一种cpk用户id卡生成机的设计与实现方法

一种cpk用户id卡生成机的设计与实现方法
【专利摘要】本发明公开了一种CPK用户ID卡生成机的设计与实现方法，其中，该系统包括：第一级密钥管理模块，用于为空白的用户卡配置与公网证书相关的第一部分元素信息，第一部分元素信息包括用户卡标识信息；第二级密钥管理模块，用于为用户卡配置与公网证书相关的第二部分元素信息；私钥申请模块，用于在检测到用户卡的接入时，生成携带有用户卡标识信息和私钥申请信息的请求消息；第一级密钥管理模块，还用于在接收到请求消息时，根据用户卡标识信息和私钥申请信息生成用户卡的实体私钥，以及，将用户卡的实体私钥分发到用户卡中。本发明提出一种安全管理系统和一种为用户卡分发密钥的方法，能实现实体私钥的生成和分发。
【专利说明】-种CPK用户ID卡生成机的设计与实现方法

【技术领域】
[0001] 本发明涉及安全管理【技术领域】，特别涉及一种安全管理系统和一种为用户卡分发 密钥的方法。

【背景技术】
[0002] 在安全保密系统中的核心问题是密钥管理。公开密钥体制，只解决了密钥的生 成问题。1984年Shamir的基于身份的密码体制（Identity-based Crypto scheme)第 一次解决了将密钥生成与密钥分发作为整体管理的技术，但只解决了数字签名中的密钥 管理，没有解决密钥传递中的密钥管理问题。2001年F/W两位学者提出了基于身份加密 (Identity-based Encryption,也称为IBE)，解决了数据加密中的密钥管理，但没能解决数 字签名中的密钥管理问题。以上两个体制只能采用私钥的离线分发体制，不能采用在线分 发机制。因此，私钥的在线分发成为密钥管理的一大难题。
[0003] 在线密钥分发体制，最早由Diff ie和Helman提出，这就是著名的D-Η密钥交换协 议，它以双向密钥交换的方式建立会话密钥（session key)，回避了建立秘密通道的难题， 但是易受"中间人（man-in-theniddle) "攻击。
[0004] 新型网络技术的发展，特别是超大型网络的发展，如互联网，物联网，视联网，数字 家庭，智慧城市等，规模越大，系统越复杂，对密钥管理的自动化要求就越高。


【发明内容】

[0005] 本发明要解决的技术问题在于提供一种能够可自动进行密钥管理的安全管理系 统和一种为用户卡分发密钥的方法。
[0006] 本发明的技术方案是这样实现的：
[0007] 根据本发明的一个方面，提供了 一种安全管理系统。
[0008] 该安全管理系统包括：
[0009] 第一级密钥管理模块，用于为空白的用户卡配置与公网证书相关的第一部分元素 信息，第一部分元素信息包括用户卡标识信息；
[0010] 第二级密钥管理模块，用于为用户卡配置与公网证书相关的第二部分元素信息；
[0011] 私钥申请模块，用于在检测到用户卡的接入时，生成携带有用户卡标识信息和私 钥申请息的请求消息；
[0012] 第一级密钥管理模块，还用于在接收到请求消息时，根据用户卡标识信息和私钥 申请信息生成用户卡的实体私钥，以及，将用户卡的实体私钥分发到用户卡中。
[0013] 根据本发明的另一个方面，提供了 一种安全管理系统。
[0014] 该安全管理系统包括：
[0015] 第一级密钥管理模块和第一级密钥管理卡，第一级密钥管理卡中配置有多个元素 信息，第一级密钥管理模块基于第一级密钥管理卡进入第一密钥管理平台；
[0016] 第二级密钥管理模块和第二级密钥管理卡，第二级密钥管理卡中配置有多个元素 信息；
[0017] 第二级密钥管理模块，用于基于第二级密钥管理卡进入第二密钥管理平台，通过 第二密钥管理平台为用户卡配置用户卡标识信息，并且根据预设定的规则将第二级密钥管 理卡中的部分或全部元素信息分别移植到一个或多个用户卡中；
[0018] 私钥申请模块，用于在检测到一个用户卡的接入时，生成携带有用户卡标识信息 和私钥申请信息的请求消息；
[0019] 第一级密钥管理模块，用于在接收到请求消息时，根据用户卡标识信息和私钥申 请信息生成相应的用户卡的实体私钥，以及，将实体私钥分发到相应的用户卡中。
[0020] 根据本发明的又一个方面，提供了一种为用户卡分发密钥的方法。该方法包括：
[0021] 通过第一级密钥管理模块为用户卡配置与与公网证书相关的第一部分元素信息， 第一部分元素信息包括用户卡标识信息；
[0022] 通过第二级密钥管理模块为用户卡配置与公网证书相关的第二部分元素信息；
[0023] 在检测到用户卡的接入时，生成携带有用户卡标识信息和私钥申请信息的请求消 息并发送给第一级密钥管理模块；
[0024] 通过第一级密钥管理模块基于请求消息生成用户卡的实体私钥，并且将用户卡的 实体私钥分发到用户卡。
[0025] 根据本发明的又一个方面，提供了一种为用户卡分发密钥的方法。该方法包括：
[0026] 通过第二密钥管理平台为用户卡配置用户卡标识信息；
[0027] 通过第二密钥管理平台基于预设定的规则将第二级密钥管理卡中的部分或全部 元素信息分别移植到一个或多个用户卡中；
[0028] 在检测到一个用户卡的接入时，生成携带有用户卡标识信息和私钥申请信息的请 求消息并发送给第一级密钥管理模块；
[0029] 通过第一级密钥管理模块基于请求消息生成相应的用户卡的实体私钥，并且将实 体私钥分发到相应的用户卡中。
[0030] 本发明提出一种安全管理系统和一种为用户卡分发密钥的方法，能够通过两个密 钥管理模块为用户卡所配置的信息，然后根据私钥申请模块的请求消息生成用户卡的实体 私钥并将其分发到用户卡中，从而实现体私钥的生成和分发。

【专利附图】

【附图说明】
[0031] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所 需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施 例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获 得其他的附图。
[0032] 图1是根据本发明一实施例的安全管理系统的结构示意图；
[0033] 图2是根据本发明另一实施例的安全管理系统的结构示意图；
[0034] 图3是根据本发明一实施例的为用户卡分发密钥的方法的流程示意图。
[0035] 图4是根据本发明另一实施例的为用户卡分发密钥的方法的流程示意图。

【具体实施方式】
[0036] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本发明保护的 范围。
[0037] 组合公钥（Combined Public Key, CPK)是一种基于标识的公钥体制，只要提供标 识就能生成私钥和公钥。现有标识获取有两种情况：一是不能自动获取的场合，如标识由用 户自行定义的场合，只能采用"当面"现场分发的形式，即先报标识，如姓名等，然后才能生 成私钥分发；另一种情形是标识可自动扫描的场合，如手机中的SIM卡，可自动提供电话号 码，并将电话号码作为本手机的标识；又如银行信用卡、借贷卡系统中，卡本身可以自动提 供账号，账号就是本卡的标识。针对这两种情况，本发明提供了不仅能够"当面"分发密钥 给用户卡，而且还能够网上"远程"分发密钥给用户卡的技术方案。
[0038] 图1示出了根据本发明实施例的提供了一种安全管理系统的结构示意图。如图 1所示，本发明实施例的安全管理系统包括：第一级密钥管理模块10,用于为空白的用户卡 配置与公网证书相关的第一部分元素信息，第一部分元素信息包括用户卡标识信息。第二 级密钥管理模块20,用于为用户卡配置与公网证书相关的第二部分元素信息。
[0039] 在本发明实施例中，安全管理系统还包括私钥申请模块30,用于在检测到用户卡 的接入时，生成携带有用户卡标识信息和私钥申请信息的请求消息。
[0040] 第一级密钥管理模块10,还用于在接收到请求消息时，根据用户卡标识信息和私 钥申请信息生成用户卡的实体私钥，以及，将用户卡的实体私钥分发到用户卡中。
[0041] 在本发明实施例中，空白的用户卡可通过安全管理系统配置需要的元素信息，这 样的用户卡即可发给或销售给客户。当用户通过该用户卡接入到安全管理系统时，私钥申 请模块30会检测该用户卡是否已分配有私钥，如果没有分配，则生成并发送携带有用户卡 标识信息和私钥申请信息的请求消息给第一级密钥管理模块10。第一级密钥管理模块10 在接收到请求消息时，为该用户卡生成实体私钥，并分发给用户卡。
[0042] 在另一可选实施例中，安全管理系统还包括：第一级密钥管理卡12,第一级密钥 管理卡中配置有多个元素信息，元素信息可以包括管理卡标识信息和私钥矩阵。第一级密 钥管理模块10,进一步用于基于第一级密钥管理卡12进入第一密钥管理平台，以及，通过 第一密钥管理平台利用第一级密钥管理卡12中携带的私钥矩阵为用户卡生成实体私钥。 [0043] 其中，第一级密钥管理卡的元素信息还包括用于登录第一管理平台的管理私钥信 肩、。
[0044] 在本发明一可选实施例中，第一级密钥管理卡lM-card的元素信息的格式协议如 表1所示：
[0045] 表 1

【权利要求】
1. 一种安全管理系统，包括： 第一级密钥管理模块，用于为空白的用户卡配置与公网证书相关的第一部分元素信 息，所述第一部分元素信息包括用户卡标识信息； 第二级密钥管理模块，用于为所述用户卡配置与所述公网证书相关的第二部分元素信 息； 私钥申请模块，用于在检测到所述用户卡的接入时，生成携带有所述用户卡标识信息 和私钥申请信息的请求消息； 所述第一级密钥管理模块，还用于在接收到所述请求消息时，根据所述用户卡标识信 息和私钥申请信息生成所述用户卡的实体私钥，以及，将所述用户卡的实体私钥分发到所 述用户卡中。
2. 根据权利要求1的安全管理系统，其特征在于，所述系统还包括： 第一级密钥管理卡，所述第一级密钥管理卡中配置有多个元素信息，所述元素信息包 括管理卡标识信息和私钥矩阵； 所述第一级密钥管理模块，进一步用于基于所述第一级密钥管理卡进入第一密钥管理 平台，以及，通过第一密钥管理平台利用所述第一级密钥管理卡中携带的私钥矩阵为所述 用户卡生成所述实体私钥。
3. 根据权利要求2所述的安全管理系统，其特征在于： 所述第一级密钥管理卡的元素信息还包括用于登录第一密钥管理平台的管理信息，包 括第一验证参数和第二验证参数。
4. 根据权利要求1所述的安全管理系统，其特征在于，所述系统还包括： 第二级密钥管理卡，所述第二级密钥管理卡中配置有多个元素信息，该多个元素信息 包括管理卡标识信息和计数器标识信息； 所述第二级密钥管理模块，进一步用于基于所述第二级密钥管理卡进入第二密钥管理 平台，以及，根据所述计数器标识信息利用计数器计数所述第二级密钥管理平台为所述用 户卡配置的元素信息的个数。
5. 根据权利要求4所述的安全管理系统，其特征在于，所示系统还包括： 所述第二级密钥管理卡，还配置有与专用网络证书相关的元素信息； 专网密钥管理模块，还用于根据所述与专用网络证书相关的元素信息中的一个或多个 通过专用网络进入专网密钥管理平台，以及，通过专网密钥管理平台为所述用户卡配置与 专用网络证书相关的元素信息。
6. 根据权利要求5的安全管理系统，其特征在于： 所述第一级密钥管理模块，还用于为至少一个第二级密钥管理卡配置元素信息；或者， 所述专用密钥管理模块被配置为与所述第二级密钥管理模块集成在一起。
7. 根据权利要求2或4所述的安全管理系统，其特征在于： 所述第一级密钥管理模块为所述用户卡配置的第一部分元素信息还包括用户卡标识 私钥和公钥矩阵； 所述第一级密钥管理模块和所述第一用户卡利用所述用户卡标识私钥和所述公钥矩 阵构建的专用秘密通道进行通信。
8. -种安全管理系统，包括： 第一级密钥管理模块和第一级密钥管理卡，所述第一级密钥管理卡中配置有多个元素 信息，所述第一级密钥管理模块基于所述第一级密钥管理卡进入第一密钥管理平台； 第二级密钥管理模块和第二级密钥管理卡，所述第二级密钥管理卡中配置有多个元素 信息； 所述第二级密钥管理模块，用于基于所述第二级密钥管理卡进入第二密钥管理平台， 通过所述第二密钥管理平台为用户卡配置用户卡标识信息，并且根据预设定的规则将所述 第二级密钥管理卡中的部分或全部元素信息分别移植到一个或多个用户卡中； 私钥申请模块，用于在检测到一个用户卡的接入时，生成携带有所述用户卡标识信息 和私钥申请信息的请求消息； 所述第一级密钥管理模块，用于在接收到请求消息时，根据所述用户卡标识信息和私 钥申请信息生成相应的用户卡的实体私钥，以及，将所述实体私钥分发到相应的用户卡中。
9. 根据权利要求8的安全管理系统，其特征在于： 所述第一级密钥管理模块，还用于为至少一个第二级密钥管理卡配置元素信息； 所述第二级密钥管理模块通过输入输出接口与所述第二级密钥管理卡进行数据通信。
10. -种为用户卡分发密钥的方法，包括： 通过第一级密钥管理模块为用户卡配置与与公网证书相关的第一部分元素信息，所述 第一部分元素信息包括用户卡标识信息； 通过第二级密钥管理模块为所述用户卡配置与所述公网证书相关的第二部分元素信 息； 在检测到所述用户卡的接入时，生成携带有所述用户卡标识信息和私钥申请信息的请 求消息并发送给所述第一级密钥管理模块； 通过所述第一级密钥管理模块基于所述请求消息生成所述用户卡的实体私钥，并且将 所述用户卡的实体私钥分发到所述用户卡。
11. 一种为用户卡分发密钥的方法，包括： 通过第二密钥管理平台为用户卡配置用户卡标识信息； 通过所述第二密钥管理平台基于预设定的规则将第二级密钥管理卡中的部分或全部 元素信息分别移植到一个或多个用户卡中； 在检测到一个用户卡的接入时，生成携带有所述用户卡标识信息和私钥申请信息的请 求消息并发送给第一级密钥管理模块； 通过第一级密钥管理模块基于所述请求消息生成相应的用户卡的实体私钥，并且将所 述实体私钥分发到相应的用户卡中。
【文档编号】H04L9/30GK104065477SQ201310090544
【公开日】2014年9月24日 申请日期:2013年3月20日 优先权日:2013年3月20日
【发明者】南相浩 申请人:东方斯泰克信息技术研究院（北京）有限公司