CN117597959A

CN117597959A - 认证与授权方法、装置、通信设备及存储介质

Info

Publication number: CN117597959A
Application number: CN202280002241.2A
Authority: CN
Inventors: 梁浩然; 陆伟
Original assignee: Beijing Xiaomi Mobile Software Co Ltd
Current assignee: Beijing Xiaomi Mobile Software Co Ltd
Priority date: 2022-06-17
Filing date: 2022-06-17
Publication date: 2024-02-23
Also published as: WO2023240661A1

Abstract

本公开实施例提供了一种认证与授权方法，其中，所述方法由边缘使能客户端EEC执行，所述方法包括：向边缘使能服务器EES发送认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。相较于采用无授权过程的方式，可以提升边缘服务的安全性。

Description

认证与授权方法、装置、通信设备及存储介质

技术领域

本公开涉及无线通信技术领域但不限于无线通信技术领域，尤其涉及一种认证与授权方法、装置、通信设备及存储介质。

背景技术

在无线通信技术中，需要明确如何验证和授权托管在漫游终端中的边缘使能客户端(EEC，Edge Enabler Client)以访问拜访公共陆地移动网络(VPLMN，Visited Public Land Mobile Network)中可用的边缘计算服务。漫游用户访问网络中的边缘应用，需要得到用户的归属地运营商和访问地运营商的授权。相关技术中，边缘使能服务器(EES，Edge Enabler Server)无法在漫游场景下对EEC进行认证和授权。

发明内容

本公开实施例公开了一种认证与授权方法、装置、通信设备及存储介质。

根据本公开实施例的第一方面，提供一种认证与授权方法，其中，所述方法由边缘使能客户端EEC执行，所述方法包括：

向边缘使能服务器EES发送认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。

根据本公开实施例的第二方面，提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

接收边缘使能客户端EEC发送的认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。

根据本公开实施例的第三方面，提供一种认证与授权方法，其中，所述方法由Zn接口代理Zn-Proxy执行，所述方法包括：

接收EES发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。

根据本公开实施例的第四方面，提供一种认证与授权方法，其中，所述方法由引导服务器功能BSF执行，所述方法包括：

接收Zn-Proxy发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。

根据本公开实施例的第五方面，提供一种认证与授权装置，其中，所述装置包括：

发送模块，被配置为向边缘使能服务器EES发送认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。

根据本公开实施例的第六方面，提供一种认证与授权装置，其中，所述装置包括：

接收模块，被配置为接收边缘使能客户端EEC发送的认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。

根据本公开实施例的第七方面，提供一种认证与授权装置，其中，所述装置包括：

接收模块，被配置为接收EES发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。

根据本公开实施例的第八方面，提供一种认证与授权装置，其中，所述装置包括：

接收模块，被配置为接收Zn-Proxy发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。

根据本公开实施例的第九方面，提供一种通信设备，所述通信设备，包括：

处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为：用于运行所述可执行指令时，实现本公开任意实施例所述的方法。

根据本公开实施例的第十方面，提供一种计算机存储介质，所述计算机存储介质存储有计算机可执行程序，所述可执行程序被处理器执行时实现本公开任意实施例所述的方法。

在本公开实施例中，边缘使能客户端EEC向边缘服务器EES发送认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。这里，由于所述认证与授权信息携带了用于请求所述EES授权EES服务的信息，EES在接收到该认证与授权信息后可以向所述EEC授权EES服务或者拒绝EES服务，相较于采用无授权过程的方式，可以提升边缘服务的安全性。

附图说明

图1是根据一示例性实施例示出的一种无线通信系统的结构示意图。

图2是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图3是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图4是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图5是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图6是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图7是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图8是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图9是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图10是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图11是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图12是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图13是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图14是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图15是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图16是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图17是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图18是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图19是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图20是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图21是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图22是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图23是根据一示例性实施例示出的一种认证与授权方法的流程示意图。

图23是根据一示例性实施例示出的一种认证与授权装置的结构示意图。

图24是根据一示例性实施例示出的一种认证与授权装置的结构示意图。

图25是根据一示例性实施例示出的一种认证与授权装置的结构示意图。

图26是根据一示例性实施例示出的一种认证与授权装置的结构示意图。

图27是根据一示例性实施例示出的一种终端的结构示意图。

图28是根据一示例性实施例示出的一种基站的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

出于简洁和便于理解的目的，本文在表征大小关系时，所使用的术语为“大于”或“小于”。但对于本领域技术人员来说，可以理解：术语“大于”也涵盖了“大于等于”的含义，“小于”也涵盖了“小于等于”的含义。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于移动通信技术的通信系统，该无线通信系统可以包括：若干个用户设备110以及若干个基站120。

其中，用户设备110可以是指向用户提供语音和/或数据连通性的设备。用户设备110可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，用户设备110可以是物联网用户设备，如传感器设备、移动电话和具有物联网用户设备的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程用户设备(remote terminal)、接入用户设备(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户设备(user equipment)。或者，用户设备110也可以是无人飞行器的设备。或者，用户设备110也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线用户设备。或者，用户设备110也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

基站120可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口系统或5G NR系统。或者，该无线通信系统也可以是5G系统的再下一代系统。其中，5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network，新一代无线接入网)。

其中，基站120可以是4G系统中采用的演进型基站(eNB)。或者，基站120也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站120采用集中分布式架构时，通常包括集中单元(central unit，CU)和至少两个分布单元(distributed unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体访问控制(Media Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对基站120的具体实现方式不加以限定。

基站120和用户设备110之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

在一些实施例中，用户设备110之间还可以建立E2E(End to End，端到端)连接。比如车联网通信(vehicle to everything，V2X)中的V2V(vehicle to vehicle，车对车)通信、V2I(vehicle to Infrastructure，车对路边设备)通信和V2P(vehicle to pedestrian，车对人)通信等场景。

这里，上述用户设备可认为是下面实施例的终端设备。

在一些实施例中，上述无线通信系统还可以包含网络管理设备130。

若干个基站120分别与网络管理设备130相连。其中，网络管理设备130可以是无线通信系统中的核心网设备，比如，该网络管理设备130可以是演进的数据分组核心网(Evolved Packet Core，EPC)中的移动性管理实体(Mobility Management Entity，MME)。或者，该网络管理设备也可以是其它的核心网设备，比如服务网关(Serving GateWay，SGW)、公用数据网网关(Public Data Network GateWay，PGW)、策略与计费规则功能单元(Policy and Charging Rules Function，PCRF)或者归属签约用户服务器(Home Subscriber Server，HSS)等。对于网络管理设备130的实现形态，本公开实施例不做限定。

为了便于本领域内技术人员理解，本公开实施例列举了多个实施方式以对本公开实施例的技术方案进行清晰地说明。当然，本领域内技术人员可以理解，本公开实施例提供的多个实施例，可以被单独执行，也可以与本公开实施例中其他实施例的方法结合后一起被执行，还可以单独或结合后与其他相关技术中的一些方法一起被执行；本公开实施例并不对此作出限定。

如图2所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能客户端EEC执行，所述方法包括：

步骤21、向边缘使能服务器EES发送认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。

这里，本公开所涉及的终端可以是但不限于是手机、可穿戴设备、车载终端、路侧单元(RSU，Road Side Unit)、智能家居终端、工业用传感设备和/或医疗设备等。在一些实施例中，该终端可以是Redcap终端或者预定版本的新空口NR终端(例如，R17的NR终端)。终端可以在归属网络中注册。终端可以在通用引导架构(GBA，Generic Bootstrapping Architecture)运行过程中，从所述EEC归属网络的引导服务器功能(BSF，Bootstrapping Server Function)获取B-TID。通过将EES当作网络应用功能(NAF，Network Application Function)，可以根据EES的NAF ID计算不同类型的密钥，例如，Ks_NAF、Ks_int_NAF和Ks_ext_NAF。终端可以选择上述密钥中的一种作为K _EES。在一个实施例中，终端可以根据K _EES和EEC ID推导出K _EEC-EES。K _EEC-EES可以是使用密钥导出函数(KDF，Key Derivation Function)导出，其中EEC ID用作KDF的输入参数，K _EES用作导出K _EEC-EES的密钥。

这里，边缘使能客户端EEC可以是运行在终端上的应用程序，例如，微信应用程序和微博应用程序等。

需要说明的是，本公开实施例中，EES部署在运营商域且被运营商信任；EES已获得ECS的证书或者公钥。EES和ECS可以基于无线通信网络进行无线通信。该无线通信网络可以是但不限于是4G 和5G无线通信网络，还可以是其他演进型的无线通信网络，在此不做限定。

本一个实施例中，认证与授权信息可以是用于注册的注册请求信息。

在一个实施例中，向边缘使能服务器EES发送认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。所述认证与授权信息包括以下至少之一：

会话实务标识(B-TID，Bootstrapping Transaction Identifier)；

加密的EEC身份标识ID；其中，所述加密的EEC ID是基于密钥K _EES加密的；

密钥类型指示符；其中，密钥类型指示符可以是一个字符串，例如，Ks_int_NAF，用作K _EES的密钥；

通用公共用户标识符(GPSI，Generic Public Subscription Identifier)；

消息认证码MAC-I；

服务令牌。

需要说明的是，消息认证码MAC-I用于保护以下至少之一的完整性：B-TID、加密的EEC ID、GPSI、密钥类型指示符和由EES提供的服务令牌。需要说明的是，消息认证码MAC-I是基于受保护的消息以及K _EES生成的。

需要说明的是，如果EES通过服务令牌授权EEC访问EES，ECC可以通过认证与授权信息将服务令牌发送给EES。

在一个实施例中，EEC可以是在通用引导架构(GBA，Generic Bootstrapping Architecture)运行过程中，从所述EEC归属网络的引导服务器功能(BSF，Bootstrapping Server Function)获取B-TID。

在一个实施例中，向边缘使能服务器EES发送认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。接收所述EES针对所述认证与授权信息发送的认证与授权响应信息；其中，所述认证与授权响应信息指示：EES授权所述EEC所请求的所述EES服务或者拒绝所述EEC所请求的所述EES服务。

在一个实施例中，基于密钥K _EES和EEC身份标识ID，确定密钥K _EEC-EES。基于所述密钥K _EEC-EES执行所述EEC和所述EES之间的相互身份认证EES之间的身份认证和/或传输层安全(TLS，Transport Layer Security)连接。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

如图3所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能客户端EEC执行，所述方法包括：

步骤31、接收所述EES发送的认证与授权响应信息；

其中，所述认证与授权响应信息指示：EES授权所述EEC所请求的所述EES服务或者拒绝所述EEC所请求的所述EES服务。

在一个实施例中，响应于EES授权所述EEC所请求的所述EES服务，可以获得EES服务。或者，响应于EES拒绝所述EEC所请求的所述EES服务，不能获得EES服务。

会话实务标识B-TID；

通用公共用户标识符(GPSI，Generic Public Subscription Identifier)；

消息认证码MAC-I；

服务令牌。

需要说明的是，消息认证码MAC-I用于保护以下至少之一的完整性：B-TID、加密的EEC ID、GPSI、密钥类型指示符和由EES提供的服务令牌。

在一个实施例中，基于密钥K EES和EEC身份标识ID，确定密钥K _EEC-EES。基于所述密钥K _EEC-EES执行所述EEC和所述EES之间的相互身份认证EES之间的身份认证和/或传输层安全(TLS，Transport Layer Security)连接。

如图4所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能客户端EEC执行，所述方法包括：

步骤41、基于密钥K _EES和EEC身份标识ID，确定密钥K _EEC-EES；

其中，所述密钥K _EEC-EES用于执行所述EEC和所述EES之间的相互身份认证和/或传输层安全TLS连接建立。

在一个实施例中，可以根据EES的NAF ID计算不同类型的密钥，例如，Ks_NAF、Ks_int_NAF和 Ks_ext_NAF。终端可以选择上述密钥中的一种作为K _EES。

在一个实施例中，基于密钥K _EES和EEC身份标识ID，确定密钥K _EEC-EES；基于所述密钥K _EEC-EES执行所述EEC和所述EES之间的相互身份认证EES之间的身份认证和/或传输层安全TLS连接建立。

如图5所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能客户端EEC执行，所述方法包括：

步骤51、基于所述密钥K _EEC-EES执行所述EEC和所述EES之间的相互身份认证和/或传输层安全TLS连接建立。

在一个实施例中，可以根据EES的NAF ID计算不同类型的密钥，例如，Ks_NAF、Ks_int_NAF和Ks_ext_NAF。终端可以选择上述密钥中的一种作为K _EES。基于密钥K _EES和EEC身份标识ID，确定密钥K _EEC-EES；基于所述密钥K _EEC-EES执行所述EEC和所述EES之间的相互身份认证EES之间的身份认证和/或传输层安全TLS连接建立。

如图6所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤61、接收边缘使能客户端EEC发送的认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。

需要说明的是，本公开实施例中，EES部署在运营商域且被运营商信任；EES已获得ECS的证书或者公钥。EES和ECS可以基于无线通信网络进行无线通信。该无线通信网络可以是但不限于是4G和5G无线通信网络，还可以是其他演进型的无线通信网络，在此不做限定。

本公开中，认证与授权信息可以是用于注册的注册请求信息。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。所述认证与授权信息包括以下至少之一：

会话实务标识B-TID；

通用公共用户标识符(GPSI，Generic Public Subscription Identifier)；

消息认证码MAC-I；

服务令牌。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。针对所述认证与授权信息向EEC发送认证与授权响应信息；其中，所述认证与授权响应信息指示：EES授权所述EEC所请求的所述EES服务或者拒绝所述EEC所请求的所述EES服务。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。响应于接收到所述认证与授权信息，确定所述EES所连接的网络。响应于所述EES所连接的网络标识符与所述EEC的用于与EES建立连接的公共陆地移动网标识符相同，且所述EEC的用于与EES建立连接的公共陆地移动网标识符与所述EEC的归属网络标识不同，建立与所述EES连接的网络的连接。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。响应于接收到所述认证与授权信息，确定所述EES所连接的网络。从策略控制功能PCF获取所述EEC的用于与EES建立连接的公共陆地移动网标识符和/或接入类型。响应于所述EES所连接的网络标识符与所述EEC的用于与EES建立连接的公共陆地移动网标识符相同，且所述EEC的用于与EES建立连接的公共陆地移动网标识符与所述EEC的归属网络标识不同，建立与所述EES连接的网络的连接。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。响应于接收到所述认证与授权信息，确定所述EES所连接的网络。基于B-TID确定所述EEC的归属网络标识。响应于所述EES所连接的网络标识符与所述EEC的用于与EES建立连接的公共陆地移动网标识符相同，且所述EEC的用于与EES建立连接的公共陆地移动网标识符与所述EEC的归属网络标识不同，建立与所述EES连接的网络的连接。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。响应于接收到所述认证与授权信息，确定所述EES所连接的网络。向所述EES的网络中的Zn代理(Zn-Proxy)发送应用请求信息；其中，所述应用请求信息包括以下至少之一：

EEC的B-TID；

网络应用功能NAF身份标识ID(NAF ID)；

密钥类型指示符。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。响应于接收到所述认证与授权信息，确定所述EES所连接的网络。向所述EES所连接的网络中的Zn代理(Zn-Proxy)发送应用请求信息。接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。基于所述密钥K _EES和/或MAC-I验证所述注册认证与授权信息的完整性。

在一个实施例中，接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。基于所述密钥K _EES和/或MAC-I验证所述认证与授权信息的完整性。响应于所述认证与授权信息被修改，终止请求过程；或者，响应于所述认证与授权信息未被修改，解密EES所接收到的加密EEC ID。

在一个实施例中，接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。响应于接收到所述密钥K _EES，根据所述密钥K _EES和EEC ID确定密钥K _EEC-EES。基于所述密钥K _EEC-EES执行EEC ID认证和/或所述EEC和所述EES之间的TLS连接的建立。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。响应于接收到所述密钥K _EES，根据所述密钥K _EES和EEC ID确定密钥K _EEC-EES。基于所述密钥K _EEC-EES执行EEC ID认证和/或所述EEC和所述EES之间的TLS连接的建立。基于预先配置的策略和/或EEC提供的服务令牌执行所述EES和EEC之间的EES服务授权操作。

在一个实施例中，所述服务令牌包括以下至少之一的信息：

ECS完全限定域名FQDN；

EEC身份标识ID；

GPSI；

预期EES服务名称；

EES FQDN；

有效时间；

数字签名。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。响应于接收到所述密钥K _EES，根据所述密钥K _EES和EEC ID确定密钥K _EEC-EES。基于所述密钥K _EEC-EES执行EEC ID认证和/或所述EEC和所述EES之间的TLS连接的建立。响应于所述注册认证与授权信息与所述预配置策略匹配，授权所述EEC请求的EES服务。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。响应于接收到所述密钥K _EES，根据所述密钥K _EES和EEC ID确定密钥K _EEC-EES。基于所述密钥K _EEC-EES执行EEC ID认证和/或所述EEC和所述EES之间的TLS连接的建立。检查所述服务令牌是否过期；响应于所述服务令牌未过期，使用所述ECS的公钥或证书验证令牌中的ECS数字签名；或者，响应于所述服务器令牌过期，拒绝所述认证与授权信息。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。响应于接收到所述密钥K _EES，根据所述密钥K _EES和EEC ID确定密钥K _EEC-EES。基于所述密钥K _EEC-EES执行EEC ID认证和/或所述EEC和所述EES之间的TLS连接的建立。检查所述服务令牌是否过期；响应于所述服务令牌未过期，使用所述ECS的公钥或证书验证令牌中的ECS数字签名；或者，响应于所述服务器令牌过期，拒绝所述认证与授权信息。响应于所述ECS数字签名验证成功，基于所述服务令牌验证所述预定信息；其中，所述预定信息包括以下至少之一的信息：EEC ID、GPSI和请求的EES的服务名称。响应于所述服务令牌与所述预定信息匹配，授权所述EEC请求的EES服务。

如图7所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤71、响应于接收到所述认证与授权信息，确定所述EES所连接的网络。

如图8所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤81、响应于所述EES所连接的网络标识符与所述EEC的用于与EES建立连接的公共陆地移动网标识符相同，且所述EEC的用于与EES建立连接的公共陆地移动网标识符与所述EEC的归属网络标识不同，建立与所述EES连接的网络的连接。

步骤81部分的说明请具体参见步骤71部分描述，在此不再赘述。

如图9所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤91、向所述EES的网络中的Zn-Proxy发送应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EEC的B-TID；

网络应用功能NAF身份标识ID(NAF ID)；

密钥类型指示符。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。响应于接收到所述认证与授权信息，确定所述EES所连接的网络。向所述EES的网络中的Zn代理(Zn-Proxy)发送应用请求信息。接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。

如图10所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤101、接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。

其中，所述认证与授权信息应用认证与授权信息包括以下至少之一：

EEC的B-TID；

网络应用功能NAF身份标识ID(NAF ID)；

密钥类型指示符。

如图11所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤11、基于所述密钥K _EES和/或MAC-I验证所述认证与授权信息的完整性。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。响应于接收到所述认证与授权信息，确定所述EES所连接的网络。向所述EES的网络中的Zn代理(Zn-Proxy)发送应用请求信息。接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。基于所述密钥K _EES和/或MAC-I验证所述认证与授权信息的完整性。

其中，所述应用请求信息包括以下至少之一：

EEC的B-TID；

网络应用功能NAF身份标识ID(NAF ID)；

密钥类型指示符。

如图12所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤121、响应于认证与授权信息被修改，终止请求过程；

或者，

响应于认证与授权信息未被修改，解密EES所接收到的加密EEC ID。

在一个实施例中，接收边缘使能客户端EEC发送的认证与授权信息；其中，所述认证与授权信息用于请求所述EES授权EES服务。响应于接收到所述认证与授权信息，确定所述EES所连接的网络。向所述EES的网络中的Zn代理(Zn-Proxy)发送应用请求信息。接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。基于所述密钥K _EES和/或MAC-I验证所述认证与授权信息的完整性。响应于所述认证与授权信息被修改，终止请求过程；或者，响应于所述认证与授权信息未被修改，解密EES所接收到的加密EEC ID。

EEC的B-TID；

网络应用功能NAF身份标识ID(NAF ID)；

密钥类型指示符。

如图13所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤131、响应于接收到所述密钥K _EES，根据所述密钥K _EES和EEC ID确定密钥K _EEC-EES；其中，所述密钥K _EEC-EES用于执行EEC与EES之间的相互身份认证和/或所述EEC和所述EES之间的TLS连接的建立。

在一个实施例中，接收所述Zn-Proxy发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。响应于接收到所述密钥K _EES，根据所述密钥K _EES和EEC ID确定密钥K _EEC-EES，其中，所述密钥KEEC-EES用于执行EEC与EES的相互认证和/或所述EEC和所述EES之间的TLS连接的建立。基于所述密钥K _EEC-EES执行EEC ID认证和/或所述EEC和所述EES之间的TLS连接的建立。

如图14所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤141、基于所述密钥K _EEC-EES执行EEC ID认证和/或所述EEC和所述EES之间的TLS连接的建立。

步骤141的说明请具体参见步骤131部分的说明，在此不再赘述。

如图15所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤151、基于所述密钥K _EEC-EES执行EEC ID认证和/或所述EEC和所述EES之间的TLS连接的建立。

在一个实施例中，所述服务令牌包括以下至少之一的信息：

ECS完全限定域名FQDN；

EEC身份标识ID；

GPSI；

预期EES服务名称；

EES FQDN；

有效时间；

数字签名。

如图16所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤161、响应于所述认证与授权信息与所述预配置策略匹配，授权所述EEC请求的EES服务。

如图17所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤171、检查所述服务令牌是否过期；

步骤172、响应于所述服务令牌未过期，使用所述ECS的公钥或证书验证令牌中的ECS数字签名；或者，响应于所述服务器令牌过期，拒绝所述认证与授权信息。

如图18所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤181、响应于所述ECS数字签名验证成功，基于所述服务令牌验证所述预定信息；其中，所述预定信息包括以下至少之一的信息：EEC ID、GPSI和请求的EES的服务名称。

如图19所示，本实施例中提供一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

步骤191、向所述EEC发送认证与授权响应信息；

如图20所示，本实施例中提供一种认证与授权方法，其中，所述方法由Zn接口代理Zn-Proxy执行，所述方法包括：

步骤201、接收EES发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。

在一个实施例中，接收EES发送的应用请求信息；其中，所述应用请求信息包括以下至少之一：EES的B-TID；网络应用功能NAF身份标识ID；密钥类型指示符。向EEC的归属网络中的引导服务器功能BSF发送所述应用请求信息。接收所述BSF发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。向所述EES发送应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。

如图21所示，本实施例中提供一种认证与授权方法，其中，所述方法由引导服务器功能BSF执行，所述方法包括：

步骤211、接收Zn-Proxy发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。

在一个实施例中，接收Zn-Proxy发送的应用请求信息；其中，所述应用请求信息包括以下至少之一：EES的B-TID；网络应用功能NAF身份标识ID；密钥类型指示符。基于所述应用请求信息确定密钥K _EES。向所述Zn-Proxy发送应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。

为了更好地理解本公开实施例，以下通过一个示例性实施例对本公开技术方案做进一步说明：

示例1：

请参见图22、本实施例中提供一种认证与授权方法，包括：

步骤2201、执行GBA流程。UE在归属网络中注册。UE在GBA过程中从归属网络中的BSF获得B-TID。通过将ECS视为NAF，UE可以根据EES的NAF ID计算Ks_NAF、Ks_int_NAF和Ks_ext_NAF。UE选择其中之一作为K _EES。UE可以根据K _EES和EEC ID推导出K _EEC-EES。K _EEC-EES可以使用TS 33.220附件B中定义的KDF导出，其中EEC ID用作输入参数，K _EES用作用于导出K _EEC-EES的密钥。

步骤2202、发送认证与授权信息。EEC向EES发送认证与授权信息。该认证与授权信息包括B-TID、加密的EEC ID和密钥类型指示符，其中，EEC ID由K _EES加密。密钥指示符是一个字符串(例如，“Ks_int_NAF”)，用于指示用作K _EES的密钥。EEC也可以通过供应请求向EES发送GPSI。如果ECS通过服务令牌授权EEC访问EES，ECC将通过认证与授权信息将服务令牌发送给EES。MAC-I是消息验证码，用于B-TID、加密的EEC ID、GPSI(如果提供)、密钥类型指示符和服务令牌(如果由ECS提供)的完整性保护。

步骤2203、Zn-Proxy选择。EES收到认证与授权信息后，根据B-TID检测UE的归属网络。如果EES的PLMN和UE的家乡PLMN不同，EES需要连接到自己PLMN中的Zn-Proxy。

步骤2204、EES发送应用请求。EES需要向Zn-Proxy发送应用请求。应用请求包括EES的B-TID、NAF ID和关键指标。

步骤2205、Zn-Proxy发送应用请求。Zn-Proxy向UE归属网络中的BSF发送应用请求。应用请求包括EES的B-TID、NAF ID和关键指标。

步骤2206、应用响应。BSF根据EES的B-TID、NAF ID和关键指标推导出KEES。BSF将KEES和相应的过期时间发送给Zn-Proxy。

步骤2207、应用响应。Zn-Proxy将K _EES和K _EES过期时间发送给EES。

步骤2208、完整性验证。EES利用K _EES和MAC-I来验证认证与授权信息的完整性。如果认证与授权信息被修改，EES终止供应请求过程。否则，EES解密EES所接收到的加密EEC ID。

步骤2209、获取K _EEC-EES。在收到K _EES后，EES根据K _EES和EEC ID推导出K _EEC-EES。K _EEC-EES可以使用TS 33.220附件B中定义的KDF导出，其中EEC ID用作输入参数，K _EES用作用于导出K _EEC-EES的密钥。

步骤2210、基于K _EEC-EES可以实现EEC ID认证和TLS连接。其中，K _EEC-EES作为NAF密钥。

步骤2211、令牌验证。EES为请求的服务授权EEC。EEC授权基于预先配置的策略或EEC提供的令牌进行处理。对于基于预配置策略的EEC授权案例，如果EEC注册请求消息与预配置策略匹配，则EES对EEC进行授权。对于基于令牌的EEC授权案例，EES首先检查令牌是否过期。如果令牌未过期，EES使用ECS的公钥或证书验证令牌中的ECS数字签名。否则，EES拒绝该请求。如果成功验证了令牌中的ECS数字签名，EES将根据令牌声明检查EEC ID、GPSI(如果提供)和请求的EES服务名称。如果信息匹配，EES授权EEC访问请求的服务。否则，EES拒绝该请求。

步骤2212、EES通过EEC认证与授权响应信息发送授权结果。

如图23所示，本实施例中提供一种认证与授权装置，其中，所述装置包括：

发送模块231，被配置为向边缘使能服务器EES发送认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。

如图24所示，本实施例中提供一种认证与授权装置，其中，所述装置包括：

接收模块241，被配置为接收边缘使能客户端EEC发送的认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。

如图25所示，本实施例中提供一种认证与授权装置，其中，所述装置包括：

接收模块251，被配置为接收EES发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。

如图26所示，本实施例中提供一种认证与授权装置，其中，所述装置包括：

接收模块261，被配置为接收Zn-Proxy发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。

本公开实施例提供一种通信设备，通信设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，处理器被配置为：用于运行可执行指令时，实现应用于本公开任意实施例的方法。

其中，处理器可包括各种类型的存储介质，该存储介质为非临时性计算机存储介质，在通信设备掉电之后能够继续记忆存储其上的信息。

处理器可以通过总线等与存储器连接，用于读取存储器上存储的可执行程序。

本公开实施例还提供一种计算机存储介质，其中，计算机存储介质存储有计算机可执行程序，可执行程序被处理器执行时实现本公开任意实施例的方法。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

如图27所示，本公开一个实施例提供一种终端的结构。

参照图27所示终端800本实施例提供一种终端800，该终端具体可是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图27，终端800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制终端800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在终端800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为终端800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为终端800生成、管理和分配电力相关联的组件。

多媒体组件808包括在终端800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当终端800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为终端800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如组件为终端800的显示器和小键盘，传感器组件814还可以检测终端800或终端800中的一个组件的位置改变，用户与终端800接触的存在或不存在，终端800方位或加速/减速和终端800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于终端800和其他设备之间有线或无线方式的通信。终端800可以接入基于通信标准的无线网络，如Wi-Fi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，终端800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由终端800的处理器820执行以完成上述方法。例如，非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

如图28所示，本公开一实施例示出一种基站的结构。例如，基站900可以被提供为一网络侧设备。参照图28，基站900包括处理组件922，其进一步包括一个或多个处理器，以及由存储器932所代表的存储器资源，用于存储可由处理组件922的执行的指令，例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件922被配置为执行指令，以执行上述方法前述应用在所述基站的任意方法。

基站900还可以包括一个电源组件926被配置为执行基站900的电源管理，一个有线或无线网络接口950被配置为将基站900连接到网络，和一个输入输出(I/O)接口958。基站900可以操作基于存储在存储器932的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

一种认证与授权方法，其中，所述方法由边缘使能客户端EEC执行，所述方法包括：

向边缘使能服务器EES发送认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。
根据权利要求1所述的方法，其中，所述方法还包括：

接收所述EES发送的认证与授权响应信息；

其中，所述认证与授权响应信息指示：EES授权所述EEC所请求的所述EES服务或者拒绝所述EEC所请求的所述EES服务。
根据权利要求1所述的方法，其中，所述认证与授权信息包括以下至少之一：

会话实务标识B-TID；

加密的EEC ID；

密钥类型指示符；

通用公共用户标识符GPSI；

消息认证码；

服务令牌。
根据权利要求3所述的方法，其中，所述加密的EEC ID通过K _EES加密。
根据权利要求3所述的方法，其中，所述消息认证码为基于K _EES确定的消息认证码MAC-I；用于所述B-TID、加密的EEC ID、GPSI和/或密钥类型指示符的完整性保护。
根据权利要求3所述的方法，其中，所述加密的EEC ID是基于密钥K _EES加密的。
根据权利要求1所述的方法，其中，所述方法还包括：

在通用引导架构GBA运行过程中，从归属网络的引导服务器功能BSF获取B-TID。
根据权利要求1所述的方法，其中，所述方法还包括：

基于密钥K _EES和EEC身份标识ID，确定密钥K _EEC-EES；其中，所述密钥K _EEC-EES用于执行所述EEC和所述EES之间的相互身份认证和/或传输层安全TLS连接建立。
根据权利要求1所述的方法，其中，所述方法还包括：

基于所述密钥K _EEC-EES执行所述EEC和所述EES之间的相互身份认证EES之间的身份认证和/或传输层安全TLS连接建立。
一种认证与授权方法，其中，所述方法由边缘使能服务器EES执行，所述方法包括：

接收边缘使能客户端EEC发送的认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。
根据权利要求10所述的方法，其中，所述认证与授权信息包括以下至少之一：

会话实务标识B-TID；

加密的EEC ID；

密钥类型指示符；

通用公共用户标识符GPSI；

消息认证码；

服务令牌。
根据权利要求11所述的方法，其中，所述加密的EEC ID通过K _EES加密。
根据权利要求11所述的方法，其中，所述消息认证码为基于K _EES确定的MAC-I；用于所述B-TID、加密的EEC ID、GPSI和/或密钥类型指示符的完整性保护。
根据权利要求10所述的方法，其中，所述方法还包括：

响应于接收到所述认证与授权信息，确定所述EES连接的网络。
根据权利要求14所述的方法，其中，所述方法还包括：

响应于所述EES所连接的网络标识符与所述EEC用于与EES建立连接的公共陆地移动网标识符相同，且所述EEC用于与EES建立连接的公共陆地移动网标识符与所述EEC的归属网络标识不同，建立与所述EES连接的网络的连接。
根据权利要求15所述的方法，其中，所述方法还包括：

从策略控制功能PCF获取所述EEC用于与EES建立连接的公共陆地移动网标识符和/或接入类型。
根据权利要求15所述的方法，其中，所述方法还包括：

基于B-TID确定所述EEC的归属网络标识。
根据权利要求14所述的方法，其中，所述方法还包括：

向所述EES的网络中的Zn-Proxy发送应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EEC的B-TID；

网络应用功能NAF身份标识ID(NAF-ID)；

密钥类型指示符。
根据权利要求18所述的方法，其中，所述方法还包括：

接收所述Zn-Proxy发送的应用认证与授权响应信息，其中，所述应用认证与授权响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。
根据权利要求19所述的方法，其中，所述方法还包括：

基于所述密钥K _EES和/或MAC-I验证所述认证与授权信息的完整性。
根据权利要求20所述的方法，其中，所述方法还包括：

响应于所述认证与授权信息被修改，终止认证与授权过程；

或者，

响应于所述认证与授权信息未被修改，解密EES所接收到的加密EEC ID。
根据权利要求19所述的方法，其中，所述方法还包括：

响应于接收到所述密钥K _EES，根据所述密钥K _EES和EEC ID确定密钥K _EEC-EES；其中，所述密钥K _EEC-EES用于执行EEC与EES之间的相互身份认证和/或所述EEC和所述EES之间的TLS连接的建立。
根据权利要求22所述的方法，其中，所述方法还包括：

基于所述密钥K _EEC-EES执行EEC ID认证和/或所述EEC和所述EES之间的TLS连接的建立。
根据权利要求23所述的方法，其中，所述方法还包括：

基于预先配置的策略和/或EEC提供的服务令牌执行所述EES和EEC之间的EES服务授权操作。
根据权利要求24所述的方法，其中，所述服务令牌包括以下至少之一的信息：

ECS完全限定域名FQDN；

EEC身份标识ID；

GPSI；

预期EES服务名称；

EES FQDN；

有效时间；

数字签名。
根据权利要求24所述的方法，其中，所述基于预先配置的策略执行所述EES和EEC之间的EES服务授权操作，包括：

响应于所述认证与授权信息与所述预配置策略匹配，授权所述EEC请求的EES服务。
根据权利要求24所述的方法，其中，所述基于EEC提供的服务令牌执行所述EES和EEC之间的EES服务授权操作，包括：

检查所述服务令牌是否过期；

响应于所述服务令牌未过期，使用所述ECS的公钥或证书验证令牌中的ECS数字签名；或者，响应于所述服务器令牌过期，拒绝所述认证与授权信息。
根据权利要求27所述的方法，其中，所述方法还包括：

响应于所述ECS数字签名验证成功，基于所述服务令牌验证所述预定信息；其中，所述预定信息包括以下至少之一的信息：EEC ID、GPSI和请求的EES的服务名称。
根据权利要求28所述的方法，其中，所述方法还包括：

响应于所述服务令牌与所述预定信息匹配，授权所述EEC请求的EES服务。
根据权利要求10所述的方法，其中，所述方法还包括：

向所述EEC发送认证与授权响应信息；

其中，所述认证与授权响应信息指示：EES授权所述EEC所请求的所述EES服务或者拒绝所述EEC所请求的所述EES服务。
一种认证与授权方法，其中，所述方法由Zn接口代理Zn-Proxy执行，所述方法包括：

接收EES发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。
根据权利要求31所述的方法，其中，所述方法还包括：

向EEC的归属网络中的引导服务器功能BSF发送所述应用请求信息。
根据权利要求32所述的方法，其中，所述方法还包括：

接收所述BSF发送的应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。
根据权利要求33所述的方法，其中，所述方法还包括：

向所述ECS发送应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。
一种认证与授权方法，其中，所述方法由引导服务器功能BSF执行，所述方法包括：

接收Zn-Proxy发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。
根据权利要求35所述的方法，其中，所述方法还包括：

基于所述应用请求信息确定密钥K _EES。
根据权利要求36所述的方法，其中，所述方法还包括：

向所述Zn-Proxy发送应用响应信息，其中，所述应用响应信息包括密钥K _EES和/或所述密钥K _EES的生效时间信息。
一种认证与授权装置，其中，所述装置包括：

发送模块，被配置为向边缘使能服务器EES发送认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。
一种认证与授权装置，其中，所述装置包括：

接收模块，被配置为接收边缘使能客户端EEC发送的认证与授权信息；

其中，所述认证与授权信息用于请求所述EES授权EES服务。
一种认证与授权装置，其中，所述装置包括：

接收模块，被配置为接收EES发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。
一种认证与授权装置，其中，所述装置包括：

接收模块，被配置为接收Zn-Proxy发送的应用请求信息；

其中，所述应用请求信息包括以下至少之一：

EES的B-TID；

网络应用功能NAF身份标识ID；

密钥类型指示符。
一种通信设备，其中，包括：

存储器；

处理器，与所述存储器连接，被配置为通过执行存储在所述存储器上的计算机可执行指令，并能够实现权利要求1至9、10至30、31至34或者35至37任一项所述的方法。
一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令被处理器执行后能够实现权利要求1至9、10至30、31至34或者35至37任一项所述的方法。