[发明专利]通过非安全网络的设备供应和域加入仿真

权利要求书

1.一种用于管理域成员资格的计算机实现的系统(100)，包括：

用于从设法访问域的移动客户机接收用户凭证的域代理的引导组件(108)； 以及

用于基于所述用户凭证向所述域认证所述移动客户机的所述代理的认证组件 (110)。

2.如权利要求1所述的系统，其特征在于，所述用户凭证包括用户名或口令 中的至少一个。

3.如权利要求1所述的系统，其特征在于，所述认证组件基于所述用户凭证 为所述移动客户机创建机器帐户。

4.如权利要求1所述的系统，其特征在于，所述移动客户机是通过非安全空 中接口传递所述用户凭证的蜂窝电话。

5.一种管理域成员资格的计算机实现的方法，包括以下动作：

从移动设备接收凭证以加入域，所述凭证是由所述域的代理服务器通过空中 接口接收的(400)；

基于所述凭证在所述移动设备和所述代理服务器之间建立信任关系(402)；

经由所述代理服务器并基于所述信任关系在所述域中为所述移动设备创建机 器帐户(404)；以及

基于所述机器帐户将所述移动设备加入所述域(406)。

6.如权利要求5所述的方法，其特征在于，所述凭证包括用户名，以及一次 性使用口令(OTP)或设备ID中两者的至少一个。

7.如权利要求5所述的方法，其特征在于，还包括经由web服务从移动设备 接收通用加密种子的键控散列码摘要。

8.如权利要求7所述的方法，其特征在于，还包括从使用信道加密的web服 务接收所述键控散列码摘要。

9.如权利要求5所述的方法，其特征在于，还包括基于加密密钥在所述代理 服务器处生成域证书的键控散列码摘要。

10.如权利要求5所述的方法，其特征在于，还包括将所述键控散列码摘要 和根证书发送给所述移动设备以供所述移动设备验证以及基于所述移动设备的成 功认证来建立所述信任关系。

11.如权利要求5所述的方法，其特征在于，还包括允许所述移动客户机使 用具有信道加密的完全服务器认证来重新连接到所述代理服务器以进行验证 过程。

12.如权利要求5所述的方法，其特征在于，还包括验证代理服务器证书链 接回与完全信任关系相关联的域证书。

13.如权利要求5所述的方法，其特征在于，还包括作为登记过程的一部分 将经签署的域证书存储在所述移动设备上。

14.如权利要求5所述的方法，其特征在于，还包括代表所述移动客户机登 录到所述机器帐户并将对经签署的证书的证书请求提交给所述域的证书授权机构。

15.如权利要求14所述的方法，其特征在于，所述经签署的证书被返回给所 述移动客户机。

16.如权利要求5所述的方法，其特征在于，还包括将以下的至少一个存储 在域数据存储上：OTP、从所述OTP导出的加密密钥、新机器帐户的名称、对所 述客户机的所有者的引用、所述新机器帐户的目标容器的全域名、或使用所述加密 密钥导出的通用加密种子的散列机器认证码(HMAC)摘要。

17.如权利要求5所述的方法，其特征在于，还包括在加入动作之后所述代 理服务器停止协助所述移动客户机。

18.如权利要求5所述的方法，其特征在于，所述信任关系是私有信任关系。

19.如权利要求5所述的方法，其特征在于，还包括基于机器身份凭证而非 用户凭证来将所述移动设备加入所述域，所述域是私有域。

20.一种计算机实现的系统，包括：

用于从移动设备接收凭证以加入域的计算机实现的装置(108)，所述凭证是 由所述域的代理服务器通过空中接口接收的；

用于基于所述凭证在所述移动设备和所述代理服务器之间建立信任关系的计 算机实现的装置(110)；

用于经由所述代理服务器并基于所述信任关系在所述域中为所述移动设备创 建机器帐户的计算机实现的装置(106)；以及

用于基于所述机器帐户将所述移动设备加入所述域的计算机实现的装置 (106)。