(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211037059.9 (22)申请日 2022.08.29 (71)申请人 北京智芯微电子科技有限公司 地址 100192 北京市海淀区西小口路6 6号 中关村东升科技园A区3号楼 (72)发明人 唐小飞　崔炳荣　赵东艳　李德建　 张喆　朱学刚　刁明响　李恺鑫　 (74)专利代理 机构 北京清亦华知识产权代理事 务所(普通 合伙) 11201 专利代理师 于腾昊 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 67/12(2022.01)G06Q 50/06(2012.01) (54)发明名称 终端数字身份的写 入方法及系统 (57)摘要 本发明公开了一种终端数字身份的写入方 法及系统， 其中， 方法包括： 数字身份写入 方接收 数字身份提供方发送的终端的第一数字身份密 文； 数字身份写入方将第一数字身份密文发送至 安全装置， 以便安全装置对第一数字身份密文进 行解密得到第二数字身份密文； 数字身份写入 方 接收安全装置发送的第二数字身份密文， 并将第 二数字身份密文发送至终端， 其中， 终端中的安 全芯片对第二数字身份密文进行解密得到终端 的数字身份明文， 并存储数字身份明文。 该方法 增强了数字身份写入 过程的安全性， 保证数字身 份在写入时不可外泄和可追溯， 且能够确保数字 身份必须存储于安全芯片中， 确保了数字身份的 不可篡改。 权利要求书3页 说明书12页 附图6页 CN 115118440 A 2022.09.27 CN 115118440 A 1.一种终端数字身份的写入方法， 其特 征在于， 所述方法包括： 数字身份写入方接收数字身份提供 方发送的终端的第一数字身份密文； 所述数字身份写入方将所述第 一数字身份密文发送至安全装置， 以便所述安全装置对 所述第一数字身份密文 进行解密得到第二数字身份密文； 所述数字身份写入方接收所述安全装置发送的第 二数字身份密文， 并将所述第 二数字 身份密文发送至所述终端， 其中， 所述终端中的安全芯片对所述第二数字身份密文进行解 密得到所述终端的数字身份明文， 并存 储所述数字身份明文。 2.根据权利要求1所述的终端数字身份的写入方法， 其特 征在于， 所述方法还 包括： 所述数字身份写入方利用 传输密钥对所述第二数字身份密文进行加密得到第三数字 身份密文， 并将所述第三数字身份密 文发送至所述终端， 其中， 所述终端中的安全芯片对所 述第三数字身份密文 进行解密得到所述第二数字身份密文。 3.根据权利要求1所述的终端数字身份的写入方法， 其特征在于， 在将所述第 二数字身 份密文发送至终端之前， 所述方法还 包括： 所述数字身份写入方对所述安全芯片进行双 向身份认证， 并在双 向身份认证通过后， 将所述第二数字身份密文发送至所述终端。 4.根据权利要求3所述的终端数字身份的写入方法， 其特征在于， 所述数字身份写入方 对所述安全芯片进行双向身份认证， 包括： 所述数字身份写入方生成第一随机数， 并对所述第一随机数进行加密得到第一密文； 所述数字身份写入方将所述第一随机数和所述第一密文发送至所述终端， 其中， 所述 终端中的安全芯片对所述第一密 文进行解密得到第二随机数， 并在所述第二随机数等于所 述第一随机数时， 确定所述数字身份写入方身份认证通过。 5.根据权利要求4所述的终端数字身份的写入方法， 其特征在于， 所述数字身份写入方 对所述安全芯片进行双向身份认证， 还 包括： 所述数字身份写入方接收所述终端发送的第三随机数和第二密文， 其中， 所述第三随 机数是所述安全芯片确定所述数字身份写入方身份认证通过时生成的， 所述第二密 文是所 述安全芯片对所述第三随机数进行加密得到的； 所述数字身份写入方对所述第 二密文进行解密得到第四随机数， 并在所述第四随机数 等于所述第三随机数时， 确定所述 安全芯片身份认证通过。 6.根据权利要求1 ‑5中任一项所述的终端数字身份的写入方法， 其特征在于， 所述方法 还包括： 数字身份生成方接收所述数字身份提供 方发送的密钥安全因子； 所述数字身份生成方根据所述密钥安全因子生成身份写入密钥和安全芯片密钥， 并生 成所述终端的数字身份明文， 以及将所述数字身份明文、 所述身份写入密钥和所述安全芯 片密钥发送至所述安全装置， 以便所述安全装置利用所述安全芯片密钥对 所述数字身份明 文进行加密得到所述第二数字身份密 文， 并利用所述身份写入密钥对所述第二数字身份密 文进行加密得到所述第一数字身份密文； 所述数字身份生成方接收所述安全装置发送的所述第 一数字身份密文， 并将所述第 一 数字身份密 文和所述数字身份明文发送至所述数字身份提供方， 以便所述数字身份提供方 将所述第一数字身份密 文和所述数字身份明文发送给数字身份校验方， 并将所述第一数字权　利　要　求　书 1/3 页 2 CN 115118440 A 2身份密文发送给 所述数字身份写入方。 7.根据权利要求6所述的终端数字身份的写入方法， 其特征在于， 在生成所述终端的数 字身份明文之前， 所述方法还 包括： 所述数字身份生成方对所述安全装置进行双 向身份认证， 并在双 向身份认证通过后， 生成所述终端的数字身份明文。 8.根据权利要求7所述的终端数字身份的写入方法， 其特征在于， 所述数字身份生成方 对所述安全装置进行双向身份认证， 包括： 所述数字身份生成方生成第五随机数， 并对所述第五随机数进行加密得到第三密文； 所述数字身份生成方将所述第五随机数和所述第三密文发送至所述安全装置， 其中， 所述安全装置对所述第三密 文进行解密得到第六随机数， 并在所述第六随机数等于所述第 五随机数时， 确定所述数字身份生成方身份认证通过。 9.根据权利要求8所述的终端数字身份的写入方法， 其特征在于， 所述数字身份生成方 对所述安全装置进行双向身份认证， 还 包括： 所述数字身份生成方接收所述安全装置发送的第七随机数和第 四密文， 其中， 所述第 七随机数是所述安全装置确定所述数字身份生成方身份认证通过时生成的， 所述第四密 文 是所述安全装置对所述第七随机数进行加密得到的； 所述数字身份生成方对所述第四密文进行解密得到第八随机数， 并在所述第八随机数 等于所述第七随机数时， 确定所述 安全装置身份认证通过。 10.一种终端数字身份的写入系统， 其特征在于， 所述系统包括： 数字身份提供方、 数字 身份写入方和安全 装置， 其中， 所述数字身份写入方用于接收所述数字身份提供方发送的第 一数字身份密文， 并将所 述第一数字身份密文发送至所述 安全装置； 所述安全装置用于对所述第 一数字身份密文进行解密得到第 二数字身份密文， 并将所 述第二数字身份密文发送至所述数字身份写入方； 所述数字身份写入方还用于接收所述第 二数字身份密文， 并将所述第 二数字身份密文 发送至终端， 其中， 所述终端中的安全芯片对所述第二数字身份密文进行解密得到所述终 端的数字身份明文， 并存 储所述数字身份明文。 11.根据权利要求10所述的终端数字身份的写入系统， 其特征在于， 所述数字身份写入 方还用于： 利用传输密钥对所述第二数字身份密文进行加密得到第三数字身份密文， 并将 所述第三数字身份密文发送至所述终端， 其中， 所述终端中的安全芯片对所述第三数字身 份密文进行解密得到所述第二数字身份密文。 12.根据权利要求10所述的终端数字身份的写入系统， 其特征在于， 所述数字身份写入 方还用于： 对所述安全芯片进 行双向身份认证， 并在双向身份认证通过后， 将所述第二数字 身份密文发送至所述终端。 13.根据权利要求10 ‑12中任一项所述的终端数字身份的写入系统， 其特征在于， 所述 系统还包括数字身份生成方， 其中， 所述数字身份提供 方用于生成的密钥安全因子并发送至所述数字身份生成方； 所述数字身份生成方用于根据 所述密钥安全因子生成身份写入密钥和安全芯片密钥， 并生成所述终端的数字身份明文， 以及将所述数字身份明文、 所述身份写入密钥和所述安权　利　要　求　书 2/3 页 3 CN 115118440 A 3