本文在深入研究PKI技术和私钥管理技术的基础上，提出了一种私钥管理的解决方案。该方案针对Entrust私钥漫游系统的缺陷作了改进，私钥采用密钥管理中心KMC集中产生和存储的方式，但证书及密钥对的申请流程则借鉴私钥由认证中心CA代替产生方式中的流程，即用户向注册机构RA申请证书，注册机构RA审计用户的身份，若合法则向认证中心CA提出证书请求，认证中心CA再向密钥管理中心KMC请求密钥对，然后签发证书。私钥的存储和恢复则借鉴密钥托管的思想，用户的credential相关信息在存储之前，先用密钥管理中心KMC的加密密钥(或公钥)加密，再引入认证中心CA的加密公钥对其进行加密，加强了私钥在密钥管理中心KMC服务器上的存储安全。用户客户端与密钥管理中心KMC服务器的交互协议是采用改进的SPEKE协议，在交互之初加入了客户端对服务器的认证，从而保证了用户credential的安全传输，并且能够提供用户口令更新、私钥漫游、私钥恢复及私钥更新等服务。然后从技术和管理策略多方面分析了该方案的安全性和存在的风险，以及最大程度地降低风险的方法。最后对该工作进行了总结和展望。