[发明专利]对基于白名单的在线安全设备供应框架的跨域身份管理

说明书

技术领域

本申请要求2010年4月15日提交的第61/324,571号美国临时申请的优先权，通过引用将其全部内容合并于此。

本申请涉及2010年12月6日提交的题为“Online Public Key Infrastructure(PKI)System”的共同未决的序列号12/961,455的美国申请。本申请还涉及2011年4月15日提交的题为“Online Secure Device Provisioning Framework”的共同未决的序列号[BCS06335]的美国申请。

背景技术

数字信息在商业、教育、政府、娱乐和管理的各个方面已经变得极为重要。在这些多种应用中，确保信息的保密性、完整性和真实性的能力是至关重要的。其结果是，已经开发了若干种数字安全机制以提高安全性。

目前的一种数字安全标准方法被称为公钥基础设施（PKI）。PKI提供数字证书的使用以认证证书持有者的身份。或者认证其他信息。证书权力机构（CA）向证书持有者发出证书，然后持有者可以向第三方提供证书作为CA对证书中指出名称的持有者实际上是证书中记载的人、实体、机器、电子邮件地址用户等的证明。另外，证书中的公钥实际上是持有者的公钥。处理证书持有者的人、设备、处理器或其他实体可以根据CA的证书颁布操作规定依赖证书。

CA通常通过这样的方式来创建证书：利用其自己的私钥进行数字签名，识别提交到CA的信息和寻求证书的持有者的公钥。证书通常具有有限的有效期，并且在证书持有者的对应私钥泄漏的情况下或者其他可撤销事件的情况下，可以提前撤销证书。通常，PKI证书包括附接了数字签名的信息的集合。证书用户团体信任的CA附接其数字签名，并且向系统内的各种用户和/或设备发放证书。

启用网络的设备通常在出厂时供应了身份数据，使得它们可以使用身份数据系统以安全的方式与其他启用网络的设备进行通信。身份数据通常包括公钥和私钥对以及数字证书。启用网络的设备的说明性示例包括但不限于PC、移动电话、路由器、媒体播放器、机顶盒等。

可以在启用网络的设备部署在该领域之前或之后供应身份数据。例如，在制造时将身份数据纳入该设备。例如，当网络运营商想要替换他们的数字权限管理（DRM）系统或者他们想要支持需要在已经部署启用网络的设备之后为启用网络的设备供应新类型身份的其他安全应用时，发生大规模升级。因为经常手动执行，因此需要将设备返回到服务中心，所以这可能是一个困难且麻烦的过程。

发明内容

根据本发明的一个方面，提供一种用于管理与启用网络的设备相关联并且在向启用网络的设备供应身份数据的身份数据系统中使用的标识符的方法。所述方法包括：接收第一组数据，所述第一组数据包括用于被授权被供应新身份数据的启用网络的设备中的一个或多个的在先分配标识符。如果身份数据当前安装在一个或多个启用网络的设备上，则将所述第一组数据中的在先分配标识符中的每一个与链接到当前安装在一个或多个启用网络的设备上的身份数据的对应标识符相关联，以建立第二组数据。通过将与新身份数据链接的新标识符分配给一个或多个启用网络的设备中的每一个，将新身份数据绑定到一个或多个启用网络的设备中的每一个，以建立白名单。所述白名单对于一个或多个启用网络的设备中的每一个指定其在先分配标识符、其对应标识符和其与新身份数据链接的新标识符。

根据本发明的另一方面，提供一种用于利用新身份数据更新启用网络的设备的方法。所述启用网络的设备的每一个具有与其相关联的至少三种类型标识符。所述方法包括：通过通信网络接收对于用于多个启用网络的设备的新身份数据的请求。所述请求中的每一个包括与启用网络的设备相关联的第三类型标识符。获得与启用网络的设备相关联的第一类型标识符。所述第一类型标识符是包括在启用网络的设备当前被供应的身份数据中的标识符。通过将所述第一类型标识符分别分配到已经通过第二类型标识符识别的启用网络的设备，启用网络的设备在先已被供应所述第一类型标识符。接收分配有新第一类型标识符的新身份数据。新标识符中的每一个与对应的第三类型标识符匹配。根据启用网络的设备的相应的第三标识符，通过通信网络向相应的启用网络的设备传递分配有新标识符的新身份数据。