DE102021110224A1 - Aktualisierung von zertifikaten mit öffentlichem schlüssel in netzwerkgeräten über ein blockchain-netzwerk - Google Patents

Aktualisierung von zertifikaten mit öffentlichem schlüssel in netzwerkgeräten über ein blockchain-netzwerk Download PDF

Info

Publication number
DE102021110224A1
DE102021110224A1 DE102021110224.3A DE102021110224A DE102021110224A1 DE 102021110224 A1 DE102021110224 A1 DE 102021110224A1 DE 102021110224 A DE102021110224 A DE 102021110224A DE 102021110224 A1 DE102021110224 A1 DE 102021110224A1
Authority
DE
Germany
Prior art keywords
public key
network
key certificate
new
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021110224.3A
Other languages
English (en)
Inventor
Gopal Gupta
Nagendra Rapaka
Abhinesh Mishra
Amit Agrawal
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Enterprise Development LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Enterprise Development LP filed Critical Hewlett Packard Enterprise Development LP
Publication of DE102021110224A1 publication Critical patent/DE102021110224A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Beispiele beziehen sich auf ein BC-Netz mit einer Vielzahl von Netzgeräten, die in einem Netz eingesetzt werden. Die Vielzahl der Netzwerkgeräte umfasst ein autorisierendes Netzwerkgerät, das eine Transaktion in einem verteilten Hauptbuch erzeugt. Die Transaktion enthält Standortinformationen eines neuen Zertifikats mit öffentlichem Schlüssel, das in jedem der Netzwerkgeräte eingesetzt werden soll. Um die Transaktion zu verifizieren, überprüft ein Netzwerkgerät aus der Vielzahl der Netzwerkgeräte mit Hilfe eines intelligenten Vertrags, ob das neue Zertifikat des öffentlichen Schlüssels gültig ist und ob sich das neue Zertifikat des öffentlichen Schlüssels von einem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels im verteilten Hauptbuch unterscheidet. Als Reaktion auf eine erfolgreiche Überprüfung durch mindestens eine vordefinierte Anzahl von Netzwerkgeräten aus der Vielzahl von Netzwerkgeräten zeichnet jedes der Netzwerkgeräte die Transaktion im verteilten Hauptbuch auf.

Description

  • HINTERGRUND
  • Eine Netzwerkeinrichtung kann viele Netzwerkgeräte wie z. B. Zugangspunkte umfassen. Bei der Erstinstallation eines Netzes müssen möglicherweise Hunderte oder Tausende von Netzgeräten konfiguriert werden, bevor das Netz betriebsbereit ist. Diese Netzwerkgeräte müssen konfiguriert werden, z. B. um Netzwerkkennungen, Sicherheitseinstellungen und andere Parameter zuzuweisen, die für den Einsatzort erforderlich sind.
  • Figurenliste
    • 1 ist ein Blockdiagramm eines Netzwerks mit einer Vielzahl von Netzwerkgeräten, die in dem Netzwerk eingesetzt werden, um ein öffentliches Schlüsselzertifikat in den Netzwerkgeräten unter Verwendung eines BC-Netzwerks zu aktualisieren, gemäß einem Beispiel;
    • 2 ist ein Sequenzdiagramm, das einen Beispielprozess für die Aktualisierung eines Zertifikats mit öffentlichem Schlüssel unter Verwendung eines BC-Netzwerks in jedem Netzwerkgerät einer Vielzahl von Netzwerkgeräten zeigt, die in einem Netzwerk eingesetzt werden;
    • 3 ist ein Blockdiagramm eines Netzwerks mit einer Vielzahl von Netzwerkgeräten, die in dem Netzwerk eingesetzt werden, um ein öffentliches Schlüsselzertifikat in den Netzwerkgeräten unter Verwendung eines BC-Netzwerks individuell in jedem Satz von Netzwerkgeräten zu aktualisieren, gemäß einem Beispiel;
    • 4 ist ein Beispiel-Computersystem mit einem Prozessor und einem maschinenlesbaren Medium, das mit Beispielanweisungen zum Aktualisieren eines Zertifikats mit öffentlichem Schlüssel unter Verwendung eines BC-Netzwerks in jedem Netzwerkgerät einer Vielzahl von Netzwerkgeräten, die in einem Netzwerk eingesetzt werden, codiert ist;
    • 5 ist ein Flussdiagramm, das ein Verfahren zur Aktualisierung eines Zertifikats mit öffentlichem Schlüssel unter Verwendung eines BC-Netzwerks in jedem Netzwerkgerät einer Vielzahl von Netzwerkgeräten, die in einem Netzwerk eingesetzt werden, gemäß einem Beispiel darstellt;
    • 6 ist ein Flussdiagramm, das ein Verfahren zum Aktualisieren eines Zertifikats mit öffentlichem Schlüssel unter Verwendung eines BC-Netzwerks in jedem Netzwerkgerät einer Vielzahl von Netzwerkgeräten, die in einem Netzwerk eingesetzt werden, gemäß einem anderen Beispiel illustriert; und
    • 7 ist ein Flussdiagramm, das ein Verfahren zur Bereitstellung eines neuen Netzwerkgeräts, das einem Netzwerk hinzugefügt wurde, unter Verwendung eines BC-Netzwerks gemäß einem Beispiel darstellt.
  • DETAILLIERTE BESCHREIBUNG
  • Die folgende detaillierte Beschreibung bezieht sich auf die beigefügten Zeichnungen. Wo immer möglich, werden in den Zeichnungen und in der folgenden Beschreibung dieselben Bezugsnummem verwendet, um auf gleiche oder ähnliche Teile hinzuweisen. Es wird jedoch ausdrücklich darauf hingewiesen, dass die Zeichnungen nur der Veranschaulichung und Beschreibung dienen. Auch wenn in diesem Dokument mehrere Beispiele beschrieben werden, sind Änderungen, Anpassungen und andere Implementierungen möglich.
  • Die hier verwendete Terminologie dient nur der Beschreibung bestimmter Beispiele und ist nicht als einschränkend zu verstehen. Die hier verwendeten Singularformen „ein“, „ein“ und „die“ schließen auch die Pluralformen ein, sofern aus dem Kontext nicht eindeutig etwas anderes hervorgeht. Der hier verwendete Begriff „Mehrzahl“ ist definiert als zwei oder mehr als zwei. Der hier verwendete Begriff „ein weiteres“ ist definiert als mindestens ein zweites oder mehr. Der hier verwendete Begriff „gekoppelt“ ist definiert als verbunden oder gekoppelt, entweder direkt, ohne dazwischenliegende Elemente, oder indirekt mit mindestens einem dazwischenliegenden Element, sofern nicht anders angegeben. Zwei Elemente können mechanisch, elektrisch oder kommunikativ über einen Kommunikationskanal, einen Weg, ein Netzwerk oder ein System miteinander verbunden sein. Es versteht sich auch, dass, obwohl die Begriffe „erstes“, „zweites“, „drittes“ usw. hier verwendet werden können, um verschiedene Elemente zu beschreiben, diese Elemente durch diese Begriffe nicht eingeschränkt werden sollten, da diese Begriffe nur verwendet werden, um ein Element von einem anderen zu unterscheiden, es sei denn, es wird etwas anderes angegeben oder der Kontext zeigt etwas anderes an.
  • Bei der anfänglichen Einrichtung eines Netzes an einem Standort, z. B. in Bürokomplexen, Krankenhäusern, Flughäfen usw., müssen Hunderte oder Tausende von Netzgeräten (z. B. Zugangspunkte, Switches, Router usw.) so konfiguriert werden, dass sie die gewünschten Funktionen erfüllen. Bei der Konfiguration werden den Netzwerkgeräten Netzkennungen, Sicherheitseinstellungen, Verschlüsselungsarten, Leistungsstufen und andere Parameter zugewiesen. Um die Netzwerkgeräte zu konfigurieren, die sich in einem nicht bereitgestellten Zustand befinden, werden sie oft zuerst bereitgestellt und dann konfiguriert. Die Bereitstellung umfasst im Allgemeinen die Bereitstellung von Informationen für ein Netzwerkgerät, das sich in einem nicht bereitgestellten Zustand befindet. Die Bereitstellungsinformationen enthalten Informationen über die von einem bestimmten Kunden vorgeschriebenen Konfigurationseinstellungen für die Konfiguration des Netzgeräts. Sobald ein Netzwerkgerät die Bereitstellungsinformationen erhält, wird das Netzwerkgerät mit den vom Kunden vorgeschriebenen Konfigurationseinstellungen konfiguriert (z. B. Netzwerkkennungen, Verschlüsselungstyp, Sicherheitseinstellungen, Leistungsstufen, Namen usw.). Ein Netzwerkgerät wird nach der Konfiguration mit den jeweiligen Konfigurationseinstellungen in Betrieb genommen. Auch nach der ersten Inbetriebnahme müssen einige oder alle Netzwerkgeräte möglicherweise neu konfiguriert werden, um aktualisierte oder geänderte Konfigurationseinstellungen anzuwenden. Eine Konfiguration und Neukonfiguration kann auch erfolgen, wenn ein oder mehrere neue Netzwerkgeräte zu einem bereits bestehenden Netzwerk hinzugefügt werden.
  • In einem „nicht bereitgestellten Zustand“ verfügt ein Netzwerkgerät über keine Konfigurationseinstellungen und hat keine Kenntnis von einem Konfigurationsgerät (z. B. einem Netzwerkmanagementserver wie AirWave® oder einem Controller wie den ARUBA® 6000, 7200 oder 3x000 Controllern). Im Gegensatz dazu erhält das Netzwerkgerät in einem Bereitstellungszustand Bereitstellungsinformationen, die Informationen darüber enthalten, wie das Gerät sein Konfigurationsgerät kontaktieren kann, um Informationen wie Firmware und Konfigurationseinstellungen abzurufen, und zu welcher Konfigurationsgruppe das Netzwerkgerät gehört. Darüber hinaus können die Bereitstellungsinformationen verwendet werden, um das Netzgerät automatisch bestimmten geografischen Standorten zuzuordnen.
  • Die Bereitstellung der Netzwerkgeräte kann manuell oder automatisch erfolgen. In einigen Beispielen kann die Bereitstellung von Hunderten oder Tausenden von Netzwerkgeräten durch einen Cloud-basierten Dienst wie z. B. Aruba® Activate™ erleichtert werden. Der Cloud-basierte Dienst kann die Zero-Touch-Bereitstellung (automatische Bereitstellung) von Netzwerkgeräten erleichtern. Durch die Zero-Touch-Bereitstellung entfällt die Notwendigkeit, dass Mitarbeiter des technischen Kundendienstes einen Installationsort aufsuchen müssen, um ein Netzwerkgerät bereitzustellen, die erneute Lieferung des Netzwerkgeräts nach der Bereitstellung wird vermieden und die Ressourcennutzung wird optimiert. In einigen Beispielen wird ein neu bestelltes Netzgerät, wenn es dem Netz hinzugefügt wird, automatisch dem Bestand eines Kunden im Cloud-basierten Dienst hinzugefügt und mit Bereitstellungsinformationen für diesen Kunden versehen.
  • Darüber hinaus umfasst der sichere Betrieb eines Netzes im Allgemeinen die Validierung der Netzgeräte im Netz, wenn die Netzgeräte miteinander kommunizieren. Die Validierung umfasst häufig die Anforderung von Zertifikaten (z. B. öffentliche Schlüsselzertifikate) von einem vertrauenswürdigen Plattformmodul (TPM), das in jedem Netzwerkgerät installiert ist. Wenn beispielsweise ein neues Netzwerkgerät in einem nicht bereitgestellten Zustand mit dem Netzwerk verbunden wird, baut das neue Netzwerkgerät in dem nicht bereitgestellten Zustand eine Kommunikation mit dem Cloud-basierten Dienst auf. Während einer solchen Kommunikation wird eine Validierung des neuen Netzwerkgeräts durchgeführt, die die Abfrage eines Zertifikats mit öffentlichem Schlüssel beinhaltet, das im Netzwerkgerät eingesetzt wird. Nach der Validierung ruft das Netzgerät seine Bereitstellungsinformationen von dem Cloud-basierten Dienst ab und verwendet diese Informationen dann, um seine Konfigurationseinstellungsinformationen von einem Konfigurationsgerät zu erhalten.
  • Ein Zertifikat ist ein elektronisches Dokument, das eine Einheit wie einen Server, ein Gerät, ein Unternehmen oder eine andere Einheit identifiziert. Die Public Key Infrastructure (PKI) ist ein System zur Verwaltung solcher Zertifikate und der zugehörigen Schlüssel (z. B. öffentlich-private Schlüsselpaare). Die PKI ist insbesondere für die Ausstellung, Aufbewahrung und den Widerruf von Zertifikaten über unsichere Netze zuständig. In diesem Zusammenhang ermöglicht die PKI den Austausch von Daten unter Verwendung von öffentlich-privaten Schlüsselpaaren, die in Form eines digitalen Zertifikats von einer Zertifizierungsstelle (CA) ausgestellt und ausgetauscht werden. Eine Zertifizierungsstelle ist eine Einrichtung, die digitale Zertifikate an Kunden ausstellt, nachdem sie deren Legitimität überprüft hat. Eine vertrauenswürdige Zertifizierungsstelle validiert Identitäten und stellt vertrauenswürdige digitale Zertifikate aus. Eine Zertifizierungsstelle kann ein unabhängiger Dritter oder eine Organisation sein, die ihre eigene Serversoftware für die Ausstellung von Zertifikaten betreibt. Die zur Überprüfung einer Identität verwendeten Methoden variieren je nach den Richtlinien einer bestimmten Zertifizierungsstelle.
  • Ein digitales Zertifikat, wie es hier verwendetwird, verbindet eine Identität (z. B. den Namen) einer Einheit mit einem öffentlichen Schlüssel und wird auch als Public-Key-Zertifikat bezeichnet. Ein Public-Key-Zertifikat enthält Informationen über den Eigentümer des Schlüssels (d. h. eine Endeinheit wie z. B. einen Kunden), den öffentlichen Schlüssel, ein Ablaufdatum, die Unterschrift der Zertifizierungsstelle, die es ausgestellt hat, usw. Um die Identität mit dem öffentlichen Schlüssel zu verknüpfen, wird eine Kette von Zertifikaten (oder eine Vertrauenskette) eingerichtet. Im Allgemeinen umfasst die Kette von Zertifikaten eine Liste von Zertifikaten, die ein Endzertifikat, ein Stammzertifikat und ein oder mehrere Zwischenzertifikate enthält. Ein Root-CA-Zertifikat wird von einer Ursprungszertifizierungsstelle oder Stammzertifizierungsstelle ausgestellt, die eine öffentlich vertrauenswürdige Zertifizierungsstelle ist. Die Stammzertifizierungsstelle hat die Möglichkeit, Zwischenzertifikate zu signieren, die von einer oder mehreren Zwischenzertifizierungsstellen ausgestellt wurden, denen die Stammzertifizierungsstelle vertraut. Zwischenzertifikate bieten eine flexible Struktur für die Übertragung der Gültigkeit der Stammzertifizierungsstelle auf weitere Zwischen- und Endzertifikate in der Kette. Das Endteilnehmerzertifikat ist das letzte Glied in der Kette des Vertrauens. Das End-Entity-Zertifikat (manchmal auch als Leaf-Zertifikat oder Server-Zertifikat bezeichnet) dient dazu, das Vertrauen der Stammzertifizierungsstelle über alle Zwischenzertifikate in der Kette auf eine Entität wie eine Website, ein Unternehmen, eine Regierung oder eine einzelne Person zu übertragen. Ein Endteilnehmer-Zertifikat wird für eine bestimmte Domäne ausgestellt, die von einem bestimmten Endteilnehmer benötigt wird. Die Gültigkeit der Stammzertifizierungsstelle ist von entscheidender Bedeutung für die Integrität der Kette als Ganzes. Wenn die Stammzertifizierungsstelle öffentlich vertrauenswürdig ist (wie SSL.com), können die Stammzertifizierungsstellen-Zertifikate oder Zwischenzertifikate von einem Softwareunternehmen in seine Browser- und Betriebssystemsoftware aufgenommen werden. Dadurch wird sichergestellt, dass die Software den Zertifikaten in der Zertifikatskette, die zu einem Root-CA-Zertifikat zurückführen, vertraut.
  • Wie erörtert, können Zertifikate mit öffentlichem Schlüssel zwischen den Komponenten wie Netzwerkgeräten, Cloud-basierten Diensten und Konfigurationsgeräten in einem Netzwerk validiert werden, um das ordnungsgemäße Funktionieren der Netzwerkgeräte während des Betriebs zu gewährleisten. Beispielsweise wird gemäß einem Industriestandardverfahren ein in einem bestimmten Netzwerkgerät enthaltenes Public-Key-Zertifikat verwendet, um gegenüber dem Cloud-basierten Dienst zu bestätigen, dass das betreffende Netzwerkgerät ein vertrauenswürdiges Netzwerkgerät ist. Ein öffentliches Schlüsselzertifikat (z. B. ein Root-CA-Zertifikat, ein Zwischenzertifikat usw.) ist in die Firmware eines jeden Netzwerkgeräts eingebettet. Die in die Netzwerkgeräte eingebetteten Public-Key-Zertifikate werden häufig über ein Firmware-Update aktualisiert (z. B. wenn sie abgelaufen sind). Wenn ein bestimmtes Netzwerkgerät kein aktives öffentliches Schlüsselzertifikat enthält oder wenn es ein aktives öffentliches Schlüsselzertifikat enthält, das nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert ist, erkennt der Cloud-basierte Dienst das betreffende Netzwerkgerät nicht als vertrauenswürdiges Netzwerkgerät. In solchen Fällen wäre die durch ein solches Public-Key-Zertifikat gesicherte Kommunikation von oder zu dem betreffenden Netzgerät zu oder von einem anderen Gerät im Netz nicht zulässig.
  • In einigen Fällen, in denen eine Zertifizierungsstelle aus irgendeinem Grund von einer anderen Einrichtung übernommen wird, muss das in jedem Netzwerkgerät eingebettete Zertifikat des öffentlichen Schlüssels durch ein neues, für die andere Einrichtung ausgestelltes Zertifikat des öffentlichen Schlüssels ersetzt werden. Wird das Zertifikat des öffentlichen Schlüssels in den Netzwerkgeräten nicht ersetzt, kann dies zu Fehlern bei der Kommunikation mit dem Cloud-basierten Dienst und dem/den Konfigurationsgerät(en) führen. Dies kann dazu führen, dass der Netzdienst nicht mehr verfügbar ist.
  • Die hier beschriebenen Beispiele gehen diese technologischen Probleme an, indem sie die Aktualisierung von Zertifikaten mit öffentlichem Schlüssel für Netzwerkgeräte, die in einem Netzwerk eingesetzt werden, durch ein Blockchain-Netzwerk (BC-Netzwerk) erleichtern. In einigen Beispielen kann auch die Bereitstellung eines Netzwerkgeräts durch das BC-Netzwerk erleichtert werden. Die hier beschriebenen Systeme und Verfahren verwenden ein BC-Netzwerk zur Übermittlung von Standortinformationen eines neuen öffentlichen Schlüsselzertifikats an die Netzwerkgeräte. Die Verwendung eines BC-Netzwerks kann es ermöglichen, die Standortinformationen auf sichere und überprüfbare Weise an alle Netzwerkgeräte gleichzeitig zu übermitteln. In einigen Beispielen können die Systeme und Verfahren auch die Bereitstellung eines neuen Netzwerkgeräts (das sich in einem nicht bereitgestellten Zustand befindet) erleichtern, indem sie dem neuen Netzwerkgerät ein aktuelles öffentliches Schlüsselzertifikat und Bereitstellungsinformationen unter Verwendung des BC-Netzwerks bereitstellen.
  • Ein Aspekt der vorliegenden Offenbarung betrifft ein Verfahren zum Aktualisieren eines neuen Zertifikats mit öffentlichem Schlüssel unter Verwendung eines BC-Netzwerks für eine Vielzahl von Netzwerkgeräten, die in einem Netzwerk eingesetzt werden. Die Netzwerkgeräte der Vielzahl von Netzwerkgeräten nehmen an dem BC-Netzwerk teil. Das Verfahren umfasst den Empfang einer Transaktion in einem verteilten Hauptbuch des BC-Netzwerks durch ein Netzwerkgerät der Vielzahl von Netzwerkgeräten. Die Transaktion enthält Standortinformationen eines neuen öffentlichen Schlüsselzertifikats, das in jedem der Netzwerkgeräte eingesetzt werden soll. Das Verfahren umfasst ferner die Überprüfung unter Verwendung eines intelligenten Vertrags, ob das neue Zertifikat des öffentlichen Schlüssels gültig ist und ob sich das neue Zertifikat des öffentlichen Schlüssels von einem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels in dem verteilten Hauptbuch unterscheidet. Als Reaktion auf eine erfolgreiche Verifizierung durch mindestens eine vordefinierte Anzahl von Netzwerkgeräten aus der Vielzahl von Netzwerkgeräten umfasst das Verfahren die Aufzeichnung der Transaktion in dem verteilten Hauptbuch durch jedes der Netzwerkgeräte.
  • Eine „Blockchain“ kann ein digitales Hauptbuch sein, in dem Aufzeichnungen über eine Abfolge von ausgeführten Transaktionen oder Ereignissen in Blöcken gespeichert werden, die kryptografisch miteinander verbunden sind. Ein „Block“ kann eine Einheit der Datenaufzeichnung für eine Blockchain sein. Jeder Block kann Informationen über die entsprechende Transaktion und einen kryptografischen Hash des vorherigen Blocks enthalten, der die beiden Blöcke miteinander verbindet. Auf diese Weise können Blöcke miteinander verkettet werden, indem der kryptografische Hash des vorherigen Blocks in die Blockchain aufgenommen wird. Eine solche Verkettung von Blöcken kann die Integrität eines Blocks bestätigen und die Änderung eines Blocks in der Blockchain erschweren, ohne dass eine solche Änderung leicht zu erkennen ist. In einigen Beispielen kann eine Blockchain in einem BC-Netzwerk implementiert werden, das aus einer Vielzahl von Knoten bestehen kann, um das BC-Netzwerk zu implementieren. In solchen Beispielen kann das BC-Netzwerk eine Blockchain als verteiltes Hauptbuch (Distributed Ledger) implementieren, das eine Form einer dezentralen Datenbank ist, die in einem oder mehreren am BC-Netzwerk teilnehmenden Knoten (z. B. Teilnehmerknoten oder Blockchain-Knoten, wie z. B. entsprechende Computergeräte) gespeichert sein kann. In solchen Beispielen kann jeder Knoten, der an einem BC-Netzwerk teilnimmt, eine Kopie der Blockchain (d. h. des verteilten Hauptbuchs) erhalten, die automatisch heruntergeladen werden kann, wenn er sich für das Blockchain-Netzwerk registriert (z. B. nach einem Registrierungsmodell für den Zugang zum BC-Netzwerk). Bei diesen Implementierungen muss sich jeder Teilnehmerknoten gemäß einer Zugangsrichtlinie (einschließlich eines Registrierungsmodells für den Zugang zum BC-Netz) beim BC-Netz anmelden, um das verteilte Hauptbuch zu nutzen oder darauf zuzugreifen. In einigen Beispielen kann die Registrierung für einen Knoten oder eine Entität, die auf das BC-Netz zugreift, ein Teil eines gesamten BC-Netzes sein.
  • Ein BC-Verwaltungssystem, das mindestens einige Teilnehmerknoten (z. B. maßgebliche Knoten) umfasst, kann das verteilte Hauptbuch verwalten und jede im verteilten Hauptbuch erzeugte Transaktion sowie einen neuen Block, der der Blockchain hinzugefügt wird und der Transaktion entspricht, mithilfe des Konsensverfahrens kryptografisch validieren. Das BC-Verwaltungssystem enthält Logik oder Regeln für die Durchführung verschiedener Funktionen wie die Aufzeichnung von Transaktionen, das Schreiben von Hauptbucheinträgen und die Durchführung von Konsensprozessen gemäß den Blockchain-Protokollen und -Spezifikationen. Das BC-Verwaltungssystem kann Informationen zur Identifizierung der teilnehmenden Knoten, einer Transaktion und Informationen zur Identifizierung eines Eigentümers jedes Blocks aufzeichnen. Ein Eigentümer eines Blocks kann ein Teilnehmerknoten sein, der Daten zur Erstellung dieses Blocks im verteilten Hauptbuch bereitstellt.
  • Darüber hinaus kann ein BC-Netz als öffentliches Blockchain-Netz, als privates Blockchain-Netz oder als hybrides Blockchain-Netz mit einer Kombination aus öffentlichem Blockchain-Netz und privatem Blockchain-Netz implementiert werden. Ein öffentliches Blockchain-Netzwerk ist für jede Einrichtung zugänglich, und jede Einrichtung kann an dem öffentlichen Blockchain-Netzwerk teilnehmen. In einem privaten BC-Netz kann der Zugang zum BC-Netz eingeschränkt werden, um seine Privatsphäre zu schützen. Bei dieser Implementierung kann eine bestimmte Anzahl von Teilnehmerknoten auf das BC-Netz zugreifen, je nach den Anforderungen der Teilnehmerknoten, der Art der auszutauschenden Informationen usw. Bei solchen Implementierungen können den Teilnehmerknoten des BC-Netzes bestimmte Protokolle und Berechtigungen für den Zugriff auf das BC-Netz zugewiesen werden. Das private BC-Netz kann auch als „permissioned BC network“ bezeichnet werden. In einer solchen Implementierung können einige Teilnehmerknoten nur Leseberechtigungen haben, während andere Teilnehmerknoten Lese- und Schreibberechtigungen haben können. Außerdem können einige Teilnehmerknoten über eine Verschlüsselung mit öffentlichem und privatem Schlüssel auf Daten zugreifen, die nur sie selbst betreffen. In diesem Beispiel können Daten auf dem verteilten Hauptbuch für einen bestimmten Teilnehmerknoten relevant sein, der mit einem öffentlichen Blockchain-Schlüssel verschlüsselt werden kann, so dass nur ein privater Blockchain-Schlüssel seinen Inhalt entschlüsseln kann. In einigen Beispielen kann ein BC-Netzwerk eine Sidechain sein. Eine Sidechain ist ein separates BC-Netzwerk, das an ein Haupt-BC-Netzwerk angeschlossen ist. Das Haupt-BC-Netzwerk umfasst eine Haupt-Blockchain und alle zusätzlichen Blockchains werden als Sidechains“ bezeichnet. Sidechains ermöglichen es, Token und andere digitale Vermögenswerte aus der Haupt-Blockchain sicher in einer separaten Blockchain zu verwenden und bei Bedarf wieder in die Haupt-Blockchain zu übertragen. Auf diese Weise kann eine Teilmenge einer Vielzahl von Knoten Daten untereinander austauschen und eine Teilmenge von Daten an die Hauptblockchain weitergeben.
  • Beispiele werden hier unter Bezugnahme auf die 1-7 näher beschrieben. Es sei darauf hingewiesen, dass die Beschreibung und die Figuren lediglich die Prinzipien des vorliegenden Gegenstands zusammen mit den hier beschriebenen Beispielen veranschaulichen und nicht als Einschränkung des vorliegenden Gegenstands ausgelegt werden sollten. Darüber hinaus kann jede hier beschriebene Funktionalität, die von einer Komponente (z. B. einem Netzwerkgerät oder einem BC-Verwaltungssystem) ausgeführt wird, von mindestens einem Prozessor der Komponente ausgeführt werden, der Anweisungen (die auf einem maschinenlesbaren Speichermedium gespeichert sind) ausführt, um die hier beschriebenen Funktionen auszuführen. Im Folgenden werden verschiedene Implementierungen des vorliegenden Gegenstands anhand mehrerer Beispiele beschrieben. Obwohl sich ein oder mehrere Teile der Beschreibung hier auf Netzwerkgeräte beziehen, die in einer Organisation eingesetzt werden, können die Methoden und beschriebenen Techniken für mehrere Organisationen verwendet werden.
  • 1 zeigt ein Beispiel für ein Netzwerk 100, das einen Cloud-basierten Dienst 102 nutzt, der für den Empfang von Kommunikation von einer Vielzahl von Netzwerkgeräten 104 geeignet ist, die einzeln in einer Organisation implementiert sind. Bei der Organisation kann es sich um eine Organisation mit mehreren Nutzern handeln, wie z. B. ein Unternehmen, eine Bildungseinrichtung, eine Regierungsbehörde oder eine andere Organisation mit mehreren Nutzern und möglicherweise mehreren physischen und geografischen Standorten. Ein Anbieter des Cloud-basierten Dienstes 102 kann den Cloud-basierten Dienst 102 nutzen, um eine oder mehrere Organisationen (d. h. einen oder mehrere Kunden) bei der Konfiguration und Neukonfiguration der Netzwerkgeräte 104 und aller neuen Netzwerkgeräte, die dem Netzwerk 100 hinzugefügt werden, zu unterstützen. Obwohl in 1 die Netzwerkgeräte 104 dargestellt sind, die zu einer Organisation gehören, kann das Netzwerk 100 viele weitere Netzwerkgeräte umfassen, die in mehr als einer Organisation implementiert sind, die mit dem Cloud-basierten Dienst 102 kommuniziert.
  • Bei dem Netzwerk 100 kann es sich um ein privates Netzwerk handeln, z. B. ein Unternehmensnetzwerk. Ein privates Netzwerk kann ein Netzwerk sein, das Sicherheits- und Zugriffskontrollen enthält, so dass nur bestimmte Benutzer zum Zugriff auf das private Netzwerk berechtigt sind. Zu den autorisierten Benutzern können z. B. ein oder mehrere Benutzer der Organisation gehören. Das Netzwerk 100 kann drahtgebunden oder drahtlos sein. In den hier beschriebenen Beispielen kann das Netzwerk 100 ein Internetprotokoll (IP) oder ein nicht-IPbasiertes lokales Netzwerk (LAN), ein virtuelles LAN (VLAN), ein drahtloses lokales Netzwerk (WLAN), ein virtuelles privates Netzwerk (VPN), das Internet oder Ähnliches umfassen, ist aber nicht darauf beschränkt. Die Kommunikation über das Netzwerk 100 kann in Übereinstimmung mit verschiedenen Kommunikationsprotokollen erfolgen, wie z. B. dem Transmission Control Protocol und Internet Protocol (TCP/IP), dem User Datagram Protocol (UDP), IEEE 802.11 und/oder zellularen Kommunikationsprotokollen über Kommunikationsverbindungen, ohne darauf beschränkt zu sein.
  • Die Netzwerkgeräte 104 können Konnektivität zu verschiedenen Client-Geräten (in den Figuren nicht dargestellt) bereitstellen, z. B. zu Computergeräten, die von den Benutzern in der Organisation verwendet werden. Ein Client-Gerät kann über eines der Netzwerkgeräte 104 auf Netzwerkressourcen, einschließlich anderer Geräte des Netzwerks und des Netzwerks 100, zugreifen. Beispiele für Netzwerkgeräte 104 sind unter anderem Access Points, Switches oder Router.
  • Ein oder mehrere Konfigurationsgeräte 106 können in der Organisation implementiert werden, um die Vorgänge im Netzwerk 100 zu verwalten. Das/die Konfigurationsgerät(e) 106 kann/können an einem oder mehreren der geografischen Standorte implementiert sein und mit den Netzwerkgeräten 104 kommunizieren. Das/die Konfigurationsgerät(e) 106 kann/können zur Verwaltung und Konfiguration der Netzwerkgeräte 104 eingesetzt werden, die an allen geografischen Standorten implementiert sind.
  • Der Cloud-basierte Dienst 102 kann so konfiguriert sein, dass er Geräteinformationen (z. B. MAC-Adresse, Seriennummer oder andere Informationen zur Identifizierung eines Netzwerkgeräts) von Herstellern, Anbietern/Wiederverkäufern, Kunden oder Netzwerkadministratoren für die anschließende Bereitstellung dieses Netzwerkgeräts erhält. Der Cloud-basierte Dienst 102 kann ferner so konfiguriert sein, dass er dem neuen Netzwerkgerät in einem nicht bereitgestellten Zustand Bereitstellungsinformationen bereitstellt. Darüber hinaus verwaltet der Cloud-basierte Dienst 102 die Kommunikation zwischen allen Netzwerkgeräten 104 und ihren jeweiligen Konfigurationsgeräten 106. Der Cloud-basierte Dienst 102 kann darüber hinaus die Neukonfiguration eines beliebigen Netzwerkgeräts 104 erleichtern.
  • In den hier beschriebenen Beispielen umfasst das Netz 100 ein BC-Netz 110 mit den Netzgeräten 104 zur Übermittlung von Standortinformationen eines Zertifikats mit öffentlichem Schlüssel zwischen den Netzgeräten 104. Jedes der Netzwerkgeräte 104 nimmt an dem BC-Netzwerk 110 teil und wird als teilnehmendes Netzwerkgerät oder Teilnehmerknoten bezeichnet. Als solches kann jedes der teilnehmenden Netzwerkgeräte 104 auf das BC-Netzwerk 110 zugreifen. In einigen Beispielen kann das BC-Netzwerk 110 auch Bereitstellungsinformationen für ein Netzwerkgerät in einem nicht bereitgestellten Zustand übermitteln.
  • In einem Beispiel kann das BC-Netz 110 als privates BC-Netz implementiert werden, in dem die in einer Organisation eingesetzten Netzwerkgeräte 104 an dem BC-Netz 110 teilnehmen. Obwohl hier einige Beispiele in Bezug auf ein privates BC-Netzwerk beschrieben werden, kann die hier offengelegte Technologie auch für öffentliche oder hybride BC-Netzwerke verwendet werden. Darüber hinaus kann das BC-Netzwerk 110 ein Haupt-BC-Netzwerk sein, das mit den Netzwerkgeräten 104 verbunden ist (d. h. eine Gruppe von Netzwerkgeräten 104, die in einer Organisation eingesetzt werden), oder eine Nebenkette eines Haupt-BC-Netzwerks, die mit einer Vielzahl von Gruppen von Netzwerkgeräten verbunden sein kann, die in verschiedenen Organisationen eingesetzt werden.
  • Jedes der Teilnehmer-Netzwerkgeräte 104 kann einen rollenbasierten Zugang zum BC-Netzwerk 110 haben, entsprechend den Vertragsbedingungen für den Zugang zum BC-Netzwerk 110 und/oder den Regeln, die die Blockchain-Protokolle und Spezifikationen definieren. Beispielsweise kann eines der teilnehmenden Netzwerkgeräte 104 Lese- und Schreibzugriff haben, während ein anderes teilnehmendes Netzwerkgerät 104 nur Lesezugriff haben kann. In den hier beschriebenen Beispielen wird eines der teilnehmenden Netzwerkgeräte 104 als autorisierendes Netzwerkgerät 104A bezeichnet, das Zugriff hat, um eine Transaktion in das BC-Netzwerk 110 zu schreiben. Das autorisierende Netzwerkgerät 104A kann für einen Administrator (z. B. einen Benutzer in der Organisation) zugänglich sein und Informationen wie Informationen über ein neues Netzwerkgerät, Firmware-Updates und ein öffentliches Schlüsselzertifikat erhalten. In einem Beispiel hat das autorisierende Netzwerkgerät 104A Lese- und Schreibzugriff und andere teilnehmende Netzwerkgeräte 104B haben nur Lesezugriff. Obwohl in 1 ein autorisierendes Netzwerkgerät 104A dargestellt ist, kann das BC-Netzwerk 110 mehr als ein autorisierendes Netzwerkgerät umfassen.
  • In bestimmten Beispielen ist das autorisierende Netzwerkgerät 104A ein Netzwerkgerät, das den Cloud-basierten Dienst 102 bereitstellt. In diesen Fällen nimmt der Cloud-basierte Dienst 102 an dem BC-Netzwerk 110 teil. Eine solche Implementierung kann in einem Einsatz vorgesehen sein, bei dem der Cloud-basierte Dienst 102 die Netzwerkgeräte einer einzigen Organisation verwaltet. In einigen anderen Beispielen gehört ein Netzwerkgerät, das den Cloud-basierten Dienst 102 bereitstellt, nicht zu den Netzwerkgeräten 104. Das heißt, der Cloud-basierte Dienst 102 kann nicht am BC-Netzwerk 110 teilnehmen.
  • Wie in 1 dargestellt, umfasst das BC-Netzwerk 110 außerdem ein BC-Verwaltungssystem 112, ein verteiltes Hauptbuch 114 und einen intelligenten Vertrag 116. Das BC-Verwaltungssystem 112 verwaltet das BC-Netzwerk 110. In einigen Beispielen kann das BC-Verwaltungssystem 112 die Funktionen des BC-Netzwerks 110 gemäß verschiedenen Blockchain-Protokollen und - Spezifikationen und den Vertragsbedingungen im Smart Contract 116 ausführen. Das BC-Verwaltungssystem 112 kann mehrere Funktionen zum Aufzeichnen, Teilen und Abrufen von Informationen in und aus dem verteilten Hauptbuch 114 ausführen. Wie zu erkennen sein wird, können die vom BC-Verwaltungssystem 112 durchgeführten Operationen auf einem oder mehreren Geräten des Teilnehmernetzes 104 durchgeführt werden. Die meisten der beschriebenen Funktionen des BC-Netzes 110 können durch Anweisungen ausgeführt werden, die auf mindestens einem maschinenlesbaren Speichermedium der Teilnehmernetzvorrichtung(en) 104 gespeichert sind und von mindestens einem Prozessor der Teilnehmernetzvorrichtung(en) 104 ausgeführt werden. Das mindestens eine maschinenlesbare Speichermedium kann ein nichttransitorisches maschinenlesbares Medium sein. Das mindestens eine maschinenlesbare Speichermedium kann durch einen flüchtigen Speicher (z. B. eine oder mehrere flüchtige Speichervorrichtungen, wie DRAM-Vorrichtung(en), DIMM(s) oder Ähnliches) implementiert sein.
  • Das verteilte Hauptbuch 114 kann aus Hauptbuchblöcken bestehen, die jeweils auf einen Hash eines früheren Hauptbuchblocks zurückverweisen. Für jeden Schritt, der während einer Transaktion erfolgt oder durchgeführt wird, wird ein Block erzeugt. Der erzeugte Block enthält Informationen über die Transaktion, das teilnehmende Netzwerkgerät 104 (z. B. das autorisierende Netzwerkgerät 104A), das die Transaktion erzeugt hat, und den Zeitstempel der Aufzeichnung der Transaktion. Die in dem Block aufgezeichneten Informationen können unverschlüsselt, verschlüsselt oder gehasht sein. In einigen Beispielen können die in einem Block aufgezeichneten Informationen verschlüsselt oder gehasht sein, und ein bestimmtes teilnehmendes Netzwerkgerät der Netzwerkgeräte 104 kann die Informationen entschlüsseln.
  • Eine Transaktion kann sich auf jede Aktivität, jeden Vorgang oder jedes Ereignis beziehen, das mit der Registrierung eines Netzgeräts im BC-Netz 110, mit Informationen über ein Public-Key-Zertifikat (z. B. ein neues Public-Key-Zertifikat), mit dem Abruf von Informationen über das Public-Key-Zertifikat, mit dem Empfang des Public-Key-Zertifikats, mit einer von einem neuen Netzgerät gestellten Anfrage nach dem neuesten Public-Key-Zertifikat usw. zusammenhängt. Andere Beispiele können eine Anfrage des neuen Netzgeräts zum Erhalt von Bereitstellungsinformationen, den Abruf von Informationen über die Bereitstellungsinformationen durch das neue Netzgerät oder den Erhalt der Bereitstellungsinformationen usw. umfassen. Eine Transaktion kann auch eine Abfrage durch ein beliebiges Netzgerät 104 umfassen, um bestimmte Informationen in Bezug auf ein Zertifikat mit öffentlichem Schlüssel oder Bereitstellungsinformationen zu finden. In einem Beispiel kann eine Transaktion, die in Bezug auf ein öffentliches Schlüsselzertifikat oder Bereitstellungsinformationen erfolgt oder durchgeführt wird, einer verifizierten Transaktion (die aufgezeichnet werden darf) gemäß dem intelligenten Vertrag 116 entsprechen.
  • Bei dem intelligenten Vertrag 116 kann es sich um einen prozessorausführbaren Code handeln, der sich im BC-Netzwerk 110 befindet, um Funktionen wie die Registrierung eines Netzwerkgeräts im BC-Netzwerk 110, im verteilten Hauptbuch 114 aufzuzeichnende Transaktionen usw. auf der Grundlage verschiedener Blockchain-Protokolle und -Spezifikationen sowie der Vertragsbedingungen auszuführen. In einem Beispiel kann der intelligente Vertrag 116 Vertragsbedingungen für den Zugriff auf das BC-Netzwerk 110 enthalten, wie beispielsweise ein Registrierungsmodell für den Zugriff auf das BC-Netzwerk 110. In einigen Beispielen kann das BC-Netzwerk 110 einem neuen Netzwerkgerät den Zugriff auf das BC-Netzwerk 110 gemäß den Vertragsbedingungen und/oder den Regeln, die die Blockchain-Protokolle und - Spezifikationen definieren, erlauben oder einschränken. Außerdem kann der intelligente Vertrag 116 Vertragsbedingungen für die Validierung einer Transaktion enthalten, die im verteilten Hauptbuch 114 aufgezeichnet werden soll.
  • Das BC-Verwaltungssystem 112 kann Logik oder Regeln für die automatische Ausführung der Vertragsbedingungen des intelligenten Vertrags 116 enthalten. In einem Beispiel kann jedes Teilnehmernetzgerät 104 Logik oder Regeln für die automatische Ausführung der Vertragsbedingungen des intelligenten Vertrags 116 enthalten. Beispielsweise enthält jedes Teilnehmernetzgerät 104 Logik oder Regeln für die Interaktion mit anderen Teilnehmernetzgeräten, das Lesen oder Schreiben von Transaktionen, das Lesen oder Schreiben von Ledger-Einträgen, die Teilnahme am Konsensprozess und/oder die Durchführung anderer Blockchain-bezogener Funktionen gemäß verschiedenen Blockchain-Protokollen und -Spezifikationen und den Vertragsbedingungen.
  • In einem Beispiel kann eine Transaktion im verteilten Hauptbuch 114 aufgezeichnet werden, sobald ein Konsens auf der Grundlage des Konsensverfahrens gemäß den von den teilnehmenden Netzwerkgeräten 104 vereinbarten Regeln oder Logiken erreicht wurde. So kann die Logik beispielsweise vorschreiben, dass eine Transaktion im verteilten Hauptbuch 114 aufgezeichnet wird, wenn alle teilnehmenden Netzwerkgeräte 104 ihre Zustimmung geben. In solchen Beispielen wird die Transaktion auch dann nicht aufgezeichnet, wenn eines der Teilnehmernetzgeräte 104 seine Zustimmung nicht erteilt. In einem anderen Beispiel kann die Logik vorschreiben, dass eine Transaktion im verteilten Hauptbuch 114 aufgezeichnet wird, wenn die Mehrheit (z. B. mehr als 50 Prozent) der teilnehmenden Netzwerkgeräte 104 ihre Zustimmung erteilen. In solchen Beispielen würde die Transaktion aufgezeichnet werden, wenn die Mehrheit der teilnehmenden Netzwerkgeräte 104 ihre Zustimmung erteilt, und die teilnehmenden Netzwerkgeräte 104, die ihre Zustimmung nicht erteilt haben, müssten die Transaktion aufzeichnen. Sobald der Konsens erreicht ist, kann die Transaktion in das verteilte Hauptbuch 114 des BC-Netzwerks 110 aufgenommen werden. Jedes Teilnehmernetzgerät 104 speichert eine Kopie des verteilten Hauptbuchs 114.
  • Das Netz 100 kann auch ein Inter Planetary File System (IPFS) 108 in Verbindung mit dem BC-Netz 110 umfassen. IPFS ist ein Protokoll und ein Peerto-Peer-Netzwerk zur Speicherung und gemeinsamen Nutzung von Daten in einem verteilten Dateisystem. IPFS verwendet eine Inhaltsadressierung, bei der die im IPFS gespeicherten Daten mit dem kryptografischen Hash (d. h. dem IPFS-Hash oder IPFS-Link) ihres Inhalts verknüpft werden. Wenn Daten auf dem IPFS gespeichert sind, können sie über ihre Inhaltsadresse (d. h. den IPFS-Link) abgerufen werden. In einem Beispiel ist jedes teilnehmende Netzwerkgerät 104 mit dem IPFS 108 verbunden und kann auf das IPFS 108 zugreifen. In den hier beschriebenen Beispielen umfassen die Standortinformationen des neuen öffentlichen Schlüsselzertifikats die Inhaltsadresse (d. h. den IPFS-Link) des neuen öffentlichen Schlüsselzertifikats auf dem IPFS 108.
  • In einem Beispiel kann das BC-Netz 110 durch das maßgebliche Netzgerät 104A eingerichtet werden. Bei der Einrichtung des BC-Netzwerks 110 kann das BC-Verwaltungssystem 112 die Geräteinformationen des maßgeblichen Netzwerkgeräts 104A empfangen und speichern. Das maßgebliche Netzwerkgerät 104A kann dasjenige sein, das den Cloud-basierten Dienst 102 bereitstellt oder die Informationen von dem Cloud-basierten Dienst 102 erhalten hat. In einem Beispiel kann das autorisierende Netzwerkgerät 104A ein öffentliches Schlüsselzertifikat aufzeichnen, das bereits im TPM des autorisierenden Netzwerkgeräts 104A oder in jedem Netzwerkgerät 104 im Netzwerk 100 bereitgestellt wurde (d. h. zuvor bereitgestellt wurde). In einem Beispiel speichert das maßgebliche Netzwerkgerät 104A das zuvor eingesetzte Zertifikat des öffentlichen Schlüssels im IPFS 108, erhält einen IPFS-Link, der dem Zertifikat des öffentlichen Schlüssels entspricht, vom IPFS und zeichnet die Standortinformationen (d. h. den IPFS-Link), die sich auf das zuvor eingesetzte Zertifikat des öffentlichen Schlüssels beziehen, im verteilten Hauptbuch 114 auf. In einem Beispiel wird im verteilten Hauptbuch 114 ein Block erzeugt, der dem Vorgang der Aufzeichnung der Standortinformationen des zuvor bereitgestellten Zertifikats des öffentlichen Schlüssels entspricht. Das heißt, das zuvor in den Netzwerkgeräten 104 eingesetzte Zertifikat des öffentlichen Schlüssels kann im verteilten Hauptbuch 114 aufgezeichnet werden. Der Block kann Informationen enthalten, die Einzelheiten der Transaktion umfassen, z. B. den IPFS-Link, der dem Zertifikat des öffentlichen Schlüssels entspricht, und den Eigentümer des Blocks (d. h. Informationen über das maßgebliche Netzgerät 104A, das den Block im verteilten Hauptbuch 114 erzeugt hat).
  • Wenn ein Netzwerkgerät (z. B. eines der Netzwerkgeräte 104B), das bereits im Netzwerk 100 eingesetzt ist, oder ein neues Netzwerkgerät, das im Netzwerk 100 eingesetzt werden soll, auf das BC-Netzwerk 110 zugreift, kann das BC-Managementsystem 112 dieses Netzwerkgerät anhand der Vertragsbedingungen für den Zugriff auf das BC-Netzwerk 110 überprüfen. In einem Beispiel kann das BC-Managementsystem 112 Geräteinformationen von diesem Netzwerkgerät empfangen und feststellen, ob die empfangenen Geräteinformationen im Kundeninventar des Cloud-basierten Dienstes 102 enthalten sind. In einem Beispiel ermittelt das autorisierende Netzwerkgerät 104A die Geräteinformationen von dem Cloud-basierten Dienst 102 und verifiziert das Netzwerkgerät. In einigen Beispielen kann das autorisierende Netzwerkgerät 104A Geräteinformationen vom Hersteller, Verkäufer/Wiederverkäufer, Kunden oder Netzwerkadministrator erhalten und das Netzwerkgerät für die Registrierung des Netzwerkgeräts verifizieren. Nach der Überprüfung kann das BC-Verwaltungssystem 112 das Netzwerkgerät registrieren (oder anmelden) und einen Block im verteilten Hauptbuch 114 erzeugen, der der Transaktion der Registrierung des Netzwerkgeräts entspricht. Der Block im verteilten Hauptbuch 114 kann Informationen enthalten, die Details der Transaktion umfassen, wie z. B. die Anmeldung/Registrierung des Netzgeräts, seine Geräteinformationen usw. Darüber hinaus kann jedes neue Netzwerkgerät, das im Netzwerk 100 eingesetzt wird, beim BC-Netzwerk 110 als autorisiertes Netzwerkgerät gemäß den Kontaktbedingungen und/oder den Regeln, die die Blockchain-Protokolle und - Spezifikationen definieren, registriert werden. Das neue Netzwerkgerät kann die Rolle eines autorisierenden Knotens im BC-Netzwerk 110 haben und Zugang zum Lesen und Schreiben einer Transaktion im BC-Netzwerk 110 haben.
  • In den hier beschriebenen Beispielen kann das maßgebliche Netzwerkgerät 104A von einem Administrator ein neues öffentliches Schlüsselzertifikat erhalten, das in das TPM aufgenommen wird, das in jedem Netzwerkgerät 104 eingesetzt wird, das in dem Netzwerk 100 eingesetzt ist oder eingesetzt werden soll. In einem Beispiel kann das neue Zertifikat des öffentlichen Schlüssels ein Root-CA-Zertifikat oder ein Zwischenzertifikat sein. Der Administrator kann das neue öffentliche Schlüsselzertifikat von einer ausstellenden Zertifizierungsstelle erhalten und es dem autorisierenden Netzwerkgerät 104A zur Verfügung stellen. Eine ausstellende Zertifizierungsstelle kann eine Stammzertifizierungsstelle oder eine Zwischenzertifizierungsstelle sein, die ein bestimmtes öffentliches Schlüsselzertifikat ausstellt. Das neue öffentliche Schlüsselzertifikat kann als Reaktion auf das Auslaufen, den Widerruf oder eine Änderung einer ausstellenden Zertifizierungsstelle des zuvor in den Netzwerkgeräten 104 eingesetzten öffentlichen Schlüsselzertifikats ausgestellt worden sein.
  • Ein Public-Key-Zertifikat bindet im Allgemeinen einen bestimmten öffentlichen Schlüssel an eine Identität der Entität, die durch das Public-Key-Zertifikat identifiziert wird, z. B. an den Namen eines Servers. Das Public-Key-Zertifikat hilft dabei, die Verwendung von gefälschten öffentlichen Schlüsseln zur Identitätsfeststellung zu verhindern. Nur der durch das Public-Key-Zertifikat zertifizierte öffentliche Schlüssel funktioniert mit dem entsprechenden privaten Schlüssel, den die durch das Public-Key-Zertifikat identifizierte Entität besitzt. Neben dem öffentlichen Schlüssel enthält das Public-Key-Zertifikat den Namen der identifizierten Einheit (z. B. ein Unternehmen), ein Ablaufdatum, den Namen der ausstellenden Zertifizierungsstelle, die das Zertifikat ausgestellt hat, eine Seriennummer, einen Common Name (CN), eine Schlüsselverwendung, die einen Zweck oder Grund für das Zertifikat angibt, sowie weitere Informationen. Der Common Name (CN), auch bekannt als Fully Qualified Domain Name (FQDN), ist der charakteristische Wert innerhalb eines Distinguished Name. Der CN setzt sich häufig aus einem Host-Domänennamen zusammen (z. B. dem Hostnamen eines Servers). Ein Beispiel für einen CN kann activate.arubanetworks.com sein. Außerdem enthält das Public-Key-Zertifikat immer die digitale Signatur der ausstellenden Zertifizierungsstelle. Die digitale Signatur der ausstellenden Zertifizierungsstelle ermöglicht es, dass das Zertifikat als Einführung für eine Entität fungiert, die die ausstellende Zertifizierungsstelle oder die Stammzertifizierungsstelle kennt und ihr vertraut, aber keine andere durch das Public-Key-Zertifikat identifizierte Entität kennt.
  • 2 ist ein Sequenzdiagramm, das einen Prozess der Aktualisierung des neuen Zertifikats des öffentlichen Schlüssels zwischen den Netzwerkgeräten 104 des Netzwerks 100 von 1 über das BC-Netzwerk 110 in einem Beispiel zeigt. In S1 speichert das autorisierende Netzwerkgerät 104, das das neue Zertifikat des öffentlichen Schlüssels erhalten hat, das neue Zertifikat des öffentlichen Schlüssels auf dem IPFS 108. Beim Speichern des neuen Zertifikats des öffentlichen Schlüssels auf dem IPFS 108 erhält das maßgebliche Netzwerkgerät 104A einen IPFS-Link vom IPFS 108, der dem neuen Zertifikat des öffentlichen Schlüssels entspricht. In einem Beispiel enthält der IPFS-Link eine Adresse des neuen Zertifikats des öffentlichen Schlüssels im IPFS 108.
  • Als Nächstes in S2 stellt das autorisierende Netzwerkgerät 104A dem BC-Verwaltungssystem 112 des BC-Netzwerks 110 Standortinformationen des neuen Zertifikats mit öffentlichem Schlüssel zur Verfügung, um eine Transaktion im verteilten Hauptbuch 114 des BC-Netzwerks 110 zu erzeugen. In einem Beispiel erzeugt das autorisierende Netzwerkgerät 104A die Transaktion einschließlich der Standortinformationen des neuen Zertifikats mit öffentlichem Schlüssel. Bei den Standortinformationen kann es sich um den IPFS-Link handeln, der dem neuen, im IPFS 108 gespeicherten Zertifikat des öffentlichen Schlüssels entspricht.
  • In S3, wenn das BC-Verwaltungssystem 112 die Transaktion empfängt, kann das BC-Verwaltungssystem 112 die Transaktion unter Verwendung des intelligenten Vertrags 116 gemäß der von den teilnehmenden Netzwerkgeräten 104 vereinbarten Logik validieren. Mindestens eine Anzahl von Netzwerkgeräten 104B (mit Ausnahme des autorisierenden Netzwerkgeräts 104A) der teilnehmenden Netzwerkgeräte 104 kann am Konsensprozess teilnehmen, um die Transaktion unter Verwendung des intelligenten Vertrags 116 zu validieren. In einem Beispiel nimmt jedes teilnehmende Netzwerkgerät 104B (mit Ausnahme des autorisierenden Netzwerkgeräts 104A) an dem Konsensierungsprozess teil. Eine Anzahl der teilnehmenden Netzwerkgeräte unter den teilnehmenden Netzwerkgeräten 104B oder alle teilnehmenden Netzwerkgeräte 104B, die am Konsensierungsprozess teilnehmen, können als designierte Netzwerkgeräte bezeichnet werden.
  • In einem Beispiel kann der intelligente Vertrag 116 Codes enthalten, um zu überprüfen, ob das neue Zertifikat des öffentlichen Schlüssels gültig ist und ob sich das neue Zertifikat des öffentlichen Schlüssels von einem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels im verteilten Hauptbuch 114 unterscheidet. In einem Beispiel kann das zuvor aufgezeichnete Zertifikat des öffentlichen Schlüssels im verteilten Hauptbuch 114 ein beliebiges Zertifikat des öffentlichen Schlüssels sein, dessen Standortinformationen im verteilten Hauptbuch 114 vor der Aufzeichnung der Standortinformationen des neuen Zertifikats des öffentlichen Schlüssels aufgezeichnet wurden. In einem Beispiel kann das zuvor aufgezeichnete Zertifikat des öffentlichen Schlüssels das zuvor in den Netzwerkgeräten 104 eingesetzte Zertifikat des öffentlichen Schlüssels sein. Um zu überprüfen, ob das Zertifikat gültig ist, enthält der intelligente Vertrag 116 Codes, um zu überprüfen, ob (i) das neue Zertifikat des öffentlichen Schlüssels ein gültiges Ablaufdatum hat, (ii) das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde und (iii) ein CN des neuen Zertifikats des öffentlichen Schlüssels mit einem CN des zuvor eingesetzten Zertifikats des öffentlichen Schlüssels übereinstimmt. In einigen Beispielen kann der intelligente Vertrag 116 außerdem Codes enthalten, um eine oder mehrere Eigenschaften wie eine Grundbeschränkung oder eine Schlüsselnutzung des neuen Zertifikats mit öffentlichem Schlüssel zu verifizieren. Die Grundbeschränkung identifiziert die Kette von Zertifikaten und die Schlüsselverwendung identifiziert einen bestimmten Grund oder Zweck dieses Zertifikats mit öffentlichem Schlüssel. In einigen Beispielen enthält der intelligente Kontakt 116 außerdem Codes, mit denen überprüft werden kann, ob die Quelle, die die Transaktion mit den Standortinformationen des neuen Zertifikats des öffentlichen Schlüssels erzeugt hat, eine gültige Quelle ist.
  • In einem Beispiel kann jedes benannte Netzwerkgerät 104B das neue Zertifikat des öffentlichen Schlüssels aus dem IPFS 108 abrufen, indem es den in der Transaktion enthaltenen IPFS-Link verwendet und den intelligenten Vertrag 116 ausführt, um zu überprüfen, ob das neue Zertifikat des öffentlichen Schlüssels gültig ist und ob sich das neue Zertifikat des öffentlichen Schlüssels von einem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels im verteilten Ledger 114 unterscheidet.
  • Um zu überprüfen, ob das neue Public-Key-Zertifikat ein gültiges Ablaufdatum hat, kann jedes benannte Netzwerkgerät 104B feststellen, ob das Ablaufdatum des neuen Public-Key-Zertifikats ein Datum in der Zukunft ist (z. B. ein Datum nach 1 Jahr, 5 Jahren oder 10 Jahren). Ein Ablaufdatum eines Zertifikats mit öffentlichem Schlüssel ist das Datum, nach dem es abläuft (d. h. nach dem Ablaufdatum ist das Zertifikat nicht mehr gültig). In einem Beispiel prüft jedes benannte Netzwerkgerät 104B das Ablaufdatum des neuen Zertifikats des öffentlichen Schlüssels, um festzustellen, ob das neue Zertifikat des öffentlichen Schlüssels das gültige Ablaufdatum hat. Stellt ein benanntes Netzgerät der Netzgeräte 104B fest, dass das neue Zertifikat mit öffentlichem Schlüssel kein gültiges Ablaufdatum hat, prüft dieses benannte Netzgerät die Transaktion nicht und erteilt somit auch nicht seine Zustimmung.
  • Um zu überprüfen, ob das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde, kann jedes benannte Netzwerkgerät 104B den Uniform Resource Locator (URL) für eine Zertifikatswiderrufsliste (CRL) abrufen, die in dem neuen Zertifikat des öffentlichen Schlüssels enthalten ist, und die CRL anhand des URL überprüfen, um festzustellen, ob das neue Zertifikat des öffentlichen Schlüssels in die CRL aufgenommen wurde oder nicht. Wenn die CRL das neue Zertifikat des öffentlichen Schlüssels nicht enthält, wurde festgestellt, dass das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde. In den Fällen, in denen die CRL das neue Zertifikat des öffentlichen Schlüssels enthält, wird festgestellt, dass das neue Zertifikat des öffentlichen Schlüssels widerrufen wurde. In Fällen, in denen ein bestimmtes Netzwerkgerät der Netzwerkgeräte 104B feststellt, dass das neue Zertifikat des öffentlichen Schlüssels widerrufen wurde, überprüft dieses bestimmte Netzwerkgerät die Transaktion nicht und erteilt daher nicht seine Zustimmung.
  • Darüber hinaus kann jedes benannte Netzwerkgerät 104B den CN des neuen öffentlichen Schlüsselzertifikats bestimmen, den CN des zuvor eingesetzten öffentlichen Schlüsselzertifikats bestimmen (der im verteilten Hauptbuch 114 aufgezeichnet sein kann) und die beiden CNs vergleichen. In einigen Fällen stimmt der CN des neuen öffentlichen Schlüsselzertifikats mit dem des zuvor eingesetzten öffentlichen Schlüsselzertifikats überein. In anderen Fällen stimmt der CN des neuen öffentlichen Schlüsselzertifikats nicht mit dem des zuvor eingesetzten öffentlichen Schlüsselzertifikats überein. Wenn ein bestimmtes Netzwerkgerät der Netzwerkgeräte 104B feststellt, dass der CN des neuen Zertifikats des öffentlichen Schlüssels nicht mit dem des zuvor eingesetzten Zertifikats des öffentlichen Schlüssels übereinstimmt, überprüft dieses bestimmte Netzwerkgerät die Transaktion nicht und erteilt daher nicht seine Zustimmung.
  • In einigen Beispielen kann jedes benannte Netzwerkgerät 104B auch die Grundbedingung überprüfen, um festzustellen, ob die Kette von Zertifikaten eine vordefinierte Anzahl von Zwischenzertifikaten enthält. Wenn in einigen Beispielen ein bestimmtes Netzwerkgerät der Netzwerkgeräte 104B feststellt, dass die Kette von Zertifikaten eine Anzahl von Zwischenzertifikaten enthält, die über die vordefinierte Anzahl von Zwischenzertifikaten hinausgeht, prüft dieses bestimmte Netzwerkgerät die Transaktion nicht und erteilt daher nicht seine Zustimmung. In einigen Beispielen kann jedes benannte Netzwerkgerät 104B auch die Schlüsselnutzung überprüfen, um festzustellen, ob das neue Zertifikat des öffentlichen Schlüssels für den bestimmten Grund oder Zweck verwendet wird, der durch die Schlüsselnutzung des neuen Zertifikats des öffentlichen Schlüssels angegeben ist. Wenn ein bestimmtes Netzwerkgerät der Netzwerkgeräte 104B feststellt, dass das neue Zertifikat des öffentlichen Schlüssels nicht für den bestimmten Grund oder Zweck verwendet wird, wie er durch die Schlüsselnutzung angegeben ist, überprüft dieses bestimmte Netzwerkgerät in einigen Beispielen die Transaktion nicht und erteilt daher nicht seine Zustimmung.
  • Um zu überprüfen, ob sich das neue Zertifikat des öffentlichen Schlüssels von einem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet, vergleicht jedes der benannten Netzwerkgeräte 104B das neue Zertifikat des öffentlichen Schlüssels mit dem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels. In einem Beispiel vergleicht jedes der benannten Netzwerkgeräte 104B ein oder mehrere Merkmale wie das Ablaufdatum, die ausstellende Zertifizierungsstelle usw. Wenn in einigen Beispielen ein benanntes Netzwerkgerät der benannten Netzwerkgeräte 104B feststellt, dass sich das neue Zertifikat des öffentlichen Schlüssels nicht von dem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet, prüft dieses benannte Netzwerkgerät die Transaktion nicht und erteilt daher nicht seine Zustimmung. Auf diese Weise stellt das BC-Verwaltungssystem 112 sicher, dass die Standortinformationen des neuen Zertifikats mit öffentlichem Schlüssel einmal im verteilten Hauptbuch 114 aufgezeichnet werden und die Aufzeichnung nicht wiederholt wird.
  • In einigen Beispielen prüft jedes der benannten Netzgeräte 104B, ob die Quelle, die die Transaktion erzeugt hat, eine gültige Quelle ist. In diesem Zusammenhang ist eine gültige Quelle ein teilnehmendes Netzwerkgerät (d. h. das autorisierende Netzwerkgerät 104A), das eine aufzuzeichnende Transaktion im BC-Netzwerk 110 gemäß den Regeln und der Spezifikation des BC-Netzwerks 110 erzeugen kann. Um zu überprüfen, ob die Quelle, die die Transaktion erzeugt hat, eine gültige Quelle ist, ermittelt jedes der benannten Netzwerkgeräte 104B die Geräteinformationen des teilnehmenden Netzwerkgeräts, das die Transaktion erzeugt hat, und stellt fest, ob die Geräteinformationen zum autorisierenden Netzwerkgerät gehören. Wenn in einigen Beispielen ein bestimmtes Netzwerkgerät der bestimmten Netzwerkgeräte feststellt, dass die Quelle nicht das autorisierende Netzwerkgerät 104A ist, bestimmt dieses bestimmte Netzwerkgerät, dass die Quelle nicht die gültige Quelle ist. In solchen Beispielen prüft das benannte Netzgerät die Transaktion nicht und erteilt daher auch nicht seine Zustimmung.
  • Wenn in einigen Beispielen ein benanntes Netzwerkgerät überprüft, dass das neue Zertifikat des öffentlichen Schlüssels das gültige Ablaufdatum hat, nicht widerrufen wurde, der CN des neuen Zertifikats des öffentlichen Schlüssels mit dem des zuvor eingesetzten Zertifikats des öffentlichen Schlüssels übereinstimmt, und jedes zusätzliche Merkmal wie die Grundbeschränkung und die Schlüsselverwendung, überprüft dieses benannte Netzwerkgerät, dass das neue Zertifikat des öffentlichen Schlüssels gültig ist.
  • Wenn ein bestimmtes Netzwerkgerät prüft, ob das neue Zertifikat des öffentlichen Schlüssels gültig ist und sich von dem zuvor im verteilten Hauptbuch 114 aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet, prüft das bestimmte Netzwerkgerät die Transaktion und erteilt seine Zustimmung. In einigen Beispielen, wenn ein bestimmtes Netzwerkgerät überprüft, dass das neue Zertifikat des öffentlichen Schlüssels gültig ist, das neue Zertifikat des öffentlichen Schlüssels sich von dem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet und die Quelle, die die Transaktion erzeugt hat, eine gültige Quelle ist, überprüft das bestimmte Netzwerkgerät die Transaktion und erteilt seine Zustimmung. In einigen anderen Beispielen, wenn ein benanntes Netzwerkgerät nicht überprüft, ob das neue Zertifikat des öffentlichen Schlüssels gültig ist, das neue Zertifikat des öffentlichen Schlüssels sich von dem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet oder beides, überprüft das benannte Netzwerkgerät die Transaktion nicht und gibt seine Zustimmung nicht. In einigen Beispielen prüft ein benanntes Netzwerkgerät die Transaktion nicht und erteilt seine Zustimmung nicht, wenn es nicht feststellt, dass die Quelle, die die Transaktion erzeugt hat, die gültige Quelle ist.
  • In einigen Beispielen kann mindestens eine vordefinierte Anzahl von designierten Netzwerkgeräten der designierten Netzwerkgeräte 104B die Transaktion verifizieren und ihre Zustimmung geben. Die vordefinierte Anzahl der benannten Netzwerkgeräte kann die Mehrheit (z. B. mehr als 50 Prozent) der Gesamtzahl der benannten Netzwerkgeräte 104B sein. Je nach der (zuvor beschriebenen) Logik für den Konsensprozess kann das BC-Verwaltungssystem 112 bestimmen, ob der Konsens erreicht wird. In einigen Beispielen ist die Verifizierung der Transaktion erfolgreich und der Konsens erreicht, wenn alle benannten Netzwerkgeräte 104B die Transaktion verifizieren und ihre Zustimmung geben. In einigen Beispielen ist die Verifizierung der Transaktion nicht erfolgreich und der Konsens nicht erreicht, wenn eines der designierten Netzwerkgeräte 104B die Transaktion nicht verifiziert und seine Zustimmung nicht erteilt. In einigen Beispielen ist die Verifizierung der Transaktion erfolgreich und der Konsens erreicht, wenn mindestens eine vordefinierte Anzahl von designierten Netzwerkgeräten 104B die Transaktion verifiziert und ihre Zustimmung erteilt. In einigen anderen Beispielen ist die Überprüfung der Transaktion nicht erfolgreich und der Konsens wird nicht erreicht, wenn die Anzahl der benannten Netzwerkgeräte, die die Transaktion überprüfen und ihre Zustimmung erteilen, geringer ist als die vordefinierte Anzahl der benannten Netzwerkgeräte.
  • Nach erfolgreicher Überprüfung wird der Konsens erreicht. Sobald der Konsens erreicht ist, kann das BC-Verwaltungssystem 112 in S4 die Transaktion in das verteilte Hauptbuch 114 eintragen. In einem Beispiel zeichnet jedes teilnehmende Netzwerkgerät 104 die Transaktion in seiner Kopie des verteilten Hauptbuchs 114 auf.
  • Als Nächstes, in S5, ruft jedes Teilnehmernetzgerät 104 Standortinformationen (d. h. die IPFS-Verbindung) aus der aufgezeichneten Transaktion im verteilten Hauptbuch 114 ab. In S6 greift jedes teilnehmende Netzwerkgerät 104 auf das IPFS 108 zu. In S7 erhält jedes teilnehmende Netzwerkgerät 104 das neue öffentliche Schlüsselzertifikat aus dem IPFS 108 unter Verwendung der IPFS-Verbindung. In S8 speichert jedes teilnehmende Netzwerkgerät 104 das neue Zertifikat des öffentlichen Schlüssels in seinem TPM.
  • In einigen Beispielen greift das neue Netzwerkgerät automatisch auf das BC-Netz 110 zu, wenn es im Netz 100 eingesetzt wird. Das BC-Verwaltungssystem 112 prüft das neue Netzwerkgerät gemäß den oben beschriebenen Vertragsbedingungen für den Zugang zum BC-Netzwerk 110. Nach der Überprüfung wird das neue Netzwerkgerät im BC-Netz 110 registriert. Sobald das neue Netzwerkgerät im BC-Netzwerk 110 registriert ist, ist das neue Netzwerkgerät ein Teilnehmer des BC-Netzwerks 110. In einigen Beispielen kann das neue Netzwerkgerät als autorisierendes Netzwerkgerät registriert werden.
  • In den hier beschriebenen Beispielen befindet sich das neue Netzgerät in einem nicht-provisionierten Zustand. Um in Betrieb zu gehen, muss das neue Netzgerät Bereitstellungsinformationen erhalten, um bereitgestellt zu werden. Die Bereitstellungsinformationen umfassen Informationen über ein Konfigurationsgerät, die anschließend verwendet werden, um eine Kommunikation mit dem Konfigurationsgerät herzustellen, um Konfigurationseinstellungsinformationen für ein Netzgerät zu erhalten. Die Konfigurationseinstellungsinformationen können zur Konfiguration des Netzgeräts verwendet werden.
  • Das neue Netzwerkgerät kann, wenn es eingesetzt wird, ein Zertifikat des öffentlichen Schlüssels enthalten oder auch nicht. Wenn das neue Netzwerkgerät das Zertifikat des öffentlichen Schlüssels nicht enthält, fordert das neue Netzwerkgerät das BC-Managementsystem 112 auf, das neueste Zertifikat des öffentlichen Schlüssels zu erhalten. Wie hierin verwendet, kann die Anfrage an das BC-Verwaltungssystem 112 bedeuten, dass die Anfrage im verteilten Hauptbuch 114 durch Abfrage des verteilten Hauptbuchs 114 erfolgt. In einem Beispiel kann das letzte Zertifikat des öffentlichen Schlüssels ein Zertifikat des öffentlichen Schlüssels umfassen, das zu einem letzten Zeitstempel im verteilten Hauptbuch 114 aufgezeichnet wurde. Als Reaktion auf die Anforderung, das letzte Zertifikat des öffentlichen Schlüssels zu erhalten, kann das BC-Verwaltungssystem 112 Informationen über den Standort des letzten Zertifikats des öffentlichen Schlüssels bereitstellen. In einem Beispiel stellt das BC-Managementsystem 112 den Block im verteilten Hauptbuch 114 bereit, der die Standortinformationen des letzten Zertifikats des öffentlichen Schlüssels enthält. Das neue Netzwerkgerät ruft die Standortinformationen aus dem verteilten Hauptbuch 114 ab und ruft dann das neueste Zertifikat mit öffentlichem Schlüssel unter Verwendung der Standortinformationen ab. In bestimmten Beispielen ruft das neue Netzwerkgerät die IPFS-Verknüpfung, die dem neuesten Zertifikat des öffentlichen Schlüssels entspricht, aus dem verteilten Hauptbuch 114 ab, greift auf das IPFS 108 zu und ruft das neueste Zertifikat des öffentlichen Schlüssels unter Verwendung der IPFS-Verknüpfung ab. Das neue Netzwerkgerät speichert dann das neueste Zertifikat des öffentlichen Schlüssels in seinem TPM. Sobald das neue Netzgerät das neueste Zertifikat des öffentlichen Schlüssels gespeichert hat, kann es sich in einem bereitgestellten Zustand befinden und bereit sein, mit dem/den Konfigurationsgerät(en) 106 zu kommunizieren.
  • In Beispielen, in denen das neue Netzwerkgerät ein Zertifikat des öffentlichen Schlüssels enthält, kann das neue Netzwerkgerät feststellen, ob das Zertifikat des öffentlichen Schlüssels das neueste Zertifikat des öffentlichen Schlüssels ist. Das neue Netzwerkgerät kann das neueste Zertifikat des öffentlichen Schlüssels, das im verteilten Hauptbuch 114 aufgezeichnet ist, über das BC-Netzwerk 110 wie oben beschrieben abrufen und sein Zertifikat des öffentlichen Schlüssels mit dem neuesten Zertifikat des öffentlichen Schlüssels vergleichen. Wenn das im neuen Netzwerkgerät enthaltene Zertifikat des öffentlichen Schlüssels und das letzte Zertifikat des öffentlichen Schlüssels, das über das BC-Netzwerk 110 erhalten wurde, identisch sind, ruft das neue Netzwerkgerät das letzte Zertifikat des öffentlichen Schlüssels nicht ab. In einigen Beispielen sind das Zertifikat des öffentlichen Schlüssels, das in dem neuen Netzwerkgerät enthalten ist, und das letzte Zertifikat des öffentlichen Schlüssels, das mit Hilfe des BC-Netzwerks 110 erhalten wurde, unterschiedlich. In solchen Fällen ruft das neue Netzgerät das letzte Zertifikat des öffentlichen Schlüssels über das BC-Netz 110 ab, wie oben beschrieben.
  • In einigen Beispielen wird das neue Netzwerkgerät als autorisierendes Netzwerkgerät registriert. Wenn in solchen Beispielen das im neuen Netzwerkgerät enthaltene Zertifikat des öffentlichen Schlüssels das letzte öffentliche Zertifikat ist und dieses letzte Zertifikat des öffentlichen Schlüssels nicht im verteilten Hauptbuch 114 aufgezeichnet ist, kann das neue Netzwerkgerät eine Transaktion erzeugen, um die Standortinformationen seines Zertifikats des öffentlichen Schlüssels aufzuzeichnen.
  • Das neue Netzgerät fordert dann das BC-Verwaltungssystem 112 auf, Bereitstellungsinformationen zu erhalten. In einem Beispiel enthalten die Bereitstellungsinformationen für das neue Netzgerät Informationen über eines der Konfigurationsgeräte 106. In einem Beispiel zeichnet das autorisierende Netzwerkgerät 104A, wenn es den Cloud-basierten Dienst 102 bedient, die Bereitstellungsinformationen für das neue Netzwerkgerät in das verteilte Hauptbuch 114 als Reaktion auf die Anfrage auf. In einigen Beispielen empfängt das autorisierende Netzwerkgerät 104A die Bereitstellungsinformationen von dem Cloud-basierten Dienst 102 und zeichnet die Bereitstellungsinformationen im verteilten Hauptbuch 114 auf. Das neue Netzwerkgerät kann dann die Bereitstellungsinformationen aus dem verteilten Hauptbuch 114 abrufen.
  • In einigen Beispielen kann das BC-Verwaltungssystem 112 die Bereitstellungsinformationen für das neue Netzwerkgerät bestimmen. Das Netz 100 kann den Cloud-basierten Dienst 102 enthalten oder nicht. In solchen Beispielen kann der intelligente Vertrag 116 Codes zur Bestimmung von Bereitstellungsinformationen für ein Netzwerkgerät enthalten. In bestimmten Beispielen kann der intelligente Vertrag 116 Codes zur Bestimmung der Bereitstellungsinformationen auf der Grundlage eines oder mehrerer Lastausgleichsmerkmale enthalten. Solche Bereitstellungsinformationen helfen beim Lastausgleich für das/die Konfigurationsgerät(e) 106 im Netzwerk 100. Die Lastausgleichsmerkmale können einen Standort des neuen Netzwerkgeräts, Geräteinformationen des neuen Netzwerkgeräts, Lastcharakteristika des/der Konfigurationsgeräts/Konfigurationsgeräte 106, wie z. B. Informationen über verfügbare Funktionen und Ressourcen auf dem/den Konfigurationsgerät(en) 106, Nutzung und Standort jedes Konfigurationsgeräts 106 oder Ähnliches umfassen. Das autorisierende Netzgerät 104A kann dem BC-Managementsystem 112 die Lastausgleichsfunktion(en) zur Verfügung stellen. Das BC-Managementsystem 112 führt den intelligenten Vertrag 116 aus, um die Bereitstellungsinformationen für das neue Netzgerät auf der Grundlage der Lastausgleichsfunktion(en) zu bestimmen. Sobald das BC-Managementsystem 112 die Bereitstellungsinformationen für das neue Netzwerkgerät ermittelt und im verteilten Hauptbuch 114 gespeichert hat, erhält das neue Netzwerkgerät die Bereitstellungsinformationen aus dem verteilten Hauptbuch 114. Das neue Netzwerkgerät kann dann die Konfigurationseinstellungsinformationen von der Konfigurationsvorrichtung gemäß den Bereitstellungsinformationen abrufen. Nach dem Empfang der Konfigurationseinstellungsinformationen von der Konfigurationsvorrichtung kann das neue Netzwerkgerät unter Verwendung der Konfigurationseinstellungsinformationen konfiguriert werden und den Bereitstellungszustand erreichen. Das neue Netzwerkgerät kann dann bereit sein, im Netzwerk 100 zu funktionieren. In den hier beschriebenen Beispielen arbeiten die Netzwerkgeräte 104 weiter und führen verschiedene Funktionen im Netzwerk 100 aus, auch wenn der Cloud-basierte Dienst 102 nicht funktioniert.
  • 3 zeigt ein Netz 300 gemäß einem anderen Beispiel. Das Netz 300 kann bestimmte Elemente enthalten, die den in 1 beschriebenen ähnlich sind und mit ähnlichen Bezugsziffern gekennzeichnet sind, deren Beschreibung hier nicht wiederholt wird. Im Vergleich zu 1 enthält das Netz 300 von 3 zwei BC-Netze. Wie in 3 dargestellt, kann das Netzwerk 300 das BC-Netzwerk 110 umfassen, d. h. ein erstes BC-Netzwerk und ein zweites BC-Netzwerk 310, das mit dem Cloud-basierten Dienst 102 verbunden ist. Das erste BC-Netzwerk 110 umfasst einen Satz von Teilnehmer-Netzwerkgeräten 104, die in einer Organisation eingesetzt werden, und das zweite BC-Netzwerk 310 umfasst einen anderen Satz von Teilnehmer-Netzwerkgeräten 304, die in einer anderen Organisation eingesetzt werden. Der Cloud-basierte Dienst 102 kann die beiden Organisationen bei der Bereitstellung und Neukonfiguration der jeweiligen Netzwerkgeräte 104 und 304 unterstützen. Das erste und das zweite BC-Netzwerk 110 und 310 können separate BC-Netzwerke oder Nebenketten eines BC-Hauptnetzwerks sein. In solchen Beispielen kann der Cloud-basierte Dienst 102 nicht an einem der ersten BC-Netzwerke 110 oder dem zweiten BC-Netzwerk 310 teilnehmen. Ähnlich wie das erste BC-Netzwerk 110 kann das zweite BC-Netzwerk die Übermittlung von Standortinformationen eines Zertifikats mit öffentlichem Schlüssel an die Netzwerkgeräte 304 erleichtern. Darüber hinaus kann das zweite BC-Netzwerk auch die Übermittlung von Bereitstellungsinformationen an ein Netzwerkgerät erleichtern, das sich in einem nicht-provisorischen Zustand befindet und am zweiten BC-Netzwerk 310 teilnimmt.
  • In ähnlicher Weise wie in 1 beschrieben, enthält das zweite BC-Netzwerk 310 ein BC-Verwaltungssystem 312, das dem BC-Verwaltungssystem 112 des ersten BC-Netzwerks 110 entspricht. Die Teilnehmer-Netzwerkgeräte 304 können ein autorisierendes Netzwerkgerät 304A und andere Teilnehmer-Netzwerkgeräte 304B umfassen, analog zu dem autorisierenden Netzwerkgerät 104A und anderen Teilnehmer-Netzwerkgeräten 104B. Das zweite BC-Netzwerk 310 kann ferner ein verteiltes Hauptbuch 314 analog zu dem verteilten Hauptbuch 114 und einen intelligenten Vertrag 316 analog zu dem intelligenten Vertrag 116 des ersten BC-Netzwerks 110 umfassen. Das Netzwerk 300 kann ferner eine oder mehrere zweite Konfigurationsvorrichtungen 306 analog zu der/den ersten Konfigurationsvorrichtung(en) 106 umfassen, die zur Verwaltung und Konfiguration der Netzwerkvorrichtungen 304 eingesetzt werden können. Das Netzwerk 300 kann ferner ein zweites IPFS 308 umfassen, das analog zum IPFS 108 ist und den Netzwerkgeräten 304 zugeordnet ist. Jedes Netzwerkgerät 304 kann auf das IPFS 308 zugreifen. Wie in Bezug auf das BC-Netzwerk 110 in 1 beschrieben, kann das maßgebliche Netzwerkgerät 304A ein neues Zertifikat des öffentlichen Schlüssels empfangen, das im TPM der Netzwerkgeräte 304 eingesetzt werden soll, das neue Zertifikat des öffentlichen Schlüssels im zweiten IPFS 308 speichern und einen IPFS-Link erhalten, der dem neuen Zertifikat des öffentlichen Schlüssels entspricht, und dem BC-Verwaltungssystem 312 Standortinformationen (d. h. den IPFS-Link) des neuen Zertifikats des öffentlichen Schlüssels zur Aufzeichnung im verteilten Hauptbuch 314 bereitstellen.
  • 4 ist ein Blockdiagramm eines Beispiel-Computersystems 400 mit einem Prozessor 402 und einem maschinenlesbaren Speichermedium 404. Das maschinenlesbare Medium 404 kann ein nichttransitorisches maschinenlesbares Medium sein, das mindestens die Befehle 406, 408, 410 und 412 enthält (z. B. kodiert mit), die vom Prozessor 402 ausgeführt werden können, um alle oder einige der hier in Bezug auf die Befehle 406-412 beschriebenen Funktionalitäten zu implementieren. Die Anweisungen 406-412 von 4 können, wenn sie von dem Prozessor 402 ausgeführt werden, einige oder alle Funktionen eines BC-Verwaltungssystems (z. B. das BC-Verwaltungssystem 112 von 1) eines BC-Netzwerks (z. B. das BC-Netzwerk 110 von 1) implementieren. In einigen Beispielen kann das Rechensystem 400 in jedem Teilnehmernetzgerät 104 von 1 enthalten sein (z. B. als Teil davon).
  • Zur besseren Veranschaulichung wird 4 unter Bezugnahme auf 1 und 2 beschrieben. In bestimmten Beispielen können die Befehle 406-412 ausgeführt werden, um die Funktionen des BC-Verwaltungssystems 112 oder eine oder mehrere Methoden, wie die in den 5-7 beschriebenen Methoden 500, 600 und 700, durchzuführen. In bestimmten Beispielen kann der Prozessor 402 alternativ oder zusätzlich zur Ausführung der Befehle 406-412 mindestens eine integrierte Schaltung, eine andere Steuerlogik, eine andere elektronische Schaltung oder Kombinationen davon enthalten, die eine Reihe elektronischer Komponenten zur Ausführung der hierin beschriebenen Funktionen umfassen, die vom BC-Verwaltungssystem 112 ausgeführt werden.
  • Bei Ausführung der Anweisungen 406 kann der Prozessor 402 veranlasst werden, eine Transaktion im verteilten Hauptbuch 112 zu empfangen. Die Transaktion enthält Informationen über den Standort eines neuen öffentlichen Schlüsselzertifikats.
  • Die Anweisungen 408 können, wenn sie ausgeführt werden, den Prozessor 402 veranlassen, unter Verwendung des intelligenten Vertrags 116 zu überprüfen, ob das neue Zertifikat des öffentlichen Schlüssels ein gültiges Ablaufdatum hat, das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde und ein CN des neuen Zertifikats des öffentlichen Schlüssels mit einem CN eines zuvor in den Netzwerkgeräten 104 eingesetzten Zertifikats des öffentlichen Schlüssels übereinstimmt. In einigen Beispielen können auch eine Grundbeschränkung und eine Schlüsselverwendung des neuen Zertifikats mit öffentlichem Schlüssel wie oben beschrieben überprüft werden.
  • Die Anweisungen 410 können bei ihrer Ausführung den Prozessor 402 veranlassen, den intelligenten Vertrag 116 auszuführen, um zu überprüfen, ob sich das neue Zertifikat des öffentlichen Schlüssels von dem zuvor im verteilten Hauptbuch 114 aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet.
  • Wenn in einigen Beispielen festgestellt wurde, dass das neue Zertifikat des öffentlichen Schlüssels ein gültiges Ablaufdatum hat, das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde, der CN des neuen Zertifikats des öffentlichen Schlüssels mit dem CN des zuvor eingesetzten Zertifikats des öffentlichen Schlüssels übereinstimmt und sich das neue Zertifikat des öffentlichen Schlüssels von dem zuvor im verteilten Hauptbuch 114 aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet, ist die Überprüfung des neuen Zertifikats des öffentlichen Schlüssels erfolgreich.
  • Die Anweisungen 412 können, wenn sie ausgeführt werden, den Prozessor 402 veranlassen, als Reaktion auf die erfolgreiche Überprüfung eine Zustimmung zur Aufzeichnung der Transaktion im verteilten Hauptbuch 114 zu erteilen.
  • In einigen Beispielen kann die Transaktion von mindestens einer vordefinierten Anzahl von Netzwerkgeräten verifiziert werden, wie in der Logik für den Konsensprozess gemäß den Blockchain-Protokollen und -Spezifikationen definiert. Sobald ein Konsens erreicht ist, kann die Transaktion in jeder Kopie des verteilten Hauptbuchs 114 von jedem teilnehmenden Netzwerkgerät 104 aufgezeichnet werden.
  • Die Befehle 406-412 können verschiedene Befehle enthalten, um zumindest einen Teil der in den 5-7 beschriebenen Methoden auszuführen (die später beschrieben werden). Obwohl in 4 nicht dargestellt, kann das maschinenlesbare Speichermedium 404 auch zusätzliche Programmanweisungen enthalten, um verschiedene andere in 5-7 beschriebene Verfahrensblöcke auszuführen.
  • In den 5 und 6 sind Flussdiagramme dargestellt, die Beispielverfahren 500 und 600 zur Aktualisierung eines neuen Zertifikats für einen öffentlichen Schlüssel in einer Vielzahl von Netzwerkgeräten in einem Netzwerk veranschaulichen. Insbesondere umfassen die Beispielverfahren die Kommunikation von Standortinformationen des neuen öffentlichen Schlüsselzertifikats zwischen den Netzwerkgeräten der Vielzahl von Netzwerkgeräten, die in dem Netzwerk eingesetzt werden, unter Verwendung eines BC-Netzwerks. Jedes Netzwerkgerät aus der Vielzahl der Netzwerkgeräte kann ein Teilnehmer des BC-Netzwerks sein. Zur besseren Veranschaulichung wird die Ausführung der Verfahren 500 und 600 unter Bezugnahme auf das Netzwerk 100 von 1 beschrieben. Es wird deutlich, dass die hier beschriebenen Merkmale auch für das Netzwerk 300 von 3 gelten können. In einem Beispiel können die Methoden 500 und 600 durch das BC-Verwaltungssystem 112 des BC-Netzes 110 ausgeführt werden. In einigen Beispielen können die Methoden 500 und 600 von jedem Teilnehmer-Netzwerkgerät 104 des BC-Netzwerks 110 ausgeführt werden. In einem Beispiel werden die Verfahren 500 und 600 von dem Prozessor 402 durch Ausführen der Anweisungen 406-412, die in dem maschinenlesbaren Speichermedium 404 gespeichert sind, ausgeführt. (4). Darüber hinaus ist die Implementierung der Verfahren 500 und 600 nicht auf solche Beispiele beschränkt. Obwohl die Flussdiagramme in 5 und 6 jeweils eine bestimmte Reihenfolge der Ausführung bestimmter Funktionen zeigen, sind die Verfahren 500 und 600 nicht auf diese Reihenfolge beschränkt. Beispielsweise können die in den Flussdiagrammen nacheinander gezeigten Funktionen in einer anderen Reihenfolge ausgeführt werden, sie können gleichzeitig oder teilweise gleichzeitig ausgeführt werden, oder eine Kombination davon.
  • Wie in 5 dargestellt, kann das BC-Verwaltungssystem 112 in Block 502 eine Transaktion mit Standortinformationen für ein neues öffentliches Schlüsselzertifikat von dem maßgeblichen Netzgerät 104A empfangen. In einigen Beispielen hat das autorisierende Netzwerkgerät 104A das neue Zertifikat des öffentlichen Schlüssels von einem Administrator erhalten. Nach Erhalt des neuen Zertifikats des öffentlichen Schlüssels speichert das maßgebliche Netzwerkgerät 104A das neue Zertifikat des öffentlichen Schlüssels im IPFS 108 und erhält den IPFS-Link, der dem neuen Zertifikat des öffentlichen Schlüssels entspricht. In den hier beschriebenen Beispielen umfassen die Standortinformationen des neuen Zertifikats des öffentlichen Schlüssels den IPFS-Link, der dem neuen Zertifikat des öffentlichen Schlüssels entspricht.
  • Bei der Generierung der Transaktion kann die Transaktion mithilfe eines Konsensverfahrens verifiziert werden, das in den Regeln oder der Logik (die im intelligenten Vertrag 116 enthalten sind) gemäß den Blockchain-Protokollen und -Spezifikationen definiert ist. In einem Beispiel kann die Transaktion von jedem der Netzwerkgeräte 104 überprüft werden, um ihre Zustimmung zu erteilen.
  • In Block 504 kann die Transaktion unter Verwendung des intelligenten Vertrags 116 überprüft werden, um festzustellen, ob das neue Zertifikat des öffentlichen Schlüssels gültig ist. In einigen Beispielen wird mithilfe des intelligenten Vertrags 116 überprüft, ob das neue Zertifikat des öffentlichen Schlüssels ein gültiges Ablaufdatum hat, das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde und ein CN des neuen Zertifikats des öffentlichen Schlüssels mit einem CN des zuvor eingesetzten Zertifikats des öffentlichen Schlüssels übereinstimmt. In einigen Beispielen können auch eine grundlegende Einschränkung und eine Schlüsselverwendung des neuen Zertifikats für einen öffentlichen Schlüssel überprüft werden, wie oben beschrieben. In einigen Beispielen ist das neue öffentliche Schlüsselzertifikat ungültig, wenn nicht überprüft wird, dass das neue öffentliche Schlüsselzertifikat ein gültiges Ablaufdatum hat, dass das neue öffentliche Schlüsselzertifikat nicht widerrufen wurde oder dass der CN des neuen öffentlichen Schlüsselzertifikats mit dem CN des zuvor eingesetzten öffentlichen Schlüsselzertifikats übereinstimmt. In solchen Beispielen gibt das teilnehmende Netzwerkgerät 104B seine Zustimmung nicht. In einigen Beispielen ist das neue öffentliche Schlüsselzertifikat gültig, wenn überprüft wird, dass das neue öffentliche Schlüsselzertifikat ein gültiges Ablaufdatum hat, das neue öffentliche Schlüsselzertifikat nicht widerrufen wurde und der CN des neuen öffentlichen Schlüsselzertifikats mit dem CN des zuvor eingesetzten öffentlichen Schlüsselzertifikats übereinstimmt.
  • In Block 506 kann mit Hilfe des intelligenten Vertrags 116 überprüft werden, ob sich das neue Zertifikat des öffentlichen Schlüssels von dem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels im verteilten Ledger 114 unterscheidet. In einigen Beispielen ist das neue Zertifikat des öffentlichen Schlüssels dasselbe wie das zuvor aufgezeichnete Zertifikat des öffentlichen Schlüssels im verteilten Hauptbuch 114. In diesen Fällen wird nicht überprüft, ob sich das neue Zertifikat des öffentlichen Schlüssels von dem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet. In solchen Beispielen gibt das teilnehmende Netzwerkgerät 104B seine Zustimmung nicht. In einigen Beispielen wird überprüft, ob sich das neue Zertifikat des öffentlichen Schlüssels von dem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet.
  • In einigen Beispielen wird mit Hilfe des intelligenten Vertrags 116 auch überprüft, ob die Quelle, die die Transaktion erzeugt hat, eine gültige Quelle ist, wie oben beschrieben.
  • In einigen Beispielen wird die Transaktion verifiziert, wenn überprüft wird, dass das neue Zertifikat des öffentlichen Schlüssels ein gültiges Ablaufdatum hat, das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde, der CN des neuen Zertifikats des öffentlichen Schlüssels mit dem CN des zuvor eingesetzten Zertifikats des öffentlichen Schlüssels übereinstimmt und das neue Zertifikat des öffentlichen Schlüssels sich von dem zuvor im verteilten Hauptbuch 114 aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet. In einigen Beispielen wird die Transaktion von einem Teilnehmer-Netzwerkgerät der Teilnehmer-Netzwerkgeräte 104B überprüft, und dieses Teilnehmer-Netzwerkgerät gibt seine Zustimmung. In einigen Beispielen kann die Transaktion von mindestens einer vordefinierten Anzahl von Netzwerkgeräten der teilnehmenden Netzwerkgeräte 104B verifiziert werden, wie in der Logik für den Konsensprozess gemäß den Blockchain-Protokollen und -Spezifikationen definiert.
  • In Block 508 kann als Reaktion auf die erfolgreiche Überprüfung durch die mindestens vordefinierte Anzahl von Netzwerkgeräten der Konsens erreicht werden. Sobald der Konsens erreicht ist, wird die Transaktion von den beteiligten Netzwerkgeräten 104 in den jeweiligen Kopien des verteilten Hauptbuchs 114 aufgezeichnet.
  • Das Verfahren 600 in 6 umfasst bestimmte Blöcke, die einem oder mehreren in 5 beschriebenen Blöcken ähnlich sind und deren Einzelheiten hier der Kürze halber nicht wiederholt werden. Beispielsweise ähneln die Verfahrensblöcke 602 und 612 von 6 den Verfahrensblöcken 502 bzw. 508 von 5.
  • In Block 602 kann eine Transaktion mit den Standortinformationen eines neuen Zertifikats für einen öffentlichen Schlüssel von dem maßgeblichen Netzgerät 104A empfangen werden. In Block 604 wird überprüft, ob das neue Zertifikat des öffentlichen Schlüssels ein gültiges Ablaufdatum hat. Ist das Ablaufdatum ungültig („NO“ in Block 604), wird die Transaktion nicht überprüft. Wenn das Ablaufdatum gültig ist („JA“ in Block 604), wird das Verfahren 600 mit Block 606 fortgesetzt. In Block 606 wird überprüft, ob das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde. In Fällen, in denen das neue Zertifikat des öffentlichen Schlüssels widerrufen wurde („YES“ in Block 606), wird die Transaktion nicht überprüft. In Fällen, in denen das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde („NEIN“ in Block 606), fährt das Verfahren 600 mit Block 608 fort. In Block 608 wird überprüft, ob der CN des neuen Zertifikats des öffentlichen Schlüssels mit dem CN des zuvor eingesetzten Zertifikats des öffentlichen Schlüssels übereinstimmt. Wenn der CN des neuen Public-Key-Zertifikats nicht mit dem CN des zuvor eingesetzten Public-Key-Zertifikats übereinstimmt („NO“ in Block 608), wird die Transaktion nicht überprüft. Wenn der CN des neuen Zertifikats mit dem CN des zuvor eingesetzten Zertifikats übereinstimmt („YES“ in Block 608), fährt das Verfahren 600 mit Block 610 fort. In Block 610 kann mithilfe des intelligenten Vertrags 116 überprüft werden, ob sich das neue Zertifikat des öffentlichen Schlüssels von dem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels unterscheidet. In Fällen, in denen das neue Zertifikat des öffentlichen Schlüssels mit dem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels identisch (nicht unterschiedlich) ist („NO“ in Block 610), wird die Transaktion nicht überprüft. Unterscheidet sich das neue Zertifikat des öffentlichen Schlüssels von dem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels („JA“ in Block 610), wird die Transaktion überprüft. In Block 611 wird mit Hilfe des intelligenten Vertrags 116 überprüft, ob die Quelle, die die Transaktion erzeugt hat, eine gültige Quelle ist. Handelt es sich bei der Quelle nicht um das maßgebliche Netzwerkgerät 104A („NEIN“ in Block 611), wird die Transaktion nicht verifiziert. Handelt es sich bei der Quelle um das autorisierende Netzgerät 104A („JA“ in Block 611), wird die Transaktion überprüft. Die Überprüfung der Transaktion, wie in den Blöcken 604, 606, 608, 610 und 611 beschrieben, kann gleichzeitig oder in beliebiger Reihenfolge erfolgen.
  • In einigen Beispielen gibt ein teilnehmendes Netzwerkgerät der teilnehmenden Netzwerkgeräte 104B seine Zustimmung, wenn die Transaktion erfolgreich verifiziert wurde. In einigen Beispielen kann die Transaktion von mindestens einer vordefinierten Anzahl von Netzwerkgeräten der teilnehmenden Netzwerkgeräte 104B verifiziert werden, wie in der Logik für den Konsensprozess gemäß den Blockchain-Protokollen und -Spezifikationen definiert.
  • In Block 612 wird als Reaktion auf die erfolgreiche Überprüfung durch die mindestens vordefinierte Anzahl von Netzwerkgeräten der Konsens erreicht. Sobald der Konsens erreicht ist, wird die Transaktion von jedem der teilnehmenden Netzwerkgeräte 104 in das verteilte Hauptbuch 114 eingetragen.
  • In Block 614 kann jedes der Teilnehmernetzgeräte 104 die Standortinformationen aus der aufgezeichneten Transaktion im verteilten Hauptbuch 114 abrufen.
  • In Block 616 kann jedes der teilnehmenden Netzwerkgeräte 104 das neue Zertifikat des öffentlichen Schlüssels unter Verwendung der Standortinformationen erhalten. In einem Beispiel kann jedes der teilnehmenden Netzwerkgeräte 104B auf das IPFS 108 zugreifen und das neue Zertifikat des öffentlichen Schlüssels unter Verwendung der Standortinformationen (d. h. der IPFS-Verbindung) abrufen.
  • In Block 618 kann jedes der Teilnehmernetzgeräte 104 das neue Zertifikat des öffentlichen Schlüssels in seinem TPM speichern. Auf diese Weise wird das neue Zertifikat des öffentlichen Schlüssels in jedem Teilnehmernetzgerät 104 aktualisiert.
  • 7 zeigt ein Flussdiagramm, das ein Beispielverfahren 700 für die Bereitstellung eines neuen Netzwerkgeräts veranschaulicht, das zu einem Netzwerk hinzugefügt wurde, das ein BC-Netzwerk verwendet (z. B. das BC-Netzwerk 110 des Netzwerks 100 in 1). Insbesondere umfasst das Beispielverfahren die Übermittlung von Bereitstellungsinformationen an das neue Netzwerkgerät unter Verwendung des BC-Netzwerks. Zur besseren Veranschaulichung wird die Ausführung des Verfahrens 700 unter Bezugnahme auf das Netz 100 von 1 beschrieben. Es wird deutlich, dass die hier beschriebenen Merkmale auch für das Netz 300 von 3 gelten können. In einem Beispiel kann das Verfahren 700 durch das BC-Verwaltungssystem 112 des BC-Netzwerks 110 ausgeführt werden. In einigen Beispielen kann das Verfahren 700 von einem oder mehreren Teilnehmernetzwerkgeräten 104 des BC-Netzwerks 110 ausgeführt werden. In einem Beispiel wird das Verfahren 700 von einem Prozessor durch Ausführen der in einem maschinenlesbaren Speichermedium gespeicherten Anweisungen ausgeführt. Obwohl das Flussdiagramm in 7 eine bestimmte Reihenfolge der Ausführung bestimmter Funktionen zeigt, ist das Verfahren 700 nicht auf diese Reihenfolge beschränkt. Beispielsweise können die im Flussdiagramm nacheinander gezeigten Funktionen in einer anderen Reihenfolge ausgeführt werden, sie können gleichzeitig oder teilweise gleichzeitig ausgeführt werden, oder eine Kombination davon.
  • Wie in 7 dargestellt, kann das neue Netzgerät im nicht bereitgestellten Zustand in Block 702 im verteilten Hauptbuch 114 ein aktuelles Zertifikat des öffentlichen Schlüssels anfordern, das in das TPM des neuen Netzgeräts aufgenommen werden soll. In Block 704 kann das neue Netzgerät als Reaktion auf die Anforderung die Standortinformationen des letzten im verteilten Hauptbuch 114 gespeicherten Zertifikats des öffentlichen Schlüssels empfangen. Das neue Netzgerät kann die Standortinformationen des letzten Zertifikats mit öffentlichem Schlüssel aus dem verteilten Hauptbuch 114 abrufen. In Block 706 kann das neue Netzgerät das neueste Zertifikat des öffentlichen Schlüssels vom IPFS 108 unter Verwendung der Standortinformationen (d. h. der IPFS-Verbindung) abrufen. In Block 708 kann das neue Netzwerkgerät das neueste Zertifikat des öffentlichen Schlüssels in seinem TPM speichern. In Block 710 kann das neue Netzgerät im verteilten Hauptbuch 114 beantragen, Bereitstellungsinformationen zu erhalten. Die Bereitstellungsinformationen umfassen Informationen über eines der Konfigurationsgeräte 106, das die Konfigurationseinstellungsinformationen für die Konfiguration des neuen Netzwerkgeräts bereitstellen kann. In Block 712 kann das neue Netzwerkgerät als Reaktion auf die Anforderung die Bereitstellungsinformationen aus dem verteilten Hauptbuch 114 empfangen. Der Prozess der Bereitstellung der Bereitstellungsinformationen im verteilten Hauptbuch 114 für das neue Netzwerkgerät wird weiter oben im Detail beschrieben. Das neue Netzwerkgerät kann dann die Konfigurationseinstellungsinformationen von der Konfigurationsvorrichtung gemäß den Bereitstellungsinformationen abrufen. Nach dem Empfang der Konfigurationseinstellungsinformationen von der Konfigurationsvorrichtung kann das neue Netzwerkgerät unter Verwendung der Konfigurationseinstellungsinformationen konfiguriert werden.
  • Ein „Computersystem“ kann ein Server, ein Speichersystem, ein Speicherarray, ein Desktop- oder Laptop-Computer, ein Switch, ein Router oder eine andere Verarbeitungsvorrichtung oder -ausrüstung sein, die eine Verarbeitungsressource enthält. In den hier beschriebenen Beispielen kann eine Verarbeitungsressource beispielsweise einen Prozessor oder mehrere Prozessoren umfassen, die in einem einzigen Computersystem enthalten oder über mehrere Computersysteme verteilt sind. Wie hierin verwendet, kann ein „Prozessor“ mindestens eine Zentraleinheit (CPU), ein Mikroprozessor auf Halbleiterbasis, eine Grafikverarbeitungseinheit (GPU), ein feldprogrammierbares Gate-Array (FPGA), das zum Abrufen und Ausführen von Befehlen konfiguriert ist, andere elektronische Schaltungen, die zum Abrufen und Ausführen von auf einem maschinenlesbaren Speichermedium gespeicherten Befehlen geeignet sind, oder eine Kombination davon sein. In den hier beschriebenen Beispielen kann eine Verarbeitungsressource die auf einem Speichermedium gespeicherten Befehle abrufen, dekodieren und ausführen, um die in Bezug auf die auf dem Speichermedium gespeicherten Befehle beschriebenen Funktionen auszuführen. In anderen Beispielen können die Funktionen, die in Bezug auf die hier beschriebenen Anweisungen beschrieben werden, in Form von elektronischen Schaltungen, in Form von ausführbaren Anweisungen, die auf einem maschinenlesbaren Speichermedium kodiert sind, oder einer Kombination davon implementiert werden. Das Speichermedium kann sich entweder in dem Computersystem befinden, das die maschinenlesbaren Befehle ausführt, oder es kann von dem Computersystem entfernt, aber für die Ausführung zugänglich sein (z. B. über ein Computernetz). In den in den 1-3 dargestellten Beispielen können das BC-Netzwerk 110, das BC-Verwaltungssystem 112 und die verschiedenen Teilnehmernetzgeräte 104 jeweils durch ein maschinenlesbares Speichermedium oder mehrere maschinenlesbare Speichermedien implementiert werden.
  • In der vorstehenden Beschreibung sind zahlreiche Details aufgeführt, um das Verständnis des hierin offengelegten Gegenstands zu erleichtern. Die Umsetzung kann jedoch auch ohne einige oder alle dieser Details erfolgen. Andere Implementierungen können Modifikationen, Kombinationen und Variationen der oben beschriebenen Details beinhalten. Es ist beabsichtigt, dass die folgenden Ansprüche solche Modifikationen und Variationen abdecken

Claims (20)

  1. Ein Verfahren, das Folgendes umfasst: Empfangen einer Transaktion in einem verteilten Hauptbuch eines Blockchain-Netzwerks durch ein Netzwerkgerät, wobei das Netzwerkgerät eines von mehreren Netzwerkgeräten ist, die an dem Blockchain-Netzwerk teilnehmen, und wobei die Transaktion Standortinformationen eines neuen öffentlichen Schlüsselzertifikats umfasst; unter Verwendung eines intelligenten Vertrags zu überprüfen, ob: das neue Zertifikat des öffentlichen Schlüssels gültig ist; und das neue Zertifikat des öffentlichen Schlüssels unterscheidet sich von einem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels im verteilten Hauptbuch; und als Reaktion auf eine erfolgreiche Verifizierung durch mindestens eine vordefinierte Anzahl von Netzwerkgeräten der Vielzahl von Netzwerkgeräten, Aufzeichnung der Transaktion im verteilten Ledger durch jedes der Netzwerkgeräte.
  2. Verfahren nach Anspruch 1, umfassend: Erzeugen der Transaktion in dem verteilten Hauptbuch durch ein autorisierendes Netzwerkgerät, wobei das autorisierende Netzwerkgerät zu der Vielzahl von Netzwerkgeräten gehört.
  3. Verfahren nach Anspruch 2, wobei das maßgebliche Netzgerät einen Cloud-basierten Dienst im Netz bereitstellt.
  4. Verfahren nach Anspruch 2, umfassend: Empfangen des neuen öffentlichen Schlüsselzertifikats von einem Administrator durch das autorisierende Netzwerkgerät; und Speicherung des neuen öffentlichen Schlüsselzertifikats durch das autorisierende Netzwerkgerät in einem Interplanetaren Dateisystem (IPFS), bevor die Transaktion im verteilten Hauptbuch erzeugt wird.
  5. Verfahren nach Anspruch 1, wobei die Standortinformationen des neuen öffentlichen Schlüsselzertifikats einen IPFS-Link umfassen, der dem neuen öffentlichen Schlüsselzertifikat entspricht.
  6. Verfahren nach Anspruch 1, wobei das Überprüfen, ob das neue Zertifikat des öffentlichen Schlüssels gültig ist, das Überprüfen umfasst, ob: das neue öffentliche Schlüsselzertifikat hat ein gültiges Ablaufdatum; das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde; und ein gemeinsamer Name (CN) des neuen Zertifikats des öffentlichen Schlüssels mit einem CN eines zuvor eingesetzten Zertifikats des öffentlichen Schlüssels in jedem der Netzwerkgeräte übereinstimmt.
  7. Verfahren nach Anspruch 1, wobei das Verifizieren das Verifizieren unter Verwendung des intelligenten Vertrags umfasst, ob eine Quelle, die die Transaktion erzeugt hat, eine gültige Quelle ist.
  8. Verfahren nach Anspruch 1, umfassend: Abrufen der Standortinformationen des neuen öffentlichen Schlüsselzertifikats aus der im verteilten Hauptbuch aufgezeichneten Transaktion durch jedes der Netzgeräte; Beschaffung des neuen öffentlichen Schlüsselzertifikats durch jedes der Netzwerkgeräte unter Verwendung der Standortinformationen; und Speicherung des neuen öffentlichen Schlüsselzertifikats auf jedem der Netzwerkgeräte.
  9. Verfahren nach Anspruch 1, wobei das neue öffentliche Schlüsselzertifikat ein Stammzertifizierungsstellen-Zertifikat (CA) oder ein Zwischenzertifikat umfasst.
  10. Verfahren nach Anspruch 1, umfassend: Anfrage eines neuen Netzgeräts in einem nicht bereitgestellten Zustand im verteilten Hauptbuch, um ein aktuelles Zertifikat mit öffentlichem Schlüssel zu erhalten; als Reaktion auf die Anforderung, das letzte öffentliche Schlüsselzertifikat zu erhalten, Empfangen der Standortinformationen des letzten öffentlichen Schlüsselzertifikats aus dem verteilten Hauptbuch durch das neue Netzwerkgerät; Beschaffung des neuesten öffentlichen Schlüsselzertifikats durch das neue Netzwerkgerät unter Verwendung der Standortinformationen; und Speicherung des letzten öffentlichen Schlüsselzertifikats im neuen Netzgerät durch das neue Netzgerät.
  11. Verfahren nach Anspruch 10, umfassend: Anfordern von Bereitstellungsinformationen im verteilten Hauptbuch durch das neue Netzwerkgerät, wobei die Bereitstellungsinformationen Informationen über ein Konfigurationsgerät enthalten, die anschließend verwendet werden, um eine Kommunikation mit dem Konfigurationsgerät herzustellen, um Konfigurationseinstellungsinformationen zu erhalten; und als Reaktion auf die Anforderung, Bereitstellungsinformationen zu erhalten, Empfangen der Bereitstellungsinformationen aus dem verteilten Ledger durch das neue Netzgerät.
  12. Verfahren nach Anspruch 11, umfassend: als Reaktion auf die Anforderung, Bereitstellungsinformationen von dem neuen Netzwerkgerät zu erhalten, Ausführen eines intelligenten Vertrags durch ein autorisierendes Netzwerkgerät, das zu der Vielzahl von Netzwerkgeräten gehört, um die Bereitstellungsinformationen für das neue Netzwerkgerät auf der Grundlage eines oder mehrerer Lastausgleichsmerkmale zu bestimmen.
  13. Ein BC-Netzwerk, bestehend aus: einer Vielzahl von Netzwerkgeräten, die in einem Netzwerk eingesetzt werden und an dem BC-Netzwerk teilnehmen; wobei jedes der Netzwerkgeräte einen Prozessor und ein maschinenlesbares Medium umfasst, auf dem Anweisungen gespeichert sind, die, wenn sie von dem Prozessor ausgeführt werden, den Prozessor veranlassen: eine Transaktion im verteilten Hauptbuch empfangen, wobei die Transaktion Standortinformationen eines neuen öffentlichen Schlüsselzertifikats umfasst; mit Hilfe eines intelligenten Vertrags verifizieren, ob: das neue öffentliche Schlüsselzertifikat hat ein gültiges Ablaufdatum; das neue Zertifikat des öffentlichen Schlüssels nicht widerrufen wurde; ein gemeinsamer Name (CN) des neuen Zertifikats des öffentlichen Schlüssels mit einem CN eines zuvor eingesetzten Zertifikats des öffentlichen Schlüssels in jedem der Netzwerkgeräte übereinstimmt; und das neue Zertifikat des öffentlichen Schlüssels unterscheidet sich von einem zuvor aufgezeichneten Zertifikat des öffentlichen Schlüssels im verteilten Hauptbuch; und nach erfolgreicher Überprüfung die Zustimmung zur Aufzeichnung der Transaktion im verteilten Hauptbuch erteilen.
  14. BC-Netz nach Anspruch 13, wobei die Vielzahl der Netzgeräte ein autorisierendes Netzgerät umfasst, das die Transaktion erzeugt.
  15. BC-Netz nach Anspruch 14, wobei das maßgebliche Netzgerät einen Cloud-basierten Dienst in dem Netz bereitstellt.
  16. BC-Netz nach Anspruch 13, wobei die Standortinformationen des neuen öffentlichen Schlüsselzertifikats einen IPFS-Link umfassen, der dem in einem IPFS gespeicherten neuen öffentlichen Schlüsselzertifikat entspricht.
  17. BC-Netzwerk nach Anspruch 13, wobei die Anweisungen, wenn sie von dem Prozessor ausgeführt werden, den Prozessor veranlassen: mit Hilfe des intelligenten Vertrags überprüfen, ob eine Quelle, die die Transaktion erzeugt hat, eine gültige Quelle ist.
  18. BC-Netzwerk nach Anspruch 13, wobei Anweisungen, wenn sie von dem Prozessor ausgeführt werden, den Prozessor veranlassen: als Reaktion auf die Zustimmung von mindestens einer vordefinierten Anzahl von Netzwerkgeräten zur Aufzeichnung der Transaktion die Transaktion im verteilten Hauptbuch aufzeichnen.
  19. BC-Netzwerk nach Anspruch 18, wobei die Anweisungen, wenn sie vom Prozessor ausgeführt werden, den Prozessor veranlassen: die Standortinformationen des neuen öffentlichen Schlüsselzertifikats aus der im verteilten Hauptbuch aufgezeichneten Transaktion abrufen; das neue öffentliche Schlüsselzertifikat unter Verwendung der Standortinformationen erhalten; und das neue öffentliche Schlüsselzertifikat speichern.
  20. BC-Netz nach Anspruch 13, wobei das neue öffentliche Schlüsselzertifikat ein Root-Zertifizierungsstellen-Zertifikat (CA-Zertifikat) oder ein Zwischenzertifikat umfasst.
DE102021110224.3A 2020-10-26 2021-04-22 Aktualisierung von zertifikaten mit öffentlichem schlüssel in netzwerkgeräten über ein blockchain-netzwerk Pending DE102021110224A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/079,718 2020-10-26
US17/079,718 US11664987B2 (en) 2020-10-26 2020-10-26 Updating public key certificates in network devices using a blockchain network

Publications (1)

Publication Number Publication Date
DE102021110224A1 true DE102021110224A1 (de) 2022-05-25

Family

ID=81257762

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021110224.3A Pending DE102021110224A1 (de) 2020-10-26 2021-04-22 Aktualisierung von zertifikaten mit öffentlichem schlüssel in netzwerkgeräten über ein blockchain-netzwerk

Country Status (3)

Country Link
US (1) US11664987B2 (de)
CN (1) CN114499870A (de)
DE (1) DE102021110224A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230379180A1 (en) * 2022-05-18 2023-11-23 Jpmorgan Chase Bank, N.A. System and method for fact verification using blockchain and machine learning technologies

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8656490B1 (en) * 2010-09-14 2014-02-18 Symantec Corporation Safe and secure access to dynamic domain name systems
US8954787B2 (en) * 2011-05-09 2015-02-10 Cleversafe, Inc. Establishing trust in a maintenance free storage container
GB2543312A (en) * 2015-10-14 2017-04-19 Smartpipe Tech Ltd Network identification as a service
US20180034646A1 (en) * 2016-07-27 2018-02-01 Arris Enterprises Llc Method and apparatus for seamless remote renewal of offline generated digital identity certificates to field deployed hardware security modules
US10547457B1 (en) * 2016-10-21 2020-01-28 Wells Fargo Bank N.A. Systems and methods for notary agent for public key infrastructure names
US11290286B2 (en) * 2017-09-27 2022-03-29 Cable Television Laboratories, Inc. Provisioning systems and methods
WO2019109097A1 (en) * 2017-12-01 2019-06-06 Averon Us, Inc. Identity verification document request handling utilizing a user certificate system and user identity document repository
US11528611B2 (en) 2018-03-14 2022-12-13 Rose Margaret Smith Method and system for IoT code and configuration using smart contracts
US20190361917A1 (en) 2018-05-25 2019-11-28 Bao Tran Smart device
US11245576B2 (en) * 2018-09-07 2022-02-08 Dell Products L.P. Blockchain-based configuration profile provisioning system
US11632373B2 (en) * 2019-06-18 2023-04-18 Microsoft Technology Licensing, Llc Activity based authorization for accessing and operating enterprise infrastructure
US11531119B2 (en) * 2020-05-21 2022-12-20 International Business Machines Corporation Coordinated smart contract-based satellite management and operation

Also Published As

Publication number Publication date
US20220131691A1 (en) 2022-04-28
CN114499870A (zh) 2022-05-13
US11664987B2 (en) 2023-05-30

Similar Documents

Publication Publication Date Title
EP3195556B1 (de) Verteilte datenspeicherung mittels berechtigungstoken
DE102008059485B4 (de) Bereitstellung von Active-Management-Technologie (AMT) in Rechnersystemen
DE112018003825T5 (de) Blockchain-berechtigungsprüfung mittels hard/soft-token-überprüfung
DE602005000029T2 (de) Mehrere Authentifizierungskanäle, mit jeweils mehreren Authentifizierungmodi
DE102017212618B3 (de) Hardwaresystem mit Blockchain
DE112018005203T5 (de) Authentifizierung unter Verwendung von delegierten Identitäten
EP3108610A1 (de) Verfarhen und system zum erstellen und zur gültigkeitsprüfung von gerätezertifikaten
DE10296804T5 (de) Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server
DE112012002741T5 (de) Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform
EP3637345A1 (de) Verknüpfung von identitäten in einer verteilten datenbank
EP3891644A1 (de) Mikrocontroller
DE112021005837T5 (de) Dezentrale sendeverschlüsselung und schlüsselerzeugungseinrichtung
DE102021110224A1 (de) Aktualisierung von zertifikaten mit öffentlichem schlüssel in netzwerkgeräten über ein blockchain-netzwerk
EP4254234A1 (de) Ausstellen eines digitalen credentials für eine entität
DE102014222300B4 (de) Verfahren zur überprüfung eines vertrauensstatus eines zertifikats oder schlüssels
DE112022000340T5 (de) Attributgestützte verschlüsselungsschlüssel als schlüsselmaterial zum authentifizieren und berechtigen von benutzern mit schlüssel-hash-nachrichtenauthentifizierungscode
DE112022000963T5 (de) Verbindungsbeständige mehrfaktorauthentifizierung
CN104717176A (zh) 一种权限控制方法、系统及服务器
DE102022125813A1 (de) Authentifizierung von knoten in einem verteilten netz
EP4092958B1 (de) Ausstellen eines digitalen verifizierbaren credentials
CN116074082B (zh) 域名保全方法、域名保全装置及可读存储介质
DE102012201810A1 (de) Verfahren zur Initialisierung eines Speicherbereichs, welcher einem Smart-Meter zugeordnet ist
DE102022108671A1 (de) Zugang zur verwaltungsschnittstelle in speichersystemen
DE102007052822A1 (de) NAT(Netzwerkadressübersetzung)-Durchsatzverfahren und -Systeme
DE102021131731A1 (de) Internet-der-dinge-system basierend auf sicherheitsorientierung und gruppenteilung

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, SPR, US

Free format text: FORMER OWNER: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, HOUSTON, TX, US

R012 Request for examination validly filed