[发明专利]经由多个中间客户端在线递送的身份数据的分层保护和验证

说明书

相关申请的声明

本申请要求于2009年8月12日提交的美国临时专利申请序列号为No.61/233,338的优先权，其全部内容通过引用的方式合并于此。

背景技术

数字信息在商业、教育、政府、娱乐和管理的所有方面都变得非常重要。在很多这些应用中，确保信息的私密性、完整性和真实性的能力是至关重要的。结果，已经开发了多种数字安全机制以改进安全性。

数字安全的一种常用方法涉及将证书发布至证书持有者的证书授权机构(CA)。然后，持有者可以将证书提供给第三方作为通过CA进行的证明，用于证明证书中指定的持有者实际上是在证书中阐明的个人、实体、机器、电子邮件地址用户等。并且，证书中的公共密钥实际上是持有者的公共密钥。处理证书持有者的人、设备、处理或其他实体根据CA的核证作业准则可以依靠证书。

通常通过CA用其本身的私有密钥数字地签署、标识提交至CA的信息以及寻求证书的持有者的公共密钥来创建证书。证书通常具有有限的有效期，并且在证书持有者的对应私有密钥的泄露或其他可撤销事件的情况下可以被较早撤销。

当今数字安全的一种标准化方法被称为公共密钥基础设施(PKI)。PKI提供数字证书的使用，以认证证书持有者的身份，或者认证其他信息。通常，PKI证书包括数字签名附着到的信息的集合。证书用户的团体信任的CA附着其数字签名，并且把证书发布至系统内的各个用户和/或设备。

在当前市场中，仅需要PKI身份数据的公司和个体可以依赖第三方PKI服务提供商来提供PKI身份数据和相关服务。在大多数情况下，PKI服务提供商需要通过网络将PKI身份数据传送至其客户。由于身份数据通过网络被传送，所以PKI服务提供商必须为其客户呈现确保身份数据的不可否认性和正确性的手段。因此，将期望不仅在最终环境中而且在递送处理的每个中间阶段，都确保身份数据的私密性、真实性和完整性。

发明内容

根据本发明的一个方面，提供一种用于通过通信网络将身份数据单元安全地递送至客户端设备的方法。该方法包括以下步骤：

a.生成被绑定至客户的公共密钥和结合到提供给客户的认证令牌中的对应私有密钥；

b.从客户接收对多个身份数据项的请求，其中，每个身份数据项包括至少一个私有密钥；

c.生成与该请求相关联的唯一对称密钥；

d.生成所述身份数据单元中的第一身份数据单元，第一身份数据单元包括第一私有密钥及其对应证书；

e.将至少第一私有密钥和第一私有密钥的认证符封装到第一外部封装(package)中；

f.使用对称密钥对第一外部封装加密；

g.对于在请求中包括的每个剩余身份数据单元，重复步骤(d)-(f)，以形成包括第一外部封装的多个外部封装；

h.用绑定至客户的公共密钥对对称密钥加密；

i.将外部封装中的每个和加密后的对称密钥封装到共有封装中；

j.将共有封装和应用至共有封装的数字签名文件封装到最终封装中，所述数字签名文件由履行来自客户的请求的实体来签署；以及

k.响应于客户请求，通过通信网络将最终封装递送至客户端设备。

根据本发明的另一方面，提供一种用于通过通信网络将身份数据单元安全地递送至客户端设备的方法。该方法包括：从客户接收标识要被解封装的最终压缩的封装(final zipped package)的选择。解封装最终压缩的封装，以获得共有封装和由生成由客户请求的身份数据的实体签署的数字签名文件。检验数字签名文件中的数字签名，并且将共有封装解封装，以获得多个外部封装和加密后的对称密钥。用与客户相关联的私有密钥来解密对称密钥，并且用对称密钥来解密外部封装中的每个，以获得多个身份数据单元。

附图说明

图1示出客户可以从其获取身份数据单元的说明性PKI管理系统的简化示意图。

图2是图示客户请求身份数据的方法的一个实例的流程图，身份数据由PKI系统生成和封装并且以安全方式由客户下载。

图3是伴随图2的流程图的加密和封装处理的可视描述。

图4是示出可以由客户执行以便获得和检验最终压缩的封装中的身份数据单元的处理的一个实例的流程图。

图5示出可以通过封装检验客户端呈现给客户的图形用户界面(GUI)的一个实例。

图6是图4中所示的流程图的延续部分。

具体实施方式