CN114339688A - 用于ue与边缘数据网络的认证的装置和方法 - Google Patents

Abstract

本公开提供了用于UE与边缘数据网络的认证的装置和方法。一种用于UE的装置可以包括：RF接口电路；以及处理电路，该处理电路与RF接口电路耦合并被配置用于：建立与CN的PDU会话，以发起与ECS的二次认证；在二次认证成功完成之后，通过EDGE‑4接口执行UE中的EEC与ECS的服务配设过程；以及通过EDGE‑1接口建立EEC与EES之间的安全会话，以向EES认证EEC。

Description

用于UE与边缘数据网络的认证的装置和方法

技术领域

本公开的实施例总体涉及无线通信，并且具体地涉及用于用户设备(UE)与边缘数据网络(Edge Data Network,EDN)的认证的装置和方法。

背景技术

EDN是本地数据网络。EDN内包含一个或多个边缘应用服务器(Edge ApplicationServer,EAS)和边缘启用服务器(Edge Enabler Server,EES)。边缘配置服务器(EdgeConfiguration Server,ECS)提供与EES相关的配置，包括托管EES的EDN的详细信息。UE包含一个或多个应用客户端(Application Client,AC)和边缘启用客户端(Edge EnablerClient,EEC)。EAS、EES和ECS可以与3GPP核心网(CN)交互以启用边缘应用。

发明内容

本公开的一方面提供了一种用于用户设备UE的装置，包括：射频RF接口电路；以及处理电路，该处理电路与所述RF接口电路耦合并被配置用于：建立与核心网CN的协议数据单元PDU会话，以发起与边缘配置服务器ECS的二次认证；在所述二次认证成功完成之后，通过EDGE-4接口执行所述UE中的边缘启用客户端EEC与所述ECS的服务配设过程；以及通过EDGE-1接口建立所述EEC与边缘启用服务器EES之间的安全会话，以向所述EES认证所述EEC。

本公开的另一方面提供了一种在用户设备UE处执行的方法，包括：建立与核心网CN的协议数据单元PDU会话，以发起与边缘配置服务器ECS的二次认证；在所述二次认证成功完成之后，通过EDGE-4接口执行所述UE中的边缘启用客户端EEC与所述ECS的服务配设过程；以及通过EDGE-1接口建立所述EEC与边缘启用服务器EES之间的安全会话，以向所述EES认证所述EEC。

本公开的又一方面提供了一种存储有指令的计算机可读介质，其中，所述指令在由用户设备UE的处理电路执行时使得处理电路执行上述方法。

附图说明

在附图中，将通过示例而非限制的方式说明本公开的实施例，其中相同的参考标号指代相似的元件。

图1图示了根据本公开的各种实施例的用于启用边缘应用的示例架构。

图2图示了根据本公开的各种实施例的UE与EDN和3GPP CN的示例认证过程。

图3图示了根据本公开的各种实施例的UE与EDN的示例认证过程。

图4示出了根据本公开的各种实施例的示例网络。

图5示意性地示出了根据本公开的各种实施例的无线网络。

图6是示出根据一些示例实施例的能够从机器可读或者计算机可读介质(例如，非暂态机器可读存储介质)读取指令并且执行本文所论述的任何一种或多种方法的组件的框图。

具体实施方式

将使用本领域技术人员通常采用的术语来描述说明性实施例的各个方面，以将本公开的实质传达给本领域其他技术人员。然而，对于本领域技术人员易于理解的是，可以使用所描述方面的部分来实践许多替代实施例。出于解释的目的，阐述了具体的数字、材料和配置，以提供对说明性实施例的透彻理解。然而，对于本领域技术人员易于理解的是，可以在没有这些具体细节的情况下实践替代实施例。在其他情况下，可以省略或简化众所周知的特征，以避免模糊说明性实施例。

此外，各种操作将以最有助于理解说明性实施例的方式被描述为多个离散操作；然而，描述的顺序不应被解释为暗示这些操作必须依赖于顺序。特别是，这些操作不需要按照呈现的顺序执行。

本文重复使用短语“在实施例中”、“在一种实施例中”和“在一些实施例中”。该短语通常不是指同一实施例；但是，它可能指同一实施例。除非上下文另有规定，否则术语“包含”、“具有”和“包括”是同义词。短语“A或B”和“A/B”表示“(A)，(B)或(A和B)”。

图1图示了根据本公开的各种实施例的用于启用边缘应用的示例架构。

如图1所示，EDN是本地数据网络。一个或多个EAS和EES被包含在EDN中。ECS提供与EES相关的配置，包括托管EES的EDN的详细信息。UE包含一个或多个AC和EEC。EAS、EES和ECS可以与3GPP核心网络(CN)交互以启用边缘应用。

EES提供EAS和EEC所需的支持功能。EES的功能可以包括：向EEC配设配置信息，允许实现与EAS的应用数据流量交换；支持应用程序编程接口(API)调用器的功能以及API暴露功能(exposing function)；与3GPP CN交互以直接或间接访问网络功能的能力；支持应用上下文传送的功能；支持通过EDGE-3将3GPP网络和服务能力对外暴露给EAS；以及支持EEC和EAS的注册功能(即注册、更新和注销)。

EEC提供AC所需的支持功能。EEC的功能可以包括：获取和配设配置信息以允许实现与EAS的应用数据流量交换；以及发现EDN中可用的EAS。

ECS提供EEC与EES连接所需的支持功能。ECS的功能可以包括：向EEC配设边缘配置信息；支持EES的注册功能(即注册、更新和注销)。边缘配置信息可以包括：用于EEC连接到EES的信息(例如适用于局域数据网(LADN)的服务区信息)；以及用于建立与EES的连接的信息(如统一资源标识符(URI))。ECS可以被部署在移动网络运营商(MNO)域中，也可以由服务提供商部署在第三方域中。

AC是驻留在UE中用于执行客户端功能的应用。EAS是驻留在EDN中用于执行服务器功能的应用服务器。AC连接到EAS以利用应用的服务以及边缘计算的优势。应用的服务器功能可能仅作为EAS可用。但是，某些服务器功能也可能在边缘和云中都可用，分别作为EAS和驻留在云中的应用服务器。EAS与其对应的云应用服务器所提供的服务器功能可能相同或不同。如果它们不同，则与AC交换的应用数据流量也可能不同。

EAS可以以不同方式使用3GPP CN能力。例如，如果EAS是3GPP CN信任的实体，则EAS可以直接调用3GPP CN功能API；EAS可以通过EES调用3GPP CN能力；并且EAS可以通过能力暴露功能(即，服务能力暴露功能(SCEF)或网络暴露功能(NEF))来调用3GPP CN能力。

除了上述功能实体之外，图1的示例架构还包括参考点EDGE-1到EDGE-9。具体来说，EDGE-1参考点支持EES和EEC之间的交互；EDGE-2参考点支持EES和3GPP CN之间的交互；EDGE-3参考点支持EES和EAS之间的交互；EDGE-4参考点支持ECS和EEC之间的交互；EDGE-5参考点支持AC和EEC之间的交互；EDGE-6参考点支持ECS和EES之间的交互；EDGE-7参考点支持EAS和3GPP CN之间的交互；EDGE-8参考点支持ECS和3GPP CN之间的交互；EDGE-9参考点支持两个EES之间的交互。

如上所述，EDGE-1参考点支持EES和EEC之间的交互。具体地，EDGE-1参考点支持EEC到EES的注册和注销、EAS配置信息的获取和配设以及EDN中可用EAS的发现。EAS通过EDGE-1参考点(即，通过EDGE-1接口)向EEC提供功能，例如配设配置信息和支持应用上下文传送的功能。EEC执行例如从EES获取配置信息和发现EDN中可用的EAS等功能。

UE最初被配设有连接到EDN所需的配置。在初始配设时，UE的EEC向从配设的EES列表中选择的一个或多个EES进行注册。EEC使用EES提供的服务，例如，发现感兴趣的区域中的一个或多个EAS。该配设过程允许实现在EES处初始化或更新EEC上下文信息。EEC向EES发送EEC注册请求。EAS发现使得EEC能够获得关于感兴趣的可用EAS的信息。EAS的标识基于匹配请求中提供的查询过滤器或AC配置文件。

当未经授权执行注册、发现、配设或注销时，恶意EEC可能从EAS发现响应消息或配设响应消息中接收EDN内的服务和拓扑结构的列表。接收到的信息可以揭示EDN的拓扑结构(例如，URI、IP地址、EAS的数量、应用服务器功能、API类型、协议)。恶意EEC可能会使用此信息对EDN发起攻击或出于竞争原因使用此信息。此外，应保护通过EDGE-1接口传输的消息免受重放攻击或中间人(MITM)攻击，并应禁止对消息的更改。

因此，应满足可能的安全要求以避免来自恶意EEC的攻击。例如，EES应能够通过EDGE-1接口提供与EEC的相互认证，并且EES应能够确定EEC是否被授权访问EES提供的服务。此外，应支持对通过EDGE-1参考点传输的消息和数据的机密性和完整性保护。

另一方面，EDGE-4参考点支持ECS和EEC之间的交互。ECS提供EEC与EES连接所需的支持功能。EDGE-4参考点支持向EEC配设边缘配置信息(例如，URI或LADN服务信息)。EEC执行例如通过EDGE-4接口从ECS获取配置信息等功能。

ECS可以被部署在MNO域中或通过服务提供商被部署在第三方域中，其中一个EEC可以同时与一个或多个ECS通信。如果MNO部署ECS，则ECS会向一个或多个EES提供EES配置信息。如果非MNO边缘计算服务提供商(ECSP)部署ECS，则ECS端点地址由EEC预先配置。配置了多个ECS端点地址的EEC可以多次地针对每个ECSP执行每ECS的服务配设过程。UE可以包含由单个ECS服务的单个AC或多个AC。在另一种情况下，UE可以包含多个AC，其中每个AC可以由EAS服务并且进而由不同的ECS服务。

类似于通过EDGE-1参考点传输消息，如果在没有认证和授权的情况下获取到通过EDGE-4参考点对配设和配置信息的访问，那么恶意EEC将能够从配设响应消息中接收到EDN内的EES配置信息和拓扑结构列表。接收到的信息可以揭示EDN的拓扑结构(例如，URI、完全限定域名(FQDN)、IP地址、LADN服务信息、应用服务器功能、API类型、协议)。恶意EEC可能会使用此信息对EDN发起攻击或出于竞争原因使用此信息。此外，应保护通过EDGE-4接口传输的消息免受重放攻击或中间人攻击，并应禁止对消息的更改。

此外，对于不同的边缘部署模型，ECS应能够在各个AC的信任域之间隐藏拓扑和配设信息。如果没有这种访问控制和隐藏拓扑，那么恶意AC可能能够访问其他EES和EAS。

因此，应满足可能的安全要求以避免来自恶意EEC和恶意AC的攻击。具体而言，应支持对通过EDGE-4参考点传输的消息和数据的机密性和完整性保护。此外，ECS应能够通过EDGE-4接口提供与EEC的相互认证，ECS应能够确定EEC是否被授权访问ECS所提供的配设服务，并且ECS应能够在各个AC的信任域之间隐藏拓扑详细信息。

考虑到上述安全问题，根据本公开的实施例，提出了一种用于执行二次认证来进行UE与EDN的认证的机制。图2图示了根据本公开的各种实施例的UE与EDN和3GPP CN的示例认证过程。如图2所示，认证过程可能涉及UE与3GPP CN之间的交互以及UE与EDN之间的交互。UE可以包括AC、EEC和移动终端(MT)，EDN可以包括ECS、EES和EAS，3GPP CN可以包括诸如接入和移动管理功能(AMF)和会话管理功能(SMF)的功能元件。UE和3GPP CN之间的交互以及UE和EDN之间的交互将在下面参考图2进行详细描述。

步骤0:UE预配置

在UE预配置期间，如果ECS由MNO部署并与一个或多个ECSP签约，则ECS可以提供MNO拥有和ECSP拥有的EES的EES配置信息，否则，如果ECS由非MNO ECSP部署，ECS的端点地址可以由EEC配置。另外，如果EEC知道与多个ECSP相关联的多个ECS端点地址，则EEC可以多次地针对每个ECSP执行每ECS的服务配设过程。

步骤1:主认证

在本步骤中，UE执行与3GPP CN的主认证。此外，在成功完成主认证之后，UE可以注册到3GPP CN。

步骤2.a、2.b:协议数据单元(PDU)会话建立，以及与ECS的二次认证

根据本公开的一些实施例，作为发起与ECS的服务配设过程的结果，UE可以与CN建立PDU会话(步骤2.a)。具体而言，PDU会话可以被建立为与公知的或者预先配置的单网络切片选择辅助信息(S-NSSAI)或数据网络名称(DNN)相关联，或者CN可以通过使用UE在CN中的注册信息来导出S-NSSAI。基于S-NSSAI或DNN，AMF可以选择SMF，SMF又进而选择PDU会话锚点(PSA)，该PSA提供到EDN的认证授权记账(AAA)服务器的数据连接。ECS可以充当EDN的AAA服务器。然后可以经由所选择的SMF执行UE与ECS的二次认证(步骤2.b)。

步骤3.a、3.b:服务配设过程

根据本公开的一些实施例，在ECS成功地进行了UE请求的PDU会话建立认证和授权之后，UE可以在应用层发现并连接到ECS服务器地址(该ECS服务器地址是在步骤0中在UE中预先配置的，或者从在步骤1中UE所提供的应用标识符和/或服务提供商标识符导出的)。UE可以与EES执行EEC注册和EAS发现。

具体地，在如步骤2.a中通过EDGE-4接口成功建立安全会话之后，EEC可以向ECS发送初始配设请求(步骤3.a)。初始配设请求可以包括去往ECS的访问令牌请求消息，该消息可以由EEC根据OAuth 2.0规范来生成。然后ECS可以根据OAuth 2.0规范来验证访问令牌请求消息。如果ECS成功地验证了访问令牌请求消息，则ECS可以生成专用于EEC的访问令牌并在初始配设响应(访问令牌响应)消息中返回该访问令牌(步骤3.b)。一旦UE接收到初始配设响应，UE就可以获得由ECS生成的专用于UE的访问令牌。

步骤4.a至4.e:EEC和EES之间的安全会话建立，以及EEC注册过程

根据本公开的一些实施例，EEC可以通过EDGE-1接口在EEC和EES之间建立安全会话以向EES认证EEC(步骤4.a)。例如，可以基于由ECS指示的服务器(例如EES)侧证书认证或基于证书的相互认证来建立EEC和EES之间的传输层安全性(TLS)或安全套接字层(SSL)会话。ECS可以在对EES的注册响应期间提供EEC的根证书颁发机构(CA)证书，以验证EEC的证书。TLS或SSL会话可以提供EDGE-1接口上的完整性保护、重放保护和机密性保护。可能需要保护访问令牌并将其提供给真实的EES。

在EEC和EES之间成功建立安全会话之后，UE可以发起与EES的EEC注册过程。具体地，EEC可以向EES发送EEC注册请求(步骤4.b)，该请求包括在步骤3.b中从ECS获得的访问令牌。EEC注册请求的授权检查可以通过验证ECS发给UE的访问令牌来进行。EES可以从ECS获得访问令牌验证服务。换言之，EES可以经由ECS来验证访问令牌(步骤4.c)。可选地，EES可以获取EEC的上下文(步骤4.d)。一旦访问令牌被EES验证，EES可以向EEC发送EEC注册响应(步骤4.e)。

步骤5.a至5.d:EAS发现过程

根据本公开的一些实施例，EEC可以利用在步骤3.b中从ECS获得的访问令牌来请求服务(例如，EAS发现)。EES可以验证访问令牌。例如，EES可以通过验证ECS签名来验证访问令牌的完整性。如果访问令牌的验证成功，则EES可以根据访问令牌中的授权声明来验证来自EEC的服务请求，确保EEC具有对所请求服务的访问权限。

例如，UE可以通过发送包括在步骤3.b中从ECS获得的相同访问令牌(如果该访问令牌有效)的EAS发现请求(步骤5.a)来发起与EES的EAS发现过程。另一方面，如果在步骤3.b中从ECS获得的访问令牌无效，则EEC可以通过向ECS发送新的访问令牌请求消息来向ECS请求新的访问令牌。新的访问令牌请求消息可以包括识别EEC的安全上下文所需的参数和用于EEC的真实性验证的参数。在验证了EEC的真实性后，ECS可以响应于请求向EEC提供新的访问令牌。

同样，EES可以从ECS获得访问令牌验证服务(步骤5.b)。此外，EES还可以向ECS请求并获得针对UE的一个或多个访问令牌，用于授予对一个或多个EAS的访问(步骤5.c)，并且响应于该请求，EES可以向UE提供EAS访问授权令牌以及诸如有效时间等的相关信息。因此，一旦在步骤5.b中EES通过ECS验证了访问令牌，EES就可以向EEC提供EAS发现响应，该响应可以包括由EES从ECS获得的一个或多个EAS访问授权令牌。

步骤6.a至6.c:AC与EAS之间的安全会话建立，以及边缘应用服务发起过程

根据本公开的一些实施例，UE可以通过产生通过安全TLS/SSL连接从EES获得的EAS访问授权令牌来从EAS获得服务。UE还可以在步骤5.a至5.d中从EES获得安全策略和相关访问令牌。在向EAS发送EAS访问授权令牌之前，可以基于EAS服务器证书在UE中的AC与EAS之间建立TLS或SSL安全会话(步骤6.a)。需要保护EAS访问授权令牌并将其提供给真实的EAS。EAS可以经由EES从ECS获得访问令牌验证服务。在成功验证EAS访问授权令牌后，UE从EAS获取边缘计算服务。具体地，UE可以向EAS发送来自AC的应用特定请求(步骤6.b)，该请求可以包括从EES获得的EAS访问授权令牌。当EAS通过ECS和EES验证了EAS访问授权令牌时，EAS可以向AC提供应用特定响应，并且UE可以从EAS获得边缘计算服务。

如上所述，为了避免来自恶意EEC或AC对EDN的攻击，基于由UE发起的二次认证和通过EDGE-1接口和EDGE-4接口的安全会话的建立，提出了一种用于UE与EDN的认证的机制。图3图示了根据本公开的各种实施例的UE与EDN的示例认证过程300。过程300可以包括操作310至330，下面将对其进行详细描述。

在操作310处，UE可以建立与CN的PDU会话，以发起与ECS的二次认证。

根据本公开的一些实施例，PDU会话可以与预先配置的S-NSSAI或DNN相关联。UE可以经由基于该S-NSSAI或DNN而选择的CN中的SMF来执行与ECS的二次认证。

根据本公开的一些实施例，UE可以在与CN建立PDU会话之前执行与CN的主认证并将UE注册到CN。UE可以经由CN中的SMF执行与ECS的二次认证，所述SMF是基于根据UE在CN中的注册信息导出的S-NSSAI而选择的。

在操作320处，UE可以在二次认证成功完成之后，通过EDGE-4接口执行UE中的EEC与ECS的服务配设过程。

根据本公开的一些实施例，UE可以通过以下操作来执行服务配设过程：对来自EEC的初始配设请求进行编码以传输到ECS，该初始配设请求包括去往ECS的访问令牌请求消息；以及对从ECS接收的初始配设响应进行解码，该初始配设响应包括由ECS生成的专用于EEC的访问令牌。该访问令牌请求消息由EEC根据OAuth 2.0规范而生成，并由ECS根据OAuth2.0规范进行验证。

根据本公开的一些实施例，当ECS由non-MNO ECSP部署时，ECS的端点地址由EEC配置。此外，当EEC知道与多个ECSP相关联的多个ECS端点地址时，UE可以针对每个ECSP执行每ECS的服务配设过程。

在操作330处，UE可以通过EDGE-1接口建立EEC与EES之间的安全会话，以向EES认证EEC。

根据本公开的一些实施例，EEC与EES之间的安全会话可以是TLS或SSL会话。EEC与EES之间的安全会话可以是基于ECS所指示的EES侧证书认证或基于证书的相互认证来建立的。

根据本公开的一些实施例，认证过程还可以包括在EEC与EES之间建立安全会话之后执行与EES的EEC注册过程。执行EEC注册过程可以包括：对来自EEC的EEC注册请求进行编码以传输到EES，该EEC注册请求包括从ECS获得的访问令牌；以及对EEC注册响应进行解码，该EEC注册响应是当访问令牌被EES验证时从所述EES接收的。

根据本公开的一些实施例，认证过程还可以包括在EEC和EES之间建立安全会话之后，执行与EES的EAS发现过程。执行EAS发现过程可以包括：对来自EEC的EAS发现请求进行编码以传输到EES，该EAS发现请求包括从ECS获得的访问令牌；以及对EAS发现响应进行解码，该EAS发现响应是当访问令牌被EES验证时从EES接收的，该EAS发现响应包括由EES从ECS获得的EAS访问授权令牌。

根据本公开的一些实施例，当访问令牌无效时，认证过程还可以包括：对新的访问令牌请求消息进行编码，以传输到ECS来请求新的访问令牌，该新的访问令牌请求消息包括识别EEC的安全上下文所需的参数和用于EEC的真实性验证的参数；以及对当EEC的真实性被ECS验证时从ECS接收到的新访问令牌进行解码。

根据本公开的一些实施例，认证过程还可以包括：基于EAS服务器证书建立UE中的AC与EAS之间的TLS或SSL安全会话，以从EAS获得边缘计算服务。此外，认证过程还可以包括：对来自AC的应用特定请求进行编码以传输到EAS，该应用特定请求包括EAS访问授权令牌；以及对应用特定响应进行解码，该应用特定响应是当EAS访问授权令牌被EAS验证时从EAS接收的。

图4和图5图示了可以实现所公开的实施例的方面的各种系统、设备和组件。

图4示出了根据本公开的各种实施例的网络400的图示。网络400可以按照与LTE或5G/NR系统的3GPP技术规范一致的方式操作。然而，示例实施例在这方面不受限制，并且所描述的实施例可以应用于受益于本文所描述的原理的其他网络，例如未来3GPP系统等。

网络400可以包括UE 402，该UE可以包括被设计为经由空中连接与RAN 404通信的任何移动或非移动计算设备。UE 402可以是但不限于智能手机、平板电脑、可穿戴计算机设备、台式计算机、膝上型计算机、车载信息娱乐设备、车载娱乐设备、仪表组、抬头显示设备、车上诊断设备、仪表板移动设备、移动数据终端、电子引擎管理系统、电子/引擎控制单元、电子/引擎控制模块、嵌入式系统、传感器、微控制器、控制模块、引擎管理系统、联网电器、机器型通信设备、M2M或D2D设备、IoT设备等。

在一些实施例中，网络400可以包括通过边链路接口彼此直接耦合的多个UE。UE可以是使用物理边链路信道(例如但不限于，物理边链路广播信道(PSBCH)、物理边链路发现信道(PSDCH)、物理边链路共享信道(PSSCH)、物理边链路控制信道(PSCCH)、物理边链路基本信道(PSFCH)等)进行通信的M2M/D2D设备。

在一些实施例中，UE 402还可以通过空中连接与AP 406进行通信。AP 406可管理WLAN连接，其可用于从RAN 404卸载一些/所有网络流量。UE 402和AP 406之间的连接可以与任何IEEE 802.13协议一致，其中，AP406可以是无线保真

路由器。在一些实施例中，UE 402、RAN404、和AP 406可以利用蜂窝WLAN聚合(例如，LTE-WLAN聚合(LWA)/轻量化IP(LWIP))。蜂窝WLAN聚合可涉及由RAN 404配置的UE 402利用蜂窝无线电资源和WLAN资源二者。

RAN 404可以包括一个或多个接入节点(AN)，例如，AN 408。AN408可以通过提供包括RRC、分组数据汇聚协议(PDCP)、无线电链路控制(RLC)、介质访问控制(MAC)、和L1协议在内的接入层协议来终止UE 402的空中接口协议。以此方式，AN 408可以使能CN 420和UE402之间的数据/语音连通性。在一些实施例中，AN 408可以被实现在分立的设备中，或者被实现为在服务器计算机上运行的一个或多个软件实体，作为例如虚拟网络的一部分，虚拟网络可被称为CRAN或虚拟基带单元池。AN 408可被称为基站(BS)、gNB、RAN节点、演进节点B(eNB)、下一代eNB(ng-eNB)、节点B(NodeB)、路边单元(RSU)、TRxP、TRP等。AN 408可以是宏小区基站或低功率基站，用于提供与宏小区相比具有更小覆盖区域、更小用户容量、或更高带宽的微小区、微微小区、或其他类似小区。

在RAN 404包括多个AN的实施例中，它们可以通过X2接口(在RAN 404是LTE RAN的情况下)或Xn接口(在RAN 404是5G RAN的情况下)相互耦合。在一些实施例中可以被分离成控制平面接口/用户平面接口的X2/Xn接口可以允许AN传送与切换、数据/上下文传输、移动性、负载管理、干扰协调等相关的信息。

RAN 404的AN可以分别管理一个或多个小区、小区组、分量载波等，以向UE 402提供用于网络接入的空中接口。UE 402可以与由RAN 404的相同或不同AN提供的多个小区同时连接。例如，UE 402和RAN 404可以使用载波聚合来允许UE 402与多个分量载波连接，每个分量载波对应于主小区(Pcell)或辅小区(Scell)。在双连通性场景中，第一AN可以是提供主小区组(MCG)的主节点，第二AN可以是提供辅小区组(SCG)的辅节点。第一/第二AN可以是eNB、gNB、ng-eNB等的任意组合。

RAN 404可以在许可频谱或非许可频谱上提供空中接口。为了在非许可频谱中操作，节点可以使用基于具有PCell/Scell的载波聚合(CA)技术的许可辅助接入(LAA)、增强的LAA(eLAA)、和/或进一步增强的LAA(feLAA)机制。在访问非许可频谱之前，节点可以基于例如先听后说(LBT)协议来执行介质/载波感测操作。

在车辆对一切(V2X)场景中，UE 402或AN 408可以是或充当路边单元(RSU)，其可以指用于V2X通信的任何运输基础设施实体。RSU可以在适当的AN或静止(或相对静止)的UE中实现或由其实现。在UE中实现或由UE实现的RSU可以被称为“UE型RSU”；在eNB中实现或由eNB实现的RSU可以被称为“eNB型RSU”；在下一代NodeB(gNB)中实现或由gNB实现的RSU可以被称为“gNB型RSU”；等等。在一个示例中，RSU是与位于路边的射频电路耦合的计算设备，其向经过的车辆UE提供连通性支持。RSU还可以包括内部数据存储电路，用于存储交叉口地图几何图形、交通统计数据、媒体、以及用于感测和控制正在进行的车辆和行人交通的应用程序/软件。RSU可以提供高速事件所需的非常低延迟的通信，例如，碰撞避免、交通警告等。另外或可替代地，RSU可以提供其他蜂窝/WLAN通信服务。RSU的组件可被封装在适合室外安装的防风雨外壳中，并且可以包括网络接口控制器以提供到交通信号控制器或回程网络的有线连接(例如，以太网)。

在一些实施例中，RAN 404可以是LTE RAN 410，其中包括演进节点B(eNB)，例如，eNB 412。LTE RAN 410可以提供具有以下特性的LTE空中接口：15kHz的SCS；用于DL的CP-OFDM波形和用于UL的SC-FDMA波形；用于数据的turbo代码和用于控制的TBCC等。LTE空中接口可以依赖CSI-RS来进行CSI采集和波束管理；依赖PDSCH/PDCCH解调参考信号(DMRS)来进行PDSCH/PDCCH解调；以及依赖CRS来进行小区搜索和初始采集、信道质量测量、和信道估计，以用于UE处的相干解调/检测。LTE空中接口可以在亚6GHz波段上工作。

在一些实施例中，RAN 404可以是具有gNB(例如，gNB 416)或gn-eNB(例如，ng-eNB418)的下一代(NG)-RAN 414。gNB 416可以使用5G NR接口与启用5G的UE连接。gNB 416可以通过NG接口与5G核心连接，NG接口可以包括N2接口或N3接口。Ng-eNB 418还可以通过NG接口与5G核心连接，但是可以通过LTE空中接口与UE连接。gNB 416和ng-eNB 418可以通过Xn接口彼此连接。

在一些实施例中，NG接口可以分为NG用户平面(NG-U)接口和NG控制平面(NG-C)接口两部分，前者承载NG-RAN 414和UPF 448的节点之间的流量数据，后者是NG-RAN 414与接入和移动性管理功能(AMF)444的节点之间的信令接口(例如，N2接口)。

NG-RAN 414可以提供具有以下特性的5G-NR空中接口：可变SCS；用于DL的CP-OFDM、用于UL的CP-OFDM和DFT-s-OFDM；用于控制的极性、重复、单工、和里德-穆勒(Reed-Muller)码、以及用于数据的LDPC。5G-NR空中接口可以依赖于类似于LTE空中接口的CSI-RS、PDSCH/PDCCH DMRS。5G-NR空中接口可以不使用CRS，但是可以使用PBCH DMRS进行PBCH解调；使用PTRS进行PDSCH的相位跟踪；以及使用跟踪参考信号进行时间跟踪。5G-NR空中接口可以在包括亚6GHz频带的FR1频带或包括24.25GHz到52.6GHz频带的FR2频带上操作。5G-NR空中接口可以包括SSB，SSB是包括PSS/SSS/PBCH的下行链路资源网格的区域。

在一些实施例中，5G-NR空中接口可以将BWP用于各种目的。例如，BWP可以用于SCS的动态适应。例如，UE 402可被配置有多个BWP，其中，每个BWP配置具有不同的SCS。当向UE402指示BWP改变时，传输的SCS也改变。BWP的另一用例与省电有关。具体地，可以为UE 402配置具有不同数量的频率资源(例如，PRB)的多个BWP，以支持不同流量负载场景下的数据传输。包含较少数量PRB的BWP可以用于具有较小流量负载的数据传输，同时允许UE 402和在某些情况下gNB 416处的省电。包含大量PRB的BWP可以用于具有更高流量负载的场景。

RAN 404通信地耦合到包括网络元件的CN 420，以向客户/订户(例如，UE 402的用户)提供支持数据和电信服务的各种功能。CN 420的组件可以实现在一个物理节点中也可以是实现在不同的物理节点中。在一些实施例中，NFV可以用于将CN 420的网络元件提供的任何或所有功能虚拟化到服务器、交换机等中的物理计算/存储资源上。CN 420的逻辑实例可以被称为网络切片，并且CN 420的一部分的逻辑实例化可以被称为网络子切片。

在一些实施例中，CN 420可以是LTE CN 422，其也可以被称为演进分组核心(EPC)。LTE CN 422可以包括移动性管理实体(MME)424、服务网关(SGW)426、服务GPRS支持节点(SGSN)428、归属订户服务器(HSS)430、代理网关(PGW)432、以及策略控制和计费规则功能(PCRF)434，如图所示，这些组件通过接口(或“参考点”)相互耦合。LTE CN 422的元件的功能可以简单介绍如下。

MME 424可以实现移动性管理功能，以跟踪UE 402的当前位置，从而方便巡护、承载激活/停用、切换、网关选择、认证等。

SGW 426可以终止朝向RAN的S1接口，并在RAN和LTE CN 422之间路由数据分组。SGW 426可以是用于RAN节点间切换的本地移动性锚点，并且还可以提供用于3GPP间移动性的锚定。其他职责可以包括合法拦截、计费、以及一些策略执行。

SGSN 428可以跟踪UE 402的位置并执行安全功能和访问控制。另外，SGSN 428可以执行EPC节点间信令，以用于不同RAT网络之间的移动性；MME 424指定的PDN和S-GW选择；用于切换的MME选择等。MME 424和SGSN 428之间的S3参考点可以使能空闲/活动状态下用于3GPP间接入网络移动性的用户和承载信息交换。

HSS 430可以包括用于网络用户的数据库，该数据库包括支持网络实体处理通信会话的订阅相关信息。HSS 430可以提供对路由/漫游、认证、授权、命名/寻址解析、位置依赖性等的支持。HSS 430和MME 424之间的S6a参考点可以使能订阅和认证数据的传输，以认证/授权用户对LTE CN 420的访问。

PGW 432可以终止朝向可以包括应用/内容服务器438的数据网络(DN)436的SGi接口。PGW 432可以在LTE CN 422和数据网络436之间路由数据分组。PGW 432可以通过S5参考点与SGW 426耦合，以促进用户平面隧道和隧道管理。PGW 432还可以包括用于策略执行和计费数据收集的节点(例如，PCEF)。另外，PGW 432和数据网络436之间的SGi参考点可以是例如，用于提供IMS服务的运营商外部公共、私有PDN、或运营商内部分组数据网络。PGW 432可以经由Gx参考点与PCRF 434耦合。

PCRF 434是LTE CN 422的策略和计费控制元件。PCRF 434可以通信地耦合到应用/内容服务器438，以确定服务流的适当QoS和计费参数。PCRF 432可以将相关联的规则提供给具有适当TFT和QCI的PCEF(经由Gx参考点)。

在一些实施例中，CN 420可以是5G核心网(5GC)440。5GC 440可以包括认证服务器功能(AUSF)442、接入和移动性管理功能(AMF)444、会话管理功能(SMF)446、用户平面功能(UPF)448、网络切片选择功能(NSSF)450、网络开放功能(NEF)452、NF存储功能(NRF)454、策略控制功能(PCF)456、统一数据管理(UDM)458、和应用功能(AF)460，如图所示，这些功能通过接口(或“参考点”)彼此耦合。5GC 440的元件的功能可以简要介绍如下。

AUSF 442可以存储用于UE 402的认证的数据并处理认证相关功能。AUSF 442可以促进用于各种接入类型的公共认证框架。除了如图所示的通过参考点与5GC 440的其他元件通信之外，AUSF 442还可以展示基于Nausf服务的接口。

AMF 444可以允许5GC 440的其他功能与UE 402和RAN 404通信，并订阅关于UE402的移动性事件的通知。AMF 444可以负责注册管理(例如，注册UE 402)、连接管理、可达性管理、移动性管理、合法拦截AMF相关事件、以及接入认证和授权。AMF 444可以提供UE402和SMF446之间的会话管理(SM)消息的传输，并且充当用于路由SM消息的透明代理。AMF444还可以提供UE 402和SMSF之间的SMS消息的传输。AMF 444可以与AUSF 442和UE 402交互，以执行各种安全锚定和上下文管理功能。此外，AMF 444可以是RAN CP接口的终止点，其可包括或者是RAN 404和AMF 444之间的N2参考点；AMF 444可以作为NAS(N1)信令的终止点，并执行NAS加密和完整性保护。AMF 444还可以支持通过N3 IWF接口与UE 402的NAS信令。

SMF 446可以负责SM(例如，会话建立、UPF 448和AN 408之间的隧道管理)；UE IP地址分配和管理(包括可选授权)；UP功能的选择和控制；在UPF 448处配置流量控制，以将流量路由到适当的目的地；去往策略控制功能的接口的终止；控制策略执行、计费和QoS的一部分；合法截获(用于SM事件和到LI系统的接口)；终止NAS消息的SM部分；下行链路数据通知；发起AN特定的SM信息(通过AMF 444在N2上发送到AN 408)；以及确定会话的SSC模式。SM可以指PDU会话的管理，并且PDU会话或“会话”可以指提供或使能UE 402和数据网络436之间的PDU交换的PDU连通性服务。

UPF 448可以用作RAT内和RAT间移动性的锚点、与数据网络436互连的外部PDU会话点、以及支持多归属PDU会话的分支点。UPF 448还可以执行分组路由和转发、执行分组检查、执行策略规则的用户平面部分、合法截获分组(UP收集)、执行流量使用报告、为用户平面执行QoS处理(例如，分组过滤、选通、UL/DL速率强制执行)、执行上行链路流量验证(例如，SDF到QoS流映射)、上行链路和下行链路中的传输级分组标记，并执行下行链路分组缓冲和下行链路数据通知触发。UPF 448可以包括上行链路分类器，以支持将流量流路由到数据网络。

NSSF 450可以选择服务于UE 402的一组网络切片实例。如果需要的话，NSSF 450还可以确定允许的网络切片选择辅助信息(NSSAI)和到订阅的单个NSSAI(S-NSSAI)的映射。NSSF 450还可以基于合适的配置并可能通过查询NRF 454来确定要用于服务于UE 402的AMF集，或者确定候选AMF的列表。UE 402的一组网络切片实例的选择可以由AMF 444触发(UE 402通过与NSSF 450交互而向该AMF注册)，这会导致AMF的改变。NSSF 450可以经由N22参考点与AMF 444交互；并且可以经由N31参考点(未示出)与到访网络中的另一NSSF通信。此外，NSSF 450可以展示基于Nnssf服务的接口。

NEF 452可以为第三方、内部披露/再披露、AF(例如，AF 460)、边缘计算或雾计算系统等安全地披露由3GPP网络功能提供的服务和能力。在这些实施例中，NEF 452可以认证、授权、或扼制AF。NEF 452还可以翻译与AF 460交换的信息和与内部网络功能交换的信息。例如，NEF 452可以在AF服务标识符和内部5GC信息之间转换。NEF 452还可以基于其他NF的公开能力从其他NF接收信息。该信息可以作为结构化数据存储在NEF 452处，或者使用标准化接口存储在数据存储器NF处。然后，NEF 452可以将存储的信息重新披露给其他NF和AF，或者用于诸如分析之类的其他目的。另外，NEF 452可以展示基于Nnef服务的接口。

NRF 454可以支持服务发现功能，从NF实例接收NF发现请求，并将发现的NF实例的信息提供给NF实例。NRF 454还维护可用NF实例及其支持的服务的信息。如本文所使用的，术语“实例化”、“实例”等可指创建实例，“实例”可以指对象的具体出现，其可以例如在程序代码执行期间出现。此外，NRF 454可以展示基于Nnrf服务的接口。

PCF 456可以提供策略规则来控制平面功能以强制执行它们，并且还可以支持统一的策略框架来管理网络行为。PCF 456还可以实现前端以访问与UDM 458的UDR中的策略决策相关的订阅信息。除了如图所示通过参考点与功能通信外，PCF 456还展示了基于Npcf服务的接口。

UDM 458可以处理与订阅相关的信息以支持网络实体处理通信会话，并且可以存储UE 402的订阅数据。例如，订阅数据可以经由UDM 458和AMF 444之间的N8参考点传送。UDM 458可以包括两个部分：应用前端和UDR。UDR可以存储用于UDM 458和PCF 456的策略数据和订阅数据，和/或用于NEF 452的用于披露的结构化数据和应用数据(包括用于应用检测的PFD、用于多个UE 402的应用请求信息)。UDR 221可以展示基于Nudr服务的接口，以允许UDM 458、PCF 456、和NEF 452访问存储数据的特定集合，以及读取、更新(例如，添加、修改)、删除、和订阅UDR中的相关数据更改的通知。UDM可包括UDM-FE，其负责处理凭证、位置管理、订阅管理等。若干不同的前端可以在不同的交易中为同一用户提供服务。UDM-FE访问存储在UDR中的订阅信息，并执行认证凭证处理、用户识别处理、访问授权、注册/移动性管理、和订阅管理。除了如图所示的通过参考点与其他NF通信之外，UDM 458还可以展示基于Nudm服务的接口。

AF 460可以提供对流量路由的应用影响，提供对NEF的访问，并与策略框架交互以进行策略控制。

在一些实施例中，5GC 440可以通过选择在地理上靠近UE 402附着到网络的点的运营商/第三方服务来使能边缘计算。这可以减少网络上的时延和负载。为了提供边缘计算实现，5GC 440可以选择靠近UE 402的UPF448，并通过N6接口执行从UPF 448到数据网络436的流量引导。这可以基于UE订阅数据、UE位置、和AF 460提供的信息。以此方式，AF 460可以影响UPF(重)选择和流量路由。基于运营商部署，当AF 460被认为是受信实体时，网络运营商可以许可AF 460直接与相关NF交互。另外，AF 460可以展示基于Naf服务的接口。

数据网络436可以表示可以由一个或多个服务器(包括例如，应用/内容服务器438)提供的各种网络运营商服务、因特网接入、或第三方服务。

图5示意性地示出了根据各种实施例的无线网络500。无线网络500可以包括与AN504进行无线通信的UE 502。UE 502和AN 504可以类似于本文其他位置描述的同命组件并且基本上可以与之互换。

UE 502可以经由连接506与AN 504通信地耦合。连接506被示为空中接口以使能通信耦合，并且可以与诸如LTE协议或5G NR协议等在毫米波(mmWave)或亚6GHz频率下操作的蜂窝通信协议一致。

UE 502可以包括与调制解调器平台510耦合的主机平台508。主机平台508可以包括应用处理电路512，该应用处理电路可以与调制解调器平台510的协议处理电路514耦合。应用处理电路512可以为UE 502运行源/接收器应用数据的各种应用。应用处理电路512还可以实现一个或多个层操作，以向数据网络发送/从数据网络接收应用数据。这些层操作可以包括传输(例如，UDP)和因特网(例如，IP)操作。

协议处理电路514可以实现一个或多个层操作，以促进通过连接506传输或接收数据。由协议处理电路514实现的层操作可以包括例如，MAC、RLC、PDCP、RRC、和NAS操作。

调制解调器平台510可以进一步包括数字基带电路516，该数字基带电路516可以实现由网络协议栈中的协议处理电路514执行的“低于”层操作的一个或多个层操作。这些操作可包括例如，包括HARQ-ACK功能、加扰/解扰、编码/解码、层映射/去映射、调制符号映射、接收符号/比特度量确定、多天线端口预编码/解码中的一者或多者的PHY操作，其中，这些功能可以包括以下一者或多者：空时、空频、或空间编码，参考信号生成/检测，前导码序列生成和/或解码，同步序列生成/检测，控制信道信号盲解码，以及其他相关功能。

调制解调器平台510可以进一步包括发送电路518、接收电路520、RF电路522、和RF前端(RFFE)电路524，这些电路可以包括或连接到一个或多个天线面板526。简言之，发送电路518可以包括数模转换器、混频器、中频(IF)组件等；接收电路520可以包括模数转换器、混频器、IF组件等；RF电路522可以包括低噪声放大器、功率放大器、功率跟踪组件等；RFFE电路524可以包括滤波器(例如，表面/体声波滤波器)、开关、天线调谐器、波束形成组件(例如，相位阵列天线组件)等。发送电路518、接收电路520、RF电路522、RFFE电路524、以及天线面板526(统称为“发送/接收组件”)的组件的选择和布置可以特定于特定实现方式的细节，例如，通信是TDM还是FDM、以mmWave还是亚6GHz频率等。在一些实施例中，发送/接收组件可以以多个并列的发送/接收链的方式布置，并且可以布置在相同或不同的芯片/模块等中。

在一些实施例中，协议处理电路514可以包括控制电路的一个或多个实例(未示出)，以为发送/接收组件提供控制功能。

UE接收可以通过并经由天线面板526、RFFE电路524、RF电路522、接收电路520、数字基带电路516、和协议处理电路514建立。在一些实施例中，天线面板526可以通过接收由一个或多个天线面板526的多个天线/天线元件接收的波束形成信号来接收来自AN 504的发送。

UE发送可以经由并通过协议处理电路514、数字基带电路516、发送电路518、RF电路522、RFFE电路524、和天线面板526建立。在一些实施例中，UE 504的发送组件可以对要发送的数据应用空间滤波器，以形成由天线面板526的天线元件发射的发送波束。

与UE 502类似，AN 504可以包括与调制解调器平台530耦合的主机平台528。主机平台528可以包括与调制解调器平台530的协议处理电路534耦合的应用处理电路532。调制解调器平台还可以包括数字基带电路536、发送电路538、接收电路540、RF电路542、RFFE电路544、和天线面板546。AN 504的组件可以类似于UE 502的同名组件，并且基本上可以与UE502的同名组件互换。除了如上所述执行数据发送/接收之外，AN508的组件还可以执行各种逻辑功能，这些逻辑功能包括例如RNC功能，例如，无线电承载管理、上行链路和下行链路动态无线电资源管理、以及数据分组调度。

图6是示出根据一些示例实施例的能够从机器可读或者计算机可读介质(例如，非暂态机器可读存储介质)读取指令并且执行本文所论述的任何一种或多种方法的组件的框图。具体地，图6示出了硬件资源600的图解表示方式，其包括一个或多个处理器(或处理器核)610、一个或多个存储器/存储设备620和一个或多个通信资源630，它们每一者可以通过总线640通信地耦合。硬件资源600可以是UE、AN、或者LMF的一部分。对于利用节点虚拟化(例如，NFV)的实施例，可以执行超管理程序602以提供用于一个或多个网络切片/子切片利用硬件资源600的执行环境。

处理器610(例如，中央处理单元(CPU)、精简指令集计算(RISC)处理器、复杂指令集计算(CISC)处理器、图形处理单元(GPU)、诸如基带处理器之类的数字信号处理器(DSP)、专用集成电路(ASIC)、射频集成电路(RFIC)、另一处理器、或其任何合适的组合)可包括例如处理器612和处理器614。

存储器/存储设备620可以包括主存储器、磁盘存储装置、或其任何合适的组合。存储器/存储设备620可以包括但不限于任何类型的易失性或非易失性存储器，例如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、固态存储装置等。

通信资源630可以包括互连或网络接口组件或其他合适的设备，以经由网络608与一个或多个外围设备604或一个或多个数据库606通信。例如，通信资源630可以包括有线通信组件(例如，用于经由通用串行总线(USB)耦合)、蜂窝通信组件、NFC组件、蓝牙

组件(例如，蓝牙低功耗)，Wi-Fi组件和其他通信组件。

指令650可以包括软件、程序、应用、小应用、app或其他可执行代码，用于至少使任何处理器610执行本文所讨论的任何一种或多种方法。指令650可以完全或部分地驻留在以下至少一个内：处理器610(例如，处理器的缓冲存储器内)、存储器/存储设备620、或其任何合适的组合中。此外，指令650的任何部分可以被从外围设备604或数据库606的任何组合传送到硬件资源600。因此，处理器610、存储器/存储设备620、外围设备604和数据库606的存储器是计算机可读和机器可读介质的示例。

以下段落描述各种实施例的示例。

示例1包括一种用于用户设备UE的装置，包括：射频RF接口电路；以及处理电路，该处理电路与所述RF接口电路耦合并被配置用于：建立与核心网CN的协议数据单元PDU会话，以发起与边缘配置服务器ECS的二次认证；在所述二次认证成功完成之后，通过EDGE-4接口执行所述UE中的边缘启用客户端EEC与所述ECS的服务配设过程；以及通过EDGE-1接口建立所述EEC与边缘启用服务器EES之间的安全会话，以向所述EES认证所述EEC。

示例2包括如示例1所述的装置，其中，所述处理电路被配置为通过以下操作来执行所述服务配设过程：对来自所述EEC的初始配设请求进行编码，以经由所述RF接口电路传输到所述ECS，所述初始配设请求包括去往所述ECS的访问令牌请求消息；以及对经由所述RF接口电路从所述ECS接收的初始配设响应进行解码，所述初始配设响应包括由所述ECS生成的专用于所述EEC的访问令牌。

示例3包括如示例2所述的装置，其中，所述访问令牌请求消息由所述EEC根据OAuth 2.0规范而生成，并由所述ECS根据所述OAuth 2.0规范进行验证。

示例4包括如示例1至3中任一项所述的装置，其中，所述PDU会话与预先配置的单网络切片选择辅助信息S-NSSAI或数据网络名称DNN相关联。

示例5包括如示例1至4中任一项所述的装置，其中，当所述ECS由非移动网络运营商non-MNO边缘计算服务提供商ECSP部署时，所述ECS的端点地址由所述EEC配置。

示例6包括如示例1至5中任一项所述的装置，其中，当所述EEC知道与多个边缘计算服务提供商ECSP相关联的多个ECS端点地址时，所述处理电路还被配置为针对每个ECSP执行每ECS的所述服务配设过程。

示例7包括如示例1至6中任一项所述的装置，其中，所述处理电路还被配置为：在与所述CN建立所述PDU会话之前执行与所述CN的主认证并将所述UE注册到所述CN。

示例8包括如示例7所述的装置，其中，所述处理电路还被配置为经由所述CN中的服务管理功能SMF执行与所述ECS的所述二次认证，所述SMF是基于根据所述UE在所述CN中的注册信息导出的单网络切片选择辅助信息S-NSSAI而选择的。

示例9包括如示例4所述的装置，其中，所述处理电路还被配置为经由基于所述S-NSSAI或DNN而选择的所述CN中的服务管理功能SMF来执行与所述ECS的所述二次认证。

示例10包括如示例1至9中任一项所述的装置，其中，所述EEC与所述EES之间的所述安全会话是传输层安全性TLS或安全套接字层SSL会话。

示例11包括如示例1至10中任一项所述的装置，其中，所述EEC与所述EES之间的所述安全会话是基于所述ECS所指示的EES侧证书认证或基于证书的相互认证来建立的。

示例12包括如示例2所述的装置，其中，所述处理电路还被配置为在所述EEC与所述EES之间建立所述安全会话之后执行与所述EES的EEC注册过程。

示例13包括如示例12所述的装置，其中，所述处理电路还被配置为通过以下操作来执行所述EEC注册过程：对来自所述EEC的EEC注册请求进行编码，以经由所述RF接口电路传输到所述EES，所述EEC注册请求包括从所述ECS获得的所述访问令牌；以及对EEC注册响应进行解码，所述EEC注册响应是当所述访问令牌被所述EES验证时经由所述RF接口电路从所述EES接收的。

示例14包括如示例2所述的装置，其中，所述处理电路还被配置为：在所述EEC和所述EES之间建立所述安全会话之后，执行与所述EES的边缘应用服务器EAS发现过程。

示例15包括如示例14所述的装置，其中，所述处理电路还被配置为通过以下操作来执行所述EAS发现过程：对来自所述EEC的EAS发现请求进行编码，以经由所述RF接口电路传输到所述EES，所述EAS发现请求包括从所述ECS获得的所述访问令牌；以及对EAS发现响应进行解码，所述EAS发现响应是当所述访问令牌被所述EES验证时经由所述RF接口电路从所述EES接收的，所述EAS发现响应包括由所述EES从所述ECS获得的EAS访问授权令牌。

示例16包括如示例15所述的装置，其中，当所述访问令牌无效时，所述处理电路还被配置为：对新的访问令牌请求消息进行编码，以经由所述RF接口电路传输到所述ECS来请求新的访问令牌，所述新的访问令牌请求消息包括识别所述EEC的安全上下文所需的参数和用于所述EEC的真实性验证的参数；以及对当所述EEC的真实性被所述ECS验证时经由所述RF接口电路从所述ECS接收到的所述新访问令牌进行解码。

示例17包括如示例15所述的装置，其中，所述处理电路还被配置为：基于EAS服务器证书建立所述UE中的应用客户端AC与所述EAS之间的传输层安全TLS或安全套接层SSL安全会话，以从所述EAS获得边缘计算服务。

示例18包括如示例17所述的装置，其中，所述处理电路还被配置为：对来自所述AC的应用特定请求进行编码，以经由所述RF接口电路传输到所述EAS，所述应用特定请求包括所述EAS访问授权令牌；以及对应用特定响应进行解码，所述应用特定响应是当所述EAS访问授权令牌被所述EAS验证时经由所述RF接口电路从所述EAS接收的。

示例19包括一种在用户设备UE处执行的方法，包括：建立与核心网CN的协议数据单元PDU会话，以发起与边缘配置服务器ECS的二次认证；在所述二次认证成功完成之后，通过EDGE-4接口执行所述UE中的边缘启用客户端EEC与所述ECS的服务配设过程；以及通过EDGE-1接口建立所述EEC与边缘启用服务器EES之间的安全会话，以向所述EES认证所述EEC。

示例20包括如示例19所述的方法，其中，执行所述服务配设过程包括：对来自所述EEC的初始配设请求进行编码，以传输到所述ECS，所述初始配设请求包括去往所述ECS的访问令牌请求消息；以及对从所述ECS接收的初始配设响应进行解码，所述初始配设响应包括由所述ECS生成的专用于所述EEC的访问令牌。

示例21包括如示例20所述的方法，其中，所述访问令牌请求消息由所述EEC根据OAuth 2.0规范而生成，并由所述ECS根据所述OAuth 2.0规范进行验证。

示例22包括如示例19至21中任一项所述的方法，其中，所述PDU会话与预先配置的单网络切片选择辅助信息S-NSSAI或数据网络名称DNN相关联。

示例23包括如示例19至22中任一项所述的方法，其中，当所述ECS由非移动网络运营商non-MNO边缘计算服务提供商ECSP部署时，所述ECS的端点地址由所述EEC配置。

示例24包括如示例19至23中任一项所述的方法，其中，当所述EEC知道与多个边缘计算服务提供商ECSP相关联的多个ECS端点地址时，所述方法还包括针对每个ECSP执行每ECS的所述服务配设过程。

示例25包括如示例19至24中任一项所述的方法，还包括：在与所述CN建立所述PDU会话之前执行与所述CN的主认证并将所述UE注册到所述CN。

示例26包括如示例25所述的方法，还包括经由所述CN中的服务管理功能SMF执行与所述ECS的所述二次认证，所述SMF是基于根据所述UE在所述CN中的注册信息导出的单网络切片选择辅助信息S-NSSAI而选择的。

示例27包括如示例22所述的方法，还包括经由基于所述S-NSSAI或DNN而选择的所述CN中的服务管理功能SMF来执行与所述ECS的所述二次认证。

示例28包括如示例19至27中任一项所述的方法，其中，所述EEC与所述EES之间的所述安全会话是传输层安全性TLS或安全套接字层SSL会话。

示例29包括如示例19至28中任一项所述的方法，其中，所述EEC与所述EES之间的所述安全会话是基于所述ECS所指示的EES侧证书认证或基于证书的相互认证来建立的。

示例30包括如示例20所述的方法，还包括：在所述EEC与所述EES之间建立所述安全会话之后执行与所述EES的EEC注册过程。

示例31包括如示例30所述的方法，其中，执行所述EEC注册过程包括：对来自所述EEC的EEC注册请求进行编码，以传输到所述EES，所述EEC注册请求包括从所述ECS获得的所述访问令牌；以及对EEC注册响应进行解码，所述EEC注册响应是当所述访问令牌被所述EES验证时从所述EES接收的。

示例32包括如示例20所述的方法，还包括：在所述EEC和所述EES之间建立所述安全会话之后，执行与所述EES的边缘应用服务器EAS发现过程。

示例33包括如示例32所述的方法，其中，执行所述EAS发现过程包括：对来自所述EEC的EAS发现请求进行编码，以传输到所述EES，所述EAS发现请求包括从所述ECS获得的所述访问令牌；以及对EAS发现响应进行解码，所述EAS发现响应是当所述访问令牌被所述EES验证时从所述EES接收的，所述EAS发现响应包括由所述EES从所述ECS获得的EAS访问授权令牌。

示例34包括如示例33所述的方法，其中，当所述访问令牌无效时，所述方法还包括：对新的访问令牌请求消息进行编码，以传输到所述ECS来请求新的访问令牌，所述新的访问令牌请求消息包括识别所述EEC的安全上下文所需的参数和用于所述EEC的真实性验证的参数；以及对当所述EEC的真实性被所述ECS验证时从所述ECS接收到的所述新访问令牌进行解码。

示例35包括如示例33所述的方法，还包括：基于EAS服务器证书建立所述UE中的应用客户端AC与所述EAS之间的传输层安全TLS或安全套接层SSL安全会话，以从所述EAS获得边缘计算服务。

示例36包括如示例35所述的方法，其中，所述处理电路还被配置为：对来自所述AC的应用特定请求进行编码，以传输到所述EAS，所述应用特定请求包括所述EAS访问授权令牌；以及对应用特定响应进行解码，所述应用特定响应是当所述EAS访问授权令牌被所述EAS验证时从所述EAS接收的。

示例37包括一种存储有指令的计算机可读介质，其中，所述指令在由用户设备UE的处理电路执行时使得处理电路执行如示例19-36中任一示例所述的方法。

示例38包括一种用于用户设备UE的装置，包括用于执行示例19-36中任一示例的方法的操作的部件。

尽管为了描述的目的在本文中说明和描述了某些实施例，但是在不脱离本公开的范围的情况下，为了实现相同目的而规划的各种替代和/或等同实施例或实现方式可以替代所示出和所描述的实施例。本申请旨在涵盖本文所讨论的实施例的任何改编或变化。因此，易于理解的是，本文描述的实施例仅由所附权利要求及其等同范围限制。

Claims (19)

1.一种用于用户设备UE的装置，包括：

射频RF接口电路；以及

处理电路，该处理电路与所述RF接口电路耦合并被配置用于：

建立与核心网CN的协议数据单元PDU会话，以发起与边缘配置服务器ECS的二次认证；

在所述二次认证成功完成之后，通过EDGE-4接口执行所述UE中的边缘启用客户端EEC与所述ECS的服务配设过程；以及

通过EDGE-1接口建立所述EEC与边缘启用服务器EES之间的安全会话，以向所述EES认证所述EEC。

2.如权利要求1所述的装置，其中，所述处理电路被配置为通过以下操作来执行所述服务配设过程：

对来自所述EEC的初始配设请求进行编码，以经由所述RF接口电路传输到所述ECS，所述初始配设请求包括去往所述ECS的访问令牌请求消息；以及

对经由所述RF接口电路从所述ECS接收的初始配设响应进行解码，所述初始配设响应包括由所述ECS生成的专用于所述EEC的访问令牌。

3.如权利要求2所述的装置，其中，所述访问令牌请求消息由所述EEC根据OAuth 2.0规范而生成，并由所述ECS根据所述OAuth 2.0规范进行验证。

4.如权利要求1所述的装置，其中，所述PDU会话与预先配置的单网络切片选择辅助信息S-NSSAI或数据网络名称DNN相关联。

5.如权利要求1所述的装置，其中，当所述ECS由非移动网络运营商non-MNO边缘计算服务提供商ECSP部署时，所述ECS的端点地址由所述EEC配置。

6.如权利要求1所述的装置，其中，当所述EEC知道与多个边缘计算服务提供商ECSP相关联的多个ECS端点地址时，所述处理电路还被配置为针对每个ECSP执行每ECS的所述服务配设过程。

7.如权利要求1所述的装置，其中，所述处理电路还被配置为：在与所述CN建立所述PDU会话之前执行与所述CN的主认证并将所述UE注册到所述CN。

8.如权利要求7所述的装置，其中，所述处理电路还被配置为经由所述CN中的服务管理功能SMF执行与所述ECS的所述二次认证，所述SMF是基于根据所述UE在所述CN中的注册信息导出的单网络切片选择辅助信息S-NSSAI而选择的。

9.如权利要求4所述的装置，其中，所述处理电路还被配置为经由基于所述S-NSSAI或DNN而选择的所述CN中的服务管理功能SMF来执行与所述ECS的所述二次认证。

10.如权利要求1至9中任一项所述的装置，其中，所述EEC与所述EES之间的所述安全会话是传输层安全性TLS或安全套接字层SSL会话。

11.如权利要求1所述的装置，其中，所述EEC与所述EES之间的所述安全会话是基于所述ECS所指示的EES侧证书认证或基于证书的相互认证来建立的。

12.如权利要求2所述的装置，其中，所述处理电路还被配置为在所述EEC与所述EES之间建立所述安全会话之后执行与所述EES的EEC注册过程。

13.如权利要求12所述的装置，其中，所述处理电路还被配置为通过以下操作来执行所述EEC注册过程：

对来自所述EEC的EEC注册请求进行编码，以经由所述RF接口电路传输到所述EES，所述EEC注册请求包括从所述ECS获得的所述访问令牌；以及

对EEC注册响应进行解码，所述EEC注册响应是当所述访问令牌被所述EES验证时经由所述RF接口电路从所述EES接收的。

14.如权利要求2所述的装置，其中，所述处理电路还被配置为：

在所述EEC和所述EES之间建立所述安全会话之后，执行与所述EES的边缘应用服务器EAS发现过程。

15.如权利要求14所述的装置，其中，所述处理电路还被配置为通过以下操作来执行所述EAS发现过程：

对来自所述EEC的EAS发现请求进行编码，以经由所述RF接口电路传输到所述EES，所述EAS发现请求包括从所述ECS获得的所述访问令牌；以及

对EAS发现响应进行解码，所述EAS发现响应是当所述访问令牌被所述EES验证时经由所述RF接口电路从所述EES接收的，所述EAS发现响应包括由所述EES从所述ECS获得的EAS访问授权令牌。

16.如权利要求15所述的装置，其中，当所述访问令牌无效时，所述处理电路还被配置为：

对新的访问令牌请求消息进行编码，以经由所述RF接口电路传输到所述ECS来请求新的访问令牌，所述新的访问令牌请求消息包括识别所述EEC的安全上下文所需的参数和用于所述EEC的真实性验证的参数；以及

对当所述EEC的真实性被所述ECS验证时经由所述RF接口电路从所述ECS接收到的所述新访问令牌进行解码。

17.如权利要求15所述的装置，其中，所述处理电路还被配置为：

基于EAS服务器证书建立所述UE中的应用客户端AC与所述EAS之间的传输层安全TLS或安全套接层SSL安全会话，以从所述EAS获得边缘计算服务。

18.如权利要求17所述的装置，其中，所述处理电路还被配置为：

对来自所述AC的应用特定请求进行编码，以经由所述RF接口电路传输到所述EAS，所述应用特定请求包括所述EAS访问授权令牌；以及

对应用特定响应进行解码，所述应用特定响应是当所述EAS访问授权令牌被所述EAS验证时经由所述RF接口电路从所述EAS接收的。

19.一种存储有指令的计算机可读介质，其中，所述指令在由用户设备UE的处理电路执行时使得所述处理电路执行以下操作：

建立与核心网CN的协议数据单元PDU会话，以发起与边缘配置服务器ECS的二次认证；

在所述二次认证成功完成之后，通过EDGE-4接口执行所述UE中的边缘启用客户端EEC与所述ECS的服务配设过程；以及

通过EDGE-1接口建立所述EEC与边缘启用服务器EES之间的安全会话，以向所述EES认证所述EEC。

Images