本发明专利技术涉及用于通过服务提供者的服务器(2)防操纵地提供针对用户设备(1)的公共设备密钥(Kpub)的密钥证书(Z)的方法和服务器,用户设备被安装在用户处,该服务器通过用户设备(1)给用户提供服务,其中如果由用户设备(1)接收的签名请求消息(CSR)通过服务器(2)借助由服务器(2)为用户设备(1)所产生的一次性密码(OTP)被成功地验证,则服务器(2)给用户设备(1)提供密钥证书(Z)。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及在使用一次性密码来用于授权和签名请求消息完整性保护的情况下防操纵地提供密钥证书的方法和设备。
技术介绍
在许多应用情形中,连接由服务提供者在用户的归属范围中建立的用户设备是必要的。例如在智能供电电网中,能量供给者可以规定能量网关作为在用户家庭中的用户设备。这种能量网关尤其用于通过分散的能量消耗器和产生器来优化能量的消耗和馈送。在此能量网关用于控制能量产生器,例如太阳能电池或相应家庭的耦合的热カ设备。这些能量网关此外能够实现相应用户可以參与对其最有利情况的能量供给,其方式是该用户在高能量需求的时刻将能量馈送到能量供给网络中。为了能够提供具有许多能量网关的这种分散智能能量供给系统,需要将不同參与者或用户以及各种能量服务提供者或者能量供给者可靠地连接到该网络。在此,相应用户设备或能量网关的身份或者身份的证明是重要的。诸如能量网关的用户设备的身份在此以密钥证书和所属的私钥的形式传统方式地得到保证。所需的密钥材料在此由诸如能量网关的用户设备本身产生。存在许多不同的用户设备,它们由不同服务提供者在用户处、尤其是在归属范围中建立,其中服务提供者通过所建立的用户设备给用户提供服务。这种用户设备的例子除了能够用于与能量供给者交换数据的能量网关之外还有用于与诸如医疗中心的服务提供者交換患者数据的医疗设备,或用于向诸如消防站的服务提供者传输报警通知的报警设备,例如火警报警器。此外,还有许多由服务提供者建立在用户处的通信设备,例如收费电视盒,以便向用户传输诸如电影的信息数据。大多数这种用户设备都是自由交易的,例如可在电子市场上获得。如果这种用户设备被市场上的用户买到并且在他那里建立,则为了能够获得所希望的服务,该用户必须在服务提供者的服务器上登录。在此由用户设备产生的公钥在登录到服务提供者的登录过程的范围中可以通过数字证书的填发被认证,而已经无需在购买用户设备时在用户和服务提供者之间订立协约。这也可以在首次登录的范围中进行。但是按传统方式在此存在如下风险消息中的待认证密钥材料由不同于实际客户或用户的人发送给服务提供者以用于在服务提供者的服务器上的认证,其中该实际的客户或用户希望从服务提供者取得服务。这是可能的,因为在參与的组件、也即用户设备和服务提供者的服务器之间还不存在授权的连接。
技术实现思路
因此,本专利技术的任务是实现用于防操纵地提供针对用户设备的设备密钥的密钥证书的方法和设备。该任务按照本专利技术通过具有在权利要求1中说明的特征的方法解決。本专利技术实现了ー种用于通过服务提供者的服务器防操纵地提供针对用户 设备的设备密钥的密钥证书的方法,用户设备被安装在用户处,该服务器通过用户设备给用户提供服务, 其中如果由用户设备接收的签名请求消息通过服务器借助由服务器为用户设备所产生的一次性密码被成功地验证,则服务器给用户设备提供密钥证书。在本专利技术的方法中,签名请求消息CSR (Certificate Signing Request,证书签名请求)与由未来服务提供者的组件产生的一次性密码OTP (One Time Password)逻辑连接,其中签名请求消息由(还)未获得信赖的组件或还未获得信赖的用户设备发送给服务提供者的服务器。 在可能的实施方式中,一次性密码(OTP)由服务提供者的服务器针对用户设备的确定的设备ID产生。该设备ID例如可以是用户设备的序列号或者是用户设备的Mac地址。服务器优选将产生的一次性密码OTP连同用户设备的设备ID —起存储在服务器可存取的数据存储器中。在本专利技术方法的可能的实施方式中,所产生的用户设备的一次性密码OTP由服务提供者借助数据载体发送给用户。在本专利技术方法的可能的实施方式中,用户设备的在所发送的数据载体上传送的一次性密码OTP借助用户设备的接ロ从所发送的数据载体中读出。在本专利技术方法的可能的实施方式中,数据载体被集成在用户设备中并且因此连同用户设备一起被发送给用户。例如,数据载体由用户设备的内部存储器构成。在可替换的实施方式中,数据载体是单独的数据载体,其被连接到用户设备以便读出存储在该用户设备上的一次性密码OTP。在可能的实施方式中,该数据载体由服务提供者或者用户设备的销售者连同使用设备一起发送给用户或客户。例如,数据载体连同用户设备一起在邮包中被发送给用户。数据载体例如可以是USB棒,其与用户设备一起在邮包或其他包裹中被交付给用户。在可能的实施方式中,该数据载体不与用户设备一起、而是单独地被发送给用户。由此,提高了针对操纵企图的安全性。在本专利技术方法的可能的实施方式中,针对待安装在用户处的用户设备本地地产生加密码的设备密钥对。设备密钥对在此包括公共设备密钥和用户设备的私人设备密钥。加密码的设备密钥对在用户ー侧产生。在可能的实施方式中,加密码的设备密钥对通过用户设备自身来产生。在本专利技术方法的可能的实施方式中,通过用户设备构成针对本地地产生的公共设备密钥的签名请求消息CSR。签名请求消息CSR与从诸如USB棒的数据载体读出的、用户设备的一次性密码OTP逻辑连接。在本专利技术方法的可能的实施方式中,依据用户设备的一次性密码OTP和本地地产生的公共设备密钥计算签名请求消息CSR的至少ー个数据字段的带密钥的哈希值。在本专利技术方法的可能的实施方式中,由用户设备构成的签名请求消息CSR连同从数据载体读出的、用户设备的一次性密码OTP —起由用户设备通过密码保护的通信信道传输给服务提供者的服务器。 在本专利技术方法的可能的实施方式中,所构成的、由用户设备传输给服务提供者的服务器的签名请求消息CSR通过服务器借助在服务器的数据存储器中为用户设备存储的一次性密码OTP来验证。本专利技术还实现用于防操纵地提供针对用户设备的设备密钥的密钥证书的服务器,该用户设备被安装在用户处,该用户通过用户设备从服务器接收服务,其中如果由用户设备接收的签名请求消息CSR通过服务器借助由服务器为用户设备所产生并存储的一次性密码OTP被成功地验证,则服务器给用户设备提供所述密钥证书。在可能的实施方式中,服务器具有一次性密码产生器,其为每个用户设备产生所属的一次性密码。在可能的实施方式中,服务器还具有数据存储器,在其中存储了所产生的、用户设备的一次性密码OTP连同用户设备的所属的设备ID。在本专利技术服务器的另ー种可能的实施方式中,服务器具有验证单元,该验证単元借助存储在数据存储器中的一次性密码OTP验证由用户设备所接收的签名请求消息CSR。在可能的实施方式中,服务器的验证单元借助用户设备的公共设备密钥附加地验证所接收的签名请求消息CSR的签名。签名请求消息可以从服务器例如经由数据网络由所建立的用户设备接收。数据网络例如可以是因特网。在本专利技术服务器的可能的实施方式中,由服务器的一次性密码产生器产生的、用户设备的一次性密码OTP被存放在集成在用户设备中的数据载体上,其中用户设备连同集成在其中的数据载体一起由服务提供者直接或间接地通过销售伙伴发送给用户。在可替换的实施方式中,通过服务提供者的服务器的一次性密码产生器产生的一次性密码被存放在与用户设备分离的数据载体上,该数据载体连同用户设备一起或与用户设备分离地由服务提供者直接或通过销售伙伴发送以用于用户设备的安装。在本专利技术服务器的可能的实施方式中,服务器是服务提供者的服务器,该服务器通过安装的用本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.08.03 DE 102010033231.31.一种用于通过服务提供者的服务器(2)防操纵地提供针对用户设备(I)的设备密钥(Kpub)的密钥证书(Z)的方法,所述用户设备被安装在用户处,该服务器通过用户设备(I)给用户提供服务, 其中如果由用户设备(I)接收的签名请求消息(CSR)通过服务器(2)借助由服务器(2)为用户设备(I)所产生的一次性密码(OTP)被成功地验证,则服务器(2)给用户设备(I)提供密钥证书(Z),其中针对要安装在用户处的用户设备(I)本地地产生加密码的设备-密钥对,该设备-密钥对包括公共设备密钥(Kpub)和用户设备的私人设备密钥(KpHv),其中通过用户设备(I)构成针对该本地地产生的公共设备密钥(Kpub)的签名请求消息(CSR),其中该签名请求消息(CSR)与从数据载体读出的、用户设备(I)的一次性密码(OTP)逻辑连接,并且其中依据用户设备(I)的一次性密码(OTP)和本地地产生的公共设备密钥(Kpub)来计算签名请求消息(CSR)的至少一个数据字段的带密钥的哈希值(HMAC)。2.根据权利要求1所述的方法,其中服务提供者的服务器(2)产生针对用户设备(I)的设备ID的一次性密码(0ΤΡ),并且连同用户设备(I)的设备ID—起存储在服务器(2)的数据存储器(2B)中。3.根据权利要求1或2所述的方法,其中用户设备的所产生的一次性密码(OTP)由服务提供者借助数据载体发送给用户。4.根据权利要求3所述的方法,其中,用户设备(I)的在所发送的数据载体上传送的一次性密码(OTP)借助用户设备(I)的接口从所发送的数据载体中读出。5.根据权利要求4所述的方法,其中数据载体被集成在用户设备(I)中或者构成单独的数据载体,该单独的数据载体与用户设备连接以用于读出一次性密码(0ΤΡ)。6.根据权利要求5所述的方法,其中,数据载体由服务提供者连同用户设备(I)一起或者单独地发送给用户。7.根据权利要求1所述的方法,其中,由用户设备(I)构成的签名请求消息(CSR)连同从数据载体读出的、用户设备(I)的一次性密码(OTP)由用户设备(I)经由密码保护的通信信道传输给服务提供者的服务器(2 )。8.根据前述权利要求1-7之一所述的方法,其中,所构成的、由用户设备(I)传输给服务提供者的服务器(2)的签名请...
【专利技术属性】
技术研发人员:JU布泽,S弗里斯,
申请(专利权)人:西门子公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。