CN104982019A - 用于大量生产的产品专用身份数据的身份数据管理系统 - Google Patents
用于大量生产的产品专用身份数据的身份数据管理系统 Download PDFInfo
- Publication number
- CN104982019A CN104982019A CN201380011458.0A CN201380011458A CN104982019A CN 104982019 A CN104982019 A CN 104982019A CN 201380011458 A CN201380011458 A CN 201380011458A CN 104982019 A CN104982019 A CN 104982019A
- Authority
- CN
- China
- Prior art keywords
- data
- identity data
- identity
- record
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013523 data management Methods 0.000 title claims abstract description 14
- 238000004519 manufacturing process Methods 0.000 title claims description 20
- 238000000034 method Methods 0.000 claims abstract description 35
- 238000012544 monitoring process Methods 0.000 claims abstract description 26
- 238000004891 communication Methods 0.000 claims abstract description 6
- 238000007726 management method Methods 0.000 claims description 20
- 101000896740 Solanum tuberosum Cysteine protease inhibitor 9 Proteins 0.000 claims description 19
- 230000007246 mechanism Effects 0.000 claims description 16
- 230000009471 action Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 3
- 230000003416 augmentation Effects 0.000 claims 12
- 239000000047 product Substances 0.000 description 48
- 230000008569 process Effects 0.000 description 19
- 239000006227 byproduct Substances 0.000 description 9
- 238000003860 storage Methods 0.000 description 7
- 238000013524 data verification Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 230000000153 supplemental effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 235000013569 fruit product Nutrition 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000010561 standard procedure Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Abstract
提供一种方法和装置,用于保持在电子设备中要提供的身份数据的库存水平。该方法包括通过通信网络监控在分别为电子设备提供身份数据记录的多个身份数据个性化服务器上存储的身份数据记录的库存水平。此外,如果身份数据个性化服务器的至少一个上的库存水平低于最小特定水平,则将再补充请求发送到身份数据管理中心,请求将另外的身份数据记录上载到身份数据个性化服务器。
Description
背景技术
在商业、教育、政府、娱乐和管理的所有方面,数字信息已经变得极其重要。在许多这些应用中,确保信息的隐私、完整性和可靠性的能力很关键。因此,已经开发了若干数字安全机制来提高安全性。
当今数字安全的一种标准方法称为公钥基础设施(PKI)。PKI规定使用数字证书来验证证书持有者的身份,或验证其它信息。证书中心(CA)向证书持有者发放证书,然后,持有者能向第三方提供证书,作为CA证明证书中指定的持有者事实上是在证书中列出的人、实体、机器、电子邮件地址用户等等。并且在证书中的公钥事实上是持有者的公钥。与证书持有者打交道的人、设备、过程或其它实体能根据CA的证书作业准则,信赖该证书。证书通常利用其自己的公钥,由CA数字签名创建,识别提交给CA的信息以及谋取该证书的持有者的公钥。证书通常具有有限的有效期,并且在证书持有者的相应私钥损坏事件,或其它可撤消事件中更早地被撤消。通常,PKI证书包括数字签名被附加到的信息的集合。证书用户社区信任的CA附加其数字签名并且将证书发放给系统内的不同用户和/或设备。
网络启用设备通常位于具有身份数据的工厂,因此,它们可以使用身份数据系统,以安全方式与其它网络启用设备通信。身份数据通常包括公私钥对和数字证书。网络启用设备的示例性例子包括但不限于PC、移动电话、路由器、媒体播放器、机顶盒等等。
身份数据可以在制造时提供在网络启用设备中。由于许多原因,这是困难且复杂的过程。例如,传统的身份数据包括有限多个属性,诸如由X.509指定的属性,但通常不包括许多产品具体细节,诸如产品名、型号名和芯片ID。然而,身份数据终端用户,诸如设备制造商、应用供应商或行业协会现在更频繁地要求在它们的身份数据中包含另外的产品细节、属性和属性值。在身份数据生成、分发和制造过程期间,将包括在身份数据中的这些附加的属性和属性值以及产品和设备专用细节通常对每个产品和设备均是唯一的。因此,当存在许多不同产品时,难以管理这些过程。特别地,当制造商生产许多不同的生产线和每个生产线内的许多不同型号时,这变得更困难。此外,可以在不一定处于同一地点,实际上,可能位于不同大陆的许多不同的制造工厂生产这些产品。这些属性和属性值包含在设备中最终提供的身份数据记录中。生成、管理和跟踪用于各个和每个产品的所有该数据的过程是挑战性的任务,会变得压倒性的困难。
附图说明
图1示出用于表示为T1的ID数据类型的属性的集合的一个例子。
图2示出操作环境的一个例子,其中,可以实现在此所述的、用于为网络启用设备提供身份数据的过程。
图3示出图2中所示的身份数据生成工具的一个例子。
图4示出图2中所示的数据请求者门户网站的一个例子。
图5示出图2中所示的数据监控服务器的一个例子。
图6是示例如何使用身份数据管理系统来创建用于新产品的个性化身份数据的一个例子的流程图。
图7是示例如何利用身份数据记录再补充服务器的流程图。
具体实施方式
在此所示的方法、技术和系统适用于能确保网络启用设备能与隐密性、可靠性和完整性的保证人通信的数字安全机制。仅为示例且没有一般损失的目的,在此所述的方法、技术和系统将应用于由PKI系统生成的类型的身份数据。如在此所使用的单一身份数据单元称为项,诸如私有和公共数字身份密钥对或对称密钥,例如,数字证书通常与各个身份数据单元有关。
网络启用设备的示例性例子包括但不限于PC、移动电话、路由器、媒体播放器、机顶盒等等。设有身份数据的各个网络启用设备属于产品类型。由可以称为ID数据类型的唯一标识符,标识各个产品类型。属性和数据格式的集合与各个ID数据类型有关。用于这些属性的值通常包括在各个网络启用设备中提供的身份数据中。这些属性的例子包括产品名、型号名、产品制造商名和在设备中使用的芯片组的身份。数据格式定义在对网络启用设备的交付过程期间,将如何封装和保护属性。附加信息可以与各个ID数据类型有关。例如,这些附加信息可以包括,其中将制造由各个ID数据类型指定的产品的工厂位置、身份数据被加载到的服务器和规定要在服务器上保持的身份数据记录的数量的库存需求。
图1示出定义表示为T1的身份数据类型(ID数据类型)的部件的一个例子。该例子中的产品专用属性110包括产品名、型号名、芯片ID和设备ID。图1还示出了数字身份数据格式和身份数据保护机制。如果身份数据是PKI数据,则身份数据通常包括维持密码关系的公钥和私钥对。公钥以证书链(120中示为根证书、制造商证书、工厂证书和设备证书)的形式存储。私钥(图1中称为设备密钥)是身份数据的保密部分;在传输期间必须被保护(保密)。将密码保护机制应用于私钥。用于身份类型的密码保护机制(诸如加密机制)专用于产品。此外,设备私钥和公钥对每个设备是唯一的,由此,唯一地加密,使得仅想要的终端设备将具有解密该私钥的能力。
图2示出操作环境的一个例子,其中,可以实现在此所述的、用于为网络启用设备提供身份数据的过程。应理解到以非常简化的方式,示出结合图2所述的各个项,其中,单一实体(例如,服务器、数据库等等)可以表示更复杂的设置和系统。
在该例子中,工厂域表示其中制造网络启用设备的多个工厂域中的一个。不同工厂域可以广泛地分散在大的地理区域,其在一些情况下,可以扩大至多个国家甚至大陆。各个工厂可以生产单一类型或单一种类的网络启用设备(例如移动电话)或多个种类的设备(例如移动电话、路由器和机顶盒)。作为制造过程的一部分,诸如PKI数据的身份数据被加载到网络启用设备中。
如图2所示,工厂域包括用来为设备提供身份数据的多个实体。特别地,工厂域包括用来存储身份数据记录并且经由用作身份数据个性化服务器250和网络启用设备之间的接口的工厂数据加载站240,将它们加载到网络启用设备295上的身份数据个性化服务器250。
图2的操作环境中还示出了包括在线部和离线部的身份管理系统。在线部包括前端服务器265和监控服务器280。前端服务器265保管数据请求者门户网站210和数据配置管理器270并且与前端数据库260有关。身份管理系统的离线部由离线身份数据生成系统220表示。
门户网站210使用例如基于客户端的应用程序,诸如传统的网络浏览器,提供用户可以访问的单一前端界面。门户网站210允许诸如产品团队成员的用户对新产品建立和定义新的数据身份类型。
将通过数据请求者门户网站210定义的新ID数据类型存储在前端数据库260中。与新的ID数据类型定义一起,产品团队还可以设定新数据类型的最小和最大库存需求。最小需求表示在任何指定时间,在身份数据个性化服务器250中必需可用的ID数据单元的最小数量。最大需求表示在任何时间,在指定服务器上可用的ID数据单元的最大数量。在ID数据再补充过程期间,可由数据监控服务器280使用该信息,其将在稍后描述。
数据配置管理器270被用来生成能传送到离线身份数据生成系统220的可下载文件(包含新的ID数据类型定义)。数据配置管理器270将有关通过门户网站210获得的ID数据类型的信息转换成由离线身份数据生成系统220专用的文件格式来生成ID数据类型。数据配置管理器270使文件在便携式计算机可读存储介质(例如光盘、智能卡和诸如卡、棒的闪存设备和USB驱动器)上可用。系统操作者将存储介质手动地传送到身份数据生成系统220的后端数据库225,使得能生成所请求的身份数据记录。
在已经将可下载文件传递给身份数据生成系统220之后,系统220根据可下载文件中规定的定义和其它信息,生成身份数据记录。在下文中,给出有关身份数据生成系统220的另外的细节。然后,将所创建的身份数据记录移动到计算机可读存储介质并且手动地传送到在线域。然后,经由数据加载器290将身份数据记录加载到适当的数据个性化服务器250。
数据监控服务器280被用来监控在身份数据个性化服务器250中的每一个上存储的身份数据记录的库存水平。数据监控服务器280与前端数据库260通信,由此,能够访问已经定义的各种ID数据类型和相应的最小/最大库存需求。数据监控服务器280可以通过任何适当的通信网络,诸如互联网或其它广域、基于分组的通信网络,与工厂域中的身份管理系统的在线部的其它元件以及身份数据个性化服务器250通信。
数据监控服务器280从前端数据库260检索身份数据最小和最大库存需求。当数据监控服务器280判定在身份数据个性化服务器250的任何一个中,任何给定ID数据类型的库存水平已经低于最小库存需求时(可以将身份数据个性化服务器与服务器区分开来),自动地生成达到ID数据类型的最大库存需求所需的新身份数据记录数量的请求。将该请求存储在前端数据库260中。响应于来自数据监控服务器280的请求,前端服务器265访问前端数据库260来创建如上所述的新请求文件,然后,其由系统操作者下载到计算机可读存储介质,使得其能被手动地传递给离线身份数据生成系统220。
再参考图2,离线身份数据生成系统220包括驻留在服务器上的离线身份数据生成工具230。由于安全等等原因,系统220保持离线,并且使得需要将提前生成的身份数据上载到身份数据个性化服务器250上,由此确保不会由于生成计算密集的身份数据记录所需的时间而导致延迟将身份数据记录传递给个性化服务器250。身份数据生成系统220还包括后端数据库225,其是身份数据记录的数据库。这些记录有关所发行的数字证书、新数字证书或安全数据的原始请求、审计数据、组织信息、产品配置、用户信息以及所需的其它记录类型。
身份数据生成工具230控制身份数据生成系统220的整体操作并且通常包括具有一个或多个物理存储设备和数据库的一个或多个物理服务器以及各种处理引擎。数据生成工具230还包括通常驻留在执行提供各种服务的一个或多个应用程序的服务器上的一个或多个服务部件。身份数据生成工具230的一个例子如图3所示。如所示,身份数据生成工具230包括四个逻辑服务部件或模块:数据生成工作流部件310、数据验证部件320、CA简档策略部件330和数据专用保护部件340。
数据生成工作流部件310定义系统执行来生成和验证特定ID数据类型的必要身份数据的动作序列。这些动作可以包括例如“生成RSA密钥对”、“校验证书”和“加密私有身份数据”等等。各个ID数据类型可以具有仅一个工作流。工作流管理部件由此定义和管理产品和工作流之间的关系。当身份数据生成系统220接收对于某一产品的新身份数据记录的请求时,执行产品的工作流来生成所请求的数据。
CA简档策略部件330保持由证书中心所使用的专用策略(例如,证书验证、加密算法对象标识符、策略限制扩展的使用)。由系统管理员通过数据请求者门户网站210来建立这些策略。产品专用保护部件340实现用于保护对于不同ID数据类型不同且由产品团队或系统管理员选择的身份数据的机制。数据验证部件320确认所生成的身份数据是有效的。为完成所生成的身份数据的验证,数据验证部件320从存储器读取全部所生成的身份数据,消除所施加的保护机制;然后,通过检查各个身份记录(通常具有私钥、公钥和证书)仍然保持其加密关系,校验在生成过程期间,未破坏未受保护的身份数据。
图4更详细地示出数据请求者门户网站210的一个例子。门户网站210通常包括具有一个或多个物理存储器设备和数据库的一个或多个物理服务器以及各种处理引擎。此外,在图4中,门户网站210包括通常驻留在执行提供各种服务的一个或多个应用程序的服务器上的一个或多个服务部件。在图4中,示出了六个逻辑服务部件或模块:数据配置管理器410、数据库存预测管理器420、数据分发许可管理器430、证书策略管理器440、可选核准管理器450和通知管理器460。
数据配置管理器410允许产品团队的成员通过选择诸如先前提到的产品专用属性(例如,产品名、型号名、芯片ID)的各种属性、属性值(例如,产品名、商标和称号)以及保护机制,请求创建新数据类型。定义保护机制,使得保护所生成的身份数据的秘密部分;通常通过由在产品中使用的设备芯片支持的保护机制来确定。
数据库存预测管理器420允许产品团队成员定义用于新的或现有的数据类型的容量预测。即,用户可以预期在一段时间将制造的产品的数量,进而指定将在那一时间段所需要的数据身份数据记录的数量。可以由团队成员使用该信息来指定应当由位于该工厂地点的身份数据个性化服务器保持的身份数据记录的数量。例如,用户可以指定应当始终在身份数据个性化服务器250上保持的身份数据记录的最小和最大数量。如前所述,由数据监控服务器280使用该信息来确定何时自动地触发身份数据请求。进而,这减少可以中断制造过程的、耗尽可用身份数据记录的库存的可能性。同样地,通过指定最大数量,还可以减少一些身份数据记录不会被使用的可能性。由产品团队指定的库存水平可以保持静态,或其可以根据其它参数和规则来细化,以便细化要在服务器250上保持的记录的库存。
数据请求者门户网站210还包括数据分发许可管理器430,其允许产品团队成员和/或系统管理员指定要被许可来分发新的或现有的数据类型的身份数据的服务器。证书策略管理器440允许系统管理员定义和实施用于现有或新创建的ID数据类型的证书许可专用策略。此外,系统管理员和/或产品团队成员可以请求对于新产品实现保护机制,然后,它们能与新ID数据类型关联。可选核准管理器450允许指派人员,诸如项目团队管理人员来接受或拒绝由产品团队成员已经做出的新ID数据类型的请求。数据请求者门户网站210还包括通知管理器460,其将电子邮件通知或确认传递给包含在身份数据提供过程中的当事方。例如,可以由数据请求者门户网站210采用的通知管理器460,通知系统操作者已经准备好将请求文件从在线系统传送到离线系统。
由产品团队成员使用数据库存预测管理器420指定的库存水平存储在前端数据库260上,使得它们可以由数据监控服务器280存取。数据监控服务器280定期地查询身份数据个性化服务器250上的库存水平。如果库存水平仍然高于最小阈值,则不生成数据请求。另一方面,如果数据监控服务器280判定特定ID数据类型的库存水平已经低于对于一个或多个个性化服务器250指定的最小阈值,则数据监控服务器280向前端数据库260发送数据请求。在各个数据请求中请求的数据记录的数量通常等于对于各个身份数据个性化服务器250已经指定的最大和最小库存阈值水平之间的差。对于已经低于最小阈值的各个指定数据类型,可以做出单独的数据请求。
图5更详细地示出数据监控服务器280的一个例子。在该例子中,数据监控服务器280包括库存监控部件510、服务器状态报告部件520和数据请求生成器530。库存监控部件510定期地查询身份数据个性化服务器250的库存水平。服务器状态报告部件520是向产品团队成员和系统操作者呈现个性化服务器250的库存水平的门户网站。当库存监控部件510检测到低于由产品团队使用数据请求者门户网站210已经定义的它们规定阈值的数据库存时,数据请求生成器530生成新的身份数据请求。
图6是示例如何使用身份数据管理系统来创建新产品P1的定制身份数据的一个例子的流程图。在步骤605处,当产品团队成员登录或者另外访问数据请求者门户网站210来请求新的定制ID数据类型时,该方法开始。由于这是新的数据类型,所以用户(例如产品团队成员)使用数据配置管理器410来指定新的可定制属性、属性值和保护机制。用户也可以使用预测管理器420来指定产品预测和制造地点。制造地点能被用来确定要接收身份数据记录的身份数据个性化服务器。接着,在步骤610处,响应于对新的数据类型的请求,门户网站320通知系统操作者(例如,经由电子邮件)已经提交新产品请求。
因为该请求是用于ID数据类型的,利用新属性和新保护机制,定义用于产品P1的新ID数据类型T1(步骤620),以及基于由产品团队提供的信息,实现新属性和新保护机制(步骤625)。由于新属性和保护方法先前不存在,所以需要实现。同样地,在步骤630处,系统操作者使用数据配置管理器工具410,配置ID数据类型T1的请求属性。如果身份数据是PKI数据,则这些属性将最终被编码在形成PKI数据的一部分的数字证书(例如,X.509证书)中。
在已经完成产品P1的ID数据类型T1的配置之后,在步骤635处生成测试数据。尽管可选,但建议该步骤来避免真正生产期间的错误。然后,在步骤640处,系统操作者初始化真正身份数据记录的生成。应注意到,如果执行可选步骤635,则可以顺序地或同时地执行步骤640。当请求新ID数据类型时,所生成的记录数量等于由产品团队指定的最大数量。在步骤645处,系统操作者将身份数据记录加载到已经被识别为保管这些记录的身份数据个性化服务器250。然后,在步骤650处,系统操作者通知产品团队已经建立ID数据类型T1并且已经准备好将数据记录提供在产品类型P1的网络启用设备中。此时,产品团队可以开始个性化已经在指定工厂地点处制造的产品P1的单独设备。
在身份数据提供过程已经开始之后,数据监控服务器280将确保所指定的身份数据个性化服务器250保持已经由产品团队指定的必需库存水平。将进一步参考图2,通过图7的流程图,示例利用身份数据记录再补充服务器的过程。
在步骤705处,当数据监控服务器280在数据个性化服务器250中查询它们保管的各种ID数据类型的记录的它们各自的库存水平时,身份数据监控和再补充过程开始。在判定步骤710处,数据监控服务器280判定库存水平是否高于由产品团队定义的它们的最小阈值。如果库存水平高于它们的最小阈值,则过程返回到其中数据监控服务器280继续定期地在数据个性化服务器250中查询它们的库存水平的步骤705。如果发现任一数据个性化服务器250上的库存水平低于特定ID数据类型的最小阈值,则在步骤715处,数据监控服务器280自动地生成被发送到前端服务器265的身份数据请求。通知还被发送到系统操作者。请求指定生成新ID数据记录所需的所有信息,包括应当生成的身份数据记录的数量和其中要加载身份数据记录的服务器位置。对于已经低于所定义的最小阈值的各个唯一ID数据类型和位置组合做出单独的数据请求。
尽管数据个性化服务器250正等待利用ID数据类型T1的身份数据记录再补充,但将不中断ID数据类型T1的其剩余记录的使用,除非耗尽该数据。因此,应当准确地定义最小阈值水平来防止完全耗尽记录。
在接收新身份数据请求的通知之后,在步骤720处,系统操作者访问前端数据库260,并且将以便携式文件格式的请求下载到便携式计算机可读存储介质上。请求指定要由离线身份数据生成系统220生成的身份数据记录所需的所有信息。在步骤725处,系统操作者将请求文件手动地传送到离线身份数据生成系统220,并且通过使用身份数据生成工具230,将请求上载到后端数据库225。
在步骤730处,离线身份数据生成系统220生成所请求的身份数据并且输出以便携式文件格式的身份数据,并且将其存储在便携式计算机可读存储介质上。此外,离线身份数据生成系统220可以将所生成的身份数据记录的历史存储在后端数据库225中,用于报告、备份和撤消目的。然后,在步骤735处,系统操作者将计算机可读存储介质手动地传送到数据加载器290,并且上载新的身份数据记录。进而,数据加载器290将身份数据上载到为其生成身份数据的特定个性化服务器250。此时,在库存低的特定个性化服务器250上,对于ID数据类型T1已经再补充库存。在步骤740处,可以将可选通知发送到产品团队。
在一些情况下,当要生产新产品时,创建新ID数据类型不需要执行图6所示的全部步骤的集合。例如,如果新身份类型与先前创建的ID数据类型类似或相同,则产品团队可以将先前创建的ID数据类型用作模板。在这种情况下,新的与先前创建的ID数据类型可以仅在它们的属性值上不同,因此,当新产品要被生产并且加载有身份数据以及产品预测、制造地点等等时,产品团队可以仅需要提供这些值。此外,除了具有与先前创建的ID数据类型相同的ID数据类型之外,甚至对新的ID数据类型,属性、属性值和产品预测均可以与先前创建的ID数据类型相同。在这种情况下,如果产品的制造地点不同,则仅需要指定制造地点。
如在本申请中所使用的,术语“部件”、“模块”、“系统”、“装置”、“接口”等等通常意图指计算机相关实体,或硬件、硬件和软件的组合、软件,或执行中软件。例如,部件可以是但不限于在处理器上运行的过程、处理器、对象、可执行程序、执行线程、程序和/或计算机。通过示例,在控制器上运行的应用程序和控制器两者可以是部件。一个或多个部件可以驻留在过程和/或执行线程内,以及部件可以位于一个计算机上和/或分布在两个或更多个计算机之间。
此外,可以使用标准编程和/或工程技术,将所要求的主题实现为方法、装置,或制造制品来产生软件、固件、或其任意组合来控制计算机实现所公开的主题。在此所使用的术语“制造制品”意图包含可从任何计算机可读介质、载体或介质存取的计算机程序。
例如,计算机可读存储介质可以包括但不限于磁存储介质(例如,硬盘、软盘、磁带,…)、光盘(例如,紧密盘(CD)、数字通用光盘(DVD),…)、智能卡和闪存设备(例如,卡、棒、键驱动器,…)。当然,本领域的技术人员将意识到在不背离所要求的主题的范围或精神的情况下,可以对该配置做出许多修改。
Claims (20)
1.一种维持在电子设备中要提供的身份数据的库存水平的方法,包括:
通过通信网络监控在分别为电子设备提供身份数据记录的多个身份数据个性化服务器上存储的身份数据记录的库存水平;以及
如果所述身份数据个性化服务器的至少一个上的库存水平低于最小特定水平,则将再补充请求发送到身份数据管理中心,请求将另外的身份数据记录上载到所述至少一个身份数据个性化服务器。
2.如权利要求1所述的方法,其中,通过所述通信网络,将所述再补充请求发送到与所述身份数据管理中心有关的服务器。
3.如权利要求1所述的方法,其中,各个身份数据记录分别是特定ID数据类型的身份数据记录,以及进一步包括:
对于各个不同ID数据类型,单独地监控身份数据记录在多个身份数据个性化服务器上存储的库存水平;
如果在所述身份数据个性化服务器的至少一个上的对于第一ID数据类型的记录的库存水平低于所述最小特定水平,则向身份数据管理中心发送再补充请求,请求将所述第一ID数据类型的另外的身份数据记录上载到所述至少一个身份数据个性化服务器。
4.如权利要求3所述的方法,其中,在所述身份数据个性化服务器中的每一个上的各个ID数据类型具有其自己的最小和最大特定库存水平。
5.如权利要求1所述的方法,其中,所述身份数据包括公钥基础设施(PKI)数据。
6.如权利要求1所述的方法,其中,通过与所述身份数据管理中心有关的门户网站,由用户指定所述最小特定水平。
7.如权利要求1所述的方法,进一步包括利用离线身份数据生成系统生成所述身份数据。
8.如权利要求1所述的方法,其中,所述身份数据个性化服务器的至少两个位于制造或修理所述网络启用设备的不同工厂地点,所述身份数据个性化服务器中的每一个保持唯一身份数据记录。
9.一种身份数据管理系统,包括:
数据配置管理器,所述数据配置管理器被配置成接收定义新ID数据类型的用户输入,所述新ID数据类型分别包括将在属于各个各自新ID数据类型的身份数据记录中包含的一个或多个产品专用属性;
数据库存预测管理器,所述数据库存预测管理器被配置成接收指定在为网络启用设备提供身份数据记录的多个身份数据个性化服务器中的每一个上将要保持多少个唯一身份数据记录的用户输入;
数据分发许可管理器,所述数据分发许可管理器被配置成接收指定将要被保持在所述身份数据个性化服务器中的每一个上的所述ID数据类型的用户输入;
保管数据库的服务器,所述服务器被配置成存储通过所述数据配置管理器定义的对于各个新ID数据类型的数据定义文件和指定各个ID数据类型的多少个唯一身份数据记录将要被上载到为电子设备提供身份数据记录的一个或多个身份数据个性化服务器的再补充请求文件,所述数据定义文件包括所述新ID数据类型的各自的定义。
10.如权利要求9所述的身份数据管理系统,进一步包括通知管理器,所述通知管理器被配置成当准备好将所述再补充请求文件或所述数据定义文件传送到离线身份数据生成系统时,通知系统操作者。
11.如权利要求9所述的身份数据管理系统,其中,所述数据库存预测管理器被进一步配置成接收指定在任何指定时间,将要被保持在所述多个身份数据个性化服务器中的每一个上的身份数据记录的最大和最小数量的用户输入。
12.如权利要求9所述的身份数据管理系统,其中,对于各个新ID数据类型的数据定义文件包括将被用于创建ID数据类型的产品专用属性、属性值和保护机制。
13.如权利要求9所述的身份数据管理系统,进一步包括数据监控器,所述数据监控器监控在所述身份数据个性化服务器中的每一个上的库存水平,由所述服务器从所述数据监控器接收对于新身份数据记录的所述再补充请求文件。
14.如权利要求9所述的身份数据管理系统,进一步包括离线身份数据生成系统,所述离线身份数据生成系统被配置成接收从所述服务器手动传送到其的所述再补充请求文件和所述数据定义文件并且生成其中请求的所述身份数据记录。
15.如权利要求14所述的身份数据管理系统,其中,所述离线身份数据生成系统包括数据生成工作流部件,所述数据生成工作流部件被配置成指定将被执行来生成所请求的身份记录的动作序列,至少部分根据所述数据定义文件中包括的各个ID数据类型的定义确定所述动作序列。
16.如权利要求9所述的身份数据管理系统,其中,在所述身份数据记录中将要被包括的属性的至少一个是反映所述电子设备的至少一个特性的产品属性。
17.如权利要求9所述的身份数据管理系统,进一步包括至少一个数据加载服务器,所述至少一个数据加载服务器被配置成:(i)接收由所述离线身份数据生成系统生成的所述身份数据记录;(ii)将所述身份数据记录中的每一个加载到其各自的指定身份数据个性化服务器上;以及(iii)确保各个身份数据记录仅被加载到身份数据个性化服务器上一次,使得为每个电子设备提供唯一身份数据记录。
18.编码有指令的至少一种计算机可读介质,当由处理器执行所述指令时,执行包括下述的方法:
接收定义分别与特定产品类型有关的新ID数据类型的用户输入,所述各个新ID数据类型的定义包括在属于各个各自新ID数据类型的身份数据记录中将要包括的一个或多个产品属性;
生成至少部分基于所接收的用户输入定义的各个新ID数据类型的数据定义文件;
接收分别指定要上载到为电子设备提供身份数据记录的一个或多个身份数据个性化服务器的各个ID数据类型的唯一身份数据记录的数量的再补充请求;以及
下载所述数据定义文件和再补充请求文件,使得它们能够被传送到身份数据生成系统,所述身份数据生成系统基于所述数据定义文件和所述再补充请求文件生成所述身份数据记录。
19.如权利要求18所述的计算机可读介质,进一步包括:
通过通信网络,监控在为电子设备提供身份数据记录的所述身份数据个性化服务器上保持的身份数据记录的库存水平;以及
响应于低于特定水平的在所述身份数据个性化服务器的至少一个上的库存水平,生成再补充请求。
20.如权利要求19所述的计算机可读介质,进一步包括:
基于所述数据定义文件和再补充请求文件,生成所述身份数据记录;
将所述身份数据记录中的每一个上载到其各自指定的身份数据个性化服务器上,并且确保各个身份数据记录仅被加载到身份数据个性化服务器上一次,使得为每个电子设备提供唯一身份数据记录。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/407,081 US9043456B2 (en) | 2012-02-28 | 2012-02-28 | Identity data management system for high volume production of product-specific identity data |
| US13/407,081 | 2012-02-28 | ||
| PCT/US2013/024624 WO2013130222A2 (en) | 2012-02-28 | 2013-02-04 | Identity data management system for high volume production of product-specific identity data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104982019A true CN104982019A (zh) | 2015-10-14 |
| CN104982019B CN104982019B (zh) | 2018-01-26 |
Family
ID=47891901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380011458.0A Active CN104982019B (zh) | 2012-02-28 | 2013-02-04 | 用于大量生产的产品专用身份数据的身份数据管理系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9043456B2 (zh) |
| CN (1) | CN104982019B (zh) |
| MX (1) | MX337707B (zh) |
| WO (1) | WO2013130222A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106682518A (zh) * | 2015-11-05 | 2017-05-17 | 广达电脑股份有限公司 | 用于确保管理控制器固件安全的方法及计算机装置 |
| CN111353734A (zh) * | 2018-12-21 | 2020-06-30 | 富士通株式会社 | 存储介质、通信装置和通信方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10242028B2 (en) * | 2002-11-11 | 2019-03-26 | Transparensee Systems, Inc. | User interface for search method and system |
| US11275773B2 (en) * | 2002-11-11 | 2022-03-15 | Transparensee Systems, Inc. | User interface for search method and system |
| KR20130126569A (ko) * | 2013-10-24 | 2013-11-20 | 삼성에스디에스 주식회사 | 커넥터 어플리케이션의 자동화 배포를 위한 멀티 테넌트 SaaS 플랫폼 및 그를 위한 방법, 그리고, 가상머신을 이용하는 테넌트와 서비스 공급업체 |
| US11488180B1 (en) * | 2014-01-22 | 2022-11-01 | Amazon Technologies, Inc. | Incremental business event recording |
| US10452624B2 (en) * | 2017-08-02 | 2019-10-22 | Vmware, Inc. | Storage and analysis of data records associated with managed devices in a device management platform |
| US11218329B2 (en) * | 2019-02-20 | 2022-01-04 | Arris Enterprises Llc | Certificate generation with fallback certificates |
| TW202347147A (zh) | 2022-05-10 | 2023-12-01 | 美商艾銳勢企業有限責任公司 | 用於裝置身分識別佈建之反複製架構 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388075A (zh) * | 2008-10-11 | 2009-03-18 | 大连大学 | 基于独立特征融合的人脸识别方法 |
| CN101965555A (zh) * | 2008-02-10 | 2011-02-02 | 阿拉丁知识系统有限公司 | 计算机数据产品证书的安装/更新确认 |
| US20110126275A1 (en) * | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for discovery enrichment in an intelligent workload management system |
| US20110258434A1 (en) * | 2010-04-15 | 2011-10-20 | General Instrument Corporation | Online secure device provisioning with updated offline identity data generation and offline device binding |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020099631A1 (en) * | 2001-01-17 | 2002-07-25 | David Vanker | Method and system for transferring information between multiple buyers and multiple sellers |
| US8392702B2 (en) * | 2007-07-27 | 2013-03-05 | General Instrument Corporation | Token-based management system for PKI personalization process |
| WO2011130712A2 (en) * | 2010-04-15 | 2011-10-20 | General Instrument Corporation | Online secure device provisioning framework |
| WO2011129641A2 (en) * | 2010-04-16 | 2011-10-20 | Lg Electronics Inc. | Purchase transaction method for iptv product and iptv receiver thereof |
| US8627083B2 (en) * | 2010-10-06 | 2014-01-07 | Motorala Mobility LLC | Online secure device provisioning with online device binding using whitelists |
-
2012
- 2012-02-28 US US13/407,081 patent/US9043456B2/en active Active
-
2013
- 2013-02-04 CN CN201380011458.0A patent/CN104982019B/zh active Active
- 2013-02-04 MX MX2014010310A patent/MX337707B/es active IP Right Grant
- 2013-02-04 WO PCT/US2013/024624 patent/WO2013130222A2/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101965555A (zh) * | 2008-02-10 | 2011-02-02 | 阿拉丁知识系统有限公司 | 计算机数据产品证书的安装/更新确认 |
| CN101388075A (zh) * | 2008-10-11 | 2009-03-18 | 大连大学 | 基于独立特征融合的人脸识别方法 |
| US20110126275A1 (en) * | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for discovery enrichment in an intelligent workload management system |
| US20110258434A1 (en) * | 2010-04-15 | 2011-10-20 | General Instrument Corporation | Online secure device provisioning with updated offline identity data generation and offline device binding |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106682518A (zh) * | 2015-11-05 | 2017-05-17 | 广达电脑股份有限公司 | 用于确保管理控制器固件安全的方法及计算机装置 |
| CN111353734A (zh) * | 2018-12-21 | 2020-06-30 | 富士通株式会社 | 存储介质、通信装置和通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013130222A2 (en) | 2013-09-06 |
| US9043456B2 (en) | 2015-05-26 |
| CN104982019B (zh) | 2018-01-26 |
| MX337707B (es) | 2016-03-15 |
| MX2014010310A (es) | 2014-10-21 |
| US20130227077A1 (en) | 2013-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104982019A (zh) | 用于大量生产的产品专用身份数据的身份数据管理系统 | |
| CN102474415B (zh) | 可配置的在线公钥基础设施(pki)管理框架 | |
| CN103262494B (zh) | 对基于白名单的在线安全设备供应框架的跨域身份管理的方法和系统 | |
| CN108734028B (zh) | 基于区块链的数据管理方法、区块链节点及存储介质 | |
| CN107959567A (zh) | 数据存储方法、数据获取方法、装置及系统 | |
| EP2559219B1 (en) | Online secure device provisioning framework | |
| CN110611685B (zh) | 基于智能设备监测和用户身份识别的互联网站点登录系统 | |
| WO2018228974A1 (en) | Expendable cryptographic key access | |
| CN108197891A (zh) | 一种基于区块链的电子签约装置及方法 | |
| CN113297625B (zh) | 基于区块链的数据共享系统、方法和电子设备 | |
| CN102859929A (zh) | 向在线安全设备供应更新离线身份数据生成和离线设备绑定 | |
| CN102947797A (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| JP2020537772A (ja) | ブロックチェーン対応のサプライチェーンの協調トランザクション情報処理 | |
| CN102034036A (zh) | 权限管理的方法及设备 | |
| CN1985261A (zh) | 用于访问带标签的物品的信息的方法、本地服务器、o n s代理、程序、标签的制作方法、具备标签写入器的装置、标签、具备标签写入器的装置的控制程序 | |
| CN102307114A (zh) | 一种网络的管理方法 | |
| CN111292041A (zh) | 一种电子合同生成方法、装置、设备及存储介质 | |
| US20220366358A1 (en) | Systems and methods for verifying manufacturing workflows | |
| EP3804218A1 (en) | Blockchain based access control using time-dependent obfuscation of access tokens | |
| CN103186728A (zh) | 加密和解密装置以及其方法 | |
| CN109064596A (zh) | 密码管理方法、装置及电子设备 | |
| CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
| Han et al. | Fine-grained business data confidentiality control in cross-organizational tracking | |
| CN115563212A (zh) | 云链协同下供应链数据管理方法、装置、设备及存储介质 | |
| KR101449381B1 (ko) | 패스워드 관리 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Georgia, USA Patentee after: Ai Ruishi Technology Co. Address before: American Pennsylvania Patentee before: GENERAL INSTRUMENT Corp. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180227 Address after: Georgia, USA Patentee after: ARRIS ENTERPRISES LLC Address before: Georgia, USA Patentee before: Ai Ruishi Technology Co. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20220712 Address after: London, England Patentee after: Iris International Intellectual Property Co.,Ltd. Address before: State of Georgia, US Patentee before: ARRIS ENTERPRISES LLC |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240103 Address after: London Patentee after: Andrew Wireless Systems UK Ltd. Address before: London Patentee before: Iris International Intellectual Property Co.,Ltd. |
|
| TR01 | Transfer of patent right |