用于管理计算装置上的证书的技术制造方法及图纸

提供了用于管理计算装置上的证书的技术。一种根据这些技术的实例方法包含：接收包括应被执行证书动作的证书的散列值的图像文件，所述证书动作是撤销动作或激活动作，所述图像文件已由签名证书签名；通过比较所述签名证书的散列值与存储于所述计算装置的一次性可编程存储器中的证书相关联的多个散列值来确定所述图像文件是否已由有效证书签名；以及通过设定与所述存储器中的所述证书相关联的指示器的值，响应于所述图像文件已由所述有效证书签名并已在所述存储器中找到应被执行所述证书动作的所述证书，执行所述证书动作。

The technology used to manage certificates on a computing device

A technology for managing certificates on a computing device is provided. An example method based on these techniques includes: receiving an image file that includes a hash value of a certificate that should be executed by a certificate, the certificate action is a revocation action or an activation action, the image file has been signed by the signature certificate; by comparing the hash values of the signed certificate and the one stored in the computing device. Multiple hash values associated with certificates in a secondary programmable memory to determine whether the image file has been signed by a valid certificate; and by setting the value of an indicator associated with the certificate in the memory, the image file has been signed by the valid certificate and has been found in the memory. The certificate action should be executed by the certificate described in the certificate action.

【技术实现步骤摘要】
【国外来华专利技术】用于管理计算装置上的证书的技术
技术介绍
计算装置，例如笔记本电脑、移动电话、智能电话、智能手表和其它类型的计算装置，可将证书密码证书用作公用密钥基础设施的部分。所述证书可由计算装置以各种方式使用。举例来说，证书可用以对计算装置上部署的图像文件进行签名以确保例如操作系统文件等软件和/或待由计算装置执行的其它软件由受信任的源提供。在某些情形下，例如当认证机构(CertificateAuthority，CA)不恰当地发布了证书或私用密钥受损害时，可不可逆地撤销证书。如果由证书标识的实体未能遵守政策要求，例如公开错误文档、曲解软件行为或违反由CA操作人员或CA的客户指定的任何其它政策，那么也可撤销证书。撤销的最常见原因是用户不再独占私用密钥(例如含有私钥的符记已丢失或被盗)。撤销的最常见实施方案使用证书撤销列表(CertificationRevocationList，CRL)。CRL列举数字证书的列表以及撤销所述证书中的每一个的原因。CRL不会为移动计算系统和/或嵌入式计算系统环境提供良好的解决方案，这是因为CRL必须频繁地更新，并会在此类计算装置的通常有限的存储器中消耗大量空间。
技术实现思路
一种用于管理计算装置上的证书的实例方法包含：在所述计算装置处接收包括应被执行证书动作的证书的散列值的图像文件，所述证书动作是撤销动作或激活动作，所述图像文件已由签名证书签名；通过比较所述签名证书的散列值与与存储于所述计算装置的一次性可编程存储器中的证书相关联的多个散列值来确定所述图像文件是否已由有效证书签名；以及通过设定与所述一次性可编程存储器中的所述证书相关联的指示器的值，响应于所述图像文件已由所述有效证书签名且已在所述计算装置的所述一次性可编程存储器中找到应被执行所述证书动作的所述证书，对应被执行所述证书动作的所述证书执行所述证书动作。此方法的实施方案可包含以下特征中的一或多个。所述签名证书与所述证书是同一证书。通过比较所述签名证书的所述散列值与与存储于所述计算装置的所述一次性可编程存储器中的证书相关联的所述多个散列值来确定所述图像文件是否已由所述证书签名包含：标识与存储于所述计算装置的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述签名证书的所述散列值的散列值；以及确定与所标识散列值相关联的证书是否主动。用于确定与所标识散列值相关联的所述证书是否主动的所述装置包含：确定所标识散列值的所述散列值的散列；以及确定所述计算装置的所述一次性可编程存储器中的与所标识散列值的所述散列值相关联的第二指示器是否被设定成指示所述证书主动的值。确定所述计算装置的所述一次性可编程存储器中的与所标识散列值的所述散列值相关联的第一指示器是否被设定成指示所述证书尚未被撤销的值。所述证书动作是所述撤销动作，且对所述证书执行所述证书动作包含：标识与存储于所述计算装置的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述证书的所述散列值的散列值；确定所标识散列值的所述散列值的散列值；以及设定所述计算装置的所述一次性可编程存储器中的与所标识散列值的所述散列值的所述散列值相关联的第一指示器的值以不可撤销地撤销所述证书。确定与与存储于所述一次性可编程存储器中的证书相关的所述多个散列值联相关联的任何其它根证书是否主动并尚未在设定所述一次性可编程存储器中的所述第一指示器的所述值之前被撤销。所述证书动作是所述激活动作，且对所述证书执行所述证书动作包含：标识与存储于所述计算装置的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述证书的所述散列值的散列值；确定所述证书的所述散列值的散列值；以及设定所述计算装置的所述一次性可编程存储器中的与所述证书的所述散列值的所述散列值相关联的第二指示器的值以激活所述证书。通过执行以下操作来确定所述证书是否已被撤销：确定所述计算装置的所述一次性可编程存储器中的与所述证书的所述散列值的所述散列值相关联的第一指示器是否被设定成指示所述证书尚未被撤销的值。所述一次性可编程存储器中的指示器可包括熔丝、反熔丝、或可表示一或多个位的数据的其它类型的指示器。可通过使熔丝熔断或以其它方式不可撤销地设定所述一次性可编程存储器中的值来设定指示器的值。一种根据本公开的实例设备包含：用于接收包括应被执行证书动作的证书的散列值的图像文件的装置，所述证书动作是撤销动作或激活动作，所述图像文件已由签名证书签名；用于通过比较所述签名证书的散列值与与存储于所述设备的一次性可编程存储器中的证书相关联的多个散列值来确定所述图像文件是否已由有效证书签名的装置；以及用于通过设定与所述一次性可编程存储器中的所述证书相关联的指示器的值，响应于所述图像文件已由所述有效证书签名且已在所述设备的所述一次性可编程存储器中找到应被执行所述证书动作的所述证书，对所述证书执行所述证书动作的装置。此设备的实施方案可包含以下特征中的一或多个。所述签名证书与所述证书是同一证书。用于通过比较所述签名证书的所述散列值与与存储于所述设备的所述一次性可编程存储器中的证书相关联的所述多个散列值来确定所述图像文件是否已由所述有效证书签名的所述装置包含：用于标识与存储于所述设备的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述签名证书的所述散列值的散列值的装置；以及用于确定与所标识散列值相关联的证书是否主动的装置。用于确定与所标识散列值相关联的所述证书是否主动的所述装置包含：用于确定所标识散列值的所述散列值的散列的装置；以及用于确定所述设备的所述一次性可编程存储器中的与所标识散列值的所述散列值相关联的第二指示器是否被设定成指示所述证书主动的值的装置。用于确定所述设备的所述一次性可编程存储器中的与所标识散列值的所述散列值相关联的第一指示器是否被设定成指示所述证书尚未被撤销的值的装置。所述证书动作是所述撤销动作，且用于对所述证书执行所述证书动作的所述装置包含：用于标识与存储于所述设备的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述证书的所述散列值的散列值的装置；用于确定所述证书的所述散列值的散列值的装置；以及用于设定所述设备的所述一次性可编程存储器中的与所述证书的所述散列值的所述散列值的相关联的第一指示器的值以不可撤销地撤销所述证书的装置。用于确定与与存储于所述一次性可编程存储器中的证书相关的所述多个散列值联相关联的任何其它根证书是否主动并尚未在设定所述一次性可编程存储器中的所述第一指示器的所述值之前被撤销的装置。所述证书动作是所述激活动作，且用于对所述证书执行所述证书动作的所述装置包含：用于标识与存储于所述设备的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述证书的所述散列值的散列值的装置；用于确定所述证书的所述散列值的散列值的装置；以及用于设定所述设备的所述一次性可编程存储器中的与所述证书的所述散列值的所述散列值相关联的第二指示器的值以激活所述证书的装置。用于确定所述证书是否已被撤销的装置，用于确定所述证书是否已被撤销的所述装置包含：用于确定所述设备的所述一次性可编程存储器中的与所述证书的所述散列值的所述散列值相关联的第一指示器是否被设定成指示所述证书尚未被撤销的值的装置。所述一次性可编程存储器中的指示器可包本文档来自技高网...

【技术保护点】
一种用于管理计算装置上的证书的方法，所述方法包括：在所述计算装置处接收包括应被执行证书动作的证书的散列值的图像文件，所述证书动作是撤销动作或激活动作，所述图像文件已由签名证书签名；通过比较所述签名证书的散列值与与存储于所述计算装置的一次性可编程存储器中的证书相关联的多个散列值来确定所述图像文件是否已由有效证书签名；以及通过设定与所述一次性可编程存储器中的所述证书相关联的指示器的值，响应于所述图像文件已由所述有效证书签名且已在所述计算装置的所述一次性可编程存储器中找到应被执行所述证书动作的所述证书，对应被执行所述证书动作的所述证书执行所述证书动作。

【技术特征摘要】
【国外来华专利技术】2015.09.25 US 14/865,4481.一种用于管理计算装置上的证书的方法，所述方法包括：在所述计算装置处接收包括应被执行证书动作的证书的散列值的图像文件，所述证书动作是撤销动作或激活动作，所述图像文件已由签名证书签名；通过比较所述签名证书的散列值与与存储于所述计算装置的一次性可编程存储器中的证书相关联的多个散列值来确定所述图像文件是否已由有效证书签名；以及通过设定与所述一次性可编程存储器中的所述证书相关联的指示器的值，响应于所述图像文件已由所述有效证书签名且已在所述计算装置的所述一次性可编程存储器中找到应被执行所述证书动作的所述证书，对应被执行所述证书动作的所述证书执行所述证书动作。2.根据权利要求1所述的方法，其中所述签名证书与所述证书是同一证书。3.根据权利要求1所述的方法，其中通过比较所述签名证书的所述散列值与与存储于所述计算装置的所述一次性可编程存储器中的证书相关联的所述多个散列值来确定所述图像文件是否已由所述有效证书签名进一步包括：标识与存储于所述计算装置的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述签名证书的所述散列值的散列值；以及确定与所标识散列值相关联的证书是否主动。4.根据权利要求3所述的方法，其中确定与所标识散列值相关联的所述证书是否主动进一步包括：确定所标识散列值的所述散列值的散列值；以及确定所述计算装置的所述一次性可编程存储器中的与所标识散列值的所述散列值相关联的第二指示器是否被设定成指示所述证书主动的值。5.根据权利要求4所述的方法，其进一步包括：确定所述计算装置的所述一次性可编程存储器中的与所标识散列值的所述散列值相关联的第一指示器是否被设定成指示所述证书尚未被撤销的值。6.根据权利要求1所述的方法，其中所述证书动作是所述撤销动作，且其中对所述证书执行所述证书动作进一步包括：标识与存储于所述计算装置的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述证书的所述散列值的散列值；确定所标识散列值的所述散列值的散列值；以及设定所述计算装置的所述一次性可编程存储器中的与所标识散列值的所述散列值的所述散列值相关联的第一指示器的值以不可撤销地撤销所述证书。7.根据权利要求6所述的方法，其进一步包括确定与与存储于所述一次性可编程存储器中的证书相关的所述多个散列值联相关联的任何其它根证书是否主动并尚未在设定所述一次性可编程存储器中的所述第一指示器的所述值之前被撤销。8.根据权利要求1所述的方法，其中所述证书动作是所述激活动作，且其中对所述证书执行所述证书动作进一步包括：标识与存储于所述计算装置的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述证书的所述散列值的散列值；确定所述证书的所述散列值的散列值；以及设定所述计算装置的所述一次性可编程存储器中的与所述证书的所述散列值的所述散列值相关联的第二指示器的值以激活所述证书。9.根据权利要求8所述的方法，其进一步包括通过执行以下操作来确定所述证书是否已被撤销：确定所述计算装置的所述一次性可编程存储器中的与所述证书的所述散列值的所述散列值相关联的第一指示器是否被设定成指示所述证书尚未被撤销的值。10.一种设备，其包括：用于接收包括应被执行证书动作的证书的散列值的图像文件的装置，所述证书动作是撤销动作或激活动作，所述图像文件已由签名证书签名；用于通过比较所述签名证书的散列值与与存储于所述设备的一次性可编程存储器中的证书相关联的多个散列值来确定所述图像文件是否已由有效证书签名的装置；以及用于通过设定与所述一次性可编程存储器中的所述证书相关联的指示器的值，响应于所述图像文件已由所述有效证书签名且已在所述设备的所述一次性可编程存储器中找到应被执行所述证书动作的所述证书，对所述证书执行所述证书动作的装置。11.根据权利要求10所述的设备，其中所述签名证书和所述证书是同一证书。12.根据权利要求10所述的设备，其中所述用于通过比较所述签名证书的所述散列值与与存储于所述设备的所述一次性可编程存储器中的证书相关联的所述多个散列值来确定所述图像文件是否已由所述有效证书签名的装置进一步包括：用于标识与存储于所述设备的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述签名证书的所述散列值的散列值的装置；以及用于确定与所标识散列值相关联的证书是否主动的装置。13.根据权利要求12所述的设备，其中所述用于确定与所标识散列值相关联的所述证书是否主动的装置进一步包括：用于确定所标识散列值的所述散列值的散列值的装置；以及用于确定所述设备的所述一次性可编程存储器中的与所标识散列值的所述散列值相关联的第二指示器是否被设定成指示所述证书主动的值的装置。14.根据权利要求13所述的设备，其进一步包括：用于确定所述设备的所述一次性可编程存储器中的与所标识散列值的所述散列值相关联的第一指示器是否被设定成指示所述证书尚未被撤销的值的装置。15.根据权利要求10所述的设备，其中所述证书动作是所述撤销动作，且其中所述用于对所述证书执行所述证书动作的装置进一步包括：用于标识与存储于所述设备的所述一次性可编程存储器中的证书相关联的所述多个散列值中的匹配所述证书的所述散列值的散列值的装置；用于确定所述证书的所述散列值的散列值的装置；以及用于确定所述设备的所述一次性可编程存储器中的与所述证书的所述散列值的所述散列值的相关联的第一指示器的值以不可撤销地撤销所述证书的装置。16.根据权利要求15所述的设备，其进一步包括用于确定与与存储于所述一次性可编程存储器中的证书相关的所述多个散列值联相关联的任何其它根证书是否主动并尚未在设定所述一次性可编程存储器中的所述第一指示器的所述值之前被撤销的装置。17.根据权利要求10所述的设备，其中所述证书动作是所述激活动作，且其中所述用于对所述证书执行所述证书...

【专利技术属性】
技术研发人员：M·米兰达，Q·巴希尔，S·帕特内，R·凯达尔，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：美国,US