利用批量设备的身份凭证创建安全网络的系统和方法

专利名称：利用批量设备的身份凭证创建安全网络的系统和方法
技术领域：
本发明一般地涉及通过凭证(如PKI证书)实现通信网络上的安全交易。更具体地说，本发明涉及对批量设备使用证书或其他公证书来认证和验证通信网络上的商用设备。
背景技术：
随着因特网的出现，在线交易的数量也迅猛增加。随着这种交易的增加，也带来了诸如交易安全性、交易各方的认证、不可否认交易以及此类交易中所用设备的认证和验证等问题。针对这些问题，已经开发了一种公开密钥基础结构(PKI)，其中，认证机构(CA)向通过开放网络(如因特网)参与电子商务的个人和机构发放数字证书和一对相关的密钥。这些证书起到认证交易参与双方的身份，实现不可否认交易的作用，并与密钥对相关联，据此便可以完成通过因特网执行交易加密。PKI基础结构型交易的在过去几年已经取得了显著的发展。
PKI第一阶段使用绑定于个人身份的证书。在此第一阶段中，需要用户请求并下载证书，然后可将其与相关的密钥对结合用于安全认证的因特网交易。每个用户将为他自己的密钥对和证书付费。此第一PKI基础结构阶段实现直接识别参与因特网交易的个人。此外，获取单个证书的相关成本较低。
PKI演进的第二阶段允许机构代表它们在一定程度上有所了解的人们请求证书。例如，银行或其他类似机构可以代其客户或会员请求PKI证书。此证书绑定于被代为请求证书的个人的标识符信息，该标识信息将由请求组织提供。然后代表个人向请求该证书的机构发放证书和相关的密钥对，然后将该证书发放给用户，可能以令牌的形式发放。可以存储证书信息的令牌实例包括智能卡、智能钥匙和其他可以将私钥和数字证书(或对数字证书的引用)存储在存储器中的硬件装置中。最初由请求组织支付的证书成本可以收回，因为用户将为请求机构提供的服务或设备(例如，存储了证书和密钥对的令牌)支付费用。
因此，在PKI演进的第二阶段，获得证书的过程对于用户是透明的，因为并不要求用户请求和/或下载证书。因而，PKI演进的第二阶段比第一阶段的容易应用，且很少有客户表示不满。
PKI演进的第三阶段代表数字证书发放方式的基本性变化。在前两个阶段中，数字证书绑定于特定个人的标识符。而在第三阶段，数字证书绑定于设备识别号。在PKI演进的第三阶段中，用于因特网商务中的设备的制造商为它所制造的每个设备请求证书。然后，制造商维护有关每个设备及其状态的记录，以便当使用该设备对应的证书时，可以检查设备是否正常工作，以及可以检查其证书是否已被撤消。设备通过其证书可以开通安全的互联通信链路，由此设备可以与其连接的网络上的其他设备安全地进行通信。
其中可以应用PKI演进第三阶段的一个实例是移动电话领域。具体地来说，例如，第三阶段可以应用于全球移动通信系统(GSM)，其中网络上工作的每个电话包含一个用户身份识别卡，通称为SIM卡或智能卡。SIM卡可以包含有关拥有该SIM卡的用户的帐户的信息。然后，用户可以拆除他或她的SIM卡，并将其插入新电话，该电话将立即开始根据存储在SIM卡的存储器内的用户标识和偏好工作。在此模式下，服务提供商或电话服务运营商是为每个设备请求证书的组织，在此情况下，证书存储在每个SIM卡内。通过SIM卡，GSM系统内的全球电话用户可以例如利用与SIM卡相关联和/或存储在其中的密钥对，容易地通过无线网络(如采用无线应用协议(WAP)的网络)进行安全交易。
PKI演进第三阶段已经在采用智能卡的许多应用环境中获得成功。如上所述，智能卡广泛应用于GSM系统。但是，智能卡也可用于金融和其他商业环境。因为智能卡在各种不同环境、如无线网络和付费网络中使用，并获得许多数字签名法的认可，所以智能卡是证书可以绑定于设备的一种理所当然的选择。此外，由于智能卡的安全性在理论上和现场都通过了测试，所以成为理所当然的选择。智能卡一般需要双因数认证过程，即涉及用户了解的情况和用户拥有的事物。通常，在智能卡环境中，用户拥有智能卡，并知道个人身份识别号(PIN)或另一种密码。PKI演进的第三阶段为用户提供一种熟悉的商业模式，非常像是收到自动柜员机(ATM)卡、信用卡等。
但是，上述PKI演进的所有三个阶段均存在不同问题。首先，由于在第三阶段设备是批量生产的，故使用证书来识别通信网络上的每个设备成本高昂。这就是为什么根据第一阶段模式开发PKI，其中每个个人保持一个数字证书，自己为该证书付费，通常需要的证书不超过一个。但是，随着证书分配给设备，每个设备使用各自的证书。这样，因一个人在他或她的一身中可能需要大量设备，其中每个设备可能需要用于通信网络上安全交易的数字证书，所以对许多此类设备的支出可能太大，将使需要数字证书的因特网电子商务潮流陷入困境。而且，如果由设备制造商为此证书付费，由于所制造的设备数量大，因此为每个设备提供一个证书的成本可能惊人。
有关PKI演进的第三阶段的第二个问题是，用户的身份及与用户身份相关的密钥对必须在设备制造之后添加到设备中。这提出了安全性和认证问题，因为非法用户有可能在制造之后将其欺诈密钥对添加到设备中，这样，就可使用可信设备在网络上进行欺诈。
第三，因为网络通常使用的设备是开放的，所以设备必须通过认证(或取得信任)，才允许通过开放网络进行可靠通信。这是重要的考虑，因为在没有两个可信端点的情况下无法通过开放网络上的互联通信链路添加任何安全服务。因此，服务器和设备都必须通过认证(或或取得信任)。所需的一些这种安全服务可包括例如分发加密密钥、添加用户身份和/或交付保密数据，如用户偏好或简介信息。
因此，希望利用PKI基础结构开发一种系统，这种系统可解决上述每一个问题。具体地说，需要开发这样一种PKI系统，它可以把将证书分配给设备的成本降至最小，提高发放与设备的相关用户密钥对(即“用户密钥对”)相关的安全性，并提供一种可借以快速容易地传送用户偏好和简介信息的技术。
发明概述本发明提供了针对上述问题的解决方案。具体而言，本发明降低了将证书分配给设备的相关总成本，提出了一种方法，通过这种方法可以以容易认证且不可否认的安全方式添加与设备证书相关联的用户密钥对，并且提供了一种技术，通过这种技术，可以在服务器和设备相互认证之后容易地通过通信网络存储和发送或接收用户偏好和简介信息。
根据本发明的实施例，可以将单个凭证，如数字证书(如PKI证书、公证书等)与一组或一批设备的所有设备标识符相关联。由此，可以大大降低与向大量设备提供证书相关联的成本。创建时的设备清单或列表存储在托管数据库中，形成不变更的永久性列表，提供最初绑定于某个证书的所有设备的永久性记录。此外，根据本发明的一个实施例，维护与分配的证书配合使用的设备的当前列表和因其设备密钥损坏或不再可信而不再起作用的设备的列表(如撤消列表或“刚失窃列表(hot list)”)。
与每个设备相关联的设备密钥对与设备标识符(如设备识别号)匹配。根据本发明的实施例，可以在智能卡的硬件内单独维护此密钥对的私钥。通过在硬件内单独维护设备私钥，大大降低了私钥被复制的可能性。因此，采用在硬件中单独维护其私钥副本的设备的系统较将私钥存储在软件内的系统具有更好的安全性。
此外，根据本发明的实施例，可以通过利用每个设备生成与该设备用户相关联的用户密钥对来提高安全性。在这样的实施例中，收到设备硬件中存有相关设备私钥的设备如智能卡的用户可能在于设备中生成相对安全的用户密钥对时在场。用户公钥随后可以利用用户私钥签名，并发送到通过网络接收签名设备公钥的获得授权的个人，由该人利用设备公钥将其解密。用户密钥用设备密钥签名的事实要求设备生成用户密钥对。
因此，第三方可以容易地验证用户密钥对存储在特定设备的硬件中，以及生成用户密钥对时用户在场。根据本发明，可以对照批次证书(batch certificate)验证因特网交易中所用的设备，并将该设备分配到该设备原属的一批设备中。可以参考撤消和/或刚失窃列表确定该设备仍在工作，且仍是授权在开放网络、如因特网或GSM移动电话网上发送数据的可信设备。再者，根据本发明的实施例，可以远程存储用户简介和偏好信息并通过存储在设备内的指针来访问。此信息可以存储在例如网络内远离设备的位置上的“cookie”文件中，并通过指针来引用。有利的是，远程存储此简介信息和偏好信息避免使设备的存储器和带宽约束负担负载过重。
随后参考下列附图所示的具体最佳实施例，对本发明的其他特征和优点予以更详细的说明，附图中相同的参考数字用于标识相同的部件。
附图简介

图1A是PKI演进第一阶段中所涉及的基本单元的方框图。
图1B是PKI演进第一阶段中PKI证书发放的相关步骤流程图。
图2A是PKI演进第二阶段中所涉及的基本单元的方框图。
图2B是PKI演进第二阶段中证书发放的相关步骤流程图。
图3A是说明PKI证书发放的基本单元的方框图，其中证书绑定于设备标识符。
图3B是PKI演进第三阶段中证书发放的相关步骤流程图。
图4A是说明根据本发明实施例的设备批次证书的基本单元的方框图。
图4B是说明本发明实施例的相关步骤流程图。
图5说明本发明实施例所用的设备清单的示意图。
图6A是说明根据本发明实施例，设备使用期各基本阶段的流程图。
图6B是说明根据本发明实施例将一个证书绑定于一组设备，并将一设备分配给客户的步骤流程图。
图7A是说明根据本发明实施例与设备激活相关的基本单元的方框图。
图7B是说明根据本发明实施例与设备激活相关的步骤流程图。
图7C是说明根据本发明实施例与生成用户密钥对相关的步骤流程图。
图8是与图4A和7A的单元相关的本发明实施例的方框图。
图9A是说明根据本发明实施例与设备验证相关的单元的方框图。
图9B是说明根据本发明实施例与验证设备相关的步骤流程图。
图9C是说明根据本发明实施例与处理验证请求相关的步骤流程图。
图10是根据本发明实施例所采用的一系列认证机构的方框图；图11是根据本发明实施例，与使用远程位置上的简介信息/偏好信息的指针相关的单元的方框图。
发明的详细说明为了方便对本发明原理和特征的理解，下文将参考一示范实施例的实施来予以说明。具体地来说，本发明是针对使用智能卡设备的设备场景来进行描述的，其中每个智能卡分配一个不同的密钥对。这些智能卡按照制造批次分组，每批具有唯一的凭证(例如与此相关联的数字证书)。在结合GSM移动通信系统使用SIM卡的设备场景中，描述了这种系统的一个特定实施例。此外，本发明是结合PKI系统来说明的，这允许通过私钥和公钥来进行加密和解密，通过数字公证实体或认证机构发放的公证书来进行验证或认证。
但应理解，这不是唯一可以实施本发明的实施例。相反，本发明可应用于各种安全配置中。例如，除与GSM移动电话系统相关的SIM卡和智能卡以外的其他商业应用也可得益于本发明的特征。此外，本发明不受PKI系统约束的限制，而是可用于通过公钥和/或私钥来使用加密技术并通过数字证书或其他类似技术进行认证的各种安全性系统。为方便起见，随后将简要说明与前述PKI演进的各阶段相关的现有系统，以便说明和强调本发明与现有系统的差异和与之相比的优点。
在图1A中，给出了说明与PKI演进第一阶段相关的各种单元的方框图。在图1B中，显示了采用PKI演进第一阶段模式，与用户请求证书以及获发放证书相关的步骤。由此，将结合图1A讨论图1B，以更好说明图1A涉及的单元。
在图1A中，给出了说明与PKI演进第一阶段相关的各种单元的方框图。具体来说，用户10与注册机构(RA)12进行通信，RA 12与认证机构(CA)14通信。图1A中的RA 12可以是服务提供商(SP)，也可以是其他合适的注册机构。CA 14维护有证书数据库16，其中存储了有关CA 14发放的每个证书的信息且可以由用户10访问。证书数据库16和CA 14和/或用户10之间的通信可以通过可信互联通信链路来完成，以保持存储在数据库16内的数据的一致性。用户10和RA 12之间的通信可以通过安全通信通路来进行。例如，用户10可以通过对等网络与RA 12和CA 14通信，其中，在用户10和RA 12之间设有直接的互联通信链路。此外，用户可以通过开放网络(如因特网)来进行通信。在此情况下，通信可以加密。借以对开放网络上用户10和RA 12之间通信加密的技术的一个实例是采用Netscape通信公司(加州芒廷维(Mountain View))创立的SSL协议。
此外，还可以在开放网络上采用可信链路、直接链路(例如对等通信链路)或安全链路(例如SSL链路)来实现RA 12和CA 14之间的通信。因为证书数据库16内存储的数据的敏感性，所以CA 14和数据库16之间的通信通常采用可信链路来完成，以保护数据库内维护的数据的一致性。
参考图1B所示的步骤，在PKI演进第一阶段中用户10必须请求证书，如步骤18所示。此请求转发给RA 12，RA 12在步骤20作出是否批准该用户请求的决定。如可选步骤21所示，如果RA 12不批准该用户请求，可选择将此消息通知用户，然后整个过程于步骤22结束。另一方面，如果RA 12在步骤20批准该请求，则在步骤23将此批准转发给CA 14。CA 14随后在步骤24将此用户证书信息记录在数据库16中。一旦用户证书信息已记录在数据库16中，则在步骤26，CA 14为用户10发放证书，并通知该用户证书已存储在证书数据库16中。如步骤27所示，用户获得新证书。
图1A所示的PKI演进第一阶段模式的主要缺点之一是加在用户10上的负担。在此模式下，要求用户10请求证书，然后必须接收证书，在PKI演进第一阶段中通常必须由用户10有意识地安装该证书，之后才能认证交易。因为此模式需要用户10进行许多肯定性操作，因此，PKI演进第一阶段获得的成功是有限的。
PKI演进第二阶段旨在减少PKI演进第一阶段强加于用户的苛刻要求。具体地来说，如图2A所示，发证机构(IA)28充当代表用户10和RA 12从CA 14请求证书的中介。与第一阶段一样，在第二阶段中，RA 12可以是服务提供商(SP)或其他合适的注册机构。RA 12在用户数据库30中维护用户数据。此用户数据可以在代表用户数据库30内所含每个用户形成证书请求时经由IA 28予以访问。因为用户数据库30内存储的数据的敏感性以及需要维护其安全性，所以RA 12和IA 28以及数据库30之间的通信通常采用可信互联通信链路来完成。
图2B中显示了与PKI演进第二阶段相关的特定步骤。首先，在步骤32，RA 12将各用户10的相关信息存储在用户数据库30中。图2A所示方框图中的RA 12可以包括例如银行、GSM运营商和其他与用户10相关且通过RA 12维护客户信息的机构。IA 28访问数据库30内所含用户数据，并在步骤34代表用户10请求证书。当从IA 28接收到请求时，CA 14在步骤36将证书数据记录在证书数据库16中，并在步骤38以用户10的名义将证书发放给IA 28。IA 28则在步骤40将该证书提供给用户10。
因此，在PKI演进第二阶段中，无需用户10请求证书，而是代用户请求证书，然后在安全令牌中或通过安全互联通信链路发送给用户。PKI演进第二阶段过去经常使用包含在设备(如智能卡)中的数字证书，这使客户可以利用熟悉的信托模式，而无需客户做任何请求证书或实现其用途的附加工作。
具体地来说，例如在智能卡领域，因为证书包含在设备中，可以以客户和发证机构都熟悉的方式向用户发放这种设备。表面上来看，这种发证与发放ATM银行交易卡、借记卡、信用卡等并无不同。此外，在PKI演进第二阶段中，采用绑定于设备的数字证书对用户来说还是透明的，无需用户努力获取证书。即，在激活智能卡时，要求用户输入密码或PIN号，这类似于使用ATM或信用卡的要求。一旦用户输入密码，就自动通过公钥和/或私钥和数字证书执行所有加密和认证操作，无需用户方面进行任何其他操作。
同样重要的是，通过希望经由网络进行安全和通过认证的通信的现有实体可以容易地配置设备证书。一些这样的实体可以包括例如金融、政府和医疗保健组织。因为设备证书是针对在现有系统(如上述ATM实例)中使用而制作的，所以可能需要机构方面作出即便有也很小的努力来配置设备证书。因为需要用户方面完成的操作已最小化，所以PKI演进第一阶段取得的成功在某种程度上较第一阶段大。但是，在第二阶段，如果是以软件形式发放证书，用户仍需要有意识地使用证书，即通常需要安装认证软件等。
此外，第二阶段已反映出一个问题，即当设备制造出来时，需要用户了解。因此，由于存在其中的设备的用户不知道设备何时制造的网络(如电信网)，所以采用第二阶段模式并不总是可行的。因此，促使PKI演进第三阶段出现，此第三阶段实现设备证书的使用。第三阶段的设备证书创建为允许将用户信息添加到开放网络上的可信设备中。此信息可以在预先不知道用户身份的情况下添加，并且可以在设备制造之后添加。
图3A所示的方框图说明PKI演进第三阶段所涉及的各种单元以及与本发明实施例相关的单元。图3B所示的流程图说明与PKI演进第三阶段相关的步骤，对此将结合图3A进行讨论。
在PKI演进第三阶段，因为在制造时已将证书与设备标识符绑定，所以制造商(MFG)42在分配证书方面发挥重要作用。制造商42实现的一个重要功能是在设备数据库44中维护有关每个设备的数据。此有关每个设备的数据用于通过证书将密码信息与设备信息绑定。此外，在第三阶段中，MFG 42可以充当注册机构(即执行类似于如图1A和2A所示的RA 12的功能)。IA 28与每个设备(DEV)45通信，DEV 45可选地通过服务提供商(SP)47分发。
在图3B中，说明了在PKI演进第三阶段，与获得与证书绑定的设备的用户相关的步骤关的步骤。首先，在步骤48，制造商42将所生产的每个设备的相关信息存储在设备数据库44中。在步骤50，由IA 28访问存储在设备数据库44中的此信息。一接收到此数据，IA 28就在步骤52为已从设备数据库44读取到其数据的每个设备分别请求证书。该请求由CA 14作出，CA 14在步骤54将要发放的证书的证书数据记录在证书数据库16中，并在步骤56将每个设备的证书发放到IA 28，由此将各证书与各设备45相关联。IA 28在步骤58将每个设备的证书发放给制造商42。作为一种选择，制造商42可以将证书提供给服务提供商47，如可选步骤59所示。然后，制造商42(或可选择SP 47)在步骤60向用户提供设备。本专业技术人员会认识到，常常利用中介，如零售商、服务提供商等将设备从设备制造商提供给用户。
如上所述，PKI演进的第三阶段之所以具有优势，是因为若干原因，包括请求、接收和使用制造设备时已知或未知的证书的整个过程对于用户都是透明的。但是，如上所述，PKI演进的第三阶段的主要缺点之一是，将证书分配给量产的各设备的相关成本不同于第一阶段中由用户单独承担的单个证书的相对无足轻重的成本，而是其许多倍，且通常由制造商或服务提供商来承担，因此比之于发放给各用户的单个证书该成本较高。
此外，PKI演进第三阶段的成本变得更为重大，因为请求证书基本上是一个透明的过程。具体来说，不同于PKI演进第一阶段，在第一阶段中用户不愿请求证书，因为需要大量操作，随着基本透明的PKI演进第三阶段的出现，多很多的用户可能接受并可能使用证书。再者，在第三阶段，每个用户可可能对每个设备都需要多个证书，而在PKI演进第一阶段同一个用户可能只需要一个证书。由于所有这些因素，与PKI演进第三阶段相关的成本是在商业模式方面必须考虑的问题，该成本在许多情况中使制造商和/或服务提供商不堪重负。
因此，本发明的目的就在于解决PKI演进第一阶段有关的问题，同时为用户提供用户利用PKI演进第三阶段相对透明的方式发放的证书所享有的所有优点和便利。不同于将证书绑定于单个设备，本发明允许证书绑定于一组设备，如制造批次或批号。因此，当设备生产批量数量较多(例如约10000个设备)来时，设备证书的相关成本就因分摊到一个制造批次的所有设备上而变得可以忽略不计。因此，由于用户需要最少的操作来获取并利用证书，同时制造商提供这种证书的成本也最小，故本发明大大促进了电子商务，如因特网商务、移动商务等。
图4A显示根据本发明实施例的方框图。在图4A中，根据本发明实施例，维护设备数据库44并与CA 14通信的制造商(MFG)充当注册机构(RA)。CA 14维护托管数据库61，托管数据库61中可以存储与特定证书相关的所有设备45的永久记录或清单。随后，由制造商42或可选的服务提供商47将设备45分发给用户。
图4B所示的流程图给出与本发明实施例相关的各步骤。具体地来说，图4B所示的步骤说明将一组设备绑定于单个证书以及将该证书发放给一组设备45的方式。首先，在步骤62，制造商42将设备数据存储在设备数据库44中。在步骤64，RA 12将从设备数据库44获得的设备数据发送到CA 14，为一组设备请求单个证书。然后CA 14在步骤68记录该证书数据，在步骤70发放该组设备的证书以及在步骤70发放组证书，然后在步骤72将其提供给制造商42，以便将该证书与一组设备相关联。一旦制造商42获得该组设备的证书，该制造商就可以向用户提供设备，如步骤74所示。可选地，制造商在步骤76还可以创建清单，对此下文将结合图5予以详细说明。
作为一种选择，还可以由制造商将清单存储在托管数据库61中，以备将来引用。根据本发明实施例，图4A所示的托管数据库61可以由制造商42用于维护一个清单(如下面将结合图5描述的清单)，以在永久性记录中(即在该托管数据库中)将设备批次与证书信息相关联。
图5显示了根据本发明实施例的设备清单78，其中指示与绑定于证书80的该组或该批设备内每个设备相关的设备标识符和公钥。此清单78可以由制造商42在从CA 14接收到一组设备的证书时创建，或者可选地由CA 14或数字公证处创建。清单78作为永久性记录存储在图4A所示的清单数据库61中，作为设备最初就属于清单78所示的、绑定于证书80的组的证据。同样，在创建清单78时，制造商42(或CA 14)可选择创建撤消列表或刚失窃列表82，其中包含不在操作的设备或证书80已撤消的设备。
在制造商42(或CA 14)创建时，撤消列表82可以是空的。但是，之后如设备丢失、被窃或停用，将它们的标识符以及公钥添加到撤消列表82中，以备将来识别之用(例如拒绝对设备进行认证时)。例如，在图5所示的情况下，清单78中列出的使用设备标识符2的第二设备(设备[2])也列在撤消列表82中。因此，只要使用设备标识符2标识的设备，则认证机构将识别出设备(设备[2])因种种原因无权使用证书80，因为即便该设备仍然出现在清单78内，但它出现在撤消列表82中。利用撤消列表82，可以将清单78作为将证书绑定于清单78中所示设备组时尚存的设备的永久性列表来维护。因为此列表是永久性的且未变更过，所以其内容精确具有很高的可信度。撤消列表82将予以证明或公证，并可分发给跟踪数字证书撤消的各种代理机构。
图6A显示了根据本发明使用绑定于成组设备的证书的各个阶段。在图6A中，设备首先在步骤84绑定于所属设备组部分的证书，步骤84将在下文结合图4A和4B进行详细说明。一旦设备通过设备组绑定于证书，用户就在步骤86获得该设备，该步骤将在下文结合图6B进行详细说明。一旦用户获得该设备，用户就可以在步骤88激活服务，该步骤将在下文结合图7A和7B进行详细说明。如可选步骤90所示，可选择将用户身份绑定于设备，下文将结合图7C对此予以详细说明。然后用户在步骤92使用该设备，可以在步骤94执行验证，以确保设备是可靠的且不在撤消列表或刚失窃列表中，将在下文结合图9A、9B和9C对此予以讨论。
一旦设备服役期超过其有效使用期，则在步骤96被停用。用户信息可以存储在服务提供商或其他请求机构维护的分设记录中，并且可能不一定绑定于设备。因用户身份可能未在步骤90通过不同的机制绑定于设备，所以从系统中删除设备信息可能是不够的，而还可能要执行附加步骤98，即从系统中删除用户身份。但是，本专业人员会认识到，这两个步骤都可能不是必需的。例如，如果用户丢失其设备，则该设备可能需要停用，或确切的说是可能要将该设备的标识符置于撤消列表中；但是用户标识仍可以是有效的，这样可以将同一个用户信息与另一个设备相关联。因此，没有必要删除用户信息。相反，如果用户去世或移动到该设备所服务的范围之外，则可能需要在步骤98删除用户信息；但设备可能仍然完全有效。在此情况下，可能不希望停用该设备，而是将新的用户标识符与同一设备相关联。
可以将各种服务，如移动电话(例如GSM)、智能卡因特网交易、无线因特网应用与本发明实施例，如图4A所示的实施例结合使用。显然，视应用图4A所示模式的应用类型而定，可以对本系统的各个单元稍作调整以适用于期望的应用。例如，服务提供商47可以是移动电话服务提供商(例如GSM运营商)、无线因特网提供商等。
图6B的流程图说明根据本发明各个实施例与将设备分发给用户相关的步骤。首先，在步骤102生成许多分别与制造商42要制造且一般列入设备列表的设备相关联的密钥对和设备标识符。此生成步骤102可以由充当注册机构的CA 14或MFG 42响应服务提供商47的请求来执行，如可选步骤103所示。制造商42在步骤104存储设备列表清单，以使生成的密钥与设备列表内的每个设备相匹配。本专业的技术人员会认识到，可由服务提供商47取代CA 14或MFG 42来生成密钥对。此外，密钥对可以由硬件安全模块(HSM)生成，它在硬件内而非软件内生成密钥对，这种硬件生成方式安全得多且不易受到攻击(例如被黑客等攻击)。HSM可以属于MFG 42、CA 14、SP 47或由其他可信实体操作。
在步骤106，生成指向在步骤104存储的清单的引用指针。在步骤106生成的清单引用指针是一种指定设备所在清单以及清单内设备位置的指针，它可以清单标识符和设备偏移的组合形式实现。在步骤108将输出文件提供给服务提供商47，其中包含有关步骤102生成的公钥的信息、在步骤106生成的清单引用指针以及与密钥信息相关的设备信息。根据本发明的实施例，只将与每个设备相关联的公钥提供给服务提供商47，这样保持私钥机密性并将其存储在设备本身的硬件内。
然后制造商42在步骤110制造设备45。如上所述，根据本发明的实施例，在步骤102生成的私钥和在步骤106生成的清单引用指针存储在每个设备的硬件内。本专业的技术人员会认识到，可以采用各种安全措施来将公钥和私钥信息存储在设备硬件中。在本发明范围内，可以采用用于存储此类密钥信息的任何适当且安全的方法。
独立于制造商42执行的步骤104、106、108和110，CA 14用于对设备进行认证。CA 14在步骤112基于设备列表对设备进行认证，并在步骤110将设备标识信息存储在设备数据库44中。存储在设备数据库44中的此设备标识信息可供稍后商业活动中验证每个设备时使用。
然后制造商42在步骤116将设备交付给服务提供商47，而服务提供商47在步骤118又将设备交付给客户或用户10。在GSM移动电话系统的情况中，服务提供商47(即GSM运营商)将SIM卡提供给客户，随后客户可以在GSM电话中使用它们，而制造商42则是SIM卡的制造商。在部分用作信用卡的智能卡的情况中，为了实现安全的在线交易等，服务提供商47可以是信用卡公司，而制造商42可以是智能卡制造商。因此，最终用户10象他、或她过去对待服务提供商一样进行处理，并且对用户透明的底层基础结构以智能卡、SIM卡等设备的形式提供安全功能，所述设备通过一组设备的方式绑定于一个数字证书。
一旦设备发放给用户，则用户在使用它之前必须激活该设备。图7A中以方框图形式说明了实现设备激活的系统。与使用图7A所示系统相关的步骤在图7B所示的流程图中给出，下文将结合图7A进行讨论。
在图7A中，说明了激活用户设备45的系统。系统采用激活授权机构(AA)122，它与设备45、设备数据库44、用户数据库30、证书数据库16和CA 14进行通信。AA 44可选择连接到SP 47。CA 14将有关用户证书的信息记录在证书数据库16中。RA 12(它可选地作为服务提供商)配置为访问用户数据库。
当用户请求激活服务提供商47提供的服务时开始激活操作，如图7B的步骤126所示，该操作通过包括用户设备45、电话服务、因特网或人工等各种方式完成。然后SP 47请求AA 122利用网关代用户设备激活服务，根据本发明实施例，所述网关可以包括无线应用协议(WAP)或无线空中(OTA)网关。在步骤132就是否接受激活请求进行判断。如果激活请求不被接受，则可选地向AA 122发送拒绝消息，如可选步骤134所示。然后，处理过程在步骤136结束。另一方面，如果激活请求被接受，则两件事情之一可能发生。可以在步骤140直接认证设备，或在步骤140认证设备之前可在可选步骤138执行生成用户密钥的可选步骤。在图7C中对在步骤138生成用户密钥对的方式予以更为详细的说明。一旦设备通过认证，就在步骤141生成用户证书，并且AA 122在步骤142将结果发送到SP 47。
根据本发明的实施例，与生成用户密钥对相关的步骤通过图7C所示的流程图予以说明。一旦用户激活用户设备120，可以包括例如输入PIN号、密码或其他通行码(passcode)，则在步骤144于设备120的硬件中生成用户密钥对。因为用户密钥对在硬件内生成，所以它更为安全，较之软件密钥对被复制的可能性小。但是，应认识到，在本发明内可以实现安全程度有所不同的其他密钥生成技术。然后设备120在步骤146利用设备私钥对在步骤144生成的用户公钥签名。然后在步骤148发送签名的用户公钥，AA 122或与设备标识相关的其他网络机构一收到，即在步骤150利用设备公钥解密。如步骤152所示，用户公钥可选择存储在系统数据库中，以备将来交易(例如用于认证)时引用。这些用户证书存储在用户证书数据库125内。
通过上述技术，对用户公钥解密的实体是相对可靠的，因为用户密钥对在可信设备上创建，而它必须利用相应的设备私钥来签名。根据本发明实施例，实施利用设备私钥对用户密钥签名的技术使得仅允许设备生成的密钥可由设备私钥签名，从而确保用户密钥对是在设备内创建的。因为设备必须通过PIN号、通行码等来访问，所以获授权的用户在生成所述密钥时必须拥有该设备。
图8是说明根据本发明实施例，图4A所示的设备批量系统和图7A所示设备激活系统如何相互关联的方框图。应该注意的是，制造商42可以充当注册机构，如上所述。但是，本专业的技术人员会认识到，还可以采用另一单独设备作为注册机构。此外，如上所述，注册机构(RA)12可以包括服务提供商，如SP 47。所示CA 14与MFG 42和AA 122进行通信。但是，根据本发明的实施例，与MFG 42通信的CA 14可以与设备证书相关联，而与AA 122通信的CA 14可以与用户证书相关联。因此，CA 14的功能可以划分为设备和用户功能，它们可以嵌入同一物理设备内，也可以嵌入单独的物理设备中。
图9A显示了与本发明实施例结合用于验证交易的验证系统。图9B和9C所示的流程图详细说明了与图9A所示验证系统执行的验证相关的步骤，对此将结合图9A进行讨论。
在图9A中，验证机构(VA)154通过应用提供商158与用户设备120通信，或者可选地直接与设备通信。本专业人员会理解，这可以通过网关来实现，该网关可以由用户设备120通过其他实体(如服务提供商等)来访问。VA 154还通过应用提供商158与付费处理中心162通信。VA 154将交易收据存储在交易收据数据库160中，而将用户证书存储在用户证书数据库125中，VA 154可以访问这些证书。交易收据数据库160可选地可由应用提供商158访问，而设备数据库44可选地可由VA 154访问。
图9A所示的验证系统在用户设备120进行商务(例如通过网络)期间如图9B的步骤164所示发送签名的交易消息时使用，所述交易消息随后在步骤166被转发到VA 154。交易消息可选地直接发送到VA 154，或通过网关设备发送到VA 154。在此情况下，如可选步骤165所示，在步骤165通过网关向用户设备提供接收到步骤164发送的签名交易消息的确认。然后VA 154在步骤168处理验证请求，其细节结合图9C予以讨论。在步骤168完成验证处理过程之后，作为一种选择可以在可选步骤170将验证结果发送到网关获其他设备。
在步骤172就该交易消息是否有效进行判断。如果在步骤172判断步骤172中交易未通过验证，则作为一种选择可以在步骤174将拒绝服务消息发送给用户，之后处理过程在步骤176结束。但是，如果在步骤172判断步骤172中交易通过验证，则由VA 154在步骤178将通过验证的交易转发给应用提供商158。应用提供商158可以在可选步骤180可选地利用付费处理中心162处理支付事宜。一旦应用提供商158接收到通过验证的交易，则由应用提供商158在步骤182执行交易。在执行交易时，结果在步骤184返回给用户。
图9B所示步骤168中的验证技术将在图9C的流程图中予以详细讨论。在图9C中，VA 154首先在步骤186验证用户证书和与该用户相关联的证书链来处理验证请求。可以在步骤186验证的证书链将结合图10予以详细讨论。可选地，可以在步骤187验证设备。然后，在步骤188转换该请求，并验证签名。然后在步骤190生成可信的时间戳，并在步骤192对交易进行签名并将其作为电子收据存储在交易收据数据库160中。
在步骤186验证用户证书和与用户证书相关联的证书链时，VA154可以查询用户证书数据库125，该数据库还可以包含要查询的撤消列表。作为一种选择，VA 154可以查询设备数据库44来判断设备的授权是否已被撤消。本专业的技术人员会认识到，可以采用外部授权代理机构来认证用户证书和与用户证书相关联的证书链。这种资源可以包括例如发布标准撤消列表的组织，包括监控用于因特网商务中的证书的各种代理机构。
在图10中，说明了证书链的层次结构。这是与用户链相关联的证书链，它由VA 154在图9C的步骤186中进行验证。在图10中，根CA被显示为与多个成员CA相关联。根CA负责向成员CA发放证书。成员CA将证书发放给第二层CA，由第二层CA向公司发放证书。然后公司将证书发放给用户，用户可以是客户、雇员等。因此，当验证用户证书并认证用户时，不仅用户证书需要验证，而且还必须验证从用户向回延伸到根CA的整个链。
例如，如果根CA使其证书撤消，则发放给图10所示各实体的所有证书都将无效。同样地，如果成员CA的证书被撤消，则从该撤消了证书的成员CA直接或间接获取的第二层CA、公司和对应用户的证书都将被视为无效。因此，如果要验证用户证书，则向该用户发放证书的发证公司也必须使其证书连同图9所示层次结构中正好在该公司以上的第二层CA、成员CA和根CA的证书都要通过验证，以确保用户证书是有效的且可以正确地认证用户设备身份。此验证操作通常以从上至下的方式进行，先验证根CA，之后是该根CA下的每个实体，直至标识的用户CA。
图10所示类型的层次结构的一个实例是跨国银行服务系统。这种系统通过拥有根据本发明实施例发放的证书的设备用于货币兑换交易，其中，根CA是Identrus根CA。成员CA将包括约7个主要银行，包括诸如大通银行、花旗银行、德意志银行以及其他银行。约30个第二层CA直接归属于各个主要银行之下。所有第二层CA直属公司级约有8万个公司，其中每个公司可以有许多用户。使用层次结构(如图10所示的类型)的优点在于，使用设备的用户只需验证单个根证书，鉴于许多设备存储器和带宽容量有限，这种结构尤其有利。
在验证设备时，可以使用所述设备，且可以访问与设备45所属用户相关的偏好和/或简介信息。在此情况下，如图11所示，应用提供商158可以要求图示通过网关156与应用提供商158通信的设备45提供某些个性化和/或用户信息。本专业的技术人员会认识到，可以使设备45直接与应用提供商158通信。常规技术下，应用提供商158以“cookie”形式来请求这种信息，“cookie”是一个小的个性化文件，通常存储在设备45的存储器中。但是，因为某些设备45的尺寸约束和存储器的原因，驻留在设备45中的一个或多个cookie文件中携带的关键数据可能使设备45过载。此外，通过较慢的网络连接发送这些数据可能因每个设备使用这种cookie信息增加带宽需求而使网络过载。
因此，根据本发明实施例，在用户设备45上设有指针196，它指向位于由简介信息URL 200所标识的远程位置上的cookie。因此，通过这种方式，就仿佛该cookie文件存储在设备45上一样，这样，使用设备45的用户可以享受到个性化和简介信息带来的所有便利，以从应用提供商158获得个性化体验，同时将设备45上存储此类信息所需的存储量或发送此类信息所需的带宽降至最小。可以在设备启动例程运行期间或在应用中使用设备45需要该cookie中存储的信息的时访问cookie简介信息。
从上述内容，可以看出，本发明提供了一种方法，通过此方法可在授权体系结构(如PKI系统等)内使数量大的一组设备绑定于一个数字证书或一个公证书。因此，本发明提供了一种方式，可以将与为大量设备发放证书相关的成本降至最低，同时使与数字证书相关的安全性措施易于访问且对用户基本透明，从而形成用户习惯的、已投入使用的系统的一部分。此外，本发明允许安全地创建用户密钥对和/或将其添加到设备中，并以容易认证、不可否认且符合世界上各种数字签名法律的方式与设备证书相关联。最后，本发明提供了一种技术，用户偏好和简介信息可通过这种技术加以存储，并通过用户设备访问，而无需设备本身具有大量存储器。
本专业人员会理解，可以在不背离其精神或核心特征的前提下以各种特定形式实施本发明。例如，本发明是在PKI配置中使用智能卡的设备场景中进行描述的，所述智能卡包括GSM移动电话系统中采用的SIM卡。但是，本发明的方法还可用于任何提供数字证书来对用户和/或设备进行认证并验证交易的安全基础结构系统中。此外，本发明不局限于智能卡和/或SIM卡，而是可以应用于可以存储密钥和数字证书信息的各种设备中。再者，可以设想还可以将与用户证书相关联的用户简介信息或偏好信息存储在一个设备内，正如在通过存储在设备中的指针引用的中心位置中那样。
因此本说明书中公开的实施例完全视为说明性的，而非限定性的。本发明范围由所附权利要求书限定，而非前述描述的内容，旨包括属于此范围和及其等效物范围和含义之内的所有变更。
权利要求
1.一种部署可信网络的方法，所述可信网络允许通过设备(45)实现开放通信网上的安全交易，所述方法包括由注册机构(42)向证明机构(14)请求分配所述设备(45)的凭证，以便用于所述开放通信网上的安全交易，其中，所述证明机构(14)将一个凭证分配给一批或一组设备(45)。
2.如权利要求1所述的方法，其特征在于，所述制造商(42)充当注册结构(12)，并向所述证明机构(14)请求所述凭证。
3.如权利要求1或2所述的方法，其特征在于，所述方法还包括如下步骤将永久清单存储在托管数据库中，所述清单给出每个设备的标识符，其中，所述每个设备与分配给其所属的所述一批设备或一组设备(45)的凭证相关。
4.如权利要求3所述的方法，其特征在于，所述方法包括保存批准用于执行安全交易的设备列表或撤消列表。
5.如权利要求3或4所述的方法，其特征在于，所述永久清单由设备制造商维护。
6.如权利要求3或4所述的方法，其特征在于，所述永久清单由证明机构维护。
7.如前述权利要求之一所述的方法，其特征在于所述凭证包括数字证书。
8.如权利要求7所述的方法，其特征在于激活机构(122)与所述设备(45)以及所述用户和设备数据库通信，以便管理所述设备的激活。
9.如权利要求8所述的方法，其特征在于所述方法包括将包括设备公钥和设备私钥的密钥对存储在设备内，然后包括下列步骤在所述设备内生成包括用户公钥和用户私钥的用户密钥对；利用与所述设备相关联的所述设备私钥对用户公钥签名；将所述用户公钥发送到所述签名的激活机构(122)或参与设备识别的另一网络机构；利用所述设备公钥将所述签名的用户公钥解密。
全文摘要
提出了一种系统和方法，用于利用批次凭证(如批次PKI证书)创建可信网络，该可信网络可促进开放网络上的安全交易。一个证书绑定于一组或一批或几个设备。在处理设备的服务请求时，由激活机构参考此证书。有关设备批次证书的信息在一个永久性或托管数据库中维护。因为用户在场的时候将设备密钥用于对设备上创建的用户密钥签名，所以用户身份绑定于设备，以后在签名的用户密钥发送和接收时利用设备密钥的副本来对所述签名的用户密钥解密。
文档编号G06Q20/00GK1631001SQ02823867
公开日2005年6月22日 申请日期2002年10月3日 优先权日2001年10月3日
发明者L·梅里恩, J·-L·卡拉拉, Y·贝比克, P·米勒 申请人:格姆普拉斯公司