CN101682511A - 用于离线装置的验证在线证书的设备和方法 - Google Patents
用于离线装置的验证在线证书的设备和方法 Download PDFInfo
- Publication number
- CN101682511A CN101682511A CN200880017548A CN200880017548A CN101682511A CN 101682511 A CN101682511 A CN 101682511A CN 200880017548 A CN200880017548 A CN 200880017548A CN 200880017548 A CN200880017548 A CN 200880017548A CN 101682511 A CN101682511 A CN 101682511A
- Authority
- CN
- China
- Prior art keywords
- line equipment
- ocsp
- random number
- equipment
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000004044 response Effects 0.000 claims abstract description 118
- 238000012795 verification Methods 0.000 claims abstract description 20
- 239000000284 extract Substances 0.000 claims abstract description 8
- 101000759879 Homo sapiens Tetraspanin-10 Proteins 0.000 claims description 160
- 102100024990 Tetraspanin-10 Human genes 0.000 claims description 160
- 230000005540 biological transmission Effects 0.000 claims description 25
- 238000000605 extraction Methods 0.000 claims description 14
- 230000000052 comparative effect Effects 0.000 claims description 2
- 102100021870 ATP synthase subunit O, mitochondrial Human genes 0.000 claims 1
- 108010007425 oligomycin sensitivity conferring protein Proteins 0.000 claims 1
- 230000006870 function Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
提供了一种用于离线装置的验证在线证书的设备和方法。所述设备包括:随机数产生单元,产生随机数和请求验证被鉴别的目标在线装置的证书的证书验证请求消息,其中,证书验证请求消息包括产生的随机数;发送和接收单元,将证书验证请求发送到在线装置并从在线装置接收在线证书状态协议(OCSP)响应消息;证书验证结果确定单元,从OCSP响应提取随机数并将提取的随机数与随机数产生单元产生的随机数进行比较以确定OCSP响应是否可靠。
Description
技术领域
与本发明一致的方法和设备涉及用于离线装置的验证在线证书,更具体地讲,涉及一种允许离线装置使用在线证书状态协议(online certificate statusprotocol,OCSP)而鉴别在线装置。
背景技术
OCSP是允许在线或连接装置鉴别其它装置的整数状态的协议。OCSP被设计为仅用于在线装置,而没有考虑离线(未连接)装置。
所述在线装置可以是,但不限于,提供网络连接的主机,所述离线装置可以是,但不限于,不提供网络连接的安全卡。
为了验证在线装置的可靠性,离线装置可请求OCSP响应服务器(响应者)以验证在线装置的证书的状态。在此,OCSP响应服务器存储发布的证书的状态,并根据客户机的OCSP请求报告相应的证书的状态。
发明公开
技术问题
离线装置在不提供网络连接的情况下无法直接连接到OCSP响应服务器。但是,离线装置可通过在线装置或在线装置的支持互连到OCSP响应服务器。不通过在线装置的验证,离线装置无法信任在线装置的OCSP请求以及通过OCSP请求得到的响应。具体地,在线装置可在特定装置的证书被撤销之前存储OCSP响应结果;在特定装置的证书被撤销之后重放先前存储的OCSP响应结果;响应离线装置好像相应装置的撤销的证书仍然有效。这被公知为重放攻击。
在线装置可防止重放攻击。然而,在这种情况下,仅在线装置与OCSP响应服务器之间的部分可靠时,不能防止可出现在离线装置与在线装置之间的伪造(forgery)。
本发明提供的用于离线装置的验证在线证书的设备和方法通过使离线装置产生随机数(nonce)并将产生的随机数添加到被鉴别的目标在线装置的OCSP请求消息和OCSP响应消息来使OCSP响应服务器的响应请求可靠。
然而,本发明的各方面没有限定于在此阐述的一方面。通过参照以下给定的本发明的详细描述,对本发明所属技术领域的技术人员而言,本发明的上述和其它方面经变得更清楚。
技术方案
根据本发明的一方面,提供了一种用于离线装置的验证在线证书的设备,所述设备包括:随机数产生单元,产生随机数和证书验证请求消息,该证书验证请求消息请求验证被鉴别的目标在线装置的证书并包括产生的随机数;发送/接收单元,将证书验证请求发送到在线装置并从在线装置接收OCSP响应消息;证书验证结果确定单元,从接收的消息提取随机数并将提取的随机数与产生的随机数进行比较以确定接收的消息是否可靠。
根据本发明的另一方面,提供了一种用于离线装置的验证在线证书的设备,所述设备包括:消息产生单元,根据从离线装置接收的请求验证被鉴别的目标在线装置的证书的证书验证请求消息产生OCSP请求消息;发送/接收单元,将产生的消息发送到OCSP响应服务器,并从OCSP响应服务器接收OCSP响应消息。
根据本发明的另一方面,提供了一种用于离线装置的验证在线证书的设备,所述设备包括:验证单元,根据从在线装置接收的OCSP请求消息验证目标在线装置的证书;响应消息产生单元,基于验证结果产生OCSP响应消息;发送/接收单元,将产生的消息发送到在线装置。
根据本发明的另一方面,提供了一种用于离线装置的验证在线证书的方法,所述方法包括:产生随机数;产生证书验证请求消息,该证书验证请求消息包括产生的随机数并请求验证被鉴别的目标在线装置的证书;将证书验证请求消息发送到在线装置;从在线装置接收OCSP响应消息;从接收的消息提取随机数并将提取的随机数与产生的随机数进行比较以确定接收的消息是否可靠。
根据本发明的另一方面,提供了一种用于离线装置的验证在线证书的方法,所述方法包括:从离线装置接收请求验证目标在线装置的证书的证书验证请求消息;根据证书验证请求消息产生OCSP请求消息;将OCSP请求消息发送到OCSP响应服务器;从OCSP响应服务器接收OCSP响应消息。
根据本发明的另一方面,提供了一种用于离线装置的验证在线证书的方法,所述方法包括:根据从在线装置接收的OCSP请求消息验证目标在线装置的证书;基于验证结果产生OCSP响应消息;将产生的消息发送到在线装置。
附图说明
通过下面结合附图对示例性实施例进行的详细描述,本发明的上述和其它方面将会变得更清楚,其中:
图1是示出具有根据本发明示例性实施例的用于离线装置的验证在线证书的设备的系统的示图;
图2是示出图1中示出的系统的进行在线证书验证处理的示图;
图3是示出根据本发明示例性实施例的用于离线装置的验证在线证书的设备的配置的示图;
图4是示出根据本发明另一示例性实施例的用于离线装置的验证在线证书的设备的配置的示图;
图5是示出根据本发明另一示例性实施例的用于离线装置的验证在线证书的设备的配置的示图;
图6是示出根据本发明离线装置的示例性实施例的在线证书验证处理的流程图。
具体实施方式
通过参照以下的示例性实施例和附图的详细描述,将更容易地理解本发明的优点和特点以及实现本发明的方法。
然而,本发明可以以各种不同方式实施并且不应理解为限于在此阐述的示例性实施例。而且,提供这些实施例从而使此公开是彻底和完整的,将本发明的构思完整地传达给本领域技术人员,并且本发明仅由所附权利要求限定。
贯穿说明书,相同的标号表示相同的元件。
以下将参照根据本发明示例性实施例的用于离线装置的验证在线证书的设备和方法的框图或流程图来描述本发明。
应该理解的是,流程图的每个块和流程图中的块的结合可通过计算机程序执行。
可将这些计算机程序指令提供给通用计算机、专用计算机或其它可编程数据处理设备的处理器以产生机器,从而通过计算机或其它可编程数据处理设备的处理器执行的指令创建用于实现在一个流程图方框或多个流程图方框中描述的功能的装置。
这些计算机程序指令也可被存储在可引导计算机或者其他可编程数据处理设备以特定方式工作的计算机可用或计算机可读存储器中,从而存储在计算机可用或计算机可读存储器中的指令生产包括实现在一个流程图方框或多个流程图方框中描述的功能的指令装置的产品。
计算机程序指令也可被载入计算机或其他可编程数据处理设备以使得一系列操作步骤在计算机或其他可编程设备上被执行以产生计算机执行的过程,从而在计算机或其他可编程设备上执行的指令提供用于实现在一个流程图方框或多个流程图方框中描述的功能的步骤。
此外,每个方框可以表示包括一个或多个实现特定逻辑功能的可执行指令的模块、代码段、或者部分代码。
还应该注意到,在一些另外的实现方式中,方框中表示的功能可能次序颠倒地发生。
例如,根据涉及的功能性,连续显示的两个方框可能基本上同时执行,或者可能有时以相反的次序执行。
以下,参照附图对本发明的示例性实施例进行详细的描述。
作为参考,随机数(nonce)是为了验证消息的完整性而添加到消息的值。所述随机数用于允许消息的发送对象确认消息中的随机数是否无变化地被接收,从而确认响应是否可靠。
上述的随机数可以,但不限于随机数字。例如,可使用根据特定规则的数字或字符或计数值(例如,时间标记)。
图1是示出具有根据本发明示例性实施例的验证用于离线装置的设备和方法的系统的示图。
系统100包括离线装置100、在线装置120和OCSP响应服务器130。离线装置100产生随机数和包括产生的随机数的在线装置证书验证请求消息,并发送在线装置证书验证请求消息。在线装置120根据从离线装置110接收的证书验证请求消息产生OCSP请求消息,该证书验证请求消息请求验证目标在线装置的证书,并将产生的OCSP请求消息发送到OCSP响应服务器130。OCSP响应服务器130根据从在线装置120接收的OCSP请求消息验证目标在线装置的证书,基于验证结果产生OCSP响应消息,并将产生的OCSP响应消息发送到在线装置120。
作为参考,如果离线装置110是可以直接产生OCSP请求消息的高性能装置,则在线装置120不产生附加OCSP请求消息,并将从离线装置110接收的OCSP请求消息发送到OCSP响应服务器130。离线装置110产生的OCSP请求消息包括离线装置110产生的随机数。
另一方面,如果离线装置110是无法直接产生OCSP请求消息的低性能装置,则在线装置120从离线装置110接收在线装置证书验证请求消息,并产生将被发送到OCSP响应服务器130的OCSP请求消息。从离线装置110发送到在线装置120的在线装置证书验证请求消息包括离线装置110产生的随机数。然后,在线装置120从接收自离线装置110的在线装置证书验证请求消息提取随机数,产生OCSP请求消息并将OCSP请求消息发送到OCSP响应服务器130。
根据本发明的示例性实施例,从离线装置110发送到在线装置120的在线装置证书验证请求消息优选地,但不是必须地,包括包含离线装置110产生的随机数的在线装置证书验证请求消息和包括离线装置110产生的随机数的OCSP请求消息中的至少一个。
此外,OCSP响应服务器130产生的OCSP响应消息可包括离线装置110产生的随机数。在这种情况中,可从接收自离线装置120的OCSP请求消息提取随机数。
然后,接收从OCSP响应服务器130发送的OCSP响应消息的在线装置120将OCSP响应消息发送到离线装置110。然后,离线装置110接收OCSP响应消息并从接收的消息提取随机数。
然后,离线装置110将提取的随机数与离线装置110产生的随机数进行比较以确定接收消息是否可靠。当提取的随机数与离线装置110产生的随机数相互一致时,确定接收的消息可靠。
如上所述,离线装置110可根据离线装置110的性能等级直接产生OCSP请求消息或可请求在线装置120产生OCSP请求消息。
离线装置不需要直接产生OCSP请求消息,但是离线装置应具有足够性能以确定OCSP响应消息。在此,响应消息的确认表示离线装置从OCSP响应消息提取随机数并将提取的随机数与其自身产生的随机数进行比较以确认这些随机数是否相互一致。
以下,假设在此使用的离线装置110是无法直接产生OCSP请求消息但至少能够确认OCSP响应消息的装置。
图2是示出使用图1的系统的在线证书验证处理的示图。
为了便于解释,将参照图1的系统100进行描述。
首先,离线装置110产生随机数和包括产生的随机数的证书验证请求消息,该证书验证请求消息请求验证被鉴别的目标在线装置的证书(操作S201)。
操作S201之后,离线装置110将证书验证请求消息发送到在线装置120(操作S202)。
在操作S202之后,在线装置120根据从离线装置110接收的证书验证请求消息产生OCSP请求消息(操作S203)。
在操作S203之后,在线装置120将OCSP请求消息发送到OCSP响应服务器130(操作S204)。
此时,在线装置120产生的OCSP请求消息可包括离线装置110产生的随机数。
在操作S204之后,OCSP响应服务器130验证关于目标在线装置的证书并基于验证结果产生OCSP响应消息(操作S205)。
在操作S205之后,OCSP响应服务器130将OCSP响应消息发送到在线装置120(操作S206)。
OCSP响应服务器130产生的OCSP响应消息包括关于目标在线装置的证书的验证结果和离线装置110产生的随机数。
作为参考,OCSP响应服务器130可从接收自在线装置120的OCSP请求消息中提取随机数。
在操作S206之后,在线装置120接收OCSP响应消息并将接收的消息发送到离线装置110(操作S207)。
在操作S207之后,离线装置110从接收的OCSP响应消息提取随机数,并对提取的随机数与离线装置110产生的随机数进行比较以确定验证结果是否可靠(操作S208)。
图3是示出根据本发明示例性实施例的用于离线装置的验证在线证书的设备的配置的示图。
作为参考,图3中示出的设备300可以合并到图1中示出的系统100的离线装置110。为了便于解释,将参照图1中示出的系统100进行描述。
设备300包括随机数产生单元310、发送/接收单元320、证书验证结果确定单元330和控制单元340。随机数产生单元310产生随机数和包括产生的随机数的证书验证请求消息,该证书验证请求消息请求验证被鉴别的目标在线装置的证书。发送/接收单元320将随机数产生单元310产生的证书验证请求消息发送到在线装置120并从在线装置120接收关于目标在线装置的OCSP响应消息。证书验证结果确定单元330从发送/接收单元320接收的OCSP响应消息提取随机数并将提取的随机数与随机数产生单元310产生的随机数进行比较以确定接收的OCSP响应消息是否可靠。控制单元340控制上述单元。当比较结果表示从发送/接收单元320接收的消息提取的随机数与随机数产生单元310产生的随机数相互一致时,证书验证结果确定单元330确定目标在线装置的证书的验证结果可靠。
图4是示出根据本发明另一示例性实施例的用于离线装置的验证在线证书的设备的配置的示图。
作为参考,图4中示出的设备400可合并到图1中示出的系统100的在线装置120。为了便于解释,将参照图1中示出的系统100进行描述。
设备400包括消息产生单元410、发送/接收单元420和控制单元430。消息产生单元410根据从离线装置110接收的请求验证被鉴别的目标在线装置的证书的证书验证请求消息产生OCSP请求消息。发送/接收单元420将消息产生单元410产生的OCSP请求消息发送到OCSP响应服务器130,并接收从OCSP响应服务器130发送的OCSP响应消息。控制单元430控制上述单元。
作为参考,图1中示出的系统100的在线装置120与被离线装置110鉴别的目标在线装置可以是同一装置或不同装置。在该示例性实施例中,假设在线装置120和上述目标在线装置是同一装置。
图4中示出的设备400的消息产生单元410产生的OCSP请求消息可包括离线装置110的随机数产生单元310产生的随机数。然后,发送/接收单元420将从OCSP响应服务器130接收的OCSP响应消息(即,目标在线装置的证书的验证结果)发送到离线装置110。
此时,从发送/接收单元420发送到离线装置110的OCSP响应消息包括OCSP响应服务器130产生的目标在线装置的证书的验证结果和离线装置110的随机数产生单元310产生的随机数。
在线装置120可能执行重放攻击。具体地,在线装置120可在特定装置的证书被撤销之前存储从OCSP响应服务器130接收的OCSP响应消息,在相应的装置的证书被撤销之后重放先前存储的OCSP响应消息并响应离线装置110,好像相应的装置的撤销的证书仍有效地。在这种情况下,包括在被重放攻击的OCSP响应消息中的随机数与包括在从离线装置110发送到在线装置120的证书验证请求消息中的随机数不同。因此,离线装置110确定相应的OCSP响应消息不可靠。
图5是示出根据本发明另一示例性实施例的用于离线装置的验证在线证书的设备的配置的示图。
作为参考,图5中示出的设备500可合并到图1中示出的系统100的OCSP响应服务器130。为了便于解释,将参照图1的系统100进行描述。
设备500包括验证单元510、响应消息产生单元520、发送/接收单元530和控制单元540。验证单元510根据从在线装置120接收的OCSP请求消息验证目标在线装置的证书。响应消息产生单元520基于验证单元510的验证结果产生OCSP响应消息。发送/接收单元530将OCSP响应消息发送到在线装置。控制单元540控制上述单元。
图5中示出的设备的响应消息产生单元520产生的OCSP响应消息包括目标在线装置的证书的验证结果和离线装置100的随机数产生单元310产生的随机数。然后,响应消息产生单元520可从接收自在线装置120接收的OCSP请求消息提取随机数。
根据本发明示例性实施例的图3至图5中示出的各个部件可包括,但不限于,执行特定任务的软件或硬件部件,例如现场可编程逻辑门阵列(FPGA)或专用集成电路(ASIC)。
组件可以方便地被配置以驻留在可寻址的存储介质上,并且可被配置以在一个或多个处理器上执行。
因此,举例来说,组件可以包括:诸如软件组件、面向对象的软件组件、类组件和任务组件的组件、进程、函数、属性、过程、子程序、程序代码段、驱动程序、固件、微码、电路、数据、数据库、数据结构、表、数组和变量。
在组件和模块中提供的功能可被组合为更少的组件和模块,或者可进一步被分离成另外的组件和模块。
图6是示出根据本发明示例性实施例的用于离线装置的验证在线证书的处理的流程图。
作为参考,在图3中示出的设备300可在图1中示出的系统100的离线装置110中执行。在图4中示出的设备400可在图1中示出的系统100的在线装置120中执行。在图5中示出的设备500可在图1中示出的系统100的OCSP响应服务器130中执行。
为了便于解释,将参照图1中示出的系统100进行描述。
首先,离线装置110的随机数产生单元310产生随机数和包括产生的随机数的证书验证请求消息,该证书验证请求消息请求验证被鉴别的目标在线装置的证书(操作S601)。
在操作S601之后,离线装置110的发送/接收单元320将产生的消息发送到离线装置120(操作S602)。
在操作S602之后,在线装置120的发送/接收单元420从离线装置110接收证书验证请求消息(操作S603)。
在操作S603之后,在线装置120的消息产生单元410从发送/接收单元410接收的消息提取(离线装置110产生的)随机数,并产生包括提取的随机数的OCSP请求消息(操作S604)。
在操作S604之后,在线装置120的发送/接收单元420将产生的OCSP请求消息发送到OCSP响应服务器130(操作S605)。
在操作S605之后,OCSP响应服务器130的发送/接收单元530从在线装置120接收OCSP请求消息(操作S606)。
在操作S606之后,OCSP响应服务器130的验证单元510根据接收的OCSP请求消息验证目标在线装置的证书(操作S607)。
在操作S607之后,OCSP响应服务器130的响应消息产生单元520产生关于目标在线装置的证书的验证结果的OCSP响应消息(操作S608)。
OCSP响应消息包括离线装置110产生的随机数。然后,响应消息产生单元520可从接收自在线装置120的OCSP请求消息提取随机数。
在操作S608之后,OCSP响应服务器130的发送/接收单元530将产生的OCSP响应消息发送到在线装置120(操作S609)。
在操作S609之后,在线装置120的发送/接收单元420从OCSP响应服务器130接收OCSP响应消息并将接收的OCSP响应消息发送到离线装置110(操作S610)。
在操作S610之后,离线装置110的发送/接收单元320从在线装置120接收关于目标在线装置的OCSP响应消息(操作S611)。
在操作S611之后,离线装置110的证书验证结果确定单元330从接收的OCSP响应消息提取随机数并将提取的随机数与随机数产生单元310产生的随机数进行比较以确定接收OCSP响应消息是否可靠(操作S612)。
尽管参照本发明示例性实施例描述了本发明,对本领域的技术人员清楚的是,在不脱离本发明的范围和精神的情况下,可以进行各种修改和变化。因此,应该理解是,上述实施例不是限制性的,而是所有方面中的示例。
产业上的可利用性
根据上述用于离线装置的验证在线证书的设备和方法,可获得如下效果。
仅用于在线装置之间的鉴别的OCSP可用于离线装置。
OCSP响应服务器管理关于所有相关联的证书的证书的信息并保持最新的信息。因此,可通过不可靠在线装置安全地使用OCSP。
可解决诸如实时更新、证书撤销列表(CRL)引起的降低效率和当离线装置使用CRL时的安全漏洞的问题。因此,可提供用于低性能离线装置的有效鉴别。
即使离线装置将OCSP鉴别委托给被鉴别的在线装置,也确保了证书状态验证结果的可靠性。因此,用于产生OCSP请求消息的负载可传递给具有相对高性能的在线装置。结果,可减少低性能离线装置计算的OCSP量。
Claims (14)
1、一种用于离线装置的验证在线证书的设备,所述设备包括:
随机数产生单元,产生随机数和请求验证被鉴别的目标在线装置的证书的证书验证请求消息,其中,证书验证请求消息包括产生的随机数;
发送和接收单元,将证书验证请求发送到在线装置并从在线装置接收在线证书状态协议OCSP响应消息;
证书验证结果确定单元,从OCSP响应提取随机数并对提取的随机数与随机数产生单元产生的随机数进行比较以确定OCSP响应是否可靠。
2、如权利要求1所述的设备,其中,如果提取的随机数与产生的随机数互相一致,则证书验证结果确定单元确定接收的消息可靠。
3、一种用于离线装置的验证在线证书的设备,所述设备包括:
消息产生单元,根据从离线装置接收的请求验证被鉴别的目标在线装置的证书的证书验证请求消息产生在线证书状态协议OCSP请求消息;和
发送和接收单元,将OCSP请求消息发送到OCSP响应服务器,并从OCSP响应服务器接收响应于OCSP请求消息的OCSP响应消息。
4、如权利要求3所述的设备,其中,OCSP请求消息包括离线装置产生的随机数。
5、如权利要求3所述的设备,其中,发送和接收单元将从OSCP装置接收的OCSP响应消息发送到离线装置。
6、一种用于离线装置的验证在线证书的设备,所述设备包括:
验证单元,根据从在线装置接收的OCSP请求消息验证目标在线装置的证书;
响应消息产生单元,产生关于验证结果的OCSP响应消息;和
发送/接收单元,将产生的消息发送到在线装置。
7、如权利要求6所述的设备,其中,产生的OCSP响应消息包括离线装置产生的随机数,所述离线装置请求验证目标在线装置的证书。
8、一种用于离线装置的验证在线证书的方法,所述方法包括:
产生随机数;
产生请求验证被鉴别的目标在线装置的证书的证书验证请求消息,其中,证书验证请求消息包括产生的随机数;
将证书验证请求发送到在线装置;
接收在线装置响应于证书验证请求消息发送的在线证书状态协议OCSP响应消息;
从OCSP响应消息提取随机数;
将提取的随机数与产生的随机数进行比较;和
基于比较的结果确定OCSP响应消息是否可靠。
9、如权利要求8所述的方法,其中,确定OCSP响应消息是否可靠的步骤包括:如果比较结果表示提取的随机数与产生的随机数相互一致,则确定接收的消息可靠。
10、一种用于离线装置的验证在线证书的方法,所述方法包括:
接收请求验证被鉴别的目标在线装置的证书的证书验证请求消息,其中,证书验证请求消息包括产生的随机数;
根据证书验证请求消息产生在线证书状态协议OCSP请求消息;
将OCSP请求发送到OCSP响应服务器;和
从OCSP响应服务器接收响应于OCSP请求消息的OCSP响应消息。
11、如权利要求10所述的方法,其中,证书验证请求消息包括离线装置产生的随机数,并且OCSP请求消息包括所述随机数。
12、如权利要求9所述的方法,还包括:
将OCSP响应消息发送到离线装置。
13、一种用于离线装置的验证在线证书的方法,所述方法包括:
根据从在线装置接收的在线证书状态协议OCSP请求消息验证目标在线装置的证书;
基于验证结果产生OCSP响应消息;
将OCSP响应消息发送到在线装置。
14、如权利要求13所述的方法,其中,OCSP响应消息包括由离线装置产生并从OCSP请求消息被提取的随机数。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070051572 | 2007-05-28 | ||
KR1020070051572A KR20080104594A (ko) | 2007-05-28 | 2007-05-28 | 오프라인 장치를 위한 온라인 인증서 검증 장치 및 방법 |
PCT/KR2008/002935 WO2008147086A1 (en) | 2007-05-28 | 2008-05-26 | Apparatus and method of verifying online certificate for offline device |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101682511A true CN101682511A (zh) | 2010-03-24 |
Family
ID=40075263
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200880017548A Pending CN101682511A (zh) | 2007-05-28 | 2008-05-26 | 用于离线装置的验证在线证书的设备和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20080301793A1 (zh) |
JP (1) | JP2010528551A (zh) |
KR (1) | KR20080104594A (zh) |
CN (1) | CN101682511A (zh) |
WO (1) | WO2008147086A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107786515A (zh) * | 2016-08-29 | 2018-03-09 | 中国移动通信有限公司研究院 | 一种证书认证的方法和设备 |
CN110247884A (zh) * | 2018-11-21 | 2019-09-17 | 浙江大华技术股份有限公司 | 一种更新证书的方法、装置、系统及计算机可读存储介质 |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2345277B1 (en) * | 2008-09-02 | 2017-07-19 | Telefonaktiebolaget LM Ericsson (publ) | Verifying neighbor cell |
JP5371698B2 (ja) * | 2009-10-30 | 2013-12-18 | 株式会社エヌ・ティ・ティ・データ | 電子署名システム及び電子署名方法 |
US8566596B2 (en) * | 2010-08-24 | 2013-10-22 | Cisco Technology, Inc. | Pre-association mechanism to provide detailed description of wireless services |
KR20120039133A (ko) | 2010-10-15 | 2012-04-25 | 삼성전자주식회사 | 인증정보를 생성하고 인증정보를 증명하는 장치 및 방법 |
US9171162B2 (en) | 2011-03-29 | 2015-10-27 | Microsoft Technology Licensing, Llc | Random file request for software attestation |
US9756036B2 (en) * | 2012-06-15 | 2017-09-05 | Nokia Technologies Oy | Mechanisms for certificate revocation status verification on constrained devices |
US10977024B2 (en) * | 2018-06-15 | 2021-04-13 | Sierra Wireless, Inc. | Method and apparatus for secure software update |
CN110290141A (zh) * | 2019-06-28 | 2019-09-27 | 深圳市信锐网科技术有限公司 | 一种终端认证请求的处理方法、终端认证方法及相关组件 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1506869A (zh) * | 2002-12-06 | 2004-06-23 | 国际商业机器公司 | 配置高可用联机证书状态协议应答器的方法和装置 |
US20050138351A1 (en) * | 2003-12-23 | 2005-06-23 | Lee Sok J. | Server authentication verification method on user terminal at the time of extensible authentication protocol authentication for Internet access |
CN1794128A (zh) * | 2005-08-12 | 2006-06-28 | 华为技术有限公司 | 一种移动终端加入域和获取权限对象的方法和系统 |
US20060288224A1 (en) * | 2005-06-20 | 2006-12-21 | Sungkyunkwan University Foundation For Corporate Collaboration | System and method for detecting exposure of ocsp responder's session private key |
CN1922815A (zh) * | 2004-01-09 | 2007-02-28 | 科尔街有限公司 | 用于ocsp和分布式ocsp的签名有效实时凭证 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3327435B2 (ja) * | 1994-12-01 | 2002-09-24 | 日本電信電話株式会社 | ディジタル情報保護システム及びその方法 |
GB2366470B (en) * | 2000-08-25 | 2005-07-20 | Hewlett Packard Co | Improvements relating to document transmission techniques iv |
JP2002108209A (ja) * | 2000-09-27 | 2002-04-10 | Hitachi Ltd | 証明書有効性確認方法 |
AU2003286146A1 (en) * | 2003-10-31 | 2005-06-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and devices for the control of the usage of content |
US20050154879A1 (en) * | 2004-01-09 | 2005-07-14 | David Engberg | Batch OCSP and batch distributed OCSP |
KR100739176B1 (ko) * | 2004-11-09 | 2007-07-13 | 엘지전자 주식회사 | 디지털 컨텐츠 보호 시스템 및 방법 |
JP2006154125A (ja) * | 2004-11-26 | 2006-06-15 | Ntt Docomo Inc | ローカル認証システム、ローカル認証装置、ローカル認証方法 |
US7836306B2 (en) * | 2005-06-29 | 2010-11-16 | Microsoft Corporation | Establishing secure mutual trust using an insecure password |
US20070061886A1 (en) * | 2005-09-09 | 2007-03-15 | Nokia Corporation | Digital rights management |
KR101269698B1 (ko) * | 2006-05-05 | 2013-05-31 | 인터디지탈 테크날러지 코포레이션 | 트러스티드 프로세싱 기술을 사용하는 디지탈 권리 관리 |
CN100495963C (zh) * | 2006-09-23 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种公钥证书状态的获取及验证方法 |
US20080263117A1 (en) * | 2007-04-23 | 2008-10-23 | Gregory Gordon Rose | Initial seed management for pseudorandom number generator |
-
2007
- 2007-05-28 KR KR1020070051572A patent/KR20080104594A/ko active Search and Examination
-
2008
- 2008-03-10 US US12/045,229 patent/US20080301793A1/en not_active Abandoned
- 2008-05-26 WO PCT/KR2008/002935 patent/WO2008147086A1/en active Application Filing
- 2008-05-26 CN CN200880017548A patent/CN101682511A/zh active Pending
- 2008-05-26 JP JP2010510206A patent/JP2010528551A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1506869A (zh) * | 2002-12-06 | 2004-06-23 | 国际商业机器公司 | 配置高可用联机证书状态协议应答器的方法和装置 |
US20050138351A1 (en) * | 2003-12-23 | 2005-06-23 | Lee Sok J. | Server authentication verification method on user terminal at the time of extensible authentication protocol authentication for Internet access |
CN1922815A (zh) * | 2004-01-09 | 2007-02-28 | 科尔街有限公司 | 用于ocsp和分布式ocsp的签名有效实时凭证 |
US20060288224A1 (en) * | 2005-06-20 | 2006-12-21 | Sungkyunkwan University Foundation For Corporate Collaboration | System and method for detecting exposure of ocsp responder's session private key |
CN1794128A (zh) * | 2005-08-12 | 2006-06-28 | 华为技术有限公司 | 一种移动终端加入域和获取权限对象的方法和系统 |
Non-Patent Citations (1)
Title |
---|
CORESTREET LTD.: "Nonce Sense Freshness and Security in OCSP Responses", 《WHITEPAPER OF CORESTREET LTD. 2003-2004》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107786515A (zh) * | 2016-08-29 | 2018-03-09 | 中国移动通信有限公司研究院 | 一种证书认证的方法和设备 |
CN107786515B (zh) * | 2016-08-29 | 2020-04-21 | 中国移动通信有限公司研究院 | 一种证书认证的方法和设备 |
CN110247884A (zh) * | 2018-11-21 | 2019-09-17 | 浙江大华技术股份有限公司 | 一种更新证书的方法、装置、系统及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP2010528551A (ja) | 2010-08-19 |
WO2008147086A1 (en) | 2008-12-04 |
US20080301793A1 (en) | 2008-12-04 |
KR20080104594A (ko) | 2008-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101682511A (zh) | 用于离线装置的验证在线证书的设备和方法 | |
KR102325738B1 (ko) | 인증 방법 및 블록체인 기반의 인증 데이터 처리 방법 및 디바이스 | |
TWI707244B (zh) | 區塊鏈跨鏈的認證方法、系統、伺服器及可讀儲存媒體 | |
CN111769958B (zh) | 区块链跨链处理方法、装置、设备和存储介质 | |
US20190199535A1 (en) | Secure processing of an authorization verification request | |
CN104618116B (zh) | 一种协同数字签名系统及其方法 | |
CN105790938B (zh) | 基于可信执行环境的安全单元密钥生成系统及方法 | |
US10547441B2 (en) | Method and apparatus for restoring access to digital assets | |
CN110247884B (zh) | 一种更新证书的方法、装置、系统及计算机可读存储介质 | |
CN103685311A (zh) | 一种登录验证方法及设备 | |
CN107851143A (zh) | 用于在设备上使用客户设备证书的装置和方法 | |
CN109474927A (zh) | 信息交互方法、归属网络、用户终端以及信息交互系统 | |
US20210241270A1 (en) | System and method of blockchain transaction verification | |
JPWO2015181925A1 (ja) | 機器制御システム、機器制御装置、機器制御方法及びプログラム | |
CA2888612A1 (en) | Transaction system and method, electronic signature tool, and network bank server authentication method | |
CN114139176A (zh) | 一种基于国密的工业互联网核心数据的保护方法及系统 | |
KR101206854B1 (ko) | 고유식별자 기반 인증시스템 및 방법 | |
JP2006155547A (ja) | 本人認証システム、端末装置、およびサーバ | |
CN109726578A (zh) | 一种新型动态二维码防伪解决办法 | |
CN111371796B (zh) | 数据传输系统、数据传输方法、介质及电子设备 | |
CN114363094B (zh) | 一种数据分享方法、装置、设备及存储介质 | |
WO2016078458A1 (zh) | 一种设备运维的方法、设备和系统 | |
US9820147B2 (en) | Authentification method for a communication network | |
JP6988525B2 (ja) | 登録システムおよび登録方法 | |
US20230048174A1 (en) | Digital signature system using reliable servers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100324 |