CN108886530B - 企业移动管理中移动设备的激活方法和移动设备 - Google Patents

企业移动管理中移动设备的激活方法和移动设备 Download PDF

Info

Publication number
CN108886530B
CN108886530B CN201780023188.3A CN201780023188A CN108886530B CN 108886530 B CN108886530 B CN 108886530B CN 201780023188 A CN201780023188 A CN 201780023188A CN 108886530 B CN108886530 B CN 108886530B
Authority
CN
China
Prior art keywords
security certificate
server
mobile device
certificate
secure connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201780023188.3A
Other languages
English (en)
Other versions
CN108886530A (zh
Inventor
万涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN108886530A publication Critical patent/CN108886530A/zh
Application granted granted Critical
Publication of CN108886530B publication Critical patent/CN108886530B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明涉及用于激活企业移动管理环境中的移动设备的系统和方法。该移动设备用于生成包括设备密钥和移动设备的标识的第一设备安全证书。所述设备密钥对应已知于所述移动设备和认证服务器的共享密钥。所述移动设备将所述第一设备安全证书发送给所述认证服务器。所述认证服务器通过将所述设备密钥与服务器密钥进行比较并通过在已知标识的列表中定位该标识来验证所述移动设备。当所述移动设备通过验证时,所述认证服务器向所述移动设备发送第一服务器安全证书。然后可以使用第一设备和服务器安全证书来建立安全连接,通过该安全连接可以注册第二组设备和服务器证书。

Description

企业移动管理中移动设备的激活方法和移动设备
交叉申请
本申请要求在2016年4月11日提交、申请号为15/095,887、发明名称为《企业移动管理中移动设备的激活》的美国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明一般涉及移动设备,更具体地,涉及企业移动管理环境中移动设备的安全激活方法和移动设备。
背景技术
许多组织向其成员提供移动设备以允许其成员远程访问诸如电子邮件服务器和数据库等组织资源。为了减少安全问题,组织可以要求组织提供的移动设备和组织资源之间的所有通信都在安全信道上进行。保护通信信道的方法之一是使用安全证书。
当向组织内的成员提供新部署的移动设备时,可能需为移动设备提供一个或多个安全证书以便认证该移动设备。向移动设备提供一个或多个安全证书可以手动完成,例如,由在移动设备上存储安全证书的该组织的技术部门完成。然而,手动方法有可能费时,并且还会要求成员交出移动设备。或者,可以通过网络向移动设备远程提供安全证书。然而,当前技术使用基于挑战和响应的认证协议,复杂且容易受到攻击。
因此,需要一种解决方案以安全的方式远程认证新部署的移动设备。
发明内容
本发明涉及用于激活企业移动管理环境中的移动设备的系统和方法。该移动设备用于生成包括设备密钥和移动设备的标识的第一设备安全证书。所述设备密钥对应于已知于所述移动设备和认证服务器的共享密钥。所述移动设备将所述第一设备安全证书发送给所述认证服务器。所述认证服务器通过将所述设备密钥与服务器密钥进行比较并通过在已知标识的列表中定位该标识来验证所述移动设备。当所述移动设备通过验证时,所述认证服务器向所述移动设备发送第一服务器安全证书。然后可以使用第一设备和服务器安全证书来建立安全连接,通过该安全连接可以注册第二组设备和服务器证书。
根据广泛的方面,提供了一种方法。该方法包括在移动设备处生成第一设备安全证书,所述第一设备安全证书包括所述移动设备的标识的表示和设备密钥的表示。将所述第一设备安全证书发送给认证服务器。从所述认证服务器接收服务器安全证书,所述服务器安全证书包括服务器密钥的表示,所述服务器密钥对应于所述设备密钥。基于所述设备安全证书和所述服务器安全证书与所述认证服务器建立安全连接;通过所述安全连接注册至少一个第二设备安全证书用于正式通信。
在前述任意示例性实施例中,生成所述第一设备安全证书包括基于所述设备密钥生成根证书,以及用所述根证书签署所述第一设备安全证书。
在前述任意示例性实施例中,生成具有所述移动设备的标识的表示的所述第一设备安全证书包括在所述第一设备安全证书中提供所述移动设备的国际移动设备标识(International Mobile Station Equipment Identity,简称IMEI)的至少一部分。
在前述任意示例性实施例中,生成具有所述移动设备的标识的表示的所述第一设备安全证书包括在所述第一设备安全证书中提供所述移动设备的IMEI散列。
在前述任意示例性实施例中,建立所述安全连接包括建立一个传输层安全隧道。
在前述任意示例性实施例中,注册所述至少一个第二服务器安全证书包括通过所述安全连接从所述认证服务器接收由所述认证服务器的认证机构签署的所述至少一个第二设备安全证书。
在前述任意示例性实施例中,所述方法还包括,在注册所述至少一个第二设备安全证书之后,删除所述第一设备安全证书和所述服务器安全证书。
在前述任意示例性实施例中,删除所述第一设备安全证书和所述服务器安全证书包括删除与所述第一设备安全证书关联的信任锚点。
在前述任意示例性实施例中,所述安全连接是一个临时安全连接。所述方法还包括,基于所述至少一个第二设备安全证书,与所述认证服务器建立与所述临时安全连接分离的至少一个正式安全连接。
在前述任意示例性实施例中,建立所述至少一个正式安全连接包括在建立所述至少一个正式安全连接之后终止所述临时安全连接。
根据另一广泛的方面,提供了一种移动设备。该移动设备包括:处理单元;存储器,通信上耦合到所述处理单元,包括可由所述处理单元执行的计算机可读程序指令。所述程序指令由所述处理单元执行用于:在移动设备处生成第一设备安全证书,所述第一设备安全证书包括所述移动设备的标识的表示和设备密钥的表示;将所述第一设备安全证书发送给认证服务器;从所述认证服务器接收服务器安全证书,所述服务器安全证书包括服务器密钥的表示,所述服务器密钥对应于所述设备密钥;基于所述设备安全证书和所述服务器安全证书与所述认证服务器建立安全连接;通过所述安全连接注册至少一个第二设备安全证书用于正式通信。
在前述任意示例性实施例中,生成所述第一设备安全证书包括基于所述设备密钥生成根证书,以及用所述根证书签署所述第一设备安全证书。
在前述任意示例性实施例中,生成具有所述移动设备的标识的表示的所述第一设备安全证书包括在所述第一设备安全证书中提供所述移动设备的国际移动设备标识(International Mobile Station Equipment Identity,简称IMEI)的至少一部分。
在前述任意示例性实施例中,生成具有所述移动设备的标识的表示的所述第一设备安全证书包括在所述第一设备安全证书中提供所述移动设备的IMEI散列。
在前述任意示例性实施例中,建立所述安全连接包括建立一个传输层安全隧道。
在前述任意示例性实施例中,注册所述至少一个第二服务器安全证书包括通过所述安全连接从所述认证服务器接收由所述认证服务器的认证机构签署的所述至少一个第二设备安全证书。
在前述任意示例性实施例中,所述程序指令进一步由所述处理单元执行以在注册所述至少一个第二设备安全证书之后,删除所述第一设备安全证书和所述服务器安全证书。
在前述任意示例性实施例中,删除所述第一设备安全证书和所述服务器安全证书包括删除与所述第一设备安全证书关联的信任锚点。
在前述任意示例性实施例中,所述安全连接是一个临时安全连接,所述程序指令进一步可由所述处理单元执行以基于所述至少一个第二设备安全证书与所述认证服务器建立与所述临时连接分离的至少一个正式安全连接。
在前述任意示例性实施例中,建立所述至少一个正式安全连接包括在建立所述至少一个正式安全连接之后终止所述临时安全连接。
根据另一广泛的方面,提供了一种方法。该方法包括:在认证服务器处生成包括与移动设备相关联的服务器密钥的表示的第一服务器安全证书。从所述移动设备接收设备安全证书,所述设备安全证书包括移动设备标识的表示和设备密钥的表示。将所述设备密钥的表示与所述服务器密钥的表示进行比较,并将所述移动设备标识的表示与已知的移动设备标识表示的列表进行比较,以验证所述移动设备。将所述第一服务器安全证书发送给所述验证的移动设备。基于所述设备安全证书和所述第一服务器安全证书与所述验证的移动设备建立安全连接;注册至少一个第二服务器安全证书用于与验证的移动设备进行正式通信。
在前述任意示例性实施例中,生成所述第一服务器安全证书包括基于所述服务器密钥生成根证书,以及用所述根证书签署所述第一服务器安全证书。
在前述任意示例性实施例中,生成所述第一服务器安全证书包括基于随机生成的密钥对生成所述第一服务器安全证书。
在前述任意示例性实施例中,所述移动设备标识的表示是国际移动设备标识(International Mobile Station Equipment Identity,简称IMEI)。
在前述任意示例性实施例中,所述移动设备标识的表示是国际移动设备标识(International Mobile Station Equipment Identity,简称IMEI)的散列。
在前述任意示例性实施例中,建立所述安全连接包括建立一个传输层安全隧道。
在前述任意示例性实施例中,注册所述至少一个第二服务器安全证书包括生成所述至少一个第二服务器安全证书,以及通过认证机构签署所述至少一个第二服务器安全证书。
在前述任意示例性实施例中,所述方法还包括,在注册所述至少一个第二服务器安全证书之后,删除所述设备安全证书和所述第一服务器安全证书。
在前述任意示例性实施例中,所述安全连接是一个临时安全连接,所述方法还包括,基于所述至少一个第二服务器安全证书,与所述移动设备建立与所述临时安全连接分离的至少一个正式安全连接。
在前述任意示例性实施例中,建立所述至少一个正式安全连接包括在建立所述至少一个正式安全连接之后终止所述临时安全连接。
根据另一广泛的方面,还提供了认证服务器。该认证服务器包括:处理单元;存储器,通信上耦合到所述处理单元,包括可由所述处理单元执行的计算机可读程序指令。所述程序指令由所述处理单元执行用于在认证服务器处生成包括与移动设备相关联的服务器密钥的表示的第一服务器安全证书。从所述移动设备接收设备安全证书,所述设备安全证书具有移动设备标识的表示和设备密钥的表示。将所述设备密钥的表示与所述服务器密钥的表示进行比较,并将所述移动设备标识的表示与已知的移动设备标识表示的列表进行比较,以验证所述移动设备。将所述第一服务器安全证书发送给所述验证的移动设备。基于所述设备安全证书和所述第一服务器安全证书与所述验证的移动设备建立安全连接;注册至少一个第二服务器安全证书用于与验证的移动设备进行正式通信。
在前述任意示例性实施例中,生成所述第一服务器安全证书包括基于所述服务器密钥生成根证书,以及用所述根证书签署所述第一服务器安全证书。
在前述任意示例性实施例中,生成所述第一服务器安全证书包括基于随机生成的密钥对生成所述第一服务器安全证书。
在前述任意示例性实施例中,所述移动设备标识的表示是国际移动设备标识(International Mobile Station Equipment Identity,简称IMEI)。
在前述任意示例性实施例中,所述移动设备标识的表示是国际移动设备标识(International Mobile Station Equipment Identity,简称IMEI)的散列。
在前述任意示例性实施例中,建立所述安全连接包括建立一个传输层安全隧道。
在前述任意示例性实施例中,注册所述至少一个第二服务器安全证书包括生成所述至少一个第二安全证书,以及通过认证机构签署所述至少一个第二服务器安全证书。
在前述任意示例性实施例中,所述程序指令进一步由所述处理单元执行以在注册所述至少一个第二服务器安全证书之后,删除所述设备安全证书和所第一服务器安全证书。
在前述任意示例性实施例中,所述安全连接是一个临时安全连接,所述程序指令进一步可由所述处理单元执行以基于所述至少一个第二服务器安全证书与所述移动设备建立与所述临时安全连接分离的至少一个正式安全连接。
在前述任意示例性实施例中,建立所述至少一个正式安全连接包括在建立所述至少一个正式安全连接之后终止所述临时安全连接。
本文描述的系统,设备和方法的特征可以以各种组合使用,也可以以各种组合的方式用于系统和计算机可读存储介质。
附图说明
结合下面简要描述的附图,本文所描述的实施例的进一步的特征和优点在下面的详细描述中显而易见。
图1是用于激活移动设备的示例网络的框图。
图2是阐明由移动设备执行的用于认证移动设备的方法的流程图。
图3A和3B是阐明图2中阐明的方法的一些步骤的示例性实施例的流程图。
图4是阐明由认证服务器执行的用于认证移动设备的方法的流程图。
图5A、5B和5C是阐明图4中阐明的方法的一些步骤的示例性实施例的流程图。
图6是在本说明书的上下文内考虑的示例性移动设备的框图。
图7是用于认证移动设备的移动设备侧应用的框图。
图8是在本说明书的上下文内考虑的示例性认证服务器的框图。
图9是用于认证移动设备的认证服务器侧应用的框图。
需要注意的是,在所有附图中,相同的特征由相同的参考数字标识。
具体实施方式
本发明提供了用于远程认证新部署的移动设备的方法,系统和计算机可读介质。移动设备可以用于远程访问各种公司和/或组织资源,包括电子邮件和数据库。为移动设备与公司或组织资源之间安全通信,使用安全证书来建立安全连接。通过认证流程在移动设备和认证服务器之间所述建立安全连接。所述认证流程包括在认证服务器处验证移动设备知道密钥,且该移动设备是已知移动设备列表的一部分。如果两个条件都满足,则向移动设备提供合适的安全证书以建立安全连接。
参照图1,示出了用于认证新部署的移动设备100的示例性实施例的框图。网络10可以是公共网络,诸如WiFi网络、ZigBeeTM网络、BluetoothTM网络、局域网(local areanetwork,简称LAN)、广域网(wide area network,简称WAN)、蜂窝网络、移动通信网络和任何其他合适的网络。网络10还可以包括因特网9。该网络可以具有任何数量的连接到其中的通信设备,包括移动设备100。
该移动设备100可以是任何合适的联网移动设备100,诸如蜂窝电话、功能电话、智能手机、平板手机、平板电脑、便携式计算机、超便携式通信设备和可穿戴通信设备等。该移动设备100能够经由所述网络10访问其他网络,包括公司网络20。
所述公司网络20可以由一个或多个防火墙221和222保护。所述公司网络20可以包括所述防火墙221和222之间的认证服务器150。所述公司网络20还可以包括各种公司资源24。所述公司资源24可以包括电子邮件服务器、数据库、文档管理系统和客户关系管理系统等。对企业资源24的访问可能仅对已由所述认证服务器150成功认证的移动设备100可用。更具体地,请求访问所述公司资源24的移动设备100可能需要由所述认证服务器150提供的一个或多个安全证书。
参照图2,移动设备100实现用于执行与认证服务器150之间的认证流程的方法200。在步骤210,该移动设备100生成第一设备安全证书。设备安全证书是诸如公钥证书、数字证书或用于证明设备密钥的所有权的身份证书的电子文档。设备安全证书包括设备密钥的信息、设备安全证书的所有者的身份信息以及已验证证书的内容的实体的数字签名。如果签名是有效的并且检查证书的系统信任签名者,则系统知道可以使用设备密钥来与设备通信。
第一设备安全证书包括移动设备的标识的表示和设备密钥的表示。设备密钥是用于指移动设备中的共享密钥的术语。共享密钥是设备和服务器都知道的值。它可以是唯一的或伪唯一的,并且可以与运行设备希望连接到的公司网络的公司或组织相关联。所述共享密钥可以是任何合适的值,包括数字,字符串等。共享密钥可以例如由所述移动设备的制造商或分销商提供。该设备密钥可以表示为共享密钥本身、共享密钥的一部分或者共享密钥的散列或其它变换。
移动设备标识与移动设备相关联并用于识别移动设备。其可以是任何合适的唯一或伪唯一标识名称、编号或其它字母数字或二进制字符串。在一些实施例中,所述移动设备标识是所述移动设备的国际移动设备标识(International Mobile Station EquipmentIdentity,简称IMEI)。在一些实施例中,移动设备标识是与所述设备相关联的IMEI、序列号或电话号码的散列或一部分。在一些情况下,可以仅存储标识的一部分,例如仅IMEI的一部分,序列号的一部分或电话号码的一部分。在一些实施例中,标识的部分首先可以散列、盐化、重复或以任何合适的方式更改,以提高安全性等。移动设备的标识可以被移动设备存储在设备安全证书的主题备选字段(Subject Alternate Field,简称SAN)中,或者存储在任何其他合适的字段中。
当在认证服务器150中提供该共享密钥时,该共享密钥称为服务器密钥。该服务器密钥可以表示为共享密钥本身,共享密钥的一部分,或者共享密钥的散列或其它变换。服务器安全认证是诸如公钥证书、数字证书或用于证明服务器密钥的所有权的身份证书的电子文档。服务器安全证书包括服务器密钥的信息、服务器密钥的所有者的身份信息以及已验证了服务器安全证书的内容的实体的数字签名。如果签名是有效的并且检查证书的系统信任签名者,则系统知道可以使用服务器密钥来与服务器通信。
当所述移动设备100正确地与所述网络20的所述资源24相关联时,所述设备密钥和服务器密钥是相同的。确认设备密钥和服务器密钥确实是相同是认证流程的一部分,如下面更详细的描述。所述设备密钥和所述服务器密钥可以是任何合适的数据元素,例如数字,单词、字母数字字符串或任何其它合适的数据。例如,可以在制造过程中将所述设备密钥提供给所述移动设备100。所述移动设备100也可以将所述设备密钥和基于所述设备密钥生成的任何证书视为信任锚点。因此,基于与所述设备密钥相同的服务器密钥生成的任何证书也可被所述移动设备100视为信任锚点。
在步骤220中,所述移动设备100将所述第一设备安全证书发送给所述认证服务器150。所述移动设备100采用任何合适的手段并通过所述网络10的任何合适的部分将所述第一设备安全证书发送给所述认证服务器150。例如,所述移动设备100可以通过移动通信网络发送所述第一设备安全证书。该网络可以包括CDMA网络、EDGE网络、LTE网络、LTE+网络、HSPA网络或任何其他合适的网络。在一些情况下,所述移动设备100可以将所述第一设备安全证书发送给所述防火墙221或者其元件,诸如网关服务器(未示出),然后该防火墙可以将所述第一设备安全证书发送给所述认证服务器150。
当所述移动设备100从所述认证服务器150接收到服务器安全证书时,所述方法200进行到步骤240。应该注意的是,如果所述移动设备100被所述认证服务器150认证,则所述服务器安全证书将仅被发送给所述移动设备100,如下文更详细的解释。所述服务器安全证书可以基于随机生成的密钥对,或者基于任何其他合适的密钥对。所述移动设备100可以以任何合适的方式验证服务器安全证书,例如,通过检查服务器安全证书的签名。如果所述服务器安全证书的签名是可信的,则所述移动设备100可以得出所述服务器安全证书是可信的结论。所述移动设备100可以基于任何合适的因素信任所述任服务器安全证书的签名,例如,因为所述移动设备100将包含所述服务器密钥的所述服务器安全证书的签名视为信任锚点。
在步骤240中,所述移动设备100与所述认证服务器150建立安全连接。所述移动设备100和所述认证服务器150之间的数据交换可以用所述设备安全证书和所述服务器安全证书来保护和验证。所述安全连接可以包括例如传输层安全(transport layer security,简称TLS)隧道或者任何其他合适的安全连接。
在步骤250中,所述移动设备100注册至少一个第二设备安全证书用于正式通信。所述第二设备安全证书可以从所述认证服务器150接收,或者可以由所述移动设备100生成。所述移动设备100可以使用所述第二设备安全证书来保护和验证正式通信,例如,到所述公司资源24的安全连接。
在一些实施例中,参照图3A,步骤250包括多个步骤:252、254和256。在步骤252中,所述移动设备100接收所述至少一个第二服务器安全证书。通过在方法200的步骤240中建立的安全连接来接收所述第二服务器安全证书。所述第二服务器安全证书可以由所述认证服务器150的认证机构签署。所述移动设备100基于所述第二服务器安全证书的签名来验证所述第二服务器安全证书。
在步骤254中,所述移动设备100生成至少一个第二设备安全证书。每个第二设备安全证书可以对应于一个第二服务器安全证书。所述第二设备安全证书可以以任何合适的方式生成,并可以例如基于随机生成的密钥对。
在步骤256中,所述移动设备100将一个或多个第二设备安全证书发送给所述认证服务器150。所述第二设备安全证书通过在方法200的步骤240中建立的安全连接发送。
在一些情况下,所述认证服务器150可以生成所述第二服务器安全证书和所述第二设备安全证书。因此,在步骤250中,所述移动设备100可以接收所述第二服务器安全证书和所述第二设备安全证书。所述移动设备100然后可以同时注册所述第二服务器安全证书和所述第二设备安全证书以用于建立正式的通信。
继续参照图2,在步骤260中,一旦注册了第二服务器安全证书,可选地,所述移动设备100可以删除所述第一设备安全证书和所述第一服务器安全证书。所述移动设备100可以进一步删除与设备密钥和服务器密钥相关联的信任锚点。这可以用来,例如,防止使用所述第一设备安全证书和所述第一服务器安全证书进行恶意攻击。
在一些实施例中,在步骤270中,一旦注册了所述第二服务器安全证书,可选地,所述移动设备100可以建立与先前建立的安全连接分离的至少一个正式安全连接。每个正式的安全连接都可以基于各自的一对对应的第二服务器安全证书和第二设备安全证书来建立。因此,正式安全连接可以用于与例如公司资源24或所述认证服务器150进行通信。在步骤280中,在建立正式安全连接之后,可选地,所述移动设备100可以终止与认证服务器150在步骤240建立的安全连接。
一旦注册了第二组安全证书,所述移动设备100就可以通过所述正式安全连接与所述认证服务器150和/或所述公司资源24交换数据,其通过第二组安全证书来保护和验证。
在一些实施例中,参照图3B,步骤210包括多个步骤:212、214和216。在步骤212中,所述移动设备100基于所述设备密钥生成根证书。为了生成根证书,所述移动设备100可以从移动设备100的存储器检索出所述设备密钥和任何附加信息。所述附加信息可以是例如客户标识或其他合适的信息。
在步骤214中,所述移动设备100生成所述第一设备安全证书。第一设备安全证书包括所述移动设备100的标识,存储在例如所述第一设备安全证书的SAN中。
在步骤216中,所述移动设备100用根证书签署所述第一设备安全证书。因此,所述第一设备安全证书可以在所述第一设备安全证书的签名中包括所述设备密钥或所述设备密钥的表示。因为所述设备密钥以共享密钥的形式已知于所述认证服务器150,所以所述认证服务器150可以将所述第一设备安全证书的签名视为认证流程的一部分,以确定所述第一设备安全证书是否有效。这在下文将更具体地描述。
参照图4,所述认证服务器150实现用于认证所述移动设备100的方法400。在步骤410中,所述认证服务器150生成包括由服务器密钥表示的共享密钥的第一服务器安全证书。为了生成所述第一服务器安全证书,所述认证服务器150可以从所述认证服务器150的存储器中检索出所述服务器密钥。
在所述认证服务器150从所述移动设备100接收到所述第一设备安全证书之后,方法400进行到步骤430。所述认证服务器150可以经由任何合适的方式并通过网络10的任何合适的网络来接收所述第一设备安全证书。在一些情况下,所述认证服务器150可以从防火墙221或其元件,例如前述的网关服务器,接收所述第一设备安全证书。
在步骤430中,所述认证服务器150验证所述移动设备100。通过确定所述设备安全证书是否有效来验证所述移动设备100。如图5A所示,确定所述第一设备安全证书是否有效可以包括一个或多个验证步骤。在步骤432中,所述认证服务器150将所述设备密钥与所述服务器密钥进行比较,或者视乎情况将所述设备密钥的表示与所述服务器密钥的表示进行比较。所述认证服务器150可以从所述第一设备安全证书中,例如从所述第一设备安全证书的签名中,提取所述设备密钥或其表示。如果所述设备密钥与所述服务器密钥不匹配,则所述认证服务器150按照步骤434拒绝所述第一设备安全证书,并终止方法400,且未认证所述移动设备100。
如果所述设备密钥与所述服务器密钥匹配或者它们各自的表示匹配,所述认证服务器150根据步骤436将所述移动设备100的标识或其表示与已知的移动设备标识或者标识的表示进行比较。所述认证服务器150可以从所述第一设备安全证书中提取所述标识,例如从所述第一设备安全证书的SAN中提取所述标识。取决于标识的性质,所述认证服务器150可以将所述标识与已知移动设备标识的对应列表进行比较。例如,如果所述标识是所述移动设备100的电话号码,所述认证服务器150可以将从所述第一设备安全证书提取的所述电话号码与已知电话号码的列表进行比较。在另一个示例中,如果所述标识是所述移动设备100的散列IMEI,所述认证服务器150可以将从所述第一设备安全证书中提取的所述散列IMEI与已知IMEI的散列列表进行比较。如果从所述第一设备安全证书提取的所述标识已改变,例如散列、盐化或重复,所述认证服务器150可首先获得已知移动设备标识的列表。然后,所述认证服务器150可以更改已知移动设备标识的列表中的移动设备标识。然后,所述认证服务器150可以将提取的标识与已更改的已知移动设备标识列表进行比较。如果所述标识与任一已知的移动设备标识匹配,所述认证服务器150可以接受所述第一设备安全证书。如果所述标识与任何已知的移动设备标识不匹配,所述认证服务器150按照步骤434拒绝所述第一设备安全证书,并终止方法400,且未认证所述移动设备100。在该实施例中,所述认证服务器150仅在所述设备密钥匹配所述服务器密钥并且所述标识与任一已知的移动设备标识匹配的情况下才在步骤438验证所述第一设备安全证书。注意,步骤432和步骤436的顺序可以颠倒,也就是说,所述认证服务器150可以首先将所述移动设备100的标识与已知设备标识的列表进行比较,然后所述认证服务器150可以将所述设备密钥与所述服务器密钥进行比较。或者,两个验证步骤可以同时执行。
继续参照图4,在步骤440中,当所述移动设备100通过验证时,所述认证服务器150将所述第一服务器安全证书发送给所述移动设备100。
在步骤450中,所述认证服务器150与所述移动设备100建立所述安全连接。所述移动设备和所述认证服务器150之间的数据交换可以用所述第一设备安全证书和所述第一服务器安全证书来保护和验证。
在步骤460,所述认证服务器150注册至少一个第二服务器安全证书用于正式通信。如上所述,所述第二服务器安全证书可以由所述认证服务器150生成。在这种情况下,所述认证服务器150可以生成所述第二服务器安全证书和所述第二设备安全证书。然后,所述认证服务器150可以注册所述第二服务器安全证书和所述第二设备安全证书。
在一些实施例中,从所述移动设备100接收所述第二设备安全证书。在这种情况下,参照图5B,步骤460包括多个步骤462、464和466。在步骤462中,所述认证服务器150生成一个或多个第二服务器安全证书。所述认证服务器150的认证机构可以签署一个或多个第二服务器安全证书。在步骤464中,所述认证服务器150将所述第二服务器安全证书发送给所述移动设备100。所述第二服务器安全证书可以通过在方法400的步骤450中建立的安全连接来发送。在步骤466中,所述认证服务器150从所述移动设备100接收所述第二设备安全证书。每个第二设备安全证书可以对应于一个第二服务器安全证书。
在一些实施例中,图4的方法400包括另外的可选步骤,诸如步骤470、480和490。在步骤470中,一旦注册了所述第二设备安全证书,所述认证服务器150删除所述第一设备安全证书和所述第一服务器安全证书。这可以用来,例如,防止使用所述第一设备安全证书和所述第一服务器安全证书进行恶意攻击。
在步骤480中,一旦已经注册了所述第二服务器安全证书,所述认证服务器150就建立了至少一个正式的安全连接。每个正式的安全连接都可以基于各自的一对对应的第二服务器安全证书和第二设备安全证书来建立。因此,所述正式的安全连接可以用于与例如所述移动设备100进行正式通信。在步骤490中,在建立所述正式的安全连接之后,所述认证单元150终止与所述移动设备100在步骤450建立的安全连接。
在一些实施例中,参照图5C,步骤410包括多个步骤:412、414和416。在步骤412中,所述认证服务器150生成根证书。由所述认证服务器150生成的所述根证书的生成方式可以与所述移动设备100在步骤212中生成根证书的方式基本类似。因此,所述认证服务器150生成的根证书可以与所述移动设备100生成的根证书相同。在步骤414中,所述认证服务器150生成所述第一服务器安全证书。所述第一服务器安全证书可以是随机生成的密钥对。在步骤416中,所述认证服务器150以与所述移动设备100在步骤216中签署第一设备安全证书的方式基本类似的方式用根证书签署所述第一服务器安全证书。因此,所述第一服务器安全证书上的签名可以与所述第一设备安全证书上的签名相同。
一旦注册了所述第二安全证书,所述认证单元150就已经成功认证了所述移动设备100。方法200和400中描述的认证流程可以在任何合适的移动设备100和认证服务器150之间实现。参照图6,移动设备100包括任何合适类型的处理器120,例如任何类型的通用微处理器或微控制器、数字信号处理(digital signal processing,简称DSP)处理器、集成电路、现场可编程门阵列(field programmable gate array,简称FPGA)、可重构处理器、可编程只读存储器(programmable read-only memory,简称PROM)或其中的任意组合。所述移动设备100还包括任何合适类型的计算机存储器110,所述计算机存储器110位于内部或外部。例如,所述移动设备100可以包括随机存取存储器(random-access memory,简称RAM)、只读存储器(read-only memory,简称ROM)、基于光盘的只读存储器、电光存储器、磁光存储器、可擦除可编程只读存储器(erasable programmable read-only memory,简称EPROM)、电可擦除可编程只读存储器(electrically-erasable programmable read-only memory,简称EEPROM)和铁电式存储器(Ferroelectric RAM,简称FRAM)等。所述移动设备100可以包括网络接口(未示出),以便与其他组件进行通信,访问和连接到网络资源,并通过连接到能够承载数据的一个或多个网络来执行其他计算应用。所述一个或多个网络可以包括网络10、公司网络20和任何其它合适的网络。
所述移动设备100用于运行或执行任何数目的应用1301-130N。所述应用1301-130N存储在所述移动设备100的存储器110中,并由所述处理器120执行。此类应用,例如应用1301,是设备侧认证应用1301
参照图7,设备侧认证应用1301包括证书管理模块710、网络接口模块720和安全模块730。证书管理模块710用于生成设备安全证书。为了生成设备安全证书,所述证书管理模块710用于向所述安全模块730请求标识和设备密钥或其表示。
所述安全模块730用于从例如存储器110获取标识和设备密钥或其表示,将所述标识和所述设备密钥提供给所述证书管理模块710。在实施例中,设备标识放入第一设备安全证书之前被更改,所述安全模块730用于散列、盐化、重复或以其他方式更改所述设备标识。所述证书管理模块710首先用于基于所述设备密钥生成根证书,然后生成第一设备安全证书,将所述设备标识存储在所述第一设备安全证书的SAN中,并用所述根证书签署所述第一设备安全证书。
所述证书管理模块710还用于将所述第一设备安全证书提供给所述网络接口模块720以发送至所述认证服务器150。所述网络接口模块720用于在接收到所述第一设备安全证书时将所述第一设备安全证书发送给所述认证服务器150。所述网络接口模块720还可以用于之后从所述认证服务器150接收第一服务器安全证书,并将所述第一服务器安全证书提供给所述证书管理模块710。
所述证书管理模块710用于从所述网络接口模块720接收所述第一服务器安全证书。所述证书管理模块710用于在接收到所述第一服务器安全证书时,通过验证所述第一服务器安全证书的签名来验证所述第一服务器安全证书。所述证书管理模块710用于将所述第一服务器安全证书存储在例如存储器110中。所述证书管理模块710可以用于一旦接收到所述第一服务器安全证书,就指示所述网络接口模块720与所述认证服务器150建立安全连接。
所述网络接口模块720用于响应于从所述证书管理模块接收到的请求,与所述认证服务器150建立安全连接。所述网络接口模块720用于从所述认证服务器150接收一个或多个第二服务器安全证书并向所述证书管理模块710提供所述一个或多个第二服务器安全证书。
所述证书管理模块710用于从所述网络接口模块720接收一个或多个第二设备安全证书并注册所述一个或多个第二设备安全证书。注册所述第二设备安全证书可以包括例如所述证书管理模块710用于将所述第二设备安全证书存储在所述存储器110中。或者,注册所述第二设备安全证书可以包括例如所述证书管理模块710用于生成所述第二设备安全证书,并请求所述网络接口模块720将所述第二设备安全证书发送给所述认证单元150。在这个示例中,注册所述第二设备安全证书可以包括所述网络接口模块720用于响应于从所述证书管理模块710接收到请求而将所述第二设备安全证书发送给所述认证单元150。
在一些实施例中,所述证书管理模块710用于在注册所述第二设备安全证书和所述第二服务器安全证书之后,删除所述第一设备安全证书和所述第一服务器安全证书。所述证书管理模块710可以用于指示所述安全模块730删除与共享密钥相关联的信任锚点。在一些实施例中,所述网络接口模块720用于建立正式安全连接,并在建立所述正式安全连接之后终止所述安全连接。
参照图8,认证服务器150包括任何合适类型的处理器170,例如,任何类型的通用微处理器或微控制器、数字信号处理(digital signal processing,简称DSP)处理器、集成电路、场可编程门阵列(field programmable gate array,简称FPGA)、可重构处理器、可编程只读存储器(programmable read-only memory,简称PROM)或其任意组合。所述认证服务器150还包括任何合适类型的计算机存储器160,所述计算机存储器160位于内部或外部。例如,所述认证服务器150可以包括随机存取存储器(random-access memory,简称RAM)、只读存储器(read-only memory,简称ROM)、基于光盘的只读存储器、电光存储器、磁光存储器、可擦除可编程只读存储器(erasable programmable read-only memory,简称EPROM)、电可擦除可编程只读存储器(electrically-erasable programmable read-only memory,简称EEPROM)和铁电式存储器(Ferroelectric RAM,简称FRAM)等。所述认证服务器150可以包括网络接口(未示出),以便与其他组件进行通信,访问和连接到网络资源,并通过连接到能够承载数据的一个或多个网络来执行其他计算应用。所述一个或多个网络可以包括网络10、公司网络20和任何其它合适的网络。
所述认证服务器150用于运行或执行任何数目的应用1801-180N。所述应用1801-180N存储在所述认证服务器150的存储器160中,并由处理器170执行。此类应用,例如应用1801,是服务器侧认证应用1801
参照图9,服务器侧认证应用1801包括证书管理模块910、网络接口模块920、安全模块930和数据库940。所述证书管理模块910用于生成第一服务器安全证书。为了生成所述第一服务器安全证书,所述证书管理模块910可以用于从所述安全模块930请求服务器密钥和随机生成的密钥对。
所述安全模块930用于从例如存储器160获取所述服务器密钥或其表示,并将所述服务器密钥或服务器密钥的表示提供给所述证书管理模块910。所述安全模块930用于将所述随机生成的密钥对提供给所述证书管理模块910。所述证书管理模块910用于基于所述服务器密钥生成根证书,生成第一服务器安全证书,以及用所述根证书签署所述第一服务器安全证书。
所述网络接口模块920用于从所述移动设备100接收所述第一设备安全证书并将所述第一设备安全证书提供给所述证书管理模块910。所述证书管理模块910用于从所述网络接口模块920接收所述第一设备安全证书。所述证书管理模块910可以用于在接收到所述第一设备安全证书时,通过将所述第一设备安全证书的设备密钥和存储在所述第一设备安全证书中的标识分别与服务器密钥和已知移动设备标识的列表进行比较,或通过比较各自的表示,来验证所述移动设备100。为了验证该标识,所述证书管理模块910可以用于从所述数据库940获取所述已知的移动设备标识或移动设备标识表示的列表,并将该标识与已知的移动设备标识的列表进行比较。
当所述移动设备100通过验证时,所述证书管理模块910用于指示所述网络接口模块920将所述第一服务器安全证书发送给所述移动设备100。所述网络接口模块920用于响应于从所述证书管理模块910接收到的指令,将所述第一服务器安全证书发送给所述移动设备100。所述网络接口模块920用于与移动设备100建立安全连接。
所述证书管理模块910用于登记一个或多个第二服务器安全证书。注册所述第二服务器安全证书可以包括,例如,所述证书管理模块910用于生成所述第二服务器安全证书并将所述第二服务器安全证书存储在所述存储器160中。注册所述第二设备安全证书可以包括所述证书管理模块910用于请求所述网络接口模块920向所述移动设备100发送所述第二服务器安全证书。在这个示例中,注册所述第二服务器安全证书可以包括所述网络接口模块920用于响应于从所述证书管理模块910接收到请求而将所述第二服务器安全证书发送给所述移动设备100。注册所述第二服务器安全证书还可以包括所述网络接口模块920用于从所述移动设备100接收所述第二设备安全证书并向所述证书管理模块910提供第二设备安全证书。然后,所述证书管理模块910可以将所述第二设备安全证书存储在例如存储器160中。或者,所述证书管理模块930可生成所述第二设备安全证书并将其提供给所述网络接口模块920,所述网络接口模块又可将所述第二设备安全证书发送给所述移动设备100。
在一些实施例中,所述证书管理模块910用于在注册所述第二设备安全证书和所述第二服务器安全证书之后,删除所述第一设备安全证书和所述第一服务器安全证书。在一些实施例中,所述网络接口模块920用于建立正式安全连接,并在建立所述正式安全连接之后终止所述安全连接。
这里描述的每个计算机程序可以以高级程序,或面向对象的编程,或脚本语言或其组合来实现,以与计算机系统进行通信。或者,程序可以以汇编或机器语言来实现。该语言可以是编译或解释的语言。各个此类计算机程序可以被存储在存储介质或者设备上,例如ROM、磁盘、光盘、闪存驱动器或者任何其它合适的存储介质或者设备。当计算机读取所述存储介质或设备以执行本文描述的流程时,所述计算机程序可以被通用或专用可编程计算机读取,用于配置和操作计算机。系统的实施例也可以认为是通过其上存储有计算机程序的非暂时性计算机可读存储介质来实现。所述计算机程序可以包括计算机可读指令,其使计算机,或更具体地,计算机的至少一个处理单元以特定的预定义的方式运行,以执行此处描述的功能。
计算机可执行指令可以以许多形式,包括程序模块,由一个或多个计算机或其他设备执行。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件以及数据结构等。通常,该程序模块的功能可根据各实施例需要进行组合或分配。
根据第一个例子,提供了一种方法。该方法包括:在认证服务器处生成包括与移动设备相关联的服务器密钥的表示的第一服务器安全证书。从所述移动设备接收设备安全证书,所述设备安全证书包括移动设备标识的表示和设备密钥的表示。将所述设备密钥的表示与所述服务器密钥的表示进行比较,并将所述移动设备标识的表示与已知的移动设备标识表示的列表进行比较,以验证所述移动设备。将所述第一服务器安全证书发送给所述验证的移动设备。基于所述设备安全证书和所述第一服务器安全证书与所述验证的移动设备建立安全连接;注册至少一个第二服务器安全证书用于与验证的移动设备进行正式通信。
在前述任意示例性实施例中,生成所述第一服务器安全证书包括基于所述服务器密钥生成根证书,以及用所述根证书签署所述第一服务器安全证书。
在前述任意示例性实施例中,生成所述第一服务器安全证书包括基于随机生成的密钥对生成所述第一服务器安全证书。
在前述任意示例性实施例中,所述移动设备标识的表示是国际移动设备标识(International Mobile Station Equipment Identity,简称IMEI)。
在前述任意示例性实施例中,所述移动设备标识的表示是国际移动设备标识(International Mobile Station Equipment Identity,简称IMEI)的散列。
在前述任意示例性实施例中,建立所述安全连接包括建立一个传输层安全隧道。
在前述任意示例性实施例中,注册所述至少一个第二服务器安全证书包括生成所述至少一个第二服务器安全证书,以及通过认证机构签署所述至少一个第二服务器安全证书。
在前述任意示例性实施例中,所述方法还包括,在注册所述至少一个第二服务器安全证书之后,删除所述设备安全证书和所述第一服务器安全证书。
在前述任意示例性实施例中,所述安全连接是一个临时安全连接,所述方法还包括,基于所述至少一个第二服务器安全证书,与所述移动设备建立与所述临时安全连接分离的至少一个正式安全连接。
在前述任意示例性实施例中,建立所述至少一个正式安全连接包括在建立所述至少一个正式安全连接之后终止所述临时安全连接。
根据另一例子,还提供了认证服务器。该认证服务器包括:处理单元;存储器,通信上耦合到所述处理单元,包括可由所述处理单元执行的计算机可读程序指令。所述程序指令由所述处理单元执行用于在认证服务器处生成包括与移动设备相关联的服务器密钥的表示的第一服务器安全证书。从所述移动设备接收设备安全证书,所述设备安全证书具有移动设备标识的表示和设备密钥的表示。将所述设备密钥的表示与所述服务器密钥的表示进行比较,并将所述移动设备标识的表示与已知的移动设备标识表示的列表进行比较,以验证所述移动设备。将所述第一服务器安全证书发送给所述验证的移动设备。基于所述设备安全证书和所述第一服务器安全证书与所述验证的移动设备建立安全连接;注册至少一个第二服务器安全证书用于与验证的移动设备进行正式通信。
在前述任意示例性实施例中,生成所述第一服务器安全证书包括基于所述服务器密钥生成根证书,以及用所述根证书签署所述第一服务器安全证书。
在前述任意示例性实施例中,生成所述第一服务器安全证书包括基于随机生成的密钥对生成所述第一服务器安全证书。
在前述任意示例性实施例中,所述移动设备标识的表示是国际移动设备标识(International Mobile Station Equipment Identity,简称IMEI)。
在前述任意示例性实施例中,所述移动设备标识的表示是国际移动设备标识(International Mobile Station Equipment Identity,简称IMEI)的散列。
在前述任意示例性实施例中,其中,建立所述安全连接包括建立一个传输层安全隧道。
在前述任意示例性实施例中,注册所述至少一个第二服务器安全证书包括生成所述至少一个第二安全证书,以及通过认证机构签署所述至少一个第二服务器安全证书。
在前述任意示例性实施例中,所述程序指令进一步由所述处理单元执行以在注册所述至少一个第二服务器安全证书之后,删除所述设备安全证书和所第一服务器安全证书。
在前述任意示例性实施例中,所述安全连接是一个临时安全连接,所述程序指令进一步可由所述处理单元执行以基于所述至少一个第二服务器安全证书与所述移动设备建立与所述临时安全连接分离的至少一个正式安全连接。
在前述任意示例性实施例中,建立所述至少一个正式安全连接包括在建立所述至少一个正式安全连接之后终止所述临时安全连接。
本系统和方法的各个方面可以单独使用,组合使用,或者在前面描述的实施例中未具体讨论的各种情况中使用,因此,在其应用上不限于在前面描述中阐述的或者在附图中示出的部件的细节和布置。例如,一个实施例中描述的方面可以以任何方式与其他实施例中描述的方面组合。虽然已经显示和描述了特定实施例,但是对于本领域的技术人员来说显而易见的是,可以在其更广泛的方面进行改变和修改而不偏离本发明。所附权利要求在其范围内涵盖所有这些改变和修改。

Claims (20)

1.一种激活移动设备的方法,其特征在于,包括:
在移动设备处生成第一设备安全证书,所述第一设备安全证书包括所述移动设备的标识的表示和设备密钥的表示;
将所述第一设备安全证书发送给认证服务器,以使所述认证服务器通过所述第一设备安全证书对所述移动设备进行验证,并在验证通过后,向所述移动设备发送服务器安全证书,所述服务器安全证书包括服务器密钥的表示,所述服务器密钥对应于所述设备密钥;
从所述认证服务器接收所述服务器安全证书;
基于所述第一设备安全证书和所述服务器安全证书与所述认证服务器建立安全连接;
通过所述安全连接注册至少一个第二设备安全证书用于正式通信。
2.如权利要求1所述的方法,其特征在于,生成所述第一设备安全证书包括:
基于所述设备密钥生成根证书;
用所述根证书签署所述第一设备安全证书。
3.如权利要求1或2所述的方法,其特征在于,生成具有所述移动设备的标识的表示的所述第一设备安全证书包括在所述第一设备安全证书中提供所述移动设备的国际移动设备标识IMEI的至少一部分。
4.如权利要求3所述的方法,其特征在于,生成具有所述移动设备的标识的表示的所述第一设备安全证书包括在所述第一设备安全证书中提供所述移动设备的IMEI散列。
5.如权利要求1或2所述的方法,其特征在于,建立所述安全连接包括建立一个传输层安全隧道。
6.如权利要求1或2所述的方法,其特征在于,注册所述至少一个第二设备安全证书包括通过所述安全连接从所述认证服务器接收由所述认证服务器的认证机构签署的所述至少一个第二设备安全证书。
7.如权利要求1或2所述的方法,其特征在于,还包括,在注册所述至少一个第二设备安全证书之后,删除所述第一设备安全证书和所述服务器安全证书。
8.如权利要求7所述的方法,其特征在于,删除所述第一设备安全证书和所述服务器安全证书包括删除与所述第一设备安全证书关联的信任锚点。
9.如权利要求1或2所述的方法,其特征在于,所述安全连接是一个临时安全连接,所述方法还包括,基于所述至少一个第二设备安全证书,与所述认证服务器建立与所述临时安全连接分离的至少一个正式安全连接。
10.如权利要求9所述的方法,其特征在于,建立所述至少一个正式安全连接包括在建立所述至少一个正式安全连接之后终止所述临时安全连接。
11.一种移动设备,其特征在于,包括:
处理单元;
存储器,通信上耦合到所述处理单元,包括可由所述处理单元执行的计算机可读程序指令,用于:
在移动设备处生成第一设备安全证书,所述第一设备安全证书包括所述移动设备的标识的表示和设备密钥的表示;
将所述第一设备安全证书发送给认证服务器,以使所述认证服务器通过所述第一设备安全证书对所述移动设备进行验证,并在验证通过后,向所述移动设备发送服务器安全证书,所述服务器安全证书包括服务器密钥的表示,所述服务器密钥对应于所述设备密钥;
从所述认证服务器接收所述服务器安全证书;
基于所述第一设备安全证书和所述服务器安全证书与所述认证服务器建立安全连接;
通过所述安全连接注册至少一个第二设备安全证书用于正式通信。
12.如权利要求11所述的移动设备,其特征在于,生成所述第一设备安全证书包括:
基于所述设备密钥生成根证书;
用所述根证书签署所述第一设备安全证书。
13.如权利要求11或12所述的移动设备,其特征在于,生成具有所述移动设备的标识的表示的所述第一设备安全证书包括在所述第一设备安全证书中提供所述移动设备的国际移动设备标识IMEI的至少一部分。
14.如权利要求13所述的移动设备,其特征在于,生成具有所述移动设备的标识的表示的所述第一设备安全证书包括在所述第一设备安全证书中提供所述移动设备的IMEI散列。
15.如权利要求11或12所述的移动设备,其特征在于,建立所述安全连接包括建立一个传输层安全隧道。
16.如权利要求11或12所述的移动设备,其特征在于,注册所述至少一个第二设备安全证书包括通过所述安全连接从所述认证服务器接收由所述认证服务器的认证机构签署的所述至少一个第二设备安全证书。
17.如权利要求11或12所述的移动设备,其特征在于,还包括,在注册所述至少一个第二设备安全证书之后,删除所述第一设备安全证书和所述服务器安全证书。
18.如权利要求17所述的移动设备,其特征在于,删除所述第一设备安全证书和所述服务器安全证书包括删除与所述第一设备安全证书关联的信任锚点。
19.如权利要求11或12所述的移动设备,其特征在于,所述安全连接是一个临时安全连接,所述程序指令进一步可由所述处理单元执行以基于所述至少一个第二设备安全证书与所述认证服务器建立与所述临时安全连接分离的至少一个正式安全连接。
20.如权利要求19所述的移动设备,其特征在于,建立所述至少一个正式安全连接包括在建立所述至少一个正式安全连接之后终止所述临时安全连接。
CN201780023188.3A 2016-04-11 2017-04-07 企业移动管理中移动设备的激活方法和移动设备 Active CN108886530B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/095,887 2016-04-11
US15/095,887 US10142323B2 (en) 2016-04-11 2016-04-11 Activation of mobile devices in enterprise mobile management
PCT/CN2017/079765 WO2017177866A1 (en) 2016-04-11 2017-04-07 Activation of mobile devices in enterprise mobile management

Publications (2)

Publication Number Publication Date
CN108886530A CN108886530A (zh) 2018-11-23
CN108886530B true CN108886530B (zh) 2021-02-12

Family

ID=59998454

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780023188.3A Active CN108886530B (zh) 2016-04-11 2017-04-07 企业移动管理中移动设备的激活方法和移动设备

Country Status (4)

Country Link
US (1) US10142323B2 (zh)
EP (1) EP3433997B1 (zh)
CN (1) CN108886530B (zh)
WO (1) WO2017177866A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10530764B2 (en) * 2016-12-19 2020-01-07 Forescout Technologies, Inc. Post-connection client certificate authentication
US10939297B1 (en) * 2018-09-27 2021-03-02 T-Mobile Innovations Llc Secure unlock of mobile phone
WO2021077504A1 (zh) * 2019-10-24 2021-04-29 华为技术有限公司 一种连续性场景下保护设备软件完整性的方法
CN111526025B (zh) * 2020-07-06 2020-10-13 飞天诚信科技股份有限公司 一种实现终端解绑和重绑的方法及系统
US20230032967A1 (en) * 2021-07-29 2023-02-02 Red Hat, Inc. Establishing process connections utilizing an intermediary broker

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6980660B1 (en) * 1999-05-21 2005-12-27 International Business Machines Corporation Method and apparatus for efficiently initializing mobile wireless devices
CN1770769A (zh) * 2004-10-14 2006-05-10 微软公司 使用IPsec提供网络隔离的系统和方法
CN101170413A (zh) * 2007-12-06 2008-04-30 华为技术有限公司 一种数字证书及其私钥的获得、分发方法及设备
CN101286871A (zh) * 2008-05-22 2008-10-15 上海交通大学 基于数字证书和安全协议的隔离系统配置方法
CN101360102A (zh) * 2007-07-31 2009-02-04 赛门铁克公司 通过远程验证并使用凭证管理器和已记录的证书属性来检测网址转接/钓鱼方案中对ssl站点的dns重定向或欺骗性本地证书的方法
CN102215487A (zh) * 2010-04-09 2011-10-12 国际商业机器公司 通过公共无线网络安全地接入专用网络的方法和系统
EP2254304B1 (en) * 2006-07-20 2012-03-21 Research In Motion Limited System and method for provisioning device certificates
CN102510387A (zh) * 2011-12-29 2012-06-20 西安西电捷通无线网络通信股份有限公司 一种安全传输层协议tls握手方法和装置及ttp
CN102655641A (zh) * 2011-03-01 2012-09-05 华为技术有限公司 安全隧道建立方法和基站
WO2015000397A1 (en) * 2013-07-02 2015-01-08 Tencent Technology (Shenzhen) Company Limited User login methods,devices,and systems
CN104348846A (zh) * 2013-07-24 2015-02-11 航天信息股份有限公司 基于wpki实现云存储系统数据通信安全的方法和系统
CN104506534A (zh) * 2014-12-25 2015-04-08 青岛微智慧信息有限公司 安全通信密钥协商交互方案
CN104618341A (zh) * 2013-11-05 2015-05-13 通用电气公司 用于安全的远程访问的系统和方法
CN104811455A (zh) * 2015-05-18 2015-07-29 成都卫士通信息产业股份有限公司 一种云计算身份认证方法
CN105337977A (zh) * 2015-11-16 2016-02-17 苏州通付盾信息技术有限公司 一种动态双向认证的安全移动通讯架构及其实现方法
CN105447390A (zh) * 2015-11-16 2016-03-30 国网智能电网研究院 一种基于数字证书系统的软件版本可信管理方法

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7366900B2 (en) 1997-02-12 2008-04-29 Verizon Laboratories, Inc. Platform-neutral system and method for providing secure remote operations over an insecure computer network
US7444508B2 (en) * 2003-06-30 2008-10-28 Nokia Corporation Method of implementing secure access
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
US8094663B2 (en) * 2005-05-31 2012-01-10 Cisco Technology, Inc. System and method for authentication of SP ethernet aggregation networks
CN101444119A (zh) * 2006-03-27 2009-05-27 意大利电信股份公司 在移动通信设备上实施安全策略的系统
US20090239503A1 (en) * 2008-03-20 2009-09-24 Bernard Smeets System and Method for Securely Issuing Subscription Credentials to Communication Devices
US20100217975A1 (en) * 2009-02-25 2010-08-26 Garret Grajek Method and system for secure online transactions with message-level validation
CN102026192B (zh) * 2009-09-21 2014-05-28 中兴通讯股份有限公司南京分公司 一种移动回程网证书分发方法及系统
US9118667B2 (en) * 2011-06-03 2015-08-25 Blackberry Limited System and method for accessing private networks
US20140053250A1 (en) * 2012-02-10 2014-02-20 University Of Utah Research Foundation Access to Web Application via a Mobile Computing Device
US9038138B2 (en) * 2012-09-10 2015-05-19 Adobe Systems Incorporated Device token protocol for authorization and persistent authentication shared across applications
US9232400B2 (en) * 2012-11-13 2016-01-05 Alcatel Lucent Restricted certificate enrollment for unknown devices in hotspot networks
US9053305B2 (en) * 2012-12-10 2015-06-09 Dell Products L.P. System and method for generating one-time password for information handling resource
US20140181909A1 (en) * 2012-12-21 2014-06-26 Eran Birk System and method for secured access management
EP2785004A1 (en) * 2013-03-28 2014-10-01 Nokia Solutions and Networks Oy Imei based lawful interception for ip multimedia subsystem
KR20150138209A (ko) * 2013-03-28 2015-12-09 톰슨 라이센싱 보안 관리 서버와 홈 네트워크를 포함하는 네트워크 시스템, 및 네트워크 시스템에 장치를 포함시키는 방법
US9641344B1 (en) * 2013-09-20 2017-05-02 Mobile Iron, Inc. Multiple factor authentication in an identity certificate service
US9635014B2 (en) * 2014-02-21 2017-04-25 Samsung Electronics Co., Ltd. Method and apparatus for authenticating client credentials
US9654463B2 (en) * 2014-05-20 2017-05-16 Airwatch Llc Application specific certificate management
US9300656B2 (en) * 2014-08-21 2016-03-29 International Business Machines Corporation Secure connection certificate verification
US9825937B2 (en) * 2014-09-23 2017-11-21 Qualcomm Incorporated Certificate-based authentication
US10021088B2 (en) * 2014-09-30 2018-07-10 Citrix Systems, Inc. Fast smart card logon
US9882726B2 (en) * 2015-05-22 2018-01-30 Motorola Solutions, Inc. Method and apparatus for initial certificate enrollment in a wireless communication system

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6980660B1 (en) * 1999-05-21 2005-12-27 International Business Machines Corporation Method and apparatus for efficiently initializing mobile wireless devices
CN1770769A (zh) * 2004-10-14 2006-05-10 微软公司 使用IPsec提供网络隔离的系统和方法
EP2254304B1 (en) * 2006-07-20 2012-03-21 Research In Motion Limited System and method for provisioning device certificates
CN101360102A (zh) * 2007-07-31 2009-02-04 赛门铁克公司 通过远程验证并使用凭证管理器和已记录的证书属性来检测网址转接/钓鱼方案中对ssl站点的dns重定向或欺骗性本地证书的方法
CN101170413A (zh) * 2007-12-06 2008-04-30 华为技术有限公司 一种数字证书及其私钥的获得、分发方法及设备
CN101286871A (zh) * 2008-05-22 2008-10-15 上海交通大学 基于数字证书和安全协议的隔离系统配置方法
CN102215487A (zh) * 2010-04-09 2011-10-12 国际商业机器公司 通过公共无线网络安全地接入专用网络的方法和系统
CN102655641A (zh) * 2011-03-01 2012-09-05 华为技术有限公司 安全隧道建立方法和基站
CN102510387A (zh) * 2011-12-29 2012-06-20 西安西电捷通无线网络通信股份有限公司 一种安全传输层协议tls握手方法和装置及ttp
WO2015000397A1 (en) * 2013-07-02 2015-01-08 Tencent Technology (Shenzhen) Company Limited User login methods,devices,and systems
CN104348846A (zh) * 2013-07-24 2015-02-11 航天信息股份有限公司 基于wpki实现云存储系统数据通信安全的方法和系统
CN104618341A (zh) * 2013-11-05 2015-05-13 通用电气公司 用于安全的远程访问的系统和方法
CN104506534A (zh) * 2014-12-25 2015-04-08 青岛微智慧信息有限公司 安全通信密钥协商交互方案
CN104811455A (zh) * 2015-05-18 2015-07-29 成都卫士通信息产业股份有限公司 一种云计算身份认证方法
CN105337977A (zh) * 2015-11-16 2016-02-17 苏州通付盾信息技术有限公司 一种动态双向认证的安全移动通讯架构及其实现方法
CN105447390A (zh) * 2015-11-16 2016-03-30 国网智能电网研究院 一种基于数字证书系统的软件版本可信管理方法

Also Published As

Publication number Publication date
US10142323B2 (en) 2018-11-27
US20170295168A1 (en) 2017-10-12
EP3433997A4 (en) 2019-01-30
CN108886530A (zh) 2018-11-23
EP3433997A1 (en) 2019-01-30
WO2017177866A1 (en) 2017-10-19
EP3433997B1 (en) 2021-06-09

Similar Documents

Publication Publication Date Title
CN110770695B (zh) 物联网(iot)设备管理
US11881937B2 (en) System, method and computer program product for credential provisioning in a mobile device platform
CN108886530B (zh) 企业移动管理中移动设备的激活方法和移动设备
CN111177686B (zh) 一种身份认证方法、装置及相关设备
US11336641B2 (en) Security enhanced technique of authentication protocol based on trusted execution environment
US11444932B2 (en) Device verification of an installation of an email client
US10541991B2 (en) Method for OAuth service through blockchain network, and terminal and server using the same
EP2657871B1 (en) Secure configuration of mobile application
EP3314809B1 (en) Distributing an authentication key to an application installation
CN109417545B (zh) 下载网络接入简档的方法、安全模块、移动终端和介质
US20210314293A1 (en) Method and system for using tunnel extensible authentication protocol (teap) for self-sovereign identity based authentication
US9154304B1 (en) Using a token code to control access to data and applications in a mobile platform
US20160028720A1 (en) Configuration profile validation on ios using ssl and redirect
US11184336B2 (en) Public key pinning for private networks
CN104125565A (zh) 一种基于oma dm实现终端认证的方法、终端及服务器
US8397281B2 (en) Service assisted secret provisioning
Echeverría et al. Establishing trusted identities in disconnected edge environments
WO2020001455A1 (zh) 基于CPK的Linux操作系统登录认证方法、设备、终端及服务器
WO2020020008A1 (zh) 一种鉴权方法及鉴权系统
US9503442B1 (en) Credential-based application programming interface keys
CN111031540B (zh) 一种无线网络连接方法及计算机存储介质
CN110771087A (zh) 私钥更新
KR101133210B1 (ko) 모바일 클라이언트 단말기의 보안인증시스템
US11831632B2 (en) Secure endpoint authentication credential control
Aciobanitei et al. Lightweight version of SQRL authentication protocol based on cryptography in the cloud

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant