專利名稱:用于產(chǎn)生包含證書和密鑰的產(chǎn)品的方法
用于產(chǎn)生包含證書和密鑰的產(chǎn)品的方法
背景技術(shù):
作為公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure, PKI)的部分的產(chǎn)品存儲(chǔ)用于認(rèn)證產(chǎn)品的證書以及相應(yīng)的公鑰和私鑰�。在產(chǎn)品中存儲(chǔ)證書和相應(yīng)密鑰的一種方法中��,產(chǎn)品產(chǎn)生公鑰和私鑰的密鑰對(duì)以及證書請(qǐng)求����,該證書請(qǐng)求包括產(chǎn)品的標(biāo)識(shí)數(shù)據(jù)以及所產(chǎn)生的公鑰。然后該產(chǎn)品用產(chǎn)生的私鑰對(duì)該證書請(qǐng)求進(jìn)行簽名并將簽名了的證書請(qǐng)求發(fā)送到產(chǎn)品代理(Product Proxy)(例如主機(jī)計(jì)算機(jī)),該產(chǎn)品代理聯(lián)系登記授權(quán)機(jī)構(gòu)(Registration Authority)�����。該登記授權(quán)機(jī)構(gòu)驗(yàn)證產(chǎn)品的標(biāo)識(shí)數(shù)據(jù)和密鑰對(duì)�����,然后聯(lián)系證書授權(quán)機(jī)構(gòu) (Certificate Authority)頒發(fā)證書�。該證書授權(quán)機(jī)構(gòu)產(chǎn)生證書,用其自己的私鑰對(duì)證書簽名�,然后將證書發(fā)回到登記授權(quán)機(jī)構(gòu)�,該登記授權(quán)機(jī)構(gòu)經(jīng)由產(chǎn)品代理將該證書返回到產(chǎn)品。 盡管當(dāng)要向單獨(dú)的硬件產(chǎn)品(例如單個(gè)服務(wù)器)頒發(fā)證書時(shí)此處理很好地運(yùn)作�����,但是當(dāng)要在制造過程中在大量產(chǎn)品中存儲(chǔ)證書時(shí)���,由于每個(gè)產(chǎn)品需要相當(dāng)長(zhǎng)的時(shí)間來產(chǎn)生其自己的密鑰對(duì)以及需要相當(dāng)長(zhǎng)的時(shí)間來在四方(產(chǎn)品��、產(chǎn)品代理��、登記授權(quán)機(jī)構(gòu)和證書授權(quán)機(jī)構(gòu)) 之間傳送�,此處理可能是太長(zhǎng)時(shí)間并且低效率的。Veriign 設(shè)備證書服務(wù)提供了用于頒發(fā)將在制造過程中被嵌入到產(chǎn)品中的證書的大量批次(batch)處理���。在操作時(shí)�����,產(chǎn)品制造者通過網(wǎng)絡(luò)接口為Veriign 提供用于其產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符(例如線纜調(diào)制解調(diào)器的媒體存取控制(MAC)地址)的列表��。 Veriign 頒發(fā)各證書和相應(yīng)的公鑰和私鑰對(duì)���,并以加密的形式經(jīng)由因特網(wǎng)將它們安全地發(fā)送到制造者。制造者解密這些證書和相應(yīng)的密鑰并在制造過程期間將它們嵌入產(chǎn)品中����。
發(fā)明內(nèi)容
在此給出的概念可以在各種實(shí)施例中實(shí)現(xiàn),并且此發(fā)明內(nèi)容包括多個(gè)示例實(shí)施例����。通過介紹,以下所述的實(shí)施例提供了用于產(chǎn)生具有證書和密鑰的產(chǎn)品的方法�。在一個(gè)實(shí)施例中,請(qǐng)求實(shí)體向產(chǎn)生證書和相應(yīng)的密鑰的證明實(shí)體發(fā)送對(duì)于多個(gè)證書和相應(yīng)的密鑰的請(qǐng)求�����。該請(qǐng)求優(yōu)選包括由證明實(shí)體使用來驗(yàn)證請(qǐng)求實(shí)體的身份的信息而不是用于驗(yàn)證各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符的信息。然后請(qǐng)求實(shí)體優(yōu)選地以多個(gè)有組織的集合而不是單個(gè)證書系列從證明實(shí)體接收多個(gè)證書和相應(yīng)的密鑰����。然后請(qǐng)求實(shí)體將證書和相應(yīng)的密鑰存儲(chǔ)在各個(gè)產(chǎn)品中。然后���,每個(gè)存儲(chǔ)的證書可用于其被存儲(chǔ)在的各個(gè)產(chǎn)品的標(biāo)識(shí)和認(rèn)證�����。在此所述的每個(gè)實(shí)施例可以單獨(dú)使用或彼此組合使用?,F(xiàn)在將參考附圖描述各個(gè)實(shí)施例��。
圖1是用于產(chǎn)生具有證書和密鑰的產(chǎn)品的實(shí)施例的系統(tǒng)的例示��。圖2是用于產(chǎn)生具有證書和密鑰的產(chǎn)品的實(shí)施例的方法的流程圖��。圖3是一個(gè)實(shí)施例的示例的請(qǐng)求形式的例示����。圖4是用于發(fā)送證書和相應(yīng)的密鑰的實(shí)施例的示例格式的例示�。
具體實(shí)施例方式現(xiàn)在轉(zhuǎn)向附圖,圖1是用于產(chǎn)生具有證書和密鑰的產(chǎn)品110A�、1 IOB.......IlON
的實(shí)施例的系統(tǒng)100的例示�����。通常��,請(qǐng)求實(shí)體120向證明實(shí)體(certifying entiry) 130 發(fā)送對(duì)于證書和相應(yīng)的密鑰的請(qǐng)求����,證明實(shí)體130產(chǎn)生并為請(qǐng)求實(shí)體120提供所請(qǐng)求的證書和相應(yīng)的密鑰��,并且請(qǐng)求實(shí)體120將該證書和相應(yīng)的密鑰存儲(chǔ)在各個(gè)產(chǎn)品110A���、
110B����、......IlON中���,由此將產(chǎn)品110A����、110B��、......IlON從不存儲(chǔ)證書和相應(yīng)的密鑰的產(chǎn)
品轉(zhuǎn)換為存儲(chǔ)證書和相應(yīng)的密鑰的產(chǎn)品��。一旦被存儲(chǔ)在產(chǎn)品中,證書和相應(yīng)的密鑰就不僅可以用于(例如向?qū)?nèi)容提供給產(chǎn)品的內(nèi)容服務(wù)器)認(rèn)證該產(chǎn)品�����,而且可以用于標(biāo)識(shí)該產(chǎn)
P
ΡΠ O如在此使用的����,“請(qǐng)求實(shí)體”指請(qǐng)求證書和相應(yīng)的密鑰的實(shí)體,并且通常是產(chǎn)品制造者(例如存儲(chǔ)卡制造者)���。同樣如在此使用的���,“證明實(shí)體”指驗(yàn)證請(qǐng)求實(shí)體的身份并產(chǎn)生所請(qǐng)求的證書和相應(yīng)的密鑰的實(shí)體。如從以下討論將清楚的�����,請(qǐng)求實(shí)體120和驗(yàn)證實(shí)體 130可以以任何適當(dāng)?shù)男问街苯踊蜷g接地彼此通信����?�!爱a(chǎn)品”也可以取任何適當(dāng)?shù)男问?�,并且通常包含存?chǔ)器單元和用于與另一設(shè)備通信的接口?����!爱a(chǎn)品”的例子包括但不限于可移除大容量存儲(chǔ)設(shè)備(比如非易失性����、固態(tài)(例如快閃)存儲(chǔ)卡)、固態(tài)盤(SSD)�����、智能卡����、光或磁存儲(chǔ)器設(shè)備、游戲控制臺(tái)�、數(shù)字視頻記錄機(jī)、機(jī)頂盒��、移動(dòng)電話�����、ATM機(jī)��、線纜調(diào)制解調(diào)器、 個(gè)人數(shù)字助理(PDA)�、電子郵件/文本消息設(shè)備、數(shù)字媒體播放器�����、個(gè)人計(jì)算機(jī)和GPS導(dǎo)航設(shè)備�。返回附圖,圖2是用于使用圖1的系統(tǒng)100產(chǎn)生具有證書和密鑰的產(chǎn)品的實(shí)施例的方法的流程圖200�。首先,請(qǐng)求實(shí)體120向證明實(shí)體130發(fā)送對(duì)于多個(gè)證書和相應(yīng)的密鑰的請(qǐng)求�,證明實(shí)體130產(chǎn)生證書和相應(yīng)的密鑰(動(dòng)作210)?����?梢园慈魏芜m當(dāng)?shù)男问桨l(fā)送請(qǐng)求��。例如��,可以電子地經(jīng)由通信信道(例如因特網(wǎng))將請(qǐng)求發(fā)送到證明實(shí)體130���,可以將請(qǐng)求存儲(chǔ)在便攜存儲(chǔ)設(shè)備(例如DVD)上,該便攜存儲(chǔ)設(shè)備然后被郵寄到證明實(shí)體130��,可以以紙張形式將請(qǐng)求郵寄或傳真到驗(yàn)證實(shí)體130,或者可以將請(qǐng)求口頭地(例如經(jīng)過電話) 傳達(dá)給證明實(shí)體130�。出于安全原因,優(yōu)選地����,請(qǐng)求實(shí)體120用先前從證明實(shí)體130接收的私鑰對(duì)該請(qǐng)求簽名。為了增加安全性��,該請(qǐng)求在傳送到證明實(shí)體130之前可以被加密�����,如以下將更詳細(xì)討論的�����。該請(qǐng)求本身可以包含任何期望的信息�。圖3是一個(gè)實(shí)施例的示例的請(qǐng)求形式300 的例示。如圖3所示��,此形式300中的字段包括請(qǐng)求實(shí)體的名稱(310)�����、請(qǐng)求實(shí)體的聯(lián)系人 (320)和電子郵件地址和電話號(hào)碼(330)、該請(qǐng)求的日期(340)�����、應(yīng)該發(fā)送證書和密鑰的日期(350)�����、所請(qǐng)求的證書的總數(shù)(360)�����、產(chǎn)品證明權(quán)限主題證書名稱(370)����、制造者證明權(quán)限主題證書名稱(380)以及其他請(qǐng)求/注釋(390)。在一個(gè)實(shí)施例中�����,形式300被置于PDF文件中并用私鑰簽名��。同樣����,該請(qǐng)求優(yōu)選地包括用于由證明實(shí)體130是用來驗(yàn)證請(qǐng)求實(shí)體120 的身份的信息(例如,通過先前由證明實(shí)體130提供給請(qǐng)求實(shí)體120的私鑰對(duì)請(qǐng)求的簽名) 而不是用于驗(yàn)證各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符(例如媒體存取控制(MAC)地址)的信息?��;厝⒖紙D2,請(qǐng)求實(shí)體120從證明實(shí)體130接收多個(gè)證書和相應(yīng)的密鑰(動(dòng)作 220)���。如像以上所述的請(qǐng)求傳送動(dòng)作那樣��,多個(gè)證書和相應(yīng)的密鑰可以以任何適當(dāng)?shù)姆绞接烧?qǐng)求實(shí)體120接收�。例如��,證書和密鑰可以經(jīng)由通信信道(例如作為壓縮文件����,通過因特網(wǎng))電子地發(fā)送到請(qǐng)求實(shí)體120�,或者可以被存儲(chǔ)在便攜存儲(chǔ)設(shè)備(例如DVD)上并被郵寄到請(qǐng)求實(shí)體120。圖4是用于將證書從證明實(shí)體130傳送到請(qǐng)求實(shí)體120的示例格式400 的例示�。如圖4所示��,此格式400中的字段包括內(nèi)容信息文件010)(例如版本號(hào)����、唯一標(biāo)識(shí)符��、創(chuàng)建日期和時(shí)間、證書的數(shù)量以及注釋)��、根(root)證書020)����、由產(chǎn)品使用來證實(shí)其由具體制造者制造的證書G30)、由產(chǎn)品使用來證實(shí)其屬于具體生產(chǎn)線的證書040)以及包含各證書的子目錄G50)����。出于安全性原因,證明實(shí)體130可以用其私鑰對(duì)該傳送進(jìn)行簽名���。為了增加安全性�����,該傳送可以被加密���,如以下將描述的。盡管可以單獨(dú)地或者在多個(gè)批次中從證明實(shí)體130接收多個(gè)證書和相應(yīng)的密鑰����,但是在一個(gè)實(shí)施例中,可在單個(gè)批次中從證明實(shí)體130接收多個(gè)證書和相應(yīng)的密鑰�,這可以例如在DVD上燒制(burn)或遞送�,或者使用任何以上所述的其他格式來遞送�����。一旦被接收��,請(qǐng)求實(shí)體120就從該批次提取多個(gè)證書和相應(yīng)的密鑰����。然后��,請(qǐng)求實(shí)體120使用證明實(shí)體的證書來到來的驗(yàn)證證書和密鑰的包��,并將各
個(gè)證書和相應(yīng)的密鑰存儲(chǔ)在各自的產(chǎn)品110A����、110B.......IlON中(動(dòng)作230)。然后��,每
個(gè)證書可用于其被存儲(chǔ)在的各個(gè)產(chǎn)品110A�、110B.......IlON的標(biāo)識(shí)和驗(yàn)證兩者。為了將
證書和密鑰安全地存儲(chǔ)在產(chǎn)品110A���、110B.......IlON中����,可以優(yōu)選地使用與用于加密證
書和密鑰來傳輸?shù)秸?qǐng)求實(shí)體120的密鑰——如果使用了這樣的加密的話——不同的密鑰來加密這些證書和密鑰。請(qǐng)求實(shí)體120可以使用一個(gè)或多個(gè)計(jì)算設(shè)備(例如通用計(jì)算機(jī))將
各個(gè)證書和相應(yīng)的密鑰存儲(chǔ)在各自的產(chǎn)品110A�����、1 IOB.......IlON中����。此外,取決于是否在
傳送和/或接收動(dòng)作中使用計(jì)算設(shè)備�����,傳送和接收動(dòng)作(動(dòng)作210���、220)之一或兩者可以使用相同或不同的計(jì)算設(shè)備�。例如��,存儲(chǔ)了證書和密鑰的相同或不同的計(jì)算設(shè)備還可以用于準(zhǔn)備該請(qǐng)求(例如燒制包含該請(qǐng)求的DVD�、通過因特網(wǎng)將該請(qǐng)求電子地郵寄到證明實(shí)體130 等)和/或接收證書和密鑰(例如通過經(jīng)由網(wǎng)頁瀏覽器從證明實(shí)體130下載證書和密鑰)。存在與這些實(shí)施例相關(guān)的幾個(gè)優(yōu)點(diǎn)�����。首先,因?yàn)樵谥圃飚a(chǎn)品110A���、
IlOB.......IlON之前請(qǐng)求并接收證書(即“離線地”請(qǐng)求并接收證書)��,因此在制造過程
期間不浪費(fèi)時(shí)間來等待證書到達(dá)�。此外����,不像在背景技術(shù)部分所述的處理那樣,產(chǎn)品110A��、
IlOB.......IlON本身不產(chǎn)生公鑰和私鑰對(duì)�。而是�����,證明實(shí)體130產(chǎn)生那些對(duì)���,并將它們與
相應(yīng)的證書一起發(fā)送到請(qǐng)求實(shí)體110���。以此方式,在制造過程期間不浪費(fèi)時(shí)間來等待產(chǎn)品 110A��、110B、......IlON 產(chǎn)生密鑰對(duì)����。此外,因?yàn)檫@些實(shí)施例中的請(qǐng)求實(shí)體120是產(chǎn)品的制造者而不是產(chǎn)品110A��、
110B����、......1ION本身,因此證明實(shí)體130工作在每個(gè)制造者級(jí)(per_manufacturer
level)����,而不是每個(gè)產(chǎn)品級(jí)。結(jié)果���,證明實(shí)體130僅需要驗(yàn)證請(qǐng)求實(shí)體120的身份�,不需要
驗(yàn)證每個(gè)產(chǎn)品110A�、110B.......IlON0與驗(yàn)證每個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符(例如驗(yàn)證線
纜調(diào)制解調(diào)器的媒體存取控制(MAC)地址)相比,這樣的驗(yàn)證可以相對(duì)容易且快速地進(jìn)行 (例如通過驗(yàn)證請(qǐng)求曾被先前由證明實(shí)體130提供給請(qǐng)求實(shí)體120的私鑰簽名過��,通過聯(lián)系請(qǐng)求實(shí)體120處的向證明實(shí)體130發(fā)送DVD定購(gòu)表的人����,等等)���。因?yàn)榭梢灾苯拥厍胰菀椎剡M(jìn)行對(duì)請(qǐng)求實(shí)體120的驗(yàn)證,所以這些實(shí)施例允許該處理繞過登記授權(quán)機(jī)構(gòu)���,由此節(jié)省將需要花費(fèi)來與登記授權(quán)機(jī)構(gòu)通信的時(shí)間�。應(yīng)該注意���,在這些實(shí)施例中��,每個(gè)證書可用于其所存儲(chǔ)在的各個(gè)產(chǎn)品的標(biāo)識(shí)和驗(yàn)證兩者�。該證書可以通過證書的主題名稱來標(biāo)識(shí)其各自的產(chǎn)品��。盡管對(duì)于主題名稱可以
7使用任何適當(dāng)?shù)拿麘T例��,但是在一個(gè)實(shí)施例中��,該命名慣例使用以下字段的一個(gè)或多個(gè) 指示證書何時(shí)頒發(fā)的時(shí)間戳�����、頒發(fā)的序列號(hào)以及所生產(chǎn)的產(chǎn)品的名稱����。例如,命名慣例可以是“< 產(chǎn)品名>MMDDYYYYXXXXXXXX”��,其中 < 產(chǎn)品名 > 是生產(chǎn)線的名稱(不是單獨(dú)產(chǎn)品的名稱)�,MM是證書頒發(fā)的月份,DD是證書頒發(fā)的該月份中的天��,YYYY是證書頒發(fā)的年份����, XXXXXXXX是頒發(fā)的序列號(hào)。如從此示例標(biāo)識(shí)符可以看出�,證書不限定為各個(gè)產(chǎn)品的唯一標(biāo)識(shí)符或由其標(biāo)識(shí)。這與在背景技術(shù)中描述的方法相反���,在該方法中基于唯一產(chǎn)品標(biāo)識(shí)符 (例如線纜調(diào)制解調(diào)器的媒體存取控制(MAC)地址)的列表來頒發(fā)證書��。此外����,這些實(shí)施例不依賴于各個(gè)產(chǎn)品的唯一標(biāo)識(shí)符�,這在產(chǎn)品初始是無名的并且不具有唯一標(biāo)識(shí)符時(shí)尤為有益(例如可移除存儲(chǔ)卡相對(duì)于線纜調(diào)制解調(diào)器)。不像在存儲(chǔ)證書前具有唯一性的線纜調(diào)制解調(diào)器���,可移除存儲(chǔ)卡和其他無名的產(chǎn)品在證書被存儲(chǔ)在其中時(shí)獲得唯一性����。這樣,除了被用于驗(yàn)證之外���,在這些實(shí)施例中����,存儲(chǔ)的證書用于提供先前無名的產(chǎn)品的標(biāo)識(shí)�。因此,不像在背景技術(shù)部分中描述的使用證書來驗(yàn)證產(chǎn)品的身份的方法���,這些實(shí)施例中的證書用于標(biāo)識(shí)產(chǎn)品本身�����。存在可以隨這些實(shí)施例一起使用的許多替換��。例如,對(duì)于有效的證書訪問�,從證明實(shí)體130接收的多個(gè)證書可以被呈現(xiàn)為多個(gè)有組織的集合而不是單個(gè)證書序列(例如在多個(gè)目錄的不同證書中或者在分級(jí)目錄樹中而不是單個(gè)線性文件或列表中)。將多個(gè)證書組織成集合使得對(duì)給定證書的訪問比證書被包含在單個(gè)列表或文件中的情況更容易����。作為簡(jiǎn)單的例子��,大量證書可以被存儲(chǔ)在多個(gè)目錄中��,其中每個(gè)目錄包含IOM個(gè)證書并且用在該目錄中保持的證書來命名(例如1-10M����,1025-2048等等)�。為了尋找給定證書,請(qǐng)求實(shí)體 120處的計(jì)算設(shè)備將尋找存儲(chǔ)該證書的目錄然后搜遍該目錄來找到該證書���。因?yàn)槊總€(gè)目錄存在相對(duì)少的證書��,因此在目錄中尋找證書花費(fèi)相對(duì)短的時(shí)間量��。相反����,如果所有證書都存儲(chǔ)在單個(gè)目錄中����,則在成千上萬的證書中找到給定的證書的時(shí)間將明顯更長(zhǎng)。當(dāng)然���,這僅僅是一個(gè)例子�����,也可以使用是他技術(shù)��。例如����,取代將證書放置在不同的目錄中,這些證書可以按其他方式分段或分區(qū)��。作為另一替換���,為了增加安全性��,在此處理中可以使用各種加密技術(shù)���。例如,為了在從請(qǐng)求實(shí)體120到證明實(shí)體130的傳送期間保護(hù)該請(qǐng)求���,可以在傳送之前使用先前從證明實(shí)體130接收的密鑰(例如“請(qǐng)求加密密鑰(REK) ”)來加密該請(qǐng)求��。作為另一例子���,為了在從證明實(shí)體130到請(qǐng)求實(shí)體120的傳送期間保護(hù)證書和密鑰,請(qǐng)求實(shí)體120可以將產(chǎn)品加密密鑰(PEK)發(fā)送到證明實(shí)體130來用各自的PEK加密多個(gè)密鑰和相應(yīng)證書的每個(gè)���。 以此方式�����,多個(gè)密鑰和相應(yīng)的證書將以加密的形式被請(qǐng)求實(shí)體120接收���,并且請(qǐng)求實(shí)體120 將使用PEK來解密多個(gè)密鑰和相應(yīng)證書的每個(gè)。因?yàn)檫@樣的解密將暴露多個(gè)證書和密鑰���, 因此請(qǐng)求實(shí)體隨后可以使用不同的密鑰重新加密該多個(gè)證書和密鑰�。作為另一例子�,請(qǐng)求實(shí)體120可以將加密密鑰(例如“制造者加密密鑰(MEK) ”)傳送到證明實(shí)體130,使得證明實(shí)體120可以加密一批次的證書和密鑰���。在從證明實(shí)體130接收到該批次之后�����,接收實(shí)體 120將用MEK解密該批次��。PEK和MEK兩者都可以用于提供雙重加密����。此外,在一個(gè)實(shí)施例中����,在請(qǐng)求實(shí)體120請(qǐng)求證書和密鑰之前,請(qǐng)求實(shí)體120經(jīng)歷與證明實(shí)體130的一次設(shè)置處理���。在此處理期間��,請(qǐng)求實(shí)體120為證明實(shí)體130提供REK和MEK�����。以此方式���,REK和MEK 交換僅需發(fā)生一次,而不是每次請(qǐng)求實(shí)體120需要證書和密鑰時(shí)都要發(fā)生����。意圖以上詳細(xì)描述被理解為是對(duì)各實(shí)施例可以采取的所選形式的例示,并且不意圖限制隨后的權(quán)利要求����。此外�,以下權(quán)利要求的一些可能陳述一組件可操作以進(jìn)行某一功能或者被配置用于某一任務(wù)�����。應(yīng)該注意���,這些不是限定性的限制。還應(yīng)該注意����,在權(quán)利要求中闡述的動(dòng)作可以按任何順序進(jìn)行——不是一定要按它們被闡述的順序。另外�����,在此所述的任意優(yōu)選實(shí)施例的任意方面可以單獨(dú)使用或者彼此組合使用�����。
權(quán)利要求
1.一種產(chǎn)生具有證書和密鑰的產(chǎn)品的方法�����,該方法包括由請(qǐng)求實(shí)體傳送對(duì)于多個(gè)證書和相應(yīng)密鑰的請(qǐng)求,該請(qǐng)求被傳送到產(chǎn)生證書和相應(yīng)密鑰的證明實(shí)體�;由該請(qǐng)求實(shí)體從該證明實(shí)體接收多個(gè)證書和相應(yīng)密鑰;以及由該請(qǐng)求實(shí)體將所述證書和相應(yīng)密鑰存儲(chǔ)在請(qǐng)求實(shí)體的各個(gè)產(chǎn)品中���; 其中該請(qǐng)求包括用于由證明實(shí)體使用來驗(yàn)證請(qǐng)求實(shí)體的身份的信息而不是用于驗(yàn)證各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符的信息���;以及其中每個(gè)證書可用于其所存儲(chǔ)在的相應(yīng)產(chǎn)品的標(biāo)識(shí)和認(rèn)證兩者。
2.根據(jù)權(quán)利要求1的方法���,還包括由請(qǐng)求實(shí)體向證明實(shí)體傳送用于由證明實(shí)體使用來加密多個(gè)密鑰和相應(yīng)證書的每個(gè)的產(chǎn)品加密密鑰���;其中由請(qǐng)求實(shí)體接收的多個(gè)密鑰和相應(yīng)證書是加密的形式;以及其中該存儲(chǔ)還包括初始地使用產(chǎn)品加密密鑰來解密以加密的形式接收的多個(gè)密鑰和相應(yīng)證書的每個(gè)��。
3.根據(jù)權(quán)利要求2的方法�����,其中所述解密暴露了多個(gè)密鑰和證書���,以及其中所述存儲(chǔ)還包括隨后在存儲(chǔ)了多個(gè)密鑰和相應(yīng)證書的請(qǐng)求實(shí)體的各個(gè)產(chǎn)品處重新加密該多個(gè)密鑰和相應(yīng)證書����。
4.根據(jù)權(quán)利要求1的方法,其中每個(gè)證書由以下的一個(gè)或多個(gè)來標(biāo)識(shí)指示何時(shí)頒發(fā)證書的時(shí)間戳��、頒發(fā)的序列號(hào)以及生產(chǎn)的產(chǎn)品的名稱�。
5.根據(jù)權(quán)利要求1的方法,其中用于驗(yàn)證請(qǐng)求實(shí)體的身份的信息包括通過先前由證明實(shí)體提供給請(qǐng)求實(shí)體的私鑰對(duì)該請(qǐng)求的簽名����。
6.根據(jù)權(quán)利要求1的方法����,其中各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符包括產(chǎn)品的媒體存取控制地址。
7.根據(jù)權(quán)利要求1的方法���,其中該請(qǐng)求經(jīng)由DVD或者通信信道傳送到證明實(shí)體��。
8.根據(jù)權(quán)利要求7的方法���,其中通信信道包括因特網(wǎng)連接。
9.根據(jù)權(quán)利要求1的方法��,其中在單個(gè)批次中從證明實(shí)體接收多個(gè)證書和相應(yīng)密鑰���, 以及其中該方法還包括從該批次提取多個(gè)證書和相應(yīng)密鑰��。
10.根據(jù)權(quán)利要求9的方法���,其中該批次在DVD上燒制且遞送�。
11.根據(jù)權(quán)利要求9的方法��,還包括將加密密鑰傳送到證明實(shí)體��,該證明實(shí)體利用該加密密鑰加密該批次��;以及在從證明實(shí)體接收到該批次之后����,利用該加密密鑰解密該批次。
12.根據(jù)權(quán)利要求1的方法����,其中請(qǐng)求實(shí)體的產(chǎn)品包括可移除大容量存儲(chǔ)器件。
13.根據(jù)權(quán)利要求1的方法�����,還包括加密該請(qǐng)求�。
14.根據(jù)權(quán)利要求1的方法,其中以多個(gè)有組織的集合而不是以單個(gè)證書系列來從證明實(shí)體接收多個(gè)證書。
15.根據(jù)權(quán)利要求14的方法���,其中在多個(gè)目錄的不同目錄中從證明實(shí)體接收多個(gè)證書�����。
16.根據(jù)權(quán)利要求14的方法�����,其中以分級(jí)目錄樹而不是單個(gè)線性文件來組織多個(gè)證書�。
17.根據(jù)權(quán)利要求1的方法�,其中由至少一個(gè)計(jì)算設(shè)備進(jìn)行所述存儲(chǔ)����。
18.—種產(chǎn)生具有證書和密鑰的產(chǎn)品的方法,該方法包括由請(qǐng)求實(shí)體傳送對(duì)于多個(gè)證書和相應(yīng)密鑰的請(qǐng)求�����,該請(qǐng)求被傳送到產(chǎn)生證書和相應(yīng)密鑰的證明實(shí)體��;由該請(qǐng)求實(shí)體從該證明實(shí)體接收多個(gè)證書和相應(yīng)密鑰�����;以及由該請(qǐng)求實(shí)體將所述證書和相應(yīng)密鑰存儲(chǔ)在請(qǐng)求實(shí)體的各個(gè)產(chǎn)品中; 其中以多個(gè)有組織的集合而不是單個(gè)證書系列從證明實(shí)體接收多個(gè)證書����;以及其中每個(gè)證書可用于其所存儲(chǔ)在的相應(yīng)產(chǎn)品的標(biāo)識(shí)和認(rèn)證兩者。
19.根據(jù)權(quán)利要求18的方法�,還包括由請(qǐng)求實(shí)體向證明實(shí)體傳送用于由證明實(shí)體使用來加密多個(gè)密鑰和相應(yīng)證書的每個(gè)的產(chǎn)品加密密鑰;其中由請(qǐng)求實(shí)體接收的多個(gè)密鑰和相應(yīng)證書是加密的形式���;以及其中該存儲(chǔ)還包括初始地使用產(chǎn)品加密密鑰來解密以加密的形式接收的多個(gè)密鑰和相應(yīng)證書的每個(gè)����。
20.根據(jù)權(quán)利要求19的方法���,其中所述解密暴露了多個(gè)密鑰和證書����,以及其中所述存儲(chǔ)還包括隨后在存儲(chǔ)了多個(gè)密鑰和相應(yīng)證書的請(qǐng)求實(shí)體的各個(gè)產(chǎn)品處重新加密該多個(gè)密鑰和相應(yīng)證書���。
21.根據(jù)權(quán)利要求18的方法��,其中每個(gè)證書由以下的一個(gè)或多個(gè)來標(biāo)識(shí)指示何時(shí)頒發(fā)證書的時(shí)間戳����、頒發(fā)的序列號(hào)以及生產(chǎn)的產(chǎn)品的名稱。
22.根據(jù)權(quán)利要求18的方法�����,其中用于驗(yàn)證請(qǐng)求實(shí)體的身份的信息包括通過先前由證明實(shí)體提供給請(qǐng)求實(shí)體的私鑰對(duì)請(qǐng)求的簽名���。
23.根據(jù)權(quán)利要求18的方法��,其中該請(qǐng)求包括用于由證明實(shí)體使用來驗(yàn)證請(qǐng)求實(shí)體的身份的信息而不是用于驗(yàn)證各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符的信息��。
24.根據(jù)權(quán)利要求23的方法�,其中各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符包括產(chǎn)品的媒體存取控制地址����。
25.根據(jù)權(quán)利要求18的方法�����,其中該請(qǐng)求經(jīng)由DVD或者通信信道傳送到證明實(shí)體�。
26.根據(jù)權(quán)利要求25的方法,其中通信信道包括因特網(wǎng)連接�����。
27.根據(jù)權(quán)利要求18的方法,其中在單個(gè)批次中從證明實(shí)體接收多個(gè)證書和相應(yīng)密鑰��,以及其中該方法還包括從該批次提取多個(gè)證書和相應(yīng)密鑰�。
28.根據(jù)權(quán)利要求27的方法,其中該批次在DVD上燒制和遞送�����。
29.根據(jù)權(quán)利要求27的方法�,還包括將加密密鑰傳送到證明實(shí)體,該證明實(shí)體利用該加密密鑰加密該批次��;以及在從證明實(shí)體接收到該批次之后����,利用該加密密鑰解密該批次。
30.根據(jù)權(quán)利要求18的方法�����,其中請(qǐng)求實(shí)體的產(chǎn)品包括可移除大容量存儲(chǔ)器件���。
31.根據(jù)權(quán)利要求18的方法�,還包括加密該請(qǐng)求。
32.根據(jù)權(quán)利要求18的方法�,其中在多個(gè)目錄的不同目錄中從證明實(shí)體接收多個(gè)證書。
33.根據(jù)權(quán)利要求18的方法����,其中以分級(jí)目錄樹而不是單個(gè)線性文件來組織多個(gè)證書。
34.根據(jù)權(quán)利要求18的方法�����,其中由至少一個(gè)計(jì)算設(shè)備進(jìn)行所述存儲(chǔ)��。
全文摘要
在此所述的實(shí)施例提供了用于產(chǎn)生具有證書和密鑰的產(chǎn)品的方法���。在一個(gè)實(shí)施例中����,請(qǐng)求實(shí)體向產(chǎn)生證書和相應(yīng)的密鑰的證明實(shí)體發(fā)送對(duì)于多個(gè)證書和相應(yīng)的密鑰的請(qǐng)求�。該請(qǐng)求優(yōu)選地包括由證明實(shí)體使用來驗(yàn)證請(qǐng)求實(shí)體的身份的信息而不是用于驗(yàn)證各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符的信息。然后請(qǐng)求實(shí)體從證明實(shí)體優(yōu)選地以多個(gè)有組織的集合而不是單個(gè)證書系列接收多個(gè)證書和相應(yīng)的密鑰�。然后��,請(qǐng)求實(shí)體將證書和想要的密鑰存儲(chǔ)在各個(gè)產(chǎn)品中���。然后���,每個(gè)存儲(chǔ)的證書可用于其被存儲(chǔ)在的各個(gè)產(chǎn)品的標(biāo)識(shí)和認(rèn)證兩者���。
文檔編號(hào)G06F21/02GK102405616SQ201080017244
公開日2012年4月4日 申請(qǐng)日期2010年2月15日 優(yōu)先權(quán)日2009年3月20日
發(fā)明者A.施繆爾, J.M.波多布尼克, M.霍爾茲曼, R.塞拉, V.阿休杰 申請(qǐng)人:桑迪士克科技股份有限公司