(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211113592.9 (22)申请日 2022.09.14 (71)申请人 公安部第三研究所 地址 200031 上海市徐汇区岳阳路76号 (72)发明人 邹翔　倪力舜　梁皓　陈兵　 张琳琳　 (74)专利代理 机构 上海智信专利代理有限公司 31002 专利代理师 王洁　郑暄 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 多级跨域环境下的对称密钥管理方法 (57)摘要 本发明涉及一种多级跨域环境下实现对称 密钥管理的方法， 包括多级跨域密钥管理层次体 系、 多级跨域对称密钥生成与存储机制、 多级跨 域对称密钥分发机制和多级跨域对称密钥更新 机制。 本发 明还涉及一种多级跨域环 境下实现对 称密钥管理的系统、 装置、 处理器及其存储介质。 采用了本发明的多级跨域环境下实现对称密钥 管理的方法、 系统、 装置、 处理器及其计算机 可读 存储介质， 实现多级网络、 跨安全域复杂环境下 的安全便捷地对称密钥管理和使用， 能够解决现 有技术存在的系统间密钥耦合性过高、 不适应多 应用复杂业务场景应用需求、 密钥更新速度慢且 成本高等难点问题， 有效提升了多级跨域环境下 对称密钥管理和使用的安全性、 可靠性、 便捷性。 权利要求书2页 说明书9页 附图3页 CN 115549898 A 2022.12.30 CN 115549898 A 1.一种多级跨域环境下实现对称密钥管理的方法， 其特征在于， 所述的方法包括多级 跨域对称密钥生成与存 储机制， 具体包括以下步骤： (1‑1)生成并存 储根对称密钥； (1‑2)生成并存 储专用加密对称密钥； (1‑3)生成并存 储应用模块对称密钥； (1‑4)生成数据处 理对称密钥； (1‑5)生成数据传输对称密钥。 2.根据权利要求1所述的多级跨域环境下实现对称密钥管理 的方法， 其特征在于， 所述 的方法还 包括多级跨域对称密钥分发机制， 具体包括以下步骤： (2‑1)分发源点读取分发目标 数字证书； (2‑2)使用分发目标 数字证书中的公钥对待分发对称密钥进行加密； (2‑3)分发源点与分发目标基于各自数字证书进行相互认证后， 使用硬件安全模块随 机生成数据传输对称密钥； (2‑4)分发源点 通过握手协议实现与分发目标间数据传输对称密钥共享； (2‑5)分发源点使用数据传输对称密钥对公钥加密后的待分发对称密钥进行加密； (2‑6)分发源点将加密结果传输给分发目标。 3.根据权利要求1所述的多级跨域环境下实现对称密钥管理 的方法， 其特征在于， 所述 的方法还 包括多级跨域对称密钥更新机制， 具体包括以下步骤： (3‑1)密钥管理系统按照多级跨域对称密钥生成与存储机制生成新的根对称密钥与专 用加密对称密钥； (3‑2)密钥管理系统采用多级跨域对称密钥分发机制的在线分发方式将新专用加密对 称密钥分发到管理范围内所有的密钥管理代理； (3‑3)密钥管理代理模块将新专用加密对称密钥存 储到硬件安全 模块； (3‑4)密钥管理代理模块使用旧专用加密对称密钥解密其所有应用模块对称密钥； (3‑5)密钥管理代理模块用新专用加密对称密钥重新加密其所有应用模块对称密钥； (3‑6)密钥管理代理模块销毁旧专用加密对称密钥； (3‑7)密钥管理代理模块 通知密钥管理系统专用加密对称密钥更新结果； (3‑8)密钥管理系统将旧根对称密钥归档。 4.根据权利要求1所述的多级跨域环境下实现对称密钥管理 的方法， 其特征在于， 所述 的步骤(1 ‑1)具体为： 密钥管理系统通过硬件安全模块产生其根对称密钥， 并将根对称密钥生成信 息通过基 于系统数字证书建立的安全通道向密钥管理中心备案 。 5.根据权利要求1所述的多级跨域环境下实现对称密钥管理 的方法， 其特征在于， 所述 的步骤(1 ‑2)具体为： 密钥管理系统针对管理范围内的某个密钥管理代 理， 通过硬件安全模块使用根对称密 钥根据密钥管理代理标识分散生成专用加密对称密钥。 6.根据权利要求1所述的多级跨域环境下实现对称密钥管理 的方法， 其特征在于， 所述 的步骤(1 ‑3)具体为： 密钥管理系统针对管理范围内的某个安全域或信 息系统， 通过硬件安全模块生成应用权　利　要　求　书 1/2 页 2 CN 115549898 A 2模块对称密钥， 并建立应用模块对称密钥生成电子档案 。 7.根据权利要求1所述的多级跨域环境下实现对称密钥管理 的方法， 其特征在于， 所述 的步骤(1 ‑4)具体为： 密钥管理代理模块使用应用模块对称密钥根据信息系统标识信息和时间戳信息进行 密钥分散， 生成数据处 理对称密钥。 8.根据权利要求1所述的多级跨域环境下实现对称密钥管理 的方法， 其特征在于， 所述 的步骤(1 ‑5)具体为： 密钥管理中心、 密钥管理系统、 密钥管理代 理、 密码应用模块之间在数据通信时基于数 字证书相互认证， 使用硬件安全 模块随机生成数据传输对称密钥。 9.一种实现权利要求1至8中任一项所述的方法的多级跨域环境下实现对称密钥管理 的系统， 其特 征在于， 所述的系统包括： 密钥管理中心， 用于对整个多 级跨域环境下 所有密钥管理系统进行 管理； 密钥管理系统， 与所述的密钥管理中心相连接， 用于生成系统根非对称密钥， 并向密钥 管理中心提交系统注册信息和申请系统数字证书， 并接收审核通过后签发的系统数字证 书； 密钥管理代理模块， 与所述的密钥管理系统相连接， 用于对一个或多个安全域的对称 密钥进行 管理与服 务； 密码应用模块， 与所述的密钥管理代理模块和密钥管理系统相连接， 用于向一个或多 个信息系统提供密码服 务。 10.一种用于实现多级跨域环境下的对称密钥管理 的装置， 其特征在于， 所述的装置包 括： 处理器， 被配置成执 行计算机可 执行指令； 存储器， 存储一个或多个计算机可执行指令， 所述的计算机可执行指令被所述的处理 器执行时， 实现权利要求 1至8中任一项 所述的多级跨域环 境下实现对称密钥管理的方法的 各个步骤。 11.一种用于实现多级跨域环境下的对称密钥管理 的处理器， 其特征在于， 所述的处理 器被配置成执行计算机可执行指令， 所述的计算机可执行指令被所述的处理器执行时， 实 现权利要求1至8中任一项所述的多 级跨域环境下实现对称密钥管理的方法的各个步骤。 12.一种计算机可读存储介质， 其特征在于， 其上存储有计算机程序， 所述的计算机程 序可被处理器执行以实现权利要求1至8 中任一项所述的多级跨域环境下实现对称密钥管 理的方法的各个步骤。权　利　要　求　书 2/2 页 3 CN 115549898 A 3