临时信任根注册以及设备绑定的公共密钥登记的制作方法

本公开总体上涉及用于在各方之间建立信任的方法和系统。特别地，本公开涉及密写(cryptographic)方法以及配置成执行这样的方法的计算装置。本文的公开适用于许多设备和网络，但是特别适用于互联网连接的设备。

背景技术：

1、比如互联网之类的网络改变了日常工作的执行方式，并且这对信息安全产生了重大影响。许多日常任务要求数字设备进行安全认证和由另一方认证和/或安全地处理私人信息。随着物联网(iot)的发展，比如供暖和照明之类的系统由互联网连接的设备控制变得越来越普遍——每年都有越来越多的设备连接到互联网。

2、设备认证是指安全地建立设备身份以确保其可信的行为。设备连接到的服务(例如基于云的服务)需要知道该设备是正版的，正在运行可信软件，并代表可信用户运作。

3、供应(provisioning)是指准备设备以适合移交给终端用户并注册服务的过程。认证是该过程的一部分，因此只有出示适当凭据的设备才能注册。供应的确切细节可以基于实施方式而广泛变化，但在大多数情况下，设备在制造时提供有密写密钥和证书，使得在部署设备时(设备准备好提供给终端用户以连接到服务)，设备可以提供适当的凭证。

4、通常，iot设备中的嵌入式系统依赖于预共享密钥，一旦这些设备连接到互联网并成为全球可寻址的，预共享密钥就会成为问题。预共享密钥必须在部署设备之前共享，并且由于集中式资源典型地需要与每个设备共享密钥以进行通信，因此单个服务器受损可以危及整个设备网络的安全性。此外，这样的预共享密钥不能实现各种安全保证，比如任何通信的来源证明和访问控制。

5、公共密钥基础设施(pki)提供了一种解决预共享密钥问题的方法。pki在许多联网系统中用于集中式凭证管理和密钥分发，尽管iot社区由于经济和技术原因而在采用pki方面进展缓慢。公共密钥密码术或非对称密码术是使用成对密钥的密写系统，包括可以广泛散播的公共密钥和只有设备/所有者知道的相应秘密/私有密钥。pki是创建、管理、分发、使用、存储和撤销数字证书以及管理公共密钥加密所需的一组角色、策略、硬件、软件和程序。pki将公共密钥与实体(比如个人、组织或个人设备)各自的身份绑定在一起。该绑定通过受信证书权威机构(ca)登记和发布证书的过程来建立。

6、为了利用预共享密钥或公共密钥基础设施，典型地在设备制造时或制造后不久将一些秘密信息添加到电子设备的安全区域中。例如，秘密信息可以是预共享密钥，或者秘密信息可以包括依赖于公共密钥加密的系统中的密钥对的私密密钥。这种途径需要将秘密信息添加到电子设备的安全设施中，和/或信任第三方安全添加密钥的能力。安全设施成本高昂，难以管理，并需要持续维护和评估安全程序，以确保对新威胁做出强有力的响应。典型地，可能需要硬件安全模块(hsm)来生成和存储密钥，可能需要集成的密钥添加系统来将密钥添加到电子设备中，并且即使这样，如果hsm和/或安全设施受损，也不能确保添加的密钥的完整性。

7、向电子设备安全提供秘密信息的固有困难会影响进一步的下游流程，比如设备的注册——其进入互联设备的网格的开始。通常，设备证书必须在制造时安全地提供给设备，以便向设备提供一些基本凭证，利用这些凭证来注册服务。同样，对于如何安全地完成此操作存在限制。

8、在典型的场景中，原始装备制造商(oem)可能寻求为制造的设备提供身份，以允许注册，以及在设备上安全地安装固件。该设备可以包括例如具有用于存储密钥的安全区域的微控制器，并且该微控制器可以由第三方制造商制造。oem或制造商可以例如将私密密钥和设备证书注入安全区域，这需要安全设施。为了在设备上安装固件/证书，oem可以使用编程公司的服务来配置设备，这需要信任。必须信任编程公司来操作安全设施，注入正确的信息，并代表oem安全地对证书进行签名。在一些情况下，供应设备可能需要多个不同方与电子设备交互。

9、本发明实施例的目的是至少缓解本领域已知的一个或多个问题。

技术实现思路

1、根据本发明的一个方面，提供了一种电子设备。该电子设备包括具有物理不可克隆功能(puf)的安全模块。安全模块配置成基于对puf的第一挑战和响应来建立注册密钥对(epk、esk)，注册密钥对包括注册公共密钥(epk)和注册私密密钥(esk)。电子设备还包括一个或多个存储器。电子设备还包括一个或多个处理器，一个或多个处理器配置成通过安全连接来向服务器传输包括设备标识符和epk的证书签名请求(csr)，以获取证实epk与设备标识符相关联的证书，其中，csr使用esk来进行签名，并且其中，设备标识符基于epk的函数。一个或多个处理器还配置成通过安全连接来接收临时注册设备证书，该临时注册设备证书证实epk与设备标识符相关联并包括有效期。一个或多个处理器还配置成将临时注册设备证书安装在存储器中。

2、传统上，设备证书(临时的或其他的)在制造期间连同与设备证书相关联的私密密钥一起安装在设备上，以使得设备能够向服务认证。相反，当前公开的方法和装置有利地使得能够在制造后向电子设备提供临时设备证书，并且不需要在制造时将密钥嵌入在电子设备中。

3、一个或多个存储器中可能已经安装了主可信根证书。一个或多个处理器还可以配置成通过安全连接来接收发布证书，其中，发布证书是主可信根证书的派生物。发布证书可以在与电子设备的持久设备证书相关的后续过程中使用。

4、一个或多个处理器还可以配置成验证发布证书是主可信根证书的直接派生物。一个或多个处理器还可以配置成响应于验证而将发布证书安装在存储器中。

5、一个或多个处理器还可以配置成从服务器接收安全连接发布证书和安全连接证书，安全连接发布证书和安全连接证书是主可信根证书的派生物。一个或多个处理器还可以配置成使用主可信根证书来验证安全连接证书。一个或多个处理器还可以配置成响应于验证来建立到服务器的安全连接。

6、验证安全连接证书可以包括验证安全连接证书是主可信根证书的派生物，并且可选地，将安全连接证书中包括的服务器标识符与存储在电子设备的一个或多个存储器中的服务器标识符进行比较。服务器标识符可以包括例如服务器的名称或服务器的地址(例如url或ip地址)。

7、一个或多个处理器还可以配置成启动到由存储在电子设备的一个或多个存储器中的服务器标识符标识的服务器的安全连接。

8、该设备还可以配置成基于对puf的第二挑战和响应来建立设备密钥对(dpk、dsk)，该设备密钥对包括设备公共密钥(dpk)和设备私密密钥(dsk)。一个或多个处理器还可以配置成通过第二安全连接向服务器传输第二证书签名请求(csr)，以获取证实dpk与设备标识符相关联的证书。第二csr可以包括dpk和设备标识符，第二csr使用dsk签名。一个或多个处理器还可以配置成通过第二安全连接接收将dpk与设备标识符相关联的设备证书。一个或多个处理器还可以配置成验证设备证书是主受信根证书的派生物。一个或多个处理器还可以配置成响应于验证而将设备证书安装在存储器中。

9、有利的是，并且通过阅读说明书将会清楚，这样的方法使得设备证书可以被提供给电子设备，对于该电子设备，设备标识符与被证实为与该设备标识符相关联的设备公共密钥不相关。这使得下游更加安全。例如，如果设备密钥对以某种不可预见的方式被泄露，则电子设备可以获得重设密钥的证书，而不需要全新的设备身份。

10、设备标识符可以基于epk的散列函数。例如，设备标识符可以基于应用于epk的密写散列函数。

11、临时注册设备证书的有效期可以是适合于相关实现目的的任何时间段。在一些示例中，有效期可以少于十分钟、少于五分钟、或少于两分钟。

12、在一些示例中，电子设备可以信任临时注册设备证书，因为临时注册设备证书是通过安全连接从计算装置/服务器接收的，电子设备从电子设备的固件得知其身份。

13、在其他示例中，电子设备的一个或多个存储器可能已经在其上安装有临时注册可信根证书。一个或多个处理器可以配置成在接收临时注册设备证书之后，使用临时注册可信根证书来验证临时注册设备证书，其中，安装临时注册设备证书响应于该验证来进行。

14、临时注册设备证书可以由服务器使用与临时注册发布证书相关联的私密密钥来签名。

15、根据本发明的一个方面，提供了一种由电子设备执行的方法。该电子设备包括具有物理不可克隆功能(puf)的安全模块，该安全模块配置成基于对puf的第一挑战和响应来建立注册密钥对(esk、epk)，该注册密钥对包括注册公共密钥(epk)和注册私密密钥(esk)。电子设备还包括一个或多个存储器。该方法包括，通过安全连接来向服务器发送证书签名请求(csr)，以获取证实epk与设备标识符相关联的证书，csr包括设备标识符和epk。csr使用esk来进行签名，并且设备标识符基于epk的函数。该方法还包括通过安全连接来接收临时注册设备证书，该临时注册设备证书证实epk与设备标识符相关联并包括有效期。该存储器还包括将临时注册设备证书安装在存储器中。

16、根据本发明的一方面，提供了一种服务器。该服务器在本文也可以称为密钥管理服务器或计算装置。该服务器配置成接收证书签名请求(csr)，该证书签名请求包括设备标识符和由电子设备建立的注册密钥对的注册公共密钥(epk)。csr用于获取证实epk与设备标识符相关联的证书。设备标识符基于epk的函数。该服务器还配置成使得设备标识符得以对照设备标识符数据库而被检查，该服务器可以针对该设备标识符数据库对证书进行签名。该服务器还配置成使得对设备标识符的检查被执行，以证实设备标识符是epk的函数。该服务器还配置成使得epk与数据库中的设备标识符相关联。该服务器还配置成对临时注册设备证书进行签名，该临时注册设备证书证实epk与设备标识符相关联并包括有效期。该服务器还配置成启动通过安全连接来向由设备标识符标识的电子设备传输签名的临时注册设备证书。

17、服务器可以配置成通过安全连接从电子设备接收csr。服务器可以是服务器系统的一个服务器，并且csr可以通过服务器系统的另一个服务器来接收，该另一个服务器系统通过与电子设备的安全连接来接收csr。

18、服务器还可以配置成通过安全连接发送发布证书，其中，发布证书是电子设备已知的主可信根证书的派生物。

19、服务器还可以配置成基于设备标识符，从作为主受信根证书的派生物的多个发布证书选择发布证书，以通过安全连接来发送。通过这种方式，可以为不同的设备设置不同的安全策略，例如，第一个发布证书可以用于第一类电子设备(例如智能灯泡)，而第二个发布证书可以用于第二类电子设备(例如智能洗衣机)。

20、通过安全连接发送的发布证书可以基于与电子设备相关联的安全策略。

21、使得电子设备的设备标识符得以对照数据库而被检查可以包括使得执行检查以验证在csr中接收的设备标识符已经存储在数据库中。只有当接收到的设备标识符已经存储在数据库中时，才可以授权服务器对临时注册设备证书进行签名。有利的是，这样的情况提高了安全性，因为服务器只对相关联设备标识符在数据库中的电子设备的证书进行签名：因此，受损的电子设备不能与服务器通信。

22、使得对设备标识符的检查被执行以证实设备标识符是epk的函数可以包括使得对设备标识符的检查被执行以证实设备标识符基于epk的散列函数。

23、临时注册设备证书的有效期可以是适合于相关实现目的的任何时间段。在一些示例中，有效期可以少于十分钟、少于五分钟、或少于两分钟。

24、该服务器还可以配置成启动向电子设备传输安全连接发布证书和安全连接证书，安全连接发布证书和安全连接证书是电子设备已知的主可信根证书的派生物。

25、服务器还可以配置成接收临时注册设备证书。服务器还可以配置成接收包括设备标识符和由电子设备建立的设备密钥对的设备公共密钥(dpk)的第二csr，其中，第二csr用于获取证实dpk与设备标识符相关联的证书。服务器还可以配置成使得第二csr的设备标识符得以对照设备标识符数据库而被检查，服务器可以针对该设备标识符数据库对证书进行签名。该服务器还可以配置成使得对第二csr的设备标识符的检查被执行，以验证第二csr的设备标识符与接收的临时注册设备证书中指定的设备标识符相匹配。服务器还可以配置成基于csr来对设备证书进行签名，其中，设备证书是电子设备已知的主可信根证书的派生物。该服务器还可以配置成启动通过第二安全连接向由设备标识符标识的电子设备传输设备证书。在一些示例中，服务器还可以配置成在启动设备证书的传输之前，使得第二csr的设备标识符的检查被执行，以验证第二csr的设备标识符是epk的函数。

26、服务器可以配置成通过第二安全连接从电子设备接收dpk的csr。该服务器可以是服务器系统的一个服务器，并且第二csr可以通过服务器系统的另一个服务器来接收，该另一个服务器通过与电子设备的安全连接来接收第二csr。

27、临时注册设备证书可以由存储在服务器中的临时注册发布证书来签名。

28、根据本发明的一个方面，提供了一种用于在服务器中执行的方法。该方法包括接收证书签名请求(csr)，该证书签名请求包括设备标识符和由电子设备建立的注册密钥对的注册公共密钥(epk)。csr用于获取证实epk与设备标识符相关联的证书，其中，设备标识符基于epk的函数。该方法包括使得设备标识符得以对照设备标识符数据库而被检查，服务器可以针对该设备标识符数据库对证书进行签名。该方法包括使得对设备标识符的检查被执行，以证实设备标识符是epk的函数。该方法包括使得epk与数据库中的设备标识符相关联。该方法包括对临时注册设备证书进行签名，该临时注册设备证书证实epk与设备标识符相关联并包括有效期。该方法包括启动通过安全连接来向由设备标识符标识的电子设备传输签名的临时注册设备证书。

29、根据本发明的一个方面，提供了一种系统。该系统包括电子设备和一个或多个服务器。该电子设备包括：具有物理不可克隆功能(puf)的安全模块，该安全模块配置成基于对puf的第一挑战和响应来建立注册密钥对(esk、epk)，该注册密钥对包括注册公共密钥(epk)和注册私密密钥(esk)。电子设备还包括一个或多个存储器。电子设备还包括一个或多个处理器。一个或多个处理器配置成通过安全连接向一个或多个服务器中的一个服务器发送证书签名请求(csr)，以获取证实epk与设备标识符相关联的证书。csr包括设备标识符和epk，并且csr使用esk来进行签名。设备标识符基于epk的函数。一个或多个处理器还配置成通过安全连接来接收临时注册设备证书，该临时注册设备证书证实epk与设备标识符相关联并包括有效期。一个或多个处理器还配置成响应于验证而将临时注册设备证书安装在存储器中。一个或多个服务器配置成通过安全连接从电子设备接收csr，该csr包括设备标识符和用于证实epk与设备标识符相关联的证书的epk。一个或多个服务器还配置成对照一个或多个服务器可以为其对证书进行签名的设备标识符数据库来检查设备标识符。一个或多个服务器还配置成检查设备标识符以证实设备标识符是epk的函数。一个或多个服务器还配置成将epk与数据库中的设备标识符相关联。一个或多个服务器还配置成对临时注册设备证书进行签名，该临时注册设备证书证实epk与设备标识符相关联并包括有效期。一个或多个服务器还配置成通过安全连接向电子设备发送签名的临时注册设备证书。

30、根据本发明的一个方面，提供了一种计算机可读介质。该计算机可读介质包括指令，当由电子设备的处理器执行时，这些指令使得电子设备执行本文描述的方法。

31、根据本发明的一个方面，提供了一种计算机可读介质。该计算机可读介质包括指令，当由服务器的处理器执行时，这些指令使得服务器执行本文描述的方法。

32、用于执行本文所述的这样的方法的计算机程序和/或代码/指令可以在计算机可读介质或计算机程序产品上提供给装置，比如计算机。计算机可读介质可以是例如电子系统、磁系统、光系统、电磁系统、红外系统或半导体系统，或者用于数据传输的传播介质，例如用于通过互联网下载代码的传播介质。替代地，计算机可读介质可以采取物理计算机可读介质的形式，比如半导体或固态存储器、磁带、可移动计算机磁盘、随机存取存储器(ram)、只读存储器(rom)、硬磁盘、以及光盘，比如cd-rom、cd-r/w或dvd。

33、根据本文给出的教导，本发明所属领域的技术人员将会想到本文阐述的本发明的许多修改和其他实施例。因此，将会理解，本文的公开不限于本文公开的具体实施例。此外，尽管本文提供的描述在元素、步骤和/或功能的某些组合的上下文中提供了示例实施例，但是在不脱离本发明的范围的情况下，可以由替代实施例来提供。