CN117204002A

CN117204002A - Ue与边缘服务器之间的认证中的多接入边缘计算（mec）-密钥id导出

Info

Publication number: CN117204002A
Application number: CN202180006359.8A
Authority: CN
Inventors: 郭姝; 张大伟; 许芳丽; 胡海静; 梁华瑞; M·阿格内尔; R·罗斯巴赫; S·曼尼塔拉瓦马南; 陈玉芹
Original assignee: Apple Inc
Current assignee: Apple Inc
Priority date: 2021-05-10
Filing date: 2021-05-10
Publication date: 2023-12-08
Also published as: EP4320847A1; US11889308B2; EP4320847A4; US20230247426A1; WO2022236596A1; KR20230165853A

Abstract

公开了用于在5G网络中在UE的边缘使能器客户端(EEC)与边缘配置服务器(ECS)之间进行认证和授权的实施方案。该实施方案包括利用该5G网络执行主要认证以获得K_AUSF；使用该K_AUSF和订阅永久标识符(SUPI)生成K_边缘和K_边缘ID；向该EEC提供该K_边缘和K_边缘ID，以使其使用该K_边缘和EEC ID来计算MAC_EEC；以及向该ECS发送应用程序注册请求，该应用程序注册请求包括该EEC ID、MACEEC和K_边缘ID。

Description

UE与边缘服务器之间的认证中的多接入边缘计算(MEC)-密钥 ID导出

技术领域

本申请整体涉及无线通信系统，包括认证中的密钥ID导出。

背景技术

无线移动通信技术使用各种标准和协议以在基站和无线通信设备之间传输数据。无线通信系统标准和协议可以包括，例如，第三代合作伙伴计划(3GPP)长期演进(LTE)(如4G)、3GPP新空口(NR)(如5G)和用于无线局域网(WLAN)的IEEE 802.11标准(行业组织内通常称其为)。

如3GPP所设想，不同的无线通信系统标准和协议可以使用各种无线接入网(RAN)，以使RAN(其有时也可称为RAN节点、网络节点，或简称为节点)的基站与被称为用户设备(UE)的无线通信设备进行通信。3GPP RAN可包括，例如，全球移动通信系统(GSM)、增强型数据速率GSM演进(EDGE)RAN(GERAN)、通用陆地无线接入网(UTRAN)、演进通用陆地无线接入网(E-UTRAN)和/或下一代无线接入网(NG-RAN)。

每个RAN可以使用一种或多种无线接入技术(RAT)来进行基站与UE之间的通信。例如，GERAN实施GSM和/或EDGE RAT，UTRAN实施通用移动电信系统(UMTS)RAT或其他3GPPRAT，E-UTRAN实施LTE RAT(其有时简称为LTE)，NG-RAN则实施NR RAT(其有时在本文中也称为5G RAT、5G NR RAT或简称为NR)。在某些部署中，E-UTRAN还可实施NR RAT。在某些部署中，NG-RAN还可实施LTE RAT。

RAN所用的基站可以对应于该RAN。E-UTRAN基站的一个示例是演进通用陆地无线接入网(E-UTRAN)节点B(通常也表示为演进节点B、增强型节点B、eNodeB或eNB)。NG-RAN基站的一个示例是下一代节点B(有时也称为gNodeB或gNB)。

RAN通过其与核心网(CN)的连接与外部实体一起提供通信服务。例如，E-UTRAN可以利用演进分组核心网(EPC)，而NG-RAN可以利用5G核心网(5GC)。

附图说明

为了容易地识别对任何特定元件或动作的讨论，参考标号中的一个或多个最高有效数位是指首先引入该元件的附图编号。

图1示出了根据本文公开的实施方案的无线通信系统的示例性架构。

图2示出了根据某些实施方案的示例性的基于服务的架构。

图3是示出了主要认证程序(5G AKA)的消息流程图。

图4是示出了5G中的密钥分级结构的框图。

图5是示出了用于启用边缘应用的架构的框图。

图6是示出了调用流程的消息序列图。

图7是示出了K_边缘ID中的数据的表。

图8是根据一个实施方案的流程图。

图9示出了根据本文公开的实施方案的用于在无线设备和网络设备之间执行信令的系统。

具体实施方式

各实施方案就UE进行描述。然而，对UE的参考仅仅是出于说明的目的而提供的。示例性实施方案可与可建立与网络的连接并且被配置有用于与网络交换信息和数据的硬件、软件和/或固件的任何电子部件一起使用。因此，如本文所述的UE用于表示任何适当的电子部件。

图1示出了根据本文公开的实施方案的无线通信系统100的示例性架构。以下提供的描述是针对结合3GPP技术规范提供的LTE系统标准和/或5G或NR系统标准操作的示例性无线通信系统100。

如图1所示，无线通信系统100包括UE 102和UE 104(不过，可使用任意数量的UE)。在该示例中，UE 102和UE 104被示出为智能电话(例如，能够连接到一个或多个蜂窝网络的手持式触摸屏移动计算设备)，但也可包括针对无线通信配置的任何移动或非移动计算设备。

UE 102和UE 104可被配置为与RAN 106通信耦接。在实施方案中，RAN 106可以为NG-RAN、E-UTRAN等。UE 102和UE 104利用与RAN 106的连接(或信道)(分别示为连接108和连接110)，其中每个连接(或信道)包括物理通信接口。RAN 106可以包括实现连接108和连接110的一个或多个基站，如基站112和基站114。

在该示例中，连接108和连接110是实现这种通信耦接的空中接口，并且可符合RAN106所用的RAT，诸如，例如LTE和/或NR。

在一些实施方案中，UE 102和UE 104还可经由侧链路接口116直接交换通信数据。示出了UE 104被配置为经由连接120访问接入点(示出为AP 118)。举例来说，连接120可包括本地无线连接，诸如任何符合IEEE 802.11协议的连接，其中AP 118可包括路由器。在该示例中，AP 118可不通过CN 124连接到另一个网络(例如，互联网)。

在实施方案中，UE 102和UE 104可被配置为根据各种通信技术，例如但不限于，正交频分多址(OFDMA)通信技术(例如，用于下行链路通信)或单载波频分多址(SC-FDMA)通信技术(例如，用于上行链路和ProSe或侧链路通信)，使用正交频分复用(OFDM)通信信号在多载波通信信道上互相进行通信或与基站112和/或基站114进行通信，尽管实施方案的范围在这方面不受限制。OFDM信号可包括多个正交子载波。

在一些实施方案中，基站112或基站114的全部或部分可以被实现为作为虚拟网络的一部分运行在服务器计算机上的一个或多个软件实体。此外，或在其他实施方案中，基站112或基站114可被配置为经由接口122互相进行通信。在无线通信系统100为LTE系统(例如，当CN 124是EPC时)的实施方案中，接口122可以为X2接口。该X2接口可在连接到EPC的两个或以上基站(例如，两个或以上eNB等)之间和/或连接到EPC的两个eNB之间予以定义。在无线通信系统100为NR系统(例如，当CN 124是5GC时)的实施方案中，接口122可以为Xn接口。该Xn接口在连接到5GC的两个或以上基站(例如，两个或以上gNB等)之间、连接到5GC的基站112(例如，gNB)与eNB之间，和/或连接到5GC(例如，CN 124)的两个eNB之间予以定义。

示出了RAN 106通信耦接到CN 124。CN 124可包括一个或多个网络元件126，其被配置为向经由RAN 106连接到CN 124的客户/订阅者(例如，UE 102和UE 104的用户)提供各种数据和电信服务。CN 124的部件可在包括用于从机器可读或计算机可读介质(例如，非暂态机器可读存储介质)读取和执行指令的部件的一个物理设备或各自独立的物理设备中实现。

在实施方案中，CN 124可以为EPC，并且RAN 106可以经由S1接口128与CN 124相连。在实施方案中，S1接口128可分成两部分：S1用户平面(S1-U)接口，该接口承载基站112或基站114与服务网关(S-GW)之间的流量数据；以及S1-MME接口，该接口是基站112或基站114与移动性管理实体(MME)之间的信令接口。

在实施方案中，CN 124可以为5GC，并且RAN 106可以经由NG接口128与CN 124相连。在实施方案中，NG接口128可分成两部分：NG用户平面(NG-U)接口，该接口承载基站112或基站114与用户平面功能(UPF)之间的流量数据；以及S1控制平面(NG-C)接口，该接口是基站112或基站114与接入和移动性管理功能(AMF)之间的信令接口。

一般来说，应用程序服务器130可以为提供与CN 124一起使用互联网协议(IP)承载资源的应用程序的元件(例如，分组交换数据服务)。应用程序服务器130还可被配置为经由CN 124支持针对UE 102和UE 104的一种或多种通信服务(例如，VoIP会话、群组通信会话等)。应用程序服务器130可通过IP通信接口132与CN 124进行通信。

认证和密钥协议(AKA)程序涉及UE与网络之间的相互认证，以获得保护用户平面和控制平面数据的加密密钥。每一代3G、4G和5G都定义了一些认证方法，以允许授权用户访问网络并且拒绝未经授权的用户。3GPP标准针对4G LTE系统定义了演进分组系统-AKA(EPS-AKA)。类似地，针对5G系统定义了以下三种认证方法：5G-AKA(5G-AKA)；可扩展认证协议-AKA(EAP-AKA')；和可扩展认证协议-传输层安全性(EAP-TLS)。

图2示出了根据一个实施方案的5G系统中的基于服务的架构200。3GPP已针对具有新网络实体和新服务的核心网提出了基于服务的架构200，以支持统一的认证框架。该框架使用三种认证方法5G-AKA、EAP-AKA'和EAP-TLS，使5G-AKA程序适用于开放和接入网络不可知两者。框架允许可通过一次认证执行建立的多个安全上下文，从而允许UE从3GPP接入网络转移到非3GPP网络，而不必重新进行认证。

如3GPP TS 23.501中所述，基于服务的架构200包括诸如NSSF 208、NEF 210、NRF214、PCF 212、UDM 226、AUSF 218、AMF 220、SMF 222的网络功能，以与UE 216、(R)AN 206、UPF 202和DN 204通信。NF和NF服务可以直接地通信(称为直接通信)，或者经由SCP 224间接地通信(称为间接通信)。图2还示出了包括Nutm、Naf、Nudm、Npcf、Nsmf、Nnrf、Namf、Nnef、Nnssf和Nausf以及参考点N1、N2、N3、N4和N6的对应的基于服务的接口。下面描述了由图2中示出的NF提供的一些示例性功能。

NSSF 208支持诸如以下功能：选择服务UE的网络切片实例集；确定允许的NSSAI，并且如果需要，确定到订阅的S-NSSAI的映射；确定配置的NSSAI，并且如果需要，确定到订阅的S-NSSAI的映射；以及/或者确定要用于服务UE的AMF集，或者基于配置可能通过查询NRF来确定候选AMF的列表。

网络暴露功能(NEF)(例如NEF 210)支持能力和事件的暴露。NF能力和事件可由NEF 210安全地暴露(例如，用于第三方、应用程序功能和/或边缘计算)。NEF 210可使用到UDR的标准化接口(Nudr)来将信息作为结构化数据存储/检索。NEF 210还可安全地从外部应用程序向3GPP网络提供信息，并且可提供应用程序功能以向3GPP网络安全地提供信息(例如，预期的UE行为、5GLAN组信息和服务特定信息)，其中NEF 210可认证和授权并有助于限制应用程序功能。NEF 210可通过在与AF交换的信息和与内部网络功能交换的信息之间转换来提供内部-外部信息的转换。例如，NEF 210在AF服务标识符和内部5G核心信息(诸如DNN和S-NSSAI)之间转换。NEF 210可根据网络策略处理对外部AF的网络和用户敏感信息的掩蔽。NEF 210可从其他网络功能接收信息(基于其他网络功能的暴露的能力)，并且使用到UDR的标准化接口将所接收的信息存储为结构化数据。然后，所存储的信息可由NEF 210访问并重新暴露于其他网络功能和应用程序功能，并且用于诸如分析的其他目的。对于与特定UE相关的服务的外部暴露，NEF 210可驻留在HPLMN中。根据运营商协议，HPLMN中的NEF210可具有与VPLMN中的NF的接口。当UE能够在EPC和5GC之间切换时，SCEF+NEF可用于服务暴露。

NRF 214通过从NF实例或SCP接收NF发现请求并将所发现的NF实例的信息提供给NF实例或SCP来支持服务发现功能。NRF 214还可支持P-CSCF发现(SMF发现AF的特例)，保持可用NF实例及其支持的服务的NF配置文件，以及/或者向订阅的NF服务消费者或SCP通知新注册/更新/解除注册的NF实例连同其NF服务。在网络切片的上下文中，基于网络具体实施，可在不同级别部署多个NRF，诸如PLMN级别(NRF配置有整个PLMN的信息)、共享切片级别(NRF配置有属于网络切片集的信息)和/或切片特定级别(NRF配置有属于S-NSSAI的信息)。在漫游的上下文中，可在不同网络中部署多个NRF，其中受访PLMN中的NRF(称为vNRF)配置有受访PLMN的信息，并且其中归属PLMN中的NRF(称为hNRF)配置有归属PLMN的信息，由vNRF经由N27接口引用。

PCF 212支持统一策略框架来管控网络行为。PCF 212提供针对控制平面功能的策略规则以实施它们。PCF 212访问与统一数据储存库(UDR)中的策略决策相关的订阅信息。PCF 212可访问位于与PCF相同的PLMN中的UDR。

UDM 226支持生成AKA认证凭证、用户识别处理(例如，5G系统中每个订阅者的订阅永久标识符(SUPI)的存储和管理)、隐私保护订阅隐藏标识符(SUCI)的解除隐藏、基于订阅数据(例如，漫游限制)的访问授权、UE的服务NF注册管理(例如，为UE存储服务AMF、为UE的PDU会话存储服务SMF)、服务/会话连续性(例如，通过保持正在进行的会话的SMF/DNN分配)、MT-SMS交付、合法拦截功能(尤其是在UDM是LI的唯一接触点的出站漫游情况下)、订阅管理、SMS管理、5GLAN组管理处理和/或外部参数配置(预期UE行为参数或网络配置参数)。为了提供此类功能，UDM 226使用可存储在UDR中的订阅数据(包括认证数据)，在这种情况下，UDM实现应用程序逻辑并且可能不需要内部用户数据存储，并且若干不同的UDM可在不同交易中为同一用户提供服务。UDM 226可位于其服务的订阅者的HPLMN中，并且可访问位于同一PLMN中的UDR的信息。UDM 226可类似于HSS/HLR实体并且托管与数据管理相关的功能，诸如认证凭证储存库和处理功能(ARPF)，其在一些实施方案中基于订阅者身份和配置的策略选择认证方法，并且计算认证服务器功能(AUSF)的认证数据和密钥。

订阅标识符解除隐藏功能(SIDF)解密SUCI以获得称为SUPI的其长期身份，例如IMSI。在5G中，通过无线电接口以加密形式传输订阅者长期身份。更具体地，使用基于公钥的加密来保护SUPI。因此，仅SIDF具有对与分配给UE的公钥相关联的私钥的访问权限，以加密其SUPI。

AF 228与核心网交互以提供例如支持以下的服务：应用程序对流量路由的影响；访问NEF 210；与用于策略控制的策略框架进行交互；以及/或者IMS与5GC的交互。基于运营商部署，可以允许被认为是运营商信任的应用程序功能与相关网络功能直接进行交互。运营商不允许直接访问网络功能的应用程序功能可经由NEF 210使用外部暴露框架来与相关网络功能进行交互。

AUSF 218支持用于3GPP接入和非信任非3GPP接入的认证。AUSF 218还可为网络切片专用认证和授权提供支持。其在归属网络内并且与UE执行认证。其对UE认证做出决策，并且可使用后端来计算使用5G-AKA或EAP-AKA'时的认证数据和密钥。

AMF 220支持RAN CP接口(N2)的终止、用于NAS加密和完整性保护的NAS(N1)的终止、注册管理、连接管理、可达性管理、移动性管理、合法拦截(针对AMF事件和到LI系统的接口)、在UE和SMF之间传输SM消息、用于路由SM消息的透明代理、接入认证、接入授权、在UE和SMSF之间传输SMS消息、安全锚定功能(SEAF)、用于监管服务的位置服务管理、在UE和LMF之间以及RAN和LMF之间传输位置服务消息、用于与EPS互通的EPS承载ID分配、UE移动性事件通知、控制平面CIoT 5GS优化、用户平面CIoT 5GS优化、配置外部参数(预期UE行为参数或网络配置参数)和/或网络切片专用认证和授权。AMF功能的一些或所有AMF功能可在AMF220的单个实例中得到支持。不管网络功能的数量如何，在某些实施方案中，UE和CN之间的每个接入网络只有一个NAS接口实例终止于实现至少NAS安全和移动性管理的网络功能之一。AMF 220还可包括策略相关功能。AMF 220从用户设备(UE)(N1/N2)接收与连接和会话相关的信息，以处理连接和移动性管理任务。

SEAF驻留在服务网络内(与AMF密切相关)，并且在UE与其归属网络之间的认证过程期间充当“中间人”。其可以拒绝来自UE的认证，但其依赖于UE的归属网络以接受认证。

非3GPP互通功能(N3IWF)是充当VPN服务器的实体，以允许UE经由IPsec隧道通过非信任非3GPP网络访问5G核心。可存在可通过一次认证执行建立的多个安全上下文，从而允许UE从3GPP接入网络转移到非3GPP网络，而不必重新进行认证。

除了上述功能之外，AMF 220还可包括支持非3GPP接入网络的以下功能：支持具有N3IWF/TNGF的N2接口，在该接口上，在3GPP接入上定义的一些信息(例如，3GPP小区标识)和过程(例如，切换相关)可能不适用，并且可应用不适用于3GPP接入的非3GPP接入特定信息；通过N3IWF/TNGF用UE支持NAS信令，其中通过3GPP接入由NAS信令支持的一些程序可能不适用于非信任非3GPP(例如，寻呼)接入；支持通过N3IWF/TNGF连接的UE的验证；经由非3GPP接入连接或者同时经由3GPP接入或非3GPP接入连接的UE的移动性、认证和单独的安全上下文状态的管理；支持3GPP接入和非3GPP接入上有效的协调RM管理上下文；以及/或者支持用于UE通过非3GPP接入进行连接的专用CM管理上下文。在网络切片的实例中可能不需要支持所有以上功能。

SMF 222支持会话管理(例如，会话建立、修改和发布，包括UPF和AN节点之间的隧道维护)、UE IP地址分配和管理(包括任选的授权)(其中可从UPF或从外部数据网络接收UEIP地址)、DHCPv4(服务器和客户端)和DHCPv6(服务器和客户端)功能、基于以太网PDU的本地高速缓存信息响应地址解析协议要求和/或IPv6邻居要求请求的功能(例如，SMF通过提供与请求中发送的IP地址对应的MAC地址来响应ARP和/或IPv6邻居要求请求)、选择和控制用户平面功能(包括控制UPF以代理ARP或IPv6邻居发现或将所有ARP/IPv6邻居要求流量转发到用于以太网PDU会话的SMF)、在UPF处的流量导向配置将流量路由到适当目的地、5G VN组管理(例如，保持所涉及的PSA UPF的拓扑结构，在PSA UPF之间建立并发布N19隧道，在UPF处配置流量转发以应用本地切换，以及/或者基于N6的转发或基于N19的转发)、终止朝向策略控制功能的接口、合法拦截(针对SM事件和到LI系统的接口)、对数据收集进行收费并支持充电接口、对UPF处的充电数据收集进行控制和协调、终止NAS消息的SM部分、下行链路数据通知、经由AMF通过N2发送到AN的AN特定SM信息的发起方、会话的SSC模式的确定、控制平面CIoT 5GS优化、标头压缩、在可插入/移除/重新定位I-SMF的部署中充当I-SMF、配置外部参数(预期UE行为参数或网络配置参数)、针对IMS服务的P-CSCF发现、漫游功能(例如，处理本地实施以应用QoS SLA(VPLMN)、充电数据收集和充电接口(VPLMN)和/或合法拦截(在针对SM事件和到LI系统的接口的VPLMN中)、与外部DN交互以传输用于外部DN进行PDU会话认证/授权的信令和/或指示UPF和NG-RAN在N3/N9接口上执行冗余传输。SMF功能的一些或所有SMF功能可在SMF的单个实例中得到支持。然而，在某些实施方案中，并非所有功能都需要在网络切片的实例中得到支持。除了功能之外，SMF 222可包括策略相关功能。

SCP 224包括以下功能中的一者或多者：间接通信；委托发现；到目的地NF/NF服务的消息转发和路由；通信安全性(例如，NF服务消费者访问NF服务制造商API的授权)、负载平衡、监视、过载控制等；和/或任选地与UDR进行交互，以基于UE身份(例如，SUPI或IMPI/IMPU)解析UDM组ID/UDR组ID/AUSF组ID/PCF组ID/CHF组ID/HSS组ID。SCP功能的一些或所有SCP功能可在SCP的单个实例中得到支持。在某些实施方案中，SCP 224可以分布式方式部署和/或多于一种SCP可存在于NF服务之间的通信路径中。SCP可以PLMN级别、共享切片级别和切片特定级别部署。可以留下运营商部署以确保SCP可以与相关NRF通信。

UE 216可包括具有无线电通信能力的设备。例如，UE 216可包括智能电话(例如，可连接到一个或多个蜂窝网络的手持式触摸屏移动计算设备)。UE 216还可包括任何移动或非移动计算设备，诸如个人数据助理(PDA)、寻呼机、膝上型计算机、台式计算机、无线手持设备或包括无线通信接口的任何计算设备。UE也还被称为客户端、移动电话、移动设备、移动终端、用户终端、移动单元、移动站、移动用户、订阅者、用户、远程站、接入代理、用户代理、接收器、无线电装备、可重新配置的无线电装备或可重新配置的移动设备。UE 216可包括IoT UE，该IoT UE可包括被设计用于利用短期UE连接的低功率IoT应用程序的网络接入层。IoT UE可利用技术(例如，M2M、MTC或mMTC技术)经由PLMN、使用ProSe或D2D通信的其他UE、传感器网络或IoT网络与MTC服务器或设备交换数据。M2M或MTC数据交换可以是机器启动的数据交换。IoT网络描述了互连的IoT UE，这些UE可包括唯一可识别的嵌入式计算设备(在互联网基础结构内)。IoT UE可执行后台应用程序(例如，保持活动消息、状态更新等)以促进IoT网络的连接。

UE 216可被配置为通过无线电接口230与(R)AN 206连接或通信耦接，该无线电接口可以是被配置为用蜂窝通信协议诸如GSM协议、CDMA网络协议、一键通(PTT)协议、蜂窝PTT(POC)协议、UMTS协议、3GPP LTE协议、5G协议、NR协议等进行操作的物理通信接口或层。例如，UE 216和(R)AN 206可以使用Uu接口(例如，LTE-Uu接口)来经由包括PHY层、MAC层、RLC层、PDCP层和RRC层的协议栈来交换控制平面数据。DL传输可从(R)AN 206到UE 216，并且UL传输可从UE 216到(R)AN 206。UE 216还可使用侧链路与另一UE(未示出)直接通信以进行D2D、P2P和/或ProSe通信。例如，ProSe接口可包括一个或多个逻辑信道，该一个或多个逻辑信道包括但不限于物理侧链路控制信道(PSCCH)、物理侧链路共享信道(PSSCH)、物理侧链路发现信道(PSDCH)和物理侧链路广播信道(PSBCH)。

(R)AN 206可包括一个或多个接入节点，该一个或多个接入节点可被称为基站(BS)、节点B、演进节点B(eNB)、下一代节点B(gNB)、RAN节点、控制器、传输接受点(TRP)等，并且可包括地面站(例如，陆地接入点)或卫星站，其在地理区域(例如，小区)内提供覆盖。(R)AN 206可包括用于提供宏小区、微微小区、毫微微小区或其他类型的小区的一个或多个RAN节点。宏小区可覆盖相对较大的地理区域(例如，半径为数千米)，并且可允许UE用服务订阅进行无限制访问。微微小区可覆盖相对较小的地理区域，并且可允许UE用服务订阅进行无限制访问。毫微微小区可覆盖相对较小的地理区域(例如，家庭)，并且可允许与毫微微小区(例如，封闭订阅者组(CSG)中的UE、家庭中的用户的UE等)具有关联的UE进行受限访问。

尽管未示出，但可使用多个RAN节点(诸如(R)AN 206)，其中在两个或更多个节点之间定义了Xn接口。在一些具体实施中，Xn接口可包括Xn用户平面(Xn-U)接口和Xn控制平面(Xn-C)接口。Xn-U可提供用户平面PDU的非保证递送并支持/提供数据转发和流量控制功能。Xn-C可提供管理和错误处理功能，用于管理Xn-C接口的功能；在连接模式(例如，CM-CONNECTED)下对UE 216的移动性支持包括用于管理一个或多个(R)AN节点之间的连接模式的UE移动性的功能。该移动性支持可包括从旧(源)服务(R)AN节点到新(目标)服务(R)AN节点的上下文传输；以及对旧(源)服务(R)AN节点到新(目标)服务(R)AN节点之间的用户平面隧道的控制。

UPF 202可充当RAT内和RAT间移动性的锚定点、与DN 204互连的外部PDU会话点，以及支持多归属PDU会话的分支点。UPF 202还可以执行分组路由和转发，分组检查，执行策略规则的用户平面部分，合法地拦截分组(UP收集)；流量使用情况报告、对用户平面执行QoS处理(例如，分组滤波、门控、UL/DL速率执行)、执行上行链路流量验证(例如，SDF到QoS流映射)、上行链路和下行链路中的传送级别分组标记以及下行链路分组缓冲和下行链路数据通知触发。UPF 202可包括上行链路分类器以支持将流量路由到数据网络。DN 204可表示各种网络运营商服务、互联网访问或第三方服务。DN 204可包括例如应用程序服务器。

图3示出了5G-AKA主要认证程序。5G AKA/EAP-AKA'中存在两个阶段：发起程序和认证程序。

在发起程序中，UE向VPLMN中的SEAF发送标识。SEAF向HPLMN中的AUSF发送认证请求。AUSF向UDM/ARPF/SIDF提供授权请求。

认证程序需要认证向量生成，其中AV包括RAND、认证令牌(AUTN)、预期响应(XRES*)和K_AUSF。可基于关于使用此类密钥的归属运营商的策略将K_AUSF安全地存储在AUSF中。AUSF根据K_AUSF导出K_SEAF(锚定密钥)并且向SEAF发送质询消息。在接收到RAND和AUTN时，通用用户身份模块(USIM)计算响应RES并且将RES、CK、IK返回到UE。移动装备(ME)根据RES计算RES*并且将其发回。SEAF根据RES*计算HRES*并且将HRES*与HXRES*进行比较。如果成功，则其将RES*转发到AUSF。AUSF将所接收的RES*与所存储的XRES*进行比较，如果成功，则认证成功并且AUSF指示SEAF。

UE自身生成K_AUSF。如果UE是真UE，则其能够生成正确的K_AUSF，这与由网络(UDM/ARPF)生成的K_AUSF相同。关于K_AUSF生成的详细信息在3GPP TS 33.501的条款6.1.3.2.0中提供，其中UE在从网络接收到必要参数之后生成K_AUSF。

图4示出了5G中的密钥分级结构。K_AUSF在归属网络中的UE和AUSF之间是通用的，并且是后续密钥分级结构的基础。K_AUSF未被递送，但由UE和网络单独生成。由于UE和网络具有相同的根密钥，因此它们生成相同的K_AUSF。计算K_AUSF所需的参数从网络递送到UE。

图5示出了用于启用边缘应用的架构500，如3GPP TS 23.558中所述。边缘数据网络(EDN)即EDN 502是本地数据网络。边缘应用程序服务器(EAS)即EAS 504和边缘使能器服务器EES 506包含在EDN 502内。边缘配置服务器(ECS)即ECS 508提供与EES 506相关的配置，包括托管EES 506的EDN 502的细节。UE 510包含应用程序客户端512和边缘使能器客户端(EEC)即EEC 514。EAS 504、EES 506和ECS 508可与3GPP核心网516交互。

ECS 508提供EEC 514与EES 506连接所需的支持功能。ECS 508的功能包括向EEC514调配边缘配置信息。边缘配置信息包括以下项：用于EEC 514连接到EES 506的信息，例如适用于局域数据网(LADN)的服务区域信息；和用于建立与EES 506的连接的信息，诸如统一资源标识符(URI)。

EEC 514提供应用程序客户端所需的支持功能。EEC 514的功能包括以下项：检索和调配配置信息以使得能够与EAS 504交换应用程序数据流量；以及发现EDN 502中提供的EAS 504。

EEC ID是识别EEC的全局唯一值。一个或多个EEC可位于UE中。

SA6 3GPP TS 23.558还阐述了以下规范。应用层架构支持针对不同部署需要使用3GPP凭证或特定于应用的凭证或两者，以用于UE与提供边缘计算服务的功能实体之间的通信。应用层架构支持客户端和服务器之间或服务器与交互的服务器之间的相互认证和授权检查。在SA6规范中还没有这样的程序。本公开提出了EEC 514与ECS 508之间的认证和授权方法。

在3GPP TR 33.839中提出了EEC与ECS之间的认证和授权。图6示出了EEC 602与ECS 604之间的SA3调用流程认证和授权600。本领域的技术人员应当理解，可在EEC 602与EES之间执行类似的功能，但为简洁起见，下面仅描述ECS 604(而非EES)。

最初，UE 606利用网络执行主要认证608。然后，在归属网络中的UE 606与AUSF610之间共享K_AUSF。

UE 606使用K_AUSF和SUPI生成612凭证K_边缘(K_edge)和K_边缘ID，并且K_边缘和K_边缘ID被安全地存储。下面讨论K_边缘和K_边缘ID的生成。

AUSF 610使用K_AUSF和SUPI生成614凭证K_边缘和K_边缘ID，并且K_边缘和K_边缘ID被安全地存储。

EEC 602获取616K_边缘和K_边缘ID。因此，UE 606提供安全接口以传输K_边缘和K_边缘ID。

EEC 602使用K_边缘和EEC ID来计算618MAC_EEC。使用具有输入K_边缘和EEC ID的SHA256来计算MEC_EEC。

UE 606向ECS 604发送620应用程序注册请求(EEC ID、MAC_EEC、K_边缘ID)。该消息是使用NAS还是用户平面发送是可选的。

ECS 604向NEF 624发送622认证验证(EEC ID、MAC_EEC、K_边缘ID)以进行验证。

NEF 624向UDM 628发送626认证验证(EEC ID、MAC_EEC、K_边缘ID)以进行MAC_EEC验证。

AUSF 610使用K_边缘ID检索630K_边缘，并且使用K_边缘和EEC ID验证MAC_EEC。

如果AUSF 610验证成功，则AUSF 610将认证验证响应(成功)发送632回NEF 624，否则，AUSF 610向NEF 624发送认证验证响应(失败)。

NEF 624从UDM 628向ECS 604发送634认证验证响应(成功/失败)。

基于验证结果，ECS 604决定是接受还是拒绝认证请求，并且向UE 606中的EEC602发送636认证请求接受/拒绝。

K_边缘是使用在3GPP TS 33.220(V17.0.0)的附录B中定义的密钥导出函数(KDF)生成的，并且附录B以引用方式并入本文。在根据K_AUSF导出K_边缘时，应使用以下参数来形成KDF的输入字符串S：FC＝xxxx，其由3GPP规范分配(TS 33.220的附录B中的B 2.2)；P0＝<SUPI>；L0＝<SUPI>的长度。输入密钥即密钥应为K_AUSF。K_边缘ID由AUSF生成，并且唯一地识别一个K_边缘。MEC的新编号需要由3GPP重新分配，并且应相应地修改TS 33.220 B2.2。

图7是示出了K_边缘ID中的信息的示例的表700。然而，最初需要注意的是，K_边缘ID与特定认证方法无关，在SA3中的许多认证解决方案中使用了K_边缘ID。换句话讲，K_边缘ID可用于其他认证方法。在一些实施方案中，K_边缘ID的部署如下：(1)K_边缘ID能够唯一地识别一个K_边缘。UE可支持多个边缘服务，因此它可具有多个K_边缘和K_边缘ID。(2)在认证程序中，ECS可与AUSF协调以认证UE是否通过了主要认证，然后ECS能够利用K_边缘ID路由到正确的AUSF。可存在找到正确AUSF的其他方法，使用K_边缘ID就是其中之一，该方法不需要在UE向ECS的注册请求中添加其他IE。(3)仅利用K_边缘ID，攻击者无法推断或计算K_边缘。

图7示出了K_边缘ID可包括路由、服务标识符和唯一性部分。下面解释每个部分。(图中的“/”表示“或”，意指可在各种实施方案中采用以下要素中的一些或全部。)

路由部分702旨在用于找出正确的AUSF或NEF。路由部分702基于SUPI、通用公共订阅标识符(GPSI)和公共陆地移动网络(PLMN)ID中的一者或多者。

服务标识符部分704旨在用于识别边缘服务。服务标识符部分704基于EEC ID、EASID和EAS提供方标识符中的一者或多者。

唯一性部分706旨在用于确保当路由部分和服务标识符部分相同时，K_边缘ID不会冲突。随机数可由伪随机数发生器(PRNG)生成。

在其他实施方案中，图7所示的三个部分的顺序可以不同。K_边缘ID的长度不需要严格限制，因为它是可改变的EEC ID/EAS ID/EAS提供方ID的长度的函数。

图8示出了由被配置为在5G网络中通信的UE执行的在UE的EEC与ECS之间进行认证和授权的例程800。在框802中，例程800利用5G网络执行主要认证以获得K_AUSF。在框804中，例程800使用K_AUSF和SUPI来生成K_边缘和K_边缘ID。在框806中，例程800向EEC提供K_边缘和K_边缘ID，以使其使用K_边缘和EEC ID来计算MAC_EEC。在框808中，例程800向ECS发送应用程序注册请求，该应用程序注册请求包括EEC ID、MAC_EEC和K_边缘ID。

例程800可任选地包括发送包括应用程序注册请求的非接入层(NAS)或用户平面消息。

例程800可任选地包括从ECS接收认证请求接受或拒绝。

例程800可任选地包括根据密钥导出函数(KDF)生成K_边缘，其中KDF的输入字符串S包括FC、P0和L0参数，FC参数是预先确定的(例如，根据附录B中的3GPP规范分配)，P0参数等于SUPI，并且L0等于SUPI的长度。

例程800可任选地包括唯一地识别一个K_边缘的K_边缘ID。

例程800可任选地包括具有用于定位AUSF或NEF的路由部分的K_边缘ID。例程800可任选地包括基于SUPI、GPSI和PLMN ID中的一者或多者的路由部分。

例程800可任选地包括具有用于识别边缘服务的服务标识符部分的K_边缘ID。例程800可任选地包括基于EEC ID、EAS ID和EAS提供方标识符中的一者或多者的服务标识符部分。

例程800可任选地包括K_边缘ID，其具有唯一性部分以确保K_边缘ID不会与另一个K_边缘ID冲突。在一个实施方案中，K_边缘ID是伪随机数。

图9示出了根据本文公开的实施方案的用于在无线设备902和网络设备918之间执行信令934的系统900。系统900可以是如本文所述的无线通信系统的一部分。无线设备902可以是例如无线通信系统的UE。网络设备918可以是例如无线通信系统的基站(例如，eNB或gNB)。

无线设备902可以包括一个或多个处理器904。处理器904可以执行指令，从而执行无线设备902如本文所述的各种操作。处理器904可以包括一个或多个基带处理器，其利用例如中央处理单元(CPU)、数字信号处理器(DSP)、专用集成电路(ASIC)、控制器、现场可编程门阵列(FPGA)设备、另一硬件设备、固件设备或被配置用于执行本文所述操作的它们的任意组合来实现。

无线设备902可包括存储器906。存储器906可以为存储指令908(其可以包括例如由处理器904执行的指令)的非暂态计算机可读存储介质。指令908还可以称为程序代码或计算机程序。存储器906还可以存储由处理器904使用的数据和由处理器计算的结果。

无线设备902可以包括一个或多个收发器910，其可以包括射频(RF)传输器和/或接收器电路系统，该RF传输器和/或接收器电路系统使用无线设备902的天线912，以根据相应的RAT促进无线设备902与其他设备(例如，网络设备918)进行传输的或接收到的信令(例如，信令934)。

无线设备902可以包括一根或多根天线912(例如，一根、两根、四根或以上)。对于具有多根天线912的实施方案，无线设备902可充分利用这些多根天线912的空间分集，以在同一时频资源上发送和/或接收多个不同数据流。这一做法可被称为，例如，多输入多输出(MIMO)做法(指的是分别在传输设备和接收设备侧使用的实现这一方面的多根天线)。无线设备902进行的MIMO传输可根据应用于无线设备902的预编码(或数字波束赋形)来实现，该无线设备根据已知或假设的信道特性在天线912之间复用数据流，使得每个数据流相对于其他流以适当的信号强度，并在空域中的期望位置(例如，与该数据流相关联的接收器的位置)被接收。某些实施方案可使用单用户MIMO(SU-MIMO)方法(其中数据流全部针对单个接收器)和/或多用户MIMO(MU-MIMO)方法(其中个别数据流可针对空域中不同位置的个别(不同)接收器)。

在具有多根天线的某些实施方案中，无线设备902可以实施模拟波束赋形技术，由此，由天线912发送的信号的相位被相对调整，使得天线912的(联合)传输具有定向性(这有时被称为波束控制)。

无线设备902可以包括一个或多个接口914。接口914可用于向无线设备902提供输入或从其提供输出。例如，作为UE的无线设备902可以包括接口914，例如，麦克风、扬声器、触摸屏、按钮等，以便允许该UE的用户向该UE进行输入和/或输出。此类UE的其他接口可由(例如，除已描述的收发器910/天线912以外的)传输器、接收器和其他电路系统组成，其允许该UE与其他设备之间进行通信，并可根据已知协议(例如，等)进行操作。

无线设备902可包括认证/授权模块916。认证/授权模块916可经由硬件、软件或其组合来实现。例如，认证/授权模块916可被实现为处理器、电路和/或存储在存储器906中并由处理器904执行的指令908。在一些示例中，认证/授权模块916可集成在处理器904和/或收发器910内。例如，认证/授权模块916可通过(例如，由DSP或通用处理器执行的)软件部件的组合和处理器904或收发器910内的硬件部件(例如，逻辑门和电路系统)予以实现。

认证/授权模块916可用于本公开的各个方面，例如，图2至图8的各方面。例如，认证/授权模块916被配置为执行KDF或例程800。

网络设备918可包括一个或多个处理器920。处理器920可执行指令，从而执行网络设备918如本文所述的各种操作。处理器904可以包括一个或多个基带处理器，其利用例如CPU、DSP、ASIC、控制器、FPGA设备、另一硬件设备、固件设备或被配置用于执行本文所述操作的它们的任意组合来实现。

网络设备918可包括存储器922。存储器922可以为存储指令924(其可以包括例如由处理器920执行的指令)的非暂态计算机可读存储介质。指令924还可以称为程序代码或计算机程序。存储器922还可以存储由处理器920使用的数据和由处理器计算的结果。

网络设备918可以包括一个或多个收发器926，其可以包括RF传输器和/或接收器电路系统，该RF传输器和/或接收器电路系统使用网络设备918的天线928，以根据相应的RAT促进网络设备918与其他设备(例如，无线设备902)进行传输的或接收到的信令(例如，信令934)。

网络设备918可以包括一根或多根天线928(例如，一根、两根、四根或以上)。在具有多根天线928的实施方案中，网络设备918可执行如前文所述的MIMO、数字波束赋形、模拟波束赋形、波束控制等。

网络设备918可包括一个或多个接口930。接口930可用于向网络设备918提供输入或从其提供输出。例如，作为基站的网络设备918可以包括由(例如，除已描述的收发器926/天线928以外的)传输器、接收器和其他电路系统组成的接口930，其使得该基站能够与核心网中的其他装备进行通信，和/或使得该基站能够与外部网络、计算机、数据库等进行通信，以达到执行操作、管理和维护该基站或与其可操作连接的其他装备的目的。

网络设备918可包括认证/授权模块932。认证/授权模块932可经由硬件、软件或其组合来实现。例如，认证/授权模块932可被实现为处理器、电路和/或存储在存储器922中并由处理器920执行的指令924。在一些示例中，认证/授权模块932可集成在处理器920和/或收发器926内。例如，认证/授权模块932可通过(例如，由DSP或通用处理器执行的)软件部件的组合和处理器920或收发器926内的硬件部件(例如，逻辑门和电路系统)予以实现。

认证/授权模块932可用于本公开的各个方面，例如，图2至图8的各方面。例如，认证/授权模块932被配置为执行图2和图6中所示的SEAF、AUSF、UDM或NEF的各方面。

以下实施例涉及另外的实施方案。

实施例1可包括一种装置，所述装置包括用于执行在本文所述的方法或过程中的任一者所述的或与之相关的方法一个或多个要素的装置。

实施例2可包括一个或多个非暂态计算机可读介质，该一个或多个非暂态计算机可读介质包括指令，该指令在由电子设备的一个或多个处理器执行时使该电子设备执行在上述实施例中任一项所述的或与之相关的方法或本文所述的任何其他方法或过程的一个或多个要素。

实施例3可包括一种装置，所述装置包括用于执行上述实施例中任一项所述或与之相关的方法或本文所述的任何其他方法或过程的一个或多个要素的逻辑部件、模块或电路。

实施例4可包括在上述实施例中任一项所述的或与之相关的方法、技术或过程或其部分或部件。

实施例5可包括一种装置，该装置包括：一个或多个处理器以及一个或多个计算机可读介质，该一个或多个计算机可读介质包括指令，该指令在由一个或多个处理器执行时使一个或多个处理器执行上述实施例中任一项所述或与之相关的方法、技术或过程或其部分。

实施例6可包括上述实施例中任一项所述或与之有关的信号或其部分或部件。

实施例7可包括在上述实施例中任一项所述的或与之相关的数据报、分组、帧、段、协议数据单元(PDU)或消息或其部分或部件，或者在本公开中以其他方式描述的。

实施例8可包括上述实施例中任一项所述或与之有关的编码有数据的信号或其部分或部件，或者本公开中以其他方式描述的。

实施例9可包括在上述实施例中任一项所述的或与之相关的编码有数据报、分组、帧、段、PDU或消息的信号或其部分或部件，或者在本公开中以其他方式描述的。

实施例10可包括一种承载计算机可读指令的电磁信号，其中由一个或多个处理器执行所述计算机可读指令将使所述一个或多个处理器执行上述实施例中任一项所述的或与之相关的方法、技术或过程或其部分。

实施例11可包括一种计算机程序，该计算机程序包括指令，其中由处理元件执行该程序将使得该处理元件执行在上述实施例中任一项所述的或与之相关的方法、技术或过程或其部分。

实施例12可包括如本文所示和所述的无线网络中的信号。

实施例13可包括如本文所示和所述的在无线网络中进行通信的方法。

实施例14可包括如本文所示和所述的用于提供无线通信的系统。

实施例15可包括如本文所示和所述的用于提供无线通信的设备。

除非另有明确说明，否则上述实施例中的任一个可与任何其他实施例(或实施例的组合)组合。一个或多个具体实施的前述描述提供了说明和描述，但是并不旨在穷举或将实施方案的范围限制为所公开的精确形式。鉴于上面的教导内容，修改和变型是可能的，或者可从各种实施方案的实践中获取修改和变型。

本文所述的系统和方法的实施方案和具体实施可包括各种操作，这些操作可体现在将由计算机系统执行的机器可执行指令中。计算机系统可包括一个或多个通用或专用计算机(或其他电子设备)。计算机系统可包括硬件部件，这些硬件部件包括用于执行操作的特定逻辑部件，或者可包括硬件、软件和/或固件的组合。

应当认识到，本文所述的系统包括对具体实施方案的描述。这些实施方案可组合成单个系统、部分地结合到其他系统中、分成多个系统或以其他方式划分或组合。此外，可设想在另一个实施方案中使用一个实施方案的参数、属性、方面等。为了清楚起见，仅在一个或多个实施方案中描述了这些参数、属性、方面等，并且应认识到除非本文特别声明，否则这些参数、属性、方面等可与另一个实施方案的参数、属性、方面等组合或将其取代。

众所周知，使用个人可识别信息应遵循公认为满足或超过维护用户隐私的行业或政府要求的隐私政策和做法。具体地，应管理和处理个人可识别信息数据，以使无意或未经授权的访问或使用的风险最小化，并应当向用户明确说明授权使用的性质。

对于一个或多个实施方案，在前述附图中的一个或多个附图中示出的部件中的至少一个部件可被配置为执行本文所述的一个或多个操作、技术、过程和/或方法。例如，上文结合前述附图中的一个或多个所述的基带电路可被配置为根据下述示例中的一个或多个进行操作。又如，与上文结合前述附图中的一个或多个附图所述的UE、基站、网络元件等相关联的电路系统可被配置为根据下文示出的示例中的一个或多个示例进行操作。

尽管为了清楚起见已经相当详细地描述了前述内容，但是将显而易见的是，在不脱离本发明原理的情况下，可以进行某些改变和修改。应当指出的是，存在实现本文所述的过程和装置两者的许多另选方式。因此，本发明的实施方案应被视为例示性的而非限制性的，并且本说明书不限于本文给出的细节，而是可在所附权利要求书的范围和等同物内进行修改。

Claims

1.一种由被配置为在5G网络中通信的用户设备(UE)执行的在所述UE的边缘使能器客户端(EEC)与边缘配置服务器(ECS)之间进行认证和授权的方法，所述方法包括：

利用所述5G网络执行主要认证以获得K_AUSF；

使用所述K_AUSF和订阅永久标识符(SUPI)生成K_边缘和K_边缘标识符(ID)；

向所述EEC提供所述K_边缘和所述K_边缘ID，以使其使用所述K_边缘和EEC ID来计算MAC_EEC；以及

向所述ECS发送应用程序注册请求，所述应用程序注册请求包括所述EEC ID、所述MAC_EEC和所述K_边缘ID。

2.根据权利要求1所述的方法，其中所述发送包括发送非接入层(NAS)消息。

3.根据权利要求1所述的方法，其中所述发送包括发送用户平面消息。

4.根据权利要求1所述的方法，还包括从所述ECS接收认证请求接受或拒绝。

5.根据权利要求1所述的方法，还包括根据密钥导出函数(KDF)生成所述K_边缘，其中所述KDF的输入字符串S包括FC参数、P0参数和L0参数，所述FC参数根据3GPP规范分配，所述P0参数等于所述SUPI，并且所述L0参数等于所述SUPI的长度。

6.根据权利要求1所述的方法，其中所述K_边缘ID唯一地识别一个K_边缘。

7.根据权利要求1所述的方法，其中所述K_边缘ID包括用于定位认证服务器功能(AUSF)或网络暴露功能(NEF)的路由部分。

8.根据权利要求7所述的方法，其中所述路由部分基于所述SUPI、通用公共订阅标识符(GPSI)和公共陆地移动网络(PLMN)ID中的一者或多者。

9.根据权利要求1所述的方法，其中所述K_边缘ID包括用于识别边缘服务的服务标识符部分。

10.根据权利要求9所述的方法，其中所述服务标识符部分基于所述EEC ID、边缘应用程序服务器(EAS)ID和EAS提供方标识符中的一者或多者。

11.根据权利要求1所述的方法，其中所述K_边缘ID包括唯一性部分以确保所述K_边缘ID不会与另一个K_边缘ID冲突。

12.根据权利要求11所述的方法，其中所述唯一性部分是伪随机数。

13.一种用于用户设备(UE)的非暂态计算机可读存储介质，所述UE被配置为在5G网络中通信，并且在所述UE的边缘使能器客户端(EEC)与边缘配置服务器(ECS)之间执行认证和授权，所述计算机可读存储介质包括指令，所述指令在由所述UE执行时使所述UE：

利用所述5G网络执行主要认证以获得K_AUSF；

14.根据权利要求13所述的计算机可读存储介质，其中所述指令进一步配置所述UE以发送包括所述应用程序注册请求的非接入层(NAS)消息。

15.根据权利要求13所述的计算机可读存储介质，其中所述指令进一步配置所述UE以发送包括所述应用程序注册请求的用户平面消息。

16.根据权利要求13所述的计算机可读存储介质，其中所述指令进一步配置所述UE以从所述ECS接收认证请求接受或拒绝。

17.根据权利要求13所述的计算机可读存储介质，其中所述指令进一步配置所述UE以根据密钥导出函数(KDF)生成所述K_边缘，其中所述KDF的输入字符串S包括FC参数、P0参数和L0参数，所述FC参数根据3GPP规范分配，所述P0参数等于所述SUPI，并且所述L0参数等于所述SUPI的长度。

18.根据权利要求13所述的计算机可读存储介质，其中所述K_边缘ID唯一地识别一个K_边缘。

19.根据权利要求13所述的计算机可读存储介质，其中所述K_边缘ID包括用于定位认证服务器功能(AUSF)或网络暴露功能(NEF)的路由部分。

20.根据权利要求19所述的计算机可读存储介质，其中所述路由部分基于所述SUPI、通用公共订阅标识符(GPSI)和公共陆地移动网络(PLMN)ID中的一者或多者。

21.根据权利要求13所述的计算机可读存储介质，其中所述K_边缘ID包括用于识别边缘服务的服务标识符部分。

22.根据权利要求21所述的计算机可读存储介质，其中所述服务标识符部分基于所述EEC ID、边缘应用程序服务器(EAS)ID和EAS提供方标识符中的一者或多者。

23.根据权利要求13所述的计算机可读存储介质，其中所述K_边缘ID包括唯一性部分以确保所述K_边缘ID不会与另一个K_边缘ID冲突。

24.根据权利要求23所述的计算机可读存储介质，其中所述唯一性部分是伪随机数。