用于生成设备证书和检验设备证书的有效性的方法和系统的制作方法

用于生成设备证书和检验设备证书的有效性的方法和系统的制作方法
【专利摘要】为了当用于生成设备证书的签名秘钥遭破坏时以简单的方式通过有效性检验识别出无效的设备证书，本发明建议，提供一种设备证书的状态信息，所述状态信息包括设备证书的存在性和有效的肯定性证明，以及另选地或者额外地使用特殊的用于设备证书的有效性模型，其中借助签名的电子时间戳记录设备证书的颁发时间点，其中为了签署时间戳而使用一种与签署设备证书不同的签名秘钥。本发明的另一个方面在于，将所有对于设备证书的有效性检验所需的信息存储于所述设备的一个存储器中或存储于一个分配给所述设备的存储器中，从而可以随时进行设备的身份检验而无需检索额外的数据，也就是使得所存储的设备证书的离线检验成为可能。
【专利说明】
用于生成设备证书和检验设备证书的有效性的方法和系统
技术领域
[0001]本发明大体上涉及设备证书，即用于证明设备身份的电子证书，以及尤其涉及分别用于生成设备证书和用于检验设备证书的有效性的方法和系统。
【背景技术】
[0002]电子证书用于通过一种方式来证明信息，尤其是人或对象的特定属性，该方式允许了借助加密方法来进行真实性检验和完整性检验，其中所述证书通常包含检验所需的数据。
[0003]尤其是，电子证书由颁发的认证机构数字签名，其中数字签名是证书的组成部分。通常由要认证的信息形成密码校验和，例如借助散列函数，并且采用认证机构的非对称密钥对的私人密钥对该校验和进行数字签名。以这种方式借助认证机构的公开秘钥来校验确认信息的真实性:使用公钥法的测得原始的密码校验和，并将其与由认证的信息重新形成的密码校验和进行比较，其中在密码校验和一致的情况下则存在认真信息的真实性。
[0004]在德国，由签名法和签名法规来规定电子签名的法律有效性，其中法律认可合格的电子签名在法律上除少数例外情况之外与手写签名具有同等地位。对于合格的电子签名而言，存在对签名生成过程、对在此使用的手段以及尤其是对颁发为此所需的合格的证书的、认证服务机构的特定要求。合格的电子签名总是由自然人生成。相应地，用于签名的合格电子证书的持有者总是自然人。
[0005]为了证明设备的身份，使用称作设备证书的电子证书，其中设备证书还用于使设备所有者能够检验设备的真伪。具有该目的的证书称作真品凭证。此外，设备所有者本身可以将所展示的设备证书用于标示其所有权。这些证书被称作所有权证书。
[0006]与此相应地，真品凭证是设备证书，该证书由设备制造商生成用以证明由该制造商制造的设备的真伪性。就此而言，真伪性意味着设备确实出自特定的制造商。为此，在制造该设备时，设备制造商颁发了唯一的、仅仅存在于该设备中的机密的证书。所述设备制造商公开了这些证书的检验标准，从而使所有者可以确定设备的真伪性。
[0007]这些证书在有关文献中有所描述。例如在IEEE标准802.1AR-2009(IEEE Standardfor Local and metropolitan area networks-Secure Device Identity (用于局域网和城域网的IEEE标准-安全设备标识符)，2009)中描述了所谓的原始安全设备标识符(IDevID)，该标识符由私人秘钥形式的机密信息和公开秘钥证书形式的证书组成，所述证书符合在RFC 5280(Internet X.509公钥基础结构证书和证书吊销列表(CRL)文件)中描述的X.509-证书。对于X.509公钥基础结构，在下文中也使用缩写PKIX。
[0008]此外，可信计算组织的可信平台模块(TPM)的说明书还在第I部分中(TPMMainPart I Design Principles Specificat1n Vers1nl.2(TPM 主要部分 I 设计原则说明书版本1.2)，修订版116，2011年3月I日，TCG)描述了由非对称密钥对组成的所谓“Endorsement Key(签注密钥)”，其包括称作PRIVEK的私人秘钥和称作PUBEK的公开秘钥，目的是借助电子签名，例如借助证书来验证TPM芯片的真伪性。相应的证书在下文中也称作EK证书。
[0009]TPM芯片的签注秘钥(EK)可以借助公开的根证书来校验。此外，平台制造商，例如集成有TPM的电路板或设备的制造商，生成了称作“Platform Endorsement Certificate(平台签注证书)”的属性证书，从而证明具有唯一签注秘钥的TPM芯片集成到特定的平台中。
[0010]因此从现有技术已知，借助电子签名来证明设备的制造及其真伪性并且可以由后来的设备所有者对其进行检验。
[0011]为此，设备制造商通常使用非对称密钥对，在下文中也称作制造商认证秘钥(MAkey)。属于MAKey的、称作MACert的证书在认证机构的所谓中间证书(中间CA证书，次级CA证书)等级中通常用作证书链的组成部分。为了进行数字签名，该证书直接或间接地通过制造商的认证机构来验证，例如通过使用认证机构的称作制造商信任销秘钥的、简称MTAKey的根秘钥。所述根秘钥通常借助自签名的根证书，也称作制造商信任锚证书，简称MTACert，来证明并且由制造商公布。
[0012]MAKey的私钥部分用于生产工作场所。如果这样的私钥部分被复制或滥用，则无法将原始的设备证书与滥用生成的设备证书区分开来。在这样的情形下，附属的次级CA证书通常被撤销。为了表明有效，必须在证书链的检验期间还额外地检索撤销信息。通常，撤销信息通过定期公开证书撤销列表(CRL)或相对而言立即地通过撤销信息服务如OCSP-服务器(在线证书状态协议服务器)来提供，例如按照RFC2560来提供。
[0013]在证书链的核验期间，必须按照RFC5280来留意证书的有效期。这特别适用于需要留意撤销信息的情况。在RFC 5280所述的方法中，对特定时间点t (通常为当前时间点)的证书链有效性进行实时核验。所述时间点t必须在所述链的所有证书的有效期内，并且对于所述链的除根证书之外的所有证书而言还必须存在在t时测量的、足够新近(jung)并且有效的撤销信息，，其中这些撤销信息通常同样表示有效期。
[0014]次级CA证书的撤销使得所有已经颁发的并且由此待检验的设备证书成为无效。作为补救措施，在使用例如为EK证书形式的TPM的情况下，设备制造商必须依据其设备数据库为相关设备颁发新的设备证书。出于该原因，在制造设备时，需要将所使用的非对称秘钥对的公钥部分，例如签注密钥(EK)在设备数据库中存档。然而，新设备证书的颁发带来花费和成本，尤其是当所述设备当场难以或无法取到时。
[0015]由于在属于次级CA证书的私人秘钥遭到破坏的情况下的成本，在实践中经常放弃撤销次级CA证书，并且必要时使用商业措施来控制损失。通常并不存在在遭到破坏的情况下所要依照来进行处理的程序。
[0016]另一个问题在于，必须能够在检验现场提供撤销信息，但是视使用目的而定，在检验现场可能并不能获得与通信网络的连接。
[0017]所有者证书是一种设备证书，该证书由设备所有者为其设备颁发，从而证明所述设备为其所有并因此作为其所有权的识别标准。为此，设备所有者在获得设备时并且有可能在占有设备期间重复地颁发唯一的、仅仅存在于所述设备中的证书。设备所有者使用属于该证书的检验标准以便能够随时有效地确定设备是否为其所有。此外，所有者的设备相互间使用这些证书，以便相互证明其在所有者的信任域中的身份和归属。
[0018]由互联网工程任务组(IETF)的文件RFC 5916(Device OwnerAtribute(设备所有者属性))已知例如公钥证书和属性证书的属性，通过该属性可以表示对设备的占有。作为该属性的目的提到例如其在两个正在彼此通信的设备之间的可信性自动判定时的用途。例如，当所述设备的证书列出相应的所有者时，所述设备相互信任。
[0019]通常，设备制造商将与PKIX标准兼容的设备证书用于其设备，以此保证尽可能大的互操作性。尤其使用通过PKIX标准限定的用于证书链的有效性模型。
[0020]在生成设备证书时，一些设备所有者使用自有的认证服务，该认证服务采用称作设备所有者认证秘钥(Device Owner’s Attestat1n Key) (DOAKey)的密钥来签署设备证书，其中还可以使用多个这种类型的秘钥(D0AKeyl、D0AKey2、D0AKey3)。类似于上文提到的秘钥MAKey和MTAKey或者证书MACert和MTACert地并且以相似用途地，通常设置用于DOAKey的称为设备所有者认证证书(Device Owner’s Trust Attestat1n Certificate)(DOACert)的证书，以及认证服务的根机构的称作Device Owner’s Trust Anchor Key(设备所有者信任锚秘钥)(D0TAKey)的秘钥和所属的证书，即设备所有者信任锚证书(DeviceOwner’s Trust Anchor Certificate)(DOTACert)。
[0021 ] 与上文所述的秘钥MAKey和MTAKey或者证书MACert和MTACert的区别在于，设备所有者控制秘钥和证书的使用并且在获得设备之后才生成并引入由设备所有者生成的设备证书。对于设备证书而言，要么引入现存的设备密钥对，例如在设备的TPM中的EK，要么在设备中例如借助TPM生成新密钥对，要么由设备所有者生成新秘钥对并引入所述设备。
[0022]在秘钥遭到破坏时，为了签署设备证书(DOAKey 1、D0AKey2、D0AKey3、...)，对于设备所有者而言存在同样的如上文对于设备所有者所述的那些困难和成本。就根据PKIX标准的有效性模型而言，所有采用相应的秘钥所签署的设备证书均成为无效并且必须被替换。就工业设备而言，这些设备完全安装在现场无法够及的位置，以至于更换费用高昂。
[0023]此外，在此还存在上文所述的问题，即在检验当场可能不存在对于用以提供撤销信息的通信网络的访问。

【发明内容】

[0024]因此，本发明的目的在于展示一种途径，即如何能够减少或避免现有技术中的上述问题，并且尤其是展示了一种途径，即如何能够简化和/或改善设备证书的有效性检验，尤其是对于用来生成设备证书的签名秘钥遭到破坏的情况而言，以及对于在有效性检验的时间点无法提供通信连接的情况而言。
[0025]该目的通过独立权利要求的特征得以实现。有利的实施方式时从属权利要求的主题。
[0026]本发明的基本思想在于，提供设备证书的状态信息，所述状态信息包括设备证书的存在和有效的肯定性证明，以及另选地或者额外地使用特殊的用于设备证书的有效性模型，其中借助签名的电子时间戳表示设备证书的颁发时间点，其中为了签署时间戳而使用一种与签署设备证书不同的签名秘钥。
[0027]本发明的另一方面在于，所有对于存储于设备的存储器中的设备证书的有效性检验所需的信息均存储于设备的存储器中，以至于能够随时进行设备的身份检验而无需检索额外的信息，也就是实现了存储的设备证书的离线检验。
[0028]与此相应地，提供了一种生成电子设备的设备证书的方法，包括:提供待认证的电子设备，在所述电子设备中存储有从该设备之外不能读取的机密;生成设备证书，该设备证书的证书信息加密地与存储于该设备中的机密相关联，其中所述设备证书包括用签名秘钥生成的数字签名并且能够借助证书链进行授权。
[0029]所述证书链是以所述设备证书为起始的至少两个证书的序列，其中所述证书链中的每个证书均包括限定相应的证书的有效期的信息，并且其中除所述设备证书以外、证书链中的每个证书均包括证书信息，采用所述证书信息能够验证分别在所述序列中处于在前位置的证书。
[0030]在使用非对称密钥对的情况下，设备证书的签名的真伪性能够采用设备证书的颁发者的签名秘钥的公钥部分来进行检验。为了检验设备证书的颁发者的签名秘钥的公钥部分的真伪，提供一个另外的数字证书。为了检验所述另外的数字证书的颁发者的签名秘钥的公钥部分的真伪，又可以提供一个另外的证书。以这种方式构建起作为证书序列形式的证书链，该证书链以所述设备证书为起始，所述证书分别证明能够用于检验在前的证书的公开秘钥的真伪。证书链也称作校验路径或认证路径。
[0031 ] 所述证书链包括设备证书和至少一种另外的证书。由于没有另外的证书跟随在证书链的最后的证书之后，该最后的证书优选为受信任的证书，对于受信任的证书可以省去真实性检验。
[0032]此外，在第一变化方案中所述方法中设置为，为生成的设备证书生成确认信息，该信息证明所述设备证书由经授权的机构生成。在此，通常借助证书信息服务来提供状态信息。
[0033]所述确认信息可以例如来自于，将信息可调取地存储设备证书或源自设备证书，例如存储于数据库中，所述数据库通常由签署设备证书的机构来提供。
[0034]有利的是，所述方法还可以包括为设备证书提供数字签名的状态信息，所述状态信息包括对于设备证书由经授权的机构生成的证明，其中所述状态信息在响应确认信息的同时或者仅仅在相应的确认信息存在的情况下生成。此外，还可以有利地设置为，为证书链的至少一个另外的证书提供数字签名的状态信息，该状态信息包括对于所述另外的证书由经授权的机构生成的证明。
[0035]在第二变化方案中，所述方法进一步设置为，生成数字签名的时间戳，所述时间戳将设备证书与生成该时间戳的时间点关联起来。在此，所述数字签名的时间戳优选这样生成，即借助签名秘钥将设备证书或设备证书的散列值与例如作为日期和时间形式的实时时间数据一起数字签名。
[0036]在所述方法的特别优选的实施方式中，将所述第一和第二变化方案进行组合。
[0037]优选的是，在所述方法的第二变化方案中，经数字签名的时间戳由提供时间戳服务的服务器作为对于生成时间戳的请求的应答的形式而生成。所述请求例如由通过通信网络与服务器连接的生产计算机传输给服务器并将生成的时间戳回传到生产计算机，其中所述请求优选包含设备证书或设备证书的散列值。
[0038]以能够与所述设备对应的方式，能够调取地提供所生成的设备证书和/或证书链的至少一个另外的证书和/或经数字签名的时间戳和/或至少一个经数字签名的状态信息。这可以例如通过存储于可读取的存储器或通过存储于分配给电子设备的或布置在电子设备中的存储介质来进行。例如可以利用设备的闪存作为存储器或者给设备附加存储介质，例如⑶。另选地，可以例如通过互联网服务器访问所生成的设备证书和/或证书链的至少一个另外的证书和/或数字签名的时间戳和/或至少一个数字签名的状态信息，所述服务器例如作为对于设备标识(例如设备的序号)的回应而提供数据。这可以例如通过设立相应的目录服务来进行。
[0039]有利的是，计算生成的时间戳的数目，并且只要不超过规定的生成时间戳数目的上限，服务器就生成并传输时间戳。为此，优选将该上限的数值传输到提供时间戳服务的服务器并且存储于该服务器。时间戳的计数例如这样进行，即首先将存储于服务器中的计数器设为零，然后该计数器在每次用于生成时间戳的请求的情况下即增加并且与所存储的上限值进行比较。如果计数器小于或等于该上限值，则生成时间戳并将其传输到生产计算机，否则就不生成时间戳，其中在这种情况下优选将相应的错误信息传输到生产计算机。
[0040]以这种方式可以仅仅为预设的所限定的设备数目分别生成具有所分配的时间戳的设备证书。这特别有利于在电子设备的订货生产中对于生产配额进行监控。
[0041]为了提高安全性，优选将不同的签名秘钥用于生成设备证书的数字签名以及用于生成时间戳的数字签名。
[0042]此外，为了提高安全性，优选将不同的签名秘钥用于生成设备证书的数字签名以及用于生成状态信息的数字签名。
[0043]如果识别到用于签署证书链的第一证书的签名秘钥被未经授权地使用，则有利的是，为了在证书链中紧随所述第一证书之后的证书生成经数字签名的状态信息，其中所述状态信息包括撤销信息，该撤销信息在从识别出未经授权使用的时间点起的检验时间点将在证书链中紧随第一证书之后的证书鉴定为无效。
[0044]在所述方法的一个特别有利的实施方式中，加密地与设备证书的证书信息相关联的机密构成非对称密钥对的私钥部分，其中所述机密优选是唯一的机密。因此，密钥对的私人秘钥优选不能读取地存储于所述设备中，而密钥对的公开秘钥是设备证书的证书信息的组成部分，其中所述设备构造成无论是否存在设备证书与设备的关联均能够借助所存储的机密进行检验。例如，所述设备构造成用来接收数值，采用所存储的私人秘钥基于预先规定的加密算法将该数值加密，并作为对于接收数值的回应而输出结果，使得该输出的数值能够通过包含于设备证书中的公开秘钥解密并与原始数值进行对比，其中在一致的情况下则存在设备证书与设备的关联。
[0045]在本发明的优选实施方式中，机密存储于设备的芯片中。该芯片可以有利地构造成符合可信计算组织的可信平台模块(TPM)规格的芯片，简称TPM芯片，在所述芯片中存储有称为“Endorsement Key(签注密钥)”的非对称密钥对的称为PRIVEK的私人秘钥。这样的TPM芯片本身也可形成电子设备，为该设备生成设备证书。在这种情况下，有利的是还可以提供另外的设备证书，例如以属性证书的形式，该证书用于证明在所述设备中包含有特定的TPM芯片。有利的是，以与设备证书相同的方式提供所述另外的设备证书，即例如存储于同样的存储器或存储介质中或通过同样的目录服务能够调取地提供。
[0046]用于检验根据上文所述的方法生成的设备证书的有效性的方法设置为，提供设备证书和受信任的证书以及为证书链的每个证书确定出所对应的检验时间点，其中设备证书能够通过证书链与受信任的证书链接起来，其中所述证书链是以设备证书为起始并且以受信任的证书为结束的至少两个证书的序列，其中所述证书链中的每个证书均包括限定了相应证书的有效期的信息，并且其中除设备证书之外的所述证书链每个证书均包括证书信息，采用所述证书信息能够分别认证在所述序列中处于在前位置的证书。有效期的适用定义尤其还可以包括指向过去或指向未来的无限的有效性，即所述有效期的一个端点或两个端点均没有限制。为此，例如可以对有效期的起点和/或终点分别使用数值，所述数值按照预先设定的常规表示无限的有效性。
[0047]在此基础上，进行第一系列的检验，也就是检验是否能够借助证书链成功地认证设备证书，对于证书链的每个证书而言是否所对应的检验时间点均处于相应证书的有效期内，以及借助存储于设备的存储器中的机密是否存在设备证书与设备的关联。如果所述检验在至少一个时间点给出否定结果，则设备证书被识别为无效。
[0048]所述用于生成电子设备的设备证书的方法以及用于对这样生成的设备证书进行有效性检验的方法一起形成了为了真伪性检验或所有权检验的目的而验证电子设备身份的方法。尤其是，本发明的方法实现了针对伪造设备证书的防范。
[0049]在所述检验方法的第一变化方案中，为设备证书提供所对应的、经数字签名的状态信息，其中所述状态信息鉴定设备证书为有效或无效并且包括限定状态信息的有效期的信息。在该实施方式变化方案中，对所提供的状态信息进行附加检验，即为状态信息设定的检验时间点是否处于状态信息的有效期内，以及状态信息是否鉴定设备证书为有效，其中作为有效的设备证书的证明包括了设备证书确实由经授权的机构生成的证明。如果检验结果为肯定并且上文所述的第一系列的检验也是成功的，则设备证书被识别为有效，否则被识别为无效。
[0050]有利的是，为证书链的至少一个另外的证书提供所对应的、经数字签名的状态信息，其中所述状态信息将所述另外的证书鉴定为有效或无效并且包括限定了所述状态信息的有效期的信息。在该实施方式中，对于每个所提供的状态信息均检验是否为所述状态信息确定出的时间点处于相应的状态信息的有效期之内，以及是否所述状态信息将相应对应的证书识别为有效，并且所述设备证书仅仅在检验结果为肯定时识别为有效。
[0051]有利的是，为了有效性检验的目的，分别由证书信息服务来请求状态信息。特别有利的是，所提供的状态信息包括各个证书的存在性和有效性的肯定性证明，即通过状态信息来表明证书有效的证明有利地包括证书由经授权的机构生成的证明，其中该证明例如可由此得出，即该证书或由证书得出的信息存储于预先确定的数据库中。为了检验证书或由证书得出的信息是否存储在预先确定的数据库中，提供证书信息服务的服务器优选地可以通过通信网络与所述数据库通信。
[0052]特别有利的是，所述用于有效性检验的方法设有特别的有效性模型，其中以特定的方式为了证书链的证书和/或所对应的状态信息而确定出检验时间点。
[0053]在最简单的情况下，可以将实施设备证书的有效性检验的时间点确定为证书链的至少一个证书和/或至少一个状态信息所对应的检验时间点。
[0054]在所述检验方法的第二变化方案中安排，提供与设备证书对应的、经数字签名的时间戳，该时间戳将设备证书与一个时间点关联，其中将通过所述时间戳与设备证书关联的时间点确定为证书链的至少一个证书所对应的检验时间点。
[0055]在该第二实施变化方案中还额外检测时间戳是否能够成功地认证如果成功地认证并且上文所述的第一系列检验成功地实施，则设备证书被识别为有效，否则被识别为无效。
[0056]在该第二实施变化方案中也可以有利地为证书链的至少一个证书提供所对应的、经数字签名的状态信息，其中所述状态信息将证书鉴定为有效或无效并且包括限定了该状态信息有效期的信息。如上文已经对于第一实施变化方案所述，在该实施方式中对每个所提供的状态信息进行检验，即检验为状态信息设定的检验时间点是否处于相应的状态信息的有效期内，以及检验所述状态信息是否将将所对应的证书分别鉴定为有效，并且所述设备证书仅仅在检验结果为肯定时被识别为有效。而且，在该实施变化方案中，所提供的状态信息优选包括相应的证书的存在性和有效性的肯定性证明。
[0057]特别有利的是，还可以将通过经数字签名的时间戳与设备证书关联的时间点确定为其中至少一个状态信息的对应的检验时间点。
[0058]在所述方法的特别有利的实施方式中，将进行设备证书的有效性检验的时间点设定为所述设备证书所对应的检验时间点，并且为证书链的所有其它证书确定出通过经认证的时间戳而与设备证书关联的时间点。尤其是，将所述检验时间点仅仅与设备证书的有效期进行对比，而对于设备证书的所有其它有效性标准使用来自时间戳的时间信息，即在该实施方式中尤其是不考虑设备证书的撤销信息。
[0059]此外，可以有利地安排，将在证书链中处于在前位置的证书生成的时间点或在证书链中处于在前位置的证书的有效期开始的时间点设定为证书链的至少一个证书和/或对应于该证书的状态信息所对应的检验时间点。
[0060]对于在有效性检验中所使用的有效性模型而言，还可以安排上文所述变化方案的组合。
[0061]特别有利的是，将所述有效性模型设计为在生成设备证书的时间点能够检索所有对于设备证书的有效性检验所需的信息。这些信息尤其包括用于认证设备证书的证书链的所有证书、相应对应的状态信息以及可能需要的状态信息有效性的检验的证明。在使用时间戳的情况下，所述信息尤其还包括所有对于认证时间戳本身而所需的信息和证明。
[0062]视使用目的而定，设备证书可以具有真品证书或所有权证书的功能和/或以属性证书的形式构成，其中真品证书通常由设备制造商颁发，从而使设备所有者能够检验设备的真伪性，用于表明所有权的所有权证书由设备所有者本身颁发，并且用于证明设备的特定性能的属性证书例如用于证明在设备中集成有特定的模块，例如TPM芯片。
[0063]优选的是，所述证书链包括至少一个中间证书，所述中间证书在由证书链限定的序列中设置于设备证书与受信任的证书之间，其中所述受信任的证书优选为自签署的根证书。所述中间证书尤其用于对由设备制造商签署设备证书所用的签名秘钥进行授权，下文称作制造商认证秘钥(MAKey)。所使用的MAKey还可以结构化成多个层级，其中所述证书链因此包括多个中间证书。
[0064]例如当直接用根秘钥签署设备证书时，还可以完全省去中间证书。
[0065]上文提到的技术问题还通过一种用于生成电子设备的设备证书的系统而得以解决，其中所述系统被构造成用来实施上文所述的用于生成电子设备的设备证书的方法。与此相应地，所述系统包括生产计算机，所述生产计算机具有存储于其中的用于生成电子设备的设备证书的签名秘钥，其中所述生产计算机构造成用来在各个电子设备的存储器上进行存取。为此，所述生产计算机能够与至少一个电子设备连接，优选通过通信网络进行连接。
[0066]此外，在第一变化方案中，所述系统包括能够与生产计算机连接的数据库，在所述数据库中所述生产计算机存储生成的设备证书或由所述设备证书导出的数值，其中所述数据库构造成在响应请求时提供信息，即所请求的设备证书或由所请求的设备证书导出的数值是否存储于数据库中。
[0067]在第二变化方案中，所述系统包括能够与生产计算机连接的服务器，所述服务器提供时间戳服务，并且所述服务器响应生产计算机的请求而为了由所述生产计算机设定的设备证书生成数字签名的时间戳并且传输到生产计算机，其中所述时间戳将所述预设的设备证书与生成该时间戳的时间点关联起来。
[0068]在特别优选的实施方式中，所述系统包括两个上文所述的变化方案的特征。
[0069]所述系统还可以有利地构造成用来实施每个用于生成电子设备的设备证书的方法的上文所述的每种实施方式，并且为此可以包括其它合适的组件。
[0070]上文所提到的技术问题还通过用于检验设备证书的有效性的检验系统而得以解决，其中所述检验系统构造成用来实施上文所述的用于有效性检验的方法。与此相应地，所述检验系统包括用于借助证书链来检验存储于电子设备的存储器中的设备证书的有效性的检验设备，以及证书信息服务器，所述检验设备能够访问该服务器，以便读取所述证书链的至少一个证书的状态信息。为此，所述检验设备有利地包括以软件形式的相应的检验应用程序。
[0071]所述检验系统还可以有利地构造成用来实施上文所述的用于设备证书有效性检验的方法的每种实施方式，并且可以为此包括其它合适的组件。因此，所述检验系统例如还可以包括数据库或数据库摘录(Datenbankauszug)，所述证书信息服务器能够访问该数据库摘录以生成包括肯定性证明的状态信息。
[0072]上文提到的技术问题还通过电子设备得以解决，所述电子设备包括从该设备之外无法读取的、具有存储于该设备内的机密的存储器，以及可读取的存储器，其中在所述可读取的存储器中存储用于实施上文所述的用于设备证书的有效性检验的方法所需的信息，尤其是设备证书、所有其它对于设备证书的有效性检验所需的证书链的证书以及状态信息和/或时间戳。在此，总是取决于对于所述用于有效性检验的方法的各个实施方式所需的信息来选择存储的信息。
[0073]如果在所述电子设备中存储有所有用于实施在所述设备中存储的设备证书的有效性检验的信息，则特别有利的是可以离线进行有效性检验，即无需访问其它信息源。尤其是，还可以省去在证书信息服务器上的访问，以至于在这种情况下检验系统特别有利地仅仅包括检验设备和待检验的电子设备。
[0074]通常不需要在所述设备中存储例如构成自签署的根证书的受信任的证书，因为检验设备本身是已知该证书的。
[0075]特别有利的是，还可以通过待检验的设备自身来构成检验设备，即所述待检验的设备可以构造成用来自身实施存储的设备证书的有效性检验，并且与此相应地为此可以具有相应的检验应用程序。
[0076]还可以将对于实施上文所述的用于设备证书的有效性检验的方法所需的信息完全或部分存储于分配给所述设备的存储器中，而不是存储于所述设备的存储器中。
[0077]与此相应地，上文所述的技术问题还通过存储介质得以解决，所述存储介质被分配给电子设备，其中所述电子设备包括从所述设备之外无法读取的存储器，所述存储器具有存储于其中的机密，并且其中在所述存储介质中存储有所有对于实施上文所述的用于设备证书的有效性检验的方法所需的信息，尤其是设备证书、所有其它对于设备证书的有效性检验所需的证书链的证书，以及状态信息和/或时间戳。
[0078]所述存储介质可以例如构造成所述设备所附加的CD。然而，存储介质的每一种其它合适的形式均处于本发明的范围内。可以仅仅通过以成套的形式来提供而实现将存储介质分配给电子设备。但是，所述存储介质例如还可以相应地具有如下特征，例如在存储介质上存储或印有设备的序号。
[0079]通过本发明，以特别简单的方式自动识别出通过未授权地使对应秘钥而生成的证书为伪造。
【附图说明】
[0080]下面示例性地、依据优选的实施方式并且参考所附的附图对本发明做出更详细的描述。在此，相同的附图标记在附图中标识相同的或类似的部件。其中:
[0081]图1示出了用于生成电子设备的设备证书的示例性的系统的示意图，
[0082]图2示意性地示出了用于设备证书的有效性检验的证书链，
[0083]图3示出了示例性的检验系统的示意图，该检验系统构造成用来检验设备证书与电子设备的关联，
[0084]图4示意性地示出了在使用用于设备证书的属性证书的情况下两个分开的用于有效性检验的证书链，
[0085]图5a示出了用于生成设备证书的系统的第一优选实施方式的示意图，
[0086]图5b示意性地示出了为了对通过图5a中所示的系统生成的设备证书进行有效性检验而构造的检验系统，
[0087]图6a示出了用于生成设备证书的系统的第二优选实施方式的示意图，
[0088]图6b示意性地示出了由用在图6a中所示的系统生成的设备证书构成的用于有效性检验的检验系统，
[0089]图7a示出了用于生成设备证书的系统的第三优选实施方式的示意图，
[0090]图7b示意性地示出了为了对通过图7a中所示的系统所生成的设备证书进行有效性检验而构造的检验系统，
[0091]图8示出了在使用第一优选有效性模型的情况下证书和状态信息的有效期的示意图，
[0092]图9示出了在使用第二优选有效性模型的情况下证书和状态信息的有效期的示意图，
[0093]图10示出了在使用第三优选有效性模型的情况下证书和状态信息有效期的示意图
[0094]图1la示出了用于生成设备证书的系统的第四优选实施方式的示意图
[0095]图1lb示意性地示出了为了对通过图1la中所示的系统所生成的设备证书进行有效性检验而构造的检验系统。
【具体实施方式】
[0096]下文所述的本发明的实施方式基于以下情况，芯片制造商制造并销售可信平台模块(TPMs)，在下文中也称为TPM芯片或简称为TPM，所述可信平台模块由制造商分别用唯一的密钥对颁发，也就是由私钥部分(PRIVEK)和公钥部分(PUBEK)所组成的所谓的签注秘钥(EK) JRIVEK在TMP中生成并存储，而从不脱离于此。
[0097]设备制造商将TPM集成到其设备中。在此，设备制造商用自己的认证机构(认证机构，CA)生成公开秘钥证书形式的电子签署的证书(签注证书，EK证书)，所述证书数字签署签注秘钥的公开部分(PUBEK)。
[0098]EK证书的签名通过使用私人秘钥而生成，私人秘钥仅仅供设备制造商使用。该私人秘钥在下文中称为制造商认证秘钥(MAKey)。在生成EK证书前，设备制造商所拥有的认证机构被用于同样借助公开秘钥证书将属于MAKey的公开秘钥证明为属于设备制造商。属于MAKey的证书在下文中称为MACert。所述证书在认证机构的所谓中间证书的层级(中间CA证书，次级CA证书)中使用。在必要时，设备制造商在制造过程中使用多个私人秘钥，例如MAKeyl、MAKey2、MAKey3等。对于每个私人秘钥而言存在相应的证书，MACertl、MACert2、MACert3等。所有这些证书直接或间接地通过制造商的认证机构来证明，例如通过使用认证机构的根秘钥，在下文中称为制造商信任锚秘钥，简称MTAKey，以便数字签署这些证书。所述根秘钥借助自签署的根证书(下文称为制造商信任锚秘钥，简称MTACert)来证明并且由制造商公开。
[0099]对于该过程，在图1中示例性示出了设备制造商的基础结构。在生产工位200上使用秘钥MAKeyl和证书MACertl，其中所述秘钥和证书存储于存储器210中。所述证书由在图1中未示出的、私人认证机构颁发，该私人认证机构现在关闭(abgeschaltet)。在生产工位200示例性地将设备101、102和103初始化，这些设备已经装配在一起并且分别包含TPMl 11、112或者113，它们又分别包含个人EK。对于TPM的PUBEK，在生产工位200上借助软件应用程序通过如下方式生成设备证书(EKCertl、EKCert2、…用MAKeyl签署所述设备证书。设备证书在所示实施例中与MACertl —起存储于设备101、102或者103的永久存储器中。为此，通过通信网络将生产工位200与设备101、102和103连接起来，其中优选可以同时将多个设备连到所述通信网络上。作为将设备证书和证书MACertl存储于设备101、102或者103的存储器中的替代方案，还可以将这些数据存储于存储介质，例如光盘(CD)上，这些数据可以与所述设备对应，例如附属于所述设备。由于原则上仅仅需要以能够对应于所述设备的方式可调取地提供所述数据，还可以例如借助目录服务提供所述数据，在需要时可以从所述目录服务调取所述数据。然而，每一种其它合适的方式均可以用于提供数据。
[0100]在所示的实施例中，所生成的设备证书还存储于制造商数据库300中，生产工位200能够在该数据库上进行存取。在此，生产工位200与制造商数据库300之间的连接可以通过相同的或另外的通信网络实现或者也可以通过直接连接实现。
[0101]然后，设备所有者例如在购入设备之后使用由生产商公布的来自根证书(MTACert)的根秘钥来电子检验设备的真伪性。常用的方法是例如设备所有者使用软件工具，该软件工具认知MTACert并且通过与该设备的通信途径从该设备获得相应的EK证书(EKCertl、EKCert2、…)以及所有相关的中间证书，例如MACertl。然后，软件工具检验由设备证书(EK证书)直至根证书(MTACer t)的认证路径，下文也称为证书链，该检验通过验证该路径，尤其是根据RFC 5280来进行。由此仅仅确定了EK证书的真实性，其受限于的前提是直至检验时间点都没有任何其中一个生产商所用的私人秘钥(MTAKey和MAKey1、MAKey2、MAKey3、...)在未授权的情况下被使用。
[0102]认证路径的实施例在图2中示出。与此相应地，所述证书链包括称为EKCertI的设备证书630、称为MACertl的中间证书620和称为MTACert的根证书610。
[0103]设备证书630包括证书信息530和签名430，所述签名通过签名过程400生成，在所述签名过程中用称为MAKeyl_PRIV的私人秘钥525将证书信息530加密。作为替代，签名过程400还可以设置为，不对证书信息530进行数字签名，而是用称为MAKey 1_PRIV的私人秘钥525对由证书信息530形成的密码校验和、例如证书信息530的散列值进行加密。
[0104]设备证书630的证书信息530包括公开秘钥EK1_PUB。此外，证书信息530还包括其它信息，例如设备证书630的有效期的信息、证书颁发者的认证信息，公开秘钥EK1_PUB的所有者的信息、关于该设备证书630的颁布的规定和方法的信息和/或公开秘钥EK1_PUB的许可的应用领域和适用范围。
[0105]中间证书620包括证书信息520和签名420，所述签名通过签名过程400生成，在该签名过程中用称为MTAKey_PRIV的私人秘钥515对证书信息520或由证书信息520形成的密码校验和进行加密。中间证书620的证书信息520至少包括公开秘钥MAKey 1_PUB，以及必要时与上文关于证书信息530所述的信息类似的其它信息。
[0106]根证书610包括证书信息510和数字签名410。根证书610是自签名的，也就是数字签名通过签名过程400生成，在所述签名过程中用MTAKey_PRIV对证书信息510或由证书信息510形成的密码校验和进行加密。根证书610的证书信息510至少包括公开秘钥MTAKey_PUB，以及必要时与上文所述的证书信息530和520类似的其它信息。
[0107]如图3中所示，所述软件工具在下个步骤中确保EK证书EKCertl也确实属于当前的设备101。为此，可以使用不同的方法。例如，例如安装在检验计算机700中的所述软件工具通过通信通道要求设备101借助在TPM 111中存储的、在所示的实施例中称为EK 1_PRIV的私人秘钥PRIVEK对由软件工具生成的随机数z签名。这在技术上意味着随机数z或者取决于z所形成的数值借助PRIVEK进行加密。取决于随机数z所形成的数值例如可以是z的密码校验和或者是由z和其它信息组成的密码校验和，其中密码校验和例如是散列值，并且其中所述附加的信息在设备侧是已知的并且必要时也可以是公开已知的。只要设备101将签名S传回，所述软件工具通过如下方式检验该签名:借助在所示实施例中称为EK1_PUB的、包含于EK证书EKCertl中的公开秘钥PUBEK将来自签名S的随机数z或者由z所形成的密码校验和解密，并且将其与原始的随机数z或者与取决于该原始的随机数z所形成的密码校验和进行比较。为此，在所示的实施例中将存储于存储器121中的证书EKCertl和MACert与签名S—起从设备101传输到检验计算机700。证书MTACert通常已经存储于检验计算机700的存储器710中。
[0108]根据TPM芯片的规范，PRIVEK无法从TPM 111中提取并且是全球唯一的。因此，在已经提到的限制条件下并且只要不从设备101中去除TPM芯片111并将其集成到其它设备中，则采用所述方法确定设备101的真伪性。
[0109]TPM芯片的制造商经常总是在芯片的生产过程中就已经生成EK证书。也就是说，在这种情况下，EK和EK证书在TPM芯片的制造商处生成。与上文所述情况的区别在于，在两处需要认证机构来证明真伪性。在TPM芯片的制造商处需要认证机构而另外在设备制造商处也需要。此外，在设备制造商处可不颁发公开秘钥证书。替代性地，设备制造商颁发用于已有的EK证书的属性证书，设备制造商采用该证书证明特定的TPM安装于特定的设备中。属性证书称为平台EK证书。
[0110]对于后来的设备所有者的额外好处在于，分开核验TPM芯片的真伪性和设备的真伪性。在此，需要两个根证书并检验两个证书链，但仅仅核验一个签名。这两个证书链在图4中示出。在那里，基于例如以证书编号连同密码散列值的形式的关联(Referenz)存在不具有EKl的公钥部分EK1_PUB的平台EK证书与具有EKl的公钥部分EK1_PUB的EKCertl之间的联系，所述散列值通过EKCertl的内容算出并且包含于平台EK证书中。在图4的左侧所示的、用于验证由TPM制造商生成的EK证书EKCert I的证书链相应于在图2中所示的证书链。借助散列函数450由EKCertl生成的散列值530'形成平台EK证书630'的证书信息，所述证书还包括签名430'。类似于图2中所示的证书链地形成平台EK证书630'以及包括证书信息520'或者510'以及签名420'或者410'的另外的证书620'和610'。
[0111]特定的设备即使在不具有TPM芯片时也能够安全地保存私人秘钥。在这些情况下而且在具有TPM的设备的情况下存在这样的可能性，即在设备的制造期间分别生成新的机密并且由制造商给其配备设备证书。例如，可以代替签注密钥(EK)或除签注秘钥(EK)之外还生成新的非对称密钥对，并且如上文所述那样通过制造商的证书来证明公开秘钥。如果存在TPM，则还可以加密地将该新的秘钥对与TPM相关联。在这两种情况下均存在如上文所述的证书链。制造商颁发公钥证书。然而，在该变化方案中所述公钥证书与在他处生成的公开秘钥是无关的。尤其是，所述公钥证书不具有与由TPM制造商生成的EK的公钥部分的联系。该独立性可以看作是优点。然而，设备制造商因此则要为秘钥对的唯一性负责。
[0112]在使用PKIX方法时，相关的有效期示例性地在图8中示出。通常，根证书具有数年的非常长的有效期810。对于PKIX方法而言，根证书的有效期包括所有从属证书的有效期。
[0113]因此，在图8中所示的证书MTACert的有效期810还包括证书MACertl和EKCertl的有效期，MACert I的有效期以附图标记820表示而EKCert I的有效期以附图标记830表示。对于次级CA证书而言同样有效的是其有效期包括所有相关证书的有效期。与此相应地，在图8中MACertl的有效性包括EKCertl的有效性。
[0114]只要在时间点t0校验由MTACert、MTACertl和EKCertl组成的证书链的有效性，则根据PKIX时间点to必须处于所有证书的有效期之内。如果考虑到撤销信息，时间点to同样必须处于它们的有效期之内。图8示出，对于所有直接与根证书MTACert相关的证书，在此例如为MACertl，在检验方法进行期间检索撤销列表(证书吊销列表，CRL)。该撤销列表可以根据PKIX例如用属于MTACert的MTAKey签署。由于根机构的秘钥通常极少使用而是还安全地保存于运行的操作(operative Betrieb)之外，由根机构发布的撤销列表在实际操作中经常具有相对长的有效期815，例如数天。对于所有其它证书而言，通常分别由颁发的机构例如通过数据量相对少的OCSP来对于该证书进行单独的撤销信息，。其有效期825较短，例如为一小时。
[0115]最初，证书链的检验并非设计用于证书的长期核验。在连接建立时为了对通信伙伴的身份进行Ad-hoc核验而优化检验方法。因此，对于设备证书而言，在不做进一步改进的情况下所述检验方法不再是适合的，因为特别是在工业领域难以预见到设备的最大寿命并且针对于通常为长期的时间段使用足够强的并因此耐久的密码算法，这些算法得到常规编程(Imp I ement i erung)的支持。此外，根据PKIX标准，例如具有剩余3年有效期的根证书或次级CA证书是不适合于颁发与该证书相关的、还具有5年有效期的证书的，因为相关证书的有效期必须处于高层级证书的有效期之内。
[0116]与此相应地，不同于PKIX标准，本发明尤其设置为，状态信息必须带来肯定性的证明和/或证书仅仅在颁发并由此要检验的签名的时间点时必须已经是有效的。第二点实现了证书的有效期不必处于颁发者的证书的有效期内，而是可以更长。
[0117]在理想的情况下，通过本发明应当自动将在非授权使用相应的签名秘钥的情况下所生成的证书识别为伪造。
[0118]有意或无意的误用制造商认证秘钥(MAKey)，如在上文所述的那些，对于设备制造商而言是相对高的风险。因为MAkey通常在具有复杂IT网络的大型生产车间中使用。虽然MAKey可以借助于更安全的签名生成单元如所谓的Crypto-Tokens或Smart-Cards得到安全保存，以至于以可以忽略的残存可能性而并不可能对私钥部分进行复制。尽管如此依然存在秘钥在未授权的情况下被使用的风险。尤其是在权限所有者的直接控制之外进行的订单生产时要自担过量生产和这些商品的销售的实际风险。存在由生意流失entgangenesgeschaeft带来损失的风险。如果假冒品(Plagiate)具有较低的质量，贝Ij产生额外的由产品责任案件的可能性提高而带来形象损害的风险。
[0119]本发明提供了一种针对于用于生成设备证书的签名秘钥遭到破坏的情况的低成本的预防措施，所述签名秘钥例如为MAKey 1、MAKey 2、MAKey 3等。
[0120]尤其是，假冒品在没有合法的设备制造商或权限所有者的特别措施的情况下得以识别，即使配备有滥用正确的签名秘钥而生成的设备证书。
[0121]尤其是在工业领域还存在滥用如上文所述的设备所有者签注秘钥(DOAKey)的风险。因为在多个工业场所使用多个设备，使得必须以相对高的频率将更换设备投入使用或添加新的更换设备。相应地，为了实际应用，必须能够在现场为设备提供设备证书并且因此使得一些DOAKey处于无法始终极度小心对其使用进行监控的现场应用情况中。
[0122]本发明同样为该应用领域提供了针对于用于生成设备证书的签名秘钥遭到破坏的情况的低成本的预防措施，所述签名秘钥例如为D0AKeyl、D0AKey2、D0AKey3等。
[0123]尤其是，设备所有者在没有特别措施的情况下识别出，设备处于其所有状态，所述设备的设备证书在未经设备所有者同意的情况下生成，也就是例如通过误用正确的签名秘钥而生成。对于入侵者而言，所期望的是将受恶意操控的设备混入到所有者所拥有的设备保有量中。如果这样的设备不被识别出来，对于他们而言则更有利。
[0124]尤其是，本发明设有如下变化方案:
[0125]1.为了根据PKIX标准的检测方法扩展出对于设备证书的状态信息的要求，其中所述状态信息包含对于设备证书的存在性和有效性的肯定性证明。
[0126]2.应用设备证书的特别的有效性模型，其中省去了在设备证书的状态信息中对于肯定性证明的要求。作为替代将电子时间戳用作设备证书，所述电子时间戳记录设备证书的颁发时间点并且由另外的签名秘钥签署。
[0127]3.设备证书与存在证明和时间戳一起生成并且使用特别的有效性模型。因此，这种变化方案是前二种变化方案的组合。
[0128]尤其是对于第二和第三种变化方案而言，本发明还以特别的优点而设置为，即实现了在不必检索证书的其它状态信息的情况下对设备证书进行检验，并因此实现了不依赖于通信网络进行检验。
[0129]下文所述的本发明的变化方案基于根据PKIX标准的设备证书的检验与额外的关于设备证书是否存在的证书查询信息的要求的组合。
[0130]可用于这种变化方案的用于生成设备证书的系统示例性地在图5a中示出，并且相应的供设备所有者使用的用于有效性检验的系统在图5b中示例性地示出。
[0131]用于生成设备证书的、并与相应的用于检验如此生成的设备证书的有效性的方法相结合的方法示例性地包括如下步骤:
[0132]1.设备制造商生产出设备101、102和103并且在此借助MAKey，在所示的实施例中为MAKeyl，为每个设备签署设备证书。在此，设备证书的签署如上文所述那样进行。
[0133]2.在生产和测试之后，对于生产出的这个批次的设备而言，将所有设备证书存储于制造商的设备数据库300中。在此，尽可能由独立的机构进行检验，生产出的设备的数目是否与生产订单相符，并且只有数目相符，设备证书才被所述数据库所接纳。
[ΟΙ34] 3.自动控制装置(Automatismus)选择性地生成来自数据库300的摘录310，在该摘录中基本上仅仅包含设备证书。该摘录通过常规的数据安全措施来保护。所述摘录用作证书信息服务350的依据，制造商能够以公开访问的方式运行该证书信息服务，而设备所有者需要该证书信息服务来检验设备证书。
[0135]4.这个批次的设备101、102和103通过如下方式发售，例如将他们转运到制造商的货仓中。
[0136]5.个人例如通过向生产商订货并使其配送而接收到设备101。该个人由此成为设备所有者。
[0137]6.所述设备所有者检验设备101的证书链，并且对于采用由制造商记载的方法通过将证书MTACert用作信任锚而进行的EK证书与设备101的关联进行检验。该步骤在上文中有详细描述。为此，所述设备所有者使用例如软件工具，该软件工具认知MTACert或者设备所有者使得MTACert为该软件工具所知。所述软件工具可以例如由设备制造商提供。
[0138]7.设备所有者根据由设备制造商记载的方法在设备制造商的信息服务350中检索设备证书的存在证明，例如借助软件工具通过OCSP协议。信息服务350在来自于设备数据库300的摘录310中查询该证书或直接在设备数据库300中查询该证书并且提供所期望的查询?目息O
[0139]因此，对于来自于设备数据库300的摘录310的使用是选择性的。有利的是使用这样的摘录310，使得公开服务不必直接访问企业内部数据库300并且使得对于该服务的访问不直接对数据库300造成负荷。
[0140]在选择设备所有者之后的时间点实施并且任意重复步骤6和7。
[0141]在观察假定的、滥用正确的MAKeyl来用于生成伪造的设备证书时，上文所述方法的效果是显著的。所述伪造的设备证书并未在步骤2中引入到数据库300中，这是例如因为在与生产订单比较时发现差异或者因为MAKeyl的滥用在不具备在数据库300上存取的可能性的情况下发生，例如在生产设施之外。在步骤7中，伪造的设备证书的存在证明得出否定结果，并且使设备所有者识别出假冒品。因此，所述方法的效果尤其通过步骤2和7而得以实现。
[0142]如果MAKeyl未被盗用或复制，而是偶尔且未被发现地误用，则所述方法也提供保护。
[0143]在下文中描述上述方法的变化方案，如果设备由产权所有者的承托方生产，该方法是特别合适的。
[0144]在图6a中示例性地示出了可用于生成设备证书的系统的变化方案，以及在图6b中示例性地示出了设备所有者使用的有效性检验的相应系统。
[0145]用于生成设备证书的相应方法与用于检验这样生成的设备证书的有效性的相应方法的组合示例性地包括下列步骤:
[0146] 1.承托方受托为产权所有者或者制造商制造一个批次的设备101、102和103。在生产工位200借助由生产商提供的MAKeyl和所属的MACertl为每个设备101、102和103颁发设备证书。
[0147]2.承托方维护具有所有由该承托方生产的设备101、102和103的EK证书的部分数据库300。
[0148]3.承托方为每个批次的设备生成来自于数据库300的摘录310,在该摘录中包含有设备证书。
[0149]4.承托方将这些摘录提供给制造商。[〇15〇]5.制造商通过如下方式检查所述摘录:制造商借助检查系统320将所述摘录与由制造商给出的生产订单进行比较。例如，制造商仅仅在所申报的设备的数量与订单相符时才接纳摘录310。只有在这种情况下，制造商将设备证书和可能的其它信息添加到其数据库 330〇
[0151]6.选择性地，制造商生成来自其设备数据库的摘录340以用于信息服务350的用途，制造商为了其设备证书而运行该信息服务。
[0152]7.所述批次的新生产的设备在所述检查之后由制造商发售，例如通过将所述设备由接收到承托方的货仓中。
[0153]8.个人例如通过向制造商订货以及通过由承托方的配送而收到该设备101。由此， 该个人成为设备所有者。
[0154]9.如上文所述，所述设备所有者通过检验设备证书以及检验EK证书与设备101的关联来检验设备101的真伪性。
[0155] 10.所述设备所有者在制造商处检索设备证书的存在证明，如上文所述。在此，方法的可靠性类似于前文所述的变化方案，尤其是在步骤5和10中。对于所述方法的变化方案而言至关重要的是，在将所述设备证书添加到制造商的数据库330之前，由作为委托方的制造商对于设备证书数目进行检查，因为由此避免了未授权的设备过量生产。由此，设备所有者正是在制造商所进行控制的同一信息服务350中检索存在证明。例如，用于检索存在证明的方法在设备的归档文件中相应地明确描述，或者所述用于检验设备证书的软件工具来自制造商并且仅仅使用制造商的信息服务350。[〇156]上文所述的用于真品证书的存在证明的方法也可以类似地用于所有权证书，其中还设有如下所述的修改:
[0157]?设备所有者不生产设备，而是仅仅通过用所有权证书做出标识将所述设备个人化。
[0158]?并非设备制造商或承托方，而是设备所有者借助如上文所述的DOAKey生成设备证书。
[0159]?并非设备制造商或承托方，而是设备所有者维护具有设备证书的设备数据库。[〇16〇]?并非设备制造商，而是设备所有者运营用于设备证书的存在证明的证书信息服务。
[0161]?并非设备制造商，而是设备所有者通过其DOTACert提供作为信任锚的根证书。
[0162]也就是说，设备所有者通过其组织机构内严格遵照所述步骤而对该方法的强度做出贡献。为了所述方法的效果还可以设置为，将在设备证书引入设备数据库前的检查与借助DOAKey颁发设备证书的步骤分开。尤其是，DOAKey并非用做是否将证书添加到数据库中的许可标准。
[0163]在本发明的其它变化方案中设有特殊的有效性模型与在特定的时间点前生成证书的证明的组合。该证明称为时间戳，其中电子时间戳的可能的格式例如描述于“RFC 3161 Internet X.509 Public Key Infrastructure Time-Stamp Protocol(TSP)”，因特网工程任务组(IETF)，2001。在该示例性的格式中，现存文档的散列值与日期和时间一起由可信机构电子签署。
[0164]本发明变化方案与上文所述的存在证明的区别在于两点:
[0165]1.时间戳在生成设备证书的时间点或在生成设备证书不久后生成，而存在证明在检验设备证书的时间点生成。存在证明并非是必需的。撤销信息是足够的。
[0166]2.设备证书的颁发者(次级CA证书)的证书的有效性检验不在检验设备证书的时间点进行，而是在在颁发设备证书的时间点进行。
[0167]由于这些区别，可以通过应用所述方法而仅仅将在撤销次级CA证书之后使用正确的秘钥生成的这样的设备证书识别为伪造。例如在发现这种秘钥遭到破坏之后进行撤销。 也就是说，所述方法使得经济损失能够受到限制但并不能完全避免经济损失。为此，其应用同样比使用存在证明成本更低。
[0168]本发明的该变化方案在下文中有更详尽的描述。在下面对方法的描述中，生产车间、制造商和客户这些名称相当于占位符(Platzhalter)。制造商是依据其订单而制造的设备的财产权的所有者。制造商或者控制生产车间并且由此自行生产，或者生产车间属于依据制造商的订单生产设备的承托方。客户是占有设备的个人。在此，所述设备是否直接从制造商购得是无关紧要的。
[0169]可用于该变化方案的、用于生成设备证书的系统示例性地示于图7a中，设备所有者使用的相应的用于有效性检验的系统示例性地示于图7b中。[〇17〇]用于生成设备证书的相应的方法与用于检验这样生成的设备证书的有效性的相应的方法的组合示例性地包括下列步骤:
[0171]1.制造商指示生产车间生产一定数目的设备101、102和103。可选地，制造商例如通过使用企业资源规划系统(ERP-System)的情况下将生产订单存储于订单数据库370。
[0172]2.在生产工位制造一个批次的设备101、102和103。
[0173]3.在此，为每个设备生成单独的设备证书，为此在生产工位200提供MAKey，在所示的实例中提供MAKeyl。[〇174]4.在时间戳服务360中为每个所生成的设备证书或为一个批次的所有设备证书一起请求时间戳。为此，时间戳服务360可以由制造商本身来运行或者由其它可信任的机构来运行。
[0175]5.选择性地，时间戳服务检验在制造商的订单数据库370中是否存在足够的生产订单。
[0176]6.时间戳服务360生成时间戳。为每个设备101、102和103附上与设备证书对应的时间戳的副本。例如，在设备中在设备证书附近，将时间戳存储于存储器121、122或者123中。
[0177]7.发售设备101、102或者103，例如通过将所述设备转运到货仓中。
[0178]8.个人购置了设备101并且由此成为设备所有者。
[0179]9.所述设备所有者采用由制造商证明的方法通过使用证书MTACert作为信任锚来检验设备101的证书链，并检验EK证书与设备101的关联。该步骤在上文中有详细描述。通过特定的有效性模型在使用来自属于设备证书的时间戳的信息的情况下进行证书链的检验， 如在下文中进一步详述的那样进行。[〇18〇]为此，设备所有者使用例如软件工具，所述软件工具认知MTACert或者设备所有者使得MTACert为该软件工具所知。例如设备制造商可以提供所述软件工具。
[0181]在上文所述的步骤9中提到的、用于检验证书链的特别的有效性模型在图9中示出并且在下文中进行描述。在图9中示出由仅仅三个证书组成的证书链的有效期910、920和 930，但原则上可以设置任意数目的中间证书(次级CA证书)。
[0182]所述特别的有效性模型设有如下步骤:
[0183]9.1首先，属于设备证书的时间戳按照所述证书的颁发者的规则核验有效性，并核验时间戳与设备证书的关联。
[0184]9.2设备证书的检验的时间点t0必须处于设备证书的有效期930之内。
[0185]9.3时间戳的发布的时间点tl，如在时间戳中所给出的时间点那样，必须处于证书链的所有证书的有效期之内并且在to之前。
[0186]9.4对于所述证书链的每个中间证书必须存在撤销信息，所述撤销信息在时间点 tl有效，也就是tl必须处于撤销信息的有效期915之内。所述撤销信息不需要证实相应证书的存在信息，但撤销信息必须证明相应的证书在时间点tl未被撤销。也就是能够接受证书在tl之后的时间点被撤销。为此，相应负责的认证服务必须遵循撤销政策，在所述政策中撤销仅仅能够以从当前时间点起的有效性而实施，但绝不可以再次取消。
[0187]上文所述的有效性模型有效地表明，设备证书长时间地被验证为有效，直至总是首先发生的、有效期930或对应的时间戳的有效期结束。这两个有效期应当由设备制造商优选调整至所述设备的所期待的使用期限并且所述期待的期限与在证书中和在时间戳中所使用的算法的耐久性相协调。
[0188]为了上文最后所述的方法的足够的可靠性，设置满足下列条件:
[0189]a)只要发现或推测到未经授权地使用秘钥来生成设备证书，则从这一时间点起不可取消地将具有效力的对应的次级CA证书撤销。这必须由对应的认证服务的操作者和秘钥的合法使用者来保证。
[0190]b)时间戳服务总是生成仅仅用于当前有效时间的时间戳。这通过每个可靠的时间戳服务来保证。
[0191] c)时间戳服务不允许为了发布时间戳而使用也用于颁发设备证书的密钥。
[0192] d)撤销信息服务不允许为了发布查询信息而使用也用于发出设备证书的秘钥。
[0193]假定没有未经授权者能够发布有效的时间戳，则未经授权者最多能够成功地伪造所述设备证书直到设备证书被发现未经授权地颁发。因此，只要一旦察觉到未经授权者，就经济损失能得以限制。
[0194]用于生成和检验真品证书的方法如上文中最后描述的那样，可以与所有权证书类似地来使用，其中安排如下修改:
[0195]?设备所有者并不生产设备，而是仅仅通过用所有权证书进行标识来将所述设备个人化。
[0196]?并非生产车间生成设备证书，而是设备所有者借助DOAKey如上文在段落3.2中那样来生成设备证书。
[0197]?并非生产车间请求时间戳，而是设备所有者。
[0198]?时间戳服务并非由设备制造商来选择，而是由设备所有者来选择。
[0199]?并非设备制造商，而是设备所有者运作用于设备证书的证书链的中间证书(次级CA证书)的撤销信息服务。
[0200]?并非设备制造者提供根证书作为信任锚，而是设备所有者通过其DOTACert来提供。
[0201]由上文对有效性模型的描述可见，所有要检索的撤销信息必须仅仅对于生成时间戳的时间点tl是有效的。这也适用于重复检验设备证书的较晚的时间点。也就是可以一次检索所有的状态信息并且在之后再次使用这些状态信息。设备制造商可以为由其颁发的真品证书附加这些状态信息。设备所有者可以对由其颁发的所有权证书进行类似处理。这种扩展使得能够在不接入通信网络的情况下进行之后设备证书检验，即离线进行设备证书检验。对于下文所述的其它本发明变化方案，这种扩展在下面还有更详细的但完全类似的描述。[〇2〇2]在下文所述的其它本发明变化方案中安排，将设备证书与用于证明其颁发时间点的时间戳组合，以及另外借助有效性模型来检验设备证书，该有效性模型为了除根证书之外的证书规定存在证明。[〇2〇3]这基本上相当于上文已经描述的本发明变化方案的组合，其中尤其有利的是通过在生成设备证书时特定的防护措施，使得之后进行的设备证书的检验在无需进一步检索状态信息的条件下进行。
[0204]每种所需的附加信息可以与设备一同提供或者保存于该设备中或该设备处。尤其是由此可以不依赖于对于通信网络(如互联网)的访问地进行所述检验，也就是离线进行所述检验。[〇2〇5]与设备证书是以真品证书的形式还是以所有权证书的形式生成无关，用于生成设备证书的方法和用于检验所述设备证书真实性的方法参考图10而设置为，对于每种设备证书进行如下步骤或者适用如下步骤:
[0206] 1.在生成设备证书之后并且在所述设备证书的第一次检验之前，为设备证书生成时间戳。必要时为一定数量的设备证书生成时间戳，例如为一个批次的设备生成时间戳。
[0207]2.在每次检验设备证书的有效性时，对如下条件进行检验:[〇2〇8]2.1必须对设备证书与秘钥的关联进行证明。[〇2〇9]2.2必须能够从设备证书到可信任的根证书构造出证书链。[〇21〇]2.3进行检验的时间点t0必须处于设备证书的有效期960之内。
[0211]2.4设备证书的时间戳必须按照生成者的规定进行有效性检验。这尤其包括了对时间戳与设备证书的关联的检验。
[0212]2.5生成时间戳的时间点tl，如在时间戳中所述的那样，必须处于设备证书的有效期960之内并且处于时间点t0之前。
[0213]2.6设备证书的状况信息必须存在，必须对于时间点tl是有效的，也就是tl必须处于有效期955之内，并且对于该时间点证明，[〇214]2.6.1设备证书由合法机构颁发，即提供存在证明，例如因为设备证书记录在颁发者的数据库中，和
[0215]2.6.2在时间点tl不撤销设备证书。
[0216]2.7对于证书链的每个中间证书(每个次级CA证书)必须适用的是，[〇217]2.7.1在所述链中与颁发时间点直接相关的证书的颁发时间点tN(例如其有效期的开始时间)，处于中间证书的有效期950之内，其中这在所示实施例中是设备证书的颁发时间点t2，
[0218]2.7.2对于中间证书存在对于时间点tN有效的状态信息，该状态信息证明中间证书的存在(存在证明)并且，所述中间证书在时间点tN有效，也就是在所示实施例中t2处于中间证书的状态信息的有效期945内。
[0219]2.8直接与根证书关联的中间证书的颁发时间点t3必须处于根证书的有效期940 之内。
[0220]在上文第2点所述的有效性模型在图10中图解说明。在那里所示的有效期基于由3 个证书组成的证书链。然而，所述的方法同样可用于具有更多个中间证书(次级CA证书)的证书链。[〇221]所述方法的安全性在于，能够从缺少时间戳、缺少存在证明和/或在秘钥发布的证书撤销之后的颁发时间点的时间戳这些方面来识别出由未经授权的机构颁发的设备证书。
[0222]为此有利地设置为，满足下列条件:
[0223]a)只要发现或推测到未经授权地使用秘钥来生成设备证书，则从这一时间点起将具有效力的相应的次级CA证书不可取消地撤销。这必须由相应的认证服务的运营者和秘钥的合法使用者来保证。
[0224]b)时间戳服务总是仅仅生成用于当前有效时间的时间戳。这通过每个可靠的时间戳服务来保证。
[0225]c)时间戳服务不允许为了发布时间戳而使用也用于发布设备证书的秘钥。[〇226] d)用于为链的证书建立撤销信息和存在证明的状态信息服务不允许为此目的使用也用于发布设备证书的秘钥。
[0227]由对上文的有效性模型的描述可见，在生成时间戳的时间点tl可以检索所有额外用于设备证书的所需信息。这也涉及对于检验时间戳本身而言必要的查询信息和证明。这些信息可以附加到设备证书中。所述信息就不再需要在随后的检验期间重新进行检索。而是可以借助该信息随时重新实施所述检验。
[0228]在下文中示例性地参考图11a和lib描述用于收集信息的方法，以便弄清哪个信息来自哪里。在下面的对方法的描述中，生产车间、制造商和客户这些名称相当于占位符。制造商是依据其订单而制造的设备的财产权的所有者。制造商或者控制生产车间并且由此自行生产，或者生产车间属于依据制造商的订单生产设备的承托方。客户是占有设备的个人。 在此，所述设备是否直接从制造商购得是无关紧要的。
[0229]在本发明的实施变化方案中，用于生成设备证书的方法与用于检验如此生成的设备证书的有效性的相应方法的组合包括例如如下步骤:
[0230]1.制造商指示生产车间生产一定数目的设备101、102和103。可选地，制造商将生产订单存储于在图11a中未示出的订单数据库中，例如该制造商的企业资源规划系统(ERP-System)〇
[0231]2.在生产工位制造一个批次的设备。
[0232]3.在此，为每个设备101、102或者103生成单独的设备证书，为此在生产工位200上提供MAKeyl。生产车间将一个批次的设备证书发送给制造商，例如通过使用承托方的部分数据库300和由该数据库生成的数据库摘录310。
[0233]4.在制造商处例如通过与订单数据库的比较来检验列表。在检验为肯定的情况下，将设备证书存储于制造商的数据库330中。
[0234]5.在时间戳服务370中为每个所生成的设备证书请求时间戳或为一个批次的所有设备证书一起请求时间戳。为此，时间戳服务可以由制造商本身来运行或者由其它可信任的机构来运行。此外，为每个设备证书或为一个批次的所有设备证书检索具有存在证明和撤销信息的状态信息。该状态信息来自制造商。所述状态信息服务370在提供信息之前依据数据库330或其摘录对设备的存在与否进行核验。将时间戳和状态信息附加给设备101、102 或103或者甚至存储于这些设备中，例如存储于存储器121、122或123中。
[0235]6.发售设备，例如通过将所述设备转运到货仓中。
[0236]7.个人购置了设备101并且由此成为设备所有者。
[0237]8.所述设备所有者采用由制造商记载的方法通过使用证书MTACert作为信任锚检验设备的证书链，并检验EK证书与设备101的关联。通过特定的有效性模型如上文所述的那样进行所述证书链的检验。在此，使用已经存在的状态信息和时间戳。为此，所述设备所有者使用例如软件工具，该软件工具识别MTACert或者设备所有者使得MTACert为该软件工具所知。所述软件工具可以例如供设备制造商使用。如在图lib中所示，因此为了检验仅仅需要由检验计算机700访问设备101，而并不需要访问到其它信息源。[〇238]类似地进行所有权证书的证明的收集，其中设置了如下修改:
[0239]?设备所有者并不生产设备，而是仅仅通过用所有权证书进行标识来将所述设备个人化。[〇24〇]?并非生产车间生成设备证书，而是设备所有者借助DOAKey如上文所述那样来生成设备证书。
[0241]?并非生产车间请求时间戳和状态信息，而是设备所有者。
[0242]?时间戳服务并非由设备制造商来选择，而是由设备所有者来选择。
[0243]?并非设备制造商，而是设备所有者运行用于设备证书的证书链的中间证书(次级CA证书)的撤销信息服务。[〇244]?并非设备制造商提供根证书作为信任锚，而是设备所有者通过其DOTACert来提供。
【主权项】
1.一种用于生成电子设备(101-103)的设备证书(630)的方法，该方法包括以下步骤: -提供电子设备(101-103)，所述电子设备具有在该设备中存储的、从该设备外部不能读取的机密， -生成设备证书(630)，该设备证书的证书信息(530)加密地与所述机密相关联，其中所述设备证书(630)包括用签名秘钥(525)生成的数字签名(430)并且能够借助证书链(610、620、630)进行验证，其中所述证书链是以设备证书(630)为起始的、至少两个证书的序列，其中所述证书链中的每个证书(610、620、630)均包括限定相应证书的有效期的信息，并且其中除设备证书(630)以外的证书链中的每个证书(610、620)均包括证书信息(510、520)，采用所述证书信息能够验证分别在所述序列中处于在前位置的证书，以及 -生成确认信息，所述确认信息证实设备证书(630)由经过授权的机构生成 和/或 -生成经数字签名的时间戳，所述时间戳将设备证书与生成时间戳的时间点关联起来。2.根据权利要求1的方法，该方法还包括如下步骤: -作为对确认信息的响应提供设备证书(630)的经数字签名的状态信息，所述状态信息包括设备证书(630)由经授权的机构生成的证明。3.根据权利要求2的方法，该方法还包括如下步骤: -提供证书链的至少一个另外的证书的经数字签名的状态信息，该证书包括关于所述另外的证书由经授权的机构生成的证明。4.根据前述权利要求中任一项的方法，其中以能够与所述设备对应的方式能够调取地进行所生成的设备证书(630)和/或证书链的至少一个另外的证书和/或经数字签名的时间戳和/或至少一个经数字签名的状态信息的提供，尤其是通过存储在能够读取的存储器(121-123)或通过存储在分配给电子设备(101-103)或布置在电子设备(101-103)中的存储介质的方式，或通过借助目录服务的提供方式。5.根据前述权利要求中任一项的方法，其中 -所述数字签名的时间戳由提供时间戳服务的服务器(360、370)在应答生成时间戳的请求时生成， -为所生成的时间戳进行计数，以及 -只要不超过预设的所生成的时间戳数目的上限，服务器(360、370)就一直生成时间戳。6.根据前述权利要求中任一项的方法，其中为了生成设备证书(630)的数字签名(430)和时间戳的数字签名，使用不同的签名秘钥。7.根据前述权利要求中任一项的方法，其中为了生成设备证书的数字签名和状态信息的数字签名，使用不同的签名秘钥。8.根据前述权利要求中任一项的方法，该方法还包括如下步骤: -识别出用于签署证书链的第一证书(630)的签名秘钥(525)的未经授权的使用，以及 -生成在证书链中跟随第一证书(630)的证书(620)的数字签名的状态信息，其中所述状态信息包括撤销信息，该撤销信息在从识别出未经授权使用的时间点起的检验时间点将在证书链中跟随第一证书(630)之后的证书(620)鉴定为无效。9.根据前述权利要求中任一项的方法，其中所述机密是非对称密钥对的私钥部分。10.根据前述权利要求中任一项的方法，其中在设备(101-103)的芯片(111-113)中存储有所述机密。11.一种用于检验设备证书(630)的有效性、尤其是根据权利要求1至10中任一项的方法生成的设备证书(630)的有效性的方法，包括以下步骤: -提供设备证书(630)， -提供受信任的证书(610)，其中设备证书(630)能够通过证书链(630、620、610)与受信任的证书(610)链接起来，其中所述证书链是以设备证书(630)起始并且以受信任的证书(610)结束的至少两个证书的序列，其中所述证书链中的每个证书包括限定了相应的证书的有效期的信息，并且其中除设备证书(630)外部所述证书链的每个证书(610,620)均包括证书信息(520、510)，采用所述证书信息能够验证分别在所述序列中处于在前位置的证书(620,630),-为所述证书链的每个证书(630、620、610)确定出对应的检验时间点， -提供与设备证书(630)对应的、经数字签名的状态信息，其中所述状态信息将设备证书鉴定为有效或无效并且包括限定了状态信息的有效期的信息， -为与设备证书(630)对应的状态信息确定出所对应的检验时间点， -进行如下检验 -检验设备证书(630)是否能够借助证书链(630、620、610)成功地认证， -检验对于所述证书链的每个证书(630、620、610)而言，所对应的检验时间点是否处于相应证书的有效期之内， -借助从设备(101-103)外部不能读取的设备(101-103)的存储器而存储的机密检验是否存在设备证书(630)与设备(101-103)的关联， -检验对于与设备证书(630)对应的状态信息而言，所对应的检验时间点是否处于所述状态信息的有效期内， -与设备证书(630)对应的状态信息是否将设备证书鉴定为有效，其中设备证书为有效的证明包括设备证书(630)由经授权的机构生成的证明， 其中在成功检验的情况下设备证书(630)被识别为有效，否则设备证书被识别为无效。12.根据权利要求11的方法，还包括如下步骤: -提供对应的、所述证书链的至少一个另外的证书(620,610)的数字签名的状态信息，其中所述状态信息将所述另外的证书(620、610)鉴定为有效或无效并且包括限定了所述状况信息的有效期的信息， -确定出每个状态信息所对应的检验时间点， -只有在如下情况下设备证书(630)被识别为有效 -对于每个状态信息而言，所对应的检验时间点处于相应的状态信息的有效期内，以及-每个状态信息均将各自所对应的其他的证书认证为有效，其中所述其他的证书(620、610)为有效的证明包括所述其他的证书(620、610)由经授权的机构生成的证明。13.—种用于检验设备证书(630)的有效性、尤其是根据权利要求1至10中任一项的方法生成的设备证书(630)的有效性的方法，包括以下步骤: -提供设备证书(630)， -提供受信任的证书(610)，其中设备证书(630)能够通过证书链(630、620、610)与受信任的证书(610)链接起来，其中所述证书链是以设备证书(630)为起始并且以受信任的证书(610)为结束的至少两个证书的序列，其中所述证书链中的每个证书均包括限定了相应证书的有效期的信息，并且其中除设备证书(630)外部的所述证书链的每个证书(610、620)均包括证书信息(520、510)，采用所述证书信息能够认证分别在所述序列中处于在前位置的证书(620、630)， -提供与设备证书对应的数字签名的时间戳，该时间戳将设备证书(630)与一个时间点关联起来， -为所述证书链的每个证书(630、620、610)确定出所对应的检验时间点，其中将通过时间戳与设备证书(630)关联的时间点确定为所述证书链的证书(630、620、610)中的至少一个所对应的检验时间点， -进行如下检验 -检验设备证书(630)是否能够借助证书链(630、620、610)成功地进行认证， -检验时间戳是否能够成功地进行认证， -检验对于所述证书链的每个证书(630、620、610)而言，所对应的检验时间点是否处于相应证书的有效期之内， -借助存储于从设备(101-103)外部不能读取的、设备(101-103)的存储器中的机密检验是否存在设备证书(630)与设备(101-103)的关联， 其中在成功检验的情况下设备证书(630)被识别为有效，否则设备证书被识别为无效。14.根据权利要求13的方法，还包括如下步骤: -提供所述证书链的至少一个证书(630、620、610)的对应的、经数字签名的状态信息，其中所述状态信息将证书(630、620、610)鉴定为有效或无效并且包括限定了所述状态信息的有效期的信息， -确定出与每个状态信息所对应的检验时间点， -只有在如下情况下设备证书(630)被识别为有效: -对于每个状态信息而言，所对应的检验时间点处于相应状态信息的有效期内，以及-每个状态信息均将各自所对应的证书认证为有效，其中证书(630、620、610)为有效的证明包括证书(630、620、610)由经授权的机构生成的证明。15.根据权利要求11至14中任一项的方法，其中将实施设备证书(630)的有效性检验的时间点设定成为证书链的证书(630、620、610)中的至少一个和/或状态信息中的至少一个所对应的检验时间点。16.根据权利要求11至15中任一项的方法，其中将通过经认证的时间戳与设备证书相关联的时间点确定成为所述状态信息中的至少一个所对应的检验时间点。17.根据权利要求11至16中任一项的方法，其中将实施设备证书(630)的有效性检验的时间点确定成为设备证书(630)所对应的检验时间点，并且其中为所述证书链的所有其它证书(620、610)确定出通过时间戳与设备证书(630)相关联的时间点。18.根据权利要求11至17中任一项的方法，其中将在所述证书链中处于在前位置的证书生成的时间点或在所述证书链中处于在前位置的证书的有效期开始的时间点确定成为所述证书链的证书(630、620、610)中的至少一个所对应的检验时间点和/或为所述证书所对应的状态信息所对应的检验时间点。19.根据权利要求11至18中任一项的方法，其中设备证书(630)具有真品证书或所有权证书的功能和/或设备证书(630)构造成属性证书。20.根据权利要求11至19中任一项的方法，其中所述证书链包括至少一个中间证书(620)，所述中间证书在由证书链限定的次序中布置在设备证书(630)与受信任的证书(610)之间。21.根据权利要求11至20中任一项的方法，其中受信任的证书(610)是自签名的根证书。22.—种用于生成电子设备(101-103)的设备证书(630)的系统，该系统被构造成用于实施根据权利要求1至10中任一项所述的方法，该系统包括 -生产计算机(200)，所述生产计算机具有存储于其中的用于生成电子设备(101-103)的设备证书(630)的签名秘钥，所述生产计算机构造成在各个电子设备(101-103)的存储器(121_123)上进行存取， -能够与生产计算机(200)连接的数据库(300、310)，生产计算机(200)将所生成的设备证书(630)或由所述设备证书导出的数值存储于所述数据库中，其中数据库(300、310)被构造成在根据请求而提供关于所请求的设备证书(630)或由所请求的设备证书(630)导出的数值是否存储于数据库(300、310)中的信息，和/或 -能够与生产计算机(200)连接的服务器(360、370)，所述服务器提供时间戳服务，以及所述服务器根据生产计算机(200)的请求为了由设厂计算机设置的设备证书生成数字签名的时间戳并传送到生产计算机(200)，其中所述时间戳将所述设置的设备证书(630)与生成所述时间戳的时间点关联起来。23.—种用于检验设备证书(630)的有效性的系统，该系统被构造成用于实施权利要求11至21中任一项所述的方法，该系统包括-用于借助证书链(630、620、610)检验在电子设备的存储器中存储的设备证书(630)的有效性的检验设备(700)，和 -证书信息服务器(350、370)，检验设备(700)能够在所述服务器上进行访问，以便对所述证书链的至少一个证书(630、620、610)的状态信息进行查询。24.—种电子设备(101-103)，所述电子设备具有从设备外部不能读取的、具有存储于其中的机密的存储器并具有能够读取的存储器(121-123)，其中在能够读取的存储器中存储有所有为实施根据权利要求11至21中任一项的方法所需的信息，尤其是证书链的证书(630、620)、状态信息和/或时间戳。25.—种分配给电子设备(101-103)的存储介质，其中电子设备(101-103)包括从所述设备外部不能读取的、具有存储于其中的机密的存储器，并且其中在所述存储介质中存储有所有用于实施根据权利要求11至21中任一项的所述方法所需的信息，尤其是证书链的证书(630、620)、状态信息和/或时间戳。
【文档编号】H04L9/32GK106031086SQ201580009740
【公开日】2016年10月12日
【申请日】2015年2月20日
【发明人】托尔斯滕·尼奇克
【申请人】菲尼克斯电气公司