提供網絡證書的制作方法
【技術領域】
[0001]本發明涉及向通信設備提供使該通信設備能夠訪問由網絡運營商提供的通信資源的網絡證書。
【背景技術】
[0002]用戶身份模塊(SM)用于存儲用于在通信網絡中標識和認證用戶設備的信息。通常，SIM是嵌入到被稱為S頂卡的卡片中的集成電路(或“芯片”)。SIM卡常常是可拆卸的，使得用戶可以在不同的用戶設備中使用它，并且仍然能夠對網絡標識。SIM卡通常用在如移動電話、智能電話、平板電腦等移動設備中。
[0003]移動網絡運營商傾向于使用S頂卡來控制對他們的網絡的接入，并提供通過網絡進行安全通信的基礎。希望訪問由網絡運營商提供的服務的用戶可以從網絡運營商購買S頂卡。如果用戶希望改變他們使用的網絡運營商，則他們通常需要從新網絡運營商購買新S頂卡。在某些情況下，如果多個網絡運營商相互具有漫游設置，則用戶可以獲取除來自發行他們的S頂卡的運營商之外的其它網絡運營商的服務。
[0004]正變得日益期望的是機器能夠彼此通信以能夠機器對機器(M2M)通信。這種網絡的一個示例是所謂的“物聯網”。網絡內的每個機器優選地是唯一可標識的。為了允許通信終端大量部署在“物”的廣闊陣列內，期望每個終端(包括整個端點無線模塊)的成本是盡可能地低的。對低成本的終端的關注可以是可在各終端內使用現有風格的S頂卡的障礙。
[0005]降低終端成本的一個選項是將S頂卡嵌入到終端中使得S頂不再處于可移除卡的形式。這種方案的示例是由GSM協會(GSMA)開發的嵌入式通用集成電路卡(eUICC)。這種方案可以減少終端的成本；然而，這還沒有得到成本降低到適合例如實現物聯網而需要的超低價終端。
[0006]另一種方案是在軟件中模擬S頂芯片的功能。這種方法有可能導致成本適當降低的且安全的系統，但仍存在很多問題導致其難以獲得廣泛接受。例如，模擬現今S頂卡全部功能仍然存在困難，因為現有的S頂芯片提供了比僅為了安全功能而所需的功能明顯更大的功能性的水平。此外，困難可能出現在管理網絡服務的遠程配置上。例如，eUICC需要初始承載細節在制造時被安裝在每個終端上，這將使制造過程復雜并減少了終端所有者的靈活性。進一步地，因為在終端內在軟件中模擬S頂芯片，所以由于硬件制造商(例如終端制造商)和網絡運營商之間的隱含的商業和/或技術的鏈接，網絡服務的分級管理和遠程配置存在困難。因此，需要向通信終端提供網絡證書的的改進的方案。

【發明內容】

[0007]根據本公開，提供了一種向通信設備提供網絡證書的方法，使得其能夠訪問由網絡運營商提供的資源，該方法包括以下步驟:在所述通信設備中存儲(i)與該通信設備相關聯的標識的指示和(ii)與供給代理相關聯的標識的指示；從所述通信設備向該通信網絡發送用于標識所述通信設備和所述供給代理的注冊請求；該供給代理響應于所述注冊請求而提供網絡證書，使得所述通信設備訪問由該網絡運營商提供的通信資源；以及從所述通信網絡向所述通信設備發送所述網絡證書。
[0008]所述方法可以包括存儲所述通信設備的公鑰作為與所述通信設備相關聯的標識。
[0009]所述方法可以進一步包括所述供給代理使用所述通信設備的公鑰對所述網絡證書加密。
[0010]所述方法可以包括在所述通信設備上存儲所述通信設備的私鑰。
[0011]所述方法可以包括存儲所述供給代理的公鑰作為與所述供給代理相關聯的標識的指示。
[0012]所述方法可以包括在所述供給代理上存儲所述供給代理的私鑰。
[0013]所述方法可以包括所述通信設備和所述供給代理建立所述通信設備和所述供給代理之間的安全通信通道，并且所述供給代理通過所述安全通信通道發送所述網絡證書。
[0014]所述方法可以進一步包括所述通信設備對其標識的指示應用單向數學函數，以生成所述通信設備的標識符以包含在所述注冊請求中。
[0015]所述方法還可以包括所述通信設備使用所述供給代理的公鑰對所述通信設備的標識符加密以包含在所述注冊請求中。
[0016]所述方法可以進一步包括所述通信設備對與所述供給代理相關聯的標識的指示應用單向數學函數，以生成所述供給代理的標識符以包含在所述注冊請求中。
[0017]所述方法可以包括所述供給代理響應于來自不是由所述網絡運營商運營的通信網絡的請求而提供證書。
[0018]所述方法可以進一步包括，所述供給代理根據包含在所述注冊請求中的所述通信設備的標識符，標識出所述通信設備被允許訪問通信資源的一個或更多個網絡運營商。
[0019]所述方法可以包括當沒有網絡證書存儲在所述通信設備時，所述通信設備發送所述注冊請求。
[0020]所述方法可以包括存儲與所述通信設備相關聯的標識和與所述供給代理相關聯的標識以形成軟用戶身份模塊SIM。
[0021]根據本發明的第二個方面，提供了一種通信設備，包括:存儲器，該存儲器存儲
(i)與所述通信設備相關聯的標識的指示和(ii)與供給代理相關聯的標識的指示；通信單元，該通信單元被構造成向通信網絡發送標識所述通信設備和所述供給代理的注冊請求；以及供給單元，該供給單元被構造成響應于所述注冊請求存儲從所訴通信網絡接收到的網絡證書，然后使用所述網絡證書訪問與那些網絡證書相關聯的網絡運營商的通信資源。
[0022]所述存儲器可以被構造成存儲所述通信裝置的公鑰作為與所述通信設備相關聯的標識的指示。
[0023]所述存儲器可以被構造成存儲所述通信裝置的私鑰。
[0024]所述存儲器可以被構造成存儲所述供給代理的公鑰作為與所述供給代理相關聯的標識的指示。
[0025]所述通信設備可以包括加密單元，該加密單元被構造成使用該供給代理的公鑰對所述供給代理的通信加密。
[0026]所述通信設備可以包括加密單元，該加密單元被構造成使用所述通信設備的私鑰對來自所述供給代理的通信解密。
[0027]所述通信設備可以包括加密單元，該加密單元被構造成建立與所述供給代理的安全通信通道。
[0028]所述通信設備可以包括加密單元，該加密單元被構造成對存儲在所述存儲器中的與所述通信設備相關聯的標識應用單向數學函數，以生成所述通信設備的標識符以包含在所述注冊請求中。
[0029]所述加密單元可以被構造成，使用所述供給代理的公鑰對所述通信設備的標識符加密以包含在所述注冊請求中。
[0030]所述加密單元可以被構造成對存儲在所述存儲器中的與所述供給單元相關聯的標識應用單向數學函數，以生成所述供給單元的標識符以包含在所述注冊請求中。
[0031]所述通信設備可以被構造成當沒有網絡證書存儲在所述通信設備上時發送所述注冊請求。
[0032]所述存儲器可以存儲與所述通信設備相關聯的標識和與所述供給代理相關聯的標識的指示，以形成軟用戶身份模塊(SIM)。
[0033]所述通信設備可以被構造成在一次性可編程存儲器中存儲(i)與所述通信設備相關聯的標識的指示(ii)與供給代理相關聯的標識。
[0034]所述通信設備可以被構造成，在非一次性可編程存儲器中存儲證書和/或從與所述通信設備和所述供給單元相關聯的標識的指示導出的標識符。
[0035]根據本發明的第三方面，提供了一種供給代理，該供給代理用于向通信設備提供網絡證書，使得該通信設備能夠訪問由網絡運營商提供的通信資源，該供給代理包括:客戶端接口，該客戶端接口被構造成從與一個或更多個通信設備相關聯的客戶端接收一個或更多個網絡運營商的指示，所述通信設備能夠從所述一個或更多個網絡運營商訪問通信資源；數據庫，該數據庫被構造