[发明专利]一种密钥授权方法、装置和数字签名系统

说明书

本申请实施例提供一种密钥授权方法、装置和数字签名系统，该密钥授权方法包括：申请设备生成密钥申请因子，并向目标设备发送密钥申请因子，其中，密钥申请因子用于申请数字签名密钥的使用权限；目标设备利用接收的密钥申请因子和自身存储的密钥因子，生成授权密钥因子，并向权限管理服务器发送授权密钥因子，其中，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备；权限管理服务器托管授权密钥因子，以实现数字签名密钥的授权。借助于上述技术方案，本申请实施例解决了现有技术中存在着的密钥授权存在着的不安全的问题。

技术领域

本申请涉及信息安全技术领域，尤其涉及一种密钥授权方法、装置和数字签名系统。

背景技术

随着互联网业务的飞速发展，大量的交易行为在网上进行，电子签名逐渐成为网络交易的重要手段。

目前，现有的电子签名可通过协同数字签名方法来实现。

但是，对于现有的协同数字签名方法来说，只有密钥的持有人才可以进行签名。当其他人想要进行签名时，持有人需要将自己的密钥给请求人使用，从而可能会引起由于恶意复制密钥导致的不安全的问题。

发明内容

本申请实施例的目的在于提供一种密钥授权方法、装置和数字签名系统，以解决现有技术中存在着的密钥授权存在着的不安全的问题。

第一方面，本申请实施例提供了一种密钥授权方法，密钥授权方法应用于数字签名系统，数字签名系统包括具有数字签名密钥的使用权限的目标设备、申请设备和权限管理服务器，密钥授权方法包括：申请设备生成密钥申请因子，并向目标设备发送密钥申请因子，其中，密钥申请因子用于申请数字签名密钥的使用权限；目标设备利用接收的密钥申请因子和自身存储的密钥因子，生成授权密钥因子，并向权限管理服务器发送授权密钥因子，其中，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备；权限管理服务器托管授权密钥因子，以实现数字签名密钥的授权。

因此，借助于上述技术方案，本申请实施例通过密码学的技术，安全地将目标设备侧的密钥使用权限授权给申请设备，并且申请设备侧只有自身生成的密钥申请因子，即其不会知晓目标设备侧的密钥因子，所以，其不存在泄露密钥的可能性。进而，解决了现有技术中存在着的密钥授权存在着的不安全的问题。

在一个可能的实施例中，在申请设备为第一设备的情况下，目标设备为密钥持有设备；

其中，密钥持有设备存储有数字签名密钥的一部分密钥因子，以及数字签名系统中的签名服务器存储有数字签名密钥的另一部分密钥因子。

因此，借助于上述技术方案，本申请实施例能够实现对第一设备的数字签名密钥的一级使用权限的授权。

在一个可能的实施例中，在申请设备为第N+1设备的情况下，目标设备为第N设备，N为大于等于1的正整数。

因此，借助于上述技术方案，本申请实施例能够实现多级授权。

在一个可能的实施例中，申请设备生成密钥申请因子，包括：申请设备获取自身产生的第一随机数和申请设备的设备信息；申请设备利用第一随机数和设备信息，生成密钥申请因子。

在一个可能的实施例中，密钥授权方法还包括：签名服务器向申请设备发送携带有待签名数据的第一摘要信息和第二摘要信息的信息，其中，第二摘要信息为由签名服务器对待签名数据的第一摘要信息进行签名计算后生成的；申请设备利用密钥申请因子对第一摘要信息进行签名运算，以获得第三摘要信息；申请设备向权限管理服务器发送携带有第一摘要信息、第二摘要信息和第三摘要信息的信息；权限管理服务器利用授权密钥因子对第一摘要信息进行签名运算，以获得第四摘要信息；权限管理服务器向签名服务器发送携带有第一摘要信息、第二摘要信息、第三摘要信息和第四摘要信息的信息；签名服务器根据第一摘要信息、第二摘要信息、第三摘要信息和第四摘要信息进行数字签名。