用于用证书配置实体的方法以及装置制造方法

用于用证书配置实体的方法以及装置制造方法
【专利摘要】本发明揭示了一种用于用证书配置支持WiFi的远程站的内部实体的方法。在所述方法中，所述远程站在来自充当证书颁发机构的注册器的至少一个消息中接收所述证书(310)。所述远程站向所述内部实体提供所述证书(320)。所述内部实体基于所述证书安全地与外部实体通信(330)。所述内部实体可以是智能能源规范SEP2.0客户端，并且所述注册器可能是智能电话。在其中接收所述证书的所述消息可以是WiFi简单配置协议WSC的消息。
【专利说明】用于用证书配置实体的方法以及装置
[0001]相关申请案的交叉参考
[0002]本申请案主张2012年4月17日提交的第61/625，572号美国临时申请案的权益，并且主张2012年5月7日提交的第61/643，834号美国临时申请案的权益，这些申请案以引用的方式并入本文中。

【技术领域】
[0003]本发明大体上涉及用数字证书配置远程站的内部实体。

【背景技术】
[0004]一些装置含有实体，在装置内的这些实体需要先在内部被分配获得数字证书(在下文中称为证书)以及对应的私钥，然后才能适当地起作用。通常，证书以及对应的私钥的数值非常大，并且期望用户手动输入所述值可能是不合理的。向装置提供参数和/或从装置接收参数的过程可以被认为是“配置”。
[0005]因此需要一种用于以有效方式配置远程站的内部实体的证书的技术。


【发明内容】

[0006]本发明的一个方面可以在于一种用于用证书配置支持W1-Fi的远程站的内部实体的方法。在所述方法中，远程站接收来自充当证书颁发机构的注册器的至少一个消息中的证书。远程站向内部实体提供所述证书。内部实体基于所述证书安全地与外部实体通信。
[0007]在本发明的更详细方面中，远程站可以在至少一个消息中接收对应于证书的私钥。远程站可以向内部实体提供私钥。内部实体可以也基于私钥安全地与外部实体通信。远程站可以一起接收私钥与证书。证书可以包含对应于私钥的公钥，以及公钥标识符。远程站可以在至少一个消息中发送待认证的公钥。可以结合所发送的公钥产生证书。远程站可以产生公钥以及对应的私钥。此外，远程站可以一起接收共享机密、共享机密的标识、PIN、密码和/或证书生存期与证书。
[0008]在本发明的其它更详细方面中，所述至少一个消息可以包括WSC(WiFi简单配置)M7和/或M8消息。内部实体可以是SEP2(智能能源规范2)客户端，并且外部实体可以是SEP2服务器。替代地，内部实体可以是SEP2服务器，并且外部实体可以是SEP2客户端。注册器可以是智能电话和/或接入点。注册器可能具有用户接口，并且远程站可能不具有用户接口。注册器可以充当伪证书颁发机构。此外，证书可以是含有信任根公钥的自签名证书。
[0009]本发明的另一方面可以在于一种具有内部实体的支持WiFi的远程站，其包括:用于接收来自充当证书颁发机构的注册器的至少一个消息中的证书的装置；用于向内部实体提供所述证书的装置；以及用于基于所述证书安全地与外部实体通信的装置。
[0010]所述远程站可以进一步包括:用于在所述至少一个消息中接收对应于证书的私钥的装置；用于向内部实体提供所述私钥的装置；以及用于也基于所述私钥安全地与外部实体通信的装置。
[0011]本发明的另一方面可以在于一种具有内部实体的支持WiFi的远程站，其包括处理器，所述处理器经配置以:接收来自充当证书颁发机构的注册器的至少一个消息中的证书；以及向内部实体提供所述证书以用于基于所述证书安全地与外部实体通信。
[0012]本发明的另一方面可以在于一种计算机程序产品，其包括计算机可读媒体，所述计算机可读媒体包括:用于使得计算机接收来自充当证书颁发机构的注册器的至少一个消息中的证书的代码；以及用于使得计算机向内部实体提供所述证书以用于基于所述证书安全地与外部实体通信的代码。

【专利附图】

【附图说明】
[0013]图1是无线通信系统的实例的框图。
[0014]图2是示出了远程站、智能电话、接入点，以及另一个站的框图。
[0015]图3是根据本发明的用于用证书配置远程站的内部实体的方法的流程图。
[0016]图4是包含处理器以及存储器的计算机的框图。
[0017]图5是在远程站、注册站以及接入点之间的消息的流程图。

【具体实施方式】
[0018]本文中使用词“例示性”意指“充当实例、例子或说明”。本文中被描述为“例示性的”任何实施例并非必须被理解为比其它实施例优选或有利。
[0019]参考图2、3和5，本发明的一个方面可以在于一种用于用证书配置支持W1-Fi的远程站102/510的内部实体210的方法300。在所述方法中，远程站接收来自充当证书颁发机构的注册器520的至少一个消息中的证书(步骤310)。远程站向内部实体提供证书(步骤320)。内部实体基于证书安全地与外部实体230、250或260通信(步骤330)。
[0020]在本发明的更详细方面中，远程站102/510可以在至少一个消息中接收对应于证书的私钥。远程站可以向内部实体210提供私钥。内部实体可以也基于私钥安全地与外部实体通信。远程站可以一起接收私钥与证书。证书可以包含对应于私钥的公钥，以及公钥标识符。远程站可以在至少一个消息中发送待认证的公钥。可以结合所发送的公钥产生证书。远程站可以产生公钥以及对应的私钥。此外，远程站可以一起接收共享机密、共享机密的身份、PIN、密码和/或证书生存期与证书。
[0021]所述至少一个消息可以包括WSC M7和/或M8消息。内部实体210可以是SEP2客户端，并且外部实体可以是SEP2服务器。替代地，内部实体可以是SEP2服务器，并且外部实体230可以是SEP2客户端。注册器520可以是智能电话220和/或接入点250/530。注册器可具有用户接口，并且远程站可不具有用户接口。注册器可以充当伪证书颁发机构。此外，证书可以是具有信任根公钥的自签名证书。
[0022]证书颁发机构(CA)通常是受信任的第三方，所述第三方充当公钥基础结构中的信任根并且所述第三方提供验证实体的身份的服务。CA颁发证实证书主体的身份并且将所述身份与证书中所含有的公钥绑定的证书。CA用其私钥对证书进行签名，并且在提供公钥基础结构中的信任根的自签名CA或根证书中颁发对应的CA公钥。
[0023]在证书链中，CA可以向从属CA颁发中间证书，所述中间证书随后用于对用户证书进行签名。用户证书是使用中间证书来验证，并且中间证书是使用根证书来验证。此描述是3层层次结构PKI的实例。当然，层的数目可以高于3。
[0024]本发明的技术允许远程站使用WiFi作为数据媒体从外部装置接收证书、对应的私钥和/或信任根公钥/证书。远程站可以含有多个内部实体，并且可以接收多组证书、对应的私钥和/或信任根公钥/证书。
[0025]在本发明的更详细方面中，远程站102可能已经具有公钥/私钥对，或者它可以产生其自身的公钥/私钥对。远程站可以使用WiFi作为数据媒体在WSC参数内将其待认证公钥发送到外部装置。本发明的技术随后允许远程站使用WiFi作为数据媒体从外部装置接收对应于其公钥的证书以及最终的信任根公钥/证书。
[0026]进一步参考图4，本发明的另一方面可以在于一种具有内部实体210的支持WiFi的远程站102，其包括:用于从来自充当证书颁发机构的注册器的至少一个消息中接收证书的装置410 ;用于向内部实体提供证书的装置410 ;以及用于基于证书安全地与外部实体通信的装置410。
[0027]远程站102可以进一步包括:用于在至少一个消息中接收对应于证书的私钥的装置410 ;用于向内部实体提供私钥的装置410 ;以及用于也基于私钥安全地与外部实体通信的装置410。
[0028]本发明的另一方面可以在于一种具有内部实体210的支持WiFi的远程站102，其包括处理器410，所述处理器经配置以:接收来自充当证书颁发机构的注册器的至少一个消息中的证书；以及向内部实体提供证书以用于基于证书安全地与外部实体通信。
[0029]本发明的另一方面可以在于一种计算机程序产品，其包括计算机可读媒体420，所述计算机可读媒体包括:用于使得计算机400接收来自充当证书颁发机构的注册器的至少一个消息中的证书的代码；以及用于使得计算机400向内部实体提供证书以用于基于证书安全地与外部实体通信的代码。
[0030]如图4中所示，远程站102可以包括计算机400，所述计算机包含处理器410、例如存储器和/或磁盘驱动器等存储媒体420、显示器430以及例如小键盘440等输入端以及例如W1-Fi连接和/或蜂窝连接等无线连接450。
[0031]参考图5，作为一个实例，根据IEEE 802.11进行操作的远程站(RS)或接入点(AP)可能需要配备有用于建立与装置外的适当实体的安全通信的凭证(共享机密)。所述站或AP还可能需要传达其凭证以允许另一个站被配置有这些凭证。W1-Fi简单配置(WSC)协议，也称为W1-Fi保护设置(WPS)，为实体提供被称为注册器520 (例如智能电话220)的机制以配置远程站以及AP。
[0032]图5图示了 WSC协议在802.11WLAN的框架中的使用。注册器520可以配置或检索AP的SSID以及通行短语(passphrase)(步骤540)。RS (登记者)510 (即，远程站102)可以被配置有用于AP530(即，接入点250)的L2(IEEE 802.11)参数。可以按需要检索/配置SEP2参数(步骤550)。任选地，注册器可以利用登记者特定的L2参数来更新AP(步骤560)。登记者STA (内部实体)以及AP可以使用经编程SSID以及通行短语来进行验证。登记者STA以及AP可以应用802.lli安全性，从而导致为登记者建立IP连接性(步骤570)。
[0033]如果应用层(L7)实体保护通信的安全(例如，使用TLS-传输层安全性)，那么远程站102可能需要被配置有用于建立与站外的适当外部实体的安全通信的证书以及私钥。也可以类似地配置其它参数。可能需要向其它实体提供证书和/或证书标识符(例如证书指纹或证书的属性)以及其它参数以便建立值得信赖的通信。智能能源规范(SEP) 2.0是此类应用的实例，并且SEP2.0服务器以及SEP2.0客户端是应用层实体的实例。SEP2.0可以使能量管理系统成为可能和/或支持能量管理系统。WSC(在图5的实例中)为用于支持WSC的AP以及支持WSC的STA/站的802.11凭证提供安全配置机制。
[0034]被称为WSEP2的框架可以用于配置W1-Fi装置上的SEP2.0实体。然而，可以通过应用此技术来配置包含其它应用层实体的其它实体。除安全凭证之外，其它类型的参数也可以使用此技术来配置。
[0035]WSC注册器520可以配置用于在支持WSC的AP530/250以及远程站RS510/102 (也称为登记者)的支持WSC的STA上的SEP2实体的参数。AP可能不托管SEP2实体，而登记者可能托管SEP2实体。然而，AP有可能托管以与在登记者上的SEP2实体相同的方式经配置的SEP2实体。
[0036]注册器520可以是智能电话、计算机、平板电脑，或个人计算装置，包含充当无线外部注册器的支持W1-Fi的装置和/或支持WSC的装置，但也可能使用在AP530内部的注册器或经由AP与登记者通信的外部注册器，所述外部注册器使用UPnP来与AP通信(根据WSC)。注册器520可以根据WSC配置AP530。注册器可以配置网络中的其它SEP2实体230上的参数。如果SEP2实体存在于有WSC能力的装置上，那么此配置可以使用步骤550中的过程。替代地，所述配置可以经由涉及托管SEP2实体的装置的Π以及注册器的Π的人机交互来实现。替代地，所述配置可以使用在数据媒体上通信的例如通用即插即用(UPnP)等机制。
[0037]注册器520可以使用WSC消息配置登记者530上的STA。根据WSC，WSC消息M7以及M8中的“加密设置”可以用于配置内部802.11参数。为了配置内部SEP2参数，可以将另外的WSC属性添加在M7以及M8内，这些WSC属性含有被发送到寄存器或从寄存器中接收的SEP2.0内部参数。另外的WSC属性中的一些可以在未加密的WSC属性中发送。另外的WSC属性中的一些可以加密形式发送。在一个实例中，另外的WSC属性中的一些可以在“加密设置”属性内发送。在另一实例中，另外的WSC属性可以使用作为WSC交换的一部分而产生的密钥在其它加密WSC属性中发送。由注册器发送给具有至少一个SEP2客户端的登记者的参数可以包含:用于向外部SEP2服务器验证内部SEP2客户端的一或多个私钥；含有对应于那些私钥的公钥的客户端证书；任选地，用于证实被授权向SEP2客户端提供服务的那些SEP2服务器的供SEP2客户端使用的共享机密(例如，PIN)；以及任选地，SEP2客户端可以被授权使用的SEP2服务器的服务器证书或服务器证书标识。如果登记者具有至少一个SEP2服务器，那么由注册器发送的参数可以包含:可以由SEP2服务器授权的SEP2客户端的客户端证书和/或客户端证书标识；以及任选地，用于向SEP2客户端证实SEP2服务器被授权为SEP2客户端服务的共享机密。
[0038]注册器520可以使用WFAWLANConfig (如WSC中所指定)来将登记者特定的凭证配置到AP530上。注册器可以使用相同机制将登记者特定的SEP2凭证配置到其它SEP2.0实体上。
[0039]登记者510中的STA可以使用由注册器520配置的凭证来向AP530进行验证，从而导致STA以及AP建立安全通信，并且为登记者提供连接性以用于与其它装置(包含托管其它SEP2实体的装置)通信。
[0040]登记者上的SEP2实体可以验证并且随后信任如由对应的装置中的经配置凭证指定的其它SEP2实体。SEP2实体随后可以交换应用层数据。此机制可以用于管理哪些SEP2实体应该信任彼此。
[0041]在步骤550中由注册器520设置到SEP2客户端的证书以及对应的密钥可以由注册器产生或者由外部实体提供给注册器。替代地，公钥/私钥对可以由SEP2客户端产生，所述SEP2客户端随后向注册器520请求公钥的证书。例如，外部实体可以代表装置制造商、商业机构(例如公用事业)或用户进行作用。此外，注册器可以充当伪证书颁发机构，所述伪证书颁发机构颁发证书以为一组站提供无成本或低成本的信任根。类似地，AP530可以充当伪证书颁发机构。
[0042]WSC消息机制还可以用于将服务器证书以及对应的私钥配置到含有SEP2服务器的站或装置上，并且随后任选地向含有SEP2客户端的站或装置设置服务器证书和/或服务器证书标识。此外，WSC机制还可以用于用具有信任根公钥的证书颁发机构自签名证书配置站或装置。
[0043]在配置与证书相关的参数(例如证书、私钥、证书标识、PINs等)时，内部实体(例如SEP2客户端以及SEP2服务器)的实施方案可能或者可能不存在于装置上，并且所述实施方案可能或者可能不在操作系统上运行。
[0044]WSC的未来演进可以用于替代如当前描述的WSC。所述技术使用用户友好的机制在SEP2.0客户端上配置客户端证书，并且支持多种证书类型。
[0045]参考图1，无线远程站(RS) 102(例如，移动站MS)可以与无线通信系统100的一或多个基站(BS) 104通信。无线通信系统100可进一步包含一或多个基站控制器(BSC) 106，以及核心网络108。核心网络可以经由合适的回程连接到因特网110以及公共交换电话网络(PSTN) 112上。典型的无线移动站可以包含手持式电话、或膝上型计算机。无线通信系统100可以采用多个多址接入技术中的任一者，例如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、空间分多址(SDMA)、极分多址(PDMA)或所属领域中已知的其它调制技术。
[0046]所属领域的技术人员将了解，可以使用多种不同技术和技艺中的任一者来表示信息和信号。例如，可以由电压、电流、电磁波、磁场或磁粒子、光场或光粒子或其任何组合来表示在整个以上描述中提及的数据、指令、命令、信息、信号、位、符号以及码片。
[0047]所属领域的技术人员将进一步了解，可以将结合本文中所揭示的实施例而描述的各种说明性逻辑块、模块、电路和算法步骤实施为电子硬件、计算机软件或两者的组合。为了清楚说明硬件与软件的此可互换性，上文已大体关于其功能性描述了各种说明性组件、块、模块、电路以及步骤。所述功能性是实施为硬件还是软件取决于特定应用以及施加于整个系统的设计约束。所属领域的技术人员可以针对每一特定应用以不同方式来实施所描述的功能性，但此类实施决定不应被解释为会导致脱离本发明的范围。
[0048]可以使用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其经设计以执行本文所描述的功能的任何组合来实施或执行结合本文中所揭示的实施例而描述的各种说明性逻辑块、模块以及电路。通用处理器可以为微处理器，但在替代方案中，处理器可以为任何常规的处理器、控制器、微控制器或状态机。处理器还可以实施为计算装置的组合，例如，DSP与微处理器的组合、多个微处理器、一或多个微处理器与DSP核心的联合，或任何其它此配置。
[0049]可以直接在硬件中、在由处理器执行的软件模块中或在上述两者的组合中实施结合本文所揭示的实施例而描述的方法或算法的步骤。软件模块可以存在于RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPR0M存储器、寄存器、硬盘、抽取式磁盘、CD-ROM，或所属领域中已知的任何其它形式的存储媒体中。例示性存储媒体耦合到处理器上，使得处理器可以从存储媒体读取信息并且将信息写入到存储媒体。在替代方案中，存储媒体可以与处理器成一体式。处理器以及存储媒体可以存在于ASIC中。ASIC可以存在于用户终端中。在替代方案中，处理器以及存储媒体可以作为离散组件存在于用户终端中。
[0050]在一或多个例示性实施例中，所描述的功能可以在硬件、软件、固件或其任何组合中实施。如果在软件中实施为计算机程序产品，那么可以将功能作为一或多个指令或代码存储在计算机可读媒体上或经过计算机可读媒体进行传输。计算机可读媒体包含非暂时性计算机存储媒体以及包含促进将计算机程序从一处传送到另一处的任何媒体的通信媒体两者。存储媒体可以是可由计算机存取的任何可用媒体。以实例方式(且并非限制)，此类计算机可读媒体可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置，或可以用于携载或存储呈指令或数据结构的形式的所需程序代码并且可以由计算机存取的任何其它媒体。同样，可以恰当地将任何连接称作计算机可读媒体。例如，如果使用同轴电缆、光缆、双绞线、数字用户线(DSL)或例如红外线、无线电以及微波等无线技术从网站、服务器或其它远程源传输软件，那么同轴电缆、光缆、双绞线、DSL或例如红外线、无线电以及微波等无线技术包含于媒体的定义中。如本文中所使用，磁盘及光盘包含紧密光盘(CD)、激光光盘、光学光盘、数字多功能光盘(DVD)、软磁盘及蓝光光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上文的组合也应包含在计算机可读媒体的范围内。
[0051]提供所揭示实施例的先前描述以使得任何所属领域的技术人员能够制作或使用本发明。所属领域的技术人员将容易明白对这些实施例的各种修改，且在不脱离本发明的精神或范围的情况下，本文所界定的一般原理可以应用于其它实施例。因此，本发明并不希望限于本文中所展示的实施例，而应符合与本文中所揭示的原理以及新颖特征一致的最广范围。
【权利要求】
1.一种用于用证书配置支持WiFi的远程站的内部实体的方法，其包括: 所述远程站在来自充当证书颁发机构的注册器的至少一个消息中接收所述证书； 所述远程站向所述内部实体提供所述证书；以及 所述内部实体基于所述证书安全地与外部实体通信。
2.根据权利要求1所述的配置方法，其进一步包括: 所述远程站在所述至少一个消息中接收对应于所述证书的私钥； 所述远程站向所述内部实体提供所述私钥；以及 所述内部实体也基于所述私钥安全地与所述外部实体通信。
3.根据权利要求2所述的配置方法，其中所述远程站与所述证书一起接收所述私钥。
4.根据权利要求2所述的配置方法，其中所述证书包括对应于所述私钥的公钥，以及公钥标识符。
5.根据权利要求1所述的配置方法，其进一步包括: 所述远程站在所述至少一个消息中发送待认证的公钥，其中结合所述公钥产生所述证书。
6.根据权利要求5所述的配置方法，其进一步包括: 所述远程站产生所述公钥以及对应的私钥。
7.根据权利要求1所述的配置方法，其进一步包括: 所述远程站与所述证书一起接收共享机密、所述共享机密的标识、PIN、密码和/或证书生存期。
8.根据权利要求1所述的配置方法，其中所述至少一个消息包括WSCM7和/或M8消肩、O
9.根据权利要求1所述的配置方法，其中所述内部实体是SEP2客户端，并且所述外部实体是SEP2服务器。
10.根据权利要求1所述的配置方法，其中所述内部实体是SEP2服务器，并且所述外部实体是SEP2客户端。
11.根据权利要求1所述的配置方法，其中所述注册器具有用户接口。
12.根据权利要求1所述的配置方法，其中所述注册器是智能电话。
13.根据权利要求1所述的配置方法，其中所述远程站不具有用户接口。
14.根据权利要求1所述的配置方法，其中所述注册器是接入点。
15.根据权利要求1所述的配置方法，其中所述注册器充当伪证书颁发机构。
16.根据权利要求1所述的配置方法，其中所述证书是含有信任根公钥的自签名证书。
17.—种具有内部实体的支持WiFi的远程站，其包括: 用于在来自充当证书颁发机构的注册器的至少一个消息中接收证书的装置； 用于向所述内部实体提供所述证书的装置；以及 用于基于所述证书安全地与外部实体通信的装置。
18.根据权利要求17所述的远程站，其进一步包括: 用于在所述至少一个消息中接收对应于所述证书的私钥的装置； 用于向所述内部实体提供所述私钥的装置；以及 用于也基于所述私钥安全地与所述外部实体通信的装置。
19.根据权利要求18所述的远程站，其中所述私钥与所述证书一起被接收。
20.根据权利要求18所述的远程站，其中所述证书包括对应于所述私钥的公钥，以及公钥标识符。
21.根据权利要求17所述的远程站，其进一步包括: 用于在所述至少一个消息中发送待认证的公钥的装置，其中所述证书是结合所述公钥产生的。
22.根据权利要求21所述的远程站，其进一步包括: 用于产生所述公钥以及对应的私钥的装置。
23.根据权利要求17所述的远程站，其进一步包括: 用于与所述证书一起接收共享机密、所述共享机密的标识、PIN、密码和/或证书生存期的装置。
24.根据权利要求17所述的远程站，其中所述至少一个消息包括WSCM7和/或M8消肩、O
25.根据权利要求17所述的远程站，其中所述内部实体是SEP2客户端，并且所述外部实体是SEP2服务器。
26.根据权利要求17所述的远程站，其中所述内部实体是SEP2服务器，并且所述外部实体是SEP2客户端。
27.根据权利要求17所述的远程站，其中所述注册器具有用户接口。
28.根据权利要求17所述的远程站，其中所述注册器是智能电话。
29.根据权利要求17所述的远程站，其中所述远程站不具有用户接口。
30.根据权利要求17所述的远程站，其中所述注册器是接入点。
31.根据权利要求30所述的远程站，其中所述注册器充当伪证书颁发机构。
32.根据权利要求17所述的远程站，其中所述证书是含有信任根公钥的自签名证书。
33.一种具有内部实体的支持WiFi的远程站，其包括: 处理器，其经配置以: 在来自充当证书颁发机构的注册器的至少一个消息中接收证书；以及 向所述内部实体提供所述证书以用于基于所述证书安全地与外部实体通信。
34.根据权利要求33所述的远程站，其中所述处理器进一步经配置以: 在所述至少一个消息中接收对应于所述证书的私钥；以及 向所述内部实体提供所述私钥以用于也基于所述私钥安全地与所述外部实体通信。
35.根据权利要求34所述的远程站，其中所述私钥与所述证书一起被接收。
36.根据权利要求34所述的远程站，其中所述证书包括对应于所述私钥的公钥，以及公钥标识符。
37.根据权利要求33所述的远程站，其中所述处理器进一步经配置以: 在所述至少一个消息中发送待认证的公钥，其中结合所述公钥产生所述证书。
38.根据权利要求37所述的远程站，其中所述处理器进一步经配置以: 产生所述公钥以及对应的私钥。
39.根据权利要求33所述的远程站，其中所述处理器进一步经配置以: 与所述证书一起接收共享机密、所述共享机密的标识、PIN、密码和/或证书生存期。
40.根据权利要求33所述的远程站，其中所述至少一个消息包括WSCM7和/或M8消肩、O
41.根据权利要求33所述的远程站，其中所述内部实体是SEP2客户端，并且所述外部实体是SEP2服务器。
42.根据权利要求33所述的远程站，其中所述内部实体是SEP2服务器，并且所述外部实体是SEP2客户端。
43.根据权利要求33所述的远程站，其中所述注册器具有用户接口。
44.根据权利要求33所述的远程站，其中所述注册器是智能电话。
45.根据权利要求33所述的远程站，其中所述远程站不具有用户接口。
46.根据权利要求33所述的远程站，其中所述注册器是接入点。
47.根据权利要求46所述的远程站，其中所述注册器充当伪证书颁发机构。
48.根据权利要求33所述的远程站，其中所述证书是含有信任根公钥的自签名证书。
49.一种计算机程序产品，其包括: 计算机可读媒体，其包括: 用于使得计算机在来自充当证书颁发机构的注册器的至少一个消息中接收证书的代码；以及 用于使得计算机向内部实体提供所述证书以用于基于所述证书安全地与外部实体通信的代码。
50.根据权利要求49所述的计算机程序产品，其中所述计算机可读媒体进一步包括: 用于使得计算机在所述至少一个消息中接收对应于所述证书的私钥的代码；以及 用于使得计算机向所述内部实体提供所述私钥以用于也基于所述私钥安全地与所述外部实体通信的代码。
51.根据权利要求50所述的计算机程序产品，其中所述私钥与所述证书一起被接收。
52.根据权利要求50所述的计算机程序产品，其中所述证书包括对应于所述私钥的公钥，以及公钥标识符。
53.根据权利要求49所述的计算机程序产品，其中所述计算机可读媒体进一步包括: 用于使得计算机在所述至少一个消息中发送待认证的公钥的代码，其中结合所述公钥产生所述证书。
54.根据权利要求53所述的计算机程序产品，其中所述计算机可读媒体进一步包括: 用于使得计算机产生所述公钥以及对应的私钥的代码。
55.根据权利要求49所述的计算机程序产品，其中所述计算机可读媒体进一步包括: 用于使得计算机与所述证书一起接收共享机密、所述共享机密的标识、PIN、密码和/或证书生存期的代码。
56.根据权利要求49所述的计算机程序产品，其中所述至少一个消息包括WSCM7和/或M8消息。
57.根据权利要求49所述的计算机程序产品，其中所述内部实体是SEP2客户端，并且所述外部实体是SEP2服务器。
58.根据权利要求49所述的计算机程序产品，其中所述内部实体是SEP2服务器，并且所述外部实体是SEP2客户端。
59.根据权利要求49所述的计算机程序产品，其中所述注册器具有用户接口。
60.根据权利要求49所述的计算机程序产品，其中所述注册器是智能电话。
61.根据权利要求49所述的计算机程序产品，其中所述远程站不具有用户接口。
62.根据权利要求49所述的计算机程序产品，其中所述注册器是接入点。
63.根据权利要求62所述的计算机程序产品，其中所述注册器充当伪证书颁发机构。
64.根据权利要求49所述的计算机程序产品，其中所述证书是含有信任根公钥的自签名证书。
【文档编号】H04L9/32GK104272646SQ201380023802
【公开日】2015年1月7日 申请日期:2013年4月8日 优先权日:2012年5月7日
【发明者】菲利普·霍克斯, 奥利维尔·让·伯努瓦, 阿南德·帕拉尼古德 申请人:高通股份有限公司