呈現了用于通信設備(300)的簡檔處理的機制。一種方法由代理設備(200)的本地簡檔助理(200a)執行。方法包括獲得通信設備(300)的簡檔處理的指示。方法包括建立與通信設備的本地簡檔助理的第一安全通信鏈路。方法包括建立與通信設備的訂閱管理實體(430)的第二安全通信鏈路。方法包括接收與由通信設備的本地簡檔助理處理簡檔有關的信息，該信息通過第二安全通信鏈路接收自訂閱管理實體。方法包括通過第一安全通信鏈路將信息提供到通信設備的本地簡檔助理。

技術領域

本文呈現的實施例涉及用于通信設備的簡檔處理的方法、代理設備、通信設備、計算機程序以及計算機程序產品。

背景技術

在通信網絡中，對于給定的通信協議、其參數和在其中部署通信網絡的物理環境，要獲得良好的性能和容量可能存在挑戰。

例如，在通信網絡中為給定的通信協議提供良好的性能和容量的一個參數是安全。一般來說，需要適當的安全機制來防止連接設備的誤用。作為非限制性的說明性示例，針對流行網站的分布式拒絕服務(DDoS)攻擊可能利用受保護較差的連接設備，例如運行互聯網協議(IP)的攝像機、路由器、運行互聯網協議的數字錄像機等。

連接設備也可能被委托有需要被保護以防止未授權的訪問的有價值的、敏感的或私有的數據。身份管理是安全和設備生命周期管理的核心部分。為了與其他連接設備或服務建立安全通信，連接設備一般需要一個身份，以便能夠向網絡中的對端來標識和認證其自身。當連接到網絡時，這在連接層是需要的，并且當連接到網絡的服務時，在應用層是需要的。安全通信保護了傳感器數據或用于致動器的控制數據，但也需要將身份供應到連接設備和對連接設備進行安全配置，包括安全固件更新。身份也是訪問控制機制的基礎，該訪問控制機制控制誰可以訪問連接設備的資源，包括誰可以將附加的身份供應到連接設備。

在圖1中圖示出了通信網絡100的簡化框圖。由連接提供商網絡120的諸如網絡網關(GW)或接入點(AP)之類的網絡節點110向連接設備120提供網絡訪問。連接提供商網絡120還包括可以是認證、授權和計費(AAA)服務器的認證服務器130。用于連接的訂戶信息可以存儲在認證服務器130中，或者可以存儲在獨立的網絡實體中，該獨立的網絡實體可以是歸屬訂戶服務器(HSS)140，并且該獨立的網絡實體還提供以供認證服務器130使用的認證材料。連接提供商網絡120又可操作地連接到諸如互聯網之類的服務網絡150，該服務網絡150可能包括可以是數據服務器(DS)的至少一個第二通信設備180。服務網絡150還可操作地連接到企業網絡160。企業網絡160包括管理服務器(MS)170，還可能包括可以是DS的至少一個第二通信設備180。

作為示例，連接設備120可以屬于企業網絡160的企業，并且被配置成將傳感器數據(或其他類型的數據)提供到位于企業網絡160或服務網絡150中的一個或多個第二通信設備180。企業通過管理服務器170來管理連接設備120。管理包括將身份和憑證提供到連接設備120和與連接設備120通信的第二通信設備180，使得能夠建立安全通信。連接提供商網絡120也可以部分地或全部由企業提供。

所謂的3GPP身份技術(其中3GPP是第三代合作伙伴計劃的縮寫)是一種經過充分證明的身份技術，其可以用作受限設備的身份技術，不僅用于受限設備訪問蜂窩網絡，還用于其它受限設備訪問諸如WiFi之類的非蜂窩網絡。3GPP認證和密鑰協商(AKA)協議對于底層網絡是不可知的，并且可以例如使用EAP-AKA在可擴展認證協議(EAP)中隧道傳輸。EAP是作為網絡附接的一部分的一種常用的認證和密鑰協商協議，例如用于WiFi網絡訪問。使用EAP-AKA允許使用(例如企業的)現有安全基礎設施，該安全基礎設施可以容易地與移動網絡運營商(MNO)的認證系統(例如HSS)集成。