組合式數(shù)字證書的制作方法
【專利摘要】一種系統(tǒng)(2)�����,該系統(tǒng)(2)可包括:存儲器(6)以及處理單元(8)�����,該存儲器存儲計算機可讀指令����;該處理單元訪問該存儲器(6)并且執(zhí)行計算機可讀指令���。計算機可讀指令可包括證書管理器(10)��,其被配置以請求產(chǎn)生N個隨機值�����,其中N是大于或者等于一的整數(shù)���;證書管理器(10)可還被配置以從至少兩個不同證書機構(gòu)(12)中的至少一個證書機構(gòu)(12)請求數(shù)字證書�����。該請求可包括N個隨機值中的給定一個��。證書管理器(10)可還被配置以產(chǎn)生公私鑰對的私鑰(16)���,其中所述私鑰(16)是基于至少兩個證書機構(gòu)(12)的每一個的私鑰產(chǎn)生的。
【專利說明】組合式數(shù)字證書
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般涉及數(shù)字證書�,更具體地涉及用于產(chǎn)生組合式數(shù)字證書的設(shè)備和方法。
【背景技術(shù)】
[0002]公鑰加密是指要求兩個不同鑰匙的加密系統(tǒng)��,一個用于鎖定或者加密明碼文本�,另一個用于解鎖或者解密密文。這些鑰匙中的一個是公開或者公共的(公鑰)�,另一個保持私有(私鑰)。如果鎖定/加密鑰匙是公開的那個�,則系統(tǒng)使得能夠進(jìn)行從公眾到解鎖鑰匙的擁有者的私有通信。如果解鎖/解密鑰匙是公開的那個����,則系統(tǒng)用作被私鑰的擁有者鎖定的文檔的簽名驗證器。
[0003]可以使用若干不同的公鑰原語來提供數(shù)字簽名�����。一些是基于離散對數(shù)問題并且稱為基于離散對數(shù)的公鑰加密系統(tǒng)��。公鑰加密系統(tǒng)可以在各種方案中用以提供保密性����、完整性、認(rèn)證或者認(rèn)可功能��?���?赏ㄟ^諸如公鑰數(shù)字證書這樣的數(shù)字證書來實現(xiàn)認(rèn)可或者認(rèn)證。公鑰數(shù)字證書可以包括兩部分:數(shù)據(jù)和數(shù)據(jù)的簽名�。數(shù)據(jù)可包括公鑰和受信第三方(證書機構(gòu),CA)的訂戶的唯一標(biāo)識符�����。在訂戶的公鑰上的CA的簽名在訂戶的公鑰和訂戶的身份(ID)之間傳達(dá)真實綁定��。
【發(fā)明內(nèi)容】
[0004]一個示例涉及系統(tǒng)�,該系統(tǒng)可包括存儲器以及處理單元�����,該存儲器存儲計算機可讀指令���;該處理單元訪問該存儲器并且執(zhí)行計算機可讀指令。計算機可讀指令可包括證書管理器�����,其被配置以請求產(chǎn)生N個隨機值�,其中N是大于或者等于一的整數(shù);證書管理器可還被配置以從至少兩個證書機構(gòu)中的至少一個證書機構(gòu)請求數(shù)字證書�����。該請求可包括N個隨機值中的給定一個�。證書管理器可還被配置以產(chǎn)生公私鑰對的私鑰,其中所述私鑰是基于至少兩個證書機構(gòu)的每一個的私鑰產(chǎn)生的�。
[0005]另一個示例涉及用于產(chǎn)生組合式數(shù)字證書的方法。該方法可包括:在計算機產(chǎn)生N個值�,其中N是大于或者等于二的整數(shù);該方法可還包括:從所述計算機向N個證書機構(gòu)中的對應(yīng)證書機構(gòu)提供包括N個隨機值中的給定一個的請求�����。該方法可還包括:在所述計算機從所述N個證書機構(gòu)中的每個接收數(shù)字證書;該方法可還包括:在所述計算機基于從所述N個證書機構(gòu)的每一個接收到的數(shù)據(jù)的組合產(chǎn)生針對所述計算機的私鑰�;該方法可還包括:在所述計算機基于從所述N個證書機構(gòu)的每一個接收到的每一個數(shù)字證書的組合產(chǎn)生組合式數(shù)字證書��。
[0006]再一個示例涉及用于產(chǎn)生組合式數(shù)字證書的方法�����。該方法可包括:在計算機產(chǎn)生隨機值�。該方法可還包括:將所述隨機值從所述計算機提供到兩個證書機構(gòu)中的第一個;該方法可還包括:在所述計算機從所述兩個證書機構(gòu)中的第二個接收數(shù)字證書����。該數(shù)字證書可以基于在第一個證書機構(gòu)產(chǎn)生的數(shù)字證書。該方法可還包括:在所述計算機基于來自所述兩個證書機構(gòu)的每一個的數(shù)字產(chǎn)生針對所述計算機的私鑰����;該方法可還包括:在所述 計算機基于在所述計算機接收到的數(shù)字證書中包括的數(shù)據(jù)產(chǎn)生組合式數(shù)字證書。
【專利附圖】
【附圖說明】
[0007]圖1示出用于產(chǎn)生組合式數(shù)字證書的系統(tǒng)的示例�����。
[0008]圖2A和圖2B示出用于產(chǎn)生組合式證書的示例方法的流程圖����。
[0009]圖3A和圖3B示出用于產(chǎn)生組合式證書的示例方法的另一個流程圖����。
[0010]圖4示出用于產(chǎn)生組合式數(shù)字證書的系統(tǒng)的另一個示例����。
【具體實施方式】
[0011 ] 在一個示例中,可采用計算機�����,諸如加密處理器來產(chǎn)生并且管理組合式數(shù)字證書����。組合式數(shù)字證書可包括用于產(chǎn)生公鑰的數(shù)據(jù),該公鑰是基于從多個證書機構(gòu)接收到的數(shù)據(jù)產(chǎn)生的���。另外�,計算機還可產(chǎn)生對應(yīng)的私鑰�����,該私鑰可以與組合式數(shù)字證書分開(并且安全地)存儲���。私鑰還可基于從多個證書機構(gòu)提供的數(shù)據(jù)��。這樣���,即使未許可的用戶(例如����,黑客)破壞多個證書機構(gòu)中的一個����,這種未許可的用戶不能夠確定私鑰��。
[0012]圖1示出用于產(chǎn)生和管理組合式數(shù)字證書3的系統(tǒng)2的示例���?�?赏ㄟ^采用任意離散對數(shù)公鑰系統(tǒng)諸如�����,但不限于艾爾伽馬而(El-Gamal)簽名��、斯諾爾(Schnorr)簽名���、數(shù)字安全算法(DSA)或者其變體來產(chǎn)生組合式數(shù)字證書3���。這些方案中的任何一個可使用橢圓曲線加密法(ECC),其固有地提供低存儲和計算要求��。系統(tǒng)2可包括例如計算機4��,其包括用于存儲機器可讀指令的存儲器6�����。計算機4可以被實現(xiàn)成例如加密處理器�����、專用集成電路芯片(ASIC)����、智能卡、智能電話����、臺式計算機、筆記本計算機等����。存儲器6可以被實現(xiàn)為例如非瞬時性計算機可讀介質(zhì)����,諸如���,隨機存取存儲器(RAM)�、閃速存儲器���、硬盤驅(qū)動器等�。存儲器6的一些部分在被請求時可以被外部系統(tǒng)訪問�����。然而��,在一些不例中��,存儲器6的一些部分可以是安全的并且僅可由計算機4的內(nèi)部部件訪問�����。計算機4可還包括用于訪問存儲器6和執(zhí)行機器可讀指令的處理單元8����。處理單元8可以例如實現(xiàn)為處理器核。存儲器6可包括證書管理器10��,其可產(chǎn)生�、修改和/或管理組合式數(shù)字證書3,該組合式數(shù)字證書3可還存儲在存儲器6中��。應(yīng)理解的是在其它示例中��,證書管理器10可以被存儲在另一個系統(tǒng)上��,諸如外部系統(tǒng)��、服務(wù)器或者主機系統(tǒng)��,諸如包含計算機4的智能電話或者其它裝置��。
[0013]證書管理器10可響應(yīng)于滿足條件而啟動組合式數(shù)字證書3的產(chǎn)生��。例如��,如果計算機4被實現(xiàn)為加密處理器���,則證書管理器10可響應(yīng)于來自另一個系統(tǒng)的激活請求啟動數(shù)字證書的產(chǎn)生�����。在其它示例中�����,證書管理器10可以響應(yīng)于用戶輸入來啟動產(chǎn)生組合式數(shù)字證書3�����。
[0014]計算機4可通過網(wǎng)絡(luò)14與N個證書機構(gòu)12通信�,其中N是大于等于二的整數(shù)。網(wǎng)絡(luò)14可以被實現(xiàn)為例如公共網(wǎng)絡(luò)(例如���,因特網(wǎng))��、私有網(wǎng)絡(luò)等。N個證書機構(gòu)12中的每一個證書機構(gòu)12可被實現(xiàn)為發(fā)行數(shù)字證書的系統(tǒng)�。數(shù)字證書以證書的命名主體證實對公鑰的所有權(quán)。這允許其它(第三方)依靠簽名或者對應(yīng)于被認(rèn)證的公鑰的私鑰進(jìn)行的認(rèn)定����。在這種信任關(guān)系的模型中,1-N個證書機構(gòu)12中的每一個是被證書的主體(所有者)和依靠證書的第三方這兩者信任的受信第三方�。
[0015]在一個示例中,響應(yīng)于啟動組合式數(shù)字證書3的產(chǎn)生,證書管理器10可請求由處理單元8產(chǎn)生N個隨機數(shù)���,這些隨機數(shù)可被稱為“rl...rN”��。應(yīng)注意的是在一些示例中����,證書管理器10在相對大時間段上可提供產(chǎn)生隨機數(shù)的分開的請求�����。例如�����,證書處理器10可被配置以請求在制造時產(chǎn)生rl���。另外��,證書管理器10可被配置以請求在將計算機4提供到客戶場所之后產(chǎn)生r2-rN�����。作為一個示例�����,計算機4可以嵌入有rl���,并且可被配置以在客戶場所激活時請求產(chǎn)生r2-rN�����。
[0016]證書管理器10可發(fā)送rl (或者其倍數(shù))到證書機構(gòu)I�。作為響應(yīng)�����,證書機構(gòu)I可返回數(shù)字證書1��,其可包括用于產(chǎn)生針對計算機4的公鑰的數(shù)據(jù)�����,其中該公鑰與證書機構(gòu)I關(guān)聯(lián)��。證書機構(gòu)I還可包括數(shù)據(jù)�����,諸如用于產(chǎn)生對應(yīng)于與證書機構(gòu)I關(guān)聯(lián)的公鑰的私鑰的整數(shù)��。應(yīng)注意在一些示例中����,數(shù)字證書I和用于產(chǎn)生私鑰和與證書機構(gòu)I關(guān)聯(lián)的公鑰的數(shù)據(jù)在制造計算機4時可被嵌入在計算機4中。另外�,證書管理器10可發(fā)送r2...rN到2-N個證書機構(gòu)12的每一個的對應(yīng)證書機構(gòu)12。作為響應(yīng)�����,2-N個證書機構(gòu)12的每一個可向計算機4提供對應(yīng)的數(shù)字證書�,以及用于產(chǎn)生公鑰和針對計算機4的對應(yīng)私鑰的數(shù)據(jù),該數(shù)據(jù)可被稱為證書數(shù)據(jù)���,計算機4與對應(yīng)的2-N個證書機構(gòu)12關(guān)聯(lián)的����。證書管理器10和/或處理單元8可采用由1-N個證書機構(gòu)12的每一個提供的證書數(shù)據(jù)來產(chǎn)生針對計算機4的私鑰�,該私鑰可被稱為Skeyl6。另外����,在一些示例中�,證書管理器10還可提供基于數(shù)字證書1-N的公鑰數(shù)據(jù)18以用于產(chǎn)生針對計算機4的對應(yīng)于Skeyl6的公鑰�,其可被稱為Pkey。在一些示例中�,公鑰數(shù)據(jù)18可被提供到第三方。在其它示例中���,公鑰數(shù)據(jù)18可由第三方通過其它方法(例如����,登記服務(wù))知道���。在一些示例中�,證書管理器10還可產(chǎn)生組合式證書3�����,其可包括公鑰數(shù)據(jù)18�。在一些示例中,組合式證書3還可包括用于標(biāo)識1-N個證書機構(gòu)12的每一個的數(shù)據(jù)�����。通過采用這個技術(shù)��,證書管理器10可產(chǎn)生基于由1-N個證書機構(gòu)12的每一個提供的數(shù)字證書的組合式數(shù)字證書3�����。另外���,通過采用這個技術(shù)�,1-N個證書機構(gòu)12的每一個都不需要彼此通信�����。
[0017]在另一個示例中���,在啟動產(chǎn)生數(shù)字證書時�����,證書管理器10可請求由處理單元8產(chǎn)生一個隨機數(shù)���,該隨機數(shù)可被稱為rl。證書管理器10可發(fā)送rl到證書機構(gòu)I���。作為響應(yīng)�,證書管理器I可產(chǎn)生數(shù)字證書I和用于產(chǎn)生針對計算機4的公鑰和對應(yīng)私鑰的數(shù)據(jù)(例如,整數(shù))�。證書機構(gòu)I可將用于產(chǎn)生私鑰的數(shù)據(jù)轉(zhuǎn)發(fā)到計算機4并且將數(shù)字證書I轉(zhuǎn)發(fā)到證書機構(gòu)2,其中私鑰與證書機構(gòu)I關(guān)聯(lián)���。另外�,證書機構(gòu)2可認(rèn)證證書機構(gòu)I來確保數(shù)字證書I源于證書機構(gòu)I而不是未授權(quán)的來源(例如�,黑客)。證書機構(gòu)2基于數(shù)字證書I可產(chǎn)生數(shù)字證書2�����,并且將數(shù)字證書2轉(zhuǎn)發(fā)到證書管理器10�,該數(shù)字證書可包括用于產(chǎn)生與證書機構(gòu)I和證書機構(gòu)2關(guān)聯(lián)的PKey的公鑰數(shù)據(jù)18。證書機構(gòu)2還可提供用于產(chǎn)生與證書機構(gòu)2關(guān)聯(lián)的私鑰的數(shù)據(jù)(例如��,整數(shù))����。證書管理器10和/或處理單元8基于從證書機構(gòu)I和證書機構(gòu)2提供的數(shù)據(jù)可產(chǎn)生SKeyl6,其中SKeyl6對應(yīng)于Pkey�。證書管理器10和/或處理單元8基于數(shù)字證書2還可產(chǎn)生組合式數(shù)字證書3。在一些示例中����,組合式證書3可包括公鑰數(shù)據(jù)18���,其可被用以于PKey。通過采用這個技術(shù)�����,組合式證書的大小可減小���,其可節(jié)省存儲。
[0018]在兩種技術(shù)中��,組合式數(shù)字證書3可基于由1-N個證書機構(gòu)12提供的數(shù)據(jù)���。在第一個技術(shù)中�����,即使未授權(quán)的用戶(例如�����,黑客)獲得對1-N個證書機構(gòu)12中任一個的訪問權(quán)��,組合式數(shù)字證書3也不被損壞�����。事實上���,為了損壞組合式數(shù)字證書3的安全性�,這種未授權(quán)的用戶將需要損壞全部1-N個證書機構(gòu)12����。在第二個技術(shù)中,由于證書機構(gòu)I是由證書機構(gòu)2認(rèn)證的�,所以由證書機構(gòu)I提供的數(shù)據(jù)可被證書機構(gòu)2信任。因而��,組合式數(shù)字證書3提供對安全破壞的明顯抵抗���。另外���,這種安全破壞的可能性會在1-N個證書機構(gòu)12的每一個上分配。
[0019]鑒于上述結(jié)構(gòu)和功能特征��,參照圖2A�、圖2B�����、圖3A和圖3B將更好地理解示例方法���。另外,為了簡單說明�,圖2A、圖2B��、圖3A和圖3B的示例方法被示出并且描述為連續(xù)執(zhí)行��,本示例不限于所例示的順序��,因為在其它示例中一些動作可以按照與此處示出和描述不同的順序和/或并行地進(jìn)行���。
[0020]圖2A和圖2B示出可被采用以產(chǎn)生諸如圖1示出的組合式數(shù)字證書3的組合式數(shù)字證書的不例方法200的不例流程圖。
[0021]在210�,可以啟動證書產(chǎn)生。證書啟動例如可由證書管理器啟動����,諸如圖1例示的證書管理器10。在這種情形下�,證書管理器可在計算機上執(zhí)行�����,諸如加密處理器����。在方法200中���,可通過采用來自ECC的技術(shù)來產(chǎn)生組合式證書����。然而��,附加地或者另選地可采用其它加密技術(shù)���。在ECC中���,沿著曲線E的點可限定有限場。在一個示例中�,算式I可限定用于方法200的有限場:
[0022]算式1:y2 = x3+ax+b ;
[0023]其中��,
[0024]P = {xP, yP} ���;Q = {xQ, yQ};并且P和Q是在曲線E上的點����。
[0025]另外,在ECC中��,曲線E上的點的數(shù)量可表示為有限整數(shù)“η”���。在這種情形下�,算式2和3可表不η��、P和Q之間的關(guān)系��。
[0026]算式2:nP = P+P+P...+P
[0027]算式3:Q = ηΡ
[0028]在220�,可產(chǎn)生N個隨機數(shù)�����,例如��,由處理器單元�����,諸如圖1例示的處理單元8。N個隨機數(shù)的每一個可被計算為曲線E上的點�。例如,在一個示例中���,處理單元可產(chǎn)生隨機數(shù)ri�����,其中i是在I到N之間的整數(shù)��。處理單元可采用橢圓曲線點乘法來計算r1.G����,其中G是在產(chǎn)生器點G處限定的曲線E上的數(shù)點�����,使得r1.G是曲線E上的點��。在230����,證書管理器可將隨機數(shù)ri提供到對應(yīng)的證書機構(gòu)i,該證書機構(gòu)i可以被實現(xiàn)為圖1例示的1-N個證書機構(gòu)12中的一個����。在這種情形下����,證書機構(gòu)i可具有被標(biāo)記為的私鑰和標(biāo)記為Qqu的公鑰�����。在這種情形下��,算式4可描繪之間的關(guān)系��。應(yīng)注意的是算式4表示橢圓曲線乘法����。
[0029]算式4:QCAi = cCAi.G
[0030]在一個示例中,針對每一個訂戶A���,每一個證書機構(gòu)i可指派不同的標(biāo)識號碼(例如,唯一 ID)�。在這種情形下,每一個標(biāo)識號碼可被實現(xiàn)為由N個證書機構(gòu)的每一個貢獻(xiàn)的每一個標(biāo)識號碼的和(IDa = Σ (IDm))����。替代地��,證書機構(gòu)i中的給定一個可具有由其它證書機構(gòu)i共孚的唯一標(biāo)識號碼�。在240,證書機構(gòu)i可計算Ii1.G,其中Iii是在區(qū)間[l�,n_l]內(nèi)的隨機數(shù)。在250,證書機構(gòu)i可采用算式5來計算P”應(yīng)注意的是算式5表示橢圓曲線加法�。
[0031]算式5:Pi = T1.G+kj.G
[0032]在260,證書機構(gòu)i可采用算式6來計算e”
[0033]算式6:ei = H(P」|ID)
[0034]其中H是單向哈希函數(shù)A是在算式5中給出的橢圓曲線加法的結(jié)果點���;并且ID是針對計算機的唯一標(biāo)識符�����。
[0035]在270����,證書機構(gòu)i可采用算式7或者另選的算式8來計算Si����。
[0036]算式7:Si = ej.Ii1-Cai (mod η)
[0037]算式8:Si = kj-ej.cCAi (mod n)
[0038]在280,證書機構(gòu)i可提供數(shù)字證書i和其它數(shù)據(jù)到證書管理器���,使得至少P1����、Si和ei被提供到證書管理器。在290�����,可判斷是否i小于或者等于N��。如果判斷是肯定的(例如�,是),則方法200可進(jìn)行到300�。如果判斷是否定的(例如,否)�����,則方法可進(jìn)行到310 (圖2B)����。在300,i的值可增加I并且方法可返回到230�����。
[0039]在圖2B的310��,證書管理器可計算針對關(guān)聯(lián)的計算機的私鑰����,該私鑰可被標(biāo)記為
“SKey”。SKey例如可被存儲在計算機的安全存儲器中���。在采用算式7來計算Si的示例中�����,
證書管理器可采用算式9來計算SKey��。替代地��,在采用算式8來計算Si的示例中�,證書管
理器可采用算式10來計算SKey��。
【權(quán)利要求】
1.一種產(chǎn)生組合式數(shù)字證書的方法����,該方法包括: 在計算機產(chǎn)生N個隨機值,其中N是大于或者等于二的整數(shù)����; 從所述計算機向N個證書機構(gòu)中的對應(yīng)證書機構(gòu)提供請求,該請求包括所述N個隨機值中的給定一個; 響應(yīng)于所述請求,在所述計算機從所述N個證書機構(gòu)中的每一個接收數(shù)字證書��; 在所述計算機基于從所述N個證書機構(gòu)的每一個接收到的數(shù)據(jù)的組合產(chǎn)生針對所述計算機的私鑰����;以及 在所述計算機基于從所述N個證書機構(gòu)的每一個接收到的每一個數(shù)字證書的組合產(chǎn)生組合式數(shù)字證書。
2.根據(jù)權(quán)利要求1所述的方法���,其中�����,從所述N個證書機構(gòu)的每一個接收到的每一個數(shù)字證書是基于橢圓曲線加密法產(chǎn)生的���。
3.根據(jù)權(quán)利要求2所述的方法,其中�,所述N個隨機值的每一個表示在橢圓曲線上的點。
4.根據(jù)權(quán)利要求3所述的方法����,其中,來自所述N個證書機構(gòu)的給定數(shù)字證書包括表示所述橢圓曲線上的點的數(shù)字的集合���,其中在所述橢圓曲線上的所述點是基于所述N個隨機值中所述給定一個計算的���。
5.根據(jù)權(quán)利要求2所述的方法,其中���,針對所述計算機的所述私鑰被配置使得:
6.根據(jù)權(quán)利要求1所述的方法����,其中�,所述N個隨機值的所述給定一個是在所述計算機的制造時產(chǎn)生的,并且所述N個隨機值的剩余部分是在所述計算機的激活之后產(chǎn)生的��。
7.根據(jù)權(quán)利要求1所述的方法����,其中,從所述N個證書機構(gòu)的每一個接收到的每一個數(shù)字證書是彼此獨立地產(chǎn)生的�。
8.—種產(chǎn)生組合式數(shù)字證書的方法,該方法包括: 在計算機產(chǎn)生隨機值���; 將所述隨機值提供給兩個證書機構(gòu)中的第一個�; 在所述計算機從所述兩個證書機構(gòu)中的第二個接收數(shù)字證書��,其中所述數(shù)字證書基于在所述第一個證書機構(gòu)產(chǎn)生的數(shù)字證書�����; 在所述計算機基于來自所述兩個證書機構(gòu)的每一個的數(shù)字產(chǎn)生針對所述計算機的私鑰;以及在所述計算機基于在所述計算機接收到的所述數(shù)字證書中包括的數(shù)據(jù)產(chǎn)生組合式數(shù) 據(jù)證書����。
9.根據(jù)權(quán)利要求8所述的方法,所述方法還包括:產(chǎn)生與針對所述計算機的所述私鑰對應(yīng)的針對所述計算機的公鑰�,其中所述公鑰基于所述兩個證書機構(gòu)的每一個的公鑰。
10.根據(jù)權(quán)利要求8所述的方法�����,其中���,從所述兩個證書機構(gòu)中的所述第二個接收到的所述數(shù)字證書基于橢圓曲線加密法���。
11.根據(jù)權(quán)利要求10所述的方法,其中針對所述計算機的所述私鑰被配置使得:
SKey = e (S1+!*) +s2mod η �; 其中: SKey表示針對所述計算機的所述私鑰; r表示由所述計算機產(chǎn)生的所述隨機值�����; Si表示從所述兩個證書機構(gòu)中的所述第一個證書機構(gòu)提供的整數(shù)���; s2表示從所述兩個證書機構(gòu)中的所述第二個證書機構(gòu)提供的整數(shù)���; e表示在所述兩個證書機構(gòu)中的所述第二個證書機構(gòu)執(zhí)行的哈希函數(shù)的結(jié)果����;以及 η表示被采用以計算Si和s2的橢圓曲線中的點的數(shù)量����。
12.根據(jù)權(quán)利要求 18所述的方法�,所述方法還包括在第三方產(chǎn)生對應(yīng)于SKey的公鑰。
13.—種系統(tǒng),該系統(tǒng)包括: 存儲器���,其存儲計算機可讀指令�;以及 處理單元���,其用于訪問所述存儲器并且執(zhí)行所述計算機可讀指令�; 其中����,所述計算機可讀指令包括: 證書管理器,該證書管理器被配置以: 請求產(chǎn)生N個隨機值�����,其中N是大于或者等于一的整數(shù); 從至少兩個不同證書機構(gòu)中的至少一個證書機構(gòu)請求數(shù)字證書��,其中所述請求包括所述N個隨機值中的給定一個��;以及 產(chǎn)生公私鑰對的私鑰��,其中��,所述私鑰是基于所述至少兩個不同證書機構(gòu)的每一個的私鑰產(chǎn)生的�。
14.根據(jù)權(quán)利要求13所述的系統(tǒng),其中�����,所述證書管理器采用橢圓曲線加密法來產(chǎn)生所述私鑰����。
15.根據(jù)權(quán)利要求13所述的系統(tǒng),其中�,所述至少兩個不同證書機構(gòu)包括至少三個不同證書機構(gòu)。
16.根據(jù)權(quán)利要求13所述的系統(tǒng)�����,其中證書管理器還被配置以從所述至少兩個證書機構(gòu)中的另一個請求另一個數(shù)字證書,并且其中����,由所述至少兩個不同證書機構(gòu)的每一個產(chǎn)生的針對所述證書管理器的所述數(shù)字證書是彼此獨立地產(chǎn)生的。
17.根據(jù)權(quán)利要求13所述的系統(tǒng)�����,其中�����,由所述至少兩個不同證書機構(gòu)中的另一個證書機構(gòu)產(chǎn)生的數(shù)字證書是基于從所述至少兩個不同證書機構(gòu)的給定證書機構(gòu)接收到的數(shù)據(jù)產(chǎn)生的����。
18.根據(jù)權(quán)利要求13所述的系統(tǒng)�,其中,所述系統(tǒng)是加密處理器���。
19.一種非瞬時計算機可讀介質(zhì)�,其具有用于執(zhí)行方法的計算機可執(zhí)行指令���,該方法包括:請求產(chǎn)生N個隨機值�����,其中N是大于或者等于一的整數(shù)�; 從至少兩個不同證書機構(gòu)中的至少一個證書機構(gòu)請求數(shù)字證書,其中所述請求包括所述N個隨機值中的給定一個�;以及 請求產(chǎn)生公私鑰對的私鑰,其中��,所述私鑰是基于所述至少兩個不同證書機構(gòu)的每一個的私鑰產(chǎn)生的���。
【文檔編號】H04L9/32GK104012036SQ201280062244
【公開日】2014年8月27日 申請日期:2012年12月17日 優(yōu)先權(quán)日:2011年12月15日
【發(fā)明者】E·T·彼得斯 申請人:德克薩斯儀器股份有限公司