[发明专利]密钥授权信息管理方法及装置

权利要求书

1.一种密钥授权信息管理方法，其特征在于，包括：

判断用户请求使用的密钥的授权值与密钥存储模块中所述密钥的授权值是否相同；

判断密钥存储模块中所述密钥的时间戳与所述密钥的时间戳证书中的时间戳是否相同，所述时间戳证书中的时间戳表示用户最后一次指定密钥授权值的时间；

当所述用户请求使用的密钥的授权值与所述密钥存储模块中所述密钥的授权值相同，且所述密钥存储模块中所述密钥的时间戳与所述密钥的时间戳证书中的时间戳相同时，确定用户有权使用密钥。

2.根据权利要求1所述的方法，其特征在于：

所述时间戳证书包括：时间戳、密钥标识和数字签名；所述数字签名为利用证明身份密钥AIK对所述时间戳和密钥标识的签名。

3.根据权利要求1所述的方法，其特征在于，还包括：

根据所述密钥的时间戳证书中的数字签名验证所述密钥的时间戳证书是否合法，如果是，判断所述密钥存储模块中所述密钥的时间戳与所述密钥的时间戳证书中的时间戳是否相同。

4.根据权利要求1-3任一项所述的方法，其特征在于，该方法还包括：

接收到用户输入的密钥生成请求指令时，生成密钥，并获取用户输入的授权值，获取计数器的当前值作为第一时间戳，将需要存储到密钥存储模块中且需要加密的信息加密后保存到所述密钥存储模块中；其中，所述需要存储到密钥存储模块中且需要加密的信息包括所述第一时间戳和授权值；

对所述第一时间戳和密钥标识签名，生成时间戳证书。

5.根据权利要求1-3任一项所述的方法，其特征在于，该方法还包括：

接收到用户输入的授权值更改指令时，获取计数器的当前值作为第二时间戳，接收用户输入的新授权值，用所述第二时间戳替换所述密钥存储模块中所述密钥已有的时间戳，用所述新授权值替换所述密钥存储模块中所述密钥已有的授权值；

对所述第二时间戳和密钥标识签名，生成新的时间戳证书，用所述新的时间戳证书替换所述密钥原来的时间戳证书。

6.一种密钥授权信息管理装置，其特征在于，包括：

授权值判断模块，用于判断用户请求使用的密钥的授权值与密钥存储模块中所述密钥的授权值是否相同；

时间戳判断模块，用于判断密钥存储模块中所述密钥的时间戳与所述密钥的时间戳证书中的时间戳是否相同；所述时间戳证书存储于时间戳证书模块，所述时间戳证书中的时间戳表示用户最后一次指定密钥授权值的时间；

密钥使用确定模块，用于当所述用户请求使用的密钥的授权值与所述密钥存储模块中所述密钥的授权值相同，且所述密钥存储模块中所述密钥的时间戳与所述密钥的时间戳证书中的时间戳相同时，确定用户有权使用密钥。

7.根据权利要求6所述的装置，其特征在于：

所述时间戳证书包括：时间戳、密钥标识和数字签名；所述数字签名为利用证明身份密钥AIK对所述时间戳和密钥标识的签名。

8.根据权利要求6所述的装置，其特征在于，还包括：

时间戳证书验证模块，用于根据所述密钥的时间戳证书中的数字签名验证所述密钥的时间戳证书是否合法；

所述时间戳判断模块，用于在时间戳证书验证模块的验证结果为所述密钥的时间戳证书合法时，判断密钥存储模块中所述密钥的时间戳与时间戳证书存储模块中所述密钥的时间戳证书中的时间戳是否相同。

9.根据权利要求6-8任一项所述的装置，其特征在于，还包括：

接收处理模块，用于接收用户输入的密钥生成请求指令，并接收用户输入的密钥的授权值；

时间戳管理模块，用于在接收到密钥生成请求指令后，将计数器的当前值作为第一时间戳；

加解密模块，用于将需要存储到密钥存储模块中且需要加密的信息加密，将得到的加密信息保存到所述密钥存储模块中；

所述时间戳管理模块，还用于对所述第一时间戳和密钥标识签名，生成时间戳证书，将所述时间戳证书存储到所述时间戳证书存储模块中。

10.根据权利要求9所述的装置，其特征在于：

所述接收处理模块，还用于接收用户输入的授权值更改指令，并接收用户输入的密钥的新授权值；

所述时间戳管理模块，还用于在接收到授权值更改指令后，获取计数器的当前值作为第二时间戳；

所述加解密模块，还用于将需要存储到密钥存储模块中且需要加密的信息进行加密，用加密后得到的新的加密信息替换所述密钥存储模块中已有的所述密钥的加密信息；

所述时间戳管理模块，还用于对所述第二时间戳和密钥标识签名，生成新的时间戳证书，将所述新的时间戳证书替换所述时间戳证书存储模块中已有的所述密钥的时间戳证书。