JP2020533853A - デジタル証明書を管理するための方法および装置 - Google Patents

デジタル証明書を管理するための方法および装置 Download PDF

Info

Publication number
JP2020533853A
JP2020533853A JP2020513694A JP2020513694A JP2020533853A JP 2020533853 A JP2020533853 A JP 2020533853A JP 2020513694 A JP2020513694 A JP 2020513694A JP 2020513694 A JP2020513694 A JP 2020513694A JP 2020533853 A JP2020533853 A JP 2020533853A
Authority
JP
Japan
Prior art keywords
digital certificate
certificate management
management
request message
issuing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020513694A
Other languages
English (en)
Other versions
JP7292263B2 (ja
Inventor
ユエフイ ワン
ユエフイ ワン
ビアンリン チャン
ビアンリン チャン
マンシア ティエ
マンシア ティエ
シャオロン ライ
シャオロン ライ
チン リー
チン リー
ウェイガン トン
ウェイガン トン
グオチアン チャン
グオチアン チャン
ジーチアン ドゥー
ジーチアン ドゥー
シアン ヤン
シアン ヤン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Publication of JP2020533853A publication Critical patent/JP2020533853A/ja
Application granted granted Critical
Publication of JP7292263B2 publication Critical patent/JP7292263B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本発明はデジタル証明書を管理するための方法および装置を開示する。前記方法は、デジタル証明書を申請するための装置は、デジタル証明書を発行するための装置とセキュリティデータチャネルの確立をネゴシエートするステップと、デジタル証明書を申請するための装置は、デジタル証明書を発行するための装置に、デジタル証明書管理要求メッセージを送信するステップと、デジタル証明書を発行するための装置は、デジタル証明書管理要求メッセージを受信し、デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信するステップと、デジタル証明書を申請するための装置は、デジタル証明書管理検証要求メッセージを受信し、デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信するステップと、デジタル証明書を発行するための装置は、デジタル証明書管理認証応答メッセージを受信し、デジタル証明書を申請するための装置にデジタル証明書管理応答メッセージを送信するステップと、デジタル証明書を申請するための装置は、デジタル証明書管理応答メッセージを受信し、デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを送信するステップとを備える。本発明は、デジタル証明書管理のセキュリティ性を効果的に改善する。【選択図】図3

Description

関連出願の相互参照
本出願は、2017年9月7日に中国特許局に提出し、出願番号が201710802333.Xであり、発明の名称が「デジタル証明書を管理するための方法および装置」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
本発明は、ネットワークセキュリティ技術分野に関し、特にデジタル証明書を管理するための方法および装置に関する。
ネットワークセキュリティ技術の開発に伴い、ネットワーク情報伝送の機密性と完全性をどのように保証するかを研究するための重要な問題となっている。デジタル認証は、ネットワーク通信エンティティのIDを認証する方法であり、デジタル認証テクノロジーを使用して、データの暗号化、IDの認証などを行うことができる。通常、デジタル認証発行装置によってデジタル認証申請装置に発行されるデジタル認証は、デジタル認証アプリケーション装置のIDを認識するために使用できる。
従来技術では、デジタルローカル資格情報の自動申請のための方法があり、これは、無線ローカルエリアネットワーク(WLAN)内でのデジタル証明書の申請、更新および発行に適用される。この方法では、デジタル証明書を申請するための装置は、WLANを介してデジタル証明書を発行するための装置にメッセージを送信することにより、サポートされるデジタル証明書生成方法をデジタル証明書を発行するための装置に通知して、デジタル証明書を発行するための装置が新しいデジタル証明書を生成するようにすることができる。この方法では、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置の間で送信されるメッセージはプレインテキストで送信され、2つの装置はメッセージの完全性をチェックして、メッセージが改ざんされていないことを確認する。この方法では、データの信頼性と機密性を効果的に保護せずに、データの完全性のみを保証できる。特に、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置が他のネットワークフォームを介してデータをやり取りする場合、メッセージはプレインテキストで送信されるため、この方法にはセキュリティが低いという欠点がある。
本発明は、デジタル証明書を管理するための方法および装置を提供し、データ送信用の安全なチャネルは、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置の間に確立され、2つの装置間で送信されるメッセージは暗号化されて送信されるため、デジタル証明書管理のセキュリティが効果的に向上する。
これに鑑みて、本発明に係る技術的解決策は、以下の技術的解決策を提供する:
第1の態様では、本発明に係るデジタル証明書を管理するための方法は、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーは少なくともデータ通信キーを含むステップと、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理応答メッセージを送信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を申請するための装置は、前記デジタル証明書管理応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を発行するための装置は、前記デジタル証明書管理確認メッセージを受信して処理するステップとを備える。
第2の態様では、本発明に係るデジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成するように構成されたセキュリティデータチャネル確立ユニットであって、前記セキュリティキーはデータ通信キーを含む前記セキュリティデータチャネル確立ユニットと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に前記デジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される送信ユニットと、前記データ通信キーを使用して、前記証明書管理要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化するように構成された暗号化ユニットと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理検証要求メッセージを受信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信するように構成された受信ユニットであって、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される前記受信ユニットと、受信された前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、また、受信された前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成するように構成された処理ユニットとを備える。
第3の態様では、本発明に係るデジタル証明書の申請に用いられる装置は、メモリと、1つまたは複数のプログラムとを備え、前記1つまたは複数のプログラムは、メモリに格納され、以下のように1つまたは複数のプロセッサによって実行される命令を含む:取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーは少なくともデータ通信キーを含み、デジタル証明書管理要求メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理検証要求メッセージを受信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に前記デジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
第4の態様では、本発明に係るデジタル証明書を発行するための装置、前記装置は、認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成するように構成されたセキュリティデータチャネル確立ユニットであって、前記セキュリティキーは少なくともデータ通信キーを含む前記セキュリティデータチャネル確立ユニットと、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化され、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される受信ユニットと、受信された前記デジタル証明書管理要求メッセージを処理してデジタル証明書管理検証要求メッセージを生成し、また、受信された前記デジタル証明書管理認証応答メッセージを処理してデジタル証明書管理応答メッセージを生成し、受信された前記デジタル証明書管理確認メッセージを処理するように構成された処理ユニットと、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化するように構成された暗号化ユニットと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される送信ユニットとを備える。
第5の態様では、本発明に係るデジタル証明書の発行に用いられる装置は、メモリと、1つまたは複数のプログラムとを備え、前記1つまたは複数のプログラムは、メモリに格納され、以下のように1つまたは複数のプロセッサによって実行される命令を含む:認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーはデータ通信キーを含み、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理要求メッセージを処理し、デジタル証明書管理検証要求メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理認証応答メッセージを処理し、デジタル証明書管理応答メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージを処理し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
本発明で提供されるデジタル証明書を管理するための方法および装置のうち、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置間のメッセージインタラクションプロセスにおいて、生成されたデータ通信キーを使用してメッセージを暗号化することにより、データ伝送のセキュリティ性を効果的に改善し、デジタル証明書の自動申請、照会、更新、リスト取得の失効・撤回などの、複数の異なるタイプのシーンに適用できる。一方、デジタル証明書を発行するための装置は、公開キーと秘密キーが関係する認証を使用して、デジタル証明書を申請するための装置が「その公開キーに対応する秘密キー」を持っているかどうかを確認し、デジタル証明書を申請するための装置の秘密キーが置き換えられたかどうか、間違っているかどうかなどをチェックすることができるようになる。デジタル証明書を発行するための装置は、正しい公開キーと正しい秘密キーを持つデジタル証明書を申請するための装置とのみメッセージをやり取りすることができ、デジタル証明書を申請するための装置のプライバシーデータの漏洩を回避し、デジタル証明書管理プロセスのセキュリティをさらに確保する。
本発明に係る実施例や従来の技術的解決策をより明確に説明するために、以下に実施例を説明するために必要な図面をについて簡単に紹介する。無論、以下の説明における図面は本発明に係る実施例の一部であり、当業者は、創造性作業を行わないことを前提として、これらの図面に基づいて他の図面を得ることができる。
本発明の実施形態において適用され得る概略的な適用場面である。 本発明の一実施形態によって提供されるデジタル証明書を管理するための方法のフローチャートである。 本発明の別の実施形態によって提供されるデジタル証明書を管理するための方法のフローチャートである。 本発明の別の実施形態によって提供されるデジタル証明書を管理するための方法のフローチャートである。 本発明の実施形態によって提供されるセキュリティデータチャネルネゴシエートおよび確立の概略図である。 本発明の一実施形態によって提供されるデジタル証明書自動申請、照会、更新、および発行のための方法におけるメッセージの内容の概略図である。 1つの例示的な実施形態に従って示されたデジタル証明書を申請するための装置のブロック図である。 別の例示的な実施形態に従って示されたデジタル証明書の申請に用いられる装置のブロック図である。 1つの例示的な実施形態に従って示されたデジタル証明書を発行するための装置のブロック図である。 別の例示的な実施形態に従って示されたデジタル証明書の発行に用いられる装置のブロック図である。
本発明の実施形態にかかるデジタル証明書を管理するための方法および装置において、データ送信用の安全なチャネルは、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置の間に確立され、2つの装置間で送信されるメッセージは暗号化されて送信されるため、デジタル証明書管理のセキュリティが効果的に向上する。
本発明に係る実施例の目的、技術案及びメリットをより明確にするため、以下、本発明に係る実施例の図面を参考にしながら、本発明に係る実施例の技術案を明確かつ完全に説明する。説明した実施例は本発明の一部の実施例にすぎず、全部の実施例ではないのが明らかである。本発明の実施例に基づき、当業者は、創造性作業を行わない限りに得られた他の実施例は、全部本発明の保護範囲に属する。
図1を参照すると、図1は、本発明の実施形態における例示的な適用シーンである。本発明の実施形態で提供される方法および装置は、図1に示されるようにシーンに適用されてもよく、デジタル証明書を申請するための装置およびデジタル証明書を発行するための装置はネットワークを介して接続されてもよい。前記接続は任意の形態の有線および/または無線接続(WLAN、LAN、セルラー、同軸ケーブルなど)であり得る。例として図1で説明したように、デジタル証明書を申請するための装置には、現在存在し、研究開発されている、または将来研究開発されるスマートフォン、非スマートフォン、タブレットPC、ラップトップPC、デスクトップPC、小型コンピュータ、中型コンピュータ、大型コンピュータなどが含まれるが、これらに限定されない。デジタル証明書を申請するための装置は、それぞれ適応型ネットワーク形式を介して、デジタル証明書を発行するための装置(認証センターのCAサーバーなど)への証明書のダウンロードと更新を申請できる。本発明の実施形態は、無線操作ネットワーク、航空、交通、電力、放送およびラジオ、金融、医療、教育、工業および商業などの複数の産業に適用できることに留意する必要がある。もちろん、上記のアプリケーションシーンは、本発明の理解を容易にするために単に示されており、本発明の実施形態は、この態様において全く制限されなく、任意の適切なシーンに適用され得る。
図2〜図6を参照しながら、本発明の例示的な実施形態に示されるデジタル証明書を管理するための方法を説明する。
図2は、本発明の一実施形態によって提供されるデジタル証明書を管理するための方法のフローチャートである。図2に示すように、この方法には以下のステップが含まれる。
ステップS201において、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成する。前記セキュリティキーはデータ通信キーを含む。
特定の実施において、デジタル証明書申請者は、デジタル証明書をダウンロードするための認証コードをデジタル証明書発行者に要求することができる。例えば、デジタル証明書申請者はデジタル証明書を申請するための装置であってもよく、例えばデジタル証明書発行者はデジタル証明書を発行するための装置であってもよい。本発明は、認証コードを要求する特定の方法を制限しない。例えば、デジタル証明書申請者は、ショートメッセージ、電子メール、専用の要求などの方法で、デジタル証明書発行者に認証コードを要求する場合がある。デジタル証明書発行者は、特定の方法で認証コードをデジタル証明書申請者に送信できる。例えば、デジタル証明書発行者は、ショートメッセージ、電子メール、専用メッセージなどの方法でデジタル証明書申請者に認証コードを送信してもよい。一般に、認証コードはデジタル証明書発行者自身によって生成される。認証コードは、デジタル証明書の申請者が認証コードを要求したときにリアルタイムで生成される場合があり、使用のために事前に生成される場合もある。形式上で、認証コードは、特定の長さの要件を備えたアルファベットおよび/または数字および/または記号などの組み合わせであり得る。認証コードには特定の使用期間もある。使用期間を超えた場合、認証コードは無効になる。使用プロセスでは、デジタル証明書発行者によって異なるデジタル証明書申請者に割り当てられる認証コードは異なる。
特定の実施において、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートすることができる。前記セキュリティデータチャネルはキュリティデータの伝送に用いられる。セキュリティデータチャネルを確立するプロセスで、デジタル証明書を申請するための装置は、認証コードを使用してセキュリティキーを生成することができる。前記セキュリティキーは、1つ以上のキーを含むことができ、前記1つ以上のキーはデータ通信キーを含む。前記セキュリティキーは、データセッションキーをさらに含み得る。前記データ通信キー安全なデータチャネルで前記デジタル証明書を申請するための装置と前記デジタル証明書を発行するための装置の間で送信されるメッセージを暗号化するように構成される。セキュリティキーは、デジタル証明書を申請するための装置側とデジタル証明書を発行するための装置側の両方で生成されるため、メッセージの暗号化と復号化が容易になることに留意する必要がある。前記データセッションキーは、証明書要求データまたは証明書応答データを暗号化するように構成できる。前記証明書要求データは、具体的にデジタル証明書管理要求メッセージに含まれるデータである。前記証明書応答データは、具体的にデジタル証明書管理応答メッセージに含まれるデータである。
ステップS202において、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信する。前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化される。
本発明では、デジタル証明書管理要求メッセージは暗号化によって処理される。特に、ステップS201で生成されたデータ通信キーを使用して暗号化される。したがってメッセージの送信セキュリティを効果的に改善する。前記デジタル証明書管理要求メッセージに含まれるデータは、1次暗号化のために処理されるか、2次暗号化のために処理される場合があることに留意する必要がある。たとえば、前記デジタル証明書管理要求メッセージがセキュリティデータチャネルで送信される場合、前記データ通信キーを使用して、暗号化された後にのみデジタル証明書を発行するための装置に送信できる。別の例では、前記デジタル証明書管理要求メッセージが送信される前に、セキュリティキーのうちの1組のキー、たとえば、データセッションキーを使用して、デジタル証明書管理要求メッセージに含まれる証明書要求データをすでに暗号化し、そして、セキュリティデータチャネルで送信されると、メッセージは2次暗号化のために処理される。セキュリティを考慮する場合、2回暗号化に使用されるセキュリティキー(すなわち、データ通信キーとデータセッションキー)は異なる。デジタル証明書要求装置とデジタル証明書を発行するための装置は、暗号化回数、暗号化アルゴリズム、および暗号化に使用されるキーのタイプ(データ通信キーとデータセッションキー)について事前に合意してもよい。
ステップS203において、デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、デジタル証明書を申請するための装置に、デジタル証明書管理応答メッセージを送信する。前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
具体的に、デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信した後、まず、生成されたセキュリティキーを使用して前記デジタル証明書管理要求メッセージを復号化し、また、デジタル証明書管理要求メッセージに含まれるデータに基づいて処理し、デジタル証明書管理応答メッセージを生成してデジタル証明書を申請するための装置にデジタル証明書管理応答メッセージ送信する。
同様に、本発明では、デジタル証明書管理応答メッセージは暗号化によって処理される。特に、ステップS201で生成されたデータ通信キーを使用して暗号化される。したがってメッセージの送信セキュリティを効果的に改善する。前記デジタル証明書管理応答メッセージも1次暗号化のために処理されるか、2次暗号化のために処理される場合があることに留意する必要がある。たとえば、ステップS202で前記デジタル証明書管理要求メッセージが送信される前に、セキュリティキーのうちの1組のキー、たとえば、データセッションキーをすでに使用して、デジタル証明書管理要求メッセージに含まれるデータを暗号化処理され、セキュリティデータチャネルで伝送の際にデータ通信キーをさらに使用して2番目に暗号化される。同様に、前記デジタル証明書管理応答メッセージも前記データセッションキーおよび前記データ通信キーを使用して2回暗号化されることができる。デジタル証明書要求装置とデジタル証明書を発行するための装置は、暗号化回数、暗号化アルゴリズム、および暗号化に使用されるキーのタイプ(すなわち、データ通信キーとデータセッションキー)について事前に合意する場合がある。
ステップS204において、デジタル証明書を申請するための装置は、前記デジタル証明書管理応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
特に、デジタル証明書アプリケーション装置は、前記デジタル証明書管理応答メッセージを処理して処理結果を取得し、デジタル証明書管理確認メッセージを生成する。
特定の実施において、本発明は、上記の情報インタラクションを実現して、デジタル証明書の自動申請、照会、更新、発行を実施できれば、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置との間のインタラクションに採用されるメッセージおよびインタラクション方法を制限せず、全部本発明の保護範囲に属する。いくつかの実施形態では、前記デジタル証明書管理要求メッセージは、デジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書失効情報およびデジタル証明書撤回リスト情報などのタイプを含むことができる。前記デジタル証明書管理応答メッセージはデジタル証明書応答情報を含む。
特定の実施では、デジタル証明書アプリケーション装置は、デジタル証明書管理応答メッセージを復号化およびチェックしてメッセージ内容を取得し、ニーズに応じて、デジタル証明書などをインストールおよび更新するため、使用するデジタル証明書を決定する。
本発明の特定の実施において、デジタル証明書管理要求メッセージには証明書要求データが含まれ、前記デジタル証明書管理応答メッセージには証明書応答データが含まれることが理解され得る。証明書要求データおよび/または証明書応答データを暗号化するかどうかに応じて、以下のような複数の実施形態が含まれてもよい。
(1)証明書要求データおよび証明書応答データはプレインテキストである。デジタル証明書管理要求メッセージおよびデジタル証明書管理応答メッセージは、セキュリティチャネルのデータ通信キーによって暗号化され、1次暗号化が完了する。
このとき、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理要求メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される。前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理応答メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される。
(2)セキュリティキーがデータセッションキーをさらに含む場合、データセッションキーは初回の暗号化のための証明書要求データを処理するために使用されるが、証明書応答データは暗号化されず、プレインテキストとして機能する。データ通信キーは、デジタル証明書管理要求メッセージを2番目に暗号化するために使用され、データ通信キーは、主にデジタル証明書管理応答メッセージを初回に暗号化するために使用される。
このとき、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理要求メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される前、前記デジタル証明書管理要求メッセージに含まれる証明書要求データは、前記データセッションキーによって暗号化される。
このとき、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理応答メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される。
(3)前記セキュリティキーがデータセッションキーをさらに含む場合、証明書要求データはデータセッションキーを使用して初回に暗号化され、証明書応答データもデータセッションキーを使用して初回に暗号化される。ここで、証明書応答データと証明書要求データに使用されるセッションキーは暗号化方式に対応する。デジタル証明書管理要求メッセージおよびデジタル証明書管理応答メッセージそれぞれは、データ通信キーを使用して2番目に暗号化される。
このとき、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理要求メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される前、前記デジタル証明書管理要求メッセージに含まれる証明書要求データは、前記データセッションキーによって暗号化される。
このとき、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理応答メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される前、前記デジタル証明書管理応答メッセージに含まれる証明書応答データは、前記データセッションキーによって暗号化される。
特定の実施において、デジタル証明書管理確認メッセージは暗号化によって処理される。特に、ステップS201で生成されたデータ通信キーを使用して暗号化される。したがってメッセージの送信セキュリティを効果的に改善する。
ステップS205において、デジタル証明書を発行するための装置は、前記デジタル証明書管理確認メッセージを受信して処理する。
本発明の実施形態では、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置間のメッセージインタラクションプロセスで、生成されたセキュリティキーを使用してメッセージを暗号化することにより、データ伝送のセキュリティ性を効果的に改善し、さまざまな種類のシーンの、デジタル証明書自動申請、照会、更新、失効および撤回などに適応できる。
本発明では、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置との間でのメッセージのインタラクションプロセスにおいて、メッセージが送信された後の特定の時間内に応答メッセージが受信されない場合、メッセージは再び送信される。
別の実施形態では、デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージに含まれるデジタル証明書が暗号化またはキー交換を実行するように構成される場合、デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属するかどうかを判断する必要がある。デジタル証明書を発行するための装置とデジタル証明書を申請するための装置間で、デジタル証明書管理検証要求メッセージおよびデジタル証明書管理認証応答メッセージをインタラクションする必要がある。具体的に、図3を参照すると、図3は、本発明の一実施形態によって提供されるデジタル証明書を管理するための方法のフローチャートである。実施形態では、図3に示されるように、ステップS302の後、前記方法はさらに以下のステップを含むことができる。
ステップS303において、デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信する。前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化される。
具体的に、前記デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを復号化し、前記デジタル証明書管理要求メッセージに含まれるデータに従って処理を実行してから、デジタル証明書管理検証要求メッセージを生成する。
前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含む。
ステップS304で、デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化される。
前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化される。
ステップS305において、デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理応答メッセージを送信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書が暗号化機能を実行するように構成される場合(すなわち、秘密キーは復号交換を定義する)、このとき、ステップS303での、デジタル証明書を発行するための装置は、デジタル証明書管理検証要求メッセージを生成するには、具体的には以下を含む。
ステップS3031において、前記デジタル証明書を発行するための装置は、1つの認証値を生成し、前記認証値は、前記デジタル証明書を申請するための装置の公開キーによって暗号かされて、前記認証値暗号文が生成され、前記認証値が計算されて前記コントラスト値が生成され、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージが生成される。
ステップS304は特に以下を含む。
ステップS3041において、前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得する。前記デジタル証明書を申請するための装置の秘密キーを使用して、前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が受信された前記コントラスト値と一致するかどうかを判断する。一致する場合、前記デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断すると、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、セキュリティデータチャネルを通じて、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信する。
ステップS305は具体的には:
ステップS3051において、前記デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得する。前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断する。一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成し、セキュリティデータチャネルを通じて、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する。
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書がキー交換機能を実行するように構成される場合(すなわち、公開キーおよび秘密キーはキー交換を定義する)、ステップS303において、デジタル証明書を発行するための装置は、デジタル証明書管理検証要求メッセージを生成することは、具体的には以下を含む。
ステップS3032において、前記デジタル証明書を発行するための装置が前記デジタル証明書を申請するための装置とキーを交換した後、共有キーを生成する。前記デジタル証明書を発行するための装置は、1つの認証値を生成し、前記認証値が前記共有キーによって暗号化されて前記認証値暗号文が生成され、前記認証値が計算されて前記コントラスト値が生成され、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージが生成される。
当該実施形態では、デジタル証明書を申請するための装置およびデジタル証明書を発行するための装置のキー交換方式について制限しないことに留意する必要がある。デジタル証明書を申請するための装置の公開キーと秘密キーの両方がキー交換に参加する。
ステップS304は具体的には:
ステップS3042において、前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置が前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が受信されたコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信する。
ステップS305は具体的には:
ステップS3052において、前記デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得し、前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断する。一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成し、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する。
本実施形態では、ステップS301〜S302は、ステップS201〜S202を参照して実行され、ステップS306〜S307は、ステップS204〜S205を参照して実行され、繰り返して説明しない。
当該実施形態において、認証値は、乱数または他の数であってもよい。認証値を計算してコントラスト値を生成する方法は制限されておらず、ハッシュまたは巡回冗長検査(CRC)などである。
当業者が特定のシーンで本発明の実施形態をより明確に理解することを容易にするために、本発明の実施形態を説明するために以下で特定の例を挙げる。当該特定の例は、単に当業者が本発明をより明確に理解するためのものであり、本発明の実施形態は特定の例に限定されないことに留意する必要がある。
図4を参照すると、図4は、本発明の別の実施形態によって提供されるデジタル証明書を管理するための方法のフローチャートである。図4に示すように、この方法には以下のステップが含まれる。
ステップS401で、デジタル証明書を申請するための装置は認証コードを取得する。
特定の実施において、デジタル証明書を申請するための装置は、デジタル証明書を発行するための装置に対して、デジタル証明書の認証コードをダウンロードするよう要求し、前記デジタル証明書を発行するための装置によって送信された認証コードを取得する。
ステップS402において、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成する。
特定の実施において、デジタル証明書発行中の情報伝送のセキュリティを確保するため、デジタル証明書を申請するための装置は、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートすることができる。デジタル証明書を申請するための装置は、認証コードを使用して、セキュリティデータチャネルデータ伝送のためのセキュリティキーを生成する。
本発明は、セキュリティチャネルの確立を制限せず、認証コードを使用してデータ伝送のための共有セキュリティキーを生成できればよい。特定の実施において、以下のようにセキュリティデータチャネルを生成する。
ステップS402Aにおいて、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、セキュリティデータチャネルの確立をネゴシエートする。
ステップS402Bにおいて、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、認証コード、ネゴシエーションプロセスで得られた乱数およびID情報を使用して、セキュリティチャネルのセキュリティキーを生成する。
前記セキュリティキーはデータ通信キーを含むことができ、データセッションキーも含むことができる。前記データ通信キーは、前記データ証明書を申請するための装置とデジタル証明書を発行するための装置の間でセキュリティデータチャネルを使用してメッセージをインタラクションする際に、メッセージを暗号化して送信するように構成される。前記データセッションキーは、メッセージが送信される前に、メッセージに含まれる証明書要求データおよび/または証明書応答データを暗号化するように構成される。
ステップS402Cにおいて、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、完全性チェックコードによってセキュリティチャネル確認メッセージを認証する。
具体的には、セキュリティデータチャネルネゴシエートのネゴシエーションおよび確立に関する図4の概略図を参照することができる。前記デジタル証明書を申請するための装置とデジタル証明書を発行するための装置がセキュリティデータチャネルの確立をネゴシエーションすることは、具体的に、デジタル証明書を申請するための装置は、デジタル証明書を発行するための装置に第1の乱数、第1のID情報を送信し、前記デジタル証明書を発行するための装置によって送信された第2の乱数、第2のID情報を受信する。前記第1の乱数は、デジタル証明書を申請するための装置によってランダムに生成される。前記第1のID情報は具体的にはデジタル証明書を申請するための装置のID識別子であり、たとえば、IPアドレス、MACアドレス、電子メールアドレス、フルドメイン文字列または国際モバイル加入者ID(IMSI)などである。前記第2の乱数はデジタル証明書を発行するための装置によってランダムに生成される。前記第2のID情報は具体的にはデジタル証明書を発行するための装置のID識別子、たとえば、IPアドレス、MACアドレス、電子メールアドレス、フルドメイン文字列または国際モバイル加入者ID(IMSI)などである。デジタル証明書を申請するための装置とデジタル証明書を発行するための装置の間の乱数、ID情報のインタラクションプロセスは、デジタル証明書を申請するための装置によって最初に開始されるか、デジタル証明書を発行するための装置によって最初に開始される場合もある。本発明は、特定のインタラクションを制限しない。
いくつかの実施形態では、前記デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、認証コード、ネゴシエーションプロセスで得られた乱数およびID情報を使用してセキュリティチャネルのセキュリティキーを生成し、具体的には、前記デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。デジタル証明書を申請するための装置側とデジタル証明書を発行するための装置側の両方で生成されるセキュリティキーは同じであることに留意する必要がある。前記セキュリティキーは、1つまたは複数組のキーを含めることができる。たとえば、セキュリティキーは、データ伝送のためのデータ通信キーを含む場合があり、完全性チェックのための完全性チェックキーを含む場合があり、暗号化証明書要求データおよび/または証明書応答データのためのデータセッションキーを含む場合がある。
いくつかの実施形態では、前記セキュリティキーは、完全性チェックキーをさらに含む。前記デジタル証明書を申請するための装置とデジタル証明書を発行するための装置が完全性チェックコードによってセキュリティチャネルのキーを確認することは、具体的に、前記デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、乱数、前記完全性チェックキーを使用して完全性チェックコードを生成し、前記完全性チェックコードでセキュリティチャネル確認メッセージを認証する。
ステップS403において、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信する。
特定の実施において、デジタル証明書を申請するための装置は、セキュリティデータチャネルを介して機密に保たれた後、デジタル証明書を発行するための装置に証明書管理要求メッセージを送信する。デジタル証明書を申請するための装置に、デジタル証明書を発行するための装置によって発行されたデジタル証明書がない場合、証明書管理要求メッセージに申請する必要の新しい証明書に含まれる証明書情報が含まれる。デジタル証明書を申請するための装置に、デジタル証明書を発行するための装置によって発行されたデジタル証明書がある場合、デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージに、既存のデジタル証明書の情報が含まれる。当該、既存のデジタル証明書の情報は、デジタル証明書を発行するための装置が証明書の照会および更新する際に用いられる。
いくつかの実施形態では、前記デジタル証明書管理要求メッセージは、デジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書失効情報およびデジタル証明書撤回リスト情報などを含むことができる。特定の実施において、デジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書失効情報またはデジタル証明書撤回リスト情報は、表1に示される情報を採用できるが、表1に示す形式に限定されない。
Figure 2020533853
例を挙げて説明する。デジタル証明書管理要求メッセージの情報のタイプの値が2である場合、前記情報は、具体的には、新しいデジタル証明書を申請するために使用される証明書申請情報である。デジタル証明書管理要求メッセージの情報のタイプの値が4の場合、前記情報は、既存のデジタル証明書の照会または更新に使用される証明書取得情報である。デジタル証明書管理要求メッセージの情報のタイプの値が5の場合、前記情報既存のデジタル証明書を無効にするために使用される証明書失効情報である。デジタル証明書管理要求メッセージの情報のタイプの値が6の場合、前記情報は具体的には、証明書撤回リストを要求するために使用される証明書撤回リスト情報である。
特定の実施において、証明書申請情報のフィールドフォーマットは、表2に示される情報を採用できるが、表2に示す形式に限定されない。
Figure 2020533853
特定の実施において、証明書取得情報のフィールドフォーマットは、表3に示される情報を採用できるが、表3に示す形式に限定されない。
Figure 2020533853
特定の実施において、証明書失効情報のフィールドフォーマットは、表4に示される情報を採用できるが、表4に示す形式に限定されない。
Figure 2020533853
特定の実施において、証明書撤回リスト情報のフィールドフォーマットは、表5に示される情報を採用できるが、表5に示す形式に限定されない。
Figure 2020533853
本発明は、証明書申請情報に含まれる証明書要求データを制限しない。
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれる証明書要求データは、証明書要求情報、署名アルゴリズム識別子および署名値を含む。
ここで、証明書要求情報は、バージョン、保有者名、保有者公開キー情報、および拡張子を含むことができる。これらの情報要素は簡潔であり、証明書を発行する基本的な要件を満たすことができる。署名値は、デジタル証明書を申請するための装置が公開キーと秘密キーのペアをローカルで生成した後、署名アルゴリズム識別子に対応する署名アルゴリズムを使用して、秘密キーで前記証明書要求情報を計算した後に得られる値である。デジタル証明書を発行するための装置は、証明書要求情報内の保有者公開キー情報を使用して署名をチェックして、公開キーと秘密キーがデジタル証明書を申請するための装置に所属するかどうかを判断する。署名アルゴリズム識別子および署名値により、公開キーと秘密キーが当該エンティティに所属するかどうかを認証することができる。
いくつかの他の実施形態では、前記証明書要求データ内の前記証明書要求情報は、より統合された情報、すなわちシリアル番号、発行者名、および検証期間も含むことができる。これらの情報は、証明書発行機能を拡張する場合がある。たとえば、デジタル証明書の申請者は、証明書の特定の情報などを制限するよう要求する。この場合、前記証明書要求データは暗号化されてもよい。具体的に、前記証明書要求データは、デジタル証明書を申請するための装置がセキュリティデータチャネルが確立された後、生成されたデータセッションキーを使用して証明書要求情報、署名アルゴリズム識別子および署名値を暗号化して得られたデータである。さらに、上記の実施形態に基づいて、デジタル証明書を申請するための装置および/またはデジタル証明書を発行するための装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書要求データは、暗号化アルゴリズム識別子をさらに含み得る。これに対応して、前記証明書要求データは、具体的に、暗号化アルゴリズム識別子を含み、また、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズム、および前記データセッションキーを使用して前記証明書要求情報、前記署名アルゴリズム識別子および前記署名値を暗号化を暗号化した後に取得されたデータを含む。このような証明書要求データの構造要素は、より統合され、より広い機能を持つ。公開キーと秘密キーの所属エンティティを認証するとともに、証明書要求データに対して機密保護が実行される。一方、セキュリティデータチャネルが有する場合、このような証明書要求データ構造を採用することは、証明書要求データの機密保護を2回実現し、それによってデータ伝送のセキュリティをさらに改善する。
ステップS404において、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書検証要求メッセージを受信する。
前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化される。
特定の実施において、デジタル証明書を発行するための装置が公開キーと秘密キーがデジタル証明書を申請するための装置に所属するかどうかを判断しようとすれば、デジタル証明書を発行するための装置は、セキュリティデータチャネルを介して機密に保たれた後、デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信する。前記デジタル証明書管理検証要求メッセージには、証明書検証要求情報が含まれる。前記証明書検証要求情報は、デジタル証明書を申請するための装置の公開キーと秘密キーの所属を認証するように構成される。デジタル証明書管理検証要求メッセージは、表6に示される情報を採用できるが、表6に示す形式に限定されない。
Figure 2020533853
証明書検証要求情報のフィールドフォーマットは、表7に示される情報を採用できるが、表7に示す形式に限定されない。
Figure 2020533853
いくつかの実施形態では、前記デジタル証明書管理検証要求メッセージに含まれる証明書検証要求情報は、アルゴリズム識別子、一時公開キーなどをさらに含む。
特定の実施において、デジタル証明書を発行するための装置は、デジタル証明書の使用に従って、公開キーと秘密キーの所属認証を必要とするかどうかを判断する。デジタル証明書が暗号化またはキー交換を実行するように構成されている場合、デジタル証明書を発行するための装置は、公開キーと秘密キーの所属認証を実行する。具体的に、デジタル証明書を発行するための装置は、1つの認証値を生成し、認証値を計算してコントラスト値を生成する。証明書のさまざまな使用法に応じて、認証値を暗号化するためにさまざまなキーが使用される。証明書が暗号化するように構成されている場合、デジタル証明書を申請するための装置の公開キーを使用して認証値を暗号化し、認証値暗号文を生成する。証明書がキー交換を実行するように構成されている場合、デジタル証明書を発行するための装置とデジタル証明書を申請するための装置がキー交換を実行した後に共有キーが生成され、当該共有キーを使用して認証値を暗号化して認証値暗号文を生成する。デジタル証明書を発行するための装置は、前記コントラスト値および前記認証値暗号文をデジタル証明書管理検証要求メッセージに含ませる。
ステップS405において、デジタル証明書を申請するための装置は、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化される。
特定の実施において、前記デジタル証明書を申請するための装置は、受信された前記デジタル証明書管理検証要求メッセージを処理して、デジタル証明書管理認証応答メッセージを生成する。
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書が、デジタル証明書管理検証要求メッセージを受信した後、暗号化機能を実行するように構成される(すなわち、秘密キーが復号化交換を定義する)場合、前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置の秘密キーを使用して、前記認証値暗号文を復号化して認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が受信された前記コントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成する。
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書がキー交換機能(すなわち、公開キーおよび秘密キーがキー交換を定義する)を実行するように構成される場合、前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置が前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が受信されたコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成する。
特定の実施において、デジタル証明書を申請するための装置は、セキュリティデータチャネルを介して機密に保たれた後、デジタル証明書を発行するための装置に証明書管理認証応答メッセージを送信する。デジタル証明書管理認証応答メッセージは証明書認証応答情報を含む。デジタル証明書管理認証応答メッセージは、表8に示される情報を採用できるが、表8に示す形式に限定されない。
Figure 2020533853
証明書認証応答情報のフィールドフォーマットは、表9に示される情報を採用できるが、表9に示す形式に限定されない。
Figure 2020533853
ステップS406において、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信する。
前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
さらに、デジタル証明書アプリケーション装置は、ニーズに従って使用するためのデジタル証明書を決定する。
特定の実施において、デジタル証明書を発行するための装置は、セキュリティデータチャネルを介して機密に保たれた後、デジタル証明書を申請するための装置に証明書管理応答メッセージを送信する。デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置が新しい証明書を申請する必要があると決定する場合、デジタル証明書管理応答メッセージには、デジタル証明書を発行するための装置がデジタル証明書申請情報に含まれる証明書要求データに基づいて生成された新しい証明書が含まれる。デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置が既存のデジタル証明書を照会または更新する必要があると決定する場合、デジタル証明書管理応答メッセージには、照会または更新されたデジタル証明書が含まれる。
特定の実施形態では、デジタル証明書を発行するための装置は、デジタル証明書管理要求メッセージ内の情報のタイプに従って判断および処理を行う。デジタル証明書申請情報が受信されると、保護を申請する証明書の情報が存在すると判断された場合、証明書要求データに従って新しいデジタル証明書が発行される。情報を取得する証明書に含まれる既存のデジタル証明書の情報が存在する場合、既存のデジタル証明書は、発行装置名とシリアル番号に従って照会される。証明書失効情報に含まれる発行装置名とシリアル番号が存在する場合、既存のデジタル証明書は、発行装置名とシリアル番号に従って無効される。また、証明書撤回リストが存在する場合、発行装置名に従って証明書撤回リストが照会される。デジタル証明書を発行するための装置は、上記の証明書をデジタル証明書管理応答メッセージに含ませる。デジタル証明書管理応答メッセージは、表10に示される情報を採用できるが、表10に示す形式に限定されない。
Figure 2020533853
証明書応答情報フォーマットは、表11に示される情報を採用できるが、表11に示す形式に限定されない。
Figure 2020533853
ここで、証明書生成タイプは、表12に示すように、異なる証明書保有者に対応する証明書タイプをリストすることができる。
Figure 2020533853
ここで、AS証明書は認証サーバ証明書であり、CA証明書は認証センター証明書である。
特定の実施において、デジタル証明書管理応答メッセージは暗号化によって処理される。具体的に、セキュリティチャネルを持つ場合、生成されたデータ通信キーは暗号化に使用されるため、メッセージの送信セキュリティが向上する。前記デジタル証明書管理応答メッセージは1次暗号化のために処理され、2次暗号化のために処理される場合があることに留意する必要がある。たとえば、前記デジタル証明書管理要求メッセージが送信される前に、セキュリティキーのうちの1組のキー、たとえば、データセッションキーをすでに使用して、デジタル証明書管理要求メッセージに含まれる証明書要求データを暗号化をした場合、セキュリティデータチャネルで伝送の際にデータ通信キーをさらに使用して2番目の暗号化処理される。同様に、前記デジタル証明書管理応答メッセージは、前記データセッションキーと前記データ通信キーのペアに含まれる証明書応答データそれぞれを使用して、2番目に暗号化される。さらに、デジタル証明書を申請するための装置および/またはデジタル証明書を発行するための装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書応答データはさらに暗号化アルゴリズム識別子を含み得る。同様に、前記証明書応答データは、具体的に暗号化アルゴリズム識別子を含み、また、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズム、および前記データセッションキーを使用して前記証明書応答データを暗号化して得られたデータを含む。
ステップS407において、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して、デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを送信する。前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
本発明の実施形態において、安全で信頼できるデータ伝送チャネルは、上記のS401およびS402メッセージを通じて確立され、デジタル証明書の自動申請、照会および更新は、上記のS403、S406およびS407でのメッセージをインタラクションすることにより実現される。エンティティの公開キーと秘密キーの所属認証は、デジタル証明書管理がより効果的になるように、S404およびS405のデジタル証明書検証要求メッセージとデジタル証明書管理認証応答メッセージの間のインタラクションによって実現される。図6は、デジタル証明書自動申請、照会、更新、発行の方法におけるメッセージの内容の概略図である。図6に示すように、デジタル証明書管理要求メッセージは、具体的にデジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書失効情報およびデジタル証明書撤回リスト情報などを含むことができる。前記デジタル証明書管理応答メッセージは、デジタル証明書応答情報などを含むことができる。デジタル証明書管理確認メッセージは、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置との間の接続を解除するように構成されてもよい。デジタル証明書管理検証要求メッセージは、デジタル証明書検証要求情報などを含むことができる。デジタル証明書管理認証応答メッセージは、デジタル証明書認証応答情報などを含むことができる。
本発明で提供されるデジタル証明書を管理するための方法は、デジタル証明書アプリケーション装置側から上で説明されている。本発明で提供される方法は、デジタル証明書を発行するための装置側にも適用でき、その処理は、図2および図3に示す例に対応して実行できることを当業者は理解することができる。例えば、証明書発行装置側に適用される上記の方法は、デジタル証明書を発行するための装置認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーはデータ通信キーを含むステップと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化されるステップと、前記デジタル証明書管理要求メッセージを処理し、デジタル証明書管理検証要求メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化されるステップと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化されるステップと、前記デジタル証明書管理認証応答メッセージを処理し、デジタル証明書管理応答メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化されるステップと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージを処理し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化されるステップとを備える。
いくつかの実施形態では、前記デジタル証明書を発行するための装置認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成することは、具体的に、前記デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置と、セキュリティデータチャネルについてネゴシエートし、前記デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置と、認証コードおよびネゴシエーションプロセスで得られた乱数、ID情報を使用して、セキュリティチャネルのセキュリティキーを生成し、前記デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置と、完全性チェックコードによって、セキュリティチャネル確認メッセージを認証する。
いくつかの実施形態では、前記デジタル証明書を発行するための装置が、デジタル証明書を申請するための装置と、セキュリティデータチャネルについてネゴシエートすることは、前記デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置に第2の乱数、第2のID情報を送信し、および、前記デジタル証明書を申請するための装置によって送信された第1の乱数、第1のID情報を受信する。
いくつかの実施形態では、前記デジタル証明書を発行するための装置が、デジタル証明書を申請するための装置と、認証コードおよびネゴシエーションプロセスで得られた乱数、ID情報を使用して、セキュリティチャネルのセキュリティキーを生成することは、具体的に、前記デジタル証明書を発行するための装置は、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。
具体的なの実施は、図2から6に記載された方法を参照することにより実現することができる。
図7は、本発明の一実施形態により提供されるデジタル証明書を申請するための装置の概略図である。
デジタル証明書を申請するための装置700は、セキュリティデータチャネル確立ユニット701と、送信ユニット702と、暗号化ユニット703と、受信ユニット704と、処理ユニット705とを備える。
前記セキュリティデータチャネル確立ユニット701は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成するように構成される。前記セキュリティキーはデータ通信キーを含む。
前記送信ユニット702は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に前記デジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
前記暗号化ユニット703は、前記データ通信キーを使用して、前記証明書管理要求メッセージを暗号化し、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化する。
前記受信ユニット704は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理検証要求メッセージを受信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
前記処理ユニット705は、受信された前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、また、受信された前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成する。
いくつかの実施形態では、前記暗号化ユニット703は具体的に、前記セキュリティデータチャネルのデータ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化する。
いくつかの実施形態では、前記受信ユニット704は、受信された前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含む。
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書が暗号化機能を実行するように構成されている場合、前記処理ユニット705は具体的に、
前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置の秘密キーを使用して、前記認証値暗号文を復号化して認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が受信された前記コントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成する。
前記デジタル証明書管理認証応答メッセージは証明書認証応答情報を含む。
いくつかの実施形態では、前記証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書がキー交換機能を実行するように構成された場合、前記処理ユニット705は具体的に、
前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置が前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が受信されたコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成する。
いくつかの実施形態では、前記送信ユニット702によって送信された前記デジタル証明書管理要求メッセージに含まれる証明書要求データは、証明書要求情報、署名アルゴリズム識別子および署名値を含む。前記証明書要求情報は、バージョン、保有者名、保有者公開キー情報および拡張子を含む。前記暗号化ユニット703は具体的に、前記セキュリティデータチャネルのデータ通信キーを使用して、前記デジタル証明書管理要求メッセージを暗号化する。
いくつかの実施形態では、前記暗号化ユニット703はさらに、前記セキュリティキーがデータセッションキーをさらに含む場合、前記デジタル証明書管理要求メッセージが、前記セキュリティデータチャネルのデータ通信キーによって暗号化される前、前記データセッションキーを使用して、前記デジタル証明書管理要求メッセージに含まれる証明書要求データを暗号化する。
前記証明書要求情報は、シリアル番号、発行者名および検証期間をさらに含む。
さらに、前記デジタル証明書を申請するための装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニット702によって送信される前記証明書要求データは、暗号化アルゴリズム識別子をさらに含み、具体的には、暗号化アルゴリズム識別子を含み、また、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムおよび前記データセッションキーを使用して前記証明書要求情報、前記署名アルゴリズム識別子および前記署名値を暗号化して得られたデータを含む。これに対応して、前記暗号化ユニット703は具体的に、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムおよび前記データセッションキーを使用して、前記証明書要求情報、前記署名アルゴリズム識別子および前記署名値を暗号化する。
いくつかの実施形態では、前記送信ユニット702は、第1の送信ユニット、および/または第2の送信ユニット、および/または、第3の送信ユニット、および/または、第4の送信ユニットを含む。
前記第1の送信ユニットは、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書申請情報を送信し、前記デジタル証明書申請情報は、新しい証明書の申請に用いられる。前記デジタル証明書申請情報包括証明書生成方法および証明書要求データを含む。
前記第2の送信ユニットは、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書取得情報を送信し、既存のデジタル証明書を照会または更新するようにする。前記デジタル証明書取得情報は、発行装置名およびシリアル番号フィールドを含む。
前記第3の送信ユニットは、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書失効情報を送信し、既存のデジタル証明書を無効させようと申請するようにする。前記デジタル証明書失効情報は、発行装置名、シリアル番号および失効原因フィールドを含む。
前記第4の送信ユニットは、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書撤回リスト情報を送信し、デジタル証明書撤回リストを要求するようにする。前記デジタル証明書撤回リスト情報は発行装置名フィールドを含む。
いくつかの実施形態では、前記セキュリティデータチャネル確立ユニット701は、デジタル証明書を発行するための装置とセキュリティデータチャネルネゴシエートの確立をネゴシエートするように構成されたネゴシエーションユニットと、デジタル証明書を発行するための装置と、認証コード、ネゴシエーションプロセスで得られた乱数、およびID情報を使用して、セキュリティチャネルのセキュリティキーを生成するように構成されたキー生成ユニットと、デジタル証明書を発行するための装置と、完全性チェックコードによってセキュリティチャネル確認メッセージを認証するように構成されたキー確認ユニットとを備える。
いくつかの実施形態では、前記ネゴシエーションユニットは具体的に、デジタル証明書を発行するための装置に第1の乱数、第1のID情報を送信し、および前記デジタル証明書を発行するための装置によって送信された第2の乱数、第2のID情報を受信する。前記キー生成ユニットは具体的に、前記デジタル証明書を申請するための装置およびデジタル証明書を発行するための装置によって、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。
いくつかの実施形態では、前記キー生成ユニットによって生成されたセキュリティキーは完全性チェックキーをさらに含む。前記キー確認ユニットは具体的に、前記デジタル証明書を申請するための装置およびデジタル証明書を発行するための装置によって、乱数、前記完全性チェックキーを使用して完全性チェックコードを生成し、前記完全性チェックコードを使用してセキュリティチャネル確認メッセージを認証する。
本発明の装置のための各ユニットまたはモジュールの設定は、図2から図6に示されるような方法を参照することによって実現することができる。ここでは繰り返して説明しない。デジタル証明書管理装置は別個の装置であり、デジタル証明書を発行するための装置と統合することもでき、またデジタル証明書を発行するための装置の一部として存在することもあるが、ここでは制限しない。
図8は、本発明の別の実施形態によって提供されるデジタル証明書の申請に用いられる装置のブロック図である。当該装置は、少なくとも1つのプロセッサ801(たとえば、CPU)と、メモリ802と、これらの装置間の接続通信を実現するように構成された少なくとも1つの通信バス803とを備える。プロセッサ801は、コンピュータプログラムなど、メモリ802に格納された実行可能モジュールを実行するように構成される。メモリ802は、ランダムアクセスメモリ(RAM:Random Access Memory)を含み、さらに少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non−volatile memory)を含む可能性が高い。1つまたは複数のプログラムは、メモリに格納され、1つ以上のプロセッサ801により、1つ以上のプログラムに含まれる以下の動作を行うための命令を実行するように構成される:取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーは少なくともデータ通信キーを含み、デジタル証明書管理要求メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理検証要求メッセージを受信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に前記デジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書申請情報を送信し、前記デジタル証明書申請情報は、新しい証明書の申請に用いられる。前記デジタル証明書申請情報は、証明書生成方法および証明書要求データを含む。
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書取得情報を送信し、既存のデジタル証明書を照会または更新するようにする。前記デジタル証明書取得情報は、発行装置名およびシリアル番号フィールドを含む。
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書失効情報を送信し、既存のデジタル証明書を無効させようと申請するようにする。前記デジタル証明書失効情報は、発行装置名、シリアル番号および失効原因フィールドを含む。
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書撤回リスト情報を送信し、デジタル証明書撤回リストを要求するようにする。前記デジタル証明書撤回リスト情報は発行装置名フィールドを含む。
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、デジタル証明書を発行するための装置と、認証コード、ネゴシエーションプロセスで得られた乱数、およびID情報を使用して、セキュリティチャネルのセキュリティキーを生成し、デジタル証明書を発行するための装置と、完全性チェックコードによってセキュリティチャネル確認メッセージを認証する。
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、デジタル証明書を発行するための装置に第1の乱数、第1のID情報を送信し、および前記デジタル証明書を発行するための装置によって送信された第2の乱数、第2のID情報を受信する。デジタル証明書を発行するための装置と、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、デジタル証明書を発行するための装置を、乱数、前記完全性チェックキーを使用して完全性チェックコードを生成し、前記完全性チェックコードを使用してセキュリティチャネル確認メッセージを認証する。
図9を参照すると、図9は、本発明の一実施形態によって提供されるデジタル証明書を発行するための装置の概略図である。
デジタル証明書を発行するための装置900は、セキュリティデータチャネル確立ユニット901と、受信ユニット902と、処理ユニット903と、暗号化ユニット904と、送信ユニット905とを備える。
前記セキュリティデータチャネル確立ユニット901は、認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成する。前記セキュリティキーはデータ通信キーを含む。
前記受信ユニット902は、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
前記処理ユニット903は、受信された前記デジタル証明書管理要求メッセージを処理してデジタル証明書管理検証要求メッセージを生成し、また、受信された前記デジタル証明書管理認証応答メッセージを処理してデジタル証明書管理応答メッセージを生成し、また、受信された前記デジタル証明書管理確認メッセージを処理する。
前記暗号化ユニット904は、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化する。
前記送信ユニット905は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
いくつかの実施形態では、前記送信ユニット905によって送信された前記デジタル証明書管理応答メッセージに証明書応答データが含まれる。前記暗号化ユニット904は具体的に、前記セキュリティデータチャネルのデータ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化し、前記受信ユニット902二よって受信された前記デジタル証明書管理要求メッセージに含まれる証明書要求データは、証明書要求情報、署名アルゴリズム識別子および署名値を含む。前記証明書要求情報は、バージョン、保有者名、保有者公開キー情報および拡張子を含む。
いくつかの実施形態では、前記暗号化ユニット904はさらに、前記セキュリティキーがデータセッションキーをさらに含む場合、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャネルのデータ通信キーによって暗号化される前、前記データセッションキーを使用して、前記デジタル証明書管理応答メッセージに含まれる証明書応答データを暗号化する。前記証明書要求情報は、シリアル番号、発行者名および検証期間をさらに含む。
いくつかの実施形態では、前記デジタル証明書を発行するための装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニット905によって送信された前記証明書応答データは、暗号化アルゴリズム識別子をさらに含み、具体的には、暗号化アルゴリズム識別子を含み、また、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズム、および前記データセッションキーを使用して、前記証明書応答データを暗号化して得られたデータを含む。これに対応して、前記暗号化ユニット904は具体的に、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズム、および前記データセッションキーを使用して、前記証明書応答データを暗号化する。
いくつかの実施形態では、前記セキュリティデータチャネル確立ユニット901は、デジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートするように構成されたネゴシエーションユニットと、デジタル証明書を申請するための装置と、認証コード、ネゴシエーションプロセスで得られた乱数、ID情報を使用してセキュリティチャネルのセキュリティキーを生成するように構成されたキー生成ユニットと、デジタル証明書を申請するための装置と、完全性チェックコードによってセキュリティチャネル確認メッセージを認証するように構成されたキー確認ユニットとを備える。
いくつかの実施形態では、前記ネゴシエーションユニットは具体的に、デジタル証明書を申請するための装置に第2の乱数、第2のID情報を送信し、および、前記デジタル証明書を申請するための装置によって送信された第1の乱数、第1のID情報を受信する。前記キー生成ユニットは具体的に、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。
いくつかの実施形態では、前記キー生成ユニットによって生成されたセキュリティキーは完全性チェックキーをさらに含む。前記キー確認ユニットは具体的に、デジタル証明書を申請するための装置と、乱数、前記完全性チェックキーを使用して、完全性チェックコードを生成し、前記完全性チェックコードを使用してセキュリティチャネル確認メッセージを認証する。
図10を参照すると、図10は、本発明の別の実施形態によって提供されるデジタル証明書の発行に用いられる装置のブロック図である。前記装置は、少なくとも1つのプロセッサ1001(たとえば、CPU)と、メモリ1002と、これらの装置間の接続通信を実現するように構成された少なくとも1つの通信バス1003とを備える。プロセッサ1001は、コンピュータプログラムなど、メモリ1002に格納された実行可能モジュールを実行するように構成される。メモリ1002は、ランダムアクセスメモリ(RAM:Random Access Memory)を含む可能性が高く、少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non−volatile memory)をさらに含む可能性が高い。1つまたは複数のプログラムは、メモリに格納され、1つまたは複数のプロセッサ1001によって、1つまたは複数のプログラムに含まれる以下の動作を行う命令を実行するように構成される:認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーはデータ通信キーを含む。前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理要求メッセージを処理し、デジタル証明書管理検証要求メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化される。前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化される。前記デジタル証明書管理認証応答メッセージを処理し、デジタル証明書管理応答メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージを処理し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
いくつかの実施形態では、プロセッサ1001は、1つ以上のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、デジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、デジタル証明書を申請するための装置と、認証コード、ネゴシエーションプロセスで得られた乱数、ID情報を使用して、セキュリティチャネルのセキュリティキーを生成し、デジタル証明書を申請するための装置と、完全性チェックコードによって、セキュリティチャネル確認メッセージを認証する。
いくつかの実施形態では、プロセッサ1001は、1つ以上のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、デジタル証明書を申請するための装置に第2の乱数、第2のID情報を送信し、および、前記デジタル証明書を申請するための装置によって送信された第1の乱数、第1のID情報を受信する。
いくつかの実施形態では、プロセッサ1001は、1つ以上のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。
当業者は、前述の方法および装置が対応する関係にあることを理解するであろう。
本明細書を検討し、本明細書の開示を実施した後、当業者が本発明の他の実施形態を考えることは容易である。本発明は、本発明の一般的な原則に準拠し、技術分野で一般的に知られている技術的手段または従来技術で開示されていない技術的手段を含む、本発明のあらゆる変形、使用または適応的変更を網羅することを目的とする。本発明の仕様および実施形態は単に例示と見なされる。本発明の真の範囲および精神は、添付の特許請求の範囲によって特定される。
本発明は、上で説明され、添付の図面に示された正確な構造に限定されず、本発明の範囲から逸脱することなく様々な修正および変更を行うことができることを理解されたい。本発明の範囲は、添付の特許請求の範囲によってのみ定義される。
本発明の好ましい実施形態は、本発明を限定するために使用されることなく、上記で説明されている。本発明の精神および原理内で行われた修正、同等物、改良などは、本発明の保護範囲に含まれるべきである。
文脈において、必ずしもそのような実際の関係の存在を要求または暗示することなく、第1、第2などの関係用語が単に1つのエンティティまたは操作を別のエンティティまたは操作から区別するために使用されることまたはこれらのエンティティまたはオペレーション間の順序に留意する必要がある。また、本発明の後記の請求の範囲に限定された本発明の思想及び範囲を逸脱しない限り、修正または取り換え及び変換をすることができる。また、本発明の専門用語「含む」、「備える」または他の変形は、排他性がない「含む」を包括して、一連の要素を含む過程、方法、ものまたは装置が、それらの要素だけではなく、明確に例挙げされていない他の要素も含むか、または、このような過程、方法、ものまたは装置に固有される要素も含む。更なる制限がない場合、「1つの…を含む」のような限定された要素は、前記要素を含む過程、方法、ものまたは装置には、さらに他の同じ要素の存在を制限しない。
本発明は、プログラムモジュールなどのコンピュータによって実行されるコンピュータ実行可能命令の一般的な文脈で説明することができる。一般に、プログラムモジュールには、特定のタスクを実行したり、特定の抽象データ型を実施したりするルーチン、プログラム、オブジェクト、コンポーネント、データ構造などが含まれる。本発明は、通信ネットワークを介して接続されたリモート処理装置を通じてタスクが実行される分散コンピューティング環境で実施することもできる。分散コンピューティング環境では、プログラムモジュールをストレージ装置内のローカルおよびリモートのコンピュータストレージメディアに配置できる。
本明細書の様々な実施形態は漸進的に説明されており、様々な実施形態間の同一または類似の部分は互いに言及している場合がある。各実施形態は、他の実施形態との違いを説明することに焦点を合わせている。特に、装置の実施形態については、方法の実施形態と実質的に類似しているため、簡単に説明する。関連する点については、方法の実施形態の指示の一部を参照されたい。上記の装置の実施形態は単なる例示であり、分離コンポーネントとして説明されるユニットは物理的に分離することもできないこともでき、ユニットとして表示されるコンポーネントは物理ユニットとすることもできないこともできる。1つの場所に配置するか、複数のネットワークユニットに分散することもできる。実施形態の解決策の目的は、実際の要件に従ってモジュールの一部またはすべてを選択することにより実現できる。創造的な努力を払わない場合、当業者は解決策を理解し、実施することができる。上述したことは、本発明の特定の実施形態にすぎない。当業者にとって、本発明の原理から逸脱することなくという前提の下で、複数の改良および変形をさらに行うことができることに留意されたい。これらの改善および変形も、本発明の保護範囲において考慮されるべきである。

Claims (23)

  1. デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーは少なくともデータ通信キーを含むステップと、
    デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、
    デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化されるステップと、
    デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化されるステップと、
    デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理応答メッセージを送信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化されるステップと、
    デジタル証明書を申請するための装置は、前記デジタル証明書管理応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化されるステップと、
    デジタル証明書を発行するための装置は、前記デジタル証明書管理確認メッセージを受信して処理するステップとを備えることを特徴とするデジタル証明書を管理するための方法。
  2. 前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化される場合、
    前記デジタル証明書管理検証要求メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化され、
    前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化される場合、
    前記デジタル証明書管理認証応答メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化されることを特徴とする請求項1に記載のデジタル証明書を管理するための方法。
  3. 前記デジタル証明書を発行するための装置が、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信する場合、
    前記デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを復号化し、前記デジタル証明書管理要求メッセージに含まれるデータに従って処理を実行してから、デジタル証明書管理検証要求メッセージを生成し、
    前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含むことを特徴とする請求項1または請求項2に記載のデジタル証明書を管理するための方法。
  4. 前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書が暗号化機能を実行するように構成されている場合、前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを生成する場合は、
    前記デジタル証明書を発行するための装置は、1つの認証値を生成し、前記認証値は、前記デジタル証明書を申請するための装置の公開キーによって暗号かされて、前記認証値暗号文が生成され、前記認証値が計算されて前記コントラスト値が生成され、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージが生成されることを特徴とする請求項3に記載のデジタル証明書を管理するための方法。
  5. 前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信する場合、
    前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置の秘密キーを使用して、前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が受信された前記コントラスト値と一致するかどうかを判断し、一致する場合、前記デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断すると、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、セキュリティデータチャネルを通じて、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信することを特徴とする請求項4に記載のデジタル証明書を管理するための方法。
  6. 前記デジタル証明書を発行するための装置が、前記デジタル証明書管理認証応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理応答メッセージを送信する場合、
    前記デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得し、前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断し、一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成し、セキュリティデータチャネルを通じて、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信することを特徴とする請求項5に記載のデジタル証明書を管理するための方法。
  7. 前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書がキー交換機能を実行するように構成されているとき、前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを生成する場合、
    前記デジタル証明書を発行するための装置が前記デジタル証明書を申請するための装置とキーを交換した後、共有キーを生成し、前記デジタル証明書を発行するための装置は、1つの認証値を生成し、前記認証値が前記共有キーによって暗号化されて前記認証値暗号文が生成され、前記認証値が計算されて前記コントラスト値が生成され、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージが生成されることを特徴とする請求項3に記載のデジタル証明書を管理するための方法。
  8. 前記デジタル証明書を申請するための装置が、前記デジタル証明書管理検証要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信する場合、
    前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置が前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が受信されたコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、
    前記デジタル証明書管理認証応答メッセージは証明書認証応答情報を含むことを特徴とする請求項7に記載のデジタル証明書を管理するための方法。
  9. 前記デジタル証明書を発行するための装置が、前記デジタル証明書管理認証応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理応答メッセージを送信する場合、
    前記デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得し、前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断し、一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成し、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信することを特徴とする請求項8に記載のデジタル証明書を管理するための方法。
  10. 取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成するように構成されたセキュリティデータチャネル確立ユニットであって、前記セキュリティキーはデータ通信キーを含む前記セキュリティデータチャネル確立ユニットと、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に前記デジタル証明書管理確認メッセージを送信するように構成された送信ユニットであって、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される前記送信ユニットと、
    前記データ通信キーを使用して、前記証明書管理要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化するように構成された暗号化ユニットと、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理検証要求メッセージを受信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信するように構成された受信ユニットであって、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される前記受信ユニットと、
    受信された前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、また、受信された前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成するように構成された処理ユニットとを備えることを特徴とするデジタル証明書を申請するための装置。
  11. 前記暗号化ユニットは、
    前記セキュリティデータチャネルのデータ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化することを特徴とする請求項10に記載のデジタル証明書を申請するための装置。
  12. 前記受信ユニットによって受信された前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含むことを特徴とする請求項10または請求項11に記載のデジタル証明書を申請するための装置。
  13. 前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書が暗号化機能を実行するように構成されている場合、前記処理ユニットは、
    前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置の秘密キーを使用して、前記認証値暗号文を復号化して認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が受信された前記コントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、
    前記デジタル証明書管理認証応答メッセージは証明書認証応答情報を含むことを特徴とする請求項12に記載のデジタル証明書を申請するための装置。
  14. 前記証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書がキー交換機能を実行するように構成された場合、前記処理ユニットは、
    前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置が前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が受信されたコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成することを特徴とする請求項12に記載のデジタル証明書を申請するための装置。
  15. メモリと、1つまたは複数のプログラムとを備え、前記1つまたは複数のプログラムは、メモリに格納され、以下のように1つまたは複数のプロセッサによって実行される命令を含む:
    取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーは少なくともデータ通信キーを含み、
    デジタル証明書管理要求メッセージを生成し、
    前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを暗号化し、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理検証要求メッセージを受信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、
    前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、
    前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化され、
    前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成し、
    前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化し、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に前記デジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化されることを特徴とするデジタル証明書の申請に用いられる装置。
  16. 認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成するように構成されたセキュリティデータチャネル確立ユニットであって、前記セキュリティキーは少なくともデータ通信キーを含む前記セキュリティデータチャネル確立ユニットと、
    前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される用に構成された受信ユニットと、
    受信された前記デジタル証明書管理要求メッセージを処理してデジタル証明書管理検証要求メッセージを生成し、また、受信された前記デジタル証明書管理認証応答メッセージを処理してデジタル証明書管理応答メッセージを生成し、受信された前記デジタル証明書管理確認メッセージを処理するように構成された処理ユニットと、
    前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化するように構成された暗号化ユニットと、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化されるように構成された送信ユニットとを備えることを特徴とするデジタル証明書を発行するための装置。
  17. 前記暗号化ユニットは、
    前記セキュリティデータチャネルのデータ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化することを特徴とする請求項16に記載のデジタル証明書を発行するための装置。
  18. 前記処理ユニットは、
    前記デジタル証明書管理要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを復号化し、前記デジタル証明書管理要求メッセージに含まれるデータに従って処理を実行してから、デジタル証明書管理検証要求メッセージを生成し、
    前記送信ユニットによって送信された前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含むことを特徴とする請求項16または請求項17に記載のデジタル証明書を発行するための装置。
  19. 前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書が暗号化機能を実行するように構成されている場合、前記処理ユニットはさらに、
    1つの認証値を生成し、前記認証値は、前記デジタル証明書を申請するための装置の公開キーによって暗号かされて、前記認証値暗号文が生成され、前記認証値が計算されて前記コントラスト値が生成され、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージが生成されることを特徴とする請求項18に記載のデジタル証明書を発行するための装置。
  20. 前記処理ユニットはさらに、
    前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得し、前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断し、一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーがデジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成することを特徴とする請求項19に記載のデジタル証明書を発行するための装置。
  21. 前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書がキー交換機能を実行するように構成されている場合、前記処理ユニットは、
    前記デジタル証明書を申請するための装置とキーを交換して共有キーを生成し、1つの認証値を生成し、前記認証値が前記共有キーによって暗号化されて前記認証値暗号文が生成され、前記認証値が計算されて前記コントラスト値が生成され、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージが生成されることを特徴とする請求項18に記載のデジタル証明書を発行するための装置。
  22. 前記処理ユニットはさらに、
    前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得し、前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断し、一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成することを特徴とする請求項21に記載のデジタル証明書を発行するための装置。
  23. メモリと、1つまたは複数のプログラムとを備え、前記1つまたは複数のプログラムは、メモリに格納され、以下のように1つまたは複数のプロセッサによって実行される命令を含む:
    認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーはデータ通信キーを含み、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、
    前記デジタル証明書管理要求メッセージを処理し、デジタル証明書管理検証要求メッセージを生成し、
    前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、
    前記デジタル証明書管理認証応答メッセージを処理し、デジタル証明書管理応答メッセージを生成し、
    前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化し、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化され、
    前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージを処理し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化されることを特徴とするデジタル証明書の発行に用いられる装置。
JP2020513694A 2017-09-07 2018-09-07 デジタル証明書を管理するための方法および装置 Active JP7292263B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201710802333.XA CN109474432B (zh) 2017-09-07 2017-09-07 数字证书管理方法及设备
CN201710802333.X 2017-09-07
PCT/CN2018/104647 WO2019047927A1 (zh) 2017-09-07 2018-09-07 数字证书管理方法及设备

Publications (2)

Publication Number Publication Date
JP2020533853A true JP2020533853A (ja) 2020-11-19
JP7292263B2 JP7292263B2 (ja) 2023-06-16

Family

ID=65633517

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020513694A Active JP7292263B2 (ja) 2017-09-07 2018-09-07 デジタル証明書を管理するための方法および装置

Country Status (6)

Country Link
US (1) US11323433B2 (ja)
EP (1) EP3681101B1 (ja)
JP (1) JP7292263B2 (ja)
KR (1) KR102325725B1 (ja)
CN (1) CN109474432B (ja)
WO (1) WO2019047927A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768664B (zh) * 2018-06-06 2020-11-03 腾讯科技(深圳)有限公司 密钥管理方法、装置、***、存储介质和计算机设备
US11671264B1 (en) * 2020-09-18 2023-06-06 Amazon Technologies, Inc. Validating certificate information before signing
CN112738122B (zh) * 2021-01-04 2023-02-21 北京全路通信信号研究设计院集团有限公司 一种轨道交通领域复杂场景下的在线密钥管理***及方法
CN113079006B (zh) * 2021-03-29 2021-11-30 上海纬百科技有限公司 针对密钥的信息处理方法、电子设备及存储介质
CN113301523B (zh) * 2021-04-14 2022-09-16 江铃汽车股份有限公司 一种v2x车载终端数字证书的申请、更新方法及***
CN113779512A (zh) * 2021-09-15 2021-12-10 上海步科自动化股份有限公司 基于加密进行授权管理的方法、装置、终端及存储介质
CN114189337A (zh) * 2021-11-18 2022-03-15 山东云海国创云计算装备产业创新中心有限公司 一种固件烧录方法、装置、设备以及存储介质
WO2024063800A1 (en) * 2022-09-21 2024-03-28 Tbcasoft, Inc. Verification of digital credentials and digital signatures

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005160005A (ja) * 2003-11-04 2005-06-16 Ntt Communications Kk 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム
JP2007329731A (ja) * 2006-06-08 2007-12-20 Hitachi Ltd 証明書更新方法、システム及びプログラム
JP2008098990A (ja) * 2006-10-12 2008-04-24 Kddi Corp アドレス管理システム、アドレス管理方法およびプログラム
WO2009001855A1 (ja) * 2007-06-27 2008-12-31 Globalsign K.K. サーバ証明書発行システム
US20100257358A1 (en) * 2009-04-07 2010-10-07 Garret Grajek Identity-based certificate management

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020165912A1 (en) * 2001-02-25 2002-11-07 Storymail, Inc. Secure certificate and system and method for issuing and using same
JP4626033B2 (ja) 2000-08-31 2011-02-02 ソニー株式会社 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体
US9331990B2 (en) * 2003-12-22 2016-05-03 Assa Abloy Ab Trusted and unsupervised digital certificate generation using a security token
KR100853182B1 (ko) * 2006-09-29 2008-08-20 한국전자통신연구원 다중 도메인에서 대칭키 기반 인증 방법 및 장치
CN101547095B (zh) * 2009-02-11 2011-05-18 广州杰赛科技股份有限公司 基于数字证书的应用服务管理***及管理方法
MX2012011105A (es) 2010-04-01 2012-11-29 Nokia Siemens Networks Oy Autoridad de certificado.
US8868913B1 (en) * 2011-09-29 2014-10-21 Juniper Networks, Inc. Automatically authenticating a host key via a dynamically generated certificate using an embedded cryptographic processor
CN103186719B (zh) 2011-12-27 2016-10-12 方正国际软件(北京)有限公司 一种面向移动终端的数字版权保护方法及***
US9106635B2 (en) * 2012-03-01 2015-08-11 Certicom Corp. System and method for connecting client devices to a network
CN103856477B (zh) * 2012-12-06 2018-01-02 阿里巴巴集团控股有限公司 一种可信计算***及相应的认证方法和设备
CN104579662B (zh) 2013-10-21 2018-11-13 航天信息股份有限公司 基于wpki和时间戳的移动终端身份认证方法和***
CN105812136A (zh) * 2014-12-30 2016-07-27 北京握奇智能科技有限公司 一种更新方法及***、安全认证设备
CN104683359B (zh) * 2015-03-27 2017-11-21 成都三零瑞通移动通信有限公司 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法
US11153297B2 (en) * 2016-12-06 2021-10-19 Vmware, Inc. Systems and methods to facilitate certificate and trust management across a distributed environment

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005160005A (ja) * 2003-11-04 2005-06-16 Ntt Communications Kk 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム
JP2007329731A (ja) * 2006-06-08 2007-12-20 Hitachi Ltd 証明書更新方法、システム及びプログラム
JP2008098990A (ja) * 2006-10-12 2008-04-24 Kddi Corp アドレス管理システム、アドレス管理方法およびプログラム
WO2009001855A1 (ja) * 2007-06-27 2008-12-31 Globalsign K.K. サーバ証明書発行システム
US20100257358A1 (en) * 2009-04-07 2010-10-07 Garret Grajek Identity-based certificate management

Also Published As

Publication number Publication date
EP3681101A4 (en) 2020-08-05
WO2019047927A1 (zh) 2019-03-14
EP3681101A1 (en) 2020-07-15
CN109474432B (zh) 2021-11-02
US11323433B2 (en) 2022-05-03
US20200328902A1 (en) 2020-10-15
CN109474432A (zh) 2019-03-15
EP3681101B1 (en) 2021-03-24
JP7292263B2 (ja) 2023-06-16
KR20200044117A (ko) 2020-04-28
KR102325725B1 (ko) 2021-11-11

Similar Documents

Publication Publication Date Title
JP7014806B2 (ja) デジタル証明書管理方法及び装置
JP7292263B2 (ja) デジタル証明書を管理するための方法および装置
US20160269176A1 (en) Key Configuration Method, System, and Apparatus
WO2019041802A1 (zh) 基于服务化架构的发现方法及装置
CN101772024B (zh) 一种用户身份确定方法及装置和***
KR20180095873A (ko) 무선 네트워크 접속 방법 및 장치, 및 저장 매체
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及***
TW201926943A (zh) 資料傳輸方法及系統
EP2088530A2 (en) Method for joining user domain and method for exchanging information in user domain
JP5992535B2 (ja) 無線idプロビジョニングを実行するための装置及び方法
CN110493272B (zh) 使用多重密钥的通信方法和通信***
WO2007028328A1 (fr) Procede, systeme et dispositif de negociation a propos d'une cle de chiffrement partagee par equipement utilisateur et equipement externe
CN110635901A (zh) 用于物联网设备的本地蓝牙动态认证方法和***
WO2017069155A1 (ja) 通信装置、通信方法、およびコンピュータプログラム
CN104243452A (zh) 一种云计算访问控制方法及***
CN109995723B (zh) 一种域名解析***dns信息交互的方法、装置及***
CN113163399A (zh) 一种终端与服务器的通信方法和装置
CN114553426B (zh) 签名验证方法、密钥管理平台、安全终端及电子设备
JP2005086428A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP2007074745A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP2007043750A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
WO2020037958A1 (zh) 基于gba的客户端注册和密钥共享方法、装置及***
JP2019033549A (ja) 通信装置、通信方法、およびコンピュータプログラム
Zhang et al. A novel end-to-end authentication protocol for satellite mobile communication networks
JP2017108238A (ja) 通信装置および通信方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200415

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200415

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210421

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210608

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210907

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220617

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20220617

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20220622

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20220713

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20220719

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20220805

C211 Notice of termination of reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C211

Effective date: 20220809

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20221004

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20221011

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20221108

C13 Notice of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: C13

Effective date: 20221206

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20230110

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230306

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20230308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230309

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20230404

C23 Notice of termination of proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C23

Effective date: 20230411

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230606

R150 Certificate of patent or registration of utility model

Ref document number: 7292263

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150