自签名证书的制作方法

本公开涉及自签名证书。更具体地，本公开涉及一种用于生成并认证自签名证书的系统和方法。

背景技术：

1、在密码学中，x.509是定义自签名证书的格式的国际电信联盟(itu)标准。x.509证书用于许多因特网协议，包含传输层安全/安全套接字层(tls/ssl)，它是超文本传输安全协议(https)的基础，是用于浏览web的安全协议。x.509证书还用于离线应用，比如电子签名。

2、x.509自签名证书由同一实体(通常为个人或组织)创建并签名。x.509证书是公钥基础设施(pki)广泛使用的标准，pki是一种允许通过因特网进行安全通信的系统。自签名证书包含关于创建自签名证书的实体的信息(例如实体的名称和公钥)，以及用于验证证书的数字签名。当另一实体(例如，在外部系统上运行的应用程序)与使用x.509自签名证书的系统通信时，此另一实体可通过检查证书的数字签名来验证证书的真实性。

3、数字签名是用于验证数字消息或文档的真实性的数学方案。在满足先决条件的情况下，有效的数字签名可使接收器非常确信消息是由已知发送器创建的(真实性)，并且消息在传输过程中没有被更改(完整性)。数字签名采用非对称密码学。在一些实例中，数字签名向通过非安全信道发送的消息提供验证和安全性层。

4、密码散列函数，或更简单地说散列函数，是可用于将任意大小的数据映射到固定大小的值的任何函数。通过散列函数返回的值被称为散列值、散列码、摘要或简称为散列。所述值通常用于对被称为散列表的固定大小的表进行索引。

技术实现思路

1、第一实例涉及一种包含机器可读指令的非暂时性机器可读媒体，所述机器可读指令包含：密钥值生成器。用于密钥值生成器的机器可读指令可由处理器内核执行，以执行包含以下的操作：将证书发行器的公钥与第二值串接以形成密钥组合，以及生成密钥组合的摘要以提供密钥值。所述机器可读指令还包含证书生成器。用于证书生成器的机器可读指令可由处理器内核执行，以执行包含以下的操作：为证书发行器提供自签名证书的有效负载，所述有效负载包含证书发行器的公钥，以及用密钥值替换自签名证书的有效负载的公钥字段中的数据以提供经修改有效负载。用于证书生成器的机器可读指令还包含：用证书发行器的私钥对经修改有效负载进行签名以提供数字签名，响应于所述签名从自签名证书的经修改有效负载中删除密钥值，以及将数字签名添加到自签名证书。

2、第二实例涉及一种包含机器可读指令的非暂时性机器可读媒体，所述机器可读指令包含证书认证器，用于证书认证器的机器可读指令可由处理器内核执行，以执行包含以下的操作：接收包含证书发行器的签名的自签名证书，从自签名证书中提取证书发行器的签名，基于对应的公钥生成密钥值，以及将密钥值添加到自签名证书的有效负载的公钥字段以提供经修改有效负载。用于证书认证器的机器可读指令还包含：使用公钥验证包含经修改有效负载的证书发行器的签名，以及响应于通过验证认证签名，选择公钥作为证书发行器的公钥。

3、第三实例涉及一种系统，其包含：具有机器可读指令的非暂时性存储器，以及经配置以存取非暂时性存储器并执行机器可读指令的处理器内核。所述机器可读指令包含证书认证器，处理器内核执行用于证书认证器的机器可读指令，以执行包含以下的操作：接收包含证书发行器的签名的自签名证书，从自签名证书的有效负载中提取证书发行器的签名，以及基于对应的公钥生成密钥值。用于证书认证器的机器可读指令还包含：将密钥值添加到有效负载的公钥字段以提供经修改有效负载，使用公钥验证包含经修改有效负载的证书发行器的签名，以及响应于通过验证认证签名，选择检索到的公钥作为证书发行器的公钥。

技术特征：

1.一种包含机器可读指令的非暂时性机器可读媒体，所述机器可读指令包括：

2.根据权利要求1所述的非暂时性机器可读媒体，其中由所述密钥值生成器执行的所述生成包括将散列函数应用于所述密钥组合以提供所述密钥组合的所述摘要。

3.根据权利要求2所述的非暂时性机器可读媒体，其中由所述密钥值生成器执行的所述生成进一步包括用所述证书发行器的所述私钥对所述密钥组合的所述摘要进行签名以提供所述密钥值，使得所述密钥值包括所述密钥组合的经签名摘要。

4.根据权利要求1所述的非暂时性机器可读媒体，其中所述第二值是临时数值，并且针对所述证书生成器执行的所述操作进一步包括将所述临时数值添加到所述有效负载。

5.根据权利要求1所述的非暂时性机器可读媒体，其中所述密钥组合包括所述公钥与表征外部装置的不可变特征的经散列元数据hmd的串接，并且所述hmd对于所述证书生成器和在所述外部装置上执行的证书认证器是已知的。

6.根据权利要求5所述的非暂时性机器可读媒体，其中所述hmd表征所述外部装置的只读存储器的版本。

7.根据权利要求6所述的非暂时性机器可读媒体，其中所述hmd表征只读存储器的所述版本与所述外部装置的硅的版本的串接。

8.根据权利要求5所述的非暂时性机器可读媒体，其中所述hmd表征所述外部装置的只读存储器的版本与临时数值的串接，并且其中针对所述证书生成器执行的所述操作进一步包括将所述临时数值添加到所述自签名证书的所述有效负载。

9.根据权利要求5所述的非暂时性机器可读媒体，其中所述有效负载包括指定用于选择所述密钥组合的算法的证书元数据信令和/或装置元数据信令。

10.根据权利要求1所述的非暂时性机器可读媒体，其中由所述证书生成器执行的所述删除进一步包括将空值添加到所述自签名证书的所述经修改有效负载的所述公钥字段来代替所述密钥值。

11.根据权利要求1所述的非暂时性机器可读媒体，其中由所述证书生成器执行的所述删除进一步包括将长度与所述密钥值相同的数值添加到所述自签名证书的所述经修改有效负载的所述公钥字段来代替所述密钥值。

12.根据权利要求1所述的非暂时性机器可读媒体，其中由所述证书生成器执行的所述删除进一步包括将恢复提示添加到所述自签名证书的所述经修改有效负载的所述公钥字段来代替所述密钥值，其中所述恢复提示表征所述密钥组合的形成方式。

13.一种包含机器可读指令的非暂时性机器可读媒体，所述机器可读指令包括证书认证器，用于所述证书认证器的机器可读指令能由处理器内核执行，以执行包括以下的操作：

14.根据权利要求13所述的非暂时性机器可读媒体，其中所述密钥值与所述公钥相关联。

15.根据权利要求13所述的非暂时性机器可读媒体，其中所述密钥值和所述公钥与临时数值的串接相关联，或所述密钥值和所述公钥与表征外部装置的不可变特征的经散列元数据hmd的串接相关联，并且所述hmd对于所述证书认证器和在所述外部装置上执行的证书生成器是已知的。

16.根据权利要求13所述的非暂时性机器可读媒体，其中所述公钥是第一公钥，所述密钥值是第一密钥值，所述经修改有效负载是第一经修改有效负载，并且针对所述证书认证器执行的所述操作进一步包括：

17.根据权利要求16所述的非暂时性机器可读媒体，其中生成所述第一公钥是对所述避免的响应。

18.根据权利要求16所述的非暂时性机器可读媒体，其中所述有效负载包括证书元数据信令和/或装置元数据信令，所述证书元数据信令和/或装置元数据信令指定用于选择用以生成所述第一密钥值的密钥组合的算法，并且针对所述证书认证器执行的所述操作进一步包括：

19.一种系统，其包括：

20.根据权利要求19所述的系统，其中所述公钥是第一公钥，所述密钥值是第一密钥值，所述经修改有效负载是第一经修改有效负载，并且由所述处理器内核针对所述证书认证器执行的所述操作进一步包括：

技术总结本申请案涉及自签名证书。一种非暂时性机器可读媒体(314)包含用于密钥值生成器(342)和证书生成器(344)的机器可读指令。所述密钥值生成器(342)可由处理器内核(322)执行，以串接证书发行器(304)的公钥(338)与第二值(350)以形成密钥组合，并且生成所述密钥组合的摘要以提供密钥值(352)。所述证书生成器(344)可由所述处理器内核(322)执行，以为所述证书发行器(304)提供自签名证书(308)的有效负载(306)，用所述密钥值(352)替换所述有效负载(306)的公钥字段中的数据，用所述证书发行器(304)的私钥(340)对经修改有效负载(306)进行签名以提供数字签名(362)，从所述经修改有效负载(306)中删除所述密钥值(352)，并且将所述数字签名(362)添加到所述自签名证书(308)。技术研发人员：Y·本·耶海兹克尔,Y·阿尔珀特受保护的技术使用者：德州仪器公司技术研发日：技术公布日：2024/7/18