RU2515809C2 - Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи - Google Patents

Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи Download PDF

Info

Publication number
RU2515809C2
RU2515809C2 RU2012132318/08A RU2012132318A RU2515809C2 RU 2515809 C2 RU2515809 C2 RU 2515809C2 RU 2012132318/08 A RU2012132318/08 A RU 2012132318/08A RU 2012132318 A RU2012132318 A RU 2012132318A RU 2515809 C2 RU2515809 C2 RU 2515809C2
Authority
RU
Russia
Prior art keywords
initialization
subscriber device
subscriber
certificate
data
Prior art date
Application number
RU2012132318/08A
Other languages
English (en)
Other versions
RU2012132318A (ru
Inventor
Эрвин ХИМАВАН
Энтони Р. МЕТКЕ
Original Assignee
Моторола Солюшнз, Инк.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Моторола Солюшнз, Инк. filed Critical Моторола Солюшнз, Инк.
Publication of RU2012132318A publication Critical patent/RU2012132318A/ru
Application granted granted Critical
Publication of RU2515809C2 publication Critical patent/RU2515809C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

Изобретение относится к системам связи и, в частности, к способу безопасной самостоятельной инициализации абонентских устройств. Технический результат - возможность безопасной дистанционной самостоятельной инициализации абонентского устройства. Способ предоставления возможности безопасной самостоятельной инициализации абонентского устройства включает в себя в сервере инициализации и безопасности: прием из абонентского устройства запроса подписи сертификата, имеющего данные инициирования конфигурирования абонентского устройства, генерацию данных инициализации для абонентского устройства с использованием данных инициирования конфигурирования абонентского устройства и в ответ на запрос подписи сертификата предоставления в абонентское устройство данных инициализации абонентского устройства и сертификата абонентского устройства, имеющего атрибуты санкционирования, связанные с данными инициализации, чтобы предоставить возможность самостоятельной инициализации абонентского устройства. 2 н. и 18 з.п. ф-лы, 7 ил.

Description

Область техники, к которой относится изобретение
Область техники в целом относится к системам связи и в частности она относится к способу безопасной самостоятельной инициализации абонентских устройств.
Уровень техники
Первоначальная инициализация абонентского устройства, такого как мобильное или портативное радиоустройство или другое устройство связи, включает в себя сложные ручные процессы, для того чтобы предоставить возможность новому абонентскому устройству работать в системе связи. Обычно новое абонентское устройство является чем-то нетронутым. Для того чтобы новое абонентское устройство работало с конкретной системой и сетью связи, абонентское устройство настраивают или программируют с паролями, идентификаторами, приложениями программного обеспечения, материалами настройки по криптографическому ключу и тому подобным с помощью владельца системы связи. Для того чтобы выполнить настройку или программирование, техник должен физически соединить абонентское устройство с различными устройствами инициализации (например, программным обеспечением программирования заказчика (CPS), переменным загрузчиком ключей (KVL)). В свою очередь, система связи наполняет свою абонентскую базу данных опознавательным кодом, санкционированными признаками и материалами настройки по ключу абонентского устройства, например функциями кнопок и управления, назначениями частот, идентификацией абонентского устройства и назначениями парка.
Во время инициализации техник вручную записывает и согласует электронный порядковый номер (ESN) каждого абонентского устройства и опознавательный код абонентского устройства таким образом, чтобы техник случайно не создал одного или более двойников абонентских устройств. Процесс инициализации тысяч абонентских устройств с помощью конфигурирования вручную каждого абонентского устройства с подходящими параметрами конфигурирования является склонным к человеческой ошибке, медленным, и потенциальный взлом защиты для каждого вора опознавательного кода абонентского устройства является возможным. Также процесс, предназначенный для того, чтобы инициализировать эти тысячи абонентских устройств в абонентскую базу данных системы связи, также является медленным и склонным к человеческой ошибке. В результате большинство систем связи открывают свою базу данных системы связи во время периода первоначальной инициализации, чтобы позволить абонентским устройствам быть зарегистрированными, как только абонентское устройство пытается в первый раз использовать ресурсы системы связи. В этот момент времени система связи автоматически создает запись для этого абонентского устройства в базе данных системы связи. Это предлагает быструю инициализацию, однако это слишком подвержено взломам защиты, что допускает, что большинство абонентских устройств будут зарегистрированы во время этого открытого периода базы данных, и что большинство абонентских устройств и/или пользователей радиоустройств, присоединенных к абонентским устройствам, которые регистрируются в систему связи, являются легитимными абонентскими устройствами и пользователями радиоустройств. Кроме того, в случае если абонентское устройство скомпрометировано или стерты параметры программирования, абонентское устройство должно быть физически перепрограммировано. Повторный вызов абонентских устройств из области эксплуатации для программирования является дорогим, требующим много времени и неэффективным.
Таким образом, требуется способ, предназначенный для безопасной и дистанционной самостоятельной инициализации абонентского устройства.
Краткое описание чертежей
Сопровождающие фигуры, на которых одинаковые ссылочные номера относятся к идентичным или функционально подобным элементам по всем отдельным видам, вместе с подробным описанием ниже включены в спецификацию и образуют часть спецификации и служат для того, чтобы дополнительно проиллюстрировать различные варианты осуществления концепций, которые включают в себя заявленное изобретение, и объяснить различные принципы и преимущества этих вариантов осуществления.
Фиг.1 - схема иллюстративной системы связи в соответствии с принципами настоящего раскрытия.
Фиг.2 - блок-схема последовательности этапов варианта осуществления фазы самозагрузки настоящего раскрытия.
Фиг.3 - блок-схема последовательности этапов варианта осуществления фазы регистрации настоящего раскрытия.
Фиг.4 - блок-схема последовательности этапов варианта осуществления фазы конфигурирования настоящего раскрытия.
Фиг.5 - блок-схема последовательности этапов варианта осуществления фазы активации настоящего раскрытия.
Специалисты в области техники поймут, что элементы на фигурах проиллюстрированы для простоты и ясности и не обязательно начерчены в масштабе. Например, размеры некоторых из элементов на фигурах могут быть увеличены относительно других элементов для того, чтобы помочь улучшить понимание различных. Дополнительно будет понятно, что определенные действия и/или этапы могут быть описаны или изображены в определенной последовательности происшествия, в то время как специалисты в данной области техники поймут, что такая особенность относительно последовательности фактически не требуется.
Компоненты устройства и способа представлены, где уместно, с помощью традиционных символов на чертежах, изображающих только те специфические детали, которые относятся к пониманию различных вариантов осуществления настоящего изобретения, таким образом, чтобы не затенять раскрытие деталями, которые будут без труда понятными специалистам в данной области техники, имеющим выгоду от описания, приведенного в настоящей заявке. Таким образом, будет понятно, что для простоты и ясности иллюстрации общеизвестные и достаточно понятные элементы, которые являются полезными или необходимыми в коммерчески реализуемом варианте осуществления, не будут изображены, для того чтобы способствовать менее затрудненному виду этих различных вариантов осуществления.
Подробное описание раскрытия
Вообще говоря, согласно различным вариантам осуществления в настоящей заявке раскрыты способы предоставления возможности дистанционной безопасной самостоятельной инициализации абонентского устройства. Абонентское устройство принимает данные доступа к инициализации из интерфейса инициализации области эксплуатации и/или сервера инициализации и безопасности и генерирует данные инициирования конфигурирования абонентского устройства из данных доступа к инициализации. Затем абонентское устройство генерирует запрос подписи сертификата. Запрос подписи сертификата является сообщением из абонентского устройства, доверяемой третьей стороне, такой как провайдер услуг инфраструктуры открытого ключа (PKI), для того чтобы обратиться за цифровым сертификатом абонентского устройства, также известным как сертификат опознавательного кода. Сертификат абонентского устройства может быть использован стороной для того, чтобы криптографическим способом проверить опознавательный код абонентского устройства.
Запрос подписи сертификата, включающий в себя данные инициирования конфигурирования абонентского устройства, передают в сервер инициализации и безопасности. Сервер инициализации и безопасности генерирует данные инициализации для абонентского устройства с использованием данных инициирования конфигурирования абонентского устройства. Сервер инициализации и безопасности дополнительно в ответ на запрос подписи сертификата предоставляет в абонентское устройство данные инициализации и сертификат абонентского устройства, имеющий атрибуты санкционирования, связанные с данными инициализации, для того чтобы дать возможность самостоятельной инициализации абонентского устройства.
Теперь, обращаясь к фигурам и, в частности, к фиг.1, изображен пример системы 100 связи в соответствии с настоящим раскрытием. Система 100 связи включает в себя сервер 130 инициализации, имеющий в качестве пользователя, служащего инициализации и безопасности (PSO) 100, и провайдера 120 услуг инфраструктуры открытого ключа (PKI) «заказчика», который включает в себя один или более серверов PKI (не изображены). «Провайдер услуг» относится к человеку или объекту, который предоставляет услуги связи, такие как сохранение, иерархии доверия и/или доступ к связи с другими людьми или объектами. Человеческий пользователь абонентского устройства или пользователь радиоустройства далее в настоящей заявке «пользователь радиоустройства», изображен с абонентским устройством 102, которое является новым незапрограммированным или необеспеченным абонентским устройством, которое является функционально пригодным или дополнительно санкционированным, чтобы работать в системе связи 100, до осуществления уроков, приведенных в настоящей заявке.
Абонентское устройство взаимодействует с интерфейсом инициализации области функционирования (FPI) 110, для того чтобы сначала дистанционно получить «данные доступа к инициализации» из сервера 130 инициализации, а затем чтобы окончательно дистанционно получить «данные инициализации» из сервера 130 инициализации для того, чтобы работать в системе 100 связи. Как использованы в настоящей заявке, «данные доступа к инициализации» означают предварительные данные, которые, когда загружены в абонентское устройство, обеспечивают абонентское устройство параметрами конфигурирования, необходимыми для ограниченного доступа к системе связи через портал инициализации (например, сервер инициализации), для того, чтобы получить остальные данные, необходимые для абонентского устройства, для того, чтобы завершить процесс инициализации, для того чтобы полностью работать в системе. Примеры данных доступа к инициализации включают в себя идентифицированные радиочастотные (RF) каналы для доступа к порталу инициализации, функциональные возможности или признаки абонентского устройства, сетевые адреса (например, адреса протокола Internet (IP)) для сервера обеспечении и т.д. Как использованы в настоящей заявке, «данные инициализации» содержат остальные данные, которые абонентское устройство получает с помощью портала обеспечения, который предоставляет полный набор параметров конфигурирования, требуемых абонентским устройством для того, чтобы зарегистрироваться в системе связи и работать в ней. Данные инициализации включают в себя, например, адреса (например, IP) сетей, радиочастотные каналы, местоположения санкционированных услуг и другие параметры, связанные с сетью, такие как данные интервала времени, данные приоритета и правила доступа к сети. Кроме того, «дистанционное» относится к абонентскому устройству 102, которое физически не соединено с сервером 130 инициализации или не является смежным к нему, и такая дистанционная связь может иметь место через проводную или беспроводную сеть связи, которая соответствует конкретному осуществлению системы.
Как указано ранее, абонентское устройство является новым или иначе необеспеченным, или несконфигурированным, чтобы работать в системе связи, и в этот момент времени не имеет своего собственного сертификата, выпущенного PKI 120 заказчика. Однако абонентское устройство обеспечивают во время изготовления копией сертификата достоверной привязки, управляемой с помощью изготовителя абонентского устройства. Как будет описано позже, этот сертификат позволяет абонентскому устройству и серверу инициализации создавать цепочку достоверности обратно в эту общую достоверную привязку (достоверную привязку, управляемую с помощью изготовителя SU) для того, чтобы аутентифицировать стороны и данные инициализации, предоставленные в SU. Абонентское устройство 102 также упомянуто в данной области техники как устройство связи, клиентский объект, устройство доступа, терминал доступа, пользовательское оборудование, мобильная станция, мобильное абонентское устройство, мобильное устройство и тому подобное, и может быть любым стандартным устройством связи, таким как радиоустройство, мобильный телефон, двунаправленное радиоустройство, сотовый телефон и любое другое устройство, которое может связываться в беспроводной среде. В варианте осуществления FPI 110 и абонентское устройство 102 совместно используют общее устройство аппаратного обеспечения, т.е. они размещены в одном и том же физическом устройстве, в котором, например, FPI осуществлен как интерфейс программирования в абонентском устройстве. В альтернативном варианте осуществления FPI осуществлен с использованием отдельной платформы аппаратного обеспечения, такой как разрешенный интерфейс web, работающий в терминале компьютера, соединенном с абонентским устройством.
Сервер 130 инициализации и провайдер 120 услуг PKI со своим соответствующим сервером PKI (который содержит, по меньшей мере, источник сертификата для обслуживания запросов подписи сертификата выдачи сертификатов в ответ на запросы) проиллюстрированы как отдельные объекты на фиг.1. Кроме того, варианты осуществления раскрытия описаны ниже со ссылкой на два отдельных объекта. Однако в другом варианте осуществления, по меньшей мере, некоторые функциональные возможности сервера инициализации и сервера PKI объединены в один объект на общей платформе программного обеспечения и/или аппаратного обеспечения и упомянуты в настоящей заявке как сервер инициализации и безопасности, причем это понятие использовано взаимозаменяемо с понятием сервер инициализации.
Обычно абонентское устройство 102 и серверы (например, сервер 130 инициализации и сервер PKI, будь то отдельно или совместно), каждые осуществлены с использованием (несмотря на то, что не изображены) памяти, одного или более сетевых интерфейсов и устройства обработки, которые оперативно соединены и которые, когда запрограммированы, образуют средство для этих устройств, чтобы осуществлять их желаемые функциональные возможности, например, как проиллюстрировано с помощью ссылки на схемы передачи сигналов и последовательности этапов с 200 по 500, изображенные на фиг.2-фиг.5. Сетевые интерфейсы используют для прохода сигнализации (например сообщений, пакетов, дейтаграмм, кадров, суперкадров и тому подобного) между этими устройствами.
Осуществление сетевого интерфейса в конкретном устройстве зависит от конкретного типа сети, т.е. проводной и/или беспроводной, с которой соединено устройство. Например, когда сеть поддерживает проводную связь, интерфейсы могут содержать интерфейс последовательного порта (например, соответствующий стандарту RS-232), интерфейс параллельного порта, интерфейс Ethernet, интерфейс USB и/или интерфейс FireWire и тому подобные. Когда сеть поддерживает беспроводную связь, интерфейсы содержат элементы, включающие в себя элементы обработки, модуляции и приемопередатчика, которые действуют в соответствии с одним или более стандартами или патентованными беспроводными интерфейсами, причем некоторые из функциональных возможностей элементов обработки, модуляции и приемопередатчика могут быть выполнены посредством устройства обработки посредством запрограммированной логики, такой как приложения программного обеспечения или программно-аппаратное обеспечение, сохраненной в устройстве памяти конкретного устройства, или посредством аппаратного обеспечения.
Устройство обработки, используемое с помощью абонентского устройства 102 и серверов в системе 100, может быть запрограммировано с логикой программного обеспечения или программно-аппаратного обеспечения или кода для выполнения сигнализации, такой как сигнализация, включенная в диаграммы сигнализации, проиллюстрированные на фиг.2-фиг.5, и/или устройство обработки может быть осуществлено в аппаратном обеспечении, например, как конечный автомат или ASIC (интегральная схема прикладной ориентации). Память, осуществленная с помощью этих устройств, может включать в себя краткосрочное запоминающее устройство и/или долгосрочное запоминающее устройство различной информации, необходимой для работы соответственных устройств. Память дополнительно может сохранять программное обеспечение или программно-аппаратное обеспечение для программирования устройства обработки с логикой и кодом, необходимым для того, чтобы выполнять свои функциональные возможности.
Предоставление возможности пользователю 104 радиоустройства программировать абонентское устройство 102 дистанционно с данными инициализации и материалом настройки по ключу системы 100 связи включает в себя четыре предварительные фазы. Предварительные фазы служат для того, чтобы проверить и аутентифицировать опознавательный код нового абонентского устройства 102 до того, как абонентское устройство 102 сможет загрузить данные инициализации системы 100 связи, таким образом предотвращая или ограничивая, чтобы данные инициализации были использованы или загружены без санкционирования. Четыре фазы включают в себя: самозагрузку, регистрацию, конфигурирование и активацию абонентского устройства.
Во время фазы 200 самозагрузки, как изображено на фиг.2, пользователя 104 радиоустройства обеспечивают данными или материалами доступа к инициализации (использованными в настоящей заявке взаимозаменяемо) с помощью FPI 110, которые являются первоначальным множеством данных, которые дают возможность абонентскому устройству иметь ограниченный первоначальный доступ к порталу доступа к инициализации системы 100 связи, например, управляемому в сервер 130 инициализации. Данные доступа к инициализации включают в себя сетевые адреса для сервера 130 инициализации, по меньшей мере, один радиочастотный канал для того, чтобы осуществлять доступ к сети для посылки запроса подписи сертификата (CSR) (объясненного более подробно ниже), множество сертификатов, которые образуют цепочку или приводят обратно в достоверную привязку, управляемую с помощью изготовителя абонентского устройства (которая является общей достоверной привязкой для сервера 130 инициализации), функциональные возможности или признаки для абонентского устройства (названные в настоящей заявке «флэш-код») и т.д., но не ограничены ими.
Иллюстративно FPI 110 выполняют с помощью RU 104 на незащищенной вычислительной платформе, такой, что новое абонентское устройство 102 может инициировать обеспечение с системой связи 100. В варианте осуществления FPI 110 является устройством или приложением, чтобы программировать радиоустройство. Кроме того, платформа, на которой выполняется FPI, имеет интерфейс для общей карты доступа (САС), а абонентское устройство имеет защищенный интерфейс в интерфейс инициализации области функционирования FPI.
Владелец системы (100) связи с помощью PKI 120 заказчика обеспечивает каждого санкционированного пользователя (104) радиоустройства подписанным сертификатом, проверяющим открытый ключ RU и соответствующее санкционирование RU. Секретный ключ подписи RU (соответствующий открытому ключу) и сертификат для защиты такого санкционирования могут быть сохранены в общей карте доступа.
Данные доступа к инициализации защищают с помощью служащего защиты инициализации (PSO) 140 (или сервера инициализации). PSO является лицом, которое является ответственным за создание данных доступа к инициализации для SU. Сертификат PSO также выдают с помощью PKI заказчика. PSO 140 санкционирует или подписывает данные 202 доступа к инициализации с использованием цифровой подписи или сертификата сервера (130) инициализации.
В настоящем раскрытии материалы или данные доступа к инициализации дают возможность абонентскому устройству (102) осуществлять доступ только к ресурсам инициализации. Материал или данные доступа к инициализации включают в себя флэш-код, например, функциональные возможности/признаки идентификации абонентского устройства (102) и необходимые цепочки сертификата, которые используют с помощью абонентского устройства (102) для того, чтобы создать достоверный маршрут между сертификатом служащего (104) безопасности инициализации и сертификатом достоверной привязки, установленном в абонентском устройстве (102) с помощью изготовителя SU. Сертификат, такой как сертификат инфраструктуры открытого ключа (PKI) (также известный как цифровой сертификат или сертификат опознавательного кода), является электронным документом, который использует цифровую подпись для того, чтобы связать вместе открытый ключ с идентификатором объекта. Сертификат может быть использован для того, чтобы проверить, что открытый ключ принадлежит объекту. В типичной схеме инфраструктуры открытого ключа (PKI) подпись будет источника сертификатов (СА).
Подпись является либо собственно подписанным сертификатом или аттестациями пользователя. В любом случае подписи в сертификате являются подтверждениями с помощью лица, подписывающего сертификат, что информация опознавательного кода и открытый ключ соответствуют друг другу. Схема сертификации открытого ключа зависит от предварительно определенного допущения существования источника сертификатов или доверяемой третьей стороны.
Абонентское устройство 102 имеет два источника достоверностей («достоверную привязку»): достоверную привязку из общего PKI или PKI изготовителя («общую достоверную привязку»), которой управляют и администрируют с помощью изготовителя или завода для того, чтобы управлять ключами, чтобы защищать активы изготовителя или завода, и источник достоверности из PKI системы связи («достоверную привязку системы связи»), которой управляют и администрируют с помощью системы связи для того, чтобы управлять ключами, чтобы защищать активы системы связи.
По меньшей мере, один из двух источников достоверности обычно обеспечивают во время изготовления абонентского устройства. Кроме того, абонентское устройство также обеспечивают другой, программируемой достоверной привязкой, которая по умолчанию первоначально является опять общей достоверной привязкой, но которая может быть перепрограммирована, например, в ходе процесса инициализации, в соответствии с уроками, приведенными в настоящей заявке. Следовательно, для того чтобы абонентское устройство проверило достоверность сертификатов, выданных с помощью PKI системы связи, абонентское устройство требует цепочку сертификатов, которая связывает мостом общую достоверную привязку и достоверную привязку PKI системы связи.
Таким образом, в настоящем раскрытии во время фазы 200 самозагрузки создание цепочки сертификатов начинается с помощью служащего (140) безопасности инициализации с использованием сервера (130) инициализации и подписи материалов/данных (203), 202 доступа к инициализации. Подписанные данные доступа к инициализации включают в себя цепочку сертификатов.
Данные (203) доступа к инициализации передают в интерфейс (110) инициализации области функционирования. В одном варианте осуществления материалы доступа к инициализации передают пользователю (104) радиоустройства в 204, который загружает данные доступа к инициализации в интерфейс (110) инициализации области функционирования, 205. В другом варианте осуществления данные (203) доступа к инициализации передают из сервера (130) инициализации непосредственно в интерфейс (110) инициализации области функционирования, 206. В другом варианте осуществления владелец системы может предоставить материал доступа к инициализации санкционированному служащему защиты области функционирования (FSO), для которого FSO выполняет самозагрузку множества абонентских устройств и назначает группу пользователей в каждое абонентское устройство.
Сервер инициализации является сервером, который принимает «верительные данные» пользователя радиоустройства/абонентского устройства и специфические параметры регистрации абонентского устройства из подтвержденного запроса подписи подписанного сертификата, координирует различные материалы инициализации пользователя радиоустройства/абонентского устройства и абонентского устройства, доставляет материалы обеспечения в абонентское устройство и обеспечивает услуги пользователя радиоустройства/абонентского устройства в соответствующем провайдере (провайдерах) услуг.
Интерфейс (110) инициализации области эксплуатации передает подписанные материалы доступа к инициализации, 208, в абонентское устройство (102). Абонентское устройство (102) определяет, успешно ли проверена достоверность материалов (203) доступа к инициализации, 210, или, иначе говоря, аутентифицирует источник данных доступа к инициализации.
Чтобы определить аутентичность данных доступа к инициализации, абонентское устройство может проверить электронную подпись данных доступа к инициализации с помощью проверки ее относительно цепочки сертификатов обратно в общую достоверную привязку. Если источник данных доступа к инициализации не был подтвержден как достоверный или не был аутентифицирован, пользователя (104) радиоустройства информируют о неуспешном завершении проверки достоверности, 212. Если проверка на достоверность была успешной, данные (203) доступа к инициализации устанавливают в абонентском устройстве, 214. Таким образом, абонентское устройство (102) дистанционно приняло аутентифицированные данные доступа к инициализации.
Если абонентское устройство (102) самостоятельно загружено материалами доступа к инициализации, абонентское устройство (102) готово для фазы регистрации, 300 (фиг.3). На этой фазе в одном варианте осуществления пользователь (104) радиоустройства поддерживает свое абонентское устройство (102), чтобы зарегистрироваться в системе (100) связи. Например, пользователь (104) радиоустройства отдает команду абонентскому устройству (102) через интерфейс (110) инициализации области эксплуатации, чтобы сгенерировать пары секретного/открытого ключей с использованием источников энтропии абонентского устройства (102) или пользователя (104) радиоустройства, 302. SU 102 дополнительно генерирует запрос подписи сертификата, который SU подписывает с использованием секретного ключа до передачи запроса подписи сертификата в сервер инициализации.
Запрос подписи сертификата, сгенерированный с помощью абонентского устройства, отличается от стандартных запросов подписи сертификата тем, что он содержит «данные инициирования конфигурирования абонентского устройства», которые, как это понятие использовано в настоящей заявке, означают данные, которые использует сервер инициализации для того, чтобы инициировать генерацию данных инициализации для SU, которые позволят доступ SU ко всем признакам и услугам, санкционированным с помощью владельца системы связи. Инициирование инициализации абонентского устройства в варианте осуществления определяют/генерируют с помощью SU, и оно содержит, по меньшей мере, некоторые из данных доступа к инициализации, а именно флэш-код, который предоставляет указание о функциональных возможностях и/или признаках SU, а также может содержать другие данные, такие как идентификатор для абонентского устройства (например, ESN). Запрос подписи сертификата дополнительно включает в себя встроенный сертификат абонентского устройства, выданный с помощью общей достоверной привязки, и сертификат/подпись пользователя радиоустройства, который поддерживает абонентское устройство 102. Сертификат пользователя радиоустройства и/или абонентского устройства используют для того, чтобы аутентифицировать сгенерированный открытый ключ абонентского устройства. Встроенный сертификат абонентского устройства, выданный с помощью общей достоверной привязки, содержит информацию, чтобы идентифицировать абонентское устройство 102, например ESN абонентского устройства, тип или номер модели, версию программно-аппаратного обеспечения и тому подобное.
Абонентское устройство (102) передает запрос подписи сертификата в интерфейс (110) инициализации области эксплуатации, 306. Пользователь (104) радиоустройства использует интерфейс (110) инициализации области эксплуатации для того, чтобы подписать запрос подписи сертификата, 308. Затем интерфейс (110) инициализации области эксплуатации передает подписанный запрос подписи сертификата в сервер (130) инициализации, 310, с использованием ресурсов инициализации, заданных во время фазы самозагрузки, более конкретно канал доступа к инициализации (например RF-канал), идентифицированный в данных доступа к инициализации.
В другом варианте осуществления служащий защиты области эксплуатации, а не пользователь радиоустройства поддерживает абонентское устройство. Служащий защиты области эксплуатации указывает в запросе подписи сертификата, что это запрос подписи сертификата, поддержанный FSO, и задает группу пользователей абонентского устройства. В любом варианте осуществления абонентское устройство, имеющее переданный подписанный запрос подписи сертификата с данными инициирования конфигурирования абонентского устройства, готово для фазы конфигурирования.
Во время фазы 400 конфигурирования, как изображено на фиг.4, пользователя радиоустройства и абонентское устройство 102 конфигурируют с подходящими услугами системы связи в соответствии с назначенными привилегиями/санкционированием пользователя радиоустройства и функциональными возможностями абонентского устройства 102 (признаками/опциями и тому подобным), далее упоминаемыми в настоящей заявке как флэш-код абонентского устройства. Как упомянуто ранее, данные инициирования конфигурирования абонентского устройства включают в себя флэш-код и идентификатор для абонентского устройства (102). Идентификатор может быть электронным порядковым номером (ESN), который является строкой цифр, которые постоянно и уникально глобально идентифицируют радиоустройство.
После приема CSR абонентского устройства из интерфейса инициализации области эксплуатации сервер инициализации аутентифицирует подписи пользователя радиоустройства и абонентского устройства в CSR, чтобы гарантировать, что оно является легитимным участником системы связи. Сервер (130) инициализации принимает подписанный запрос подписи сертификата из интерфейса инициализации области использования и проверяет достоверность подписи пользователя радиоустройства и подпись запроса подписи сертификата абонентского устройства (секретный ключ), 402, 404, с помощью извлечения специфических параметров регистрации абонентского устройства (например, ESN абонентского устройства, флэш-кода абонентского устройства, типа абонентского устройства, номера модели абонентского устройства версии программно-аппаратного обеспечения абонентского устройства и встроенного сертификата абонентского устройства, выданного с помощью общего или заводского PKI) и «верительные данные» пользователя радиоустройства/абонентского устройства. Сервер инициализации выполняет просмотр базы данных в базах данных абонентских устройств с использованием специфических параметров регистрации абонентского устройства для того, чтобы проверить, было ли абонентское устройство ранее зарегистрировано, или это первая регистрация абонентского устройства. Сервер инициализации также проверяет достоверность флэш-кода абонентского устройства, чтобы гарантировать, что абонентское устройство имеет легитимный флэш-код.
Если подписи не выдерживают проверки достоверности, сервер инициализации делает вывод, что абонентское устройство скомпрометировано, и информирует пользователя радиоустройства и/или интерфейс инициализации области эксплуатации, 406.
Если подписи проходят проверку достоверности, сервер инициализации извлекает из идентификатора абонентского устройства CSR абонентского устройства, флэш-код абонентского устройства, общую достоверную привязку и сертификат пользователя радиоустройства, 408. Используя идентификатор абонентского устройства, сервер инициализации ищет базу данных абонентского устройства и определяет, было ли абонентское устройство ранее обеспечено в системе связи, 410, 412.
Если абонентское устройство ранее было зарегистрировано, сервер инициализации извлекает ранее зарегистрированный флэш-код для абонентского устройства, 414, и выполняет сравнение данных, чтобы гарантировать, что информация об абонентском устройстве, содержащаяся в базе данных абонентского устройства системы связи, является синхронной с информацией, представленной с помощью абонентского устройства, причем синхронизированные или проверенные данные флэш-кода относительно функциональных возможностей SU составляют часть данных инициализации для SU.
Если абонентское устройство ранее не было зарегистрировано в системе связи, сервер инициализации регистрирует абонентское устройство с помощью базы данных абонентского устройства (регистрирует ESN, флэш-код и сертификат общей достоверной привязки абонентского устройства в базу данных), 416, причем зарегистрированные данные флэш-кода относительно функциональных возможностей SU составляют часть данных инициализации для SU.
Используя «верительные данные» пользователя радиоустройства/абонентского устройства, извлеченные из сертификата или CSR пользователя радиоустройства/абонентского устройства, сервер инициализации выполняет просмотр базы данных в базах данных пользователя радиоустройства/абонентского устройства, 430, 432, чтобы извлечь множество привилегий пользователя радиоустройства/абонентского устройства. Сервер инициализации отображает привилегии пользователя радиоустройства/абонентского устройства в специфическое множество санкционированных услуг, с помощью которого сервер инициализации определяет подходящего провайдера услуг сети и соответствующую информацию, которая будет использована для того, чтобы зарегистрировать пользователя радиоустройства/абонентское устройство в эти услуги. Для того чтобы гарантировать совместимость абонентского устройства с услугами, предложенными сетью, функциональные возможности абонентского устройства (разрешенные признаки/опции) должны быть зарегистрированы с помощью подходящего провайдера услуг.
Используя извлеченный флэш-код, содержащийся в CSR, сервер инициализации определяет поддерживаемые услуги сети абонентского устройства и определяет, в какие санкционированные услуги сети зарегистрировать пользователя радиоустройства, 420. Затем сервер инициализации регистрирует абонентское устройство с помощью каждого провайдера услуг, 420. Кроме того, сервер инициализации обновляет запрос подписи сертификата абонентского устройства с помощью указания санкционированных услуг или атрибутов санкционирования SU, связанных с данными инициализации, и подписывает с помощью секретного ключа служащего безопасности инициализации, 421.
В варианте осуществления, в котором FSO поддерживает абонентское устройство, сервер инициализации запрашивает базу данных группы пользователей для того, чтобы извлечь привилегии группы. Сервер инициализации отображает привилегии группы в специфическое множество санкционированных услуг, с помощью которых сервер инициализации определяет подходящего провайдера услуг сети и соответствующую информацию, которая будет использована для того, чтобы зарегистрировать группу в эти услуги.
Сервер инициализации передает обновленный/модифицированный запрос подписи сертификата провайдеру (120) услуг PKI, 422, и регистрирует пользователя радиоустройства и абонентское устройство провайдеру услуг, такому как провайдер (434) услуг обмена текстовыми сообщениями, в 424.
В ответ на обновленный запрос подписи сертификата, который был передан, провайдер (120) услуг PKI передает в сервер (130) инициализации подписанный сертификат абонентского устройства, имеющий атрибуты санкционирования, связанные с данными инициализации (которые предоставляют указание о санкционировании SU для того, чтобы использовать определенных провайдеров услуг), а также достоверные привязки для абонентского устройства (например, достоверную привязку системы связи и общую достоверную привязку), в 426. Затем сервер (130) инициализации может сгенерировать кодовую вставку (т.е. подписанный сертификат абонентского устройства, цепочку достоверных точек привязки абонентского устройства и данные инициализации абонентского устройства).
Специфический для провайдера услуг PKI абонентского устройства сервер инициализации отображает параметры конфигурирования провайдера услуг, поддерживаемые абонентским устройством, в подходящие атрибуты санкционирования сертификата абонентского устройства, расширения и ограничения, для которых сервер инициализации обновляет CSR абонентского устройства и передает обновленный запрос регистрации источнику выдачи сертификата.
Например, по умолчанию абонентскому устройству разрешено иметь услуги радиодоступа и обмена текстовыми сообщениями. Во время первоначальной фазы конфигурирования абонентского устройства сервер инициализации извлекает санкционированные услуги пользователя радиоустройства/абонентского устройства (в этом примере: радиодоступ и обмен текстовыми сообщениями), и регистрирует пользователя радиоустройства/абонентского устройства в провайдеров услуг радиодоступа и обмена сообщениями, в 424, и принимает подтверждение приема такой регистрации, в 436. Независимо сервер инициализации извлекает признаки/опции (допускающие данных) и регистрирует абонентское устройство в каждого из провайдеров услуг.
В ответ на процедуру конфигурирования сервера инициализации каждый провайдер услуг отвечает с помощью материала инициализации услуг сети абонентского устройства, для которого сервер инициализации отображает эти материалы инициализации услуг сети в соответствующий специфический загружаемый объект инициализации абонентского устройства, в соответствии с моделью и изготовителем абонентских устройств, 428. Например, специфический загружаемый объект инициализации абонентского устройства для услуги PKI включает в себя сертификат абонентского устройства, сертификаты источника доверия достоверного пространства заказчика абонентского устройства (достоверную привязку системы связи), для услуги радиодоступа может включать в себя функции кнопок/управления абонентского устройства, карту парка абонентского устройства) и частоту/канал абонентского устройства. Сервер инициализации объединяет каждый объект инициализации в кодовую вставку абонентского устройства, которую затем шифруют с помощью сертификата абонентского устройства и подписанного сертификата PSO. При наличии своей кодовой вставки абонентское устройство (102) подготовлено для активации в систему (100) связи.
Фаза активации, изображенная на фиг.5, начинается, когда сервер инициализации успешно создал объект специфической кодовой вставки абонентского устройства и готов для того, чтобы доставить объект кодовой вставки абонентского устройства в абонентское устройство. Сервер (130) инициализации доставляет специфические кодовые вставки абонентского устройства (102) в абонентское устройство (102) с помощью пользователя (104) радиоустройства, 502, и интерфейса (110) инициализации области эксплуатации, 504.
Интерфейс (110) инициализации области эксплуатации передает кодовую вставку в абонентское устройство (102), 506. Когда абонентское устройство 102 принимает подписанную кодовую вставку, абонентское устройство (102) проверяет достоверность цифровой подписи PSO (140) относительно сертификата общей достоверной привязки, 508. Когда абонентское устройство (102) успешно проверяет достоверность цифровой подписи PSO (140), абонентское устройство дешифрует подписанный объект с помощью своего секретного ключа, 512. Затем абонентское устройство (102) устанавливает кодовую вставку, 516. Относительно услуги достоверной привязки/PKI абонентское устройство меняет программируемую достоверную привязку абонентского устройства из общей достоверной привязки по умолчанию на достоверную привязку системы связи. Абонентское устройство готово для того, чтобы использовать услуги, предоставляемые с помощью системы/сети связи.
На всех вышеописанных фазах между сервером инициализации и интерфейсом инициализации области эксплуатации может быть использована беспроводная или проводная линия связи. Одним иллюстративным транспортным механизмом является выполнение оперативных транзакций в реальном времени с использованием SSL/TSL. Вторым иллюстративным транспортным механизмом является выполнение оперативных транзакций не в реальном времени, например электронную почту. Когда между этими устройствами нет оперативной линии связи, устройство может запоминать информацию в сменном запоминающем устройстве, которая может быть транспортирована с помощью автономного транспортного механизма.
Преимущества настоящего раскрытия будут оценены специалистами в данной области техники. Новое абонентское устройство может быть безопасно обеспечено дистанционно без необходимости быть в физическом контакте с сервером инициализации или смежным к нему и может поддерживать эффективное и экономичное управление ключами.
В предыдущей спецификации описаны специфические варианты осуществления. Однако обычный специалист в данной области техники понимает, что различные модификации и изменения могут быть сделаны, не выходя за рамки объема изобретения, которые приведены в формуле изобретения ниже. Таким образом, спецификация и фигуры должны быть рассмотрены в иллюстративном, а не ограничительном смысле, и подразумевают, что все такие модификации включены в рамки объема настоящих уроков. Выгоды, преимущества, решения проблем и любой элемент (элементы), которые могут заставить любое преимущество, выгоду или решение случаться или становиться более определенным, не должны быть истолкованы как критические, необходимые или обязательные признаки или элементы любого из всех пунктов формулы изобретения. Изобретение определено исключительно с помощью прилагаемой формулы изобретения, включая любые поправки, сделанные во время рассмотрения этой заявки, и все эквиваленты этой формулы изобретения, как изданные.
Кроме того, в этом документе термины отношения, такие как «первый» и «второй», «верхний» и «нижний», и тому подобные могут быть использованы только для того, чтобы отличать один объект или действие от другого объекта или действия, без обязательного требования или подразумевания любой фактической такой зависимости или последовательности между такими объектами или действиями. Подразумевают, что термины «содержит», «содержащий», «имеет», «имеющий», «включает в себя», «включающий в себя», «содержит в себе», «содержащий в себе» или любые другие их разновидности охватывают не исключающее включение, такое как процесс, способ, изделие производства или устройство, которое содержит, имеет, включает в себя, содержит в себе список элементов, который не только включает в себя эти элементы, но также может включать в себя другие элементы, специально не перечисленные или присущие такому процессу, способу, изделию производства или устройству. Элемент, продолженный с помощью «содержит что-то», «имеет что-то», не исключает, без дополнительных ограничений, существование дополнительных идентичных элементов в процессе, способе, изделии производства или устройстве, которое содержит, имеет, включает в себя, содержит в себе элемент. Термины единственного числа определены как один или более, если в настоящей заявке явно не указано иначе. Термины «по существу», «в сущности», «приблизительно», «почти» или любая другая их версия определены как являющиеся близкими к тому, как понятно обычному специалисту в данной области техники. Устройство или структура, которые «сконфигурированы» определенным способом, сконфигурированы, по меньшей мере, этим способом, но также могут быть сконфигурированы способами, которые не перечислены. Также последовательность этапов в блок-схеме последовательности этапов или элементов в формуле изобретения, даже когда продолжена с помощью буквы, не подразумевает или не требует такой последовательности.
Будет понятно, что некоторые варианты осуществления могут состоять из одного или более универсальных или специализированных процессоров (или «устройств обработки»), таких как микропроцессоры, процессоры цифровых сигналов, заказных процессоров и вентильных матриц, программируемых в условиях эксплуатации (FPGA) и уникальных сохраненных программных инструкций (включая как программное обеспечение, так и программно-аппаратное обеспечение), которые управляют одним или более процессорами для того, чтобы осуществлять, совместно с определенными непроцессорными схемами, некоторые, большинство или все функции способа и/или устройства для указания статуса каналов, назначенных … описанной в настоящей заявке. Непроцессорные схемы могут включать в себя приемник абонентского устройства, передатчик абонентского устройства, драйверы сигналов, схемы тактовых генераторов, схемы источников питания и пользовательские устройства ввода, но не ограничены ими. По существу эти функции могут быть интерпретированы как этапы способа, чтобы выполнять указание статуса каналов, назначенных группе общения, описанной в настоящей заявке. В качестве альтернативы некоторые или все функции могли бы быть осуществлены с помощью конечного автомата, который не имеет сохраненных программных инструкций, или в одной или более интегральных схем прикладной ориентации (ASIC), в которых каждая функция или некоторые комбинации определенных функций осуществлены как заказная логика. Конечно, могла бы быть использована комбинация двух подходов. Как конечный автомат, так и ASIC рассмотрены в настоящей заявке как «устройство обработки» для целей языка предыдущего обсуждения и формулы изобретения.
Кроме того, вариант осуществления может быть осуществлен как элемент или носитель памяти, доступный для чтения с помощью компьютера, имеющий сохраненный на нем код, доступный для чтения с помощью компьютера, предназначенный для программирования компьютера (например, содержащего устройство обработки) для того, чтобы выполнять способ, как описан и заявлен в настоящей заявке. Примеры таких элементов памяти, доступных для чтения с помощью компьютера, включают жесткий диск, CD-ROM, устройство оптической памяти, устройство магнитной памяти, ROM (память, доступную только по чтению), PROM (программируемую память, доступную только по чтению), EPROM (стираемую программируемую память, доступную только по чтению), EEPROM (электрически стираемую программируемую память, доступную только по чтению) и флэш-память, но не ограничены ими. Кроме того, предполагают, что обычный специалист, возможно, несмотря на значительное усилие и многие альтернативы разработки, мотивируемый, например, имеющимся временем, современной технологией и экономическими соображениями, руководимый концепциями и принципами, раскрытыми в настоящей заявке, без труда сможет сгенерировать такие инструкции программного обеспечения, и программы и интегральные схемы с минимальным экспериментированием.
Реферат и раскрытие предоставлены для того, чтобы позволить читателю быстро выяснить сущность технического раскрытия. Предполагают с пониманием, что оно не будет использовано для того, чтобы интерпретировать или ограничивать рамки объема или смысл формулы изобретения. Кроме того, в предыдущем подробном описании можно понять, что различные признаки сгруппированы вместе в различных вариантах осуществления с целью упрощения раскрытия. Этот способ раскрытия не должен быть интерпретирован как отражающий намерение, что заявленные варианты осуществления требуют больше признаков, чем специально перечислено в каждом пункте формулы изобретения. Вернее, как отражает следующая формула изобретения, изобретательный предмет заключается менее чем во всех признаках одного раскрытого варианта осуществления. Следовательно, следующая формула изобретения, таким образом, включена в подробное описание, причем каждый пункт формулы изобретения основывается на своем собственном отдельно заявленном предмете.

Claims (20)

1. Способ предоставления возможности безопасной самостоятельной инициализации абонентского устройства в систему связи, причем способ содержит этапы, на которых
в сервере инициализации и безопасности
принимают, из абонентского устройства, которому ранее были предоставлены данные доступа к инициализации, запрос подписи сертификата, содержащий данные инициирования конфигурирования абонентского устройства,
генерируют данные инициализации для абонентского устройства с использованием данных инициирования конфигурирования абонентского устройства и
в ответ на запрос подписи сертификата предоставляют в абонентское устройство данные инициализации и сертификат абонентского устройства, имеющий атрибуты санкционирования, связанные с данными инициализации, чтобы предоставить возможность самостоятельной инициализации абонентского устройства.
2. Способ по п.1, дополнительно содержащий этапы, на которых
модифицируют запрос подписи сертификата с помощью указания атрибутов санкционирования и передают модифицированный запрос подписи сертификата провайдеру услуг инфраструктуры открытого ключа (PKI),
принимают от провайдера услуг PKI подписанный сертификат, имеющий атрибуты санкционирования, который предоставляют в абонентское устройство.
3. Способ по п.1, в котором данные инициирования конфигурирования абонентского устройства содержат функциональные возможности и идентификатор для абонентского устройства.
4. Способ по п.3, в котором этап, на котором генерируют данные инициализации для абонентского устройства с использованием данных инициирования конфигурирования абонентского устройства, содержит этапы, на которых:
запрашивают базу данных абонентского устройства для того, чтобы определить на основании функциональных возможностей и идентификатора абонентского устройства, зарегистрировано ли уже абонентское устройство в базе данных абонентского устройства,
когда абонентское устройство еще не зарегистрировано в базе данных абонентского устройства, регистрируют функциональные возможности и идентификатор абонентского устройства, причем данные инициализации содержат зарегистрированные функциональные возможности абонентского устройства,
когда абонентское устройство уже зарегистрировано в базе данных абонентского устройства, проверяют функциональные возможности и идентификатор абонентского устройства, причем данные инициализации содержат проверенные функциональные возможности абонентского устройства.
5. Способ по п.4, дополнительно содержащий этап, на котором
регистрируют абонентское устройство, по меньшей мере, с помощью одного провайдера услуг на основании данных инициализации для абонентского устройства, причем атрибуты санкционирования, содержащиеся в сертификате абонентского устройства, включают в себя указание санкционирования использовать, по меньшей мере, одного провайдера услуг.
6. Способ по п.3, в котором функциональные возможности абонентского устройства предоставляют в данных доступа к инициализации в абонентское устройство, по меньшей мере, из одного сервера инициализации и безопасности или интерфейса инициализации области эксплуатации до приема сервером инициализации и безопасности запроса подписи сертификата.
7. Способ по п.1, дополнительно содержащий этап, на котором предоставляют в абонентское устройство сертификат достоверной привязки, соответствующий сертификату абонентского устройства.
8. Способ по п.1, дополнительно содержащий этап, на котором определяют санкционированные привилегии пользователя абонентского устройства и регистрируют пользователя, по меньшей мере, с помощью одного провайдера услуг на основании санкционированных привилегий пользователя.
9. Способ по п.1, дополнительно содержащий этап, на котором аутентифицируют абонентское устройство с помощью проверки электронной подписи, примененной с помощью абонентского устройства к запросу подписи сертификата, и проверяют копию сертификата общей достоверной привязки, принятую из абонентского устройства с запросом подписи сертификата, относительно цепочки сертификатов назад в общую достоверную привязку.
10. Способ по п.9, дополнительно содержащий этап, на котором аутентифицируют пользователя абонентского устройства с помощью проверки электронной подписи, примененной с помощью пользователя к запросу подписи сертификата, и проверяют копию сертификата пользователя, выданного с помощью провайдера услуг PKI, относительно цепочки сертификатов назад в достоверную привязку провайдера услуг PKI.
11. Способ предоставления возможности безопасной самостоятельной инициализации абонентского устройства в систему связи, причем способ содержит этапы, на которых
в абонентском устройстве
принимают данные доступа к инициализации,
генерируют данные инициирования конфигурирования абонентского устройства из подмножества данных доступа к инициализации,
генерируют запрос подписи сертификата, который включает в себя данные инициирования конфигурирования абонентского устройства, и передают запрос подписи сертификата в сервер инициализации и безопасности,
принимают, из сервера инициализации и безопасности в ответ на запрос подписи сертификата, данные инициализации и сертификат абонентского устройства, имеющий атрибуты санкционирования, связанные с данными инициализации, и
обеспечивают абонентское устройство данными инициализации.
12. Способ по п.11, в котором подмножество данных доступа к инициализации содержит функциональные возможности абонентского устройства.
13. Способ по п.12, в котором данные инициирования конфигурирования абонентского устройства содержат функциональные возможности абонентского устройства и идентификатор для абонентского устройства.
14. Способ по п.11, в котором запрос подписи сертификата передают через канал доступа к инициализации, идентифицированный в данных доступа к инициализации.
15. Способ по п.11, дополнительно содержащий этап, на котором абонентское устройство аутентифицирует источник данных доступа к инициализации.
16. Способ по п.15, в котором этап, на котором аутентифицируют источник данных доступа к инициализации, содержит этапы, на которых
в абонентском устройстве
сохраняют копию сертификата общей достоверной привязки и
проверяют электронную подпись, примененную к данным доступа к инициализации с помощью источника данных доступа к инициализации, и проверяют сертификат источника данных доступа к инициализации относительно цепочки сертификатов назад в общую достоверную привязку.
17. Способ по п.15, в котором данные доступа к инициализации загружают в абонентское устройство с помощью незащищенного интерфейса инициализации области эксплуатации.
18. Способ по п.11, дополнительно содержащий этап, на котором
генерируют пару открытого/секретного ключей и подписывают запрос подписи сертификата с помощью секретного ключа до передачи запроса подписи сертификата в сервер инициализации и безопасности, причем сертификат абонентского устройства аутентифицирует сгенерированный открытый ключ абонентского устройства.
19. Способ по п.11, дополнительно содержащий этап, на котором проверяют с использованием методики инфраструктуры открытого ключа электронную подпись, примененную к данным инициализации, до обеспечения абонентского устройства данными инициализации.
20. Способ по п.11, в котором запрос подписи сертификата содержит электронную подпись, примененную с помощью пользователя абонентского устройства, с помощью секретного ключа пользователя, чтобы предоставить возможность аутентификации пользователя в сервере инициализации и безопасности.
RU2012132318/08A 2009-12-28 2010-12-06 Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи RU2515809C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/647,858 2009-12-28
US12/647,858 US20110161659A1 (en) 2009-12-28 2009-12-28 Method to enable secure self-provisioning of subscriber units in a communication system
PCT/US2010/059060 WO2011081784A1 (en) 2009-12-28 2010-12-06 Methods to enable secure self-provisioning of subscriber units in a communication system

Publications (2)

Publication Number Publication Date
RU2012132318A RU2012132318A (ru) 2014-02-10
RU2515809C2 true RU2515809C2 (ru) 2014-05-20

Family

ID=43499815

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012132318/08A RU2515809C2 (ru) 2009-12-28 2010-12-06 Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи

Country Status (7)

Country Link
US (1) US20110161659A1 (ru)
EP (1) EP2520061B1 (ru)
AU (1) AU2010337226B2 (ru)
CA (1) CA2785430A1 (ru)
IL (1) IL220537A0 (ru)
RU (1) RU2515809C2 (ru)
WO (1) WO2011081784A1 (ru)

Families Citing this family (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9170870B1 (en) 2013-08-27 2015-10-27 Sprint Communications Company L.P. Development and testing of payload receipt by a portable electronic device
US8763089B2 (en) * 2010-01-12 2014-06-24 Microsoft Corporation Flexible authentication and authorization mechanism
DE102010044518A1 (de) * 2010-09-07 2012-03-08 Siemens Aktiengesellschaft Verfahren zur Zertifikats-basierten Authentisierung
US9769657B2 (en) * 2011-04-05 2017-09-19 Valid Soluciones Tecnologicas, S.A.U. Method and system for the remote provisioning of subscription
US8612967B1 (en) 2011-05-31 2013-12-17 Sprint Communications Company L.P. Loading branded media outside system partition
US9407433B1 (en) * 2011-08-10 2016-08-02 Nutanix, Inc. Mechanism for implementing key-based security for nodes within a networked virtualization environment for storage management
EP2587715B1 (en) * 2011-09-20 2017-01-04 BlackBerry Limited Assisted certificate enrollment
US8666383B1 (en) 2011-12-23 2014-03-04 Sprint Communications Company L.P. Automated branding of generic applications
US10455071B2 (en) 2012-05-09 2019-10-22 Sprint Communications Company L.P. Self-identification of brand and branded firmware installation in a generic electronic device
US9130837B2 (en) * 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US10257161B2 (en) 2012-05-22 2019-04-09 Cisco Technology, Inc. Using neighbor discovery to create trust information for other applications
GB2504506B (en) 2012-07-31 2019-04-17 Metaswitch Networks Ltd Managing remote telephony device configuration
US9198027B2 (en) 2012-09-18 2015-11-24 Sprint Communications Company L.P. Generic mobile devices customization framework
US8909291B1 (en) 2013-01-18 2014-12-09 Sprint Communications Company L.P. Dynamic remotely managed SIM profile
US9451446B2 (en) 2013-01-18 2016-09-20 Sprint Communications Company L.P. SIM profile brokering system
US9549009B1 (en) 2013-02-08 2017-01-17 Sprint Communications Company L.P. Electronic fixed brand labeling
US9100769B2 (en) 2013-02-08 2015-08-04 Sprint Communications Company L.P. System and method of storing service brand packages on a mobile device
US9100819B2 (en) * 2013-02-08 2015-08-04 Sprint-Communications Company L.P. System and method of provisioning and reprovisioning a mobile device based on self-locating
DE102013203101A1 (de) * 2013-02-26 2014-08-28 Siemens Aktiengesellschaft Erweitern der Attribute einer Credentialanforderung
US9026105B2 (en) 2013-03-14 2015-05-05 Sprint Communications Company L.P. System for activating and customizing a mobile device via near field communication
US9204286B1 (en) 2013-03-15 2015-12-01 Sprint Communications Company L.P. System and method of branding and labeling a mobile device
US9042877B1 (en) 2013-05-21 2015-05-26 Sprint Communications Company L.P. System and method for retrofitting a branding framework into a mobile communication device
US9280483B1 (en) 2013-05-22 2016-03-08 Sprint Communications Company L.P. Rebranding a portable electronic device while maintaining user data
US9532211B1 (en) 2013-08-15 2016-12-27 Sprint Communications Company L.P. Directing server connection based on location identifier
US9161209B1 (en) 2013-08-21 2015-10-13 Sprint Communications Company L.P. Multi-step mobile device initiation with intermediate partial reset
US9143924B1 (en) 2013-08-27 2015-09-22 Sprint Communications Company L.P. Segmented customization payload delivery
US9204239B1 (en) 2013-08-27 2015-12-01 Sprint Communications Company L.P. Segmented customization package within distributed server architecture
US9125037B2 (en) 2013-08-27 2015-09-01 Sprint Communications Company L.P. System and methods for deferred and remote device branding
US9258128B1 (en) * 2013-08-30 2016-02-09 Symantec Corporation Systems and methods for creating customer-specific tools for generating certificate signing requests
US20150113285A1 (en) * 2013-10-18 2015-04-23 International Business Machines Corporation Multiple application platform owner keys in a secure object computer system
US9743271B2 (en) 2013-10-23 2017-08-22 Sprint Communications Company L.P. Delivery of branding content and customizations to a mobile communication device
US10506398B2 (en) 2013-10-23 2019-12-10 Sprint Communications Company Lp. Implementation of remotely hosted branding content and customizations
US9301081B1 (en) 2013-11-06 2016-03-29 Sprint Communications Company L.P. Delivery of oversized branding elements for customization
US9363622B1 (en) 2013-11-08 2016-06-07 Sprint Communications Company L.P. Separation of client identification composition from customization payload to original equipment manufacturer layer
US9161325B1 (en) 2013-11-20 2015-10-13 Sprint Communications Company L.P. Subscriber identity module virtualization
US9392395B1 (en) 2014-01-16 2016-07-12 Sprint Communications Company L.P. Background delivery of device configuration and branding
US9603009B1 (en) 2014-01-24 2017-03-21 Sprint Communications Company L.P. System and method of branding a device independent of device activation
US9420496B1 (en) 2014-01-24 2016-08-16 Sprint Communications Company L.P. Activation sequence using permission based connection to network
US9681251B1 (en) 2014-03-31 2017-06-13 Sprint Communications Company L.P. Customization for preloaded applications
GB2527276B (en) * 2014-04-25 2020-08-05 Huawei Tech Co Ltd Providing network credentials
GB2526619A (en) * 2014-05-30 2015-12-02 Vodafone Ip Licensing Ltd Service provisioning
US9426641B1 (en) 2014-06-05 2016-08-23 Sprint Communications Company L.P. Multiple carrier partition dynamic access on a mobile device
US9307400B1 (en) 2014-09-02 2016-04-05 Sprint Communications Company L.P. System and method of efficient mobile device network brand customization
US9992326B1 (en) 2014-10-31 2018-06-05 Sprint Communications Company L.P. Out of the box experience (OOBE) country choice using Wi-Fi layer transmission
EP3024168A1 (en) * 2014-11-19 2016-05-25 Motorola Solutions, Inc. Method and apparatus for managing certificates
EP3024167A1 (en) * 2014-11-19 2016-05-25 Motorola Solutions, Inc. Method and apparatus for automating selection of certificate management policies during issuance of a certificate
CN105704108B (zh) * 2014-11-28 2019-02-12 中国电信股份有限公司 用于安全认证的方法、能力开放平台和系统
US9357378B1 (en) 2015-03-04 2016-05-31 Sprint Communications Company L.P. Subscriber identity module (SIM) card initiation of custom application launcher installation on a mobile communication device
US9398462B1 (en) 2015-03-04 2016-07-19 Sprint Communications Company L.P. Network access tiered based on application launcher installation
EP3291504B1 (en) * 2016-08-30 2020-03-11 Wacom Co., Ltd. Authentication and secure transmission of data between signature devices and host computers using transport layer security
US9913132B1 (en) 2016-09-14 2018-03-06 Sprint Communications Company L.P. System and method of mobile phone customization based on universal manifest
US10021240B1 (en) 2016-09-16 2018-07-10 Sprint Communications Company L.P. System and method of mobile phone customization based on universal manifest with feature override
CN106789194B (zh) * 2016-12-02 2019-12-03 国网安徽省电力公司信息通信分公司 跨专业协同的电力通信业务故障自动诊断定位方法
US11095449B2 (en) * 2016-12-16 2021-08-17 Visa International Service Association System and method for securely processing an electronic identity
US10868803B2 (en) 2017-01-13 2020-12-15 Parallel Wireless, Inc. Multi-stage secure network element certificate provisioning in a distributed mobile access network
CN108696868B (zh) 2017-03-01 2020-06-19 西安西电捷通无线网络通信股份有限公司 用于网络连接的凭证信息的处理方法和装置
US10313132B2 (en) * 2017-03-09 2019-06-04 Getac Technology Corporation Method and system for importing and exporting configurations
DE102017105150A1 (de) * 2017-03-10 2018-09-13 Getac Technology Corporation Verfahren und System zum Importieren und Exportieren von Konfigurationen
US20180288035A1 (en) * 2017-03-30 2018-10-04 Avaya Inc. Device enrollment service system and method
US10530865B2 (en) * 2017-04-19 2020-01-07 Vmware, Inc. Offline sideloading for enrollment of devices in a mobile device management system
US10306433B1 (en) 2017-05-01 2019-05-28 Sprint Communications Company L.P. Mobile phone differentiated user set-up
FR3074324B1 (fr) * 2017-11-28 2020-01-17 Schneider Electric Industries Sas Procede d'inscription securisee d'un appareil electrique amovible lors de son installation au sein d'un systeme electrique
CN109982150B (zh) * 2017-12-27 2020-06-23 国家新闻出版广电总局广播科学研究院 智能电视终端的信任链建立方法和智能电视终端
US20190349880A1 (en) * 2018-05-14 2019-11-14 Motorola Solutions, Inc. Automatic communication device out of box configuration
US10477388B1 (en) * 2018-05-14 2019-11-12 Motorola Solutions, Inc. Automatic device fulfillment configuration
US10979232B2 (en) * 2018-05-31 2021-04-13 Motorola Solutions, Inc. Method for provisioning device certificates for electronic processors in untrusted environments
US11139989B2 (en) * 2019-08-30 2021-10-05 Motorola Solutions, Inc. Method of enrolling a device into a PKI domain for certificate management using factory key provisioning
US11870768B1 (en) * 2020-04-10 2024-01-09 Cisco Technology, Inc. Certificate-based techniques to securely onboard a radio interface unit
US11457343B2 (en) * 2020-12-11 2022-09-27 Motorola Solutions, Inc. Device, method and system for controlling provisioning of a mobile device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2008104032A (ru) * 2005-06-29 2009-08-10 Нокиа Корпорейшн (Fi) Система, терминал, сетевой объект, способ и компьютерный программный продукт для авторизации коммуникационных сообщений

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6073012A (en) * 1997-10-04 2000-06-06 Motorola, Inc. System for defining an individual subscriber unit location within a wireless communication system and method therefor
WO2001047232A2 (en) * 1999-12-22 2001-06-28 Transnexus, Inc. Secure enrollment of a device with a clearinghouse server for internet telephony system
US20060039564A1 (en) * 2000-11-17 2006-02-23 Bindu Rama Rao Security for device management and firmware updates in an operator network
CA2356823C (en) * 2001-09-10 2010-05-11 Research In Motion Limited System and method for real time self-provisioning for a mobile communication device
GB2385955A (en) * 2002-02-28 2003-09-03 Ibm Key certification using certificate chains
WO2004040881A1 (en) * 2002-10-31 2004-05-13 Nokia Corporation Method and system for initiating a bootstrap
US20040255037A1 (en) * 2002-11-27 2004-12-16 Corvari Lawrence J. System and method for authentication and security in a communication system
US7386721B1 (en) * 2003-03-12 2008-06-10 Cisco Technology, Inc. Method and apparatus for integrated provisioning of a network device with configuration information and identity certification
US7602770B2 (en) * 2004-08-23 2009-10-13 Avaya Inc. Telecommunication terminal identification on a switching system
US20060068765A1 (en) * 2004-09-30 2006-03-30 Motorola, Inc. Method and system of updating a function value on a subscriber unit and a network
US9282455B2 (en) * 2004-10-01 2016-03-08 Intel Corporation System and method for user certificate initiation, distribution, and provisioning in converged WLAN-WWAN interworking networks
US7716139B2 (en) * 2004-10-29 2010-05-11 Research In Motion Limited System and method for verifying digital signatures on certificates
US7844816B2 (en) * 2005-06-08 2010-11-30 International Business Machines Corporation Relying party trust anchor based public key technology framework
US8527770B2 (en) * 2006-07-20 2013-09-03 Research In Motion Limited System and method for provisioning device certificates
JP5464794B2 (ja) * 2006-07-24 2014-04-09 コニカミノルタ株式会社 ネットワーク管理方法およびネットワーク管理システム
US8761401B2 (en) * 2006-08-28 2014-06-24 Motorola Mobility Llc System and method for secure key distribution to manufactured products
US8050242B2 (en) * 2007-03-01 2011-11-01 Clear Wireless Llc Method and system for tailoring device provisioning based on device capability information communicated to network
US8391487B2 (en) * 2007-07-24 2013-03-05 Cisco Technology, Inc. Secure remote configuration of device capabilities
US8412806B2 (en) * 2007-11-14 2013-04-02 Red Hat, Inc. Setting a preliminary time on a network appliance using a message received from a server
US8191123B2 (en) * 2007-11-27 2012-05-29 Red Hat, Inc. Provisioning a network appliance

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2008104032A (ru) * 2005-06-29 2009-08-10 Нокиа Корпорейшн (Fi) Система, терминал, сетевой объект, способ и компьютерный программный продукт для авторизации коммуникационных сообщений

Also Published As

Publication number Publication date
EP2520061B1 (en) 2013-10-02
EP2520061A1 (en) 2012-11-07
AU2010337226B2 (en) 2013-10-24
US20110161659A1 (en) 2011-06-30
CA2785430A1 (en) 2011-07-07
WO2011081784A1 (en) 2011-07-07
RU2012132318A (ru) 2014-02-10
AU2010337226A1 (en) 2012-07-19
IL220537A0 (en) 2012-08-30

Similar Documents

Publication Publication Date Title
RU2515809C2 (ru) Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи
CN110915183B (zh) 经由硬/软令牌验证的区块链认证
US10567370B2 (en) Certificate authority
US20170244676A1 (en) Method and system for authentication
US8301887B2 (en) Method and system for automated authentication of a device to a management node of a computer network
US10404680B2 (en) Method for obtaining vetted certificates by microservices in elastic cloud environments
EP2394389B1 (en) Transforming static password systems to become 2-factor authentication
CN109417545B (zh) 下载网络接入简档的方法、安全模块、移动终端和介质
US20100266128A1 (en) Credential provisioning
KR101210260B1 (ko) 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법
US10291567B2 (en) System and method for resetting passwords on electronic devices
CN101841525A (zh) 安全接入方法、系统及客户端
KR101690989B1 (ko) Fido 인증모듈을 이용한 전자서명 방법
EP3785153A1 (en) Remote biometric identification
TW201638826A (zh) 在行動裝置上以安全信物使相異程式獲得數位憑證簽署之系統及方法
KR101879842B1 (ko) Otp를 이용한 사용자 인증 방법 및 시스템
CN107925653B (zh) 用于安全传输其中数据的电信系统以及与该电信系统相关联的设备
CN117178304A (zh) 用于合并lacs认证的pacs修改
JP2024503921A (ja) トラストレス鍵プロビジョニングのシステムおよび方法
Hampiholi et al. Trusted self-enrolment for attribute-based credentials on mobile phones
CN114930325A (zh) 安全地对存储在终端的安全处理器中的通用应用进行多样化的方法
CN115987598A (zh) 一种基于WebAuthn协议的国密算法身份认证系统、方法和装置
CN114697137A (zh) 应用程序的登录方法、装置、设备及存储介质
KR20150113639A (ko) 사용자 신원 인증을 안전하게 보장하기 위한 네트워크 인증 방법

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner