(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211030058.1 (22)申请日 2022.08.26 (71)申请人 江苏先安科技有限公司 地址 210012 江苏省南京市雨 花台区软件 大道170号3层 (72)发明人 范正刚　庄昱垚　李昊春　詹嘉俐　 (74)专利代理 机构 南京知识律师事务所 32 207 专利代理师 徐航天 (51)Int.Cl. H04W 12/069(2021.01) H04W 12/10(2021.01) H04L 9/32(2006.01) (54)发明名称 一种数字钥匙颁发、 验证方法及系统 (57)摘要 本发明公开了一种数字钥匙颁 发、 验证方法 及系统。 其中， 数字钥匙颁发方法先由数字钥匙 签发机构向主用户设备颁发主钥匙证书， 随后可 以用主钥匙证书， 对目标设备使用人的临时数字 车钥匙， 即副钥匙证书签发请求中的特定信息进 行数字签名等操作， 获得主钥匙证书的专有标 识， 并由数字钥匙签发机构把主钥匙证书的专有 标识包含在副钥匙证书中。 在目标设备对副钥匙 证书进行验证时， 提取副钥匙证书中的主钥匙证 书专有标识， 通过签名验证等方法， 验证专有标 识的有效性， 从而验证副钥匙证书的有效性。 本 发明能够简化数字钥匙管理的复杂度， 降低数字 钥匙的运营维护成本， 还可 以安全合规、 便捷可 靠地离线 使用副钥匙 证书。 权利要求书2页 说明书6页 附图3页 CN 115396893 A 2022.11.25 CN 115396893 A 1.一种数字钥匙颁发方法， 其特 征在于， 包括以下步骤： 终端系统的数字钥匙 签发机构向主用户设备颁发主钥匙 证书； 当主用户设备收到副钥匙签发申请， 将包括主用户数字签名、 主钥匙证书的信息提交 至终端系统的数字钥匙平台； 数字钥匙平台根据副钥匙签发申请、 主用户数字签名及主钥匙证书信息， 构造副钥匙 证书签发申请信息， 向数字钥匙 签发机构申请签发副钥匙 证书； 数字钥匙签发机构校验副钥匙证书签发申请信 息， 向终端系统的链证书管理系统请求 制作包括主用户数字签名信息的链证书； 数字钥匙签发机构校验链证书管理系统返回的链证书的形式是否合规， 对形式合规的 链证书签发副钥匙数字证书， 返回给 数字钥匙平台； 副用户设备获取副钥匙 证书。 2.根据权利要求1所述的数字钥匙颁发方法， 其特 征在于， 副钥匙 签发申请包括： 主用户设备向副用户设备传递钥匙申请入口链接； 钥匙申请入口链接中包括主用户设 备的主钥匙关联信息； 通过钥匙申请入口将包括提供给副用户设备的申报信息的副钥匙签发申请提交给终 端系统的数字钥匙平台； 数字钥匙平台将副钥匙 签发申请转发至主用户设备； 主用户设备获取副钥匙签发申请中的申报信息， 将包括主用户数字签名、 主钥匙证书 的信息提交至终端系统的数字钥匙平台。 3.根据权利要求1或2所述的数字钥匙颁发方法， 其特 征在于： 提供给副用户设备的申报信息包括个人必要信 息， 授权信 息， 授权信 息的有效期信 息、 地理范围信息； 个人必要信息包括唯一标识申报信息提供 的主体的数据； 授权信息为副用 户设备对目标设备的交 互权限。 4.根据权利要求3所述的数字钥匙颁发方法， 其特 征在于： 主用户数字签名具体为： 主用户设备获取副钥匙签发申请中的申报信息， 使用主钥匙 证书对副钥匙证书的公钥及授权信息、 授权信息的有效期信息、 地理范围信息进行数字签 名。 5.根据权利要求4所述的数字钥匙颁发方法， 其特征在于， 链证书管理系统制作链证书 具体包括如下步骤： 链证书管理系统构造待验签数据， 待验签数据包括： 副钥匙证书的公钥及授权信 息、 授 权信息的有效期信息、 地理范围信息； 根据待验签数据验证主用户数字签名的有效性； 如果主用户数字签名有效， 链证书管 理系统填充链证书的扩展项， 然后返回给数字钥匙签发机构； 填充的扩展项包括： 副钥匙签 发申请的授权信息、 授权信息的有效期信息、 地理范围信息、 主用户数字签名、 主钥匙 证书。 6.一种数字钥匙验证方法， 其特 征在于， 包括以下步骤： 副用户设备向目标设备发起钥匙认证请求， 提交副钥匙 证书及认证 签名信息； 认证签名信息为用副钥匙 证书的签名密钥对特定数据进行签名的签名值； 目标设备验证副钥匙证书、 认证签名信 息； 当验证通过， 目标设备向副用户设备开放交 互权限。权　利　要　求　书 1/2 页 2 CN 115396893 A 27.根据权利要求6所述的数字钥匙验证方法， 其特征在于， 目标设备验证副钥匙证书具 体包括： 当副钥匙 证书满足以下 条件， 目标设备向副用户设备开 放控制权限： 副钥匙证书的证书链、 有效期等真实有效； 副钥匙证书扩展 项中的主钥匙 证书的证书链、 有效期等真实有效； 副钥匙证书扩展 项中的主用户数字签名真实有效； 当前的时间、 目标设备的地理范围信息满足副钥匙证书扩展项中的授权信息、 授权信 息的有效期信息、 地理范围信息 。 8.根据权利要求6所述的数字钥匙验证方法， 其特 征在于： 认证签名信息是用副钥匙证书的签名密钥在身份认证的会话过程中对特定数据进行 签名； 认证 签名信息每次签名的特定数据都是随机的。 9.一种数字钥匙颁发、 验证系统， 其特征在于， 包括： 主用户设备、 副用户设备、 目标设 备、 终端系统； 主用户设备、 副用户设备、 目标设备 上均包括设备密钥计算和存 储安全环境； 终端系统包括数字钥匙平台、 数字钥匙 签发机构、 链证书管理系统； 数字钥匙平台， 用于接收或转发副钥匙签发申请， 根据副钥匙签发申请、 主用户数字签 名及主钥匙 证书等信息构造副钥匙信息， 向数字钥匙 签发机构申请签发副钥匙 证书； 数字钥匙签发机构， 用于签发主钥匙证书、 根据链证书管理系统构造的链证书签发副 钥匙证书； 链证书管理系统， 用于构造链证书。 10.根据权利要求9所述的数字钥匙颁发、 验证系统， 其特 征在于： 副钥匙证书包括： 申报信 息中的个人必要信 息、 副钥匙签发申请的授权信息、 授权信 息 的有效期信息、 地理范围信息、 副钥匙证书的公钥、 主用户数字签名、 主钥匙证书、 数字钥匙 签发机构证书， 以及数字钥匙 签发机构对副钥匙 证书的数字签名。权　利　要　求　书 2/2 页 3 CN 115396893 A 3