[发明专利]一种设备凭证分发方法和系统、用户设备及管理实体

说明书

本发明公开了一种设备凭证分发方法和系统、用户设备及管理实体，该方法包括：用户设备UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息；用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息，生成对应的凭证信息，所述凭证信息包括IMSI和鉴权密钥K；UE收到凭证信息后，将所述凭证信息发送给对应的IOT设备；以使得所述IOT设备根据所述凭证信息附着到移动通信系统。通过本发明的方案，不需要支持非对称密钥体制，只需要支持对称密钥体制就可以了，简化了设备凭证分发过程，改善了系统性能。

技术领域

本发明涉及物联网领域，尤指一种设备凭证分发方法和系统、用户设备及管理实体。

背景技术

大规模机器连接是5G系统的典型应用场景之一，在大规模机器连接应用场景中，物联网(IOT，Internet Of Things)终端设备在部署前很难预配置用于网络接入和物联网服务的凭证信息。另外，物联网终端设备在使用过程中，由于用户的需求，有可能需要变更运营商或物联网业务，这需要对IOT设备进行凭证的远程分发。在5G系统中，对于IOT设备而言，通常由用户进行管理，用户通过UE与IOT设备之间的短距离通信连接实现对IOT设备的管理。因此，目前针对IOT设备的凭证分发解决方案也通过UE实现。图1为现有技术中支持IOT设备凭证远程分发的一种解决方案，如图1所示，IOT设备通过其伴随用户UE向核心网用户签约管理实体发送获取设备凭证请求，核心网用户签约管理实体根据IOT设备身份标识从设备证书管理实体获取该IOT设备的设备证书，并对IOT设备进行认证，认证通过后，从认证中心为该IOT设备获取凭证信息并发送给伴随UE，然后由伴随UE将凭证信息发送给IOT设备，从而完成凭证分发。

在现有的解决方案中，必须使用公钥密码体制以保证凭证分发的安全性，同时凭证所使用的却是对称密钥体制。这使得网络侧和终端都必须同时支持两套密码体制，增加了凭证分发的复杂性。

发明内容

为了解决上述问题，本发明提出了一种设备凭证分发方法和系统、用户设备及管理实体，能够解决由于网络侧和终端都必须同时支持两套密码体制所造成的增加凭证分发复杂性的问题。

为了解决上述技术问题，本发明提出了一种设备凭证分发方法，所述方法包括：

用户设备UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息；

用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息，生成对应的凭证信息，所述凭证信息包括IMSI和鉴权密钥K；

UE收到凭证信息后，将所述凭证信息发送给对应的IOT设备；以使得所述IOT设备根据所述凭证信息附着到移动通信系统。

优选地，用户签约认证管理实体在生成对应的凭证信息之后，通过AKA密钥对凭证信息加密，并将加密后的凭证信息发送给UE；

UE在获得加密的凭证信息之后，通过AKA密钥对凭证信息进行解密，从而获得解密后的凭证信息。

优选地，UE使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备；

所述IOT设备在收到加密的凭证信息后，通过私钥对加密的凭证信息进行解密，并获得解密的凭证信息。

优选地，所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。

优选地，在所述生成对应的凭证信息之后，所述用户签约认证管理实体存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。

优选地，所述方法还包括：

UE向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息，所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息；