用于大量生产的产品专用身份数据的身份数据管理系统

摘要

提供一种方法和装置，用于保持在电子设备中要提供的身份数据的库存水平。该方法包括通过通信网络监控在分别为电子设备提供身份数据记录的多个身份数据个性化服务器上存储的身份数据记录的库存水平。此外，如果身份数据个性化服务器的至少一个上的库存水平低于最小特定水平，则将再补充请求发送到身份数据管理中心，请求将另外的身份数据记录上载到身份数据个性化服务器。

说明书

背景技术

在商业、教育、政府、娱乐和管理的所有方面，数字信息已经变 得极其重要。在许多这些应用中，确保信息的隐私、完整性和可靠性 的能力很关键。因此，已经开发了若干数字安全机制来提高安全性。

当今数字安全的一种标准方法称为公钥基础设施(PKI)。PKI规 定使用数字证书来验证证书持有者的身份，或验证其它信息。证书中 心(CA)向证书持有者发放证书，然后，持有者能向第三方提供证书， 作为CA证明证书中指定的持有者事实上是在证书中列出的人、实体、 机器、电子邮件地址用户等等。并且在证书中的公钥事实上是持有者 的公钥。与证书持有者打交道的人、设备、过程或其它实体能根据CA 的证书作业准则，信赖该证书。证书通常利用其自己的公钥，由CA数 字签名创建，识别提交给CA的信息以及谋取该证书的持有者的公钥。 证书通常具有有限的有效期，并且在证书持有者的相应私钥损坏事件， 或其它可撤消事件中更早地被撤消。通常，PKI证书包括数字签名被附 加到的信息的集合。证书用户社区信任的CA附加其数字签名并且将证 书发放给系统内的不同用户和/或设备。

网络启用设备通常位于具有身份数据的工厂，因此，它们可以使 用身份数据系统，以安全方式与其它网络启用设备通信。身份数据通 常包括公私钥对和数字证书。网络启用设备的示例性例子包括但不限 于PC、移动电话、路由器、媒体播放器、机顶盒等等。

身份数据可以在制造时提供在网络启用设备中。由于许多原因， 这是困难且复杂的过程。例如，传统的身份数据包括有限多个属性， 诸如由X.509指定的属性，但通常不包括许多产品具体细节，诸如产 品名、型号名和芯片ID。然而，身份数据终端用户，诸如设备制造商、 应用供应商或行业协会现在更频繁地要求在它们的身份数据中包含另 外的产品细节、属性和属性值。在身份数据生成、分发和制造过程期 间，将包括在身份数据中的这些附加的属性和属性值以及产品和设备 专用细节通常对每个产品和设备均是唯一的。因此，当存在许多不同 产品时，难以管理这些过程。特别地，当制造商生产许多不同的生产 线和每个生产线内的许多不同型号时，这变得更困难。此外，可以在 不一定处于同一地点，实际上，可能位于不同大陆的许多不同的制造 工厂生产这些产品。这些属性和属性值包含在设备中最终提供的身份 数据记录中。生成、管理和跟踪用于各个和每个产品的所有该数据的 过程是挑战性的任务，会变得压倒性的困难。

附图说明

图1示出用于表示为T1的ID数据类型的属性的集合的一个例子。

图2示出操作环境的一个例子，其中，可以实现在此所述的、用 于为网络启用设备提供身份数据的过程。

图3示出图2中所示的身份数据生成工具的一个例子。

图4示出图2中所示的数据请求者门户网站的一个例子。

图5示出图2中所示的数据监控服务器的一个例子。

图6是示例如何使用身份数据管理系统来创建用于新产品的个性 化身份数据的一个例子的流程图。

图7是示例如何利用身份数据记录再补充服务器的流程图。

具体实施方式

在此所示的方法、技术和系统适用于能确保网络启用设备能与隐 密性、可靠性和完整性的保证人通信的数字安全机制。仅为示例且没 有一般损失的目的，在此所述的方法、技术和系统将应用于由PKI系 统生成的类型的身份数据。如在此所使用的单一身份数据单元称为项， 诸如私有和公共数字身份密钥对或对称密钥，例如，数字证书通常与 各个身份数据单元有关。

网络启用设备的示例性例子包括但不限于PC、移动电话、路由器、 媒体播放器、机顶盒等等。设有身份数据的各个网络启用设备属于产 品类型。由可以称为ID数据类型的唯一标识符，标识各个产品类型。 属性和数据格式的集合与各个ID数据类型有关。用于这些属性的值通 常包括在各个网络启用设备中提供的身份数据中。这些属性的例子包 括产品名、型号名、产品制造商名和在设备中使用的芯片组的身份。 数据格式定义在对网络启用设备的交付过程期间，将如何封装和保护 属性。附加信息可以与各个ID数据类型有关。例如，这些附加信息可 以包括，其中将制造由各个ID数据类型指定的产品的工厂位置、身份 数据被加载到的服务器和规定要在服务器上保持的身份数据记录的数 量的库存需求。

图1示出定义表示为T1的身份数据类型(ID数据类型)的部件 的一个例子。该例子中的产品专用属性110包括产品名、型号名、芯 片ID和设备ID。图1还示出了数字身份数据格式和身份数据保护机制。 如果身份数据是PKI数据，则身份数据通常包括维持密码关系的公钥 和私钥对。公钥以证书链(120中示为根证书、制造商证书、工厂证书 和设备证书)的形式存储。私钥(图1中称为设备密钥)是身份数据 的保密部分；在传输期间必须被保护(保密)。将密码保护机制应用 于私钥。用于身份类型的密码保护机制(诸如加密机制)专用于产品。 此外，设备私钥和公钥对每个设备是唯一的，由此，唯一地加密，使 得仅想要的终端设备将具有解密该私钥的能力。

图2示出操作环境的一个例子，其中，可以实现在此所述的、用 于为网络启用设备提供身份数据的过程。应理解到以非常简化的方式， 示出结合图2所述的各个项，其中，单一实体(例如，服务器、数据 库等等)可以表示更复杂的设置和系统。

在该例子中，工厂域表示其中制造网络启用设备的多个工厂域中 的一个。不同工厂域可以广泛地分散在大的地理区域，其在一些情况 下，可以扩大至多个国家甚至大陆。各个工厂可以生产单一类型或单 一种类的网络启用设备(例如移动电话)或多个种类的设备(例如移 动电话、路由器和机顶盒)。作为制造过程的一部分，诸如PKI数据 的身份数据被加载到网络启用设备中。

如图2所示，工厂域包括用来为设备提供身份数据的多个实体。 特别地，工厂域包括用来存储身份数据记录并且经由用作身份数据个 性化服务器250和网络启用设备之间的接口的工厂数据加载站240，将 它们加载到网络启用设备295上的身份数据个性化服务器250。

图2的操作环境中还示出了包括在线部和离线部的身份管理系 统。在线部包括前端服务器265和监控服务器280。前端服务器265保 管数据请求者门户网站210和数据配置管理器270并且与前端数据库 260有关。身份管理系统的离线部由离线身份数据生成系统220表示。

门户网站210使用例如基于客户端的应用程序，诸如传统的网络 浏览器，提供用户可以访问的单一前端界面。门户网站210允许诸如 产品团队成员的用户对新产品建立和定义新的数据身份类型。

将通过数据请求者门户网站210定义的新ID数据类型存储在前端 数据库260中。与新的ID数据类型定义一起，产品团队还可以设定新 数据类型的最小和最大库存需求。最小需求表示在任何指定时间，在 身份数据个性化服务器250中必需可用的ID数据单元的最小数量。最 大需求表示在任何时间，在指定服务器上可用的ID数据单元的最大数 量。在ID数据再补充过程期间，可由数据监控服务器280使用该信息， 其将在稍后描述。

数据配置管理器270被用来生成能传送到离线身份数据生成系统 220的可下载文件(包含新的ID数据类型定义)。数据配置管理器270 将有关通过门户网站210获得的ID数据类型的信息转换成由离线身份 数据生成系统220专用的文件格式来生成ID数据类型。数据配置管理 器270使文件在便携式计算机可读存储介质(例如光盘、智能卡和诸 如卡、棒的闪存设备和USB驱动器)上可用。系统操作者将存储介质 手动地传送到身份数据生成系统220的后端数据库225，使得能生成所 请求的身份数据记录。

在已经将可下载文件传递给身份数据生成系统220之后，系统220 根据可下载文件中规定的定义和其它信息，生成身份数据记录。在下 文中，给出有关身份数据生成系统220的另外的细节。然后，将所创 建的身份数据记录移动到计算机可读存储介质并且手动地传送到在线 域。然后，经由数据加载器290将身份数据记录加载到适当的数据个 性化服务器250。

数据监控服务器280被用来监控在身份数据个性化服务器250中 的每一个上存储的身份数据记录的库存水平。数据监控服务器280与 前端数据库260通信，由此，能够访问已经定义的各种ID数据类型和 相应的最小/最大库存需求。数据监控服务器280可以通过任何适当的 通信网络，诸如互联网或其它广域、基于分组的通信网络，与工厂域 中的身份管理系统的在线部的其它元件以及身份数据个性化服务器 250通信。

数据监控服务器280从前端数据库260检索身份数据最小和最大 库存需求。当数据监控服务器280判定在身份数据个性化服务器250 的任何一个中，任何给定ID数据类型的库存水平已经低于最小库存需 求时(可以将身份数据个性化服务器与服务器区分开来)，自动地生 成达到ID数据类型的最大库存需求所需的新身份数据记录数量的请 求。将该请求存储在前端数据库260中。响应于来自数据监控服务器 280的请求，前端服务器265访问前端数据库260来创建如上所述的新 请求文件，然后，其由系统操作者下载到计算机可读存储介质，使得 其能被手动地传递给离线身份数据生成系统220。

再参考图2，离线身份数据生成系统220包括驻留在服务器上的 离线身份数据生成工具230。由于安全等等原因，系统220保持离线， 并且使得需要将提前生成的身份数据上载到身份数据个性化服务器 250上，由此确保不会由于生成计算密集的身份数据记录所需的时间而 导致延迟将身份数据记录传递给个性化服务器250。身份数据生成系统 220还包括后端数据库225，其是身份数据记录的数据库。这些记录有 关所发行的数字证书、新数字证书或安全数据的原始请求、审计数据、 组织信息、产品配置、用户信息以及所需的其它记录类型。

身份数据生成工具230控制身份数据生成系统220的整体操作并 且通常包括具有一个或多个物理存储设备和数据库的一个或多个物理 服务器以及各种处理引擎。数据生成工具230还包括通常驻留在执行 提供各种服务的一个或多个应用程序的服务器上的一个或多个服务部 件。身份数据生成工具230的一个例子如图3所示。如所示，身份数 据生成工具230包括四个逻辑服务部件或模块：数据生成工作流部件 310、数据验证部件320、CA简档策略部件330和数据专用保护部件 340。

数据生成工作流部件310定义系统执行来生成和验证特定ID数据 类型的必要身份数据的动作序列。这些动作可以包括例如“生成RSA 密钥对”、“校验证书”和“加密私有身份数据”等等。各个ID数据 类型可以具有仅一个工作流。工作流管理部件由此定义和管理产品和 工作流之间的关系。当身份数据生成系统220接收对于某一产品的新 身份数据记录的请求时，执行产品的工作流来生成所请求的数据。

CA简档策略部件330保持由证书中心所使用的专用策略(例如， 证书验证、加密算法对象标识符、策略限制扩展的使用)。由系统管 理员通过数据请求者门户网站210来建立这些策略。产品专用保护部 件340实现用于保护对于不同ID数据类型不同且由产品团队或系统管 理员选择的身份数据的机制。数据验证部件320确认所生成的身份数 据是有效的。为完成所生成的身份数据的验证，数据验证部件320从 存储器读取全部所生成的身份数据，消除所施加的保护机制；然后， 通过检查各个身份记录(通常具有私钥、公钥和证书)仍然保持其加 密关系，校验在生成过程期间，未破坏未受保护的身份数据。

图4更详细地示出数据请求者门户网站210的一个例子。门户网 站210通常包括具有一个或多个物理存储器设备和数据库的一个或多 个物理服务器以及各种处理引擎。此外，在图4中，门户网站210包 括通常驻留在执行提供各种服务的一个或多个应用程序的服务器上的 一个或多个服务部件。在图4中，示出了六个逻辑服务部件或模块： 数据配置管理器410、数据库存预测管理器420、数据分发许可管理器 430、证书策略管理器440、可选核准管理器450和通知管理器460。

数据配置管理器410允许产品团队的成员通过选择诸如先前提到 的产品专用属性(例如，产品名、型号名、芯片ID)的各种属性、属 性值(例如，产品名、商标和称号)以及保护机制，请求创建新数据 类型。定义保护机制，使得保护所生成的身份数据的秘密部分；通常 通过由在产品中使用的设备芯片支持的保护机制来确定。

数据库存预测管理器420允许产品团队成员定义用于新的或现有 的数据类型的容量预测。即，用户可以预期在一段时间将制造的产品 的数量，进而指定将在那一时间段所需要的数据身份数据记录的数量。 可以由团队成员使用该信息来指定应当由位于该工厂地点的身份数据 个性化服务器保持的身份数据记录的数量。例如，用户可以指定应当 始终在身份数据个性化服务器250上保持的身份数据记录的最小和最 大数量。如前所述，由数据监控服务器280使用该信息来确定何时自 动地触发身份数据请求。进而，这减少可以中断制造过程的、耗尽可 用身份数据记录的库存的可能性。同样地，通过指定最大数量，还可 以减少一些身份数据记录不会被使用的可能性。由产品团队指定的库 存水平可以保持静态，或其可以根据其它参数和规则来细化，以便细 化要在服务器250上保持的记录的库存。

数据请求者门户网站210还包括数据分发许可管理器430，其允 许产品团队成员和/或系统管理员指定要被许可来分发新的或现有的数 据类型的身份数据的服务器。证书策略管理器440允许系统管理员定 义和实施用于现有或新创建的ID数据类型的证书许可专用策略。此外， 系统管理员和/或产品团队成员可以请求对于新产品实现保护机制，然 后，它们能与新ID数据类型关联。可选核准管理器450允许指派人员， 诸如项目团队管理人员来接受或拒绝由产品团队成员已经做出的新ID 数据类型的请求。数据请求者门户网站210还包括通知管理器460，其 将电子邮件通知或确认传递给包含在身份数据提供过程中的当事方。 例如，可以由数据请求者门户网站210采用的通知管理器460，通知系 统操作者已经准备好将请求文件从在线系统传送到离线系统。

由产品团队成员使用数据库存预测管理器420指定的库存水平存 储在前端数据库260上，使得它们可以由数据监控服务器280存取。 数据监控服务器280定期地查询身份数据个性化服务器250上的库存 水平。如果库存水平仍然高于最小阈值，则不生成数据请求。另一方 面，如果数据监控服务器280判定特定ID数据类型的库存水平已经低 于对于一个或多个个性化服务器250指定的最小阈值，则数据监控服 务器280向前端数据库260发送数据请求。在各个数据请求中请求的 数据记录的数量通常等于对于各个身份数据个性化服务器250已经指 定的最大和最小库存阈值水平之间的差。对于已经低于最小阈值的各 个指定数据类型，可以做出单独的数据请求。

图5更详细地示出数据监控服务器280的一个例子。在该例子中， 数据监控服务器280包括库存监控部件510、服务器状态报告部件520 和数据请求生成器530。库存监控部件510定期地查询身份数据个性化 服务器250的库存水平。服务器状态报告部件520是向产品团队成员 和系统操作者呈现个性化服务器250的库存水平的门户网站。当库存 监控部件510检测到低于由产品团队使用数据请求者门户网站210已 经定义的它们规定阈值的数据库存时，数据请求生成器530生成新的 身份数据请求。

图6是示例如何使用身份数据管理系统来创建新产品P1的定制身 份数据的一个例子的流程图。在步骤605处，当产品团队成员登录或 者另外访问数据请求者门户网站210来请求新的定制ID数据类型时， 该方法开始。由于这是新的数据类型，所以用户(例如产品团队成员) 使用数据配置管理器410来指定新的可定制属性、属性值和保护机制。 用户也可以使用预测管理器420来指定产品预测和制造地点。制造地 点能被用来确定要接收身份数据记录的身份数据个性化服务器。接着， 在步骤610处，响应于对新的数据类型的请求，门户网站320通知系 统操作者(例如，经由电子邮件)已经提交新产品请求。

因为该请求是用于ID数据类型的，利用新属性和新保护机制，定 义用于产品P1的新ID数据类型T1(步骤620)，以及基于由产品团 队提供的信息，实现新属性和新保护机制(步骤625)。由于新属性和 保护方法先前不存在，所以需要实现。同样地，在步骤630处，系统 操作者使用数据配置管理器工具410，配置ID数据类型T1的请求属性。 如果身份数据是PKI数据，则这些属性将最终被编码在形成PKI数据 的一部分的数字证书(例如，X.509证书)中。

在已经完成产品P1的ID数据类型T1的配置之后，在步骤635 处生成测试数据。尽管可选，但建议该步骤来避免真正生产期间的错 误。然后，在步骤640处，系统操作者初始化真正身份数据记录的生 成。应注意到，如果执行可选步骤635，则可以顺序地或同时地执行步 骤640。当请求新ID数据类型时，所生成的记录数量等于由产品团队 指定的最大数量。在步骤645处，系统操作者将身份数据记录加载到 已经被识别为保管这些记录的身份数据个性化服务器250。然后，在步 骤650处，系统操作者通知产品团队已经建立ID数据类型T1并且已 经准备好将数据记录提供在产品类型P1的网络启用设备中。此时，产 品团队可以开始个性化已经在指定工厂地点处制造的产品P1的单独设 备。

在身份数据提供过程已经开始之后，数据监控服务器280将确保 所指定的身份数据个性化服务器250保持已经由产品团队指定的必需 库存水平。将进一步参考图2，通过图7的流程图，示例利用身份数据 记录再补充服务器的过程。

在步骤705处，当数据监控服务器280在数据个性化服务器250 中查询它们保管的各种ID数据类型的记录的它们各自的库存水平时， 身份数据监控和再补充过程开始。在判定步骤710处，数据监控服务 器280判定库存水平是否高于由产品团队定义的它们的最小阈值。如 果库存水平高于它们的最小阈值，则过程返回到其中数据监控服务器 280继续定期地在数据个性化服务器250中查询它们的库存水平的步骤 705。如果发现任一数据个性化服务器250上的库存水平低于特定ID 数据类型的最小阈值，则在步骤715处，数据监控服务器280自动地 生成被发送到前端服务器265的身份数据请求。通知还被发送到系统 操作者。请求指定生成新ID数据记录所需的所有信息，包括应当生成 的身份数据记录的数量和其中要加载身份数据记录的服务器位置。对 于已经低于所定义的最小阈值的各个唯一ID数据类型和位置组合做出 单独的数据请求。

尽管数据个性化服务器250正等待利用ID数据类型T1的身份数 据记录再补充，但将不中断ID数据类型T1的其剩余记录的使用，除 非耗尽该数据。因此，应当准确地定义最小阈值水平来防止完全耗尽 记录。

在接收新身份数据请求的通知之后，在步骤720处，系统操作者 访问前端数据库260，并且将以便携式文件格式的请求下载到便携式计 算机可读存储介质上。请求指定要由离线身份数据生成系统220生成 的身份数据记录所需的所有信息。在步骤725处，系统操作者将请求 文件手动地传送到离线身份数据生成系统220，并且通过使用身份数据 生成工具230，将请求上载到后端数据库225。

在步骤730处，离线身份数据生成系统220生成所请求的身份数 据并且输出以便携式文件格式的身份数据，并且将其存储在便携式计 算机可读存储介质上。此外，离线身份数据生成系统220可以将所生 成的身份数据记录的历史存储在后端数据库225中，用于报告、备份 和撤消目的。然后，在步骤735处，系统操作者将计算机可读存储介 质手动地传送到数据加载器290，并且上载新的身份数据记录。进而， 数据加载器290将身份数据上载到为其生成身份数据的特定个性化服 务器250。此时，在库存低的特定个性化服务器250上，对于ID数据 类型T1已经再补充库存。在步骤740处，可以将可选通知发送到产品 团队。

在一些情况下，当要生产新产品时，创建新ID数据类型不需要执 行图6所示的全部步骤的集合。例如，如果新身份类型与先前创建的 ID数据类型类似或相同，则产品团队可以将先前创建的ID数据类型用 作模板。在这种情况下，新的与先前创建的ID数据类型可以仅在它们 的属性值上不同，因此，当新产品要被生产并且加载有身份数据以及 产品预测、制造地点等等时，产品团队可以仅需要提供这些值。此外， 除了具有与先前创建的ID数据类型相同的ID数据类型之外，甚至对 新的ID数据类型，属性、属性值和产品预测均可以与先前创建的ID 数据类型相同。在这种情况下，如果产品的制造地点不同，则仅需要 指定制造地点。

如在本申请中所使用的，术语“部件”、“模块”、“系统”、 “装置”、“接口”等等通常意图指计算机相关实体，或硬件、硬件 和软件的组合、软件，或执行中软件。例如，部件可以是但不限于在 处理器上运行的过程、处理器、对象、可执行程序、执行线程、程序 和/或计算机。通过示例，在控制器上运行的应用程序和控制器两者可 以是部件。一个或多个部件可以驻留在过程和/或执行线程内，以及部 件可以位于一个计算机上和/或分布在两个或更多个计算机之间。

此外，可以使用标准编程和/或工程技术，将所要求的主题实现为 方法、装置，或制造制品来产生软件、固件、或其任意组合来控制计 算机实现所公开的主题。在此所使用的术语“制造制品”意图包含可 从任何计算机可读介质、载体或介质存取的计算机程序。

例如，计算机可读存储介质可以包括但不限于磁存储介质(例如， 硬盘、软盘、磁带，…)、光盘(例如，紧密盘(CD)、数字通用光 盘(DVD)，…)、智能卡和闪存设备(例如，卡、棒、键驱动器，…)。 当然，本领域的技术人员将意识到在不背离所要求的主题的范围或精 神的情况下，可以对该配置做出许多修改。