專利名稱:移動裝置資格審查的方法和系統的制作方法
技術領域:
本發(fā)明一般涉及供應移動裝置(provisioning mobile devices)��,并且更具體地 說����,涉及便于通過使用可由一個或多個網絡運營商訪問的集中式裝置目錄中保存的初步預 訂身份信息通過空中激活移動裝置��。
背景技術:
有效的設備制造�、銷售和激活是有效地開發(fā)由無線通信的繼續(xù)變革所提供的商業(yè) 機會范圍的關鍵促成因素��。給用戶設備“供應”必要的預訂憑證的現有方法對于更有效的 操作象征一種阻礙����。例如,一種常規(guī)方法依賴于出售或以另外方式銷售安裝有訂戶身份模 塊SIM的用戶設備����。每個SIM包括通常以小卡樣形狀因子實施的抗篡改電路模塊,其中該 電路模塊存儲特定網絡運營商的憑證信息����。換句話說�����,用戶設備依靠預先編程的SIM受制 于特定網絡運營商�,并且訂戶呼叫或否則聯系網絡運營商以提供記賬信息等�����。作為響應�,網 絡運營商在一個或多個訂戶數據庫中將該SIM標記為活動的,由此使用戶設備可操作�。已經提出了至少部分使供應過程自動化的其它方法。示例包括給Macaluso的 美國公布2005/0079863����,其公開了通過空中供應的形式(在相關文獻中通常稱為“0ΤΑ”供 應)��;給Smith的美國公布2007/0099599�,其公開了動態(tài)供應無線服務和經由訪問因特網數 據庫進行初始供應;給Hind的美國專利No. 6�����,980����,660��,其公開了使用企業(yè)數據庫初始化無 線通信裝置的方法�����;以及給Holmes的美國專利No. 6��,490���,445,其公開了在無線設備中使用 臨時訪問信息以允許一種形式的受限網絡訪問用于通過空中供應����。然而,作為一般的建議�,看起來整個問題框架的復雜性已經阻止了過去的方法提 供相對于安全的通過空中的供應簡化移動裝置的制造、出售和最終的注冊的整個系統和方 法���。而且���,過去的方法提供了不充分的安全性,或需要一個或多個執(zhí)行者負責操作許多所涉 及的步驟,這需要可能處于競爭關系的不同執(zhí)行者之間的重大信任級別�。
發(fā)明內容
本文示教的方法和系統允許通信裝置制造商將通信裝置預先配置成使用初步 訪問憑證獲得臨時網絡訪問權以便下載預訂憑證,并具體地說��,允許發(fā)布預訂憑證的網 絡運營商驗證請求憑證的各個裝置是可信的��。在一個或多個實施例中����,資格審查服務器 (credentialing server)由網絡運營商擁有或控制,并由網絡運營商用于驗證預訂憑證僅 被發(fā)布給可信通信裝置�����,即使這種裝置可由外部注冊服務器向(referred to)資格審查服 務器提及��,并可由外部供應服務器供應�。具體地說,資格審查服務器詢問請求裝置它們的裝 置證書����,并將這些裝置證書提交給外部授權服務器�����、例如獨立的OCSP服務器進行驗證。通 用公共密鑰基礎設施(PKI)可用于運營商和裝置證書�。當然,本發(fā)明不限于以上特征和優(yōu)點�。實際上,本領域的技術人員在閱讀了如下具 體實施方式并看了附圖之后將認識到附加特征和優(yōu)點����。
圖1是例證在具有各種其它服務器的上下文中示出的資格審查服務器的一個實 施例的框圖。圖2是例證支持可由圖1的資格審查服務器實現的預訂資格審查方法的處理邏輯 的一個實施例的邏輯流程圖�。圖3是例證由本文所示教的資格審查服務器所支持的給定通信裝置的預定資格 審查的一個實施例的整個系統框圖。
具體實施例方式圖1例證了資格審查服務器10的一個實施例���。如本文所預期的���,資格審查服務器 10及其相關聯的操作方法“自舉(bootstrap) ”資格審查過程,其中可下載訂戶憑證被安全 而可靠地下載到已經獲得了臨時網絡訪問權的可信通信裝置�。訂戶憑證例如是可下載到通 信裝置內可信計算系統中的基于軟件的可下載通用訂戶身份模塊(DLUSIM)。資格審查服務 器10因此可稱為DLUSIM服務器���。充當DLUSIM服務器�,資格審查服務器10在一個或多個實施例中配置成支持將訂 戶憑證下載到未資格審查的通信裝置�。支持這種功能性,所例證的資格審查服務器10包 括注冊子系統12�,配置成通過向外部注冊服務器14提供通信裝置的注冊信息而向該注冊 服務器14注冊要被資格審查的通信裝置(未示出)。注冊子系統12包含注冊服務器接口 16,諸如有線或無線連接��,并支持實現用于與該注冊服務器14通信的一個或多個通信協議 的處理電路���。在至少一個實施例中��,注冊服務器接口 16包括用于與該注冊服務器14的基 于IP的通信的因特網協議(IP)接口���。資格審查系統10還包含鑒權子系統18以詢問注冊的通信裝置它們的裝置證書, 并將裝置證書提交給外部鑒權服務器20進行驗證�。在此,“注冊的”通信裝置是(初始)已 經由資格審查系統10向該注冊服務器14注冊并隨后由注冊服務器14向資格審查系統10 提及進行實際預訂資格審查的裝置����。當然,資格審查系統10可與多于一個外部注冊服務器 接口(interface)�,并由此可初始向任何數量的注冊服務器14注冊通信裝置。實際上�����,它是 資格審查服務器10可由特定網絡運營商擁有或否則控制的靈活性和安全性的點�����,而注冊 服務器14(或者其它注冊服務器)可由同一網絡運營商���、另一網絡運營商����、裝置制造商或某 一其它第三方擁有或否則控制���。第三方所有權的優(yōu)點也可應用于鑒權服務器20���,該鑒權服務器可以是向資格審查 服務器10提供可信證書驗證服務的獨立認證機構。這種布置有利地允許給定網絡運營商 擁有或否則控制資格審查服務器10����,同時利用確立的公共密鑰基礎設施(PKI)系統來驗證 尋找預訂憑證的給定通信裝置是可信的。例如����,在一個或多個實施例中,鑒權子系統18包 含實現在線證書狀態(tài)協議(OCSP)的鑒權服務器接口 22���,并且鑒權服務器20對應地是第三 方獨立的OCSP服務器�。根據信任級別��,有利的是,驗證要被資格審查的裝置的信任度的執(zhí) 行者不是(資格審查的)網絡運營商或裝置制造商����,而是其工作是驗證裝置的獨立執(zhí)行者。本領域技術人員將認識到���,OCSP是用于獲取X. 509數字證書的撤銷狀態(tài)的因特 網協議�����。(RFC 2560描述了 OCSP��。)X. 509又是PKI的ITU-T密碼標準�����,用于簽字和特權管 理����。X. 509標準提供公共密鑰證書的標準格式等����,并且它是本文預期的一種方法,用于使用
5總PKI來確立和驗證運營商設備�����、例如資格審查服務器10與要被資格審查的通信裝置之間 的信任�。概括地,在一個或多個實施例中�,資格審查服務器10配置成存儲或否則保持鑒權 證書,該鑒權證書是公共密鑰基礎設施(PKI)的一部分���,還包含運營商資格審查實體26�����,以 及要被資格審查的通信裝置����。對于這種資格審查����,資格審查服務器10包含資格審查子系統24。資格審查子系 統24配置成向運營商資格審查實體26請求用于驗證的通信裝置的預訂憑證���,向外部供應 服務器28提及驗證的通信裝置用于預訂憑證供應���,并將預訂憑證傳送到供應服務器28用 于驗證的通信裝置的預訂憑證供應��。支持這些操作�,資格審查子系統24包含資格審查實體 接口 30����,在一個或多個實施例中該接口提供安全的或否則保護的通信鏈路。在一個實施例 中�����,資格審查實體接口 30支持到歸屬訂戶服務器(HSS)的專用���、可能局部化的通信鏈路��,該 歸屬訂戶服務器(HSS)生成或否則訪問新的預訂憑證用于資格審查具有長期網絡預訂憑 證的注冊的�����、驗證的通信裝置�。不是執(zhí)行實際的預訂憑證供應�,而是資格審查服務器10獲取注冊和驗證的通信 裝置的預訂憑證,并將它們傳送到供應服務器28���。為此�����,資格審查子系統24還包含供應服 務器接口 32���,該接口可配置成實現供應服務器28使用的任何協議。有利的是�����,這種布置免 除了資格審查服務器10不得不知道正在進行資格審查的通信裝置的實現細節(jié)——例如軟 件版本和配置���。為此����,供應服務器28可以是標準化供應系統�����,諸如開放移動聯盟(OMA)裝 置管理(DM)服務器��。還應該注意���,供應服務器28可以或可以不由網絡運營商擁有或控制��, 并且資格審查服務器10可接口到(mayinterface to)多于一個供應服務器�����。還要注意��,本 領域技術人員將認識到��,資格審查服務器10 —般支持其它功能和通信�����,諸如維護�����、監(jiān)視����、配 置和供應活動,并一般具有附加處理��、接口和存儲單元34���。例如�����,擁有或控制資格審查服務 器10的網絡運營商的預訂合同處理系統可與資格審查服務器10位于同一位置或集成到其 中����。這種系統提供前端處理,允許運營商響應于來自裝置擁有者的請求來設置通信裝置用 于初始注冊�。初始合同處理例如可基于web服務器,并支持數據庫����,其中裝置擁有者輸入預 訂選擇��、支付信息����、裝置信息等。在另一個實施例中����,運營商的預訂合同處理系統與資格審 查服務器10分開實現,并且資格審查服務器10的附加處理/接口電路34包含用于與預訂 合同處理系統通信的接口����。在至少一個實施例中�,資格審查服務器10是具有如上所述適當 通信接口的計算機系統���。在這種實施例中����,由一個或多個微處理器或其它數字處理單元執(zhí) 行所存儲的計算機程序指令實現了本文示教的預訂資格審查服務器操作�。這些計算機程序 指令存儲在計算機可讀介質中,諸如資格審查服務器10內的非易失性存儲器中或硬盤上��。根據這種處理��,資格審查服務器10實現了預訂資格審查方法���,圖2中給出了它的 示例���。所例證的處理“開始于”資格審查服務器10在一個或多個注冊服務器例如在注冊服 務器14注冊通信裝置(塊100)。雖然這個過程可對于成批通信裝置進行�,但是它也可根據 需要對于單個通信裝置進行。例如�����,給定通信裝置的購買者聯系與資格審查服務器10相關聯的網絡運營商,并 協商給定服務合同�����。作為這個交易的一部分�����,提供裝置信息��、例如裝置標識符��,允許裝置以 后當它被開啟(turn on)以便在運營商的網絡上激活時被識別�。運營商的預訂合同處理系 統以電子方式聯系資格審查服務器10 (如果分開實現的話),并給它提供所有或相關部分 的裝置信息���。響應于接收到這個信息,資格審查服務器10的注冊子系統12向注冊服務器14注冊通信裝置�����。在一個實施例中���,注冊子系統12配置成通過生成對給定通信裝置唯一 的注冊隨機數(nonce)并將該注冊隨機數發(fā)送到注冊服務器14作為注冊信息的一部分來 注冊給定通信裝置�����。在這個或其它實施例中����,注冊子系統12還配置成包含資格審查服務器 路由信息作為注冊信息的一部分,供注冊服務器14用于向資格審查服務器10提及注冊的 通信裝置���。通信裝置一般配置成在被開啟以便用所選網絡運營商激活時獲得臨時網絡訪問 權�。由此�����,給定通信裝置與擁有資格審查服務器10的運營商相關聯����,資格審查服務器10注 冊那個給定通信裝置(其可被認為是“預先注冊”或“初始注冊”)并向注冊服務器14提供 對應的注冊信息。給定通信裝置在以后的某一時間開啟�,并使用初步訪問憑證獲得臨時網 絡連接性,并且它使用該連接性訪問注冊服務器14�����,該注冊服務器基于存儲在注冊服務器 14的該給定通信裝置的注冊信息將它向資格審查服務器10提及����。由此�����,圖2的處理方法還包含經由可以是OCSP服務器的一個或多個外部鑒權服務 器例如經由鑒權服務器20鑒權注冊的通信裝置(塊102)����。再者���,雖然這種鑒權處理可以成 批進行����,但是資格審查服務器10的至少一個實施例響應于從那些裝置接收到單個預訂憑 證請求而執(zhí)行單個通信裝置的鑒權處理�,因為它們由注冊服務器14向資格審查服務器10 提及。鑒權子系統18配置成詢問注冊的通信裝置它們的裝置證書�,并將裝置證書提交給外 部鑒權服務器進行驗證,所述注冊的通信裝置由注冊服務器向資格審查服務器提及�����。作為 這種處理的一部分�,對于給定通信裝置���,鑒權子系統18配置成通過驗證由通信裝置提供的 注冊會話隨機數是從由注冊子系統12唯一地生成的用于通信裝置的注冊隨機數導出的來 驗證該通信裝置(請求憑證的)是注冊的通信裝置���。在這方面��,注冊服務器14由給定通信 裝置聯系�����,確定那個裝置的身份���,并給那個裝置提供它從資格審查系統10接收的用于那個 裝置的注冊隨機數。該通信裝置又使用那個注冊隨機數生成提供給資格審查服務器10進 行驗證的注冊會話隨機數�����。由此����,在一個或多個實施例中,作為詢問給定通信裝置的一部 分�����,鑒權子系統18基于驗證由給定通信裝置提供的注冊會話隨機數是準確地從之前對于 該裝置生成的對應注冊隨機數導出的��,作為將它向注冊服務器14注冊的一部分,來驗證給 定通信裝置是“注冊的”通信裝置����。在為給定裝置提供預訂憑證之后,給定通信裝置的注冊 信息��,包含注冊隨機數��,可被標記為使用了(或可被刪除)���,以防止重放攻擊���。注冊信息也可 配置成在某一段時間后期滿。假設給定通信裝置被適當注冊了���,并假設鑒權服務器20提供從給定通信裝置獲 取的裝置證書的獨立鑒權�����,資格審查系統10請求給定通信裝置的預訂憑證���。在一個或多個 實施例中��,資格審查子系統24向運營商資格審查實體26請求用于驗證的通信裝置(即,具 有有效證書的注冊裝置)的預訂憑證��,將驗證的通信裝置向外部供應服務器28提及用于預 訂憑證供應(塊104)�����,并將預訂憑證傳送到供應服務器28用于驗證的通信裝置的預訂憑證 供應(塊106)�。通常,運營商資格審查實體26是HSS�����,其包含用于生成或否則發(fā)布長期預訂憑證 的安全系統��,或與之相關聯����。HSS實體因此通常由網絡運營商密切控制,并且有利的是����,資格 審查服務器10也可由給定網絡運營商擁有或否則控制,而不損害將外部資源用于給出對 尋找預訂憑證的通信裝置的網絡訪問(例如漫游訪問)以及用于鑒權和供應這種裝置的能 力���。圖3給出了更詳細的“系統”圖解���,作為討論資格審查服務器10的這些和其它非限制 方面的基礎���。在理解圖3所描繪的信息/通信連接中所捕獲的過程流時,將有幫助的是���,注
7意示例通信裝置40配置有特定預先存儲的數據44��,諸如初步IMSI (PIMSI)和對應的PIMSI 密碼密_K_PIMSI�����。裝置40還可保持注冊服務器標識符(RegServJD)����、可下載的SIM ID���、 DSIM_ID�、DSIM證書����、CERTdsim以及用于CERTdsim的秘密密鑰、SKdsim。這種信息可在它被發(fā)行 或否則賣給用戶之前加載到裝置40中���,并且一些或所有這種存儲的信息可保存在裝置40 的安全處理模塊42中����。例如���,安全處理模塊42可以是具有防篡改的軟件和物理保護的可 信模塊。作為非限制性示例����,安全處理模塊42可根據ARM TrustZone 、移動可信模塊 (MTM)��、可信平臺模塊(TPM)實現進行配置���,或者配置在UICC(通用集成電路卡)內�����。在一個或多個實施例中����,安全處理模塊12例如包含安全處理器、安全存儲器和密 碼引擎����。可使用其它安全處理環(huán)境�,并且例證的安全架構細節(jié)不應視為限制本文給出的示 教。還應該理解���,安全處理模塊42用于安全地存儲本文中受關注的長期預訂憑證46�����。具有那種理解����,裝置40的用戶(例如擁有者)聯系用戶希望與其訂立服務協定的 網絡運營商(步驟Oa)�。這種用戶到運營商的初始聯系發(fā)起裝置注冊,因為響應于該用戶聯 系����,運營商計算機系統、例如新訂戶處理系統以電子方式聯系資格審查服務器10����。響應于這 種聯系��,資格審查服務器10將裝置40的注冊信息傳給注冊服務器(步驟Ob)�。如所提到 的����,注冊信息可包括為裝置40生成的注冊隨機數或其它標識符,連同要由裝置40在聯系資 格審查服務器10中所用的路由信息����。在以后的某一時間���,用戶接通裝置40���,并且它使用預先存儲在裝置40中的PIMSI 和K_PIMSI向初步歸屬位置寄存器(PHLR) 50鑒權它自己(步驟1)。PHLR可屬于不同的 網絡運營商�����,并且可配置成向給出有效初步訪問憑證的任何裝置至少提供臨時網絡通信訪 問權���。在任何情況下���,假設存在PHLR 50的擁有者/運營商與注冊服務器14之間的服務級 別協定���,在裝置40與注冊服務器14之間建立通信鏈路。例如����,可經由一個或多個移動或公 共或專用IP網絡52確立基于IP的鏈路。注冊服務器14使用所確立的通信鏈路將路由信 息和注冊隨機數傳給裝置40 (步驟2)����。注意,注冊信息優(yōu)選被傳送到安全處理模塊42����。裝 置40又使用該路由信息聯系資格審查服務器10并提供標識信息(步驟3)。資格審查服 務器10通過檢查裝置40的安全處理模塊42是否保持有效裝置證書來響應這個預訂憑證 請求��。例如����,資格審查服務器10檢查是否批準安全處理模塊42 (步驟4)。這種處理可使 用OCSP和PKI執(zhí)行�,并且優(yōu)選地由充當獨立認證機構的鑒權服務器20支持。假設驗證了 裝置42�����,資格審查服務器指令運營商資格審查實體26準備裝置42的預訂憑證(步驟5)。 在此�,運營商資格審查實體26包括HSS 60,其包含HLR 62或與之相關聯��;以及(安全) 憑證庫(r印ository)64����,其存儲或否則生成各個通信裝置的長期預訂憑證。在至少一個實 施例中����,資格審查服務器10的資格審查子系統24指令HSS 60準備將預訂憑證綁定到裝置 40的安全處理模塊42��。(安全處理模塊42提供安全處理環(huán)境���,并且其中裝置42是移動裝 置�����,例如蜂窩電話或其它移動終端或移動臺�����,安全處理模塊42可以稱為DLUSIM移動環(huán)境 或DLUSIME��。)在這種處理的一個示例中����,資格審查子系統24經由通過資格審查實體接口 30確立的安全通信鏈路向HSS 60發(fā)送消息,請求HSS 60將IMSI和IMSI密鑰對�,表示為 {IMSI,K}��,綁定到裝置40的DLUSIME��。具體地說����,HSS 60可密碼地“封裝”憑證,并用與擁 有或控制HSS 60和資格審查服務器10的網絡運營商相關聯的密鑰來簽署封裝的憑證��。在 一個具體實施例中��,憑證是用通信裝置40中可信計算模塊42的公共密鑰加密的XML���,以及 用運營商的秘密密鑰簽署的XML�。
8
當然���,其它加密/簽署布置也是預期的�����,并且在任何情況下����,應該理解,HSS 60有 利地可以加密形式向資格審查服務器10提供打算送給裝置40的預訂憑證����,這降低了在資 格審查服務器10和在供應服務器30的處理要求和安全風險。資格審查服務器10向其憑 證準備好的裝置40發(fā)送消息(步驟6)����,并優(yōu)選地,消息傳遞包含隨機數信息���,裝置40檢查 它首先從注冊服務器14或從資格審查服務器10接收的隨機數信息,作為在預訂資格審查 開始處驗證處理的一部分����。這種隨機數信息防止重放攻擊,并阻止發(fā)布附加預訂憑證�。作為這種消息傳遞的一部分或作為其附加,資格審查子系統24向供應服務器30 提及裝置40�,例如它向裝置40提供標識或否則將裝置40指引向供應服務器30的路由信 息��。如所提到的�����,在非限制但有利的示例中����,供應服務器30是配置成為與裝置40相同類型 的裝置提供一系列供應服務的OMA裝置管理服務器(并且可能用于許多類型的裝置和/或 許多不同的裝置軟件版本)��。有利的是����,在這個方面,預訂憑證在一個或多個實施例中以加密形式從資格審查 服務器10傳送到供應服務器30����,意思是供應服務器30不必實現它正常實現用于管理一系 列裝置供應操作的那些之外的安全或限制協議。當然�����,另外的優(yōu)點是�����,通過推遲預訂憑證向 供應服務器30的實際傳送,其通過定義已經知道如何進行與裝置40的供應交易�����,詳細的供 應協議不必在資格審查服務器10中實現��。資格審查服務器10向供應服務器30提及裝置40之后����,裝置40觸發(fā)供應服務器 30向它提供預訂憑證(步驟7)。作為響應��,供應服務器30建立與裝置40的供應會話����,并 向資格審查服務器發(fā)送消息,請求裝置40的(加密)預訂憑證(步驟8)�����。資格審查服務器 10響應于該請求將加密預訂憑證傳送到供應服務器30(步驟9)��,其然后向裝置40提供加 密預訂憑證�,以便由裝置40的可信計算模塊42進行解密和驗證(步驟10)��。例如,可信計 算模塊42驗證憑證簽名信息以及所包含的隨機數信息��?���?尚庞嬎隳K42還檢查運營商的 證書(使用OSCP服務器20的OCSP和PKI服務)(步驟11)。假設所有驗證都成功了�,可信 計算模塊42解密加密的憑證{IMSI,K}���,并將它們存儲在其安全處理環(huán)境內(步驟12)����。它的以上處理和變化提供了通信裝置的“自舉”預訂資格審查的有效且改進的方 法�����。這種有效性相對于消費裝置例如電話����、尋呼機、PDA等的零售銷售以及在機器對機器 (M2M)應用中是有利的���。對于M2M�����,通信裝置可以是蜂窩調制解調器模塊���,配置用于嵌入式 系統使用�,例如自動販賣機����、電表、各種監(jiān)視站等�。這種裝置可由用戶成批購買,并在以后時 間單獨安裝在可能許多不同的位置���。有利地�����,M2M裝置購買者與給定網絡運營商訂立服務協定���,并且上述注冊和資格審 查處理可對于任何數量的M2M裝置執(zhí)行??梢约僭O�����,使用例如使用X. 509證書的標準PKI, 并且對應的認證機構(CA)證書對于需要執(zhí)行屬于PKI的證書的證書驗證的所有方都是已 知的���。另外��,可以假設����,通過OSCP服務器20執(zhí)行證書的撤銷(可涉及多于一個OSCP服務 器)����。批準的M2M裝置的制造商得到公共PKI內的裝置證書,并存儲那個證書�����、其對應的 秘密密鑰以及每個M2M裝置的可信計算模塊42中的CA的根證書��。M2M裝置制造商還在每 個M2M裝置中存儲初步憑證(臨時訪問憑證)���,例如早先討論的PIMSI和對應的AKA密鑰�、 K_PIMSI。這些初步憑證屬于所選的運營商��,并且假設�,運營商諸如通過保持PHLR50 (來自 圖3)以支持對于初步資格審查的裝置的臨時網絡訪問權,和/或通過保持與提供這種PHLR的一個或多個運營商的漫游協定���,來提供對注冊服務器14的訪問�。M2M裝置可預先配置有 一個或多個注冊服務器14的網絡地址�。按照以上框架,用戶與運營商訂立服務協定�,并且運營商對于用戶的一個或多個 通信裝置發(fā)起與其資格審查服務器10的電子交易。資格審查服務器10連接到注冊服務器 14�,并指令它將這些一個或多個通信裝置的自舉聯系路由到資格審查服務器10。接通給定 裝置��,獲得臨時通信網絡訪問權�,聯系注冊服務器,并向給定資格審查服務器提及����。資格審 查服務器使用獨立的CA來驗證裝置的證書,S卩����,確定運營商是否可以信任該裝置�����。如果驗證了�,則資格審查服務器請求裝置的預訂憑證����,并向供應服務器提及該裝 置����,例如標準OMA裝置管理服務器。裝置聯系那個供應服務器���,該供應服務器又聯系資格審 查服務器��。資格審查服務器又將裝置的預訂憑證傳送給供應服務器用于對裝置進行實際供 應�。(供應服務器也可向裝置供應其它數據項���。)值得注意的是�����,所傳送的預訂憑證優(yōu)選是 加密形式�����,如通過安全鏈路從運營商的HSS或其它資格審查實體接收的����,并以加密形式傳 送到供應服務器。這樣做允許使用標準供應服務器�����,并簡化安全關系����。由此,本文的示教提供一種用于使用通過空中(OTA)和/或基于IP的連接便于通 信裝置供應的系統和方法��,其中優(yōu)選在給定運營商控制下的資格審查服務器用于驗證請求 預訂憑證的裝置是可信的�,同時仍允許使用任何數量的注冊服務器和供應服務器,這些服 務器可以或可以不由網絡運營商擁有或控制��。使用資格審查服務器作為是高度敏感實體的 運營商HSS與各種注冊�、供應、鑒權服務器之間的中介允許使用這些各種服務器����,無需將憑 證生成和可信裝置驗證的核心方面暴露給可與其它運營商或第三方共享或否則在運營商 直接控制之外的實體���。然而,應該理解�����,上述說明書和附圖給出了本文示教的方法�����、系統和各個設備的非 限制性示例���。這樣,本發(fā)明不受以上說明書和附圖的限制����。而是,本發(fā)明僅由如下權利要求 書及其合法等效方案限制�。
權利要求
一種資格審查服務器,配置成支持將預訂憑證下載到未資格審查的通信裝置��,所述資格審查服務器包括注冊子系統����,配置成通過向外部注冊服務器提供所述通信裝置的注冊信息來向所述注冊服務器注冊要被資格審查的通信裝置�;鑒權子系統��,詢問注冊的通信裝置它們的裝置證書�����,并將所述裝置證書提交給外部鑒權服務器進行驗證��,由所述注冊服務器向所述資格審查服務器提及所述注冊的通信裝置���;以及資格審查子系統�����,向運營商資格審查實體請求用于驗證的通信裝置的預訂憑證�,向外部供應服務器提及所述驗證的通信裝置用于預訂憑證供應����,并將所述預訂憑證傳送到所述供應服務器用于所述驗證的通信裝置的預訂憑證供應。
2.如權利要求1所述的資格審查服務器�,其中所述注冊子系統包含基于因特網協議IP 的注冊服務器接口,用于可通信地將所述資格審查服務器耦合到所述注冊服務器��。
3.如權利要求1所述的資格審查服務器,其中所述鑒權子系統包含基于在線證書狀態(tài) 協議OCSP的鑒權服務器接口�,用于可通信地將所述資格審查服務器耦合到所述鑒權服務O
4.如權利要求1所述的資格審查服務器,其中所述資格審查子系統包含安全網絡接 口�����,用于可通信地將所述資格審查服務器耦合到用作所述運營商資格審查實體的歸屬訂戶 服務器HSS���。
5.如權利要求1所述的資格審查服務器��,其中所述注冊子系統配置成通過生成對給定 通信裝置唯一的注冊隨機數并將所述注冊隨機數發(fā)送到所述注冊服務器作為所述注冊信 息的一部分來注冊所述給定通信裝置���。
6.如權利要求5所述的資格審查服務器,其中所述注冊子系統還配置成包含資格審查 服務器路由信息作為所述注冊信息的一部分�,供所述注冊服務器用于向所述資格審查服務 器提及注冊的通信裝置����。
7.如權利要求5所述的資格審查服務器,其中對于給定通信裝置�����,所述鑒權子系統配 置成通過驗證由所述通信裝置提供的注冊會話隨機數是從由所述注冊子系統唯一地生成 的所述注冊隨機數導出用于所述通信裝置來驗證所述通信裝置是注冊的通信裝置��。
8.如權利要求1所述的資格審查服務器,其中對于要被資格審查的每個給定通信裝 置��,所述注冊子系統生成唯一注冊隨機數作為發(fā)送到所述注冊服務器用于注冊該給定通信 裝置的所述注冊信息的一部分�����,并且其中作為詢問給定通信裝置的一部分�,所述鑒權子系 統驗證由所述給定通信裝置提供的注冊會話隨機數準確地從對應的注冊隨機數中導出。
9.如權利要求1所述的資格審查服務器����,其中所述資格審查服務器配置成存儲或否則 保持鑒權證書,所述鑒權證書是公共密鑰基礎設施(PKI)的一部分���,還包含所述運營商資 格審查實體和要被資格審查的所述通信裝置�。
10.如權利要求1所述的資格審查服務器���,其中所述運營商資格審查實體是歸屬訂戶 服務器HSS��,并且其中所述資格審查子系統包含與所述HSS的通信鏈路�����,并配置成從所述 HSS接收加密預訂憑證以便以加密形式傳送到所述供應服務器��。
11.一種提供下載到通信裝置的訂戶憑證的方法��,包括通過向注冊服務器提供所述通信裝置的注冊信息而在所述注冊服務器注冊要被資格審查的通信裝置����;從所述注冊服務器所提及的注冊的通信裝置接收憑證請求,并作為響應����,詢問所述注 冊的通信裝置它們的裝置證書;將所述裝置證書提交給外部鑒權機構進行驗證��,其中具有驗證的裝置證書的注冊的通 信裝置被視為驗證的通信裝置����;向運營商資格審查實體請求預訂憑證用于驗證的通信裝置,并對應地向外部供應服務 器提及驗證的裝置用于預訂憑證供應��;及隨后將從所述運營商資格審查實體接收的用于所述驗證的裝置的預訂憑證傳送到所 述外部供應服務器�。
12.如權利要求11所述的方法���,其中向所述注冊服務器提供所述通信裝置的注冊信息 包括經由因特網協議IP通信將所述注冊信息傳遞到所述注冊服務器����。
13.如權利要求11所述的方法,其中將所述裝置證書提交給外部鑒權機構進行驗證包 括將裝置證書提交給在線證明狀態(tài)協議服務器���。
14.如權利要求11所述的方法���,其中通過向注冊服務器提供所述通信裝置的注冊信息 而在所述注冊服務器注冊要被資格審查的通信裝置包括對于要被資格審查的給定通信裝 置,生成對所述給定通信裝置唯一的注冊隨機數����,并將所述注冊隨機數發(fā)送到所述注冊服 務器作為對于該給定通信裝置發(fā)送的所述注冊信息的一部分。
15.如權利要求14所述的方法�����,其中通過向注冊服務器提供所述通信裝置的注冊信息 而在所述注冊服務器注冊要被資格審查的通信裝置包括對于所述給定通信裝置��,發(fā)送資 格審查服務器路由信息作為所述注冊信息的一部分�����,供所述注冊服務器用于向所述資格審 查服務器提及所述給定通信裝置����。
16.如權利要求14所述的方法,還包括對于請求憑證的給定通信裝置�����,通過驗證由所 述請求通信裝置提供的注冊會話隨機數是從由所述注冊子系統唯一地生成的用于所述請 求通信裝置的所述注冊隨機數中導出的,來驗證所述請求通信裝置是注冊的通信裝置�����。
17.如權利要求11所述的方法�����,還包括對于要被資格審查的每個給定通信裝置�����,生成 唯一注冊隨機數作為發(fā)送到所述注冊服務器用于注冊該給定通信裝置的所述注冊信息的 一部分��,并且作為詢問給定通信裝置的一部分���,驗證由所述給定通信裝置提供的注冊會話 隨機數準確地從對應的注冊隨機數中導出�����。
18.如權利要求11所述的方法,還包括從操作資格審查實體接收預訂憑證作為加密 預訂憑證�����,并且其中隨后將所述預訂憑證傳送到所述外部供應服務器包括以加密形式傳送 所述預訂憑證。
全文摘要
本文示教的方法和系統允許通信裝置制造商將通信裝置預先配置成使用初步訪問憑證獲得臨時網絡訪問權以便下載預訂憑證�����,并具體地說�,允許發(fā)布預訂憑證的網絡運營商驗證請求憑證的各個裝置可信。在一個或多個實施例中�����,資格審查服務器由網絡運營商擁有或控制���,并由網絡運營商用于驗證預訂憑證僅被發(fā)布給可信通信裝置�����,即使這種裝置可由外部注冊服務器向資格審查服務器提及�����,并可由外部供應服務器供應�。具體地說��,資格審查服務器詢問請求裝置它們的裝置證書,并將這些裝置證書提交給外部授權服務器���、例如獨立的OCSP服務器進行驗證����。通用公共密鑰基礎設施(PKI)可用于運營商和裝置證書���。
文檔編號H04W12/04GK101940016SQ200980105017
公開日2011年1月5日 申請日期2009年1月26日 優(yōu)先權日2008年2月7日
發(fā)明者B·斯米茨, K·薩爾伯格, L·巴里加, M·約翰遜, V·萊托弗塔 申請人:愛立信電話股份有限公司