專利名稱:用于防操縱地提供密鑰證書的方法和設備的制作方法
技術領域:
本發(fā)明涉及在使用一次性密碼來用于授權和簽名請求消息完整性保護的情況下防操縱地提供密鑰證書的方法和設備�����。
背景技術:
在許多應用情形中���,連接由服務提供者在用戶的歸屬范圍中建立的用戶設備是必要的�����。例如在智能供電電網中��,能量供給者可以規(guī)定能量網關作為在用戶家庭中的用戶設備��。這種能量網關尤其用于通過分散的能量消耗器和產生器來優(yōu)化能量的消耗和饋送��。在此能量網關用于控制能量產生器��,例如太陽能電池或相應家庭的耦合的熱カ設備��。這些能量網關此外能夠實現相應用戶可以參與對其最有利情況的能量供給�,其方式是該用戶在高能量需求的時刻將能量饋送到能量供給網絡中。為了能夠提供具有許多能量網關的這種分散智能能量供給系統(tǒng)����,需要將不同參與者或用戶以及各種能量服務提供者或者能量供給者可靠地連接到該網絡。在此�,相應用戶設備或能量網關的身份或者身份的證明是重要的。諸如能量網關的用戶設備的身份在此以密鑰證書和所屬的私鑰的形式傳統(tǒng)方式地得到保證�。所需的密鑰材料在此由諸如能量網關的用戶設備本身產生。存在許多不同的用戶設備����,它們由不同服務提供者在用戶處���、尤其是在歸屬范圍中建立,其中服務提供者通過所建立的用戶設備給用戶提供服務�����。這種用戶設備的例子除了能夠用于與能量供給者交換數據的能量網關之外還有用于與諸如醫(yī)療中心的服務提供者交換患者數據的醫(yī)療設備��,或用于向諸如消防站的服務提供者傳輸報警通知的報警設備���,例如火警報警器。此外�����,還有許多由服務提供者建立在用戶處的通信設備��,例如收費電視盒�����,以便向用戶傳輸諸如電影的信息數據�。大多數這種用戶設備都是自由交易的,例如可在電子市場上獲得����。如果這種用戶設備被市場上的用戶買到并且在他那里建立�,則為了能夠獲得所希望的服務��,該用戶必須在服務提供者的服務器上登錄����。在此由用戶設備產生的公鑰在登錄到服務提供者的登錄過程的范圍中可以通過數字證書的填發(fā)被認證,而已經無需在購買用戶設備時在用戶和服務提供者之間訂立協約����。這也可以在首次登錄的范圍中進行。但是按傳統(tǒng)方式在此存在如下風險消息中的待認證密鑰材料由不同于實際客戶或用戶的人發(fā)送給服務提供者以用于在服務提供者的服務器上的認證�����,其中該實際的客戶或用戶希望從服務提供者取得服務���。這是可能的�����,因為在參與的組件�、也即用戶設備和服務提供者的服務器之間還不存在授權的連接。
發(fā)明內容
因此�����,本發(fā)明的任務是實現用于防操縱地提供針對用戶設備的設備密鑰的密鑰證書的方法和設備�����。該任務按照本發(fā)明通過具有在權利要求1中說明的特征的方法解決�。本發(fā)明實現了ー種用于通過服務提供者的服務器防操縱地提供針對用戶 設備的設備密鑰的密鑰證書的方法,用戶設備被安裝在用戶處����,該服務器通過用戶設備給用戶提供服務,
其中如果由用戶設備接收的簽名請求消息通過服務器借助由服務器為用戶設備所產生的一次性密碼被成功地驗證�����,則服務器給用戶設備提供密鑰證書�。在本發(fā)明的方法中����,簽名請求消息CSR (Certificate Signing Request,證書簽名請求)與由未來服務提供者的組件產生的一次性密碼OTP (One Time Password)邏輯連接,其中簽名請求消息由(還)未獲得信賴的組件或還未獲得信賴的用戶設備發(fā)送給服務提供者的服務器�。
在可能的實施方式中,一次性密碼(OTP)由服務提供者的服務器針對用戶設備的確定的設備ID產生。該設備ID例如可以是用戶設備的序列號或者是用戶設備的Mac地址�����。服務器優(yōu)選將產生的一次性密碼OTP連同用戶設備的設備ID —起存儲在服務器可存取的數據存儲器中�。在本發(fā)明方法的可能的實施方式中,所產生的用戶設備的一次性密碼OTP由服務提供者借助數據載體發(fā)送給用戶�。在本發(fā)明方法的可能的實施方式中,用戶設備的在所發(fā)送的數據載體上傳送的一次性密碼OTP借助用戶設備的接ロ從所發(fā)送的數據載體中讀出���。在本發(fā)明方法的可能的實施方式中�,數據載體被集成在用戶設備中并且因此連同用戶設備一起被發(fā)送給用戶�����。例如�,數據載體由用戶設備的內部存儲器構成。在可替換的實施方式中����,數據載體是單獨的數據載體,其被連接到用戶設備以便讀出存儲在該用戶設備上的一次性密碼OTP����。在可能的實施方式中���,該數據載體由服務提供者或者用戶設備的銷售者連同使用設備一起發(fā)送給用戶或客戶。例如�����,數據載體連同用戶設備一起在郵包中被發(fā)送給用戶��。數據載體例如可以是USB棒����,其與用戶設備一起在郵包或其他包裹中被交付給用戶。在可能的實施方式中����,該數據載體不與用戶設備一起、而是單獨地被發(fā)送給用戶�。由此,提高了針對操縱企圖的安全性��。在本發(fā)明方法的可能的實施方式中���,針對待安裝在用戶處的用戶設備本地地產生加密碼的設備密鑰對。設備密鑰對在此包括公共設備密鑰和用戶設備的私人設備密鑰���。加密碼的設備密鑰對在用戶ー側產生�。在可能的實施方式中,加密碼的設備密鑰對通過用戶設備自身來產生���。在本發(fā)明方法的可能的實施方式中�,通過用戶設備構成針對本地地產生的公共設備密鑰的簽名請求消息CSR�。簽名請求消息CSR與從諸如USB棒的數據載體讀出的、用戶設備的一次性密碼OTP邏輯連接����。在本發(fā)明方法的可能的實施方式中,依據用戶設備的一次性密碼OTP和本地地產生的公共設備密鑰計算簽名請求消息CSR的至少ー個數據字段的帶密鑰的哈希值�����。在本發(fā)明方法的可能的實施方式中��,由用戶設備構成的簽名請求消息CSR連同從數據載體讀出的����、用戶設備的一次性密碼OTP —起由用戶設備通過密碼保護的通信信道傳輸給服務提供者的服務器。 在本發(fā)明方法的可能的實施方式中���,所構成的��、由用戶設備傳輸給服務提供者的服務器的簽名請求消息CSR通過服務器借助在服務器的數據存儲器中為用戶設備存儲的一次性密碼OTP來驗證�����。本發(fā)明還實現用于防操縱地提供針對用戶設備的設備密鑰的密鑰證書的服務器���,該用戶設備被安裝在用戶處���,該用戶通過用戶設備從服務器接收服務,其中如果由用戶設備接收的簽名請求消息CSR通過服務器借助由服務器為用戶設備所產生并存儲的一次性密碼OTP被成功地驗證�,則服務器給用戶設備提供所述密鑰證書。在可能的實施方式中�,服務器具有一次性密碼產生器,其為每個用戶設備產生所屬的一次性密碼�����。在可能的實施方式中�,服務器還具有數據存儲器,在其中存儲了所產生的�、用戶設備的一次性密碼OTP連同用戶設備的所屬的設備ID。在本發(fā)明服務器的另ー種可能的實施方式中�����,服務器具有驗證單元�����,該驗證単元借助存儲在數據存儲器中的一次性密碼OTP驗證由用戶設備所接收的簽名請求消息CSR�。在可能的實施方式中,服務器的驗證單元借助用戶設備的公共設備密鑰附加地驗證所接收的簽名請求消息CSR的簽名����。簽名請求消息可以從服務器例如經由數據網絡由所建立的用戶設備接收。數據網絡例如可以是因特網�����。在本發(fā)明服務器的可能的實施方式中�,由服務器的一次性密碼產生器產生的、用戶設備的一次性密碼OTP被存放在集成在用戶設備中的數據載體上���,其中用戶設備連同集成在其中的數據載體一起由服務提供者直接或間接地通過銷售伙伴發(fā)送給用戶���。在可替換的實施方式中,通過服務提供者的服務器的一次性密碼產生器產生的一次性密碼被存放在與用戶設備分離的數據載體上���,該數據載體連同用戶設備一起或與用戶設備分離地由服務提供者直接或通過銷售伙伴發(fā)送以用于用戶設備的安裝�。在本發(fā)明服務器的可能的實施方式中,服務器是服務提供者的服務器����,該服務器通過安裝的用戶設備給用戶持續(xù)地提供服務。
下面�,參照用于闡述本發(fā)明的附圖描述本發(fā)明方法和本發(fā)明服務器的可能的實施方式。圖1示出了用于闡述本發(fā)明方法的信號圖2示出了本發(fā)明的用于防操縱地提供密鑰證書的服務器的可能的實施方式的框圖���。
具體實施例方式如圖1可看出�����,在本發(fā)明方法中用戶設備I具有與服務器2的通信連接�。所述通信連接可以是ー個或多個無線或有線數據網絡���。用戶設備1可以是在用戶的歸屬區(qū)域中固定建立的用戶設備�����,但是也可以是移動終端����。用戶設備1例如是用干與能量供給者交換數據的能量網關。此外�,用戶設備I也可以是用干與健康服務提供者交換患者數據的醫(yī)療設備或者是用于向諸如消防站的服務提供者傳輸報警通知的報警設備。此外�,用戶設備I可以是用干與服務提供者交換數據的通信設備,例如是用于接收多媒體數據的付費電視盒�。
服務器2例如可以是服務提供者的服務器����,該服務器給用戶設備I的用戶提供服務。如果用戶設備I例如是供電企業(yè)的客戶的能量網關����,則電流供給者的服務器2可以例如定期地給用戶提供結帳數據,這些結帳數據說明用戶設備I的用戶從電網提取了多少能量或者用戶將多少能量饋送到電網中���。其他的服務是可能的����。電網運營者的服務器2例如可以給用戶的用戶設備I發(fā)送關于在用戶設備I的空間范圍中的天氣預報的數據�����。如果用戶設備I例如處于南巴伐利亞州�����,則服務器2給用戶設備I提供針對這個地區(qū)的天氣預報數據,從而用戶“Charles先生”例如可以有目的地針對預報的天氣來運行他的用于電能供給網絡的太陽能設備��。為了占用這些服務�,以防操縱的方式通過服務器2給用戶設備I提供針對用戶設備I的設備密鑰的密鑰證書Z。僅當由用戶設備I接收的簽名請求消息CSR(證書簽名請求)通過服務器2借助由服務器2為用戶設備I所產生的一次性密碼OTP (—次性密碼)被成功地驗證時����,服務器2才給用戶設備I提供密鑰證書Z。
服務器2優(yōu)選包含一次性密碼發(fā)生器�����,該一次性密碼發(fā)生器為每個用戶設備I產生所屬的一次性密碼��。服務提供者的服務器2的一次性密碼產生器針對用戶設備I的設備ID產生一次性密碼0TP�。該設備ID例如可以是制造的設備的序列號?�?商鎿Q地�,設備ID也可以是用戶設備I的MAC地址。此外可能的是����,ID是用戶或客戶的用戶ID。所產生的一次性密碼OTP通過服務器2首先被存儲在服務器2的數據存儲器中。在該數據存儲器中有許多產生的�����、不同用戶設備I的一次性密碼0TP�����,它們分別與相應用戶設備I的所屬設備ID —起被存儲��。此外��,用戶設備I的所產生的一次性密碼OTP由服務提供者借助數據載體發(fā)送給用戶��。如由圖1中虛線所示地�,在単獨的通信信道中或經由郵件來進行所產生的一次性密碼OTP的發(fā)送�����。在發(fā)送的數據載體上傳送的����、用戶設備I的一次性密碼OTP在可能的實施方式中借助用戶設備I的接ロ從被發(fā)送并且被用戶接收的數據載體中讀出。在可能的實施方式中���,數據載體被集成在用戶設備I中并且構成用戶設備I的一部分���。在該實施方式中����,服務提供者的用戶設備I連同用戶設備一起例如在一個包裹中發(fā)送給用戶或客戶�����。然后����,用戶激活用戶設備1,其中必要時在輸入相應的密碼之后自動地讀出存儲在用戶設備I的集成的數據載體中的一次性密碼0TP����。能量供給者例如向客戶發(fā)送能量網關,其中在用戶設備或能量網關I的內部存儲器或數據載體中存取安全地存儲用戶設備I的相應的一次性密碼0TP����。于是為了在用戶ー側激活能量網關1,必要時在相應的密碼詢問之后從內部存儲器讀出存儲的一次性密碼OTP��。在可替換的實施方式中�,數據載體不集成在用戶設備I中�,而是構成單獨的數據載體��。數據載體例如可以是USB記憶棒��。在該實施方式中�����,該數據載體由服務提供者連同用戶設備I一起例如在一個包裹中發(fā)送給用戶����。用戶激活用戶設備I并且將諸如記憶棒的數據載體插入用戶設備的接ロ,由此用戶設備可以從記憶棒讀出一次性密碼���。在另一可能的實施方式中,數據載體不與用戶設備一起在ー個包裹中發(fā)送���,而是単獨地發(fā)送給用戶�。例如�,數據載體在単獨的郵包中被發(fā)送給用戶。単獨的數據載體不一定是物理有形的數據載體��,其例如也可以是電子數據包�����,其例如通過本地網絡或因特網與用戶設備分離地被傳輸給用戶設備I。數據包例如作為有用數據可以包含用戶設備I的所傳送的一次性密碼0TP�。此外可能的是,用于用戶設備I的一次性密碼OTP在分離的通信信道上�、例如經由電子郵件被發(fā)送給用戶。所屬的一次性密碼OTP與用戶設備I分離的傳送提高了防操縱的安全性����。
由用戶側本地地產生針對要在用戶處安裝的用戶設備I的加密碼的設備-密鑰對。在可能的實施方式中���,加密碼的設備-密鑰對通過用戶設備I自身來產生��。本地地產生的加密碼的設備-密鑰對包括公共的加密碼的設備密鑰Kpub和用戶設備I的私人的加密碼的設備密鑰K_v��。接著���,由用戶設備I構成針對本地地產生的公共設備密鑰Kpub的信令請求消息OSR并且例如經由數據網絡傳輸給服務器2。在此����,由用戶設備I構成的信令請求消息CSR與從數據載體讀出的、用戶設備I的一次性密碼OTP連接�,尤其是邏輯連接����。對于讀出的一次性密碼OTP與信令請求消息CSR的連接存在不同的可能性����。在第一實施方式中,信令請求消息CSR具有不同的CSR屬性��,相應于標準PKCS # 9和PKCS # 10�����,例如屬性挑戰(zhàn)密碼��。該屬性被設計用于申請對證書的撤銷�����。在可能的實施方式中�,CSR消息的該屬性被用于傳送從數據載體讀出的一次性密碼0TP����。在此,一次性密碼OTP優(yōu)選不以明文傳輸�����,而以密碼加密的形式傳輸,其方式是例如經由信令請求消息CSR的一個或多個數據字段來計算帶密鑰-哈希值HMAC��。在此,依據用戶設備I的一次性密碼OTP來計算信令請求消息CSR的至少ー個數據字段的帶密鑰-哈希值HMAC。替換的���,可以 定義針對信令請求消息CSR的另外的屬性,其允許傳送附加的安全參數。在另外的變型方案中�����,用于信令請求消息CSR的新數據容器(Daten-Container)這樣地被簽名����,使得經由整個信令請求消息CSR來計算HMAC值����,其中一次性密碼OTP同樣作為密鑰引入。在另外的變型方案中��,由用戶設備I構成的信令請求消息CSR連同從數據載體讀出的用戶設備的一次性密碼OTP被用戶設備通過密碼保護的通信信道傳輸給服務提供者的服務器2�����。在該實施方式中,一次性密碼OTP可以以明文被傳輸��。但是���,優(yōu)選地���,為了提高安全性以密碼加密的方式傳輸一次性密碼0TP。在另外的有利的變型方案中�,所讀出的一次性密碼OTP經由加密的傳送連接被傳輸。在此����,實際的用于傳輸信令請求消息CSR的傳輸順序保持不變,因為與封裝到專門的數據容器中相反��,在該實施變型方案中通過安全協約來實現封裝�。用戶或客戶在此例如打開單邊授權的、至服務提供者的服務器2的TLS連接���,其中服務提供者借助證書來被授權���。用戶設備I或客戶又經由帶有一次性密碼OTP的TLS連接�、例如經由http-Digest-連接被授權�。經由通過這種方式雙邊被授權的數據連接,現在可以發(fā)送信令請求消息CSR���。所構成的信令請求消息CSR通過服務器2借助在其數據存儲器中已經為相應用戶設備I存儲的一次性密碼OTP得到驗證�,其中所述信令請求消息CSR由用戶設備I傳輸給服務提供者的服務器2�����。如果由用戶設備I接收的信令請求消息CSR通過服務器2借助為用戶設備I在服務器2的數據存儲器中存儲的一次性密碼OTP被成功驗證���,則服務器2提供針對用戶設備I的公共設備密鑰Kpub的密鑰證書ZK��。用戶設備I可以接著將所提供的密鑰證書Zk用于相應服務的占用��。圖2示出了用于表示本發(fā)明服務器2的可能的實施方式的框圖����。服務器2用于防操縱地提供針對用戶設備I的設備密鑰�、尤其是公共設備密鑰Kpub的密鑰證書ZK。用戶設備I被安裝在用戶處��,該用戶通過用戶設備I從服務器2獲得服務���,例如確定的信息數據的傳輸����。如果由用戶設備I例如經由數據網絡接收的信令請求消息CSR由服務器2借助通過服務器2為用戶設備I產生并且存儲的一次性密碼OTP成功驗證,則服務器2給用戶設備I提供密鑰證書ZK�。如在圖2中所示地,服務器2包括一次性密碼產生器2A��,其為例如由服務提供者向用戶交付的每個用戶設備I產生所屬的一次性密碼OTP����。服務器2具有數據存儲器2B,在其中存儲了不同用戶設備I的所產生的一次性密碼OTP連同用戶設備的所屬的設備ID�����。在圖2中所示的實施方式中����,數據存儲器2B包含在服務器2中。在替換的實施方式中��,月艮務器2可以對外部數據存儲器2B進行存取��,例如經由網絡���。服務器2經由接ロ 2C通過與用戶設備I連接的數據網絡接收信令請求消息CSR��。在此該網絡可以是ー個或多個數據網絡�����,經由其信令請求消息CSR由用戶設備I向服務器2傳輸�����。在可能的實施方式中�,該數據網絡是因特網����。此外,該數據網絡也可以具有移動無線電網絡�。該用戶設備I可以是固定安裝的用戶設備或者是移動設備,例如移動手機���。服務器2還包括驗證單元2D���,其借助在數據存儲器2B中存儲的一次性密碼OTP驗證由用戶設備I接收的信令請求消息CSR。如果驗證成功�,則驗證単元2D這樣操控服務器2的證書產生器2E,使得針對相應用戶設備I的設備密鑰Kpub產生數字密鑰證書ZK。該密鑰證書Zk接著經由接ロ 2C被傳輸給用戶設備I用于進ー步使用�。在可能的實施方式中,服務器2借助OTP產生器2A產生一次性密碼OTP��,該一次性密碼OTP連同所屬的設備ID —起被存放在數據存儲器2B中��。此外����,服務器2離線地將產生的一次性密碼OTP傳輸給用戶設備1,該用戶設備I例如是私人家庭的能量網關��。用戶設備I或者客戶首先本地地產生密鑰材料�,也即包括公共設備密鑰Kpub和私人設備密鑰Kphv的設備-密鑰對。接著����,用戶設備I產生信令請求消息CSR,其中對于確定的屬性�����、·例如屬性挑戰(zhàn)密碼��,通過CSR的部分來計算帶密鑰的哈希值�。借助所計算的帶密鑰的哈希值��,服務器2接著能夠驗證一次性密碼OTP的所有權�。在可能的實施方式中���,在服務器2上例如經由所謂的區(qū)別名稱DN.來進行關聯�����。這里,用戶設備I可以錄入標識符���,例如其序列號或者其Mac地址����。在可能的特定實施方式中�����,執(zhí)行下面的流程
權利要求
1.一種用于通過服務提供者的服務器(2)防操縱地提供針對用戶設備(I)的設備密鑰(Kpub)的密鑰證書(Z)的方法����,所述用戶設備被安裝在用戶處,該服務器通過用戶設備(I)給用戶提供服務��, 其中如果由用戶設備(I)接收的簽名請求消息(CSR)通過服務器(2)借助由服務器(2)為用戶設備(I)所產生的一次性密碼(OTP)被成功地驗證,則服務器(2)給用戶設備(I)提供密鑰證書(Z)�����,其中針對要安裝在用戶處的用戶設備(I)本地地產生加密碼的設備-密鑰對��,該設備-密鑰對包括公共設備密鑰(Kpub)和用戶設備的私人設備密鑰(KpHv)���,其中通過用戶設備(I)構成針對該本地地產生的公共設備密鑰(Kpub)的簽名請求消息(CSR)���,其中該簽名請求消息(CSR)與從數據載體讀出的、用戶設備(I)的一次性密碼(OTP)邏輯連接�����,并且其中依據用戶設備(I)的一次性密碼(OTP)和本地地產生的公共設備密鑰(Kpub)來計算簽名請求消息(CSR)的至少一個數據字段的帶密鑰的哈希值(HMAC)����。
2.根據權利要求1所述的方法,其中服務提供者的服務器(2)產生針對用戶設備(I)的設備ID的一次性密碼(0ΤΡ)�����,并且連同用戶設備(I)的設備ID—起存儲在服務器(2)的數據存儲器(2B)中�����。
3.根據權利要求1或2所述的方法,其中用戶設備的所產生的一次性密碼(OTP)由服務提供者借助數據載體發(fā)送給用戶�����。
4.根據權利要求3所述的方法����,其中����,用戶設備(I)的在所發(fā)送的數據載體上傳送的一次性密碼(OTP)借助用戶設備(I)的接口從所發(fā)送的數據載體中讀出。
5.根據權利要求4所述的方法�����,其中數據載體被集成在用戶設備(I)中或者構成單獨的數據載體���,該單獨的數據載體與用戶設備連接以用于讀出一次性密碼(0ΤΡ)��。
6.根據權利要求5所述的方法�����,其中��,數據載體由服務提供者連同用戶設備(I)一起或者單獨地發(fā)送給用戶�。
7.根據權利要求1所述的方法,其中���,由用戶設備(I)構成的簽名請求消息(CSR)連同從數據載體讀出的�、用戶設備(I)的一次性密碼(OTP)由用戶設備(I)經由密碼保護的通信信道傳輸給服務提供者的服務器(2 )����。
8.根據前述權利要求1-7之一所述的方法,其中�,所構成的、由用戶設備(I)傳輸給服務提供者的服務器(2)的簽名請求消息(CSR)通過服務器(2)借助在服務器(2)的數據存儲器(2B)中為用戶設備(I)存儲的一次性密碼(OTP)來驗證����。
9.一種用于執(zhí)行根據權利要求1 一 8之一的、用于防操縱地提供針對用戶設備(I)的公共設備密鑰(Kpub)的密鑰證書(Z)的方法的服務器(2)�,其中該用戶設備被安裝在用戶處,該用戶通過用戶設備(I)從服務器(2)接收服務��,其中如果由用戶設備(I)接收的簽名請求消息(CSR)通過服務器(2)借助由服務器(2)為用戶設備(I)所產生并存儲的一次性密碼(OTP )被成功地驗證���,則服務器(2 )給用戶設備(I)提供密鑰證書(Z )���。
10.根據權利要求9的服務器����, 其中該服務器(2)具有 一一次性密碼產生器(2A)��,其為每個用戶設備(I)產生所屬的一次性密碼(0ΤΡ)��, 一數據存儲器(2B)��,在其中存儲了所產生的����、用戶設備的一次性密碼(OTP)連同用戶設備的所屬的設備ID,以及 一驗證單元(2D)����,該驗證單元借助存儲在數據存儲器(2B)中的一次性密碼(OTP)驗證由用戶設備(I)所接收的簽名請求消息(CSR)����。
11.根據權利要求10的服務器, 其中由一次性密碼產生器(2A)產生的�、用戶設備(I)的一次性密碼(OTP)或者被存放在集成在用戶設備(I)中的數據載體上并且該用戶設備(I)為了安裝而被發(fā)送給用戶,或者所產生的�、用戶設備(I)的一次性密碼(OTP)被存放在與用戶設備(I)分離的數據載體上�,該分離的數據載體連同用戶設備(I) 一起或與用戶設備(I)分離地被發(fā)送給用戶以用于安裝用戶設備(I)��。
12.根據權利要求9一 11之一的服務器��, 其中該服務器(2)是服務提供者的服務器��,該服務器通過安裝的用戶設備(I)給用戶提供服務�����, 其中用戶設備(I)具有 一用于與能量供給者交換數據的能量網關����, 一用于與服務提供者交換患者數據的醫(yī)療設備, 一用于將報警通知傳輸給服務提供者的報警設備�����,或者 -用于與服務提供者交換數據的通信設備����。
13.根據權利要求11或12的服務器, 其中由服務器(2)的一次性密碼產生器(2A)產生的��、用戶設備(I)的一次性密碼(OTP)以被存儲在USB棒數據載體中的形式被發(fā)送給用戶。
14.根據權利要求10-13之一的服務器����, 其中服務器(2)的驗證單元(2D)借助用戶設備(I)的公共設備密鑰(Kpub)驗證所接收的簽名請求消息(CSR)的簽名。
全文摘要
本發(fā)明涉及用于通過服務提供者的服務器(2)防操縱地提供針對用戶設備(1)的公共設備密鑰(Kpub)的密鑰證書(Z)的方法和服務器����,用戶設備被安裝在用戶處,該服務器通過用戶設備(1)給用戶提供服務�,其中如果由用戶設備(1)接收的簽名請求消息(CSR)通過服務器(2)借助由服務器(2)為用戶設備(1)所產生的一次性密碼(OTP)被成功地驗證,則服務器(2)給用戶設備(1)提供密鑰證書(Z)����。
文檔編號H04L9/08GK103026657SQ201180037990
公開日2013年4月3日 申請日期2011年7月22日 優(yōu)先權日2010年8月3日
發(fā)明者J-U.布澤, S.弗里斯 申請人:西門子公司