(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111682314.0 (22)申请日 2021.12.2 9 (71)申请人 北京华大智宝电子系统有限公司 地址 100015 北京市朝阳区高家园一 号 申请人 北京华弘集成电路 设计有限责任公 司 (72)发明人 陈国　王雪聪　 (74)专利代理 机构 北京天达知识产权代理事务 所(普通合伙) 11386 代理人 牛洪瑜 (51)Int.Cl. G06F 21/60(2013.01) G06F 7/58(2006.01) (54)发明名称 一种数据安全处 理方法和装置 (57)摘要 本发明涉及一种数据安全处理方法和装置， 属于数据安全技术领域， 解决了现有芯片自身产 生的真随机数性能低， 不能满足使用需求的问 题。 该方法包括： 生成多个随机数并将多个随机 数作为原始随机数池； 从原始随机数池中随机提 取第一部分原始随机数； 对第一部分原始随机数 进行哈希计算并将 哈希计算结果放入二级随机 数池中； 以及当对待签名消息进行签名或对待加 密数据进行加密时， 从二级随机数池中提取部分 或全部二级随机数以参与签名或加密操作。 突破 了硬件真随机数发生器性能低的瓶颈， 满足安全 芯片高速 签名的需求。 权利要求书2页 说明书7页 附图4页 CN 114297698 A 2022.04.08 CN 114297698 A 1.一种数据安全处 理方法， 其特 征在于， 包括： 生成多个随机数并将所述多个随机数作为原 始随机数池； 从所述原 始随机数池中随机提取第一部分原 始随机数； 对所述第一部分原始随机数进行哈希计算并将哈希计算结果放入二级随机数池中； 以 及 当对待签名消息进行签名或对待加密数据进行加密时， 从所述二级随机数池中提取部 分或全部二级随机数以参与签名或加密操作。 2.根据权利要求1所述的数据安全处 理方法， 其特 征在于， 进一 步包括： 将所述部分二级随机数中的每一个二级随机数顺序作为所述原始随机数池的位置偏 移； 根据所述原 始随机数池的位置偏移从所述原 始随机数池中读取指定随机数； 以及 对所述指定随机数进行哈希计算并利用所述指定随机数的哈希计算结果更新所述二 级随机池。 3.根据权利要求2所述的数据安全处理方法， 其特征在于， 所述原始随机数池包括16 × 16个随机数并存储在安全芯片的内存中， 以及所述每一个二级随机数为一个字节16进制 数， 其中， 将所述部分二级随机数中的每一个二级随机数顺序作为所述原始随机数池的位 置偏移进一 步包括： 将所述16进制数中的左侧字符作为与所述原始随机数池的行相对应的行偏移位置； 以 及 将所述16进制数中的右侧字符作为与所述原 始随机数池的列相对应的列偏移位置 。 4.根据权利要求1所述的数据安全处理方法， 其特征在于， 所述原始随机数池存储在安 全芯片的内存中。 5.根据权利要求2所述的数据安全处理方法， 其特征在于， 对所述第 一部分原始随机数 进行哈希计算并将哈希计算结果 放入二级随机数池中进一 步包括： 将所述指定随机数的哈希计算结果存储在所述安全芯片的内存的二级随机数池中以 将所述二级随机数池中的先 前二级随机数 更新为所述随机数。 6.根据权利要求3所述的数据安全处理方法， 其特征在于， 利用所述指定随机数参与签 名操作进一 步包括： 安全芯片的处 理器接收待签名消息并对所述待签名消息进行签名： 将第一杂凑值与待签名消息进行 数据连接以获得 连接数据； 利用哈希算法基于所述连接数据计算第二杂凑值； 根据所述指定随机数和椭圆曲线基点， 计算椭圆曲线点； 根据所述椭圆曲线点和所述第二杂凑值计算签名值的第一分量以及根据所述签名值 的第一分量、 用户私钥和所述指定随机数计算签名值的第二分量； 将所述签名值的第一分量和所述签名值的第二分量传输 至所述安全芯片之外 。 7.根据权利要求3所述的数据安全处理方法， 其特征在于， 利用所述指定随机数参与加 密操作进一 步包括： 安全芯片的处 理器接收待加密数据并对所述待加密数据进行签名： 根据第一随机数和椭圆曲线基点计算第一椭圆曲线点；权　利　要　求　书 1/2 页 2 CN 114297698 A 2根据所述第一随机数和公钥计算第二椭圆曲线点； 利用所述第一椭圆曲线点和所述第二椭圆曲线点 参与对明文 进行加密； 将加密数据传输 至所述安全芯片之外 。 8.一种数据安全处 理装置， 其特 征在于， 包括： 原始随机数池生成模块， 生成多个随机数并将所述多个随机数作为原 始随机数池； 提取模块， 用于从所述原 始随机数池中随机提取第一部分原 始随机数； 第二随机数池生成模块， 用于对所述第 一部分原始随机数进行哈希计算并将哈希计算 结果放入二级随机数池中； 以及 签名或加密操作模块， 用于当对待签名消息进行签名或对待加密数据进行加密时， 从 所述二级随机数池中提取部分或全部二级随机数以利用所述指定随机数参与签名或加密 操作。 9.根据权利要求8所述的数据安全处理装置， 其特征在于， 所述指定随机数获取模块进 一步包括： 位置偏移模块， 用于将所述部分二级随机数中的每一个二级随机数顺序作为所述原始 随机数池的位置偏移； 读取模块， 用于根据 所述原始随机数池的位置偏移从所述原始随机数池中读取所述指 定随机数； 以及 更新模块， 用于对所述指定随机数进行哈希计算并利用所述指定随机数的哈希计算结 果更新所述 二级随机池。 10.根据权利要求9所述的数据安全处理装置， 其特征在于， 所述原始随机数池包括16 ×16个随机数并存储在安全芯片的内存中， 以及所述每一个二级随机数为一个字节16进制 数， 其中， 所述 位置偏移模块进一 步包括： 行偏移子模块， 用于将所述16进制数中的左侧字符作为与所述原始随机数池的行相对 应的行偏移位置； 以及 列偏移子模块， 用于将所述16进制数中的右侧字符作为与所述原始随机数池的列相对 应的列偏移位置 。权　利　要　求　书 2/2 页 3 CN 114297698 A 3