[发明专利]一种备份电子签名令牌中信息的方法和系统

说明书

技术领域

本发明涉及一种电子技术领域，尤其涉及一种备份电子签名令牌中信息的方法和系统。

背景技术

现有技术中，电子签名令牌中存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。在现有的电子签名令牌中用户私钥理论上使用任何方式都无法读取，以保证了用户认证的安全性。然而，一旦电子签名令牌丢失，就无法得到原有的私钥，用户就必须重新办理电子签名令牌，私钥和序列号等关键信息都得重新分发和获取，需要触发电子签名令牌的更新流程，使得电子签名令牌的维护成本提高。即使有主电子签名令牌和备电子签名令牌，一旦主电子签名令牌丢失后，剩下的备电子签名令牌升级为主，那么如何对新的备电子签名令牌进行维护是亟待解决的问题。

发明内容

本发明旨在解决上述问题/之一，提供一种备份电子签名令牌中信息的方法和系统。

本发明提供如下技术方案：

一种备份电子签名令牌中信息的方法，所述方法包括：当第一电子签名令牌从主电子签名令牌备份得到主电子签名令牌的私钥后，第一电子签名令牌执行获取与所述第一电子签名令牌存在备份关系的电子签字令牌的标识信息的操作；第二电子签名令牌执行发送私钥备份请求数据包的操作，其中所述私钥备份请求数据包包括由CA服务器为所述第二电子签名令牌颁发的第一签名；第一电子签名令牌在接收到私钥备份请求数据包后，对私钥备份请求数据包中的所述第一签名进行验证；如果验证通过，判断所述第二电子签名令牌的标识是否在获取的标识信息中；如果所述第二电子签名令牌的标识在所述标识信息中，则所述第一电子签名令牌对所述主电子签名令牌的私钥进行加密，得到加密后的主电子签名令牌的私钥；所述第一电子签名令牌执行发送私钥备份响应数据包的操作，其中所述私钥备份响应数据包包括由CA服务器为所述第一电子签名令牌颁发的第二签名以及加密后的主电子签名令牌的私钥；所述第二电子签名令牌在接收到私钥备份响应数据包后，对私钥备份响应数据包中的第二签名进行验证；如果验证通过，则对所述私钥备份响应数据包中加密后的主电子签名令牌的私钥进行解密，得到主电子签名令牌的私钥。

其中，所述私钥备份响应数据包还包括所述第一电子签名令牌的标识；所述第二电子签名令牌对所述私钥备份响应数据包中加密后的主电子签名令牌的私钥进行解密之前，还包括：所述第二电子签名令牌将所述私钥备份响应中的第一电子签名令牌的标识与本地存储的第二电子签名令牌对应的主电子签名令牌的标识进行比较；如果第一电子签名令牌的标识与所述第二电子签名令牌对应的主电子签名令牌的标识相同，则执行对所述私钥备份响应数据包中加密后的主电子签名令牌的私钥进行解密的操作。

其中，第一电子签名令牌执行获取与所述第一电子签名令牌存在备份关系的电子签字令牌的标识信息的操作，包括：所述第一电子签名令牌执行发送标识查询请求数据包的操作；CA服务器在接收到所述标识查询请求数据包后，获取与所述第一电子签名令牌存在备份关系的电子签字令牌的标识信息，并利用CA服务器私钥对所述标识信息进行签名，再执行通过标识查询响应数据包将签名处理后的标识信息发送给所述第一电子签名令牌的操作；所述第一电子签名令牌对所述签名处理后的标识信息进行验证；如果验证通过，获取所述标识信息。

其中，所述标识查询请求数据包包括所述第一电子签名令牌的第二签名；所述CA服务器在接收到所述标识查询请求数据包之后,获取与所述第一电子签名令牌存在备份关系的电子签字令牌的标识信息之前，还包括：所述CA服务器对所述第一电子签名令牌的第二签名进行验证；如果验证通过，则所述CA服务器获取与所述第一电子签名令牌存在备份关系的电子签字令牌的标识信息。

其中，所述第一电子签名令牌执行发送标识查询请求数据包的操作，包括：所述第一电子签名令牌对标识查询请求数据包进行签名，并发送签名后的标识查询请求数据包所述CA服务器获取与所述第一电子签名令牌存在备份关系的电子签字令牌的标识信息之前，还包括：在接收到所述签名后的标识查询请求数据包后，所述CA服务器对签名后的标识查询请求数据包进行验证；如果验证通过，则CA服务器获取与所述第一电子签名令牌存在备份关系的电子签字令牌的标识信息。