本發(fā)明公開了一種設(shè)備憑證分發(fā)方法和系統(tǒng)、用戶設(shè)備及管理實體，該方法包括：用戶設(shè)備UE向運(yùn)營商用戶簽約認(rèn)證管理實體發(fā)送IOT設(shè)備憑證請求信息；用戶簽約認(rèn)證管理實體根據(jù)收到的憑證請求信息中的IOT設(shè)備身份信息，生成對應(yīng)的憑證信息，所述憑證信息包括IMSI和鑒權(quán)密鑰K；UE收到憑證信息后，將所述憑證信息發(fā)送給對應(yīng)的IOT設(shè)備；以使得所述IOT設(shè)備根據(jù)所述憑證信息附著到移動通信系統(tǒng)。通過本發(fā)明的方案，不需要支持非對稱密鑰體制，只需要支持對稱密鑰體制就可以了，簡化了設(shè)備憑證分發(fā)過程，改善了系統(tǒng)性能。

技術(shù)領(lǐng)域

本發(fā)明涉及物聯(lián)網(wǎng)領(lǐng)域，尤指一種設(shè)備憑證分發(fā)方法和系統(tǒng)、用戶設(shè)備及管理實體。

背景技術(shù)

大規(guī)模機(jī)器連接是5G系統(tǒng)的典型應(yīng)用場景之一，在大規(guī)模機(jī)器連接應(yīng)用場景中，物聯(lián)網(wǎng)(IOT，Internet?Of?Things)終端設(shè)備在部署前很難預(yù)配置用于網(wǎng)絡(luò)接入和物聯(lián)網(wǎng)服務(wù)的憑證信息。另外，物聯(lián)網(wǎng)終端設(shè)備在使用過程中，由于用戶的需求，有可能需要變更運(yùn)營商或物聯(lián)網(wǎng)業(yè)務(wù)，這需要對IOT設(shè)備進(jìn)行憑證的遠(yuǎn)程分發(fā)。在5G系統(tǒng)中，對于IOT設(shè)備而言，通常由用戶進(jìn)行管理，用戶通過UE與IOT設(shè)備之間的短距離通信連接實現(xiàn)對IOT設(shè)備的管理。因此，目前針對IOT設(shè)備的憑證分發(fā)解決方案也通過UE實現(xiàn)。圖1為現(xiàn)有技術(shù)中支持IOT設(shè)備憑證遠(yuǎn)程分發(fā)的一種解決方案，如圖1所示，IOT設(shè)備通過其伴隨用戶UE向核心網(wǎng)用戶簽約管理實體發(fā)送獲取設(shè)備憑證請求，核心網(wǎng)用戶簽約管理實體根據(jù)IOT設(shè)備身份標(biāo)識從設(shè)備證書管理實體獲取該IOT設(shè)備的設(shè)備證書，并對IOT設(shè)備進(jìn)行認(rèn)證，認(rèn)證通過后，從認(rèn)證中心為該IOT設(shè)備獲取憑證信息并發(fā)送給伴隨UE，然后由伴隨UE將憑證信息發(fā)送給IOT設(shè)備，從而完成憑證分發(fā)。

在現(xiàn)有的解決方案中，必須使用公鑰密碼體制以保證憑證分發(fā)的安全性，同時憑證所使用的卻是對稱密鑰體制。這使得網(wǎng)絡(luò)側(cè)和終端都必須同時支持兩套密碼體制，增加了憑證分發(fā)的復(fù)雜性。

發(fā)明內(nèi)容

為了解決上述問題，本發(fā)明提出了一種設(shè)備憑證分發(fā)方法和系統(tǒng)、用戶設(shè)備及管理實體，能夠解決由于網(wǎng)絡(luò)側(cè)和終端都必須同時支持兩套密碼體制所造成的增加憑證分發(fā)復(fù)雜性的問題。

為了解決上述技術(shù)問題，本發(fā)明提出了一種設(shè)備憑證分發(fā)方法，所述方法包括：

用戶設(shè)備UE向運(yùn)營商用戶簽約認(rèn)證管理實體發(fā)送IOT設(shè)備憑證請求信息；

用戶簽約認(rèn)證管理實體根據(jù)收到的憑證請求信息中的IOT設(shè)備身份信息，生成對應(yīng)的憑證信息，所述憑證信息包括IMSI和鑒權(quán)密鑰K；

UE收到憑證信息后，將所述憑證信息發(fā)送給對應(yīng)的IOT設(shè)備；以使得所述IOT設(shè)備根據(jù)所述憑證信息附著到移動通信系統(tǒng)。

優(yōu)選地，用戶簽約認(rèn)證管理實體在生成對應(yīng)的憑證信息之后，通過AKA密鑰對憑證信息加密，并將加密后的憑證信息發(fā)送給UE；

UE在獲得加密的憑證信息之后，通過AKA密鑰對憑證信息進(jìn)行解密，從而獲得解密后的憑證信息。

優(yōu)選地，UE使用IOT設(shè)備的公鑰將憑證信息加密后發(fā)送給對應(yīng)的IOT設(shè)備；

所述IOT設(shè)備在收到加密的憑證信息后，通過私鑰對加密的憑證信息進(jìn)行解密，并獲得解密的憑證信息。

優(yōu)選地，所述IOT設(shè)備憑證請求信息包括用戶身份信息、以及一個或多個IOT設(shè)備身份信息。

優(yōu)選地，在所述生成對應(yīng)的憑證信息之后，所述用戶簽約認(rèn)證管理實體存儲所述憑證請求信息中攜帶的用戶身份信息和IOT設(shè)備身份信息、及其對應(yīng)的憑證信息。

優(yōu)選地，所述方法還包括：

UE向運(yùn)營商用戶簽約認(rèn)證管理實體發(fā)送IOT設(shè)備憑證刪除請求信息，所述憑證刪除請求信息包括用戶身份信息和IOT設(shè)備的身份信息；