CN106797318A - 用于已连接的设备的认证的方法、硬件和数字证书 - Google Patents

用于已连接的设备的认证的方法、硬件和数字证书 Download PDF

Info

Publication number
CN106797318A
CN106797318A CN201580054503.XA CN201580054503A CN106797318A CN 106797318 A CN106797318 A CN 106797318A CN 201580054503 A CN201580054503 A CN 201580054503A CN 106797318 A CN106797318 A CN 106797318A
Authority
CN
China
Prior art keywords
certificate
shortcut
certification
equipment
certification authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201580054503.XA
Other languages
English (en)
Other versions
CN106797318B (zh
Inventor
M·梅利亚克
G·勒夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Arm IP Ltd
Original Assignee
Arm IP Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Arm IP Ltd filed Critical Arm IP Ltd
Publication of CN106797318A publication Critical patent/CN106797318A/zh
Application granted granted Critical
Publication of CN106797318B publication Critical patent/CN106797318B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • H04L9/007Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models involving hierarchical structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明涉及一种生成捷径证书以用于认证由颁发证书机构生成的用户数字证书的方法;所述方法包括:对颁发证书机构的数字证书进行认证;当颁发证书机构的数字证书得到认证时,创建用于颁发证书机构的数字证书的捷径证书;其中所述捷径证书包括颁发证书机构的认证的签名条目。

Description

用于已连接的设备的认证的方法、硬件和数字证书
本发明总体上涉及对于由颁发证书机构生成的用户数字证书进行认证的改进方法。在一些实施例中,所述颁发证书机构属于认证机构的分级结构。
住所、其他建筑物或户外环境中的具有处理和通信能力的联网设备的数目不断增加,从而允许其与其他处理设备进行交互。日常用品和相对小规模的处理设备可以彼此连接,并且作为“物联网”的一部分连接到中央平台。举例来说,对于住所前门的访问可以通过数字钥匙(例如刷卡)而不是物理钥匙来控制,并且相同的数字钥匙可以被用来访问住所的前门以及用来许可用户访问家庭环境中的各种已连接的设备,比如取暖和照明控制。这样的许可通常是在设备之间的信任的基础上给出的,并且为了建立设备之间的信任而使用认证协议。因此在多种应用中,可能重要的是在网络的设备之间提供认证。
本发明的技术提供了改进的认证方法以及提供所述方法的装置。
通过结合附图阅读后面对于说明性实施例的详细描述,本发明的技术的特征和优点将变得显而易见。
图1示意性地示出了数字证书;
图2示意性地示出了证书撤销列表;
图3示意性地示出了认证机构的分级结构;
图4示意性地示出了认证机构的证书链;
图5示意性地示出了表明证书链认证处理的进展的示例性时间线;
图6示意性地示出了在彼此之间传送所创建的捷径证书的节点网络;
图7示意性地示出了作为网络的一部分的捷径证书服务提供者;
图8示意性地示出了去往捷径证书服务提供者的捷径证书链接的创建;
图9示意性地示出了使用捷径证书的用户证书认证的拒绝;以及
图10示意性地示出了捷径证书的远程获取的一个实例。
图1示出了数字证书100的一个实例,其可以包括序列号102、标识证书颁发者的信息104、标识证书所有者的信息106、所有者的公共密钥108以及关于数字证书100的有效性周期110的信息。数字证书100通过颁发者的私有密钥112被数字加密。数字证书100还可以包括提供关于证书主体的附加信息的扩展和扩展属性,比如主体的电子邮件地址以及证书的主体可以通过特权和许可实施的活动。
受信任的组织将数字证书100指派给个体或者把公共密钥与所述个体相关联的实体。为其颁发证书100的个体或实体被称作该数字证书100的主体。颁发数字证书100的受信任的组织是认证机构,并且被称作证书的颁发者。值得信任的认证机构将只有在验证数字证书100的主体的身份之后才颁发数字证书100。数字证书100结构可以具有标准化格式,例如特别是在ITU X.509标准中规定的格式。
认证机构还提供向用户通知数字证书何时变为无效并且被撤销的地方。如果用户离开公司的雇佣或者由于被盗或者通过某种方式被破解而失去对于相应的私有密钥的控制,则可以发生撤销。当认证机构被通知证书100出于某种原因不再受到信任时,认证机构通过将数字证书100置于证书撤销列表中而撤销数字证书100,所述证书撤销列表可以具有标准化格式,例如特别是在ITU X.509标准中规定的格式。
参照图2,中央撤销列表120包含每一份被撤销的证书的序列号122以及证书撤销列表120被颁发的日期和时间124。中央撤销列表120还由颁发证书机构使用颁发证书机构的数字签名126进行签名。
认证机构可以是认证机构的信任分级结构的成员。信任分级结构开始于受到证书链中的所有实体的信任的至少一个认证机构。所述受信任的认证机构被称作根机构。根机构随后可以为被称作第1级认证机构的其他认证机构发证,所述其他认证机构可以颁发证书并且还为附加的或第N级(其中N是2或更高)认证机构发证。
图3示意性地示出了总共具有5个等级的认证机构的分级结构200。最高的第一级认证机构是根202。根202可以对其自身的根证书204签名,并且向第二级认证机构210颁发数字证书208,所述第二级认证机构210给出其自身的证书撤销列表212。第二级认证机构210向第三级认证机构216颁发数字证书214,所述第三级认证机构216也根据其安全性策略保持其自身的证书撤销列表218。沿着该链进一步向下,第三级认证机构216向第四级认证机构222颁发数字证书220,并且第四级认证机构222向第五级认证机构228颁发数字证书226。第四和第五级认证机构222和228分别都可以包含其自身的证书撤销列表224、230。虽然前面关于一个认证机构向链中的另一个认证机构颁发数字证书进行了描述,但是一个认证机构向多个用户和多个认证机构颁发数字证书也是正常的,从而从根202产生分级结构的家族树模式。
图4示意性地示出了使用中的认证机构的证书链的一个实例。
如图4中所见,用户400具有承载第3级认证机构406的数字签名404的数字证书402。用户400给出数字证书402以用于向代理设备(图4中未示出)进行认证从而访问资源,其中在允许用户400访问资源之前,必须对凭证进行验证以便认证并且信任所给出的数字证书402。对数字证书402进行认证可能是耗时并且计算密集的处理。为了使得发证是有效的,必须关于数字证书402实施几项检查,其中包括:检查数字证书402的有效性周期;检查针对序列号的中央撤销列表以确保数字证书402尚未被撤销;必须利用颁发者的公共密钥对颁发证书机构的数字签名404进行验证,以便确保认证机构数字签名是真实的;并且必须关于该数字证书402检查针对访问所请求的资源的用户许可。
此外,由于用户400属于具有数字认证机构的分级结构的大型组织并且数字证书402是由第3级认证机构406颁发,因此必须沿着其签名链向上追踪并且验证到根据代理设备自身的安全性策略被编程到代理设备的信任等级。通常在与代理设备联网的远程服务器上实施验证,并且远程服务器、代理设备和用户400之间的所有信息交换必须在安全的环境中进行。应当认识到,这样的认证对于大型组织可能构成负担。如果用户400属于更小的组织,则通常实施以下步骤:检查数字证书402的有效性周期,并且针对序列号检查中央撤销列表以确保数字证书402尚未被撤销。此外还利用颁发者的公共密钥对颁发证书机构的数字签名404进行验证,以便确保认证机构数字签名是真实的;并且关于该数字证书402检查针对访问所请求的资源的用户许可。即使在没有证书链存在的情况下,每当检查凭证时也要花费一定数量的计算资源和时间。使用集中式验证模型的小型和大型组织都依赖于连接性,从而可能使其访问协议对于断电的发生非常脆弱。
在步骤408中,由于代理设备的安全性策略不信任或者不认可第3级认证机构的权威,因此需要另外的信息。在步骤410中,验证被提升到作为由根416签名的数字证书414的第2级认证机构。相应地,由于根416受到信任,因此分级链得到验证,并且在关于该数字证书402针对访问所请求的资源的用户400的许可是足够的情况下,则允许对于代理设备的资源的访问。
参照图5,示出了证书链认证处理的进展的示例性时间线包括用户500在步骤502处尝试打开门504。根据先前的术语,门504是代理设备,并且打开门504的能力是由门504提供的资源。在步骤502处,用户500向门504引用其数字证书以便提供身份。在门504的发起下,在步骤506中检查安全性凭证并且遵循证书链的分级结构,以便建立对于数字证书的有效性的信任。在步骤508中,门504从证书存储库505获取证书,并且向上遵循分级链直到到达受信任的机构,如步骤510中所示,这是可以包括沿着链512进一步上升的处理。在步骤514处对分级证书进行验证,当验证成功时则允许用户在步骤516处打开门。
图6示意性地示出了一个节点网络,所述节点在网络中彼此之间传送所创建的捷径证书。参照图6,出于用户604尝试通过入口门602a进入到安全建筑物(未示出)中的目的,使节设备(envoy device)(比如智能手表600)与代理设备(比如入口门602)进行通信。
一般来说,可以通过网络内的不同节点促进或管理进入。举例来说,所述网络可以包括由以下各项当中的任一项构成的节点:与一个或多个代理设备进行交互的中央应用提供装置、本地服务器或者云端服务器。比如佩戴在手腕上的设备(例如手表)或者装备有通信信道的智能电话之类的使节设备可以由用户携带,并且在其本地存储器中包括用户的数字证书,其用于与网络中的任何节点进行认证,以便访问由网络中的节点提供的许多资源当中的任一项资源。这样的认证可以在用户的使节设备与例如住所的前门之类的代理设备之间进行,以便访问例如打开前门的许可之类的资源。但是由于物联网中的许多代理设备可能只具有很少的处理能力,因此在代理设备中提供用于建立认证的资源可能较为困难,并且可能会大大增加代理设备的成本。此类代理设备的快速并且广泛的部署意味着还希望使得多个代理设备上的认证尽可能快速并且高效。参照图6和相关附图可以看到,对于捷径证书的使用使得认证快速并且高效。
图6中的建筑物是智能连接的建筑物,这意味着在整个建筑物中可能有许多(如果不是数以百计的话)已连接的设备。在图6中示出了作为门602a、602b、602c、602d和门606的多个已连接的代理设备。门602a-d和门606连接的意义在于,其可以构成一个已连接代理设备类别内的对等网络的一部分。在本例中,所述代理设备类别是门,但是同样可以是灯泡、开关、温度监测设备或者这些设备的组合。入口门602a包括用于控制由门602a实施的各种处理操作的处理电路610,比如相互认证、对于发送到网络中的其他节点的数据的加密以及密钥生成。网络上的其他节点可以包括相同代理设备类别的其他门、其他代理设备类别(例如灯泡、开关和温度监测设备或者这些设备的组合)。门602a-d之间以及手表600和门602a-d之间的连接性可以利用无线通信608来提供,比如利用无线局域网(WiFi)、短距离通信(NFC)或者使用在例如Zigbee或Bluetooth或6LoWPAN之类的无线传感器网络中的通信。还可以通过有线通信来提供连接性,比如使用光纤或金属线缆(未示出)。在使节设备的情况下,这可能需要例如USB棒之类的可移除介质,并且可以提供增强的安全性保护。
当手表600紧邻门602a时,手表在步骤608中传送其数字证书612以用于向门602a进行认证。应当认识到,为了使得用户604通过入口门602a,在允许用户604进入建筑物之前,入口门602a必须首先对凭证进行验证,以便认证并且信任所给出的数字证书612。相应地,入口门602a在步骤614中与证书存储库616进行通信,以便验证数字证书612的分级证书链。根据被提供到入口门602a的建筑物管理方的安全性凭证,遵循618、620和622所述分级证书链,直到到达受信任的资源。在验证了所述链之后,将所述验证传送到入口门602a,并且允许用户604进入建筑物。
随后,一旦处于建筑物内部,用户604走近第二道门602d,其可以是内部隔门或者是会议室门。由于第二道门602d也具有安全性功能,因此应当认识到,为了使得用户604通过第二道门602d,在允许用户604进入由第二道门602d防护的房间之前,第二道门602d必须首先对凭证进行验证,以便认证并且信任所给出的数字证书612。相应地,第二道门602d也可以与证书存储库616进行通信,以便验证数字证书612的分级证书链。根据被提供到第二道门602d的建筑物管理方的安全性凭证,遵循618、620和622所述分级证书链,直到到达受信任的资源。在验证了所述链之后,将所述验证传送到第二道门602d,并且允许用户604进入由第二道门602d防护的房间。
本领域技术人员将认识到,在其中由大型组织中的用户使用分级证书链系统访问多个代理设备的已连接安全环境中,对于访问类似的代理设备类别重新认证先前认证过的用户所花费的处理和时间构成了负担。相应地,为了减少所需要的时间和处理资源的开销,在接收到关于用户604的认证的验证时,入口门602a向构成其受信任对等网络的一部分的其他门602b-d传送捷径证书,从而使得该网络中的每一道门不需要对于可能位于远程服务器上的证书存储库616检查用户证书612的凭证。
以下段落的描述将参照图6、7和8。图7示意性地示出了作为所述网络的一部分的捷径证书服务提供者。在本实施例中,手表600紧邻门602a,并且手表在步骤608中传送其数字证书612以用于向门602a进行认证。应当认识到,由于手表600是第一次接近入口门602a,于是在允许用户604进入建筑物之前,入口门602a必须经过对凭证进行验证的验证处理,以便认证并且信任所给出的数字证书612。相应地,入口门602a在步骤614中与证书存储库616进行通信,以便验证数字证书612的分级证书链。根据被提供到入口门602a的建筑物管理方的安全性凭证,遵循618、620和622所述分级证书链,直到到达受信任的资源。例如在步骤620处到达受信任的认证机构等级之后,由证书存储库创建捷径证书700,或者将所述验证传送到捷径证书服务702以用于创建捷径证书700。当颁发证书机构的数字证书得到认证时,捷径证书700可以被传送到各个节点。在一些实施例中,所述节点是其他门,但是在一般的情况中,捷径证书700可以被传送到网络上的多种设备。接收或信任捷径证书700的设备例如可以通过建筑物管理方的安全性应用规则来选择和分类。
捷径证书700包括标识先前已经通过数字认证机构的分级结构被认证过的证书用户的信息704。捷径证书700还在存储器存储库中标识已经在先前的长证书链中验证过的认证机构612、618和620。已经被验证过的认证机构的身份被包含在捷径证书700的本地高速缓冲存储器中以作为特定认证机构的密码散列。通过这种方式,捷径证书包含认证机构链中的每一个等级的独有指纹。此外还通过捷径证书服务提供者的公共密钥对捷径证书进行签名。
其他信息也可以被包含在捷径证书700中,比如关于用户、时间标记、创建日期、到期日期以及验证时间周期的信息。有利的是,关于时间的指示被包括在捷径证书700中,这是因为将采取进一步的安全性措施以使得捷径证书700的最大有效性时间成为链中的任何证书的最小有效性时间。最大有效性时间可以是链中的任何证书的最大允许高速缓存寿命期。捷径证书700可以包括创建日期,并且每一道门602b-d关于捷径证书700在被拒绝并且重复验证链之前可以生存多久可以具有其自身的策略。因此,捷径证书700的到期日期小于认证机构链中的任何证书的到期日期和高速缓存超时。此外,一旦捷径证书被破解,管理员可以关于任何攻击的时间作出合理的假设,并且使得一些或所有捷径证书700在该时间之前到期。
在图6处参照步骤712,捷径证书700被传送到入口门602a,入口门602a又把捷径证书传送到其类别的门602b-d。相应地,信任捷径证书服务702的任何门602b-d可以把分级证书链验证处理作为可以与互换来对待。这样的信任等级可能需要把代理设备配置成信任捷径证书服务。代理设备606在图6中被示出为服务器房间,其被配置成对于特定用户需要更高许可等级才能进入。相应地,由于用户的证书许可不足以进入服务器房间,因此对于代理设备606的访问被拒绝。
参照图8,图中示出了创建去往捷径证书服务提供者802的捷径证书链接800的创建,其中作为分级证书链验证处理的一部分访问捷径证书服务提供者802。作为本实施例的一部分并且正如图6中所描述的那样,手表600紧邻门602a,并且手表在步骤608中传送其数字证书612以用于向门602a进行认证。应当认识到,由于手表600是第一次接近入口门602a,于是在允许用户604进入建筑物之前,入口门602a必须经过对凭证进行验证的验证处理,以便认证并且信任所给出的数字证书612。相应地,入口门602a在步骤614中与证书存储库616进行通信,以便验证数字证书612的分级证书链。在到达分级链的受信任等级时,捷径证书700创建的工作被委派到捷径证书服务提供者802。去往捷径证书服务提供者802的连接可以通过嵌入url的链实现,比如安全超文本传输协议(HTTPS)通信协议。
参照图9,该图示出了使用捷径证书的用户证书认证的拒绝,其中包括捷径证书902和数字证书验证处理900的分级证书链。捷径证书902由第3级认证机构创建和签名。在本实施例中,存在于捷径证书902上的认证机构902的数字签名904与从该处建立数字证书902的分级证书链中的信任等级的认证机构902的私有密钥不匹配。相应地,捷径证书902被拒绝,这是因为没有代理设备有理由信任捷径证书902是正式的。相反,当用户向代理设备给出其数字证书时,代理设备可以遵循标识认证机构的受信任等级本身的“来自”链接,以便验证数字证书902的分级证书链。
即使私有密钥是匹配的,可能还有其他原因使得代理设备拒绝捷径证书。这样的原因可以包括:实施随机点检查以便检测捷径服务中的安全漏洞或错误;为例如服务器房间或人事记录房间之类的更加敏感的访问点给出更高的安全条件;或者可能有导致不信任的外部原因,比如认证机构链中的不熟悉的机构或者建筑物最近被闯入。此外,捷径证书可以对于不同类别的代理设备单独地或者组合地包括不同的许可。举例来说,取决于建筑物管理方如何配置建筑物安全性凭证,捷径证书可以受到门的信任但是不受灯开关或二者的组合的信任。
虽然前面的实例关于数字证书的分级证书链说明了一些实施例,但是在每一个实施例中可能没有必要沿着一条链实施认证检查,或者生成在捷径证书的本地高速缓冲存储器中包括作为特定认证机构的密码散列的已被验证的认证机构的身份的捷径证书。举例来说,用户数字证书最初可以由受信任的认证机构颁发。此外,捷径证书可以采取共享秘密的形式,在一些实施例中如果捷径证书服务创建可以利用共享秘密签名的捷径证书则可以发生这种情况。利用共享秘密对证书进行签名的好处是在计算方面更容易进行验证。所述共享秘密可以是口令或者随机指派的数目的字节。可能更加优选的是在设备之间的通信会话开始时使用密钥商定协议创建共享密钥而不是具有预先共享的密钥。
图10示出了捷径证书的远程获取的一个实例。如在图10中最佳地看到的那样,用户1000正处于去往工作地点1002通勤过程中。使节设备1004由用户1002携带,并且通过使用例如3G或4G之类的蜂窝网络1006上的定位确定用户正在经过特定地理位置。其他通信包括wifi、Bluetooth和Bluetooth低能量。由于针对该日间时的该路线上的用户的行为是典型的,因此使节设备1004预先获取1008用于通常由该环境中的用户访问的入口门的捷径证书1010。这样的捷径证书1010可以利用前面所描述的任何处理来创建。当用户1004到达入口门时,可以在不重复验证数字证书的分级证书链的情况下促进访问。
从一个方面来看,所述技术提供了一种生成捷径证书以用于认证由颁发证书机构生成的用户数字证书的方法;所述方法包括:对颁发证书机构的数字证书进行认证;当颁发证书机构的数字证书得到认证时,创建用于颁发证书机构的数字证书的捷径证书;其中所述捷径证书包括颁发证书机构的认证的签名条目。
颁发证书机构可以属于认证机构的分级结构,因此所述方法可以包括通过验证父代认证机构链中的每一个认证机构而对颁发证书机构的数字证书进行认证。
其他实施例可以单独地或者组合地包括:捷径证书包括所述链中的每一个认证机构的标识符的高速缓存条目;所述标识符包括所述链中的每一个认证机构的数字证书的散列;捷径证书包括捷径数字证书的时间标记;捷径证书的到期日期不大于所述链中的每一个认证机构的任何数字证书的到期日期;捷径证书的到期日期不大于所述链中的每一个认证机构的任何数字证书的高速缓存超时;所述认证步骤包括检查所述链中的每一个对应的认证机构的证书撤销列表;所述认证步骤包括使用相应的公共密钥对用户数字证书的数字签名进行验证的步骤;所述认证步骤包括使用相应的公共密钥对所述链中的每一个认证机构的数字签名进行验证的步骤;所述方法包括从客户端设备的存储器传送用户数字证书。
其他实施例单独地或者组合地包括:所述客户端设备是使节设备,并且使节设备是智能电话、手表或嵌入式设备之一。其他实施例单独地或者组合地包括:通过对于用户数字证书的认证而访问代理设备的资源,可选的是其中代理设备具有由颁发证书机构生成的代理设备数字证书;代理设备数字证书可以包括控制代理设备的哪一项资源可以由客户端设备访问的许可等级,并且认证可以包括对父代认证机构链中的每一个认证机构进行验证直到到达入口代理设备已知的受信任机构为止,或者从颁发证书机构验证到根认证机构。
所述受信任的机构可以被信任到控制代理设备的哪一项资源可以由客户端设备访问的许可等级,并且所述认证方法可以在代理设备本地的存储器中被处理。此外,所述认证方法被委派到与网络进行通信的本地服务器,并且代理设备可以是一个访问点,所述资源正被许可打开所述访问点。
单独地或者组合地在其他实施例中,所述代理设备是一类其他代理设备之一;所述代理设备是建筑物环境中的门,并且捷径证书可以被传送到所述一类其他代理设备当中的其他代理设备。所述其他代理设备可以处于连接在有线网络、无线网络或者二者的组合中的对等网络中。所述一类当中的每一个其他代理设备成员可以包括被用来在接收到捷径证书时证明类成员资格的凭证,并且这样的凭证可以是被称作群组成员资格证书的X.509证书。
所述方法可以单独地或者组合地包括以下实施例:将使节设备呈现到所述一类当中的另一代理设备,并且通过验证用于颁发证书机构的数字证书的捷径证书而认证颁发证书机构的数字证书。所述认证和创建步骤可以在使节设备邻近代理设备时发起。所述认证和创建步骤可以在使节设备远离代理设备时发起,并且使节设备可以由第一网络在第一地理位置处检测到,并且响应于所述检测可以发起所述认证和创建步骤。这样的检测可以使用wifi、Bluetooth、Bluetooth低能量或蜂窝网络,并且对于使节设备的识别可以使用MAC地址。使节设备的地理位置可以通过具有信号强度的蜂窝塔标识或者GPS来确定,并且可以在使节设备邻近代理设备之前把捷径证书推送到代理设备。
单独地或者组合地在一些实施例中,与捷径证书服务器进行网络通信的本地服务器被适配成使得捷径证书的提供与代理设备是分开的。捷径证书服务器可以构成父代认证机构链的一部分,并且可以通过父代认证机构的数字证书内的链接而连接到所述链。可以在到达所述链中的受信任的父代认证机构时连接捷径证书服务器。
从另一个方面来看,一种提供客户端设备对于多个代理设备的资源的访问的方法包括:把客户端设备呈现到代理设备,所述客户端设备承载颁发证书机构的数字证书;在代理设备处接收从对于颁发证书机构的验证而得到的数字证书的认证,并且允许客户端设备访问代理设备的资源;在其他代理设备处接收用于颁发证书机构的数字证书的捷径证书,其中所述捷径证书包括颁发证书机构的认证的签名条目;以及把客户端设备呈现到其他代理设备之一并且接收捷径证书的认证,并且允许客户端设备访问其他代理设备之一的资源。
单独地或者组合地在一些实施例中,颁发证书机构属于认证机构的分级结构,并且所述方法包括:通过验证父代认证机构链中的每一个认证机构而对颁发证书机构的数字证书进行认证。捷径证书可以包括所述链中的每一个认证机构的标识符的高速缓存条目。所述标识符可以包括所述链中的每一个认证机构的数字证书的散列。
从另一个方面来看,本发明的技术提供一种用于生成捷径证书以用于认证由颁发证书机构生成的用户数字证书的硬件装置,所述硬件装置包括具有以下各项的模块:用于接收对颁发证书机构的数字证书的认证请求的输入端以及处理器块,所述处理器块具有用于验证每一个认证机构并且用于在颁发证书机构的数字证书得到认证时创建用于颁发证书机构的数字证书的捷径证书的逻辑门;用于存储捷径证书的存储器存储库,其中捷径证书包括颁发证书机构的认证的签名条目;以及能够把捷径证书传送到网络上的一个或多个节点的输出端。
单独地或者组合地在一些实施例中,所述模块处于代理设备本地,并且捷径证书的传送可以是带外传送;所述模块可以位于联网的设备管理服务器上。此外,捷径证书的传送可以通过中间节点进行。
从另一个方面来看,数字捷径证书可以被存储在计算机介质上以用于认证由属于认证机构的分级结构的颁发证书机构生成的用户数字证书;所述捷径证书包括父代认证机构链中的每一个认证机构的标识符的高速缓存条目。
本领域技术人员将认识到,本发明的技术可以被具体实现为一种系统、方法或计算机程序产品。相应地,本发明的技术可以采取完全硬件实施例、完全软件实施例或者组合软件与硬件的实施例的形式。
此外,本发明的技术可以采取具体实现在计算机可读介质中的计算机程序产品的形式,所述计算机可读介质上具体实现有计算机可读程序代码。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读介质例如可以是而不限于电子、磁性、光学、电磁、红外或半导体系统、装置或设备,或者前述各项的任何适当的组合。
用于实施本发明的技术的操作的计算机程序代码可以用一种或多种编程语言的任意组合来编写,其中包括面向对象的编程语言和传统的程序化编程语言。
举例来说,用于实施本发明的技术的操作的程序代码可以包括传统编程语言(已解译或已编译)中的源代码、对象代码或可执行代码(比如C),或者汇编代码,用于设置或控制ASIC(专用集成电路)或FPGA(现场可编程门阵列)的代码,或者用于例如VerilogTM或VHDL(非常高速集成电路硬件描述语言)之类的硬件描述语言的代码。
程序代码可以完全在用户的计算机上执行,部分地在用户的计算机上并且部分地在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后一种情形中,远程计算机可以通过任何类型的网络连接到用户的计算机。代码组件可以被具体实现为规程、方法等等,并且可以包括可以采取从原生指令集的直接机器指令到高层级已编译或已解译语言建构的任何抽象层级的指令或指令序列的形式的子组件。
本领域技术人员还将认识到,根据本发明的技术的优选实施例的逻辑方法的全部或一部分可以适当地被具体实现在包括用以实施所述方法的各个步骤的逻辑单元的逻辑装置中,并且这样的逻辑单元可以包括例如可编程逻辑阵列或专用集成电路中的逻辑门之类的组件。这样的逻辑安排还可以被具体实现在例如使用虚拟硬件描述符语言在这样的阵列或电路中临时或永久性地建立逻辑结构的使能单元(enabling element)中,其可以利用固定或可传送载体介质来存储和传送。
在一种替换方案中,本发明的技术的一个实施例可以通过一种计算机实施的部署服务的方法来实现,所述方法包括部署计算机程序代码的步骤,所述计算机程序代码在被部署到计算机基础设施或网络中并且在其上执行时,使得所述计算机系统或网络实施所述方法的所有步骤。
在另一种替换方案中,本发明的技术的优选实施例可以用其中具有功能数据的数据载体的形式来实现,所述功能数据包括功能计算机数据结构,所述功能计算机数据结构在被加载到计算机系统或网络中并且在其上操作时,使得所述计算机系统能够实施所述方法的所有步骤。
本领域技术人员将认识到,在不背离本发明的技术的范围的情况下,可以对前面的示例性实施例作出许多改进和修改。
本领域技术人员将认识到,虽然前面描述了所认为的最佳模式并且在适当情况下还描述了实施所述技术的其他模式,但是所述技术不应当被限制到在优选实施例的该描述中所公开的具体配置和方法。本领域技术人员将认识到,所述技术具有广泛的应用范围,并且在不背离如所附权利要求书中限定的发明概念的情况下,所述实施例可以采取许多修改。

Claims (51)

1.一种生成捷径证书以用于认证由颁发证书机构生成的用户数字证书的方法;所述方法包括:
对颁发证书机构的数字证书进行认证;
当颁发证书机构的数字证书得到认证时,创建用于颁发证书机构的数字证书的捷径证书;
其中,所述捷径证书包括颁发证书机构的认证的签名条目。
2.根据权利要求1所述的方法,其中,颁发证书机构属于认证机构的分级结构,并且所述方法包括:
通过验证父代认证机构链中的每一个认证机构而对颁发证书机构的数字证书进行认证。
3.根据权利要求2所述的方法,其中,捷径证书包括所述链中的每一个认证机构的标识符的高速缓存条目。
4.根据权利要求3所述的方法,其中,所述标识符包括所述链中的每一个认证机构的数字证书的散列。
5.根据权利要求2到4所述的方法,其中,捷径证书包括捷径数字证书的时间标记。
6.根据权利要求5所述的方法,其中,捷径证书的到期日期不大于所述链中的每一个认证机构的任何数字证书的到期日期。
7.根据权利要求5或6所述的方法,其中,捷径证书的到期日期不大于所述链中的每一个认证机构的任何数字证书的高速缓存超时。
8.根据权利要求2到7所述的方法,其中,所述认证步骤包括检查所述链中的每一个对应的认证机构的证书撤销列表。
9.根据权利要求2到8所述的方法,其中,所述认证步骤包括使用相应的公共密钥对用户数字证书的数字签名进行验证的步骤。
10.根据权利要求2到9所述的方法,其中,所述认证步骤包括使用相应的公共密钥对所述链中的每一个认证机构的数字签名进行验证的步骤。
11.根据权利要求2到9所述的方法,包括从客户端设备的存储器传送用户数字证书。
12.根据权利要求11所述的方法,其中,所述客户端设备是使节设备。
13.根据权利要求12所述的方法,其中,所述使节设备是智能电话、手表或嵌入式设备之一。
14.根据权利要求11、12或13所述的方法,包括通过对用户数字证书的认证而访问代理设备的资源。
15.根据权利要求14所述的方法,其中,所述代理设备具有由颁发证书机构生成的代理设备数字证书。
16.根据权利要求15所述的方法,其中,代理设备数字证书包括控制代理设备的哪一项资源能够由客户端设备访问的许可等级。
17.根据权利要求16所述的方法,其中,所述认证包括对父代认证机构链中的每一个认证机构进行验证直到到达入口代理设备已知的受信任机构为止,或者从颁发证书机构验证到根认证机构。
18.根据权利要求17所述的方法,其中,所述受信任机构被信任到控制代理设备的哪一项资源能够由客户端设备访问的许可等级。
19.根据权利要求14到18所述的方法,其中,所述认证方法在代理设备本地的存储器中被处理。
20.根据权利要求14到18所述的方法,其中,所述认证方法被委派到与网络进行通信的本地服务器。
21.根据权利要求14到20所述的方法,其中,所述代理设备是访问点,并且所述资源正被许可打开所述访问点。
22.根据权利要求14到20所述的方法,其中,所述代理设备是一类其他代理设备之一。
23.根据权利要求14到22所述的方法,其中,所述一类代理设备是建筑物环境中的门。
24.根据权利要求14到23所述的方法,其中,捷径证书被传送到所述一类其他代理设备中的其他代理设备。
25.根据权利要求22所述的方法,其中,所述其他代理设备处于连接在有线网络、无线网络或者二者的组合中的对等网络中。
26.根据权利要求22所述的方法,其中,所述一类当中的每一个其他代理设备成员包括被用来在接收到捷径证书时证明类成员资格的凭证。
27.根据权利要求26所述的方法,其中,所述凭证是被称作群组成员资格证书的X.509证书。
28.根据权利要求24到27所述的方法,包括将使节设备呈现到所述一类当中的另一代理设备,并且通过验证用于颁发证书机构的数字证书的捷径证书而认证颁发证书机构的数字证书。
29.根据权利要求12到25所述的方法,其中,在使节设备邻近代理设备时发起所述认证和创建步骤。
30.根据权利要求12到25所述的方法,其中,在使节设备远离代理设备时发起所述认证和创建步骤。
31.根据权利要求30所述的方法,其中,所述使节设备由第一网络在第一地理位置处检测到,并且响应于所述检测发起所述认证和创建步骤。
32.根据权利要求31所述的方法,其中,所述检测使用wifi、Bluetooth、Bluetooth低能量或蜂窝网络。
33.根据权利要求31或32所述的方法,其中,对于使节设备的识别能够使用MAC地址。
34.根据权利要求31到33所述的方法,其中,使节设备的地理位置能够通过具有信号强度的蜂窝塔标识或者GPS来确定。
35.根据权利要求31到34所述的方法,其中,在使节设备邻近代理设备之前把捷径证书推送到代理设备。
36.根据权利要求20所述的方法,其中,与捷径证书服务器进行网络通信的本地服务器被适配成使得捷径证书的提供与代理设备是分开的。
37.根据权利要求36所述的方法,其中,捷径证书服务器构成父代认证机构链的一部分。
38.根据权利要求37所述的方法,其中,捷径证书服务器通过父代认证机构的数字证书内的链接而连接到所述链。
39.根据权利要求38所述的方法,其中,在到达所述链中的受信任的父代认证机构时连接捷径证书服务器。
40.基本上如前面所描述并且/或者参照附图描述的生成捷径证书以用于认证由属于认证机构的分级结构的颁发证书机构生成的用户数字证书的方法。
41.一种提供客户端设备对于多个代理设备的资源的访问的方法,所述方法包括:
把客户端设备呈现到代理设备,所述客户端设备承载颁发证书机构的数字证书;
在代理设备处接收从对颁发证书机构的验证而得到的数字证书的认证,并且允许客户端设备访问代理设备的资源;
在其他代理设备处接收用于颁发证书机构的数字证书的捷径证书,其中所述捷径证书包括颁发证书机构的认证的签名条目;以及
把客户端设备呈现到所述其他代理设备之一并且接收捷径证书的认证,并且允许客户端设备访问所述其他代理设备之一的资源。
42.根据权利要求41所述的方法,其中,颁发证书机构属于认证机构的分级结构,并且所述方法包括:
通过验证父代认证机构链中的每一个认证机构而对颁发证书机构的数字证书进行认证。
43.根据权利要求42所述的方法,其中,捷径证书包括所述链中的每一个认证机构的标识符的高速缓存条目。
44.根据权利要求43所述的方法,其中,所述标识符包括所述链中的每一个认证机构的数字证书的散列。
45.用于生成捷径证书以用于认证由颁发证书机构生成的用户数字证书的硬件装置,所述硬件装置包括具有以下各项的模块:
用于接收对颁发证书机构的数字证书的认证请求的输入端以及处理器块,所述处理器块具有用于验证每一个认证机构并且用于在颁发证书机构的数字证书得到认证时创建用于颁发证书机构的数字证书的捷径证书的逻辑门;
用于存储捷径证书的存储器存储库,其中捷径证书包括颁发证书机构的认证的签名条目;以及
能够把捷径证书传送到网络上的一个或多个节点的输出端。
46.根据权利要求45所述的硬件装置,其中,所述模块处于代理设备本地。
47.根据权利要求46所述的硬件装置,其中,捷径证书的传送是带外传送。
48.根据权利要求45所述的硬件装置,其中,所述模块位于联网的设备管理服务器上。
49.根据权利要求48所述的硬件装置,其中,捷径证书的传送是通过中间节点进行的。
50.基本上如前面所描述并且/或者参照附图描述的硬件装置。
51.一种存储在计算机介质上以用于认证由属于认证机构的分级结构的颁发证书机构生成的用户数字证书的数字捷径证书;所述捷径证书包括父代认证机构链中的每一个认证机构的标识符的高速缓存条目。
CN201580054503.XA 2014-10-07 2015-09-22 用于已连接的设备的认证的方法、硬件和数字证书 Expired - Fee Related CN106797318B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB1417746.3A GB2531247B (en) 2014-10-07 2014-10-07 Method, hardware and digital certificate for authentication of connected devices
GB1417746.3 2014-10-07
PCT/GB2015/052735 WO2016055766A1 (en) 2014-10-07 2015-09-22 Method, hardware and digital certificate for authentication of connected devices

Publications (2)

Publication Number Publication Date
CN106797318A true CN106797318A (zh) 2017-05-31
CN106797318B CN106797318B (zh) 2021-06-15

Family

ID=51947001

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580054503.XA Expired - Fee Related CN106797318B (zh) 2014-10-07 2015-09-22 用于已连接的设备的认证的方法、硬件和数字证书

Country Status (4)

Country Link
US (1) US10530586B2 (zh)
CN (1) CN106797318B (zh)
GB (1) GB2531247B (zh)
WO (1) WO2016055766A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2534557B (en) 2015-01-21 2022-03-09 Arm Ip Ltd Methods and resources for creating permissions
US10567479B2 (en) * 2015-08-05 2020-02-18 Facebook, Inc. Managing a device cloud
US10652023B2 (en) * 2015-12-30 2020-05-12 T-Mobile Usa, Inc. Persona and device based certificate management
US10211999B2 (en) * 2016-02-09 2019-02-19 Bruce A Pelton Integrated building management sensor system
US10754964B2 (en) 2016-11-01 2020-08-25 Bruce A Pelton Integrated building management sensor system
WO2018115992A1 (en) * 2016-12-22 2018-06-28 Itext Group Distributed blockchain-based method for saving the location of a file
US10375057B2 (en) * 2017-01-27 2019-08-06 Visa International Service Association Systems and methods for certificate chain validation of secure elements
KR102657876B1 (ko) * 2018-09-07 2024-04-17 삼성전자주식회사 Ssp 단말과 서버가 디지털 인증서를 협의하는 방법 및 장치
FR3102322A1 (fr) * 2019-10-21 2021-04-23 Orange Technique de communication entre une application mettant en œuvre un service et un serveur
US11683188B2 (en) * 2020-10-13 2023-06-20 Google Llc Representing certificate expiration with time-based intermediate certificate authorities
US11921875B1 (en) * 2023-08-31 2024-03-05 Transparent Technologies, Inc. Zero trust system and method for securing data

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001006727A2 (en) * 1999-07-16 2001-01-25 Spyrus, Inc. Method and system for a policy enforcing module
US6301658B1 (en) * 1998-09-09 2001-10-09 Secure Computing Corporation Method and system for authenticating digital certificates issued by an authentication hierarchy
US20020147905A1 (en) * 2001-04-05 2002-10-10 Sun Microsystems, Inc. System and method for shortening certificate chains
CN1437375A (zh) * 2002-02-08 2003-08-20 泰康亚洲(北京)科技有限公司 一种安全移动电子商务平台数字证书的认证方法
CA2492986C (en) * 2002-07-18 2011-03-15 Eoriginal, Inc. System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
CN102959590A (zh) * 2010-10-20 2013-03-06 株式会社日立制作所 个人识别系统及方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US366892A (en) * 1887-07-19 Machine for drying paper
US4868877A (en) * 1988-02-12 1989-09-19 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
GB2357225B (en) * 1999-12-08 2003-07-16 Hewlett Packard Co Electronic certificate
US7047404B1 (en) * 2000-05-16 2006-05-16 Surety Llc Method and apparatus for self-authenticating digital records
DE602004030534D1 (de) * 2003-01-28 2011-01-27 Cellport Systems Inc Ein System und ein Verfahren zum Steuern des Zugriffs von Anwendungen auf geschützte Mittel innerhalb eines sicheren Fahrzeugtelematiksystems

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6301658B1 (en) * 1998-09-09 2001-10-09 Secure Computing Corporation Method and system for authenticating digital certificates issued by an authentication hierarchy
WO2001006727A2 (en) * 1999-07-16 2001-01-25 Spyrus, Inc. Method and system for a policy enforcing module
US20020147905A1 (en) * 2001-04-05 2002-10-10 Sun Microsystems, Inc. System and method for shortening certificate chains
CN1437375A (zh) * 2002-02-08 2003-08-20 泰康亚洲(北京)科技有限公司 一种安全移动电子商务平台数字证书的认证方法
CA2492986C (en) * 2002-07-18 2011-03-15 Eoriginal, Inc. System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
CN102959590A (zh) * 2010-10-20 2013-03-06 株式会社日立制作所 个人识别系统及方法

Also Published As

Publication number Publication date
US10530586B2 (en) 2020-01-07
GB2531247A (en) 2016-04-20
GB2531247B (en) 2021-10-06
WO2016055766A1 (en) 2016-04-14
US20170295025A1 (en) 2017-10-12
CN106797318B (zh) 2021-06-15
GB201417746D0 (en) 2014-11-19

Similar Documents

Publication Publication Date Title
CN106797318A (zh) 用于已连接的设备的认证的方法、硬件和数字证书
Hou et al. A survey on internet of things security from data perspectives
US20220245724A1 (en) Securing distributed electronic wallet shares
US11386420B2 (en) Contextual authentication of an electronic wallet
US20190034919A1 (en) Securing Electronic Wallet Transactions
Kanuparthi et al. Hardware and embedded security in the context of internet of things
US20190034936A1 (en) Approving Transactions from Electronic Wallet Shares
US20190034917A1 (en) Tracking an Electronic Wallet Using Radio Frequency Identification (RFID)
CN105392134B (zh) 在至少一个第二单元上认证至少一个第一单元的方法
KR102056722B1 (ko) 인증 시스템 및 그에 따르는 송신 단말과 수신 단말 및 권한 인증 방법
CN104115464B (zh) 控制访问
Razouk et al. A new security middleware architecture based on fog computing and cloud to support IoT constrained devices
Joshi et al. Unified authentication and access control for future mobile communication-based lightweight IoT systems using blockchain
CN105684482B (zh) 为代理设备建立受信任身份的方法
JP6880691B2 (ja) 位置設定可能な電子ロック制御方法、プログラム及びシステム
US20190205547A1 (en) Providing and checking the validity of a virtual document
Liu et al. Enabling secure and privacy preserving identity management via smart contract
Puri et al. Smart contract based policies for the Internet of Things
US10148433B1 (en) Private key/public key resource protection scheme
Zaman et al. Towards the evaluation of authentication protocols for mobile command and control unit in healthcare
Stepień et al. Securing connection and data transfer between devices and IoT cloud service
Das et al. Design of an automated blockchain-enabled vehicle data management system
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
Syal et al. Internet of Things: Review on security of novel technology
Barriga A et al. Security over smart home automation systems: A survey

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20210615