CN1823494B

CN1823494B - 保护电子证书的方法

Info

Publication number: CN1823494B
Application number: CN2004800201005A
Authority: CN
Inventors: 菲利普·斯特兰斯基
Original assignee: Nagravision SA
Current assignee: Nagravision SARL
Priority date: 2003-07-14
Filing date: 2004-07-06
Publication date: 2011-11-16
Anticipated expiration: 2024-07-06
Also published as: TW200507580A; PT1645070E; US20050015587A1; WO2005006646A9; EP1645070B1; TWI350686B; JP2007519062A; WO2005006646A1; ATE464715T1; KR20060056319A; US7958348B2; CA2532521A1; CN1823494A; PL1645070T3; DE602004026585D1; KR101066693B1; JP4764339B2; BRPI0411625A; ES2344108T3; EP1645070A1

Abstract

本发明的目的是要防止电子证书由持有者以外的人使用，并防止在电子证书被偷窃或复制情形下其持有者受到损害。这一目的是借助于保护和检验由发出的特许当局(AU)向持有者发出的电子证书(C)的一种方法实现的，其中所述证书(C)存储在持有者操作的用户单元(PC)的存储器中，该单元向特许当局(AU)传送证书(C)数据的所有部分，其特征在于，在初始设置阶段，特许当局(AU)确定用户单元(PC)专用的网络ID(HID)，且特许当局(AU)把所述ID(HID)与证书(C)一同存储。

Description

保护电子证书的方法

技术领域

本发明涉及保护电子证书的一种方法，特别是避免第三方对其拷贝和使用。

电子证书是能够与有效护照对比的一种数字文件。

背景技术

如同护照那样，其包含对应于拥有者的一定数目的个人数据。其由一个公认的特许当局发放，该当局能够保证包含在证书中的数据的真实性，以及与拥有者不可分割的联系。

这一证书存储在用户单元的存储器中，诸如计算机硬盘，移动电话的存储器或SIM卡，数字付费电视解码器的安全模块，或所有其它需要用户在线识别的装置。这样后者能够通过添加证书与传送的数据通过远程通信网络可靠地通信。

例如证书允许在因特网上对于高附加价值的交易进行识别、产生电子签字，并完全保密地传送敏感数据。

今天第三方能够借助于一种适当的程序诸如特洛伊木马(Trojanhorse)在没有其拥有者授权之下拷贝证书。这样第三方能够欺骗地利用拥有者使用在线服务时同样特权。当涉及到金融交易或有关传播的产品的特定权限时，这种欺骗行为的后果对于拥有者可能是极其灾难性的。

文献US2003/0084172描述了用于在包括来自特许当局的注册的数据通信网络上获得服务的一种方法。这种产生的结果用来从一个供应商获得服务。这些结果包含属于用户的供应商能够通过从特许当局请求数据来检验的数据。这一方法的缺陷在于，其使用了与用户链接的数据，能够由另一用户以欺骗的方式获得服务为目的拾取并复制的数据。

发明内容

本发明的目的是要防止非拥有者的任何个人使用证书，并避免在证书的窃取或拷贝的情形下，对拥有者的所有损害。

这一目的是通过保护由特许当局向拥有者发放的电子证书的一种方法实现的，所述证书存储在由用户操作的用户单元的存储器中，所述用户单元向特许当局传送证书所有或部分的数据，该方法的特征在于，在初始化阶段，所述方法包括以下步骤：

-由特许当局确定属于用户单元的网络标识符，

-由特许当局与证书数据相关联地存储所述标识符。

这些步骤基本上涉及初始化步骤。在正常操作期间，当证书拥有者使用来自服务供应商的他的证书与预定的服务一同操作其单元时，激活检验步骤。其包括以下步骤：

-通过向服务供应商传送证书来识别拥有者，

-由服务供应商基于用户单元的硬件配置参数确定网络标识符，

-向特许当局传送由证书和网络标识符形成的集合，

-通过与初始化步骤期间记录在数据库中的数据的比较检验所述集合，

-向服务供应商传送比较的结果，服务供应商根据所述结果向连接的用户授权先前请求的服务。

属于用户单元的网络标识符由用来唯一地识别远程通信网络内单元的数据组成。这一网络用来成功地访问特许当局和服务供应商，这一标识符不是由诸如用户单元传送，而是由特许当局或供应商基于通信的物理参数自主确定的。根据本发明的方法，实现了证书与用户单元或更确切地说与使用在线服务的单元的物理参数的匹配，以避免单元的存储器的证书欺骗地拷贝到其它的存储器。

在因特网连接的情形下，每一计算机传送在网络上唯一地对其定义的号码。这一称为MAC(介质访问控制)地址的号码标识用户资料的配置，并自动地由服务供应商的服务器确定。这样与这一服务器连接的用户单元的证书借助于这一地址能够被“个人化”。于是这一地址不是作为参数由用户单元传输的，而是在网络上其传送能力的结果。这一地址不能(至少不能容易地)由证书拥有者或由具有这一证书拷贝的第三方修改。

在GSM移动电话范围内，被称为IMEI(国际移动设备标识)的标识每一个连接到网络的移动电话的唯一号码，用作为所使用的单元的标识符。

类似地，配备有返回信道的付费电视解码器能够由操作者借助于其刻划其硬件的唯一的号码，或借助于由返回信道调制解调器使用的电话号码识别。

一般来说，所有连接到网络的设备有一专用于其硬件配置的地址或号码，其允许该设备由服务器或与其通信的其它设备识别。

在初始化阶段期间，用户单元直接连接到由特许当局管理的一个服务器。该特许当局一方面负责接收与证书相关的数据或其整个证书，另一方面用于确定与用户单元相关的网络标识符。特许当局在数据库中通过将其与对应的的证书链接注册这一标识符。

这一初始化最好对于给定的证书进行，以避免来自几个单元的网络标识符对同一证书多次注册。

还能够通过固定能够与特许当局例如从向用户传送证书开始注册证书期间的最大周期长度，把初始化限制在一个时间周期中。

这一过程最好与用户设备中证书的建立相关联。这一过程包括呼叫特许当局以建立并向证书的数据添加这一设备的网络标识符。能够使这一连接成为强制性的，例如在特许当局与用户设备之间的对话期间，特许当局传送一指令验证该证书并授权其使用。

根据本发明方法的一个实施例，在用户与特许当局服务器连接期间使用一个代码或口令。这一代码用来以一种方式以发出该证书的特许当局授权网络标识符与证书之间的链接。所述代码最好通过不同于证书所使用的信道的一个信道传送到用户，以便保持其机密性。例如，如同与银行卡的情形那样，这一口令或PIN代码可通过邮政发送到用户。在网络标识符与证书注册之后，可使该口令无效，以避免同一证书由不同单元多次注册。

本实施例中，代码的有效期可按前一实施例相同的方式固定，以允许在有限的时间周期中注册。在这一周期过期的情形下，将需要从特许当局以最后的补充代价请求一个新的代码。

根据本发明方法的另一实施例，属于公共用户且每一个有不同网络标识符的几个单元能够与同一证书相关联注册。在可拆卸支撑上使用诸如灵巧卡这样的证书期间可能发生这一情形。然后证书的使用通过一组其标识符适时在特许当局数据库中注册的单元限制。这样的注册不仅能够以唯一的口令注册，而且能够以对于每一单元不同的口令的一个列表进行。

附图说明

由于以下参照作为非限制例子给出的表示根据本发明方法的附图的详细说明，将可更好地理解本发明。

-图1表示说明在用户单元上证书初始化步骤的简化框图；

-图2表示说明在用户单元上证书验证步骤的简化框图。

具体实施方式

特许当局(AU)的管理中心包括一个证书发放中心(CI)，其负责产生并管理证书，及链接到数据库(BD)的一个检验中心(VE)，该数据库包含由属于证书(C)的拥有者使用的单元的数据(HID)伴随的证书(C)。

在连接到因特网的计算机的情形下，使用证书的服务例如在于用于电子贸易的安全连接、对程序或受保护的数据的特权访问。

在由用户初始化或获取证书期间，后者使用这一新的证书(C)接收通常为PIN代码(个人标识号码)形式的口令。用户能够与检验中心VE连接并声明其证书的特征。这一代码允许用户证明他是这一证书的合法拥有者，并一旦被引入，检验中心VE读取用户的网络标识符HID并使这一标识符与证书C相关联。

如果这一证书在一个移动支持诸如灵巧卡上，这一初始化步骤能够使用可包含用户证书的几种装置进行。由于口令的引入所有网络标识符HID将与这一证书相关联。为了简化用户级别的过程，让用户知道标识符HID是不必要的，也没有用。这样与证书C参数的注册是在有效的PIN代码引入之后自动进行的。

这样只要用户把所述证书保持在其标识符HID已注册的的装置上，证书就被激活并可使用。这一证书C向另一计算机的转移仍然是可能的，但所述证书变为不可使用的，因为这一第二计算机的MAC地址没有在特许当局AU的数据库BD中注册。要注意，在这一例子中证书是连接到按其MAC地址与其它不同的特定的计算机上。

图2示出这种证书的使用步骤。用户访问由服务供应商SP管理的服务。后者读取由用户传送的该证书并确定一标识符HID，其允许定义在网络上用来访问供应商SP的用户参数PC。

在这例子中，标识符对应于证书C的拥有者的计算机MAC地址。

服务供应商SP确定被连接的计算机PC的MAC地址，然后使用该证书C把这一地址传送到检验中心VE。

检验中心能够比较由供应商SP传送的数据与存储在数据库BD中的数据。比较的结果将传送到供应商SP，只有在当前请求服务的计算机MAC地址对应于与数据库BD中证书相关联的地址时，则其授权服务的使用。

根据一个实施例，证书(C)能够对属于由同一拥有者管理的计算机的几个IP地址注册。这种情形下，证书可以指向以它们被激活的不同地址的链接存储在特许当局的数据库中。

还能够使根据本发明的方法对特许当局注册的一个证书失效。实际上，当用户改变其单元或要取消其证书时，希望允许拥有者能够更新特许当局的数据库。如果特许当局没有对用户计算机特征的直接控制，修改以类似于初始化步骤期间激活一个新的证书的方式进行。

在请求时，拥有者接收一个新的PIN代码或口令，其用来重新激活在一个新的计算机中预定的证书和/或使所述证书失效。在重新激活的情形下，在拥有者访问特许当局期间，后者确定要向数据库传送的新的MAC地址，以便使这一新的地址与证书相关联。

在配置修改诸如使失效期间，在第一实施例中，证书拥有者的识别通过确定网络标识符HID进行。拥有者向检验中心传送该证书，且后者确定网络标识符HID。与包含在数据库中的数据比较允许鉴别用户并授权对其简档引入修改。

在另一实施例中，实质上对于每一修改需要引入PIN口令。

Claims

1.一种用于保护并检验由特许当局(AU)向拥有者发放的电子证书(C)的方法，所述证书(C)存储在由拥有者操作的用户单元(PC)的存储器中，所述用户单元(PC)向特许当局(AU)的服务器传送证书(C)的所有或部分数据，该方法的特征在于，在初始化阶段，所述方法包括以下步骤：

-由特许当局(AU)基于用户单元(PC)的硬件配置参数确定网络标识符(HID)，

-通过将所述网络标识符(HID)与证书(C)的数据链接，在特许当局(AU)的服务器的数据库(BD)中存储网络标识符(HID)，以及

在由用户单元(PC)访问来自服务供应商(SP)的服务期间，通过执行以下步骤来检验证书(C)：

-通过从用户单元向服务供应商(SP)传送证书(C)，服务供应商(SP)识别拥有者，

-由服务供应商(SP)基于用户单元(PC)的硬件配置参数确定网络标识符(HID)，

-服务供应商(SP)向特许当局(AU)的检验中心传送由证书(C)和网络标识符(HID)形成的集合，

-特许当局(AU)的检验中心通过与初始化步骤期间记录在数据库(BD)中的数据的比较检验所述集合，

-特许当局(AU)的检验中心向服务供应商(SP)传送比较的结果，服务供应商根据所述结果向连接的用户授权先前请求的服务。

2.根据权利要求1的方法，其特征在于，与证书(C)的数据相关联的网络标识符(HID)的存储服从于由拥有者引入口令(PIN)。

3.根据权利要求2的方法，其特征在于，与证书相关联的口令(PIN)由证书拥有者通过与用于传送证书(C)的数据所使用的通道不同的通道接收。

4.根据权利要求2的方法，其特征在于，在特许当局(AU)的服务器的数据库(BD)中的网络标识符(HID)与证书(C)的数据的链接操作之后，使与证书(C)相关联的口令(PIN)无效。

5.根据权利要1的方法，其特征在于，从地址或唯一标识其连接的网络上的单元的号码确定网络标识符(HID)。