芯片卡的密钥管理系统及方法与流程

本发明涉及数据卡加密领域，特别地，涉及一种芯片卡的密钥管理系统及方法。

背景技术：

密管系统的根密钥是该系统下所有的密钥的基础密钥，根密钥根据分散因子的不同，分散生成各种密钥，再下发到卡片或设备内，因此根密钥的生成、存储、备份、恢复非常重要。现有的根密钥生成一般通过多个密钥分量信封的方式产生，具体如下：

1、准备根密钥分量生成所用的专用机器；

2、设置根密钥生成所需的根密钥分量，通常是5个；

3、专用机器生成根密钥分量，并逐个以纸质信封的方式打印密钥分量和分量校验码，并用信封封装，形成5个信封；

4、每个信封持有者逐个打开信封，输入密钥分量和分量校验码，完成后将信封保存到密码箱，直至5个密钥分量完全输入；

5、系统将5个密钥分量导入加密机，产生根密钥。

现有的根密钥生成系统存在以下缺点：

1、密钥分量需要专用机器，如密码信封打印机，其根据密码机生成的数据，将数据打印在特殊的纸上，然后封装成信封的形式，直接输出5个信封，投入成本高；

2、密钥分量信封打开后处于明文状态，如果管理上有漏洞，很容易泄密，一旦5个密钥分量中的三个被同一人获取，根密钥就会泄漏。

技术实现要素：

本发明提供了一种芯片卡的密钥管理系统及方法，以解决现有的根密钥生成系统依赖专用机器生成密钥分量导致的成本高、且密钥分量处于明文状态存在被窃取风险的技术问题。

本发明采用的技术方案如下：

根据本发明的一个方面，提供一种芯片卡的密钥管理系统，用于根密钥的生成管理，包括：

多个数字证书存储介质，与根密钥对应的密钥分量数目一致，各数字证书存储介质上预先存储由第三方ca颁发的用于持有者身份标识的数字证书；

密钥管理单元，用于在数字证书存储介质访问时生成对应的密钥分量，密钥分量为经数字信封加密后的密钥分量；

加密机，连接密钥管理单元，用于对经数字信封加密后的密钥分量进行解密获得密钥分量明文，并在接收到全部的密钥分量后生成根密钥。

进一步地，密钥管理单元还用于对数字证书存储介质进行注册登记及访问时的身份认证，以确保数字证书存储介质仅由授权本人登录。

进一步地，本发明密钥管理系统还包括：

密码箱，用于保存数字证书存储介质。

根据本发明的另一方面，还提供一种芯片卡的密钥管理方法，应用上述的芯片卡的密钥管理系统，其包括：

密钥管理单元接收已注册数字证书存储介质的访问，并生成对应的密钥分量；

密钥管理单元将密钥分量以数字信封加密后的形式传递给加密机；

加密机接收经数字信封加密后的密钥分量，解密获得密钥分量明文；

重复上述步骤，直至加密机接收全部的密钥分量；

加密机根据接收的密钥分量生成根密钥。

进一步地，在数字证书存储介质访问密钥管理单元之前，还包括：

对数字证书存储介质在密钥管理单元进行注册登记，以确保其访问的合法性。

进一步地，对数字证书存储介质在密钥管理单元进行注册登记包括：

密钥管理单元接收经终端设备导入的第三方ca根证书；

应终端设备的申请产生随机数并发送给终端设备；

接收终端设备发送的签名结果、持有者签名证书和加密证书，并验证持有者签名证书和加密证书的有效性、验签签名结果，在有效性及验签均通过的前提下，保存持有者签名证书和加密证书；其中，持有者签名证书和加密证书为终端设备验证通过持有者口令后访问获取；签名结果为终端设备对接收的随机数和持有者信息签名生成。

进一步地，密钥管理单元在数字证书存储介质访问时生成对应的密钥分量包括：

接收持有者经对应的数字证书存储介质生成的登陆访问请求，进入根密钥生成界面；

验证持有者登陆口令及数字证书有效性，验证通过后生成密钥分量；

对密钥分量加密生成密钥分量数字信封。

本发明具有以下有益效果：

本发明芯片卡的密钥管理系统及方法，通过采用多个经第三方ca颁发的数字证书存储介质与多个密钥分量持有者对应，且经各数字证书存储介质访问时由密钥管理单元随机生成密钥分量，各密钥分量经数字信封加密后传递给加密机，最后由加密机对接收的密钥分量数字信封解密并生成根密钥，密钥分量的生成及传递过程均处于密文状态，仅在加密机内部解密，并完成根密钥生成，增强了根密钥管理的安全性，且各密钥分量由第三方ca颁发的数字证书存储介质与持有者对应，通过增设对持有者的身份认证的环节，规避了对密钥分量的管理上的风险，通过数字证书存储介质生成密钥分量，不需要用专用密钥分量信封机器生成，节约设备成本和管理成本。

除了上面所描述的目的、特征和优点之外，本发明还有其它的目的、特征和优点。下面将参照附图，对本发明作进一步详细的说明。

附图说明

构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明优选实施例芯片卡的密钥管理系统的结构示意图；

图2是本发明优选实施例中数字证书存储介质在密钥管理单元进行注册登记的流程示意图；

图3是本发明优选实施例中密钥管理单元在所述数字证书存储介质访问时生成对应的密钥分量的流程示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

本发明的优选实施例提供了一种芯片卡的密钥管理系统，用于根密钥的生成管理，参照图1，本实施例密钥管理系统包括：

多个数字证书存储介质20，与根密钥对应的密钥分量数目一致，各数字证书存储介质上预先存储由第三方ca10颁发的用于持有者身份标识的数字证书；

密钥管理单元30，用于在数字证书存储介质20访问时生成对应的密钥分量，密钥分量为经数字信封加密后的密钥分量；

加密机40，连接密钥管理单元30，用于对经数字信封加密后的密钥分量进行解密获得密钥分量明文，并在接收到全部的密钥分量后生成根密钥。

优选地，本实施例密钥管理单元30还用于对数字证书存储介质20进行注册登记以确保数字证书存储介质20仅由授权本人登录。

本实施例以教育卡多级密钥管理为例进行说明。具体如下：

1)、由第三方ca颁发5个已授权的数字证书存储介质，并将5个数字证书存储介质分发给5位不同的人员；

2)、5位人员在密钥管理单元进行注册，并修改介质访问口令，保证介质只能由本人使用；

3)、第一位人员在根密钥生成界面插入自己的数字证书存储介质，输入口令，密钥管理单元验证口令并验证介质数字证书的有效性及用户的合法性后，产生带数字信封的密钥分量，并将密钥分量导入加密机；数字证书存储介质封存在密码箱50内。

4)、后4位人员逐步实施访问，过程同步骤3)，完成密钥分量导入；

5)、产生根密钥，加密机解密数字信封，获取5份密钥分量，生成根密钥。

本实施例密钥管理系统，通过采用多个经第三方ca颁发的数字证书存储介质与多个密钥分量持有者对应，且经各数字证书存储介质访问时由密钥管理单元随机生成密钥分量，各密钥分量经数字信封加密后传递给加密机，最后由加密机对接收的密钥分量数字信封解密并生成根密钥，密钥分量的生成及传递过程均处于密文状态，仅在保密机终端解密生成根密钥，增强了根密钥管理的安全性，且各密钥分量由第三方ca颁发的数字证书存储介质与持有者对应，通过增设对持有者的身份认证的环节，规避了对密钥分量的管理上的风险，通过数字证书存储介质生成密钥分量，不需要用专用密钥分量信封机器生成，节约设备成本和管理成本。

根据本发明的另一方面，还提供一种芯片卡的密钥管理方法，应用上述的芯片卡的密钥管理系统，本实施例密钥管理方法包括以下步骤：

步骤s10、密钥管理单元接收已注册数字证书存储介质的访问，并生成对应的密钥分量；

步骤s20、密钥管理单元将密钥分量以数字信封加密后的形式传递给加密机；

步骤s30、加密机接收经数字信封加密后的密钥分量，解密获得密钥分量明文；

步骤s40、重复上述步骤，直至加密机接收全部的密钥分量；

步骤s50、加密机根据接收的密钥分量生成根密钥。

本实施例密钥管理方法，密钥分量在整个过程中都是以密文方式存在，只有在加密机内才是以明文方式保存。密钥分量产生是在数字证书内部，导出后已经用密钥保护；系统传输将保护的数字信封直接传输给加密机，系统和传输信道都没有明文方式存在；即使有人拿到数字证书存储介质，也无法获取到密钥分量。通过数字证书存储介质身份验证方式避免人工认证人员的非法操作；通过口令验证的方式确认持有者身份，规避了对密钥分量的管理上的风险，此外通过数字证书存储介质生成密钥分量，不需要用专用密钥分量信封机器生成，节约设备成本和管理成本。

优选地，在数字证书存储介质访问密钥管理单元之前，还包括：对数字证书存储介质在密钥管理单元进行注册登记，以确保其访问的合法性。

图2示出了本发明优选实施例中数字证书存储介质在密钥管理单元进行注册登记的流程示意图。参照图2，其中，终端设备为用户端对应的电脑、笔记本等电子处理设备，密管系统即本实施例的密钥管理单元，具体流程如下：

1、终端设备导入第三方ca根证书，用于验证持有者数字证书是否由第三方ca根证书签发；

2、密管系统接收经终端设备导入的第三方ca根证书；

3、终端设备验证持有者的口令，此步骤中，持有者可以定期更改登录口令，以增强安全性；

4、终端设备在持有者登录通过后，获取数字证书存储介质中保存的持有者签名证书和加密证书，其中，签名证书用于身份不可抵赖认证，加密证书用于数据传输安全性加密操作；

5、终端设备向密管系统发出获取密管系统随机数的请求；

6、密管系统根据内置的随机数生成函数产生随机数并返回给终端设备；

7、终端设备对接收的随机数及持有者信息采用签名证书进行签名；

8、终端设备将签名结果、持有者签名证书和加密证书发送给密管系统；

9、密管系统验证签名证书和加密证书的有效性；具体地，密管系统通过根证书的公钥，通过公钥验证的方式验证提供的签名证书和加密证书内的签名结果是否正确；

10、密管系统验签，密封系统对签名结果进行验签；

11、验签通过后，密管系统将持有者签名证书和加密证书保存到数据库。

本实施例通过对数字证书存储介质进行注册登记，并保存其持有者对应的签名证书及加密证书，便于后续对数字证书介质访问请求进行身份认证及签名认证，即确保了数据传递的安全性，又实现了身份签名，确保身份不可抵赖性，切实地提高了根密钥管理的安全性。

图3示出了本发明优选实施例中密钥管理单元在所述数字证书存储介质访问时生成对应的密钥分量的流程示意图。参照图3，本实施例中，密钥管理单元在数字证书存储介质访问时生成对应的密钥分量的具体步骤包括：

1、持有者在终端设备上插入数字证书存储介质；

2、终端设备开启根密钥生成界面；

3、持有者输入登录口令以进行登录身份验证，确保只有持有者本人登录；

4、终端设备向密管系统调用随机数；

5、密管系统产生随机数并返回；

6、终端设备对接收的密管系统随机数、持有者标识信息进行签名，并返回签名证书和签名结果；

7、密管系统验证签名结果及签名证书，密管系统采用本地的签名证书对签名结果进行验签，获得持有者身份标识，并将本地存储的与该持有者身份标识对应的签名证书与接收的签名证书进行验证，从而确保持有者身份的合法性及不可抵赖性，并返回验证结果；

8、终端设备在接收到验证结果通过的前提下，调用密管系统证书；

9、密管系统返回密管系统证书；

10、终端设备访问数字证书存储介质产生随机密钥分量；

11、终端设备导入密管系统证书，并用该证书生成密钥分量的数字信封；

12、终端设备传送密钥分量的数字信封给加密机。

需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个或者多个计算设备可读取存储介质中。基于这样的理解，本发明实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一台计算设备(可以是个人计算机，服务器，移动计算设备或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)，磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。