管理与位于远程位置处的组件相关联的证书的系统和方法与流程

1.本发明涉及用于授权的证书，并且具体地，涉及用于管理与组件相关联的证书的方法。


背景技术：

2.在组装装置时，装置可以提供有诸如安全元件、受信任的平台模块或任何类型的安全密码处理器的组件，并且组件可以提供有由受信任的证书授权系统的证书授权系统颁发的证书。证书用于识别和验证装置。从购买到在组装过程中安装在装置中，装置制造商可能都无法控制组件。例如，组件可以从一个供应商处购买，并且然后被提供给单独的一方用于在距证书授权系统的远程位置处组装在装置中。因此，装置制造商不希望在控制组件之前将证书提供给组件。通常，在组装的预定事件(例如当组件已被安装在装置中时)之前，不应将证书提供给组件。同时，不应延迟提供证书，因为这种延迟可能会延迟装置的组装。因此，将证书提供给组件存在时间问题。在证书从证书授权系统提供给组件之前，需要例如通过质询来执行身份验证，以确保组件与证书匹配。然而，如果在预定事件中证书授权系统与安装期间组件的位置之间的连接不可用，则这可能会受到连接问题的影响。这适用于应在特定时间点(其中组件位于距证书授权系统的远程位置处)将证书提供给组件并且证书授权系统和远程位置处的组件之间的连接的可用性在该时间点可能存在问题的所有情况。


技术实现要素：

3.本发明的目的是提供用于管理组件的证书的方法和系统，其克服或缓解了已知方法和系统中的问题。
4.根据第一方面，提供了一种在证书授权系统中管理与位于距证书授权系统的远程位置处的组件相关联的证书的方法。方法包括：接收证书请求，其中证书请求包括与组件相关联的密钥；生成与在证书请求中接收到的密钥相对应的证书；以及促使证书的有效性状态被设置为无效。在促使证书的有效性状态被设置为无效之后，方法进一步包括：将证书提供给组件。在将证书提供给组件之后，方法进一步包括：确定组件与证书是否匹配；以及在确定组件与证书匹配时，促使有效性状态被设置为有效。
5.通过生成证书并促使证书的有效性状态被设置为无效，证书可以在任何时间被提供给组件，原因在于只要证书的有效性状态被设置为无效，证书就不会被例如未经授权的一方有效使用。具体地，当组件位于距证书授权系统的远程位置处并且证书授权系统和远程位置处的组件之间的连接可用性可能存在问题时，不需要在特定时间点提供证书。然后在确定组件与证书匹配之后，促使有效性状态被设置为有效。此外，如果应当在特定时间点将证书提供给组件，这可以在没有延迟的情况下完成，因为在提供之前不需要匹配证书和组件。有效性状态是无效的，直到这样的匹配被执行。例如，如果组件要被安装在正在组装的装置中，由于需要实时控制来自证书授权系统的匹配以将证书提供给组件，因此组装过程不会受到任何延迟的影响。这种匹配可以在提供之后的任何时间执行。
6.例如，可以在组件被安装在装置中之前将证书提供给组件，并且然后，当组件已经被安装在装置中时，可以检查组件与证书是否匹配。然后在确定组件与证书匹配之后，使有效性状态被设置为有效。
7.发明人已经意识到，与其控制在组件中提供证书的时间，不如控制证书的有效性状态，使得在确定已经满足特定条件(诸如组件与证书匹配)之前，不会促使证书的有效性状态有效。
8.确定组件是否与证书匹配可以基于分别与组件和证书的特性有关的许多不同条件(包括存储的信息、当前状态和位置)来完成。例如，可以基于组件的密钥来确定组件与证书匹配，该密钥也是与已经为其生成证书的组件相对应的密钥。
[0009]“证书的有效性状态是无效的”旨在向接收者传达该证书当前不受信任，并且例如不应被视为对于用于授权是有效的。可以使用诸如无效、撤销、暂停、未知等的不同的术语，这取决于所使用的系统类型。该非详尽列表中的所有术语均旨在由术语“无效”所涵盖。
[0010]“证书的有效性状态是有效的”意味着证书当前对于用于授权是有效的。可以使用诸如有效、良好等的不同的术语，这取决于所使用的系统类型，所有这些术语均旨在由术语“有效”所涵盖。
[0011]
促使证书的有效性状态无效和有效使得第三方能够例如通过请求或访问证书的有效性状态来检查证书的有效性状态。
[0012]
远程位置例如可以是组件被安装在装置中的位置。
[0013]
将证书提供给组件的动作可以包括将证书直接地发送给组件或经由位于远程位置处的远程服务器将证书间接地发送给组件。
[0014]
通过将来自证书授权服务器的证书直接地提供给组件，可以随时将证书提供给组件。例如，可以在组件被传送到远程位置之前将证书提供给组件。
[0015]
当证书被直接地从证书授权服务器提供给组件时，为了确定组件与证书匹配，可能需要证明组件是安装在装置中的。例如，对于可以自己发起与装置的其它部件通信的组件，可以实现建立双向信任关系的机制。这例如可以通过检查对等方的证书并根据组件供应商制造组件时在装置制造商中建立的信任根对其进行验证，以与在web浏览器和互联网上的服务器之间建立信任的方式相同的方式来完成。这反过来意味着需要为装置提供证书(由制造商放入组件的信任根担保)。其然后可以在最终由证书授权系统检查的已签名的质询响应中包含装置的证书，证书授权系统然后可以检查a)组件证书已被授予给正确的组件，以及b)组件已被安装在正确的装置中。在替代方案中，可以使用一种票证/令牌系统，在该系统中，装置具有一些提供给在安装证明声明中包括的组件的“秘密”。作为进一步的替代方案，可以使用一种“最终协调”协议，其中关于组件发布的安装证明声明包含其中安装组件的装置的装置标识(非秘密)。然后，装置标识在数据库中被归类为“已声明”，并且如果遇到重复的装置标识声明，则与重复的装置标识声明有关的组件证书将被设置为无效并调查问题。
[0016]
通过经由位于远程位置处的远程服务器将证书从证书授权服务器间接地提供给组件，证书可以被本地存储在远程服务器处，直到证书应被提供给组件时的预定事件。
[0017]
当经由位于远程位置处的远程服务器将证书从证书授权服务器间接地提供给组件时，在确定组件已被安装在装置中时，可以将证书从远程服务器提供给组件。
[0018]
确定组件与证书是否匹配的动作可以包括：从远程服务器接收组件与证书匹配的验证；以及在接收到验证时，确定组件与证书匹配。
[0019]
远程服务器可用于确定组件与证书是否匹配。有效性状态被促使设置为无效，并且然后维持无效，直到在证书授权系统中从远程服务器接收到组件与证书匹配的验证，根据该验证确定组件与证书匹配并且证书的有效性状态被促使设置为有效。
[0020]
确定组件与证书是否匹配的动作可以包括：直接地或经由位于远程位置处的远程服务器间接地从组件接收消息，证书授权系统可以根据该消息确定组件与证书是否匹配；以及基于该消息确定组件与证书是否匹配。
[0021]
确定组件与证书是否匹配的动作可以包括：将用于检查组件与证书是否匹配的质询直接地发送给组件或经由位于远程位置处的远程服务器将用于检查组件与证书是否匹配的质询间接地发送给组件；从组件直接地接收对质询的响应或经由远程服务器从组件间接地接收对质询的响应；以及确定对质询的响应是否验证组件与证书匹配。
[0022]
密钥可以是与组件相关联的私钥/公钥对的公钥。
[0023]
如果组件能够证明其拥有与组件相关联的私钥/公钥对的私钥，则可以说组件与证书匹配。
[0024]
证书请求可以进一步包括装置的装置标识，组件待被安装在该装置中。如果组件被安装在具有装置标识的装置中，那么然后可以说组件与证书匹配。
[0025]
促使证书的有效性状态被设置为无效的动作可以包括：将指示已经生成证书的信息发送给有效性服务系统；以及将用于将证书设置为无效的指令发送给有效性服务系统。促使有效性状态被设置为有效的动作然后可以包括：将用于将证书设置为有效的指令发送给有效性服务系统。
[0026]
根据第二方面，提供了一种非暂时性计算机可读存储介质，指令存储在该非暂时性计算机可读存储介质，该指令在由具有处理能力的系统执行时用于实现根据第一方面的方法。
[0027]
根据第一方面的方法的上述特征在适用时也适用于第二方面的非暂时性计算机可读存储介质。
[0028]
根据第三方面，提供了一种用于管理与组件相关联的证书的证书授权系统，该组件位于距该证书授权系统的远程位置处。证书授权系统包括被配置为执行根据第一方面的方法的电路。
[0029]
根据第一方面的方法的上述特征在适用时也适用于第三方面的证书授权系统。
[0030]
根据第四方面，提供了一种在证书管理系统中管理与组件相关联的证书的方法。证书管理系统包括证书授权系统和有效性服务系统，组件位于距证书授权系统的远程位置处。方法包括：在证书授权系统中接收证书请求，其中，证书请求包括与组件相关联的密钥；在证书授权系统中生成与在证书请求中接收到的密钥相对应的证书；以及将指示已经生成证书的信息从证书授权系统发送给有效性服务系统。方法进一步包括：通过将用于将证书设置为无效的指令从证书授权系统发送给有效性服务系统，促使证书的有效性状态被设置为无效；以及在有效性服务系统中，将证书设置为无效。在促使证书的有效性状态被设置为无效之后，方法进一步包括：将证书从证书授权系统提供给组件。在将证书从证书授权系统提供给组件之后，方法进一步包括：在证书授权系统中确定组件与证书是否匹配；在确定组
件与证书匹配之后，通过将用于将证书设置为有效的指令从证书授权系统发送给有效性服务系统，促使有效性状态被设置为有效；以及在有效性服务系统中指示证书有效。
[0031]
证书管理系统可以进一步包括位于远程位置处的远程服务器，并且将证书从证书授权系统提供给组件的动作可以包括：将证书从证书授权系统发送给远程服务器；以及将证书从远程服务器发送给组件。
[0032]
可以在远程服务器确定组件被安装在其中要安装该组件的装置中时执行将证书从远程服务器发送给组件的动作。因此，可以保证在组件被安装到装置中之前不会将证书发送给组件。然而，可以在安装组件之前将证书颁发并提供给远程服务器。这是有益的，因为这种提供可以在证书授权系统和远程位置之间的连接是可用时或通过一些其它方式来提前完成。将证书发送给组件可以在远程位置处本地地完成，而不依赖于证书授权系统和远程位置之间的任何连接。
[0033]
在证书授权系统中确定组件与证书是否匹配的动作可以进一步包括：在远程服务器中确定组件与证书是否匹配；在远程服务器中确定组件与证书匹配时，将组件与证书匹配的验证从远程服务器发送给证书授权系统；以及在接收到验证时，在证书授权系统中确定组件与证书匹配。
[0034]
在远程服务器中确定组件与证书是否匹配的动作可以包括：将用于检查组件与证书是否匹配的质询从远程服务器发送给组件；在组件中确定对质询的响应；将对质询的响应从组件发送给远程服务器；以及在远程服务器中确定对质询的响应是否验证组件与证书匹配。
[0035]
在证书授权系统中确定组件与证书是否匹配的动作可以包括：将用于检查组件与证书是否匹配的质询从证书授权系统发送给组件；在组件中确定对质询的回应；将对质询的回应从组件发送给证书授权系统；以及在证书授权系统中确定对质询的响应是否验证组件与证书匹配。
[0036]
密钥可以是与组件相关联的私钥/公钥对的公钥。
[0037]
如果组件可以证明其拥有与该组件相关联的私钥/公钥对的私钥，则可以说组件与证书匹配。
[0038]
证书请求可以进一步包括：其中待安装组件的装置的装置标识。如果组件被安装在具有装置标识的装置中，那么然后可以说组件与证书匹配。
[0039]
根据第五方面，提供了一种非暂时性计算机可读存储介质，指令存储在该非暂时性计算机可读存储介质，该指令在由具有处理能力的系统执行时用于实现根据第四方面的方法。
[0040]
根据第四方面的方法的上述特征在适用时也适用于第五方面的非暂时性计算机可读存储介质。
[0041]
根据第六方面，提供了一种用于管理与组件相关联的证书的证书管理系统，该组件位于距证书授权系统的远程位置处。证书管理系统包括证书授权系统和有效性服务系统。证书授权系统包括第一电路，第一电路被配置为：接收证书请求，其中证书请求包括与组件相关联的密钥；生成与在证书请求中接收到的密钥相对应的证书；以及将指示已经生成证书的信息发送给有效性服务系统。第一电路进一步被配置为：通过将用于将证书设置为无效的指令发送给有效性服务系统，促使证书的有效性状态被设置为无效；在促使证书
的有效性状态被设置为无效之后，将证书从证书授权系统提供给组件；在将证书从证书授权系统提供给组件之后，确定组件与证书是否匹配；以及在确定组件与证书匹配时，通过将用于将证书的有效性状态设置为有效的指令发送给有效性服务系统，促使证书被设置为有效。有效性服务系统进一步包括第二电路，第二电路被配置为：在接收到用于将证书的有效性状态设置为无效的指令时，将证书设置为无效；以及在接收到用于将证书的有效性状态设置为有效的指令时，将证书的有效性状态设置为有效。
[0042]
证书管理系统可以进一步包括：位于远程位置处的远程服务器，其中证书授权系统的第一电路进一步被配置为将证书发送给远程服务器。远程服务器可以进一步包括第三电路，第三电路被配置为将证书发送给组件。
[0043]
第三电路可以进一步被配置为：在确定组件被安装在其中要安装该组件的装置中时，将证书发送给组件。因此，可以保证在组件已经被安装在装置中之前不会将证书发送给组件。然而，可以在安装组件之前将证书颁发并提供给远程服务器。这是有益的，因为这种提供可以在证书授权系统和远程位置之间的连接是可用时或通过一些其它方式来提前完成。将证书发送给组件可以在远程位置处本地地完成，而不依赖于证书授权系统和远程位置之间的任何连接。
[0044]
第三电路可以进一步被配置为：确定组件与证书是否匹配；以及在确定组件与证书匹配时，将组件与证书匹配的验证发送给证书授权系统。证书授权系统的第一电路可以进一步被配置为：在接收到远程服务器的验证时，确定组件与证书匹配。
[0045]
根据第四方面的方法的上述特征在适用时也适用于第六方面的证书管理系统。
[0046]
根据下面给出的具体实施方式，本发明的进一步适用范围将变得显而易见。然而，应当理解，虽然具体实施方式和具体示例指示了本发明的优选实施例，但是具体实施方式和具体示例仅以说明的方式给出，因为根据该具体实施方式，在本发明范围内的各种改变和修改对本领域技术人员而言将变得显而易见。
[0047]
因此，应当理解，本发明不限于所描述的系统的特定组成部分或所描述的方法的步骤，因为这样的装置和方法可以变化。应当理解，在本文中使用的术语仅用于描述特定实施例的目的，并且不旨在是限制性的。需要注意，如在本说明书和所附权利要求中所使用，冠词“一”、“该”和“所述”旨在表示存在一个或多个元素，除非上下文另有明确规定。因此，例如，对“单元”或“该单元”的引用可以包括多个装置等。此外，词语“包括”、“含有”、“包含”和类似的词语不排除其它元素或步骤。
附图说明
[0048]
现在将参考附图更详细地描述本发明的上述和其它方面。附图不应被认为是限制性的，而是相反用于解释和理解。相同的附图标记始终指代相同的元件。
[0049]
图1是在证书授权系统中管理与位于距证书授权系统的远程位置处的组件相关联的证书的方法的实施例的流程图。
[0050]
图2是用于管理与位于距证书授权系统的远程位置处的组件相关联的证书的证书授权系统的实施例的示意性框图。
[0051]
图3a和图3b是在证书管理系统中管理与组件相关联的证书的方法的实施例的流程图。
[0052]
图4是用于管理与位于距证书授权系统的远程位置处的组件相关联的证书的证书管理系统的实施例的示意性框图。
具体实施方式
[0053]
现在将在下文中参考附图更全面地描述本发明，在附图中示出了本发明的当前优选实施例。但是，本发明可以以许多不同的形式实施并且不应被解释为限于在本文中阐述的实施例。相反，这些实施例被提供是为了完整性，并且将本发明的范围传达给技术人员。
[0054]
图4是用于根据关于图1、图3a和图3b描述的方法来管理证书的证书管理系统400的实施例的示意性框图。证书管理系统400包括证书授权系统200和有效性服务系统420。证书授权系统200可以包括第一电路415，该第一电路415被配置为执行证书授权系统200的功能(例如，与关于图1和图3描述的方法步骤相对应的功能)。有效性服务系统系统420可以包括第二电路425，该第二电路425被配置为执行有效性服务系统420的功能(例如，与关于图1和图3描述的方法步骤相对应的功能)。证书与在位于远程位置440处的某级处并且将被安装在装置450中的组件430相关联。组件430可以是单独的元件(诸如安全元件、受信任的平台模块或任何类型的安全密码处理器)，或者组件430可以是还包括其它功能的另一组件的子系统。证书管理系统400可以进一步包括位于远程位置440处的远程服务器460。远程服务器460可以包括第三电路465，该第三电路465被配置为执行远程服务器460的功能(例如，与关于图1和图3描述的方法步骤相对应的功能)。
[0055]
在远程位置440处，装置制造商470例如在制造商的设施中或通过电子制造服务(ems)制造装置450。装置制造商470希望装置能够被授权，因此组件430将被安装在装置450中并且将被提供与该组件相关联的证书(未示出)。从购买到安装在装置中，装置制造商470都无法控制组件430。
[0056]
因此，关于已知系统，装置制造商通常不希望将证书提供给组件，直到组件被安装在装置中。此外，由于制造过程通常依赖于将证书提供给组件，因此将证书提供给组件的延迟可能会延迟制造过程。此外，将证书提供给组件需要首先检查组件是否与证书匹配。因此，在已知系统中，需要在有限时间周期内执行组件与证书匹配的检查以及将证书提供给组件。在已知系统和远程位置之间的连接不能始终得到保证或者甚至经常不可用的情况下，这可能是有问题的。本公开的方法和系统克服了该问题以及其它问题。
[0057]
图1是在证书授权系统200中管理与位于距证书授权系统200的远程位置440处的组件430相关联的证书的方法100的实施例的流程图。作为示例，方法100可以与被安装在远程位置440处的装置450中、在授权装置450中使用的组件430有关地被执行。装置450例如可以是诸如监控摄像机的摄像机、打印机、调制解调器、路由器、交换机、移动电话、汽车或连接到互联网的其它装置。应当注意，在方法100的所有方法步骤期间，与证书相关联的组件430不需要位于距证书授权系统200的远程位置440处。
[0058]
在方法100中，证书授权系统200接收s110证书请求，其中证书请求包括与组件430相关联的密钥。
[0059]
密钥是在身份验证和/或加密中使用的加密密钥。密钥可以是与组件430相关联的私钥/公钥对的公钥。
[0060]
证书请求可以进一步包括其中待安装组件430的装置450的装置标识以及组件430
的组件标识。
[0061]
装置标识可以是其它人通过其对装置进行唯一地标识的装置序列号或其它标识符。装置标识可以被铭刻在装置中并且可以由装置制造商470决定。
[0062]
组件标识可以是对组件430进行唯一地标识的序列号。
[0063]
证书请求可以是证书签名请求(csr)的形式或类似的形式，并且可以通过与发送证书请求的一方相关联的进一步的密钥被签名。进一步的密钥可以例如是与请求证书的一方相关联的私钥/公钥对的私钥。这对于将csr从代理(即与待生成的证书有关的私钥/公钥对的持有者之外的另一方)传输到证书授权系统的场景是有益的。在这种情况下，证书授权系统应当仅在代理是受信任方时才接收请求。证书授权系统然后可以基于进一步的密钥是受信方的私钥的标识来根据进一步的密钥确定csr来自受信方。这使得证书授权系统能够防止一些其它恶意方让证书授权系统为不在任何组件中的密钥颁发证书。
[0064]
生成s120与在证书请求中接收到的与和组件430相关联的密钥(诸如与组件430相关联的公钥)相对应的证书。证书包括密钥(诸如与组件相关联的公钥)，并且可以进一步包括组件的组件标识之一或两者。
[0065]
证书授权系统200促使s130证书的有效性状态被设置为无效。证书的有效性状态被设置为无效意味着该证书当前不能用于授权。可以使用诸如无效、撤销、暂停、未知等的不同的术语，这取决于所使用的系统类型，所有这些术语都旨在被术语“无效”所涵盖。
[0066]
证书授权系统200可以通过将指示已经生成证书的信息以及用于将证书设置为无效的指令发送给有效性服务系统420来促使证书的有效性状态被设置为无效。
[0067]
证书的有效性状态应当优选地在已经生成证书后尽可能快地被设置为无效。
[0068]
证书的有效性状态应当优选地被设置为无效，而不是有效性被设置为有效或被解释为在被设置为无效之前的任何时间段被设置为有效。
[0069]
证书被提供s140给组件430。可以通过将证书直接地发送给组件430或经由位于远程位置440处的远程服务器460将证书间接地发送给组件430来将证书提供给组件430。
[0070]
在将证书从证书授权服务器200直接地发送给组件430的情况下，可以随时将证书发送给组件430或以其它方式将证书提供给组件430。例如，可以在组件被传送到远程位置440之前将证书提供给组件430。
[0071]
在经由位于远程位置440处的远程服务器460将证书从证书授权系统200间接地发送给组件430的情况下，证书可以被本地地存储在远程服务器460处，直到应当将证书提供给组件430时的预定事件。例如，可以在确定组件430已经被安装在装置450中时将证书从远程服务器460提供给组件430。
[0072]
然后确定s150组件430是否与证书匹配。确定组件430是否与证书匹配可以基于分别与组件430和证书的特性有关的许多不同条件(包括存储的信息、当前状态和位置)来完成。例如，可以基于组件430的密钥来确定组件430与证书匹配，该密钥也是与已经为其生成证书的组件相对应的密钥。对于密钥是私钥/公钥对的公钥的情况，如果可以证明组件430拥有该私钥/公钥对的私钥，则确定组件430与证书匹配。证书授权系统200可以通过将用于检查组件430与证书是否匹配的质询发送给组件430来检查组件430是否拥有公钥/私钥对的私钥，并且根据来自组件430的对质询的响应来确定对该质询的响应是否验证组件430与证书匹配。质询例如可以是用私钥/公钥对的公钥(即与证书相关联的公钥)进行加密的消
息。如果来自组件430的对质询的响应示出了组件430能够解密该消息，则这证明组件430拥有私钥/公钥对的私钥，并且因此该组件与证书匹配。质询也可以是对组件430的请求以返回用其私钥/公钥对的私钥进行签名的响应。如果可以使用私钥/公钥对的公钥来验证响应，则证明该组件拥有私钥/公钥对的私钥。可以将质询直接地发送给组件430或经由远程服务器460间接地发送给组件430，并且可以从组件430直接地接收响应或经由远程服务器460从组件430间接地接收响应。
[0073]
此外，远程服务器460可用于确定组件430与证书是否匹配。如果远程服务器460确定组件430与证书匹配，则其将组件430与证书匹配的验证发送给证书授权系统200，之后在证书授权系统200中确定组件430与证书匹配。例如，可以将质询从远程服务器460发送给组件430，并且可以在远程服务器460中接收对质询的响应，这确定对质询的响应是否验证组件430与证书匹配，即是否验证组件430拥有私钥/公钥对的私钥。
[0074]
在组件被传送到远程位置440之前(即在组件430被安装在装置450中之前)证书已经被提供给组件430的情况下，组件430与证书是否匹配的检查可以被延迟到直到组件430已经被安装在装置450中。然后在确定组件430与证书匹配时，促使有效性状态被设置为有效。
[0075]
可能需要满足进一步的标准，以便确定组件430与证书匹配。例如，可能需要将组件430安装在通过装置标识进行标识的特定装置450中。装置标识可以在证书请求中提供并且可以包括在证书中。此外，可能需要组件430是通过组件标识进行标识的特定组件。组件标识可以在证书请求中提供并且可以包括在证书中。
[0076]
在确定组件430与证书匹配c155时，证书授权系统200促使s160有效性状态被设置为有效(例如通过指示有效性服务系统420将证书的有效性状态设置为有效)。证书的有效性状态被设置为有效意味着该证书当前可用于授权。可以使用诸如有效、良好等的不同的术语，这取决于所使用的系统类型，所有这些术语都旨在被术语“有效”所涵盖。
[0077]
例如在有效性服务系统420中将证书的有效性状态设置为无效和有效使得第三方能够通过检查证书的当前有效性状态(例如通过在有效性服务系统420中请求或访问证书的有效性状态)来查看证书是否有效。
[0078]
如果按照征求意见稿(rfc)5280中的定义使用证书撤销列表(crl)，则证书的有效性状态可以被设置为保留或撤销。有效性状态保持是可逆的，并且可用于标注证书的暂时无效。证书的有效性状态可以再次被设置为有效，从而将证书从未来的crl中删除。因此，在本方法中，证书验证系统200可以通过状态保持的手段促使证书被设置为无效，并且然后通过将证书从未来的crl中删除来促使证书的有效性状态再次被设置为有效。
[0079]
如果使用rfc 6960中定义的在线证书状态协议(ocsp)，则该协议列出了证书有效性状态的三个值，即0-良好、1-已撤销和2-未知。对于具有“有效性状态已撤销”的证书，还可以检索撤销原因(如在rfc 5280中定义的那样可能是certificatehold)。具有带有撤销原因certificatehold的有效状态已撤销的证书可以用于临时无效。然后可以再次将有效性状态设置为良好。因此，在本方法中，证书授权系统200可以通过带有撤销原因certificatehold的状态已撤销的手段将证书设置为无效，并且然后借助于状态良好的手段再次将证书的有效性状态设置为有效。
[0080]
在确定组件与证书不匹配c155时，不会引起有效性状态的变化，因此有效性状态
维持设置为无效。
[0081]
图2是用于管理与位于距证书授权系统200的远程位置440处的组件430相关联的证书的证书授权系统200的实施例的示意性框图。证书授权系统200包括被配置为执行证书授权系统的功能的电路210。电路210可以包括诸如中央处理单元(cpu)、微控制器或微处理器的处理器215。证书授权系统200可以进一步包括诸如存储器220的非暂时性计算机可读存储介质。存储器220可以是缓冲器、闪存、硬盘驱动器、可移动介质、易失性存储器、非易失性存储器、随机存取存储器(ram)和其它合适的装置中的一种或多种。在典型布置中，存储器220可以包括用于长期数据存储的非易失性存储器以及用作电路220的系统存储器的易失性存储器。存储器220可以通过数据总线与电路210交换数据。也可以存在在存储器220和电路210之间的伴随式控制线和地址总线。存储器可以包括程序代码形式的指令225，该指令225被配置为在由处理器215执行时执行证书授权系统200的功能。证书授权系统200的功能例如可以是：接收证书请求，其中证书请求包括与组件430相关联的密钥；生成与在证书请求中接收到的密钥相对应的证书；促使证书的有效性状态被设置为无效；将证书提供给组件430；确定组件430与证书是否匹配；以及在确定组件430与证书匹配时，促使有效性状态被设置为有效。
[0082]
证书授权系统200可以实施在一个包含证书授权根证书并颁发与组件430相关联的证书的服务器中。在替代方案中，证书授权系统200可以实施在一个用作一个或多个硬件安全模块(hsm:s)的前端的服务器中，这些模块包含证书授权根证书并颁发与组件430相关联的证书。在进一步的替代方案中，证书授权系统200可以实施在一个用作“hsm集群”的前端的服务器中，该“hsm集群”使用多个受信任的执行环境(tee:s)连同例如秘密共享来在tee实例之间拆分证书授权证书，该tee实例中的所有或一些必须同意颁发与组件430相关联的证书。该tee:s可以位于云和本地装置之间。
[0083]
证书授权系统200的功能可以进一步适用于关于图1描述的方法100的相应步骤。
[0084]
图3a和图3b是在证书管理系统400中管理与组件相关联的证书的方法300的实施例的流程图。其中方法300被执行的证书管理系统400包括证书授权系统200和有效性服务系统420。至少在方法300的方法步骤的子集期间，与证书相关联的组件430位于距证书授权系统200的远程位置440处。在证书授权系统200中接收s310证书请求。证书请求包括与组件430相关联的密钥。然后在证书授权系统200中生成s320与在证书请求中接收到的密钥相对应的证书，并且将指示已经生成证书的信息从证书授权系统200发送s325到有效性服务系统420。然后通过将用于将证书设置为无效的指令从证书授权系统200发送s330到有效性服务系统420，促使证书的有效性状态被设置为无效。然后在有效性服务系统420中将证书的有效性状态设置s335为无效。然后将证书从证书授权系统200提供s340给组件430。然后在证书授权系统200中确定s350组件430与证书是否匹配。可以在将证书提供给组件430之后的任何时间(诸如几小时、几天或几周)确定组件430与证书是否匹配。在确定组件430与证书c355匹配时，通过将用于将证书设置为有效的指令从证书授权系统200发送s360给有效性服务系统420，促使证书的有效性状态设置为有效。然后在有效性服务系统420中将证书的有效性状态设置s365为有效。在确定组件430与证书不匹配c355时，在有效性服务系统420中将证书的有效性状态维持为无效。
[0085]
其中方法300被执行的证书管理系统400可以进一步包括位于远程位置440处的远
程服务器460。然后可以通过将证书从证书授权系统200发送给远程服务器460并且将证书从远程服务器460发送或提供给组件430，来将证书从证书授权系统200提供s340给组件430。证书可以被本地地存储在远程服务器460处，直到应当将证书提供给组件430时的预定事件。例如，可以在确定组件430已经被安装在装置450中时将证书从远程服务器460提供给组件430。
[0086]
方法300的步骤可以进一步适用于关于图1描述的方法100的相应步骤。
[0087]
转至到图4，图4是用于根据关于图1、图3a和图3b描述的方法来管理证书的证书管理系统400的实施例的示意性框图。
[0088]
关于证书管理系统400，组件供应商480将组件430提供4a给远程位置440。组件供应商480进一步将与组件相关联的密钥(通常是与组件430相关联的私钥/公钥对的公钥)提供4b给装置制造商470。装置制造商470然后生成证书请求并将证书请求提供4c给证书授权系统200。在替代方案中，可以将密钥提供4b给代表装置制造商470的代理，该代理生成证书请求并将其提供4c给证书授权系统200。证书请求和证书还可以分别是如关于图1描述的证书请求和证书。
[0089]
然后在证书授权系统200中生成4d与在证书请求中接收到的密钥相对应的证书(未示出)，并且将指示已经生成证书的信息从证书授权系统200发送4e给有效性服务系统420。然后，证书授权系统200通过将用于将证书的有效性状态设置为无效的指令发送4f给有效性服务系统420，促使证书的有效性状态被设置为无效。然后在有效性服务系统420中将证书的有效性状态设置4g为无效。然后，将证书从证书授权系统200直接地提供4h给组件450或经由远程服务器460将证书从证书授权系统200间接地提供4h给组件450。如果经由远程服务器460间接地提供证书，则证书可以被本地地存储在远程服务器460处，直到应当将证书提供给组件430时的预定事件。例如，可以在确定组件430已经被安装在装置450中时将证书从远程服务器460提供给组件430。然后在证书授权系统200中确定4i组件430与证书是否匹配。可以如关于图1描述的那样在证书授权系统200中确定4i组件与证书是否匹配。
[0090]
对于与组件430相关联的密钥是私钥/公钥对的公钥的情况，证书授权系统200可以通过将质询发送4j给组件430来确定4i组件430与证书是否匹配，并且根据来自组件430的对质询的响应4k来确定对质询的响应是否验证组件430与证书匹配，如关于图1所描述。可以将质询直接地发送给组件430或可以经由远程服务器460将质询间接地发送给组件430，并且可以从组件440直接地接收对质询的响应或可以经由远程服务器460从组件440间接地接收对质询的响应。在替代方案中，远程服务器460可以通过将质询发送4l给组件430来确定组件430与证书是否匹配，并且根据来自组件430的对质询的响应4m来确定对质询的响应是否验证组件430与证书匹配，如关于图1所描述。在远程服务器460中确定4n组件430与证书匹配时，远程服务器460将组件430与证书匹配的验证发送4o给证书授权系统200，证书授权系统200然后确定组件430与证书匹配。
[0091]
在证书授权系统200中确定组件430与证书匹配时，证书授权系统200通过将用于将证书的有效性状态设置为有效的指令发送4p给有效性服务系统420，促使证书的有效性状态被设置为有效。然后在有效性服务系统420中将证书的有效性状态设置4q为有效。
[0092]
在确定组件430与证书不匹配时，证书的有效性状态不被改变并且因此在有效性服务系统420中维持无效。证书的状态可以例如在已经确定组件430与证书不匹配的预定次
数之后、在生成证书之后的预定时间段之后或证书的状态被设置为无效之后的预定时间段之后被设置为已撤销。证书授权系统200和/或有效性服务系统420可以包括用于手动将证书的有效性状态设置为撤销的接口。
[0093]
第三方490然后可以通过在有效性服务系统420中检查证书的有效性状态(例如通过向有效性服务服务器420发送4r请求并从有效性服务系统420接收4s响应)来检查证书是否有效。在有效性服务系统420中将证书的有效性状态设置4q为有效之前，响应4s将指示证书的有效性状态是无效的，并且在有效性服务系统420中将证书设置4q为有效之后，响应4s将指示证书的有效性状态是有效的。
[0094]
本领域技术人员意识到，本发明不限于上述实施例。相反，在所附权利要求的范围内，许多修改和变化是可能的。通过研究附图、公开内容和所附权利要求，本领域技术人员在实践所要求保护的本发明时可以理解和实现这样的修改和变化。
[0095]
已经主要关于从证书授权系统向位于距证书授权系统的远程位置处的组件提供证书来描述实施例，其中组件将被安装在装置中。然而，本公开的教导同样适用于将证书被提供给组件的时间与决定证书与组件匹配的时间分开是有益的并且因此证书应当可以有效地用于身份验证的任何情况。例如，当将证书提供给组件的时间很关键但在提供时无法确定证书与组件是否匹配时(例如由于缺乏与组件的连接)的情形就是这样的情况。