(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211481225.4 (22)申请日 2022.11.24 (71)申请人 北京智芯微电子科技有限公司 地址 100192 北京市海淀区西小口路6 6号 中关村东升科技园A区3号楼 申请人 北京智芯 半导体科技有限公司 　 国家电网有限公司 (72)发明人 赵东艳　庞振江　李树昆　杜君　 刘娜　姜帆　郭飞　邢晓奎　安然　 (74)专利代理 机构 北京清亦华知识产权代理事 务所(普通 合伙) 11201 专利代理师 季永杰 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 根密钥管 理系统、 备份方法、 恢复方法、 装置 及电子设备 (57)摘要 本说明书实施方式涉及一种根密钥管理系 统、 备份方法、 恢复方法、 装置及电子设备， 通过 保管终端采集并存储持有保管终端的保管账户 的第一生物特征信息以及第一位置信息， 还采集 并存储授权终端的的授权账户的第二生物特征 信息以及第二位置信息， 通过密钥管理服务器对 根密钥进行分割得到根密钥分片， 对根密钥分片 进行加密得到加密后的根密钥分片， 并向保管终 端发送加密后的根密钥分片， 保管 终端接收并存 储加密后的根密钥分片， 向授权终端发送在恢复 所述根密钥以及加密根密钥分片的保护密钥； 通 过对根密钥备份的安全加固， 即使在根密钥被非 法者窃取后， 提升非法者获取根密钥分片的难 度， 提升了根密钥的安全性。 权利要求书9页 说明书31页 附图8页 CN 115549907 A 2022.12.30 CN 115549907 A 1.一种根密钥的管理系统， 其特征在于， 所述管理系统包括密钥管理服务器、 至少一个 保管终端以及授权终端； 其中： 所述保管终端， 用于在备份所述根密钥时采集并存储持有所述保管终端的保管账户的 第一生物特征信息以及第一位置信息， 向所述密钥管理服务器发送所述第一生物特征信息 以及所述第一位置信息； 其中， 所述第一生物特征信息用于在恢复所述根密钥时验证持有 所述保管终端的保管用户的身份信息； 所述第一位置信息用于在恢复所述根密钥时验证所 述保管终端所处的地理位置； 所述授权终端， 用于在备份所述根密钥时采集并存储持有所述授权终端的授权账户的 第二生物特征信息以及第二位置信息； 向所述密钥管理服务器发送所述第二生物特征信息 以及所述第二位置信息； 其中， 所述第二生物特征信息用于在恢复所述根密钥时验证持有 所述授权终端的授权用户的身份信息； 所述第二位置信息用于在恢复所述根密钥时验证所 述授权终端所处的地理位置； 所述密钥管理服务器， 用于接收并存储所述第 一生物特征信 息、 所述第 一位置信 息、 所 述第二生物特征信息以及所述第二位置信息； 对根密钥进行分割得到根密钥 分片， 向所述 至少一个保管终端发送加密后的根密钥 分片； 生成用于加密所述根密钥分片的保护密钥， 向所述授权终端发送所述保护密钥； 所述至少一个保管终端， 还用于存储所述加密后的根密钥分片， 每个保管终端存储一 份所述加密后的根密钥分片； 所述授权终端， 还用于存储所述保护密钥； 其中， 所述保护密钥还用于在恢 复所述根密 钥时对所述加密后的根密钥分片进行解密。 2.根据权利要求1所述的管理系统， 其特征在于， 所述保管终端， 还用于在恢复所述根 密钥时， 采集待验证保管生物特征以及待验证保管位置， 在所述待验证保管生物特征通过 所述第一生物特征信息验证， 以及所述待验证保管位置通过所述第一位置信息验证的情况 下， 向所述密钥管 理服务器发送所述加密后的根密钥分片； 其中， 所述待验证保管生物特征 用于表示持有 所述保管终端的保管用户的身份信息； 所述待验证保管位置用于表示所述保 管终端在恢复根密钥时所处的地理位置 。 3.根据权利要求1或2所述的管理系统， 其特征在于， 所述授权终端， 还用于在恢 复所述 根密钥时， 采集待验证授权生物特征以及待验证授权位置； 在所述待验证授权生物特征通 过所述第二生物特征信息验证， 以及所述待验证授权位置通过所述第二位置信息验证的情 况下， 向所述密钥管理服务器发送所述保护密钥； 其中， 所述待验证授权生物特征用于表 示 持有所述授权终端的授权用户的身份信息； 所述待验证授权位置用于表示所述授权终端在 恢复所述 根密钥时所处的地理位置 。 4.根据权利要求3所述的管理系统， 其特征在于， 所述密钥管理服务器， 还用于接收所 述保护密钥以及所述加密后的根密钥分片， 利用所述保护密钥对所述加密后的根密钥分片 进行解密， 得到解密后的根密钥分片， 基于所述解密后的根密钥分片进 行恢复计算， 得到根 密钥。 5.根据权利要求3所述的管理系统， 其特征在于， 所述密钥管理服务器， 还用于在监督 用户人数达到指定数量， 以及从目标网页中获取到所述根密钥需要被恢复的公告信息的情 况下， 对所述加密后的根密钥分片进行解密， 得到所述 根密钥分片。权　利　要　求　书 1/9 页 2 CN 115549907 A 26.根据权利要求1所述的管理系统， 其特征在于， 所述保管账户对应有所述保管用户持 有的至少两台所述保管终端以异 地备份所述加密后的根密钥分片； 所述授权账户对应有 所 述授权用户持有的至少两台所述授权终端以异地备份所述保护密钥； 所述根密钥分片是基于门限秘密共享算法对所述根密钥进行分割而得到的； 其中， 用 于恢复所述 根密钥的加密后的根密钥分片的数量小于等于所述 根密钥分片的数量。 7.一种根密钥备份方法， 其特 征在于， 应用于密钥管理服 务器， 所述方法包括： 获取在备份所述根密钥时保管账户的第一生物特征信息以及第一位置信息； 其中， 所 述第一生物特征信息用于在 恢复所述根密钥时验证持有保管终端的保管用户的身份信息； 所述第一 位置信息用于在恢复所述 根密钥时验证所述保管终端所处的地理位置； 接收在备份所述根密钥时授权账户的第 二生物特征信 息以及第 二位置信 息； 其中所述 第二生物特征信息用于在恢复所述根密钥时验证持有授权终端的授权用户的身份信息； 所 述第二位置信息用于在恢复所述 根密钥时验证所述授权终端所处的地理位置； 在所述第二 生物特征信息以及所述第二 位置信息通过验证的情况 下， 获取保护密钥； 基于所述保护密钥对根密钥分片进行加密； 其中， 所述根密钥分片是对所述根密钥进 行分割而得到的； 向所述保管终端发送加密后的根密钥分片， 以在所述保管终端中备份所述根密钥， 其 中， 每个保管终端存 储一份所述加密后的根密钥分片。 8.根据权利要求7所述的方法， 其特征在于， 所述根密钥分片是基于门限秘密共享算法 对所述根密钥进行分割而得到的。 9.根据权利要求7所述的方法， 其特征在于， 所述第 一位置信 息与所述第 二位置信 息记 录的地理位置信息相同； 所述方法还 包括： 确定并存储监督用户人数； 其中， 所述监督用户人数为监督用户的数量； 其中， 所述监 督用户为在所述第一 位置信息所表示的地理位置处监 督所述根密钥恢复过程的用户。 10.一种根密钥备份方法， 其特 征在于， 应用于保管终端， 所述方法包括： 采集在备份所述根密钥时保管账户的第一生物特征信息以及第一位置信息； 其中， 所 述第一生物特征信息用于在恢复所述根密钥时验证持有所述保管终端的保管用户的身份 信息； 所述第一 位置信息用于在恢复所述 根密钥时验证所述保管终端所处的地理位置； 向密钥管理服务器发送所述第一生物特征信息以及所述第一位置信息； 其中， 所述密 钥管理服务器还用于接 收在备份所述根密钥时授权账户的第二生物特征信息以及第二位 置信息； 在所述第二生物特征信息以及所述第二位置信息通过验证的情况下， 获取保护密 钥； 基于所述保护 密钥对根密钥分片进 行加密； 其中， 所述第二生物特征信息用于在 恢复所 述根密钥时验证持有授权终端的授权用户的身份信息； 所述第二位置信息用于在恢复所述 根密钥时验证所述授权终端所 处的地理位置； 所述根密钥分片是对所述根密钥进 行分割而 得到的； 接收并存储所述密钥管理服务器发送的加密后的根密钥分片， 其中， 每个保管终端存 储一份所述加密后的根密钥分片。 11.一种根密钥恢复方法， 其特征在于， 应用于密钥管理服务器， 所述密钥管理服务器 存储有在备份根密钥时生成的保管账户的第一生物特征信息以及第一位置信息； 所述密钥 管理服务器还存储有在备份根密钥时生成的授权账户的第二生物特征信息以及第二位置权　利　要　求　书 2/9 页 3 CN 115549907 A 3