[发明专利]用于在移动通信设备上支持多证书授权的系统和方法

说明书

本申请是2002年7月16日提交的发明专利申请02818111.5的题为“用于在移动通信设备上支持多证书授权的系统和方法”分案申请。

交叉相关申请

本申请要求2001年7月16日提交的序列号为60/305,667，题名“用于支持在移动通信设备上的多证书授权的系统和方法”的美国临时申请的优先权。通过引用，包括附图在内的美国临时申请的全部公开包括附图被包含于此作为参考。

技术领域

本发明一般涉及通信领域，并且特别涉及安全通信。

背景技术

在很多现代通信系统中，信息安全是主要关心的问题。当通信系统或介质不能保证物理安全时，诸如在无线通信网络或广域网象互联网中，安全通信方案可能是关键的。例如，在所谓的电子商务(e-commerce)和移动商务(m-commerce)交易中，必须在各方之间传送信用卡、金融或其它保密或敏感信息。这些信息在经通信网络发送之前通常被加密，并且然后信息接收者解密被加密的信息以恢复原始信息。

在安全通信系统中的典型问题是管理信息的加密和解密。其它已知的安全通信方案是所说的公钥方案，其中公钥用于加密信息，并且使用相应的私钥解密。例如，如果两方，为了示例用途通常称为“爱丽丝”和“鲍勃”，希望安全交换信息，然后，爱丽丝必须能够解密由鲍勃为她加密的任何信息，并且鲍勃必须能够解密由爱丽丝为他加密的任何信息。在公钥系统中，爱丽丝和鲍勃每人将使用各自的秘密密钥或私钥a，b以解密使用相应的公钥A，B加密的信息。因此，爱丽丝和鲍勃能够解密使用它们各自的公钥A，B加密的信息。类似地，在公钥系统中，任何发送者必须使用用于为信息的计划接收者的公钥。即使其他人可能知道公钥的值，需要相应的私钥用于解密和保持秘密。通常如此设计公钥和私钥，使得不能利用公钥解密加密的信息或使得不能利用公钥推出私钥。

于是，为了发送者安全发送信息到接收者，发送者必须以某种方式获得接收者的公钥；否则，接收者将不能解密接收的信息。该密钥分发功能通常由证书(certificate)授权机构(CA)执行，证书授权机构在系统中保持多个用户的公钥记录。然后发送者能够从CA获得接收者公钥，并且使用公钥加密要发送给接收者的信息。在上面爱丽丝和鲍勃的例子中，爱丽丝可以联系CA以获得鲍勃的公钥B然后使用该公钥加密对鲍勃的发送信息。使用私钥b，鲍勃能够解密从爱丽丝接收的任何加密的信息。

在已知的系统中，CA通常响应于对公钥的请求，返回一个数字证书。该数字证书通常通过CA产生，并且典型地包含这些证书信息如公钥对应的实体的名字(通常称为主题名)、证书发行的日期、公钥和可能的其它信息。例如通过对证书执行一个或多个最好非可逆数学操作诸如散列，并且将CA的私钥应用到该结果中，CA产生数字签名，该数字签名将实体或主体名与公钥结合。然后通过使用CA的公钥确认该数字签名能够验证证书。

某些已知系统类似提供通过私钥产生的签名进行的通信验签。例如，当爱丽丝希望与鲍勃通信时，爱丽丝可使用她的私钥a产生数字签名，并且将数字签名附加到要发送的信息上。然后，鲍勃能够使用爱丽丝的公钥A来验证数字签名，由此确认信息确实是由爱丽丝发送的。

然而，不是在安全通信中可能涉及的每个实体都向单一的全球CA登记。当前存在很多不同的CA，他们中的任何一个可由实体选择以管理其公钥。由于每个CA可使用不同的信息传输协议，信息发送者可能需要支持多CA的传输协议，例如对于驻留在系统上的特定操作或应用程序需要对不同CA访问的情况。在趋于具有有限的存储器和处理资源的通信设备诸如移动通信设备中，多CA支持尤其变得具有挑战。

发明内容

按照在此公开的技术，提供了一种在通信设备上支持与多CA操作的系统和方法。在其中的每一个与特定CA交互的多个安全通信应用和多个特定CA组件)之间提供公共CA接口。还可以提供另一公共接口，用于操作连接安全通信应用程序和设备中的密码组件。在下列详细描述的过程中，该

系统和方法的进一步的特征将变得明显。

附图描述

为了可更清楚地理解本发明，现在将参照附图，以举例的方式描述优选实施例，其中：

图1是用于支持多CA的已知系统的软件方框图；

图2是出具有多CA的通信系统的系统方框图；

图3是支持多CA的移动设备的软件方框图；

图4是支持多CA的可选示例移动设备的软件方框图；