[发明专利]一种针对加密数字证书的密钥管理与恢复方法

说明书

技术领域

本发明属于信息安全的公开密钥基础设施(Public KeyInfrastructure，PKI)技术领域，特别是一种针对加密数字证书的密钥管理与恢复方法。

背景技术

加密技术是信息安全的核心技术，在加密技术中常用的加密算法有对称密钥加密算法(对称密钥加密技术)和非对称密钥加密算法(非对称密钥加密技术)。非对称密钥加密算法使用一对密钥进行信息加密、解密，其中一个公开发布，称为公钥，用于信息加密(或数字签名验证)，另一个不公开发布，由密钥对的拥有者(或实体)安全保存，可用于信息解密(或数字签名)。这一对密钥对称为公开密钥对，因此，非对称密钥加密算法(技术)又称为公开密钥加密算法(技术)。目前最常用的非对称密钥加密算法有RSA算法、DSA等，而椭圆算法(elliptic curvecryptography，ECC)是最近出现的、目前获得广泛重视的一种非对称密钥加密算法。

基于公开密钥技术建立的安全体制称为公开密钥基础设施(PublicKey Infrastructure，PKI)。在PKI中，为了实现公钥的可靠发布、防止假冒，由一个称为证书认证机构(Certification Authority，CA)的实体通过一个证书认证系统(称为CA系统)为公开密钥对的拥有者签发数字证书(简称证书)。数字证书是一组电子信息，它上面有公钥、公钥拥有者、证书签发者(Issuer，即证书认证机构)、证书序列号、证书用途等信息，并由证书认证机构的私钥数字签名，该签名的有效性可经证书认证机构的公钥验证(证书认证机构的公钥可通过一定的安全途径获得)。数字证书中公钥拥有者信息称为主题名(Subject Name)。通过数字证书可实现公钥(或公开密钥对)与密钥对拥有者的有效绑定。

数字证书根据其用途和作用，通常又分为身份证书、加密证书及其他类型的证书。身份证书通常用于身份鉴别和数字签名，而加密证书则用于信息的加密。根据国家密码管理部门的有关规定和要求，加密证书的密钥对须由一个专门的密钥管理系统集中产生和保存(对于保存而言，关键是私钥的保存，因为公钥是可公开发布的)。该密钥管理系统由专门的、经授权的机构负责运行、维护，称为密钥管理中心(Key ManagementCenter，KMC)，该密钥管理系统通常也称为KMC系统。在需要的时候，如用户私钥丢失、损坏或司法实践需要时，可由该密钥管理系统恢复加密数字证书的私钥。

由一个密钥管理系统长时间(如几十年)地集中保存大量的(如几百万、几千万张)加密数字证书的密钥对，无论从管理上还是技术上，都是一个巨大的挑战，比如，若保存私钥的密钥数据库损坏，那么，有可能造成几百万、几千万数字证书的私钥无法恢复，另外，在恢复证书私钥时，从几百万、几千万个密钥对中找出对应私钥可能需要花费很长的时间，不利于在线实时恢复证书，而且私钥恢复只能由一个集中式系统恢复，会造成私钥恢复使用上的不便和缺乏灵活性等。

发明内容

本发明的目的是提供一种无需集中保存用户加密证书的私钥，就可在需要的时候安全恢复用户加密证书私钥的密钥管理与恢复方法。

本发明包括：证书签发系统(CA系统)、密钥对产生系统、密钥恢复系统(或密钥恢复工具)、密钥恢复证书及私钥、用户加密证书及私钥、加密应用软件和证书用户，其中：

密钥对产生系统、密钥恢复系统实现原密钥管理系统中与证书密钥对产生和证书私钥恢复相对应的功能，与原密钥管理系统不同的是，本发明不需要进行密钥对的集中保存，且密钥对产生系统、密钥恢复系统可分开实现、分开运行(在不同地方)。密钥恢复系统与密钥恢复工具的差别是，密钥恢复系统是一个在线运行系统，向证书用户提供通过网络在线恢复加密证书私钥的功能，而密钥恢复工具是一个桌面软件，可运行在任一桌面计算机上恢复加密证书私钥。密钥恢复证书是一个(或多个)共用加密证书，该证书的公钥用于对用户加密证书的私钥加密，密钥恢复系统(或工具)使用该证书的私钥恢复用户加密证书的私钥。密钥恢复证书及私钥可由专门的密钥管理机构或某个特定的组织机构拥有。加密应用软件是任何可进行信息加密、解密的软件，如文件加密软件、具有加密功能的邮件客户端(如Outlook，Outlook Express)等。证书用户是加密证书的拥有者和私钥的使用者。

本发明的方法主要涉及四部分过程，定义新证书扩展项(extensions)，签发加密证书，使用加密证书，及恢复加密证书私钥。