对用户加密密钥恢复进行管理的方法和系统的制作方法
【专利摘要】本发明实施例提供了一种对用户加密密钥恢复进行管理的方法和系统。该方法包括:认证中心接收到证书注册中心发送的用户证书密钥恢复请求,认证中心在用户证书的扩展选项中加入恢复申请事由信息,向密钥管理中心发送包含用户证书的扩展选项的密钥恢复服务请求;密钥管理中心对密钥恢复请求信息进行解析,获取用户信息和恢复申请事由,根据用户信息恢复出用户的加密密钥对,将恢复申请事由和加密密钥对进行关联保存,并将加密密钥对返回给认证中心。本发明实施例通过将用户密钥恢复信息引入到用户证书的扩展选项中,可以实现让密钥管理中心获取更完善的密钥恢复申请信息,实现了密钥管理中心对用户加密密钥恢复进行有效管理、识别。
【专利说明】对用户加密密钥恢复进行管理的方法和系统
【技术领域】
[0001]本发明涉及密钥管理【技术领域】,尤其涉及一种对用户加密密钥恢复进行管理的方法和系统。
【背景技术】
[0002]基于PKI (Public Key Infrastructure,公钥基础设施)技术的数字证书在电子商务、电子政务、网上银行等应用中使用越来越广泛,用户急剧增长。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。一个完整地PKI系统是由认证机构、密钥管理中心、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成。
[0003]CA (certificate authority,认证中心)作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。CA为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证实证书中列出的用户名称和证书中列出的公开密钥相对应。CA的数字签名使得攻击者不能伪造和篡改数字证书。
[0004]KM (Key Management,密钥管理)系统负责为CA系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务,KM系统除了可以提供加密密钥的通用密钥管理服务,还可以为司法人员提供司法取证的服务,可以解决分布式企业应用环境中大规模密码技术应用所带来的密钥管理问题。它应该支持SM2算法和RSA算法,密钥对的存储也都基于国家规范,与CA系统的接口规范完全符合国家规范的要求,满足作为一个高规格的密钥管理中心应有的安全、功能、性能需求。
[0005]密钥的管理是PKI体系中最为关键的安全问题,CA系统签发用户双证书后,对于签名证书,私钥由用户自身保存,并对外发布公钥证书。如果用户的私钥泄漏,则攻击者可以利用该私钥伪造用户签名信息,也可以解密该用户的加密信息,因此保证用户私钥的安全性是密钥管理中核心的内容。而对于加密证书而言,公私钥均由KM产生和管理,私钥的分发也是密钥管理的核心问题,用户如果将USBKEY毁坏,需要提交密钥恢复申请,重新获得加密证书,才能对前加密证书加密过的密文进行解密,满足日常需要。
[0006]PKI系统安全问题的关键是密钥管理。签名证书中的公钥通过公钥证书公开发布,由证书权威机构CA的签名来保证它的完整性。私钥由用户秘密保存,一旦泄漏,攻击者就有可能解密发给私钥用户的加密信息,或者伪造密钥用户的签名。因此,密钥管理的关键问题就是确保私钥的安全性。当前主要采用硬件设备的物理特性来保护私钥的绝对安全性。用户的私钥由硬件设备生成而且只保存在存储介质中无法导出。要访问该用户私钥只能通过用户自身设定的密码来访问,这就确保了除用户本人外,其他任何人均无法使用该私钥信息。
[0007]而在使用加密证书的时候,用户出现丢失或者损坏自身设备的情况时,用户可以及时挂失等方式停止对该密钥对的使用。但是用户已有的加密文件将无法解密读取,因此在PKI管理体系中提供了加密密钥对的恢复管理,同时这也可以为司法取证提供支持。[0008]现有的密钥恢复机制中,由密钥管理中心来实现加密密钥的产生和恢复。除了司法取证时在KM端恢复的情况外,其他情况均为用户在RA (Register Authority,证书注册中心)端提出申请的方式。当用户需要恢复密钥时,首先由用户通过RA受理点提出申请,经过管理员审核通过后,RA才向CA发送申请,CA调用密钥管理中心的密钥恢复接口发送请求,密钥管理中心通过数字信封将该用户的加密密钥返回给CA,CA通过该密钥对签发用户证书返回给RA,最后下载到用户证书的存储介质中。在整个过程中,只有RA管理员进行申请,其余环节均为系统自动完成,CA和密钥管理中心均没有进行恢复控制和限制,缺乏完善的管理,不利于KM系统为多个CA服务,无法对用户的密钥恢复事件进行记录和管理。
【发明内容】
[0009]本发明的实施例提供了一种对用户加密密钥恢复进行管理的方法和系统,以实现对用户加密密钥恢复进行有效管理、识别。
[0010]一种对用户加密密钥恢复进行管理的方法,包括:
[0011]认证中心接收到证书注册中心发送的用户证书密钥恢复请求,所述认证中心在用户证书的扩展选项中加入恢复申请事由信息,向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求;
[0012]所述密钥管理中心对所述密钥恢复请求信息进行解析,获取用户信息和恢复申请事由,根据所述用户信息恢复出用户的加密密钥对,将所述恢复申请事由和加密密钥对进行关联保存,并将所述加密密钥对返回给所述认证中心。
[0013]一种对用户加密密钥恢复进行管理的系统,包括:
[0014]认证中心,用于接收证书注册中心发送的用户证书密钥恢复请求,在用户证书的扩展选项中加入恢复申请事由信息,向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求;
[0015]密钥管理中心,用于对所述认证中心发送过来的密钥恢复请求进行解析,获取用户信息和恢复申请事由,根据所述用户信息恢复出用户的加密密钥对,将所述恢复申请事由和加密密钥对进行关联保存,并将所述加密密钥对返回给所述认证中心。
[0016]由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过CA将用户密钥恢复信息(包括用户恢复时间、恢复申请事由、恢复次数信息)引入到用户证书的扩展选项中,可以实现让密钥管理中心获取更完善的密钥恢复申请信息,实现了密钥管理中心对用户加密密钥恢复进行有效管理、识别,并可以根据用户证书信息对密钥恢复事件进行追溯,保障用户密钥恢复流程的安全性和高效的可管理性。
【专利附图】
【附图说明】
[0017]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本发明实施例一提供的一种对用户加密密钥恢复进行管理的方法的处理流程示意图;[0019]图2为本发明实施例二提供的一种对用户加密密钥恢复进行管理的系统的结构示意图。
【具体实施方式】
[0020]为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
[0021]实施例一
[0022]本发明实施例提供的一种对用户加密密钥恢复进行管理的方法的处理流程示意图如图1所示,包括如下的处理步骤:
[0023]步骤1、用户的用户终端向RA受理点提交密钥恢复申请,该密钥恢复申请中包含密钥恢复申请表和用户相关信息,上述密钥恢复申请表中包含用户恢复时间、恢复申请事由、恢复次数信息;
[0024]步骤2、RA受理点的管理员对上述密钥恢复申请请求进行初审,该初审主要验证用户个人身份信息,包括用户名字、用户证件,并验证所请求恢复的密钥的使用者是否是上述用户。
[0025]步骤3、当上述用户终端的密钥恢复申请符合条件,初审合格后,RA受理点将上述用户终端的密钥恢复申请发送到RA中心;如果上述用户终端的密钥恢复申请初审不合格,则给予拒绝;
[0026]步骤4、RA中心对上述用户终端的密钥恢复申请进行审核,该审核主要审核上述用户是否是合法用户,以及该RA受理点是否有权限提交该用户的密钥恢复申请请求,即该用户是否归该RA受理点管理。
[0027]步骤5、当上述用户终端的密钥恢复申请符合条件,审核合格后,RA中心的管理员根据上述密钥恢复申请表和用户相关信息向CA发送上述用户的证书密钥恢复请求;如果上述用户终端的密钥恢复申请审核不合格,则给予拒绝;
[0028]步骤6、CA收到上述用户的证书密钥恢复请求后,存储上述用户的证书密钥恢复申请的相关信息,其中包括上述密钥恢复申请表和用户相关信息;
[0029]步骤7、CA根据存储的上述用户的证书密钥恢复申请的相关信息组织密钥恢复服务请求,并对上述用户的数字证书进行扩展。
[0030]数字证书的扩展选项主要用于写入该数字证书在实际应用时所需要的数据信息,它具有很好的灵活性,在实际应用中,数字证书使用的具体业务可以根据需要向CA签发机构注册扩展选项。每一种扩展选项包括三个字段:类型、可否缺省、值,其中,类型字段定义了扩展值字段中的数据类型,这个类型可以是简单的字符串,数值,日期,图片或一个复杂的数据类型;可否缺省字段是一比特标识位。当扩展标识为不可缺省时,说明相应的扩展值非常重要,应用程序不能忽略这个信息。如果使用数字证书的应用程序不能处理该字段的内容,就应该拒绝此数字证书;扩展值字段包含了这个扩展实际的数据,由使用数字证书的应用程序来读取使用。
[0031]上述密钥恢复服务请求中包括协议版本、服务请求标识符、CA标识符、数字证书的扩展选项和请求信息的签名,在数字证书的扩展选项中加入用户密钥恢复信息,该用户密钥恢复信息中包括用户恢复时间requestTime、恢复申请事由requestReason、恢复次数requestList 等信息。
[0032]上述数字证书的扩展选项的格式如下:
[0033]ReqProofValue = Sign{reqType| |requestList| |requestTime | |requestReasoη};
[0034]步骤8、CA将上述密钥恢复服务请求发送到密钥管理中心;
[0035]步骤9、密钥管理中心接收CA发送的上述密钥恢复服务请求,检查确定该密钥恢复服务请求的合法性;
[0036]步骤10、若检查上述密钥恢复服务请求不合法,则密钥管理中心对该密钥恢复服务请求给予拒绝;若检查上述密钥恢复服务请求合法,则密钥管理中心执行下一个步骤。
[0037]步骤11、密钥管理中心接着解析上述密钥恢复服务请求,获取用户信息和用户恢复时间、恢复申请事由、恢复次数等信息。根据解析得到的用户信息通过密钥恢复模块恢复该用户的加密密钥对,其中包括私钥和公钥,对私钥进行数字信封处理并返回给CA,同时,还返回用户公钥等信息给CA中心。
[0038]密钥管理中心将上述用户密钥恢复信息(包括用户恢复时间、恢复申请事由、恢复次数)和用户密钥对信息关联存入数据库,为后续管理员查询、审计、司法取证等业务提供服务。
[0039]步骤12、CA对上述密钥管理中心返回的数字信封解封,获取上述密钥管理中心返回的用户的加密密钥对中的私钥和公钥信息,根据该加密密钥对中的私钥和公钥信息组织并签发用户证书,在用户证书的扩展选项中加入本次密钥恢复的相关记录信息,其中包括:用户恢复时间、恢复申请事由、恢复次数信息。
[0040]同时CA将签发的用户证书信息与之前存储的上述用户的证书密钥恢复申请的相关信息关联,存入数据库,为日志审计、证书管理、司法取证等业务提供服务。
[0041]步骤13、CA对签发的用户证书信息进行数字信封处理后,通过SSL (SecureSockets Layer,安全套接层)安全加密通道发送到RA中心;
[0042]步骤14、RA中心通过对数字信封解封恢复出上述用户证书,将该恢复的用户证书信息下载到用户的密钥存储介质中,完成一次用户密钥恢复流程。
[0043]实施例二
[0044]该实施例提供的一种对用户加密密钥恢复进行管理的系统的结构示意图如图2所示,包括:
[0045]认证中心21,用于接收证书注册中心发送的用户证书密钥恢复请求,在用户证书的扩展选项中加入恢复申请事由信息,向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求;
[0046]密钥管理中心22,用于对所述认证中心发送过来的密钥恢复请求进行解析,获取用户信息和恢复申请事由,根据所述用户信息恢复用户的加密密钥对,将所述恢复申请事由和加密密钥对进行关联保存,并将所述加密密钥对返回给所述认证中心。
[0047]进一步地,所述系统还可以包括:
[0048]证书注册中心受理点23,用于接收用户的用户终端发送的密钥恢复申请,该密钥恢复申请中包含密钥恢复申请表和用户相关信息,所述密钥恢复申请表中包含用户恢复时间、恢复申请事由、恢复次数信息,对所述密钥恢复申请请求进行初审,在初审合格后,将所述密钥恢复申请发送到证书注册中心;
[0049]证书注册中心24,用于对所述证书注册中心受理点发送的密钥恢复申请进行审核,在审核合格后,根据所述密钥恢复申请表和用户相关信息向认证中心发送所述用户的证书密钥恢复请求。
[0050]具体的,所述的认证中心21,还用于收到所述证书密钥恢复请求后,存储所述密钥恢复申请表和用户相关信息;
[0051]根据存储的所述密钥恢复申请表和用户相关信息组织密钥恢复服务请求,该密钥恢复服务请求中包括协议版本、服务请求标识符、认证中心标识符、数字证书的扩展选项和请求信息的签名,在所述数字证书的扩展选项中加入用户恢复时间、恢复申请事由、恢复次数信息;
[0052]将所述密钥恢复服务请求发送到密钥管理中心。
[0053]具体的,所述的密钥管理中心22,还用于接收到所述密钥恢复服务请求后,检查确定所述密钥恢复服务请求的合法性,在检查确定所述密钥恢复服务请求合法后,解析所述密钥恢复服务请求,获取用户信息和用户恢复时间、恢复申请事由、恢复次数信息;
[0054]根据解析得到的用户信息恢复出所述用户的包括私钥和公钥的加密密钥对,将所述用户的加密密钥对和所述用户恢复时间、恢复申请事由、恢复次数信息进行关联存储;
[0055]对所述私钥进行数字信封处理后,将所述私钥和公钥发送给所述认证中心。
[0056]具体的,所述的认证中心21,还用于对所述密钥管理中心返回的数字信封解封,获取所述密钥管理中心返回的用户的加密密钥对,根据该加密密钥对组织并签发用户证书,在用户证书的扩展选项中加入本次密钥恢复的相关记录信息,该相关记录信息包括:用户恢复时间、恢复申请事由、恢复次数信息;
[0057]将签发的用户证书信息与之前存储的所述用户恢复时间、恢复申请事由、恢复次数信息进行关联;
[0058]对签发的用户证书信息进行数字信封处理后,通过安全加密通道发送到证书注册中心;
[0059]具体的,所述的证书注册中心24,还用于对所述认证中心返回的数字信封解封,恢复出所述用户证书,将恢复的用户证书信息下载到用户的密钥存储介质中,完成一次用户密钥恢复流程。
[0060]用本发明实施例的系统进行对用户加密密钥恢复进行管理的具体过程与前述方法实施例类似,此处不再赘述。
[0061]本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0062]本领域普通技术人员可以理解:实施例中的设备中的模块可以按照实施例描述分布于实施例的设备中,也可以进行相应变化位于不同于本实施例的一个或多个设备中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0063]综上所述,本发明实施例通过CA将用户密钥恢复信息(包括用户恢复时间、恢复申请事由、恢复次数信息)引入到用户证书的扩展选项中,扩展CA与密钥管理中心的通信协议,可以实现让密钥管理中心获取更完善的密钥恢复申请信息,并在密钥管理中心的数据库中增加密钥恢复日志记录。实现了密钥管理中心对用户加密密钥恢复进行有效管理、识另|J,并可以根据用户证书信息对密钥恢复事件进行追溯,保障用户密钥恢复流程的安全性和高效的可管理性,对PKI体系的安全管理进行有效的补充和优化。同时也可以为后续的日志审计、证书管理、司法取证等业务提供服务。
[0064]本发明实施例中,在CA数据库中对恢复的用户证书与用户密钥恢复信息相关联,并存储用户密钥恢复相关日志信息,可以实现CA对于用户密钥恢复流程均没有进行恢复控制和限制,有利于KM系统为多个CA提供服务。
[0065]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【权利要求】
1.一种对用户加密密钥恢复进行管理的方法,其特征在于,包括: 认证中心接收到证书注册中心发送的用户证书密钥恢复请求,所述认证中心在用户证书的扩展选项中加入恢复申请事由信息,向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求; 所述密钥管理中心对所述密钥恢复请求信息进行解析,获取用户信息和恢复申请事由,根据所述用户信息恢复出用户的加密密钥对,将所述恢复申请事由和加密密钥对进行关联保存,并将所述加密密钥对返回给所述认证中心。
2.根据权利要求1所述的对用户加密密钥恢复进行管理的方法,其特征在于,所述认证中心接收到证书注册中心发送的用户证书密钥恢复请求之前,还包括: 用户的用户终端向证书注册中心受理点提交密钥恢复申请,该密钥恢复申请中包含密钥恢复申请表和用户相关信息,上述密钥恢复申请表中包含用户恢复时间、恢复申请事由、恢复次数信息; 所述证书注册中心受理点对所述密钥恢复申请请求进行初审,在初审合格后,所述证书注册中心受理点将所述密钥恢复申请发送到证书注册中心,该证书注册中心对所述密钥恢复申请进行审核; 在审核合格后,所述证书注册中心根据所述密钥恢复申请表和用户相关信息向认证中心发送所述用户的证书密钥恢复请求。
3.根据权利要求1所述的对用户加密密钥恢复进行管理的方法,其特征在于,所述的认证中心在用户证书的扩展选项中加入恢复申请事由信息,向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求,包括: 认证中心收到所述证书密钥恢复请求后,存储所述密钥恢复申请表和用户相关信息; 所述认证中心根据存储的所述密钥恢复申请表和用户相关信息组织密钥恢复服务请求,该密钥恢复服务请求中包括协议版本、服务请求标识符、认证中心标识符、数字证书的扩展选项和请求信息的签名,在所述数字证书的扩展选项中加入用户恢复时间、恢复申请事由、恢复次数信息; 所述认证中心将所述密钥恢复服务请求发送到密钥管理中心。
4.根据权利要求1或2或3所述的对用户加密密钥恢复进行管理的方法,其特征在于,所述的将所述恢复申请事由和加密密钥对进行关联保存,并将所述加密密钥对返回给所述认证中心,包括: 所述密钥管理中心接收到所述密钥恢复服务请求后,检查确定所述密钥恢复服务请求的合法性,在检查确定所述密钥恢复服务请求合法后,所述密钥管理中心解析所述密钥恢复服务请求,获取用户信息和用户恢复时间、恢复申请事由、恢复次数信息; 所述密钥管理中心根据解析得到的用户信息恢复出所述用户的包括私钥和公钥的加密密钥对,将所述用户的加密密钥对和所述用户恢复时间、恢复申请事由、恢复次数信息进行关联存储; 所述密钥管理中心对所述私钥进行数字信封处理后,将所述私钥和公钥发送给所述认证中心。
5.根据权利要求4所述的对用户加密密钥恢复进行管理的方法,其特征在于,所述的方法还包括:认证中心对所述密钥管理中心返回的数字信封解封,获取所述密钥管理中心返回的用户的加密密钥对,根据该加密密钥对组织并签发用户证书,在用户证书的扩展选项中加入本次密钥恢复的相关记录信息,该相关记录信息包括:用户恢复时间、恢复申请事由、恢复次数信息; 所述认证中心将签发的用户证书信息与之前存储的所述用户恢复时间、恢复申请事由、恢复次数信息进行关联; 所述认证中心对签发的用户证书信息进行数字信封处理后,通过安全加密通道发送到证书注册中心,所述证书注册中心对所述认证中心返回的数字信封解封,恢复出所述用户证书,将恢复的用户证书信息下载到用户的密钥存储介质中,完成一次用户密钥恢复流程。
6.一种对用户加密密钥恢复进行管理的系统,其特征在于,包括: 认证中心,用于接收证书注册中心发送的用户证书密钥恢复请求,在用户证书的扩展选项中加入恢复申请事由信息,向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求; 密钥管理中心,用于对所述认证中心发送过来的密钥恢复请求进行解析,获取用户信息和恢复申请事由,根据所述用户信息恢复出用户的加密密钥对,将所述恢复申请事由和加密密钥对进行关联保存,并将所述加密密钥对返回给所述认证中心。
7.根据权利要求6所述的对用户加密密钥恢复进行管理的系统,其特征在于,所述系统还包括: 证书注册中心受理点,用于接收用户的用户终端发送的密钥恢复申请,该密钥恢复申请中包含密钥恢复申请表和用户相关信息,所述密钥恢复申请表中包含用户恢复时间、恢复申请事由、恢复次数信息,对所述密钥恢复申请请求进行初审,在初审合格后,将所述密钥恢复申请发送到证书注册中心; 证书注册中心,用于对所述证书注册中心受理点发送的密钥恢复申请进行审核,在审核合格后,根据所述密钥恢复申请表和用户相关信息向认证中心发送所述用户的证书密钥恢复请求。
8.根据权利要求6所述的对用户加密密钥恢复进行管理的系统,其特征在于: 所述的认证中心,还用于收到所述证书密钥恢复请求后,存储所述密钥恢复申请表和用户相关信息; 根据存储的所述密钥恢复申请表和用户相关信息组织密钥恢复服务请求,该密钥恢复服务请求中包括协议版本、服务请求标识符、认证中心标识符、数字证书的扩展选项和请求信息的签名,在所述数字证书的扩展选项中加入用户恢复时间、恢复申请事由、恢复次数信息; 将所述密钥恢复服务请求发送到密钥管理中心。
9.根据权利要求6或7或8所述的对用户加密密钥恢复进行管理的系统,其特征在于: 所述的密钥管理中心,还用于接收到所述密钥恢复服务请求后,检查确定所述密钥恢复服务请求的合法性,在检查确定所述密钥恢复服务请求合法后,解析所述密钥恢复服务请求,获取用户信息和用户恢复时间、恢复申请事由、恢复次数信息; 根据解析得到的用户信息恢复出所述用户的包括私钥和公钥的加密密钥对,将所述用户的加密密钥对和所述用户恢复时间、恢复申请事由、恢复次数信息进行关联存储;对所述私钥进行数字信封处理后,将所述私钥和公钥发送给所述认证中心。
10.根据权利要求9所述的对用户加密密钥恢复进行管理的系统,其特征在于: 所述的认证中心,还用于对所述密钥管理中心返回的数字信封解封,获取所述密钥管理中心返回的用户的加密密钥对,根据该加密密钥对组织并签发用户证书,在用户证书的扩展选项中加入本次密钥恢复的相关记录信息,该相关记录信息包括:用户恢复时间、恢复申请事由、恢复次数信息; 将签发的用户证书信息与之前存储的所述用户恢复时间、恢复申请事由、恢复次数信息进行关联; 对签发的用户证书信息进行数字信封处理后,通过安全加密通道发送到证书注册中心; 所述证书注册中心,还用于对所述认证中心返回的数字信封解封,恢复出所述用户证书,将恢复的 用户证书信息下载到用户的密钥存储介质中,完成一次用户密钥恢复流程。
【文档编号】H04L29/06GK103916237SQ201210591471
【公开日】2014年7月9日 申请日期:2012年12月30日 优先权日:2012年12月30日
【发明者】林文辉, 耿方, 郭向国, 杜悦琨 申请人:航天信息股份有限公司