一种面向智能云电视终端的设备证书激活的实现方法

一种面向智能云电视终端的设备证书激活的实现方法
【专利摘要】一种面向智能云电视终端的设备证书激活的实现方法，部署一套中心CA系统负责为二级CA系统颁发二级CA的信任根；每个制造商分别部署一套面向制造商的二级终端设备证书CA系统，为本厂商的智能云电视终端设备在线激活证书；借助二级CA信任根，为没有部署二级智能云电视设备证书CA系统能力的制造商，部署一套面向中心的二级终端设备证书CA系统，为该类厂商的设备在线激活证书；通过智能云电视终端设备预置的安全代理模块和TV识别模块，及面向中心的二级终端设备证书CA系统或面向制造商的二级终端设备证书CA系统，完成智能云电视最重要的证书激活业务，获得智能云电视可信的设备标识。本发明具有通用性强、安全性高、机密性强的优点。
【专利说明】一种面向智能云电视终端的设备证书激活的实现方法
【技术领域】
[0001]本发明属于信息安全中的身份标识领域，具体涉及一种智能云电视终端的设备证书激活的实现方法。
【背景技术】
[0002]在云计算、物联网等新一代信息技术中，身份标识管理是一个最重要的问题，它是安全系统的第一道屏障，也是整个信息安全体系的基础。智能云电视作为智能电视与云计算、物联网等新兴技术的融合体，引领了国内外彩电产业的发展方向，是智能电视发展的高级阶段。要真正地实现智能云电视的智能化识别、监控和管理，就要求其要有自己唯一的身份标识，只有这样才有可能实现对智能云电视进行安全的追溯式的监控和管理，因此智能云电视的身份标识管理已成为其发展过程亟需解决的问题。然而，面对这类新兴的云端设备，相关的研究机构和企业组织还没明确提出较为合理完善的身份标识方法，来应对通过其真实的身份满足云计算、物联网应用场景中不断扩展的业务需求；及应对在不同网络、不同业务间建立可信安全的身份标识，实现多种环境中机密性、完整性、共享性、认证和非否认性服务，提升身份信息的安全性。近年来，一些企业团体已经开始探索在AndroicUIOS等智能化设备中，采用基于PKI体系的数字证书技术，实现智能化设备的可信身份标识，满足了智能设备的多业务应用、基础安全保障等需求，并取得了良好的效果。
[0003]针对已公开的专利(一种面向云电视终端身份认证实现方法及系统，201310086043.1)中的证书激活方法，欠缺考虑对于没有部署CA系统能力的制造商，如何实现该类厂商的终端签发设备证书，同时欠缺与制造商相应的服务接口交互，完成厂商设备合法性的验证，以防止山寨机获得证书激活服务，进而取得可信的身份标识获得非法服务。
[0004]本发明拟基于PKI (Public Key Infrastructure,即“公钥基础设施”，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施)证书体系，通过面向制造商的二级终端设备证书CA系统和面向中心的二级终端设备证书CA系统，及与厂商交互验证终端设备的合法性，实现智能云电视终端的设备证书激活，建立智能云电视设备的可信身份标识。以此为基础，通过安全、实用、具有法律效力的数字证书，为智能云电视终端在新一代信息技术应用环境中的身份认证、授权管理、责任追踪等方面的安全工作提供基础设施服务，增强各应用系统的安全保障能力。其核心是建立服务于各应用系统的智能云电视终端设备数字证书，形成面向智能云电视产业链可信的智能云电视身份标识体系，保障智能云电视行业安全可控的发展。

【发明内容】

[0005]本发明技术解决问题:旨在应对智能云电视产业所面临的身份标识技术挑战，提供一种更具有安全性高、机密性强智能云电视终端的设备证书激活的实现方法。[0006]本发明技术解决方案:简要介绍本方案的基本思想，本发明吸取了已有解决方案的优点，具体来说，本发明技术方案包括下列几个方面:
[0007]方面一:鉴于智能云电视制造商对用户管理成本的考虑，建立基于PKI证书体系的面向中心的二级终端设备证书CA系统(即制造商自身不部署CA系统)，为智能云电视终端设备证书(用户证书)的激活、运营和管理等整个证书生命周期的管理，提供可管可控的证书服务。同时该CA系统与中心CA系统建立两级用户管理的证书信任体系，形成智能云电视行业的安全基础设施。
[0008]方面二:借助基于PKI证书体系的面向制造商的二级终端设备证书CA系统(制造商自身部署CA系统)，实现自身制造商智能云电视终端的设备证书(用户证书)的激活，帮助厂商掌握自身用户的活跃度，及为用户访问业务提供信任支撑。同时该CA系统与中心CA系统也建立两级用户管理的证书信任体系，形成智能云电视行业的安全基础设施。
[0009]方面三:为了避免山寨的智能云电视终端进行证书激活问题的发生，设备标识的合法性必须由制造商验证。即通过制造商提供的设备标识白名单或者通过厂商设备标识验证接口，为智能云电视终端的设备证书激活提供可信的身份证明，以保障合法的设备获得可信的证书身份标识。
[0010]本发明的一种面向智能云电视终端的设备证书激活的实现方法，实现如下:
[0011]第一，部署一套中心CA系统，所述中心CA系统由证书颁发模块构成，负责为二级CA系统即面向中心的二级终端设备证书CA系统和面向制造商的二级终端设备证书CA系统颁发二级CA的信任根及该信任根生命周期的管理，构建完整的证书信任链条，形成一种基于PKI证书体系的两级用户管理；该系统的部署与传统的系统部署相一致；
[0012]第二，基于所述中心CA系统颁发的二级CA信任根，每个制造商分别部署一套面向制造商的二级终端设备证书CA系统，负责为本厂商的智能云电视终端设备证书激活，为获得智能云电视终端的可信身份标识奠定基础；同时借助二级CA信任根，在为没有部署二级智能云电视终端的设备证书CA系统能力的制造商，部署一套面向中心的二级终端的设备证书CA系统，负责为该类厂商的设备证书在线激活，为获得智能云电视终端的可信身份标识奠定基础；
[0013]所述面向中心的二级终端设备证书CA系统包括:面向中心的证书申请代理模块，设备标识查询转发模块，面向中心的证书颁发模块；所述面向中心的证书申请代理模块负责建立面向中心的二级终端设备证书CA系统与智能云电视终端内置的安全代理模块的安全信道、拦截安全代理模块发送的证书签发请求、调用设备标识查询转发模块完成设备标识的验证及下发证书颁发模块签发的设备证书；设备标识查询转发模块负责验证设备标识的有效性；面向中心的证书颁发模块负责为没有部署二级智能云电视设备证书CA系统能力的制造商签发智能云电视终端的设备证书；
[0014]所述面向制造商的二级终端设备证书CA系统包括:面向制造商的证书申请代理模块和面向制造商的证书颁发模块；面向制造商的证书申请代理模块用来建立面向中心的二级终端设备证书CA系统与智能云电视终端内置的安全代理模块的安全信道、拦截安全代理模块发送的证书签发请求、调用制造商自身内部的设备标识查询接口完成自身设备标识的验证及下发面向制造商的证书颁发模块签发的设备证书；面向制造商的证书颁发模块负责为自身智能云电视终端签发智能云电视终端的设备证书；[0015]第三，在智能云电视终端预置安全代理模块和云电视TV识别模块，同时预装面向中心的智能电视终端设备证书CA系统的根证书、中心CA系统的根证书，完成智能云电视终端的设备证书激活业务，获得智能云电视终端可信的设备标识；
[0016]所述TV识别模块是为了避免山寨机复制安全代理模块进行设备证书激活问题的发生，保证智能云电视终端的设备标识合法性必须由厂商验证；所述TV识别模块:自动轮询地监测智能云电视终端是否已连接网络，若监测未连接网络，则提示用户完成网络连接以便其获得更多个性化服务；若监测已连接网络，则由其获取智能云电视终端唯一设备标识、厂商标识及相关硬件信息，并触发自有设备标识验证业务；通过制造商门户集成的厂商设备识别接口，完成设备标识的合法性验证；在设备标识验证合法后，发送证书激活启动请求到安全代理模块；TV识别模块相当于一个Android App，直接安装到智能云电视终端上即可；
[0017]所述安全代理模块:接收证书激活启动请求，启动证书激活业务；生成公私钥对，生成证书签发请求及发送证书签发请求；建立安全信道；接收面向制造商的和面向中心的证书申请代理模块下发的设备证书、安全保存该设备证书及基于该证书完成身份认证；安全代理模块相当于一个Android App，直接安装到智能云电视终端上即可；
[0018]所述面向中心的智能电视终端设备证书CA系统的根证书是一个二级根证书，由中心CA系统负责签发的，即在二级CA系统中导入该证书；中心CA系统的根证书是一个顶级根证书，即在顶级CA系统中导入该证书。
[0019]本发明与现有技术相比，具有以下显著优点:
[0020](I)本发明具有更高的安全性和更强的机密性
[0021]由于本发明采用了两级用户管理(设备证书管理)模式，即面向制造商和面向中心的二级终端设备证书CA系统(该系统整合了设备合法性验证模块)，而且增加了 TV识别模块，并采用了基于PKI公钥密码的数字证书技术，具有极强的机密性、抗否认能力、互联能力。现有技术的专利方案中的证书激活方法不具有设备合法性验证，不能防止山寨机获得合法可信的身份标识，同时对制造商部署CA的能力考虑不足，因此本发明的证书激活方法具有更高的通用性、安全性、机密性。
[0022](2)本发明还具有用户管理成本低、通用性强的优点。
【专利附图】

【附图说明】
[0023]图1本发明实施总体框架；
[0024]图2基于面向中心的二级终端设备证书CA系统的证书激活示意图；
[0025]图3基于面向中心的二级终端设备证书CA系统的证书激活流程图；
[0026]图4基于面向制造商的二级终端设备证书CA系统的证书激活示意图；
[0027]图5基于面向制造商的二级终端设备证书CA系统的证书激活流程图。
【具体实施方式】
[0028]为使本发明的目的、优点以及技术方案更加清楚明白，以下通过具体实施，并结合附图，对本发明进一步详细说明。
[0029]对于图1从整体上描述了该方案的总体实施框架，概括来说，一是通过在中心部署一套智能云电视终端设备CA系统，形成智能云电视终端的基础信任根，为智能云电视终端提供最基本信任支撑服务。具体来说，就是中心CA系统负责为二级CA系统(面向中心的二级终端设备证书CA系统、面向制造商的二级终端设备证书CA系统)颁发二级CA的信任根，构建完整的证书信任链条，形成一种基于PKI证书的两级用户管理；二是基于中心CA系统颁发的二级CA信任根，在每个制造商分别部署一套CA系统，负责为本厂商的智能云电视终端设备在线激活证书，为获得智能云电视终端的可信身份标识奠定基础。同时，借助二级CA信任根，在中心为没有部署二级智能云电视终端设备证书CA系统能力的制造商，部署一套面向中心的二级终端设备证书CA系统，负责为该类厂商的设备在线激活证书，为获得智能云电视终端的可信身份标识奠定基础；三是为了避免山寨机完成证书激活，通过智能云电视终端预置的安全代理和TV识别模块，完成智能云电视终端最重要的证书激活业务，获得其可信的设备标识，主要包括下面两部分的内容。
[0030]一、面向中心的二级终端设备证书CA系统的证书激活实现方法
[0031]智能云电视终端通过预先设定，在其第一次上线时，将触发智能云电视终端内置的TV识别模块(该模块是为了避免山寨机复制安全代理模块进行证书激活问题的发生，保证智能云电视终端的设备标识的合法性必须由厂商验证)，上线完成制造商门户的智能云电视终端的设备识别，在制造商内部识别通过后，TV识别模块真正地触发智能云电视终端的设备证书的在线申请，调用智能云电视终端内置的安全代理模块安全连接面向中心的二级终端设备证书CA系统，再通过该CA系统集成的设备标识查询转发接口(该接口主要负责与设备标识查询转发器交互，完成设备标识验证功能)和设备标识查询转发器完成设备标识验证后，由该CA系统实现在线签发智能云电视终端的设备证书并下发到电视终端，如附图2。该过程实施的前提条件是智能云电视终端已内置TV识别模块、安全代理模块，已预装面向中心的智能云电视终端设备证书CA系统的根证书、中心CA系统的根证书。
[0032]下面结合附图3具体描述其执行过程:
[0033](I)智能云电视终端在用户操作下第一次上线时，智能云电视终端内置的TV识别模块自动轮询地监测智能云电视终端是否已连接网络，若监测未连接网络，则提示用户完成网络连接以便其获得更多个性化服务；若监测已连接网络，则由其获取智能云电视终端的唯一设备标识TVid、厂商标识及相关硬件信息，并触发自有设备标识验证业务；
[0034](2)智能云电视终端内置TV识别模块通过制造商门户集成的厂商设备识别接口，完成设备标识(包含设备标识TVid和厂商标识)的验证，若验证通过，通知TV识别模块触发证书激活业务；若验证不通过，通知TV识别模块停止证书激活业务；
[0035](3)智能云电视终端内置的TV识别模块接受到证书激活触发通知后，发送证书激活启动请求(包括验证通过后的设备标识TVid和厂商标识)到安全代理模块；
[0036](4)智能云电视终端内置的安全代理模块接受证书激活通知后，启动证书激活业务，生成公私钥对，并自动引导访问面向中心的二级终端设备证书CA系统，触发证书激活业务；
[0037](5)智能云电视终端通过内置的安全代理模块，与该二级终端设备证书CA系统建立安全信道；
[0038](6)智能云电视终端内置的安全代理模块发送用私钥签名的证书签发请求PKCS#10(该证书签发请求包括:证书请求信息+签名算法+签名值，证书请求信息包含:证书版本号+主体(设备厂商标识和设备标识TVid)+主体公钥信息(公钥生成算法+公钥比特值)+属性(设备信息或可扩展设备唯一信息))到该二级智能电视终端设备证书CA系统；
[0039](7)该二级终端设备证书CA系统获得证书签发请求后，从该请求中获取设备厂商标识和设备标识TVID，通过其集成的设备识别查询转发接口，向设备标识查询转发模块转发设备标识匹配请求(该设备标识匹配请求包含:设备厂商标识和设备标识TVid)；
[0040](8)设备标识查询转发模块接受到设备标识匹配请求后，在本地设备标识白名单或通过厂商设备识别接口，匹配该设备标识TVID。若设备标识TVid匹配不成功，则通知面向中心的二级终端设备证书CA系统，终止设备证书签发，并将设备标识验证失败信息，通知安全代理模块，该证书签发失败；若设备标识TVid匹配成功，则通知面向中心的二级终端设备证书CA系统，启动设备证书签发；
[0041](9)面向中心的二级终端设备证书CA系统接收到设备证书签发通知后，启动设备证书签发服务，签发智能云电视终端的设备证书，同时生成一个随机数，并将该二级智能云电视终端设备证书CA系统的根证书对应的私钥对该随机数签名，将签发设备证书、随机数签名和随机数返回给智能云电视终端内置的安全代理模块；
[0042](10)智能云电视终端内置安全代理模块接收到设备证书、随机数及随机数签名后，通过面向中心的二级终端设备证书CA系统的根证书验证该随机数签名，若该随机数签名验证不通过，停止安装该证书，终止证书激活业务；若该随机数签名验证通过，安装终端证书；
[0043](11)智能云电视终端通过内置的安全代理模块使用自身的设备证书对应的私钥对该随机数签名，并发送面向中心的二级终端设备证书CA系统的服务器验证信息(该验证信息包含:随机数签名和终端证书)给中心二级终端设备证书CA系统；
[0044](12)面向中心的二级终端设备证书CA系统接收到验证信息后，验证该信息，若验证未通过，并标记该证书未激活，同时回传智能云电视终端认证失败信息；若验证通过，并标记该证书已激活，同时回传智能云电视终端认证通过信息，该智能云电视终端可通过该证书享受个性化的服务。
[0045]该过程的成功实现，为后期智能云电视终端用户享受各种云服务建立起了网络信任标识，同时为智能云电视终端用户能享受个性化服务的奠定了基础。
[0046]二、面向制造商的二级终端设备证书CA系统的证书激活实现方法
[0047]智能云电视终端通过预先设定，在其第一次上线时，将触发智能云电视终端内置的TV识别模块(该模块是为了避免山寨机复制安全代理模块进行证书激活问题的发生，保证智能云电视终端的设备标识的合法性必须由厂商验证)，上线完成制造商门户的智能云电视终端的设备识别，在制造商内部识别通过后，TV识别模块真正地触发智能云电视终端的设备证书的在线申请，调用智能云电视终端内置的安全代理模块安全连接面向制造商的二级终端设备证书CA系统，再通过该CA系统集成的设备标识查询转发接口，完成厂商门户自身内部的设备标识验证后，由该CA系统实现在线签发智能云电视终端的设备证书并下发到电视终端，如附图4。该过程实施的前提条件是智能云电视终端已内置TV识别模块、安全代理模块，已预装面向制造商的二级终端设备证书CA系统的根证书、中心CA系统的根证书。
[0048]下面结合图5具体描述其执行过程:[0049](I)智能云电视终端在用户操作下第一次上线时，智能云电视终端内置的TV识别模块自动轮询地监测智能云电视终端是否已连接网络，若监测未连接网络，则提示用户完成网络连接以便其获得更多个性化服务；若监测已连接网络，则由其获取智能云电视终端的唯一设备标识TVID、厂商标识及相关硬件信息，并触发自有设备标识验证业务；
[0050](2)智能云电视终端内置TV识别模块通过制造商门户集成的厂商设备识别接口，完成设备标识(包含设备标识TVID和厂商标识)的验证，若验证通过，通知TV识别模块触发证书激活业务；若验证不通过，通知TV识别模块停止证书激活业务；
[0051](3)智能云电视终端内置的TV识别模块接受到证书激活触发通知后，发送证书激活启动请求(包括验证通过后的设备标识TVID和厂商标识)到安全代理模块；
[0052](4)智能云电视终端内置的安全代理模块接受证书激活通知后，启动证书激活业务，生成公私钥对，并自动引导访问面向制造商的二级终端设备证书CA系统，触发证书激活业务；
[0053](5)智能云电视终端通过内置的安全代理模块，与该二级终端设备证书CA系统建立安全信道；
[0054](6)智能云电视终端内置的安全代理模块发送用私钥签名的证书签发请求PKCS#10(该证书签发请求包括:证书请求信息+签名算法+签名值，证书请求信息包含:证书版本号+主体(设备厂商标识和设备标识TVID) +主体公钥信息(公钥生成算法+公钥比特值)+属性(设备信息或可扩展设备唯一信息))到该二级终端设备证书CA系统；
[0055](7)面向制造商的二级终端设备证书CA系统获得证书签发请求后，从该请求中获取设备标识TVID，通过制造商集成的设备识别查询转发接口，向本厂商自身门户发送设备标识匹配请求(该设备标识匹配请求包含:设备标识TVid)；
[0056](8)本厂商门户接受到设备标识匹配请求后，在本地设备标识白名单中，匹配该设备标识TVID。若设备标识TVid匹配不成功，则通知面向制造商的二级终端设备证书CA系统，终止设备证书签发，并通知安全代理模块设备标识验证失败，该证书签发失败；若设备标识TVid匹配成功，则通知该二级终端设备证书CA系统，启动设备证书签发；
[0057](9)面向制造商的二级设备证书CA系统接收到终端证书签发通知后，启动设备证书签发服务，签发智能云电视终端的设备证书，同时生成一个随机数，并用该二级设备证书CA系统的根证书对应的私钥对该随机数签名，将签发设备证书、随机数签名和随机数返回给智能云电视终端内置的安全代理模块；
[0058](10)智能云电视终端内置安全代理模块接收到终端证书、随机数及随机数签名后，通过面向制造商的二级设备证书CA系统的根证书验证该随机数签名，若该随机数签名验证不通过，停止安装该证书，终止证书激活业务；若该随机数签名验证通过，安装设备证书;
[0059](11)智能云电视终端通过内置的安全代理模块使用自身的终端证书对应的私钥对该随机数签名，并发送面向制造商的二级设备证书CA系统的服务器验证信息(该验证信息包含:随机数签名和终端证书)给该二级设备证书CA系统；
[0060](12)面向制造商的二级设备证书CA系统接收到验证信息后，验证该信息，若验证未通过，并标记该证书未激活，同时回传智能云电视终端认证失败信息；若验证通过，并标记该证书已激活，同时回传智能云电视终端认证通过信息，该智能云电视终端可通过该证书享受个性化的服务。
[0061]该过程的成功实现，同样为后期智能云电视终端用户享受各种云服务建立起了网络信任标识，同时为智能云电视终端用户能享受个性化服务的奠定了基础。
【权利要求】
1.一种面向智能云电视终端的设备证书激活的实现方法，其特征在于实现方法如下:第一，部署一套中心CA系统，所述中心CA系统由证书颁发模块构成，负责为二级CA系统即面向中心的二级终端设备证书CA系统和面向制造商的二级终端设备证书CA系统颁发二级CA的信任根及该信任根生命周期的管理，构建完整的证书信任链条，形成一种基于PKI证书体系的两级用户管理； 第二，基于所述中心CA系统颁发的二级CA信任根，每个制造商分别部署一套面向制造商的二级终端设备证书CA系统，负责为本厂商的智能云电视终端的设备激活证书，为获得智能云电视终端的可信身份标识奠定基础；同时借助二级CA信任根，在为没有部署二级智能云电视终端的设备证书CA系统能力的制造商，部署一套面向中心的二级终端的设备证书CA系统，负责为该类厂商的设备证书激活，为获得智能云电视终端的可信身份标识奠定基础； 所述面向中心的二级终端设备证书CA系统包括:面向中心的证书申请代理模块，设备标识查询转发模块，面向中心的证书颁发模块；所述面向中心的证书申请代理模块负责建立面向中心的二级终端设备证书CA系统与智能云电视终端内置的安全代理模块的安全信道、拦截安全代理模块发送的证书签发请求、调用设备标识查询转发模块完成设备标识的验证及下发证书颁发模块签发的设备证书；设备标识查询转发模块负责验证设备标识的有效性；面向中心的证书颁发模块负责为没有部署二级智能云电视设备证书CA系统能力的制造商签发智能云电视终端的设备证书； 所述面向制造商的二级终端设备证书CA系统包括:面向制造商的证书申请代理模块和面向制造商的证书颁发模块；面向制造商的证书申请代理模块用来建立面向中心的二级终端设备证书CA系统与智能云电视终端内置的安全代理模块的安全信道、拦截安全代理模块发送的证书签发请求、调用制造商自身内部的设备标识查询接口完成自身设备标识的验证及下发面向制造商的证书颁发模块签发的设备证书；面向制造商的证书颁发模块负责为自身智能云电视终端签发智能云电视终端的设备证书；` 第三，在智能云电视终端预置安全代理模块和云电视TV识别模块，同时预装面向中心的智能电视终端设备证书CA系统的根证书、中心CA系统的根证书，完成智能云电视终端的设备证书激活业务，获得智能云电视终端可信的设备标识； 所述TV识别模块是为了避免山寨机复制安全代理模块进行设备证书激活问题的发生，保证智能云电视终端的设备标识合法性必须由厂商验证；所述TV识别模块:自动轮询地监测智能云电视终端是否已连接网络，若监测未连接网络，则提示用户完成网络连接以便其获得更多个性化服务；若监测已连接网络，则由其获取智能云电视终端唯一设备标识、厂商标识及相关硬件信息，并触发自有设备标识验证业务；通过制造商门户集成的厂商设备识别接口，完成设备标识的合法性验证；在设备标识验证合法后，发送证书激活启动请求到安全代理模块； 所述安全代理模块:接收证书激活启动请求，启动证书激活业务；生成公私钥对，生成证书签发请求及发送证书签发请求；建立安全信道；接收面向制造商的和面向中心的证书申请代理模块下发的设备证书、安全保存该设备证书及基于该证书完成身份认证； 所述面向中心的智能电视终端设备证书CA系统的根证书是一个二级根证书，由中心CA系统负责签发的，即在二级CA系统中导入该证书；中心CA系统的根证书是一个顶级根证书，即在顶级CA系统中导入该证书。
2.根据权利要求1所述的面向智能云电视终端的设备证书激活的实现方法，其特征在于:所述面向中心的二级终端设备证书CA系统的证书激活实现方法如下:智能云电视终端通过预先设定，在其第一次上线时，将触发智能云电视终端内置的TV识别模块，上线完成制造商门户的智能云电视终端的设备识别，在制造商内部识别通过后，TV识别模块真正地触发智能云电视终端的设备证书的在线申请，调用智能云电视终端内置的安全代理模块安全连接面向中心的二级终端设备证书CA系统，再通过该面向中心的二级终端设备证书CA系统集成的设备标识查询转发接口和设备标识查询转发模块完成设备标识验证后，由该面向中心的二级终端设备证书CA系统实现在线签发智能云电视终端的设备证书并下发到智能云电视终端；所述设备标识查询转发接口负责与设备标识查询转发器交互，完成设备标识验证功能。
3.根据权利要求2所述的面向智能云电视终端的设备证书激活的实现方法，其特征在于:所述过程具体实现方法如下: (1)智能云电视终端在用户操作下第一次上线时，智能云电视终端内置的TV识别模块自动轮询地监测智能云电视终端是否已连接网络，若监测未连接网络，则提示用户完成网络连接以便其获得更多个性化服务；若监测已连接网络，则由其获取智能云电视终端的唯一设备标识、厂商标识及相关硬件信息，并触发自有设备标识验证业务； (2)智能云电视终端内置TV识别模块通过制造商门户集成的厂商设备识别接口，完成设备标识的验证，包含设备标识和厂商标识的验证，若验证通过，通知TV识别模块触发证书激活业务；若验证不通过，通知TV识别模块停止证书激活业务； (3)智能云电视终端内置的TV识别模块接受到证书激活触发通知后，发送证书激活启动请求，包括验证通过后的 设备标识和厂商标识到安全代理模块； (4)智能云电视终端内置的安全代理模块接受证书激活通知后，启动证书激活业务，生成公私钥对，并自动引导访问面向中心的二级终端设备证书CA系统，触发证书激活业务； (5)智能云电视终端通过内置的安全代理模块，与该二级终端设备证书CA系统建立安全信道； (6)智能云电视终端内置的安全代理模块发送用私钥签名的证书签发请求到该二级智能电视终端设备证书CA系统； (7)该二级终端设备证书CA系统获得证书签发请求后，从该请求中获取设备厂商标识和设备标识，通过其集成的设备识别查询转发接口，向设备标识查询转发模块转发设备标识匹配请求； (8)设备标识查询转发模块接受到设备标识匹配请求后，在本地设备标识白名单或通过厂商设备识别接口，匹配该设备标识，若设备标识匹配不成功，则通知面向中心的二级终端的设备证书CA系统，终止设备证书签发，并通知安全代理设备标识验证失败，证书签发失败；若设备标识匹配成功，则通知面向中心的二级终端设备证书CA系统，启动设备证书签发； (9)面向中心的二级终端设备证书CA系统接收到设备证书签发通知后，启动设备证书签发服务，签发智能云电视终端的设备证书，同时生成一个随机数，并该二级智能云电视终端的设备证书CA系统的根证书对应的私钥对该随机数签名，将签发设备证书、随机数签名和随机数返回给智能云电视终端内置的安全代理模块； (10)智能云电视终端内置安全代理模块接收到设备证书、随机数及随机数签名后，通过面向中心的二级终端设备证书CA系统的根证书验证该随机数签名，若该随机数签名验证不通过，停止安装该设备证书，终止设备证书激活业务；若该随机数签名验证通过，安装该设备证书； (11)智能云电视终端通过内置的安全代理模块使用自身的设备证书对应的私钥对该随机数签名，并发送面向中心的二级终端设备证书CA系统的服务器验证信息给中心二级终端设备证书CA系统； (12)面向中心的二级终端设备证书CA系统接收到验证信息后，验证该信息，若验证未通过，并标记该设备证书未激活，同时回传智能云电视终端认证失败信息；若验证通过，并标记该设备证书已激活，同时回传智能云电视终端认证通过信息，该智能云电视终端可通过该设备证书享受个性化的服务。
4.根据权利要求1所述的面向智能云电视终端的设备证书激活的实现方法，其特征在于:所述面向制造商的二级终端设备证书CA系统的证书激活实现方法:智能云电视终端通过预先设定，在其第一次上线时，将触发智能云电视终端内置的TV识别模块，上线完成制造商门户的智能云电视终端的设备识别，在制造商内部识别通过后，TV识别模块真正地触发设备证书的在线申请，调用智能云电视终端内置的安全代理模块安全连接面向制造商的二级终端设备证书CA系统， 再通过该CA系统集成的设备标识查询转发接口，完成厂商门户自身内部的设备标识验证后，由该CA系统实现在线签发智能云电视的设备证书并下发到云智能电视终端。
5.根据权利要求4所述的面向智能云电视终端的设备证书激活的实现方法，其特征在于:所述基于面向制造商的二级终端设备证书CA系统的证书激活具体实现过程: (1)智能云电视终端在用户操作下第一次上线时，智能云电视终端内置的TV识别模块自动轮询地监测智能云电视是否已连接网络，若监测未连接网络，则提示用户完成网络连接以便其获得更多个性化服务；若监测已连接网络，则由其获取智能云电视终端的唯一设备标识、厂商标识及相关硬件信息，并触发自有设备标识验证业务； (2)智能云电视终端内置TV识别模块通过制造商门户集成的厂商设备识别接口，完成设备标识的验证，若验证通过，通知TV识别模块触发设备证书激活业务；若验证不通过，通知TV识别模块停止设备证书激活业务； (3)智能云电视终端内置的TV识别模块接受到证书激活触发通知后，发送设备证书激活启动请求到安全代理模块； (4)智能云电视终端内置的安全代理模块接受设备证书激活通知后，启动设备证书激活业务，生成公私钥对，并自动引导访问面向制造商的二级终端设备证书CA系统，触发设备证书激活业务； (5)智能云电视终端通过内置的安全代理模块，与该二级终端设备证书CA系统建立安全信道； (6)智能云电视终端内置的安全代理模块发送用私钥签名的设备证书签发请求到该二级终端设备证书CA系统； (7)面向制造商的二级终端设备证书CA系统获得设备证书签发请求后，从该请求中获取设备标识，通过制造商集成的设备识别查询转发接口，向本厂商自身门户发送设备标识匹配请求； (8)本厂商门户接受到设备标识匹配请求后，在本地设备标识白名单中，匹配该设备标识；若设备标识匹配不成功，则通知面向制造商的二级终端设备证书CA系统，终止设备证书签发，并通知安全代理模块的设备标识验证失败，证书签发失败；若设备标识匹配成功，则通知该二级终端设备证书CA系统，启动设备证书签发； (9)面向制造商的二级设备证书CA系统接收到终端证书签发通知后，启动设备证书签发服务，签发智能云电视终端的设备证书，同时生成一个随机数，并用该二级设备证书CA系统的根证书对应的私钥对该随机数签名，将签发设备证书、随机数签名和随机数返回给智能云电视终端内置的安全代理模块； (10)智能云电视终端内置安全代理模块接收到设备证书、随机数及随机数签名后，通过面向制造商的二级设备证书CA系统根证书验证该随机数签名，若该随机数签名验证不通过，停止安装该证书，终止证书激活业务；若该随机数签名验证通过，安装设备证书； (11)智能云电视终端通过内置的安全代理模块使用自身的设备证书对应的私钥对该随机数签名，并发送面向制造商的二级设备证书CA系统的服务器验证信息给该二级设备证书CA系统； (12)面向制造商的二级设备证书CA系统接收到验证信息后，验证该信息，若验证未通过，并标记该设备证书未激活，同时回传智能云电视终端认证失败信息；若验证通过，并标记该设备证书已激活，同时回传智能云电视终端认证通过信息，该智能云电视终端通过该证书享受个性化的服务。`
【文档编号】H04N21/266GK103533403SQ201310529585
【公开日】2014年1月22日 申请日期:2013年10月31日 优先权日:2013年10月31日
【发明者】王雅哲, 王瑜 申请人:中国科学院信息工程研究所