[发明专利]通过域名服务对私钥的安全的委托分发的介质和方法

权利要求书

1.一种非暂态计算机可读存储介质，其被配置为存储指令，所述指令在由处理器执行时使得所述处理器执行以下操作：

在域所有者系统识别第三方系统，以委托其对消息进行签名；

访问由所述第三方系统以所述第三方系统的域名系统DNS记录公布的加密密钥，所述第三方系统的DNS是能够建立所述第三方系统的真实性的全球目录系统的一部分；

生成公钥-私钥对，所述公钥-私钥对中的公钥是验证密钥，而所述公钥-私钥对中的私钥是委托私钥，所述委托私钥由所述第三方系统用来代表所述域所有者系统的域所有者对消息进行签名；

使用由所述第三方系统以所述第三方系统的DNS记录公布的所述加密密钥对所述委托私钥进行加密，以生成加密后的委托私钥；

以驻存于DNS服务器上的、所述域所有者的DNS记录公布所述加密后的委托私钥；

将所述DNS服务器配置成仅针对来自所述第三方系统的网络地址的对于所述加密后的委托私钥的请求来以所述加密后的委托私钥作出响应；以及

以所述域所有者的DNS记录公布所述验证密钥。

2.根据权利要求1所述的计算机可读存储介质，其中，所述存储介质存储另外的指令，所述另外的指令在由处理器执行时使得所述处理器执行以下操作：

通过以下步骤验证所述加密密钥：

确定所访问的DNS记录中的包括加密密钥的字节能够被解码；以及

确定解码后的加密密钥是利用生成所述公钥-私钥对的相同算法生成的。

3.根据权利要求1所述的计算机可读存储介质，其中，所述存储介质存储另外的指令，所述另外的指令用于使用所述加密密钥对所述委托私钥进行加密，所述另外的指令在由处理器执行时使得所述处理器执行以下操作：

将所述委托私钥划分成一个或多个块；

使用所述加密密钥对所述一个或多个块中的每个块进行加密；以及

将加密后的每个块连结，以生成所述加密后的委托私钥。

4.根据权利要求1所述的计算机可读存储介质，其中，所述存储介质存储另外的指令，所述另外的指令在由处理器执行时使得所述处理器执行以下操作：

确定由所述第三方系统公布的所述加密密钥已被更新；

用更新后的加密密钥对所述委托私钥进行再次加密；以及

以所述域所有者的DNS记录公布再次加密后的委托私钥。

5.一种计算机实现的处理方法，包括：

生成公钥-私钥对，所述公钥-私钥对中的公钥是加密密钥，而所述公钥-私钥对中的私钥是解密私钥；

将加密密钥作为第三方系统的域名系统DNS记录进行公布，所述第三方系统的DNS是能够建立所述第三方系统的真实性的全球目录系统的一部分；

接收由所述第三方系统代表域所有者系统的域所有者对要被发送到接收方的消息进行签名的请求；

通过所述域所有者的DNS记录访问由所述域所有者公布的加密后的委托私钥，所述加密后的委托私钥是使用作为所述第三方系统的DNS记录公布的所述加密密钥来加密的；

使用所述解密私钥对所述加密后的委托私钥进行解密；

使用所述委托私钥生成针对所述消息的签名；以及

将所述签名和所述消息传送到所述接收方。

6.根据权利要求5所述的处理方法，其中，所述生成公钥-私钥对还包括：

使用2048位RSA来生成所述公钥-私钥对。

7.根据权利要求5所述的处理方法，其中，将所述加密密钥作为所述第三方系统的DNS记录进行公布还包括：

根据指示所述域所有者的身份的DNS记录公布所述加密密钥；以及

其中，所述第三方系统支持代表多个域所有者对消息进行签名。

8.根据权利要求5所述的处理方法，其中，所述第三方系统的DNS记录还包括用于将所述DNS记录与在所述第三方系统的域上公布的其他文本记录区分开的记号、所述DNS记录的创建时间、所述DNS记录的到期时间、允许在同一子域上公布多个加密密钥的选择器字段、以及指示用于加密的算法的字段。