[发明专利]一种电子签名令牌私钥的备份方法和系统

说明书

技术领域

本发明涉及一种电子技术领域，尤其涉及一种电子签名令牌私钥的备份方法和系统。

背景技术

现有技术中，电子签名令牌中存储用户的私钥以及数字签名，利用USB Key内置的公钥算法实现对用户身份的认证。在现有的电子签名令牌中用户私钥理论上使用任何方式都无法读取，以保证了用户认证的安全性。然而，一旦电子签名令牌丢失，就无法得到原有的私钥，用户就必须重新办理电子签名令牌，私钥和序列号等关键信息都得重新分发和获取，需要触发电子签名令牌的更新流程，使得电子签名令牌的维护成本提高。因此，如何高效对电子签名令牌进行维护是目前亟待解决的问题。

发明内容

本发明旨在解决上述问题/之一。

本发明的第二电子签名令牌要目的在于提供一种电子签名令牌私钥的备份方法和系统

为达到上述目的，本发明的技术方案具体是这样实现的：

一种电子签名令牌私钥的备份方法，方法包括：第一电子签名令牌执行发送私钥备份请求数据包的操作，其中私钥备份请求数据包包括第一签名，其中第一签名是利用CA私钥至少对记录有第一电子签名令牌的主备关系的第一指示信息进行签名后得到的；第二电子签名令牌在接收到私钥备份请求数据包后，对私钥备份请求数据包中的第一签名进行验证；如果验证通过，则根据第一指示信息判断第一电子签名令牌是否与第二电子签名令牌存在备份关系；如果第一电子签名令牌与第二电子签名令牌存在备份关系，则第二电子签名令牌对第二电子签名令牌的私钥进行加密得到加密后的第二电子签名令牌的私钥；第二电子签名令牌执行发送私钥备份响应数据包的操作，其中私钥备份响应数据包包括第二签名以及加密后的第二电子签名令牌的私钥，其中第二签名是利用CA私钥至少对记录有第二电子签名令牌的主备关系的第二指示信息进行签名后得到的；第一电子签名令牌在接收到私钥备份响应数据包后，对私钥备份响应数据包中的第二签名进行验证；如果验证通过，则根据第二指示信息判断第二电子签名令牌是否与第一电子签名令牌存在主备关系；如果第二电子签名令牌与第一电子签名令牌存在主备关系，则第一电子签名令牌对私钥备份响应数据包中加密后的私钥进行解密，得到第二电子签名令牌的私钥。

其中，第一指示信息为第一电子签名设备的第一标识组，其中第一标识组包括第一电子签名令牌对应的主电子签名令牌的标识以及与主电子签名令牌存在备份关系的电子签名令牌的标识；根据第一指示信息判断第一电子签名令牌是否与第二电子签名令牌存在备份关系包括：判断第二电子签名令牌的标识是否在第一标识组中。

其中，第一指示信息为第一电子签名设备的标识；根据指示信息判断第一电子签名令牌是否与第二电子签名令牌存在备份关系包括：判断第二电子签名令牌的标识是否在本地预先存储的第二标识组内，其中第二标识组包括第二电子签名令牌的标识以及与第二电子签名令牌存在备份关系的电子签名令牌的标识。

其中，第二电子签名令牌对私钥备份请求数据包中的第一签名进行验证，包括：第二电子签名令牌利用CA公钥对私钥备份请求数据包中的第一签名进行验证。

其中，第一电子签名令牌执行发送私钥备份请求数据包的操作，包括：第一电子签名令牌对私钥备份请求数据包进行签名，并发送签名处理后的私钥备份请求数据包；第二电子签名令牌对私钥备份请求数据包中的第一签名进行验证之前，还包括：第二电子签名令牌对签名处理后的私钥备份请求数据包的签名进行验证，如果验证通过，则执行第二电子签名令牌对私钥备份请求数据包中的第一签名进行验证。

其中，第二电子签名令牌执行发送私钥备份响应数据包的操作，包括：第二电子签名令牌对私钥备份响应数据包进行签名，并发送签名处理后的私钥备份响应数据包；第一电子签名令牌对私钥备份响应数据包中的第二签名进行验证之前，还包括：第一电子签名令牌对签名处理后的私钥备份响应数据包的签名进行验证，如果验证通过，则执行第一电子签名令牌对私钥备份响应数据包中的第二签名进行验证的操作。

其中，第二电子签名令牌对第二电子签名令牌的私钥进行加密，包括：第二电子签名令牌和第一电子签名令牌获取匹配码；第二电子签名令牌与第一电子签名令牌利用匹配码协商两者通信所使用的加密策略以及加密策略对应的解密策略；第二电子签名令牌利用加密策略对私钥加密，得到加密后的私钥；第一电子签名令牌对私钥备份响应数据包中加密后的私钥进行解密，得到私钥，包括：第一电子签名令牌利用解密对加密后的私钥进行解密，得到私钥。