[0001] 本发明涉及PKI体系，特别是证书生成和使用领域，包括但不仅限于该领域。

[0002] 公钥基础设施PKI（Public Key Infrastructure）是基于公钥密码技术的体系，核心是实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。该体系中，用户生成公私钥对；其中公钥发送给给CA，由CA生成一张X.509格式的用户公钥证书，该公钥证书被CA私钥签名后发布；其中私钥由且只能由用户持有，以保证安全性特别是不可抵赖性。

[0003] 为了保护私钥的安全性，在用户生成私钥的基础上，需要将私钥进行安全存储和使用。目前常用方法有独立安全载体和应用加密存储两种。独立安全载体方法，是将私钥存储在在用户持有的独立安全载体中，需要私钥计算时，将该载体和手机/PC等计算设备相连，由业务应用调用安全载体中的私钥进行计算。安全载体方法安全性好，私钥可以被多个业务应用复用；但成本高，且和计算设备及业务应用软件兼容性不好，不利于推广。应用加密存储方法，是将私钥作为应用内部的加密数据，和应用一起存储在用户手机/PC等计算设备上；需要私钥计算时，由业务应用从内部解密取出私钥使用。应用加密存储方法和计算设备及其业务应用兼容性好，但长期本地存储容易被盗取；另外私钥和应用集成在一起，无法被其他业务应用复用；当用户更换计算设备时，私钥迁移困难。

[0004] 如果能够将私钥作为一个独立文件，存储在云端，只有在用户需要时才被传输到计算设备的业务应用上并加载，计算完成后销毁；同时保证该私钥文件不可逆推出私钥，确认该私钥文件只能被用户打开；就可以兼顾安全性、可复用性和抗抵赖性。

[0016] 下面结合附图对云私钥生成和使用方法进行说明。

[0017] 图3、图4是本发明应用示意图，使用指纹作为生物特征。图中包括用户、集成指纹传感器的手机及其业务应用APP、云证书服务系统。

[0018] 云私钥注册，如图3所示。

[0019] A1:用户在手机的业务应用APP上启动云证书注册功能，录入用户ID、用户口令key并按压指纹，指纹通过终端上的指纹传感器采集成图像，图像处理后获得指纹特征模板，假定特征模板由N个特征点构成，每个特征点Ni是一个二元组(特征类型，特征值)，按约定规则编码成一个数值。用户ID、口令key和指纹模板在手机业务应用中进行算法处理，生成数据集Q，计算过程参见图2中MA2。

[0020] 手机上的业务应用APP将Q发送给云证书服务系统。

[0021] A2：云证书服务系统生成一张x.509格式的私钥证书，私钥证书字段包括：（证书编号、签发机构、签发时间、有效期、Q）；私钥证书由签发机构签名后存储。

[0022] 云私钥使用，如图4所示。

[0023] A3：用户在业务应用APP上录入用户ID、选择签发机构，向云证书服务系统申请证书副本。

[0024] A4：云证书服务系统根据用户ID得到私钥证书副本，返回给用户手机的业务应用APP。

[0025] A5：用户在手机业务应用APP上，输入口令并按压指纹，手机上的指纹传感器采集指纹后，从私钥证书副本的不可逆数据集使用SM9算法计算出私钥使用，使用完成后销毁私钥证书副本。过程参见图2中MA5。