用於產生包含證書和密鑰的產品的方法
2024-03-30 20:57:05
專利名稱:用於產生包含證書和密鑰的產品的方法
用於產生包含證書和密鑰的產品的方法
背景技術:
作為公鑰基礎設施(Public Key Infrastructure, PKI)的部分的產品存儲用於認證產品的證書以及相應的公鑰和私鑰。在產品中存儲證書和相應密鑰的一種方法中,產品產生公鑰和私鑰的密鑰對以及證書請求,該證書請求包括產品的標識數據以及所產生的公鑰。然後該產品用產生的私鑰對該證書請求進行籤名並將籤名了的證書請求發送到產品代理(Product Proxy)(例如主機計算機),該產品代理聯繫登記授權機構(Registration Authority)。該登記授權機構驗證產品的標識數據和密鑰對,然後聯繫證書授權機構 (Certificate Authority)頒發證書。該證書授權機構產生證書,用其自己的私鑰對證書籤名,然後將證書發回到登記授權機構,該登記授權機構經由產品代理將該證書返回到產品。 儘管當要向單獨的硬體產品(例如單個伺服器)頒發證書時此處理很好地運作,但是當要在製造過程中在大量產品中存儲證書時,由於每個產品需要相當長的時間來產生其自己的密鑰對以及需要相當長的時間來在四方(產品、產品代理、登記授權機構和證書授權機構) 之間傳送,此處理可能是太長時間並且低效率的。Veriign 設備證書服務提供了用於頒發將在製造過程中被嵌入到產品中的證書的大量批次(batch)處理。在操作時,產品製造者通過網絡接口為Veriign 提供用於其產品的唯一產品標識符(例如線纜數據機的媒體存取控制(MAC)地址)的列表。 Veriign 頒發各證書和相應的公鑰和私鑰對,並以加密的形式經由網際網路將它們安全地發送到製造者。製造者解密這些證書和相應的密鑰並在製造過程期間將它們嵌入產品中。
發明內容
在此給出的概念可以在各種實施例中實現,並且此發明內容包括多個示例實施例。通過介紹,以下所述的實施例提供了用於產生具有證書和密鑰的產品的方法。在一個實施例中,請求實體向產生證書和相應的密鑰的證明實體發送對於多個證書和相應的密鑰的請求。該請求優選包括由證明實體使用來驗證請求實體的身份的信息而不是用於驗證各個產品的唯一產品標識符的信息。然後請求實體優選地以多個有組織的集合而不是單個證書系列從證明實體接收多個證書和相應的密鑰。然後請求實體將證書和相應的密鑰存儲在各個產品中。然後,每個存儲的證書可用於其被存儲在的各個產品的標識和認證。在此所述的每個實施例可以單獨使用或彼此組合使用。現在將參考附圖描述各個實施例。
圖1是用於產生具有證書和密鑰的產品的實施例的系統的例示。圖2是用於產生具有證書和密鑰的產品的實施例的方法的流程圖。圖3是一個實施例的示例的請求形式的例示。圖4是用於發送證書和相應的密鑰的實施例的示例格式的例示。
具體實施例方式現在轉向附圖,圖1是用於產生具有證書和密鑰的產品110A、1 IOB.......IlON
的實施例的系統100的例示。通常,請求實體120向證明實體(certifying entiry) 130 發送對於證書和相應的密鑰的請求,證明實體130產生並為請求實體120提供所請求的證書和相應的密鑰,並且請求實體120將該證書和相應的密鑰存儲在各個產品110A、
110B、......IlON中,由此將產品110A、110B、......IlON從不存儲證書和相應的密鑰的產
品轉換為存儲證書和相應的密鑰的產品。一旦被存儲在產品中,證書和相應的密鑰就不僅可以用於(例如向將內容提供給產品的內容伺服器)認證該產品,而且可以用於標識該產
P
ΡΠ O如在此使用的,「請求實體」指請求證書和相應的密鑰的實體,並且通常是產品製造者(例如存儲卡製造者)。同樣如在此使用的,「證明實體」指驗證請求實體的身份並產生所請求的證書和相應的密鑰的實體。如從以下討論將清楚的,請求實體120和驗證實體 130可以以任何適當的形式直接或間接地彼此通信。「產品」也可以取任何適當的形式,並且通常包含存儲器單元和用於與另一設備通信的接口。「產品」的例子包括但不限於可移除大容量存儲設備(比如非易失性、固態(例如快閃)存儲卡)、固態盤(SSD)、智慧卡、光或磁存儲器設備、遊戲控制臺、數字視頻記錄機、機頂盒、行動電話、ATM機、線纜數據機、 個人數字助理(PDA)、電子郵件/文本消息設備、數字媒體播放器、個人計算機和GPS導航設備。返回附圖,圖2是用於使用圖1的系統100產生具有證書和密鑰的產品的實施例的方法的流程圖200。首先,請求實體120向證明實體130發送對於多個證書和相應的密鑰的請求,證明實體130產生證書和相應的密鑰(動作210)。可以按任何適當的形式發送請求。例如,可以電子地經由通信信道(例如網際網路)將請求發送到證明實體130,可以將請求存儲在便攜存儲設備(例如DVD)上,該便攜存儲設備然後被郵寄到證明實體130,可以以紙張形式將請求郵寄或傳真到驗證實體130,或者可以將請求口頭地(例如經過電話) 傳達給證明實體130。出於安全原因,優選地,請求實體120用先前從證明實體130接收的私鑰對該請求籤名。為了增加安全性,該請求在傳送到證明實體130之前可以被加密,如以下將更詳細討論的。該請求本身可以包含任何期望的信息。圖3是一個實施例的示例的請求形式300 的例示。如圖3所示,此形式300中的欄位包括請求實體的名稱(310)、請求實體的聯繫人 (320)和電子郵件地址和電話號碼(330)、該請求的日期(340)、應該發送證書和密鑰的日期(350)、所請求的證書的總數(360)、產品證明權限主題證書名稱(370)、製造者證明權限主題證書名稱(380)以及其他請求/注釋(390)。在一個實施例中,形式300被置於PDF文件中並用私鑰籤名。同樣,該請求優選地包括用於由證明實體130是用來驗證請求實體120 的身份的信息(例如,通過先前由證明實體130提供給請求實體120的私鑰對請求的籤名) 而不是用於驗證各個產品的唯一產品標識符(例如媒體存取控制(MAC)地址)的信息。回去參考圖2,請求實體120從證明實體130接收多個證書和相應的密鑰(動作 220)。如像以上所述的請求傳送動作那樣,多個證書和相應的密鑰可以以任何適當的方式由請求實體120接收。例如,證書和密鑰可以經由通信信道(例如作為壓縮文件,通過網際網路)電子地發送到請求實體120,或者可以被存儲在便攜存儲設備(例如DVD)上並被郵寄到請求實體120。圖4是用於將證書從證明實體130傳送到請求實體120的示例格式400 的例示。如圖4所示,此格式400中的欄位包括內容信息文件010)(例如版本號、唯一標識符、創建日期和時間、證書的數量以及注釋)、根(root)證書020)、由產品使用來證實其由具體製造者製造的證書G30)、由產品使用來證實其屬於具體生產線的證書040)以及包含各證書的子目錄G50)。出於安全性原因,證明實體130可以用其私鑰對該傳送進行籤名。為了增加安全性,該傳送可以被加密,如以下將描述的。儘管可以單獨地或者在多個批次中從證明實體130接收多個證書和相應的密鑰,但是在一個實施例中,可在單個批次中從證明實體130接收多個證書和相應的密鑰,這可以例如在DVD上燒制(burn)或遞送,或者使用任何以上所述的其他格式來遞送。一旦被接收,請求實體120就從該批次提取多個證書和相應的密鑰。然後,請求實體120使用證明實體的證書來到來的驗證證書和密鑰的包,並將各
個證書和相應的密鑰存儲在各自的產品110A、110B.......IlON中(動作230)。然後,每
個證書可用於其被存儲在的各個產品110A、110B.......IlON的標識和驗證兩者。為了將
證書和密鑰安全地存儲在產品110A、110B.......IlON中,可以優選地使用與用於加密證
書和密鑰來傳輸到請求實體120的密鑰——如果使用了這樣的加密的話——不同的密鑰來加密這些證書和密鑰。請求實體120可以使用一個或多個計算設備(例如通用計算機)將
各個證書和相應的密鑰存儲在各自的產品110A、1 IOB.......IlON中。此外,取決於是否在
傳送和/或接收動作中使用計算設備,傳送和接收動作(動作210、220)之一或兩者可以使用相同或不同的計算設備。例如,存儲了證書和密鑰的相同或不同的計算設備還可以用於準備該請求(例如燒制包含該請求的DVD、通過網際網路將該請求電子地郵寄到證明實體130 等)和/或接收證書和密鑰(例如通過經由網頁瀏覽器從證明實體130下載證書和密鑰)。存在與這些實施例相關的幾個優點。首先,因為在製造產品110A、
IlOB.......IlON之前請求並接收證書(即「離線地」請求並接收證書),因此在製造過程
期間不浪費時間來等待證書到達。此外,不像在背景技術部分所述的處理那樣,產品110A、
IlOB.......IlON本身不產生公鑰和私鑰對。而是,證明實體130產生那些對,並將它們與
相應的證書一起發送到請求實體110。以此方式,在製造過程期間不浪費時間來等待產品 110A、110B、......IlON 產生密鑰對。此外,因為這些實施例中的請求實體120是產品的製造者而不是產品110A、
110B、......1ION本身,因此證明實體130工作在每個製造者級(per_manufacturer
level),而不是每個產品級。結果,證明實體130僅需要驗證請求實體120的身份,不需要
驗證每個產品110A、110B.......IlON0與驗證每個產品的唯一產品標識符(例如驗證線
纜數據機的媒體存取控制(MAC)地址)相比,這樣的驗證可以相對容易且快速地進行 (例如通過驗證請求曾被先前由證明實體130提供給請求實體120的私鑰籤名過,通過聯繫請求實體120處的向證明實體130發送DVD定購表的人,等等)。因為可以直接地且容易地進行對請求實體120的驗證,所以這些實施例允許該處理繞過登記授權機構,由此節省將需要花費來與登記授權機構通信的時間。應該注意,在這些實施例中,每個證書可用於其所存儲在的各個產品的標識和驗證兩者。該證書可以通過證書的主題名稱來標識其各自的產品。儘管對於主題名稱可以
7使用任何適當的命名慣例,但是在一個實施例中,該命名慣例使用以下欄位的一個或多個 指示證書何時頒發的時間戳、頒發的序列號以及所生產的產品的名稱。例如,命名慣例可以是「MMDDYYYYXXXXXXXX」,其中 是生產線的名稱(不是單獨產品的名稱),MM是證書頒發的月份,DD是證書頒發的該月份中的天,YYYY是證書頒發的年份, XXXXXXXX是頒發的序列號。如從此示例標識符可以看出,證書不限定為各個產品的唯一標識符或由其標識。這與在背景技術中描述的方法相反,在該方法中基於唯一產品標識符 (例如線纜數據機的媒體存取控制(MAC)地址)的列表來頒發證書。此外,這些實施例不依賴於各個產品的唯一標識符,這在產品初始是無名的並且不具有唯一標識符時尤為有益(例如可移除存儲卡相對於線纜數據機)。不像在存儲證書前具有唯一性的線纜數據機,可移除存儲卡和其他無名的產品在證書被存儲在其中時獲得唯一性。這樣,除了被用於驗證之外,在這些實施例中,存儲的證書用於提供先前無名的產品的標識。因此,不像在背景技術部分中描述的使用證書來驗證產品的身份的方法,這些實施例中的證書用於標識產品本身。存在可以隨這些實施例一起使用的許多替換。例如,對於有效的證書訪問,從證明實體130接收的多個證書可以被呈現為多個有組織的集合而不是單個證書序列(例如在多個目錄的不同證書中或者在分級目錄樹中而不是單個線性文件或列表中)。將多個證書組織成集合使得對給定證書的訪問比證書被包含在單個列表或文件中的情況更容易。作為簡單的例子,大量證書可以被存儲在多個目錄中,其中每個目錄包含IOM個證書並且用在該目錄中保持的證書來命名(例如1-10M,1025-2048等等)。為了尋找給定證書,請求實體 120處的計算設備將尋找存儲該證書的目錄然後搜遍該目錄來找到該證書。因為每個目錄存在相對少的證書,因此在目錄中尋找證書花費相對短的時間量。相反,如果所有證書都存儲在單個目錄中,則在成千上萬的證書中找到給定的證書的時間將明顯更長。當然,這僅僅是一個例子,也可以使用是他技術。例如,取代將證書放置在不同的目錄中,這些證書可以按其他方式分段或分區。作為另一替換,為了增加安全性,在此處理中可以使用各種加密技術。例如,為了在從請求實體120到證明實體130的傳送期間保護該請求,可以在傳送之前使用先前從證明實體130接收的密鑰(例如「請求加密密鑰(REK) 」)來加密該請求。作為另一例子,為了在從證明實體130到請求實體120的傳送期間保護證書和密鑰,請求實體120可以將產品加密密鑰(PEK)發送到證明實體130來用各自的PEK加密多個密鑰和相應證書的每個。 以此方式,多個密鑰和相應的證書將以加密的形式被請求實體120接收,並且請求實體120 將使用PEK來解密多個密鑰和相應證書的每個。因為這樣的解密將暴露多個證書和密鑰, 因此請求實體隨後可以使用不同的密鑰重新加密該多個證書和密鑰。作為另一例子,請求實體120可以將加密密鑰(例如「製造者加密密鑰(MEK) 」)傳送到證明實體130,使得證明實體120可以加密一批次的證書和密鑰。在從證明實體130接收到該批次之後,接收實體 120將用MEK解密該批次。PEK和MEK兩者都可以用於提供雙重加密。此外,在一個實施例中,在請求實體120請求證書和密鑰之前,請求實體120經歷與證明實體130的一次設置處理。在此處理期間,請求實體120為證明實體130提供REK和MEK。以此方式,REK和MEK 交換僅需發生一次,而不是每次請求實體120需要證書和密鑰時都要發生。意圖以上詳細描述被理解為是對各實施例可以採取的所選形式的例示,並且不意圖限制隨後的權利要求。此外,以下權利要求的一些可能陳述一組件可操作以進行某一功能或者被配置用於某一任務。應該注意,這些不是限定性的限制。還應該注意,在權利要求中闡述的動作可以按任何順序進行——不是一定要按它們被闡述的順序。另外,在此所述的任意優選實施例的任意方面可以單獨使用或者彼此組合使用。
權利要求
1.一種產生具有證書和密鑰的產品的方法,該方法包括由請求實體傳送對於多個證書和相應密鑰的請求,該請求被傳送到產生證書和相應密鑰的證明實體;由該請求實體從該證明實體接收多個證書和相應密鑰;以及由該請求實體將所述證書和相應密鑰存儲在請求實體的各個產品中; 其中該請求包括用於由證明實體使用來驗證請求實體的身份的信息而不是用於驗證各個產品的唯一產品標識符的信息;以及其中每個證書可用於其所存儲在的相應產品的標識和認證兩者。
2.根據權利要求1的方法,還包括由請求實體向證明實體傳送用於由證明實體使用來加密多個密鑰和相應證書的每個的產品加密密鑰;其中由請求實體接收的多個密鑰和相應證書是加密的形式;以及其中該存儲還包括初始地使用產品加密密鑰來解密以加密的形式接收的多個密鑰和相應證書的每個。
3.根據權利要求2的方法,其中所述解密暴露了多個密鑰和證書,以及其中所述存儲還包括隨後在存儲了多個密鑰和相應證書的請求實體的各個產品處重新加密該多個密鑰和相應證書。
4.根據權利要求1的方法,其中每個證書由以下的一個或多個來標識指示何時頒發證書的時間戳、頒發的序列號以及生產的產品的名稱。
5.根據權利要求1的方法,其中用於驗證請求實體的身份的信息包括通過先前由證明實體提供給請求實體的私鑰對該請求的籤名。
6.根據權利要求1的方法,其中各個產品的唯一產品標識符包括產品的媒體存取控制地址。
7.根據權利要求1的方法,其中該請求經由DVD或者通信信道傳送到證明實體。
8.根據權利要求7的方法,其中通信信道包括網際網路連接。
9.根據權利要求1的方法,其中在單個批次中從證明實體接收多個證書和相應密鑰, 以及其中該方法還包括從該批次提取多個證書和相應密鑰。
10.根據權利要求9的方法,其中該批次在DVD上燒制且遞送。
11.根據權利要求9的方法,還包括將加密密鑰傳送到證明實體,該證明實體利用該加密密鑰加密該批次;以及在從證明實體接收到該批次之後,利用該加密密鑰解密該批次。
12.根據權利要求1的方法,其中請求實體的產品包括可移除大容量存儲器件。
13.根據權利要求1的方法,還包括加密該請求。
14.根據權利要求1的方法,其中以多個有組織的集合而不是以單個證書系列來從證明實體接收多個證書。
15.根據權利要求14的方法,其中在多個目錄的不同目錄中從證明實體接收多個證書。
16.根據權利要求14的方法,其中以分級目錄樹而不是單個線性文件來組織多個證書。
17.根據權利要求1的方法,其中由至少一個計算設備進行所述存儲。
18.—種產生具有證書和密鑰的產品的方法,該方法包括由請求實體傳送對於多個證書和相應密鑰的請求,該請求被傳送到產生證書和相應密鑰的證明實體;由該請求實體從該證明實體接收多個證書和相應密鑰;以及由該請求實體將所述證書和相應密鑰存儲在請求實體的各個產品中; 其中以多個有組織的集合而不是單個證書系列從證明實體接收多個證書;以及其中每個證書可用於其所存儲在的相應產品的標識和認證兩者。
19.根據權利要求18的方法,還包括由請求實體向證明實體傳送用於由證明實體使用來加密多個密鑰和相應證書的每個的產品加密密鑰;其中由請求實體接收的多個密鑰和相應證書是加密的形式;以及其中該存儲還包括初始地使用產品加密密鑰來解密以加密的形式接收的多個密鑰和相應證書的每個。
20.根據權利要求19的方法,其中所述解密暴露了多個密鑰和證書,以及其中所述存儲還包括隨後在存儲了多個密鑰和相應證書的請求實體的各個產品處重新加密該多個密鑰和相應證書。
21.根據權利要求18的方法,其中每個證書由以下的一個或多個來標識指示何時頒發證書的時間戳、頒發的序列號以及生產的產品的名稱。
22.根據權利要求18的方法,其中用於驗證請求實體的身份的信息包括通過先前由證明實體提供給請求實體的私鑰對請求的籤名。
23.根據權利要求18的方法,其中該請求包括用於由證明實體使用來驗證請求實體的身份的信息而不是用於驗證各個產品的唯一產品標識符的信息。
24.根據權利要求23的方法,其中各個產品的唯一產品標識符包括產品的媒體存取控制地址。
25.根據權利要求18的方法,其中該請求經由DVD或者通信信道傳送到證明實體。
26.根據權利要求25的方法,其中通信信道包括網際網路連接。
27.根據權利要求18的方法,其中在單個批次中從證明實體接收多個證書和相應密鑰,以及其中該方法還包括從該批次提取多個證書和相應密鑰。
28.根據權利要求27的方法,其中該批次在DVD上燒制和遞送。
29.根據權利要求27的方法,還包括將加密密鑰傳送到證明實體,該證明實體利用該加密密鑰加密該批次;以及在從證明實體接收到該批次之後,利用該加密密鑰解密該批次。
30.根據權利要求18的方法,其中請求實體的產品包括可移除大容量存儲器件。
31.根據權利要求18的方法,還包括加密該請求。
32.根據權利要求18的方法,其中在多個目錄的不同目錄中從證明實體接收多個證書。
33.根據權利要求18的方法,其中以分級目錄樹而不是單個線性文件來組織多個證書。
34.根據權利要求18的方法,其中由至少一個計算設備進行所述存儲。
全文摘要
在此所述的實施例提供了用於產生具有證書和密鑰的產品的方法。在一個實施例中,請求實體向產生證書和相應的密鑰的證明實體發送對於多個證書和相應的密鑰的請求。該請求優選地包括由證明實體使用來驗證請求實體的身份的信息而不是用於驗證各個產品的唯一產品標識符的信息。然後請求實體從證明實體優選地以多個有組織的集合而不是單個證書系列接收多個證書和相應的密鑰。然後,請求實體將證書和想要的密鑰存儲在各個產品中。然後,每個存儲的證書可用於其被存儲在的各個產品的標識和認證兩者。
文檔編號G06F21/02GK102405616SQ201080017244
公開日2012年4月4日 申請日期2010年2月15日 優先權日2009年3月20日
發明者A.施繆爾, J.M.波多布尼克, M.霍爾茲曼, R.塞拉, V.阿休傑 申請人:桑迪士克科技股份有限公司