KR20110140122A - 인증서 및 키를 가지는 제품을 생산하기 위한 방법 - Google Patents

인증서 및 키를 가지는 제품을 생산하기 위한 방법 Download PDF

Info

Publication number
KR20110140122A
KR20110140122A KR1020117021969A KR20117021969A KR20110140122A KR 20110140122 A KR20110140122 A KR 20110140122A KR 1020117021969 A KR1020117021969 A KR 1020117021969A KR 20117021969 A KR20117021969 A KR 20117021969A KR 20110140122 A KR20110140122 A KR 20110140122A
Authority
KR
South Korea
Prior art keywords
product
certificate
certificates
key
entity
Prior art date
Application number
KR1020117021969A
Other languages
English (en)
Inventor
로템 셀라
비자이 아후자
미카엘 홀츠만
존 마이클 포도닉
아비 쉬무엘
Original Assignee
샌디스크 테크놀로지스, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 샌디스크 테크놀로지스, 인코포레이티드 filed Critical 샌디스크 테크놀로지스, 인코포레이티드
Publication of KR20110140122A publication Critical patent/KR20110140122A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 인증서 및 키를 가지는 제품을 생성하는 방법을 제공한다. 일 실시예에 따르면, 요청 엔티티는 인증서 및 대응하는 키를 생성하는 인증 엔티티로 복수의 인증서 및 대응하는 키에 대한 요청을 전송한다. 이 요청은 바람직하게, 개별 제품의 유일한 제품 식별자를 검증하기 위한 정보 대신 요청 엔티티의 신분을 검증하기 위한 인증 엔티티에 의해 사용되어지는 정보를 포함한다. 그런 다음, 요청 엔티티는 바람직하게, 인증서의 단일 시리즈 대신 복수의 조직화된 세트로, 인증 엔티로부터 복수의 인증서 및 대응하는 키를 수신한다. 그런 다음, 요청 엔티티는 인증서 및 대응하는 키를 각 제품에 저장한다. 그런 후에, 저장된 각각의 인증서는 이 인증서가 저장된 각각의 제품의 인증 및 식별 모두를 위해서 사용되어진다.

Description

인증서 및 키를 가지는 제품을 생산하기 위한 방법{METHODS FOR PRODUCING PRODUCTS WHICH CONTAIN CERTIFICATES AND KEYS}
본 발명은 인증 기술에 관한 것으로, 보다 상세하게는, 인증서 및 키를 가지는 제품을 생산하기 위한 방법에 관한 것이다.
PKI(Public Key Infrastructure, 공개키 기반 구조)의 일부인 제품은 제품을 인증하기 위해 인증서와 상호 대응하는 공개키 및 개인키(비밀키)를 저장한다. 인증서와 이에 대응하는 키를 제품에 저장하기 위한 일 실시예에서, 제품은 공개키 및 개인키의 키 쌍과 인증 요청을 생성한다. 인증 요청은 제품의 식별 데이터(identification data)와 생성된 공개키를 포함한다. 그런 다음, 제품은 생성된 개인키로 인증 요청에 사인한다. 그리고 사인된 인증 요청을 제품 프록시(예, 호스트 컴퓨터)에 전달한다. 제품 프록시는 등록기관(Registration Authority)에 접속한다. 등록기관은 제품의 식별 데이터 및 키 쌍을 검증하고, 인증서를 발급을 위하여 인증기관(Certificate Authority)에 접속한다. 인증기관은 인증서를 생성하고, 자신의 개인키로 인증서에 사인한다. 그런 다음, 인증기관은 인증서를 등록기관에 전송한다. 등록기관은 제품 프록시를 통해 제품에 인증서를 전달한다. 인증서는 개별 하드웨어 제품(예컨대, 싱글 서버)에 발급될 때, 이 프로세스가 제대로 작동하는 반면, 아주 많은 수의 제품의 제조 절차에서 인증서를 저장할 때에는 각 제품에 대해 각 제품 자신의 키 쌍을 생성하기 위하여 비교적 긴 시간이 필요로 하며, 또한, 4개의 파티(제품, 제품 프록시, 인증기관 및 발급기관)간의 통신을 위해서 비교적 긴 기간이 필요하기 때문에, 이 프로세스는 너무 오래 걸리고 비효율적일 수 있다.
베리사인® 디바이스 인증 서비스사(VeriSign® Device Certificate Service, 베리사인사)는 제조 과정에서 제품에 내장되는 인증서를 발급하기 위한 다량의 일괄(batch) 절차를 제공한다. 동작 과정에서, 제품 제조사는 베리사인사에 웹 인터페이스를 통해 그 제품에 대한 유일한 제품 식별자(예컨대, 케이블 모뎀의 맥 어드레스(media access control address))의 리스트를 제공한다. 베리사인사는 인증서와 대응하는 공개키 및 개인키 쌍을 발급하고, 발급된 것들을 암호화 폼에 의해 보안되게 하여 인터넷을 통해 제조사에 전송한다. 제조사는 제조 프로세스 동안 제품에 내장된 인증서 및 대응하는 키를 복호화(decrypt)한다.
여기에서 제공되는 콘셉트는 다양한 예를 통해 구현될 수 있다. 그리고, 이러한 개념들은 다양한 실시예들을 포함한다.
서론으로, 하기에서 설명될 실시예들은 인증서 및 키를 가지는 제품을 생산하는 방법을 제공한다. 일 실시예에 따르면, 요청 엔티티는 인증서 및 대응하는 키를 생성하는 인증 엔티티에게 복수의 인증서 및 대응하는 키에 대한 요청을 전송한다. 이 요청은 각 제품의 유일한 제품 식별자를 검증하기 위한 정보 대신 인증 엔티티가 요청 엔티티의 신분을 검증(식별)에 사용하기 위한 정보를 포함한다. 그런 다음, 요청 엔티티는 복수의 인증서 및 대응하는 키를 인증 엔티티로부터 수신한다. 이는 인증서의 단일 시리즈 대신 복수의 조직된 세트들로 수신하는 것이 바람직하다. 그런 다음, 요청 엔티티는 인증서 및 대응하는 키를 각 제품에 저장한다. 그 후에, 저장된 각각의 인증서는 이것이 저장된 각 제품의 식별 및 인증 모두를 위해 사용된다.
본 발명의 실시예 각각은 단독으로 사용되거나, 서로 조합되어 사용되어질 수 있다. 이제, 첨부된 도면을 참조하여 다양한 실시예들에 대해서 설명될 것이다.
본 발명의 목적은 인증서 및 키를 발급하는 절차를 간소화하여 제품 생산의 효율을 증가시키기 위한 인증서 및 키를 가지는 제품을 생산하기 위한 방법을 제공함에 있다.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따른 인증서 및 키를 가지는 제품을 생산하기 위한 방법은 요청 엔티티가 복수의 인증서 및 대응하는 키에 대한 요청을 전송하는 단계로서, 상기 요청은 상기 인증서 및 대응하는 키를 생성하는 인증 엔티티로 전송되는, 단계; 상기 인증 엔티티로부터 상기 복수의 인증서 및 대응하는 키를 상기 요청 엔티티가 수신하는 단계; 및 상기 요청 엔티티가 상기 복수의 인증서 및 대응하는 키를 상기 요청 엔티티의 제품 각각에 저장하는 단계;를 포함하며, 상기 요청은 제품 각각의 유일한 제품 식별자를 검증하기 위한 정보가 아닌 상기 요청 엔티티를 신분을 검증하기 위한 상기 인증 엔티티에 의해 사용되는 정보를 포함하며, 상기 인증서 각각은 상기 인증서가 저장된 각 제품의 인증 및 식별 모두에 사용되는 것을 특징으로 한다.
상기 요청 엔티티가 상기 인증 엔티티로 복수의 인증서 및 대응하는 키 각각을 암호화를 위하여 상기 인증 엔티티에 의해 사용되는 제품 암호화 키를 전송하는 단계;를 더 포함하며, 상기 요청 엔티티에 의하여 수신되는 상기 복수의 인증서 및 대응하는 키는 암호화된 형식에 따르며, 상기 저장하는 단계는 처음에, 암호화된 형식으로 수신된 복수의 인증서 및 대응하는 키 각각을 역암호화하기 위한 상기 제품 암호화 키를 이용하는 단계를 더 포함한다.
상기 역암호화는 상기 복수의 인증서 및 대응하는 키를 노출시키며, 상기 저장하는 단계 후, 상기 요청 엔티티의 제품 각각에 저장된 상기 복수의 인증서 및 대응하는 키를 재암호화하는 단계;를 더 포함한다.
상기 인증서 각각은 상기 인증서가 발급된 때를 나타내는 타임스탬프, 발급 시퀀스 넘버 및 생산된 제품의 명칭 중 적어도 하나에 의하여 식별되는 것을 특징으로 한다.
상기 요청 엔티티의 신분을 검증하기 위한 상기 정보는 상기 인증 엔티티에 의하여 요청 엔티티에 미리 제공받은 개인키에 의하여 상기 요청에 대한 사인을 포함하는 것을 특징으로 한다.
상기 제품 각각의 상기 유일한 제품 식별자는 상기 제품의 MAC(media access control) 어드레스를 포함한다.
상기 요청은 DVD(digital versatile disc) 또는 통신 채널을 통해 상기 인증 엔티티로 전송되는 것을 특징으로 한다.
상기 통신 채널은 인터넷 연결을 포함하는 것을 특징으로 한다.
상기 복수의 인증서 및 대응하는 키는 단일 배치(batch)로 상기 인증 엔티티로부터 수신되는 것을 특징으로 하며, 상기 인증서 및 키를 가지는 제품을 생산하기 위한 방법은 상기 배치로부터 상기 복수의 인증서 및 대응하는 키를 추출하는 단계;를 더 포함하는 것을 특징으로 한다.
상기 배치는 DVD에 구워져서 전달되는 것을 특징으로 한다.
상기 인증 엔티티로 암호화 키를 전송하는 단계로서, 상기 인증 엔티티가 상기 암호화 키로 상기 배치를 암호화 하는, 단계; 및 상기 인증 엔티티로부터 상기 배치를 수신하는 단계 후, 상기 배치를 상기 암호화 키로 역암호화하는 단계;를 더 포함하는 것을 특징으로 한다.
상기 요청 엔티티의 상기 제품은 착탈 가능한 대용량 스토리지 디바이스를 포함하는 것을 특징으로 한다.
상기 요청을 암호화하는 단계;를 더 포함하는 것을 특징으로 한다.
상기 복수의 인증서는 상기 인증 엔티티로부터 인증서의 단일 시리즈 대신 복수의 조직화된 세트로 수신되는 것을 특징으로 한다.
상기 복수의 인증서는 상기 인증 엔티티로부터 복수의 디렉터리와 다른 것으로 수신되는 것을 특징으로 한다.
상기 복수의 인증서는 단일 선형 파일 대신 계층적 디렉터리 트리로 조직화되는 것을 특징으로 한다.
상기 저장하는 단계는 적어도 하나의 컴퓨팅 디바이스에 의해 수행되는 것을 특징으로 한다.
상술한 바와 같은 본 발명의 바람직한 실시예에 따른 목적을 달성하기 위한 인증서 및 키를 가지는 제품을 생산하기 위한 방법은, 요청 엔티티가 복수의 인증서 및 대응하는 키에 대한 요청을 전송하는 단계로서, 상기 요청은 상기 인증서 및 대응하는 키를 생성하는 인증 엔티티로 전송되는, 단계; 상기 인증 엔티티로부터 상기 복수의 인증서 및 대응하는 키를 상기 요청 엔티티가 수신하는 단계; 및 상기 요청 엔티티가 상기 복수의 인증서 및 대응하는 키를 상기 요청 엔티티의 제품 각각에 저장하는 단계;를 포함하며, 상기 복수의 인증서는 상기 인증서의 단일 시리즈 대신 복수의 조직화된 세트로 상기 인증 엔티티로부터 수신되며, 상기 인증서 각각은 상기 인증서가 저장된 제품 각각의 인증 및 식별 모두에 사용되는 것을 특징으로 한다.
상기 요청 엔티티가 상기 인증 엔티티로 복수의 인증서 및 대응하는 키 각각을 암호화를 위하여 상기 인증 엔티티에 의해 사용되는 제품 암호화 키를 전송하는 단계;를 더 포함하며, 상기 요청 엔티티에 의하여 수신되는 상기 복수의 인증서 및 대응하는 키는 암호화된 형식에 따르며, 상기 저장하는 단계는 처음에, 암호화된 형식으로 수신된 복수의 인증서 및 대응하는 키 각각을 역암호화하기 위한 상기 제품 암호화 키를 이용하는 단계를 더 포함한다.
상기 역암호화는 상기 복수의 인증서 및 대응하는 키를 노출시키며, 상기 저장하는 단계 후, 상기 요청 엔티티의 제품 각각에 저장된 상기 복수의 인증서 및 대응하는 키를 재암호화하는 단계;를 더 포함한다.
상기 인증서 각각은 상기 인증서가 발급된 때를 나타내는 타임스탬프, 발급 시퀀스 넘버 및 생산된 제품의 명칭 중 적어도 하나에 의하여 식별되는 것을 특징으로 한다.
상기 요청 엔티티의 신분을 검증하기 위한 상기 정보는 상기 인증 엔티티에 의하여 요청 엔티티에 미리 제공받은 개인키에 의하여 상기 요청에 대한 사인을 포함하는 것을 특징으로 한다.
상기 요청은 제품 각각의 유일한 제품 식별자를 검증하기 위한 정보가 아닌 상기 요청 엔티티를 신분을 검증하기 위한 상기 인증 엔티티에 의해 사용되는 정보를 포함하는 것을 특징으로 한다.
상기 제품 각각의 상기 유일한 제품 식별자는 상기 제품의 MAC(media access control) 어드레스를 포함하는 것을 특징으로 한다.
상기 요청은 DVD(digital versatile disc) 또는 통신 채널을 통해 상기 인증 엔티티로 전송되는 것을 특징으로 한다.
상기 통신 채널은 인터넷 연결을 포함하는 것을 특징으로 한다.
상기 복수의 인증서 및 대응하는 키는 단일 배치(batch)로 상기 인증 엔티티로부터 수신되는 것을 특징으로 하며, 상기 인증서 및 키를 가지는 제품을 생산하기 위한 방법은 상기 배치로부터 상기 복수의 인증서 및 대응하는 키를 추출하는 단계;를 더 포함하는 것을 특징으로 한다.
상기 배치는 DVD에 구워져서 전달되는 것을 특징으로 한다.
상기 인증 엔티티로 암호화 키를 전송하는 단계로서, 상기 인증 엔티티가 상기 암호화 키로 상기 배치를 암호화 하는, 단계; 및 상기 인증 엔티티로부터 상기 배치를 수신하는 단계 후, 상기 배치를 상기 암호화 키로 역암호화하는 단계;를 더 포함한다.
상기 요청 엔티티의 상기 제품은 착탈 가능한 대용량 스토리지 디바이스를 포함하는 것을 특징으로 한다.
상기 인증서 및 키를 가지는 제품을 생산하기 위한 방법은 상기 요청을 암호화하는 단계;를 더 포함한다.
상기 복수의 인증서는 상기 인증 엔티티로부터 복수의 디렉터리와 다른 것으로 수신되는 것을 특징으로 한다.
상기 복수의 인증서는 단일 선형 파일 대신 계층적 디렉터리 트리로 조직화되는 것을 특징으로 한다.
상기 저장하는 단계는 적어도 하나의 컴퓨팅 디바이스에 의해 수행되는 것을 특징으로 한다.
제품 각각에 대해 인증서 및 이 인증서에 대응하는 키를 따로 발급하지 않고, 요청 엔티티에 대해 인증서 및 이 인증서에 대응하는 키를 발급함으로써, 인증서 및 키를 발급하는 절차를 간소화하며, 제품 생산 공정에서 이러한 인증서 발급 절차를 위해 대기하는 시간을 감소시킬 수 있다.
도 1은 본 발명의 실시예에 따른 인증서 및 키를 가지는 제품을 생성하기 위한 시스템을 도시한 도면.
도 2는 본 발명의 실시에에 따른 인증서 및 키를 가지는 제품을 생성하는 방법을 설명하기 위한 흐름도.
도 3은 본 발명의 일 실시예에 따른 요청 형식의 예를 도시한 도면.
도 4는 본 발명의 실시예에 따른 인증서 및 키의 전송에 사용되어지는 형식을 도시한 도면.
이제 도면으로 돌아가서, 도 1은 본 발명의 실시예에 따른 인증서 및 키를 가지는 제품(110A, 110B, ..., 110N)을 생산하기 위한 시스템(100)을 도시한 도면이다. 일반적으로, 요청 엔티티(120)는 인증서 및 대응하는 키에 대한 요청을 인증 엔티티(130)에 전송하고, 인증 엔티티(130)는 요청된 인증서 및 대응하는 키를 생성하여 요청 엔티티(120)에 제공하며, 요청 엔티티(120)는 인증서 및 대응하는 키를 제품(110A, 110B, ..., 110N) 각각에 저장한다. 그렇게 함으로써, 인증서 및 대응하는 키를 저장하지 않은 제품에서 인증서 및 대응하는 키를 저장한 제품으로 전환된다. 일단 제품에 저장되면, (예컨대, 제품에 대한 콘텐츠를 제공하는 콘텐츠 서버에 대해) 인증서 및 대응하는 키는 제품의 인증을 위해서만 사용될 뿐만 아니라 제품의 식별을 위해서도 사용된다.
이 문서에서 사용된 것처럼, "요청 엔티티"는 인증서 및 대응하는 키를 요청하는 엔티티이며, 전형적으로 제품 제조사가 될 수 있다. (예컨대, 메모리 카드 제조사) 이 문서에서 사용된 것처럼, "인증 엔티티"는 요청 엔티티의 신분을 검증하고(식별하고), 요청된 인증서 및 대응하는 키를 생성하는 엔티티이다. 이하의 논의로부터 더 명확해질 것이지만, 요청 엔티티(120) 및 인증 엔티티(130)는 어떠한 적합한 형식에 따라, 직접 또는 간접적으로, 상호간에 통신할 수 있다. "제품"은 또한 어떠한 적합한 형식을 가질 수 있으며, 일반적으로, 메모리 유닛 및 다른 디바이스와 통신하기 위해 사용되는 인터페이스를 포함한다. "제품"의 예는 비휘발성, 솔리드-스테이트(solid-state) 메모리 카드(예, 플래시 메모리 카드)와 같은 탈착 가능한 대용량 스토리지 디바이스, 솔리드-스테이트 드라이버(SSD), 스마트 카드, 광학 또는 자기 메모리 디바이스, 게임 콘솔, 디지털 비디오 레코더, 셋-탑 박스, 모바일 폰, ATM 머신, 케이블 모뎀, PDS(personal digital assistant), 이메일/문자 메시지 디바이스, 디지털 미디어 플레이어, 퍼스널 컴퓨터 및 GPS 네비게이션 디바이스를 포함하며, 이에 한정되지는 않는다.
도면으로 돌아와서, 도 2는 도 1의 시스템(100)을 이용한 증명서 및 키를 가지는 제품을 생성하는 방법의 실시예를 도시한 플로우 차트(200)이다. 먼저, 요청 엔티티(120)은 복수의 증명서 및 대응하는 키에 대한 요청을 인증 엔티티(130)으로 전송한다(210 단계). 여기서, 인증 엔티티(130)는 증명서 및 대응하는 키를 생성한다. 이 요청은 어떠한 적합합 형식으로 전송되어질 수 있다. 예컨대, 이 요청은 인증 엔티티(130)에 통신 채널(예컨대, 인터넷)을 통해서 전자적으로 전송되어질 수 있거나, 휴대용 스토리지 디바이스(예컨대, DVD)에 저장되어 인증 엔티티(130)에 메일로 전달될 수 있거나, 페이퍼 형식으로 인증 엔티티(130)에 메일 또는 팩스로 전달될 수 있거나, 구두상의 통신(예컨대, 전화로)으로 인증 엔티티(130)에 전달될 수 있다. 보안상의 이유로, 요청 엔티티(120)는 인증 엔티티(130)로부터 앞서 수신한 개인키로 요청에 사인하는 것이 바람직하다. 추가 보안을 위하여, 요청은 인증 엔티티(130)로 전송하기 전에 암호화될 수 있다. 이는 하기에서 더 자세하게 논의될 것이다.
요청 자체에는 어떤 필요한 정보를 포함할 수 있다. 도 3은 본 발명의 실시예에 따른 요청의 형식을 도시한 도면이다. 도 3에 보인바와 같이, 이 형식(300)의 필드들은 요청 엔티티의 명칭(310), 요청 엔티티의 담당자(320)와 이메일 주소 및 전화번호(330), 요청일(340), 증명서 및 키가 전송되어야 할 날짜(350), 요청된 증명서의 총수(360), 제품 인증 권한 주체의 인증서 명칭(370), 제조사 인증 권한 주체의 인증서 명칭(380) 및 다른 요청/코멘트(390)를 포함한다. 일 실시예에 따르면, 형식(300)은 PDF 파일에 배치되고 개인키로 사인될 수 있다. 또한, 요청은, 각각의 제품의 유일한 제품 식별자를 검증하기 위한 정보(예컨대, MAC 어드레스) 대신, 요청 엔티티(120)의 신분을 검증하기 위해 인증 엔티티(130)에 의하여 사용될 수 있는 정보를 포함하는 것이 바람직하다. (예컨대, 개인키에 의한 요청의 사인은 인증 엔티티(130)에 의해 요청 엔티티(120)로 미리 제공된다.)
도 2로 돌아와서, 요청 엔티티(120)는 복수의 증명서 및 대응하는 키를 인증 엔티티(130)로부터 수신한다(220 단계). 앞서 설명한 요청 전송 단계에 따르면, 복수의 인증서 및 대응하는 키는 어떤 적합한 방식으로 요청 엔티티(120)에 의하여 수신될 수 있다. 예를 들면, 인증서 및 키는 통신 채널을 통해(예, 인터넷을 통해 압축된 파일로) 요청 엔티티(120)로 전자적으로 전송되어지거나, 휴대 스토리지 디바이스(예, DVD)에 저장되어 요청 엔티티(120)에 메일로 전달딜 수 있다. 도 4는 본 발명의 실시예에 따른 인증 엔티티(130)로부터 요청 엔티티(120)로 인증서를 전송하기 위하여 사용되는 형식(400)을 도시한 도면이다. 도 4에 도시된 바와 같이, 이러한 형식(400)의 필드들은 콘텐츠 정보 파일(410)(예컨대, 버전 수, 유일한 식별자, 생성일 및 시간, 증명서의 수 및 코멘트), 최상위 인증서(root certificate)(420), 특정 제조사에 의해 제조되는 제품임을 입증하는 것으로 사용되어지는 인증서(430), 특정 제조 라인에 속하는 제품임을 입증하는 것으로 사용되어지는 인증서(440) 및 인증서들을 포함하는 서브디렉토리(450)를 포함한다. 보안상의 이유로, 인증 엔티티(130)는 개인키로 전송에 사인할 수 있다. 추가 보안을 위해, 전송은 암호화될 수 있으며, 이는 아래에서 설명될 것이다. 복수의 인증서 및 대응하는 키는 개별적으로 또는 다중의 배치(batch)들로 인증 엔티티(130)로부터 수신될 수 도 있고, 일 실시예에 따르면, 복수의 인증서 및 대응하는 키는 단일 배치로 인증 엔티티(130)로부터 수신될 수도 있다. 이는, 예컨대, DVD에 구워져서 배달되거나, 앞서 언급한 어떠한 다른 형식을 이용하영 배달되어질 수 있다. 일단 수신되면, 요청 엔티티(120)는 배치로부터 복수의 인증서 및 키를 추출한다.
그러면, 요청 엔티티(120)는 들어온 인증서 및 키의 패키지를 인증 엔티티의 인증서를 이용하여 검증하고, 개별 인증서 및 대응하는 키를 각각의 제품(110A, 110B, ..., 110N)에 저장한다(230 단계). 그러면, 각 인증서는 인증서가 저장된 각 제품(110A, 110B, ..., 110N)의 식별 및 인증 모두를 위하여 사용할 수 있다. 제품(110A, 110B, ..., 110N)에 인증서 및 키를 보안적으로 저장하기 위하여, 만약 그러한 암호화가 사용되면, 바람직하게, 요청 엔티티(120)에 대한 전송을 위한 인증서 및 키를 암호화하여 사용하던 것과 다른 키를 이용하여, 인증서 및 키는 암호화될 수 있다. 요청 엔티티(120)는 개별 인증서 및 대응하는 키를 각 제품(110A, 110B, ..., 110N)에 하나 이상의 컴퓨팅 디바이스(예, 일반-용도 컴퓨터)를 이용하여 저장할 수 있다. 컴퓨팅 디바이스가 전송 및/또는 수신 동작 에 사용될 수 있는지 여부에 따라, 전송 및 수신 동작(210, 220 단계) 중 하나 또는 모두는 동일하거나 또는 다른 컴퓨팅 디바이스를 이용할 수 있다. 예컨대, 인증서 및 키를 저장하는 동일하거나 다른 컴퓨팅 디바이스는 요청에 대한 준비를 위하여 사용되어질 수 있다. (예컨대, 요청을 포함하는 DVD를 굽고, 인터넷 등을 통해 인증 엔티티(130)에 요청을 이메일로 전송한다.) 그리고/또는, 동일하거나 다른 컴퓨팅 디바이스는 인증서 및 키를 수신할 수 있다(예컨대, 인증 엔티티(130)로부터 웹 브라우저를 통해 인증서 및 키를 다운로드 받는 것에 의해).
본 발명의 실시예에와 관련된 몇몇 이점들이 있다. 첫째, 인증서는 제품(110A, 110B, ..., 110N)이 제조되기 전에 요청되고 수신됨으로(예컨대, 인증서는 "오프라인에서" 요청되고 수신된다), 인증서가 도착할 때까지 제조 공정에서 기다리는 시간이 소비되지 않는다. 더욱이, 종래기술 부분에서 기술한 프로세스와는 달리, 본 발명의 실시예에 따르면, 제품(110A, 110B, ..., 110N) 자체는 공개키와 개인키 쌍을 생성하지 않는다. 게다가, 인증 엔티티(130)는 이러한 키 쌍을 생성하고 생성된 키 쌍을 대응하는 인증서와 함께 요청 엔티티(120)에 전송한다. 이렇게 하여, 제조 공정 동안 제품(110A, 110B, 110N)이 키 쌍을 생성하기 위해 기다리는 시간이 소비되지 않는다.
더욱이, 본 발명의 실시예에 따른 요청 엔티티(120)는 제품의 제조자이며 제품(110A, 110B, ..., 110N) 자체가 아님으로, 인증 기관(130)은 제품 당 레벨이 아닌, 제조자 당 레벨로 운영된다. 결과적으로, 인증 엔티티(130)는 개별 제품(110A, 110B, ..., 110N) 각각에 대한 검증이 아니라, 요청 엔티티(120)의 신분만을 검증하는 것만이 요구된다. 이러한 검증은 각 제품의 유일한 제품 식별자를 검증(예, 케이블 모뎀의 MAC(media acces control) 어드레스를 검증함)하는 것에 비하여, 비교적 간단하고 빨리 이루어질 수 있다(예컨대, 인증 엔티티에 의해서 요청 엔티티(120)에 미리 제공된 개인키로 사인되어진 요청을 검증함에 의해, 인증 엔티티(130)에 DVD 오더 형식 등을 전송한 요청 엔티티(120)의 담당자와 접촉함에 의해). 왜냐하면, 요청 엔티티(120)에 대한 검증은 직접 그리고 쉽게 이루어질 수 있다. 이러한 실시예는 인증기관을 건너뛰는(bypass) 프로세스를 허용하고, 그렇게 함으로써, 그렇지 않았다면 인증기관과 통신을 위해 보내기 위해 필요한 시간을 절약할 수 있다.
언급된 바와 같이, 본 실시예에서, 각 인증서는 그 인증서가 저장된 각 제품의 식별 및 인증 모두에 사용될 수 있다. 인증서는 인증 주체의 명칭에 의해 이의 각 제품을 식별할 수 있다. 어떤 적합한 명칭 부여 정책이 주체의 명칭에 사용되어질 때, 일 실시예에 따르면, 명칭 부여 정책은 다음의 하나 이상의 필드를 사용한다: 타임스탬프는 인증서가 발급되었을 때, 발급 시퀀스 넘버를 나타내고, 제품의 명칭이 만들어진다. 예컨대, 명칭 부여 규칙은 다음과 같이 될 수 있다: "<ProductName>MMDDYYYYXXXXXXXX", 여기서, <ProductName>은 (개별 제품의 명칭이 아닌) 제품 라인의 명칭, MM은 인증서가 발급된 달, DD는 그 달의 인증서가 발급된 날, YYYY는 인증서가 발급된 해, 그리고 XXXXXXXX는 발급 일련번호이다. 예시된 식별자로부터 볼 수 있는 바와 같이, 인증서는 반드시 그러할 필요는 없으나, 개별 제품의 유일한 식별자에 의해 식별된다. 이는 배경 기술 섹션에서 설명한 처리와 대조를 이룬다. 여기서, 배경 기술에서 설명한 처리는 인증서는 유일한 제품 식별자의 목록에 기초하여 발급된다(예, 케이블 모뎀의 MAC 어드레스). 더욱이, 본 발명의 실시예는 개별 제품의 유일한 식별자에 의존하지 않으며, 이는 특히 제품이 처음에 잘 알려지지 않은 경우이거나, 유일한 식별자를 가지고 있지 않은 경우에 이득이 있다(예, 탈착 가능한 메모리 카드 VS 케이블 모뎀). 인증서를 저장하기 전, 유일성(uniqueness)을 가지고 있는 케이블 모뎀과는 달리, 탈착 가능한 메모리 카드 및 다른 알려지지 않은 제품은 인증서가 제품에 저장되었을 때, 유일성을 얻는다. 그러한 인증을 위해 사용되는 것에 추가로, 본 발명의 실시예에 따르면, 저장된 인증서는 미리-잘 알려지지 않은 제품에 대한 식별을 제공하는 것에 사용된다. 그래서 증명서가 제품의 식별을 위한 인증을 위해 사용되는 배경 기술 섹션에서 설명된 처리와는 다르게, 본 발명의 실시예에서 인증서는 제품 자체를 식별하기 위하여 사용된다.
본 발명의 실시예에 대한 다양한 대안적인 실시예들이 있을 수 있다. 예컨대, 효과적인 인증서에 대한 접근을 위하여, 인증 엔티티(130)로부터 수신딘 복수의 인증서는 단일 시리즈의 인증서 대신 복수의 조직화된 세트로서 제공될 수 있다. (예, 단일 선형 파일 또는 리스트 대신 계층 디렉토리에서 또는 복수의 디렉토리의 다른 것에서) 복수의 인증서를 조직화하는 것은, 만약 인증서가 단일 리스트 또는 파일에 포함되는 것 보다, 주어진 인증서에 접근하는 것을 간단하게 한다. 단일 예에 따르면, 벌크 인증서가 다중 디렉터리에 저장될 수 있다. 여기서, 각 디렉터리는 1,023 인증서가 포함되며, 각 디렉터는 그 디렉터리 내의 인증서와 같이 명명된다(예, 1-1024, 1,025-2,048, 등). 주어진 인증서를 찾기 위하여, 요청 엔티티(120)에서 컴퓨팅 디바이스는 인증서가 저장된 디렉터리를 찾을 수 있으며, 그런 다음, 인증서에 대한 디렉터를 통해서 찾을 수 있다. 왜냐하면, 비교적 디렉터리 당 인증서는 몇 개가 안 되기 때문에, 디렉터리 내에서 인증서를 찾는 데에는 비교적 적은 량의 시간이 소요된다. 반면, 모든 인증서가 단일 디렉터리에 저장된다면, 수천 또는 수만개의 인증서 중에서 주어진 인증서를 찾는 시간은 상당히 길어진다. 물론, 이는 단지 하나의 실시예이며, 다른 기술이 사용될 수 있다. 예컨대, 다른 디렉터리에 인증서를 두는 대신, 인증서를 다른 방법으로, 세그먼트화하거나(segmented), 또는, 파티션(partitioned)을 설정하는 방법을 이용할 수 있다.
다른 대안에 따르면, 추가 보안을 위하여, 다양한 암호화 기술이 이 프로세스에 사용될 수 있다. 예컨대, 요청 엔티티(120)에서 인증 엔티티(130)로 전송되는 동안의 요청을 보호하기 위하여, 요청은 전송되기에 앞서 인증 엔티티(130)으로부터 미리 수신된 키(예, REK 또는 Request Encryption Key)를 통해 암호화된다. 다른 실시예로서, 인증 엔티티(130)에서 요청 엔티티(120)로 전송되는 동안 인증서 및 키를 보호하기 위하여, 요청 엔티티(120)는 복수의 키 및 대응하는 인증서 각각을 각각의 PEK로 암호화하기 위하여 PEKs(Product Encryption Key)를 인증 엔티티(130)에 전송한다. 이 방법에서, 복수의 키 및 대응하는 인증서는 암호화된 형식으로 요청 엔티티(120)에 의해 수신된다. 그리고 요청 엔티티(120)는 복수의 키 및 대응하는 인증서 각각을 암호화하기 위하여 PEKs를 사용할 수 있다. 이에 대한 역암호화는 복수의 인증서 및 키를 노출시킬 수 있으며, 그리고 요청 엔티티(120)는 나중에 다른 키를 이용하여 복수의 인증서 및 키를 재암호화할 수 있다. 다른 예에 따르면, 요청 엔티티(120)는 암호화 키(예, MEK 또는 Manufacturer Encryption Key)를 인증 엔티티(130)에 전송할 수 있으며, 이에 따라, 인증 엔티티(130)는 인증서 및 키의 배치(batch)를 암호화할 수 있다. 인증 엔티티(130)로부터 배치(batch)를 수신한 후, 요청 엔티티(120)는 배치를 MEK로 역암호화할 수 있다. PEK와 MEK 모두 이중 암호화를 제공하는데에 사용될 수 있다. 또한, 본 발명의 일 실시예에 따르면, 요청 엔티티(120)가 인증서 및 키를 요청하기 전, 요청 엔티티(120)는 인증 엔티티(130)와 원-타임 셋업(one-time set-up) 프로세스를 진행할 수 있다. 이 프로세스 동안, 요청 엔티티(120)은 인증 엔티티(130)에 REK와 MEK를 제공한다. 이러한 방법에 의해서, REK 및 MEK는 요청 엔티티(120)가 인증서 및 키가 필요한 때마다가 아니라, 오직 한번만의 교환이 필요하다.
상술한 바와 같은 상세한 설명에 기재된 내용은 발명을 가장 잘 이해할 수 있도록 하는 실시예를 선택한 것이며, 하기의 특허청구범위를 제한하고자 한 것은 아니다. 또한, 하기의 특허청구범위 중 일부는 어떤 기능을 수행하기 위해 이용되거나 또는 어떤 태스크를 위하여 구성되는 컴포넌트에 대해서 언급될 것이다. 이러한 것들은 제한적인 한정이 아님을 밝힌다. 청구항에 기재된 단계들은 반드시 필요한 경우가 아닌 경우 기술된 순서와는 다른 순서로 수행될 수도 있다. 추가로, 앞서 기술된 실시예들의 어떤 양상들은 단독으로 사용되거나, 또는 상호간의 조합으로 사용될 수 있다.
100: 시스템 110A, 110B, ..., 110N: 제품
120: 요청 엔티티 130: 인증 엔티티

Claims (34)

  1. 인증서 및 키를 가지는 제품을 생산하기 위한 방법에 있어서,
    요청 엔티티가 복수의 인증서 및 대응하는 키에 대한 요청을 전송하는 단계로서, 상기 요청은 상기 인증서 및 대응하는 키를 생성하는 인증 엔티티로 전송되는, 단계;
    상기 인증 엔티티로부터 상기 복수의 인증서 및 대응하는 키를 상기 요청 엔티티가 수신하는 단계; 및
    상기 요청 엔티티가 상기 복수의 인증서 및 대응하는 키를 상기 요청 엔티티의 제품 각각에 저장하는 단계;를 포함하며,
    상기 요청은 제품 각각의 유일한 제품 식별자를 검증하기 위한 정보가 아닌 상기 요청 엔티티를 신분을 검증하기 위한 상기 인증 엔티티에 의해 사용되는 정보를 포함하며,
    상기 인증서 각각은 상기 인증서가 저장된 각 제품의 인증 및 식별 모두에 사용되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  2. 제1항에 있어서,
    상기 요청 엔티티가 상기 인증 엔티티로 복수의 인증서 및 대응하는 키 각각을 암호화를 위하여 상기 인증 엔티티에 의해 사용되는 제품 암호화 키를 전송하는 단계;를 더 포함하며,
    상기 요청 엔티티에 의하여 수신되는 상기 복수의 인증서 및 대응하는 키는 암호화된 형식에 따르며,
    상기 저장하는 단계는 처음에, 암호화된 형식으로 수신된 복수의 인증서 및 대응하는 키 각각을 역암호화하기 위한 상기 제품 암호화 키를 이용하는 단계를 더 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  3. 제2항에 있어서,
    상기 역암호화는 상기 복수의 인증서 및 대응하는 키를 노출시키며,
    상기 저장하는 단계 후, 상기 요청 엔티티의 제품 각각에 저장된 상기 복수의 인증서 및 대응하는 키를 재암호화하는 단계;를 더 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  4. 제1항에 있어서,
    상기 인증서 각각은
    상기 인증서가 발급된 때를 나타내는 타임스탬프, 발급 시퀀스 넘버 및 생산된 제품의 명칭 중 적어도 하나에 의하여 식별되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  5. 제1항에 있어서,
    상기 요청 엔티티의 신분을 검증하기 위한 상기 정보는
    상기 인증 엔티티에 의하여 요청 엔티티에 미리 제공받은 개인키에 의하여 상기 요청에 대한 사인을 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  6. 제1항에 있어서,
    상기 제품 각각의 상기 유일한 제품 식별자는
    상기 제품의 MAC(media access control) 어드레스를 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  7. 제1항에 있어서,
    상기 요청은
    DVD(digital versatile disc) 또는 통신 채널을 통해 상기 인증 엔티티로 전송되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  8. 제7항에 있어서,
    상기 통신 채널은
    인터넷 연결을 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  9. 제1항에 있어서,
    상기 복수의 인증서 및 대응하는 키는 단일 배치(batch)로 상기 인증 엔티티로부터 수신되는 것을 특징으로 하며,
    상기 인증서 및 키를 가지는 제품을 생산하기 위한 방법은
    상기 배치로부터 상기 복수의 인증서 및 대응하는 키를 추출하는 단계;를 더 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  10. 제9항에 있어서,
    상기 배치는 DVD에 구워져서 전달되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  11. 제9항에 있어서,
    상기 인증 엔티티로 암호화 키를 전송하는 단계로서, 상기 인증 엔티티가 상기 암호화 키로 상기 배치를 암호화 하는, 단계; 및
    상기 인증 엔티티로부터 상기 배치를 수신하는 단계 후, 상기 배치를 상기 암호화 키로 역암호화하는 단계;를 더 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  12. 제1항에 있어서,
    상기 요청 엔티티의 상기 제품은
    착탈 가능한 대용량 스토리지 디바이스를 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  13. 제1항에 있어서,
    상기 요청을 암호화하는 단계;를 더 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  14. 제1항에 있어서,
    상기 복수의 인증서는 상기 인증 엔티티로부터
    인증서의 단일 시리즈 대신 복수의 조직화된 세트로 수신되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  15. 제14항에 있어서,
    상기 복수의 인증서는
    상기 인증 엔티티로부터 복수의 디렉터리와 다른 것으로 수신되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  16. 제14항에 있어서,
    상기 복수의 인증서는
    단일 선형 파일 대신 계층적 디렉터리 트리로 조직화되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  17. 제1항에 있어서,
    상기 저장하는 단계는
    적어도 하나의 컴퓨팅 디바이스에 의해 수행되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  18. 인증서 및 키를 가지는 제품을 생산하기 위한 방법으로서,
    요청 엔티티가 복수의 인증서 및 대응하는 키에 대한 요청을 전송하는 단계로서, 상기 요청은 상기 인증서 및 대응하는 키를 생성하는 인증 엔티티로 전송되는, 단계;
    상기 인증 엔티티로부터 상기 복수의 인증서 및 대응하는 키를 상기 요청 엔티티가 수신하는 단계; 및
    상기 요청 엔티티가 상기 복수의 인증서 및 대응하는 키를 상기 요청 엔티티의 제품 각각에 저장하는 단계;를 포함하며,
    상기 복수의 인증서는 상기 인증서의 단일 시리즈 대신 복수의 조직화된 세트로 상기 인증 엔티티로부터 수신되며,
    상기 인증서 각각은 상기 인증서가 저장된 제품 각각의 인증 및 식별 모두에 사용되는 것을 특징으로 하는
    인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  19. 제18항에 있어서,
    상기 요청 엔티티가 상기 인증 엔티티로 복수의 인증서 및 대응하는 키 각각을 암호화를 위하여 상기 인증 엔티티에 의해 사용되는 제품 암호화 키를 전송하는 단계;를 더 포함하며,
    상기 요청 엔티티에 의하여 수신되는 상기 복수의 인증서 및 대응하는 키는 암호화된 형식에 따르며,
    상기 저장하는 단계는 처음에, 암호화된 형식으로 수신된 복수의 인증서 및 대응하는 키 각각을 역암호화하기 위한 상기 제품 암호화 키를 이용하는 단계를 더 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  20. 제19항에 있어서,
    상기 역암호화는 상기 복수의 인증서 및 대응하는 키를 노출시키며,
    상기 저장하는 단계 후, 상기 요청 엔티티의 제품 각각에 저장된 상기 복수의 인증서 및 대응하는 키를 재암호화하는 단계;를 더 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  21. 제18항에 있어서,
    상기 인증서 각각은
    상기 인증서가 발급된 때를 나타내는 타임스탬프, 발급 시퀀스 넘버 및 생산된 제품의 명칭 중 적어도 하나에 의하여 식별되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  22. 제18항에 있어서,
    상기 요청 엔티티의 신분을 검증하기 위한 상기 정보는
    상기 인증 엔티티에 의하여 요청 엔티티에 미리 제공받은 개인키에 의하여 상기 요청에 대한 사인을 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  23. 제18항에 있어서,
    상기 요청은
    제품 각각의 유일한 제품 식별자를 검증하기 위한 정보가 아닌 상기 요청 엔티티를 신분을 검증하기 위한 상기 인증 엔티티에 의해 사용되는 정보를 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  24. 제23항에 있어서,
    상기 제품 각각의 상기 유일한 제품 식별자는
    상기 제품의 MAC(media access control) 어드레스를 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  25. 제18항에 있어서,
    상기 요청은
    DVD(digital versatile disc) 또는 통신 채널을 통해 상기 인증 엔티티로 전송되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  26. 제25항에 있어서,
    상기 통신 채널은
    인터넷 연결을 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  27. 제18항에 있어서,
    상기 복수의 인증서 및 대응하는 키는 단일 배치(batch)로 상기 인증 엔티티로부터 수신되는 것을 특징으로 하며,
    상기 인증서 및 키를 가지는 제품을 생산하기 위한 방법은
    상기 배치로부터 상기 복수의 인증서 및 대응하는 키를 추출하는 단계;를 더 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  28. 제27항에 있어서,
    상기 배치는
    DVD에 구워져서 전달되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  29. 제27항에 있어서,
    상기 인증 엔티티로 암호화 키를 전송하는 단계로서, 상기 인증 엔티티가 상기 암호화 키로 상기 배치를 암호화 하는, 단계; 및
    상기 인증 엔티티로부터 상기 배치를 수신하는 단계 후, 상기 배치를 상기 암호화 키로 역암호화하는 단계;를 더 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  30. 제18항에 있어서,
    상기 요청 엔티티의 상기 제품은
    착탈 가능한 대용량 스토리지 디바이스를 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  31. 제18항에 있어서,
    상기 요청을 암호화하는 단계;를 더 포함하는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  32. 제18항에 있어서,
    상기 복수의 인증서는
    상기 인증 엔티티로부터 복수의 디렉터리와 다른 것으로 수신되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  33. 제18항에 있어서,
    상기 복수의 인증서는
    단일 선형 파일 대신 계층적 디렉터리 트리로 조직화되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
  34. 제18항에 있어서,
    상기 저장하는 단계는
    적어도 하나의 컴퓨팅 디바이스에 의해 수행되는 것을 특징으로 하는 인증서 및 키를 가지는 제품을 생산하기 위한 방법.
KR1020117021969A 2009-03-20 2010-02-15 인증서 및 키를 가지는 제품을 생산하기 위한 방법 KR20110140122A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/408,308 US20100241852A1 (en) 2009-03-20 2009-03-20 Methods for Producing Products with Certificates and Keys
US12/408,308 2009-03-20

Publications (1)

Publication Number Publication Date
KR20110140122A true KR20110140122A (ko) 2011-12-30

Family

ID=42102419

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117021969A KR20110140122A (ko) 2009-03-20 2010-02-15 인증서 및 키를 가지는 제품을 생산하기 위한 방법

Country Status (7)

Country Link
US (1) US20100241852A1 (ko)
EP (1) EP2409454A1 (ko)
JP (1) JP2012521155A (ko)
KR (1) KR20110140122A (ko)
CN (1) CN102405616A (ko)
TW (1) TW201041352A (ko)
WO (1) WO2010107538A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180065862A (ko) * 2016-12-07 2018-06-18 한국전자통신연구원 자원 제약적 환경에서 기기들 간 인증 지원 장치 및 그 방법
KR20190088048A (ko) * 2016-12-02 2019-07-25 알리바바 그룹 홀딩 리미티드 사물 인터넷 디바이스의 기록 및 검증 방법과 장치, 그리고 아이덴티티 인증 방법 및 장치

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140173280A1 (en) * 2011-10-25 2014-06-19 Hewlett-Packard Development Company, L.P. Device authentication
BR112015005740A2 (pt) * 2012-09-18 2017-07-04 Koninklijke Philips Nv método para controlar o acesso a dados sendo processados por um recurso de computação remoto, meio legível por computador, e sistema para controlar o acesso a dados sendo processados por um recurso de computação remoto
JP2013118616A (ja) * 2012-09-24 2013-06-13 Toshiba Corp メモリ装置
US9893885B1 (en) 2015-03-13 2018-02-13 Amazon Technologies, Inc. Updating cryptographic key pair
US9674162B1 (en) 2015-03-13 2017-06-06 Amazon Technologies, Inc. Updating encrypted cryptographic key pair
US9479340B1 (en) 2015-03-30 2016-10-25 Amazon Technologies, Inc. Controlling use of encryption keys
US10003467B1 (en) 2015-03-30 2018-06-19 Amazon Technologies, Inc. Controlling digital certificate use
CN117196655A (zh) 2016-08-03 2023-12-08 惠普发展公司,有限责任合伙企业 数字签名数据
US9660978B1 (en) 2016-08-08 2017-05-23 ISARA Corporation Using a digital certificate with multiple cryptosystems
US11025408B2 (en) * 2017-09-27 2021-06-01 Cable Television Laboratories, Inc. Provisioning systems and methods
US10439825B1 (en) * 2018-11-13 2019-10-08 INTEGRITY Security Services, Inc. Providing quality of service for certificate management systems
US20230164133A1 (en) * 2021-02-24 2023-05-25 Panasonic Intellectual Property Management Co., Ltd. Information processing system, equipment, and server

Family Cites Families (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6850252B1 (en) * 1999-10-05 2005-02-01 Steven M. Hoffberg Intelligent electronic appliance system and method
SE502424C2 (sv) * 1994-02-17 1995-10-16 Telia Ab Metod och anordning vid certifikathanteringssystem
US7337315B2 (en) * 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
CA2235359C (en) * 1998-03-23 2012-04-10 Certicom Corp. Implicit certificate scheme with ca chaining
JP2000165377A (ja) * 1998-11-30 2000-06-16 Nippon Telegr & Teleph Corp <Ntt> 暗号プロトコル変換装置および方法と暗号プロトコル変換プログラムを記録した記録媒体
US7209889B1 (en) * 1998-12-24 2007-04-24 Henry Whitfield Secure system for the issuance, acquisition, and redemption of certificates in a transaction network
JP2001111539A (ja) * 1999-10-05 2001-04-20 Dainippon Printing Co Ltd 暗号鍵生成装置および暗号鍵伝送方法
US6763459B1 (en) * 2000-01-14 2004-07-13 Hewlett-Packard Company, L.P. Lightweight public key infrastructure employing disposable certificates
US6978364B1 (en) * 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
FR2810139B1 (fr) * 2000-06-08 2002-08-23 Bull Cp8 Procede de securisation de la phase de pre-initialisation d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede
US7215771B1 (en) * 2000-06-30 2007-05-08 Western Digital Ventures, Inc. Secure disk drive comprising a secure drive key and a drive ID for implementing secure communication over a public network
JP2002099211A (ja) * 2000-09-21 2002-04-05 Sony Corp 公開鍵証明書発行要求処理システムおよび公開鍵証明書発行要求処理方法
US20020078347A1 (en) * 2000-12-20 2002-06-20 International Business Machines Corporation Method and system for using with confidence certificates issued from certificate authorities
JP2002207427A (ja) * 2001-01-10 2002-07-26 Sony Corp 公開鍵証明書発行システム、公開鍵証明書発行方法、および情報処理装置、情報記録媒体、並びにプログラム記憶媒体
JP2002207426A (ja) * 2001-01-10 2002-07-26 Sony Corp 公開鍵証明書発行システム、公開鍵証明書発行方法、および電子認証装置、並びにプログラム記憶媒体
ATE359652T1 (de) * 2001-02-06 2007-05-15 Certicom Corp Mobile zertifikatverteilung in einer infrastruktur mit öffentlichem schlüssel
GB2373074B (en) * 2001-03-10 2004-10-13 Ibm A method and apparatus for storage of security keys and certificates
JP2002298088A (ja) * 2001-03-30 2002-10-11 Baltimore Technologies Japan Co Ltd スマートカード発行システム及び方法
US20020147905A1 (en) * 2001-04-05 2002-10-10 Sun Microsystems, Inc. System and method for shortening certificate chains
US7036020B2 (en) * 2001-07-25 2006-04-25 Antique Books, Inc Methods and systems for promoting security in a computer system employing attached storage devices
US7925878B2 (en) * 2001-10-03 2011-04-12 Gemalto Sa System and method for creating a trusted network capable of facilitating secure open network transactions using batch credentials
US7742992B2 (en) * 2002-02-05 2010-06-22 Pace Anti-Piracy Delivery of a secure software license for a software product and a toolset for creating the software product
GB2385955A (en) * 2002-02-28 2003-09-03 Ibm Key certification using certificate chains
NO318842B1 (no) * 2002-03-18 2005-05-09 Telenor Asa Autentisering og tilgangskontroll
US7240194B2 (en) * 2002-03-22 2007-07-03 Microsoft Corporation Systems and methods for distributing trusted certification authorities
KR20040104723A (ko) * 2002-05-09 2004-12-10 마츠시타 덴끼 산교 가부시키가이샤 공개 키 인증서 무효화 리스트 생성 장치, 무효화 판정장치 및 인증 시스템
US7657748B2 (en) * 2002-08-28 2010-02-02 Ntt Docomo, Inc. Certificate-based encryption and public key infrastructure
US6886096B2 (en) * 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
US7318155B2 (en) * 2002-12-06 2008-01-08 International Business Machines Corporation Method and system for configuring highly available online certificate status protocol responders
AU2003900413A0 (en) * 2003-01-31 2003-02-13 Mckeon, Brian Bernard Regulated issuance of digital certificates
US8219801B2 (en) * 2003-03-10 2012-07-10 International Business Machines Corporation Method of authenticating digitally encoded products without private key sharing
US20050160259A1 (en) * 2003-03-31 2005-07-21 Masaaki Ogura Digital certificate management system, apparatus and software program
JP4526809B2 (ja) * 2003-03-31 2010-08-18 株式会社リコー 通信装置の製造方法及び製造システム
JP2005175992A (ja) * 2003-12-12 2005-06-30 Mitsubishi Electric Corp 証明書配布システムおよび証明書配布方法
JP4576210B2 (ja) * 2003-12-16 2010-11-04 株式会社リコー 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体
US9331990B2 (en) * 2003-12-22 2016-05-03 Assa Abloy Ab Trusted and unsupervised digital certificate generation using a security token
AU2004201058B1 (en) * 2004-03-15 2004-09-09 Lockstep Consulting Pty Ltd Means and method of issuing Anonymous Public Key Certificates for indexing electronic record systems
US7853790B2 (en) * 2004-03-19 2010-12-14 Microsoft Corporation Enhancement to volume license keys
US7437551B2 (en) * 2004-04-02 2008-10-14 Microsoft Corporation Public key infrastructure scalability certificate revocation status validation
WO2006000990A2 (en) * 2004-06-25 2006-01-05 Koninklijke Philips Electronics N.V. Anonymous certificates with anonymous certificate show
JP2006067135A (ja) * 2004-08-25 2006-03-09 Fuji Xerox Co Ltd 電子証明書利用装置及び方法並びにシステム
US20060047951A1 (en) * 2004-08-27 2006-03-02 Michael Reilly Continuing public key infrastructure operation while regenerating a new certification authority keypair and certificate
CN100462961C (zh) * 2004-11-09 2009-02-18 国际商业机器公司 组织多个文档的方法以及显示多个文档的设备
US8504849B2 (en) * 2004-12-21 2013-08-06 Sandisk Technologies Inc. Method for versatile content control
US7509489B2 (en) * 2005-03-11 2009-03-24 Microsoft Corporation Format-agnostic system and method for issuing certificates
US7770001B2 (en) * 2005-03-30 2010-08-03 Microsoft Corporation Process and method to distribute software product keys electronically to manufacturing entities
US7493656B2 (en) * 2005-06-02 2009-02-17 Seagate Technology Llc Drive security session manager
US7844816B2 (en) * 2005-06-08 2010-11-30 International Business Machines Corporation Relying party trust anchor based public key technology framework
CN1937496A (zh) * 2005-09-21 2007-03-28 日电(中国)有限公司 可延展伪名证书系统和方法
KR100736091B1 (ko) * 2005-12-09 2007-07-06 삼성전자주식회사 복수의 인증서를 관리하는 장치 및 방법
US20080005562A1 (en) * 2005-12-13 2008-01-03 Microsoft Corporation Public key infrastructure certificate entrustment
CN101005359B (zh) * 2006-01-18 2010-12-08 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
US8140843B2 (en) * 2006-07-07 2012-03-20 Sandisk Technologies Inc. Content control method using certificate chains
EP2038803A2 (en) * 2006-07-07 2009-03-25 Sandisk Corporation Content control system and method using certificate chains
US8527770B2 (en) * 2006-07-20 2013-09-03 Research In Motion Limited System and method for provisioning device certificates
CN101009014A (zh) * 2007-01-24 2007-08-01 华中科技大学 一种安全防伪方法及其系统
JP2008236341A (ja) * 2007-03-20 2008-10-02 Global Sign Kk サーバ証明書発行システム
US8261080B2 (en) * 2007-04-12 2012-09-04 Xerox Corporation System and method for managing digital certificates on a remote device
SE532600C2 (sv) * 2007-06-29 2010-03-02 Oniteo Ab Metod och system för säker provisionering av hårdvara
KR20090030878A (ko) * 2007-09-21 2009-03-25 엘지전자 주식회사 인증 상태 정보 처리 방법 및 방송 수신 장치
US8380981B2 (en) * 2008-05-16 2013-02-19 Objective Interface Systems, Inc. System and method that uses cryptographic certificates to define groups of entities

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190088048A (ko) * 2016-12-02 2019-07-25 알리바바 그룹 홀딩 리미티드 사물 인터넷 디바이스의 기록 및 검증 방법과 장치, 그리고 아이덴티티 인증 방법 및 장치
KR20180065862A (ko) * 2016-12-07 2018-06-18 한국전자통신연구원 자원 제약적 환경에서 기기들 간 인증 지원 장치 및 그 방법

Also Published As

Publication number Publication date
EP2409454A1 (en) 2012-01-25
TW201041352A (en) 2010-11-16
CN102405616A (zh) 2012-04-04
WO2010107538A1 (en) 2010-09-23
US20100241852A1 (en) 2010-09-23
JP2012521155A (ja) 2012-09-10

Similar Documents

Publication Publication Date Title
US12093419B2 (en) Methods and devices for managing user identity authentication data
KR20110140122A (ko) 인증서 및 키를 가지는 제품을 생산하기 위한 방법
EP3590223B1 (fr) Procédé et dispositif pour mémoriser et partager des données intégrés
US9819494B2 (en) Digital signature service system based on hash function and method thereof
CN101212293B (zh) 一种身份认证方法及系统
US20140195804A1 (en) Techniques for secure data exchange
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
US10887110B2 (en) Method for digital signing with multiple devices operating multiparty computation with a split key
JP2011082662A (ja) 通信装置及び情報処理方法及びプログラム
US10439809B2 (en) Method and apparatus for managing application identifier
US20220020020A1 (en) Methods, systems, and devices for managing digital assets
US20170374041A1 (en) Distributed processing of a product on the basis of centrally encrypted stored data
CN110719174B (zh) 基于Ukey的证书签发方法
CN116318784B (zh) 身份认证方法、装置、计算机设备和存储介质
CN116015846A (zh) 身份认证方法、装置、计算机设备和存储介质
CN105812130A (zh) Rfid所有权转移方法
JP2022061275A (ja) ライセンス管理方法、ライセンス管理装置、及びプログラム
JP2016115162A (ja) 認証システム、認証端末装置、登録端末装置、認証方法、及びプログラム
CN112861108B (zh) 一种联盟链数据处理方法及系统
FR3073111A1 (fr) Procede et dispositif pour memoriser et partager des donnees integres
CN105610795A (zh) 一种增加自定义可信任的根证书的方法
CN117997559A (zh) 基于区块链的身份验证方法、装置和计算机设备

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid