[发明专利]用于大量生产的产品专用身份数据的身份数据管理系统

说明书

背景技术

在商业、教育、政府、娱乐和管理的所有方面，数字信息已经变得极其重要。在许多这些应用中，确保信息的隐私、完整性和可靠性的能力很关键。因此，已经开发了若干数字安全机制来提高安全性。

当今数字安全的一种标准方法称为公钥基础设施(PKI)。PKI规定使用数字证书来验证证书持有者的身份，或验证其它信息。证书中心(CA)向证书持有者发放证书，然后，持有者能向第三方提供证书，作为CA证明证书中指定的持有者事实上是在证书中列出的人、实体、机器、电子邮件地址用户等等。并且在证书中的公钥事实上是持有者的公钥。与证书持有者打交道的人、设备、过程或其它实体能根据CA的证书作业准则，信赖该证书。证书通常利用其自己的公钥，由CA数字签名创建，识别提交给CA的信息以及谋取该证书的持有者的公钥。证书通常具有有限的有效期，并且在证书持有者的相应私钥损坏事件，或其它可撤消事件中更早地被撤消。通常，PKI证书包括数字签名被附加到的信息的集合。证书用户社区信任的CA附加其数字签名并且将证书发放给系统内的不同用户和/或设备。

网络启用设备通常位于具有身份数据的工厂，因此，它们可以使用身份数据系统，以安全方式与其它网络启用设备通信。身份数据通常包括公私钥对和数字证书。网络启用设备的示例性例子包括但不限于PC、移动电话、路由器、媒体播放器、机顶盒等等。

身份数据可以在制造时提供在网络启用设备中。由于许多原因，这是困难且复杂的过程。例如，传统的身份数据包括有限多个属性，诸如由X.509指定的属性，但通常不包括许多产品具体细节，诸如产品名、型号名和芯片ID。然而，身份数据终端用户，诸如设备制造商、应用供应商或行业协会现在更频繁地要求在它们的身份数据中包含另外的产品细节、属性和属性值。在身份数据生成、分发和制造过程期间，将包括在身份数据中的这些附加的属性和属性值以及产品和设备专用细节通常对每个产品和设备均是唯一的。因此，当存在许多不同产品时，难以管理这些过程。特别地，当制造商生产许多不同的生产线和每个生产线内的许多不同型号时，这变得更困难。此外，可以在不一定处于同一地点，实际上，可能位于不同大陆的许多不同的制造工厂生产这些产品。这些属性和属性值包含在设备中最终提供的身份数据记录中。生成、管理和跟踪用于各个和每个产品的所有该数据的过程是挑战性的任务，会变得压倒性的困难。

附图说明

图1示出用于表示为T1的ID数据类型的属性的集合的一个例子。

图2示出操作环境的一个例子，其中，可以实现在此所述的、用于为网络启用设备提供身份数据的过程。

图3示出图2中所示的身份数据生成工具的一个例子。

图4示出图2中所示的数据请求者门户网站的一个例子。

图5示出图2中所示的数据监控服务器的一个例子。

图6是示例如何使用身份数据管理系统来创建用于新产品的个性化身份数据的一个例子的流程图。

图7是示例如何利用身份数据记录再补充服务器的流程图。

具体实施方式

在此所示的方法、技术和系统适用于能确保网络启用设备能与隐密性、可靠性和完整性的保证人通信的数字安全机制。仅为示例且没有一般损失的目的，在此所述的方法、技术和系统将应用于由PKI系统生成的类型的身份数据。如在此所使用的单一身份数据单元称为项，诸如私有和公共数字身份密钥对或对称密钥，例如，数字证书通常与各个身份数据单元有关。

网络启用设备的示例性例子包括但不限于PC、移动电话、路由器、媒体播放器、机顶盒等等。设有身份数据的各个网络启用设备属于产品类型。由可以称为ID数据类型的唯一标识符，标识各个产品类型。属性和数据格式的集合与各个ID数据类型有关。用于这些属性的值通常包括在各个网络启用设备中提供的身份数据中。这些属性的例子包括产品名、型号名、产品制造商名和在设备中使用的芯片组的身份。数据格式定义在对网络启用设备的交付过程期间，将如何封装和保护属性。附加信息可以与各个ID数据类型有关。例如，这些附加信息可以包括，其中将制造由各个ID数据类型指定的产品的工厂位置、身份数据被加载到的服务器和规定要在服务器上保持的身份数据记录的数量的库存需求。