[发明专利]基于身份信息的加密密钥管理

权利要求书

1.一种密钥管理方法，包括：

接收用以将身份信息和用户密钥对存储到身份加密芯片ICC上的存储器中的请求，所述请求被数字地签有数字签名；

在基于预先存储在所述存储器中所述ICC主用户的公有授权密钥，验证所述数字签名成功的情况下，将所述身份信息和所述用户密钥对存储到所述存储器中；

生成令牌并存储到所述存储器中，所述令牌用于向所述身份信息标识的用户提供无需验证用户身份而执行预设次数加密操作的授权，或者在预定时间段内无需验证用户身份而执行加密操作的授权。

2.如权利要求1所述的方法，所述身份信息唯一地标识用户，并且所述用户密钥对被分配给所述用户。

3.如权利要求1所述的方法，所述将所述身份信息和所述用户密钥对存储到所述存储器中，包括：

对所述身份信息和所述用户密钥对进行加密，并将加密的所述身份信息和加密的所述用户密钥对存储到所述存储器中。

4.如权利要求1所述的方法，所述加密操作在所述ICC内部执行，由所述ICC输出操作结果。

5.如权利要求1所述的方法，还包括：在将所述公有授权密钥存储到所述存储器之前，清除所述存储器的内容。

6.如权利要求1所述的方法，所述加密操作包括以下至少一项：加密、解密、向数据添加数字签名、将数字签名添加到区块链交易的操作。

7.如权利要求1所述的方法，所述ICC中包含硬件可信环境，以便在所述可信环境中执行所述加密操作。

8.如权利要求1所述的方法，还包括：

在所述令牌到期或用完时，清除所述令牌。

9.如权利要求1所述的方法，还包括：

通过预先存储所述公有授权密钥和私有授权密钥来对所述ICC进行初始化，

其中，所述公有授权密钥和所述私有授权密钥是分配给所述ICC的主用户的非对称密钥对。

10.如权利要求9所述的方法，其中，对所述ICC进行初始化还包括：

存储能够被执行以基于所述身份信息认证所述用户的身份认证代码。

11.如权利要求9所述的方法，其中，对所述ICC进行初始化还包括：

存储能够被执行以基于所述私有授权密钥添加所述数字签名的第一加密操作代码；以及

存储能够被执行以基于所述用户密钥对来执行文件加密或文件解密的第二加密操作代码。

12.如权利要求11所述的方法，其中，用于存储身份信息和所述用户密钥对的所述请求是第一请求，所述身份信息是第一身份信息，所述数字签名是第一数字签名，并且所述方法还包括：

接收第二身份信息和用以向文件添加第二数字签名的第二请求；

基于所述第二身份信息与所述第一身份信息匹配认证所述第二请求可信；以及

基于所述第一加密操作代码和所述用户密钥对中的私钥，将所述第二数字签名添加到所述文件。

13.如权利要求11所述的方法，其中，用于存储身份信息和所述用户密钥对的所述请求是第一请求，所述身份信息是第一身份信息，并且所述方法还包括：

接收第二身份信息和用于加密或解密文件的第二请求；

基于所述第二身份信息与所述第一身份信息匹配认证所述用户可信；以及

基于所述第二请求、所述第二加密操作代码和所述用户密钥对中的公钥或私钥执行文件加密或文件解密。

14.如前述权利要求1至13中任一项所述的方法，其中，所述身份信息是生物特征信息。