System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及通过至少一个注册点在公钥基础设施中的认证点处以可追溯的方式的请求证书的方法。
技术介绍
1、密码学中,公钥基础设施(pki)是指一种可以颁发、分发和检查数字证书的系统。数字证书(以下简称证书)是一种经数字签名的电子数据结构,其用于证明对象的真实性。pki通常包括认证点和注册点,其中所述认证点提供证书并接管证书申请的签名,设备可以在所述注册点申请证书。注册点检查证书申请中数据的正确性并可能批准所述证书申请。然后,认证点对来自所批准申请的信息进行签名,其中产生所需的证书。各个组件通常通过数据通信网络相互连接,并通过彼此之间的通信消息交换证书请求、对所述请求的响应等。
2、ep 2770467 a1中描述了一种扩展凭证请求中的属性的方法,该凭证请求由客户端发送给用于颁发凭证的凭证颁发者。在有凭证请求的情况下,在布置在客户端和凭证颁发者之间的交换器单元中确定并确认请求客户端的附加属性。由凭证颁发者根据凭证要求和所确认的属性颁发凭证。在公钥基础设施中颁发证书时,重要的是,被发到认证点的请求是从可信组件(例如设备或注册点)发送的。在注册点的情况下,它通常必须相对于认证点进行身份认证以提交请求。通常为此目的使用加密方法,并且注册点为此目而具有所需的认证凭据,例如加密密钥。
3、如果攻击者能够获得注册点的认证凭据,他就可以以此注册点的名义从认证点请求证书,并将其例如安装在伪造的设备上,并使其作为假定为真实的设备流通。
4、如果识别到对注册点的攻击,则重要的是,确定从受攻击的注册点申请了、即请求了
5、诸如消息的接收和输出之类的事件通常会被记录下来。日志信息要么存储在本地,例如作为事件日志,要么发送到中央日志服务器并存储在那里。如果在注册点本地存储日志数据,攻击者还可以访问此日志信息并对其进行操纵。此外,还存在攻击者例如通过操纵注册点软件或使用自己的软件而完全阻止所述记录的风险。
技术实现思路
1、因此,本专利技术的一个目的是提供一种方法,在该方法中可以以防操纵的方式将证书请求追溯到进行请求的注册点。
2、该目的通过独立权利要求中描述的措施实现。本专利技术的有利扩展方案在从属权利要求中示出。
3、根据第一方面,本专利技术涉及一种通过至少一个注册点在公钥基础设施中的认证点处以可追溯的方式请求证书的方法,包括以下步骤:
4、a)在注册点中接收用于为用户颁发证书的证书请求,
5、b)从注册点向记录装置发送记录消息,其包含关于证书请求的信息,
6、c)当信息已成功存储在记录装置中时,接收确认标识符,
7、d)将以确认标识符补充的经扩展的证书请求转发给认证点,
8、e)检查确认标识符,以及
9、f)只有在已成功执行了该检查的情况下才处理所述经扩展的证书请求,并且
10、g)由认证点输出(s7)证书响应。
11、通过对证书请求补充接收到的确认标识符并转发经扩展的证书请求,认证点可以检查所述请求消息是否已被记录,并且只有当是这种情况时(即检查成功时),才处理所述经扩展的证书请求,并输出证书。因此,确保:对于从注册点请求的每个证书,记录消息都存储在该记录装置中,并且只有当进行请求的注册点能够根据确认标识符证明请求消息被记录时,才会输出证书。记录装置与进行发送的注册点在空间上分开地构造。因此,如果注册点被操纵,则可以确定由该注册点请求的证书,并且例如宣告其无效。
12、在一个有利的实施方式中,记录消息包括标明证书的用户的用户标识符和标明进行发送的注册点的注册点标识符。
13、通过注册点标识符,一方面,可以标识进行请求的注册点并确定证书的用户。如果注册点被操纵,则因此可以确定从该注册点发送的所有记录消息,并因此标识被操纵的注册点所请求的证书请求和证书。可以根据用户标识符在短时间内将可能被操纵的证书通知给用户。因此,可以确定该注册点所请求的证书,并且例如阻止所述证书。记录消息还可以附加地例如包括证书请求的全部内容或内容的子集。
14、在一个有利的实施方式中,确认标识符包括记录消息在记录装置中的输入时间。
15、因此,可以按时间归类证书请求,并且例如将注册点被操纵的时间点之前创建的证书请求与在此时间点之后所创建的并因此可能被操纵的证书请求区分开来。
16、在一个有利的实施方式中,使用记录装置的加密密钥对确认标识符进行签名。
17、因此,可以识别到在颁发之后的确认标识符变化,并且认证点可以识别出颁发该确认标识符的记录装置。
18、在一个有利的实施方式中,证书请求通过多个注册点的链被传送到认证点,并且在其中每个注册点中执行方法步骤a)至d)。
19、因此,证书请求可追溯到处理和转发该证书请求的接连的多个注册点的链中的每个单独注册点。因此,推断仅限于在注册点链中的第一个注册点或最后一个注册点。
20、在一个有利的实施方式中,在注册点链中的第二个和每个后续注册点中,方法步骤e)和f)在执行方法步骤a)至d)之前执行。
21、因此,在先前的注册点中缺失的记录能够被及早识别出来。因此能够防止:先前的注册点对接收该证书请求的注册点进行攻击。
22、在一个有利的实施方式中,在后续注册点中接收的经扩展的证书请求以在后续注册点中从所述记录装置接收的确认标识符而得以补充。
23、因此,经扩展的证书请求包括:针对注册点链中每个注册点的确认标识符。因此,认证点可以标识其中每个注册点。如果已知这些注册点之一被操纵,则该检查可以以不成功而结束。
24、在一个有利的实施方式中,关于证书请求的信息在所述记录装置中被存储在区块链中。
25、在一个有利的实施方式中,关于证书请求的信息以使用记录装置的数字密钥签名的默克尔(merkle)树的形式存储在记录装置中。
26、因此,记录消息或关于证书请求的信息以防修改的方式存储。所存储信息的更改是可标识的。
27、根据第二方面,本专利技术涉及一种以可追溯的方式为用户请求证书的系统,该系统包括至少一个注册点、记录装置和认证点,它们被设计用于执行以下步骤:
28、a)在注册点接收用于为用户颁发证书的证书请求,
29、b)从注册点向记录装置发送包含关于证书请求的信息的记录消息,
30、c)当所述信息已被成功存储在记录装置中时,接收确认标识符,
31、d)将以确认标识符补充的经扩展的证书请求消息转发给认证点,和
32、e)检查确认标识符,以及
33、f)只有在已成功执行了该检查的情况下才由认证点处理所述经扩展的证书请求,并且输本文档来自技高网...
【技术保护点】
1.一种通过至少一个注册点(21)在认证点(24)处以可追溯的方式请求证书的方法,所述方法包括以下步骤:
2.根据权利要求1所述的方法,其中,所述记录消息包括标明所述证书的所述用户(10)的用户标识符(Dev)和标明进行发送的注册点(21、22)的注册点标识符(RID1、RID2)。
3.根据前述权利要求中任一项所述的方法,其中,所述确认标识符(C1、C2)包括所述记录消息在所述记录装置(23)中的输入时间(t1、t2)。
4.根据前述权利要求中任一项所述的方法,其中,使用所述记录装置(23)的加密密钥对所述确认标识符(C1、C2)进行签名。
5.根据前述权利要求中任一项所述的方法,其中,所述证书请求通过多个注册点(21、22)的链被传送到所述认证点(24),并且在其中每个注册点(21、22)中执行方法步骤a)至d)。
6.根据权利要求5所述的方法,其中,在注册点(21、22)的链中的第二个和每个另外的后续注册点(22)中,方法步骤e)和f)在执行所述方法步骤a)至d)之前执行。
7.根据权利要求5或6所述的
8.根据前述权利要求中任一项所述的方法,其中,关于证书请求的信息在所述记录装置(23)中被存储在区块链中。
9.根据权利要求1至7中任意一项所述的方法,其中,关于证书请求的信息在所述记录装置(23)中被存储在使用所述记录装置(23)的数字密钥签名的哈希树中。
10.一种以可追溯的方式为用户(10)请求证书的系统(20),所述系统包括至少一个注册点(21、22)、记录装置(23)和认证点(24),它们被设计用于执行以下步骤:
11.一种注册装置(21、22、40),所述注册装置包括至少一个处理器,所述处理器被设计用于执行以下步骤:
12.根据权利要求11所述的注册装置(21、22、40),所述注册装置被设计用于接收经扩展的证书请求并执行以下步骤:
13.一种记录装置(23、30),包括至少一个处理器,所述处理器被设计用于执行以下步骤:
14.一种认证点(24、50),所述认证点包括至少一个处理器,所述处理器被设计用于执行以下步骤:
15.一种计算机程序产品,其包括:可直接加载到数字计算机的存储器中的非易失性计算机可读介质,所述非易失性计算机可读介质包括程序代码部分,当数字计算机执行所述程序代码部分时,所述程序代码部分促使所述数字计算机执行根据权利要求1至9中任一项所述的方法的步骤。
...【技术特征摘要】
【国外来华专利技术】
1.一种通过至少一个注册点(21)在认证点(24)处以可追溯的方式请求证书的方法,所述方法包括以下步骤:
2.根据权利要求1所述的方法,其中,所述记录消息包括标明所述证书的所述用户(10)的用户标识符(dev)和标明进行发送的注册点(21、22)的注册点标识符(rid1、rid2)。
3.根据前述权利要求中任一项所述的方法,其中,所述确认标识符(c1、c2)包括所述记录消息在所述记录装置(23)中的输入时间(t1、t2)。
4.根据前述权利要求中任一项所述的方法,其中,使用所述记录装置(23)的加密密钥对所述确认标识符(c1、c2)进行签名。
5.根据前述权利要求中任一项所述的方法,其中,所述证书请求通过多个注册点(21、22)的链被传送到所述认证点(24),并且在其中每个注册点(21、22)中执行方法步骤a)至d)。
6.根据权利要求5所述的方法,其中,在注册点(21、22)的链中的第二个和每个另外的后续注册点(22)中,方法步骤e)和f)在执行所述方法步骤a)至d)之前执行。
7.根据权利要求5或6所述的方法,其中在后续注册点(22)中接收的经扩展的证书请求以在所述后续注册点(22)中从所述记录装置(23)接收的确认标识符(c1、c2)而得以补充。
8.根据前述权...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。