CN101978675A - 向通信装置安全地发布预订凭证的***和方法 - Google Patents
向通信装置安全地发布预订凭证的***和方法 Download PDFInfo
- Publication number
- CN101978675A CN101978675A CN2009801106689A CN200980110668A CN101978675A CN 101978675 A CN101978675 A CN 101978675A CN 2009801106689 A CN2009801106689 A CN 2009801106689A CN 200980110668 A CN200980110668 A CN 200980110668A CN 101978675 A CN101978675 A CN 101978675A
- Authority
- CN
- China
- Prior art keywords
- voucher
- communication devices
- remote communication
- reservation
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
根据本文给出的示教,通信装置在购买后方便地供应有网络预订凭证,装置制造商或网络运营商无需预先加载临时预订凭证,或者进行供应以便支持直接通过空中供应装置。这种装置例如可以是蜂窝电话或其它移动装置。广泛地,用户以通信方式将要供应的通信装置耦合到具有现有通信能力的中间数据装置,例如PC或已经供应的移动电话。在可信装置和拥有者身份验证的条件下,预订服务器或其它实体然后使用与中间数据装置的通信链路向通信装置提供预订凭证。
Description
技术领域
本发明一般涉及对通信网络中使用的通信装置授权,且更具体地说,涉及向通信装置安全地发布预订凭证(subscription credentials),其中这种凭证对一个或多个通信网络内的通信装置授权。
背景技术
通信装置、诸如蜂窝电话、PDA、无线模块等与许多其它类型的消费电子产品相比是独特的,因为它们的使用几乎总是依赖于加入使用预订协定的它们的最终用户。这种协定可以是直截了当默认的价格/期限协定,诸如预付费和现购现付协定,而其它协定建立最小服务协定时间周期,并可涉及服务和特征的复杂包装。
根据预订模型,在(至少对于非紧急服务)可以使用它之前必须对给定通信装置授权,并且在几乎所有情况下,用于提供和保持那个授权的机制必须是安全的,以防止误用或完全欺骗。全球移动通信服务(GSM)标准已经通过使用用户身份模块(SIM)长期解决了这些担心。根据基于SIM的模型,给定SIM安全地保存允许给定装置与一个或多个通信网络一起使用的授权信息。在一些情况下,可在装置之间传送SIM,从而允许同一SIM每次一个地激活不同的装置。
SIM模型随着时间已经拓宽了,并且SIM可以用软件还有硬件实现。然而,装置制造商和网络运营商仍面临简化购买或者销售通信装置以便由那些装置的最终用户进行网络激活的过程的相同基本挑战。在某些方面,那个过程开发得很好。例如,装置制造商可将通信装置预先配置有永久预订凭证,和/或网络运营商可有形地销售包含有效预订凭证的基于硬件的SIM。
已知另一种可能更灵活的方法,其中使用所谓的通过空中(OTA)供应。在典型的OTA模型中,给定通信装置被供应有临时预订凭证,其中那些临时凭证允许受限访问一个或多个网络运营商的通信网络,用于获得永久预订凭证的明确目的。虽然在某种意义上,使用临时预订凭证比用永久凭证预先配置装置更方便,但是使用临时预订凭证仍需要在装置制造商与网络运营商之间进行大量关照和协调,以确保凭证审发(credentialing)安全性。此外,网络运营商将面临组织临时凭证的直接成本,而仅在已经供应了永久凭证之后才有收入。
发明内容
根据本文给出的示教,通信装置、诸如新制造的移动电话或其它移动装置在购买后方便地供应有网络预订凭证,装置制造商或网络运营商无需预先加载临时预订凭证或者进行供应以便支持装置的直接通过空中供应。广泛地,用户以通信方式将要供应的通信装置耦合到具有现有通信能力的中间数据装置,例如PC或已经供应的移动电话。在可信装置和拥有者身份验证的条件下,预订服务器或其它实体然后使用与中间数据装置的通信链路向通信装置提供预订凭证。
在至少一个实施例中,预订凭证审发***包括预订服务器,该服务器配置成从操作在请求用户控制下并具有与远程通信装置的第一通信链路和与预订服务器的第二通信链路的中间数据装置接收凭证请求。预订服务器还配置成促使外部身份验证***与中间数据装置通信以验证要与所述预订凭证相关联的装置拥有者身份;并响应于装置拥有者身份验证,通过中间数据装置与远程通信装置建立通信。
在建立了这种通信的情况下,预订服务器向远程通信装置请求装置证书。另外,预订服务器配置成促使外部认证***验证装置证书的有效性;并响应于装置证书的有效性,向远程通信装置发送第一事务标识符和运营商证书并相应地从远程通信装置接收签名的返回值。另外,预订服务器配置成鉴定和解密签名的返回值以恢复第二事务标识符并相应地从第一和第二事务标识符生成凭证审发会话密钥,并基于所述会话密钥进行与远程通信装置的加密凭证审发会话,包含传送所述预订凭证。
在至少一个实施例中,预订服务器包括配置用于与中间数据装置、外部身份验证***和外部认证***中的一个或多个进行基于因特网的通信的基于因特网的服务器。例如,预订服务器包括配置成向中间数据装置提供基于web浏览器的接口的因特网web服务器。
另外,在至少一个实施例中,预订服务器配置成取消用于凭证审发的远程通信装置的活动预订凭证。例如,预订服务器执行凭证取消处理,包括:从凭证审发的远程通信装置接收去激活请求,包含装置标识符和装置证书;促使外部认证***验证装置证书的有效性;并响应于装置证书的认证,向凭证审发的远程通信装置发送第一事务标识符和运营商证书并相应地从凭证审发的远程通信装置接收签名的返回值。这种处理还包含鉴定和解密签名的返回值以恢复预订凭证标识符和第二事务标识符。另外,如果预订凭证标识符对应于预订,则处理继续基于预订凭证标识符以及第一和第二事务标识符生成加密去激活消息,并向凭证审发的远程通信装置发送去激活消息,并促使订户注册服务器去激活活动预订凭证。
当然,可用网络可访问节点或***范围中的方法形式实现新预订凭证的以上发布(以及活动预订凭证的取消)。广泛地,本文的示教提供了处理,其中网络运营商允许装置用户有效并安全地获得通信装置的预订凭证,同时避免制造和凭证审发复杂性,以及参与直接通过空中供应这种装置的成本。因此,本发明不限于上述特征和优点。实际上,本领域的技术人员在阅读了如下具体实施方式并看了附图后将认识到附加特征和优点。
附图说明
图1是在运营商网络、诸如蜂窝电话网络的上下文中示出的预订凭证审发服务器的一个实施例的框图。
图2是可在用于支持预订凭证审发方法的预订服务器实现的处理逻辑的一个实施例的框图。
图3是可在用于支持去激活预订凭证方法的预订服务器实现的处理逻辑的一个实施例的框图。
图4是装置制造***的一个实施例的框图,其可用于初始化通信装置以便随后进行本文所示教的预订凭证审发。
具体实施方式
图1例证了包含在运营商网络12、诸如例如提供蜂窝通信服务的无线通信网络中或与之相关联的预订服务器10的一个实施例。预订服务器10配置成向通信装置14提供预订凭证,装置14远离预订服务器10,并且缺乏用于访问运营商网络12或在许多情况下访问任何网络的预订凭证。例如,为了获得在制造、分销或销售复杂性方面的期望降低,并在凭证审发安全性方面获益,装置制造商可选择在没有任何预订凭证的情况下发行装置。
为了允许简单而有效地在购买后对这种装置进行凭证审发,预订服务器10配置成基于通过中间数据装置与这种装置通信而支持到远程通信装置的预订凭证审发服务,中间数据装置可以是用户的个人计算机(PC)、用户的已经供应的通信装置或可例如通过蓝牙、IrDA、USB、以太网或其它
“本地”连接与通信装置14通信并可例如经由因特网18或其它通信网络连接与预订服务器10通信的某种其它装置。
由此,看到包含或者访问安全ID 22的中间数据装置(IDD)20,其可按照用户密码或基于用户身份的其它访问限制来提供,但是优选是智能卡或其它形式的安全ID,诸如***/读卡器等等。优选地,IDD 20包含用户接口或其它特征,支持识别处理,以及支持执行与预订服务器10的预订凭证审发事务。相应地,预订服务器10包含一个或多个网络通信接口24,其支持根据标准或专有协议的有线和/或无线通信。优选地,通信接口24包含支持与预订服务器10进行基于因特网通信由此允许IDD 20经由因特网与预订服务器10通信的网络接口电路。实际上,在至少一个实施例中,预订服务器10包括支持基于浏览器的预订凭证处理的web服务器,例如它提供支持基于浏览器的预订凭证请求的网页。
另外,预订服务器10包含一个或多个处理电路或***26,其可包括通用或专用基于微处理器的电路,该电路根据存储在预订服务器10内或与之相关联的计算机可读介质——例如固态或磁存储装置上的计算机程序进行配置或者供应。处理电路26可配置成使用用于与IDD 20通信的通信接口电路24,并可使用用于与可包含在运营商网络12内的预订凭证数据库30、订户注册服务器32通信的相同或其它接口。另外,无论是通过相同还是其它通信接口,预订服务器10都配置成与可包含装置证书数据库并可由一个或多个装置制造商维护的外部认证***34通信,并与可由第三方识别服务维护的外部身份验证***36通信。
使用图1例证的处理上下文,图2例证了用于实现向缺乏用于网络访问的预订凭证的远程通信装置提供预订凭证的方法实施例的处理。这种处理可以用硬件、软件或它们的任何组合来实现。例如,这种处理可在预订服务器10中基于给它供应由处理电路26对其的运行实现该方法的计算机程序指令来执行。还有,除非提到,否则顺序处理步骤用于例证,并且至少一些步骤可以不同顺序执行或并行执行。
记住这种条件,所例证的处理实施例“开始于”预订服务器10从IDD20接收凭证请求(块100)。(假设IDD 20操作在请求用户的控制下,并具有与通信装置14的第一通信链路和与预订服务器10的第二通信链路,并由此可在支持预订凭证审发过程中作为中介起作用)。注意,IDD 20与预订服务器10之间的连接优选是例如使用SSL或TLS、IPSec或其它安全协议的安全连接。然而,虽然安全链路是优选的,但是在至少一个实施例中不需要它。
处理继续,预订服务器10促使外部身份验证***36与IDD 20通信以验证要与(请求的)预订凭证相关联的装置拥有者身份(块102)。在这点上,预订服务器10的一个实施例依赖于外部身份验证***36以便建立其自己的与/到IDD 20的通信链路,并由此可给外部身份验证***36提供网络地址(例如IP地址)或使***36能够联系IDD 20的其它信息。(或者,预订服务器10可向IDD 20提供这种信息,使IDD 20能够联系外部身份验证***36。)在其它实施例中,IDD 20和外部身份验证***36使用预订服务器10作为中介进行通信。优选地,IDD 20的用户接口促进进行身份验证程序的用户交互作用。
无论如何,使用外部身份验证***36使预订服务器10能够确保请求的预订凭证与可用于为履行、记账等订立合同的验证的装置拥有者身份相关联。作为非限制性示例,ID 22包括结合到已知验证的装置拥有者标识以及可能的对应财务账户信息的“银行ID”客户端模块(软件)。(例如见www.bankid.com,用于由Finansiell ID-Teknik BID AB可得到的信息。)
处理继续,响应于装置拥有者身份验证,即,如果验证失败,则预订服务器10中止凭证审发过程。然而,假设成功进行了装置拥有者身份验证,处理继续,预订服务器10通过IDD 20建立与通信装置14的通信。在一个实施例中,IDD 20配置成允许借助“通过(passing through)”预订服务器10与通信装置14之间的命令和数据进行这种通信。在另一个实施例中,IDD 20配置成充当到通信装置14和预订服务器10的客户端,并充当它们之间的命令/数据转换的中介。在任一情况下,本领域的技术人员都将认识到,实际上或字面上,预订服务器10通过IDD 20与通信装置14通信,并且例如可通过将IDD 20配置有可下载小应用程序(applet)或其它软件来允许这种通信。
在通过IDD 20与通信装置14建立通信后,预订服务器的处理继续向通信装置14请求装置证书(块104)。暂时回去参考图1,看到,通信装置14包含一个或多个安全处理和/或存储单元,其中之一可以是用户身份模块(SIM)。在一个实施例中,SIM用硬件、诸如通用集成电路卡(UICC)或其它基于硬件的SIM装置实现。然而,在另一个实施例中,SIM实现为软件,该软件可在安全处理环境中托管。作为非限制性示例,通信装置14可根据ARM TRUSTZONE规范或根据TCG(可信计算组)规范实现安全计算平台。除非本文另外规定,否则术语“SIM”在本申请的说明书或随附权利要求书中都必须被给予宽泛的解释,并旨在涵盖基于硬件的SIM(例如UICC)和基于软件的SIM(例如称为USIM的通用SIM或称为VSIM的虚拟SIM)或者它们的任何组合。
在任何情况下,如将在本文后面详述的,装置制造商或其它初始化方通过将装置证书(DCERT),包括安全数字证书,加载到装置中来准备将通信装置14销售或分销给最终用户。通信装置14还保存加密密钥对DSK/DPK(分别表示装置秘密密钥和装置公共密钥)。由此,响应于预订服务器的装置证书请求,通信装置14向预订服务器10发送其DCERT。本领域的技术人员将认识到,这个动作包括从通信装置14的存储器发送实际的DCERT,或者等效地,发送统一资源定位符(URL)或指向保存DCERT位置的其它网络ID。
响应于接收到DCERT,预订服务器10促使外部认证***34验证DCERT的有效性(块106)。例如,装置制造商可保持有效装置证书的一个或多个数据库,并可跟踪哪些证书有效以及哪些证书无效。在一个示例中,认证***34保持或者访问对于装置标识符关键的(keyed)信息,诸如国际移动设备身份(IMEI)。例如,它可对于MEI1存储装置公共密钥DPK、装置证书DCERT、发证机构证书CACERT和装置生成证书DGCERT,其中后一证书包括用于导出DCERT的装置系列或模型证书。对于IMEI2可以保持类似信息等等。
另外,这种数据库可指示给定有效证书是否已经标记为具有为它激活的预订凭证。由此,外部认证***34访问或包含指示装置证书有效性和状态的一个或多个证书数据库。当然,它使用的认证***34和/或数据库可由一个或多个发证机构、诸如VERISIGN维护。
在预订服务器10的处理继续响应于装置证书的认证,即,如果认证***34指示DCERT有问题,则预订服务器10中止凭证审发过程。否则,假设成功认证,预订服务器10向通信装置14发送第一事务标识符和运营商证书,并相应地从通信装置14接收签名的返回值(块108)。例如,预订服务器10生成第一事务标识符作为第一随机值。那个值可表示为RRAND1,而运营商(数字)证书可表示为OCERT。
由此,通信装置14接收OCERT和RRAND1,并且它配置成检查/认证OCERT。在一个这种实施例中,可使用验证OCERT所需的信息来加载通信装置14的安全处理/存储单元40。例如,通信装置14可保存表示发证机构(CA)数字证书的CACERT或允许通信装置14将OCERT认为是有效运营商的证书的任何其它此类信息。(注意,通信装置14可通过给它提供对应的OCERT信息来预先配置用于特定网络运营商,或者它可以预先配置有多个网络运营商的OCERT信息,由此给出有关使用哪个或那些网络运营商的装置拥有者选项。)
假设通信装置14验证OCERT,则它生成第二事务标识符,例如另一个随机值RRAND2,并且它向预订服务器10发送签名的加密返回值。在至少一个实施例中,通信装置14通过使用从OCERT所获得的运营商的公共密钥OPK加密RRAND1和RRAND2来生成签名的加密返回值,称为RETVAL(例如使用装置的秘密密钥DSK签名的两字段加密值,表示为OPK[RRAND1|RRAND2])。由此,从预订服务器10的角度看,处理继续,从通信装置14接收签名的加密返回值,鉴定和解密该返回值,以及(假设成功鉴定,生成凭证审发会话密钥,表示为KSES(块110)。
然后,更详细地,预订服务器10从通信装置14接收RETVAL。为了鉴定RETVAL,预订服务器10相对于它早先从通信装置14接收的DCERT检查装置的签名。另外,在一个或多个实施例中,预订服务器10验证RETVAL中所包含的RRAND1是否匹配早先由预订服务器10发送到通信装置14的RRAND1。如果这种鉴定失败,则预订服务器10中止该凭证审发过程。
由此,在至少一个实施例中,在预订服务器10鉴定和解密所述签名的返回值RETVAL包括相对于装置证书验证签名的返回值的签名、使用与运营商证书相关联的运营商秘密密钥解密签名的返回值并验证签名的返回值包含第一事务标识符的正确拷贝。另外,在至少一个这种实施例中,从第一和第二标识符生成凭证审发会话密钥包括哈希第一和第二事务标识符的组合。
在更详细的密钥生成示例中,再次假设成功鉴定,预订服务器10在一个实施例中使用密码哈希函数、诸如SHA1或MD5生成凭证审发会话密钥KSES。哈希函数例如可以对RRAND1和RRAND2进行运算。在一个这种实施例中,预订服务器10哈希RRAND1和RRAND2的组合。当然,通信装置14配置成使得它能够进行相同或求补的密码运算,以便它能从RRAND1和RRAND2生成/使用KSES,RRAND1和RRAND2在凭证审发过程中在这点对于通信装置14而言都是已知的。在另一个实施例中,预订服务器10配置成基于RRAND1、RRAND2和通信装置4的唯一设备标识符、诸如IMEI的密码哈希生成KSES。
预订服务器10例如哈希RRAND1和RRAND2的组合以生成KSES,并然后基于KSES进行与通信装置14的加密凭证审发会话(块112)。例如,参考图1,预订服务器可与图1所示的预订凭证数据库30(还称为预订凭证库或SCR)通信以获得通信装置14的预订凭证,表示为SC1。SC1凭证可包含或结合到给定IMEI,并且预订服务器10由此使用KSES加密SC1,并向通信装置14发送SC1凭证。结合那个凭证审发会话,预订服务器10向订户服务器20注册通信装置14,服务器20可以是归属位置寄存器(HLR)和/或访问/授权/计费(AAA)服务器。
由此,根据上述处理,预订服务器10配置成与一个或多个订户注册服务器通信,以激活与预订凭证相关联的一个或多个通信网络例如运营商网络12的通信装置14。另外,是结合凭证审发会话进行还是在凭证审发会话成功结束时进行,在一个或多个实施例中,预订服务器10都配置成与外部认证***34和/或其它数据库通信以指示激活通信装置14。例如,预订服务器10可向认证***34发送预订凭证已经被传送到通信装置14并相应地对于运营商网络12激活了的指示。认证***由此标记用于那个特定通信装置14的DCERT数据,以指示通信装置14具有活动凭证。在缺少一些授权的重新设置程序的情况下,那个信息可用于阻止或者限制获取新的或修改的预订凭证的能力。
在那点上,预订服务器10在一个或多个实施例中支持取消凭证审发的通信装置的活动预订凭证。这种取消程序优选地被保护免于恶意模仿代理试图取消通信装置14或预订服务器10或认证***34中的凭证。为了方便起见,可以假设通信装置14已经成功被凭证审发,并且装置拥有者现在希望取消那些凭证。
在这种处理的示例中,图3例证了预订服务器10从凭证审发的通信装置14接收去激活请求(块120)。在这种情况下,通信装置14具有活动预订凭证,因此该请求可基于通信装置14与运营商网络12之间的直接无线发信号通知通过运营商网络12,其可包括例如基于宽带CDMA(WCDMA)或基于第三代合作伙伴项目(3GPP)正在开发中的LTE标准的蜂窝通信网络。当然,IDD 20还可用作中介,诸如对于初始凭证审发进行的。
该请求包含装置标识符(例如装置的IMEI)和装置证书(例如早先所描述的DCERT)。在这个实施例中,处理由此继续预订服务器10促使外部认证***34验证装置证书的有效性(块122)。这种验证可适合于去激活过程,诸如通过确认装置证书当前被标记为对于活动的发布的预订凭证有效。缺少认证,预订服务器10中止去激活过程。然而,响应于装置证书的认证,预订服务器10向通信装置14发送第一事务标识符和运营商证书例如OCERT(块124)。这个第一事务标识符可作为对于这个特定去激活事务唯一的随机数,例如像在图2的上下文中讨论的RRAND1,来生成。
通信装置14检查之前所描述的OCERT,并如之前,向预订服务器10发送签名的返回值RETVAL。由此,在预订服务器10的处理继续从通信装置14接收签名的返回值(块126),并鉴定和解密签名的返回值以恢复预订凭证标识符和第二事务标识符(块128)。如果预订凭证标识符对应于有效预订,则处理继续基于预订凭证标识符以及第一和第二事务标识符生成加密去激活消息,并向凭证审发的远程通信装置发送去激活消息(块130)。处理继续,预订服务器10促使订户注册服务器32去激活活动预订凭证(块132)。
在理解以上凭证去激活和早先描述的凭证激活时,可能有帮助的是例证和描述本文所考虑的制造时装置供应的一个实施例。作为制造和销售简化的一点,本文的示教避免需要用永久乃至临时预订凭证加载新制造的装置,因为使用IDD给初始通信链路提供预订服务器,这意味着新的或重新设置的通信装置不需要支持装置之间独立通信和支持预订服务器的“盒子外(out of the box)”预订凭证。
然而,对于经由本文所提出的IDD的安全凭证审发,通信装置必须是“可信的”。由此,根据图4,装置制造(DM)***42获得或生成公共密钥密码***的公共和私有密钥对。公共密钥称为装置生成公共密钥(DGPK),而私有密钥称为DGSK,并用于产生(可信的)允许SIM的通信装置。为了指示这种制造初始化可唯一地应用于任何数量的装置,图4将通信装置标识为14-x,其中“x”表示可能大量这种装置中的任何给定装置。将“x”注释附于数据项上,诸如“DCERTx”表示装置唯一数据项。
以上密钥生成可使用标准程序例如公共密钥基础设施(PKIX X.509)和现有CA服务、诸如VERISIGN、THAWTE或其它来执行。在例证中,CA服务由发证机构(CA)***44广泛地提供,并且应该理解,这种服务使一个或多个CACERTS可用。由此,DM***42允许DGPK由CA***44签名,并相应地获得装置生成证书(DGCERT)。这样做,使用PKI原则建立可信证书链。在优选实施例中,DM***42首先生成装置生成根公共和私有密钥(分别表示为DGRPK和DGRSK),并获得包含DGRPK签名的装置生成根证书(DGRCERT)。DM***42然后可通过用DGRSK签名PGPK来创建DGCERT。
无论如何,DM***42可配置成使用标准PKI程序创建或者获得可使用CACERT作为CA***44保持的可信根证书进行验证的DGCERT。在至少一个实施例中,如果DM***42使用DGRCERT,则DGCERT的验证还取决于DGRCERT。这个PKI设置给装置制造商提供了许多有利条件。例如,装置制造商可创建针对不同装置类型的它们不同的DGCERT,无需涉及第三方CA。换句话说,可使用CA来签名DGRCERT,并且然后可使用DGRCERT来签名不同的DGCERT用于生成不同类型通信装置的DGCERT。装置制造商由此可方便地创建结合到它们发布所相对于的装置模型类型的DCERT,由此提供附加的安全性和完整性。
在生产基于SIM的通信装置例如生产通信装置14-x之前或与之结合,DM***42基于使用DGSK签名DPKx来生成装置唯一密钥对DPKx和DSKx以及装置证书DCERTx。DPKx、DSKx、DCERTx和验证DCERTx所需的证书与装置身份例如IMEIx一起存储在通信装置14-x中。虽然使用IMEI在某些情况下可能是优选的,但是装置标识符可以是任何其它适当的号码。注意,除了DCERT,DM***42不需要将实际的验证证书信息存储在通信装置14-x中。而是,可存储URL以便随后用于发现/取出适当的证书。另外,CACERT对于想验证证书的实体可能是已知的(这例如正常情况下通过web浏览器软件完成)。
在至少一个实施例中,该至少一个实施例在一个或多个情况下可能是优选的,DM***42保持数据库46以跟踪由DM***42初始化的通信装置的信息。这个数据库46例如可包含在图1所示的认证***34中或可由其访问。有利地,可使用数据库46查找通信装置,并有可能例如通过无效它们的DCERT来标记受危及的装置。更概括地说,数据库46可与标准PKI证书无效/检查技术、诸如用于检查给定通信装置是否可信的CRL或OCSP一起使用。数据库46还可配置成将给定通信装置的其它方面、诸如模型类型和/或允许的使用时间绑定到对应的DCERT中。
更进一步,DM***42可配置成编程可由通信装置用于检查/验证运营商证书(OCERT)的CA证书之一或列表。无论如何,DM***42包含可用于(安全地)传送各种证书和其它初始化信息的编程站48或与之相关联。如所示的,DM***42可使用编程站48,从而通过传送所分配的IMEIx和对应的DSKx、DPKx和DCERTx来初始化通信装置14-x。另外,编程站46可传送DGCERT、DGRCERT和CACERT信息。这种信息例如可用于初始化在通信装置14-x中实现的基于软件的SIM,由此例如根据本文早先描述的各种预订凭证审发实施例中的任一个来使装置准备好用于基于IDD的预订凭证审发。
然而,应该理解,以上说明书和附图给出了本文示教的方法、***和各个设备的非限制性示例。这样,本发明不受以上说明书和附图的限制。而是,本发明仅由如下权利要求书及其合法等效方案限制。
Claims (15)
1.一种预订凭证审发***,用于向缺乏用于网络访问的预订凭证的远程通信装置提供预订凭证,所述预订凭证审发***包括预订服务器,所述预订服务器配置成:
从操作在请求用户控制下并具有与所述远程通信装置的第一通信链路和与所述预订服务器的第二通信链路的中间数据装置接收凭证请求;
促使外部身份验证***与所述中间数据装置通信以验证要与所述预订凭证相关联的装置拥有者身份;
响应于装置拥有者身份验证,通过所述中间数据装置与所述远程通信装置建立通信,并向所述远程通信装置请求装置证书;
促使外部认证***验证所述装置证书的有效性;
响应于所述装置证书的有效性,向所述远程通信装置发送第一事务标识符和运营商证书并相应地从所述远程通信装置接收签名的返回值;
鉴定和解密所述签名的返回值以恢复第二事务标识符并相应地从第一和第二事务标识符生成凭证审发会话密钥;以及
基于所述会话密钥进行与所述远程通信装置的加密凭证审发会话,包含传送所述预订凭证。
2.如权利要求1所述的预订凭证审发***,其中所述预订服务器包括配置用于与所述中间数据装置、所述外部身份验证***和所述外部认证***中的一个或多个进行基于因特网的通信的基于因特网的服务器。
3.如权利要求1所述的预订凭证审发***,其中所述预订服务器包括配置成向所述中间数据装置提供基于web浏览器的接口的因特网web服务器。
4.如权利要求1所述的预订凭证审发***,其中所述预订服务器配置成生成第一事务标识符作为第一随机值。
5.如权利要求1所述的预订凭证审发***,其中所述预订服务器配置成通过相对于所述装置证书验证所述签名的返回值的签名、使用与所述运营商证书相关联的运营商秘密密钥解密所述签名的返回值并验证所述签名的返回值包含第一事务标识符的正确拷贝来解密所述签名的返回值。
6.如权利要求5所述的预订凭证审发***,其中所述预订服务器配置成通过哈希第一和第二事务标识符的组合来生成所述凭证审发会话密钥。
7.如权利要求1所述的预订凭证审发***,其中所述预订服务器配置成与订户注册服务器通信以激活与所述预订凭证相关联的一个或多个通信网络的所述远程通信装置,并与所述外部认证***通信以指示所述远程通信装置的激活。
8.如权利要求1所述的预订凭证审发***,其中所述预订服务器还配置成基于如下操作取消用于凭证审发的远程通信装置的活动预订凭证:
从所述凭证审发的远程通信装置接收去激活请求,包含装置标识符和装置证书;
促使外部认证***验证所述装置证书的有效性;
响应于所述装置证书的有效性,向所述凭证审发的远程通信装置发送第一事务标识符和运营商证书并相应地从所述凭证审发的远程通信装置接收签名的返回值;
鉴定和解密所述签名的返回值以恢复预订凭证标识符和第二事务标识符;
如果所述预订凭证标识符对应于预订,则基于所述预订凭证标识符以及第一和第二事务标识符生成加密去激活消息,并向所述凭证审发的远程通信装置发送所述去激活消息;以及
促使订户注册服务器去激活所述活动预订凭证。
9.一种向缺乏用于网络访问的预订凭证的远程通信装置提供预订凭证的方法,所述方法包括:
从操作在请求用户控制下并具有与所述远程通信装置的第一通信链路的中间数据装置接收凭证请求;
促使外部身份验证***与所述中间数据装置通信以验证要与所述预订凭证相关联的装置拥有者身份;
响应于装置拥有者身份验证,通过所述中间数据装置与所述远程通信装置建立通信,并向所述远程通信装置请求装置证书;
促使外部认证***验证所述装置证书的有效性;
响应于所述装置证书的有效性,向所述远程通信装置发送第一事务标识符和运营商证书并相应地从所述远程通信装置接收签名的返回值;
鉴定和解密所述签名的返回值以恢复第二事务标识符并相应地从第一和第二事务标识符生成凭证审发会话密钥;以及
基于所述会话密钥进行与所述远程通信装置的加密凭证审发会话,包含传送所述预订凭证。
10.如权利要求9所述的方法,其中从所述中间数据装置接收所述凭证请求包括在经由所述因特网以通信方式连接到所述中间数据装置的预订服务器接收基于因特网的请求。
11.如权利要求9所述的方法,还包括生成第一事务标识符作为第一随机值。
12.如权利要求9所述的方法:其中鉴定和解密所述签名的返回值包括相对于所述装置证书验证所述签名的返回值的签名、使用与所述运营商证书相关联的运营商秘密密钥解密所述签名的返回值并验证所述签名的返回值包含第一事务标识符的正确拷贝。
13.如权利要求12所述的方法:其中从第一和第二标识符生成所述凭证审发会话密钥包括哈希第一和第二事务标识符的组合。
14.如权利要求9所述的方法:还包括与订户注册服务器通信以激活与所述预订凭证相关联的一个或多个通信网络的所述远程通信装置,并与所述外部认证***通信以指示所述远程通信装置的激活。
15.如权利要求9所述的方法:还包括通过从所述凭证审发的远程通信装置接收去激活请求,包含装置标识符和装置证书,取消用于凭证审发的远程通信装置的活动预订凭证;促使外部认证***验证所述装置证书的有效性;响应于所述装置证书的有效性,向所述凭证审发的远程通信装置发送第一事务标识符和运营商证书并相应地从所述凭证审发的远程通信装置接收签名的返回值;鉴定和解密所述签名的返回值以恢复预订凭证标识符和第二事务标识符;如果所述预订凭证标识符对应于预订,则基于所述预订凭证标识符以及第一和第二事务标识符生成加密去激活消息,并向所述凭证审发的远程通信装置发送所述去激活消息;以及促使订户注册服务器去激活所述活动预订凭证。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/052,028 US20090239503A1 (en) | 2008-03-20 | 2008-03-20 | System and Method for Securely Issuing Subscription Credentials to Communication Devices |
| US12/052,028 | 2008-03-20 | ||
| US12/052028 | 2008-03-20 | ||
| PCT/EP2009/052104 WO2009115394A2 (en) | 2008-03-20 | 2009-02-23 | A system and method for securely issuing subscription credentials to communication devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101978675A true CN101978675A (zh) | 2011-02-16 |
| CN101978675B CN101978675B (zh) | 2013-11-13 |
Family
ID=41089386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801106689A Active CN101978675B (zh) | 2008-03-20 | 2009-02-23 | 向通信装置安全地发布预订凭证的***和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20090239503A1 (zh) |
| EP (1) | EP2255507B1 (zh) |
| CN (1) | CN101978675B (zh) |
| WO (1) | WO2009115394A2 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516219A (zh) * | 2014-09-24 | 2016-04-20 | 中国电信股份有限公司 | 嵌入式智能卡安全去激活的方法、***和卡管理服务器 |
| CN110278551A (zh) * | 2014-09-24 | 2019-09-24 | 意法半导体公司 | 便携式移动订阅 |
| US20210127258A1 (en) * | 2012-10-11 | 2021-04-29 | Huawei Technologies Co., Ltd. | Implementation and communication methods, apparatus and system of virtual subscriber identity module |
| WO2023201550A1 (zh) * | 2022-04-19 | 2023-10-26 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8516133B2 (en) * | 2008-02-07 | 2013-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
| US8943311B2 (en) | 2008-11-04 | 2015-01-27 | Securekey Technologies Inc. | System and methods for online authentication |
| KR101190060B1 (ko) * | 2008-12-12 | 2012-10-11 | 한국전자통신연구원 | 아이덴티티 데이터 관리 장치 및 방법 |
| US8327134B2 (en) * | 2009-02-12 | 2012-12-04 | International Business Machines Corporation | System, method and program product for checking revocation status of a biometric reference template |
| US9298902B2 (en) * | 2009-02-12 | 2016-03-29 | International Business Machines Corporation | System, method and program product for recording creation of a cancelable biometric reference template in a biometric event journal record |
| EP2401838B1 (en) | 2009-02-19 | 2013-12-11 | SecureKey Technologies Inc. | System and methods for online authentication |
| US8219148B2 (en) * | 2009-04-06 | 2012-07-10 | Gemalto Sa | Method for activating the subscription of an UICC device |
| CN101795454B (zh) * | 2010-02-10 | 2012-10-10 | 熊文俊 | 基于移动通信独立通道的双身份认证方法及*** |
| US8862178B2 (en) * | 2010-02-24 | 2014-10-14 | Qualcomm Incorporated | Methods and systems for managing participation in multiple wireless networks |
| CN102196438A (zh) | 2010-03-16 | 2011-09-21 | 高通股份有限公司 | 通信终端标识号管理的方法和装置 |
| US9385862B2 (en) | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| DE102010030590A1 (de) * | 2010-06-28 | 2011-12-29 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Zertifikats |
| US9112905B2 (en) | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| US8555067B2 (en) | 2010-10-28 | 2013-10-08 | Apple Inc. | Methods and apparatus for delivering electronic identification components over a wireless network |
| WO2012104477A1 (en) | 2011-01-31 | 2012-08-09 | Nokia Corporation | Subscriber identity module provisioning |
| US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
| WO2012136867A1 (es) * | 2011-04-05 | 2012-10-11 | Valid Soluciones Tecnologicas, S.A.U. | Metodo y sistema para el aprovisionamiento remoto de subscripcion |
| US8887257B2 (en) | 2011-04-26 | 2014-11-11 | David T. Haggerty | Electronic access client distribution apparatus and methods |
| WO2013015729A1 (en) * | 2011-07-27 | 2013-01-31 | Telefonaktiebolaget L M Ericsson (Publ) | Mediation server, control method therefor, subscription information managing apparatus, control method therefor, subscription management server, and control method therefor |
| US20130191897A1 (en) * | 2012-01-24 | 2013-07-25 | Cummings Engineering Consultants, Inc. | Field Provisioning a Device to a Secure Enclave |
| JP5834150B2 (ja) * | 2012-02-07 | 2015-12-16 | アップル インコーポレイテッド | ネットワーク支援の不正検出装置及び方法 |
| FR2988942B1 (fr) * | 2012-03-27 | 2015-08-28 | Commissariat Energie Atomique | Methode et systeme d'etablissement d'une cle de session |
| US8875265B2 (en) | 2012-05-14 | 2014-10-28 | Qualcomm Incorporated | Systems and methods for remote credentials management |
| KR102152008B1 (ko) * | 2012-06-15 | 2020-09-07 | 삼성전자주식회사 | 인증 모듈의 프로파일을 이동하는 방법 및 시스템 |
| US9027099B1 (en) | 2012-07-11 | 2015-05-05 | Microstrategy Incorporated | User credentials |
| US9887992B1 (en) | 2012-07-11 | 2018-02-06 | Microstrategy Incorporated | Sight codes for website authentication |
| US8775807B1 (en) | 2012-10-26 | 2014-07-08 | Microstrategy Incorporated | Credential tracking |
| US9640001B1 (en) | 2012-11-30 | 2017-05-02 | Microstrategy Incorporated | Time-varying representations of user credentials |
| US9154303B1 (en) * | 2013-03-14 | 2015-10-06 | Microstrategy Incorporated | Third-party authorization of user credentials |
| EP2887702B1 (en) * | 2013-12-17 | 2016-11-02 | Giesecke & Devrient GmbH | Method and device for providing a secure element with a subscription profile |
| DE102014102168A1 (de) * | 2014-02-20 | 2015-09-03 | Phoenix Contact Gmbh & Co. Kg | Verfahren und System zum Erstellen und zur Gültigkeitsprüfung von Gerätezertifikaten |
| KR102013091B1 (ko) | 2014-07-03 | 2019-08-21 | 애플 인크. | 보안 통신 채널을 설정하기 위한 방법들 및 장치 |
| CN104506532B (zh) * | 2014-12-24 | 2018-06-26 | 北京智捷伟讯科技有限公司 | 一种适用于紧急救援平台的远程证明方法 |
| US10282538B2 (en) * | 2014-12-27 | 2019-05-07 | Intel Corporation | Technologies for providing hardware subscription models using pre-boot update mechanism |
| US10333903B1 (en) | 2015-06-16 | 2019-06-25 | Amazon Technologies, Inc. | Provisioning network keys to devices to allow them to provide their identity |
| KR20180066148A (ko) * | 2015-10-21 | 2018-06-18 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 네트워크 기능 가상화 아키텍처에서의 인증서 관리 방법 및 디바이스 |
| US10142323B2 (en) * | 2016-04-11 | 2018-11-27 | Huawei Technologies Co., Ltd. | Activation of mobile devices in enterprise mobile management |
| US10104526B2 (en) * | 2016-06-01 | 2018-10-16 | Motorola Solutions, Inc. | Method and apparatus for issuing a credential for an incident area network |
| WO2019020439A1 (en) * | 2017-07-25 | 2019-01-31 | Telefonaktiebolaget Lm Ericsson (Publ) | HIDDEN SUBSCRIPTION IDENTIFIER |
| US11310215B2 (en) * | 2020-06-29 | 2022-04-19 | Sony Group Corporation | Access management of publisher nodes for secure access to MaaS network |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002058361A2 (en) * | 2000-11-07 | 2002-07-25 | At & T Wireless Services, Inc. | System and method for using a temporary electronic serial number for over-the-air activation of a mobile device |
| CN1581820A (zh) * | 2003-07-31 | 2005-02-16 | 华为技术有限公司 | 无线局域网中用户终端选择接入移动网的优化交互方法 |
| CN1902877A (zh) * | 2003-12-05 | 2007-01-24 | 捷讯研究有限公司 | 控制去往无线通信设备的未请求业务的设备及方法 |
| CN101111016A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 在移动通信网络中提供固定通信业务的设备、***和方法 |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US7340057B2 (en) * | 2001-07-11 | 2008-03-04 | Openwave Systems Inc. | Method and apparatus for distributing authorization to provision mobile devices on a wireless network |
| US6980660B1 (en) * | 1999-05-21 | 2005-12-27 | International Business Machines Corporation | Method and apparatus for efficiently initializing mobile wireless devices |
| US6487403B2 (en) * | 1999-08-19 | 2002-11-26 | Verizon Laboratories Inc. | Wireless universal provisioning device |
| US6873609B1 (en) * | 1999-11-02 | 2005-03-29 | Ipwireless, Inc. | Use of internet WEB technology for wireless internet access |
| US6879825B1 (en) * | 2000-11-01 | 2005-04-12 | At&T Wireless Services, Inc. | Method for programming a mobile station using a permanent mobile station identifier |
| US20060039564A1 (en) * | 2000-11-17 | 2006-02-23 | Bindu Rama Rao | Security for device management and firmware updates in an operator network |
| US20060269061A1 (en) * | 2001-01-11 | 2006-11-30 | Cardinalcommerce Corporation | Mobile device and method for dispensing authentication codes |
| CA2356823C (en) * | 2001-09-10 | 2010-05-11 | Research In Motion Limited | System and method for real time self-provisioning for a mobile communication device |
| US7254614B2 (en) * | 2001-11-20 | 2007-08-07 | Nokia Corporation | Web services push gateway |
| US7246236B2 (en) * | 2002-04-18 | 2007-07-17 | Nokia Corporation | Method and apparatus for providing peer authentication for a transport layer session |
| US6836670B2 (en) * | 2002-05-09 | 2004-12-28 | Casabyte, Inc. | Method, apparatus and article to remotely associate wireless communications devices with subscriber identities and /or proxy wireless communications devices |
| JP4509930B2 (ja) * | 2002-10-17 | 2010-07-21 | ヴォウダフォン・グループ・ピーエルシー | トランザクションの容易化および認証 |
| US7269732B2 (en) * | 2003-06-05 | 2007-09-11 | Sap Aktiengesellschaft | Securing access to an application service based on a proximity token |
| US20050060390A1 (en) * | 2003-09-15 | 2005-03-17 | Faramak Vakil | Method and system for plug and play installation of network entities in a mobile wireless internet |
| US7239877B2 (en) * | 2003-10-07 | 2007-07-03 | Accenture Global Services Gmbh | Mobile provisioning tool system |
| US7505756B2 (en) * | 2003-10-15 | 2009-03-17 | Microsoft Corporation | Dynamic online subscription for wireless wide-area networks |
| US8543814B2 (en) * | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
| FI20050491A0 (fi) * | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| US20060293028A1 (en) * | 2005-06-27 | 2006-12-28 | Gadamsetty Uma M | Techniques to manage network authentication |
| US8280354B2 (en) * | 2005-10-27 | 2012-10-02 | Research In Motion Limited | Method and system for provisioning wireless services |
| US8027472B2 (en) * | 2005-12-30 | 2011-09-27 | Selim Aissi | Using a trusted-platform-based shared-secret derivation and WWAN infrastructure-based enrollment to establish a secure local channel |
| CN101018128A (zh) * | 2006-02-10 | 2007-08-15 | 朗迅科技公司 | 向互联网协议多媒体子***(ims)鉴权可移除的用户身份模块 |
| MX2008014168A (es) * | 2006-05-05 | 2009-03-06 | Interdigital Tech Corp | Gestion de derechos digitales que utiliza tecnicas de procesamiento fiables. |
| FI120480B (fi) * | 2006-05-15 | 2009-10-30 | Software Cellular Network Ltd | Menetelmä ja järjestelmä käyttäjälaitteen konfiguroimiseksi |
| US20080108321A1 (en) * | 2006-11-08 | 2008-05-08 | Pouya Taaghol | Over-the-air (OTA) device provisioning in broadband wireless networks |
| US8064597B2 (en) * | 2007-04-20 | 2011-11-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
| US8200736B2 (en) * | 2007-12-24 | 2012-06-12 | Qualcomm Incorporated | Virtual SIM card for mobile handsets |
| US8407769B2 (en) * | 2008-02-22 | 2013-03-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for wireless device registration |
-
2008
- 2008-03-20 US US12/052,028 patent/US20090239503A1/en not_active Abandoned
-
2009
- 2009-02-23 EP EP09722939.7A patent/EP2255507B1/en active Active
- 2009-02-23 CN CN2009801106689A patent/CN101978675B/zh active Active
- 2009-02-23 WO PCT/EP2009/052104 patent/WO2009115394A2/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002058361A2 (en) * | 2000-11-07 | 2002-07-25 | At & T Wireless Services, Inc. | System and method for using a temporary electronic serial number for over-the-air activation of a mobile device |
| CN1581820A (zh) * | 2003-07-31 | 2005-02-16 | 华为技术有限公司 | 无线局域网中用户终端选择接入移动网的优化交互方法 |
| CN1902877A (zh) * | 2003-12-05 | 2007-01-24 | 捷讯研究有限公司 | 控制去往无线通信设备的未请求业务的设备及方法 |
| CN101111016A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 在移动通信网络中提供固定通信业务的设备、***和方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210127258A1 (en) * | 2012-10-11 | 2021-04-29 | Huawei Technologies Co., Ltd. | Implementation and communication methods, apparatus and system of virtual subscriber identity module |
| US11601803B2 (en) * | 2012-10-11 | 2023-03-07 | Huawei Technologies Co., Ltd. | Implementation and communication methods, apparatus and system of virtual subscriber identity module |
| US11979942B2 (en) | 2012-10-11 | 2024-05-07 | Huawei Technologies Co., Ltd. | Implementation and communication methods, apparatus and system of virtual subscriber identity module |
| CN105516219A (zh) * | 2014-09-24 | 2016-04-20 | 中国电信股份有限公司 | 嵌入式智能卡安全去激活的方法、***和卡管理服务器 |
| CN105516219B (zh) * | 2014-09-24 | 2018-12-18 | 中国电信股份有限公司 | 嵌入式智能卡安全去激活的方法、***和卡管理服务器 |
| CN110278551A (zh) * | 2014-09-24 | 2019-09-24 | 意法半导体公司 | 便携式移动订阅 |
| CN110278551B (zh) * | 2014-09-24 | 2022-11-11 | 意法半导体公司 | 用于便携式移动订阅的方法和计算机可读存储介质 |
| WO2023201550A1 (zh) * | 2022-04-19 | 2023-10-26 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009115394A2 (en) | 2009-09-24 |
| EP2255507B1 (en) | 2016-07-06 |
| EP2255507A2 (en) | 2010-12-01 |
| US20090239503A1 (en) | 2009-09-24 |
| CN101978675B (zh) | 2013-11-13 |
| WO2009115394A3 (en) | 2009-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101978675B (zh) | 向通信装置安全地发布预订凭证的***和方法 | |
| CN101010903B (zh) | 用于生成并验证电子签名的方法 | |
| CN101940016B (zh) | 移动装置发凭证的方法和*** | |
| JP5601729B2 (ja) | 移動無線機の移動無線網へのログイン方法 | |
| CN103685282B (zh) | 一种基于单点登录的身份认证方法 | |
| CN109992949B (zh) | 一种设备认证方法、空中写卡方法及设备认证装置 | |
| CN102088353B (zh) | 基于移动终端的双因子认证方法及*** | |
| KR20170134631A (ko) | 사용자 인증 방법 및 장치, 및 웨어러블 디바이스 등록 방법 및 장치 | |
| US20100266128A1 (en) | Credential provisioning | |
| EP2515567B1 (en) | Apparatus and method for authenticating a transaction between a user and an entity | |
| CN104737177B (zh) | 用于提供安全服务的方法 | |
| CN103259667A (zh) | 移动终端上eID身份认证的方法及*** | |
| EP3425842A1 (en) | Communication system, hardware security module, terminal device, communication method, and program | |
| CN101777978A (zh) | 一种基于无线终端的数字证书申请方法、***及无线终端 | |
| CN101207482A (zh) | 一种实现单点登录的方法及*** | |
| CN102378170A (zh) | 一种鉴权及业务调用方法、装置和*** | |
| CN106576043A (zh) | 病毒式可分配可信消息传送 | |
| CN1977559B (zh) | 保护在用户之间进行通信期间交换的信息的方法和*** | |
| KR101210260B1 (ko) | 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법 | |
| CN101873331A (zh) | 一种安全认证方法和*** | |
| CN103380592A (zh) | 用于个人认证的方法、服务器以及*** | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN106096947A (zh) | 基于nfc的半离线匿名支付方法 | |
| CN103237305A (zh) | 面向移动终端上的智能卡密码保护方法 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |