СПОСОБЫ, ПРЕДНАЗНАЧЕННЫЕ ДЛЯ ТОГО, ЧТОБЫ ДАВАТЬ ВОЗМОЖНОСТЬ БЕЗОПАСНОЙ САМОСТОЯТЕЛЬНОЙ ИНИЦИАЛИЗАЦИИ АБОНЕНТСКИХ УСТРОЙСТВ В СИСТЕМЕ СВЯЗИ Российский патент 2014 года по МПК H04L29/06 H04W8/24 H04W12/06 

Описание патента на изобретение RU2515809C2

Область техники, к которой относится изобретение

Область техники в целом относится к системам связи и в частности она относится к способу безопасной самостоятельной инициализации абонентских устройств.

Уровень техники

Первоначальная инициализация абонентского устройства, такого как мобильное или портативное радиоустройство или другое устройство связи, включает в себя сложные ручные процессы, для того чтобы предоставить возможность новому абонентскому устройству работать в системе связи. Обычно новое абонентское устройство является чем-то нетронутым. Для того чтобы новое абонентское устройство работало с конкретной системой и сетью связи, абонентское устройство настраивают или программируют с паролями, идентификаторами, приложениями программного обеспечения, материалами настройки по криптографическому ключу и тому подобным с помощью владельца системы связи. Для того чтобы выполнить настройку или программирование, техник должен физически соединить абонентское устройство с различными устройствами инициализации (например, программным обеспечением программирования заказчика (CPS), переменным загрузчиком ключей (KVL)). В свою очередь, система связи наполняет свою абонентскую базу данных опознавательным кодом, санкционированными признаками и материалами настройки по ключу абонентского устройства, например функциями кнопок и управления, назначениями частот, идентификацией абонентского устройства и назначениями парка.

Во время инициализации техник вручную записывает и согласует электронный порядковый номер (ESN) каждого абонентского устройства и опознавательный код абонентского устройства таким образом, чтобы техник случайно не создал одного или более двойников абонентских устройств. Процесс инициализации тысяч абонентских устройств с помощью конфигурирования вручную каждого абонентского устройства с подходящими параметрами конфигурирования является склонным к человеческой ошибке, медленным, и потенциальный взлом защиты для каждого вора опознавательного кода абонентского устройства является возможным. Также процесс, предназначенный для того, чтобы инициализировать эти тысячи абонентских устройств в абонентскую базу данных системы связи, также является медленным и склонным к человеческой ошибке. В результате большинство систем связи открывают свою базу данных системы связи во время периода первоначальной инициализации, чтобы позволить абонентским устройствам быть зарегистрированными, как только абонентское устройство пытается в первый раз использовать ресурсы системы связи. В этот момент времени система связи автоматически создает запись для этого абонентского устройства в базе данных системы связи. Это предлагает быструю инициализацию, однако это слишком подвержено взломам защиты, что допускает, что большинство абонентских устройств будут зарегистрированы во время этого открытого периода базы данных, и что большинство абонентских устройств и/или пользователей радиоустройств, присоединенных к абонентским устройствам, которые регистрируются в систему связи, являются легитимными абонентскими устройствами и пользователями радиоустройств. Кроме того, в случае если абонентское устройство скомпрометировано или стерты параметры программирования, абонентское устройство должно быть физически перепрограммировано. Повторный вызов абонентских устройств из области эксплуатации для программирования является дорогим, требующим много времени и неэффективным.

Таким образом, требуется способ, предназначенный для безопасной и дистанционной самостоятельной инициализации абонентского устройства.

Краткое описание чертежей

Сопровождающие фигуры, на которых одинаковые ссылочные номера относятся к идентичным или функционально подобным элементам по всем отдельным видам, вместе с подробным описанием ниже включены в спецификацию и образуют часть спецификации и служат для того, чтобы дополнительно проиллюстрировать различные варианты осуществления концепций, которые включают в себя заявленное изобретение, и объяснить различные принципы и преимущества этих вариантов осуществления.

Фиг.1 - схема иллюстративной системы связи в соответствии с принципами настоящего раскрытия.

Фиг.2 - блок-схема последовательности этапов варианта осуществления фазы самозагрузки настоящего раскрытия.

Фиг.3 - блок-схема последовательности этапов варианта осуществления фазы регистрации настоящего раскрытия.

Фиг.4 - блок-схема последовательности этапов варианта осуществления фазы конфигурирования настоящего раскрытия.

Фиг.5 - блок-схема последовательности этапов варианта осуществления фазы активации настоящего раскрытия.

Специалисты в области техники поймут, что элементы на фигурах проиллюстрированы для простоты и ясности и не обязательно начерчены в масштабе. Например, размеры некоторых из элементов на фигурах могут быть увеличены относительно других элементов для того, чтобы помочь улучшить понимание различных. Дополнительно будет понятно, что определенные действия и/или этапы могут быть описаны или изображены в определенной последовательности происшествия, в то время как специалисты в данной области техники поймут, что такая особенность относительно последовательности фактически не требуется.

Компоненты устройства и способа представлены, где уместно, с помощью традиционных символов на чертежах, изображающих только те специфические детали, которые относятся к пониманию различных вариантов осуществления настоящего изобретения, таким образом, чтобы не затенять раскрытие деталями, которые будут без труда понятными специалистам в данной области техники, имеющим выгоду от описания, приведенного в настоящей заявке. Таким образом, будет понятно, что для простоты и ясности иллюстрации общеизвестные и достаточно понятные элементы, которые являются полезными или необходимыми в коммерчески реализуемом варианте осуществления, не будут изображены, для того чтобы способствовать менее затрудненному виду этих различных вариантов осуществления.

Подробное описание раскрытия

Вообще говоря, согласно различным вариантам осуществления в настоящей заявке раскрыты способы предоставления возможности дистанционной безопасной самостоятельной инициализации абонентского устройства. Абонентское устройство принимает данные доступа к инициализации из интерфейса инициализации области эксплуатации и/или сервера инициализации и безопасности и генерирует данные инициирования конфигурирования абонентского устройства из данных доступа к инициализации. Затем абонентское устройство генерирует запрос подписи сертификата. Запрос подписи сертификата является сообщением из абонентского устройства, доверяемой третьей стороне, такой как провайдер услуг инфраструктуры открытого ключа (PKI), для того чтобы обратиться за цифровым сертификатом абонентского устройства, также известным как сертификат опознавательного кода. Сертификат абонентского устройства может быть использован стороной для того, чтобы криптографическим способом проверить опознавательный код абонентского устройства.

Запрос подписи сертификата, включающий в себя данные инициирования конфигурирования абонентского устройства, передают в сервер инициализации и безопасности. Сервер инициализации и безопасности генерирует данные инициализации для абонентского устройства с использованием данных инициирования конфигурирования абонентского устройства. Сервер инициализации и безопасности дополнительно в ответ на запрос подписи сертификата предоставляет в абонентское устройство данные инициализации и сертификат абонентского устройства, имеющий атрибуты санкционирования, связанные с данными инициализации, для того чтобы дать возможность самостоятельной инициализации абонентского устройства.

Теперь, обращаясь к фигурам и, в частности, к фиг.1, изображен пример системы 100 связи в соответствии с настоящим раскрытием. Система 100 связи включает в себя сервер 130 инициализации, имеющий в качестве пользователя, служащего инициализации и безопасности (PSO) 100, и провайдера 120 услуг инфраструктуры открытого ключа (PKI) «заказчика», который включает в себя один или более серверов PKI (не изображены). «Провайдер услуг» относится к человеку или объекту, который предоставляет услуги связи, такие как сохранение, иерархии доверия и/или доступ к связи с другими людьми или объектами. Человеческий пользователь абонентского устройства или пользователь радиоустройства далее в настоящей заявке «пользователь радиоустройства», изображен с абонентским устройством 102, которое является новым незапрограммированным или необеспеченным абонентским устройством, которое является функционально пригодным или дополнительно санкционированным, чтобы работать в системе связи 100, до осуществления уроков, приведенных в настоящей заявке.

Абонентское устройство взаимодействует с интерфейсом инициализации области функционирования (FPI) 110, для того чтобы сначала дистанционно получить «данные доступа к инициализации» из сервера 130 инициализации, а затем чтобы окончательно дистанционно получить «данные инициализации» из сервера 130 инициализации для того, чтобы работать в системе 100 связи. Как использованы в настоящей заявке, «данные доступа к инициализации» означают предварительные данные, которые, когда загружены в абонентское устройство, обеспечивают абонентское устройство параметрами конфигурирования, необходимыми для ограниченного доступа к системе связи через портал инициализации (например, сервер инициализации), для того, чтобы получить остальные данные, необходимые для абонентского устройства, для того, чтобы завершить процесс инициализации, для того чтобы полностью работать в системе. Примеры данных доступа к инициализации включают в себя идентифицированные радиочастотные (RF) каналы для доступа к порталу инициализации, функциональные возможности или признаки абонентского устройства, сетевые адреса (например, адреса протокола Internet (IP)) для сервера обеспечении и т.д. Как использованы в настоящей заявке, «данные инициализации» содержат остальные данные, которые абонентское устройство получает с помощью портала обеспечения, который предоставляет полный набор параметров конфигурирования, требуемых абонентским устройством для того, чтобы зарегистрироваться в системе связи и работать в ней. Данные инициализации включают в себя, например, адреса (например, IP) сетей, радиочастотные каналы, местоположения санкционированных услуг и другие параметры, связанные с сетью, такие как данные интервала времени, данные приоритета и правила доступа к сети. Кроме того, «дистанционное» относится к абонентскому устройству 102, которое физически не соединено с сервером 130 инициализации или не является смежным к нему, и такая дистанционная связь может иметь место через проводную или беспроводную сеть связи, которая соответствует конкретному осуществлению системы.

Как указано ранее, абонентское устройство является новым или иначе необеспеченным, или несконфигурированным, чтобы работать в системе связи, и в этот момент времени не имеет своего собственного сертификата, выпущенного PKI 120 заказчика. Однако абонентское устройство обеспечивают во время изготовления копией сертификата достоверной привязки, управляемой с помощью изготовителя абонентского устройства. Как будет описано позже, этот сертификат позволяет абонентскому устройству и серверу инициализации создавать цепочку достоверности обратно в эту общую достоверную привязку (достоверную привязку, управляемую с помощью изготовителя SU) для того, чтобы аутентифицировать стороны и данные инициализации, предоставленные в SU. Абонентское устройство 102 также упомянуто в данной области техники как устройство связи, клиентский объект, устройство доступа, терминал доступа, пользовательское оборудование, мобильная станция, мобильное абонентское устройство, мобильное устройство и тому подобное, и может быть любым стандартным устройством связи, таким как радиоустройство, мобильный телефон, двунаправленное радиоустройство, сотовый телефон и любое другое устройство, которое может связываться в беспроводной среде. В варианте осуществления FPI 110 и абонентское устройство 102 совместно используют общее устройство аппаратного обеспечения, т.е. они размещены в одном и том же физическом устройстве, в котором, например, FPI осуществлен как интерфейс программирования в абонентском устройстве. В альтернативном варианте осуществления FPI осуществлен с использованием отдельной платформы аппаратного обеспечения, такой как разрешенный интерфейс web, работающий в терминале компьютера, соединенном с абонентским устройством.

Сервер 130 инициализации и провайдер 120 услуг PKI со своим соответствующим сервером PKI (который содержит, по меньшей мере, источник сертификата для обслуживания запросов подписи сертификата выдачи сертификатов в ответ на запросы) проиллюстрированы как отдельные объекты на фиг.1. Кроме того, варианты осуществления раскрытия описаны ниже со ссылкой на два отдельных объекта. Однако в другом варианте осуществления, по меньшей мере, некоторые функциональные возможности сервера инициализации и сервера PKI объединены в один объект на общей платформе программного обеспечения и/или аппаратного обеспечения и упомянуты в настоящей заявке как сервер инициализации и безопасности, причем это понятие использовано взаимозаменяемо с понятием сервер инициализации.

Обычно абонентское устройство 102 и серверы (например, сервер 130 инициализации и сервер PKI, будь то отдельно или совместно), каждые осуществлены с использованием (несмотря на то, что не изображены) памяти, одного или более сетевых интерфейсов и устройства обработки, которые оперативно соединены и которые, когда запрограммированы, образуют средство для этих устройств, чтобы осуществлять их желаемые функциональные возможности, например, как проиллюстрировано с помощью ссылки на схемы передачи сигналов и последовательности этапов с 200 по 500, изображенные на фиг.2-фиг.5. Сетевые интерфейсы используют для прохода сигнализации (например сообщений, пакетов, дейтаграмм, кадров, суперкадров и тому подобного) между этими устройствами.

Осуществление сетевого интерфейса в конкретном устройстве зависит от конкретного типа сети, т.е. проводной и/или беспроводной, с которой соединено устройство. Например, когда сеть поддерживает проводную связь, интерфейсы могут содержать интерфейс последовательного порта (например, соответствующий стандарту RS-232), интерфейс параллельного порта, интерфейс Ethernet, интерфейс USB и/или интерфейс FireWire и тому подобные. Когда сеть поддерживает беспроводную связь, интерфейсы содержат элементы, включающие в себя элементы обработки, модуляции и приемопередатчика, которые действуют в соответствии с одним или более стандартами или патентованными беспроводными интерфейсами, причем некоторые из функциональных возможностей элементов обработки, модуляции и приемопередатчика могут быть выполнены посредством устройства обработки посредством запрограммированной логики, такой как приложения программного обеспечения или программно-аппаратное обеспечение, сохраненной в устройстве памяти конкретного устройства, или посредством аппаратного обеспечения.

Устройство обработки, используемое с помощью абонентского устройства 102 и серверов в системе 100, может быть запрограммировано с логикой программного обеспечения или программно-аппаратного обеспечения или кода для выполнения сигнализации, такой как сигнализация, включенная в диаграммы сигнализации, проиллюстрированные на фиг.2-фиг.5, и/или устройство обработки может быть осуществлено в аппаратном обеспечении, например, как конечный автомат или ASIC (интегральная схема прикладной ориентации). Память, осуществленная с помощью этих устройств, может включать в себя краткосрочное запоминающее устройство и/или долгосрочное запоминающее устройство различной информации, необходимой для работы соответственных устройств. Память дополнительно может сохранять программное обеспечение или программно-аппаратное обеспечение для программирования устройства обработки с логикой и кодом, необходимым для того, чтобы выполнять свои функциональные возможности.

Предоставление возможности пользователю 104 радиоустройства программировать абонентское устройство 102 дистанционно с данными инициализации и материалом настройки по ключу системы 100 связи включает в себя четыре предварительные фазы. Предварительные фазы служат для того, чтобы проверить и аутентифицировать опознавательный код нового абонентского устройства 102 до того, как абонентское устройство 102 сможет загрузить данные инициализации системы 100 связи, таким образом предотвращая или ограничивая, чтобы данные инициализации были использованы или загружены без санкционирования. Четыре фазы включают в себя: самозагрузку, регистрацию, конфигурирование и активацию абонентского устройства.

Во время фазы 200 самозагрузки, как изображено на фиг.2, пользователя 104 радиоустройства обеспечивают данными или материалами доступа к инициализации (использованными в настоящей заявке взаимозаменяемо) с помощью FPI 110, которые являются первоначальным множеством данных, которые дают возможность абонентскому устройству иметь ограниченный первоначальный доступ к порталу доступа к инициализации системы 100 связи, например, управляемому в сервер 130 инициализации. Данные доступа к инициализации включают в себя сетевые адреса для сервера 130 инициализации, по меньшей мере, один радиочастотный канал для того, чтобы осуществлять доступ к сети для посылки запроса подписи сертификата (CSR) (объясненного более подробно ниже), множество сертификатов, которые образуют цепочку или приводят обратно в достоверную привязку, управляемую с помощью изготовителя абонентского устройства (которая является общей достоверной привязкой для сервера 130 инициализации), функциональные возможности или признаки для абонентского устройства (названные в настоящей заявке «флэш-код») и т.д., но не ограничены ими.

Иллюстративно FPI 110 выполняют с помощью RU 104 на незащищенной вычислительной платформе, такой, что новое абонентское устройство 102 может инициировать обеспечение с системой связи 100. В варианте осуществления FPI 110 является устройством или приложением, чтобы программировать радиоустройство. Кроме того, платформа, на которой выполняется FPI, имеет интерфейс для общей карты доступа (САС), а абонентское устройство имеет защищенный интерфейс в интерфейс инициализации области функционирования FPI.

Владелец системы (100) связи с помощью PKI 120 заказчика обеспечивает каждого санкционированного пользователя (104) радиоустройства подписанным сертификатом, проверяющим открытый ключ RU и соответствующее санкционирование RU. Секретный ключ подписи RU (соответствующий открытому ключу) и сертификат для защиты такого санкционирования могут быть сохранены в общей карте доступа.

Данные доступа к инициализации защищают с помощью служащего защиты инициализации (PSO) 140 (или сервера инициализации). PSO является лицом, которое является ответственным за создание данных доступа к инициализации для SU. Сертификат PSO также выдают с помощью PKI заказчика. PSO 140 санкционирует или подписывает данные 202 доступа к инициализации с использованием цифровой подписи или сертификата сервера (130) инициализации.

В настоящем раскрытии материалы или данные доступа к инициализации дают возможность абонентскому устройству (102) осуществлять доступ только к ресурсам инициализации. Материал или данные доступа к инициализации включают в себя флэш-код, например, функциональные возможности/признаки идентификации абонентского устройства (102) и необходимые цепочки сертификата, которые используют с помощью абонентского устройства (102) для того, чтобы создать достоверный маршрут между сертификатом служащего (104) безопасности инициализации и сертификатом достоверной привязки, установленном в абонентском устройстве (102) с помощью изготовителя SU. Сертификат, такой как сертификат инфраструктуры открытого ключа (PKI) (также известный как цифровой сертификат или сертификат опознавательного кода), является электронным документом, который использует цифровую подпись для того, чтобы связать вместе открытый ключ с идентификатором объекта. Сертификат может быть использован для того, чтобы проверить, что открытый ключ принадлежит объекту. В типичной схеме инфраструктуры открытого ключа (PKI) подпись будет источника сертификатов (СА).

Подпись является либо собственно подписанным сертификатом или аттестациями пользователя. В любом случае подписи в сертификате являются подтверждениями с помощью лица, подписывающего сертификат, что информация опознавательного кода и открытый ключ соответствуют друг другу. Схема сертификации открытого ключа зависит от предварительно определенного допущения существования источника сертификатов или доверяемой третьей стороны.

Абонентское устройство 102 имеет два источника достоверностей («достоверную привязку»): достоверную привязку из общего PKI или PKI изготовителя («общую достоверную привязку»), которой управляют и администрируют с помощью изготовителя или завода для того, чтобы управлять ключами, чтобы защищать активы изготовителя или завода, и источник достоверности из PKI системы связи («достоверную привязку системы связи»), которой управляют и администрируют с помощью системы связи для того, чтобы управлять ключами, чтобы защищать активы системы связи.

По меньшей мере, один из двух источников достоверности обычно обеспечивают во время изготовления абонентского устройства. Кроме того, абонентское устройство также обеспечивают другой, программируемой достоверной привязкой, которая по умолчанию первоначально является опять общей достоверной привязкой, но которая может быть перепрограммирована, например, в ходе процесса инициализации, в соответствии с уроками, приведенными в настоящей заявке. Следовательно, для того чтобы абонентское устройство проверило достоверность сертификатов, выданных с помощью PKI системы связи, абонентское устройство требует цепочку сертификатов, которая связывает мостом общую достоверную привязку и достоверную привязку PKI системы связи.

Таким образом, в настоящем раскрытии во время фазы 200 самозагрузки создание цепочки сертификатов начинается с помощью служащего (140) безопасности инициализации с использованием сервера (130) инициализации и подписи материалов/данных (203), 202 доступа к инициализации. Подписанные данные доступа к инициализации включают в себя цепочку сертификатов.

Данные (203) доступа к инициализации передают в интерфейс (110) инициализации области функционирования. В одном варианте осуществления материалы доступа к инициализации передают пользователю (104) радиоустройства в 204, который загружает данные доступа к инициализации в интерфейс (110) инициализации области функционирования, 205. В другом варианте осуществления данные (203) доступа к инициализации передают из сервера (130) инициализации непосредственно в интерфейс (110) инициализации области функционирования, 206. В другом варианте осуществления владелец системы может предоставить материал доступа к инициализации санкционированному служащему защиты области функционирования (FSO), для которого FSO выполняет самозагрузку множества абонентских устройств и назначает группу пользователей в каждое абонентское устройство.

Сервер инициализации является сервером, который принимает «верительные данные» пользователя радиоустройства/абонентского устройства и специфические параметры регистрации абонентского устройства из подтвержденного запроса подписи подписанного сертификата, координирует различные материалы инициализации пользователя радиоустройства/абонентского устройства и абонентского устройства, доставляет материалы обеспечения в абонентское устройство и обеспечивает услуги пользователя радиоустройства/абонентского устройства в соответствующем провайдере (провайдерах) услуг.

Интерфейс (110) инициализации области эксплуатации передает подписанные материалы доступа к инициализации, 208, в абонентское устройство (102). Абонентское устройство (102) определяет, успешно ли проверена достоверность материалов (203) доступа к инициализации, 210, или, иначе говоря, аутентифицирует источник данных доступа к инициализации.

Чтобы определить аутентичность данных доступа к инициализации, абонентское устройство может проверить электронную подпись данных доступа к инициализации с помощью проверки ее относительно цепочки сертификатов обратно в общую достоверную привязку. Если источник данных доступа к инициализации не был подтвержден как достоверный или не был аутентифицирован, пользователя (104) радиоустройства информируют о неуспешном завершении проверки достоверности, 212. Если проверка на достоверность была успешной, данные (203) доступа к инициализации устанавливают в абонентском устройстве, 214. Таким образом, абонентское устройство (102) дистанционно приняло аутентифицированные данные доступа к инициализации.

Если абонентское устройство (102) самостоятельно загружено материалами доступа к инициализации, абонентское устройство (102) готово для фазы регистрации, 300 (фиг.3). На этой фазе в одном варианте осуществления пользователь (104) радиоустройства поддерживает свое абонентское устройство (102), чтобы зарегистрироваться в системе (100) связи. Например, пользователь (104) радиоустройства отдает команду абонентскому устройству (102) через интерфейс (110) инициализации области эксплуатации, чтобы сгенерировать пары секретного/открытого ключей с использованием источников энтропии абонентского устройства (102) или пользователя (104) радиоустройства, 302. SU 102 дополнительно генерирует запрос подписи сертификата, который SU подписывает с использованием секретного ключа до передачи запроса подписи сертификата в сервер инициализации.

Запрос подписи сертификата, сгенерированный с помощью абонентского устройства, отличается от стандартных запросов подписи сертификата тем, что он содержит «данные инициирования конфигурирования абонентского устройства», которые, как это понятие использовано в настоящей заявке, означают данные, которые использует сервер инициализации для того, чтобы инициировать генерацию данных инициализации для SU, которые позволят доступ SU ко всем признакам и услугам, санкционированным с помощью владельца системы связи. Инициирование инициализации абонентского устройства в варианте осуществления определяют/генерируют с помощью SU, и оно содержит, по меньшей мере, некоторые из данных доступа к инициализации, а именно флэш-код, который предоставляет указание о функциональных возможностях и/или признаках SU, а также может содержать другие данные, такие как идентификатор для абонентского устройства (например, ESN). Запрос подписи сертификата дополнительно включает в себя встроенный сертификат абонентского устройства, выданный с помощью общей достоверной привязки, и сертификат/подпись пользователя радиоустройства, который поддерживает абонентское устройство 102. Сертификат пользователя радиоустройства и/или абонентского устройства используют для того, чтобы аутентифицировать сгенерированный открытый ключ абонентского устройства. Встроенный сертификат абонентского устройства, выданный с помощью общей достоверной привязки, содержит информацию, чтобы идентифицировать абонентское устройство 102, например ESN абонентского устройства, тип или номер модели, версию программно-аппаратного обеспечения и тому подобное.

Абонентское устройство (102) передает запрос подписи сертификата в интерфейс (110) инициализации области эксплуатации, 306. Пользователь (104) радиоустройства использует интерфейс (110) инициализации области эксплуатации для того, чтобы подписать запрос подписи сертификата, 308. Затем интерфейс (110) инициализации области эксплуатации передает подписанный запрос подписи сертификата в сервер (130) инициализации, 310, с использованием ресурсов инициализации, заданных во время фазы самозагрузки, более конкретно канал доступа к инициализации (например RF-канал), идентифицированный в данных доступа к инициализации.

В другом варианте осуществления служащий защиты области эксплуатации, а не пользователь радиоустройства поддерживает абонентское устройство. Служащий защиты области эксплуатации указывает в запросе подписи сертификата, что это запрос подписи сертификата, поддержанный FSO, и задает группу пользователей абонентского устройства. В любом варианте осуществления абонентское устройство, имеющее переданный подписанный запрос подписи сертификата с данными инициирования конфигурирования абонентского устройства, готово для фазы конфигурирования.

Во время фазы 400 конфигурирования, как изображено на фиг.4, пользователя радиоустройства и абонентское устройство 102 конфигурируют с подходящими услугами системы связи в соответствии с назначенными привилегиями/санкционированием пользователя радиоустройства и функциональными возможностями абонентского устройства 102 (признаками/опциями и тому подобным), далее упоминаемыми в настоящей заявке как флэш-код абонентского устройства. Как упомянуто ранее, данные инициирования конфигурирования абонентского устройства включают в себя флэш-код и идентификатор для абонентского устройства (102). Идентификатор может быть электронным порядковым номером (ESN), который является строкой цифр, которые постоянно и уникально глобально идентифицируют радиоустройство.

После приема CSR абонентского устройства из интерфейса инициализации области эксплуатации сервер инициализации аутентифицирует подписи пользователя радиоустройства и абонентского устройства в CSR, чтобы гарантировать, что оно является легитимным участником системы связи. Сервер (130) инициализации принимает подписанный запрос подписи сертификата из интерфейса инициализации области использования и проверяет достоверность подписи пользователя радиоустройства и подпись запроса подписи сертификата абонентского устройства (секретный ключ), 402, 404, с помощью извлечения специфических параметров регистрации абонентского устройства (например, ESN абонентского устройства, флэш-кода абонентского устройства, типа абонентского устройства, номера модели абонентского устройства версии программно-аппаратного обеспечения абонентского устройства и встроенного сертификата абонентского устройства, выданного с помощью общего или заводского PKI) и «верительные данные» пользователя радиоустройства/абонентского устройства. Сервер инициализации выполняет просмотр базы данных в базах данных абонентских устройств с использованием специфических параметров регистрации абонентского устройства для того, чтобы проверить, было ли абонентское устройство ранее зарегистрировано, или это первая регистрация абонентского устройства. Сервер инициализации также проверяет достоверность флэш-кода абонентского устройства, чтобы гарантировать, что абонентское устройство имеет легитимный флэш-код.

Если подписи не выдерживают проверки достоверности, сервер инициализации делает вывод, что абонентское устройство скомпрометировано, и информирует пользователя радиоустройства и/или интерфейс инициализации области эксплуатации, 406.

Если подписи проходят проверку достоверности, сервер инициализации извлекает из идентификатора абонентского устройства CSR абонентского устройства, флэш-код абонентского устройства, общую достоверную привязку и сертификат пользователя радиоустройства, 408. Используя идентификатор абонентского устройства, сервер инициализации ищет базу данных абонентского устройства и определяет, было ли абонентское устройство ранее обеспечено в системе связи, 410, 412.

Если абонентское устройство ранее было зарегистрировано, сервер инициализации извлекает ранее зарегистрированный флэш-код для абонентского устройства, 414, и выполняет сравнение данных, чтобы гарантировать, что информация об абонентском устройстве, содержащаяся в базе данных абонентского устройства системы связи, является синхронной с информацией, представленной с помощью абонентского устройства, причем синхронизированные или проверенные данные флэш-кода относительно функциональных возможностей SU составляют часть данных инициализации для SU.

Если абонентское устройство ранее не было зарегистрировано в системе связи, сервер инициализации регистрирует абонентское устройство с помощью базы данных абонентского устройства (регистрирует ESN, флэш-код и сертификат общей достоверной привязки абонентского устройства в базу данных), 416, причем зарегистрированные данные флэш-кода относительно функциональных возможностей SU составляют часть данных инициализации для SU.

Используя «верительные данные» пользователя радиоустройства/абонентского устройства, извлеченные из сертификата или CSR пользователя радиоустройства/абонентского устройства, сервер инициализации выполняет просмотр базы данных в базах данных пользователя радиоустройства/абонентского устройства, 430, 432, чтобы извлечь множество привилегий пользователя радиоустройства/абонентского устройства. Сервер инициализации отображает привилегии пользователя радиоустройства/абонентского устройства в специфическое множество санкционированных услуг, с помощью которого сервер инициализации определяет подходящего провайдера услуг сети и соответствующую информацию, которая будет использована для того, чтобы зарегистрировать пользователя радиоустройства/абонентское устройство в эти услуги. Для того чтобы гарантировать совместимость абонентского устройства с услугами, предложенными сетью, функциональные возможности абонентского устройства (разрешенные признаки/опции) должны быть зарегистрированы с помощью подходящего провайдера услуг.

Используя извлеченный флэш-код, содержащийся в CSR, сервер инициализации определяет поддерживаемые услуги сети абонентского устройства и определяет, в какие санкционированные услуги сети зарегистрировать пользователя радиоустройства, 420. Затем сервер инициализации регистрирует абонентское устройство с помощью каждого провайдера услуг, 420. Кроме того, сервер инициализации обновляет запрос подписи сертификата абонентского устройства с помощью указания санкционированных услуг или атрибутов санкционирования SU, связанных с данными инициализации, и подписывает с помощью секретного ключа служащего безопасности инициализации, 421.

В варианте осуществления, в котором FSO поддерживает абонентское устройство, сервер инициализации запрашивает базу данных группы пользователей для того, чтобы извлечь привилегии группы. Сервер инициализации отображает привилегии группы в специфическое множество санкционированных услуг, с помощью которых сервер инициализации определяет подходящего провайдера услуг сети и соответствующую информацию, которая будет использована для того, чтобы зарегистрировать группу в эти услуги.

Сервер инициализации передает обновленный/модифицированный запрос подписи сертификата провайдеру (120) услуг PKI, 422, и регистрирует пользователя радиоустройства и абонентское устройство провайдеру услуг, такому как провайдер (434) услуг обмена текстовыми сообщениями, в 424.

В ответ на обновленный запрос подписи сертификата, который был передан, провайдер (120) услуг PKI передает в сервер (130) инициализации подписанный сертификат абонентского устройства, имеющий атрибуты санкционирования, связанные с данными инициализации (которые предоставляют указание о санкционировании SU для того, чтобы использовать определенных провайдеров услуг), а также достоверные привязки для абонентского устройства (например, достоверную привязку системы связи и общую достоверную привязку), в 426. Затем сервер (130) инициализации может сгенерировать кодовую вставку (т.е. подписанный сертификат абонентского устройства, цепочку достоверных точек привязки абонентского устройства и данные инициализации абонентского устройства).

Специфический для провайдера услуг PKI абонентского устройства сервер инициализации отображает параметры конфигурирования провайдера услуг, поддерживаемые абонентским устройством, в подходящие атрибуты санкционирования сертификата абонентского устройства, расширения и ограничения, для которых сервер инициализации обновляет CSR абонентского устройства и передает обновленный запрос регистрации источнику выдачи сертификата.

Например, по умолчанию абонентскому устройству разрешено иметь услуги радиодоступа и обмена текстовыми сообщениями. Во время первоначальной фазы конфигурирования абонентского устройства сервер инициализации извлекает санкционированные услуги пользователя радиоустройства/абонентского устройства (в этом примере: радиодоступ и обмен текстовыми сообщениями), и регистрирует пользователя радиоустройства/абонентского устройства в провайдеров услуг радиодоступа и обмена сообщениями, в 424, и принимает подтверждение приема такой регистрации, в 436. Независимо сервер инициализации извлекает признаки/опции (допускающие данных) и регистрирует абонентское устройство в каждого из провайдеров услуг.

В ответ на процедуру конфигурирования сервера инициализации каждый провайдер услуг отвечает с помощью материала инициализации услуг сети абонентского устройства, для которого сервер инициализации отображает эти материалы инициализации услуг сети в соответствующий специфический загружаемый объект инициализации абонентского устройства, в соответствии с моделью и изготовителем абонентских устройств, 428. Например, специфический загружаемый объект инициализации абонентского устройства для услуги PKI включает в себя сертификат абонентского устройства, сертификаты источника доверия достоверного пространства заказчика абонентского устройства (достоверную привязку системы связи), для услуги радиодоступа может включать в себя функции кнопок/управления абонентского устройства, карту парка абонентского устройства) и частоту/канал абонентского устройства. Сервер инициализации объединяет каждый объект инициализации в кодовую вставку абонентского устройства, которую затем шифруют с помощью сертификата абонентского устройства и подписанного сертификата PSO. При наличии своей кодовой вставки абонентское устройство (102) подготовлено для активации в систему (100) связи.

Фаза активации, изображенная на фиг.5, начинается, когда сервер инициализации успешно создал объект специфической кодовой вставки абонентского устройства и готов для того, чтобы доставить объект кодовой вставки абонентского устройства в абонентское устройство. Сервер (130) инициализации доставляет специфические кодовые вставки абонентского устройства (102) в абонентское устройство (102) с помощью пользователя (104) радиоустройства, 502, и интерфейса (110) инициализации области эксплуатации, 504.

Интерфейс (110) инициализации области эксплуатации передает кодовую вставку в абонентское устройство (102), 506. Когда абонентское устройство 102 принимает подписанную кодовую вставку, абонентское устройство (102) проверяет достоверность цифровой подписи PSO (140) относительно сертификата общей достоверной привязки, 508. Когда абонентское устройство (102) успешно проверяет достоверность цифровой подписи PSO (140), абонентское устройство дешифрует подписанный объект с помощью своего секретного ключа, 512. Затем абонентское устройство (102) устанавливает кодовую вставку, 516. Относительно услуги достоверной привязки/PKI абонентское устройство меняет программируемую достоверную привязку абонентского устройства из общей достоверной привязки по умолчанию на достоверную привязку системы связи. Абонентское устройство готово для того, чтобы использовать услуги, предоставляемые с помощью системы/сети связи.

На всех вышеописанных фазах между сервером инициализации и интерфейсом инициализации области эксплуатации может быть использована беспроводная или проводная линия связи. Одним иллюстративным транспортным механизмом является выполнение оперативных транзакций в реальном времени с использованием SSL/TSL. Вторым иллюстративным транспортным механизмом является выполнение оперативных транзакций не в реальном времени, например электронную почту. Когда между этими устройствами нет оперативной линии связи, устройство может запоминать информацию в сменном запоминающем устройстве, которая может быть транспортирована с помощью автономного транспортного механизма.

Преимущества настоящего раскрытия будут оценены специалистами в данной области техники. Новое абонентское устройство может быть безопасно обеспечено дистанционно без необходимости быть в физическом контакте с сервером инициализации или смежным к нему и может поддерживать эффективное и экономичное управление ключами.

В предыдущей спецификации описаны специфические варианты осуществления. Однако обычный специалист в данной области техники понимает, что различные модификации и изменения могут быть сделаны, не выходя за рамки объема изобретения, которые приведены в формуле изобретения ниже. Таким образом, спецификация и фигуры должны быть рассмотрены в иллюстративном, а не ограничительном смысле, и подразумевают, что все такие модификации включены в рамки объема настоящих уроков. Выгоды, преимущества, решения проблем и любой элемент (элементы), которые могут заставить любое преимущество, выгоду или решение случаться или становиться более определенным, не должны быть истолкованы как критические, необходимые или обязательные признаки или элементы любого из всех пунктов формулы изобретения. Изобретение определено исключительно с помощью прилагаемой формулы изобретения, включая любые поправки, сделанные во время рассмотрения этой заявки, и все эквиваленты этой формулы изобретения, как изданные.

Кроме того, в этом документе термины отношения, такие как «первый» и «второй», «верхний» и «нижний», и тому подобные могут быть использованы только для того, чтобы отличать один объект или действие от другого объекта или действия, без обязательного требования или подразумевания любой фактической такой зависимости или последовательности между такими объектами или действиями. Подразумевают, что термины «содержит», «содержащий», «имеет», «имеющий», «включает в себя», «включающий в себя», «содержит в себе», «содержащий в себе» или любые другие их разновидности охватывают не исключающее включение, такое как процесс, способ, изделие производства или устройство, которое содержит, имеет, включает в себя, содержит в себе список элементов, который не только включает в себя эти элементы, но также может включать в себя другие элементы, специально не перечисленные или присущие такому процессу, способу, изделию производства или устройству. Элемент, продолженный с помощью «содержит что-то», «имеет что-то», не исключает, без дополнительных ограничений, существование дополнительных идентичных элементов в процессе, способе, изделии производства или устройстве, которое содержит, имеет, включает в себя, содержит в себе элемент. Термины единственного числа определены как один или более, если в настоящей заявке явно не указано иначе. Термины «по существу», «в сущности», «приблизительно», «почти» или любая другая их версия определены как являющиеся близкими к тому, как понятно обычному специалисту в данной области техники. Устройство или структура, которые «сконфигурированы» определенным способом, сконфигурированы, по меньшей мере, этим способом, но также могут быть сконфигурированы способами, которые не перечислены. Также последовательность этапов в блок-схеме последовательности этапов или элементов в формуле изобретения, даже когда продолжена с помощью буквы, не подразумевает или не требует такой последовательности.

Будет понятно, что некоторые варианты осуществления могут состоять из одного или более универсальных или специализированных процессоров (или «устройств обработки»), таких как микропроцессоры, процессоры цифровых сигналов, заказных процессоров и вентильных матриц, программируемых в условиях эксплуатации (FPGA) и уникальных сохраненных программных инструкций (включая как программное обеспечение, так и программно-аппаратное обеспечение), которые управляют одним или более процессорами для того, чтобы осуществлять, совместно с определенными непроцессорными схемами, некоторые, большинство или все функции способа и/или устройства для указания статуса каналов, назначенных … описанной в настоящей заявке. Непроцессорные схемы могут включать в себя приемник абонентского устройства, передатчик абонентского устройства, драйверы сигналов, схемы тактовых генераторов, схемы источников питания и пользовательские устройства ввода, но не ограничены ими. По существу эти функции могут быть интерпретированы как этапы способа, чтобы выполнять указание статуса каналов, назначенных группе общения, описанной в настоящей заявке. В качестве альтернативы некоторые или все функции могли бы быть осуществлены с помощью конечного автомата, который не имеет сохраненных программных инструкций, или в одной или более интегральных схем прикладной ориентации (ASIC), в которых каждая функция или некоторые комбинации определенных функций осуществлены как заказная логика. Конечно, могла бы быть использована комбинация двух подходов. Как конечный автомат, так и ASIC рассмотрены в настоящей заявке как «устройство обработки» для целей языка предыдущего обсуждения и формулы изобретения.

Кроме того, вариант осуществления может быть осуществлен как элемент или носитель памяти, доступный для чтения с помощью компьютера, имеющий сохраненный на нем код, доступный для чтения с помощью компьютера, предназначенный для программирования компьютера (например, содержащего устройство обработки) для того, чтобы выполнять способ, как описан и заявлен в настоящей заявке. Примеры таких элементов памяти, доступных для чтения с помощью компьютера, включают жесткий диск, CD-ROM, устройство оптической памяти, устройство магнитной памяти, ROM (память, доступную только по чтению), PROM (программируемую память, доступную только по чтению), EPROM (стираемую программируемую память, доступную только по чтению), EEPROM (электрически стираемую программируемую память, доступную только по чтению) и флэш-память, но не ограничены ими. Кроме того, предполагают, что обычный специалист, возможно, несмотря на значительное усилие и многие альтернативы разработки, мотивируемый, например, имеющимся временем, современной технологией и экономическими соображениями, руководимый концепциями и принципами, раскрытыми в настоящей заявке, без труда сможет сгенерировать такие инструкции программного обеспечения, и программы и интегральные схемы с минимальным экспериментированием.

Реферат и раскрытие предоставлены для того, чтобы позволить читателю быстро выяснить сущность технического раскрытия. Предполагают с пониманием, что оно не будет использовано для того, чтобы интерпретировать или ограничивать рамки объема или смысл формулы изобретения. Кроме того, в предыдущем подробном описании можно понять, что различные признаки сгруппированы вместе в различных вариантах осуществления с целью упрощения раскрытия. Этот способ раскрытия не должен быть интерпретирован как отражающий намерение, что заявленные варианты осуществления требуют больше признаков, чем специально перечислено в каждом пункте формулы изобретения. Вернее, как отражает следующая формула изобретения, изобретательный предмет заключается менее чем во всех признаках одного раскрытого варианта осуществления. Следовательно, следующая формула изобретения, таким образом, включена в подробное описание, причем каждый пункт формулы изобретения основывается на своем собственном отдельно заявленном предмете.

Похожие патенты RU2515809C2

название год авторы номер документа
СИСТЕМА И СПОСОБ ПРЕДОСТАВЛЕНИЯ ДОСТУПА К ЗАЩИЩЕННЫМ УСЛУГАМ С ОДНОКРАТНЫМ ВВОДОМ ПАРОЛЯ 2003
  • Россебе Юдит
  • Элнес Йон
RU2308755C2
СПОСОБ И УСТРОЙСТВО ДЛЯ САНКЦИОНИРОВАНИЯ ОПЕРАЦИЙ С КОНТЕНТОМ 2003
  • Камперман Франсискус Л.А.Й.
  • Схриен Герт Я.
RU2352985C2
СПОСОБ СЕКРЕТНОГО ИСПОЛЬЗОВАНИЯ ЦИФРОВЫХ ПОДПИСЕЙ В КОММЕРЧЕСКОЙ КРИПТОГРАФИЧЕСКОЙ СИСТЕМЕ 1995
  • Франк В.Судиа
  • Брайан Сирицкий
RU2144269C1
СИСТЕМЫ И СПОСОБЫ ПРИВЯЗКИ УСТРОЙСТВ К СЧЕТАМ ПОЛЬЗОВАТЕЛЯ 2015
  • Грейлин Уильям Ванг
  • Хуанг Эньянг
RU2665869C2
ГИБКАЯ АРХИТЕКТУРА ЛИЦЕНЗИРОВАНИЯ В СИСТЕМЕ УПРАВЛЕНИЯ АВТОРСКИМ ПРАВОМ 2005
  • Демелло Марко А.
  • Парамасивам Мутхукришнан
  • Уаксман Питер Д.
  • Пандья Равиндра Н.
  • Бурн Стивен
  • Кришнасвами Винай
RU2392659C2
Программно-аппаратный комплекс подтверждения подлинности электронных документов и электронных подписей 2018
  • Кирюшкин Сергей Анатольевич
  • Макеев Максим Станиславович
  • Пашечко Антон Михайлович
  • Сумак Денис Сергеевич
RU2712650C1
СПОСОБ АВТОРИЗАЦИИ ОПЕРАЦИИ, ПРЕДНАЗНАЧЕННОЙ ДЛЯ ВЫПОЛНЕНИЯ НА ЗАДАННОМ ВЫЧИСЛИТЕЛЬНОМ УСТРОЙСТВЕ 2014
  • Стерн Аллон Дж.
RU2675902C2
ПОВЫШЕНИЕ УРОВНЯ АВТОМАТИЗАЦИИ ПРИ ИНИЦИАЛИЗАЦИИ КОМПЬЮТЕРНОЙ СИСТЕМЫ ДЛЯ ДОСТУПА К СЕТИ 2003
  • Крантц Антон В.
  • Мур Тимоти М.
  • Абрахам Дален М.
  • Гудэй Шей
  • Бахл Прадип
  • Абоба Бернард Д.
RU2342700C2
ТЕЛЕКОММУНИКАЦИОННАЯ ЧИП-КАРТА 2013
  • Шрия Санджив
  • Фогат Викас
RU2628492C2
УСТРОЙСТВО МОБИЛЬНОЙ СВЯЗИ И СПОСОБ РАБОТЫ С НИМ 2014
  • Стерн Аллон Дж.
RU2672712C2

Иллюстрации к изобретению RU 2 515 809 C2

Реферат патента 2014 года СПОСОБЫ, ПРЕДНАЗНАЧЕННЫЕ ДЛЯ ТОГО, ЧТОБЫ ДАВАТЬ ВОЗМОЖНОСТЬ БЕЗОПАСНОЙ САМОСТОЯТЕЛЬНОЙ ИНИЦИАЛИЗАЦИИ АБОНЕНТСКИХ УСТРОЙСТВ В СИСТЕМЕ СВЯЗИ

Изобретение относится к системам связи и, в частности, к способу безопасной самостоятельной инициализации абонентских устройств. Технический результат - возможность безопасной дистанционной самостоятельной инициализации абонентского устройства. Способ предоставления возможности безопасной самостоятельной инициализации абонентского устройства включает в себя в сервере инициализации и безопасности: прием из абонентского устройства запроса подписи сертификата, имеющего данные инициирования конфигурирования абонентского устройства, генерацию данных инициализации для абонентского устройства с использованием данных инициирования конфигурирования абонентского устройства и в ответ на запрос подписи сертификата предоставления в абонентское устройство данных инициализации абонентского устройства и сертификата абонентского устройства, имеющего атрибуты санкционирования, связанные с данными инициализации, чтобы предоставить возможность самостоятельной инициализации абонентского устройства. 2 н. и 18 з.п. ф-лы, 7 ил.

Формула изобретения RU 2 515 809 C2

1. Способ предоставления возможности безопасной самостоятельной инициализации абонентского устройства в систему связи, причем способ содержит этапы, на которых
в сервере инициализации и безопасности
принимают, из абонентского устройства, которому ранее были предоставлены данные доступа к инициализации, запрос подписи сертификата, содержащий данные инициирования конфигурирования абонентского устройства,
генерируют данные инициализации для абонентского устройства с использованием данных инициирования конфигурирования абонентского устройства и
в ответ на запрос подписи сертификата предоставляют в абонентское устройство данные инициализации и сертификат абонентского устройства, имеющий атрибуты санкционирования, связанные с данными инициализации, чтобы предоставить возможность самостоятельной инициализации абонентского устройства.

2. Способ по п.1, дополнительно содержащий этапы, на которых
модифицируют запрос подписи сертификата с помощью указания атрибутов санкционирования и передают модифицированный запрос подписи сертификата провайдеру услуг инфраструктуры открытого ключа (PKI),
принимают от провайдера услуг PKI подписанный сертификат, имеющий атрибуты санкционирования, который предоставляют в абонентское устройство.

3. Способ по п.1, в котором данные инициирования конфигурирования абонентского устройства содержат функциональные возможности и идентификатор для абонентского устройства.

4. Способ по п.3, в котором этап, на котором генерируют данные инициализации для абонентского устройства с использованием данных инициирования конфигурирования абонентского устройства, содержит этапы, на которых:
запрашивают базу данных абонентского устройства для того, чтобы определить на основании функциональных возможностей и идентификатора абонентского устройства, зарегистрировано ли уже абонентское устройство в базе данных абонентского устройства,
когда абонентское устройство еще не зарегистрировано в базе данных абонентского устройства, регистрируют функциональные возможности и идентификатор абонентского устройства, причем данные инициализации содержат зарегистрированные функциональные возможности абонентского устройства,
когда абонентское устройство уже зарегистрировано в базе данных абонентского устройства, проверяют функциональные возможности и идентификатор абонентского устройства, причем данные инициализации содержат проверенные функциональные возможности абонентского устройства.

5. Способ по п.4, дополнительно содержащий этап, на котором
регистрируют абонентское устройство, по меньшей мере, с помощью одного провайдера услуг на основании данных инициализации для абонентского устройства, причем атрибуты санкционирования, содержащиеся в сертификате абонентского устройства, включают в себя указание санкционирования использовать, по меньшей мере, одного провайдера услуг.

6. Способ по п.3, в котором функциональные возможности абонентского устройства предоставляют в данных доступа к инициализации в абонентское устройство, по меньшей мере, из одного сервера инициализации и безопасности или интерфейса инициализации области эксплуатации до приема сервером инициализации и безопасности запроса подписи сертификата.

7. Способ по п.1, дополнительно содержащий этап, на котором предоставляют в абонентское устройство сертификат достоверной привязки, соответствующий сертификату абонентского устройства.

8. Способ по п.1, дополнительно содержащий этап, на котором определяют санкционированные привилегии пользователя абонентского устройства и регистрируют пользователя, по меньшей мере, с помощью одного провайдера услуг на основании санкционированных привилегий пользователя.

9. Способ по п.1, дополнительно содержащий этап, на котором аутентифицируют абонентское устройство с помощью проверки электронной подписи, примененной с помощью абонентского устройства к запросу подписи сертификата, и проверяют копию сертификата общей достоверной привязки, принятую из абонентского устройства с запросом подписи сертификата, относительно цепочки сертификатов назад в общую достоверную привязку.

10. Способ по п.9, дополнительно содержащий этап, на котором аутентифицируют пользователя абонентского устройства с помощью проверки электронной подписи, примененной с помощью пользователя к запросу подписи сертификата, и проверяют копию сертификата пользователя, выданного с помощью провайдера услуг PKI, относительно цепочки сертификатов назад в достоверную привязку провайдера услуг PKI.

11. Способ предоставления возможности безопасной самостоятельной инициализации абонентского устройства в систему связи, причем способ содержит этапы, на которых
в абонентском устройстве
принимают данные доступа к инициализации,
генерируют данные инициирования конфигурирования абонентского устройства из подмножества данных доступа к инициализации,
генерируют запрос подписи сертификата, который включает в себя данные инициирования конфигурирования абонентского устройства, и передают запрос подписи сертификата в сервер инициализации и безопасности,
принимают, из сервера инициализации и безопасности в ответ на запрос подписи сертификата, данные инициализации и сертификат абонентского устройства, имеющий атрибуты санкционирования, связанные с данными инициализации, и
обеспечивают абонентское устройство данными инициализации.

12. Способ по п.11, в котором подмножество данных доступа к инициализации содержит функциональные возможности абонентского устройства.

13. Способ по п.12, в котором данные инициирования конфигурирования абонентского устройства содержат функциональные возможности абонентского устройства и идентификатор для абонентского устройства.

14. Способ по п.11, в котором запрос подписи сертификата передают через канал доступа к инициализации, идентифицированный в данных доступа к инициализации.

15. Способ по п.11, дополнительно содержащий этап, на котором абонентское устройство аутентифицирует источник данных доступа к инициализации.

16. Способ по п.15, в котором этап, на котором аутентифицируют источник данных доступа к инициализации, содержит этапы, на которых
в абонентском устройстве
сохраняют копию сертификата общей достоверной привязки и
проверяют электронную подпись, примененную к данным доступа к инициализации с помощью источника данных доступа к инициализации, и проверяют сертификат источника данных доступа к инициализации относительно цепочки сертификатов назад в общую достоверную привязку.

17. Способ по п.15, в котором данные доступа к инициализации загружают в абонентское устройство с помощью незащищенного интерфейса инициализации области эксплуатации.

18. Способ по п.11, дополнительно содержащий этап, на котором
генерируют пару открытого/секретного ключей и подписывают запрос подписи сертификата с помощью секретного ключа до передачи запроса подписи сертификата в сервер инициализации и безопасности, причем сертификат абонентского устройства аутентифицирует сгенерированный открытый ключ абонентского устройства.

19. Способ по п.11, дополнительно содержащий этап, на котором проверяют с использованием методики инфраструктуры открытого ключа электронную подпись, примененную к данным инициализации, до обеспечения абонентского устройства данными инициализации.

20. Способ по п.11, в котором запрос подписи сертификата содержит электронную подпись, примененную с помощью пользователя абонентского устройства, с помощью секретного ключа пользователя, чтобы предоставить возможность аутентификации пользователя в сервере инициализации и безопасности.

Документы, цитированные в отчете о поиске Патент 2014 года RU2515809C2

Колосоуборка 1923
  • Беляков И.Д.
SU2009A1
Пломбировальные щипцы 1923
  • Громов И.С.
SU2006A1
Способ приготовления мыла 1923
  • Петров Г.С.
  • Таланцев З.М.
SU2004A1
Способ приготовления мыла 1923
  • Петров Г.С.
  • Таланцев З.М.
SU2004A1
RU 2008104032 A, 10.08.2009

RU 2 515 809 C2

Авторы

Химаван Эрвин

Метке Энтони Р.

Даты

2014-05-20Публикация

2010-12-06Подача