密钥申请方法及装置、电子设备、计算机可读存储介质与流程

1.本发明涉及信息网络安全技术领域，具体而言，涉及一种密钥申请方法及装置、电子设备、计算机可读存储介质。


背景技术：

2.相关技术中，进行密钥申请和认证时，常使用的方式有两种：第一种，传统的证书认证体系系统，第二种，基于sm9的标识密钥体系系统。
3.对于证书认证体系系统，系统包括证书认证中心(ca)、证书注册中心(ra)、证书状态查询系统(ocsp)、密钥管理系统(kms)，这种证书认证体系系统，存在明显的弊端：整体组成相对复杂，且随着适用范围和规模的扩大，证书的管理也随之复杂；不仅需要申请密钥，还需要申请个人证书；用户需要同时保管个人证书和密钥，认证双方在认证前需要交换证书同时对对方证书的有效性进行认证，认证过程较为复杂；同时证书的保存也在一定程度上造成资源浪费。
4.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本发明实施例提供了一种密钥申请方法及装置、电子设备、计算机可读存储介质，以至少解决相关技术中在采用证书进行认证时，需要认证双方在认证前分别申请个人证书和密钥，并对对方证书的有效性进行认证，认证过程较为复杂的技术问题。
6.根据本发明实施例的一个方面，提供了一种密钥申请方法，应用于标识注册单元，所述标识注册单元与密钥生成单元连接，包括：接收用户终端发起的第一申请请求，并基于所述第一申请请求生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密，其中，所述第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；基于所述用户标识信息和加密后的所述标识保护密钥生成第二申请请求，并根据所述第二申请请求计算生成第一数据签名，将包含有所述第一数据签名的第二申请请求发送至密钥生成单元；接收所述密钥生成单元返回的第一响应数据，对所述第一响应数据中的第二数据签名进行验签，其中，所述第一响应数据至少包括：加密后的中间密钥和所述第二数据签名，所述中间密钥是基于所述用户标识信息生成的；在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；将加密后的所述用户密钥和第三数据签名返回至所述用户终端。
7.根据本发明实施例的另一方面，还提供了一种密钥申请方法，应用于标识注册单元，所述标识注册单元与密钥生成单元连接，包括：接收系统操作终端发送的保护密钥文件，并基于所述保护密钥文件生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密，其中，所述系统操作终端为标识管理系统的管理用户所使用的终端，所述系统操作终端对接至少一个用户终端，所述保护密钥文件至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；基于所述用户标识信息和加密后的所述标识保护密钥生
成目标申请请求，并根据所述目标申请请求计算第一数据签名，将包含有所述第一数据签名的目标申请请求发送至密钥生成单元；接收所述密钥生成单元返回的第一响应数据，对所述第一响应数据中的第二数据签名进行验签，其中，所述第一响应数据至少包括：加密后的中间密钥和所述第二数据签名，所述中间密钥是基于所述用户标识信息生成的；在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；将加密后的所述用户密钥和第三数据签名返回至所述系统操作终端。
8.根据本发明实施例的另一方面，还提供了一种密钥申请方法，应用于密钥生成单元，所述密钥生成单元与至少一个标识注册单元连接，包括：接收所述标识注册单元发起的申请请求，其中，所述申请请求中至少包括：用户标识信息、标识保护密钥以及第一数据签名；在所述第一数据签名的验签通过后，基于所述用户标识信息生成中间密钥；采用所述标识保护密钥对所述中间密钥进行加密处理；基于加密后的所述中间密钥生成第一响应数据，并根据所述第一响应数据计算第二数据签名；将包含有第二数据签名的所述第一响应数据返回至所述标识注册单元，其中，所述标识注册单元，在对所述第二数据签名进行验签后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密，并将加密后的所述用户密钥和第三数据签名返回至用户终端。
9.根据本发明实施例的另一方面，还提供了一种密钥申请方法，应用于标识管理系统，所述标识管理系统包括：用户终端、标识注册单元和密钥生成单元，包括：用户终端发起第一申请请求至所述标识注册单元，其中，所述第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；所述标识注册单元基于所述第一申请请求生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密；所述标识注册单元基于所述用户标识信息和加密后的所述标识保护密钥生成第二申请请求，并根据所述第二申请请求计算第一数据签名，将包含有所述第一数据签名的第二申请请求发送至密钥生成单元；所述密钥生成单元基于所述用户标识信息生成中间密钥，并采用所述标识保护密钥对所述中间密钥进行加密处理，基于加密后的所述中间密钥生成第一响应数据，并根据所述第一响应数据计算第二数据签名；所述密钥生成单元将包含所述第二数据签名的第一响应数据发送至所述标识注册单元；所述标识注册单元接收所述密钥生成单元返回的第一响应数据，并对所述第一响应数据中的第二数据签名进行验签；所述标识注册单元在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；所述标识注册单元将加密后的所述用户密钥和第三数据签名返回至所述用户终端；所述用户终端在对第三数据签名的验签通过后，采用用户保护密钥对所述用户密钥进行解密，得到所述用户密钥。
10.根据本发明实施例的另一方面，还提供了一种密钥申请装置，应用于标识注册单元，所述标识注册单元与密钥生成单元连接，包括：第一接收单元，用于接收用户终端发起的第一申请请求，并基于所述第一申请请求生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密，其中，所述第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；第一生成单元，用于基于所述用户标识信息和加密后的所述标识保护密钥生成第二申请请求，并根据所述第二申请请求计算生成第一数据签名，将包含有所述第一数据签名的第二申请请求发送至密钥生成单元；第二接收单元，用于接收
所述密钥生成单元返回的第一响应数据，对所述第一响应数据中的第二数据签名进行验签，其中，所述第一响应数据至少包括：加密后的中间密钥和所述第二数据签名，所述中间密钥是基于所述用户标识信息生成的；第二生成单元，用于在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；第一发送单元，用于将加密后的所述用户密钥和第三数据签名返回至所述用户终端。
11.根据本发明实施例的另一方面，还提供了一种密钥申请装置，应用于标识注册单元，所述标识注册单元与密钥生成单元连接，包括：第三接收单元，用于接收系统操作终端发送的保护密钥文件，并基于所述保护密钥文件生成标识保护密钥，采用密钥生成公钥对所述标识保护密钥进行加密，其中，所述系统操作终端为标识管理系统的管理用户所使用的终端，所述系统操作终端对接至少一个用户终端，所述保护密钥文件至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；第三生成单元，用于基于所述用户标识信息和加密后的所述标识保护密钥生成目标申请请求，并根据所述目标申请请求计算第一数据签名，将包含有所述第一数据签名的目标申请请求发送至密钥生成单元；第四接收单元，用于接收所述密钥生成单元返回的第一响应数据，对所述第一响应数据中的第二数据签名进行验签，其中，所述第一响应数据至少包括：加密后的中间密钥和所述第二数据签名，所述中间密钥是基于所述用户标识信息生成的；第四生成单元，用于在所述第二数据签名的验签通过后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密；第二发送单元，用于将加密后的所述用户密钥和第三数据签名返回至所述系统操作终端。
12.根据本发明实施例的另一方面，还提供了一种密钥申请装置，应用于密钥生成单元，所述密钥生成单元与至少一个标识注册单元连接，包括：第五接收单元，用于接收所述标识注册单元发起的申请请求，其中，所述申请请求中至少包括：用户标识信息、标识保护密钥以及第一数据签名；第五生成单元，用于在所述第一数据签名的验签通过后，基于所述用户标识信息生成中间密钥；第一加密单元，用于采用所述标识保护密钥对所述中间密钥进行加密处理；第六生成单元，用于基于加密后的所述中间密钥生成第一响应数据，并根据所述第一响应数据计算第二数据签名；第三发送单元，用于将包含有第二数据签名的所述第一响应数据返回至所述标识注册单元，其中，所述标识注册单元，在对所述第二数据签名进行验签后，根据所述中间密钥生成用户密钥，并采用所述用户保护密钥对所述用户密钥进行加密，并将加密后的所述用户密钥和第三数据签名返回至用户终端。
13.根据本发明实施例的另一方面，还提供了一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的密钥申请方法。
14.根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任意一项所述的密钥申请方法。
15.本公开中，基于用户标识信息，得到中间密钥，并通过该中间密钥直接生成用户密钥，无需使用个人证书，后续也无需对个人证书进行认证，只需要提交基本的用户个人信息，安全的申请对应的标识密钥信息，后续在认证过程中，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证，身份认证明
显简化，从而解决相关技术中在采用证书进行认证时，需要认证双方在认证前分别申请个人证书和密钥，并对对方证书的有效性进行认证，认证过程较为复杂的技术问题。
附图说明
16.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
17.图1是根据本发明实施例的一种可选的标识密钥管理系统的示意图；
18.图2是根据本发明实施例的一种可选的密钥申请方法的流程图；
19.图3是根据本发明实施例的另一种可选的密钥申请方法的流程图一；
20.图4是根据本发明实施例的另一种可选的密钥申请方法的流程图二；
21.图5是根据本发明实施例的另一种可选的密钥申请方法的流程图三；
22.图6是根据本发明实施例的一种可选的系统各设备进行初始化的流程图；
23.图7是根据本发明实施例的一种可选的标识在线注册流程的示意图；
24.图8是根据本发明实施例的一种可选的标识离线注册流程的示意图；
25.图9是根据本发明实施例的一种可选的密钥申请装置的示意图；
26.图10根据本发明实施例的另一种可选的密钥申请装置的示意图一；
27.图11是根据本发明实施例的另一种可选的密钥申请装置的示意图二。
具体实施方式
28.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
29.为便于本领域技术人员理解本发明，下面对本发明各实施例中涉及的部分术语或者名词做出说明：
30.kmc，密钥生成中心，高性能标识密钥系统子系统，提供标识服务和应用管理服务，其中，标识服务是指为用户终端提供密钥申请服务，包括在线标识注册服务和离线标识服务，而应用管理服务是对对用户终端进行统一管理。
31.rmc，标识注册中心，提供密钥服务，为rmc提供相关密钥服务。
32.密钥基，由sm2密钥对组成的密钥矩阵，由kmc初始化生成。
33.公钥基，由密钥基的所有密钥对公钥组成的公钥数据，用于标识密码运算。
34.b/s架构，浏览器和服务器架构模式。
35.系统保护密钥，rmc系统保护密钥，用于rmc在保存敏感数据时的数据加密。
36.保护密钥，临时生成的一个sm4密钥，用于数据传输过程中的加密，请求结束后立刻销毁。
37.中间密钥，kmc调用密码设备生成的一对sm2密钥。
38.用户密钥，rmc对中间密钥进行扩展计算后生成的一对sm2密钥。
39.数据签名，发送数据前对本次请求或响应的完整数据，使用自身私钥进行签名生
成的签名数据。
40.本实施例可以应用于各种密钥申请系统/密钥认证系统/密钥管理系统中，本系统能够实现指定环境内多用户的标识密钥申请(即基于用户个人标识信息，即可申请得到用户密钥)，用户通过使用个人标识密钥与公钥基，完成与其他用户的身份认证、密钥协商、数据加密传输等使用场景。
41.图1是根据本发明实施例的一种可选的标识密钥管理系统的示意图，如图1所示，该管理系统包括：
42.一个密钥生成中心kmc(即密钥生成单元)和多个标识注册中心rmc(即标识注册单元)。本实施例中的标识密钥管理系统，有且仅有一个kmc，可以存在多个rmc。
43.下面通过表1示意说明标识密钥管理系统的系统功能：
44.表1
[0045][0046][0047]
下面结合上述标识密钥管理系统对本发明进行示意说明。
[0048]
本发明实施例中，提供了密钥申请方法，该密钥申请方法可应用于标识密钥管理系统中，本实施例中的标识密钥管理系统，主要负责标识密钥的全生命周期管理，包括基于标识信息的注册、挂失、解挂、注销和密钥的下载、更新、恢复。系统采用b/s架构，系统软件部署在服务器上，管理员通过浏览器访问管理系统使用系统的各项功能。下面先对该标识密钥管理系统进行示意说明。
[0049]
在下述各实施方式中，分别站在标识注册中心/单元、密钥生成单元的实施主体角度对密钥申请流程进行示意说明。
[0050]
以标识注册单元为实施主体进行示意说明。
[0051]
根据本发明实施例，提供了一种密钥申请方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
[0052]
本发明实施例提供了一种密钥申请方法，应用于标识注册单元，标识注册单元与密钥生成单元连接。
[0053]
本实施例中先说明一种基于用户标识信息的在线注册流程，即用户终端与标识注册单元预先已经建立通信连接，属于在线状态，此时，用户终端可以与标识注册单元直接传输数据、请求报文等。
[0054]
图2是根据本发明实施例的一种可选的密钥申请方法的流程图，如图2所示，该方法包括如下步骤：
[0055]
步骤s202，接收用户终端发起的第一申请请求，并基于第一申请请求生成标识保护密钥，采用密钥生成公钥对标识保护密钥进行加密，其中，第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；
[0056]
步骤s204，基于用户标识信息和加密后的标识保护密钥生成第二申请请求，并根据第二申请请求计算生成第一数据签名，将包含有第一数据签名的第二申请请求发送至密钥生成单元；
[0057]
步骤s206，接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，第一响应数据至少包括：加密后的中间密钥和第二数据签名，中间密钥是基于用户标识信息生成的；
[0058]
步骤s208，在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密；
[0059]
步骤s210，将加密后的用户密钥和第三数据签名返回至用户终端。
[0060]
通过上述步骤，可以接收用户终端发起的第一申请请求，并基于第一申请请求生成标识保护密钥，采用密钥生成公钥对标识保护密钥进行加密，其中，第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥，基于用户标识信息和加密后的标识保护密钥生成第二申请请求，并根据第二申请请求计算生成第一数据签名，将包含有第一数据签名的第二申请请求发送至密钥生成单元，接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，第一响应数据至少包括：加密后的中间密钥和第二数据签名，中间密钥是基于用户标识信息生成的，在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密；将加密后的用户密钥和第三数据签名返回至用户终端。在该实施例中，可以基于用户标识信息，得到中间密钥，并通过该中间密钥直接生成用户密钥，无需使用个人证书，后续也无需对个人证书进行认证，只需要提交基本的用户个人信息，安全的申请对应的标识密钥信息，后续在认证过程中，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证，身份认证明显简化，从而解决相关技术中在采用证书进行认证时，需要认证双方在认证前分别申请个人证书和密钥，并对对方证书的有效性进行认证，认证过程较为复杂的技术问题。
[0061]
下面结合上述各实施步骤来说明本发明实施例。
[0062]
首先，对标识注册单元rmc的初始化流程进行示意说明。通过上述系统，提供了一整套安全完备的系统初始化的方法，能够保证系统运行前通过初始化步骤完成系统基本配置，将密钥基、系统密钥分别保存到指定的密码设备上的安全存储区中进行保存。
[0063]
可选的，在接收用户终端发起的第一申请请求之前，还包括：接收用户终端发起的
公钥获取请求；基于公钥获取请求，生成第二响应数据，其中，第二响应数据包括：标识注册单元的单元标识和公钥基；将第二响应数据返回至用户终端。
[0064]
本实施例中，在用户终端与标识注册单元建立通信连接，用户终端处于在线状态时，此时，用户终端可调用网络接口，向rmc发起公钥获取请求，rmc在接收到公钥获取请求后，可以将rmc标识(即标识注册单元的单元标识)、公钥基以及数据签名组成rmc响应数据返回给用户终端，该数据签名是对rmc响应数据进行签名，之后，将包含数据签名的rmc响应数据返回至用户终端。
[0065]
作为本发明实施例可选的实施方式，在接收用户终端发起的公钥获取请求之前，还包括：将标识注册单元的单元标识录入至密钥生成单元，以完成信息注册流程。
[0066]
本实施例中，rmc信息注册是指：rmc在初始化前，需要在kmc完成系统信息注册，将单元标识(或者系统标识)、ip等信息录入kmc。对于未注册的rmc发送的请求，不提供任何服务。
[0067]
另一种可选的，在接收用户终端发起的公钥获取请求之前，还包括：发送系统密钥请求至密钥生成单元，其中，系统密钥请求至少包括：标识注册单元的单元标识，密钥生成单元基于单元标识和密钥基生成第一系统密钥；接收密钥生成单元返回的第一系统密钥；基于系统配置参数，将第一系统密钥导入至预设密码设备的指定位置；根据系统配置参数，在预设密码设备的指定位置生成系统保护密钥。
[0068]
本实施例中，rmc申请系统密钥是指：标识注册单元rmc发送系统密钥请求，申请rmc系统密钥，密钥生成单元kmc根据rmc的标识和密钥基计算生成rmc系统密钥(即上述的第一系统密钥)，并返回发送给rmc。
[0069]
本实施例中，rmc系统密钥导入是指：将上一步获取的rmc系统密钥，根据系统配置参数，导入保存在预设密码设备的指定位置。
[0070]
本实施例中，生成rmc保护密钥是指：根据系统配置参数，在预设密码设备的指定位置生成系统保护密钥，该系统保护密钥用于系统使用过程中的敏感数据加密。
[0071]
可选的，在根据系统配置参数，在预设密码设备的指定位置生成系统保护密钥之后，还包括：对第一系统密钥和系统保护密钥进行复制处理；将复制后的第一系统密钥和系统保护密钥保存在第一安全备份介质中。
[0072]
本实施例中，rmc密钥备份是指：通过使用第一安全备份介质(如安全密码钥匙)，本实施例中，可以采用三五门限的方式完成rmc系统密钥和系统保护密钥的备份(即将复制后的第一系统密钥和系统保护密钥保存在第一安全备份介质中)。可选的，用户终端在接收到将rmc标识(即标识注册单元的单元标识)、公钥基以及数据签名组成的rmc响应数据后，可以通过获取的rmc标识和公钥基，计算生成用户保护密钥，并使用rmc公钥(即标识注册公钥)对该用户保护密钥进行加密，将加密后的用户保护密钥、用户标识信息和作用域id一起组成第一申请请求发送给标识注册单元rmc。
[0073]
步骤s202，接收用户终端发起的第一申请请求，并基于第一申请请求生成标识保护密钥，其中，第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥。
[0074]
在本实施例中，用户标识信息包括但不限于：用户id、用户身份信息等。
[0075]
可选的，在基于第一申请请求生成标识保护密钥之后，还包括：获取密钥生成公
钥；采用密钥生成公钥对标识保护密钥进行加密。
[0076]
标识注册单元在接收到第一申请请求后，可以基于该响应数据，生成标识保护密钥，即rmc保护密钥，并使用kmc公钥(即上述的密钥生成公钥)对该标识保护密钥进行加密，将用户标识信息、加密后的rmc保护密钥以及数据签名组成第二申请请求发送给密钥申请单元kmc。
[0077]
在第一申请请求中除了包含有用户标识信息，还包括：用户保护密钥，通过该用户保护密钥可以对后续生成的标识保护密钥进行加密处理，采用加密的方式进行信息传输。
[0078]
步骤s204，基于所述用户标识信息和加密后的标识保护密钥生成第二申请请求，并根据第二申请请求计算生成第一数据签名，将包含有第一数据签名的第二申请请求发送至密钥生成单元。
[0079]
本实施例中，数据签名用于对各申请请求进行签名，接收方验证请求方身份，防止请求数据在传输过程中被篡改。此处，在通过用户标识信息和标识保护密钥确定第二申请请求后，可对该第二申请请求进行数据签名，防止该申请请求在传输过程中被篡改。
[0080]
在密钥生成单元kmc接收到该第二申请请求后，可以根据用户标识信息，调用密码设备生成中间密钥，并使用标识保护密钥(即rmc保护密钥)对该中间密钥进行加密，然后密钥生成单元可以将加密后的中间密钥和第二数据签名组成第一响应数据。
[0081]
此处，第二数据签名可以是对包含中间密钥的第一响应数据计算生成的数据签名，然后将中间密钥和第二数据签名组成为第一响应数据，密钥生成单元kmc将该第一响应数据传输至标识注册单元。
[0082]
步骤s206，接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，第一响应数据至少包括：加密后的中间密钥和第二数据签名，中间密钥是基于用户标识信息生成的。
[0083]
步骤s208，在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密。
[0084]
可选的，根据中间密钥生成用户密钥的步骤，包括：获取预先配置的作用域标识，其中，作用域标识用于链接目标作用域数据；基于作用域标识和中间密钥，生成用户密钥。
[0085]
标识注册单元对第一响应数据中的第二数据签名进行验签，验签通过后，根据中间密钥和作用域id(本实施例，通过作用域id能够索引得到作用域参数文件，该作用域id是可选项，如果没有作用域id，那么中间密钥即为用户密钥)，调用密码设备计算生成用户密钥，并使用用户保护密钥对用户密钥进行加密。
[0086]
另一种可选的，在根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密之后，还包括：获取第一申请请求中的用户保护密钥；采用用户保护密钥对中间密钥进行加密。
[0087]
步骤s210，将加密后的用户密钥和第三数据签名返回至用户终端。
[0088]
本实施例中，在将加密用户密钥和第三数据签名返回给用户终端后，用户终端对第三数据签名进行验签，验签通过后使用用户保护密钥解密后即可获得用户密钥，完成用户密钥申请。
[0089]
此处，第三数据签名是指基于加密后的用户密钥生成的响应数据计算生成的数据签名，然后将加密后的用户密钥和第三数据签名组成数据包返回至用户终端。
[0090]
本实施例中，提及的第一数据签名、第二数据签名和第三数据签名的签名类型和方式可以自行调整，本实施例不做具体限定。
[0091]
本实施例中，提供了密钥申请方法，用户终端只需要提交基本的个人信息(用户标识信息)，即可安全的申请对应的标识密钥信息。
[0092]
本实施例中，提供了一种用户间签名认证方法，发送方使用个人用户私钥签名后，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证。
[0093]
下面对本实施例提供的一种基于用户标识信息的离线注册流程进行示意说明，该离线注册是指，用户终端处于离线装置，并未与标识注册单元直接建立通信连接，属于离线状态，此时，可以通过用户终端与管理系统的系统操作终端进行通信，完成标识密钥申请。
[0094]
本发明实施例提供了一种密钥申请方法，应用于标识注册单元，标识注册单元与密钥生成单元连接。
[0095]
图3是根据本发明实施例的另一种可选的密钥申请方法的流程图一，如图3所示，该密钥申请方法包括：
[0096]
步骤s302，接收系统操作终端发送的保护密钥文件，并基于保护密钥文件生成标识保护密钥，采用密钥生成公钥对标识保护密钥进行加密，其中，系统操作终端为标识管理系统的管理用户所使用的终端，系统操作终端对接至少一个用户终端，保护密钥文件至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；
[0097]
步骤s304，基于用户标识信息和加密后的标识保护密钥生成目标申请请求，并根据目标申请请求计算第一数据签名，将包含有第一数据签名的目标申请请求发送至密钥生成单元；
[0098]
步骤s306，接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，第一响应数据至少包括：加密后的中间密钥和第二数据签名，中间密钥是基于用户标识信息生成的；
[0099]
步骤s308，在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密；
[0100]
步骤s310，将加密后的用户密钥和第三数据签名返回至系统操作终端。
[0101]
上述密钥申请方法，接收系统操作终端发送的保护密钥文件，并基于保护密钥文件生成标识保护密钥，基于用户标识信息和加密后的标识保护密钥生成目标申请请求，并根据目标申请请求计算第一数据签名，将包含有第一数据签名的目标申请请求发送至密钥生成单元，接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，第一响应数据至少包括：加密后的中间密钥和第二数据签名，中间密钥是基于用户标识信息生成的，在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密，将加密后的用户密钥和第三数据签名返回至系统操作终端。在该实施例中，对于离线密钥申请流程，可以基于用户标识信息，得到中间密钥，并通过该中间密钥直接生成用户密钥，无需使用个人证书，后续也无需对个人证书进行认证，只需要提交基本的用户个人信息，安全的申请对应的标识密钥信息，后续在认证过程中，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证，身份认证明显简化，从而解决相关技术中在采用证书进行认证时，需要
认证双方在认证前分别申请个人证书和密钥，并对对方证书的有效性进行认证，认证过程较为复杂的技术问题。
[0102]
下面结合上述各实施例来详细说明本实施例。
[0103]
可选的，在接收系统操作终端发送的保护密钥文件之前，还包括：向用户终端发送公钥基文件，其中，公钥基文件包括：标识注册单元的单元标识和公钥基；通过用户终端根据标识注册单元的单元标识和公钥基，生成标识公钥；通过用户终端生成用户保护密钥；通过用户终端基于标识公钥对用户保护密钥进行加密；通过用户终端基于加密后的用户保护密钥和用户标识信息，生成保护密钥文件。
[0104]
本实施例中，标识注册单元，可以为用户终端提供公钥基文件，该公钥基文件可包含rmc标识(即标识注册单元的单元标识)和公钥基。用户终端基于该公钥基文件可以生成用户保护密钥，根据公钥基文件中的rmc标识和公钥基，计算生成rmc公钥(即标识公钥)，使用rmc公钥对用户保护密钥进行加密，将用户标识、作用域id和加密的用户保护密钥组成保护密钥文件，提供给系统操作终端。
[0105]
在系统操作终端接收到保护密钥文件后，可以登录rmc管理页面，上传用户终端的保护密钥文件，进行标识注册和密钥下载。
[0106]
步骤s302，接收系统操作终端发送的保护密钥文件，并基于保护密钥文件生成标识保护密钥，其中，系统操作终端为标识管理系统的管理用户所使用的终端，系统操作终端对接至少一个用户终端，保护密钥文件至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥。
[0107]
标识注册单元的后端服务器，在接收到保护密钥文件后，可以生成rmc保护密钥(即上述的标识保护密钥)，并可使用kmc公钥(即标识注册公钥)对该rmc保护密钥进行加密(即采用标识注册公钥对用户保护密钥进行加密)。
[0108]
步骤s304，基于用户标识信息和加密后的标识保护密钥生成目标申请请求，并根据目标申请请求计算第一数据签名，将包含有第一数据签名的目标申请请求发送至密钥生成单元。
[0109]
本实施例中，标识注册单元可以基于加密后的标识保护密钥、用户标识信息以及数据签名，组成rmc请求(即上述的目标申请请求)，并将该rmc请求发送至密钥生成单元kmc。
[0110]
在密钥生成单元kmc接收到该第二申请请求后，可以根据用户标识信息，调用密码设备生成中间密钥，并使用标识保护密钥对该中间密钥进行加密，然后密钥生成单元可以将加密后的中间密钥和第二数据签名组成第一响应数据，返回至标识注册单元。
[0111]
步骤s306，接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，第一响应数据至少包括：加密后的中间密钥和第二数据签名，中间密钥是基于用户标识信息生成的。
[0112]
标识注册单元对第一响应数据中的第二数据签名进行验签，验签通过后，根据中间密钥和作用域id(本实施例，通过作用域id能够索引得到作用域参数文件，该作用域id是可选项)，调用密码设备计算生成用户密钥，并使用用户保护密钥对用户密钥进行加密。
[0113]
步骤s308，在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密。
[0114]
标识注册单元将加密的用户密钥和数据签名组成用户密钥文件，通过系统操作终端完成下载。
[0115]
步骤s310，将加密后的用户密钥和第三数据签名返回至系统操作终端。
[0116]
系统操作终端下载完成后将用户密钥文件提供给用户终端，用户终端对密钥文件中的第三数据签名进行验签，验签通过后，使用用户保护密钥解密后即可获得用户密钥，完成用户密钥申请。
[0117]
本实施例中，提供了的密钥申请方法，用户终端只需要提交基本的个人信息(用户标识信息)，即可安全的申请对应的标识密钥信息。
[0118]
在下述各实施方式中，以密钥生成单元为实施主体，对密钥申请流程进行示意说明。本发明实施例还提供了一种密钥申请方法，应用于密钥生成单元，密钥生成单元与至少一个标识注册单元连接。
[0119]
图4是根据本发明实施例的另一种可选的密钥申请方法的流程图二，如图4所示，该密钥申请方法包括：
[0120]
步骤s402，接收标识注册单元发起的申请请求，其中，申请请求中至少包括：用户标识信息、标识保护密钥以及第一数据签名。
[0121]
步骤s404，在第一数据签名的验签通过后，基于用户标识信息生成中间密钥。
[0122]
密钥生成单元根据用户标识信息，调用密码设备生成中间密钥，并使用rmc保护密钥(即标识保护密钥)对中间密钥进行加密。
[0123]
步骤s406，采用标识保护密钥对中间密钥进行加密处理。
[0124]
步骤s408，基于加密后的中间密钥生成第一响应数据，并根据第一响应数据计算第二数据签名。
[0125]
密钥生成单元将加密后的中间密钥和数据签名组成kmc响应(即第一响应数据)返回给标识注册单元rmc。
[0126]
步骤s410，将包含有第二数据签名的第一响应数据返回至标识注册单元，其中，标识注册单元，在对第二数据签名进行验签后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密，并将加密后的用户密钥和第三数据签名返回至用户终端。
[0127]
上述步骤，可以接收标识注册单元发起的申请请求，其中，申请请求中至少包括：用户标识信息、标识保护密钥以及第一数据签名，在第一数据签名的验签通过后，基于用户标识信息生成中间密钥，采用标识保护密钥对中间密钥进行加密处理，基于加密后的中间密钥生成第一响应数据，并根据第一响应数据计算第二数据签名，将包含有第二数据签名的第一响应数据返回至标识注册单元，其中，标识注册单元，在对第二数据签名进行验签后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密，并将加密后的用户密钥和第三数据签名返回至用户终端。在该实施例中，密钥生成单元，可基于用户标识信息生成中间密钥，这样标识注册单元即可通过该中间密钥直接生成用户密钥，无需使用个人证书，后续也无需对个人证书进行认证，只需要提交基本的用户个人信息，安全的申请对应的标识密钥信息，后续在认证过程中，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证，身份认证明显简化，从而解决相关技术中在采用证书进行认证时，需要认证双方在认证前分别申请个人证书和密钥，并对对方证书的有效性进行认证，认证过程较为复杂的技术问题。
[0128]
下面对于密钥生成单元的初始化流程进行示意说明。
[0129]
可选的，在接收标识注册单元发起的申请请求之前，还包括：根据系统配置参数，在预设密码设备的指定位置生成密钥基；根据密钥基和标识注册单元的单元标识，生成第二系统密钥；根据系统配置参数，将第二系统密钥导入至预设密码设备的指定位置。
[0130]
本实施例中，生成密钥基是指：密钥生成单元kmc根据系统配置参数，在密码设备的指定位置，生成密钥基。
[0131]
本实施例中，生成kmc系统密钥是指：根据上一步生成的密钥基，计算生成kmc系统密钥(即上述的第二系统密钥)，并根据系统配置参数，导入保存在密码设备的指定位置。
[0132]
可选的，在根据密钥基和标识注册单元的单元标识，生成第二系统密钥之后，还包括：对密钥基和第二系统密钥进行复制处理；将复制后的密钥基和第二系统密钥保存在第二安全备份介质中。
[0133]
本实施例中，kmc密钥备份是指：通过使用安全备份介质(如安全密码钥匙)，采用三五门限的方式完成密钥基和kmc系统密钥的备份(即将复制后的密钥基和第二系统密钥保存在第二安全备份介质中)。
[0134]
本实施例中，提及的第一数据签名、第二数据签名和第三数据签名的签名类型和方式可以自行调整，本实施例不做具体限定。
[0135]
本实施例中，提供了的密钥申请方法，用户终端只需要提交基本的个人信息(用户标识信息)，即可安全的申请对应的标识密钥信息。
[0136]
本实施例中，提供了一种用户间签名认证方法，发送方使用个人用户私钥签名后，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证。
[0137]
下面结合另一种密钥申请方法对本发明进行示意说明。密钥申请方法应用于标识管理系统，标识管理系统包括：用户终端、标识注册单元和密钥生成单元。
[0138]
图5是根据本发明实施例的另一种可选的密钥申请方法的流程图三，如图5所示，该密钥申请方法包括：
[0139]
步骤s501，用户终端发起第一申请请求至标识注册单元，其中，第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；
[0140]
步骤s502，标识注册单元基于第一申请请求生成标识保护密钥，采用密钥生成公钥对标识保护密钥进行加密；
[0141]
步骤s503，标识注册单元基于用户标识信息和加密后的标识保护密钥生成第二申请请求，并根据第二申请请求计算第一数据签名，将包含有第一数据签名的第二申请请求发送至密钥生成单元；
[0142]
步骤s504，密钥生成单元基于用户标识信息生成中间密钥，并采用标识保护密钥对中间密钥进行加密处理，基于加密后的中间密钥生成第一响应数据，并根据第一响应数据计算第二数据签名；
[0143]
步骤s505，密钥生成单元将包含第二数据签名的第一响应数据发送至标识注册单元；
[0144]
步骤s506，标识注册单元接收密钥生成单元返回的第一响应数据，并对第一响应数据中的第二数据签名进行验签；
[0145]
步骤s507，标识注册单元在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密；
[0146]
步骤s508，标识注册单元将加密后的用户密钥和第三数据签名返回至用户终端；
[0147]
步骤s509，用户终端在对第三数据签名的验签通过后，采用用户保护密钥对用户密钥进行解密，得到用户密钥。
[0148]
上述步骤，可以用户终端发起第一申请请求至标识注册单元，其中，第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥，标识注册单元基于第一申请请求生成标识保护密钥，采用密钥生成公钥对标识保护密钥进行加密，标识注册单元基于用户标识信息和加密后的所述标识保护密钥生成第二申请请求，并根据第二申请请求计算第一数据签名，将包含有第一数据签名的第二申请请求发送至密钥生成单元，密钥生成单元基于用户标识信息生成中间密钥，并采用标识保护密钥对中间密钥进行加密处理，基于加密后的中间密钥生成第一响应数据，并根据第一响应数据计算第二数据签名，密钥生成单元将包含第二数据签名的第一响应数据发送至标识注册单元，标识注册单元接收密钥生成单元返回的第一响应数据，并对第一响应数据中的第二数据签名进行验签，标识注册单元在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密，标识注册单元将加密后的用户密钥和第三数据签名返回至用户终端，用户终端在对第三数据签名的验签通过后，采用用户保护密钥对用户密钥进行解密，得到用户密钥。在该实施例中，密钥生成单元，可基于用户标识信息生成中间密钥，这样标识注册单元即可通过该中间密钥直接生成用户密钥，无需使用个人证书，后续也无需对个人证书进行认证，只需要提交基本的用户个人信息，安全的申请对应的标识密钥信息，后续在认证过程中，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证，身份认证明显简化，从而解决相关技术中在采用证书进行认证时，需要认证双方在认证前分别申请个人证书和密钥，并对对方证书的有效性进行认证，认证过程较为复杂的技术问题。
[0149]
可选的，在用户终端发起第一申请请求至标识注册单元之前，还包括：用户终端发起公钥获取请求至标识注册单元；标识注册单元基于公钥获取请求，生成第二响应数据，其中，第二响应数据包括：标识注册单元的单元标识、公钥基和第二数据签名；标识注册单元将第二响应数据返回至用户终端。
[0150]
通过上述的标识密钥管理系统，可实现指定环境内多用户的标识密钥申请，用户通过使用个人标识密钥与公钥基，完成与其他用户的身份认证、密钥协商、数据加密传输等使用场景。
[0151]
下面结合图1，对本发明实施例中使用标识密钥管理系统的流程进行具体说明。
[0152]
一、初始化流程
[0153]
图6是根据本发明实施例的一种可选的系统各设备进行初始化的流程图，如图6所示，系统包括：标识注册中心rmc、密钥生成中心kmc以及密码设备，与标识注册中心rmc对应设置有rmc安全备份介质，与密钥生成中心kmc对应设置有kmc安全备份介质。
[0154]
具体地初始化流程包括两部分，分别为kmc初始化流程和rmc初始化流程，如图6所示，下面分别对kmc初始化流程和rmc初始化流程进行说明。
[0155]
对于kmc初始化流程，包括：
[0156]
1.1.生成密钥基：kmc根据系统配置参数，在密码设备的指定位置，生成密钥基。
[0157]
1.2.生成kmc系统密钥：根据上一步生成的密钥基，计算生成kmc系统密钥，并根据系统配置参数，导入保存在密码设备的指定位置。
[0158]
1.3.kmc密钥备份：通过使用安全备份介质(如安全密码钥匙)，采用三五门限的方式完成密钥基和kmc系统密钥的备份。
[0159]
对于rmc初始化流程，包括：
[0160]
2.1.rmc信息注册：rmc在初始化前，需要在kmc完成系统信息注册，将系统标识、ip等信息录入kmc。对于未注册的rmc发送的请求，不提供任何服务。
[0161]
2.2.rmc申请系统密钥：rmc发送系统密钥请求，申请rmc系统密钥，kmc根据rmc的标识和密钥基计算生成rmc系统密钥，并返回发送给rmc。
[0162]
2.3.rmc系统密钥导入：将上一步获取的rmc系统密钥，根据系统配置参数，导入保存在密码设备的指定位置。
[0163]
2.4.生成rmc保护密钥：根据系统配置参数，在密码设备的指定位置生成系统保护密钥，用于系统使用过程中的敏感数据加密。
[0164]
2.5.rmc密钥备份：通过使用安全备份介质(如安全密码钥匙)，采用三五门限的方式完成rmc系统密钥和系统保护密钥的备份。
[0165]
本系统提供了一整套安全完备的系统初始化的方法，能够保证系统运行前通过初始化步骤完成系统基本配置，将密钥基、系统密钥分别保存到指定的密码设备上的安全存储区中进行保存。
[0166]
在完成初始化后，可以实现基于用户标识信息的在线注册和离线注册，下面结合图1分别结合标识在线注册流程和标识离线注册流程进行示意说明。该在线注册流程和标识离线注册流程应用于标识密钥管理系统，标识密钥管理系统包括：用户终端(在图7中以用户进行示意说明)、标识注册中心和密钥生成中心。
[0167]
图7是根据本发明实施例的一种可选的标识在线注册流程的示意图，如图7所示，该在线注册流程包括：
[0168]
1.用户通过网络接口调用，发起rmc公钥获取请求。
[0169]
2.rmc将rmc标识、公钥基以及数据签名组成rmc响应数据返回给用户。
[0170]
3.用户通过获取的rmc标识和公钥基，计算生成用户保护密钥并使用rmc公钥加密，和用户标识、作用域id一起组成申请请求发送给rmc。
[0171]
4.rmc接收得到请求后，生成rmc保护密钥，并使用kmc公钥进行加密，将用户标识、加密后的rmc保护密钥以及数据签名组成rmc请求发送给kmc。
[0172]
5.kmc接收到请求后，根据用户标识信息，调用密码设备生成中间密钥，并使用rmc保护密钥对中间密钥进行加密。
[0173]
6.kmc将加密后的中间密钥和数据签名组成kmc响应返回给rmc。
[0174]
7.rmc对kmc响应中的数据签名进行验签，验签通过后，根据中间密钥和作用域id，调用密码设备计算生成用户密钥，并使用用户保护密钥对用户密钥进行加密。
[0175]
8.rmc将加密用户密钥和数据签名返回给用户，用户对数据签名进行验签，验签通过后使用用户保护密钥解密后即可获得用户密钥，完成用户密钥申请。
[0176]
下面对标识离线注册流程进行示意说明，对于离线标识注册，申请密钥信息的方
式来说，用户终端通过系统操作终端(图8中以操作员进行示意说明)进行用户标识注册，申请用户密钥。
[0177]
图8是根据本发明实施例的一种可选的标识离线注册流程的示意图，如图8所示，该离线注册流程包括：
[0178]
1.rmc给用户提供公钥基文件，包含rmc标识和公钥基。
[0179]
2.用户生成用户保护密钥，根据公钥基文件中的rmc标识和公钥基，计算生成rmc公钥，使用rmc公钥对用户保护密钥进行加密，将用户标识、作用域id和加密用户保护密钥组成保护密钥文件，提供给系统操作员。
[0180]
3.系统操作员登录rmc管理页面，上传用户的保护密钥文件进行标识注册和密钥下载。
[0181]
4.rmc后端服务接收到文件后，生成rmc保护密钥，并使用kmc公钥进行加密，将用户标识、加密后的rmc保护密钥以及数据签名组成rmc请求发送给kmc。
[0182]
5.kmc接收到请求后，根据用户标识信息，调用密码设备生成中间密钥，并使用rmc保护密钥对中间密钥进行加密。
[0183]
6.kmc将加密后的中间密钥和数据签名组成kmc响应返回给rmc。
[0184]
7.rmc对kmc享用中的数据签名进行验签，验签通过后，根据中间密钥和作用域id，调用密码设备计算生成用户密钥，并使用用户保护密钥对用户密钥进行加密。
[0185]
8.rmc将加密用户和数据签名组成用户密钥文件，通过系统操作员在管理页面上完成下载。
[0186]
9.操作员下载完成后将用户密钥文件提供给用户，用户对密钥文件中的数据签名进行验签，验签通过后，使用用户保护密钥解密后即可获得用户密钥，完成用户密钥申请。
[0187]
本实施例中，提供了一种基于用户标识的密钥申请方法，用户终端能够通过密钥管理系统，只需要提交基本的个人信息，即可安全的申请对应的标识密钥信息。
[0188]
本实施例中，提供了一种用户间签名认证方法，发送方使用个人用户私钥签名后，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证。
[0189]
下面结合各个实施装置来说明本发明实施例。
[0190]
图9是根据本发明实施例的一种可选的密钥申请装置的示意图，应用于标识注册单元，标识注册单元与密钥生成单元连接，如图9所示，该密钥申请装置可以包括：第一接收单元91、第一生成单元93、第二接收单元95、第二生成单元97、第一发送单元99，其中，
[0191]
第一接收单元91，用于接收用户终端发起的第一申请请求，并基于第一申请请求生成标识保护密钥，采用密钥生成公钥对标识保护密钥进行加密，其中，第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；
[0192]
第一生成单元93，用于基于用户标识信息和加密后的标识保护密钥生成第二申请请求，并根据第二申请请求计算生成第一数据签名，将包含有第一数据签名的第二申请请求发送至密钥生成单元；
[0193]
第二接收单元95，用于接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，第一响应数据至少包括：加密后的中间密钥和第二数据签名，中间密钥是基于用户标识信息生成的；
[0194]
第二生成单元97，用于在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密；
[0195]
第一发送单元99，用于将加密后的用户密钥和第三数据签名返回至用户终端。
[0196]
上述密钥申请装置，可以通过第一接收单元91接收用户终端发起的第一申请请求，并基于第一申请请求生成标识保护密钥，其中，第一申请请求至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥，通过第一生成单元93基于用户标识信息和加密后的标识保护密钥生成第二申请请求，并根据第二申请请求计算生成第一数据签名，将包含有第一数据签名的第二申请请求发送至密钥生成单元，通过第二接收单元95接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，第一响应数据至少包括：加密后的中间密钥和第二数据签名，中间密钥是基于用户标识信息生成的，通过第二生成单元97在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密；通过第一发送单元99将加密后的用户密钥和第三数据签名返回至用户终端。在该实施例中，可以基于用户标识信息，得到中间密钥，并通过该中间密钥直接生成用户密钥，无需使用个人证书，后续也无需对个人证书进行认证，只需要提交基本的用户个人信息，安全的申请对应的标识密钥信息，后续在认证过程中，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证，身份认证明显简化，从而解决相关技术中在采用证书进行认证时，需要认证双方在认证前分别申请个人证书和密钥，并对对方证书的有效性进行认证，认证过程较为复杂的技术问题。
[0197]
可选地，密钥申请装置还包括：第二获取模块，用于在基于第一申请请求生成标识保护密钥之后，获取密钥生成公钥；第一加密模块，用于采用密钥生成公钥对标识保护密钥进行加密。
[0198]
可选地，第二生成单元包括：第一获取模块，用于获取预先配置的作用域标识，其中，作用域标识用于链接目标作用域数据；第一生成模块，用于基于作用域标识和中间密钥，生成用户密钥。
[0199]
可选地，密钥申请装置还包括：第一接收模块，用于在接收用户终端发起的第一申请请求之前，接收用户终端发起的公钥获取请求；第一生成模块，用于基于公钥获取请求，生成第二响应数据，其中，第二响应数据包括：标识注册单元的单元标识和公钥基；第一发送模块，用于将第二响应数据返回至用户终端。
[0200]
可选地，密钥申请装置还包括：录入单元，用于在接收用户终端发起的公钥获取请求之前，将标识注册单元的单元标识录入至密钥生成单元，以完成信息注册流程。
[0201]
可选地，密钥申请装置还包括：第二发送模块，用于在接收用户终端发起的公钥获取请求之前，发送系统密钥请求至密钥生成单元，其中，系统密钥请求至少包括：标识注册单元的单元标识，密钥生成单元基于单元标识和密钥基生成第一系统密钥；第一接受模块，用于接收密钥生成单元返回的第一系统密钥；第一导入模块，用于基于系统配置参数，将第一系统密钥导入至预设密码设备的指定位置；第二生成模块，用于根据系统配置参数，在预设密码设备的指定位置生成系统保护密钥。
[0202]
可选地，密钥申请装置还包括：第一复制模块，用于在根据系统配置参数，在预设密码设备的指定位置生成系统保护密钥之后，对第一系统密钥和系统保护密钥进行复制处
理；第一保存模块，用于将复制后的第一系统密钥和系统保护密钥保存在第一安全备份介质中。
[0203]
图10根据本发明实施例的另一种可选的密钥申请装置的示意图一，应用于标识注册单元，标识注册单元与密钥生成单元连接，如图10所示，该装置可以包括：
[0204]
第三接收单元1001，用于接收系统操作终端发送的保护密钥文件，并基于保护密钥文件生成标识保护密钥，采用密钥生成公钥对标识保护密钥进行加密，其中，系统操作终端为标识管理系统的管理用户所使用的终端，系统操作终端对接至少一个用户终端，保护密钥文件至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥；第三生成单元1003，用于基于用户标识信息和加密后的标识保护密钥生成目标申请请求，并根据目标申请请求计算第一数据签名，将包含有第一数据签名的目标申请请求发送至密钥生成单元；第四接收单元1005，用于接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，第一响应数据至少包括：加密后的中间密钥和第二数据签名，中间密钥是基于用户标识信息生成的；第四生成单元1005，用于在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密；第二发送单元1007，用于将加密后的用户密钥和第三数据签名返回至系统操作终端。
[0205]
上述密钥申请装置，可以通过第三接收单元1001接收系统操作终端发送的保护密钥文件，并基于保护密钥文件生成标识保护密钥，采用密钥生成公钥对标识保护密钥进行加密，其中，系统操作终端为标识管理系统的管理用户所使用的终端，系统操作终端对接至少一个用户终端，保护密钥文件至少包括：用户标识信息和采用标识注册公钥进行加密的用户保护密钥，通过第三生成单元1003基于用户标识信息和加密后的标识保护密钥生成目标申请请求，并根据目标申请请求计算第一数据签名，将包含有第一数据签名的目标申请请求发送至密钥生成单元，通过第四接收单元1005接收密钥生成单元返回的第一响应数据，对第一响应数据中的第二数据签名进行验签，其中，第一响应数据至少包括：加密后的中间密钥和第二数据签名，中间密钥是基于用户标识信息生成的，通过第四生成单元1005在第二数据签名的验签通过后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密，通过第二发送单元1007将加密后的用户密钥和第三数据签名返回至系统操作终端。在该实施例中，对于离线密钥申请流程，可以基于用户标识信息，得到中间密钥，并通过该中间密钥直接生成用户密钥，无需使用个人证书，后续也无需对个人证书进行认证，只需要提交基本的用户个人信息，安全的申请对应的标识密钥信息，后续在认证过程中，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证，身份认证明显简化，从而解决相关技术中在采用证书进行认证时，需要认证双方在认证前分别申请个人证书和密钥，并对对方证书的有效性进行认证，认证过程较为复杂的技术问题。
[0206]
可选地，密钥申请装置还包括：第二发送模块，用于在接收系统操作终端发送的保护密钥文件之前，向用户终端发送公钥基文件，其中，公钥基文件包括：标识注册单元的单元标识和公钥基；第三生成模块，用于通过用户终端根据标识注册单元的单元标识和公钥基，生成标识公钥；第四生成模块，用于通过用户终端生成用户保护密钥；第二加密模块，用于通过用户终端基于标识公钥对用户保护密钥进行加密；第五生成模块，用于通过用户终端基于加密后的用户保护密钥和用户标识信息，生成保护密钥文件。
[0207]
图11是根据本发明实施例的另一种可选的密钥申请装置的示意图二，应用于密钥生成单元，密钥生成单元与至少一个标识注册单元连接，如图11所示，该装置可以包括：
[0208]
第五接收单元1101，用于接收标识注册单元发起的申请请求，其中，申请请求中至少包括：用户标识信息、标识保护密钥以及第一数据签名；第五生成单元1103，用于在第一数据签名的验签通过后，基于用户标识信息生成中间密钥；第一加密单元1105，用于采用标识保护密钥对中间密钥进行加密处理；第六生成单元1107，用于基于加密后的中间密钥生成第一响应数据，并根据第一响应数据计算第二数据签名；第三发送单元1109，用于将包含有第二数据签名的第一响应数据返回至标识注册单元，其中，标识注册单元，在对第二数据签名进行验签后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密，并将加密后的用户密钥和第三数据签名返回至用户终端。
[0209]
上述密钥申请装置，可以通过第五接收单元1101接收标识注册单元发起的申请请求，其中，申请请求中至少包括：用户标识信息、标识保护密钥以及第一数据签名，通过第五生成单元1103在第一数据签名的验签通过后，基于用户标识信息生成中间密钥，通过第一加密单元1105采用标识保护密钥对中间密钥进行加密处理，通过第六生成单元1107基于加密后的中间密钥生成第一响应数据，并根据第一响应数据计算第二数据签名，通过第三发送单元1109将包含有第二数据签名的第一响应数据返回至标识注册单元，其中，标识注册单元，在对第二数据签名进行验签后，根据中间密钥生成用户密钥，并采用用户保护密钥对用户密钥进行加密，并将加密后的用户密钥和第三数据签名返回至用户终端。在该实施例中，密钥生成单元，可基于用户标识信息生成中间密钥，这样标识注册单元即可通过该中间密钥直接生成用户密钥，无需使用个人证书，后续也无需对个人证书进行认证，只需要提交基本的用户个人信息，安全的申请对应的标识密钥信息，后续在认证过程中，接收方只需根据发送方标识和公钥基即可计算出发送方的公钥数据，对签名数据进行签名验证，完成身份认证，身份认证明显简化，从而解决相关技术中在采用证书进行认证时，需要认证双方在认证前分别申请个人证书和密钥，并对对方证书的有效性进行认证，认证过程较为复杂的技术问题。
[0210]
可选地，密钥申请装置还包括：第六生成模块，用于在接收标识注册单元发起的申请请求之前，根据系统配置参数，在预设密码设备的指定位置生成密钥基；第七生成模块，用于根据密钥基和标识注册单元的单元标识，生成第二系统密钥；第二导入模块，用于根据系统配置参数，将第二系统密钥导入至预设密码设备的指定位置。可选地，密钥申请装置还包括：第二复制模块，用于在根据密钥基和标识注册单元的单元标识，生成第二系统密钥之后，对密钥基和第二系统密钥进行复制处理；第二保存模块，用于将复制后的密钥基和第二系统密钥保存在第二安全备份介质中。
[0211]
根据本发明实施例的另一方面，还提供了一种电子设备，包括：处理器；以及存储器，用于存储处理器的可执行指令；其中，处理器配置为经由执行可执行指令来执行上述任意一项的密钥申请方法。根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的计算机程序，其中，在计算机程序运行时控制计算机可读存储介质所在设备执行上述任意一项的密钥申请方法。
[0212]
本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，
包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。