[发明专利]应用于北斗导航系统的密钥管理系统方法和装置

权利要求书

1.一种应用于北斗导航系统的密钥管理系统，其特征在于，包括：

密钥管理系统，部署在地面中心站中，通过TCP/IP有线网络与地面中心站管理计算机通信；

北斗终端，北斗通信发起方和接收方，内含密码模块，所述密码模块具有生成随机数、加解密的功能；

地面中心站管理计算机：包括配置密码模块，所述配置安全通信模块，通过调用HTTPS接口实现与密钥管理系统安全通信。

2.根据权利要求1所述的应用于北斗导航系统的密钥管理系统，其特征在于：所述密钥管理系统包括安全通信模块、配置管理模块、密钥管理模块、密钥存储模块、密钥数据库及加密机；

所述密钥存储模块负责密钥的安全存储与查询、检索，所有存储至数据库中的密钥都调用加密机加密并以密文的形式存储，保证密钥安全，并对外部提供密钥查询及检索功能；

所述密钥管理模块负责密钥生成、密钥更新、密钥存储、密钥撤销功能，与安全存储模块和配置管理模块一起完成密钥全生命周期管理功能；

所述配置管理模块负责密钥管理操作、数据管理操作、加密机管理操作以及人员管理操作；

所述安全通信模块通过调用HTTPS接口，实现与地面中心站管理计算机加密通信，确保密钥安全。

3.一种应用于北斗导航系统的密钥管理方法，其特征在于，包括如下步骤：

产生主密钥的步骤：密钥管理系统利用噪声发生器产生主密钥；

安全通道建立的步骤：密钥管理系统调用安全通信模块与地面中心管理计算机通过HTTPS模式建立安全通信通道，用来查询和发送密钥信息；

密钥产生与分发的步骤；

会话密钥产生的步骤。

4.根据权利要求3所述的应用于北斗导航系统的密钥管理方法，其特征在于，密钥产生与分发的步骤具体如下：

密钥管理系统产生及分发二层密钥，密钥管理系统执行加密操作，加密存储地面中心站管理计算机的设备密钥Keycontrol，并建立地面中心站管理计算机硬件序列号IDcontrol与密钥密文之间的索引关系；

密钥管理系统产生及分发三层密钥，密钥Keyterminal通过离线方式安全分发给北斗终端，密钥管理系统执行加密操作加密存储北斗终端的设备密钥Keyterminal，并建立北斗终端硬件序列号IDterminal与密钥密文之间的索引关系。

5.根据权利要求3所述的应用于北斗导航系统的密钥管理方法，其特征在于：会话密钥产生的步骤具体如下：

S1：发送请求，北斗终端密码模块生成随机数RandomTerm，执行加密操作，通过北斗链路将北斗终端序列号IDterminal及密文XTrans发送给地面中心站；

S2：获取北斗终端设备密钥，首先，地面中心站解析北斗终端发送的北斗消息数据，并发送给管理计算机，管理计算机获取该北斗终端序列号IDterminal和密文XTrans，管理计算机在密钥管理系统中查询IDcontrol获得密钥密文Xkeycontrol，执行解密操作，获取地面中心站管理计算机设备密钥Keycontrol；其次，管理计算机在密钥管理系统中查询IDterminal，获取密钥密文Xkeyterminal，执行解密操作，获取北斗终端设备密钥Keyterminal；最后，管理计算机执行解密操作，获得随机数RandomTerm；

S3：合成会话密钥，管理计算机密码模块产生随机数RandomConn，合成会话密钥，然后执行加密操作，将密文XReturn通过地面中心站的北斗链路发送给北斗终端；

S4：开始加密通信，北斗终端收到消息，解析北斗数据，然后执行解密操作，获取会话密钥Keysession，与地面中心站开始加密通信。

6.一种应用于北斗导航系统的密钥管理装置，其特征在于：能够实现如权利要求3至5中任意一项所述的应用于北斗导航系统的密钥管理方法。