(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211011722.8 (22)申请日 2022.08.23 (71)申请人 成都三零瑞通移动通信有限公司 地址 610041 四川省成 都市中国 （四川） 自 由贸易试验区成都高新区云华路333 号 (72)发明人 杨旸　李志鹏　胡冲　邓威　 王明华　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 管高峰 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/1001(2022.01)H04L 67/51(2022.01) (54)发明名称 一种基于Ic eGrid微服务架构的密钥管 理系 统 (57)摘要 本发明公开了一种基于Ic eGrid微服务架构 的密钥管理系统， 包括： 接入模块， 用于将第三方 通信业务和/或加密终端接入密钥分发中心并同 步相关信息； 管理界面模块， 用于展示管理界面 以及接收外部业务指令； 业务编排模块， 用于接 收通过接入模块和管理界面模块传入的各类业 务指令， 并根据业务类型将业务数据分配至不同 的业务处理子服务； 信息签名模块， 用于为第三 方通信业务和/或加密终端的使用者签发用于身 份认证的签名证书； 密钥管理模块， 用于进行密 钥管理； 用户管理模块， 用于管理第三方通信业 务和/或管理加密终端的相关信息。 本发明可为 各类加密终端提供密钥分发更新和在线管理密 钥功能， 为多媒体通信业 务提供安全保护功能。 权利要求书2页 说明书5页 附图3页 CN 115396176 A 2022.11.25 CN 115396176 A 1.一种基于IceGrid微 服务架构的密钥管理系统， 其特 征在于， 包括： 接入模块， 用于将第三方通信业务和/或加密终端接入密钥分发中心， 并 同步第三方通 信业务和/或加密终端的相关信息， 包括 安全应用信息、 群组信息和群组成员信息； 管理界面模块， 用于展示管理界面以及接收外 部业务指令； 业务编排模块， 用于接收通过接入模块和管理界面模块传入的各类业务指令， 并根据 业务类型将业务数据分配至不同的业务处理子服务， 进行一次或多次处理的业务逻辑控 制， 再对处 理结果进行组合后回复至业 务发送的主体； 信息签名模块， 用于为第三方通信业务和/或加密终端的使用者签发用于身份认证的 签名证书； 密钥管理模块， 用于进行密钥管理， 包括产生密钥、 查询密钥、 更新密钥和销毁密钥； 用户管理模块， 用于管理第 三方通信业务和/或管理加密终端的相关信息， 包括使用者 信息、 安全应用信息和安全应用 用户分组信息 。 2.根据权利要求1所述的基于IceGrid微服务架构的密钥管理系 统， 其特征在于， 所述 接入模块包括应用层和密码服务层， 所述应用层通过业务转 发模块将加密终端发送的各类 型管理命令转 发至业务编排模块， 待 各业务处理完成后， 将回复的数据转 发至加密终端； 所 述密码服务层为应用层提供密码机功能接口， 并实现通信数据包组包、 解包以及与密加密 终端间通信数据的加解密。 3.根据权利要求2所述的基于IceGrid微服务架构的密钥管理系 统， 其特征在于， 所述 密码服务层包括JCE模块、 通信协议模块和通信内容加解密模块， 所述JCE模块用于提供对 密码机各种密码功能的调用接口， 包括密码算法调用接口和随机数产生接口； 所述通信协 议模块用于对加密终端发送的数据按安全通道协 议解析， 并送至通信内容加解密 模块进行 加解密； 通信内容加 解密模块用于实现加密终端与接入模块间通信数据的加 解密、 完整性 校验和发送者的身份验证。 4.根据权利要求1所述的基于IceGrid微服务架构的密钥管理系 统， 其特征在于， 所述 业务编排服务模块包括业务编排接口层和业务编排层， 所述业务编排接口层用于将接入模 块转发的数据交由业务编排层处理， 并将业务编排层处理后的数据发送至接入模块以转 发 至加密终端； 所述业务编排层用于实现各种类型业务的逻辑编排， 且包括管理业务编排模 块、 应用业务编排模块、 个人业务编排模块和群组业务编排模块， 所述管理业务编排模块用 于编排来自管理客户端软件的业务， 所述应用业务编排模块用于编排第三方应用服务的相 关业务， 所述个人业务编排模块用于编排个人相关业务， 所述群组业务编排模块用于编排 群组相关业 务。 5.根据权利要求1所述的基于IceGrid微服务架构的密钥管理系 统， 其特征在于， 所述 信息签名模块包括信息签名接口层和信息签名管 理层， 所述信息签名接口层用于接收业务 服务发送的证书管理相关指令， 将指令转发至信息签名管理层处理后， 将处理结果回复至 指令的发送者； 所述信息签名管理层用于实现接入 模块和用户证书签发。 6.根据权利要求5所述的基于IceGrid微服务架构的密钥管理系 统， 其特征在于， 所述 信息签名管 理层包括证书签发模块、 证书存取模块和JCE模块， 所述证书签发模块用于为用 户签发签名证书与加密证书； 所述证书存取模块用于保存已签发的所有签名证书与加密证 书， 并提供证书信息的查询与获取功能； 所述 JCE模块用于提供对密码 机各种密码功能的调权　利　要　求　书 1/2 页 2 CN 115396176 A 2用接口， 包括密码算法调用接口和随机数产生接口。 7.根据权利要求1所述的基于IceGrid微服务架构的密钥管理系 统， 其特征在于， 所述 密钥管理模块包括密钥管理接口层和密钥管理层， 所述密钥管理接口层用于接收业务服务 发送的密钥管理相关指令， 将指 令转发至密钥管 理层后， 将处理结果回复至指 令的发送者； 所述密钥管理层用于实现用户相关密码的管理。 8.根据权利要求7所述的基于IceGrid微服务架构的密钥管理系 统， 其特征在于， 所述 密钥管理层 包括密码管 理模块、 安全存储模块和JCE模块， 所述密码管理模块用于实现密码 管理接口， 包括产生密钥、 查询密钥、 更新密钥和销毁密钥； 所述安全存储模块用于实现对 用户使用的密码数据进行存储加密保护， 以及在需要获取相应的密码数据时对保护的数据 进行解密并进 行完整性校验； 所述 JCE模块用于提供对密码 机各种密码功能的调用接口， 包 括密码算法调用接口和随机数产生接口等。 9.根据权利要求1所述的基于IceGrid微服务架构的密钥管理系 统， 其特征在于， 所述 用户管理模块包括用户管理接口层和用户管理层， 所述用户管理接口层用于接收业务服务 发送的用户管理相关指令， 将指 令转发至用户管 理层后， 将处理结果回复至指 令的发送者； 所述用户管理层用于实现对多媒体业务服务、 用户、 管理员及群组的管理， 且包括应用服务 管理模块、 用户管 理模块、 管理员管 理模块和群组管理模块， 所述应用服务管 理模块用于管 理多媒体通信服务信息和token； 所述用户管理模块用于实现用户的注册、 查询、 注销和关 联密码设备； 所述管理员管理模块用于实现管理员的用户创建和注销； 所述群组管理模块 用于实现群组的创建、 删除以及成员的增 加、 删除。 10.根据权利要求1 ‑9任一项所述的基于IceGrid微服务架构的密钥管理系 统， 其特征 在于， 所述接入模块、 业务编排模块、 信息签名模块、 密钥管理模块和用户管理模块均包括 系统层， 所述系统层设置为Linux操作系统， 并在此操作系统上安装JRE8作为基础运行环 境。权　利　要　求　书 2/2 页 3 CN 115396176 A 3