一種cpk用戶id卡生成機的設計與實現方法

一種cpk用戶id卡生成機的設計與實現方法
【專利摘要】本發明公開了一種CPK用戶ID卡生成機的設計與實現方法，其中，該系統包括：第一級密鑰管理模塊，用于為空白的用戶卡配置與公網證書相關的第一部分元素信息，第一部分元素信息包括用戶卡標識信息；第二級密鑰管理模塊，用于為用戶卡配置與公網證書相關的第二部分元素信息；私鑰申請模塊，用于在檢測到用戶卡的接入時，生成攜帶有用戶卡標識信息和私鑰申請信息的請求消息；第一級密鑰管理模塊，還用于在接收到請求消息時，根據用戶卡標識信息和私鑰申請信息生成用戶卡的實體私鑰，以及，將用戶卡的實體私鑰分發到用戶卡中。本發明提出一種安全管理系統和一種為用戶卡分發密鑰的方法，能實現實體私鑰的生成和分發。
【專利說明】-種CPK用戶ID卡生成機的設計與實現方法

【技術領域】
[0001] 本發明涉及安全管理【技術領域】，特別涉及一種安全管理系統和一種為用戶卡分發 密鑰的方法。

【背景技術】
[0002] 在安全保密系統中的核心問題是密鑰管理。公開密鑰體制，只解決了密鑰的生 成問題。1984年Shamir的基于身份的密碼體制（Identity-based Crypto scheme)第 一次解決了將密鑰生成與密鑰分發作為整體管理的技術，但只解決了數字簽名中的密鑰 管理，沒有解決密鑰傳遞中的密鑰管理問題。2001年F/W兩位學者提出了基于身份加密 (Identity-based Encryption,也稱為IBE)，解決了數據加密中的密鑰管理，但沒能解決數 字簽名中的密鑰管理問題。以上兩個體制只能采用私鑰的離線分發體制，不能采用在線分 發機制。因此，私鑰的在線分發成為密鑰管理的一大難題。
[0003] 在線密鑰分發體制，最早由Diff ie和Helman提出，這就是著名的D-Η密鑰交換協 議，它以雙向密鑰交換的方式建立會話密鑰（session key)，回避了建立秘密通道的難題， 但是易受"中間人（man-in-theniddle) "攻擊。
[0004] 新型網絡技術的發展，特別是超大型網絡的發展，如互聯網，物聯網，視聯網，數字 家庭，智慧城市等，規模越大，系統越復雜，對密鑰管理的自動化要求就越高。


【發明內容】

[0005] 本發明要解決的技術問題在于提供一種能夠可自動進行密鑰管理的安全管理系 統和一種為用戶卡分發密鑰的方法。
[0006] 本發明的技術方案是這樣實現的：
[0007] 根據本發明的一個方面，提供了 一種安全管理系統。
[0008] 該安全管理系統包括：
[0009] 第一級密鑰管理模塊，用于為空白的用戶卡配置與公網證書相關的第一部分元素 信息，第一部分元素信息包括用戶卡標識信息；
[0010] 第二級密鑰管理模塊，用于為用戶卡配置與公網證書相關的第二部分元素信息；
[0011] 私鑰申請模塊，用于在檢測到用戶卡的接入時，生成攜帶有用戶卡標識信息和私 鑰申請息的請求消息；
[0012] 第一級密鑰管理模塊，還用于在接收到請求消息時，根據用戶卡標識信息和私鑰 申請信息生成用戶卡的實體私鑰，以及，將用戶卡的實體私鑰分發到用戶卡中。
[0013] 根據本發明的另一個方面，提供了 一種安全管理系統。
[0014] 該安全管理系統包括：
[0015] 第一級密鑰管理模塊和第一級密鑰管理卡，第一級密鑰管理卡中配置有多個元素 信息，第一級密鑰管理模塊基于第一級密鑰管理卡進入第一密鑰管理平臺；
[0016] 第二級密鑰管理模塊和第二級密鑰管理卡，第二級密鑰管理卡中配置有多個元素 信息；
[0017] 第二級密鑰管理模塊，用于基于第二級密鑰管理卡進入第二密鑰管理平臺，通過 第二密鑰管理平臺為用戶卡配置用戶卡標識信息，并且根據預設定的規則將第二級密鑰管 理卡中的部分或全部元素信息分別移植到一個或多個用戶卡中；
[0018] 私鑰申請模塊，用于在檢測到一個用戶卡的接入時，生成攜帶有用戶卡標識信息 和私鑰申請信息的請求消息；
[0019] 第一級密鑰管理模塊，用于在接收到請求消息時，根據用戶卡標識信息和私鑰申 請信息生成相應的用戶卡的實體私鑰，以及，將實體私鑰分發到相應的用戶卡中。
[0020] 根據本發明的又一個方面，提供了一種為用戶卡分發密鑰的方法。該方法包括：
[0021] 通過第一級密鑰管理模塊為用戶卡配置與與公網證書相關的第一部分元素信息， 第一部分元素信息包括用戶卡標識信息；
[0022] 通過第二級密鑰管理模塊為用戶卡配置與公網證書相關的第二部分元素信息；
[0023] 在檢測到用戶卡的接入時，生成攜帶有用戶卡標識信息和私鑰申請信息的請求消 息并發送給第一級密鑰管理模塊；
[0024] 通過第一級密鑰管理模塊基于請求消息生成用戶卡的實體私鑰，并且將用戶卡的 實體私鑰分發到用戶卡。
[0025] 根據本發明的又一個方面，提供了一種為用戶卡分發密鑰的方法。該方法包括：
[0026] 通過第二密鑰管理平臺為用戶卡配置用戶卡標識信息；
[0027] 通過第二密鑰管理平臺基于預設定的規則將第二級密鑰管理卡中的部分或全部 元素信息分別移植到一個或多個用戶卡中；
[0028] 在檢測到一個用戶卡的接入時，生成攜帶有用戶卡標識信息和私鑰申請信息的請 求消息并發送給第一級密鑰管理模塊；
[0029] 通過第一級密鑰管理模塊基于請求消息生成相應的用戶卡的實體私鑰，并且將實 體私鑰分發到相應的用戶卡中。
[0030] 本發明提出一種安全管理系統和一種為用戶卡分發密鑰的方法，能夠通過兩個密 鑰管理模塊為用戶卡所配置的信息，然后根據私鑰申請模塊的請求消息生成用戶卡的實體 私鑰并將其分發到用戶卡中，從而實現體私鑰的生成和分發。

【專利附圖】

【附圖說明】
[0031] 為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例中所 需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施 例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲 得其他的附圖。
[0032] 圖1是根據本發明一實施例的安全管理系統的結構示意圖；
[0033] 圖2是根據本發明另一實施例的安全管理系統的結構示意圖；
[0034] 圖3是根據本發明一實施例的為用戶卡分發密鑰的方法的流程示意圖。
[0035] 圖4是根據本發明另一實施例的為用戶卡分發密鑰的方法的流程示意圖。

【具體實施方式】
[0036] 下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完 整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于 本發明中的實施例，本領域普通技術人員所獲得的所有其他實施例，都屬于本發明保護的 范圍。
[0037] 組合公鑰（Combined Public Key, CPK)是一種基于標識的公鑰體制，只要提供標 識就能生成私鑰和公鑰。現有標識獲取有兩種情況：一是不能自動獲取的場合，如標識由用 戶自行定義的場合，只能采用"當面"現場分發的形式，即先報標識，如姓名等，然后才能生 成私鑰分發；另一種情形是標識可自動掃描的場合，如手機中的SIM卡，可自動提供電話號 碼，并將電話號碼作為本手機的標識；又如銀行信用卡、借貸卡系統中，卡本身可以自動提 供賬號，賬號就是本卡的標識。針對這兩種情況，本發明提供了不僅能夠"當面"分發密鑰 給用戶卡，而且還能夠網上"遠程"分發密鑰給用戶卡的技術方案。
[0038] 圖1示出了根據本發明實施例的提供了一種安全管理系統的結構示意圖。如圖 1所示，本發明實施例的安全管理系統包括：第一級密鑰管理模塊10,用于為空白的用戶卡 配置與公網證書相關的第一部分元素信息，第一部分元素信息包括用戶卡標識信息。第二 級密鑰管理模塊20,用于為用戶卡配置與公網證書相關的第二部分元素信息。
[0039] 在本發明實施例中，安全管理系統還包括私鑰申請模塊30,用于在檢測到用戶卡 的接入時，生成攜帶有用戶卡標識信息和私鑰申請信息的請求消息。
[0040] 第一級密鑰管理模塊10,還用于在接收到請求消息時，根據用戶卡標識信息和私 鑰申請信息生成用戶卡的實體私鑰，以及，將用戶卡的實體私鑰分發到用戶卡中。
[0041] 在本發明實施例中，空白的用戶卡可通過安全管理系統配置需要的元素信息，這 樣的用戶卡即可發給或銷售給客戶。當用戶通過該用戶卡接入到安全管理系統時，私鑰申 請模塊30會檢測該用戶卡是否已分配有私鑰，如果沒有分配，則生成并發送攜帶有用戶卡 標識信息和私鑰申請信息的請求消息給第一級密鑰管理模塊10。第一級密鑰管理模塊10 在接收到請求消息時，為該用戶卡生成實體私鑰，并分發給用戶卡。
[0042] 在另一可選實施例中，安全管理系統還包括：第一級密鑰管理卡12,第一級密鑰 管理卡中配置有多個元素信息，元素信息可以包括管理卡標識信息和私鑰矩陣。第一級密 鑰管理模塊10,進一步用于基于第一級密鑰管理卡12進入第一密鑰管理平臺，以及，通過 第一密鑰管理平臺利用第一級密鑰管理卡12中攜帶的私鑰矩陣為用戶卡生成實體私鑰。 [0043] 其中，第一級密鑰管理卡的元素信息還包括用于登錄第一管理平臺的管理私鑰信 肩、。
[0044] 在本發明一可選實施例中，第一級密鑰管理卡lM-card的元素信息的格式協議如 表1所示：
[0045] 表 1

【權利要求】
1. 一種安全管理系統，包括： 第一級密鑰管理模塊，用于為空白的用戶卡配置與公網證書相關的第一部分元素信 息，所述第一部分元素信息包括用戶卡標識信息； 第二級密鑰管理模塊，用于為所述用戶卡配置與所述公網證書相關的第二部分元素信 息； 私鑰申請模塊，用于在檢測到所述用戶卡的接入時，生成攜帶有所述用戶卡標識信息 和私鑰申請信息的請求消息； 所述第一級密鑰管理模塊，還用于在接收到所述請求消息時，根據所述用戶卡標識信 息和私鑰申請信息生成所述用戶卡的實體私鑰，以及，將所述用戶卡的實體私鑰分發到所 述用戶卡中。
2. 根據權利要求1的安全管理系統，其特征在于，所述系統還包括： 第一級密鑰管理卡，所述第一級密鑰管理卡中配置有多個元素信息，所述元素信息包 括管理卡標識信息和私鑰矩陣； 所述第一級密鑰管理模塊，進一步用于基于所述第一級密鑰管理卡進入第一密鑰管理 平臺，以及，通過第一密鑰管理平臺利用所述第一級密鑰管理卡中攜帶的私鑰矩陣為所述 用戶卡生成所述實體私鑰。
3. 根據權利要求2所述的安全管理系統，其特征在于： 所述第一級密鑰管理卡的元素信息還包括用于登錄第一密鑰管理平臺的管理信息，包 括第一驗證參數和第二驗證參數。
4. 根據權利要求1所述的安全管理系統，其特征在于，所述系統還包括： 第二級密鑰管理卡，所述第二級密鑰管理卡中配置有多個元素信息，該多個元素信息 包括管理卡標識信息和計數器標識信息； 所述第二級密鑰管理模塊，進一步用于基于所述第二級密鑰管理卡進入第二密鑰管理 平臺，以及，根據所述計數器標識信息利用計數器計數所述第二級密鑰管理平臺為所述用 戶卡配置的元素信息的個數。
5. 根據權利要求4所述的安全管理系統，其特征在于，所示系統還包括： 所述第二級密鑰管理卡，還配置有與專用網絡證書相關的元素信息； 專網密鑰管理模塊，還用于根據所述與專用網絡證書相關的元素信息中的一個或多個 通過專用網絡進入專網密鑰管理平臺，以及，通過專網密鑰管理平臺為所述用戶卡配置與 專用網絡證書相關的元素信息。
6. 根據權利要求5的安全管理系統，其特征在于： 所述第一級密鑰管理模塊，還用于為至少一個第二級密鑰管理卡配置元素信息；或者， 所述專用密鑰管理模塊被配置為與所述第二級密鑰管理模塊集成在一起。
7. 根據權利要求2或4所述的安全管理系統，其特征在于： 所述第一級密鑰管理模塊為所述用戶卡配置的第一部分元素信息還包括用戶卡標識 私鑰和公鑰矩陣； 所述第一級密鑰管理模塊和所述第一用戶卡利用所述用戶卡標識私鑰和所述公鑰矩 陣構建的專用秘密通道進行通信。
8. -種安全管理系統，包括： 第一級密鑰管理模塊和第一級密鑰管理卡，所述第一級密鑰管理卡中配置有多個元素 信息，所述第一級密鑰管理模塊基于所述第一級密鑰管理卡進入第一密鑰管理平臺； 第二級密鑰管理模塊和第二級密鑰管理卡，所述第二級密鑰管理卡中配置有多個元素 信息； 所述第二級密鑰管理模塊，用于基于所述第二級密鑰管理卡進入第二密鑰管理平臺， 通過所述第二密鑰管理平臺為用戶卡配置用戶卡標識信息，并且根據預設定的規則將所述 第二級密鑰管理卡中的部分或全部元素信息分別移植到一個或多個用戶卡中； 私鑰申請模塊，用于在檢測到一個用戶卡的接入時，生成攜帶有所述用戶卡標識信息 和私鑰申請信息的請求消息； 所述第一級密鑰管理模塊，用于在接收到請求消息時，根據所述用戶卡標識信息和私 鑰申請信息生成相應的用戶卡的實體私鑰，以及，將所述實體私鑰分發到相應的用戶卡中。
9. 根據權利要求8的安全管理系統，其特征在于： 所述第一級密鑰管理模塊，還用于為至少一個第二級密鑰管理卡配置元素信息； 所述第二級密鑰管理模塊通過輸入輸出接口與所述第二級密鑰管理卡進行數據通信。
10. -種為用戶卡分發密鑰的方法，包括： 通過第一級密鑰管理模塊為用戶卡配置與與公網證書相關的第一部分元素信息，所述 第一部分元素信息包括用戶卡標識信息； 通過第二級密鑰管理模塊為所述用戶卡配置與所述公網證書相關的第二部分元素信 息； 在檢測到所述用戶卡的接入時，生成攜帶有所述用戶卡標識信息和私鑰申請信息的請 求消息并發送給所述第一級密鑰管理模塊； 通過所述第一級密鑰管理模塊基于所述請求消息生成所述用戶卡的實體私鑰，并且將 所述用戶卡的實體私鑰分發到所述用戶卡。
11. 一種為用戶卡分發密鑰的方法，包括： 通過第二密鑰管理平臺為用戶卡配置用戶卡標識信息； 通過所述第二密鑰管理平臺基于預設定的規則將第二級密鑰管理卡中的部分或全部 元素信息分別移植到一個或多個用戶卡中； 在檢測到一個用戶卡的接入時，生成攜帶有所述用戶卡標識信息和私鑰申請信息的請 求消息并發送給第一級密鑰管理模塊； 通過第一級密鑰管理模塊基于所述請求消息生成相應的用戶卡的實體私鑰，并且將所 述實體私鑰分發到相應的用戶卡中。
【文檔編號】H04L9/30GK104065477SQ201310090544
【公開日】2014年9月24日 申請日期:2013年3月20日 優先權日:2013年3月20日
【發明者】南相浩 申請人:東方斯泰克信息技術研究院（北京）有限公司