CN103959831B - 辅助的证书注册 - Google Patents
辅助的证书注册 Download PDFInfo
- Publication number
- CN103959831B CN103959831B CN201280056809.5A CN201280056809A CN103959831B CN 103959831 B CN103959831 B CN 103959831B CN 201280056809 A CN201280056809 A CN 201280056809A CN 103959831 B CN103959831 B CN 103959831B
- Authority
- CN
- China
- Prior art keywords
- certificate
- signature
- signature request
- version
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Abstract
证书注册助理模块可用于向要从计算设备向证书颁发机构发送的证书签名请求注入挑战密码。由此,所述证书注册助理模块充当受信任代理,以辅助计算设备构建有效的证书签名请求,而不需要计算机有权访问挑战密码。
Description
技术领域
本申请要求2011年9月20日提交的序列号为61/536,785的美国专利申请的其优先权,其全文一并在此用作参考。
本发明大体上涉及用于认证公共加密密钥的身份证书,更具体地,涉及辅助的证书注册。
背景技术
用户设备(包括但不限于无线移动通信设备、个人计算机、膝上型或便携式计算机、智能电话、个人数字助理(PDA)等)可以生成加密密钥,用在公钥基础设施(PKI)方案中。在PKI方案中,设备生成公钥和对应的私钥。然而,这种密钥用途有限,除非公钥与用户设备的标识或者用户设备的用户的标识可靠地关联。
公钥证书(或者标识证书)是由受信任方发行的电子文档。公钥证书并入数字签名,以将公钥与标识(如个人或机构的名称、关联的地址等信息)捆绑在一起。证书可被用于验证公钥属于设备或个人。
标识证书通常包含:公钥;拥有者的名称;公钥的期满日;发行数字证书的证书颁发机构的标识;数字证书的序列号;以及发行者的数字签名。
附图说明
现在,将参考以下作为示例的附图进行描述,在所述附图中示出了示例性实施方式,其中:
图1示出了一个本申请的方案所应用的示例系统,其包括移动通信设备、证书颁发机构和证书注册助理模块;
图2示出了根据实施例的图1的用户设备的方框图;
图3示出了根据本公开实施例的、用于在图2的移动通信设备处实施的、获取证书的方法的示例步骤;以及
图4示出了根据本公开实施例的、用于在图2的证书注册助理模块处实施的、辅助移动通信设备获取证书的方法的示例步骤。
具体实施方式
在公钥基础设施系统中,证书签名请求(也称为“CSR”或证书请求)是由申请人向证书颁发机构(CA)发送的申请身份证书的消息,针对先前已经生成的公钥和关联的私钥。证书签名请求包含用于标识申请人和申请人所选择的公钥的信息。相应的私钥没有包含在证书签名请求中,而是用于对整个证书签名请求进行数字签名。
如果证书签名请求成功,则CA将向申请人回送已经使用CA的私钥进行数字签名的客户端证书,例如,将该客户端证书作为电子邮件消息的附件。
已知的简单证书注册协议(SCEP)允许计算设备从证书颁发机构(CA)获取客户端证书。所获取的客户端证书可被进一步用于设备认证。然而,为了从CA获取客户端证书,设备需要向CA认证自己。该SCEP规范(该规范可从tools.ietf.org获得,“draft-nourse-scep-22”)支持不同的认证机制。一种机制(即所谓的“挑战密码”机制)被广泛的PKI基础设施供应商所支持。挑战密码机制要求设备向CA提供密码。而且,一些厂商仅支持所谓的“全球挑战密码”机制,其中所有设备使用相同的密码。
这已被意识到是有问题的,因为全球挑战密码不认证单个设备,并且可被用于获得用于任何标识的证书。因此,避免将全球挑战密码直接暴露给设备可能是审慎的。
本文建议使得计算设备与证书注册助理模块合作,以制定正确格式化的SCEP证书签名请求。便利地,证书注册助理模块维护全球挑战密码,在合作过程期间,不需要向计算设备揭示挑战密码。证书注册助理模块通常会被部署在企业通信基础设施内,以便信任证书注册助理模块拥有全球挑战密码。值得注意的是,在企业通信基础设施内,证书注册助理模块可实现在消息递送服务器处。备选地,在企业通信基础设施之外,证书注册助理模块可实现在受信任服务器(俗称为“云”)处。
根据本发明的一个方案,提供了一种获取证书的方法。该方法包括:向证书注册助理模块发送证书签名请求;从证书注册助理模块接收所述证书签名请求的更改版本的哈希值,所述证书签名请求的更改版本包括挑战密码;对所述哈希值进行签名以产生用于所述证书签名请求的更改版本的签名;以及,向所述证书注册助理模块发送所述签名。该方法还包括:接收所述证书签名请求的更改版本的封装版本;确定所述证书签名请求的更改版本的封装版本的签名;向证书颁发机构发送所述证书签名请求的更改版本的封装版本和用于所述证书签名请求的封装版本的签名。在本申请的其它方案中,提供了一种用于实施该方法的计算设备,并且提供了一种用于适配计算设备中的处理器以实施该方法的计算机可读介质。
根据本公开的另一方案,提供了一种辅助计算设备请求证书的方法。该方法包括:从计算设备接收证书签名请求;修改所述证书签名请求以包括挑战密码,从而产生承载密码的证书签名请求;确定所述承载密码的证书签名请求的哈希值;以及,向计算设备发送所述哈希值。该方法还包括:从计算设备接收所述证书签名请求和签名;修改所述证书签名请求以包括挑战密码,从而产生签名的承载密码的证书签名请求;对所述签名的承载密码的证书签名请求进行加密以产生加密的签名的承载密码的证书签名请求;以及,向计算设备发送所述加密的签名的承载密码的证书签名请求。在本申请的其他方案中,提供了一种用于实施该方法的证书注册助理模块,并且提供了一种用于适配实现证书注册助理模块的处理器以实施该方法的计算机可读介质。
参考图1,示出了用于与下面描述的实施例一起使用的示例性系统的概览。本领域技术人员将会理解,可以存在许多不同的拓扑,但是图1所示的系统有助于说明本申请中所描述的系统的操作和方法。例如,可能存在图1的概览中未示出的连接到该系统的许多用户设备。
图1示出了具有通用通信设备100形式的计算设备。本领域技术人员将会理解,通信设备100可以包括能够通过无线方式连接到网络的任何计算或通信设备,包括但不限于:个人计算机(包括平板和膝上型计算机)、个人数字助理、智能电话等。本领域技术人员还将理解,这些设备在本文中可被称为计算设备或通信设备,并且可以具有涉及以下方面的主要功能:通过网络的数据或语音通信、数据存储或数据处理、或个人或生产应用的操作;本领域技术人员还将理解,诸如“移动设备”、“通信设备”、“计算设备”或“用户设备”之类的术语可被互换地使用。
例如,通信设备100可以连接到互联网服务提供商,其中图1的系统的用户(很可能是与图1所示的通信设备100相关联的用户)在所述互联网服务提供商处具有帐户。
通信设备100可以通过无线发送和接收来发送和接收消息和其它数据,如通常使用射频(RF)频谱中的电磁波来完成。例如,消息和其它数据的交换可能会发生在通信设备100和无线网络106的基站之间。通信设备100可以通过其他方式(例如到通信设备100上所提供的端口的直接连接)来接收数据。这种直接连接的例子是通用串行总线(USB)连接。
如图1所示,无线网络106经由无线基础设施110连接到广域网114(表示为互联网)。无线基础设施110包括无线网关112,其用于连接到互联网114。
通信设备100和互联网114之间的连接允许通信设备100访问连接到互联网114的证书注册助理116。配置服务器118也被连接到互联网114。证书注册助理116和配置服务器118可被一起组合在企业120中,并且共享对数据库117的访问。证书颁发机构130也被连接到互联网114。通信设备100可以存储密钥对124,该密钥对124包括私密加密密钥和相应的公共加密密钥。
图2示出了作为移动通信设备100的通信设备100。移动通信设备100包括外壳、输入设备(例如,具有多个键的键盘224)和输出设备(例如显示器226),其可以是全画幅液晶显示器(LCD)或者全彩LCD。在一些实施例中,显示器226可以包括触摸屏显示器。在这样的实施例中,键盘224可以包括虚拟键盘。备选地,可以使用其他类型的输出设备。处理设备(微处理器228)在图2中被示意性地示为耦合在键盘224和显示器226之间。微处理器228部分响应于用户对键盘224上的键的激励来控制显示器226的操作以及移动通信设备100的整体操作。值得注意的是,键盘224可以包括物理按钮(键),或者在显示器226是触摸屏设备的情况下,键盘224可被至少部分实现为“软键”。对所谓的软键的激励涉及下述二者中的任一者:触摸显示软键的显示器226,或者激励靠近显示屏226上的指示的物理按钮,该指示示出与该物理按钮关联的临时动作。
外壳可被垂直拉长,或可以采用其他尺寸和形状(包括折叠式外壳结构)。在键盘224包括与至少一个字母字符和至少一个数字字符关联的键时,键盘224可以包括模式选择键或者用于在字母输入和数字输入之间切换的其他硬件或软件。
除了微处理器228之外,图2中还适应性地示出了移动通信设备100的其他部分。这些可以包括通信子系统202、短程通信子系统204、键盘224和显示器226。移动通信设备100还可以包括其他输入/输出设备,如一组辅助I/O设备206、串行端口208、扬声器211和麦克风212。移动通信设备100还可以包括:包含闪存216和随机存取存储器(RAM)218在内的存储设备,以及各种其它设备子系统220。移动通信设备100可以包括具有语音和数据通信能力的双向射频(RF)通信设备。此外,移动通信设备100可以具有经由互联网与其他计算机系统进行通信的能力。
微处理器228执行的操作系统软件可被存储在计算机可读介质(例如,闪存216)中,但是也可以存储在其他类型的存储设备(例如,只读存储器(ROM)或类似的存储元件)中。此外,可以将系统软件、专用设备应用或其部分临时载入到易失性存储器(例如随机存取存储器(RAM)218)中。也可以将移动设备接收到的通信信号存储在RAM218中。
除了其操作系统功能外,微处理器228还能执行移动设备100上的软件应用。可以在制造期间将控制基本设备操作(例如,语音通信模块230A和数据通信模块230B)的预定应用集合安装在移动通信设备100上。还可以在制造期间将证书管理模块230安装在移动通信设备100上,以实现本公开的方案。此外,可以在制造期间安装另外的软件模块(示出为其他软件模块230N),其例如可以是PIM应用。PIM应用可以能够组织和管理数据项,例如,电子邮件、日程事件、语音邮件、约会安排和任务项。PIM应用还可以能够经由以无线电塔代表的无线运营商网络270发送和接收数据项。经由无线运营商网络270,PIM应用管理的数据项可以与设备用户的对应数据项进行无缝集成、同步和更新,该对应数据项被存储在主机系统中或与主机系统相关联。
通过通信子系统202,以及还有可能通过短程通信子系统204,执行通信功能(包括数据和语音通信)。通信子系统202包括接收机250、发射机252和一个或更多个天线(示出为接收天线254和发射天线256)。此外,通信子系统202还包括处理模块,例如数字信号处理器(DSP)258和本地振荡器(LO)260。通信子系统202的具体设计和实现取决于移动通信设备100想要在其中操作的通信网络。例如,移动通信设备100的通信子系统202可被设计为与MobitexTM、DataTACTM或通用分组无线服务(GPRS)移动数据通信网络一起操作,以及还被设计为与各种语音通信网络中的任何语音通信网络一起操作,语音通信网络例如是高级移动电话服务(AMPS)、时分多址接入(TDMA)、码分多址接入(CDMA)、个人通信服务(PCS)、全球移动通信系统(GSM)、增强型数据速率GSM演进(EDGE)、通用移动电信系统(UMTS)、宽带码分多址(W-CDMA)、高速分组接入(HSPA)、长期演进(LTE)等。也可以将其他类型的数据和语音网络(分离的和集成的)与移动通信设备100一起使用。
网络接入要求可以根据通信系统的类型的不同而不同。通常,每个移动设备关联一个标识符,该标识符能够唯一地标识所述移动设备或所述移动设备已被分配给的用户。所述标识符在特定的网络或网络技术内是唯一的。例如,在MobitexTM网络中,移动设备使用与各个设备相关联的Mobitex接入号(MAN)在网络上注册,而在DataTACTM网络中,移动设备使用与各个设备相关联的逻辑链路标识符(LLI)在网络上注册。然而,在诸如GPRS、UMTS和LTE的网络中,网络接入与设备的订户或用户相关联。因此,GPRS、UMTS和LTE设备使用订户标识模块,通常称为订户识别模块(SIM)卡或通用用户识别模块(USIM)。其它网络和其他SIM等价物都在本公开的范围之内。USIM包括在通用集成电路卡(UICC)或嵌入式通用集成电路卡(eUICC)中包含或存储的应用。这些应用包含使得设备能够在GPRS、UMTS或LTE网络中操作的各种参数。GSM/GPRS网络内的移动设备使用国际移动设备标识(IMEI)号唯一地标识。
在所要求的网络注册或激活过程已经完成后,移动通信设备100可以在无线运营商网络270上发送和接收通信信号。由接收天线254从无线运营商网络270接收到的信号被寻路到接收机250,接收机250提供信号放大、下变频、滤波、信道选择等,并且还可提供模数转换。接收信号的模数转换使得DSP258可以执行更复杂的通信功能,如解调和解码。以类似的方式,DSP258对将要发送到无线运营商网络270的信号进行处理(如调制和编码),然后将其提供给发射机252以进行数模转换、上变频、滤波、放大,并经由发射天线256发送到无线运营商网络270(或多个网络)。
除了处理通信信号外,DSP258还提供对接收机250和发射机252的控制。例如,可以通过DSP252中执行的自动增益控制算法来自适应地控制应用到接收机250和发射机258中的通信信号的增益。
在数据通信模式下,通信子系统202处理接收到的信号(例如,文本消息或网页下载),并将其输入到微处理器228。然后,微处理器228对接收到的信号进行进一步处理,以输出到显示器226,或者备选地,输出到一些辅助I/O设备206。设备用户还可以使用键盘224和/或一些其他辅助I/O设备206(例如,触摸板、摇臂开关、拇指轮、轨迹球、触摸屏、或者一些其他类型的输入设备)来编辑数据项(例如,电子邮件消息)。然后,可以经由通信子系统202在无线运营商网络270上发送编写好的数据项目。
在语音通信模式下,除了将接收到的信号输出到扬声器211以及由麦克风212产生用于发送的信号之外,设备的整体操作与数据通信模式下的操作基本相似。还可以在移动通信设备100上实现备选的语音或音频I/O子系统,例如语音消息录制子系统。此外,还可以在语音通信模式下使用显示器226来例如显示主叫方的标识、语音呼叫的持续时间或其它与语音呼叫有关的信息。
短程通信子系统204使得可以在移动通信设备100与其他临近的系统和设备(没有必要是相似的设备)之间进行通信。例如,短程通信子系统可以包括红外设备和相关的电路和组件、蓝牙TM通信模块、射频标识(RFID)模块、或者包括近场通信(NFC)控制器的NFC模块等,以提供与类似使能的系统和设备的通信。
证书注册助理116可以包括与移动通信设备100的组件类似的组件,如处理器130、通信子系统132和存储器134。
概括而言,本文提供了一种机制,其提供在CA130处对来自移动通信设备100的证书签名请求的认证,同时不向移动通信设备100揭示全球挑战密码。
在操作中,证书注册助理116可以用于将全球挑战密码注入要从移动通信设备100发送的证书签名请求。将全球挑战密码注入证书签名请求可能涉及:修改证书签名请求,以包括全球挑战密码。证书注册助理116已经与通信设备100建立信任关系。因此,可允许证书注册助理116充当受信任代理,以辅助移动通信设备100建立有效的证书签名请求,而无需移动通信设备100有权访问全球密码。因为证书注册助理116将修改签名的证书签名请求,所以还提供由移动通信设备100对该证书签名请求进行重新签名。
在PKI配置步骤中,向证书注册助理116提供全球挑战密码。因为证书注册助理116是受信任组件,所以向证书注册助理116提供全球密码一般可不被视为新的安全威胁。
为了针对证书管理准备好用户设备100,配置服务器118向用户设备100发送配置简档。部分地,配置简档包括CA简档。CA简档包括对信息集合的描述,其中用户设备100需要所述信息集合以生成密钥对124,并且汇编所述需要的信息以形成针对CA130的证书签名请求。这种信息的示例包括:密钥长度、算法信息、必要的可分辨的名称信息,等。
示例CA简档具有如下结构:
证书颁发机构简档名称:测试简档
证书颁发机构类型:MS-企业
证书颁发机构主机:ca.test.domain
证书端口:12345
密钥算法:RSA
密钥长度:2048
在操作中,参考图3,移动通信设备100的微处理器228在(例如)证书管理模块230C的控制下生成(步骤302)公钥-私钥对124,并且可以收集根据CA简档可被作为证书签名请求的属性发送的信息。移动通信设备100然后创建(步骤304)证书签名请求。
例如,证书签名请求可以是PKCS-10证书签名请求。“PKCS”指的是由RSA安全所设计和公布的一组公钥加密标准。具体地,PKCS-10是一种认证请求标准,其定义了向证书颁发机构发送的用以请求公钥证书的消息的格式。由互联网工程任务组(IETF)在www.ietf.org公布的征求意见草案(RFC)2986中规定了该PKCS-10标准。
在创建(步骤304)证书签名请求之后,微处理器228向证书注册助理116发送(步骤306)证书签名请求。
在图4中,示出了在证书注册助理116处处理来自移动通信设备100的证书签名请求的方法中的示例步骤。最初,证书注册助理116可以接收(步骤402)来自移动通信设备100的证书签名请求。作为响应,证书注册助理116可以认证(步骤404)该证书签名请求。例如,可以是下述情况:在证书注册助理116和移动通信设备100之间,先前已经建立了认证通道。这种先前建立的通道可以使用加密。因此,证书注册助理116可以仅仅凭借已经通过该先前建立的认证通道进行接收该证书签名请求而认为该证书签名请求已经被认证(步骤404)。
如PKCS-10标准所定义的,证书签名请求可以具有许多“属性”。证书签名请求的这些属性可以包括如:国家名称;州或省名;地点名称;组织名称;组织单位名称;通用名称;和电子邮件地址。
因此,响应于对接收到的证书签名请求的成功认证(步骤404),证书注册助理116可以审阅证书签名请求,以确定移动通信设备100已经包含的属性所达的范围。基于这样的确定,于是证书注册助理116可以利用用户信息更新(步骤406)证书签名请求的一个或多个属性,由此产生更新的证书签名请求。
证书注册助理116可以向更新的证书签名请求注入(步骤408)全球挑战密码,从而产生承载密码的证书签名请求。该挑战密码是证书签名请求的可选属性,其是由PKCS-10标准定义的。
然后,证书注册助理116可以确定该承载密码的证书签名请求的哈希值(步骤410)。
然而,证书注册助理116可以向移动通信设备100发送(步骤412)该哈希值。证书注册助理116还可以向移动通信设备100发送更新的证书签名请求(即,不是承载密码的证书签名请求,因为密码没被暴露)传输到移动通信设备100。
移动通信设备100的处理器228接收该哈希值(步骤308)。响应于接收到(步骤308)该哈希值,处理器228可以对该哈希值进行签名(步骤310),其中该签名使用公钥-私钥对124中的私钥。
然后,处理器228可以向证书注册助理116发送(步骤312)证书签名请求、签名和注册机构(RA)证书。值得注意的是,移动通信设备100可以使用CA简档中的指定的证书颁发机构主机的地址从CA服务器获取RA证书。在无RA的情况下,处理器228可以向证书注册助理116发送(步骤312)证书签名请求、签名和CA证书。步骤312中发送的证书签名请求可以是在步骤306中发送的原始的证书签名请求,或者可以是在步骤308中与哈希值一起从证书注册助理116接收的更新的证书签名请求。便利地,对于一些实施例,步骤312中的证书签名请求的发送有助于避免在证书注册助理116上存储。
证书注册助理116接收(步骤414)证书签名请求、签名和RA证书。
证书注册助理116可以使用配置的指纹来验证(步骤416)接收到的RA证书。应该理解,RA证书的拇指指纹是RA证书的哈希值。证书注册助理116可能已经通过在证书注册助理116与注册机构之间的可信信道获得了该哈希值。
证书注册助理116向证书签名请求中注入(步骤418)密码。值得注意的是,在一些实施例中,证书注册助理116不维护步骤408产生的承载密码的证书签名请求的副本。证书注册助理116还将接收到的签名加入证书签名请求,从而产生签名的承载密码的证书签名请求。
通常,RA接收并认证证书签名请求,然后将该证书签名请求传给CA,在这种情况下,证书注册助理116使用RA公钥对签名的承载密码的证书签名请求进行加密(步骤420),以形成加密的签名的承载密码的证书签名请求。有时,不存在RA,并且证书签名请求直接去往CA,在这种情况下,证书注册助理116使用CA公钥对签名的承载密码的证书签名请求进行加密,以形成加密的签名的承载密码的证书签名请求。
该加密的签名的承载密码的证书签名请求可以使用PKCS-7所定义的数据格式来进行封装。特别地,PKCS-7是一种加密消息语法。由IETF在www.ietf.org上公布的征求意见草案(RFC)2315中规定了该PKCS-7标准。PKCS-7标准可被用于对任何形式的数字数据进行数字签名、整理、认证或加密,并且经常被用于证书传播。
证书注册助理116向移动通信设备100发送(步骤422)加密的签名的承载密码的证书签名请求。
移动通信设备100接收(步骤314)加密的签名的承载密码的证书签名请求。然后,移动通信设备100可以使用PKCS-7签名的数据格式对该加密的签名的承载密码的证书签名请求进行签名,从而产生正确格式化的SCEP证书签名请求。
对该加密的签名的承载密码的证书签名请求进行的这种签名(步骤316)可以涉及:生成该加密的签名的承载密码的证书签名请求的哈希值;以及对该哈希值进行签名,其中所述签名使用密钥对124中的私钥。然后,该加密的签名的承载密码的证书签名请求的签名的哈希值可以作为签名与该加密的签名的承载密码的证书签名请求一起发送。
移动通信设备100于是可以向CA130发送(步骤318)所述SCEP证书签名请求和所述签名,以注册CA的SECP服务。值得注意的是,向CA130发送(步骤318)所述SCEP证书签名请求和所述签名不需要是直接传输。事实上,移动通信设备100可以经由其他设备向CA130发送(步骤318)所述SCEP证书签名请求和所述签名。这种其他设备可以包括消息递送服务器或注册机构。
在一段时间之后,移动通信设备100可以从CA130接收(步骤320)客户端证书。同样,这种接收可以是直接的或者经由其它设备来完成。这种其他设备可以包括消息递送服务器或注册机构。
便利地,最后两个步骤,即向SCEP服务发送证书签名请求(步骤318)和接收所得的证书(步骤320),可以在无任何企业服务器参与并且不向移动通信设备100揭示全球密码的情况下由移动通信设备100完成。
本申请的上述实现方式仅用作示例。本领域技术人员在不偏离所附权利要求书限定的本申请的范围的情况下,可以实现对具体实现方式的修改、变更和变化。
Claims (22)
1.一种请求证书的方法,所述方法包括:
向证书注册助理模块发送证书签名请求;
从所述证书注册助理模块接收所述证书签名请求的更改版本的哈希值,所述证书签名请求的所述更改版本包括挑战密码;
对所述哈希值进行签名以产生用于所述证书签名请求的所述更改版本的签名;以及,
向所述证书注册助理模块发送用于所述证书签名请求的所述更改版本的所述签名;
接收所述证书签名请求的所述更改版本的封装版本;
确定用于所述证书签名请求的所述更改版本的所述封装版本的签名;以及
向证书颁发机构发送所述证书签名请求的所述更改版本的所述封装版本和用于所述证书签名请求的所述更改版本的所述封装版本的所述签名。
2.根据权利要求1所述的方法,还包括:从所述证书颁发机构接收证书。
3.根据权利要求2所述的方法,其中所述接收所述证书包括:经由其他设备接收所述证书。
4.根据权利要求1所述的方法,其中所述证书签名请求遵从公钥加密标准10。
5.根据权利要求1所述的方法,还包括,在所述向所述证书注册助理模块发送所述证书签名请求之前:
生成公钥和对应的私钥;以及
基于所述公钥,创建所述证书签名请求。
6.根据权利要求5所述的方法,其中所述对所述哈希值进行签名使用私密加密密钥。
7.根据权利要求5所述的方法,其中所述确定所述签名还包括:
获得所述证书签名请求的所述更改版本的所述封装版本的哈希值;以及
使用所述私钥对所述证书签名请求的所述更改版本的所述封装版本的所述哈希值进行签名。
8.根据权利要求1所述的方法,还包括:与用于所述证书签名请求的所述更改版本的所述签名一起,向所述证书注册助理模块发送所述证书签名请求。
9.根据权利要求1所述的方法,还包括:与用于所述证书签名请求的所述更改版本的所述签名一起,向所述证书注册助理模块发送注册机构证书。
10.根据权利要求1所述的方法,其中所述证书签名请求的所述更改版本的所述封装版本包括所述证书签名请求的所述更改版本的加密版本。
11.根据权利要求10所述的方法,其中所述证书签名请求的所述更改版本的所述封装版本遵从公钥加密标准7。
12.根据权利要求1所述的方法,其中所述向证书颁发机构发送所述证书签名请求的所述更改版本的所述封装版本和用于所述证书签名请求的所述更改版本的所述封装版本的所述签名包括:经由其他设备发送所述封装版本。
13.一种计算设备,包括:
通信子系统,可操作用于:
向证书注册助理模块发送证书签名请求;
从所述证书注册助理模块接收所述证书签名请求的更改版本的哈希值,所述证书签名请求的所述更改版本包括挑战密码;
向所述证书注册助理模块发送用于所述证书签名请求的所述更改版本的签名;
接收所述证书签名请求的所述更改版本的封装版本;
向证书颁发机构发送所述证书签名请求的所述更改版本的所述封装版本和用于所述证书签名请求的所述更改版本的所述封装版本的签名;以及
处理器,适用于:
对所述哈希值进行签名,以产生用于所述证书签名请求的所述更改版本的所述签名;以及
确定用于所述证书签名请求的所述更改版本的所述封装版本的所述签名。
14.一种计算机可读介质,其包含计算机可执行指令,所述指令在由计算设备的处理器执行时,使所述处理器:
向证书注册助理模块发送证书签名请求;
从所述证书注册助理模块接收所述证书签名请求的更改版本的哈希值,所述证书签名请求的所述更改版本包括挑战密码;
对所述哈希值进行签名以产生用于所述证书签名请求的所述更改版本的签名;以及,
向所述证书注册助理模块发送所述签名;
接收所述证书签名请求的所述更改版本的封装版本;
确定用于所述证书签名请求的所述更改版本的所述封装版本的签名;以及
向证书颁发机构发送所述证书签名请求的所述更改版本的所述封装版本和用于所述证书签名请求的所述更改版本的所述封装版本的所述签名。
15.一种辅助计算设备请求证书的方法,包括:
从计算设备接收证书签名请求;
修改所述证书签名请求以包括挑战密码,从而产生承载密码的证书签名请求;
确定所述承载密码的证书签名请求的哈希值;
向所述计算设备发送所述哈希值;
从所述计算设备接收所述证书签名请求和对所述哈希值的签名;
修改所述证书签名请求以包括挑战密码,从而产生签名的承载密码的证书签名请求;
对所述签名的承载密码的证书签名请求进行加密以产生加密的签名的承载密码的证书签名请求;以及,
向所述计算设备发送所述加密的签名的承载密码的证书签名请求。
16.根据权利要求15所述的方法,还包括:在所述接收所述证书签名请求之后,对所述证书签名请求进行认证。
17.根据权利要求15所述的方法,还包括:在所述接收所述证书签名请求之后,更新所述证书签名请求以包括额外的信息。
18.根据权利要求15所述的方法,还包括:
接收包括公共加密密钥的证书;
其中所述加密包括使用所述公共加密密钥对所述签名的承载密码的证书签名请求进行加密。
19.根据权利要求18所述的方法,其中所述证书包括:注册机构证书。
20.一种证书注册助理模块,包括:
通信子系统,操作用于:
从计算设备接收证书签名请求;
处理器,适用于:
修改所述证书签名请求以包括挑战密码,从而产生承载密码的证书签名请求;
确定所述承载密码的证书签名请求的哈希值;
所述通信子系统还操作用于:
向所述计算设备发送所述哈希值;
从所述计算设备接收所述证书签名请求和对所述哈希值的签名;
所述处理器还适用于:
修改所述证书签名请求以包括挑战密码,从而产生签名的承载密码的证书签名请求;
对所述签名的承载密码的证书签名请求进行加密以产生加密的签名的承载密码的证书签名请求;以及
所述通信子系统还操作用于:向所述计算设备发送所述加密的签名的承载密码的证书签名请求。
21.一种企业通信基础设施,其中部署了根据权利要求20所述的证书注册助理模块。
22.一种计算机可读介质,其包含计算机可执行指令,所述指令在由计算设备中的处理器执行时,使所述处理器:
从计算设备接收证书签名请求;
修改所述证书签名请求以包括挑战密码,从而产生承载密码的证书签名请求;
确定所述承载密码的证书签名请求的哈希值;
向所述计算设备发送所述哈希值;
从所述计算设备接收所述证书签名请求和对所述哈希值的签名;
修改所述证书签名请求以包括挑战密码,从而产生签名的承载密码的证书签名请求;
对所述签名的承载密码的证书签名请求进行加密以产生加密的签名的承载密码的证书签名请求;以及,
向所述计算设备发送所述加密的签名的承载密码的证书签名请求。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161536785P | 2011-09-20 | 2011-09-20 | |
| US61/536,785 | 2011-09-20 | ||
| PCT/CA2012/050486 WO2013040698A1 (en) | 2011-09-20 | 2012-07-16 | Assisted certificate enrollment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103959831A CN103959831A (zh) | 2014-07-30 |
| CN103959831B true CN103959831B (zh) | 2018-04-27 |
Family
ID=45562883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280056809.5A Active CN103959831B (zh) | 2011-09-20 | 2012-07-16 | 辅助的证书注册 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8522035B2 (zh) |
| EP (1) | EP2587715B1 (zh) |
| CN (1) | CN103959831B (zh) |
| CA (1) | CA2849172C (zh) |
| WO (1) | WO2013040698A1 (zh) |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9288671B2 (en) * | 2011-06-16 | 2016-03-15 | Accuris Technologies Limited | Device authentication method and devices |
| EP2587715B1 (en) * | 2011-09-20 | 2017-01-04 | BlackBerry Limited | Assisted certificate enrollment |
| RU2595904C2 (ru) * | 2012-02-14 | 2016-08-27 | Эппл Инк. | Способы и устройство для крупномасштабного распространения электронных клиентов доступа |
| US8745378B1 (en) * | 2012-03-12 | 2014-06-03 | Certified Security Solutions, Inc. | System and method for validating SCEP certificate enrollment requests |
| US10063380B2 (en) * | 2013-01-22 | 2018-08-28 | Amazon Technologies, Inc. | Secure interface for invoking privileged operations |
| US9503268B2 (en) | 2013-01-22 | 2016-11-22 | Amazon Technologies, Inc. | Securing results of privileged computing operations |
| US9729517B2 (en) | 2013-01-22 | 2017-08-08 | Amazon Technologies, Inc. | Secure virtual machine migration |
| DE102013203101A1 (de) * | 2013-02-26 | 2014-08-28 | Siemens Aktiengesellschaft | Erweitern der Attribute einer Credentialanforderung |
| US9258128B1 (en) * | 2013-08-30 | 2016-02-09 | Symantec Corporation | Systems and methods for creating customer-specific tools for generating certificate signing requests |
| EP3024167A1 (en) * | 2014-11-19 | 2016-05-25 | Motorola Solutions, Inc. | Method and apparatus for automating selection of certificate management policies during issuance of a certificate |
| US9674162B1 (en) | 2015-03-13 | 2017-06-06 | Amazon Technologies, Inc. | Updating encrypted cryptographic key pair |
| US10003467B1 (en) * | 2015-03-30 | 2018-06-19 | Amazon Technologies, Inc. | Controlling digital certificate use |
| US9479340B1 (en) | 2015-03-30 | 2016-10-25 | Amazon Technologies, Inc. | Controlling use of encryption keys |
| KR102558361B1 (ko) * | 2015-04-13 | 2023-07-21 | 삼성전자주식회사 | 통신 시스템에서 프로파일을 관리하는 기법 |
| US9882726B2 (en) | 2015-05-22 | 2018-01-30 | Motorola Solutions, Inc. | Method and apparatus for initial certificate enrollment in a wireless communication system |
| US9674158B2 (en) * | 2015-07-28 | 2017-06-06 | International Business Machines Corporation | User authentication over networks |
| US9979553B2 (en) * | 2015-08-06 | 2018-05-22 | Airwatch Llc | Secure certificate distribution |
| US11102313B2 (en) | 2015-08-10 | 2021-08-24 | Oracle International Corporation | Transactional autosave with local and remote lifecycles |
| US10582001B2 (en) | 2015-08-11 | 2020-03-03 | Oracle International Corporation | Asynchronous pre-caching of synchronously loaded resources |
| US10013668B2 (en) * | 2015-08-14 | 2018-07-03 | Oracle International Corporation | Secure storage of enterprise certificates for cloud services |
| US10452497B2 (en) | 2015-08-14 | 2019-10-22 | Oracle International Corporation | Restoration of UI state in transactional systems |
| US11070380B2 (en) | 2015-10-02 | 2021-07-20 | Samsung Electronics Co., Ltd. | Authentication apparatus based on public key cryptosystem, mobile device having the same and authentication method |
| US10582012B2 (en) | 2015-10-16 | 2020-03-03 | Oracle International Corporation | Adaptive data transfer optimization |
| FR3046271B1 (fr) * | 2015-12-28 | 2018-10-19 | Bull Sas | Deuxieme authentification dynamique d'une signature electronique utilisant un module materiel securise |
| US10404680B2 (en) | 2016-08-11 | 2019-09-03 | Motorola Solutions, Inc. | Method for obtaining vetted certificates by microservices in elastic cloud environments |
| US10320571B2 (en) * | 2016-09-23 | 2019-06-11 | Microsoft Technology Licensing, Llc | Techniques for authenticating devices using a trusted platform module device |
| US10447668B1 (en) | 2016-11-14 | 2019-10-15 | Amazon Technologies, Inc. | Virtual cryptographic module with load balancer and cryptographic module fleet |
| US10461943B1 (en) * | 2016-11-14 | 2019-10-29 | Amazon Technologies, Inc. | Transparently scalable virtual hardware security module |
| US10897709B2 (en) | 2016-12-09 | 2021-01-19 | Arris Enterprises Llc | Wireless network authorization using a trusted authenticator |
| US10375057B2 (en) * | 2017-01-27 | 2019-08-06 | Visa International Service Association | Systems and methods for certificate chain validation of secure elements |
| US9992029B1 (en) * | 2017-04-05 | 2018-06-05 | Stripe, Inc. | Systems and methods for providing authentication to a plurality of devices |
| US10749692B2 (en) * | 2017-05-05 | 2020-08-18 | Honeywell International Inc. | Automated certificate enrollment for devices in industrial control systems or other systems |
| CN107612697B (zh) | 2017-10-20 | 2020-04-14 | 阿里巴巴集团控股有限公司 | 数字证书申请方法和装置 |
| US11502849B2 (en) * | 2018-02-28 | 2022-11-15 | Motorola Solutions, Inc. | Method of utilizing a trusted secret package for certificate enrollment |
| CA3022109A1 (en) * | 2018-10-25 | 2020-04-25 | Nymi Inc. | Digital certificate enrolment system and method, and challenge password management system and method therefor |
| US11558366B2 (en) * | 2018-10-26 | 2023-01-17 | Cisco Technology, Inc. | Access to secured networks for known entities |
| US11637821B2 (en) * | 2020-05-11 | 2023-04-25 | Samsung Electronics Co., Ltd. | System and method for certificate based authentication for tethering |
| FR3139259A1 (fr) * | 2022-08-23 | 2024-03-01 | Electricite De France | Procédé d’enrôlement d’un dispositif auprès d’un serveur |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719765A (zh) * | 2005-08-03 | 2006-01-11 | 武汉理工大学 | 一种安全可靠的受控授权电子签名方法 |
| CN101610150A (zh) * | 2009-07-22 | 2009-12-23 | 中兴通讯股份有限公司 | 第三方数字签名方法和数据传输系统 |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7761910B2 (en) | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
| US5943423A (en) | 1995-12-15 | 1999-08-24 | Entegrity Solutions Corporation | Smart token system for secure electronic transactions and identification |
| US6842863B1 (en) | 1999-11-23 | 2005-01-11 | Microsoft Corporation | Certificate reissuance for checking the status of a certificate in financial transactions |
| US6978364B1 (en) | 2000-04-12 | 2005-12-20 | Microsoft Corporation | VPN enrollment protocol gateway |
| US7349912B2 (en) | 2000-12-22 | 2008-03-25 | Oracle International Corporation | Runtime modification of entries in an identity system |
| US7380008B2 (en) | 2000-12-22 | 2008-05-27 | Oracle International Corporation | Proxy system |
| US7415607B2 (en) | 2000-12-22 | 2008-08-19 | Oracle International Corporation | Obtaining and maintaining real time certificate status |
| US8015600B2 (en) | 2000-12-22 | 2011-09-06 | Oracle International Corporation | Employing electronic certificate workflows |
| WO2003054719A1 (en) * | 2001-12-19 | 2003-07-03 | Secluda Technologies, Inc. | Message processor |
| US20040005876A1 (en) | 2002-07-03 | 2004-01-08 | Samuli Tuoriniemi | Method and apparatus for limiting and controlling capabilities of a mobile device |
| US7386721B1 (en) | 2003-03-12 | 2008-06-10 | Cisco Technology, Inc. | Method and apparatus for integrated provisioning of a network device with configuration information and identity certification |
| US6975765B2 (en) * | 2003-05-06 | 2005-12-13 | New Light Industries, Ltd. | Optically variable form birefringent structure and method and system and method for reading same |
| US7448080B2 (en) * | 2003-06-30 | 2008-11-04 | Nokia, Inc. | Method for implementing secure corporate communication |
| US7444508B2 (en) | 2003-06-30 | 2008-10-28 | Nokia Corporation | Method of implementing secure access |
| EP1654852B1 (en) | 2003-07-11 | 2008-04-02 | International Business Machines Corporation | System and method for authenticating clients in a client-server environment |
| KR100549504B1 (ko) * | 2003-10-10 | 2006-02-03 | 한국전자통신연구원 | 서명 암호화를 이용한 웹서비스 보안에서의 soap메시지 생성 및 검증 방법 |
| US20050154889A1 (en) * | 2004-01-08 | 2005-07-14 | International Business Machines Corporation | Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol |
| US20060000127A1 (en) * | 2004-06-30 | 2006-01-05 | Jayne Schindele | Pocket card |
| US7500269B2 (en) | 2005-01-07 | 2009-03-03 | Cisco Technology, Inc. | Remote access to local content using transcryption of digital rights management schemes |
| US7748035B2 (en) | 2005-04-22 | 2010-06-29 | Cisco Technology, Inc. | Approach for securely deploying network devices |
| FI20050491A0 (fi) | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| WO2007041462A2 (en) * | 2005-09-30 | 2007-04-12 | Dynasig Corporation | Signature authentication |
| FR2897223B1 (fr) * | 2006-02-08 | 2008-05-09 | Sts Group Sa | Procede d'archivage electronique notamment a distance de documents ou objets |
| US8732279B2 (en) | 2006-08-18 | 2014-05-20 | Cisco Technology, Inc. | Secure network deployment |
| US20090025080A1 (en) | 2006-09-27 | 2009-01-22 | Craig Lund | System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access |
| US20090055722A1 (en) * | 2007-08-22 | 2009-02-26 | Monica Eorgoff | Customizable certificate design and method of use |
| US8341715B2 (en) * | 2008-02-29 | 2012-12-25 | Research In Motion Limited | System and method for shared resource owner based access control |
| US8214646B2 (en) * | 2008-05-06 | 2012-07-03 | Research In Motion Limited | Bundle verification |
| US20100086753A1 (en) * | 2008-10-02 | 2010-04-08 | Wade Johnson | Foiled articles and methods of making same |
| KR100910378B1 (ko) * | 2008-10-06 | 2009-08-04 | 주식회사 오엘콥스 | 암호화된 이미지를 이용한 전자증명서 발급 시스템 및 방법 |
| US8255685B2 (en) * | 2009-03-17 | 2012-08-28 | Research In Motion Limited | System and method for validating certificate issuance notification messages |
| FR2945180B1 (fr) * | 2009-05-07 | 2013-02-22 | Arjowiggins Security | Support d'information presentant des proprietes antivirales et son procede de fabrication |
| US8341250B2 (en) | 2009-05-30 | 2012-12-25 | Cisco Technology, Inc. | Networking device provisioning |
| US8024233B2 (en) * | 2009-12-15 | 2011-09-20 | Shutterfly, Inc. | System and method for processing personalized stationery designs and selecting fulfillment order sites |
| US20110161659A1 (en) * | 2009-12-28 | 2011-06-30 | Motorola, Inc. | Method to enable secure self-provisioning of subscriber units in a communication system |
| US9264235B2 (en) * | 2010-11-16 | 2016-02-16 | Blackberry Limited | Apparatus, system and method for verifying server certificates |
| KR20120053929A (ko) | 2010-11-18 | 2012-05-29 | 이혜지 | 전자서명키 이중 암호화를 이용한 전자서명 대행 시스템과 웹 저장소에 저장을 특징으로 하는 그 방법 |
| EP2587715B1 (en) * | 2011-09-20 | 2017-01-04 | BlackBerry Limited | Assisted certificate enrollment |
-
2012
- 2012-02-09 EP EP12154616.2A patent/EP2587715B1/en active Active
- 2012-02-09 US US13/369,487 patent/US8522035B2/en active Active
- 2012-07-16 CA CA2849172A patent/CA2849172C/en active Active
- 2012-07-16 CN CN201280056809.5A patent/CN103959831B/zh active Active
- 2012-07-16 WO PCT/CA2012/050486 patent/WO2013040698A1/en active Application Filing
-
2013
- 2013-07-29 US US13/952,816 patent/US8909934B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719765A (zh) * | 2005-08-03 | 2006-01-11 | 武汉理工大学 | 一种安全可靠的受控授权电子签名方法 |
| CN101610150A (zh) * | 2009-07-22 | 2009-12-23 | 中兴通讯股份有限公司 | 第三方数字签名方法和数据传输系统 |
Non-Patent Citations (1)
| Title |
|---|
| Simple Certificate Enrollment Protocol;M. Pritikin et al;《Internet Engineering Task Force》;20110907;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103959831A (zh) | 2014-07-30 |
| EP2587715A2 (en) | 2013-05-01 |
| US8522035B2 (en) | 2013-08-27 |
| US20130073856A1 (en) | 2013-03-21 |
| US20130311779A1 (en) | 2013-11-21 |
| WO2013040698A1 (en) | 2013-03-28 |
| EP2587715A3 (en) | 2014-08-13 |
| EP2587715B1 (en) | 2017-01-04 |
| CA2849172A1 (en) | 2013-03-28 |
| US8909934B2 (en) | 2014-12-09 |
| CA2849172C (en) | 2018-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103959831B (zh) | 辅助的证书注册 | |
| EP2950506B1 (en) | Method and system for establishing a secure communication channel | |
| CN101978675B (zh) | 向通信装置安全地发布预订凭证的系统和方法 | |
| CN102377769B (zh) | 提供针对私有数据访问的无线认证的通信系统及相关方法 | |
| US8869252B2 (en) | Methods, apparatuses, and computer program products for bootstrapping device and user authentication | |
| US20080148052A1 (en) | Method and system for authentication bonding two devices and sending authenticated events | |
| KR20060049718A (ko) | 셀룰러 네트워크를 통한 장치의 안전한 인증서 등록 | |
| US9300654B2 (en) | Method of handling a certification request | |
| EP2732594B1 (en) | System and method for alternative distribution of a pin code | |
| JP5952973B2 (ja) | 端末とリモートサーバとの間の、サードパーティのポータルを介した相互認証の方法 | |
| WO2010045817A1 (zh) | 密钥分发方法和系统 | |
| CN101366037A (zh) | 在移动终端中用于安全http摘要响应验证以及完整性保护的计算机程序产品、装置以及方法 | |
| CN103250162B (zh) | 用于保护远程仓库中的凭证的方法、通信设备、服务器 | |
| JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
| KR20080077786A (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| CN101317181B (zh) | 用于移动终端中安全鉴权响应的设备以及方法 | |
| CA2682915C (en) | Method of handling a certification request | |
| CN104272646B (zh) | 用于用证书配置实体的方法以及装置 | |
| Li et al. | Digital Signature Technology of Mobile Phone Verification Code based on Biometrics | |
| CA2697096C (en) | System and method for validating certificate issuance notification messages | |
| WO2010024287A1 (ja) | 端末認証システム、無線端末、認証装置および端末認証方法 | |
| KR20160128686A (ko) | 이중 채널을 이용한 이중 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |