對用戶加密密鑰恢復進行管理的方法和系統的制作方法

對用戶加密密鑰恢復進行管理的方法和系統的制作方法
【專利摘要】本發明實施例提供了一種對用戶加密密鑰恢復進行管理的方法和系統。該方法包括：認證中心接收到證書注冊中心發送的用戶證書密鑰恢復請求，認證中心在用戶證書的擴展選項中加入恢復申請事由信息，向密鑰管理中心發送包含用戶證書的擴展選項的密鑰恢復服務請求；密鑰管理中心對密鑰恢復請求信息進行解析，獲取用戶信息和恢復申請事由，根據用戶信息恢復出用戶的加密密鑰對，將恢復申請事由和加密密鑰對進行關聯保存，并將加密密鑰對返回給認證中心。本發明實施例通過將用戶密鑰恢復信息引入到用戶證書的擴展選項中，可以實現讓密鑰管理中心獲取更完善的密鑰恢復申請信息，實現了密鑰管理中心對用戶加密密鑰恢復進行有效管理、識別。
【專利說明】對用戶加密密鑰恢復進行管理的方法和系統
【技術領域】
[0001]本發明涉及密鑰管理【技術領域】，尤其涉及一種對用戶加密密鑰恢復進行管理的方法和系統。
【背景技術】
[0002]基于PKI (Public Key Infrastructure,公鑰基礎設施)技術的數字證書在電子商務、電子政務、網上銀行等應用中使用越來越廣泛，用戶急劇增長。PKI是通過使用公開密鑰技術和數字證書來確保系統信息安全，并負責驗證數字證書持有者身份的一種體系。一個完整地PKI系統是由認證機構、密鑰管理中心、注冊機構、目錄服務、以及安全認證應用軟件、證書應用服務等部分組成。
[0003]CA (certificate authority,認證中心)作為電子商務交易中受信任的第三方,專門解決公鑰體系中公鑰的合法性問題。CA為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證實證書中列出的用戶名稱和證書中列出的公開密鑰相對應。CA的數字簽名使得攻擊者不能偽造和篡改數字證書。
[0004]KM (Key Management，密鑰管理)系統負責為CA系統提供密鑰的生成、保存、備份、更新、恢復、查詢等密鑰服務，KM系統除了可以提供加密密鑰的通用密鑰管理服務，還可以為司法人員提供司法取證的服務，可以解決分布式企業應用環境中大規模密碼技術應用所帶來的密鑰管理問題。它應該支持SM2算法和RSA算法，密鑰對的存儲也都基于國家規范，與CA系統的接口規范完全符合國家規范的要求，滿足作為一個高規格的密鑰管理中心應有的安全、功能、性能需求。
[0005]密鑰的管理是PKI體系中最為關鍵的安全問題，CA系統簽發用戶雙證書后，對于簽名證書，私鑰由用戶自身保存，并對外發布公鑰證書。如果用戶的私鑰泄漏，則攻擊者可以利用該私鑰偽造用戶簽名信息，也可以解密該用戶的加密信息，因此保證用戶私鑰的安全性是密鑰管理中核心的內容。而對于加密證書而言，公私鑰均由KM產生和管理，私鑰的分發也是密鑰管理的核心問題，用戶如果將USBKEY毀壞，需要提交密鑰恢復申請，重新獲得加密證書，才能對前加密證書加密過的密文進行解密，滿足日常需要。
[0006]PKI系統安全問題的關鍵是密鑰管理。簽名證書中的公鑰通過公鑰證書公開發布，由證書權威機構CA的簽名來保證它的完整性。私鑰由用戶秘密保存，一旦泄漏，攻擊者就有可能解密發給私鑰用戶的加密信息，或者偽造密鑰用戶的簽名。因此，密鑰管理的關鍵問題就是確保私鑰的安全性。當前主要采用硬件設備的物理特性來保護私鑰的絕對安全性。用戶的私鑰由硬件設備生成而且只保存在存儲介質中無法導出。要訪問該用戶私鑰只能通過用戶自身設定的密碼來訪問，這就確保了除用戶本人外，其他任何人均無法使用該私鑰信息。
[0007]而在使用加密證書的時候，用戶出現丟失或者損壞自身設備的情況時，用戶可以及時掛失等方式停止對該密鑰對的使用。但是用戶已有的加密文件將無法解密讀取，因此在PKI管理體系中提供了加密密鑰對的恢復管理，同時這也可以為司法取證提供支持。[0008]現有的密鑰恢復機制中，由密鑰管理中心來實現加密密鑰的產生和恢復。除了司法取證時在KM端恢復的情況外,其他情況均為用戶在RA (Register Authority,證書注冊中心)端提出申請的方式。當用戶需要恢復密鑰時，首先由用戶通過RA受理點提出申請，經過管理員審核通過后，RA才向CA發送申請，CA調用密鑰管理中心的密鑰恢復接口發送請求，密鑰管理中心通過數字信封將該用戶的加密密鑰返回給CA，CA通過該密鑰對簽發用戶證書返回給RA，最后下載到用戶證書的存儲介質中。在整個過程中，只有RA管理員進行申請，其余環節均為系統自動完成，CA和密鑰管理中心均沒有進行恢復控制和限制，缺乏完善的管理，不利于KM系統為多個CA服務，無法對用戶的密鑰恢復事件進行記錄和管理。

【發明內容】

[0009]本發明的實施例提供了一種對用戶加密密鑰恢復進行管理的方法和系統，以實現對用戶加密密鑰恢復進行有效管理、識別。
[0010]一種對用戶加密密鑰恢復進行管理的方法，包括:
[0011]認證中心接收到證書注冊中心發送的用戶證書密鑰恢復請求，所述認證中心在用戶證書的擴展選項中加入恢復申請事由信息，向密鑰管理中心發送包含所述用戶證書的擴展選項的密鑰恢復服務請求；
[0012]所述密鑰管理中心對所述密鑰恢復請求信息進行解析，獲取用戶信息和恢復申請事由，根據所述用戶信息恢復出用戶的加密密鑰對，將所述恢復申請事由和加密密鑰對進行關聯保存，并將所述加密密鑰對返回給所述認證中心。
[0013]一種對用戶加密密鑰恢復進行管理的系統，包括:
[0014]認證中心，用于接收證書注冊中心發送的用戶證書密鑰恢復請求，在用戶證書的擴展選項中加入恢復申請事由信息，向密鑰管理中心發送包含所述用戶證書的擴展選項的密鑰恢復服務請求；
[0015]密鑰管理中心，用于對所述認證中心發送過來的密鑰恢復請求進行解析，獲取用戶信息和恢復申請事由，根據所述用戶信息恢復出用戶的加密密鑰對，將所述恢復申請事由和加密密鑰對進行關聯保存，并將所述加密密鑰對返回給所述認證中心。
[0016]由上述本發明的實施例提供的技術方案可以看出，本發明實施例通過CA將用戶密鑰恢復信息(包括用戶恢復時間、恢復申請事由、恢復次數信息)引入到用戶證書的擴展選項中，可以實現讓密鑰管理中心獲取更完善的密鑰恢復申請信息，實現了密鑰管理中心對用戶加密密鑰恢復進行有效管理、識別，并可以根據用戶證書信息對密鑰恢復事件進行追溯，保障用戶密鑰恢復流程的安全性和高效的可管理性。
【專利附圖】

【附圖說明】
[0017]為了更清楚地說明本發明實施例的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。
[0018]圖1為本發明實施例一提供的一種對用戶加密密鑰恢復進行管理的方法的處理流程示意圖；[0019]圖2為本發明實施例二提供的一種對用戶加密密鑰恢復進行管理的系統的結構示意圖。
【具體實施方式】
[0020]為便于對本發明實施例的理解，下面將結合附圖以幾個具體實施例為例做進一步的解釋說明，且各個實施例并不構成對本發明實施例的限定。
[0021]實施例一
[0022]本發明實施例提供的一種對用戶加密密鑰恢復進行管理的方法的處理流程示意圖如圖1所示，包括如下的處理步驟:
[0023]步驟1、用戶的用戶終端向RA受理點提交密鑰恢復申請，該密鑰恢復申請中包含密鑰恢復申請表和用戶相關信息，上述密鑰恢復申請表中包含用戶恢復時間、恢復申請事由、恢復次數信息；
[0024]步驟2、RA受理點的管理員對上述密鑰恢復申請請求進行初審，該初審主要驗證用戶個人身份信息，包括用戶名字、用戶證件，并驗證所請求恢復的密鑰的使用者是否是上述用戶。
[0025]步驟3、當上述用戶終端的密鑰恢復申請符合條件，初審合格后，RA受理點將上述用戶終端的密鑰恢復申請發送到RA中心；如果上述用戶終端的密鑰恢復申請初審不合格，則給予拒絕；
[0026]步驟4、RA中心對上述用戶終端的密鑰恢復申請進行審核，該審核主要審核上述用戶是否是合法用戶，以及該RA受理點是否有權限提交該用戶的密鑰恢復申請請求，即該用戶是否歸該RA受理點管理。
[0027]步驟5、當上述用戶終端的密鑰恢復申請符合條件，審核合格后，RA中心的管理員根據上述密鑰恢復申請表和用戶相關信息向CA發送上述用戶的證書密鑰恢復請求；如果上述用戶終端的密鑰恢復申請審核不合格，則給予拒絕；
[0028]步驟6、CA收到上述用戶的證書密鑰恢復請求后，存儲上述用戶的證書密鑰恢復申請的相關信息，其中包括上述密鑰恢復申請表和用戶相關信息；
[0029]步驟7、CA根據存儲的上述用戶的證書密鑰恢復申請的相關信息組織密鑰恢復服務請求，并對上述用戶的數字證書進行擴展。
[0030]數字證書的擴展選項主要用于寫入該數字證書在實際應用時所需要的數據信息，它具有很好的靈活性，在實際應用中，數字證書使用的具體業務可以根據需要向CA簽發機構注冊擴展選項。每一種擴展選項包括三個字段:類型、可否缺省、值，其中，類型字段定義了擴展值字段中的數據類型，這個類型可以是簡單的字符串，數值，日期，圖片或一個復雜的數據類型；可否缺省字段是一比特標識位。當擴展標識為不可缺省時，說明相應的擴展值非常重要，應用程序不能忽略這個信息。如果使用數字證書的應用程序不能處理該字段的內容，就應該拒絕此數字證書；擴展值字段包含了這個擴展實際的數據，由使用數字證書的應用程序來讀取使用。
[0031]上述密鑰恢復服務請求中包括協議版本、服務請求標識符、CA標識符、數字證書的擴展選項和請求信息的簽名，在數字證書的擴展選項中加入用戶密鑰恢復信息，該用戶密鑰恢復信息中包括用戶恢復時間requestTime、恢復申請事由requestReason、恢復次數requestList 等信息。
[0032]上述數字證書的擴展選項的格式如下:
[0033]ReqProofValue = Sign{reqType| |requestList| |requestTime | |requestReasoη}；
[0034]步驟8、CA將上述密鑰恢復服務請求發送到密鑰管理中心；
[0035]步驟9、密鑰管理中心接收CA發送的上述密鑰恢復服務請求，檢查確定該密鑰恢復服務請求的合法性；
[0036]步驟10、若檢查上述密鑰恢復服務請求不合法，則密鑰管理中心對該密鑰恢復服務請求給予拒絕；若檢查上述密鑰恢復服務請求合法，則密鑰管理中心執行下一個步驟。
[0037]步驟11、密鑰管理中心接著解析上述密鑰恢復服務請求，獲取用戶信息和用戶恢復時間、恢復申請事由、恢復次數等信息。根據解析得到的用戶信息通過密鑰恢復模塊恢復該用戶的加密密鑰對，其中包括私鑰和公鑰，對私鑰進行數字信封處理并返回給CA，同時，還返回用戶公鑰等信息給CA中心。
[0038]密鑰管理中心將上述用戶密鑰恢復信息(包括用戶恢復時間、恢復申請事由、恢復次數)和用戶密鑰對信息關聯存入數據庫，為后續管理員查詢、審計、司法取證等業務提供服務。
[0039]步驟12、CA對上述密鑰管理中心返回的數字信封解封，獲取上述密鑰管理中心返回的用戶的加密密鑰對中的私鑰和公鑰信息，根據該加密密鑰對中的私鑰和公鑰信息組織并簽發用戶證書，在用戶證書的擴展選項中加入本次密鑰恢復的相關記錄信息，其中包括:用戶恢復時間、恢復申請事由、恢復次數信息。
[0040]同時CA將簽發的用戶證書信息與之前存儲的上述用戶的證書密鑰恢復申請的相關信息關聯，存入數據庫，為日志審計、證書管理、司法取證等業務提供服務。
[0041]步驟13、CA對簽發的用戶證書信息進行數字信封處理后，通過SSL (SecureSockets Layer,安全套接層)安全加密通道發送到RA中心；
[0042]步驟14、RA中心通過對數字信封解封恢復出上述用戶證書，將該恢復的用戶證書信息下載到用戶的密鑰存儲介質中，完成一次用戶密鑰恢復流程。
[0043]實施例二
[0044]該實施例提供的一種對用戶加密密鑰恢復進行管理的系統的結構示意圖如圖2所示，包括:
[0045]認證中心21，用于接收證書注冊中心發送的用戶證書密鑰恢復請求，在用戶證書的擴展選項中加入恢復申請事由信息，向密鑰管理中心發送包含所述用戶證書的擴展選項的密鑰恢復服務請求；
[0046]密鑰管理中心22，用于對所述認證中心發送過來的密鑰恢復請求進行解析，獲取用戶信息和恢復申請事由，根據所述用戶信息恢復用戶的加密密鑰對，將所述恢復申請事由和加密密鑰對進行關聯保存，并將所述加密密鑰對返回給所述認證中心。
[0047]進一步地，所述系統還可以包括:
[0048]證書注冊中心受理點23，用于接收用戶的用戶終端發送的密鑰恢復申請，該密鑰恢復申請中包含密鑰恢復申請表和用戶相關信息，所述密鑰恢復申請表中包含用戶恢復時間、恢復申請事由、恢復次數信息，對所述密鑰恢復申請請求進行初審，在初審合格后，將所述密鑰恢復申請發送到證書注冊中心；
[0049]證書注冊中心24，用于對所述證書注冊中心受理點發送的密鑰恢復申請進行審核，在審核合格后，根據所述密鑰恢復申請表和用戶相關信息向認證中心發送所述用戶的證書密鑰恢復請求。
[0050]具體的，所述的認證中心21，還用于收到所述證書密鑰恢復請求后，存儲所述密鑰恢復申請表和用戶相關信息；
[0051]根據存儲的所述密鑰恢復申請表和用戶相關信息組織密鑰恢復服務請求，該密鑰恢復服務請求中包括協議版本、服務請求標識符、認證中心標識符、數字證書的擴展選項和請求信息的簽名，在所述數字證書的擴展選項中加入用戶恢復時間、恢復申請事由、恢復次數信息；
[0052]將所述密鑰恢復服務請求發送到密鑰管理中心。
[0053]具體的，所述的密鑰管理中心22，還用于接收到所述密鑰恢復服務請求后，檢查確定所述密鑰恢復服務請求的合法性，在檢查確定所述密鑰恢復服務請求合法后，解析所述密鑰恢復服務請求，獲取用戶信息和用戶恢復時間、恢復申請事由、恢復次數信息；
[0054]根據解析得到的用戶信息恢復出所述用戶的包括私鑰和公鑰的加密密鑰對，將所述用戶的加密密鑰對和所述用戶恢復時間、恢復申請事由、恢復次數信息進行關聯存儲；
[0055]對所述私鑰進行數字信封處理后，將所述私鑰和公鑰發送給所述認證中心。
[0056]具體的，所述的認證中心21，還用于對所述密鑰管理中心返回的數字信封解封，獲取所述密鑰管理中心返回的用戶的加密密鑰對，根據該加密密鑰對組織并簽發用戶證書，在用戶證書的擴展選項中加入本次密鑰恢復的相關記錄信息，該相關記錄信息包括:用戶恢復時間、恢復申請事由、恢復次數信息；
[0057]將簽發的用戶證書信息與之前存儲的所述用戶恢復時間、恢復申請事由、恢復次數信息進行關聯；
[0058]對簽發的用戶證書信息進行數字信封處理后，通過安全加密通道發送到證書注冊中心；
[0059]具體的，所述的證書注冊中心24，還用于對所述認證中心返回的數字信封解封，恢復出所述用戶證書，將恢復的用戶證書信息下載到用戶的密鑰存儲介質中，完成一次用戶密鑰恢復流程。
[0060]用本發明實施例的系統進行對用戶加密密鑰恢復進行管理的具體過程與前述方法實施例類似，此處不再贅述。
[0061]本領域普通技術人員可以理解:附圖只是一個實施例的示意圖，附圖中的模塊或流程并不一定是實施本發明所必須的。
[0062]本領域普通技術人員可以理解:實施例中的設備中的模塊可以按照實施例描述分布于實施例的設備中，也可以進行相應變化位于不同于本實施例的一個或多個設備中。上述實施例的模塊可以合并為一個模塊，也可以進一步拆分成多個子模塊。
[0063]綜上所述，本發明實施例通過CA將用戶密鑰恢復信息(包括用戶恢復時間、恢復申請事由、恢復次數信息)引入到用戶證書的擴展選項中，擴展CA與密鑰管理中心的通信協議，可以實現讓密鑰管理中心獲取更完善的密鑰恢復申請信息，并在密鑰管理中心的數據庫中增加密鑰恢復日志記錄。實現了密鑰管理中心對用戶加密密鑰恢復進行有效管理、識另|J，并可以根據用戶證書信息對密鑰恢復事件進行追溯，保障用戶密鑰恢復流程的安全性和高效的可管理性，對PKI體系的安全管理進行有效的補充和優化。同時也可以為后續的日志審計、證書管理、司法取證等業務提供服務。
[0064]本發明實施例中，在CA數據庫中對恢復的用戶證書與用戶密鑰恢復信息相關聯，并存儲用戶密鑰恢復相關日志信息，可以實現CA對于用戶密鑰恢復流程均沒有進行恢復控制和限制，有利于KM系統為多個CA提供服務。
[0065]以上所述，僅為本發明較佳的【具體實施方式】，但本發明的保護范圍并不局限于此，任何熟悉本【技術領域】的技術人員在本發明揭露的技術范圍內，可輕易想到的變化或替換，都應涵蓋在本發明的保護范圍之內。因此，本發明的保護范圍應該以權利要求的保護范圍為準。
【權利要求】
1.一種對用戶加密密鑰恢復進行管理的方法，其特征在于，包括: 認證中心接收到證書注冊中心發送的用戶證書密鑰恢復請求，所述認證中心在用戶證書的擴展選項中加入恢復申請事由信息，向密鑰管理中心發送包含所述用戶證書的擴展選項的密鑰恢復服務請求； 所述密鑰管理中心對所述密鑰恢復請求信息進行解析，獲取用戶信息和恢復申請事由，根據所述用戶信息恢復出用戶的加密密鑰對，將所述恢復申請事由和加密密鑰對進行關聯保存，并將所述加密密鑰對返回給所述認證中心。
2.根據權利要求1所述的對用戶加密密鑰恢復進行管理的方法，其特征在于，所述認證中心接收到證書注冊中心發送的用戶證書密鑰恢復請求之前，還包括: 用戶的用戶終端向證書注冊中心受理點提交密鑰恢復申請，該密鑰恢復申請中包含密鑰恢復申請表和用戶相關信息，上述密鑰恢復申請表中包含用戶恢復時間、恢復申請事由、恢復次數信息； 所述證書注冊中心受理點對所述密鑰恢復申請請求進行初審，在初審合格后，所述證書注冊中心受理點將所述密鑰恢復申請發送到證書注冊中心，該證書注冊中心對所述密鑰恢復申請進行審核； 在審核合格后，所述證書注冊中心根據所述密鑰恢復申請表和用戶相關信息向認證中心發送所述用戶的證書密鑰恢復請求。
3.根據權利要求1所述的對用戶加密密鑰恢復進行管理的方法，其特征在于，所述的認證中心在用戶證書的擴展選項中加入恢復申請事由信息，向密鑰管理中心發送包含所述用戶證書的擴展選項的密鑰恢復服務請求，包括: 認證中心收到所述證書密鑰恢復請求后，存儲所述密鑰恢復申請表和用戶相關信息； 所述認證中心根據存儲的所述密鑰恢復申請表和用戶相關信息組織密鑰恢復服務請求，該密鑰恢復服務請求中包括協議版本、服務請求標識符、認證中心標識符、數字證書的擴展選項和請求信息的簽名，在所述數字證書的擴展選項中加入用戶恢復時間、恢復申請事由、恢復次數信息； 所述認證中心將所述密鑰恢復服務請求發送到密鑰管理中心。
4.根據權利要求1或2或3所述的對用戶加密密鑰恢復進行管理的方法，其特征在于，所述的將所述恢復申請事由和加密密鑰對進行關聯保存，并將所述加密密鑰對返回給所述認證中心，包括: 所述密鑰管理中心接收到所述密鑰恢復服務請求后，檢查確定所述密鑰恢復服務請求的合法性，在檢查確定所述密鑰恢復服務請求合法后，所述密鑰管理中心解析所述密鑰恢復服務請求，獲取用戶信息和用戶恢復時間、恢復申請事由、恢復次數信息； 所述密鑰管理中心根據解析得到的用戶信息恢復出所述用戶的包括私鑰和公鑰的加密密鑰對，將所述用戶的加密密鑰對和所述用戶恢復時間、恢復申請事由、恢復次數信息進行關聯存儲； 所述密鑰管理中心對所述私鑰進行數字信封處理后，將所述私鑰和公鑰發送給所述認證中心。
5.根據權利要求4所述的對用戶加密密鑰恢復進行管理的方法，其特征在于，所述的方法還包括:認證中心對所述密鑰管理中心返回的數字信封解封，獲取所述密鑰管理中心返回的用戶的加密密鑰對，根據該加密密鑰對組織并簽發用戶證書，在用戶證書的擴展選項中加入本次密鑰恢復的相關記錄信息，該相關記錄信息包括:用戶恢復時間、恢復申請事由、恢復次數信息； 所述認證中心將簽發的用戶證書信息與之前存儲的所述用戶恢復時間、恢復申請事由、恢復次數信息進行關聯； 所述認證中心對簽發的用戶證書信息進行數字信封處理后，通過安全加密通道發送到證書注冊中心，所述證書注冊中心對所述認證中心返回的數字信封解封，恢復出所述用戶證書，將恢復的用戶證書信息下載到用戶的密鑰存儲介質中，完成一次用戶密鑰恢復流程。
6.一種對用戶加密密鑰恢復進行管理的系統，其特征在于，包括: 認證中心，用于接收證書注冊中心發送的用戶證書密鑰恢復請求，在用戶證書的擴展選項中加入恢復申請事由信息，向密鑰管理中心發送包含所述用戶證書的擴展選項的密鑰恢復服務請求； 密鑰管理中心，用于對所述認證中心發送過來的密鑰恢復請求進行解析，獲取用戶信息和恢復申請事由，根據所述用戶信息恢復出用戶的加密密鑰對，將所述恢復申請事由和加密密鑰對進行關聯保存，并將所述加密密鑰對返回給所述認證中心。
7.根據權利要求6所述的對用戶加密密鑰恢復進行管理的系統，其特征在于，所述系統還包括: 證書注冊中心受理點，用于接收用戶的用戶終端發送的密鑰恢復申請，該密鑰恢復申請中包含密鑰恢復申請表和用戶相關信息，所述密鑰恢復申請表中包含用戶恢復時間、恢復申請事由、恢復次數信息，對所述密鑰恢復申請請求進行初審，在初審合格后，將所述密鑰恢復申請發送到證書注冊中心； 證書注冊中心，用于對所述證書注冊中心受理點發送的密鑰恢復申請進行審核，在審核合格后，根據所述密鑰恢復申請表和用戶相關信息向認證中心發送所述用戶的證書密鑰恢復請求。
8.根據權利要求6所述的對用戶加密密鑰恢復進行管理的系統，其特征在于: 所述的認證中心，還用于收到所述證書密鑰恢復請求后，存儲所述密鑰恢復申請表和用戶相關信息； 根據存儲的所述密鑰恢復申請表和用戶相關信息組織密鑰恢復服務請求，該密鑰恢復服務請求中包括協議版本、服務請求標識符、認證中心標識符、數字證書的擴展選項和請求信息的簽名，在所述數字證書的擴展選項中加入用戶恢復時間、恢復申請事由、恢復次數信息； 將所述密鑰恢復服務請求發送到密鑰管理中心。
9.根據權利要求6或7或8所述的對用戶加密密鑰恢復進行管理的系統，其特征在于: 所述的密鑰管理中心，還用于接收到所述密鑰恢復服務請求后，檢查確定所述密鑰恢復服務請求的合法性，在檢查確定所述密鑰恢復服務請求合法后，解析所述密鑰恢復服務請求，獲取用戶信息和用戶恢復時間、恢復申請事由、恢復次數信息； 根據解析得到的用戶信息恢復出所述用戶的包括私鑰和公鑰的加密密鑰對，將所述用戶的加密密鑰對和所述用戶恢復時間、恢復申請事由、恢復次數信息進行關聯存儲；對所述私鑰進行數字信封處理后，將所述私鑰和公鑰發送給所述認證中心。
10.根據權利要求9所述的對用戶加密密鑰恢復進行管理的系統，其特征在于: 所述的認證中心，還用于對所述密鑰管理中心返回的數字信封解封，獲取所述密鑰管理中心返回的用戶的加密密鑰對，根據該加密密鑰對組織并簽發用戶證書，在用戶證書的擴展選項中加入本次密鑰恢復的相關記錄信息，該相關記錄信息包括:用戶恢復時間、恢復申請事由、恢復次數信息； 將簽發的用戶證書信息與之前存儲的所述用戶恢復時間、恢復申請事由、恢復次數信息進行關聯； 對簽發的用戶證書信息進行數字信封處理后，通過安全加密通道發送到證書注冊中心； 所述證書注冊中心，還用于對所述認證中心返回的數字信封解封，恢復出所述用戶證書，將恢復的 用戶證書信息下載到用戶的密鑰存儲介質中，完成一次用戶密鑰恢復流程。
【文檔編號】H04L29/06GK103916237SQ201210591471
【公開日】2014年7月9日 申請日期:2012年12月30日 優先權日:2012年12月30日
【發明者】林文輝, 耿方, 郭向國, 杜悅琨 申請人:航天信息股份有限公司