[发明专利]公共密钥基础结构

权利要求书

1.一种包括认证机构层次结构的公共密钥基础结构，其中安排第一认证机构颁发交叉证书，其中安排层次高于第一认证机构的第二认证机构，使得仅颁发那些无论单独或联合均不可以被成功使用以证实交叉证书的证书。

2.根据前面任意一条权利要求的公共密钥基础结构，其中该证书包括一个信任锚。

3.根据前面任意一条权利要求的公共密钥基础结构，其中安排层次高于第一认证机构的每一个认证机构，使得仅颁发那些无论单独或联合均不可以被成功使用以证实交叉证书的证书。

4.根据前面任意一条权利要求的公共密钥基础结构，其中第二认证机构向其下级认证机构颁发证书，所述证书包括一个排除该证书被使用于成功地证实交叉证书的约束。

5.根据前面任意一条权利要求的公共密钥基础结构，其中该约束包括路径长度约束、命名空间约束、策略映射约束和应用约束中的一种。

6.根据前面任意一条权利要求的公共密钥基础结构，其中该约束包括一个策略映射约束。

7.根据前面任意一条权利要求的公共密钥基础结构，其中该约束禁止策略映射。

8.根据前面任意一条权利要求的公共密钥基础结构，其中信任锚包括一个禁止策略映射字段，其中约束包括设置禁止策略映射字段为一个预先确定的值。

9.根据权利要求8的公共密钥基础结构，其中该预先确定的值等于零。

10.根据前面任意一条权利要求的公共密钥基础结构，其基本上按照ITU推荐标准X.509运行。

11.一种用于包括认证机构层次结构的公共密钥基础结构的认证机构，其中安排第一认证机构颁发一份交叉证书，配置认证机构使层次高于第一认证机构，并且安排使仅颁发那些无论单独或联合均不可以被成功使用以证实交叉证书的证书。

12.一种运行公共密钥基础结构的方法，包括以下步骤：

提供一个包括认证机构层次结构的公共密钥基础结构，该层次结构包括第一认证机构和层次高于第一认证机构的第二认证机构；

配置第一认证机构使颁发交叉证书；

配置第二认证机构使颁发那些无论单独或联合均不允许成功地证实由第一认证机构颁发的交叉证书的证书。

13.一种具有组件代码部分的计算机程序，配置该程序使在包括认证机构层次结构的公共密钥基础结构中担任一个认证机构，其中安排第一认证机构颁发一份交叉证书，配置认证机构使层次高于第一认证机构，并且安排使仅颁发那些无论单独或联合均不可以被成功使用于证实交叉证书的证书。

14.一种包括一个认证机构的公共密钥基础结构，配置该认证机构使颁发包括一个约束的信任锚，在正常操作中该约束防止该信任锚被使用于证实由从属认证机构颁发的交叉证书。

15.一种包括证书证实功能的公共密钥基础结构，安排该证书证实功能使响应包含一种约束的信任锚中的约束证实交叉证书，该约束在正常操作中防止该信任锚被使用于证实由从属认证机构颁发的交叉证书。

16.一种公共密钥基础结构，包括根认证机构和从属于根认证机构的第二认证机构，其中第二认证机构可以颁发信任锚。

17.根据权利要求16的公共密钥基础结构，其中第二认证机构也可以颁发交叉证书。

18.公共密钥基础结构方法、装置、系统以及可选地在机器可读介质上的计算机程序，基本上在前面的描述中以及参考附图被公开。