IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司の特許一覧

<>
  • 特許-デジタル証明書管理方法及び装置 図1
  • 特許-デジタル証明書管理方法及び装置 図2
  • 特許-デジタル証明書管理方法及び装置 図3
  • 特許-デジタル証明書管理方法及び装置 図4
  • 特許-デジタル証明書管理方法及び装置 図5
  • 特許-デジタル証明書管理方法及び装置 図6
  • 特許-デジタル証明書管理方法及び装置 図7
  • 特許-デジタル証明書管理方法及び装置 図8
  • 特許-デジタル証明書管理方法及び装置 図9
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-01-24
(45)【発行日】2022-02-01
(54)【発明の名称】デジタル証明書管理方法及び装置
(51)【国際特許分類】
   H04L 9/08 20060101AFI20220125BHJP
   H04L 9/14 20060101ALI20220125BHJP
   G06F 21/60 20130101ALI20220125BHJP
   G06F 21/64 20130101ALI20220125BHJP
【FI】
H04L9/08 C
H04L9/14
H04L9/08 D
H04L9/08 E
G06F21/60 320
G06F21/60 360
G06F21/64
【請求項の数】 27
(21)【出願番号】P 2019539969
(86)(22)【出願日】2018-02-13
(65)【公表番号】
(43)【公表日】2020-02-20
(86)【国際出願番号】 CN2018076618
(87)【国際公開番号】W WO2018177045
(87)【国際公開日】2018-10-04
【審査請求日】2019-07-23
(31)【優先権主張番号】201710211816.2
(32)【優先日】2017-04-01
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】510113335
【氏名又は名称】西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】王 月▲輝▼
(72)【発明者】
【氏名】▲張▼ ▲変▼玲
(72)【発明者】
【氏名】▲鉄▼ ▲満▼霞
(72)【発明者】
【氏名】▲頼▼ ▲曉▼▲龍▼
(72)【発明者】
【氏名】李 琴
(72)【発明者】
【氏名】童 ▲偉▼▲剛▼
(72)【発明者】
【氏名】▲張▼ 国▲強▼
(72)【発明者】
【氏名】杜 志▲強▼
(72)【発明者】
【氏名】▲顔▼ 湘
【審査官】行田 悦資
(56)【参考文献】
【文献】国際公開第2015/193945(WO,A1)
【文献】特表2002-521970(JP,A)
【文献】特開2006-295519(JP,A)
【文献】特開2004-032502(JP,A)
【文献】特開平08-316951(JP,A)
【文献】特開2005-102163(JP,A)
【文献】特表2011-503977(JP,A)
【文献】特表2009-538567(JP,A)
【文献】特表2019-526205(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
H04L 9/14
G06F 21/60
G06F 21/64
(57)【特許請求の範囲】
【請求項1】
デジタル証明書管理方法であって、
デジタル証明書申請装置が、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成することと、
前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信することと、
前記デジタル証明書発行装置が、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージをデジタル証明書申請装置に送信し、前記デジタル証明書申請装置が前記セキュリティデータチャンネルを利用して、前記デジタル証明書管理応答メッセージを受信することと、
前記デジタル証明書申請装置が、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得することと、を含み、
前記デジタル証明書申請装置が取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成することは、
前記デジタル証明書申請装置と前記デジタル証明書発行装置がセキュリティデータチャンネルの交渉を行うことと、
前記デジタル証明書申請装置と前記デジタル証明書発行装置が許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することと、
前記デジタル証明書申請装置と前記デジタル証明書発行装置が完全性チェックコードによって、セキュリティチャンネル確認メッセージを検証することと、
を含むことを特徴とする方法。
【請求項2】
前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理確認メッセージをデジタル証明書発行装置に送信することと、
前記デジタル証明書発行装置が、前記デジタル証明書管理確認メッセージを受信して処理することと、
をさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記デジタル証明書管理要求メッセージは証明書要求データを携帯し、前記デジタル証明書管理応答メッセージは証明書応答データを携帯し、前記証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報はバージョン、所有者名、所有者公開鍵情報及び拡張を含み、
前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化処理されることは、
前記デジタル証明書管理要求メッセージが、前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理されることを含み、
前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化処理されることは、
前記デジタル証明書管理応答メッセージが、前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理されることを含む、
ことを特徴とする請求項1に記載の方法。
【請求項4】
前記セキュリティ鍵は、データセッション鍵をさらに含み、それに対応して、
前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化処理されることは、
前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記デジタル証明書管理要求メッセージに携帯される証明書要求データが前記データセッション鍵によって暗号化処理されること、をさらに含み、
前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む、
ことを特徴とする請求項3に記載の方法。
【請求項5】
前記デジタル証明書申請装置及び/又は前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書要求データは、暗号化アルゴリズム識別子をさらに含み、それに対応して、
前記証明書要求データは具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理して得られたデータを含む、
ことを特徴とする請求項4に記載の方法。
【請求項6】
前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化処理されることは、
前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記デジタル証明書管理応答メッセージに携帯される証明書応答データが前記データセッション鍵によって暗号化処理されること、
をさらに含むことを特徴とする請求項4又は5に記載の方法。
【請求項7】
前記デジタル証明書申請装置及び/又は前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書応答データは、暗号化アルゴリズム識別子をさらに含み、それに対応して、
前記証明書応答データは具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理して得られたデータを含む、
ことを特徴とする請求項6に記載の方法。
【請求項8】
前記デジタル証明書申請装置が前記セキュリティデータチャンネルを利用してデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信することは、
前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信すること、及び/又は、
前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名とシリアル番号フィールドが含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信すること、及び/又は、
前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信すること、及び/又は、
前記デジタル証明書申請装置が、前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信すること、
を含むことを特徴とする請求項1に記載の方法。
【請求項9】
前記デジタル証明書申請装置とデジタル証明書発行装置がセキュリティデータチャンネルの交渉を行うことは、
デジタル証明書申請装置が第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信すること、を含み、
前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することは、
前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成すること、を含む、
ことを特徴とする請求項に記載の方法。
【請求項10】
前記セキュリティ鍵は完全性チェック鍵をさらに含み、前記デジタル証明書申請装置とデジタル証明書発行装置が完全性チェックコードによってセキュリティチャンネル確認メッセージを検証することは、
前記デジタル証明書申請装置とデジタル証明書発行装置が乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証することを含む、
ことを特徴とする請求項1又は9に記載の方法。
【請求項11】
デジタル証明書申請装置であって、
取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立して、データ通信鍵が含まれるセキュリティ鍵を生成するための、セキュリティデータチャンネル確立ユニットと、
前記データ通信鍵を利用して証明書管理要求メッセージを暗号化処理するための暗号化ユニットと、
前記セキュリティデータチャンネルを利用して、データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信するための送信ユニットと、
前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを受信するための受信ユニットと、
前記デジタル証明書管理応答メッセージを処理して、処理結果を取得するための処理ユニットと、を含み、
前記セキュリティデータチャンネル確立ユニットは、
前記デジタル証明書発行装置とセキュリティデータチャンネルを交渉するための交渉ユニットと、
前記デジタル証明書発行装置と、許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
前記デジタル証明書発行装置と、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニットと、
を含むことを特徴とする装置。
【請求項12】
前記処理ユニットはさらに、デジタル証明書管理確認メッセージを生成し、
前記送信ユニットはさらに、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理確認メッセージを前記デジタル証明書発行装置に送信する、
ことを特徴とする請求項11に記載の装置。
【請求項13】
前記送信ユニットによって送信される前記デジタル証明書管理要求メッセージに携帯される証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報はバージョン、所有者名、所有者公開鍵情報及び拡張を含み、
前記暗号化ユニットは具体的に、
前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化する、
ことを特徴とする請求項11に記載の装置。
【請求項14】
前記暗号化ユニットはさらに、
前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記データセッション鍵を利用して前記デジタル証明書管理要求メッセージに携帯される証明書要求データを暗号化処理し、
前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む、
ことを特徴とする請求項13に記載の装置。
【請求項15】
前記デジタル証明書申請装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニットによって送信される前記証明書要求データは、暗号化アルゴリズム識別子をさらに含み、具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理して得られたデータを含み、それに対応して、前記暗号化ユニットはさらに、
前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理する、
ことを特徴とする請求項14に記載の装置。
【請求項16】
前記送信ユニットは、
前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信するための第1の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名及びシリアル番号が含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信するための第2の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信するための第3の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信するための第4の送信ユニット、
を含むことを特徴とする請求項11に記載の装置。
【請求項17】
前記交渉ユニットは具体的に、
第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信し、
前記鍵生成ユニットは具体的に、
デジタル証明書発行装置と、許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する、
ことを特徴とする請求項11に記載の装置。
【請求項18】
前記鍵生成ユニットによって生成されるセキュリティ鍵は、完全性チェック鍵をさらに含み、前記鍵確認ユニットは具体的に、
デジタル証明書発行装置と、乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する、
ことを特徴とする請求項11又は17に記載の装置。
【請求項19】
デジタル証明書の申請のための装置であって、
メモリ及び1つ又は複数のプログラムが含まれ、1つ又は複数のプログラムは、メモリに記憶され、1つ又は複数のプロセッサーによって、前記1つ又は複数のプログラムに含まれる以下の動作を実行するための命令を実行するように配置され、
取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成し、
前記データ通信鍵を利用してデジタル証明書管理要求メッセージを暗号化処理し、
前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信し、
前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを受信し、
前記デジタル証明書管理応答メッセージを処理して、処理結果を取得し、
前記取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成することは、
前記デジタル証明書発行装置とセキュリティデータチャンネルを交渉することと、
前記デジタル証明書発行装置と、許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することと、
前記デジタル証明書発行装置と、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証することと、
を含むことを特徴とする装置。
【請求項20】
デジタル証明書発行装置であって、
許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成するためのセキュリティデータチャンネル確立ユニットと、
前記デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを受信するための受信ユニットと、
受信された前記デジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成するための処理ユニットと、
前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理するための暗号化ユニットと、
前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信するための送信ユニットと、を含み、
前記セキュリティデータチャンネル確立ユニットは、
前記デジタル証明書申請装置とセキュリティデータチャンネルを交渉するための交渉ユニットと、
前記デジタル証明書申請装置と、許可コード、及び交渉で得られた乱数、アイデンティティ情報を利用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
前記デジタル証明書申請装置と、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニットと
を含むことを特徴とする装置。
【請求項21】
前記受信ユニットはさらに、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理確認メッセージを受信し、
前記処理ユニットはさらに、受信されたデジタル証明書管理確認メッセージを処理する、
ことを特徴とする請求項20に記載の装置。
【請求項22】
前記送信ユニットによって送信される前記デジタル証明書管理応答メッセージは証明書応答データを携帯し、
前記暗号化ユニットは具体的に、
前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理応答メッセージを暗号化処理し、
なお、前記受信ユニットによって受信される前記デジタル証明書管理要求メッセージに携帯される証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報は、バージョン、所有者名、所有者公開鍵情報及び拡張を含む、
ことを特徴とする請求項20に記載の装置。
【請求項23】
前記暗号化ユニットはさらに、
前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前、前記データセッション鍵を利用して前記デジタル証明書管理応答メッセージに携帯される証明書応答データを暗号化処理し、
なお、前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む、
ことを特徴とする請求項22に記載の装置。
【請求項24】
前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニットによって送信される前記証明書応答データはさらに、暗号化アルゴリズム識別子を含み、具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理して得られたデータを含み、それに対応し、前記暗号化ユニットはさらに、
前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理する、
ことを特徴とする請求項23に記載の装置。
【請求項25】
前記交渉ユニットは具体的に、
第2の乱数、第2のアイデンティティ情報をデジタル証明書申請装置に送信し、前記デジタル証明書申請装置によって送信される第1の乱数、第1のアイデンティティ情報を受信し、
前記鍵生成ユニットは具体的に、
許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する、
ことを特徴とする請求項20に記載の装置。
【請求項26】
前記鍵生成ユニットによって生成されたセキュリティ鍵は完全性チェック鍵をさらに含み、前記鍵確認ユニットは具体的に、
デジタル証明書申請装置と、乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する、
ことを特徴とする請求項20又は25に記載の装置。
【請求項27】
デジタル証明書の発行のための装置であって、
メモリ及び1つ又は複数のプログラムが含まれ、1つ又は複数のプログラムは、メモリに記憶され、1つ又は複数のプロセッサーによって、前記1つ又は複数のプログラムに含まれる以下の動作を実行するための命令を実行するように配置され、
許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成し、
前記デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを受信し、
受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成し、
前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理し、
前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信し、
前記許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成することは、
前記デジタル証明書申請装置とセキュリティデータチャンネルを交渉することと、
前記デジタル証明書申請装置と、許可コード、及び交渉で得られた乱数、アイデンティティ情報を利用してセキュリティチャンネルのセキュリティ鍵を生成することと、
前記デジタル証明書申請装置と、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証することと、
を含むことを特徴とする装置。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2017年4月1日に中国特許庁に提出された、出願番号が「201710211816.2、」であって、発明の名称が「デジタル証明書管理方法及び装置」である中国特許出願に基づく優先権を主張するものであり、その全内容を本出願に参照により援用する。
【0002】
[技術分野]
本発明は、ネットワークセキュリティ技術分野に関し、具体的に、デジタル証明書管理方法及び装置に関する。
【背景技術】
【0003】
ネットワークセキュリティ技術の発展に伴い、ネットワーク情報伝送の機密性と完全性をどのように確保するかは重要な研究課題になっている。デジタル証明書は、ネットワーク通信エンティティのアイデンティティを検証する方法であり、デジタル証明書技術を使用してデータの暗号化、アイデンティティ検証などを行うことができる。デジタル証明書は、通常、デジタル証明書発行装置によってデジタル証明書申請装置に発行し、デジタル証明書申請装置のアイデンティティを識別するために使用できる。
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来の技術では、無線ローカルエリアネットワークにおけるデジタル証明書の申請、更新及び発行に適用されるデジタル証明書自動申請の方法がある。この方法では、デジタル証明書申請装置は、デジタル証明書発行装置が新しいデジタル証明書を生成するように、無線ローカルエリアネットワークを介してデジタル証明書発行装置にメッセージを送信して、それによってサポートされるデジタル証明書生成方法を通知することができる。この方法では、デジタル証明書申請装置とデジタル証明書発行装置との間で伝送されるメッセージは平文で伝送され、両者はメッセージの完全性チェックのみを行って、メッセージが改ざんされていないことを確定する。この方法ではデータの完全性のみが保証され、データの真実性と機密性を効果的に保護することができない。特に、デジタル証明書申請装置とデジタル証明書発行装置が他のネットワーク形式でデータをやり取りする場合、メッセージが平文で伝送されるため、この方法にはセキュリティ性が低いという欠点がある。
【課題を解決するための手段】
【0005】
本発明は、デジタル証明書申請装置とデジタル証明書発行装置との間でデータ伝送のためのセキュリティチャンネルを確立し、両者によって伝送されるメッセージを暗号化して伝送することによって、デジタル証明書管理のセキュリティ性を効果的に向上させることができるデジタル証明書管理方法及び装置を提供する。
【0006】
そのために、本発明は、以下の技術案を提供する。
【0007】
第1の態様によれば、本発明は、デジタル証明書管理方法を提供し、デジタル証明書申請装置が取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、少なくともデータ通信鍵が含まれるセキュリティ鍵を生成することと、デジタル証明書申請装置が前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されるデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信することと、デジタル証明書発行装置が前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャンネルを利用して、デジタル証明書管理応答メッセージをデジタル証明書申請装置に送信し、前記デジタル証明書申請装置が前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理される前記デジタル証明書管理応答メッセージを受信することと、デジタル証明書申請装置が前記デジタル証明書管理応答メッセージを処理して、処理結果を取得することと、を含む。
【0008】
第2の態様によれば、本発明はデジタル証明書申請装置を提供し、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成するためのセキュリティデータチャンネル確立ユニットと、前記データ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化処理するための暗号化ユニットと、前記セキュリティデータチャンネルを利用して前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信するための送信ユニットと、前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを受信するための受信ユニットと、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得するための処理ユニットと、を含む。
【0009】
第3の態様によれば、本発明は、デジタル証明書の申請のための装置を提供し、メモリ及び1つ又は複数のプログラムが含まれ、1つ又は複数のプログラムはメモリに記憶され、1つ又は複数のプロセッサーによって、前記1つ又は複数のプログラムに含まれる以下の動作を実行するための命令を実行するように配置され、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成し、前記データ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化処理し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信し、前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する。
【0010】
第4の態様によれば、本発明は、デジタル証明書発行装置を提供し、前記装置は、許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立して、データ通信鍵が含まれるセキュリティ鍵を生成するためのセキュリティデータチャンネル確立ユニットと、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを受信するための受信ユニットと、受信された前記デジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成するための処理ユニットと、前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理するための暗号化ユニットと、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信するための送信ユニットと、を含む。
【0011】
第5の態様によれば、本発明は、デジタル証明書の発行のための装置を提供し、メモリ及び1つ又は複数のプログラムが含まれ、1つ又は複数のプログラムはメモリに記憶され、1つ又は複数のプロセッサーによって、前記1つ又は複数のプログラムに含まれる以下の動作を実行するための命令を実行するように配置され、許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立して、データ通信鍵が含まれるセキュリティ鍵を生成し、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを受信し、受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成し、前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信する。
【0012】
本発明によって提供されるデジタル証明書管理方法及び装置では、デジタル証明書申請装置は、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成し、デジタル証明書申請装置とデジタル証明書発行装置との間のメッセージのやり取り中に、生成されたデータ通信鍵を利用してメッセージを暗号化することによって、データ伝送のセキュリティ性を効果的に向上させ、多くの異なるタイプのシナリオにおけるデジタル証明書の自動申請、照会、更新、リボケーション及び失効リストの取得などに適用することができる。
【0013】
本発明の実施例又は従来の技術における技術案をより明確に説明するために、実施例又は従来の技術の説明で使用される図面を以下に簡単に説明する。明らかに、以下の説明における図面は本発明に記載された幾つかの実施例に過ぎず、当業者はいかなる創造的な作業もなしにそれらの図面に従って他の図面を得ることができる。
【図面の簡単な説明】
【0014】
図1】本発明の実施例を適用することができる例示的な適応シナリオである。
図2】本発明の一実施例によるデジタル証明書管理方法のフローチャートである。
図3】本発明の他の実施例によるデジタル証明書管理方法のフローチャートである。
図4】本発明の実施例によるセキュリティデータチャンネルの交渉及び確立の概略図である。
図5】本発明の一実施例によるデジタル証明書の自動申請、照会、更新、リボケーション及び失効リストの取得方法におけるメッセージ内容の概略図である。
図6】例示的な実施例によるデジタル証明書申請装置のブロック図である。
図7】他の例示的な実施例によるデジタル証明書の申請に使用される装置のブロック図である。
図8】例示的な実施例によるデジタル証明書発行装置のブロック図である。
図9】他の例示的な実施例によるデジタル証明書の発行に使用される装置のブロック図である。
【発明を実施するための形態】
【0015】
本発明の実施例は、デジタル証明書管理方法及び装置を提供しており、デジタル証明書申請装置とデジタル証明書発行装置との間でデータ伝送のためのセキュリティチャンネルを確立し、両方によって伝送されるメッセージを暗号化して伝送することができ、それによってデジタル証明書管理のセキュリティ性を効果的に向上させる。
【0016】
当業者に本発明における技術案をよりよく理解させるために、本発明の実施例における図面を参照しながら、本発明の実施例における技術案を以下に明確かつ完全に説明する。説明される実施例が本発明の実施例の一部に過ぎず、全ての実施例ではないことは明らかである。本発明の実施例に基づいて、当業者によって創造的な労働なしに得られる他の全ての実施例は、本発明の保護範囲内に属するものとする。
【0017】
図1は、本発明の実施例の例示的な適用シナリオである。本発明の実施例によって提供される方法及び装置は、図1に示すようなシナリオに適用でき、デジタル証明書申請装置及びデジタル証明書発行装置はネットワークを介して接続でき、前記接続は、任意の形態の有線及び/又は無線接続(例えば、WLAN、LAN、セルラー、同軸ケーブルなど)であってもよい。図1を例として説明すると、デジタル証明書申請装置は、既存の、開発中の、又は将来開発されるスマートフォン、非スマートフォン、タブレット、ラップトップパーソナルコンピュータ、デスクトップパーソナルコンピュータ、小型コンピュータ、中型コンピュータ、大型コンピュータなどを含むがこれらに限定されない。デジタル証明書申請装置は、それぞれの適用されるネットワークの形態でデジタル証明書発行装置(例えば、認証局CAサーバー)に証明書のダウンロードや更新などを申請することができる。なお、本発明の実施例は、無線操作ネットワーク、航空、輸送、電力、放送、金融、医療、教育、商業などの多くの産業に適用することができることに留意されたい。当然のことながら、上記の適用シナリオは、本発明の理解を容易にするために示されているに過ぎず、本発明の実施形態はこの点において限定されない。むしろ、本発明の実施形態は、適用可能なあらゆるシナリオに適用することができる。
【0018】
以下、本発明の例示的な実施例に示すデジタル証明書管理方法について図2から図6を参照して説明する。
【0019】
図2は、本発明の一実施例によるデジタル証明書管理方法のフローチャートである。図2に示すように、以下のことを含むことができる。
【0020】
S201、デジタル証明書申請装置は、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立して、データ通信鍵が含まれるセキュリティ鍵を生成する。
【0021】
具体的な実現では、デジタル証明書申請者は、デジタル証明書をダウンロードするための許可コードをデジタル証明書発行者に要求することができる。デジタル証明書申請者は例えば、デジタル証明書申請装置であってもよく、デジタル証明書発行者は例えばデジタル証明書発行装置であってもよい。本発明は、具体的な許可コード要求方法を限定しない。例えば、デジタル証明書申請者は、テキストメッセージ、電子メール、専用要求などの方法を用いてデジタル証明書発行者に許可コードを要求することができる。デジタル証明書発行者は、特定の方法で許可コードをデジタル証明書申請者に送信することができる。例えば、デジタル証明書発行者は、テキストメッセージ、電子メール、専用メッセージなどの方法を用いてデジタル証明書申請者に許可コードを送信することができる。一般的に、許可コードは、デジタル証明書発行者自身によって生成されるものであって、デジタル証明書申請者が許可コードを要求するときにリアルタイムで生成されるものであってもよく、使用するために事前に生成されるものであってもよく、一定の長さの要件を有する文字及び/又は数字及び/又は記号などの組み合わせであってもよく、許可コードにも一定の使用期限があり、使用期限を超えると、許可コードは無効になる。使用過程で、デジタル証明書発行者が異なるデジタル証明書申請者に割り当てる許可コードは異なる。
【0022】
具体的な実現では、デジタル証明書申請装置は取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立することができ、前記セキュリティデータチャンネルは、セキュリティデータの伝送に使用される。セキュリティデータチャンネルを確立する際に、デジタル証明書申請装置は、許可コードを利用してセキュリティ鍵を生成することができ、前記セキュリティ鍵は1つ又は複数の鍵を含むことができ、前記1つ又は複数の鍵はデータ通信鍵を含む。前記セキュリティ鍵は、データセッション鍵をさらに含んでもよい。前記データ通信鍵は、前記デジタル証明書申請装置及び前記デジタル証明書発行装置がセキュリティデータチャンネルにおいて伝送するメッセージを暗号化するために使用される。なお、セキュリティ鍵は、メッセージの暗号化及び復号化処理を容易にするように、デジタル証明書申請装置側及びデジタル証明書発行装置側の両方で生成される。前記データセッション鍵は、証明書要求データ又は証明書応答データを暗号化するために使用できる。前記証明書要求データは具体的に、デジタル証明書管理要求メッセージに携帯されるデータである。前記証明書応答データは具体的に、デジタル証明書管理応答メッセージに携帯されるデータである。
【0023】
S202、デジタル証明書申請装置は、前記セキュリティデータチャンネルを利用して前記データ通信鍵によって暗号化されたデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信する。
【0024】
本発明では、デジタル証明書管理要求メッセージが暗号化処理される。具体的に、S201で生成されたデータ通信鍵を暗号化処理に使用することによって、メッセージ伝送のセキュリティ性を効果的に向上させる。なお、前記デジタル証明書管理要求メッセージに含まれるデータは1回暗号化処理されてもよいし、2回暗号化処理されてもよい。例えば、前記デジタル証明書管理要求メッセージは、セキュリティデータチャンネルにおいて伝送される際に、前記データ通信鍵によって暗号化された後に、デジタル証明書発行装置に送信される。また例えば、前記デジタル証明書管理要求メッセージは伝送される前に、データセッション鍵などのセキュリティ鍵における1組の鍵によってデジタル証明書管理要求メッセージに携帯される証明書要求データが既に暗号化処理され、セキュリティデータチャンネルにおいて伝送される際に2回目の暗号化処理が行われる。セキュリティ性を考えると、2回の暗号化処理に使用されるセキュリティ鍵(即ち、データ通信鍵及びデータセッション鍵)は異なる。デジタル証明書要求装置及びデジタル証明書発行装置は、暗号化の回数、暗号化アルゴリズム及び暗号化に使用される鍵の種類(即ち、データ通信鍵及びデータセッション鍵)を事前に合意することができる。
【0025】
S203、デジタル証明書発行装置は、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化されたデジタル証明書管理応答メッセージをデジタル証明書申請装置に送信する。
【0026】
具体的に、デジタル証明書発行装置は、前記デジタル証明書管理要求メッセージを受信した後、まず、生成されたセキュリティ鍵を利用して前記デジタル証明書管理要求メッセージを復号化し、デジタル証明書管理要求メッセージに携帯されるデータに基づき処理して、デジタル証明書管理応答メッセージを生成し、デジタル証明書管理応答メッセージをデジタル証明書申請装置に送信する。
【0027】
それに対応して、本発明では、デジタル証明書管理応答メッセージが暗号化処理される。具体的に、S201で生成されたデータ通信鍵を暗号化処理に使用することで、メッセージ伝送のセキュリティ性を効果的に向上させることができる。なお、前記デジタル証明書管理応答メッセージは同様に、1回暗号化処理されてもよいし、2回暗号化処理されてもよいことに留意されたい。例えば、S202で前記デジタル証明書管理要求メッセージは伝送される前に、例えばデータセッション鍵などのセキュリティ鍵における1組の鍵によってデジタル証明書管理要求メッセージに含まれるデータが既に暗号化され、セキュリティデータチャンネルにおいて伝送される際にデータ通信鍵によって2回目の暗号化処理が行われる。それに対応して、前記デジタル証明書管理応答メッセージも前記データセッション鍵及び前記データ通信鍵をそれぞれ利用して2回の暗号化処理を行うことができる。デジタル証明書要求装置及びデジタル証明書発行装置は、暗号化の回数、暗号化アルゴリズム及び暗号化に使用される鍵の種類(即ち、データ通信鍵及びデータセッション鍵)を事前に合意することができる。
【0028】
S204、デジタル証明書申請装置は、前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信されるデジタル証明書管理応答メッセージを受信する。
【0029】
その中、前記デジタル証明書管理応答メッセージは、前記データ通信鍵によって暗号化処理されたものである。
【0030】
具体的な実現では、本発明は、デジタル証明書申請装置及びデジタル証明書発行装置によって使用されるメッセージ及びやり取りの方法を限定せず、上記の情報のやり取りを実現してデジタル証明書の自動申請、照会、更新、リボケーション及び失効リストの取得を実現することができれば、本発明の保護範囲に属する。いくつかの実施形態では、前記デジタル証明書管理要求メッセージは、デジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書リボケーション情報、デジタル証明書失効リスト情報などのタイプを含むことができる。前記デジタル証明書管理応答メッセージは、デジタル証明書応答情報を含む。
【0031】
S205、デジタル証明書申請装置は、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する。
【0032】
具体的な実現では、デジタル証明書申請装置は、デジタル証明書管理応答メッセージに対して復号化処理及びチェック処理を行って、メッセージ内容を取得し、必要に応じて使用するデジタル証明書を確定し、デジタル証明書のインストール、更新などの処理を行う。
【0033】
本発明の具体的な実現では、デジタル証明書管理要求メッセージに証明書要求データが携帯され、前記デジタル証明書管理応答メッセージに証明書応答データが携帯される。証明書要求データ及び/又は証明書応答データを暗号化するかどうかに従って、以下の実現形態を含むことができる。
【0034】
(1)証明書要求データ及び証明書応答データは平文であり、デジタル証明書管理要求メッセージ及びデジタル証明書管理応答メッセージはセキュリティチャンネルのデータ通信鍵によって暗号化されて、1回の暗号化が完了する。
【0035】
このとき、前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化されることは、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化されることを含み、前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化されることは、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化されることを含む。
【0036】
(2)前記セキュリティ鍵がデータセッション鍵をさらに含む場合、証明書要求データはデータセッション鍵を使用した1回目の暗号化処理が行われ、証明書応答データは暗号化されず、平文である。デジタル証明書管理要求メッセージはデータ通信鍵を使用した2回目の暗号化が行われ、デジタル証明書管理応答メッセージはデータ通信鍵を使用して1回暗号化される。
【0037】
このとき、前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化されることは、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化される前に、前記デジタル証明書管理要求メッセージに携帯される証明書要求データが前記データセッション鍵によって暗号化されることを含む。
【0038】
このとき、前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化されることは、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化されることを含む。
【0039】
(3)前記セキュリティ鍵がデータセッション鍵をさらに含む場合、証明書要求データはデータセッション鍵を使用した1回目の暗号化処理が行われ、証明書応答データもデータセッション鍵を使用した1回目の暗号化処理が行われる。その中、証明書応答データと証明書要求データに使用されるセッション鍵及び暗号化方法は対応する。デジタル証明書管理要求メッセージ及びデジタル証明書管理応答メッセージはそれぞれ、データ通信鍵を使用した2回目の暗号化が行われる。
【0040】
このとき、前記デジタル証明書管理要求メッセージが前記データ通信鍵によって暗号化処理されることは、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記デジタル証明書管理要求メッセージに携帯される証明書要求データが前記データセッション鍵によって暗号化処理されることを含む。
【0041】
このとき、前記デジタル証明書管理応答メッセージが前記データ通信鍵によって暗号化処理されることは、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前に、前記デジタル証明書管理応答メッセージに携帯される証明書応答データが前記データセッション鍵によって暗号化処理されることを含む。
【0042】
前記方法は以下のことを含んでもよい。
【0043】
S206、デジタル証明書申請装置は、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理確認メッセージをデジタル証明書発行装置に送信する。
【0044】
具体的な実現では、デジタル証明書管理確認メッセージが暗号化処理される。具体的に、S201で生成されたデータ通信鍵を暗号化処理に使用することによって、メッセージ伝送のセキュリティ性を効果的に向上させる。
【0045】
S207、デジタル証明書発行装置は、前記デジタル証明書管理確認メッセージを受信して処理する。
【0046】
本発明のこの実施例では、デジタル証明書申請装置は、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成し、デジタル証明書申請装置とデジタル証明書発行装置とのメッセージのやり取りの過程では、生成されたセキュリティ鍵を利用してメッセージを暗号化処理することによって、データ伝送のセキュリティ性を効果的に向上させ、多くの異なるタイプのシナリオにおけるデジタル証明書の自動申請、照会、更新、リボケーション及び失効リストの取得などに適用することができる。
【0047】
本発明では、デジタル証明書申請装置とデジタル証明書発行装置がメッセージをやり取りする過程では、メッセージが送信されてから一定の時間内に応答メッセージが受信されていない場合、再送信する必要がある。
【0048】
当業者に特定のシナリオにおける本発明の実施形態をより明確に理解させるために、本発明の実施形態を一具体例を用いて以下に説明する。なお、当該具体例は、当業者に本発明をより明確に理解させるためのものであり、本発明の実施形態は当該具体例に限定されない。
【0049】
図3は、本発明の他の実施例によるデジタル証明書管理方法のフローチャートである。図3に示すように、以下のステップを含むことができる。
【0050】
S301、デジタル証明書申請装置が許可コードを取得する。
【0051】
具体的な実現では、デジタル証明書申請装置はデジタル証明書をダウンロードするための許可コードをデジタル証明書発行装置に要求して、前記デジタル証明書発行装置によって送信される許可コードを取得する。
【0052】
S302、デジタル証明書申請装置は、取得した許可コードを利用してデジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成する。
【0053】
具体的な実現では、デジタル証明書発行の過程における情報伝送のセキュリティを保証するために、デジタル証明書申請装置とデジタル証明書発行装置との間でセキュリティデータチャンネルの確立を交渉することができる。デジタル証明書申請装置は許可コードを使用してセキュリティデータチャンネルデータの伝送に使用されるセキュリティ鍵を生成する。
【0054】
本発明は、セキュリティチャンネルの確立方法を限定せず、許可コードを利用してデータ伝送のための共有セキュリティ鍵を生成することができればよい。具体的な実現では、以下の方法を使用してセキュリティデータチャンネルを確立することができる。
【0055】
S302A、デジタル証明書申請装置とデジタル証明書発行装置はセキュリティデータチャンネルの交渉を行う。
【0056】
S302B、デジタル証明書申請装置とデジタル証明書発行装置は許可コード及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成する。
【0057】
その中、前記セキュリティ鍵はデータ通信鍵を含んでもよく、さらにデータセッション鍵を含んでもよい。前記データ通信鍵は、前記データ証明書申請装置及びデジタル証明書発行装置がセキュリティデータチャンネルにおいてメッセージをやり取りする際にメッセージを暗号化処理して伝送するために使用される。前記データセッション鍵は、メッセージが伝送される前に、メッセージに携帯される証明書要求データ及び/又は証明書応答データを暗号化処理するために使用される。
【0058】
S302C、デジタル証明書申請装置とデジタル証明書発行装置は、完全性チェックコードによってセキュリティチャンネル確認メッセージを検証する。
【0059】
具体的な実現は図4に示すセキュリティデータチャンネルの交渉及び確立の概略図を参照することができる。具体的に、前記デジタル証明書申請装置とデジタル証明書発行装置がセキュリティデータチャンネルの交渉を行うことは、デジタル証明書申請装置が第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、且つ、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信することを含む。その中、前記第1の乱数はデジタル証明書申請装置によってランダムに生成されるものであり、前記第1のアイデンティティ情報は具体的に、デジタル証明書申請装置のアイデンティティ識別子、例えば、IPアドレス、MACアドレス、電子メールアドレス、フルドメイン名の文字列又は国際モバイル加入者識別番号(IMSI)などであってもよい。前記第2の乱数はデジタル証明書発行装置によってランダムに生成されるものであり、前記第2のアイデンティティ情報は具体的に、デジタル証明書発行装置のアイデンティティ識別子、例えば、IPアドレス、MACアドレス、電子メールアドレス、フルドメイン名の文字列又は国際モバイル加入者識別番号(IMSI)などであってもよい。デジタル証明書申請装置とデジタル証明書発行装置とが乱数、アイデンティティ情報をやり取る過程はデジタル証明書申請装置によって開始されてもよいし、デジタル証明書発行装置によって開始されてもよく、本発明は具体的なやり取り方法を限定しない。
【0060】
いくつかの実施形態では、前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することは、前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成することを含む。なお、デジタル証明書申請装置とデジタル証明書発行装置側で生成されたセキュリティ鍵は同じである。前記セキュリティ鍵は1組または複数組の鍵を含むことができる。例えば、セキュリティ鍵は、データ伝送のためのデータ通信鍵を含んでもよいし、完全性チェックを行うための完全性チェック鍵を含んでもよく、証明書要求データ及び/又は証明書応答データを暗号化処理するためのデータセッション鍵を含んでもよい。
【0061】
いくつかの実施形態では、前記セキュリティ鍵は、完全性チェック鍵をさらに含み、前記デジタル証明書申請装置とデジタル証明書発行装置が完全性チェックコードによってセキュリティチャンネルの鍵確認を行うことは、前記デジタル証明書申請装置とデジタル証明書発行装置が乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証することを含む。
【0062】
S303、デジタル証明書申請装置は、前記セキュリティデータチャンネルを利用して、デジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信する。
【0063】
具体的な実現では、デジタル証明書申請装置は、セキュリティデータチャンネルによって秘密化した後に、証明書管理要求メッセージをデジタル証明書発行装置に送信する。デジタル証明書申請装置がデジタル証明書発行装置によって発行されたデジタル証明書を持っていない場合、証明書管理要求メッセージは、申請される新しいデジタル証明書に含まれる必要がある証明書情報を携帯する。デジタル証明書申請装置がデジタル証明書発行装置によって発行されたデジタル証明書を持っている場合、デジタル証明書申請装置によって送信されるデジタル証明書管理要求メッセージは、既存のデジタル証明書の情報を携帯して、デジタル証明書発行装置が証明書の照会及び更新を行う。
【0064】
いくつかの実施形態では、前記デジタル証明書管理要求メッセージはデジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書リボケーション情報、デジタル証明書失効リスト情報などを含むことができる。具体的な実現では、デジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書リボケーション情報又はデジタル証明書失効リスト情報は表1に示す形式を採用することができるがこれに限定されない。
【0065】
【表1】
【0066】
例えば、デジタル証明書管理要求メッセージの情報タイプ値が2である場合、前記情報は具体的に、新しいデジタル証明書を申請するための証明書申請情報である。デジタル証明書管理要求メッセージの情報タイプ値が4である場合、前記情報は具体的に、既存のデジタル証明書を照会又は更新するための証明書取得情報である。デジタル証明書管理要求メッセージの情報タイプ値が5である場合、前記情報は具体的に、既存のデジタル証明書をリボケーションするための証明書リボケーション情報である。デジタル証明書管理要求メッセージの情報タイプ値が6である場合、前記情報は具体的に、証明書失効リストを要求するための証明書失効リスト情報である。
【0067】
具体的な実現では、証明書申請情報のフィールドフォーマットは、表2に示す形式を採用することができるが、これに限定されない。
【0068】
【表2】
【0069】
具体的な実現では、証明書取得情報のフィールドフォーマットは、表3に示す形式を採用することができるが、これに限定されない。
【0070】
【表3】
【0071】
具体的な実現では、証明書リボケーション情報のフィールドフォーマットは、表4に示す形式を採用することができるが、これに限定されない。
【0072】
【表4】
【0073】
具体的な実現では、証明書失効リスト情報のフィールドフォーマットは、表5に示す形式を採用することができるが、これに限定されない。
【0074】
【表5】
【0075】
本発明は、証明書申請情報に携帯される証明書要求データを限定しない。
【0076】
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに携帯される証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含む。
【0077】
その中、証明書要求情報は、バージョン、所有者名、所有者公開鍵情報及び拡張を含むことができる。これらの情報要素は簡潔であり、証明書の発行に関する基本要件を満たすことができる。署名値は、デジタル証明書申請装置が公開鍵と秘密鍵のペアをローカルで生成した後、署名アルゴリズム識別子に対応する署名アルゴリズムを使用して、秘密鍵によって前記証明書要求情報を計算することによって得られた値である。デジタル証明書発行装置は、証明書要求情報内の所有者公開鍵情報に従って署名をチェックして、公開鍵と秘密鍵がデジタル証明書申請装置に属するかどうかを判断する。署名アルゴリズム識別子及び署名値によって、公開鍵と秘密鍵が当該エンティティに属するかどうかを検証することができる。
【0078】
他のいくつかの実施形態では、前記証明書要求データ内の前記証明書要求情報はより完全な情報、即ち、シリアル番号、発行者名、及び有効期限をさらに含むことができる。これらの情報は、証明書発行機能を拡張することができ、例えば、デジタル証明書申請者が証明書を制限することを要求する特定の情報などである。この場合、前記証明書要求データは暗号化処理され、具体的に、前記証明書要求データは、デジタル証明書申請装置が、セキュリティデータチャンネルが確立された後、生成されたデータセッション鍵を使用して証明書要求情報、署名アルゴリズム識別子及び署名値を暗号化処理して得られたデータである。さらに、上記の実施形態に基づいて、デジタル証明書申請装置及び/又はデジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書要求データは、暗号化アルゴリズム識別子をさらに含むべきである。それに対応して、前記証明書要求データは具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化して得られたデータを含む。このような証明書要求データ構造要素はより完全でより用途が広く、公開鍵と秘密鍵が属するエンティティを検証し、且つ証明書要求データを機密に保護する。同時に、セキュリティデータチャンネルがある場合に、このような証明書要求データ構造の使用は証明書要求データの2回の機密保護を実現することができ、データ伝送のセキュリティ性をさらに向上させる。
【0079】
S304、デジタル証明書申請装置は前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信されるデジタル証明書管理応答メッセージを受信する。
【0080】
具体的な実現では、デジタル証明書発行装置は、セキュリティデータチャンネルによって秘密化した後に、証明書管理応答メッセージをデジタル証明書申請装置に送信する。デジタル証明書申請装置が新しいデジタル証明書を申請する必要があるとデジタル証明書発行装置によって確定される場合、デジタル証明書管理応答メッセージは、デジタル証明書申請情報に含まれる証明書要求データに基づきデジタル証明書発行装置によって生成される新しいデジタル証明書を含む。デジタル証明書申請装置が既存のデジタル証明書を照会又は更新する必要があるとデジタル証明書発行装置によって確定される場合、デジタル証明書管理応答メッセージは照会又は更新されたデジタル証明書を携帯する。
【0081】
具体的な実現では、デジタル証明書発行装置は、デジタル証明書管理要求メッセージ内の情報タイプに従って処理を判断する。デジタル証明書申請情報が受信され、保護が申請される証明書情報が存在すると判断される場合、証明書要求データに従って新しいデジタル証明書を発行し、証明書取得情報に含まれる既存のデジタル証明書情報が存在する場合、発行装置名とシリアル番号に従って既存のデジタル証明書を照会する。証明書リボケーション情報に含まれる発行装置名とシリアル番号が存在する場合、発行装置名とシリアル番号に従って、既存のデジタル証明書を照会してリボケーションし、証明書失効リストが存在する場合、発行装置名に従って証明書失効リストを照会する。デジタル証明書発行装置はデジタル証明書管理応答メッセージで上記の証明書を携帯する。デジタル証明書管理応答メッセージは表6に示す形式を採用することができるが、これに限定されない。
【0082】
【表6】
【0083】
証明書応答情報フォーマットは、表7に示す形式を採用することができるが、これに限定されない。
【0084】
【表7】
【0085】
その中、証明書生成タイプは、表8に示すようになり、異なる証明書所有者に対応する証明書タイプが挙げられる。
【0086】
【表8】
【0087】
その中、AS証明書は認証サーバー証明書であり、CA証明書は認証局の証明書である。
【0088】
具体的な実現では、デジタル証明書管理応答メッセージが暗号化処理される。具体的に、セキュリティチャンネルがある場合に、生成されたデータ通信鍵を暗号化処理に使用することで、メッセージ伝送のセキュリティ性を向上させる。なお、前記デジタル証明書管理応答メッセージは、1回暗号化処理されてもよいし、2回暗号化処理されてもよいことに留意されたい。例えば、前記デジタル証明書管理要求メッセージが伝送される前に、既に例えばデータセッション鍵などのセキュリティ鍵における1組の鍵を利用してデジタル証明書管理要求メッセージに含まれる証明書要求データが暗号化処理された場合、セキュリティデータチャンネルにおいて伝送される際にデータ通信鍵を使用した2回目の暗号化処理が行われる。それに対応して、前記デジタル証明書管理応答メッセージも、前記データセッション鍵と前記データ通信鍵を利用して含まれる証明書応答データに対してそれぞれ2回目の暗号化処理を行うことができる。さらに、デジタル証明書申請装置及び/又はデジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書応答データは暗号化アルゴリズム識別子も含むべきであり、それに対応して、前記証明書応答データは具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化して得られたデータを含む。
【0089】
S305、デジタル証明書申請装置は、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する。
【0090】
さらに、デジタル証明書申請装置は、必要に応じて使用するデジタル証明書を確定する。
【0091】
前記方法は、以下のことを含んでもよい。
【0092】
S306、デジタル証明書申請装置は前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理確認メッセージをデジタル証明書発行装置に送信する。
【0093】
本発明の実施例では、上記のS301、S302を介してメッセージは安全で信頼可能なデータ伝送チャンネルを確立し、上記のS303、S304、S305を介して3つのメッセージのやり取りによってデジタル証明書の自動申請、照会及び更新を実現し、デジタル証明書管理をより効果的に、安全で信頼可能なようにする。図5に示すように、デジタル証明書の自動申請、照会、更新、リボケーション及び失効リストの取得方法におけるメッセージ内容の概略図である。図5に示すように、デジタル証明書管理要求メッセージCertReqは具体的にデジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書リボケーション情報及びデジタル証明書失効リスト情報などを含むことができる。前記デジタル証明書管理応答メッセージCertResはデジタル証明書応答情報などを含むことができる。デジタル証明書管理確認メッセージCertConfirmは、デジタル証明書申請装置とデジタル証明書発行装置との間の接続を解除するために使用できる。
【0094】
以上、本発明によって提供されるデジタル証明書管理方法についてデジタル証明書申請装置側から説明する。当業者であれば、本発明によって提供される方法はデジタル証明書発行装置側にも適用することができ、図2から図5に示す例に対応して処理を実行することができることを理解することができる。例えば、上記方法は証明書発行装置側に適用され、デジタル証明書発行装置が許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成することと、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信された、前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを受信することと、受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成することと、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信することと、を含んでもよい。
【0095】
いくつかの実施形態では、前記方法は、前記デジタル証明書発行装置がデジタル証明書申請装置によって生成され前記セキュリティデータチャンネルを利用して送信されたデジタル証明書管理確認メッセージを受信して処理することをさらに含む。
【0096】
いくつかの実施形態では、前記デジタル証明書発行装置が許可コードを利用してデジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、セキュリティ鍵を生成することは、前記デジタル証明書発行装置とデジタル証明書申請装置がセキュリティデータチャンネルの交渉を行うことと、前記デジタル証明書発行装置とデジタル証明書申請装置が許可コード、及び、交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することと、前記デジタル証明書発行装置とデジタル証明書申請装置が完全性チェックコードによってセキュリティチャンネル確認メッセージを検証することとを含む。
【0097】
いくつかの実施形態では、前記デジタル証明書発行装置とデジタル証明書申請装置がセキュリティデータチャンネルの交渉を行うことは、前記デジタル証明書発行装置が第2の乱数、第2のアイデンティティ情報をデジタル証明書申請装置に送信し、前記デジタル証明書申請装置によって送信された第1の乱数、第1のアイデンティティ情報を受信することを含む。
【0098】
いくつかの実施形態では、前記デジタル証明書発行装置とデジタル証明書申請装置が許可コード、及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成することは、前記デジタル証明書発行装置が許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成することを含む。
【0099】
具体的な実現は、図2から図5に示す方法を参照して実現することができる。
【0100】
図6は、本発明の一実施例によるデジタル証明書申請装置の概略図である。
【0101】
デジタル証明書申請装置600は、以下のユニットを含む。
【0102】
セキュリティデータチャンネル確立ユニット601は、取得した許可コードを利用して、デジタル証明書発行装置と交渉してセキュリティデータチャンネルを確定し、データ通信鍵を含むセキュリティ鍵を生成する。
【0103】
暗号化ユニット602は、前記データ通信鍵を利用して前記証明書管理要求メッセージを暗号化する。
【0104】
送信ユニット603は、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化されたデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信する。
【0105】
受信ユニット604は、前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信された、前記データ通信鍵によって暗号化されたデジタル証明書管理応答メッセージを受信する。
【0106】
処理ユニット605は、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する。
【0107】
いくつかの実施形態では、前記処理ユニット605は、さらに、デジタル証明書管理確認メッセージを生成し、前記送信ユニット603はさらに、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化されたデジタル証明書管理確認メッセージを前記デジタル証明書発行装置に送信する。
【0108】
いくつかの実施形態では、前記送信ユニット603によって送信された前記デジタル証明書管理要求メッセージに携帯される証明書要求データは、証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報は、バージョン、所有者名、所有者公開鍵情報及び拡張を含み、前記暗号化ユニット602は具体的に、
前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化処理する。
【0109】
いくつかの実施形態では、前記暗号化ユニット602はさらに、
前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理要求メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前、前記データセッション鍵を利用して前記デジタル証明書管理要求メッセージに携帯される証明書要求データを暗号化処理する。
【0110】
その中、前記証明書要求情報はシリアル番号、発行者名及び有効期限をさらに含む。
【0111】
さらに、前記デジタル証明書申請装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニット603によって送信される前記証明書要求データは暗号化アルゴリズム識別子をさらに含み、具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理して得られたデータを含み、それに対応して、前記暗号化ユニット602はさらに、
前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって、前記証明書要求情報、前記署名アルゴリズム識別子及び前記署名値を暗号化処理する。
【0112】
いくつかの実施形態では、前記送信ユニット603は、
前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信するための第1の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名とシリアル番号フィールドが含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信するための第2の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信するための第3の送信ユニット、及び/又は、
前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信するための第4の送信ユニットと、を含む。
【0113】
いくつかの実施形態では、前記セキュリティデータチャンネル確立ユニット601は、
デジタル証明書発行装置とセキュリティデータチャンネルの交渉を行うための交渉ユニットと、
デジタル証明書発行装置と許可コード及び交渉で得られた乱数、アイデンティティ情報を利用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
デジタル証明書発行装置と完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニット、を含む。
【0114】
いくつかの実施形態では、前記交渉ユニットは具体的に、
第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信し、
前記鍵生成ユニットは具体的に、
前記デジタル証明書申請装置とデジタル証明書発行装置が許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する。
【0115】
いくつかの実施形態では、前記鍵生成ユニットによって生成されたセキュリティ鍵は、完全性チェック鍵をさらに含み、前記鍵確認ユニットは具体的に、
前記デジタル証明書申請装置とデジタル証明書発行装置が乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する。
【0116】
その中、本発明の装置の各ユニット又はモジュールの設置は図2から図5に示す方法を参照することによって実現でき、ここで説明を繰り返さない。なお、デジタル証明書管理装置は独立した装置であってもよいし、デジタル証明書発行装置と一体化されてもよく、又は、デジタル証明書発行装置の一部として存在してもよく、ここでは限定されない。
【0117】
図7を参照すると、本発明の他の実施例によるデジタル証明書の申請に使用される装置のブロック図が示されている。少なくとも1つのプロセッサー701(例えばCPU)と、メモリ702と、これらの装置の間の接続通信を実現するための少なくとも1つの通信バス703を含む。プロセッサー701は、メモリ702に記憶された例えばコンピュータープログラムなどの実行可能なモジュールを実行する。メモリ702は、高速ランダムアクセスメモリ(RAM:Random Access Memory)を含むことができ、例えば少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non-volatile memory)も含むことができる。1つ又は複数のプログラムはメモリに記憶され、1つ又は複数のプロセッサー701によって、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行するように配置され、取得した許可コードを利用して、デジタル証明書発行装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成し、前記データ通信鍵を利用して前記デジタル証明書管理要求メッセージを暗号化処理し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理要求メッセージを前記デジタル証明書発行装置に送信し、前記セキュリティデータチャンネルを利用して、前記デジタル証明書発行装置によって送信され、前記データ通信鍵によって暗号化されるデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージを処理して、処理結果を取得する。
【0118】
いくつかの実施形態では、プロセッサー701はさらに、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理確認メッセージをデジタル証明書発行装置に送信する。
【0119】
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、前記セキュリティデータチャンネルを利用して、新しいデジタル証明書を申請するための、証明書生成方法及び証明書要求データが含まれるデジタル証明書申請情報を前記デジタル証明書発行装置に送信する。
【0120】
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、前記セキュリティデータチャンネルを利用して、既存のデジタル証明書を照会又は更新するための、発行装置名及びシリアル番号フィールドが含まれるデジタル証明書取得情報を前記デジタル証明書発行装置に送信する。
【0121】
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、前記セキュリティデータチャンネルを利用して、既存のデジタル証明書のリボケーションを申請するための、発行装置名、シリアル番号及びリボケーション原因フィールドが含まれるデジタル証明書リボケーション情報を前記デジタル証明書発行装置に送信する。
【0122】
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、前記セキュリティデータチャンネルを利用して、デジタル証明書失効リストを要求するための、発行装置名フィールドが含まれるデジタル証明書失効リスト情報を前記デジタル証明書発行装置に送信する。
【0123】
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、デジタル証明書発行装置とセキュリティデータチャンネルの交渉を行い、デジタル証明書発行装置と許可コード及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成し、デジタル証明書発行装置と完全性チェックコードによってセキュリティチャンネル確認メッセージを検証する。
【0124】
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、第1の乱数、第1のアイデンティティ情報をデジタル証明書発行装置に送信し、前記デジタル証明書発行装置によって送信される第2の乱数、第2のアイデンティティ情報を受信し、デジタル証明書発行装置と許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する。
【0125】
いくつかの実施形態では、プロセッサー701は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、デジタル証明書発行装置と乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する。
【0126】
図8は、本発明の実施例によるデジタル証明書発行装置の概略図である。
【0127】
デジタル証明書発行装置800は、
許可コードを利用して、デジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成するためのセキュリティデータチャンネル確立ユニット801と、
デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化されるデジタル証明書管理要求メッセージを受信するための受信ユニット802と、
受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成するための処理ユニット803と、
前記データ通信鍵を利用してデジタル証明書管理応答メッセージを暗号化処理するための暗号化ユニット804と、
前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化処理されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信するための送信ユニット805と、を含む。
【0128】
いくつかの実施形態では、前記受信ユニット802はさらに、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信されるデジタル証明書管理確認メッセージを受信し、前記処理ユニット803はさらに、受信されたデジタル証明書管理確認メッセージを処理する。
【0129】
いくつかの実施形態では、前記送信ユニット805によって送信される前記デジタル証明書管理応答メッセージは証明書応答データを携帯し、前記暗号化ユニット804は具体的に、
前記セキュリティデータチャンネルのデータ通信鍵を利用して前記デジタル証明書管理応答メッセージを暗号化処理し、
その中、前記受信ユニット802によって受信される前記デジタル証明書管理要求メッセージに携帯される証明書要求データは証明書要求情報、署名アルゴリズム識別子及び署名値を含み、前記証明書要求情報はバージョン、所有者名、所有者公開鍵情報及び拡張を含む。
【0130】
いくつかの実施形態では、前記暗号化ユニット804はさらに、
前記セキュリティ鍵にデータセッション鍵がさらに含まれる場合、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャンネルのデータ通信鍵によって暗号化処理される前、前記データセッション鍵を利用して前記デジタル証明書管理応答メッセージに携帯される証明書応答データを暗号化処理し、
前記証明書要求情報は、シリアル番号、発行者名及び有効期限をさらに含む。
【0131】
いくつかの実施形態では、前記デジタル証明書発行装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニット805によって送信される前記証明書応答データは暗号化アルゴリズム識別子をさらに含み、具体的に、暗号化アルゴリズム識別子、及び、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理して得られたデータを含み、それに対応し、前記暗号化ユニット804はさらに、
前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムを利用して、前記データセッション鍵によって前記証明書応答データを暗号化処理する。
【0132】
いくつかの実施形態では、前記セキュリティデータチャンネル確立ユニット801は、
デジタル証明書申請装置とセキュリティデータチャンネルの交渉を行うための交渉ユニットと、
デジタル証明書申請装置と許可コード及び交渉で得られた乱数、アイデンティティ情報を使用してセキュリティチャンネルのセキュリティ鍵を生成するための鍵生成ユニットと、
デジタル証明書申請装置と完全性チェックコードによってセキュリティチャンネル確認メッセージを検証するための鍵確認ユニットと、を含む。
【0133】
いくつかの実施形態では、前記交渉ユニットは具体的に、
第2の乱数、第2のアイデンティティ情報をデジタル証明書申請装置に送信し、前記デジタル証明書申請装置によって送信される第1の乱数、第1のアイデンティティ情報を受信し、
前記鍵生成ユニットは具体的に、
許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する。
【0134】
いくつかの実施形態では、前記鍵生成ユニットによって生成されるセキュリティ鍵は、完全性チェック鍵をさらに含み、前記鍵確認ユニットは具体的に、
デジタル証明書申請装置と乱数、前記完全性チェック鍵を利用して完全性チェックコードを生成し、前記完全性チェックコードを利用してセキュリティチャンネル確認メッセージを検証する。
【0135】
図9は、本発明の他の実施例によるデジタル証明書の発行に使用される装置のブロック図である。少なくとも1つのプロセッサー901(例えばCPU)と、メモリ902と、これらの装置の間の接続通信を実現するための少なくとも1つの通信バス903を含む。プロセッサー901は、メモリ902に記憶された例えばコンピュータープログラムなどの実行可能なモジュールを実行する。メモリ902は高速ランダムアクセスメモリ(RAM:Random Access Memory)を含むことができ、例えば少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non-volatile memory)も含むことができる。1つ又は複数のプログラムはメモリに記憶され、1つ又は複数のプロセッサー901によって、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行するように配置され、許可コードを利用して、デジタル証明書申請装置と交渉してセキュリティデータチャンネルを確立し、データ通信鍵が含まれるセキュリティ鍵を生成し、デジタル証明書申請装置によって前記セキュリティデータチャンネルを利用して送信され、前記データ通信鍵によって暗号化されるデジタル証明書管理要求メッセージを受信し、受信されたデジタル証明書管理要求メッセージを処理して、デジタル証明書管理応答メッセージを生成し、前記セキュリティデータチャンネルを利用して、前記データ通信鍵によって暗号化されたデジタル証明書管理応答メッセージを前記デジタル証明書申請装置に送信する。
【0136】
いくつかの実施形態では、プロセッサー901はさらに、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、デジタル証明書申請装置によって生成され前記セキュリティデータチャンネルを利用して送信されたデジタル証明書管理確認メッセージを受信して処理する。
【0137】
いくつかの実施形態では、プロセッサー901は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、デジタル証明書申請装置とセキュリティデータチャンネルの交渉を行い、デジタル証明書申請装置と許可コード及び交渉で得られた乱数、アイデンティティ情報を利用してセキュリティチャンネルのセキュリティ鍵を生成し、デジタル証明書申請装置と完全性チェックコードによってセキュリティチャンネル確認メッセージを検証する。
【0138】
いくつかの実施形態では、プロセッサー901は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、第2の乱数、第2のアイデンティティ情報をデジタル証明書申請装置に送信し、前記デジタル証明書申請装置によって送信された第1の乱数、第1のアイデンティティ情報を受信する。
【0139】
いくつかの実施形態では、プロセッサー901は具体的に、前記1つ又は複数のプログラムに含まれる以下の動作を行うための命令を実行し、許可コード、前記第1の乱数、前記第1のアイデンティティ情報、前記第2の乱数及び前記第2のアイデンティティ情報を利用してセキュリティ鍵を生成する。
【0140】
当業者は、上記の方法及び装置が対応する関係にあることを理解することができる。
【0141】
明細書を検討し、本明細書に開示された発明を実施した後、本発明の他の実施形態は当業者には容易に想到しえる。本発明は、本発明の一般的な原則に従い、本開示において開示されていない当該技術分野における一般的知識又は常用の技術的手段を含む、本発明のあらゆる変形、用途又は適応変化を網羅することを意図する。明細書および実施例は例示として見なすべきであり、本発明の真の範囲及び精神は特許請求の範囲によって示される。
【0142】
本発明は、以上で説明され図面に示された精確な構造に限定されず、その範囲から逸脱することなく様々な修正及び変更を行うことができる。本発明の範囲は特許請求の範囲によって限定される。
【0143】
上記は本発明の好ましい実施形態に過ぎず、本発明を限定するものではなく、本発明の精神及び原理の範囲内で行われる任意の修正、等価な置換、改良なども本発明の範囲内に含まれることが意図されている。
【0144】
本文では、第1及び第2のような関係用語は、あるエンティティ又は動作を別のエンティティ又は動作と区別するために使用され、必ずしもこれらの実体又は動作の間に任意のそのような実際の関係又は順序が存在することを要求又は暗示するものではないことに留意されたい。そして、用語「包括」、「含む」又はそのいかなる他の変形は、非排他的な包含を含むことを意味することで、一連の要素を含むプロセス、方法、物品、又はデバイスは、それらの要素を含むだけではなく、明確に記載されていない他の要素をさらに含み、或いは、このようなプロセス、方法、物品、又はデバイスに固有する要素をさらに含む。また、より多い制限が存在しない場合、「...を一つ含む」という文によって限定される要素は、前記要素を含むプロセス、方法、物品又はデバイスに他の同じ要素がさらに含まれることを排除しない。本発明は、プログラムモジュールなどのコンピュータによって実行されるコンピュータ実行可能命令の一般的なコンテキストで説明することができる。一般に、プログラムモジュールは、特定のタスクを実行するか又は特定の抽象データ型を実現するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。本発明は、通信ネットワークを介して接続されているリモート処理装置によってタスクが実行される分散コンピューティング環境でも実施することができる。分散コンピューティング環境では、プログラムモジュールは、記憶装置を含むローカルとリモートの両方のコンピュータ記憶媒体に配置することができる。
【0145】
本明細書における各実施例は、漸進的に記載されており、各実施例間の同一又は類似の部分は互いに参照すればよく、各実施例は、他の実施例との相違点に焦点を合わせている。特に、装置の実施例について、それは方法の実施例と基本的に同様であるので、説明は比較的簡単であり、関連部分は方法の実施例の説明を参照すればよい。上記の装置の実施形態は単なる例示であり、別々の構成要素として説明されたユニットは物理的に分離されてもされなくてもよく、ユニットとして表示された構成要素は物理的ユニットでもそうでなくてもよく、つまり、1か所に配置することも、複数のネットワークユニットに配布することもできる。実際の必要に応じてモジュールの一部又は全てを選択して本実施例方案の目的を実現することができる。当業者は、いかなる創造的努力もなしに理解し実行することができる。上記の説明は、本発明の特定の実施形態に過ぎず、本発明の原理から逸脱することなく、当業者によって多くの修正及び改良がなされてもよく、そのような修正及び改良もまた本発明の範囲内にあると見なされることに留意されたい。
【符号の説明】
【0146】
600 デジタル証明書申請装置
601 セキュリティデータチャンネル確立ユニット
602 暗号化ユニット
603 送信ユニット
604 受信ユニット
605 処理ユニット
図1
図2
図3
図4
図5
図6
図7
図8
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.