使用简单证书注册协议和相应的管理应用将证书注册到设备的方法

文档序号:9568848阅读:616来源:国知局
使用简单证书注册协议和相应的管理应用将证书注册到设备的方法
【技术领域】
[0001]本发明涉及网络设备以及用于外部设备(具体地,移动设备)的证书注册的领域。
【背景技术】
[0002]企业(例如,公司)内的计算机网络是一种允许网络的计算机交换数据的通信网络。作为计算机,可以考虑许多种类的设备,例如,大型计算机、服务器、个人计算机(PC)、膝上型计算机、平板PC以及私人智能电话。因此,保护计算机网络中的计算机的安全可能是复杂的问题。
[0003]对于企业内的计算机网络,使用基于SCEP(简单证书注册协议)的方法的BY0D(自带设备)解决方案是已知的,该方法还允许员工将他们的私人设备(例如,膝上型计算机或智能电话)连接到网络。BY0D将公司用户数据库与SCEP架构链接。SCEP是公钥架构(PKI)通信协议,其当前版本(版本SCEP-23)由因特网工程任务组(IETF)定义为因特网草案。SCEP定义了用于封闭环境中的证书管理和证书以及证书撤销列表查询的协议。由SCEP定义的实体类型是例如客户端或设备这样的请求者以及可以是证书颁发机构(CA)或登记机构(RA)的SCEP服务器。SCEP支持CA和RA公钥分发和证书注册。
[0004]SCEP服务器是对设备或客户端证书进行签名、执行SCEP请求者的验证和授权检查、并且将认证请求转发给CA的实体。请求者通过创建证书请求来开始证书注册交易,并且将其发送到证书颁发机构。可以自动授予证书,也可以由管理员手动授予证书。通过对整个CA证书计算哈希(例如,SHA-1哈希)来创建指纹。具体由公司的网络管理员使用SCEP来将证书注册到他们所管理的设备。这是SCEP背后的原始想法。一旦证书可用,设备就可以与公司网络的其它设备和服务建立连接。
[0005]参照图1更详细地描述了标准SCEP认证注册:步骤1,请求者(例如,公司的管理员A)登录到SCEP服务器B,并且通过传输认证请求来激活用于设备C的注册过程。为此过程,管理员可以使用管控计算机(administrat1n computer)或公司网络的任何其它计算机(即,管理员设备D)。设备C例如是公司的员工的智能电话。然后,步骤2,SCEP服务器B提供用于设备C的CA证书,并且SCEP服务器B还生成密码、一次性码(0TC)以及CA证书的指纹,并且将该指纹和0TC传输给管理员A。
[0006]步骤3,在已经接收到0TC之后,管理员A登录到设备C并且通过向设备C提供0TC来启动用于设备C的注册过程。可以经由以太网或经由W1-Fi连接将设备C连接到公司网络。然后,步骤4,管理员在设备C上生成证书签名请求(CSR),并且将其与0TC—起发送到SCEP服务器B。步骤5,SCEP服务器B校验设备C的0TC,如果0TC正确,则SCEP服务器B向设备C发送由指纹签名的CA证书。基于在步骤2中从SCEP服务器B接收的指纹,如果CA证书的指纹是有效的,则管理员接受所接收的CA证书。现在设备C已准备好在公司网络内运作。
[0007]该解决方案引入了几个缺点并且过程困难。标准SCEP也难以管控。如果正确使用,则管理员需要与SCEP服务器以及需要证书的设备这两者进行交互。
[0008]US 8,392,712公开了一种用于供应唯一设备凭证的系统和方法,其包括确定寻求加入网络的电子设备的一个或多个设备特性并且为电子设备生成一个或多个唯一设备凭证的第一操作。唯一设备凭证的格式基于电子设备的一个或多个设备特性。
[0009]US 2012/0166796公开了一种在通信网络中管理设备证书的系统和方法,其中证书管理器向多个证书客户端传输证书服务广告。响应于证书服务广告的传输,证书管理器从证书客户端中的至少一个接收证书服务请求。证书管理器校验该至少一个证书客户端与证书管理器为其提供服务的一组客户端相关联,并且证书管理器满足证书服务请求。
[0010]活动目录证书服务(ADCS)中的网络设备注册服务(NDES)是Microsoft对于Microsoft服务器的SCEP的一种实现。

【发明内容】

[0011]本发明描述了一种将证书注册到设备的方法,其包括以下步骤:在管理设备上提供管理应用,管理应用发现需要证书注册的设备,其中发现信息包括设备的公钥。在进一步的步骤中,管理应用将设备的公钥转发到证书注册服务器,并且设备通过将设备的公钥包含在对于到设备的安全证书注册的证书请求中来请求在证书注册服务器处的证书注册。
[0012]在本发明的一方面中,为了证书注册,激活管理设备上的管理应用,经由管理应用启动设备的证书注册。在进一步的步骤中,设备向证书注册服务器发送证书签名请求(CSR),所述CSR包含设备的公钥,并且如果公钥与由应用向证书注册服务器所转发的公钥相匹配,则证书注册服务器对设备的CSR进行签名以及向设备提供证书,并且将所签名的证书发送回设备。
[0013]在本发明的另一方面中,管理应用联系证书注册服务器。管理员通过使用正确的用户和密码组合来登录到证书注册服务器,并且缓存凭证以用于稍后使用。应用通过校验证书注册服务器的数字签名的服务器证书来校验证书注册服务器的真实性,以便进一步提高注册过程的安全性。
[0014]在优选实施例中,证书注册服务器是SCEP服务器,并且使用实时系统(DDS)的数据分发服务或用于发现设备的简单服务发现协议(SSDP)。管理设备有利地是公司网络的管控计算机。
[0015]因此,本发明还通过引入将证书注册服务器与设备的发现进行结合的管理应用来定义一种将证书注册到设备的简化方法:由管理员将管理应用安装在他的管理设备上。管理员需要仅通过激活应用(例如,通过点击管理设备的显示器上的按钮)来激活注册过程。由管理应用通过使用任何标准发现协议(例如,DDS)来发现需要证书的设备。由于使用设备的公钥,因此证书注册是安全的。
[0016]本发明还公开了一种非暂时性计算机可读存储介质,在其上存储适于在例如公司网络的管理计算机这样的计算机上运作以执行所述方法的管理应用。计算机可读存储介质例如是只读光盘。
【附图说明】
[0017]下面参照示意性附图以举例的方式更详细地说明本发明的优选实施例,附图中:
[0018]图1示出根据现有技术的用于设备的SCEP认证注册,
[0019]图2示出根据本发明的用于设备的SCEP认证注册,以及
[0020]图3示出依据图2的证书注册过程的方法的流程图。
【具体实施方式】
[0021]在以下描述中,利用管理设备上的管理应用描述了将证书注册到设备的简化方法。为了说明的目的,阐述了许多具体细节,以便提供对实施例的彻底理解。然而,对于本领域技术人员将显而易见的是,可以在没有这些具体细节的情况下实施本发明。
[0022]如图
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1