主机装置将主机证书和有关的证书撤回列表呈现给存储器装置以供验证,使得所述存储器装置无需自己获得所述列表。可由所述存储器装置同时执行对所述证书撤回列表的处理与对于证书识别的搜索。为了方便用户起见,可将用于向存储器装置验证主机装置的所述证书撤回列表存储于所述存储器装置的未受保护区域中。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术大体涉及存储器系统,且明确地说涉及一种具有通用内容控制特征的存储器 系统。
技术介绍
例如快闪存储器卡的存储装置已成为用于存储例如照片等数字内容的首选存储媒 体。快闪存储器卡还可用于分配其它类型的媒体内容。此外,越来越多种类的主机装置, 例如计算机、数码相机、蜂窝式电话、个人数字助理(PDA)和媒体播放器(例如,MP3 播放器),现具有呈现存储在快闪存储器卡中的媒体内容的能力。因此,快闪存储器卡以 及其它类型的移动存储装置存在巨大潜力变为用于分配数字内容的广泛使用的媒介物。数字内容的所有者和分配者的重要关注点之一是,在内容已经通过从例如因特网的 网络下载或通过存储装置上的内容的分配而被分配之后,应仅允许经授权方存取所述内 容。避免未经授权存取的方式之一是使用一种用于在向一方准予内容存取之前建立所述 方的身份的系统。已开发出例如公共密钥基础结构(PKI)的系统以用于此目的。在PKI 系统中,称为证书授权方(Certificate Authority, CA)的置信授权方发布证书,以证明 个人和组织的身份。希望建立身份的证明的各方(例如组织和个人)可用适当的证据向 所述证书授权方注册,以证明其身份。在已经向CA证明一方的身份之后,CA将发布证 书给该方。所述证书通常包含发布所述证书的CA的名称、所述证书被发布给予的一方 的名称、所述方的公共密钥,以及通过CA的专用密钥签署(通常通过将所述公共密钥 的摘要加密)的所述方的公共密钥。CA的专用密钥和公共密钥是相关的,使得使用公共密钥加密的任何数据可以通过所 述专用密钥予以解密,且反之亦然。因此,专用密钥和公共密钥形成一密钥对。在RSA 安全性(RSA Security)有限公司在2002年6月14日提出的"PKCS#1第2.1版:RSA密 码术标准(RSA Cryptography Standard)"中提供对用于密码术的专用和公共密钥对的阐 释。CA的公共密钥可公开取用。因此,当一方希望检验由另一方所提供的证书是否真实 时,检验方可使用解密算法,简单地使用CA的公共密钥来解密证书内的公共密钥的经加密摘要。通常,还在所述证书中识别所述解密算法。如果所述证书内的公共密钥的经 加密摘要与所述证书内的未经加密公共密钥的摘要匹配,那么基于对CA和CA的公共密 钥的真实性的信任,这证明所述证书内的公共密钥尚未被窜改且是真实的。为了检验一方的身份,通常检验方将发送询问(例如,随机数),且要求另一方发送 其证书以及对所述询问的响应(即,以另一方的专用密钥加密的随机数)。当所述响应和 证书被接收时,检验方首先通过上述过程检验所述证书内的公共密钥是否真实。如果所 述公共密钥被检验为真实的,那么检验方可接着使用所述证书内的公共密钥来解密所述 响应,且将结果与原始发送的随机数进行比较。如果其匹配,那么这意味着另一方确实 具有正确的专用密钥,且出于所述理由而已证明其身份。如果所述证书内的公共密钥不 是真实的,或如果所述经解密响应未能与所述询问匹配,那么验证失败。因此,希望证 明其身份的一方将需要拥有所述证书和相关联的专用密钥两者。通过上述机制,可能不彼此信任的两方可使用上述过程,通过检验另一方的证书中 另一方的公共密钥而建立信任。来自国际电信联盟(ITU)的电信标准化部门(ITU-T) 的建议书X.509是规定证书框架的标准。关于证书及其使用的更详细信息可参阅此标准。在行政机构中和在大型组织中,为了便利起见,对称为根CA的较高级CA来说,向 若干较低级CA授权发布证书的责任可能是适当的。举例来说,在两级式层级中,在最 高级的根CA发布证书给较低级CA,以鉴定这些较低级授权方的公共密钥是真实的。这 些较低级授权方又通过上述注册过程发布证书给各方。检验过程从证书链的顶端开始。 检验方将首先使用所述根CA的所述公共密钥(已知为真实的)以首先检验较低级CA 的公共密钥的真实性。 一旦所述较低级CA的所述公共密钥的真实性已经被检验,就可 通过使用所述较低级CA的经检验的公共密钥来检验较低级将证书发布到的一方的公共 密钥的真实性。接着,由所述根CA和较低级CA发布的证书形成身份正被检验的一方的 两个证书的证书链。证书层级当然可包含两个以上级,其中除了根CA以外的在较低级的每一 CA从较高 级CA导出其权限,且具有含有由较高级CA发布的其公共密钥的证书。因此,为了检验 另一方的公共密钥的真实性,可能有必要追踪到根CA的证书的路径或链。换句话说, 为了建立一方的身份,身份需要被证明的一方可能需要产生整个证书链,从其自身的证 书一直到根CA证书。发布证书持续某一有效周期。然而,证书可能在有效周期期满之前归因于例如名称 改变、与证书发布者的关联性改变、相应专用密钥受损害或可疑损害等事件而变得无效。7在这些情况下,证书授权方(CA)需要撤回证书。证书授权方周期性地公布证书撤回列 表,其列出已被撤回的所有证书的序列号。在常规的证书检验方法中,期望验证实体拥 有或能够检索来自证书授权方(CA)的证书撤回列表且对照所述列表来检查为验证而呈 现的证书的序列号,以确定所呈现的证书是否巳被撤回。在验证实体为存储器或存储装 置的情况下,所述装置本身尚未被用以检索来自证书授权方的证书撤回列表。因此,为 验证而呈现的证书不能通过存储器或存储装置来检验。因此,需要提供一种使存储器或 存储装置能够检验证书而不必获得证书撤回列表的改进的系统。
技术实现思路
存储器装置本身尚未被用于获得证书撤回列表。因此,当主机装置向存储装置呈现 证书以供验证而不同时呈现与所述证书有关的证书撤回列表时,存储装置将不能确定由 主机装置呈现的证书是否在有关证书撤回列表上。因此,本专利技术的一个实施例基于以下 认识可通过其中主机装置除了呈现证书外还呈现与所述证书有关的证书撤回列表的系 统来避免此问题。以此方式,存储装置能够通过检査证书的识别(例如,在由主机装置 发送的证书撤回列表中的其序列号)来检验证书的真实性。如果证书撤回列表含有被撤回的证书的大量识别(例如,其序列号),那么所述列表 可能相当长。因此,在另一实施例中,由一装置接收证书撤回列表的若干部分,且所述 装置循序地处理所述部分。所述装置还搜索对在列表上的从主机接收的证书的参考或所 述证书的识别,其中处理与搜索同时发生。由于处理与搜索同时发生,所以检验证书的 过程变得较有效。如上所述,存储装置尚未被用以获得证书撤回列表,而主机装置已被用以获得证书 撤回列表。因此,在另一实施例中,虽然主机装置需要呈现证书撤回列表连同供验证主 机装置用的证书,但不需要使存储装置或存储器装置这样做,所述存储装置或存储器装 置将仅需要呈现证书。接着,由主机装置获得有关证书撤回列表以用于检验存储器装置 证书。虽然有可能将主机装置用以自由地获得证书撤回列表,但许多消费者可能发现必须 频繁地(例如,每当消费者希望存取存储装置中的经加密内容时)获得证书撤回列表是 十分麻烦的。因此,在另一实施例中,将至少一个证书撤回列表存储于存储器的公共区 域中所述存储器还存储用户或消费者可能希望存取的受保护数据或内容。以此方式,消费者或用户将无需每当需要对存储于存储器中的内容进行存取时从证书授权方获得证 书撤回列表。事实上,消本文档来自技高网...
【技术保护点】
一种使用证书撤回列表来检验证书的方法,其中在装置处从实体接收所述证书撤回列表的若干部分,所述方法包括: 使用所述装置来循序地处理证书撤回列表的所述部分;以及 使用所述装置在所述列表上搜索对所述证书的参考,其中所述处理与搜索同时执 行。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:迈克尔霍尔茨曼,罗恩巴尔齐莱,罗特姆塞拉,法布里斯约刚库仑,
申请(专利权)人:桑迪士克股份有限公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。