技术摘要：
呈现了用于通信设备(300)的简档处理的机制。一种方法由代理设备(200)的本地简档助理(200a)执行。方法包括获得通信设备(300)的简档处理的指示。方法包括建立与通信设备的本地简档助理的第一安全通信链路。方法包括建立与通信设备的订阅管理实体(430)的第二安全通信链路  全部
背景技术：
在通信网络中，对于给定的通信协议、其参数和在其中部署通信网络的物理环境， 要获得良好的性能和容量可能存在挑战。 例如，在通信网络中为给定的通信协议提供良好的性能和容量的一个参数是安 全。一般来说，需要适当的安全机制来防止连接设备的误用。作为非限制性的说明性示例， 针对流行网站的分布式拒绝服务(DDoS)攻击可能利用受保护较差的连接设备，例如运行互 联网协议(IP)的摄像机、路由器、运行互联网协议的数字录像机等。 连接设备也可能被委托有需要被保护以防止未授权的访问的有价值的、敏感的或 私有的数据。身份管理是安全和设备生命周期管理的核心部分。为了与其他连接设备或服 务建立安全通信，连接设备一般需要一个身份，以便能够向网络中的对端来标识和认证其 自身。当连接到网络时，这在连接层是需要的，并且当连接到网络的服务时，在应用层是需 要的。安全通信保护了传感器数据或用于致动器的控制数据，但也需要将身份供应到连接 设备和对连接设备进行安全配置，包括安全固件更新。身份也是访问控制机制的基础，该访 问控制机制控制谁可以访问连接设备的资源，包括谁可以将附加的身份供应到连接设备。 在图1中图示出了通信网络100的简化框图。由连接提供商网络120的诸如网络网 关(GW)或接入点(AP)之类的网络节点110向连接设备120提供网络访问。连接提供商网络 120还包括可以是认证、授权和计费(AAA)服务器的认证服务器130。用于连接的订户信息可 以存储在认证服务器130中，或者可以存储在独立的网络实体中，该独立的网络实体可以是 归属订户服务器(HSS)140，并且该独立的网络实体还提供以供认证服务器130使用的认证 材料。连接提供商网络120又可操作地连接到诸如互联网之类的服务网络150，该服务网络 150可能包括可以是数据服务器(DS)的至少一个第二通信设备180。服务网络150还可操作 地连接到企业网络160。企业网络160包括管理服务器(MS)170，还可能包括可以是DS的至少 一个第二通信设备180。 作为示例，连接设备120可以属于企业网络160的企业，并且被配置成将传感器数 据(或其他类型的数据)提供到位于企业网络160或服务网络150中的一个或多个第二通信 设备180。企业通过管理服务器170来管理连接设备120。管理包括将身份和凭证提供到连接 设备120和与连接设备120通信的第二通信设备180，使得能够建立安全通信。连接提供商网 络120也可以部分地或全部由企业提供。 所谓的3GPP身份技术(其中3GPP是第三代合作伙伴计划的缩写)是一种经过充分 证明的身份技术，其可以用作受限设备的身份技术，不仅用于受限设备访问蜂窝网络，还用 于其它受限设备访问诸如WiFi之类的非蜂窝网络。3GPP认证和密钥协商(AKA)协议对于底 层网络是不可知的，并且可以例如使用EAP-AKA在可扩展认证协议(EAP)中隧道传输。EAP是 7 CN 111602417 A 说　明　书 2/18 页 作为网络附接的一部分的一种常用的认证和密钥协商协议，例如用于WiFi网络访问。使用 EAP-AKA允许使用(例如企业的)现有安全基础设施，该安全基础设施可以容易地与移动网 络运营商(MNO)的认证系统(例如HSS)集成。 对于当今的手机，将订阅从一个移动网络运营商改变为另一移动网络运营商，主 要是通过用新的移动网络运营商的新的UICC/SIM卡物理地替换现有通用集成电路卡 (UICC)或订户身份模块或订户标识模块(SIM)卡来完成的。对于安装在远程的位置和难以 到达的地点的受限设备，派遣维护人员进行此类操作是一项高成本的操作，并且对于一些 受限设备(例如密封受限设备)甚至是不可能的。相反，需要一种从远程安全地更新/改变订 阅的方式。 所谓的嵌入式UICC(eUICC)是集成到设备中的专用UICC芯片，即它是不可移除的。 然而，与此同时，提供了对eUICC和存储在其上的订阅的远程管理，使得用户或设备所有者 可以改变他们的设备的订阅，并且将新的订阅数据远程地供应到eUICC上。GSMA(GSM协会， 其中GSM是全球移动通信系统的缩写)已指定了这样的远程SIM供应协议的两种变体；一种 用于消费者类型的设备，并且另一种用于机器对机器(M2M)类型的设备。对于消费者变体， 终端用户控制简档之间的切换，而不是如在M2M变体中的操作者/远程供应服务器控制简档 之间的切换。 然而，对于受限设备，即使使用嵌入式UICC也可能给设备增加不合理的成本。UICC 演进的下一阶段是集成UICC(iUICC)，其中UICC被集成在调制解调器/应用处理器的片上系 统中。iUICC至今没有确切的定义。在一些方面，具有自己的专用存储器和外围设备的专用 中央处理器(CPU)内核可以构成iUICC。可替代地，iUICC可以使用诸如ARM信任区或英特尔 SGX之类的硬件隔离机制来实现。 在图2中示出了在GSMA消费者变体中用于连接管理的架构400的概览。在本文中， 拥有和/或使用设备的终端用户410可以从MNO  420预订新的简档下载。MNO  420准备了用于 简档下载的简档供应服务器SM-DP 430(增强型订阅管理器数据准备的缩写)。终端用户410 经由用户接口经由设备中可用的本地简档助理(LPAd)来触发简档下载(和简档的切换)。 LPAd包括本地发现(LDSd)实体、本地简档下载(LPDd)实体和本地用户接口(LUId)实体。后 缀d指示实体是通信设备120的一部分。eUICC/iUICC制造商(EUM)460是制造eUICC/iUICC的 实体。iUICC的制造商通常是设备制造商。证书发行者(CI)450是在简档下载和其他操作中 使用的证书的发行者。操作接口被示出为连接实体120-460的方向箭头。例如，ES9 是SM-DP 430和通信设备120中的LPAd/LPDd之间的接口，并且ES10b是LPAd/LPDd和eUICC/iUICC之 间的接口，而ES8 是SM-DP 430和通信设备120中的eUICC/iUICC之间的接口。 图3是简档下载到设备120的信令图。为保护简档下载，在eUICC/iUICC和SM-DP 430之间以及LPAd和SM-DP 430之间建立了安全通信。 对受限设备使用GSMA消费者变体带来的问题是，许多受限设备不具有用于与终端 用户/设备所有者410通信的用户接口。相反，受限设备经由管理服务器(MS)使用诸如轻量 级M2M(LwM2M)之类的专用管理协议来管理和配置。GSMA  RSP定义了配套设备和主设备的构 思，其中配套设备是在简档供应和本地简档管理期间依靠主设备进行连接和用户接口的设 备。为了保护简档管理操作，在配套设备和主设备之间强制进行安全通信，并且HTTPS(HTTP 安全的缩写，其中HTTP是超文本传输协议的缩写)可以用于安全通信。 8 CN 111602417 A 说　明　书 3/18 页 然而，受限设备可能不支持使用HTTPS。相反，所谓的受限应用协议(CoAP)通常被 用作应用协议。除配套设备和主设备之间的安全通信之外，消费者变体还将HTTPS连接标准 化，以确保LPAd与SM-DP 430的通信安全。除了已经存在的用于与应用服务器通信的协议之 外，在受限设备中引入对HTTPS的支持还需要受限设备中的更多内存。 因此，仍然需要对诸如受限设备之类的通信设备的简档的处理进行改进。
技术实现要素：
本文的实施例的目的是提供用于诸如受限设备之类的通信设备的简档的有效处 理。 根据第一方面，呈现了一种用于通信设备的简档处理的方法。方法由代理设备的 本地简档助理执行。方法包括获得处理通信设备的简档的指示。方法包括建立与通信设备 的本地简档助理的第一安全通信链路。方法包括建立与通信设备的订阅管理实体的第二安 全通信链路。方法包括接收与由通信设备的本地简档助理进行简档处理有关的信息，该信 息通过第二安全通信链路接收自订阅管理实体。方法包括通过第一安全通信链路将信息提 供到通信设备的本地简档助理。 根据第二方面，呈现了一种用于通信设备的简档处理的代理设备。代理设备包括 处理电路。处理电路被配置成使代理设备的本地简档助理获得处理通信设备的简档的指 示。处理电路被配置成使代理设备的本地简档助理建立与通信设备的本地简档助理的第一 安全通信链路。处理电路被配置成使代理设备的本地简档助理建立与通信设备的订阅管理 实体的第二安全通信链路。处理电路被配置成使代理设备的本地简档助理接收与由通信设 备的本地简档助理进行简档处理有关的信息，该信息通过第二安全通信链路接收自订阅管 理实体。处理电路被配置成使代理设备的本地简档助理通过第一安全通信链路将信息提供 到通信设备的本地简档助理。 根据第三方面，呈现了一种用于通信设备的简档处理的代理设备。代理设备包括 获得模块，该获得模块被配置成由代理设备中的本地简档助理获得处理通信设备的简档的 指示。代理设备包括建立模块，该建立模块被配置成由代理设备中的本地简档助理建立与 通信设备的本地简档助理的第一安全通信链路。代理设备包括建立模块，该建立模块被配 置成由代理设备中的本地简档助理建立与通信设备的订阅管理实体的第二安全通信链路。 代理设备包括接收模块，该接收模块被配置成由代理设备中的本地简档助理接收与由通信 设备的本地简档助理进行简档处理有关的信息，该信息通过第二安全通信链路接收自订阅 管理实体。代理设备包括提供模块，该提供模块被配置成由代理设备中的本地简档助理通 过第一安全通信链路将信息提供到通信设备的本地简档助理。 根据第四方面，呈现了一种用于通信设备的简档处理的计算机程序，该计算机程 序包括计算机程序代码，当该计算机程序代码在代理设备的处理电路上运行时，使代理设 备的本地简档助理执行根据第一方面的方法。 根据第五方面，呈现了一种用于通信设备的简档处理的方法。方法由通信设备执 行。方法包括建立与代理设备的本地简档助理的第一安全通信链路。方法包括接收与由通 信设备的本地简档助理进行简档处理有关的信息，该信息通过第一安全通信链路接收自代 理设备。 9 CN 111602417 A 说　明　书 4/18 页 根据第六方面，呈现了一种用于通信设备的简档处理的通信设备。通信设备包括 处理电路。处理电路被配置成使通信设备的本地简档助理建立与代理设备的本地简档助理 的第一安全通信链路。处理电路被配置成使通信设备的本地简档助理接收与由通信设备的 本地简档助理进行简档处理有关的信息，该信息通过第一安全通信链路接收自代理设备。 根据第七方面，呈现了一种用于通信设备的简档处理的通信设备。通信设备包括 建立模块，该建立模块被配置成由通信设备中的本地简档助理建立与代理设备的本地简档 助理的第一安全通信链路。通信设备包括接收模块，该接收模块被配置成由通信设备中的 本地简档助理接收与由通信设备的本地简档助理进行简档处理有关的信息，该信息通过第 一安全通信链路接收自代理设备。 根据第八方面，呈现了一种用于通信设备的简档处理的计算机程序，计算机程序 包括计算机程序代码，当该计算机程序代码在通信设备的处理电路运行时，使通信设备的 本地简档助理执行根据第五方面的方法。 根据第九方面，呈现了一种计算机程序产品，包括根据第四方面和第八方面中的 至少一个的计算机程序以及在其上存储计算机程序的计算机可读存储介质。计算机可读存 储介质可以是非暂存计算机可读存储介质。 有利地，这些方法、代理设备、通信设备以及计算机程序为诸如受限设备之类的通 信设备提供了有效的简档处理。 从下面的详细公开、所附的从属权利要求以及附图，所附实施例的其他目的、特征 和优点将变得显而易见。 通常，除非本文另外明确定义，否则将根据其在技术领域中的普通含义来解释权 利要求中使用的所有术语。除非另外明确指出，否则对“一/一个/该元件、装置、组件、手段、 模块、步骤等”的所有引用应当公开地解释为指代该元件、装置、组件、手段、模块、步骤等的 至少一个实例。除非明确指出，否则不必以所公开的确切顺序执行本文公开的任何方法的 步骤。 附图说明 现在参考附图通过示例的方式描述本发明构思，其中： 图1是图示出了根据实施例的通信网络的示意性图； 图2是用于连接管理的架构的示意性图示； 图3是信令图； 图4和图5是根据实施例的方法的流程图； 图6是根据实施例的用于连接管理的架构的示意性图示； 图7和图8是根据实施例的信令图； 图9是示出了根据实施例的代理设备的功能单元的示意性图； 图10是示出了根据实施例的代理设备的功能模块的示意性图； 图11是示出了根据实施例的通信设备的功能单元的示意性图； 图12是示出了根据实施例的通信设备的功能模块的示意性图；以及 图13示出了根据实施例的包括计算机可读装置的计算机程序产品的一个示例。 10 CN 111602417 A 说　明　书 5/18 页