專利名稱:一種備份電子簽名令牌中信息的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種電子技術(shù)領(lǐng)域,尤其涉及一種備份電子簽名令牌中信息的方法和系統(tǒng)�。
背景技術(shù):
現(xiàn)有技術(shù)中,電子簽名令牌中存儲(chǔ)用戶的私鑰以及數(shù)字證書����,利用USB Key內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證����。在現(xiàn)有的電子簽名令牌中用戶私鑰理論上使用任何方式都無法讀取��,以保證了用戶認(rèn)證的安全性���。然而�����,一旦電子簽名令牌丟失,就無法得到原有的私鑰����,用戶就必須重新辦理電子簽名令牌,私鑰和序列號(hào)等關(guān)鍵信息都得重新分發(fā)和獲取��,需要觸發(fā)電子簽名令牌的更新流程��,使得電子簽名令牌的維護(hù)成本提高�。即使有主電子簽名令牌和備電子簽名令牌,一旦主電子簽名令牌丟失后�,剩下的備電子簽名令牌升級(jí)為主,那么如何對(duì)新的備電子簽名令牌進(jìn)行維護(hù)是亟待解決的問題��。
發(fā)明內(nèi)容
本發(fā)明旨在解決上述問題/之 一,提供一種備份電子簽名令牌中信息的方法和系統(tǒng)��。本發(fā)明提供如下技術(shù)方案:一種備份電子簽名令牌中信息的方法���,所述方法包括:當(dāng)?shù)谝浑娮雍灻钆茝闹麟娮雍灻钆苽浞莸玫街麟娮雍灻钆频乃借€后����,第一電子簽名令牌執(zhí)行獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息的操作����;第二電子簽名令牌執(zhí)行發(fā)送私鑰備份請(qǐng)求數(shù)據(jù)包的操作,其中所述私鑰備份請(qǐng)求數(shù)據(jù)包包括由CA服務(wù)器為所述第二電子簽名令牌頒發(fā)的第一簽名����;第一電子簽名令牌在接收到私鑰備份請(qǐng)求數(shù)據(jù)包后,對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的所述第一簽名進(jìn)行驗(yàn)證�����;如果驗(yàn)證通過�����,判斷所述第二電子簽名令牌的標(biāo)識(shí)是否在獲取的標(biāo)識(shí)信息中;如果所述第二電子簽名令牌的標(biāo)識(shí)在所述標(biāo)識(shí)信息中�,則所述第一電子簽名令牌對(duì)所述主電子簽名令牌的私鑰進(jìn)行加密,得到加密后的主電子簽名令牌的私鑰�����;所述第一電子簽名令牌執(zhí)行發(fā)送私鑰備份響應(yīng)數(shù)據(jù)包的操作�,其中所述私鑰備份響應(yīng)數(shù)據(jù)包包括由CA服務(wù)器為所述第一電子簽名令牌頒發(fā)的第二簽名以及加密后的主電子簽名令牌的私鑰;所述第二電子簽名令牌在接收到私鑰備份響應(yīng)數(shù)據(jù)包后����,對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證;如果驗(yàn)證通過���,則對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密�����,得到主電子簽名令牌的私鑰。其中����,所述私鑰備份響應(yīng)數(shù)據(jù)包還包括所述第一電子簽名令牌的標(biāo)識(shí);所述第二電子簽名令牌對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密之前�,還包括:所述第二電子簽名令牌將所述私鑰備份響應(yīng)中的第一電子簽名令牌的標(biāo)識(shí)與本地存儲(chǔ)的第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)進(jìn)行比較;如果第一電子簽名令牌的標(biāo)識(shí)與所述第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)相同�,則執(zhí)行對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密的操作���。
其中,第一電子簽名令牌執(zhí)行獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息的操作���,包括:所述第一電子簽名令牌執(zhí)行發(fā)送標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包的操作'Ck服務(wù)器在接收到所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后����,獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息�,并利用CA服務(wù)器私鑰對(duì)所述標(biāo)識(shí)信息進(jìn)行簽名,再執(zhí)行通過標(biāo)識(shí)查詢響應(yīng)數(shù)據(jù)包將簽名處理后的標(biāo)識(shí)信息發(fā)送給所述第一電子簽名令牌的操作���;所述第一電子簽名令牌對(duì)所述簽名處理后的標(biāo)識(shí)信息進(jìn)行驗(yàn)證�;如果驗(yàn)證通過�����,獲取所述標(biāo)識(shí)信息��。其中��,所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包包括所述第一電子簽名令牌的第二簽名���;所述CA服務(wù)器在接收到所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包之后���,獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息之前���,還包括:所述CA服務(wù)器對(duì)所述第一電子簽名令牌的第二簽名進(jìn)行驗(yàn)證;如果驗(yàn)證通過��,則所述CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息���。其中��,所述第一電子簽名令牌執(zhí)行發(fā)送標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包的操作���,包括:所述第一電子簽名令牌對(duì)標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行簽名,并發(fā)送簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包所述CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息之前�����,還包括:在接收到所述簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后��,所述CA服務(wù)器對(duì)簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證���;如果驗(yàn)證通過,則CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息。其中���,所述第二電子簽名令牌執(zhí)行發(fā)送私鑰備份請(qǐng)求數(shù)據(jù)包的操作�����,包括:所述第二電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行簽名�,并發(fā)送簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包�;所述第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的第一簽名進(jìn)行驗(yàn)證之前,還包括:在接收到所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包后�,所述第一電子簽名令牌對(duì)所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn) 證,如果驗(yàn)證通過����,則第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的第一簽名進(jìn)行驗(yàn)證。其中����,所述第一電子簽名令牌執(zhí)行發(fā)送私鑰備份響應(yīng)數(shù)據(jù)包的操作,包括:所述第一電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行簽名�,并發(fā)送簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包;所述第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證之前���,還包括:在接收到所述簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包后��,所述第二電子簽名令牌對(duì)簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行驗(yàn)證��,如果驗(yàn)證通過��,則執(zhí)行所述第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證的操作���。其中����,所述第一電子簽名令牌對(duì)所述主電子簽名令牌的私鑰進(jìn)行加密得到加密后的主電子簽名令牌的私鑰�����,包括:第一電子簽名令牌和第二電子簽名令牌獲取匹配碼;第一電子簽名令牌與第二電子簽名令牌利用所述匹配碼協(xié)商兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略�����;第一電子簽名令牌利用所述加密策略對(duì)所述主電子簽名令牌的私鑰加密��,得到加密后的主電子簽名令牌的私鑰�����;所述第二電子簽名令牌對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密��,得到所述主電子簽名令牌的私鑰���,包括:所述第二電子簽名令牌利用所述解密策略對(duì)所述加密后的主電子簽名令牌的私鑰進(jìn)行解密����,得到所述主電子簽名令牌的私鑰�����。其中���,第一電子簽名令牌與第二電子簽名令牌利用所述匹配碼協(xié)商兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略�,包括:將第二電子簽名令牌獲取到的匹配碼作為待驗(yàn)證碼����,第二電子簽名令牌執(zhí)行發(fā)送該待驗(yàn)證碼給第一電子簽名令牌的操作;第一電子簽名令牌在獲取到該待驗(yàn)證碼后����,判斷所述待驗(yàn)證碼與本地獲取到的匹配碼進(jìn)行比較;如果比較結(jié)果一致��,則第一電子簽名令牌生成兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略���;第一電子簽名令牌至少將解密策略發(fā)送給第二電子簽名令牌�����。其中��,第一電子簽名令牌與第二電子簽名令牌利用所述匹配碼協(xié)商兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略��,包括:第一電子簽名令牌和第二電子簽名令牌獲取匹配碼�、加密策略和解密策略的對(duì)應(yīng)關(guān)系��;第一電子簽名令牌和第二電子簽名令牌在所述對(duì)應(yīng)關(guān)系中查找所述匹配碼對(duì)應(yīng)的加密策略和解密策略���;如果查找到,則將查找到的加密策略和解密策略作為兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略����。其中���,所述第一電子簽名令牌對(duì)主電子簽名令牌的私鑰進(jìn)行加密包括:所述第一電子簽名令牌獲取密鑰�����,該密鑰與第一簽名中存儲(chǔ)的密鑰相同,并利用密鑰加密所述主電子簽名令牌的私鑰����,得到加密后的主電子簽名令牌的私鑰;所述第二電子簽名令牌對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密���,得到所述主電子簽名令牌的私鑰�����,包括:第一電子簽名令牌從本地獲取所述密鑰��,并利用所述密鑰對(duì)加密后主電子簽名令牌的私鑰進(jìn)行解密,得到所述主電子簽名令牌的私鑰����。一種備份電子簽名令牌中信息的系統(tǒng),包括:第一電子簽名令牌中的第一獲取模塊���,用于當(dāng)?shù)谝浑娮雍灻钆茝闹麟娮雍灻钆苽浞莸玫街麟娮雍灻钆频乃借€后��,執(zhí)行獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息的操作��;第二電子簽名令牌中的第一發(fā)送模塊�,用于執(zhí)行發(fā)送私鑰備份請(qǐng)求數(shù)據(jù)包的操作,其中所述私鑰備份請(qǐng)求數(shù)據(jù)包包括由CA服務(wù)器為所述第二電子簽名令牌頒發(fā)的第一簽名�;所述第二電子簽名令牌中的第一驗(yàn)證模塊,用于在接收到私鑰備份請(qǐng)求數(shù)據(jù)包后�,對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的所述第一簽名進(jìn)行驗(yàn)證;所述第一電子簽名令牌中的判斷模塊���,用于如果驗(yàn)證通過��,判斷所述第二電子簽名令牌的標(biāo)識(shí)是否在獲取的標(biāo)識(shí)信息中�;所述第一電子簽名令牌中的加密模塊���,用于如果所述第二電子簽名令牌的標(biāo)識(shí)在所述標(biāo)識(shí)信息中�,則對(duì)所述主電子簽名令牌的私鑰進(jìn) 行加密����,得到加密后的主電子簽名令牌的私鑰;所述第一電子簽名令牌中的第二發(fā)送模塊�����,用于執(zhí)行發(fā)送私鑰備份響應(yīng)數(shù)據(jù)包的操作,其中所述私鑰備份響應(yīng)數(shù)據(jù)包包括由CA服務(wù)器為所述第一電子簽名令牌頒發(fā)的第二簽名以及加密后的主電子簽名令牌的私鑰���;所述第一電子簽名令牌中的第二驗(yàn)證模塊�,用于在接收到私鑰備份響應(yīng)數(shù)據(jù)包后����,對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證�;所述第二電子簽字令牌中的解密模塊,用于如果驗(yàn)證通過�����,則對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密���,得到主電子簽名令牌的私鑰�����。其中���,所述私鑰備份響應(yīng)數(shù)據(jù)包還包括所述第一電子簽名令牌的標(biāo)識(shí);所述第二電子簽名令牌還包括:比較模塊,用于將所述私鑰備份響應(yīng)中的第一電子簽名令牌的標(biāo)識(shí)與本地存儲(chǔ)的第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)進(jìn)行比較�����;如果第一電子簽名令牌的標(biāo)識(shí)與所述第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)相同��,則執(zhí)行對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密的操作����。
其中,所述第一獲取模塊����,用于執(zhí)行發(fā)送標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包的操作;所述系統(tǒng)還包括CA服務(wù)器�,其中所述CA服務(wù)器包括:第二獲取模塊,用于在接收到所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后���,獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息��;簽名模塊��,用于利用CA服務(wù)器私鑰對(duì)所述標(biāo)識(shí)信息進(jìn)行簽名���;第三發(fā)送模塊,用于執(zhí)行通過標(biāo)識(shí)查詢響應(yīng)數(shù)據(jù)包將簽名處理后的標(biāo)識(shí)信息發(fā)送給所述第一電子簽名令牌的操作;其中��,所述第一獲取模塊還用于對(duì)所述簽名處理后的標(biāo)識(shí)信息進(jìn)行驗(yàn)證����;如果驗(yàn)證通過,獲取所述標(biāo)識(shí)信息��。其中��,所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包包括所述第一電子簽名令牌的第二簽名���;所述CA服務(wù)器還包括:第三驗(yàn)證模塊,用于對(duì)所述第一電子簽名令牌的第二簽名進(jìn)行驗(yàn)證���,如果驗(yàn)證通過���,則所述CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息。其中�����,所述第一獲取模塊�����,用于對(duì)標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行簽名,并發(fā)送簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包��;所述CA服務(wù)器還包括:第四驗(yàn)證模塊�,用于在接收到所述簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后,所述CA服務(wù)器對(duì)簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證����;如果驗(yàn)證通過,則CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息�。其中,所述第一發(fā)送模塊����,用于對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行簽名,并發(fā)送簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包�����;所述第一電子簽名令牌還包括:第五驗(yàn)證模塊�,用于在接收到所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包后,對(duì)所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證���,如果驗(yàn)證通過�,則第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的第一簽名進(jìn)行驗(yàn)證。其中�,所述第二發(fā)送 模塊,用于對(duì)私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行簽名�����,并發(fā)送簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包���;所述第二電子簽名令牌還包括:第六驗(yàn)證模塊�,用于在接收到所述簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包后�����,對(duì)簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行驗(yàn)證��,如果驗(yàn)證通過�����,則執(zhí)行所述第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證的操作���。其中,第一電子簽名令牌和第二電子簽名令牌均包括:協(xié)商模塊�,用于獲取匹配碼,并利用所述匹配碼協(xié)商兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略�;其中���,所述加密模塊利用所述加密策略對(duì)所述主電子簽名令牌的私鑰加密��,得到加密后的主電子簽名令牌的私鑰;其中��,所述解密模塊利用所述解密策略對(duì)所述加密后的主電子簽名令牌的私鑰進(jìn)行解密����,得到所述主電子簽名令牌的私鑰����。其中�����,第一電子簽名令牌與第二電子簽名令牌中的協(xié)商模塊通過如下方式得到兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略�,包括:將第二電子簽名令牌獲取到的匹配碼作為待驗(yàn)證碼���,第二電子簽名令牌執(zhí)行發(fā)送該待驗(yàn)證碼給第一電子簽名令牌的操作���;第一電子簽名令牌在獲取到該待驗(yàn)證碼后����,判斷所述待驗(yàn)證碼與本地獲取到的匹配碼進(jìn)行比較�;如果比較結(jié)果一致,則第一電子簽名令牌生成兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略���;第一電子簽名令牌至少將解密策略發(fā)送給第二電子簽名令牌。其中�,第一電子簽名令牌與第二電子簽名令牌中的協(xié)商模塊通過如下方式得到兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略��,包括:第一電子簽名令牌和第二電子簽名令牌獲取匹配碼����、加密策略和解密策略的對(duì)應(yīng)關(guān)系;第一電子簽名令牌和第二電子簽名令牌在所述對(duì)應(yīng)關(guān)系中查找所述匹配碼對(duì)應(yīng)的加密策略和解密策略�����;如果查找至IJ,則將查找到的加密策略和解密策略作為兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略��。其中,所述加密模塊���,用于獲取密鑰���,該密鑰與第一簽名中存儲(chǔ)的密鑰相同,并利用密鑰加密所述主電子簽名令牌的私鑰��,得到加密后的主電子簽名令牌的私鑰�����;其中�,所述解密模塊���,用于從本地獲取所述密鑰�,并利用所述密鑰對(duì)加密后主電子簽名令牌的私鑰進(jìn)行解密����,得到所述主電子簽名令牌的私鑰����。與現(xiàn)有技術(shù)相比����,第一電子簽名令牌獲取與自身存儲(chǔ)在備份關(guān)系的電子簽名令牌的標(biāo)識(shí)信息�,并在接收到第二電子簽名令牌發(fā)送的私鑰備份請(qǐng)求數(shù)據(jù)包時(shí)���,第二電子簽名令牌對(duì)第一簽名進(jìn)行驗(yàn)證�����,以確定第二電子簽名令牌是否是合法設(shè)備�����,再通過判斷第二電子簽名令牌是否在標(biāo)識(shí)信息中�,以確定第一電子簽名令牌和第二電子簽名令牌之間是否存在主備關(guān)系�����,在上述兩個(gè)條件都滿足時(shí)���,第一電子簽名令牌再將主電子簽名令牌的私鑰加密��,再將加密后主電子簽名令牌的私鑰通過私鑰備份響應(yīng)數(shù)據(jù)包發(fā)送出去�,在第二電子簽名令牌接收到私鑰備份響應(yīng)數(shù)據(jù)包后��,第二電子簽名令牌對(duì)第二簽名進(jìn)行驗(yàn)證,以確定第一電子簽名令牌是否是合法設(shè)備���,在確定合法戶���,第二電子簽名令牌再將加密后的第二電子簽名令牌的私鑰進(jìn)行解密��,得到主電子簽名令牌的私鑰�,完成私鑰的備份。通過第二電子簽名令牌和第一電子簽名令牌分別驗(yàn)證對(duì)方的合法性�����,以及第一電子簽名令牌驗(yàn)證主備關(guān)系��,在確定對(duì)方安全的前提下���,再進(jìn)行私鑰的傳輸��,實(shí)現(xiàn)了安全備份私鑰�����。
為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案���,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡單地介紹��,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域的普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些附圖獲得其他附圖。圖1為本發(fā)明實(shí)施例提供的備份電子簽名令牌中信息的方法實(shí)施例的流程示意圖�����;圖2為本發(fā)明實(shí)施例提供的備份電子簽名令牌中信息的系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式下面結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例?���;诒景l(fā)明的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明的保護(hù)范圍�����。在本發(fā)明的描述中����,需要理解的是���,術(shù)語“中心”、“縱向”��、“橫向”�����、“上”�、“下”、“前”���、“后”��、“左”����、“右”�����、“ 豎直”�、“水平”、“頂”���、“底”�����、“內(nèi)”���、“外”等指示的方位或位置關(guān)系為基于
附圖所示的方位或位置關(guān)系���,僅是為了便于描述本發(fā)明和簡化描述,而不是指示或暗示所指的裝置或元件必須具有特定的方位����、以特定的方位構(gòu)造和操作�����,因此不能理解為對(duì)本發(fā)明的限制���。此外����,術(shù)語“第一”����、“第二”僅用于描述目的���,而不能理解為指示或暗示相對(duì)重要性或數(shù)量或位置。在本發(fā)明的描述中���,需要說明的是���,除非另有明確的規(guī)定和限定,術(shù)語“安裝”��、“相連”����、“連接”應(yīng)做廣義理解,例如����,可以是固定連接,也可以是可拆卸連接����,或一體地連接;可以是機(jī)械連接,也可以是電連接��;可以是直接相連��,也可以通過中間媒介間接相連����,可以是兩個(gè)元件內(nèi)部的連通。對(duì)于本領(lǐng)域的普通技術(shù)人員而言��,可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義����。下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施例作進(jìn)一步地詳細(xì)描述。圖1為本發(fā)明提供的備份電子簽名令牌中信息的方法實(shí)施例的流程示意圖�����。圖1所示方法實(shí)施例包括:步驟101���、當(dāng)?shù)谝浑娮雍灻钆茝闹麟娮雍灻钆苽浞莸玫街麟娮雍灻钆频乃借€后,第一電子簽名令牌執(zhí)行獲取第二電子簽名令牌的標(biāo)識(shí)信息的操作�����;步驟102����、第二電子簽名令牌執(zhí)行發(fā)送私鑰備份請(qǐng)求數(shù)據(jù)包的操作�����,其中所述私鑰備份請(qǐng)求數(shù)據(jù)包包括由CA (Certificate Authority,證書授證)服務(wù)器為所述第二電子簽名令牌頒發(fā)的第一簽名�����;步驟103�����、第一電子簽名令牌在接收到私鑰備份請(qǐng)求數(shù)據(jù)包后�,對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的所述第一簽名進(jìn)行驗(yàn)證�����;步驟104�����、如果驗(yàn)證通過����,判斷所述第二電子簽名令牌的標(biāo)識(shí)是否在獲取的標(biāo)識(shí)信息中��;如果所述第二電子簽名令牌的標(biāo)識(shí)在所述標(biāo)識(shí)信息中�����;步驟105��、如果第二電子簽名令牌的標(biāo)識(shí)在標(biāo)識(shí)信息中��,則所述第一電子簽名令牌對(duì)所述主電子簽名令牌的私鑰進(jìn)行加密得到加密后的主電子簽名令牌的私鑰�����;
·
步驟106�、所述第一電子簽名令牌執(zhí)行發(fā)送私鑰備份響應(yīng)數(shù)據(jù)包的操作���,其中所述私鑰備份響應(yīng)數(shù)據(jù)包包括由CA服務(wù)器為所述第一電子簽名令牌頒發(fā)的第二簽名以及加密后的主電子簽名令牌的私鑰��;步驟107�����、所述第一電子簽名令牌在接收到私鑰備份響應(yīng)數(shù)據(jù)包后,對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證;步驟108��、如果驗(yàn)證通過���,則對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密���,得到主電子簽名令牌的私鑰。與現(xiàn)有技術(shù)相比�,第一電子簽名令牌獲取與自身存儲(chǔ)在備份關(guān)系的電子簽名令牌的標(biāo)識(shí)信息,并在接收到第二電子簽名令牌發(fā)送的私鑰備份請(qǐng)求數(shù)據(jù)包時(shí)�����,第二電子簽名令牌對(duì)第一簽名進(jìn)行驗(yàn)證�,以確定第二電子簽名令牌是否是合法設(shè)備,再通過判斷第二電子簽名令牌是否在標(biāo)識(shí)信息中���,以確定第一電子簽名令牌和第二電子簽名令牌之間是否存在主備關(guān)系����,在上述兩個(gè)條件都滿足時(shí)�����,第一電子簽名令牌再將主電子簽名令牌的私鑰加密,再將加密后主電子簽名令牌的私鑰通過私鑰備份響應(yīng)數(shù)據(jù)包發(fā)送出去�,在第二電子簽名令牌接收到私鑰備份響應(yīng)數(shù)據(jù)包后,第二電子簽名令牌對(duì)第二簽名進(jìn)行驗(yàn)證�,以確定第一電子簽名令牌是否是合法設(shè)備,在確定合法戶�,第二電子簽名令牌再將加密后的第二電子簽名令牌的私鑰進(jìn)行解密,得到主電子簽名令牌的私鑰�,完成私鑰的備份。通過第二電子簽名令牌和第一電子簽名令牌分別驗(yàn)證對(duì)方的合法性�,以及第一電子簽名令牌驗(yàn)證主備關(guān)系,在確定對(duì)方安全的前提下�,再進(jìn)行私鑰的傳輸,實(shí)現(xiàn)了安全備份私鑰�。
下面對(duì)本發(fā)明提供的方法實(shí)施例作進(jìn)一步的說明:可選的,所述私鑰備份響應(yīng)數(shù)據(jù)包還包括所述第一電子簽名令牌的標(biāo)識(shí)�;所述第二電子簽名令牌對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密之前,還包括:所述第二電子簽名令牌將所述私鑰備份響應(yīng)中的第一電子簽名令牌的標(biāo)識(shí)與本地存儲(chǔ)的第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)進(jìn)行比較�����;如果第一電子簽名令牌的標(biāo)識(shí)與所述第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)相同�,則執(zhí)行對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密的操作。由上可以看出�����,第二電子簽名令牌通過判斷第一電子簽名令牌的標(biāo)識(shí)與自身的主電子簽名令牌的標(biāo)識(shí)進(jìn)行比較,可以確定第一電子簽名令牌和第二電子簽名令牌之間是否存在主備關(guān)系��,保證自身的私鑰備份安全���。其中,第一電子簽名令牌執(zhí)行向CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息的操作�,包括:所述第一電子簽名令牌執(zhí)行發(fā)送標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包的操作;CA服務(wù)器在接收到所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后�����,獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息��,并利用CA服務(wù)器私鑰對(duì)所述標(biāo)識(shí)信息進(jìn)行簽名�����,再通過標(biāo)識(shí)查詢響應(yīng)數(shù)據(jù)包將簽名處理后的標(biāo)識(shí)信息發(fā)送給所述第一電子簽名令牌���;所述第一電子簽名令牌對(duì)所述`簽名處理后的標(biāo)識(shí)信息進(jìn)行驗(yàn)證�����;如果驗(yàn)證通過���,獲取所述標(biāo)識(shí)���。與現(xiàn)有技術(shù)中通過用戶手動(dòng)輸入該標(biāo)識(shí)信息等方式相比,本發(fā)明實(shí)施例中標(biāo)識(shí)信息是通過CA服務(wù)器來獲取����,且利用CA服務(wù)器私鑰對(duì)標(biāo)識(shí)信息進(jìn)行簽名,準(zhǔn)確性和安全性聞��。其中�����,標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包包括所述第一電子簽名令牌的第二簽名�����;所述CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息之前�,還包括:所述CA服務(wù)器對(duì)所述第一電子簽名令牌的第二簽名進(jìn)行驗(yàn)證;如果驗(yàn)證通過�����,則所述CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息�����。由上可以看出,CA服務(wù)器利用CA服務(wù)器公鑰驗(yàn)證第一電子簽名令牌的第一簽名通過��,表示該第一電子簽名令牌為合法設(shè)備���,再獲取該標(biāo)識(shí)信息,避免非法電子簽名令牌騙取該標(biāo)識(shí)信息��,提高信息的安全性�����。進(jìn)一步的�,為了避免其他電子簽名令牌竊取到第一電子簽名令牌的第二簽名后進(jìn)而從CA服務(wù)器騙取標(biāo)識(shí)信息,所述第一電子簽名令牌執(zhí)行發(fā)送標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包的操作��,包括:所述第一電子簽名令牌對(duì)標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行簽名���,并發(fā)送簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包;其中���,此處簽名使用的是第一電子簽名令牌與CA服務(wù)器協(xié)商確定的兩者通信過程中第一電子簽名令牌在簽名時(shí)所使用的私鑰�����;
相應(yīng)的�����,所述CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息之前���,還包括:所述CA服務(wù)器對(duì)簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證�;如果驗(yàn)證通過�����,則CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息��。其中�����,CA服務(wù)器驗(yàn)證簽名所使用的是第一電子簽名令牌與CA服務(wù)器協(xié)商確定的兩者通信過程中第一電子簽名令牌簽名時(shí)所使用的私鑰對(duì)應(yīng)的公鑰���。為了避免合法的電子簽名令牌在獲取到第一簽名后,冒充真正的第二電子簽名令牌騙取主電子簽名令牌的私鑰,造成私鑰泄漏的安全���,上述方法流程中:所述第二電子簽名令牌執(zhí)行發(fā)送私鑰備份請(qǐng)求數(shù)據(jù)包的操作,包括:所述第二電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行簽名���,并發(fā)送簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包;所述第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的第一簽名進(jìn)行驗(yàn)證之前�,還包括:所述第一電子簽名令牌對(duì)所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證�,如果驗(yàn)證通過,則第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的第一簽名進(jìn)行驗(yàn)證���。由上可以看出�����,通過第二電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行簽名��,再由第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證�����,實(shí)現(xiàn)對(duì)發(fā)起備份請(qǐng)求的第二電子簽名令牌的身份認(rèn)證�,使得具有第一簽名的電子簽名令牌無法騙取到主電子簽名令牌的私鑰,提高私鑰備份的安全性�����。其中���,私鑰備份請(qǐng)求數(shù)據(jù)包的簽名所使用的私鑰以及第一電子簽名令牌驗(yàn)證簽名后的私鑰備份請(qǐng)求數(shù)據(jù)包所使用的公鑰是預(yù)先協(xié)商好的���,且分別寫入到的各自的設(shè)備中的�。
同理,為了避免合法的電子簽名令牌在獲取到第二簽名后����,冒充真正的第一電子簽名令牌發(fā)送錯(cuò)誤的私鑰給第二電子簽名令牌,造成私鑰備份失敗的問題�,上述方法流程中:所述第一電子簽名令牌執(zhí)行發(fā)送私鑰備份響應(yīng)數(shù)據(jù)包的操作,包括:所述第一電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行簽名���,并發(fā)送簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包��;所述第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證之前����,還包括:所述第二電子簽名令牌對(duì)簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行驗(yàn)證,如果驗(yàn)證通過��,則執(zhí)行所述第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證的操作���。由上可以看出����,通過第一電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行簽名��,再由第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行驗(yàn)證���,實(shí)現(xiàn)對(duì)發(fā)起備份響應(yīng)的第一電子簽名令牌的身份認(rèn)證�����,使得具有第二簽名的合法電子簽名令牌無法妨礙第二電子簽名令牌獲取正確的私鑰,保證第二電子簽名令牌能夠備份得到正確的私鑰�����。其中�����,私鑰備份請(qǐng)求數(shù)據(jù)包的簽名所使用的私鑰以及第二電子簽名令牌驗(yàn)證簽名后的私鑰備份請(qǐng)求數(shù)據(jù)包所使用的公鑰是預(yù)先協(xié)商好的,且分別寫入到的各自的設(shè)備中的�。其中,第一電子簽名令牌對(duì)主電子簽名令牌的私鑰進(jìn)行加密有如下兩種方式���,具體包括:方式一:第一電子簽名令牌和第二電子簽名令牌獲取匹配碼�,第一電子簽名令牌與第二電子簽名令牌利用所述匹配碼協(xié)商兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略�����;第一電子簽名令牌利用所述加密策略對(duì)所述主電子簽名令牌的私鑰加密����,得到加密后的主電子簽名令牌的私鑰;其中����,所述第二電子簽名令牌對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密,得到所述主電子簽名令牌的私鑰��,包括:所述第二電子簽名令牌利用所述解密策略對(duì)所述加密后的主電子簽名令牌的私鑰進(jìn)行解密����,得到所述主電子簽名令牌的私鑰���。方式二:第一電子簽名令牌獲取密鑰,該密鑰與第二電子簽名令牌的數(shù)字簽名中存儲(chǔ)的密鑰相同�����,并利用密鑰加密所述主電子簽名令牌的私鑰�����,得到加密后的主電子簽名令牌的私鑰��;相應(yīng)的����,所述第二電子簽名令牌對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密,得到所述主電子簽名令牌的私鑰�����,包括:第一電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密��,得到主電子簽名令牌的私鑰���。下面要對(duì)方式一作進(jìn)一步說明 :第二電子簽名令牌可以根據(jù)本地預(yù)先存儲(chǔ)的匹配碼生成策略生成匹配碼�,該匹配碼可以包括文字�、數(shù)字和字符中的至少一個(gè),并輸出該匹配碼�;當(dāng)然,第一電子簽名令牌獲取該匹配碼���,其中獲取的方式有很多種����,如通過無線或有線傳輸方式�����,也可以通過用戶手動(dòng)輸入方式��。當(dāng)然�,也可以由銀行后臺(tái)服務(wù)器向第二電子簽名令牌和第一電子簽名令牌發(fā)送該匹配碼等方式實(shí)現(xiàn)第二電子簽名令牌和第一電子簽名令牌得到匹配碼。相比較而言���,由第二電子簽名令牌生成匹配碼��,再由第一電子簽名令牌獲取的方式����,較銀行后臺(tái)服務(wù)器發(fā)送的方式相比,無需銀行后臺(tái)服務(wù)器的參與����,交互流程簡單。其中����,利用匹配碼協(xié)商加解密策略有如下兩種,包括:Al:將第一電子簽名令牌獲取到的匹配碼作為待驗(yàn)證碼��,第一電子簽名令牌執(zhí)行發(fā)送該待驗(yàn)證碼給第二電子簽名令牌的操作����;第二電子簽名令牌在獲取到該待驗(yàn)證碼后,判斷待驗(yàn)證碼與本地獲取到的匹配碼是否相同�;如果待驗(yàn)證碼與匹配碼相同,����,則第二電子簽名令牌生成兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略;第二電子簽名令牌執(zhí)行發(fā)送解密策略給第一電子簽名令牌的操作���。由上可以看出�,方式一提供的方式中�,第二電子簽名令牌通過將待驗(yàn)證碼與本地獲取到的匹配碼進(jìn)行比較,確定發(fā)起與第二電子簽名令牌協(xié)商加解密策略的設(shè)備是否為第一電子簽名令牌�,來驗(yàn)證第一電子簽名令牌的身份,在確定該設(shè)備為第一電子簽名令牌��,再將解密算法發(fā)送給第一電子簽名令牌���,保證了私鑰的傳輸安全����。在Al中��,為了避免其他電子簽名令牌竊取該私鑰的加密策略���,第一電子簽名令牌執(zhí)行發(fā)送該待驗(yàn)證碼給第二電子簽名令牌的操作�,包括:
第一電子簽名令牌對(duì)該待驗(yàn)證碼進(jìn)行簽名���,發(fā)簽名處理后的待驗(yàn)證碼給第二電子簽名令牌�����;相應(yīng)的��,第二電子簽名令牌判斷待驗(yàn)證碼與本地獲取到的匹配碼是否相同之前�,還包括:第二電子簽名令牌對(duì)簽名處理后的待驗(yàn)證碼給第二電子簽名令牌進(jìn)行驗(yàn)證,如果驗(yàn)證通過���,再判斷待驗(yàn)證碼與本地獲取到的匹配碼是否相同����。其中�,第一電子簽名令牌對(duì)待驗(yàn)證碼進(jìn)行簽名所使用的私鑰可以與第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包簽名時(shí)所使用的私鑰相同,同理����,第二電子簽名令牌對(duì)簽名后的待驗(yàn)證碼驗(yàn)證時(shí)所使用的公鑰與對(duì)簽名后的私鑰備份請(qǐng)求數(shù)據(jù)包時(shí)所使用的公鑰相同。為了避免其他電子簽名令牌冒充第二電子簽名令牌發(fā)送錯(cuò)誤的解密算法給第一電子簽名令牌���,第二電子簽名令牌執(zhí)行發(fā)送解密策略給第一電子簽名令牌的操作��,包括:第二電子簽名令牌對(duì)解密策略進(jìn)行簽名�����,發(fā)簽名處理后的解密策略給第一電子簽名令牌��;相應(yīng)的�,第一電子簽名令牌獲取解密策略之前還包括:第一電子簽名令牌對(duì)簽名處理后的解密策略進(jìn)行驗(yàn)證,如果驗(yàn)證通過����,則獲取解密策略�。其中,第二電子簽名令牌對(duì)解密策略進(jìn)行簽名所使用的私鑰可以與第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包簽名時(shí)所使用的私鑰相同���,同理����,第一電子簽名令牌對(duì)簽名后的解密策略驗(yàn)證時(shí)所使用的公鑰與對(duì)簽名后的私鑰備份響應(yīng)數(shù)據(jù)包時(shí)所使用的公鑰相同��。A2:第二電子簽名令 牌和第一電子簽名令牌獲取匹配碼�����、加密策略和解密策略的對(duì)應(yīng)關(guān)系����;第二電子簽名令牌和第一電子簽名令牌在對(duì)應(yīng)關(guān)系中查找匹配碼對(duì)應(yīng)的加密策略和解密策略;如果查找到�����,則將查找到的加密策略和解密策略作為兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略。在A2中�,第二電子簽名令牌和第一電子簽名令牌通過查詢本地獲取到的對(duì)應(yīng)關(guān)系,確定兩者通信所使用的加解密策略�����,實(shí)現(xiàn)簡單����,且無需第二電子簽名令牌和第一電子簽名令牌之間信息交互,降低了信息被竊取的可能�。上述兩種方式通過匹配碼可以實(shí)現(xiàn)隨機(jī)選擇加解密策略的目的,提高了加密方式的隨機(jī)性�����,保證了通信安全��。綜上�,本發(fā)明中的第一電子簽名令牌預(yù)先存儲(chǔ)有與第二電子簽名令牌通信時(shí)對(duì)內(nèi)容進(jìn)行簽名的私鑰、對(duì)第二電子簽名令牌發(fā)送的經(jīng)簽名后的內(nèi)容進(jìn)行驗(yàn)簽時(shí)所使用的第二電子簽名令牌用于通信的公鑰���,以及自身加解密內(nèi)容的一對(duì)密鑰�����;而第二電子簽名令牌預(yù)先存儲(chǔ)有與第一電子簽名令牌通信時(shí)對(duì)內(nèi)容進(jìn)行簽名的私鑰���、對(duì)第一電子簽名令牌發(fā)送的經(jīng)簽名后的內(nèi)容進(jìn)行驗(yàn)簽時(shí)所使用的第一電子簽名令牌用于通信的公鑰以及第一電子簽名令牌請(qǐng)求備份的私鑰�����;除此之外���,第一電子簽名令牌還存儲(chǔ)有與CA服務(wù)器進(jìn)行通信時(shí)對(duì)內(nèi)容進(jìn)行簽名的私鑰���,相應(yīng)的����,CA服務(wù)器存儲(chǔ)有與第一電子簽名令牌通信時(shí)對(duì)簽名內(nèi)容進(jìn)行驗(yàn)證所使用的公鑰�����。圖2為本發(fā)明提供的備份電子簽名令牌中信息的系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖��。圖2所示系統(tǒng)實(shí)施例包括:第一電子簽名令牌中的第一獲取模塊201����,用于當(dāng)?shù)谝浑娮雍灻钆茝闹麟娮雍灻钆苽浞莸玫街麟娮雍灻钆频乃借€后,執(zhí)行獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息的操作;第二電子簽名令牌中的第一發(fā)送模塊202���,用于執(zhí)行發(fā)送私鑰備份請(qǐng)求數(shù)據(jù)包的操作�,其中所述私鑰備份請(qǐng)求數(shù)據(jù)包包括由CA服務(wù)器為所述第二電子簽名令牌頒發(fā)的第一簽名��;所述第二電子簽名令牌中的第一驗(yàn)證模塊203����,用于在接收到私鑰備份請(qǐng)求數(shù)據(jù)包后,對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的所述第一簽名進(jìn)行驗(yàn)證���;所述第一電子簽名令牌中的判斷模塊204�����,用于如果驗(yàn)證通過��,判斷所述第二電子簽名令牌的標(biāo)識(shí)是否在獲取的標(biāo)識(shí)信息中��;所述第一電子簽名令牌中的加密模塊205�,用于如果所述第二電子簽名令牌的標(biāo)識(shí)在所述標(biāo)識(shí)信息中��,則對(duì)所述主電子簽名令牌的私鑰進(jìn)行加密����,得到加密后的主電子簽名令牌的私鑰�����;所述第一電子簽名令牌中的第二發(fā)送模塊206��,用于執(zhí)行發(fā)送私鑰備份響應(yīng)數(shù)據(jù)包的操作,其中所述私鑰備份響應(yīng)數(shù)據(jù)包包括由CA服務(wù)器為所述第一電子簽名令牌頒發(fā)的第二簽名以及加密后的主電子簽名令牌的私鑰��;所述第一電子簽名令牌中的第二驗(yàn)證模塊207��,用于在接收到私鑰備份響應(yīng)數(shù)據(jù)包后,對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證�;所述第二電子簽字令牌中的解密模塊208����,用于如果驗(yàn)證通過,則對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密,得到主電子簽名令牌的私鑰����。其中���,所述私鑰備份響應(yīng)數(shù)據(jù)包還包括所述第一電子簽名令牌的標(biāo)識(shí)���;所述第二電子簽名令牌還包括:比較模塊�,用于將所述私鑰備份響應(yīng)中的第一電子簽名令牌的標(biāo)識(shí)與本地存儲(chǔ)的第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)進(jìn)行比較;如果第一電子簽名令牌的標(biāo)識(shí)與所述第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)相同����,則執(zhí)行對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密的操作。其中�����,所述第一獲取模塊,用于執(zhí)行發(fā)送標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包的操作;所述系統(tǒng)還包括CA服務(wù)器��,其中所述CA服務(wù)器包括:
第二獲取模塊,用于在接收到所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后����,獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息��;簽名模塊,用于利用CA服務(wù)器私鑰對(duì)所述標(biāo)識(shí)信息進(jìn)行簽名�����;第三發(fā)送模塊,用于執(zhí)行通過標(biāo)識(shí)查詢響應(yīng)數(shù)據(jù)包將簽名處理后的標(biāo)識(shí)信息發(fā)送給所述第一電子簽名令牌的操作����;其中,所述第一獲取模塊還用于對(duì)所述簽名處理后的標(biāo)識(shí)信息進(jìn)行驗(yàn)證���;如果驗(yàn)證通過�����,獲取所述標(biāo)識(shí)信息���。其中,所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包包括所述第一電子簽名令牌的第二簽名�����;所述CA服務(wù)器還包括:第三驗(yàn)證模塊�����,用于對(duì)所述第一電子簽名令牌的第二簽名進(jìn)行驗(yàn)證�,如果驗(yàn)證通過,則所述CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息。
其中�����,所述第一獲取模塊�,用于對(duì)標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行簽名���,并發(fā)送簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包;所述CA服務(wù)器還包括:第四驗(yàn)證模塊,用于在接收到所述簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后�����,所述CA服務(wù)器對(duì)簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證;如果驗(yàn)證通過�,則CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息��。其中�����,所述第一獲取模塊,用于對(duì)標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行簽名�,并發(fā)送簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包;所述CA服務(wù)器還包括:第四驗(yàn)證模塊��,用于在接收到所述簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后����,所述CA服務(wù)器對(duì)簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證;如果驗(yàn)證通過��,則CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息。其中����,所述第一發(fā)送模塊,用于對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行簽名����,并發(fā)送簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包;所述第一電子簽名令牌還包括:第五驗(yàn)證模塊����,用于在接收到所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包后,對(duì)所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證����,如果驗(yàn)證通過,則第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的第一簽名進(jìn)行驗(yàn)證����。其中,所述第二發(fā)送模塊���,用于對(duì)私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行簽名���,并發(fā)送簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包�;所述第二電子簽名令牌還包括:第六驗(yàn)證模塊��,用于在接收到所述簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包后����,對(duì)簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行驗(yàn)證�,如果驗(yàn)證通過,則執(zhí)行所述第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證的操作�����。其中�,第一電子簽名令牌和第二電子簽名令牌均包括:協(xié)商模塊,用于獲取匹配碼��,并利用所述匹配碼協(xié)商兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略�;其中,所述加密模塊利用所述加密策略對(duì)所述主電子簽名令牌的私鑰加密�����,得到加密后的主電子簽名令牌的私鑰���;所述解密模塊利用所述解密策略對(duì)所述加密后的主電子簽名令牌的私鑰進(jìn)行解密���,得到所述主電子簽名令牌的私鑰�。其中�����,第一電子簽名令牌與第二電子簽名令牌中的協(xié)商模塊通過如下方式得到兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略�,包括:將第二電子簽名令牌獲取到的匹配碼作為待驗(yàn)證碼,第二電子簽名令牌執(zhí)行發(fā)送該待驗(yàn)證碼給第一電子簽名令牌的操作����;第一電子簽名令牌在獲取到該待驗(yàn)證碼后,判斷所述待驗(yàn)證碼與本地獲取到的匹配碼進(jìn)行比較���;如果比較結(jié)果一致�����,則第一電子簽名令牌生成兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略���;第一電子簽名令牌至少將解密策略發(fā)送給第二電子簽名令牌。其中���,第一電子簽名令牌與第二電子簽名令牌中的協(xié)商模塊通過如下方式得到兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略��,包括:第一電子簽名令 牌和第二電子簽名令牌獲取匹配碼��、加密策略和解密策略的對(duì)應(yīng)關(guān)系�����;第一電子簽名令牌和第二電子簽名令牌在所述對(duì)應(yīng)關(guān)系中查找所述匹配碼對(duì)應(yīng)的加密策略和解密策略��;如果查找到���,則將查找到的加密策略和解密策略作為兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略。其中���,所述加密模塊�,用于獲取密鑰���,該密鑰與第一簽名中存儲(chǔ)的密鑰相同�����,并利用密鑰加密所述主電子簽名令牌的私鑰��,得到加密后的主電子簽名令牌的私鑰�;其中,所述解密模塊��,用于從本地獲取所述密鑰��,并利用所述密鑰對(duì)加密后主電子簽名令牌的私鑰進(jìn)行解密����,得到所述主電子簽名令牌的私鑰。 與現(xiàn)有技術(shù)相比�����,第一電子簽名令牌獲取與自身存儲(chǔ)在備份關(guān)系的電子簽名令牌的標(biāo)識(shí)信息�,并在接收到第二電子簽名令牌發(fā)送的私鑰備份請(qǐng)求數(shù)據(jù)包時(shí),第二電子簽名令牌對(duì)第一簽 名進(jìn)行驗(yàn)證�����,以確定第二電子簽名令牌是否是合法設(shè)備�,再通過判斷第二電子簽名令牌是否在標(biāo)識(shí)信息中,以確定第一電子簽名令牌和第二電子簽名令牌之間是否存在主備關(guān)系�,在上述兩個(gè)條件都滿足時(shí),第一電子簽名令牌再將主電子簽名令牌的私鑰加密�����,再將加密后主電子簽名令牌的私鑰通過私鑰備份響應(yīng)數(shù)據(jù)包發(fā)送出去,在第二電子簽名令牌接收到私鑰備份響應(yīng)數(shù)據(jù)包后���,第二電子簽名令牌對(duì)第二簽名進(jìn)行驗(yàn)證��,以確定第一電子簽名令牌是否是合法設(shè)備�,在確定合法戶,第二電子簽名令牌再將加密后的第二電子簽名令牌的私鑰進(jìn)行解密�,得到主電子簽名令牌的私鑰�,完成私鑰的備份�。通過第二電子簽名令牌和第一電子簽名令牌分別驗(yàn)證對(duì)方的合法性,以及第一電子簽名令牌驗(yàn)證主備關(guān)系��,在確定對(duì)方安全的前提下��,再進(jìn)行私鑰的傳輸��,實(shí)現(xiàn)了安全備份私鑰。流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為��,表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊����、片段或部分,并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)�,其中可以不按所示出或討論的順序,包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序����,來執(zhí)行功能�,這應(yīng)被本發(fā)明的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解���。應(yīng)當(dāng)理解�,本發(fā)明的各部分可以用硬件�、軟件、固件或它們的組合來實(shí)現(xiàn)����。在上述實(shí)施方式中�����,多個(gè)步驟或方法可以用存儲(chǔ)在存儲(chǔ)器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實(shí)現(xiàn)。例如��,如果用硬件來實(shí)現(xiàn)�,和在另一實(shí)施方式中一樣�����,可用本領(lǐng)域公知的下列技術(shù)中的任一項(xiàng)或他們的組合來實(shí)現(xiàn):具有用于對(duì)數(shù)據(jù)信號(hào)實(shí)現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路,具有合適的組合邏輯門電路的專用集成電路��,可編程門陣列(PGA)��,現(xiàn)場可編程門陣列(FPGA)等���。本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中�����,該程序在執(zhí)行時(shí)�����,包括方法實(shí)施例的步驟之一或其組合��。此外����,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理模塊中,也可以是各個(gè)單元單獨(dú)物理存在���,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)模塊中���。上述集成的模塊既可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能模塊的形式實(shí)現(xiàn)����。所述集成的模塊如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí),也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�����。上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器����,磁盤或光盤等�����。在本說明書的描述中���,參考術(shù)語“一個(gè)實(shí)施例”、“一些實(shí)施例”、“示例”��、“具體示例”����、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)���、材料或者特點(diǎn)包含于本發(fā)明的至少一個(gè)實(shí)施例或示例中�。在本說明書中�,對(duì)上述術(shù)語的示意性表述不一定指的是相同的實(shí)施例或示例����。而且��,描述的具體特征�、結(jié)構(gòu)�����、材料或者特點(diǎn)可以在任何的一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合。盡管上面已經(jīng)示出和描述了本發(fā)明的實(shí)施例���,可以理解的是���,上述實(shí)施例是示例性的,不能理解為對(duì)本發(fā)明的限制,本領(lǐng)域的普通技術(shù)人員在不脫離本發(fā)明的原理和宗旨的情況下在本發(fā)明的范圍內(nèi)可以對(duì)上述實(shí)施例進(jìn)行變化、修改�����、替換和變型。本發(fā)明的范圍由所附權(quán)利要求及其等同限 定�����。
權(quán)利要求
1.一種備份電子簽名令牌中信息的方法���,其特征在于����,所述方法包括: 當(dāng)?shù)谝浑娮雍灻钆茝闹麟娮雍灻钆苽浞莸玫街麟娮雍灻钆频乃借€后,第一電子簽名令牌執(zhí)行獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息的操作; 第二電子簽名令牌執(zhí)行發(fā)送私鑰備份請(qǐng)求數(shù)據(jù)包的操作�����,其中所述私鑰備份請(qǐng)求數(shù)據(jù)包包括由CA服務(wù)器為所述第二電子簽名令牌頒發(fā)的第一簽名; 第一電子簽名令牌在接收到私鑰備份請(qǐng)求數(shù)據(jù)包后,對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的所述第一簽名進(jìn)行驗(yàn)證�;如果驗(yàn)證通過,判斷所述第二電子簽名令牌的標(biāo)識(shí)是否在獲取的標(biāo)識(shí)信息中;如果所述第二電子簽名令牌的標(biāo)識(shí)在所述標(biāo)識(shí)信息中,則所述第一電子簽名令牌對(duì)所述主電子簽名令牌的私鑰進(jìn)行加密,得到加密后的主電子簽名令牌的私鑰; 所述第一電子簽名令牌執(zhí)行發(fā)送私鑰備份響應(yīng)數(shù)據(jù)包的操作,其中所述私鑰備份響應(yīng)數(shù)據(jù)包包括由CA服務(wù)器為所述第一電子簽名令牌頒發(fā)的第二簽名以及加密后的主電子簽名令牌的私鑰�����; 所述第二電子簽名令牌在接收到私鑰備份響應(yīng)數(shù)據(jù)包后���,對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證;如果驗(yàn)證通過����,則對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密,得到主電子簽名令牌的私鑰���。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于: 所述私鑰備份響應(yīng)數(shù)據(jù)包還包括所述第一電子簽名令牌的標(biāo)識(shí); 所述第二電子簽名令牌對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密之前�����,還包括: 所述第二電子簽名令牌將所述私鑰備份響應(yīng)中的第一電子簽名令牌的標(biāo)識(shí)與本地存儲(chǔ)的第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)進(jìn)行比較����; 如果第一電子簽名令牌的標(biāo)識(shí)與所述第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)相同,則執(zhí)行對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密的操作����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于����,第一電子簽名令牌執(zhí)行獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息的操作���,包括: 所述第一電子簽名令牌執(zhí)行發(fā)送標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包的操作�; CA服務(wù)器在接收到所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后�����,獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息,并利用CA服務(wù)器私鑰對(duì)所述標(biāo)識(shí)信息進(jìn)行簽名�,再執(zhí)行通過標(biāo)識(shí)查詢響應(yīng)數(shù)據(jù)包將簽名處理后的標(biāo)識(shí)信息發(fā)送給所述第一電子簽名令牌的操作; 所述第一電子簽名令牌對(duì)所述簽名處理后的標(biāo)識(shí)信息進(jìn)行驗(yàn)證�����;如果驗(yàn)證通過�����,獲取所述標(biāo)識(shí)信息��。
4.根據(jù)權(quán)利要求3所述的方法��,其特征在于����,所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包包括所述第一電子簽名令牌的第二簽名; 所述CA服務(wù)器在接收到所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包之后����,獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息之前,還包括: 所述CA服務(wù)器對(duì) 所述第一電子簽名令牌的第二簽名進(jìn)行驗(yàn)證���;如果驗(yàn)證通過��,則所述CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息���。
5.根據(jù)權(quán)利要求3所述的方法����,其特征在于: 所述第一電子簽名令牌執(zhí)行發(fā)送標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包的操作��,包括: 所述第一電子簽名令牌對(duì)標(biāo) 識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行簽名�,并發(fā)送簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包; 所述CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息之前�,還包括: 在接收到所述簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后,所述CA服務(wù)器對(duì)簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證�; 如果驗(yàn)證通過,則CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息��。
6.根據(jù)權(quán)利要求3所述的方法����,其特征在于: 所述第二電子簽名令牌執(zhí)行發(fā)送私鑰備份請(qǐng)求數(shù)據(jù)包的操作���,包括: 所述第二電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行簽名���,并發(fā)送簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包����; 所述第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的第一簽名進(jìn)行驗(yàn)證之前����,還包括:在接收到所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包后,所述第一電子簽名令牌對(duì)所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證�,如果驗(yàn)證通過,則第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的第一簽名進(jìn)行驗(yàn)證�����。
7.根據(jù)權(quán)利要求1所述的方法�,其特征在于: 所述第一電子簽名令牌執(zhí)行發(fā)送私鑰備份響應(yīng)數(shù)據(jù)包的操作,包括: 所述第一電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行簽名�,并發(fā)送簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包; 所述第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證之前����,還包括:在接收到所述簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包后,所述第二電子簽名令牌對(duì)簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行驗(yàn)證�,如果驗(yàn)證通過,則執(zhí)行所述第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證的操作�。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于: 所述第一電子簽名令牌對(duì)所述主電子簽名令牌的私鑰進(jìn)行加密得到加密后的主電子簽名令牌的私鑰�,包括: 第一電子簽名令牌和第二電子簽名令牌獲取匹配碼�����; 第一電子簽名令牌與第二電子簽名令牌利用所述匹配碼協(xié)商兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略��; 第一電子簽名令牌利用所述加密策略對(duì)所述主電子簽名令牌的私鑰加密�����,得到加密后的主電子簽名令牌的私鑰�; 其中�����,所述第二電子簽名令牌對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密���,得到所述主電子簽名令牌的私鑰�����,包括: 所述第二電子簽名令牌利用所述解密策略對(duì)所述加密后的主電子簽名令牌的私鑰進(jìn)行解密�,得到所述主電子簽名令牌的私鑰����。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于����,第一電子簽名令牌與第二電子簽名令牌利用所述匹配碼協(xié)商兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略,包括: 將第二電子簽名令牌獲取到的匹配碼作為待驗(yàn)證碼�,第二電子簽名令牌執(zhí)行發(fā)送該待驗(yàn)證碼給第一電子簽名令牌的操作; 第一電子簽名令牌在獲取到該待驗(yàn)證碼后��,判斷所述待驗(yàn)證碼與本地獲取到的匹配碼進(jìn)行比較�; 如果比較結(jié)果一致,則第一電子簽名令牌生成兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略����; 第一電子簽名令牌至少將解密策略發(fā)送給第二電子簽名令牌。
10.根據(jù)權(quán)利要求8所述的方法�,其特征在于,第一電子簽名令牌與第二電子簽名令牌利用所述匹配碼協(xié)商兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略��,包括: 第一電子簽名令牌和第二電子簽名令牌獲取匹配碼�����、加密策略和解密策略的對(duì)應(yīng)關(guān)系; 第一電子簽名令牌和第二電子簽名令牌在所述對(duì)應(yīng)關(guān)系中查找所述匹配碼對(duì)應(yīng)的加密策略和解密策略���; 如果查找到��,則將查找到的加密策略和解密策略作為兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略���。
11.根據(jù)權(quán)利要求1所述的方法���,其特征在于: 所述第一電子簽名令牌對(duì)主電子簽名令牌的私鑰進(jìn)行加密包括: 所述第一電子簽名令牌獲取密鑰,該密鑰與第一簽名中存儲(chǔ)的密鑰相同�����,并利用密鑰加密所述主電子簽名令牌的私鑰��,得到加密后的主電子簽名令牌的私鑰�����; 所述第二電子簽名令牌對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密�,得到所述主電子簽名令牌的私鑰,包括: 第一電子簽名令牌從本地獲取所述密鑰���,并利用所述密鑰對(duì)加密后主電子簽名令牌的私鑰進(jìn)行解密����,得到所述主電子簽名令牌的私鑰。
12.—種備份電子簽名令牌中信息的系統(tǒng)���,其特征在于���,包括: 第一電子簽名令牌中的第一獲取模塊��,用于當(dāng)?shù)谝浑娮雍灻钆茝闹麟娮雍灻钆苽浞莸玫街麟娮雍灻钆频乃借€后��,執(zhí)行獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息的操作���; 第二電子簽名令牌中的第一發(fā)送模塊��,用于執(zhí)行發(fā)送私鑰備份請(qǐng)求數(shù)據(jù)包的操作��,其中所述私鑰備份請(qǐng)求數(shù)據(jù)包包括由CA服務(wù)器為所述第二電子簽名令牌頒發(fā)的第一簽名�����;所述第二電子簽名令牌中的第一驗(yàn)證模塊�����,用于在接收到私鑰備份請(qǐng)求數(shù)據(jù)包后����,對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的所述第一簽名進(jìn)行驗(yàn)證; 所述第一電子簽名令牌中的判斷模塊�,用于如果驗(yàn)證通過,判斷所述第二電子簽名令牌的標(biāo)識(shí)是否在獲取的標(biāo)識(shí)信息中�; 所述第一電子簽名令牌中的加密模塊,用于如果所述第二電子簽名令牌的標(biāo)識(shí)在所述標(biāo)識(shí)信息中���,則對(duì)所述主電子簽名令牌的私鑰進(jìn)行加密�����,得到加密后的主電子簽名令牌的私鑰���;所述第一電子簽名令牌中的第二發(fā)送模塊,用于執(zhí)行發(fā)送私鑰備份響應(yīng)數(shù)據(jù)包的操作�����,其中所述私鑰備份響應(yīng)數(shù)據(jù)包包括由CA服務(wù)器為所述第一電子簽名令牌頒發(fā)的第二簽名以及加密后的主電子簽名令牌的私鑰�����; 所述第一電子簽名令牌中的第二驗(yàn)證模塊�,用于在接收到私鑰備份響應(yīng)數(shù)據(jù)包后����,對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證�; 所述第二電子簽字令牌中的解密模塊,用于如果驗(yàn)證通過�����,則對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密���,得到主電子簽名令牌的私鑰。
13.根據(jù)權(quán)利要求12所述的系統(tǒng)����,其特征在于: 所述私鑰備份響應(yīng)數(shù)據(jù)包還包括所述第一電子簽名令牌的標(biāo)識(shí); 所述第二電子簽名令牌還包括: 比較模塊�,用于將所述私鑰備份響應(yīng)中的第一電子簽名令牌的標(biāo)識(shí)與本地存儲(chǔ)的第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)進(jìn)行比較;如果第一電子簽名令牌的標(biāo)識(shí)與所述第二電子簽名令牌對(duì)應(yīng)的主電子簽名令牌的標(biāo)識(shí)相同����,則執(zhí)行對(duì)所述私鑰備份響應(yīng)數(shù)據(jù)包中加密后的主電子簽名令牌的私鑰進(jìn)行解密的操作。
14.根據(jù)權(quán)利要求12所述的系統(tǒng)�,其特征在于: 所述第一獲取模塊,用于執(zhí)行發(fā)送標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包的操作���; 所述系統(tǒng)還包括CA服務(wù)器��,其中所述CA服務(wù)器包括: 第二獲取模塊�����,用于在接收到所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后����,獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息����; 簽名模塊,用于利用CA服務(wù)器私鑰對(duì)所述標(biāo)識(shí)信息進(jìn)行簽名���; 第三發(fā)送模塊����,用于執(zhí)行通過標(biāo)識(shí)查詢響應(yīng)數(shù)據(jù)包將簽名處理后的標(biāo)識(shí)信息發(fā)送給所述第一電子簽名令牌的操作����; 其中,所述第一獲取模塊還用于對(duì)所述簽名處理后的標(biāo)識(shí)信息進(jìn)行驗(yàn)證�;如果驗(yàn)證通過��,獲取所述標(biāo)識(shí)信息���。
15.根據(jù)權(quán)利要求14所述的系統(tǒng),其特征在于��,所述標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包包括所述第一電子簽名令牌的第二簽名��; 所述CA服務(wù)器還包括: 第三驗(yàn)證模塊����,用于對(duì)所述第一電子簽名令牌的第二簽名進(jìn)行驗(yàn)證��,如果驗(yàn)證通過��,則所述CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息��。
16.根據(jù)權(quán)利要求14所述的系統(tǒng)����,其特征在于: 所述第一獲取模塊,用于對(duì)標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行簽名�����,并發(fā)送簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包; 所述CA服務(wù)器還包括: 第四驗(yàn)證模塊�,用于在接收到所述簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包后,所述CA服務(wù)器對(duì)簽名后的標(biāo)識(shí)查詢請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證����;如果驗(yàn)證通過,則CA服務(wù)器獲取與所述第一電子簽名令牌存在備份關(guān)系的電子簽字令牌的標(biāo)識(shí)信息���。
17.根據(jù)權(quán)利要求13所述的系統(tǒng)����,其特征在于: 所述第一發(fā)送模塊�����,用于對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行簽名����,并發(fā)送簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包;所述第一電子簽名令牌還包括: 第五驗(yàn)證模塊�,用于在接收到所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包后,對(duì)所述簽名處理后的私鑰備份請(qǐng)求數(shù)據(jù)包進(jìn)行驗(yàn)證��,如果驗(yàn)證通過,則第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的第一簽名進(jìn)行驗(yàn)證�。
18.根據(jù)權(quán)利要求12所述的方法,其特征在于: 所述第二發(fā)送模塊���,用于對(duì)私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行簽名���,并發(fā)送簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包; 所述第二電子簽名令牌對(duì)還包括: 第六驗(yàn)證模塊�����,用于在接收到所述簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包后����,對(duì)簽名處理后的私鑰備份響應(yīng)數(shù)據(jù)包進(jìn)行驗(yàn)證,如果驗(yàn)證通過���,則執(zhí)行所述第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證的操作。
19.根據(jù)權(quán)利要求13所述的系統(tǒng)�����,其特征在于: 第一電子簽名令牌和第二電子簽名令牌均包括:協(xié)商模塊�����,用于獲取匹配碼,并利用所述匹配碼協(xié)商兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略�; 其中,所述加密模塊利用所述加密策略對(duì)所述主電子簽名令牌的私鑰加密����,得到加密后的主電子簽名令牌的私鑰; 其中���,所述解密模塊利用所述解密策略對(duì)所述加密后的主電子簽名令牌的私鑰進(jìn)行解密�����,得到所述主電子簽名令牌的私鑰�����。
20.根據(jù)權(quán)利要求19所述的方法�����,其特征在于����,第一電子簽名令牌與第二電子簽名令牌中的協(xié)商模塊通過如下方式得到兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略,包括: 將第二電子簽名令牌獲取到的匹配碼作為待驗(yàn)證碼�����,第二電子簽名令牌執(zhí)行發(fā)送該待驗(yàn)證碼給第一電子簽名令牌的操作�����;第一電子簽名令牌在獲取到該待驗(yàn)證碼后��,判斷所述待驗(yàn)證碼與本地獲取到的匹配碼進(jìn)行比較�����;如果比較結(jié)果一致��,則第一電子簽名令牌生成兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略�����;第一電子簽名令牌至少將解密策略發(fā)送給第二電子簽名令牌����。
21.根據(jù)權(quán)利要求19所述的方法�����,其特征在于,第一電子簽名令牌與第二電子簽名令牌中的協(xié)商模塊通過如下方式得到兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略�����,包括: 第一電子簽名令牌和第二電子簽名令牌獲取匹配碼�����、加密策略和解密策略的對(duì)應(yīng)關(guān)系���;第一電子簽名令牌和第二電子簽名令牌在所述對(duì)應(yīng)關(guān)系中查找所述匹配碼對(duì)應(yīng)的加密策略和解密策略���;如果查找到,則將查找到的加密策略和解密策略作為兩者通信所使用的加密策略以及該加密策略對(duì)應(yīng)的解密策略����。
22.根據(jù)權(quán)利要求13所述的系統(tǒng),其特征在于: 所述加密模塊����,用于獲取密鑰,該密鑰與第一簽名中存儲(chǔ)的密鑰相同��,并利用密鑰加密所述主電子簽名令牌的私鑰,得到加密后的主電子簽名令牌的私鑰�����; 其中�,所述解密模塊,用于從本地獲取所述密鑰��,并利用所述密鑰對(duì)加密后主電子簽名令牌的私鑰進(jìn)行解密����,得到所述主電子簽名令牌的私鑰。
全文摘要
本發(fā)明提供一種備份電子簽名令牌中信息的方法和系統(tǒng)���,所述方法包括第一電子簽名令牌執(zhí)行獲取標(biāo)識(shí)信息的操作�����;第二電子簽名令牌執(zhí)行發(fā)送私鑰備份請(qǐng)求數(shù)據(jù)包的操作�����;第一電子簽名令牌對(duì)私鑰備份請(qǐng)求數(shù)據(jù)包中的第一簽名進(jìn)行驗(yàn)證�;如果驗(yàn)證通過����,判斷第二電子簽名令牌的標(biāo)識(shí)是否在獲取的標(biāo)識(shí)信息中;如果在標(biāo)識(shí)信息中�,則第一電子簽名令牌對(duì)主電子簽名令牌的私鑰進(jìn)行加密;第一電子簽名令牌執(zhí)行發(fā)送私鑰備份響應(yīng)數(shù)據(jù)包的操作��;第二電子簽名令牌對(duì)私鑰備份響應(yīng)數(shù)據(jù)包中的第二簽名進(jìn)行驗(yàn)證����;如果驗(yàn)證通過,則對(duì)加密后的主電子簽名令牌的私鑰進(jìn)行解密���,得到主電子簽名令牌的私鑰�����。
文檔編號(hào)H04L29/06GK103248490SQ20131019414
公開日2013年8月14日 申請(qǐng)日期2013年5月23日 優(yōu)先權(quán)日2013年5月23日
發(fā)明者李東聲 申請(qǐng)人:天地融科技股份有限公司