[发明专利]一种用户数字证书私钥管理方法和系统

说明书

技术领域

本发明涉及通信技术领域，更具体地说，涉及一种基于密钥管理体系的 用户数字证书私钥管理方法和系统。

背景技术

在公钥基础设施(PKI，Public Key Infrastructure)中，用户的数字证书 分为签名证书和加密证书，其中，所述签名证书主要用于对用户信息进行签 名，以保证信息的有效性和不可否认性；所述加密证书主要用于对用户传送 信息进行加密，以保证信息的保密性和完整性。所述签名证书包含一对密钥 (签名公钥和签名私钥)，所述加密证书也包含一对密钥(加密公钥和加密 私钥)，所述签名证书的签名公钥和加密证书的加密公钥处于公开状态。

用户A利用签名私钥进行签名后，其他用户(如用户B)可以利用处于 公开状态的签名公钥对用户A的签名进行验证，并且用户B可以利用用户A 的加密公钥对信息进行加密后传送给用户A，用户A利用加密私钥对加密后 的信息进行解密。这时，为了保证信息的有效性、不可否认性、保密性和完 整性，签名证书和加密证书需要满足以下条件：1、签名证书唯一性，也就是 说，签名私钥不能存在备份，否则将破坏签名证书的不可否认性；2、加密证 书的加密私钥需要有安全的备份，否则当用户A丢失加密私钥的时候，将无 法打开其他用户加密过的文件；另外，加密私钥的备份内容不能被用户A之 外的其他用户获得，否则将影响加密信息的保密性和完整性。

由此可见，要完全确保密钥管理安全实现，需要一套完整的流程来实现 用户加密证书私钥在传输、安装、备份和恢复过程中保密性、完整性和可靠 性。

发明内容

有鉴于此，本发明实施例提供一种用户数字证书私钥管理方法和系统， 以实现用户加密证书的私钥在传输、安装、备份和恢复过程中保密性、完整 性和可靠性。

本发明实施例是这样实现的：

一种用户数字证书私钥管理方法，包括：

加密卡应密钥管理中心KMC请求，生成加密证书Enc-Cert密钥对，该 Enc-Cert密钥对包括私钥和公钥；

所述加密卡利用预先获得的发自用户端的USB Key的预设密钥对中的公 钥加密所述Enc-Cert密钥对中的私钥，得到数字信封Env-User，将该 Env-User通过KMC传送给权威认证机构CA；

CA根据Enc-Cert密钥对中的公钥签发Enc-Cert，并将该Enc-Cert及 Env-User提供给USB Key；

USB Key根据所述预设密钥对中的私钥解密所述Env-User，得到所述 Enc-Cert密钥对中的私钥及加密证书。

优选的，上述方法还包括：对所述Enc-Cert密钥对中的私钥进行备份。

优选的，上述方法中，按照以下步骤对所述Enc-Cert密钥对中的私钥进 行备份：

利用预先生成的KMC公钥加密所述加密证书的私钥，得到由KMC公钥 加密的数字信封Env_KMC；

通过拉格朗日插值多项式算法，把所述Env_KMC进行分解，得到预设 数量的Env_KMC部分；

利用相应数量的KMC管理员公钥分别对各Env_KMC部分进行加密，并 将加密结果存储于数据库中；

删除加密卡中的用户加密证书的密钥对、Env_KMC及所有Env_KMC部 分。

优选的，上述方法还包括：备份KMC管理员私钥；按照以下步骤进行：

在与所述预设数量相同数量的USB Key中分别生成临时密钥对，并传递 给加密卡；

加密卡利用所述各临时密钥对中的公钥对各KMC管理员私钥进行加密， 得到相应数量的KMC管理员私钥密文，并分别提供给各USB Key保存；

所述各USB Key利用临时密钥对中的私钥对各KMC管理员私钥密文进 行解密，得到KMC管理员私钥，并安装；

利用预先生成的KMC公钥对各KMC管理员私钥进行加密后，导入预设 数据库；

删除所述加密卡中的KMC管理员的私钥及相应的密文。

优选的，上述方法还包括：对KMC私钥进行备份。

优选的，所述对Enc-Cert密钥对中的私钥、KMC管理员私钥及KMC私 钥的备份过程是在离线状态下进行的，所述预设数据库为离线数据库。

优选的，所述预设密钥对为签名证书的密钥对，按照以下步骤获得：