WO2018233725A1

WO2018233725A1 - 凭证分发方法、用户终端、用户签约认证管理单元及介质

Info

Publication number: WO2018233725A1
Application number: PCT/CN2018/101280
Authority: WO
Inventors: 余万涛
Original assignee: 上海中兴软件有限责任公司
Priority date: 2017-06-19
Filing date: 2018-08-20
Publication date: 2018-12-27
Also published as: CN109150807B; CN109150807A

Abstract

本文公开了一种物联网IOT设备凭证分发方法，包括：向用户签约认证管理单元发送IOT设备凭证请求信息，以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证；接收所述用户签约认证管理单元发送的所述网络侧IOT设备凭证，并根据所述网络侧IOT设备凭证生成所述IOT设备的设备侧IOT设备凭证；将所述设备侧IOT设备凭证发送给所述IOT设备。本文还公开了一种用户终端、用户签约认证管理单元以及存储介质。

Description

凭证分发方法、用户终端、用户签约认证管理单元及介质

本申请要求在2017年6月19日提交中国专利局、申请号为201710465007.4的中国专利申请的优先权，该申请的全部内容通过引用结合在本申请中。

技术领域

本公开涉及通讯技术领域，例如涉及一种物联网(Internet Of Things，IOT)设备凭证分发方法、用户终端、用户签约认证管理单元及介质。

背景技术

大规模机器连接是第五代移动通信技术(5th-Generation，5G)系统的典型应用场景之一，在大规模机器连接应用场景中，物联网终端设备在部署前很难预配置用于网络接入和物联网服务的凭证信息。

相关的凭证分发方案中分发流程复杂。例如，相关分发方案使用公钥密码体制以保证凭证分发的安全性，同时凭证所使用的是对称密钥体制。这使得网络侧和终端都要同时支持两套密码体制，从而增加了凭证分发的复杂性。

发明内容

本公开提供一种物联网IOT设备凭证分发方法、用户终端、用户签约认证管理单元及介质，用以解决相关IOT设备凭证分发复杂的问题。

在一实施例中，本公开提供一种物联网IOT设备凭证分发方法，应用于用户终端，包括：

向用户签约认证管理单元发送IOT设备凭证请求信息，以使所述用户签约认证管理单元根据所述IOT设备凭证请求信息生成IOT设备的网络侧IOT设备凭证；

接收所述用户签约认证管理单元发送的所述网络侧IOT设备凭证，并根据所述网络侧IOT设备凭证生成所述IOT设备的设备侧IOT设备凭证；

将所述设备侧IOT设备凭证发送给所述IOT设备；

其中，所述IOT设备与所述用户终端通信连接。

在一实施例中，本公开提供一种物联网IOT设备凭证分发方法，应用于用户签约认证管理单元，包括：

接收用户终端发送的IOT设备凭证请求信息；

根据所述IOT设备凭证请求信息，生成网络侧IOT设备凭证。

在一实施例中，本公开提供一种用户终端，包括第一存储器和第一处理器；所述第一存储器存储有应用于所述用户终端的IOT设备凭证分发方法的计算机程序，所述第一处理器执行所述计算机程序以实现以下步骤：

将所述设备侧IOT设备凭证发送给所述IOT设备；

其中，所述IOT设备与所述用户终端通信连接。

在一实施例中，本公开提供一种用户签约认证管理单元，包括第二存储器和第二处理器；所述第二存储器存储有应用于所述用户签约认证管理单元的IOT设备凭证分发方法的计算机程序，所述第二处理器执行所述计算机程序以实现以下步骤：

接收用户终端发送的IOT设备凭证请求信息；

根据所述IOT设备凭证请求信息，生成网络侧IOT设备凭证。

在一实施例中，本公开提供一种计算机可读存储介质，所述存储介质存储有应用于用户终端的IOT设备凭证分发方法的计算机程序；

当所述应用于用户终端的IOT设备凭证分发方法的计算机程序被至少一个用户终端侧的处理器执行时，以实现上述应用于用户终端的IOT设备凭证分发方法。

在一实施例中，本公开还提供一种计算机可读存储介质，所述存储介质存储有应用于用户签约认证管理单元的IOT设备凭证分发方法的计算机程序；

当所述应用于用户签约认证管理单元的IOT设备凭证分发方法的计算机程序被至少一个用户签约认证管理单元的处理器执行时，以实现上述应用于用户签约认证管理单元的IOT设备凭证分发方法。

附图说明

图1是本公开实施例中一种应用于用户终端的物联网IOT设备凭证分发方法的流程图；

图2是本公开实施例中一种应用于用户签约认证管理单元的物联网IOT设备凭证分发方法的流程图；

图3是本公开实施例中用户终端、用户签约认证管理单元和IOT设备的交互流程示意图；

图4是本公开实施例中IOT设备凭证删除的流程图；

图5是本公开实施例中一种用户终端的结构示意图；

图6是本公开实施例中一种用户签约认证管理单元的结构示意图。

具体实施方式

为了解决相关IOT设备凭证分发复杂的问题，本公开提供了一种物联网IOT设备凭证分发方法、用户终端、用户签约认证管理单元及介质，以下结合附图以及实施例，对本公开进行说明。此处所描述的实施例仅用以解释本公开，并不限定本公开。

实施例一

如图1所示，本公开实施例提供一种物联网IOT设备凭证分发方法，所述方法应用于用户终端，包括：

S101，向用户签约认证管理单元发送IOT设备凭证请求信息，以使所述用户签约认证管理单元根据所述IOT设备凭证请求信息生成IOT设备的网络侧IOT设备凭证；

S102，接收所述用户签约认证管理单元发送的所述网络侧IOT设备凭证，并根据所述网络侧IOT设备凭证生成所述IOT设备的设备侧IOT设备凭证；

S103，将所述设备侧IOT设备凭证发送给所述IOT设备；

其中，所述IOT设备与所述用户终端通信连接。

其中，用户签约认证管理单元属于一种硬件实体，可以为运营商用户签约认证管理实体。

其中，设备侧IOT设备凭证和网络侧IOT设备凭证中的认证信息相同。

本公开实施例中，用户终端通过向用户签约认证管理单元发送IOT设备凭证请求信息，以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证；并且在本地生成所述IOT设备的设备侧IOT设备凭证；并将所述设备侧IOT设备凭证发送给所述IOT设备，以使所述IOT设备启用所述设备侧IOT设备凭证，从而有效的降低了IOT设备凭证分发复杂性，进而可以使IOT设备收到凭证后保存并启用凭证，附着到网络系统(例如5G系统)，在附着过程中基于设备侧IOT设备凭证与网络系统进行认证；例如进行认证与密钥协商(Authentication and Key Agreement，AKA)双向认证，因此本公开实施例在不增加认证复杂性的条件下，可以实现了基于AKA机制对IOT设备凭证的分发。

在一实施例中，所述接收所述用户签约认证管理单元发送的所述网络侧IOT设备凭证，并根据所述网络侧IOT设备凭证生成所述IOT设备的设备侧IOT设备凭证，包括：

从所述用户签约认证管理单元发送的所述网络侧IOT设备凭证中获取凭证生成参数；

根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证。

其中，所述凭证生成参数包括密钥参数和所述IOT设备的标识信息。所述IOT设备的标识信息可以为国际移动用户识别码(International Mobile Equipment Identity，IMSI)。

在一实施例中，所述根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证，包括：

根据所述密钥参数和所述用户终端的用户鉴权密钥，生成设备侧IOT设备鉴权密钥；根据所述IOT设备的标识信息和所述设备侧IOT设备鉴权密钥构成所述设备侧IOT设备凭证。

在一实施例中，所述网络侧IOT设备凭证包括所述IOT设备的标识信息和网络侧IOT设备鉴权密钥。

在一实施例中，所述用户终端生成设备侧IOT设备鉴权密钥时采用第一密钥算法，所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用第二密钥算法，所述第一密钥算法和所述第二密钥算法相同。

其中，所述密钥参数为IOT设备密钥分散参数；所述第一密钥算法和所述第二密钥算法均为密钥分散算法。

在一实施例中，所述向用户签约认证管理单元发送IOT设备凭证请求信息，以使所述用户签约认证管理单元根据所述IOT设备凭证请求信息生成IOT设备的网络侧IOT设备凭证，包括：

向用户签约认证管理单元发送携带用户身份信息和IOT设备身份信息的IOT设备凭证请求信息，以使所述用户签约认证管理单元根据所述IOT设备身份信息生成所述IOT设备的标识信息和所述密钥参数，以及根据所述用户身份信息获得用户鉴权密钥；

根据所述密钥参数和所述用户鉴权密钥生成所述网络侧IOT设备鉴权密钥。

在一实施例中，所述方法还包括：

向所述用户签约认证管理单元发送IOT设备凭证删除请求信息，以使所述用户签约认证管理单元根据所述IOT设备凭证删除请求信息删除所述网络侧 IOT设备凭证；以及

向所述IOT设备发送删除指令，以使所述IOT设备根据所述删除指令删除所述设备侧IOT设备凭证。

简述本公开实施例原理。

本公开实施例中方法在实现时，可以采用模块的形式实现，例如在用户终端(User Equipment，UE)中设置如下模块：

第一发送模块，设置为向网络侧(用户签约认证管理单元)发送IOT设备凭证请求信息。所述IOT设备凭证请求信息中包括用户身份信息，IOT设备身份信息。在IOT设备凭证请求信息中，可以包含一个或多个IOT设备身份信息(例如设备号)。

第一接收模块，设置为接收网络侧发送的网络侧IOT设备凭证。网络侧IOT设备凭证的凭证信息包括IMSI和IOT设备密钥分散参数。

第一生成模块，设置为使用IOT设备密钥分散参数和用户鉴权密钥生成IOT设备鉴权密钥。

第二发送模块，设置为向IOT设备发送设备侧IOT设备凭证信息，IOT设备凭证信息包括IOT设备IMSI和设备侧IOT设备鉴权密钥。

实施例二

如图2所示，本公开实施例提供一种物联网IOT设备凭证分发方法，所述方法应用于用户签约认证管理单元，包括：

S201，接收用户终端发送的IOT设备凭证请求信息；

S202，根据所述IOT设备凭证请求信息，生成网络侧IOT设备凭证。

在一实施例中，所述方法还包括：

向所述用户终端发送凭证生成参数，以使所述用户终端根据所述凭证生成参数生成IOT设备的设备侧IOT设备凭证；所述IOT设备与所述用户终端通信连接。

在一实施例中，向所述用户终端发送所述网络侧IOT设备凭证，以使所述用户终端根据所述网络侧IOT设备凭证生成IOT设备的设备侧IOT设备凭证；

其中，所述网络侧IOT设备凭证包括凭证生成参数；所述IOT设备与所述用户终端通信连接。

在一实施例中，所述凭证生成参数包括密钥参数和IOT设备的标识信息。在一实施例中，所述IOT设备凭证请求信息携带用户身份信息和IOT设备身份信息。

在一实施例中，所述根据所述IOT设备凭证请求信息，生成网络侧IOT设备凭证，包括：

根据所述IOT设备身份信息生成所述IOT设备的标识信息和所述密钥参数；

根据所述用户身份信息获得所述用户终端的用户鉴权密钥，根据所述密钥参数和所述用户鉴权密钥生成网络侧IOT设备鉴权密钥；根据所述IOT设备的标识信息和所述网络侧IOT设备鉴权密钥构成所述网络侧IOT设备凭证。

在一实施例中，所述设备侧IOT设备凭证包括所述标识信息和设备侧IOT设备鉴权密钥。

在一实施例中，所述IOT设备的标识信息为国际移动用户识别码。

在一实施例中，所述方法还包括：

接收所述用户终端发送的IOT设备凭证删除请求信息；

根据所述IOT设备凭证删除请求信息删除所述网络侧IOT设备凭证。

简述本公开实施例原理。

本公开实施例中方法在实现时，可以采用模块的形式实现，例如在用户签约认证管理单元中设置如下模块：

第二接收模块，设置为接收UE发送的IOT设备凭证请求信息。其中，所述IOT设备凭证请求信息中包括用户身份信息，IOT设备身份信息。在IOT设备凭证请求信息中，可以包含一个或多个IOT设备身份信息。

第二生成模块，设置为基于IOT设备凭证分发请求信息生成IOT设备IMSI；

第三生成模块，设置为生成IOT设备密钥分散参数；

第四生成模块，设置为生成IOT设备鉴权密钥；

第一存储管理模块，设置为存储维护用户身份信息、IOT设备身份信息及其对应凭证信息，包括IOT设备IMSI和网络侧IOT设备鉴权密钥；

第三发送模块，设置为向UE发送IOT设备身份信息、IOT设备IMSI和IOT设备密钥分散参数。

实施例三

本公开实施例中UE和用户签约认证管理单元进行交互的流程如图3所示：

步骤101、UE附着5G网络后，向运营商用户签约认证管理实体发送IOT设备凭证请求信息。IOT设备凭证请求信息中包括用户身份信息、IOT设备身份信息。在IOT凭证请求信息中，可以包含一个或多个IOT设备身份信息。

步骤102、用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息，生成对应的IMSI和IOT设备密钥分散参数。

步骤103，用户签约认证管理实体根据收到的用户身份信息，获取用户身份信息对应的用户鉴权密钥。用户签约认证管理实体使用IOT设备密钥分散参数和用户鉴权密钥生成IOT设备IMSI对应的网络侧IOT设备鉴权密钥。用户签约认证管理实体保存用户身份信息、IOT设备身份信息、IOT设备身份信息对应的IMSI以及网络侧IOT设备鉴权密钥。

步骤104、用户签约认证管理实体将IOT设备身份信息、IOT设备身份信息对应的IOT设备IMSI信息以及IOT设备密钥分散参数信息发送给UE。

步骤105、UE收到IOT设备IMSI和IOT设备鉴权密钥息后，使用收到的IOT设备IMSI对应的IOT设备密钥分散参数和UE鉴权密钥，生成IOT设备IMSI对应的设备侧IOT设备鉴权密钥，并根据IOT设备信息，通过UE与IOT设备之间的通信连接将IOT设备IMSI和IOT设备鉴权密钥构成的凭证信息发送给 IOT设备。

步骤106、IOT设备收到凭证后保存并启用凭证附着到5G系统，在附着过程中给予凭证与5G系统进行AKA认证。

实施例四

如图4所示，本公开实施例提供一种IOT设备凭证删除方法，所述方法包括：

步骤401、用户通过UE向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息，其中，凭证删除请求信息包括用户身份信息和IOT设备的身份信息。

步骤402、用户签约管理实体根据收到的凭证删除请求信息，删除用户身份信息、IOT设备身份信息对应的IOT设备IMSI以及网络侧IOT设备鉴权密钥。

步骤403、用户签约管理实体向用户设备反馈删除完成确认信息。

步骤404、用户可以根据需求，删除IOT设备上的凭证信息。

实施例五

如图5所示，本公开实施例提供一种用户终端，所述终端包括第一存储器510和第一处理器520；所述第一存储器510存储有应用于终端的IOT设备凭证分发方法的计算机程序，所述第一处理器520执行所述计算机程序以实现以下步骤：

将所述设备侧IOT设备凭证发送给所述IOT设备；

其中，所述IOT设备与所述用户终端通信连接。

本公开实施例中，用户终端通过向用户签约认证管理单元发送IOT设备凭证请求信息，以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证；并且在本地生成所述IOT设备的设备侧IOT设备凭证；并将所述设备侧IOT设备凭证发送给所述IOT设备，以使所述IOT设备启用所述设备侧IOT设备凭证，从而有效的降低了IOT设备凭证分发复杂性，进而可以使IOT设备收到凭证后保存并启用凭证，附着到网络系统(例如5G系统)，在附着过程中基于设备侧IOT设备凭证与网络系统进行认证；例如进行AKA双向认证，因此本公开实施例在不增加认证复杂性的条件下，可以实现了基于AKA机制对IOT设备凭证的分发。

在一实施例中，所述凭证生成参数包括密钥参数和所述IOT设备的标识信息。

在一实施例中，所述网络侧IOT设备凭证包括所述标识信息和网络侧IOT设备鉴权密钥。

在一实施例中，所述第一处理器520执行所述计算机程序还实现以下步骤：

所述用户终端生成设备侧IOT设备鉴权密钥时采用第一密钥算法，所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用第二密钥算法，所述第一密钥算法和所述第二密钥算法相同。

在一实施例中，所述密钥参数为IOT设备密钥分散参数；所述第一密钥算法和所述第二密钥算法均为密钥分散算法。

在一实施例中，所述标识信息为国际移动用户识别码。

向所述用户签约认证管理单元发送IOT设备凭证删除请求信息，以使所述用户签约认证管理单元删除所述网络侧IOT设备凭证；以及

向所述IOT设备发送删除指令，以使所述IOT设备删除所述设备侧IOT设备凭证。

实施例六

如图6所示，本公开实施例提供一种用户签约认证管理单元，所述单元包括第二存储器610和第二处理器620；所述第二存储器610存储有应用于所述用户签约认证管理单元的IOT设备凭证分发方法的计算机程序，所述第二处理器620执行所述计算机程序以实现以下步骤：

接收用户终端发送的IOT设备凭证请求信息；

根据所述IOT设备凭证请求信息，生成网络侧IOT设备凭证。

在一实施例中，所述第二处理器620执行所述计算机程序还实现以下步骤：

在一实施例中，所述凭证生成参数包括密钥参数和IOT设备的标识信息。

在一实施例中，所述IOT设备凭证请求信息携带用户身份信息和IOT设备身份信息。

根据所述IOT设备身份信息生成所述标识信息和所述密钥参数；

根据所述用户身份信息获得所述用户终端的用户鉴权密钥，根据所述密钥参数和所述户鉴权密钥生成网络侧IOT设备鉴权密钥；所述IOT设备的标识信息和所述网络侧IOT设备鉴权密钥构成所述网络侧IOT设备凭证。

在一实施例中，所述标识信息为国际移动用户识别码。

接收所述用户终端发送的IOT设备凭证删除请求信息；

简述实施例五和实施例六的实现原理。

1，用户通过UE与IOT设备之间的通信连接对IOT设备进行管理。UE与IOT设备之间的通信连接包括一种或多种短距离无线通信连接和其他方式的有线连接。当用户要启用IOT设备时，用户通过UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息。IOT设备凭证请求信息中包括用户身份信息和IOT设备身份信息。在IOT凭证请求信息中，可以包含一个或多个IOT设备身份信息。

2，用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息，生成对应的IMSI和IOT设备密钥分散参数。

在本公开实施例中，用户签约认证管理实体和UE预配置相同的用于生成IOT设备鉴权密钥的密钥分散算法。

3，用户签约认证管理实体根据收到的用户身份信息，获取用户身份信息对应的用户鉴权密钥。用户签约认证管理实体使用IOT设备密钥分散参数和用户鉴权密钥生成IOT设备IMSI对应的网络侧IOT设备鉴权密钥。用户签约认证管理实体保存用户身份信息、IOT设备身份信息和其对应的IMSI及网络侧IOT设备鉴权密钥。

4，用户签约认证管理实体将IOT设备身份信息及其对应的IOT设备IMSI信息和IOT设备密钥分散参数信息发送给UE。

在一实施例中，网络侧IOT设备凭证包括：IOT设备身份信息、IOT设备IMSI信息、以及IOT设备密钥分散参数信息。

5，UE收到IOT设备IMSI和IOT设备密钥分散参数后，使用收到的IOT设备IMSI对应的IOT设备密钥分散参数和UE鉴权密钥生成IOT设备IMSI对应的设备侧IOT设备鉴权密钥。并根据IOT设备信息，通过UE与IOT设备之间的通信连接，将IOT设备IMSI和设备侧IOT设备鉴权密钥构成的凭证信息发送给IOT设备。

6，IOT设备收到凭证后保存并启用凭证，附着到5G系统，在附着过程中基于凭证与5G系统进行AKA认证。

7，当用户不再使用IOT设备时，用户通过UE向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息，凭证删除请求信息包括用户身份信息和IOT设备的身份信息。

8，用户签约管理实体根据收到的凭证删除请求信息，删除用户身份信息和IOT设备身份信息对应的IOT设备IMSI和IOT设备鉴权密钥K。

9，用户签约管理实体向用户设备反馈删除完成确认信息。

实施例七

本公开实施例提供了一种IOT设备，所述IOT设备包括：

第三接收模块，设置为接收用户终端发送的IOT设备凭证信息。

第二存储管理模块，设置为存储、维护和启用IOT设备凭证信息。

实施例八

本实施例提供一种IOT设备凭证分发的系统，所述系统包括：上述实施例中的UE设备、用户签约管理单元和IOT设备。

实施例九

本公开实施例提供一种计算机可读存储介质，所述介质存储有应用于用户终端的IOT设备凭证分发方法的计算机程序；

当所述应用于用户终端的IOT设备凭证分发方法的计算机程序被至少一个用户终端侧的处理器执行时，以实现实施例一中的方法。

当所述应用于用户签约认证管理单元的IOT设备凭证分发方法的计算机程序被至少一个用户签约认证管理单元的处理器执行时，以实现实施例二中的方法。

本公开实施例中计算机可读存储介质可以是随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read-Only Memory，ROM)、可擦写可编程只读存储器(Erasable Programmable Read-Only Memory，EPROM)、带电可擦可编程只读存储器(Electrically Erasable Programmable Read Only Memory，EEPROM)存储器、寄存器、硬盘、移动硬盘、光盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)或者本领域已知的任何其他形式的存储介质。可以将一种存储介质藕接至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息；或者该存储介质可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路中。

Claims

一种物联网IOT设备凭证分发方法，所述方法应用于用户终端，包括：

向用户签约认证管理单元发送IOT设备凭证请求信息，以使所述用户签约认证管理单元根据所述IOT设备凭证请求信息生成IOT设备的网络侧IOT设备凭证；

接收所述用户签约认证管理单元发送的所述网络侧IOT设备凭证，并根据所述网络侧IOT设备凭证生成所述IOT设备的设备侧IOT设备凭证；

将所述设备侧IOT设备凭证发送给所述IOT设备；

其中，所述IOT设备与所述用户终端通信连接。
如权利要求1所述的方法，其中，所述接收所述用户签约认证管理单元发送的所述网络侧IOT设备凭证，并根据所述网络侧IOT设备凭证生成所述IOT设备的设备侧IOT设备凭证，包括：

从所述用户签约认证管理单元发送的所述网络侧IOT设备凭证中获取凭证生成参数；

根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证。
如权利要求2所述的方法，其中，所述凭证生成参数包括：密钥参数和所述IOT设备的标识信息。
如权利要求3所述的方法，其中，所述根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证，包括：

根据所述密钥参数和所述用户终端的用户鉴权密钥，生成设备侧IOT设备鉴权密钥；

根据所述IOT设备的标识信息和所述设备侧IOT设备鉴权密钥构成所述设备侧IOT设备凭证。
如权利要求3所述的方法，其中，所述网络侧IOT设备凭证包括所述IOT设备的标识信息和网络侧IOT设备鉴权密钥。
如权利要求5所述的方法，其中：

所述用户终端生成设备侧IOT设备鉴权密钥时采用第一密钥算法，所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用第二密钥算法，所述第一密钥算法和所述第二密钥算法相同。
如权利要求6所述的方法，其中，所述密钥参数为IOT设备密钥分散参数；所述第一密钥算法和所述第二密钥算法均为密钥分散算法。
如权利要求5所述的方法，其中，所述向用户签约认证管理单元发送IOT设备凭证请求信息，以使所述用户签约认证管理单元根据所述IOT设备凭证请求信息生成IOT设备的网络侧IOT设备凭证，包括：

向用户签约认证管理单元发送携带用户身份信息和IOT设备身份信息的IOT设备凭证请求信息，以使所述用户签约认证管理单元根据所述IOT设备身份信息生成所述IOT设备的标识信息和所述密钥参数，以及根据所述用户身份信息获得用户鉴权密钥；

根据所述密钥参数和所述用户鉴权密钥生成所述网络侧IOT设备鉴权密钥。
如权利要求3-8中任一项所述的方法，其中，所述IOT设备的标识信息为国际移动用户识别码。
如权利要求1-9中任一项所述的方法，还包括：

向所述用户签约认证管理单元发送IOT设备凭证删除请求信息；以及

向所述IOT设备发送删除指令。
一种物联网IOT设备凭证分发方法，所述方法应用于用户签约认证管理单元，包括：

接收用户终端发送的IOT设备凭证请求信息；

根据所述IOT设备凭证请求信息，生成网络侧IOT设备凭证。
如权利要求11所述的方法，还包括：

向所述用户终端发送所述网络侧IOT设备凭证，以使所述用户终端根据所述网络侧IOT设备凭证生成IOT设备的设备侧IOT设备凭证；

其中，所述网络侧IOT设备凭证包括凭证生成参数；所述IOT设备与所述用户终端通信连接。
如权利要求12所述的方法，其中，所述凭证生成参数包括密钥参数和IOT设备的标识信息。
如权利要求13所述的方法，其中，所述IOT设备凭证请求信息携带用户身份信息和IOT设备身份信息；

所述根据所述IOT设备凭证请求信息，生成网络侧IOT设备凭证，包括：

根据所述IOT设备身份信息生成所述IOT设备的标识信息和所述密钥参数；

根据所述用户身份信息获得所述用户终端的用户鉴权密钥；

根据所述密钥参数和所述用户鉴权密钥生成网络侧IOT设备鉴权密钥；

根据所述IOT设备的标识信息和所述网络侧IOT设备鉴权密钥构成所述网络侧IOT设备凭证。
如权利要求14所述的方法，其中，所述设备侧IOT设备凭证包括所述IOT设备的标识信息和设备侧IOT设备鉴权密钥。
如权利要求15所述的方法，其中：

所述用户终端生成所述设备侧IOT设备鉴权密钥时采用第一密钥算法，所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用第二密钥算法，所述第一密钥算法和所述第二密钥算法相同。
如权利要求13-16所述的方法，其特征在于，所述IOT设备的标识信息为国际移动用户识别码。
如权利要求11-17任一项所述的方法，还包括：

接收所述用户终端发送的IOT设备凭证删除请求信息；

根据所述IOT设备凭证删除请求信息删除所述网络侧IOT设备凭证。
一种用户终端，所述用户终端包括第一存储器和第一处理器；所述第一存储器存储有应用于所述用户终端的物联网IOT设备凭证分发方法的计算机程序，所述第一处理器执行所述计算机程序以实现如权利要求1-10任一项所述的方法。
一种用户签约认证管理单元，所述用户签约认证管理单元包括第二存储器和第二处理器；所述第二存储器存储有应用于所述用户签约认证管理单元的物联网IOT设备凭证分发方法的计算机程序，所述第二处理器执行所述计算机程序以实现如权利要求11-18任一项所述的方法。
一种计算机可读存储介质，所述介质存储有应用于用户终端的物联网IOT设备凭证分发方法的计算机程序；

当所述应用于用户终端的IOT设备凭证分发方法的计算机程序被至少一个用户终端侧的处理器执行时，以实现如权利要求1-10任一项所述的方法。
一种计算机可读存储介质，所述介质存储有应用于用户签约认证管理单元的IOT设备凭证分发方法的计算机程序；

当所述应用于用户签约认证管理单元的IOT设备凭证分发方法的计算机程序被至少一个用户签约认证管理单元的处理器执行时，以实现如权利要求11-18任一项所述的方法。