MÉTODO Y SISTEMA PARA ACREDITACIÓN DE DISPOSITIVOS MÓVILES.

Método y sistema para acreditación de dispositivos móviles. Campo técnico La presente invención se refiere de manera general al aprovisionamiento de dispositivos móviles, y particularmente se refiere a facilitar sobre la activación en el aire de dispositivos móviles a través del uso de información de identidad de la suscripción preliminar mantenida en un directorio centralizado de dispositivo que es accesible por uno o más operadores de red. Antecedentes La fabricación, distribución, y activación eficiente de equipos son habilitadores clave para la explotación de manera efectiva de la gama de oportunidades de negocio proporcionadas por la continua revolución en las comunicaciones inalámbricas. Los planteamientos existentes para el aprovisionamiento del equipo de usuario con las credenciales de suscripción necesarias representan un impedimento para operaciones más eficientes. Por ejemplo, un planteamiento convencional se basa en vender o distribuir de otro modo el equipo de usuario con los Módulos de Identidad de Abonado instalados, SIM. Cada SIM comprende un módulo de circuito resistente al sabotaje, comúnmente integrado en un factor de forma tipo tarjeta pequeña, en la que el módulo del circuito almacena la información de las credenciales para un operador de red específico. En otras palabras, el equipo de usuario está ligado a un operador de red particular en virtud del SIM pre programado, y el abonado llama o contacta de otro modo con el operador de red para proporcionar la información de facturación, etc. En respuesta, el operador de red marca ese SIM como activo en una o más bases de datos de abonado, haciendo por ello operativo el equipo de usuario. Se han propuesto otros planteamientos para automatizar el proceso de aprovisionamiento, al menos parcialmente. Los ejemplos incluyen la Publicación de la US 2005/0079863 por Macaluso, que revela una forma de aprovisionamiento en el aire (comúnmente designada como aprovisionamiento OTA en la literatura relevante); la Publicación de la US 2007/0099599 por Smith, que trata el aprovisionamiento dinámico de los servicios inalámbricos y el aprovisionamiento inicial a través del acceso a una base de datos en internet; la Patente de U.S. Nº 6.980.660 por Hind, que revela los métodos para la inicialización de los dispositivos de comunicación inalámbricos que usan una base de datos de empresa; y la Patente de U.S. Nº 6.490.445 por Holmes, que revela el uso de la información temporal de acceso en el equipo inalámbrico, para permitir una forma de acceso restringido a la red para el aprovisionamiento en el aire. La EP 0 820 206 A revela un método para activar automáticamente una estación móvil en una red de comunicaciones inalámbricas en el aire. Un procesador OTAF en la red recibe un mensaje de registro desencadenado por la estación móvil que solicita la activación. La estación móvil solicita la activación en el aire transmitiendo en la petición de registro un valor ficticio serializado secuencialmente para el número de identificación móvil (un MIN ficticio), que se puede usar para determinar la dirección de encaminamiento de la red del procesador OTAF. Como una proposición general, no obstante, parece que la complejidad del marco del problema general ha impedido los planteamientos pasados de dotar un sistema y método general que simplifique la fabricación, venta, y, a la larga, el registro de los dispositivos móviles con respecto al aprovisionamiento seguro en el aire. Resumen Los métodos y sistemas enseñados aquí dentro permiten a los fabricantes de dispositivos móviles pre configurar los dispositivos móviles para la suscripción con cualquier operador de red que tiene acceso a un servidor centralizado de directorio de dispositivos. En al menos una realización, los dispositivos móviles se aprovisionan con identificadores temporales de dispositivo, que también se contienen en un servidor centralizado de directorio de dispositivos que es accesible a cualquier número de operadores de red. Ventajosamente, a una estación móvil se la puede conceder acceso temporal a través de cualquier red de participación, y ese acceso se usa de esta manera para obtener las credenciales permanentes de la suscripción, a través de la cooperación con un servidor de credenciales asociado con el operador de red que emitirá las credenciales permanentes de la suscripción. Por consiguiente, un método de facilitar la activación del dispositivo de comunicación móvil en el aire comprende, en un servidor centralizado del directorio de dispositivos, almacenar un registro del dispositivo que comprende la información de las credenciales de suscripción preliminar para un dispositivo móvil, y enviar al menos parte de la información de las credenciales de suscripción preliminar de manera segura a una parte inicial de aprovisionamiento, para usar en dotar inicialmente el dispositivo móvil. La parte inicial de aprovisionamiento puede ser, por ejemplo, un fabricante de dispositivos móviles. El método continúa con la recepción de un identificador del dispositivo para el dispositivo móvil a partir de un servidor de credenciales de un operador de red dado asociado con un usuario final previsto del dispositivo móvil, y vincular de esta manera la información de la dirección de la red del servidor de credenciales con el registro del dispositivo. El método continúa con la recepción de una petición de validación desde un servidor de autenticación, sensible al 2   dispositivo móvil que intenta acceder a una red de comunicación inalámbrica usando la información de las credenciales de suscripción preliminar. En respuesta a la petición de valoración, el servidor de directorio envía un vector de autenticación basado en una clave secreta incluida en la información de las credenciales de suscripción preliminar al servidor de autenticación, si la información de las credenciales de suscripción preliminar para el dispositivo móvil es válida. El método también incluye el servidor de directorio que más tarde recibe una petición de la dirección del servidor de credenciales desde el dispositivo móvil, y que envía la información de la dirección de red para el servidor de credenciales al dispositivo móvil, como vinculada en el registro del dispositivo almacenado por el dispositivo móvil. En otra realización, un sistema para facilitar la activación del dispositivo de comunicación móvil en el aire incluye un servidor centralizado del directorio de dispositivo. El servidor de directorio en esta realización comprende uno o más circuitos de procesamiento configurados para almacenar un registro del dispositivo que comprende la información de las credenciales de suscripción preliminar para un dispositivo móvil, y para enviar al menos parte de la información de las credenciales de suscripción preliminar de manera segura a una parte inicial de aprovisionamiento, para usar en dotar inicialmente el dispositivo móvil. El servidor de directorio se configura además para recibir un identificador de dispositivo para el dispositivo móvil desde un servidor de credenciales de un operador de red dado asociado con un usuario final previsto del dispositivo móvil, y de esta manera enlazar la información de la dirección de la red del servidor de credenciales al registro del dispositivo correspondiente. Continuando, el servidor de directorio se configura para recibir una petición de validación desde un servidor de autenticación, sensible al dispositivo móvil que intenta acceder a una red de comunicación inalámbrica que usa la información de las credenciales de suscripción preliminar, y enviar un vector de autenticación basado en una clave secreta en la información de las credenciales de suscripción preliminar al servidor de autenticación, si es válida la información de las credenciales de suscripción preliminar para el dispositivo móvil. Aún más, el servidor de directorio se configura para recibir una petición de dirección del servidor de credenciales desde el dispositivo móvil, consecutiva al dispositivo móvil que consigue el acceso temporal a la red de comunicación inalámbrica a través del vector de autenticación, y para enviar de esta manera la información de la dirección de red para el servidor de credenciales al dispositivo móvil, como vinculada en el registro del dispositivo almacenado por el dispositivo móvil. En una o más de las realizaciones anteriores, la información de las credenciales de suscripción preliminar, también conocida como identidades de suscripción preliminares, comprende parejas de claves secretas e Identidades Internacionales de Abonado Móvil Preliminares, abreviado como PIMSI. De esta manera, el directorio del dispositivo almacena, por ejemplo, un lote de PIMSI y pares de claves secretas, y los fabricantes de dispositivos proporcionan los dispositivos móviles, individuales... [Seguir leyendo]

1. Un método de facilitar la activación del dispositivo de comunicación móvil en el aire que comprende, en un servidor centralizado de directorio de dispositivos (10): almacenar un registro de dispositivo (22-1;; 22-N) que comprende la información de las credenciales de suscripción preliminares para un dispositivo móvil (32-1;; 32-M); enviar al menos parte de la información de las credenciales de suscripción preliminares de manera segura a una parte de aprovisionamiento inicial (30-1; ; 30-R), para usar en dotar inicialmente el dispositivo móvil; recibir un identificador de dispositivo para el dispositivo móvil desde un servidor de credenciales (60-1; 60-2; 60- 3) de un operador de red dado asociado con un usuario final previsto del dispositivo móvil, y vincular de la misma manera la información de la dirección de red del servidor de credenciales con el registro del dispositivo; recibir una petición de validación desde un servidor de autenticación, sensible al dispositivo móvil que intenta acceder a una red de comunicación inalámbrica que usa la información de las credenciales de suscripción preliminar; enviar un vector de autenticación al servidor de autenticación que se basa en una clave secreta incluida en la información de las credenciales de suscripción preliminar, si la información de las credenciales de suscripción preliminar para el dispositivo móvil es válida; recibir una petición de la dirección del servidor de credenciales desde el dispositivo móvil, consecutiva a que el dispositivo móvil consiga el acceso temporal a la red de comunicación inalámbrica a través del vector de autenticación; y enviar la información de la dirección de red para el servidor de credenciales al dispositivo móvil, ya enlazado en el registro del dispositivo almacenado por el dispositivo móvil. 2. El método de la reivindicación 1, en el que almacenar el registro del dispositivo comprende almacenar una Identidad Internacional de Abonado Móvil, PIMSI, y la clave secreta para el dispositivo móvil. 3. El método de la reivindicación 2, en el que recibir el identificador del dispositivo para el dispositivo móvil desde el servidor de credenciales del operador de red dado asociado con el usuario final previsto del dispositivo móvil comprende recibir un Identificador de Dispositivo Público, PDI, que se deriva de la Identidad Internacional de Abonado Móvil Preliminar, PIMSI, del dispositivo móvil, y que además comprende la identificación del registro del dispositivo para el dispositivo móvil desde el Identificador de Dispositivo Público, PDI, y vincular el registro del dispositivo a la información de la dirección de red del servidor de credenciales. 4. El método de la reivindicación 2, que además comprende dotar inicialmente un módulo de confianza del dispositivo móvil con la Identidad Internacional del Abonado Móvil Preliminar, PIMSI, la clave secreta, y un par de claves pública/privada, y dotar además el dispositivo móvil con la información de la dirección de red para el servidor centralizado de directorio de dispositivo y un listado de operadores de red que soportan el acceso de red de comunicación inalámbrica temporal a través del uso de la Identidad Internacional de Abonado Móvil Preliminar, PIMSI. 5. El método de la reivindicación 4, que además comprende conseguir el acceso temporal a la red de comunicación inalámbrica por el dispositivo móvil en base al dispositivo móvil que proporciona la Identidad Internacional del Abonado Móvil Preliminar, PIMSI, a la red de comunicación inalámbrica, y la red de comunicación inalámbrica que envía la Identidad Internacional de Abonado Móvil Preliminar, PIMSI, al servidor de autenticación para transferir al servidor centralizado de directorio del dispositivo. 6. El método de la reivindicación 5, que además comprende conseguir el acceso al servidor de credenciales del operador de la red dado por el dispositivo móvil, en base al dispositivo móvil que recibe la información de la dirección de red para el servidor de credenciales desde el servidor centralizado de directorio de dispositivo, y enviar una petición de credenciales desde el dispositivo móvil al servidor de credenciales, dicha petición de credenciales que incluye la clave pública del par de claves pública/privada almacenada en el dispositivo móvil, y dicha petición de credenciales protegida por una clave temporal derivada de la clave secreta almacenada en el dispositivo móvil. 7. El método de la reivindicación 6, que además comprende, en el servidor de credenciales, verificar la petición de credenciales desde el dispositivo móvil, y generar un Módulo de Identidad de Abonado de Componentes Lógicos, SSIM, y enviar el SSIM al dispositivo móvil en forma cifrada usando la clave pública del dispositivo móvil, para usar por el dispositivo móvil en la instalación de las credenciales de suscripción permanentes para el operador de red dado. 8. El método de la reivindicación 2, que además comprende, en el servidor centralizado de directorio de dispositivo, derivar una segunda clave secreta desde la clave secreta, y enviar la segunda clave secreta para el almacenamiento en el servidor de credenciales en asociación con los datos de abonado del usuario final, para usar 9   más tarde en proteger la información del Módulo de Identidad de Abonado de Componentes Lógicos, SSIM, generada por el servidor de credenciales y enviada en el aire al dispositivo móvil. 9. Un sistema para facilitar la activación del dispositivo de comunicación móvil en el aire que incluye un servidor centralizado de directorio de dispositivos (10) que comprende uno o más circuitos de procesamiento configurados para: almacenar un registro de dispositivo (22-1; ; 22-N) que comprende la información de las credenciales de suscripción preliminares para un dispositivo móvil (32-1; ; 32-M); enviar al menos parte de la información de las credenciales de suscripción preliminares de manera segura a una parte de aprovisionamiento inicial (30-1; ; 30-R), para usar en dotar inicialmente el dispositivo móvil; recibir un identificador de dispositivo para el dispositivo móvil desde un servidor de credenciales (60-1; 60-2; 60- 3) de un operador de red dado asociado con un usuario final previsto del dispositivo móvil, y vincular de la misma manera la información de la dirección de red del servidor de credenciales con el registro del dispositivo; recibir una petición de validación desde un servidor de autenticación, sensible al dispositivo móvil que intenta acceder a una red de comunicación inalámbrica que usa la información de las credenciales de suscripción preliminar; enviar un vector de autenticación al servidor de autenticación que se basa en una clave secreta incluida en la información de las credenciales de suscripción preliminar, si la información de las credenciales de suscripción preliminar para el dispositivo móvil es válida; y recibir una petición de la dirección del servidor de credenciales desde el dispositivo móvil, consecutiva a que el dispositivo móvil consiga el acceso temporal a la red de comunicación inalámbrica a través del vector de autenticación, y enviar de la misma manera la información de la dirección de red para el servidor de credenciales al dispositivo móvil, como vinculada en el registro del dispositivo almacenado por el dispositivo móvil. 10. El sistema de la reivindicación 9, en el que el servidor centralizado de directorio del dispositivo se configura para almacenar, como el registro del dispositivo, una Identidad Internacional del Abonado Móvil Preliminar, PIMSI, la clave secreta para el dispositivo móvil. 11. El sistema de la reivindicación 10, en el que el servidor centralizado de directorio del dispositivo incluye un interfaz de comunicación configurado para comunicar directamente o indirectamente con el servidor de credenciales, y recibir, como el identificador del dispositivo para el dispositivo móvil, un Identificador de Dispositivo Público, PDI, que se deriva de la Identidad Internacional del Abonado Móvil Preliminar, PIMSI, del dispositivo móvil, y en el que el servidor centralizado de directorio de dispositivo se configura para identificar el registro del dispositivo para el dispositivo móvil a partir del Identificador de Dispositivo Público, PDI, y vincular el registro del dispositivo a la información de la dirección de red del servidor de credenciales. 12. El sistema de la reivindicación 10, que además comprende un servidor de aprovisionamiento inicial para el suministro de un módulo de confianza del dispositivo móvil con la Identidad Internacional del Abonado Móvil Preliminar, PIMSI, y la clave secreta, y para dotar además el dispositivo móvil con la información de la dirección de red para el servidor centralizado de directorio de dispositivo, y un listado de operadores de red que soporta el acceso de red de comunicación inalámbrica temporal a través del uso de la Identidad Internacional de Abonado Móvil Preliminar, PIMSI. 13. El sistema de la reivindicación 12, en el que el servidor de aprovisionamiento inicial se configura además para dotar el módulo de confianza del dispositivo móvil con el par de claves pública/privada para usar más tarde en la activación en el aire del dispositivo móvil. 14. El sistema de 12, en el que el servidor de autenticación se acopla de manera comunicativa a la red de comunicación inalámbrica y se configura para recibir la Identidad Internacional del Abonado Móvil Preliminar, PIMSI, y para recibir de esa manera un vector de autenticación para la estación móvil en respuesta a la transferencia de la Identidad Internacional de Abonado Móvil Preliminar, PIMSI, al servidor centralizado de directorio del dispositivo para la verificación, y devolver el vector de autenticación a la red de comunicación inalámbrica para conceder el acceso temporal al dispositivo móvil. 15. El sistema de la reivindicación 14, en el que el servidor centralizado de directorio del dispositivo se configura para recibir una petición de la dirección del servidor de credenciales desde el dispositivo móvil después de que al dispositivo móvil se le concede acceso temporal en base al vector de autenticación, y devolver la información de la dirección de red del servidor de credenciales, ya vinculado al registro del dispositivo del dispositivo móvil. 16. El sistema de la reivindicación 15, en el que el dispositivo móvil se configura para recibir la información de la dirección de red para el servidor de credenciales desde el directorio del dispositivo centralizado, y de esa manera enviar una petición de credenciales para la suscripción permanente de las credenciales al servidor de credenciales,   dicha petición de credenciales que incluye la clave pública del par de claves pública/privada almacenadas en el dispositivo móvil, y dicha petición de credenciales protegida por una clave temporal derivada a partir de la clave secreta del dispositivo móvil. 17. El sistema de la reivindicación 16, en el que el servidor de credenciales se configura para verificar la petición de credenciales a partir del dispositivo móvil y de esa manera generar un Módulo de Identidad de Abonado de Componentes Lógicos, SSIM, y se configura además para enviar el SSIM al dispositivo móvil en forma cifrada ya protegida por la clave pública del dispositivo móvil, para usar por el dispositivo móvil en la instalación de las credenciales de suscripción permanentes para el operador de red dado. 18. El sistema de la reivindicación 9, en el que el servidor centralizado de directorio del dispositivo se configura para derivar una segunda clave secreta a partir de la clave secreta, y enviar la segunda clave secreta para el almacenamiento en el servidor de credenciales en asociación con los datos del abonado del usuario final, para usar más tarde en la protección de la información del Módulo de Identidad de Abonado de Componentes Lógicos, SSIM, generada por el servidor de credenciales y enviada en el aire al dispositivo móvil. 11   12   13   14