WO2018233724A1

WO2018233724A1 - 设备凭证分发方法和系统、用户设备及管理实体

Info

Publication number: WO2018233724A1
Application number: PCT/CN2018/101131
Authority: WO
Inventors: 余万涛
Original assignee: 中兴通讯股份有限公司
Priority date: 2017-06-19
Filing date: 2018-08-17
Publication date: 2018-12-27
Also published as: CN109150507A; CN109150507B

Abstract

本公开提供了一种设备凭证分发方法和系统、用户设备及管理实体，该方法包括：用户设备向用户签约认证管理实体发送物联网设备凭证请求信息；用户签约认证管理实体根据收到的凭证请求信息中的物联网设备身份信息生成凭证信息，并将所述凭证信息发送到用户设备，所述凭证信息包括国际移动用户识别码和鉴权密钥；以及用户设备收到凭证信息后，将所述凭证信息发送给对应的物联网设备，以使得所述物联网设备根据所述凭证信息附着到移动通信系统。

Description

设备凭证分发方法和系统、用户设备及管理实体

技术领域

本公开涉及(但不限于)物联网领域。

背景技术

大规模机器连接是5G系统的典型应用场景之一。在大规模机器连接应用场景中，物联网(IOT，Internet Of Things)终端设备在部署前很难预配置用于网络接入和物联网服务的凭证信息。另外，物联网终端设备在使用过程中，由于用户的需求，有可能需要变更运营商或物联网业务，这需要对IOT设备进行凭证的远程分发。

在5G系统中，对于IOT设备而言，通常由用户进行管理。用户通过用户设备(UE)与IOT设备之间的短距离通信连接来实现对IOT设备的管理。因此，针对IOT设备的凭证分发通过UE来实现。

在相关技术中，必须使用公钥密码体制以保证凭证分发的安全性，同时凭证所使用的却是对称密钥体制，因此网络侧和终端侧都必须同时支持两套密码体制，增加了凭证分发的复杂性。

发明内容

根据本公开的实施例，提出了一种设备凭证分发方法，包括：UE向用户签约认证管理实体发送IOT设备凭证请求信息；用户签约认证管理实体根据收到的IOT设备凭证请求信息中的IOT设备身份信息生成凭证信息，所述凭证信息包括国际移动用户识别码(IMSI)和鉴权密钥；用户签约认证管理实体将生成的凭证信息发送给UE；以及UE收到凭证信息后，将所述凭证信息发送给对应的IOT设备，以使得所述IOT设备根据所述凭证信息附着到移动通信系统。

根据本公开的实施例，还提出了一种设备凭证分发方法，包括：UE向用户签约认证管理实体发送IOT设备凭证请求信息；UE接收用户签约认证管理实体发送的凭证信息，所述凭证信息包括IMSI和鉴权密钥；以及UE在收到凭证信息后，将所述凭证信息发送给对应的 IOT设备，以使得所述IOT设备根据所述凭证信息附着到移动通信系统。

根据本公开的实施例，还提出了一种设备凭证分发方法，包括：用户签约认证管理实体接收UE发送的IOT设备凭证请求信息；用户签约认证管理实体根据收到的IOT设备凭证请求信息中的IOT设备身份信息生成凭证信息，所述凭证信息包括IMSI和鉴权密钥；以及用户签约认证管理实体将生成的凭证信息发送给UE。

根据本公开的实施例，还提出了一种设备凭证分发系统，包括：用户签约认证管理实体、UE和IOT设备。所述管理实体包括：请求接收单元，其设置为接收UE发送的IOT设备凭证请求信息；处理单元，其设置为根据收到的IOT设备凭证请求信息中的IOT设备身份信息生成凭证信息，所述凭证信息包括IMSI和鉴权密钥；以及第二发送单元，其设置为将所述处理单元生成的凭证信息发送给UE。所述UE包括：请求单元，其设置为向用户签约认证管理实体发送IOT设备凭证请求信息；第一接收单元，其设置为接收用户签约认证管理实体发送的凭证信息；以及第一发送单元，在所述第一接收单元收到凭证信息后，所述第一发送单元将所述凭证信息发送给对应的IOT设备，以使得所述IOT设备根据所述凭证信息附着到移动通信系统。所述IOT设备包括：第二接收单元，其设置为接收UE发送的凭证信息；以及附着单元，其设置为根据所述凭证信息附着到移动通信系统。

根据本公开的实施例，还提出了一种用户设备，包括：请求单元，其设置为向用户签约认证管理实体发送IOT设备凭证请求信息；第一接收单元，其设置为接收用户签约认证管理实体发送的凭证信息，所述凭证信息包括IMSI和鉴权密钥；以及第一发送单元，在所述第一接收单元收到凭证信息后，所述第一发送单元将所述凭证信息发送给对应的IOT设备，以使得所述IOT设备根据所述凭证信息附着到移动通信系统。

根据本公开的实施例，还提出了一种用户签约认证管理实体，包括：请求接收单元，其设置为接收UE发送的IOT设备凭证请求信息；处理单元，其设置为根据收到的IOT设备凭证请求信息中的IOT 设备身份信息生成凭证信息，所述凭证信息包括IMSI和鉴权密钥；以及第二发送单元，其设置为将所述处理单元生成的凭证信息发送给UE。

附图说明

下面对本公开实施例中的附图进行说明，实施例中的附图是用于对本公开的进一步理解，与说明书一起用于解释本公开，并不构成对本公开保护范围的限制。在附图中，

图1为相关技术中IOT设备凭证分发的流程图；

图2为根据本公开实施例的设备凭证分发方法的流程示意图；

图3为根据本公开实施例的设备凭证分发方法中的删除过程的示意图；

图4A为根据本公开实施例的用户设备的结构示意图；

图4B为根据本公开实施例的用户签约认证管理实体的结构示意图；

图4C为根据本公开实施例的IOT设备的结构示意图；以及

图5为根据本公开实施例的设备凭证分发系统的结构示意图。

具体实施方式

为了便于本领域技术人员的理解，下面结合附图对本公开作进一步的描述，并不能用来限制本公开的保护范围。需要说明的是，在不冲突的情况下，各实施例及实施例中的各种方式可以相互组合。

图1为相关技术中IOT设备凭证分发的流程图。

如图1所示，相关技术中的设备凭证分发流程包括：IOT设备通过UE向核心网用户签约管理实体发送设备凭证请求；核心网用户签约管理实体根据设备凭证请求中的IOT设备身份标识从设备证书管理实体获取该IOT设备的设备证书，并对IOT设备进行认证；认证通过后，核心网用户签约管理实体从设备证书管理实体为该IOT设备获取凭证信息并发送给UE；以及UE将凭证信息发送给IOT设备，从而完成凭证分发。由此可见，在相关技术中，必须使用公钥密码体制以保证凭证分发的安全性，同时凭证所使用的却是对称密钥体制，因此网络侧和终端侧都必须同时支持两套密码体制，增加了凭证分发的复杂性。

图2为根据本公开实施例的设备凭证分发方法的流程示意图。

参见图2，根据本公开实施例的设备凭证分发方法可以包括步骤110至160。

在步骤110，UE向用户签约认证管理实体发送IOT设备凭证请求信息。IOT设备凭证请求信息中可以包括用户身份信息以及IOT设备身份信息。根据本公开实施例，IOT设备凭证请求信息中可以包括一个或多个IOT设备身份信息。

在步骤120，用户签约认证管理实体根据收到的IOT设备凭证请求信息中的IOT设备身份信息生成凭证信息，所述凭证信息包括IMSI和鉴权密钥。

在相关技术中，生成凭证信息的管理实体需要首先从用户签约认证管理实体获取证书，通过证书对生成的凭证信息进行加密。根据本公开实施例，用户签约认证管理实体在生成凭证信息之后，可以通过认证与密钥协商(AKA)获得的密钥将凭证信息加密后发送给UE，从而减少了用户签约认证管理实体与设备证书管理实体交互的过程，简化了系统设计。

在步骤130，用户签约认证管理实体保存IOT设备凭证请求信息中包括的用户身份信息和IOT设备身份信息以及所生成的凭证信息。

在步骤140，用户签约认证管理实体将IOT设备身份信息以及生成的凭证信息发送给UE。

用户签约认证管理实体通过AKA密钥将凭证信息加密后发送给UE，而UE侧具有与网络侧的用户签约认证管理实体相同的AKA密钥，因此UE在获得加密的凭证信息之后，可以通过AKA密钥对凭证信息进行解密，以获得解密的凭证信息。

根据本公开实施例，用户签约认证管理实体与UE之间的通信采用对称加密的方式进行通信，UE不再需要支持非对称密钥体制和对称密钥体制两种密钥体制，而只需要支持对称密钥体制，从而简化了 UE侧的系统复杂程度。

在步骤150，UE在收到凭证信息后，根据IOT设备身份信息，将所述凭证信息发送给对应的IOT设备。

根据本公开实施例，UE可以通过UE与IOT设备之间的安全通信连接将凭证信息发送给IOT设备。例如，UE使用IOT设备的公钥将凭证信息加密后发送到IOT设备，IOT设备收到凭证信息后，通过私钥解密获得凭证信息。

在步骤160，IOT设备收到凭证信息后保存所述凭证信息，并根据凭证信息附着到移动通信系统(例如，5G系统)，在附着过程中给予凭证与5G系统进行AKA认证。

根据本公开实施例，UE可以通过UE与IOT设备之间的安全通信连接对IOT设备进行管理。UE与IOT设备之间的通信连接可以包括各种短距离无线通信连接和其他方式的有线连接。UE与IOT之间通信的安全性可以通过用户的控制实现。

UE与IOT设备之间的安全通信连接可以是基于IOT证书建立的安全通信连接，为此，UE需要提前获得IOT设备的证书。UE与IOT设备之间的通信可以通过信令层完成，也可以通过应用层完成。如果通过信令层完成通信，则可以采用对称加密的方式进行通信，如果通过应用层完成通信，则可以采用对称加密或者非对称加密的方式进行通信。

图3为根据本公开实施例的设备凭证分发方法中的删除过程的示意图。

根据本公开实施例，当用户不再使用IOT设备时，用户可以发起凭证删除流程。如图3所示，根据本公开实施例的设备凭证分发方法中的删除过程可以包括步骤201至204。

在步骤201，UE向用户签约认证管理实体发送IOT设备凭证删除请求信息。IOT设备凭证删除请求信息包括用户身份信息和IOT设备的身份信息。

在步骤202，用户签约认证管理实体根据收到的IOT设备凭证删除请求信息，删除IOT设备身份信息对应的凭证信息。所述凭证信息可以包括IMSI和鉴权密钥。

在步骤203，用户签约认证管理实体向UE反馈删除完成确认信息。

在步骤204，用户在收到反馈删除完成确认信息之后，向IOT设备发送凭证信息删除通知信息，以使得IOT设备根据凭证信息删除通知信息删除相应的凭证信息。

图4A为根据本公开实施例的用户设备的结构示意图，图4B为根据本公开实施例的用户签约认证管理实体的结构示意图，并且图4C为根据本公开实施例的IOT设备的结构示意图。

基于与上述各实施例相同或相似的构思，本公开实施例还提供一种用户设备，如图4A所示。根据本公开实施例的用户设备可以包括请求单元11、第一接收单元12和第一发送单元13。

请求单元11设置为向用户签约认证管理实体发送IOT设备凭证请求信息。第一接收单元12设置为接收用户签约认证管理实体发送的凭证信息，所述凭证信息包括IMSI和鉴权密钥。在第一接收单元12收到凭证信息后，第一发送单元13将所述凭证信息发送给对应的IOT设备，以使得所述IOT设备根据所述凭证信息附着到移动通信系统。

根据本公开实施例，所述第一接收单元12还可以设置为，在收到凭证信息之后，通过AKA密钥对收到的凭证信息进行解密，以获得解密的凭证信息。

根据本公开实施例，所述第一发送单元13还可以设置为，使用IOT设备的公钥将凭证信息加密后发送给对应的IOT设备。

根据本公开实施例，所述IOT设备凭证请求信息可以包括用户身份信息以及一个或多个IOT设备身份信息。

根据本公开实施例，所述请求单元11还可以设置为，向用户签约认证管理实体发送IOT设备凭证删除请求信息，所述IOT设备凭证删除请求信息包括用户身份信息和IOT设备的身份信息。

基于与上述各实施例相同或相似的构思，本公开实施例还提供一种用户签约认证管理实体，如图4B所示。根据本公开实施例的用户签约认证管理实体可以包括请求接收单元21、处理单元22和第二发送单元23。

请求接收单元21设置为接收用户设备UE发送的IOT设备凭证请求信息。处理单元22设置为根据收到的IOT设备凭证请求信息中的IOT设备身份信息生成凭证信息.所述凭证信息包括IMSI和鉴权密钥。第二发送单元23设置为将生成的的凭证信息发送给UE。

根据本公开实施例，第二发送单元23还可以设置为，在处理单元22生成凭证信息之后，通过AKA密钥对凭证信息加密，并将加密后的凭证信息发送给UE。

根据本公开实施例的用户签约认证管理实体还包括包括第一存储单元24，在处理单元22生成凭证信息之后，第一存储单元24可以存储凭证请求信息中包括的用户身份信息和IOT设备身份信息以及所生成的凭证信息。

根据本公开实施例，请求接收单元21还可以设置为，接收UE发送的IOT设备凭证删除请求信息，所述IOT设备凭证删除请求信息包括用户身份信息和IOT设备的身份信息，并且据收到的IOT设备凭证删除请求信息，删除第一存储单元24存储的与IOT设备凭证删除请求信息中包括的用户身份信息和IOT设备身份信息对应的凭证信息。

基于与上述各实施例相同或相似的构思，本公开实施例还提供一种IOT设备，如图4C所示。根据本公开实施例的IOT设备可以包括第二接收单元31和附着单元32。

第二接收单元31设置为接收UE发送的凭证信息。附着单元32设置为根据所述凭证信息附着到移动通信系统。

根据本公开实施例，IOT设备还可以包括第二存储单元33，其设置为存储UE发送的凭证信息。

根据本公开实施例，第二接收单元31还可以接收UE发送的凭证信息删除通知信息，并且根据凭证信息删除通知信息删除存储在第二存储单元33中的对应的凭证信息。

基于与上述各实施例相同或相似的构思，本公开实施例还提供一种设备凭证分发系统。根据本公开实施例的设备凭证分发系统可以包括根据本公开各实施例的用户签约认证管理实体、用户设备和IOT设备。下面结合一个具体的示例对根据本公开实施例的设备凭证分发系统进行说明。

图5为根据本公开实施例的设备凭证分发系统的结构示意图。

基于与上述各实施例相同或相似的构思，本公开实施例还提供一种设备凭证分发系统，如图5所示。根据本公开实施例的设备凭证分发系统可以包括用户签约认证管理实体20、用户设备10和IOT设备30。

用户签约认证管理实体20可以为结合图4B描述的用户签约认证管理实体，用户设备10可以为结合图4A描述的用户设备，并且IOT设备30可以为结合图4C描述的IOT设备。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

需要说明的是，以上所述的实施例仅是为了便于本领域的技术人员理解而已，并不用于限制本公开的保护范围，在不脱离本公开的发明构思的前提下，本领域技术人员对本公开所做出的任何显而易见的替换和改进等均在本公开的保护范围之内。

Claims

一种设备凭证分发方法，包括：

用户设备向用户签约认证管理实体发送物联网设备凭证请求信息；

用户签约认证管理实体根据收到的物联网设备凭证请求信息中的物联网设备身份信息生成凭证信息，所述凭证信息包括国际移动用户识别码和鉴权密钥；

用户签约认证管理实体将生成的凭证信息发送给用户设备；以及

用户设备收到凭证信息后，将所述凭证信息发送给对应的物联网设备，以使得所述物联网设备根据所述凭证信息附着到移动通信系统。
根据权利要求1所述的设备凭证分发方法，其中，

用户签约认证管理实体在生成凭证信息之后，通过认证与密钥协商AKA密钥对所述凭证信息加密，并将加密后的凭证信息发送给用户设备，并且

用户设备在收到凭证信息之后，通过AKA密钥对凭证信息进行解密，以获得解密的凭证信息。
根据权利要求1所述的设备凭证分发方法，其中，

用户设备使用物联网设备的公钥将凭证信息加密后发送给对应的物联网设备，并且

所述物联网设备在收到凭证信息后，通过所述物联网设备的私钥对凭证信息进行解密，以获得解密的凭证信息。
根据权利要求1所述的设备凭证分发方法，其中，

所述物联网设备凭证请求信息包括用户身份信息以及一个或多个物联网设备身份信息。
根据权利要求4所述的设备凭证分发方法，其中，在用户签约认证管理实体生成凭证信息之后，所述用户签约认证管理实体存储所述物联网设备凭证请求信息中包括的用户身份信息和物联网设备身份信息以及所生成的凭证信息。
根据权利要求5所述的设备凭证分发方法，还包括：

用户设备向用户签约认证管理实体发送物联网设备凭证删除请求信息，所述物联网设备凭证删除请求信息包括用户身份信息和物联网设备的身份信息；

用户签约认证管理实体接收用户设备发送的物联网设备凭证删除请求信息；以及

用户签约认证管理实体根据收到的物联网设备凭证删除请求信息，删除与所述物联网设备凭证删除请求信息中包括的用户身份信息和物联网设备身份信息对应的凭证信息。
一种设备凭证分发方法，包括：

用户设备向用户签约认证管理实体发送物联网设备凭证请求信息；

用户设备接收用户签约认证管理实体发送的凭证信息，所述凭证信息包括国际移动用户识别码和鉴权密钥；以及

用户设备在收到凭证信息后，将所述凭证信息发送给对应的物联网设备，以使得所述物联网设备根据所述凭证信息附着到移动通信系统。
根据权利要求7所述的设备凭证分发方法，其中，

用户设备在收到凭证信息之后，通过认证与密钥协商AKA密钥对收到的凭证信息进行解密，以获得解密的凭证信息。
根据权利要求7所述的设备凭证分发方法，其中，

用户设备使用物联网设备的公钥将凭证信息加密后发送给对应的物联网设备。
根据权利要求7所述的设备凭证分发方法，其中，

所述物联网设备凭证请求信息包括用户身份信息以及一个或多个物联网设备身份信息。
根据权利要求7至10中任一项所述的设备凭证分发方法，还包括：

用户设备向用户签约认证管理实体发送物联网设备凭证删除请求信息，所述物联网设备凭证删除请求信息包括用户身份信息和物联网设备的身份信息。
一种设备凭证分发方法，包括：

用户签约认证管理实体接收用户设备发送的物联网设备凭证请求信息；

用户签约认证管理实体根据收到的物联网设备凭证请求信息中的物联网设备身份信息生成凭证信息，所述凭证信息包括国际移动用户识别码和鉴权密钥；以及

用户签约认证管理实体将生成的凭证信息发送给用户设备。
根据权利要求12所述的设备凭证分发方法，其中，

用户签约认证管理实体在生成凭证信息之后，通过认证与密钥协商AKA密钥对所述凭证信息加密，并将加密后的凭证信息发送给用户设备。
根据权利要求12所述的设备凭证分发方法，其中，

所述物联网设备凭证请求信息包括用户身份信息以及一个或多个物联网设备身份信息。
根据权利要求14所述的设备凭证分发方法，其中，在用户签约认证管理实体生成凭证信息之后，所述用户签约认证管理实体存储所述物联网设备凭证请求信息中包括的用户身份信息和物联网设备身份信息以及所生成的凭证信息。
根据权利要求15所述的设备凭证分发方法，还包括：

用户签约认证管理实体接收用户设备发送的物联网设备凭证删除请求信息，所述物联网设备凭证删除请求信息包括用户身份信息和物联网设备的身份信息；以及

用户签约认证管理实体根据收到的物联网设备凭证删除请求信息，删除与所述物联网设备凭证删除请求信息中包括的用户身份信息和物联网设备身份信息对应的凭证信息。
一种设备凭证分发系统，包括：用户签约认证管理实体、用户设备和物联网设备；

所述用户签约认证管理实体包括：

请求接收单元，其设置为接收用户设备发送的物联网设备凭证请求信息；

处理单元，其设置为根据收到的物联网设备凭证请求信息中的物联网设备身份信息生成凭证信息，所述凭证信息包括国际移动用户识别码和鉴权密钥；以及

第二发送单元，其设置为将所述处理单元生成的凭证信息发送给用户设备，

所述用户设备包括：

请求单元，其设置为向用户签约认证管理实体发送物联网设备凭证请求信息；

第一接收单元，其设置为接收用户签约认证管理实体发送的凭证信息；以及

第一发送单元，在所述第一接收单元收到凭证信息后，所述第一发送单元将所述凭证信息发送给对应的物联网设备，以使得所述物联网设备根据所述凭证信息附着到移动通信系统，并且

所述物联网设备包括：

第二接收单元，其设置为接收用户设备发送的凭证信息；以及

附着单元，其设置为根据所述凭证信息附着到移动通信系统。
根据权利要求17所述的设备凭证分发系统，其中，

所述用户签约认证管理实体的第二发送单元还设置为，在所述处理单元生成凭证信息之后，通过认证与密钥协商AKA密钥对所述凭证信息加密，并将加密后的凭证信息发送给用户设备，并且

所述用户设备的第一接收单元还设置为，在收到凭证信息之后，通过AKA密钥对收到的凭证信息进行解密，以获得解密的凭证信息。
根据权利要求17所述的设备凭证分发系统，其中，

所述用户设备的第一发送单元还设置为，使用物联网设备的公钥将凭证信息加密后发送给对应的物联网设备，并且

所述物联网设备的第二接收单元还设置为，在收到凭证信息后，通过所述物联网设备的私钥对收到的凭证信息进行解密，以获得解密的凭证信息。
根据权利要求17所述的设备凭证分发系统，其中，

所述物联网设备凭证请求信息包括用户身份信息以及一个或多个物联网设备身份信息。
根据权利要求20所述的设备凭证分发系统，其中，所述用户签约认证管理实体还包括：

第一存储单元，在所述处理单元生成凭证信息之后，所述第一存储单元存储所述物联网设备凭证请求信息中包括的用户身份信息和物联网设备身份信息以及所生成的凭证信息。
根据权利要求21所述的系统，其中，

所述用户设备的请求单元还设置为，向用户签约认证管理实体发送物联网设备凭证删除请求信息，所述物联网设备凭证删除请求信息包括用户身份信息和物联网设备的身份信息，并且

所述用户签约认证管理实体的请求接收单元还设置为，接收用户设备发送的物联网设备凭证删除请求信息，并且根据收到的物联网设备凭证删除请求信息，删除所述第一存储单元存储的与所述物联网设备凭证删除请求信息中包括的用户身份信息和物联网设备身份信息对应的凭证信息。
一种用户设备，包括：

请求单元，其设置为向用户签约认证管理实体发送物联网设备凭证请求信息；

第一接收单元，其设置为接收用户签约认证管理实体发送的凭证信息，所述凭证信息包括国际移动用户识别码和鉴权密钥；以及

第一发送单元，在所述第一接收单元收到凭证信息后，所述第一发送单元将所述凭证信息发送给对应的物联网设备，以使得所述物联网设备根据所述凭证信息附着到移动通信系统。
根据权利要求23所述的用户设备，其中，

所述用户设备的第一接收单元还设置为，在收到凭证信息之后，通过认证与密钥协商AKA密钥对收到的凭证信息进行解密，以获得解密的凭证信息。
根据权利要求23所述的用户设备，其中，

所述第一发送单元还设置为，使用物联网设备的公钥将凭证信息加密后发送给对应的物联网设备。
根据权利要求23所述的用户设备，其中，

所述物联网设备凭证请求信息包括用户身份信息以及一个或多个物联网设备身份信息。
根据权利要求23至26中任一项所述的用户设备，其中，所述请求单元还设置为，向用户签约认证管理实体发送物联网设备凭证删除请求信息，所述物联网设备凭证删除请求信息包括用户身份信息和物联网设备的身份信息。
一种用户签约认证管理实体，包括：

请求接收单元，其设置为接收用户设备发送的物联网设备凭证请求信息；

处理单元，其设置为根据收到的物联网设备凭证请求信息中的物联网设备身份信息生成凭证信息，所述凭证信息包括国际移动用户识别码和鉴权密钥；以及

第二发送单元，其设置为将所述处理单元生成的凭证信息发送给用户设备。
根据权利要求28所述的用户签约认证管理实体，其中，

所述第二发送单元还设置为，在所述处理单元生成凭证信息之后，通过认证与密钥协商AKA密钥对所述凭证信息加密，并将加密后的凭证信息发送给用户设备。
根据权利要求28所述的用户签约认证管理实体，其中，

所述物联网设备凭证请求信息包括用户身份信息以及一个或多个物联网设备身份信息。
根据权利要求28所述的用户签约认证管理实体，还包括：

第一存储单元，在所述处理单元生成凭证信息之后，所述第一存储单元存储所述物联网设备凭证请求信息中包括的用户身份信息和物联网设备身份信息以及所生成的凭证信息。
根据权利要求31所述的管理实体，其中，

所述请求接收单元还设置为，接收用户设备发送的物联网设备凭证删除请求信息，所述物联网设备凭证删除请求信息包括用户身份信息和物联网设备的身份信息，并且根据收到的物联网设备凭证删除请求信息，删除所述第一存储单元存储的与所述物联网设备凭证删除请求信息中包括的用户身份信息和物联网设备身份信息对应的凭证信息。