料金鑰的保護裝置的結構示意圖。   如圖16所示,該資料金鑰的保護裝置可以包括:資訊獲取模組1601、待驗證資訊獲取模組1602、接收模組1603、提取模組1604、特徵比對模組1605、金鑰提取模組1606和資料保護模組1607。   其中,資訊獲取模組1601,用於獲取使用者登錄資訊,並觸發金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;待驗證資訊獲取模組1602,用於依據金鑰獲取請求獲取對應待驗證語音資訊;接收模組1603,用於接收使用者依據待驗證語音資訊錄入的使用者語音;提取模組1604,用於依據使用者語音提取使用者的聲紋特徵;特徵比對模組1605,用於透過可信晶片將聲紋特徵與預存聲紋特徵進行比對;金鑰提取模組1606,用於若聲紋特徵與預存聲紋特徵匹配,則透過可信晶片提取與聲紋特徵對應的資料金鑰;資料保護模組1607,用於依據資料金鑰執行對應操作。   在本發明實施例中,透過獲取使用者登錄資訊,並觸發金鑰獲取請求,其中,金鑰獲取請求包括使用者的身份驗證資訊;依據金鑰獲取請求獲取對應待驗證語音資訊;接收使用者依據待驗證語音資訊錄入的使用者語音;依據使用者語音提取使用者的聲紋特徵;透過可信晶片將聲紋特徵與預存聲紋特徵進行比對;若聲紋特徵與預存聲紋特徵匹配,則透過可信晶片提取與聲紋特徵對應的資料金鑰;依據資料金鑰執行對應操作。達到了金鑰的安全獲取的目的,從而實現了安全獲取金鑰的技術效果,進而解決了由於現有技術中存在的金鑰容易洩密的技術問題。   此處需要說明的是,上述資訊獲取模組1601、待驗證資訊獲取模組1602、接收模組1603、提取模組1604、特徵比對模組1605、金鑰提取模組1606和資料保護模組1607對應於實施例五中的步驟S1101至步驟S1107,七個模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例五所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例五提供的使用者終端中,可以透過軟體實現,也可以透過硬體實現。實施例 11 根據本發明實施例,還提供了一種資料金鑰的保護系統,如圖17所示,該資料金鑰的保護系統包括:   圖17是根據本發明實施例十一的資料金鑰的保護系統的結構示意圖。   如圖17所示,該資料金鑰的保護系統可以包括:使用者聲紋身份管理子系統171和可信晶片管理子系統172。   其中,使用者聲紋身份管理子系統171,用於獲取每個使用者身份資訊和聲紋特徵;可信晶片管理子系統172,用於依據每個使用者身份資訊和聲紋特徵產生對應的金鑰。   其中,本發明實施例提供的資料金鑰的保護系統中的使用者聲紋身份管理子系統171可以為實施例1和實施4中提到的使用者身份管理子系統伺服器;可信晶片管理子系統172可以為實施例2和實施5中提到的可信晶片。   具體的,圖18是根據本發明實施例十一的一種資料金鑰的保護系統的結構示意圖,如圖18所示,其中,圖18中可信晶片中聲紋特徵及資料金鑰管理子系統(即,本發明中的可信晶片管理子系統172),本發明實施例提供的資料金鑰的保護系統具體如下:   可選的,使用者聲紋身份管理子系統171包括:使用者身份註冊模組1711、聲紋身份註冊模組1712、聲紋特徵模型建立模組1713和聲紋特徵提取模組1714,其中,使用者身份註冊模組1711,用於接收使用者終端提交的使用者身份資訊,並依據使用者身份資訊產生身份資訊標識,將身份資訊標識返回使用者終端;聲紋身份註冊模組1712,用於接收使用者終端提交的聲紋註冊請求,向使用者終端返回聲紋回應資訊,並接收使用者終端依據聲紋回應資訊上傳的使用者語音;其中,聲紋回應資訊包括待驗證的文本資訊,文本資訊用於指示使用者終端收錄使用者語音;聲紋特徵提取模組1714,用於提取使用者語音的聲紋特徵;聲紋特徵模型建立模組1713,用於依據聲紋特徵建立聲紋特徵模型。   進一步地,可選的,可信晶片管理子系統172包括:使用者資訊導入模組1721、聲紋特徵儲存模組1722、使用者資料金鑰創建模組1723、使用者資料金鑰儲存模組1724、聲紋特徵比對模組1725和資料金鑰使用模組1726,其中,使用者資訊導入模組1721,用於在使用者資訊包括身份資訊標識和聲紋特徵的情況下,將身份資訊標識和聲紋特徵導入可信晶片;聲紋特徵儲存模組1722,用於依據可信儲存根金鑰對聲紋特徵進行加密,並儲存加密後的聲紋特徵;使用者資料金鑰創建模組1723,用於依據預設加密演算法和身份資訊標識,產生資料金鑰,並將資料金鑰的金鑰控制碼返回使用者終端;使用者資料金鑰儲存模組1724,用於將資料金鑰、身份資訊標識和聲紋特徵進行映射,得到資料金鑰、身份資訊標識和聲紋特徵的映射關係,儲存映射關係和資料金鑰,其中,資料金鑰為依據可信儲存根金鑰對資料金鑰進行加密的金鑰;聲紋特徵比對模組1725,用於在使用者終端請求獲取資料金鑰時,提取使用者終端上傳的使用者語音,透過提取使用者語音的聲紋特徵,與使用者資料金鑰儲存模組中映射關係中的聲紋特徵進行比對;資料金鑰使用模組1726,用於在比對通過後,向使用者終端回饋資料金鑰,以使得使用者終端依據資料金鑰執行加密/解密操作。   綜上,實施例1至5中提供的資料金鑰的保護方法可以適用於本發明實施例提供的資料金鑰的保護系統。實施例 12 根據本發明實施例的再一方面,還提供了一種儲存媒體,儲存媒體包括儲存的程式,其中,在程式運行時控制儲存媒體所在設備執行上述實施例1至實施例5中的資料金鑰的保護方法。實施例 13 根據本發明實施例的再一方面,還提供了一種處理器,處理器用於運行程式,其中,程式運行時執行上述實施例1至實施例5中的資料金鑰的保護方法。實施例 14 根據本發明實施例的再一方面,還提供了一種計算設備,包括處理器、記憶體,所述記憶體上儲存有程式,處理器用於運行程式,其中,程式運行時適於使所述處理器執行上述實施例1至實施例5中的資料金鑰的保護方法。實施例 15 本發明的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例一所提供的資料金鑰的保護方法所執行的程式碼。   可選地,在本實施例中,上述儲存媒體可以位於電腦網路中電腦終端群中的任意一個電腦終端中,或者位於移動終端群中的任意一個移動終端中。   可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:使用者身份管理子系統伺服器接收使用者終端發送的第一金鑰獲取請求,其中,第一金鑰獲取請求包括使用者的身份驗證資訊;使用者身份管理子系統伺服器依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊;使用者身份管理子系統伺服器接收使用者終端依據待驗證語音資訊上傳的使用者語音;使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求;使用者身份管理子系統伺服器將第二金鑰獲取請求發送至可信晶片。   可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:在身份驗證資訊包括身份資訊標識和金鑰控制碼的情況下,使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求包括:使用者身份管理子系統伺服器提取使用者語音中的聲紋特徵;使用者身份管理子系統伺服器透過可信晶片的公開金鑰加密聲紋特徵、身份資訊標識和金鑰控制碼,產生第二金鑰獲取請求。   可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:在身份驗證資訊包括可信證書、身份資訊標識和金鑰控制碼的情況下,使用者身份管理子系統伺服器依據第一金鑰獲取請求向使用者終端返回待驗證語音資訊包括:使用者身份管理子系統伺服器依據使用者身份管理子系統私密金鑰解密第一金鑰獲取請求,其中,第一金鑰獲取請求透過使用者身份管理子系統公開金鑰加密;使用者身份管理子系統私密金鑰與使用者身份管理子系統公開金鑰對應;使用者身份管理子系統伺服器解析解密後的第一金鑰獲取請求,獲取第一金鑰獲取請求中的可信證書;使用者身份管理子系統伺服器判斷可信證書是否滿足預設驗證條件;在判斷結果為是的情況下,使用者身份管理子系統伺服器向使用者終端返回待驗證聲音資訊,其中,待驗證聲音資訊包括:使用者身份管理子系統證書和待驗證語音。   進一步地,可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:使用者身份管理子系統伺服器提取使用者語音的聲紋特徵,並依據聲紋特徵和身份驗證資訊產生第二金鑰獲取請求包括:使用者身份管理子系統伺服器依據使用者身份管理子系統私密金鑰解密使用者語音,得到亂數、待加密或解密資料和待驗證聲音;使用者身份管理子系統伺服器提取待驗證聲音的聲紋特徵;使用者身份管理子系統伺服器透過可信晶片的公開金鑰加密聲紋特徵、亂數、待加密或解密資料、身份資訊標識和金鑰控制碼,產生第二金鑰獲取請求。   上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。   在本發明的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。   在本發明所提供的幾個實施例中,應該理解到,所揭露的技術內容,可透過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或元件可以結合或者可以整合到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是透過一些介面,單元或模組的間接耦合或通信連接,可以是電性或其它的形式。   所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。   另外,在本發明各個實施例中的各功能單元可以整合在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元整合在一個單元中。上述整合的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。   所述整合的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個電腦可讀取儲存媒體中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台電腦設備(可為個人電腦、伺服器或者網路設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:USB隨身碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、移動硬碟、磁碟或者光碟等各種可以儲存程式碼的媒體。   以上所述僅是本發明的較佳實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護範圍。
60‧‧‧電腦終端171‧‧‧使用者聲紋身份管理子系統172‧‧‧可信晶片管理子系統602‧‧‧處理器604‧‧‧記憶體606‧‧‧傳輸模組1201‧‧‧第一接收模組1202‧‧‧第一發送模組1203‧‧‧第二接收模組1204‧‧‧請求產生模組1205‧‧‧第二發送模組1302‧‧‧第三接收模組1304‧‧‧解析模組1306‧‧‧第三發送模組1402‧‧‧第四發送模組1404‧‧‧第四接收模組1406‧‧‧第五發送模組1408‧‧‧第五接收模組1502‧‧‧第六發送模組1504‧‧‧第六接收模組1506‧‧‧第七發送模組1508‧‧‧第七接收模組1510‧‧‧特徵比對模組1512‧‧‧金鑰提取模組1514‧‧‧資料保護模組1601‧‧‧資訊獲取模組1602‧‧‧待驗證資訊獲取模組1603‧‧‧接收模組1604‧‧‧提取模組1605‧‧‧特徵比對模組1606‧‧‧金鑰提取模組1607‧‧‧資料保護模組1711‧‧‧使用者身份註冊模組1712‧‧‧聲紋身份註冊模組1713‧‧‧聲紋特徵模型建立模組1714‧‧‧聲紋特徵提取模組1721‧‧‧使用者資訊導入模組1722‧‧‧聲紋特徵儲存模組1723‧‧‧使用者資料金鑰創建模組1724‧‧‧使用者資料金鑰儲存模組1725‧‧‧聲紋特徵比對模組1726‧‧‧資料金鑰使用模組
此處所說明的圖式用來提供對本發明的進一步理解,構成本發明的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在圖式中:   圖1是TCG信任鏈的結構示意圖;   圖2是金鑰體系結構圖;   圖3是加密機典型部署結構示意圖;   圖4是根據本發明實施例一的資料金鑰的保護方法的流程圖;   圖5是根據本發明實施例二的資料金鑰的保護方法的流程圖;   圖6是本發明實施例三的一種資料金鑰的保護方法的電腦終端的硬體結構方塊圖;   圖7a是根據本發明實施例三的資料金鑰的保護方法的流程圖;   圖7b是根據本發明實施例三的資料金鑰的保護方法中使用者身份管理子系統伺服器內嵌可信晶片與使用者終端連接的示意圖;   圖8是根據本發明實施例四的資料金鑰的保護方法的流程圖;   圖9a是根據本發明實施例中的一種資料金鑰的保護方法中的使用者身份管理子系統伺服器與使用者終端內嵌可信晶片連接的示意圖;   圖9b是根據本發明實施例中的一種資料金鑰的保護方法中的使用者身份管理子系統伺服器、可信晶片和使用者終端的互動示意圖;   圖10是根據本發明實施例中的另一種資料金鑰的保護方法中的使用者身份管理子系統伺服器、可信晶片和使用者終端的互動示意圖;   圖11a是根據本發明實施例五的資料金鑰的保護方法的流程圖;   圖11b是根據本發明實施例五的資料金鑰的保護方法中使用者終端內嵌可信晶片的示意圖;   圖12是根據本發明實施例六的資料金鑰的保護裝置的結構示意圖;   圖13是根據本發明實施例七的資料金鑰的保護裝置的結構示意圖;   圖14是根據本發明實施例八的資料金鑰的保護裝置的結構示意圖;   圖15是根據本發明實施例九的資料金鑰的保護裝置的結構示意圖;   圖16是根據本發明實施例十的資料金鑰的保護裝置的結構示意圖;   圖17是根據本發明實施例十一的資料金鑰的保護系統的結構示意圖;   圖18是根據本發明實施例十一的一種資料金鑰的保護系統的結構示意圖。

Claims (23)

  1. 一種資料金鑰的保護方法,其特徵在於,包括:使用者身份管理子系統伺服器接收使用者終端發送的第一金鑰獲取請求,其中,該第一金鑰獲取請求包括使用者的身份驗證資訊;該使用者身份管理子系統伺服器依據該第一金鑰獲取請求向該使用者終端返回待驗證語音資訊;該使用者身份管理子系統伺服器接收該使用者終端依據該待驗證語音資訊上傳的使用者語音;該使用者身份管理子系統伺服器提取該使用者語音的聲紋特徵,並依據該聲紋特徵和該身份驗證資訊產生第二金鑰獲取請求;該使用者身份管理子系統伺服器將該第二金鑰獲取請求發送至可信晶片;在該身份驗證資訊包括可信證書、身份資訊標識和金鑰控制碼的情況下,該使用者身份管理子系統伺服器依據該第一金鑰獲取請求向該使用者終端返回待驗證語音資訊包括:該使用者身份管理子系統伺服器依據使用者身份管理子系統私密金鑰解密該第一金鑰獲取請求,其中,該第一金鑰獲取請求透過使用者身份管理子系統公開金鑰加密,該使用者身份管理子系統私密金鑰與該使用者身份管理子系統公開金鑰對應; 該使用者身份管理子系統伺服器解析解密後的該第一金鑰獲取請求,獲取該第一金鑰獲取請求中的該可信證書;該使用者身份管理子系統伺服器判斷該可信證書是否滿足預設驗證條件;在判斷結果為是的情況下,該使用者身份管理子系統伺服器向該使用者終端返回該待驗證語音資訊,其中,該待驗證語音資訊包括:使用者身份管理子系統證書和待驗證語音。
  2. 根據申請專利範圍第1項的資料金鑰的保護方法,其中,在該身份驗證資訊包括身份資訊標識和金鑰控制碼的情況下,該使用者身份管理子系統伺服器提取該使用者語音的聲紋特徵,並依據該聲紋特徵和該身份驗證資訊產生第二金鑰獲取請求包括:該使用者身份管理子系統伺服器提取該使用者語音中的聲紋特徵;該使用者身份管理子系統伺服器透過該可信晶片的公開金鑰加密該聲紋特徵、該身份資訊標識和該金鑰控制碼,產生第二金鑰獲取請求。
  3. 根據申請專利範圍第1項的資料金鑰的保護方法,其中,該使用者身份管理子系統伺服器提取該使用者語音的聲紋特徵,並依據該聲紋特徵和該身份驗證資訊產生第二 金鑰獲取請求包括:該使用者身份管理子系統伺服器依據該使用者身份管理子系統私密金鑰解密該使用者語音,得到亂數、待加密或解密資料和待驗證聲音;該使用者身份管理子系統伺服器提取該待驗證聲音的聲紋特徵;該使用者身份管理子系統伺服器透過可信晶片的公開金鑰加密該聲紋特徵、該亂數、該待加密或解密資料、該身份資訊標識和該金鑰控制碼,產生該第二金鑰獲取請求。
  4. 一種資料金鑰的保護方法,其特徵在於,包括:可信晶片接收金鑰獲取請求,其中,該金鑰獲取請求包括:聲紋特徵;其中,該可信晶片為透過內置獨立處理器和記憶體執行加密或解密計算的資料處理晶片;該可信晶片解析該金鑰獲取請求,並將該金鑰獲取請求中的該聲紋特徵與預存聲紋特徵進行比對;若該金鑰獲取請求中的該聲紋特徵與該預存聲紋特徵匹配,則該可信晶片向使用者終端返回金鑰回應資訊;該若該金鑰獲取請求中的該聲紋特徵與該預存聲紋特徵匹配,則該可信晶片向使用者終端返回金鑰回應資訊包括:若該金鑰獲取請求中的該聲紋特徵與該預存聲紋特徵匹配,則該可信晶片依據該聲紋特徵提取對應的資料 金鑰;該可信晶片依據該資料金鑰對該待加密或解密資料進行加密或解密,得到加密資訊或解密資訊;該可信晶片將該亂數與該加密資訊或解密資訊進行預設計算,得到運算結果;該可信晶片透過該使用者終端的公開金鑰加密該運算結果,產生該金鑰回應資訊;該可信晶片將該金鑰回應資訊返回該使用者終端。
  5. 根據申請專利範圍第4項的資料金鑰的保護方法,其中,在該金鑰獲取請求包括該聲紋特徵、身份資訊標識和金鑰控制碼的情況下,該可信晶片解析該金鑰獲取請求,並將該金鑰獲取請求中的該聲紋特徵與預存聲紋特徵進行比對包括:該可信晶片透過可信晶片的私密金鑰解密該金鑰獲取請求,提取該聲紋特徵,其中,該金鑰獲取請求透過該可信晶片的公開金鑰加密;該可信晶片的公開金鑰與可信晶片的私密金鑰對應;該可信晶片將該聲紋特徵與預存聲紋特徵進行比對,判斷該聲紋特徵是否與該預存聲紋特徵相同。
  6. 根據申請專利範圍第5項的資料金鑰的保護方法,其中,該若該金鑰獲取請求中的該聲紋特徵與該預存聲紋特 徵匹配,則該可信晶片向使用者終端返回金鑰回應資訊包括:若該金鑰獲取請求中的該聲紋特徵與該預存聲紋特徵匹配,則該可信晶片依據該聲紋特徵提取對應的資料金鑰;該可信晶片透過該使用者終端的公開金鑰加密該資料金鑰,產生該金鑰回應資訊;該可信晶片將該金鑰回應資訊返回該使用者終端。
  7. 根據申請專利範圍第4項的資料金鑰的保護方法,其中,在該金鑰獲取請求包括該聲紋特徵、亂數、待加密或解密資料、身份資訊標識和金鑰控制碼的情況下,該可信晶片解析該金鑰獲取請求,並將該金鑰獲取請求中的該聲紋特徵與預存聲紋特徵進行比對包括:該可信晶片透過可信晶片的私密金鑰解密該金鑰獲取請求,得到該聲紋特徵,其中,該金鑰獲取請求透過該可信晶片的公開金鑰加密;該可信晶片的公開金鑰與可信晶片的私密金鑰對應;該可信晶片將該聲紋特徵與預存聲紋特徵進行比對,判斷該聲紋特徵是否與該預存聲紋特徵相同。
  8. 一種資料金鑰的保護方法,其特徵在於,包括:使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,該金鑰獲取請求包括使用者的身份驗 證資訊;該使用者終端接收該使用者身份管理子系統伺服器返回的待驗證語音資訊;該使用者終端向該使用者身份管理子系統伺服器上傳使用者語音,其中,該使用者語音對應該待驗證語音資訊;該使用者終端接收可信晶片返回的金鑰回應資訊,其中,該金鑰回應資訊對應向該使用者身份管理子系統伺服器上傳的使用者語音;在該使用者終端接收該使用者身份管理子系統伺服器返回的待驗證語音資訊之後,該方法還包括:該使用者終端解析待驗證語音資訊,得到使用者身份管理子系統證書和待驗證語音;該使用者終端判斷該使用者身份管理子系統證書是否滿足預設驗證條件;在判斷結果為是的情況下,該使用者終端接收使用者朗讀的該待驗證語音的聲音信號;該使用者終端將亂數、該聲音信號和待加密或解密資料透過該使用者身份管理子系統公開金鑰進行加密,得到該使用者語音;該使用者終端向該使用者身份管理子系統伺服器上傳該使用者語音。
  9. 根據申請專利範圍第8項的資料金鑰的保護方法,其 中,在該身份驗證資訊包括身份資訊標識和金鑰控制碼的情況下,該使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求包括:該使用者終端依據該身份資訊標識和該金鑰控制碼產生該金鑰獲取請求;該使用者終端將該金鑰獲取請求發送至該使用者身份管理子系統伺服器。
  10. 根據申請專利範圍第9項的資料金鑰的保護方法,其中,在該使用者終端接收可信晶片返回的金鑰回應資訊之後,該方法還包括:該使用者終端依據使用者終端的私密金鑰解密該金鑰回應資訊,獲取該金鑰回應資訊攜帶的資料金鑰,其中,該金鑰回應資訊透過使用者終端的公開金鑰加密,該使用者終端的公開金鑰與該使用者終端的私密金鑰對應;該使用者終端依據該資料金鑰對待加密或待解密資料進行加密或解密,得到加密資料資訊或解密資訊。
  11. 根據申請專利範圍第8項的資料金鑰的保護方法,其中,在該身份驗證資訊包括可信證書、身份資訊標識和金鑰控制碼的情況下,該使用者終端向使用者身份管理子系統伺服器發送的第一金鑰獲取請求包括:該使用者終端透過使用者身份管理子系統公開金鑰對該可信證書、該身份資訊標識和該金鑰控制碼進行加密, 產生該金鑰獲取請求;該使用者終端將該金鑰獲取請求發送至該使用者身份管理子系統伺服器。
  12. 根據申請專利範圍第8項的資料金鑰的保護方法,其中,在該使用者終端接收可信晶片返回的金鑰回應資訊之後,該方法還包括:該使用者終端透過使用者終端的私密金鑰解密該金鑰回應資訊,得到該金鑰回應資訊中的運算結果;該使用者終端依據該亂數結合預設演算法校驗該運算結果,判斷該運算結果是否滿足預設校驗標準;在判斷結果為是的情況下,該使用者終端使用該運算結果。
  13. 一種資料金鑰的保護方法,其特徵在於,包括:使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,該金鑰獲取請求包括使用者的身份驗證資訊;該使用者終端接收該使用者身份管理子系統伺服器返回的待驗證語音資訊;該使用者終端向該使用者身份管理子系統伺服器上傳使用者語音,其中,該使用者語音對應該待驗證語音資訊;該使用者終端接收該使用者身份管理子系統伺服器從 該使用者語音提取的聲紋特徵;該使用者終端中的可信晶片將該聲紋特徵與預存聲紋特徵進行比對;若該聲紋特徵與該預存聲紋特徵匹配,則該使用者終端中的可信晶片提取與該聲紋特徵對應的資料金鑰;該使用者終端依據該資料金鑰執行對應操作;在該使用者終端向使用者身份管理子系統伺服器發送的金鑰獲取請求之前,該方法還包括:該使用者終端中的可信晶片導入預先獲取的身份資訊標識和聲紋特徵;該使用者終端中的可信晶片依據可信儲存根金鑰對該聲紋特徵進行加密,並儲存加密後的該聲紋特徵;該使用者終端中的可信晶片依據預設加密演算法和該身份資訊標識,產生資料金鑰,並將該資料金鑰的金鑰控制碼返回該使用者終端;該使用者終端中的可信晶片將該資料金鑰、該身份資訊標識和該聲紋特徵進行映射,得到該資料金鑰、該身份資訊標識和該聲紋特徵的映射關係,並儲存該映射關係和該資料金鑰。
  14. 一種資料金鑰的保護方法,其特徵在於,包括:獲取使用者登錄資訊,並觸發金鑰獲取請求,其中,該金鑰獲取請求包括使用者的身份驗證資訊;依據該金鑰獲取請求獲取對應待驗證語音資訊; 接收該使用者依據該待驗證語音資訊錄入的使用者語音;依據該使用者語音提取該使用者的聲紋特徵;透過可信晶片將該聲紋特徵與預存聲紋特徵進行比對;若該聲紋特徵與該預存聲紋特徵匹配,則透過該可信晶片提取與該聲紋特徵對應的資料金鑰;依據該資料金鑰執行對應操作;在該身份驗證資訊包括可信證書、身份資訊標識和金鑰控制碼的情況下,依據該金鑰獲取請求獲取對應待驗證語音資訊包括:依據使用者身份管理子系統私密金鑰解密該金鑰獲取請求,其中,該金鑰獲取請求透過使用者身份管理子系統公開金鑰加密,該使用者身份管理子系統私密金鑰與該使用者身份管理子系統公開金鑰對應;解析解密後的該金鑰獲取請求,獲取該金鑰獲取請求中的該可信證書;判斷該可信證書是否滿足預設驗證條件;在判斷結果為是的情況下,獲取該待驗證語音資訊,其中,該待驗證語音資訊包括:使用者身份管理子系統證書和待驗證語音。
  15. 一種資料金鑰的保護裝置,其特徵在於,包括:第一接收模組,用於接收使用者終端發送的第一金鑰 獲取請求,其中,該第一金鑰獲取請求包括使用者的身份驗證資訊;第一發送模組,用於依據該第一金鑰獲取請求向該使用者終端返回待驗證語音資訊;第二接收模組,用於接收該使用者終端依據該待驗證語音資訊上傳的使用者語音;請求產生模組,用於提取該使用者語音的聲紋特徵,並依據該聲紋特徵和該身份驗證資訊產生第二金鑰獲取請求;第二發送模組,用於將該第二金鑰獲取請求發送至可信晶片;在該身份驗證資訊包括可信證書、身份資訊標識和金鑰控制碼的情況下,依據該第一金鑰獲取請求向該使用者終端返回待驗證語音資訊包括:依據使用者身份管理子系統私密金鑰解密該第一金鑰獲取請求,其中,該第一金鑰獲取請求透過使用者身份管理子系統公開金鑰加密,該使用者身份管理子系統私密金鑰與該使用者身份管理子系統公開金鑰對應;解析解密後的該第一金鑰獲取請求,獲取該第一金鑰獲取請求中的該可信證書;判斷該可信證書是否滿足預設驗證條件;在判斷結果為是的情況下,向該使用者終端返回該待驗證語音資訊,其中,該待驗證語音資訊包括:使用者身份管理子系統證書和待驗證語音。
  16. 一種資料金鑰的保護裝置,其特徵在於,包括:第三接收模組,用於接收金鑰獲取請求,其中,該金鑰獲取請求包括:聲紋特徵;解析模組,用於解析該金鑰獲取請求,並將該金鑰獲取請求中的該聲紋特徵與預存聲紋特徵進行比對;第三發送模組,用於若該金鑰獲取請求中的該聲紋特徵與該預存聲紋特徵匹配,則向使用者終端返回金鑰回應資訊;該若該金鑰獲取請求中的該聲紋特徵與該預存聲紋特徵匹配,則向使用者終端返回金鑰回應資訊包括:若該金鑰獲取請求中的該聲紋特徵與該預存聲紋特徵匹配,則依據該聲紋特徵提取對應的資料金鑰;依據該資料金鑰對該待加密或解密資料進行加密或解密,得到加密資訊或解密資訊;將該亂數與該加密資訊或解密資訊進行預設計算,得到運算結果;透過該使用者終端的公開金鑰加密該運算結果,產生該金鑰回應資訊;將該金鑰回應資訊返回該使用者終端。
  17. 一種資料金鑰的保護裝置,其特徵在於,包括:第四發送模組,用於向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,該金鑰獲取請求包括使用者 的身份驗證資訊;第四接收模組,用於接收該使用者身份管理子系統伺服器返回的待驗證語音資訊;第五發送模組,用於向該使用者身份管理子系統伺服器上傳使用者語音,其中,該使用者語音對應該待驗證語音資訊;第五接收模組,用於接收可信晶片返回的金鑰回應資訊,其中,該金鑰回應資訊對應向該使用者身份管理子系統伺服器上傳的使用者語音;在接收該使用者身份管理子系統伺服器返回的待驗證語音資訊之後,解析待驗證語音資訊,得到使用者身份管理子系統證書和待驗證語音;判斷該使用者身份管理子系統證書是否滿足預設驗證條件;在判斷結果為是的情況下,接收使用者朗讀的該待驗證語音的聲音信號;將亂數、該聲音信號和待加密或解密資料透過該使用者身份管理子系統公開金鑰進行加密,得到該使用者語音;向該使用者身份管理子系統伺服器上傳該使用者語音。
  18. 一種資料金鑰的保護裝置,其特徵在於,包括:第六發送模組,用於向使用者身份管理子系統伺服器發送的金鑰獲取請求,其中,該金鑰獲取請求包括使用者的身份驗證資訊;第六接收模組,用於接收該使用者身份管理子系統伺服器返回的待驗證語音資訊; 第七發送模組,用於向該使用者身份管理子系統伺服器上傳使用者語音,其中,該使用者語音對應該待驗證語音資訊;第七接收模組,用於接收該使用者身份管理子系統伺服器從該使用者語音提取的聲紋特徵;特徵比對模組,用於將該聲紋特徵與預存聲紋特徵進行比對;金鑰提取模組,用於若該聲紋特徵與該預存聲紋特徵匹配,則使用者終端中的可信晶片提取與該聲紋特徵對應的資料金鑰;資料保護模組,用於依據該資料金鑰執行對應操作;其中,在向使用者身份管理子系統伺服器發送的金鑰獲取請求之前,該使用者終端中的可信晶片導入預先獲取的身份資訊標識和聲紋特徵;該使用者終端中的可信晶片依據可信儲存根金鑰對該聲紋特徵進行加密,並儲存加密後的該聲紋特徵;該使用者終端中的可信晶片依據預設加密演算法和該身份資訊標識,產生資料金鑰,並將該資料金鑰的金鑰控制碼返回該使用者終端;該使用者終端中的可信晶片將該資料金鑰、該身份資訊標識和該聲紋特徵進行映射,得到該資料金鑰、該身份資訊標識和該聲紋特徵的映射關係,並儲存該映射關係和該資料金鑰。
  19. 一種資料金鑰的保護裝置,其特徵在於,包括:資訊獲取模組,用於獲取使用者登錄資訊,並觸發金 鑰獲取請求,其中,該金鑰獲取請求包括使用者的身份驗證資訊;待驗證資訊獲取模組,用於依據該金鑰獲取請求獲取對應待驗證語音資訊;接收模組,用於接收該使用者依據該待驗證語音資訊錄入的使用者語音;提取模組,用於依據該使用者語音提取該使用者的聲紋特徵;特徵比對模組,用於透過可信晶片將該聲紋特徵與預存聲紋特徵進行比對;金鑰提取模組,用於若該聲紋特徵與該預存聲紋特徵匹配,則透過該可信晶片提取與該聲紋特徵對應的資料金鑰;資料保護模組,用於依據該資料金鑰執行對應操作;在該身份驗證資訊包括可信證書、身份資訊標識和金鑰控制碼的情況下,依據該金鑰獲取請求獲取對應待驗證語音資訊包括:依據使用者身份管理子系統私密金鑰解密該金鑰獲取請求,其中,該金鑰獲取請求透過使用者身份管理子系統公開金鑰加密,該使用者身份管理子系統私密金鑰與該使用者身份管理子系統公開金鑰對應;解析解密後的該金鑰獲取請求,獲取該金鑰獲取請求中的該可信證書;判斷該可信證書是否滿足預設驗證條件; 在判斷結果為是的情況下,獲取該待驗證語音資訊,其中,該待驗證語音資訊包括:使用者身份管理子系統證書和待驗證語音。
  20. 一種資料金鑰的保護系統,其特徵在於,包括:使用者聲紋身份管理子系統和可信晶片管理子系統,其中,該使用者聲紋身份管理子系統,用於獲取每個使用者身份資訊和聲紋特徵;該可信晶片管理子系統,用於依據該每個使用者身份資訊和該聲紋特徵產生對應的金鑰;該使用者聲紋身份管理子系統包括:使用者身份註冊模組、聲紋身份註冊模組、聲紋特徵模型建立模組和聲紋特徵提取模組,其中,該使用者身份註冊模組,用於接收使用者終端提交的使用者身份資訊,並依據該使用者身份資訊產生身份資訊標識,將該身份資訊標識返回該使用者終端;該聲紋身份註冊模組,用於接收該使用者終端提交的聲紋註冊請求,向該使用者終端返回聲紋回應資訊,並接收該使用者終端依據該聲紋回應資訊上傳的使用者語音;其中,該聲紋回應資訊包括待驗證的文本資訊,該文本資訊用於指示該使用者終端收錄該使用者語音;該聲紋特徵提取模組,用於提取該使用者語音的聲紋特徵;該聲紋特徵模型建立模組,用於依據該聲紋特徵 建立聲紋特徵模型。
  21. 根據申請專利範圍第20項的資料金鑰的保護系統,其中,該可信晶片管理子系統包括:使用者資訊導入模組、聲紋特徵儲存模組、使用者資料金鑰創建模組、使用者資料金鑰儲存模組、聲紋特徵比對模組和資料金鑰使用模組,其中,該使用者資訊導入模組,用於在使用者資訊包括該身份資訊標識和該聲紋特徵的情況下,將該身份資訊標識和該聲紋特徵導入可信晶片;該聲紋特徵儲存模組,用於依據可信儲存根金鑰對該聲紋特徵進行加密,並儲存加密後的該聲紋特徵;該使用者資料金鑰創建模組,用於依據預設加密演算法和該身份資訊標識,產生資料金鑰,並將該資料金鑰的金鑰控制碼返回該使用者終端;該使用者資料金鑰儲存模組,用於將該資料金鑰、該身份資訊標識和該聲紋特徵進行映射,得到該資料金鑰、該身份資訊標識和該聲紋特徵的映射關係,儲存該映射關係和該資料金鑰;該聲紋特徵比對模組,用於在該使用者終端請求獲取該資料金鑰時,提取該使用者終端上傳的使用者語音,透過提取該使用者語音的聲紋特徵,與該使用者資料金鑰儲存模組中該映射關係中的聲紋特徵進行比對;該資料金鑰使用模組,用於在比對通過後,向該使用 者終端回饋該資料金鑰,以使得該使用者終端依據該資料金鑰執行加密/解密操作。
  22. 一種儲存媒體,其特徵在於,該儲存媒體包括儲存的程式,其中,在該程式運行時控制該儲存媒體所在設備執行申請專利範圍第1至14項中任意一項的資料金鑰的保護方法。
  23. 一種計算設備,其特徵在於,包括處理器、記憶體,該記憶體上儲存有程式,該處理器用於運行程式,其中,該程式運行時適於使該處理器執行申請專利範圍第1至14項中任意一項的資料金鑰的保護方法。
TW106137120A 2017-03-28 2017-10-27 資料金鑰的保護方法、裝置和系統 TWI735691B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
??201710193994.7 2017-03-28
CN201710193994.7 2017-03-28
CN201710193994.7A CN108667608B (zh) 2017-03-28 2017-03-28 数据密钥的保护方法、装置和系统

Publications (2)

Publication Number Publication Date
TW201837776A TW201837776A (zh) 2018-10-16
TWI735691B true TWI735691B (zh) 2021-08-11

Family

ID=63670111

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106137120A TWI735691B (zh) 2017-03-28 2017-10-27 資料金鑰的保護方法、裝置和系統

Country Status (4)

Country Link
US (1) US10985913B2 (zh)
CN (1) CN108667608B (zh)
TW (1) TWI735691B (zh)
WO (1) WO2018182890A1 (zh)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9584492B2 (en) 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
EP3557815A1 (en) * 2017-09-29 2019-10-23 Huawei International Pte. Ltd. Key management method and apparatus
US10615968B1 (en) * 2018-02-02 2020-04-07 EMC IP Holding Company LLC Shuffling cryptographic keys stored in clouds of a multi-cloud environment
DE102018208066A1 (de) * 2018-05-23 2019-11-28 Robert Bosch Gmbh Datenverarbeitungseinrichtung und Betriebsverfahren hierfür
US11443072B2 (en) 2018-06-29 2022-09-13 Microsoft Technology Licensing, Llc Peripheral device with resource isolation
US11126757B2 (en) * 2018-10-19 2021-09-21 Microsoft Technology Licensing, Llc Peripheral device
CN111105777B (zh) * 2018-10-25 2023-10-31 阿里巴巴集团控股有限公司 语音数据的采集和播放方法和装置、密钥包的更新方法和装置以及存储介质
CN109361511A (zh) * 2018-11-08 2019-02-19 华为技术有限公司 数据传输方法、网络设备及计算机存储介质
US11611539B2 (en) * 2018-12-16 2023-03-21 Auth9, Inc. Method, computer program product and apparatus for encrypting and decrypting data using multiple authority keys
CN109688131A (zh) * 2018-12-25 2019-04-26 恒宝股份有限公司 一种数据传输方法、装置和系统
DK3709115T3 (da) * 2019-03-13 2023-04-24 Oticon As Høreanordning eller system omfattende en brugeridentifikationsenhed
CN109921902B (zh) * 2019-03-22 2020-10-23 创新先进技术有限公司 一种密钥管理方法、安全芯片、业务服务器及信息系统
AU2019204724C1 (en) * 2019-03-29 2021-12-09 Advanced New Technologies Co., Ltd. Cryptography chip with identity verification
CA3058242C (en) 2019-03-29 2022-05-31 Alibaba Group Holding Limited Managing cryptographic keys based on identity information
AU2019204723C1 (en) 2019-03-29 2021-10-28 Advanced New Technologies Co., Ltd. Cryptographic key management based on identity information
WO2019120323A2 (en) 2019-03-29 2019-06-27 Alibaba Group Holding Limited Securely performing cryptographic operations
US11240026B2 (en) * 2019-05-16 2022-02-01 Blackberry Limited Devices and methods of managing data
CN110380856B (zh) * 2019-08-15 2023-04-18 Oppo(重庆)智能科技有限公司 终端设备及其语音信息处理方法、装置以及存储介质
CN110909338B (zh) * 2019-11-01 2022-09-06 浙江地芯引力科技有限公司 一种基于安全芯片的安全认证方法与系统及安全芯片
WO2021083349A1 (zh) 2019-11-01 2021-05-06 浙江地芯引力科技有限公司 一种基于安全芯片的安全认证方法与系统、安全芯片及可读存储介质
CN112784276B (zh) * 2019-11-11 2024-02-23 阿里巴巴集团控股有限公司 可信度量的实现方法及装置
CN110855429A (zh) * 2019-11-20 2020-02-28 上海思赞博微信息科技有限公司 一种基于tpm的软件密钥保护方法
CN111478774B (zh) * 2020-04-09 2022-07-22 确信信息股份有限公司 一种基于语音鉴别的密钥授权方法及系统
CN111614686B (zh) * 2020-05-26 2023-01-17 牛津(海南)区块链研究院有限公司 一种密钥管理方法、控制器及系统
US20210409196A1 (en) * 2020-06-30 2021-12-30 Sectigo, Inc. Secure Key Storage Systems Methods And Devices
CN111832075A (zh) * 2020-07-24 2020-10-27 上海明略人工智能(集团)有限公司 一种音频数据处理方法、装置及电子设备
CN114245374B (zh) * 2020-09-07 2024-04-05 中国电信股份有限公司 安全认证方法、系统和相关设备
CN112632007B (zh) * 2020-12-23 2023-07-28 平安银行股份有限公司 一种日志存储及提取方法、装置、设备及存储介质
CN112839132B (zh) * 2020-12-31 2022-03-11 中孚信息股份有限公司 一种具有信息加密功能的手机输入法的实现方法及系统
CN112865969A (zh) * 2021-02-07 2021-05-28 广东工业大学 一种数据加密卡的加密方法及装置
CN113807537B (zh) * 2021-04-06 2023-12-05 京东科技控股股份有限公司 多源数据的数据处理方法、装置及电子设备、存储介质
US11985246B2 (en) * 2021-06-16 2024-05-14 Meta Platforms, Inc. Systems and methods for protecting identity metrics
US12242578B2 (en) 2021-10-13 2025-03-04 Aetna Inc. Systems and methods for using identifiers of enrollment systems for user authentication
CN114499825B (zh) * 2022-02-11 2025-01-24 上海商米科技集团股份有限公司 一种双控密钥管理方法、系统、加密机和存储介质
CN117688566A (zh) * 2022-09-02 2024-03-12 华为技术有限公司 一种数据保护方法及电子设备
CN115643014B (zh) * 2022-10-18 2023-06-06 长江量子(武汉)科技有限公司 耳机组内语音保密传输方法及加密耳机
US12034832B1 (en) 2023-05-22 2024-07-09 Atofia Llc Systems and methods for data encryption, decryption, and authentication
US12418400B1 (en) 2023-05-22 2025-09-16 Atofia Llc Systems and methods for data encryption, decryption, and authentication
CN118890615A (zh) * 2024-07-31 2024-11-01 北京微呼科技有限公司 一种基于5g网络的多媒体消息加密与传输方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101241527A (zh) * 2007-02-09 2008-08-13 联想(新加坡)私人有限公司 用于普通验证的系统和方法
TW200841681A (en) * 2006-11-30 2008-10-16 Atmel Corp Method and system for secure external TPM password generation and use
US9003196B2 (en) * 2013-05-13 2015-04-07 Hoyos Labs Corp. System and method for authorizing access to access-controlled environments
TW201528028A (zh) * 2013-08-30 2015-07-16 Cylon Global Technology Inc 身份驗證之裝置和方法
CN105656864A (zh) * 2014-11-27 2016-06-08 航天恒星科技有限公司 基于tcm的密钥管理系统及管理方法

Family Cites Families (143)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU674198B2 (en) 1992-12-24 1996-12-12 British Telecommunications Public Limited Company System and method for key distribution using quantum cryptography
US5307410A (en) 1993-05-25 1994-04-26 International Business Machines Corporation Interferometric quantum cryptographic key distribution system
US6151676A (en) 1997-12-24 2000-11-21 Philips Electronics North America Corporation Administration and utilization of secret fresh random numbers in a networked environment
US6505247B1 (en) 1998-08-21 2003-01-07 National Instruments Corporation Industrial automation system and method for efficiently transferring time-sensitive and quality-sensitive data
JP2001268535A (ja) 2000-03-15 2001-09-28 Nec Corp インターネット放送課金システム
US8677505B2 (en) 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
WO2003069489A1 (en) 2002-02-14 2003-08-21 Tanaka, Yoshiki Authenticating method
US8850179B2 (en) 2003-09-15 2014-09-30 Telecommunication Systems, Inc. Encapsulation of secure encrypted data in a deployable, secure communication system allowing benign, secure commercial transport
US7266847B2 (en) 2003-09-25 2007-09-04 Voltage Security, Inc. Secure message system with remote decryption service
US7299354B2 (en) 2003-09-30 2007-11-20 Intel Corporation Method to authenticate clients and hosts to provide secure network boot
WO2005060139A2 (en) 2003-12-17 2005-06-30 General Dynamics Advanced Information Systems, Inc. Secure quantum key distribution using entangled photons
US7644278B2 (en) 2003-12-31 2010-01-05 International Business Machines Corporation Method for securely creating an endorsement certificate in an insecure environment
US7181011B2 (en) 2004-05-24 2007-02-20 Magiq Technologies, Inc. Key bank systems and methods for QKD
US7484099B2 (en) 2004-07-29 2009-01-27 International Business Machines Corporation Method, apparatus, and product for asserting physical presence with a trusted platform module in a hypervisor environment
US20060056630A1 (en) 2004-09-13 2006-03-16 Zimmer Vincent J Method to support secure network booting using quantum cryptography and quantum key distribution
US9191198B2 (en) 2005-06-16 2015-11-17 Hewlett-Packard Development Company, L.P. Method and device using one-time pad data
US7885412B2 (en) 2005-09-29 2011-02-08 International Business Machines Corporation Pre-generation of generic session keys for use in communicating within communications environments
DE602005014879D1 (de) 2005-12-23 2009-07-23 Alcatel Lucent Ressourcen-Zugangskontrolle für Kunden-gesteuerte und Netzwerk-gesteuerte Abfragen
US8082443B2 (en) 2006-01-09 2011-12-20 Bbnt Solutions Llc. Pedigrees for quantum cryptography
US20130227286A1 (en) 2006-04-25 2013-08-29 Andre Jacques Brisson Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
EP2016701A4 (en) 2006-04-25 2012-04-25 Stephen Laurence Boren DYNAMIC DISTRIBUTED KEY SYSTEM AND METHOD FOR MANAGING IDENTITY, AUTHENTICATION OF SERVERS, DATA SECURITY AND PREVENTING ATTACKS OF MIDDLE MAN
CN101072100B (zh) * 2006-05-12 2012-03-28 联想(北京)有限公司 一种利用可信赖平台模块的认证系统和认证方法
US7783882B2 (en) 2006-09-07 2010-08-24 International Business Machines Corporation Recovering remnant encrypted data on a removable storage media
CN101512540B (zh) * 2006-09-29 2011-12-07 富士通株式会社 信息处理装置及其方法
US8418235B2 (en) 2006-11-15 2013-04-09 Research In Motion Limited Client credential based secure session authentication method and apparatus
US8213602B2 (en) 2006-11-27 2012-07-03 Broadcom Corporation Method and system for encrypting and decrypting a transport stream using multiple algorithms
US20080165973A1 (en) 2007-01-09 2008-07-10 Miranda Gavillan Jose G Retrieval and Display of Encryption Labels From an Encryption Key Manager
CN101222488B (zh) 2007-01-10 2010-12-08 华为技术有限公司 控制客户端访问网络设备的方法和网络认证服务器
WO2008147577A2 (en) 2007-01-22 2008-12-04 Spyrus, Inc. Portable data encryption device with configurable security functionality and method for file encryption
US20080219449A1 (en) 2007-03-09 2008-09-11 Ball Matthew V Cryptographic key management for stored data
JP2010524410A (ja) 2007-04-12 2010-07-15 エヌサイファー・コーポレーション・リミテッド 暗号鍵を識別および管理するための方法およびシステム
GB2450869B (en) 2007-07-09 2012-04-25 Hewlett Packard Development Co Establishing a trust relationship between computing entities
US8111828B2 (en) 2007-07-31 2012-02-07 Hewlett-Packard Development Company, L.P. Management of cryptographic keys for securing stored data
US20090125444A1 (en) 2007-08-02 2009-05-14 William Cochran Graphical user interface and methods of ensuring legitimate pay-per-click advertising
CN101106455B (zh) 2007-08-20 2010-10-13 北京飞天诚信科技有限公司 身份认证的方法和智能密钥装置
US9323901B1 (en) 2007-09-28 2016-04-26 Emc Corporation Data classification for digital rights management
US8917247B2 (en) 2007-11-20 2014-12-23 Samsung Electronics Co., Ltd. External device identification method and apparatus in a device including a touch spot, and computer-readable recording mediums having recorded thereon programs for executing the external device identification method in a device including a touch spot
GB0801395D0 (en) 2008-01-25 2008-03-05 Qinetiq Ltd Network having quantum key distribution
US20090204812A1 (en) 2008-02-13 2009-08-13 Baker Todd M Media processing
US20090265543A1 (en) 2008-04-18 2009-10-22 Amit Khetawat Home Node B System Architecture with Support for RANAP User Adaptation Protocol
JP2009265159A (ja) 2008-04-22 2009-11-12 Nec Corp 秘匿通信ネットワークにおける共有乱数管理方法および管理システム
US8838990B2 (en) * 2008-04-25 2014-09-16 University Of Colorado Board Of Regents Bio-cryptography: secure cryptographic protocols with bipartite biotokens
GB0809044D0 (en) 2008-05-19 2008-06-25 Qinetiq Ltd Multiplexed QKD
CN105468963A (zh) 2008-08-20 2016-04-06 韦尔普罗有限责任公司 用于生成密码的数据包发生器
GB0819665D0 (en) 2008-10-27 2008-12-03 Qinetiq Ltd Quantum key dsitribution
KR101540798B1 (ko) 2008-11-21 2015-07-31 삼성전자 주식회사 가상화 환경에서 보안 정보를 제공하기 위한 장치 및 방법
US9438574B2 (en) 2008-12-30 2016-09-06 Avago Technologies General Ip (Singapore) Pte. Ltd. Client/server authentication over Fibre channel
CA2751138C (en) 2009-02-04 2018-06-19 Data Security Systems Solutions Pte Ltd Transforming static password systems to become 2-factor authentication
US8194858B2 (en) 2009-02-19 2012-06-05 Physical Optics Corporation Chaotic cipher system and method for secure communication
US8077047B2 (en) 2009-04-16 2011-12-13 Ut-Battelle, Llc Tampering detection system using quantum-mechanical systems
US8266433B1 (en) 2009-04-30 2012-09-11 Netapp, Inc. Method and system for automatically migrating encryption keys between key managers in a network storage system
GB0917060D0 (en) 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
US8700893B2 (en) 2009-10-28 2014-04-15 Microsoft Corporation Key certification in one round trip
US8789166B2 (en) 2009-10-30 2014-07-22 Feitian Technologies Co., Ltd. Verification method and system thereof
KR101314210B1 (ko) 2009-11-24 2013-10-02 한국전자통신연구원 사용자 인증 양자 키 분배 방법
WO2011068784A1 (en) 2009-12-01 2011-06-09 Azuki Systems, Inc. Method and system for secure and reliable video streaming with rate adaptation
KR101351012B1 (ko) 2009-12-18 2014-01-10 한국전자통신연구원 다자간 양자 통신에서의 사용자 인증 방법 및 장치
CN101741852B (zh) 2009-12-31 2012-08-08 飞天诚信科技股份有限公司 认证方法、系统和认证装置
US8418259B2 (en) 2010-01-05 2013-04-09 Microsoft Corporation TPM-based license activation and validation
GB201000288D0 (en) * 2010-01-11 2010-02-24 Scentrics Information Security System and method of enforcing a computer policy
US8850554B2 (en) 2010-02-17 2014-09-30 Nokia Corporation Method and apparatus for providing an authentication context-based session
US8984588B2 (en) 2010-02-19 2015-03-17 Nokia Corporation Method and apparatus for identity federation gateway
US8892820B2 (en) 2010-03-19 2014-11-18 Netapp, Inc. Method and system for local caching of remote storage data
US8375437B2 (en) * 2010-03-30 2013-02-12 Microsoft Corporation Hardware supported virtualized cryptographic service
US9002009B2 (en) 2010-06-15 2015-04-07 Los Alamos National Security, Llc Quantum key distribution using card, base station and trusted authority
US20120032781A1 (en) * 2010-08-09 2012-02-09 Electronics And Telecommunications Research Institute Remote personal authentication system and method using biometrics
US8917631B2 (en) 2010-08-23 2014-12-23 Ortsbo Inc. System and method for sharing information between two or more devices
US8505083B2 (en) 2010-09-30 2013-08-06 Microsoft Corporation Remote resources single sign on
JP5682212B2 (ja) 2010-10-06 2015-03-11 ソニー株式会社 量子暗号通信装置と量子暗号通信方法および量子暗号通信システム
GB201020424D0 (en) 2010-12-02 2011-01-19 Qinetiq Ltd Quantum key distribution
US8839134B2 (en) 2010-12-24 2014-09-16 Intel Corporation Projection interface techniques
CN103608829A (zh) 2011-01-18 2014-02-26 舍德Ip有限责任公司 用于基于编码完整性进行计算机化协商的系统和方法
US9531758B2 (en) 2011-03-18 2016-12-27 Zscaler, Inc. Dynamic user identification and policy enforcement in cloud-based secure web gateways
WO2012139174A1 (en) 2011-04-15 2012-10-18 Quintessencelabs Pty Ltd Qkd key management system
EP2737729A1 (en) 2011-07-29 2014-06-04 3M Innovative Properties Company Wireless presentation system allowing automatic association and connection
EP2555466B1 (en) 2011-08-05 2014-07-02 SELEX ES S.p.A. System for distributing cryptographic keys
US10102383B2 (en) 2011-08-19 2018-10-16 Quintessencelabs Pty Ltd. Permanently erasing mechanism for encryption information
US9509506B2 (en) 2011-09-30 2016-11-29 Los Alamos National Security, Llc Quantum key management
US9088805B2 (en) 2012-02-08 2015-07-21 Vixs Systems, Inc. Encrypted memory device and methods for use therewith
US8302152B1 (en) 2012-02-17 2012-10-30 Google Inc. Location-based security system for portable electronic device
CN104145466A (zh) 2012-02-24 2014-11-12 诺基亚公司 用于动态服务器/客户端控制的连通性逻辑的方法和装置
US9100825B2 (en) * 2012-02-28 2015-08-04 Verizon Patent And Licensing Inc. Method and system for multi-factor biometric authentication based on different device capture modalities
JP2013205604A (ja) 2012-03-28 2013-10-07 Toshiba Corp 通信装置および鍵管理方法
US9130742B2 (en) 2012-03-30 2015-09-08 California Institute Of Technology Key agreement in wireless networks with active adversaries
US20130262873A1 (en) * 2012-03-30 2013-10-03 Cgi Federal Inc. Method and system for authenticating remote users
US9307564B2 (en) 2012-05-18 2016-04-05 Qualcomm Incorporated Automatic device-to-device connection control by environmental information
JP2015522998A (ja) 2012-05-23 2015-08-06 ユニバーシティ オブ リーズ 安全通信方法
US8693691B2 (en) 2012-05-25 2014-04-08 The Johns Hopkins University Embedded authentication protocol for quantum key distribution systems
US10171454B2 (en) 2012-08-23 2019-01-01 Alejandro V. Natividad Method for producing dynamic data structures for authentication and/or password identification
ES2912265T3 (es) 2012-08-30 2022-05-25 Triad Nat Security Llc Autenticación multifactor utilizando comunicación cuántica
CN102801530B (zh) 2012-09-04 2015-08-26 飞天诚信科技股份有限公司 一种基于声音传输的认证方法
US8850227B1 (en) * 2012-09-05 2014-09-30 Google Inc. Cryptographic operations using a key hierarchy
CN102946313B (zh) 2012-10-08 2016-04-06 北京邮电大学 一种用于量子密钥分配网络的用户认证模型和方法
US20140104137A1 (en) 2012-10-16 2014-04-17 Google Inc. Systems and methods for indirectly associating logical and physical display content
US9294267B2 (en) 2012-11-16 2016-03-22 Deepak Kamath Method, system and program product for secure storage of content
CN103034603B (zh) 2012-12-07 2014-06-18 天津瑞发科半导体技术有限公司 多通道闪存卡控制装置及其控制方法
US9129100B2 (en) 2012-12-13 2015-09-08 Huawei Technologies Co., Ltd. Verification code generation and verification method and apparatus
US8990550B1 (en) 2012-12-27 2015-03-24 Emc Corporation Methods and apparatus for securing communications between a node and a server based on hardware metadata gathered by an in-memory process
US8869303B2 (en) 2013-02-16 2014-10-21 Mikhail Fleysher Method and system for generation of dynamic password
US9374376B2 (en) 2013-02-27 2016-06-21 The Boeing Company Anti-hacking system for quantum communication
CN104036780B (zh) 2013-03-05 2017-05-24 阿里巴巴集团控股有限公司 一种人机识别方法及系统
US9747456B2 (en) 2013-03-15 2017-08-29 Microsoft Technology Licensing, Llc Secure query processing over encrypted data
BR112015026372B8 (pt) 2013-04-18 2024-02-15 Facecon Co Ltd Dispositivo de comunicação que reforça a segurança para um arquivo armazenado em uma unidade virtual
CN105191249A (zh) 2013-04-26 2015-12-23 日立麦克赛尔株式会社 投影型影像显示装置
US9282093B2 (en) 2013-04-30 2016-03-08 Microsoft Technology Licensing, Llc Synchronizing credential hashes between directory services
US10560265B2 (en) 2013-06-08 2020-02-11 Quantumctek Co., Ltd. Mobile secret communications method based on quantum key distribution network
CN106972922B (zh) 2013-06-08 2019-06-14 科大国盾量子技术股份有限公司 一种基于量子密钥分配网络的移动保密通信方法
JP6098439B2 (ja) 2013-08-28 2017-03-22 日亜化学工業株式会社 波長変換部材、発光装置、及び発光装置の製造方法
WO2015041500A1 (ko) 2013-09-23 2015-03-26 삼성전자 주식회사 홈 네트워크 시스템에서 보안 관리 방법 및 장치
US20150095987A1 (en) 2013-10-01 2015-04-02 Certify Global LLC Systems and methods of verifying an authentication using dynamic scoring
KR101479117B1 (ko) 2013-10-30 2015-01-07 에스케이 텔레콤주식회사 양자 키 분배 프로토콜을 구현함에 있어 더블 버퍼링 방식을 이용한 원시 키 생성 방법 및 장치
KR20150054505A (ko) 2013-11-12 2015-05-20 건국대학교 산학협력단 홈 가전기기들에 대한 관리 서비스를 제공하는 클라우드 기반의 데이터 서버 및 홈 가전기기들에 대한 관리 서비스 제공 방법
US9684780B2 (en) 2013-11-25 2017-06-20 Yingjie Liu Dynamic interactive identity authentication method and system
US20150207926A1 (en) 2014-01-23 2015-07-23 Microsoft Corporation Entity-linked reminder notifications
EP3661118B1 (en) 2014-01-31 2023-08-23 Cryptometry Canada Inc. System and method for performing secure communications
JP6359285B2 (ja) 2014-02-17 2018-07-18 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
JP6223884B2 (ja) 2014-03-19 2017-11-01 株式会社東芝 通信装置、通信方法およびプログラム
JP6203093B2 (ja) 2014-03-19 2017-09-27 株式会社東芝 通信システム、通信装置、通信方法およびプログラム
US9331875B2 (en) 2014-04-04 2016-05-03 Nxgen Partners Ip, Llc System and method for communication using orbital angular momentum with multiple layer overlay modulation
US20150288517A1 (en) 2014-04-04 2015-10-08 Ut-Battelle, Llc System and method for secured communication
US9830467B1 (en) 2014-04-14 2017-11-28 Michael Harold System, method and apparatus for securely storing data on public networks
US9083739B1 (en) 2014-05-29 2015-07-14 Shape Security, Inc. Client/server authentication using dynamic credentials
KR101776137B1 (ko) 2014-10-30 2017-09-19 에스케이 텔레콤주식회사 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법
CN105553648B (zh) 2014-10-30 2019-10-29 阿里巴巴集团控股有限公司 量子密钥分发、隐私放大及数据传输方法、装置及系统
CN104486307B (zh) 2014-12-03 2017-08-15 中国电子科技集团公司第三十研究所 一种基于同态加密的分权密钥管理方法
CN105827397B (zh) 2015-01-08 2019-10-18 阿里巴巴集团控股有限公司 基于可信中继的量子密钥分发系统、方法及装置
CN104657099B (zh) 2015-01-15 2019-04-12 小米科技有限责任公司 屏幕投射方法、装置及系统
CN105871538B (zh) 2015-01-22 2019-04-12 阿里巴巴集团控股有限公司 量子密钥分发系统、量子密钥分发方法及装置
CN104579694B (zh) 2015-02-09 2018-09-14 浙江大学 一种身份认证方法及系统
CN105991285B (zh) 2015-02-16 2019-06-11 阿里巴巴集团控股有限公司 用于量子密钥分发过程的身份认证方法、装置及系统
WO2016145037A1 (en) 2015-03-09 2016-09-15 University Of Houston System Methods and apparatuses for authentication in quantum key distribution and/or quantum data communication
CN104780040A (zh) 2015-04-06 2015-07-15 安徽问天量子科技股份有限公司 基于量子密码的手持设备加密方法及系统
US9667600B2 (en) 2015-04-06 2017-05-30 At&T Intellectual Property I, L.P. Decentralized and distributed secure home subscriber server device
CN106209739B (zh) 2015-05-05 2019-06-04 科大国盾量子技术股份有限公司 云存储方法及系统
US9578008B2 (en) 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US9801219B2 (en) 2015-06-15 2017-10-24 Microsoft Technology Licensing, Llc Pairing of nearby devices using a synchronized cue signal
US10348704B2 (en) 2015-07-30 2019-07-09 Helder Silvestre Paiva Figueira Method for a dynamic perpetual encryption cryptosystem
CN105007285B (zh) * 2015-08-19 2018-07-24 南京万道电子技术有限公司 一种基于物理不可克隆函数的密钥保护方法和安全芯片
US11398915B2 (en) 2016-08-26 2022-07-26 Samsung Electronics Co., Ltd. Apparatus and method for two-way authentication
US9923717B2 (en) 2015-10-07 2018-03-20 International Business Machines Corporation Refresh of shared cryptographic keys
US10321182B2 (en) 2016-09-13 2019-06-11 Dvdo, Inc. System and method for real-time transfer and presentation multiple internet of things (IoT) device information on an electronic device based on casting and slinging gesture command
US20180262907A1 (en) 2017-03-10 2018-09-13 International Business Machines Corporation Location based authentication verification for internet of things
US10432395B2 (en) 2017-10-04 2019-10-01 The Boeing Company Recipient-driven data encryption

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200841681A (en) * 2006-11-30 2008-10-16 Atmel Corp Method and system for secure external TPM password generation and use
CN101241527A (zh) * 2007-02-09 2008-08-13 联想(新加坡)私人有限公司 用于普通验证的系统和方法
US9003196B2 (en) * 2013-05-13 2015-04-07 Hoyos Labs Corp. System and method for authorizing access to access-controlled environments
TW201528028A (zh) * 2013-08-30 2015-07-16 Cylon Global Technology Inc 身份驗證之裝置和方法
CN105656864A (zh) * 2014-11-27 2016-06-08 航天恒星科技有限公司 基于tcm的密钥管理系统及管理方法

Also Published As

Publication number Publication date
CN108667608A (zh) 2018-10-16
TW201837776A (zh) 2018-10-16
CN108667608B (zh) 2021-07-27
US20180287792A1 (en) 2018-10-04
WO2018182890A1 (en) 2018-10-04
US10985913B2 (en) 2021-04-20

Similar Documents

Publication Publication Date Title
TWI735691B (zh) 資料金鑰的保護方法、裝置和系統
CN110677418B (zh) 可信声纹认证方法、装置、电子设备及存储介质
JP6370722B2 (ja) データセンタへのプラットフォームの内包検証
US9875368B1 (en) Remote authorization of usage of protected data in trusted execution environments
CN101039186B (zh) 系统日志的安全审计方法
CN102271037B (zh) 基于在线密钥的密钥保护装置
US8352740B2 (en) Secure execution environment on external device
TWI734854B (zh) 資訊安全的驗證方法、裝置和系統
JP2016520265A (ja) セキュリティパラメータに基づくワーキングセキュリティキーの生成
WO2021111824A1 (ja) 電子署名システム及び耐タンパ装置
CN111371726B (zh) 安全代码空间的认证方法、装置、存储介质及处理器
CN112311718A (zh) 检测硬件的方法、装置、设备及存储介质
WO2015117523A1 (zh) 访问控制方法及装置
Cooijmans et al. Secure key storage and secure computation in Android
CN111901304B (zh) 移动安全设备的注册方法和装置、存储介质、电子装置
CN119892522B (zh) 负控终端程序可信加载方法及电子设备
CN103532961A (zh) 一种基于可信密码模块电网网站身份认证的方法及系统
CN116938467A (zh) 通信方法、系统、设备及存储介质
CN108985079B (zh) 数据验证方法和验证系统
KR102078920B1 (ko) 씰링 및 원격 증명을 기반으로 하는 2차 인증 방법 및 시스템
HK1261951A1 (zh) 数据密钥的保护方法、装置和系统
HK1261951B (zh) 数据密钥的保护方法、装置和系统
CN114091088B (zh) 用于提高通信安全的方法和装置
CN114861231B (zh) 可数字签名的数据储存装置、数字签名系统及签名方法
CN116938463A (zh) 应用运行环境的可信性检测方法、设备及介质

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees