[发明专利]芯片卡的密钥管理系统及方法

权利要求书

1.一种芯片卡的密钥管理系统，其特征在于，用于根密钥的生成管理，包括：

多个数字证书存储介质，与所述根密钥对应的密钥分量数目一致，各所述数字证书存储介质上预先存储由第三方CA颁发的用于持有者身份标识的数字证书；

密钥管理单元，用于在所述数字证书存储介质访问时在所述数字证书存储介质内部随机生成对应的密钥分量，所述密钥分量为经数字信封加密后的密钥分量；

加密机，连接所述密钥管理单元，用于对经数字信封加密后的密钥分量进行解密获得密钥分量明文，并在接收到全部的密钥分量后生成所述根密钥。

2.根据权利要求1所述的芯片卡的密钥管理系统，其特征在于，

所述密钥管理单元还用于对所述数字证书存储介质进行注册登记及访问时的身份认证，以确保所述数字证书存储介质仅由授权本人登录。

3.根据权利要求1所述的芯片卡的密钥管理系统，其特征在于，还包括：

密码箱，用于保存所述数字证书存储介质。

4.一种芯片卡的密钥管理方法，其特征在于，应用权利要求1至3任一所述的芯片卡的密钥管理系统，包括：

密钥管理单元接收已注册数字证书存储介质的访问，并在数字证书存储介质内部随机生成对应的密钥分量；

密钥管理单元将密钥分量以数字信封加密后的形式传递给加密机；

加密机接收经数字信封加密后的密钥分量，解密获得密钥分量明文；

重复上述步骤，直至加密机接收全部的密钥分量；

加密机根据接收的密钥分量生成根密钥。

5.根据权利要求4所述的芯片卡的密钥管理方法，其特征在于，

在数字证书存储介质访问密钥管理单元之前，还包括：

对数字证书存储介质在密钥管理单元进行注册登记，以确保其访问的合法性。

6.根据权利要求5所述的芯片卡的密钥管理方法，其特征在于，

对数字证书存储介质在密钥管理单元进行注册登记包括：

密钥管理单元接收经终端设备导入的第三方CA根证书；

应终端设备的申请产生随机数并发送给终端设备；

接收终端设备发送的签名结果、持有者签名证书和加密证书，并验证所述持有者签名证书和加密证书的有效性、验签所述签名结果，在有效性及验签均通过的前提下，保存所述持有者签名证书和加密证书；其中，所述持有者签名证书和加密证书为终端设备验证通过持有者口令后访问获取；所述签名结果为终端设备对接收的所述随机数和持有者信息签名生成。

7.根据权利要求6所述的芯片卡的密钥管理方法，其特征在于，

密钥管理单元在所述数字证书存储介质访问时生成对应的密钥分量包括：

接收持有者经对应的数字证书存储介质生成的登陆访问请求，进入根密钥生成界面；

验证持有者登陆口令及数字证书有效性，验证通过后生成密钥分量；

对密钥分量加密生成密钥分量数字信封。