一种用户数字证书私钥管理方法和系统的制作方法

专利名称：一种用户数字证书私钥管理方法和系统的制作方法
技术领域：
本发明涉及通信技术领域，更具体地说，涉及一种基于密钥管理体系的
用户^L字"^正书私钥管理方法和系统。
背景技术：
在公钥基础设施(PKI, Public Key Infrastructure)中，用户的数字证书 分为签名证书和加密证书，其中，所述签名证书主要用于对用户信息进行签 名，以保证信息的有效性和不可否认性；所述加密证书主要用于对用户传送 信息进行加密，以保证信息的保密性和完整性。所述签名证书包含一对密钥 (签名公钥和签名私钥)，所述加密证书也包含一对密钥(加密公钥和加密 私钥)，所述签名证书的签名公钥和加密证书的加密公钥处于公开状态。
用户A利用签名私钥进^f于签名后，其他用户(如用户B)可以利用处于 公开状态的签名公钥对用户A的签名进行验证，并且用户B可以利用用户A 的加密公钥对信息进行加密后传送给用户A,用户A利用加密私钥对加密后 的信息进行解密。这时，为了保证信息的有效性、不可否认性、保密性和完 整性，签名证书和加密证书需要满足以下条件1、签名证书唯一性，也就是 说，签名私钥不能存在备份，否则将破坏签名证书的不可否认性；2、加密证 书的加密私钥需要有安全的备份，否则当用户A丢失加密私钥的时候，将无 法打开其他用户加密过的文件；另外，加密私钥的备份内容不能被用户A之 外的其他用户获得，否则将影响加密信息的保密性和完整性。
由此可见，要完全确保密钥管理安全实现，需要一套完整的流程来实现 用户加密证书私钥在传输、安装、备份和恢复过程中保密性、完整性和可靠 性
发明内容
有鉴于此，本发明实施例提供一种用户数字证书私钥管理方法和系统， 以实现用户加密证书的私钥在传输、安装、备^f分和恢复过程中保密性、完整 性和可靠性。
本发明实施例是这样实现的 一种用户数字证书私钥管理方法，包括
加密卡应密钥管理中心KMC请求，生成加密证书Enc-Cert密钥对； 所述加密卡利用预先获得的发自用户端的USB Key的预设密钥对中的公
钥加密所述Enc-Cert密钥对中的私钥，得到数字信封Env-User，将该
Env-User通过KMC传送给权威认证机构CA;
CA根据Enc-Cert密钥对中的公钥签发Enc-Cert,并将该Enc-Cert及
Env-User提供给USB Key;
USB Key根据所述预设密钥对中的私钥解密所述Env-User，得到所述
Enc-Cert密钥对中的私钥及加密i正书。
优选的，上述方法还包括对所述Enc-Cert密钥对中的私钥进行备份。 优选的，上述方法中，按照以下步骤对所述Enc-Cert密钥对中的私钥进
行备份
利用预先生成的KMC公钥加密所述加密证书的私钥，得到由KMC公钥 加密的数字信封Env—KMC;
通过拉格朗日插值多项式算法，把所述Env—KMC进行分解，得到预设 数量的Env—KMC部分；
利用相应数量的KMC管理员公钥分别对各Env一KMC部分进行加密，并 将加密结果存储于数据库中；
删除加密卡中的用户加密证书的密钥对、Env—KMC及所有Env—KMC部分。
优选的，上述方法还包括备份KMC管理员私钥；按照以下步骤进行 在与所述预设数量相同数量的USB Key中分别生成临时密钥对，并传递 给力口密卡；
加密卡利用所述各临时密钥对中的公钥对各KMC管理员私钥进行加密， 得到相应数量的KMC管理员私钥密文，并分别提供给各USB Key保存；所述各USB Key利用临时密钥对中的私钥对各KMC管理员私钥密文进 行解密，得到KMC管理员私钥，并安装；
利用预先生成的KMC公钥对各KMC管理员私钥进行加密后，导入预设 数据库；
删除所述加密卡中的KMC管理员的私钥及相应的密文。
优选的，上述方法还包括对KMC私钥进行备份。
优选的，所述对Enc-Cert密钥对中的私钥、KMC管理员私钥KMC私钥
的备份过程是在离线状态下进行的，所述预设数据库为离线数据库。 优选的，所述预设密钥对为签名证书的密钥对，按照以下步骤获得 USB Key生成用于构建签名证书Sign-Cert的密钥对，并向CA发送
Sign-Cert请求信息，该请求包括所述用于构建Sign-Cert的密钥对及生成
Sign-Cert的用户信息；
CA签发Sign-Cert,并向KMC发送Enc-Cert密钥对请求信息，该申请
请求携带所述Sign-Cert;
KMC将该Enc-Cert密钥请求信息发送给所述加密卡； 所述加密卡从所述Enc-Cert密钥请求信息中获得Sign-Cert的密钥对。 优选的，所述预设密钥对为临时密钥对，按照以下步骤获得 USB Key生成用于构建Sign-Cert的密钥对，并向CA发送Sign-Cert请
求信息，该请求包括所述用于构建Sign-Cert的密钥对及生成Sign-Cert的用
户信息；
接收CA签发的Sign-Cert，并安装；
生成临时密钥对，用所述Sign-Cert签名所述临时密钥对中的临时公钥， 并将签名、所述临时公钥随同Enc-Cert请求消息通过CA提供给KMC，由该 KMC向加密卡发送Enc-Cert密钥对请求；
所述加密卡从所述Enc-Cert密钥请求信息中获得所述临时密钥对。
本发明实施例同时还提供了一种用户数字证书私钥管理系统，包括用 户端、密钥管理中心KMC、外又威i人i正^L构CA和加密卡；
其中
所述KMC包括第一请求单元，用于应用户端数字证书请求，发送加密证书Enc-Cert密
钥对生成请求；
转发单元，用于将加密卡发送的信息转发给CA; 所述加密卡包括
Enc-Cert密钥对生成单元，用于针对所述Enc-Cert密钥对生成请求，生 成Enc-Cert密钥对；
第一处理单元，用于利用预先获得的发自用户端的USBKey的预设密钥 对中的公钥，加密所述Enc-Cert密钥对中的私钥，得到数字信封Env-User, 将该Env-User发送给KMC;
所述CA用于根据Enc-Cert密钥对中的公钥签发Enc-Cert,并将该 Enc-Cert及Env-User提供给用户端，由所述用户端根据所述预设密钥对中的 私钥解密所述Env-User，得到所述Enc-Cert密钥对中的私钥。
优选的，所述KMC还包括
第二处理单元，利用预先获得的KMC公钥加密所述Enc-Cert的密钥对 中的私钥，得到由KMC公钥加密的数字信封Env—KMC;
拉格朗日算法单元，用于通过拉格朗日插值多项式算法，把所述 Env—KMC进行分解，得到预设数量的Env—KMC部分；
第三处理单元，利用相应数量的KMC管理员公钥分别对各Env—KMC部 分进行加密，并将加密结果存储于W居库中；
所述加密卡还包括
删除单元，用于在所述KMC将加密结果存储于数据库中后，删除加密卡 中的Enc-Cert的密钥对、Env_KMC及所有Env_KMC部分。
从上述的技术方案可以看出，与现有技术相比，本发明实施例中，加密 卡利用USBKey提供的密钥对的公钥对加密证书的私钥进行加密，保证了在 该加密证书的私钥在传输过程中的安全性，并且保证了只有提供密钥对的 USB Key才能利用密钥对中的私钥对加密的加密证书进行解密和安装，保证 了加密i正书的私钥的安装安全性。
另外，本发明实施例还进一步对加密证书的私钥进行备份，利用KMC密 钥对的公钥对加密证书的私钥进行加密后，通过拉格朗日插值多项式将加密
8结果分解成若干部分，并采用多个KMC管理员密钥分别进行加密，保证了加 密证书的私钥^f分的安全性和可靠性。另外，还对KMC私钥和KMC管理员 私钥也进行了备份，保证了加密证书的私钥的可恢复性。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下 面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。 图1为本发明实施例一提供的一种用户数字证书私钥管理方法的流程图； 图2为本发明实施例二提供的一种用户数字证书私钥管理方法的流程图； 图3为本发明实施例三提供的一种用户数字证书私钥管理方法的流程图； 图4为本发明上述实施例提供的用户数字证书私钥管理方法中Enc-Cert 的密钥对中的私钥的备份流程图5为本发明上述实施例提供的用户数字证书私钥管理方法中KMC管理 员私钥的备^f分流程图6为本发明实施例四提供的一种用户数字证书私钥管理系统的结构示 意图7为本发明实施例五提供的一种用户数字证书私钥管理系统的结构示 意图。
具体实施例方式
面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不 是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出 创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
下面首先对本文出现的技术名词或术语进行解释，以方便本领域技术人 员对本文技术方案的理解
9USBKey:是一种USB接口的硬件设备，它内置单片机或智能卡芯片， 有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置 的公钥算法实现对用户身份的认证。
CA:权威认证机构(Certificate Authority)，主要具有完成生成/签发证 书、生成/签发证书撤销列表(CRL)、发布证书和CRL到目录服务器、维护 证书数据库和审计日志库等功能。
KMC:密钥管理中心(Key Manage Center)，主要用于向CA服务提 供相关密钥服务，如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管 和密钥运算等。
为了使得本领域技术人员更好理解本发明技术方案，下面结合附图和实 施例进行详细描述。
请参考图1,为本发明实施例一提供的一种用户数字证书私钥管理方法的 流程图。
包括以下步骤
步骤S101、加密卡应KMC请求，生成加密证书(Enc-Cert)的密钥对。 步骤S102、利用预先获得的预设密钥对中的公钥加密所述Enc-Cert的
密钥对中的私钥，得到数字信封(Env-User)。 所述预设密钥对来自USBKey。 步骤S103、将该Env-User通过KMC传送给CA。 步骤S104、 CA利用所述Enc-Cert的公钥签发加密证书。 步骤S105、 CA将该Enc-Cert及Env-User提供给用户端的USB Key。 步骤S106、 USBKey根据预设密钥对中的私钥解密所述数字信封，得到
所述Enc-Cert的私钥。
所述预设密钥对可以是签名证书的密钥对或者是临时生成的密钥对，也
可以是其他密钥，只要是由请求密钥管理的用户端USBKey发出并唯一可由
该USB Key解密即可。
下面分别通过实施例二和实施例三具体说明。如图2所示，为本发明实施例二提供的一种用户数字证书私钥管理方法
的流程图。
具体包括以下步骤
步骤S201、用户端在本地USB Key中生成用于构建签名证书 (Sign-Cert)的密钥对。
步骤S202、用户端在本地USB Key生成Sign-Cert申请请求消息(Req1), 该Req包括上述密钥对及签发签名证书需要提交的用户信息。 步骤S203、向CA发送所述Req1 。
步骤S204、 CA接收到所述Req1，并核实该Req1属实后，签发 Sign-Cert。
步骤S205、 CA向KMC发送生成加密证书(Enc-Cert)密钥对的申请请
求消息(Req2)，该Req2包括所述Sign-Cert。
步骤S206、 KMC请求加密卡生成Enc-Cert的密钥对。
步骤S207、加密卡在内部生成一对所述Enc-Cert的密钥对。
步骤S208、加密卡使用所述Sign-Cert中的签名/>钥加密所述Enc-Cert
的密钥对中的私钥，得到所述Sign-Cert的公钥的数字信封(Env-User)。 步骤S209、加密卡将所述Env-User发送给KMC。 步骤S210、 KMC将所述Env-User发送给CA。
步骤S211、 CA根据获取Enc-Cert的密钥对中的公钥签发Enc-Cert,并 将Enc-Cert、 Sign-Cert和Env-User下发给用户端。
步骤S212、用户端在本地的USB Key内安装Enc-Cert和Sign-Cert， 使用USB Key内的Sign-Cert的私钥解密所述Env-User，得到Enc-Cert的
私钥，并安装。
本发明实施例巧妙利用Sign-Cert的公钥对Enc-Cert的私钥进行加密， 无需引入额外的加密信息，并可保证Enc-Cert的私钥在传输过程中的安全性。 并且，只有在存在Sign-Cert的私钥的USB Key中才能解密并安装，避免了 Enc-Cert的私钥签发过程中存在的风险。需要说明的是，在使用场景规定用户端本地的USB Key产生的Sign-Cert 的密钥对仅能用于签名和验证签名，而不能用于加密时，Enc-Cert的私钥在 传输过程中的安全性可以由USB Key产生的临时密钥对保证。
请参考图3,为本发明实施例三提供的一种用户数字证书私钥管理方法的 流程图。
具体包括以下步骤
步-骤S301、用户端在本地USB Key中生成用于构建Sign-Cert的密钥对。
步骤S302、用户端生成Sign-Cert申请请求消息Req1，该Req1中上述 密钥对和签发证书需要提交的用户信息。 步骤S303、向CA发送Req1 。
步骤S304、 CA4妄收所述Req1,核实信息属实后，签发Sign-Cert。
步骤S305、用户端在USB Key内部安装所述Sign-Cert。
步骤S306、在所述USB Key内生成一对临时密钥对(Temp_Key)，
用 Sign-Cert签名临时公钥(Temp_Pub_Key), 该Temp—Key 包括
Temp—Pub—Key和临时私钥(Temp_PRI—Key)。
步骤S307、向CA发送Enc-Cert申请请求消息Req3、 Temp_Pub—Key
和签名(Sign-TempKey)。
步骤S308、 CA对所述Sign—TempKey进行验证，在验证通过时，将所
述Temp—Pub—Key和Req3发送给KMC。
步骤S309、 KMC请求加密卡生成Enc-Cert的密钥对。
步骤S310、加密卡在内部生成一对Enc-Cert的密钥对。
步骤S311 、加密卡使用所述Temp_Pub_Key加密所述Enc-Cert的密钥
对中的私钥，得到由所述Temp_Pub_Key加密的数字信封Env-User。 步骤S312、加密卡将所述Env-User传送给KMC。 步骤S313、 KMC将所述Env-User发送给CA。
步骤S314、 CA根据预先获取的Enc-Cert的密钥对中的公钥签发 Enc画Cert。步骤S315、 CA将该Enc-Cert和Env-User下发给用户端。
步骤S316、用户端在USB Key内安装所述Enc-Cert,使用USB Key 内的Temp—Pri—Key解密所述Env—User,得到所述Enc-Cert的私钥并安装。
本实施例提供了另一种保证Enc-Cert的密钥对的私钥在传输过程中安全 性的方法，同样保证了 Enc-Cert的私钥传输的安全性，并且，只有在存在相 应临时私钥的USB Key中才能解密并安装，避免Enc-Cert的密钥在签发过 程中存在的风险。同时，CA和KMC可以对用户端发送的临时公钥签名进行 签名验证，防止伪造该临时公钥的情况的出现。
在其他实施例提供的用户数字证书私钥管理方法中，在生成Enc-Cert的 密钥对后，还包括对该Enc-Cert的密钥对中的私钥的备份。
请参考图4，为本发明上述实施例提供的用户数字证书私钥管理方法中的 Enc-Cert的密钥对中的私钥的备^f分流程图。
具体包括以下步骤
步骤S401、在加密卡中生成KMC密钥对，该KMC密钥对包括KMC公 钥和KMC私钥
步骤S402、加密卡将所述KMC密钥对并传递给KMC。
步骤S403、KMC利用KMC公钥加密所述Enc-Cert的私钥，得到由KMC 公钥加密的数字信封Env_KMC。
步骤S404、通过拉格朗日插值多项式算法，把所述Env一KMC进行分解， 分解成预设数量的Env—KMC部分。
步骤S405、利用预先生成的相应数量的KMC管理员公钥(PUB—Key)分 别对各Env—KMC部分进行加密，并将加密结果存储于数据库中。
步骤S406、删除加密卡中的用户加密证书的密钥对、Env一KMC及所有 Env—KMC部分。
所述预设数量可以根据用户需求进行设置，例如可以等于5，即通过拉 格朗日插值多项式算法，将Env—KMC分解成5个Env—KMC部分(分别为 L1、 L2、 L3、 L4和L5),利用预先生成的5个KMC管理员公钥(PUB—Key 1、 PUB一Key2、 PUB—Key3、 PUB—Key4和PUB_Key5)分另'J对所述5个
13Env—KMC部分进行加密，得到5个加密结果(分别为L1'、 L2'、 L3'、 L4'和 L5'),并存储于预设数据库中，实现备份。利用KMC公钥对Enc-Cert的私 钥进行加密属于一次加密，将加密后的结果分解成5份，用KMC管理员公钥 进行加密属于二次加密，进一步保证了备份的安全性。
本实施例利用KMC公钥加密Enc-Cert的私钥，得到Env—KMC后，利 用拉格朗日插值多项式算法将Env—KMC分解成多份，并利用预先生成的 KMC管理员公钥进行加密，并将加密结果存储于预设数据库中进行备份，实 现了 Enc-Cert的私钥的完整的备份策略。另外，经过上述备份后，要求必须 有KMC私钥及足够数量的KMC管理员私钥(PRI—Key)才能进行解密以获 耳又Enc-Cert的私钥。例如，如果分成5个Env—KMC部分，按照拉格朗日插 值多项式的性质可知，在同时具有任意三个或者三个以上的KMC管理员私钥 才能恢复出所述Env—KMC,并且在具有KMC私钥的情况下才能获取 Enc-Cert的私钥，由此提高了 Enc-Cert的私钥备份的安全性。需要说明的是， 拉格朗日插值多项式算法性质又实现了在有三个KMC管理员私钥便可恢复 Env—KMC的特性，这4吏得当五个KMC管理员私钥丢失时，仍然可以恢复出 Enc-Cert的私钥。
在本发明另外一些实施例中，对用于加密Enc-Cert的私钥的KMC密钥 及KMC管理员私钥也进行了备份。
对KMC管理员私钥的备份过程如图5所示，包括以下步骤
步骤S501、预设数量的USB Key中分别生成临时密钥对。
该预设数量与上述Env—KMC的分解份数相等。
步骤S502、将该临时密钥对经KMC传递给加密卡。
步骤S503、加密卡利用该临时密钥对中的公钥对上述KMC管理员的私 钥进行加密，得到相应数量的KMC管理员私钥密文。
步骤S504、将各KMC管理私钥密文分别提供给各USB Key保存。
步骤S505、各USB Key利用各临时密钥对中的私钥对各KMC管理员私 钥密文进行解密，得到KMC管理员私钥，并安装。步骤S506、利用预先生成的KMC密钥对中的公钥对各KMC管理员私 钥进行加密后，导入预设数据库。
步骤S507、删除所述加密卡中的KMC管理员的私钥及相应的密文。
本发明实施例实现了 KMC管理员私钥的安全传输及安装，还保证了 KMC 管理员私钥的名—分和恢复。
假设存在5个USB Key(分别为USB Key1、 USB Key2、 USB Key3、 USB Key4和USB Key5),其产生5份临时密钥对。利用5对临时密钥对分 别对5个KMC管理员的私钥进行加密，得到5个KMC管理员私钥密文。利 用预先生成的KMC密钥对加密5个KMC管理员的私钥后，导入预设数据库。
对于KMC私钥的备份过程可以如下
在一个加密卡(加密卡1 )中生成KMC密钥对，该KMC密钥对包括KMC 公钥和KMC私钥，将该加密卡中KMC密钥对复制到另一加密卡(加密卡2) 中，进行备份。加密卡1将所述KMC密钥对发送给KMC后，在加密卡1中 删除所述KMC密钥对。
需要说明的是，在另外一些实施例中，为了进一步保证备份过程的安全 性，上述对KMC管理员私钥及KMC私钥的备份过程均是在离线的状态下进 行的，所述预设数据库为离线数据库。
针对上述部分或全部方法实施例子，本发明实施例还公开了一种用户数 字^L书私钥管理系统。
请参考图6,为本发明实施例提供的一种用户数字证书私钥管理系统的结 构示意图。
该系统包括用户端61、 CA62、 KMC63和加密卡64。 其中
所述KMC63至少包括
第一请求单元631,用于应用户端数字证书请求，发送加密证书Enc-Cert 密钥对生成请求。
转发单元632，用于将加密卡发送的信息转发给CA。所述加密卡64至少包括Enc-Cert密钥对生成单元641和第一处理单元 642。所述Enc-Cert密钥对生成单元641用于针对所述Enc-Cert密钥对生成 请求，生成Enc-Cert密钥对。所述第一处理单元642用于利用预先获得的预 设密钥对中的^^钥，加密所述Enc-Cert密钥对中的私钥，得到it字信封 Env-User,将该Env-User发送给KMC63。所述预先获得的预设密钥对是由 用户端61在USBKey中生成，并提供的。
所述CA用于根据Enc-Cert密钥对中的公钥签发Enc-Cert,并将该 Enc-Cert及Env-User提供给用户端，由所述用户端根据所述预设密钥对中的 私钥解密所述Env-User,得到所述Enc-Cert密钥对中的私钥。
所述预设密钥对可以是Sign-Cert的密钥对，也可以是临时密钥对。
本系统的具体工作过程可以参考上述方法实施例部分内容，在此不再赘述。
在其他实施例中，所述KMC63还可以包括第二处理单元631、拉格朗曰 算法单元632和第三处理单元633;所述加密卡64还包括删除单元643。
第二处理单元631 、拉格朗日算法单元632和第三处理单元633和删除 单元643进行配合，以实现Enc-Cert的密钥对中的私钥的备份操作。具体过 程如下
首先，第二处理单元631利用预先获得的KMC公钥加密所述Enc-Cert 的密钥对中的私钥，得到由KMC公钥加密的数字信封Env一KMC。然后，拉 格朗日算法单元632通过拉格朗日插值多项式算法，把所述Env—KMC进行 分解，得到预设数量的Env_KMC部分。接着，第三处理单元633利用相应 数量的KMC管理员公钥分别对各Env—KMC部分进行加密，并将加密结果存 储于数据库中。最后，删除单元643用于在所述KMC将加密结果存储于数据 库中后，删除加密卡中的Enc-Cert的密钥对、Env—KMC及所有Env—KMC 部分，完成对Enc-Cert的密钥对中的私钥的备份。
在其他实施例中，所述KMC63和加密卡64还包含其他功能单元，用于 与用户端61和CA62配合完成对上述KMC私钥和KMC管理员私钥的备份， 具体过程可以参考前文方法部分的实施例内容。本领域技术人员可以理解，可以使用许多不同的工艺和技术中的任意一 种来表示信息、消息和信号。例如，上述说明中提到过的消息、信息都可以 表示为电压、电流、电磁波、磁场或磁性粒子、光场或以上任意组合。
专业人员还可以进一步应能意识到，结合本文中所公开的实施例描述的 各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来 实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能 一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来 执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每 个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为 超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理 器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器
(RAM)、内存、只读存^f诸器(ROM)、电可编程ROM、电可擦除可编程 ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意 其它形式的存储介质中。
对所公开的实施例的上迷说明，使本领域专业技术人员能够实现或使用 本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易 见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下， 在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例， 而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
1权利要求
1、一种用户数字证书私钥管理方法，其特征在于，包括加密卡应密钥管理中心KMC请求，生成加密证书Enc-Cert密钥对；所述加密卡利用预先获得的发自用户端的USB Key的预设密钥对中的公钥加密所述Enc-Cert密钥对中的私钥，得到数字信封Env-User，将该Env-User通过KMC传送给权威认证机构CA；CA根据Enc-Cert密钥对中的公钥签发Enc-Cert，并将该Enc-Cert及Env-User提供给USB Key；USB Key根据所述预设密钥对中的私钥解密所述Env-User，得到所述Enc-Cert密钥对中的私钥及加密证书。
2、 如权利要求1所述的方法，其特征在于，还包括对所述Enc-Cert 密钥对中的私钥进行备份。
3、 如权利要求2所述的方法，其特征在于，按照以下步骤对所述Enc-Cert 密钥对中的私钥进行备份利用预先生成的KMC公钥加密所述加密证书的私钥，得到由KMC公钥 加密的数字信封Env—KMC;通过拉格朗日插值多项式算法，把所述Env—KMC进行分解，得到预设 数量的Env—KMC部分；利用相应数量的KMC管理员公钥分别对各Env—KMC部分进行加密，并 将加密结果存储于数据库中；删除加密卡中的用户加密证书的密钥对、Env—KMC及所有Env—KMC部分。
4、 如权利要求3所述的方法，其特征在于，还包括备份KMC管理员 私钥；按照以下步骤进行在与所述预设数量相同数量的USB Key中分别生成临时密钥对，并传递 给加密卡；加密卡利用所述各临时密钥对中的公钥对各KMC管理员私钥进行加密， 得到相应数量的KMC管理员私钥密文，并分别提供给各USB Key保存；所述各USB Key利用临时密钥对中的私钥对各KMC管理员私钥密文进 行解密，得到KMC管理员私钥，并安装；利用预先生成的KMC公钥对各KMC管理员私钥进行加密后，导入预设 数据库；删除所述加密卡中的KMC管理员的私钥及相应的密文。
5、 如权利要求4所述的方法，其特征在于，还包括对KMC私钥进行 备份。
6、 如权利要求5所述的方法，其特征在于，所述对Enc-Cert密钥对中 的私钥、KMC管理员私钥KMC私钥的备份过程是在离线状态下进行的，所 述预设 居库为离线数据库。
7、 如权利要求1-6所述的方法，其特征在于，所述预设密钥对为签名证 书的密钥对，按照以下步骤获得USB Key生成用于构建签名证书Sign-Cert的密钥对，并向CA发送 Sign-Cert请求信息，该请求包括所述用于构建Sign-Cert的密钥对及生成 Sign-Cert的用户信息；CA签发Sign-Cert,并向KMC发送Enc-Cert密钥对请求信息，该申请 请求携带所述Sign-Cert;KMC将该Enc-Cert密钥请求信息发送给所述加密卡；所述加密卡从所述Enc-Cert密钥请求信息中获得Sign-Cert的密钥对。
8、 如权利要求1-6所述的方法，其特征在于，所述预设密钥对为临时密 钥对，按照以下步骤获得USB Key生成用于构建Sign-Cert的密钥对，并向CA发送Sign-Cert请 求信息，该请求包括所述用于构建Sign-Cert的密钥对及生成Sign-Cert的用 户信息；接收CA签发的Sign-Cert，并安装；生成临时密钥对，用所述Sign-Cert签名所述临时密钥对中的临时公钥， 并将签名、所述临时公钥随同Enc-Cert请求消息通过CA提供给KMC,由该 KMC向加密卡发送Enc-Cert密钥对请求；所述加密卡从所述Enc-Cert密钥请求信息中获得所述临时密钥对。
9、 一种用户数字证书私钥管理系统，其特征在于，包括用户端、密钥 管理中心KMC、权威认证机构CA和加密卡；其中所述KMC包括第一请求单元，用于应用户端数字证书请求，发送加密证书Enc-Cert密 钥对生成请求；转发单元，用于将加密卡发送的信息转发给CA; 所述加密卡包括Enc-Cert密钥对生成单元，用于针对所述Enc-Cert密钥对生成请求，生 成Enc-Cert密钥对；第一处理单元，用于利用预先获得的发自用户端的USBKey的预设密钥 对中的公钥，加密所述Enc-Cert密钥对中的私钥，得到数字信封Env-User, 将该Env-User发送给KMC;所述CA用于根据Enc-Cert密钥对中的公钥签发Enc-Cert,并将该 Enc-Cert及Env-User提供给用户端，由所述用户端根据所述预设密钥对中的 私钥解密所述Env-User,得到所述Enc-Cert密钥对中的私钥。
10、如权利要求9所述的系统，其特征在于所述KMC还包括第二处理单元，利用预先获得的KMC公钥加密所述Enc-Cert的密钥对 中的私钥，得到由KMC公钥加密的数字信封Env—KMC;拉格朗日算法单元，用于通过拉格朗日插值多项式算法，把所述 Env—KMC进行分解，得到预设数量的Env—KMC部分；第三处理单元，利用相应数量的KMC管理员公钥分别对各Env—KMC部 分进行加密，并将加密结果存储于数据库中；所述加密卡还包括删除单元，用于在所述KMC将加密结果存储于数据库中后，删除加密卡 中的Enc-Cert的密钥对、Env—KMC及所有Env—KMC部分。
全文摘要
本发明实施例公开了一种用户数字证书私钥管理方法，包括加密卡生成加密证书的密钥对；所述加密卡利用预先获得的预设密钥对中的公钥加密所述加密证书的密钥对中的私钥，得到数字信封；CA签发加密证书，并将该加密证书及所述数字信封提供给用户端的USB Key；USB Key根据预设密钥对中的私钥解密所述数字信封，得到所述加密证书的私钥。本发明实施例同时还提供了一种实现上述方法的系统。本发明实施例保证了加密证书的私钥在传输过程中的安全性。本发明实施例还利用KMC公钥和KMC管理员公钥对加密证书的私钥进行加密备份，并进一步对KMC私钥和KMC管理员私钥进行备份，保证了所述加密证书的私钥的备份安全性和可恢复性。
文档编号H04L9/28GK101483518SQ20091007821
公开日2009年7月15日 申请日期2009年2月20日 优先权日2009年2月20日
发明者旭 刘, 唐志红, 孟仁兴, 张海松, 鄂海红 申请人:北京天威诚信电子商务服务有限公司