可配置的在線公鑰基礎設施(pki)管理框架的製作方法

2023-06-19 19:51:11 2

專利名稱：可配置的在線公鑰基礎設施(pki)管理框架的製作方法
可配置的在線公鑰基礎設施(PKI)管理框架相關申請的聲明本申請要求2009年8月12日提交的美國臨時專利申請序列號No. 61/233，380的權益，通過參考將該申請的全部內容合併於此。
背景技術：
公鑰密碼術是使用密鑰對來實現安全通信的方法。每個密鑰對包括公鑰和私鑰。 公鑰和私鑰相關，使得例如通過一個密鑰加密的消息僅通過另一個密鑰解密，但是在給定公鑰的情況下用計算的方式推導出私鑰是不可行的。除了消息加密之外，密鑰對還可用於執行其他功能。私鑰通常由實體創建並安全持有；而通常使得對應的公鑰廣泛可用。於是， 通過使用各方的公鑰和密鑰可實現各方之間的安全通信。公鑰密碼術的使用解決了諸如網際網路的開放網絡中很多內在的安全問題。但是， 仍然有兩個明顯的問題。首先，參與者必須能夠以有效的方式訪問其他實體的公鑰。其次， 由於在很多協議中實體相互關聯，並且在某種意義上是通過它們的公鑰來識別的，所以必須有安全的方法讓各方核實某一公鑰被綁定到某一實體。公鑰基礎設施(PKI)系統解決了這兩個問題。在一個常見的方法中，公鑰基礎設施是基於數字證書，數字證書用於將某一公鑰對關聯到具有一定程度信譽的某一實體。公鑰管理基礎設施通常將包括數字證書的資料庫、發布證書的證書權力機構以及用於認證各方的其他基礎設施。通常提供很多數字證書服務，以便建立、散布、維持和維護PKI中使用的公鑰以及關聯的數字證書。通常由CA或第三方運營商將這些服務提供給終端用戶。所提供的數字證書服務通常包括登記、狀態報告、檢索和搜索服務以及驗證、撤回、更新和替換服務。PKI系統中的CA執行很多不同的功能。例如，登記服務向用戶提供關於他們身份的信息。CA核實該信息並基於該信息來創建有效的數字證書。狀態報告服務允許用戶確定數字證書是有效、撤回還是具有任何其他狀態。檢索服務允許用戶檢索數字證書的備份。 搜索服務允許用戶搜索符合某一搜索準則的數字證書。驗證服務允許用戶建立數字證書的有效性，或者是當前，或者是曾經。撤回服務允許用戶和CA動作一致地撤回數字證書。更新服務允許用戶和CA聯合創建新的有效的數字證書，替換要期滿的數字證書。替換服務允許CA創建新的有效的數字證書，替換已經撤回的數字證書。在信息技術時代，PKI技術被組織廣泛採用，以在它們提供的產品和服務中實現安全特徵。良好實現的PKI系統及其關聯的實踐和程序通常深度涉及組織的產品開發過程， 從設計階段到製造階段始終如此。但是，每個組織通常有它自己的安全策略、不同的製造過程和獨特的工程協作風格。所有這些不同導致開發需要由每個組織維持的複雜和定製的 PKI系統。當通過諸如聯盟的外部方來定義和實行安全策略時，情況變得更加複雜。因為很多公司互相協作地開發了越來越多的標準或技術，所以聯盟正在變成用於保護涉及的所有方的最大利益的普遍實體。因此，聯盟的PKI系統與參與者組織的自產PKI系統之間的整合變成每個參與者組織都必須應對的重要而有挑戰性的任務。由於很多產品開發項目的多元化性質而造成在一些情況下組織涉及多個聯盟。對於聯盟來說，維持支持參與公司施加的各種安全要求的複雜PKI系統可能非常困難。因此，良好整合的PKI平臺可以由多個聯盟以及它們的參與公司使用，使得它們能夠從聯盟和參與者組織卸下大量開銷，從而允許它們專注於產品開發。

發明內容
根據本發明的一個方面，提供了一種用於建立用於提供由PKI系統遞送的數字證書服務的過程的方法。該方法包括接收對數字證書服務的請求以及接收指定包括要被提供數字證書的至少一個產品的項目的數據。還接收指定所述項目的所有者組織以及參與所述項目的至少一個參與者組織的標識的數據。從所述所有者組織接收要在所述數字證書中包括的PKI數據應當符合的屬性。基於所接收到的數據和屬性，為與所述項目相關聯的組織中的每個組織建立帳戶，與所述組織中的每個組織相關聯的用戶通過所述項目能根據從所述所有者組織接收到的所述屬性分別請求用於所述至少一個產品的數字證書。根據本發明的另一個方面，提供一種使得參與至少一個項目的多個組織能夠提供用於所述項目的定製數字證書服務的系統。該系統包括帳戶管理組件，所述帳戶管理組件用於為與所述項目相關聯的所述組織中的每個組織建立帳戶，與所述組織中的每個組織相關聯的用戶通過所述帳戶能分別請求用於在所述項目中包括的至少一個產品的數字證書。 該系統還包括用戶管理組件，所述用戶管理組件被配置成認證和授權與所述項目的所有者組織以及參與所述項目的至少一個參與者組織相關聯的用戶，所述至少一個參與者組織被所述所有者組織指定為參與者組織。該系統還包括證書權力機構(CA)管理組件，所述CA 管理組件被配置成生成至少一個用戶可定義的證書簡檔模板(CPT)，所述CPT建立用於由與所述項目相關聯的所有證書權力機構發布的數字證書的數字證書格式。該系統進一步包括產品管理組件，所述產品管理組件被配置成(1)建立由所述所有者組織定義的屬性，要在所述數字證書中包括的PKI數據應當符合所述屬性，以及( 建立要執行的活動的工作流程，以便用已經建立的所述屬性來生成所述數字證書。該系統另外包括PKI管理組件，所述PKI管理組件被配置成依照所述用戶管理組件、證書權力機構管理組件以及所述產品管理組件來處理對來自與所述所有者組織或者所述參與者組織中的至少一個參與者組織相關聯的用戶的數字證書的用戶請求。


圖1示出PKI管理系統的一個實施方式的邏輯架構。圖2示出在高等級上說明PKI數據請求處理所需要的圖1中的PKI系統的相關組件。圖3示出圖1所示的PKI服務組件130的邏輯架構的更詳細視圖。圖4是項目、組織、帳戶和PKI系統的用戶之間的關係的說明性邏輯圖。圖5示出在PKI管理系統中建立新項目的過程。圖6示出具有三個等級的證書權力機構層級。圖7是圖示證書權力機構密鑰和它們的關聯證書怎樣連結到項目、組織項目帳戶以及產品的邏輯圖。圖8示出用於圖7所示的組織X和Y的根CA與子CA之間的關係。圖9示出CA鏈和與那些CA相關聯的CPT之間的關係的一個示例。圖10示出可呈現給用戶的報告摘要的示例。圖11示出圖示在PKI管理系統中怎樣分配ID範圍的一些示例。圖12是示出方法的示例的流程圖，現有項目的授權用戶通過該方法可以創建用於產品的產品證書。圖13示出處理流程的高級示例，系統可使用該處理流程來處理PKI數據。圖14是圖示訂單履行過程的狀態圖。圖15是可與PKI系統相關聯的組織層級的邏輯圖，其圖示可分配給系統用戶的各種角色。
具體實施例方式如下詳述，替代組織向不同組織提供不同服務的PKI系統，PKI管理系統可以向不同的聯盟以及它們的參與組織提供不同的服務。單獨的項目例如可以是提供要加載身份數據(諸如數字證書)以及可能的其他安全數據的一個或多個產品。每個項目可能涉及多個組織。通過這種方式可以改善在普通項目中涉及多個組織時出現的關於上述PKI系統的問題。如同這裡使用的，組織指的是組成任何數量的個體的任何實體，不管法律結構或狀態。 這樣的組織的非窮盡示例包括公司和企業，不管公有還是私有的，以及非盈利和盈利的，政府機構或代理以及任何其他個體的群組甚至組織的群組。現在轉向附圖，圖1示出PKI管理系統的一個實施方式的邏輯架構。該系統包括屬於三個組織A、B和C中的一個的多個用戶101A-101C(統稱101)。組織可以是公司，並且用戶可以是相應公司的僱員。組織A、B和C都採用PKI管理系統的服務。用戶101通過網際網路110或者任何其他基於數據分組的廣域網與系統通信。在本示例中，用戶通過一個或多個web門戶伺服器120來訪問系統、與系統交互，web門戶伺服器120提供由基於客戶端的應用(諸如常規的web瀏覽器)訪問的單一前端接口。屬於服務提供商託管組織的內部系統管理用戶也可以通過網際網路或區域網(LAN)訪問系統。可將某些高級管理功能僅限於LAN訪問，不向公共網絡公開。PKI管理系統通常包括帶有一個或多個物理存儲裝置、資料庫以及各種處理引擎的一個或多個物理伺服器計算機。特別地，在圖1所示的示例中，PKI管理系統包括一個或多個服務組件130，服務組件130通常駐留在執行向客戶端101提供各種PKI服務的一個或多個應用的應用伺服器上。在圖1中，示出5個邏輯服務組件或模塊基礎設施管理組件131、用戶管理組件132、產品管理組件133、CA配置管理組件134以及PKI數據管理組件 135。在高等級中，基礎設施管理組件實現在一個統一的系統中維持多個公鑰基礎設施和相關組織的能力。用戶管理組件定義了角色並在系統中準予對用戶的訪問。產品管理組件允許參與者組織根據各種產品的PKI需要來實現和管理他們自己的安全策略。CA配置管理組件用於管理各種CA和他們的策略以及他們與相應組織以及產品的關聯。PKI數據管理組件135不僅提供常規的PKI數據生命周期管理，而且提供端到端請求和遞送服務。
再參照圖1，PKI管理系統還包括訂單履行處理器140，訂單履行處理器140生成用戶為產品請求的數字證書或其它身份數據。訂單履行處理器可包括或者可訪問硬體安全模塊(HSM) 145，其中可存儲CA的證書籤字密鑰和安全數據，用於由系統使用。PKI管理系統還包含記錄的資料庫150。這些記錄可屬於發布的數字證書、對新數字證書或安全數據的原始請求、審計數據、控制策略信息、組織信息、項目配置、帳戶關係、 產品配置、用戶信息以及其它必要的記錄類型。圖2示出在高等級上說明PKI數據請求過程所需要的圖1的相關組件。首先，如圖所示，認證用戶以保證他或她的身份。接著，用戶 (可以是參與組織的產品管理員或授權代表)通過網際網路110向web門戶伺服器120提交請求，web門戶伺服器120進而將其轉發給訂單履行處理器140。訂單履行處理器140生成請求數據，隨後請求數據經由web門戶伺服器120和網際網路110被用戶101下載。圖3示出圖1所示的PKI服務組件130的邏輯架構的更詳細視圖，其解決上述管理問題。如圖所示，PKI管理系統300的這些組件包括5個管理組件。基礎設施管理組件 315包括項目管理子組件350、組織管理子組件351和帳戶管理子組件352。用戶管理組件 310包括用戶認證子組件312以及用戶授權和角色管理子組件314。CA配置管理組件320 包括即插即用子組件322和證書模板管理子組件324。產品管理組件330包括工作流程管理子組件332、產品簡檔定義管理子組件334和ID管理子組件336。PKI數據管理組件340 包含訂單處理管理子組件342、訂單履行管理子組件344和數據生命周期管理子組件346。 全體地，這些組件允許完全動態再配置的PKI管理系統，該PKI管理系統可以全部定製，不管怎樣，沒有任何系統停工期或者需要進行任何代碼改變。例如，可以添加新項目、可以添加或減少項目中的組織/帳戶、可以添加產品、可以修改項目中的證書鏈，所有都在事先已經編碼的在線環境中。下面詳細討論每個前述組件和子組件。基礎設施管理組件當出現對PKI相關系統基礎設施的新需要時，諸如新的網絡要求安全通信或者新的裝置類型要求專用安全數據時，在PKI管理系統中將創建新的項目。下面也將包括HiI 組件、組織、組織帳戶、用戶、產品以及製造裝置的項目稱為「基礎設施」。圖4示出項目、組織、帳戶和用戶之間的關係的說明性邏輯圖。本示例中包括兩個項目，即項目1和項目2 (或者PKI基礎設施1和PKI基礎設施2、。組織W和組織X只參與項目1。組織U和組織Z只參與項目2。組織Y既參與項目1也參與項目2。如圖所示，每個組織有一個帳戶用於它所關聯的每個項目。因此，當組織U、W、X和Z各自有單一帳戶時， 組織Y有兩個帳戶。每個項目被一個組織擁有；例如，項目1被組織W擁有，項目2被組織 U擁有。此外，一個組織可參與多個項目。同時，多個組織也可以參與一個項目。在每個組織中，用戶基於它們的角色和實體關係被授權對不同的實體(例如，組織、產品、項目等等) 執行不同的動作。角色可包括但不限於策略權力機構、授權代表、產品管理員、安全官員以及帳戶管理員。例如，如圖所示，用戶1_1和用戶Ul分別是項目1和項目2的項目管理員。 用戶X_1、用戶X_2、用戶Y_l、用戶Υ_2以及用戶Z_1是他們相應組織的組織管理員。基於組織在項目中的帳戶類型來推斷用戶的角色。例如，可以將項目1的策略權力機構角色分配給用戶評_1，因為組織W有項目1的所有者帳戶。圖4還示出組織以及它們的用戶可跨域訪問不同的項目，這允許在一個PKI管理系統下共同託管多個公鑰基礎設施。下面將用具體示例幫助理解這裡描述的PKI管理系統。應當強調，僅通過說明的方式提出該說明性示例，並且不是作為對這裡所述的方法、技術和系統的限制。在本示例中，項目1包括要加載數字證書的一系列不同WiMAXTM產品(例如，模型)的生產。單獨的 WiMAX裝置是WiMAX產品的一個實例。項目所有者(即組織W)例如可以是負責建立和管理 WiMAX標準的WiMAX聯盟。組織W具有項目1下的所有者帳戶，如圖4中的1_W所示。組織 X和組織Y可以是諸如生產WiMAX產品的獨立公司的實體，WiMAX產品是項目1的一部分， 並且這些組織希望獲取可以加載到它們相應裝置中的數字證書或其它身份數據。組織X和組織Y都具有項目1下的參與者帳戶(1_X和1_Y)。類似地，項目2包括要加載數字證書或其它身份數據的一系列不同的長期演進 (LTE)產品的生產。LTE是已經作為4G無線系統的候選者正式提交的移動通信標準。再一次，單獨的LTE裝置是LTE產品的一個實例。項目所有者(即組織U)可以是負責建立和管理LTE標準的LTE聯盟。組織U具有項目2下的所有者帳戶，如圖4中的2_U所示。組織 Y和組織Z可以是諸如生產LTE產品的獨立公司的實體，LTE產品是項目2的一部分，並且組織希望獲取可以加載到相應裝置中的數字證書或其它身份數據。組織Y參與WiMAX項目 (項目1)，並且也參與LTE項目(項目2)。它具有兩個單獨的帳戶1_Y和2_Υ，其分別參與項目1和項目2。現在將提出與本示例中每個項目的管理有關的一些一般特徵和規則。首先，關於項目管理，假定在系統中每個項目只被一個組織擁有，但是多個組織可參與每個項目。此夕卜，項目策略只能被所有者組織修改。其次，關於組織的管理，每個組織可擁有多個項目並且多個組織可參與多個項目。因此接著，在PKI管理系統中每個組織可以有多個帳戶。圖5示出定義用於向PKI管理系統引進新項目的過程。在PKI管理服務供應商在步驟510中從要求不同公鑰基礎設施的組織(例如聯盟)接收請求之後，在步驟512創建項目實體。例如使用基於web的管理門戶來創建項目，基於web的管理門戶只能由授權的託管組織的用戶(諸如服務託管管理員)來訪問。管理員通過該接口進入要在資料庫中存儲的任何相關項目信息，用於進一步的項目配置。如圖3所示，項目創建和規則由項目管理子組件350處理。一旦創建了項目，則如步驟520所示在需要的時候識別和創建所有者組織(組織可能已經在系統中存在)。創建項目所有者帳戶以將組織連結到它的項目。注意，只能將一個組織指定為該項目的所有者，但是該邏輯組織可通過類似於典型聯盟的若干其他組織來管理並由其組成。在步驟530和532中，可以創建所有者組織的用戶帳戶並將其分別與項目相關聯。這些步驟可以在已經建立所有者組織之後的任何時間發生。組織與其項目之間的所有者帳戶連結準予對各種配置值的適當控制以及對屬於其用戶的其他信息的訪問。在適當設置所有的組織、項目和用戶帳戶之後，諸如具有項目的策略權力機構角色的某人的授權用戶在步驟540中配置項目。項目配置包括指定遍及基礎設施中要使用的項目屬性，包括但不限於PKI數據屬性、CA結構以及各種其他安全和操作參數。在創建項目之後的任何時間，其他組織可以請求參與者帳戶。如果在系統中不存在組織，則可以通過授權的服務供應商用戶在系統中創建組織，如同步驟550。一旦創建， 則在步驟552中項目參與者帳戶將參與組織連結到項目。然後如同步驟560和562所示， 可以創建適當的用戶帳戶並將其與項目帳戶相關聯。這使得參與者組織能夠創建和配置產品，如同「產品配置管理」部分所述。
如圖3所示，分別通過組織和帳戶管理子組件351、352來管理組織和它們的帳戶的規則以及關係。下面將詳細討論用戶帳戶和管理。對於每個請求項目可以重複上述處理。系統的靈活性允許在運行時間添加和修改項目，而不中斷運轉的系統或者更改其實施方式。證書權力機構(CA)配置管理組件在圖3中，證書權力機構(CA)配置管理組件320包括兩個子組件即插即用管理 (子組件32 和證書模板管理(子組件324)。當生成CA證書時，在已知為密鑰儀式的程序中，在安全的離線環境下生成密鑰和證書。在圖6中，示出三等級CA鏈作為示例。根CA證書是自我籤名的。然後，通過根CA 驗證中間等級CA，並且通過中間CA驗證最低等級CA。在密鑰儀式之後，只將最低等級CA密鑰對直接導入硬體安全模塊630。將整個CA 證書鏈導入PKI管理系統的資料庫620中。插即用管理子組件322用於將CA密鑰和關聯的證書連結到項目、組織項目帳戶以及產品。如圖7所示，根CA與所有者組織帳戶1_A相關聯。為了不同的目的，所有者組織可具有一個或多個根CA。例如，項目可能需要一個伺服器根CA用於伺服器證書，並且需要另一個根CA用於裝置證書。同樣地，參與者組織可具有與所需要的一樣多的子CA，每個CA 按照不同產品的PKI需要定製。但是，項目的所有者組織可以限制可在根CA下面存在的子 CA的層級等級的數量。也可以限制層級等級中為參與組織存在的子CA的數量。子CA與諸如帳戶1_X和帳戶1_Y的對應參與者組織帳戶相關聯。圖8示出用於圖7所示的組織X 和Y的根CA與子CA之間的關係。直接對運轉的系統執行即插即用操作，而沒有任何服務中斷。圖3中的證書模板管理組件3 提供一種可配置機制，以保證數字證書在整個證書鏈中保持一致，並保持符合項目所有者的要求。例如，當子CA生成子等級證書時，該組件實行通過母CA建立的策略或約束。證書簡檔模板(CPT)被包括以定義要在派生證書中提供的所有要求的和可選欄位。通過設計，每個CPT與一個CA相關聯。在生成數字證書之前， 圖3中的證書模板管理組件3 通過在證書鏈中向上搜索來定位任何相關CPT。任何這樣定位的CPT被用於實行由對應CA施加的策略。圖9示出CA鏈和與那些CA相關聯的CPT之間的關係的一個示例。在該示例中， 根CA具有所有子CA都必須符合的用於整個項目的CPT (「項目CPT」)。用於公司A的子CA 在其CPT ( 「公司A的CP」)中有更多具體或細微的要求，它們與根CA的CPT—致。另一方面，用於公司Bl的子子CA簡單地使用根CA的CPT。產品管理組件通過PKI管理系統保護的每個製造商的產品具有與其相關聯的要在數字證書中包括的產品特定屬性。這些屬性可包括例如數據格式、保護機制、標識(ID)類型以及生成數據而需要執行的動作。為了特定產品而生成的所有PKI數據可具有共同的格式。但是， 當請求用於裝置的PKI數據時用戶對PKI管理系統的訪問被限制於具有對應項目帳戶的組
么口
/Ν O如圖3所示，產品管理組件330包括3個子組件工作流程管理組件332、簡檔定
1義管理組件334以及ID管理組件336。簡檔定義管理子組件334用於定義和管理產品的簡檔和屬性。產品屬性的示例包括產品名稱、產品製造商名稱、模型名稱以及產品中使用的晶片集的身份。簡檔信息包括進一步描述每個產品的細節，諸如用於唯一識別裝置實體(例如MAC地址)的簡檔類型、ID類型，和它所關聯的證書權力機構，以及它所關聯的證書簡檔模板(CPT)。簡檔類型指示簡檔產生什麼安全數據輸出。輸出可以是證書與對應密鑰對的組合，或者只是基於證書籤名請求生成的證書。在後一情況下(僅證書簡檔)，通過參與組織單獨生成密鑰對，並將公鑰提交給PKI管理系統用於證書生成。這種情況要求參與組織具有密鑰對生成能力。ID管理子組件336控制ID的類型連同產品使用的分配範圍。ID類型的說明性示例包括MAC地址、序列號、完全合格域名(FQDN)、IP位址以及國際行動裝置身份(IMEI)號。 所有者組織也可以定義用於其項目的其自己的ID類型。除了別的以外，ID管理組件336指定是否能夠將IP再用於產品。例如，當證書要更新時，ID可以被另一個產品或者被相同的產品再使用。如果沒有允許ID再使用，則該組件將防止請求用戶用複製ID生成數據。根據所有者組織和/或參與者組織建立的規則，ID管理子組件336還保證只將有效ID用於每個產品。對於符合標準格式的ID類型，該組件保證只使用適當和預分配範圍中的ID。例如，如果ID類型是MAC地址，則ID管理子組件336核實組織唯一標識符(OUI) 用於期望的組織。ID管理子組件336允許可能是參與組織的產品管理員的用戶指派用於產品的不同地址範圍。它還允許產品管理員指定獨立ID或者ID的範圍怎樣用於證書生成， 以用於他們的產品。例如，當請求用於裝置的PKI數據時，可由用戶輸入ID的特定值，或者可以選擇「下一個可用」地址選項(其自動計算ID的第一連續未使用分配)用於裝置的證書生成。在一些情況下，當選擇產品的ID範圍時，產品可能需要被指派一些特殊模式。例如，在地址的特定範圍內，產品可以只使用偶數MAC地址，而保留每個奇數MAC地址用於不同接口。這稱為地址跳躍。基於產品的定義，組織可以使用或可以不使用在另一個產品中已經跳過的地址。ID管理子組件336也可以跟蹤ID資源的使用，並向用戶(其可以是帳戶管理員、 產品管理員或者具有參與者帳戶的組織的授權代表)提供信息化ID使用報告。可以跨產品和項目帳戶跟蹤和報告ID使用。這使得用戶能夠監視預分配給授權帳戶的ID範圍的整體使用以及對每個獨立產品的使用細節。如圖10所示可以實時通過用戶界面生成ID使用報告，或可以根據特定商業要求將ID使用報告離線遞送給這些用戶。附圖示出用於特定產品的ID使用報告的示例。在該示例中，授權用戶能夠監視由所選擇的產品使用並且在預分配給特定產品的選擇的地址範圍中的MAC地址範圍。在相同地址範圍中由其他產品使用的 MAC地址也可以用不同的顏色在相同的視圖中示出。該服務允許參與組織跟蹤和管理它們的身份使用。圖11示出了圖示在PKI管理系統中怎樣分配ID範圍的幾個示例。例如，產品1_ X ABC和產品1_X DEF都在用於項目1的組織X的帳戶1_X下。它們共享相同的ID類型。 但是，產品1_X ABC使用範圍0001-1000，而產品1_X DEF使用範圍5000-6000。另外，組織 Y參與兩個項目項目1和項目2。在用於項目1的其帳戶1_Y下的產品1_Y AAA使用在範圍2001-2500中的ID類型1，而在用於項目2的帳戶2_Y下的產品1_Y BBB使用在範圍 0x000-0x800 中的 ID 類型 2。
再參照圖3，產品管理組件330還包括工作流程管理組件332。工作流程定義基礎設施執行的動作的順序，以生成並驗證用於特定產品的必要PKI數據。這些動作被稱為行為。例如，「生成RSA密鑰對」可以是一個行為，「核實證書」可以是另一個行為。行為是最小的可重新使用的單位。它們可以被多個工作流程共享。工作流程也可以在若干產品之間共享，或甚至跨多個項目共享。但是，每個產品只能有一個工作流程。工作流程管理組件332 定義和管理產品與工作流程之間的關係。當訂購某個產品時，執行該產品的工作流程。一旦為現有項目登記了組織，則授權用戶(其可包括託管組織用戶或者來自參與組織的產品管理員)可以使用以下程序(其在圖12的流程圖中被圖示)來創建用於產品的產品證書。首先，在步驟1210中，用戶選擇與產品所屬的項目相關聯的帳戶。接著，在步驟 1220中，用戶將要與該產品相關聯的CA添加到帳戶(允許多個子CA用於相同的產品，只要它們在相同的證書鏈下)。在步驟1230中，從之前已經為該組織建立的可用CPT的列表當中選擇CPT，並且用戶指定各種證書簡檔屬性，證書簡檔屬性導致產品證書簡檔(PCP)。在步驟1240中，由用戶分配ID類型。在步驟1250中，指定ID地址的可用範圍，連同當在可用範圍內分配ID時要服從的特定規則(諸如地址跳躍)。最後，在步驟1260中，用戶選擇以適當的格式生成PKI數據的工作流程，使用所期望的保護方法等等。通過允許參與組織根據在線系統環境來配置它們的產品，組織能夠按照需要創建新產品，而不必等待或依靠託管組織的職員。PKI數據管理組件PKI數據管理組件340處理用於生成PKI數據並在數據的整個生命周期中維持該數據的用戶請求(「訂單」)。在邏輯上可將該組件劃分為三個子組件。訂單處理管理子組件342將訂單進行優先級排序並分類。當授權用戶(諸如產品管理員或授權代表)提交訂單時，檢查訂單的若干屬性，以便確定履行訂單的順序。訂單履行管理子組件344根據由訂單處理管理子組件342指定的順序來執行訂單。最後，數據生命周期管理組件346在數據的整個生命周期裡維持已經生成的PKI數據。在公共平臺中提供通過這些子組件遞送的服務產生很多好處。首先，通過將處理集中在一個系統中，可以將它們的處理優化，因為可以使用負載平衡連同並行處理，並行處理相比於嘗試簡化每一個串行地訂購的若干系統一般更有效。另外，通過允許用戶在一個位置管理和監視PKI數據而不是使用若干全異、專用系統，為用戶簡化了數據生命周期。因為PKI數據受單一系統(其具有遍及整個工作流程的控制)控制，所以可以更好地使HiI 數據安全，並且因此不需要依靠外部方來使數據安全。現在將更詳細地描述獨立子組件中的每一個。訂單處理管理組件342可以接收和處理很多訂單，並確定它們需要什麼時候處理。在該過程中包括兩個主要考慮訂單優先權和負載平衡。圖13示出系統可用來處理 PKI數據的處理流程的高級示例。圖3中的訂單處理管理組件342當選擇要處理的下一個訂單時可以考慮表徵訂單的很多因素。通過說明的方式，這些因素包括優先級、數量、請求類型、數據類型以及年齡等寸。可以通過請求用戶或者通過系統本身來指派優先級值。如果其由用戶指定，則可以在適當的地方設定一些限制，以防止用戶濫用並保證系統能繼續處理其他訂單。對於優先級排序的服務，可通過要求更高的費用來施加這些限制。在一些情況下，諸如服務託管管理員的授權用戶可以對例外情況手動調節優先級，或者可將系統配置成在預定義環境下自動調節某些訂單的優先級。根據系統的當前負載，有時可以加快執行要求少量數字證書的一些訂單，使得它們不被較大訂單阻塞。而且可將由系統處理的較大訂單的總量保持為低於某閾值，使得訂單履行處理器可以總是可用於更高優先級訂單。該閾值不限制留在隊列中的訂單的數量。 訂單處理也可以考慮在訂單中包括的請求的類型。不同的請求類型(即，訂單的格式)一般要求不同量的處理，處理進而確定將需要多少時間來完成它。每個訂單還將具有通過πα 輸出數據的大小確定的數據類型、使用的生成算法、以及將確定相對於其他訂單中的數據實際上要多久來生成訂單中的數據的其他因素。例如，包含2048比特RSA密鑰的數據將比包含IOM比特RSA密鑰的數據要更久的時間來生成，並且該信息可幫助預測其履行訂單將花費的時間。還可以監視訂單等待被處理的時間量。較舊訂單可給予相對於較近訂單某個等級的優先級，使得沒有訂單被延遲不合理的時間量。總之，可通過下面的等式來表示訂單的所計算的優先級C。C = wp*P+wq*Q+wr*R+wd*D+wa*A在該等式中，使用每個參數的可配置權重(其中Wx是用於參數X的權重)與指派給參數自身的數值的乘積來計算每個被加數。每個參數(P、Q、R、D、A)分別表示上述優先級、數量、請求類型、數據類型和年齡因素。該等式允許基於所有給定參數以定量方式來確定實時自適應訂單優先級排序。訂單處理管理組件342還可以考慮負載平衡。也就是說，除了選擇處理訂單的順序之外，還可以應用負載平衡。可將訂單映射到可用的處理單元(例如，訂單履行伺服器)。 每個履行伺服器可以處理訂單履行處理的多個線程。隨著系統增長，可添加越來越多的訂單履行伺服器，每個伺服器具有多個可用的處理核心。可以使用多種負載平衡技術來處理輸入的訂單。例如，在一些情況下可以有兩種操作模式。在模式I中，將每個訂單指派給訂單履行伺服器上的單一線程。當並行處理大量訂單時這種操作模式優化了系統。在模式II 中，將一個訂單並行分布在若干訂單履行線程當中。當處理尺寸大的訂單時這種操作模式優化了系統。總之，訂單處理管理組件342可基於各種因素將訂單排序，並使用負載平衡以並行方式來履行那些訂單。訂單處理的這樣的方法增強了系統的靈活性，同時可升級，使得容易服務於具有各種類型和數量的訂單的不同項目。這種負載平衡方案被稱為「訂單屬性和系統狀態驅動的負載平衡」，因為訂單類型連同系統狀態用於確定負載平衡方法。一旦已經選擇訂單進行處理，則它就在其創建、生成和管理期間經歷若干階段。該處理通過訂單履行管理子組件344來控制。結合附圖14描述該處理，附圖14是圖示訂單履行過程的狀態視圖。請求用戶可經由用戶界面進行訂購，用戶界面可以是例如基於web 的門戶，所述基於web的門戶基於它從用戶接收到的數據動態地生成其關聯的圖形用戶界面。該過程當用戶創建訂單請求時開始。當組件處於創建狀態時，用戶可以選擇請求的類型(例如，證書撤回、更新或生成)以及如果適用的話，哪個產品要與該訂單相關聯。用戶界面首先提示用戶指定特定產品和請求類型(可能從下拉式菜單)。然後用戶界面向用戶呈現附加提示，以指定適合於這種類型訂單的其他類型的輸入數據。要求的其他輸入數據可包括例如一系列產品屬性、地址範圍或者請求某一數據文件的提示。在由用戶輸入數據以後，輸入被驗證為適合於做出的訂單的類型。在用於項目的組織帳戶的存在始終，向與託管組織相關聯的金融實體進行支付，然後用預先約定的比率將支付轉換為表示組織可生成的可用數量的證書的餘額。例如，可將該餘額分配給對應的項目帳戶或者分配給具體產品。可以由授權用戶(諸如服務託管管理員)來更新帳戶的餘額。然後可以在訂單提交期間推導出帳戶的餘額，以保證請求的數量不大於用於給定帳戶和產品選擇的可用餘額。此外，還可以在生成每個證書之前核實餘額。該過程中的下一階段是未決批准狀態，假定要求這樣的批准，則在該階段期間，批准或者拒絕訂單。不要求批准的訂單被系統自動批准，實質上使得該階段為可選的。一旦訂單已經被批准，則它進入新的狀態，在此期間，訂單排隊用於處理。一旦已經選擇訂單進行處理，則它進入進行中狀態，在此期間，由訂單履行伺服器履行訂單。根據訂單的類型(例如，證書籤名請求或證書撤回請求)，可採用不同的處理模塊。在處理之後，已經完成訂單，並且訂單進入已處理狀態。在一些情況下由於無效的用戶輸入或某種其他問題，一些輸出記錄可能沒有成功處理。如果發生錯誤，則系統執行 「盡力」嘗試以生成它有可能做的所有輸出記錄，並且訂單輸出伴隨著日誌，所述日誌指示成功處理的那些記錄和未成功處理的那些記錄。接著，在下載狀態中，訂單中的輸出記錄被配置為適當的格式，使得它們可以被請求用戶下載，通常以加密文件的方式(下面更詳細描述這種保護機制)。在下載了記錄之後，訂單進入已下載狀態，在此期間，用戶核實輸出記錄中的數據是正確的。這可以例如使用已經提供給用戶的輔助應用或程序來完成。最後，訂單進入關閉狀態。通過系統自動關閉訂單或者請求用戶確認訂單已經履行來達到這種狀態。系統可以因為很多原因中的任何原因而自動關閉訂單。例如，由於訂單已經被處理，所以可以在可配置的時間段已經過去之後自動關閉該訂單。替代地，如果用戶確認該訂單，則訂單進入已確認狀態並立即關閉。通過這種方式，所有者組織可以控制系統生成數據的系統中的生命周期。另外，通過自動關閉訂單，鼓勵用戶積極監視他們的數據並在關閉訂單之前確認其有效性。在一些情況下，所有者組織可以指定在已經下載輸出記錄之後、在確認訂單之後關閉訂單、或者在某個其他時間段之後要立即關閉訂單。一旦訂單關閉，則可以將其存檔，並且為了安全目的，可以永久刪除與該訂單相關聯的任何私有數據。做出的每個訂單經歷上述每個狀態，從而允許使用單一處理平臺。但是，雖然可以採用共同的過程，但是根據訂單類型，仍然可以以定製的方式來處理每個訂單，從而允許靈活性和可展開性。另外，共同處理狀態集合的使用允許系統更容易確定在任何給定時間任何訂單的狀態，而不管訂單類型。如果請求生成諸如私鑰的敏感數據，則根據由項目、參與組織或產品定義的保護策略來保護(例如，加密)該數據以用於其遞送。這種保護可以制定為使得數據只能被請求它的用戶訪問。使用與這樣一種方法相關的過程可以實現這一點，通過該方法將用戶認證到PKI管理系統。例如，如果用戶使用保護私鑰/公鑰對的USB令牌和由授權CA籤名的證書來與PKI管理系統進行認證(如同下面在用戶管理組件部分中所述)，則可以利用用戶令牌的公鑰來加密所生成的敏感數據。一旦遞送給用戶，則可以利用用戶的令牌上保護的私鑰將敏感數據解密來檢索數據。這樣的話，通過請求生成的敏感數據被連結到請求用戶並且只能被請求用戶訪問。圖3中的PKI數據管理組件340還包括數據生命周期管理子組件346，用於維持、 管理和監視生成的PKI數據。這包括將PKI數據遞送給用戶的方式、將其歸檔的方式，包括歸檔持續時間以及撤回合併PKI數據的證書的時間和條件。為了簡化數據生成和維護並使其安全，PKI數據生命周期的所有方面都可以在 PKI管理系統中管理。PKI數據生命周期與用戶可提交的請求的類型有關。這些請求包括密鑰和證書生成、證書籤名請求、更新、證書撤回和數據存檔及刪除。密鑰和證書生成請求將使得利用指定範圍內期望的輸入值和ID集合來生成用於給定產品的密鑰和證書。證書籤名請求使得基於包含多個請求的輸入文件來生成證書集合。更新請求將使得生成新的PKI數據以替換已經期滿的數據。根據請求，這可以包括或可以不包括數據的「再鍵入」。如果其對應的私鑰被洩漏，則做出證書撤回訂單(即，一批請求)。撤回請求使得更新對應的證書撤回列表(CRL)。數據存檔和刪除策略確定當PKI老化時應當(或者不應當)怎樣維持H(I。這種策略可以指令將其一些數據存檔用於以後參考，而一旦已經將一些敏感數據遞送給用戶，則將其從在線系統強制刪除，作為額外的安全措施。在一些情況下，通過允許只有請求密鑰的用戶才能發布它們，可以保護在系統中維持的密鑰。訂單生命周期的狀態由商業要求和安全策略驅動，安全策略可以包括訂單批准、密鑰刪除和數據存檔。在項目生命周期的始終，可以由項目所有者和參與者組織來定義這些限制。這使得能夠將每個PKI基礎設施配置成滿足其基礎設施中包括的每個組織的要求。這些PKI數據管理組件可提供以下特徵實時自適應訂單優先級排序如同以上等式所示，可以實時確定訂單的優先權，以基於若干因素在變動的系統中動態地對訂單進行優先級排序。訂單屬性和系統狀態驅動負載平衡通過訂單的類型和若干其他訂單屬性以及系統的當前狀態來驅動該系統的負載平衡，諸如訂單的數量和訂單處理器的當前佔有率。商業和安全策略驅動的訂單處理程序通過項目所有者和參與者組織在整個系統中定義的若干商業規則和安全策略來驅動所有訂單經歷的狀態。相比於將處理狀態與系統中定義的其他策略隔離的其他系統，這是有利的。用戶管理組件來自每個組織的PKI管理系統的用戶與一個或多個帳戶相關聯，並經歷認證和授權兩者。用戶可僅屬於一個組織，但是可以與他或她的組織的項目帳戶中的任何一個相關聯。通過帳戶關聯，用戶可以訪問選擇的一個或多個產品，用於用戶的組織所關聯的項目。 對於用戶關聯的每個項目帳戶，可以定義一個或多個角色集合。某些角色可以限制成特定帳戶類型。例如，策略權力機構角色可以僅指派配給與所有者帳戶相關聯的用戶。每個角色在帳戶的範圍中準予用戶特定能力。通過這種方式，基礎設施可以創建和管理具有不同能力的各種用戶。在圖15中，在用戶圖標的右上方用不同的字母(即Α、Β和C)表示不同的用戶角色。用戶可以具有指派給每個帳戶關聯的多個角色，每個角色給予他們對系統的不同等級的訪問。例如，指派給帳戶的管理員角色可給予用戶管理與帳戶產品相關聯的其他用戶的能力。但是，該用戶不能管理與產品相關聯的ID地址分配。相反，指派給產品的相同的管理員角色可給予用戶管理與產品相關聯的ID地址而不是與項目所在帳戶相關聯的用戶的能力。圖15示出若干不同的示例。例如，用戶項目1管理員是用作所有者組織的組織A 的成員。用戶項目1管理員具有角色A。用戶產品ABC負責人是組織X的成員，並且可以通過角色B所述的能力訪問產品1_XABC。用戶組織X管理員是組織X的成員，並且具有角色 C的能力，以便利用項目1管理組織的帳戶。用戶組織Y項目負責人是組織Y的成員，並且以角色C利用項目1管理組織的帳戶，以及以角色B管理產品1_YAAA和2_Y BBB0對於更具體的示例，如前面圖4所示，用戶Y_1是項目1中的產品管理員，但是不能訪問項目2。類似地，用戶Y_2是項目1中的帳戶管理員，並且是項目2的授權代表。當在項目2的域中工作時，用戶Υ_2不具有訪問帳戶管理員的能力。一旦被認證，則用戶能夠訪問系統中他或她的帳戶所關聯的每個項目。用戶可以容易地在項目域之間切換，而不需要與系統進行重新認證。當切換項目域時，用戶被限制到所選擇的項目中準予的角色集合。如上所述，屬於服務供應商之外組織的用戶可以被準予高級配置能力。項目所有者用戶可以配置用於他們項目的根證書授權，並且可以設置管理參與組織的PKI數據的生命周期和結構的項目廣泛策略。項目參與者用戶可以創建新的產品並實時從各種CA鏈中選擇。可使用信任的證書鏈執行用戶認證。特別地，可以向用戶提供安全令牌裝置(例如，USB令牌)，所述安全令牌裝置存儲私鑰/公鑰對以及通過授權的證書權力機構籤名的證書。當用戶訪問PKI管理系統(例如通過web門戶來訪問其網站)時，令牌向系統提供公共證書對象。當用戶登錄系統時，將令牌的私鑰和證書用於認證以及提供對系統的安全訪問。例如，通過保證由授權的證書權力機構籤名以及證書的二進位值與系統中存儲的期望值匹配，核實證書的有效性。如果證書變為不可訪問(例如，如果令牌丟失或鎖定，則可能發生這種情況)，則證書失效，並且將不再認證用戶。生成新的證書和私鑰，以為用戶提供連續的訪問。當然，可以不使用基於令牌的認證而使用其他認證技術，或者除了使用基於令牌的認證之外也使用其他認證技術。認證和授權的過程可以相互不同和分離，或者它們也可以被組合。如果它們保持分離，則用戶的認證證書僅用於識別用戶。可以將用戶的權力機構作為用戶的記錄的一部分存儲在系統內。用戶的證書不提供關於用戶的權力機構的任何信息，並且在用戶的帳戶關聯或授權角色改變的情況下不需要替換或更新。另一方面，如果將認證和授權過程組合， 則生成認證證書，指定用戶的項目帳戶關聯，在證書中包含的數據中指定用戶角色。這後一種方法可以提供授權的更嚴格模型，並且如果用戶的帳戶關聯或授權角色改變，則要求生成新的證書。如同本申請中使用的，術語「組件」、「模塊」、「系統」、「設備」、「接口」等等一般是要表示計算機相關實體，硬體、硬體與軟體的組合、軟體、或者執行中的軟體。例如，組件可以是但是不限於在處理器上運行的處理、處理器、對象、可執行、執行的線程、程序和/或計算機。通過說明的方式，在控制器上運行的應用和控制器都可以是組件。一個或多個組件可駐留在過程和/或執行的線程中，並且組件可以位於一個計算機上和/或分布在兩個或多個計算機之間。 此外，可以使用標準編程和/或工程技術產生軟體、固件、硬體或者其任何組合以控制實施所公開的主題的計算機來將所要求保護的主題實現為方法、設備或者製品。這裡使用的術語「製品，，目的是包括從任何計算機可讀裝置、載體或介質都可以訪問的電腦程式。例如，計算機可讀存儲介質可包括但不限於磁性存儲裝置(例如，硬碟、軟盤、磁帶...)、光碟(例如，壓縮盤(CD)、數字通用盤(DVD)...)、智慧卡以及快閃記憶體裝置(例如，卡、 棒、鍵驅動)。當然，本領域技術人員將認識到，在不脫離所要求保護的主題的範圍或精神的情況下可以對該配置作出很多修改。
權利要求
1.一種建立用於提供由PKI系統遞送的數字證書服務的過程的方法，包括接收對數字證書服務的請求；接收指定包括要被提供數字證書的至少一個產品的項目的數據；接收指定所述項目的所有者組織以及參與所述項目的至少一個參與者組織的標識的數據；從所述所有者組織接收要在所述數字證書中包括的PKI數據應當符合的屬性；以及基於所接收到的數據和屬性，為與所述項目相關聯的所述組織中的每個組織建立帳戶，與所述組織中的每個組織相關聯的用戶通過所述帳戶能夠根據從所述所有者組織接收到的所述屬性分別請求用於所述至少一個產品的數字證書。
2.根據權利要求1所述的方法，進一步包括基於從所述所有者接收到的所述屬性，生成根證書簡檔模板，所述根證書簡檔模板建立用於由與所述項目相關聯的所有證書權力機構發布的數字證書的數字證書格式；從所述參與者組織中的第一參與者組織接收當包括在為所述第一參與者組織所關聯的所述項目中的第一產品發布的數字證書中時所述PKI數據應當符合的第二屬性集合；基於從所述第一參與者組織接收到的所述第二屬性集合，生成第一子證書簡檔模板， 所述第一子證書簡檔模板建立用於由與所述第一參與者組織相關聯的子證書權力機構發布的數字證書的數字證書格式。
3.根據權利要求1所述的方法，其中，從所述所有者組織接收到的所述屬性包括最小密鑰大小和證書有效期。
4.根據權利要求2所述的方法，其中，所述第二屬性集合包括PKI數據格式、用於識別產品的ID類型、以及生成所述PKI數據所需的一系列動作。
5.根據權利要求1所述的方法，其中，所述項目至少包括第二參與者組織參與的第二產品，並且進一步包括從所述第二參與者組織接收當包括在為所述第二參與者組織所關聯的所述項目中的第二產品發布的數字證書中時所述PKI數據應當符合的第三屬性集合；基於從所述第二參與者組織接收到的所述第三屬性集合，生成第二子證書模板，所述第二子證書模板建立用於由與所述第二參與者組織相關聯的子證書權力機構發布的數字證書的數字證書格式。
6.根據權利要求5所述的方法，進一步包括建立第一工作流程和與所述第一工作流程不同的第二工作流程，所述第一工作流程定義生成用於所述第一產品的數字證書所需的動作，所述第二工作流程定義生成用於所述第二產品的數字證書所需的動作。
7.根據權利要求1所述的方法，其中，建立第一帳戶用於第一參與者組織，並且進一步包括從所述第一參與者組織中的管理用戶接收所述第一參與者組織中要成為所述系統的授權用戶的至少第二用戶和第三用戶的指定，其中所述第二用戶被指派具有對所述第一參與者組織的帳戶的第一等級訪問的第一角色，並且所述第三用戶被指派具有對所述第一參與者組織的帳戶的第二等級訪問的第二角色，所述第二等級訪問不同於所述第一等級訪問。
8.一種使得參與至少一個項目的多個組織能夠提供用於所述項目的定製數字證書服務的系統，包括帳戶管理組件，所述帳戶管理組件用於為與所述項目相關聯的所述組織中的每個組織建立帳戶，與所述組織中的每個組織相關聯的用戶通過所述帳戶能夠分別請求用於在所述項目中包括的至少一個產品的數字證書；用戶管理組件，所述用戶管理組件被配置成認證和授權與所述項目的所有者組織以及參與所述項目的至少一個參與者組織相關聯的用戶，所述至少一個參與者組織被所述所有者組織指定為參與者組織；證書權力機構(CA)管理組件，所述CA管理組件被配置成生成至少一個用戶能定義的證書簡檔模板(CPT)，所述CPT建立用於由與所述項目相關聯的所有證書權力機構發布的數字證書的數字證書格式；產品管理組件，所述產品管理組件被配置成(1)建立由所述所有者組織定義的屬性， 要在所述數字證書中包括的PKI數據應當符合所述屬性，以及(2)建立要執行的動作的工作流程，以便利用已經建立的所述屬性來生成所述數字證書；以及PKI管理組件，所述PKI管理組件被配置成依照所述用戶管理組件、證書權力機構管理組件以及所述產品管理組件來處理對來自與所述所有者組織或者所述參與者組織中的至少一個參與者組織相關聯的用戶的數字證書的用戶請求。
9.根據權利要求8所述的系統，其中，所述證書管理組件進一步被配置成生成多個用戶能定義的證書簡檔模板，每個證書簡檔模板與關聯於所述參與者組織的證書權力機構鏈中的證書權力機構相關聯，使得子證書權力機構具有符合母證書簡檔模板的子證書簡檔模板。
10.根據權利要求8所述的系統，其中，所述產品管理組件包括ID管理組件，所述ID 管理組件被配置成依照由所述項目所有者建立的規則將ID分配給與所述項目相關聯的產PΡΠ O
11.根據權利要求8所述的系統，其中，所述PKI管理組件進一步被配置成依照參與者組織的優選來在所述PKI數據的整個生命周期管理和維持所述PKI數據。
12.根據權利要求8所述的系統，其中，所述PKI管理組件包括用於對用戶請求進行優先級排序的訂單處理管理組件，並基於每個獨立請求的特性，使得每個請求以與其他請求串行的方式或者以並行的方式履行，在所述並行的方式中，請求的不同線程彼此同時處理。
13.根據權利要求8所述的系統，其中，所述帳戶管理組件經由基於web的用戶接口、通過通信網絡對於用戶是能訪問的。
14.一種用於利用數字證書提供產品的方法，包括在與第一 PKI項目相關聯的第一產品中接收對要在產品中提供的第一序列的數字證書的第一請求，認證和授權提交所述請求的第一用戶；識別與所述第一用戶相關聯的第一組織以及所述第一 PKI項目的所有者組織；檢索與所述所有者組織的根證書權力機構相關聯的根證書簡檔模板(CPT)以及由所述第一用戶所關聯的所述第一組織建立的至少一個附加CPT，其中所述根CPT指定所述第一序列的數字證書應當符合的格式，並且所述至少一個附加CPT進一步指定當保持與所述根CPT格式一致時所述第一序列的數字證書應當符合的格式；從所述第一用戶接收第一 PKI數據集合，所述第一 PKI數據集合指定用於要在所述第一序列的數字證書中包括的預定義屬性的值；以及使用所述第一 PKI數據集合來生成所請求的第一序列的數字證書，其中所述第一序列的數字證書依照所述根CPT和所述至少一個附加CPT。
15.根據權利要求14所述的方法，進一步包括在與所述第一 PKI項目相關聯的第二產品中接收對要在產品中提供的第二序列的數字證書的第二請求，認證和授權提交所述請求的第二用戶； 識別與所述第二用戶相關聯的第二組織；檢索由所述第二用戶所關聯的所述第二組織建立的至少一個其他CPT，其中所述至少一個附加CPT進一步指定當保持與所述根CPT格式一致時所述第二序列的數字證書應當符合的格式；從所述第二用戶接收第二 PKI數據集合，所述第二 PKI數據集合指定用於要在所述第二序列的數字證書中包括的預定義屬性的值；以及使用所述第二 PKI數據集合來生成所請求的第二序列的數字證書，其中所述第二序列的數字證書依照所述根CPT和所述至少一個其他CPT。
16.根據權利要求15所述的方法，其中，生成所請求的第一和第二序列的數字證書包括基於在從所述第一和第二用戶接收到的所述PKI數據中包括的信息，分別向所述第一和第二序列的數字證書中的每一個提供產品ID。
17.根據權利要求14所述的方法，其中，所述第一請求由PKI系統接收到，並且所述數字證書由所述PKI系統生成，並且進一步其中認證和授權所述第一用戶包括授權所述第一用戶到由第一組織中的管理用戶指定的對PKI系統的第一等級訪問，所述管理用戶具有比所述第一用戶更高等級的特權。
18.根據權利要求15所述的方法，進一步包括；在與所述第一組織參與的第二 PKI項目相關聯的第三產品中接收對要在產品中提供的第三序列的數字證書的第三請求，認證和授權與所述第一組織相關聯的提交所述請求的第三用戶； 識別所述第二 PKI項目的第二所有者組織；檢索與關聯於所述第二所有者組織的第二根證書權力機構相關聯的第二根證書簡檔模板(CPT)以及與由所述第一組織建立的證書鏈相關聯的CPT鏈，其中所述第二根CPT指定所述第三序列的數字證書應當符合的格式，並且所述CPT鏈中的每個CPT進一步指定當保持與所述第二根CPT格式一致時所述第三序列的數字證書應當符合的格式；從所述第三用戶接收第三PKI數據集合，所述第三PKI數據集合指定用於要在所述第三序列的數字證書中包括的預定義屬性的值；以及依照所述第二根CPT和所述CPT鏈來生成所請求的第三序列的數字證書。
19.根據權利要求14所述的方法，其中，所述第一組織是企業實體，並且所述第二組織是企業實體的聯盟。
20.根據權利要求18所述的方法，其中，所述CPT鏈中的每個CPT由與所述第一組織相關聯的不同子證書權力機構來使用。
全文摘要
提供一種方法和設備，以建立用於提供由PKI系統遞送的數字證書服務的過程。所述方法包括接收對數字證書服務的請求以及接收指定包括要被提供數字證書的至少一個產品的項目的數據。還接收指定項目的所有者組織以及參與項目的至少一個參與者組織的標識的數據。從所有者組織接收要在數字證書中包括的PKI數據應當符合的屬性。基於所接收到的數據和屬性，為與項目相關聯的每個組織建立帳戶，與每個組織相關聯的用戶通過該帳戶能夠根據從所有者組織接收到的屬性分別請求用於至少一個產品的數字證書。
文檔編號H04L9/28GK102474415SQ201080035525
公開日2012年5月23日 申請日期2010年8月12日 優先權日2009年8月12日
發明者T·J·巴伯, 克裡斯·加德納, 凱爾·斯圖爾特, 劉嘉勁, 周威霖, 奧斯卡·歐, 姚挺, 安妮·蔡, 王凡, 邱新, 陳李強, 陳纓 申請人:通用儀表公司