Способ активации функций pki на интеллектуальной карте
Изобретение относится к интеллектуальным картам и коммуникационным сетям, в частности к мобильному телефону. Техническим результатом является создание способа активации (разблокирования) доступа к функциям, записанным на интеллектуальной карте, обеспечивающим повторное использование интеллектуальных карт при смене пользователя. Технический результат достигается тем, что сервер генерирует одноразовый активизирующий код, посылает его пользователю интеллектуальной картой, установленной в сотовом телефоне, и когда пользователь вводит активизирующий код в свой сотовый телефон, введенный код передается на сервер для его верификации, при положительном ее результате сервер передает на телефон команду на обеспечение доступа, которая открывает доступ к соответствующей части функций интеллектуальной карты, причем часть функций может содержать, например, PKI-функции, которые были скрыты и недоступны для пользователя до этого момента, после этого пользователь может выбрать свой собственный PIN-код для аутентификации, шифрования и подписи при транзакциях, причем применительно к активированию PKI-функций генерирование необходимых секретного и открытого ключей, а также необходимое сертифицирование производят после того, как будет верифицирован активизирующий код. 6 з.п. ф-лы, 1 ил.
Реферат
Область техники, к которой относится изобретение
Настоящее изобретение относится в широком смысле к интеллектуальным картам (смарт-картам) и к коммуникационным сетям, а более конкретно - к мобильному телефону, использующему одноразовый активизирующий код для активации (разблокирования), по меньшей мере, части функций, записанных на интеллектуальной карте, а именно функций PKI (Public Key Infrastructure) в SIM-карте (SIM=Subscriber Identity Module).
Уровень техники
PKI-функции интеллектуальной карты, в частности SIM-карты, установленной в мобильном (сотовом) телефоне GSM, обычно защищены собственным PIN-кодом, а также открытым кодом (PUK-кодом), отличным от аналогичного кода для GSM-модуля. PIN-код, как правило, представляет собой относительно короткое персонализированное число, которое необходимо ввести для того, чтобы можно было использовать карту. PUK-код, как правило, является значительно более длинным числом, которое должно быть введено после трехкратного неправильного ввода PIN-кода. Эти правила направлены на предотвращение несанкционированного доступа к интеллектуальной карте.
Из соображений безопасности PUK-код должен иметь существенно большую длину, чем PIN-код. Однако это может создать проблему для пользователя, поскольку данный код труден для запоминания. Для большинства пользователей оказывается необходимым хранить PUK-код, например, на листке бумаги. При этом в тех редких случаях, когда PUK-код может понадобиться, он оказывается недоступным. По этой причине операторы мобильных телефонов (или другие организации, выпускающие телефоны в обращение) должны в подобных случаях осуществлять замену интеллектуальной карты пользователя (например, SIM-карты). По соображениям безопасности не рекомендуется дважды использовать PUK-код. В связи с этим необходимы дополнительные затраты на возобновление подписки с новым PUK-кодом, а также на новую интеллектуальную карту.
PUK-код представляет собой фиксированный код, поэтому он должен храниться локально на интеллектуальной карте. Дополнительная проблема, связанная с тем, что PUK-код является фиксированным кодом, состоит в том, что интеллектуальная карта в течение всего срока службы привязана к единственному пользователю, т.е. отсутствует возможность изменить пользователя применительно к конкретной подписке. В связи с этим необходимо изготавливать и распространять больше интеллектуальных карт, чем это действительно необходимо.
Раскрытие изобретения
Задача, на решение которой направлено настоящее изобретение, состоит в создании способа, который устраняет описанные недостатки.
Согласно изобретению предлагается способ разблокирования, по меньшей мере, части функций, записанных на интеллектуальной карте, связанной с терминалом, который связан с коммуникационной сетью с подключенным к ней сервером, причем интеллектуальная карта доступна для пользователя указанного терминала. При этом способ по изобретению характеризуется тем, что предусматривает следующие операции:
- генерирование активизирующего кода в указанном сервере,
- посылку указанного активизирующего кода пользователю,
- адаптацию терминала таким образом, чтобы побудить пользователя к считыванию указанного активизирующего кода,
- после ввода пользователем в терминал считанного активизирующего кода передачу введенного активизирующего кода на указанный сервер через указанную коммуникационную сеть,
- при получении указанным сервером введенного пользователем активизирующего кода его сопоставление со сгенерированным активизирующим кодом,
- если введенный и сгенерированный активизирующие коды идентичны, передачу на указанный терминал через указанную коммуникационную сеть команды на разблокирование,
- при получении указанной команды на разблокирование осуществление разблокирования, по меньшей мере, указанной части функций, записанных на интеллектуальной карте.
Операция адаптации предпочтительно включает в себя передачу на терминал от сервера кода, активизирующего меню, которое предназначено для того, чтобы побудить пользователя к считыванию активизирующего кода. При этом операция по разблокированию предпочтительно включает в себя следующие операции:
- генерирование пары ключей, состоящей из секретного ключа и открытого ключа,
- выдачу пользователю указания выбрать и ввести в терминал PIN-код для использования в качестве подписи, шифрования и аутентификации,
- передачу указанного открытого ключа на PKI-сервер с истребованием сертификата для указанного пользователя от органа сертификации (Certificate authority=СА).
Более конкретно, в соответствии с изобретением активизирующий код, заменяющий PUK-код, генерируется централизованно и высылается пользователю интеллектуальной картой, предпочтительно посредством SMS-сообщения (или заказным письмом). Интеллектуальная карта может представлять собой, например, SIM-карту, локализованную в терминале, который является сотовым телефоном, связанным, например, с коммуникационной сетью GSM. Верификация активизирующего кода осуществляется просто путем сопоставления (производимого, например, на PKI-сервере оператора телефонной сети) активизирующего кода, введенного пользователем, с ранее отосланным ему кодом, который был записан на активизирующем сервере, имеющемся у оператора. Активизирующий код является одноразовым, причем он реализует все функции PUK-кода применительно к активизации PKI-функции. В дополнение к этому он может быть использован для разблокирования записанных на интеллектуальной карте функций (в частности, PKI-функций), которые хранятся на интеллектуальной карте, но скрыты от пользователя до момента разблокирования.
Краткое описание чертежа
На чертеже представлены компоненты и потоки данных при реализации одного из вариантов осуществления изобретения.
Осуществление изобретения
Далее настоящее изобретение будет описано со ссылкой на пример его осуществления, иллюстрируемый чертежом. Однако изобретение не ограничивается данным конкретным примером и может использоваться также в других приложениях с различными модификациями, не выходящими за пределы его объема, определяемого прилагаемой формулой изобретения.
Рассматриваемый пример относится к сети мобильных телефонов, в которой фиксированные PUK-коды заменены одноразовыми активизирующими кодами. В дополнение к замещению традиционных функций PUK-кода, активизирующий код может быть использован также для активирования (т.е. разблокирования) PKI-функций, записанных на SIM-картах подписчиков.
Для того чтобы воспользоваться PKI-функциями, пользователь должен заранее зарегистрироваться, причем дата регистрации должна быть верифицирована Службой регистрации. Все релевантные даты регистрации должны быть доступны для сервера, генерирующего активизирующие коды. В типовом случае таким сервером является сервер, находящийся у оператора телефонной сети.
После успешной регистрации пользователь может получить одноразовый активизирующий код, который генерируется указанным сервером. Данный код может быть использован для аутентификации пользователя перед сервером после регистрации и для инициирования процесса генерирования ключа для интеллектуальной карты. Одноразовый активизирующий код будет доставлен пользователю, например, в запечатанном конверте, который высылается по почте в виде заказного письма на домашний адрес пользователя.
Однако до того как пользователь сможет ввести активизирующий код, необходимо активировать "меню SIM PKI". Для этого PKI-сервер передает на телефон пользователя соответствующий код (который является уникальным для SIM-карты пользователя), активизирующий "меню SIM PKI". Данный код не следует путать с действительным активизирующим кодом, который был описан выше. До этого момента названное "меню SIM PKI" хранилось на SIM-карте, будучи невидимым и недоступным для пользователя. Активирующий модуль PKI-сервера получает также определенные уникальные параметры от системы производства карт, и эти параметры также записываются на конкретную SIM-карту для того, чтобы использоваться в качестве кода при активировании "меню SIM PKI".
После активирования "меню SIM PKI" пользователь набирает активизирующий код на своем телефоне для того, чтобы зарегистрироваться для пользования данной службой. Активизирующий код посылается в виде SMS-сообщения PKI-серверу. Пользователю предоставляются три попытки для правильного ввода данного кода.
Активирующий модуль производит верификацию того, что введенный активизирующий код соответствует ранее переданному коду. После этого активирующий модуль передает обратно на SIM-карту команду "разблокировать PKI-кпючи". В результате соответствующее приложение, записанное на SIM-карте, будет генерировать пары ключей, содержащие секретный ключ и открытый верифицирующий ключ.
Открытый верифицирующий ключ передается посредством SMS-сообщения на активирующий модуль, причем это сообщение предпочтительно шифруется в соответствии со стандартом GSM 03.48 для защиты важной информации.
После этого от пользователя требуется самостоятельно выбрать PIN-код для подписи (PIN_SIGNKEY), используемый, например, в качестве подписи при транзакциях, шифровании и аутентификации.
В случае успешной верификации портал активизации связывается с органом сертификации для того, чтобы выпустить действующий сертификат, содержащий открытый ключ, ассоциированный с пользователем. Одновременно данный сертификат высылается в регистр сертификации.
Подтверждение успешной сертификации высылается пользователю; затем "меню SIM PKI" в SIM-карте отключается. После этого можно пользоваться PKI-функциями SIM-карты.
Таким образом, настоящее изобретение позволяет заменить PUK-код для той части SIM-карты, которая отвечает за PKI-функции (эту часть не следует путать с той ее частью, которая соответствует GSM-модулю) и которая обычно (из соображений безопасности) записывается в виде двух раздельных блоков с одноразовым активизирующим кодом. Тем самым достигается экономия объема памяти и упрощается управление.
Кроме того, настоящее изобретение обеспечивает более высокую степень защищенности, поскольку не предусматривает хранение какого-либо открытого ключа ни централизованным образом, у оператора, ни в терминале или на листке бумаги в качестве напоминания пользователю.
Настоящее изобретение позволяет генерировать ключи, служащие для активирования PKI-функций, и предоставляет пользователю возможность самостоятельно выбрать PIN-код для аутентификации и подписи при транзакциях.
Еще одно достоинство настоящего изобретения заключается в том, что SIM-карты могут повторно использоваться тем же пользователем или новым пользователем после истечения срока возобновления PKI-сертификата (обычно составляющего 2-3 года). Это становится возможным благодаря тому, что для каждого нового активизирующего кода в интеллектуальной карте генерируются новые PKI-данные.
Рассмотренный пример был приведен только для целей иллюстрации изобретения. Возможны и иные модификации и варианты его осуществления, не выходящие за пределы объема изобретения, определенного прилагаемой формулой изобретения.
1. Способ разблокирования, по меньшей мере, части функций, записанных на интеллектуальной карте, связанной с терминалом, который связан с коммуникационной сетью с подключенным к ней сервером, причем интеллектуальная карта доступна для пользователя указанного терминала, отличающийся тем, что предусматривает следующие операции:
- генерирование активизирующего кода в указанном сервере,
- посылку указанного активизирующего кода пользователю,
- адаптацию терминала таким образом, чтобы побудить пользователя к считыванию указанного активизирующего кода,
- после ввода пользователем в терминал считанного активизирующего кода передачу введенного активизирующего кода на указанный сервер через указанную коммуникационную сеть,
- при получении указанным сервером введенного пользователем активизирующего кода его сопоставление со сгенерированным активизирующим кодом,
- если введенный и сгенерированный активизирующие коды идентичны, передачу на указанный терминал через указанную коммуникационную сеть команды на разблокирование,
- при получении указанной команды на разблокирование осуществление разблокирования, по меньшей мере, указанной части функций, записанных на интеллектуальной карте.
2. Способ по п.1, отличающийся тем, что указанная часть функций интеллектуальной карты соответствует функциям Public Key Infrastructure (PKI), а указанный сервер является PKI-сервером.
3. Способ по п.2, отличающийся тем, что операция по разблокированию включает в себя следующие операции:
- генерирование пары ключей, состоящей из секретного ключа и открытого ключа,
- выдачу пользователю указания выбрать и ввести в терминал pin-код для использования в качестве подписи, шифрования и аутентификации,
- передачу указанного открытого ключа на PKI-сервер с истребованием от органа сертификации сертификата для указанного пользователя.
4. Способ по п.2, отличающийся тем, что указанные PKI-функции хранятся на интеллектуальной карте, но скрыты от пользователя до момента разблокирования.
5. Способ по п.1 или 2, отличающийся тем, что операция адаптации включает в себя передачу на терминал от сервера кода, активизирующего меню, которое предназначено для того, чтобы побудить пользователя к считыванию активизирующего кода.
6. Способ по п.1, отличающийся тем, что указанная коммуникационная сеть представляет собой сеть GSM, указанный терминал является мобильным телефоном GSM, а интеллектуальная карта является SIM-картой.
7. Способ по п.6, отличающийся тем, что передача считанного активизирующего кода от терминала на сервер осуществляется посредством SMS-сообщения.