CN109150507B - 一种设备凭证分发方法和系统、用户设备及管理实体 - Google Patents
一种设备凭证分发方法和系统、用户设备及管理实体 Download PDFInfo
- Publication number
- CN109150507B CN109150507B CN201710466073.3A CN201710466073A CN109150507B CN 109150507 B CN109150507 B CN 109150507B CN 201710466073 A CN201710466073 A CN 201710466073A CN 109150507 B CN109150507 B CN 109150507B
- Authority
- CN
- China
- Prior art keywords
- information
- credential
- user
- iot
- management entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000010295 mobile communication Methods 0.000 claims abstract description 18
- 238000012217 deletion Methods 0.000 claims description 55
- 230000037430 deletion Effects 0.000 claims description 55
- 238000012545 processing Methods 0.000 claims description 8
- 239000000758 substrate Substances 0.000 claims 2
- 238000004891 communication Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种设备凭证分发方法和系统、用户设备及管理实体,该方法包括:用户设备UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息;用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;UE收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统。通过本发明的方案,不需要支持非对称密钥体制,只需要支持对称密钥体制就可以了,简化了设备凭证分发过程,改善了系统性能。
Description
技术领域
本发明涉及物联网领域,尤指一种设备凭证分发方法和系统、用户设备及管理实体。
背景技术
大规模机器连接是5G系统的典型应用场景之一,在大规模机器连接应用场景中,物联网(IOT,Internet Of Things)终端设备在部署前很难预配置用于网络接入和物联网服务的凭证信息。另外,物联网终端设备在使用过程中,由于用户的需求,有可能需要变更运营商或物联网业务,这需要对IOT设备进行凭证的远程分发。在5G系统中,对于IOT设备而言,通常由用户进行管理,用户通过UE与IOT设备之间的短距离通信连接实现对IOT设备的管理。因此,目前针对IOT设备的凭证分发解决方案也通过UE实现。图1为现有技术中支持IOT设备凭证远程分发的一种解决方案,如图1所示,IOT设备通过其伴随用户UE向核心网用户签约管理实体发送获取设备凭证请求,核心网用户签约管理实体根据IOT设备身份标识从设备证书管理实体获取该IOT设备的设备证书,并对IOT设备进行认证,认证通过后,从认证中心为该IOT设备获取凭证信息并发送给伴随UE,然后由伴随UE将凭证信息发送给IOT设备,从而完成凭证分发。
在现有的解决方案中,必须使用公钥密码体制以保证凭证分发的安全性,同时凭证所使用的却是对称密钥体制。这使得网络侧和终端都必须同时支持两套密码体制,增加了凭证分发的复杂性。
发明内容
为了解决上述问题,本发明提出了一种设备凭证分发方法和系统、用户设备及管理实体,能够解决由于网络侧和终端都必须同时支持两套密码体制所造成的增加凭证分发复杂性的问题。
为了解决上述技术问题,本发明提出了一种设备凭证分发方法,所述方法包括:
用户设备UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
UE收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统。
优选地,用户签约认证管理实体在生成对应的凭证信息之后,通过AKA密钥对凭证信息加密,并将加密后的凭证信息发送给UE;
UE在获得加密的凭证信息之后,通过AKA密钥对凭证信息进行解密,从而获得解密后的凭证信息。
优选地,UE使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备;
所述IOT设备在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密,并获得解密的凭证信息。
优选地,所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。
优选地,在所述生成对应的凭证信息之后,所述用户签约认证管理实体存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。
优选地,所述方法还包括:
UE向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
用户签约认证管理实体根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的凭证信息。
为了解决上述技术问题,本发明还提出了一种设备凭证分发方法,所述方法包括:
UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
UE接收用户签约认证管理实体发送的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
UE收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统。
优选地,UE使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备,以使得所述IOT设备在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息。
优选地,所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。
优选地,所述方法还包括:
UE向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息。
为了解决上述技术问题,本发明还提出了一种设备凭证分发方法,所述方法包括:
用户签约认证管理实体接收UE发送的IOT设备凭证请求信息;
用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
用户签约认证管理实体将IOT设备身份信息对应的凭证信息发送给UE。
优选地,在所述生成对应的凭证信息之后,所述用户签约认证管理实体存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。
优选地,所述方法还包括:
用户签约认证管理实体接收UE发送的IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
用户签约认证管理实体根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的凭证信息。
为了解决上述技术问题,本发明还提出了一种设备凭证分发系统,所述系统包括:运营商用户签约认证管理实体、用户设备UE、和IOT设备;
所述管理实体包括:
请求接收单元,用于接收用户设备UE发送的IOT设备凭证请求信息;
处理单元,用于根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第二发送单元,用于将IOT设备身份信息对应的凭证信息发送给UE;。
所述用户设备UE包括:
请求单元,用于向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
第一接收单元,用于接收用户签约认证管理实体发送的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第一发送单元,用于在第一接收单元收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统。
所述IOT设备包括:
第二接收单元,用于接收UE发送的凭证信息;
附着单元,用于根据所述凭证信息附着到移动通信系统。
优选地,所述第二发送单元还用于在处理单元生成对应的凭证信息之后,通过AKA密钥对凭证信息加密,并将加密后的凭证信息发送给UE;
所述还用于第一接收单元在获得凭证信息之后,通过AKA密钥对凭证信息进行解密,从而获得解密后的凭证信息。
所述第一发送单元包括加密模块,用于使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备,以使得所述IOT设备在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息;
所述第二接收单元包括解密模块,用于在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密,并获得解密的凭证信息。
优选地,所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。
优选地,所述管理实体还包括:
第一存储单元,用于在生成凭证请求信息对应的凭证信息之后,存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。
优选地,所述系统还包括:
所述请求单元还用于:向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
所述请求接收单元还用于接收UE发送的IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
所述第一存储单元还用于根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的凭证信息。
为了解决上述技术问题,本发明还提出了一种用户设备,所述用户设备包括:
请求单元,用于向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
第一接收单元,用于接收用户签约认证管理实体发送的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第一发送单元,用于在第一接收单元收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统。
优选地,所述第一发送单元包括加密模块,用于使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备,以使得所述IOT设备在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息。
优选地,所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。
优选地,所述请求单元还用于:向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息。
为了解决上述技术问题,本发明还提出了一种运营商用户签约认证管理实体,所述管理实体包括:
请求接收单元,用于接收用户设备UE发送的IOT设备凭证请求信息;
处理单元,用于根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第二发送单元,用于将IOT设备身份信息对应的凭证信息发送给UE。
优选地,所述管理实体还包括:
第一存储单元,用于在生成凭证请求信息对应的凭证信息之后,存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。
优选地,所述请求接收单元还用于接收UE发送的IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
所述第一存储单元还用于根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的凭证信息。
与现有技术相比,本发明提供的技术方案包括:用户设备UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息;用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;UE收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统。通过本发明的方案,在网络侧,不需要设备证书管理实体提供相应的设备证书,减少了网络侧的交互过程,此外网络侧不需要根据设备证书对凭证信息进行解密,UE在收到网络侧发送的凭证信息之后,也不需要根据证书生成对应的公钥,并通过公钥对凭证信息进行解密,UE不需要支持非对称密钥体制,只需要支持对称密钥体制就可以了,同时网络侧在设备凭证分发过程中,也不需要支持非对称密钥体制,只需要支持对称密钥体制,因此,通过上述技术方案,简化了设备凭证分发过程,改善了系统性能。
附图说明
下面对本发明实施例中的附图进行说明,实施例中的附图是用于对本发明的进一步理解,与说明书一起用于解释本发明,并不构成对本发明保护范围的限制。
图1为现有技术中IOT设备凭证远程分发的流程图;
图2为本发明实施例提供的设备凭证分发方法的流程示意图;
图3为本发明实施例提供的设备凭证分发方法中删除过程的示意图;
图4A为本发明实施例提供的用户设备的结构示意图;
图4B为本发明实施例提供的管理实体的结构示意图;
图4C为本发明实施例提供的IOT设备的结构示意图;
图5为本发明实施例提供的设备凭证分发系统的结构示意图。
具体实施方式
为了便于本领域技术人员的理解,下面结合附图对本发明作进一步的描述,并不能用来限制本发明的保护范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的各种方式可以相互组合。
参见图2,本发明提出了一种设备凭证分发方法,所述方法包括:
步骤110、UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
其中,所述IOT设备凭证请求信息中包括用户身份信息,IOT设备身份信息。
其中,UE在附着5G网络后发送IOT设备凭证请求信息。IOT设备凭证请求信息中包括一个或多个IOT设备身份信息。
步骤120、用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
现有技术中,生成凭证信息的管理实体需要首先从用户签约认证管理实体获取证书,通过证书对生成的凭证信息进行加密,而本发明实施例中,用户签约认证管理实体在生成对应的凭证信息之后,通过AKA获得的密钥将凭证信息加密后发送给UE,减少了与用户签约认证管理实体与设备证书管理实体交互的过程,简化了系统设计。
步骤130,用户签约认证管理实体保存用户身份信息,IOT设备身份信息及其对应的凭证信息;
步骤140、用户签约认证管理实体将IOT设备身份信息及其对应的凭证信息发送给UE,凭证信息包括IOT设备信息对应的IMSI及鉴权密钥K;
通过AKA获得的密钥将凭证信息加密后发送给UE,UE侧具有与网络侧的用户签约认证管理实体相同的AKA密钥,UE在获得加密的凭证信息之后,通过AKA密钥对凭证信息进行解密,从而获得解密后的凭证信息。
本发明实施例中,用户签约认证管理实体与UE之间的通信采用对称加密的方式进行通信,UE不再需要支持非对称密钥体制和对称密钥体制两种密钥体制,只需要支持对称密钥体制就可以了,简化了UE侧的系统复杂程度。
步骤150、UE收到凭证信息后,根据IOT设备身份信息,将所述凭证信息发送给对应的IOT设备;
其中,UE通过UE与IOT设备之间的安全通信连接将凭证信息发送给IOT设备;
例如,优选地,UE使用IOT设备的公钥将凭证信息加密后发送到IOT设备;IOT设备收到加密的凭证信息后,通过私钥解密获得凭证信息。
步骤160、IOT设备收到所述凭证信息后保存所述凭证信息,并根据所述凭证信息附着到移动通信系统,优选地移动通信系统为5G系统,在附着过程中给予凭证与5G系统进行AKA认证。
本发明实施例中,用户通过UE与IOT设备之间的安全通信连接对IOT设备进行管理。UE与IOT设备之间的通信连接包括各种短距离无线通信连接和其他方式的有线连接。UE与IOT之间通信的安全性通过用户控制实现。
UE与IOT设备之间的安全通信连接,可以是基于IOT证书建立的安全通信连接。为此,UE需要提前获得IOT设备的证书,UE与IOT设备之间的通信可以通过信令层完成,也可以通过应用层完成,如果通过信令层完成通信,采用对称加密的方式进行通信,如果通过应用层完成通信,可以采用对称加密或者非对称加密的方式进行通信。优选地,本发明实施例中,当用户不再使用IOT设备时,用户可以发起凭证删除流程,具体的,图3为本发明实施例提供的设备凭证删除方法的流程图。如图3所示,设备凭证删除过程包括:
步骤201、UE向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
其中,UE根据用户输入的设备凭证删除请求,启动设备凭证删除过程。
步骤202、用户签约认证管理实体根据收到的凭证删除请求信息,删除IOT设备身份信息对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
步骤203、用户签约认证管理实体向用户设备反馈删除完成确认信息;
可选地,还包括,步骤204、用户在收到反馈删除完成确认信息之后,向IOT设备发送凭证信息删除通知信息,以使得IOT设备根据凭证信息删除通知信息删除相应的凭证信息。
基于与上述实施例相同或相似的构思,本发明实施例还提供一种用户设备,如图4A所示,本发明实施例提出的用户设备包括:
请求单元11,用于向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
第一接收单元12,用于接收用户签约认证管理实体发送的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第一发送单元13,用于在第一接收单元收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统。
本发明实施例中,所述第一发送单元13包括加密模块,用于使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备,以使得所述IOT设备在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息。
本发明实施例中,所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。
本发明实施例中,所述请求单元11还用于:向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息。
基于与上述实施例相同或相似的构思,本发明实施例还提供一种运营商用户签约认证管理实体,如图4B所示,本发明实施例提出的管理实体包括:
请求接收单元21,用于接收用户设备UE发送的IOT设备凭证请求信息;
处理单元22,用于根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第二发送单元23,用于将IOT设备身份信息对应的凭证信息发送给UE。
本发明实施例中,所述管理实体还包括:
第一存储单元24,用于在生成凭证请求信息对应的凭证信息之后,存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。
本发明实施例中,所述请求接收单元21还用于接收UE发送的IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
所述第一存储单元24还用于根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的凭证信息。
基于与上述实施例相同或相似的构思,本发明实施例还提供一种IOT设备,如图4C所示,本发明实施例提出的IOT设备包括:
所述IOT设备包括:
第二接收单元31,用于接收UE发送的凭证信息;
附着单元32,用于根据所述凭证信息附着到移动通信系统。
所述IOT设备还包括:
第二存储单元33,用于存储UE发送的凭证信息。
本发明实施例中,所述第二接收单元31还用于接收UE发送的凭证信息删除通知信息,第二存储单元33还用于根据UE发送的凭证信息删除通知信息删除对应的凭证信息。
基于与上述实施例相同或相似的构思,本发明实施例还提供一种设备凭证分发系统,本发明实施例提出的设备凭证分发系统包括本发明实施例提供的任一运营商用户签约认证管理实体、任一用户设备UE、和任一IOT设备。下面结合一个具体的示例进行说明。
基于与上述实施例相同或相似的构思,本发明实施例还提供一种设备凭证分发系统,如图5所示,所述系统包括:运营商用户签约认证管理实体20、用户设备UE10、和IOT设备30;其中,
所述管理实体20包括:
请求接收单元21,用于接收用户设备UE发送的IOT设备凭证请求信息;
处理单元22,用于根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第二发送单元23,用于将IOT设备身份信息对应的凭证信息发送给UE;。
所述用户设备10包括:
请求单元11,用于向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
第一接收单元12,用于接收用户签约认证管理实体发送的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第一发送单元13,用于在第一接收单元收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统。
所述IOT设备30包括:
第二接收单元31,用于接收UE发送的凭证信息;
附着单元32,用于根据所述凭证信息附着到移动通信系统。
本发明实施例中,所述第一发送单元13包括加密模块,用于使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备,以使得所述IOT设备在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息;
所述第二接收单元31包括解密模块,用于在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密,并获得解密的凭证信息。
本发明实施例中,所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。
本发明实施例中,所述管理实体还包括:
第一存储单元24,用于在生成凭证请求信息对应的凭证信息之后,存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。
本发明实施例中,所述系统还包括:
所述请求单元11还用于:向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
所述请求接收单元21还用于接收UE发送的IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
所述第一存储单元24还用于根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的凭证信息。
需要说明的是,以上所述的实施例仅是为了便于本领域的技术人员理解而已,并不用于限制本发明的保护范围,在不脱离本发明的发明构思的前提下,本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。
Claims (20)
1.一种设备凭证分发方法,其特征在于,所述方法包括:
用户设备UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
UE收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统;
所述方法还包括:用户签约认证管理实体在生成对应的凭证信息之后,通过AKA密钥对凭证信息加密,并将加密后的凭证信息发送给UE;
UE在获得加密的凭证信息之后,通过AKA密钥对凭证信息进行解密,从而获得解密后的凭证信息。
2.根据权利要求1所述的方法,其特征在于,
UE使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备;
所述IOT设备在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密,并获得解密的凭证信息。
3.根据权利要求1所述的方法,其特征在于,
所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。
4.根据权利要求3所述的方法,其特征在于,在所述生成对应的凭证信息之后,所述用户签约认证管理实体存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。
5.根据权利要求1~4中任一项所述的方法,其特征在于,所述方法还包括:
UE向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
用户签约认证管理实体根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的凭证信息。
6.一种设备凭证分发方法,其特征在于,所述方法包括:
UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
UE接收用户签约认证管理实体发送的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
UE收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统;
所述方法还包括:UE使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备,以使得所述IOT设备在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息。
7.根据权利要求6所述的方法,其特征在于,
所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。
8.根据权利要求6~7中任一项所述的方法,其特征在于,所述方法还包括:
UE向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息。
9.一种设备凭证分发方法,其特征在于,所述方法包括:
用户签约认证管理实体接收UE发送的IOT设备凭证请求信息;
用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
用户签约认证管理实体将IOT设备身份信息对应的凭证信息发送给UE;
所述方法还包括:在所述生成对应的凭证信息之后,所述用户签约认证管理实体存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
用户签约认证管理实体接收UE发送的IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
用户签约认证管理实体根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的凭证信息。
11.一种设备凭证分发系统,其特征在于,所述系统包括:运营商用户签约认证管理实体、用户设备UE、和IOT设备;
所述管理实体包括:
请求接收单元,用于接收用户设备UE发送的IOT设备凭证请求信息;
处理单元,用于根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第二发送单元,用于将IOT设备身份信息对应的凭证信息发送给UE;
所述用户设备UE包括:
请求单元,用于向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
第一接收单元,用于接收用户签约认证管理实体发送的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第一发送单元,用于在第一接收单元收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统;
所述IOT设备包括:
第二接收单元,用于接收UE发送的凭证信息;
附着单元,用于根据所述凭证信息附着到移动通信系统;
所述第二发送单元还用于在处理单元生成对应的凭证信息之后,通过AKA密钥对凭证信息加密,并将加密后的凭证信息发送给UE;
所述第一接收单元还用于在获得凭证信息之后,通过AKA密钥对凭证信息进行解密,从而获得解密后的凭证信息。
12.根据权利要求11所述的系统,其特征在于,
所述第一发送单元包括加密模块,用于使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备,以使得所述IOT设备在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息;
所述第二接收单元包括解密模块,用于在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密,并获得解密的凭证信息。
13.根据权利要求11所述的系统,其特征在于,
所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。
14.根据权利要求11所述的系统,其特征在于,所述管理实体还包括:
第一存储单元,用于在生成凭证请求信息对应的凭证信息之后,存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。
15.根据权利要求11~14中任一项所述的系统,其特征在于,所述系统还包括:
所述请求单元还用于:向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
所述请求接收单元还用于接收UE发送的IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
第一存储单元还用于根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的凭证信息。
16.一种用户设备,其特征在于,所述用户设备包括:
请求单元,用于向运营商用户签约认证管理实体发送IOT设备凭证请求信息;
第一接收单元,用于接收用户签约认证管理实体发送的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第一发送单元,用于在第一接收单元收到凭证信息后,将所述凭证信息发送给对应的IOT设备;以使得所述IOT设备根据所述凭证信息附着到移动通信系统;
所述第一发送单元包括加密模块,用于使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备,以使得所述IOT设备在收到加密的凭证信息后,通过私钥对加密的凭证信息进行解密从而获得解密的凭证信息。
17.根据权利要求16所述的用户设备,其特征在于,
所述IOT设备凭证请求信息包括用户身份信息、以及一个或多个IOT设备身份信息。
18.根据权利要求16~17中任一项所述的用户设备,其特征在于,所述请求单元还用于:向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息。
19.一种运营商用户签约认证管理实体,其特征在于,所述管理实体包括:
请求接收单元,用于接收用户设备UE发送的IOT设备凭证请求信息;
处理单元,用于根据收到的凭证请求信息中的IOT设备身份信息,生成对应的凭证信息,所述凭证信息包括IMSI和鉴权密钥K;
第二发送单元,用于将IOT设备身份信息对应的凭证信息发送给UE;
所述管理实体还包括:第一存储单元,用于在生成凭证请求信息对应的凭证信息之后,存储所述凭证请求信息中携带的用户身份信息和IOT设备身份信息、及其对应的凭证信息。
20.根据权利要求19所述的管理实体,其特征在于,
所述请求接收单元还用于接收UE发送的IOT设备凭证删除请求信息,所述凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
第一存储单元还用于根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的凭证信息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710466073.3A CN109150507B (zh) | 2017-06-19 | 2017-06-19 | 一种设备凭证分发方法和系统、用户设备及管理实体 |
PCT/CN2018/101131 WO2018233724A1 (zh) | 2017-06-19 | 2018-08-17 | 设备凭证分发方法和系统、用户设备及管理实体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710466073.3A CN109150507B (zh) | 2017-06-19 | 2017-06-19 | 一种设备凭证分发方法和系统、用户设备及管理实体 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109150507A CN109150507A (zh) | 2019-01-04 |
CN109150507B true CN109150507B (zh) | 2023-05-23 |
Family
ID=64736862
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710466073.3A Active CN109150507B (zh) | 2017-06-19 | 2017-06-19 | 一种设备凭证分发方法和系统、用户设备及管理实体 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN109150507B (zh) |
WO (1) | WO2018233724A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113872765B (zh) * | 2020-06-30 | 2023-02-03 | 华为技术有限公司 | 身份凭据的申请方法、身份认证的方法、设备及装置 |
CN113206837B (zh) * | 2021-04-12 | 2023-04-07 | 北京沃东天骏信息技术有限公司 | 信息传输方法、装置、电子设备和计算机可读介质 |
CN113285807B (zh) * | 2021-05-14 | 2022-10-11 | 广东美房智高机器人有限公司 | 一种智能设备入网鉴权的方法和系统 |
CN115460586A (zh) * | 2021-06-09 | 2022-12-09 | 维沃移动通信有限公司 | 信息处理方法、密钥材料的获取方法及设备 |
CN115460580A (zh) * | 2021-06-09 | 2022-12-09 | 维沃移动通信有限公司 | 密钥材料的发送方法、获取方法、信息传输方法及设备 |
CN115460579A (zh) * | 2021-06-09 | 2022-12-09 | 维沃移动通信有限公司 | 密钥材料的处理方法、获取方法、信息传输方法及设备 |
CN116980876A (zh) * | 2022-04-22 | 2023-10-31 | 维沃移动通信有限公司 | 签约方法、装置、通信设备、物联网设备及网元 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103002428B (zh) * | 2011-09-15 | 2016-08-03 | 华为技术有限公司 | 一种物联网终端网络附着的方法及系统 |
CN103929746A (zh) * | 2013-01-16 | 2014-07-16 | 杭州古北电子科技有限公司 | 物联网设备上网配置的方法、物联网设备和用户设备 |
CN104244242A (zh) * | 2013-06-09 | 2014-12-24 | 黄金富知识产权咨询(深圳)有限公司 | 一种物联网设备的网络号码编配方法和相应的认证方法 |
CN103517273B (zh) * | 2013-10-09 | 2017-04-12 | 中国联合网络通信集团有限公司 | 认证方法、管理平台和物联网设备 |
US9693178B2 (en) * | 2015-03-18 | 2017-06-27 | Intel IP Corporation | Procedures to provision and attach a cellular internet of things device to a cloud service provider |
US11290879B2 (en) * | 2015-07-02 | 2022-03-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for obtaining initial access to a network, and related wireless devices and network nodes |
-
2017
- 2017-06-19 CN CN201710466073.3A patent/CN109150507B/zh active Active
-
2018
- 2018-08-17 WO PCT/CN2018/101131 patent/WO2018233724A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
CN109150507A (zh) | 2019-01-04 |
WO2018233724A1 (zh) | 2018-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109150507B (zh) | 一种设备凭证分发方法和系统、用户设备及管理实体 | |
EP3432532B1 (en) | Key distribution and authentication method, apparatus and system | |
EP3726797B1 (en) | Key distribution method, device and system | |
CN107317674B (zh) | 密钥分发、认证方法,装置及系统 | |
EP3493462B1 (en) | Authentication method, authentication apparatus and authentication system | |
US20160269176A1 (en) | Key Configuration Method, System, and Apparatus | |
CN111050322B (zh) | 基于gba的客户端注册和密钥共享方法、装置及系统 | |
CN109075973B (zh) | 一种使用基于id的密码术进行网络和服务统一认证的方法 | |
CN108353279B (zh) | 一种认证方法和认证系统 | |
CN109905348B (zh) | 端到端认证及密钥协商方法、装置及系统 | |
KR20140066232A (ko) | 동시적 재인증 및 접속 셋업을 이용하는 무선 통신 | |
JP2020533853A (ja) | デジタル証明書を管理するための方法および装置 | |
US10237731B2 (en) | Communication system with PKI key pair for mobile terminal | |
CN104253801A (zh) | 实现登录认证的方法、装置和系统 | |
CN113545115A (zh) | 一种通信方法及装置 | |
CN108882233B (zh) | 一种imsi的加密方法、核心网和用户终端 | |
JP2019528016A (ja) | 第1の通信デバイスに、第2の通信デバイスを用いて、プロビジョニングする方法 | |
CN107276755B (zh) | 一种安全关联方法、装置及系统 | |
CN108156112B (zh) | 数据加密方法、电子设备及网络侧设备 | |
KR101760718B1 (ko) | 페어링 기반의 모바일 기기 관리 방법 및 시스템 | |
WO2017009714A1 (en) | Establishing a temporary subscription with isolated e-utran network | |
CN110169128B (zh) | 一种通信方法、装置和系统 | |
García Carrillo et al. | Authentication and Authorization Frameworks for IoT | |
JP6609212B2 (ja) | 暗号化通信チャネル確立システム、方法、プログラム及びコンピュータ読取り可能なプログラム記録媒体 | |
KR20150135715A (ko) | 이동통신 시스템에서 사용자의 프라이버시를 보호하는 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20191204 Address after: 518057 Nanshan District science and technology, Guangdong Province, South Road, No. 55, No. Applicant after: ZTE Corp. Address before: 201203 No. 889 blue wave road, Shanghai, Pudong New Area Applicant before: Shanghai Zhongxing Software Co.,Ltd. |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |