专利名称::用于替换加密密钥的认证与分割系统和方法用于替换加密密钥的认证与分割系统和方法在3SU.S.C.S119下主张优先权.本专利申请案主张2005年12月12日申请的题为"用于替换加密密钥的认证与分割系统和方法(CertifyandSplitSystemandMethodforReplacingCryptographicKeys"的第60/749,718号美国临时申请案的优先权,且所述美国临时申请案转让给本申请案的受让人并特意以引用的方式并入本文中。技术箱城以下描述内容大体上涉及数据保护,且更明确地说,涉及替换加密系统中的密钥。狄《想蓄意更改数据且/或使用数据以达到其自身目的的人可截取以数字方式传输的信息。由此,常对以数字方式传输的信息进行加密验证以确保所发送的信息以与其被发送的形式大体上相似的形式到达其目的地,且还检验且/或识别始发者。公开-密钥加密系统实施在装置(包含便携式装置)中,以用于数据安全并提供加密签名。公开-密钥或非对称加密系统通常向用户提供私钥和公钥以达到验证目的。通常,公钥是与他人共享的,而私钥保持用户私有或为用户保密。也就是说,私钥保留在装置中,且公钥被发送到一个或一个以上目标实体。以此方式,所有者可使用所述装置来与目标实体建立关系,从而向所有者提供对安全项目的进入,所述安全项目包含门户、银行账户、计算机网络等。装置和存储在所述装置中的私钥可能被盗、丢失、损坏、被毁或以其它方式需要替换。在偷窃的情况下,装置的所有者需要减轻盗贼通过拥有所述装置而可能造成的损害的量。一般来说,当所有者需要替换所述装置时,所有者通过利用旧令牌的密钥来验证新令牌的密钥。这种方法遭受要求所有者同时具有旧令牌(旧的私人和公钥对)和新令牌(新的私人和公钥对)两者的缺陷,而如果装置被盗或被损坏无法使用,那么同时具有旧令牌和新令牌是不可能的。因此,装置需要一种用于以新的加密密钥来替换其旧的加密密钥的安全且有效的方法。以下呈现一个或一个以上实例和配置的简化概述,以便提供对所述实例和配置的一些方面的基本理解。此概述并不是所述一个或一个以上配置的广泛综述,且无意识别实施例的关键或决定性元素或划定所述配置的范围,一个目的是以简化形式来呈现所述配置的一些概念作为稍后虽现的更详细描述的序言。提供一种在令牌装置上操作以替换非对称加密密钥的方法。获得包括第一私钥和对应的第一公钥的伪随机第一密钥对。获得包括第二私钥和第二公钥的伪随机备用第二密钥对。用所述第一私钥来签名所述第二公钥以获得经签名的证书。将所述第二密钥对和经签名的证书分成/l份,其中/!是整数。接着将所述《份分配给至少两个份持有者妥善保管。为了用第二密钥对来替换第一密钥对,从至少两个份持有者检索所述/!份中的至少一部分。从检索到的n份中的至少一部分重构第二密钥对和经签名的证书。将经签名的证书呈现给检验装置以用所述第二公钥来替换第一公钥。将所述第二密钥对和经签名的证书分成多份是由秘密共享方案决定的。还可将经签名的证书分配给验证装置,以在验证第二密钥对后,立即用所述第二公钥来替换第一公钥,并使第一密钥对无效。另外,当用第二密钥替换第一密钥时,获得或产生第三密钥对,所述第三密钥对包括第三公钥和第三私钥。可用第二私钥来签名第三公钥以获得第二经签名的证书。接着可将所述第三密钥对和第二经签名的证书分成n份,其中n是整数。接着将与第三密钥对相关联的所述n份分配给至少两个份持有者妥善保管。为了用第三密钥对来替换第二密钥对,检索与第三密钥对相关联的"份的至少一部分。从检索到的;i份中的至少一部分重新产生第三密钥对。将第二经签名的证书呈现给检验装置以用第三公钥来替换第二公钥。第一密钥对的信任级别可与第二密钥对的信任级别相关联。另一特征提供副本密钥对。产生第一密钥对的副本密钥对。一组使用规则可与所述副本密钥对相关联。接着可将所述副本密钥对和使用规则分配给第二令牌装置。还可根据使用规则使副本密钥对无效。另一特征提供一种有助于替换加密密钥的令牌装置。所述令牌装置可包含密钥指配组件和分配组件。所述密钥指配组件可经配置以(1)获得包括第一私钥和对应的第一公钥的伪随机第一密钥对,(2)获得包括第二私钥和第二公钥的伪随机备用第二密钥对,且(3)用第一私钥来签名第二公钥以获得经签名的证书。所述分配组件可经配置以将第二密钥对和经签名的证书分成n份,其中n是整数,发射器可允许分配组件将所述n份分配给至少两个份持有者妥善保管。所述令牌装置还可包含密钥检验组件,所述密钥检验组件包括(a)接收器,其从所述至少两个份持有者接收所述/i份的至少一部分,(b)聚集组件,其从接收到的w份中的至少一部分重构第二密钥对和经签名的证书,和/或(c)发射器,其将所述经签名的证书发送给检验装置,以用第二公钥来替换第一公钥,所述密钥检验组件还可经配置以验证第二密钥对,且在验证第二密钥对后立即使第一密钥对无效。当用第二密钥替换第一密钥时,可获得第三密钥对,所述第三密钥对包括第三公钥和第三私钥。所述密钥检验组件进一步经配置以将经签名的证书分配给验证装置,以用第二公钥来替换第一公钥,且在验证第二密钥对后立即使第一密钥对无效。所述密钥指配组件还可经配置以(a)产生第一密钥对的副本密钥对,(b)使一组使用规则与所述副本密钥对相关联,(c)将所述副本密钥对和使用规则分配给第二令牌装置,且/或(d)根据使用规则使副本密钥对无效.还提供一种具有用于替换加密密钥的一个或一个以上指令的机器可读媒体,所述一个或一个以上指令在由处理器执行时致使所述处理器(a)获得包括第一私钥和对应的第一公钥的伪随机第一密钥对,(b)获得包括第二私钥和第二公钥的伪随机备用第二密钥对,(c)用第一私钥签名第二公钥以获得经签名的证书,(d)将所述第二密钥对和经签名的证书分成/i份,其中n是整数,且/或(e)将所述n份分配给至少两个份持有者妥善保管。所述机器可读媒体可进一步包含一个或一个以上指令,所述一个或一个以上指令在由处理器执行时致使所述处理器进一步(a)从至少两个份持有者检索n份中的至少一部分,(b)从检索到的n份中的至少一部分重构第二密钥对和经签名的证书,(c)将经签名的证书呈现给检验装置以用第二公钥来替换第一公钥,(d)验证第二密钥对,且在验证第二密钥对后立即使第一密钥对无效,且/或(e)将经签名的证书分配给验证装置以用第二公钥来替换第一公钥,且在验证第二密钥对后立即使第一密钥对无效。所述机器可读媒体可进一步包含一个或一个以上指令,所述一个或一个以上指令在由处理器执行时致使所述处理器进一步(a)产生第一密钥对的副本密钥对,(b)使一组使用规则与所述副本密钥对相关联,且/或(c)将所述副本密钥对和使用规则分配给副本用户装置。还提供一种在验证装置上操作以替换非对称加密密钥的方法。获得与用户相关联的第一公钥,所述第一公钥具有相关联的第一私钥。接收用所述第一私钥数字签名的第二公钥的数字证书。可通过使用第一公钥验证所述数字证书来验证所述用户。如果所述数字证书被成功验证,那么用第二公钥来替换第一公钥以保护与用户的通信。接收在第一公钥与第二公钥之间形成验证链的一个或一个以上其它介入数字证书。验证每个介入数字证书以确定第一公钥是否应被第二公钥替换。如果第一公钥所进行的数字证书验证失败,那么拒绝第二公钥。还提供一种包括通信模块和处理电路的验证装置。所述通信模块可经配置以(a)接收与用户相关联的第一公钥,所述第一公钥具有相关联的第一私钥,且(b)接收用第—私钥数字签名的第二公钥的数字证书。所述处理电路可经配置以(a)通过使用所述第一公钥验证所述数字证书来验证所述用户,且(b)如果所述数字证书被成功验证,那么用第二公钥来替换第一公钥以保护与用户的通信。所述通信模块还可经配置以接收在第一公钥与第二公钥之间形成验证链的一个或一个以上其它介入数字证书。所述处理电路还可经配置以(a)验证每个介入数字证书以确定第一公钥是否应被第二公钥替换,且/或(b)如果第一公钥所进行的数字证书验证失败,那么拒绝第二公钥。还提供一种具有用于替换加密密钥的一个或一个以上指令的机器可读媒体,所述一个或一个以上指令在由处理器执行时致使所述处理器(a)获得与用户相关联的第一公钥,所述第一公钥具有相关联的第一私钥,(b)接收用第一私钥数字签名的第二公钥的数字证书,(c)通过使用第一公钥验证所述数字证书来验证所述用户,(d)如果所述数字证书被成功验证,那么用第二公钥来替换第一公钥以保护与用户的通信,(e)接收在第一公钥与第二公钥之间形成验证链的一个或一个以上其它介入数字证书,且/或(f)验证每个介入数字证书以确定第一公钥是否应被第二公钥替换。为了实现前述和相关目的,一个或一个以上实例和配置包括下文充分描述且尤其在权利要求书中指出的特征。以下描述内容和附图详细陈述所述一个或一个以上实例和/或配置的某些说明性方面。然而,这些方面仅指示可使用各种配置的原理的各种方式中的几种方式,且所描述的实例和/或配置意在包含所有此类方面及其均等物。附困说明图1说明经配置以有助于加密密钥的替换的处理装置的高级框图。图2说明根据一个实例的用于加密密钥替换的方法。图3是经配置以组合并验证备用加密密钥对的处理装置的框图。图4说明根据一个实例的用于聚集并验证备用密钥对的方法。图5说明根据一个实例的用于在用户装置或令牌与检验或验证装置之间替换加密密钥的方案。图6说明用于产生与第一加密密钥对在大体上类似的时间使用的第二加密密钥对的方案。图7是用于验证已经被替换一次以上的替换加密密钥的方法的流程图。图8是用于产生副本加密密钥的方法的流程图。图9说明用于管制加密密钥和副本加密密钥的方法。图10是经配置以在每当启动新的加密密钥时就产生且/或验证备用加密密钥的处理装置的框图.具体实施方弍现参看图式来描述各种实例和配置。在以下描述中,出于阐释的目的,陈述大量特定细节以便提供对一个或一个以上方面的全面理解,然而,显然可在没有这些特定细节的情况下实践此类配置。在其它例子中,以框图形式来展示众所周知的结构和装置以有助于描述这些配置。如本申请案中所使用,术语"组件"、"系统"及其类似物意在指代与计算机有关的实体,硬件、固件、硬件与软件的组合、软件或执行中的软件。举例来说,组件可以是(但不限于)在处理器.h运行的进程、处理器、对象、可执行程序(executable),执行线程、程序和/或计算机。作为说明,在计算装置上运行的应用程序和所述计算装置两者都可以是组件。-个或一个以上组件可驻存在进程和/或执行线程屮,且组件可定位在--个计算机上且/或分布在两个或两个以上计算机之间。另外,这些组件可从上面存储有各种数据结构的各种计算机可读媒体执行。所述组件可(例如)根据具有一个或一个以上数据包(例如,来G与本地系统、分布式系统中的另一组件且/或越过例如因特网的网络通过信号而与其它系统相互作用的一个组件的数据)的信号,通过本地和/或远程进程进行通信。一个特征提供一种用于用预先产生并经签名的备用第二私人-公钥对来替换第一私人-公钥对的加密方法(常被称为非对称密钥加密和公钥加密)。将备用第二密钥对和用第一私钥签名的证书分割成多份,并由多个份持有者存储。所述经签名的证书可以是由第一私钥数字签名的(备用第二密钥对的)第二公钥。为替换第一私人-公钥对,从所述多个份持有者召回备用第二密钥对份。将备用第二密钥对的由第一私钥签名的第二公钥部分呈现给客户端装置以进行验证。通过使用第一私钥,客户端装置可验证经签名的证书,且因此验证第二公钥。客户端装置可接着丢弃来自第一私人-公钥对的原始第一公钥或使其无效。图1说明经配置以有助于加密密钥的替换的处理装置的髙级框图。加密密钥常用于保护数据和通信,且用于允许消息、数据、信息包等在所述消息、数据或包不被除预定接收者以外的某人读取并理解的情况下被传送。在非对称加密系统中,"公钥"是私人-公钥对的可公开部分,而"私钥"是私人-公钥对的保密(私人)部分。公钥和/或私钥两者都可用于检验签名。数字签名是待签名的数据区块的唯一摘要,且使用签名者的私钥来计算所述数字签名。使用数字签名来检验由某人授权且未由另一人更改或修改的消息、数据或信息包。此过程通常被称为"验证"。处理装置106包含与备用密钥分配组件104介接的密钥指配组件102。处理装置106(下文也称为"令牌")可以是便携式电话、个人数据助理、计箅机、处理器或其中利用通过加密方法的安全数据传送的其它电子装置。密钥指配组件102有助于产生第一密钥对U,X)108(即,第一私钥x和对应的第一公钥X)。第一密钥对(x,X)108的私钥x可驻存在令牌106中,可用于验证去往/来自令牌106的通信且可包含相关联的信任级别。密钥指配组件102进一步产生与第一密钥对(x,X)108相关联的备用第二密钥对(y,Y)110(例如,第二私钥y和对应的第二公钥Y)。备用第二密钥对(y,Y)110的产生可以是自动的,借此如果仍未产生一个备用第二密钥对(y,Y)110,那么令牌106自动产生备用第二密钥对(y,Y)110,或备用第二密钥对(y,Y)110可通过手动动作来产生,借此所有者通过请求来起始备用密钥对(y,Y)IIO的产生。在替代配置中,密钥指配组件102可从外源接收第一密钥对108,并产生备用第二密钥对IIO和经签名的证书112。举例来说,如果令牌106丢失、被盗、损坏或如果所有者出于安全原因想要替换第一密钥对(x,X),那么产生备用第二密钥对(y,Y)IIO以供将来使用。接着将第二密钥对110与新的令牌一起使用,以使新令牌的所有者和所述所有者的凭证与先前或旧的令牌和相关联的第一密钥对(x,X)108相关联。这可简化借此所有者可基于先前通过旧的令牌建立的关系而通过新的令牌与目标实体重新建立关系的过程。通过用第一私钥x签名备用第二公钥Y来在第一密钥对(x,X)108与第二密钥对(y,Y)IIO之间建立关联。产生第二密钥对(y,Y)110,同时所有者仍拥有具有相关联的第—密钥对(x,X)的第一令牌("现用令牌")。密钥指配组件102可经配置以产生或指配新的伪随机备用第二密钥对(y,Y)。还可通过用第一公钥x签名第二公钥Y来产生经签名的证书Sx(Y)112。因此,产生包括备用第二密钥对(y,Y)110和经签名的证书Sx(Y)112的新的验证密钥,(y,Y),Sig'(Y).为了产生经签名的证书Sx(Y)112,密钥指配组件102可使用合适的数字签名算法用第一私钥x来数字签名第二公钥Y。使用私人和公钥的数字签名算法的一个实例是数字签名标准(DSS),所述标准在FIPS(联邦信息处理标准)公告180和186中被定义。所述DSS实质上是根据指定算法计算且在确定参数内的一对大数。DSS认证签名的验证和附属数据的完整性,虽然本文依据DSS来描述某些实例,但可针对本发明内的同一目的使用其它数字签名方案,且不限于特定类型的数字签名。由于第二密钥对(y,Y)IIO是基于公钥的,所以可向从令牌接收通信并检验信息为可信的多个验证器或检验器装置验证所述第二密钥对(y,Y)110。这即使在适当位置不存在公钥基础结构时或即使在验证器信任某一授权证书的情况下也是可能的,如果验证器具有公钥来验证经签名的证书,那么验证器不一定必须彼此信任。—旦第二密钥对(y,Y)110由指配组件102产生,且第二公钥Y由第一私钥x签名,备用密钥分配组件104就将第二密钥对(y,Y)110以及其相关联的经签名的证书Sx(Y)112划分或分割成多(n)份114、116和118。备用密钥分配组件104可将第二密钥对(y,Y)llO和经签名的证书Sx(Y)112分成许多份,n份,其中n是整数。/i份的每一者可具有类似大小或具有不同大小。在将第二密钥对(y,Y)llO和证书Sx(Y)112分成多份114、116和118后,密钥分配组件104可在持有者("份持有者")之间分配所述份。所述份持有者可以是值得信任的,且可包含(例如)用户装置的所有者、可信任的同事和/或所有者的朋友、金融机构或第三方,例如蜂窝式电话服务提供商。可使用各种算法、方法和/或技术来确定潜在份持有者的可信任度。将备用第二密钥对(y,Y)llO和经签名的证书Sx(Y)U2分成n份的目的是为了确保没有一个份持有者可重构所述密钥。这是为了防止不可靠或先前可靠且已经变得不可靠的份持有者能够重构密钥以达到蓄意或未经授权的目的的情况。如果已经向此不值得信任的份持有者委托了整个密钥,那么所述不值得信任的份持有者可能完全接替可信密钥持有者或所有者的位置。所述不值得信任的份持有者可能接着蓄意传送数据,导致所述数据的接收者可靠地相信不值得信任的份持有者实际上是可信的密钥持有者。通过只允许每个份持有者具有密钥的一部分,个别份持有者在不与一个或一个以上其它份持有者共谋的情况下不具有足够的信息来重构所述密钥。备用第二密钥对IIO可具有与其相关联的信任级别,其可与签名第二密钥110的第一密钥对108的信任级别比较。以此方式,如果使用第一密钥对108的令牌受损(例如被盗、丢失、...),那么所有者可注册具有备用第二密钥对110的新令牌,且可将所述新令牌验证或检验为属于所述所有者。因此,令牌的替换被简化,同时维持与第一令牌相关联的私钥和与第二令牌相关联的私钥两者的机密性。通过将第二备用密钥对110产生为伪随机数,并将类似部分输出到值得信任的份持有者,将第二密钥对110存储在现用令牌本身上的必要性被减轻。因此,即使在所有者拥有新的令牌前,也可在预期未来可能需要新的令牌的情况下产生第二密钥对110。还预期用户可能永远不需要第二密钥对110,因此所述份114、116和118可以非现用状态保存在份持有者处。令牌106可不限于只产生第二加密密钥对110,且能够产生大量新的备用密钥,例如第二密钥对、第三密钥对等等。每个随后的密钥对由前一密钥对签名,且可由链中的先前密钥对来签名。举例来说,如果备用第二密钥对(y,Y)替换作为现用密钥对的第一密钥对(x,X)以达到验证的目的,那么产生备用第三密钥对(z,Z)。通过用第二私钥y签名第三公钥Z来产生新的经签名的证书Sy(Z)。接着将新的经签名的证书Sy(Z)和第三密钥对(z,Z)分割成多份且在多个份持有者之间分配。此过程可随着现用密钥对被备用密钥对替换而重复。在各种配置中,可与第一密钥对同时或在第一密钥对后产生备用密钥对。在替代配置中,可产生多个备用密钥对。每个密钥对可具有其中所述密钥对的公钥由前一密钥对的私钥签名的相关联的经签名的证书。所述多个备用密钥对及其经签名的证书可接着被分割并分配给多个份持有者。以此方式,当前密钥对可被多个链式或循序备用密钥对中的一者替换。每个随后或备用密钥对的验证可由验证或检验器装置来确定。举例来说,检验器装置可设置只允许存在一个新的/替代密钥对与第一密钥对相关联的规则。因此,举例来说,产生第二密钥对(即,备用密钥对)并由第一密钥对签名所述第二密钥对。接着产生第三密钥对(即,额外备用密钥对)并由第二密钥对和/或第一密钥对签名所述第三密钥对。当用户使令牌与第三密钥对相关联并请求来自检验器装置的验证时,检验器装置可验证第三密钥对,同时在大体上类似的时间使第一和第二密钥对无效。即使第二密钥从未被验证,此无效也可能发生。以此方式,当随后的密钥对被验证时,可使先前产生的随后密钥对无效、对其不予处理和/或将其毁坏。可针对每个令牌和/或检验器装置来个别地设置这些规则。举例来说,在另一配置中,可将由前面的密钥对签名的一个以上密钥对验证为副本密钥对。图2说明根据一个实例的用于加密密钥替换的方法。在一个实例中,此方法可部分或完全在处理装置或令牌上操作。获得或伪随机产生第一私人-公钥对,其中所述第一密钥对具有第一私钥x和第一公钥X(202)。可在非对称加密系统中使用第一密钥对。第一密钥对可具有与其相关联的信任级别,且此信任级别被传送到验证装置且/或从验证装置接收此信任级别。将第一密钥对的私钥x保存或存储在用户装置上,与第一密钥对同时或在其之后获得或伪随机产生备用第二私人-公钥对,其中所述备用第二密钥对具有第二私钥y和第二公钥Y(204)。以此方式,备用密钥对与第一密钥对相关联,而不损害第一密钥对或备用第二密钥对,且不要求将备用第二密钥对存储在用户装置上。举例来说,可在第一密钥对与令牌相关联时自主执行备用第二密钥对的产生。还可在来自令牌所有者的提示请求产生备用(第三、第四、第五...)替换或副本密钥对后立即产生备用第.一.密钥对。通过用第一私钥x签名备用第二公钥Y来获得或产生经签名的证书(206)。所述备用第二密钥对和经签名的证书被分成多份,其中少于所述多份可用于重构第二密钥对和经签名的证书(208)。第二密钥对可被划分或分割成n份,其中n是整数。可根据共享方案来分割第二密钥对。所述/i份可分配给至少两个值得信任的份持有者。可使用各种算法、方法和/或技术来确定潜在份持有者的可信任度。作为说明,每个份持有者可接收第二密钥对的个别划分的份。也就是说,n份的每一者分配给不同份持有者,且没有份持有者具有一个以上份。另外,所述一份实质上不足以允许份持有者在不从其它份持有者获得额外份的情况下重构第二密钥对,以此方式,减轻了密钥对的未经授权的使用和验证。第二密钥对的被分配部分保持分布在相应的份持有者处,直到所有者请求重新产生第二密钥对以用于新的和/或副本令牌时为止。可将所述多份分配给多个份持有者以进行存储或妥善保管(210)。图3是经配置以组合并验证备用加密密钥对的处理装置的框图。处理装置300(也称为新令牌)包含密钥份聚集组件306和密钥验证组件308。当所有者希望用先前产生的备用密钥对302来验证新令牌300时,其发送请求以检索备用密钥对302中的先前被分配给多个份持有者的n份。如果接收到/份中的足够数目份来重新产生备用密钥对302,那么并不霈要接收/i份314、316和318中的每一者来重构备用密钥对302。足以重新产生备用密钥对302的份的数目可表示为fc数目份,其中fc是整数。通常重新产生密钥所需的份的ik数目是小于/i的数目,表示为Uoi)。举例来说,通过共享方案来执行重新产生备用密钥对所需的份的数目的确定,例如沙米尔(Shamir)秘密共享方案。应了解,可利用任何合适的共享方案,且所有此类方案可应用于本文所示的配置。当所述份由处理装置300接收时,接收确认份的适当数目Jfe的密钥份聚集组件306。一旦接收到A份,密钥份聚集组件306就对所述ik份进行编译以重新产生备用密钥对310。密钥验证组件308接收重新产生的备用密钥对,并对其进行分析以认证其是否可信,并确定其相关联的信任或安全级别。可能已经用第一密钥对数字签名备用密钥对以获得经签名的证书304。由于备用密钥对302是以第一密钥对(其具有已知信任级别)数字签名的,所以备用密钥对302具有与其相关联的基于第一密钥对的信任级别的信任级别。因此,如果所有者使以第一密钥对签名的备用密钥对302被产生,那么拥有新令牌300的所有者能够在无需在大体上类似的时间拥有新的和旧的(先前现用)令牌两者的情况下验证所述新令牌300。举例来说,可能已经通过用私钥x(属于第一密钥对)数字签名备用公钥Y产生了经签名的证书304。图4说明根据一个实例的用于聚集并验证备用密钥对的方法。从多个份持有者请求备用密钥对和经签名的证书的被分配份(402)。从份持有者获得多(k)份(404)。这多(k)份是先前分配的应被检索以重构或重新产生备用密钥对的总共n份的子集。可基于共享方案来确定所需的k份的数目。通常利用的一种方案是沙米尔的秘密共享方案。然而,应了解,可使用多种共享方案,且所有此类方案可均等地应用于本文所揭示的所述—个或一个以上配置。聚集所接收到的份以获得备用密钥对和经签名的证书(406)。用经签名的证书来验证备用密钥对(408)。基于与第一密钥对的经签名的证书相关联的信任级别而使信任级别与备用密钥对相关联(410)。可基于备用密钥对的公钥部分的签名来确定此信任级别。由于备用公钥部分先前由第一密钥对的私钥部分签名,所以备用密钥对可具有与第一密钥对相同或类似的验证。接着可将备用密钥对的备用公钥分配给检验装置(412)。接着可将所述备用密钥对用于验证目的(414)。一旦备用密钥对被验证,就接着停用第一密钥对(416)。即,当备用密钥对被验证时,停用第一密钥对、使其无效、将其毁坏且/或使其与无效验证相关联。使第一密钥对无效可以是可选的。在某些配置中,第一密钥对可保持现用,以允许备用密钥对成为与第一密钥对相关联并可与第一密钥对在大体上类似的时间使用的副本密钥对。如果所述副本被授权,那么副本密钥对的产生与(例如)由检验装置制定的规则相关联。举例来说,在银行的ATM机器的情况下,检验装置(银行)可能不允许一个以上ATM卡与特定用户相关联。此处的关注点将是减轻对银行和账户所有者两者的欺诈,因此,将不会产生副本密钥对,因为与银行相关联的规则不允许此类复制。在其它应用(例如安全系统)中,副本密钥可能是可接受的,以允许替代用户与原始所有者在大体上类似的时间具有验证。规则与制定可如何/何时使用副本令牌(和相关联的密钥对)的备用或副本密钥相关联。所述备用密钥对用于验证目的,直到备用密钥对无效时为止。可使用类似方法来验证第三、第四、第五...密钥。图5说明用于产生并验证替换加密密钥的装置。根据一个实例,密钥产生功能可由密钥产生器装置502执行,且密钥检验或验证功能可由密钥检验器装置504执行。密钥产生器装置502可包含发射器/接收器506、存储组件508、密钥指配组件510和备用密钥分配组件512。密钥检验器装置504可包含发射器/接收器514、聚集组件516和密钥验证组件518。在各种配置中,密钥产生器装置502与密钥检验器装置504可以是单独的装置或组合成单个装置。出于此实例的目的,密钥产生器装置502和密钥检验器装置504是用户装置500的部分。当先前产生第二密钥对524的所有者获得新的用户装置500时,所述所有者试图使用第二密钥对524来注册或验证新的用户装置500。即,所有者试图用第二密钥对(y,Y)524来替换先前第一密钥对(x,X)526。在此实例中,第一密钥对(x,X)526包含私钥x和公钥X,且第二密钥对(y,Y)524包含私钥y和公钥Y,通过发射器/接收器514发送来自密钥检验器装置504的信号以从每一者具有第二密钥对524的一部分的多个份持有者检索第二密钥对524的至少ife份。所述ife份是足以重新产生第二密钥对524的份数,通常是分配给多个份持有者的总份数的百分比或子集,另外,所请求的份还可包含第二公钥Y的由第一私钥x签名的经签名的证书。当所述fc份中的每一者由密钥检验器装置504接收到时(或在接收到足够量的份之后),密钥份聚集组件516聚集所述份。通过共享方案系统来确定重新产生第二密钥对524所需的fc份的数目。作为说明,密钥产生器装置502上的备用密钥分配组件512可将新的备用密钥对分成(例如)三份。通过发射器/接收器506将所述二份中的每一者个别地输出到三个份持有者中的一者,每个份持有者只接收所述份中的一份。当将重新产生新的备用密钥对时,通过发射器/接收器514发送信号,以检索n份的某一百分比或全部。聚集组件516接收;i份中的ik数目份以重新产生新的密钥对,其中it表示小于n的整数U<")。因此,如果(例如)/I=3,那么三份中的两份可重新产生第二密钥对524。这确保了一个份持有者自身无法重新产生第二密钥对524,且减轻了不值得信任的份持有者或曾经值得信任伊.现在不可靠的份持有者可重新产生第二密钥对524并破坏与所述第二密钥对524相关联的信任的机会。此共享方案还为其中一个份持有者丢失其个别部分/份或不再可存取的情况作准备,虽然出于说明的目的利用三份,但第二密钥对524和随后的密钥对(例如,第三密钥对、第四密钥对等)可被分割成由规则确定的许多份,所述规则可由密钥产生器装置502和/或密钥检验器装置504制定。经重构的第二密钥对524由可包含废除组件520和存储组件522的验证组件518验证。当重新产生的第二密钥对524被验证时,废除组件520可使第一密钥对526无效或将其废除,使其不再有效,以确保第一密钥对526不再为可获得对第一密钥对526的未经授权的存取或可随后获得对第一密钥对526的存取的任何人可用,使第一密钥对526无效是可选的,且其它实施方案可为在与第二密钥对、第三密钥对、第四密钥对等大体上类似的时间继续使用第一密钥对526作准备。可将第一密钥对526无效的通知发送给用户装置502。存储组件522可存储关于第一密钥对526的信息以证实其不能再被使用。通过废除第一密钥对526,例如通过欺骗而未经授权拥有第一密钥对526的用户无法再使用第一密钥对526。另外,如果第二密钥对524是被损坏的密钥对,且损坏其的一方用密钥检验器装置504来对其进行验证,那么仍拥有真实所有者的第一密钥对526变得无效。因此,在与破坏方验证第二密钥对524时大体上类似的时间通知仍使用第一密钥对526的真实所有者。这是因为第一密钥对526在与启动第二密钥对524类似的时间变成非现用,且真实所有者无法再用检验装置504来验证第一密钥对526。当这种情况发生时,真实所有者可采取措施来检索己被破坏的第二密钥对524且/或使其无效,从而减轻由所述破坏引起的潜在的进一步损害。在密钥验证组件518验证第二密钥对524后,密钥检验器装置504通过相应的发射器/接收器506和514将新密钥对的验证的通知传送给密钥产生器装置502。密钥产生器装置502可将第一.密钥对524(现为现用密钥对)保存在存储组件508中。密钥产生器装置502在接收到重新产生的第二密钥对524后立即自主地或通过用户提示来基于刚接收到的现在现用的第二密钥对524来产生备用第三密钥对528以供将来使用。使用密钥指配组件510和将第三密钥对528分割成"份并将所述;i份传输给/i个份持有者的备用密钥分配组件512来产生第三密钥对528。如果/当第二密钥对524被替换时,第三密钥对528接着可用于未来的检索。密钥检验器装置504还可将由第一私钥x签名的第二公钥Y的经签名的证书530分配给其它用户。所述用户可利用此证书来验证新的公钥Y,并替换先前的公钥X,以达到验证用户装置500的目的。图6说明用T产生与第一加密密钥对在大体上类似的时间使用的第二加密密钥对的方案。可能存在其中令牌的所有者希望另一用户具有与所述所有者相同和/或经修改的验证级别的情况。作为说明而非限制,所有者可'具有提供通过家庭安全系统进入所有者的家庭的令牌。如果所述所有者需要其它人(例如房屋清洁服务或宠物散步服务)在预定时间进入所述房屋,那么所述所有者可产生供另一人使用以获准进入所述房屋的副本令牌和相关联的密钥对。可在用户装置602与副本用户装置604之间实施有关加密密钥的同时使用。用户装置602和604可实施在令牌、便携式电话、个人数据助理、个人计算机或其它电子装置中。用户装置602和604两者都包含产生并操控加密密钥的相应的处理器606和614。用户装置602和604上还包含存储所产生的加密密钥的存储组件608和616、使规则与相应的用户装置602和604(以及相关联的密钥对)相关联的规则组件610和618以及有助于用户装置602与604和/或验证装置(未图示)之间的通信的通信组件612和620。'在一个实例中,用户装置602可使用用于加密和/或验证操作的第一密钥对。举例来说,拥有用户装置602的所有者通过利用处理器606来产生副本密钥对624。举例来说,副本密钥对624可以是第一密钥对的副本。副本密钥对624可存储在用户装置602的存储组件608上或输出给份持有者。副本密钥对624可具有与其相关联的由规则组件610指导或产生的规则。规则组件610可授权副本用户装置604规则,其允许可存取性或验证持续特定预定时间、天和/或时间长度。副本密钥对624可与从中产生副本密钥对624的第一密钥对具有相同或不同的规则。举例来说,如果副本用户装置604只被使用七天,那么规则组件610可提供在此期间副本用户装置604(和相关联的密钥对)保持现用或经验证的开始和结束时间。所述开始和结束时间可以是日历日或基于其它计算和/或跟踪装置。一旦所界定的周期期满,就使副本用户装置604(和相关联的密钥对624)变成非现用。使用副本密钥对624的未来验证尝试将被验证装置(未图示)返回为非现用或无效。以所述方式,可在与使用副本用户装置604大体上相同的时间使用用户装置602。用户装置602可通过通信组件612和620或通过份持有者与副本用户装置604直接通信。副本用户装置604具有检索与副本密钥624相关联的规则并将这些规则应用于副本用户装置604的规则组件618。副本用户装置604具有存储副本密钥对624的私人部分的存储组件616,以及处理与副本密钥对624相关联的信息的处理器614。以此方式,副本用户装置604可获得副本密钥对(y,Y)624。图7说明用于验证已经被替换一次以上的替换加密密钥的方法,在某些情况下,用户可产生一个以上密钥供将来使用或可接连产生大景密钥,但不用验证装置来使每个密钥有效。在替代配置中,令牌(和相关联的密钥)可能一年只被使用一次或每若干年被使用一次,且用户有可能在所述期限中经历若T密钥,而不使每个密钥对被验证或与特定令牌相关联。如果试图用已经持续某一时间周期未从所述特定令牌接收到信息或尚未接收到与所述令牌相关联的每个随后密钥的验证装置来验证所述令牌,那么验证装置可能无法验证所述令牌。在所述情况下,验证装置可能需要来自用于所述令牌的每个先前密钥的信息来(例如)以雏菊链(daisy-chain)方式验证新的密钥。如果验证装置仍未认可所述密钥,那么如果验证装置能够建立最后己知密钥,那么所述验证装置可输出其知道的最后密钥。这允许用户确定应检索多少密钥对并将其将传递给验证装置以验证当前密钥,以及所述验证是否可发生。如果无法建立验证,那么用户可能无法从所述事件恢复。本文描述可如何在验证装置上更新密钥的一个实例。由验证装置来获得与第一用户装置相关联的第一公钥Ko,其中所述第一公钥是一相关联的一第一私钥Ko(700)。接收以私钥kn.,数字签名的公钥Kn的数字证书Sn,其中&和k^与用户相关联(702)。使用所述数字证书Sn和用户的先前已知的公钥Ko来验证所述用户(704)。确定先前已知的公钥Ko是否成功地对数字证书Sn进行解密(706)。如果验证是成功的,那么接受公钥Kn作为用户的新的现用密钥(708)。否则,如果验证失败,那么获得以私钥kn-2数字签名的公钥Kn.i的先前数字证书S",其中K^和kn.2与用户相关联(710)。接着使用所述数字证书S^和用户的先前已知公钥Ko来验证所述用户(712)。这可涉及递归验证先前数字证书和公钥,以确定新的公钥是否应与特定用户相关联。举例来说,确定先前已知的公钥Ko是否成功地对数字证书S^进行解密(714)。如果是,那么作出第二确定,即从数字证书S^获得的公钥K^是否成功地对数字证书Sn进行解密(716)。如果是,那么接受公钥Kn作为用户的新的密钥(718)。否则,以用私钥kn.i.,数字签名的公钥Kn.i的先前数字证书Sn-i来重复所述过程,其中Kn.i和kn.w与用户相关联(720)。以此方式,可利用先前数字证书来验证用户的新的公钥。作为说明而非限制,如果所有者在一行中替换密钥若干次,那么只要所述所有者保留有先前签名和公钥,未保持最新的验证装置进行的验证仍是可能的。举例来说,如果所有者已通过使用签名Sx(Y)来以x认证Y,且使用Sy(Z)来以y认证Z而从第一密钥(x,X)转到第二密钥(y,Y)到第三密钥(z,Z)等,那么通过向验证装置提供Y、Sx(Y)、Z和Sy(Z),只知道X的验证装置进行的验证是可能的。通过使用X检査Sx(Y),验证装置将知道Y是所述所有者过去的有效密钥,且接着通过检査Sy(Z),验证装置将知道Z是所述所有者现在的有效密钥,此过程继续,使得可轮询许多先前密钥以获得信息,直到密钥(例如第一密钥)被认可为止。还应理解,因为第一密钥先前已被检验装置知道,所以上述实例中的第一密钥的验证将成功。应了解,可结合其它配置使用先前密钥的动态査询或自动化査询。举例来说,系统可经配置以根据无效验证尝试来自动査询且/或动态报告先前信息。这可由输入或检索先前密钥对信息的令牌用户来执行。如果如上文所述,所述密钥对以每个先前密钥对来签名,那么所述方法可自动存取用于每个前述密钥的信息,直到被验证为止。用户和/或检査先前密钥的自动化方法可限于特定数目的尝试,在所述次数后,验证被拒绝。举例来说,用户或自动化方法可试图使用(例如)至多达五个先前密钥来验证密钥。如果用第五密钥尝试未作出验证,那么验证失败。尽管所描述的实例中的一些实例涉及公钥(非对称)加密系统,但这些特征还可在对称密钥系统上实施。对称密钥系统是发送者与接收者共亨共同或单个密钥的一种类型的加密系统。即,针对编码和解码使用同一密钥。因此,对称密钥系统涉及以安全方式交换密钥的两方。当根据对称密钥系统产生新的密钥时,第二密钥(例如只具有与其相关联的公钥,并在第一密钥"X"下被签名,且可能还以规则来签名。在对称密钥系统的情况下,只发布么、开信息,并在多个份持有者之间分配所述公开信息。y。,si&(y。规则)本文所述的实例可使用利用两个密钥的公开-密钥加密,所述两个密钥是对消息进行加密的公钥和对所述消息进行解密的私钥。因此,在公开-密钥系统中,可将公钥分配给每个人,但不传输私钥.所述崈钥本身与新密钥的加密、在先前密钥下的新密钥以及所述加密的验证一起发送,1^似lU,MAC:(f力,),规则)"消息验证码"或MAC具有代表实际输入的数据的敏列值(圃定长度的数宇码〉,所述MAC通常以数据本身进行加崈且发送给实体,所述实体在接收到经加密的数推后立即对所述敏据进行解密并在所述数据上产生新的MAC,将接收到的MAC与新产生的MAC进行比较以验证所接收到的数菊完好无ft且验证信息发送者,图8是用于产生副本加密密钥的方法的流程田,产生副本密钥对并使其与第一密钥对相关联(802),所述第一崈钥对允许所有者与例如家底安全系统的装置通估.如果所有者希望替代坩户具有与所述所有者具有的进入级别相同或类似的进入tf别,且副本密钥产生是可接受的,那么所有者可产生副本密钥对,以允许用副本令牌来进行糖代用户验证,以由所有者和/或验证系统设置的某些使用規则为条件产生副本密钥(804〉,举例来说,所有者可具有家庭安全系统,但希望另一个人在某些时间进入房霣,拥如毎个星期四,用户产生具有指定只在星期四验证副本密钥/令牌的规则的副本密钥,接着,拥有細本令牌(和对应的剔本密钥对〉的人可在星期四停用安全系统*接着将副本密钥对和使用规则分配给第二用户装實.或令牌(806〉,副本令牌持有者尝试验证,并确定是否满足与副本密钥相关联的规则(例如,是星期四7〉,如果满足规则,那么副本密钥被验证,如果不满足规则,那么胜证被拒绝,所以,(例如)如果所有者已指定只在星期四提供经授权进入的规则,且替代用户试困在除星期四之外的某天使用所述令牌,通么敏证被拒绝,替代用户可接收这是未许可的使用和/或所述使用在授权#数之外的通知*所有者还可接收所述试圉的通知,使得可釆取预防性措施(如果必耍的话〉,如果情况改变,那么所有者和/或检验器装置还能tf修改规则/参数,所有者和/或检验器装置还可在通知或不通知替代/副本用户的情况下在任何时间使副本密钥无效(抑8).围9说明用于管制加密密钥和副本加密密钥的方法.产生具有相关联公钥和私钥的第一密钢对(902〉,产生具有由第一私钥签名的公钥的副本密钥(904〉,针对破坏条件监视与用户令牌相关联的第一密钥和与类似用户令牌相关联的副本彬钥两者(906),举例来说,破坏条件可发生在用户装S丢失或被盗时或与所述接愛相关联的加密密钥被报坏时,如果没有破坏被指示,那么所述方法以循环方式继续针对违背条件进行监视(906),如果存在破坏,那么使已被破坏的密钥对无效(卯8)。举例来说,如果副本密钥/令牌被损坏,那么将使副本密钥对无效,且所述副本密钥对无法被进一步使用。可通过使用尚未被破坏的第一密钥对来产生另一副本密钥对。然而,如果第一密钥/令牌被破坏,那么将使第一密钥无效,这将自动使副本密钥无效,除非规则规定副本密钥保持有效持续某一设定时间周期(例如再一次验证尝试),以允许所有者通过利用副本密钥来获得验证。图10是经配置以在每当启动新的加密密钥时就产生且/或验证备用加密密钥的处理装置的框图。所述处理装置1000可包含耦合到通信模块1004和存储装置1006的处理电路1002。所述处理电路可经配置以产生第一私人-公钥对(x,X)。举例来说,私钥x可存储在存储装置1006中,而公钥X可通过通信网路分配给检验器装置。连同第一密钥对(x,X)的产生一起,处理电路1002可产生第二(备用)私人-公钥对(y,Y)。为了验证第二密钥对,可通过用私钥x签名公钥Y来产生经签名的证书,可将所述第二密钥对(y,Y)和经签名的证书分成分配给(可信任)份持有者的多份。在一个实施方案中,少于所述多份可用于重新产生第二密钥对和/或经签名的证书。处理装置1002还可经配置以执行本文所述的其它方法和/或功能的一者或一者以上。应理解,本文所述的实例和配置可由硬件、软件、固件、中间体、微码或其任一组合来实施。当系统和/或方法以软件、固件、中间体或微码、程序代码或代码段实施时,所述系统和/或方法可存储在机器可读媒体中,如上述,或存储在单独的存储媒体中。代码段可表示过程、函数、子程序、程序、例行程序、子例行程序、模块、软件包、类或指令、数据结构或程序语句的任一组合。代码段可通过传递和/或接收信息、数据、自变量、参数或存储器内容而耦合到另一代码段或硬件电路。可使用合适的方式来传递、转发或传输信息、自变量、参数、数据等,所述方式包含存储器共享、消息传递、令牌传递、网络传输等。上文已经描述的内容包含一个或一个以上配置的实例。当然,不可能为了描述这些实例和配置而描述组件或方法的每种可以想到的组合,但所属领域的技术人员可认识到所述实例和/或配置的许多进一步组合和排列是可能的。因此,本文所述的实例和配置意在包含属于所附权利要求书的精神和范围的所有此类更改、修改和变化。此外,就术语"包含"在详细描述内容或权利要求书中使用来说,所述术语意在以与术语"包括"(如"包含"在权利要求书中用作过渡用词时被解释的那样)类似的方式表示包含在内。图1、图2、图3、图4、图5、图6、图7、图8、图9和/或图10中所说明的组件、步骤和/或功能中的一者或一者以上可重新布置且/或组合成单个组件、步骤或功能,或以若干组件、步骤或功能体现而不影响本发明的各个方面。还可在不脱离本发明的情况下添加额外元件、组件、步骤和/或功能。图l、图3、图5、图6和/或图IO中所说明的设备、装置和/或组件可经配置以执行图2、图4、图7、图8和/或图9中所描述的方法、特征或步骤中的一者或一者以上。所属领域的技术人员将进一步了解,结合本文所揭示的配置而描述的各种说明性逻辑区块、模块、电路和算法步猓可实施为电子硬件、计箅机软件或两者的组合。为了清楚地说明硬件与软件的这种可互换性,上文己经大体上根据各种说明性组件、区块、模块、电路和步骤的功能性描述了所述各种说明性组件、区块、模块、电路和步骤。将此类功能性实施为硬件还是软件取决于特定应用和强加于整个系统的设计限制。希望对实例和配置的描述是说明性的,而不希望其限制权利要求书的范围。由此,本教示可容易应用于其它类型的设备,且所属领域的技术人员将明白许多替代、修改和变化。权利要求1.一种在令牌装置上操作以替换非对称加密密钥的方法,其包括获得包括第一私钥和对应的第一公钥的伪随机第一密钥对;获得包括第二私钥和第二公钥的伪随机备用第二密钥对;用所述第一私钥来签名所述第二公钥以获得经签名的证书;将所述第二密钥对和经签名的证书分成n份,其中n是整数;以及将所述n份分配给至少两个份持有者妥善保管。2.根据权利要求1所述的方法,其进一步包括-从所述至少两个份持有者检索所述n份的至少一部分;用检索到的所述/r份的至少一部分重构所述第二密钥对和经签名的证书;以及将所述经签名的证书呈现给检验装置以用所述第二公钥来替换所述第一公钥。3.根据权利要求2所述的方法,其进一步包括;将所述经签名的证书分配给验证装置以用所述第二公钥来替换所述第一公钥,并在所述第二密钥对的验证后立即使所述第一密钥对无效。4.根据权利要求2所述的方法,其进一步包括当用所述第二密钥来替换所述第一密钥时,获得第三密钥对,所述第三密钥对包括第三公钥和第三私钥。5.根据权利要求4所述的方法,其进一步包括用所述第二私钥来签名所述第三公钥以获得第二经签名的证书;将所述第三密钥对和第二经签名的证书分成n份,其中n是整数;以及将所述第三密钥对的所述"份分配给至少两个份持有者妥善保管。6.根据权利要求5所述的方法,其进一步包括检索所述第三密钥对的所述《份的至少一部分;用检索到的n份的所述至少一部分重新产生所述第三密钥对;以及将所述第二经签名的证书呈现给检验装置以用所述第三公钥来替换所述第二公钥。7.根据权利要求1所述的方法,其进一步包括使所述第一密钥对的信任级别与所述第二密钥对的信任级别相关联。8.根据权利要求l所述的方法,其中将所述第二密钥对和经签名的证书分成多份是由秘密共享方案决定的。9.根据权利要求1所述的方法,其进一步包括产生所述第一密钥对的副本密钥对;使一组使用规则与所述副本密钥对相关联;以及将所述副本密钥对和使用规则分配给第二令牌装置。10.根据权利要求1所述的方法,其进一步包括根据使用规则使所述副本密钥对无效。11.一种有助于替换加密密钥的令牌装置,其包括用于获得包括第一私钥和对应的第一公钥的伪随机第一密钥对的装置;用于获得包括第二私钥和第二公钥的伪随机备用第二密钥对的装置用于用所述第一私钥来签名所述第二公钥以获得经签名的证书的装置;用于将所述第二密钥对和经签名的证书分成n份的装置,其中n是整数;以及用于将所述《份分配给至少两个份持有者妥善保管的装置。12.根据权利耍求11所述的装置,其进一步包括用于从所述至少两个份持有者检索所述n份的至少一部分的装置;用于用检索到的所述n份的至少一部分重构所述第二密钥对和经签名的证书的装置;以及用于将所述经签名的证书呈现给检验装置以用所述第二公钥来替换所述第一公钥的装置。13.根据权利要求12所述的装置,其进一步包括用于将所述第二公钥发送给检验装置的装置,所述检验装置验证所述第二密钥对,并在所述第二密钥对的验证后立即使所述第一密钥对无效;以及用于使信任级别与对应于与所述第一密钥对相关联的信任级别的所述第二密钥对相关联的装置。14.根据权利要求12之装置,其进一步包括;用于将所述经签名的证书分配给验证装置以用所述第二公钥来替换所述第一公钥并在所述第二密钥对的验证后立即使所述第一密钥对无效的装置。15.—种有助于替换加密密钥的令牌装置,其包括密钥指配组件,其经配置以获得包括第一私钥和对应的第一公钥的伪随机第一密钥刘',获得包括第二私钥和第二公钥的伪随机备用第二密钥对,用所述第一私钥来签名所述第二公钥以获得经签名的证书;分配组件,其耦合到所述密钥指配组件,所述分配组件经配置以将所述第二密钥对和经签名的证书分成n份,其中AT是整数;以及发射器,其将所述n份分配给至少两个份持有者妥善保管。16.根据权利要求15所述的装置,其进一步包括密钥检验组件,其包含接收器,其从所述至少两个份持有者接收所述《份的至少一部分;聚集组件,其用接收到的所述/T份的所述至少一部分重构所述第二密钥对和经签名的证书以及发射器,其将所述经签名的证书发送给检验装置以用所述第二公钥来替换所述第一公钥。17.根据权利要求16所述的装置,其中所述密钥检验组件进一步经配置以验证所述第二密钥对,并在所述第二密钥对的验证后立即使所述第一密钥对无效。18.根据权利要求n所述的装置,其中所述密钥指配组件进一步经配置以当用所述第二密钥来替换所述第一密钥时,获得第三密钥对,所述第三密钥对包括第三公钥和第三私钥。19.根据权利要求16所述的装置,其中所述密钥检验组件进一步经配置以将所述经签名的证书分配给验证装置以用所述第二公钥来替换所述第一公钥'并在所述第二密钥对的验证后立即使所述第一密钥对无效。20.根据权利要求15所述的装置,其中所述密钥指配组件进一步经配置以产生所述第一密钥对的副本密钥对;使一组使用规则与所述副本密钥对相关联;以及将所述副本密钥对和使用规则分配给第二令牌装置。21.根据权利要求15所述的装置,其中所述密钥指配组件进一步经配置以根据使用规则来使所述副本密钥对无效。22.—种具有用于替换加密密钥的一个或一个以上指令的机器可读媒体,所述一个或一个以上指令在由处理器执行时致使所述处理器获得包括第一私钥和对应的第一公钥的伪随机第一密钥対、获得包括第二私钥和第二公钥的伪随机备用第二密钥对;用所述第一私钥来签名所述第二公钥以获得经签名的证书;将所述第二密钥对和经签名的证书分成《份,其中AZ是整数;以及将所述"份分配给至少两个份持有者妥善保管。23.根据权利要求22所述的机器可读媒体,其具有一个或一个以上指令,所述一个或一个以上指令在由处理器执行时致使所述处理器进一步从所述至少两个份持有者检索所述W份的至少一部分;用检索到的所述n份的所述至少一部分重构所述第二密钥对和经签名的证书;以及将所述经签名的证书呈现给检验装置以用所述第二公钥来替换所述第一公钥;以及验证所述第二密钥对,并在所述第二密钥的验证对后立即使所述第一密钥对无效。24.根据权利要求23所述的机器可读媒体,其具有一个或一个以上指令,所述一个或一个以上指令在由处理器执行时致使所述处理器进一步将所述经签名的证书分配给验证装置以用所述第二公钥来替换所述第一公钥,并在所述第二密钥对的验证后立即使所述第一密钥对无效。25.根据权利要求22所述的机器可读媒体,其具有一个或一个以上指令,所述一个或一个以上指令在由处理器执行时致使所述处理器进一步使信任级别与对应于与所述第一密钥对相关联的信任级别的所述第二密钥对相关联。26.根据权利要求22所述的机器可读媒体,其具有一个或一个以上指令,所述一个或一个以上指令在由处理器执行时致使所述处理器进一步产生所述第一密钥对的副本密钥对;使一组使用规则与所述副本密钥对相关联;以及将所述副本密钥对和使用规则分配给副本用户装置。27.—种在验证装置上操作以替换非对称加密密钥的方法,其包括获得与用户相关联的第一公钥,所述第一公钥具有相关联的第一私钥;接收以所述第一私钥数字签名的第二公钥的数字证书通过使用所述第一公钥验证所述数字证书来验证所述用户;以及如果所述数字证书被成功验证,那么用所述第二公钥来替换所述第一公钥以保护与所述用户的通信。28.根据权利要求27所述的方法,其进一步包括接收在所述第一公钥与所述第二公钥之间形成验证链的一个或一个以上其它介入数字证书;以及验证每个介入数字证书,以确定所述第一公钥是否应被所述第二公钥替换。29.根据权利要求27所述的方法,其进一步包括-如果所述第一公钥所进行的所述数字证书验证失败,那么拒绝所述第二公钥。30.—种验证装置,其包括用于获得与用户相关联的第一公钥的装置,所述第一公钥具有相关联的第一私钥用于接收以所述第一私钥数字签名的第二公钥的数字证书的装置;用于通过使用所述第一公钥验证所述数字证书来验证所述用户的装置;以及用于在所述数字证书被成功验证时用所述第二公钥来替换所述第一公钥以保护与所述用户的通信的装置。31.根据权利要求30所述的装置,其进一步包括用于接收在所述第一公钥与所述第二公钥之间形成验证链的一个或一个以上其它介入数字证书的装置以及用于验证每个介入数字证书以确定所述第一公钥是否应被所述第二公钥替换的装置。32.根据权利要求30所述的装置,其进一步包括.-用于在所述第一公钥所进行的所述数字证书验证失败时拒绝所述第二公钥的装置。33.—种验证装置,其包括通信模块,其经配置以接收与用户相关联的第一公钥,所述第一公钥具有相关联的第一私钥,以及接收以所述第一私钥数字签名的第二公钥的数字证书;以及处理电路,其耦合到所述通信模块,所述处理电路经配置以通过使用所述第一公钥验证所述数字证书来验证所述用户;以及如果所述数字证书被成功验证,那么用所述第二公钥来替换所述第一公钥以保护与所述用户的通信。34.根据权利要求33所述的装置,其中所述通信模块进一步经配置以接收在所述第一公钥与所述第二公钥之间形成验证链的一个或一个以上其它介入数字证书;以及所述处理电路进一步经配置以验证每个介入数字证书以确定所述第一公钥是否应被所述第二公钥替换,以及如果所述第一公钥所进行的所述数字证书验证失败,那么拒绝所述第二公钥。35.—种具有用于替换加密密钥的一个或一个以上指令的机器可读媒体,所述一个或一个以上指令在由处理器执行时致使所述处理器-获得与用户相关联的第一公钥,所述第一公钥具有相关联的第一私钥接收以所述第一私钥数字签名的第二公钥的数字证书;通过使用所述第一公钥验证所述数字证书来验证所述用户;以及如果所述数字证书被成功验证,那么用所述第二公钥来替换所述第一密钥以保护与所述用户的通信。36.根据权利要求35所述的机器可读媒体,其具有一个或一个以上指令,所述一个或一个以上指令在由处理器执行时致使所述处理器进一步-接收在所述第一公钥与所述第二公钥之间形成验证链的一个或一个以上其它介入数字证书;验证每个介入数字证书以确定所述第一公钥是否应被所述第二公钥替换。全文摘要本发明提供一种有助于安全产生和/或替换加密密钥的特征。产生包括第一私钥和第一公钥的第一密钥对。产生包括第二私钥和第二公钥的第二(备用)密钥对。所述第二密钥对与所述第一私钥相关联。所述第二密钥对分成多份并分配给至少两个份持有者。当将要替换所述第一密钥对时,重新产生所述第二密钥对,并用所述经分配份的至少一部分来验证所述第二密钥对。信任级别与对应于所述第一密钥对的信任级别的所述第二密钥对相关联。在验证所述第二密钥对后可立即使所述第一密钥对无效。进一步的配置为额外备用密钥对的产生作准备。文档编号H04L9/32GK101322349SQ200680045677公开日2008年12月10日申请日期2006年12月12日优先权日2005年12月12日发明者亚历山大·甘特曼,格雷戈里·戈登·罗斯申请人:高通股份有限公司