专利名称:在线安全设备供应框架的制作方法
技术领域:
本申请要求2010年4月15日提交的第61/324,571号美国临时申请的优先权,通过引用将其全部内容合并于此。本申请涉及2010年12月6日提交的题为“Online Public KeyInfrastructure (PKI) System”的共同未决的序列号12/961,455的美国申请。
背景技术:
数字信息在商业、教育、政府、娱乐和管理的各个方面已经变得极为重要。在这些多种应用中,确保信息的保密性、完整性和真实性的能力是至关重要的。其结果是,已经开发了若干种数字安全机制以提高安全性。
目前的ー种数字安全标准方法被称为公钥基础设施(PKI)。PKI提供数字证书的使用以认证证书持有者的身份。或者认证其他信息。证书权カ机构(CA)向证书持有者发出证书,然后持有者可以向第三方提供证书作为CA对证书中指出名称的持有者实际上是证书中记载的人、实体、机器、电子邮件地址用户等的证明。另外,证书中的公钥实际上是持有者的公钥。处理证书持有者的人、设备、处理器或其他实体可以根据CA的证书颁布操作规定依赖证书。CA通常通过这样的方式来创建证书利用其自己的私钥进行数字签名,识别提交到CA的信息和寻求证书的持有者的公钥。证书通常具有有限的有效期,并且在证书持有者的对应私钥泄漏的情况下或者其他可撤销事件的情况下,可以提前撤销证书。通常,PKI证书包括附接了数字签名的信息的集合。CA作为证书用户信任的团体附接其数字签名,并且向系统内的各种用户和/或设备发放证书。启用网络的设备通常在出厂时供应了身份数据,使得它们可以使用身份数据系统以安全的方式与其他启用网络的设备进行通信。身份数据通常包括公钥和私钥对以及数字证书。启用网络的设备的说明性示例包括但不限于PC、移动电话、路由器、媒体播放器、机顶
合坐
rm -rf* O可以在启用网络的设备部署在该领域之前或之后供应身份数据。例如,在制造时将身份数据纳入该设备。例如,当网络想要替换他们的数字权限管理(DRM)系统或者他们想要支持需要在已经部署启用网络的设备之后为启用网络的设备供应新类型身份的其他安全应用时,发生大規模升级。因为经常手动执行,因此需要将设备返回到服务中心,所以这可能是ー个困难且麻烦的过程。
发明内容
根据本发明的ー个方面,提供一种用于利用新身份数据来更新启用网络的设备的方法。所述方法包括生成多个新身份数据记录和将所述新身份数据记录加载到更新服务器上。在更新服务器处,从具有链接到标识符的在先分配身份的至少ー个启用网络的设备接收对新身份数据的请求。将在先分配标识符链接到新标识符,所述新标识符链接到所述新身份数据记录之一。将ー个或多个新身份数据记录安全传递到启用网络的设备。根据本发明的另一方面,提供一种身份管理系统。所述系统包括身份数据生成器,所述身份数据生成器被配置为生成多个新身份数据记录;以及白名单管理器,所述白名单管理器被配置为(i)接收与被部署用于与网络关联使用的多个启用网络的设备中的每ー个相关联的ー个或多个标识符;(ii)产生将所述ー个或多个标识符与被授权接收新身份数据的启用网络的设备中的每ー个相关的白名单,其中,与每个启用网络的设备相关联的标识符中的至少ー个是在先分配标识符。所述系统还包括更新服务器,所述更新服务器被配置为(i)从身份数据生成器接收新身份数据记录,(ii)从多个启用网络的设备接收对新身份数据的请求,(iii)认证启用网络的设备中的每ー个,(iv)根据白名单向被授权接收新身份数据记录的认证的启用网络的设备中的每ー个认证的启用网络的设备传递新身份数据记录,所述新身份数据记录链接到认证的启用网络的设备的在先分配标识符。根据本发明的再一方面,提供ー种身份数据管理系统,该系统包括存储与多个启用网络的设备相关联的至少两个标识符的ー个或多个数据库。所述两个标 识符中的第一标识符和第二标识符分别是第一类型标识符和第二类型标识符。所述系统还包括白名单管理器,所述白名单管理器用于接收第一组数据,所述第一组数据指定被授权利用新身份数据来更新的ー个或多个启用网络的设备。通过第一类型标识符在第一组数据中识别ー个或多个启用网络的设备。所述白名单管理器被配置为访问ー个或多个数据库,以检索与第一组数据中包括的第一类型标识符相对应的第一类型标识符和第二类型标识符,以及建立包括对应的第一类型标识符和第二类型标识符的白名单且将所述白名单传递到身份数据生成器和更新服务器。所述系统还包括身份数据生成器,所述身份数据生成器被配置为生成身份数据记录,每个身份数据记录通过第二类型标识符来识别。对在从白名单管理器接收到的白名单上指定的启用网络的设备,生成所述生成的身份记录。所述身份数据生成器还被配置为将身份数据记录与白名単相关联。所述系统还包括更新服务器,所述更新服务器被配置为通过通信网络从已部署的启用网络的设备接收对新身份数据的请求。所述更新服务器还被配置为,将从身份数据生成器接收到的所述生成的身份数据记录发送到通过白名单中和从身份数据生成器接收到的数据中的第一类型标识符分别识别的已部署的启用网络的设备。
图IA和IB示出可以实现在此描述的用于向启用网络的设备供应身份数据的处理的操作环境的ー个示例。图2A和2B是当需要利用附加身份数据修复、更新或补充已经供应了身份数据的已部署启用网络的设备时PKI/身份更新处理的一个示例的流程图。图3A和3B是当先前没有向已部署启用网络的设备供应任何已知的、信任的或可访问的PKI数据供应时PKI/身份更新处理的一个示例的流程图。图4示出用于利用新身份数据来更新启用网络的设备的方法的一个说明性示例。
具体实施例方式在此描述ー种身份数据管理系统,该系统提供灵活框架,该框架可以用于升级、修复或者补充在该领域已经部署的基数庞大的启用网络的设备中供应的身份数据。系统架构允许网络运营商在这些设备中安装和更新身份数据,而不必从最终用户召回这些设备。系统架构还允许运营商在最小服务中断的情况下更新在在先部署的启用网络的设备中供应的已过期或即将过期的数字证书。在一般情况下,例如,服务提供者可能获得比如他们已经交付给最终用户客户的50万台产品。由于种种原因,服务提供者可能期望更新这些台设备的所有或其子集(例如,100,000)中的身份数据。在ー个特定实例中,身份数据是PKI数据。在其他情况下,身份数据可以采取多种其他形式,诸如序列号,基于加密的对称密钥等。仅为了说明性而非对本发明限制的目的,下面的描述将经常指的是用于升级、修复或补充PKI数据的PKI管理系统。图IA和图IB示出可以实现在此描述的用于向启用网络的设备供应身份数据的处理的操作环境的ー个示例。此示例示出在数据身份供应/更新处理中可能涉及的表示不同部分的多个不同域。在此示例中,示出三个域エ厂域310,表示启用网络的设备的制造站;由操作使用启用网络的设备的网络的网络协调器控制的部署网络域2 10 ;以及由PKI中心运营商操作的PKI/身份管理系统域120。尽管通常可由不同实体维护操作这些域,但是在一些情况下可由相同实体操作这些域。例如,エ厂域310和PKI/身份管理系统域120有时可以在相同实体控制下。应该理解,以高度简化的方式示出图IA和图IB中的每ー个域,其中,单个实体(例如,服务器、数据库等)可以代表多个复杂布置和系统。例如,如下所解释的,エ厂域包括エ厂数据库330,エ厂数据库330用于跟踪制造处理中使用的组件,购买和运输订单等。实际上,在该处理中可以涉及很多不同的系统和实体,在此,全部这些都由エ厂数据库330代表。单个制造者的制造域310可以包括多个制造站点,在一些情况下,分布在世界范围内的第三方合同制造者可以操作所述多个制造站点。每个エ厂,图IA和图IB示出的仅ー个エ厂,可以生产单ー类型或单ー种类的启用网络的设备(例如,移动电话)或多种设备(例如,移动电话、路由器和机顶盒)。图IA和图IB示出一个说明性制造站点,エ厂310,其包括前述本地エ厂数据库330 ;エ厂编程站350,允许エ厂人员访问エ厂数据库以及正生产的启用网络的设备34(^34(^和3403 (〃340〃);以及エ厂服务器320,用于与PKI系统120进行通信和存储从其接收到的PKI身份数据。网络210包括网络访问授权服务器230,其准许部署的启用网络的设备24(^24(^和2403 ("240")访问网络以及发起升级操作的许可。关于部署设备240的身份数据和其他信息由账户身份和管理系统220来维护。除了位于上述エ厂站点310处的身份管理组件之外,PKI/身份管理系统包括两个主要子系统=PKI/身份生成系统120和PKI/身份更新系统130。出于安全原因,PKI/身份生成系统120通常是在线系统,包括订单履行处理器122,订单履行处理器122生成产品所要求的数字证书或其他身份数据。订单履行处理器122可以包括或可访问硬件安全模块(HSM),其中,可以存储由系统使用的CA的证书签字私钥和安全数据。PKI/身份生成系统120还包括存档数据库124,其是记录的数据库。这些记录可以涉及发放的数字证书、对新数字证书或安全数据的原始请求、审计数据、组织信息、产品供应、用户信息和其他必要的记录类型。
PKI/身份更新系统130包括PKI/身份更新服务器132,PKI/身份更新服务器132从离线PKI/身份生成系统120接收新身份数据并将新身份数据安全下载到适当的已部署启用网络的设备240。PKI/身份更新系统130还包括白名单生成和管理(WGM)服务器134,用于合并从各种域(即,PKI/身份生成系统、设备制造商和服务提供商/网络运营商)内维护的不同白名单资源接收到的各种身份。具体地,WGM服务器134经由具有从不同制造站点检索到的所有数据的中央单元个性化数据库360从エ厂接收ー组设备标识符,并且从中央PKI个性化数据库160接收另ー组设备标识符,其中的一个通过PKI/身份生成系统120分配。下面将讨论来自网络运营商或更新服务器132的白名单数据的其他源。这些标识符和其他数据允许WGM服务器134将分配给相同的启用网络的设备的各种标识符关联。PKI/身份更新系统130还包括监视器和报告器系统136,监视器和报告器系统136用于监视、跟踪和报告大容量升级操作的进度和状态,这可能涉及不同网络和运营商之间的以百万计的启用网络的设备240。在详细呈现图IA和图IB所示的各种域和实体之间的处理流之前,将呈现安全设备供应处理的高层概述。最初,应该注意到,不同域可以分配与启用网络的设备相关联的其 自身的标识符,并且这些身份需要被跟踪且彼此关联,以便执行PKI/身份更新。具体地,PKI中心协调器向每个PKI/身份数据记录分配标识符,在此被称为ID-A,最终将在エ厂供应在启用网络的设备中。如果身份数据记录包括公钥-私钥对和数字证书,则其ID-A将被包括在证书中。同样,制造者向其制造的每个设备340分配标识符,表示为ID-B。此标识符通常将是基于硬件的标识符形式,诸如MAC地址、国际移动设备身份号(MEI)或単元ID(UID)0另外,制造者还可以分配另ー标识符,表示为ID-C,其可以是标签形式,诸如序列号等。与其他标识符不同,标签通常将是设备本身可见的。部分由于此原因,网络运营商将通常使用其自身域中的标识符ID-C。在一些情况下,标识符ID-B和ID-C可以相同。当首先向启用网络的设备供应身份数据吋,PKI/身份生成系统120生成每个设备的初始身份数据,并且将其传递到エ厂服务器320。提供给エ厂服务器320的每个身份数据记录包括其标识符ID-A。当制造者准备好首先向新制造的设备加载身份数据时,エ厂站350将通过向エ厂服务器320提供设备的标识符ID-B来请求身份数据记录。作为响应,エ厂服务器320将向エ厂站350提供由其标识符ID-A识别的身份数据记录。这些标识符都将存储在エ厂服务器320中并且被复制到中央身份数据库160,中央身份数据库160将这两个标识符彼此关联,以指示他们涉及相同的启用网络的设备340。当已部署设备240作出请求向其供应新身份数据记录的请求吋,网络运营商根据其自身内部程序同意该请求。在一些情况下,授权服务器230可以准许满足该请求的许可,授权服务器230可以向与PKI/身份更新系统130相关联的WGM服务器134提供要更新的设备的白名単。替代使用授权服务器230传递白名单,网络运营商可以通过在线接ロ等向WGM服务器134手动传递白名単。替代源于网络运营商,在一些情况下,授权可以源于エ厂,特别是,当将要升级部署到特定网络运营商的所有设备吋。例如,此授权可以基于运输到网络运营商的所有设备的列表。提供的白名单包括由网络运营商使用的要更新的每个设备的标识符,ID-C。WGM服务器134从各种源获得标识符ID-A、ID-B和ID-C,并且将他们形成单个白名单,用于随后分发给更新服务器132和/或PKI/身份生成系统120。如果要生成的新身份数据基于/链接到标识符ID-A和/或ID-C,则在エ厂,应该受到设备中在先供应的密钥/证书的保护。在此情况下,白名单从WGM服务器134传递到PKI/身份生成系统120,可以从该白名单检索在先ID/密钥/证书,以保护生成的新身份数据。另ー方面,如果要生成的新身份数据基于与在先生成/供应的密钥/证书没有关联的新ID (ID-D),则PKI/身份生成系统120在接收到更新请求之前生成新身份数据,并且因此不需要来自WGM服务器134的此信息。在此情况下,白名单直接发送到更新服务器132,使得其可以用于检查设备更新授权。接下来,每个要更新的设备240向更新服务器132发送请求。利用在エ厂在先安装的PKI密钥(或者其他类型的密钥,诸如对称密钥和/或标识符)对请求进行签名。基于PKI数据的机制提供了请求消息的强认证,而基于简单身份和/或对称密钥的机制提供了对认证的容易验证。更新服务器132通过验证签名和证书来首先认证设备请求消息。将拒绝任何无效请求。使用请求更新的每个设备240的适当标识符ID_C,PKI/身份更新服务器132可以基于其接收到的白名单来执行授权检查,以确保仅更新具有新PKI/身份数据 的授权的设备。更新服务器132还从PKI/身份生成系统120获得更新的PKI身份数据记录。通过新标识符ID-D指定新PKI身份数据记录,其可以基于或不基于任何在先标识符(ID-A、ID-B和ID-C)。新的和在先PKI/身份数据的关联确定如何进行授权操作。在一种情况下,新PKI/身份数据(ID和密钥)与在先ID/密钥/证书无关。在此情况下,PKI/身份生成系统生成具有内部分配的新标识符的充足的新PKI数据池,并且将其上传到更新服务器132以使用。更新服务器132简单检查请求消息中的设备ID (ID-C)是否包括在白名单中。将利用存储在更新服务器132中的下一可用新PKI/身份数据记录或未使用的PKI/身份数据记录来实现每个请求消息。通常,一个记录将用于一个设备,尽管在一些情况下可以在多个设备之间共享相同记录。在此处理中,更新服务器132将设备ID-C与具有标识符ID-D的新PKI/身份数据记录配对。此在线授权和设备绑定处理用于确保授权升级的所有设备将接收新PKI/身份数据。另ー方面,如果新PKI/身份数据(ID和密钥)与在先ID/密钥/证书相关,则可以采用离线生成和设备绑定处理。在此情况下,PKI/身份生成器系统120仅对其ID (ID-C)包括在白名单中的那些设备生成新ID/密钥/证书。然后,将新身份数据传递到更新服务器132。更新服务器132仅具有其ID (ID-C)在白名单上的设备的新PKI/身份数据;将不实现来自其ID (ID-C)没有出现在白名单上的设备的任何请求。最后,更新服务器132通过公共网络或专用网络150 (例如,互联网)向他们相应的设备240传递新身份数据记录。现将使用图2和图3的处理流程图更加详细地描述PKI/身份更新处理。图2A和图2B示出已经向需要利用附加身份数据来修复、更新或补充的已部署启用网络的设备供应身份数据的情况,而图3A和图3B示出先前没有向已部署启用网络的设备供应任何已知的、信任的或可访问的PKI数据的情况。在图I、图2和图3中,通过相同的附图标记来表示相同的元件。參照图2A和图2B,处理在I处开始,当PKI生成系统120生成在エ厂要安装到制造设备中的初始身份数据。此身份数据也存档在存档数据库124中。初始身份数据记录被分配了标识符ID-A,该标识符由PKI/身份生成系统120维护。身份数据从生成系统传递到在线PKI加载器325,在线PKI加载器325将数据加载到被授权的エ厂服务器320上。在2处,如下利用初始身份数据对设备进行个性化。首先,启用网络的设备340被分配了设备标识符ID-B,标识符ID-B可以是序列号、単元ID (UID)、IMEI号或MAC地址。标识符ID-B存储在エ厂身份数据库330中且被分配给エ厂编程站,エ厂编程站进而将其分配给将被制造的设备。还通过エ厂身份数据库330和编程站350向设备分配第二标识符,表示为ID-C,ID-C通常可以是将由网络运营商使用的标签等。在ー些情况下,标识符ID-B和ID-C可以相同。在2处,エ厂编程站350从エ厂服务器320请求身份数据。在站350连接到エ厂服务器320且发送对于要供应设备340的身份ID-B的请求之后,エ厂服务器320通过提供用标识符ID-A表示的身份数据作出响应。可以结合特定服务或服务组来使用设备中供应的身份数据。因此,如果设备被授权用于多个服务或服务组,则可以向设备供应多个身份数据记录。使用不同密码密钥/证书生成机制和具有不同证书颁发机构(CA)等,表示为PKI类型ID的每个PKI/身份数据类型可以具有不同密钥/证书格式。在3处,设备340可以从エ厂域310运输到网络域210,并且网络运营商在其网络中部署设备340。然后,网络运营商授权设备340访问网络,并且将部署的设备的身份存储 在账户/身份管理服务器220中。在可以执行任何更新之前,在初始个性化处理和网络访问授权处理期间使用的各种标识符需要导入到PKI/身份更新系统130中且由PKI/身份更新系统130合井,以便用于在足够安全的情况下在线执行的升级操作。首先,在4a处,中央单元个性化数据库360从各个本地エ厂身份数据库330收集设备标识符(ID-B和ID-C)。然后,数据库360向WGM134上传这些设备标识符作为白名单源之一。另外,在4b处,网络访问授权服务器230还向WGM 134上传将被升级的设备240的列表(如用标识符ID-C标识的)。在一些情况下,当网络运营商想要升级其网络中的所有设备时,基于它们的设备的出货通知,可以直接从エ厂获得此设备列表。在4c处,中央PKI个性化数据库160经由PKI收获器360从エ厂服务器320收集各种PKI个性化相关信息(例如,ID-A、ID-B、PKI类型ID),所述PKI收获器360聚集来自不同エ厂位置的各种エ厂服务器的信息。接下来,在5处,取决于PKI/身份管理系统的每个客户(例如,网络运营商、制造者等)定义的各种升级要求,WGM 134合并所有标识符并且为PKI/身份生成系统120和更新服务器132生成白名単。为了安全目的,以离线方式将白名单提供给PKI/身份生成系统120。在6处,设备240直接向更新服务器132作出更新请求。利用在エ厂在先安装的且利用ID-A识别的PKI密钥对每个设备240发送的请求消息进行签名。在7处,接收到请求之后,更新服务器132首先通过验证其签名和证书来认证设备请求消息。将拒绝任何无效请求。然后,在8处,更新服务器132执行授权检查,以确保实际上授权了所有被认证设备利用新身份数据进行更新。取决于白名单配置,可以通过两种方式之ー执行这种授权检查。首先,使用在线授权和设备绑定处理来执行授权。替代地,可以采用离线生成和设备绑定处理。同时,在9处,离线PKI/身份生成系统120生成新身份数据。取决于是否定义白名单,可以通过两种方式之一实现。首先,当定义且导入白名单时,可以基于白名单中指定的信息来生成新身份数据记录。此信息通常包括设备标识符和PKI类型ID中的ー个。
可以通过在先安装密钥对新身份数据进行加密,在先安装密钥的证书具有在白名单中与设备ID配对的标识符(ID-A),设备ID可以是ID-B或ID-C。为了获得在先安装密钥,将首先需要从存档数据库124检索在先生成的身份数据。在此加密操作之后,基于授权更新的部署的设备240的白名单,具有指定的新PKI类型ID的新身份数据记录绑定到它们对应的设备。在接收到对新身份数据的请求之前(例如,在生成新身份数据吋)或者仅当接收到对新身份数据的请求时,可以执行新身份数据的加密。如果不需要已部署设备的任何一个现有标识符来识别新身份数据,则离线PKI/身份生成系统120独立地生成足够大的特定PKI类型的新身份数据记录池(基于内部分配的表示为ID-D的新标识符),并且经由PKI加载器133将其上传到更新服务器132中。在此情况下,在密钥生成处理期间,对任何特定设备生成新身份数据。当更新服务器132接收到新身份数据更新请求吋,使用“下一可用”新身份数据记录。在此情况下,新身份数据与设备240的绑定基于对其可用的指定白名单在更新服务器132中进行。不管如何生成新身份数据,更新服务器132从PKI/身份生成系统120接收新身份数据,并且在10处通过网络150向已部署启用网络的设备提供新身份数据来对更新请求作 出响应。在11处,已部署设备240对新身份数据解密、验证和安装。另外,在12处,监视器和报告系统136对全部数据使用和系统的操作状态保持跟踪。在一些情况下,在13处,已经授权接收更新的启用网络的设备240可以重新尝试使用相同设备标识符发送获得更新的请求。这可能是必要的,例如,由于网络中断、意外设备重置、网络访问授权服务器230重置等。如果更新服务器132接收到这种请求,则更新服务器132首先检查是否已经超过对重试的任何限制(可以基于数量或时间),并且如果是,则其拒绝重试请求。如果重试请求被允许,则更新服务器132检索与在先发送到相同设备240的身份数据组完全相同的身份数据组,该设备240已经绑定到其エ厂设备身份。响应于重试请求,此相同身份数据组返回到设备240。现參照图3A和图3B,呈现了用于在先没有向已部署启用网络的设备供应任何PKI数据的情况的处理流程图。此处理还可以适用于エ厂安装的证书已经过期并且因此不能使用的情況,或者设备由其PKI/数据不能被信任和/或不可访问的一方制造的情況。图3A和图3B的处理在I处开始,当启用网络的设备240在エ厂被分配了标识符时,该标识符将再次被表示为ID-B。在2处,设备从エ厂域310运输到网络域210,并且网络运营商在其网络中部署设备340。网络运营商可以向已部署设备340分配访问账户,被表示为标识符ID-C,标识符ID-C可以从网络运营商自身的网络访问授权服务器230检索。在一些情况下,标识符ID-B和ID-C可以相同。如在图2A和图2B的情况,在可以执行任何更新之前,需要通过PKI/身份更新系统130导入和合并各种标识符,以便用于在合理安全的情况下在线执行的更新操作。首先,在4a处,中央单元个性化数据库360从各个本地エ厂身份数据库330收集设备标识符(ID-B和ID-C)。然后,数据库360向WGM 134上传这些设备标识符作为白名单数据源。另外,在3b处,网络访问授权服务器230还向WGM 134上传将被升级的设备240的列表(如用标识符ID-C标识的)。接下来,在4处,取决于由PKI/身份管理系统的每个客户(例如,网络运营商、制造商者等)定义的各种升级要求,WGM 134合并所有标识符并且为更新服务器132和/或离线PKI/身份生成系统120生成白名単。
在5处,设备240直接向更新服务器132作出更新请求。在6处,接收到请求之后,更新服务器132首先认证设备请求消息。将拒绝任何无效请求。基于在エ厂在先安装的标识符,请求消息是“被认证的”。由于不存在PKI数据,因此,“认证”机制将没有存在PKI数据时強。可以使用基于对称密钥或基于公钥(例如,诸如在设备和更新服务器,使用预先确定的秘密质数模P和基发生器g从Diffie-Hellman算法中推导出的)的认证。然后,在7处,更新服务器132执行授权检查,以确保实际上所有被授权设备被授权使用新身份数据更新。可以通过两种方式之ー执行这种授权检查,取决于白名单供应。首先,使用在线授权和设备绑定处理执行授权。可选地,可以采用离线生成和设备绑定处理。同时,在8处,在线PKI/身份生成系统120生成新身份数据。取决于是否提供了白名単,这可以通过两种方式之一实现。首先,如果提供了白名单,则可以基于白名单中的设备标识符和PKI类型ID来生成新身份数据记录。然后,新生成的PKI数据绑定到其标识符嵌入到新证书中的设备。由于没有初始安装PKI数据,因此不能利用在先安装PKI数据对新PKI数据进行加密。因此,需要不同机制来保护新PKI数据。可以使用基于对称密钥 的加密。例如,可以从设备标识符和/或网络标识符以及其他系统參数来获得对称密钥。如果没有白名单提供给离线PKI/身份生成系统120,则系统独立地生成足够大的特定PKI类型的新身份数据记录池(基于内部分配的表示为ID-D的新标识符),并且经由PKI加载器133将其上传到更新服务器132中。在此情况下,在密钥生成处理期间没有生成用干与任何特定设备匹配的新身份数据。当更新服务器132接收到新身份数据更新请求吋,使用“下一可用”新身份数据记录。在此情况下,新身份数据与设备240的绑定基于对其可用的指定白名单在更新服务器132中进行。不管如何生成新身份数据,更新服务器132从PKI/身份生成系统120接收新身份数据,并且在9处通过网络150向已部署启用网络的设备提供新身份数据,对更新请求作出响应。在10处,已部署设备240对新身份数据解密、验证和安装。然而,由于没有在先PKI数据可用,所以新PKI数据的验证和解密不能基于PKI。因此,需要使用其他机制。在11处,监视器和报告系统136对全部数据使用和系统的操作状态保持跟踪。在一些情况下,在13处,已经授权接收更新的启用网络的设备240可以重新尝试使用相同设备标识符来发送其获得更新的请求。这可能是必要的,例如,由于网络中断、意外设备重置、网络访问授权服务器230重置等。如果更新服务器132接收到这种请求,则更新服务器132首先检查是否已经超过对于重试的任何限制(可以基于数量或时间),并且如果是,则拒绝重试请求。如果重试请求被允许,则更新服务器132检索与在先发送到相同设备240的身份数据组完全相同的身份数据组,该设备240已经绑定到エ厂设备身份。响应于重试请求,此相同身份数据组返回到设备240。图4示出用于利用新身份数据来更新启用网络的设备的方法的一个说明性示例。所述方法包括生成多个新身份数据记录的步骤(步骤410)。另外,提供白名单列表,该白名单列表指定被授权利用新身份数据更新的两个或多个启用网络的设备(步骤420)。在ー些情况下,网络运营商授权设备的更新。在一些情况下,网络运营商可以请求利用新身份数据对其网络中部署的所有设备更新。替代地,网络运营商可以把选择的应该更新的设备作为目标。例如,网络运营商可以对特定型号的所有设备更新。类似地,网络运营商可以通过任何其他一个或多个准则把选择的设备作为目标,例如,特定客户使用的所有设备或者特定地理区域中部署的所有设备。在任何情况下,在生成身份数据记录之后的某一点,身份数据记录被上传到更新服务器(步骤430)。另外,更新服务器从ー个或多个启用网络的设备接收对于新身份数据的请求,所述ー个或多个启用网络的设备的每ー个具有在先分配的身份(步骤440)。在将新身份数据记录上传到更新服务器之前或之后,它们链接到新标识符,新标识符本身链接到新身份数据记录之一(步骤450)。最終,新身份数据记录安全传递到它们相应的启用网络的设备。如在本申请中使用的,术语“组件”、“模块”、“系統”、“装置”、“接ロ”等等通常意在表示计算机相关实体,硬件、硬件与软件的组合以及软件、或者执行中的软件。例如,组件可以是但是不限于在处理器上运行的处理、处理器、对象、可执行、执行的线程、程序和/或计算机。通过说明的方式,在控制器上运行的应用和控制器都可以是组件。一个或多个组件可以驻留在过程和/或执行的线程中,并且组件可以位于一个计算机上和/或分布在两个或多个计算机之间。此外,可以使用标准编程和/或工程技术来生成软件、固件、硬件或者其任何组合以控制实施所公开的主题的计算机来将所要求保护的主题实现为方法、装置或者制品。这里使用的术语“制品”意在包括从任何计算机可读装置、载体或介质都可以访问的计算机程 序。例如,计算机可读存储介质可包括但不限于磁性存储设备(例如,硬盘、软盘、磁帯…)、光盘(例如,压缩盘(⑶)、数字通用盘(DVD)…)、智能卡以及闪速存储器设备(例如,卡、棒、键驱动)。当然,本领域技术人员将认识到,在不脱离所要求保护的主题的范围或精神的情况下,可以对该供应作出很多修改。
权利要求
1.一种用于利用新身份数据来更新启用网络的设备的方法,包括 生成多个新身份数据记录; 将所述新身份数据记录加载到更新服务器上; 在所述更新服务器处,从具有链接到标识符的在先分配身份的至少一个启用网络的设备接收对新身份数据的请求; 将在先分配标识符链接到新标识符,所述新标识符链接到所述新身份数据记录中的一个;以及 将一个或多个新身份数据记录安全传递到所述启用网络的设备。
2.如权利要求I所述的方法,还包括接收白名单,所述白名单指定被授权利用新身份数据更新的多个设备。
3.如权利要求I所述的方法,其中,所述多个启用网络的设备中被授权升级的设备被服务提供商授权利用新身份数据进行更新,所述多个启用网络的设备是由所述服务提供商所服务的所有启用网络的设备的子集。
4.如权利要求3所述的方法,其中,所有设备的子集中的设备都是通用类型。
5.如权利要求I所述的方法,其中,所述多个设备中要升级的设备是其相应的用户请求更新的设备。
6.如权利要求I所述的方法,其中,所述多个设备中要升级的设备接收基于从包括设备客户、设备类型和部署被授权设备的区域的组中选择的一个或多个因素对更新的授权。
7.如权利要求I所述的方法,其中,基于用于特定启用网络的设备的在先分配标识符,对特定启用网络的设备执行生成所述新身份数据记录。
8.如权利要求I所述的方法,还包括利用在先安装在所述启用网络的设备上的在先身份数据对所述新身份数据记录进行加密。
9.如权利要求8所述的方法,其中,在接收到对新身份数据的请求之前,执行对所述新身份数据的加密。
10.如权利要求8所述的方法,其中,当接收到对新身份数据的请求时,执行对所述新身份数据的加密。
11.如权利要求10所述的方法,其中,所述启用网络的设备具有多个在先分配标识符,第一类型标识符链接到在先安装到所述启用网络的设备上的身份数据,所述第一类型标识符与在先安装的身份数据记录相链接。
12.如权利要求11所述的方法,其中,所述新标识符是第二类型标识符,在工厂供应期间,所述第二类型标识符从所述启用网络的设备提取且存储在数据库中。
13.如权利要求11所述的方法,还包括将白名单加载到所述更新服务器上,所述白名单包括为被授权被供应新身份数据的所述启用网络的设备中的每一个在先分配的第一类型标识符以及为被授权被供应新身份数据的所述启用网络的设备中的一个或多个的每一个在先分配的第二类型标识符。
14.如权利要求13所述的方法,还包括通过将为被授权被供应的所述启用网络的设备中的每一个在先分配的第三类型标识符与所述第一类型标识符和所述第二类型标识符中的相应标识符关联来建立所述白名单,并且还包括基于所述在先分配的第三类型标识符来跟踪设备清单。
15.如权利要求14所述的方法,其中,所述第三类型标识符用作新标识符。
16.如权利要求I所述的方法,其中,所述身份数据包括设备数字证书链和私钥。
17.—种身份管理系统,包括 身份数据生成器,所述身份数据生成器被配置为生成多个新身份数据记录; 白名单管理器,所述白名单管理器被配置为(i)接收与部署用于与网络关联使用的多个启用网络的设备中的每一个相关联的一个或多个标识符,以及(ii)产生将所述一个或多个标识符与被授权接收新身份数据的所述启用网络的设备中的每一个相关的白名单,其中,与每个启用网络的设备相关联的所述标识符中的至少一个是在先分配标识符; 更新服务器,所述更新服务器被配置为(i)从所述身份数据生成器接收所述新身份数据记录,(ii)从所述多个启用网络的设备接收对新身份数据的请求,(iii)认证所述启用网络的设备中的每一个,以及(iv)根据所述白名单向被授权接收新身份数据记录的认证的启用网络的设备中的每一个传递新身份数据记录,所述新身份数据记录链接到认证的启用网络的设备的所述在先分配标识符。
18.如权利要求17所述的身份管理系统,其中,所述更新服务器还被配置为基于所述白名单将所述在先分配标识符绑定到所述新身份数据记录。
19.如权利要求17所述的身份管理系统,其中,所述身份数据生成器还被配置为基于所述白名单将所述在先分配标识符绑定到所述新身份数据记录。
20.如权利要求17所述的身份管理系统,其中,启用网络的设备接收新身份数据的授权基于所述白名单。
21.如权利要求17所述的身份管理系统,其中,每个设备与从不同实体接收到的两个或更多个标识符相关联,从第一实体接收到的第一类型标识符指示与所述第一标识符相关联的所述启用网络的设备被授权接收更新身份数据。
22.如权利要求21所述的身份管理系统,其中,链接到所述新身份数据记录的所述在先分配标识符是由设备制造商分配的标识符。
23.如权利要求21所述的身份管理系统,其中,链接到所述新身份数据记录的所述在先分配标识符是部署所述启用网络的设备的网络运营商分配的标识符。
24.如权利要求17所述的身份管理系统,其中,所述第一实体是部署所述启用网络的设备的网络运营商。
25.如权利要求24所述的身份管理系统,其中,从所述启用网络的设备的制造商接收所述两个或更多个标识符的第二标识符。
26.—种身份数据管理系统,包括 存储与多个启用网络的设备相关联的至少两个标识符的一个或多个数据库,所述两个标识符中的第一标识符和第二标识符分别是第一类型标识符和第二类型标识符; 白名单管理器,所述白名单管理器用于接收第一组数据,所述第一组数据指定被授权利用新身份数据更新的一个或多个启用网络的设备,其中,通过所述第一类型标识符在所述第一组数据中识别所述一个或多个启用网络的设备,其中,所述白名单管理器被配置为访问所述一个或多个数据库,以检索与所述第一组数据中包括的第一类型标识符相对应的第一类型标识符和第二类型标识符,以及建立包括对应的第一类型标识符和第二类型标识符的白名单并且将所述白名单传递到身份数据生成器和更新服务器;身份数据生成器,所述身份数据生成器被配置为生成身份数据记录,每个身份数据记录通过所述第二类型标识符来识别,对在从所述白名单管理器接收到的所述白名单上指定的启用网络的设备生成所述生成的身份记录,其中,所述身份数据生成器还被配置为将所述身份数据记录与所述白名单相关联;以及 更新服务器,所述更新服务器被配置为通过通信网络从部署的启用网络的设备接收对新身份数据的请求,并且所述更新服务器还被配置为将从所述身份数据生成器接收到的所生成的身份数据记录发送到通过所述白名单中和从所述身份数据生成器接收到的数据中的所述第一类型标识符分别识别的已部署的启用网络的设备。
27.如权利要求26所述的身份数据管理系统,其中,所述多个启用网络的设备与至少三个标识符相关联,所述白名单管理器还被配置为建立所述白名单,以便包括与所述启用网络的设备中的每个相关联的第三类型标识符。
28.如权利要求26所述的身份数据管理系统,其中,以离线方式从所述身份数据生成器接收所述身份数据记录以及指定所述第二类型标识符的所述数据。
29.如权利要求26所述的身份数据管理系统,其中,所述身份数据生成器还被配置为生成身份数据记录,并且然后使用通过给定的第一类型标识符识别的启用网络的设备中在先安装的密钥对分配有给定的第二类型标识符的身份数据记录进行加密。
30.如权利要求26所述的身份数据管理系统,其中,通过每个相应启用网络的设备中在先安装的密钥对新分配给每个启用网络的设备的身份数据进行加密。
31.一种利用指令编码的至少一种计算机可读介质,当处理器执行所述指令时,执行用于利用新身份数据来更新启用网络的设备的方法,所述启用网络的设备中的每一个具有与其相关联的至少两个类型的标识符,所述方法包括 通过通信网络接收对于用于多个启用网络的设备的新身份数据的请求,所述请求中的每一个包括与所述启用网络的设备相关联的第二类型标识符; 获得与所述启用网络的设备中的每一个相关联的第一类型标识符,所述第一类型标识符是包括在当前向启用网络的设备供应的身份数据中的标识符,其中,通过将所述第一类型标识符分别分配到已经通过所述第二类型标识符识别的启用网络的设备,所述启用网络的设备已被在先供应所述第一类型标识符; 接收分配有新第二类型标识符的新身份数据,其中,新标识符中的每一个与对应的第一类型标识符匹配;以及 根据所述启用网络的设备相应的第二标识符,通过所述通信网络向所述启用网络的设备中的相应启用网络的设备传递新身份数据。
32.如权利要求31所述的计算机可读介质,还包括接收白名单,以获得所述第一类型标识符并且接收与对应的第一类型标识符匹配的新标识符,所述白名单提供向所述启用网络的设备供应新身份数据的授权。
33.如权利要求32所述的计算机可读介质,还包括通过将为被授权被供应的启用网络的设备的每一个在先分配的第三类型标识符与所述第一类型标识符和所述第二类型标识符中的相应标识符关联来建立所述白名单,并且还包括基于在先分配的第三类型标识符来跟踪设备清单。
34.如权利要求33所述的计算机可读介质,还包括利用当前供应给相应的启用网络的设备的身份 数据对所述新身份数据记录进行加密。
全文摘要
一种用于利用新身份数据更新启用网络的设备的方法,包括生成多个新身份数据记录和将所述新身份数据记录加载到更新服务器上。在更新服务器处,从具有链接到标识符的在先分配身份的至少一个启用网络的设备接收对新身份数据的请求。将在先分配标识符链接到新标识符,所述新标识符链接到所述新身份数据记录中的一个。将一个或多个新身份数据记录安全传递到启用网络的设备。
文档编号H04L29/06GK102845043SQ201180019120
公开日2012年12月26日 申请日期2011年4月15日 优先权日2010年4月15日
发明者邱新, 亚历山大·麦德温斯盖, 斯图尔特·P·莫斯科维奇, 贾森·A·帕西翁, 埃里克·J·斯普龙克, 王凡, 姚挺 申请人:通用仪表公司