(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210446766.7 (22)申请日 2022.04.26 (71)申请人 北京数字认证股份有限公司 地址 100080 北京市海淀区北四环西路68 号1501号 (72)发明人 张永强　郭井龙　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 钟扬飞 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/06(2006.01) H04L 9/32(2006.01) (54)发明名称 一种密钥授权的方法、 装置、 计算机设备及 可读存储介质 (57)摘要 本申请属于数据处理技术领域， 公开了一种 密钥授权的方法、 装置、 计算机设备及可读存储 介质， 该方法包括， 确定接收到目标设备发送的 授权确认请求消息时， 获取授权确认请求消息中 包含的目标用户的目标密钥标识以及申请用户 的申请密钥标识； 基于目标密钥标识， 获取目标 密钥的私钥密文和公钥明文， 以及目标密钥副本 的副本密钥标识； 基于针对申请密钥标识设置的 临时加解密密钥， 对私钥密文进行加密， 获得副 本托管密钥； 基于申请密钥标识、 目标密钥标识、 副本密钥标识、 公钥明文以及副本托管密钥， 进 行密钥授权， 这样， 在针对电子印章进行密钥授 权时， 扩大了密钥授权的应用范围。 权利要求书3页 说明书13页 附图4页 CN 114844631 A 2022.08.02 CN 114844631 A 1.一种密钥授权的方法， 其特 征在于， 包括： 确定接收到目标设备发送的授权确 认请求消息时， 获取所述授权确 认请求消息 中包含 的目标用户的目标密钥标识以及申请用户的申请密钥标识； 基于所述目标密钥标识， 获取目标密钥的私钥密文和公钥 明文， 以及目标密钥副本的 副本密钥标识， 所述目标密钥副本是基于目标密钥创建的密钥副本； 基于针对所述申请密钥标识设置的临时加解密密钥， 对所述私钥密文进行加密， 获得 副本托管密钥， 所述临时加解密 密钥是基于申请设备发送的授权申请生成的； 基于所述申请密钥标识、 目标密钥标识、 副本密钥标识、 所述公钥明文， 以及所述副本 托管密钥， 进行密钥授权 。 2.如权利要求1所述的方法， 其特征在于， 所述基于所述目标密钥标识， 获取目标密钥 的私钥密文和公钥明文， 以及目标密钥副本的副本密钥标识， 包括： 基于所述目标密钥标识， 对所述目标用户进行身份验证； 若确定身份验证成功， 则获取目标个人身份标识码； 获取针对所述目标密钥标识设置的所述目标密钥的初始托管密钥和所述公钥明文； 基于所述目标个人身份标识码以及所述目标密钥标识， 对所述初始托管密钥进行解 密， 获得所述私钥密文； 创建所述目标密钥的密钥副本， 获得 所述目标密钥副本； 生成所述目标密钥副本的副本密钥标识。 3.如权利要求2所述的方法， 其特征在于， 所述基于所述目标密钥标识， 对所述目标用 户进行身份验证， 包括： 获取针对所述目标密钥标识设置的联系方式以及目标个人身份标识码摘要； 通过所述联系方式， 向所述目标用户的目标设备发送第一验证码； 接收所述目标用户对应的第二验证码以及目标个人身份标识码； 若所述第 一验证码和所述第 二验证码符合验证失败条件， 则确定身份验证失败， 否则， 确定所述目标个人身份标识码的摘要； 若所述目标个人身份标识码摘要与 所述目标个人身份标识码的摘要相同， 则确定身份 验证成功， 否则， 确定身份验证失败。 4.如权利要求1 ‑3任一项所述的方法， 其特征在于， 所述基于所述申请密钥标识、 目标 密钥标识、 副本密钥标识、 所述公钥明文以及所述副本托管密钥， 进行密钥授权， 包括： 获取针对所述申请密钥标识设置的所述申请用户的联系方式和申请个人身份标识码 摘要， 以及所述授权确认请求消息中还 包含的密钥授权策略； 建立所述申请用户的联系方式、 所述申请个人身份标识码摘要、 所述目标密钥标识、 所 述副本密钥标识、 所述公钥明文、 所述副本托管密钥以及所述密钥授权策略之间的关联关 系。 5.如权利要求1 ‑3任一项所述的方法， 其特征在于， 在所述基于针对所述申请密钥标识 设置的临时加解密 密钥， 对所述私钥密文 进行加密， 获得副本托管密钥之前， 还 包括： 确定接收到授权申请时， 获取 所述授权申请中包 含的所述申请密钥标识； 基于所述申请密钥标识， 对所述申请用户进行身份验证； 若确定验证成功， 则获取申请个人身份标识码；权　利　要　求　书 1/3 页 2 CN 114844631 A 2基于所述申请密钥标识和所述申请个人身份标识码， 生成所述临时加解密 密钥。 6.如权利要求1 ‑3任一项所述的方法， 其特征在于， 在所述基于所述申请密钥标识、 目 标密钥标识、 副本密钥标识、 所述公钥明文以及所述副本托管密钥， 进行密钥授权之后， 还 包括： 接收包含目标密钥标识和副本密钥标识的授权变更请求， 所述授权变更请求用于请求 撤销密钥授权或者变更 所述目标密钥副本的密钥授权策略； 基于所述目标密钥标识， 对目标用户进行身份验证； 若验证成功， 则基于所述授权变更请求中的所述副本密钥标识， 撤销针对所述目标密 钥副本的密钥授权或者变更 所述目标密钥副本的密钥授权策略。 7.一种密钥授权的装置， 其特 征在于， 包括： 接收单元， 用于确定接收到目标设备发送的授权确认请求消息时， 获取所述授权确认 请求消息中包 含的目标用户的目标密钥标识以及申请用户的申请密钥标识； 获取单元， 用于基于所述目标密钥标识， 获取目标密钥的私钥密文和公钥明文， 以及目 标密钥副本的副本密钥标识， 所述目标密钥副本是基于目标密钥创建的密钥副本； 加密单元， 用于基于针对所述申请密钥标识设置的临时加解密密钥， 对所述私钥密文 进行加密， 获得副本托管密钥， 所述临时加 解密密钥是基于申请设备发送的授权申请生成 的； 授权单元， 用于基于所述申请密钥标识、 目标密钥标识、 副本密钥标识、 所述公钥明文 以及所述副本托管密钥， 进行密钥授权 。 8.如权利要求7 所述的装置， 其特 征在于， 所述获取 单元用于： 基于所述目标密钥标识， 对所述目标用户进行身份验证； 若确定身份验证成功， 则获取目标个人身份标识码； 获取针对所述目标密钥标识设置的所述目标密钥的初始托管密钥和所述公钥明文； 基于所述目标个人身份标识码以及所述目标密钥标识， 对所述初始托管密钥进行解 密， 获得所述私钥密文； 创建所述目标密钥的密钥副本， 获得 所述目标密钥副本； 生成所述目标密钥副本的副本密钥标识。 9.如权利要求8所述的装置， 其特 征在于， 所述获取 单元用于： 获取针对所述目标密钥标识设置的联系方式以及目标个人身份标识码摘要； 通过所述联系方式， 向所述目标用户的目标设备发送第一验证码； 接收所述目标用户对应的第二验证码以及目标个人身份标识码； 若所述第 一验证码和所述第 二验证码符合验证失败条件， 则确定身份验证失败， 否则， 确定所述目标个人身份标识码的摘要； 若所述目标个人身份标识码摘要与 所述目标个人身份标识码的摘要相同， 则确定身份 验证成功， 否则， 确定身份验证失败。 10.如权利要求7 ‑9任一项所述的装置， 其特 征在于， 所述授权单 元用于： 获取针对所述申请密钥标识设置的所述申请用户的联系方式和申请个人身份标识码 摘要， 以及所述授权确认请求消息中还 包含的密钥授权策略； 建立所述申请用户的联系方式、 所述申请个人身份标识码摘要、 所述目标密钥标识、 所权　利　要　求　书 2/3 页 3 CN 114844631 A 3