专利名称:移动装置资格审查的方法和系统的制作方法
技术领域:
本发明一般涉及供应移动装置(provisioning mobile devices),并且更具体地 说,涉及便于通过使用可由一个或多个网络运营商访问的集中式装置目录中保存的初步预 订身份信息通过空中激活移动装置。
背景技术:
有效的设备制造、销售和激活是有效地开发由无线通信的继续变革所提供的商业 机会范围的关键促成因素。给用户设备“供应”必要的预订凭证的现有方法对于更有效的 操作象征一种阻碍。例如,一种常规方法依赖于出售或以另外方式销售安装有订户身份模 块SIM的用户设备。每个SIM包括通常以小卡样形状因子实施的抗篡改电路模块,其中该 电路模块存储特定网络运营商的凭证信息。换句话说,用户设备依靠预先编程的SIM受制 于特定网络运营商,并且订户呼叫或否则联系网络运营商以提供记账信息等。作为响应,网 络运营商在一个或多个订户数据库中将该SIM标记为活动的,由此使用户设备可操作。已经提出了至少部分使供应过程自动化的其它方法。示例包括给Macaluso的 美国公布2005/0079863,其公开了通过空中供应的形式(在相关文献中通常称为“0ΤΑ”供 应);给Smith的美国公布2007/0099599,其公开了动态供应无线服务和经由访问因特网数 据库进行初始供应;给Hind的美国专利No. 6,980,660,其公开了使用企业数据库初始化无 线通信装置的方法;以及给Holmes的美国专利No. 6,490,445,其公开了在无线设备中使用 临时访问信息以允许一种形式的受限网络访问用于通过空中供应。然而,作为一般的建议,看起来整个问题框架的复杂性已经阻止了过去的方法提 供相对于安全的通过空中的供应简化移动装置的制造、出售和最终的注册的整个系统和方 法。而且,过去的方法提供了不充分的安全性,或需要一个或多个执行者负责操作许多所涉 及的步骤,这需要可能处于竞争关系的不同执行者之间的重大信任级别。
发明内容
本文示教的方法和系统允许通信装置制造商将通信装置预先配置成使用初步 访问凭证获得临时网络访问权以便下载预订凭证,并具体地说,允许发布预订凭证的网 络运营商验证请求凭证的各个装置是可信的。在一个或多个实施例中,资格审查服务器 (credentialing server)由网络运营商拥有或控制,并由网络运营商用于验证预订凭证仅 被发布给可信通信装置,即使这种装置可由外部注册服务器向(referred to)资格审查服 务器提及,并可由外部供应服务器供应。具体地说,资格审查服务器询问请求装置它们的装 置证书,并将这些装置证书提交给外部授权服务器、例如独立的OCSP服务器进行验证。通 用公共密钥基础设施(PKI)可用于运营商和装置证书。当然,本发明不限于以上特征和优点。实际上,本领域的技术人员在阅读了如下具 体实施方式并看了附图之后将认识到附加特征和优点。
图1是例证在具有各种其它服务器的上下文中示出的资格审查服务器的一个实 施例的框图。图2是例证支持可由图1的资格审查服务器实现的预订资格审查方法的处理逻辑 的一个实施例的逻辑流程图。图3是例证由本文所示教的资格审查服务器所支持的给定通信装置的预定资格 审查的一个实施例的整个系统框图。
具体实施例方式图1例证了资格审查服务器10的一个实施例。如本文所预期的,资格审查服务器 10及其相关联的操作方法“自举(bootstrap) ”资格审查过程,其中可下载订户凭证被安全 而可靠地下载到已经获得了临时网络访问权的可信通信装置。订户凭证例如是可下载到通 信装置内可信计算系统中的基于软件的可下载通用订户身份模块(DLUSIM)。资格审查服务 器10因此可称为DLUSIM服务器。充当DLUSIM服务器,资格审查服务器10在一个或多个实施例中配置成支持将订 户凭证下载到未资格审查的通信装置。支持这种功能性,所例证的资格审查服务器10包 括注册子系统12,配置成通过向外部注册服务器14提供通信装置的注册信息而向该注册 服务器14注册要被资格审查的通信装置(未示出)。注册子系统12包含注册服务器接口 16,诸如有线或无线连接,并支持实现用于与该注册服务器14通信的一个或多个通信协议 的处理电路。在至少一个实施例中,注册服务器接口 16包括用于与该注册服务器14的基 于IP的通信的因特网协议(IP)接口。资格审查系统10还包含鉴权子系统18以询问注册的通信装置它们的装置证书, 并将装置证书提交给外部鉴权服务器20进行验证。在此,“注册的”通信装置是(初始)已 经由资格审查系统10向该注册服务器14注册并随后由注册服务器14向资格审查系统10 提及进行实际预订资格审查的装置。当然,资格审查系统10可与多于一个外部注册服务器 接口(interface),并由此可初始向任何数量的注册服务器14注册通信装置。实际上,它是 资格审查服务器10可由特定网络运营商拥有或否则控制的灵活性和安全性的点,而注册 服务器14(或者其它注册服务器)可由同一网络运营商、另一网络运营商、装置制造商或某 一其它第三方拥有或否则控制。第三方所有权的优点也可应用于鉴权服务器20,该鉴权服务器可以是向资格审查 服务器10提供可信证书验证服务的独立认证机构。这种布置有利地允许给定网络运营商 拥有或否则控制资格审查服务器10,同时利用确立的公共密钥基础设施(PKI)系统来验证 寻找预订凭证的给定通信装置是可信的。例如,在一个或多个实施例中,鉴权子系统18包 含实现在线证书状态协议(OCSP)的鉴权服务器接口 22,并且鉴权服务器20对应地是第三 方独立的OCSP服务器。根据信任级别,有利的是,验证要被资格审查的装置的信任度的执 行者不是(资格审查的)网络运营商或装置制造商,而是其工作是验证装置的独立执行者。本领域技术人员将认识到,OCSP是用于获取X. 509数字证书的撤销状态的因特 网协议。(RFC 2560描述了 OCSP。)X. 509又是PKI的ITU-T密码标准,用于签字和特权管 理。X. 509标准提供公共密钥证书的标准格式等,并且它是本文预期的一种方法,用于使用
5总PKI来确立和验证运营商设备、例如资格审查服务器10与要被资格审查的通信装置之间 的信任。概括地,在一个或多个实施例中,资格审查服务器10配置成存储或否则保持鉴权 证书,该鉴权证书是公共密钥基础设施(PKI)的一部分,还包含运营商资格审查实体26,以 及要被资格审查的通信装置。对于这种资格审查,资格审查服务器10包含资格审查子系统24。资格审查子系 统24配置成向运营商资格审查实体26请求用于验证的通信装置的预订凭证,向外部供应 服务器28提及验证的通信装置用于预订凭证供应,并将预订凭证传送到供应服务器28用 于验证的通信装置的预订凭证供应。支持这些操作,资格审查子系统24包含资格审查实体 接口 30,在一个或多个实施例中该接口提供安全的或否则保护的通信链路。在一个实施例 中,资格审查实体接口 30支持到归属订户服务器(HSS)的专用、可能局部化的通信链路,该 归属订户服务器(HSS)生成或否则访问新的预订凭证用于资格审查具有长期网络预订凭 证的注册的、验证的通信装置。不是执行实际的预订凭证供应,而是资格审查服务器10获取注册和验证的通信 装置的预订凭证,并将它们传送到供应服务器28。为此,资格审查子系统24还包含供应服 务器接口 32,该接口可配置成实现供应服务器28使用的任何协议。有利的是,这种布置免 除了资格审查服务器10不得不知道正在进行资格审查的通信装置的实现细节——例如软 件版本和配置。为此,供应服务器28可以是标准化供应系统,诸如开放移动联盟(OMA)装 置管理(DM)服务器。还应该注意,供应服务器28可以或可以不由网络运营商拥有或控制, 并且资格审查服务器10可接口到(mayinterface to)多于一个供应服务器。还要注意,本 领域技术人员将认识到,资格审查服务器10 —般支持其它功能和通信,诸如维护、监视、配 置和供应活动,并一般具有附加处理、接口和存储单元34。例如,拥有或控制资格审查服务 器10的网络运营商的预订合同处理系统可与资格审查服务器10位于同一位置或集成到其 中。这种系统提供前端处理,允许运营商响应于来自装置拥有者的请求来设置通信装置用 于初始注册。初始合同处理例如可基于web服务器,并支持数据库,其中装置拥有者输入预 订选择、支付信息、装置信息等。在另一个实施例中,运营商的预订合同处理系统与资格审 查服务器10分开实现,并且资格审查服务器10的附加处理/接口电路34包含用于与预订 合同处理系统通信的接口。在至少一个实施例中,资格审查服务器10是具有如上所述适当 通信接口的计算机系统。在这种实施例中,由一个或多个微处理器或其它数字处理单元执 行所存储的计算机程序指令实现了本文示教的预订资格审查服务器操作。这些计算机程序 指令存储在计算机可读介质中,诸如资格审查服务器10内的非易失性存储器中或硬盘上。根据这种处理,资格审查服务器10实现了预订资格审查方法,图2中给出了它的 示例。所例证的处理“开始于”资格审查服务器10在一个或多个注册服务器例如在注册服 务器14注册通信装置(块100)。虽然这个过程可对于成批通信装置进行,但是它也可根据 需要对于单个通信装置进行。例如,给定通信装置的购买者联系与资格审查服务器10相关联的网络运营商,并 协商给定服务合同。作为这个交易的一部分,提供装置信息、例如装置标识符,允许装置以 后当它被开启(turn on)以便在运营商的网络上激活时被识别。运营商的预订合同处理系 统以电子方式联系资格审查服务器10 (如果分开实现的话),并给它提供所有或相关部分 的装置信息。响应于接收到这个信息,资格审查服务器10的注册子系统12向注册服务器14注册通信装置。在一个实施例中,注册子系统12配置成通过生成对给定通信装置唯一 的注册随机数(nonce)并将该注册随机数发送到注册服务器14作为注册信息的一部分来 注册给定通信装置。在这个或其它实施例中,注册子系统12还配置成包含资格审查服务器 路由信息作为注册信息的一部分,供注册服务器14用于向资格审查服务器10提及注册的 通信装置。通信装置一般配置成在被开启以便用所选网络运营商激活时获得临时网络访问 权。由此,给定通信装置与拥有资格审查服务器10的运营商相关联,资格审查服务器10注 册那个给定通信装置(其可被认为是“预先注册”或“初始注册”)并向注册服务器14提供 对应的注册信息。给定通信装置在以后的某一时间开启,并使用初步访问凭证获得临时网 络连接性,并且它使用该连接性访问注册服务器14,该注册服务器基于存储在注册服务器 14的该给定通信装置的注册信息将它向资格审查服务器10提及。由此,图2的处理方法还包含经由可以是OCSP服务器的一个或多个外部鉴权服务 器例如经由鉴权服务器20鉴权注册的通信装置(块102)。再者,虽然这种鉴权处理可以成 批进行,但是资格审查服务器10的至少一个实施例响应于从那些装置接收到单个预订凭 证请求而执行单个通信装置的鉴权处理,因为它们由注册服务器14向资格审查服务器10 提及。鉴权子系统18配置成询问注册的通信装置它们的装置证书,并将装置证书提交给外 部鉴权服务器进行验证,所述注册的通信装置由注册服务器向资格审查服务器提及。作为 这种处理的一部分,对于给定通信装置,鉴权子系统18配置成通过验证由通信装置提供的 注册会话随机数是从由注册子系统12唯一地生成的用于通信装置的注册随机数导出的来 验证该通信装置(请求凭证的)是注册的通信装置。在这方面,注册服务器14由给定通信 装置联系,确定那个装置的身份,并给那个装置提供它从资格审查系统10接收的用于那个 装置的注册随机数。该通信装置又使用那个注册随机数生成提供给资格审查服务器10进 行验证的注册会话随机数。由此,在一个或多个实施例中,作为询问给定通信装置的一部 分,鉴权子系统18基于验证由给定通信装置提供的注册会话随机数是准确地从之前对于 该装置生成的对应注册随机数导出的,作为将它向注册服务器14注册的一部分,来验证给 定通信装置是“注册的”通信装置。在为给定装置提供预订凭证之后,给定通信装置的注册 信息,包含注册随机数,可被标记为使用了(或可被删除),以防止重放攻击。注册信息也可 配置成在某一段时间后期满。假设给定通信装置被适当注册了,并假设鉴权服务器20提供从给定通信装置获 取的装置证书的独立鉴权,资格审查系统10请求给定通信装置的预订凭证。在一个或多个 实施例中,资格审查子系统24向运营商资格审查实体26请求用于验证的通信装置(即,具 有有效证书的注册装置)的预订凭证,将验证的通信装置向外部供应服务器28提及用于预 订凭证供应(块104),并将预订凭证传送到供应服务器28用于验证的通信装置的预订凭证 供应(块106)。通常,运营商资格审查实体26是HSS,其包含用于生成或否则发布长期预订凭证 的安全系统,或与之相关联。HSS实体因此通常由网络运营商密切控制,并且有利的是,资格 审查服务器10也可由给定网络运营商拥有或否则控制,而不损害将外部资源用于给出对 寻找预订凭证的通信装置的网络访问(例如漫游访问)以及用于鉴权和供应这种装置的能 力。图3给出了更详细的“系统”图解,作为讨论资格审查服务器10的这些和其它非限制 方面的基础。在理解图3所描绘的信息/通信连接中所捕获的过程流时,将有帮助的是,注
7意示例通信装置40配置有特定预先存储的数据44,诸如初步IMSI (PIMSI)和对应的PIMSI 密码密_K_PIMSI。装置40还可保持注册服务器标识符(RegServJD)、可下载的SIM ID、 DSIM_ID、DSIM证书、CERTdsim以及用于CERTdsim的秘密密钥、SKdsim。这种信息可在它被发行 或否则卖给用户之前加载到装置40中,并且一些或所有这种存储的信息可保存在装置40 的安全处理模块42中。例如,安全处理模块42可以是具有防篡改的软件和物理保护的可 信模块。作为非限制性示例,安全处理模块42可根据ARM TrustZone 、移动可信模块 (MTM)、可信平台模块(TPM)实现进行配置,或者配置在UICC(通用集成电路卡)内。在一个或多个实施例中,安全处理模块12例如包含安全处理器、安全存储器和密 码引擎。可使用其它安全处理环境,并且例证的安全架构细节不应视为限制本文给出的示 教。还应该理解,安全处理模块42用于安全地存储本文中受关注的长期预订凭证46。具有那种理解,装置40的用户(例如拥有者)联系用户希望与其订立服务协定的 网络运营商(步骤Oa)。这种用户到运营商的初始联系发起装置注册,因为响应于该用户联 系,运营商计算机系统、例如新订户处理系统以电子方式联系资格审查服务器10。响应于这 种联系,资格审查服务器10将装置40的注册信息传给注册服务器(步骤Ob)。如所提到 的,注册信息可包括为装置40生成的注册随机数或其它标识符,连同要由装置40在联系资 格审查服务器10中所用的路由信息。在以后的某一时间,用户接通装置40,并且它使用预先存储在装置40中的PIMSI 和K_PIMSI向初步归属位置寄存器(PHLR) 50鉴权它自己(步骤1)。PHLR可属于不同的 网络运营商,并且可配置成向给出有效初步访问凭证的任何装置至少提供临时网络通信访 问权。在任何情况下,假设存在PHLR 50的拥有者/运营商与注册服务器14之间的服务级 别协定,在装置40与注册服务器14之间建立通信链路。例如,可经由一个或多个移动或公 共或专用IP网络52确立基于IP的链路。注册服务器14使用所确立的通信链路将路由信 息和注册随机数传给装置40 (步骤2)。注意,注册信息优选被传送到安全处理模块42。装 置40又使用该路由信息联系资格审查服务器10并提供标识信息(步骤3)。资格审查服 务器10通过检查装置40的安全处理模块42是否保持有效装置证书来响应这个预订凭证 请求。例如,资格审查服务器10检查是否批准安全处理模块42 (步骤4)。这种处理可使 用OCSP和PKI执行,并且优选地由充当独立认证机构的鉴权服务器20支持。假设验证了 装置42,资格审查服务器指令运营商资格审查实体26准备装置42的预订凭证(步骤5)。 在此,运营商资格审查实体26包括HSS 60,其包含HLR 62或与之相关联;以及(安全) 凭证库(r印ository)64,其存储或否则生成各个通信装置的长期预订凭证。在至少一个实 施例中,资格审查服务器10的资格审查子系统24指令HSS 60准备将预订凭证绑定到装置 40的安全处理模块42。(安全处理模块42提供安全处理环境,并且其中装置42是移动装 置,例如蜂窝电话或其它移动终端或移动台,安全处理模块42可以称为DLUSIM移动环境 或DLUSIME。)在这种处理的一个示例中,资格审查子系统24经由通过资格审查实体接口 30确立的安全通信链路向HSS 60发送消息,请求HSS 60将IMSI和IMSI密钥对,表示为 {IMSI,K},绑定到装置40的DLUSIME。具体地说,HSS 60可密码地“封装”凭证,并用与拥 有或控制HSS 60和资格审查服务器10的网络运营商相关联的密钥来签署封装的凭证。在 一个具体实施例中,凭证是用通信装置40中可信计算模块42的公共密钥加密的XML,以及 用运营商的秘密密钥签署的XML。
8
当然,其它加密/签署布置也是预期的,并且在任何情况下,应该理解,HSS 60有 利地可以加密形式向资格审查服务器10提供打算送给装置40的预订凭证,这降低了在资 格审查服务器10和在供应服务器30的处理要求和安全风险。资格审查服务器10向其凭 证准备好的装置40发送消息(步骤6),并优选地,消息传递包含随机数信息,装置40检查 它首先从注册服务器14或从资格审查服务器10接收的随机数信息,作为在预订资格审查 开始处验证处理的一部分。这种随机数信息防止重放攻击,并阻止发布附加预订凭证。作为这种消息传递的一部分或作为其附加,资格审查子系统24向供应服务器30 提及装置40,例如它向装置40提供标识或否则将装置40指引向供应服务器30的路由信 息。如所提到的,在非限制但有利的示例中,供应服务器30是配置成为与装置40相同类型 的装置提供一系列供应服务的OMA装置管理服务器(并且可能用于许多类型的装置和/或 许多不同的装置软件版本)。有利的是,在这个方面,预订凭证在一个或多个实施例中以加密形式从资格审查 服务器10传送到供应服务器30,意思是供应服务器30不必实现它正常实现用于管理一系 列装置供应操作的那些之外的安全或限制协议。当然,另外的优点是,通过推迟预订凭证向 供应服务器30的实际传送,其通过定义已经知道如何进行与装置40的供应交易,详细的供 应协议不必在资格审查服务器10中实现。资格审查服务器10向供应服务器30提及装置40之后,装置40触发供应服务器 30向它提供预订凭证(步骤7)。作为响应,供应服务器30建立与装置40的供应会话,并 向资格审查服务器发送消息,请求装置40的(加密)预订凭证(步骤8)。资格审查服务器 10响应于该请求将加密预订凭证传送到供应服务器30(步骤9),其然后向装置40提供加 密预订凭证,以便由装置40的可信计算模块42进行解密和验证(步骤10)。例如,可信计 算模块42验证凭证签名信息以及所包含的随机数信息。可信计算模块42还检查运营商的 证书(使用OSCP服务器20的OCSP和PKI服务)(步骤11)。假设所有验证都成功了,可信 计算模块42解密加密的凭证{IMSI,K},并将它们存储在其安全处理环境内(步骤12)。它的以上处理和变化提供了通信装置的“自举”预订资格审查的有效且改进的方 法。这种有效性相对于消费装置例如电话、寻呼机、PDA等的零售销售以及在机器对机器 (M2M)应用中是有利的。对于M2M,通信装置可以是蜂窝调制解调器模块,配置用于嵌入式 系统使用,例如自动贩卖机、电表、各种监视站等。这种装置可由用户成批购买,并在以后时 间单独安装在可能许多不同的位置。有利地,M2M装置购买者与给定网络运营商订立服务协定,并且上述注册和资格审 查处理可对于任何数量的M2M装置执行。可以假设,使用例如使用X. 509证书的标准PKI, 并且对应的认证机构(CA)证书对于需要执行属于PKI的证书的证书验证的所有方都是已 知的。另外,可以假设,通过OSCP服务器20执行证书的撤销(可涉及多于一个OSCP服务 器)。批准的M2M装置的制造商得到公共PKI内的装置证书,并存储那个证书、其对应的 秘密密钥以及每个M2M装置的可信计算模块42中的CA的根证书。M2M装置制造商还在每 个M2M装置中存储初步凭证(临时访问凭证),例如早先讨论的PIMSI和对应的AKA密钥、 K_PIMSI。这些初步凭证属于所选的运营商,并且假设,运营商诸如通过保持PHLR50 (来自 图3)以支持对于初步资格审查的装置的临时网络访问权,和/或通过保持与提供这种PHLR的一个或多个运营商的漫游协定,来提供对注册服务器14的访问。M2M装置可预先配置有 一个或多个注册服务器14的网络地址。按照以上框架,用户与运营商订立服务协定,并且运营商对于用户的一个或多个 通信装置发起与其资格审查服务器10的电子交易。资格审查服务器10连接到注册服务器 14,并指令它将这些一个或多个通信装置的自举联系路由到资格审查服务器10。接通给定 装置,获得临时通信网络访问权,联系注册服务器,并向给定资格审查服务器提及。资格审 查服务器使用独立的CA来验证装置的证书,S卩,确定运营商是否可以信任该装置。如果验证了,则资格审查服务器请求装置的预订凭证,并向供应服务器提及该装 置,例如标准OMA装置管理服务器。装置联系那个供应服务器,该供应服务器又联系资格审 查服务器。资格审查服务器又将装置的预订凭证传送给供应服务器用于对装置进行实际供 应。(供应服务器也可向装置供应其它数据项。)值得注意的是,所传送的预订凭证优选是 加密形式,如通过安全链路从运营商的HSS或其它资格审查实体接收的,并以加密形式传 送到供应服务器。这样做允许使用标准供应服务器,并简化安全关系。由此,本文的示教提供一种用于使用通过空中(OTA)和/或基于IP的连接便于通 信装置供应的系统和方法,其中优选在给定运营商控制下的资格审查服务器用于验证请求 预订凭证的装置是可信的,同时仍允许使用任何数量的注册服务器和供应服务器,这些服 务器可以或可以不由网络运营商拥有或控制。使用资格审查服务器作为是高度敏感实体的 运营商HSS与各种注册、供应、鉴权服务器之间的中介允许使用这些各种服务器,无需将凭 证生成和可信装置验证的核心方面暴露给可与其它运营商或第三方共享或否则在运营商 直接控制之外的实体。然而,应该理解,上述说明书和附图给出了本文示教的方法、系统和各个设备的非 限制性示例。这样,本发明不受以上说明书和附图的限制。而是,本发明仅由如下权利要求 书及其合法等效方案限制。
权利要求
一种资格审查服务器,配置成支持将预订凭证下载到未资格审查的通信装置,所述资格审查服务器包括注册子系统,配置成通过向外部注册服务器提供所述通信装置的注册信息来向所述注册服务器注册要被资格审查的通信装置;鉴权子系统,询问注册的通信装置它们的装置证书,并将所述装置证书提交给外部鉴权服务器进行验证,由所述注册服务器向所述资格审查服务器提及所述注册的通信装置;以及资格审查子系统,向运营商资格审查实体请求用于验证的通信装置的预订凭证,向外部供应服务器提及所述验证的通信装置用于预订凭证供应,并将所述预订凭证传送到所述供应服务器用于所述验证的通信装置的预订凭证供应。
2.如权利要求1所述的资格审查服务器,其中所述注册子系统包含基于因特网协议IP 的注册服务器接口,用于可通信地将所述资格审查服务器耦合到所述注册服务器。
3.如权利要求1所述的资格审查服务器,其中所述鉴权子系统包含基于在线证书状态 协议OCSP的鉴权服务器接口,用于可通信地将所述资格审查服务器耦合到所述鉴权服务O
4.如权利要求1所述的资格审查服务器,其中所述资格审查子系统包含安全网络接 口,用于可通信地将所述资格审查服务器耦合到用作所述运营商资格审查实体的归属订户 服务器HSS。
5.如权利要求1所述的资格审查服务器,其中所述注册子系统配置成通过生成对给定 通信装置唯一的注册随机数并将所述注册随机数发送到所述注册服务器作为所述注册信 息的一部分来注册所述给定通信装置。
6.如权利要求5所述的资格审查服务器,其中所述注册子系统还配置成包含资格审查 服务器路由信息作为所述注册信息的一部分,供所述注册服务器用于向所述资格审查服务 器提及注册的通信装置。
7.如权利要求5所述的资格审查服务器,其中对于给定通信装置,所述鉴权子系统配 置成通过验证由所述通信装置提供的注册会话随机数是从由所述注册子系统唯一地生成 的所述注册随机数导出用于所述通信装置来验证所述通信装置是注册的通信装置。
8.如权利要求1所述的资格审查服务器,其中对于要被资格审查的每个给定通信装 置,所述注册子系统生成唯一注册随机数作为发送到所述注册服务器用于注册该给定通信 装置的所述注册信息的一部分,并且其中作为询问给定通信装置的一部分,所述鉴权子系 统验证由所述给定通信装置提供的注册会话随机数准确地从对应的注册随机数中导出。
9.如权利要求1所述的资格审查服务器,其中所述资格审查服务器配置成存储或否则 保持鉴权证书,所述鉴权证书是公共密钥基础设施(PKI)的一部分,还包含所述运营商资 格审查实体和要被资格审查的所述通信装置。
10.如权利要求1所述的资格审查服务器,其中所述运营商资格审查实体是归属订户 服务器HSS,并且其中所述资格审查子系统包含与所述HSS的通信链路,并配置成从所述 HSS接收加密预订凭证以便以加密形式传送到所述供应服务器。
11.一种提供下载到通信装置的订户凭证的方法,包括通过向注册服务器提供所述通信装置的注册信息而在所述注册服务器注册要被资格审查的通信装置;从所述注册服务器所提及的注册的通信装置接收凭证请求,并作为响应,询问所述注 册的通信装置它们的装置证书;将所述装置证书提交给外部鉴权机构进行验证,其中具有验证的装置证书的注册的通 信装置被视为验证的通信装置;向运营商资格审查实体请求预订凭证用于验证的通信装置,并对应地向外部供应服务 器提及验证的装置用于预订凭证供应;及随后将从所述运营商资格审查实体接收的用于所述验证的装置的预订凭证传送到所 述外部供应服务器。
12.如权利要求11所述的方法,其中向所述注册服务器提供所述通信装置的注册信息 包括经由因特网协议IP通信将所述注册信息传递到所述注册服务器。
13.如权利要求11所述的方法,其中将所述装置证书提交给外部鉴权机构进行验证包 括将装置证书提交给在线证明状态协议服务器。
14.如权利要求11所述的方法,其中通过向注册服务器提供所述通信装置的注册信息 而在所述注册服务器注册要被资格审查的通信装置包括对于要被资格审查的给定通信装 置,生成对所述给定通信装置唯一的注册随机数,并将所述注册随机数发送到所述注册服 务器作为对于该给定通信装置发送的所述注册信息的一部分。
15.如权利要求14所述的方法,其中通过向注册服务器提供所述通信装置的注册信息 而在所述注册服务器注册要被资格审查的通信装置包括对于所述给定通信装置,发送资 格审查服务器路由信息作为所述注册信息的一部分,供所述注册服务器用于向所述资格审 查服务器提及所述给定通信装置。
16.如权利要求14所述的方法,还包括对于请求凭证的给定通信装置,通过验证由所 述请求通信装置提供的注册会话随机数是从由所述注册子系统唯一地生成的用于所述请 求通信装置的所述注册随机数中导出的,来验证所述请求通信装置是注册的通信装置。
17.如权利要求11所述的方法,还包括对于要被资格审查的每个给定通信装置,生成 唯一注册随机数作为发送到所述注册服务器用于注册该给定通信装置的所述注册信息的 一部分,并且作为询问给定通信装置的一部分,验证由所述给定通信装置提供的注册会话 随机数准确地从对应的注册随机数中导出。
18.如权利要求11所述的方法,还包括从操作资格审查实体接收预订凭证作为加密 预订凭证,并且其中随后将所述预订凭证传送到所述外部供应服务器包括以加密形式传送 所述预订凭证。
全文摘要
本文示教的方法和系统允许通信装置制造商将通信装置预先配置成使用初步访问凭证获得临时网络访问权以便下载预订凭证,并具体地说,允许发布预订凭证的网络运营商验证请求凭证的各个装置可信。在一个或多个实施例中,资格审查服务器由网络运营商拥有或控制,并由网络运营商用于验证预订凭证仅被发布给可信通信装置,即使这种装置可由外部注册服务器向资格审查服务器提及,并可由外部供应服务器供应。具体地说,资格审查服务器询问请求装置它们的装置证书,并将这些装置证书提交给外部授权服务器、例如独立的OCSP服务器进行验证。通用公共密钥基础设施(PKI)可用于运营商和装置证书。
文档编号H04W12/04GK101940016SQ200980105017
公开日2011年1月5日 申请日期2009年1月26日 优先权日2008年2月7日
发明者B·斯米茨, K·萨尔伯格, L·巴里加, M·约翰逊, V·莱托弗塔 申请人:爱立信电话股份有限公司