使用CRL的未来证书撤销制造技术

提供了一种方法，所述方法包括检查是否接收到安装在通信实体中的证书在未来的撤销时间要被撤销的指示；在接收到所述指示的情况下准备第一撤销列表，其中所述第一撤销列表包括所述证书的标识符和所述撤销时间；向通信实体提供所述第一撤销列表。

Future certificate revocation with CRL

Provides a method, the method includes checking whether the received communication entity installed in the certificate in time to cancellation of the revocation of instructions in the future; receiving the indication of the case for the first revocation list, wherein the first identifier list includes the certificate revocation and the revocation of time; the first communication entity to provide revocation list.

【技术实现步骤摘要】
【国外来华专利技术】使用CRL的未来证书撤销
本专利技术涉及与安全通信相关的装置、方法和计算机程序产品。更特别地，本专利技术涉及与公钥基础结构相关的装置、方法和计算机程序产品。
技术介绍
缩略语3GPP第三代合作伙伴项目CA证书机构cert证书CMP证书管理协议（如RFC4210中）CRL证书撤销列表EDGE增强型数据速率GSM演进EE终端实体E-UTRAN演进UTRANGPRS通用分组无线业务GSM全球移动通信系统HTTP超文本传输协议IETF互联网工程任务组IPsec网际协议安全（由IETF的安全协议）KUR密钥更新请求（CMP消息）LTE长期演进LTE-ALTE高级NE网络元件O&M运营和维护PKI公钥基础结构RA注册机构RFC请求注释（除其他之外尤其包含所提出的IETF标准的文档）SN序列号SSL安全套接字层TA信任锚TS技术规范（包含3GPP标准的文档）TLS传输层安全（由IETF的安全协议）UMTS通用移动电信系统WiFi无线保真WLAN无线局域网。在许多固定和移动网络中使用基于证书的认证框架（也称为PKI）。除其他用例之外，PKI框架尤其用于针对IPsec和TLS/SSL连接的认证。为了使得NE能够建立与彼此的安全TLS或IPsec连接，需要在NE中安装终端实体（EE）证书和相关的信任锚（TA）证书（可选地还有中间CA证书）。在大型网络中，证书管理可以通过使用证书管理协议（CMP）来自动化。如图1所示，存在证书的层级。每个实体（信任锚（TA）、中间CA（CA1，如果可用的话）和终端实体（EE1）具有一个或多个密钥对，其中每个密钥对包括私钥和公钥。TA通过使用散列创建然后利用其自身的私钥abc加密的某个数据集之上的摘要来数字地签名（sign）该数据集（其通常包括公钥和一些元数据，诸如序列号、有效期、发行者名称、主题（subject）名称、密钥使用、可选扩展等）。其产生TA自我签名的证书ABC。证书具有序列号，诸如SN1。中间CA具有私钥CA1。其公钥和元数据由在PKI层级中高于CA的上级TA签名。因此，创建了由TA签名的具有例如SN=800的CA1证书。对应地，EE具有私钥EE1。获得了由CA1签名的具有例如SN=1300的EE1证书。图2是解释图中使用的符号的图例。如在图2的左侧可以看出，框表示具有主题名称（例如，TA1）的主题，在其上安装具有序列号（例如，sn100）的证书。证书基于一对私钥和公钥（例如k100）。箭头表示证书，无论它们是否为一部分的圆（自我签名的证书）或者它们是否为笔直的（由上级实体（诸如针对EE证书的CA）签名的）。如在图2的右侧可以看出，可以在主题上安装多个证书（例如sn100至sn400）。此外，主题可以具有多个密钥对（例如k100和k200）。每个密钥对可以被包括在多个证书中。例如，证书sn100和sn200两者都包括密钥对k100，并且证书sn300和sn400两者都包括密钥对k200。在图2的右侧，也示出了PKI层级。也就是说，中间CA1上的密钥对（例如k300）和相关的元数据由TA1通过使用其私钥（例如k100）的数字签名来发证书。图3解释了根据CMP协议的密钥的签名和分发。在左上侧示出了EE证书的登记。即，EE发送CMPIR（初始请求），其中包含EE公钥及其元数据的证书签名请求要由CA发证书。作为响应，CA通过CMPIP（初始响应）消息提供签名EE证书以及中间CA证书和TA证书。最后两个消息是确认消息。如在图3的右上部分所示，如果EE请求密钥更新，例如，因为EE证书将要期满，则它发送CMPKUR消息。公钥可以与IR的公钥相同或不同（新生成的密钥对）。CA通过发送CMPKUP消息进行响应，该消息包括更新的签名EE证书和中间CA证书。最后两个消息是确认消息。根据最近的专利申请PATL1，在TA证书期满的情况下，CA响应于CMPKUR，除了签名EE证书和中间CA证书之外还提供新TA证书（如图3的左下部分所示）。为了无缝转变，在这种情况下，KUR被触发两次，其中第二KUR在第一KUR处接收到的EE证书期满时被触发。图4是图示其中在终端实体A和终端实体B之间建立安全连接的一般网络部署的示意图。两个终端实体都被提供有公共信任锚（TA），并且每个终端实体具有分别利用与公共信任锚的证书相关的私钥进行签名的证书。在网络中使用的证书经常由于各种原因需要在其通常的有效期限前很多进行更新。虽然CMP允许自动证书请求、签名和部署，但是用于开始对EE的非计划更新的触发仍然需要从外部（例如从网络元件管理实体）明确地信令（signal），并且不由本地PKI协议和构造本地的部件内处理。这需要大量的手动干预和工作。3GPPTS33.310描述了在移动网络中将CMP用于PKI推出（rollout）的自动化。在向网络中的EE首次推出证书之后，存在针对管理（例如，针对计划和非计划的证书更新）的连续需要。计划的证书更新通常在证书期满之前的预定时间段内进行，并且因此管理起来相对简单，这是通过将EE预先配置为请求基于X.509证书中规定的期满时间由算法触发的新证书。然而，非计划的证书更新会引起如何将用于更新的触发传达给EE的问题，因为PKI系统通常无法直接联系它们。针对非计划的证书更新的原因可能包括：1.加密密钥的改变2.证书参数方面的改变3.需要分离/合并安全域的两个公司的合并/收购。3GPP规定了向终端实体递送信任锚作为使用CMP协议的IP（初始化响应）消息初始引导进入PKI的一部分。然而，目前的3GPP规范不使得能够实现如例如RFC4210第5.3.13章（CA密钥更新公告）中指定的任何信任锚更新过程。目前的惯例通常涉及来自操作者的手动干预，部分地使具有完全自动化PKI推出的目的失败。问题进一步由于如下的事实而加剧：在大型网络中，使所有终端实体迁移成在同一时间点处使用新信任锚是不可行的。这可能会在意图为通过安全连接来连接的对等体的EE之间创建严重的互操作性问题。图5图示了该问题。图5是图示了一般网络部署中的连接丢失的风险的示意图。特别地，在图5的网络部署中，终端实体（对等体）A与终端实体（对等体）B之间的安全连接被破坏。即，虽然对等体A已经被提供以新信任锚并且因此具有利用与新信任锚的证书相关的私钥签名的新的终端实体证书（EEA的证书），但是对等体B仍然被提供以旧信任锚，并且其终端实体证书（EEB的证书）利用与旧信任锚的证书相关的私钥签名。特别地，如果在对等体A处安装具有新EE证书的新TA，则安全连接可能会在-对等体A自动重新建立由新证书的安装而触发的安全连接时，或者，在-对等体A或对等体B利用认证执行密钥更新（rekey）时被破坏。在这种情况下，不能建立安全连接，因为对等体B还未拥有并且还未利用新TA。需要注意的是，较高级别PKI证书的过早期满也可能（但不一定，如果替代的有效证书链是可用的话）导致较低级别证书变得实际上无效。如果更新了TA证书，则可能需要也更新通过其签名的中间CA和/或EE证书。如果更新了中间CA证书，则可能需要也更新通过其签名的较低级别中间CA和/或EE证书。以下现有方法对于信任锚更新是已知的：现有方法A：手动安装该方法在3GPP网络中最常用于信任锚更新。它涉及在所有节点上手动本文档来自技高网...

【技术保护点】
一种装置，包括检查部件，其被适配成检查是否接收到安装在通信实体中的证书在未来的撤销时间要被撤销的指示；第一准备部件，其被适配成在接收到所述指示的情况下准备第一撤销列表，其中所述第一撤销列表包括所述证书的标识符和所述撤销时间；第一提供部件，其被适配成向通信实体提供所述第一撤销列表。

【技术特征摘要】
【国外来华专利技术】1.一种装置，包括检查部件，其被适配成检查是否接收到安装在通信实体中的证书在未来的撤销时间要被撤销的指示；第一准备部件，其被适配成在接收到所述指示的情况下准备第一撤销列表，其中所述第一撤销列表包括所述证书的标识符和所述撤销时间；第一提供部件，其被适配成向通信实体提供所述第一撤销列表。2.根据权利要求1所述的装置，其中所述证书是通过与旧信任锚证书对应的私钥签名的第一终端实体证书，并且所述装置还包括响应部件，其被适配成通过提供通过与新信任锚证书对应的私钥签名的第二终端实体证书和所述新信任锚证书来对所述证书的密钥更新请求进行响应。3.根据权利要求2所述的装置，还包括确定部件，其被适配成确定具有通过与旧信任锚证书对应的私钥签名的终端实体证书的所有终端实体已经安装了相应的第二终端实体证书，其中每个第二终端实体证书通过与新信任锚证书对应的私钥进行签名；第二准备部件，其被适配成在确定所有终端实体已经安装了相应的第二终端实体证书的情况下准备第二撤销列表，其中所述第二撤销列表包括所述第二终端实体证书的标识符和所述撤销时间；和第二提供部件，其被适配成向通信实体提供所述第二撤销列表。4.根据权利要求1至3中任一项所述的装置，其中第一准备部件被适配成在第一撤销列表的扩展字段中包括所述标识符和所述撤销时间。5.根据权利要求1至4所述的装置，其中第一准备部件被适配成将所述标识符和所述撤销时间作为条目包括到第一撤销列表的一个或多个撤销证书的列表中。6.根据权利要求5所述的装置，还包括设置部件，其被适配成设置条目的原因码和条目的扩展字段中的至少一个使得其指示撤销时间在未来。7.一种装置，包括检查部件，其被适配成检查是否接收到第一证书在未来的撤销时间将要被撤销的指示，其中在包括第一证书的标识符的撤销列表中接收所述撤销时间，并且其中所述撤销时间被分配给所述标识符；第一请求部件，其被适配成在接收到所述指示的情况下请求所述第一证书的更新。8.根据权利要求7所述的装置，其中将所述标识符和所述撤销时间包括在所述撤销列表的扩展字段中。9.根据权利要求7所述的装置，其中将所述标识符和所述撤销时间作为条目包括在一个或多个撤销证书的列表中。10.根据权利要求9所述的装置，其中检查部件被适配成检查条目的原因码和条目的扩展字段中的至少一个是否指示所述撤销时间在未来。11.根据权利要求9所述的装置，还包括比较部件，其被适配成将实际时间和撤销时间相比较；并且其中所述检查部件被适配成在撤销时间比实际时间晚的情况下考虑接收到所述指示。12.根据权利要求7至11中任一项所述的装置，还包括迁移部件，其被适配成在接收到所述指示的情况下从第一证书迁移到第二证书使得最晚在撤销时间安装第二证书。13.根据权利要求12所述的装置，其中迁移部件被适配成在比撤销时间早的安装时间安装临时证书使得第一证书和临时证书在安装时间和撤销时间之间同时有效，并在临时证书被安装之后并且最晚在撤销时间安装第二证书。14.根据权利要求13所述的装置，还包括第二请求部件，其被适配成在撤销时间处或之前的时间处请求临时证书的更新...

【专利技术属性】
技术研发人员：S库马，J奥普施勒夫，MK佩罗，G古利尔米尼，M什曼斯基，
申请(专利权)人：诺基亚通信公司，
类型：发明
国别省市：芬兰,FI