CN114073038A - 更新数字证书的方法和装置 - Google Patents

更新数字证书的方法和装置 Download PDF

Info

Publication number
CN114073038A
CN114073038A CN202080047352.6A CN202080047352A CN114073038A CN 114073038 A CN114073038 A CN 114073038A CN 202080047352 A CN202080047352 A CN 202080047352A CN 114073038 A CN114073038 A CN 114073038A
Authority
CN
China
Prior art keywords
digital certificate
certificate
digital
validity
invalid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202080047352.6A
Other languages
English (en)
Other versions
CN114073038B (zh
Inventor
A·J·佩卡斯科
J·C·朗蒂
C·S·罗思韦尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zebra Technologies Corp
Original Assignee
Zebra Technologies Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zebra Technologies Corp filed Critical Zebra Technologies Corp
Publication of CN114073038A publication Critical patent/CN114073038A/zh
Application granted granted Critical
Publication of CN114073038B publication Critical patent/CN114073038B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Accessory Devices And Overall Control Thereof (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

一种示例地公开的方法,所述方法用于被配置为使用数字证书进行通信的装置,该方法包括:响应于请求,接收数字证书以用于该装置与另一装置之间的安全通信;使用逻辑电路评估数字证书以确定数字证书的有效性;当数字证书有效时,允许装置使用数字证书;并且当数字证书无效时,阻止装置使用数字证书。

Description

更新数字证书的方法和装置
技术领域
本公开主要涉及电子通信安全,并且更特别地,涉及更新数字证书的方法和装置。
背景技术
与外部通信的装置通常包括一种或多种形式的安全性,例如加密数据、解密数据和/或认证数据源。一种安全技术,即非对称加密,涉及公钥和私钥对。概括地说,每个装置安全地存储私钥,该私钥在数学上与对应的公钥相链接。与外部装置共享的公钥用于加密信息。不与外部装置共享的私钥用于解密使用对应的公钥加密的数据。
一些系统通过数字证书共享公钥,以提供围绕这些密钥的额外的安全层。具体地,数字证书用作对公钥的有效性的验证。在大多数情况下,认证中心作为可信的第三方,独立地验证数字证书(及包含在其中的公钥)的真实性,并将可信的电子签名应用至数字证书。当装置接收到由可信的认证中心签署的数字证书时,装置确信数字证书内的公钥是可信的。换句话说,已签署的数字证书向其接收者保证数字证书的发送者是对应公钥的真正所有者。
附图说明
图1是包括根据本公开的教导而构建的连接管理器和装置简档管理器的实例的系统图。
图2是表示图1中的连接管理器的示例的实施方式的框图。
图3是表示图1中的装置简档管理器的示例的实施方式的框图。
图4是表示可以被执行以实现图1和/或图2中示例的连接管理器以及图1和图3中示例的装置简档管理器的示例的操作流程图。
图5是表示能够执行指令以实现例如图1和图2中的连接管理器和/或图1和图3中的示例的装置简档管理器的示例的逻辑电路框图。
具体实施方式
结合诸如打印机和移动计算装置的介质处理装置描述本公开的教导。然而,本公开的教导适用于利用数字证书的任何适当类型的装置。例如,虽然在下文中结合打印机、移动计算装置及其相关数据来描述本公开的教导,但本公开的教导可以在个人计算机、路由器、企业装置、可穿戴计算装置等中实现。
介质处理装置的任务是例如根据所接收到的打印指令和/或编码指令在介质上生成标记和/或对介质进行编码。指令可以接收自外部源,诸如经由网络(例如因特网或内联网)与介质处理装置通信的计算机。也就是说,介质处理装置可由远程机器或外部机器访问。
介质处理装置可以实现一个或多个措施,以确保与(一个或多个)外部机器的电子通信。例如,介质处理装置可以使用加密/解密方案,该加密/解密方案利用数字证书来验证公钥所有者的身份(例如在非对称加密方案中)。如果数字证书由负责验证公钥所有权的可信的第三方认证中心签署,则数字证书(及所附公钥)的接收者可以相信公钥确实是由所列出的公钥所有者发送的。
为了增加数字证书作为安全措施的有效性,数字证书具有到期日期。数字证书的寿命是可定制的。一些数字证书持续多年,另一些数字证书可能持续几天,这取决于所期望或要求的安全等级。因此,数字证书需要定期更新。
旨在替换即将到期的数字证书的新数字证书可能包含一个或多个错误,这些错误会导致基于数字证书的通信无法运行。额外地或替代地,不正确的数字证书可能会被发送至装置,这同样会导致基于数字证书的通信无法运行。如果装置安装(即放置)了无法运行的数字证书,则该装置的依赖于数字证书的一项或多项服务停止运行。即当装置接收到错误的数字证书并试图使用该证书时,装置的至少一项功能关闭。在一些情况下,关闭转变为完全停机。例如,当无法运行的功能是用于接收打印指令的接口时,打印机完全无法接收指令,因而无法执行其核心功能。对于许多装置,诸如用户接口受限的打印机,因有问题的数字证书而关闭之后再恢复功能是一项耗时的操作,有时需要与装置进行手动交互并且/或者由技术人员进行服务访问。
已知的装置容易因数字证书错误或不正确而无法运行。也就是说,已知装置的通信接口受到使得通信接口无法运行的数字证书的安装(即放置)的负面影响。对于许多装置,诸如打印机,通信接口用于核心功能,其性能影响机器的主要用途,即接收数据并基于接收到的数据打印和/或编码介质。因此,通过确保通信接口不会因错误的数字证书而变得无法运行,装置将受益于通信接口功能的改进。
为了避免已知系统所经历的与数字证书错误或不正确相关联的停机,在将接收到的数字证书安装(即放置或存储)在接收装置上之前,本文公开的示例的方法和装置检查接收到的数字证书的完整性。也就是说,本文公开的示例的方法和装置在将数字证书存储在本地之前,以任意方式(例如根据可定制的标准)判断接收到的数字证书是否有问题。响应于识别到数字证书的问题或错误,本文公开的示例的方法和装置通过例如丢弃该数字证书并且限制该数字证书在该装置上的使用来明确地禁止使用数字证书。另外,本文公开的示例的方法和装置报告指示数字证书有问题的发现,从而可以在装置当前使用的数字证书版本到期之前获得新的数字证书。通过使用本文公开的示例的方法和装置,装置将不会尝试使用错误或不正确的数字证书(尝试使用错误或不正确的数字证书则会因使通信接口无法运行而导致装置停机)。相反,本文公开的示例的方法和装置防止错误和/或不正确的数字证书导致装置停机。
图1示出了系统100,系统100包括与主机108通信(例如有线、无线、直接地、通过网络)的多个装置102-106,主机108负责管理多个装置102-106的一个或多个方面或功能。装置102-106中的每一个均包括通信接口,用于发送和接收数据,包括向主机108发送数据和从主机108接收数据。主机100是任何适当类型的计算装置,诸如服务器。
图1的示例的主机包括装置简档管理器110,除其他任务外,装置简档管理器110被配置为与在多个装置102-106中的每一个上实现的连接管理器112协作。一般地,装置简档管理器110维护存储在多个装置102-106上的数字证书的报告,并且与装置102-106上的连接管理器112的相应实例一起工作,以更新装置102-106所使用的数字证书。装置102-106中的每一个可以具有任意数量的数字证书。例如,一个装置102(在图1的示例中是打印机)具有多个数字证书,每个数字证书专用于不同的服务或操作。另一装置106(在图1的示例中是移动计算装置)具有专用于一项服务或操作的一个数字证书。如上所述,数字证书包括加密信息,并且用于验证加密信息所有者的身份。在图1的示例中,数字证书中的加密信息是公钥/私钥对加密/解密方案中的公钥。然而,本文公开的示例适用于任何类型的数字证书。
图1的示例的装置简档管理器110从连接管理器112处接收证书签署请求(CSR),并将CSR发送至认证中心114。CSR是对数字证书的请求,并且在图1的示例中,CSR从装置102-106处被发送至主机108,主机108将CSR发送至认证中心114。CSR的发送者要求认证中心114提供包括CSR中所含公钥的已签署的(即电子核准印章)数字证书。认证中心114评估CSR的内容以判断请求者是否是底层加密数据(例如公钥)的真实所有者,并且在验证完成后签署对应的数字证书。因此,由认证中心签署的数字证书向已签署的数字证书的接收者指示数字证书的发送者是包含在数字证书中的加密信息(例如公钥)的真实所有者。因此,数字证书的持有者可以向外部机器提供数字证书,使得外部机器信任持有者。值得注意的是,如果没有用于例如打印机102的特定功能的有效数字证书,打印机102则不能执行该功能(例如从外部机器接收打印指令)。
图2描绘了图1的连接管理器112的示例的实施方式。为了说明的目的,图2的示例的连接管理器112是部署在图1的打印机102上的实例。图2的示例的连接管理器112包括连接初始化器200、时间同步器202、数字证书存储装置204(例如被指定用于存储数字证书的存储器)、CSR生成器206、证书验证器208、证书放置器210和存储的私钥212。如下面详细讨论的,连接管理器112获得并存储数字证书204,以使打印机102能够安全地执行相应的功能,诸如与一个或多个外部装置通信。值得注意的是,在接收到数字证书时,证书验证器208先检查数字证书的有效性,然后在打印机102上存储或以其它方式实施数字证书。例如,证书验证器208在存储数字证书之前判断接收到的数字证书是否有问题,并且如果识别出数字证书有问题,则证书验证器208丢弃接收到的数字证书并通知主机108需要另一个数字证书。这样,示例的证书验证器208防止打印机102的一个或多个功能和/或硬件元件因使用不正确或错误的数字证书而变得无法运行。相反,证书验证器208通过防止因安装或以其它方式使用无效数字证书而引起的损害来改进硬件(例如打印机构、通信接口、处理器等)的性能(例如输出、效率、速度等)。
图2的示例的连接管理器112的其它部件在下文中结合图4来进行描述。
图3描绘了图1的装置简档管理器110的示例的实施方式。图3的示例的装置简档管理器110包括连接初始化器300、时间同步器302、证书获取器304、报告生成器306、CSR请求器308、认证中心接口310、已签署证书发送器312和CSR存储装置314(例如被指定用于存储CSR的存储器)。如下面结合图4详细描述的,装置简档管理器110与装置102-106上的连接管理器112的实例协作,以保持装置102-106所使用的数字证书是最新且有效的。此外,装置简档管理器110向装置102-106提供与认证中心114的中介,使得装置102-106可以将资源(例如计算周期和带宽)专用于核心功能(例如打印、编码、计算及为其传送指令),而不是与认证中心114通信。
图4是表示由图1和/或图2中的示例的连接管理器以及图1和/或图3中的示例的装置简档管理器110执行的示例的方法流程图。虽然结合图2和图3描述了图4的示例,但图4的示例的方法可以用本文公开的示例的附加或替代的实施方式来实现。此外,虽然结合图1的打印机102来描述图4的示例,但是可以结合图1的装置102-106中的任何一个和/或任何其它合适的装置来实现图4的示例。
在图4的示例中,通过连接管理器112的连接初始化器200与装置简档管理器110的连接初始化器300协作而将打印机102置于与主机108通信。在所示示例中,连接初始化器200和连接管理器112在打印机102与主机108之间建立连接400(例如通信信道)。在一些示例中,外部源通过例如配置有主机108的地址(例如到主机108的网络链接)的打印机102来指示打印机102和/或主机108找到彼此,或者主机108可以搜索网络上的装置并为所发现的装置(诸如打印机102)提供连接至主机108的指令。
在一些情况下,打印机102的内部时钟与主机108的时钟不同步。在分析数字证书的各方面(例如到期日期)时,时间同步是重要的。因此,打印机102的时间同步器202与主机108的时间同步器302协作,以使打印机102的时钟与主机108的时钟同步(框404)。在图4的示例中,主机108的时间同步器302将set-get-do(SGD)命令发送至打印机102,使得打印机将打印机102的时钟设定为Linux Epoch格式的主机108的当前时间(例如自1970年1月1日起的秒数)。这样,示例的时间同步器302和由此利用的SGD命令同步打印机102,无论与主机108和/或装置102-106中的其它装置的时区差异如何。通过时钟同步,可以正确地分析数字证书的到期日期。
在图4的示例中,证书获取器304发送对存储在打印机102上的数字证书的相关信息的请求406。在图4的示例中,证书获取器304利用SGD命令发出请求406,以获取例如每个数字证书的服务名称和到期日期。由证书获取器304用作请求406的SGD命令使证书更新过程能够自动化。例如,可以安排自动检索证书信息的定期请求,从而确保主机108知道打印机102上的当前数字证书。响应于请求406,连接管理器112从数字证书存储装置204处访问数字证书,并将所请求的信息408发送至证书获取器304。
在图4的示例中,证书获取器304将接收到的信息408提供给报告生成器306。在所示示例中,报告生成器306生成数据结构并向数据结构(例如表格)添加与数字证书相关的信息408(框410)。在图4的示例中,接收到的信息408是JSON数据,并且报告生成器306解析JSON数据以识别例如数字证书的状态(例如已过期、有效)和与数字证书相关联的相关信息(例如数字证书的到期日期、每个数字证书到期前的天数)。主机108的装置简档管理器110利用该报告确定数字证书何时接近到期,并自动启动其更新。示例的装置简档管理器110能够根据例如触发更新的过期前时间量来定制。
主机108的CSR请求器308向打印机102发送指令412(例如当装置简档管理器110确定需要或安排数字证书更新时)以生成CSR。在图4的示例中,打印机102的CSR生成器206接收指令412,并根据指令410生成CSR(框414)。图4的示例的指令410包括定义待生成的CSR的特性的字段和字段值。指令410中的示例的字段和值包括证书的通用名称、所支持的算法(Rivest、Shamir和Adelman(RSA)以及Ellliptic曲线数字签名算法(ECDSA))、密钥大小、曲线(支持ECDSA时)、国家、地区、组织、州、组织单位及联系信息。图4的示例的CSR生成器206被配置为禁止使用过时的安全方案(例如过时的散列函数),并且禁止使用不符合已被行业接受的建议(例如由国家标准技术研究院提出)的大小。在图4的示例中,CSR生成器206评估与CSR的生成相关联的熵量,并在生成秘钥和CSR之前等待至有足够的熵。如果所评估的条件和信息是可接受的,则示例的CSR生成器206生成CSR和对应的私钥/公钥对。在一些示例中,CSR生成器206记录这些事件。当CSR生成器206生成CSR时,CSR生成器206会生成CSR准备就绪警报416,并将该警报416传送至主机108。
如果主机108的CSR请求器308确定打印机102具有准备好待由认证中心114签署的CSR,则CSR请求器308向打印机102发送对CSR的请求418。在图4的示例中,请求416是SGDget命令。打印机102以CSR 420响应。示例的CSR请求器308接收CSR 420,并将CSR 420存储在CSR存储装置316中(框422)。
在图4的示例中,主机108的认证中心接口310将CSR(例如根据SCEP/MSFT协议)发送至认证中心114,以获得对应的签名的数字证书(框424)。如果认证中心114验证了与CSR相关联的请求者是所附加密信息(例如公钥)的真实所有者,则认证中心114将签名的数字证书426发送至主机108,然后主机108将签名的数字证书426发送至打印机102。
证书验证器208评估接收到的数字证书426的有效性(框428)。在所示示例中,证书验证器208通过判断数字证书426中是否存在禁止的或不期望的特征来执行评估。例如,证书验证器208确定是否使用了禁止的(例如根据安全协议的可定制设置和/或需求)散列函数来创建数字证书。额外地或替代地,证书验证器208确定数字证书426的元素的一个或多个大小是否超出推荐或期望的范围。如果任何评估特性指示数字证书无效,则示例的证书验证器208拒绝数字证书426,认为其无效,并且阻止在打印机102上使用该数字证书(框430),否则这会使打印机102的一个或多个功能无法运行。额外地或替代地,证书验证器208确定数字证书426的有效期与打印机时间(即本地时钟值)是否匹配。如果不匹配,则示例证书验证器208拒绝数字证书426,认为其无效,并且防止在打印机102上使用该数字证书(框430),否则会使打印机102的一个或多个功能无法操作。额外地或替代地,证书验证器208确定数字证书426与打印机102上当前使用的私钥212和/或与CSR 420相关联的私钥是否匹配。如果不匹配,则示例的证书验证器208拒绝数字证书426,认为其无效,并且阻止在打印机102上使用该数字证书(框430),否则这会使打印机102的一个或多个功能无法运行。
如果证书验证器208确定数字证书426有效,则示例的证书放置器210将数字证书426安装在打印机102上并且/或者将数字证书426存储在数字证书存储装置204中。在一些示例中,只有存在于存储装置204中的数字证书可以在打印机102上使用,并且证书放置器210通过仅允许将证书验证器208验证过的数字证书存储在数字证书存储装置204中来充当存储装置204的网守。
图5是表示示例的逻辑电路的框图,该逻辑电路可以用于实现例如图1和/或图2的示例的连接管理器112和/或图1和/或图3的示例的装置简档管理器110并且/或者更一般地,一个或多个装置102-106和/或主机108。图5的示例的逻辑电路是处理平台500,处理平台500能够执行指令以例如实现由本说明书附图中的流程图所表示的示例操作。如下文所述,替代的示例的逻辑电路包括硬件(例如门阵列),硬件具体地被配置为用于执行由本说明书附图的流程图所表示的操作。
图5的示例的处理平台500包括处理器502,诸如,例如一个或多个微处理器、控制器和/或任何适当类型的处理器。图5的示例的处理平台500包括可由处理器502(例如经由存储器控制器)访问的存储器(例如易失性存储器、非易失性存储器)504。示例的处理器502与存储器504交互以获得例如存储在存储器504中的机器可读指令,该指令对应于例如由本公开的流程图所表示的操作。额外地或替代地,对应于流程图的示例操作的机器可读指令可以存储在一个或多个可移动介质(例如光盘、数字通用光盘、移动闪存等)上,可移动介质可以耦接至处理平台500以提供对存储在处理平台500中的机器可读指令的访问。
图5的示例的处理平台500包括网络接口506,以允许经由例如一个或多个网络与其它机器通信。示例的网络接口506包括被配置为根据任何(一个或多个)适当协议操作的任何适当类型的(一个或多个)通信接口(例如有线和/或无线接口)。
图5的示例的处理平台500包括输入/输出(I/O)接口508,从而能够接收用户输入并将输出数据传送给用户。
以上描述涉及附图的框图。框图表示的示例的替代实施方式包括一个或多个附加或替代元件、过程和/或装置。额外地或替代地,图中的一个或多个示例框可以组合、分开、重新布置或省略。图中的框所表示的部件由硬件、软件、固件和/或硬件、软件和/或固件的任意组合来实现。在一些示例中,用框表示的部件中的至少一个由逻辑电路实现。如本文所使用的,术语“逻辑电路”被明确地定义为包括至少一个硬件部件的物理装置,该硬件部件被配置为(例如经由根据预定配置的操作和/或经由存储的机器可读指令的执行)控制一个或多个机器和/或执行一个或多个机器的操作。逻辑电路的示例包括一个或多个处理器、一个或多个协处理器、一个或多个微处理器、一个或多个控制器、一个或多个数字信号处理器(DSP)、一个或多个专用集成电路(ASIC)、一个或多个现场可编程门阵列(FPGA)、一个或多个微控制器单元(MCU)、一个或多个硬件加速器、一个或多个专用计算机芯片以及一个或多个片上系统(SoC)装置。一些示例的逻辑电路,诸如ASIC或FPGA,是用于执行操作(例如由本公开的流程图表示的一个或多个操作)的专门配置的硬件。一些示例的逻辑电路是执行机器可读指令以执行操作(例如由本公开的流程图表示的操作中的一个或多个操作)的硬件。一些示例的逻辑电路包括专门配置的硬件和用于执行机器可读指令的硬件的组合。
以上描述参考了附图的流程图。流程图代表本文公开的示例方法。在一些示例中,由以流程图表示的方法来实现以框图表示的装置。本文公开的示例方法的替代实施方式可以包括附加的或替代的操作。此外,本文公开的方法的替代实施方式的操作可以组合、分开、重新布置或省略。在一些示例中,用流程图表示的操作由存储在介质(例如有形的机器可读介质)上的机器可读指令(例如软件和/或固件)来实现,以供一个或多个逻辑电路(例如(一个或多个)处理器)执行。在一些示例中,用流程图表示的操作由一个或多个专门设计的逻辑电路(例如(一个或多个)ASIC)的一个或多个配置来实现。在一些示例中,流程图的操作由(一个或多个)专门设计的逻辑电路和存储在介质(例如有形的机器可读介质)上以供逻辑电路执行的机器可读指令的组合来实现。
如本文所使用的,术语“有形机器可读介质”、“非暂时性机器可读介质”和“机器可读存储装置”中的每一个被明确地定义为可以存储机器可读指令(例如软件和/或固件形式的程序代码)的存储介质(例如硬盘驱动器的盘片、数字通用光盘、光盘、闪存、只读存储器、随机存取存储器等)。此外,如本文所使用的,术语“有形的机器可读介质”、“非暂时性机器可读介质”和“机器可读存储装置”中的每一个被明确地定义为排除传播信号。也就是说,如在本专利的任何权利要求中所使用的,术语“有形的机器可读介质”、“非暂时性机器可读介质”和“机器可读存储装置”均不应理解为由传播信号来实现。
如本文所使用的,术语“有形的机器可读介质”、“非暂时性机器可读介质”和“机器可读存储装置”中的每一个被明确地定义为可以以任何适当的持续时间(例如永久地、长时间地(例如当与机器可读指令相关联的程序正在执行时)和/或短时间地(例如当机器可读指令被高速缓存时和/或缓冲过程中))存储机器可读指令的存储介质。
虽然本文已经公开了某些示例装置、方法和制品,但本专利的覆盖范围不限于此。相反地,本专利包括正当落入本专利权利要求范围内的所有装置、方法和制品。

Claims (19)

1.一种用于被配置为使用数字证书进行通信的装置的方法,所述方法包括:
响应于请求,接收数字证书以用于所述装置与另一装置之间的安全通信;
使用逻辑电路评估所述数字证书以确定所述数字证书的有效性;
当所述数字证书有效时,允许所述装置使用所述数字证书;以及
当所述数字证书无效时,禁止所述装置使用所述数字证书,使得所述装置即使在接收到无效的数字证书的情况下也能够继续运行。
2.根据权利要求1所述的方法,还包括,当所述数字证书无效时,向主机通知无效性,其中,所述主机被配置为跟踪数字证书的到期日期。
3.根据权利要求1所述的方法,其中,所述数字证书包括非对称加密方案中的公钥。
4.根据权利要求1所述的方法,其中,确定所述数字证书的有效性包括判断所述数字证书是否是基于不期望的加密函数。
5.根据权利要求4所述的方法,其中,所述不期望的加密函数的类型是散列函数。
6.根据权利要求1所述的方法,其中,确定所述数字证书的有效性包括确定与所述数字证书相关联的秘钥的大小。
7.根据权利要求1所述的方法,其中,确定所述数字证书的有效性包括判断所述数字证书的有效期是否与所述装置的时间匹配。
8.根据权利要求1所述的方法,其中,确定所述数字证书的有效性包括判断所述数字证书是否与非对称加密方案中的私钥匹配。
9.根据权利要求1所述的方法,其中,禁止所述装置使用所述数字证书包括拒绝所述数字证书并且禁止在所述装置上存储所述数字证书。
10.一种装置,包括:
请求生成器,所述请求生成器用于生成并发送证书签署请求(CSR);以及
证书验证器,所述证书验证器用于评估响应于所述证书签署请求而接收到的数字证书,其中,所述证书验证器被配置为:
判断所述数字证书是否有效;
当所述数字证书有效时,允许所述装置使用所述数字证书;并且
当所述数字证书无效时,禁止所述装置使用所述数字证书以保护所述装置免受无效的数字证书对所述装置的功能性所造成的负面影响,其中,所述请求生成器和所述证书验证器中的至少一个由逻辑电路实现。
11.根据权利要求10所述的装置,其中,所述证书验证器被配置为当所述数字证书无效时,向主机通知无效性,其中,所述主机被配置为跟踪数字证书的到期日期。
12.根据权利要求10所述的装置,其中,所述数字证书包括非对称加密方案中的公钥。
13.根据权利要求10所述的装置,其中,所述证书验证器被配置为通过判断所述数字证书是否是基于不期望的加密函数来确定所述数字证书的有效性。
14.根据权利要求13所述的方法,其中,所述不期望的加密函数的类型是散列函数。
15.根据权利要求10所述的装置,其中,所述证书验证器被配置为通过确定与所述数字证书相关联的秘钥的大小来确定所述数字证书的有效性。
16.根据权利要求10所述的装置,其中,所述证书验证器被配置为通过判断所述数字证书的有效期是否与所述装置的时间相匹配来确定所述数字证书的有效性。
17.根据权利要求10所述的装置,其中,所述证书验证器被配置为通过判断所述数字证书是否与非对称加密方案中的私钥相匹配来确定所述数字证书的有效性。
18.根据权利要求10所述的装置,其中,禁止所述装置使用所述数字证书包括拒绝所述数字证书并且禁止在所述装置上存储所述数字证书。
19.一种包含指令的机器可读存储装置,当被执行时,所述指令使得机器至少:
响应于请求,接收数字证书以用于所述装置与另一装置之间的安全通信;
使用逻辑电路评估所述数字证书以确定所述数字证书的有效性;
当所述数字证书有效时,允许所述装置使用所述数字证书;并且
当所述数字证书无效时,阻止所述装置使用所述数字证书。
CN202080047352.6A 2019-06-28 2020-04-08 更新数字证书的方法和装置 Active CN114073038B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/456,663 US20200412552A1 (en) 2019-06-28 2019-06-28 Methods and Apparatus to Renew Digital Certificates
US16/456,663 2019-06-28
PCT/US2020/027268 WO2020263381A1 (en) 2019-06-28 2020-04-08 Methods and apparatus to renew digital certificates

Publications (2)

Publication Number Publication Date
CN114073038A true CN114073038A (zh) 2022-02-18
CN114073038B CN114073038B (zh) 2024-09-27

Family

ID=

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US20020080975A1 (en) * 2000-12-21 2002-06-27 International Business Machines Corporation Composite keystore facility apparatus and method therefor
CN1556449A (zh) * 2004-01-08 2004-12-22 中国工商银行 对网上银行数据进行加密、认证的装置和方法
US20050078201A1 (en) * 2003-01-29 2005-04-14 Norihiro Sakaguchi Imaging apparatus
US20110058673A1 (en) * 2003-12-22 2011-03-10 Wells Fargo Bank, N.A. Public key encryption for groups
JP2013232767A (ja) * 2012-04-27 2013-11-14 Seiko Epson Corp 通信装置,画像形成装置,情報処理方法及びそのプログラム
US9407644B1 (en) * 2013-11-26 2016-08-02 Symantec Corporation Systems and methods for detecting malicious use of digital certificates
CN106330449A (zh) * 2015-07-02 2017-01-11 西安西电捷通无线网络通信股份有限公司 一种验证数字证书有效性的方法及其鉴别服务器
US20170279619A1 (en) * 2016-03-25 2017-09-28 Apple Inc. Device-assisted verification

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US20020080975A1 (en) * 2000-12-21 2002-06-27 International Business Machines Corporation Composite keystore facility apparatus and method therefor
US20050078201A1 (en) * 2003-01-29 2005-04-14 Norihiro Sakaguchi Imaging apparatus
US20110058673A1 (en) * 2003-12-22 2011-03-10 Wells Fargo Bank, N.A. Public key encryption for groups
CN1556449A (zh) * 2004-01-08 2004-12-22 中国工商银行 对网上银行数据进行加密、认证的装置和方法
JP2013232767A (ja) * 2012-04-27 2013-11-14 Seiko Epson Corp 通信装置,画像形成装置,情報処理方法及びそのプログラム
US9407644B1 (en) * 2013-11-26 2016-08-02 Symantec Corporation Systems and methods for detecting malicious use of digital certificates
CN106330449A (zh) * 2015-07-02 2017-01-11 西安西电捷通无线网络通信股份有限公司 一种验证数字证书有效性的方法及其鉴别服务器
US20170279619A1 (en) * 2016-03-25 2017-09-28 Apple Inc. Device-assisted verification

Also Published As

Publication number Publication date
BE1027391B1 (nl) 2021-11-08
WO2020263381A1 (en) 2020-12-30
GB202114335D0 (en) 2021-11-24
US20200412552A1 (en) 2020-12-31
GB2598846B (en) 2024-02-14
BE1027391A1 (nl) 2021-01-28
DE112020003073T5 (de) 2022-03-24
GB2598846A (en) 2022-03-16
KR20220018586A (ko) 2022-02-15

Similar Documents

Publication Publication Date Title
CN109328352B (zh) 靶向安全软件部署
EP1969762B1 (en) Certify and split system and method for replacing cryptographic keys
US9912485B2 (en) Method and apparatus for embedding secret information in digital certificates
US10878080B2 (en) Credential synchronization management
TWI507006B (zh) 在一次往返中的金鑰認證
US10375057B2 (en) Systems and methods for certificate chain validation of secure elements
US10708047B2 (en) Computer-readable recording medium storing update program and update method, and computer-readable recording medium storing management program and management method
US20140281500A1 (en) Systems, methods and apparatuses for remote attestation
US9288234B2 (en) Security policy enforcement
US20080216147A1 (en) Data Processing Apparatus And Method
US8312518B1 (en) Island of trust in a service-oriented environment
EP2291787A2 (en) Techniques for ensuring authentication and integrity of communications
US20220294648A1 (en) Systems and methods for enhanced online certificate status protocol
CN109815747B (zh) 基于区块链的离线审计方法、电子装置及可读存储介质
GB2598296A (en) Digital storage and data transport system
US20230267226A1 (en) Blockchain-based operations
CN113438205A (zh) 区块链数据访问控制方法、节点以及系统
CN117397198A (zh) 绑定加密密钥证明
EP3836478A1 (en) Method and system of data encryption using cryptographic keys
BE1027391B1 (nl) Werkwijzen en apparaat voor het vernieuwen van digitale certificaten
KR20180024389A (ko) 키 관리 장치 및 방법
US11509468B2 (en) Method and system for verifying secret decryption capability of escrow agents
CN111641507B (zh) 一种软件通信体系结构组件注册管理方法和装置
WO2023069062A1 (en) Blockchain-based certificate lifecycle management
CN113424488A (zh) 用于为数字密钥对提供来源证明的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination