CN105393489A - 提供数字证书 - Google Patents
提供数字证书 Download PDFInfo
- Publication number
- CN105393489A CN105393489A CN201480036811.5A CN201480036811A CN105393489A CN 105393489 A CN105393489 A CN 105393489A CN 201480036811 A CN201480036811 A CN 201480036811A CN 105393489 A CN105393489 A CN 105393489A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- certificate
- mobile device
- storage module
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/561—Adding application-functional data or data for application control, e.g. adding metadata
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/64—Self-signed certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Library & Information Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了用于提供数字证书的系统、方法及设备。在执行于远程访问服务器处的方法中,接收包含标识符的数字证书请求。然后,获取与该标识符相关联的移动设备的通信地址,该移动设备具有与其进行通信的证书存储模块。通过移动设备向证书存储模块传输数字证书请求,并且该证书存储模块配置为在释放证书之前,通过移动设备来提示其用户输入密码。响应于将与存储在证书存储模块中的偏移量相对应的密码输入到证书存储模块中,而通过移动设备从证书存储模块处接收数字证书。然后,将数字证书传输给通信设备以用于对数据消息进行数字式签署或加密。
Description
相关申请的交叉引用
本申请要求享有于2013年4月26日提交的南非临时专利申请No.2013/03076的优先权,并且该申请通过引用并入本文。
技术领域
本发明涉及用于提供数字证书的系统、方法及设备。
背景技术
从发送设备发送的数据消息(例如电子邮件)可经过多个网关、计算机系统、服务器、路由器或任何其他这种途中节点而到达接收设备。发送方通常不能对数据消息所经过的网关、计算机系统、服务器、路由器或其他节点进行控制,并且通常甚至不知道数据消息在发送给接收方设备时所遵循的路径。
因此,第三方可在这些节点中的任一处轻易地拦截、读取或甚至更改数据消息,这意味着当数据消息最终到达预期的接收方设备时,数据消息及其内容的完整性、保密性和/或有效性是值得怀疑的。
许多声称要解决数据消息的完整性、保密性和/或有效性的问题的研究已经持续多年。
已经取得了一定进展的一种解决方案涉及在发送设备处使用公共密钥加密来数字式签署数据消息,以产生“数字签名”。该数字签名可确保数据消息不能在中间节点处被读取或更改,这意味着可以将在接收设备处接收到的数据消息验证为在传输过程中没有被更改或读取。
公共密钥加密涉及通常需要两个独立密钥的加密系统,这两个密钥中的一个是“私有的”而另一个则是“公共的”。公共密钥可用于给数据加密或检验数字签名,而私有密钥可用于对加密的数据进行解密或用于创建数字签名。两个密钥均不能单独地执行全部功能。通常,用户的公共密钥可以被公开,而相应的私有密钥应保密的。
例如,当对数据消息进行数字式签署时,可使用发送方的私有密钥在发送设备端对该数据消息(或更通常地为数据消息的散列)进行加密。然后,这种数字式签署的数据消息能与原始数据消息以及发送方的公共密钥一起传输给接收方。然后,接收方使用公共密钥对数字式签署的数据消息进行解密,并将解密后的数字式签署的数据消息与原始数据消息(或更通常地是这两者的散列)进行比较。
在对数据消息进行加密时,发送方使用接收方的公共密钥来加密数据消息。将加密的数据消息从发送方传输给接收方。然后,接收方使用接收方的私有密钥对数据消息进行解密。
数字证书通常由认证中心颁发,并可用于将公共密钥绑定到身份。这些数字证书还可以包含关于该证书颁发给的实体或个人的信息,并还可包含关于颁发该数字证书的认证中心的信息。
现有的数字证书存储设备缺乏所需的安全等级,并因此使得存储于其中的数字证书容易受到攻击或冒用。
发明内容
根据本发明的第一方面,提出了用于提供数字证书的方法,该方法执行在远程访问服务器处并包含以下步骤:接收数字证书请求,该请求包含标识符;获取与该标识符相关联的移动设备的通信地址,其中移动设备具有与该移动设备进行通信的证书存储模块;通过移动设备将数字证书请求传输给证书存储模块,其中证书存储模块配置为在释放数字证书之前,通过移动设备来提示其用户输入密码;响应于将与存储在证书存储模块中的偏移量相对应的密码输入到证书存储模块中,而通过移动设备从证书存储模块处接收数字证书;以及,将数字证书传输给通信设备以用于数字式签署或加密数据消息。
本发明的其他特征提出,获取与标识符相关联的移动设备的通信地址的步骤包含以下步骤:从该请求中提取标识符;查询数据库以确定该标识符是否已经在远程访问服务器中进行了注册;并且,如果该标识符已被注册,那么就从数据库中获取与该标识符相关联的移动设备的通信地址,其中移动设备具有与该移动设备进行通信的证书存储模块。
本发明的另一特征提出,接收数据证书请求的步骤包含:接收超文本传输协议请求消息。
本发明的其他特征提出,从该请求中提取标识符的步骤包含:从由通信设备递交给远程访问服务器的统一资源定位符(URL)的路径部分中提取标识符,以及该标识符为与证书存储模块唯一地关联的字母数字序列。
本发明的另一特征提出,从请求中提取标识符的步骤包含:提取包含在请求中的电子邮件地址。
本发明的另外的特征提出,通过加密通道来执行向证书存储模块请求数字证书、从证书存储模块处接收数字证书以及将数字证书传输给通信设备的步骤;以及加密通道为互联网协议安全(IPSec)加密通道、安全套接层(SSL)加密通道、传输层安全(TLS)加密通道或安全壳(SSH)加密通道。
本发明的其他特征提出,证书存储模块配置为仅响应于从远程访问服务器处接收到数字证书请求而将数字证书传输给远程访问服务器,以及由单个设备来执行由移动设备执行的功能以及由通信设备执行的功能。
本发明的其他特征提出,获取与标识符相关联的移动设备的通信地址的步骤包含以下步骤:将获取的通信地址与传来请求的移动设备的通信地址进行比较。
根据本发明的第二方面,提出了一种执行在移动设备处的用于提供数字证书的方法,移动设备具有与该移动设备耦接的、存储有数字证书的证书存储模块,该方法包含以下步骤:从远程访问服务器处接收数字证书请求,响应于远程访问服务器接收到数字证书请求,由远程访问服务器对该请求进行传输;接收由用户输入的密码,以便对释放数字证书进行授权;将输入的密码与其偏移量进行比较;以及,如果输入的密码与偏移量相对应,那么将数字证书从证书存储模块处传输给远程访问服务器,以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。
本发明的另一特征提出,接收数据证书请求的步骤是通过移动设备在证书存储模块处接收数字证书请求。
本发明的其他特征提出,接收由用户输入的密码的步骤是通过移动设备在证书存储模块处接收密码,并且将输入的密码与其偏移量进行比较的步骤执行在证书存储模块处。
根据本发明的第三方面,提出了一种用于提供数字证书的系统,其包括远程访问服务器,所述远程访问服务器包括:请求接收部件,其用于接收数字证书请求,该请求包含标识符;获取部件,其用于获取与标识符相关联的移动设备的通信地址,其中移动设备具有与该移动设备进行通信的证书存储模块;请求传输部件,其用于通过移动设备将数字证书请求传输给证书存储模块,其中证书存储模块配置为在释放证书之前,通过移动设备来提示其用户输入密码;数字证书接收部件,其响应于将与存储在证书存储模块中的偏移量相对应的密码输入到证书存储模块中而通过移动设备从证书存储模块处接收数字证书;以及数字证书传输部件,其用于将数字证书传输给通信设备,以用于对数据消息进行数字式签署或加密。
本发明的其他特征提出,该系统还包括移动设备,所述移动设备具有与其耦接的存储有数字证书的证书存储模块,移动设备包括:请求接收部件,其用于从远程访问服务器处接收数字证书请求,其中响应于远程访问服务器接收到数字证书请求,由远程访问服务器对该请求进行传输;密码接收部件,其用于接收由用户输入的密码,以便对释放数字证书进行授权;比较部件,其用于将输入的密码与该密码的偏移量进行比较;以及数字证书传输部件,其用于当输入的密码与偏移量相对应时将数字证书从证书存储模块处传输给远程访问服务器,以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。
本发明的其他特征提出,该系统还包括通信设备,所述通信设备配置为:将数字证书请求传输给远程访问服务器;从远程访问服务器处接收数字证书;以及使用接收到的数字证书对数据消息进行数字式签署或加密。
本发明的另一特征提出,数字证书为用于公共密钥加密的安全/多用途互联网邮件扩展(S/MIME)标准数字证书。
本发明的又一特征提出,证书存储模块设于移动设备中。
本发明的其他特征提出,证书存储模块耦接证书存储标签上到或设于证书存储标签中,以及证书存储标签耦接到移动设备的通信部件上。
本发明的又一特征提出,证书存储模块设于移动设备的通信部件中,以及通信部件为订户身份模块(SIM)卡。
本发明的其他特征提出,证书存储模块配置为仅响应于从远程访问服务器处接收到数字证书请求而将数字证书传输给远程访问服务器,以及可由单个设备来执行由移动设备执行的功能与由通信设备执行的功能,以及所述单个设备为移动设备。
根据本发明的第四方面,提出一种用于提供数字证书的证书存储标签,其包括:设置在证书存储标签的顶面上的第一组电触点,以用于与移动设备相配合;设置在证书存储标签的底面上的第二组电触点,以用于与通信部件相配合;耦接元件,其配置为将证书存储标签附接到通信部件上;以及证书存储模块,其设于证书存储标签中并耦接到第一组电触点及第二组电触点上,其中,证书存储模块在其中存储有数字证书,并包括:请求接收部件,其用于从远程访问服务器处接收数字证书请求,其中响应于远程访问服务器接收到数字证书请求,由远程访问服务器对该请求进行传输;密码接收部件,其用于接收由用户输入的密码,以便对释放数字证书进行授权;比较部件,其用于对输入的密码与该密码的偏移量进行比较;以及数字证书传输部件,其用于当输入的密码与偏移量相对应时将数字证书从证书存储模块处传输给远程访问服务器,以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。
本发明的其他特征提出,证书存储模块包括安全处理单元以及公共处理单元;安全处理单元与公共处理单元彼此在逻辑上隔离并在物理上隔离;以及数字证书安全地存储在安全处理单元中。
本发明的其他特征提出,证书存储模块为硬件安全模块;耦接元件为粘接层;通信部件为订户身份模块(SIM)卡;以及数字证书为用于公共密钥加密的安全/多用途互联网邮件扩展(S/MIME)标准数字证书。
根据本发明的第五方面,提出了一种用于提供数字证书的计算机程序产品,该计算机程序产品包含存储有计算机可读程序代码的计算机可读介质,该计算机可读程序代码用于执行以下步骤:接收数字证书请求,该请求包含标识符;获取与该标识符相关联的移动设备的通信地址,其中该移动设备具有与其进行通信的证书存储模块;通过移动设备将数字证书请求传输给证书存储模块,其中证书存储模块配置为在释放证书之前,通过移动设备来提示其用户输入密码;响应于将与存储在证书存储模块中的偏移量相对应的密码输入到证书存储模块中,通过移动设备从证书存储模块处接收数字证书;以及,将数字证书传输给通信设备,以用于对数据消息进行数字式签署或加密。
本发明的其他特征提出,计算机可读介质为非暂时性计算机可读介质;以及计算机可读程序代码可由处理电路来执行。
附图说明
图1是示出了根据本发明实施方案的证书存储模块的硬件部件的框图;
图2A是根据本发明实施方案的证书存储标签的立体图;
图2B是根据本发明实施方案的证书存储标签的截面图;
图3是示出了根据本发明实施方案的系统的框图;
图4A是示出了根据本发明实施方案的在注册阶段中使用的系统的泳道式流程图;
图4B是示出了根据本发明实施方案的正在使用的系统的泳道式流程图;
图4C是示出了本发明的示例性实施方案的泳道式流程图,在该实施方案中,移动设备配置为除了执行移动设备的操作之外还执行通信设备的操作;
图5是示出了根据本发明实施方案的方法的流程图;
图6是示出了根据本发明实施方案的系统的各设备的各部件的框图;
图7是示出了根据本发明实施方案的用于提供数字证书的证书存储标签的框图;
图8是示出了根据本发明实施方案的运行在远程访问服务器端、移动设备端及通信设备端的方法的泳道式流程图;
图9示出了可实现本发明的多个方面的计算设备的实施例;以及
图10示出了可用于本发明实施方案中的通信设备的框图。
具体实施方式
数字证书(也被称为公共密钥证书或身份证书)是将公共密钥与身份(例如用户或组织的名称)绑定在一起的电子文件。也就是说,数字证书可用于检验公共密钥是否属于个人或组织。数字证书可包含:用于唯一地识别证书的序列号、主体(人或识别实体)、签名算法、签名(用于检验其是否来源于发行方)、检验信息并发行证书的实体的发行方标识符、有效起始日期、有效截止日期、指示公共密钥的目的(例如,加密、签名、证书签署等)的密钥用途、公共密钥、用于数字证书进行散列处理的指纹算法,以及指纹,该指纹本身即是散列并用作为数字证书的简略形式。
本发明的实施方案提出证书存储模块,其中可存储一个或多个数字证书。证书存储模块可耦接到移动设备。另外,证书存储模块可配置为仅从远程访问服务器端接受数字证书请求。响应于接收到这种请求,证书存储模块可将数字证书传输给远程访问服务器。
证书存储模块可以:固化在移动设备的硬件中;设于耦接到移动设备并与移动设备进行通信的通信部件中;设置在可耦接到移动设备及移动设备的通信部件上并与移动设备及移动设备的通信部件进行通信的标签中;或者耦接到移动设备上并与移动设备进行电子通信。
图1显示了示出根据本发明实施方案的证书存储模块(100)的硬件部件的框图。证书存储模块(100)包括公共处理单元(PPU)(102)以及耦接到PPU(102)的安全处理单元(SPU)(104)。应当注意的是,尽管SPU(104)耦接到PPU(102)上,但是证书存储模块(100)设置有位于SPU(104)与PPU(102)之间的逻辑间隔和/或物理间隔(106)。“物理间隔”指的是处于SPU(104)与PPU(102)之间的某些物理界限。例如,SPU(104)与PPU(102)可实现并制造为分离的半导体晶片或分开封装的半导体芯片,并且晶片或芯片的物理界限可用作为该物理间隔。“逻辑间隔”指的是SPU(104)与PPU(102)之间的通信接口的分离以及存储内存的分离。如图1所示,PPU(102)具有移动设备接口(108)以及针对SPU的通信接口(110),所述移动设备接口(108)以及针对SPU的通信接口(110)与SPU(110)中的针对PPU的通信接口(112)分离开。PPU(102)还具有其自身的存储器(114),该存储器(114)可以是安全存储器,并且与SPU(104)的安全存储器(122)分离开。正如下文中将要解释的那样,设置于SPU(104)与PPU(102)之间的逻辑间隔和/或物理间隔(106)使硬件职能分开,以保护SPU(104)及存储在其安全存储器(122)中的内容免于未授权访问。
根据某些实施方案,PPU(102)包括处理器(118)、存储器(114)、针对移动设备的接口(108)、通信设备接口(109)以及PPU到SPU接口(110)。处理器(118)可实现作为一个或多个处理器或控制器,或者可使用一个或多个加密处理器来实现。
存储器(114)耦接到处理器(118)上,并为存储数据及可执行代码提供存储空间,从而在通过处理器(118)运行该可执行代码时,促使处理器(118)运行操作系统(OS)和/或应用程序,以管理证书存储模块(100)的功能及操作并处理PPU(102)的多个接口之间的信息交换。存储器(114)还可包括数据存储器(238)。
PPU到SPU接口(110)耦接到SPU(104)上,并提供可包含时钟信号及一个或多个数据输入/输出(I/O)信号的一组信号,以将命令和信息(例如,数字证书请求,或加密请求及解密请求)发送给SPU(104),并且从SPU(104)处接收命令和信息(例如,数字证书,或加密结果及解密结果)。由于SPU(104)与PPU(102)之间的逻辑间隔与物理间隔(106),所以SPU(104)仅暴露给PPU(102),并且除了通过PPU(102)之外不能访问移动设备或通信部件。由此,PPU(102)可用作为防火墙或关卡,以确保未授权的通信或不需要的通信(例如,黑客攻击)不会发送给SPU(104)。
根据某些实施方案,SPU(104)包括加密处理器(120)、安全存储器(122)以及SPU到PPU接口(112)。SPU(104)还可包括篡改检测传感器(124)。如上文所提到的那样,SPU(104)仅能由PPU(102)访问,并通过SPU到PPU接口(112)接收来自于PPU(102)的命令及信息。SPU到PPU接口(112)提供连接到PPU到SPU接口(110)上的包含了时钟信号及一个或多个数据输入/输出(I/O)信号的一组信号,SPU(104)可使用该组信号来与PPU(102)进行通信。在某些实施方案中,SPU(104)仅响应于通过SPU到PPU接口(112)从PPU(102)接收的支付凭证或加密请求及解密请求。
加密处理器(120)可实现为一个或多个处理器、控制器或加密处理器。加密处理器与通用处理器不同之处在于,加密处理器包括专用电路及硬件,例如被优化为能执行计算密集型加密功能的一个或多个加密算数逻辑单元(ALU)(128)。这种加密ALU(128)可包括优化管线及加宽数据总线,以使得加密处理器与通用处理器相比能更快且更有效地执行加密操作。
安全存储器(122)耦接到加密处理器(120)上,并可分成加密密钥存储器(130)和数据存储器(132)。数据存储器(132)可被加密处理器(120)读取并写入,并且为存储用户数据(例如,数字证书、通过SPU到PPU接口(112)从PPU(102)处接收的数据,以及通过SPU到PPU接口(112)发送给PPU(102)的加密结果与解密结果)提供存储内存。加密密钥存储器(130)可以对加密处理器(120)是只读的,并且可用于存储加密密钥,例如私有密钥及公共密钥、加密算法和/或对应于一个或多个数字证书的一个或多个密码(或PIN)偏移量。存储在加密密钥存储器(130)中的密码(或PIN)偏移量与加密密钥以及算法可在制造证书存储模块(100)期间由制造商提供,并且在没有主密钥的情况下不能被外部源更改,只有制造商和/或被授权提供证书存储模块(100)的经授权方才知道该主密钥,例如移动网络运营商或无线业务提供商。在某些实施方案中,加密密钥存储器(130)的内容永不传输到SPU(104)之外,并且不能被PPU(102)访问。存储在加密密钥存储器(130)中的加密密钥及算法可提供为能执行多个加密标准及加密协议,所述加密标准及加密协议包括但不限于高级加密标准(AES)、数据加密标准(DES)、三重数据加密标准/算法(TDES/TDEA)、安全套接字层(SSL)、Blowfish算法、Serpent算法、Twofish算法、国际数据加密算法(IDEA)、Rivest,Shamir&Adleman(RSA)算法、数字签名算法(DSA)、微型加密算法(TEA)、扩展TEA(XTEA)和/或其他的加密算法或加密协议。
在某些实施方案中,SPU(104)还可包括篡改检测传感器(124)以检测试图篡改证书存储模块(100)的外部攻击。例如,篡改检测传感器(124)可包括:温度传感器,以检测那些可表明某人正企图拆焊证书存储模块(100)部件的温度,和/或机械传感器,以检测那些可表明某人正企图切开或剖开证书存储模块(100)的证书存储模块(100)的结构变化。篡改检测传感器(124)还可包括:电子传感器,以检测证书存储模块(100)的电路上发生的那些可表明某人正企图探查证书存储模块(100)部件的某些电压、电流或阻抗变化,和/或电磁传感器,以检测可表明某人正企图侦查证书存储模块(100)的某些辐射,例如X射线。在某些实施方案中,篡改检测传感器(124)可包括能清除并销毁安全存储器(122)的内容的电路,以使得SPU(104)和/或证书存储模块(100)不能用于对检测企图篡改证书存储模块(100)做出响应。证书存储模块(100)还可配置有可被篡改检测传感器(124)响应于检测到企图篡改证书存储模块(100)的攻击所释放的溶剂所溶解的有机互连或可溶性互连。
本发明的实施方案提出,SPU(104)和/或PPU(102)为安全集成电路,例如可在“芯片兼密码”信用卡或智能卡上找到的那种电路。示例性的SPU可包括由NXPSemiconductorsGmbH、Samsung、STMicroelectronics、Atmel、INSIDEelectronics、InfineonTechnologiesAG等制得的并且已经由EMVCo列出为可用于欧洲万事达-VISA(EMV)信用卡的合格产品的那些SPU。备选地,SPU(104)与用于EMV信用卡的合格产品的等同之处在于,它们符合由EMVCo或其他标准组织制定的相似的安全需求,并且SPU(104)还可实现第七层应用防火墙(layersevenapplicationfirewall)。在某些实施方案中,证书存储模块(100)可以是硬件安全模块。
如上文所提到的那样,本发明的实施方案提出,证书存储模块(100)通过多种方式耦接到移动设备上。例如,在本发明的某些实施方案中,证书存储模块(100)可固化在移动设备的硬件中。证书存储模块(100)可设置为位于移动设备的印刷电路板上的一个或多个集成电路,并且可与移动设备的通信总线进行通信。
在另一实施方案中,证书存储模块(100)可设于或集成到与移动设备耦接并进行通信的通信部件中。通信部件例如可以是通用集成电路卡(UICC),例如订户身份模块(SIM)等。证书存储模块(100)可与通信部件的电触点进行电子通信,以使得当通信部件耦接到移动设备并与移动设备进行电子通信时,证书存储模块(100)也能与移动设备进行通信。
通过将证书存储模块(100)耦接到移动设备上,根据本发明的实施方案的证书存储模块(100)可接收经由移动设备的用户接口的用户输入,并凭借移动设备通过移动网络与远程访问服务器进行通信。
在本发明的另一实施方案中,证书存储模块可设于标签中。在本发明的这种实施方案中,证书存储模块(100)的移动设备接口(108)可耦接到与移动设备(例如,移动电话)配合的一组电触点(142)上,并可提供可包含时钟信号及一个或多个数据输入/输出(I/O)信号的一组信号,以在PPU(102)与移动设备之间发送并接收命令及信息。证书存储模块(100)可包括耦接到与通信部件(例如,通信卡(例如,SIM卡))配合的一组电触点(144)上的通信设备接口(109),并提供可包含时钟信号及一个或多个数据输入/输出(I/O)信号的一组信号,以在PPU(102)与通信部件之间发送并接收命令及信息。
图2A示出了证书存储标签(150)的立体图,其中可设有根据本发明的实施方案的证书存储模块(100)。证书存储标签(150)可附接到移动设备的通信部件上。示例性的通信部件包括订户身份模块(SIM)卡、智能卡或记忆卡。示例性的移动设备包括移动电话、平板电脑、笔记本电脑、个人数字助理等。在所示的实施方案中,通信部件为迷你SIM卡(152)。
图2B示出了图2A的证书存储标签(150)的截面图。标签(150)包含设置在标签(150)的顶面上的用于与移动设备配合的第一电触点组(154),以及设置在标签(150)的底面上的用于与SIM卡(152)的电触点(156)配合的第二电触点组(158)。本发明的实施方案还提出,标签(150)限制为在一个SIM卡(152)上使用。例如,标签(150)可与具有特定的ICCID或IMSI码的SIM卡(152)兼容。这意味着,标签(150)不能从其SIM卡(152)上移除并设置到另一个SIM卡上。备选地,标签(150)可限制针对特定移动网络运营商的SIM卡,或可限制针对对应于特定MSISDN的SIM卡。应当理解的是,用语“设于(或设置于/位于)”包括本发明的那些将证书存储模块(100)设置在证书存储标签(150)的外部表面上或与之相似的实施方案。
根据上文所述的多个实施方案的证书存储模块(100)可相应地配置为拦截那些通过移动通信网络从远程访问服务器发送给移动设备的、具有数字证书请求的消息。证书存储模块(100)可由此配置为通过将由用户凭借电子设备输入的密码与所存储的密码偏移量进行比较而获取用户验证。如果密码与偏移量相对应,那么证书存储模块(100)配置为从SPU(104)向PPU(102)释放出请求的数字证书,以用于从该处与远程访问服务器进行通信。
图3示出了根据本发明的实施方案的系统(300)的示意图。系统(300)包括多个移动设备(312,314,316)以及多个通信设备(322,324,326),该多个移动设备及多个通信设备中的每一个均由系统(302,304,306)的多个用户中之一来操作。该系统还包括其中存储有至少一个用户档案数据库(342)的远程访问服务器(340)。多个通信设备(322,324,326)以及多个移动设备(312,314,316)均与远程访问服务器(340)进行通信。这种通信可通过加密通道来执行,该加密通道例如可以是互联网协议安全(IPSec)、安全套接层(SSL)、传输层安全(TLS)或安全壳(SSH)加密通道。
多个移动设备(312,314,316)中的每一个均可以是任何适合的移动设备,该任何适合的移动设备的例子包括移动电话、平板电脑、个人数字助理、智能电话、笔记本电脑等。多个移动设备中的每一个各自具有与其耦接的证书存储模块(332,334,336)。
在如图3所示的系统(300)的实施方案中,多个证书存储模块中的每一个均设于附接或耦接到相应的移动设备的通信部件上的证书存储标签中。然而,从其他实现方式中可以看到,证书存储模块直接设于移动设备中、设于移动设备的SIM卡中等情况。移动设备(312,314,316)中的每一个均可通过该移动设备的通信地址唯一性而被寻址到。
本发明的实施方案提出,可在移动设备(312,314,316)中的每一个上设置移动软件应用程序,其允许用户与耦接到该移动设备上的证书存储模块(332,334,336)配合工作。软件应用程序可提供:用户接口,以使待与存储在证书存储模块(332,334,336)中的偏移量进行比较的密码能便于输入到移动设备(312,314,316)中;列表,用户可从其中选定数字证书;数字证书请求的通知等。用户接口可包含菜单,据此菜单可初始化这些通信中的至少某些项。本发明的实施方案还提出,这种接口由SIM应用工具包协议(通常称作为STK协议)方式等提供。
示例性的通信设备(322,324,326)包括台式电脑、笔记本电脑、移动电话、平板电脑或任何其他适合的通信设备。通信设备(322,324,326)中的每一个至少配置为发送并接收数据消息,并向远程访问服务器(340)请求数字证书。通信设备(322,324,326)中的每一个还可配置为对数据消息进行数字式签署或加密。
用语“数据消息”可包括例如选自以下群组中的任何数字文件:电子邮件或其他数字消息;数字图像;计算机文档;计算机文件夹或目录;计算机程序等。
本发明的实施方案提出,移动设备(例如,312)以及通信设备(例如,322)为相同的设备。例如,用户(例如,302)可使用具有与其耦接的证书存储模块(332)的单个设备来向远程访问服务器(340)请求数字证书,授权从证书存储模块(332)释放数字证书,以及接收数字证书。
远程访问服务器(340)为服务器计算机,该服务器计算机至少配置为从通信设备(例如,322)端接收数字证书请求,并查询数据库以识别与该通信设备(322)相关联的证书存储模块(332)或移动设备(312)的通信地址。远程访问服务器(340)还配置为通过移动设备(312)并使用通信地址来向证书存储模块(332)请求数字证书,并随后从证书存储模块(332)处接收数字证书。随后,远程访问服务器(340)配置为将数字证书传输给通信设备(322)。远程访问服务器(340)与证书存储模块(332,334,336)之间的通信可通过与该证书存储模块(332,334,336)相对应的移动设备(312,314,316)来进行。数字证书请求会被发送给移动设备(例如,312),并且由其中的证书存储模块(332)拦截。远程访问服务器可另外设置有路由功能,以将从通信设备处接收的数字证书请求引导至相应的证书存储模块。备选地,这种路由功能可由独立的路由服务器或路由目录提供。
证书存储模块(332,334,336)中的每一个均包括SPU以及PPU,并且配置为能安全地存储一个或多个数字证书。证书存储模块(332,334,336)还配置为从远程访问服务器(340)处接收数字证书请求。证书存储模块(332,334,336)配置为通过耦接有证书存储模块的移动设备(312,314,316)来请求并接收用户授权。在成功授权之后,证书存储模块(例如,332)配置为将相关的数字证书传送给远程访问服务器(340)。证书存储模块(332,334,336)中的每一个均可通过与其相关联的移动设备(312,314,316)所对应的通信地址而被寻址到。
图3还示出了认证中心(350),其与远程访问服务器(340)进行通信并配置为生成并确认数字证书。
在本发明的某些实施方案中,证书存储模块(332,334,336)可通过与其耦接的移动设备(312,314,316)直接与相应的通信设备(322,324,326)进行通信。这种配置允许数字证书在不经由远程访问服务器传输的情况下,就能通过与其耦接的移动设备(312,314,316)从证书存储模块(332,334,336)直接发送给相应的通信设备(322,324,326)。
图4A示出了图3所示的系统(300)的使用情况,其中,用户(402)在该系统上进行注册。获得了证书存储模块(432)并想要使用他或她的证书存储模块(432)来数字式签署和/或加密他或她的电子邮件或其他数据消息的用户(402)在远程访问服务器(440)上注册(470)他或她的证书存储模块(432)的证书存储标识符,以及与该用户的证书存储模块(432)相关联的移动设备的通信地址。
远程访问服务器(440)由此将该标识符存储(471)在用户档案数据库中。除此之外,用户还在远程访问服务器(440)上确认他或她想要发送并接收数字式加密和/或签署电子邮件的电子邮件地址,用户想要发送并接收数字式加密和/或签署电子邮件的意愿也存储在用户档案数据库中。远程访问服务器(440)由此允许用户向参与的认证中心(450)请求数字证书,或允许用户使用预先存在的数字证书。
如果(472)用户请求数字证书,那么远程访问服务器(440)会针对用户注册的电子邮件地址向参与的认证中心(450)请求(473)数字证书。认证中心(450)将生成(474)数字证书,并将生成的数字证书传输给远程访问服务器(410),该远程访问服务器将在从认证中心(450)处接收到数字证书时将该证书传送给用户的证书存储模块(432)以供存储(476)。
如果(472)用户想要使用预先存在的证书,那么远程访问服务器(440)提示用户将数字式签署的电子邮件发送给远程访问服务器(440)的特定电子邮件地址。用户将电子式签署的电子邮件发送(477)给远程访问服务器(440)的特定电子邮件地址,然后远程访问服务器(440)通过相关的认证中心来确认(478)从用户处接收的数字式签署的电子邮件中收到的数字证书,然后提示相关的认证中心重新签发数字证书。数字证书被重新签发(479)并传输回远程访问服务器。远程访问服务器(440)接收(480)重新签发的数字证书,并在接收到使用者的传输授权时,将该重新签发的证书传输给用户的证书存储模块(432),以供在该处存储(476)。
图4B示出了由已经在远程访问服务器上进行注册的用户使用如图3所示的系统(300)的情况。某个例如想要使用数字证书来数字式签署从他或她的通信设备(422)处发送的数据消息的用户,或想要对在他或她的通信设备(422)处接收的数据消息进行解密的用户,使用他或她的通信设备(422)将数字证书请求传输(481)给远程访问服务器(440)。远程访问服务器(440)接收(482)该请求并使用其中包含的消息(例如,证书存储标识符)来查询数据库,以便识别与该请求和/或用户的通信设备(422)相关联的移动设备(412)的通信地址。在已经获取了消息所要寄送的通信地址(例如,移动订户集成数字服务网络(“MSISDN”)号码等)之后,远程访问服务器(440)通过移动设备(412)将数字证书请求传输给证书存储模块(432)。证书存储模块(432)接收该请求,然后通过提示(483)用户通过移动设备(412)输入他或她的密码来对该请求进行授权。用户将他或她的密码输入(484)输入到移动设备(412)中,并且证书存储模块(432)对输入的密码与存储在其中的偏移量进行比较。如果输入的密码与偏移量匹配,那么证书存储模块(432)释放相关的数字证书,并通过移动设备(412)将该数字证书传输(485)给远程访问服务器(440)。数字证书在远程访问服务器(440)处被接收并传送给通信设备(422),其中在通信设备(422)处接收数字证书以供用户使用。
在本发明的某些实施方案中,由移动设备(412)执行的功能以及由通信设备(422)执行的功能可由单个设备来执行。例如,移动设备(412)可向远程访问服务器(410)请求数字证书,并且作为响应,接收请求的数字证书以在该处使用。备选地,通信设备(422)可具有与其耦接并进行电子通信的属于它自己的证书存储模块(432),并且可向远程访问服务器(410)请求数字证书,并且作为响应,接收请求的数字证书以在该处使用。
证书存储模块可配置为不接收来自于除了远程访问服务器之外的设备的数字证书请求。由于远程访问服务器(410)是唯一能向证书存储模块(432)实施请求数字证书的设备,所以与证书存储模块(432)耦接的设备不能直接向证书存储模块(432)实施请求数字证书。与证书存储模块(432)耦接的设备仅被允许将从远程访问服务器(410)处接收到的数字证书请求传递给证书存储模块(432)。
图4C是示出了本发明的示例性实施方案的泳道式流程图,其中,移动设备(412)配置为执行除了执行移动设备(412)的操作之外还执行通信设备(422)的操作。
某个例如想要使用数字证书来数字式签署从他或她的移动设备(412)处发送的数据消息的用户,或想要对在他或她的移动设备(412)上接收的数据消息进行解密的用户,使用他或她的移动设备(412)向远程访问服务器(440)传输(491)数字证书请求。远程访问服务器(440)接收(492)该请求。远程访问服务器可使用包含在其中的消息(例如,证书存储标识符)来查询数据库,以便对接收到的请求所来自的移动设备(412)的通信地址是否有效进行识别。然后,远程访问服务器(440)通过移动设备(412)将数字证书请求传输给证书存储模块(432)。然后,证书存储模块(432)通过提示(493)用户凭借移动设备(412)输入他或她的密码来授权该请求。用户将他或她的密码输入(494)到移动设备(412)中,并且证书存储模块(432)对输入的密码与存储在其中的偏移量进行比较。如果存储的密码与偏移量匹配,那么证书存储模块(432)释放相关的数字证书,并通过移动设备(412)将该数字证书传输(495)给远程访问服务器(440)。数字证书在远程访问服务器(440)处被接收,并传送给移动设备(412),其中在移动设备(412)处接收(497)该数字证书以供用户使用。
图5示出了在远程访问服务器处执行的方法(500)。该方法包括第一步骤(520):从通信设备处接收对用于签署或加密数据消息的数字证书的请求。对数字证书的请求可以以超文本传输协议(HTTP)请求消息的形式,并且可至少包含用户的标识符或用户的证书存储模块的标识符。
该方法包括下一步骤(504):从该请求中提取标识符。该标识符例如可从由通信设备递交给远程访问服务器的统一资源定位符(URL)的路径部分中提取,作为HTTP请求消息的一部分。备选地,标识符可提供为与数字证书的请求相关的用户相对应的电子邮件地址的形式。
该方法还包括后一步骤(506):查询数据库以确定该标识符是否已经在远程访问服务器上进行了注册,以及如果该标识符已被注册,那么从数据库中获取与该标识符相关联的移动设备的通信地址(例如,MSISDN等)。经识别的移动设备具有与其进行通信的证书存储模块。
在此之后,远程访问服务器可实施步骤(508):向移动设备的证书存储模块请求数字证书,然后是步骤(510):从证书存储模块处接收数字证书。
最终步骤(512)包括:将数字证书传输给通信设备。这可通过生成并传输包含数字证书的HTTP响应消息而实施。传送给通信设备的数字证书还可包含关于所允许的证书用法(例如,其可开放使用1小时)或其可使用的次数(例如,仅可签署特定数量的电子邮件)的消息。数字证书还可包含一套规则,该规则可配置成指定授权所需的性质。
图6为示出了根据本发明的实施方案的系统(600)的各设备的各部件的框图。系统(600)包括远程访问服务器(640)、移动设备(612)以及通信设备(622)。
远程访问服务器(640)可包括用于接收数字证书请求的请求接收部件(642)。该请求包含标识符。远程访问服务器(640)还可包括用于获取与该标识符相关联的移动设备的通信地址的获取部件(644)。移动设备可具有与其进行通信的证书存储模块。远程访问服务器还可包括:用于通过移动设备将数字证书请求传输给证书存储模块的请求传输部件(646),以及数字证书接收部件(648),其中响应于将对应于存储在证书存储模块中的偏移量的密码输入到证书存储模块中,所述数字证书接收部件通过移动设备从证书存储模块处接收数字证书。远程访问服务器还可包括用于将数字证书传输给通信设备以用于数字式签署或加密数据消息的数字证书传输部件(650)。
移动设备(612)具有与其耦接并进行通信的证书存储模块(613)。证书存储模块(613)可在其中存储有一个或多个数字证书。移动设备(612)还可包括用于从远程访问服务器(640)处接收数字证书请求的请求接收部件(614)。响应于远程访问服务器(640)接收到数字证书请求,由远程访问服务器(640)来传输该请求。移动设备(612)还可包括:密码接收部件(615),其用于接收由用户输入的密码以便对释放数字证书进行授权,以及比较部件(616),其用于将输入的密码与该密码的偏移量进行比较。移动设备可包括数字证书传输部件(617),其用于当输入的密码与偏移量相对应时将数字证书从证书存储模块传输给远程访问服务器(640),以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。
通信设备(622)可包括:请求传输部件(623),其用于将数字证书请求传输给远程访问服务器(640),以及数字证书接收部件(624),其用于接收来自于远程访问服务器(640)的数字证书,以及数字式签署或加密部件(625),其用于使用接收到的数字证书对数据消息进行数字式签署或加密。
证书存储模块(617)可配置为仅响应于从远程访问服务器(640)接收到数字证书而将数字证书传输给远程访问服务器(640)。在本发明的某些实施方案中,由移动设备(612)执行的功能以及由通信设备(622)执行的功能可由单个设备来执行。该单个设备例如可以是不仅具有移动设备(612)的部件还具有通信设备(622)的部件的移动设备。
图7是示出了根据本发明的实施方案的用于提供数字证书的证书存储标签(700)的框图。证书存储标签(700)可包括设置在证书存储标签的顶面上的用于与移动设备相配合的第一组电触点(702),以及设置在证书存储标签的底面上的用于与通信设备相配合的第二组电触点(704)。证书存储标签(700)还可包括耦接元件(706),其配置为将证书存储标签(700)附接到通信部件上。证书存储标签(700)还可包括设于证书存储标签中并耦接到第一组电触点和第二组电触点的证书存储模块(708)。
证书存储模块(708)可在其中存储有数字证书,并且可包括用于从远程访问服务器处接收数字证书请求的请求接收部件(710)。响应于远程访问服务器接收到数字证书请求,由远程访问服务器来传输该请求。证书存储模块(708)还可包括:密码接收部件(712),其用于接收由用户输入的密码以便对释放数字证书进行授权,以及比较部件(714),其用于对输入的密码与该密码的偏移量进行比较。证书存储模块(708)还可包括数字证书传输部件(716),其用于当输入的密码与偏移量相对应时将数字证书从证书存储模块(708)处传输给远程访问服务器,以便传输给通信部件并用于对该处的数据消息进行数字式签署或加密。
图8是示出了根据本发明的实施方案的运行在远程访问服务器(840)端、移动设备(812)端与通信设备(822)端的方法的泳道式流程图。图8与图4B相似,示出了根据本发明的另一实施方案的方法。
在第一步骤(842)中,从通信设备(822)处向远程访问服务器(840)传输数字证书请求。
在下一步骤(844)中,在远程访问服务器(840)处接收可包含标识符的数字证书请求,并且在后一步骤(846)中,远程访问服务器(840)由此获取与该标识符相关联的移动设备的通信地址。这可包括:从该请求中提取标识符,查询数据库以确定该标识符是否已经在远程访问服务器中进行了注册,以及如果该标识符被注册,那么从数据库中获取与该标识符相关联的移动设备的通信地址。经识别的移动设备可具有与其耦接并进行通信的证书存储模块。
在下一步骤(848)中,远程访问服务器(840)可通过移动设备将数字证书请求传输给证书存储模块。
在后一步骤(850)中,移动设备(812)从远程访问服务器(840)处接收数字证书请求。
然后,移动设备(812)可提示用户输入密码,以便对从证书存储模块释放数字证书进行授权,并且在后一步骤(852)中,移动设备(812)接收由用户输入的密码。
在下一步骤(854)中,移动设备将接收的密码与其偏移量进行比较,并且如果(855)输入的密码与偏移量相对应,那么在后一步骤(856)中,将数字证书从证书存储模块传输给远程访问服务器(840),以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。在本发明的某些实施方案中,可由证书存储模块来执行提示用户输入密码、接收输入的密码(852)、将输入的密码与其偏移量进行比较(854)以及将密码传输给远程访问服务器(856)中的某些步骤。
在下一步骤(858)中,远程访问服务器通过移动设备从证书存储模块处接收数字证书,并且在后一步骤(860)中,将该数字证书传输给通信设备(822)以用于对数据消息进行数字式签署或加密。
然后在最终步骤(862)中,通信设备(822)接收数字证书,并可随后使用该数字证书对数据消息进行数字式签署或加密。
参照相应的附图在上文中描述的系统、方法、设备及证书存储模块允许用户安全地存储可用于对数据或数据消息进行签署、加密或解密的数字证书。该数字证书可由通信设备通过“带外”通道取得,其中用户想要通过远程访问服务器在该信设备上签署、加密或解密数据。这减小了为冒用而试图向不法分子提供数字证书的中间人或按键记录程序成功攻击的风险。
图9示出了能实现本发明各个方面的计算设备(900)的示例。计算设备(900)适合于存储并运行计算机程序代码。上述系统示意图中的各个参与者和要素可使用任何适当数量的计算设备(900)的子系统或部件,以促进本文所描述的功能。
计算设备(900)可包括经由通信基础设施(905)(例如,通信总线、交叉杆设备或网络)互连的子系统或部件。计算设备(900)可包括至少一个中央处理器(910),以及以计算机可读介质形式的至少一个存储器部件。
存储器部件可包括系统存储器(915),其可包括只读存储器(ROM)和随机访问存储器(RAM)。基础输入/输出系统(BIOS)可存储在ROM中。系统软件可存储在系统存储器(915)中,这包括了操作系统软件。
存储器部件还可以包括辅助存储器(920)。辅助存储器(920)可包括例如硬盘驱动器的硬盘(921),以及任选的用于可拆卸存储器部件(923)的一个或多个可拆卸存储器接口(922)。
可拆卸存储器接口(922)可以是用于相应的可拆卸存储器部件(例如,磁带、光盘、软盘等)的可拆卸存储器驱动器(例如,磁带驱动器、光盘驱动器、软盘驱动器等)的形式,其中可拆卸存储器部件可由可拆卸存储器驱动器进行写入和读取。
可拆卸存储器接口(922)也可以是用于与其他形式的可拆卸存储其部件(923)(例如,闪存驱动器、外部硬盘驱动器或可拆卸存储器芯片等)互联的端口或插槽的形式。
计算设备(900)可包括用于在能实现多个计算设备(900)之间的数据传输的联网环境下操作计算设备(900)的外部通信接口(930)。经由外部通信接口(930)传送的数据可以是信号的形式,其可以是电子信号、电磁信号、光信号、无线电信号或其他类型的信号。
外部通信接口(930)可实现计算设备(900)与其他计算设备(包括服务器和外部存储设施)之间的数据通信。Web服务可由计算设备(900)通过通信接口(930)来访问。
外部通信接口(930)也可以实现往来于计算设备(900)的其他形式的通信,这包括语音通信、近场通信、蓝牙等。
以各种存储器部件形式的计算机可读介质可以提供对计算机可执行指令、数据结构、程序模块和其他数据的存储。计算机程序产品可通过计算机可读介质来提供,其中该计算机可读介质具有可由中央处理器(910)运行的经存储的计算机可读程序代码。
计算机程序产品可以由非暂时性计算机可读介质来提供,或者可以通过通信接口(930)通过信号或其他瞬时机构来提供。
经由通信基础设施(905)的互连允许中央处理器(910)与每个子系统或部件进行通信并控制来自于存储器部件的指令的运行,以及允许子系统或部件之间的信息交换。
外围设备(例如打印机、扫描仪、照相机等)和输入/输出(I/O)设备(例如鼠标、触摸板、键盘、话筒、操纵杆等)可直接或通过I/O控制器(935)来耦接到计算设备(900)上。这些部件可通过本领域已知的任何数目的机构(例如,串行端口)连接到计算设备(900)上。
一个或多个监测器(945)可经由显示器或视频适配器(940)来耦接到计算设备(900)上。
图10示出了可使用在本发明实施方案中的通信设备(1000)的框图。通信设备(1000)可以是蜂窝电话、功能手机、智能电话、卫星电话,或具有电话功能的计算设备。
通信设备(1000)可包括用于处理通信设备(1000)各功能的处理器(1005)(例如,微处理器),以及允许用户看到电话号码和其他信息及消息的显示器(1020)。通信设备(1000)还可以包括允许用户将信息输入到该通信设备中的输入元件(1025)(例如,输入按钮、触摸屏等),允许用户收听语音通信、音乐等的扬声器(1030),以及允许用户通过通信设备(1000)来传送他或她的语音的麦克风(1035)。
可以将通信设备(1000)的处理器(1010)连接到存储器(1015)上。存储器(1015)可以是用于存储数据和(任选的)计算机可执行指令的计算机可读介质的形式。
通信设备(1000)也可包括用于连接通信信道(例如,蜂窝式电话网络、数据传输网络、Wi-Fi网络、卫星电话网络、互联网网络、卫星互联网网络等)的通信元件(1040)。通信元件(1040)可包括相关联的无线传输元件,例如天线。
通信元件(1040)可包括集成电路形式的订户身份模块(SIM),其用于存储国际移动订户身份以及使用通信设备(1000)来识别和验证订户的相关密钥。可以将一个或多个订户身份模块从通信设备(1000)上拆除,或嵌入在通信设备(1000)中。
通信设备(1000)还可包括非接触元件(1050),其通常实现为具有相关联的无线传输元件(例如天线)的半导体芯片(或其他数据存储元件)的形式。非接触元件(1050)可以与通信设备(1000)相关联(例如,嵌入内部),并且经由蜂窝网络传送的数据或控制指令可以通过非接触元件接口(未示出)施加到非接触元件(1050)上。非接触元件接口可以起到允许在移动设备电路(以及相应的蜂窝网络)与非接触元件(1050)之间交换数据和/或控制指令的作用。
非接触元件(1050)能够使用通常符合标准化协议或数据传输机制(例如ISO14443/NFC)的近场通信(NFC)功能(或近场通信介质)来传送和接收数据。近场通信功能是短程通信能力,例如射频识别(RFID)、蓝牙、红外,或其他可用于在通信设备(1000)和问询设备之间交换数据的传输能力。因此,通信设备(1000)能够通过蜂窝网络和近场通信能力来进行数据和/或控制指令的通信和传输。
存储在存储器(1015)中的数据可包括:与数据通信设备(1000)的操作有关的操作数据、个人数据(例如,姓名、出生日期、身份号码、等)、金融数据(例如,银行账户信息、银行识别码(BIN)、信用卡或借记卡号码信息、账户余额信息、到期日期、信用提供商帐号等)、交通信息(例如,地铁票或火车票)、访问信息(例如,作为接入徽章)等。用户可将该数据从通信设备(1000)传送,以选定接收器。
除其他事项外,通信设备(1000)可以是:能够接收警报消息和访问报告的通知设备,能够用于传送可识别待用折扣的控制数据的便携式商家设备,以及可进行支付的便携式消费者设备。
本发明实施方案的上述说明出于说明性目的给出;其并非旨在穷举本发明或将将本发明限制到所公开的具体形式中。相关领域技术人员可以理解,可根据上述公开内容来进行多种修改和变型。
本说明书的某些部分根据算法和信息操作的符号表示对本发明实施例加以描述。这些算法描述和表示是数据处理领域中的技术人员所惯用的,以便有效地将他们的工作传达给本领域的其他技术人员。尽管以功能性、计算性或逻辑性方式对这些操作进行描述,但是其应当理解为可由计算机程序或等效电路、微代码等来实现。所描述的操作可以体现在软件、固件、硬件或其任意组合中。
本申请中所描述的软件部件或功能可以实现为例如采用传统或面向对象技术的、使用任何合适的计算机语言(例如,Java、C++或Perl)的、待由一个或多个处理器运行的软件代码。软件代码可存储为非暂时性计算机可读介质(例如,随机访问存储器(RAM)、只读存储器(ROM)、磁性介质(例如,硬盘驱动器或软盘),或光介质(例如,CD-ROM))上的一系列指令或命令。任何这样的计算机可读介质还可驻留在单个计算设备上或单个计算设备内,并且可以驻留在系统或网络内的不同计算设备上或计算设备内。
本文所述的任何步骤、操作、过程可以用一个或多个硬件或软件模块以单独方式或与其他设备相结合的方式来实现。在一个实施例中,软件模块实现为包括非暂时性计算机可读介质的计算机程序产品,其中该非暂时性计算机可读介质包含可由计算机处理器运行的、用于实现上述任何或全部步骤、操作或过程的计算机程序代码。
最后,在说明书中使用的语言主要选择用于可读性和指导性目的,可能并非选择用于勾勒或划定本发明主题。因此,意图在于,本发明的范围不受该详细描述所限制,而是由以基于本文的应用为出发点的权利要求所限定。因此,本发明实施例的公开意在说明性,而非对由所附权利要求阐述的本发明范围进行限制。
Claims (22)
1.一种执行在远程访问服务器端的用于提供数字证书的方法,包括以下步骤:
接收数字证书请求,所述数字证书请求包含标识符;
获取与所述标识符相关联的移动设备的通信地址,其中所述移动设备具有与其进行通信的证书存储模块;
通过移动设备将数字证书请求传输给证书存储模块,其中,所述证书存储模块配置为在释放所述数据证书之前,通过所述移动设备来提示其用户输入密码;
响应于将与存储在所述证书存储模块中的偏移量相对应的密码输入到所述证书存储模块中,通过所述移动设备从所述证书存储模块处接收所述数字证书;以及
将所述数字证书传输给通信设备,以用于对数据消息进行数字式签署或加密。
2.根据权利要求1所述的方法,其特征在于,上述获取与所述标识符相关联的移动设备的通信地址的步骤包括以下步骤:
从所述数字证书请求中提取所述标识符;
查询数据库以确定所述标识符是否已经在所述远程访问服务器中被注册;以及
如果所述标识符被注册,那么从所述数据库中获取与所述标识符相关联的移动设备的通信地址,所述移动设备具有与其进行通信的证书存储模块。
3.根据权利要求1所述的方法,其特征在于,上述接收数字证书请求的步骤包括:接收超文本传输协议请求消息。
4.根据权利要求2所述的方法,其特征在于,上述从所述数字证书请求中提取标识符的步骤包括:从由所述通信设备递交给所述远程访问服务器的统一资源定位符(URL)的路径部分中提取所述标识符,并且其中所述标识符为与所述证书存储模块唯一地关联的字母数字序列。
5.根据权利要求2所述的方法,其特征在于,上述从所述数字证书请求中提取所述标识符的步骤包括:提取包含在所述数字证书请求中的电子邮件地址。
6.根据权利要求1所述的方法,其特征在于,通过加密通道来执行上述向所述证书存储模块请求数字证书、从所述证书存储模块处接收数字证书以及将所述数字证书传输给所述通信设备的步骤;并且其中,所述加密通道为互联网协议安全(IPSec)加密通道、安全套接层(SSL)加密通道、传输层安全(TLS)加密通道或安全壳(SSH)加密通道。
7.根据权利要求1所述的方法,其特征在于,所述证书存储模块配置为:仅响应于从所述远程访问服务器处接收到数字证书请求而将所述数字证书传输给所述远程访问服务器,并且其中通过单个设备来执行由所述移动设备执行的功能以及由所述通信设备执行的功能。
8.根据权利要求2所述的方法,其特征在于,上述获取与所述标识符相关联的移动设备的通信地址的步骤包括以下步骤:
将获取的通信地址与传来所述数字证书请求的所述移动设备的通信地址进行比较。
9.一种执行在移动设备端的用于提供数字证书的方法,所述移动设备具有与其耦接的存储有数字证书的证书存储模块,所述方法包括以下步骤:
从远程访问服务器处接收数字证书请求,其中响应于所述远程访问服务器接收到数字证书请求,由所述远程访问服务器对所述数字证书请求进行传输;
接收由用户输入的密码,以便对释放所述数字证书进行授权;
将输入的密码与所述密码的偏移量进行比较;以及
当输入的密码与所述偏移量相对应时,将所述数字证书从所述证书存储模块处传输给所述远程访问服务器,以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。
10.根据权利要求9所述的方法,其特征在于,上述接收数字证书请求的步骤是通过所述移动设备在所述证书存储模块处接收数字证书请求。
11.根据权利要求9所述的方法,其特征在于,上述接收由用户输入的密码的步骤是通过所述移动设备在所述证书存储模块处接收所述密码,并且其中在所述证书存储模块处执行上述将输入的密码与其偏移量进行比较的步骤。
12.一种用于提供数字证书的系统,其包括远程访问服务器,所述远程访问服务器包括:
请求接收部件,其用于接收数字证书请求,所述数字证书请求包含标识符;
获取部件,其用于获取与所述标识符相关联的移动设备的通信地址,其中所述移动设备具有与其进行通信的证书存储模块;
请求传输部件,其用于通过所述移动设备将数字证书请求传输给所述证书存储模块,其中所述证书存储模块配置为在释放所述数字证书之前,通过所述移动设备来提示其用户输入密码;
数字证书接收部件,其响应于将与存储在所述证书存储模块中的偏移量相对应的密码输入到所述证书存储模块中,而通过所述移动设备从所述证书存储模块处接收所述数字证书;以及
数字证书传输部件,其用于将所述数字证书传输给通信设备,以用于对数据消息进行数字式签署或加密。
13.根据权利要求12所述的系统,其特征在于,所述系统还包括移动设备,所述移动设备具有与其耦接的存储有数字证书的证书存储模块,其中所述移动设备包括:
请求接收部件,其用于从所述远程访问服务器处接收数字证书请求,其中响应于所述远程服务器接收到所述数字证书请求,由所述远程访问服务器对所述数字证书请求进行传输;
密码接收部件,其用于接收由用户输入的密码,以便对释放数字证书进行授权;
比较部件,其用于将输入的密码与所述密码的偏移量进行比较;以及
数字证书传输部件,其用于当输入的密码与所述偏移量相对应时将所述数字证书从所述证书存储模块处传输给所述远程访问服务器,以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。
14.根据权利要求12所述的系统,其特征在于,所述系统还包括通信设备,所述通信设备配置为:将数字证书请求传输给所述远程访问服务器;从所述远程访问服务器处接收所述数字证书;以及,使用接收到的数字证书对所述数据消息进行数字式签署或加密。
15.根据权利要求12所述的系统,其特征在于,所述数字证书为用于公共密钥加密的安全/多用途互联网邮件扩展(S/MIME)标准数字证书。
16.根据权利要求12所述的系统,其特征在于,所述证书存储模块设于所述移动设备中。
17.根据权利要求12所述的系统,其特征在于,所述证书存储模块设于证书存储标签中;并且其中所述证书存储标签耦接到所述移动设备的通信部件上。
18.根据权利要求12所述的系统,其特征在于,所述证书存储模块设于移动设备的通信部件中;并且其中所述通信部件为订户身份模块(SIM)卡。
19.根据权利要求12所述的系统,其特征在于,所述证书存储模块配置为仅响应于从所述远程访问服务器处接收到数字证书请求而将所述数字证书传输给所述远程访问服务器,其中通过单个设备来执行由所述移动设备执行的功能以及由所述通信设备执行的功,并且其中所述单个设备为所述移动设备。
20.一种用于提供数字证书的证书存储标签,包括:
第一组电触点,其设置在所述证书存储标签的顶面上,用于与移动设备相配合;
第二组电触点,其设置在所述证书存储标签的底面上,用于与通信部件相配合;
耦接元件,其配置为将所述证书存储标签附接到所述通信部件上;以及
证书存储模块,其设于所述证书存储标签中,并耦接到所述第一组电触点及第二组电触点上,其中所述证书存储模块在其中存储有数字证书,并包括:
请求接收部件,其用于从远程访问服务器处接收数字证书请求,其中响应于所述远程访问服务器接收到数字证书请求,由所述远程访问服务器对所述数字证书请求进行传输;
密码接收部件,其用于接收由用户输入的密码,以便对释放所述数字证书进行授权;
比较部件,其用于将输入的密码与所述密码的偏移量进行比较;以及
数字证书传输部件,其用于当输入的密码与所述偏移量相对应时将所述数字证书从所述证书存储模块处传输给所述远程访问服务器,以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。
21.根据权利要求20所述的证书存储标签,其特征在于,所述证书存储模块包括安全处理单元以及公共处理单元;其中所述安全处理单元与公共处理单元彼此逻辑隔离并物理隔离,并且其中所述数字证书安全地存储在所述安全处理单元中。
22.一种用于提供数字证书的计算机程序产品,所述计算机程序产品包含存储有计算机可读程序代码的计算机可读介质,所述计算机可读程序代码用于执行以下步骤:
接收数字证书请求,所述数字证书请求包含标识符;
获取与所述标识符相关联的移动设备的通信地址,其中所述移动设备具有与其进行通信的证书存储模块;
通过所述移动设备将数字证书请求传输给所述证书存储模块,其中所述证书存储模块配置为在释放所述数字证书之前,通过所述移动设备来提示其用户输入密码;
响应于将与存储在所述证书存储模块中的偏移量相对应的密码输入到所述证书存储模块中,通过所述移动设备从所述证书存储模块处接收所述数字证书;以及
将所述数字证书传输给通信设备,以用于对数据消息进行数字式签署或加密。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ZA201303076 | 2013-04-26 | ||
| ZA2013/03076 | 2013-04-26 | ||
| PCT/IB2014/061008 WO2014174491A1 (en) | 2013-04-26 | 2014-04-25 | Providing digital certificates |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105393489A true CN105393489A (zh) | 2016-03-09 |
Family
ID=51791143
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480036811.5A Pending CN105393489A (zh) | 2013-04-26 | 2014-04-25 | 提供数字证书 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US9660814B2 (zh) |
| EP (1) | EP2989746A4 (zh) |
| KR (1) | KR101612751B1 (zh) |
| CN (1) | CN105393489A (zh) |
| AP (1) | AP2015008827A0 (zh) |
| AU (1) | AU2014258980B2 (zh) |
| HK (2) | HK1218474A1 (zh) |
| WO (1) | WO2014174491A1 (zh) |
| ZA (1) | ZA201507785B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107229877A (zh) * | 2017-06-05 | 2017-10-03 | 北京凤凰理理它信息技术有限公司 | 证书管理、获取方法、装置、计算机程序及电子设备 |
| CN108234128A (zh) * | 2016-12-22 | 2018-06-29 | 音弗维因有限公司 | 用于存储证书的方法以及认证方法 |
| CN108234126A (zh) * | 2016-12-21 | 2018-06-29 | 金联汇通信息技术有限公司 | 用于远程开户的系统和方法 |
| CN108242998A (zh) * | 2016-12-27 | 2018-07-03 | 航天信息股份有限公司 | 一种移动设备通过二维码提取数字证书的方法及系统 |
| CN110192197A (zh) * | 2017-01-12 | 2019-08-30 | 霍尼韦尔国际公司 | 通过使用证书建立身份标识和信任来实现正品设备保证的技术 |
| CN110546917A (zh) * | 2017-05-05 | 2019-12-06 | 霍尼韦尔国际公司 | 用于工业控制系统或其他系统中的设备的自动化证书注册 |
| CN111656730A (zh) * | 2017-11-28 | 2020-09-11 | 美国运通旅游有关服务公司 | 解耦和更新移动设备上的锁定证书 |
| CN111865919A (zh) * | 2020-06-16 | 2020-10-30 | 郑州信大捷安信息技术股份有限公司 | 一种基于v2x的数字证书申请方法及系统 |
| CN112752244A (zh) * | 2019-10-29 | 2021-05-04 | 三星电子株式会社 | 使用nfc的用户设备、认证系统及其操作方法 |
| CN115769610A (zh) * | 2020-06-16 | 2023-03-07 | 苹果公司 | 维护经由sim卡的服务访问 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9356927B2 (en) * | 2014-08-28 | 2016-05-31 | Adobe Systems Incorporated | Enabling digital signatures in mobile apps |
| GB2561822B (en) * | 2017-04-13 | 2020-02-19 | Arm Ip Ltd | Reduced bandwidth handshake communication |
| US11233644B2 (en) * | 2017-08-09 | 2022-01-25 | Gridplus Inc. | System for secure storage of cryptographic keys |
| US11228580B2 (en) * | 2018-06-25 | 2022-01-18 | Apple Inc. | Two-factor device authentication |
| US11120140B2 (en) * | 2018-06-27 | 2021-09-14 | International Business Machines Corporation | Secure operations on encrypted data |
| US11377072B2 (en) * | 2018-11-02 | 2022-07-05 | Uatc, Llc | Systems and methods for tamper evident electronic detection |
| EP3979567A4 (en) * | 2019-05-24 | 2023-01-18 | Antpool Technologies Limited | METHOD AND DEVICE FOR MONITORING A DIGITAL CERTIFICATE PROCESSING DEVICE, AS WELL AS DEVICE, MEDIUM AND PRODUCT |
| US11379835B2 (en) * | 2019-07-31 | 2022-07-05 | Visa International Service Association | System, method, and computer program product to ensure data integrity for conducting a payment transaction |
| CN112910826B (zh) * | 2019-12-03 | 2022-08-23 | 中国移动通信有限公司研究院 | 一种初始配置方法及终端设备 |
| WO2022187959A1 (en) * | 2021-03-10 | 2022-09-15 | Quantropi Inc. | Quantum-safe cryptographic methods and systems |
| US20230144774A1 (en) * | 2021-11-11 | 2023-05-11 | Gridplus, Inc. | System for secure multi-protocol processing of cryptographic data |
| US11991294B2 (en) | 2021-11-12 | 2024-05-21 | Gridplus, Inc. | Peer-to-peer secure conditional transfer of cryptographic data |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020083178A1 (en) * | 2000-08-11 | 2002-06-27 | Brothers John David West | Resource distribution in network environment |
| US20080105742A1 (en) * | 2006-11-06 | 2008-05-08 | Kim Keonwoo | Device and method of electronic voting using mobile terminal |
| EP2096830A1 (en) * | 2008-02-29 | 2009-09-02 | Research In Motion Limited | Methods and apparatus for use in enabling a mobile communication device with a digital certificate |
| WO2010056969A2 (en) * | 2008-11-14 | 2010-05-20 | Visa International Service Association | Payment transaction processing using out of band authentication |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI108389B (fi) * | 1999-04-15 | 2002-01-15 | Sonera Smarttrust Oy | Tilaajaidentiteettimoduulin hallinta |
| JP2002007287A (ja) * | 2000-06-21 | 2002-01-11 | Hitachi Ltd | 電子メール情報のアクセス権管理方法、装置、及び記録媒体 |
| KR101111381B1 (ko) | 2009-11-17 | 2012-02-24 | 최운호 | 유비쿼터스 인증 관리를 위한 사용자 인증 시스템, 사용자 인증장치, 스마트 카드 및 사용자 인증방법 |
| US8644025B2 (en) * | 2009-12-22 | 2014-02-04 | Mxtran Inc. | Integrated circuit film for smart card |
| EP2518670A4 (en) * | 2010-09-07 | 2015-02-25 | Zte Corp | SYSTEM AND METHOD FOR REMOTE PAYMENT BASED ON MOBILE TERMINALS |
| US20120079275A1 (en) * | 2010-09-23 | 2012-03-29 | Canon Kabushiki Kaisha | Content filtering of secure e-mail |
| CN102456193A (zh) * | 2010-10-28 | 2012-05-16 | 中国银联股份有限公司 | 移动存储设备、基于该设备的数据处理系统和方法 |
| US8539610B2 (en) * | 2010-10-29 | 2013-09-17 | Nokia Corporation | Software security |
| WO2013013192A2 (en) * | 2011-07-20 | 2013-01-24 | Visa International Service Association | Cryptographic expansion device and related protocols |
| KR20130021774A (ko) * | 2011-08-23 | 2013-03-06 | 주식회사 스마트솔루션 | 전자인증서 기반 보안서비스 제공방법 및 시스템 |
-
2014
- 2014-04-25 EP EP14788142.9A patent/EP2989746A4/en not_active Withdrawn
- 2014-04-25 AP AP2015008827A patent/AP2015008827A0/xx unknown
- 2014-04-25 US US14/784,901 patent/US9660814B2/en active Active
- 2014-04-25 CN CN201480036811.5A patent/CN105393489A/zh active Pending
- 2014-04-25 KR KR1020157033359A patent/KR101612751B1/ko active IP Right Grant
- 2014-04-25 WO PCT/IB2014/061008 patent/WO2014174491A1/en active Application Filing
- 2014-04-25 AU AU2014258980A patent/AU2014258980B2/en active Active
-
2015
- 2015-10-19 ZA ZA2015/07785A patent/ZA201507785B/en unknown
-
2016
- 2016-06-06 HK HK16106395.0A patent/HK1218474A1/zh unknown
- 2016-07-05 HK HK16107819.6A patent/HK1219824A1/zh unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020083178A1 (en) * | 2000-08-11 | 2002-06-27 | Brothers John David West | Resource distribution in network environment |
| US20080105742A1 (en) * | 2006-11-06 | 2008-05-08 | Kim Keonwoo | Device and method of electronic voting using mobile terminal |
| EP2096830A1 (en) * | 2008-02-29 | 2009-09-02 | Research In Motion Limited | Methods and apparatus for use in enabling a mobile communication device with a digital certificate |
| WO2010056969A2 (en) * | 2008-11-14 | 2010-05-20 | Visa International Service Association | Payment transaction processing using out of band authentication |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234126B (zh) * | 2016-12-21 | 2021-04-09 | 金联汇通信息技术有限公司 | 用于远程开户的系统和方法 |
| CN108234126A (zh) * | 2016-12-21 | 2018-06-29 | 金联汇通信息技术有限公司 | 用于远程开户的系统和方法 |
| CN108234128A (zh) * | 2016-12-22 | 2018-06-29 | 音弗维因有限公司 | 用于存储证书的方法以及认证方法 |
| CN108242998A (zh) * | 2016-12-27 | 2018-07-03 | 航天信息股份有限公司 | 一种移动设备通过二维码提取数字证书的方法及系统 |
| CN110192197A (zh) * | 2017-01-12 | 2019-08-30 | 霍尼韦尔国际公司 | 通过使用证书建立身份标识和信任来实现正品设备保证的技术 |
| CN110192197B (zh) * | 2017-01-12 | 2023-10-27 | 霍尼韦尔国际公司 | 通过使用证书建立身份标识和信任来实现正品设备保证的技术 |
| CN110546917A (zh) * | 2017-05-05 | 2019-12-06 | 霍尼韦尔国际公司 | 用于工业控制系统或其他系统中的设备的自动化证书注册 |
| CN107229877A (zh) * | 2017-06-05 | 2017-10-03 | 北京凤凰理理它信息技术有限公司 | 证书管理、获取方法、装置、计算机程序及电子设备 |
| CN111656730A (zh) * | 2017-11-28 | 2020-09-11 | 美国运通旅游有关服务公司 | 解耦和更新移动设备上的锁定证书 |
| CN112752244A (zh) * | 2019-10-29 | 2021-05-04 | 三星电子株式会社 | 使用nfc的用户设备、认证系统及其操作方法 |
| CN111865919B (zh) * | 2020-06-16 | 2022-02-11 | 郑州信大捷安信息技术股份有限公司 | 一种基于v2x的数字证书申请方法及系统 |
| CN115769610A (zh) * | 2020-06-16 | 2023-03-07 | 苹果公司 | 维护经由sim卡的服务访问 |
| CN111865919A (zh) * | 2020-06-16 | 2020-10-30 | 郑州信大捷安信息技术股份有限公司 | 一种基于v2x的数字证书申请方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2014258980A1 (en) | 2015-11-12 |
| EP2989746A4 (en) | 2016-05-18 |
| US20160149710A1 (en) | 2016-05-26 |
| ZA201507785B (en) | 2018-05-30 |
| HK1219824A1 (zh) | 2017-04-13 |
| EP2989746A1 (en) | 2016-03-02 |
| HK1218474A1 (zh) | 2017-02-17 |
| KR101612751B1 (ko) | 2016-04-15 |
| KR20150139616A (ko) | 2015-12-11 |
| WO2014174491A1 (en) | 2014-10-30 |
| AU2014258980B2 (en) | 2016-02-04 |
| US9660814B2 (en) | 2017-05-23 |
| AP2015008827A0 (en) | 2015-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105393489A (zh) | 提供数字证书 | |
| US11265319B2 (en) | Method and system for associating a unique device identifier with a potential security threat | |
| AU2013298189B2 (en) | Issuing and storing of payment credentials | |
| US20190251561A1 (en) | Verifying an association between a communication device and a user | |
| US9860749B2 (en) | Systems and methods for verification conducted at a secure element | |
| EP2998900B1 (en) | System and method for secure authentication | |
| AU2014246709B2 (en) | Systems, methods and devices for transacting | |
| EP2701415A1 (en) | Mobile electronic device and use thereof for electronic transactions | |
| EP2961094A1 (en) | System and method for generating a random number | |
| CN105308898B (zh) | 用于执行密码验证的系统、方法及设备 | |
| CN108011715A (zh) | 一种密钥的分发方法、相关设备和系统 | |
| EP2824603A2 (en) | System and method for authenticating public keys | |
| US20170024729A1 (en) | Secure Transmission of Payment Credentials | |
| KR101886653B1 (ko) | 카드 정보 재사용 방지를 위한 카드 정보 처리 방법, 그 장치 및 금융 서버의 동작 방법 | |
| US8819431B2 (en) | Methods and device for electronic entities for the exchange and use of rights | |
| KR20150065556A (ko) | 다중 경로를 이용한 피싱 방지 방법 및 장치 | |
| KR20150119709A (ko) | 가상 결제 단말 장치를 이용한 모바일 결제 방법 및 그 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1219824 Country of ref document: HK |
|
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160309 |
|
| WD01 | Invention patent application deemed withdrawn after publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1219824 Country of ref document: HK |