[发明专利]一种面向智能云电视终端的设备证书激活的实现方法

摘要

一种面向智能云电视终端的设备证书激活的实现方法，部署一套中心CA系统负责为二级CA系统颁发二级CA的信任根；每个制造商分别部署一套面向制造商的二级终端设备证书CA系统，为本厂商的智能云电视终端设备在线激活证书；借助二级CA信任根，为没有部署二级智能云电视设备证书CA系统能力的制造商，部署一套面向中心的二级终端设备证书CA系统，为该类厂商的设备在线激活证书；通过智能云电视终端设备预置的安全代理模块和TV识别模块，及面向中心的二级终端设备证书CA系统或面向制造商的二级终端设备证书CA系统，完成智能云电视最重要的证书激活业务，获得智能云电视可信的设备标识。本发明具有通用性强、安全性高、机密性强的优点。

主权项

一种面向智能云电视终端的设备证书激活的实现方法，其特征在于实现方法如下：第一，部署一套中心CA系统，所述中心CA系统由证书颁发模块构成，负责为二级CA系统即面向中心的二级终端设备证书CA系统和面向制造商的二级终端设备证书CA系统颁发二级CA的信任根及该信任根生命周期的管理，构建完整的证书信任链条，形成一种基于PKI证书体系的两级用户管理；第二，基于所述中心CA系统颁发的二级CA信任根，每个制造商分别部署一套面向制造商的二级终端设备证书CA系统，负责为本厂商的智能云电视终端的设备激活证书，为获得智能云电视终端的可信身份标识奠定基础；同时借助二级CA信任根，在为没有部署二级智能云电视终端的设备证书CA系统能力的制造商，部署一套面向中心的二级终端的设备证书CA系统，负责为该类厂商的设备证书激活，为获得智能云电视终端的可信身份标识奠定基础；所述面向中心的二级终端设备证书CA系统包括：面向中心的证书申请代理模块，设备标识查询转发模块，面向中心的证书颁发模块；所述面向中心的证书申请代理模块负责建立面向中心的二级终端设备证书CA系统与智能云电视终端内置的安全代理模块的安全信道、拦截安全代理模块发送的证书签发请求、调用设备标识查询转发模块完成设备标识的验证及下发证书颁发模块签发的设备证书；设备标识查询转发模块负责验证设备标识的有效性；面向中心的证书颁发模块负责为没有部署二级智能云电视设备证书CA系统能力的制造商签发智能云电视终端的设备证书；所述面向制造商的二级终端设备证书CA系统包括：面向制造商的证书申请代理模块和面向制造商的证书颁发模块；面向制造商的证书申请代理模块用来建立面向中心的二级终端设备证书CA系统与智能云电视终端内置的安全代理模块的安全信道、拦截安全代理模块发送的证书签发请求、调用制造商自身内部的设备标识查询接口完成自身设备标识的验证及下发面向制造商的证书颁发模块签发的设备证书；面向制造商的证书颁发模块负责为自身智能云电视终端签发智能云电视终端的设备证书；第三，在智能云电视终端预置安全代理模块和云电视TV识别模块，同时预装面向中心的智能电视终端设备证书CA系统的根证书、中心CA系统的根证书，完成智能云电视终端的设备证书激活业务，获得智能云电视终端可信的设备标识；所述TV识别模块是为了避免山寨机复制安全代理模块进行设备证书激活问题的发生， 保证智能云电视终端的设备标识合法性必须由厂商验证；所述TV识别模块：自动轮询地监测智能云电视终端是否已连接网络，若监测未连接网络，则提示用户完成网络连接以便其获得更多个性化服务；若监测已连接网络，则由其获取智能云电视终端唯一设备标识、厂商标识及相关硬件信息，并触发自有设备标识验证业务；通过制造商门户集成的厂商设备识别接口，完成设备标识的合法性验证；在设备标识验证合法后，发送证书激活启动请求到安全代理模块；所述安全代理模块：接收证书激活启动请求，启动证书激活业务；生成公私钥对，生成证书签发请求及发送证书签发请求；建立安全信道；接收面向制造商的和面向中心的证书申请代理模块下发的设备证书、安全保存该设备证书及基于该证书完成身份认证；所述面向中心的智能电视终端设备证书CA系统的根证书是一个二级根证书，由中心CA系统负责签发的，即在二级CA系统中导入该证书；中心CA系统的根证书是一个顶级根证书，即在顶级CA系统中导入该证书。