主权项 |
一种针对加密数字证书的密钥管理与恢复方法,该方法涉及如下实体:证书签发系统、密钥对产生系统、密钥恢复系统、密钥恢复证书及私钥、用户加密证书及私钥、加密应用软件和证书用户,其中:证书签发系统:用于签发用户加密数字证书;密钥对产生系统:用于产生用户加密证书密钥对;密钥恢复系统:用于恢复用户加密证书私钥;密钥恢复证书及私钥:用于对用户加密证书私钥的加密、解密;用户加密证书及私钥:用户使用它进行信息加密、解密;加密应用软件:使用用户加密证书及私钥进行信息加密、解密;证书用户:加密证书及私钥的拥有者和使用者;证书签发系统在从密钥生成系统获得用户加密证书密钥对后,在对证书进行签名前,需进行如下操作步骤:步骤1.通过系统配置找到对应的密钥恢复证书、私钥恢复策略OID及其他相关信息;步骤2.用密钥恢复证书公钥对用户私钥以及用户输入的私钥恢复PIN码散列值进行加密;步骤3.将密钥恢复证书的主题甄别名、密钥恢复证书标识ID,加密后的用户证书私钥和私钥恢复PIN码散列值,以及信息加密格式,散列算法标识,放入用户加密证书的私钥恢复扩展项的对应字段;步骤4.进一步地,根据配置设定,将私钥恢复策略OID放入到私钥恢复扩展项的对应字段;当用户加密证书的私钥损坏或丢失后,按如下流程步骤进行私钥恢复:第一步.用户或私钥恢复者从加密信息或证书发布目录中获取需要恢复私钥的加密证书;第二步.将加密证书通过一定在线或离线的方式提交给密钥恢复系统;第三步.如果是在线恢复,则密钥恢复系统通过一定的方法验证、确认恢复请求的提交者就是加密证书的拥有者,若验证、确认成功,则继续;否则,私钥恢复过程中止;第四步.密钥恢复系统解析加密证书,从私钥恢复扩展项中获取密钥恢复证书主题名、密钥恢复证书标识ID、加密后的用户证书私钥、加密格式、散列算法、私钥恢复策略OID信息;第五步.密钥恢复系统,根据私钥恢复扩展项中包含的密钥恢复证书主题名、密钥恢复证书标识ID、私钥恢复策略OID判断是否可以为该加密证书恢复私钥,若可以,则继续;否则,私钥恢复过程中止;第六步.密钥恢复系统根据私钥恢复扩展项中包含的密钥恢复证书主题名、密钥恢复证书标识ID在密码系统中选择密钥恢复证书对应私钥;第七步.密钥恢复系统根据私钥恢复扩展项中包含的加密格式信息,确定该扩展项中包含的私钥的加密格式;第八步.密钥恢复系统使用密钥恢复证书私钥,并根据加密格式解密加密后的用户加密证书私钥,恢复出该私钥;第九步.密钥恢复系统,通过一定的安全方式,将解密后的用户证书私钥返回给用户;其方法涉及四个过程,定义证书扩展项过程,签发加密证书过程,使用加密证书过程和恢复加密证书私钥过程,在定义证书扩展项过程中定义一个新的、私钥恢复扩展项,该扩展项包含如下内容:1)密钥恢复证书主题名;2)密钥恢复证书标识ID;3)经加密的用户加密证书私钥;4)经加密的用户私钥恢复PIN码散列值;5)密钥恢复信息加密格式;6)散列算法;7)证书恢复策略OID。 |