JP7014806B2 - デジタル証明書管理方法及び装置 - Google Patents

デジタル証明書管理方法及び装置 Download PDF

Info

Publication number
JP7014806B2
JP7014806B2 JP2019539969A JP2019539969A JP7014806B2 JP 7014806 B2 JP7014806 B2 JP 7014806B2 JP 2019539969 A JP2019539969 A JP 2019539969A JP 2019539969 A JP2019539969 A JP 2019539969A JP 7014806 B2 JP7014806 B2 JP 7014806B2
Authority
JP
Japan
Prior art keywords
digital certificate
security
key
data
issuing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019539969A
Other languages
English (en)
Other versions
JP2020505849A (ja
Inventor
月▲輝▼ 王
▲変▼玲 ▲張▼
▲満▼霞 ▲鉄▼
▲曉▼▲龍▼ ▲頼▼
琴 李
▲偉▼▲剛▼ 童
国▲強▼ ▲張▼
志▲強▼ 杜
湘 ▲顔▼
Original Assignee
西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 filed Critical 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司
Publication of JP2020505849A publication Critical patent/JP2020505849A/ja
Application granted granted Critical
Publication of JP7014806B2 publication Critical patent/JP7014806B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Description

本出願は、2017年4月1日に中国特許庁に提出された、出願番号が「201710211816.2、」であって、発明の名称が「デジタル証明書管理方法及び装置」である中国特許出願に基づく優先権を主張するものであり、その全内容を本出願に参照により援用する。
[技術分野]
本発明は、ネットワークセキュリティ技術分野に関し、具体的に、デジタル証明書管理方法及び装置に関する。
ネットワークセキュリティ技術の発展に伴い、ネットワーク情報伝送の機密性と完全性をどのように確保するかは重要な研究課題になっている。デジタル証明書は、ネットワーク通信エンティティのアイデンティティを検証する方法であり、デジタル証明書技術を使用してデータの暗号化、アイデンティティ検証などを行うことができる。デジタル証明書は、通常、デジタル証明書発行装置によってデジタル証明書申請装置に発行し、デジタル証明書申請装置のアイデンティティを識別するために使用できる。
従来の技術では、無線ローカルエリアネットワークにおけるデジタル証明書の申請、更新及び発行に適用されるデジタル証明書自動申請の方法がある。この方法では、デジタル証明書申請装置は、デジタル証明書発行装置が新しいデジタル証明書を生成するように、無線ローカルエリアネットワークを介してデジタル証明書発行装置にメッセージを送信して、それによってサポートされるデジタル証明書生成方法を通知することができる。この方法では、デジタル証明書申請装置とデジタル証明書発行装置との間で伝送されるメッセージは平文で伝送され、両者はメッセージの完全性チェックのみを行って、メッセージが改ざんされていないことを確定する。この方法ではデータの完全性のみが保証され、データの真実性と機密性を効果的に保護することができない。特に、デジタル証明書申請装置とデジタル証明書発行装置が他のネットワーク形式でデータをやり取りする場合、メッセージが平文で伝送されるため、この方法にはセキュリティ性が低いという欠点がある。
本発明は、デジタル証明書申請装置とデジタル証明書発行装置との間でデータ伝送のためのセキュリティチャンネルを確立し、両者によって伝送されるメッセージを暗号化して伝送することによって、デジタル証明書管理のセキュリティ性を効果的に向上させることができるデジタル証明書管理方法及び装置を提供する。
そのために、本発明は、以下の技術案を提供する。
第1の態様によれば、本発明は、デジタル証明書管理方法を提供し、デジタル証明書申請装置が取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成することと、デジタル証明書申請装置が前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信することと、デジタル証明書発行装置が前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャンネルを利用して、デジタル証明書管理応答メッセージをデジタル証明書申請装置に送信し、前記デジタル証明書申請装置が前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理される前記デジタル証明書管理応答メッセージを受信することと、デジタル証明書申請装置が前記デジタル証明書管理応答メッセージを処理して、処理結果を取得することと、を含む。
第2の態様によれば、本発明はデジタル証明書申請装置を提供し、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成するためのセキュリティデータチャンネル確立ユニットと、前記データ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化処理するための暗号化ユニットと、前記セキュリティデータチャンネルを利用して前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信するための送信ユニットと、前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを受信するための受信ユニットと、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得するための処理ユニットと、を含む。
第3の態様によれば、本発明は、デジタル証明書の申請のための装置を提供し、メモリ及び1つ又は複数のプログラムが含まれ、1つ又は複数のプログラムはメモリに記憶され、1つ又は複数のプロセッサーによって、前記1つ又は複数のプログラムに含まれる以下の動作を実行するための命令を実行するように配置され、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成し、前記データ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化処理し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信し、前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する。
第4の態様によれば、本発明は、デジタル証明書発行装置を提供し、前記装置は、許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立して、データ通信鍵が含まれるセキュリティ鍵を生成するためのセキュリティデータチャンネル確立ユニットと、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを受信するための受信ユニットと、受信された前記デジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成するための処理ユニットと、前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理するための暗号化ユニットと、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信するための送信ユニットと、を含む。
第5の態様によれば、本発明は、デジタル証明書の発行のための装置を提供し、メモリ及び1つ又は複数のプログラムが含まれ、1つ又は複数のプログラムはメモリに記憶され、1つ又は複数のプロセッサーによって、前記1つ又は複数のプログラムに含まれる以下の動作を実行するための命令を実行するように配置され、許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立して、データ通信鍵が含まれるセキュリティ鍵を生成し、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを受信し、受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成し、前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信する。
本発明によって提供されるデジタル証明書管理方法及び装置では、デジタル証明書申請装置は、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成し、デジタル証明書申請装置とデジタル証明書発行装置との間のメッセージのやり取り中に、生成されたデータ通信鍵を利用してメッセージを暗号化することによって、データ伝送のセキュリティ性を効果的に向上させ、多くの異なるタイプのシナリオにおけるデジタル証明書の自動申請、照会、更新、リボケーション及び失効リストの取得などに適用することができる。
本発明の実施例又は従来の技術における技術案をより明確に説明するために、実施例又は従来の技術の説明で使用される図面を以下に簡単に説明する。明らかに、以下の説明における図面は本発明に記載された幾つかの実施例に過ぎず、当業者はいかなる創造的な作業もなしにそれらの図面に従って他の図面を得ることができる。
本発明の実施例を適用することができる例示的な適応シナリオである。 本発明の一実施例によるデジタル証明書管理方法のフローチャートである。 本発明の他の実施例によるデジタル証明書管理方法のフローチャートである。 本発明の実施例によるセキュリティデータチャンネルの交渉及び確立の概略図である。 本発明の一実施例によるデジタル証明書の自動申請、照会、更新、リボケーション及び失効リストの取得方法におけるメッセージ内容の概略図である。 例示的な実施例によるデジタル証明書申請装置のブロック図である。 他の例示的な実施例によるデジタル証明書の申請に使用される装置のブロック図である。 例示的な実施例によるデジタル証明書発行装置のブロック図である。 他の例示的な実施例によるデジタル証明書の発行に使用される装置のブロック図である。
本発明の実施例は、デジタル証明書管理方法及び装置を提供しており、デジタル証明書申請装置とデジタル証明書発行装置との間でデータ伝送のためのセキュリティチャンネルを確立し、両方によって伝送されるメッセージを暗号化して伝送することができ、それによってデジタル証明書管理のセキュリティ性を効果的に向上させる。
当業者に本発明における技術案をよりよく理解させるために、本発明の実施例における図面を参照しながら、本発明の実施例における技術案を以下に明確かつ完全に説明する。説明される実施例が本発明の実施例の一部に過ぎず、全ての実施例ではないことは明らかである。本発明の実施例に基づいて、当業者によって創造的な労働なしに得られる他の全ての実施例は、本発明の保護範囲内に属するものとする。
図1は、本発明の実施例の例示的な適用シナリオである。本発明の実施例によって提供される方法及び装置は、図1に示すようなシナリオに適用でき、デジタル証明書申請装置及びデジタル証明書発行装置はネットワークを介して接続でき、前記接続は、任意の形態の有線及び/又は無線接続(例えば、WLAN、LAN、セルラー、同軸ケーブルなど)であってもよい。図1を例として説明すると、デジタル証明書申請装置は、既存の、開発中の、又は将来開発されるスマートフォン、非スマートフォン、タブレット、ラップトップパーソナルコンピュータ、デスクトップパーソナルコンピュータ、小型コンピュータ、中型コンピュータ、大型コンピュータなどを含むがこれらに限定されない。デジタル証明書申請装置は、それぞれの適用されるネットワークの形態でデジタル証明書発行装置(例えば、認証局CAサーバー)に証明書のダウンロードや更新などを申請することができる。なお、本発明の実施例は、無線操作ネットワーク、航空、輸送、電力、放送、金融、医療、教育、商業などの多くの産業に適用することができることに留意されたい。当然のことながら、上記の適用シナリオは、本発明の理解を容易にするために示されているに過ぎず、本発明の実施形態はこの点において限定されない。むしろ、本発明の実施形態は、適用可能なあらゆるシナリオに適用することができる。
以下、本発明の例示的な実施例に示すデジタル証明書管理方法について図2から図6を参照して説明する。
図2は、本発明の一実施例によるデジタル証明書管理方法のフローチャートである。図2に示すように、以下のことを含むことができる。
S201、デジタル証明書申請装置は、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立して、データ通信鍵が含まれるセキュリティ鍵を生成する。
具体的な実現では、デジタル証明書申請者は、デジタル証明書をダウンロードするための許可コードをデジタル証明書発行者に要求することができる。デジタル証明書申請者は例えば、デジタル証明書申請装置であってもよく、デジタル証明書発行者は例えばデジタル証明書発行装置であってもよい。本発明は、具体的な許可コード要求方法を限定しない。例えば、デジタル証明書申請者は、テキストメッセージ、電子メール、専用要求などの方法を用いてデジタル証明書発行者に許可コードを要求することができる。デジタル証明書発行者は、特定の方法で許可コードをデジタル証明書申請者に送信することができる。例えば、デジタル証明書発行者は、テキストメッセージ、電子メール、専用メッセージなどの方法を用いてデジタル証明書申請者に許可コードを送信することができる。一般的に、許可コードは、デジタル証明書発行者自身によって生成されるものであって、デジタル証明書申請者が許可コードを要求するときにリアルタイムで生成されるものであってもよく、使用するために事前に生成されるものであってもよく、一定の長さの要件を有する文字及び/又は数字及び/又は記号などの組み合わせであってもよく、許可コードにも一定の使用期限があり、使用期限を超えると、許可コードは無効になる。使用過程で、デジタル証明書発行者が異なるデジタル証明書申請者に割り当てる許可コードは異なる。
具体的な実現では、デジタル証明書申請装置は取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立することができ、前記セキュリティデータチャンネルは、セキュリティデータの伝送に使用される。セキュリティデータチャンネルを確立する際に、デジタル証明書申請装置は、許可コードを利用してセキュリティ鍵を生成することができ、前記セキュリティ鍵は1つ又は複数の鍵を含むことができ、前記1つ又は複数の鍵はデータ通信鍵を含む。前記セキュリティ鍵は、データセッション鍵をさらに含んでもよい。前記データ通信鍵は、前記デジタル証明書申請装置及び前記デジタル証明書発行装置がセキュリティデータチャンネルにおいて伝送するメッセージを暗号化するために使用される。なお、セキュリティ鍵は、メッセージの暗号化及び復号化処理を容易にするように、デジタル証明書申請装置側及びデジタル証明書発行装置側の両方で生成される。前記データセッション鍵は、証明書要求データ又は証明書応答データを暗号化するために使用できる。前記証明書要求データは具体的に、デジタル証明書管理要求メッセージに携帯されるデータである。前記証明書応答データは具体的に、デジタル証明書管理応答メッセージに携帯されるデータである。
S202、デジタル証明書申請装置は、前記セキュリティデータチャンネルを利用して前記データ通信鍵によって暗号化されたデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信する。
本発明では、デジタル証明書管理要求メッセージが暗号化処理される。具体的に、S201で生成されたデータ通信鍵を暗号化処理に使用することによって、メッセージ伝送のセキュリティ性を効果的に向上させる。なお、前記デジタル証明書管理要求メッセージに含まれるデータは1回暗号化処理されてもよいし、2回暗号化処理されてもよい。例えば、前記デジタル証明書管理要求メッセージは、セキュリティデータチャンネルにおいて伝送される際に、前記データ通信鍵によって暗号化された後に、デジタル証明書発行装置に送信される。また例えば、前記デジタル証明書管理要求メッセージは伝送される前に、データセッション鍵などのセキュリティ鍵における1組の鍵によってデジタル証明書管理要求メッセージに携帯される証明書要求データが既に暗号化処理され、セキュリティデータチャンネルにおいて伝送される際に2回目の暗号化処理が行われる。セキュリティ性を考えると、2回の暗号化処理に使用されるセキュリティ鍵(即ち、データ通信鍵及びデータセッション鍵)は異なる。デジタル証明書要求装置及びデジタル証明書発行装置は、暗号化の回数、暗号化アルゴリズム及び暗号化に使用される鍵の種類(即ち、データ通信鍵及びデータセッション鍵)を事前に合意することができる。
S203、デジタル証明書発行装置は、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化されたデジタル証明書管理応答メッセージをデジタル証明書申請装置に送信する。
具体的に、デジタル証明書発行装置は、前記デジタル証明書管理要求メッセージを受信した後、まず、生成されたセキュリティ鍵を利用して前記デジタル証明書管理要求メッセージを復号化し、デジタル証明書管理要求メッセージに携帯されるデータに基づき処理して、デジタル証明書管理応答メッセージを生成し、デジタル証明書管理応答メッセージをデジタル証明書申請装置に送信する。
それに対応して、本発明では、デジタル証明書管理応答メッセージが暗号化処理される。具体的に、S201で生成されたデータ通信鍵を暗号化処理に使用することで、メッセージ伝送のセキュリティ性を効果的に向上させることができる。なお、前記デジタル証明書管理応答メッセージは同様に、1回暗号化処理されてもよいし、2回暗号化処理されてもよいことに留意されたい。例えば、S202で前記デジタル証明書管理要求メッセージは伝送される前に、例えばデータセッション鍵などのセキュリティ鍵における1組の鍵によってデジタル証明書管理要求メッセージに含まれるデータが既に暗号化され、セキュリティデータチャンネルにおいて伝送される際にデータ通信鍵によって2回目の暗号化処理が行われる。それに対応して、前記デジタル証明書管理応答メッセージも前記データセッション鍵及び前記データ通信鍵をそれぞれ利用して2回の暗号化処理を行うことができる。デジタル証明書要求装置及びデジタル証明書発行装置は、暗号化の回数、暗号化アルゴリズム及び暗号化に使用される鍵の種類(即ち、データ通信鍵及びデータセッション鍵)を事前に合意することができる。
S204、デジタル証明書申請装置は、前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信されるデジタル証明書管理応答メッセージを受信する。
その中、前記デジタル証明書管理応答メッセージは、前記データ通信鍵によって暗号化処理されたものである。
具体的な実現では、本発明は、デジタル証明書申請装置及びデジタル証明書発行装置によって使用されるメッセージ及びやり取りの方法を限定せず、上記の情報のやり取りを実現してデジタル証明書の自動申請、照会、更新、リボケーション及び失効リストの取得を実現することができれば、本発明の保護範囲に属する。いくつかの実施形態では、前記デジタル証明書管理要求メッセージは、デジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書リボケーション情報、デジタル証明書失効リスト情報などのタイプを含むことができる。前記デジタル証明書管理応答メッセージは、デジタル証明書応答情報を含む。
S205、デジタル証明書申請装置は、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する。
具体的な実現では、デジタル証明書申請装置は、デジタル証明書管理応答メッセージに対して復号化処理及びチェック処理を行って、メッセージ内容を取得し、必要に応じて使用するデジタル証明書を確定し、デジタル証明書のインストール、更新などの処理を行う。
本発明の具体的な実現では、デジタル証明書管理要求メッセージに証明書要求データが携帯され、前記デジタル証明書管理応答メッセージに証明書応答データが携帯される。証明書要求データ及び/又は証明書応答データを暗号化するかどうかに従って、以下の実現形態を含むことができる。
(1)証明書要求データ及び証明書応答データは平文であり、デジタル証明書管理要求メッセージ及びデジタル証明書管理応答メッセージはセキュリティチャンネルのデータ通信鍵によって暗号化されて、1回の暗号化が完了する。
このとき、前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化されることは、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化されることを含み、前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化されることは、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化されることを含む。
(2)前記セキュリティ鍵がデータセッション鍵をさらに含む場合、証明書要求データはデータセッション鍵を使用した1回目の暗号化処理が行われ、証明書応答データは暗号化されず、平文である。デジタル証明書管理要求メッセージはデータ通信鍵を使用した2回目の暗号化が行われ、デジタル証明書管理応答メッセージはデータ通信鍵を使用して1回暗号化される。
このとき、前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化されることは、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化される前に、前記デジタル証明書管理要求メッセージに携帯される証明書要求データが前記データセッション鍵によって暗号化されることを含む。
このとき、前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化されることは、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化されることを含む。
(3)前記セキュリティ鍵がデータセッション鍵をさらに含む場合、証明書要求データはデータセッション鍵を使用した1回目の暗号化処理が行われ、証明書応答データもデータセッション鍵を使用した1回目の暗号化処理が行われる。その中、証明書応答データと証明書要求データに使用されるセッション鍵及び暗号化方法は対応する。デジタル証明書管理要求メッセージ及びデジタル証明書管理応答メッセージはそれぞれ、データ通信鍵を使用した2回目の暗号化が行われる。
このとき、前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化処理されることは、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記デジタル証明書管理要求メッセージに携帯される証明書要求データが前記データセッション鍵によって暗号化処理されることを含む。
このとき、前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化処理されることは、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記デジタル証明書管理応答メッセージに携帯される証明書応答データが前記データセッション鍵によって暗号化処理されることを含む。
前記方法は以下のことを含んでもよい。
S206、デジタル証明書申請装置は、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理確認メッセージをデジタル証明書発行装置に送信する。
具体的な実現では、デジタル証明書管理確認メッセージが暗号化処理される。具体的に、S201で生成されたデータ通信鍵を暗号化処理に使用することによって、メッセージ伝送のセキュリティ性を効果的に向上させる。
S207、デジタル証明書発行装置は、前記デジタル証明書管理確認メッセージを受信して処理する。
本発明のこの実施例では、デジタル証明書申請装置は、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成し、デジタル証明書申請装置とデジタル証明書発行装置とのメッセージのやり取りの過程では、生成されたセキュリティ鍵を利用してメッセージを暗号化処理することによって、データ伝送のセキュリティ性を効果的に向上させ、多くの異なるタイプのシナリオにおけるデジタル証明書の自動申請、照会、更新、リボケーション及び失効リストの取得などに適用することができる。
本発明では、デジタル証明書申請装置とデジタル証明書発行装置がメッセージをやり取りする過程では、メッセージが送信されてから一定の時間内に応答メッセージが受信されていない場合、再送信する必要がある。
当業者に特定のシナリオにおける本発明の実施形態をより明確に理解させるために、本発明の実施形態を一具体例を用いて以下に説明する。なお、当該具体例は、当業者に本発明をより明確に理解させるためのものであり、本発明の実施形態は当該具体例に限定されない。
図3は、本発明の他の実施例によるデジタル証明書管理方法のフローチャートである。図3に示すように、以下のステップを含むことができる。
S301、デジタル証明書申請装置が許可コードを取得する。
具体的な実現では、デジタル証明書申請装置はデジタル証明書をダウンロードするための許可コードをデジタル証明書発行装置に要求して、前記デジタル証明書発行装置によって送信される許可コードを取得する。
S302、デジタル証明書申請装置は、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成する。
具体的な実現では、デジタル証明書発行の過程における情報伝送のセキュリティを保証するために、デジタル証明書申請装置とデジタル証明書発行装置との間でセキュリティデータチャンネルの確立を交渉することができる。デジタル証明書申請装置は許可コードを使用してセキュリティデータチャンネルデータの伝送に使用されるセキュリティ鍵を生成する。
本発明は、セキュリティチャンネルの確立方法を限定せず、許可コードを利用してデータ伝送のための共有セキュリティ鍵を生成することができればよい。具体的な実現では、以下の方法を使用してセキュリティデータチャンネルを確立することができる。
S302A、デジタル証明書申請装置とデジタル証明書発行装置はセキュリティデータチャンネルの交渉を行う。
S302B、デジタル証明書申請装置とデジタル証明書発行装置は許可コード及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成する。
その中、前記セキュリティ鍵はデータ通信鍵を含んでもよく、さらにデータセッション鍵を含んでもよい。前記データ通信鍵は、前記データ証明書申請装置及びデジタル証明書発行装置がセキュリティデータチャンネルにおいてメッセージをやり取りする際にメッセージを暗号化処理して伝送するために使用される。前記データセッション鍵は、メッセージが伝送される前に、メッセージに携帯される証明書要求データ及び/又は証明書応答データを暗号化処理するために使用される。
S302C、デジタル証明書申請装置とデジタル証明書発行装置は、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証する。
具体的な実現は図4に示すセキュリティデータチャンネルの交渉及び確立の概略図を参照することができる。具体的に、前記デジタル証明書申請装置とデジタル証明書発行装置がセキュリティデータチャンネルの交渉を行うことは、デジタル証明書申請装置が第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、且つ、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信することを含む。その中、前記第1の乱数はデジタル証明書申請装置によってランダムに生成されるものであり、前記第1のアイデンティティ情報は具体的に、デジタル証明書申請装置のアイデンティティ識別子、例えば、IPアドレス、MACアドレス、電子メールアドレス、フルドメイン名の文字列又は国際モバイル加入者識別番号(IMSI)などであってもよい。前記第2の乱数はデジタル証明書発行装置によってランダムに生成されるものであり、前記第2のアイデンティティ情報は具体的に、デジタル証明書発行装置のアイデンティティ識別子、例えば、IPアドレス、MACアドレス、電子メールアドレス、フルドメイン名の文字列又は国際モバイル加入者識別番号(IMSI)などであってもよい。デジタル証明書申請装置とデジタル証明書発行装置とが乱数、アイデンティティ情報をやり取る過程はデジタル証明書申請装置によって開始されてもよいし、デジタル証明書発行装置によって開始されてもよく、本発明は具体的なやり取り方法を限定しない。
いくつかの実施形態では、前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することは、前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成することを含む。なお、デジタル証明書申請装置とデジタル証明書発行装置側で生成されたセキュリティ鍵は同じである。前記セキュリティ鍵は1組または複数組の鍵を含むことができる。例えば、セキュリティ鍵は、データ伝送のためのデータ通信鍵を含んでもよいし、完全性チェックを行うための完全性チェック鍵を含んでもよく、証明書要求データ及び/又は証明書応答データを暗号化処理するためのデータセッション鍵を含んでもよい。
いくつかの実施形態では、前記セキュリティ鍵は、完全性チェック鍵をさらに含み、前記デジタル証明書申請装置とデジタル証明書発行装置が完全性チェックコードによってセキュリティチャンネルの鍵確認を行うことは、前記デジタル証明書申請装置とデジタル証明書発行装置が乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証することを含む。
S303、デジタル証明書申請装置は、前記セキュリティデータチャンネルを利用して、デジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信する。
具体的な実現では、デジタル証明書申請装置は、セキュリティデータチャンネルによって秘密化した後に、証明書管理要求メッセージをデジタル証明書発行装置に送信する。デジタル証明書申請装置がデジタル証明書発行装置によって発行されたデジタル証明書を持っていない場合、証明書管理要求メッセージは、申請される新しいデジタル証明書に含まれる必要がある証明書情報を携帯する。デジタル証明書申請装置がデジタル証明書発行装置によって発行されたデジタル証明書を持っている場合、デジタル証明書申請装置によって送信されるデジタル証明書管理要求メッセージは、既存のデジタル証明書の情報を携帯して、デジタル証明書発行装置が証明書の照会及び更新を行う。
いくつかの実施形態では、前記デジタル証明書管理要求メッセージはデジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書リボケーション情報、デジタル証明書失効リスト情報などを含むことができる。具体的な実現では、デジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書リボケーション情報又はデジタル証明書失効リスト情報は表1に示す形式を採用することができるがこれに限定されない。
Figure 0007014806000001
例えば、デジタル証明書管理要求メッセージの情報タイプ値が2である場合、前記情報は具体的に、新しいデジタル証明書を申請するための証明書申請情報である。デジタル証明書管理要求メッセージの情報タイプ値が4である場合、前記情報は具体的に、既存のデジタル証明書を照会又は更新するための証明書取得情報である。デジタル証明書管理要求メッセージの情報タイプ値が5である場合、前記情報は具体的に、既存のデジタル証明書をリボケーションするための証明書リボケーション情報である。デジタル証明書管理要求メッセージの情報タイプ値が6である場合、前記情報は具体的に、証明書失効リストを要求するための証明書失効リスト情報である。
具体的な実現では、証明書申請情報のフィールドフォーマットは、表2に示す形式を採用することができるが、これに限定されない。
Figure 0007014806000002
具体的な実現では、証明書取得情報のフィールドフォーマットは、表3に示す形式を採用することができるが、これに限定されない。
Figure 0007014806000003
具体的な実現では、証明書リボケーション情報のフィールドフォーマットは、表4に示す形式を採用することができるが、これに限定されない。
Figure 0007014806000004
具体的な実現では、証明書失効リスト情報のフィールドフォーマットは、表5に示す形式を採用することができるが、これに限定されない。
Figure 0007014806000005
本発明は、証明書申請情報に携帯される証明書要求データを限定しない。
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに携帯される証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含む。
その中、証明書要求情報は、バージョン、所有者名、所有者公開鍵情報及び拡張を含むことができる。これらの情報要素は簡潔であり、証明書の発行に関する基本要件を満たすことができる。署名値は、デジタル証明書申請装置が公開鍵と秘密鍵のペアをローカルで生成した後、署名アルゴリズム識別子に対応する署名アルゴリズムを使用して、秘密鍵によって前記証明書要求情報を計算することによって得られた値である。デジタル証明書発行装置は、証明書要求情報内の所有者公開鍵情報に従って署名をチェックして、公開鍵と秘密鍵がデジタル証明書申請装置に属するかどうかを判断する。署名アルゴリズム識別子及び署名値によって、公開鍵と秘密鍵が当該エンティティに属するかどうかを検証することができる。
他のいくつかの実施形態では、前記証明書要求データ内の前記証明書要求情報はより完全な情報、即ち、シリアル番号、発行者名、及び有効期限をさらに含むことができる。これらの情報は、証明書発行機能を拡張することができ、例えば、デジタル証明書申請者が証明書を制限することを要求する特定の情報などである。この場合、前記証明書要求データは暗号化処理され、具体的に、前記証明書要求データは、デジタル証明書申請装置が、セキュリティデータチャンネルが確立された後、生成されたデータセッション鍵を使用して証明書要求情報、署名アルゴリズム識別子及び署名値を暗号化処理して得られたデータである。さらに、上記の実施形態に基づいて、デジタル証明書申請装置及び/又はデジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書要求データは、暗号化アルゴリズム識別子をさらに含むべきである。それに対応して、前記証明書要求データは具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化して得られたデータを含む。このような証明書要求データ構造要素はより完全でより用途が広く、公開鍵と秘密鍵が属するエンティティを検証し、且つ証明書要求データを機密に保護する。同時に、セキュリティデータチャンネルがある場合に、このような証明書要求データ構造の使用は証明書要求データの2回の機密保護を実現することができ、データ伝送のセキュリティ性をさらに向上させる。
S304、デジタル証明書申請装置は前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信されるデジタル証明書管理応答メッセージを受信する。
具体的な実現では、デジタル証明書発行装置は、セキュリティデータチャンネルによって秘密化した後に、証明書管理応答メッセージをデジタル証明書申請装置に送信する。デジタル証明書申請装置が新しいデジタル証明書を申請する必要があるとデジタル証明書発行装置によって確定される場合、デジタル証明書管理応答メッセージは、デジタル証明書申請情報に含まれる証明書要求データに基づきデジタル証明書発行装置によって生成される新しいデジタル証明書を含む。デジタル証明書申請装置が既存のデジタル証明書を照会又は更新する必要があるとデジタル証明書発行装置によって確定される場合、デジタル証明書管理応答メッセージは照会又は更新されたデジタル証明書を携帯する。
具体的な実現では、デジタル証明書発行装置は、デジタル証明書管理要求メッセージ内の情報タイプに従って処理を判断する。デジタル証明書申請情報が受信され、保護が申請される証明書情報が存在すると判断される場合、証明書要求データに従って新しいデジタル証明書を発行し、証明書取得情報に含まれる既存のデジタル証明書情報が存在する場合、発行装置名とシリアル番号に従って既存のデジタル証明書を照会する。証明書リボケーション情報に含まれる発行装置名とシリアル番号が存在する場合、発行装置名とシリアル番号に従って、既存のデジタル証明書を照会してリボケーションし、証明書失効リストが存在する場合、発行装置名に従って証明書失効リストを照会する。デジタル証明書発行装置はデジタル証明書管理応答メッセージで上記の証明書を携帯する。デジタル証明書管理応答メッセージは表6に示す形式を採用することができるが、これに限定されない。
Figure 0007014806000006
証明書応答情報フォーマットは、表7に示す形式を採用することができるが、これに限定されない。
Figure 0007014806000007
その中、証明書生成タイプは、表8に示すようになり、異なる証明書所有者に対応する証明書タイプが挙げられる。
Figure 0007014806000008
その中、AS証明書は認証サーバー証明書であり、CA証明書は認証局の証明書である。
具体的な実現では、デジタル証明書管理応答メッセージが暗号化処理される。具体的に、セキュリティチャンネルがある場合に、生成されたデータ通信鍵を暗号化処理に使用することで、メッセージ伝送のセキュリティ性を向上させる。なお、前記デジタル証明書管理応答メッセージは、1回暗号化処理されてもよいし、2回暗号化処理されてもよいことに留意されたい。例えば、前記デジタル証明書管理要求メッセージが伝送される前に、既に例えばデータセッション鍵などのセキュリティ鍵における1組の鍵を利用してデジタル証明書管理要求メッセージに含まれる証明書要求データが暗号化処理された場合、セキュリティデータチャンネルにおいて伝送される際にデータ通信鍵を使用した2回目の暗号化処理が行われる。それに対応して、前記デジタル証明書管理応答メッセージも、前記データセッション鍵と前記データ通信鍵を利用して含まれる証明書応答データに対してそれぞれ2回目の暗号化処理を行うことができる。さらに、デジタル証明書申請装置及び/又はデジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書応答データは暗号化アルゴリズム識別子も含むべきであり、それに対応して、前記証明書応答データは具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化して得られたデータを含む。
S305、デジタル証明書申請装置は、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する。
さらに、デジタル証明書申請装置は、必要に応じて使用するデジタル証明書を確定する。
前記方法は、以下のことを含んでもよい。
S306、デジタル証明書申請装置は前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理確認メッセージをデジタル証明書発行装置に送信する。
本発明の実施例では、上記のS301、S302を介してメッセージは安全で信頼可能なデータ伝送チャンネルを確立し、上記のS303、S304、S305を介して3つのメッセージのやり取りによってデジタル証明書の自動申請、照会及び更新を実現し、デジタル証明書管理をより効果的に、安全で信頼可能なようにする。図5に示すように、デジタル証明書の自動申請、照会、更新、リボケーション及び失効リストの取得方法におけるメッセージ内容の概略図である。図5に示すように、デジタル証明書管理要求メッセージCertReqは具体的にデジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書リボケーション情報及びデジタル証明書失効リスト情報などを含むことができる。前記デジタル証明書管理応答メッセージCertResはデジタル証明書応答情報などを含むことができる。デジタル証明書管理確認メッセージCertConfirmは、デジタル証明書申請装置とデジタル証明書発行装置との間の接続を解除するために使用できる。
以上、本発明によって提供されるデジタル証明書管理方法についてデジタル証明書申請装置側から説明する。当業者であれば、本発明によって提供される方法はデジタル証明書発行装置側にも適用することができ、図2から図5に示す例に対応して処理を実行することができることを理解することができる。例えば、上記方法は証明書発行装置側に適用され、デジタル証明書発行装置が許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成することと、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信された、前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを受信することと、受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成することと、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信することと、を含んでもよい。
いくつかの実施形態では、前記方法は、前記デジタル証明書発行装置がデジタル証明書申請装置によって生成され前記セキュリティデータチャンネルを利用して送信されたデジタル証明書管理確認メッセージを受信して処理することをさらに含む。
いくつかの実施形態では、前記デジタル証明書発行装置が許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成することは、前記デジタル証明書発行装置とデジタル証明書申請装置がセキュリティデータチャンネルの交渉を行うことと、前記デジタル証明書発行装置とデジタル証明書申請装置が許可コード、及び、交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することと、前記デジタル証明書発行装置とデジタル証明書申請装置が完全性チェックコードによってセキュリティチャンネル確認メッセージを検証することとを含む。
いくつかの実施形態では、前記デジタル証明書発行装置とデジタル証明書申請装置がセキュリティデータチャンネルの交渉を行うことは、前記デジタル証明書発行装置が第2の乱数、第2のアイデンティティ情報をデジタル証明書申請装置に送信し、前記デジタル証明書申請装置によって送信された第1の乱数、第1のアイデンティティ情報を受信することを含む。
いくつかの実施形態では、前記デジタル証明書発行装置とデジタル証明書申請装置が許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することは、前記デジタル証明書発行装置が許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成することを含む。
具体的な実現は、図2から図5に示す方法を参照して実現することができる。
図6は、本発明の一実施例によるデジタル証明書申請装置の概略図である。
デジタル証明書申請装置600は、以下のユニットを含む。
セキュリティデータチャンネル確立ユニット601は、取得した許可コードを利用して、デジタル証明書発行装置と交渉してセキュリティデータチャンネルを確定し、データ通信鍵を含むセキュリティ鍵を生成する。
暗号化ユニット602は、前記データ通信鍵を利用して前記証明書管理要求メッセージを暗号化する。
送信ユニット603は、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化されたデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信する。
受信ユニット604は、前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信された、前記データ通信鍵によって暗号化されたデジタル証明書管理応答メッセージを受信する。
処理ユニット605は、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する。
いくつかの実施形態では、前記処理ユニット605は、さらに、デジタル証明書管理確認メッセージを生成し、前記送信ユニット603はさらに、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化されたデジタル証明書管理確認メッセージを前記デジタル証明書発行装置に送信する。
いくつかの実施形態では、前記送信ユニット603によって送信された前記デジタル証明書管理要求メッセージに携帯される証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報は、バージョン、所有者名、所有者公開鍵情報及び拡張を含み、前記暗号化ユニット602は具体的に、
前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化処理する。
いくつかの実施形態では、前記暗号化ユニット602はさらに、
前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前、前記データセッション鍵を利用して前記デジタル証明書管理要求メッセージに携帯される証明書要求データを暗号化処理する。
その中、前記証明書要求情報はシリアル番号、発行者名及び有効期限をさらに含む。
さらに、前記デジタル証明書申請装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニット603によって送信される前記証明書要求データは暗号化アルゴリズム識別子をさらに含み、具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理して得られたデータを含み、それに対応して、前記暗号化ユニット602はさらに、
前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理する。
いくつかの実施形態では、前記送信ユニット603は、
前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信するための第1の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名とシリアル番号フィールドが含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信するための第2の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信するための第3の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信するための第4の送信ユニットと、を含む。
いくつかの実施形態では、前記セキュリティデータチャンネル確立ユニット601は、
デジタル証明書発行装置とセキュリティデータチャンネルの交渉を行うための交渉ユニットと、
デジタル証明書発行装置と許可コード及び交渉で得られた乱数、アイデンティティ情報を利用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
デジタル証明書発行装置と完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニット、を含む。
いくつかの実施形態では、前記交渉ユニットは具体的に、
第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信し、
前記鍵生成ユニットは具体的に、
前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する。
いくつかの実施形態では、前記鍵生成ユニットによって生成されたセキュリティ鍵は、完全性チェック鍵をさらに含み、前記鍵確認ユニットは具体的に、
前記デジタル証明書申請装置とデジタル証明書発行装置が乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する。
その中、本発明の装置の各ユニット又はモジュールの設置は図2から図5に示す方法を参照することによって実現でき、ここで説明を繰り返さない。なお、デジタル証明書管理装置は独立した装置であってもよいし、デジタル証明書発行装置と一体化されてもよく、又は、デジタル証明書発行装置の一部として存在してもよく、ここでは限定されない。
図7を参照すると、本発明の他の実施例によるデジタル証明書の申請に使用される装置のブロック図が示されている。少なくとも1つのプロセッサー701(例えばCPU)と、メモリ702と、これらの装置の間の接続通信を実現するための少なくとも1つの通信バス703を含む。プロセッサー701は、メモリ702に記憶された例えばコンピュータープログラムなどの実行可能なモジュールを実行する。メモリ702は、高速ランダムアクセスメモリ(RAM:Random Access Memory)を含むことができ、例えば少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non-volatile memory)も含むことができる。1つ又は複数のプログラムはメモリに記憶され、1つ又は複数のプロセッサー701によって、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行するように配置され、取得した許可コードを利用して、デジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成し、前記データ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化処理し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信し、前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化されるデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する。
いくつかの実施形態では、プロセッサー701はさらに、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理確認メッセージをデジタル証明書発行装置に送信する。
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信する。
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名及びシリアル番号フィールドが含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信する。
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信する。
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信する。
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、デジタル証明書発行装置とセキュリティデータチャンネルの交渉を行い、デジタル証明書発行装置と許可コード及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成し、デジタル証明書発行装置と完全性チェックコードによってセキュリティチャンネル確認メッセージを検証する。
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信し、デジタル証明書発行装置と許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する。
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、デジタル証明書発行装置と乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する。
図8は、本発明の実施例によるデジタル証明書発行装置の概略図である。
デジタル証明書発行装置800は、
許可コードを利用して、デジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成するためのセキュリティデータチャンネル確立ユニット801と、
デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化されるデジタル証明書管理要求メッセージを受信するための受信ユニット802と、
受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成するための処理ユニット803と、
前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理するための暗号化ユニット804と、
前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信するための送信ユニット805と、を含む。
いくつかの実施形態では、前記受信ユニット802はさらに、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信されるデジタル証明書管理確認メッセージを受信し、前記処理ユニット803はさらに、受信されたデジタル証明書管理確認メッセージを処理する。
いくつかの実施形態では、前記送信ユニット805によって送信される前記デジタル証明書管理応答メッセージは証明書応答データを携帯し、前記暗号化ユニット804は具体的に、
前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理応答メッセージを暗号化処理し、
その中、前記受信ユニット802によって受信される前記デジタル証明書管理要求メッセージに携帯される証明書要求データは証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報はバージョン、所有者名、所有者公開鍵情報及び拡張を含む。
いくつかの実施形態では、前記暗号化ユニット804はさらに、
前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前、前記データセッション鍵を利用して前記デジタル証明書管理応答メッセージに携帯される証明書応答データを暗号化処理し、
前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む。
いくつかの実施形態では、前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニット805によって送信される前記証明書応答データは暗号化アルゴリズム識別子をさらに含み、具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理して得られたデータを含み、それに対応し、前記暗号化ユニット804はさらに、
前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理する。
いくつかの実施形態では、前記セキュリティデータチャンネル確立ユニット801は、
デジタル証明書申請装置とセキュリティデータチャンネルの交渉を行うための交渉ユニットと、
デジタル証明書申請装置と許可コード及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
デジタル証明書申請装置と完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニットと、を含む。
いくつかの実施形態では、前記交渉ユニットは具体的に、
第2の乱数、第2のアイデンティティ情報をデジタル証明書申請装置に送信し、前記デジタル証明書申請装置によって送信される第1の乱数、第1のアイデンティティ情報を受信し、
前記鍵生成ユニットは具体的に、
許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する。
いくつかの実施形態では、前記鍵生成ユニットによって生成されるセキュリティ鍵は、完全性チェック鍵をさらに含み、前記鍵確認ユニットは具体的に、
デジタル証明書申請装置と乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する。
図9は、本発明の他の実施例によるデジタル証明書の発行に使用される装置のブロック図である。少なくとも1つのプロセッサー901(例えばCPU)と、メモリ902と、これらの装置の間の接続通信を実現するための少なくとも1つの通信バス903を含む。プロセッサー901は、メモリ902に記憶された例えばコンピュータープログラムなどの実行可能なモジュールを実行する。メモリ902は高速ランダムアクセスメモリ(RAM:Random Access Memory)を含むことができ、例えば少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non-volatile memory)も含むことができる。1つ又は複数のプログラムはメモリに記憶され、1つ又は複数のプロセッサー901によって、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行するように配置され、許可コードを利用して、デジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成し、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化されるデジタル証明書管理要求メッセージを受信し、受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信する。
いくつかの実施形態では、プロセッサー901はさらに、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、デジタル証明書申請装置によって生成され前記セキュリティデータチャンネルを利用して送信されたデジタル証明書管理確認メッセージを受信して処理する。
いくつかの実施形態では、プロセッサー901は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、デジタル証明書申請装置とセキュリティデータチャンネルの交渉を行い、デジタル証明書申請装置と許可コード及び交渉で得られた乱数、アイデンティティ情報を利用してセキュリティチャンネルのセキュリティ鍵を生成し、デジタル証明書申請装置と完全性チェックコードによってセキュリティチャンネル確認メッセージを検証する。
いくつかの実施形態では、プロセッサー901は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、第2の乱数、第2のアイデンティティ情報をデジタル証明書申請装置に送信し、前記デジタル証明書申請装置によって送信された第1の乱数、第1のアイデンティティ情報を受信する。
いくつかの実施形態では、プロセッサー901は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する。
当業者は、上記の方法及び装置が対応する関係にあることを理解することができる。
明細書を検討し、本明細書に開示された発明を実施した後、本発明の他の実施形態は当業者には容易に想到しえる。本発明は、本発明の一般的な原則に従い、本開示において開示されていない当該技術分野における一般的知識又は常用の技術的手段を含む、本発明のあらゆる変形、用途又は適応変化を網羅することを意図する。明細書および実施例は例示として見なすべきであり、本発明の真の範囲及び精神は特許請求の範囲によって示される。
本発明は、以上で説明され図面に示された精確な構造に限定されず、その範囲から逸脱することなく様々な修正及び変更を行うことができる。本発明の範囲は特許請求の範囲によって限定される。
上記は本発明の好ましい実施形態に過ぎず、本発明を限定するものではなく、本発明の精神及び原理の範囲内で行われる任意の修正、等価な置換、改良なども本発明の範囲内に含まれることが意図されている。
本文では、第1及び第2のような関係用語は、あるエンティティ又は動作を別のエンティティ又は動作と区別するために使用され、必ずしもこれらの実体又は動作の間に任意のそのような実際の関係又は順序が存在することを要求又は暗示するものではないことに留意されたい。そして、用語「包括」、「含む」又はそのいかなる他の変形は、非排他的な包含を含むことを意味することで、一連の要素を含むプロセス、方法、物品、又はデバイスは、それらの要素を含むだけではなく、明確に記載されていない他の要素をさらに含み、或いは、このようなプロセス、方法、物品、又はデバイスに固有する要素をさらに含む。また、より多い制限が存在しない場合、「...を一つ含む」という文によって限定される要素は、前記要素を含むプロセス、方法、物品又はデバイスに他の同じ要素がさらに含まれることを排除しない。本発明は、プログラムモジュールなどのコンピュータによって実行されるコンピュータ実行可能命令の一般的なコンテキストで説明することができる。一般に、プログラムモジュールは、特定のタスクを実行するか又は特定の抽象データ型を実現するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。本発明は、通信ネットワークを介して接続されているリモート処理装置によってタスクが実行される分散コンピューティング環境でも実施することができる。分散コンピューティング環境では、プログラムモジュールは、記憶装置を含むローカルとリモートの両方のコンピュータ記憶媒体に配置することができる。
本明細書における各実施例は、漸進的に記載されており、各実施例間の同一又は類似の部分は互いに参照すればよく、各実施例は、他の実施例との相違点に焦点を合わせている。特に、装置の実施例について、それは方法の実施例と基本的に同様であるので、説明は比較的簡単であり、関連部分は方法の実施例の説明を参照すればよい。上記の装置の実施形態は単なる例示であり、別々の構成要素として説明されたユニットは物理的に分離されてもされなくてもよく、ユニットとして表示された構成要素は物理的ユニットでもそうでなくてもよく、つまり、1か所に配置することも、複数のネットワークユニットに配布することもできる。実際の必要に応じてモジュールの一部又は全てを選択して本実施例方案の目的を実現することができる。当業者は、いかなる創造的努力もなしに理解し実行することができる。上記の説明は、本発明の特定の実施形態に過ぎず、本発明の原理から逸脱することなく、当業者によって多くの修正及び改良がなされてもよく、そのような修正及び改良もまた本発明の範囲内にあると見なされることに留意されたい。
600 デジタル証明書申請装置
601 セキュリティデータチャンネル確立ユニット
602 暗号化ユニット
603 送信ユニット
604 受信ユニット
605 処理ユニット

Claims (27)

  1. デジタル証明書管理方法であって、
    デジタル証明書申請装置が、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成することと、
    前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信することと、
    前記デジタル証明書発行装置が、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージをデジタル証明書申請装置に送信し、前記デジタル証明書申請装置が前記セキュリティデータチャンネルを利用して、前記デジタル証明書管理応答メッセージを受信することと、
    前記デジタル証明書申請装置が、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得することと、を含み、
    前記デジタル証明書申請装置が取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成することは、
    前記デジタル証明書申請装置と前記デジタル証明書発行装置がセキュリティデータチャンネルの交渉を行うことと、
    前記デジタル証明書申請装置と前記デジタル証明書発行装置が許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することと、
    前記デジタル証明書申請装置と前記デジタル証明書発行装置が完全性チェックコードによって、セキュリティチャンネル確認メッセージを検証することと、
    を含むことを特徴とする方法。
  2. 前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理確認メッセージをデジタル証明書発行装置に送信することと、
    前記デジタル証明書発行装置が、前記デジタル証明書管理確認メッセージを受信して処理することと、
    をさらに含むことを特徴とする請求項1に記載の方法。
  3. 前記デジタル証明書管理要求メッセージは証明書要求データを携帯し、前記デジタル証明書管理応答メッセージは証明書応答データを携帯し、前記証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報はバージョン、所有者名、所有者公開鍵情報及び拡張を含み、
    前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化処理されることは、
    前記デジタル証明書管理要求メッセージが、前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理されることを含み、
    前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化処理されることは、
    前記デジタル証明書管理応答メッセージが、前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理されることを含む、
    ことを特徴とする請求項1に記載の方法。
  4. 前記セキュリティ鍵は、データセッション鍵をさらに含み、それに対応して、
    前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化処理されることは、
    前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記デジタル証明書管理要求メッセージに携帯される証明書要求データが前記データセッション鍵によって暗号化処理されること、をさらに含み、
    前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む、
    ことを特徴とする請求項3に記載の方法。
  5. 前記デジタル証明書申請装置及び/又は前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書要求データは、暗号化アルゴリズム識別子をさらに含み、それに対応して、
    前記証明書要求データは具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理して得られたデータを含む、
    ことを特徴とする請求項4に記載の方法。
  6. 前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化処理されることは、
    前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記デジタル証明書管理応答メッセージに携帯される証明書応答データが前記データセッション鍵によって暗号化処理されること、
    をさらに含むことを特徴とする請求項4又は5に記載の方法。
  7. 前記デジタル証明書申請装置及び/又は前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書応答データは、暗号化アルゴリズム識別子をさらに含み、それに対応して、
    前記証明書応答データは具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理して得られたデータを含む、
    ことを特徴とする請求項6に記載の方法。
  8. 前記デジタル証明書申請装置が前記セキュリティデータチャンネルを利用してデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信することは、
    前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信すること、及び/又は、
    前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名とシリアル番号フィールドが含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信すること、及び/又は、
    前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信すること、及び/又は、
    前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信すること、
    を含むことを特徴とする請求項1に記載の方法。
  9. 前記デジタル証明書申請装置とデジタル証明書発行装置がセキュリティデータチャンネルの交渉を行うことは、
    デジタル証明書申請装置が第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信すること、を含み、
    前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することは、
    前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成すること、を含む、
    ことを特徴とする請求項に記載の方法。
  10. 前記セキュリティ鍵は完全性チェック鍵をさらに含み、前記デジタル証明書申請装置とデジタル証明書発行装置が完全性チェックコードによってセキュリティチャンネル確認メッセージを検証することは、
    前記デジタル証明書申請装置とデジタル証明書発行装置が乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証することを含む、
    ことを特徴とする請求項1又は9に記載の方法。
  11. デジタル証明書申請装置であって、
    取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立して、データ通信鍵が含まれるセキュリティ鍵を生成するための、セキュリティデータチャンネル確立ユニットと、
    前記データ通信鍵を利用して証明書管理要求メッセージを暗号化処理するための暗号化ユニットと、
    前記セキュリティデータチャンネルを利用して、データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信するための送信ユニットと、
    前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを受信するための受信ユニットと、
    前記デジタル証明書管理応答メッセージを処理して、処理結果を取得するための処理ユニットと、を含み、
    前記セキュリティデータチャンネル確立ユニットは、
    前記デジタル証明書発行装置とセキュリティデータチャンネルを交渉するための交渉ユニットと、
    前記デジタル証明書発行装置と、許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
    前記デジタル証明書発行装置と、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニットと、
    を含むことを特徴とする装置。
  12. 前記処理ユニットはさらに、デジタル証明書管理確認メッセージを生成し、
    前記送信ユニットはさらに、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理確認メッセージを前記デジタル証明書発行装置に送信する、
    ことを特徴とする請求項11に記載の装置。
  13. 前記送信ユニットによって送信される前記デジタル証明書管理要求メッセージに携帯される証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報はバージョン、所有者名、所有者公開鍵情報及び拡張を含み、
    前記暗号化ユニットは具体的に、
    前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化する、
    ことを特徴とする請求項11に記載の装置。
  14. 前記暗号化ユニットはさらに、
    前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記データセッション鍵を利用して前記デジタル証明書管理要求メッセージに携帯される証明書要求データを暗号化処理し、
    前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む、
    ことを特徴とする請求項13に記載の装置。
  15. 前記デジタル証明書申請装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニットによって送信される前記証明書要求データは、暗号化アルゴリズム識別子をさらに含み、具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理して得られたデータを含み、それに対応して、前記暗号化ユニットはさらに、
    前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理する、
    ことを特徴とする請求項14に記載の装置。
  16. 前記送信ユニットは、
    前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信するための第1の送信ユニット、及び/又は、
    前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名及びシリアル番号が含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信するための第2の送信ユニット、及び/又は、
    前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信するための第3の送信ユニット、及び/又は、
    前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信するための第4の送信ユニット、
    を含むことを特徴とする請求項11に記載の装置。
  17. 前記交渉ユニットは具体的に、
    第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信し、
    前記鍵生成ユニットは具体的に、
    デジタル証明書発行装置と、許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する、
    ことを特徴とする請求項11に記載の装置。
  18. 前記鍵生成ユニットによって生成されるセキュリティ鍵は、完全性チェック鍵をさらに含み、前記鍵確認ユニットは具体的に、
    デジタル証明書発行装置と、乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する、
    ことを特徴とする請求項11又は17に記載の装置。
  19. デジタル証明書の申請のための装置であって、
    メモリ及び1つ又は複数のプログラムが含まれ、1つ又は複数のプログラムは、メモリに記憶され、1つ又は複数のプロセッサーによって、前記1つ又は複数のプログラムに含まれる以下の動作を実行するための命令を実行するように配置され、
    取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成し、
    前記データ通信鍵を利用してデジタル証明書管理要求メッセージを暗号化処理し、
    前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信し、
    前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを受信し、
    前記デジタル証明書管理応答メッセージを処理して、処理結果を取得し、
    前記取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成することは、
    前記デジタル証明書発行装置とセキュリティデータチャンネルを交渉することと、
    前記デジタル証明書発行装置と、許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することと、
    前記デジタル証明書発行装置と、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証することと、
    を含むことを特徴とする装置。
  20. デジタル証明書発行装置であって、
    許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成するためのセキュリティデータチャンネル確立ユニットと、
    前記デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを受信するための受信ユニットと、
    受信された前記デジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成するための処理ユニットと、
    前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理するための暗号化ユニットと、
    前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信するための送信ユニットと、を含み、
    前記セキュリティデータチャンネル確立ユニットは、
    前記デジタル証明書申請装置とセキュリティデータチャンネルを交渉するための交渉ユニットと、
    前記デジタル証明書申請装置と、許可コード、及び交渉で得られた乱数、アイデンティティ情報を利用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
    前記デジタル証明書申請装置と、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニットと
    を含むことを特徴とする装置。
  21. 前記受信ユニットはさらに、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理確認メッセージを受信し、
    前記処理ユニットはさらに、受信されたデジタル証明書管理確認メッセージを処理する、
    ことを特徴とする請求項20に記載の装置。
  22. 前記送信ユニットによって送信される前記デジタル証明書管理応答メッセージは証明書応答データを携帯し、
    前記暗号化ユニットは具体的に、
    前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理応答メッセージを暗号化処理し、
    なお、前記受信ユニットによって受信される前記デジタル証明書管理要求メッセージに携帯される証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報は、バージョン、所有者名、所有者公開鍵情報及び拡張を含む、
    ことを特徴とする請求項20に記載の装置。
  23. 前記暗号化ユニットはさらに、
    前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前、前記データセッション鍵を利用して前記デジタル証明書管理応答メッセージに携帯される証明書応答データを暗号化処理し、
    なお、前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む、
    ことを特徴とする請求項22に記載の装置。
  24. 前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニットによって送信される前記証明書応答データはさらに、暗号化アルゴリズム識別子を含み、具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理して得られたデータを含み、それに対応し、前記暗号化ユニットはさらに、
    前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理する、
    ことを特徴とする請求項23に記載の装置。
  25. 前記交渉ユニットは具体的に、
    第2の乱数、第2のアイデンティティ情報をデジタル証明書申請装置に送信し、前記デジタル証明書申請装置によって送信される第1の乱数、第1のアイデンティティ情報を受信し、
    前記鍵生成ユニットは具体的に、
    許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する、
    ことを特徴とする請求項20に記載の装置。
  26. 前記鍵生成ユニットによって生成されたセキュリティ鍵は完全性チェック鍵をさらに含み、前記鍵確認ユニットは具体的に、
    デジタル証明書申請装置と、乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する、
    ことを特徴とする請求項20又は25に記載の装置。
  27. デジタル証明書の発行のための装置であって、
    メモリ及び1つ又は複数のプログラムが含まれ、1つ又は複数のプログラムは、メモリに記憶され、1つ又は複数のプロセッサーによって、前記1つ又は複数のプログラムに含まれる以下の動作を実行するための命令を実行するように配置され、
    許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成し、
    前記デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを受信し、
    受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成し、
    前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理し、
    前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信し、
    前記許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成することは、
    前記デジタル証明書申請装置とセキュリティデータチャンネルを交渉することと、
    前記デジタル証明書申請装置と、許可コード、及び交渉で得られた乱数、アイデンティティ情報を利用してセキュリティチャンネルのセキュリティ鍵を生成することと、
    前記デジタル証明書申請装置と、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証することと、
    を含むことを特徴とする装置。
JP2019539969A 2017-04-01 2018-02-13 デジタル証明書管理方法及び装置 Active JP7014806B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201710211816.2 2017-04-01
CN201710211816.2A CN108667609B (zh) 2017-04-01 2017-04-01 一种数字证书管理方法及设备
PCT/CN2018/076618 WO2018177045A1 (zh) 2017-04-01 2018-02-13 数字证书管理方法及设备

Publications (2)

Publication Number Publication Date
JP2020505849A JP2020505849A (ja) 2020-02-20
JP7014806B2 true JP7014806B2 (ja) 2022-02-01

Family

ID=63675125

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019539969A Active JP7014806B2 (ja) 2017-04-01 2018-02-13 デジタル証明書管理方法及び装置

Country Status (6)

Country Link
US (1) US11363010B2 (ja)
EP (1) EP3609121B1 (ja)
JP (1) JP7014806B2 (ja)
KR (1) KR102290342B1 (ja)
CN (1) CN108667609B (ja)
WO (1) WO2018177045A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102287921B1 (ko) * 2015-01-22 2021-08-09 에스케이씨 주식회사 그라파이트 시트 및 이의 제조방법

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108667781A (zh) * 2017-04-01 2018-10-16 西安西电捷通无线网络通信股份有限公司 一种数字证书管理方法及设备
CN108768664B (zh) * 2018-06-06 2020-11-03 腾讯科技(深圳)有限公司 密钥管理方法、装置、系统、存储介质和计算机设备
KR20200089491A (ko) * 2019-01-17 2020-07-27 삼성전자주식회사 공유된 디지털 키를 관리하기 위한 장치 및 방법
CN110046515B (zh) * 2019-04-18 2021-03-23 杭州尚尚签网络科技有限公司 一种基于短效数字证书的安全的电子签名方法
CN110401535B (zh) * 2019-07-19 2023-03-10 广州优路加信息科技有限公司 数字证书生成、安全通信、身份认证方法及装置
CN110737920B (zh) * 2019-09-25 2021-11-09 哈尔滨哈工智慧嘉利通科技股份有限公司 一种数字证书管控方法、装置和注册审核服务器
US11381403B2 (en) * 2019-12-09 2022-07-05 Sap Se Integrating blockchain with off-chain services
CN113765668A (zh) * 2020-06-03 2021-12-07 广州汽车集团股份有限公司 一种车辆数字证书在线安装方法及车辆数字证书管理装置
JP2022020143A (ja) * 2020-07-20 2022-02-01 富士通株式会社 通信プログラム、通信装置、及び通信方法
KR102421562B1 (ko) * 2020-12-21 2022-07-15 한전케이디엔주식회사 암호 라이브러리 관리 시스템 및 방법
CN113301523B (zh) * 2021-04-14 2022-09-16 江铃汽车股份有限公司 一种v2x车载终端数字证书的申请、更新方法及系统
CN115942314A (zh) * 2021-08-06 2023-04-07 华为技术有限公司 一种证书管理方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002521970A (ja) 1998-07-26 2002-07-16 バンガード・セキュリティ・テクノロジーズ・リミテッド セキュリティを施したメッセージの管理システム
JP2004032502A (ja) 2002-06-27 2004-01-29 Hitachi Communication Technologies Ltd 暗号化通信装置
JP2005102163A (ja) 2003-09-03 2005-04-14 Sony Corp 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体
JP2006295519A5 (ja) 2005-04-11 2008-04-24
JP2009538567A (ja) 2006-05-26 2009-11-05 アルカテル−ルーセント ユーエスエー インコーポレーテッド 安全なパケット伝送のための暗号化方法
JP2011503977A (ja) 2007-11-08 2011-01-27 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 2ウェイのアクセス認証方法
WO2015193945A1 (ja) 2014-06-16 2015-12-23 富士通株式会社 更新プログラム及び方法、及び、管理プログラム及び方法
JP2019526205A (ja) 2016-07-26 2019-09-12 ファーウェイ インターナショナル プライベート リミテッドHuawei International Pte. Ltd. デバイス間の共通セッション鍵を取得するシステムおよび方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08316951A (ja) * 1995-05-23 1996-11-29 Hitachi Ltd 無線通信端末、無線基地局及びこれらを有する通信システム
US20020165912A1 (en) * 2001-02-25 2002-11-07 Storymail, Inc. Secure certificate and system and method for issuing and using same
US20060269061A1 (en) 2001-01-11 2006-11-30 Cardinalcommerce Corporation Mobile device and method for dispensing authentication codes
US9331990B2 (en) * 2003-12-22 2016-05-03 Assa Abloy Ab Trusted and unsupervised digital certificate generation using a security token
JP4802539B2 (ja) * 2005-04-11 2011-10-26 ソニー株式会社 通信システム、通信装置、および通信方法
KR100853182B1 (ko) * 2006-09-29 2008-08-20 한국전자통신연구원 다중 도메인에서 대칭키 기반 인증 방법 및 장치
CN101521883B (zh) * 2009-03-23 2011-01-19 中兴通讯股份有限公司 一种数字证书的更新和使用方法及系统
CN101640590B (zh) 2009-05-26 2012-01-11 深圳市安捷信联科技有限公司 一种获取标识密码算法私钥的方法和密码中心
KR101326530B1 (ko) 2011-11-11 2013-11-08 고려대학교 산학협력단 원격 검침 시스템, 그 시스템에서의 아이디를 이용한 상호 인증을 위한 장치 및 방법
EP2634993B1 (en) 2012-03-01 2017-01-11 Certicom Corp. Devices and methods for connecting client devices to a network
CN102624531B (zh) * 2012-04-25 2014-12-03 西安西电捷通无线网络通信股份有限公司 一种数字证书自动申请方法和装置及系统
CN103973696B (zh) 2014-05-16 2017-09-19 天地融科技股份有限公司 一种语音通话的数据处理方法
CN105812136A (zh) * 2014-12-30 2016-07-27 北京握奇智能科技有限公司 一种更新方法及系统、安全认证设备
KR101724401B1 (ko) * 2015-05-29 2017-04-07 한국정보인증주식회사 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체
CN105208044A (zh) * 2015-10-29 2015-12-30 成都卫士通信息产业股份有限公司 一种适用于云计算的密钥管理方法
US11153297B2 (en) * 2016-12-06 2021-10-19 Vmware, Inc. Systems and methods to facilitate certificate and trust management across a distributed environment

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002521970A (ja) 1998-07-26 2002-07-16 バンガード・セキュリティ・テクノロジーズ・リミテッド セキュリティを施したメッセージの管理システム
JP2004032502A (ja) 2002-06-27 2004-01-29 Hitachi Communication Technologies Ltd 暗号化通信装置
JP2005102163A (ja) 2003-09-03 2005-04-14 Sony Corp 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体
JP2006295519A5 (ja) 2005-04-11 2008-04-24
JP2009538567A (ja) 2006-05-26 2009-11-05 アルカテル−ルーセント ユーエスエー インコーポレーテッド 安全なパケット伝送のための暗号化方法
JP2011503977A (ja) 2007-11-08 2011-01-27 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 2ウェイのアクセス認証方法
WO2015193945A1 (ja) 2014-06-16 2015-12-23 富士通株式会社 更新プログラム及び方法、及び、管理プログラム及び方法
JP2019526205A (ja) 2016-07-26 2019-09-12 ファーウェイ インターナショナル プライベート リミテッドHuawei International Pte. Ltd. デバイス間の共通セッション鍵を取得するシステムおよび方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102287921B1 (ko) * 2015-01-22 2021-08-09 에스케이씨 주식회사 그라파이트 시트 및 이의 제조방법

Also Published As

Publication number Publication date
EP3609121A4 (en) 2020-04-01
KR20190099066A (ko) 2019-08-23
CN108667609B (zh) 2021-07-20
US20210314170A1 (en) 2021-10-07
EP3609121B1 (en) 2021-10-27
EP3609121A1 (en) 2020-02-12
KR102290342B1 (ko) 2021-08-17
WO2018177045A1 (zh) 2018-10-04
JP2020505849A (ja) 2020-02-20
CN108667609A (zh) 2018-10-16
US11363010B2 (en) 2022-06-14

Similar Documents

Publication Publication Date Title
JP7014806B2 (ja) デジタル証明書管理方法及び装置
JP7292263B2 (ja) デジタル証明書を管理するための方法および装置
CN106487765B (zh) 授权访问方法以及使用该方法的设备
US20030081774A1 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
CN101772024B (zh) 一种用户身份确定方法及装置和系统
US7266705B2 (en) Secure transmission of data within a distributed computer system
CN101090316A (zh) 离线状态下存储卡与终端设备之间的身份认证方法
US10805091B2 (en) Certificate tracking
JP5992535B2 (ja) 無線idプロビジョニングを実行するための装置及び方法
Anand et al. EECDH to prevent MITM attack in cloud computing
TW201712590A (zh) 雲端加密系統及方法
JP2012100206A (ja) 暗号通信中継システム、暗号通信中継方法および暗号通信中継用プログラム
KR100559958B1 (ko) 이동통신 단말기간의 인증도구 중계 서비스 시스템 및 방법
CN109995723B (zh) 一种域名解析系统dns信息交互的方法、装置及系统
WO2022001225A1 (zh) 身份凭据的申请方法、身份认证的方法、设备及装置
JP2006279269A (ja) 情報管理装置、情報管理システム、ネットワークシステム、ユーザ端末、及びこれらのプログラム
CN113163399A (zh) 一种终端与服务器的通信方法和装置
CN110830240A (zh) 一种终端与服务器的通信方法和装置
CN114553426B (zh) 签名验证方法、密钥管理平台、安全终端及电子设备
JP6527115B2 (ja) 機器リスト作成システムおよび機器リスト作成方法
JP2009065226A (ja) 認証付鍵交換システム、認証付鍵交換方法およびプログラム
Anantharaman et al. Scalable identity and key management for publish-subscribe protocols in the Internet-of-Things
CN115529128B (zh) 基于sd-wan的端端协商通信方法、终端设备、服务器
CN114978564B (zh) 基于多重加密的数据传输方法及装置
US20230041783A1 (en) Provision of digital content via a communication network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190723

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200914

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210531

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210830

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211224

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220120