專(zhuān)利名稱(chēng)：用于產(chǎn)生包含證書(shū)和密鑰的產(chǎn)品的方法
用于產(chǎn)生包含證書(shū)和密鑰的產(chǎn)品的方法
背景技術(shù)：
作為公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure, PKI)的部分的產(chǎn)品存儲(chǔ)用于認(rèn)證產(chǎn)品的證書(shū)以及相應(yīng)的公鑰和私鑰。在產(chǎn)品中存儲(chǔ)證書(shū)和相應(yīng)密鑰的一種方法中，產(chǎn)品產(chǎn)生公鑰和私鑰的密鑰對(duì)以及證書(shū)請(qǐng)求，該證書(shū)請(qǐng)求包括產(chǎn)品的標(biāo)識(shí)數(shù)據(jù)以及所產(chǎn)生的公鑰。然后該產(chǎn)品用產(chǎn)生的私鑰對(duì)該證書(shū)請(qǐng)求進(jìn)行簽名并將簽名了的證書(shū)請(qǐng)求發(fā)送到產(chǎn)品代理(Product Proxy)(例如主機(jī)計(jì)算機(jī))，該產(chǎn)品代理聯(lián)系登記授權(quán)機(jī)構(gòu)(Registration Authority)。該登記授權(quán)機(jī)構(gòu)驗(yàn)證產(chǎn)品的標(biāo)識(shí)數(shù)據(jù)和密鑰對(duì)，然后聯(lián)系證書(shū)授權(quán)機(jī)構(gòu) (Certificate Authority)頒發(fā)證書(shū)。該證書(shū)授權(quán)機(jī)構(gòu)產(chǎn)生證書(shū)，用其自己的私鑰對(duì)證書(shū)簽名，然后將證書(shū)發(fā)回到登記授權(quán)機(jī)構(gòu)，該登記授權(quán)機(jī)構(gòu)經(jīng)由產(chǎn)品代理將該證書(shū)返回到產(chǎn)品。 盡管當(dāng)要向單獨(dú)的硬件產(chǎn)品(例如單個(gè)服務(wù)器)頒發(fā)證書(shū)時(shí)此處理很好地運(yùn)作，但是當(dāng)要在制造過(guò)程中在大量產(chǎn)品中存儲(chǔ)證書(shū)時(shí)，由于每個(gè)產(chǎn)品需要相當(dāng)長(zhǎng)的時(shí)間來(lái)產(chǎn)生其自己的密鑰對(duì)以及需要相當(dāng)長(zhǎng)的時(shí)間來(lái)在四方(產(chǎn)品、產(chǎn)品代理、登記授權(quán)機(jī)構(gòu)和證書(shū)授權(quán)機(jī)構(gòu)) 之間傳送，此處理可能是太長(zhǎng)時(shí)間并且低效率的。Veriign 設(shè)備證書(shū)服務(wù)提供了用于頒發(fā)將在制造過(guò)程中被嵌入到產(chǎn)品中的證書(shū)的大量批次(batch)處理。在操作時(shí)，產(chǎn)品制造者通過(guò)網(wǎng)絡(luò)接口為Veriign 提供用于其產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符(例如線(xiàn)纜調(diào)制解調(diào)器的媒體存取控制(MAC)地址)的列表。 Veriign 頒發(fā)各證書(shū)和相應(yīng)的公鑰和私鑰對(duì)，并以加密的形式經(jīng)由因特網(wǎng)將它們安全地發(fā)送到制造者。制造者解密這些證書(shū)和相應(yīng)的密鑰并在制造過(guò)程期間將它們嵌入產(chǎn)品中。

發(fā)明內(nèi)容
在此給出的概念可以在各種實(shí)施例中實(shí)現(xiàn)，并且此發(fā)明內(nèi)容包括多個(gè)示例實(shí)施例。通過(guò)介紹，以下所述的實(shí)施例提供了用于產(chǎn)生具有證書(shū)和密鑰的產(chǎn)品的方法。在一個(gè)實(shí)施例中，請(qǐng)求實(shí)體向產(chǎn)生證書(shū)和相應(yīng)的密鑰的證明實(shí)體發(fā)送對(duì)于多個(gè)證書(shū)和相應(yīng)的密鑰的請(qǐng)求。該請(qǐng)求優(yōu)選包括由證明實(shí)體使用來(lái)驗(yàn)證請(qǐng)求實(shí)體的身份的信息而不是用于驗(yàn)證各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符的信息。然后請(qǐng)求實(shí)體優(yōu)選地以多個(gè)有組織的集合而不是單個(gè)證書(shū)系列從證明實(shí)體接收多個(gè)證書(shū)和相應(yīng)的密鑰。然后請(qǐng)求實(shí)體將證書(shū)和相應(yīng)的密鑰存儲(chǔ)在各個(gè)產(chǎn)品中。然后，每個(gè)存儲(chǔ)的證書(shū)可用于其被存儲(chǔ)在的各個(gè)產(chǎn)品的標(biāo)識(shí)和認(rèn)證。在此所述的每個(gè)實(shí)施例可以單獨(dú)使用或彼此組合使用。現(xiàn)在將參考附圖描述各個(gè)實(shí)施例。


圖1是用于產(chǎn)生具有證書(shū)和密鑰的產(chǎn)品的實(shí)施例的系統(tǒng)的例示。圖2是用于產(chǎn)生具有證書(shū)和密鑰的產(chǎn)品的實(shí)施例的方法的流程圖。圖3是一個(gè)實(shí)施例的示例的請(qǐng)求形式的例示。圖4是用于發(fā)送證書(shū)和相應(yīng)的密鑰的實(shí)施例的示例格式的例示。
具體實(shí)施例方式現(xiàn)在轉(zhuǎn)向附圖，圖1是用于產(chǎn)生具有證書(shū)和密鑰的產(chǎn)品110A、1 IOB.......IlON
的實(shí)施例的系統(tǒng)100的例示。通常，請(qǐng)求實(shí)體120向證明實(shí)體(certifying entiry) 130 發(fā)送對(duì)于證書(shū)和相應(yīng)的密鑰的請(qǐng)求，證明實(shí)體130產(chǎn)生并為請(qǐng)求實(shí)體120提供所請(qǐng)求的證書(shū)和相應(yīng)的密鑰，并且請(qǐng)求實(shí)體120將該證書(shū)和相應(yīng)的密鑰存儲(chǔ)在各個(gè)產(chǎn)品110A、
110B、......IlON中，由此將產(chǎn)品110A、110B、......IlON從不存儲(chǔ)證書(shū)和相應(yīng)的密鑰的產(chǎn)
品轉(zhuǎn)換為存儲(chǔ)證書(shū)和相應(yīng)的密鑰的產(chǎn)品。一旦被存儲(chǔ)在產(chǎn)品中，證書(shū)和相應(yīng)的密鑰就不僅可以用于(例如向?qū)?nèi)容提供給產(chǎn)品的內(nèi)容服務(wù)器)認(rèn)證該產(chǎn)品，而且可以用于標(biāo)識(shí)該產(chǎn)
P
ΡΠ O如在此使用的，“請(qǐng)求實(shí)體”指請(qǐng)求證書(shū)和相應(yīng)的密鑰的實(shí)體，并且通常是產(chǎn)品制造者(例如存儲(chǔ)卡制造者)。同樣如在此使用的，“證明實(shí)體”指驗(yàn)證請(qǐng)求實(shí)體的身份并產(chǎn)生所請(qǐng)求的證書(shū)和相應(yīng)的密鑰的實(shí)體。如從以下討論將清楚的，請(qǐng)求實(shí)體120和驗(yàn)證實(shí)體 130可以以任何適當(dāng)?shù)男问街苯踊蜷g接地彼此通信?！爱a(chǎn)品”也可以取任何適當(dāng)?shù)男问?，并且通常包含存?chǔ)器單元和用于與另一設(shè)備通信的接口?！爱a(chǎn)品”的例子包括但不限于可移除大容量存儲(chǔ)設(shè)備(比如非易失性、固態(tài)(例如快閃)存儲(chǔ)卡)、固態(tài)盤(pán)(SSD)、智能卡、光或磁存儲(chǔ)器設(shè)備、游戲控制臺(tái)、數(shù)字視頻記錄機(jī)、機(jī)頂盒、移動(dòng)電話(huà)、ATM機(jī)、線(xiàn)纜調(diào)制解調(diào)器、 個(gè)人數(shù)字助理(PDA)、電子郵件/文本消息設(shè)備、數(shù)字媒體播放器、個(gè)人計(jì)算機(jī)和GPS導(dǎo)航設(shè)備。返回附圖，圖2是用于使用圖1的系統(tǒng)100產(chǎn)生具有證書(shū)和密鑰的產(chǎn)品的實(shí)施例的方法的流程圖200。首先，請(qǐng)求實(shí)體120向證明實(shí)體130發(fā)送對(duì)于多個(gè)證書(shū)和相應(yīng)的密鑰的請(qǐng)求，證明實(shí)體130產(chǎn)生證書(shū)和相應(yīng)的密鑰(動(dòng)作210)?？梢园慈魏芜m當(dāng)?shù)男问桨l(fā)送請(qǐng)求。例如，可以電子地經(jīng)由通信信道(例如因特網(wǎng))將請(qǐng)求發(fā)送到證明實(shí)體130，可以將請(qǐng)求存儲(chǔ)在便攜存儲(chǔ)設(shè)備(例如DVD)上，該便攜存儲(chǔ)設(shè)備然后被郵寄到證明實(shí)體130，可以以紙張形式將請(qǐng)求郵寄或傳真到驗(yàn)證實(shí)體130，或者可以將請(qǐng)求口頭地(例如經(jīng)過(guò)電話(huà)) 傳達(dá)給證明實(shí)體130。出于安全原因，優(yōu)選地，請(qǐng)求實(shí)體120用先前從證明實(shí)體130接收的私鑰對(duì)該請(qǐng)求簽名。為了增加安全性，該請(qǐng)求在傳送到證明實(shí)體130之前可以被加密，如以下將更詳細(xì)討論的。該請(qǐng)求本身可以包含任何期望的信息。圖3是一個(gè)實(shí)施例的示例的請(qǐng)求形式300 的例示。如圖3所示，此形式300中的字段包括請(qǐng)求實(shí)體的名稱(chēng)(310)、請(qǐng)求實(shí)體的聯(lián)系人 (320)和電子郵件地址和電話(huà)號(hào)碼(330)、該請(qǐng)求的日期(340)、應(yīng)該發(fā)送證書(shū)和密鑰的日期(350)、所請(qǐng)求的證書(shū)的總數(shù)(360)、產(chǎn)品證明權(quán)限主題證書(shū)名稱(chēng)(370)、制造者證明權(quán)限主題證書(shū)名稱(chēng)(380)以及其他請(qǐng)求/注釋(390)。在一個(gè)實(shí)施例中，形式300被置于PDF文件中并用私鑰簽名。同樣，該請(qǐng)求優(yōu)選地包括用于由證明實(shí)體130是用來(lái)驗(yàn)證請(qǐng)求實(shí)體120 的身份的信息(例如，通過(guò)先前由證明實(shí)體130提供給請(qǐng)求實(shí)體120的私鑰對(duì)請(qǐng)求的簽名) 而不是用于驗(yàn)證各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符(例如媒體存取控制(MAC)地址)的信息?；厝⒖紙D2，請(qǐng)求實(shí)體120從證明實(shí)體130接收多個(gè)證書(shū)和相應(yīng)的密鑰(動(dòng)作 220)。如像以上所述的請(qǐng)求傳送動(dòng)作那樣，多個(gè)證書(shū)和相應(yīng)的密鑰可以以任何適當(dāng)?shù)姆绞接烧?qǐng)求實(shí)體120接收。例如，證書(shū)和密鑰可以經(jīng)由通信信道(例如作為壓縮文件，通過(guò)因特網(wǎng))電子地發(fā)送到請(qǐng)求實(shí)體120，或者可以被存儲(chǔ)在便攜存儲(chǔ)設(shè)備(例如DVD)上并被郵寄到請(qǐng)求實(shí)體120。圖4是用于將證書(shū)從證明實(shí)體130傳送到請(qǐng)求實(shí)體120的示例格式400 的例示。如圖4所示，此格式400中的字段包括內(nèi)容信息文件010)(例如版本號(hào)、唯一標(biāo)識(shí)符、創(chuàng)建日期和時(shí)間、證書(shū)的數(shù)量以及注釋)、根(root)證書(shū)020)、由產(chǎn)品使用來(lái)證實(shí)其由具體制造者制造的證書(shū)G30)、由產(chǎn)品使用來(lái)證實(shí)其屬于具體生產(chǎn)線(xiàn)的證書(shū)040)以及包含各證書(shū)的子目錄G50)。出于安全性原因，證明實(shí)體130可以用其私鑰對(duì)該傳送進(jìn)行簽名。為了增加安全性，該傳送可以被加密，如以下將描述的。盡管可以單獨(dú)地或者在多個(gè)批次中從證明實(shí)體130接收多個(gè)證書(shū)和相應(yīng)的密鑰，但是在一個(gè)實(shí)施例中，可在單個(gè)批次中從證明實(shí)體130接收多個(gè)證書(shū)和相應(yīng)的密鑰，這可以例如在DVD上燒制(burn)或遞送，或者使用任何以上所述的其他格式來(lái)遞送。一旦被接收，請(qǐng)求實(shí)體120就從該批次提取多個(gè)證書(shū)和相應(yīng)的密鑰。然后，請(qǐng)求實(shí)體120使用證明實(shí)體的證書(shū)來(lái)到來(lái)的驗(yàn)證證書(shū)和密鑰的包，并將各
個(gè)證書(shū)和相應(yīng)的密鑰存儲(chǔ)在各自的產(chǎn)品110A、110B.......IlON中(動(dòng)作230)。然后，每
個(gè)證書(shū)可用于其被存儲(chǔ)在的各個(gè)產(chǎn)品110A、110B.......IlON的標(biāo)識(shí)和驗(yàn)證兩者。為了將
證書(shū)和密鑰安全地存儲(chǔ)在產(chǎn)品110A、110B.......IlON中，可以?xún)?yōu)選地使用與用于加密證
書(shū)和密鑰來(lái)傳輸?shù)秸?qǐng)求實(shí)體120的密鑰——如果使用了這樣的加密的話(huà)——不同的密鑰來(lái)加密這些證書(shū)和密鑰。請(qǐng)求實(shí)體120可以使用一個(gè)或多個(gè)計(jì)算設(shè)備(例如通用計(jì)算機(jī))將
各個(gè)證書(shū)和相應(yīng)的密鑰存儲(chǔ)在各自的產(chǎn)品110A、1 IOB.......IlON中。此外，取決于是否在
傳送和/或接收動(dòng)作中使用計(jì)算設(shè)備，傳送和接收動(dòng)作(動(dòng)作210、220)之一或兩者可以使用相同或不同的計(jì)算設(shè)備。例如，存儲(chǔ)了證書(shū)和密鑰的相同或不同的計(jì)算設(shè)備還可以用于準(zhǔn)備該請(qǐng)求(例如燒制包含該請(qǐng)求的DVD、通過(guò)因特網(wǎng)將該請(qǐng)求電子地郵寄到證明實(shí)體130 等)和/或接收證書(shū)和密鑰(例如通過(guò)經(jīng)由網(wǎng)頁(yè)瀏覽器從證明實(shí)體130下載證書(shū)和密鑰)。存在與這些實(shí)施例相關(guān)的幾個(gè)優(yōu)點(diǎn)。首先，因?yàn)樵谥圃飚a(chǎn)品110A、
IlOB.......IlON之前請(qǐng)求并接收證書(shū)(即“離線(xiàn)地”請(qǐng)求并接收證書(shū))，因此在制造過(guò)程
期間不浪費(fèi)時(shí)間來(lái)等待證書(shū)到達(dá)。此外，不像在背景技術(shù)部分所述的處理那樣，產(chǎn)品110A、
IlOB.......IlON本身不產(chǎn)生公鑰和私鑰對(duì)。而是，證明實(shí)體130產(chǎn)生那些對(duì)，并將它們與
相應(yīng)的證書(shū)一起發(fā)送到請(qǐng)求實(shí)體110。以此方式，在制造過(guò)程期間不浪費(fèi)時(shí)間來(lái)等待產(chǎn)品 110A、110B、......IlON 產(chǎn)生密鑰對(duì)。此外，因?yàn)檫@些實(shí)施例中的請(qǐng)求實(shí)體120是產(chǎn)品的制造者而不是產(chǎn)品110A、
110B、......1ION本身，因此證明實(shí)體130工作在每個(gè)制造者級(jí)(per_manufacturer
level)，而不是每個(gè)產(chǎn)品級(jí)。結(jié)果，證明實(shí)體130僅需要驗(yàn)證請(qǐng)求實(shí)體120的身份，不需要
驗(yàn)證每個(gè)產(chǎn)品110A、110B.......IlON0與驗(yàn)證每個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符(例如驗(yàn)證線(xiàn)
纜調(diào)制解調(diào)器的媒體存取控制(MAC)地址)相比，這樣的驗(yàn)證可以相對(duì)容易且快速地進(jìn)行 (例如通過(guò)驗(yàn)證請(qǐng)求曾被先前由證明實(shí)體130提供給請(qǐng)求實(shí)體120的私鑰簽名過(guò)，通過(guò)聯(lián)系請(qǐng)求實(shí)體120處的向證明實(shí)體130發(fā)送DVD定購(gòu)表的人，等等)。因?yàn)榭梢灾苯拥厍胰菀椎剡M(jìn)行對(duì)請(qǐng)求實(shí)體120的驗(yàn)證，所以這些實(shí)施例允許該處理繞過(guò)登記授權(quán)機(jī)構(gòu)，由此節(jié)省將需要花費(fèi)來(lái)與登記授權(quán)機(jī)構(gòu)通信的時(shí)間。應(yīng)該注意，在這些實(shí)施例中，每個(gè)證書(shū)可用于其所存儲(chǔ)在的各個(gè)產(chǎn)品的標(biāo)識(shí)和驗(yàn)證兩者。該證書(shū)可以通過(guò)證書(shū)的主題名稱(chēng)來(lái)標(biāo)識(shí)其各自的產(chǎn)品。盡管對(duì)于主題名稱(chēng)可以
7使用任何適當(dāng)?shù)拿麘T例，但是在一個(gè)實(shí)施例中，該命名慣例使用以下字段的一個(gè)或多個(gè) 指示證書(shū)何時(shí)頒發(fā)的時(shí)間戳、頒發(fā)的序列號(hào)以及所生產(chǎn)的產(chǎn)品的名稱(chēng)。例如，命名慣例可以是“< 產(chǎn)品名>MMDDYYYYXXXXXXXX”，其中 < 產(chǎn)品名 > 是生產(chǎn)線(xiàn)的名稱(chēng)(不是單獨(dú)產(chǎn)品的名稱(chēng))，MM是證書(shū)頒發(fā)的月份，DD是證書(shū)頒發(fā)的該月份中的天，YYYY是證書(shū)頒發(fā)的年份， XXXXXXXX是頒發(fā)的序列號(hào)。如從此示例標(biāo)識(shí)符可以看出，證書(shū)不限定為各個(gè)產(chǎn)品的唯一標(biāo)識(shí)符或由其標(biāo)識(shí)。這與在背景技術(shù)中描述的方法相反，在該方法中基于唯一產(chǎn)品標(biāo)識(shí)符 (例如線(xiàn)纜調(diào)制解調(diào)器的媒體存取控制(MAC)地址)的列表來(lái)頒發(fā)證書(shū)。此外，這些實(shí)施例不依賴(lài)于各個(gè)產(chǎn)品的唯一標(biāo)識(shí)符，這在產(chǎn)品初始是無(wú)名的并且不具有唯一標(biāo)識(shí)符時(shí)尤為有益(例如可移除存儲(chǔ)卡相對(duì)于線(xiàn)纜調(diào)制解調(diào)器)。不像在存儲(chǔ)證書(shū)前具有唯一性的線(xiàn)纜調(diào)制解調(diào)器，可移除存儲(chǔ)卡和其他無(wú)名的產(chǎn)品在證書(shū)被存儲(chǔ)在其中時(shí)獲得唯一性。這樣，除了被用于驗(yàn)證之外，在這些實(shí)施例中，存儲(chǔ)的證書(shū)用于提供先前無(wú)名的產(chǎn)品的標(biāo)識(shí)。因此，不像在背景技術(shù)部分中描述的使用證書(shū)來(lái)驗(yàn)證產(chǎn)品的身份的方法，這些實(shí)施例中的證書(shū)用于標(biāo)識(shí)產(chǎn)品本身。存在可以隨這些實(shí)施例一起使用的許多替換。例如，對(duì)于有效的證書(shū)訪(fǎng)問(wèn)，從證明實(shí)體130接收的多個(gè)證書(shū)可以被呈現(xiàn)為多個(gè)有組織的集合而不是單個(gè)證書(shū)序列(例如在多個(gè)目錄的不同證書(shū)中或者在分級(jí)目錄樹(shù)中而不是單個(gè)線(xiàn)性文件或列表中)。將多個(gè)證書(shū)組織成集合使得對(duì)給定證書(shū)的訪(fǎng)問(wèn)比證書(shū)被包含在單個(gè)列表或文件中的情況更容易。作為簡(jiǎn)單的例子，大量證書(shū)可以被存儲(chǔ)在多個(gè)目錄中，其中每個(gè)目錄包含IOM個(gè)證書(shū)并且用在該目錄中保持的證書(shū)來(lái)命名(例如1-10M，1025-2048等等)。為了尋找給定證書(shū)，請(qǐng)求實(shí)體 120處的計(jì)算設(shè)備將尋找存儲(chǔ)該證書(shū)的目錄然后搜遍該目錄來(lái)找到該證書(shū)。因?yàn)槊總€(gè)目錄存在相對(duì)少的證書(shū)，因此在目錄中尋找證書(shū)花費(fèi)相對(duì)短的時(shí)間量。相反，如果所有證書(shū)都存儲(chǔ)在單個(gè)目錄中，則在成千上萬(wàn)的證書(shū)中找到給定的證書(shū)的時(shí)間將明顯更長(zhǎng)。當(dāng)然，這僅僅是一個(gè)例子，也可以使用是他技術(shù)。例如，取代將證書(shū)放置在不同的目錄中，這些證書(shū)可以按其他方式分段或分區(qū)。作為另一替換，為了增加安全性，在此處理中可以使用各種加密技術(shù)。例如，為了在從請(qǐng)求實(shí)體120到證明實(shí)體130的傳送期間保護(hù)該請(qǐng)求，可以在傳送之前使用先前從證明實(shí)體130接收的密鑰(例如“請(qǐng)求加密密鑰(REK) ”)來(lái)加密該請(qǐng)求。作為另一例子，為了在從證明實(shí)體130到請(qǐng)求實(shí)體120的傳送期間保護(hù)證書(shū)和密鑰，請(qǐng)求實(shí)體120可以將產(chǎn)品加密密鑰(PEK)發(fā)送到證明實(shí)體130來(lái)用各自的PEK加密多個(gè)密鑰和相應(yīng)證書(shū)的每個(gè)。 以此方式，多個(gè)密鑰和相應(yīng)的證書(shū)將以加密的形式被請(qǐng)求實(shí)體120接收，并且請(qǐng)求實(shí)體120 將使用PEK來(lái)解密多個(gè)密鑰和相應(yīng)證書(shū)的每個(gè)。因?yàn)檫@樣的解密將暴露多個(gè)證書(shū)和密鑰， 因此請(qǐng)求實(shí)體隨后可以使用不同的密鑰重新加密該多個(gè)證書(shū)和密鑰。作為另一例子，請(qǐng)求實(shí)體120可以將加密密鑰(例如“制造者加密密鑰(MEK) ”)傳送到證明實(shí)體130，使得證明實(shí)體120可以加密一批次的證書(shū)和密鑰。在從證明實(shí)體130接收到該批次之后，接收實(shí)體 120將用MEK解密該批次。PEK和MEK兩者都可以用于提供雙重加密。此外，在一個(gè)實(shí)施例中，在請(qǐng)求實(shí)體120請(qǐng)求證書(shū)和密鑰之前，請(qǐng)求實(shí)體120經(jīng)歷與證明實(shí)體130的一次設(shè)置處理。在此處理期間，請(qǐng)求實(shí)體120為證明實(shí)體130提供REK和MEK。以此方式，REK和MEK 交換僅需發(fā)生一次，而不是每次請(qǐng)求實(shí)體120需要證書(shū)和密鑰時(shí)都要發(fā)生。意圖以上詳細(xì)描述被理解為是對(duì)各實(shí)施例可以采取的所選形式的例示，并且不意圖限制隨后的權(quán)利要求。此外，以下權(quán)利要求的一些可能陳述一組件可操作以進(jìn)行某一功能或者被配置用于某一任務(wù)。應(yīng)該注意，這些不是限定性的限制。還應(yīng)該注意，在權(quán)利要求中闡述的動(dòng)作可以按任何順序進(jìn)行——不是一定要按它們被闡述的順序。另外，在此所述的任意優(yōu)選實(shí)施例的任意方面可以單獨(dú)使用或者彼此組合使用。
權(quán)利要求
1.一種產(chǎn)生具有證書(shū)和密鑰的產(chǎn)品的方法，該方法包括由請(qǐng)求實(shí)體傳送對(duì)于多個(gè)證書(shū)和相應(yīng)密鑰的請(qǐng)求，該請(qǐng)求被傳送到產(chǎn)生證書(shū)和相應(yīng)密鑰的證明實(shí)體；由該請(qǐng)求實(shí)體從該證明實(shí)體接收多個(gè)證書(shū)和相應(yīng)密鑰；以及由該請(qǐng)求實(shí)體將所述證書(shū)和相應(yīng)密鑰存儲(chǔ)在請(qǐng)求實(shí)體的各個(gè)產(chǎn)品中； 其中該請(qǐng)求包括用于由證明實(shí)體使用來(lái)驗(yàn)證請(qǐng)求實(shí)體的身份的信息而不是用于驗(yàn)證各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符的信息；以及其中每個(gè)證書(shū)可用于其所存儲(chǔ)在的相應(yīng)產(chǎn)品的標(biāo)識(shí)和認(rèn)證兩者。
2.根據(jù)權(quán)利要求1的方法，還包括由請(qǐng)求實(shí)體向證明實(shí)體傳送用于由證明實(shí)體使用來(lái)加密多個(gè)密鑰和相應(yīng)證書(shū)的每個(gè)的產(chǎn)品加密密鑰；其中由請(qǐng)求實(shí)體接收的多個(gè)密鑰和相應(yīng)證書(shū)是加密的形式；以及其中該存儲(chǔ)還包括初始地使用產(chǎn)品加密密鑰來(lái)解密以加密的形式接收的多個(gè)密鑰和相應(yīng)證書(shū)的每個(gè)。
3.根據(jù)權(quán)利要求2的方法，其中所述解密暴露了多個(gè)密鑰和證書(shū)，以及其中所述存儲(chǔ)還包括隨后在存儲(chǔ)了多個(gè)密鑰和相應(yīng)證書(shū)的請(qǐng)求實(shí)體的各個(gè)產(chǎn)品處重新加密該多個(gè)密鑰和相應(yīng)證書(shū)。
4.根據(jù)權(quán)利要求1的方法，其中每個(gè)證書(shū)由以下的一個(gè)或多個(gè)來(lái)標(biāo)識(shí)指示何時(shí)頒發(fā)證書(shū)的時(shí)間戳、頒發(fā)的序列號(hào)以及生產(chǎn)的產(chǎn)品的名稱(chēng)。
5.根據(jù)權(quán)利要求1的方法，其中用于驗(yàn)證請(qǐng)求實(shí)體的身份的信息包括通過(guò)先前由證明實(shí)體提供給請(qǐng)求實(shí)體的私鑰對(duì)該請(qǐng)求的簽名。
6.根據(jù)權(quán)利要求1的方法，其中各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符包括產(chǎn)品的媒體存取控制地址。
7.根據(jù)權(quán)利要求1的方法，其中該請(qǐng)求經(jīng)由DVD或者通信信道傳送到證明實(shí)體。
8.根據(jù)權(quán)利要求7的方法，其中通信信道包括因特網(wǎng)連接。
9.根據(jù)權(quán)利要求1的方法，其中在單個(gè)批次中從證明實(shí)體接收多個(gè)證書(shū)和相應(yīng)密鑰， 以及其中該方法還包括從該批次提取多個(gè)證書(shū)和相應(yīng)密鑰。
10.根據(jù)權(quán)利要求9的方法，其中該批次在DVD上燒制且遞送。
11.根據(jù)權(quán)利要求9的方法，還包括將加密密鑰傳送到證明實(shí)體，該證明實(shí)體利用該加密密鑰加密該批次；以及在從證明實(shí)體接收到該批次之后，利用該加密密鑰解密該批次。
12.根據(jù)權(quán)利要求1的方法，其中請(qǐng)求實(shí)體的產(chǎn)品包括可移除大容量存儲(chǔ)器件。
13.根據(jù)權(quán)利要求1的方法，還包括加密該請(qǐng)求。
14.根據(jù)權(quán)利要求1的方法，其中以多個(gè)有組織的集合而不是以單個(gè)證書(shū)系列來(lái)從證明實(shí)體接收多個(gè)證書(shū)。
15.根據(jù)權(quán)利要求14的方法，其中在多個(gè)目錄的不同目錄中從證明實(shí)體接收多個(gè)證書(shū)。
16.根據(jù)權(quán)利要求14的方法，其中以分級(jí)目錄樹(shù)而不是單個(gè)線(xiàn)性文件來(lái)組織多個(gè)證書(shū)。
17.根據(jù)權(quán)利要求1的方法，其中由至少一個(gè)計(jì)算設(shè)備進(jìn)行所述存儲(chǔ)。
18.—種產(chǎn)生具有證書(shū)和密鑰的產(chǎn)品的方法，該方法包括由請(qǐng)求實(shí)體傳送對(duì)于多個(gè)證書(shū)和相應(yīng)密鑰的請(qǐng)求，該請(qǐng)求被傳送到產(chǎn)生證書(shū)和相應(yīng)密鑰的證明實(shí)體；由該請(qǐng)求實(shí)體從該證明實(shí)體接收多個(gè)證書(shū)和相應(yīng)密鑰；以及由該請(qǐng)求實(shí)體將所述證書(shū)和相應(yīng)密鑰存儲(chǔ)在請(qǐng)求實(shí)體的各個(gè)產(chǎn)品中； 其中以多個(gè)有組織的集合而不是單個(gè)證書(shū)系列從證明實(shí)體接收多個(gè)證書(shū)；以及其中每個(gè)證書(shū)可用于其所存儲(chǔ)在的相應(yīng)產(chǎn)品的標(biāo)識(shí)和認(rèn)證兩者。
19.根據(jù)權(quán)利要求18的方法，還包括由請(qǐng)求實(shí)體向證明實(shí)體傳送用于由證明實(shí)體使用來(lái)加密多個(gè)密鑰和相應(yīng)證書(shū)的每個(gè)的產(chǎn)品加密密鑰；其中由請(qǐng)求實(shí)體接收的多個(gè)密鑰和相應(yīng)證書(shū)是加密的形式；以及其中該存儲(chǔ)還包括初始地使用產(chǎn)品加密密鑰來(lái)解密以加密的形式接收的多個(gè)密鑰和相應(yīng)證書(shū)的每個(gè)。
20.根據(jù)權(quán)利要求19的方法，其中所述解密暴露了多個(gè)密鑰和證書(shū)，以及其中所述存儲(chǔ)還包括隨后在存儲(chǔ)了多個(gè)密鑰和相應(yīng)證書(shū)的請(qǐng)求實(shí)體的各個(gè)產(chǎn)品處重新加密該多個(gè)密鑰和相應(yīng)證書(shū)。
21.根據(jù)權(quán)利要求18的方法，其中每個(gè)證書(shū)由以下的一個(gè)或多個(gè)來(lái)標(biāo)識(shí)指示何時(shí)頒發(fā)證書(shū)的時(shí)間戳、頒發(fā)的序列號(hào)以及生產(chǎn)的產(chǎn)品的名稱(chēng)。
22.根據(jù)權(quán)利要求18的方法，其中用于驗(yàn)證請(qǐng)求實(shí)體的身份的信息包括通過(guò)先前由證明實(shí)體提供給請(qǐng)求實(shí)體的私鑰對(duì)請(qǐng)求的簽名。
23.根據(jù)權(quán)利要求18的方法，其中該請(qǐng)求包括用于由證明實(shí)體使用來(lái)驗(yàn)證請(qǐng)求實(shí)體的身份的信息而不是用于驗(yàn)證各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符的信息。
24.根據(jù)權(quán)利要求23的方法，其中各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符包括產(chǎn)品的媒體存取控制地址。
25.根據(jù)權(quán)利要求18的方法，其中該請(qǐng)求經(jīng)由DVD或者通信信道傳送到證明實(shí)體。
26.根據(jù)權(quán)利要求25的方法，其中通信信道包括因特網(wǎng)連接。
27.根據(jù)權(quán)利要求18的方法，其中在單個(gè)批次中從證明實(shí)體接收多個(gè)證書(shū)和相應(yīng)密鑰，以及其中該方法還包括從該批次提取多個(gè)證書(shū)和相應(yīng)密鑰。
28.根據(jù)權(quán)利要求27的方法，其中該批次在DVD上燒制和遞送。
29.根據(jù)權(quán)利要求27的方法，還包括將加密密鑰傳送到證明實(shí)體，該證明實(shí)體利用該加密密鑰加密該批次；以及在從證明實(shí)體接收到該批次之后，利用該加密密鑰解密該批次。
30.根據(jù)權(quán)利要求18的方法，其中請(qǐng)求實(shí)體的產(chǎn)品包括可移除大容量存儲(chǔ)器件。
31.根據(jù)權(quán)利要求18的方法，還包括加密該請(qǐng)求。
32.根據(jù)權(quán)利要求18的方法，其中在多個(gè)目錄的不同目錄中從證明實(shí)體接收多個(gè)證書(shū)。
33.根據(jù)權(quán)利要求18的方法，其中以分級(jí)目錄樹(shù)而不是單個(gè)線(xiàn)性文件來(lái)組織多個(gè)證書(shū)。
34.根據(jù)權(quán)利要求18的方法，其中由至少一個(gè)計(jì)算設(shè)備進(jìn)行所述存儲(chǔ)。
全文摘要
在此所述的實(shí)施例提供了用于產(chǎn)生具有證書(shū)和密鑰的產(chǎn)品的方法。在一個(gè)實(shí)施例中，請(qǐng)求實(shí)體向產(chǎn)生證書(shū)和相應(yīng)的密鑰的證明實(shí)體發(fā)送對(duì)于多個(gè)證書(shū)和相應(yīng)的密鑰的請(qǐng)求。該請(qǐng)求優(yōu)選地包括由證明實(shí)體使用來(lái)驗(yàn)證請(qǐng)求實(shí)體的身份的信息而不是用于驗(yàn)證各個(gè)產(chǎn)品的唯一產(chǎn)品標(biāo)識(shí)符的信息。然后請(qǐng)求實(shí)體從證明實(shí)體優(yōu)選地以多個(gè)有組織的集合而不是單個(gè)證書(shū)系列接收多個(gè)證書(shū)和相應(yīng)的密鑰。然后，請(qǐng)求實(shí)體將證書(shū)和想要的密鑰存儲(chǔ)在各個(gè)產(chǎn)品中。然后，每個(gè)存儲(chǔ)的證書(shū)可用于其被存儲(chǔ)在的各個(gè)產(chǎn)品的標(biāo)識(shí)和認(rèn)證兩者。
文檔編號(hào)G06F21/02GK102405616SQ201080017244
公開(kāi)日2012年4月4日 申請(qǐng)日期2010年2月15日 優(yōu)先權(quán)日2009年3月20日
發(fā)明者A.施繆爾, J.M.波多布尼克, M.霍爾茲曼, R.塞拉, V.阿休杰 申請(qǐng)人:桑迪士克科技股份有限公司