[发明专利]密钥分级管理方法及系统

权利要求书

1.一种密钥分级管理方法，包括：

密钥管理侧装置从获取的密码运算接口调用请求中提取出应用系统标识，确定与应用系统标识对应的密钥索引号；

密钥管理侧装置从获取的密码分配接口调用请求提取出应用系统标识，确定与应用系统标识对应的分级性能，其中，分级性能为较高级或较低级；

在所述应用系统标识对应的分级性能为较高级时，密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及内部密钥，其中，所述内部密钥包括一存储在密钥存储芯片中的密钥明文；

密钥管理侧装置在确定所述密钥索引号为内部密钥类型时，将所述密钥索引号的密钥编号发送至密码侧装置；其中，密码侧装置包括密码芯片和密钥存储芯片；

密码侧装置根据接收到的所述密钥编号，从密钥存储芯片中获取与所述密钥编号对应的密钥明文；在获取到密码运算接口调用请求中指定的密码运算后，在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算；

在所述应用系统标识对应的分级性能为较低级时，密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及外部密钥，其中，所述外部密钥包括一存储在外部存储单元中的密钥密文；

密钥管理侧装置在确定所述密钥索引号记载所述密钥索引号为外部密钥类型时，根据所述密钥索引号的密钥编号从外部存储单元中获取与所述密钥编号对应的密钥密文，将所述密钥密文发送至密码侧装置；

密码侧装置根据接收到的所述密钥密文，在密码芯片中将所述密钥密文解密为对应的密钥明文；在获取到密码运算接口调用请求中指定的密码运算后，在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算。

2.根据权利要求1所述的方法，其特征在于，

所述在所述应用系统标识对应的分级性能为较高级时，密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及内部密钥，包括：

在所述应用系统标识对应的分级性能为较高级时，密钥管理侧装置生成与所述应用系统标识对应的密钥索引号，所述密钥索引号用于记载所述密钥索引号为内部密钥类型及密钥编号；

密钥管理侧装置生成并发送内部密钥生成请求至密码侧装置，所述内部密钥生成请求记载有密钥编号；

密码侧装置根据接收的内部密钥生成请求，在密码芯片中生成一密钥明文，将所述密钥明文保存在所述密钥存储芯片中，并保存所述密钥编号与所述密钥明文之间的对应关系。

3.根据权利要求1所述的方法，其特征在于，

在所述应用系统标识对应的分级性能为较低级时，密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及外部密钥，包括：

在所述应用系统标识对应的分级性能为较低级时，密钥管理侧装置生成与所述应用系统标识对应的密钥索引号，所述密钥索引号用于记载所述密钥索引号为外部密钥类型及密钥编号；

密钥管理侧装置生成并发送外部密钥生成请求至密码侧装置，所述外部密钥生成请求记载有密钥编号；

密码侧装置根据接收的外部密钥生成请求，在密码芯片中生成一密钥明文，并将所述密钥明文加密成密钥密文，及将所述密钥密文及所述密钥编号作为对所述外部密钥生成请求的响应结果发出；

密钥管理侧装置根据接收的对所述外部密钥生成请求的响应结果，将所述密钥密文保存在外部存储单元，并保存所述密钥编号与所述密钥密文之间的对应关系。

4.根据权利要求2所述的方法，其特征在于，还包括：

密钥管理侧装置从获取的密码销毁接口调用请求中提取出应用系统标识，确定与应用系统标识对应的密钥索引号；

密钥管理侧装置在确定所述密钥索引号为内部密钥类型时，将所述密钥索引号的密钥编号发送至密码侧装置；

密码侧装置根据接收到的所述密钥编号，从密钥存储芯片中删除与所述密钥编号对应的密钥明文，并解除所述密钥编号与所述密钥明文之间的对应关系；

密钥管理侧装置在确定所述密钥索引号为外部密钥类型时，从外部存储单元中删除与所述密钥索引号的密钥编号对应的密钥密文，并解除所述密钥编号与所述密钥密文之间的对应关系。