JP2020505849A - デジタル証明書管理方法及び装置 - Google Patents
デジタル証明書管理方法及び装置 Download PDFInfo
- Publication number
- JP2020505849A JP2020505849A JP2019539969A JP2019539969A JP2020505849A JP 2020505849 A JP2020505849 A JP 2020505849A JP 2019539969 A JP2019539969 A JP 2019539969A JP 2019539969 A JP2019539969 A JP 2019539969A JP 2020505849 A JP2020505849 A JP 2020505849A
- Authority
- JP
- Japan
- Prior art keywords
- digital certificate
- security
- key
- data
- issuing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
Description
本発明は、ネットワークセキュリティ技術分野に関し、具体的に、デジタル証明書管理方法及び装置に関する。
前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化処理する。
前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前、前記データセッション鍵を利用して前記デジタル証明書管理要求メッセージに携帯される証明書要求データを暗号化処理する。
前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理する。
前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信するための第1の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名とシリアル番号フィールドが含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信するための第2の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信するための第3の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信するための第4の送信ユニットと、を含む。
デジタル証明書発行装置とセキュリティデータチャンネルの交渉を行うための交渉ユニットと、
デジタル証明書発行装置と許可コード及び交渉で得られた乱数、アイデンティティ情報を利用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
デジタル証明書発行装置と完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニット、を含む。
第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信し、
前記鍵生成ユニットは具体的に、
前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する。
前記デジタル証明書申請装置とデジタル証明書発行装置が乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する。
許可コードを利用して、デジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成するためのセキュリティデータチャンネル確立ユニット801と、
デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化されるデジタル証明書管理要求メッセージを受信するための受信ユニット802と、
受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成するための処理ユニット803と、
前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理するための暗号化ユニット804と、
前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信するための送信ユニット805と、を含む。
前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理応答メッセージを暗号化処理し、
その中、前記受信ユニット802によって受信される前記デジタル証明書管理要求メッセージに携帯される証明書要求データは証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報はバージョン、所有者名、所有者公開鍵情報及び拡張を含む。
前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前、前記データセッション鍵を利用して前記デジタル証明書管理応答メッセージに携帯される証明書応答データを暗号化処理し、
前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む。
前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理する。
デジタル証明書申請装置とセキュリティデータチャンネルの交渉を行うための交渉ユニットと、
デジタル証明書申請装置と許可コード及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
デジタル証明書申請装置と完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニットと、を含む。
第2の乱数、第2のアイデンティティ情報をデジタル証明書申請装置に送信し、前記デジタル証明書申請装置によって送信される第1の乱数、第1のアイデンティティ情報を受信し、
前記鍵生成ユニットは具体的に、
許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する。
デジタル証明書申請装置と乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する。
601 セキュリティデータチャンネル確立ユニット
602 暗号化ユニット
603 送信ユニット
604 受信ユニット
605 処理ユニット
Claims (30)
- デジタル証明書管理方法であって、
デジタル証明書申請装置が、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成することと、
デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信することと、
デジタル証明書発行装置が、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージをデジタル証明書申請装置に送信し、前記デジタル証明書申請装置が前記セキュリティデータチャンネルを利用して、前記デジタル証明書管理応答メッセージを受信することと、
デジタル証明書申請装置が、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得することと、
を含むことを特徴とする方法。 - 前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理確認メッセージをデジタル証明書発行装置に送信することと、
前記デジタル証明書発行装置が、前記デジタル証明書管理確認メッセージを受信して処理することと、
をさらに含むことを特徴とする請求項1に記載の方法。 - 前記デジタル証明書管理要求メッセージは証明書要求データを携帯し、前記デジタル証明書管理応答メッセージは証明書応答データを携帯し、前記証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報はバージョン、所有者名、所有者公開鍵情報及び拡張を含み、
前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化処理されることは、
前記デジタル証明書管理要求メッセージが、前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理されることを含み、
前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化処理されることは、
前記デジタル証明書管理応答メッセージが、前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理されることを含む、
ことを特徴とする請求項1に記載の方法。 - 前記セキュリティ鍵は、データセッション鍵をさらに含み、それに対応して、
前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化処理されることは、
前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記デジタル証明書管理要求メッセージに携帯される証明書要求データが前記データセッション鍵によって暗号化処理されること、をさらに含み、
前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む、
ことを特徴とする請求項3に記載の方法。 - 前記デジタル証明書申請装置及び/又は前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書要求データは、暗号化アルゴリズム識別子をさらに含み、それに対応して、
前記証明書要求データは具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理して得られたデータを含む、
ことを特徴とする請求項4に記載の方法。 - 前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化処理されることは、
前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記デジタル証明書管理応答メッセージに携帯される証明書応答データが前記データセッション鍵によって暗号化処理されること、
をさらに含むことを特徴とする請求項4又は5に記載の方法。 - 前記デジタル証明書申請装置及び/又は前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書応答データは、暗号化アルゴリズム識別子をさらに含み、それに対応して、
前記証明書応答データは具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理して得られたデータを含む、
ことを特徴とする請求項6に記載の方法。 - 前記デジタル証明書申請装置が前記セキュリティデータチャンネルを利用してデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信することは、
前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信すること、及び/又は、
前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名とシリアル番号フィールドが含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信すること、及び/又は、
前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信すること、及び/又は、
前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信すること、
を含むことを特徴とする請求項1に記載の方法。 - 前記デジタル証明書申請装置が取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成することは、
デジタル証明書申請装置とデジタル証明書発行装置がセキュリティデータチャンネルの交渉を行うことと、
デジタル証明書申請装置とデジタル証明書発行装置が許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することと、
デジタル証明書申請装置とデジタル証明書発行装置が完全性チェックコードによって、セキュリティチャンネル確認メッセージを検証することと、
を含むことを特徴とする請求項1に記載の方法。 - 前記デジタル証明書申請装置とデジタル証明書発行装置がセキュリティデータチャンネルの交渉を行うことは、
デジタル証明書申請装置が第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信すること、を含み、
前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することは、
前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成すること、を含む、
ことを特徴とする請求項9に記載の方法。 - 前記セキュリティ鍵は完全性チェック鍵をさらに含み、前記デジタル証明書申請装置とデジタル証明書発行装置が完全性チェックコードによってセキュリティチャンネル確認メッセージを検証することは、
前記デジタル証明書申請装置とデジタル証明書発行装置が乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証することを含む、
ことを特徴とする請求項9又は10に記載の方法。 - デジタル証明書申請装置であって、
取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立して、データ通信鍵が含まれるセキュリティ鍵を生成するための、セキュリティデータチャンネル確立ユニットと、
前記データ通信鍵を利用して前記証明書管理要求メッセージを暗号化処理するための暗号化ユニットと、
前記セキュリティデータチャンネルを利用して、データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信するための送信ユニットと、
前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを受信するための受信ユニットと、
前記デジタル証明書管理応答メッセージを処理して、処理結果を取得するための処理ユニットと、
を含むことを特徴とする装置。 - 前記処理ユニットはさらに、デジタル証明書管理確認メッセージを生成し、
前記送信ユニットはさらに、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理確認メッセージを前記デジタル証明書発行装置に送信する、
ことを特徴とする請求項12に記載の装置。 - 前記送信ユニットによって送信される前記デジタル証明書管理要求メッセージに携帯される証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報はバージョン、所有者名、所有者公開鍵情報及び拡張を含み、
前記暗号化ユニットは具体的に、
前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化する、
ことを特徴とする請求項12に記載の装置。 - 前記暗号化ユニットはさらに、
前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記データセッション鍵を利用して前記デジタル証明書管理要求メッセージに携帯される証明書要求データを暗号化処理し、
前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む、
ことを特徴とする請求項14に記載の装置。 - 前記デジタル証明書申請装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニットによって送信される前記証明書要求データは、暗号化アルゴリズム識別子をさらに含み、具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理して得られたデータを含み、それに対応して、前記暗号化ユニットはさらに、
前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理する、
ことを特徴とする請求項15に記載の装置。 - 前記送信ユニットは、
前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信するための第1の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名及びシリアル番号が含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信するための第2の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信するための第3の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信するための第4の送信ユニット、
を含むことを特徴とする請求項12に記載の装置。 - 前記セキュリティデータチャンネル確立ユニットは、
デジタル証明書発行装置とセキュリティデータチャンネルを交渉するための交渉ユニットと、
デジタル証明書発行装置と、許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
デジタル証明書発行装置と、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニットと、
を含むことを特徴とする請求項12に記載の装置。 - 前記交渉ユニットは具体的に、
第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信し、
前記鍵生成ユニットは具体的に、
デジタル証明書発行装置と、許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する、
ことを特徴とする請求項18に記載の装置。 - 前記鍵生成ユニットによって生成されるセキュリティ鍵は、完全性チェック鍵をさらに含み、前記鍵確認ユニットは具体的に、
デジタル証明書発行装置と、乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する、
ことを特徴とする請求項18又は19に記載の装置。 - デジタル証明書の申請のための装置であって、
メモリ及び1つ又は複数のプログラムが含まれ、1つ又は複数のプログラムは、メモリに記憶され、1つ又は複数のプロセッサーによって、前記1つ又は複数のプログラムに含まれる以下の動作を実行するための命令を実行するように配置され、
取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成し、
前記データ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化処理し、
前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信し、
前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを受信し、
前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する、
ことを特徴とする装置。 - デジタル証明書発行装置であって、
許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成するためのセキュリティデータチャンネル確立ユニットと、
デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを受信するための受信ユニットと、
受信された前記デジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成するための処理ユニットと、
前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理するための暗号化ユニットと、
前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信するための送信ユニットと、
を含むことを特徴とする装置。 - 前記受信ユニットはさらに、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理確認メッセージを受信し、
前記処理ユニットはさらに、受信されたデジタル証明書管理確認メッセージを処理する、
ことを特徴とする請求項22に記載の装置。 - 前記送信ユニットによって送信される前記デジタル証明書管理応答メッセージは証明書応答データを携帯し、
前記暗号化ユニットは具体的に、
前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理応答メッセージを暗号化処理し、
なお、前記受信ユニットによって受信される前記デジタル証明書管理要求メッセージに携帯される証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報は、バージョン、所有者名、所有者公開鍵情報及び拡張を含む、
ことを特徴とする請求項22に記載の装置。 - 前記暗号化ユニットはさらに、
前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前、前記データセッション鍵を利用して前記デジタル証明書管理応答メッセージに携帯される証明書応答データを暗号化処理し、
なお、前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む、
ことを特徴とする請求項24に記載の装置。 - 前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニットによって送信される前記証明書応答データはさらに、暗号化アルゴリズム識別子を含み、具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理して得られたデータを含み、それに対応し、前記暗号化ユニットはさらに、
前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理する、
ことを特徴とする請求項25に記載の装置。 - 前記セキュリティデータチャンネル確立ユニットは、
デジタル証明書申請装置とセキュリティデータチャンネルを交渉するための交渉ユニットと、
デジタル証明書申請装置と、許可コード、及び交渉で得られた乱数、アイデンティティ情報を利用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
デジタル証明書申請装置と、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニットと、
を含むことを特徴とする請求項22に記載の装置。 - 前記交渉ユニットは具体的に、
第2の乱数、第2のアイデンティティ情報をデジタル証明書申請装置に送信し、前記デジタル証明書申請装置によって送信される第1の乱数、第1のアイデンティティ情報を受信し、
前記鍵生成ユニットは具体的に、
許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する、
ことを特徴とする請求項27に記載の装置。 - 前記鍵生成ユニットによって生成されたセキュリティ鍵は完全性チェック鍵をさらに含み、前記鍵確認ユニットは具体的に、
デジタル証明書申請装置と、乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する、
ことを特徴とする請求項27又は28に記載の装置。 - デジタル証明書の発行のための装置であって、
メモリ及び1つ又は複数のプログラムが含まれ、1つ又は複数のプログラムは、メモリに記憶され、1つ又は複数のプロセッサーによって、前記1つ又は複数のプログラムに含まれる以下の動作を実行するための命令を実行するように配置され、
許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成し、
デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを受信し、
受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成し、
前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理し、
前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信する、
ことを特徴とする装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710211816.2 | 2017-04-01 | ||
CN201710211816.2A CN108667609B (zh) | 2017-04-01 | 2017-04-01 | 一种数字证书管理方法及设备 |
PCT/CN2018/076618 WO2018177045A1 (zh) | 2017-04-01 | 2018-02-13 | 数字证书管理方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020505849A true JP2020505849A (ja) | 2020-02-20 |
JP7014806B2 JP7014806B2 (ja) | 2022-02-01 |
Family
ID=63675125
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019539969A Active JP7014806B2 (ja) | 2017-04-01 | 2018-02-13 | デジタル証明書管理方法及び装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11363010B2 (ja) |
EP (1) | EP3609121B1 (ja) |
JP (1) | JP7014806B2 (ja) |
KR (1) | KR102290342B1 (ja) |
CN (1) | CN108667609B (ja) |
WO (1) | WO2018177045A1 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102287921B1 (ko) * | 2015-01-22 | 2021-08-09 | 에스케이씨 주식회사 | 그라파이트 시트 및 이의 제조방법 |
CN108667781A (zh) * | 2017-04-01 | 2018-10-16 | 西安西电捷通无线网络通信股份有限公司 | 一种数字证书管理方法及设备 |
CN108768664B (zh) * | 2018-06-06 | 2020-11-03 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、系统、存储介质和计算机设备 |
KR20200089491A (ko) * | 2019-01-17 | 2020-07-27 | 삼성전자주식회사 | 공유된 디지털 키를 관리하기 위한 장치 및 방법 |
CN110046515B (zh) * | 2019-04-18 | 2021-03-23 | 杭州尚尚签网络科技有限公司 | 一种基于短效数字证书的安全的电子签名方法 |
CN110401535B (zh) * | 2019-07-19 | 2023-03-10 | 广州优路加信息科技有限公司 | 数字证书生成、安全通信、身份认证方法及装置 |
CN110737920B (zh) * | 2019-09-25 | 2021-11-09 | 哈尔滨哈工智慧嘉利通科技股份有限公司 | 一种数字证书管控方法、装置和注册审核服务器 |
US11381403B2 (en) * | 2019-12-09 | 2022-07-05 | Sap Se | Integrating blockchain with off-chain services |
CN113765668B (zh) * | 2020-06-03 | 2024-07-02 | 广州汽车集团股份有限公司 | 一种车辆数字证书在线安装方法及车辆数字证书管理装置 |
JP7502618B2 (ja) * | 2020-07-20 | 2024-06-19 | 富士通株式会社 | 通信プログラム、通信装置、及び通信方法 |
KR102421562B1 (ko) * | 2020-12-21 | 2022-07-15 | 한전케이디엔주식회사 | 암호 라이브러리 관리 시스템 및 방법 |
CN113301523B (zh) * | 2021-04-14 | 2022-09-16 | 江铃汽车股份有限公司 | 一种v2x车载终端数字证书的申请、更新方法及系统 |
CN115942314A (zh) * | 2021-08-06 | 2023-04-07 | 华为技术有限公司 | 一种证书管理方法和装置 |
CN115085931A (zh) * | 2022-06-07 | 2022-09-20 | 拉卡拉支付股份有限公司 | 证书管理方法、装置、电子设备、存储介质及程序产品 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08316951A (ja) * | 1995-05-23 | 1996-11-29 | Hitachi Ltd | 無線通信端末、無線基地局及びこれらを有する通信システム |
JP2002521970A (ja) * | 1998-07-26 | 2002-07-16 | バンガード・セキュリティ・テクノロジーズ・リミテッド | セキュリティを施したメッセージの管理システム |
JP2004032502A (ja) * | 2002-06-27 | 2004-01-29 | Hitachi Communication Technologies Ltd | 暗号化通信装置 |
JP2005102163A (ja) * | 2003-09-03 | 2005-04-14 | Sony Corp | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体 |
JP2006295519A (ja) * | 2005-04-11 | 2006-10-26 | Sony Corp | 通信システム、通信装置、および通信方法 |
JP2009538567A (ja) * | 2006-05-26 | 2009-11-05 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | 安全なパケット伝送のための暗号化方法 |
JP2011503977A (ja) * | 2007-11-08 | 2011-01-27 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 | 2ウェイのアクセス認証方法 |
WO2015193945A1 (ja) * | 2014-06-16 | 2015-12-23 | 富士通株式会社 | 更新プログラム及び方法、及び、管理プログラム及び方法 |
JP2019526205A (ja) * | 2016-07-26 | 2019-09-12 | ファーウェイ インターナショナル プライベート リミテッドHuawei International Pte. Ltd. | デバイス間の共通セッション鍵を取得するシステムおよび方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020165912A1 (en) * | 2001-02-25 | 2002-11-07 | Storymail, Inc. | Secure certificate and system and method for issuing and using same |
US20060269061A1 (en) * | 2001-01-11 | 2006-11-30 | Cardinalcommerce Corporation | Mobile device and method for dispensing authentication codes |
US9331990B2 (en) * | 2003-12-22 | 2016-05-03 | Assa Abloy Ab | Trusted and unsupervised digital certificate generation using a security token |
KR100853182B1 (ko) * | 2006-09-29 | 2008-08-20 | 한국전자통신연구원 | 다중 도메인에서 대칭키 기반 인증 방법 및 장치 |
CN101521883B (zh) * | 2009-03-23 | 2011-01-19 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
CN101640590B (zh) * | 2009-05-26 | 2012-01-11 | 深圳市安捷信联科技有限公司 | 一种获取标识密码算法私钥的方法和密码中心 |
KR101326530B1 (ko) * | 2011-11-11 | 2013-11-08 | 고려대학교 산학협력단 | 원격 검침 시스템, 그 시스템에서의 아이디를 이용한 상호 인증을 위한 장치 및 방법 |
EP2634993B1 (en) * | 2012-03-01 | 2017-01-11 | Certicom Corp. | Devices and methods for connecting client devices to a network |
CN102624531B (zh) * | 2012-04-25 | 2014-12-03 | 西安西电捷通无线网络通信股份有限公司 | 一种数字证书自动申请方法和装置及系统 |
CN103973696B (zh) | 2014-05-16 | 2017-09-19 | 天地融科技股份有限公司 | 一种语音通话的数据处理方法 |
CN105812136A (zh) * | 2014-12-30 | 2016-07-27 | 北京握奇智能科技有限公司 | 一种更新方法及系统、安全认证设备 |
KR101724401B1 (ko) * | 2015-05-29 | 2017-04-07 | 한국정보인증주식회사 | 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체 |
CN105208044A (zh) * | 2015-10-29 | 2015-12-30 | 成都卫士通信息产业股份有限公司 | 一种适用于云计算的密钥管理方法 |
US11153297B2 (en) * | 2016-12-06 | 2021-10-19 | Vmware, Inc. | Systems and methods to facilitate certificate and trust management across a distributed environment |
-
2017
- 2017-04-01 CN CN201710211816.2A patent/CN108667609B/zh active Active
-
2018
- 2018-02-13 US US16/482,463 patent/US11363010B2/en active Active
- 2018-02-13 EP EP18775669.7A patent/EP3609121B1/en active Active
- 2018-02-13 JP JP2019539969A patent/JP7014806B2/ja active Active
- 2018-02-13 KR KR1020197022430A patent/KR102290342B1/ko active IP Right Grant
- 2018-02-13 WO PCT/CN2018/076618 patent/WO2018177045A1/zh unknown
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08316951A (ja) * | 1995-05-23 | 1996-11-29 | Hitachi Ltd | 無線通信端末、無線基地局及びこれらを有する通信システム |
JP2002521970A (ja) * | 1998-07-26 | 2002-07-16 | バンガード・セキュリティ・テクノロジーズ・リミテッド | セキュリティを施したメッセージの管理システム |
JP2004032502A (ja) * | 2002-06-27 | 2004-01-29 | Hitachi Communication Technologies Ltd | 暗号化通信装置 |
JP2005102163A (ja) * | 2003-09-03 | 2005-04-14 | Sony Corp | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体 |
JP2006295519A (ja) * | 2005-04-11 | 2006-10-26 | Sony Corp | 通信システム、通信装置、および通信方法 |
JP2009538567A (ja) * | 2006-05-26 | 2009-11-05 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | 安全なパケット伝送のための暗号化方法 |
JP2011503977A (ja) * | 2007-11-08 | 2011-01-27 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 | 2ウェイのアクセス認証方法 |
WO2015193945A1 (ja) * | 2014-06-16 | 2015-12-23 | 富士通株式会社 | 更新プログラム及び方法、及び、管理プログラム及び方法 |
JP2019526205A (ja) * | 2016-07-26 | 2019-09-12 | ファーウェイ インターナショナル プライベート リミテッドHuawei International Pte. Ltd. | デバイス間の共通セッション鍵を取得するシステムおよび方法 |
Also Published As
Publication number | Publication date |
---|---|
US20210314170A1 (en) | 2021-10-07 |
EP3609121A4 (en) | 2020-04-01 |
EP3609121B1 (en) | 2021-10-27 |
EP3609121A1 (en) | 2020-02-12 |
CN108667609B (zh) | 2021-07-20 |
US11363010B2 (en) | 2022-06-14 |
WO2018177045A1 (zh) | 2018-10-04 |
CN108667609A (zh) | 2018-10-16 |
KR20190099066A (ko) | 2019-08-23 |
JP7014806B2 (ja) | 2022-02-01 |
KR102290342B1 (ko) | 2021-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7014806B2 (ja) | デジタル証明書管理方法及び装置 | |
KR102325725B1 (ko) | 디지털 인증서 관리 방법 및 장치 | |
WO2019174187A1 (zh) | 基于区块链的多端间消息通信的方法、终端及存储介质 | |
Barsoum et al. | Enabling dynamic data and indirect mutual trust for cloud computing storage systems | |
JP2016540462A (ja) | 鍵コンフィギュレーション方法、システム、および装置 | |
CN101090316A (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
CN104486087A (zh) | 一种基于远程硬件安全模块的数字签名方法 | |
CN104683107A (zh) | 数字证书保管方法和装置、数字签名方法和装置 | |
Anand et al. | EECDH to prevent MITM attack in cloud computing | |
CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
CN114553426B (zh) | 签名验证方法、密钥管理平台、安全终端及电子设备 | |
US20190305940A1 (en) | Group shareable credentials | |
JP2006279269A (ja) | 情報管理装置、情報管理システム、ネットワークシステム、ユーザ端末、及びこれらのプログラム | |
CN113347143A (zh) | 一种身份验证方法、装置、设备及存储介质 | |
CN114531242A (zh) | 证书升级方法、装置、设备及存储介质 | |
TW202304172A (zh) | 位置密鑰加密系統 | |
JP2009065226A (ja) | 認証付鍵交換システム、認証付鍵交換方法およびプログラム | |
CN113918971A (zh) | 基于区块链的消息传输方法、装置、设备及可读存储介质 | |
CN116318637A (zh) | 设备安全入网通信的方法和系统 | |
JP2013236185A (ja) | 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法 | |
Anantharaman et al. | Scalable identity and key management for publish-subscribe protocols in the Internet-of-Things | |
CN105791301A (zh) | 一种面向多用户组群信密分离的密钥分发管理方法 | |
Hsu et al. | ECDSA Certificate Enrollment and Authentication for SCEP Protocol in Smart Grid PKI | |
US20230041783A1 (en) | Provision of digital content via a communication network | |
Basavarajegowda et al. | Enhanced CP-ABE with RSA for Secure and Revocable Data Transmission of Big Data in Cloud. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190723 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200826 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200914 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210531 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210830 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211224 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220120 |