JP2010527522A - モバイルデバイスの資格証明処理のための方法及びシステム - Google Patents

モバイルデバイスの資格証明処理のための方法及びシステム Download PDF

Info

Publication number
JP2010527522A
JP2010527522A JP2010503453A JP2010503453A JP2010527522A JP 2010527522 A JP2010527522 A JP 2010527522A JP 2010503453 A JP2010503453 A JP 2010503453A JP 2010503453 A JP2010503453 A JP 2010503453A JP 2010527522 A JP2010527522 A JP 2010527522A
Authority
JP
Japan
Prior art keywords
mobile device
server
credential
directory server
pimsi
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010503453A
Other languages
English (en)
Other versions
JP5074578B2 (ja
JP2010527522A5 (ja
Inventor
クリスチャン ゲールマン,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2010527522A publication Critical patent/JP2010527522A/ja
Publication of JP2010527522A5 publication Critical patent/JP2010527522A5/ja
Application granted granted Critical
Publication of JP5074578B2 publication Critical patent/JP5074578B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • H04W8/265Network addressing or numbering for mobility support for initial activation of new user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data

Abstract

本明細書で教示する方法及びシステムは、モバイルデバイスの製造業者が、集中型デバイス・ディレクトリ・サーバへのアクセスを有する任意のネットワーク・オペレータへの加入のために、モバイルデバイスを事前設定することを可能にする。ディレクトリ・サーバは、それぞれが予備加入資格証明を含むデバイス・レコードを格納する。製造業者は、これらの予備加入識別子を用いて新たなモバイルデバイスのプロヴィジョニングをそれぞれ行い、ネットワーク・オペレータは、個々のデバイス・レコードを適切な資格証明サーバのアドレスと紐付けるディレクトリ・サーバに対して要求を提出することによって、加入者を予め登録する。モバイルデバイスは、検証用にディレクトリ・サーバへ渡された予備加入識別子の提出によって、一時的なネットワーク・アクセスを得る。それに対して、ディレクトリ・サーバは、モバイルデバイスに一時的なネットワークアドレスを与える認証ベクトルを生成し、適切な資格証明サーバのアドレスを返送する。モバイルデバイスは、永続的な加入資格証明用の安全な要求を提出するために当該アドレス情報を使用し、関係する資格証明サーバは、有効な要求に応答して、永続的な加入資格証明を安全に返送する。

Description

本発明は、概してモバイルデバイスのプロヴィジョニングに関するものであり、特に、1つ以上のネットワーク・オペレータによるアクセスが可能な集中型デバイス・ディレクトリにおいて保持される予備加入識別情報の使用を通じて、無線によるモバイルデバイスの有効化を容易にすることに関するものである。
装置の効率的な製造、流通、活性化は、無線通信における連続した革新によってもたらされるビジネス機会の範囲を効率的に生かすための、成功への鍵である。必要な加入資格証明をユーザ装置に「プロヴィジョニングする(provisioning)」既存のアプローチは、より効率的な動作に対する1つの障害に相当する。
例えば、従来のアプローチの1つは、加入者識別モジュール(SIM:Subscriber Identify Modules)が取り付けられたユーザ装置の販売や、さもなくば流通に依存する。各SIMは、小型のカードのような形式の要素に共通に具現化された不正使用防止回路を備え、当該回路モジュールは、特定のネットワーク・オペレータ用の資格証明情報(credential information)を格納する。言い換えれば、ユーザ装置は、前もってプログラムされたSIMによって特定のネットワーク・オペレータと結び付けられ、加入者は、課金システム等を提供する当該ネットワーク・オペレータに対して発呼その他の接続を行う。それに応じて、当該ネットワーク・オペレータは、1つ以上の加入者データベースにおいて当該SIMを有効として記録し、それにより、当該ユーザ装置を使用可能とする。
プロヴィジョニング・プロセスを自動化する他のアプローチが、少なくとも部分的には提案されている。複数の例には、(関連文献において「OTA」プロヴィジョニングとして共通に言及されている)無線プロヴィジョニングの一形式を開示している特許文献1、無線サービスの動的なプロヴィジョニングとインターネット・データベースへのアクセスを介した初期プロヴィジョニングとを検討している特許文献2、企業データベースを使用して無線通信機器を初期設定する方法を開示している特許文献3、及び、無線プロヴィジョニング用の限定されたネットワーク・アクセスの形成を可能にするための、無線装置における一時的なアクセス情報の使用を開示している特許文献4が含まれる。
米国特許出願公開第2005/0079863号明細書 米国特許出願公開第2007/0099599号明細書 米国特許第6980660号明細書 米国特許第6490445号明細書
しかしながら、一般的な主張として、全体的な問題の枠組みの複雑性は、これまでのアプローチが、安全な無線プロヴィジョニングに関して、製造、販売、及び最終的にはモバイルデバイスの登録を簡素化する全体的なシステム及び方法を提供することを阻害していると考えられる。
本明細書で教示する方法及びシステムは、モバイルデバイスの製造業者が、集中型のデバイス・ディレクトリ・サーバへのアクセス手段を有する任意のネットワーク・オペレータへの加入のために、モバイルデバイスを予め設定することを可能にする。少なくとも一実施形態において、モバイルデバイスは、任意の数のネットワーク・オペレータがアクセス可能な集中型デバイス・ディレクトリ・サーバにも保持された一時的なデバイス識別子を用いてプロヴィジョニングされる。利点としては、移動局が、関係する任意のネットワークを通じた一時的なアクセスを許可され得るとともに、これにより、そのアクセスが、永続的な加入資格証明を発行するネットワーク・オペレータに関連付けられた資格証明サーバとの連携によって、永続的な加入資格証明を取得するために使用されることである。
従って、無線による移動体通信デバイスの有効化を容易にする方法は、集中型デバイス・ディレクトリ・サーバにおいて、モバイルデバイスのための予備加入資格証明情報を含むデバイス・レコードを格納するステップと、モバイルデバイスの初期プロヴィジョニングで使用される予備加入資格証明情報の少なくとも一部を、初期プロヴィジョニング・パーティへ安全に送信するステップとを含む。初期プロヴィジョニング・パーティは、例えば、モバイルデバイス製造業者でもよい。当該方法は、モバイルデバイスの対象エンドユーザに関連付けられた所与のネットワーク・オペレータの資格証明サーバから、モバイルデバイスについてのデバイス識別子を受信するとともに、それに対応して、資格証明サーバのネットワークアドレス情報をデバイス・レコードと紐付けるステップを続ける。
当該方法は、モバイルデバイスによる予備加入資格証明情報を使用した無線通信ネットワークへのアクセスの試行に応じて、認証サーバから検証要求を受信するステップを続ける。当該検証要求に応じて、ディレクトリ・サーバは、モバイルデバイスについての予備加入資格証明情報が有効であると、予備加入資格証明情報に含まれた秘密鍵に基づいた認証ベクトルを認証サーバへ送信する。当該方法はまた、ディレクトリ・サーバがその後に、モバイルデバイスから資格証明サーバ・アドレス要求を受信するステップと、モバイルデバイスについて格納されたデバイス・レコードに紐付けられた資格証明サーバのネットワークアドレス情報を、モバイルデバイスへ送信するステップとを含む。
別の実施形態において、無線による移動体通信デバイスの有効化を容易にするシステムは、集中型デバイス・ディレクトリ・サーバを含む。ディレクトリ・サーバは、この実施形態において、モバイルデバイスのための予備加入資格証明情報を含むデバイス・レコードを格納しと、モバイルデバイスの初期プロヴィジョニングで使用される予備加入資格証明情報の少なくとも一部を、初期プロヴィジョニング・パーティへ安全に送信するように構成された、1つ以上の処理回路を備える。ディレクトリ・サーバは、さらに、モバイルデバイスの対象エンドユーザに関連付けられた所与のネットワーク・オペレータの資格証明サーバから、モバイルデバイスについてのデバイス識別子を受信するとともに、それに対応して、資格証明サーバのネットワークアドレス情報をデバイス・レコードと紐付けるように構成されている。
続けて、ディレクトリ・サーバは、モバイルデバイスによる予備加入資格証明情報を使用した無線通信ネットワークへのアクセスの試行に応じて、認証サーバから検証要求を受信し、モバイルデバイスについての予備加入資格証明情報が有効であると、予備加入資格証明情報に含まれた秘密鍵に基づいた認証ベクトルを認証サーバへ送信するように構成されている。さらにまた、ディレクトリ・サーバは、モバイルデバイスが認証ベクトルによって無線通信ネットワークへの一時的なアクセスを得た後に、モバイルデバイスから資格証明サーバ・アドレス要求を受信するとともに、それに対応して、モバイルデバイスについて格納されたデバイス・レコードに紐付けられた資格証明サーバのネットワークアドレス情報を、モバイルデバイスへ送信するように構成されている。
上記の1つ以上の実施形態において、予備加入識別子とも称される予備加入資格証明情報は、秘密鍵と、PIMSIと略される予備国際携帯加入者識別子とのペアを含む。これにより、デバイス・ディレクトリは、例えば、PIMSIのバッチと秘密鍵のペアとを格納し、デバイス製造業者は、個々のモバイルデバイスを個々のPIMSIと秘密鍵のペアとを用いてプロヴィジョニングする。
当然ながら、本発明は、上記の特徴及び利点に限定されない。実際、当業者は、以下の詳細な説明を読み、添付する図面を見ることによって、さらなる特徴及び利点を認識するであろう。
例えばデバイス製造業者と関連する初期プロヴィジョニング・サーバに対して予備加入資格証明情報を提供する集中型デバイス・ディレクトリ・サーバを含む、モバイルデバイスの無線プロヴィジョニングを容易にするシステムの少なくとも一部の一実施形態のブロック図である。 一時デバイス識別子及び秘密鍵を含む「デバイス・レコード」のデータ要素又はデータ構造の一実施形態のブロック図である。 モバイルデバイスの一実施形態のブロック図である。 モバイルデバイスの初期プロヴィジョニングに使用される予備加入識別子を生成及び分配する、集中型デバイス・ディレクトリ・サーバにおいて実装され得る処理ロジックの一実施形態の論理フロー図である。 受信された情報か、さもなくば集中型デバイス・ディレクトリ・サーバに格納された予備加入資格証明情報に関連付けられた情報に基づいて、モバイルデバイスを初期プロヴィジョニングするために使用される、初期プロヴィジョニング・サーバにおいて実装され得る処理ロジックの一実施形態の論理フロー図である。 集中型デバイス・ディレクトリ・サーバに通信で接続され、1つ以上のネットワーク・オペレータに関連付けられた、1つ以上の資格証明サーバの一実施形態のブロック図である。 集中型デバイス・ディレクトリ・サーバによって、当該集中型デバイス・ディレクトリ・サーバに保持された特定のモバイルデバイスについての特定の予備加入視覚情報を資格証明サーバに関連付けさせる、資格証明サーバにおいて実装され得る処理ロジックの一実施形態の論理フロー図である。 集中型デバイス・ディレクトリ・サーバを含む、モバイルデバイスの無線プロヴィジョニングを容易にする全体システムの一実施形態を示すブロック図である。
図1は、本明細書で意図するように無線によるモバイルデバイスの有効化(activation)を容易にする、集中型デバイス・ディレクトリ・サーバ10(「ディレクトリ・サーバ10」)の一実施形態を示す。非限定的な例として、当該用語は、セルラ無線電話機とその他の種類の無線移動局を包含し、また、ネットワークアクセスカードと、他の通信モジュールとを包含する。同様に、「有効化」という用語は広く解釈されるべきであり、当該用語は、それにより加入者が都合よくかつ安全に永続的な(長期の)加入資格証明(subscription credentials)を、当該加入者が関連するネットワーク・オペレータから無線によるプロヴィジョニング・プロセスによって取得し、さらに加入者が別のネットワーク・オペレータを通じて一時的なネットワーク・アクセスを得る方法を、少なくとも言及する。
本明細書で意図している有効化システム及び方法の柔軟性及び利便性をより良く理解することは、図面に示した例の詳細に従って、ディレクトリ・サーバ10より詳細な理解をすることから始まる。ディレクトリ・サーバ10は、データ格納部12を含み、又はデータ格納部12と関連付けられており、1つ以上の処理回路14を含む。処理回路14は、通信インタフェース16と予備加入処理回路18(「加入処理回路18」)とを含む。処理回路14は、ハードウェア、ソフトウェア、又はそれらの任意の組み合わせから成る。例えば、処理回路14は、1つ以上のマイクロプロセッサに基づく回路を含んでいてもよく、それらの回路は、格納されたプログラムの指示を実行することによって本明細書で説明する機能を実行する。それらの指示は、例えば、データ格納部12のコンピュータ読み取り可能な媒体に保持されたコンピュータ・プログラムの産物として具現化され、あるいは、ディレクトリ・サーバ10に含まれる、又はディレクトリ・サーバ10に関連付けられた他のメモリ/記憶装置において保持されていてもよい。
ディレクトリ・サーバ10に格納される他の情報には、デバイス・レコード22のバッチ20が含まれる。デバイス・レコード21−1乃至22−Nは、一例として図示している。図2に示すように、少なくとも1つの実施形態において、各デバイス・レコード22は、モバイルデバイスについての予備加入情報情報を含む。また、後述するように、各デバイス・レコード22は、資格証明サーバ(credential server)のネットワークアドレス情報28と紐付けられている(例えば、当該情報を含んでいる、又は指し示している)。(さらに、同図には明示的に図示していないが、ディレクトリ・サーバ10は、各デバイス・レコード22に公開デバイス識別子(PDI:Public Device Identifier)を格納していてもよい。一例において、PDIは、一時デバイス識別子24の一方向の「ハッシュ」関数を使用して取得される。)
この基本的な構成によれば、各デバイス・レコード22は、1つのモバイルデバイスについての一時的な加入資格証明を表す。ディレクトリ・サーバ10は、1つ以上の実施形態において、デバイス・レコード22のバッチ20を生成し、それにより、デバイス・レコード22はモバイルデバイスの初期プロヴィジョニングにおいて関係する任意の数のパーティへ分配され得る。典型的には、デバイス・レコード22は、1以上のモバイルデバイス製造業者へ分配される。本明細書の少なくとも1つの実施形態において、異なる製造業者に対して、異なるデバイス・レコード22のバッチ20が生成される。例えば、一時デバイス識別子24がある数字(例えば、予備国際携帯加入者識別子(PIMSI:Preliminary International Mobile Subscriber Identity))として生成されることを想定すると、異なるデバイス製造業者について異なる範囲の数字が使用され得る。そうすることにより、後で無線によるモバイルデバイスの有効化に関係するネットワーク要素が、モバイルデバイスによって報告される一時デバイス識別子24の値の範囲から、当該デバイスの製造業者を判定することが可能になる。
さて、図1に戻って参照すると、ディレクトリ・サーバ10は、デバイス・レコード22の1つ以上のバッチ20を生成し、当該デバイス・レコード22を、1つ以上のモバイルデバイス製造業者の各々における初期プロヴィジョニング・サーバ20(又は他のコンピュータ・システム)へ分配する。特に、図1は、異なるモバイルデバイス製造業者1乃至Rと関連付けられた、初期プロヴィジョニング・サーバ30−1乃至30−Rを図示する。各プロヴィジョニング・サーバ30は、ある数のデバイス・レコード22をデバイス・ディレクトリ10から受信して、個々のデバイス・レコード22の全て又は一部を、当該デバイス・レコードを用いて初期プロヴィジョニングされるモバイルデバイス32のうちの特定の1つにロードする。このロード処理は、製造プロセスに組み入れられていてもよい。
図3に示すように、好ましくは、各モバイルデバイス32は、システム回路40(プロセッサ、ユーザインタフェース回路等)と、通信回路42(セルラ、WLAN、WiFi等)と、ARM TrustZone、Mobile Trusted Module(MTM),又はTrusted Platform Module(TPM)実装のような信頼性のあるモジュール44とを含む。1つ以上の実施形態において、信頼性モジュール44は、例えば、保護(セキュア)プロセッサ46と、保護(セキュア)メモリ48と、暗号化エンジン60とを含む。その他のセキュア処理環境が使用され得るとともに、図示したセキュア・アーキテクチャの詳細は、本明細書に示す教示を限定するものとして解釈されるべきではない。
いずれにしても、初期プロヴィジョニング・サーバ30は、このように所与のモバイルデバイス32にデバイス・レコードの全て又は一部をロードし、そのデバイス・レコード22は、ディレクトリ・サーバ10によっても保持される。このように、モバイルデバイス32を有効化しようとする、加入者の後の試みは、ディレクトリ・サーバ10に格納された対応するデバイス・レコード情報に対する、モバイルデバイス32に格納されたデバイス・レコード情報の検証処理に基礎が置かれ得る。
図4及び図5は、上述の処理をまとめたものであり、図4において、ディレクトリ・サーバ10は、予備加入識別子を生成する(ブロック100)(例えば、PIMSI24と秘密鍵26とのペアを含むデバイス・レコード22を生成する)。次に、ディレクトリ・サーバ10は、予備加入識別子をモバイルデバイス製造業者へ分配する(ブロック102)。その動作は、適切なセキュリティの検証等を条件とするそのようなすべての転送を用いた、ディレクトリ・サーバ10からの「プッシュ(push)」、あるいはディレクトリ・サーバ10からの「プル(pull)」でもよい。ディレクトリ・サーバ10と初期プロヴィジョニング・サーバ30との間の通信は、インターネットに基づいてもよいし、他の何らかのネットワークの接続に基づいてもよい。
とにかく、ディレクトリ・サーバ10は、それぞれが一時デバイス識別子24と(「Kp」と表示された)秘密鍵26とを1つのペアとして含む個々のデバイス・レコード22を生成する。上述したように、一時デバイス識別子24は、PIMSIを含んでいてもよい。少なくとも1つの実施形態において、PIMSIは、UMTS/GSM IMSI番号に等しく、それにより、標準規格のモバイルデバイス認証処理手順がPIMSIについて使用され得る。このように、ディレクトリ・サーバ10は、PIMSI/Kpのペアを初期プロヴィジョニング・サーバ30へデバイス・レコード22として送信する。例えば、複数のデバイス・レコード22が、PIMSI1/Kp1,PIMSI2/Kp2,...,等として送信される。ディレクトリ・サーバ10は、また、そのネットワークアドレス情報を送信してもよく、あるいは、初期プロヴィジョニング・サーバ30は、その情報を用いて設定されてもよい。
図5は、所与のモバイルデバイス製造業者の初期プロヴィジョニング・サーバ30が、ディレクトリ・サーバ10から受信した予備加入情報を使用した個々のモバイルデバイス32のプロヴィジョニングをサポートすることを示す(ブロック104)。初期プロヴィジョニング・サーバ30はまた、予備加入情報の使用をサポートするネットワーク・オペレータのリストとともに、ディレクトリ・サーバ10のネットワークアドレス情報も各モバイルデバイス32にロードし得る(ブロック106)。(このため、複数のネットワーク・オペレータが当該携帯の位置においてカバレッジを提供することを想定すると、このリストは、永続的な加入資格証明を用いてモバイルデバイス32の無線プロヴィジョニングを実行するために、モバイルデバイス32が後で適切なネットワーク・オペレータを選択することを可能にする。)
より詳細には、初期プロヴィジョニング・サーバ30は、セキュア処理を使用して、PuK/PrKと表示された公開鍵/私有鍵のペアを生成してもよい。従って、このような実施形態において、デバイス・レコード22−xについての予備加入情報は、PuKx、PrKx、Kpx、及び一時デバイス識別子24(例えばPIMSIx)を含むであろう。初期プロヴィジョニング・サーバ30は、この情報をモバイルデバイス32の信頼性モジュール44にロードする。初期プロヴィジョニング・サーバ30はまた、上述のように、事前加入情報の使用をサポートするネットワーク・オペレータのリスト(例えば、一時的なネットワークアドレスを得るためにPIMSIの使用を認めるネットワーク・オペレータのリスト)もロードする。初期プロヴィジョニング・サーバは、ディレクトリ・サーバ10についてのネットワークアドレス情報もロードしてよい。
より一般的には、1つ以上の実施形態において、モバイルデバイス32の信頼性モジュール44は、一時デバイス識別子24(例えば、PIMSIx)、秘密鍵Kpx、及び(モバイルデバイス32の無線による有効化に後で使用される)公開鍵/私有鍵のペアPuKx/PrKxを用いてプロヴィジョニングされること、このような全ての値は、初期プロヴィジョニング・サーバ30によって提供され得ること、又は、それらの1つ以上が、モバイルデバイス32によって自ら生成され得ることが、理解されるべきである。例えば、少なくとも1つの実施形態において、モバイルデバイス32は、公開鍵/私有鍵のペアPuKx/PrKxを生成する。プロヴィジョニング情報は、一般的に、一時デバイス識別子24の使用による一時的な無線通信ネットワーク・アクセスをサポートするネットワーク・オペレータのリストも含み、ディレクトリ・サーバ10のネットワークアドレス情報を任意的に含んでいてもよい。
いくらかの時間の後、所与のモバイルデバイス32は販売されるか、さもなくば所与のネットワーク・オペレータの加入者との関連の対象となる。一例の図示として、図6は、3つの異なる資格証明サーバ60−1,60−2,60−3を描いており、これらは3つの異なるネットワーク・オペレータからの資格証明処理用の要素を表していてもよい。図示した資格証明サーバ60は、ディレクトリ・サーバ10へ通信で接続され、これにより、資格証明サーバ60は、ディレクトリ・サーバ10によって保持されたディレクトリ・レコード22のうちの何れが資格証明サーバ60の何れかに対して関連付けられるか、さもなくば紐付けられることを、ディレクトリ・サーバ10に対して示すことができる。
図7は、例えばインターネット又は他のネットワーク接続を介して所与のネットワーク・オペレータの資格証明サーバ60−xがディレクトリ・サーバ10と通信する一実施例を示す。具体的には、資格証明サーバ60−xは、加入者データを取得するか、さもなくば提供される(ブロック110)。例えば、販売又はその他のコンピュータ・システムは、資格証明サーバ60−xに、特定のPDIについての加入者の詳細を提供し、ここでPDIはディレクトリ・サーバ10内の個々のデバイス・レコード22に対応する。これにより、資格証明サーバ60−xは、加入者レコードを受信してもよく、ここで各加入者レコードは、特定の加入者についての詳細を、PDI、及びそのPDIに対応するデバイス・レコード22を保持するディレクトリ・サーバ10のアドレスとともに含む。
従って、特定の一時デバイス識別子24に対応するPDIは、資格証明サーバ60−xにおける特定の加入者についてのデータと関連付けられるか、さもなくば紐付けられる。この加入者データは、加入資格証明として機能し、UMTSの「マスター鍵」のような秘密の加入者値も含んでいてもよい。いずれにしても、処理は、資格証明サーバ60−xがPDI情報をディレクトリ・サーバ10へ送信する処理に続く(ブロック112)。そのPDI情報の受信により、ディレクトリ・サーバ10は、受信したPDI情報に対応するデバイス・レコード22を資格証明サーバ60−xに関連付けるか、さもなくば紐付ける。
その結果、ディレクトリ・サーバ10は、資格証明サーバ60−xからPDIを受信し、それに応じて、当該PDIに対応するデバイス・レコード22を資格証明サーバ60−xに紐付ける。一例として、PDIはPIMSIの一方向のハッシュであり、デバイス・ディレクトリ10は、対応するPIMSIを取得するために当該PDIを処理し、その後、格納されているデバイス・レコード22の1つ以上のバッチにインデックスを付けるために、当該再生したPIMSIを使用し、当該再生したPIMSIに一致するデバイス・レコード22を特定する。
いったん正しいデバイス・レコード22が特定されると、ディレクトリ・サーバ10は、当該レコードを資格証明サーバ60−xに紐付ける(例えば、特定したデバイス・レコード22に、資格証明サーバ60−xのネットワークアドレス情報を格納し、又は、そのデバイス・レコード22が資格証明サーバ60−xを「指し示す」ようにする。)このような紐付けられたPDIデバイス・レコード22の各々について、資格証明サーバ60−xは、資格証明サーバ60−xに対する第2秘密鍵をディレクトリ・サーバ10から受信する(ブロック114)。その第2秘密鍵は、その一時的な状態を示すためにKtと表示する。ディレクトリ・サーバ10は、関係するデバイス・レコード22の秘密鍵Kpから導出する。例えば、Kt=F(Kp)であり、ここで「F」は、暗号として強力な適切な一方向関数を意味する。資格証明サーバ60−xは、この一時鍵Ktを、所与のPDIに関連付けられた加入者データの残りとともに格納する。
上記の予備加入者登録との関連で、所与のモバイルデバイス製造業者は、PDIと、対応するデバイス・ディレクトリのアドレス情報とを、ネットワーク・オペレータへ直接送ってもよい。例えば、初期プロヴィジョニング・サーバ30、又は他の製造業者のコンピュータ・システムは、1つ以上のネットワーク・オペレータの資格証明サーバ60と通信で接続されてもよい。このような通信により、モバイルデバイス製造業者が、任意の小売の前に、特定のモバイルデバイス32と特定のネットワーク・オペレータとを紐付けることが可能となる。
さらに、又は代わりに、個々のモバイルデバイス32は、それぞれの購入者に送り届けられる。それらのモバイルデバイス32についてのPDIとデバイス・ディレクトリとの関連性が、それらの購入者に対して、モバイルデバイスそれ自体とともに、書面形式で又は電子的な形式で提供される。これにより、エンドユーザがいったん特定のモバイルデバイス32を購入するか、さもなくば取得すると、そのエンドユーザは、PDIとそのモバイルデバイス32のデバイス・ディレクトリ情報とを、最適なネットワーク・オペレータに属する資格証明サーバ60に登録する。
図8は、本明細書で意図している全体の方法論の一環として、このエンドユーザの登録処理の一実施形態を示す。ステップ1に示すように、ディレクトリ・サーバ10は、PIMSI/秘密鍵のペア(PIMSIx/Kpx)を初期プロヴィジョニング・サーバ30へ提供する。提供されたデータは、ディレクトリ・サーバ10内に格納されたデバイス・レコード22に一致する。
ステップ2で、初期プロヴィジョニング・サーバ30は、公開鍵/私有鍵のペア(PuKx/PrKx)を生成し、個々のモバイルデバイス32−xにPuKx/PrKx、Kpx、PIMSIx、ディレクトリ・サーバ10のネットワークアドレス情報、及び参加しているネットワーク・オペレータのリストをロードすることにより、個々のモバイルデバイス32−xを初期プロヴィジョニングする。あるいは、モバイルデバイス32−xは、初期プロヴィジョニング・サーバ30によって生成される値ではなく、自らPuKx/PrKxを生成する。
ステップ3で、モバイルデバイス32−xに関連付けられたエンドユーザ又は他の加入者は、加入者登録データを資格証明サーバ60へ提出する。一例として、資格証明サーバ60は、加入者識別子と、課金情報とを、PIDxと、ディレクトリ・サーバ10についてのネットワークアドレス又はその他の識別情報とともに、受信する。
ステップ4で、資格証明サーバ60は、PDIxをディレクトリ・サーバ10へ提出し、それによりディレクトリ・サーバ10に、PDIxを処理して対応するデバイス・レコード22−xを特定させるとともに、当該提出している資格証明サーバ60にそのデバイス・レコード22−xを紐付ける。
ステップ5で、ディレクトリ・サーバ10は、一時的な秘密鍵Ktxを資格証明サーバ60へ返送する。
ステップ6で、モバイルデバイス32−xは、無線通信ネットワーク70へ接続して、当該ネットワークへ一時デバイス識別子24(例えば、PIMSIx)を提供する。より詳細には、モバイルデバイス32−xは、当該モバイルデバイスがそのPIMSIxを登録処理の一環としてネットワーク70へ提供する、標準的なGSM/UMTSの登録処理を使用して、無線通信ネットワークへの登録を試みてもよい。さらに、モバイルデバイス32−xは、無線のプロヴィジョニングによって長期の加入資格証明を得るための基礎として一時デバイス識別子24の使用をサポートするネットワーク・オペレータの、格納されたリストに基づいて、ネットワーク70がこのような登録処理の試行に適していることを判断してもよい。
また、ステップ6の一環として、ネットワーク70は、モバイルデバイス32−xから取得されるPIMSIxを認証サーバ72へ渡す。認証サーバ72は、例えば、ネットワーク70に関連する、又はモバイルデバイス32に関連するネットワーク・オペレータのホームネットワークに関連する、ビジター・ロケーション・レジスタ(VLR)及びホーム・ロケーション・レジスタ(HLR)の少なくとも何れかでよい。
ステップ7で、認証サーバ72は、PIMSIxを一時的な識別子として認識し、PIMSIxを適切なディレクトリ・サーバ10へ渡す。1つ以上の実施形態において、認証サーバ72は、モバイルデバイス32−xから受信したPIMSIxからディレクトリ・サーバ10についてのネットワークアドレス情報を判断する。
ステップ8で、ディレクトリ・サーバ10は、認証サーバ72から受信したPIMSIxに対応する正しいデータ・レコード22−xを見つける。この処理の一環として、ディレクトリ・サーバ10は、PIMSIxがブロックされているか、期限が切れているか、さもなくば許可された回数以上に使用されているかを確認することによって、PIMSIxの有効性を判断してもよい。これにより、PIMSIxが、ディレクトリ・サーバ10において格納されたデバイス・レコード22の(複数の)バッチ20内に存在し、かつ、有効である場合には、ディレクトリ・サーバ10は、モバイルデバイス32−xについての一時認証ベクトルを算出し、当該認証ベクトルを認証サーバ72へ返送する。
1つ以上の実施形態において、デバイス・ディレクトリ10は、デバイス・レコード22−xに格納された、モバイルデバイス2−x用の秘密鍵Kpxを使用して認証ベクトルを導出する。この点について、デバイス・ディレクトリ10は、MILENAGEアルゴリズム等の、第3世代パートナーシップ・プロジェクト(3GPP)の標準化された処理手順を使用して、認証ベクトルを生成してもよい。そうすることによって相互運用性が増大する。とにかく、ステップ8は、認証サーバ72を横切って続いていることを示しており、これにより認証ベクトルがネットワーク70へ返送されることを示している。
ステップ9で、ネットワーク70は、一時的なアクセス(例えば一時的なパケット・データ・アクセス)をモバイルデバイス32−xに許可するために認証ベクトルを使用する。一例として、認証ベクトルは、制限されたある時間量(例えば1分)について有効であるか、厳しく制限されたあるデータ転送量について有効であるか、の少なくとも何れかである。
ステップ10で、モバイルデバイス32−xは、その一時的なアクセスをディレクトリ・サーバ10と通信するために使用する。この点について、ディレクトリ・サーバ10についてのネットワークアドレス情報が、モバイルデバイスの初期プロヴィジョニング情報の一部として含まれ得ることに留意されたい。これにより、モバイルデバイス32−xは、その格納された情報を、一時的なアクセスを得た後に適切なディレクトリ・サーバ10へ接続するために使用できる。図面には、モバイルデバイス32−xとディレクトリ・サーバ10との間で直接的な通信を示しているが、当業者は、当該リンクは間接的でもよく、一般に、一時的な認証ベクトルに従ってネットワーク70によってサポートされる無線のコネクションを含んでもよいことを理解しよう。モバイルデバイス32−xは、ディレクトリ・サーバ10に対するその通信リンクを用いて、ディレクトリ・サーバ10においてPIMSIxに紐付けられた、資格証明サーバのアドレス情報を当該モバイルデバイスへ提供することを、ディレクトリ・サーバ10に要求する。
ステップ11で、ディレクトリ・サーバ10は、資格証明サーバのアドレス情報をモバイルデバイス32−xへ返送する。
ステップ12で、モバイルデバイス32−xは、新たな一時鍵Ktxを生成する。少なくとも1つの実施形態において、モバイルデバイス32−xは、その秘密鍵KpxからKtxを導出する。
ステップ13で、モバイルデバイス32−xは、資格証明要求を、ディレクトリ・サーバ10からモバイルデバイス32−xへ返送された資格証明サーバのアドレス情報によって特定される資格証明サーバ60へ送る。(また、このような通信は、一般的に直接的であり、少なくともリンクの一部がネットワーク70を通じて作られる無線コネクションによってサポートされる。)一実施形態において、この要求は、一時鍵Ktxと、場合によってはメッセージ認証コード(MAC:Message Authentication Code)とを使用して保護される。別の実施形態においては、当該コネクションは、一時鍵Ktxと、TLS等のトランスポート・セキュリティ・プロトコルとによって保護される。とにかく、少なくとも1つの実施形態において、当該要求は、モバイルデバイスの公開鍵PuKxと、モバイルデバイスのPIMSIxに対応するPDIxとを含む。
ステップ14で、資格証明サーバ60は、モバイルデバイス32についての永続的な(長期の)加入資格証明を生成する。例えば、ソフト加入者識別モジュール(SSIM)又は他の形式のソフトウェアに基づく認証情報を生成してもよい。このようなデータは、SIMの資格証明とSSIMパラメータとの両方を含んでいてもよい。SSIMパラメータは、資格証明サーバ60に関連するネットワーク・オペレータに対する特定の適用性を有するSIMアルゴリズムを含んでいてもよい。
ステップ15で、資格証明サーバ60は、永続的な加入資格証明を、モバイルデバイス32の公開鍵PuKxを使用して暗号化し、モバイルデバイス32へ送る。別の実施形態においては、資格証明サーバは、一時鍵Ktxを使用して永続的な加入資格証明を暗号化する。しかしながら、そうすることにより、Ktxは、ディレクトリ・サーバ10にも保持されている秘密鍵Kpxから導出されるため、セキュリティの影響の可能性が持ち上がる。
ステップ16で、モバイルデバイスは、暗号化された永続的な加入資格証明を受信し、暗号化解除し、例えば信頼性モジュール44内に組み込む。このプロセスは、必要とされる任意のSIM又は他のソフトウェアの更新処理を含んでいてもよい。とにかく、モバイルデバイス32は、永続的な加入資格証明を用いてここでプロヴィジョニングされ、それによりモバイルデバイス32に、その資格証明によって定められる任意の制限の範囲内でホーム及びビジター無線通信ネットワークへのアクセスが与えられる。
上述の配置によって実現される基礎的だが非限定的なアイデアは、任意の数の参加しているネットワーク・オペレータを通じた無線アクチベーションを使用して、モバイルデバイスが後に有効化(永続的にプロヴィジョニング)され得るような方法で、モバイルデバイス製造業者が、モバイルデバイス32を初期プロヴィジョニングすることを可能にする。これにより、この配置は、モバイルデバイス32が、予備加入識別情報を使用して一時的な無線通信ネットワーク・アクセスを得るとともに、さらにそのアクセスを、モバイルデバイスへ永続的な加入情報を提供する資格証明サーバのアドレス及び当該資格証明サーバへのコネクションを取得するために使用することを可能にする。簡単に言うと、潜在的に多数の異なるネットワーク・オペレータは、説明した配置に参加することと、それぞれの無線通信ネットワークをディレクトリ・サーバ10(又は、多数の異なるディレクトリ・サーバ10のうちの任意の1つ)へ通信でリンクさせることとを承諾し得る。
このように、本明細書では、無線による携帯通信デバイスの有効化を容易にするシステム及び方法を提示している。しかし、上述の説明及び添付図面は本明細書で教示した方法、システム、及び個々の装置の非限定的な例を表すものと、理解すべきである。このように、本発明は、上述の説明及び添付図面によって限定されることはない。その代わりに、本発明は、以下の特許請求の範囲及びその法的な均等物によってのみ限定される。

Claims (18)

  1. 無線による移動体通信デバイスの有効化を容易にする方法であって、
    集中型デバイス・ディレクトリ・サーバにおいて、
    モバイルデバイスのための予備加入資格証明情報を含むデバイス・レコードを格納するステップと、
    前記モバイルデバイスの初期プロヴィジョニングで使用される前記予備加入資格証明情報の少なくとも一部を、初期プロヴィジョニング・パーティへ安全に送信するステップと、
    前記モバイルデバイスの対象エンドユーザに関連付けられた所与のネットワーク・オペレータの資格証明サーバから、該モバイルデバイスについてのデバイス識別子を受信するとともに、それに対応して、該資格証明サーバのネットワークアドレス情報を前記デバイス・レコードと紐付けるステップと、
    前記モバイルデバイスによる前記予備加入資格証明情報を使用した無線通信ネットワークへのアクセスの試行に応じて、認証サーバから検証要求を受信するステップと、
    前記モバイルデバイスについての前記予備加入資格証明情報が有効であると、該予備加入資格証明情報に含まれた秘密鍵に基づいた認証ベクトルを前記認証サーバへ送信するステップと、
    前記モバイルデバイスが前記認証ベクトルによって前記無線通信ネットワークへの一時的なアクセスを得た後に、該モバイルデバイスから資格証明サーバ・アドレス要求を受信するステップと、
    前記モバイルデバイスについて格納された前記デバイス・レコードに紐付けられた前記資格証明サーバのネットワークアドレス情報を、前記モバイルデバイスへ送信するステップと
    を含むことを特徴とする方法。
  2. 前記デバイス・レコードを格納する前記ステップは、予備国際携帯加入者識別子(PIMSI)と前記モバイルデバイスについての前記秘密鍵とを格納するステップを含むことを特徴とする請求項1に記載の方法。
  3. 前記モバイルデバイスの対象エンドユーザに関連付けられた所与のネットワーク・オペレータの資格証明サーバから、前記モバイルデバイスについてのデバイス識別子を受信する前記ステップは、
    前記モバイルデバイスの前記PIMSIから導出される公開デバイス識別子(PDI)を受信するステップを含み、
    前記公開デバイス識別子(PDI)から前記モバイルデバイスについての前記デバイス・レコードを特定するステップと、
    前記デバイス・レコードを前記資格証明サーバの前記ネットワークアドレス情報に紐付けるステップと
    をさらに含むことを特徴とする請求項2に記載の方法。
  4. 前記PIMSI、前記秘密鍵、及び公開鍵/私有鍵のペアを用いて前記モバイルデバイスの信頼性のあるモジュールの初期プロヴィジョニングを行うステップと、
    前記集中型デバイス・ディレクトリ・サーバのネットワークアドレス情報と、前記PIMSIの使用による一時的な無線通信ネットワーク・アクセスをサポートするネットワーク・オペレータのリストとを用いて、前記モバイルデバイスのさらなるプロヴィジョニングを行うステップと
    をさらに含むことを特徴とする請求項2に記載の方法。
  5. 前記モバイルデバイスが前記PIMSIを前記無線通信ネットワークへ提供することに基づいて、前記モバイルデバイスによる前記無線通信ネットワークへの前記一時的なアクセスを得るステップと、
    前記無線通信ネットワークが、前記集中型デバイス・ディレクトリ・サーバへの転送のために、前記PIMSIを前記認証サーバへ転送するステップと
    を特徴とする請求項4に記載の方法。
  6. 前記モバイルデバイスが前記集中型デバイス・ディレクトリ・サーバから前記資格証明サーバの前記ネットワークアドレス情報を受信することに基づいて、前記モバイルデバイスによる前記所与のネットワーク・オペレータの前記資格証明サーバへのアクセスを得るステップと、
    前記モバイルデバイスに格納された前記公開鍵/私有鍵のペアの前記公開鍵を含み、かつ、該モバイルデバイスに格納された前記秘密鍵から導出される一時鍵によって保護された資格証明要求を、前記モバイルデバイスから前記資格証明サーバへ送信するステップと
    をさらに含むことを特徴とする請求項5に記載の方法。
  7. 前記資格証明サーバにおいて、
    前記モバイルデバイスからの前記資格証明要求を検証して、ソフト加入者識別モジュール(SSIM)を生成するステップと、
    前記モバイルデバイスが永続的な加入資格証明を前記所与のネットワーク・オペレータへ設定することに使用する前記SSIMを、該モバイルデバイスの前記公開鍵を使用して暗号化した形式で該モバイルデバイスへ送信するステップと
    をさらに含むことを特徴とする請求項6に記載の方法。
  8. 前記集中型デバイス・ディレクトリ・サーバにおいて、
    前記秘密鍵から第2の秘密鍵を導出するステップと、
    前記資格証明サーバによって生成され、かつ、無線で前記モバイルデバイスへ送信されるソフト加入者識別モジュール(SSIM)情報を、保護することに後で使用される前記第2の秘密鍵を、前記資格証明サーバにおいてエンドユーザの加入者データと関連付けて格納するために送信するステップと
    をさらに含むことを特徴とする請求項2に記載の方法。
  9. 1つ以上の処理回路を備える集中型デバイス・ディレクトリ・サーバを含む、無線による移動体通信デバイスの有効化を容易にするシステムであって、
    前記集中型デバイス・ディレクトリ・サーバは、
    モバイルデバイスのための予備加入資格証明情報を含むデバイス・レコードを格納する手段と、
    前記モバイルデバイスの初期プロヴィジョニングで使用される前記予備加入資格証明情報の少なくとも一部を、初期プロヴィジョニング・パーティへ安全に送信する手段と、
    前記モバイルデバイスの対象エンドユーザに関連付けられた所与のネットワーク・オペレータの資格証明サーバから、該モバイルデバイスについてのデバイス識別子を受信するとともに、それに対応して、該資格証明サーバのネットワークアドレス情報を前記デバイス・レコードと紐付ける手段と、
    前記モバイルデバイスによる前記予備加入資格証明情報を使用した無線通信ネットワークへのアクセスの試行に応じて、認証サーバから検証要求を受信する手段と、
    前記モバイルデバイスについての前記予備加入資格証明情報が有効であると、該予備加入資格証明情報に含まれた秘密鍵に基づいた認証ベクトルを前記認証サーバへ送信する手段と、
    前記モバイルデバイスが前記認証ベクトルによって前記無線通信ネットワークへの一時的なアクセスを得た後に、該モバイルデバイスから資格証明サーバ・アドレス要求を受信するとともに、それに対応して、該モバイルデバイスについて格納された前記デバイス・レコードに紐付けられた前記資格証明サーバのネットワークアドレス情報を、該モバイルデバイスへ送信する手段と
    を備えることを特徴とするシステム。
  10. 前記集中型デバイス・ディレクトリ・サーバは、予備国際携帯加入者識別子(PIMSI)と前記モバイルデバイスについての前記秘密鍵とを、前記デバイス・レコードとして格納することを特徴とする請求項9に記載のシステム。
  11. 前記集中型デバイス・ディレクトリ・サーバは、
    前記資格証明サーバと直接的に又は間接的に通信して、前記モバイルデバイスについての前記デバイス識別子として、前記モバイルデバイスの前記PIMSIから導出される公開デバイス識別子(PDI)を受信する通信インタフェースを含み、
    前記公開デバイス識別子(PDI)から前記モバイルデバイスについての前記デバイス・レコードを特定するとともに、該デバイス・レコードを前記資格証明サーバの前記ネットワークアドレス情報に紐付けることを特徴とする請求項10に記載のシステム。
  12. 初期プロヴィジョニング・サーバをさらに備え
    前記初期プロヴィジョニング・サーバは、
    前記PIMSI、及び前記秘密鍵を用いて前記モバイルデバイスの信頼性のあるモジュールの初期プロヴィジョニングを行う手段と、
    前記集中型デバイス・ディレクトリ・サーバのネットワークアドレス情報と、前記PIMSIの使用による一時的な無線通信ネットワーク・アクセスをサポートするネットワーク・オペレータのリストとを用いて、前記モバイルデバイスのさらなるプロヴィジョニングを行う手段と
    を備えることを特徴とする請求項10に記載のシステム。
  13. 前記初期プロヴィジョニング・サーバは、
    無線による前記モバイルデバイスの有効化に後で使用される公開鍵/私有鍵のペアを用いて、該モバイルデバイスの前記信頼性のあるモジュールをプロヴィジョニングする手段をさらに備えることを特徴とする請求項12に記載のシステム。
  14. 前記認証サーバは、
    前記無線通信ネットワークと通信で接続されており、
    前記PIMSIを受信する手段と、
    それに対応して、前記集中型デバイス・ディレクトリ・サーバへ前記PIMSIを検証のために転送する処理に応じて前記モバイルデバイスについての認証ベクトルを受信する手段と、
    前記モバイルデバイスに対して一時的なアクセスを許可するために、前記認証ベクトルを前記無線通信ネットワークへ返送する手段と
    を備えることを特徴とする請求項12に記載のシステム。
  15. 前記集中型デバイス・ディレクトリ・サーバは、
    前記モバイルデバイスが前記認証ベクトルに基づいて一時的なアクセスを許可された後に、前記モバイルデバイスから資格証明サーバ・アドレス要求を受信し、
    前記モバイルデバイスのデバイス・レコードに紐付けられた前記資格証明サーバの前記ネットワークアドレス情報を返送することを特徴とする請求項14に記載のシステム。
  16. 前記モバイルデバイスは、
    前記資格証明サーバについての前記ネットワークアドレス情報を、前記集中型デバイス・ディレクトリ・サーバから受信する手段と、
    それに対応して、前記モバイルデバイスに格納された前記公開鍵/私有鍵のペアの前記公開鍵を含み、かつ、該モバイルデバイスに格納された前記秘密鍵から導出される一時鍵によって保護された、永続的な加入資格証明に関する資格証明要求を、前記資格証明サーバへ送信する手段と
    を備えることを特徴とする請求項15に記載のシステム。
  17. 前記資格証明サーバは、
    前記モバイルデバイスからの前記資格証明要求を検証する手段と、
    それに対応して、ソフト加入者識別モジュール(SSIM)を生成する手段と、
    前記モバイルデバイスが永続的な加入資格証明を前記所与のネットワーク・オペレータへ設定することに使用する前記SSIMを、該モバイルデバイスの前記公開鍵を使用して暗号化した形式で該モバイルデバイスへ送信する手段と
    をさらに備えることを特徴とする請求項16に記載のシステム。
  18. 前記集中型デバイス・ディレクトリ・サーバは、
    前記秘密鍵から第2の秘密鍵を導出する手段と、
    前記資格証明サーバによって生成され、かつ、無線で前記モバイルデバイスへ送信されるソフト加入者識別モジュール(SSIM)情報を、保護することに後で使用される前記第2の秘密鍵を、該資格証明サーバにおいてエンドユーザの加入者データと関連付けて格納するために送信する手段と
    をさらに備えることを特徴とする請求項9に記載のシステム。
JP2010503453A 2007-04-20 2008-04-07 モバイルデバイスの資格証明処理のための方法及びシステム Active JP5074578B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US91309007P 2007-04-20 2007-04-20
US60/913,090 2007-04-20
US11/948,352 2007-11-30
US11/948,352 US8064597B2 (en) 2007-04-20 2007-11-30 Method and system for mobile device credentialing
PCT/EP2008/054136 WO2008128873A1 (en) 2007-04-20 2008-04-07 Method and system for mobile device credentialing

Publications (3)

Publication Number Publication Date
JP2010527522A true JP2010527522A (ja) 2010-08-12
JP2010527522A5 JP2010527522A5 (ja) 2011-05-12
JP5074578B2 JP5074578B2 (ja) 2012-11-14

Family

ID=39872203

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010503453A Active JP5074578B2 (ja) 2007-04-20 2008-04-07 モバイルデバイスの資格証明処理のための方法及びシステム

Country Status (9)

Country Link
US (1) US8064597B2 (ja)
EP (1) EP2140717B1 (ja)
JP (1) JP5074578B2 (ja)
CN (1) CN101690287B (ja)
AT (1) ATE519340T1 (ja)
CA (1) CA2684657C (ja)
ES (1) ES2368683T3 (ja)
TW (1) TWI437867B (ja)
WO (1) WO2008128873A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011520306A (ja) * 2008-02-22 2011-07-14 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 無線機器の登録方法及び装置
KR101484367B1 (ko) * 2011-04-05 2015-01-28 애플 인크. 전자 액세스 클라이언트들을 분배하며 저장하기 위한 장치 및 방법
JP2015511470A (ja) * 2012-02-24 2015-04-16 アルカテル−ルーセント スマートカードの初期パーソナライゼーション

Families Citing this family (72)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2003272988A1 (en) 2002-10-11 2004-05-04 Matsushita Electric Industrial Co., Ltd. Identification information protection method in wlan interconnection
US7356539B2 (en) 2005-04-04 2008-04-08 Research In Motion Limited Policy proxy
US9307397B2 (en) 2005-04-29 2016-04-05 Jasper Technologies, Inc. Method for enabling a wireless device with customer-specific services
US9167471B2 (en) 2009-05-07 2015-10-20 Jasper Technologies, Inc. System and method for responding to aggressive behavior associated with wireless devices
US9226151B2 (en) 2006-04-04 2015-12-29 Jasper Wireless, Inc. System and method for enabling a wireless device with customer-specific services
US8676195B2 (en) * 2006-04-14 2014-03-18 Aicent, Inc. Fixed mobile roaming service solution
US7958356B1 (en) * 2006-09-29 2011-06-07 Netapp, Inc. System and method for establishing a shared secret among nodes of a security appliance
US8935407B2 (en) * 2007-05-31 2015-01-13 Alcatel Lucent Providing supplemental content to an IMS user during registration
WO2009002236A1 (en) * 2007-06-27 2008-12-31 Telefonaktiebolaget Lm Ericsson (Publ) A method and apparatus for enabling connectivity in a communication network
EP2245829B1 (en) * 2008-01-18 2016-01-06 InterDigital Patent Holdings, Inc. Method for enabling machine to machine communication
US9203620B1 (en) * 2008-01-28 2015-12-01 Emc Corporation System, method and apparatus for secure use of cryptographic credentials in mobile devices
US20090239503A1 (en) * 2008-03-20 2009-09-24 Bernard Smeets System and Method for Securely Issuing Subscription Credentials to Communication Devices
US20110010543A1 (en) 2009-03-06 2011-01-13 Interdigital Patent Holdings, Inc. Platform validation and management of wireless devices
US8443425B1 (en) * 2009-08-14 2013-05-14 Intuit Inc. Remotely authenticating using a mobile device
EP2866413B1 (en) * 2009-10-15 2016-05-11 Interdigital Patent Holdings, Inc. Registration and credential roll-out for accessing a subscription-based service
SE535404C2 (sv) 2009-12-09 2012-07-24 Smarttrust Ab Metod för automatisk provisionering av ett SIM-kort
KR101683883B1 (ko) * 2009-12-31 2016-12-08 삼성전자주식회사 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템
EP2355455A1 (fr) * 2010-02-04 2011-08-10 Gemalto SA Procédé de génération d'une adresse SIP publique permanente associée à une identité privée sur un réseau IMS
EP2383955B1 (en) 2010-04-29 2019-10-30 BlackBerry Limited Assignment and distribution of access credentials to mobile communication devices
US20140162640A1 (en) * 2010-06-28 2014-06-12 Xipeng Zhu System and method for subscription data optimization
CN101925186B (zh) * 2010-07-19 2014-07-09 华为技术有限公司 一种向用户提供多类型服务的方法和装置
BR112013004094A2 (pt) 2010-08-31 2016-06-14 Ericsson Telefon Ab L M isim transferível por download.
WO2012042300A1 (en) * 2010-09-29 2012-04-05 Nokia Corporation Methods and apparatuses for access credential provisioning
EP2437530B1 (en) * 2010-10-01 2019-01-30 Giesecke+Devrient Mobile Security GmbH Method for provisioning of a network access for a mobile communication device
US20120101829A1 (en) * 2010-10-22 2012-04-26 International Business Machines Corporation Wholesale device registration system, method, and program product
US8555067B2 (en) 2010-10-28 2013-10-08 Apple Inc. Methods and apparatus for delivering electronic identification components over a wireless network
US9723481B2 (en) * 2010-10-29 2017-08-01 Apple Inc. Access data provisioning apparatus and methods
US9100393B2 (en) * 2010-11-04 2015-08-04 Apple Inc. Simulacrum of physical security device and methods
CN106055930A (zh) 2010-11-05 2016-10-26 交互数字专利控股公司 设备检验和遇险指示
WO2012068462A2 (en) * 2010-11-19 2012-05-24 Aicent, Inc. Method of and system for extending the wispr authentication procedure
US8996879B2 (en) * 2010-12-23 2015-03-31 Intel Corporation User identity attestation in mobile commerce
EP2671398B1 (en) * 2011-01-31 2021-03-31 Nokia Technologies Oy Subscriber identity module provisioning
US20120203824A1 (en) 2011-02-07 2012-08-09 Nokia Corporation Method and apparatus for on-demand client-initiated provisioning
CN103370899B (zh) * 2011-02-14 2016-09-28 瑞典爱立信有限公司 无线设备、注册服务器和无线设备预配置方法
EP2503731A1 (en) * 2011-03-22 2012-09-26 Alcatel Lucent Credentials based method to authenticate a user equipment in a mobile network
US9769657B2 (en) 2011-04-05 2017-09-19 Valid Soluciones Tecnologicas, S.A.U. Method and system for the remote provisioning of subscription
US9716999B2 (en) 2011-04-18 2017-07-25 Syniverse Communicationsm, Inc. Method of and system for utilizing a first network authentication result for a second network
US8887257B2 (en) 2011-04-26 2014-11-11 David T. Haggerty Electronic access client distribution apparatus and methods
US10271213B2 (en) * 2011-05-06 2019-04-23 Apple Inc. Methods and apparatus for providing management capabilities for access control clients
ES2535386T3 (es) 2011-06-08 2015-05-11 Giesecke & Devrient Gmbh Procedimientos y dispositivos para gestión durante la comunicación (OTA) de módulos de identificación de abonado
AU2013221600B2 (en) * 2012-02-13 2016-09-29 Xceedid Corporation Credential management system
WO2013142615A1 (en) * 2012-03-23 2013-09-26 Jasper Wireless, Inc. A system and method for enabling a wireless device with customer-specific services
EP2834748A4 (en) * 2012-04-05 2015-12-09 Openpeak Inc SYSTEM AND METHOD FOR AUTOMATICALLY PROVIDING MANAGED DEVICES
GB2504663B (en) * 2012-06-29 2017-08-02 Neul Ltd Secure Deployment of Communication Devices in a Communications Network
CN103944716B (zh) * 2013-01-17 2017-08-25 上海贝尔股份有限公司 用户认证的方法和装置
US9363669B2 (en) 2013-04-12 2016-06-07 Blackberry Limited Methods and systems for server-initiated activation of device for operation with server
US10034168B1 (en) * 2013-04-25 2018-07-24 Sprint Spectrum L.P. Authentication over a first communication link to authorize communications over a second communication link
DE102013108925A1 (de) 2013-08-19 2015-02-19 Deutsche Post Ag Unterstützung der Nutzung eines geheimen Schlüssels
US10700856B2 (en) * 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
WO2015085474A1 (zh) * 2013-12-10 2015-06-18 华为终端有限公司 一种注册方法和相关节点以及注册系统
US8949949B1 (en) * 2014-02-11 2015-02-03 Level 3 Communications, Llc Network element authentication in communication networks
US9942762B2 (en) * 2014-03-28 2018-04-10 Qualcomm Incorporated Provisioning credentials in wireless communications
CN104509142B (zh) * 2014-04-18 2018-06-05 华为技术有限公司 虚拟用户标识模块数据的分发方法、装置与系统
GB2527276B (en) * 2014-04-25 2020-08-05 Huawei Tech Co Ltd Providing network credentials
CN104469765B (zh) * 2014-07-28 2020-10-23 北京佰才邦技术有限公司 用于移动通信系统中的终端认证方法和装置
EP2981113B1 (en) * 2014-07-31 2019-07-03 Samsung Electronics Co., Ltd Mobile communication service between mobile devices sharing same phone number
US10932128B2 (en) 2014-09-19 2021-02-23 Pcms Holdings, Inc. Systems and methods for secure device provisioning
DE102014014561A1 (de) * 2014-09-30 2016-03-31 Giesecke & Devrient Gmbh Verfahren und System zum Personalisieren eines Sicherheitselements eines mobilen Endgeräts
CN104660416B (zh) * 2015-02-13 2018-08-28 飞天诚信科技股份有限公司 一种语音认证系统和设备的工作方法
NL2014743B1 (en) * 2015-04-30 2017-01-18 Ubiqu B V A first entity, a second entity, an intermediate node, methods for setting up a secure session between a first and second entity, and computer program products.
WO2017001022A1 (en) 2015-07-02 2017-01-05 Telefonaktiebolaget Lm Ericsson (Publ) Method for obtaining initial access to a network, and related wireless devices and network nodes
CN107924434A (zh) * 2015-08-19 2018-04-17 沈爰仪 用仅一个对话、按需登录凭证来验证用户访问安全网络的系统和方法
US10785219B1 (en) * 2015-11-16 2020-09-22 EMC IP Holding Company LLC Methods, systems, and computer readable mediums for securely establishing credential data for a computing device
CN106454807B (zh) * 2016-08-24 2019-09-10 海信集团有限公司 一种终端激活方法及移动终端
EP3358867A1 (en) * 2017-02-03 2018-08-08 Gemalto Sa Method for managing communication between a server and a user equipment
JP2019040484A (ja) * 2017-08-28 2019-03-14 シャープ株式会社 情報送信装置、情報送信システム、複合機、情報送信方法及び情報送信プログラム
US11251955B2 (en) * 2017-09-07 2022-02-15 Arris Enterprises Llc System and method for simplified wifi set up of client devices
CN109586899B (zh) * 2017-09-29 2021-02-09 电信科学技术研究院 信令操作及其指示方法、装置及计算机存储介质
US10826945B1 (en) 2019-06-26 2020-11-03 Syniverse Technologies, Llc Apparatuses, methods and systems of network connectivity management for secure access
CN114641965A (zh) * 2019-08-30 2022-06-17 桑德波特公司 安全数据交换网络
US11343139B2 (en) * 2020-03-23 2022-05-24 Microsoft Technology Licensing, Llc Device provisioning using a supplemental cryptographic identity
CN115002748B (zh) * 2022-06-02 2024-02-02 清华大学 一种地址配置方法、系统及网络设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07203544A (ja) * 1994-01-10 1995-08-04 Fujitsu Ltd 移動通信方法とそれを実現する移動電話交換局、顧客管理システム、及び移動機
JPH09312884A (ja) * 1995-12-06 1997-12-02 At & T Wireless Services Inc セルラー・ネットワークのための顧客操作システム
JPH10117385A (ja) * 1996-07-15 1998-05-06 At & T Wireless Services Inc 電波による活性化のための自動登録通知のためのシステムおよび方法
JP2007053782A (ja) * 1995-10-10 2007-03-01 Qualcomm Inc 電波放送(ota)サービスプログラミングの方法およびシステム

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5600708A (en) * 1995-08-04 1997-02-04 Nokia Mobile Phones Limited Over the air locking of user identity modules for mobile telephones
US6014561A (en) * 1996-05-06 2000-01-11 Ericsson Inc. Method and apparatus for over the air activation of a multiple mode/band radio telephone handset
US5943425A (en) 1996-05-10 1999-08-24 Lucent Technologies, Inc. Re-authentication procedure for over-the-air activation
US5956636A (en) * 1996-07-16 1999-09-21 At&T Wireless Services Inc. Method and system for automatic activation of a wireless device
US6144849A (en) * 1998-02-23 2000-11-07 Adc Newnet, Inc. Method and apparatus for over-the-air service provisioning of a mobile telephone
ATE365419T1 (de) * 1998-07-16 2007-07-15 Telemac Corp Verfahren zur verwaltung eines vorausbezahlten funkdienstes
US6314283B1 (en) * 1999-04-28 2001-11-06 Nec America, Inc. Cellular phone subsidy lock
US6980660B1 (en) * 1999-05-21 2005-12-27 International Business Machines Corporation Method and apparatus for efficiently initializing mobile wireless devices
US6484022B1 (en) * 1999-09-07 2002-11-19 Ericsson Inc. Wireless communications device having externally controlled transmission of identity
US6445914B1 (en) * 1999-09-08 2002-09-03 Ericsson, Inc. Method to perform subsidy protection for TDMA mobile stations
US6549770B1 (en) * 2000-05-26 2003-04-15 Cellco Partnership Over the air programming and/or service activation
FI111208B (fi) * 2000-06-30 2003-06-13 Nokia Corp Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä
US7421411B2 (en) * 2001-07-06 2008-09-02 Nokia Corporation Digital rights management in a mobile communications environment
US7367059B2 (en) * 2002-05-30 2008-04-29 Nokia Corporation Secure content activation during manufacture of mobile communication devices
US7006831B2 (en) * 2002-09-27 2006-02-28 Bellsouth Intellectual Property Corporation Apparatus and method for providing dynamic communications network traffic control
US20040116109A1 (en) * 2002-12-16 2004-06-17 Gibbs Benjamin K. Automatic wireless device configuration
EP1517566B1 (en) * 2003-09-16 2006-07-19 Research In Motion Limited Demand-based update provisioning for a mobile communication device
US7565141B2 (en) * 2003-10-08 2009-07-21 Macaluso Anthony G Over the air provisioning of mobile device settings
US6943425B2 (en) * 2004-01-23 2005-09-13 Intevac, Inc. Wavelength extension for backthinned silicon image arrays
US20060009217A1 (en) * 2004-06-28 2006-01-12 Christoffer Lunden System and method for product registration and activation
US20060030315A1 (en) * 2004-08-06 2006-02-09 Christopher Smith Method and system for provisioning wireless services using SIM information
EP1645931A1 (en) 2004-10-11 2006-04-12 Telefonaktiebolaget LM Ericsson (publ) Secure loading and storing of data in a data processing device
US7200390B1 (en) * 2004-12-30 2007-04-03 Cellco Partnership Device software update transport and download
US8700729B2 (en) * 2005-01-21 2014-04-15 Robin Dua Method and apparatus for managing credentials through a wireless network
US20060217111A1 (en) * 2005-02-11 2006-09-28 Sunil Marolia Network for customer care and distribution of firmware and software updates
US7628322B2 (en) * 2005-03-07 2009-12-08 Nokia Corporation Methods, system and mobile device capable of enabling credit card personalization using a wireless network
US20070047707A1 (en) * 2005-08-26 2007-03-01 Net2Phone, Inc. IP-enhanced cellular services
US20070056042A1 (en) * 2005-09-08 2007-03-08 Bahman Qawami Mobile memory system for secure storage and delivery of media content
US20070100652A1 (en) * 2005-11-01 2007-05-03 Jorey Ramer Mobile pay per call
US8280354B2 (en) * 2005-10-27 2012-10-02 Research In Motion Limited Method and system for provisioning wireless services
US20070129057A1 (en) * 2005-12-06 2007-06-07 Chuan Xu Service provider subsidy lock

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07203544A (ja) * 1994-01-10 1995-08-04 Fujitsu Ltd 移動通信方法とそれを実現する移動電話交換局、顧客管理システム、及び移動機
JP2007053782A (ja) * 1995-10-10 2007-03-01 Qualcomm Inc 電波放送(ota)サービスプログラミングの方法およびシステム
JPH09312884A (ja) * 1995-12-06 1997-12-02 At & T Wireless Services Inc セルラー・ネットワークのための顧客操作システム
JPH10117385A (ja) * 1996-07-15 1998-05-06 At & T Wireless Services Inc 電波による活性化のための自動登録通知のためのシステムおよび方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011520306A (ja) * 2008-02-22 2011-07-14 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 無線機器の登録方法及び装置
KR101484367B1 (ko) * 2011-04-05 2015-01-28 애플 인크. 전자 액세스 클라이언트들을 분배하며 저장하기 위한 장치 및 방법
JP2015511470A (ja) * 2012-02-24 2015-04-16 アルカテル−ルーセント スマートカードの初期パーソナライゼーション
US9462452B2 (en) 2012-02-24 2016-10-04 Alcatel Lucent Smart card initial personalization

Also Published As

Publication number Publication date
ES2368683T3 (es) 2011-11-21
TW200910899A (en) 2009-03-01
TWI437867B (zh) 2014-05-11
EP2140717A1 (en) 2010-01-06
CA2684657C (en) 2015-08-11
CA2684657A1 (en) 2008-10-30
JP5074578B2 (ja) 2012-11-14
US20080260149A1 (en) 2008-10-23
CN101690287A (zh) 2010-03-31
US8064597B2 (en) 2011-11-22
ATE519340T1 (de) 2011-08-15
WO2008128873A1 (en) 2008-10-30
EP2140717B1 (en) 2011-08-03
CN101690287B (zh) 2013-02-27

Similar Documents

Publication Publication Date Title
JP5074578B2 (ja) モバイルデバイスの資格証明処理のための方法及びシステム
US9788209B2 (en) Apparatus and methods for controlling distribution of electronic access clients
US8516133B2 (en) Method and system for mobile device credentialing
JP5945613B2 (ja) 仮想サブスクライバ識別モジュール
EP2255507B1 (en) A system and method for securely issuing subscription credentials to communication devices
US9332575B2 (en) Method and apparatus for enabling connectivity in a communication network
US8666368B2 (en) Wireless network authentication apparatus and methods
JP4392764B2 (ja) 移動端末を安全にロック解除するための方法
US20090253409A1 (en) Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device
CN101176296A (zh) 网络辅助终端到simm/uicc密钥建立

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110324

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110324

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120802

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120810

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120823

R150 Certificate of patent or registration of utility model

Ref document number: 5074578

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150831

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250