专利名称:向在线安全设备供应更新离线身份数据生成和离线设备绑定的利记博彩app
向在线安全设备供应更新离线身份数据生成和离线设备绑定相关申请本申请要求2010年4月15日提交的美国临时申请号61/324,569的优先权,其被整体地通过弓I用结合到本文中。本申请涉及题为“Online Public Key Infrastructure (PKI) System,,的 2010 年12月6日提交的共同待决美国申请序号12/961,455。本申请还涉及题为“Online SecureDevice Provisioning Framework”的2011年4月15日提交的共同待决美国申请序号[BCS06335]。
背景技术:
数字信息在商业、教育、政府、娱乐和管理的所有方面都已变得极其重要。在许多 这类应用中,确保信息的保密性、完整性和真实性的能力是关键的。結果,已经开发了多个数字安全机制以改善安全性。关于现在的数字安全的一个标准化方法被称为公钥基础设施(PKI)。PKI提供数字证书的使用以认证证书持有者的身份或认证其他信息。证书权カ机构(CA)向证书持有者发放证书且该持有者然后能够将证书提供给第三方作为CA进行的证明,即在证书中提名的持有者事实上是在证书中阐述的人、实体、机器、电子邮件地址用户等。并且证书中的公钥事实上是持有者的公钥。与证书持有者进行处理的人、设备、过程或其他实体能够依照CA的证书颁布操作规定而依赖于该证书。证书通常是通过CA用其自己的私钥对连同寻求证书的持有者的公钥一起提交给CA的识别信息进行数字签名而创建的。证书通常具有有限的有效期,并且在证书持有者的对应私钥泄露或其他可撤销事件的情况下可以提前撤销证书。通常,PKI证书包括附接了数字签名的信息集合。证书用户群体信任的CA附接其数字签名并向系统内的各种用户和/或设备发放证书。一般在エ厂处为启用网络的设备供应身份数据,使得其可以使用身份数据系统以安全的方式与其他启用网络的设备通信。该身份数据通常包括公钥和私钥对以及数字证书。在没有限制的情况下,启用网络的设备的说明性示例包括PC、移动电话、路由器、媒体播放器、机顶盒等。可以在在现场部署启用网络的设备之前或之后在启用网络的设备中供应身份数据。例如,可以在制造时将身份数据结合到设备中。例如,当网络运营商想要替换其数字权限管理(DRM)系统时或者当其想要支持要求在已经部署设备之后为启用网络的设备供应新类型的身份的其他安全应用时,可以发生大規模升级。这可能是困难且麻烦的过程,因为其常常是手动执行的,并且因此可能要求将设备返回至服务中心。在对身份数据进行升级或更新时出现的ー个特定问题涉及生成新的身份数据并将其绑定至启用网络的设备的方式。
发明内容
依照本发明,提供了一种用于生成用于启用网络的设备的新身份数据的系统。该系统包括被配置成从白名单提取属性的白名单读取器,所述白名单对于在白名单中指定的每一个设备包括在先分配的第一类型标识符。该在先分配的第一类型标识符被链接到在相应设备中的每一个中在先供应的身份数据。数据检索模块被配置成从白名单读取器接收第一类型标识符,并且基于每一个标识符来检索与之链接的每一个在先供应的身份数据记录。新数据生成模块被配置成(i)获得与在白名单上指定的设备中在先供应的身份数据和对应的第一类型标识符相关联的密码密钥,(ii)生成每一个被链接到新标识符的新身份数据记录和(iii)用密码密钥中的一个对每一个新的身份数据记录进行加密并将每一个新身份数据记录链接到与每一个相应密码密钥相对应的第一类型标识符。数据输出模块被配置成将已加密新身份数据连同其相应新标识符及其相应在先分配的第一类型标识符一起加载到外部源上。
依照本发明的另一方面,提供了一种用于生成用于启用网络的设备的新身份数据的方法。该方法包括接收指定将被提供新身份数据的多个启用网络的设备的白名单。对于每一个设备,该白名单包括在先分配的第一类型标识符,其中,在先分配的第一类型标识符被链接到在相应设备中的每一个中在先供应的身份数据记录。从白名单提取第一类型标识符,并且基于每一个标识符来检索与之链接的每一个在先供应的身份数据记录。获得密码密钥,其与在白名单上指定的设备中在先供应的身份数据记录和对应的第一类型标识符相关联。生成新身份数据记录,其每一个被链接到新标识符。每一个新身份记录利用密码密钥中的一个被加密,并链接到与每一个相应加密密钥相对应的在先分配的第一类型标识符。提供输出,对于在白名单上指定的每一个设备,输出包括已加密新身份记录以及其相应新标识符及其相应的在先分配的第一类型标识符。
图IA和IB示出了可以实现在此描述的用于为网络启用设备供应身份数据的处理的操作环境的一个示例。图2示出了可以用于在线请求消息认证和离线新身份生成/绑定到特定启用网络的设备的通用白名单的一个示例。图3a和3b示出了在新PKI身份生成处理期间当执行授权和设备绑定时可以采用的白名单的示例。图4A和4B示出了当其被用来执行PKI数据生成和设备绑定时的PKI/身份生成系统的示例。图5A和5B示出了从图4A和4B的PKI/身份生成系统接收输出并从启用网络的设备接收PKI数据请求的更新服务器的一个示例。
具体实施例方式在本文中描述了一种身份数据管理系统,其提供能够用来对在已经在领域中部署的启用网络的设备的大型基础中供应的身份数据进行升级、修复或补充的灵活框架。该系统架构允许网络运营商在这些设备中安装和更新身份数据而不必将其从最终用户取回。该系统架构还可以允许运营商以最小的服务中断更新在在先部署的启用网络的设备中供应的到期数字证书。在一般情况下,例如,服务提供商可能已获取比如他们已经递送给其最終用户的500,OOO个产品。由于ー个原因或另ー个,服务提供商可能希望更新那些单元中的全部或子集(例如100,000个)中的身份数据。在ー个特定实例中,身份数据是PKI数据。在其他情况下,身份数据可以采取多种其他形式,诸如序列号、基于密码的对称密钥等。仅仅出于说明的目的且不作为对本发明的限制,以下描述将常常涉及被用来对PKI数据进行升级、修复或补充的PKI管理系统。图IA和IB示出了可以实现在此描述的用于为启用网络的设备供应身份数据的处理的操作环境的ー个示例。该示例示出了表示在数据身份供应/更新过程中可以涉及的不同各方的许多不同域。在该示例中,示出了三个域表示用于启用网络的设备的制造点的エ厂域310 ;由操作使用启用网络的设备的网络的网络运营商控制的部署网络域210;以及由PKI中心运营商操作的PKI/身份管理系统域120。虽然通常可以由不同的实体来维护操作这些域,但在ー些情况下其可以由相同实体来运营。例如,エ厂域310和PKI/身份管理系统域120有时在同一实体的控制下。 应理解的是,图IA和IB中的每ー个域是以高度简化的方式示出的,其中,单个实体(例如,服务器、数据库等)可以表示更复杂的布置和系统。例如,如下文所解释的,エ厂域包括被用来跟踪在制造过程中使用的组件、购买和运输订单等的エ厂数据库330。实际上,在此过程中可能涉及许多不同的系统和实体,其在本文中全部用エ厂数据库330来表示。单个制造商的制造域310可以包括多个制造点,其在一些情况下可以由分布在世界范围的第三方合同制造商操作。在图IA和IB中仅图示了其中的一个的每ー个エ厂可以产生单个类型或单个类别的启用网络的设备(例如,移动电话)或多个类别的设备(例如,移动电话、路由器和机顶盒)。图IA和IB示出了一个说明性制造点,エ厂310,其包括前述本地エ厂数据库330、允许エ厂人员访问エ厂数据库和正生产启用网络的设备3401、3402和3403 (“340”)的エ厂编程站350、以及用来与PKI系统120通信并存储从其接收到的PKI身份数据的エ厂服务器320。网络210包括网络接入授权服务器230,其准许对部署的启用网络的设备2401、2402和2403 (“240”)接入网络并发起升级操作的许可。身份数据和关于部署的设备240的其他信息由帐户身份和管理系统220维护。除了位于上文所讨论的エ厂点310处的身份管理组件之外,PKI/身份管理系统包括两个主要子系统=PKI/身份生成系统120和PKI/身份更新系统130。出于安全原因而常常是离线系统的PKI/身份生成系统120包括订单履行处理器122,其生成针对产品所请求的数字证书或其他身份数据。订单履行处理器122可以包括或可访问硬件安全模块(HSM),其中可以存储CA的证书签名私钥和安全数据以供系统使用。PKI/身份生成系统120还包括存档数据库124,存档数据库124是记录的数据库。这些记录可以是关于发放的数字证书、对新数字证书或安全数据的原始请求、审计数据、组织信息、产品配置、用户信息以及所需要的其他记录类型。PKI/身份更新系统130包括从离线PKI/身份生成系统120接收新身份数据并将新身份数据安全地下载到适当部署的启用网络的设备240的PKI/身份更新服务器132。PKI/身份更新系统130还包括用于合并从维持在各种域内的不同白名单源接收到的各种身份的白名单生成和管理(WGM)服务器134,所述各种域即PKI/身份生成域、设备制造域和服务提供商/网络运营商域。特别地,WGM服务器134经由单元个性化数据库160从工厂接收一组设备标识符,所述单元个性化数据库160具有从不同制造点检索到的所有数据,并从PKI个性化数据库160接收另一组设备标识符,其中的一个是由PKI/身份生成系统120分配的。下面将讨论来自网络运营商或更新服务器132的白名单数据的其他源。这些标识符及其它数据允许WGM服务器134使分配给同一启用网络的设备的各种标识符关联。将提出如图IA和IB所示的安全设备供应处理的高层概述。最初,应注意的是,不同的域可以分配要与启用网络的设备相关联的其自己的标识符,并且需要跟踪这些身份并使其彼此相关以便执行PKI/身份更新。特别地,PKI中心协调器向最终将在工厂处在启用网络的设备中供应的每一个PKI/身份数据单元分配标识符,在本文中称为ID-A。如果身份数据单元包括公钥-私钥对和数字证书,则其ID-A将被包括在证书中。同样地,制造商向其制造的每一个设备340分配标识符,表示为ID-B。此标识符将常常采取基于硬件的标识符的形式,例如,诸如MAC地址、国际移动设备识别码(MEI)或单元ID (UID)0另外,制造商还可以分配另一标识符,表示为ID-C,其可以采取诸如序列号等的标签的形式。不同于其他标识符,标签将常常在设备本身上是可见的。部分地由于此原因,网络运营商通常将在其 自己的域内使用标识符ID-C。在一些情况下,标识符ID-B和ID-C可能是相同的。当第一次为启用网络的设备供应身份数据时,PKI/身份生成系统120生成用于每一个设备的初始身份数据并将其递送至工厂服务器320。提供给工厂服务器320的每一个身份数据单元包括其标识符ID-A。当制造商准备好第一次为新制造的设备加载身份数据时,工厂站350将通过为工厂服务器320提供设备的标识符ID-B来请求身份数据记录。作为响应,工厂服务器320将为工厂站350提供通过其标识符ID-A识别的身份数据记录。这两个标识符都将被存储在工厂服务器320中并复制到身份数据库160,这使两个标识符相互关联以指示它们涉及同一启用网络的设备340。当已部署设备240作出要求为其供应新身份数据单元的请求时,网络运营商根据其自己的内部程序来批准该请求。在一些情况下,可以由授权服务器230来准许对实现该请求的许可,授权服务器230可以提供指定要被更新至与PKI/身份更新系统130相关联的WGM服务器134的那些设备的白名单。作为使用授权服务器230来递送白名单的替代,网络运营商可以通过在线接口等手动地将白名单递送给WGM服务器134。作为来自网络运营商的替代,在一些情况下,授权可以来自工厂,特别是当要升级部署到特定网络运营商的所有设备时。此授权可以例如基于被运输到网络运营商的所有设备的列表。对于要被更新的每一个设备,所提供的白名单包括网络运营商所使用的标识符ID-C。WGM服务器134从各种源获得标识符ID_A、ID-B和ID-C,并将它们一起结合成单个白名单以用于后续分发到更新服务器132和/或PKI/身份生成系统120。如果要生成的新身份数据基于/链接到标识符ID-A和/或ID-C,则其应受到在工厂处在先在设备中供应的密钥/证书的保护。在这种情况下,将白名单从WGM服务器134递送至PKI/身份生成系统120,从那里能够检索在先的ID/密钥/证书以保护所生成的新身份数据。另一方面,如果要生成的新身份数据基于未与在先生成/供应的密钥/证书相关联的新ID (ID-D),则PKI/身份生成系统120在接收到更新请求之前生成新的身份数据并且因此不需要来自WGM服务器134的此信息。在这种情况下,白名单被直接发送到更新服务器132,使得其能够用来检查设备对更新的授权。接下来,要更新的设备240每ー个向更新服务器132发送请求。利用在先在エ厂处安装的非対称私钥(或诸如对称密钥和标识符的其他类型的密钥)对该请求进行签名。基于非对称密码的机制提供请求消息的强认证,而基于简单的基于身份和对称密钥的机制提供较弱的认证。更新服务器132首先通过验证其签名和证书来对设备请求消息进行认证。任何无效请求将被拒绝。针对请求更新的每ー个设备240使用适当的标识符(诸如ID-A、ID-B或ID_C),PKI/身份更新服务器132能够首先执行消息认证检查,然后基于其接收到的白名单来执行授权检查以确保仅利用新PKI/身份数据更新了授权设备。更新服务器132还从PKI/身份生成系统120获得已更新的PKI身份数据记录。新PKI身份数据记录是由新标识符ID-D指定的,其可以是也可以不是基于任何的在先标识符(ID-A、ID-B、以及ID-C)。新和在先PKI/身份数据的关联确定了如何进行授权操作。 在一种情况下,新PKI/身份数据(ID和密钥)未与在先ID/密钥/证书相关。在这种情况下,PKI/身份生成系统生成具有内部分配新标识符的充分的新PKI数据池并将其上传到更新服务器132以供使用。更新服务器132简单地检查在白名单中是否包括请求消息中的设备ID (ID-A或ID-B或ID-C)。ID-A可以是请求消息中的单独參数,或者其可以是在制造时安装的设备的数字证书的一部分。将利用存储在更新服务器132中的下ー个可用新或未使用PKI/身份数据记录来履行每ー个请求消息。通常,ー个记录将被用于ー个设备,虽然在一些情况下在多个设备之间共享同一记录是可能的。在此处理中,更新服务器132将使设备ID与具有标识符ID-D的新PKI/身份数据记录配对。此在线授权和设备绑定处理被用来确保被授权进行升级的所有设备将接收到新的PKI/身份数据。另ー方面,如果新的PKI/身份数据(ID和密钥)与在先ID/密钥/证书相关,则可以采用离线生成和设备绑定处理。在这种情况下,PKI/身份生成器系统120仅生成用于其ID (其可以是ID-A或ID-B或ID-C)被包括在白名单上的那些设备的ID/密钥/证书。新身份数据然后被递送到更新服务器132。更新服务器132仅具有用于其ID(其可以是ID-A或ID-B或ID-C)在白名单上的设备的新PKI/身份数据;来自不在白名单上的设备的任何请求将不被履行。最后,例如,新身份数据记录被更新服务器132通过诸如因特网的公共或专用网络150递送到它们相应的设备240。WGM 134采用基于白名单的方法来将接收到的各种ID合并,并在解决以上问题的处理中解决任何冲突。特别地,WGM 134管理不同实体所使用的各种标识符,并使来自エ厂、PKI管理系统和网络运营商的访问授权服务器以及更新服务器132的不同白名单源相关。这是通过将标识符编入交叉索引以创建用于后续生成被修整用于特定的网络/客户或应用的特定白名单的主数据库而实现的。WGM 134还管理各种ID之间的关联和它们与被用于不同目的的其相应PKI/身份数据记录的关系,所述不同目的包括在线更新请求认证、授权、新身份保护等。如果作为从三个身份识别源中的任何一个接收到的信息的结果或作为存储在更新服务器132交易日志中的信息的结果而出现冲突,则WGM134对其进行检测和解决。以下讨论将參考PKI数据而不是更一般地參考身份数据。然而,在所有情况下,可以使用任何其他前述类型的身份数据而不是PKI数据。此外,术语“PKI数据”不一定暗示包括数字证书的身份数据类型。如上所述,由WGM 134生成的白名单提供对更新请求的在线认证和用于特定设备的PKI生成的离线授权(新PKI数据与特定设备的离线绑定)的控制。除了执行授权检查之外,将对由更新服务器132接收到的PKI更新请求消息进行认证。更新服务器132将拒绝未能通过认证检查的任何请求,所述认证检查使用在先在工厂处加载的设备密钥/证书。白名单需要包括链接到在工厂处安装的在先密钥/证书的标识符(例如ID-A)。该设备使用设备密钥来对PKI更新请求消息进行签名,并且更新服务器132使用设备公钥/证书来检验请求消息。在新PKI数据生成处理期间基于接收到更新请求之前的白名单来执行新PKI数据与设备标识符之间的绑定。PKI生成系统常常由于安全原因被置于离线状态,以避免外来者能够在没有适当授权的情况下入侵到PKI生成系统并提交密钥生成请求。PKI数据是在预先知道其将被绑定到的特定设备的(及其已配置标识符)的情况下生成的。另外,在先密钥 /证书可以用来对新PKI身份数据进行加密以保护新PKI身份数据的在线递送。图2示出了可以用于在线请求消息认证和离线新身份生成/绑定到特定启用网络的设备的一般白名单400的一个示例。白名单包括要用包括CustID、新PKI类型ID、在先PKI类型ID、在先ID和设备ID的数据填充的许多字段。CustID指定部署启用网络的设备的列表的网络运营商的标识符,从所述启用网络的设备接收到对于新PKI的请求。新PKI
类型ID (I.....η)指定用于被请求的身份数据(也称为PKI数据)的类型和格式的一个或
多个标识符。如果要为设备提供η组身份数据,则白名单可以包括η个新PKI类型ID。在先PKI类型ID指定身份数据类型,其与很可能在工厂中在先已被安装到设备中的设备的在先PKI数据相关联。在先ID指定由工厂处的安全设备供应系统分配给部署的设备的原始标识符。针对没有在先安装的PKI数据的设备,假设设备仍具有某种类型的唯一标识符(例如,芯片ID、序列号、MAC地址等),可以将其视为在先ID。就上文所采用的记法而言,此标识符被表示为ID-A并与在先PKI类型和数据相关联。设备ID指定被网络运营商用来识别部署的设备的设备标识符。如下文所解释的,根据使用情况的特定细节,设备ID可以是任何在先所使用的ID (ID-A、ID-B或ID-C或未指定)。如果使用诸如零的“未指定”值,则新PKI身份数据未被链接到任何在先使用的ID (ID-A、ID-B、ID-C)。新标识符(ID-D)可以用于新PKI身份生成。图3示出了在新PKI身份生成处理期间当执行授权和设备绑定时可以采用的白名单的示例。图3a示出了用于当在PKI/身份生成系统120处执行绑定时已经被在先供应PKI数据的三个设备I、2和3的白名单。在先ID可以是链接到在先PKI身份数据的标识符ID-A。替换地,ID-A可以是未链接到用于在先未被供应PKI数据的设备的任何在先PKI身份数据的唯一设备标识符。图3b示出了在设备被绑定到新PKI数据之后的白名单。如所示,表示为新ID1、新ID2和新ID3的设备ID可以是已分配给设备的任何标识符ID_A、ID-B, ID-C或新分配标识符ID-D。图3中的设备1、2和3中的每一个将被供应用于新PKI类型ID1、ID2、. . . IDN的PKI数据记录。另外,由于已经针对特定设备生成了新PKI数据,所以用于每一个设备的新PKI数据被链接到标识符ID-A、ID-B, ID-C中的一个或由PKI生成系统120内部分配的新分配标识符,表示为新ID,ID-D。可以将新ID标识符链接到用于单个PKI类型或多个PKI类型的PKI数据。也就是说,在图3b中,新标识符ID-I、ID-2和ID-3 (与新PKI类型ID I相关联)可以是也可以不是分别与标识符ID X、ID Y和ID Z (与新PKI类型IDn相关联)相同。对于具有在エ厂处安装的初始基于PKI的身份的设备,可以将它们的在先密钥和证书用于新PKI/身份数据的保护。通过在先PKI数据的公钥对新密钥(新密钥对的私密或秘密部分)进行加密,并且只能通过拥有在先PKI数据的私钥部分的设备对其进行解密。如果在エ厂处为设备供应对称密钥,则如果由PKI生成系统120維持了备份,也可以使用已安装对称密钥来对新数据进行加密。如前所述,在新PKI数据生成处理期间基于白名单来执行新PKI数据与设备标识符之间的绑定。PKI生成系统由于安全原因而常常被置于离线状态。因此,PKI数据是在预先知道其将被绑定到的特定设备的情况下生成的。图4A和4B示出了当其被用来执行PKI数据生成和设备绑定时的PKI/身份生成系统120的示例。应理解的是,PKI/身份生成系统120仅仅是此类系统的ー个示例,并且其可以具有比所示的更多或更少的模块或部件,可以组合两个或更多模块或组件,或者可以具有模块或组件的不同配置或布置。可以用硬件、软件或硬件和软件两者的组合来实现图4A和4B所示的各种模块,可能包括一个或多个数据处理和/或专用集成电路。如所示,PKI/身份生成系统120包括白名单读取器505、生成数据库510、数据检索模块515、存档数据库530、存档数据后处理模块520、解密模块535、密钥/证书验证模块525、新数据生成模块540、密钥加密模块550和新数据输出模块555。继续參考图4A和4B,通过PKI/身份生成系统120的各种组件的流程如下。当白名单读取器505读取并解析其从WGM 134接收到的一个或多个白名单文件吋,该处理在Ia处开始。白名单读取器505在Ib处将各种白名单属性传送至生成数据库510以进行存储。白名单读取器505还在Ic处将在先ID (ID-A)和PKI类型ID (PrevPKIType ID)从白名单传送至数据检索模块515。 数据检索模块515然后执行以下步骤。首先,在2a处,数据检索模块515基于诸如标识符ID-A和在先PKI类型ID的属性来检索在先生成的PKI数据(链接到在先ID、即ID-A的密钥/证书),其已被存档并存储在存档数据库530和/或其他数据库中。接下来,在2b处,数据检索模块515将其已检索的在先PKI数据传送至存档数据后处理模块520。应注意的是例如,一般以加密形式存储和检索诸如私钥的PKI数据的在先秘密部分。存档数据后处理模块520然后执行以下步骤。首先,在3a处,模块520将在先PKI数据传送至解密模块525以进行解密,因为在先PKI数据的的秘密部分在存档之前被加密。PKI数据需要被完全解密,使得其能够经历后续的验证处理,并且稍后能够用于新PKI/身份加密处理。解密PKI数据被返回至存档数据后处理模块520,其然后在3b处将数据传送至密钥/证书验证模块525。模块525然后通过对假消息进行加密和解密而利用其对应的证书来验证每一个在先私钥。此操作执行预期客户端/设备处理以检测对在先密钥/证书的任何可能破坏或窜改,从而确保在线更新处理将是成功的。当然,在其他实施方式中,可以采用其他技术来确定私钥是否已被破坏。此外,在其他实施方式中,仅对在先私钥的子集执行验证,并且在其他情况下,不对任何在先私钥进行验证。在3c处,存档数据后处理模块520将在先PKI数据的公钥发送到生成数据库150以进行存储,使得其可用于在用于对新PKI/身份数据进行加密的后续处理中使用。新数据生成模块540然后执行以下步骤。首先,在4a处,模块540从生成数据库510检索设备ID (其可以是ID_A、ID_B、ID-C或“未指定”)和在先PKI数据的公钥(正在使用ID-A)。其还从生成数据库510检索新PKI类型ID。如果在白名单中未指定设备ID,则由生成数据库510来分配新ID (ID-D)0在4b处,新数据生成模块540将新ID (例如ID-A、ID-B、ID-C或ID-D)传送至密钥/证书生成模块545,其生成用于在白名单中指定的每一个新PKI类型的新PKI数据(例如,密钥对和证书),并将新PKI数据返回至新数据生成模块540。在一些情况下,当新设备身份数据包括数字证书时,新ID被嵌入证书中并被证书权力机构的数字签名覆盖。在4c处,新数据生成模块540将新PKI数据传送至密钥/证书验证模块525,其通过对假消息进行加密和解密而利其对应的证书对每一个新私钥进行验证,这是预期在接收到新身份数据之后由启用网络的设备执行的操作。此处理用来确保新生成的PKI数据是有效的。在数据已被成功验证之后,新数据生成模块540在4d处将新PKI数据和在先PKI数据的公钥传送至密钥加密模块550以进行加密。最后,新数据生成模块540将已加密的新PKI数据传送至新数据输出模块555。新数据输出模块555在5a处将已加密的新PKI数据保存在生成数据库510中,并 在5b处输出已加密的新PKI数据,使得数据能够被传输至PKI加载器133,其进而将数据加载至更新服务器132。最后,由存档数据库530在6处将新PKI数据(例如,密钥和证书)存档。可以在生成时或者替换地以基于某个周期性(例如,每月)对PKI数据进行存档。图5A和5B示出了从图4A和4B的PKI/身份生成系统120接收输出并从启用网络的设备接收PKI数据请求的更新服务器132的一个示例。如前所述,在接收并验证请求之后,更新服务器132向设备返回唯一受保护且经认证的PKI数据。在一些情况下,通常可以将PKI数据加密两次一一次使用被供应到设备中的在先PKI数据且可选地第二次使用诸如Diffie-Hellman或椭圆曲线Diffie-Hellman的密钥协商算法。密钥协商可以用来生成唯一每交易加密密钥,并且在设备中的原始PKI数据具有过于短的密钥大小时的情况下是有用的。例如,新PKI数据可以包括2048比特RSA密钥,而原始PKI数据可以包括1024比特RSA密钥。在技术上可以取1024比特RSA密钥并利用其对临时对称密钥进行加密,该临时对称密钥进而被用来对更大的2048比特RSA密钥进行加密。此处理一般称为“包装(wrapping)”,但是不认为其是足够安全的,并且因此在这种情况下可以添加具有更大密钥大小的密钥协商(例如,2048比特Diffie-Hellman)。为了使得能够基于密钥协商进行附加加密,步骤3a中的PKI数据请求包含设备的随机生成的密钥协商公钥(KAPK设备)。服务器生成其自己的密钥协商密钥对(KAKP服务器),利用其私钥KAPrK-Server和KAPK-Device来生成对称会话密钥,并然后向新PKI数据添加第二层加密。此步骤可以在下文所讨论的步骤7d之后执行。在响应消息(在下文所讨论的步骤7e中发送)中,服务器包括其密钥协商公钥(KAPK-Server)。设备然后对新PKI数据进行验证、解密和安装。为了去除可选外层加密,设备利用KAPK-Server及其自己的在先生成的私钥KAPrK-Device来生成与服务器相同的会话密钥,并然后将该会话密钥用于解密。类似于图4A和4B的PKI/身份生成系统120,图5A和5B中的更新服务器132仅仅是此类系统的一个示例,并且其可以具有比所示的更多或更少的模块或组件,可以组合两个或更多模块或部件,并且其可以具有模块或组件的不同配置或布置。
如所示,更新服务器132包括配置管理器605、服务器数据库625、会话管理器610、协议处理器615、消息验证模块620、授权模块630和白名单处理器635。图5A和5B中还示出了管理器和报告器136以及PKI加载器133和WGM 134。继续參考图6,通过更新服务器132的各种组件的处理如下。当系统管理员为配置管理器605提供各种系统配置參数时,该处理在Ia处开始。例如,一个參数可以针对特定PKI类型和网络运营商制定来自同一设备的所允许重复请求的最大数目。也就是说,重复请求的数目对于不同的网络运营商且甚至用于同一网络运营商的每ー个不同类型的PKI数据而言可以是不同的。另ー參数可以指定在从同一设备接收到连续请求之前必须流逝的时间量。其他參数可以涉及要执行的各种安全检查等。这些系统參数的使用可以允许高效的预处理以在允许足够数目的设备重试以说明请求失败和/或中断的同时维持服务器性能。在Ib处,系统配置參数被存储在服务器数据库625中。PKI加载器133在2处向服务器数据库625导入从离线PKI生成系统120输出的 新身份记录。所存储的数据包括CustID、新PKI类型ID、新PKI数据以及在先PKI数据的标识符(ID-A)与新PKI数据的新ID之间的ID配对信息。在3a处,会话管理器610从特定设备接收PKI数据请求。该请求包括诸如CustID、设备标识符(ID-A或ID-B或ID-C)、设备证书和签名的数据。该请求在3b处被传送至协议处理器615。协议处理器615进而在4a处将新PKI数据请求传送至消息验证模块620。另夕卜,协议处理器615还在4b处将前述ID配对信息、新PKI类型ID和CustID传送至授权模块 630。在5处,消息验证模块620检查PKI数据请求的格式,验证签名,验证密钥和证书链,并检查消息遵守各种消息协议以确定例如该消息具有适当的时间戳和/或序列号。授权模块630在6a处确定请求设备是否被授权用于正被请求的特定新PKI类型的升级。可以通过确认升级请求中的成对ID (链接到用于设备的在先身份数据和新ID(ID-A),其对应于ID-A、ID-B, ID-C)也在服务器数据库625中来实现对于接收升级的设备授权的此类检验,服务器数据库625在2处从已从PKI/身份生成系统120接收到的数据获得此信息。如果授权检验失败,则授权模块630在6b处将在先ID (ID-A)和新ID (ID-A、或ID-B、或ID-C、或ID-D)之间的任何遗漏ID配对信息连同CustID —起传送至监视器和报告器136,使得可以通知网络运营商。此通知指示虽然从设备接收到的对于新PKI数据的请求是有效的,但并未由PKI/身份生成系统120使得执行升级所需的必要信息可用于升级服务器132。另外,遗漏ID配对信息连同CustID —起在6c处被传送至白名单处理器635,如下文所讨论的,其可以请求WGM 134执行为更新服务器130提供遗漏信息所需的任何步骤。协议处理器615接下来在7a处检查服务器数据库625以查看来自同一设备的重复请求的数目是否小于最大允许量。此检查的目的是确保更新服务器132能够对反复地向服务器发送新PKI数据请求的流氓设备进行响应。如果尚未超过最大请求数目,则在7b处,基于在先ID、新ID和新PKI类型ID的组合从数据库625检索新PKI数据记录。新PKI数据记录被并入新PKI数据响应消息中,其在7c处被发送到消息签名模块640,使得能够用更新服务器132的私钥对其进行签名。如果在此处理中发生错误,则在7d处,协议处理器615向电子邮件通知模块645发送状态错误消息。在一些情况下,协议处理器还可以向设备发送错误消息,因为该设备可以具有某些错误处理能力。假设未发生错误,已签名新PKI数据响应消息在7e处被发送到设备。监视器和报告器136在8a处从服务器数据库625以及交易和错误日志检索各种使用数据和状态信息。使用数据的示例是加载和请求的新PKI数据记录的数目、被请求不止一次或被请求最大允许次数的记录的识别等。监视器和报告器136在Sb处将此信息发送给系统管理员, 指示已经发生的任何错误。在8c处,监视器和报告器136还向网络运营商发送周期性报告,使得其被告知升级状态。最后,白名单处理器635向WGM 135返回请求遗漏的任何ID配对信息的消息,因此WGM134能够向PKI/身份生成系统发送遗漏成对标识符以用于新PKI/身份生成。在本申请中所使用的术语“组件”、“模块”、“系统”、“装置”、“接口”等一般意在指的是计算机相关实体、硬件、硬件和软件的组合、软件、或执行中的软件。例如,组件可以是但不限于是在处理器上运行的进程、处理器、对象、可执行程序、执行的线程、程序、和/或计算机。通过说明的方式,在控制器上运行的应用和控制器两者都可以是组件。一个或多个组件可以驻留在执行的进程和/或线程内,并可以将组件定位于一个计算机上和/或分布在两个或更多计算机之间。此外,可以将要求保护的主题实现为使用标准编程和/或工程技术来产生软件、固件、硬件、或其任何组合以控制计算机实现所公开的主题的方法、装置、或制品。本文所使用的术语“制品”意在涵盖可从任何计算机可读设备、载体或介质访问的计算机程序。例如,计算机可读存储介质可以包括但不限于磁存储器件(例如,硬盘、软盘、磁条.· ·)、光盘(例如,压缩磁盘(⑶)、数字多功能磁盘(DVD)...)、智能卡、以及闪速存储器件(例如,卡、棒、键驱动...)。当然,本领域的技术人员将认识到,在不脱离要求保护的主题的范围或精神的情况下,可以对此配置进行许多修改。
权利要求
1.一种用于生成用于启用网络的设备的新身份数据的系统,包括 白名单读取器,所述白名单读取器被配置成从白名单提取属性,所述白名单对于在所述白名单中指定的每一个设备包括在先分配的第一类型标识符,其中,所述在先分配的第一类型标识符被链接到在相应设备中的每一个中在先供应的身份数据; 数据检索模块,所述数据检索模块被配置成从所述白名单读取器接收所述第一类型标识符,并基于所述标识符中的每一个来检索与之链接的在先供应的身份数据记录中的每一个; 新数据生成模块,所述新数据生成模块被配置成(i)获得与在所述白名单上指定的所述设备中在先供应的所述身份数据和对应的所述第一类型标识符相关联的密码密钥,并且(ii)生成每一个被链接到新标识符的新身份数据记录以及(iii)利用密码密钥中的一个对所述新身份数据记录中的每一个进行加密并将每一个新身份数据记录链接到与每一个相应密码密钥相对应的所述第一类型标识符;以及 数据输出模块,所述数据输出模块被配置成将已加密的新身份数据记录连同它们相应的新标识符及它们相应的在先分配的第一类型标识符一起加载到外部源上。
2.如权利要求I所述的系统,其中,所述在先供应的身份数据记录被加密,并且还包括密钥解密模块,所述密钥解密模块用于在由所述新数据生成模块接收到所述密码密钥之前对在先供应的身份数据记录进行解密。
3.如权利要求I所述的系统,还包括验证模块,所述验证模块用于至少验证已解密的在先供应的身份数据记录的子集以确保它们的准确度。
4.如权利要求I所述的系统,还包括第一数据库,所述第一数据库被配置成存储(i)由所述白名单读取器从所述白名单提取的属性和(ii)所述密码密钥,并且其中,所述新数据生成模块还被配置成从所述第一数据库接收所述密码密钥。
5.如权利要求4所述的系统,其中,所述第一数据库还被配置成存储已加密的新身份数据记录。
6.如权利要求I所述的系统,其中,所述新标识符是在制造设施处在所述设备中在先供应的标识符。
7.如权利要求I所述的系统,其中,所述新身份数据记录包括数字证书,并且所述新数据生成模块还被配置成将所述新标识符嵌入相应新身份数据记录的数字证书中。
8.如权利要求I所述的系统,其中,所述新数据生成模块还被配置成获得用作所述密码密钥的非对称密钥,并且从与在所述白名单上指定的所述设备中在先供应的所述身份数据记录相关联的数字证书检索所述非对称密钥。
9.一种用于生成用于启用网络的设备的新身份数据的方法,包括 接收指定要被供应新身份数据的多个启用网络的设备的白名单,其中,对于每一个设备,所述白名单包括在先分配的第一类型标识符,其中,所述在先分配的第一类型标识符被链接到在相应设备中的每一个中在先供应的身份数据记录; 从所述白名单提取所述第一类型标识符,并且基于所述标识符中的每一个来检索与之链接的在先供应的身份数据记录中的每一个; 获得与在所述白名单上指定的设备中在先供应的所述身份数据记录和对应的第一类型标识符相关联的密码密钥;生成每一个被链接到新标识符的新身份数据记录; 利用所述密码密钥中的一个对所述新身份记录中的每一个进行加密并将每一个新身份记录链接到与每一个相应的密码密钥相对应的在先分配的第一类型标识符;以及 提供输出,所述输出对于在所述白名单上指定的每一个设备包括加密的新身份记录以及它们相应的新标识符和它们相应的在先分配的第一类型标识符。
10.如权利要求9所述的方法,其中,所述密码密钥是非对称密钥,并且获得所述密码密钥包括从与在所述白名单上指定的所述设备中在先供应的所述身份数据记录相关联的数字证书检索所述非对称密钥。
11.如权利要求9所述的方法,其中,接收到的白名单包括对于为所述多个启用网络的设备供应所述新身份数据的授权。
12.一种用于利用新身份数据来更新启用网络的设备的方法,包括 从多个启用网络的设备接收对于新身份数据的请求,所述请求包括被链接到在所述启用网络的设备中在先供应的在先身份数据的在先标识符; 接收每一个包括新身份数据和分别被链接到所述新身份数据的新标识符的多个新身份记录、以及被链接到在被授权接收新身份数据的启用网络的设备中在先供应的在先身份数据的在先标识符; 确定在对于新身份数据的请求中指定的所述多个启用网络的设备中的每一个被授权接收新身份数据; 检索所述新身份记录中的第一新身份记录,所述第一新身份记录包括所述启用网络的设备中的第一启用网络的设备的第一在先标识符;以及 将包括在所述第一新身份记录中的所述新身份数据发送到通过所述第一在先标识符识别的所述启用网络的设备。
13.如权利要求12所述的方法,其中,利用与特定设备的在先身份数据相关联的密码密钥来对被发送到所述特定设备的新身份数据的至少一部分进行加密。
14.如权利要求12所述的方法,还包括通过至少检验所述请求的签名来对所述请求进行验证。
15.如权利要求12所述的方法,其中,确定在对于新身份数据的所述请求中指定的所述多个启用网络的设备中的每一个被授权接收所述新身份数据包括确认包括在所述请求中的所述在先标识符也被包括在已经接收到的所述新身份记录中。
16.如权利要求12所述的方法,其中,如果确定在对于新身份数据的所述请求中指定的所述多个启用网络的设备中的每一个被授权接收所述新身份数据失败,则发送请求从所述新身份记录遗漏的任何信息的消息。
17.如权利要求12所述的方法,还包括确定未从给定启用网络的设备接收到对于新身份数据的请求数目超过最大允许次数。
18.—种服务器,包括 会话管理器,所述会话管理器被配置成从启用网络的设备接收对于新身份数据的请求,所述请求中的每一个包括识别发送所述请求的相应的启用网络的设备的在先分配标识符,所述在先分配标识符被链接到在相应的启用网络的设备中在先供应的身份数据记录; 授权模块,所述授权模块被配置成确定在所述白名单上指定的所述启用网络的设备是否授权被供应新身份数据; 数据库,所述数据库被配置成接收由身份数据生成系统生成的新身份记录,其中,所述新身份记录包括使在先分配的标识符中的一个与所述新身份记录中的一个的新标识符相关联的配对信息;以及 协议处理器,所述协议处理器被配置成向请求新身份数据的所述启用网络的设备中的每一个递送数据响应消息,所述数据响应消息中的每一个包括至少部分地基于所述数据响应消息被发送到的所述启用网络的设备的在先分配标识符而选择的新身份记录。
19.如权利要求18所述的服务器,还包括配置管理器,所述配置管理器用于从特定启用网络的设备接收指定所允许的重复请求的最大数目的用户输入。
20.如权利要求18所述的服务器,其中,所述授权模块被配置成通过确定包括在所述请求中的配对信息是否也在所述数据库中来确定在所述白名单上指定的所述启用网络的 设备是否授权被供应新身份数据。
全文摘要
一种用于生成用于启用网络的设备的新身份数据的系统包括被配置成从白名单提取属性的白名单读取器。该白名单对于在白名单中指定的每一个设备包括在先分配的第一类型标识符。该在先分配的第一类型标识符被链接到在相应设备中的每一个中在先供应的身份数据。数据检索模块被配置成从白名单读取器接收第一类型的标识符,并且基于每一个标识符来检索与之链接的每一个在先供应的身份数据记录。新数据生成模块被配置成(i)获得与在白名单上指定的设备中在先供应的身份数据和对应的第一类型标识符相关联的密码密钥,(ii)生成每一个被链接到新标识符的新身份数据记录以及(iii)利用密码密钥中的一个对每一个新的身份数据记录进行加密并将每一个新身份数据记录链接到与每一个相应密码密钥相对应的第一类型标识符。数据输出模块被配置成将已加密新身份数据记录连同它们相应的新标识符及它们相应的在先分配的第一类型标识符一起加载到外部源上。
文档编号H04L29/06GK102859929SQ201180019187
公开日2013年1月2日 申请日期2011年4月15日 优先权日2010年4月15日
发明者邱新, 亚历山大·麦德温斯盖, 斯图尔特·P·莫斯科维奇, 格雷格·N·中西, 贾森·A·帕西翁, 王凡, 姚挺 申请人:通用仪表公司