CN116723507A - 针对边缘网络的终端安全方法及装置 - Google Patents

Abstract

本申请提供一种针对边缘网络的终端安全方法及装置，用以保证网络安全的同时，还降低中继UE的开销。在该方法中，中继UE可以将与自身建立PC5连接的多个远端UE看做是一个虚拟实体，如xUE，并通过代理通信方式触发对该xUE的主认证，即代理该xUE认证网络，以及请求网络认证该xUE，从而将该xUE注册到网络，以获得该xUE的密钥。如此，中继UE将该xUE的密钥提供给多个远端UE，使得多个远端UE都可以使用该xUE的密钥直接与网络通信，在此过程中，中继UE不做处理，直接透传，因此可以在保证网络安全的同时，还降低中继UE的开销。

Description

针对边缘网络的终端安全方法及装置

技术领域

本申请涉及通信领域，尤其涉及一种针对边缘网络的终端安全方法及装置。

背景技术

第三代合作伙伴计划（3rd generation partnership project，3GPP）定义了边缘网络，或者说边缘服务，即当终端位于网络边缘，如基站的覆盖区域的边缘时，UE可以通过其他UE接入网络，以获得比较好的服务质量。该通过其他UE接入网络的UE称为远端UE，该提供接入的其他UE称为中继UE。对于网络而言，其感知到的仍是中继UE，也即，当远端UE向网络发送消息时，该消息先通过PC5连接发送至中继UE，由中继UE将该消息封装成网络支持的安全消息，如接入层（access stratum，AS）消息/非接入层（non-access stratum，NAS）消息，然后再发送给网络。

然而，如果与中继UE建立PC5连接的远端UE的数目比较多，则导致中继UE的通信开销比较大，不利于节能。

发明内容

本申请实施例提供一种针对边缘网络的终端安全方法及装置，用以保证网络安全的同时，还降低中继UE的开销。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种针对边缘网络的终端安全方法，该方法包括：在中继UE代理xUE将xUE注册到网络的过程中，中继UE接收来自网络的认证请求消息，其中，xUE是与中继UE建立PC5连接的多个远端UE虚拟化后的一个虚拟实体，认证请求消息用于请求认证网络；中继UE根据认证请求消息，确定xUE认证网络成功；中继UE向网络发送认证响应消息，其中，认证响应消息用于请求网络认证xUE；中继UE接收来自网络的N1消息；在N1消息指示网络认证xUE成功的情况下，中继UE通过PC5连接向多个远端UE发送xUE的密钥；中继UE通过PC5连接，接收多个远端中任一远端UE发送的第一消息，第一消息是被xUE的密钥保护后的消息；中继UE向网络透传第一消息。

也就是说，中继UE可以复用主认证流程，触发对xUE进行双向认证，此时，对于网络而言，网络感知到是xUE。也就是说，虽然是中继UE向网络发送认证请求消息，但认证请求消息中携带的是xUE的标识，如SUPI，使得网络感知到的是xUE，从而触发网络和xUE之间的双向认证，但是由于xUE是一个虚拟实体，或者说虚拟设备，那么整个认证流程的执行都是由中继UE代理。

可以理解，主认证中的算法可以是EAP-AKA’。方便理解，下文以EAP-AKA’为例进行介绍。此外，EAP-AKA’的具体实现也可以参考3GPP 33.501的相关介绍，在此不再赘述。当然，EAP-AKA’也可以替换为5G-AKA，5G-AKA的具体实现也可以参考3GPP 33.501的相关介绍，在此也不再赘述。

一种可能的设计方案中，中继UE根据认证请求消息，确定xUE认证网络成功，包括：中继UE获取认证请求消息中携带的网络的认证令牌AUTN；中继UE使用随机数RAND和xUE的根密钥，验证AUTN；若验证通过，则确定xUE认证网络成功。也即，中继UE可以代理xUE，实现xUE对网络的认证，以保证网络是安全可信的。

一种可能的设计方案中，认证响应消息携带有xUE的响应RES，该xUE的RES用于请求网络认证xUE，该xUE的RES可以是中继UE代理xUE推演的。例如，中继UE可以利用xUE的根密钥和上述从网络接收到的RAND，推演xUE的RES。相应的，网络侧的网元，如UDM可以事先也可以基于xUE的根密钥和RAND，推演xUE的XRES，并发送给AUSF。如此，当AUSF接收来自远端UE的xUE的RES，可以将xUE的XRES与xUE的RES比较，若二者一致，则网络对xUE的认证通过，否则，认证失败。

一种可能的设计方案中，该方法还包括：中继UE根据N1消息携带的密钥Kseaf，推演xUE的密钥。

xUE的密钥可以包括：xUE的接入层AS密钥，以及xUE的非接入层NAS密钥，AS密钥是多个远端UE中任一远端UE与网络的AS通信都使用的密钥，NAS密钥是多个远端UE中任一远端UE与网络的NAS通信都使用的密钥。其中，N1消息还携带有ngKSI和ABBA参数。中继UE在确定认证通过后，可根据密钥Kseaf、ABBA参数、以及x设备的SUPI，推演密钥Kamf，再基于密钥Kamf分别推演NAS密钥和密钥KgNB，最后基于密钥KgNB推演AS密钥。x设备的SUPI可以预配置或协议预定义在中继UE本地。

具体的，AS密钥可以包括：密钥UPenc、密钥UPint、密钥RRCenc、密钥RRCint，其中，密钥UPenc用于AS通信的用户面的机密性保护，密钥UPint用于AS通信的用户面的完整性保护，密钥RRCenc用于AS通信的控制面的机密性保护，密钥RRCint用于AS通信的控制面的完整性保护，AS通信是指多个远端UE中任一远端UE与网络进行AS通信。

可以理解，网络与远端UE推演AS密钥的方式与现有相同，具体可以参考3GPP33.501的相关介绍，在此不再赘述，但不同在于，远端UE推演的不是自身的AS密钥，而代理xUE推演xUE的AS密钥。

具体的，NAS密钥可以包括：密钥KNASenc、密钥KNASint。其中，密钥KNASenc用于NAS通信的机密性保护，密钥KNASint用于NAS通信的完整性保护，NAS通信是指多个远端UE中任一远端UE与网络进行NAS通信。

例如，密钥KNASenc包括：密钥KNASenc#1、密钥KNASenc#2、密钥KNASenc#3、密钥KNASenc#4。

密钥KNASenc#1用于对多个远端UE中任一远端UE与网络中的AMF之间的通信进行机密性保护，其推演方式与现有相同，具体可以参考3GPP 33.501的相关介绍，在此不再赘述，但不同在于，远端UE推演的不是自身的密钥KNASenc#1，而代理xUE推演xUE的密钥KNASenc#1。

密钥KNASenc#2用于对多个远端UE中任一远端UE与网络中的SMF之间的通信进行机密性保护。密钥KNASenc#2可以是将KNASenc#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASenc#2可以由SEAF推演，即AUSF将KNASenc#1和SMF的标识发送给SEAF，由SEAF根据SMF的标识获知需要推演针对SMF的NASenc，即推演得到KNASenc#2；或者，也可以由其他网元推演，如直接由SMF推演。当多个远端UE中任一远端UE使用密钥KNASenc#2与SMF通信时，该被密钥KNASenc#2加密的NAS消息可以直接在SMF与UE之间传递，AMF只做透传，不做处理。

密钥KNASenc#3用于对多个远端UE中任一远端UE与网络中的PCF之间的通信进行机密性保护，密钥KNASenc#3可以是将KNASenc#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASenc#3可以由SEAF推演，即AUSF将KNASenc#1和PCF的标识发送给SEAF，由SEAF根据PCF的标识获知需要推演针对PCF的NASenc，即推演得到KNASenc#3；或者，也可以由其他网元推演，如直接由PCF推演。当多个远端UE中任一远端UE使用密钥KNASenc#3与PCF通信时，该被密钥KNASenc#3加密的NAS消息可以直接在PCF与UE之间传递，AMF只做透传，不做处理。

密钥KNASenc#4用于对多个远端UE中任一远端UE与网络中的UDM/UDR之间的通信进行机密性保护。密钥KNASenc#4可以是将KNASenc#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASenc#4可以由SEAF推演，即AUSF将KNASenc#1和UDM/UDR的标识发送给SEAF，由SEAF根据UDM/UDR的标识获知需要推演针对UDM/UDR的NASenc，即推演得到KNASenc#4；或者，也可以由其他网元推演，如直接由UDM/UDR推演。当多个远端UE中任一远端UE使用密钥KNASenc#4与UDM/UDR通信时，该被密钥KNASenc#4加密的NAS消息可以直接在UDM/UDR与UE之间传递，AMF只做透传，不做处理。

可以理解，上述密钥KNASenc#2-密钥KNASenc#4也可以互为输入参数，如KNASenc#2可以作为推演KNASenc#3的输入参数，KNASenc#2和KNASenc#3作为推演KNASenc#4的输入参数，或者还有其他方式，对此不做限制。

又例如，密钥KNASint可以包括：密钥KNASint#1、密钥KNASint#2、密钥KNASint#3以及密钥KNASint#4。

密钥KNASint#1可以用于对多个远端UE中任一远端UE与网络中的AMF之间的通信进行完整性保护，其推演方式与现有相同，具体可以参考3GPP 33.501的相关介绍，在此不再赘述，但不同在于，远端UE推演的不是自身的KNASint#1，而代理xUE推演xUE的密钥KNASint#1。

密钥KNASint#2可以用于对多个远端UE中任一远端UE与网络中的SMF之间的通信进行完整性保护。密钥KNASint#2可以是将密钥KNASint#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASint#2可以由SEAF推演，即AUSF将密钥KNASint#1和SMF的标识发送给SEAF，由SEAF根据SMF的标识获知需要推演针对SMF的NASint，即推演得到密钥KNASint#2；或者，也可以由其他网元推演，如直接由SMF推演。当多个远端UE中任一远端UE使用密钥密钥KNASint#2与SMF通信时，该被密钥密钥KNASint#2完保的NAS消息可以直接在SMF与UE之间传递，AMF只做透传，不做处理。

密钥KNASint#3可以用于对多个远端UE中任一远端UE与网络中的PCF之间的通信进行完整性保护。密钥KNASint#3可以是将密钥KNASint#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASint#3可以由SEAF推演，即AUSF将密钥KNASint#1和PCF的标识发送给SEAF，由SEAF根据PCF的标识获知需要推演针对PCF的NASint，即推演得到密钥KNASint#3；或者，也可以由其他网元推演，如直接由PCF推演。当多个远端UE中任一远端UE使用密钥密钥KNASint#3与PCF通信时，该被密钥密钥KNASint#3完保的NAS消息可以直接在PCF与UE之间传递，AMF只做透传，不做处理。

密钥KNASint#4可以用于对多个远端UE中任一远端UE与网络中的UDM/UDR之间的通信进行完整性保护。密钥KNASint#4可以是将密钥KNASint#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASint#4可以由SEAF推演，即AUSF将密钥KNASint#1和UDM/UDR的标识发送给SEAF，由SEAF根据UDM/UDR的标识获知需要推演针对UDM/UDR的NASint，即推演得到密钥KNASint#4；或者，也可以由其他网元推演，如直接由UDM/UDR推演。当多个远端UE中任一远端UE使用密钥密钥KNASint#4与UDM/UDR通信时，该被密钥密钥KNASint#4完保的NAS消息可以直接在UDM/UDR与UE之间传递，AMF只做透传，不做处理。

可以理解，上述密钥KNASint#2-密钥KNASint#4也可以互为输入参数，如KNASint#2可以作为推演KNASint#3的输入参数，KNASint#2和KNASint#3作为推演KNASint#4的输入参数，或者还有其他方式，对此不做限制。

一种可能的设计方案中，若与中继UE建立PC5连接的多个远端的数目大于数目阈值，则中继UE将多个远端UE虚拟化为xUE，也即，中继UE确定将预配置或者协议预定义的xUE的标识，以及xUE的一些参数分配给多个远端UE使用。

第二方面，提供一种针对边缘网络的终端安全装置，该装置包括：收发模块和处理模块，其中；收发模块，用于在中继UE代理xUE将xUE注册到网络的过程中，中继UE接收来自网络的认证请求消息，其中，xUE是与中继UE建立PC5连接的多个远端UE虚拟化后的一个虚拟实体，认证请求消息用于请求认证网络；处理模块，用于中继UE根据认证请求消息，确定xUE认证网络成功；收发模块，还用于中继UE向网络发送认证响应消息，其中，认证响应消息用于请求网络认证xUE；收发模块，还用于中继UE接收来自网络的N1消息；收发模块，还用于在N1消息指示网络认证xUE成功的情况下，中继UE通过PC5连接向多个远端UE发送xUE的密钥；收发模块，还用于中继UE通过PC5连接，接收多个远端中任一远端UE发送的第一消息，第一消息是被xUE的密钥保护后的消息；收发模块，还用于中继UE向网络透传第一消息。

一种可能的设计方案中，处理模块，用于：中继UE获取认证请求消息中携带的网络的认证令牌AUTN；中继UE使用随机数RAND和xUE的根密钥，验证AUTN；若验证通过，则确定xUE认证网络成功。

一种可能的设计方案中，认证响应消息携带有xUE的响应RES，该xUE的RES用于请求网络认证xUE，该xUE的RES可以是中继UE代理xUE推演的。

一种可能的设计方案中，处理模块，还用于中继UE根据N1消息携带的密钥Kseaf，推演xUE的密钥。

xUE的密钥可以包括：xUE的接入层AS密钥，以及xUE的非接入层NAS密钥，AS密钥是多个远端UE中任一远端UE与网络的AS通信都使用的密钥，NAS密钥是多个远端UE中任一远端UE与网络的NAS通信都使用的密钥。

具体的，AS密钥可以包括：密钥UPenc、密钥UPint、密钥RRCenc、密钥RRCint，其中，密钥UPenc用于AS通信的用户面的机密性保护，密钥UPint用于AS通信的用户面的完整性保护，密钥RRCenc用于AS通信的控制面的机密性保护，密钥RRCint用于AS通信的控制面的完整性保护，AS通信是指多个远端UE中任一远端UE与网络进行AS通信。

具体的，NAS密钥可以包括：密钥KNASenc、密钥KNASint。其中，密钥KNASenc用于NAS通信的机密性保护，密钥KNASint用于NAS通信的完整性保护，NAS通信是指多个远端UE中任一远端UE与网络进行NAS通信。

例如，密钥KNASenc包括：密钥KNASenc#1、密钥KNASenc#2、密钥KNASenc#3、密钥KNASenc#4。密钥KNASenc#1用于对多个远端UE中任一远端UE与网络中的AMF之间的通信进行机密性保护。密钥KNASenc#2用于对多个远端UE中任一远端UE与网络中的SMF之间的通信进行机密性保护。密钥KNASenc#3用于对多个远端UE中任一远端UE与网络中的PCF之间的通信进行机密性保护。密钥KNASenc#4用于对多个远端UE中任一远端UE与网络中的UDM/UDR之间的通信进行机密性保护。

可以理解，上述密钥KNASenc#2-密钥KNASenc#4也可以互为输入参数，如KNASenc#2可以作为推演KNASenc#3的输入参数，KNASenc#2和KNASenc#3作为推演KNASenc#4的输入参数，或者还有其他方式，对此不做限制。

又例如，密钥KNASint可以包括：密钥KNASint#1、密钥KNASint#2、密钥KNASint#3以及密钥KNASint#4。密钥KNASint#1可以用于对多个远端UE中任一远端UE与网络中的AMF之间的通信进行完整性保护。密钥KNASint#2可以用于对多个远端UE中任一远端UE与网络中的SMF之间的通信进行完整性保护。密钥KNASint#3可以用于对多个远端UE中任一远端UE与网络中的PCF之间的通信进行完整性保护。密钥KNASint#4可以用于对多个远端UE中任一远端UE与网络中的UDM/UDR之间的通信进行完整性保护。

一种可能的设计方案中，处理模块，还用于若与中继UE建立PC5连接的多个远端的数目大于数目阈值，则中继UE将多个远端UE虚拟化为xUE。

第三方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机程序，当该处理器执行该计算机程序时，以使该通信装置执行第一方面所述的方法。

在一种可能的设计方案中，第三方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第三方面所述的通信装置与其他通信装置通信。

在本申请实施例中，第三方面所述的通信装置可以为第一方面所述的终端，或者可设置于该终端中的芯片（系统）或其他部件或组件，或者包含该终端的装置。

此外，第三方面所述的通信装置的技术效果可以参考第一方面所述的方法的技术效果，此处不再赘述。

第四方面，提供一种计算机可读存储介质，包括：计算机程序或指令；当该计算机程序或指令在计算机上运行时，使得该计算机执行第一方面所述的方法。

上，基于上述方法及装置可知，中继UE可以将与自身建立PC5连接的多个远端UE看做是一个虚拟实体，如xUE，并通过代理通信方式触发对该xUE的主认证，即代理该xUE认证网络，以及请求网络认证该xUE，从而将该xUE注册到网络，以获得该xUE的密钥。如此，中继UE将该xUE的密钥提供给多个远端UE，使得多个远端UE都可以使用该xUE的密钥直接与网络通信，在此过程中，中继UE不做处理，直接透传，因此可以在保证网络安全的同时，还降低中继UE的开销。

附图说明

图1为5G系统的架构示意图；

图2为ProSe通信的架构示意图；

图3为本申请实施例提供的通信系统的架构示意图；

图4为本申请实施例提供的针对边缘网络的终端安全方法的流程示意图；

图5为本申请实施例提供的针对边缘网络的终端安全装置的结构示意图；

图6为本申请实施例提供的电子设备装置的结构示意图。

具体实施方式

为方便理解，下面先介绍本申请实施例所涉及的技术术语。

1、第五代（5th generation，5G）移动通信系统（简称5G系统（5G system，5GS））：

图1为5GS的非漫游架构示意图。如图1所示，5GS包括：接入网（access network，AN）和核心网（core network，CN），还可以包括：终端。

上述终端可以为具有收发功能的终端，或为可设置于该终端的芯片或芯片系统。该终端也可以称为用户装置（uesr equipment，UE）、接入终端、用户单元（subscriberunit）、用户站、移动站（mobile station，MS）、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机（mobile phone）、蜂窝电话（cellular phone）、智能电话（smart phone）、平板电脑（Pad）、无线数据卡、个人数字助理电脑（personal digital assistant，PDA）、无线调制解调器（modem）、手持设备（handset）、膝上型电脑（laptop computer）、机器类型通信（machinetype communication，MTC）终端、带无线收发功能的电脑、虚拟现实（virtual reality，VR）终端、增强现实（augmented reality，AR）终端、工业控制（industrial control）中的无线终端、无人驾驶（self driving）中的无线终端、远程医疗（remote medical）中的无线终端、智能电网（smart grid）中的无线终端、运输安全（transportation safety）中的无线终端、智慧城市（smart city）中的无线终端、智慧家庭（smart home）中的无线终端、车载终端、具有终端功能的路边单元（road side unit，RSU）等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。

上述AN用于实现接入有关的功能，可以为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括：接入网设备，也可以称为无线接入网设备（radio access network，RAN）设备。CN主要负责维护移动网络的签约数据，为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元：用户面功能（user plane function，UPF）网元、认证服务功能（authentication server function，AUSF）网元、接入和移动性管理功能（access and mobility management function，AMF）网元、会话管理功能（session management function，SMF）网元、网络切片选择功能（networkslice selection function，NSSF）网元、网络开放功能（network exposure function，NEF）网元、网络功能仓储功能（NF repository function，NRF）网元、策略控制功能（policycontrol function，PCF）网元、统一数据管理（unified data management，UDM）网元、统一数据存储（unified data repository，UDR）、以及应用功能（application function，AF）。

UE通过RAN设备接入5G网络，UE通过N1接口（简称N1）与AMF网元通信；RAN网元通过N2接口（简称N2）与AMF网元通信；RAN网元通过N3接口简称N3与UPF网元通信；SMF通过N4接口（简称N4）与UPF网元通信，UPF网元通过N6接口（简称N6）接入数据网络（data network，DN）。此外，图1中的（a）所示的AUSF网元、AMF网元、SMF网元、NSSF网元、NEF网元、NRF网元、PCF网元、UDM网元、UDR网元或者AF等控制面功能采用服务化接口进行交互。比如，AUSF网元对外提供的服务化接口为Nausf；AMF网元对外提供的服务化接口为Namf；SMF网元对外提供的服务化接口为Nsmf；NSSF对外提供的服务化接口为Nnssf；NEF网元对外提供的服务化接口为Nnef；NRF网元对外提供的服务化接口为Nnrf；PCF网元对外提供的服务化接口为Npcf；UDM网元对外提供的服务化接口为Nudm；UDR网元对外提供的服务化接口为Nudr；AF对外提供的服务化接口为Naf。

RAN设备可以是为终端提供接入的设备。例如，RAN设备可以包括：下一代移动通信系统，例如6G的接入网设备，例如6G基站，或者在下一代移动通信系统中，该网络设备也可以有其他命名方式，其均涵盖在本申请实施例的保护范围以内，本申请对此不做任何限定。或者，RAN设备也可以包括5G，如新空口（new radio，NR）系统中的gNB，或，5G中的基站的一个或一组（包括多个天线面板）天线面板，或者，还可以为构成gNB、传输点（transmissionand reception point，TRP或者transmission point，TP）或传输测量功能（transmissionmeasurement function，TMF）的网络节点，如基带单元（building base band unit，BBU），或，集中单元（centralized unit，CU）或分布单元（distributed unit，DU）、具有基站功能的RSU，或者有线接入网关，或者5G的核心网网元。或者，RAN设备还可以包括无线保真（wireless fidelity，WiFi）系统中的接入点（access point，AP），无线中继节点、无线回传节点、各种形式的宏基站、微基站（也称为小站）、中继站、接入点、可穿戴设备、车载设备等等。

UPF网元主要负责用户数据处理（转发、接收、计费等）。例如，UPF网元可以接收来自数据网络（data network，DN）的用户数据，通过接入网设备向终端转发该用户数据。UPF网元也可以通过接入网设备接收来自终端的用户数据，并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议（internet protocol，IP）多媒体业务（IP multi-media srvice，IMS）、互联网（internet）等。DN可以为运营商外部网络，也可以为运营商控制的网络，用于向终端设备提供业务服务。

AUSF网元主要用于执行终端的安全认证。

AMF网元主要用于移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。

SMF网元主要用于移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议（internet protocol，IP）地址，选择提供数据包转发功能的UPF网元等。

PCF网元主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略，例如服务质量（quality of service，QoS）策略、切片选择策略等。

NSSF网元主要用于为终端选择网络切片。

NEF网元主要用于支持能力和事件的开放。

UDM网元主要用于存储用户数据，例如签约数据、鉴权/授权数据等。

UDR网元主要用于存储结构化数据，存储的内容包括签约数据和策略数据、对外暴露的结构化数据和应用相关的数据。

AF主要支持与CN交互来提供服务，例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。本申请实施例中，AF是5GC内的网元。

2、密钥推演：

5GS中所有的密钥派生均使用第三代合作伙伴计划协议（3rd GenerationPartnership Project，3GPP）TS 33.220 v17.4.附录B.2.0中规定的密钥派生函数（keyderivation function，KDF）进行。KDF函数的输入包括：密钥Key和输入参数，该输出参数为字符串S；该Key为派生密钥所用的密钥，如密钥#1根据密钥#2派生，则密钥#2为密钥#1的Key。也即，密钥派生可以为HMAC-SHA-256（Key，S），其中，HMAC-SHA-256为KDF函数中的一种具体的函数，HMAC-SHA-256的具体原理可以参考现有技术中的原理，此处不再赘述。

字符串S由n+1个输入参数构造，其表达式如下：

S=FC||P0||L0||P1||L1||P2||L2||P3||L3||...||Pn||Ln

其中，FC用于区分算法的不同实例。P0，...，Pn是n+1输入参数编码，L0，…，Ln是相应输入参数编码P0，...，Pn的长度。

例如，在KAMF的派生中，Key为KSEAF，字符串S的各输入参数为：FC = 0x6D、P0 =IMSI or NAI or GCI or GLI、L0 = P0 length - number of octets in P0、P1 = ABBAparameter，以及L1 = P1 length - number of octets in P1，其中，P0为终端的标识，P1为SEAF发送给终端的自定义参数。

3、近距离通信：

随着移动通信的高速发展，新业务类型，如视频聊天、虚拟现实（virtualreality，VR）/增强现实（augmented AR）等数据业务的普遍应用，提高了用户对带宽的需求。对此，近距离通信，例如设备到设备（device-to-device，D2D）通信是一种解决方案。

D2D通信允许UE之间直接进行通信，例如通过PC5接口进行通信，实现数据面和控制面的信息传输。这样，用户在小区（cell）网络的控制下便可与其他小区用户共享频谱资源，有效提高频谱资源的利用率。D2D通信包括：一对多通信（one to manycommunication），以及一对一通信（One to one communication）。一对多通信通常对应于组播和广播通信，一对一通信通常对应于单播通信。在一对一通信中，若发送方UE与接收方UE在近距离范围内，通过相互发现后可以直接通信。

4、临近业务（proximity based services，ProSe）通信：

如图2所示，ProSe通信又称为近距离业务通信，或者说边缘业务或边缘服务，是D2D通信中的一种典型业务场景。ProSe通信可以包含临近业务直接通信、临近业务UE到网络中继通信。针对临近业务UE到网络中继通信（可简称ProSe中继通信），在某个UE（记为UE1）处于网络覆盖之外、或与RAN设备间的通信信号不好、或需要其他UE（记为UE2）协助传输数据的情况下，UE1可以通过UE2的辅助，从网络获取业务。此时，UE1可称为临近业务远端UE（ProSe remote UE），或者5G临近业务远端UE（5G ProSe remote UE），或者简称为远端UE（remote UE）。UE2可为称为临近业务UE到网络中继（ProSe UE-to-network relay），或者5G临近业务UE到网络中继（5G ProSe UE-to-network relay），或者简称为中继UE（relayUE）。中继UE可用于提供支持远端UE连接到网络的ProSe功能，以便远端UE可通过中继UE提供的ProSe功能与DN通信，即ProSe中继通信。

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如无线网络（Wi-Fi）系统，车到任意物体（vehicle to everything，V2X）通信系统、设备间（device-todevie，D2D）通信系统、车联网通信系统、第四代（4th generation，4G）移动通信系统，如长期演进（longterm evolution，LTE）系统、全球互联微波接入（worldwide interoperability formicrowave access，WiMAX）通信系统、第五代（5th generation，5G），如新空口（new radio，NR）系统，以及未来的通信系统等。

在本申请实施例中，“指示”可以包括直接指示和间接指示，也可以包括显式指示和隐式指示。将某一信息所指示的信息称为待指示信息，则具体实现过程中，对待指示信息进行指示的方式有很多种，例如但不限于，可以直接指示待指示信息，如待指示信息本身或者该待指示信息的索引等。也可以通过指示其他信息来间接指示待指示信息，其中该其他信息与待指示信息之间存在关联关系。还可以仅仅指示待指示信息的一部分，而待指示信息的其他部分则是已知的或者提前约定的。例如，还可以借助预先约定(例如协议规定)的各个信息的排列顺序来实现对特定信息的指示，从而在一定程度上降低指示开销。同时，还可以识别各个信息的通用部分并统一指示，以降低单独指示同样的信息而带来的指示开销。

此外，具体的指示方式还可以是现有各种指示方式，例如但不限于，上述指示方式及其各种组合等。各种指示方式的具体细节可以参考现有技术，本文不再赘述。由上文所述可知，举例来说，当需要指示相同类型的多个信息时，可能会出现不同信息的指示方式不相同的情形。具体实现过程中，可以根据具体的需要选择所需的指示方式，本申请实施例对选择的指示方式不做限定，如此一来，本申请实施例涉及的指示方式应理解为涵盖可以使得待指示方获知待指示信息的各种方法。

应理解，待指示信息可以作为一个整体一起发送，也可以分成多个子信息分开发送，而且这些子信息的发送周期和/或发送时机可以相同，也可以不同。具体发送方法本申请实施例不进行限定。其中，这些子信息的发送周期和/或发送时机可以是预先定义的，例如根据协议预先定义的，也可以是发送端设备通过向接收端设备发送配置信息来配置的。

“预先定义”或“预先配置”可以通过在设备中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现，本申请实施例对于其具体的实现方式不做限定。其中，“保存”可以是指，保存在一个或者多个存储器中。所述一个或者多个存储器可以是单独的设置，也可以是集成在编码器或者译码器，处理器、或通信装置中。所述一个或者多个存储器也可以是一部分单独设置，一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质，本申请实施例并不对此限定。

本申请实施例中涉及的“协议”可以是指通信领域中协议族、类似协议族帧结构的标准协议、或者应用于未来的通信系统中的相关协议，本申请实施例对此不作具体限定。

本申请实施例中，“当……时”、“在……的情况下”、“若”以及“如果”等描述均指在某种客观情况下设备会做出相应的处理，并非是限定时间，且也不要求设备在实现时一定要有判断的动作，也不意味着存在其它限定。

在本申请实施例的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本申请实施例中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A、B可以是单数或者复数。并且，在本申请实施例的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项（个）或复数项（个）的任意组合。例如，a、b或c中的至少一项（个），可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。同时，在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念，便于理解。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图3中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性的，图3为本申请实施例提供的针对边缘网络的终端安全方法所适用的一种通信系统的架构示意图。

如图3所示，该通信系统可以适用于上述5GS，包括：远端UE、中继UE以及网络。其中，在边缘网络场景下，远端UE可以是一个或多个，网络可以指运营商网络，具体可以包括5G的接入网和核心网。

下面将结合图4，通过方法实施例具体介绍上述通信系统中各网元/设备之间的交互流程。本申请实施例提供的针对边缘网络的终端安全方法可以适用于上述通信系统，并具体应用到上述通信系统中提到的各种场景，下面具体介绍。

图4为本申请实施例提供的方法的流程示意图。该针对边缘网络的终端安全方法适用到上述通信系统，涉及远端终端与中继终端之间的交互，具体流程如下：

S401，在中继UE代理xUE将xUE注册到网络的过程中，中继UE接收来自网络的认证请求消息。

其中，xUE是与中继UE建立PC5连接的多个远端UE虚拟化后的一个虚拟实体。认证请求消息用于请求认证网络，即在中继UE代理xUE将xUE注册到网络的过程中，中继UE触发针对xUE的主认证流程。

可选地，若与中继UE建立PC5连接的多个远端的数目大于数目阈值（如2个或者以上），则中继UE将多个远端UE虚拟化为xUE，也即，中继UE确定将预配置或者协议预定义的xUE的标识，以及xUE的一些参数分配给多个远端UE使用。

S402，中继UE根据认证请求消息，确定xUE认证网络成功。

中继UE可以获取认证请求消息中携带的网络的认证令牌AUTN。中继UE可以使用随机数RAND和xUE的根密钥，验证AUTN。若验证通过，则确定xUE认证网络成功。也即，中继UE可以代理xUE，实现xUE对网络的认证，以保证网络是安全可信的，否则，认证失败，流程结束。

S403，中继UE向网络发送认证响应消息。

其中，认证响应消息用于请求网络认证xUE。

S404，中继UE接收来自网络的N1消息。

认证响应消息可携带有xUE的响应RES，该xUE的RES用于请求网络认证xUE，该xUE的RES可以是中继UE代理xUE推演的。例如，中继UE可以利用xUE的根密钥和上述从网络接收到的RAND，推演xUE的RES。相应的，网络侧的网元，如UDM可以事先也可以基于xUE的根密钥和RAND，推演xUE的XRES，并发送给AUSF。如此，当AUSF接收来自远端UE的xUE的RES，可以将xUE的XRES与xUE的RES比较，若二者一致，则网络对xUE的认证通过，否则，认证失败。

S405，在N1消息指示网络认证xUE成功的情况下，中继UE通过PC5连接向多个远端UE发送xUE的密钥。

其中，中继UE根据N1消息携带的密钥Kseaf，推演xUE的密钥。

xUE的密钥可以包括：xUE的接入层AS密钥，以及xUE的非接入层NAS密钥，AS密钥是多个远端UE中任一远端UE与网络的AS通信都使用的密钥，NAS密钥是多个远端UE中任一远端UE与网络的NAS通信都使用的密钥。其中，N1消息还携带有ngKSI和ABBA参数。中继UE在确定认证通过后，可根据密钥Kseaf、ABBA参数、以及x设备的SUPI，推演密钥Kamf，再基于密钥Kamf分别推演NAS密钥和密钥KgNB，最后基于密钥KgNB推演AS密钥。x设备的SUPI可以预配置或协议预定义在中继UE本地。

具体的，AS密钥可以包括：密钥UPenc、密钥UPint、密钥RRCenc、密钥RRCint，其中，密钥UPenc用于AS通信的用户面的机密性保护，密钥UPint用于AS通信的用户面的完整性保护，密钥RRCenc用于AS通信的控制面的机密性保护，密钥RRCint用于AS通信的控制面的完整性保护，AS通信是指多个远端UE中任一远端UE与网络进行AS通信。

可以理解，网络与远端UE推演AS密钥的方式与现有相同，具体可以参考3GPP33.501的相关介绍，在此不再赘述，但不同在于，远端UE推演的不是自身的AS密钥，而代理xUE推演xUE的AS密钥。

具体的，NAS密钥可以包括：密钥KNASenc、密钥KNASint。其中，密钥KNASenc用于NAS通信的机密性保护，密钥KNASint用于NAS通信的完整性保护，NAS通信是指多个远端UE中任一远端UE与网络进行NAS通信。

例如，密钥KNASenc包括：密钥KNASenc#1、密钥KNASenc#2、密钥KNASenc#3、密钥KNASenc#4。

密钥KNASenc#1用于对多个远端UE中任一远端UE与网络中的AMF之间的通信进行机密性保护，其推演方式与现有相同，具体可以参考3GPP 33.501的相关介绍，在此不再赘述，但不同在于，远端UE推演的不是自身的密钥KNASenc#1，而代理xUE推演xUE的密钥KNASenc#1。

密钥KNASenc#2用于对多个远端UE中任一远端UE与网络中的SMF之间的通信进行机密性保护。密钥KNASenc#2可以是将KNASenc#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASenc#2可以由SEAF推演，即AUSF将KNASenc#1和SMF的标识发送给SEAF，由SEAF根据SMF的标识获知需要推演针对SMF的NASenc，即推演得到KNASenc#2；或者，也可以由其他网元推演，如直接由SMF推演。当多个远端UE中任一远端UE使用密钥KNASenc#2与SMF通信时，该被密钥KNASenc#2加密的NAS消息可以直接在SMF与UE之间传递，AMF只做透传，不做处理。

密钥KNASenc#3用于对多个远端UE中任一远端UE与网络中的PCF之间的通信进行机密性保护，密钥KNASenc#3可以是将KNASenc#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASenc#3可以由SEAF推演，即AUSF将KNASenc#1和PCF的标识发送给SEAF，由SEAF根据PCF的标识获知需要推演针对PCF的NASenc，即推演得到KNASenc#3；或者，也可以由其他网元推演，如直接由PCF推演。当多个远端UE中任一远端UE使用密钥KNASenc#3与PCF通信时，该被密钥KNASenc#3加密的NAS消息可以直接在PCF与UE之间传递，AMF只做透传，不做处理。

密钥KNASenc#4用于对多个远端UE中任一远端UE与网络中的UDM/UDR之间的通信进行机密性保护。密钥KNASenc#4可以是将KNASenc#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASenc#4可以由SEAF推演，即AUSF将KNASenc#1和UDM/UDR的标识发送给SEAF，由SEAF根据UDM/UDR的标识获知需要推演针对UDM/UDR的NASenc，即推演得到KNASenc#4；或者，也可以由其他网元推演，如直接由UDM/UDR推演。当多个远端UE中任一远端UE使用密钥KNASenc#4与UDM/UDR通信时，该被密钥KNASenc#4加密的NAS消息可以直接在UDM/UDR与UE之间传递，AMF只做透传，不做处理。

可以理解，上述密钥KNASenc#2-密钥KNASenc#4也可以互为输入参数，如KNASenc#2可以作为推演KNASenc#3的输入参数，KNASenc#2和KNASenc#3作为推演KNASenc#4的输入参数，或者还有其他方式，对此不做限制。

又例如，密钥KNASint可以包括：密钥KNASint#1、密钥KNASint#2、密钥KNASint#3以及密钥KNASint#4。

密钥KNASint#1可以用于对多个远端UE中任一远端UE与网络中的AMF之间的通信进行完整性保护，其推演方式与现有相同，具体可以参考3GPP 33.501的相关介绍，在此不再赘述，但不同在于，远端UE推演的不是自身的KNASint#1，而代理xUE推演xUE的密钥KNASint#1。

密钥KNASint#2可以用于对多个远端UE中任一远端UE与网络中的SMF之间的通信进行完整性保护。密钥KNASint#2可以是将密钥KNASint#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASint#2可以由SEAF推演，即AUSF将密钥KNASint#1和SMF的标识发送给SEAF，由SEAF根据SMF的标识获知需要推演针对SMF的NASint，即推演得到密钥KNASint#2；或者，也可以由其他网元推演，如直接由SMF推演。当多个远端UE中任一远端UE使用密钥密钥KNASint#2与SMF通信时，该被密钥密钥KNASint#2完保的NAS消息可以直接在SMF与UE之间传递，AMF只做透传，不做处理。

密钥KNASint#3可以用于对多个远端UE中任一远端UE与网络中的PCF之间的通信进行完整性保护。密钥KNASint#3可以是将密钥KNASint#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASint#3可以由SEAF推演，即AUSF将密钥KNASint#1和PCF的标识发送给SEAF，由SEAF根据PCF的标识获知需要推演针对PCF的NASint，即推演得到密钥KNASint#3；或者，也可以由其他网元推演，如直接由PCF推演。当多个远端UE中任一远端UE使用密钥密钥KNASint#3与PCF通信时，该被密钥密钥KNASint#3完保的NAS消息可以直接在PCF与UE之间传递，AMF只做透传，不做处理。

密钥KNASint#4可以用于对多个远端UE中任一远端UE与网络中的UDM/UDR之间的通信进行完整性保护。密钥KNASint#4可以是将密钥KNASint#1和RAND作为输入参数推演的密钥。在网络侧，密钥KNASint#4可以由SEAF推演，即AUSF将密钥KNASint#1和UDM/UDR的标识发送给SEAF，由SEAF根据UDM/UDR的标识获知需要推演针对UDM/UDR的NASint，即推演得到密钥KNASint#4；或者，也可以由其他网元推演，如直接由UDM/UDR推演。当多个远端UE中任一远端UE使用密钥密钥KNASint#4与UDM/UDR通信时，该被密钥密钥KNASint#4完保的NAS消息可以直接在UDM/UDR与UE之间传递，AMF只做透传，不做处理。

可以理解，上述密钥KNASint#2-密钥KNASint#4也可以互为输入参数，如KNASint#2可以作为推演KNASint#3的输入参数，KNASint#2和KNASint#3作为推演KNASint#4的输入参数，或者还有其他方式，对此不做限制。

还可以理解，上述密钥KNASenc#2-密钥KNASenc#4的推演还可以有其他输入参数，具体可以参考上述的“2、密钥推演”的相关介绍，在此不再赘述。同理，上述密钥KNASint#2-密钥KNASint#4的推演还可以有其他输入参数，具体也可以参考上述的“2、密钥推演”的相关介绍，在此不再赘述。

S406，中继UE通过PC5连接，接收多个远端中任一远端UE发送的第一消息。

第一消息是被xUE的密钥保护后的消息。

S407，中继UE向网络透传第一消息。

综上，中继UE可以将与自身建立PC5连接的多个远端UE看做是一个虚拟实体，如xUE，并通过代理通信方式触发对该xUE的主认证，即代理该xUE认证网络，以及请求网络认证该xUE，从而将该xUE注册到网络，以获得该xUE的密钥。如此，中继UE将该xUE的密钥提供给多个远端UE，使得多个远端UE都可以使用该xUE的密钥直接与网络通信，在此过程中，中继UE不做处理，直接透传，因此可以在保证网络安全的同时，还降低中继UE的开销。

也就是说，中继UE可以复用主认证流程，触发对xUE进行双向认证，此时，对于网络而言，网络感知到是xUE。也就是说，虽然是中继UE向网络发送认证请求消息，但认证请求消息中携带的是xUE的标识，如SUPI，使得网络感知到的是xUE，从而触发网络和xUE之间的双向认证，但是由于xUE是一个虚拟实体，或者说虚拟设备，那么整个认证流程的执行都是由中继UE代理。

可以理解，上述的主认证中的算法可以是EAP-AKA’。方便理解，下文以EAP-AKA’为例进行介绍。此外，EAP-AKA’的具体实现也可以参考3GPP 33.501的相关介绍，在此不再赘述。当然，EAP-AKA’也可以替换为5G-AKA，5G-AKA的具体实现也可以参考3GPP 33.501的相关介绍，在此也不再赘述。

以上结合图4详细说明了本申请实施例提供的针对边缘网络的终端安全方法。以下结合图5-图6详细说明用于执行本申请实施例提供的针对边缘网络的终端安全装置。

图5是本申请实施例提供的针对边缘网络的终端安全装置的结构示意图。示例性的，如图5所示，针对边缘网络的终端安全装置500包括：收发模块501和处理模块502。为了便于说明，图5仅示出了该针对边缘网络的终端安全装置的主要部件。

一些实施例中，针对边缘网络的终端安全装置500可适用于图3中所示出的通信系统中，执行上述图4所示的方法中的远端终端的功能。

收发模块501，用于在中继UE代理xUE将xUE注册到网络的过程中，中继UE接收来自网络的认证请求消息，其中，xUE是与中继UE建立PC5连接的多个远端UE虚拟化后的一个虚拟实体，认证请求消息用于请求认证网络；处理模块502，用于中继UE根据认证请求消息，确定xUE认证网络成功；收发模块501，还用于中继UE向网络发送认证响应消息，其中，认证响应消息用于请求网络认证xUE；收发模块501，还用于中继UE接收来自网络的N1消息；收发模块501，还用于在N1消息指示网络认证xUE成功的情况下，中继UE通过PC5连接向多个远端UE发送xUE的密钥；收发模块501，还用于中继UE通过PC5连接，接收多个远端中任一远端UE发送的第一消息，第一消息是被xUE的密钥保护后的消息；收发模块501，还用于中继UE向网络透传第一消息。

一种可能的设计方案中，处理模块502，用于：中继UE获取认证请求消息中携带的网络的认证令牌AUTN；中继UE使用随机数RAND和xUE的根密钥，验证AUTN；若验证通过，则确定xUE认证网络成功。

一种可能的设计方案中，认证响应消息携带有xUE的响应RES，该xUE的RES用于请求网络认证xUE，该xUE的RES可以是中继UE代理xUE推演的。

一种可能的设计方案中，处理模块502，还用于中继UE根据N1消息携带的密钥Kseaf，推演xUE的密钥。

xUE的密钥可以包括：xUE的接入层AS密钥，以及xUE的非接入层NAS密钥，AS密钥是多个远端UE中任一远端UE与网络的AS通信都使用的密钥，NAS密钥是多个远端UE中任一远端UE与网络的NAS通信都使用的密钥。

具体的，AS密钥可以包括：密钥UPenc、密钥UPint、密钥RRCenc、密钥RRCint，其中，密钥UPenc用于AS通信的用户面的机密性保护，密钥UPint用于AS通信的用户面的完整性保护，密钥RRCenc用于AS通信的控制面的机密性保护，密钥RRCint用于AS通信的控制面的完整性保护，AS通信是指多个远端UE中任一远端UE与网络进行AS通信。

具体的，NAS密钥可以包括：密钥KNASenc、密钥KNASint。其中，密钥KNASenc用于NAS通信的机密性保护，密钥KNASint用于NAS通信的完整性保护，NAS通信是指多个远端UE中任一远端UE与网络进行NAS通信。

例如，密钥KNASenc包括：密钥KNASenc#1、密钥KNASenc#2、密钥KNASenc#3、密钥KNASenc#4。密钥KNASenc#1用于对多个远端UE中任一远端UE与网络中的AMF之间的通信进行机密性保护。密钥KNASenc#2用于对多个远端UE中任一远端UE与网络中的SMF之间的通信进行机密性保护。密钥KNASenc#3用于对多个远端UE中任一远端UE与网络中的PCF之间的通信进行机密性保护。密钥KNASenc#4用于对多个远端UE中任一远端UE与网络中的UDM/UDR之间的通信进行机密性保护。

可以理解，上述密钥KNASenc#2-密钥KNASenc#4也可以互为输入参数，如KNASenc#2可以作为推演KNASenc#3的输入参数，KNASenc#2和KNASenc#3作为推演KNASenc#4的输入参数，或者还有其他方式，对此不做限制。

又例如，密钥KNASint可以包括：密钥KNASint#1、密钥KNASint#2、密钥KNASint#3以及密钥KNASint#4。密钥KNASint#1可以用于对多个远端UE中任一远端UE与网络中的AMF之间的通信进行完整性保护。密钥KNASint#2可以用于对多个远端UE中任一远端UE与网络中的SMF之间的通信进行完整性保护。密钥KNASint#3可以用于对多个远端UE中任一远端UE与网络中的PCF之间的通信进行完整性保护。密钥KNASint#4可以用于对多个远端UE中任一远端UE与网络中的UDM/UDR之间的通信进行完整性保护。

一种可能的设计方案中，处理模块502，还用于若与中继UE建立PC5连接的多个远端的数目大于数目阈值，则中继UE将多个远端UE虚拟化为xUE。

可选地，收发模块501可以包括发送模块（图5中未示出）和接收模块（图5中未示出）。其中，发送模块用于实现针对边缘网络的终端安全装置500的发送功能，接收模块用于实现针对边缘网络的终端安全装置500的接收功能。

可选地，针对边缘网络的终端安全装置500还可以包括存储模块（图5中未示出），该存储模块存储有程序或指令。当该处理模块502执行该程序或指令时，使得该针对边缘网络的终端安全装置500可以执行上述方法中图4所示的方法中远端UE或远端设备的功能。

可以理解，针对边缘网络的终端安全装置500可以是终端，如远端UE或远端设备，也可以是可设置于终端中的芯片（系统）或其他部件或组件，还可以是包含终端的装置，本申请对此不做限定。

此外，针对边缘网络的终端安全装置500的技术效果可以参考图4所示的边缘网络下的安全的技术效果，此处不再赘述。

图6为本申请实施例提供的电子设备的结构示意图。示例性地，该电子设备可以是终端，也可以是可设置于终端的芯片（系统）或其他部件或组件。如图6所示，电子设备600可以包括处理器601。可选地，电子设备600还可以包括存储器602和/或收发器603。其中，处理器601与存储器602和收发器603耦合，如可以通过通信总线连接。

下面结合图6对电子设备600的各个构成部件进行具体的介绍：

其中，处理器601是电子设备600的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器601是一个或多个中央处理器（central processing unit，CPU），也可以是特定集成电路（application specific integrated circuit，ASIC），或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器（digital signal processor，DSP），或，一个或者多个现场可编程门阵列（fieldprogrammable gate array，FPGA）。

可选地，处理器601可以通过运行或执行存储在存储器602内的软件程序，以及调用存储在存储器602内的数据，执行电子设备600的各种功能，例如执行上述图4所示的针对边缘网络的终端安全方法。

在具体的实现中，作为一种实施例，处理器601可以包括一个或多个CPU，例如图6中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，电子设备600也可以包括多个处理器。这些处理器中的每一个可以是一个单核处理器（single-CPU），也可以是一个多核处理器（multi-CPU）。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据（例如计算机程序指令）的处理核。

其中，所述存储器602用于存储执行本申请方案的软件程序，并由处理器601来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器602可以是只读存储器（read-only memory，ROM）或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器（random access memory，RAM）或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器（electrically erasable programmable read-only memory，EEPROM）、只读光盘（compactdisc read-only memory，CD-ROM）或其他光盘存储、光碟存储（包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等）、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器602可以和处理器601集成在一起，也可以独立存在，并通过电子设备600的接口电路（图6中未示出）与处理器601耦合，本申请实施例对此不作具体限定。

收发器603，用于与其他电子设备之间的通信。例如，电子设备600为终端，收发器603可以用于与网络设备通信，或者与另一个终端设备通信。又例如，电子设备600为网络设备，收发器603可以用于与终端通信，或者与另一个网络设备通信。

可选地，收发器603可以包括接收器和发送器（图6中未单独示出）。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器603可以和处理器601集成在一起，也可以独立存在，并通过电子设备600的接口电路（图6中未示出）与处理器601耦合，本申请实施例对此不作具体限定。

可以理解的是，图6中示出的电子设备600的结构并不构成对该电子设备的限定，实际的电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，电子设备600的技术效果可以参考上述方法实施例所述的方法的技术效果，此处不再赘述。

应理解，在本申请实施例中的处理器可以是中央处理单元（central processingunit，CPU），该处理器还可以是其他通用处理器、数字信号处理器（digital signalprocessor，DSP）、专用集成电路（application specific integrated circuit，ASIC）、现成可编程门阵列（field programmable gate array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器（read-only memory，ROM）、可编程只读存储器（programmable ROM，PROM）、可擦除可编程只读存储器（erasable PROM，EPROM）、电可擦除可编程只读存储器（electrically EPROM，EEPROM）或闪存。易失性存储器可以是随机存取存储器（random access memory，RAM），其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器（random accessmemory，RAM）可用，例如静态随机存取存储器（static RAM，SRAM）、动态随机存取存储器（DRAM）、同步动态随机存取存储器（synchronous DRAM，SDRAM）、双倍数据速率同步动态随机存取存储器（double data rate SDRAM，DDR SDRAM）、增强型同步动态随机存取存储器（enhanced SDRAM，ESDRAM）、同步连接动态随机存取存储器（synchlink DRAM，SLDRAM）和直接内存总线随机存取存储器（direct rambus RAM，DR RAM）。

上述实施例，可以全部或部分地通过软件、硬件（如电路）、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质（例如，软盘、硬盘、磁带）、光介质（例如，DVD）、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项（个）或复数项（个）的任意组合。例如，a,b,或c中的至少一项（个），可以表示：a, b, c, a-b, a-c, b-c, 或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（read-only memory，ROM）、随机存取存储器（random access memory，RAM）、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种针对边缘网络的终端安全方法，其特征在于，所述方法包括：

在中继用户设备代理x用户设备将所述x用户设备注册到网络的过程中，所述中继用户设备接收来自网络的认证请求消息，其中，所述x用户设备是与所述中继用户设备建立侧行连接的多个远端用户设备虚拟化后的一个虚拟实体，所述认证请求消息用于请求认证所述网络；

所述中继用户设备根据所述认证请求消息，确定所述x用户设备认证网络成功；

所述中继用户设备向所述网络发送认证响应消息，其中，所述认证响应消息用于请求所述网络认证所述x用户设备；

所述中继用户设备接收来自所述网络的第一接口消息；

在所述第一接口消息指示所述网络认证所述x用户设备成功的情况下，所述中继用户设备通过侧行连接向所述多个远端用户设备发送所述x用户设备的密钥；

所述中继用户设备通过侧行连接，接收所述多个远端中任一远端用户设备发送的第一消息，所述第一消息是被所述x用户设备的密钥保护后的消息；

所述中继用户设备向所述网络透传所述第一消息。

2.根据权利要求1所述的方法，其特征在于，所述中继用户设备根据所述认证请求消息，确定所述x用户设备认证网络成功，包括：

所述中继用户设备获取所述认证请求消息中携带的所述网络的认证令牌；

所述中继用户设备使用随机数和所述x用户设备的根密钥，验证所述认证令牌；

若验证通过，则确定所述x用户设备认证所述网络成功。

3.根据权利要求1所述的方法，其特征在于，所述认证响应消息携带有所述x用户设备的响应，所述响应用于请求所述网络认证所述x用户设备。

4.根据权利要求1-3中任一项所述的方法，其特征在于，所述方法还包括：

所述中继用户设备根据所述第一接口消息携带的安全锚点功能密钥，推演所述x用户设备的密钥。

5.根据权利要求4所述的方法，其特征在于，所述x用户设备的密钥包括：所述x用户设备的接入层密钥，以及所述x用户设备的非接入层密钥，所述接入层密钥是所述多个远端用户设备中任一远端用户设备与所述网络的接入层通信都使用的密钥，所述非接入层密钥是所述多个远端用户设备中任一远端用户设备与所述网络的非接入层通信都使用的密钥。

6.根据权利要求5所述的方法，其特征在于，所述接入层密钥包括：用户面完整性保护密钥、用户面机密性保护密钥、无线资源控制层完整性保护密钥、无线资源控制层机密性保护密钥，其中，所述用户面完整性保护密钥用于接入层通信的用户面的机密性保护，所述用户面机密性保护密钥用于所述接入层通信的用户面的完整性保护，所述无线资源控制层完整性保护密钥用于所述接入层通信的控制面的机密性保护，所述无线资源控制层机密性保护密钥用于所述接入层通信的控制面的完整性保护，所述接入层通信是指所述多个远端用户设备中任一远端用户设备与所述网络进行接入层通信。

7.根据权利要求5所述的方法，其特征在于，所述非接入层密钥包括：非接入层机密性保护密钥、非接入层完整性保护密钥，其中，所述非接入层机密性保护密钥用于非接入层通信的机密性保护，所述非接入层完整性保护密钥用于非接入层通信的完整性保护，所述非接入层通信是指所述多个远端用户设备中任一远端用户设备与所述网络进行非接入层通信。

8.根据权利要求7所述的方法，其特征在于，所述非接入层机密性保护密钥包括：非接入层机密性保护密钥#1、非接入层机密性保护密钥#2、非接入层机密性保护密钥#3以及非接入层机密性保护密钥#4，所述非接入层机密性保护密钥#1用于对所述多个远端用户设备中任一远端用户设备与所述网络中的接入和移动性管理功能之间的通信进行机密性保护，所述非接入层机密性保护密钥#2用于对所述多个远端用户设备中任一远端用户设备与所述网络中的会话管理功能之间的通信进行机密性保护，所述非接入层机密性保护密钥#3用于对所述多个远端用户设备中任一远端用户设备与所述网络中的策略控制功能之间的通信进行机密性保护，所述非接入层机密性保护密钥#4用于对所述多个远端用户设备中任一远端用户设备与所述网络中的统一数据存储功能/统一数据管理功能之间的通信进行机密性保护；

所述非接入层完整性保护密钥包括：非接入层完整性保护密钥#1、非接入层完整性保护密钥#2、非接入层完整性保护密钥#3以及非接入层完整性保护密钥#4，所述密钥非接入层完整性保护密钥#1用于对所述多个远端用户设备中任一远端用户设备与所述网络中的接入和移动性管理功能之间的通信进行完整性保护，所述非接入层完整性保护密钥#2用于对所述多个远端用户设备中任一远端用户设备与所述网络中的会话管理功能之间的通信进行完整性保护，所述密钥非接入层完整性保护密钥#3用于对所述多个远端用户设备中任一远端用户设备与所述网络中的策略控制功能之间的通信进行完整性保护，所述非接入层完整性保护密钥#4用于对所述多个远端用户设备中任一远端用户设备与所述网络中的统一数据存储功能/统一数据管理功能之间的通信进行完整性保护。

9.根据权利要求1所述的方法，其特征在于，若与所述中继用户设备建立侧行连接的所述多个远端的数目大于数目阈值，则所述中继用户设备将所述多个远端用户设备虚拟化为所述x用户设备。

10.一种针对边缘网络的终端安全装置，其特征在于，所述装置包括：收发模块和处理模块，其中；

所述收发模块，用于在中继用户设备代理x用户设备将所述x用户设备注册到网络的过程中，所述中继用户设备接收来自网络的认证请求消息，其中，所述x用户设备是与所述中继用户设备建立侧行连接的多个远端用户设备虚拟化后的一个虚拟实体，所述认证请求消息用于请求认证所述网络；

所述处理模块，用于所述中继用户设备根据所述认证请求消息，确定所述x用户设备认证网络成功；

所述收发模块，还用于所述中继用户设备向所述网络发送认证响应消息，其中，所述认证响应消息用于请求所述网络认证所述x用户设备；

所述收发模块，还用于所述中继用户设备接收来自所述网络的第一接口消息；

所述收发模块，还用于在所述第一接口消息指示所述网络认证所述x用户设备成功的情况下，所述中继用户设备通过侧行连接向所述多个远端用户设备发送所述x用户设备的密钥；

所述收发模块，还用于所述中继用户设备通过侧行连接，接收所述多个远端中任一远端用户设备发送的第一消息，所述第一消息是被所述x用户设备的密钥保护后的消息；

所述收发模块，还用于所述中继用户设备向所述网络透传所述第一消息。