本公開提供一種證書管理方法與裝置，所述方法包括：決定撤銷至少一第一證書，第一證書記錄于金鑰樹中，且金鑰樹記錄的所有證書關聯于實體裝置。接著，在金鑰樹中，判斷第一根節點是否能夠僅涵蓋第一證書以及其他已被撤銷的證書。若第一根節點僅涵蓋第一證書以及其他已被撤銷的證書，將第一根節點的信息加入至證書撤銷清單。并且，將證書撤銷清單傳送至至少另一個實體裝置。

技術領域

本公開涉及一種證書管理方法與裝置。

背景技術

在公開金鑰密碼系統中，實體裝置可使用證書管理中心(certificateauthority)所提供的證書，以確認訊息是可靠的。藉由證書管理中心供識別實體裝置的證書，實體裝置可以附加訊息以提供給另一接收訊息的實體裝置。

在一些情況中，例如當實體裝置的私密金鑰泄漏時、實體裝置發生故障時或實體裝置的存取權限被撤銷時，證書管理中心需要在證書終止之前撤銷此證書。為了進行這樣的操作，證書管理中心會使用包含被撤銷證書的值的證書撤銷清單(certificaterevocation list，CRL)，并且再提供證書撤銷清單至實體裝置，以驗證通訊雙方證書的確實性。

在一些網絡中，例如車用網絡，證書管理中心會產生數以千萬計的證書至實體裝置，使得實體裝置可于一頻率基底(frequent basis)上改變使用中的證書，進而保護實體裝置的隱私或識別性。在這類網絡中，若有實體裝置的證書需要被撤銷，證書撤銷清單必須列舉出發給實體裝置的數以千萬計的證書，如此會導致證書撤銷清單變得非常大，且對于實體裝置在驗證證書上會顯著增加處理負擔。

發明內容

本公開提供一種證書管理方法，所述方法包括：決定撤銷至少一第一證書，第一證書記錄于金鑰樹中，且金鑰樹記錄的所有證書關聯于實體裝置。接著，在金鑰樹中，判斷第一根節點是否能夠僅涵蓋第一證書以及其他已被撤銷的證書。若第一根節點僅涵蓋第一證書以及其他已被撤銷的證書，將第一根節點的信息加入至證書撤銷清單。并且，將證書撤銷清單傳送至至少另一個實體裝置。

本公開提供一種證書管理裝置，包括了金鑰集合計算單元、證書撤銷單元以及證書撤銷清單廣播單元。金鑰集合計算單元維護金鑰樹，于金鑰樹中記錄的所有證書系關聯于實體裝置。證書撤銷單元耦接金鑰集合計算單元，接收金鑰樹中的至少一第一證書的撤銷請求，并于金鑰樹中，判斷第一根節點是否僅涵蓋第一證書以及其他已被撤銷的證書，若第一根節點僅涵蓋第一證書以及其他已被撤銷的證書，將第一根節點的信息加入至證書撤銷清單。證書撤銷清單廣播單元耦接證書撤銷單元，用以將證書撤銷清單傳送至至少另一個實體裝置。

以上的關于本發明內容的說明及以下的實施方式的說明系用以示范與解釋本發明的精神與原理，并且提供本發明的專利申請范圍更進一步的解釋。

附圖說明

圖1是繪示依據本公開一實施例的證書管理裝置的功能方塊圖。

圖2是繪示依據本公開一實施例的金鑰樹的示意圖。

圖3是繪示依據本公開一實施例的證書管理方法的流程圖。

圖4是繪示依據本公開另一實施例的證書管理方法的流程圖。

【符號說明】

1：證書管理裝置

100：金鑰集合計算單元

102：證書撤銷單元

104：證書撤銷清單廣播單元

106：公私鑰產生單元

108：證書產生單元

110：私密值協議單元

S300～S308、S400～S412：步驟流程

具體實施方式