專(zhuān)利名稱(chēng):用于移動(dòng)設(shè)備授證的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及配置(provision)移動(dòng)設(shè)備�����,并且具體來(lái)說(shuō)��,涉 及通過(guò)使用在一個(gè)或更多個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商可訪問(wèn)的集中式設(shè)備目錄中保持 的初步簽約標(biāo)識(shí)信息(preliminary subscription identity information)來(lái)促
進(jìn)移動(dòng)裝置的空中激活���。
背景技術(shù):
高效的設(shè)備制造�、分發(fā)和激活是有效開(kāi)拓由無(wú)線通信的不斷變革所 提供的商機(jī)范圍的關(guān)鍵推動(dòng)因素���。以必要的簽約憑證(subscription credential)來(lái)配置用戶設(shè)備的現(xiàn)有方式代表了一種對(duì)更有效率的運(yùn)營(yíng)的 阻礙��。
例如�����, 一種常規(guī)方法依賴(lài)于銷(xiāo)售或者分發(fā)己安裝有用戶識(shí)別模塊 (SIM)的用戶設(shè)備����。每個(gè)SIM都包括一般地實(shí)現(xiàn)為卡片式小外形的防 篡改電路模塊,其中��,所述電路模塊存儲(chǔ)有特定網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證信息�����。 換言之�,通過(guò)預(yù)先編程的SIM將用戶設(shè)備關(guān)聯(lián)到特定網(wǎng)絡(luò)運(yùn)營(yíng)商,并且 用戶呼叫或者以其它方式聯(lián)系網(wǎng)絡(luò)運(yùn)營(yíng)商以提供計(jì)費(fèi)信息等����。作為響應(yīng), 網(wǎng)絡(luò)運(yùn)營(yíng)商在一個(gè)或更多個(gè)用戶數(shù)據(jù)庫(kù)中將該SIM標(biāo)記為有效�,由此使 用戶設(shè)備可以工作。
己經(jīng)提出了至少部分地使該配置過(guò)程自動(dòng)化的方法���。例子包括 Macaluso的美國(guó)專(zhuān)利公開(kāi)2005/0079863,其公開(kāi)了一種空中配置(在相 關(guān)文獻(xiàn)中通常稱(chēng)為"OTA"配置)的形式��;Smith的美國(guó)專(zhuān)利公開(kāi) 2007/0099599�,其討論了無(wú)線服務(wù)的動(dòng)態(tài)配置以及經(jīng)由對(duì)互聯(lián)網(wǎng)數(shù)據(jù)庫(kù)的 訪問(wèn)來(lái)進(jìn)行初始配置;Hind的美國(guó)專(zhuān)利No. 6,980,660����,其公開(kāi)了使用企 業(yè)數(shù)據(jù)庫(kù)來(lái)初始化無(wú)線通信設(shè)備的方法�����;以及Holmes的美國(guó)專(zhuān)利No. 6,490,445���,其公開(kāi)了使用無(wú)線設(shè)備中的臨時(shí)訪問(wèn)信息以允許空中配置的受限網(wǎng)絡(luò)訪問(wèn)形式。
然而��, 一般來(lái)說(shuō)��,看起來(lái)整個(gè)問(wèn)題框架的復(fù)雜度已經(jīng)妨礙了現(xiàn)有方法提供一種簡(jiǎn)化制造��、銷(xiāo)售并最終針對(duì)安全的空中配置而簡(jiǎn)化移動(dòng)設(shè)備的注冊(cè)的整體系統(tǒng)和方法��。
發(fā)明內(nèi)容
本文所教導(dǎo)的方法和系統(tǒng)允許移動(dòng)設(shè)備制造商預(yù)先配置移動(dòng)設(shè)備以與能夠訪問(wèn)集中式設(shè)備目錄服務(wù)器的任何網(wǎng)絡(luò)運(yùn)營(yíng)商簽約�。在至少一個(gè)實(shí)施方式中,移動(dòng)設(shè)備被配置有臨時(shí)設(shè)備標(biāo)識(shí)符����,所述臨時(shí)設(shè)備標(biāo)識(shí)符也被保存在可由任意數(shù)量的網(wǎng)絡(luò)運(yùn)營(yíng)商訪問(wèn)的集中式設(shè)備目錄服務(wù)器中。有利的是����,可以通過(guò)任何參與的網(wǎng)絡(luò)為移動(dòng)站授權(quán)臨時(shí)接入權(quán)��,并且經(jīng)由與能夠簽發(fā)永久簽約憑證的網(wǎng)絡(luò)運(yùn)營(yíng)商相關(guān)聯(lián)的憑證服務(wù)器
(credential server)的協(xié)作��,能夠使用該接入權(quán)以獲得永久簽約憑證��。
因此�����, 一種促進(jìn)空中移動(dòng)通信設(shè)備激活的方法包括以下步驟在集中式設(shè)備目錄服務(wù)器處��,存儲(chǔ)包括移動(dòng)設(shè)備的初步簽約憑證信息的設(shè)備記錄��,和將所述初步簽約憑證信息的至少一部分安全地發(fā)送給初始配置方���,以用于對(duì)所述移動(dòng)設(shè)備進(jìn)行初始配置。所述初始配置方可以例如是移動(dòng)設(shè)備制造商��。所述方法繼續(xù)進(jìn)行以下步驟從與所述移動(dòng)設(shè)備的預(yù)定終端用戶相關(guān)聯(lián)的給定網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證服務(wù)器接收所述移動(dòng)設(shè)備的設(shè)備標(biāo)識(shí)符�,并相應(yīng)地將所述憑證服務(wù)器的網(wǎng)絡(luò)地址信息與所述設(shè)備記錄聯(lián)系起來(lái)。
所述方法繼續(xù)進(jìn)行以下步驟響應(yīng)于所述移動(dòng)設(shè)備試圖使用所述初
步簽約憑證信息來(lái)接入無(wú)線通信網(wǎng)絡(luò)�����,從認(rèn)證服務(wù)器接收驗(yàn)證請(qǐng)求���。響應(yīng)于所述驗(yàn)證請(qǐng)求�,如果所述移動(dòng)設(shè)備的初步簽約憑證信息有效�����,則所述目錄服務(wù)器將基于所述初步簽約憑證信息中包括的密鑰的認(rèn)證向量發(fā)
送給所述認(rèn)證服務(wù)器����。所述方法還包括以下步驟所述目錄服務(wù)器隨后
從所述移動(dòng)設(shè)備接收憑證服務(wù)器地址請(qǐng)求;以及將針對(duì)所述移動(dòng)設(shè)備而
存儲(chǔ)的所述設(shè)備記錄相聯(lián)系的所述憑證服務(wù)器的網(wǎng)絡(luò)地址信息發(fā)送給所述移動(dòng)設(shè)備����。在另一個(gè)實(shí)施方式中, 一種促進(jìn)空中移動(dòng)通信設(shè)備激活的系統(tǒng)包括:集中式設(shè)備目錄服務(wù)器�����。該實(shí)施方式中的所述目錄服務(wù)器包括一個(gè)或更多個(gè)處理電路����,所述處理電路被配置成執(zhí)行以下步驟存儲(chǔ)包括移動(dòng)設(shè)備的初步簽約憑證信息的設(shè)備記錄;以及將所述初步簽約憑證信息的至少一部分安全地發(fā)送給初始配置方���,以用于對(duì)所述移動(dòng)設(shè)備進(jìn)行初始配置��。所述目錄服務(wù)器還被配置成執(zhí)行以下步驟從與所述移動(dòng)設(shè)備的預(yù)期終端用戶相關(guān)聯(lián)的給定網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證服務(wù)器接收所述移動(dòng)設(shè)備的設(shè)備標(biāo)識(shí)符���,并相應(yīng)地將所述憑證服務(wù)器的網(wǎng)絡(luò)地址信息與對(duì)應(yīng)的所述設(shè)備記錄聯(lián)系起來(lái)��。
所述目錄服務(wù)器被配置為執(zhí)行以下步驟響應(yīng)于所述移動(dòng)設(shè)備試圖使用所述初步簽約憑證信息來(lái)接入無(wú)線通信網(wǎng)絡(luò)�����,從認(rèn)證服務(wù)器接收驗(yàn)證請(qǐng)求��;以及如果所述移動(dòng)設(shè)備的初步簽約憑證信息有效���,則將基于所述初步簽約憑證信息中包括的密鑰的認(rèn)證向量發(fā)送給所述認(rèn)證服務(wù)器。此外��,所述目錄服務(wù)器被配置為執(zhí)行以下步驟在所述移動(dòng)設(shè)備通過(guò)所述認(rèn)證向量獲得對(duì)所述無(wú)線通信網(wǎng)絡(luò)的臨時(shí)接入權(quán)之后�,從所述移動(dòng)設(shè)備接收憑證服務(wù)器地址請(qǐng)求,并且相應(yīng)地將針對(duì)所述移動(dòng)設(shè)備而存儲(chǔ)的所述設(shè)備記錄相聯(lián)系的所述憑證服務(wù)器的網(wǎng)絡(luò)地址信息發(fā)送給所述移動(dòng)設(shè)備����。
在以上一個(gè)或更多個(gè)實(shí)施方式中,所述初步簽約憑證信息(也被稱(chēng)為初步簽約標(biāo)識(shí))包括密鑰與初步國(guó)際移動(dòng)用戶標(biāo)識(shí)(簡(jiǎn)稱(chēng)為PIMSI���,Preliminary International Mobile Subscriber Identity)的酉己對(duì)�。因it匕���,所述設(shè)備目錄存儲(chǔ)例如一批PIMSI與密鑰對(duì)����,并且設(shè)備制造商以單獨(dú)的PIMSI與密鑰對(duì)來(lái)配置單個(gè)移動(dòng)設(shè)備��。
當(dāng)然�����,本發(fā)明并不受到以上特征和優(yōu)點(diǎn)的限制��。實(shí)際上�����,本領(lǐng)域技術(shù)人員在閱讀了以下詳細(xì)描述并査看了附圖之后將認(rèn)識(shí)到另外的特征和優(yōu)點(diǎn)�����。
圖1是用于促進(jìn)移動(dòng)設(shè)備的空中配置的�、包括集中式設(shè)備目錄服務(wù)器的系統(tǒng)的至少一部分的一個(gè)實(shí)施方式的框圖���,該集中式設(shè)備目錄服務(wù) 器向與例如設(shè)備制造商相關(guān)聯(lián)的初始配置服務(wù)器提供初步簽約憑證信 息。
圖2是包括臨時(shí)設(shè)備標(biāo)識(shí)符和密鑰的"設(shè)備記錄"數(shù)據(jù)元素或數(shù)據(jù)結(jié)
構(gòu)的一個(gè)實(shí)施方式的框圖�。
圖3是移動(dòng)設(shè)備的一個(gè)實(shí)施方式的框圖。 .圖4是可以在集中式設(shè)備目錄服務(wù)器處實(shí)現(xiàn)的處理邏輯的一個(gè)實(shí)施 方式的邏輯流程圖���,所述處理邏輯用于生成和分發(fā)在對(duì)移動(dòng)設(shè)備進(jìn)行初 始配置中使用的預(yù)備簽約標(biāo)識(shí)���。
圖5是可以在初始配置服務(wù)器處實(shí)現(xiàn)的處理邏輯的一個(gè)實(shí)施方式的 邏輯流程圖,該處理邏輯基于接收到的或者與存儲(chǔ)在集中式設(shè)備目錄服 務(wù)器中的初步簽約憑證信息相關(guān)聯(lián)的信息對(duì)移動(dòng)設(shè)備進(jìn)行初始配置����。
圖6是一個(gè)或更多個(gè)憑證服務(wù)器的一個(gè)實(shí)施方式的框圖,所述憑證 服務(wù)器可通信地連接到集中式設(shè)備目錄服務(wù)器并且與一個(gè)或更多個(gè)網(wǎng)絡(luò) 運(yùn)營(yíng)商相關(guān)聯(lián)�����。
圖7是可以在憑證服務(wù)器處實(shí)現(xiàn)的處理邏輯的邏輯流程圖�����,該處理 邏輯使集中式設(shè)備目錄服務(wù)器將其為特定移動(dòng)設(shè)備保存的特定的初步簽 約憑證信息關(guān)聯(lián)到憑證服務(wù)器��。
圖8是例示了包括有集中式設(shè)備目錄服務(wù)器的用于促進(jìn)移動(dòng)設(shè)備的 空中配置的整個(gè)系統(tǒng)的一個(gè)實(shí)施方式的框圖�。
具體實(shí)施例方式
圖1例示了集中式設(shè)備目錄服務(wù)器10 ("目錄服務(wù)器10")的一個(gè)實(shí) 施方式�����,如本文所設(shè)想的����,該目錄服務(wù)器10用于促進(jìn)移動(dòng)設(shè)備的空中激 活�。在本文中應(yīng)該廣義地解釋術(shù)語(yǔ)"移動(dòng)設(shè)備"�����。通過(guò)非限制性示例的方 式��,該術(shù)語(yǔ)包括蜂窩無(wú)線電話和其他類(lèi)型的無(wú)線移動(dòng)站����,并且包括網(wǎng)絡(luò) 訪問(wèn)卡和其他無(wú)線通信模塊。同樣地���,應(yīng)該廣義地輛釋術(shù)語(yǔ)"激活"�����,該 術(shù)語(yǔ)至少指這樣的方法�����,借助該方法��,即使用戶通過(guò)另一網(wǎng)絡(luò)運(yùn)營(yíng)商獲 得了臨時(shí)網(wǎng)絡(luò)接入權(quán)�����,用戶也可通過(guò)空中配置過(guò)程從用戶的關(guān)聯(lián)網(wǎng)絡(luò)運(yùn)
9營(yíng)商方便且安全地獲得永久(長(zhǎng)期)簽約憑證����。
首先從根據(jù)附圖中例示的示例性細(xì)節(jié)以更詳細(xì)地理解目錄服務(wù)器10
開(kāi)始,來(lái)更好地領(lǐng)會(huì)本文所設(shè)想的激活系統(tǒng)和方法的靈活性和方便性����。
目錄服務(wù)器10包括數(shù)據(jù)存儲(chǔ)部12或與數(shù)據(jù)存儲(chǔ)部12相關(guān)聯(lián),并且包括 --個(gè)或更多個(gè)處理電路14�。處理電路14包括通信接口 16和初步簽約處 理電路18 ("簽約處理電路18")。處理電路14包括硬件���、軟件或硬件與 軟件的任意組合�����。例如��,處理電路14可以包括一個(gè)或更多個(gè)基于微處理 器的電路�����,所述電路被配置為通過(guò)執(zhí)行所存儲(chǔ)的程序指令來(lái)執(zhí)行本文所 描述的功能���??梢詫⑦@些指令實(shí)施為例如保存在數(shù)據(jù)存儲(chǔ)部12的計(jì)算機(jī) 可讀介質(zhì)中的計(jì)算機(jī)程序產(chǎn)品��,或者可以將這些指令保存在目錄服務(wù)器 10所包括的或關(guān)聯(lián)的其他存儲(chǔ)器/存儲(chǔ)裝置中���。
存儲(chǔ)在目錄服務(wù)器10處的其他信息包括設(shè)備記錄22的批次20。作 為示例���,例示了設(shè)備記錄22-l到22-N���。如圖2所示,在至少一個(gè)實(shí)施方 式中�����,各設(shè)備記錄22都包括用于移動(dòng)設(shè)備的初步簽約信息���。在一個(gè)實(shí)施 方式中�����,各設(shè)備記錄22都包括臨時(shí)設(shè)備標(biāo)識(shí)符24和密鑰26���。此外�����,如 將在后面解釋的��,各設(shè)備記錄22都關(guān)聯(lián)有(例如�����,包括或指向)憑證服 務(wù)器網(wǎng)絡(luò)地址信息28�。(此外����,盡管未在附圖中明確示出,但是目錄服務(wù) 器10可以在各設(shè)備記錄22中存儲(chǔ)公共設(shè)備標(biāo)識(shí)符(PDI)����。在一個(gè)實(shí)施 例中�����,通過(guò)對(duì)臨時(shí)設(shè)備標(biāo)識(shí)符24使用單向"哈希"函數(shù)來(lái)獲得PDI)�。
根據(jù)該基本設(shè)置�,各設(shè)備記錄22都表示一個(gè)移動(dòng)設(shè)備的臨時(shí)簽約憑 證。在一個(gè)或更多個(gè)實(shí)施方式中��,目錄服務(wù)器10被配置為生成多個(gè)批次 20的設(shè)備記錄22��,之后可以將這些批次20的設(shè)備記錄22分發(fā)給與初始 地配置移動(dòng)設(shè)備有關(guān)的任意數(shù)量的參與方�����。 一般地��,設(shè)備記錄22被分發(fā) 給一個(gè)或更多個(gè)移動(dòng)設(shè)備制造商�����。在本文的至少一個(gè)實(shí)施方式中���,針對(duì) 不同制造商生成不同批次20的設(shè)備記錄22。例如,假設(shè)臨時(shí)設(shè)備標(biāo)識(shí)符 24被生成為號(hào)碼(例如���,初步國(guó)際移動(dòng)用戶標(biāo)識(shí)(PIMSI))�,則可以針 對(duì)不同設(shè)備制造商使用不同范圍的號(hào)碼�。這樣使得與隨后的移動(dòng)設(shè)備的 空中激活有關(guān)的網(wǎng)絡(luò)元素能根據(jù)移動(dòng)設(shè)備所報(bào)告的臨時(shí)設(shè)備標(biāo)識(shí)符24的 范圍值來(lái)確定設(shè)備的制造商。現(xiàn)在��,再次參照?qǐng)Dl�����,可以看到目錄服務(wù)器io生成一個(gè)或更多個(gè)批 次20的設(shè)備記錄22�,并將設(shè)備記錄22分發(fā)給一個(gè)或更多個(gè)移動(dòng)設(shè)備制 造商中的每一個(gè)的初始配置服務(wù)器30 (或其他計(jì)算機(jī)系統(tǒng))。具體來(lái)說(shuō)��, 圖1例示了與不同移動(dòng)設(shè)備制造商1到R相關(guān)聯(lián)的配置服務(wù)器30-1到 30-R��。各配置服務(wù)器30都從設(shè)備目錄10接收一定數(shù)量的設(shè)備記錄22�����, 并將單獨(dú)的設(shè)備記錄22的全部或部分加載到該配置服務(wù)器30正在進(jìn)行 初始配置的移動(dòng)設(shè)備32中的特定一個(gè)中����?�?梢詫⑦@種加載集成到制造過(guò) 程中��。
優(yōu)選地�����,如圖3所示���,各移動(dòng)設(shè)備32都包括系統(tǒng)電路40 (處理器、 用戶接口電路等)�、通信電路42 (蜂窩、WLAN�、 WiFi等),以及例如根 據(jù)ARM TrustZone �、移動(dòng)可信模塊(MTM,Mobile Trusted Module)或 可信平臺(tái)模塊(TPM, Trusted Platfrom Module)實(shí)現(xiàn)所構(gòu)造的可信模塊 44����。在一個(gè)或更多個(gè)實(shí)施方式中�,可信模塊44例如包括安全處理器46、 安全存儲(chǔ)器48和加密引擎50�����。可以使用其他安全處理環(huán)境�����,并且不應(yīng)該 將所例示的安全架構(gòu)細(xì)節(jié)理解為對(duì)本文所闡述的教導(dǎo)的限制���。
在任何情況中�����,初始配置服務(wù)器30由此將設(shè)備記錄22的全部或部 分加載到給定的移動(dòng)設(shè)備32中�����,其中�,目錄服務(wù)器10也保存有所述設(shè) 備記錄22����。以這種方式,通過(guò)將存儲(chǔ)在移動(dòng)設(shè)備32中的設(shè)備記錄信息與 存儲(chǔ)在目錄服務(wù)器10中的相應(yīng)設(shè)備記錄信息進(jìn)行驗(yàn)證�����,可以預(yù)測(cè)用戶隨 后對(duì)激活移動(dòng)設(shè)備32的嘗試���。
圖4和5總結(jié)了以上過(guò)程��,其中����,在圖4中,目錄服務(wù)器10生成初 步簽約標(biāo)識(shí)(框IOO)(例如�,生成包括PIMSI 24與密鑰26對(duì)的設(shè)備記 錄22)。目錄服務(wù)器IO然后將初步簽約標(biāo)識(shí)分發(fā)給移動(dòng)設(shè)備制造商(框 102)����。該操作可以是從目錄服務(wù)器IO"推(push)",或者從目錄服務(wù)器 IO"拉(pull)"��,其中所有這樣的傳送都經(jīng)受適當(dāng)?shù)陌踩?yàn)證等�����。目錄服 務(wù)器10與初始配置服務(wù)器30之間的通信可以基于互聯(lián)網(wǎng)��,或者基于一 些其他網(wǎng)絡(luò)連接��。
無(wú)論何種情況�,目錄服務(wù)器10都生成多個(gè)單獨(dú)的設(shè)備記錄22�����,每 一個(gè)都包括臨時(shí)設(shè)備標(biāo)識(shí)符24和密鑰26 (標(biāo)示為"Kp")對(duì)。如所注意到PIMSI等 于UMTS/GSM IMSI號(hào)���,使得標(biāo)準(zhǔn)移動(dòng)終端認(rèn)證過(guò)程可以用于PIMSI��。
目錄服務(wù)器10因此將PIMSI/Kp對(duì)發(fā)送給初始配置服務(wù)器30以作為設(shè)備 記錄22�����。例如��,多個(gè)設(shè)備記錄22被發(fā)送為PIMSI/K^��、 PIMSI2/Kp2����,......
等�����。目錄服務(wù)器10還可以發(fā)送其網(wǎng)絡(luò)地址信息��,或者可以使用該信息來(lái) 配置初始配置服務(wù)器30�����。
圖5例示了給定的移動(dòng)設(shè)備制造商的初始配置服務(wù)器30支持使用從 目錄服務(wù)器10接收到的初步簽約信息來(lái)配置單獨(dú)的移動(dòng)設(shè)備32 (框 104)。初始配置服務(wù)器30還可以將目錄服務(wù)器10的網(wǎng)絡(luò)地址信息與支 持使用初步簽約信息的網(wǎng)絡(luò)運(yùn)營(yíng)商的列表一同加載到各移動(dòng)設(shè)備32中
(框106)�。(假設(shè)多個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商在移動(dòng)設(shè)備的所在地提供覆蓋,該列表 因此允許移動(dòng)設(shè)備32隨后選擇適當(dāng)?shù)木W(wǎng)絡(luò)運(yùn)營(yíng)商���,以使用永久簽約憑證 來(lái)執(zhí)行對(duì)移動(dòng)設(shè)備32的空中配置���。)
更詳細(xì)地,初始配置服務(wù)器30可以被配置為使用安全處理來(lái)生成公 鑰/私鑰對(duì)(表示為PuK/PrK)����。在這些實(shí)施方式中,設(shè)備記錄22-x的初 步簽約信息因此將包括PuIQ�、 PrKx、 Kpx以及臨時(shí)設(shè)備標(biāo)識(shí)符24 (例如�, PIMSIX)。初始配置處理器30將該信息加載到移動(dòng)設(shè)備32的可信模塊44 中��。如所述的那樣����,初始配置服務(wù)器30還加載支持使用初步簽約信息的 網(wǎng)絡(luò)運(yùn)營(yíng)商的列表(例如,愿意接受使用PIMSI以獲得臨時(shí)網(wǎng)絡(luò)接入權(quán) 的網(wǎng)絡(luò)運(yùn)營(yíng)商的列表)。初始配置服務(wù)器還可以加載目錄服務(wù)器10的網(wǎng) 絡(luò)地址信息���。
更一般地���,應(yīng)該理解��,在一個(gè)或更多個(gè)實(shí)施方式中��,移動(dòng)設(shè)備32的 可信模塊44被配置有臨時(shí)設(shè)備標(biāo)識(shí)符24 (例如�����,PIMSIX)���、密鑰Kpx以 及公鑰/私鑰對(duì)PuKx/PrKx (稍后用于移動(dòng)設(shè)備32的空中激活)�,并且應(yīng)該 理解���,可以由初始配置服務(wù)器30來(lái)提供所有這些值���,或者可以由移動(dòng)設(shè) 備32自己生成所有這些值中的一個(gè)或更多個(gè)。例如����,在至少一個(gè)實(shí)施方 式中�,移動(dòng)設(shè)備32被配置為生成公鑰/私鑰對(duì)PuKx/PrKx�。配置信息一般 來(lái)說(shuō)還包括支持通過(guò)使用臨時(shí)設(shè)備標(biāo)識(shí)符24來(lái)進(jìn)行臨時(shí)無(wú)線通信網(wǎng)絡(luò)接 入權(quán)的網(wǎng)絡(luò)運(yùn)營(yíng)商的列表,并且可以可選地包括目錄服務(wù)器10的網(wǎng)絡(luò)地址信息�����。
在稍后的某個(gè)時(shí)間�����,將給定的移動(dòng)設(shè)備32出售給給定的網(wǎng)絡(luò)運(yùn)營(yíng)商 的用戶��,或者以與給定的移動(dòng)設(shè)備32的用戶相關(guān)聯(lián)為目標(biāo)��。作為示例性 說(shuō)明���,圖6描繪了三個(gè)不同的憑證服務(wù)器60-l�����、 60-2禾fl 60-3���,它們可以 表示來(lái)自三個(gè)不同網(wǎng)絡(luò)運(yùn)營(yíng)商的授證部件。例示的憑證服務(wù)器60可通信 地連接到目錄服務(wù)器10,并因此能夠向目錄服務(wù)器IO指出所述目錄服務(wù) 器10保持的哪些設(shè)備記錄22將與哪些憑證服務(wù)器60相關(guān)聯(lián)或相聯(lián)系����。
圖7例示了一個(gè)示例性實(shí)施方式,其中����,給定的網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證 服務(wù)器60-x例如通過(guò)互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)連接與目錄服務(wù)器10進(jìn)行通信����。 具體地說(shuō),憑證服務(wù)器60-x獲得或者以其他方式被提供了用戶數(shù)據(jù)(框 110)����。例如,銷(xiāo)售人員或者其他計(jì)算機(jī)系統(tǒng)向憑證服務(wù)器60-x提供特定 PDI的用戶詳情��,其中���,該P(yáng)DI與目錄服務(wù)器10中的單獨(dú)設(shè)備記錄22 相對(duì)應(yīng)�。憑證服務(wù)器60-x因此可以接收用戶記錄��,其中����,各用戶記錄都 包括特定用戶的詳情��、以及PDI和保持與該P(yáng)DI相對(duì)應(yīng)的設(shè)備記錄22的 目錄服務(wù)器10的地址����。
因此���,在憑證服務(wù)器60-x處���,使與特定的臨時(shí)設(shè)備標(biāo)識(shí)符24相對(duì) 應(yīng)的PDI與特定用戶的數(shù)據(jù)關(guān)聯(lián)或聯(lián)系起來(lái)。這種發(fā)揮簽約憑證作用的 用戶數(shù)據(jù)還可以包括秘密簽約值����,如UMTS"主密鑰"。在任何情況下�, 處理繼續(xù),憑證服務(wù)器60-x向目錄服務(wù)器10發(fā)送PDI信息(框112)�����。 接收到該P(yáng)DI信息使得目錄服務(wù)器10將與接收到的PDI信息相對(duì)應(yīng)的設(shè) 備記錄22與憑證服務(wù)器60-x關(guān)聯(lián)或聯(lián)系起來(lái)�。
目錄服務(wù)器10因此被配置為從憑證服務(wù)器60-x接收PDI,并且作為 響應(yīng)����,將與該P(yáng)DI相對(duì)應(yīng)的設(shè)備記錄22與憑證服務(wù)器60-x聯(lián)系起來(lái)�����。 作為一個(gè)示例���,PDI是PIMSI的單向哈希,并且設(shè)備目錄10處理PDI以 獲得對(duì)應(yīng)的PIMSI�����,然后使用恢復(fù)的PIMSI來(lái)對(duì)存儲(chǔ)的設(shè)備記錄22的一 個(gè)或更多個(gè)批次20進(jìn)行索引�,以識(shí)別與恢復(fù)的PIMSI相匹配的設(shè)備記錄 22��。
一旦識(shí)別出了正確的設(shè)備記錄22���,目錄服務(wù)器10就將其鏈接到憑 證服務(wù)器60-x����,例如����,將憑證服務(wù)器60-x的網(wǎng)絡(luò)地址信息存儲(chǔ)在識(shí)別出的設(shè)備記錄22中��,或者使該設(shè)備記錄22"指向"憑證服務(wù)器60-x�����。針對(duì)每 個(gè)這種鏈接的PDI設(shè)備記錄22��,憑證服務(wù)器60-x從目錄服務(wù)器60-x接 收憑證服務(wù)器60-x的第二密鑰(框114)�。該第二密鑰被標(biāo)示為Kt以指 示其臨時(shí)狀態(tài)���。目錄服務(wù)器10根據(jù)所涉及的設(shè)備記錄22的密鑰Kp進(jìn)行 推導(dǎo)����。例如�,Kt=F(Kp),其中�,"F"表示適當(dāng)?shù)拿艽a方面的強(qiáng)單向函數(shù)。 憑證服務(wù)器60-x將該臨時(shí)密鑰Kt與關(guān)聯(lián)于給定PDI的用戶數(shù)據(jù)的其余部 分一起存儲(chǔ)�����。
就以上的初步簽約注冊(cè)而言��,給定的移動(dòng)設(shè)備制造商可以將PDI和 對(duì)應(yīng)的設(shè)備目錄地址信息直地接發(fā)送給網(wǎng)絡(luò)運(yùn)營(yíng)商���。例如�����,可以將初始 配置服務(wù)器30或其他的制造商的計(jì)算機(jī)系統(tǒng)可通信地連接到一個(gè)或更多 個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證服務(wù)器60����。這種通信使得移動(dòng)設(shè)備制造商可以在任 何零售之前將特定的移動(dòng)設(shè)備32與特定的網(wǎng)絡(luò)運(yùn)營(yíng)商聯(lián)系起來(lái)。
附加地或者另選地�����,單獨(dú)的移動(dòng)設(shè)備32被投送給其相應(yīng)的購(gòu)買(mǎi)者���。 向這些購(gòu)買(mǎi)者提供了那些移動(dòng)設(shè)備32的PDI和設(shè)備目錄關(guān)聯(lián)�����,例如,以 書(shū)面或電子形式附隨在移動(dòng)設(shè)備自身上����。因此, 一旦終端用戶購(gòu)買(mǎi)或者 獲得特定的移動(dòng)設(shè)備32����,則該終端用戶向?qū)儆谶x擇的網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證 服務(wù)器60注冊(cè)該移動(dòng)設(shè)備32的PDI和設(shè)備目錄信息����。
圖8例示了作為本文所設(shè)想的整體方法的一部分的這種終端用戶注 冊(cè)的一個(gè)實(shí)施方式�。如在步驟1所示,目錄服務(wù)器10將PIMSI/密鑰對(duì) (PIMSIX/Kpx)提供給初始配置服務(wù)器30����。所提供的數(shù)據(jù)與目錄服務(wù)器 10中存儲(chǔ)的設(shè)備記錄22相匹配。
在步驟2處�����,初始配置服務(wù)器30生成公鑰/私鑰對(duì)(PuKx/PrKx)�,并 通過(guò)為單獨(dú)的移動(dòng)設(shè)備32-x加載PuKx/PrKx、 Kpx�、 PIMSIX、目錄服務(wù)器 10的網(wǎng)絡(luò)地址信息以及參與的網(wǎng)絡(luò)運(yùn)營(yíng)商的列表���,以此對(duì)該移動(dòng)設(shè)備 32-x進(jìn)行配置�。另選地�����,移動(dòng)設(shè)備32-x自己生成PuKx/PrKx,而不是由 初始配置服務(wù)器30來(lái)生成那些值���。
在步驟3處�����,終端用戶或其它與移動(dòng)設(shè)備32-x相關(guān)聯(lián)的用戶將用戶 注冊(cè)數(shù)據(jù)提交給憑證服務(wù)器60��。例如�����,憑證服務(wù)器60接收用戶標(biāo)識(shí)和計(jì) 費(fèi)信息�����、以及PDIx和目錄服務(wù)器10的網(wǎng)絡(luò)地址或其他識(shí)別信息����。在步驟4處��,憑證服務(wù)器60將PDIx提交給目錄服務(wù)器10�����,由此使 得目錄服務(wù)器10處理PDIx并識(shí)別對(duì)應(yīng)的設(shè)備記錄22-x����,并且將該設(shè)備 記錄22-x與提交憑證服務(wù)器60 (submitting credential server)聯(lián)系起來(lái)。
在步驟5處����,目錄服務(wù)器10將臨時(shí)密鑰K^返回給憑證服務(wù)器60。
在步驟6處����,移動(dòng)設(shè)備32-x與無(wú)線通信網(wǎng)絡(luò)70進(jìn)行聯(lián)系,并向無(wú) 線通信網(wǎng)絡(luò)70提供其臨時(shí)設(shè)備標(biāo)識(shí)符24 (例如�����,PIMSIx)�����。更具體地�, 移動(dòng)設(shè)備32-x可以被配置為嘗試使用標(biāo)準(zhǔn)GSM/UMTS注冊(cè)流程向無(wú)線 通信網(wǎng)絡(luò)70進(jìn)行注冊(cè),在該標(biāo)準(zhǔn)GSM/UMTS注冊(cè)流程中��,作為注冊(cè)的 一部分,移動(dòng)設(shè)備32-x將其PIMSIx提供給網(wǎng)絡(luò)70�。此外,移動(dòng)設(shè)備32-x 可以被配置為基于其存儲(chǔ)的支持使用臨時(shí)設(shè)備標(biāo)識(shí)符24作為通過(guò)空中配 置來(lái)獲得長(zhǎng)期簽約憑證的基礎(chǔ)的網(wǎng)絡(luò)運(yùn)營(yíng)商的列表��,來(lái)確定網(wǎng)絡(luò)70是否 適于這種注冊(cè)嘗試�。
此外,作為步驟6的一部分�����,網(wǎng)絡(luò)70將從移動(dòng)設(shè)備32-x獲得的PIMSIx 傳送給認(rèn)證服務(wù)器72�。認(rèn)證服務(wù)器72例如可以是與網(wǎng)絡(luò)70或者與和移 動(dòng)設(shè)備32相關(guān)聯(lián)的網(wǎng)絡(luò)運(yùn)營(yíng)商的歸屬地網(wǎng)絡(luò)相關(guān)聯(lián)的訪問(wèn)位置登記器 (VLR, visitor location register)禾口/或歸屬位置登記器(HLR�����, home location register)�。
在步驟7處,認(rèn)證服務(wù)器72將PIMSIx識(shí)別為臨時(shí)標(biāo)識(shí)符���,并將該 PIMSIx傳送給適當(dāng)?shù)哪夸浄?wù)器10���。在一個(gè)或更多個(gè)實(shí)施方式中,認(rèn)證 服務(wù)器72被配置為根據(jù)從移動(dòng)設(shè)備32-x接收到的PIMSIx來(lái)確定目錄服 務(wù)器10的網(wǎng)絡(luò)地址信息����。
在步驟8處,目錄服務(wù)器10發(fā)現(xiàn)與從認(rèn)證服務(wù)器72接收到的PIMSIx 相對(duì)應(yīng)的正確的數(shù)據(jù)記錄22-x�。作為該處理的一部分,目錄服務(wù)器10可 以通過(guò)檢查PIMSIx是否被阻止����、過(guò)期或者已經(jīng)被使用超過(guò)允許的次數(shù)來(lái) 確定PIMSIx的有效性。因此�,如果PIMSL存在于目錄服務(wù)器10處存儲(chǔ) 的設(shè)備記錄22的(多個(gè))批次20中并且有效,則目錄服務(wù)器10計(jì)算移 動(dòng)設(shè)備32-x的臨時(shí)認(rèn)證向量���,并將該認(rèn)證向量返回給認(rèn)證服務(wù)器72�。
在一個(gè)或更多個(gè)實(shí)施方式中���,設(shè)備目錄io被配置為使用存儲(chǔ)在移動(dòng) 設(shè)備32-x的設(shè)備記錄22-x中的密鑰Kpx來(lái)導(dǎo)出認(rèn)證向量�。在此方面��,設(shè)備目錄10可以被配置為使用標(biāo)準(zhǔn)化的第三代合作伙伴計(jì)劃(3GPP)過(guò)程
(例如�����,MILENAGE算法)來(lái)生成認(rèn)證向量�。這樣做增加了互操作性�。 不管怎樣�����,步驟8被示為跨認(rèn)證向量72繼續(xù)進(jìn)行����,這表示認(rèn)證向量被傳 送回網(wǎng)絡(luò)70。
在步驟9處���,網(wǎng)絡(luò)70使用認(rèn)證向量來(lái)向移動(dòng)設(shè)備32-x授權(quán)臨時(shí)接 入權(quán)(例如���,臨時(shí)分組數(shù)據(jù)接入權(quán))。作為一個(gè)示例��,.認(rèn)證向量在有限時(shí) 間量(例如���,l分鐘)內(nèi)有效����,和/或在極有限的數(shù)據(jù)傳送量?jī)?nèi)有效�����。
在步驟10處,移動(dòng)設(shè)備32-x使用其臨時(shí)接入權(quán)與目錄服務(wù)器10進(jìn) 行通信�����。在此方面�����,注意����,目錄服務(wù)器10的網(wǎng)絡(luò)地址信息可以被包括為 移動(dòng)設(shè)備的初始配置信息的一部分���。因此���,移動(dòng)設(shè)備32-x可以在獲得臨 時(shí)接入權(quán)之后使用該存儲(chǔ)信息與適當(dāng)?shù)哪夸浄?wù)器進(jìn)行聯(lián)系。盡管附圖 看上去顯示了移動(dòng)設(shè)備32-x與目錄服務(wù)器10之間直接通信,但是本領(lǐng)域 技術(shù)人員將理解�,該鏈路可以是間接的,并且一般來(lái)說(shuō)�,該鏈路包括網(wǎng) 絡(luò)70根據(jù)臨時(shí)認(rèn)證向量支持的空中連接。憑借其與目錄服務(wù)器10的通 信鏈路����,移動(dòng)設(shè)備32-x請(qǐng)求目錄服務(wù)器10向其提供在所述目錄服務(wù)器 10處與其PIMSIx相聯(lián)系的憑證服務(wù)器地址信息���。
在步驟11處,目錄服務(wù)器10將憑證服務(wù)器地址信息返回給移動(dòng)設(shè) 備32-x�����。
在步驟12處�����,移動(dòng)設(shè)備32-x生成新的臨時(shí)密鑰Ktx����。在至少一個(gè)實(shí) 施方式中,移動(dòng)設(shè)備32-x從其密鑰K^導(dǎo)出Ktx���。
在步驟13處�����,移動(dòng)設(shè)備32-x將授證請(qǐng)求發(fā)送給使用從設(shè)備目錄10 返回給移動(dòng)設(shè)備32-x的憑證服務(wù)器地址信息所標(biāo)識(shí)的憑證服務(wù)器60���。(同 樣,該通信一般來(lái)說(shuō)是間接的����,鏈路的至少一部分是由通過(guò)網(wǎng)絡(luò)70創(chuàng)建 的空中連接支持的�。)在一個(gè)實(shí)施方式中��,使用臨時(shí)密鑰Ktx并且可能使 用消息認(rèn)證碼(MAC,message authentication code)來(lái)保護(hù)該請(qǐng)求���。在另 一實(shí)施方式中�����,通過(guò)臨時(shí)密鑰Ktx和傳輸安全協(xié)議(例如,TLS)來(lái)保護(hù) 該連接���。無(wú)論如何����,在至少一個(gè)實(shí)施方式中�����,該請(qǐng)求包括移動(dòng)設(shè)備的公 鑰PuKx�、和與移動(dòng)設(shè)備的PIMSIx相對(duì)應(yīng)的PDIx。
在步驟14處���,憑證服務(wù)器60創(chuàng)建移動(dòng)設(shè)備32的永久(長(zhǎng)期)簽約憑證����。例如,如果可以生成軟用戶標(biāo)識(shí)模塊(SSIM)或其他形式的基于
軟件的認(rèn)證信息����。這些數(shù)據(jù)既可以包括SIM憑證又可以包括SSIM參數(shù)。 SSIM參數(shù)可以包括對(duì)與憑證服務(wù)器60相關(guān)聯(lián)的網(wǎng)絡(luò)運(yùn)營(yíng)商具有特定應(yīng) 用性的SIM算法���。 �����、
在步驟15處�,憑證服務(wù)器60使用移動(dòng)設(shè)備32的公鑰(PuKx)對(duì)永 久簽約憑證進(jìn)行加密���,并將其發(fā)送給移動(dòng)設(shè)備32��。在另一個(gè)實(shí)施方式中���, 憑證服務(wù)器使用臨時(shí)密鑰(KJ來(lái)對(duì)永久簽約憑證進(jìn)行加密。然而,由 于K^從同樣保持在目錄服務(wù)器10處的密鑰Kpx導(dǎo)出�,因此這樣做會(huì)出 現(xiàn)可能的安全影響。
在步驟16處�,移動(dòng)設(shè)備接收加密的永久簽約憑證、對(duì)它們進(jìn)行解密����, 并將它們安裝在例如該移動(dòng)設(shè)備的可信模塊44內(nèi)。該處理可以包括任何 需要的SIM或其他軟件更新�����。無(wú)論如何�����,移動(dòng)設(shè)備32現(xiàn)在配置有永久簽 約憑證��,使得移動(dòng)設(shè)備32在由這些憑證所建立的任何限制內(nèi)訪問(wèn)歸屬地 和訪問(wèn)地?zé)o線通信網(wǎng)絡(luò)��。
以上結(jié)構(gòu)所實(shí)現(xiàn)的基本但非限制性的思想是允許移動(dòng)設(shè)備制造商 以這樣的方式對(duì)移動(dòng)設(shè)備32進(jìn)行初始配置�,即�����,可以通過(guò)任意多個(gè)參與 的網(wǎng)絡(luò)運(yùn)營(yíng)商使用空中激活稍后對(duì)這些移動(dòng)設(shè)備進(jìn)行激活(永久配置)�����。 這樣的結(jié)構(gòu)因此允許移動(dòng)設(shè)備32使用初步簽約標(biāo)識(shí)信息來(lái)獲得臨時(shí)無(wú)線 通信網(wǎng)絡(luò)接入,并然后使用該接入來(lái)獲得將向其提供永久簽約信息的憑 證服務(wù)器的地址���,并連接到該憑證服務(wù)器����。簡(jiǎn)單來(lái)說(shuō)�����,潛在的大量不同 網(wǎng)絡(luò)運(yùn)營(yíng)商可能同意加入所描述的結(jié)構(gòu)����,并將它們各自的無(wú)線通信網(wǎng)絡(luò) 可通信地連接到目錄服務(wù)器IO(或者連接到多個(gè)不同的目錄服務(wù)器10中 的任何一個(gè))。
因此����,本文闡述了促進(jìn)空中移動(dòng)通信設(shè)備激活的系統(tǒng)和方法。然而��, 應(yīng)該理解�����,前面的描述和附圖代表了本文所教導(dǎo)的方法、系統(tǒng)和單獨(dú)裝 置的非限制性示例����。這樣,本發(fā)明不受前面的描述和附圖的限制�。相反, 本發(fā)明僅受所附權(quán)利要求及其合法等同物的限制�。.
權(quán)利要求
1、一種促進(jìn)空中移動(dòng)通信設(shè)備激活的方法�����,該方法在集中式設(shè)備目錄服務(wù)器處包括以下步驟存儲(chǔ)包括移動(dòng)設(shè)備的初步簽約憑證信息的設(shè)備記錄���;將所述初步簽約憑證信息的至少一部分安全地發(fā)送給初始配置方�����,以供在對(duì)所述移動(dòng)設(shè)備進(jìn)行初始配置時(shí)使用;從與所述移動(dòng)設(shè)備的預(yù)期終端用戶相關(guān)聯(lián)的給定網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證服務(wù)器接收所述移動(dòng)設(shè)備的設(shè)備標(biāo)識(shí)符��,并相應(yīng)地將所述憑證服務(wù)器的網(wǎng)絡(luò)地址信息與所述設(shè)備記錄聯(lián)系起來(lái)����;響應(yīng)于所述移動(dòng)設(shè)備嘗試使用所述初步簽約憑證信息來(lái)接入無(wú)線通信網(wǎng)絡(luò)����,從認(rèn)證服務(wù)器接收驗(yàn)證請(qǐng)求�;如果所述移動(dòng)設(shè)備的所述初步簽約憑證信息有效,則將基于所述初步簽約憑證信息中所包括的密鑰的認(rèn)證向量發(fā)送給所述認(rèn)證服務(wù)器�����;在所述移動(dòng)設(shè)備通過(guò)所述認(rèn)證向量獲得對(duì)所述無(wú)線通信網(wǎng)絡(luò)的臨時(shí)接入權(quán)之后���,從所述移動(dòng)設(shè)備接收憑證服務(wù)器地址請(qǐng)求���;以及將與針對(duì)所述移動(dòng)設(shè)備所存儲(chǔ)的所述設(shè)備記錄相聯(lián)系的所述憑證服務(wù)器的網(wǎng)絡(luò)地址信息發(fā)送給所述移動(dòng)設(shè)備。
2��、 根據(jù)權(quán)利要求1所述的方法�����,其中����,所述存儲(chǔ)所述設(shè)備記錄的步 驟包括以下步驟存儲(chǔ)所述移動(dòng)設(shè)備的初步國(guó)際移動(dòng)用戶標(biāo)識(shí)PIMSI���、 和密鑰。
3�、 根據(jù)權(quán)利要求2所述的方法,其中����,所述從與所述移動(dòng)設(shè)備的預(yù) 期終端用戶相關(guān)聯(lián)的給定網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證服務(wù)器接收移動(dòng)設(shè)備的設(shè)備 標(biāo)識(shí)符的步驟包括以下步驟接收從所述移動(dòng)設(shè)備的初步國(guó)際移動(dòng)用戶 標(biāo)識(shí)PIMSI中導(dǎo)出的公共設(shè)備標(biāo)識(shí)符PDI,并且進(jìn)一步包括以下步驟 根據(jù)所述公共設(shè)備標(biāo)識(shí)符PDI來(lái)標(biāo)識(shí)所述移動(dòng)設(shè)備的所述設(shè)備記錄��,并將所述設(shè)備記錄與所述憑證服務(wù)器的網(wǎng)絡(luò)地址信息聯(lián)系起來(lái)��。
4�、 根據(jù)權(quán)利要求2所述的方法,該方法進(jìn)一步包括以下步驟以所述初步國(guó)際移動(dòng)用戶標(biāo)識(shí)PIMSI�、所述密鑰以及公鑰/私鑰對(duì)來(lái)初始地配置所述移動(dòng)設(shè)備的可信模塊,并且還以所述集中式設(shè)備目錄服務(wù)器的網(wǎng)絡(luò)地址信息��,和支持通過(guò)使用初步國(guó)際移動(dòng)用戶標(biāo)識(shí)PIMSI的臨時(shí)無(wú)線 通信網(wǎng)絡(luò)接入的網(wǎng)絡(luò)運(yùn)營(yíng)商的列表�����,來(lái)配置所述移動(dòng)設(shè)備��。
5�、 根據(jù)權(quán)利要求4所述的方法,該方法進(jìn)一步包括以下步驟基于所述移動(dòng)設(shè)備向所述無(wú)線通信網(wǎng)絡(luò)提供所述初步國(guó)際移動(dòng)用戶標(biāo)識(shí)PIMSI���,并且所述無(wú)線通信網(wǎng)絡(luò)將所述初步國(guó)際移動(dòng)用戶標(biāo)識(shí)PIMSI轉(zhuǎn)發(fā) 給所述認(rèn)證服務(wù)器以傳送到所述集中式設(shè)備目錄服務(wù)器����,由所述移動(dòng)設(shè) 備獲得對(duì)所述無(wú)線通信網(wǎng)絡(luò)的臨時(shí)接入權(quán)����。
6、 根據(jù)權(quán)利要求5所述的方法�����,該方法進(jìn)一步包括以下步驟基于 所述移動(dòng)設(shè)備從所述集中式設(shè)備目錄服務(wù)器接收所述憑證服務(wù)器的所述 網(wǎng)絡(luò)地址信息���,由所述移動(dòng)設(shè)備獲得對(duì)所述給定網(wǎng)絡(luò)運(yùn)營(yíng)商的所述憑證 服務(wù)器的接入權(quán)��,并且將授證請(qǐng)求從所述移動(dòng)設(shè)備發(fā)送給所述憑證服務(wù) 器�����,所述授證請(qǐng)求包括存儲(chǔ)在所述移動(dòng)設(shè)備中的所述公鑰/私鑰對(duì)中的所 述公鑰��,并且所述授證請(qǐng)求受到從存儲(chǔ)在所述移動(dòng)設(shè)備中的所述密鑰導(dǎo) 出的臨時(shí)密鑰的保護(hù)��。
7���、 根據(jù)權(quán)利要求6所述的方法��,該方法進(jìn)一步包括以下步驟在所 述憑證服務(wù)器處��,驗(yàn)證來(lái)自所述移動(dòng)設(shè)備的授證請(qǐng)求��,并生成軟用戶標(biāo) 識(shí)模塊SSIM���,并且使用所述移動(dòng)設(shè)備的所述公鑰以加密的形式將所述 SSIM發(fā)送給所述移動(dòng)設(shè)備以供所述移動(dòng)設(shè)備在安裝所述給定網(wǎng)絡(luò)運(yùn)營(yíng) 商的永久簽約憑證期間使用。
8����、 根據(jù)權(quán)利要求2所述的方法,該方法進(jìn)一步包括以下步驟在所 述集中式設(shè)備目錄服務(wù)器處����,從所述密鑰導(dǎo)出第二密鑰,并發(fā)送所述第 二密鑰以在所述憑證服務(wù)器中與終端用戶用戶數(shù)據(jù)相關(guān)聯(lián)地進(jìn)行存儲(chǔ)���, 以隨后用于保護(hù)由所述憑證服務(wù)器生成并空中發(fā)送給所述移動(dòng)設(shè)備的軟 用戶標(biāo)識(shí)模塊SSIM信息��。
9���、 一種促進(jìn)空中移動(dòng)通信設(shè)備激活的系統(tǒng),該系統(tǒng)包括集中式設(shè)備 目錄服務(wù)器��,所述集中式設(shè)備目錄服務(wù)器包括一個(gè)或更多個(gè)處理電路����, 所述處理電路被配置執(zhí)行以下步驟存儲(chǔ)包括移動(dòng)設(shè)備的初步簽約憑證信息的設(shè)備記錄;將所述初步簽約憑證信息的至少一部分安全地發(fā)送給初始配置方����,以供在對(duì)所述移動(dòng)設(shè)備進(jìn)行初始配置時(shí)使用;從與所述移動(dòng)設(shè)備的預(yù)期終端用戶相關(guān)聯(lián)的給定網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證 服務(wù)器接收所述移動(dòng)設(shè)備的設(shè)備標(biāo)識(shí)符�,并相應(yīng)地將所述憑證服務(wù)器的 網(wǎng)絡(luò)地址信息與所述設(shè)備記錄聯(lián)系起來(lái);響應(yīng)于所述移動(dòng)設(shè)備嘗試使用所述初步簽約憑證信息來(lái)接入無(wú)線通 信網(wǎng)絡(luò)��,從認(rèn)證服務(wù)器接收驗(yàn)證請(qǐng)求����;如果所述移動(dòng)設(shè)備的所述初步簽約憑證信息有效,則把基于所述初 步簽約憑證信息中所包括的密鑰的認(rèn)證向量發(fā)送給所述認(rèn)證服務(wù)器�����;以 及在所述移動(dòng)設(shè)備通過(guò)所述認(rèn)證向量獲得對(duì)所述無(wú)線通信網(wǎng)絡(luò)的臨時(shí) 接入權(quán)之后���,從所述移動(dòng)設(shè)備接收憑證服務(wù)器地址請(qǐng)求��,并且相應(yīng)地將 與針對(duì)所述移動(dòng)設(shè)備所存儲(chǔ)的所述設(shè)備記錄相聯(lián)系的所述憑證服務(wù)器的 網(wǎng)絡(luò)地址信息發(fā)送給所述移動(dòng)設(shè)備���。
10��、 根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其中��,所述集中式設(shè)備目錄服務(wù) 器被配置為將所述移動(dòng)設(shè)備的初步國(guó)際移動(dòng)用戶標(biāo)識(shí)PIMSI和密鑰存儲(chǔ) 為所述設(shè)備記錄���。
11、 根據(jù)權(quán)利要求10所述的系統(tǒng)���,其中�,所述集中式設(shè)備目錄服務(wù) 器包括通信接口 ����,所述通信接口被配置為與所述憑證服務(wù)器直接或間接 地通信,并接收從所述初步國(guó)際移動(dòng)用戶標(biāo)識(shí)PIMSI導(dǎo)出的所述移動(dòng)設(shè) 備的公共設(shè)備標(biāo)識(shí)符PDI作為所述移動(dòng)設(shè)備的設(shè)備標(biāo)識(shí)符,并且其中����, 所述集中式設(shè)備目錄服務(wù)器被配置為根據(jù)所述公共設(shè)備標(biāo)識(shí)符PDI來(lái)識(shí) 別所述移動(dòng)設(shè)備的所述設(shè)備記錄,并將所述設(shè)備記彔與所述憑證服務(wù)器 的所述網(wǎng)絡(luò)地址信息聯(lián)系起來(lái)����。
12�����、 根據(jù)權(quán)利要求10所述的系統(tǒng)���,該系統(tǒng)進(jìn)一步包括初始配置服 務(wù)器��,其被配置為以所述初步國(guó)際移動(dòng)用戶標(biāo)識(shí)PIMSI和所述密鑰來(lái)配 置所述移動(dòng)設(shè)備的可信模塊����,并且還以所述集中式設(shè)備目錄服務(wù)器的網(wǎng) 絡(luò)地址信息和支持通過(guò)使用初步國(guó)際移動(dòng)用戶標(biāo)識(shí)PIMSI的臨時(shí)無(wú)線通 信網(wǎng)絡(luò)接入的網(wǎng)絡(luò)運(yùn)營(yíng)商的列表來(lái)配置所述移動(dòng)設(shè)備�����。
13�、 根據(jù)權(quán)利要求12所述的系統(tǒng),其中,所述初始配置服務(wù)器還被 配置為以公鑰/私鑰對(duì)來(lái)配置所述移動(dòng)設(shè)備的所述可信模塊以隨后用于所 述移動(dòng)設(shè)備的空中激活�����。
14�、 根據(jù)權(quán)利要求12所述的系統(tǒng),其中�����,所述認(rèn)證服務(wù)器可通信地 連接到所述無(wú)線通信網(wǎng)絡(luò)并且被配置為接收所述初步國(guó)際移動(dòng)用戶標(biāo)識(shí) PIMSI�����,并且響應(yīng)于將所述初步國(guó)際移動(dòng)用戶標(biāo)識(shí)PIMSI傳送給所述集中 式設(shè)備目錄服務(wù)器以進(jìn)行驗(yàn)證�,相應(yīng)地接收所述移動(dòng)設(shè)備的認(rèn)證向量, 并將所述認(rèn)證向量返回給所述無(wú)線通信網(wǎng)絡(luò)以向所述移動(dòng)設(shè)備授予臨時(shí) 接入權(quán)�����。
15��、 根據(jù)權(quán)利要求14所述的系統(tǒng)�,其中,所述集中式設(shè)備目錄服務(wù) 器被配置為在基于所述認(rèn)證向量向所述移動(dòng)設(shè)備授予臨時(shí)接入權(quán)之后����, 從所述移動(dòng)設(shè)備接收憑證服務(wù)器地址請(qǐng)求�,并返回與所述移動(dòng)設(shè)備的所 述設(shè)備記錄相聯(lián)系的所述憑證服務(wù)器的所述網(wǎng)絡(luò)地址信息����。
16、 根據(jù)權(quán)利要求15所述的系統(tǒng)�����,其中�����,所述移動(dòng)設(shè)備被配置為從 所述集中式設(shè)備目錄接收所述憑證服務(wù)器的所述網(wǎng)絡(luò)地址信息��,并相應(yīng) 地將對(duì)永久簽約憑證的授證請(qǐng)求發(fā)送給所述憑證服務(wù)器�����,所述授證請(qǐng)求 包括存儲(chǔ)在所述移動(dòng)設(shè)備中的所述公鑰/私鑰對(duì)中的所述公鑰�,并且所述 授證請(qǐng)求受到從所述移動(dòng)設(shè)備的所述密鑰導(dǎo)出的臨時(shí)密鑰的保護(hù)����。
17、 根據(jù)權(quán)利要求16所述的系統(tǒng),其中���,所述憑證服務(wù)器被配置為 驗(yàn)證來(lái)自所述移動(dòng)設(shè)備的授證請(qǐng)求�,并相應(yīng)地生成軟用戶標(biāo)識(shí)模塊 SSIM�,并且還被配置為以受所述移動(dòng)設(shè)備的所述公鑰保護(hù)的加密形式將 所述SSIM發(fā)送給所述移動(dòng)設(shè)備,以供所述移動(dòng)設(shè)備在安裝所述給定網(wǎng)絡(luò) 運(yùn)營(yíng)商的永久簽約憑證期間使用���。
18���、 根據(jù)權(quán)利要求9所述的系統(tǒng),其中����,所述集中式設(shè)備目錄服務(wù) 器被配置為從所述密鑰導(dǎo)出第二密鑰,并發(fā)送所述第二密鑰以在所述憑 證服務(wù)器中與終端用戶用戶數(shù)據(jù)相關(guān)聯(lián)地進(jìn)行存儲(chǔ)�,以隨后用于保護(hù)由 所述憑證服務(wù)器生成并空中發(fā)送給所述移動(dòng)設(shè)備的軟用戶標(biāo)識(shí)模塊 SSIM信息。
全文摘要
本文所教導(dǎo)的方法和系統(tǒng)允許移動(dòng)設(shè)備制造商預(yù)先配置移動(dòng)設(shè)備以與能夠訪問(wèn)集中式設(shè)備目錄服務(wù)器的任何網(wǎng)絡(luò)運(yùn)營(yíng)商簽約�。目錄服務(wù)器存儲(chǔ)多個(gè)設(shè)備記錄,每一個(gè)都包括初步簽約標(biāo)識(shí)�����。制造商以這些初步簽約標(biāo)識(shí)單獨(dú)地配置新的移動(dòng)設(shè)備,并且網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)向目錄服務(wù)器傳遞請(qǐng)求來(lái)初步地注冊(cè)用戶,所述請(qǐng)求使得目錄服務(wù)器將單獨(dú)的設(shè)備記錄與適當(dāng)?shù)膽{證服務(wù)器地址聯(lián)系起來(lái)。移動(dòng)設(shè)備通過(guò)遞交它們的初步簽約標(biāo)識(shí)來(lái)獲得臨時(shí)網(wǎng)絡(luò)接入權(quán)�����,所述初步簽約標(biāo)識(shí)被傳送給目錄服務(wù)器以進(jìn)行驗(yàn)證。接著�,目錄服務(wù)器生成給予所述移動(dòng)設(shè)備臨時(shí)網(wǎng)絡(luò)接入權(quán)的認(rèn)證向量,并返回適當(dāng)?shù)膽{證服務(wù)器地址�����。所述移動(dòng)設(shè)備使用該地址信息來(lái)遞交對(duì)永久簽約憑證的安全的請(qǐng)求��,并且所涉及的認(rèn)證服務(wù)器響應(yīng)于有效請(qǐng)求而安全地返回永久簽約憑證��。
文檔編號(hào)H04W8/26GK101690287SQ200880016923
公開(kāi)日2010年3月31日 申請(qǐng)日期2008年4月7日 優(yōu)先權(quán)日2007年4月20日
發(fā)明者克里斯蒂安·耶爾曼 申請(qǐng)人:Lm愛(ài)立信電話有限公司