技術領域

本發明屬于計算機及網絡信息安全領域，涉及公共數字證書體系中用戶軟件證書及私鑰的加密、存儲和找回的方法。

背景技術

隨著PKI(公鑰基礎設施)技術的發展，公共數字證書應用廣泛，例如各大銀行都為用戶提供數字證書來保障用戶在網上交易時的信息和賬戶安全。從承載方式上劃分，數字證書可以分為兩類：硬件證書和軟件證書。硬件證書將證書文件和私鑰封裝在一個電子裝置中(如U-KEY)，一般不可導出，從而保證了證書持有人在不丟失裝置的情況下其證書和私鑰的安全。但硬件證書成本較高，且需隨身攜帶，對用戶使用造成不便。軟件證書將證書文件和私鑰形成一個計算機文件，由用戶自己保管或托管。用戶自己保管可以有多種方式：存在本機，U盤或自己的郵箱中等等。用戶自己保管有兩個問題：一是容易被盜，一旦存有證書文件和私鑰的計算機文件被他人獲取，證書就失效了；二是容易丟失，用戶格式化硬盤或U盤，清理郵箱都會刪除文件，丟失證書。托管證書可以解決證書丟失問題，目前主要的托管方式是用戶將證書文件和私鑰存在發證機關或信任的第三方的服務器中，證書用戶通過訪問托管服務器可以找回證書。但是這樣帶來三個問題：第一，證書持有人不是唯一掌握私鑰的人，他是否可以相信托管服務器的管理員？盡管可以采取很多安全措施，如：將私鑰拆分，存到不同地點的服務器并由不同的人員管理等。但可能被管理員盜用的問題依然存在。第二，由于存在管理員盜用的可能，此時證書持有者對其數字簽名就可以否認。第三，對于頻繁使用不同計算機的用戶(如網吧用戶)，每次使用證書都要到托管服務器下載，大大增加了托管服務器的負荷，同時，作為依賴方，即提供應用服務的運營商，不能接受它的用戶每一次登陸過程都要通過一個集中式的第三方服務器的驗證，因為，一旦托管服務器故障，這些用戶就無法登陸，給用戶和運營商特別是游戲運營商帶來巨大損失。

因此，提供一種安全方便的、由用戶獨立控制的私鑰存儲找回的方法，對軟件證書的推廣使用有著十分重要的意義。

發明內容

本發明的目的是提供一種公共數字證書體系中用戶軟件證書及私鑰的加密、存儲和找回的方法。解決以下問題：1，安全性，只有持證用戶能夠使用證書和私鑰；2，方便性，存儲和找回證書的過程對用戶是“透明的”，用戶不必操作這些過程；3，有效性，在絕大多數(大于99％)的情況下，找回證書不必通過中心托管服務器，而自動安裝。

本發明的技術方案是：1，開發一個用戶下載(家庭用戶)或預安裝(網吧用戶)客戶端到上網PC，實現對證書文件和私鑰的加密，存儲和找回。(注：客戶端還能完成證書申請，密鑰對生成，提交證書，IE安裝，驗證證書，簽名，摘要，證書更新刪除等多項功能，不在本說明書中詳述)；2，密鑰對產生的同時，用戶自己選擇一個口令密碼(6-12字節的字符串，變換為128bit對稱密鑰)對私鑰進行3DES對稱加密；3，接收由CA簽發的證書文件，用公鑰將證書文件加密(RSA算法)，組成一個加密私鑰密文和證書密文的新密文文件(以下簡稱密文文件)；4，將密文文件存儲到本機客戶端目錄下(家庭用戶)或本地服務器的特定目錄下(網吧用戶)，同時，通過客戶端將該文件傳送到托管目錄服務器備份；5，用戶使用證書時，根據其輸入的身份證號碼或網絡ID，首先搜索本機/本地的密文文件，沒有發現則向托管目錄服務器發請求，將密文文件調到客戶端“容器”中；6，提示用戶輸入私鑰保護密碼(6-12字節字符串)，利用3DES算法解密私鑰，RSA算法解密證書文件，還原證書和私鑰。

本發明的優點是：1，對用戶透明，除了客戶端彈出對話框提示用戶輸入ID和密碼外，用戶不參與任何過程；2，私鑰保護密碼只有用戶自己知道，而且不在任何地方存儲，在密碼未被破解或盜取的情況下，用戶不能否認使用過證書簽名；3，利用網吧管理服務器對密文文件進行托管，大大分散了系統故障風險。

本發明的進一步安全措施：1，當用戶到中心托管目錄服務器找回密文文件時，通過其它渠道(手機短信或EMAIL)提示或驗證；2，用戶每次使用證書時，通過其它渠道(手機短信或EMAIL)提示或驗證；3，用戶可以查詢證書使用歷史紀錄，察看是否有人盜用。

附圖說明

附圖1描述了密文文件生成和存儲過程，附圖2描述了找回密文文件和私鑰解密，還原證書的過程。

具體實施方式

實施例一：參見附圖1，描述了用戶申請證書、產生秘鑰對、密文文件生成及存儲。

1，用戶申請證書：產生密鑰對，調用函數GenKeyPair()