知財求人 - 知財ポータルサイト「IP Force」
▶ 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-06-08
(45)【発行日】2023-06-16
(54)【発明の名称】デジタル証明書を管理するための方法および装置
(51)【国際特許分類】
H04L 9/08 20060101AFI20230609BHJP
G06F 21/64 20130101ALI20230609BHJP
【FI】
H04L9/08 C
H04L9/08 F
G06F21/64
【請求項の数】
11
(21)【出願番号】P 2020513694
(86)(22)【出願日】2018-09-07
(65)【公表番号】
(43)【公表日】2020-11-19
(86)【国際出願番号】 CN2018104647
(87)【国際公開番号】W WO2019047927
(87)【国際公開日】2019-03-14
【審査請求日】2020-04-15
【審判番号】
【審判請求日】2022-06-17
(31)【優先権主張番号】201710802333.X
(32)【優先日】2017-09-07
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】505164405
【氏名又は名称】西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司
【氏名又は名称原語表記】CHINA IWNCOMM CO., LTD.
(74)【代理人】
【識別番号】100206335
【弁理士】
【氏名又は名称】太田 和宏
(74)【代理人】
【識別番号】100120857
【弁理士】
【氏名又は名称】渡邉 聡
(74)【代理人】
【識別番号】100116872
【弁理士】
【氏名又は名称】藤田 和子
(72)【発明者】
【氏名】ワン ユエフイ
(72)【発明者】
【氏名】チャン ビアンリン
(72)【発明者】
【氏名】ティエ マンシア
(72)【発明者】
【氏名】ライ シャオロン
(72)【発明者】
【氏名】リー チン
(72)【発明者】
【氏名】トン ウェイガン
(72)【発明者】
【氏名】チャン グオチアン
(72)【発明者】
【氏名】ドゥー ジーチアン
(72)【発明者】
【氏名】ヤン シアン
【合議体】
【審判長】須田 勝巳
【審判官】林 毅
【審判官】吉田 美彦
(56)【参考文献】
【文献】特開2008-98990(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L9/08
G06F21/64
(57)【特許請求の範囲】
【請求項1】
デジタル証明書を申請するための装置が、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、少なくともデータ通信キーを含むセキュリティキーを生成するステップと、前記デジタル証明書を申請するための装置が、前記セキュリティデータチャネルを使用して前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを前記データ通信キーによって暗号化して送信するステップと、
前記デジタル証明書を発行するための装置が、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを前記データ通信キーによって暗号化して送信するステップと、
前記デジタル証明書を申請するための装置が、前記デジタル証明書管理検証要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを前記データ通信キーによって暗号化して送信するステップと、
デジタル証明書を発行するための装置が、前記デジタル証明書管理認証応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に、前記デジタル証明書管理要求メッセージに応じた証明書応答データを含むデジタル証明書管理応答メッセージを前記データ通信キーによって暗号化して送信するステップと、
前記デジタル証明書を申請するための装置が、前記デジタル証明書管理応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを前記データ通信キーによって暗号化して送信するステップと、
デジタル証明書を発行するための装置が、前記デジタル証明書管理確認メッセージを受信して処理するステップとを備え、
前記デジタル証明書管理検証要求メッセージを送信するステップにおいて、デジタル証明書を発行するための装置は、1つの認証値を生成し、前記認証値を、前記デジタル証明書を申請するための装置の公開キーによって暗号化して認証値暗号文を生成し、前記認証値を計算してコントラスト値を生成し、前記認証値暗号文および前記コントラスト値を使用してデジタル証明書管理検証要求メッセージを生成し、
前記デジタル証明書管理認証応答メッセージを送信するステップにおいて、前記デジタル証明書を申請するための装置は、前記データ通信キーを使用して、受信した前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、自身の秘密キーを使用して、前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が取得した前記コントラスト値と一致するかどうかを判断し、一致する場合、前記デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断して、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、
前記デジタル証明書管理応答メッセージを送信するステップにおいて、前記デジタル証明書を発行するための装置は、前記データ通信キーを使用して、受信した前記デジタル証明書管理認証応答メッセージを復号化して前記認証値を取得し、前記認証値が、自身が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断し、一致する場合、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成する
ことを特徴とするデジタル証明書を管理するための方法。
【請求項2】
デジタル証明書を申請するための装置が、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、少なくともデータ通信キーを含むセキュリティキーを生成するステップと、前記デジタル証明書を申請するための装置が、前記セキュリティデータチャネルを使用して前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを前記データ通信キーによって暗号化して送信するステップと、
前記デジタル証明書を発行するための装置が、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを前記データ通信キーによって暗号化して送信するステップと、
前記デジタル証明書を申請するための装置が、前記デジタル証明書管理検証要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを前記データ通信キーによって暗号化して送信するステップと、
デジタル証明書を発行するための装置が、前記デジタル証明書管理認証応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に、前記デジタル証明書管理要求メッセージに応じた証明書応答データを含むデジタル証明書管理応答メッセージを前記データ通信キーによって暗号化して送信するステップと、
デジタル証明書を申請するための装置が、前記デジタル証明書管理応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを前記データ通信キーによって暗号化して送信するステップと、
デジタル証明書を発行するための装置が、前記デジタル証明書管理確認メッセージを受信して処理するステップとを備え、
前記デジタル証明書管理検証要求メッセージを送信するステップにおいて、デジタル証明書を発行するための装置は、前記デジタル証明書を申請するための装置とキーを交換した後、共有キーを生成し、1つの認証値を生成し、前記認証値を前記共有キーによって暗号化して認証値暗号文を生成し、前記認証値を計算してコントラスト値を生成し、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージを生成し、
前記デジタル証明書管理認証応答メッセージを送信するステップにおいて、前記デジタル証明書を申請するための装置は、前記データ通信キーを使用して、受信した前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が取得したコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断して、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、
前記デジタル証明書管理応答メッセージを送信するステップにおいて、前記デジタル証明書を発行するための装置は、前記データ通信キーを使用して、受信した前記デジタル証明書管理認証応答メッセージを復号化して前記認証値を取得し、前記認証値が、自身が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断し、一致する場合、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成する
ことを特徴とするデジタル証明書を管理するための方法。
【請求項3】
前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理検証要求メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化され、
前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化される場合、
前記デジタル証明書管理認証応答メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化されることを特徴とする請求項1または請求項2に記載のデジタル証明書を管理するための方法。
【請求項4】
前記デジタル証明書を発行するための装置が、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信する場合、前記デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを復号化し、前記デジタル証明書管理要求メッセージに含まれるデータに従って処理を実行してから、デジタル証明書管理検証要求メッセージを生成し、
前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含むことを特徴とする請求項1または請求項2に記載のデジタル証明書を管理するための方法。
【請求項5】
取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、少なくともデータ通信キーを含むセキュリティキーを生成するように構成されたセキュリティデータチャネル確立ユニットと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを前記データ通信キーによって暗号化して送信し、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、デジタル証明書管理認証応答メッセージを前記データ通信キーによって暗号化して送信し、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを前記データ通信キーによって暗号化して送信するように構成された送信ユニットと、
前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化するように構成された暗号化ユニットと、
前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信された前記データ通信キーによって暗号化されたデジタル証明書管理検証要求メッセージを受信し、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信された前記データ通信キーによって暗号化された、前記デジタル証明書管理要求メッセージに応じた証明書応答データを含むデジタル証明書管理応答メッセージを受信するように構成された受信ユニットと、
受信された前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、また、受信された前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成するように構成された処理ユニットとを備え、
前記受信ユニットによって受信された前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含み、
前記処理ユニットは、さらに、
前記デジタル証明書管理検証要求メッセージを受信した後、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置の秘密キーを使用して、前記認証値暗号文を復号化して認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が取得した前記コントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、
前記デジタル証明書管理認証応答メッセージは証明書認証応答情報を含む、
ことを特徴とするデジタル証明書を申請するための装置。
【請求項6】
取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、少なくともデータ通信キーを含むセキュリティキーを生成するように構成されたセキュリティデータチャネル確立ユニットと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを前記データ通信キーによって暗号化して送信し、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、デジタル証明書管理認証応答メッセージを前記データ通信キーによって暗号化して送信し、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを前記データ通信キーによって暗号化して送信するように構成された送信ユニットと、
前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化するように構成された暗号化ユニットと、
前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信された前記データ通信キーによって暗号化されたデジタル証明書管理検証要求メッセージを受信し、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信された前記データ通信キーによって暗号化された、前記デジタル証明書管理要求メッセージに応じた証明書応答データを含むデジタル証明書管理応答メッセージを受信するように構成された受信ユニットと、
受信された前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、また、受信された前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成するように構成された処理ユニットとを備え、
前記受信ユニットによって受信された前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含み、
前記デジタル証明書管理認証応答メッセージは証明書認証応答情報を含み、
前記処理ユニットは、さらに、
前記デジタル証明書管理検証要求メッセージを受信した後、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が取得したコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成することを特徴とするデジタル証明書を申請するための装置。
【請求項7】
前記暗号化ユニットは、前記セキュリティデータチャネルのデータ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化することを特徴とする請求項5または請求項6に記載のデジタル証明書を申請するための装置。
【請求項8】
認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、少なくともデータ通信キーを含むセキュリティキーを生成するように構成されたセキュリティデータチャネル確立ユニットと、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信した前記データ通信キーによって暗号化されたデジタル証明書管理要求メッセージを受信し、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信した前記データ通信キーによって暗号化されたデジタル証明書管理認証応答メッセージを受信し、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信した前記データ通信キーによって暗号化されたデジタル証明書管理確認メッセージを受信するように構成された受信ユニットと、
受信された前記デジタル証明書管理要求メッセージを処理してデジタル証明書管理検証要求メッセージを生成し、また、受信された前記デジタル証明書管理認証応答メッセージを処理してデジタル証明書管理応答メッセージを生成し、受信された前記デジタル証明書管理確認メッセージを処理するように構成された処理ユニットと、
前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化するように構成された暗号化ユニットと、
前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを前記データ通信キーによって暗号化して送信し、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理要求メッセージに応じた証明書応答データを含む前記デジタル証明書管理応答メッセージ前記データ通信キーによって暗号化してを送信するように構成された送信ユニットとを備え、
前記処理ユニットは、さらに、
1つの認証値を生成し、前記認証値は、前記デジタル証明書を申請するための装置の公開キーによって暗号化されて、認証値暗号文が生成され、前記認証値が計算されてコントラスト値が生成され、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージが生成され、
前記処理ユニットはさらに、
前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得し、前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断し、一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーがデジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成することを特徴とするデジタル証明書を発行するための装置。
【請求項9】
認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、少なくともデータ通信キーを含むセキュリティキーを生成するように構成されたセキュリティデータチャネル確立ユニットと、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信した前記データ通信キーによって暗号化されたデジタル証明書管理要求メッセージを受信し、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信した前記データ通信キーによって暗号化されたデジタル証明書管理認証応答メッセージを受信し、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信した前記データ通信キーによって暗号化されたデジタル証明書管理確認メッセージを受信するように構成された受信ユニットと、
受信された前記デジタル証明書管理要求メッセージを処理してデジタル証明書管理検証要求メッセージを生成し、また、受信された前記デジタル証明書管理認証応答メッセージを処理してデジタル証明書管理応答メッセージを生成し、受信された前記デジタル証明書管理確認メッセージを処理するように構成された処理ユニットと、
前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化するように構成された暗号化ユニットと、
前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを前記データ通信キーによって暗号化して送信し、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理要求メッセージに応じた証明書応答データを含む前記デジタル証明書管理応答メッセージを前記データ通信キーによって暗号化して送信するように構成された送信ユニットとを備え、
前記処理ユニットは、さらに、前記デジタル証明書を申請するための装置とキーを交換して共有キーを生成し、1つの認証値を生成し、前記認証値が前記共有キーによって暗号化されて認証値暗号文が生成され、前記認証値が計算されてコントラスト値が生成され、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージが生成され、
前記処理ユニットはさらに、
前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得し、前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断し、一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーがデジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成することを特徴とするデジタル証明書を発行するための装置。
【請求項10】
前記暗号化ユニットは、前記セキュリティデータチャネルのデータ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化することを特徴とする請求項8または請求項9に記載のデジタル証明書を発行するための装置。
【請求項11】
前記処理ユニットは、前記デジタル証明書管理要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを復号化し、前記デジタル証明書管理要求メッセージに含まれるデータに従って処理を実行してから、デジタル証明書管理検証要求メッセージを生成し、
前記送信ユニットによって送信された前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含むことを特徴とする請求項8または請求項9に記載のデジタル証明書を発行するための装置。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2017年9月7日に中国特許局に提出し、出願番号が201710802333.Xであり、発明の名称が「デジタル証明書を管理するための方法および装置」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
本出願は、2017年9月7日に中国特許局に提出し、出願番号が201710802333.Xであり、発明の名称が「デジタル証明書を管理するための方法および装置」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
【0002】
本発明は、ネットワークセキュリティ技術分野に関し、特にデジタル証明書を管理するための方法および装置に関する。
【背景技術】
【0003】
ネットワークセキュリティ技術の開発に伴い、ネットワーク情報伝送の機密性と完全性をどのように保証するかを研究するための重要な問題となっている。デジタル認証は、ネットワーク通信エンティティのIDを認証する方法であり、デジタル認証テクノロジーを使用して、データの暗号化、IDの認証などを行うことができる。通常、デジタル認証発行装置によってデジタル認証申請装置に発行されるデジタル認証は、デジタル認証アプリケーション装置のIDを認識するために使用できる。
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来技術では、デジタルローカル資格情報の自動申請のための方法があり、これは、無線ローカルエリアネットワーク(WLAN)内でのデジタル証明書の申請、更新および発行に適用される。この方法では、デジタル証明書を申請するための装置は、WLANを介してデジタル証明書を発行するための装置にメッセージを送信することにより、サポートされるデジタル証明書生成方法をデジタル証明書を発行するための装置に通知して、デジタル証明書を発行するための装置が新しいデジタル証明書を生成するようにすることができる。この方法では、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置の間で送信されるメッセージはプレインテキストで送信され、2つの装置はメッセージの完全性をチェックして、メッセージが改ざんされていないことを確認する。この方法では、データの信頼性と機密性を効果的に保護せずに、データの完全性のみを保証できる。特に、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置が他のネットワークフォームを介してデータをやり取りする場合、メッセージはプレインテキストで送信されるため、この方法にはセキュリティが低いという欠点がある。
【0005】
本発明は、デジタル証明書を管理するための方法および装置を提供し、データ送信用の安全なチャネルは、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置の間に確立され、2つの装置間で送信されるメッセージは暗号化されて送信されるため、デジタル証明書管理のセキュリティが効果的に向上する。
【課題を解決するための手段】
【0006】
これに鑑みて、本発明に係る技術的解決策は、以下の技術的解決策を提供する:
第1の態様では、本発明に係るデジタル証明書を管理するための方法は、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーは少なくともデータ通信キーを含むステップと、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理応答メッセージを送信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を申請するための装置は、前記デジタル証明書管理応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を発行するための装置は、前記デジタル証明書管理確認メッセージを受信して処理するステップとを備える。
第1の態様では、本発明に係るデジタル証明書を管理するための方法は、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーは少なくともデータ通信キーを含むステップと、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理応答メッセージを送信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を申請するための装置は、前記デジタル証明書管理応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化されるステップと、デジタル証明書を発行するための装置は、前記デジタル証明書管理確認メッセージを受信して処理するステップとを備える。
【0007】
第2の態様では、本発明に係るデジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成するように構成されたセキュリティデータチャネル確立ユニットであって、前記セキュリティキーはデータ通信キーを含む前記セキュリティデータチャネル確立ユニットと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に前記デジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される送信ユニットと、前記データ通信キーを使用して、前記証明書管理要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化するように構成された暗号化ユニットと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理検証要求メッセージを受信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信するように構成された受信ユニットであって、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される前記受信ユニットと、受信された前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、また、受信された前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成するように構成された処理ユニットとを備える。
【0008】
第3の態様では、本発明に係るデジタル証明書の申請に用いられる装置は、メモリと、1つまたは複数のプログラムとを備え、前記1つまたは複数のプログラムは、メモリに格納され、以下のように1つまたは複数のプロセッサによって実行される命令を含む:取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーは少なくともデータ通信キーを含み、デジタル証明書管理要求メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理検証要求メッセージを受信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に前記デジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
【0009】
第4の態様では、本発明に係るデジタル証明書を発行するための装置、前記装置は、認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成するように構成されたセキュリティデータチャネル確立ユニットであって、前記セキュリティキーは少なくともデータ通信キーを含む前記セキュリティデータチャネル確立ユニットと、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化され、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される受信ユニットと、受信された前記デジタル証明書管理要求メッセージを処理してデジタル証明書管理検証要求メッセージを生成し、また、受信された前記デジタル証明書管理認証応答メッセージを処理してデジタル証明書管理応答メッセージを生成し、受信された前記デジタル証明書管理確認メッセージを処理するように構成された処理ユニットと、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化するように構成された暗号化ユニットと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される送信ユニットとを備える。
【0010】
第5の態様では、本発明に係るデジタル証明書の発行に用いられる装置は、メモリと、1つまたは複数のプログラムとを備え、前記1つまたは複数のプログラムは、メモリに格納され、以下のように1つまたは複数のプロセッサによって実行される命令を含む:認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーはデータ通信キーを含み、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理要求メッセージを処理し、デジタル証明書管理検証要求メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理認証応答メッセージを処理し、デジタル証明書管理応答メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージを処理し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
【発明の効果】
【0011】
本発明で提供されるデジタル証明書を管理するための方法および装置のうち、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置間のメッセージインタラクションプロセスにおいて、生成されたデータ通信キーを使用してメッセージを暗号化することにより、データ伝送のセキュリティ性を効果的に改善し、デジタル証明書の自動申請、照会、更新、リスト取得の失効・撤回などの、複数の異なるタイプのシーンに適用できる。一方、デジタル証明書を発行するための装置は、公開キーと秘密キーが関係する認証を使用して、デジタル証明書を申請するための装置が「その公開キーに対応する秘密キー」を持っているかどうかを確認し、デジタル証明書を申請するための装置の秘密キーが置き換えられたかどうか、間違っているかどうかなどをチェックすることができるようになる。デジタル証明書を発行するための装置は、正しい公開キーと正しい秘密キーを持つデジタル証明書を申請するための装置とのみメッセージをやり取りすることができ、デジタル証明書を申請するための装置のプライバシーデータの漏洩を回避し、デジタル証明書管理プロセスのセキュリティをさらに確保する。
【図面の簡単な説明】
【0012】
本発明に係る実施例や従来の技術的解決策をより明確に説明するために、以下に実施例を説明するために必要な図面をについて簡単に紹介する。無論、以下の説明における図面は本発明に係る実施例の一部であり、当業者は、創造性作業を行わないことを前提として、これらの図面に基づいて他の図面を得ることができる。
【図1】本発明の実施形態において適用され得る概略的な適用場面である。
【図2】本発明の一実施形態によって提供されるデジタル証明書を管理するための方法のフローチャートである。
【図3】本発明の別の実施形態によって提供されるデジタル証明書を管理するための方法のフローチャートである。
【図4】本発明の別の実施形態によって提供されるデジタル証明書を管理するための方法のフローチャートである。
【図5】本発明の実施形態によって提供されるセキュリティデータチャネルネゴシエートおよび確立の概略図である。
【図6】本発明の一実施形態によって提供されるデジタル証明書自動申請、照会、更新、および発行のための方法におけるメッセージの内容の概略図である。
【図7】1つの例示的な実施形態に従って示されたデジタル証明書を申請するための装置のブロック図である。
【図8】別の例示的な実施形態に従って示されたデジタル証明書の申請に用いられる装置のブロック図である。
【図9】1つの例示的な実施形態に従って示されたデジタル証明書を発行するための装置のブロック図である。
【図10】別の例示的な実施形態に従って示されたデジタル証明書の発行に用いられる装置のブロック図である。
【発明を実施するための形態】
【0013】
本発明の実施形態にかかるデジタル証明書を管理するための方法および装置において、データ送信用の安全なチャネルは、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置の間に確立され、2つの装置間で送信されるメッセージは暗号化されて送信されるため、デジタル証明書管理のセキュリティが効果的に向上する。
【0014】
本発明に係る実施例の目的、技術案及びメリットをより明確にするため、以下、本発明に係る実施例の図面を参考にしながら、本発明に係る実施例の技術案を明確かつ完全に説明する。説明した実施例は本発明の一部の実施例にすぎず、全部の実施例ではないのが明らかである。本発明の実施例に基づき、当業者は、創造性作業を行わない限りに得られた他の実施例は、全部本発明の保護範囲に属する。
【0015】
図1を参照すると、図1は、本発明の実施形態における例示的な適用シーンである。本発明の実施形態で提供される方法および装置は、図1に示されるようにシーンに適用されてもよく、デジタル証明書を申請するための装置およびデジタル証明書を発行するための装置はネットワークを介して接続されてもよい。前記接続は任意の形態の有線および/または無線接続(WLAN、LAN、セルラー、同軸ケーブルなど)であり得る。例として図1で説明したように、デジタル証明書を申請するための装置には、現在存在し、研究開発されている、または将来研究開発されるスマートフォン、非スマートフォン、タブレットPC、ラップトップPC、デスクトップPC、小型コンピュータ、中型コンピュータ、大型コンピュータなどが含まれるが、これらに限定されない。デジタル証明書を申請するための装置は、それぞれ適応型ネットワーク形式を介して、デジタル証明書を発行するための装置(認証センターのCAサーバーなど)への証明書のダウンロードと更新を申請できる。本発明の実施形態は、無線操作ネットワーク、航空、交通、電力、放送およびラジオ、金融、医療、教育、工業および商業などの複数の産業に適用できることに留意する必要がある。もちろん、上記のアプリケーションシーンは、本発明の理解を容易にするために単に示されており、本発明の実施形態は、この態様において全く制限されなく、任意の適切なシーンに適用され得る。
【0016】
【0017】
【0018】
ステップS201において、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成する。前記セキュリティキーはデータ通信キーを含む。
【0019】
特定の実施において、デジタル証明書申請者は、デジタル証明書をダウンロードするための認証コードをデジタル証明書発行者に要求することができる。例えば、デジタル証明書申請者はデジタル証明書を申請するための装置であってもよく、例えばデジタル証明書発行者はデジタル証明書を発行するための装置であってもよい。本発明は、認証コードを要求する特定の方法を制限しない。例えば、デジタル証明書申請者は、ショートメッセージ、電子メール、専用の要求などの方法で、デジタル証明書発行者に認証コードを要求する場合がある。デジタル証明書発行者は、特定の方法で認証コードをデジタル証明書申請者に送信できる。例えば、デジタル証明書発行者は、ショートメッセージ、電子メール、専用メッセージなどの方法でデジタル証明書申請者に認証コードを送信してもよい。一般に、認証コードはデジタル証明書発行者自身によって生成される。認証コードは、デジタル証明書の申請者が認証コードを要求したときにリアルタイムで生成される場合があり、使用のために事前に生成される場合もある。形式上で、認証コードは、特定の長さの要件を備えたアルファベットおよび/または数字および/または記号などの組み合わせであり得る。認証コードには特定の使用期間もある。使用期間を超えた場合、認証コードは無効になる。使用プロセスでは、デジタル証明書発行者によって異なるデジタル証明書申請者に割り当てられる認証コードは異なる。
【0020】
特定の実施において、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートすることができる。前記セキュリティデータチャネルはキュリティデータの伝送に用いられる。セキュリティデータチャネルを確立するプロセスで、デジタル証明書を申請するための装置は、認証コードを使用してセキュリティキーを生成することができる。前記セキュリティキーは、1つ以上のキーを含むことができ、前記1つ以上のキーはデータ通信キーを含む。前記セキュリティキーは、データセッションキーをさらに含み得る。前記データ通信キー安全なデータチャネルで前記デジタル証明書を申請するための装置と前記デジタル証明書を発行するための装置の間で送信されるメッセージを暗号化するように構成される。セキュリティキーは、デジタル証明書を申請するための装置側とデジタル証明書を発行するための装置側の両方で生成されるため、メッセージの暗号化と復号化が容易になることに留意する必要がある。前記データセッションキーは、証明書要求データまたは証明書応答データを暗号化するように構成できる。前記証明書要求データは、具体的にデジタル証明書管理要求メッセージに含まれるデータである。前記証明書応答データは、具体的にデジタル証明書管理応答メッセージに含まれるデータである。
【0021】
ステップS202において、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信する。前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化される。
【0022】
本発明では、デジタル証明書管理要求メッセージは暗号化によって処理される。特に、ステップS201で生成されたデータ通信キーを使用して暗号化される。したがってメッセージの送信セキュリティを効果的に改善する。前記デジタル証明書管理要求メッセージに含まれるデータは、1次暗号化のために処理されるか、2次暗号化のために処理される場合があることに留意する必要がある。たとえば、前記デジタル証明書管理要求メッセージがセキュリティデータチャネルで送信される場合、前記データ通信キーを使用して、暗号化された後にのみデジタル証明書を発行するための装置に送信できる。別の例では、前記デジタル証明書管理要求メッセージが送信される前に、セキュリティキーのうちの1組のキー、たとえば、データセッションキーを使用して、デジタル証明書管理要求メッセージに含まれる証明書要求データをすでに暗号化し、そして、セキュリティデータチャネルで送信されると、メッセージは2次暗号化のために処理される。セキュリティを考慮する場合、2回暗号化に使用されるセキュリティキー(すなわち、データ通信キーとデータセッションキー)は異なる。デジタル証明書要求装置とデジタル証明書を発行するための装置は、暗号化回数、暗号化アルゴリズム、および暗号化に使用されるキーのタイプ(データ通信キーとデータセッションキー)について事前に合意してもよい。
【0023】
ステップS203において、デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、デジタル証明書を申請するための装置に、デジタル証明書管理応答メッセージを送信する。前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
【0024】
具体的に、デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信した後、まず、生成されたセキュリティキーを使用して前記デジタル証明書管理要求メッセージを復号化し、また、デジタル証明書管理要求メッセージに含まれるデータに基づいて処理し、デジタル証明書管理応答メッセージを生成してデジタル証明書を申請するための装置にデジタル証明書管理応答メッセージ送信する。
【0025】
同様に、本発明では、デジタル証明書管理応答メッセージは暗号化によって処理される。特に、ステップS201で生成されたデータ通信キーを使用して暗号化される。したがってメッセージの送信セキュリティを効果的に改善する。前記デジタル証明書管理応答メッセージも1次暗号化のために処理されるか、2次暗号化のために処理される場合があることに留意する必要がある。たとえば、ステップS202で前記デジタル証明書管理要求メッセージが送信される前に、セキュリティキーのうちの1組のキー、たとえば、データセッションキーをすでに使用して、デジタル証明書管理要求メッセージに含まれるデータを暗号化処理され、セキュリティデータチャネルで伝送の際にデータ通信キーをさらに使用して2番目に暗号化される。同様に、前記デジタル証明書管理応答メッセージも前記データセッションキーおよび前記データ通信キーを使用して2回暗号化されることができる。デジタル証明書要求装置とデジタル証明書を発行するための装置は、暗号化回数、暗号化アルゴリズム、および暗号化に使用されるキーのタイプ(すなわち、データ通信キーとデータセッションキー)について事前に合意する場合がある。
【0026】
ステップS204において、デジタル証明書を申請するための装置は、前記デジタル証明書管理応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
【0027】
前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
【0028】
特に、デジタル証明書アプリケーション装置は、前記デジタル証明書管理応答メッセージを処理して処理結果を取得し、デジタル証明書管理確認メッセージを生成する。
【0029】
特定の実施において、本発明は、上記の情報インタラクションを実現して、デジタル証明書の自動申請、照会、更新、発行を実施できれば、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置との間のインタラクションに採用されるメッセージおよびインタラクション方法を制限せず、全部本発明の保護範囲に属する。いくつかの実施形態では、前記デジタル証明書管理要求メッセージは、デジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書失効情報およびデジタル証明書撤回リスト情報などのタイプを含むことができる。前記デジタル証明書管理応答メッセージはデジタル証明書応答情報を含む。
【0030】
特定の実施では、デジタル証明書アプリケーション装置は、デジタル証明書管理応答メッセージを復号化およびチェックしてメッセージ内容を取得し、ニーズに応じて、デジタル証明書などをインストールおよび更新するため、使用するデジタル証明書を決定する。
【0031】
本発明の特定の実施において、デジタル証明書管理要求メッセージには証明書要求データが含まれ、前記デジタル証明書管理応答メッセージには証明書応答データが含まれることが理解され得る。証明書要求データおよび/または証明書応答データを暗号化するかどうかに応じて、以下のような複数の実施形態が含まれてもよい。
【0032】
(1)証明書要求データおよび証明書応答データはプレインテキストである。デジタル証明書管理要求メッセージおよびデジタル証明書管理応答メッセージは、セキュリティチャネルのデータ通信キーによって暗号化され、1次暗号化が完了する。
【0033】
このとき、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理要求メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される。前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理応答メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される。
【0034】
(2)セキュリティキーがデータセッションキーをさらに含む場合、データセッションキーは初回の暗号化のための証明書要求データを処理するために使用されるが、証明書応答データは暗号化されず、プレインテキストとして機能する。データ通信キーは、デジタル証明書管理要求メッセージを2番目に暗号化するために使用され、データ通信キーは、主にデジタル証明書管理応答メッセージを初回に暗号化するために使用される。
【0035】
このとき、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理要求メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される前、前記デジタル証明書管理要求メッセージに含まれる証明書要求データは、前記データセッションキーによって暗号化される。
【0036】
このとき、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理応答メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される。
【0037】
(3)前記セキュリティキーがデータセッションキーをさらに含む場合、証明書要求データはデータセッションキーを使用して初回に暗号化され、証明書応答データもデータセッションキーを使用して初回に暗号化される。ここで、証明書応答データと証明書要求データに使用されるセッションキーは暗号化方式に対応する。デジタル証明書管理要求メッセージおよびデジタル証明書管理応答メッセージそれぞれは、データ通信キーを使用して2番目に暗号化される。
【0038】
このとき、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理要求メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される前、前記デジタル証明書管理要求メッセージに含まれる証明書要求データは、前記データセッションキーによって暗号化される。
【0039】
このとき、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される場合、前記デジタル証明書管理応答メッセージは、前記セキュリティデータチャネルのデータ通信キーによって暗号化される前、前記デジタル証明書管理応答メッセージに含まれる証明書応答データは、前記データセッションキーによって暗号化される。
【0040】
特定の実施において、デジタル証明書管理確認メッセージは暗号化によって処理される。特に、ステップS201で生成されたデータ通信キーを使用して暗号化される。したがってメッセージの送信セキュリティを効果的に改善する。
【0041】
ステップS205において、デジタル証明書を発行するための装置は、前記デジタル証明書管理確認メッセージを受信して処理する。
【0042】
本発明の実施形態では、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置間のメッセージインタラクションプロセスで、生成されたセキュリティキーを使用してメッセージを暗号化することにより、データ伝送のセキュリティ性を効果的に改善し、さまざまな種類のシーンの、デジタル証明書自動申請、照会、更新、失効および撤回などに適応できる。
【0043】
本発明では、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置との間でのメッセージのインタラクションプロセスにおいて、メッセージが送信された後の特定の時間内に応答メッセージが受信されない場合、メッセージは再び送信される。
【0044】
別の実施形態では、デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージに含まれるデジタル証明書が暗号化またはキー交換を実行するように構成される場合、デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属するかどうかを判断する必要がある。デジタル証明書を発行するための装置とデジタル証明書を申請するための装置間で、デジタル証明書管理検証要求メッセージおよびデジタル証明書管理認証応答メッセージをインタラクションする必要がある。具体的に、図3を参照すると、図3は、本発明の一実施形態によって提供されるデジタル証明書を管理するための方法のフローチャートである。実施形態では、図3に示されるように、ステップS302の後、前記方法はさらに以下のステップを含むことができる。
【0045】
ステップS303において、デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信する。前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化される。
【0046】
具体的に、前記デジタル証明書を発行するための装置は、前記デジタル証明書管理要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを復号化し、前記デジタル証明書管理要求メッセージに含まれるデータに従って処理を実行してから、デジタル証明書管理検証要求メッセージを生成する。
【0047】
前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含む。
【0048】
ステップS304で、デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化される。
【0049】
前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化される。
【0050】
ステップS305において、デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置にデジタル証明書管理応答メッセージを送信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
【0051】
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書が暗号化機能を実行するように構成される場合(すなわち、秘密キーは復号交換を定義する)、このとき、ステップS303での、デジタル証明書を発行するための装置は、デジタル証明書管理検証要求メッセージを生成するには、具体的には以下を含む。
【0052】
ステップS3031において、前記デジタル証明書を発行するための装置は、1つの認証値を生成し、前記認証値は、前記デジタル証明書を申請するための装置の公開キーによって暗号かされて、前記認証値暗号文が生成され、前記認証値が計算されて前記コントラスト値が生成され、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージが生成される。
【0053】
ステップS304は特に以下を含む。
【0054】
ステップS3041において、前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得する。前記デジタル証明書を申請するための装置の秘密キーを使用して、前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が受信された前記コントラスト値と一致するかどうかを判断する。一致する場合、前記デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断すると、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、セキュリティデータチャネルを通じて、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信する。
【0055】
ステップS305は具体的には:
ステップS3051において、前記デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得する。前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断する。一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成し、セキュリティデータチャネルを通じて、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する。
ステップS3051において、前記デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得する。前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断する。一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成し、セキュリティデータチャネルを通じて、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する。
【0056】
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書がキー交換機能を実行するように構成される場合(すなわち、公開キーおよび秘密キーはキー交換を定義する)、ステップS303において、デジタル証明書を発行するための装置は、デジタル証明書管理検証要求メッセージを生成することは、具体的には以下を含む。
【0057】
ステップS3032において、前記デジタル証明書を発行するための装置が前記デジタル証明書を申請するための装置とキーを交換した後、共有キーを生成する。前記デジタル証明書を発行するための装置は、1つの認証値を生成し、前記認証値が前記共有キーによって暗号化されて前記認証値暗号文が生成され、前記認証値が計算されて前記コントラスト値が生成され、前記認証値暗号文および前記コントラスト値を使用して前記デジタル証明書管理検証要求メッセージが生成される。
【0058】
当該実施形態では、デジタル証明書を申請するための装置およびデジタル証明書を発行するための装置のキー交換方式について制限しないことに留意する必要がある。デジタル証明書を申請するための装置の公開キーと秘密キーの両方がキー交換に参加する。
【0059】
ステップS304は具体的には:
ステップS3042において、前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置が前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が受信されたコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信する。
ステップS3042において、前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置が前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が受信されたコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成し、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信する。
【0060】
ステップS305は具体的には:
ステップS3052において、前記デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得し、前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断する。一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成し、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する。
ステップS3052において、前記デジタル証明書を発行するための装置は、前記デジタル証明書管理認証応答メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを復号化して、前記認証値を取得し、前記認証値が前記デジタル証明書を発行するための装置が前記デジタル証明書管理検証要求メッセージを送信する前に生成した認証値と一致するかどうかを判断する。一致する場合、前記デジタル証明書を発行するための装置は、公開キーと秘密キーが前記デジタル証明書を申請するための装置に所属すると判断し、前記デジタル証明書管理応答メッセージを生成し、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する。
【0061】
本実施形態では、ステップS301~S302は、ステップS201~S202を参照して実行され、ステップS306~S307は、ステップS204~S205を参照して実行され、繰り返して説明しない。
【0062】
当該実施形態において、認証値は、乱数または他の数であってもよい。認証値を計算してコントラスト値を生成する方法は制限されておらず、ハッシュまたは巡回冗長検査(CRC)などである。
【0063】
当業者が特定のシーンで本発明の実施形態をより明確に理解することを容易にするために、本発明の実施形態を説明するために以下で特定の例を挙げる。当該特定の例は、単に当業者が本発明をより明確に理解するためのものであり、本発明の実施形態は特定の例に限定されないことに留意する必要がある。
【0064】
【0065】
ステップS401で、デジタル証明書を申請するための装置は認証コードを取得する。
【0066】
特定の実施において、デジタル証明書を申請するための装置は、デジタル証明書を発行するための装置に対して、デジタル証明書の認証コードをダウンロードするよう要求し、前記デジタル証明書を発行するための装置によって送信された認証コードを取得する。
【0067】
ステップS402において、デジタル証明書を申請するための装置は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成する。
【0068】
特定の実施において、デジタル証明書発行中の情報伝送のセキュリティを確保するため、デジタル証明書を申請するための装置は、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートすることができる。デジタル証明書を申請するための装置は、認証コードを使用して、セキュリティデータチャネルデータ伝送のためのセキュリティキーを生成する。
【0069】
本発明は、セキュリティチャネルの確立を制限せず、認証コードを使用してデータ伝送のための共有セキュリティキーを生成できればよい。特定の実施において、以下のようにセキュリティデータチャネルを生成する。
【0070】
ステップS402Aにおいて、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、セキュリティデータチャネルの確立をネゴシエートする。
【0071】
ステップS402Bにおいて、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、認証コード、ネゴシエーションプロセスで得られた乱数およびID情報を使用して、セキュリティチャネルのセキュリティキーを生成する。
【0072】
前記セキュリティキーはデータ通信キーを含むことができ、データセッションキーも含むことができる。前記データ通信キーは、前記データ証明書を申請するための装置とデジタル証明書を発行するための装置の間でセキュリティデータチャネルを使用してメッセージをインタラクションする際に、メッセージを暗号化して送信するように構成される。前記データセッションキーは、メッセージが送信される前に、メッセージに含まれる証明書要求データおよび/または証明書応答データを暗号化するように構成される。
【0073】
ステップS402Cにおいて、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、完全性チェックコードによってセキュリティチャネル確認メッセージを認証する。
【0074】
具体的には、セキュリティデータチャネルネゴシエートのネゴシエーションおよび確立に関する図4の概略図を参照することができる。前記デジタル証明書を申請するための装置とデジタル証明書を発行するための装置がセキュリティデータチャネルの確立をネゴシエーションすることは、具体的に、デジタル証明書を申請するための装置は、デジタル証明書を発行するための装置に第1の乱数、第1のID情報を送信し、前記デジタル証明書を発行するための装置によって送信された第2の乱数、第2のID情報を受信する。前記第1の乱数は、デジタル証明書を申請するための装置によってランダムに生成される。前記第1のID情報は具体的にはデジタル証明書を申請するための装置のID識別子であり、たとえば、IPアドレス、MACアドレス、電子メールアドレス、フルドメイン文字列または国際モバイル加入者ID(IMSI)などである。前記第2の乱数はデジタル証明書を発行するための装置によってランダムに生成される。前記第2のID情報は具体的にはデジタル証明書を発行するための装置のID識別子、たとえば、IPアドレス、MACアドレス、電子メールアドレス、フルドメイン文字列または国際モバイル加入者ID(IMSI)などである。デジタル証明書を申請するための装置とデジタル証明書を発行するための装置の間の乱数、ID情報のインタラクションプロセスは、デジタル証明書を申請するための装置によって最初に開始されるか、デジタル証明書を発行するための装置によって最初に開始される場合もある。本発明は、特定のインタラクションを制限しない。
【0075】
いくつかの実施形態では、前記デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、認証コード、ネゴシエーションプロセスで得られた乱数およびID情報を使用してセキュリティチャネルのセキュリティキーを生成し、具体的には、前記デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。デジタル証明書を申請するための装置側とデジタル証明書を発行するための装置側の両方で生成されるセキュリティキーは同じであることに留意する必要がある。前記セキュリティキーは、1つまたは複数組のキーを含めることができる。たとえば、セキュリティキーは、データ伝送のためのデータ通信キーを含む場合があり、完全性チェックのための完全性チェックキーを含む場合があり、暗号化証明書要求データおよび/または証明書応答データのためのデータセッションキーを含む場合がある。
【0076】
いくつかの実施形態では、前記セキュリティキーは、完全性チェックキーをさらに含む。前記デジタル証明書を申請するための装置とデジタル証明書を発行するための装置が完全性チェックコードによってセキュリティチャネルのキーを確認することは、具体的に、前記デジタル証明書を申請するための装置とデジタル証明書を発行するための装置は、乱数、前記完全性チェックキーを使用して完全性チェックコードを生成し、前記完全性チェックコードでセキュリティチャネル確認メッセージを認証する。
【0077】
ステップS403において、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信する。
【0078】
特定の実施において、デジタル証明書を申請するための装置は、セキュリティデータチャネルを介して機密に保たれた後、デジタル証明書を発行するための装置に証明書管理要求メッセージを送信する。デジタル証明書を申請するための装置に、デジタル証明書を発行するための装置によって発行されたデジタル証明書がない場合、証明書管理要求メッセージに申請する必要の新しい証明書に含まれる証明書情報が含まれる。デジタル証明書を申請するための装置に、デジタル証明書を発行するための装置によって発行されたデジタル証明書がある場合、デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージに、既存のデジタル証明書の情報が含まれる。当該、既存のデジタル証明書の情報は、デジタル証明書を発行するための装置が証明書の照会および更新する際に用いられる。
【0079】
いくつかの実施形態では、前記デジタル証明書管理要求メッセージは、デジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書失効情報およびデジタル証明書撤回リスト情報などを含むことができる。特定の実施において、デジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書失効情報またはデジタル証明書撤回リスト情報は、表1に示される情報を採用できるが、表1に示す形式に限定されない。
【0080】
【表1】
【0081】
例を挙げて説明する。デジタル証明書管理要求メッセージの情報のタイプの値が2である場合、前記情報は、具体的には、新しいデジタル証明書を申請するために使用される証明書申請情報である。デジタル証明書管理要求メッセージの情報のタイプの値が4の場合、前記情報は、既存のデジタル証明書の照会または更新に使用される証明書取得情報である。デジタル証明書管理要求メッセージの情報のタイプの値が5の場合、前記情報既存のデジタル証明書を無効にするために使用される証明書失効情報である。デジタル証明書管理要求メッセージの情報のタイプの値が6の場合、前記情報は具体的には、証明書撤回リストを要求するために使用される証明書撤回リスト情報である。
【0082】
特定の実施において、証明書申請情報のフィールドフォーマットは、表2に示される情報を採用できるが、表2に示す形式に限定されない。
【0083】
【表2】
【0084】
特定の実施において、証明書取得情報のフィールドフォーマットは、表3に示される情報を採用できるが、表3に示す形式に限定されない。
【0085】
【表3】
【0086】
特定の実施において、証明書失効情報のフィールドフォーマットは、表4に示される情報を採用できるが、表4に示す形式に限定されない。
【0087】
【表4】
【0088】
特定の実施において、証明書撤回リスト情報のフィールドフォーマットは、表5に示される情報を採用できるが、表5に示す形式に限定されない。
【0089】
【表5】
【0090】
本発明は、証明書申請情報に含まれる証明書要求データを制限しない。
【0091】
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれる証明書要求データは、証明書要求情報、署名アルゴリズム識別子および署名値を含む。
【0092】
ここで、証明書要求情報は、バージョン、保有者名、保有者公開キー情報、および拡張子を含むことができる。これらの情報要素は簡潔であり、証明書を発行する基本的な要件を満たすことができる。署名値は、デジタル証明書を申請するための装置が公開キーと秘密キーのペアをローカルで生成した後、署名アルゴリズム識別子に対応する署名アルゴリズムを使用して、秘密キーで前記証明書要求情報を計算した後に得られる値である。デジタル証明書を発行するための装置は、証明書要求情報内の保有者公開キー情報を使用して署名をチェックして、公開キーと秘密キーがデジタル証明書を申請するための装置に所属するかどうかを判断する。署名アルゴリズム識別子および署名値により、公開キーと秘密キーが当該エンティティに所属するかどうかを認証することができる。
【0093】
いくつかの他の実施形態では、前記証明書要求データ内の前記証明書要求情報は、より統合された情報、すなわちシリアル番号、発行者名、および検証期間も含むことができる。これらの情報は、証明書発行機能を拡張する場合がある。たとえば、デジタル証明書の申請者は、証明書の特定の情報などを制限するよう要求する。この場合、前記証明書要求データは暗号化されてもよい。具体的に、前記証明書要求データは、デジタル証明書を申請するための装置がセキュリティデータチャネルが確立された後、生成されたデータセッションキーを使用して証明書要求情報、署名アルゴリズム識別子および署名値を暗号化して得られたデータである。さらに、上記の実施形態に基づいて、デジタル証明書を申請するための装置および/またはデジタル証明書を発行するための装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書要求データは、暗号化アルゴリズム識別子をさらに含み得る。これに対応して、前記証明書要求データは、具体的に、暗号化アルゴリズム識別子を含み、また、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズム、および前記データセッションキーを使用して前記証明書要求情報、前記署名アルゴリズム識別子および前記署名値を暗号化を暗号化した後に取得されたデータを含む。このような証明書要求データの構造要素は、より統合され、より広い機能を持つ。公開キーと秘密キーの所属エンティティを認証するとともに、証明書要求データに対して機密保護が実行される。一方、セキュリティデータチャネルが有する場合、このような証明書要求データ構造を採用することは、証明書要求データの機密保護を2回実現し、それによってデータ伝送のセキュリティをさらに改善する。
【0094】
ステップS404において、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書検証要求メッセージを受信する。
【0095】
前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化される。
【0096】
特定の実施において、デジタル証明書を発行するための装置が公開キーと秘密キーがデジタル証明書を申請するための装置に所属するかどうかを判断しようとすれば、デジタル証明書を発行するための装置は、セキュリティデータチャネルを介して機密に保たれた後、デジタル証明書を申請するための装置にデジタル証明書管理検証要求メッセージを送信する。前記デジタル証明書管理検証要求メッセージには、証明書検証要求情報が含まれる。前記証明書検証要求情報は、デジタル証明書を申請するための装置の公開キーと秘密キーの所属を認証するように構成される。デジタル証明書管理検証要求メッセージは、表6に示される情報を採用できるが、表6に示す形式に限定されない。
【0097】
【表6】
【0098】
証明書検証要求情報のフィールドフォーマットは、表7に示される情報を採用できるが、表7に示す形式に限定されない。
【0099】
【表7】
【0100】
いくつかの実施形態では、前記デジタル証明書管理検証要求メッセージに含まれる証明書検証要求情報は、アルゴリズム識別子、一時公開キーなどをさらに含む。
【0101】
特定の実施において、デジタル証明書を発行するための装置は、デジタル証明書の使用に従って、公開キーと秘密キーの所属認証を必要とするかどうかを判断する。デジタル証明書が暗号化またはキー交換を実行するように構成されている場合、デジタル証明書を発行するための装置は、公開キーと秘密キーの所属認証を実行する。具体的に、デジタル証明書を発行するための装置は、1つの認証値を生成し、認証値を計算してコントラスト値を生成する。証明書のさまざまな使用法に応じて、認証値を暗号化するためにさまざまなキーが使用される。証明書が暗号化するように構成されている場合、デジタル証明書を申請するための装置の公開キーを使用して認証値を暗号化し、認証値暗号文を生成する。証明書がキー交換を実行するように構成されている場合、デジタル証明書を発行するための装置とデジタル証明書を申請するための装置がキー交換を実行した後に共有キーが生成され、当該共有キーを使用して認証値を暗号化して認証値暗号文を生成する。デジタル証明書を発行するための装置は、前記コントラスト値および前記認証値暗号文をデジタル証明書管理検証要求メッセージに含ませる。
【0102】
ステップS405において、デジタル証明書を申請するための装置は、前記デジタル証明書を発行するための装置にデジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化される。
【0103】
特定の実施において、前記デジタル証明書を申請するための装置は、受信された前記デジタル証明書管理検証要求メッセージを処理して、デジタル証明書管理認証応答メッセージを生成する。
【0104】
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書が、デジタル証明書管理検証要求メッセージを受信した後、暗号化機能を実行するように構成される(すなわち、秘密キーが復号化交換を定義する)場合、前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置の秘密キーを使用して、前記認証値暗号文を復号化して認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が受信された前記コントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成する。
【0105】
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書がキー交換機能(すなわち、公開キーおよび秘密キーがキー交換を定義する)を実行するように構成される場合、前記デジタル証明書を申請するための装置は、前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置が前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が受信されたコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成する。
【0106】
特定の実施において、デジタル証明書を申請するための装置は、セキュリティデータチャネルを介して機密に保たれた後、デジタル証明書を発行するための装置に証明書管理認証応答メッセージを送信する。デジタル証明書管理認証応答メッセージは証明書認証応答情報を含む。デジタル証明書管理認証応答メッセージは、表8に示される情報を採用できるが、表8に示す形式に限定されない。
【0107】
【表8】
【0108】
証明書認証応答情報のフィールドフォーマットは、表9に示される情報を採用できるが、表9に示す形式に限定されない。
【0109】
【表9】
【0110】
ステップS406において、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信する。
【0111】
前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
さらに、デジタル証明書アプリケーション装置は、ニーズに従って使用するためのデジタル証明書を決定する。
さらに、デジタル証明書アプリケーション装置は、ニーズに従って使用するためのデジタル証明書を決定する。
【0112】
特定の実施において、デジタル証明書を発行するための装置は、セキュリティデータチャネルを介して機密に保たれた後、デジタル証明書を申請するための装置に証明書管理応答メッセージを送信する。デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置が新しい証明書を申請する必要があると決定する場合、デジタル証明書管理応答メッセージには、デジタル証明書を発行するための装置がデジタル証明書申請情報に含まれる証明書要求データに基づいて生成された新しい証明書が含まれる。デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置が既存のデジタル証明書を照会または更新する必要があると決定する場合、デジタル証明書管理応答メッセージには、照会または更新されたデジタル証明書が含まれる。
【0113】
特定の実施形態では、デジタル証明書を発行するための装置は、デジタル証明書管理要求メッセージ内の情報のタイプに従って判断および処理を行う。デジタル証明書申請情報が受信されると、保護を申請する証明書の情報が存在すると判断された場合、証明書要求データに従って新しいデジタル証明書が発行される。情報を取得する証明書に含まれる既存のデジタル証明書の情報が存在する場合、既存のデジタル証明書は、発行装置名とシリアル番号に従って照会される。証明書失効情報に含まれる発行装置名とシリアル番号が存在する場合、既存のデジタル証明書は、発行装置名とシリアル番号に従って無効される。また、証明書撤回リストが存在する場合、発行装置名に従って証明書撤回リストが照会される。デジタル証明書を発行するための装置は、上記の証明書をデジタル証明書管理応答メッセージに含ませる。デジタル証明書管理応答メッセージは、表10に示される情報を採用できるが、表10に示す形式に限定されない。
【0114】
【表10】
【0115】
証明書応答情報フォーマットは、表11に示される情報を採用できるが、表11に示す形式に限定されない。
【0116】
【表11】
【0117】
ここで、証明書生成タイプは、表12に示すように、異なる証明書保有者に対応する証明書タイプをリストすることができる。
【0118】
【表12】
【0119】
ここで、AS証明書は認証サーバ証明書であり、CA証明書は認証センター証明書である。
【0120】
特定の実施において、デジタル証明書管理応答メッセージは暗号化によって処理される。具体的に、セキュリティチャネルを持つ場合、生成されたデータ通信キーは暗号化に使用されるため、メッセージの送信セキュリティが向上する。前記デジタル証明書管理応答メッセージは1次暗号化のために処理され、2次暗号化のために処理される場合があることに留意する必要がある。たとえば、前記デジタル証明書管理要求メッセージが送信される前に、セキュリティキーのうちの1組のキー、たとえば、データセッションキーをすでに使用して、デジタル証明書管理要求メッセージに含まれる証明書要求データを暗号化をした場合、セキュリティデータチャネルで伝送の際にデータ通信キーをさらに使用して2番目の暗号化処理される。同様に、前記デジタル証明書管理応答メッセージは、前記データセッションキーと前記データ通信キーのペアに含まれる証明書応答データそれぞれを使用して、2番目に暗号化される。さらに、デジタル証明書を申請するための装置および/またはデジタル証明書を発行するための装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記証明書応答データはさらに暗号化アルゴリズム識別子を含み得る。同様に、前記証明書応答データは、具体的に暗号化アルゴリズム識別子を含み、また、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズム、および前記データセッションキーを使用して前記証明書応答データを暗号化して得られたデータを含む。
【0121】
ステップS407において、デジタル証明書を申請するための装置は、前記セキュリティデータチャネルを使用して、デジタル証明書を発行するための装置にデジタル証明書管理確認メッセージを送信する。前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
【0122】
本発明の実施形態において、安全で信頼できるデータ伝送チャネルは、上記のS401およびS402メッセージを通じて確立され、デジタル証明書の自動申請、照会および更新は、上記のS403、S406およびS407でのメッセージをインタラクションすることにより実現される。エンティティの公開キーと秘密キーの所属認証は、デジタル証明書管理がより効果的になるように、S404およびS405のデジタル証明書検証要求メッセージとデジタル証明書管理認証応答メッセージの間のインタラクションによって実現される。図6は、デジタル証明書自動申請、照会、更新、発行の方法におけるメッセージの内容の概略図である。図6に示すように、デジタル証明書管理要求メッセージは、具体的にデジタル証明書申請情報、デジタル証明書取得情報、デジタル証明書失効情報およびデジタル証明書撤回リスト情報などを含むことができる。前記デジタル証明書管理応答メッセージは、デジタル証明書応答情報などを含むことができる。デジタル証明書管理確認メッセージは、デジタル証明書を申請するための装置とデジタル証明書を発行するための装置との間の接続を解除するように構成されてもよい。デジタル証明書管理検証要求メッセージは、デジタル証明書検証要求情報などを含むことができる。デジタル証明書管理認証応答メッセージは、デジタル証明書認証応答情報などを含むことができる。
【0123】
本発明で提供されるデジタル証明書を管理するための方法は、デジタル証明書アプリケーション装置側から上で説明されている。本発明で提供される方法は、デジタル証明書を発行するための装置側にも適用でき、その処理は、図2および図3に示す例に対応して実行できることを当業者は理解することができる。例えば、証明書発行装置側に適用される上記の方法は、デジタル証明書を発行するための装置認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーはデータ通信キーを含むステップと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化されるステップと、前記デジタル証明書管理要求メッセージを処理し、デジタル証明書管理検証要求メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化されるステップと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化されるステップと、前記デジタル証明書管理認証応答メッセージを処理し、デジタル証明書管理応答メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化されるステップと、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージを処理し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化されるステップとを備える。
【0124】
いくつかの実施形態では、前記デジタル証明書を発行するための装置認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成することは、具体的に、前記デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置と、セキュリティデータチャネルについてネゴシエートし、前記デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置と、認証コードおよびネゴシエーションプロセスで得られた乱数、ID情報を使用して、セキュリティチャネルのセキュリティキーを生成し、前記デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置と、完全性チェックコードによって、セキュリティチャネル確認メッセージを認証する。
【0125】
いくつかの実施形態では、前記デジタル証明書を発行するための装置が、デジタル証明書を申請するための装置と、セキュリティデータチャネルについてネゴシエートすることは、前記デジタル証明書を発行するための装置は、デジタル証明書を申請するための装置に第2の乱数、第2のID情報を送信し、および、前記デジタル証明書を申請するための装置によって送信された第1の乱数、第1のID情報を受信する。
【0126】
いくつかの実施形態では、前記デジタル証明書を発行するための装置が、デジタル証明書を申請するための装置と、認証コードおよびネゴシエーションプロセスで得られた乱数、ID情報を使用して、セキュリティチャネルのセキュリティキーを生成することは、具体的に、前記デジタル証明書を発行するための装置は、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。
【0127】
具体的なの実施は、図2から6に記載された方法を参照することにより実現することができる。
【0128】
図7は、本発明の一実施形態により提供されるデジタル証明書を申請するための装置の概略図である。
【0129】
デジタル証明書を申請するための装置700は、セキュリティデータチャネル確立ユニット701と、送信ユニット702と、暗号化ユニット703と、受信ユニット704と、処理ユニット705とを備える。
【0130】
前記セキュリティデータチャネル確立ユニット701は、取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成するように構成される。前記セキュリティキーはデータ通信キーを含む。
【0131】
前記送信ユニット702は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に前記デジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
【0132】
前記暗号化ユニット703は、前記データ通信キーを使用して、前記証明書管理要求メッセージを暗号化し、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化する。
【0133】
前記受信ユニット704は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理検証要求メッセージを受信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
【0134】
前記処理ユニット705は、受信された前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、また、受信された前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成する。
【0135】
いくつかの実施形態では、前記暗号化ユニット703は具体的に、前記セキュリティデータチャネルのデータ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化する。
【0136】
いくつかの実施形態では、前記受信ユニット704は、受信された前記デジタル証明書管理検証要求メッセージは証明書検証要求情報を含み、前記証明書検証要求情報は、コントラスト値および認証値暗号文を含む。
【0137】
いくつかの実施形態では、前記デジタル証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書が暗号化機能を実行するように構成されている場合、前記処理ユニット705は具体的に、
前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置の秘密キーを使用して、前記認証値暗号文を復号化して認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が受信された前記コントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成する。
前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置の秘密キーを使用して、前記認証値暗号文を復号化して認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、計算によって生成された前記新しいコントラスト値が受信された前記コントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成する。
【0138】
前記デジタル証明書管理認証応答メッセージは証明書認証応答情報を含む。
【0139】
いくつかの実施形態では、前記証明書管理要求メッセージに含まれるデータ要求管理のデジタル証明書がキー交換機能を実行するように構成された場合、前記処理ユニット705は具体的に、
前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置が前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が受信されたコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成する。
前記デジタル証明書管理検証要求メッセージを受信した後、まず、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを復号化し、前記認証値暗号文および前記コントラスト値を取得し、前記デジタル証明書を申請するための装置が前記デジタル証明書を発行するための装置とキーを交換して共有キーを生成し、前記共有キーを使用して前記認証値暗号文を復号化して前記認証値を取得し、前記認証値に対して計算を行って新しいコントラスト値を生成し、前記新しいコントラスト値が受信されたコントラスト値と一致するかどうかを判断し、一致する場合、デジタル証明書を申請するための装置による公開キーと秘密キーの所属に対する認証が可能であると判断し、前記認証値を使用して前記デジタル証明書管理認証応答メッセージを生成する。
【0140】
いくつかの実施形態では、前記送信ユニット702によって送信された前記デジタル証明書管理要求メッセージに含まれる証明書要求データは、証明書要求情報、署名アルゴリズム識別子および署名値を含む。前記証明書要求情報は、バージョン、保有者名、保有者公開キー情報および拡張子を含む。前記暗号化ユニット703は具体的に、前記セキュリティデータチャネルのデータ通信キーを使用して、前記デジタル証明書管理要求メッセージを暗号化する。
【0141】
いくつかの実施形態では、前記暗号化ユニット703はさらに、前記セキュリティキーがデータセッションキーをさらに含む場合、前記デジタル証明書管理要求メッセージが、前記セキュリティデータチャネルのデータ通信キーによって暗号化される前、前記データセッションキーを使用して、前記デジタル証明書管理要求メッセージに含まれる証明書要求データを暗号化する。
【0142】
前記証明書要求情報は、シリアル番号、発行者名および検証期間をさらに含む。
【0143】
さらに、前記デジタル証明書を申請するための装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニット702によって送信される前記証明書要求データは、暗号化アルゴリズム識別子をさらに含み、具体的には、暗号化アルゴリズム識別子を含み、また、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムおよび前記データセッションキーを使用して前記証明書要求情報、前記署名アルゴリズム識別子および前記署名値を暗号化して得られたデータを含む。これに対応して、前記暗号化ユニット703は具体的に、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズムおよび前記データセッションキーを使用して、前記証明書要求情報、前記署名アルゴリズム識別子および前記署名値を暗号化する。
【0144】
いくつかの実施形態では、前記送信ユニット702は、第1の送信ユニット、および/または第2の送信ユニット、および/または、第3の送信ユニット、および/または、第4の送信ユニットを含む。
【0145】
前記第1の送信ユニットは、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書申請情報を送信し、前記デジタル証明書申請情報は、新しい証明書の申請に用いられる。前記デジタル証明書申請情報包括証明書生成方法および証明書要求データを含む。
【0146】
前記第2の送信ユニットは、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書取得情報を送信し、既存のデジタル証明書を照会または更新するようにする。前記デジタル証明書取得情報は、発行装置名およびシリアル番号フィールドを含む。
【0147】
前記第3の送信ユニットは、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書失効情報を送信し、既存のデジタル証明書を無効させようと申請するようにする。前記デジタル証明書失効情報は、発行装置名、シリアル番号および失効原因フィールドを含む。
【0148】
前記第4の送信ユニットは、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書撤回リスト情報を送信し、デジタル証明書撤回リストを要求するようにする。前記デジタル証明書撤回リスト情報は発行装置名フィールドを含む。
【0149】
いくつかの実施形態では、前記セキュリティデータチャネル確立ユニット701は、デジタル証明書を発行するための装置とセキュリティデータチャネルネゴシエートの確立をネゴシエートするように構成されたネゴシエーションユニットと、デジタル証明書を発行するための装置と、認証コード、ネゴシエーションプロセスで得られた乱数、およびID情報を使用して、セキュリティチャネルのセキュリティキーを生成するように構成されたキー生成ユニットと、デジタル証明書を発行するための装置と、完全性チェックコードによってセキュリティチャネル確認メッセージを認証するように構成されたキー確認ユニットとを備える。
【0150】
いくつかの実施形態では、前記ネゴシエーションユニットは具体的に、デジタル証明書を発行するための装置に第1の乱数、第1のID情報を送信し、および前記デジタル証明書を発行するための装置によって送信された第2の乱数、第2のID情報を受信する。前記キー生成ユニットは具体的に、前記デジタル証明書を申請するための装置およびデジタル証明書を発行するための装置によって、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。
【0151】
いくつかの実施形態では、前記キー生成ユニットによって生成されたセキュリティキーは完全性チェックキーをさらに含む。前記キー確認ユニットは具体的に、前記デジタル証明書を申請するための装置およびデジタル証明書を発行するための装置によって、乱数、前記完全性チェックキーを使用して完全性チェックコードを生成し、前記完全性チェックコードを使用してセキュリティチャネル確認メッセージを認証する。
【0152】
本発明の装置のための各ユニットまたはモジュールの設定は、図2から図6に示されるような方法を参照することによって実現することができる。ここでは繰り返して説明しない。デジタル証明書管理装置は別個の装置であり、デジタル証明書を発行するための装置と統合することもでき、またデジタル証明書を発行するための装置の一部として存在することもあるが、ここでは制限しない。
【0153】
図8は、本発明の別の実施形態によって提供されるデジタル証明書の申請に用いられる装置のブロック図である。当該装置は、少なくとも1つのプロセッサ801(たとえば、CPU)と、メモリ802と、これらの装置間の接続通信を実現するように構成された少なくとも1つの通信バス803とを備える。プロセッサ801は、コンピュータプログラムなど、メモリ802に格納された実行可能モジュールを実行するように構成される。メモリ802は、ランダムアクセスメモリ(RAM:Random Access Memory)を含み、さらに少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non-volatile memory)を含む可能性が高い。1つまたは複数のプログラムは、メモリに格納され、1つ以上のプロセッサ801により、1つ以上のプログラムに含まれる以下の動作を行うための命令を実行するように構成される:取得された認証コードを使用して、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーは少なくともデータ通信キーを含み、デジタル証明書管理要求メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理要求メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書管理要求メッセージを送信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理検証要求メッセージを受信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理検証要求メッセージを処理してデジタル証明書管理認証応答メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理認証応答メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に、前記デジタル証明書管理認証応答メッセージを送信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置によって送信されたデジタル証明書管理応答メッセージを受信し、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理応答メッセージを処理してデジタル証明書管理確認メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理確認メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置に前記デジタル証明書管理確認メッセージを送信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
【0154】
いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書申請情報を送信し、前記デジタル証明書申請情報は、新しい証明書の申請に用いられる。前記デジタル証明書申請情報は、証明書生成方法および証明書要求データを含む。
【0155】
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書取得情報を送信し、既存のデジタル証明書を照会または更新するようにする。前記デジタル証明書取得情報は、発行装置名およびシリアル番号フィールドを含む。
【0156】
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書失効情報を送信し、既存のデジタル証明書を無効させようと申請するようにする。前記デジタル証明書失効情報は、発行装置名、シリアル番号および失効原因フィールドを含む。
【0157】
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、前記セキュリティデータチャネルを使用して、前記デジタル証明書を発行するための装置にデジタル証明書撤回リスト情報を送信し、デジタル証明書撤回リストを要求するようにする。前記デジタル証明書撤回リスト情報は発行装置名フィールドを含む。
【0158】
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、デジタル証明書を発行するための装置と、セキュリティデータチャネルの確立をネゴシエートし、デジタル証明書を発行するための装置と、認証コード、ネゴシエーションプロセスで得られた乱数、およびID情報を使用して、セキュリティチャネルのセキュリティキーを生成し、デジタル証明書を発行するための装置と、完全性チェックコードによってセキュリティチャネル確認メッセージを認証する。
【0159】
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、デジタル証明書を発行するための装置に第1の乱数、第1のID情報を送信し、および前記デジタル証明書を発行するための装置によって送信された第2の乱数、第2のID情報を受信する。デジタル証明書を発行するための装置と、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。
【0160】
いくつかの実施形態では、いくつかの実施形態では、プロセッサ801は、1つまたは複数のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、デジタル証明書を発行するための装置を、乱数、前記完全性チェックキーを使用して完全性チェックコードを生成し、前記完全性チェックコードを使用してセキュリティチャネル確認メッセージを認証する。
【0161】
【0162】
デジタル証明書を発行するための装置900は、セキュリティデータチャネル確立ユニット901と、受信ユニット902と、処理ユニット903と、暗号化ユニット904と、送信ユニット905とを備える。
【0163】
前記セキュリティデータチャネル確立ユニット901は、認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成する。前記セキュリティキーはデータ通信キーを含む。
【0164】
前記受信ユニット902は、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化され、また、前記デジタル証明書を申請するための装置が前記セキュリティデータチャネルを使用して送信したデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
【0165】
前記処理ユニット903は、受信された前記デジタル証明書管理要求メッセージを処理してデジタル証明書管理検証要求メッセージを生成し、また、受信された前記デジタル証明書管理認証応答メッセージを処理してデジタル証明書管理応答メッセージを生成し、また、受信された前記デジタル証明書管理確認メッセージを処理する。
【0166】
前記暗号化ユニット904は、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、また、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化する。
【0167】
前記送信ユニット905は、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化され、また、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。
【0168】
いくつかの実施形態では、前記送信ユニット905によって送信された前記デジタル証明書管理応答メッセージに証明書応答データが含まれる。前記暗号化ユニット904は具体的に、前記セキュリティデータチャネルのデータ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化し、前記受信ユニット902二よって受信された前記デジタル証明書管理要求メッセージに含まれる証明書要求データは、証明書要求情報、署名アルゴリズム識別子および署名値を含む。前記証明書要求情報は、バージョン、保有者名、保有者公開キー情報および拡張子を含む。
【0169】
いくつかの実施形態では、前記暗号化ユニット904はさらに、前記セキュリティキーがデータセッションキーをさらに含む場合、前記デジタル証明書管理応答メッセージが前記セキュリティデータチャネルのデータ通信キーによって暗号化される前、前記データセッションキーを使用して、前記デジタル証明書管理応答メッセージに含まれる証明書応答データを暗号化する。前記証明書要求情報は、シリアル番号、発行者名および検証期間をさらに含む。
【0170】
いくつかの実施形態では、前記デジタル証明書を発行するための装置が2つ以上の暗号化アルゴリズムをサポートする場合、前記送信ユニット905によって送信された前記証明書応答データは、暗号化アルゴリズム識別子をさらに含み、具体的には、暗号化アルゴリズム識別子を含み、また、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズム、および前記データセッションキーを使用して、前記証明書応答データを暗号化して得られたデータを含む。これに対応して、前記暗号化ユニット904は具体的に、前記暗号化アルゴリズム識別子に対応する暗号化アルゴリズム、および前記データセッションキーを使用して、前記証明書応答データを暗号化する。
【0171】
いくつかの実施形態では、前記セキュリティデータチャネル確立ユニット901は、デジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートするように構成されたネゴシエーションユニットと、デジタル証明書を申請するための装置と、認証コード、ネゴシエーションプロセスで得られた乱数、ID情報を使用してセキュリティチャネルのセキュリティキーを生成するように構成されたキー生成ユニットと、デジタル証明書を申請するための装置と、完全性チェックコードによってセキュリティチャネル確認メッセージを認証するように構成されたキー確認ユニットとを備える。
【0172】
いくつかの実施形態では、前記ネゴシエーションユニットは具体的に、デジタル証明書を申請するための装置に第2の乱数、第2のID情報を送信し、および、前記デジタル証明書を申請するための装置によって送信された第1の乱数、第1のID情報を受信する。前記キー生成ユニットは具体的に、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。
【0173】
いくつかの実施形態では、前記キー生成ユニットによって生成されたセキュリティキーは完全性チェックキーをさらに含む。前記キー確認ユニットは具体的に、デジタル証明書を申請するための装置と、乱数、前記完全性チェックキーを使用して、完全性チェックコードを生成し、前記完全性チェックコードを使用してセキュリティチャネル確認メッセージを認証する。
【0174】
図10を参照すると、図10は、本発明の別の実施形態によって提供されるデジタル証明書の発行に用いられる装置のブロック図である。前記装置は、少なくとも1つのプロセッサ1001(たとえば、CPU)と、メモリ1002と、これらの装置間の接続通信を実現するように構成された少なくとも1つの通信バス1003とを備える。プロセッサ1001は、コンピュータプログラムなど、メモリ1002に格納された実行可能モジュールを実行するように構成される。メモリ1002は、ランダムアクセスメモリ(RAM:Random Access Memory)を含む可能性が高く、少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non-volatile memory)をさらに含む可能性が高い。1つまたは複数のプログラムは、メモリに格納され、1つまたは複数のプロセッサ1001によって、1つまたは複数のプログラムに含まれる以下の動作を行う命令を実行するように構成される:認証コードを使用してデジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、セキュリティキーを生成し、前記セキュリティキーはデータ通信キーを含む。前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理要求メッセージを受信し、前記デジタル証明書管理要求メッセージは、前記データ通信キーによって暗号化され、前記デジタル証明書管理要求メッセージを処理し、デジタル証明書管理検証要求メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理検証要求メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理検証要求メッセージを送信し、前記デジタル証明書管理検証要求メッセージは、前記データ通信キーによって暗号化される。前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理認証応答メッセージを受信し、前記デジタル証明書管理認証応答メッセージは、前記データ通信キーによって暗号化される。前記デジタル証明書管理認証応答メッセージを処理し、デジタル証明書管理応答メッセージを生成し、前記データ通信キーを使用して、前記デジタル証明書管理応答メッセージを暗号化し、前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置に前記デジタル証明書管理応答メッセージを送信する、前記デジタル証明書管理応答メッセージは、前記データ通信キーによって暗号化される。前記セキュリティデータチャネルを使用して、前記デジタル証明書を申請するための装置によって送信されたデジタル証明書管理確認メッセージを受信し、前記デジタル証明書管理確認メッセージを処理し、前記デジタル証明書管理確認メッセージは、前記データ通信キーによって暗号化される。
【0175】
いくつかの実施形態では、プロセッサ1001は、1つ以上のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、デジタル証明書を申請するための装置と、セキュリティデータチャネルの確立をネゴシエートし、デジタル証明書を申請するための装置と、認証コード、ネゴシエーションプロセスで得られた乱数、ID情報を使用して、セキュリティチャネルのセキュリティキーを生成し、デジタル証明書を申請するための装置と、完全性チェックコードによって、セキュリティチャネル確認メッセージを認証する。
【0176】
いくつかの実施形態では、プロセッサ1001は、1つ以上のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、デジタル証明書を申請するための装置に第2の乱数、第2のID情報を送信し、および、前記デジタル証明書を申請するための装置によって送信された第1の乱数、第1のID情報を受信する。
【0177】
いくつかの実施形態では、プロセッサ1001は、1つ以上のプログラムに含まれる以下の動作を行うための命令を実行するように特に構成されており、認証コード、前記第1の乱数、前記第1のID情報、前記第2の乱数および前記第2のID情報を使用して、セキュリティキーを生成する。
【0178】
当業者は、前述の方法および装置が対応する関係にあることを理解するであろう。
【0179】
本明細書を検討し、本明細書の開示を実施した後、当業者が本発明の他の実施形態を考えることは容易である。本発明は、本発明の一般的な原則に準拠し、技術分野で一般的に知られている技術的手段または従来技術で開示されていない技術的手段を含む、本発明のあらゆる変形、使用または適応的変更を網羅することを目的とする。本発明の仕様および実施形態は単に例示と見なされる。本発明の真の範囲および精神は、添付の特許請求の範囲によって特定される。
【0180】
本発明は、上で説明され、添付の図面に示された正確な構造に限定されず、本発明の範囲から逸脱することなく様々な修正および変更を行うことができることを理解されたい。本発明の範囲は、添付の特許請求の範囲によってのみ定義される。
【0181】
本発明の好ましい実施形態は、本発明を限定するために使用されることなく、上記で説明されている。本発明の精神および原理内で行われた修正、同等物、改良などは、本発明の保護範囲に含まれるべきである。
【0182】
文脈において、必ずしもそのような実際の関係の存在を要求または暗示することなく、第1、第2などの関係用語が単に1つのエンティティまたは操作を別のエンティティまたは操作から区別するために使用されることまたはこれらのエンティティまたはオペレーション間の順序に留意する必要がある。また、本発明の後記の請求の範囲に限定された本発明の思想及び範囲を逸脱しない限り、修正または取り換え及び変換をすることができる。また、本発明の専門用語「含む」、「備える」または他の変形は、排他性がない「含む」を包括して、一連の要素を含む過程、方法、ものまたは装置が、それらの要素だけではなく、明確に例挙げされていない他の要素も含むか、または、このような過程、方法、ものまたは装置に固有される要素も含む。更なる制限がない場合、「1つの…を含む」のような限定された要素は、前記要素を含む過程、方法、ものまたは装置には、さらに他の同じ要素の存在を制限しない。
【0183】
本発明は、プログラムモジュールなどのコンピュータによって実行されるコンピュータ実行可能命令の一般的な文脈で説明することができる。一般に、プログラムモジュールには、特定のタスクを実行したり、特定の抽象データ型を実施したりするルーチン、プログラム、オブジェクト、コンポーネント、データ構造などが含まれる。本発明は、通信ネットワークを介して接続されたリモート処理装置を通じてタスクが実行される分散コンピューティング環境で実施することもできる。分散コンピューティング環境では、プログラムモジュールをストレージ装置内のローカルおよびリモートのコンピュータストレージメディアに配置できる。
【0184】
本明細書の様々な実施形態は漸進的に説明されており、様々な実施形態間の同一または類似の部分は互いに言及している場合がある。各実施形態は、他の実施形態との違いを説明することに焦点を合わせている。特に、装置の実施形態については、方法の実施形態と実質的に類似しているため、簡単に説明する。関連する点については、方法の実施形態の指示の一部を参照されたい。上記の装置の実施形態は単なる例示であり、分離コンポーネントとして説明されるユニットは物理的に分離することもできないこともでき、ユニットとして表示されるコンポーネントは物理ユニットとすることもできないこともできる。1つの場所に配置するか、複数のネットワークユニットに分散することもできる。実施形態の解決策の目的は、実際の要件に従ってモジュールの一部またはすべてを選択することにより実現できる。創造的な努力を払わない場合、当業者は解決策を理解し、実施することができる。上述したことは、本発明の特定の実施形態にすぎない。当業者にとって、本発明の原理から逸脱することなくという前提の下で、複数の改良および変形をさらに行うことができることに留意されたい。これらの改善および変形も、本発明の保護範囲において考慮されるべきである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】