一种设备凭证分发方法和系统、用户设备及管理实体与流程

本发明涉及物联网领域，尤指一种设备凭证分发方法和系统、用户设备及管理实体。

背景技术：

大规模机器连接是5g系统的典型应用场景之一，在大规模机器连接应用场景中，物联网(iot，internetofthings)终端设备在部署前很难预配置用于网络接入和物联网服务的凭证信息。另外，物联网终端设备在使用过程中，由于用户的需求，有可能需要变更运营商或物联网业务，这需要对iot设备进行凭证的远程分发。在5g系统中，对于iot设备而言，通常由用户进行管理，用户通过ue与iot设备之间的短距离通信连接实现对iot设备的管理。因此，目前针对iot设备的凭证分发解决方案也通过ue实现。图1为现有技术中支持iot设备凭证远程分发的一种解决方案，如图1所示，iot设备通过其伴随用户ue向核心网用户签约管理实体发送获取设备凭证请求，核心网用户签约管理实体根据iot设备身份标识从设备证书管理实体获取该iot设备的设备证书，并对iot设备进行认证，认证通过后，从认证中心为该iot设备获取凭证信息并发送给伴随ue，然后由伴随ue将凭证信息发送给iot设备，从而完成凭证分发。

在现有的解决方案中，必须使用公钥密码体制以保证凭证分发的安全性，同时凭证所使用的却是对称密钥体制。这使得网络侧和终端都必须同时支持两套密码体制，增加了凭证分发的复杂性。

技术实现要素：

为了解决上述问题，本发明提出了一种设备凭证分发方法和系统、用户设备及管理实体，能够解决由于网络侧和终端都必须同时支持两套密码体制所造成的增加凭证分发复杂性的问题。

为了解决上述技术问题，本发明提出了一种设备凭证分发方法，所述方法包括：

用户设备ue向运营商用户签约认证管理实体发送iot设备凭证请求信息；

用户签约认证管理实体根据收到的凭证请求信息中的iot设备身份信息，生成对应的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

ue收到凭证信息后，将所述凭证信息发送给对应的iot设备；以使得所述iot设备根据所述凭证信息附着到移动通信系统。

优选地，用户签约认证管理实体在生成对应的凭证信息之后，通过aka密钥对凭证信息加密，并将加密后的凭证信息发送给ue；

ue在获得加密的凭证信息之后，通过aka密钥对凭证信息进行解密，从而获得解密后的凭证信息。

优选地，ue使用iot设备的公钥将凭证信息加密后发送给对应的iot设备；

所述iot设备在收到加密的凭证信息后，通过私钥对加密的凭证信息进行解密，并获得解密的凭证信息。

优选地，所述iot设备凭证请求信息包括用户身份信息、以及一个或多个iot设备身份信息。

优选地，在所述生成对应的凭证信息之后，所述用户签约认证管理实体存储所述凭证请求信息中携带的用户身份信息和iot设备身份信息、及其对应的凭证信息。

优选地，所述方法还包括：

ue向运营商用户签约认证管理实体发送iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息；

用户签约认证管理实体根据收到的凭证删除请求信息，删除用户身份信息和iot设备身份信息对应的凭证信息。

为了解决上述技术问题，本发明还提出了一种设备凭证分发方法，所述方法包括：

ue向运营商用户签约认证管理实体发送iot设备凭证请求信息；

ue接收用户签约认证管理实体发送的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

ue收到凭证信息后，将所述凭证信息发送给对应的iot设备；以使得所述iot设备根据所述凭证信息附着到移动通信系统。

优选地，ue使用iot设备的公钥将凭证信息加密后发送给对应的iot设备，以使得所述iot设备在收到加密的凭证信息后，通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息。

优选地，所述iot设备凭证请求信息包括用户身份信息、以及一个或多个iot设备身份信息。

优选地，所述方法还包括：

ue向运营商用户签约认证管理实体发送iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息。

为了解决上述技术问题，本发明还提出了一种设备凭证分发方法，所述方法包括：

用户签约认证管理实体接收ue发送的iot设备凭证请求信息；

用户签约认证管理实体根据收到的凭证请求信息中的iot设备身份信息，生成对应的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

用户签约认证管理实体将iot设备身份信息对应的凭证信息发送给ue。

优选地，在所述生成对应的凭证信息之后，所述用户签约认证管理实体存储所述凭证请求信息中携带的用户身份信息和iot设备身份信息、及其对应的凭证信息。

优选地，所述方法还包括：

用户签约认证管理实体接收ue发送的iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息；

用户签约认证管理实体根据收到的凭证删除请求信息，删除用户身份信息和iot设备身份信息对应的凭证信息。

为了解决上述技术问题，本发明还提出了一种设备凭证分发系统，所述系统包括：运营商用户签约认证管理实体、用户设备ue、和iot设备；

所述管理实体包括：

请求接收单元，用于接收用户设备ue发送的iot设备凭证请求信息；

处理单元，用于根据收到的凭证请求信息中的iot设备身份信息，生成对应的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

第二发送单元，用于将iot设备身份信息对应的凭证信息发送给ue；。

所述用户设备ue包括：

请求单元，用于向运营商用户签约认证管理实体发送iot设备凭证请求信息；

第一接收单元，用于接收用户签约认证管理实体发送的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

第一发送单元，用于在第一接收单元收到凭证信息后，将所述凭证信息发送给对应的iot设备；以使得所述iot设备根据所述凭证信息附着到移动通信系统。

所述iot设备包括：

第二接收单元，用于接收ue发送的凭证信息；

附着单元，用于根据所述凭证信息附着到移动通信系统。

优选地，所述第二发送单元还用于在处理单元生成对应的凭证信息之后，通过aka密钥对凭证信息加密，并将加密后的凭证信息发送给ue；

所述还用于第一接收单元在获得凭证信息之后，通过aka密钥对凭证信息进行解密，从而获得解密后的凭证信息。16、根据权利要求14所述的系统，其特征在于，

所述第一发送单元包括加密模块，用于使用iot设备的公钥将凭证信息加密后发送给对应的iot设备，以使得所述iot设备在收到加密的凭证信息后，通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息；

所述第二接收单元包括解密模块，用于在收到加密的凭证信息后，通过私钥对加密的凭证信息进行解密，并获得解密的凭证信息。

优选地，所述iot设备凭证请求信息包括用户身份信息、以及一个或多个iot设备身份信息。

优选地，所述管理实体还包括：

第一存储单元，用于在生成凭证请求信息对应的凭证信息之后，存储所述凭证请求信息中携带的用户身份信息和iot设备身份信息、及其对应的凭证信息。

优选地，所述系统还包括：

所述请求单元还用于：向运营商用户签约认证管理实体发送iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息；

所述请求接收单元还用于接收ue发送的iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息；

所述第一存储单元还用于根据收到的凭证删除请求信息，删除用户身份信息和iot设备身份信息对应的凭证信息。

为了解决上述技术问题，本发明还提出了一种用户设备，所述用户设备包括：

请求单元，用于向运营商用户签约认证管理实体发送iot设备凭证请求信息；

第一接收单元，用于接收用户签约认证管理实体发送的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

第一发送单元，用于在第一接收单元收到凭证信息后，将所述凭证信息发送给对应的iot设备；以使得所述iot设备根据所述凭证信息附着到移动通信系统。

优选地，所述第一发送单元包括加密模块，用于使用iot设备的公钥将凭证信息加密后发送给对应的iot设备，以使得所述iot设备在收到加密的凭证信息后，通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息。

优选地，所述iot设备凭证请求信息包括用户身份信息、以及一个或多个iot设备身份信息。

优选地，所述请求单元还用于：向运营商用户签约认证管理实体发送iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息。

为了解决上述技术问题，本发明还提出了一种运营商用户签约认证管理实体，所述管理实体包括：

请求接收单元，用于接收用户设备ue发送的iot设备凭证请求信息；

处理单元，用于根据收到的凭证请求信息中的iot设备身份信息，生成对应的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

第二发送单元，用于将iot设备身份信息对应的凭证信息发送给ue。

优选地，所述管理实体还包括：

第一存储单元，用于在生成凭证请求信息对应的凭证信息之后，存储所述凭证请求信息中携带的用户身份信息和iot设备身份信息、及其对应的凭证信息。

优选地，所述请求接收单元还用于接收ue发送的iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息；

所述第一存储单元还用于根据收到的凭证删除请求信息，删除用户身份信息和iot设备身份信息对应的凭证信息。

与现有技术相比，本发明提供的技术方案包括：用户设备ue向运营商用户签约认证管理实体发送iot设备凭证请求信息；用户签约认证管理实体根据收到的凭证请求信息中的iot设备身份信息，生成对应的凭证信息，所述凭证信息包括imsi和鉴权密钥k；ue收到凭证信息后，将所述凭证信息发送给对应的iot设备；以使得所述iot设备根据所述凭证信息附着到移动通信系统。通过本发明的方案，在网络侧，不需要设备证书管理实体提供相应的设备证书，减少了网络侧的交互过程，此外网络侧不需要根据设备证书对凭证信息进行解密，ue在收到网络侧发送的凭证信息之后，也不需要根据证书生成对应的公钥，并通过公钥对凭证信息进行解密，ue不需要支持非对称密钥体制，只需要支持对称密钥体制就可以了，同时网络侧在设备凭证分发过程中，也不需要支持非对称密钥体制，只需要支持对称密钥体制，因此，通过上述技术方案，简化了设备凭证分发过程，改善了系统性能。

附图说明

下面对本发明实施例中的附图进行说明，实施例中的附图是用于对本发明的进一步理解，与说明书一起用于解释本发明，并不构成对本发明保护范围的限制。

图1为现有技术中iot设备凭证远程分发的流程图；

图2为本发明实施例提供的设备凭证分发方法的流程示意图；

图3为本发明实施例提供的设备凭证分发方法中删除过程的示意图；

图4a为本发明实施例提供的用户设备的结构示意图；

图4b为本发明实施例提供的管理实体的结构示意图；

图4c为本发明实施例提供的iot设备的结构示意图；

图5为本发明实施例提供的设备凭证分发系统的结构示意图。

具体实施方式

为了便于本领域技术人员的理解，下面结合附图对本发明作进一步的描述，并不能用来限制本发明的保护范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的各种方式可以相互组合。

参见图2，本发明提出了一种设备凭证分发方法，所述方法包括：

步骤110、ue向运营商用户签约认证管理实体发送iot设备凭证请求信息；

其中，所述iot设备凭证请求信息中包括用户身份信息，iot设备身份信息。

其中，ue在附着5g网络后发送iot设备凭证请求信息。iot设备凭证请求信息中包括一个或多个iot设备身份信息。

步骤120、用户签约认证管理实体根据收到的凭证请求信息中的iot设备身份信息，生成对应的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

现有技术中，生成凭证信息的管理实体需要首先从用户签约认证管理实体获取证书，通过证书对生成的凭证信息进行加密，而本发明实施例中，用户签约认证管理实体在生成对应的凭证信息之后，通过aka获得的密钥将凭证信息加密后发送给ue，减少了与用户签约认证管理实体与设备证书管理实体交互的过程，简化了系统设计。

步骤130，用户签约认证管理实体保存用户身份信息，iot设备身份信息及其对应的凭证信息；

步骤140、用户签约认证管理实体将iot设备身份信息及其对应的凭证信息发送给ue，凭证信息包括iot设备信息对应的imsi及鉴权密钥k；

通过aka获得的密钥将凭证信息加密后发送给ue，ue侧具有与网络侧的用户签约认证管理实体相同的aka密钥，ue在获得加密的凭证信息之后，通过aka密钥对凭证信息进行解密，从而获得解密后的凭证信息。

本发明实施例中，用户签约认证管理实体与ue之间的通信采用对称加密的方式进行通信，ue不再需要支持非对称密钥体制和对称密钥体制两种密钥体制，只需要支持对称密钥体制就可以了，简化了ue侧的系统复杂程度。

步骤150、ue收到凭证信息后，根据iot设备身份信息，将所述凭证信息发送给对应的iot设备；

其中，ue通过ue与iot设备之间的安全通信连接将凭证信息发送给iot设备；

例如，优选地，ue使用iot设备的公钥将凭证信息加密后发送到iot设备；iot设备收到加密的凭证信息后，通过私钥解密获得凭证信息。

步骤160、iot设备收到所述凭证信息后保存所述凭证信息，并根据所述凭证信息附着到移动通信系统，优选地移动通信系统为5g系统，在附着过程中给予凭证与5g系统进行aka认证。

本发明实施例中，用户通过ue与iot设备之间的安全通信连接对iot设备进行管理。ue与iot设备之间的通信连接包括各种短距离无线通信连接和其他方式的有线连接。ue与iot之间通信的安全性通过用户控制实现。

ue与iot设备之间的安全通信连接，可以是基于iot证书建立的安全通信连接。为此，ue需要提前获得iot设备的证书，ue与iot设备之间的通信可以通过信令层完成，也可以通过应用层完成，如果通过信令层完成通信，采用对称加密的方式进行通信，如果通过应用层完成通信，可以采用对称加密或者非对称加密的方式进行通信。优选地，本发明实施例中，当用户不再使用iot设备时，用户可以发起凭证删除流程，具体的，图3为本发明实施例提供的设备凭证删除方法的流程图。如图3所示，设备凭证删除过程包括：

步骤201、ue向运营商用户签约认证管理实体发送iot设备凭证删除请求信息，凭证删除请求信息包括用户身份信息和iot设备的身份信息；

其中，ue根据用户输入的设备凭证删除请求，启动设备凭证删除过程。

步骤202、用户签约认证管理实体根据收到的凭证删除请求信息，删除iot设备身份信息对应的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

步骤203、用户签约认证管理实体向用户设备反馈删除完成确认信息；

可选地，还包括，步骤204、用户在收到反馈删除完成确认信息之后，向iot设备发送凭证信息删除通知信息，以使得iot设备根据凭证信息删除通知信息删除相应的凭证信息。

基于与上述实施例相同或相似的构思，本发明实施例还提供一种用户设备，如图4a所示，本发明实施例提出的用户设备包括：

请求单元11，用于向运营商用户签约认证管理实体发送iot设备凭证请求信息；

第一接收单元12，用于接收用户签约认证管理实体发送的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

第一发送单元13，用于在第一接收单元收到凭证信息后，将所述凭证信息发送给对应的iot设备；以使得所述iot设备根据所述凭证信息附着到移动通信系统。

本发明实施例中，所述第一发送单元13包括加密模块，用于使用iot设备的公钥将凭证信息加密后发送给对应的iot设备，以使得所述iot设备在收到加密的凭证信息后，通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息。

本发明实施例中，所述iot设备凭证请求信息包括用户身份信息、以及一个或多个iot设备身份信息。

本发明实施例中，所述请求单元11还用于：向运营商用户签约认证管理实体发送iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息。

基于与上述实施例相同或相似的构思，本发明实施例还提供一种运营商用户签约认证管理实体，如图4b所示，本发明实施例提出的管理实体包括：

请求接收单元21，用于接收用户设备ue发送的iot设备凭证请求信息；

处理单元22，用于根据收到的凭证请求信息中的iot设备身份信息，生成对应的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

第二发送单元23，用于将iot设备身份信息对应的凭证信息发送给ue。

本发明实施例中，所述管理实体还包括：

第一存储单元24，用于在生成凭证请求信息对应的凭证信息之后，存储所述凭证请求信息中携带的用户身份信息和iot设备身份信息、及其对应的凭证信息。

本发明实施例中，所述请求接收单元21还用于接收ue发送的iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息；

所述第一存储单元24还用于根据收到的凭证删除请求信息，删除用户身份信息和iot设备身份信息对应的凭证信息。

基于与上述实施例相同或相似的构思，本发明实施例还提供一种iot设备，如图4c所示，本发明实施例提出的iot设备包括：

所述iot设备包括：

第二接收单元31，用于接收ue发送的凭证信息；

附着单元32，用于根据所述凭证信息附着到移动通信系统。

所述iot设备还包括：

第二存储单元33，用于存储ue发送的凭证信息。

本发明实施例中，所述第二接收单元31还用于接收ue发送的凭证信息删除通知信息，第二存储单元33还用于根据ue发送的凭证信息删除通知信息删除对应的凭证信息。

基于与上述实施例相同或相似的构思，本发明实施例还提供一种设备凭证分发系统，本发明实施例提出的设备凭证分发系统包括本发明实施例提供的任一运营商用户签约认证管理实体、任一用户设备ue、和任一iot设备。下面结合一个具体的示例进行说明。

基于与上述实施例相同或相似的构思，本发明实施例还提供一种设备凭证分发系统，如图5所示，所述系统包括：运营商用户签约认证管理实体20、用户设备ue10、和iot设备30；其中，

所述管理实体20包括：

请求接收单元21，用于接收用户设备ue发送的iot设备凭证请求信息；

处理单元22，用于根据收到的凭证请求信息中的iot设备身份信息，生成对应的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

第二发送单元23，用于将iot设备身份信息对应的凭证信息发送给ue；。

所述用户设备10包括：

请求单元11，用于向运营商用户签约认证管理实体发送iot设备凭证请求信息；

第一接收单元12，用于接收用户签约认证管理实体发送的凭证信息，所述凭证信息包括imsi和鉴权密钥k；

第一发送单元13，用于在第一接收单元收到凭证信息后，将所述凭证信息发送给对应的iot设备；以使得所述iot设备根据所述凭证信息附着到移动通信系统。

所述iot设备30包括：

第二接收单元31，用于接收ue发送的凭证信息；

附着单元32，用于根据所述凭证信息附着到移动通信系统。

本发明实施例中，所述第一发送单元13包括加密模块，用于使用iot设备的公钥将凭证信息加密后发送给对应的iot设备，以使得所述iot设备在收到加密的凭证信息后，通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息；

所述第二接收单元31包括解密模块，用于在收到加密的凭证信息后，通过私钥对加密的凭证信息进行解密，并获得解密的凭证信息。

本发明实施例中，所述iot设备凭证请求信息包括用户身份信息、以及一个或多个iot设备身份信息。

本发明实施例中，所述管理实体还包括：

第一存储单元24，用于在生成凭证请求信息对应的凭证信息之后，存储所述凭证请求信息中携带的用户身份信息和iot设备身份信息、及其对应的凭证信息。

本发明实施例中，所述系统还包括：

所述请求单元11还用于：向运营商用户签约认证管理实体发送iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息；

所述请求接收单元21还用于接收ue发送的iot设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和iot设备的身份信息；

所述第一存储单元24还用于根据收到的凭证删除请求信息，删除用户身份信息和iot设备身份信息对应的凭证信息。

需要说明的是，以上所述的实施例仅是为了便于本领域的技术人员理解而已，并不用于限制本发明的保护范围，在不脱离本发明的发明构思的前提下，本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。