本發(fā)明涉及一種用于通過使用第二通信設(shè)備（202）為第一通信設(shè)備（201）配置用于訪問無線網(wǎng)絡(luò)所需的至少一個(gè)憑證的集合的方法，所述第二通信設(shè)備（202）被配備有也由無線網(wǎng)絡(luò)已知的密碼密鑰K，第一通信設(shè)備（201）與包括公鑰PK的證書相關(guān)聯(lián)，所述證書與相關(guān)聯(lián)的私鑰PrK一起被存儲(chǔ)在所述第一通信設(shè)備（201）中，該方法包括以下步驟：由第二通信設(shè)備接收來自第一通信設(shè)備的注冊(cè)請(qǐng)求（212），以便被配置有至少一個(gè)憑證的集合；由第二通信設(shè)備（202）向無線網(wǎng)絡(luò)（200）傳輸注冊(cè)請(qǐng)求（213），以生成與第一通信設(shè)備（201）相關(guān)聯(lián)的至少一個(gè)憑證的集合，該至少一個(gè)憑證的集合包括至少密碼密鑰K，無線網(wǎng)絡(luò)適于生成第一隨機(jī)數(shù)R1和第二隨機(jī)數(shù)R2；由第二通信設(shè)備（202）從無線網(wǎng)絡(luò)（200）接收包括R1和R2的響應(yīng)（214）；由第二通信設(shè)備（201）使用R1和K生成K'；由第二通信設(shè)備（202）向第一通信設(shè)備（201）傳輸K'和R2以使用R2和K'來生成K。

技術(shù)領(lǐng)域

本發(fā)明涉及一種用于通過使用第二通信設(shè)備為第一通信設(shè)備配置（provisioning）用于訪問無線網(wǎng)絡(luò)所需的至少一個(gè)憑證的集合的方法，并且適用于物聯(lián)網(wǎng)的領(lǐng)域。

背景技術(shù)

3GPP電信行業(yè)正致力于定義與第五代（5G）無線網(wǎng)絡(luò)相對(duì)應(yīng)的下一代系統(tǒng)。針對(duì)5G的關(guān)鍵市場(chǎng)驅(qū)動(dòng)因素之一是物聯(lián)網(wǎng)（IoT）設(shè)備的大規(guī)模部署。如在ITU-T Y.2060建議中定義的那樣，物聯(lián)網(wǎng)指代針對(duì)信息社會(huì)的全球基礎(chǔ)設(shè)施，使得能夠通過基于現(xiàn)有和演進(jìn)的可互操作的信息和通信技術(shù)互連的物理和虛擬事物來實(shí)現(xiàn)高級(jí)服務(wù)。此外，表達(dá)IoT設(shè)備指代具有通信能力和可選地?cái)?shù)據(jù)捕獲、感測(cè)、數(shù)據(jù)存儲(chǔ)、感測(cè)和/或數(shù)據(jù)處理的能力的一件裝備。

當(dāng)今行業(yè)趨勢(shì)是，對(duì)于IoT設(shè)備，在沒有存儲(chǔ)在設(shè)備中的先前的訂閱的情況下，也就是說，在IoT設(shè)備中沒有引導(dǎo)（bootstrap）訂閱或預(yù)先配置的任何其他訂閱的情況下，具有初始連接到5G網(wǎng)絡(luò)的能力。這通過設(shè)備制造商想要將與電信運(yùn)營(yíng)商的粘性最小化的事實(shí)來解釋。

在本說明書中，訂閱指代用于接收或被給予對(duì)電子服務(wù)的訪問權(quán)（諸如通過電信網(wǎng)絡(luò)來交換數(shù)據(jù)）的協(xié)定。通過將一個(gè)或若干個(gè)憑證歸屬到訂戶和/或歸屬到與該訂戶相關(guān)聯(lián)的設(shè)備來實(shí)現(xiàn)訂閱。

當(dāng)IoT設(shè)備包括可用于建立與無線網(wǎng)絡(luò)的數(shù)據(jù)連接的至少一個(gè)憑證的集合時(shí)，該IoT設(shè)備被稱為激活的。相反，當(dāng)IoT設(shè)備不包括可用于建立與無線網(wǎng)絡(luò)的數(shù)據(jù)連接的至少一個(gè)憑證的集合時(shí)，該IoT設(shè)備被稱為未激活的。

手動(dòng)配置是可以被考慮用于還尚未被激活的IoT設(shè)備的解決方案。然而，該選項(xiàng)是用戶不友好的、耗時(shí)的，并且安全級(jí)別可能不是最高的。實(shí)際上，需要將激活所需的憑證傳送給IoT設(shè)備的用戶或負(fù)責(zé)在制造場(chǎng)所中配置IoT設(shè)備的雇員，然后他們將能夠執(zhí)行手動(dòng)配置，例如通過在IoT設(shè)備內(nèi)插入包含訂閱的物理元素，諸如的UICC。

因此，需要一種用于為IoT設(shè)備安全地和遠(yuǎn)程地配置至少一個(gè)憑證的集合的技術(shù)。

發(fā)明內(nèi)容

本發(fā)明涉及一種用于通過使用第二通信設(shè)備為第一通信設(shè)備配置用于訪問無線網(wǎng)絡(luò)所需的至少一個(gè)憑證的集合的方法，所述第二通信設(shè)備配置有也由無線網(wǎng)絡(luò)已知的密碼密鑰K，第一通信設(shè)備與包括公鑰PK的證書相關(guān)聯(lián)，所述證書與相關(guān)聯(lián)的私鑰PrK一起被存儲(chǔ)在所述第一通信設(shè)備中，該方法包括以下步驟：

-由第二通信設(shè)備接收來自第一通信設(shè)備的注冊(cè)請(qǐng)求，以便配置有至少一個(gè)憑證的集合；

-由第二通信設(shè)備向無線網(wǎng)絡(luò)傳輸注冊(cè)請(qǐng)求，以生成與第一通信設(shè)備相關(guān)聯(lián)的至少一個(gè)憑證的集合，該至少一個(gè)憑證的集合包括至少密碼密鑰K，無線網(wǎng)絡(luò)適于生成第一隨機(jī)數(shù)R1和第二隨機(jī)數(shù)R2，從R1和K導(dǎo)出密碼密鑰K'，從R2和K'導(dǎo)出密碼密鑰K；

-由第二通信設(shè)備接收來自無線網(wǎng)絡(luò)的包括R1和R2的響應(yīng)，R2使用與第一通信設(shè)備相關(guān)聯(lián)的證書的公鑰PK進(jìn)行加密；

-由第二通信設(shè)備使用R1和K來生成K'；