一种密钥授权方法、装置和数字签名系统

本申请涉及信息安全技术领域，尤其涉及一种密钥授权方法、装置和数字签名系统。

随着互联网业务的飞速发展，大量的交易行为在网上进行，电子签名逐渐成为网络交易的重要手段。

目前，现有的电子签名可通过协同数字签名方法来实现。

但是，对于现有的协同数字签名方法来说，只有密钥的持有人才可以进行签名。当其他人想要进行签名时，持有人需要将自己的密钥给请求人使用，从而可能会引起由于恶意复制密钥导致的不安全的问题。

本申请实施例的目的在于提供一种密钥授权方法、装置和数字签名系统，以解决现有技术中存在着的密钥授权存在着的不安全的问题。

第一方面，本申请实施例提供了一种密钥授权方法，密钥授权方法应用于数字签名系统，数字签名系统包括具有数字签名密钥的使用权限的目标设备、申请设备和权限管理服务器，密钥授权方法包括：申请设备生成密钥申请因子，并向目标设备发送密钥申请因子，其中，密钥申请因子用于申请数字签名密钥的使用权限；目标设备利用接收的密钥申请因子和自身存储的密钥因子，生成授权密钥因子，并向权限管理服务器发送授权密钥因子，其中，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备；权限管理服务器托管授权密钥因子，以实现数字签名密钥的授权。

因此，借助于上述技术方案，本申请实施例通过密码学的技术，安全地将目标设备侧的密钥使用权限授权给申请设备，并且申请设备侧只有自身生成的密钥申请因子，即其不会知晓目标设备侧的密钥因子，所以，其不存在泄露密钥的可能性。进而，解决了现有技术中存在着的密钥授权存在着的不安全的问题。

在一个可能的实施例中，在申请设备为第一设备的情况下，目标设备为密钥持有设备；

其中，密钥持有设备存储有数字签名密钥的一部分密钥因子，以及数字签名系统中的签名服务器存储有数字签名密钥的另一部分密钥因子。

因此，借助于上述技术方案，本申请实施例能够实现对第一设备的数字签名密钥的一级使用权限的授权。

在一个可能的实施例中，在申请设备为第N+1设备的情况下，目标设备为第N设备，N为大于等于1的正整数。

因此，借助于上述技术方案，本申请实施例能够实现多级授权。

在一个可能的实施例中，申请设备生成密钥申请因子，包括：申请设备获取自身产生的第一随机数和申请设备的设备信息；申请设备利用第一随机数和设备信息，生成密钥申请因子。

在一个可能的实施例中，密钥授权方法还包括：签名服务器向申请设备发送携带有待签名数据的第一摘要信息和第二摘要信息的信息，其中，第二摘要信息为由签名服务器对待签名数据的第一摘要信息进行签名计算后生成的；申请设备利用密钥申请因子对第一摘要信息进行签名运算，以获得第三摘要信息；申请设备向权限管理服务器发送携带有第一摘要信息、第二摘要信息和第三摘要信息的信息；权限管理服务器利用授权密钥因子对第一摘要信息进行签名运算，以获得第四摘要信息；权限管理服务器向签名服务器发送携带有第一摘要信息、第二摘要信息、第三摘要信息和第四摘要信息的信息；签名服务器根据第一摘要信息、第二摘要信息、第三摘要信息和第四摘要信息进行数字签名。

第二方面，本申请实施例提供了一种密钥授权方法，密钥授权方法应用于数字签名系统中的申请设备，数字签名系统包括具有数字签名密钥的使用权限的目标设备和权限管理服务器，密钥授权方法包括：生成密钥申请因子，其中，密钥申请因子用于申请数字签名密钥的使用权限；向目标设备发送密钥申请因子，以便于目标设备利用密钥申请因子和自身存储的密钥因子，生成授权密钥因子，并向权限管理服务器发送授权密钥因子，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备。

在一个可能的实施例中，在申请设备为第一设备的情况下，目标设备为密钥持有设备；其中，密钥持有设备存储有数字签名密钥的一部分密钥因子，以及数字签名系统中的签名服务器存储有数字签名密钥的另一部分密钥因子。

在一个可能的实施例中，在申请设备为第N+1设备的情况下，目标设备为第N设备，N为大于等于1的正整数。

在一个可能的实施例中，生成密钥申请因子，包括：获取自身产生的第一随机数和申请设备的设备信息；利用第一随机数和设备信息，生成密钥申请因子。

第三方面，本申请实施例提供了一种密钥授权方法，密钥授权方法应用于数字签名系统中的具有数字签名密钥的使用权限的目标设备，数字签名系统包括申请设备和权限管理服务器，密钥授权方法包括：接收申请设备发送的密钥申请因子，密钥申请因子是由申请设备生成的，且密钥申请因子用于申请数字签名密钥的使用权限；利用接收的密钥申请因子和自身存储的密钥因子，生成授权密钥因子，其中，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备；向权限管理服务器发送授权密钥因子，以便于权限管理服务器托管授权密钥因子，以实现数字签名密钥的授权。

在一个可能的实施例中，在申请设备为第一设备的情况下，目标设备为密钥持有设备；其中，密钥持有设备存储有数字签名密钥的一部分密钥因子，以及数字签名系统中的签名服务器存储有数字签名密钥的另一部分密钥因子。

在一个可能的实施例中，在申请设备为第N+1设备的情况下，目标设备为第N设备，N为大于等于1的正整数。

第四方面，本申请实施例提供了一种数字签名系统，包括：申请设备，用于生成密钥申请因子，并向具有数字签名密钥的使用权限的目标设备发送密钥申请因子，其中，密钥申请因子用于申请数字签名密钥的使用权限；目标设备，用于利用接收的密钥申请因子和自身存储的密钥因子，生成授权密钥因子，并向权限管理服务器发送授权密钥因子，其中，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备；权限管理服务器，用于托管授权密钥因子，以实现数字签名密钥的授权。

第五方面，本申请实施例提供了一种密钥授权装置，密钥授权装置应用于数字签名系统中的申请设备，数字签名系统包括具有数字签名密钥的使用权限的目标设备和权限管理服务器，密钥授权装置包括：第一生成模块，用于生成密钥申请因子，其中，密钥申请因子用于申请数字签名密钥的使用权限；第一发送模块，用于向目标设备发送密钥申请因子，以便于目标设备利用密钥申请因子和自身存储的密钥因子，生成授权密钥因子，并向权限管理服务器发送授权密钥因子，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备。

第六方面，本申请实施例提供了一种密钥授权装置，密钥授权装置应用于数字签名系统中的具有数字签名密钥的使用权限的目标设备，数字签名系统包括申请设备和权限管理服务器，密钥授权装置包括：接收模块，用于接收申请设备发送的密钥申请因子，密钥申请因子是由申请设备生成的，且密钥申请因子用于申请数字签名密钥的使用权限；第二生成模块，用于利用接收的密钥申请因子和自身存储的密钥因子，生成授权密钥因子，其中，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备；第二发送模块，用于向权限管理服务器发送授权密钥因子，以便于权限管理服务器托管授权密钥因子，以实现数字签名密钥的授权。

第七方面，本申请实施例提供了一种存储介质，存储介质上存储有计算机程序，计算机程序被处理器运行时执行如第二方面或第二方面中任一的生成会议纪要的方法。

第八方面，本申请实施例提供了一种存储介质，存储介质上存储有计算机程序，计算机程序被处理器运行时执行如第三方面或第三方面中任一的生成会议纪要的方法。

第九方面，本申请实施例提供了一种电子设备，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当所述电子设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行如第二方面或第二方面中任一的生成会议纪要的方法。

第十方面，本申请实施例提供了一种电子设备，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当所述电子设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行如第三方面或第三方面中任一的生成会议纪要的方法。

为使本申请实施例所要实现的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本申请实施例提供的一种数字签名系统的示意图；

图2示出了本申请实施例提供的一种密钥授权方法的流程图；

图3示出了本申请实施例提供的一种数字签名的方法的流程图；

图4示出了本申请实施例提供的一种密钥授权装置的结构框图；

图5示出了本申请实施例提供的另一种密钥授权装置的结构框图；

图6示出了本申请实施例提供的一种电子设备的结构框图。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

为了解决现有技术中存在着的密钥授权存在着的不安全的问题，本申请实施例巧妙地提出了一种密钥授权方案，通过申请设备生成密钥申请因子，并向目标设备发送密钥申请因子，其中，密钥申请因子用于申请数字签名密钥的使用权限，随后通过目标设备利用接收的密钥申请因子和自身存储的密钥因子，生成授权密钥因子，并向权限管理服务器发送授权密钥因子，其中，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备，最后通过权限管理服务器托管授权密钥因子，以实现数字签名密钥的授权。

因此，借助于上述技术方案，本申请实施例通过密码学的技术，安全地将目标设备侧的密钥使用权限授权给申请设备，并且申请设备侧只有自身生成的密钥申请因子，即其不会知晓目标设备侧的密钥因子，所以，其不存在泄露密钥的可能性。

以及，在申请设备侧每次进行数字签名的时候，都需要经过权限管理服务器，其可以对授权密钥因子的使用进行审计，从而进一步保障了安全。

此外，在目标设备侧想要取消申请设备侧数字签名密钥的使用权限时，目标设备可直接向权限管理服务器发送携带有自身存储的密钥因子的标识的取消授权请求，从而权限管理服务器可根据取消授权请求中的标识，从权限管理服务器上删除对应的授权密钥因子。

为了便于理解本申请实施例，下面对本申请实施例涉及的术语进行解释如下：

“密钥持有设备”：它是指使用协同签名服务的设备，且其是数字签名密钥的拥有者。

例如，密钥持有设备存储有数字签名密钥的一部分密钥因子，以及数字签名系统中的签名服务器存储有数字签名密钥的另一部分密钥因子。

“第一设备”：它是指可被拥有数字签名密钥的使用权限的密钥持有设备授权可使用数字签名密钥的设备。

“第二设备”：它是指可被具有数字签名密钥的一级使用权限的第一设备授权可使用数字签名密钥的设备，且其为第一设备的下级设备。

对应地，第三设备、第四设备和第五设备等其他设备均是与第二设备类似的，后续不再一一描述。

例如，第四设备是指可被具有数字签名密钥的三级使用权限的第三设备授权可使用数字签名的设备，且其为第三设备的下级设备。

这里需要说明的是，使用权限的级别是与申请的数字签名密钥的被授权次数相关的。

例如，对于第三设备来说，其是直接向第二设备申请数字签名密钥的使用权限，且此时第二设备已被第一设备授权可使用数字签名密钥，以及第一设备已被密钥持有设备授权可使用数字签名密钥。所以，第三设备申请的数字签名密钥的使用权限已经属于三级使用权限。

“权限管理服务器”：它是负责管理目标设备(或者称为授权设备)和申请设备(或者称为被授权设备)的关系的设备。

“签名服务器”：它是协同签名过程中的服务器。

请参见图1，图1示出了本申请实施例提供的一种数字签名系统的示意图。如图1所示的数字签名系统包括具有数字签名密钥的使用权限的目标设备、申请设备和权限管理服务器。

应理解，目标设备的具体设备、申请设备的具体设备和权限管理服务器的具体设备等均可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，在申请设备为第一设备的情况下，目标设备为密钥持有设备。

再例如，在申请设备为第N+1设备(例如，第二设备等)的情况下，目标设备为第N设备(例如，第一设备等)。其中，N为大于等于1的正整数。

为了便于理解本申请实施例下面通过具体的实施例来进行描述。

具体地，申请设备生成密钥申请因子，并向具有数字签名密钥的使用权限的目标设备发送密钥申请因子，其中，密钥申请因子用于申请数字签名密钥的使用权限。随后，目标设备利用接收的密钥申请因子和自身存储的密钥因子，生成授权密钥因子，并向权限管理服务器发送授权密钥因子，其中，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备。最后，权限管理服务器托管授权密钥因子，以实现数字签名密钥的授权。

应理解，虽然图1示出了数字签名系统包括申请设备、目标设备和权限管理服务器，但本领域的技术人员应当理解，数字签名系统还可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，数字签名系统除了包括申请设备、目标设备和权限管理服务器之外，还包括签名服务器。

请参见图2，图2示出了本申请实施例提供的一种密钥授权方法的流程图。如图2所示的密钥授权方法包括：

步骤S210，申请设备生成密钥申请因子。其中，密钥申请因子用于申请数字签名密钥的使用权限。

应理解，申请设备生成密钥申请因子的具体方法可根据实际需求来进行设置，只要保证密钥申请因子是由申请设备的设备信息生成的即可，本申请实施例并不局限于此。

例如，在申请设备想要申请数字签名密钥的使用权限的情况下，申请设备可获取自身产生的第一随机数和自身的设备信息，并可利用第一随机数和自身的设备信息，生成密钥申请因子。

这里需要说明的是，虽然上面示出了以第一随机数和设备信息来生成密钥申请因子的方案，但本领域的技术人员应当理解，除了第一随机数和设备信息之外，还可包含其他的信息，本申请实施例并不局限于此。

还应理解，申请设备利用第一随机数和自身的设备信息，生成密钥申请因子的具体方法也可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，申请设备可对第一随机数和自身的设备信息进行杂凑运算处理，以获得密钥申请因子。

这里还需要说明的是，申请设备在生成密钥申请因子之后，其还需要保存密钥申请因子，以便于后续申请设备在进行数字签名的过程中，申请设备还需要通过密钥申请因子进行数字签名。

步骤S220，申请设备向目标设备发送密钥申请因子。对应地，目标设备接收申请设备发送的密钥申请因子。

应理解，申请设备向目标设备发送密钥申请因子的方式可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，申请设备可通过安全信道向目标设备发送密钥申请因子。

为了便于理解本申请，下面通过具体的实施例来进行描述。

具体地，考虑到申请设备具有多个密钥申请因子(例如，除了向一目标设备申请一数字签名密钥的使用权限之外，还向另一目标设备申请另一数字签名密钥的使用权限)的情况，申请设备可获取申请设备的标识和密钥申请因子的标识，并向目标设备发送携带有申请设备的标识、密钥申请因子的标识和密钥申请因子的信息。

这里需要说明的是，本申请实施例还可将申请设备的标识替换为申请人的账户信息(例如，申请人登录APP的账号信息)。

对应到，下文涉及申请设备的标识的方案也可进行替换，后续不再一一赘述，具体可参见上述描述。

步骤S230，目标设备利用密钥申请因子和自身存储的密钥因子，生成授权密钥因子。其中，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备。

应理解，目标设备的具体设备可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，在申请设备为第一设备的情况下，目标设备为密钥持有设备。其中，密钥持有设备可存储有数字签名密钥的一部分密钥因子，以及数字签名系统中的签名服务器存储有数字签名密钥的另一部分密钥因子。

这里需要说明的是，密钥持有设备存储的一部分密钥因子和签名服务器存储的另一部分密钥因子是基于现有的协同数字签名方法生成的，并且一部分密钥因子和另一部分密钥因子可组合成一个密钥。

这里还需要说明的是，密钥持有设备存储的一部分密钥因子和签名服务器存储的另一部分密钥因子均可以是私钥因子，并且可协同这两部分密钥因子来生成公钥。

还应理解，目标设备自身存储的密钥因子对应的密钥因子可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，在目标设备为密钥持有设备的情况下，密钥持有设备的密钥因子为数字签名密钥的一部分密钥因子。

再例如，在目标设备为第N个设备的情况下，第N个设备的密钥因子为第N个设备自身生成的密钥申请因子。

还应理解，目标设备利用密钥申请因子和自身存储的密钥因子，生成授权密钥因子的具体方法可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，目标设备可利用大数据除法对密钥申请因子和自身存储的密钥申请因子进行处理，以获得授权密钥因子。简单地理解的话，密钥授权密钥因子乘以密钥申请因子等于目标设备存储的密钥申请因子。

步骤S240，目标设备向权限管理服务器发送授权密钥因子。对应地，权限管理服务器接收目标设备发送的授权密钥因子。

具体地，目标设备可向权限管理服务器发送携带有申请设备的标识、密钥申请因子的标识、目标设备存储的密钥因子的标识和授权密钥因子的信息。

步骤S250，权限管理服务器托管授权密钥因子，以实现数字签名密钥的授权。

应理解，权限管理服务器托管授权密钥因子是指在后续数字签名的过程中，申请设备无需再向目标设备发起相关操作，其直接向权限管理服务器发起相关操作即可，从而权限管理服务器实现了托管业务，本申请实施例并不局限于此。

为了便于理解本申请实施例，下面通过具体的实施例来进行描述。

具体地，权限管理服务器接收并存储申请设备的标识、密钥申请因子的标识、目标设备存储的密钥因子的标识和授权密钥因子的信息。以及，在后续数字签名的过程中，权限管理服务器可根据上述相关信息来实现数字签名。

此外，在步骤S250之后，还可进行签名，具体地：签名服务器向申请设备发送携带有待签名数据的第一摘要信息和第二摘要信息的信息，其中，第二摘要信息为由签名服务器对待签名数据的第一摘要信息进行签名计算后生成的，随后申请设备利用密钥申请因子对第一摘要信息进行签名运算，以获得第三摘要信息，随后申请设备向权限管理服务器发送携带有第一摘要信息、第二摘要信息和第三摘要信息的信息，随后权限管理服务器利用授权密钥因子对第一摘要信息进行签名运算，以获得第四摘要信息，随后权限管理服务器向签名服务器发送携带有第一摘要信息、第二摘要信息、第三摘要信息和第四摘要信息的信息，最后签名服务器根据第一摘要信息、第二摘要信息、第三摘要信息和第四摘要信息进行数字签名。

这里需要说明的是，上述签名的具体过程可参见图3所示的过程，在此不再详细描述。

因此，本申请实施例基于密钥拆分授权方法，在保证企业证书和密钥不变的情况下，实现了安全的密钥授权。整个过程中，申请设备无法拥有完整的密钥，从而避免了泄密。以及，本申请实施例还可通过授权管理，可以避免密钥授权被遗忘，避免密钥被非法使用。以及，本申请实施例还支持多级授权管理，方便密钥的使用，且能够在无需更换密钥的情况下，安全的回收密钥的使用权。

为了便于理解本申请实施例，下面通过具体的实施例来进行描述。

请参见图3，图3示出了本申请实施例提供的一种数字签名的方法的流程图。如图3所示的方法应用于数字签名系统，该数字签名系统包括持有数字签名密钥的使用权限的密钥持有设备、第一设备、权限管理服务器和签名服务器。其中，密钥持有设备存储有数字签名密钥的一部分密钥因子，签名服务器存储有数字签名密钥的另一部分密钥因子，并且这两部分密钥因子是基于现有的协同数字签名方法来实现的(或者说，密钥持有设备存储有持有人的密钥因子，签名服务器存储有持有人的服务端的密钥因子)。

这里需要说明的是，本申请实施例中的数字签名的方法包括密钥授权过程(即步骤S301至步骤S305)和协同数字签名的过程(即步骤S306至步骤S313)。其中，协同数字签名是指在各个设备上独立的进行数字签名，但不通过网络传输任何密钥的信息，只传输数字签名后的结果。具体地，如图3所示的方法包括：

步骤S301，第一设备生成第一密钥申请子因子。其中，第一密钥申请子因子用于申请数字签名密钥的一级使用权限。

应理解，申请设备包括第一设备，且密钥申请因子包括第一密钥申请子因子。

也就是说，申请设备包含的设备和密钥申请因子所包含的密钥申请子因子等均可根据实际需求来进行设置，本申请实施例并不局限于此。

还应理解，第一设备生成第一密钥申请子因子的具体过程可参见步骤S210的相关描述，在此不再详细描述。

步骤S302，第一设备向密钥持有设备发送第一密钥申请子因子。对应地，密钥持有设备接收第一设备发送的第一密钥申请子因子。

应理解，第一设备向密钥持有设备发送第一密钥申请子因子的具体过程可参见步骤S220的相关描述，在此不再详细描述。

步骤S303，密钥持有设备利用自身存储的密钥因子(即数字签名密钥的一部分)和第一密钥申请子因子，生成第一授权密钥子因子。

应理解，授权密钥因子包括第一授权密钥子因子。

也就是说，授权密钥因子所包含的授权密钥子因子可根据实际需求来进行设置，本申请实施例并不局限于此。

还应理解，密钥持有设备利用自身存储的密钥因子和第一密钥申请子因子，生成第一授权密钥子因子的具体过程可参见步骤S230的相关描述，在此不再详细描述。

步骤S304，密钥持有设备向权限管理服务器发送第一授权密钥子因子。对应地，权限管理服务器接收密钥持有设备发送的第一授权密钥子因子。

应理解，密钥持有设备向权限管理服务器发送第一授权密钥子因子的具体过程可参见步骤S240的相关描述，在此不再详细描述。

步骤S305，权限管理服务器托管第一授权密钥子因子，以实现数字签名密钥的一级授权。

应理解，权限管理服务器托管第一授权密钥子因子，以实现数字签名密钥的一级授权的具体过程可参见步骤S250的相关描述，在此不再详细描述。

步骤S306，签名服务器获取待签名数据的第一摘要信息，并对待签名数据进行数字签名所需要的预处理运算。

应理解，待签名数据的第一摘要信息的获取过程可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，第一摘要信息可以是由签名服务器来对待签名数据进行计算后获得的，也可以是由第一设备对待签名数据进行计算后并发送给签名服务器的。

还应理解，预处理运算的具体过程可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，签名服务器可根据签名请求生成一个第二随机数，并可把第二随机数用作哈希，并利用哈希对第一摘要信息签名计算后生成第二摘要信息。

为了便于理解本申请实施例，下面通过具体的实施例来进行描述。

具体地，对于协同数字签名算法来说，第一设备可发起签名请求(例如，在申请人通过第一设备登录财务系统等业务系统的情况下，其可通过业务系统来告知服务器要签名)，签名服务器可获取待签名数据的第一摘要信息，并利用生成的第二随机数对待签名数据进行预处理运算。

步骤S307，签名服务器向第一设备发送携带有待签名数据的第一摘要信息和第二摘要信息的信息。对应地，第一设备接收签名服务器发送的携带有待签名数据的第一摘要信息和第二摘要信息的信息。

步骤S308，第一设备利用自身存储的第一密钥申请子因子对第一摘要信息进行签名运算，获得第三摘要信息。

应理解，签名运算的具体算法可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，签名运算可以为乘法运算。

为了便于理解本申请实施例，下面通过具体的实施例来进行描述。

具体地，在第一设备对应的申请人确认签署后，第一设备可恢复第一密钥申请子因子，并利用第一密钥申请子因子对第一摘要信息进行签名运算，以获得第三摘要信息。

步骤S309，第一设备向权限管理服务器发送携带有第一摘要信息、第二摘要信息和第三摘要信息的信息。对应地，权限管理服务器接收携带有第一摘要信息、第二摘要信息和第三摘要信息的信息。

具体地，第一设备可获取第一密钥申请子因子的标识和第一设备的设备的标识，从而第一设备可向权限管理服务器发送携带有第一摘要信息、第二摘要信息、第三摘要信息、第一密钥申请子因子的标识和第一设备的设备的标识的信息。

步骤S310，权限管理服务器使用第一授权密钥子因子对第一摘要信息进行签名运算，获得第四摘要信息。

应理解，授权密钥因子包括第一授权密钥子因子。

也就是说，授权密钥因子所包含的授权密钥子因子可根据实际需求来进行设置，本申请实施例并不局限于此。

为了便于理解本申请实施例，下面通过具体的实施例来进行描述。

具体地，权限管理服务器可验证第一设备的身份。以及，在身份验证通过的情况下，权限管理服务器可根据第一密钥申请子因子的标识和第一设备的设备的标识来查对应的第一授权密钥子因子。以及，权限管理服务器可使用第一授权密钥子因子对第一摘要信息进行签名运算，获得第四摘要信息。

步骤S311，权限管理服务器向签名服务器发送携带有第一摘要信息、第二摘要信息、第三摘要信息和第四摘要信息的信息。对应地，签名服务器接收权限管理服务器发送的携带有第一摘要信息、第二摘要信息、第三摘要信息和第四摘要信息的信息。

步骤S312，签名服务器使用自身存储的密钥因子对第一摘要信息进行签名运算，获得第五摘要信息。

应理解，签名服务器存储的密钥因子为数字签名密钥的另一部分。

步骤S313，签名服务器将第二摘要信息、第三摘要信息、第四摘要信息和第五摘要信息进行组合，获得最终的签名结果。

应理解，签名服务器将第二摘要信息、第三摘要信息、第四摘要信息和第五摘要信息进行组合的具体过程可根据实际需求来进行设置，本申请实施例并不局限于此、

例如，签名服务器可将第二摘要信息、第三摘要信息、第四摘要信息和第五摘要信息进行相加。

此外，在获得签名结果后，签名服务器还可利用公钥对签名结果进行解密运算，以确定解密后的摘要信息是不是第一摘要信息，从而实现了签名的验证。

这里需要说明的是，虽然图3示出了第一设备向密钥持有设备申请数字签名密钥的一级使用权限以及第一设备进行数字签名的过程，但本领域的技术人员应当理解，第二设备、第三设备、第四设备和第五设备等其他设备均可向上一级设备(例如，第三设备的上一级设备为第二设备)申请相应等级的密钥使用权限和相应设备进行数字签名的过程均可参见图3的相关过程。

例如，第二设备生成第二密钥申请子因子。其中，第二密钥申请子因子用于申请数字签名密钥的二级使用权限；第二设备向第一设备发送第二密钥申请子因子；第一设备利用自身存储的第一密钥申请子因子和第二密钥申请子因子，生成第二授权密钥子因子，并向权限管理服务器发送第二授权密钥子因子；权限管理服务器托管第二授权密钥子因子，以实现数字签名密钥的二级授权。

此外，遵从上述算法，第二设备可以再次将数字签名密钥的三级使用权限授权给第三设备等，从而形成多级授权。并且，下一级设备(例如，第三设备)的数字签名密钥的使用权限受限于上一级设备(例如，第二设备)的权限周期等，从而当上一级设备的数字签名密钥的使用权限被注销以后，下一级设备的数字签名密钥同步被注销，从而保证了密钥的安全。

也就是说，目标设备可以安全地将数字签名密钥的使用权限授权给设备设备，并且可以岁数监管、审计以及注销密钥。

为了便于理解本申请实施例，下面通过具体的实施例来进行描述。

例如，对于企业来说，企业法定代表人申请了代表企业身份的数字证书，之后其可以将数字证书及密钥授权给企业的总经理使用，总经理可以继续授权证书给人事部、财务部等部门的领导进行授权使用，一旦总经理离职，公司法定代表人将总经理授权回收，这是总经理授权的密钥也全部失效，由新的总经理进行重新分配。从而，这种授权避免了传统授权模式的逻辑漏洞，从算法的角度保护了公司的证书和密钥的安全。

应理解，上述密钥授权方法仅是示例性的，本领域技术人员根据上述的方法可以进行各种变形，修改或变形之后的内容也在本申请保护范围内。

请参见图4，图4示出了本申请实施例提供的一种密钥授权装置400的结构框图，应理解，该密钥授权装置400与上述方法实施例中的申请设备对应，能够执行上述方法实施例中申请设备侧的各个步骤，该密钥授权装置400具体的功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。该密钥授权装置400包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在密钥授权装置400的操作系统(operatingsystem，OS)中的软件功能模块。具体地，密钥授权装置400应用于数字签名系统中的申请设备，数字签名系统包括具有数字签名密钥的使用权限的目标设备和权限管理服务器，密钥授权装置400包括：

第一生成模块410，用于生成密钥申请因子，其中，密钥申请因子用于申请数字签名密钥的使用权限；第一发送模块420，用于向目标设备发送密钥申请因子，以便于目标设备利用密钥申请因子和自身存储的密钥因子，生成授权密钥因子，并向权限管理服务器发送授权密钥因子，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备。

在一个可能的实施例中，在申请设备为第一设备的情况下，目标设备为密钥持有设备；其中，密钥持有设备存储有数字签名密钥的一部分密钥因子，以及数字签名系统中的签名服务器存储有数字签名密钥的另一部分密钥因子。

在一个可能的实施例中，在申请设备为第N+1设备的情况下，目标设备为第N设备，N为大于等于1的正整数。

在一个可能的实施例中，第一生成模块410，具体用于：获取自身产生的第一随机数和申请设备的设备信息；利用第一随机数和设备信息，生成密钥申请因子。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法中的对应过程，在此不再过多赘述。

请参见图5，图5示出了本申请实施例提供的另一种密钥授权装置500的结构框图，应理解，该密钥授权装置500与上述方法实施例中的目标设备对应，能够执行上述方法实施例中目标设备侧的各个步骤，该密钥授权装置500具体的功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。该密钥授权装置500包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在密钥授权装置500的操作系统(operatingsystem，OS)中的软件功能模块。具体地，密钥授权装置500应用于数字签名系统中的具有数字签名密钥的使用权限的目标设备，数字签名系统包括申请设备和权限管理服务器，密钥授权装置500包括：

接收模块510，用于接收申请设备发送的密钥申请因子，密钥申请因子是由申请设备生成的，且密钥申请因子用于申请数字签名密钥的使用权限；

第二生成模块520，用于利用接收的密钥申请因子和自身存储的密钥因子，生成授权密钥因子，其中，授权密钥因子用于表示目标设备同意将数字签名密钥的使用权限授权给申请设备；

第二发送模块530，用于向权限管理服务器发送授权密钥因子，以便于权限管理服务器托管授权密钥因子，以实现数字签名密钥的授权。

在一个可能的实施例中，在申请设备为第一设备的情况下，目标设备为密钥持有设备；其中，密钥持有设备存储有数字签名密钥的一部分密钥因子，以及数字签名系统中的签名服务器存储有数字签名密钥的另一部分密钥因子。

在一个可能的实施例中，在申请设备为第N+1设备的情况下，目标设备为第N设备，N为大于等于1的正整数。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法中的对应过程，在此不再过多赘述。

图6示出了本申请实施例提供的一种电子设备600的结构框图，如图6所示。电子设备600可以包括处理器610、通信接口620、存储器630和至少一个通信总线640。其中，通信总线640用于实现这些组件直接的连接通信。其中，本申请实施例中设备的通信接口620用于与其他节点设备进行信令或数据的通信。处理器610可以是一种集成电路芯片，具有信号的处理能力。上述的处理器610可以是通用处理器，包括中央处理器(Central ProcessingUnit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器610也可以是任何常规的处理器等。

存储器630可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-OnlyMemory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。存储器630中存储有计算机可读取指令，当所述计算机可读取指令由所述处理器610执行时，电子设备600可以执行上述方法实施例中对应装置侧的各个步骤。例如，在电子设备600设置在申请设备中的情况下，存储器630中存储有计算机可读取指令，当所述计算机可读取指令由所述处理器610执行时，电子设备600可以执行上述方法实施例中申请设备侧的各个步骤。

电子设备600还可以包括存储控制器、输入输出单元、音频单元、显示单元。

所述存储器630、存储控制器、处理器610、外设接口、输入输出单元、音频单元、显示单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线640实现电性连接。所述处理器610用于执行存储器630中存储的可执行模块，例如电子设备600包括的软件功能模块或计算机程序。

输入输出单元用于提供给用户输入数据实现用户与所述服务器(或本地终端)的交互。所述输入输出单元可以是，但不限于，鼠标和键盘等。

音频单元向用户提供音频接口，其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。

显示单元在所述电子设备与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中，所述显示单元可以是液晶显示器或触控显示器。若为触控显示器，其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作，并将该感应到的触控操作交由处理器进行计算和处理。

输入输出单元用于提供给用户输入数据实现用户与处理终端的交互。所述输入输出单元可以是，但不限于，鼠标和键盘等。

可以理解，图6所示的结构仅为示意，所述电子设备600还可包括比图6中所示更多或者更少的组件，或者具有与图6所示不同的配置。图6中所示的各组件可以采用硬件、软件或其组合实现。

本申请提供一种存储介质，该存储介质上存储有计算机程序，该计算机程序被处理器运行时执行方法实施例中的申请设备侧的任一可选的实现方式所述的方法。

本申请提供一种存储介质，该存储介质上存储有计算机程序，该计算机程序被处理器运行时执行方法实施例中的目标设备侧的任一可选的实现方式所述的方法。

本申请提供一种存储介质，该存储介质上存储有计算机程序，该计算机程序被处理器运行时执行方法实施例中的权限管理服务器侧的任一可选的实现方式所述的方法。

本申请还提供一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行方法实施例中的申请设备侧的任一可选的实现方式所述的方法。

本申请还提供一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行方法实施例中的目标设备侧的任一可选的实现方式所述的方法。

本申请还提供一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行方法实施例中的权限管理服务器侧的任一可选的实现方式所述的方法。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程，可以参考前述方法中的对应过程，在此不再过多赘述。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。