(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210377370.1 (22)申请日 2022.04.11 (66)本国优先权数据 202210367984.1 202 2.04.08 CN (71)申请人 微位 （深圳） 网络科技有限公司 地址 518057 广东省深圳市南 山区粤海街 道科技园社区科苑路8号讯美科技广 场3号楼1802 (72)发明人 宗瑞　 (74)专利代理 机构 深圳智汇远见知识产权代理 有限公司 4 4481 专利代理师 牛悦涵 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01)H04L 9/40(2022.01) (54)发明名称 一种对称密钥的分发方法、 装置、 设备及介 质 (57)摘要 本发明涉及一种对称密钥的分发方法、 装 置、 设备及介质， 涉及信息安全技术领域， 所述方 法应用于根系统、 服务系统及业务系统中， 应用 于根系统中的所述方法包括： 获取服务系统对称 密钥以及业务系统对称密钥； 对 所述服务系统对 称密钥进行数字信封操作以及数字签名 操作得 到第一文件， 并对所述业务系统对称密钥进行数 字信封操作以及数字签名操作得到第二文件； 将 所述第一文件和所述第二文件发送给所述服务 系统。 本发 明使得对称密钥的产生基于离线的根 系统， 服务系统对称密钥的传输以及业务系统对 称密钥的第一步传输采用线下数据交互方式而 保证了根系统免疫线上网络攻击， 并通过数字信 封操作以及数字签名 操作保证了对称密钥在传 递分发的过程足够安全。 权利要求书2页 说明书12页 附图2页 CN 114760053 A 2022.07.15 CN 114760053 A 1.一种对称密钥的分发方法， 其特征在于， 所述方法应用于根系统， 所述根系统为离线 的系统， 所述根系统与服务系统进行线下数据 交互， 所述服务系统与业务系统进行线上数 据交互， 所述根系统中设置有离线的密钥生成设备， 所述方法包括： 获取服务系统对称密钥以及业务系统对称密钥； 其中， 所述服务系统对称密钥和所述 业务系统对称密钥均由所述密钥生成设备生成； 对所述服务系统对称密钥进行数字信 封操作以及数字签名操作得到第 一文件， 并对所 述业务系统对称密钥进行 数字信封操作以及数字签名操作得到第二文件； 将所述第一文件和所述第二文件发送给所述服务系统； 其中， 所述服务系统对所述第 一文件进 行数字信封逆操作以及数字签名逆操作得到所述服务系统对称密钥， 并对所述第 二文件进 行数字信封操作以及数字签名操作得到第三文件后， 将所述第三文件发送给业务 系统； 所述业务系统在接 收到所述第三文件后， 对所述第三文件进行数字信封逆操作以及 数字签名逆操作得到所述第二文件， 再对所述第二文件进 行数字信封逆操作以及数字签名 逆操作得到所述 业务系统对称密钥。 2.根据权利要求1所述的对称密钥的分发方法， 其特征在于， 所述根系统具有根系统签 名私钥， 所述根系统具有服务系统的加密证书以及业务系统的加密证书， 所述服务系统的 加密证书中含有服务系统的加密公钥， 所述业务系统的加密证书中含有业务系统的加密公 钥， 所述对所述服务系统对称密钥进行数字信封操作以及数字签名操作得到第一文件， 包 括： 使用哈希算法对所述服务系统对称密钥进行计算得到所述服务系统对称密钥的哈希 值； 使用根系统签名私钥对所述 服务系统对称密钥的哈希值进行签名得到第一签名文件； 生成第一临时会话密钥并使用所述第一临时会话密钥加密所述服务系统对称密钥以 及所述第一签名文件得到第一数字签名文件， 并使用所述服务系统的加密公钥对所述第一 临时会话密钥进行加密得到第一数字信封文件； 将所述第一数字签名文件以及所述第一数字信封文件作为第一文件。 3.根据权利要求2所述的对称密钥的分发方法， 其特征在于， 所述对所述业务系统对称 密钥进行 数字信封操作以及数字签名操作得到第二文件， 包括： 使用哈希算法对所述业务系统对称密钥进行计算得到所述业务系统对称密钥的哈希 值； 使用根系统签名私钥对所述 业务系统对称密钥的哈希值进行签名得到第二签名文件； 生成第二临时会话密钥并使用所述第二临时会话密钥加密所述业务系统对称密钥以 及所述第二签名文件得到第二数字签名文件， 并使用所述业务系统的加密公钥对所述第二 临时会话密钥进行加密得到第二数字信封文件； 将所述第二数字签名文件以及所述第二数字信封文件作为第二文件。 4.根据权利要求1所述的对称密钥的分发方法， 其特征在于， 所述服务系统对称密钥以 及所述业务系统对称密钥均为需长期安全 存储的对称密钥。 5.一种对称密钥的分发方法， 其特征在于， 所述方法应用于服务系统， 所述服务系统与 根系统进行线下数据 交互， 所述服务系统与业务系统进行线上数据 交互， 所述根系统为离 线的系统， 所述 根系统中设置有离线的密钥生成设备， 所述方法包括：权　利　要　求　书 1/2 页 2 CN 114760053 A 2接收根系统发送 的第一文件和第二文件； 其中， 所述第一文件为所述根系统对服务系 统对称密钥进 行数字信封以及数字签名操作得到的， 所述第二文件为所述根系统对业务系 统对称密钥进 行数字信封操作以及数字签名操作得到的， 所述服务系统对称密钥和所述业 务系统对称密钥均由所述密钥生成设备生成； 对所述第一文件进行数字信 封逆操作以及数字签名逆操作 得到服务系统对称密钥， 并 对所述第二文件进行 数字信封操作以及数字签名操作得到第三文件； 将所述第 三文件发送给业务系统； 其中， 所述业务系统在接收到所述第 三文件后， 对所 述第三文件进 行数字信封逆操作以及数字签名逆操作得到所述第二文件， 再对所述第二文 件进行数字信封逆操作以及数字签名逆操作得到业 务系统对称密钥。 6.根据权利要求5所述的对称密钥的分发方法， 其特征在于， 所述服务系统具有服务系 统解密私钥， 所述服务系统具有根系统的签名证书， 所述根系统的签名证书中含有根系统 的签名公钥， 所述对所述第一文件进 行数字信封逆操作以及数字签名逆操作得到服务系统 对称密钥， 包括： 获取所述第 一文件中的第 一数字签名文件以及第 一数字信 封文件， 利用所述服务系统 解密私钥对所述第一数字信封文件进行解密， 得到第一临时会话密钥； 利用所述第 一临时会话密钥解密所述第 一数字签名文件， 得到服务系统对称密钥以及 第一签名文件； 判断对所述服务系统对称密钥进行计算得到的哈希值与利用所述根系统的签名公钥 打开所述第一签名文件得到的哈希值是否一 致； 若一致， 则接收所述 服务系统对称密钥。 7.根据权利要求6所述的对称密钥的分发方法， 其特征在于， 所述服务系统具有服务系 统签名私钥， 所述服务系统具有业务系统的加密证书， 所述业务系统的加密证书中含有业 务系统的加密公钥， 所述对所述第二文件进 行数字信封操作以及数字签名操作得到第三文 件， 包括： 使用哈希算法对所述第二文件进行计算得到所述第二文件的哈希值； 使用服务系统签名私钥对所述第二文件的哈希值进行签名得到第三签名文件； 生成第三临时会话密钥并使用所述第三临时会话密钥加密所述第二文件以及所述第 三签名文件得到第三数字签名文件， 并使用所述业务系统的加密公钥对所述第三临 时会话 密钥进行加密得到第三数字信封文件； 将所述第三数字签名文件以及所述第三数字信封文件作为第三文件。 8.一种对称密钥的分发装置， 其特征在于， 包括用于执行如权利要求1 ‑7任一项所述方 法的单元。 9.一种电子设备， 其特征在于， 包括处理器、 通信接口、 存储器和通信总线， 其中， 处理 器， 通信接口， 存 储器通过通信总线完成相互间的通信； 存储器， 用于存放计算机程序； 处理器， 用于执行存储器上所存放的程序时， 实现权利要求1 ‑7任一项所述的方法的步 骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现如权利要求1 ‑7任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114760053 A 3