密钥申请方法及装置、电子设备、计算机可读存储介质制造方法及图纸

本发明专利技术公开了一种密钥申请方法及装置、电子设备、计算机可读存储介质。其中，该方法包括：接收用户终端发起的第一申请请求，并基于第一申请请求生成标识保护密钥，采用密钥生成公钥对标识保护密钥进行加密；基于用户标识信息和加密后的标识保护密钥生成第二申请请求，并根据所述第二申请请求计算生成第一数据签名，将包含有所述第一数据签名的第二申请请求发送至密钥生成单元；接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，中间密钥是基于用户标识信息生成的；在第二数据签名的验签通过后，根据中间密钥生成用户密钥；将加密后的用户密钥和第三数据签名返回至用户终端。第三数据签名返回至用户终端。第三数据签名返回至用户终端。

【技术实现步骤摘要】
密钥申请方法及装置、电子设备、计算机可读存储介质


[0001]本专利技术涉及信息网络安全
，具体而言，涉及一种密钥申请方法及装置、电子设备、计算机可读存储介质。

技术介绍

[0002]相关技术中，进行密钥申请和认证时，常使用的方式有两种：第一种，传统的证书认证体系系统，第二种，基于SM9的标识密钥体系系统。
[0003]对于证书认证体系系统，系统包括证书认证中心(CA)、证书注册中心(RA)、证书状态查询系统(OCSP)、密钥管理系统(KMS)，这种证书认证体系系统，存在明显的弊端：整体组成相对复杂，且随着适用范围和规模的扩大，证书的管理也随之复杂；不仅需要申请密钥，还需要申请个人证书；用户需要同时保管个人证书和密钥，认证双方在认证前需要交换证书同时对对方证书的有效性进行认证，认证过程较为复杂；同时证书的保存也在一定程度上造成资源浪费。
[0004]针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

[0005]本专利技术实施例提供了一种密钥申请方法及装置、电子设备、计算机可读存储介质，以至少解决相关技术中在采用证书进行认证时，需要认证双方在认证前分别申请个人证书和密钥，并对对方证书的有效性进行认证，认证过程较为复杂的技术问题。
[0006]根据本专利技术实施例的一个方面，提供了一种密钥申请方法，应用于标识注册单元，所述标识注册单元与密钥生成单元连接，包括：接收用户终端发起的第一申请请求，并基于所述第一申请请求生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密，其中，所述第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；基于所述用户标识信息和加密后的所述标识保护密钥生成第二申请请求，并根据所述第二申请请求计算生成第一数据签名，将包含有所述第一数据签名的第二申请请求发送至密钥生成单元；接收所述密钥生成单元返回的第一响应数据，对所述第一响应数据中的第二数据签名进行验签，其中，所述第一响应数据至少包括：加密后的中间密钥和所述第二数据签名，所述中间密钥是基于所述用户标识信息生成的；在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；将加密后的所述用户密钥和第三数据签名返回至所述用户终端。
[0007]根据本专利技术实施例的另一方面，还提供了一种密钥申请方法，应用于标识注册单元，所述标识注册单元与密钥生成单元连接，包括：接收系统操作终端发送的保护密钥文件，并基于所述保护密钥文件生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密，其中，所述系统操作终端为标识管理系统的管理用户所使用的终端，所述系统操作终端对接至少一个用户终端，所述保护密钥文件至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；基于所述用户标识信息和加密后的所述标识保护密钥生
成目标申请请求，并根据所述目标申请请求计算第一数据签名，将包含有所述第一数据签名的目标申请请求发送至密钥生成单元；接收所述密钥生成单元返回的第一响应数据，对所述第一响应数据中的第二数据签名进行验签，其中，所述第一响应数据至少包括：加密后的中间密钥和所述第二数据签名，所述中间密钥是基于所述用户标识信息生成的；在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；将加密后的所述用户密钥和第三数据签名返回至所述系统操作终端。
[0008]根据本专利技术实施例的另一方面，还提供了一种密钥申请方法，应用于密钥生成单元，所述密钥生成单元与至少一个标识注册单元连接，包括：接收所述标识注册单元发起的申请请求，其中，所述申请请求中至少包括：用户标识信息、标识保护密钥以及第一数据签名；在所述第一数据签名的验签通过后，基于所述用户标识信息生成中间密钥；采用所述标识保护密钥对所述中间密钥进行加密处理；基于加密后的所述中间密钥生成第一响应数据，并根据所述第一响应数据计算第二数据签名；将包含有第二数据签名的所述第一响应数据返回至所述标识注册单元，其中，所述标识注册单元，在对所述第二数据签名进行验签后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密，并将加密后的所述用户密钥和第三数据签名返回至用户终端。
[0009]根据本专利技术实施例的另一方面，还提供了一种密钥申请方法，应用于标识管理系统，所述标识管理系统包括：用户终端、标识注册单元和密钥生成单元，包括：用户终端发起第一申请请求至所述标识注册单元，其中，所述第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；所述标识注册单元基于所述第一申请请求生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密；所述标识注册单元基于所述用户标识信息和加密后的所述标识保护密钥生成第二申请请求，并根据所述第二申请请求计算第一数据签名，将包含有所述第一数据签名的第二申请请求发送至密钥生成单元；所述密钥生成单元基于所述用户标识信息生成中间密钥，并采用所述标识保护密钥对所述中间密钥进行加密处理，基于加密后的所述中间密钥生成第一响应数据，并根据所述第一响应数据计算第二数据签名；所述密钥生成单元将包含所述第二数据签名的第一响应数据发送至所述标识注册单元；所述标识注册单元接收所述密钥生成单元返回的第一响应数据，并对所述第一响应数据中的第二数据签名进行验签；所述标识注册单元在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；所述标识注册单元将加密后的所述用户密钥和第三数据签名返回至所述用户终端；所述用户终端在对第三数据签名的验签通过后，采用用户保护密钥对所述用户密钥进行解密，得到所述用户密钥。
[0010]根据本专利技术实施例的另一方面，还提供了一种密钥申请装置，应用于标识注册单元，所述标识注册单元与密钥生成单元连接，包括：第一接收单元，用于接收用户终端发起的第一申请请求，并基于所述第一申请请求生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密，其中，所述第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；第一生成单元，用于基于所述用户标识信息和加密后的所述标识保护密钥生成第二申请请求，并根据所述第二申请请求计算生成第一数据签名，将包含有所述第一数据签名的第二申请请求发送至密钥生成单元；第二接收单元，用于接收
所述密钥生成单元返回的第一响应数据，对所述第一响应数据中的第二数据签名进行验签，其中，所述第一响应数据至少包括：加密后的中间密钥和所述第二数据签名，所述中间密钥是基于所述用户标识信息生成的；第二生成单元，用于在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；第一发送单元，用于将加密后的所述用户密钥和第三数据签名返回至所述用户终端。
[0011]根据本专利技术实施例的另一方面，还提供了一种密钥申请装置，应用于标识注册单元，所述标识注册单元与密钥生成单元连接，包括：第三接收单元，用于接本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥申请方法，其特征在于，应用于标识注册单元，所述标识注册单元与密钥生成单元连接，包括：接收用户终端发起的第一申请请求，并基于所述第一申请请求生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密，其中，所述第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；基于所述用户标识信息和加密后的所述标识保护密钥生成第二申请请求，并根据所述第二申请请求计算第一数据签名，将包含有所述第一数据签名的第二申请请求发送至密钥生成单元；接收所述密钥生成单元返回的第一响应数据，对所述第一响应数据中的第二数据签名进行验签，其中，所述第一响应数据至少包括：加密后的中间密钥和所述第二数据签名，所述中间密钥是基于所述用户标识信息生成的；在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；将加密后的所述用户密钥和第三数据签名返回至所述用户终端。2.根据权利要求1所述的密钥申请方法，其特征在于，根据所述中间密钥生成用户密钥的步骤，包括：获取预先配置的作用域标识，其中，所述作用域标识用于链接目标作用域数据；基于所述作用域标识和所述中间密钥，生成所述用户密钥。3.根据权利要求1所述的密钥申请方法，其特征在于，在接收用户终端发起的第一申请请求之前，还包括：接收所述用户终端发起的公钥获取请求；基于所述公钥获取请求，生成第二响应数据，其中，所述第二响应数据包括：所述标识注册单元的单元标识和公钥基；将所述第二响应数据返回至所述用户终端。4.根据权利要求3所述的密钥申请方法，其特征在于，在接收所述用户终端发起的公钥获取请求之前，还包括：将所述标识注册单元的单元标识录入至所述密钥生成单元，以完成信息注册流程。5.根据权利要求4所述的密钥申请方法，其特征在于，在接收所述用户终端发起的公钥获取请求之前，还包括：发送系统密钥请求至所述密钥生成单元，其中，所述系统密钥请求至少包括：所述标识注册单元的单元标识，所述密钥生成单元基于所述单元标识和密钥基生成第一系统密钥；接收所述密钥生成单元返回的所述第一系统密钥；基于系统配置参数，将所述第一系统密钥导入至预设密码设备的指定位置；根据所述系统配置参数，在所述预设密码设备的指定位置生成系统保护密钥。6.根据权利要求5所述的密钥申请方法，其特征在于，在根据所述系统配置参数，在所述预设密码设备的指定位置生成系统保护密钥之后，还包括：对所述第一系统密钥和所述系统保护密钥进行复制处理；将复制后的所述第一系统密钥和所述系统保护密钥保存在第一安全备份介质中。7.一种密钥申请方法，其特征在于，应用于标识注册单元，所述标识注册单元与密钥生
成单元连接，包括：接收系统操作终端发送的保护密钥文件，并基于所述保护密钥文件生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密，其中，所述系统操作终端为标识管理系统的管理用户所使用的终端，所述系统操作终端对接至少一个用户终端，所述保护密钥文件至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；基于所述用户标识信息和加密后的所述标识保护密钥生成目标申请请求，并根据所述目标申请请求计算第一数据签名，将包含有所述第一数据签名的目标申请请求发送至密钥生成单元；接收所述密钥生成单元返回的第一响应数据，对所述第一响应数据中的第二数据签名进行验签，其中，所述第一响应数据至少包括：加密后的中间密钥和所述第二数据签名，所述中间密钥是基于所述用户标识信息生成的；在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；将加密后的所述用户密钥和第三数据签名返回至所述系统操作终端。8.根据权利要求7所述的密钥申请方法，其特征在于，在接收系统操作终端发送的保护密钥文件之前，还包括：向用户终端发送公钥基文件，其中，所述公钥基文件包括：所述标识注册单元的单元标识和公钥基；通过所述用户终端根据所述标识注册单元的单元标识和公钥基，生成标识公钥；通过所述用户终端生成用户保护密钥；通过所述用户终端基于所述标识公钥对所述用户保护密钥进行加密；通过所述用户终端基于加密后的所述用户保护密钥和所述用户标识信息，生成所述保护密钥文件。9.一种密钥申请方法，其特征在于，应用于密钥生成单元，所述密钥生成单元与至少一个标识注册单元连接，包括：接收所述标识注册单元发起的申请请求，其中，所述申请请求中至少包括：用户标识信息、标识保护密钥以及第一数据签名；在所述第一数据签名的验签通过后，基于所述用户标识信息生成中间密钥；采用所述标识保护密钥对所述中间密钥进行加密处理；基于加密后的所述中间密钥生成第一响应数据，并根据所述第一响应数据计算第二数据签名；将包含有所述第二数据签名的第一响应数据返回至所述标识注册单元，其中，所述标识注册单元，在对所述第二数据签名进行验签后，根据所述中间密钥生成用户密钥，并采用用户保护密钥对所述用户密钥进行加密，并将加密后的所述用户密钥和第三数据签名返回至用户终端。10.根据权利要求9所述的密钥申请方法，其特征在于，在接收所述标识注册单元发起的申请请求之前，还包括：根据系统配置参数，在预设密码设备的指定位置生成密钥基；根据所述密钥基和所述标识注册单元的单元标识，生成第二系统密钥；
根据系统配置参数，将所述第二系统密钥导入至所述预设密码设备的指定位置。11.根据权利要求10所述的密钥申请方法，其特征在于，在根据所述密钥基和所述标识注册单元的单元标识，生成第二系统密钥之后，还包括：对所述密钥基和所述第二系统密钥进行复制处理；将复制后的所...

【专利技术属性】
技术研发人员：殷秀静，李阳，荣邵杰，
申请(专利权)人：渔翁信息技术股份有限公司，
类型：发明
国别省市：