專利名稱:用于使能智能卡中的pki功能的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及智能卡和通信網(wǎng)絡(luò),具體為移動(dòng)電話系統(tǒng)����,其使用一次性激活碼以便激活至少一部分智能卡��,例如SIM(用戶身份模塊)卡中的PKI(公共密鑰基礎(chǔ)結(jié)構(gòu))功能��。
背景技術(shù):
智能卡例如被定位于GSM蜂窩電話中的SIM卡中的PKI功能一般通過(guò)其本身的PIN碼和PUK碼(與對(duì)于GSM部分的不同)來(lái)保護(hù)��。PIN碼一般是相對(duì)短的個(gè)人數(shù)字���,其必須被輸入以使能該卡以便于使用���。PUK碼一般是長(zhǎng)得多的數(shù)字����,其在三次不正確地輸入PIN碼之后必須被輸入�。這防止了對(duì)智能卡的未授權(quán)訪問(wèn)。
為了安全的原因���,PUK碼必須大大長(zhǎng)于PIN碼����。然而���,由于碼是難以記住的�����,這對(duì)用戶出現(xiàn)了問(wèn)題����。對(duì)于大多數(shù)用戶,有必要將PUK碼存儲(chǔ)在例如一張紙上����,而在極少的情況下,當(dāng)需要PUK碼時(shí)�����,它可能被丟了���。因此���,移動(dòng)電話運(yùn)營(yíng)商(或任何其它類型的發(fā)行者)常常必須更換用戶智能卡/SIM。由于安全的原因�,重印PUK兩次不是正確的處理。這將意味著用新的PUK以及智能卡來(lái)更新預(yù)訂(subscription)的額外成本和工作����。
PUK碼是固定的碼��,因此需要在本地將該碼存儲(chǔ)于智能卡中�����。由于PUK碼是固定碼的事實(shí)而造成的附加問(wèn)題是�����,智能卡在其使用期限內(nèi)被捆綁于一個(gè)用戶��,并且對(duì)于特定的預(yù)訂,沒(méi)有改變用戶的可能性�����。這意味著制造和發(fā)行比所必需的多的智能卡�����。
發(fā)明概述本發(fā)明的目的是提供一種消除上述缺點(diǎn)的方法�����。所附的權(quán)利要求中所限定的特點(diǎn)表征了該方法。
更具體而言�,依照本發(fā)明,代替PUK碼的激活碼在中心被生成并且將優(yōu)選地通過(guò)經(jīng)注冊(cè)的郵件發(fā)送給智能卡的用戶����,該智能卡可以是被定位在蜂窩電話中的SIM卡。激活碼的校驗(yàn)是簡(jiǎn)單地通過(guò)比較(例如在電話運(yùn)營(yíng)商的服務(wù)器中)用戶所輸入的激活碼與亦被存儲(chǔ)于電話運(yùn)營(yíng)商激活服務(wù)器中的先前郵寄的一個(gè)而實(shí)現(xiàn)的��。激活碼是一次性碼��,并且替換用于PKI功能的PUK碼的所有功能�。另外,它可被用于使能在智能卡中存儲(chǔ)但對(duì)用戶事先隱藏的功能性����,例如PKI功能性。
附圖簡(jiǎn)述
圖1是本發(fā)明實(shí)施例中數(shù)據(jù)流和部件的視圖����。
詳述現(xiàn)在將結(jié)合參考以上提及的圖的示例實(shí)施例來(lái)描述本發(fā)明。然而��,本發(fā)明不局限于該特定實(shí)施例�,而是可被用于有各種替換的其它應(yīng)用中而不背離如在所附的權(quán)利要求中所限定的本發(fā)明的范圍。
示例實(shí)施例基于移動(dòng)電話網(wǎng)絡(luò)����,其中固定PUK碼被替換為一次性激活碼�。除了替換PUK碼的傳統(tǒng)功能以外���,激活碼亦可被用于使能存儲(chǔ)在用戶SIM卡中的PKI功能性���。
為利用PKI功能性,用戶必須事先被注冊(cè)并且注冊(cè)數(shù)據(jù)必須在RA(注冊(cè)管理機(jī)構(gòu))處校驗(yàn)�。所有相關(guān)的注冊(cè)數(shù)據(jù)必須可用于生成激活碼的服務(wù)器,典型的是在被定位在電話運(yùn)營(yíng)商處的服務(wù)器�。
在成功的注冊(cè)之后,用戶然后可被提供在服務(wù)器中生成的一次性激活碼���。該碼將被用于在注冊(cè)之后向服務(wù)器鑒定用戶并被用于開(kāi)始到智能卡中的密鑰生成過(guò)程���。一次性激活碼將以密封的信封通過(guò)郵寄提供給用戶��,例如���,作為經(jīng)注冊(cè)的信件而發(fā)送到用戶家地址�����。
然而���,在用戶可輸入激活碼之前�,“SIM PKI菜單”必須被使能�����。這樣��,PKI服務(wù)器將一個(gè)對(duì)用戶的SIM卡唯一的碼發(fā)送給用戶電話以使能“ SIM PKI菜單”�。該唯一的碼不應(yīng)當(dāng)與上述的實(shí)際激活碼弄混。這個(gè)“SIM PKI菜單”直到現(xiàn)在仍在SIM卡中保持不可見(jiàn)����,因而不能由用戶訪問(wèn)。PKI服務(wù)器中的激活模塊亦將從卡生產(chǎn)系統(tǒng)獲取一些唯一的參數(shù)�����,其亦被存儲(chǔ)在特定的SIM中以被用作用于使能SIM中的PKI菜單的碼����。
當(dāng)“SIM PKI菜單”被使能時(shí),用戶在他/她的手機(jī)中輸入激活碼以登記于服務(wù)�����。通過(guò)SMS將激活碼發(fā)送給PKI服務(wù)器。用戶有3次嘗試以便正確輸入該碼����。
激活模塊校驗(yàn)所輸入的激活碼對(duì)應(yīng)于先前發(fā)送的一個(gè)。激活模塊然后將“生成PKI密鑰使能命令”發(fā)送回SIM��,并且SIM中的密鑰生成應(yīng)用程序?qū)⑸砂ㄋ饺嗣荑€和校驗(yàn)公共密鑰的密鑰對(duì)�����。
通過(guò)SMS將校驗(yàn)公共密鑰(VPuK)發(fā)送給激活模塊���,并且優(yōu)選地依照GSM 03.48來(lái)加密SMS以便保護(hù)敏感信息�。
用戶然后被請(qǐng)求選擇PIN_SIGNKEY���,其是被用于例如事務(wù)簽名���、加密和認(rèn)證的個(gè)人自選簽名密鑰��。
在成功校驗(yàn)的情況下�,激活入口連接到CA以發(fā)出有被關(guān)聯(lián)于用戶的公共密鑰的有效證書(shū)���。該證書(shū)同時(shí)被發(fā)送給證明目錄。
成功證明的確認(rèn)被發(fā)送回用戶����,并且PKI菜單然后將在SIM中被禁止。SIM卡中的PKI功能現(xiàn)在被使能����。
本發(fā)明以一次性激活碼來(lái)代替用于PKI部分的PUK碼(不要與用于GMS部分的那一個(gè)弄混)�����,其通常為了安全原因而被存儲(chǔ)在兩個(gè)分離的部分中����,由此節(jié)約了存儲(chǔ)器空間和管理��。
另外����,由于沒(méi)有PUK被中心存儲(chǔ)于運(yùn)營(yíng)商,也沒(méi)有PUK被存儲(chǔ)在終端中或一張紙上以便于用戶記住���,因此本發(fā)明引入了安全的較高程度���。
本發(fā)明使能結(jié)合PKI的使用而生成密鑰����,由此允許用戶自己選擇用于認(rèn)證和事務(wù)簽名的簽名PIN��。
本發(fā)明進(jìn)一步的優(yōu)點(diǎn)是����,在PKI證書(shū)更新日期時(shí)(在2-3年內(nèi))SIM卡可被再用于用戶或新用戶,這是因?yàn)樾碌腜KI數(shù)據(jù)將為每個(gè)新的激活碼生成在智能卡中���。
本發(fā)明的上述實(shí)例僅僅是為了說(shuō)明的目的�。其它實(shí)施和變化可被利用而無(wú)需背離如在以下權(quán)利要求中所限定的本發(fā)明的范圍�����。
權(quán)利要求
1.用于使能至少一部分智能卡的方法���,所述智能卡被關(guān)聯(lián)于終端�����,所述終端被連接于亦連接了服務(wù)器的通信網(wǎng)絡(luò)���,所述智能卡可由所述終端的用戶訪問(wèn),特征在于以下步驟在所述服務(wù)器中生成激活碼�����,將所述激活碼發(fā)送給所述用戶��,使所述終端適合于提示所述用戶以便他/她讀取所述激活碼����,響應(yīng)于所述用戶將所述激活碼的所述讀取輸入到所述終端中,通過(guò)所述通信網(wǎng)絡(luò)將所述輸入發(fā)送給所述服務(wù)器�����,響應(yīng)于收到所述輸入���,比較所述輸入與所述激活碼����,如果所述輸入和所述激活碼相同�,則通過(guò)所述通信網(wǎng)絡(luò)將使能命令發(fā)送給所述終端,基于收到所述激活碼,使能所述至少一部分的所述智能卡��。
2.權(quán)利要求1的方法����,特征在于所述智能卡的所述部分是PKI功能,而所述服務(wù)器是PKI服務(wù)器�����。
3.權(quán)利要求2的方法�����,特征在于使能步驟進(jìn)一步包括以下步驟生成包括私人密鑰和公共密鑰的密鑰對(duì)��,請(qǐng)求所述用戶選擇并輸入簽名�、加密和認(rèn)證PIN到所述終端中,通過(guò)所述通信網(wǎng)絡(luò)將所述公共密鑰發(fā)送給所述PKI服務(wù)器����,從所述PKI服務(wù)器請(qǐng)求來(lái)自CA的用于所述用戶的證書(shū)。
4.權(quán)利要求2或3的方法�����,特征在于所述PKI功能被存儲(chǔ)在所述智能卡中,但對(duì)用戶隱藏�����,直到使能����。
5.任何上述權(quán)利要求的方法�,特征在于所述使適合的步驟包括將菜單使能碼從所述服務(wù)器發(fā)送到所述終端,從而為所述終端提供一菜單用于對(duì)所述用戶的所述提示以便于對(duì)所述激活碼的所述讀取�。
6.任何上述權(quán)利要求的方法,特征在于所述通信網(wǎng)絡(luò)是GSM網(wǎng)絡(luò)�����,所述終端是GSM移動(dòng)電話����,而所述智能卡是SIM卡。
7.權(quán)利要求6的方法�,特征在于從所述終端到所述服務(wù)器的所述讀取的所述發(fā)送是通過(guò)SMS實(shí)現(xiàn)的。
8.權(quán)利要求6或7的方法����,特征在于所述激活碼完全代替被用于PKI的PUK碼。
9.任何上述權(quán)利要求的方法,特征在于所述激活碼通過(guò)經(jīng)注冊(cè)的郵件發(fā)送給用戶���。
全文摘要
本發(fā)明公開(kāi)了一種用于使能至少一部分智能卡的方法����。依照本發(fā)明的優(yōu)選實(shí)施例�,一次性激活碼在電話運(yùn)營(yíng)商處被產(chǎn)生于服務(wù)器中。激活碼通過(guò)經(jīng)注冊(cè)的郵件發(fā)送給智能卡例如GSM蜂窩電話中的SIM卡的用戶��。當(dāng)用戶將激活碼輸入到蜂窩電話中時(shí)��,輸入被發(fā)送給服務(wù)器以便校驗(yàn)���?����;诔晒Φ男r?yàn)���,服務(wù)器將使能命令發(fā)送給電話以由此使能SIM卡的預(yù)期部分。這可使能直到現(xiàn)在一直隱藏在SIM卡中并因此不可用于用戶的PKI功能性���。用戶然后可選擇用于認(rèn)證�����、加密和事務(wù)簽名的其自己的PIN��。在使能PKI功能的情況下�,當(dāng)激活碼被校驗(yàn)時(shí),所有必需的私人和公共密鑰的生成以及證明的確認(rèn)被執(zhí)行��。
文檔編號(hào)G06K19/10GK1488230SQ02804084
公開(kāi)日2004年4月7日 申請(qǐng)日期2002年1月23日 優(yōu)先權(quán)日2001年1月24日
發(fā)明者L·桑貝里, L 桑貝里, K·羅德貝里-拉森, 鹵蠢 拉森 申請(qǐng)人:特倫諾有限公司