CN117597958A - 认证与授权方法、装置、通信设备及存储介质 - Google Patents
认证与授权方法、装置、通信设备及存储介质 Download PDFInfo
- Publication number
- CN117597958A CN117597958A CN202280002224.9A CN202280002224A CN117597958A CN 117597958 A CN117597958 A CN 117597958A CN 202280002224 A CN202280002224 A CN 202280002224A CN 117597958 A CN117597958 A CN 117597958A
- Authority
- CN
- China
- Prior art keywords
- ecs
- eec
- authentication
- authorization
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 364
- 238000000034 method Methods 0.000 title claims abstract description 280
- 238000004891 communication Methods 0.000 title claims description 44
- 230000008569 process Effects 0.000 claims abstract description 13
- 230000004044 response Effects 0.000 claims description 159
- 230000006870 function Effects 0.000 claims description 70
- 208000037218 exstrophy-epispadias complex Diseases 0.000 description 296
- 238000001537 electron coincidence spectroscopy Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 12
- 238000007726 management method Methods 0.000 description 11
- 238000010295 mobile communication Methods 0.000 description 6
- 238000009795 derivation Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
Abstract
提供了一种认证与授权方法,其中,方法由边缘使能客户端EEC执行,方法包括:向边缘配置服务器ECS发送认证与授权信息(步骤21);其中,认证与授权信息用于请求服务授权的令牌。由于认证与授权信息携带了用于请求服务授权的令牌,ECS在接收到认证与授权信息后可以向EEC发送服务授权的令牌或者拒绝发送服务授权的令牌,相较于采用无授权过程的方式,可以提升边缘服务的安全性。
Description
本公开涉及无线通信技术领域但不限于无线通信技术领域,尤其涉及一种认证与授权方法、装置、通信设备及存储介质。
在无线通信技术中,需要明确如何验证和授权托管在漫游终端中的边缘使能客户端(EEC,Edge Enabler Client)以访问拜访公共陆地移动网络(VPLMN,Visited Public Land Mobile Network)中可用的边缘计算服务。漫游用户访问网络中的边缘应用,需要得到用户的归属地运营商和访问地运营商的授权。相关技术中,边缘配置服务器(ECS,Edge Configuration Server)无法在漫游场景下对EEC进行认证和授权。
发明内容
本公开实施例公开了一种认证与授权方法、装置、通信设备及存储介质。
根据本公开实施例的第一方面,提供一种认证与授权方法,其中,所述方法由边缘使能客户端EEC执行,所述方法包括:
向边缘配置服务器ECS发送认证与授权信息;
其中,所述认证与授权信息用于请求服务授权的令牌。
根据本公开实施例的第二方面,提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
接收边缘使能客户端EEC发送的认证与授权信息;
其中,所述认证与授权信息用于请求服务授权的令牌。
根据本公开实施例的第三方面,提供一种认证与授权方法,其中,所述方法由Zn接口代理Zn-Proxy执行,所述方法包括:
接收ECS发送的应用请求信息;
其中,所述应用请求信息包括以下至少之一:
ECS所接收到的B-TID;
网络应用功能NAF身份标识ID;
密钥类型指示符。
根据本公开实施例的第四方面,提供一种认证与授权方法,其中,所述方法由引导服务器功能BSF执行,所述方法包括:
接收Zn-Proxy发送的应用请求信息;
其中,所述应用请求信息包括以下至少之一:
ECS所接收到的B-TID;
网络应用功能NAF身份标识ID;
密钥类型指示符。
根据本公开实施例的第五方面,提供一种认证与授权装置,其中,所述装置包括:
发送模块,被配置为向边缘配置服务器ECS发送认证与授权信息;
其中,所述认证与授权信息用于请求服务授权的令牌。
根据本公开实施例的第六方面,提供一种认证与授权装置,其中,所述装置包括:
接收模块,被配置为接收边缘使能客户端EEC发送的认证与授权信息;
其中,所述认证与授权信息用于请求服务授权的令牌。
根据本公开实施例的第七方面,提供一种认证与授权装置,其中,所述装置包括:
接收模块,被配置为接收ECS发送的应用请求信息;
其中,所述应用请求信息包括以下至少之一:
ECS所接收到的B-TID;
网络应用功能NAF身份标识ID;
密钥类型指示符。
根据本公开实施例的第八方面,提供一种认证与授权装置,其中,所述装置包括:
接收模块,被配置为接收Zn-Proxy发送的应用请求信息;
其中,所述应用请求信息包括以下至少之一:
ECS所接收到的B-TID;
网络应用功能NAF身份标识ID;
密钥类型指示符。
根据本公开实施例的第九方面,提供一种通信设备,所述通信设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为:用于运行所述可执行指令时,实现本公开任意实施例所述的方法。
根据本公开实施例的第十方面,提供一种计算机存储介质,所述计算机存储介质存储有计算机可执行程序,所述可执行程序被处理器执行时实现本公开任意实施例所述的方法。
在本公开实施例中,向边缘配置服务器ECS发送认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。这里,由于所述认证与授权信息携带了用于请求服务授权的令牌,ECS在接收到该认证与授权信息后可以向所述EEC发送服务授权的令牌或者拒绝发送服务授权的令牌,相较于采用无授权过程的方式,可以提升边缘服务的安全性。
图1是根据一示例性实施例示出的一种无线通信系统的结构示意图。
图2是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图3是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图4是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图5是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图6是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图7是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图8是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图9是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图10是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图11是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图12是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图13是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图14是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图15是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图16是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图17是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图18是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图19是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图20是根据一示例性实施例示出的一种认证与授权方法的流程示意图。
图21是根据一示例性实施例示出的一种认证与授权装置的结构示意图。
图22是根据一示例性实施例示出的一种认证与授权装置的结构示意图。
图23是根据一示例性实施例示出的一种认证与授权装置的结构示意图。
图24是根据一示例性实施例示出的一种认证与授权装置的结构示意图。
图25是根据一示例性实施例示出的一种终端的结构示意图。
图26是根据一示例性实施例示出的一种基站的框图。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。
在本公开实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不 应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
出于简洁和便于理解的目的,本文在表征大小关系时,所使用的术语为“大于”或“小于”。但对于本领域技术人员来说,可以理解:术语“大于”也涵盖了“大于等于”的含义,“小于”也涵盖了“小于等于”的含义。
请参考图1,其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示,无线通信系统是基于移动通信技术的通信系统,该无线通信系统可以包括:若干个用户设备110以及若干个基站120。
其中,用户设备110可以是指向用户提供语音和/或数据连通性的设备。用户设备110可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网进行通信,用户设备110可以是物联网用户设备,如传感器设备、移动电话和具有物联网用户设备的计算机,例如,可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如,站(Station,STA)、订户单元(subscriber unit)、订户站(subscriber station),移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程用户设备(remote terminal)、接入用户设备(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户设备(user equipment)。或者,用户设备110也可以是无人飞行器的设备。或者,用户设备110也可以是车载设备,比如,可以是具有无线通信功能的行车电脑,或者是外接行车电脑的无线用户设备。或者,用户设备110也可以是路边设备,比如,可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。
基站120可以是无线通信系统中的网络侧设备。其中,该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication,4G)系统,又称长期演进(Long Term Evolution,LTE)系统;或者,该无线通信系统也可以是5G系统,又称新空口系统或5G NR系统。或者,该无线通信系统也可以是5G系统的再下一代系统。其中,5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network,新一代无线接入网)。
其中,基站120可以是4G系统中采用的演进型基站(eNB)。或者,基站120也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站120采用集中分布式架构时,通常包括集中单元(central unit,CU)和至少两个分布单元(distributed unit,DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层、无线链路层控制协议(Radio Link Control,RLC)层、媒体访问控制(Media Access Control,MAC)层的协议栈;分布单元中设置有物理(Physical,PHY)层协议栈,本公开实施例对基站120的具体实现方式不加以限定。
基站120和用户设备110之间可以通过无线空口建立无线连接。在不同的实施方式中,该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口;或者,该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口,比如该无线空口是新空口;或者,该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。
在一些实施例中,用户设备110之间还可以建立E2E(End to End,端到端)连接。比如车联网通 信(vehicle to everything,V2X)中的V2V(vehicle to vehicle,车对车)通信、V2I(vehicle to Infrastructure,车对路边设备)通信和V2P(vehicle to pedestrian,车对人)通信等场景。
这里,上述用户设备可认为是下面实施例的终端设备。
在一些实施例中,上述无线通信系统还可以包含网络管理设备130。
若干个基站120分别与网络管理设备130相连。其中,网络管理设备130可以是无线通信系统中的核心网设备,比如,该网络管理设备130可以是演进的数据分组核心网(Evolved Packet Core,EPC)中的移动性管理实体(Mobility Management Entity,MME)。或者,该网络管理设备也可以是其它的核心网设备,比如服务网关(Serving GateWay,SGW)、公用数据网网关(Public Data Network GateWay,PGW)、策略与计费规则功能单元(Policy and Charging Rules Function,PCRF)或者归属签约用户服务器(Home Subscriber Server,HSS)等。对于网络管理设备130的实现形态,本公开实施例不做限定。
为了便于本领域内技术人员理解,本公开实施例列举了多个实施方式以对本公开实施例的技术方案进行清晰地说明。当然,本领域内技术人员可以理解,本公开实施例提供的多个实施例,可以被单独执行,也可以与本公开实施例中其他实施例的方法结合后一起被执行,还可以单独或结合后与其他相关技术中的一些方法一起被执行;本公开实施例并不对此作出限定。
如图2所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘使能客户端EEC执行,所述方法包括:
步骤21、向边缘配置服务器ECS发送认证与授权信息;
其中,所述认证与授权信息用于请求服务授权的令牌。
这里,本公开所涉及的终端可以是但不限于是手机、可穿戴设备、车载终端、路侧单元(RSU,Road Side Unit)、智能家居终端、工业用传感设备和/或医疗设备等。在一些实施例中,该终端可以是Redcap终端或者预定版本的新空口NR终端(例如,R17的NR终端)。终端可以在归属网络中注册。终端可以在通用引导架构(GBA,Generic Bootstrapping Architecture)运行过程中,从所述EEC归属网络的引导服务器功能(BSF,Bootstrapping Server Function)获取B-TID。通过将ECS当做网络应用功能(NAF,Network Application Function),可以根据EES的NAF ID计算不同类型的密钥,例如,Ks_NAF、Ks_int_NAF和Ks_ext_NAF。终端可以选择上述密钥中的一种作为K
ECS。在一个实施例中,终端可以根据K
ECS和EEC ID推导出K
EEC-ECS。K
EEC-ECS可以是使用密钥导出函数(KDF,Key Derivation Function)导出,其中EEC ID用作KDF的输入参数,K
EES用作导出K
EEC-ECS的密钥。
这里,边缘使能客户端EEC可以是运行在终端上的应用程序,例如,微信应用程序和微博应用程序等。
需要说明的是,本公开实施例中,EES部署在运营商域且被运营商信任;EEC和ECS可以基于无线通信网络进行无线通信。该无线通信网络可以是但不限于是4G和5G无线通信网络,还可以是其他演进型的无线通信网络,在此不做限定。
在一个实施例中,认证与授权信息可以是用于请求令牌的配置请求信息。
在一个实施例中,向边缘配置服务器ECS发送认证与授权信息;其中,所述认证与授权信息用于 请求服务授权的令牌。所述认证与授权信息包括以下至少之一:
会话实务标识(B-TID,Bootstrapping Transaction Identifier);
加密的EEC身份标识ID;其中,所述加密的EEC ID是基于秘钥K
ECS加密的;
密钥类型指示符;其中,密钥类型指示符可以是一个字符串,例如,Ks_int_NAF,用作K
EES的密钥;
通用公共用户标识符(GPSI,Generic Public Subscription Identifier);
消息认证码。
需要说明的是,所述消息认证码为基于KECS确定的MAC-I;用于所述B-TID、加密的EEC ID、GPSI和/或密钥类型指示符的完整性保护。需要说明的是,消息认证码MAC-I是基于受保护的消息以及K
ECS生成的。
在一个实施例中,EEC可以是在通用引导架构(GBA,Generic Bootstrapping Architecture)运行过程中,从所述EEC归属网络的引导服务器功能(BSF,Bootstrapping Server Function)获取B-TID。
在一个实施例中,向边缘配置服务器ECS发送认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。接收所述ECS发送的所述令牌。
在一个实施例中,向边缘配置服务器ECS发送认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。通过传输层安全连接TLS接收所述ECS发送的所述令牌。
在一个实施例中,所述令牌包括以下至少之一的信息:
ECS完全限定域名FQDN;
EEC身份标识ID;
GPSI;
预期EES服务名称;
EES FQDN;
有效时间;
数字签名。
在一个实施例中,基于密钥K
ECS和EEC身份标识ID,确定密钥K
EEC-ECS,其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全(TLS,Transport Layer Security)连接的建立。
在本公开实施例中,向边缘配置服务器ECS发送认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。这里,由于所述认证与授权信息携带了用于请求服务授权的令牌,ECS在接收到该认证与授权信息后可以向所述EEC发送服务授权的令牌或者拒绝发送服务授权的令牌,相较于采用无授权过程的方式,可以提升边缘服务的安全性。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图3所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘使能客户端EEC执行, 所述方法包括:
步骤31、接收所述ECS发送的所述服务令牌。
在一个实施例中,向边缘配置服务器ECS发送认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。接收所述ECS发送的所述令牌。所述认证与授权信息包括以下至少之一:
会话实务标识B-TID;
加密的EEC身份标识ID;其中,所述加密的EEC ID是基于秘钥K
ECS加密的;
密钥类型指示符;其中,密钥类型指示符可以是一个字符串,例如,Ks_int_NAF,用作K
EES的密钥;
通用公共用户标识符(GPSI,Generic Public Subscription Identifier);
消息认证码。
需要说明的是,所述消息认证码为基于KECS确定的MAC-I;用于所述B-TID、加密的EEC ID、GPSI和/或密钥类型指示符的完整性保护。
在一个实施例中,EEC可以是在通用引导架构(GBA,Generic Bootstrapping Architecture)运行过程中,从所述EEC归属网络的引导服务器功能(BSF,Bootstrapping Server Function)获取B-TID。
在一个实施例中,向边缘配置服务器ECS发送认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。通过传输层安全连接TLS接收所述ECS发送的所述令牌。
在一个实施例中,所述令牌包括以下至少之一的信息:
ECS完全限定域名FQDN;
EEC身份标识ID;
GPSI;
预期EES服务名称;
EES FQDN;
有效时间;
数字签名。
在一个实施例中,基于密钥K
ECS和EEC身份标识ID,确定密钥K
EEC-ECS,其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全(TLS,Transport Layer Security)连接的建立。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图4所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘使能客户端EEC执行,所述方法包括:
步骤41、基于密钥K
ECS和EEC身份标识ID,确定密钥K
EEC-EES;
其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。
在一个实施例中,可以根据ECS的NAF ID计算不同类型的密钥,例如,Ks_NAF、Ks_int_NAF和Ks_ext_NAF。终端可以选择上述密钥中的一种作为K
ECS。
在一个实施例中,基于密钥K
ECS和EEC身份标识ID,确定密钥K
EEC-ECS;基于所述密钥K
EEC-ECS执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接建立。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图5所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘使能客户端EEC执行,所述方法包括:
步骤51、基于所述密钥K
EEC-ECS执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。
在一个实施例中,可以根据ECS的NAF ID计算不同类型的密钥,例如,Ks_NAF、Ks_int_NAF和Ks_ext_NAF。终端可以选择上述密钥中的一种作为K
ECS。基于密钥K
ECS和EEC身份标识ID,确定密钥K
EEC-ECS;基于所述密钥K
EEC-ECS执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接建立。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图6所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤61、接收边缘使能客户端EEC发送的认证与授权信息;
其中,所述认证与授权信息用于请求服务授权的令牌。
这里,本公开所涉及的终端可以是但不限于是手机、可穿戴设备、车载终端、路侧单元(RSU,Road Side Unit)、智能家居终端、工业用传感设备和/或医疗设备等。在一些实施例中,该终端可以是Redcap终端或者预定版本的新空口NR终端(例如,R17的NR终端)。终端可以在归属网络中注册。终端可以在通用引导架构(GBA,Generic Bootstrapping Architecture)运行过程中,从所述EEC归属网络的引导服务器功能(BSF,Bootstrapping Server Function)获取B-TID。通过将ECS当做网络应用功能(NAF,Network Application Function),可以根据EES的NAF ID计算不同类型的密钥,例如,Ks_NAF、Ks_int_NAF和Ks_ext_NAF。终端可以选择上述密钥中的一种作为K
ECS。在一个实施例中,终端可以根据K
ECS和EEC ID推导出K
EEC-ECS。K
EEC-ECS可以是使用密钥导出函数(KDF,Key Derivation Function)导出,其中EEC ID用作KDF的输入参数,K
EES用作导出K
EEC-ECS的密钥。
这里,边缘使能客户端EEC可以是运行在终端上的应用程序,例如,微信应用程序和微博应用程序等。
需要说明的是,本公开实施例中,EES部署在运营商域且被运营商信任;EEC和ECS可以基于无线通信网络进行无线通信。该无线通信网络可以是但不限于是4G和5G无线通信网络,还可以是其他 演进型的无线通信网络,在此不做限定。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。所述认证与授权信息包括以下至少之一:
会话实务标识B-TID;
加密的EEC身份标识ID;其中,所述加密的EEC ID是基于秘钥K
ECS加密的;
密钥类型指示符;其中,密钥类型指示符可以是一个字符串,例如,Ks_int_NAF,用作K
EES的密钥;
通用公共用户标识符(GPSI,Generic Public Subscription Identifier);
消息认证码。
需要说明的是,所述消息认证码为基于KECS确定的MAC-I;用于所述B-TID、加密的EEC ID、GPSI和/或密钥类型指示符的完整性保护。
在一个实施例中,EEC可以是在通用引导架构(GBA,Generic Bootstrapping Architecture)运行过程中,从所述EEC归属网络的引导服务器功能(BSF,Bootstrapping Server Function)获取B-TID。
在一个实施例中,所述令牌包括以下至少之一的信息:
ECS完全限定域名FQDN;
EEC身份标识ID;
GPSI;
预期EES服务名称;
EES FQDN;
有效时间;
数字签名。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。从策略控制功能PCF获取所述EEC用于与ECS建立连接的公共陆地移动网络的标识符和/或接入类型响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息 用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。基于B-TID确定所述EEC的归属网络标识。响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于所述密钥K
ECS和/或MAC-I验证所述认证与授权信息的完整性。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于密钥KECS和所述认证与授权信息,生成所述MAC-I;比较所述MAC-I和所述认证与授权信息中的MAC-I;响应于所述MAC-I和所述认证与授权信息中的MAC-I一致,确定所述认证与授权信息未被修改。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于所述密钥K
ECS和/或MAC-I验证所述认证与授权信息的完整性。响应于所述认证与授权信息被修改,终止配置请求过程;或者,响应于所述认证与授权信息未被修改,解密ECS接收到的加密EEC ID。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归 属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于所述密钥K
ECS和/或MAC-I验证所述认证与授权信息的完整性。响应于所述认证与授权信息未被修改,解密ECS接收到的加密EEC ID。基于解密的所述EEC ID,确定所述EEC是否有权根据预定策略执行配置请求操作;响应于确定所述EEC无权执行所述配置请求操作,终止配置请求过程。响应于确定所述EEC有权执行所述配置请求操作,继续配置请求过程。
在一个实施例中,在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。
在一实施例中,在一个实施例中,在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。基于所述KEEC-ECS执行EEC与ECS之间的相互身份认证和/或所述EEC和所述ECS之间的TLS连接的建立。
在一个实施例中,接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。基于所述KEEC-ECS执行EEC与ECS之间的相互身份认证和/或所述EEC和所述ECS之间的TLS连接的建立。响应于EEC与ECS之间的相互身份认证成功且所述TLS连接建立,生成EEC请求服务授权的令牌。
在一个实施例中,接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。基于所述KEEC-ECS执行EEC与ECS之间的相互身份认证和/或所述EEC和所述ECS之间的TLS连接的建立。响应于EEC与ECS之间的相互身份认证成功且所述TLS连接建立,生成EEC请求服务授权的令牌。向所述EEC发送所述令牌。
在一个实施例中,接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。基于所述KEEC-ECS执行EEC与ECS之间的相互身份认证和/或所述EEC和所述ECS之间的TLS连接的建立。响应于EEC与ECS之间的相互身份认证成功且所述TLS连接建立,生成EEC请求服务授权的令牌。通过所述TLS连接向所述EEC发送所述令牌。
在一个实施例中,所述令牌包括以下至少之一的信息:
ECS完全限定域名FQDN;
EEC身份标识ID;
GPSI;
预期EES服务名称;
EES FQDN;
有效时间;
数字签名。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图7所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤71、响应于接收到所述认证与授权信息,确定所述ECS连接的网络。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。从策略控制功能PCF获取所述EEC用于与ECS建立连接的公共陆地移动网络的标识符和/或接入类型响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。基于B-TID 确定所述EEC的归属网络标识。响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图8所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤81、响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。从策略控制功能PCF获取所述EEC用于与ECS建立连接的公共陆地移动网络的标识符和/或接入类型响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。基于B-TID确定所述EEC的归属网络标识。响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图9所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤91、向EEC归属网络中的Zn-Proxy发送应用请求信息;
其中,所述应用请求信息包括以下至少之一:
ECS所接收到的B-TID;
网络应用功能NAF身份标识ID;
密钥类型指示符。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于所述密钥K
ECS和/或MAC-I验证所述认证与授权信息的完整性。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图10所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤101、接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于所述密钥K
ECS和/或MAC-I验证所述认证与授权信息的完整性。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图11所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤111、基于所述密钥K
ECS和/或MAC-I验证所述认证与授权信息的完整性。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于所述密钥K
ECS和/或MAC-I验证所述认证与授权信息的完整性。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于密钥K
ECS和所述认证与授权信息,生成所述MAC-I;比较所述MAC-I和所述认证与授权信息中的MAC-I;响应于所述MAC-I和所述认证与授权信息中的MAC-I一致,确定所述认证与授权信息未被修改;或者,响应于所述MAC-I和所述认证与授权信息中的MAC-I不一致,确定所述认证与授权信息被修改。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图12所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤121、响应于所述认证与授权信息被修改,终止配置请求过程;
或者,
响应于所述认证与授权信息未被修改,解密ECS接收到的加密EEC ID。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于所述密钥K
ECS和/或MAC-I验证所述认证与授权信息的完整性。响应于所述认证与授权信息被修改,终止配置请求过程;或者,响应于所述认证与授权信息未被修改,解密ECS接收到的加密EEC ID。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于密钥K
ECS和所述认证与授权信息,生成所述MAC-I;比较所述MAC-I和所述认证与授权信息中的MAC-I;响应于所述MAC-I和所述认证与授权信息中的MAC-I一致,确定所述认证与授权信息未被修改;或者,响应于所述MAC-I和所述认证与授权信息中的MAC-I不一致,确定所述认证与授权信息被修改。响应于所述认证与授权信息被修改,终止配置请求过程;或者,响应于所述认证与授权信息未被修改,解密ECS接收到的加密EEC ID。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图13所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤131、基于解密的所述EEC ID,确定所述EEC是否有权根据预定策略执行配置请求操作;
步骤132、响应于确定所述EEC无权执行所述配置请求操作,终止配置请求过程。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于所述密钥K
ECS和/或MAC-I验证所述认证与授权信息的完整性。响应于所述认证与授权信息未被修改,解密ECS接收到的加密EEC ID。基于解密的所述EEC ID,确定所述EEC是否有权根据预定策略执行配置请求操作;响应于确定所述EEC无权执行所述配置请求操作,终止配置请求过程。或者,响应于确定所述EEC有权执行所述配置请求操作,继续配置请求过程。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。基于密钥K
ECS和所述认证与授权信息,生成所述MAC-I;比较所述MAC-I和所述认证与授权信息中的MAC-I;响应于所述MAC-I和所述认证与授权信息中的MAC-I一致,确定所述认证与授权信息未被修改;或者,响应于所述MAC-I和所述认证与授权信息中的MAC-I不一致,确定所述认证与授权信息被修改。响应于所述认证与授权信息未被修改,解密ECS接收到的加密EEC ID。响应于确定所述EEC无权执行所 述配置请求操作,终止配置请求过程。或者,响应于确定所述EEC有权执行所述配置请求操作,继续配置请求过程。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图14所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤141、响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。
在一个实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。
在一实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。基于所述KEEC-ECS执行EEC与ECS之间的相互身份认证和/或所述EEC和所述ECS之间的TLS连接的建立。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图15所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤151、基于所述K
EEC-ECS执行EEC与ECS之间的相互身份认证和/或所述EEC和所述ECS之间的TLS连接的建立。
在一实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应 用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。基于所述KEEC-ECS执行EEC与ECS之间的相互身份认证和/或所述EEC和所述ECS之间的TLS连接的建立。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图16所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤161、响应于EEC与ECS之间的相互身份认证成功且所述TLS连接建立,生成EEC请求服务授权的令牌。
在一实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。基于所述KEEC-ECS执行EEC与ECS之间的相互身份认证和/或所述EEC和所述ECS之间的TLS连接的建立。响应于EEC与ECS之间的相互身份认证成功且所述TLS连接建立,生成EEC请求服务授权的令牌。
所述令牌包括以下至少之一的信息:
ECS完全限定域名FQDN;
EEC身份标识ID;
GPSI;
预期EES服务名称;
EES FQDN;
有效时间;
数字签名。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图17所示,本实施例中提供一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:
步骤171、向所述EEC发送所述令牌。
在一实施例中,接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用 于请求服务授权的令牌。响应于接收到所述认证与授权信息,确定所述ECS连接的网络。向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID(NAF ID);密钥类型指示符。接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或所述密钥K
ECS的生效时间信息。响应于接收到所述K
ECS,根据所述K
ECS和EEC ID确定K
EEC-ECS;其中,所述密钥K
EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。基于所述KEEC-ECS执行EEC与ECS之间的相互身份认证和/或所述EEC和所述ECS之间的TLS连接的建立。响应于EEC与ECS之间的相互身份认证成功且所述TLS连接建立,生成EEC请求服务授权的令牌。向所述EEC发送所述令牌。这里,可以是通过所述TLS连接向所述EEC发送所述令牌。
所述令牌包括以下至少之一的信息:
ECS完全限定域名FQDN;
EEC身份标识ID;
GPSI;
预期EES服务名称;
EES FQDN;
有效时间;
数字签名。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图18所示,本实施例中提供一种认证与授权方法,其中,所述方法由Zn接口代理Zn-Proxy执行,所述方法包括:
步骤181、接收ECS发送的应用请求信息;
其中,所述应用请求信息包括以下至少之一:
ECS所接收到的B-TID;
网络应用功能NAF身份标识ID;
密钥类型指示符。
在一实施例中,接收ECS发送的应用请求信息。向EEC的归属网络中的引导服务器功能BSF发送所述应用请求信息。接收所述BSF发送的应用响应信息,其中,所述应用响应信息包括密钥K
ECS和/或密钥K
ECS的生效时间信息。向所述ECS发送所述密钥K
ECS和/或所述密钥K
ECS的生效时间信息。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图19所示,本实施例中提供一种认证与授权方法,其中,所述方法由引导服务器功能BSF执行,所述方法包括:
步骤191、接收Zn-Proxy发送的应用请求信息;
其中,所述应用请求信息包括以下至少之一:
ECS所接收到的B-TID;
网络应用功能NAF身份标识ID;
密钥类型指示符。
在一实施例中,接收Zn-Proxy发送的应用请求信息。基于所述应用请求信息确定密钥K
ECS。向所述Zn-Proxy发送应用响应信息,其中,所述应用响应信息包括所述密钥K
ECS和/或所述密钥K
ECS的生效时间信息。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
为了更好地理解本公开实施例,以下通过一个示例性实施例对本公开技术方案做进一步说明:
示例1:
请参见图20、本实施例中提供一种认证与授权方法,包括:
步骤2001、执行GBA流程。UE在归属网络中注册。UE在GBA过程中从归属网络中的BSF获得B-TID。通过将ECS视为NAF,UE可以根据ECS的NAF ID计算Ks_NAF、Ks_int_NAF和Ks_ext_NAF。UE选择其中之一作为K
ECS。UE可以根据K
ECS和EEC ID推导出K
EEC-ECS。K
EEC-ECS可以使用TS 33.220附件B中定义的KDF导出,其中EEC ID用作输入参数,K
ECS用作用于导出K
EEC-ECS的密钥。
步骤2002、发送认证与授权信息。EEC向ECS发送认证与授权信息。该认证与授权信息包括B-TID、加密的EEC ID和密钥类型指示符,其中,EEC ID由K
ECS加密。密钥指示符是一个字符串(例如,“Ks_int_NAF”),用于指示用作K
ECS的密钥。EEC也可以通过认证与授权信息向ECS发送GPSI。MAC-I是消息验证码,用于B-TID、加密的EEC ID、GPSI(如果提供)和密钥类型指示符的完整性保护。
步骤2003、Zn-Proxy选择。EES收到请求信息后,根据B-TID检测UE的归属网络。如果EES的PLMN和UE的家乡PLMN不同,EES需要连接到自己PLMN中的Zn-Proxy。
步骤2004、ECS发送应用请求。ECS需要向Zn-Proxy发送应用请求。应用请求包括ECS的B-TID、NAF ID和关键指标。
步骤2005、Zn-Proxy发送应用请求。Zn-Proxy向UE归属网络中的BSF发送应用请求。应用请求包括ECS的B-TID、NAF ID和关键指标。
步骤2006、应用响应。BSF根据ECS的B-TID、NAF ID和关键指标推导出K
ECS。BSF将K
ECS和相应的过期时间发送给Zn-Proxy。
步骤2007、应用响应。Zn-Proxy将K
ECS和K
ECS过期时间发送给ECS。
步骤2008、完整性验证。ECS利用K
ECS和MAC-I来验证认证与授权信息的完整性。如果认证与授权信息被修改,ECS终止请求过程。否则,EES解密EEC ID。ECS检查EEC是否有权根据预 先配置的策略执行配置请求操作。如果EEC被授权,则过程进行到步骤2009。否则,ECS终止供应请求过程。
步骤2009、获取K
EEC-ECS。在收到K
ECS后,ECS根据K
ECS和EEC ID推导出K
EEC-ECS。K
EEC-ECS可以使用TS 33.220附件B中定义的KDF导出,其中EEC ID用作输入参数,K
ECS用作用于导出K
EEC-ECS的密钥。
步骤2010、基于K
EEC-ECS可以实现EEC ID认证和TLS连接。其中,K
EEC-ECS作为NAF密钥。ECS还可以通过UE标识符API验证UE的GPSI。
步骤2011、配置响应。在认证EEC ID并建立TLS连接后,ECS会为EEC生成令牌。令牌通过安全TLS发送给UE。考虑到UE的EEC ID和GPSI被ECS成功认证,EES服务令牌可能包括ECS FQDN(发布者)、EEC ID(主题)、GPSI(主题)、预期的EES服务名称(范围)、EES FQDN(受众),过期时间(expiration),ECS生成的数字签名。
如图21所示,本实施例中提供一种认证与授权装置,其中,所述装置包括:
发送模块211,被配置为向边缘配置服务器ECS发送认证与授权信息;
其中,所述认证与授权信息用于请求服务授权的令牌。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图22所示,本实施例中提供一种认证与授权装置,其中,所述装置包括:
接收模块221,被配置为接收边缘使能客户端EEC发送的认证与授权信息;
其中,所述认证与授权信息用于请求服务授权的令牌。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图23所示,本实施例中提供一种认证与授权装置,其中,所述装置包括:
接收模块231,被配置为接收ECS发送的应用请求信息;
其中,所述应用请求信息包括以下至少之一:
ECS所接收到的B-TID;
网络应用功能NAF身份标识ID;
密钥类型指示符。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图24所示,本实施例中提供一种认证与授权装置,其中,所述装置包括:
接收模块241,被配置为接收Zn-Proxy发送的应用请求信息;
其中,所述应用请求信息包括以下至少之一:
ECS所接收到的B-TID;
网络应用功能NAF身份标识ID;
密钥类型指示符。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
本公开实施例提供一种通信设备,通信设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,处理器被配置为:用于运行可执行指令时,实现应用于本公开任意实施例的方法。
其中,处理器可包括各种类型的存储介质,该存储介质为非临时性计算机存储介质,在通信设备掉电之后能够继续记忆存储其上的信息。
处理器可以通过总线等与存储器连接,用于读取存储器上存储的可执行程序。
本公开实施例还提供一种计算机存储介质,其中,计算机存储介质存储有计算机可执行程序,可执行程序被处理器执行时实现本公开任意实施例的方法。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
如图25所示,本公开一个实施例提供一种终端的结构。
参照图25所示终端800本实施例提供一种终端800,该终端具体可是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图25,终端800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制终端800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在终端800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为终端800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为终端800生成、管理和分配电力相关联的组件。
多媒体组件808包括在终端800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当终端800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为终端800提供各个方面的状态评估。例如,传感器组件814可以检测到设备800的打开/关闭状态,组件的相对定位,例如组件为终端800的显示器和小键盘,传感器组件814还可以检测终端800或终端800一个组件的位置改变,用户与终端800接触的存在或不存在,终端800方位或加速/减速和终端800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于终端800和其他设备之间有线或无线方式的通信。终端800可以接入基于通信标准的无线网络,如Wi-Fi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,终端800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器804,上述指令可由终端800的处理器820执行以完成上述方法。例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
如图26所示,本公开一实施例示出一种基站的结构。例如,基站900可以被提供为一网络侧设备。参照图26,基站900包括处理组件922,其进一步包括一个或多个处理器,以及由存储器932所代表的存储器资源,用于存储可由处理组件922的执行的指令,例如应用程序。存储器932中存储的应用程序 可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件922被配置为执行指令,以执行上述方法前述应用在所述基站的任意方法。
基站900还可以包括一个电源组件926被配置为执行基站900的电源管理,一个有线或无线网络接口950被配置为将基站900连接到网络,和一个输入输出(I/O)接口958。基站900可以操作基于存储在存储器932的操作系统,例如Windows Server TM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (43)
- 一种认证与授权方法,其中,所述方法由边缘使能客户端EEC执行,所述方法包括:向边缘配置服务器ECS发送认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。
- 根据权利要求1所述的方法,其中,所述方法还包括:接收所述ECS发送的所述令牌。
- 根据权利要求2所述的方法,其中,所述接收所述ECS发送的所述令牌,包括:通过传输层安全连接TLS接收所述ECS发送的所述令牌。
- 根据权利要求3所述的方法,其中,所述令牌包括以下至少之一的信息:ECS完全限定域名FQDN;EEC身份标识ID;GPSI;预期EES服务名称;EES FQDN;有效时间;数字签名。
- 根据权利要求1所述的方法,其中,所述认证与授权信息包括以下至少之一:会话实务标识B-TID;加密的EEC ID;密钥类型指示符;通用公共用户标识符GPSI;消息认证码。
- 根据权利要求5所述的方法,其中,所述加密的EEC ID通过K ECS加密。
- 根据权利要求5所述的方法,其中,所述消息认证码为基于K ECS确定的MAC-I;用于所述B-TID、加密的EEC ID、GPSI和/或密钥类型指示符的完整性保护。
- 根据权利要求1所述的方法,其中,所述方法还包括:在通用引导架构运行过程中,从归属网络的引导服务器功能BSF获取B-TID。
- 根据权利要求1所述的方法,其中,所述方法还包括:基于密钥K ECS和EEC身份标识ID,确定密钥K EEC-ECS,其中,所述密钥K EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。
- 根据权利要求9所述的方法,其中,所述方法还包括:基于所述密钥K EEC-ECS,执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。
- 一种认证与授权方法,其中,所述方法由边缘配置服务器ECS执行,所述方法包括:接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。
- 根据权利要求11所述的方法,其中,所述认证与授权信息包括以下至少之一:会话实务标识B-TID;加密的EEC ID;密钥类型指示符;通用公共用户标识符GPSI;消息认证码。
- 根据权利要求12所述的方法,其中,所述加密的EEC ID通过K ECS加密。
- 根据权利要求12所述的方法,其中,所述消息认证码为基于K ECS确定的MAC-I;用于所述B-TID、加密的EEC ID、GPSI和/或密钥类型指示符的完整性保护。
- 根据权利要求11所述的方法,其中,所述方法还包括:响应于接收到所述认证与授权信息,确定所述ECS所连接的网络。
- 根据权利要求15所述的方法,其中,所述方法还包括:响应于所述ECS所连接的网络标识符与所述EEC用于与ECS建立连接的公共陆地移动网络的标识符相同,且所述EEC用于与ECS建立连接的公共陆地移动网络的标识符与所述EEC的归属网络标识不同,建立与所述ECS所连接网络的连接。
- 根据权利要求16所述的方法,其中,所述方法还包括:从策略控制功能PCF获取所述EEC用于与ECS建立连接的公共陆地移动网络的标识符和/或接入类型。
- 根据权利要求16所述的方法,其中,所述方法还包括:基于B-TID确定所述EEC的归属网络标识。
- 根据权利要求15所述的方法,其中,所述方法还包括:向EEC归属网络中的Zn-Proxy发送应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID;密钥类型指示符。
- 根据权利要求19所述的方法,其中,所述方法还包括:接收所述Zn-Proxy发送的应用响应信息,其中,所述应用响应信息包括密钥K ECS和/或所述密钥K ECS的生效时间信息。
- 根据权利要求20所述的方法,其中,所述方法还包括:基于所述密钥K ECS和/或MAC-I验证所述认证与授权信息的完整性。
- 根据权利要求21所述的方法,其中,所述基于所述密钥K ECS和/或MAC-I验证所述认证与授权信息的完整性,包括:基于密钥K ECS和所述认证与授权信息,生成所述MAC-I;比较所述MAC-I和所述认证与授权信息中的MAC-I;响应于所述MAC-I和所述认证与授权信息中的MAC-I一致,确定所述认证与授权信息未被修改;或者,响应于所述MAC-I和所述认证与授权信息中的MAC-I不一致,确定所述认证与授权信息被修改。
- 根据权利要求21所述的方法,其中,所述方法还包括:响应于所述认证与授权信息被修改,终止认证与授权过程;或者,响应于所述认证与授权信息未被修改,解密ECS接收到的加密EEC ID。
- 根据权利要求23所述的方法,其中,所述方法还包括:基于解密的所述EEC ID,确定所述EEC是否有权根据预定策略执行配置请求操作;响应于确定所述EEC无权执行所述认证与授权请求操作,终止认证与授权过程。
- 根据权利要求20所述的方法,其中,所述方法还包括:响应于接收到所述K ECS,根据所述K ECS和EEC ID确定K EEC-ECS;其中,所述密钥K EEC-ECS用于执行所述EEC和所述ECS之间的相互身份认证和/或传输层安全TLS连接的建立。
- 根据权利要求25所述的方法,其中,所述方法还包括:基于所述K EEC-ECS执行EEC与ECS之间的相互身份认证和/或所述EEC和所述ECS之间的TLS连接的建立。
- 根据权利要求26所述的方法,其中,所述方法还包括:响应于EEC与ECS之间的相互身份认证成功且所述TLS连接建立,生成EEC请求服务授权的令牌。
- 根据权利要求27所述的方法,其中,所述方法还包括:向所述EEC发送所述令牌。
- 根据权利要求28所述的方法,其中,所述向所述EEC发送所述令牌,包括:通过所述TLS连接向所述EEC发送所述令牌。
- 根据权利要求29所述的方法,其中,所述令牌包括以下至少之一的信息:ECS完全限定域名FQDN;EEC身份标识ID;GPSI;预期EES服务名称;EES FQDN;有效时间;数字签名。
- 一种认证与授权方法,其中,所述方法由Zn接口代理Zn-Proxy执行,所述方法包括:接收ECS发送的应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID;密钥类型指示符。
- 根据权利要求31所述的方法,其中,所述方法还包括:向EEC的归属网络中的引导服务器功能BSF发送所述应用请求信息。
- 根据权利要求32所述的方法,其中,所述方法还包括:接收所述BSF发送的应用响应信息,其中,所述应用响应信息包括密钥K ECS和/或密钥K ECS的生效时间信息。
- 根据权利要求33所述的方法,其中,所述方法还包括:向所述ECS发送所述密钥K ECS和/或所述密钥K ECS的生效时间信息。
- 一种认证与授权方法,其中,所述方法由引导服务器功能BSF执行,所述方法包括:接收Zn-Proxy发送的应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID;密钥类型指示符。
- 根据权利要求35所述的方法,其中,所述方法还包括:基于所述应用请求信息确定密钥K ECS。
- 根据权利要求36所述的方法,其中,所述方法还包括:向所述Zn-Proxy发送应用响应信息,其中,所述应用响应信息包括所述密钥K ECS和/或所述密钥K ECS的生效时间信息。
- 一种认证与授权装置,其中,所述装置包括:发送模块,被配置为向边缘配置服务器ECS发送认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。
- 一种认证与授权装置,其中,所述装置包括:接收模块,被配置为接收边缘使能客户端EEC发送的认证与授权信息;其中,所述认证与授权信息用于请求服务授权的令牌。
- 一种认证与授权装置,其中,所述装置包括:接收模块,被配置为接收ECS发送的应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID;密钥类型指示符。
- 一种认证与授权装置,其中,所述装置包括:接收模块,被配置为接收Zn-Proxy发送的应用请求信息;其中,所述应用请求信息包括以下至少之一:ECS所接收到的B-TID;网络应用功能NAF身份标识ID;密钥类型指示符。
- 一种通信设备,其中,包括:存储器;处理器,与所述存储器连接,被配置为通过执行存储在所述存储器上的计算机可执行指令,并能够实现权利要求1至10、11至30、31至34或者35至37任一项所述的方法。
- 一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令被处理器执行后能够实现权利要求1至10、11至30、31至34或者35至37任一项所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2022/099632 WO2023240657A1 (zh) | 2022-06-17 | 2022-06-17 | 认证与授权方法、装置、通信设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117597958A true CN117597958A (zh) | 2024-02-23 |
Family
ID=89192955
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280002224.9A Pending CN117597958A (zh) | 2022-06-17 | 2022-06-17 | 认证与授权方法、装置、通信设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117597958A (zh) |
WO (1) | WO2023240657A1 (zh) |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102415116B (zh) * | 2009-05-01 | 2015-04-22 | 诺基亚公司 | 用于促进对漫游移动终端的授权的系统、方法和设备 |
CN113840283A (zh) * | 2020-06-23 | 2021-12-24 | 中兴通讯股份有限公司 | 引导认证方法、系统、电子设备和可读存储介质 |
US20230308853A1 (en) * | 2020-07-24 | 2023-09-28 | Intel Corporation | Computing workload management in next generation cellular networks |
CN115777193A (zh) * | 2020-08-04 | 2023-03-10 | 英特尔公司 | 用于边缘使能器服务器装载的边缘安全程序 |
CN114268943A (zh) * | 2020-09-16 | 2022-04-01 | 华为技术有限公司 | 授权方法及装置 |
CN114339688A (zh) * | 2020-09-25 | 2022-04-12 | 英特尔公司 | 用于ue与边缘数据网络的认证的装置和方法 |
CN116569576A (zh) * | 2020-09-30 | 2023-08-08 | 联想(北京)有限公司 | 用于移动边缘计算网络的基于密钥的认证 |
CN113840293B (zh) * | 2021-08-18 | 2023-04-18 | 华为技术有限公司 | 获取边缘服务的方法和装置 |
-
2022
- 2022-06-17 WO PCT/CN2022/099632 patent/WO2023240657A1/zh unknown
- 2022-06-17 CN CN202280002224.9A patent/CN117597958A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2023240657A1 (zh) | 2023-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6668407B2 (ja) | 移動通信システムに用いられる端末認証方法及び装置 | |
WO2017128719A1 (zh) | 接入无线局域网的方法、装置及系统 | |
CN104980919B (zh) | 网络服务信息的获取方法及设备 | |
WO2017049598A1 (zh) | 终端认证的方法及设备 | |
CN108702288B (zh) | 数据传输方法、设备及系统 | |
WO2023240657A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
WO2023240661A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
CN108712384B (zh) | 终端认证方法、装置、终端及服务器 | |
WO2023000139A1 (zh) | 传输凭证的方法、装置、通信设备及存储介质 | |
WO2024021142A1 (zh) | 应用程序接口api认证方法、装置、通信设备及存储介质 | |
CN117795905A (zh) | Api调用者认证方法以及装置、通信设备及存储介质 | |
WO2023240659A1 (zh) | 认证方法、装置、通信设备和存储介质 | |
WO2023142093A1 (zh) | Ue发现消息保护方法、装置、通信设备及存储介质 | |
WO2023231018A1 (zh) | 个人物联网pin基元凭证配置方法、装置、通信设备及存储介质 | |
WO2023245354A1 (zh) | 安全保护方法、装置、通信设备及存储介质 | |
CN116889002A (zh) | 信息处理方法、装置、通信设备及存储介质 | |
CN117581508A (zh) | 认证方法、装置、通信设备及存储介质 | |
CN117652123A (zh) | Ims会话方法、装置、通信设备及存储介质 | |
CN117413557A (zh) | 认证方法、装置、通信设备及存储介质 | |
CN117256166A (zh) | 信息处理方法及装置、通信设备及存储介质 | |
CN117597961A (zh) | 认证方法、装置、通信设备和存储介质 | |
CN117597957A (zh) | 信息处理方法及装置、通信设备及存储介质 | |
CN116391448A (zh) | 中继通信的方法、装置、通信设备及存储介质 | |
CN117643088A (zh) | 密钥生成方法及装置、通信设备及存储介质 | |
CN116349271A (zh) | 定位服务的授权方法、装置、通信设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |