[发明专利]密码模块的密钥管理的方法

权利要求书

1.用于将新密钥(nK)安全地从密钥中心(SS)传输到密码模块(KM)中的方法，该密码模块(KM)为此包括可写入的密钥存储器并且此外还包括另一用于私钥(KM_prv)的密钥存储器，该方法具有以下步骤：

-在安全的环境(IN)中，产生密码模块的设备号(ID)以及用于不对称编码方法的、由私钥和公钥组成的密钥对(KM_prv，KM_pub)，所述私钥(KM_prv)被传输到密码模块(KM)中，并且所述公钥(KM_pub)在安全的数据库(DB)中被存放在所述设备号(ID)之下；

-由所述密钥中心(SS)从密码模块(KM)中读出包含设备号(ID)的、利用私钥(KM_prv)进行签名的第一数据组，并且将第一数据组传输给所述安全的数据库(DB)；

-所述安全的数据库(DB)借助设备号(ID)确定所述公钥(KM_pub)，以此检查包含设备号(ID)的数据组的签名，并且将所述公钥(KM_pub)发送回密钥中心(SS)；

-所述密钥中心(SS)产生一设置数据组，该设置数据组包含新密钥(nK)并且利用密码模块(KM)的公钥(KM_pub)来编码，以及将该设置数据组发送给密码模块(KM)；

-所述密码模块(KM)对所述设置数据组进行解码，检查在其中所包含的冗余度并且设置所述新密钥(nK)。

2.用于将新密钥(nK)安全地从密钥中心(SS)传输到密码模块(KM)中的方法，该密码模块(KM)为此包括可写入的密钥存储器，并且此外还包括另一用于私钥(KM_prv)的密钥存储器，该方法具有以下步骤：

-在安全的环境(IN)中，产生设备号(ID)以及用于不对称编码方法的、由私钥(KM_prv)和公钥(KM_pub)组成的密钥对，所述私钥(KM_prv)被传输到密码模块中，并且所述公钥(KM_pub)在安全的数据库(DB)中被存放在所述设备号(ID)之下；

-所述密钥中心(SS)具有用于不对称编码的密钥对，并且向所述密码模块(KM)发送包含其公钥(SS_pub)的询问数据组；

-所述密码模块(KM)产生包含设备号(ID)和密钥中心(SS)的公钥(SS_pub)的、利用所存储的私钥(KM_prv)进行签名的识别数据组，并且将该识别数据组发送给密钥中心(SS)，该密钥中心(SS)将该识别数据组转发给安全的数据库(DB)；

-所述安全的数据库(DB)借助设备号(ID)确定密码模块的公钥(KM_pub)，以此检查识别数据组的签名，产生一待用数据组，利用从识别数据组中所获取的、密钥中心(SS)的公钥(SS_pub)对该待用数据组进行编码，并且将该待用数据组发送回密钥中心(SS)；

-所述密钥中心(SS)对所述待用数据组进行解码和产生一设置数据组，该设置数据组包含所述新密钥(nK)并用从待用数据组中所获取的、密码模块的公钥(KM_pub)对该设置数据组进行编码，而且所述密钥中心(SS)将该设置数据组发送给密码模块(KM)；

-所述密码模块(KM)对所述设置数据组进行解码，检查包含在其中的冗余度，并设置所述新密钥(nK)。

3.按权利要求2所述的方法，其中，由所述密钥中心(SS)附加地利用其私钥(SS_prv)对所述识别数据组进行签名，并且所述安全的数据库(DB)在继续处理之前检查该签名。

4.按权利要求2或3所述的方法，其中，在第二步骤中，密钥中心(SS)在说明设备号(ID)的情况下向安全的数据库(DB)请求询问数据组，该询问数据组包含密钥中心的公钥(SS_pub)，并且该询问数据组利用密码模块(KM)的公钥(KM_pub)被编码。