技術領域

所述實施例闡述了用于在一個或多個無線通信設備中撤銷根證書的技術。

背景技術

大多數無線通信設備(例如，智能電話)配置為利用對無線服務運營商提供訪問的通用集成電路卡(Universal Integrated Circuit Card，UICC)。UICC通常采用插入無線通信設備的小的可拆卸卡的形式(例如，訂戶身份模塊(Subscriber Identity Module，SIM)卡)；但是，在更近期的實現中，UICC可以代替地直接嵌入無線通信設備的系統板。根據任一種方法，UICC都包括至少微處理器和只讀存儲器(ROM)，其中ROM配置為存儲微處理器為了與無線服務運營商交互而可以使用的認證數據。一般而言，認證數據包括使無線服務運營商能夠認證UICC的唯一密碼密鑰。認證數據還包括一個或多個使UICC能夠通過微處理器在與不同無線服務運營商交互之前認證它們的根證書。

雖然以上方法提供了基本能抵抗故障的安全操作環境，但是它可能易于遭受緩解起來既昂貴又麻煩的安全漏洞。例如，考慮其中惡意方變得私下獲知(privy to)與由一組UICC(例如，規模為百萬數量級的一組UICC)存儲的根證書關聯的私鑰的情況。給定UICC中所包括的存儲器的只讀本質，該組中所有的UICC都將需要替換新的UICC(存儲新根證書)，以便限制該安全漏洞。具體而言，基于SIM卡的UICC將需要替換新的SIM卡。更糟糕的是，具有嵌入式UICC的無線通信設備在大多數情況下將需要替換整個系統板，雖然系統板的其它部件有可能是完好的。重要的是，這個過程是昂貴耗時的，并且會顯著降級整體消費者滿意度。

發明內容

本文所闡述的代表性實施例公開了用于從至少一個客戶端設備撤銷特定根證書的各種技術。特別地，所述技術涉及使安全元件–該安全元件包括在所述至少一個客戶端設備中并且配置為存儲所述特定根證書以及至少一個備份根證書–永久性地忽視該特定根證書并防止所述至少一個客戶端設備使用該特定根證書。

一種實施例闡述了用于從至少一個客戶端設備撤銷根證書的方法。該方法包括涉及以下的步驟：接收撤銷根證書的請求，其中該請求包括與所述根證書關聯的對象標識符(OID)，確定所述至少一個客戶端設備配置為信任該根證書，以及生成從所述至少一個客戶端設備撤銷該根證書的消息，其中消息包括所述OID并且以所述至少一個客戶端設備已知的預定義方式格式化。該方法還包括步驟：使與所述根證書關聯的證書頒發機構用第一簽名簽署所述消息、用第二簽名簽署該消息，以及把該消息發布給所述至少一個客戶端設備，以造成所述根證書在所述至少一個客戶端設備的撤銷。

另一種實施例闡述了配置為存儲指令的非臨時性計算機可讀存儲介質，當指令被計算設備中所包括的處理器執行時，使計算設備接收撤銷根證書的請求，識別至少一個配置為信任該根證書的客戶端設備，以及生成從所述至少一個客戶端設備撤銷該根證書的消息，使第一簽名和第二簽名包括在該消息中以建立雙認證，以及把消息發布給所述至少一個客戶端設備，以造成所述根證書在所述至少一個客戶端設備的撤銷。

還有另一種實施例闡述了既包括存儲器又包括處理器的安全元件，其中存儲器配置為存儲至少兩個根證書。處理器配置為從管理實體接收針對撤銷所述至少兩個根證書當中特定根證書的消息，嘗試認證該消息，并且，當該消息通過認證時，使該特定根證書變得不可訪問。

本發明內容的提供僅僅是為了概括一些示例實施例，從而提供對本文所述主題的一些方面的基本理解。因而，應當認識到，上述特征僅僅是例子并且不應當以任何方式認為是縮窄本文所述主題的范圍或主旨。本文所述主題的其它特征、方面和優點將從以下具體實施方式、附圖和權利要求變得顯然。

結合附圖理解，本文所述實施例的其它方面和優點將從以下具體描述變得顯然，附圖通過例子說明了所述實施例的原理。

附圖說明

所包括的附圖是為了說明并且僅僅用來提供對于所公開的針對提供無線計算設備的發明性裝置和方法的可能結構和布置的例子。這些附圖不是要以任何方式限定在不背離實施例主旨和范圍的情況下可由本領域技術人員對實施例所作的形式和細節的任何變化。通過以下具體描述結合附圖，實施例將很容易理解，附圖中相同的標號指示相同的結構元件。

圖1根據一些實施例說明了配置為實現本文所述各種技術的系統的不同部件的框圖。

圖2根據一些實施例說明了圖1系統的特定部件的更詳細視圖的框圖。