对用户加密密钥恢复进行管理的方法和系统技术方案

本发明专利技术实施例提供了一种对用户加密密钥恢复进行管理的方法和系统。该方法包括：认证中心接收到证书注册中心发送的用户证书密钥恢复请求，认证中心在用户证书的扩展选项中加入恢复申请事由信息，向密钥管理中心发送包含用户证书的扩展选项的密钥恢复服务请求；密钥管理中心对密钥恢复请求信息进行解析，获取用户信息和恢复申请事由，根据用户信息恢复出用户的加密密钥对，将恢复申请事由和加密密钥对进行关联保存，并将加密密钥对返回给认证中心。本发明专利技术实施例通过将用户密钥恢复信息引入到用户证书的扩展选项中，可以实现让密钥管理中心获取更完善的密钥恢复申请信息，实现了密钥管理中心对用户加密密钥恢复进行有效管理、识别。

【技术实现步骤摘要】
对用户加密密钥恢复进行管理的方法和系统
本专利技术涉及密钥管理
，尤其涉及一种对用户加密密钥恢复进行管理的方法和系统。
技术介绍
基于PKI（PublicKeyInfrastructure，公钥基础设施）技术的数字证书在电子商务、电子政务、网上银行等应用中使用越来越广泛，用户急剧增长。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。一个完整地PKI系统是由认证机构、密钥管理中心、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成。CA（certificateauthority，认证中心）作为电子商务交易中受信任的第三方，专门解决公钥体系中公钥的合法性问题。CA为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证实证书中列出的用户名称和证书中列出的公开密钥相对应。CA的数字签名使得攻击者不能伪造和篡改数字证书。KM（KeyManagement，密钥管理）系统负责为CA系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务，KM系统除了可以提供加密密钥的通用密钥管理服务，还可以为司法人员提供司法取证的服务，可以解决分布式企业应用环境中大规模密码技术应用所带来的密钥管理问题。它应该支持SM2算法和RSA算法，密钥对的存储也都基于国家规范，与CA系统的接口规范完全符合国家规范的要求，满足作为一个高规格的密钥管理中心应有的安全、功能、性能需求。密钥的管理是PKI体系中最为关键的安全问题，CA系统签发用户双证书后，对于签名证书，私钥由用户自身保存，并对外发布公钥证书。如果用户的私钥泄漏，则攻击者可以利用该私钥伪造用户签名信息，也可以解密该用户的加密信息，因此保证用户私钥的安全性是密钥管理中核心的内容。而对于加密证书而言，公私钥均由KM产生和管理，私钥的分发也是密钥管理的核心问题，用户如果将USBKEY毁坏，需要提交密钥恢复申请，重新获得加密证书，才能对前加密证书加密过的密文进行解密，满足日常需要。PKI系统安全问题的关键是密钥管理。签名证书中的公钥通过公钥证书公开发布，由证书权威机构CA的签名来保证它的完整性。私钥由用户秘密保存，一旦泄漏，攻击者就有可能解密发给私钥用户的加密信息，或者伪造密钥用户的签名。因此，密钥管理的关键问题就是确保私钥的安全性。当前主要采用硬件设备的物理特性来保护私钥的绝对安全性。用户的私钥由硬件设备生成而且只保存在存储介质中无法导出。要访问该用户私钥只能通过用户自身设定的密码来访问，这就确保了除用户本人外，其他任何人均无法使用该私钥信息。而在使用加密证书的时候，用户出现丢失或者损坏自身设备的情况时，用户可以及时挂失等方式停止对该密钥对的使用。但是用户已有的加密文件将无法解密读取，因此在PKI管理体系中提供了加密密钥对的恢复管理，同时这也可以为司法取证提供支持。现有的密钥恢复机制中，由密钥管理中心来实现加密密钥的产生和恢复。除了司法取证时在KM端恢复的情况外，其他情况均为用户在RA（RegisterAuthority，证书注册中心）端提出申请的方式。当用户需要恢复密钥时，首先由用户通过RA受理点提出申请，经过管理员审核通过后，RA才向CA发送申请，CA调用密钥管理中心的密钥恢复接口发送请求，密钥管理中心通过数字信封将该用户的加密密钥返回给CA，CA通过该密钥对签发用户证书返回给RA，最后下载到用户证书的存储介质中。在整个过程中，只有RA管理员进行申请，其余环节均为系统自动完成，CA和密钥管理中心均没有进行恢复控制和限制，缺乏完善的管理，不利于KM系统为多个CA服务，无法对用户的密钥恢复事件进行记录和管理。
技术实现思路
本专利技术的实施例提供了一种对用户加密密钥恢复进行管理的方法和系统，以实现对用户加密密钥恢复进行有效管理、识别。一种对用户加密密钥恢复进行管理的方法，包括：认证中心接收到证书注册中心发送的用户证书密钥恢复请求，所述认证中心在用户证书的扩展选项中加入恢复申请事由信息，向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求；所述密钥管理中心对所述密钥恢复请求信息进行解析，获取用户信息和恢复申请事由，根据所述用户信息恢复出用户的加密密钥对，将所述恢复申请事由和加密密钥对进行关联保存，并将所述加密密钥对返回给所述认证中心。一种对用户加密密钥恢复进行管理的系统，包括：认证中心，用于接收证书注册中心发送的用户证书密钥恢复请求，在用户证书的扩展选项中加入恢复申请事由信息，向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求；密钥管理中心，用于对所述认证中心发送过来的密钥恢复请求进行解析，获取用户信息和恢复申请事由，根据所述用户信息恢复出用户的加密密钥对，将所述恢复申请事由和加密密钥对进行关联保存，并将所述加密密钥对返回给所述认证中心。由上述本专利技术的实施例提供的技术方案可以看出，本专利技术实施例通过CA将用户密钥恢复信息（包括用户恢复时间、恢复申请事由、恢复次数信息）引入到用户证书的扩展选项中，可以实现让密钥管理中心获取更完善的密钥恢复申请信息，实现了密钥管理中心对用户加密密钥恢复进行有效管理、识别，并可以根据用户证书信息对密钥恢复事件进行追溯，保障用户密钥恢复流程的安全性和高效的可管理性。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例一提供的一种对用户加密密钥恢复进行管理的方法的处理流程示意图；图2为本专利技术实施例二提供的一种对用户加密密钥恢复进行管理的系统的结构示意图。具体实施方式为便于对本专利技术实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本专利技术实施例的限定。实施例一本专利技术实施例提供的一种对用户加密密钥恢复进行管理的方法的处理流程示意图如图1所示，包括如下的处理步骤：步骤1、用户的用户终端向RA受理点提交密钥恢复申请，该密钥恢复申请中包含密钥恢复申请表和用户相关信息，上述密钥恢复申请表中包含用户恢复时间、恢复申请事由、恢复次数信息；步骤2、RA受理点的管理员对上述密钥恢复申请请求进行初审，该初审主要验证用户个人身份信息，包括用户名字、用户证件，并验证所请求恢复的密钥的使用者是否是上述用户。步骤3、当上述用户终端的密钥恢复申请符合条件，初审合格后，RA受理点将上述用户终端的密钥恢复申请发送到RA中心；如果上述用户终端的密钥恢复申请初审不合格，则给予拒绝；步骤4、RA中心对上述用户终端的密钥恢复申请进行审核，该审核主要审核上述用户是否是合法用户，以及该RA受理点是否有权限提交该用户的密钥恢复申请请求，即该用户是否归该RA受理点管理。步骤5、当上述用户终端的密钥恢复申请符合条件，审核合格后，RA中心的管理员根据上述密钥恢复申请表和用户相关信息向CA发送上述用户的证书密钥恢复请求；如果上述用户终端的密钥恢复申请审核不合格，则给予拒绝；步骤6、CA收到上述用户的证书密钥恢复请求后，存储上述用户的证书密钥恢复申请的相关信息，其中包括上述密钥恢复申请表本文档来自技高网...

【技术保护点】
一种对用户加密密钥恢复进行管理的方法，其特征在于，包括：认证中心接收到证书注册中心发送的用户证书密钥恢复请求，所述认证中心在用户证书的扩展选项中加入恢复申请事由信息，向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求；所述密钥管理中心对所述密钥恢复请求信息进行解析，获取用户信息和恢复申请事由，根据所述用户信息恢复出用户的加密密钥对，将所述恢复申请事由和加密密钥对进行关联保存，并将所述加密密钥对返回给所述认证中心。

【技术特征摘要】
1.一种对用户加密密钥恢复进行管理的方法，其特征在于，包括：认证中心接收到证书注册中心发送的用户证书密钥恢复请求，所述认证中心在用户证书的扩展选项中加入恢复申请事由信息，向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求；所述密钥管理中心对所述密钥恢复请求信息进行解析，获取用户信息和恢复申请事由，根据所述用户信息恢复出用户的加密密钥对，将所述恢复申请事由和加密密钥对进行关联保存，并将所述加密密钥对返回给所述认证中心；所述的将所述恢复申请事由和加密密钥对进行关联保存，并将所述加密密钥对返回给所述认证中心，包括：所述密钥管理中心接收到所述密钥恢复服务请求后，检查确定所述密钥恢复服务请求的合法性，在检查确定所述密钥恢复服务请求合法后，所述密钥管理中心解析所述密钥恢复服务请求，获取用户信息和用户恢复时间、恢复申请事由、恢复次数信息；所述密钥管理中心根据解析得到的用户信息恢复出所述用户的包括私钥和公钥的加密密钥对，将所述用户的加密密钥对和所述用户恢复时间、恢复申请事由、恢复次数信息进行关联存储；所述密钥管理中心对所述私钥进行数字信封处理后，将所述私钥和公钥发送给所述认证中心；所述的方法还包括：认证中心对所述密钥管理中心返回的数字信封解封，获取所述密钥管理中心返回的用户的加密密钥对，根据该加密密钥对组织并签发用户证书，在用户证书的扩展选项中加入本次密钥恢复的相关记录信息，该相关记录信息包括：用户恢复时间、恢复申请事由、恢复次数信息；所述认证中心将签发的用户证书信息与之前存储的所述用户恢复时间、恢复申请事由、恢复次数信息进行关联；所述认证中心对签发的用户证书信息进行数字信封处理后，通过安全加密通道发送到证书注册中心，所述证书注册中心对所述认证中心返回的数字信封解封，恢复出所述用户证书，将恢复的用户证书信息下载到用户的密钥存储介质中，完成一次用户密钥恢复流程。2.根据权利要求1所述的对用户加密密钥恢复进行管理的方法，其特征在于，所述认证中心接收到证书注册中心发送的用户证书密钥恢复请求之前，还包括：用户的用户终端向证书注册中心受理点提交密钥恢复申请，该密钥恢复申请中包含密钥恢复申请表和用户相关信息，上述密钥恢复申请表中包含用户恢复时间、恢复申请事由、恢复次数信息；所述证书注册中心受理点对所述密钥恢复申请请求进行初审，在初审合格后，所述证书注册中心受理点将所述密钥恢复申请发送到证书注册中心，该证书注册中心对所述密钥恢复申请进行审核；在审核合格后，所述证书注册中心根据所述密钥恢复申请表和用户相关信息向认证中心发送所述用户的证书密钥恢复请求。3.根据权利要求1所述的对用户加密密钥恢复进行管理的方法，其特征在于，所述的认证中心在用户证书的扩展选项中加入恢复申请事由信息，向密钥管理中心发送包含所述用户证书的扩展选项的密钥恢复服务请求，包括：认证中心收到所述证书密钥恢复请求后，存储所述密钥恢复申请表和用户相关信息；所述认证中心根据存储的所述密钥恢复申请表和用户相关信息组织密钥恢复服务请求，该密钥恢复服务请求中包括协议版本、服务请求标识符...

【专利技术属性】
技术研发人员：林文辉，耿方，郭向国，杜悦琨，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：北京;11