[发明专利]一种软件证书及私钥的加密存储并找回的方法

说明书

技术领域

本发明属于计算机及网络信息安全领域，涉及公共数字证书体系中用户软件证书及私钥的加密、存储和找回的方法。

背景技术

随着PKI(公钥基础设施)技术的发展，公共数字证书应用广泛，例如各大银行都为用户提供数字证书来保障用户在网上交易时的信息和账户安全。从承载方式上划分，数字证书可以分为两类：硬件证书和软件证书。硬件证书将证书文件和私钥封装在一个电子装置中(如U-KEY)，一般不可导出，从而保证了证书持有人在不丢失装置的情况下其证书和私钥的安全。但硬件证书成本较高，且需随身携带，对用户使用造成不便。软件证书将证书文件和私钥形成一个计算机文件，由用户自己保管或托管。用户自己保管可以有多种方式：存在本机，U盘或自己的邮箱中等等。用户自己保管有两个问题：一是容易被盗，一旦存有证书文件和私钥的计算机文件被他人获取，证书就失效了；二是容易丢失，用户格式化硬盘或U盘，清理邮箱都会删除文件，丢失证书。托管证书可以解决证书丢失问题，目前主要的托管方式是用户将证书文件和私钥存在发证机关或信任的第三方的服务器中，证书用户通过访问托管服务器可以找回证书。但是这样带来三个问题：第一，证书持有人不是唯一掌握私钥的人，他是否可以相信托管服务器的管理员？尽管可以采取很多安全措施，如：将私钥拆分，存到不同地点的服务器并由不同的人员管理等。但可能被管理员盗用的问题依然存在。第二，由于存在管理员盗用的可能，此时证书持有者对其数字签名就可以否认。第三，对于频繁使用不同计算机的用户(如网吧用户)，每次使用证书都要到托管服务器下载，大大增加了托管服务器的负荷，同时，作为依赖方，即提供应用服务的运营商，不能接受它的用户每一次登陆过程都要通过一个集中式的第三方服务器的验证，因为，一旦托管服务器故障，这些用户就无法登陆，给用户和运营商特别是游戏运营商带来巨大损失。

因此，提供一种安全方便的、由用户独立控制的私钥存储找回的方法，对软件证书的推广使用有着十分重要的意义。

发明内容

本发明的目的是提供一种公共数字证书体系中用户软件证书及私钥的加密、存储和找回的方法。解决以下问题：1，安全性，只有持证用户能够使用证书和私钥；2，方便性，存储和找回证书的过程对用户是“透明的”，用户不必操作这些过程；3，有效性，在绝大多数(大于99％)的情况下，找回证书不必通过中心托管服务器，而自动安装。

本发明的技术方案是：1，开发一个用户下载(家庭用户)或预安装(网吧用户)客户端到上网PC，实现对证书文件和私钥的加密，存储和找回。(注：客户端还能完成证书申请，密钥对生成，提交证书，IE安装，验证证书，签名，摘要，证书更新删除等多项功能，不在本说明书中详述)；2，密钥对产生的同时，用户自己选择一个口令密码(6-12字节的字符串，变换为128bit对称密钥)对私钥进行3DES对称加密；3，接收由CA签发的证书文件，用公钥将证书文件加密(RSA算法)，组成一个加密私钥密文和证书密文的新密文文件(以下简称密文文件)；4，将密文文件存储到本机客户端目录下(家庭用户)或本地服务器的特定目录下(网吧用户)，同时，通过客户端将该文件传送到托管目录服务器备份；5，用户使用证书时，根据其输入的身份证号码或网络ID，首先搜索本机/本地的密文文件，没有发现则向托管目录服务器发请求，将密文文件调到客户端“容器”中；6，提示用户输入私钥保护密码(6-12字节字符串)，利用3DES算法解密私钥，RSA算法解密证书文件，还原证书和私钥。

本发明的优点是：1，对用户透明，除了客户端弹出对话框提示用户输入ID和密码外，用户不参与任何过程；2，私钥保护密码只有用户自己知道，而且不在任何地方存储，在密码未被破解或盗取的情况下，用户不能否认使用过证书签名；3，利用网吧管理服务器对密文文件进行托管，大大分散了系统故障风险。

本发明的进一步安全措施：1，当用户到中心托管目录服务器找回密文文件时，通过其它渠道(手机短信或EMAIL)提示或验证；2，用户每次使用证书时，通过其它渠道(手机短信或EMAIL)提示或验证；3，用户可以查询证书使用历史纪录，察看是否有人盗用。

附图说明

附图1描述了密文文件生成和存储过程，附图2描述了找回密文文件和私钥解密，还原证书的过程。

具体实施方式

实施例一：参见附图1，描述了用户申请证书、产生秘钥对、密文文件生成及存储。

1，用户申请证书：产生密钥对，调用函数GenKeyPair()