本發(fā)明涉及移動支付安全技術(shù)領(lǐng)域，尤其涉及一種對云支付限制密鑰進(jìn)行解密的方法、裝置和系統(tǒng)。

背景技術(shù)：

hce(hostcardemulation)技術(shù)又稱為主機(jī)卡模擬技術(shù)。hce模式下終端安全模塊se被遠(yuǎn)程托管的云端se(cloudsecureelement或seonthecloud)所取代，移動設(shè)備即使沒有se硬件模塊也可實(shí)現(xiàn)云支付應(yīng)用。

云支付卡的核心原理是：云端支付平臺提前分發(fā)限制密鑰(luk,limitusagekey)到移動應(yīng)用客戶端；用戶拍卡消費(fèi)時，移動應(yīng)用客戶端使用限制密鑰生成應(yīng)用密文，應(yīng)用密文經(jīng)非接受理終端發(fā)送至云端支付平臺驗(yàn)證。

限制密鑰作為敏感參數(shù)，在密鑰分發(fā)過程采用了基于accesspin的保護(hù)機(jī)制。accesspin是為保護(hù)限制密鑰而設(shè)置的用戶口令，用戶在注冊申請?jiān)贫酥Ц顿~戶時需要同時設(shè)置accesspin，并由云端支付平臺保存，即一般意義上所說的賬號密碼。限制密鑰的產(chǎn)生、保護(hù)、分發(fā)、恢復(fù)及使用的具體過程如下：

1)云端支付平臺通過發(fā)卡行主密鑰(imk)分散出卡片主密鑰(cmk)，繼而再分散產(chǎn)生限制密鑰；

2)云端支付平臺使用所保存的accesspin作為輸入?yún)?shù)，通過對稱加密過程(funcluk2px)將限制密鑰(luk_a2)轉(zhuǎn)化為移動應(yīng)用可以存儲的字符串(px_luk)；

3)云端支付平臺通過推送或拉送等方法將限制密鑰密文(px_luk)分發(fā)到移動應(yīng)用，移動應(yīng)用將px_luk保存在本地存儲庫中；

4)用戶在啟動云支付交易時,移動應(yīng)用提示用戶輸入accesspin,通過對稱解密過程(funcpx2luk)完成限制密鑰的恢復(fù)；

5)移動應(yīng)用使用經(jīng)過恢復(fù)的限制密鑰對交易要素計(jì)算應(yīng)用密文(arqc)；

6)應(yīng)用密文經(jīng)非接受理終端發(fā)送至云端支付平臺驗(yàn)證。

發(fā)明人在研究的過程中發(fā)現(xiàn)，使用accesspin作為密鑰保護(hù)參數(shù),應(yīng)用對稱加密算法保護(hù)限制密鑰存在以下安全風(fēng)險(xiǎn)：

1)由于accesspin在用戶注冊時需要發(fā)送給云支付平臺，因而在傳輸過程中存在敏感參數(shù)被竊取、被劫持、被仿冒等安全風(fēng)險(xiǎn)；

2)由于云端支付平臺存儲accesspin的必要性，因而存在被拖庫風(fēng)險(xiǎn)，一旦云端支付平臺的數(shù)據(jù)泄露，攻擊者即可通過盜用敏感參數(shù)，造成大面積的用戶資金損失；攻擊者通常也采用撞庫手段，將攻擊者本人的敏感存儲移置替換為目標(biāo)用戶的敏感存儲，從而達(dá)到惡意盜用目的；

3)由于限制密鑰采用對稱加密技術(shù)，加密和解密過程使用的是相同的共享密鑰，后臺運(yùn)營管理員可通過共享密鑰輕易偽造用戶的交易，因此需要額外的管理和審計(jì)成本從制度和流程上加以嚴(yán)格的控制，一般取得需要取得監(jiān)管部門較為嚴(yán)格的認(rèn)證服務(wù)資質(zhì)。

相比于對稱加密技術(shù)，應(yīng)用非對稱數(shù)字證書加密技術(shù)能夠有效解決上述安全風(fēng)險(xiǎn)：

1)由于數(shù)字證書強(qiáng)身份認(rèn)證的機(jī)制和非對稱算法的特性，攻擊者難以通過公鑰逆向恢復(fù)私鑰或仿冒用戶，有效解決了身份認(rèn)證、敏感參數(shù)傳輸和存儲的安全風(fēng)險(xiǎn)；

2)云支付平臺僅需掌握加密所需要的公鑰證書，解密所需要的私鑰由用戶掌握，因此，從技術(shù)機(jī)制上杜絕了后管人員偽造用戶交易的可能性。

然而，由于移動終端的脆弱性，應(yīng)用對稱加密技術(shù)或者非對稱數(shù)字證書加密技術(shù)，私鑰在存儲或使用過程中均存在私鑰暴露風(fēng)險(xiǎn)。如何解決密鑰在非可信環(huán)境中的安全性，使得密鑰在存儲和使用過程中均不完整出現(xiàn)，是當(dāng)前亟需解決的技術(shù)難題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的主要目的在于提供一種對云支付限制密鑰進(jìn)行解密的方法、裝置和系統(tǒng)，解決私鑰在移動終端這種非可信環(huán)境中存儲和使用的安全問題，從而為應(yīng)用數(shù)字證書加密技術(shù)實(shí)現(xiàn)云支付限制密鑰的安全分發(fā)和使用提供技術(shù)保障。

本發(fā)明一方面提供了一種對云支付限制密鑰進(jìn)行解密的方法，包括：

使用多個私鑰碎片分別迭代恢復(fù)橢圓曲線點(diǎn)后進(jìn)行私鑰解密；所述多個私鑰碎片分別迭代的運(yùn)算結(jié)果與對應(yīng)私鑰的運(yùn)算結(jié)果等效，且解密過程無完整私鑰出現(xiàn)。

進(jìn)一步的，所述使用多個私鑰碎片分別迭代恢復(fù)橢圓曲線點(diǎn)，包括：

接收輸入設(shè)備發(fā)送的橢圓曲線點(diǎn)；

順序判斷隨機(jī)產(chǎn)生的私鑰碎片序列中的私鑰碎片的類型；

根據(jù)所述私鑰碎片的類型，獲取單一私鑰碎片參數(shù)；

使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)迭代直至恢復(fù)橢圓曲線點(diǎn)。

進(jìn)一步的，所述私鑰碎片的類型包括存儲類私鑰碎片和派生類私鑰碎片。

進(jìn)一步的，根據(jù)所述私鑰碎片的類型，獲取單一私鑰碎片參數(shù)，包括：

判斷所述私鑰碎片的類型為存儲類私鑰碎片；

讀取移動終端本地保存的存儲類私鑰碎片；

根據(jù)所述存儲類私鑰碎片，獲取單一私鑰碎片參數(shù)。

進(jìn)一步的，根據(jù)所述私鑰碎片的類型，獲取單一私鑰碎片參數(shù)，包括：

判斷所述私鑰碎片的類型為派生類私鑰碎片；

采集靜態(tài)信息，實(shí)時派生碎片參數(shù)；

根據(jù)所述實(shí)時派生碎片參數(shù)，獲取單一私鑰碎片參數(shù)。

進(jìn)一步的，使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)迭代直至恢復(fù)橢圓曲線點(diǎn)，包括但不限于：

使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)通過加法多項(xiàng)式私鑰碎片、乘法多項(xiàng)式私鑰碎片或門限多項(xiàng)式私鑰碎片中的一種恢復(fù)橢圓曲線點(diǎn)。

本發(fā)明一方面還提供了一種對云支付限制密鑰進(jìn)行解密的系統(tǒng)，包括：

迭代恢復(fù)模塊，用于使用多個私鑰碎片分別迭代恢復(fù)橢圓曲線點(diǎn)后進(jìn)行私鑰解密；所述多個私鑰碎片分別迭代的運(yùn)算結(jié)果與對應(yīng)私鑰的運(yùn)算結(jié)果等效，且解密過程無完整私鑰出現(xiàn)。

進(jìn)一步的，所述迭代恢復(fù)模塊，包括：

接收單元，用于接收輸入設(shè)備發(fā)送的橢圓曲線點(diǎn)；

判斷單元，用于順序判斷隨機(jī)產(chǎn)生的私鑰碎片序列中的私鑰碎片的類型；

獲取單元，用于根據(jù)所述私鑰碎片的類型，獲取單一私鑰碎片參數(shù)；

迭代恢復(fù)單元，用于使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)迭代直至恢復(fù)橢圓曲線點(diǎn)。

進(jìn)一步的，所述私鑰碎片的類型包括存儲類私鑰碎片和派生類私鑰碎片。

進(jìn)一步的，所述獲取單元，包括：

第一判斷單元，用于判斷所述私鑰碎片的類型為存儲類私鑰碎片；

讀取單元，用于讀取移動終端本地保存的存儲類私鑰碎片；

第一獲取單元，用于根據(jù)所述存儲類私鑰碎片，獲取單一私鑰碎片參數(shù)。

進(jìn)一步的，所述獲取單元，包括：

第二判斷單元，用于判斷所述私鑰碎片的類型為派生類私鑰碎片；

派生單元，用于采集靜態(tài)信息，實(shí)時派生碎片參數(shù)；

第二獲取單元，用于根據(jù)所述實(shí)時派生碎片參數(shù)，獲取單一私鑰碎片參數(shù)。

進(jìn)一步的，所述迭代恢復(fù)單元，包括但不限于：

第一迭代恢復(fù)單元，用于使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)通過加法多項(xiàng)式私鑰碎片恢復(fù)橢圓曲線點(diǎn)；

第二迭代恢復(fù)單元，用于使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)通過乘法多項(xiàng)式私鑰碎片恢復(fù)橢圓曲線點(diǎn)；

第三迭代恢復(fù)單元，用于使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)通過門限多項(xiàng)式私鑰碎片恢復(fù)橢圓曲線點(diǎn)。

本發(fā)明另一方面還提供了一種對云支付限制密鑰進(jìn)行解密的裝置，其特征在于，包括前述任一所述的系統(tǒng)。

本發(fā)明提供了一種對云支付限制密鑰進(jìn)行解密的方法、裝置和系統(tǒng)，通過使用多個私鑰碎片分別迭代恢復(fù)橢圓曲線點(diǎn)后進(jìn)行私鑰解密；所述多個私鑰碎片分別迭代的運(yùn)算結(jié)果與對應(yīng)私鑰的運(yùn)算結(jié)果等效，且解密過程無完整私鑰出現(xiàn)的技術(shù)方案，有效抵御越權(quán)訪問隱私數(shù)據(jù)的惡意攻擊。采用了多碎片分別迭代運(yùn)算的技術(shù)，整個解密過程無完整私鑰出現(xiàn)，從而解決了移動終端私鑰暴露的安全問題；在移動終端私鑰暴露問題得以解決的基礎(chǔ)上，本發(fā)明實(shí)現(xiàn)了云支付限制密鑰的安全分發(fā)和使用，從而有效解決了accesspin和對稱加密保護(hù)限制密鑰的安全問題。

附圖說明

圖1為根據(jù)本發(fā)明的一種對云支付限制密鑰進(jìn)行解密的方法的實(shí)施例一的流程圖；

圖2為根據(jù)本發(fā)明的一種對云支付限制密鑰進(jìn)行解密的系統(tǒng)的實(shí)施例二的結(jié)構(gòu)框圖；

圖3為根據(jù)本發(fā)明的一種對云支付限制密鑰進(jìn)行解密的裝置的實(shí)施例三的結(jié)構(gòu)框圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。

需要說明的是，本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤４送?，術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

由于解密過程只有步驟b3包含私鑰運(yùn)算，即針對恢復(fù)橢圓曲線點(diǎn)r的私鑰運(yùn)算；b3：計(jì)算r＝[db]c1＝(x2,y2)；其中，db為用戶b的私鑰，c1為橢圓曲線點(diǎn)。

為了解決私鑰暴露的問題，本發(fā)明采用了碎片化的私鑰保護(hù)方法，即通過構(gòu)造可由多個碎片合成私鑰的多項(xiàng)式，解密過程的私鑰運(yùn)算替代為多個碎片分別迭代的運(yùn)算過程，多碎片分別迭代運(yùn)算的最終結(jié)果與相應(yīng)私鑰的運(yùn)算結(jié)果(b3)等效。

以下將結(jié)合附圖對本發(fā)明的實(shí)施例詳細(xì)說明：

實(shí)施例一

參照圖1，圖1示出了本發(fā)明提供的一種對云支付限制密鑰進(jìn)行解密的方法的一實(shí)施例的流程圖。本實(shí)施例的方法應(yīng)用于服務(wù)器中，該方法包括：步驟s110。

在步驟s110中，使用多個私鑰碎片分別迭代恢復(fù)橢圓曲線點(diǎn)后進(jìn)行私鑰解密；所述多個私鑰碎片分別迭代的運(yùn)算結(jié)果與對應(yīng)私鑰的運(yùn)算結(jié)果等效，且解密過程無完整私鑰出現(xiàn)。

由于移動終端的脆弱性，私鑰無論在存儲還是使用過程中均存在私鑰暴露風(fēng)險(xiǎn)。本發(fā)明的技術(shù)方案中，解密過程無完整私鑰出現(xiàn)，解決密鑰在非可信環(huán)境中的安全性，使得密鑰在存儲和使用過程中均不完整出現(xiàn)。

進(jìn)一步的，所述使用多個私鑰碎片分別迭代恢復(fù)橢圓曲線點(diǎn)，包括：

接收輸入設(shè)備發(fā)送的橢圓曲線點(diǎn)；

順序判斷隨機(jī)產(chǎn)生的私鑰碎片序列中的私鑰碎片的類型；其中，服務(wù)器隨機(jī)產(chǎn)生的私鑰碎片序列的方法包括：根據(jù)單次觸發(fā)隨機(jī)產(chǎn)生，打亂私鑰碎片編號的順序。解密過程中隨機(jī)采集私鑰碎片，每次的執(zhí)行順序都不同，即可以通過隨機(jī)產(chǎn)生的順序迭代恢復(fù)，從而進(jìn)一步提升攻擊者針對移動終端的破解難度。

根據(jù)所述私鑰碎片的類型，獲取單一私鑰碎片參數(shù)；其中，每次獲取一個私鑰碎片參數(shù)，降低破解概率。

使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)迭代直至恢復(fù)橢圓曲線點(diǎn)。

進(jìn)一步的，所述私鑰碎片的類型包括存儲類私鑰碎片和派生類私鑰碎片。

其中，存儲類私鑰碎片包括但不限于密鑰產(chǎn)生階段所生成的隨機(jī)數(shù)以及從服務(wù)器接收的敏感參數(shù)等；存儲類私鑰碎片在移動終端落地保存，使用時從移動終端中讀取。派生類私鑰碎片指非落地保存的參數(shù)，密鑰產(chǎn)生和使用時均通過靜態(tài)信息實(shí)時產(chǎn)生；靜態(tài)信息包括移動終端的硬件信息(例如emei、imsi等)、應(yīng)用安裝信息(例如應(yīng)用代碼簽名、應(yīng)用首次啟用時間等)、生物特征以及用戶密碼等。生物特征包括指紋、人像、聲紋等用戶特征。

由于移動終端存在越權(quán)訪問隱私數(shù)據(jù)的安全威脅，為了提高碎片參數(shù)的安全性，本發(fā)明綜合使用儲類私鑰碎片和派生類私鑰碎片，有效抵御越權(quán)訪問隱私數(shù)據(jù)的惡意攻擊。

進(jìn)一步的，根據(jù)所述私鑰碎片的類型，獲取單一私鑰碎片參數(shù)，包括：

判斷所述私鑰碎片的類型為存儲類私鑰碎片；

讀取移動終端本地保存的存儲類私鑰碎片；

根據(jù)所述存儲類私鑰碎片，獲取單一私鑰碎片參數(shù)。

進(jìn)一步的，根據(jù)所述私鑰碎片的類型，獲取單一私鑰碎片參數(shù)，包括：

判斷所述私鑰碎片的類型為派生類私鑰碎片；

采集靜態(tài)信息，實(shí)時派生碎片參數(shù)；

根據(jù)所述實(shí)時派生碎片參數(shù)，獲取單一私鑰碎片參數(shù)。

優(yōu)選的，派生類私鑰碎片參數(shù)通過系統(tǒng)接口獲得碎片參數(shù)(例如手機(jī)硬件信息、應(yīng)用安裝時間等)或通過人機(jī)交互采集用戶信息(例如用戶指紋特征、用戶密碼等)獲得碎片參數(shù)；派生過程對采集到的原始數(shù)據(jù)(包括通過系統(tǒng)接口的系統(tǒng)數(shù)據(jù)和人機(jī)交互采集的用戶數(shù)據(jù))使用密鑰派生函數(shù)kdf(z,klen)產(chǎn)生碎片參數(shù)，其中z指原始數(shù)據(jù)，klen指原始比特串長度)。

進(jìn)一步的，使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)迭代直至恢復(fù)橢圓曲線點(diǎn)，包括但不限于：

使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)通過加法多項(xiàng)式私鑰碎片、乘法多項(xiàng)式私鑰碎片或門限多項(xiàng)式私鑰碎片中的一種恢復(fù)橢圓曲線點(diǎn)。私鑰通過碎片多項(xiàng)式構(gòu)造方法產(chǎn)生，私鑰不存儲，有效提升了私鑰的安全性。

具體的，為了方便本領(lǐng)域技術(shù)人員理解，本發(fā)明給出上述多項(xiàng)式構(gòu)造方法的優(yōu)選實(shí)施例，但本發(fā)明的多項(xiàng)式構(gòu)造方法不限于此，本領(lǐng)域技術(shù)人員應(yīng)該知悉，本申請并不受所描述的算法以及動作順序限制，依據(jù)本發(fā)明，根據(jù)公開的技術(shù)特征、凡是具有所公開的功能，達(dá)到所描述的技術(shù)效果的方案都在本發(fā)明的保護(hù)范圍之內(nèi)。說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例，所涉及的動作和模塊并不一定是本申請所必須的。

解密過程只有步驟b3包含私鑰運(yùn)算，即針對恢復(fù)橢圓曲線點(diǎn)r的私鑰運(yùn)算；b3：計(jì)算r＝[db]c1＝(x2,y2)；其中，db為用戶b的私鑰，c1為橢圓曲線點(diǎn)。通過以下多項(xiàng)式私鑰碎片分別迭代運(yùn)算，使其迭代運(yùn)算的最終結(jié)果與相應(yīng)私鑰的運(yùn)算結(jié)果(b3)等效。針對r點(diǎn)的恢復(fù)方法可采用加法、乘法以及shamir門限多項(xiàng)式等，具體如下：

1)使用加法多項(xiàng)式私鑰碎片恢復(fù)橢圓曲線點(diǎn)r點(diǎn)：

令：

私鑰由t+1個私鑰碎片參數(shù)加法構(gòu)成，t＝n-1；每個私鑰碎片ui與橢圓曲線點(diǎn)c1的點(diǎn)乘結(jié)果記為pi，

則：

由上可見，可分別使用各個碎片計(jì)算中間結(jié)果點(diǎn)pi，再累加各中間結(jié)果點(diǎn)恢復(fù)r點(diǎn)。

2)使用乘法多項(xiàng)式私鑰碎片恢復(fù)r點(diǎn)：

令：

私鑰由t+1個碎片參數(shù)乘法構(gòu)成，t＝n-1與c1的點(diǎn)乘結(jié)果記為p0，其他中間結(jié)果記為pi；

則：

由上可見，可分別使用各個碎片迭代計(jì)算中間結(jié)果點(diǎn)，最后的結(jié)果點(diǎn)

即為r點(diǎn)。

3)使用shamir(t,n)門限多項(xiàng)式私鑰碎片恢復(fù)r點(diǎn)：

令：私鑰由n個碎片參數(shù)采用聯(lián)合shamir秘密分享構(gòu)成(joint-rss),

構(gòu)造多項(xiàng)式為份額

則：

其中，q表示t+1個碎片集合，t≤n-1為構(gòu)造多項(xiàng)式的階。

由上可見，通過累加各中間結(jié)果點(diǎn)，結(jié)合拉格朗日插值公式可以恢復(fù)r點(diǎn)。

采用上述方法恢復(fù)r點(diǎn)的過程中，無需保證碎片使用的固定順序，即可以通過隨機(jī)產(chǎn)生的順序迭代恢復(fù)，從而進(jìn)一步提升攻擊者針對移動終端的破解難度。

本發(fā)明實(shí)施例一提供了一種對云支付限制密鑰進(jìn)行解密的方法，通過使用多個私鑰碎片分別迭代恢復(fù)橢圓曲線點(diǎn)后進(jìn)行私鑰解密；所述多個私鑰碎片分別迭代的運(yùn)算結(jié)果與對應(yīng)私鑰的運(yùn)算結(jié)果等效，且解密過程無完整私鑰出現(xiàn)的技術(shù)方案，有效抵御越權(quán)訪問隱私數(shù)據(jù)的惡意攻擊。采用了多碎片分別迭代運(yùn)算的技術(shù)，整個解密過程無完整私鑰出現(xiàn)，從而解決了移動終端私鑰暴露的安全問題；在移動終端私鑰暴露問題得以解決的基礎(chǔ)上，本發(fā)明實(shí)現(xiàn)了云支付限制密鑰的安全分發(fā)和使用，從而有效解決了accesspin和對稱加密保護(hù)限制密鑰的安全問題。

實(shí)施例二

參照圖2，圖2示出了本發(fā)明提供的一種對云支付限制密鑰進(jìn)行解密的系統(tǒng)200的實(shí)施例的結(jié)構(gòu)框圖。本實(shí)施例的方法應(yīng)用于服務(wù)器中，包括：

迭代恢復(fù)模塊21，用于使用多個私鑰碎片分別迭代恢復(fù)橢圓曲線點(diǎn)后進(jìn)行私鑰解密；所述多個私鑰碎片分別迭代的運(yùn)算結(jié)果與對應(yīng)私鑰的運(yùn)算結(jié)果等效，且解密過程無完整私鑰出現(xiàn)。本模塊的功能和實(shí)現(xiàn)方法可參考實(shí)施例一以及圖1。

進(jìn)一步的，所述迭代恢復(fù)模塊，包括：

接收單元，用于接收輸入設(shè)備發(fā)送的橢圓曲線點(diǎn)；

判斷單元，用于順序判斷隨機(jī)產(chǎn)生的私鑰碎片序列中的私鑰碎片的類型；

獲取單元，用于根據(jù)所述私鑰碎片的類型，獲取單一私鑰碎片參數(shù)；

迭代恢復(fù)單元，用于使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)迭代直至恢復(fù)橢圓曲線點(diǎn)。

進(jìn)一步的，所述私鑰碎片的類型包括存儲類私鑰碎片和派生類私鑰碎片。

進(jìn)一步的，所述獲取單元，包括：

第一判斷單元，用于判斷所述私鑰碎片的類型為存儲類私鑰碎片；

讀取單元，用于讀取移動終端本地保存的存儲類私鑰碎片；

第一獲取單元，用于根據(jù)所述存儲類私鑰碎片，獲取單一私鑰碎片參數(shù)。

進(jìn)一步的，所述獲取單元，包括：

第二判斷單元，用于判斷所述私鑰碎片的類型為派生類私鑰碎片；

派生單元，用于采集靜態(tài)信息，實(shí)時派生碎片參數(shù)；

第二獲取單元，用于根據(jù)所述實(shí)時派生碎片參數(shù)，獲取單一私鑰碎片參數(shù)。

進(jìn)一步的，所述迭代恢復(fù)單元，包括但不限于：

第一迭代恢復(fù)單元，用于使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)通過加法多項(xiàng)式私鑰碎片恢復(fù)橢圓曲線點(diǎn)；

第二迭代恢復(fù)單元，用于使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)通過乘法多項(xiàng)式私鑰碎片恢復(fù)橢圓曲線點(diǎn)；

第三迭代恢復(fù)單元，用于使用所述單一私鑰碎片參數(shù)分別與所述橢圓曲線點(diǎn)通過門限多項(xiàng)式私鑰碎片恢復(fù)橢圓曲線點(diǎn)。

具體實(shí)現(xiàn)的功能和處理方式參見方法實(shí)施例一描述的具體步驟。

由于本實(shí)施例二的系統(tǒng)所實(shí)現(xiàn)的處理及功能基本相應(yīng)于前述圖1所示的方法的實(shí)施例、原理和實(shí)例，故本實(shí)施例的描述中未詳盡之處，可以參見前述實(shí)施例中的相關(guān)說明，在此不做贅述。

本發(fā)明提供了一種對云支付限制密鑰進(jìn)行解密的系統(tǒng)，通過迭代恢復(fù)模塊使用多個私鑰碎片分別迭代恢復(fù)橢圓曲線點(diǎn)后進(jìn)行私鑰解密；所述多個私鑰碎片分別迭代的運(yùn)算結(jié)果與對應(yīng)私鑰的運(yùn)算結(jié)果等效，且解密過程無完整私鑰出現(xiàn)的技術(shù)方案，有效抵御越權(quán)訪問隱私數(shù)據(jù)的惡意攻擊。采用了多碎片分別迭代運(yùn)算的技術(shù)，整個解密過程無完整私鑰出現(xiàn)，從而解決了移動終端私鑰暴露的安全問題；在移動終端私鑰暴露問題得以解決的基礎(chǔ)上，本發(fā)明實(shí)現(xiàn)了云支付限制密鑰的安全分發(fā)和使用，從而有效解決了accesspin和對稱加密保護(hù)限制密鑰的安全問題。

實(shí)施例三

參照圖3，圖3示出了本發(fā)明提供的一種對云支付限制密鑰進(jìn)行解密的裝置300，包括實(shí)施例二任一所述的系統(tǒng)200。

本發(fā)明實(shí)施例三提供了一種對云支付限制密鑰進(jìn)行解密的裝置，通過使用多個私鑰碎片分別迭代恢復(fù)橢圓曲線點(diǎn)后進(jìn)行私鑰解密；所述多個私鑰碎片分別迭代的運(yùn)算結(jié)果與對應(yīng)私鑰的運(yùn)算結(jié)果等效，且解密過程無完整私鑰出現(xiàn)的技術(shù)方案，有效抵御越權(quán)訪問隱私數(shù)據(jù)的惡意攻擊。采用了多碎片分別迭代運(yùn)算的技術(shù)，整個解密過程無完整私鑰出現(xiàn)，從而解決了移動終端私鑰暴露的安全問題；在移動終端私鑰暴露問題得以解決的基礎(chǔ)上，本發(fā)明實(shí)現(xiàn)了云支付限制密鑰的安全分發(fā)和使用，從而有效解決了accesspin和對稱加密保護(hù)限制密鑰的安全問題。

上述本發(fā)明實(shí)施例序號僅僅為了描述，不代表實(shí)施例的優(yōu)劣。

需要說明的是，對于前述的各方法實(shí)施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本發(fā)明并不受所描述的動作順序的限制，因?yàn)橐罁?jù)本發(fā)明，某些步驟可以采用其他順序或者同時進(jìn)行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例，所涉及的動作和模塊并不一定是本發(fā)明所必須的。

在上述實(shí)施例中，對各個實(shí)施例的描述都各有側(cè)重，某個實(shí)施例中沒有詳述的部分，可以參見其他實(shí)施例的相關(guān)描述。

在本申請所提供的幾個實(shí)施例中，應(yīng)該理解到，所揭露的裝置，可通過其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施例僅僅是示意性的，例如所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各個實(shí)施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨(dú)物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能單元的形式實(shí)現(xiàn)。

需要指出，根據(jù)實(shí)施的需要，可將本申請中描述的各個步驟/部件拆分為更多步驟/部件，也可將兩個或多個步驟/部件或者步驟/部件的部分操作組合成新的步驟/部件，以實(shí)現(xiàn)本發(fā)明的目的。

上述根據(jù)本發(fā)明的方法可在硬件、固件中實(shí)現(xiàn)，或者被實(shí)現(xiàn)為可存儲在記錄介質(zhì)(諸如cdrom、ram、軟盤、硬盤或磁光盤)中的軟件或計(jì)算機(jī)代碼，或者被實(shí)現(xiàn)通過網(wǎng)絡(luò)下載的原始存儲在遠(yuǎn)程記錄介質(zhì)或非暫時機(jī)器可讀介質(zhì)中并將被存儲在本地記錄介質(zhì)中的計(jì)算機(jī)代碼，從而在此描述的方法可被存儲在使用通用計(jì)算機(jī)、專用處理器或者可編程或?qū)Ｓ糜布?諸如asic或fpga)的記錄介質(zhì)上的這樣的軟件處理。可以理解，計(jì)算機(jī)、處理器、微處理器控制器或可編程硬件包括可存儲或接收軟件或計(jì)算機(jī)代碼的存儲組件(例如，ram、rom、閃存等)，當(dāng)所述軟件或計(jì)算機(jī)代碼被計(jì)算機(jī)、處理器或硬件訪問且執(zhí)行時，實(shí)現(xiàn)在此描述的處理方法。此外，當(dāng)通用計(jì)算機(jī)訪問用于實(shí)現(xiàn)在此示出的處理的代碼時，代碼的執(zhí)行將通用計(jì)算機(jī)轉(zhuǎn)換為用于執(zhí)行在此示出的處理的專用計(jì)算機(jī)。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。