CN103262494A - 对基于白名单的在线安全设备供应框架的跨域身份管理 - Google Patents
对基于白名单的在线安全设备供应框架的跨域身份管理 Download PDFInfo
- Publication number
- CN103262494A CN103262494A CN2011800191287A CN201180019128A CN103262494A CN 103262494 A CN103262494 A CN 103262494A CN 2011800191287 A CN2011800191287 A CN 2011800191287A CN 201180019128 A CN201180019128 A CN 201180019128A CN 103262494 A CN103262494 A CN 103262494A
- Authority
- CN
- China
- Prior art keywords
- equipment
- identifier
- network
- identity data
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
一种用于管理与启用网络的设备相关联并且在向启用网络的设备供应身份数据的身份数据系统中使用的标识符的方法,包括:接收第一组数据,所述第一组数据包括被授权被供应新身份数据的一个或多个启用网络的设备的在先分配标识符。如果身份数据当前安装在一个或多个启用网络的设备上,则将所述第一组数据中的在先分配标识符中的每一个与链接到当前安装在一个或多个启用网络的设备上的身份数据的对应标识符相关联,以建立第二组数据。通过将与新身份数据链接的新标识符分配给一个或多个启用网络的设备中的每一个,将新身份数据绑定到一个或多个启用网络的设备中的每一个,以建立白名单。对于一个或多个启用网络的设备中的每一个,所述白名单指定其在先分配标识符、其对应标识符及其与新身份数据链接的新标识符。
Description
技术领域
本申请要求2010年4月15日提交的第61/324,571号美国临时申请的优先权,通过引用将其全部内容合并于此。
本申请涉及2010年12月6日提交的题为“Online Public KeyInfrastructure(PKI)System”的共同未决的序列号12/961,455的美国申请。本申请还涉及2011年4月15日提交的题为“Online Secure DeviceProvisioning Framework”的共同未决的序列号[BCS06335]的美国申请。
背景技术
数字信息在商业、教育、政府、娱乐和管理的各个方面已经变得极为重要。在这些多种应用中,确保信息的保密性、完整性和真实性的能力是至关重要的。其结果是,已经开发了若干种数字安全机制以提高安全性。
目前的一种数字安全标准方法被称为公钥基础设施(PKI)。PKI提供数字证书的使用以认证证书持有者的身份。或者认证其他信息。证书权力机构(CA)向证书持有者发出证书,然后持有者可以向第三方提供证书作为CA对证书中指出名称的持有者实际上是证书中记载的人、实体、机器、电子邮件地址用户等的证明。另外,证书中的公钥实际上是持有者的公钥。处理证书持有者的人、设备、处理器或其他实体可以根据CA的证书颁布操作规定依赖证书。
CA通常通过这样的方式来创建证书:利用其自己的私钥进行数字签名,识别提交到CA的信息和寻求证书的持有者的公钥。证书通常具有有限的有效期,并且在证书持有者的对应私钥泄漏的情况下或者其他可撤销事件的情况下,可以提前撤销证书。通常,PKI证书包括附接了数字签名的信息的集合。证书用户团体信任的CA附接其数字签名,并且向系统内的各种用户和/或设备发放证书。
启用网络的设备通常在出厂时供应了身份数据,使得它们可以使用身份数据系统以安全的方式与其他启用网络的设备进行通信。身份数据通常包括公钥和私钥对以及数字证书。启用网络的设备的说明性示例包括但不限于PC、移动电话、路由器、媒体播放器、机顶盒等。
可以在启用网络的设备部署在该领域之前或之后供应身份数据。例如,在制造时将身份数据纳入该设备。例如,当网络运营商想要替换他们的数字权限管理(DRM)系统或者他们想要支持需要在已经部署启用网络的设备之后为启用网络的设备供应新类型身份的其他安全应用时,发生大规模升级。因为经常手动执行,因此需要将设备返回到服务中心,所以这可能是一个困难且麻烦的过程。
发明内容
根据本发明的一个方面,提供一种用于管理与启用网络的设备相关联并且在向启用网络的设备供应身份数据的身份数据系统中使用的标识符的方法。所述方法包括:接收第一组数据,所述第一组数据包括用于被授权被供应新身份数据的启用网络的设备中的一个或多个的在先分配标识符。如果身份数据当前安装在一个或多个启用网络的设备上,则将所述第一组数据中的在先分配标识符中的每一个与链接到当前安装在一个或多个启用网络的设备上的身份数据的对应标识符相关联,以建立第二组数据。通过将与新身份数据链接的新标识符分配给一个或多个启用网络的设备中的每一个,将新身份数据绑定到一个或多个启用网络的设备中的每一个,以建立白名单。所述白名单对于一个或多个启用网络的设备中的每一个指定其在先分配标识符、其对应标识符和其与新身份数据链接的新标识符。
根据本发明的另一方面,提供一种用于利用新身份数据更新启用网络的设备的方法。所述启用网络的设备的每一个具有与其相关联的至少三种类型标识符。所述方法包括:通过通信网络接收对于用于多个启用网络的设备的新身份数据的请求。所述请求中的每一个包括与启用网络的设备相关联的第三类型标识符。获得与启用网络的设备相关联的第一类型标识符。所述第一类型标识符是包括在启用网络的设备当前被供应的身份数据中的标识符。通过将所述第一类型标识符分别分配到已经通过第二类型标识符识别的启用网络的设备,启用网络的设备在先已被供应所述第一类型标识符。接收分配有新第一类型标识符的新身份数据。新标识符中的每一个与对应的第三类型标识符匹配。根据启用网络的设备的相应的第三标识符,通过通信网络向相应的启用网络的设备传递分配有新标识符的新身份数据。
根据本发明的再一方面,提供一种在向启用网络的设备供应身份数据的身份数据系统中使用的服务器。所述服务器包括白名单解析器和相关器,白名单解析器和相关器被配置为接收第一组数据,所述第一组数据指定被授权被供应新身份数据的启用网络的设备中的一个或多个。通过第三类型标识符在第一组数据中识别所述一个或多个启用网络的设备。所述白名单解析器和相关器还被配置为访问一个或多个数据库,以检索第一类型标识符和第二类型标识符,第一类型标识符和第二类型标识符每一个还识别所述一个或多个启用网络的设备。所述第一类型标识符链接到启用网络的设备中当前供应的身份数据。所述白名单解析器和相关器进一步被配置为将第三类型标识符与对应的第一类型标识符和第二类型标识符关联,以建立白名单,所述白名单识别被授权将通过其相应的第一类型标识符以及链接到要在所述一个或多个启用网络的设备中供应的新身份数据的至少一个附加标识符供应的启用网络的设备。所述服务器还包括供应管理器,以指定白名单格式,将不同类型的身份数据分配给启用网络的设备,以及将不同类型的身份数据与部署启用网络的设备的网络运营商相关联。
附图说明
图1A和图1B示出可以实现在此描述的用于向启用网络的设备供应身份数据的处理的操作环境的一个示例。
图2示出可用于在线和离线绑定的通用白名单的一个示例。
图3A至图3D示出当在更新服务器处在线执行认证、授权和设备绑定时可以采用的白名单的示例。
图4A至图4D示出在新PKI身份生成处理期间执行授权和设备绑定时可以采用的白名单的示例。
图5A和图5B示出在图1所示的PKI/身份更新系统中可以采用的白名单生成器和管理器(WGM)的一个示例的逻辑组件。
图6是示出用于利用新身份数据更新启用网络的设备的方法的一个示例的流程图。
具体实施方式
在此描述一种身份数据管理系统,该系统提供灵活框架,该框架可以用于升级、修复或者补充在该领域已经部署的基数庞大的启用网络的设备中供应的身份数据。系统架构允许网络运营商在这些设备中安装和更新身份数据,而不必从最终用户召回这些设备。系统架构还允许运营商在最小服务中断的情况下更新在在先部署的启用网络的设备中供应的已过期或即将过期的数字证书。在一般情况下,例如,服务提供者可能获得比如他们已经交付给最终用户客户的50万台产品。由于种种原因,服务提供者可能期望更新这些台设备的所有或其子集(例如,100,000)中的身份数据。在一个特定实例中,身份数据是PKI数据。在其他情况下,身份数据可以采取多种其他形式,诸如序列号,基于加密的对称密钥等。仅为了说明性而非对本发明限制的目的,下面的描述将经常指的是用于升级、修复或补充PKI数据的PKI管理系统。
图1A和图1B示出可以实现在此描述的用于向启用网络的设备供应身份数据的处理的操作环境的一个示例。此示例示出在数据身份供应/更新处理中可能涉及的表示不同部分的多个不同域。在此示例中,示出三个域:工厂域310,表示启用网络的设备的制造站;由操作使用启用网络的设备的网络的网络协调器控制的部署网络域210;以及由PKI中心运营商操作的PKI/身份管理系统域120。尽管通常可由不同实体维护操作这些域,但是在一些情况下可由相同实体操作这些域。例如,工厂域310和PKI/身份管理系统域120有时可以在相同实体控制下。
应该理解,以高度简化的方式示出图1A和图1B中的每一个域,其中,单个实体(例如,服务器、数据库等)可以代表多个复杂布置和系统。例如,如下所解释的,工厂域包括工厂数据库330,工厂数据库330用于跟踪制造处理中使用的组件,购买和运输订单等。实际上,在该处理中可以涉及很多不同的系统和实体,在此,全部这些都由工厂数据库330代表。
单个制造者的制造域310可以包括多个制造站点,在一些情况下,分布在世界范围内的第三方合同制造者可以操作所述多个制造站点。每个工厂,图1A和图1B示出的仅一个工厂,可以生产单一类型或单一种类的启用网络的设备(例如,移动电话)或多种设备(例如,移动电话、路由器和机顶盒)。图1A和图1B示出一个说明性制造站点,工厂310,其包括前述本地工厂数据库330;工厂编程站350,允许工厂人员访问工厂数据库以及正生产的启用网络的设备3401、3402和3403("340");以及工厂服务器320,用于与PKI系统120进行通信和存储从其接收到的PKI身份数据。
网络210包括网络访问授权服务器230,其准许部署的启用网络的设备2401、2402和2403("240")访问网络以及发起升级操作的许可。关于部署设备240的身份数据和其他信息由账户身份和管理系统220来维护。
除了位于上述工厂站点310处的身份管理组件之外,PKI/身份管理系统包括两个主要子系统:PKI/身份生成系统120和PKI/身份更新系统130。出于安全原因,PKI/身份生成系统120通常是在线系统,包括订单履行处理器122,订单履行处理器122生成产品所要求的数字证书或其他身份数据。订单履行处理器122可以包括或可访问硬件安全模块(HSM),其中,可以存储由系统使用的CA的证书签字私钥和安全数据。PKI/身份生成系统120还包括存档数据库124,其是记录的数据库。这些记录可以涉及发放的数字证书、对新数字证书或安全数据的原始请求、审计数据、组织信息、产品供应、用户信息和其他必要的记录类型。
PKI/身份更新系统130包括PKI/身份更新服务器132,PKI/身份更新服务器132从离线PKI/身份生成系统120接收新身份数据并将新身份数据安全下载到适当的已部署启用网络的设备240。PKI/身份更新系统130还包括白名单生成和管理(WGM)服务器134,用于合并从各种域(即,PKI/身份生成域、设备制造商域和服务提供商/网络运营商域)内维护的不同白名单资源接收到的各种身份。具体地,WGM服务器134经由具有从不同制造站点检索到的所有数据的中央单元个性化数据库360从工厂接收一组设备标识符,并且从中央PKI个性化数据库160接收另一组设备标识符,其中中的一个通过PKI/身份生成系统120分配。下面将讨论来自网络运营商或更新服务器132的白名单数据的其他源。这些标识符和其他数据允许WGM服务器134将分配给相同的启用网络的设备的各种标识符关联。
在详细呈现图1A和图1B所示的各种域和实体之间的处理流之前,将呈现安全设备供应处理的高层概述。最初,应该注意到,不同域可以分配与启用网络的设备相关联的其自身的标识符,并且这些身份需要被跟踪且彼此关联,以便执行PKI/身份更新。具体地,PKI中心协调器向每个PKI/身份数据单元分配标识符,在此被称为ID-A,最终将在工厂供应在启用网络的设备中。如果身份数据单元包括公钥-私钥对和数字证书,则其ID-A将被包括在证书中。同样,制造者向其制造的每个设备340分配标识符,表示为ID-B。此标识符通常将是基于硬件的标识符形式,诸如MAC地址、国际移动设备身份号(IMEI)或单元ID(UID)。另外,制造者还可以分配另一标识符,表示为ID-C,其可以是标签形式,诸如序列号等。与其他标识符不同,标签通常将是设备本身可见的。部分由于此原因,网络运营商将通常使用其自身域中的标识符ID-C。在一些情况下,标识符ID-B和ID-C可以相同。
当首先向启用网络的设备供应身份数据时,PKI/身份生成系统120生成每个设备的初始身份数据,并且将其传递到工厂服务器320。提供给工厂服务器320的每个身份数据单元包括其标识符ID-A。当制造者准备好首先向新制造的设备加载身份数据时,工厂站350将通过向工厂服务器320提供设备的标识符ID-B来请求身份数据单元。作为响应,工厂服务器320将向工厂站350提供由其标识符ID-A识别的身份数据记录。这些标识符都将存储在工厂服务器320中并且被复制到中央身份数据库160,中央身份数据库160将这两个标识符彼此关联,以指示他们涉及相同的启用网络的设备340。
当已部署设备240作出请求向其供应新身份数据单元的请求时,网络运营商根据其自身内部程序同意该请求。在一些情况下,授权服务器230可以准许满足该请求的许可,授权服务器230可以向与PKI/身份更新系统130相关联的WGM服务器134提供要更新的设备的白名单。替代使用授权服务器230传递白名单,网络运营商可以通过在线接口等向WGM服务器134手动传递白名单。
替代源于网络运营商,在一些情况下,授权可以源于工厂,特别是,当将要升级部署到特定网络运营商的所有设备时。例如,此授权可以基于运输到网络运营商的所有设备的列表。提供的白名单包括由网络运营商使用的要更新的每个设备的标识符,ID-C。WGM服务器134从各种源获得标识符ID-A、ID-B和ID-C,并且将他们形成单个白名单,用于随后分发给更新服务器132和/或PKI/身份生成系统120。如果要生成的新身份数据基于/链接到标识符ID-A和/或ID-C,则在工厂,应该受到设备中在先供应的密钥/证书的保护。在此情况下,白名单从WGM服务器134传递到PKI/身份生成系统120,可以从该白名单检索在先ID/密钥/证书,以保护生成的新身份数据。另一方面,如果要生成的新身份数据基于与在先生成/供应的密钥/证书没有关联的新ID(ID-D),则PKI/身份生成系统120在接收到更新请求之前生成新身份数据,并且因此不需要来自WGM服务器134的此信息。在此情况下,白名单直接发送到更新服务器132,使得其可以用于检查设备更新授权。
接下来,每个要更新的设备240向更新服务器132发送请求。利用在工厂在先安装的PKI密钥(或者其他类型的密钥,诸如对称密钥和/或标识符)对请求进行签名。基于PKI数据的机制提供了请求消息的强认证,而基于简单身份和/或对称密钥的机制提供了对认证的容易验证。更新服务器132通过验证签名和证书来首先认证设备请求消息。将拒绝任何无效请求。
使用请求更新的每个设备240的适当标识符ID-C,PKI/身份更新服务器132可以基于其接收到的白名单来执行授权检查,以确保仅利用新PKI/身份数据更新授权的设备。更新服务器132还从PKI/身份生成系统120获得更新的PKI身份数据记录。通过新标识符ID-D指定新PKI身份数据记录,其可以基于或不基于任何在先标识符(ID-A、ID-B和ID-C)。新的和在先PKI/身份数据的关联确定如何进行授权操作。
在一种情况下,新PKI/身份数据(ID和密钥)与在先ID/密钥/证书无关。在此情况下,PKI/身份生成系统生成具有内部分配的新标识符的充足的新PKI数据池,并且将其上传到更新服务器132以使用。更新服务器132简单检查请求消息中的设备ID(ID-C)是否包括在白名单中。将利用存储在更新服务器132中的下一可用新PKI/身份数据记录或未使用的PKI/身份数据记录来实现每个请求消息。通常,一个记录将用于一个设备,尽管在一些情况下可以在多个设备之间共享相同记录。在此处理中,更新服务器132将设备ID-C与具有标识符ID-D的新PKI/身份数据记录配对。此在线授权和设备绑定处理用于确保授权升级的所有设备将接收新PKI/身份数据。
另一方面,如果新PKI/身份数据(ID和密钥)与在先ID/密钥/证书相关,则可以采用离线生成和设备绑定处理。在此情况下,PKI/身份生成器系统120仅对其ID(ID-C)包括在白名单中的那些设备生成新ID/密钥/证书。然后,将新身份数据传递到更新服务器132。更新服务器132仅具有其ID(ID-C)在白名单上的设备的新PKI/身份数据;将不实现来自其ID(ID-C)没有出现在白名单上的设备的任何请求。最后,更新服务器132通过公共网络或专用网络150(例如,互联网)向他们相应的设备240传递新身份数据记录。
WGM 134采用基于白名单的方法以合并接收到的各种ID,并且处理在解决上述问题的过程中的任何冲突。具体地,WGM 134管理不同实体使用的各种标识符,并且将来自工厂、PKI管理系统和网络运营商的访问授权服务器以及更新服务器132的不同白名单源关联。这通过交叉索引标识符以创建主数据库用于随后生成特定白名单来实现,对特定白名单进行剪裁用于特定网络/客户或应用。WGM 134还管理各种ID之间的关联以及他们与相应的PKI/身份数据记录的关系,PKI/身份数据记录用于不同目的,包括在线更新请求认证、授权、新身份保护等。如果由于从三个身份数据源中的任一个接收到的信息导致冲突或者由于更新服务器132事务日志中存储的信息导致冲突,则WGM134检测并解决冲突。
为了简明的目的,下面的讨论将参照PKI数据,而不是更一般地参照身份数据。然而,在所有情况下,可以使用前述任何其他类型的身份数据来代替PKI数据。
如上所述,由WGM 134生成的白名单提供对更新请求的在线认证、特定设备的PKI使用的在线授权(将PKI数据与设备在线绑定)和特定设备的PKI生成的离线授权(将PKI数据与设备离线绑定)的控制。
在执行授权检查之前,将认证由更新服务器132接收到的PKI更新请求消息。更新服务器132将拒绝使用在工厂在先加载的设备密钥/证书的未能通过认证检查的任何请求。白名单需要包括链接到在工厂安装的在先密钥/证书的标识符(例如,ID-A)。设备使用设备密钥对PKI更新请求消息进行签名,并且更新服务器132使用设备公钥/证书来验证请求消息。另外,在先密钥/证书可以用于对新PKI身份数据进行加密以保护新PKI身份数据的在线传递。
可以以不同方式来实现PKI数据和设备标识符之间的绑定,每种方式可能请求要在白名单中包括的不同信息。在一种方法中,当接收到请求时,在更新服务器132上执行特定设备与新PKI数据之间的绑定。在接收到请求之前,生成新PKI数据且将其传递到更新服务器132。当更新服务器132通过网络150从设备240接收到对新PKI数据的请求时,更新服务器132选择下一可用的新PKI数据记录并将其绑定到请求设备240。因此,当在线执行绑定时,可以在不知道新PKI数据将被绑定到的特定设备的情况下生成新PKI数据。
在第二种方法中,在接收到更新请求之前,基于白名单在新PKI数据生成处理期间执行新PKI数据与设备标识符之间的绑定。PKI生成系统为了安全原因通常处于离线。在预先知道PKI数据将被绑定到的特定设备的情况下生成PKI数据。
图2示出可用于在线和离线绑定的通用白名单400的一个示例。白名单包括将被数据填充的多个字段,包括CustID、新PKI类型ID、在先PKI类型ID、在先ID和设备ID。CustID指定部署启用网络的设备的列表的网络运营商的标识符,其中,从这些启用网络的设备接收到对新PKI数据的请求。新PKI类型ID(1,...,n)指定对其请求PKI数据的一种或多种服务的一个或多个标识符。如果要对n个服务供应设备,则白名单可以包括n个新PKI类型ID。在先PKI类型ID指定与设备的在先PKI数据相关联的服务类型。对于不具有任何在先基于PKI的身份的设备,在先PKI类型ID的值可以被列为“未指定”。在先ID指定在工厂通过PKI管理系统分配给部署设备的原始标识符。就以上采用的符号而言,该标识符被表示为ID-A,并且与在先PKI类型和数据相关联。设备ID指定网络运营商用于识别部署设备的设备标识符。如下所解释的,根据在线执行绑定还是离线执行绑定以及其他特定使用情况,设备ID可以是任何在先使用的ID(ID-A、ID-B、ID-C或未指定)。如果使用“未指定”值,则新PKI身份数据不链接到任何在先使用的ID(ID-A、ID-B、ID-C)。新标识符(ID-D)可用于新PKI身份生成。
图3示出当在更新服务器132处在线执行认证、授权和设备绑定时可以采用的白名单的示例。图3a-3b示出当没有为请求设备在先供应PKI数据时使用的白名单,图3c-3d示出当为请求设备在先供应了PKI数据时使用的白名单。
图3a示出当在更新服务器132处在线执行绑定时,没有在先PKI数据的三个设备1、2和3。如所示,由于在工厂没有加载在先PKI身份数据,因此在先ID是未指定。设备ID是网络运营商的标识符ID-C。图3b示出设备绑定到新PKI数据之后的白名单。在此示例中,对于新PKI类型ID1,ID2,...IDN,设备1、2和3的每一个将被供应PKI数据记录。如所示,由于在不知道新PKI数据将被绑定到的设备的情况下生成新PKI数据,因此每个设备的新PKI数据链接到表示为新ID ID-D的新标识符,它由PKI生成系统120内部分配。应该注意到,新ID标识符ID-D可以链接到单PKI类型或多PKI类型的PKI数据。也就是说,在图3b中,标识符ID-D1、ID-D2和ID-D3(与新PKI类型ID 1相关联)可以与标识符ID-DX、ID-DY和ID-DZ(与新PKI类型IDn相关联)分别相同或不同。
图3c示出当在更新服务器132处在线执行绑定时,在先供应了PKI身份数据的三个设备1、2和3。如所示,设备ID是标识符ID-C,并且在先ID现在是标识符ID-A,其链接到在工厂加载的在先PKI身份数据。图3d示出在设备绑定到新PKI身份数据之后的白名单。如图3b所示,对于新PKI类型ID1,ID2,...IDN,图3d中的设备1、2和3的每一个将被供应PKI数据记录。另外,也如图3b所示,由于在不知道新PKI数据将绑定到的设备的情况下生成新PKI数据,因此每个设备的新PKI数据链接到表示为新ID ID-D的新标识符,它由PKI/身份生成系统120内部分配。与图3b类似,新ID标识符ID-D可以链接到单PKI类型或多PKI类型的PKI数据。也就是说,在图3d中,标识符ID-D1、ID-D2和ID-D3(与新PKI类型ID1相关联)可以与标识符ID-DX、ID-DY和ID-DZ(与新PKI类型IDn相关联)分别相同或不同。
图4示出在新PKI身份生成处理期间执行授权和设备绑定时可以采用的白名单的示例。图4a-4b示出当没有为请求设备在先供应PKI数据时使用的白名单,并且图4c-4d示出当为请求设备在先供应了PKI数据时使用的白名单。
图4a示出当在PKI/身份生成系统120处执行新PKI数据和设备ID绑定时,不具有任何在先PKI数据的三个设备1、2和3的白名单。如所示,由于在工厂没有加载PKI身份数据,所以在先ID是未指定。由新PKI身份数据使用的设备ID可以是在先分配的标识符ID-B或ID-C(例如,设备ID-1可以是ID-B1或ID-C1,设备ID-2可以是ID-B2或ID-C2,并且设备ID-3可以是ID-B3或ID-C3)中的任一个。图4b示出设备绑定到新PKI数据之后的白名单。在此示例中,对于新PKI类型ID1,ID2,...IDN,设备1、2和3的每一个将被供应PKI数据记录。如所示,由于已经对特定设备生成新PKI数据,因此每个设备的新PKI数据链接到在先分配的标识符ID-B或ID-C。如前所述,设备ID(ID-B或ID-C)可以链接到单PKI类型或多PKI类型的PKI数据。也就是说,在图4b中,标识符ID-D1、ID-D2和ID-D3(与新PKI类型ID 1相关联)可以与标识符ID-DX、ID-DY和ID-DZ(与新PKI类型IDn相关联)分别相同或不同。
图4c示出当在PKI/身份生成系统120处执行绑定时,在先供应了PKI身份数据的三个设备1、2和3的白名单。在先ID可以是链接到在先PKI身份数据的标识符ID-A。图4d示出在设备绑定到新PKI身份数据之后的白名单。如所示,表示为新ID1、新ID2和新ID3的设备ID可以是已经分配给设备的任何标识符,ID-A、ID-B、ID-C或新分配的标识符ID-D。如图4b所示,对于新PKI类型ID1,ID2,...IDN,图4c中的设备1、2和3的每一个将被供应PKI数据记录。另外,也如图4b所示,由于已经对特定设备生成新PKI数据,因此每个设备的新PKI数据链接到标识符ID-A、ID-B、ID-C或新分配的表示为新ID ID-D的标识符,由PKI生成系统120内部分配新ID ID-D。与图4b类似,新ID标识符可以链接到单PKI类型或多PKI类型的PKI数据。也就是说,在图4d中,新标识符ID-D1、ID-D2和ID-D3(与新PKI类型ID 1相关联)可以与标识符ID-DX、ID-DY和ID-DZ(与新PKI类型IDn相关联)分别相同或不同。
图5A和图5B示出WGM 134的一个示例的逻辑组件。在此示例中,WGM 134包括白名单解析器和相关器410、白名单配置管理器420、白名单处理器430、白名单分发器模块440、通知服务模块450和白名单报告器模块460。
白名单解析器和相关器410从各个源接收和解析单独的数据或文件集。其还提取和关联标识符以生成白名单,诸如图3和图4所示。白名单解析器和相关器410还可以允许授权用户编辑未决白名单。例如,来自可能白名单源的标识符可以包括下面的任何内容:
a.标识符来自PKI生成系统120和工厂服务器320。在此情况下,在特定PKI类型的制造处理期间,标识符ID-A(例如,在初始PKI生成中使用的标识符)与设备标识符ID-B配对(例如,设备序列号)。向WGM 134提供(例如,上传)ID配对信息以及PKI数据类型信息(在先PKI类型ID、ID-A、ID-B)。
b.标识符来自制造域:在此情况下,通过工厂编程站,标识符ID-B(例如,设备序列号)与标识符ID-C(例如,MAC地址)配对。向WGM 134提供(例如,上传)配对信息(ID-B,ID-C)。
c.标识符来自例如与网络运营商相关的网络访问授权服务器:在此情况下,标识符ID-C的子集包含部署到特定网络的那些设备的设备标识符。例如,子集A列出部署到网络运营商A的设备的所有标识符ID-C,并且子集B包含部署到网络运营商B的设备的所有标识符ID-C。客户ID(CustID)用于识别每个网络运营商。向白名单生成和管理系统提供(例如,上传)CustID以及配对信息(CustID,ID-C)。网络运营商也可以选择其总体的子集(ID-C的子集),用于控制其网络中所有设备的升级。
d.标识符来自更新服务器132:在此情况下,在对安装了在先PKI数据的设备进行更新操作期间,更新服务器132从通过有效设备密钥/证书认证的但是其ID不在原始白名单中的设备接收PKI更新请求。
白名单配置管理器420管理各个标识符之间的关联以及他们与PKI数据之间的相应关系。说明性的任务包括:
a.向在先已经供应有特定PKI类型的设备分配新PKI类型。
b.将新PKI类型与特定网络运营商的白名单相关联。
c.管理来自不同系统的各种标识符,例如,包括:
i.指定哪个ID用于PKI更新请求的授权和认证。通常,链接到在先安装的PKI数据(例如,密钥/证书)的相同标识符也用于保护新PKI数据中的密钥。
ii.当生成新PKI数据时,指定使用哪个标识符。
iii.指定来自不同ID数据源的各种标识符之间的关系。
d.指定白名单的配置,包括白名单的格式、内容、输入源和从那些输入源接收到的信息的格式等。在图3和图4中描述了说明性格式。
e.指定白名单的目的地:离线密钥生成系统或在线更新服务器。
f.管理白名单用户和他们相应的角色。
g.确定白名单处理器430如何解决冲突,如下所述。
白名单处理器430执行各种任务,包括:处理白名单更新,检测和解决由从如上所述的不同白名单源接收到的信息导致的任何冲突,将白名单从一个状态改变到另一个状态(例如,未决、提交用于PKI数据生成、被处理,和/或重新开放(用于冲突解决)和关闭)。
白名单分发器模块440基于白名单配置来生成白名单输出文件。还基于白名单的目的地将通知传递到通知服务模块450(如下所述)或者将白名单推到特定更新服务器。白名单报告器模块460允许用户观看正在处理的白名单的状态和观看任何白名单改变的历史。
通知服务模块450向系统管理员发送请求将白名单下载或输入到离线PKI生成系统120使得可以生成新PKI数据的电子邮件通知。通知服务模块450还向授权用户发送通知用户在从不同白名单源接收到的数据中检测到的任何冲突,并且通知用户白名单状态的改变的电子邮件通知。
图6是示出用于利用新身份数据更新启用网络的设备的方法的一个示例的流程图。在此示例中,至少两个类型的标识符与启用网络的设备的每一个相关联。在步骤510,更新服务器通过通信网络接收对于多个启用网络的设备的新身份数据的请求。每个请求包括与启用网络的设备相关联的第二类型标识符。在步骤520,更新服务器获得与启用网络的设备的每一个相关联的第一类型标识符。第一类型标识符是包括在当前向该启用网络的设备供应的身份数据中的标识符。第一类型标识符已经分配到已经通过第二类型标识符识别的相应的启用网络的设备。在步骤530,接收分配有新第一类型标识符的新身份数据。在步骤540,将新标识符的每一个与对应的第二类型标识符匹配。在步骤550,根据他们相应的第二标识符通过通信网络向相应的启用网络的设备传递新标识符。
如在本申请中使用的,术语“组件”、“模块”、“系统”、“装置”、“接口”等等通常意在表示计算机相关实体,硬件、硬件与软件的组合、软件、或者执行中的软件。例如,组件可以是但是不限于在处理器上运行的处理、处理器、对象、可执行、执行的线程、程序和/或计算机。通过说明的方式,在控制器上运行的应用和控制器都可以是组件。一个或多个组件可以驻留在过程和/或执行的线程中,并且组件可以位于一个计算机上和/或分布在两个或多个计算机之间。
此外,可以使用标准编程和/或工程技术来产生软件、固件、硬件或者其任何组合以控制实施所公开的主题的计算机来将所要求保护的主题实现为方法、装置或者制品。这里使用的术语“制品”意在包括从任何计算机可读装置、载体或介质都可以访问的计算机程序。例如,计算机可读存储介质可包括但不限于磁性存储设备(例如,硬盘、软盘、磁带…)、光盘(例如,压缩盘(CD)、数字通用盘(DVD)…)、智能卡以及闪速存储器设备(例如,卡、棒、键驱动)。当然,本领域技术人员将认识到,在不脱离所要求保护的主题的范围或精神的情况下,可以对该配置作出很多修改。
Claims (27)
1.一种用于管理与启用网络的设备相关联并且在向所述启用网络的设备供应身份数据的身份数据系统中使用的标识符的方法,包括:
接收第一组数据,所述第一组数据包括被授权被供应新身份数据的所述启用网络的设备中的一个或多个的在先分配标识符;
如果身份数据当前安装在所述一个或多个启用网络的设备上,则将所述第一组数据中的所述在先分配标识符中的每一个与链接到当前安装在所述一个或多个启用网络的设备上的所述身份数据的对应标识符相关联,以建立第二组数据;以及
通过将与所述新身份数据链接的新标识符分配给所述一个或多个启用网络的设备中的每一个,将新身份数据绑定到所述一个或多个启用网络的设备中的每一个,以建立白名单,所述白名单对于所述一个或多个启用网络的设备中的每一个指定其在先分配标识符、其对应标识符及其与所述新身份数据链接的新标识符。
2.如权利要求1所述的方法,其中,如果当前在所述一个或多个启用网络的设备上没有安装身份数据,则对应标识符未指定。
3.如权利要求1所述的方法,其中,在线执行所述绑定,使得在所述一个或多个启用网络的设备请求所述新身份数据之前,生成所述新身份数据。
4.如权利要求1所述的方法,其中,离线执行所述绑定,使得为所述启用网络的设备中的特定启用网络的设备生成所述新身份数据。
5.如权利要求4所述的方法,其中,所述新标识符基于在先分配标识符。
6.如权利要求1所述的方法,其中,从部署所述启用网络的设备的网络运营商接收所述在先分配标识符。
7.如权利要求1所述的方法,其中,将所述第一组数据中的所述在先分配标识符中的每一个与链接到当前安装在所述一个或多个启用网络的设备上的所述身份数据的对应标识符相关联还包括:将用于被授权成为新的所述启用网络的设备中的每一个的附加在先分配标识符与所述在先分配标识符和所述对应标识符中的相应标识符关联。
8.如权利要求7所述的方法,其中,通过身份管理系统来分配所述在先分配标识符,并且通过与所述启用网络的设备的制造商相关联的设施来分配所述附加在先分配标识符。
9.一种用于利用新身份数据更新启用网络的设备的方法,所述启用网络的设备中的每一个具有与其相关联的至少三种类型标识符,所述方法包括:
通过通信网络接收对于用于多个启用网络的设备的新身份数据的请求,所述请求中的每一个包括与所述启用网络的设备相关联的第三类型标识符;
获得与所述启用网络的设备相关联的第一类型标识符,所述第一类型标识符是包括在当前供应给所述启用网络的设备的身份数据中的标识符,其中,通过将所述第一类型标识符分别分配到已经通过第二类型标识符识别的启用网络的设备,所述启用网络的设备已经被在先供应了所述第一类型标识符;
接收分配有新第一类型标识符的新身份数据,其中,所述新标识符中的每一个与对应的第三类型标识符匹配;以及
根据所述启用网络的设备相应的第三标识符,通过所述通信网络向所述启用网络的设备中的相应启用网络的设备传递分配有所述新标识符的所述新身份数据。
10.如权利要求9所述的方法,其中,所述请求中的每一个分别是从要被供应所述新身份数据的所述启用网络的设备中的一个接收的。
11.如权利要求10所述的方法,其中,所述请求被分别利用在先安装在每个相应启用网络的设备中的密码密钥进行签名,并且还包括在传递所述新标识符之前验证与其相关的所述签名和数字证书。
12.如权利要求9所述的方法,其中,从服务器接收所述第二标识符,所述服务器维护由部署所述启用网络的设备的网络运营商授权升级的启用网络的设备的列表。
13.如权利要求12所述的方法,其中,所述列表通过所述启用网络的设备相应的第三类型标识符来识别所述启用网络的设备。
14.如权利要求13所述的方法,其中,所述列表还通过所述启用网络的设备相应的第二类型标识符来识别所述启用网络的设备。
15.如权利要求9所述的方法,其中,以离线方式来生成新分配的身份数据。
16.如权利要求9所述的方法,其中,通过身份数据管理系统来分配所述第一类型标识符。
17.如权利要求9所述的方法,其中,通过所述启用网络的设备的制造商来分配所述第二类型标识符和所述第三类型标识符。
18.如权利要求9所述的方法,其中,通过在先安装在每个相应启用网络的设备中的密钥对新分配给每个启用网络的设备的身份数据进行加密。
19.如权利要求9所述的方法,其中,所述身份数据包括公钥基础设施(PKI)数据。
20.如权利要求19所述的方法,其中,所述PKI数据包括数字证书和私钥。
21.利用指令编码的至少一种计算机可读介质,当处理器执行所述指令时,执行用于利用新身份数据更新启用网络的设备的方法,所述启用网络的设备中的每一个具有与其相关联的至少两种类型标识符,所述方法包括:
通过通信网络接收对于用于多个启用网络的设备的新身份数据的请求,所述请求中的每一个包括与所述启用网络的设备相关联的第二类型标识符;
获得与所述启用网络的设备相关联的第一类型标识符,所述第一类型标识符是包括在当前供应给所述启用网络的设备的身份数据中的标识符,其中,通过将所述第一类型标识符分别分配到已经通过所述第二类型标识符识别的启用网络的设备,所述启用网络的设备已经被在先供应了所述第一类型标识符;
接收分配有新第一类型标识符的新身份数据,其中,新标识符中的每一个与对应的第二类型标识符匹配;以及
根据所述启用网络的设备相应的第二标识符,通过所述通信网络向所述启用网络的设备中的相应启用网络的设备传递分配有所述新标识符的所述新身份数据。
22.如权利要求21所述的计算机可读介质,其中,所述请求被分别利用在先安装在每个相应启用网络的设备中的密码密钥进行签名,还包括在传递所述新标识符之前,验证与其相关联的所述签名和数字证书。
23.如权利要求22所述的计算机可读介质,其中,从服务器接收所述第二标识符,所述服务器维护由部署所述启用网络的设备的网络运营商授权升级的启用网络的设备的列表。
24.如权利要求21所述的计算机可读介质,其中,通过在先安装在每个相应启用网络的设备中的密钥来对传递到每个启用网络的设备的所述新身份数据进行加密。
25.一种用于在向启用网络的设备供应身份数据的身份数据系统中使用的服务器,包括:
白名单解析器和相关器,所述白名单解析器和相关器被配置为:(i)接收指定被授权被供应新身份数据的所述启用网络的设备中的一个或多个的第一组数据,其中,通过第三类型标识符在所述第一组数据中识别所述一个或多个启用网络的设备,(ii)访问一个或多个数据库,以检索第一类型标识符和第二类型标识符,所述第一类型标识符和所述第二类型标识符每一个也识别所述一个或多个启用网络的设备,所述第一类型标识符链接到在所述启用网络的设备中当前供应的身份数据,和(iii)将所述第三类型标识符与对应的第一类型标识符和第二类型标识符关联,以建立白名单,所述白名单识别被授权要通过所述启用网络的设备相应的第一类型标识符以及链接到要在所述一个或多个启用网络的设备中供应的新身份数据的至少一个附加标识符被供应的启用网络的设备;以及
配置管理器,所述配置管理器指定白名单格式,将不同类型的身份数据分配给所述启用网络的设备,以及将所述不同类型的身份数据与部署所述启用网络的设备的网络运营商相关联。
26.如权利要求25所述的服务器,还包括:通知服务模块,所述通知服务模块被配置为向用户通知从不同源接收到的数据组之间发生的冲突以及主白名单准备好被下载。
27.如权利要求25所述的服务器,还包括:白名单分发器,所述白名单分发器被配置为向更新服务器提供白名单,所述更新服务器向所述启用网络的设备传递所述新身份数据。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US32457110P | 2010-04-15 | 2010-04-15 | |
| US61/324,571 | 2010-04-15 | ||
| US13/087,843 | 2011-04-15 | ||
| PCT/US2011/032787 WO2011130711A2 (en) | 2010-04-15 | 2011-04-15 | Cross-domain identity management for a whitelist-based online secure device privisioning framework |
| US13/087,843 US9130916B2 (en) | 2010-04-15 | 2011-04-15 | Cross-domain identity management for a whitelist-based online secure device provisioning framework |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103262494A true CN103262494A (zh) | 2013-08-21 |
| CN103262494B CN103262494B (zh) | 2016-07-06 |
Family
ID=44584595
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180019128.7A Active CN103262494B (zh) | 2010-04-15 | 2011-04-15 | 对基于白名单的在线安全设备供应框架的跨域身份管理的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9130916B2 (zh) |
| CN (1) | CN103262494B (zh) |
| CA (1) | CA2795431A1 (zh) |
| WO (1) | WO2011130711A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105306429A (zh) * | 2014-06-23 | 2016-02-03 | 联想(新加坡)私人有限公司 | 状态通知 |
| CN106130995A (zh) * | 2016-06-30 | 2016-11-16 | 三星电子(中国)研发中心 | 建立通信连接的方法、装置及系统 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8113991B2 (en) * | 2008-06-02 | 2012-02-14 | Omek Interactive, Ltd. | Method and system for interactive fitness training program |
| US8630624B2 (en) | 2009-02-25 | 2014-01-14 | Apple Inc. | Managing notification messages |
| US20100313262A1 (en) * | 2009-06-03 | 2010-12-09 | Aruba Networks, Inc. | Provisioning remote access points |
| WO2011130711A2 (en) * | 2010-04-15 | 2011-10-20 | General Instrument Corporation | Cross-domain identity management for a whitelist-based online secure device privisioning framework |
| US8825598B2 (en) * | 2010-06-16 | 2014-09-02 | Apple Inc. | Media file synchronization |
| US9264237B2 (en) | 2011-06-15 | 2016-02-16 | Microsoft Technology Licensing, Llc | Verifying requests for access to a service provider using an authentication component |
| US9864866B2 (en) | 2012-09-17 | 2018-01-09 | Arris Enterprises Llc | Dynamically configurable online data update system |
| WO2014120436A2 (en) | 2013-01-14 | 2014-08-07 | General Instrument Corporation | Framework for provisioning devices with externally acquired component-based identity data |
| US20140281497A1 (en) * | 2013-03-13 | 2014-09-18 | General Instrument Corporation | Online personalization update system for externally acquired keys |
| US9918226B2 (en) * | 2013-12-30 | 2018-03-13 | Apple Inc. | Spoofing protection for secure-element identifiers |
| US9973380B1 (en) | 2014-07-10 | 2018-05-15 | Cisco Technology, Inc. | Datacenter workload deployment using cross-domain global service profiles and identifiers |
| CN105205389A (zh) * | 2015-09-10 | 2015-12-30 | 浪潮电子信息产业股份有限公司 | 一种白名单的创建方法及装置 |
| WO2017073089A1 (ja) * | 2015-10-27 | 2017-05-04 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
| CN106648440B (zh) * | 2015-10-28 | 2020-07-24 | 华为技术有限公司 | 操作存储设备的控制方法和存储设备 |
| EP3337119B1 (en) * | 2016-12-13 | 2019-09-11 | Nxp B.V. | Updating and distributing secret keys in a distributed network |
| US10084825B1 (en) * | 2017-05-08 | 2018-09-25 | Fortinet, Inc. | Reducing redundant operations performed by members of a cooperative security fabric |
| US11487868B2 (en) * | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6192130B1 (en) * | 1998-06-19 | 2001-02-20 | Entrust Technologies Limited | Information security subscriber trust authority transfer system with private key history transfer |
| US20020164035A1 (en) * | 2001-04-12 | 2002-11-07 | Kaoru Yokota | Reception terminal, key management apparatus, and key updating method for public key cryptosystem |
| US20050154913A1 (en) * | 2002-02-28 | 2005-07-14 | Ericsson Telefon Ab L M | Method and apparatus for handling user identities under single sign-on services |
| US20080130898A1 (en) * | 2006-10-16 | 2008-06-05 | Nokia Corporation | Identifiers in a communication system |
| CN101427542A (zh) * | 2006-04-21 | 2009-05-06 | 摩托罗拉公司 | 用于蜂窝通信系统的订户服务器系统 |
| US20090316909A1 (en) * | 2007-06-04 | 2009-12-24 | Yuichi Futa | Utilization apparatus, servicer apparatus, service utilization system, service utilization method, service utilization program, and integrated circuit |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1688843A1 (en) * | 2003-11-25 | 2006-08-09 | Matsushita Electric Industrial Co., Ltd. | Authentication system |
| KR100884314B1 (ko) * | 2004-05-03 | 2009-02-18 | 노키아 코포레이션 | Ip 네트워크의 신뢰 도메인에서 아이덴티티들의 처리 |
| WO2011130711A2 (en) * | 2010-04-15 | 2011-10-20 | General Instrument Corporation | Cross-domain identity management for a whitelist-based online secure device privisioning framework |
-
2011
- 2011-04-15 WO PCT/US2011/032787 patent/WO2011130711A2/en active Application Filing
- 2011-04-15 CN CN201180019128.7A patent/CN103262494B/zh active Active
- 2011-04-15 US US13/087,843 patent/US9130916B2/en active Active
- 2011-04-15 CA CA2795431A patent/CA2795431A1/en not_active Abandoned
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6192130B1 (en) * | 1998-06-19 | 2001-02-20 | Entrust Technologies Limited | Information security subscriber trust authority transfer system with private key history transfer |
| US20020164035A1 (en) * | 2001-04-12 | 2002-11-07 | Kaoru Yokota | Reception terminal, key management apparatus, and key updating method for public key cryptosystem |
| US20050154913A1 (en) * | 2002-02-28 | 2005-07-14 | Ericsson Telefon Ab L M | Method and apparatus for handling user identities under single sign-on services |
| CN101427542A (zh) * | 2006-04-21 | 2009-05-06 | 摩托罗拉公司 | 用于蜂窝通信系统的订户服务器系统 |
| US20080130898A1 (en) * | 2006-10-16 | 2008-06-05 | Nokia Corporation | Identifiers in a communication system |
| US20090316909A1 (en) * | 2007-06-04 | 2009-12-24 | Yuichi Futa | Utilization apparatus, servicer apparatus, service utilization system, service utilization method, service utilization program, and integrated circuit |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105306429A (zh) * | 2014-06-23 | 2016-02-03 | 联想(新加坡)私人有限公司 | 状态通知 |
| CN105306429B (zh) * | 2014-06-23 | 2019-06-25 | 联想(新加坡)私人有限公司 | 一种状态通知方法及设备 |
| US10645043B2 (en) | 2014-06-23 | 2020-05-05 | Lenovo (Singapore) Pte. Ltd. | Stateful notification |
| CN106130995A (zh) * | 2016-06-30 | 2016-11-16 | 三星电子(中国)研发中心 | 建立通信连接的方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2795431A1 (en) | 2011-10-20 |
| WO2011130711A2 (en) | 2011-10-20 |
| US9130916B2 (en) | 2015-09-08 |
| CN103262494B (zh) | 2016-07-06 |
| WO2011130711A3 (en) | 2014-05-01 |
| US20110258454A1 (en) | 2011-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103262494A (zh) | 对基于白名单的在线安全设备供应框架的跨域身份管理 | |
| US9130928B2 (en) | Online secure device provisioning framework | |
| US11076290B2 (en) | Assigning an agent device from a first device registry to a second device registry | |
| CN103098070B (zh) | 用于监视网络服务中数据位置的方法、装置和系统 | |
| US20110258434A1 (en) | Online secure device provisioning with updated offline identity data generation and offline device binding | |
| US9160723B2 (en) | Framework for provisioning devices with externally acquired component-based identity data | |
| US20190349346A1 (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
| US20140281497A1 (en) | Online personalization update system for externally acquired keys | |
| CN103716155A (zh) | 一种自动化维修pos终端的方法及操作终端 | |
| CN111406260B (zh) | 具有安全对象复制的对象存储系统 | |
| US9043456B2 (en) | Identity data management system for high volume production of product-specific identity data | |
| US10515193B2 (en) | Secure large volume feature license provisioning system | |
| CN101340278A (zh) | 许可证管理系统和方法 | |
| JP2009277081A (ja) | ネットワーク上に配置された構成要素についての情報を検出するためのパスワードを管理するコンピュータ・システム、並びにその方法及びコンピュータ・プログラム | |
| CN106156345B (zh) | 项目文件存证方法、存证设备及终端设备 | |
| CN111814131B (zh) | 一种设备注册和配置管理的方法和装置 | |
| KR20130118951A (ko) | 고유의 코드 서명 키들의 보안 관리 및 개인화 | |
| CN108846671B (zh) | 基于区块链的在线安全交易方法和系统 | |
| CN113987475A (zh) | 分布式资源管理系统及方法、凭证信息的管理系统、介质 | |
| US20230102111A1 (en) | Securing customer sensitive information on private cloud platforms | |
| CN117714148A (zh) | 一种金融数据访问平台、方法、设备及存储介质 | |
| CN110602074A (zh) | 一种基于主从关联的业务身份使用方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: GENERAL INSTRUMENT HOLDING CO., LTD. Free format text: FORMER OWNER: GENERAL INSTRUMENT CO. Effective date: 20130916 Owner name: MOTOROLA MOBILITY LLC Free format text: FORMER OWNER: GENERAL INSTRUMENT HOLDING CO., LTD. Effective date: 20130916 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20130916 Address after: Illinois State Applicant after: MOTOROLA MOBILITY LLC Address before: California, USA Applicant before: General instrument Holdings Ltd. Effective date of registration: 20130916 Address after: California, USA Applicant after: General instrument Holdings Ltd. Address before: American Pennsylvania Applicant before: GENERAL INSTRUMENT Corp. |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160531 Address after: California, USA Applicant after: Google Technology Holdings LLC Address before: Illinois State Applicant before: MOTOROLA MOBILITY LLC |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |