CN110326252B - 设备的安全供应和管理 - Google Patents
设备的安全供应和管理 Download PDFInfo
- Publication number
- CN110326252B CN110326252B CN201780083309.3A CN201780083309A CN110326252B CN 110326252 B CN110326252 B CN 110326252B CN 201780083309 A CN201780083309 A CN 201780083309A CN 110326252 B CN110326252 B CN 110326252B
- Authority
- CN
- China
- Prior art keywords
- provisioning
- computerized device
- digital asset
- dispenser
- computerized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 42
- 230000000694 effects Effects 0.000 claims description 13
- 238000000034 method Methods 0.000 description 36
- 238000007726 management method Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 23
- 230000006870 function Effects 0.000 description 21
- 238000009434 installation Methods 0.000 description 20
- 230000009471 action Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000004519 manufacturing process Methods 0.000 description 9
- 238000012550 audit Methods 0.000 description 5
- 239000000463 material Substances 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 230000032258 transport Effects 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 4
- 230000006872 improvement Effects 0.000 description 4
- 238000013474 audit trail Methods 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 241000953555 Theama Species 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000002401 inhibitory effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 241000497429 Obus Species 0.000 description 1
- 230000001154 acute effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000000502 dialysis Methods 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
- 238000001802 infusion Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
- H04L9/007—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models involving hierarchical structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/70—Administration or customization aspects; Counter-checking correct charges
- H04M15/715—Activating new subscriber or card
Abstract
用于计算机化的设备的安全供应和管理的系统。所述系统可以包括分发器型器具,其通信地连接到计算机化的设备,并且其可操作以接收数字资产并且将数字资产加载到计算机化的设备中。它还可以包括数字资产管理系统,所述数字资产管理系统经由第一安全通信信道被连接到分发器型器具,并且可操作以生成数字资产并且有条件地将数字资产传输到分发器型器具;以及供应控制器,其经由第二安全通信信道被连接到分发器型器具,并且经由第三安全通信信道被连接到数字资产管理系统,并且其可操作以指引数字资产管理系统将数字资产传输到分发器型器具。在数字资产被加载到计算机化的设备中之前,计算机化的设备不是全运转的。
Description
相关申请的交叉引用
本申请要求以下各项的权益:2016年11月14日提交的申请号为62/421,878的美国临时申请;以及2016年11月14日提交的申请号为62/421,852的美国临时申请;以及2017年4月20日提交的申请号为62/487,909的美国临时申请;全部所述申请由此通过引用将其全文并入。
技术领域
本发明涉及用于计算机化的设备的安全供应的系统、设备和方法。
背景技术
由于计算机已将变得比以往更小型化和商品化,所以制造商正生产越来越多变化的设备,所述设备包括一个或多个嵌入式计算机或处理器。在计算机化的设备中的计算机除了其它之外尤其可以控制设备的操作;收集、存储以及共享数据;与其它计算机和其它计算机化的设备通信;并且更新其自己的软件。
物联网(IoT)是计算机化的物理设备的网络,所述计算机化的物理设备具有(一个或多个)嵌入式处理器、电子器件、软件、数据、传感器、致动器和/或网络连接性,其使得这些设备能够经由数字网络连接并且交换数据,所述数字网络包括因特网、蜂窝式网络和其它无线网络。典型地,每个“物”通过其嵌入式计算系统唯一地可标识,并且能够在现有的因特网基础设施内互操作。
IoT意义上的“物”除了许多其它之外尤其可以是指多种多样的计算机化的设备,诸如消费者器具、在商业和公司环境中所使用的企业设备、制造机器、农场装备、家庭和建筑物中的耗能设备(开关、电源输出口、灯泡、电视等等)、医学和保健设备、基础设施管理设备、机器人、无人机、以及输送设备和载具。
例如,大多数——如果不是全部的话——现代载具(例如汽车、卡车、航空器、火车、水运工具等等)在其子系统中包含若干嵌入式处理器或嵌入式计算机,并且在至少一些方面中受计算机控制。类似地,增长的数目的现代输送基础设施设备(例如交通灯、交通相机、交通传感器、桥监视器、桥控制系统等等)包含至少一个、并且通常是许多的嵌入式处理器或嵌入式计算机系统,并且在至少一些方面中受计算机控制。输送网络的这些计算机控制的元件典型地与彼此通信,来回传递各种类型的信息,并且它们可以作出反应、响应、改变其操作,或以其它方式取决于在载具对载具(V2V;也称为C2C,汽车对汽车)通信中自/向其它载具和/或在载具对基础设施(V2I,也称为C2I,汽车对基础设施)通信中自/向基础设施元件接收/发送的信息,以用于安全、正确、高效和可靠的操作。
在计算机化的设备中的计算机根据其软件和/或固件和数据来运作。为了确保安全和恰当的操作,计算机化的设备必须利用恰当的软件、固件、可执行指令、数字证书(例如公共密钥证书)、密码密钥等等(在下文中共同被称为“数字资产”或“软件”)来被恰当地初始化和更新,如制造商所意图的那样,使得IoT仅仅包括在执行经授权的、已知为良好的软件和数据的设备。然而,当未经授权的人员或组织(例如黑客)替换或改变计算机化的设备中的软件的时候,出现问题。当较老的软件、未经测试的软件、未经批准的软件和/或具有已知漏洞的软件被安装在计算机化的设备中的时候,也出现问题。
因此,合期望的是提供用于安全地供应计算机化的设备中的数字资产的经改进的系统、方法和技术,以便防止计算机化的设备通过使用充斥误差、不正确运转、未经测试、被恶意变更、或以其它方式不合期望的软件和数据而运作。
发明内容
本文中所公开的是用于安全地供应一个或多个计算机化的设备的系统、方法和设备系统。在各种实现方式中,所述系统包括:第一分发器型器具,其通信地连接到计算机化的设备,并且可操作以接收数字资产并且将数字资产加载到计算机化的设备中;数字资产管理系统,其经由第一安全通信信道被连接到分发器型器具,并且可操作以生成数字资产并且有条件地将所述数字资产传输到分发器型器具;以及供应控制器,其经由第二安全通信信道被连接到分发器型器具,并且经由第三安全通信信道被连接到数字资产管理系统,并且可操作地指引数字资产管理系统以将数字资产传输到分发器型器具。在数字资产被加载到计算机化的设备中之前,计算机化的设备可以是非运转或仅仅部分运转的,这是由于缺少数字资产。数字资产可以是数字证书、密码密钥和可执行软件中的至少一个。
在各种实现方式中,所述系统可以此外包括第二分发器型器具,所述第二分发器型器具经由第四安全通信信道被连接到数字资产管理系统,并且在第一分发器型器具被断开之后通信地连接到计算机化的设备,并且可操作以接收第二数字资产并且将第二数字资产加载到计算机化的设备中,并且所述供应控制器此外可操作以指引数字资产管理系统将第二数字资产传输到分发器型器具。在第二数字资产被加载到计算机化的设备中之后,计算机化的设备可以全运转。
在各种实现方式中,数字资产管理系统可以此外包括:运行注册权限应用并且被通信地连接到一个或多个计算引擎的一个或多个虚拟机,所述计算引擎执行由注册权限应用所需要的密码计算;运行登入(enrollment)证书权限应用并且被通信地连接到一个或多个计算引擎的一个或多个虚拟机,所述计算引擎执行由登入证书权限应用所需要的密码计算;运行匿名(pseudonym)证书权限应用并且被通信地连接到一个或多个计算引擎的一个或多个虚拟机,所述计算引擎执行由匿名证书权限应用所需要的密码计算;运行第一链接权限应用并且被通信地连接到一个或多个计算引擎的一个或多个虚拟机,所述计算引擎执行由第一链接权限应用所需要的密码计算;以及运行第二链接权限应用并且被通信地连接到一个或多个计算引擎的一个或多个虚拟机,所述计算引擎执行由第二链接权限应用所需要的密码计算。
在其它实现方式中,所述数字资产管理系统可以此外包括数据库,所述数据库可操作地被连接到运行注册权限应用的所述一个或多个虚拟机、运行登入证书权限的所述一个或多个虚拟机、运行匿名证书权限应用的所述一个或多个虚拟机、运行第一链接权限应用的所述一个或多个虚拟机、以及运行第二链接权限应用的所述一个或多个虚拟机。
在仍其它的实现方式中,所述系统可以此外包括:可操作地连接到供应控制器并且认证计算机化的设备的制造商并且使得制造商能够管理计算机化的设备的供应的门户,和/或可操作地连接到供应控制器并且认证计算机化的设备的安装者并且使得安装者能够管理计算机化的设备的供应的门户,和/或可操作地连接到供应控制器并且认证计算机化的设备的调控者并且使得调控者能够调控计算机化的设备的供应的门户。
在还其它的实现方式中,供应控制器可以此外可操作以将数字资产(例如可执行的软件映像)传输到分发器型器具以用于加载到计算机化的设备中。在还其它的实现方式中,供应控制器可以此外可操作以创建并且维护日志,所述日志与数字设备相关联并且存储与针对数字设备的供应活动相关的信息,并且所述分发器型器具可以此外可操作以将与有关于数字设备的供应活动相关的信息传输到供应控制器以用于存储在日志中。
在还其它的实现方式中,供应控制器可以此外可操作以在指引数字资产管理系统传输数字资产之前认证数字设备。
附图说明
被并入到本说明书中并且构成本说明书的一部分的附图图示了本发明的实现方式,并且连同描述一起用于解释本发明的原理。在各图中:
图1是一框图,其示出了与本发明的实现方式一致的用于安全供应的系统的示例;
图2是泳道线图解,其图示了与本发明的实现方式一致的用于安全地供应计算机化的设备的过程的示例;
图3是泳道线图解,其图示了与本发明的实现方式一致的用于安全地供应计算机化的设备的过程的另一示例;
图4A是与本发明的实现方式一致的用于实现可缩放且安全的数字资产管理系统的示例的框图的第一部分;
图4B是与本发明的实现方式一致的用于实现可缩放且安全的数字资产管理系统的示例的框图的第二部分;并且
图5是可以用于托管与本发明的实现方式一致的系统和方法的计算系统的示例的框图。
具体实施方式
现在将对本发明的各种实现方式进行详细参考,本发明的各种实现方式的示例在附图中被图示出。在便利的无论什么情况下,将贯穿附图使用相同的参考标号来指代相同或类似的部分。
为了确保现场中安全且恰当的操作,需要在制造期间、通过供应数字资产、诸如安全资产来恰当地初始化在载具中所使用的嵌入式设备、例如电子控制单元(ECU)。数字资产可以包括各种密码密钥、唯一的标识符、数字证书和软件。在大多数情况中,这些数字资产的起源和制造工厂位于不同的地理位置中,所述地理位置照惯例经由不安全的因特网通信来被互连。因此合期望的是自这些数字资产的起源向设备创建端对端安全信道,使得数字资产不能被恶意方或意外地访问或修改。
对于用于端对端保护的传统网络安全协议、诸如TLS/SSL,存在缺陷,因为它们需要在通信方二者处预先存在预共享的密钥或某些秘密安全材料。这创建循环技术问题,因为为了供应数字资产,必须预先存在某些初始秘密材料。该问题包括如何保护初始秘密材料。对于计算机化的设备,该问题尤其严重,因为为了简化逻辑(logistic),典型地在制造期间在计算机化的设备上加载单个版本的初始软件。如果该初始软件必须包含初始安全材料,则这需要存在全局秘密(global secret)。因此,损害初始安全材料将导致损害在所有设备上供应的所有数字资产,因为它们全部共享相同的全局秘密。与本公开内容一致的系统、方法和设备解决常规供应系统的这些和其它问题。
供应一般是指用于预备具有适当数据和软件的计算机化的设备所采取的动作集合。它还可以包括用于在设备的操作环境中恰当地安装设备、从而使得它准备就绪用于操作所采取的动作集合。所述动作包括将适当的数字资产(例如操作系统、设备驱动器、中间件、应用、数字证书等等)加载到设备的数字存储装置(例如存储器)中,以及在所述设备上适当地定制和配置某些数字资产(如果需要的话),所述数字资产对于每个特定设备而言可以是唯一的。所述动作还可以包括验证计算机化的设备是由合法设备制造商所创建的合法设备,而不是拷贝或伪造的设备。
所述动作还可以包括将所述设备正确地安装到其操作环境中,并且测试它以验证它在恰当地运作。用于安全地供应仅仅已知为良好的设备的能力被以下事实复杂化:所述事实即所述设备可以由一个制造商构建,并且稍后由另一个制造商安装到较大的系统或设备中,例如由部件制造商所构建的车载单元(On Board Unit,OBU)可以被安装到由汽车制造商所构建的汽车中。不恰当安装的设备可能不正确地运转。
与本发明一致的各种实现方式提供计算机化的设备、包括IoT设备的安全供应。此类实现方式用于防止或抑制对由计算机化的设备所使用的数字资产的恶意的、疏忽的或错误的篡改、变更、更新或释放,并且防止或抑制对计算机化的设备及其软件的不恰当的安装。
与本发明一致的各种实现方式还可以产生安全供应过程的审计日志、记录、报告等等,其可以用于分析和解析稍后发现的问题。
与本发明一致的各种实现方式还可以提供安全供应和管理平台,其可以被提供作为对于设备和系统制造商的服务。
图1是一框图,其示出了与本发明的实现方式一致的用于计算机化的设备的安全供应的系统100的示例。如图1的示例中所示,系统100包括供应控制器120。供应控制器120可以被实现为服务器计算机(例如具有至少一个处理器和相关联的存储器),所述服务器计算机具有嵌入式硬件安全性模块(HSM),所述嵌入式硬件安全性模块安全地生成并且存储数字安全资产,并且安全地执行各种密码和敏感计算。HSM保护数字安全资产、诸如密码密钥和其它敏感数据免受攻击者的可能的访问。在各种实现方式中,供应控制器120起作用以认证系统100的用户并且与系统100的用户安全地通信;与一个或多个分发器型器具108、131安全地通信并且对其进行管理;与数字资产管理系统(DAMS)110安全地通信并且指引其操作;创建并且存储供应记录;创建、存储并且分发供应记录;创建、存储并且分发审计日志;创建并且分发证书用于将DAMS 110与分发器型器具108、131元件密码地绑定在一起;如果用户和受管理的设备停止受信,则在需要时撤销用户和受管理的设备;以及创建和分发关键密钥和数据的安全加密的备份,以用于异地存储,以便商业连续性和灾难恢复。
如图1的示例中所示,供应控制器120被通信地连接到数据库125,所述数据库125可以存储与安全地供应设备106A、106B(其可以共同被称为106)有关的数据、信息和数字资产。
供应控制器120还被安全地、通信地连接到制造商的用户门户115,所述用户门户115可以例如被实现为服务器或被实现为对于供应控制器120的接口。在各种实现方式中,设备制造商105的员工109可以使用制造商的用户门户115来与供应控制器120(以及因而的DAMS 110)对接,并且管理其设备供应活动。在各种实现方式中,制造商的用户门户115可以从员工用户109收集标识信息,诸如用户名、密码、两因素标识信息、面部识别图像、指纹等等,并且将标识信息提供到供应控制器120。在允许员工109访问安全供应系统100之前,供应控制器120可以对员工109进行认证。例如,供应控制器120可以查找与员工用户109相关联并且先前经验证且被存储在其数据库125中的标识信息,并且比较所存储的标识信息与制造商的用户门户115所收集的标识信息。可替换地,供应控制器120或DAMS用户门户115可以与用户的企业标识和认证系统集成,所述用户的企业标识和认证系统将确定员工109是否被授权使用系统100。在各种实现方式中,供应控制器120或DAMS用户门户115可以向经成功认证的员工109施加角色以约束其在系统100内的动作。在一些实现方式中,仅仅在两组标识信息匹配的情况下,供应控制器120可以允许访问。
类似地,供应控制器120还被通信地连接到安装者用户门户116,所述安装者用户门户116可以例如被实现为服务器或被实现为对于供应控制器120的接口。在各种实现方式中,设备安装者的员工132可以使用安装者用户门户116来与供应控制器120(以及因而的DAMS 110)对接,并且管理其设备安装和供应活动。供应控制器120可以在允许员工132之前对员工132进行认证并且在允许员工132访问安全供应系统100和在系统上执行经授权的功能之前向他们指派角色。
还类似地,供应控制器120还被通信地连接到调控者门户117,所述调控者门户117可以例如被实现为服务器或被实现为对于供应控制器120的接口。在各种实现方式中,调控者140,一旦通过供应控制器120被认证,就可以使用调控者门户117来与供应控制器120对接并且管理制造商104、安装者130、设备106、和/或被安装在设备106中的软件/数字资产的复查和批准。在允许调控者140访问安全供应系统100之前,供应控制器120可以对调控者140进行认证。在系统100的一些实现方式中,调控者140和调控者门户117是可选的。
供应控制器120此外被通信地连接到DAMS 110。在各种实现方式中,DAMS 110可以被实现为服务器、设备、或安全器具和/或服务器的系统。DAMS 110经由分发器型器具108、131或其它安全和经认证的连接从将被供应的终端实体设备安全地检索公共密钥,并且安全地供应被安装在设备106中的数字证书和有关数据。另外,DAMS 110经由分发器型器具108、131从制造商105和安装者130安全地接收与计算机化的设备106的供应、安装、功能性等等相关的状态信息。另外,DAMS 110可以在单个站点处或在多个站点处执行该供应,如图1中所示。如关于图4更详细地解释的,DAMS 110可以包括以下主要元件:根证书权限(CA)、策略生成器、CRL生成器、不当行为权限、中间CA、登入CA、链接权限、匿名CA、以及注册权限。
DAMS 110在论文“A Secure Credential Management System for V2VCommunications”(William Whyte等人,2013 IEEE Vehicular Networking Conference,2013年12月)中所描述的部件和功能性之上添加新的功能性和有所改进。在各种实现方式中,DAMS 110包括多级编程和灵活管理(例如允许包括调控者140)。DAMS 110的各种实现方式还使能如下能力:允许单个DAMS 110向不同的订户提供不同水平的供应。DAMS 110的各种实现方式还使能如下能力:在一时间段(例如每周)期间指派不同的数字证书使用以及不同的证书加载(诸如一周、而不是如常规系统中的三年)。DAMS 110的各种实现方式还可以提供订户特定的URL,使得特定制造商的计算机化的设备106(例如OEM的载具)可以停留在制造商的范围内(例如其URL示出其名称)。
如所示出的,供应控制器120还被通信地连接到分发器型器具108、131。在各种实现方式中,分发器型器具108、131除了其它之外尤其可以被实现为在公司所在地处所安装的独立安全器具(如所示出的)或被实现为web(网络)或云服务。在各种实现方式中,分发器型器具108、131被实现为受信的端点设备,所述受信的端点设备向和自DAMS 110和供应控制器120安全地传输和接收数字资产和其它信息,优选地经由专用、非因特网通信信道。如所示的,分发器型器具108、131还直接地或间接地与设备106A、106B连接以便将数字资产下载到设备106A、106B,以及从设备106A、106B接收数据。在各种实现方式中,分发器型器具108、131可以被实现为一箱体,其包括服务器计算机(例如具有至少一个处理器和相关联的存储器),所述服务器计算机具有硬件安全模块、经加固的操作系统(OS)、内部防火墙和内部主机侵入检测/预防系统。分发器型器具可以被特别地设计成在不受信的环境中运作,还仍提供受信且可靠的操作。分发器型器具在它自身与安全供应控制器120和DAMS 110之间具有(一个或多个)安全通信信道。该信道用于控制分发器型器具,并且发送和检索供应有关的数据和日志信息。分发器型器具还可以具有对于测试器107的安全通信信道,所述测试器107用于对设备106进行编程或供应设备106。该信道保护供应数据和日志数据免于在制造位置的通信网络上被透露或修改。分发器型器具108还可以建立直接与待编程的设备106的安全通信信道,使得供应数据不能被第三方(包括去劣测试器107)损害或修改。在各种实现方式中,分发器型器具可以从它将供应的设备106收集公共密钥和其它数据、诸如微处理器序列号。它可以将该信息发送到供应控制器120和/或DAMS 110。它还可以从供应控制器120和/或DAMS 110接受数据和命令以及其它信息,用于编程到设备106中。它可以返回其自己的日志数据,并且它可以从测试器107将数据返回到供应控制器120和/或DAMS 110。
如关于设备制造商105所示出的,分发器型器具108可以被通信地连接到测试器107(例如计算机化的制造装置、产品测试设备等等),所述测试器107进而连接到设备106A,所述设备106A由制造商105生产,诸如OBU设备。制造商105可以包括或可以是一工厂,所述工厂制造计算机化的设备106A和/或将它供应到市场。作为许多可能的示例之一,计算机化的设备106A可以是嵌入式通用集成电路卡(eUICC),所述嵌入式通用集成电路卡(eUICC)被使用在电信蜂窝式调制解调器中,作为稍后被安装在汽车中的车载单元(OBU)的部分被并入,用于在汽车与输送基础设施设备之间的通信。它还可以是被安装在OBU中的V2V安全微处理器,用于与其它载具以及路边单元(Road Side Units,RSU)的通信。这些新制造的设备106A必须被恰当地供应有数字资产,例如来自DAMS 110的(一个或多个)数字证书,以便恰当地运作。制造商105的员工109可以使用用户门户115来与供应控制器120交互,并且通过DAMS 110来管理产品供应活动。
如关于安装者130所示出的,分发器型器具131可以可替换地在设备106B被安装在其操作环境中时或其之后被直接通信地连接到设备106B。安装者130可以包括或可以是工厂或商店,其将计算机化的设备106B安装到其操作环境中,例如将OBU安装到汽车中。在安装时,计算机化的设备106A必须此外被恰当地供应有数字资产,例如来自DAMS 110的(一个或多个)附加数字证书,以便恰当地运作。安装者130的员工132可以使用安装者用户门户116来与供应控制器120交互,并且通过DAMS 110来管理产品供应活动。
在各种实现方式中,供应控制器120、分发器型器具108、131以及DAMS 110可以在它们之间具有安全、非公共可访问的通信链路或信道,并且在各种实施例中,图1中所示的所有通信链路可以是安全、非公共可访问的通信信道。在各种实现方式中,这些安全信道被加密并且互认证以防止未经授权的端点在该安全基础设施内通信。多个安全机制可以用于保护这些通信信道,使得如果外层以某种方式受损,则内层将保持安全。作为示例,互认证TLS隧道可以通过使用另一协议而被用作具有内层的外层,所述另一协议诸如专有安全通信协议。在包括系统100的基础设施部件之间的这些安全连接用于保护在部件之间的敏感通信并且确保其正确的操作。通过使用这些安全路径,供应控制器120和DAMS 110可以在部件之间发送数字数据,而没有它将在途中受损或被修改的担忧。还可以通过这些信道来传递命令和控制信息。例如,供应控制器120可以控制某些数字资产和数据被发送到哪个分发器型器具108、131。它还可以指示分发器型器具108、131如何在它正供应的制造线上将该数据出口节流(meter out)到设备106。此外,分发器型器具108、131可以将信息报告回到供应控制器120,而没有它将在途中受损或被修改的担忧。例如,安全供应控制器120可以对分发器型器具108、131进行编程以向多达10,000个设备供应任何类型的数字资产——例如证书、软件、融合内容等等。分发器型器具108、131可以对它正供应的设备进行计数,并且当它达到其限制的时候,它将把那个报告给供应控制器120。在各种实现方式中,受供应控制器120管理的设备(例如108、110、131、115、116、117)包括如下功能性:如果它们不与供应控制器120有规律地通信,则所述功能性使得它们停止操作;因而,如果它们被偷,于是它们变得无用。该功能性防止丢失/被偷的设备继续如同它们仍位于恰当制造环境中那样运作以及用于供应设备106。
继续参考图1中所示的示例,在操作中,位于制造商105处的分发器型器具108从DAMS 110安全地接收数字资产,并且将它们供应到测试器107以用于设备106A。由于每个设备106A由制造商105制造,所以测试器107与设备106A通信以从设备106A得到信息,诸如其唯一的标识号和状态,并且将数字资产下载或以其它方式安装到设备中,诸如数字证书。测试器107还可以从设备106A向分发器型器具108供给信息(例如供应状态),所述分发器型器具108将该信息安全地传送到DAMS 110和/或供应控制器120。在一些实现方式中,测试器107可以包括软件输送层安全性(TLS)代理,其在分发器型器具108与设备106A之间安全地输送数据,其事实上通过使用与每个设备106A相关联的短暂密钥、经由分发器型器具108和测试器107而在DAMS 110与设备106A之间创建安全加密的通信路径。
在它初始被供应之后,制造商105将设备106A装运(ship)到安装者130,所述安装者130安装设备106B。在各种实现方式中,在初始供应之前,设备106A是非运转的;并且在通过制造商105的初始供应之后,设备106B尚未全运转,尽管它可能部分运转。在此类实现方式中,初始供应使得设备仅仅在对于安装和另外的最终供应而言所需要的程度上运转,需要此来使得它全运作。
安装者130将设备106B安装到其操作环境中,并且安装者130的员工成员132经由安装者门户116向供应控制器120通知该事实。该通知证明安装被恰当地完成,并且优选地包括如下信息:所述信息向供应控制器120唯一地标识设备106B。在一些实现方式中,分发器型器具131在针对状态和标识信息查询了设备106B之后可以自动地通知供应控制器120。在其中安装者130经由安装者门户116证明了他已经恰当地安装了设备106B的各种实现方式中,该证明可以通过供应控制器120被存记/保存到数据库125中。证明可以包括与每个特定的所安装的设备106B有关的特定测试数据,诸如无线电传输功率测量或GPS天线位置验证。
响应于安装通知,供应控制器120验证:(i)设备106B被列在其数据库125中,作为被制造商105合法制造的设备,(ii)设备106B被列在其数据库125中,因为已经被制造商105成功地初始地供应,以及(iii)安装者130被列在其数据库125中作为经授权的安装者。如果该验证成功,则控制器120指引DAMS 110发送对于在操作上供应设备106B而言所需要的数字资产(例如匿名证书(PC))和/或其它信息,使得设备106B在被安装在其操作环境中时可以恰当地运转。
在各种实现方式中,调控者140,其经由调控者门户117而与供应控制器120交互,用于标识、验证和管理安装者130和/或制造商105,使得未经授权的安装者(例如黑客)不能从系统100获得可信数字资产。调控者140的员工成员可以通过供应控制器120被认证,并且可以具有随系统100的唯一ID,使得其动作可以被唯一地存记。在各种实现方式中,调控者140可以使用调控者门户117来查询供应控制器120以获得通过控制器120所存记的信息的拷贝和报告,诸如证明报告、安装者动作、所制造的设备106A的数目和身份、安装的数目和身份、全供应的设备106B等等。
在各种实现方式中,安装者130必须经认证为被供应控制器120授权以便与系统100交互。为了变成被授权,安装者130可以例如必须执行适当的契约文档,声明他们将在目标环境(例如目标载具或站点等等)中恰当地安装设备106B。可以例如通过调控者140来要求安装者130对其它契约元素作证明。优选地,每个安装者130在系统100内具有唯一ID,使得它们的动作可以通过供应控制器120被唯一地存记。
系统100及其功能性的所述实现方式确保了仅有已经被制造商105制造并且被经授权的安装者130恰当安装并且测试和的设备106被完全供应有对于使得设备106运作而言所需要的数字资产。供应控制器120针对在供应过程中的每个阶段由谁采取了什么动作而产生大量日志和报告,从而提供了在常规系统的情况下尚不存在的关键审计能力。
普通技术人员将认识到,在图1中所示的部件、过程、数据、操作和实现方式细节是为了解释的简明和清楚而呈现的示例。可以使用其它部件、过程、实现方式细节和变型,而不偏离本发明的原理,因为本示例不意图是限制性的并且许多变型是可能的。例如,尽管在图1中示出了仅一个制造商105、仅一个安装者130和仅一个调控者140,但是其它实现方式对这些实体中的每一个可以具有任何数目。对于另一示例,尽管DAMS 110和供应控制器120被示出为分离的设备,但是其它实现方式可以将其功能性组合到单个设备、例如单个服务器中。作为又一示例,对于门户115-117可以进行相同的。对于又一示例,系统100可以附加地包括资产管理器具(AMA,未被示出),如在2016年11月14日提交的、通过引用被并入的申请号为62/421,852的美国临时申请中所述。在这种实现方式中,AMA可以通信地被连接到供应控制器120和/或分发器型器具108、131和/或DAMS 110。在各种实现方式中,AMA可以包括用户友好的GUI和功能性,其允许生产协调者容易并且高效地管理产品(例如设备106)配置和构建,并且允许资产拥有者容易并且高效地管理数字资产的库存。
图2是泳道线图解,其图示了与本发明的实现方式一致的用于安全地供应计算机化的设备的过程200的示例。在各种实现方式中,过程200的一些或所有或者所示的操作可以由在通用计算系统(其可以包括一个或多个处理器或者一个或多个计算子系统)上执行的代码、由仅有硬件的系统、或由作为二者混合的系统来执行。如跨图2的顶部所示,在过程200的情况下所涉及的实体包括计算机化的设备106的制造商105、位于制造商105处的分发器型器具108、供应控制器120和DAMS 110。在各种实现方式中,这些实体可能并且可以与彼此通信,如关于图1以及贯穿本公开内容所描述的。
如图2的示例中所示,过程200开始于205处,其中制造商105(例如员工成员109)从供应控制器130请求(一个或多个)数字资产供应服务,其中(一个或多个)数字资产将被供应到设备106A(例如被设备106A使用),并且其中所述请求可以对作为数字资产的目的地的设备106A进行标识。请求可以是例如:制造商105可以针对新产品而请求供应服务或者针对现有产品而做出新供应服务请求。在各种实现方式中,该操作可以涉及经授权的用户例如经由用户门户115而登录到供应控制器130上。在一些情况中,所请求的数字资产可以是安全凭证、诸如登入证书;设备106将运行的可执行代码;数字操作参数;等等。登入证书是公共密钥证书,它将其持有者标识为生态系统中经授权的参与者,其中所有参与者必须共享有效的登入证书(诸如USDOT的V2X生态系统),并且其中经授权的参与者能够还接收匿名证书,所述匿名证书使能设备106在生态系统内的通信和操作(例如使能在USDOT的V2X生态系统的示例中在载具和路边基础设施之间的通信和操作)。
在210处,供应控制器120确定来自制造商109的用户是否是经授权的用户。在一些实现方式中,供应控制器120还可以在210处确定将被供应的设备106A(例如产品)是否被批准用于供系统100使用。在一些实例中,经批准的设备的列表可以由图1的调控者140提供,并且由供应控制器120用于做出该确定。
如果用户(和/或产品)未经授权,于是供应控制器120拒绝针对数字资产供应服务的请求(未在图2中示出)。如果另一方面经授权的用户正在做出请求(例如针对经授权的产品)(210,是),于是供应控制器120指引、指令或以其它方式控制DAMS 110以满足服务请求,其例如通过(在215处)将服务请求指令传输到DAMS 110。
在220处,响应于从215接收到请求以及在从215接收到请求的条件上,DAMS 110基于所述请求来配置它本身以开始对于设备106A的服务。在一些实现方式中,DAMS 110还可以向分发器型器具108发送(未被示出)指令,用于配置分发器型器具108以服务设备106A。
在222处,DAMS 110生成、创建、计算和/或检索针对设备106A的数字资产,如在205处所请求的。在各种实现方式中,DAMS 110可以创建或生成所请求的(一个或多个)数字安全资产,诸如公共和私有密钥对,以及针对设备106A的(一个或多个)登入证书和(一个或多个)匿名证书。
在操作222的可替换的实现方式(未在图2中示出)中,DAMS 110从分发器型器具108请求和接收与设备106A相关联的数字资产生成信息,诸如由设备106A生成并且从设备106A处检索的登入和匿名公共密钥,以及对设备106A唯一地进行标识的数据(例如微处理器序列号)。在此类实现方式中,DAMS 110然后使用登入和匿名公共密钥来生成数字资产——例如针对设备106A的登入证书以及适当数目的匿名证书。
在225处,DAMS 110将数字资产传输到制造商105的分发器型器具108,所述制造商105在205处请求数字资产服务。例如,DAMS 110可以将公共和私有密钥对、登入证书和匿名证书安全地传输到制造商105的分发器型器具108。
在226处,DAMS 110将与数字资产相关的日志信息传输到供应控制器120。在各种实现方式中,日志信息可以包括对数字资产的请求和传递进行描述的信息,诸如请求者的ID、数字资产的ID、分发器型器具的ID、请求和传输动作的时间戳、所接收的微处理器序列号等等。在一些实现方式中,日志信息可以包括数字资产的拷贝。在227处,供应控制器120接收日志信息,并且将日志信息例如存储在数据库125中。供应控制器120事实上维护在系统100中发生的所有活动的审计追踪,其允许汇编许多类型的数据,诸如与可以如何构建设备106A以及如何由制造商105供应设备106A以及何时相关的数据。此类数据和日志信息可以用于记账以及审计目的。
在230处,分发器型器具108接收并且存储由DAMS 110发送的数字资产(例如公共和私有密钥对、登入证书和匿名证书)。
在235处,分发器型器具108从设备106A请求并且接收数字安全资产、诸如公共密钥,其可以用于将数字资产从分发器型器具108安全地传递到设备106A。各种类型的设备106A具有生成短暂密钥对的能力,其也许通过使用被构建到设备106中的安全处理器,并且所述公共密钥可以是短暂密钥对的部分。在240处,分发器型器具108使用数字安全资产(例如公共密钥),用于将数字资产(例如登入证书)安全地传输到设备106A。在各种实现方式中,分发器型器具108可以使用设备106A的公共密钥来与设备106A形成例如虚拟私有网络(VPN),并且在其中安全地传输数字资产。
在各种实现方式中,分发器型器具108可以采用在它与测试器107之间的输送层安全性(TLS),用于与测试器107的安全通信,所述测试器107可以被连接到设备106A。在其中合期望的是具有直接与设备106A的安全通信的实现方式中,所述系统可以在设备106A上创建短暂公共密钥对,并且通过使用公共密钥连同来自分发器型器具108的、包含分发器型器具108的公共密钥的证书,创建到设备106A的安全隧道。在此类实现方式中,设备106A将会运行特殊的代码——所述特殊的代码在其中具有系统100的根公共密钥——用于验证分发器型器具108发送到它的证书。
一旦在设备106A或测试器107与分发器型器具108之间建立了安全路径,设备106A于是就可以创建登入和匿名公共密钥对(例如针对V2X生态系统)并且将公共密钥和其它数据导出到分发器型器具108,并且分发器型器具108然后可以将该数据发送到DAMS 110和供应控制器120。如以上关于操作222的可替换实现方式所描述的,DAMS 110可以使用所接收的公共密钥来创建登入证书和(一个或多个)匿名证书——在一些实现方式中,可以存在大量(例如3000)个匿名证书。在实现方式的该可替换示例中,在操作225处,DAMS 110将把这些(一个或多个)证书返回到分发器型器具108,如先前所描述的。在一些其它实现方式中,取决于在哪里执行供应,DAMS 110可以将这些证书传输到分发器型器具131、而不是108。
在一些实现方式中,分发器型器具108可以直接与设备106通信,例如,如果设备106具有其自己的无线或有线通信功能性并且至少部分地运作的话。在其它实现方式中,分发器型器具108可以经由中间设备、诸如测试器107来间接与设备106通信。
设备106A接收数字资产,并且存储它以用于在操作期间使用。例如,如果设备106A是汽车车载单元(OBU)或电子控制单元(ECU),并且数字资产是对于加入无线网络而言所需要的安全资产(例如公共密钥证书),那么数字安全资产由OBU存储。当OBU稍后被安装在汽车中并且被激活的时候,它将尝试连接到无线网络。在允许OBU连接到网络之前,网络将尝试认证OBU。OBU仅仅在它具有由制造商105处的分发器型器具108所提供的数字安全资产的情况下将能够认证并且加入网络。
在245处,分发器型器具108从设备106A接收或访问状态信息,所述状态信息指示设备106A是否成功接收并且安装(例如存储)了在240处传输的数字资产。
在250处,分发器型器具108将状态信息传输到供应控制器120。并且在255处,供应控制器120接收并且存储与在操作227中所存储的日志信息相关联的状态信息。因而,供应控制器120继续针对与每个特定设备106相关联的所有系统100活动的审计追踪或审计日志。在各种实现方式中,审计日志可以包含针对每个设备106的信息,所述信息指示:制造商的供应(例如操作235-245)的成功或失败;数字资产(和/或数字资产本身的拷贝)的身份;密码的类型;等等。
在270处,如果设备106A被成功地供应有数字资产,于是制造商105将设备释放到市场。例如,制造商105可以将设备106A物理地装运到一公司,所述公司在其操作环境中安装所述设备(例如图1的安装者公司130)。在一些实现方式中,设备106A可以在该时间点处被完全编程或供应,并且能够以全功能性而运作;而在其它实现方式中,设备106A可以在该点处被仅仅部分地编程或供应,并且不能以全功能性而运作或者是非运转的。
图2中所描绘的示例仅仅用于图示的目的,并且不意图是限制性的。此外,所描绘的过程200是已经为了清楚解释与某些所公开的实现方式一致的某些新颖和创造性特征而稍微被简化的示例,但是该示例不意图是限制性的,并且许多变型是可能的。例如,虽然功能和操作被示出为以特定次序被执行,但是所述的次序仅仅是示例,并且可以与某些所公开的实现方式一致地执行操作的各种不同序列。此外,操作被描述为仅仅用于解释目的的分立步骤,并且在一些实现方式中,多个操作可以被同时执行,和/或作为单个计算或较大操作的部分被执行。所述操作不意图是穷举性的、限制性的或绝对的,并且各种操作可以被修改、插入或移除。作为变型的示例,尽管一般地在单个数字资产(例如单个数字证书)的上下文中描述了图2,但是系统和过程将类似地运转以处置多个数字资产(例如两个或更多数字证书)。对于另一示例,在其中设备106A没有安全通信能力的情况中,操作235和240可以被移除,并且分发器型器具108可以通过使用未经加密的通信来与设备106B通信。
对于又一示例,在各种实现方式中,供应控制器120或代理权限、诸如专门化的签名器具可以类似地向分发器型器具108传输,并且使它将另一或附加的数字资产加载到设备106B中,包括数字资产、诸如软件、固件、融合型二进制大物件(fuse blobs)、清单文件等等。在此类实现方式中,供应控制器120可以附加地或可替换地从存储装置检索、获得、或以其它方式访问、或直接访问所请求的数字资产。例如(未在图2中示出),供应控制器120或其经授权的代理可以检索将被加载到设备106A中并且被设备106A运行的可执行软件映像(例如被存储在数据库125中的所编译的计算机程序),并且将可执行的软件映像发送到分发器型器具108以用于编程到设备中。在各种实现方式中,由供应控制器120所访问的数字资产可以仅仅包括软件等等,其被设备106A的制造商105安全地供给、释放和/或授权,使得没有任何未经授权的软件可以被加载到设备106A中。在一些实现方式中,由供应控制器120所检索的数字资产可以被存储在存储设备或数据库中,所述存储设备或数据库与供应控制器120、诸如图1的数据库125相关联。
图3是泳道线图解,其图示了与本发明的实现方式一致的用于安全地供应计算机化的设备的过程200的示例。在各种实现方式中,过程300的一些或所有或者所示的操作可以由在通用计算系统(其可以包括一个或多个处理器或者一个或多个计算子系统)上执行的代码、由仅有硬件的系统、或由作为二者混合的系统来执行。如跨图3的顶部所示,在过程300的情况下所涉及的实体包括计算机化的设备106的安装者130、位于安装者130处的分发器型器具131、供应控制器120和DAMS 110。在各种实现方式中,这些实体可能并且可以与彼此通信,如关于图1以及贯穿本公开内容所描述的。
如图3的示例中所示,过程300开始于305处,其中安装者130接收设备106B(例如OBU或ECU),所述设备106B由制造商105制造以及释放或装运(参见图2的操作270)。在310处,安装者130可以将设备106B安装到其操作环境中,诸如安装到更大的系统中。例如,安装者130可以是汽车制造商,其从制造商105处购买OBU,并且安装者130可以将OBU安装到汽车中。在各种实现方式中,安装设备106B可以包括:在安装之后测试设备106B的操作、运转等等,以及收集相关的状态数据。
在一些实现方式中,设备106B可以仅仅部分地被供应并且不是全运转。例如,设备106B的制造商105可以已向设备106B供应了仅登入证书,使得设备106B将需要被进一步供应有另一数字证书、诸如匿名证书以便获得全功能性,例如用于与另一全编程的设备106通信的功能性。
在315处,安装者130(例如员工成员132)将安装状态数据传输到供应控制器120。在各种实现方式中,安装状态数据包括被安装的设备的不可变标识符,例如序列号、或其它固定的、唯一标识的信息,诸如来自一次性生成并且从不被擦除的密钥对的公共密钥。安装状态数据还可以包括其它信息,诸如安装者130的唯一标识符、指示如何以及何时安装了设备106B的信息、与在所安装的设备106B上进行的测试的结果相关的信息、证明安装者130根据可适用的规范而安装了设备106B的信息、契约要求、和或指令、和/或其它类似信息。
在320处,供应控制器120确定来自安装者130的用户是否是经授权的用户。如果不是,那么供应控制器120拒绝安装状态通信(未在图3中被示出)。如果另一方面经授权的用户在做出请求(320,是),那么供应控制器120确定(325)在安装状态数据中所标识的设备106B是否是经授权的设备。在一些实现方式中,供应控制器120可以确定通过对照先前存储的信息来验证其数据库125有如下情况而授权设备106B:1)在其数据库125中存在针对设备106B的记录;2)所述记录指示了在制造商105处成功地供应了设备106B;3)所述记录指示了设备106B被发送到安装者130(其在320中被验证为是经授权的安装者)。
如果在安装状态数据中所标识的设备未经授权,那么供应控制器120拒绝安装状态通信(未在图3中被示出)。如果另一方面在安装状态数据中所标识的设备106B经授权(325,是),那么供应控制器120在330处存储安装状态数据,与相关联于设备106B的日志信息。例如,与设备106B相关联的日志信息可以已经在先前被存储在数据库125中,如关于图2的操作227所描述的。
在335处,供应控制器120指引、指令或以其它方式控制DAMS 110以满足供应请求,其例如通过向DAMS 110传输用于供应设备106B的请求,所述设备106B在安装者130处。在340处,响应于从335接收到请求以及在从335接收到请求的条件上,DAMS 110生成和/或检索在335处请求的数字资产。在各种实现方式中,DAMS 110可以创建或生成所请求的数字资产、诸如匿名证书或其它公共密钥证书,如关于图2所描述的。在各种实现方式中,DAMS 110或供应控制器120、而不是DAMS 110可以附加地或可替换地从存储装置检索、获得或以其它方式访问所请求的数字资产,诸如先前被存储在数据库125中用于在设备106B的类型的设备中使用的可执行映像。
在345处,DAMS 110将数字资产传输到安装者130的分发器型器具131,所述安装者130在315处传输安装状态。例如,DAMS 110可以将匿名证书安全地传输到安装者130的分发器型器具131。
在350处,分发器型器具131执行与操作230-245相同或相似的操作,如关于有关图2所解释的。在355处,分发器型器具131将状态信息传输到供应控制器120。并且在360处,供应控制器120接收并且存储与先前存储的有关于设备106B的信息相关联的状态信息,诸如在操作227中所存储的状态信息。因而,供应控制器120继续针对与每个特定设备106相关联的所有系统100活动的审计追踪或审计日志。
图3中所描绘的过程300是用于图示的目的的示例,并且不意图是限制性的。此外,所描绘的过程300是已经为了清楚解释与某些所公开的实现方式一致的某些新颖和创造性特征而稍微被简化的示例,但是许多变型是可能的。例如,虽然功能和操作被示出为以特定次序被执行,但是所述的次序仅仅是示例,并且可以与某些所公开的实现方式一致地执行操作的各种不同序列。此外,操作被描述为仅仅用于解释目的的分立步骤,并且在一些实现方式中,多个操作可以被同时执行,和/或作为单个计算或较大操作的部分被执行。所述操作不意图是穷举性的、限制性的或绝对的,并且各种操作可以被修改、插入或移除。
图4A和4B一起是根据本发明的实现方式的用于实现可缩放且安全的数字资产管理系统的系统400的示例的框图。系统400的各种实现方式可以用于极高容量设备事务以及证书生成处理。在各种实现方式中,系统400可以通过使用多个服务器、硬件安全模块、多个计算或计算引擎、以及多个虚拟机(VM)来被实现。系统400的示例可以被实现在私有数据中心、诸如AWS之类的云数据中心中、或私有和云数据中心的混合物中。
在各种实现方式中,系统400可以是数字资产管理系统(DAMS)110、可以是数字资产管理系统(DAMS)110的部分、或可以与数字资产管理系统(DAMS)110交互,所述数字资产管理系统(DAMS)110可以如关于图1以及本公开内容的其它章节所描述的那样运转。
如在图4的示例中所示,架构可以包括两个供应控制器120——主要和备用的,其优选地被实现在分离的服务器中。两个供应控制器120包括功能性,使得被包含在主要供应控制器中的对象、数据等等被拷贝或以其它方式被包含在备用(次要)供应控制器中。如果主要供应控制器出于任何原因而变得脱机,则可以在线购买备用供应控制器以替换所述主要供应控制器。这提供供应控制器120的连续的(或非常高的)可用性。在各种实现方式中,主要的和备用的供应控制器可以如关于图1以及本公开内容的其它章节所描述的那样。在各种实现方式中,供应控制器120可以用如本文中关于在图1的供应控制器120与DAMS 110之间的连接和通信所述的相同或相似的方式而连接到系统400。通常,供应控制器120管理系统元件、包括基础设施,使得仅有经明确授权的元件可以参与并且与系统400交互。在各种实现方式中,供应控制器120可以与用户(例如制造商105或安装者130)的雇员标识和授权系统集成,或它可以提供其自己的用于标识和授权的能力使得仅有经授权的用户可以使用系统400。
系统400的架构将非安全性有关的应用与安全性功能分离。如在该示例中所示,注册权限420、证书权限430、440以及链接权限450、460被实现为在其自己的虚拟机上的应用,所述虚拟机执行在其自己的专用计算引擎425、435、445、555、465上,所述专用计算引擎中的所有都与任何非安全性有关的应用和功能分离。这提供在常规系统之上的技术和安全性优势以及改进二者,其中硬件安全性模块的性能是缓慢的,或者其中云服务提供商不能供给HSM,或其中其对HSM的恰当管理是不确定的。通过将关键安全性功能与彼此分离并且将其分离到分离的计算引擎上,如图4中所示,例如,如通过注册权限420、证书权限430、440以及链接权限450、460所执行的计算密集的密码和安全性功能(例如椭圆曲线蝴蝶扩展计算或椭圆曲线数字签名)与现有注册权限系统相比显著更快地被执行。该设计使能在事务处理中的显著改进,其通过使得“瓶颈”应用能够在需要时被缩放。例如,如果在405和420上运行的注册权限应用需要缩放,则可以添加附加的VM,而在425的安全计算能力中可以不需要任何改变。可替换地,如果安全计算是限制性的性能,则可以添加附加的安全计算引擎425。对于400的其它部件而言,该相同的多维缩放也是如此。该能力提供在其它现有SCMS系统之上的显著性能改进。
在各种实现方式中,注册权限405可以是在供应网络中的权限,所述供应网络验证针对数字证书、或其它类型的数字安全资产的用户请求,并且使得证书权限(例如证书权限430、440)能够发布数字证书。在各种实现方式中,注册权限405可以类似于在公共密钥基础设施(PKI)系统中已知的注册权限。在各种实现方式中,注册权限405可以被实现为代表性的状态传递(REST)web(网络)服务。如通过图4中针对注册权限405所示出的三个“堆叠的”矩形所表示的,在各种实现方式中,可以存在同时执行的注册权限405的多个实例。针对图4的其它“堆叠”的元素,这类似地被表示。
如出现在矩形的左下方的“DB”箭头所表示的,注册权限405(以及利用“DB”箭头所示出的图4的其它部件)可以被连接到数据库470。在优选的实现方式中,数据库470是快速访问、低等待时间的数据库。在一些实现方式中,数据库470可以是NoSQL数据库或数据库服务,诸如由Amazon web(网络)服务所提供的DynamoDB数据服务。在各种实现方式中,被存储在数据库470中的数据是应用相关的,但是可以包括过去发布的证书、各种链接权限值、已经向其发布了证书的设备上的数据、运营商动作等等。注意到,数据可以要么未经加密、经加密地被存储,要么是其某种组合地被存储。
在图4中所示的示例中,注册权限405被连接到其它部件,并且其它部件被连接到彼此,这通过消息传递子系统或服务,其通过框410来被表示。在一些实现方式中,消息传递服务410可以是快速消息排队服务、诸如由Amazon web(网络)服务所提供的Amazon简单队列服务(SQS)。
在各种实现方式中,系统400包括登入证书权限430以及匿名证书权限440,因为由注册权限405所产生的数字证书被拆分成不同的分段——例如登入数字证书和匿名数字证书。
在各种实现方式中,链接权限450、460将证书请求者的身份(即证书请求者的设备的唯一的标识符)链接到所发布的匿名证书,以用于撤销目的。
在各种实现方式中,计算引擎425、435、445、455和465以及供应控制器120包括HSM,其允许这些部件执行安全计算,而不过度地受黑客威胁。在一些实现方式中,计算引擎425、435、445、455以及465可以被设计成执行安全计算本身,而在此类实现方式中不需要嵌入式HSM,它们具体化HSM。
普通技术人员将认识到,在图4中所示的部件、过程、数据、操作和实现方式细节是为了解释的简明和清楚而呈现的示例。可以使用其它部件、过程、实现方式细节和变型,而不偏离本发明的原理,因为本示例不意图是限制性的并且许多变型是可能的。
图5是计算环境501的示例的框图,所述计算环境501包括可以用于实现与本发明的实现方式一致的系统和方法的计算系统500。还可以使用其它部件和/或布置。在一些实现方式中,计算系统500可以用于至少部分地实现图1-3的各种部件,除了其它之外尤其诸如供应控制器120和DAMS 110。在一些实现方式中,类似于计算系统500的一系列计算系统可以各自利用专门化的硬件被定制和/或被编程为专门化的服务器,以实现图1-3的部件之一,所述部件可以经由网络535而与彼此通信。
在图5中所示的示例中,计算系统500包括多个部件,诸如中央处理单元(CPU)505、存储器510、(一个或多个)输入/输出(I/O)设备525、硬件安全性模块(HSM)540、以及非易失性存储设备520。可以用各种方式来实现系统500。例如,作为集成平台(诸如服务器、工作站、个人计算机、膝上型电脑等等)的实现方式可以包括CPU 505、存储器510、非易失性存储装置520和I/O设备525。在这种配置中,部件505、510、520和525可以通过局部数据总线进行连接和通信,并且可以经由外部I/O连接来访问数据储库530(其例如被实现为分离的数据库系统)。(一个或多个)I/O部件525可以通过直接通信链路(例如硬接线的或局部wifi连接)、通过网络、诸如局域网(LAN)或广域网(WAN,诸如蜂窝式电话网络或因特网)和/或通过其它合适的连接而连接到外部设备。系统500可以是独立的,或它可以是更大系统的子系统。
CPU 505可以是一个或多个已知的处理器或处理设备,诸如由加利福利亚州圣克拉拉(Santa Clara, CA)的Intel™公司所制造的来自Core™族的微处理器,或由加利福利亚州森尼维耳市(Sunnyvale, CA)的AMD™公司所制造的来自Athlon™族的微处理器。存储器510可以是一个或多个快速存储设备,其被配置成存储由CPU 505执行或使用以施行与本发明实现方式有关的某些功能、方法和过程的指令和信息。存储装置520可以是易失性或非易失性的磁性、半导体、带式、光学、或其它类型的存储设备或计算机可读介质,包括意图用于长期存储的、诸如CD和DVD以及固态设备之类的设备。
在所图示的实现方式中,存储器510包含从存储装置520或从远程系统(未被示出)所加载的一个或多个程序或应用515,其当被CPU 505执行的时候施行与本发明一致的各种操作、进程、过程或方法。可替换地,CPU 505可以执行位于远离系统500处的一个或多个程序。例如,系统500可以经由网络535来访问一个或多个远程程序,其当被执行的时候施行与本发明实现方式有关的功能和过程。
在一个实现方式中,存储器510可以包括(一个或多个)程序515,其用于执行在本文中针对供应控制器120、DAMS 110和/或分发器型器具108、131所描述的专门化功能和操作。在一些实现方式中,存储器510还可以包括其它程序或应用,所述程序或应用实现向本发明提供辅助功能性的其它方法和过程。
存储器510还可以被配置有与本发明无关的其它程序(未被示出)和/或当被CPU505执行的时候施行本领域中众所周知的若干功能的操作系统(未被示出)。作为示例,操作系统可以是Microsoft Windows™、Unix™、Linux™、Apple Computers™操作系统或其它操作系统。对操作系统以及甚至对操作系统使用的选择对于本发明而言不是关键的。
HSM 540可以是具有其自己的处理器的设备,所述处理器安全地生成并且存储数字安全资产和/或安全地执行各种密码和敏感计算。HSM 540保护数字安全资产、诸如密码密钥和其它敏感数据免受攻击者的可能的访问。在一些实现方式中,HSM可以是插入式卡或板,其直接附连到计算系统500。
(一个或多个)I/O设备525可以包括一个或多个输入/输出设备,其允许数据通过系统500被接收和/或传输。例如,I/O设备525可以包括一个或多个输入设备、诸如键盘、触摸屏、鼠标等等,其使得数据能够从用户被输入。此外,I/O设备525可以包括一个或多个输出设备,诸如显示屏、CRT监视器、LCD监视器、等离子体显示器、打印机、扬声器设备等等,其使得数据能够被输出或呈现给用户。I/O设备525还可以包括一个或多个数字和/或模拟通信输入/输出设备,其允许计算系统500例如数字地与其它机器和设备通信。其它配置和/或数目的输入和/或输出设备可以被并入在I/O设备525中。
在所示的实现方式中,系统500被连接到网络535(诸如因特网、私有网络、虚拟私有网络、蜂窝式网络或其它网络或这些的组合),所述网络535可以进而被连接到各种系统和计算机器,诸如服务器、个人计算机、膝上型计算机、客户端设备等等。通常,系统500可以经由网络535从外部机器和设备输入数据并且向外部机器和设备输出数据。
在图5中所示的示例性实现方式中,数据源530是在系统500外部的独立数据库、诸如数据库125。在其它实现方式中,数据源530可以由系统500托管。在各种实现方式中,数据源530可以管理并且存储用于实现与本发明一致的系统和方法的数据。例如,数据源530可以管理并且存储数据结构,所述数据结构包含针对由系统100所供应的每个设备106的状态和日志信息等等。
数据源530可以包括一个或多个数据库,所述数据库存储信息,并且通过系统500被访问和/或管理。作为示例,数据库530可以是Oracle™数据库、Sybase™数据库或其它关系数据库。然而,与本发明一致的系统和方法不限于分离的数据结构或数据库,或甚至数据库或数据结构的使用。
普通技术人员将认识到,在图5中的系统的部件和实现方式细节是为了解释的简明和清楚而呈现的示例。可以使用其它部件和实现方式细节。
尽管前述示例为了解释的清楚而使用计算机化的设备、诸如OBU、ECU和RSU的特定示例,但是本发明不限于那些特定的示例。与本发明一致的各种实现方式可以与多种多样的计算机化的设备一起使用以及用于多种多样的计算机化的设备,所述计算机化的设备除了其它之外尤其诸如医学设备(例如透析机、输液泵等等);机器人;无人机;自主载具;以及无线通信模块(例如嵌入式通用集成电路卡(eUICC))。
出自对本文中所公开的本发明的规范和实践的考虑,对于本领域技术人员而言,本发明的其它实现方式将是清楚的。所意图的是,说明书和示例仅仅被认为是示例性的,其中本发明的真实范围由以下权利要求书来指示。
Claims (14)
1.一种用于安全地供应计算机化的设备的系统,所述系统包括:
第一分发器型器具,其通信地连接到计算机化的设备,并且其可操作以接收第一数字资产并且将第一数字资产加载到计算机化的设备中;
数字资产管理系统,其经由第一安全通信信道被连接到分发器型器具,并且其可操作以生成第一数字资产并且有条件地将所述第一数字资产传输到分发器型器具;以及
供应控制器,其经由第二安全通信信道被连接到分发器型器具,并且经由第三安全通信信道被连接到数字资产管理系统,并且其可操作以指引第一数字资产管理系统将第一数字资产传输到分发器型器具;
第二分发器型器具,其经由第四安全通信信道被连接到数字资产管理系统,并且其在第一分发器型器具被断开之后被通信地连接到计算机化的设备,并且其可操作以接收第二数字资产并且将第二数字资产加载到计算机化的设备中;
其中在数字资产被加载到计算机化的设备中之前,计算机化的设备不运转,
其中所述供应控制器此外可操作以指引数字资产管理系统将第二数字资产传输到分发器型器具,并且
其中在第二数字资产被加载到计算机化的设备中之后,计算机化的设备全运转。
2.根据权利要求1所述的用于安全地供应计算机化的设备的系统,其中所述数字资产管理系统包括:
运行注册权限应用并且被通信地连接到一个或多个计算引擎的一个或多个虚拟机,所述计算引擎执行由注册权限应用所需要的密码计算;
运行登入证书权限应用并且被通信地连接到一个或多个计算引擎的一个或多个虚拟机,所述计算引擎执行由登入证书权限应用所需要的密码计算;
运行匿名证书权限应用并且被通信地连接到一个或多个计算引擎的一个或多个虚拟机,所述计算引擎执行由匿名证书权限应用所需要的密码计算;
运行第一链接权限应用并且被通信地连接到一个或多个计算引擎的一个或多个虚拟机,所述计算引擎执行由第一链接权限应用所需要的密码计算;以及
运行第二链接权限应用并且被通信地连接到一个或多个计算引擎的一个或多个虚拟机,所述计算引擎执行由第二链接权限应用所需要的密码计算。
3.根据权利要求2所述的用于安全地供应计算机化的设备的系统,其中所述数字资产管理系统此外包括:
数据库,所述数据库可操作地被连接到运行注册权限应用的所述一个或多个虚拟机、运行登入证书权限的所述一个或多个虚拟机、运行匿名证书权限应用的所述一个或多个虚拟机、运行第一链接权限应用的所述一个或多个虚拟机、以及运行第二链接权限应用的所述一个或多个虚拟机。
4.根据权利要求1所述的用于安全地供应计算机化的设备的系统,此外包括:
第一门户,其可操作地连接到供应控制器,并且其认证计算机化的设备的制造商并且使得制造商能够管理计算机化的设备的供应。
5.根据权利要求4所述的用于安全地供应计算机化的设备的系统,此外包括:
第二门户,其可操作地连接到供应控制器,并且其认证计算机化的设备的安装者并且使得安装者能够管理计算机化的设备的供应。
6.根据权利要求1所述的用于安全地供应计算机化的设备的系统,此外包括:
第三门户,其可操作地连接到供应控制器,并且其认证计算机化的设备的调控者并且使得调控者能够调控计算机化的设备的供应。
7.根据权利要求1所述的用于安全地供应计算机化的设备的系统,其中所述供应控制器此外可操作以将第一数字资产传输到分发器型器具以用于加载到计算机化的设备中。
8.根据权利要求7所述的用于安全地供应计算机化的设备的系统,其中所述第一数字资产是由计算机化的设备运行的可执行代码。
9.根据权利要求1所述的用于安全地供应计算机化的设备的系统,其中所述第一数字资产是以下各项中至少一个:数字证书、密码密钥和可执行软件。
10.根据权利要求1所述的用于安全地供应计算机化的设备的系统,其中供应控制器此外可操作以创建并且维护与计算机化的设备相关联的日志,并且其存储与针对计算机化的设备的供应活动相关的信息。
11.根据权利要求10所述的用于安全地供应计算机化的设备的系统,其中所述数字资产管理系统此外可操作以将与有关于计算机化的设备的供应活动相关的信息传输到供应控制器以用于存储在日志中。
12.根据权利要求10所述的用于安全地供应计算机化的设备的系统,其中所述第一分发器型器具此外可操作以将与有关于计算机化的设备的供应活动相关的信息传输到供应控制器以用于存储在日志中。
13.根据权利要求1所述的用于安全地供应计算机化的设备的系统,其中所述供应控制器此外可操作以在指引数字资产管理系统传输第一数字资产之前认证计算机化的设备。
14.根据权利要求1所述的用于安全地供应计算机化的设备的系统,其中所述计算机化的设备是嵌入式通用集成电路卡。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210427579.4A CN114826577A (zh) | 2016-11-14 | 2017-11-14 | 设备的安全供应和管理 |
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662421878P | 2016-11-14 | 2016-11-14 | |
| US201662421852P | 2016-11-14 | 2016-11-14 | |
| US62/421878 | 2016-11-14 | ||
| US62/421852 | 2016-11-14 | ||
| US201762487909P | 2017-04-20 | 2017-04-20 | |
| US62/487909 | 2017-04-20 | ||
| PCT/US2017/061511 WO2018089990A1 (en) | 2016-11-14 | 2017-11-14 | Secure provisioning and management of devices |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210427579.4A Division CN114826577A (zh) | 2016-11-14 | 2017-11-14 | 设备的安全供应和管理 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110326252A CN110326252A (zh) | 2019-10-11 |
| CN110326252B true CN110326252B (zh) | 2022-05-17 |
Family
ID=62106892
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210427579.4A Pending CN114826577A (zh) | 2016-11-14 | 2017-11-14 | 设备的安全供应和管理 |
| CN201780083309.3A Active CN110326252B (zh) | 2016-11-14 | 2017-11-14 | 设备的安全供应和管理 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210427579.4A Pending CN114826577A (zh) | 2016-11-14 | 2017-11-14 | 设备的安全供应和管理 |
Country Status (6)
| Country | Link |
|---|---|
| US (6) | US10503881B2 (zh) |
| EP (2) | EP3539254B1 (zh) |
| JP (4) | JP6788752B2 (zh) |
| KR (4) | KR102216322B1 (zh) |
| CN (2) | CN114826577A (zh) |
| WO (1) | WO2018089990A1 (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10284684B2 (en) * | 2016-09-14 | 2019-05-07 | Microsoft Technology Licensing, Llc | IoT hardware certification |
| CN114826577A (zh) | 2016-11-14 | 2022-07-29 | 诚信保安服务有限责任公司 | 设备的安全供应和管理 |
| US10581620B2 (en) * | 2016-11-14 | 2020-03-03 | Integrity Security Services Llc | Scalable certificate management system architectures |
| US10341864B2 (en) * | 2017-03-03 | 2019-07-02 | Verizon Patent And Licensing Inc. | Network-based device registration for content distribution platforms |
| US11256799B2 (en) * | 2017-08-29 | 2022-02-22 | Seagate Technology Llc | Device lifecycle distributed ledger |
| US10505902B2 (en) * | 2017-09-11 | 2019-12-10 | Adobe Inc. | Securely identifying a device using a DNS-controlled proxy |
| WO2019060539A1 (en) * | 2017-09-21 | 2019-03-28 | Lg Electronics, Inc. | METHODS AND CRYPTOGRAPHIC SYSTEMS FOR MANAGING DIGITAL CERTIFICATES WITH BINDING VALUES |
| US10878248B2 (en) | 2017-10-26 | 2020-12-29 | Seagate Technology Llc | Media authentication using distributed ledger |
| US10476679B2 (en) | 2017-11-14 | 2019-11-12 | INTEGRITY Security Services, Inc. | Systems, methods, and devices for multi-stage provisioning and multi-tenant operation for a security credential management system |
| US10680834B2 (en) * | 2018-01-31 | 2020-06-09 | GM Global Technology Operations LLC | Security credential programming system for programming security processor chips of vehicle control modules |
| US10169587B1 (en) | 2018-04-27 | 2019-01-01 | John A. Nix | Hosted device provisioning protocol with servers and a networked initiator |
| US10958425B2 (en) | 2018-05-17 | 2021-03-23 | lOT AND M2M TECHNOLOGIES, LLC | Hosted dynamic provisioning protocol with servers and a networked responder |
| WO2020014024A1 (en) * | 2018-07-07 | 2020-01-16 | Integrity Security Services Llc | Scalable certificate management system architectures |
| CN110858804B (zh) * | 2018-08-25 | 2022-04-05 | 华为云计算技术有限公司 | 确定证书状态的方法 |
| US11556364B2 (en) * | 2018-09-20 | 2023-01-17 | Cable Television Laboratories, Inc. | Method and apparatus for enabling public key infrastructure in the generic cloud environment and the network function |
| WO2020071974A1 (en) * | 2018-10-05 | 2020-04-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Authorization of a device being equipped with an embedded universal integrated circuit card |
| US11165774B2 (en) * | 2018-12-14 | 2021-11-02 | Vmware, Inc. | Delegated authentication to certificate authorities |
| US20220376931A1 (en) * | 2019-10-08 | 2022-11-24 | Lg Electronics, Inc. | Balancing privacy and efficiency for revocation in vehicular public key infrastructures |
| TW202121191A (zh) * | 2019-10-30 | 2021-06-01 | 英商物聯保全有限公司 | 資料配置裝置、通信系統、以及配置方法 |
| US20220122066A1 (en) * | 2019-12-13 | 2022-04-21 | Xiaonan Du | System and method for remote management of digital assets |
| US20220129886A1 (en) * | 2019-12-13 | 2022-04-28 | Xiaonan Du | System and method for isolated management of digital assets |
| US11443566B2 (en) | 2020-04-01 | 2022-09-13 | Ford Global Technologies, Llc | Unified secure automatic ECU provisioning and ECU message validation |
| US11956639B2 (en) * | 2020-10-26 | 2024-04-09 | International Business Machines Corporation | Internet of things device provisioning |
| US11720682B2 (en) * | 2020-12-02 | 2023-08-08 | Dell Products, L.P. | Systems and methods for bare-metal or pre-boot user-machine authentication, binding, and entitlement provisioning |
| US11768963B2 (en) * | 2021-01-22 | 2023-09-26 | Nxp Usa, Inc. | System and method for validating trust provisioning operation on system-on-chip |
| CN114071418B (zh) * | 2021-08-30 | 2022-07-12 | 兰州大学 | 一种基于机密计算的车联网认证协议方法 |
| KR102549872B1 (ko) * | 2021-12-06 | 2023-07-05 | (주)더프라이밍 | 건조기 컨트롤러 |
| WO2024046552A1 (de) * | 2022-08-31 | 2024-03-07 | Siemens Aktiengesellschaft | Computer-implementiertes verfahren zum einrichten einer neuen komponente in einer technischen anlage und leitsystem für eine technische anlage |
Family Cites Families (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU7593601A (en) * | 2000-07-14 | 2002-01-30 | Atabok Inc | Controlling and managing digital assets |
| US7328344B2 (en) | 2001-09-28 | 2008-02-05 | Imagitas, Inc. | Authority-neutral certification for multiple-authority PKI environments |
| US7788480B2 (en) * | 2003-11-05 | 2010-08-31 | Cisco Technology, Inc. | Protected dynamic provisioning of credentials |
| US7707405B1 (en) * | 2004-09-21 | 2010-04-27 | Avaya Inc. | Secure installation activation |
| EP2220807B1 (en) | 2007-12-13 | 2013-02-13 | Certicom Corp. | Devices and method for controlling features on a device |
| US20090191857A1 (en) * | 2008-01-30 | 2009-07-30 | Nokia Siemens Networks Oy | Universal subscriber identity module provisioning for machine-to-machine communications |
| JP5342649B2 (ja) | 2008-11-24 | 2013-11-13 | サーティコム コーポレーション | ハードウェアベースセキュリティのためのシステムおよび方法 |
| US20110191581A1 (en) | 2009-08-27 | 2011-08-04 | Telcordia Technologies, Inc. | Method and system for use in managing vehicle digital certificates |
| US8627063B2 (en) | 2009-12-23 | 2014-01-07 | Citrix Systems, Inc. | Systems and methods for flash crowd control and batching OCSP requests via online certificate status protocol |
| RU2479151C2 (ru) * | 2010-07-21 | 2013-04-10 | Эппл Инк, | Сетевое устройство для выделения виртуального модуля идентификации абонента пользовательскому устройству, сетевое устройство, предназначенное для использования с точкой продаж и службой предоставления виртуального модуля идентификации абонента, способ распространения виртуального модуля идентификации абонента и способ распространения клиента доступа |
| US8332631B2 (en) * | 2010-11-22 | 2012-12-11 | Intel Corporation | Secure software licensing and provisioning using hardware based security engine |
| US9467297B2 (en) | 2013-08-06 | 2016-10-11 | Bedrock Automation Platforms Inc. | Industrial control system redundant communications/control modules authentication |
| US9191203B2 (en) | 2013-08-06 | 2015-11-17 | Bedrock Automation Platforms Inc. | Secure industrial control system |
| JP5533935B2 (ja) * | 2012-05-10 | 2014-06-25 | トヨタ自動車株式会社 | ソフトウェア配信システム、ソフトウェア配信方法 |
| US9137656B2 (en) * | 2012-06-27 | 2015-09-15 | Rogers Communications Inc. | System and method for remote provisioning of embedded universal integrated circuit cards |
| US9621540B2 (en) * | 2012-12-21 | 2017-04-11 | Intel Corporation | Secure provisioning of computing devices for enterprise connectivity |
| US20140280595A1 (en) | 2013-03-15 | 2014-09-18 | Polycom, Inc. | Cloud Based Elastic Load Allocation for Multi-media Conferencing |
| US10069903B2 (en) | 2013-04-16 | 2018-09-04 | Amazon Technologies, Inc. | Distributed load balancer |
| US9760886B2 (en) * | 2013-05-10 | 2017-09-12 | Visa International Service Association | Device provisioning using partial personalization scripts |
| US9538311B2 (en) | 2014-02-04 | 2017-01-03 | Texas Instruments Incorporated | Auto-provisioning for internet-of-things devices |
| US20150229475A1 (en) * | 2014-02-10 | 2015-08-13 | Qualcomm Incorporated | Assisted device provisioning in a network |
| DE102014204044A1 (de) | 2014-03-05 | 2015-09-10 | Robert Bosch Gmbh | Verfahren zum Widerrufen einer Gruppe von Zertifikaten |
| US9571464B2 (en) | 2014-08-11 | 2017-02-14 | Intel Corporation | Network-enabled device provisioning |
| EP3195625A2 (en) * | 2014-09-19 | 2017-07-26 | PCMS Holdings, Inc. | Systems and methods for secure device provisioning |
| US9602290B2 (en) | 2014-10-16 | 2017-03-21 | Infineon Technologies Ag | System and method for vehicle messaging using a public key infrastructure |
| EP3024261B1 (en) * | 2014-11-24 | 2020-01-01 | Samsung Electronics Co., Ltd. | Downloading a communication profile in a wearable electronic device by using the user interface of a mobile device |
| FR3029728B1 (fr) * | 2014-12-04 | 2017-01-06 | Oberthur Technologies | Procede de provisionnement d'un profil de souscripteur pour un module securise |
| US10462073B2 (en) * | 2015-01-06 | 2019-10-29 | The Boeing Company | Aircraft control domain communication framework |
| EP3057350A1 (en) * | 2015-02-13 | 2016-08-17 | Gemalto Sa | Method for remote subscription management of an eUICC, corresponding terminal |
| US10083291B2 (en) * | 2015-02-25 | 2018-09-25 | Verisign, Inc. | Automating internet of things security provisioning |
| US9461976B1 (en) * | 2015-03-25 | 2016-10-04 | Mcafee, Inc. | Goal-driven provisioning in IoT systems |
| EP3278213A4 (en) | 2015-06-05 | 2019-01-30 | C3 IoT, Inc. | SYSTEMS, METHODS AND DEVICES FOR AN APPLICATION DEVELOPMENT PLATFORM OF AN INTERNET OF THE THINGS OF A COMPANY |
| US10484351B2 (en) | 2016-01-28 | 2019-11-19 | Etas Embedded Systems Canada Inc. | System and method for certificate selection in vehicle-to-vehicle applications to enhance privacy |
| WO2018027059A1 (en) | 2016-08-03 | 2018-02-08 | KryptCo, Inc. | Systems and methods for delegated cryptography |
| US10346152B2 (en) * | 2016-09-20 | 2019-07-09 | At&T Intellectual Property I, L.P. | Facilitating use of a universal integrated circuit card (UICC) for secure device updates |
| CN114826577A (zh) | 2016-11-14 | 2022-07-29 | 诚信保安服务有限责任公司 | 设备的安全供应和管理 |
| US10581620B2 (en) | 2016-11-14 | 2020-03-03 | Integrity Security Services Llc | Scalable certificate management system architectures |
| US10826905B2 (en) | 2016-12-05 | 2020-11-03 | Citrix Systems, Inc. | Secure access to on-premises web services from multi-tenant cloud services |
| US11018875B2 (en) | 2017-08-31 | 2021-05-25 | Onboard Security, Inc. | Method and system for secure connected vehicle communication |
-
2017
- 2017-11-14 CN CN202210427579.4A patent/CN114826577A/zh active Pending
- 2017-11-14 CN CN201780083309.3A patent/CN110326252B/zh active Active
- 2017-11-14 KR KR1020207031236A patent/KR102216322B1/ko active IP Right Grant
- 2017-11-14 KR KR1020217014273A patent/KR102347659B1/ko active IP Right Grant
- 2017-11-14 JP JP2019547216A patent/JP6788752B2/ja active Active
- 2017-11-14 EP EP17868918.8A patent/EP3539254B1/en active Active
- 2017-11-14 WO PCT/US2017/061511 patent/WO2018089990A1/en unknown
- 2017-11-14 KR KR1020197014581A patent/KR102174665B1/ko active Application Filing
- 2017-11-14 KR KR1020217003847A patent/KR102253814B1/ko active IP Right Grant
- 2017-11-14 US US15/812,510 patent/US10503881B2/en active Active
- 2017-11-14 EP EP21183157.3A patent/EP3907639A1/en active Pending
-
2019
- 2019-09-05 US US16/561,509 patent/US10599819B2/en active Active
-
2020
- 2020-03-23 US US16/826,848 patent/US10762178B2/en active Active
- 2020-08-24 US US17/000,943 patent/US10956542B2/en active Active
- 2020-10-27 JP JP2020179883A patent/JP7018109B2/ja active Active
-
2021
- 2021-03-22 US US17/208,302 patent/US11138294B2/en active Active
- 2021-08-12 US US17/400,814 patent/US11586709B2/en active Active
-
2022
- 2022-01-26 JP JP2022009802A patent/JP7280396B2/ja active Active
-
2023
- 2023-05-11 JP JP2023078671A patent/JP2023103358A/ja active Pending
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110326252B (zh) | 设备的安全供应和管理 | |
| US11153101B2 (en) | Scalable certificate management system architectures | |
| US11153103B2 (en) | Systems, methods, and devices for multi-stage provisioning and multi-tenant operation for a security credential management system | |
| JP2023120287A (ja) | 拡張可能な証明書管理システムアーキテクチャ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40015934 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |