(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211033030.3 (22)申请日 2022.08.26 (71)申请人 北京数字认证股份有限公司 地址 100080 北京市海淀区北四环西路68 号1501号 (72)发明人 林雪焰　郭井龙　张永强　马银涛　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 刘广 (51)Int.Cl. H04L 9/08(2006.01) (54)发明名称 一种密钥管 理和密码 计算的方法、 加密方法 及装置 (57)摘要 本申请实施例提供一种密钥管理和密码计 算的方法、 数据加密方法及装置， 其中， 生成密钥 数据的方法包括： 生成主控密钥； 至少对所述主 控密钥进行加密处理得到主控密钥属性数据； 建 立所述主控密钥与至少一个受控密钥之间的关 联关系， 其中， 所述关联关系用于记录所述主控 密钥对所述受控密钥的操控关系， 所述受控密钥 可通过所述主控密钥授权给至少一个对象使用； 至少存储所述主控密钥属性数据和所述关联关 系， 以使所述密码持有者根据所述主控密钥进行 加密操作或者根据所述关联关系将所述受控密 钥授权其他对象使用。 本申请一些 实施例的技术 方案可以保证密钥持有者对密钥进行独立控制， 还能进一步将密钥(即受控密钥)灵活的授权给 其它使用者(由)。 权利要求书5页 说明书18页 附图7页 CN 115412236 A 2022.11.29 CN 115412236 A 1.一种密钥管理和密码计算的方法， 应用于密钥管理系统， 其特征在于， 所述方法包 括： 生成主控密钥， 其中， 所述主控密钥由一个密码持有者 通过控制信息进行独立控制； 至少对所述主控密钥进行加密处理得到主控密钥属性数据， 其中， 所述主控密钥属性 数据至少包括主控密钥 密文以及用于查找所述主控密钥的主控密钥 索引信息， 所述主控密 钥密文是对所述主控密钥进行加密处 理后得到的； 建立所述主控密钥与至少一个受控密钥之间的关联关系， 其中， 所述关联关系用于记 录所述主控密钥对所述受控密钥的操控关系， 所述受控密钥可通过所述主控密钥授权给至 少一个对象使用； 至少存储所述主控密钥属性数据和所述关联关系， 以使所述密码持有者根据 所述主控 密钥进行加密操作或者 根据所述关联关系将所述受控密钥授权其 他对象使用。 2.如权利要求1所述的方法， 其特征在于， 在所述建立所述主控密钥与至少一个受控密 钥之间的关联关系之前， 所述方法还 包括： 生成所述受控密钥； 至少对所述受控密钥进行加密处理得到受控密钥属性数据， 其中， 所述受控密钥属性 数据包括受控密钥 密文以及用于查找所述受控密钥的受控密钥 索引信息， 所述受控密钥 密 文是对所述受控密钥进行加密处 理后得到的； 所述至少存 储所述主控密钥属性数据和所述关联关系， 包括： 存储所述主控密钥属性数据、 所述受控密钥属性数据以及多个关联关系。 3.如权利要求1所述的方法， 其特 征在于， 所述生成主控密钥， 包括： 生成采用明文表征的第一公私钥对， 得到所述主控密钥， 其中， 所述第 一公私钥对包括 主控公钥和主控私钥； 所述至少对所述主控密钥进行加密处 理得到主控密钥属性数据， 包括： 采用所述密钥管理系统提供的第一加密数据对所述主控私钥进行加密处理得到加密 主控私钥； 至少根据所述控制信息对所述加密主控私钥进行再次加密处理得到所述主控密钥密 文， 其中， 所述控制信息至少包括可与所述密钥持有者进行通信的通信单元信息和被所述 密钥持有者所知悉的控制码； 将所述主控密钥密文和所述主控公钥作为所述主控密钥属性数据的至少部分内容。 4.如权利要求3所述的方法， 其特征在于， 所述至少根据 所述控制信 息对所述加密主控 私钥进行 再次加密处 理得到所述主控密钥密文， 包括： 为所述主控密钥分配主控标识keyId， 其中， 所述主控标识keyId作为所述主控密钥的 唯一标识， 所述主控标识作为所述主控密钥索引信息； 根据所述主控标识和所述控制信息得到保护密钥； 基于所述保护密钥对所述加密主控私钥进行 再次加密处 理得到所述主控密钥密文； 其中， 所述主控密钥属性数据还 包括所述主控标识。 5.如权利要求3所述的方法， 其特征在于， 所述控制码为一个字符串或者多位二进制 数， 所述通信单元信息包括： 手机号或者邮箱。权　利　要　求　书 1/5 页 2 CN 115412236 A 26.如权利要求3所述的方法， 其特征在于， 所述控制信息为双因素控制信息， 所述双因 素控制信息包括： PI N码和手机号， 或者， PI N码与邮箱。 7.如权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 计算所述控制信息的校验码得到控制校验码， 其中， 所述控制验证码用于在采用所述 主控密钥进行密码运 算之前验证所述控制信息的合法性； 将所述控制校验码作为所述主控密钥属性数据的一部分。 8.如权利要求2所述的方法， 其特 征在于， 所述生成受控密钥， 包括： 生成采用明文表征的第二公私钥对， 得到所述受控密钥， 其中， 所述第 二公私钥对包括 受控公钥和受控私钥； 所述至少对所述受控密钥进行加密处 理得到加密受控密钥属性数据， 包括： 采用所述密钥管理系统提供的私钥保护密钥 明文对所述受控私钥进行加密处理得到 所述受控密钥密文； 将所述受控密钥密文和所述受控公钥作为所述受控密钥属性数据的至少部分内容。 9.如权利要求8所述的方法， 其特 征在于， 所述方法还 包括： 为所述受控密钥分配受控密钥标识slaveId， 其中， 所述受控密钥标识slaveId作为所 述受控密钥的唯一标识， 所述受控密钥标识slaveId作为所述受控密钥索引信息； 其中， 所述受控密钥属性数据包括所述受控密钥标识slaveId。 10.如权利要求9所述的方法， 其特征在于， 所述建立所述主控密钥与至少一个受控密 钥之间的关联关系， 包括： 根据由所述密钥管理系统提供的密钥保护密钥KEK对所述私钥保护密钥明文进行加密 得到私钥保护密钥密文ePek； 根据所述主控公钥对所述私钥保护密钥密文进行加密处理， 得到关联私钥保护密钥密 文pubEnc EPek； 将所述受控密钥标识、 所述主控密钥以及所述关联私钥保护密钥密文作为所述关联信 息。 11.如权利要求10所述的方法， 其特征在于， 所述主控密钥为多个， 且多个主控密钥存 储在主控密钥标识列 表中， 所述主控密钥标识列 表用于存储多条主控密钥以及与所述多 条 主控密钥各自对应的主控密钥标识列表号， 其中， 所述建立所述主控密钥与至少一个受控密钥之间的关联关系， 包括： 根据所述主控密钥标识列表中所有的主控密钥分别对所述私钥保护密钥密文ePek进 行加密得到多个关联私钥保护 密钥密文， 得到关联关系集合， 其中， 所述关联关系属于所述 关联关系集 合中的一个元 素。 12.如权利要求1所述的方法， 其特征在于， 在所述至少存储所述主控密钥属性数据和 所述关联关系之后， 所述方法还 包括： 对所述主控密钥和所述受控密钥执 行备份操作。 13.如权利要求1所述的方法， 其特征在于， 在所述至少存储所述主控密钥属性数据和 所述关联关系之后， 所述方法还 包括： 所述密钥持有者通过提供控制信 息对所述主控密钥和/或所述受控密钥进行更新的操权　利　要　求　书 2/5 页 3 CN 115412236 A 3