CN116569576A - 用于移动边缘计算网络的基于密钥的认证 - Google Patents
用于移动边缘计算网络的基于密钥的认证 Download PDFInfo
- Publication number
- CN116569576A CN116569576A CN202080105474.6A CN202080105474A CN116569576A CN 116569576 A CN116569576 A CN 116569576A CN 202080105474 A CN202080105474 A CN 202080105474A CN 116569576 A CN116569576 A CN 116569576A
- Authority
- CN
- China
- Prior art keywords
- network
- key
- function
- edge computing
- mobile edge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 102
- 230000004044 response Effects 0.000 claims abstract description 70
- 238000004891 communication Methods 0.000 claims abstract description 43
- 238000012795 verification Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 description 162
- 208000037218 exstrophy-epispadias complex Diseases 0.000 description 42
- 238000010586 diagram Methods 0.000 description 29
- 238000012545 processing Methods 0.000 description 14
- 238000009795 derivation Methods 0.000 description 13
- 238000007726 management method Methods 0.000 description 11
- 238000013475 authorization Methods 0.000 description 6
- 238000010295 mobile communication Methods 0.000 description 6
- 230000011664 signaling Effects 0.000 description 6
- 238000001228 spectrum Methods 0.000 description 6
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 5
- 230000000007 visual effect Effects 0.000 description 4
- 101000741965 Homo sapiens Inactive tyrosine-protein kinase PRAG1 Proteins 0.000 description 3
- 102100038659 Inactive tyrosine-protein kinase PRAG1 Human genes 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000004984 smart glass Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000700159 Rattus Species 0.000 description 1
- 230000009273 T-cell dependend antibody response Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001537 electron coincidence spectroscopy Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 229920003087 methylethyl cellulose Polymers 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Abstract
公开用于移动边缘计算网络的基于密钥的认证的设备、方法和系统。一种方法(800)包含:在用无线核心网络的网络功能进行认证之后,在用户装备处导出第一网络密钥(805);基于所述第一网络密钥导出第二网络密钥,所述第二网络密钥用于移动边缘计算网络的第一网络功能(810);将注册请求消息发送到所述移动边缘计算网络的所述第一网络功能,利用所述第二网络密钥对所述注册请求消息进行完整性保护(815);从所述第一网络功能接收注册响应消息(820);以及响应于使用所述第二网络密钥验证所述注册响应消息的完整性,基于所述第二网络密钥建立与所述移动边缘计算网络的所述第一网络功能的安全通信(825)。
Description
技术领域
本文所公开的主题大体上涉及无线通信,且更具体地说,涉及用于移动边缘计算网络的基于密钥的认证。
背景技术
以下缩写在此定义,其中的至少一些在以下描述内提及:第三代合作伙伴计划(“3GPP”)、第五代核心网络(“5CG”)、第五代系统(“5GS”)、第五代QoS标识符(“5QI”)、5G全球唯一临时UE标识(“5G-GUTI”)、认证、授权和计费(“AAA”)、人工智能(“AI”)、应用功能(“AF”)、高级交叉路口碰撞预警(“AICW”)、接入和移动性管理功能(“AMF”)、肯定确认(“ACK”)、应用程序编程接口(“API”)、接入层(“AS”)、认证服务器功能(“AUSF”)、基站(“BS”)、要求类别(“CoR”)、命令与控制(“C2”)、控制元素(“CE”)、合作合并(“CM”)、合作超车(“CO”)、控制权的合作转移(“CToC”)、合作换道(“CLC”)、协同感知(“CP”)、协同感知信息(“CPM”)、核心网络(“CN”)、联网和自动驾驶车辆(“CAV”)、分散环境通知信息(“DENM”)、下行链路(“DL”)、数据无线电承载(“DRB”)、不连续传输(“DTX”)、边缘使能器客户端(“EEC”)、边缘配置服务器(“ECS”)、边缘应用程序服务器(“EAS”)、边缘使能器服务器(“EES”)、演进型Node-B(“eNB”)、演进分组核心(“EPC”)、演进分组系统(“EPS”)、演进型UMTS陆地无线电接入(“E-UTRA”)、演进型UMTS陆地无线电接入网络(“E-UTRAN”)、欧洲电信标准协会(“ETSI”)、全限定域名(“FQDN”)、保证位速率(“GBR”)、保证流位速率(“GFBR”)、通用分组无线电服务(“GPRS”)、通用公共服务标识符(“GPSI”)、全球移动通信系统(“GSM”)、混合自动重复请求(“HARQ”)、归属订户服务器(“HSS”)、信息元素(“IE”)、物联网(“IoT”)、国际移动设备标识(“IMEI”)、智能交通系统(“ITS”)、ITS站(“ITS-S”)、基础设施与车辆信息消息(“IVIM”)、密钥导出函数(“KDF”)、关键性能指标(“KPI”)、自动化水平(“LoA”)、长期演进(“LTE”)、用于完整性的信息认证码(“MAC-I”)、移动或多址边缘计算(“MEC”)、机器学习(“ML”)、移动性管理(“MM”)、移动性管理实体(“MME”)、地图(拓扑)扩展消息(“MAPEM”)、操纵控制(“MC”)、操纵控制消息(“MCM”)、平均意见分(“MOS”)、移动台国际订户目录号码(“MSISDN”)、否定确定(“NACK”)或(“NAK”)、网络开放功能(“NEF”)、新一代(5G)Node-B(“gNB”)、新一代无线电接入网络(“NG-RAN”、用于5GS网络的RAN)、新无线电(“NR”、5G无线电接入技术;也称为“5G NR”)、非接入层(“NAS”)、网络切片选择辅助信息(“NSSAI”)、超车预警(“OVW”)、分组延迟预算(“PDB”)、分组错误率(“PER”)、分组数据单元(“PDU”,与‘PDU会话’结合使用)、PC5 5QI(“PQI”)、永久设备标识符(“PEI”)、车辆队列控制(“PC”)、车辆队列控制消息(“PCM”)、邻近服务(“ProSe”)、公用陆地移动网(“PLMN”)、QoS流指示符(“QFI”)、体验质量(“QoE”)、服务质量/体验(“QoS”)、预测QoS(“P-QoS”)、无线电接入网络(“RAN”)、无线电网络信息服务(“RNIS”)、无线电资源控制(“RRC”)、接收(“RX”)、路侧单元(“RSU”)、安全联盟(“SA”)、服务能力开放功能(“SCEF”)、服务使能器架构层(“SEAL”)、服务水平协议(“SLA”)、会话管理(“SM”)、会话管理功能(“SMF”)、服务提供商(“SP”)、单网络切片选择辅助信息(“S-NSSAI”)、信号相位和定时扩展消息(“SPATEM”)、信号请求扩展消息(“SREM”)、信号请求状态扩展消息(“SSEM”)、订阅永久标识符(“SUPI”)、目标驾驶区域预留(“TDAR”)、传送块(“TB”)、传输(“TX”)、车联网(“V2X”)、车联基础设施(“V2I”)、车辆到车辆(“V2V”)、车辆到中继(“V2R”)、V2X应用使能器(“VAE”)、弱势道路用户保护(“VRUP”)、统一数据管理(“UDM”)、无人机系统(“UAS”)、UAS应用使能器(“UAE”,即具有UAE服务器和至少一个UAE客户端)、UAS服务供应商(“USS”)、UAS流量管理器(“UTM”)、无人机(“UAV”)、UAV控制器(“UAV-C”)、用户数据存储库(“UDR”)、用户实体/设备(移动终端)(“UE”)、上行链路(“UL”)、用户平面(“UP”)、UP功能(“UPF”)、全球移动电信系统(“UMTS”)、UMTS陆地无线电接入(“UTRA”)、UMTS陆地无线电接入网(“UTRAN”)、用户服务描述(“USD”)、受访的公用陆地移动网(“VPLMN”)和全球微波接入互操作性(“WiMAX”)。如本文所使用,“HARQ-ACK”可共同地表示肯定确认(“ACK”)和否定确认(“NACK”)以及不连续传输(“DTX”)。ACK意味着TB正确地接收,而NACK(或NAK)意味着TB错误地接收。DTX意味着未检测到TB。
本文所公开的主题描述用于移动边缘计算网络的基于密钥的认证的设备、方法、系统和程序产品。本文所公开的主题描述用于基于服务网络的AMF密钥KAMF和用于ECS、EES和EAS的后续移动边缘计算网络密钥的移动边缘计算网络的密钥导出分级结构。AMF执行来自移动边缘计算网络功能的注册请求的第一认证,且在移动边缘计算网络内部执行针对移动边缘计算网络功能/实体的后续认证。导出的密钥用于完整性地保护UE与移动边缘计算网络功能/实体之间的消息,以及用于建立UE与移动边缘计算网络功能/实体之间的IPsecSA。
发明内容
公开用于移动边缘计算网络的基于密钥的认证的方法。设备和系统还执行所述方法的功能。
一种用于移动边缘计算网络的基于密钥的认证的方法包含:在用无线核心网络的网络功能进行认证之后,在用户装备处导出第一网络密钥;基于所述第一网络密钥导出第二网络密钥,所述第二网络密钥用于移动边缘计算网络的第一网络功能;将注册请求消息发送到所述移动边缘计算网络的所述第一网络功能,利用所述第二网络密钥对所述注册请求消息进行完整性保护;从所述第一网络功能接收注册响应消息;以及响应于使用所述第二网络密钥验证所述注册响应消息的完整性,基于所述第二网络密钥建立与所述移动边缘计算网络的所述第一网络功能的安全通信。
附图说明
上文简要描述的实施例的更特定描述将参考附图中说明的特定实施例呈现。应理解,这些图式仅描绘一些实施例,且因此不应被视为对范围的限制,将通过使用附图以额外的特定性和细节来描述和解释实施例,在附图中:
图1A为说明用于移动边缘计算网络的基于密钥的认证的无线通信系统的一个实施例的示意性框图;
图1B为说明用于移动边缘计算网络的基于密钥的认证的网络架构的一个实施例的图;
图2为说明用于移动边缘计算网络的基于密钥的认证的一个实例密钥分级结构的图;
图3为说明用于移动边缘计算网络的基于密钥的认证的程序的一个实施例的信令流程的图;
图4为说明用于移动边缘计算网络的基于密钥的认证的程序的一个实施例的信令流程的图;
图5为说明用于移动边缘计算网络的基于密钥的认证的程序的一个实施例的信令流程的图;
图6为说明可用于移动边缘计算网络的基于密钥的认证的用户装备设备的一个实施例的图;
图7为说明可用于移动边缘计算网络的基于密钥的认证的网络装备设备的一个实施例的图;
图8为说明可用于移动边缘计算网络的基于密钥的认证的方法的一个实施例的流程图;
图9为说明可用于移动边缘计算网络的基于密钥的认证的另一方法的一个实施例的流程图;且
图10为说明可用于移动边缘计算网络的基于密钥的认证的又一方法的一个实施例的流程图。
具体实施方式
如所属领域的技术人员将了解,实施例的各方面可体现为系统、设备、方法或程序产品。因此,实施例可采取完全硬件实施例、完全软件实施例(包含固件、常驻软件、微码等)或组合软件和硬件方面的实施例的形式。
举例来说,所公开实施例可实施为硬件电路,所述硬件电路包括定制超大规模集成(“VLSI”)电路或门阵列、例如逻辑芯片、晶体管等现成的半导体或其它离散组件。所公开实施例还可实施在可编程硬件装置中,例如现场可编程门阵列、可编程阵列逻辑、可编程逻辑装置等。作为另一实例,所公开实施例可包含可执行码的一或多个物理或逻辑块,其可例如被组织为对象、程序或功能。
此外,实施例可采用体现于一或多个计算机可读存储装置中的程序产品的形式,所述计算机可读存储装置存储机器可读代码、计算机可读代码和/或程序代码,下文称为代码。存储装置可为有形的、非暂时性的和/或非传输的。存储装置可不体现信号。在某一实施例中,存储装置仅采用用于存取代码的信号。
可利用一或多个计算机可读媒体的任何组合。计算机可读媒体可为计算机可读存储媒体。计算机可读存储媒体可为存储代码的存储装置。存储装置可为例如但不限于电子、磁性、光学、电磁、红外、全息、微机械或半导体系统、设备或装置,或前述的任何合适的组合。
存储装置的更特定实例(非详尽性列表)将包含以下各项:具有一或多个金属丝的电连接、便携式计算机磁盘、硬盘、随机接入存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或快闪存储器)、便携式压缩光盘只读存储器(“CD-ROM”)、光学存储装置、磁性存储装置或前述的任何合适的组合。在本文档的上下文中,计算机可读存储媒体可为可含有或存储用于由指令执行系统、设备或装置使用或者结合指令执行系统、设备或装置使用的程序的任何有形媒体。
用于执行实施例的操作的代码可为任何数目的线,且可以一或多种编程语言的任何组合写入,所述编程语言包含面向对象的编程语言(例如Python、Ruby、Java、Smalltalk、C++等)以及常规程序编程语言(例如“C”编程语言等)和/或机器语言(例如汇编语言)。代码可完全在用户的计算机上、部分地在用户的计算机上、作为单独软件包、部分地在用户的计算机上以及部分地在远程计算机上或完全在远程计算机或服务器上执行。在后一种情形中,远程计算机可通过任何类型的网络(包含局域网(“LAN”)或广域网(“WAN”))连接到用户的计算机,或可与外部计算机进行连接(例如,通过使用因特网服务提供商的因特网)。
贯穿本说明书对“一个实施例”、“实施例”或类似语言的引用意味着结合实施例所描述的特定特征、结构或特性包含在至少一个实施例中。因此,除非另有明确规定,否则在整个说明书中出现短语“在一个实施例中”、“在实施例中”和类似语言可以但未必全部指代同一实施例,而是意味着“一或多个,但不是全部实施例”。除非另有明确指定,否则术语“包含”、“包括”、“具有”和其变体意味着“包含但不限于”。除非另有明确规定,否则所列举的项目列表并不暗示项目中的任一者或全部是相互排斥的。除非另有明确规定,否则术语“一(a/an)”和“所述”也指“一或多个”。
如本文所使用,具有连词“和/或”的列表包含列表中的任何单个项目或列表中的项目的组合。举例来说,A、B和/或C的列表包含仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所使用,使用术语“中的一或多者”的列表包含列表中的任何单个项目或列表中的项目的组合。举例来说,A、B和C中的一或多者包含仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所使用,使用术语“中的一者”的列表包含列表中的任何单个项目中的一者且仅一者。举例来说,“A、B和C中的一者”包含仅A、仅B或仅C且不包含A、B和C的组合。如本文所使用,“选自由A、B和C组成的群组的成员”包含A、B或C中的一者且仅一者,并且不包含A、B和C的组合。如本文所使用,“选自由A、B和C以及其组合组成的群组的成员”包含仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合,或A、B和C的组合。
此外,实施例的所描述特征、结构或特性可以任何合适方式组合。在以下描述中,提供许多特定细节,例如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的实例,以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可在不具有这些特定细节中的一或多者的情况下实践,或用其它方法、组件、材料等来实践。在其它情况下,未展示或详细描述众所周知的结构、材料或操作以避免混淆实施例的各方面。
下文参考根据实施例的方法、设备、系统和程序产品的示意性流程图和/或示意性框图描述了实施例的各方面。应理解,可通过代码实施示意性流程图和/或示意性框图的每一框,以及示意性流程图和/或示意性框图中的框的组合。此代码可提供到通用计算机、专用计算机或其它可编程数据处理设备的处理器以产生机器,使得经由计算机或其它可编程数据处理设备的处理器执行的指令产生用于实施在流程图和/或框图中指定的功能/动作的构件。
代码还可存储在存储装置中,所述存储装置可引导计算机、其它可编程数据处理设备或其它装置以特定方式起作用,使得存储在存储装置中的指令产生包含实施在流程图和/或框图中指定的功能/动作的指令的制品。
代码还可加载到计算机、其它可编程数据处理设备或其它装置上,以使得在计算机、其它可编程设备或其它装置上执行一系列操作步骤,以产生计算机实施的过程,使得在计算机或其它可编程设备上执行的代码提供用于实施在流程图和/或框图中指定的功能/动作的过程。
图式中的流程图和/或框图说明根据各种实施例的设备、系统、方法和程序产品的可能实施方案的架构、功能性和操作。在此方面,流程图和/或框图中的每一框可表示代码的模块、片段或部分,其包含用于实施指定逻辑功能的代码的一或多个可执行指令。
还应注意,在一些替代性实施方案中,可不按图式中所提到的次序发生框中所提到的功能。举例来说,取决于所涉及的功能性,连续展示的两个框实际上可大体同时执行,或这些框有时可能以相反次序执行。可构想其它步骤和方法,所述步骤和方法在功能、逻辑或效果上等效于所说明图式的一或多个框或其部分。
虽然在流程图和/或框图中可采用各种箭头类型和线条类型,但应理解,它们不限制对应实施例的范围。实际上,可使用一些箭头或其它接头单独指示所描绘实施例的逻辑流程。举例来说,箭头可指示所描绘实施例的所列步骤之间未指定持续时间的等待或监测周期。还应注意,框图和/或流程图中的每一框以及框图和/或流程图中的框的组合可通过专用的基于硬件的系统实施,所述系统执行指定功能或动作或专用硬件和代码的组合。
每一图式中的元件的描述可参考前述图式的元件。在所有图式中,相同数字指代相同元件,包含相同元件的替代实施例。
一般来说,本公开描述用于向EES、ECS和/或EAS认证UE上的EEC以及如何实现用于边缘移动计算网络的相关通信接口的保护的系统、方法和设备。
移动边缘计算(“MEC”)密钥分级结构是基于服务网络中的AMF密钥KAMF。AMF充当边缘网络的认证器,且将第一密钥提供到边缘网络,所述第一密钥是用于与边缘网络实体的接下来的认证的后续边缘网络密钥的根密钥。UE导出边缘网络密钥KECS、KEES、KEAS且能够完整性地保护到ECS、EES和EAS的注册消息。UE至少在第一注册消息中使用UE ID(例如,ECCID、EEC ID、5G-GUTI、SUCI、UE的IP地址、外部ID等)。较高层边缘网络实体从较低层边缘网络实体(例如来自ECS的EES或来自EES的EAS)请求注册消息和新导出的密钥的认证。边缘网络实体ECS、EES和EAS利用相应的密钥KECS、KEES、KEAS执行对到UE的注册响应消息的完整性保护。UE使用边缘网络密钥KECS、KEES、KEAS来与相应的边缘网络实体ECS、EES和EAS建立IPsec隧道。
本文所公开的主题是基于AMF密钥KAMF用于导出第一认证密钥(例如,KECS)的原理。基于用于MEC网络认证和密钥协商的此根密钥导出所有以下密钥。认证框架预见在MEC网络中的各个实体之间存在相互认证,例如,EEC到ECS、EEC到EES、EEC到EAS等。来自先前认证的密钥用作下一认证的输入,所述下一认证是基于已利用下一密钥执行的注册消息的MAC-I的验证。
在常规系统中,EEC与ECS之间的认证基于主认证,AUSF基于从KAUSF导出的密钥和对应的密钥ID执行对来自ECS的请求的认证。AUSF如何向UE提供密钥ID以使AUSF和UE中的密钥导出同步是未知的。此外,对从ECS到UE的应用程序注册请求的响应消息不受保护,因此其可被中间人攻击拦截和操纵,从而将注册结果更改为相反的结果。此外,所述解决方案并未描述在认证之后如何保护通信路径。
另外,在用于边缘使能器客户端和服务器的认证/授权框架的其它解决方案中,假设UE预先配置有网络中的所有MEC平台和其所有证书。这使得安全处理非常困难。这两种解决方案都具有以下缺点:始终涉及归属网络中的AUSF,但MEC服务自身为本地服务且在受访网络中漫游的情况下执行。
图1A描绘支持用于移动边缘计算网络的基于密钥的认证的无线通信系统100,所述移动边缘计算网络包含支持边缘数据网络(“EDN”)服务区域123的至少一个EDN 121。EDN121包含支持应用程序的实例的至少一个边缘应用程序服务器(“EAS”)177。当远程单元105位于EDN服务区域123中时,远程单元105上的应用程序客户端179能够接入EAS 177。然而,当远程单元105在任何EDN服务区域123之外时,应用程序客户端179能够使用位于数据网络160(即,区域数据网络)中的应用程序服务器171接入应用程序的实例。EDN 121还包含边缘使能器服务器(“EES”)173、边缘配置服务器(“ECS”)183、中间件应用程序使能器服务器,而远程单元105包含边缘使能器客户端(“EEC”)175。
在一个实施例中,远程单元105可包含计算装置,例如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能手机、智能电视机(例如,连接到互联网的电视机)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏控制台、安全系统(包含安全摄像机)、车载计算机、网络装置(例如,路由器、交换器、调制解调器)等。在一些实施例中,远程单元105包含可穿戴装置,例如智能手表、健身手环、光学头戴式显示器等。此外,远程单元105可称为UE、订户单元、移动装置、移动台、用户、终端、移动终端、固定终端、订户台、用户终端、无线传输/接收单元(“WTRU”)、装置,或此项领域中所使用的其它术语。
远程单元105可经由上行链路(“UL”)和下行链路(“DL”)通信信号直接与RAN 120中的基础单元110中的一或多者通信。此外,可在无线通信链路115上携载UL和DL通信信号。此处,RAN 120是向远程单元105提供对移动核心网络140的接入的中间网络。
在一些实施例中,远程单元105经由与移动核心网络140的网络连接与通信主机(例如,边缘应用程序服务器173和/或应用程序服务器171)通信。举例来说,远程单元105中的应用程序客户端179可触发远程单元105经由RAN 120与移动核心网络140建立PDU会话(或其它数据连接)。移动核心网络140接着使用PDU会话在远程单元105与通信主机(即,应用程序服务器)之间中继业务。应注意,远程单元105可与移动核心网络140建立一或多个PDU会话(或其它数据连接)。因而,远程单元105可同时具有用于与应用程序服务器通信的至少一个PDU会话和用于与另一应用程序服务器(未展示)通信的至少一个额外PDU会话。
基础单元110可分布在地理区上。在某些实施例中,基础单元110也可称为接入终端、接入点、基地、基站、Node-B、eNB、gNB、归属Node-B、中继节点,或此项技术中使用的任何其它术语。基础单元110通常是可包含可通信地耦合到一或多个对应基础单元110的一或多个控制器的无线电接入网络(“RAN”),例如RAN 120的部分。无线电接入网络的这些和其它元件未说明,但通常为所属领域的普通技术人员众所周知的。基础单元110经由RAN 120连接到移动核心网络140。
基础单元110可经由无线通信链路115服务于服务区域(例如小区或小区扇区)内的数个远程单元105。基础单元110可经由通信信号直接与远程单元105中的一或多者通信。一般来说,基础单元110在时间、频率和/或空间域中传输DL通信信号以服务于远程单元105。此外,可在无线通信链路115上携载DL通信信号。无线通信链路115可为经许可的或未经许可的无线电频谱中的任何合适的载波。无线通信链路115促进远程单元105中的一或多者和/或基础单元110中的一或多者之间的通信。
在一个实施例中,移动核心网络140是5G核心(“5GC”)或演进型分组核心(“EPC”),其可耦合到分组数据网络150,如因特网和私密数据网络,以及其它数据网络。远程单元105在移动核心网络140上可具有订阅或其它账户。每一移动核心网络140属于单个公用陆地移动网(“PLMN”)。本公开并不希望限于任何特定无线通信系统架构或协议的实施方案。
移动核心网络140包含若干网络功能(“NF”)。如所描绘,移动核心网络140包含多个用户平面功能(“UPF”)141。移动核心网络140还包含多个控制平面功能,包含但不限于服务于RAN 120的接入和移动性管理功能(“AMF”)143、会话管理功能(“SMF”)145、策略控制功能(“PCF”)147、网络开放功能(“NEF”)148和服务能力开放功能(“SCEF”)149。NEF 148和SCEF 149提供安全地公开由3GPP网络接口提供的服务和能力的方法。
在各种实施例中,移动核心网络140支持不同类型的移动数据连接和不同类型的网络切片,其中每一移动数据连接利用特定网络切片。此处,“网络切片”是指针对特定业务类型或通信服务优化的移动核心网络140的一部分。网络切片实例可由S-NSSAI标识,而远程单元105经授权以使用的一组网络切片由NSSAI标识。在某些实施例中,各种网络切片可包含网络功能的单独实例,例如SMF 145和UPF 141。在一些实施例中,不同网络切片可共享一些公共网络功能,例如AMF 143。为了易于说明,图1A中未展示不同网络切片,但假设对此是支持的。
无线通信系统100可包含OAM/管理功能130。OAM/管理功能130可将切片参数(例如,GST)提供到使能器服务器(例如,EES 173)。在各种实施例中,OAM/管理功能130例如响应于来自服务提供商的请求而执行切片实例化。
尽管图1A中描绘特定数目和类型的网络功能,但所属领域的技术人员将认识到,任何数目和类型的网络功能可包含在移动核心网络140中。此外,在移动核心网络140是EPC的情况下,所描绘网络功能可由适当的EPC实体,例如MME、S-GW、P-GW、HSS等替换。在某些实施例中,移动核心网络140可包含AAA服务器。
尽管图1A描绘5G RAN和5G核心网络的组件,但所描述的解决方案适用于其它类型的通信网络和RAT,包含IEEE 802.11变体、GSM、GPRS、UMTS、LTE变体、CDMA2000、蓝牙、ZigBee、Sigfoxx等。举例来说,在涉及EPC的LTE变体中,AMF 143可映射到MME,SMF映射到PGW的控制平面部分和/或映射到MME,UPF映射到SGW和PGW的用户平面部分,UDM/UDR映射到HSS等。
在以下描述中,术语eNB/gNB用于基站,但其可由任何其它无线电接入节点,例如,BS、eNB、gNB、AP、NR等替换。此外,主要在5G NR的上下文中描述操作。然而,所提出的解决方案/方法也同样适用于支持用于竖直应用程序和/或边缘网络部署的中间件辅助切片和/或DNN重新映射的其它移动通信系统。
图1B描绘用于移动边缘计算网络的基于密钥的认证的网络架构150的一个实施例。所描绘的实施例说明用于移动边缘计算服务的应用层架构的一个实例实施例。在此架构中,如图1B[3GPP TS 23.558]中所说明,可限定以下实体:
边缘使能器服务器(“EES”)173提供边缘应用程序服务器177和边缘使能器客户端175所需的支持功能(例如,以下中的一或多者):a)将配置信息供应到边缘使能器客户端175,从而实现应用程序数据业务与边缘应用程序服务器177的交换;b)与移动核心网络140进行交互,以直接(例如,经由PCF)或间接地(例如,经由SCEF/NEF/SCEF+NEF)接入网络功能的能力;以及c)支持通过EDGE-3向边缘应用程序服务器177外部公开3GPP网络能力。如所描绘,EES 173可包含用于导出与EES 173相关的认证密钥的密钥导出函数185。
边缘使能器客户端(“EEC”)175提供应用程序客户端179所需的支持功能,例如检索和供应配置信息以实现应用程序数据业务与边缘应用程序服务器177的交换,且发现边缘数据网络121中可用的边缘应用程序服务器177。如所描绘,EEC 175可包含用于导出与EEC 175相关的认证密钥的密钥导出函数185。
边缘配置服务器(“ECS”)183提供边缘使能器客户端175所需的支持功能以与边缘使能器服务器173连接。边缘配置服务器183的这些功能性与向EEC 175供应边缘配置信息相关,所述功能性用于与EES 173建立连接。如所描绘,ECS 183可包含用于导出与ECS 183相关的认证密钥的密钥导出函数185。
边缘应用程序服务器(“EAS”)177为驻存在边缘数据网络121中的应用程序服务器,从而执行服务器功能。如所描绘,EAS 177可包含密钥导出函数185,所述密钥导出函数用于导出与EAS 177相关的认证密钥。应用程序客户端(“AC”)179为驻存在执行客户端功能的远程单元105中的应用程序。
在当前TS 23.558中,存在若干安全相关要求以便保护架构和用于移动边缘计算的新功能。那些要求以下安全要求涉及本文所公开的主题:
a.[AR-5.2.6.2-c]应保护应用层架构的功能实体之间的通信。
b.[AR-5.2.6.2-d]使用边缘计算服务的认证和授权应支持提供边缘计算服务的功能实体与3GPP系统、不同信任域或这两者在同一信任域中的部署。
c.[AR-5.2.6.2-e]应用层架构应支持针对不同部署需求使用3GPP证书或专用证书或这两者,以用于UE与提供边缘计算服务的功能实体之间的通信。
d.[AR-5.2.6.2-f]应用层架构应支持客户端与服务器或服务器与交互的服务器之间的相互认证和授权检查。
这些要求已经转换成与EEC 175的认证问题相关的密钥问题,所述EEC驻存在远程单元105,例如UE中:
密钥问题#1:EEC 175与EES 173之间的认证和授权
i.边缘使能器服务器173应能够在EDGE-1接口上提供与边缘使能器客户端175的相互认证。
ii.边缘使能器服务器173应能够确定边缘使能客户端175是否经授权以接入边缘使能服务器的服务。
密钥问题#2:EEC 175与ECS 183之间的认证和授权
i.边缘配置服务器183应能够在EDGE-4接口上提供与边缘使能器客户端175的相互认证。
ii.边缘配置服务器183应能够确定边缘使能器客户端175是否经授权以接入由边缘配置服务器183提供的供应服务。
密钥问题#6:EDGE-1-9接口的传送安全
i.应在EDGE-1-4和EDGE 6-9接口上支持机密性保护、完整性保护和重放保护。
本文主题描述的解决方案的问题是如何向移动边缘计算网络功能、实体、装置等(例如EES 173、ECS 183和/或EAS 177)认证EEC 175,以及如何实现相关通信接口的保护。
图2为说明用于移动边缘计算网络的基于密钥的认证的一个实例密钥分级结构的图。如上文所描述,本文所公开的主题是基于AMF密钥KAMF用于导出移动边缘计算网络的第一认证密钥(例如,密钥KECS)的原理。基于用于移动边缘计算网络认证和密钥协商的此根密钥导出所有以下密钥。认证框架预见在MEC网络中的各个实体之间存在相互认证,例如,EEC到ECS、EEC到EES、EEC到EAS等。来自先前认证的密钥用作下一认证的输入,所述下一认证是基于已利用下一密钥执行的注册消息的MAC-I的验证。
图3为说明用于移动边缘计算网络的基于密钥的认证的程序300的一个实施例的信令流程的图。图3描绘EEC 175与ECS 183之间的认证程序。用于ECS 183的EEC 175的认证在服务网络中的AMF 143中执行,且UE 305(例如,远程单元105)的标识通过UE 305的标识符完成,所述标识符可为SUCI、5G-GUTI、EEC ID、GPSI、UE的IP地址和/或MEC平台所理解的任何其它外部ID。
如图3中所描绘的程序中所展示,在步骤1处,UE 305执行对网络的正常主认证和注册(参见框310)。UE 350能够与移动边缘计算网络通信、使用所述移动边缘计算网络、连接到所述移动边缘计算网络等,且可在注册程序期间向AMF 143指示其MEC能力和/或其针对MEC的UE ID(例如,SUCI、5G-GUTI、ECC ID、外部ID等)。UE ID的供应可向AMF 143隐式地指示MEC能力。
在步骤2中,UE 350建立IP连接性的PDU会话(参见框315)。在步骤3中,当确定UE305具有MEC能力时,UE 305和AMF 143从AMF密钥KAMF导出用于与ECS 186进行认证的密钥KECS,且可使用KDF 185的以下额外输入中的至少一者:FC值、SUPI、EEC ID、服务网络名称、MEC密钥区分器旗标和每一者的长度(参见框320和325)。
如表1所示,MEC密钥区分器旗标可具有以下实例值:
| MEC密钥区分器 | 值 |
| ECS密钥 | 0x01 |
| EES密钥 | 0x02 |
| EAS密钥 | 0x03 |
此处,MEC密钥区分器旗标对应于ECS密钥的值。以上参数的输入可用于形成到KDF185的字符串S,可使用所述参数中的至少一者:
i.FC=0xYY,其中YY指示任何十六进制数。
ii.P0=SUPI
iii.L0=SUPI的长度
iv.P1=EEC ID
v.L1=EEC ID的长度
vi.P2=服务网络名称
vii.L2=服务网络名称的长度
viii.P3=MEC密钥区分器旗标
ix.L3=MEC密钥区分器旗标的长度
输入密钥可为AMF 143KAMF的256位密钥。
在步骤4处,UE 305将应用程序注册请求(UE ID、MAC-IECS)发送到ECS 183(参见消息传递330)。基于形成输入应用程序注册请求数据的应用程序注册请求的有效负载和到KDF 185的ECS 183KECS的密钥而计算MAC-IECS。当从KECS导出MAC-IECS时,以下参数可用于形成到KDF 185的输入S:
i.FC=0xZZ,其中ZZ指示任何十六进制数。
ii.P0=应用程序注册请求数据,
iii.L0=应用程序注册请求数据的长度
输入密钥可为ECS 183KECS的密钥。由KDF 185的输出的以下{32,64,128,256,512,1028等}最低有效位中的一者标识MAC-IECS。
在步骤5处,UE 305未在ECS 183处认证,且ECS 183将UE认证请求发送到NEF 148,所述NEF基于UE ID选择服务AMF 143且将消息转发到所选择的AMF 143(参见消息传递335)。
在步骤6处,AMF 143验证应用程序注册请求的MAC-IECS,例如,AMF 143以与UE 305类似的方式在应用程序注册请求有效负载上使用密钥KECS计算MAC-I,并将结果与消息中包含的MAC-IECS进行比较(参见框340)。如果这两者相同,那么所述消息可经认证以由UE 305发送。
在步骤7处,AMF 143将UE认证响应发送到ECS 183(参见消息传递345),包含认证的结果以及用于ECS 183KECS的密钥。假设ECS 186和NEF 148具有安全连接,因为它们具有服务水平协议且可属于同一网络,例如,网络域安全适用的网络。
在步骤8处,基于认证结果,ECS 183确定是接受还是拒绝来自UE 305的应用程序注册请求。ECS 183将包含认证结果的应用程序注册响应消息发送到UE 305,且以在步骤4中与UE 305保护消息的有效负载类似的方式,基于所接收的密钥KECS用MAC-IECS保护消息(参见消息传递350)。
在步骤9处,UE 305验证MAC-IECS,且如果消息的认证结果和验证成功,那么UE 305通过使用ECS密钥KECS在UE 305与ECS 183之间建立IPsec SA(参见消息传递355)。所有消息现在都受到IPsec隧道的机密性和完整性保护。
在步骤10处,UE 305发送边缘网络发现请求以检索EES地址或FQDN(参见消息传递360)。UE 305还可发送UE ID请求以检索由ECS 183分配的UE ID,以便在与EES 173和EAS177的接下来的认证步骤中进一步使用。
在步骤11处,ECS 183以对应消息对步骤10作出响应,且在请求时提供EES地址或FQN和/或所分配的UE ID(参见消息传递365)。
图4为说明用于移动边缘计算网络的基于密钥的认证的程序400的一个实施例的信令流程的图。图4描绘边缘计算网络中的EEC 175与EES 173之间使用UE 305(例如远程单元105)的标识的认证程序,所述标识可为5G-GUTI、EEC ID、UE的IP地址和/或来自ECS 183的所分配的ID。
如图4中所描绘的程序中所展示,在步骤1处,假设从EEC 175与ECS 183之间的先前认证开始的步骤作为前提条件被执行(参见框405)。在EEC 175与ECS 183之间不需要认证的情况下,可跳过ECS 183KECS的密钥的密钥导出,且与图3中步骤6到8的MAC-IECS验证类似,可直接从AMF 143KAMF的密钥导出EES 173KEES的密钥且从AMF 143提供到EES 173。
在步骤2处,UE 305按以下方式从ECS 183KECS的密钥导出EES 173KEES的密钥(参见框410)。以上参数的输入可用于形成到KDF 185的字符串S,可使用所述参数中的至少一者:
i.FC=0xYY,其中YY指示任何十六进制数。
ii.P1=EEC ID
iii.L1=EEC ID的长度
iv.P2=MEC密钥区分器旗标
v.L2=MEC密钥区分器旗标的长度
此处,MEC密钥区分器旗标对应于EES密钥的值,如表1所示。输入密钥可为ECS183KECS的密钥。
在步骤3处,UE 305将应用程序注册请求(UE ID、MAC-IEES)发送到EES 173(参见消息传递415)。消息可包含EEC ID。基于形成输入应用程序注册请求数据的应用程序注册请求的有效负载和到KDF 183的EES 173KEES的密钥而计算MAC-IEES:
当从KEES导出MAC-IEES时,以下参数可用于形成到KDF 185的输入字符串S:
i.FC=0xZZ,其中ZZ指示任何十六进制数。
ii.P0=应用程序注册请求数据,
iii.L0=应用程序注册请求数据的长度
输入密钥Key可为EES 173KEES的密钥。由KDF 185的输出的以下{32,64,128,256,512,1028等}最低有效位中的一者标识MAC-IEES。
在步骤4处,UE 305在EES 173处未经认证,且EES 173将密钥请求发送到ECS 183(参见消息传递420)。ECS 183的选择可基于UE ID。
在步骤5处,ECS 183基于UE ID标识UE 305,且以与在步骤2中的UE 305类似的方式基于ECS 183的密钥导出EES 173KEES的密钥(参见框425)。
在步骤6处,ECS 183验证应用程序注册请求的MAC-IEES,例如,ECS 183以与UE 305类似的方式在应用程序注册请求有效负载上使用EES 173KEES的密钥计算MAC-I,并将结果与消息中包含的MAC-IEES进行比较(参见框430)。如果这两者相同,那么所述消息可经认证以由UE 305发送。
在步骤7处,ECS 183将包含认证的结果以及KEES的密钥请求响应发送到EES 173(参见消息传递435)。假设ECS 183和EES 173具有安全连接,因为它们具有服务水平协议且可属于同一网络,例如网络域安全适用的网络。
在步骤8处,基于认证结果,EES 173确定是接受还是拒绝来自UE 305的应用程序注册请求。EES 173将包含认证结果的应用程序注册响应消息发送到UE 305,且以在步骤3中与UE 305保护消息的有效负载类似的方式,基于EES 173KEES的所接收的密钥用MAC-IEES保护消息(参见消息传递440)。
在步骤9处,UE 305验证MAC-IEES,且如果消息的认证结果和验证成功,那么UE 305通过使用EES密钥KEES在UE 305与EES 173之间建立IPsec SA(参见消息传递445)。所有消息现在都受到IPsec隧道的机密性和完整性保护。
在步骤10处,UE 305发送边缘网络发现请求以检索EAS地址或FQDN(参见消息传递450)。UE 305还可发送UE ID请求以检索由EES 173分配的UE ID,以便在与EAS 177的接下来的认证步骤中进一步使用。
在步骤11处,EES 173以对应消息对步骤10作出响应,且在请求时提供EAS地址或FQN和/或所分配的UE ID(参见消息传递455)。
图5为说明用于移动边缘计算网络的基于密钥的认证的程序500的一个实施例的信令流程的图。图5描绘边缘计算网络中的EEC 175与EAS 177之间使用UE 305(例如远程单元105)的标识的认证程序,所述标识可为5G-GUTI、EEC ID、UE的IP地址,和/或来自ECS 183或EES 173的所分配的ID。
在步骤1处,假设从EEC 175与ECS 173和/或EES 173之间的先前认证开始的步骤作为前提条件被执行(参见框505)。在EEC 175与ECS 173和/或EES 173之间不需要认证的情况下,可跳过EES 173KEES的密钥导出,且与图3中步骤6到8的MAC-IECS验证类似,可直接从AMF密钥KAMF导出EAS 177KEAS的密钥且从AMF 143提供到EAS 177。
在步骤2处,UE 305按以下方式从EES 173KEES的密钥导出EAS 177KEAS的密钥(参见框510)。以上参数的输入可用于形成到KDF 185的字符串S,可使用所述参数中的至少一者:
i.FC=0xYY,其中YY指示任何十六进制数。
ii.P1=EEC ID
iii.L1=EEC ID的长度
iv.P2=MEC密钥区分器旗标
v.L2=MEC密钥区分器旗标的长度
此处,MEC密钥区分器旗标对应于EAS密钥的值,如上文表1所示。输入密钥可为EES173KEES的密钥。
在步骤3处,UE将应用程序注册请求(UE ID、MAC-IEAS)发送到EAS 177。消息可包含EEC ID。可经由NAS或经由用户平面或经由NEF 148发送消息。基于形成输入应用程序注册请求数据的应用程序注册请求的有效负载以及到KDF 185的EAS 177KEAS的密钥而计算MAC-IEAS。
当从KEAS导出MAC-IEAS时,以下参数可用于形成到KDF 185的输入字符串S:
i.FC=0xZZ,其中ZZ指示任何十六进制数。
ii.P0=应用程序注册请求数据,
iii.L0=应用程序注册请求数据的长度
输入密钥Key可为EAS 177KEAS的密钥。由KDF 185的输出的以下{32,64,128,256,512,1028等}最低有效位中的一者标识MAC-IEAS。
在步骤4处,UE 305在EAS 177处未经认证,且EAS 177将密钥请求发送到EES 173(参见消息传递520)。EES 173的选择可基于UE ID。
在步骤5处,EES 173基于UE ID标识UE 305,且以与步骤2中的UE 305类似的方式导出EAS 177KEAS的密钥(参见框525)。
在步骤6处,EES 173验证应用程序注册请求的MAC-IEAS,例如,EES 173以与UE 305类似的方式在应用程序注册请求有效负载上使用EAS密钥KEAS计算MAC-IEAS,并将结果与消息中包含的MAC-IEAS进行比较(参见框530)。如果这两者相同,那么所述消息可经认证以由UE 305发送。
在步骤7处,EES 173将包含认证的结果以及EAS密钥KEAS的密钥请求响应发送到EAS 177(参见消息传递535)。假设EES 173和EAS 177具有安全连接,因为它们具有服务水平协议且可属于同一网络,即网络域安全适用的网络。
在步骤8处,基于认证结果,EAS 177确定是接受还是拒绝来自UE 305的应用程序注册请求。EAS 177将包含认证结果的应用程序注册响应消息发送到UE 305,且以在步骤3中与UE 305保护消息的有效负载类似的方式,基于EAS 177KEAS的所接收的密钥用MAC-IEAS保护消息(参见消息传递540)。
在步骤9处,UE 305验证MAC-IEAS,且如果消息的认证结果和验证成功,那么UE 305通过使用EAS密钥KEAS在UE 305与EAS 177之间建立IPsec SA(参见消息传递545)。所有消息现在都受到IPsec隧道的机密性和完整性保护。
图6为说明根据本公开的实施例的可用于移动边缘计算网络的基于密钥的认证的用户装备设备的一个实施例的图。在各种实施例中,用户设备600用于实施上文所描述的解决方案中的一或多者。用户设备600可包含处理器605、存储器610、输入装置615、输出装置620和收发器625。在一些实施例中,输入装置615和输出装置620被组合成单个装置,例如触摸屏。在某些实施例中,用户设备600可不包含任何输入装置615和/或输出装置620。在各种实施例中,用户设备600可包含以下中的一或多者:处理器605、存储器610和收发器625,并且可不包含输入装置615和/或输出装置620。
在一个实施例中,处理器605可包含能够执行计算机可读指令和/或能够执行逻辑运算的任何已知控制器。举例来说,处理器605可为微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、FPGA或类似可编程控制器。在一些实施例中,处理器605执行存储在存储器610中的指令以执行本文中所描述的方法和例程。处理器605通信地耦合到存储器610、输入装置615、输出装置620和收发器625。在各种实施例中,处理器605控制用户设备600实施上述UE和/或UE客户端行为。
在一个实施例中,存储器610为计算机可读存储媒体。在一些实施例中,存储器610包含易失性计算机存储媒体。举例来说,存储器610可包含RAM,包含动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器610包含非易失性计算机存储媒体。举例来说,存储器610可包含硬盘驱动器、快闪存储器或任何其它合适的非易失性计算机存储装置。在一些实施例中,存储器610包含易失性和非易失性计算机存储媒体两者。
在一些实施例中,存储器610存储与认证密钥导出相关的数据。举例来说,存储器610可存储密钥、标识符和/或与密钥导出相关的其它信息。在某些实施例中,存储器610还存储程序代码和相关数据,例如操作系统或在UE上操作的其它控制器算法。
在一个实施例中,输入装置615可包含任何已知的计算机输入装置,包含触摸面板、按钮、键盘、触控笔、麦克风等。在一些实施例中,输入装置615可与输出装置620集成,例如作为触摸屏或类似触敏显示器。在一些实施例中,输入装置615包含触摸屏,使得可使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入装置615包含两个或更多个不同装置,例如键盘和触摸面板。
在一个实施例中,输出装置620被设计成输出视觉、听觉和/或触觉信号。在一些实施例中,输出装置620包含能够将视觉数据输出到用户的电子可控制显示器或显示装置。举例来说,输出装置620可包含但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够将图像、文本等输出到用户的类似显示装置。作为另一非限制性实例,输出装置620可包含可穿戴式显示器,其与用户设备600的其余部分分离但通信地耦合到所述其余部分,例如智能手表、智能眼镜、平视显示器等。此外,输出装置620可为智能手机、个人数字助理、电视机、台式计算机、笔记本(膝上型)计算机、个人计算机、交通工具仪表板等的组件。
在某些实施例中,输出装置620包含用于产生声音的一或多个扬声器。举例来说,输出装置620可产生听觉警告或通知(例如,蜂鸣或鸣响)。在一些实施例中,输出装置620包含用于产生振动、运动或其它触觉反馈的一或多个触觉装置。在一些实施例中,输出装置620的全部或部分可与输入装置615集成。举例来说,输入装置615和输出装置620可形成触摸屏或类似触敏显示器。在其它实施例中,输出装置620可位于输入装置615附近。
如上文所论述,收发器625与下文描述的一或多个网络装备装置通信。收发器625在处理器605的控制下操作以传输消息、数据和其它信号且还接收消息、数据和其它信号。举例来说,处理器605可在特定时间选择性地激活收发器(或其部分)以便发送和接收消息。
在各种实施例中,收发器625经配置以与3GPP接入网络和/或非3GPP接入网络通信。在一些实施例中,收发器625实施用于3GPP接入网络和/或非3GPP接入网络的调制解调器功能性。在一个实施例中,收发器625在使用共同物理硬件的同时使用不同通信协议或协议堆栈来实施多个逻辑收发器。
在一个实施例中,收发器625包含用于经由经许可的无线电频谱与移动通信网络通信的第一传输器/接收器对,以及用于经由未经许可的无线电频谱与移动通信网络通信的第二传输器/接收器对。在某些实施例中,用于经由经许可的无线电频谱与移动通信网络通信的第一传输器/接收器对以及用于经由未经许可的无线电频谱与移动通信网络通信的第二传输器/接收器对可组合成单个收发器单元,例如执行与经许可的和未经许可的无线电频谱两者一起使用的功能的单芯片。在一些实施例中,第一传输器/接收器对和第二传输器/接收器对可共享一或多个硬件组件。举例来说,某些收发器625、传输器630和接收器635可实施为接入共享硬件资源和/或软件资源的物理上分离的组件,例如网络接口640。
收发器625可包含一或多个传输器630和一或多个接收器635。尽管说明特定数目的传输器630和接收器635,但用户装备设备600可具有任何合适数目的传输器630和接收器635。此外,传输器630和接收器635可为任何合适类型的传输器和接收器。在某些实施例中,一或多个传输器630和/或一或多个接收器635可共享收发器硬件和/或电路系统。举例来说,一或多个传输器630和/或一或多个接收器635可共享天线、天线调谐器、放大器、滤波器、振荡器、混频器、调制器/解调器、电源等。
在各种实施例中,收发器625能够经由接入网络与移动核心网络通信。因此,收发器625可支持至少一个网络接口640。此处,至少一个网络接口640促进与RAN节点(例如,eNB或gNB)的通信,例如,使用“Uu”接口(例如,用于eNB的LTE-Uu、用于gNB的NR-Uu)。另外,至少一个网络接口640可包含用于与移动核心网络中的一或多个网络功能通信的接口,例如UPF141、AMF 143、SMF 145和/或PCF 147。在某些实施例中,收发器625可支持用于侧链路通信的PC5接口。收发器625和/或处理器605可支持一或多个应用程序接口645。
在各种实施例中,一或多个传输器630和/或一或多个接收器635可被实施和/或集成为单个硬件组件,例如多收发器芯片、芯片上系统、专用集成电路(“ASIC”),或其它类型的硬件组件。在某些实施例中,一或多个传输器630和/或一或多个接收器635可被实施和/或集成为多芯片模块。在一些实施例中,例如网络接口640或其它硬件组件/电路等其它组件可与任何数目的传输器630和/或接收器635一起集成为单芯片。在此类实施例中,传输器630和接收器635可在逻辑上配置为使用一或多个公共控制信号的收发器625,或配置为实施于同一硬件芯片中或多芯片模块中的模块化传输器630和接收器635。在某些实施例中,收发器625可实施3GPP调制解调器(例如,用于经由NR或LTE接入网络进行通信)和非3GPP调制解调器(例如,用于经由Wi-Fi或其它非3GPP接入网络进行通信)。
图7为说明根据本公开的实施例的可用于移动边缘计算网络的基于密钥的认证的网络装备设备的一个实施例的图。网络装备设备700可包含处理器705、存储器710、输入装置715、输出装置720、收发器725和应用程序接口745。在一些实施例中,输入装置715和输出装置720组合成单个装置,例如触摸屏。在某些实施例中,网络装备设备700不包含任何输入装置715和/或输出装置720。
如所描绘,收发器725包含至少一个传输器730和至少一个接收器735。此处,收发器725与一或多个远程单元105通信。另外,收发器725可支持至少一个网络接口740和/或应用程序接口745。在一些实施例中,收发器725支持用于与NEF(即,NEF 148)通信的接口(例如,Nnef接口)。如所属领域的技术人员所理解,可支持其它网络接口。
在一个实施例中,处理器705可包含能够执行计算机可读指令和/或能够执行逻辑运算的任何已知控制器。举例来说,处理器705可为微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似可编程控制器。在一些实施例中,处理器705执行存储于存储器710中的指令以执行本文中所描述的方法和例程。处理器705通信地耦合到存储器710、输入装置715、输出装置720和第一收发器725。在各种实施例中,处理器705控制网络装备设备700以实施用于移动边缘计算网络行为的上述基于密钥的认证。
在一个实施例中,存储器710为计算机可读存储媒体。在一些实施例中,存储器710包含易失性计算机存储媒体。举例来说,存储器710可包含RAM,包含动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器710包含非易失性计算机存储媒体。举例来说,存储器710可包含硬盘驱动器、快闪存储器或任何其它合适的非易失性计算机存储装置。在一些实施例中,存储器710包含易失性和非易失性计算机存储媒体两者。在一些实施例中,存储器710存储与选择服务器应用程序实例相关的数据,例如存储服务器地址、UE位置、DNS高速缓存等。在某些实施例中,存储器710还存储程序代码和相关数据,例如操作系统(“OS”)或在网络装备设备700上操作的其它控制器算法和一或多个软件应用。
在一个实施例中,输入装置715可包含任何已知的计算机输入装置,包含触摸面板、按钮、键盘、触控笔、麦克风等。在一些实施例中,输入装置715可与输出装置720集成例如作为触摸屏或类似触敏显示器。在一些实施例中,输入装置715包含触摸屏,使得可使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入装置715包含两个或更多个不同装置,例如键盘和触摸面板。
在一个实施例中,输出装置720可包含任何已知的电子可控制显示器或显示装置。输出装置720可设计成输出视觉、听觉和/或触觉信号。在一些实施例中,输出装置720包含能够将视觉数据输出到用户的电子显示器。举例来说,输出装置720可包含但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够将图像、文本等输出到用户的类似显示装置。作为另一非限制性实例,输出装置720可包含可穿戴式显示器,例如智能手表、智能眼镜、平视显示器等。此外,输出装置720可为智能手机、个人数字助理、电视机、台式计算机、笔记本(膝上型)计算机、个人计算机、交通工具仪表板等的组件。
在某些实施例中,输出装置720包含用于产生声音的一或多个扬声器。举例来说,输出装置720可产生听觉警告或通知(例如,蜂鸣或鸣响)。在一些实施例中,输出装置720包含用于产生振动、运动或其它触觉反馈的一或多个触觉装置。在一些实施例中,输出装置720的全部或部分可与输入装置715集成。举例来说,输入装置715和输出装置720可形成触摸屏或类似触敏显示器。在其它实施例中,输出装置720的全部或部分可位于输入装置715附近。
如上文所论述,收发器725可与一或多个远程单元和/或与提供对一或多个PLMN的接入的一或多个互通功能通信。收发器725还可与(例如,移动核心网络120中的)一或多个网络功能通信。收发器725在处理器705的控制下操作以传输消息、数据和其它信号且还接收消息、数据和其它信号。举例来说,处理器705可在特定时间选择性地激活收发器(或其部分)以便发送和接收消息。
收发器725可包含一或多个传输器730和一或多个接收器735。在某些实施例中,一或多个传输器730和/或一或多个接收器735可共享收发器硬件和/或电路系统。举例来说,一或多个传输器730和/或一个或多个接收器735可共享天线、天线调谐器、放大器、滤波器、振荡器、混频器、调制器/解调器、电源等。在一个实施例中,收发器725使用不同通信协议或协议堆栈实施多个逻辑收发器,同时使用共同物理硬件。
图8描绘根据本公开的实施例的用于移动边缘计算网络的基于密钥的认证的方法800的一个实施例。在各种实施例中,方法800由上文所描述的用户装备设备600执行。在一些实施例中,方法800由处理器,例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等执行。
方法800开始,且在用无线核心网络的网络功能进行认证之后,在用户装备600处导出第一网络密钥805。方法800基于第一网络密钥导出第二网络密钥810。第二网络密钥可用于移动边缘计算网络的第一网络功能。
方法800将注册请求消息发送到移动边缘计算网络的第一网络功能815。注册请求消息可通过第二网络密钥得到完整性保护。方法800从移动边缘计算网络的第一网络功能接收注册响应消息820。响应于使用第二网络密钥验证注册响应消息的完整性,方法800基于第二网络密钥建立与移动边缘计算网络的第一网络功能的安全通信825,且方法800结束。
图9描绘根据本公开的实施例的用于移动边缘计算网络的基于密钥的认证的方法900的一个实施例。在各种实施例中,方法900由上文所描述的网络装备设备600执行。在一些实施例中,方法900由处理器,例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等执行。
方法900开始,且在无线核心网络的网络功能处从用户装备接收注册请求消息905。注册请求消息包括用户装备的标识符和用户装备能够与移动边缘计算网络通信的指示中的至少一者。方法900基于与无线核心网络的网络功能相关联的第一网络密钥导出用于移动边缘计算网络的第一网络功能的第二网络密钥910。
方法900从移动边缘计算网络的第一网络功能接收用户装备的认证请求消息915。认证请求消息通过第二网络密钥得到完整性保护。响应于使用第二网络密钥验证所接收的认证请求消息的完整性,方法900将认证响应消息发送到移动边缘计算网络的第一网络功能925,所述认证响应消息指示用户装备经认证以与移动边缘计算网络通信,并且方法900结束。
图10描绘根据本公开的实施例的用于移动边缘计算网络的基于密钥的认证的方法1000的一个实施例。在各种实施例中,方法1000由上文所描述的网络装备设备700执行,所述网络装备装置可为移动边缘计算网络的部分。在一些实施例中,方法1000由处理器,例如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等执行。
方法1000开始,且在移动边缘计算网络的第一网络功能处从移动边缘计算网络的第二网络功能接收网络密钥请求1005。网络密钥请求包含针对用户装备的受第一网络密钥完整性保护的注册请求消息。方法1000在第一网络功能处,基于与所述第一网络功能相关联的先前导出的第二网络密钥而导出第一网络密钥1010。
方法1000使用第一网络密钥验证所接收的注册请求消息的完整性1015。方法1000将密钥响应消息发送到第二网络功能,所述密钥响应消息包括所接收的注册请求消息和所导出的第一网络密钥的完整性验证的指示1020,并且方法1000结束。
本文公开一种用于移动边缘计算网络的基于密钥的认证的第一方法。第一方法可由用户装备设备600执行。所述第一方法包含在用无线核心网络的网络功能进行认证之后,在用户装备处导出第一网络密钥。所述方法包含基于第一网络密钥导出第二网络密钥,所述第二网络密钥用于移动边缘计算网络的第一网络功能。所述方法包含将注册请求消息发送到移动边缘计算网络的第一网络功能,利用第二网络密钥对所述注册请求消息进行完整性保护。所述方法包含从移动边缘计算网络的第一网络功能接收注册响应消息。所述方法包含响应于使用第二网络密钥验证注册响应消息的完整性,基于第二网络密钥建立与移动边缘计算网络的第一网络功能的安全通信。
在某些实施例中,所述方法包含基于第二网络密钥导出第三网络密钥,所述第三网络密钥用于移动边缘计算网络的第二网络功能,所述移动边缘计算网络的所述第二网络功能不同于所述移动边缘计算网络的所述第一网络功能。所述方法包含将注册请求消息发送到移动边缘计算网络的第二网络功能,利用第三网络密钥对所述注册请求消息进行完整性保护。所述方法包含从移动边缘计算网络的第二网络功能接收注册响应消息。所述方法包含响应于使用第三网络密钥验证注册响应消息的完整性,基于所述第三网络密钥建立与所述移动边缘计算网络的所述第二网络功能的安全通信。
在某些实施例中,所述方法包含将用户装备能够与移动边缘计算网络通信的指示发送到无线核心网络的网络功能。在一个实施例中,所述方法包含在用于无线核心网络的注册请求消息中将用户装备的标识符发送到所述无线核心网络的网络功能。在一些实施例中,用户装备标识符包括5G全球唯一临时UE标识、订阅隐藏标识符、EEC ID和外部ID中的至少一者。
在各种实施例中,至少使用第一网络密钥和密钥区分器旗标导出用于移动边缘计算网络的第一网络功能的第二网络密钥,所述密钥区分器旗标指示针对所述移动边缘计算网络的网络功能导出哪个网络密钥。
在一个实施例中,密钥区分器旗标指定用于以下中的一者的网络密钥:移动边缘计算网络的边缘配置服务器(“ECS”)功能、边缘使能器服务器(“EES”)服务器和边缘应用程序服务器(“EAS”)功能。在某些实施例中,第一网络密钥包括与无线核心网络的接入和移动性管理功能(“AMF”)相关联的网络密钥。
本文公开一种用于移动边缘计算网络的基于密钥的认证的第一设备。第一设备可实施为用户装备设备600。
所述第一设备包含处理器,所述处理器在用无线核心网络的网络功能进行认证之后导出第一网络密钥,且基于第一网络密钥导出第二网络密钥,所述第二网络密钥用于移动边缘计算网络的第一网络功能。所述第一设备包含将注册请求消息发送到移动边缘计算网络的第一网络功能的传输器,利用第二网络密钥对所述注册请求消息进行完整性保护。所述第一设备包含从移动边缘计算网络的第一网络功能接收注册响应消息的接收器。响应于使用第二网络密钥验证注册响应消息的完整性,处理器基于第二网络密钥建立与移动边缘计算网络的第一网络功能的安全通信。
在一个实施例中,处理器基于第二网络密钥导出第三网络密钥,所述第三网络密钥用于移动边缘计算网络的第二网络功能,所述移动边缘计算网络的所述第二网络功能不同于所述移动边缘计算网络的所述第一网络功能。在某些实施例中,传输器将注册请求消息发送到移动边缘计算网络的第二网络功能,利用第三网络密钥对所述注册请求消息进行完整性保护。
在其它实施例中,接收器从移动边缘计算网络的第二网络功能接收注册响应消息。在某些实施例中,响应于使用第三网络密钥验证注册响应消息的完整性,处理器基于第三网络密钥建立与移动边缘计算网络的第二网络功能的安全通信。
在一些实施例中,传输器将所述设备能够与移动边缘计算网络通信的指示发送到无线核心网络的网络功能。在一个实施例中,传输器在用于无线核心网络的注册请求消息中将所述设备的标识符发送到无线核心网络的网络功能。
在某些实施例中,所述设备标识符包括5G全球唯一临时UE标识、订阅隐藏标识符、EEC ID和外部ID中的至少一者。在一个实施例中,至少使用第一网络密钥和密钥区分器旗标导出用于移动边缘计算网络的第一网络功能的第二网络密钥,所述密钥区分器旗标指示针对所述移动边缘计算网络的网络功能导出哪个网络密钥。
在一些实施例中,密钥区分器旗标指定用于以下中的一者的网络密钥:移动边缘计算网络的边缘配置服务器(“ECS”)功能、边缘使能器服务器(“EES”)服务器和边缘应用程序服务器(“EAS”)功能。在其它实施例中,第一网络密钥包括与无线核心网络的接入和移动性管理功能(“AMF”)相关联的网络密钥。
本文公开一种用于移动边缘计算网络的基于密钥的认证的第二方法。所述方法可由网络装备设备700执行。所述方法包含在无线核心网络的网络功能处,从用户装备接收注册请求消息,所述注册请求消息包括所述用户装备的标识符和所述用户装备能够与移动边缘计算网络通信的指示中的至少一者。所述方法包含基于与无线核心网络的网络功能相关联的第一网络密钥,导出用于移动边缘计算网络的第一网络功能的第二网络密钥。
所述方法包含从移动边缘计算网络的第一网络功能接收用于用户装备的认证请求消息,利用第二网络密钥对所述认证请求消息进行完整性保护。所述方法包含响应于使用第二网络密钥验证所接收的认证请求消息的完整性,将认证响应消息发送到移动边缘计算网络的第一网络功能,所述认证响应消息指示用户装备经认证以与移动边缘计算网络通信。
在一个实施例中,到移动边缘计算网络的第一网络功能的认证响应消息进一步包括第二网络密钥。在一些实施例中,无线核心网络的网络功能包括接入和移动性管理功能(“AMF”)。在各种实施例中,至少使用与无线核心网络的网络功能相关联的第一网络密钥和密钥区分器旗标导出第二网络密钥,所述密钥区分器旗标指示针对移动边缘计算网络的网络功能导出哪个网络密钥。
本文公开一种用于移动边缘计算网络的基于密钥的认证的网络装备设备。所述网络装备设备包含接收器,所述接收器在无线核心网络的网络功能处从用户装备接收注册请求消息,所述注册请求消息包括用户装备的标识符和用户装备能够与移动边缘计算网络通信的指示中的至少一者。所述网络装备设备包含处理器,所述处理器基于与无线核心网络的网络功能相关联的第一网络密钥导出用于移动边缘计算网络的第一网络功能的第二网络密钥,其中所述接收器从所述移动边缘计算网络的所述第一网络功能接收用于所述用户装备的认证请求消息,利用所述第二网络密钥对所述认证请求消息进行完整性保护。所述网络装备设备包含传输器,所述传输器响应于使用第二网络密钥验证所接收的认证请求消息的完整性,将认证响应消息发送到移动边缘计算网络的第一网络功能,所述认证响应消息指示用户装备经认证以与移动边缘计算网络通信。
在一个实施例中,到移动边缘计算网络的第一网络功能的认证响应消息进一步包括第二网络密钥。在一些实施例中,无线核心网络的网络功能包括接入和移动性管理功能(“AMF”)。在某些实施例中,至少使用与无线核心网络的网络功能相关联的第一网络密钥和密钥区分器旗标导出第二网络密钥,所述密钥区分器旗标指示针对移动边缘计算网络的网络功能导出哪个网络密钥。
本文公开一种用于移动边缘计算网络的基于密钥的认证的第三方法。所述方法可由网络装备设备700执行。所述方法包含在移动边缘计算网络的第一网络功能处,从所述移动边缘计算网络的第二网络功能接收网络密钥请求,所述网络密钥请求包括针对用户装备的受第一网络密钥完整性保护的注册请求消息。所述方法包含在第一网络功能处,基于与所述第一网络功能相关联的先前导出的第二网络密钥而导出第一网络密钥。所述方法包含使用第一网络密钥验证所接收的注册请求消息的完整性。所述方法包含将密钥响应消息发送到第二网络功能,所述密钥响应消息包括所接收的注册请求消息和所导出的第一网络密钥的完整性验证的指示。
在一个实施例中,基于与第一网络功能相关联的先前导出的第二网络密钥和密钥区分器旗标导出第一网络密钥,所述密钥区分器旗标指示针对移动边缘计算网络的网络功能导出哪个网络密钥。
在某些实施例中,所述方法包含在第二网络功能处从用户装备接收注册请求消息,所述注册请求消息包括用户装备的标识符,所述标识符用于确定用于认证用户装备的网络功能,且将包含所述注册请求消息的网络密钥请求发送到第一网络功能。
在一个实施例中,用户装备标识符包括以下中的至少一者:5G全球唯一临时UE标识、订阅隐藏标识符、ECC ID、EEC ID、外部ID和IP地址。在一些实施例中,所述方法包含将网络密钥请求发送到无线核心网络内的网络功能,其中用户装备经认证和注册。
在一个实施例中,第一网络功能包括边缘配置服务器(“ECS”),且第二网络功能包括边缘使能者服务器(“EES”),第一网络密钥包括用于EES的网络密钥,并且第二网络密钥包括用于ECS的网络密钥。在各种实施例中,第一网络功能包括边缘使能器服务器(“EES”),且第二网络功能包括边缘应用程序服务器(“EAS”),第一网络密钥包括用于EAS的网络密钥,并且第二网络密钥包括用于EES的网络密钥。
在一些实施例中,所述方法包含:在第二网络功能处从第一网络功能接收密钥响应消息;从第二网络功能向用户装备发送注册响应消息,所述注册响应消息包含所接收的注册请求消息的完整性验证的指示;利用所导出的第一网络密钥对注册响应消息进行完整性保护;以及使用所导出的第一网络密钥在第二网络功能与用户装备之间建立安全通信。
本文公开一种用于移动边缘计算网络的基于密钥的认证的移动边缘计算网络的网络装备设备。所述网络装备设备包含接收器,所述接收器在移动边缘计算网络的第一网络功能处,从所述移动边缘计算网络的第二网络功能接收网络密钥请求,所述网络密钥请求包括针对用户装备的受第一网络密钥完整性保护的注册请求消息。所述网络装备设备包含处理器,所述处理器在第一网络功能处基于与所述第一网络功能相关联的先前导出的第二网络密钥导出第一网络密钥,且使用所述第一网络密钥来验证所接收的注册请求消息的完整性。所述网络装备设备包含传输器,所述传输器将密钥响应消息发送到第二网络功能,所述密钥响应消息包括所接收的注册请求消息和所导出的第一网络密钥的完整性验证的指示。
在一个实施例中,基于与第一网络功能相关联的先前导出的第二网络密钥和密钥区分器旗标导出第一网络密钥,所述密钥区分器旗标指示针对移动边缘计算网络的网络功能导出哪个网络密钥。
在一些实施例中,接收器在第二网络功能处从用户装备接收注册请求消息,所述注册请求消息包括用户装备的标识符,所述标识符用于确定用于认证用户装备的网络功能,且传输器将包含所述注册请求消息的网络密钥请求发送到第一网络功能。
在各种实施例中,用户装备标识符包括以下中的至少一者:5G全球唯一临时UE标识、订阅隐藏标识符、ECC ID、EEC ID、外部ID和IP地址。在一些实施例中,传输器将网络密钥请求发送到无线核心网络内的网络功能,其中用户装备经认证和注册。
在一个实施例中,第一网络功能包括边缘配置服务器(“ECS”),且第二网络功能包括边缘使能者服务器(“EES”),第一网络密钥包括用于EES的网络密钥,并且第二网络密钥包括用于ECS的网络密钥。
在一些实施例中,第一网络功能包括边缘使能器服务器(“EES”),且第二网络功能包括边缘应用程序服务器(“EAS”),第一网络密钥包括用于EAS的网络密钥,并且第二网络密钥包括用于EES的网络密钥。
在一个实施例中,接收器在第二网络功能处从第一网络功能接收密钥响应消息,传输器从第二网络功能向用户装备发送注册响应消息,所述注册响应消息包含所接收的注册请求消息的完整性验证的指示,利用所导出的第一网络密钥对所述注册响应消息进行完整性保护,且处理器使用所导出的第一网络密钥在第二网络功能与用户装备之间建立安全通信。
可以其它特定形式实践实施例。所描述的实施例在所有方面都应被视为仅是说明性的而非限制性的。因此,本发明的范围由随附权利要求书而不是由前述描述指示。落入权利要求书的等效含义和范围内的所有改变都应涵盖在其范围内。
Claims (15)
1.一种方法,其包括:
在用无线核心网络的网络功能进行认证之后,在用户装备处导出第一网络密钥;
基于所述第一网络密钥导出第二网络密钥,所述第二网络密钥用于移动边缘计算网络的第一网络功能;
将注册请求消息发送到所述移动边缘计算网络的所述第一网络功能,利用所述第二网络密钥对所述注册请求消息进行完整性保护;
从所述移动边缘计算网络的所述第一网络功能接收注册响应消息;以及
响应于使用所述第二网络密钥验证所述注册响应消息的完整性,基于所述第二网络密钥建立与所述移动边缘计算网络的所述第一网络功能的安全通信。
2.根据权利要求1所述的方法,其进一步包括:
基于所述第二网络密钥导出第三网络密钥,所述第三网络密钥用于所述移动边缘计算网络的第二网络功能,所述移动边缘计算网络的所述第二网络功能不同于所述移动边缘计算网络的所述第一网络功能;
将注册请求消息发送到所述移动边缘计算网络的所述第二网络功能,利用所述第三网络密钥对所述注册请求消息进行完整性保护;
从所述移动边缘计算网络的所述第二网络功能接收注册响应消息;以及
响应于使用所述第三网络密钥验证所述注册响应消息的所述完整性,基于所述第三网络密钥建立与所述移动边缘计算网络的所述第二网络功能的安全通信。
3.根据权利要求1所述的方法,其进一步包括将所述用户装备能够与所述移动边缘计算网络通信的指示发送到所述无线核心网络的所述网络功能。
4.根据权利要求1所述的方法,其进一步包括在用于所述无线核心网络的注册请求消息中将用于所述用户装备的标识符发送到所述无线核心网络的所述网络功能,所述用户装备标识符包括以下中的至少一者:5G全球唯一临时UE标识、订阅隐藏标识符、ECCID、EECID和外部ID。
5.根据权利要求1所述的方法,其中至少使用所述第一网络密钥和密钥区分器旗标导出用于所述移动边缘计算网络的所述第一网络功能的所述第二网络密钥,所述密钥区分器旗标指示针对所述移动边缘计算网络的网络功能导出哪个网络密钥。
6.根据权利要求5所述的方法,其中所述密钥区分器旗标指定用于以下中的一者的网络密钥:所述移动边缘计算网络的边缘配置服务器(“ECS”)功能、边缘使能器服务器(“EES”)服务器和边缘应用程序服务器(“EAS”)功能。
7.根据权利要求1所述的方法,其中所述第一网络密钥包括与所述无线核心网络的接入和移动性管理功能(“AMF”)相关联的网络密钥。
8.一种方法,其包括:
在移动边缘计算网络的第一网络功能处,从所述移动边缘计算网络的第二网络功能接收网络密钥请求,所述网络密钥请求包括针对用户装备的受第一网络密钥完整性保护的注册请求消息;
在所述第一网络功能处,基于与所述第一网络功能相关联的先前导出的第二网络密钥而导出所述第一网络密钥;
使用所述第一网络密钥来验证所接收的注册请求消息的完整性;以及
将密钥响应消息发送到所述第二网络功能,所述密钥响应消息包括所述所接收的注册请求消息和所导出的第一网络密钥的完整性验证的指示。
9.根据权利要求8所述的方法,其中基于与所述第一网络功能相关联的所述先前导出的第二网络密钥和密钥区分器旗标导出所述第一网络密钥,所述密钥区分器旗标指示针对所述移动边缘计算网络的网络功能导出哪个网络密钥。
10.根据权利要求8所述的方法,其进一步包括:
在所述第二网络功能处,从所述用户装备接收所述注册请求消息,所述注册请求消息包括用于所述用户装备的标识符,所述标识符用于确定用于认证所述用户装备的网络功能;以及
将包含所述注册请求消息的所述网络密钥请求发送到所述第一网络功能。
11.根据权利要求10所述的方法,其中所述用户装备标识符包括以下中的至少一者:5G全球唯一临时UE标识、订阅隐藏标识符、ECCID、EECID、外部ID和IP地址。
12.根据权利要求8所述的方法,其中所述第一网络功能包括边缘配置服务器(“ECS”),且所述第二网络功能包括边缘使能者服务器(“EES”),所述第一网络密钥包括用于所述EES的网络密钥,并且所述第二网络密钥包括用于所述ECS的网络密钥。
13.根据权利要求8所述的方法,其中所述第一网络功能包括边缘使能器服务器(“EES”),且所述第二网络功能包括边缘应用程序服务器(“EAS”),所述第一网络密钥包括用于所述EAS的网络密钥,并且所述第二网络密钥包括用于所述EES的网络密钥。
14.根据权利要求8所述的方法,其进一步包括:
在所述第二网络功能处,从所述第一网络功能接收所述密钥响应消息;
从所述第二网络功能向所述用户装备发送注册响应消息,所述注册响应消息包含所述所接收的注册请求消息的所述完整性验证的所述指示,利用所述所导出的第一网络密钥对所述注册响应消息进行完整性保护;以及
使用所述所导出的第一网络密钥建立所述第二网络功能与所述用户装备之间的安全通信。
15.一种方法,其包括:
在无线核心网络的网络功能处,从用户装备接收注册请求消息,所述注册请求消息包括所述用户装备的标识符和所述用户装备能够与移动边缘计算网络通信的指示中的至少一者;
基于与所述无线核心网络的所述网络功能相关联的第一网络密钥,导出用于移动边缘计算网络的第一网络功能的第二网络密钥;
从所述移动边缘计算网络的所述第一网络功能接收用于所述用户装备的认证请求消息,利用所述第二网络密钥对所述认证请求消息进行完整性保护;以及
响应于使用所述第二网络密钥验证所接收的认证请求消息的完整性,将认证响应消息发送到所述移动边缘计算网络的所述第一网络功能,所述认证响应消息指示所述用户装备经认证以与所述移动边缘计算网络通信。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2020/119365 WO2022067654A1 (en) | 2020-09-30 | 2020-09-30 | Key-based authentication for a mobile edge computing network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116569576A true CN116569576A (zh) | 2023-08-08 |
Family
ID=80951028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080105474.6A Pending CN116569576A (zh) | 2020-09-30 | 2020-09-30 | 用于移动边缘计算网络的基于密钥的认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230388788A1 (zh) |
| EP (1) | EP4222916A1 (zh) |
| CN (1) | CN116569576A (zh) |
| WO (1) | WO2022067654A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230247426A1 (en) * | 2021-05-10 | 2023-08-03 | Apple Inc. | Multi-access edge computing (mec)-key id derivation in authentication between ue and edge servers |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230209337A1 (en) * | 2021-05-10 | 2023-06-29 | Apple Inc. | Mec authentication between edge enabler client and edge configuration or enabler server based on akma |
| CN114900288B (zh) * | 2022-05-23 | 2023-08-25 | 北京科技大学 | 一种基于边缘服务的工业环境认证方法 |
| CN117597958A (zh) * | 2022-06-17 | 2024-02-23 | 北京小米移动软件有限公司 | 认证与授权方法、装置、通信设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9088408B2 (en) * | 2012-06-28 | 2015-07-21 | Certicom Corp. | Key agreement using a key derivation key |
| US10382206B2 (en) * | 2016-03-10 | 2019-08-13 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
| CN108173882B (zh) * | 2018-03-01 | 2020-07-31 | 北京科技大学 | 基于aes算法的边缘计算节点身份认证方法 |
-
2020
- 2020-09-30 CN CN202080105474.6A patent/CN116569576A/zh active Pending
- 2020-09-30 WO PCT/CN2020/119365 patent/WO2022067654A1/en active Application Filing
- 2020-09-30 EP EP20955679.4A patent/EP4222916A1/en active Pending
- 2020-09-30 US US18/029,341 patent/US20230388788A1/en active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230247426A1 (en) * | 2021-05-10 | 2023-08-03 | Apple Inc. | Multi-access edge computing (mec)-key id derivation in authentication between ue and edge servers |
| US11889308B2 (en) * | 2021-05-10 | 2024-01-30 | Apple Inc. | Multi-access edge computing (MEC)-key id derivation in authentication between UE and edge servers |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4222916A1 (en) | 2023-08-09 |
| US20230388788A1 (en) | 2023-11-30 |
| WO2022067654A1 (en) | 2022-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111543073B (zh) | 用于用户认证的装置和方法 | |
| WO2022067654A1 (en) | Key-based authentication for a mobile edge computing network | |
| US11743934B2 (en) | Establishing QoS flows over non-3GPP access | |
| US20220338115A1 (en) | Indicating a network for a remote unit | |
| CN114731346A (zh) | 使用用户标识符访问移动通信网络 | |
| CN116391378A (zh) | 使用验证数字标识的订阅入网 | |
| US20220104165A1 (en) | Indicating a network for a remote unit | |
| US20220116769A1 (en) | Notification in eap procedure | |
| US20230292130A1 (en) | Encrypted traffic detection | |
| US20240056313A1 (en) | Selecting a data connection based on digital certificate information | |
| US20230276231A1 (en) | Authentication Between Wireless Devices and Edge Servers | |
| US20240022908A1 (en) | Authentication using a digital identifier for ue access | |
| CN116569536A (zh) | 向网络的应用注册 | |
| WO2023274567A1 (en) | Establishing a trust relationship between an application entity and a wireless communication network | |
| AU2022347394A1 (en) | Provisioning a secured packet | |
| KR20230048322A (ko) | Uas 인증 및 보안 확립 | |
| WO2023175461A1 (en) | Establishing an application session corresponding to a pin element | |
| WO2023175541A1 (en) | Authentication and registration of personal internet of things network elements | |
| CN116711369A (zh) | 针对无人飞行器的授权 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |