CN102405616A - 用于产生包含证书和密钥的产品的方法 - Google Patents
用于产生包含证书和密钥的产品的方法 Download PDFInfo
- Publication number
- CN102405616A CN102405616A CN2010800172440A CN201080017244A CN102405616A CN 102405616 A CN102405616 A CN 102405616A CN 2010800172440 A CN2010800172440 A CN 2010800172440A CN 201080017244 A CN201080017244 A CN 201080017244A CN 102405616 A CN102405616 A CN 102405616A
- Authority
- CN
- China
- Prior art keywords
- entity
- request
- certificate
- product
- certificates
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
在此所述的实施例提供了用于产生具有证书和密钥的产品的方法。在一个实施例中,请求实体向产生证书和相应的密钥的证明实体发送对于多个证书和相应的密钥的请求。该请求优选地包括由证明实体使用来验证请求实体的身份的信息而不是用于验证各个产品的唯一产品标识符的信息。然后请求实体从证明实体优选地以多个有组织的集合而不是单个证书系列接收多个证书和相应的密钥。然后,请求实体将证书和想要的密钥存储在各个产品中。然后,每个存储的证书可用于其被存储在的各个产品的标识和认证两者。
Description
背景技术
作为公钥基础设施(Public Key Infrastructure,PKI)的部分的产品存储用于认证产品的证书以及相应的公钥和私钥。在产品中存储证书和相应密钥的一种方法中,产品产生公钥和私钥的密钥对以及证书请求,该证书请求包括产品的标识数据以及所产生的公钥。然后该产品用产生的私钥对该证书请求进行签名并将签名了的证书请求发送到产品代理(Product Proxy)(例如主机计算机),该产品代理联系登记授权机构(Registration Authority)。该登记授权机构验证产品的标识数据和密钥对,然后联系证书授权机构(CertificateAuthority)颁发证书。该证书授权机构产生证书,用其自己的私钥对证书签名,然后将证书发回到登记授权机构,该登记授权机构经由产品代理将该证书返回到产品。尽管当要向单独的硬件产品(例如单个服务器)颁发证书时此处理很好地运作,但是当要在制造过程中在大量产品中存储证书时,由于每个产品需要相当长的时间来产生其自己的密钥对以及需要相当长的时间来在四方(产品、产品代理、登记授权机构和证书授权机构)之间传送,此处理可能是太长时间并且低效率的。
发明内容
在此给出的概念可以在各种实施例中实现,并且此发明内容包括多个示例实施例。
通过介绍,以下所述的实施例提供了用于产生具有证书和密钥的产品的方法。在一个实施例中,请求实体向产生证书和相应的密钥的证明实体发送对于多个证书和相应的密钥的请求。该请求优选包括由证明实体使用来验证请求实体的身份的信息而不是用于验证各个产品的唯一产品标识符的信息。然后请求实体优选地以多个有组织的集合而不是单个证书系列从证明实体接收多个证书和相应的密钥。然后请求实体将证书和相应的密钥存储在各个产品中。然后,每个存储的证书可用于其被存储在的各个产品的标识和认证。
在此所述的每个实施例可以单独使用或彼此组合使用。现在将参考附图描述各个实施例。
附图说明
图1是用于产生具有证书和密钥的产品的实施例的系统的例示。
图2是用于产生具有证书和密钥的产品的实施例的方法的流程图。
图3是一个实施例的示例的请求形式的例示。
图4是用于发送证书和相应的密钥的实施例的示例格式的例示。
具体实施方式
现在转向附图,图1是用于产生具有证书和密钥的产品110A、110B、......110N的实施例的系统100的例示。通常,请求实体120向证明实体(certifyingentiry)130发送对于证书和相应的密钥的请求,证明实体130产生并为请求实体120提供所请求的证书和相应的密钥,并且请求实体120将该证书和相应的密钥存储在各个产品110A、110B、......110N中,由此将产品110A、110B、......110N从不存储证书和相应的密钥的产品转换为存储证书和相应的密钥的产品。一旦被存储在产品中,证书和相应的密钥就不仅可以用于(例如向将内容提供给产品的内容服务器)认证该产品,而且可以用于标识该产品。
如在此使用的,“请求实体”指请求证书和相应的密钥的实体,并且通常是产品制造者(例如存储卡制造者)。同样如在此使用的,“证明实体”指验证请求实体的身份并产生所请求的证书和相应的密钥的实体。如从以下讨论将清楚的,请求实体120和验证实体130可以以任何适当的形式直接或间接地彼此通信。“产品”也可以取任何适当的形式,并且通常包含存储器单元和用于与另一设备通信的接口。“产品”的例子包括但不限于可移除大容量存储设备(比如非易失性、固态(例如快闪)存储卡)、固态盘(SSD)、智能卡、光或磁存储器设备、游戏控制台、数字视频记录机、机顶盒、移动电话、ATM机、线缆调制解调器、个人数字助理(PDA)、电子邮件/文本消息设备、数字媒体播放器、个人计算机和GPS导航设备。
返回附图,图2是用于使用图1的系统100产生具有证书和密钥的产品的实施例的方法的流程图200。首先,请求实体120向证明实体130发送对于多个证书和相应的密钥的请求,证明实体130产生证书和相应的密钥(动作210)。可以按任何适当的形式发送请求。例如,可以电子地经由通信信道(例如因特网)将请求发送到证明实体130,可以将请求存储在便携存储设备(例如DVD)上,该便携存储设备然后被邮寄到证明实体130,可以以纸张形式将请求邮寄或传真到验证实体130,或者可以将请求口头地(例如经过电话)传达给证明实体130。出于安全原因,优选地,请求实体120用先前从证明实体130接收的私钥对该请求签名。为了增加安全性,该请求在传送到证明实体130之前可以被加密,如以下将更详细讨论的。
该请求本身可以包含任何期望的信息。图3是一个实施例的示例的请求形式300的例示。如图3所示,此形式300中的字段包括请求实体的名称(310)、请求实体的联系人(320)和电子邮件地址和电话号码(330)、该请求的日期(340)、应该发送证书和密钥的日期(350)、所请求的证书的总数(360)、产品证明权限主题证书名称(370)、制造者证明权限主题证书名称(380)以及其他请求/注释(390)。在一个实施例中,形式300被置于PDF文件中并用私钥签名。同样,该请求优选地包括用于由证明实体130是用来验证请求实体120的身份的信息(例如,通过先前由证明实体130提供给请求实体120的私钥对请求的签名)而不是用于验证各个产品的唯一产品标识符(例如媒体存取控制(MAC)地址)的信息。
回去参考图2,请求实体120从证明实体130接收多个证书和相应的密钥(动作220)。如像以上所述的请求传送动作那样,多个证书和相应的密钥可以以任何适当的方式由请求实体120接收。例如,证书和密钥可以经由通信信道(例如作为压缩文件,通过因特网)电子地发送到请求实体120,或者可以被存储在便携存储设备(例如DVD)上并被邮寄到请求实体120。图4是用于将证书从证明实体130传送到请求实体120的示例格式400的例示。如图4所示,此格式400中的字段包括内容信息文件(410)(例如版本号、唯一标识符、创建日期和时间、证书的数量以及注释)、根(root)证书(420)、由产品使用来证实其由具体制造者制造的证书(430)、由产品使用来证实其属于具体生产线的证书(440)以及包含各证书的子目录(450)。出于安全性原因,证明实体130可以用其私钥对该传送进行签名。为了增加安全性,该传送可以被加密,如以下将描述的。尽管可以单独地或者在多个批次中从证明实体130接收多个证书和相应的密钥,但是在一个实施例中,可在单个批次中从证明实体130接收多个证书和相应的密钥,这可以例如在DVD上烧制(burn)或递送,或者使用任何以上所述的其他格式来递送。一旦被接收,请求实体120就从该批次提取多个证书和相应的密钥。
然后,请求实体120使用证明实体的证书来到来的验证证书和密钥的包,并将各个证书和相应的密钥存储在各自的产品110A、110B、......110N中(动作230)。然后,每个证书可用于其被存储在的各个产品110A、110B、......110N的标识和验证两者。为了将证书和密钥安全地存储在产品110A、110B、......110N中,可以优选地使用与用于加密证书和密钥来传输到请求实体120的密钥——如果使用了这样的加密的话——不同的密钥来加密这些证书和密钥。请求实体120可以使用一个或多个计算设备(例如通用计算机)将各个证书和相应的密钥存储在各自的产品110A、110B、......110N中。此外,取决于是否在传送和/或接收动作中使用计算设备,传送和接收动作(动作210、220)之一或两者可以使用相同或不同的计算设备。例如,存储了证书和密钥的相同或不同的计算设备还可以用于准备该请求(例如烧制包含该请求的DVD、通过因特网将该请求电子地邮寄到证明实体130等)和/或接收证书和密钥(例如通过经由网页浏览器从证明实体130下载证书和密钥)。
存在与这些实施例相关的几个优点。首先,因为在制造产品110A、110B、......110N之前请求并接收证书(即“离线地”请求并接收证书),因此在制造过程期间不浪费时间来等待证书到达。此外,不像在背景技术部分所述的处理那样,产品110A、110B、......110N本身不产生公钥和私钥对。而是,证明实体130产生那些对,并将它们与相应的证书一起发送到请求实体110。以此方式,在制造过程期间不浪费时间来等待产品110A、110B、......110N产生密钥对。
此外,因为这些实施例中的请求实体120是产品的制造者而不是产品110A、110B、......110N本身,因此证明实体130工作在每个制造者级(per-manufacturer level),而不是每个产品级。结果,证明实体130仅需要验证请求实体120的身份,不需要验证每个产品110A、110B、......110N。与验证每个产品的唯一产品标识符(例如验证线缆调制解调器的媒体存取控制(MAC)地址)相比,这样的验证可以相对容易且快速地进行(例如通过验证请求曾被先前由证明实体130提供给请求实体120的私钥签名过,通过联系请求实体120处的向证明实体130发送DVD定购表的人,等等)。因为可以直接地且容易地进行对请求实体120的验证,所以这些实施例允许该处理绕过登记授权机构,由此节省将需要花费来与登记授权机构通信的时间。
应该注意,在这些实施例中,每个证书可用于其所存储在的各个产品的标识和验证两者。该证书可以通过证书的主题名称来标识其各自的产品。尽管对于主题名称可以使用任何适当的命名惯例,但是在一个实施例中,该命名惯例使用以下字段的一个或多个:指示证书何时颁发的时间戳、颁发的序列号以及所生产的产品的名称。例如,命名惯例可以是:“<产品名>MMDDYYYYXXXXXXXX”,其中<产品名>是生产线的名称(不是单独产品的名称),MM是证书颁发的月份,DD是证书颁发的该月份中的天,YYYY是证书颁发的年份,XXXXXXXX是颁发的序列号。如从此示例标识符可以看出,证书不限定为各个产品的唯一标识符或由其标识。这与在背景技术中描述的方法相反,在该方法中基于唯一产品标识符(例如线缆调制解调器的媒体存取控制(MAC)地址)的列表来颁发证书。此外,这些实施例不依赖于各个产品的唯一标识符,这在产品初始是无名的并且不具有唯一标识符时尤为有益(例如可移除存储卡相对于线缆调制解调器)。不像在存储证书前具有唯一性的线缆调制解调器,可移除存储卡和其他无名的产品在证书被存储在其中时获得唯一性。这样,除了被用于验证之外,在这些实施例中,存储的证书用于提供先前无名的产品的标识。因此,不像在背景技术部分中描述的使用证书来验证产品的身份的方法,这些实施例中的证书用于标识产品本身。
存在可以随这些实施例一起使用的许多替换。例如,对于有效的证书访问,从证明实体130接收的多个证书可以被呈现为多个有组织的集合而不是单个证书序列(例如在多个目录的不同证书中或者在分级目录树中而不是单个线性文件或列表中)。将多个证书组织成集合使得对给定证书的访问比证书被包含在单个列表或文件中的情况更容易。作为简单的例子,大量证书可以被存储在多个目录中,其中每个目录包含1024个证书并且用在该目录中保持的证书来命名(例如1-1024,1025-2048等等)。为了寻找给定证书,请求实体120处的计算设备将寻找存储该证书的目录然后搜遍该目录来找到该证书。因为每个目录存在相对少的证书,因此在目录中寻找证书花费相对短的时间量。相反,如果所有证书都存储在单个目录中,则在成千上万的证书中找到给定的证书的时间将明显更长。当然,这仅仅是一个例子,也可以使用是他技术。例如,取代将证书放置在不同的目录中,这些证书可以按其他方式分段或分区。
作为另一替换,为了增加安全性,在此处理中可以使用各种加密技术。例如,为了在从请求实体120到证明实体130的传送期间保护该请求,可以在传送之前使用先前从证明实体130接收的密钥(例如“请求加密密钥(REK)”)来加密该请求。作为另一例子,为了在从证明实体130到请求实体120的传送期间保护证书和密钥,请求实体120可以将产品加密密钥(PEK)发送到证明实体130来用各自的PEK加密多个密钥和相应证书的每个。以此方式,多个密钥和相应的证书将以加密的形式被请求实体120接收,并且请求实体120将使用PEK来解密多个密钥和相应证书的每个。因为这样的解密将暴露多个证书和密钥,因此请求实体随后可以使用不同的密钥重新加密该多个证书和密钥。作为另一例子,请求实体120可以将加密密钥(例如“制造者加密密钥(MEK)”)传送到证明实体130,使得证明实体120可以加密一批次的证书和密钥。在从证明实体130接收到该批次之后,接收实体120将用MEK解密该批次。PEK和MEK两者都可以用于提供双重加密。此外,在一个实施例中,在请求实体120请求证书和密钥之前,请求实体120经历与证明实体130的一次设置处理。在此处理期间,请求实体120为证明实体130提供REK和MEK。以此方式,REK和MEK交换仅需发生一次,而不是每次请求实体120需要证书和密钥时都要发生。
意图以上详细描述被理解为是对各实施例可以采取的所选形式的例示,并且不意图限制随后的权利要求。此外,以下权利要求的一些可能陈述一组件可操作以进行某一功能或者被配置用于某一任务。应该注意,这些不是限定性的限制。还应该注意,在权利要求中阐述的动作可以按任何顺序进行——不是一定要按它们被阐述的顺序。另外,在此所述的任意优选实施例的任意方面可以单独使用或者彼此组合使用。
Claims (34)
1.一种产生具有证书和密钥的产品的方法,该方法包括:
由请求实体传送对于多个证书和相应密钥的请求,该请求被传送到产生证书和相应密钥的证明实体;
由该请求实体从该证明实体接收多个证书和相应密钥;以及
由该请求实体将所述证书和相应密钥存储在请求实体的各个产品中;
其中该请求包括用于由证明实体使用来验证请求实体的身份的信息而不是用于验证各个产品的唯一产品标识符的信息;以及
其中每个证书可用于其所存储在的相应产品的标识和认证两者。
2.根据权利要求1的方法,还包括:
由请求实体向证明实体传送用于由证明实体使用来加密多个密钥和相应证书的每个的产品加密密钥;
其中由请求实体接收的多个密钥和相应证书是加密的形式;以及
其中该存储还包括初始地使用产品加密密钥来解密以加密的形式接收的多个密钥和相应证书的每个。
3.根据权利要求2的方法,其中所述解密暴露了多个密钥和证书,以及其中所述存储还包括随后在存储了多个密钥和相应证书的请求实体的各个产品处重新加密该多个密钥和相应证书。
4.根据权利要求1的方法,其中每个证书由以下的一个或多个来标识:指示何时颁发证书的时间戳、颁发的序列号以及生产的产品的名称。
5.根据权利要求1的方法,其中用于验证请求实体的身份的信息包括通过先前由证明实体提供给请求实体的私钥对该请求的签名。
6.根据权利要求1的方法,其中各个产品的唯一产品标识符包括产品的媒体存取控制地址。
7.根据权利要求1的方法,其中该请求经由DVD或者通信信道传送到证明实体。
8.根据权利要求7的方法,其中通信信道包括因特网连接。
9.根据权利要求1的方法,其中在单个批次中从证明实体接收多个证书和相应密钥,以及其中该方法还包括从该批次提取多个证书和相应密钥。
10.根据权利要求9的方法,其中该批次在DVD上烧制且递送。
11.根据权利要求9的方法,还包括:
将加密密钥传送到证明实体,该证明实体利用该加密密钥加密该批次;以及
在从证明实体接收到该批次之后,利用该加密密钥解密该批次。
12.根据权利要求1的方法,其中请求实体的产品包括可移除大容量存储器件。
13.根据权利要求1的方法,还包括加密该请求。
14.根据权利要求1的方法,其中以多个有组织的集合而不是以单个证书系列来从证明实体接收多个证书。
15.根据权利要求14的方法,其中在多个目录的不同目录中从证明实体接收多个证书。
16.根据权利要求14的方法,其中以分级目录树而不是单个线性文件来组织多个证书。
17.根据权利要求1的方法,其中由至少一个计算设备进行所述存储。
18.一种产生具有证书和密钥的产品的方法,该方法包括:
由请求实体传送对于多个证书和相应密钥的请求,该请求被传送到产生证书和相应密钥的证明实体;
由该请求实体从该证明实体接收多个证书和相应密钥;以及
由该请求实体将所述证书和相应密钥存储在请求实体的各个产品中;
其中以多个有组织的集合而不是单个证书系列从证明实体接收多个证书;以及
其中每个证书可用于其所存储在的相应产品的标识和认证两者。
19.根据权利要求18的方法,还包括:
由请求实体向证明实体传送用于由证明实体使用来加密多个密钥和相应证书的每个的产品加密密钥;
其中由请求实体接收的多个密钥和相应证书是加密的形式;以及
其中该存储还包括初始地使用产品加密密钥来解密以加密的形式接收的多个密钥和相应证书的每个。
20.根据权利要求19的方法,其中所述解密暴露了多个密钥和证书,以及其中所述存储还包括随后在存储了多个密钥和相应证书的请求实体的各个产品处重新加密该多个密钥和相应证书。
21.根据权利要求18的方法,其中每个证书由以下的一个或多个来标识:指示何时颁发证书的时间戳、颁发的序列号以及生产的产品的名称。
22.根据权利要求18的方法,其中用于验证请求实体的身份的信息包括通过先前由证明实体提供给请求实体的私钥对请求的签名。
23.根据权利要求18的方法,其中该请求包括用于由证明实体使用来验证请求实体的身份的信息而不是用于验证各个产品的唯一产品标识符的信息。
24.根据权利要求23的方法,其中各个产品的唯一产品标识符包括产品的媒体存取控制地址。
25.根据权利要求18的方法,其中该请求经由DVD或者通信信道传送到证明实体。
26.根据权利要求25的方法,其中通信信道包括因特网连接。
27.根据权利要求18的方法,其中在单个批次中从证明实体接收多个证书和相应密钥,以及其中该方法还包括从该批次提取多个证书和相应密钥。
28.根据权利要求27的方法,其中该批次在DVD上烧制和递送。
29.根据权利要求27的方法,还包括:
将加密密钥传送到证明实体,该证明实体利用该加密密钥加密该批次;以及
在从证明实体接收到该批次之后,利用该加密密钥解密该批次。
30.根据权利要求18的方法,其中请求实体的产品包括可移除大容量存储器件。
31.根据权利要求18的方法,还包括加密该请求。
32.根据权利要求18的方法,其中在多个目录的不同目录中从证明实体接收多个证书。
33.根据权利要求18的方法,其中以分级目录树而不是单个线性文件来组织多个证书。
34.根据权利要求18的方法,其中由至少一个计算设备进行所述存储。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/408,308 US20100241852A1 (en) | 2009-03-20 | 2009-03-20 | Methods for Producing Products with Certificates and Keys |
| US12/408,308 | 2009-03-20 | ||
| PCT/US2010/024217 WO2010107538A1 (en) | 2009-03-20 | 2010-02-15 | Methods for producing products which contain certificates and keys |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102405616A true CN102405616A (zh) | 2012-04-04 |
Family
ID=42102419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010800172440A Pending CN102405616A (zh) | 2009-03-20 | 2010-02-15 | 用于产生包含证书和密钥的产品的方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20100241852A1 (zh) |
| EP (1) | EP2409454A1 (zh) |
| JP (1) | JP2012521155A (zh) |
| KR (1) | KR20110140122A (zh) |
| CN (1) | CN102405616A (zh) |
| TW (1) | TW201041352A (zh) |
| WO (1) | WO2010107538A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013062522A1 (en) * | 2011-10-25 | 2013-05-02 | Hewlett-Packard Development Company, L.P. | Device authentication |
| JP2015534343A (ja) * | 2012-09-18 | 2015-11-26 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 遠隔計算リソースにより分析される臨床データへのアクセス制御 |
| JP2013118616A (ja) * | 2012-09-24 | 2013-06-13 | Toshiba Corp | メモリ装置 |
| US9893885B1 (en) | 2015-03-13 | 2018-02-13 | Amazon Technologies, Inc. | Updating cryptographic key pair |
| US9674162B1 (en) | 2015-03-13 | 2017-06-06 | Amazon Technologies, Inc. | Updating encrypted cryptographic key pair |
| US10003467B1 (en) | 2015-03-30 | 2018-06-19 | Amazon Technologies, Inc. | Controlling digital certificate use |
| US9479340B1 (en) | 2015-03-30 | 2016-10-25 | Amazon Technologies, Inc. | Controlling use of encryption keys |
| CN117196655A (zh) | 2016-08-03 | 2023-12-08 | 惠普发展公司,有限责任合伙企业 | 数字签名数据 |
| US9660978B1 (en) | 2016-08-08 | 2017-05-23 | ISARA Corporation | Using a digital certificate with multiple cryptosystems |
| CN108156126B (zh) * | 2016-12-02 | 2020-12-08 | 阿里巴巴集团控股有限公司 | 物联网设备的烧录校验方法及装置、身份认证方法及装置 |
| KR102437730B1 (ko) * | 2016-12-07 | 2022-08-26 | 한국전자통신연구원 | 자원 제약적 환경에서 기기들 간 인증 지원 장치 및 그 방법 |
| US11025408B2 (en) * | 2017-09-27 | 2021-06-01 | Cable Television Laboratories, Inc. | Provisioning systems and methods |
| US10439825B1 (en) * | 2018-11-13 | 2019-10-08 | INTEGRITY Security Services, Inc. | Providing quality of service for certificate management systems |
| WO2022180877A1 (ja) * | 2021-02-24 | 2022-09-01 | パナソニックIpマネジメント株式会社 | 情報処理システム、機器、およびサーバ |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003079167A1 (en) * | 2002-03-18 | 2003-09-25 | Telenor Asa | Single sign-on secure service access |
| CN1773492A (zh) * | 2004-11-09 | 2006-05-17 | 国际商业机器公司 | 组织多个文档的方法以及显示多个文档的设备 |
| US20060179298A1 (en) * | 2000-04-12 | 2006-08-10 | Microsoft Corporation | VPN Enrollment Protocol Gateway |
| CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
| CN101009014A (zh) * | 2007-01-24 | 2007-08-01 | 华中科技大学 | 一种安全防伪方法及其系统 |
| EP1442557B1 (fr) * | 2001-10-03 | 2007-08-15 | Gemplus | Systeme et procede pour creer un reseau securise en utilisant des justificatifs d'identite de lots de dispositifs |
Family Cites Families (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6850252B1 (en) * | 1999-10-05 | 2005-02-01 | Steven M. Hoffberg | Intelligent electronic appliance system and method |
| SE502424C2 (sv) * | 1994-02-17 | 1995-10-16 | Telia Ab | Metod och anordning vid certifikathanteringssystem |
| US7337315B2 (en) * | 1995-10-02 | 2008-02-26 | Corestreet, Ltd. | Efficient certificate revocation |
| CA2235359C (en) * | 1998-03-23 | 2012-04-10 | Certicom Corp. | Implicit certificate scheme with ca chaining |
| JP2000165377A (ja) * | 1998-11-30 | 2000-06-16 | Nippon Telegr & Teleph Corp <Ntt> | 暗号プロトコル変換装置および方法と暗号プロトコル変換プログラムを記録した記録媒体 |
| US7209889B1 (en) * | 1998-12-24 | 2007-04-24 | Henry Whitfield | Secure system for the issuance, acquisition, and redemption of certificates in a transaction network |
| JP2001111539A (ja) * | 1999-10-05 | 2001-04-20 | Dainippon Printing Co Ltd | 暗号鍵生成装置および暗号鍵伝送方法 |
| US6763459B1 (en) * | 2000-01-14 | 2004-07-13 | Hewlett-Packard Company, L.P. | Lightweight public key infrastructure employing disposable certificates |
| FR2810139B1 (fr) * | 2000-06-08 | 2002-08-23 | Bull Cp8 | Procede de securisation de la phase de pre-initialisation d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede |
| US7215771B1 (en) * | 2000-06-30 | 2007-05-08 | Western Digital Ventures, Inc. | Secure disk drive comprising a secure drive key and a drive ID for implementing secure communication over a public network |
| JP2002099211A (ja) * | 2000-09-21 | 2002-04-05 | Sony Corp | 公開鍵証明書発行要求処理システムおよび公開鍵証明書発行要求処理方法 |
| US20020078347A1 (en) * | 2000-12-20 | 2002-06-20 | International Business Machines Corporation | Method and system for using with confidence certificates issued from certificate authorities |
| JP2002207426A (ja) * | 2001-01-10 | 2002-07-26 | Sony Corp | 公開鍵証明書発行システム、公開鍵証明書発行方法、および電子認証装置、並びにプログラム記憶媒体 |
| JP2002207427A (ja) * | 2001-01-10 | 2002-07-26 | Sony Corp | 公開鍵証明書発行システム、公開鍵証明書発行方法、および情報処理装置、情報記録媒体、並びにプログラム記憶媒体 |
| WO2002063847A2 (en) * | 2001-02-06 | 2002-08-15 | Certicom Corp. | Mobile certificate distribution in a public key infrastructure |
| GB2373074B (en) * | 2001-03-10 | 2004-10-13 | Ibm | A method and apparatus for storage of security keys and certificates |
| JP2002298088A (ja) * | 2001-03-30 | 2002-10-11 | Baltimore Technologies Japan Co Ltd | スマートカード発行システム及び方法 |
| US20020147905A1 (en) * | 2001-04-05 | 2002-10-10 | Sun Microsystems, Inc. | System and method for shortening certificate chains |
| US7036020B2 (en) * | 2001-07-25 | 2006-04-25 | Antique Books, Inc | Methods and systems for promoting security in a computer system employing attached storage devices |
| US7742992B2 (en) * | 2002-02-05 | 2010-06-22 | Pace Anti-Piracy | Delivery of a secure software license for a software product and a toolset for creating the software product |
| GB2385955A (en) * | 2002-02-28 | 2003-09-03 | Ibm | Key certification using certificate chains |
| US7240194B2 (en) * | 2002-03-22 | 2007-07-03 | Microsoft Corporation | Systems and methods for distributing trusted certification authorities |
| MXPA04011062A (es) * | 2002-05-09 | 2005-02-14 | Matsushita Electric Ind Co Ltd | Aparato de generacion de lista de revocacion de certificado de clave publica, aparato de juicio de renovacion y sistema de autenticacion. |
| CN1679271A (zh) * | 2002-08-28 | 2005-10-05 | 美国多科摩通讯研究所股份有限公司 | 基于认证的加密和公共密钥基础结构 |
| US6886096B2 (en) * | 2002-11-14 | 2005-04-26 | Voltage Security, Inc. | Identity-based encryption system |
| US7318155B2 (en) * | 2002-12-06 | 2008-01-08 | International Business Machines Corporation | Method and system for configuring highly available online certificate status protocol responders |
| AU2003900413A0 (en) * | 2003-01-31 | 2003-02-13 | Mckeon, Brian Bernard | Regulated issuance of digital certificates |
| US8219801B2 (en) * | 2003-03-10 | 2012-07-10 | International Business Machines Corporation | Method of authenticating digitally encoded products without private key sharing |
| US20050160259A1 (en) * | 2003-03-31 | 2005-07-21 | Masaaki Ogura | Digital certificate management system, apparatus and software program |
| JP4526809B2 (ja) * | 2003-03-31 | 2010-08-18 | 株式会社リコー | 通信装置の製造方法及び製造システム |
| JP2005175992A (ja) * | 2003-12-12 | 2005-06-30 | Mitsubishi Electric Corp | 証明書配布システムおよび証明書配布方法 |
| JP4576210B2 (ja) * | 2003-12-16 | 2010-11-04 | 株式会社リコー | 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体 |
| US9331990B2 (en) * | 2003-12-22 | 2016-05-03 | Assa Abloy Ab | Trusted and unsupervised digital certificate generation using a security token |
| AU2004201058B1 (en) * | 2004-03-15 | 2004-09-09 | Lockstep Consulting Pty Ltd | Means and method of issuing Anonymous Public Key Certificates for indexing electronic record systems |
| US7853790B2 (en) * | 2004-03-19 | 2010-12-14 | Microsoft Corporation | Enhancement to volume license keys |
| US7437551B2 (en) * | 2004-04-02 | 2008-10-14 | Microsoft Corporation | Public key infrastructure scalability certificate revocation status validation |
| KR20070037581A (ko) * | 2004-06-25 | 2007-04-05 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | 익명성 증명서 쇼를 구비하는 익명성 증명서 |
| JP2006067135A (ja) * | 2004-08-25 | 2006-03-09 | Fuji Xerox Co Ltd | 電子証明書利用装置及び方法並びにシステム |
| US20060047951A1 (en) * | 2004-08-27 | 2006-03-02 | Michael Reilly | Continuing public key infrastructure operation while regenerating a new certification authority keypair and certificate |
| US8504849B2 (en) * | 2004-12-21 | 2013-08-06 | Sandisk Technologies Inc. | Method for versatile content control |
| US7509489B2 (en) * | 2005-03-11 | 2009-03-24 | Microsoft Corporation | Format-agnostic system and method for issuing certificates |
| US7770001B2 (en) * | 2005-03-30 | 2010-08-03 | Microsoft Corporation | Process and method to distribute software product keys electronically to manufacturing entities |
| US7493656B2 (en) * | 2005-06-02 | 2009-02-17 | Seagate Technology Llc | Drive security session manager |
| US7844816B2 (en) * | 2005-06-08 | 2010-11-30 | International Business Machines Corporation | Relying party trust anchor based public key technology framework |
| CN1937496A (zh) * | 2005-09-21 | 2007-03-28 | 日电(中国)有限公司 | 可延展伪名证书系统和方法 |
| KR100736091B1 (ko) * | 2005-12-09 | 2007-07-06 | 삼성전자주식회사 | 복수의 인증서를 관리하는 장치 및 방법 |
| US20080005562A1 (en) * | 2005-12-13 | 2008-01-03 | Microsoft Corporation | Public key infrastructure certificate entrustment |
| US8140843B2 (en) * | 2006-07-07 | 2012-03-20 | Sandisk Technologies Inc. | Content control method using certificate chains |
| JP2009543208A (ja) * | 2006-07-07 | 2009-12-03 | サンディスク コーポレイション | 証明書連鎖を使用するコンテンツ管理システムおよび方法 |
| US8527770B2 (en) * | 2006-07-20 | 2013-09-03 | Research In Motion Limited | System and method for provisioning device certificates |
| JP2008236341A (ja) * | 2007-03-20 | 2008-10-02 | Global Sign Kk | サーバ証明書発行システム |
| US8261080B2 (en) * | 2007-04-12 | 2012-09-04 | Xerox Corporation | System and method for managing digital certificates on a remote device |
| SE532600C2 (sv) * | 2007-06-29 | 2010-03-02 | Oniteo Ab | Metod och system för säker provisionering av hårdvara |
| KR20090030878A (ko) * | 2007-09-21 | 2009-03-25 | 엘지전자 주식회사 | 인증 상태 정보 처리 방법 및 방송 수신 장치 |
| US8380981B2 (en) * | 2008-05-16 | 2013-02-19 | Objective Interface Systems, Inc. | System and method that uses cryptographic certificates to define groups of entities |
-
2009
- 2009-03-20 US US12/408,308 patent/US20100241852A1/en not_active Abandoned
-
2010
- 2010-02-15 KR KR1020117021969A patent/KR20110140122A/ko not_active Application Discontinuation
- 2010-02-15 EP EP10708014A patent/EP2409454A1/en not_active Withdrawn
- 2010-02-15 CN CN2010800172440A patent/CN102405616A/zh active Pending
- 2010-02-15 JP JP2012500807A patent/JP2012521155A/ja active Pending
- 2010-02-15 WO PCT/US2010/024217 patent/WO2010107538A1/en active Application Filing
- 2010-03-10 TW TW099106995A patent/TW201041352A/zh unknown
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060179298A1 (en) * | 2000-04-12 | 2006-08-10 | Microsoft Corporation | VPN Enrollment Protocol Gateway |
| EP1442557B1 (fr) * | 2001-10-03 | 2007-08-15 | Gemplus | Systeme et procede pour creer un reseau securise en utilisant des justificatifs d'identite de lots de dispositifs |
| WO2003079167A1 (en) * | 2002-03-18 | 2003-09-25 | Telenor Asa | Single sign-on secure service access |
| CN1773492A (zh) * | 2004-11-09 | 2006-05-17 | 国际商业机器公司 | 组织多个文档的方法以及显示多个文档的设备 |
| CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
| CN101009014A (zh) * | 2007-01-24 | 2007-08-01 | 华中科技大学 | 一种安全防伪方法及其系统 |
Non-Patent Citations (1)
| Title |
|---|
| SYMANTEC™: "Symantec™ Device Certificate Service", 《HTTP://WWW.VERISIGN.COM/STATIC/036326.PDF》, 11 November 2005 (2005-11-11) * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010107538A1 (en) | 2010-09-23 |
| JP2012521155A (ja) | 2012-09-10 |
| TW201041352A (en) | 2010-11-16 |
| EP2409454A1 (en) | 2012-01-25 |
| US20100241852A1 (en) | 2010-09-23 |
| KR20110140122A (ko) | 2011-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102405616A (zh) | 用于产生包含证书和密钥的产品的方法 | |
| JP5576985B2 (ja) | 署名に用いる暗号アルゴリズムの決定方法、検証サーバおよびプログラム | |
| CN102722931B (zh) | 基于智能移动通讯设备的投票系统及其方法 | |
| US7552322B2 (en) | Using a portable security token to facilitate public key certification for devices in a network | |
| AU2007240567B2 (en) | Peer-to-peer contact exchange | |
| CN100533456C (zh) | 安全代码生成方法和使用方法及用于其的可编程设备 | |
| KR100736091B1 (ko) | 복수의 인증서를 관리하는 장치 및 방법 | |
| CN112291245B (zh) | 一种身份授权方法、装置、存储介质及设备 | |
| US20080031458A1 (en) | System, methods, and apparatus for simplified encryption | |
| KR20180029695A (ko) | 블록체인을 이용한 데이터 전송 시스템 및 방법 | |
| WO2008030184A1 (en) | Improved authentication system | |
| JP2008312048A (ja) | 情報端末の認証方法 | |
| CN101925910B (zh) | 许可证认证系统以及认证方法 | |
| CN102255732B (zh) | 一种基于智能密码钥匙的安全发证方法 | |
| CN103650410A (zh) | 基于id的加密及签名方法以及终端 | |
| CN107835079A (zh) | 一种基于数字证书的二维码认证方法和设备 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN102177678A (zh) | 可信和机密的远程tpm初始化 | |
| CN111523142B (zh) | 数据处理方法、装置、电子设备及介质 | |
| US20210110390A1 (en) | Methods, systems, and devices for managing digital assets | |
| CN116032613A (zh) | 区块链数字凭证交换方法、文件存储访问方法和系统 | |
| KR101133183B1 (ko) | 개인정보 보호를 강화한 전자투표방법 | |
| Toth et al. | Architecture for self-sovereign digital identity | |
| US20130219504A1 (en) | Method, System and Program Product for Document Verification | |
| KR20240059302A (ko) | 분산 id 기반 서비스의 암복호화 통신 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120404 |