本發(fā)明涉及用于在無線電通信網(wǎng)絡(luò)中配置終端設(shè)備的方法和系統(tǒng)，其中當(dāng)終端設(shè)備初始連接到無線電通信網(wǎng)絡(luò)時(shí)交換特定數(shù)據(jù)。

背景技術(shù)：

1、未來，基于5g的移動(dòng)無線電網(wǎng)絡(luò)還將用在工業(yè)網(wǎng)絡(luò)，例如工廠的工業(yè)網(wǎng)絡(luò)中或用在廠區(qū)/園區(qū)網(wǎng)絡(luò)中。為了從電信角度支持這種新的部署場景，已經(jīng)標(biāo)準(zhǔn)化了專用的安全方法。這些安全方法可以用作基于sim卡(usim/uicc)的解決方案的替代或補(bǔ)充。

2、但是，為此必須在移動(dòng)設(shè)備(也稱為ue或工業(yè)5g設(shè)備)上設(shè)置(配置，provisioning)所需的憑證。由于工業(yè)環(huán)境中使用不同的用于“憑證配置”的協(xié)議和方法，因此為工業(yè)應(yīng)用情況標(biāo)準(zhǔn)化單個(gè)或?qū)Ｓ门渲梅椒ㄊ菦]有意義的。

3、3gpp?ts23.501，第5.30.2.10節(jié)onboarding?of?ues?for?snpns(snpn的ue引導(dǎo))指定了對憑證配置的網(wǎng)絡(luò)支持。在該文獻(xiàn)中，配置通過用戶平面進(jìn)行。在該文獻(xiàn)中描述了如何使ue獲得配置服務(wù)器pvs的地址(在建立pdp上下文時(shí)通過發(fā)現(xiàn)過程預(yù)先配置)的不同方式。

4、還已知通過所謂的指紋值(public?key?finger-print，公鑰指紋)來識別公鑰，例如在https://en.wikipedia.org/wiki/public_key_fingerprint下所描述的。在該文獻(xiàn)中，用戶可以通過用預(yù)期值檢驗(yàn)該用戶使用的公鑰指紋來手動(dòng)認(rèn)證通信伙伴，而為此無需數(shù)字證書(例如根據(jù)x.509)。該方案例如得到了協(xié)議ssh(secure?shelll，安全外殼)的支持。

5、還已知subjectkeyidentifier(主體密鑰標(biāo)識符，skid，也參見https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2)作為x.509證書的擴(kuò)展。subjectkeyidentifier包含公鑰的哈希，從而在為同一密鑰對更新證書時(shí)該值不會(huì)改變。

6、諸如est(rfc?7030)、cmp(rfc?4210)、cmc(rfc?5272)、scep(rfc?8894)的注冊協(xié)議也是已知的，這些注冊協(xié)議使得能夠在認(rèn)證請求中請求要由請求人占用的字段(屬性)。在此可以提供證書模板或各個(gè)字段(屬性)。

7、最后，還從cmp更新草案(https://www.ietf.org/archive/id/draft-ietf-lamps-cmp-updates-13.html#name-new-section-531916-certific)已知提供用于預(yù)先占用認(rèn)證請求的值。在此情況下使得能夠請求應(yīng)包含在認(rèn)證請求(certreqtemplatecontent)中的字段(屬性)的值。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的任務(wù)是說明一種與現(xiàn)有技術(shù)相比改進(jìn)并簡化無線電通信網(wǎng)絡(luò)(也簡稱為“無線電網(wǎng)絡(luò)”)中，特別是在工業(yè)應(yīng)用上下文中使用的移動(dòng)無線電網(wǎng)絡(luò)(例如5g)中終端設(shè)備的配置的解決方案。

2、本發(fā)明由獨(dú)立權(quán)利要求的特征得出。有利的擴(kuò)展和設(shè)計(jì)是從屬權(quán)利要求的主題。本發(fā)明的進(jìn)一步的特征、應(yīng)用可能和優(yōu)點(diǎn)由以下描述得出。

3、配置(provisioning)的基本問題在于必須還首先設(shè)置客戶端(ue，終端設(shè)備)上的配置。例如在3gpp中，指定了使ue知道配置服務(wù)器pvs的地址的解決方案。然而，在此配置過程本身也必須受到保護(hù)。為此已知可以使用5g中可用的用戶平面保護(hù)方法。然而，這些方法并不能端到端地保護(hù)與配置服務(wù)器的通信，并且保護(hù)是在5g網(wǎng)絡(luò)的控制下，然而也可以獨(dú)立管理和運(yùn)行pvs(例如在車間層面)。

4、因此在本發(fā)明的一個(gè)方面中，提出在連接到無線電通信網(wǎng)絡(luò)時(shí)(例如在向移動(dòng)電話網(wǎng)絡(luò)/wlan網(wǎng)絡(luò)注冊/關(guān)聯(lián)時(shí)或在建立數(shù)據(jù)傳輸會(huì)話/pdp上下文時(shí))向客戶端(這里：終端設(shè)備)除了提供配置服務(wù)器的地址之外還提供用于認(rèn)證配置服務(wù)器的密碼信息(例如公鑰或subjectkeyidentifier(skid)或配置服務(wù)器的證書，或根據(jù)該證書形成的校驗(yàn)值，特別是密碼哈希值)。

5、這使得終端設(shè)備能夠?qū)ε渲梅?wù)器進(jìn)行認(rèn)證，而在終端設(shè)備上無需為此預(yù)先存在匹配的校驗(yàn)憑證。這在封閉環(huán)境中(例如在ot工廠網(wǎng)絡(luò)、企業(yè)網(wǎng)絡(luò)、非公共5g網(wǎng)絡(luò)或園區(qū)網(wǎng)絡(luò)中)進(jìn)行配置時(shí)特別有利，因?yàn)樵谀抢餂]有使用公共的全球pki基礎(chǔ)設(shè)施(ot＝operationaltechnology，即運(yùn)行技術(shù))。

6、本發(fā)明要求保護(hù)一種用于在無線電通信網(wǎng)絡(luò)中配置終端設(shè)備的方法，其中當(dāng)終端設(shè)備初始連接到無線電通信網(wǎng)絡(luò)時(shí)由無線電通信網(wǎng)絡(luò)向終端設(shè)備提供

7、-配置服務(wù)器的網(wǎng)絡(luò)地址，以及

8、-用于認(rèn)證配置服務(wù)器的密碼信息。

9、“初始連接”例如在3ggp中向移動(dòng)設(shè)備(＝終端設(shè)備)發(fā)信號通知這是引導(dǎo)網(wǎng)絡(luò)接入，“初始”不一定意味著“第一次”，但也可以意味著“第一次”。

10、本發(fā)明的優(yōu)點(diǎn)在于(工業(yè))iot設(shè)備/5g設(shè)備的配置可以更好地自動(dòng)化。自動(dòng)化的配置還可以特別是在應(yīng)用不同配置協(xié)議的不同工業(yè)環(huán)境中進(jìn)行。

11、無需專門為5g設(shè)備適配ot安全基礎(chǔ)設(shè)施以進(jìn)行自動(dòng)化配置。能夠?qū)崿F(xiàn)密碼保護(hù)的配置而無需配置服務(wù)器使用全球公共pki基礎(chǔ)設(shè)施的數(shù)字證書對自身進(jìn)行認(rèn)證。由此特別是在封閉的ot/企業(yè)網(wǎng)絡(luò)中支持配置。甚至可以使用自簽名證書來對配置服務(wù)器進(jìn)行認(rèn)證。

12、在該方法的一種擴(kuò)展中，密碼信息可以具有配置服務(wù)器的公鑰、配置服務(wù)器的主體密鑰標(biāo)識符(subjectkeyidentifier，skid)、配置服務(wù)器的證書或者根據(jù)該證書形成的校驗(yàn)值，特別是密碼哈希值。

13、在該方法的一種擴(kuò)展中，可以在初始連接時(shí)通過無線電通信網(wǎng)絡(luò)向終端設(shè)備提供標(biāo)識符，其中該標(biāo)識符說明要使用哪種配置協(xié)議或哪種配置方法。

14、此外，可以在初始連接時(shí)通過無線電通信網(wǎng)絡(luò)向終端設(shè)備提供安全協(xié)議標(biāo)識符，其中該安全協(xié)議標(biāo)識符說明終端設(shè)備要使用哪種安全協(xié)議或者哪種安全方法來保護(hù)配置協(xié)議?？梢栽诔跏歼B接時(shí)向終端設(shè)備提供用于說明配置協(xié)議或配置方法的標(biāo)識符以及附加地還提供安全協(xié)議標(biāo)識符。安全協(xié)議標(biāo)識符可以說明安全協(xié)議，終端設(shè)備通過該安全協(xié)議借助于所提供的密碼信息對配置服務(wù)器進(jìn)行認(rèn)證。此外，可以在初始連接時(shí)通過無線電通信網(wǎng)絡(luò)向終端設(shè)備提供密碼算法標(biāo)識符，其中該密碼算法標(biāo)識符說明當(dāng)借助于由無線電通信網(wǎng)絡(luò)提供的密碼信息來認(rèn)證配置服務(wù)器時(shí)終端設(shè)備要使用哪種密碼算法。此外，可以通過無線電通信網(wǎng)絡(luò)的用戶平面保護(hù)方法或者替代的控制平面保護(hù)方法來對用于認(rèn)證配置服務(wù)器的密碼信息的提供進(jìn)行密碼保護(hù)。

15、在該方法的一種擴(kuò)展中，可以在初始連接時(shí)通過無線電通信網(wǎng)絡(luò)向終端設(shè)備提供配置參數(shù)，其中該配置參數(shù)說明終端設(shè)備應(yīng)當(dāng)如何將配置協(xié)議或配置方法適配于該終端設(shè)備的預(yù)給定應(yīng)用上下文。

16、在該方法的一種擴(kuò)展中，可以在初始連接時(shí)通過無線電通信網(wǎng)絡(luò)向終端設(shè)備提供第一信息，其中該第一信息說明終端設(shè)備要使用哪種認(rèn)證憑證或者哪種認(rèn)證方法來向配置服務(wù)器進(jìn)行認(rèn)證。

17、在該方法的一種擴(kuò)展中，可以在初始連接時(shí)通過無線電通信網(wǎng)絡(luò)向終端設(shè)備提供第二信息，其中該第二信息說明應(yīng)當(dāng)在終端設(shè)備中配置什么。

18、在該方法的一種擴(kuò)展中，可以在初始連接時(shí)通過無線電通信網(wǎng)絡(luò)向終端設(shè)備提供第三信息，其中該第三信息說明要如何執(zhí)行多個(gè)配置過程。例如，可以通知終端設(shè)備應(yīng)當(dāng)設(shè)置哪些憑證以及應(yīng)當(dāng)以何種順序設(shè)置這些憑證。

19、在該方法的一種擴(kuò)展中，無線電通信網(wǎng)絡(luò)可以是5g網(wǎng)絡(luò)并且終端設(shè)備可以初始連接到5g網(wǎng)絡(luò)的節(jié)點(diǎn)。

20、本發(fā)明還要求保護(hù)一種用于在無線電通信網(wǎng)絡(luò)中配置終端設(shè)備的系統(tǒng)，包括至少一個(gè)終端設(shè)備和無線電通信網(wǎng)絡(luò)，其中所述無線電網(wǎng)絡(luò)被設(shè)置為當(dāng)終端設(shè)備初始連接到無線電通信網(wǎng)絡(luò)時(shí)向終端設(shè)備提供

21、-配置服務(wù)器的網(wǎng)絡(luò)地址，以及

22、-用于認(rèn)證配置服務(wù)器的密碼信息。

23、在該系統(tǒng)的一種擴(kuò)展中，密碼信息可以具有配置服務(wù)器的公鑰、配置服務(wù)器的主體密鑰標(biāo)識符(subjectkeyidentifier，skid)、配置服務(wù)器的證書或者根據(jù)該證書形成的校驗(yàn)值，特別是密碼哈希值。

24、在該系統(tǒng)的一種擴(kuò)展中，無線電通信網(wǎng)絡(luò)可以被設(shè)置為在初始連接時(shí)向終端設(shè)備提供標(biāo)識符(＝identifier)，其中該標(biāo)識符說明要使用哪種配置協(xié)議或哪種配置方法。

25、在該系統(tǒng)的一種擴(kuò)展中，無線電通信網(wǎng)絡(luò)可以被設(shè)置為在初始連接時(shí)向終端設(shè)備提供配置參數(shù)，其中該配置參數(shù)說明終端設(shè)備應(yīng)當(dāng)如何將配置協(xié)議或配置方法適配于該終端設(shè)備的預(yù)給定應(yīng)用上下文。

26、在該系統(tǒng)的一種擴(kuò)展中，無線電通信網(wǎng)絡(luò)可以被設(shè)置為在初始連接時(shí)向終端設(shè)備提供第一信息，其中該第一信息說明終端設(shè)備要使用哪種認(rèn)證憑證或者哪種認(rèn)證方法來向配置服務(wù)器進(jìn)行認(rèn)證。

27、在該系統(tǒng)的一種擴(kuò)展中，無線電通信網(wǎng)絡(luò)可以被設(shè)置為在初始連接時(shí)向終端設(shè)備提供第二信息，其中該第二信息說明應(yīng)當(dāng)在終端設(shè)備中配置什么。

28、在該系統(tǒng)的一種擴(kuò)展中，無線電通信網(wǎng)絡(luò)可以被設(shè)置為在初始連接時(shí)向終端設(shè)備提供第三信息，其中該第三信息說明要如何執(zhí)行多個(gè)配置過程。

29、在該系統(tǒng)的一種擴(kuò)展中，無線電通信網(wǎng)絡(luò)可以是5g網(wǎng)絡(luò)，其中5g網(wǎng)絡(luò)具有節(jié)點(diǎn)，并且其中終端設(shè)備被設(shè)置為初始連接到該節(jié)點(diǎn)。

30、本發(fā)明的進(jìn)一步的特征和優(yōu)點(diǎn)可以從以下基于示意圖對實(shí)施例的解釋中看出。