CN114930769B

CN114930769B - 本地通信的方法、装置和系统

Info

Publication number: CN114930769B
Application number: CN201980103267.4A
Authority: CN
Inventors: 刘清顺; 何朗; 李伟; 林浩
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2019-12-31
Filing date: 2019-12-31
Publication date: 2024-04-12
Anticipated expiration: 2039-12-31
Also published as: CN114930769A; WO2021134381A1

Abstract

本申请实施例提供一种本地通信的方法。在该方法中，边缘计算终端支持远距离无线通信技术的基站空口侧协议栈，并支持基于根密钥和随机数生成相关密钥。具体的，本地终端可以发起对边缘计算终端的接入；边缘计算终端向本地终端分配用于进行本地通信的网络临时标识，获取存储在本地终端上的终端标识来获取相应的根密钥、随机数和完整性保护算法，推演出控制面完整性保护密钥，并发送上述随机数和完整性保护算法给本地终端；本地终端根据根密钥、上述随机数和完整性保护算法生成控制面完整性保护密钥；本地终端和边缘计算终端使用各自生成的控制面完整性保护密钥对来自对方的控制面消息进行完整性校验以实现相互鉴权；鉴权通过后，边缘计算终端和本地终端进行本地通信。该方法适用于物联网、车联网等业务场景。

Description

本地通信的方法、装置和系统

技术领域

本申请涉及通信技术领域，尤其涉及本地通信的方法、装置和系统。

背景技术

随着无线通信技术的发展，越来越多的业务网络，诸如物联网、车联网等，采用了端、边、管、云的架构。如图1所示，端是指本地终端；边是指具有边缘计算能力的终端，可称为边缘计算终端；管是指端和边之间的本地通信管道，以及边和云之间的远程通信管道；云是指业务平台和应用。其中，本地终端是指接受本地服务的终端；边缘计算终端是指为本地终端提供本地服务的终端，在部署位置上靠近本地终端，可以为本地终端提供实时、动态和智能的计算服务，例如从本地终端收集信息进行计算、实施本地管理和控制、并和云进行通信交互信息；本地通信管道是指端和边之间的通信管道，支持端和边之间的直接通信，即无需通过基站和核心网进行转发的通信。远程通信管道是指边和云之间的通信管道，包括基站和核心网，支持边和云之间的远程通信，其中，远程通信是指经过基站和核心网的通信。

用于支持远程通信的远程通信技术可以包括有线通信技术和远距离无线通信技术。其中，远距离无线通信技术是指由通信标准组织定义的，使用授权频谱、具有广覆盖、低时延、可保障等特点的通信技术，例如3GPP(3rd Generation Partnership Project，第三代合作伙伴计划)的LTE(Long Term Evolution，长期演进)、NR(New Radio，新空口)。

相比较传统的通信网络中两个终端的通信需要通过基站和核心网的中转，端和边之间采用本地通信能够避免上述中转带来的不必要的中转传输和时延。目前，用于本地通信的通信技术可以采用短距离无线通信技术，例如WiFi、ZigBee、Wi-SUN(Wireless Smartmetering Utility Network，无线智能抄表公用网络)。上述本地通信技术使用非授权频谱。由于非授权频谱由多方共用，一般要求终端支持LBT(先听后讲，listen before talk)，即终端在发送数据前需要判断信道是否空闲，因此可能会影响通信时延。另外，非授权频谱的某些频段有通信占空比的要求，且发射功率有严格的限制，因此覆盖距离小。

发明内容

本申请实施例用于提供本地通信的方法、装置以及系统，用于增加本地通信的覆盖范围，降低本地通信的时延。

为了实现以上目的，本申请实施例提供以下方案。

第一方面，本申请实施例提供一种本地通信方法，该方法基于远距离无线通信技术，该方法包括：本地终端向边缘计算终端发起接入；其中，该边缘计算终端支持基站空口侧协议栈，该本地终端存有根密钥；该边缘计算终端向该本地终端分配网络临时标识，该网络临时标识用于该边缘计算终端与该本地终端进行本地通信；该边缘计算终端从该本地终端获取该本地终端的终端标识；该边缘计算终端获取与该终端标识对应的该根密钥、随机数、和完整性保护算法；该边缘计算终端根据该根密钥，该随机数、和该完整性保护算法生成控制面完整性保护密钥K_CPint；其中，该K_CPint用于对该本地终端和该边缘计算终端之间的控制面消息进行完整性保护；该边缘计算终端向该本地终端发送使用该K_CPint进行完整性保护的第一控制面消息，该第一控制面消息包括该随机数、和该完整性保护算法；该本地终端根据该根密钥、该随机数、和该完整性保护算法生成该K_CPint；该本地终端通过使用该K_CPint对该第一控制面消息进行完整性校验来对该边缘计算终端进行鉴权；该本地终端向该边缘计算终端发送使用该K_CPint进行完整性保护的第二控制面消息；该边缘计算终端通过使用该K_CPint对该第二控制面消息进行完整性校验来对该本地终端进行鉴权；该本地终端与该边缘计算终端进行该本地通信。

上述方法中，边缘计算终端支持远距离无线通信技术的基站空口侧协议栈，使得本地终端与边缘计算终端之间使用远距离无线通信技术成为可能。边缘计算终端支持从本地终端获取终端标识，从而获取本地终端的根密钥，并基于根密钥和随机数生成控制面完整性保护密钥，使得边缘计算终端和本地终端可以在没有部署核心网的情况下完成相互鉴权。因此，通过上述方法，本地终端和边缘计算终端之间可以采用远距离无线通信技术进行本地通信，而无需部署核心网来支持该本地通信，使得采用远距离无线通信技术的本地通信的复杂度和成本的降低，同时相比较采用短距离无线通信技术的本地通信而言，能增加覆盖、降低时延。

作为第一种可选的实施方式，该边缘计算终端获取与该终端标识对应的该根密钥、随机数、和完整性保护算法，包括：该边缘计算终端获取与该终端标识对应的该根密钥、该随机数、加密算法、和该完整性保护算法；该边缘计算终端根据该根密钥，该随机数、和该完整性保护算法生成控制面完整性保护密钥K_CPint，包括：该边缘计算终端根据该根密钥，该随机数、该加密算法、和该完整性保护算法生成控制面加密密钥K_CPenc、该K_CPint、以及用户面加密密钥K_UPenc；其中，该K_CPenc用于加密该控制面消息，该K_UPenc用于加密该本地终端和该边缘计算终端之间的用户面数据；该第一控制面消息还包括该加密算法；该本地终端根据该根密钥，该随机数、和该完整性保护算法生成该K_CPint，包括：该本地终端根据该根密钥，该随机数、该加密算法、和该完整性保护算法生成该K_CPenc、该K_CPint、和该K_UPenc。

在该实施方式中，边缘计算终端和本地终端支持控制面加密密钥和用户面加密密钥，能够加强边缘计算终端和本地终端之间的本地通信的安全性。

作为第二种可选的实施方式，该边缘计算终端根据该根密钥，该随机数、该加密算法、和该完整性保护算法生成控制面加密密钥K_CPenc、该K_CPint、以及用户面加密密钥K_UPenc，包括：该边缘计算终端根据该根密钥和该随机数生成基站密钥K_eNB；该边缘计算终端根据该K_eNB、该加密算法和该完整性保护算法生成该K_CPenc、该K_CPint、和该K_UPenc；该本地终端根据该根密钥，该随机数、该加密算法、和该完整性保护算法生成该K_CPenc、该K_CPint、和该K_UPenc，包括：该本地终端根据该根密钥和该随机数生成该K_eNB；该本地终端根据该K_eNB、该加密算法和该完整性保护算法生成该K_CPenc、该K_CPint、和该K_UPenc。

在该实施方式中，先生成基站密钥，再由基站密钥推演加密密钥和完整性保护密钥，可以最大化利用远距离无线通信技术的标准中密钥推演的相关技术方案，对本地终端和边缘计算终端的改动较小，使方案实施简单、成本较低。

作为第三种可选的实施方式，该方法还包括：该边缘计算终端获取更新的随机数，该更新的随机数用于进行密钥更新；该边缘计算终端根据该更新的随机数进行该密钥更新；该边缘计算终端向该本地终端发送该更新的随机数；该本地终端根据该更新的随机数进行该密钥更新。

在该实施方式中，边缘计算终端可以周期性的或者事件触发的对本地通信用的密钥进行更新，进一步加强了本地通信的安全性。

作为第四种可选的实施方式，该加密算法包括：控制面加密算法，和用户面加密算法。

在该实施方式中，控制面和用户面可以有不同的加密算法，进一步保证了本地通信的安全性。

作为第五种可选的实施方式，该方法还包括：该边缘计算终端向该本地终端分配IP地址，并保存该IP地址和该网络临时标识的对应关系。

在该实施方式中，边缘计算终端支持IP地址分配功能，并将分配给本地终端的IP地址与分配给本地终端的网络临时标识绑定，可以在收到部署在云的业务平台或应用发送给本地终端的数据包后，根据网络临时标识将该数据包转发给本地终端。由此，实现了本地终端与云的远程通信。

作为第六种可选的实施方式，该方法还包括：该边缘计算终端接收数据包，该数据包的目的地址为该IP地址；该边缘计算终端根据该IP地址获取该网络临时标识；该边缘计算终端根据该网络临时标识向该本地终端发送该数据包。

在该实施方式中，边缘计算终端起到了本地终端和云之间中继节点的作用，在实现本地通信的同时，还能兼顾远程通信。

作为第七种可选的实施方式，该本地终端向边缘计算终端发起接入，包括：该本地终端向该边缘计算终端发送随机接入前导码。

在该实施方式中，本地终端可以利用远距离通信技术的随机接入流程接入边缘计算终端。

作为第八种可选的实施方式，该边缘计算终端向该本地终端分配网络临时标识，包括：该边缘计算终端向该本地终端发送随机接入响应RAR，该RAR包括该网络临时标识。

在该实施方式中，边缘计算终端可以利用远距离通信技术的随机接入流程向本地终端分配网络临时标识。

作为第九种可选的实施方式，该边缘计算终端从该本地终端获取该本地终端的终端标识，包括：该边缘计算终端向该本地终端发送该随机接入的消息四MSG4，该MSG4包括用于请求该终端标识的信息；该本地终端向该边缘计算终端发送第一无线资源控制RRC消息，该第一RRC消息包括该终端标识。

在该实施方式中，将原本由NAS协议实现的标识获取功能通过改动RRC协议来实现，可以免去边缘计算终端和本地终端对NAS协议的支持，简化了实现难度。另外，利用随机接入流程来获取本地终端的终端标识，节省了信令交互，提高了方案执行效率。

第二方面，基于第一方面，本申请实施例提供一种边缘计算终端侧的本地通信方法，该方法基于远距离无线通信技术，该方法包括：边缘计算终端从本地终端接收接入信号；其中，该边缘计算终端支持基站空口侧协议栈，该本地终端存有根密钥该边缘计算终端向该本地终端分配网络临时标识；其中，该网络临时标识用于该边缘计算终端和该本地终端进行本地通信；该边缘计算终端从该本地终端获取该本地终端的终端标识；该边缘计算终端获取与该终端标识对应的该根密钥、随机数、和完整性保护算法；该边缘计算终端根据该根密钥，该随机数、和该完整性保护算法生成控制面完整性保护密钥K_CPint；其中，该K_CPint用于对该本地终端和该边缘计算终端之间的控制面消息进行完整性保护；该边缘计算终端向该本地终端发送使用该K_CPint进行完整性保护的第一控制面消息，该第一控制面消息包括该随机数、和该完整性保护算法；其中，使用该K_CPint进行完整性保护的该第一控制面消息用于通过完整性校验对该边缘计算终端鉴权；该边缘计算终端从该本地终端接收使用该K_CPint进行完整性保护的第二控制面消息；该边缘计算终端通过使用该K_CPint对该第二控制面消息进行完整性校验来对该本地终端进行鉴权；该边缘计算终端与该本地终端进行该本地通信。

作为第一种可选的实施方式，该边缘计算终端获取与该终端标识对应的该根密钥、随机数、和完整性保护算法，包括：该边缘计算终端获取与该终端标识对应的该根密钥、该随机数、加密算法、和该完整性保护算法；该边缘计算终端根据该根密钥，该随机数、和该完整性保护算法生成控制面完整性保护密钥K_CPint，包括：该边缘计算终端根据该根密钥，该随机数、该加密算法、和该完整性保护算法生成控制面加密密钥K_CPenc、该K_CPint、以及用户面加密密钥K_UPenc；其中，该K_CPenc用于加密该控制面消息，该K_UPenc用于加密该本地终端和该边缘计算终端之间的用户面数据；该第一控制面消息还包括该加密算法。

作为第二种可选的实施方式，该边缘计算终端根据该根密钥，该随机数、该加密算法、和该完整性保护算法生成控制面加密密钥K_CPenc、该K_CPint、以及用户面加密密钥K_UPenc，包括：该边缘计算终端根据该根密钥和该随机数生成基站密钥K_eNB；该边缘计算终端根据该K_eNB、该加密算法和该完整性保护算法生成该K_CPenc、该K_CPint、和该K_UPenc。

作为第三种可选的实施方式，该方法还包括：该边缘计算终端获取更新的随机数，该更新的随机数用于进行密钥更新；该边缘计算终端根据该更新的随机数进行该密钥更新；该边缘计算终端向该本地终端发送该更新的随机数。

作为第四种可选的实施方式，该加密算法包括：控制面加密算法和用户面加密算法。

作为第七种可选的实施方式，该边缘计算终端向该本地终端分配网络临时标识，包括：该边缘计算终端向该本地终端发送随机接入响应RAR，该随机接入响应包括该网络临时标识。

作为第八种可选的实施方式，该边缘计算终端从该本地终端获取该本地终端的终端标识，包括：该边缘计算终端向该本地终端发送该随机接入的消息四MSG4，该MSG4包括用于请求该终端标识的信息；该边缘计算终端从该本地终端接收第一无线资源控制RRC消息，该第一RRC消息包括该终端标识。

第二方面及其可选的实施方式，以及增益可参考第一方面及其实施方式的相关内容。

第三方面，基于第一方面，本申请实施例提供一种本地终端侧的本地通信的方法，该方法基于远距离无线通信技术，该方法包括：本地终端向边缘计算终端发起接入；其中，该边缘计算终端支持基站空口侧协议栈，该本地终端存有根密钥；该本地终端从该边缘计算终端获取网络临时标识，该网络临时标识用于该边缘计算终端与该本地终端进行本地通信；该本地终端向该边缘计算终端发送终端标识；其中，该终端标识与该根密钥，随机数、和完整性保护算法对应；该本地终端从该边缘计算终端接收使用控制面完整性保护密钥K_CPint进行完整性保护的第一控制面消息，该第一控制面消息包括该随机数、和该完整性保护算法；其中，该K_CPint用于对该本地终端和该边缘计算终端之间的控制面消息进行完整性保护；该本地终端根据该根密钥、该随机数、和该完整性保护算法生成该K_CPint；该本地终端通过使用该K_CPint对该第一控制面消息进行完整性校验来对该边缘计算终端进行鉴权；该本地终端向该边缘计算终端发送使用该K_CPint进行完整性保护的第二控制面消息；其中，使用该K_CPint进行完整性保护的该第二控制面消息用于通过完整性校验对该本地终端鉴权；该本地终端与该边缘计算终端进行该本地通信。

作为第一种可选的实施方式，该第一控制面消息还包括加密算法；该本地终端根据该根密钥、该随机数、和该完整性保护算法生成该K_CPint，包括：该本地终端根据该根密钥，该随机数、该加密算法、和该完整性保护算法生成控制面加密密钥K_CPenc、该K_CPint、和用户面加密密钥K_UPenc；其中，该K_CPenc用于加密该控制面消息，该K_UPenc用于加密该本地终端和该边缘计算终端之间的用户面数据。

作为第二种可选的实施方式，该本地终端根据该根密钥，该随机数、该加密算法、和该完整性保护算法生成控制面加密密钥K_CPenc、该K_CPint、和用户面加密密钥K_UPenc，包括：该本地终端根据该根密钥和该随机数生成基站密钥K_eNB；

该本地终端根据该K_eNB、该加密算法和该完整性保护算法生成该K_CPenc、该K_CPint、和该K_UPenc。

作为第三种可选的实施方式，该方法还包括：该本地终端从该边缘计算终端接收更新的随机数，该更新的随机数用于进行密钥更新；该本地终端根据该更新的随机数进行该密钥更新。

作为第五种可选的实施方式，该方法还包括：该本地终端从该边缘计算终端接收分配给该本地终端的IP地址。

作为第六种可选的实施方式，该方法还包括：该本地终端根据该网络临时标识从该边缘计算终端接收数据包，该数据包的目的地址为该IP地址。

作为第八种可选的实施方式，该本地终端从该边缘计算终端获取网络临时标识，包括：该本地终端从该边缘计算终端接收随机接入响应RAR，该RAR包括该网络临时标识。

作为第九种可选的实施方式，该方法还包括：该本地终端从该边缘计算终端接收随机接入的消息四MSG4，该MSG4包括用于请求该终端标识的信息；其中，该本地终端向该边缘计算终端发送终端标识，包括：该本地终端向该边缘计算终端发送第一无线资源控制RRC消息，该第一RRC消息包括该终端标识。

第三方面及其可选的实施方式、以及增益可参考第一方面及其实施方式的内容。

作为一种可选的实施方式，在上述各方面的方法中，该远距离通信技术包括：长期演进LTE技术、或者新空口NR技术。利用成熟的，主流的远距离通信技术能够兼容更多的设备，减少实现难度。

作为一种可选的实施方式，在上述各方面的方法中，该边缘计算终端存有与该终端标识对应的该根密钥。通过在边缘计算终端上配置本地终端的根密钥，可以避免部署核心网来实现鉴权。

作为一种可选的实施方式，在上述各方面的方法中，该基站空口侧协议栈包括：RRC层、分组数据汇聚协议PDCP层、无线链路控制RLC层、媒体访问控制MAC层、和物理PHY层。可选的，还可以包括业务数据适配协议SDAP层。

作为一种可选的实施方式，在上述各方面的方法中，该网络临时标识包括：小区无线网络临时标识C-RNTI；或者，临时小区无线网络临时标识TC-RNTI。

作为一种可选的实施方式，在上述各方面的方法中，该终端标识包括：国际移动用户识别码IMSI；或者国际移动设备标识IMEI。

作为一种可选的实施方式，在上述各方面的方法中，该第一控制面消息包括：安全模式命令消息；该第二控制面消息包括：安全模式完成消息。

第四方面，为了实现上述各方面中边缘计算终端的功能，本申请实施例提供一种边缘计算终端，支持远距离无线通信技术的基站空口侧协议栈，该边缘计算终端包括处理电路，该处理电路用于执行指令以实现上述各方面中边缘计算终端的功能。

第五方面，为了实现上述各方面中边缘计算终端的功能，本申请实施例提供一种边缘计算终端，支持远距离无线通信技术的基站空口侧协议栈，该边缘计算终端包括：处理单元，和收发单元，用于实现上述各方面中边缘计算终端的功能。

上述第四和第五方面的边缘计算终端可以有多种形态，例如边缘计算终端可以是独立部署的设备，或者可以是芯片，或者可以是单板等。

第六方面，为了实现上述各方面中边缘计算终端的功能，本申请实施例提供一种边缘计算接入装置，支持远距离无线通信技术的基站空口侧协议栈，该边缘计算接入装置包括处理电路，该处理电路用于执行指令以实现上述各方面中边缘计算终端的功能。边缘计算接入装置可以有多种形态，例如边缘计算接入装置可以是一个接入点，或者可以是通信芯片，或者可以是通信单板等。

作为一种可选的实施方式，该边缘计算接入装置可以与边缘计算终端相连，例如通过光纤连接。作为另一种可选的实施方式，该边缘计算接入装置可以与边缘计算终端集成，例如可以作为边缘计算终端的南向模块。

第七方面，为了实现上述各方面中本地终端的功能，本申请实施例提供一种本地终端，包括处理电路，该处理电路用于执行指令以实现上述各方面中边缘计算终端的功能。

第八方面，为了实现上述各方面中本地终端的功能，本申请实施例提供一种本地终端，包括处理单元和收发单元，用于实现上述各方面中边缘计算终端的功能。

上述第七方面和第八方面的本地终端可以有多种形态，例如本地终端可以是独立部署的设备，或者可以是芯片，或者可以是单板等。

第九方面，为了实现上述本地通信功能，本申请实施例提供一种本地通信系统，包括上述各方面的边缘计算终端和本地终端。

第十方面，为了实现上述各方面中边缘计算终端的功能，本申请实施例提供一种计算机程序产品，包括指令，当指令在边缘计算终端执行时，使得该边缘计算终端实现上述各方面中边缘计算终端的功能。

第十一方面，本申请实施例提供一种计算机可读存储介质，包括第十方面的计算机程序产品。

第十二方面，为了实现上述各方面中本地终端的功能，本申请实施例提供一种计算机程序产品，包括指令，当指令在本地终端执行时，使得本地终端实现上述各方面中本地终端的功能。

第十三方面，本申请实施例还提供一种计算机可读存储介质，包括第十二方面的计算机程序产品。

上述第四至第十三方面的说明和增益可参考第一方面及其实施方式的相关内容。

附图说明

图1是一种端、边、管、云架构的网络示意图；

图2是一种LTE中基站空口侧协议栈的示意图；

图3是一种边缘计算接入装置的部署示意图；

图4是一种边缘计算接入点的结构示意图；

图5是一种边缘计算终端的结构示意图；

图6是一种本地终端的结构示意图；

图7是一种本地通信方法的流程示意图；

图8是一种密钥派生示意图；

图9是另一种本地通信方法的流程示意图；

图10是再一种本地通信方法的流程示意图；

图11是另一种边缘计算接入点的结构示意图；

图12是另一种边缘计算终端的结构示意图；

图13是另一种本地终端的结构示意图。

具体实施方式

为了更清楚、完整介绍本申请的技术方案，以下结合附图对本申请实施例进行说明。

本申请的技术方案适用于如图1所示的端、边、管、云架构的网络。需要说明书的是，图1的网络示意图仅仅是一种举例，并不构成对于本申请技术方案的限制，本申请的技术方案还可以适用于其他包括本地通信的网络，或者仅部署本地通信的网络。本申请实施例中，术语“系统”可以和“网络”相互替换，在此统一说明，以下不再赘述。另外，本申请的技术方案不仅适用于边缘计算场景，还可以适用于其他部署了本地通信的业务场景，在其他业务场景中，本地终端和边缘计算终端会有不同的称呼。为了便于说明本申请的技术方案，本申请以下以边缘计算场景为例进行说明。

在本申请中，本地通信采用远距离通信技术，本地通信所采用的远距离通信技术可以和远程通信所采用的远距离通信技术相同或者不同。作为一种举例，在图1的网络中，本地通信采用LTE技术，远程通信可采用LTE技术或者NR技术。

在本申请中，边缘计算终端支持远距离通信技术基站空口侧的协议栈。基站的协议栈可以分为基站空口侧协议栈和基站核心网侧协议栈。基站空口侧的协议栈可分为基站空口侧用户面协议栈和基站空口侧控制面协议栈。如图2所示，在LTE技术中，基站空口侧用户面协议栈包括：PDCP(Packet Data Convergence Protocol，分组数据汇聚层协议)层、RLC(Radio Link Control，无线链路控制)层、MAC(Media Access Control，媒体接入控制)层、和PHY(physical layer，物理层)；基站空口侧控制面协议栈包括：RRC(Radio ResourceControl，无线资源控制)层、PDCP层、RLC层、MAC层、PHY。其中，RRC层主要用于系统信息的广播、维护与终端之间的RRC连接、与终端之间无线承载的管理、密钥管理等；PDCP层对于用户面而言主要用于头压缩和解压、用户面数据传输、加解密；PDCP层对于控制面而言主要用于加密和完整性保护、以及控制面数据传输等。RLC层主要用于基于ARQ(automatic repeatrequest，自动重传请求)的纠错、对于RLC SDU(service data unit，业务数据单元)的级联、分割和重组等；MAC层主要用于对MAC SDU的复用以及HARQ(hybrid automatic repeatrequest，混合自动重传请求)等；PHY主要用于处理编码和译码、调制与解调、天线映射等。上述基站的协议栈的功能介绍可以参考3GPP TS 36.300 R8以及后续版本中，例如v10.12.0中，章节4.3.1、章节4.3.2、章节5-7的相关内容。在NR技术中，对于基站空口侧用户面协议栈，较LTE技术中新增了SDAP(Service Data Adaptation Protocol，业务数据适配协议，)层作为PDCP层的上层，SDAP层主要用于QoS(quality of service，服务质量)流与无线承载之间的映射、对上行或者下行数据包标识QFI(服务质量流标识，QoS flow ID)。

作为一种可选的实施方式，在本地通信中，可以不必支持远距离通信技术基站空口侧的协议栈的所有功能，可以支持边缘计算终端与本地终端之间进行通信不可或缺的那部分功能，换而言之若缺失那部分功能，边缘计算终端与本地终端之间无法实现使用远距离通信技术进行通信。当然，为了增强边缘计算终端与本地终端之间的通信能力，也可以选择性的支持不可或缺的那部分功能以外的其他功能。

在远距离通信技术中，控制面主要用于传输控制消息，用户面主要用于传输业务数据，但这种区分方式并不绝对。控制消息和业务数据都可以认为是一种数据，通过控制面传输的数据称为控制面数据，通过用户面传输的数据称为用户面数据。在本申请中，对于本地终端和边缘计算终端之间进行业务数据的传输，即可以通过控制面传输，也可以通过数据面传输，本申请对此并不作限制。

为了实现边缘计算终端支持远距离通信技术基站空口侧的协议栈，本申请实施例提供一种边缘计算接入装置，该边缘计算接入装置支持远距离通信技术基站空口侧的协议栈。如图3所示，该边缘计算接入装置可以是一个边缘计算接入点，与边缘计算终端物理相连，例如通过光纤连接。该边缘计算接入点可以与本地终端进行本地通信，将本地终端的数据转发给边缘计算终端，或者将边缘计算终端的数据转发给本地终端。又如图3所示，该边缘计算接入装置可以集成在边缘计算终端。例如边缘计算接入装置可以作为边缘计算终端的南向模块，边缘计算终端通过该南向模块与本地终端进行本地通信，通过北向模块与基站进行远程通信。该南向模块可以以独立芯片的方式内置于边缘计算终端，或者该南向模块的功能可以集成在边缘计算终端的芯片内。

图4是一种边缘计算接入点的结构示意图。如图4所示，边缘计算接入点包括处理器401和收发机402。其中，基站空口侧协议栈的功能可以通过处理器401和收发机402实现。可选的，边缘计算接入点还包括存储器403，其中，基站空口侧协议栈的功能或者一部分功能可以以指令的形式固化在存储器403中，由处理器401读取存储器403中的指令以实现基站空口侧协议栈的功能或者一部分功能。可选的，PHY层的编码、解码可以由硬件电路，例如编码器，完成。

图5是一种边缘计算终端的结构示意图。如图5所示，边缘计算终端包括处理器501和收发机502。其中，基站空口侧协议栈的功能可以通过处理器501和收发机502实现。可选的，边缘计算终端还包括存储器503，其中，基站空口侧协议栈的功能或者一部分功能可以以指令的形式固化在存储器503中，由处理器501读取存储器503中的指令以实现基站空口侧协议栈的功能或者一部分功能。可选的，PHY层的编码、解码可以由硬件电路，例如编码器，完成。

图6是一种本地终端的结构示意图。如图6所示，本地终端包括处理器601和收发机602。其中，处理器601和收发机602可以实现终端空口侧协议栈的功能。可选的，本地终端还包括存储器603，其中终端空口侧协议栈的功能或者一部分功能可以以指令的形式固化在存储器603中，由处理器601读取存储器603中的指令以实现终端空口侧协议栈的功能或者一部分功能。其中，终端空口侧的协议栈与基站空口侧协议栈类似，可分为终端空口侧用户面协议栈和终端空口侧控制面协议栈。终端空口侧用户面协议栈包括PDCP层、RLC层、MAC层、和PHY层。终端空口侧控制面协议栈包括：RRC层、PDCP层、RLC层、MAC层、PHY层。可选的，PHY层的编码、解码可以由硬件电路，例如编码器，完成。

在远程通信技术中，鉴权、安全、IP(Internet Protocol，互联网协议)地址分配、移动性管理、专有承载的QoS(quality of service，服务质量)保障、多PDN(packet datanetwork，分组数据网)连接等功能需要核心网的支持。边缘计算终端可集成本地通信所需核心网功能，而无需为本地通信再部署一套核心网。由于无需为本地通信部署一套核心网，本地终端和边缘计算终端可以不为了本地通信而实现协议栈中的NAS层，取而代之本地终端和边缘计算终端可以将本地通信所需的核心网功能通过改动上述基站空口侧协议栈或者终端空口侧协议栈来实现，例如通过改动RRC层，使RRC层实现核心网的功能。一种实施方式是本地终端和边缘计算终端之间支持互相鉴权，即双向鉴权。为了支持双向鉴权，边缘计算终端支持从本地终端获取本地终端内置的终端标识、根据该终端标识获取本地终端的根密钥，生成随机数，根据本地终端的根密钥、随机数、和完整性保护算法生成控制面完整性保护密钥等功能；本地终端支持向边缘计算终端发送其内置的终端标识、从边缘计算终端获取上述随机数和上述完整性保护算法，根据根密钥、随机数、和完整性保护算法生成控制面完整性保护密钥等功能。可选的，在该实施方式的基础上，本地终端和边缘计算终端支持用户面加密密钥和控制面加密密钥的生成。可选的，在该实施方式的基础上，本地终端和边缘计算终端之间支持由边缘计算终端分配IP地址。

以下基于上述本地终端和边缘计算终端，对本申请实施例提供的一种本地通信的方法进行说明。如图7所示，该方法包括：

S701：本地终端向边缘计算终端发起接入。

例如，本地终端向边缘计算终端发送随机接入前导。

S702：边缘计算终端向本地终端分配网络临时标识。

其中，该网络临时标识用于本地终端和边缘计算终端之间进行远程通信；例如，该网络临时标识可以是C-RNTI(cell radio network temporary identifier，小区无线网络临时标识)，或者TC-RNTI(Temporary Cell Radio Network Temporary Identity，临时小区标识符)。需要说明的是TC-RNTI在接入成功后会作为C-RNTI。

可选的，边缘计算终端可以通过随机接入流程中的消息二MSG2向本地终端发送网络临时标识，即MSG2中包括该网络临时标识。MSG2也被称为随机接入响应(random accessresponse，RAR)。本地终端收到RAR后，会向边缘计算终端发送随机接入流程的消息三MSG3。MSG3在不同的随机接入场景中可以是不同的消息。例如，在初始接入的场景中，MSG3消息是RRC连接请求(RRCConnectionRequest)消息。在基于竞争的随机接入中，MSG3消息中可以携带本地终端生成的随机数或者临时标识，用于后续的竞争解决。若竞争解决成功，MSG2消息中分配给本地终端的网络临时标识就可以用来进行本地终端和边缘计算终端之间的本地通信了。

S703：边缘计算终端从本地终端获取本地终端的终端标识。

该终端标识是指本地终端内置的终端标识；例如：IMSI(international mobilesubscriber identity，国际移动用户识别码)，IMEI(international mobile equipmentidentity，国际移动设备标识)。通常IMSI存储于SIM(subscriber identity module，用户识别模块)卡中，IMEI存储于终端的存储器中。

作为S703的一种可选的实施方式，S703包括：

S703-1：边缘计算终端向本地终端发送请求，用于查询本地终端的终端标识；

S703-2：本地终端向边缘计算终端发送响应，该响应包括本地终端的终端标识。

可选的，在S7031中，边缘计算终端可以通过随机接入流程中的消息四MSG4向本地终端发送该请求。在基于竞争的随机接入中，MSG 4用于竞争解决，MSG4会携带MSG3中携带的随机数或者临时标识，本地终端通过比较MSG4中携带的随机数或者临时标识和其生成的随机数或者临时标识就可以获知是否竞争解决成功。MSG3在不同的随机接入场景中可以是不同的消息。例如，在初始接入的场景中，MSG3消息是RRC连接建立(RRCConnectionSetup)消息。

可选的，在S7032中，本地终端可以通过第一RRC消息向边缘计算终端发送本地终端的终端标识。例如，该第一RRC消息可以是响应于RRC连接建立消息的RRC连接建立完成(RRCConnectionSetupComplete)消息。

作为S703另一种可选你的实施方式，S703包括：

S703-3：本地终端向边缘计算终端发送第二RRC消息，该第二RRC消息包括本地终端的终端标识。可选的，该第二RRC消息可以是RRC连接请求消息或者RRC连接建立完成消息。换而言之，S703-3中，本地终端可以不依赖于边缘计算终端的请求，主动向边缘计算终端发送终端标识。

S704：边缘计算终端获取与该终端标识对应的根密钥、对应的随机数、对应的完整性保护算法。

作为一种可选的设计，边缘计算终端上可以配置本地终端的根密钥，在收到终端标识后，可以根据该终端标识获取该根密钥。作为另一种可选的设计，边缘计算终端可以从其他设备使用给终端标识查询根密钥。其中，边缘计算终端获取到的上述根密钥与本地终端上存的根密钥相同。另外，边缘计算终端可以为本地终端生成随机数，以及选择完整性保护算法。例如，边缘计算终端可以生成32比特的随机数。

S705：边缘计算终端根据根密钥，随机数、和完整性保护算法生成控制面完整性保护密钥K_CPint。

其中，K_CPint用于对本地终端和边缘计算终端之间的控制面消息进行完整性保护。

S706：边缘计算终端向本地终端发送使用该K_CPint进行完整性保护的第一控制面消息，该第一控制面消息包括上述随机数、和上述完整性保护算法。

作为一种可选的实施方式，该第一控制面消息可以是RRC消息，例如安全模式命令消息。

S707：本地终端根据本地终端上的根密钥、上述收到的随机数、和上述收到的完整性保护算法生成K_CPint。

通常本地终端上的根密钥存储在SIM卡中。

S708：本地终端通过使用K_CPint对上述第一控制面消息进行完整性校验来对边缘计算终端进行鉴权。

若对第一控制面消息的完整性校验成功，则本地终端对边缘计算终端的鉴权成功；若对第一控制面消息的完整性校验不成功，则本地终端对边缘计算终端的鉴权失败。若鉴权失败，本地终端可尝试再次接入边缘计算终端或者终止接入边缘计算终端。

S709：本地终端向边缘计算终端发送使用K_CPint进行完整性保护的第二控制面消息。

作为一种可选的实施方式，该第二控制面消息可以是RRC消息，例如安全模式完成消息。

S710：边缘计算终端通过使用K_CPint对上述第二控制面消息进行完整性校验来对本地终端进行鉴权。

若对第二控制面消息的完整性校验成功，则边缘计算终端对本地终端的鉴权成功；若对第二控制面消息的完整性校验不成功，则边缘计算终端对本地终端的鉴权失败。若鉴权失败，边缘计算终端可拒绝本地终端的接入。作为一种选项，边缘计算终端可以发起连接释放流程，例如RRC连接释放流程。

S711：本地终端和边缘计算终端进行本地通信。

当本地终端对边缘计算终端的鉴权和边缘计算终端对本地终端的鉴权都通过时，本地终端和边缘计算终端之间可以进行本地通信。

例如，边缘计算终端通过PDCCH(physical downlink control channel，物理下行控制信道)向本地终端发送经过上述C-RNTI加扰的DCI(downlink control information，下行控制信息)，该DCI指示上行资源，本地终端检测到由上述C-RNTI加扰的DCI后，可获知该DCI是边缘计算终端发送给该本地终端的DCI，本地终端可以在该DCI指示的上行资源上向边缘计算终端发送数据。再例如，边缘计算终端通过PDCCH向本地终端发送经过上述C-RNTI加扰的DCI，该DCI指示下行资源，本地终端检测到由上述C-RNTI加扰的DCI后，可获知该DCI是边缘计算终端发送给该本地终端的DCI，本地终端可以在该DCI指示的下行资源上接收由边缘计算终端发送的数据。

作为一种可选的实施方式，边缘计算终端还可以为本地终端分配IP地址，该方法还包括：

S712：边缘计算终端向该本地终端分配IP地址，并保存该IP地址和该网络临时标识的对应关系。

作为S712的一种可选的实施方式，S712包括：

S712-1：本地终端向边缘计算终端发送IP地址分配请求。

其中，该IP地址请求可以携带IP协议版本，例如IPv4或者IPv6。

S712-2：边缘计算终端向本地终端发送分配给本地终端的IP地址。

边缘计算终端可以根据IP地址请求中的IP协议版本为本地终端分配IPv4地址或者IPv6地址，IPv6地址包含IPv6前缀和IPv6接口标识。

S712-3：边缘计算终端保存分配给本地终端的网络临时标识和分配给本地终端的临时标识的对应关系。

在完成IP地址分配后，可以实现本地终端和云的远程通信。例如：

S713：边缘计算终端从云接收数据包。

其中，该数据包的IP地址为本地终端的IP地址。

S714：边缘计算终端根据该IP地址获取本地终端的网络临时标识。

S715：边缘计算终端根据该网络临时标识向本地终端发送该数据包。

S715可以理解为边缘计算终端通过本地通信向本地终端转发该数据包，具体可以参考S711的说明。

在该实施方式中，边缘计算终端支持IP地址分配功能，并将分配给本地终端的IP地址与分配给本地终端的网络临时标识绑定，可以在收到部署在云的业务平台或应用发送给本地终端的数据包后，根据网络临时标识将该数据包转发给本地终端。由此，实现了本地终端与云的远程通信。可见，边缘计算终端起到了本地终端和云之间中继节点的作用，在实现本地通信的同时，还能兼顾远程通信。

作为一种可选的实施方式，在S704，边缘计算终端还可以获取加密算法，例如控制面加密算法和用户面加密算法，两者可以相同或者不同；在S705，边缘计算终端还可以根据该根密钥，该随机数、该加密算法、和该完整性保护算法生成控制面加密密钥K_CPenc、以及用户面加密密钥K_UPenc；其中，K_CPenc用于加密本地终端和控制面终端之间的控制面消息，K_UPenc用于加密该本地终端和该边缘计算终端之间的用户面数据；在S706中，第一控制面消息还包括上述加密算法；在S707中，本地终端还根据根密钥，随机数、和上述加密算法生成K_CPenc、和K_UPenc。在该实施方式中，边缘计算终端和本地终端支持控制面加密密钥和用户面加密密钥，能够加强边缘计算终端和本地终端之间的本地通信的安全性。其中，边缘计算终端不对第一控制面消息加密，本地终端不对第二控制面消息加密。

作为一种可选的实施方式，本地终端和边缘计算终端，可以先根据根密钥和随机数生成基站密钥K_eNB，再根据K_eNB生成密钥。例如、根据K_eNB和加密密钥生成K_CPenc、和K_UPenc；再例如，根据K_eNB和加密密钥生成K_CPint。密钥生成的实施方式可以参考LTE技术或者NR技术中的相关方案。作为一种示例，如图8所示，根密钥K和随机数RAND(random number)输入密钥派生函数(key derivation function，KDF)，生成K_eNB；K_eNB和用户面加密算法的标识输入密钥派生函数，生成K_UPenc；K_eNB和控制面完整性保护算法的标识输入密钥派生函数，生成K_CPint；K_eNB和控制面加密算法的标识输入密钥派生函数，生成K_CPenc。在该实施方式中，先生成基站密钥，再由基站密钥推演加密密钥和完整性保护密钥，可以最大化利用远距离无线通信技术的标准中密钥推演的相关技术方案，对本地终端和边缘计算终端的改动较小，使方案实施简单、成本较低。

在S711中，本地终端和边缘计算终端之间的控制面消息可以进行完整性保护和加密，本地终端和边缘计算终端之间的用户面数据可以进行加密。

作为一种可选的实施方式，本地终端和边缘计算终端之间可以周期性的或者由事件触发进行密钥更新。边缘计算终端可以生成更新的随机数，并根据更新的随机数对上述密钥进行密钥更新，并将该更新的随机数发送至本地终端，本地终端同样根据更新的随机数对上述密钥进行更新。例如，本地终端和边缘计算终端获取新的随机数后，生成新的K_eNB，接着生成新的K_CPint、新的K_CPenc、和新的K_UPenc。在该实施方式中，边缘计算终端可以周期性的或者事件触发的对本地通信用的密钥进行更新，进一步加强了本地通信的安全性。

在上述可选的实施方式中，将原本由NAS协议实现的功能通过改动RRC协议来实现，可以免去边缘计算终端和本地终端对NAS协议的支持，简化了实现难度。另外，利用随机接入流程来获取本地终端的终端标识，节省了信令交互，提高了方案执行效率。

以下结合图9从边缘计算终端侧对图7所示的本地通信方法进行说明。如图9所示，该方法包括：

S901：边缘计算终端从本地终端接收接入信号。

其中，该接入信号可以是随机接入前导。S901具体可参考S701的相关内容。

S902：边缘计算终端向本地终端分配网络临时标识。

S902具体可参考S702的相关内容。

S903：边缘计算终端从本地终端获取本地终端的终端标识。

S903具体可参考S703的相关内容。

S904：边缘计算终端获取与终端标识对应的根密钥、随机数、和完整性保护算法。

S904具体可参考S704的相关内容。

S905：边缘计算终端根据根密钥，随机数、和完整性保护算法生成K_CPint。

S905具体可参考S705的相关内容。

S906：边缘计算终端向本地终端发送使用K_CPint进行完整性保护的第一控制面消息。

其中该第一控制面消息包括上述随机数、和完整性保护算法；其中，使用K_CPint进行完整性保护的第一控制面消息用于通过完整性校验对边缘计算终端鉴权。

S906具体可参考S706-S708的相关内容。

S907：边缘计算终端从本地终端接收使用K_CPint进行完整性保护的第二控制面消息。

S907具体可参考S709的相关内容。

S908：边缘计算终端通过使用K_CPint对第二控制面消息进行完整性校验来对本地终端进行鉴权。

S908具体可参考S708的相关内容。

S909：边缘计算终端与本地终端进行本地通信。

S909具体可参考S711的相关内容。

S910：边缘计算终端向该本地终端分配IP地址，并保存该IP地址和该网络临时标识的对应关系。

S910具体可参考S712的相关内容。

S911：边缘计算终端从云接收数据包。

S912：边缘计算终端根据该IP地址获取本地终端的网络临时标识。

S913：边缘计算终端根据该网络临时标识向本地终端发送该数据包。

S911-S913具体可参考S714-S715的相关说明。

需要说明的是，图9所示方法的各种可选实施方式、举例和有益效果可以参考图7的相关内容，此处不做赘述。

以下结合图10从本地终端侧对图7所示的本地通信方法进行说明。如图10所示，该方法包括：

S1001：本地终端向边缘计算终端发起接入。

S1001具体可参考S701的相关内容。

S1002：本地终端从边缘计算终端获取网络临时标识。

S1002具体可参考S702的相关内容。

S1003：本地终端向边缘计算终端发送终端标识。

S1003具体可参考S703的相关内容。

S1004：本地终端从边缘计算终端接收使用K_CPint进行完整性保护的第一控制面消息。

其中，该第一控制面消息包括随机数、和完整性保护算法。

S1004具体可参考S704-S706的相关内容。

S1005：本地终端根据根密钥、随机数、和完整性保护算法生成K_CPint。

S1005具体可参考S707的相关内容。

S1006：本地终端通过使用K_CPint对第一控制面消息进行完整性校验来对边缘计算终端进行鉴权。

S1006具体可参考S708的相关内容。

S1007：本地终端向所述边缘计算终端发送使用K_CPint进行完整性保护的第二控制面消息。

其中，使用K_CPint进行完整性保护的第二控制面消息用于通过完整性校验对本地终端鉴权。

S1007具体可参考S709-S710的相关内容。

S1008：本地终端与边缘计算终端进行所述本地通信。

S1008具体可参考S711的相关内容。

作为一种可选的实施方式，本地终端还可以从边缘计算终端获取为本地终端分配的IP地址，该方法还包括：

S1009：本地终端从边缘计算终端接收分配给本地终端的IP地址。

S1009具体参考S712的相关内容。

S1010：本地终端根据网络临时标识从边缘计算终端接收数据包。

其中，该数据包的目的地址为分配给本地终端的IP地址。

S1010具体可参考S713-S715的相关说明。

需要说明的是，图10所示方法的各种可选实施方式、举例和有益效果可以参考图7的相关内容，此处不做赘述。

为了实现本申请的技术方案，本申请实施例提供一种边缘计算接入装置。该边缘计算接入装置用于实现图7、图9和图10中的边缘计算终端的本地通信功能。该边缘计算接入装置可以是如图4所示边缘计算接入点，或者可以是集成在边缘计算终端的模块、芯片、单板等。该边缘计算接入点包括处理器，用于执行指令，以实现如图7、图9和图10所示的边缘计算终端执行的步骤。上述指令可存储于存储器，该存储器可以内置于边缘计算接入装置或者外置于边缘计算接入装置。

图11从单元划分角度为对上述边缘计算接入装置进行描述。如图11所示，包括处理单元1101和收发单元1102。

其中，收发单元1102可以用于实现例如S901、S902、S903、S906、S907、S909、S910、S911、S912、S913的相关功能；处理单元可以用于实现例如S904、S905、S908、S909、S910的相关功能。

为了实现本申请的技术方案，本申请实施例提供一种边缘计算终端。该边缘计算终端用于实现图7、图9和图10中的边缘计算终端的功能。该边缘计算终端的结构如图5所示。该边缘计算终端包括处理器501，用于执行指令，以实现如图7、图9和图10所示的边缘计算终端执行的步骤。上述指令可存储于存储器503，该存储器503可以内置于边缘计算终端或者外置于边缘计算终端。

图12从单元划分角度为对上述边缘计算终端进行描述。如图12所示，边缘计算终端包括南向模块1201、和北向模块1202。其中，北向模块1202用于实现远程通信，南向模块1201用于实现例如图9所示的S901-S913的相关功能。

为了实现本申请的技术方案，本申请实施例提供一种本地终端。该本地终端用于实现图7、图9和图10中的本地终端的功能。该本地终端的结构如图6所示。该本地终端包括处理器601，用于执行指令，以实现如图7、图9和图10所示的本地终端所示执行的步骤。上述指令可存储于存储器603，该存储器603可以内置于本地终端或者外置于本地终端。

图13从单元划分角度为对上述本地终端进行描述。如图13所示，本地终端包括处理单元1301和收发单元1302。其中，收发单元用于实现例如图10所示的S1001、S1002、S1003、S1004、S1007、S1008、S1009、S1010的相关功能；处理单元1301用于实现例如图10所示的S1005、S1006、S1008的相关功能。

为了实现本申请的技术方案，本申请实施例还提供一种边缘计算终端相关的计算机程序产品，包括指令、当指令在边缘计算终端执行时，使得该边缘计算终端实现上述图7、图9和图10中边缘计算终端的功能。

为了实现本申请的技术方案，本申请实施例还提供一种计算机可读存储介质，包括上述边缘计算终端相关的计算机程序产品。

为了实现本申请的技术方案，本申请实施例还提供一种本地终端相关的计算机程序产品，包括指令、当指令在本地终端执行时，使得本地终端实现上述图7、图9和图10中本地终端的功能。

为了实现本申请的技术方案，本申请实施例还提供一种计算机可读存储介质，包括上述本地终端相关的计算机程序产品。

本申请实施例还提供一种本地通信系统，包括上述边缘计算终端和本地终端。

在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。同时，在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念，便于理解。

可选的，本申请实施例中的本地终端和边缘计算终端，可以是一种设备，也可以是一种芯片。其中，终端在不同系统中可以有不同的名称。例如终端可以是LTE系统、NR系统或者未来演进的网络中的用户设备(user equipment，UE)、接入终端、终端单元、终端站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等。接入终端可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digitalassistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备或可穿戴设备，虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。终端可以是移动的，也可以是固定的。

本申请实施例中，处理器可以是一个通用中央处理器(central processingunit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。存储器可以是具有存储功能的装置。例如可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路与处理器相连接。存储器也可以和处理器集成在一起。

本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。

需要说明的是，本申请下述实施例中消息名字或消息中各参数的名字等只是一个示例，具体实现中也可以是其他的名字，本申请实施例对此不作具体限定。

本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法实施例中对装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

本申请实施例中，“单元”、“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例该的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。本申请实施例中，计算机可以包括前面该的装置。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看该附图、公开内容、以及所附权利要求书，可理解并实现该公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种本地通信的方法，其特征在于，基于远距离无线通信技术，所述方法包括：

本地终端向边缘计算终端发起接入；其中，所述边缘计算终端支持基站空口侧协议栈，所述本地终端存有根密钥；

所述边缘计算终端向所述本地终端分配网络临时标识，所述网络临时标识用于所述边缘计算终端与所述本地终端进行本地通信；

所述边缘计算终端从所述本地终端获取所述本地终端的终端标识；

所述边缘计算终端获取与所述终端标识对应的所述根密钥、随机数、和完整性保护算法；

所述边缘计算终端根据所述根密钥，所述随机数、和所述完整性保护算法生成控制面完整性保护密钥K_CPint；其中，所述K_CPint用于对所述本地终端和所述边缘计算终端之间的控制面消息进行完整性保护；

所述边缘计算终端向所述本地终端发送使用所述K_CPint进行完整性保护的第一控制面消息，所述第一控制面消息包括所述随机数、和所述完整性保护算法；

所述本地终端根据所述根密钥、所述随机数、和所述完整性保护算法生成所述K_CPint；

所述本地终端通过使用所述K_CPint对所述第一控制面消息进行完整性校验来对所述边缘计算终端进行鉴权；

所述本地终端向所述边缘计算终端发送使用所述K_CPint进行完整性保护的第二控制面消息；

所述边缘计算终端通过使用所述K_CPint对所述第二控制面消息进行完整性校验来对所述本地终端进行鉴权；

所述本地终端与所述边缘计算终端进行所述本地通信。

2.根据权利要求1所述的方法，其中，

所述边缘计算终端获取与所述终端标识对应的所述根密钥、随机数、和完整性保护算法，包括：

所述边缘计算终端获取与所述终端标识对应的所述根密钥、所述随机数、加密算法、和所述完整性保护算法；

所述边缘计算终端根据所述根密钥，所述随机数、和所述完整性保护算法生成控制面完整性保护密钥K_CPint，包括：

所述边缘计算终端根据所述根密钥，所述随机数、所述加密算法、和所述完整性保护算法生成控制面加密密钥K_CPenc、所述K_CPint、以及用户面加密密钥K_UPenc；其中，所述K_CPenc用于加密所述控制面消息，所述K_UPenc用于加密所述本地终端和所述边缘计算终端之间的用户面数据；

所述第一控制面消息还包括所述加密算法；

所述本地终端根据所述根密钥，所述随机数、和所述完整性保护算法生成所述K_CPint，包括：

所述本地终端根据所述根密钥，所述随机数、所述加密算法、和所述完整性保护算法生成所述K_CPenc、所述K_CPint、和所述K_UPenc。

3.根据权利要求2所述的方法，其中，

所述边缘计算终端根据所述根密钥，所述随机数、所述加密算法、和所述完整性保护算法生成控制面加密密钥K_CPenc、所述K_CPint、以及用户面加密密钥K_UPenc，包括：

所述边缘计算终端根据所述根密钥和所述随机数生成基站密钥K_eNB；

所述边缘计算终端根据所述K_eNB、所述加密算法和所述完整性保护算法生成所述K_CPenc、所述K_CPint、和所述K_UPenc；

所述本地终端根据所述根密钥，所述随机数、所述加密算法、和所述完整性保护算法生成所述K_CPenc、所述K_CPint、和所述K_UPenc，包括：

所述本地终端根据所述根密钥和所述随机数生成所述K_eNB；

所述本地终端根据所述K_eNB、所述加密算法和所述完整性保护算法生成所述K_CPenc、所述K_CPint、和所述K_UPenc。

4.根据权利要求1-3任一所述的方法，还包括：

所述边缘计算终端获取更新的随机数，所述更新的随机数用于进行密钥更新；

所述边缘计算终端根据所述更新的随机数进行所述密钥更新；

所述边缘计算终端向所述本地终端发送所述更新的随机数；

所述本地终端根据所述更新的随机数进行所述密钥更新。

5.根据权利要求2-3任一所述的方法，其中，所述加密算法包括：

控制面加密算法；和

用户面加密算法。

6.根据权利要求1-5任一所述的方法，还包括：

所述边缘计算终端向所述本地终端分配IP地址，并保存所述IP地址和所述网络临时标识的对应关系。

7.根据权利要求6所述的方法，还包括：

所述边缘计算终端接收数据包，所述数据包的目的地址为所述IP地址；

所述边缘计算终端根据所述IP地址获取所述网络临时标识；

所述边缘计算终端根据所述网络临时标识向所述本地终端发送所述数据包。

8.根据权利要求1-7任一所述的方法，其中，所述本地终端向边缘计算终端发起接入，包括：

所述本地终端向所述边缘计算终端发送随机接入前导码。

9.根据权利要求8所述的方法，其中，所述边缘计算终端向所述本地终端分配网络临时标识，包括：

所述边缘计算终端向所述本地终端发送随机接入响应RAR，所述RAR包括所述网络临时标识。

10.根据权利要求9所述的方法，其中，所述边缘计算终端从所述本地终端获取所述本地终端的终端标识，包括：

所述边缘计算终端向所述本地终端发送所述随机接入的消息四MSG4，所述MSG4包括用于请求所述终端标识的信息；

所述本地终端向所述边缘计算终端发送第一无线资源控制RRC消息，所述第一RRC消息包括所述终端标识。

11.一种本地通信的方法，其特征在于，基于远距离无线通信技术，所述方法包括：

边缘计算终端从本地终端接收接入信号；其中，所述边缘计算终端支持基站空口侧协议栈，所述本地终端存有根密钥；

所述边缘计算终端向所述本地终端分配网络临时标识；其中，所述网络临时标识用于所述边缘计算终端和所述本地终端进行本地通信；

所述边缘计算终端向所述本地终端发送使用所述K_CPint进行完整性保护的第一控制面消息，所述第一控制面消息包括所述随机数、和所述完整性保护算法；其中，使用所述K_CPint进行完整性保护的所述第一控制面消息用于通过完整性校验对所述边缘计算终端鉴权；

所述边缘计算终端从所述本地终端接收使用所述K_CPint进行完整性保护的第二控制面消息；

所述边缘计算终端与所述本地终端进行所述本地通信。

12.根据权利要求11所述的方法，其中，

所述第一控制面消息还包括所述加密算法。

13.根据权利要求12所述的方法，其中，所述边缘计算终端根据所述根密钥，所述随机数、所述加密算法、和所述完整性保护算法生成控制面加密密钥K_CPenc、所述K_CPint、以及用户面加密密钥K_UPenc，包括：

所述边缘计算终端根据所述K_eNB、所述加密算法和所述完整性保护算法生成所述K_CPenc、所述K_CPint、和所述K_UPenc。

14.根据权利要求11-13任一所述的方法，还包括：

所述边缘计算终端向所述本地终端发送所述更新的随机数。

15.根据权利要求12-13任一所述的方法，所述加密算法包括：

控制面加密算法；和

用户面加密算法。

16.根据权利要求11-15任一所述的方法，还包括：

17.根据权利要求16所述的方法，还包括：

所述边缘计算终端根据所述IP地址获取所述网络临时标识；

18.根据权利要求11-17任一所述的方法，其中，所述边缘计算终端向所述本地终端分配网络临时标识，包括：

所述边缘计算终端向所述本地终端发送随机接入响应RAR，所述随机接入响应包括所述网络临时标识。

19.根据权利要求18所述的方法，其中，所述边缘计算终端从所述本地终端获取所述本地终端的终端标识，包括：

所述边缘计算终端从所述本地终端接收第一无线资源控制RRC消息，所述第一RRC消息包括所述终端标识。

20.一种本地通信的方法，其特征在于，基于远距离无线通信技术，所述方法包括：

所述本地终端从所述边缘计算终端获取网络临时标识，所述网络临时标识用于所述边缘计算终端与所述本地终端进行本地通信；

所述本地终端向所述边缘计算终端发送终端标识；其中，所述终端标识与所述根密钥，随机数、和完整性保护算法对应；

所述本地终端从所述边缘计算终端接收使用控制面完整性保护密钥K_CPint进行完整性保护的第一控制面消息，所述第一控制面消息包括所述随机数、和所述完整性保护算法；其中，所述K_CPint用于对所述本地终端和所述边缘计算终端之间的控制面消息进行完整性保护；

所述本地终端向所述边缘计算终端发送使用所述K_CPint进行完整性保护的第二控制面消息；其中，使用所述K_CPint进行完整性保护的所述第二控制面消息用于通过完整性校验对所述本地终端鉴权；

所述本地终端与所述边缘计算终端进行所述本地通信。

21.根据权利要求20所述的方法，其中，

所述第一控制面消息还包括加密算法；

所述本地终端根据所述根密钥、所述随机数、和所述完整性保护算法生成所述K_CPint，包括：

所述本地终端根据所述根密钥，所述随机数、所述加密算法、和所述完整性保护算法生成控制面加密密钥K_CPenc、所述K_CPint、和用户面加密密钥K_UPenc；

其中，所述K_CPenc用于加密所述控制面消息，所述K_UPenc用于加密所述本地终端和所述边缘计算终端之间的用户面数据。

22.根据权利要求21所述的方法，其中，

所述本地终端根据所述根密钥，所述随机数、所述加密算法、和所述完整性保护算法生成控制面加密密钥K_CPenc、所述K_CPint、和用户面加密密钥K_UPenc，包括：

所述本地终端根据所述根密钥和所述随机数生成基站密钥K_eNB；

23.根据权利要求20-22任一所述的方法，还包括：

所述本地终端从所述边缘计算终端接收更新的随机数，所述更新的随机数用于进行密钥更新；

所述本地终端根据所述更新的随机数进行所述密钥更新。

24.根据权利要求21-22任一所述的方法，其中，所述加密算法包括：

控制面加密算法；和

用户面加密算法。

25.根据权利要求20-24任一所述的方法，还包括：

所述本地终端从所述边缘计算终端接收分配给所述本地终端的IP地址。

26.根据权利要求25所述的方法，还包括：

所述本地终端根据所述网络临时标识从所述边缘计算终端接收数据包，所述数据包的目的地址为所述IP地址。

27.根据权利要求20-26任一所述的方法，其中，所述本地终端向边缘计算终端发起接入，包括：

所述本地终端向所述边缘计算终端发送随机接入前导码。

28.根据权利要求27所述的方法，其中，所述本地终端从所述边缘计算终端获取网络临时标识，包括：

所述本地终端从所述边缘计算终端接收随机接入响应RAR，所述RAR包括所述网络临时标识。

29.根据权利要求28所述的方法，还包括：

所述本地终端从所述边缘计算终端接收随机接入的消息四MSG4，所述MSG4包括用于请求所述终端标识的信息；

其中，所述本地终端向所述边缘计算终端发送终端标识，包括：

30.一种边缘计算终端，其特征在于，支持远距离无线通信技术的基站空口侧协议栈，所述边缘计算终端包括处理电路，所述处理电路用于执行指令以实现如权利要求11-19任一所述的方法。

31.一种本地终端，其特征在于，包括处理电路，所述处理电路用于执行指令以实现如权利要求20-29任一所述的方法。

32.一种本地通信系统，其特征在于，包括如权利要求30所述的边缘计算终端和如权利要求31所述的本地终端。

33.一种计算机可读存储介质，其特征在于，存储有指令，当所述指令在边缘计算终端执行时，使得所述边缘计算终端实现如权利要求11-19任一所述的方法。

34.一种计算机可读存储介质，其特征在于，存储有指令，当所述指令在本地终端执行时，使得所述本地终端实现如权利要求20-29任一所述的方法。