CN117678255A - 边缘启用器客户端标识认证过程 - Google Patents
边缘启用器客户端标识认证过程 Download PDFInfo
- Publication number
- CN117678255A CN117678255A CN202180012574.9A CN202180012574A CN117678255A CN 117678255 A CN117678255 A CN 117678255A CN 202180012574 A CN202180012574 A CN 202180012574A CN 117678255 A CN117678255 A CN 117678255A
- Authority
- CN
- China
- Prior art keywords
- eec
- edge
- authentication
- server
- data network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 53
- 238000012795 verification Methods 0.000 claims abstract description 37
- 230000004044 response Effects 0.000 claims abstract description 17
- 238000010200 validation analysis Methods 0.000 claims abstract description 6
- 230000008569 process Effects 0.000 claims description 24
- 238000013475 authorization Methods 0.000 claims description 22
- 238000004873 anchoring Methods 0.000 claims description 2
- 230000011664 signaling Effects 0.000 description 29
- 238000010586 diagram Methods 0.000 description 25
- 230000006870 function Effects 0.000 description 17
- 230000001413 cellular effect Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 5
- 238000013459 approach Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013523 data management Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种边缘数据网络的边缘启用器服务器被配置为:接收包括边缘启用器客户端标识(EEC ID)的验证请求,其中该EEC ID唯一地识别边缘启用器客户端(EEC);确定该EEC ID是否为授权的EEC ID;以及基于该EEC ID是否被授权来提供验证响应。
Description
技术领域
本申请总体涉及无线通信,并且具体涉及边缘启用器客户端标识认证过程。
背景技术
用户装备(UE)可连接到边缘数据网络以接入边缘计算服务。边缘计算是指在生成数据的网络处执行计算和数据处理。为了建立与边缘数据网络的连接,UE可能必须通过边缘配置服务器(ECS)执行认证过程。
UE可调用应用程序客户端和边缘启用器客户端(EEC)以通过ECS执行认证过程。EEC可具有使用针对应用程序的认证和密钥管理(AKMA)过程来授权的EEC标识(EEC-ID)。AKMA过程基于针对UE生成的另一个唯一密钥(KAUSF)来生成密钥KAKMA。然而,UE可实例化多个EEC,这意味着每个EEC将具有相同的KAKMA。因此,当EEC认证基于AKMA时,将存在密钥冲突问题,因为每个EEC使用相同的KAKMA。
发明内容
一些示例性实施方案涉及一种边缘数据网络的边缘启用器服务器,其被配置为执行操作。该操作包括:接收包括边缘启用器客户端标识(EEC ID)的验证请求,其中该EEC ID唯一地识别边缘启用器客户端(EEC);确定该EEC ID是否为授权的EEC ID;以及基于该EECID是否被授权来提供验证响应。
其他示例性实施方案涉及一种边缘数据网络的边缘配置服务器,其被配置为执行操作。该操作包括:从在用户装备(UE)上实例化的边缘启用器客户端(EEC)接收应用程序注册请求,该应用程序注册请求包括EEC标识(EEC ID),其中该EEC ID唯一地识别该EEC;以及验证该EEC ID。
又一些另外示例性实施方案涉及一种核心网络的针对应用程序的认证和密钥管理(AKMA)锚定功能(AAnF),其被配置为执行操作。该操作包括:从边缘数据网络的边缘配置服务器接收认证验证请求,该认证验证请求包括边缘启用器客户端(EEC)标识(EEC ID)和用于认证EEC的其他信息;向该边缘数据网络的边缘启用器服务器(EES)发送验证请求以请求该EEC ID的认证;以及基于该EEC ID是否被授权来接收来自该EES的验证响应。
附加示例性实施方案涉及一种被配置为执行操作的用户装备(UE)的处理器。该操作包括:实例化对应于请求对边缘数据网络的接入的应用程序客户端的边缘启用器客户端(EEC),其中该EEC具有唯一地识别该EEC的EEC标识(EEC ID);生成与该应用程序客户端或EEC所请求的接入相对应的密钥;认证该EEC ID作为授权的EEC ID;以及当该EEC ID被认证时,向该边缘数据网络发送包括该EEC ID的应用程序注册请求。
附图说明
图1示出了根据各种示例性实施方案的示例性网络布置。
图2示出了根据各种示例性实施方案的示例性UE。
图3示出了根据各种示例性实施方案的用于启用边缘应用程序的架构。
图4示出了根据各种示例性实施方案的用于认证和授权过程的第一信令图,其中EEC的边缘启用器客户端(EEC)标识(EEC ID)ID由边缘启用器服务器(EES)认证。
图5示出了根据各种示例性实施方案的用于认证和授权过程的第二信令图,其中EEC的EEC ID由EES认证。
图6示出了根据各种示例性实施方案的用于认证和授权过程的信令图,其中EEC的EEC ID由UE认证。
具体实施方式
参考以下描述及相关附图可进一步理解示例性实施方案,其中类似的元件具有相同的附图标号。示例性实施方案涉及使用EEC标识(EEC-ID)来实现针对边缘启用器客户端(EEC)的认证和授权过程。
示例性实施方案是关于UE来描述的。然而,对UE的参考仅仅是出于说明的目的而提供的。示例性实施方案可与可建立与网络的连接并且被配置有用于与网络交换信息和数据的硬件、软件和/或固件的任何电子部件一起使用。因此,如本文所述的UE用于表示任何适当的电子部件。
此外,参照5G新无线电(NR)网络描述了示例性实施方案。然而,对5G NR网络的参考仅仅是出于说明的目的而提供的。示例性实施方案可与实现本文所述的用于边缘计算的功能的任何网络一起使用。因此,如本文所述的5G NR网络可表示包括与边缘计算相关联的功能的任何网络。
UE可经由5G NR网络来接入边缘数据网络。边缘数据网络可向UE提供对边缘计算服务的接入。边缘计算是指在生成数据的网络处执行计算和数据处理。与利用集中式架构的传统方法相比,边缘计算是分布式方法,其中数据处理朝向网络边缘、更靠近终端用户定位。这使得性能得以优化,延迟得以最小化。
关于边缘配置服务器(ECS)和边缘启用器服务器(EES)进一步描述了示例性实施方案。EES和ECS可执行与用于接入边缘数据网络的认证和授权过程相关的操作。然而,对ECS和ECS的参考仅是出于说明性目的而提供的。示例性实施方案可与被配置有用于与UE交换信息的硬件、软件、固件和/或云计算功能的任何电子部件一起使用。因此,如本文所述的EES和ECS用于表示驻留在网络中的任何适当的电子部件或功能。
如上所述,当通过边缘数据网络执行边缘启用器客户端(EEC)的认证时,UE可使用针对应用程序的认证和密钥管理(AKMA)过程。AKMA过程基于针对UE生成的另一个唯一密钥(KAUSF)来生成密钥(KAKMA)。然而,UE可实例化多个EEC,这意味着每个EEC将具有相同的KAKMA。因此,当EEC认证基于AKMA时,将存在密钥冲突问题,因为每个EEC使用相同的KAKMA。
在示例性实施方案中,当执行EEC的认证时,UE和边缘数据网络被配置为使用EEC标识(EEC ID)作为AKMA过程的一部分。EEC ID是由全局机构(例如,GSMA、ITU等)分配的唯一标识。这允许由UE实例化的每个EEC被单独认证以避免密钥冲突问题和对边缘网络的任何恶意攻击。
在一些示例性实施方案中,EEC ID认证在边缘数据网络中(例如,在ECS和EES之间)进行。在其他示例性实施方案中,EEC ID认证在UE处进行。下文将更详细地描述这些示例性实施方案中的每个示例性实施方案。
图1示出了根据各种示例性实施方案的示例性网络布置100。示例性网络布置100包括UE 110。本领域技术人员将理解,UE 110可为被配置为经由网络通信的任何类型的电子部件,例如,移动电话、平板电脑、台式计算机、智能电话、平板手机、嵌入式设备、可穿戴设备、Cat-M设备、Cat-M1设备、MTC设备、eMTC设备、其他类型的物联网(IoT)设备等。实际网络布置可包括由任意数量的用户使用的任意数量的UE。因此,单个UE 110的示例仅仅是出于说明的目的而提供。
UE 110可被配置为与一个或多个网络通信。在网络配置100的示例中,UE 110可与其进行无线通信的网络是5G NR无线电接入网络(RAN)120。然而,UE 110还可与其他类型的网络(例如,5G云RAN、LTE RAN、传统蜂窝网络、WLAN等)通信,并且UE 110还可通过有线连接来与网络通信。关于示例性实施方案,UE 110可与5G NR RAN 120建立连接。因此,UE 110可具有5G NR芯片组以与NR RAN 120通信。
5G NR RAN 120可以是可由网络运营商(例如,Verizon、AT&T、Sprint、T-Mobile等)部署的蜂窝网络的一部分。5G NR RAN 120可例如包括被配置为从配备有适当蜂窝芯片组的UE发送和接收通信流量的小区或基站(节点B、eNodeB、HeNB、eNBS、gNB、gNodeB、宏蜂窝基站、微蜂窝基站、小蜂窝基站、毫微微蜂窝基站等)。
在网络布置100中,5G NR RAN 120包括表示gNB的小区120A。然而,实际网络布置可包括任何数量的不同类型的小区,该不同类型的小区由任何数量的RAN进行部署。因此,出于说明的目的,只提供了具有单个小区120A的示例。
UE 110可经由小区120A连接至5G NR-RAN 120。本领域的技术人员将理解,可执行任何相关过程用于UE 110连接至5G NR-RAN 120。例如,如上所述,可使5G NR-RAN 120与特定的蜂窝提供商相关联,在提供商处,UE 110和/或其用户具有协议和凭据信息(例如,存储在SIM卡上)。在检测到5G NR-RAN 120的存在时,UE 110可传输对应的凭据信息,以便与5GNR-RAN 120相关联。更具体地,UE 110可以与特定小区(例如,小区120A)相关联。然而,如上所述,对5G NR-RAN 120的标引是为了进行示意性的说明,并且可使用任何适当类型的RAN。
网络布置100还包括蜂窝核心网络130。蜂窝核心网络130可被视为管理蜂窝网络的操作和流量的部件或功能的互连集合。在该示例中,部件包括认证服务器功能(AUSF)131、统一数据管理(UDM)132、会话管理功能(SMF)133和AKMA锚定功能(AAnF)134。应当理解,实际蜂窝核心网络可包括执行多种不同功能中的任何功能的各种其他部件。
AUSF 131可存储用于认证UE的数据并处理与认证相关的功能。AUSF 131可配备有一个或多个通信接口以与其他网络部件(例如,网络功能、RAN、UE等)通信。示例性实施方案不限于执行上述参考操作的AUSF。本领域的技术人员将理解AUSF可执行的各种不同类型的操作。此外,对单个AUSF 131的引用仅仅是为了进行示意性的说明,实际网络布置可包括任何适当数量的AUSF。
UDM 132可执行与处理订阅相关信息以支持网络对通信会话的处理相关的操作。UDM 132可配备有一个或多个通信接口以与其他网络部件(例如,网络功能、RAN、UE等)通信。示例性实施方案不限于执行上述参考操作的UDM。本领域的技术人员将理解UDM可执行的各种不同类型的操作。此外,对单个UDM 132的引用仅是为了进行示意性的说明,实际网络布置可包括任何适当数量的UDM。
SMF 133执行与会话管理相关的操作,诸如但不限于会话建立、会话释放、IP地址分配、策略和服务质量(QoS)实施等。SMF 133可配备有一个或多个通信接口以与其他网络部件(例如,网络功能、RAN、UE等)通信。示例性实施方案不限于执行上述参考操作的SMF。本领域的技术人员将理解SMF可执行的各种不同类型的操作。此外,对单个SMF 133的引用仅仅是为了进行示意性的说明,实际网络布置可包括任何适当数量的SMF。
AAnF 134针对AKMA服务启用AKMA锚定密钥(KAKMA)导出。在调用AKMA服务之前,UE110将成功地注册到蜂窝核心网络130,这导致UE的KAUSF在成功的主要认证之后存储在AUSF131和UE 110处。AUSF131认证过程由第三代合作伙伴(3GPP)标准定义并且在示例性实施方案的范围外。本领域的技术人员将理解AAnF 134可执行的各种不同类型的操作。此外,对单个AAnF 134的引用仅是为了进行示意性的说明,实际网络布置可包括任何适当数量的AAnF。
网络布置100还包括互联网140、IP多媒体子系统(IMS)150和网络服务主干160。蜂窝核心网络130管理在蜂窝网络与互联网140之间流动的流量。IMS 150通常可被描述为用于使用IP协议将多媒体服务递送至UE110的架构。IMS 150可与蜂窝核心网络130和互联网140通信以将多媒体服务提供至UE 110。网络服务主干160与互联网140和蜂窝核心网络130直接或间接通信。网络服务主干160可通常被描述为一组部件(例如,服务器、网络存储布置等),其实施一套可用于扩展UE 110与各种网络通信的功能的服务。
此外,网络布置100包括边缘数据网络170和边缘配置服务器(ECS)180。边缘数据网络170包括边缘应用程序服务器(EAS)172和边缘应用程序服务器(EES)174。关于实现UE110和ECS 180之间的认证和授权过程描述了示例性实施方案。在一些示例性实施方案中,EES 174将为认证过程的一部分。以下将关于图3更详细地描述边缘数据网络170和ECS180。本领域技术人员将理解,示出EAS 172和EES 174处于边缘数据网络170内以及ECS 180处于边缘数据网络170外仅是示例性的。这些功能中的每一者可驻留在边缘数据网络170内或外。
图2示出了根据各种示例性实施方案的示例性UE 110。将参照图1的网络布置100来描述UE 110。UE 110可包括处理器205、存储器布置210、显示设备215、输入/输出(I/O)设备220、收发器225以及其他部件230。所述其他部件230可包括例如音频输入设备、音频输出设备、功率源、数据采集设备、用于将UE 110电连接到其他电子设备的端口等。
处理器205可被配置为执行各种类型的软件。例如,处理器可执行应用程序客户端235、边缘启用器客户端(EEC)240和AKMA引擎245。应用程序客户端235可执行与在UE 110上运行的应用程序相关的操作,该UE经由网络与服务器交换应用程序数据。EEC 240可执行与建立到边缘数据网络170的连接相关的操作。如上所述,UE 110可调用多个应用程序客户端235,从而导致多个EEC 240的实例化。单个应用程序客户端235和单个EEC 240的图示仅是示例性的。AKMA引擎245执行与由UE 110实例化的每个EEC 240的认证相关的操作。以下关于图4至图6的信令图更详细地讨论了应用程序客户端235、EEC 240和AKMA引擎245的操作。
以上提到的软件由处理器205执行仅是示例性的。与软件相关联的功能也可被表示为UE 110的独立整合部件,或者可为耦接到UE 110的模块化部件,例如,具有或不具有固件的集成电路。例如,集成电路可包括用于接收信号的输入电路和用于处理信号和其他信息的处理电路。引擎也可被体现为一个应用程序或分开的多个应用程序。此外,在一些UE中,针对处理器205描述的功能性在两个或更多个处理器诸如基带处理器和应用处理器之间分担。可以按照UE的这些或其他配置中的任何配置实施示例性实施方案。
存储器布置210可以是被配置为存储与由UE 110所执行的操作相关的数据的硬件部件。显示设备215可以是被配置为向用户显示数据的硬件部件,而I/O设备220可以是使得用户能够进行输入的硬件部件。显示设备215和I/O设备220可以是独立的部件或者可被集成在一起(诸如触摸屏)。收发器225可以是被配置为建立与5G NR-RAN 120、LTE-RAN(图中未示出)、传统RAN(图中未示出)、WLAN(图中未示出)等的连接的硬件部件。因此,收发器225可在多个不同的频率或信道(例如,连续频率组)上操作。
图3示出了根据各种示例性实施方案的用于启用边缘应用程序的架构300。将参照图1的网络布置100来描述架构200。
将关于UE 110的EEC 240和ECS 180之间的认证和授权过程描述示例性实施方案。示例性过程的成功完成可在边缘数据网络170和UE 110之间的应用程序数据流量的流动之前。架构300提供了当UE 110被配置为与边缘数据网络170交换应用程序数据流量时可彼此交互的类型的部件的一般示例。以下将关于图4至图6的信令图400、500和600提供示例性认证和授权过程的具体示例。
架构300包括UE 110、核心网络130和边缘数据网络170。UE 110可经由核心网络130和各种其他部件(例如,小区120a、5G NR RAN 120、网络功能等)建立到边缘数据网络170的连接。
在架构300中,各种部件被示为经由标记成边缘-x(例如,边缘-1、边缘-2、边缘-3、边缘-4、边缘-5、边缘-6、边缘-7、边缘-8等)的参考点来连接。本领域技术人员将理解,这些参考点(例如,连接、接口)中的每一者在3GPP规范中定义。示例性架构布置300以它们在3GPP规范中定义的方式使用这些参考点。此外,虽然这些接口在整个说明书中被称为参考点,但应当理解,这些接口不需要是直接有线连接或无线连接,例如,这些接口可经由中间的硬件和/或软件部件进行通信。为了提供示例,UE 110与gNB 120A交换通信。然而,在架构300中,UE 110被示为具有通向ECS 180的连接。然而,该连接不是UE 110和ECS 180之间的直接通信链路。相反,这是通过介入硬件和软件部件来促进的连接。因此,在整个说明书中,术语“连接”、“参考点”和“接口”可互换使用以描述架构300和网络布置100中的各种部件之间的接口。
在操作期间,应用程序数据流量305可在UE 110上运行的应用程序客户端235和边缘数据网络170的EAS 172之间流动。EAS 172可经由上行链路分类器(CL)和分支点(NP)或以任何其他适当的方式通过核心网络130接入。本领域技术人员将理解与应用程序客户端和EAS 172相关的各种不同类型的操作和配置。由这些部件执行的操作超出示例性实施方案的范围。相反,这些部件包括在架构300的描述中以证明UE 110和ECS 180之间的示例性认证和授权过程可在UE 110和边缘数据网络170之间的应用程序数据流量305的流动之前。
EEC 240可被配置为提供针对应用程序客户端235的支持功能。例如,EEC 240可执行与概念相关的操作,诸如但不限于在边缘数据网络中可用的EAS(例如,EAS 172)的发现,以及可使得能够在应用程序客户端235和EAS 172之间交换应用程序数据流量305的配置信息的检索和配设。为了将EEC 240与其他EEC区分开,EEC 240可与识别EEC 240的全局唯一值(例如,EEC ID)相关联。如上所述,EEC-ID可由全局机构分配。此外,仅出于说明性目的提供了对单个应用程序客户端235和EEC 240的参考,UE 110可被配备有任何适当数量的应用程序客户端和EEC。
边缘数据网络170还可包括边缘启用器服务器(EES)174。EES 174可被配置为向EAS 172和UE 110上运行的EEC 240提供支持功能。例如,EES 174可执行与概念相关的操作,诸如但不限于配设配置以使得能够在UE 110和EAS 172之间交换应用程序数据流量305,并且向UE 110上运行的EEC 235提供与EAS 172相关的信息。本领域技术人员将理解与EES174相关的各种不同类型的操作和配置。在一些示例性实施方案中,如下所述,EES 174执行用于为ECS 180认证EEC ID的操作。此外,仅出于说明性目的提供了对包括单个EAS172和单个EES 174的边缘数据网络170的参考。在实际部署场景中,边缘数据网络可包括与任何数量的UE交互的任何适当的EAS和EES。
ECS 180可被配置为提供用于使EEC 240连接到EES 174的支持功能。例如,ECS180可执行与概念相关的操作,诸如但不限于将边缘配置信息配设到EEC 240。边缘配置信息可包括用于使EEC 240连接到EES 174的信息(例如,服务区域信息等)和用于建立与EES174的连接的信息(例如,统一资源标识符(URI))。本领域技术人员将理解与ECS相关的各种不同类型的操作和配置。
在网络架构100和启用架构300中,ECS 180被示为在边缘数据网络170和核心网络130外。然而,这仅仅是出于说明的目的而提供。ECS 180可部署在任何适当的虚拟和/或物理位置(例如,在移动网络运营商域内或第三方域内),并且经由硬件、软件和/或固件的任何适当组合来实现。
如上所指示,ECS 180和UE 110上运行的EEC 240之间的交互可在应用程序数据流量305的流动之前进行。示例性实施方案涉及UE 110和ECS180之间的认证和授权过程。具体地,认证和授权过程至少基于EEC 240的EEC ID。
图4示出了根据各种示例性实施方案的用于认证和授权过程的第一信令图400,其中EEC 240的EEC ID由EES 174认证。将关于图3的启用架构300、图2的UE 110和图1的网络布置100来描述信令图400。
信令图400包括UE 110,其包括AKMA 245和EEC 240。信令图还包括AUSF 131、UDM132、SMF 133、AAnF 134、EES 174和ECS 180。如以下将更详细地描述,EES 174将认证EEC240的EEC ID。
本领域技术人员将理解,主要认证过程(例如,5G AKA、EAP-AKA等)通常是指UE110与核心网络130之间的认证过程。在过程期间,AUSF 131可经由认证向量生成来生成凭据KAUSF。然后,KAUSF可用于主要认证过程的进一步操作。KAUSF的一些特性包括:i)可在UE 110和家庭公共陆地移动网络(HPLMN)的AUSF(例如,AUSF 131)之间共享KAUSF,并且ii)KAUSF可提供后续5G密钥层级结构的基础。
信令图400假设UE 110和核心网络130已经成功地执行了主要认证过程,并且凭据(KAUSF)是可用的。然而,仅出于说明性目的提供了对KAUSF的参考,示例性实施方案可应用于除了KAUSF之外或代替KAUSF使用的任何类似类型的3GPP凭据或者信息。
此外,出于信令图400的目的,可认为由主要认证生成的凭据无法在运营商的网络外发送。此外,还可认为UE 110已经发现边缘数据网络170并且被允许发起该示例性边缘计算认证和授权过程。
在405中,UE 110通过网络执行主要认证。如上所指示,过程可导致在UE 110与AUSF 131之间共享凭据(KAUSF)。然而,示例性实施方案不限于KAUSF的使用,可利用任何其他适当的参数。
在410中,UE 110实例化应用程序客户端235和对应的EEC 240。在信令图400中,可认为EES 174/ECS-180存储所有授权EEC ID的列表。在415中,AKMA引擎245使用例如3GPPTS 33.535中描述的AKMA过程来生成KAKMA和AKMA密钥标识符(A-KID)。如上所述,基于KAUSF来生成KAKMA。A-KID是对应于所生成的KAKMA的标识符。KAKMA和A-KID由UE 110安全地存储。在420中,AAnF 134类似地使用例如3GPP TS 33.535中描述的AKMA过程来基于KAUSF生成KAKMA和A-KID,并且安全地存储它们。
在425和430中,EEC 240从AKMA引擎245获取KAKMA。如上所述,因为KAKMA基于KAUSF,所以对于每个UE 110仅存在一个KAUSF。因此,UE 110的每个实例化EEC 240将从AKMA引擎245获取相同的KAKMA。
在435中,EEC 240根据KAKMA和EEC ID生成凭据KEDGE。由于每个EEC 240具有唯一EECID,因此UE 110的每个EEC 240的KEDGE将是唯一的,即使KAKMA对于UE 110的所有EEC 240相同也是如此。在440中,EEC使用KEDGE和EEC ID来计算MACEEC。
在445中,UE 110向ECS 180发送应用程序注册请求,该应用程序注册请求包括EECID、MACEEC和A-KID。可例如使用非接入层(NAS)或用户平面来发送应用程序注册请求。
在450中,ECS 180向EES 174发送包括EEC 240的EEC ID的EEC ID验证请求以确定该EEC ID是否被授权。在一些示例性实施方案中,EES174可具有授权EEC ID的本地存储列表。在这些示例性实施方案中,EES174将检查本地存储列表以确定EEC 240的EEC ID是否被授权。在其他示例性实施方案中,列表可远离EES 174存储,并且EES 174可访问远程存储装置以确定EEC 240的EEC ID是否被授权。
在又一些另外示例性实施方案中,列表可存储在ECS 180中,并且ECS 180可本地检查以确定EEC 240的EEC ID是否被授权。本领域技术人员将理解,当ECS 180本地存储列表时,可能不执行操作450和455(例如,ECS 180和EES 174之间的消息的交换),因为用于验证EEC ID的信息存储在ECS 180上。
在455中,EES 174向ECS 180发送EEC ID验证响应。否定响应结束过程,因为EECID未被授权且认证过程被认为是不成功的。然而,如果EEC ID被授权,则在460中,ECS 180向AAnF 134发送包括EEC ID、MACEEC和A-KID的认证验证以用于EEC认证验证。
在465中,AAnF 134使用在认证验证中发送的A-KID从ECS 180检索KAKMA。如上所述,在操作420中,独立地生成EEC 240的KAKMA和A-KID并且由AAnF 134存储它们。然后,AAnF134可根据KAKMA和EEC ID计算KEDGE,并且最终使用KEDGE和EEC ID来验证MACEEC。
如果465的由AAnF 134进行的验证成功,则在470中,AAnF 134将认证验证响应(成功)发送回ECS 180。否则,AAnF 134向ECS 180发送认证验证响应(失败)。基于验证结果,在475中,ECS 180决定是接受还是拒绝认证请求,并且向UE 110的EEC 240发送认证请求接受/拒绝。
如从上述认证和授权过程可看出,EEC 240可使用唯一EEC ID来执行过程。这允许EEC 240执行AKMA过程,同时解决有关每个UE中的多个EEC的仅单个KAKMA的问题。
图5示出了根据各种示例性实施方案的用于认证和授权过程的第二信令图500,其中EEC 240的EEC ID由EES 174认证。将关于图3的启用架构300、图2的UE 110和图1的网络布置100来描述信令图400。
信令图400包括UE 110,其包括AKMA 245和EEC 240。信令图还包括AUSF 131、UDM132、SMF 133、AAnF 134、EES 174和ECS 180。如以下将更详细地描述,EES 174将认证EEC240的EEC ID。信令图400和信令图500之间的差异如下。在信令图400中,ECS 180向EES 174发送EEC ID验证请求。在信令图500中,AAnF 134向EES 174发送EEC ID验证请求。
最初,操作505-545与图4的操作405-445相同并且因此将不会再次描述。在550中,ECS 180向AAnF 134发送包括EEC ID、MACEEC和A-KID的认证验证以用于EEC认证验证。在执行任何认证之前,在555中,AAnF134向EES 174发送包括EEC 240的EEC ID的EEC ID验证请求以确定该EEC ID是否被授权。类似于上述实施方案,在一些示例性实施方案中,EES 174可具有授权EEC ID的本地存储列表。在这些示例性实施方案中,EES 174将检查本地存储列表以确定EEC 240的EEC ID是否被授权。在其他示例性实施方案中,列表可远离EES 174存储,并且EES 174可访问远程存储装置以确定EEC 240的EEC ID是否被授权。
在560中,EES 174向AAnF 134发送EEC ID验证响应。否定响应结束过程,因为EECID未被授权且认证过程被认为是不成功的。然而,如果EEC ID被授权,则在565中,AAnF 134使用在认证验证中发送的A-KID从ECS 180检索KAKMA。然后,AAnF 134可根据KAKMA和EEC ID计算KEDGE,并且最终使用KEDGE和EEC ID来验证MACEEC。
如果565的由AAnF 134进行的验证成功,则在570中,AAnF 134将认证验证响应(成功)发送回ECS 180。否则,AAnF 134向ECS 180发送认证验证响应(失败)。基于验证结果,在575中,ECS 180决定是接受还是拒绝认证请求,并且向UE 110的EEC 240发送认证请求接受/拒绝。
类似于图4的示例,图5的信令允许EEC 240使用唯一EEC ID来执行认证和授权过程。这允许EEC 240执行AKMA过程,同时解决有关每个UE的仅单个KAKMA的问题。
图6示出了根据各种示例性实施方案的用于认证和授权过程的信令图600,其中EEC 240的EEC ID由UE 110认证。将关于图3的启用架构300、图2的UE 110和图1的网络布置100来描述信令图600。
信令图600包括UE 110,其包括AKMA 245和EEC 240。信令图还包括AUSF 131、UDM132、SMF 133、AAnF 134、EES 174和ECS 180。如以下将更详细地描述,UE 110将认证EEC240的EEC ID。
最初,操作605-620与图4的操作405-420相同并且因此将不会再次描述,具有以下例外。在610中,可存在针对EEC ID存储的一些凭据。例如,证书可存储在应用程序客户端235中或EEC 240中以用于要在后续操作中执行的认证。凭据可用于由UE 110进行的EEC ID的后续验证。
在625中,UE 110将验证包括EEC ID的EEC 240的有效性。验证的示例性方法可基于如以上针对610所描述的为每个应用程序客户端/EEC存储的证书。如果EEC 240在625中通过验证检查,则认证过程可继续到630,其中EEC可从AKMA引擎245获取KAKMA。例如,当EEC240使用密钥请求来从AKMA引擎245请求KAKMA时,AC/EEC的证书可承载在该请求中,AKMA引擎245可首先检查该证书,之后AKMA引擎245向EEC240发送KAKMA。
再次,剩余操作630-670类似于以上针对信令图400和500描述的对应操作并且因此将不会再次描述。
因此,图6的信令实现与图4和图5的信令相同的结果,不同之处在于EEC ID的认证在UE处执行而不是在EES处执行。也就是说,图6的信令允许EEC 240使用唯一EEC ID来执行认证和授权过程,同时解决有关每个UE中的多个EEC的仅单个KAKMA的问题。
本领域的技术人员将理解,可以任何合适的软件配置或硬件配置或它们的组合来实现上文所述的示例性实施方案。用于实现示例性实施方案的示例性硬件平台可包括例如具有兼容操作系统的基于Intel x86的平台、Windows OS、Mac平台和MAC OS、具有操作系统诸如iOS、Android等的移动设备。上述方法的示例性实施方案可被体现为包括存储在非暂态计算机可读存储介质上的代码行的程序,在进行编译时,该程序可在处理器或微处理器上执行。
尽管本专利申请描述了各自具有不同特征的各种实施方案的各种组合,本领域的技术人员将会理解,一个实施方案的任何特征均可以任何未被公开否定的方式与其他实施方案的特征或者在功能上或逻辑上不与本发明所公开的实施方案的设备的操作或所述功能不一致的特征相组合。
众所周知,使用个人可识别信息应遵循公认为满足或超过维护用户隐私的行业或政府要求的隐私政策和做法。具体地,应管理和处理个人可识别信息数据,以使无意或未经授权的访问或使用的风险最小化,并应当向用户明确说明授权使用的性质。
对本领域的技术人员而言将显而易见的是,可在不脱离本公开的实质或范围的前提下对本公开进行各种修改。因此,本公开旨在涵盖本公开的修改形式和变型形式,但前提是这些修改形式和变型形式在所附权利要求及其等同形式的范围内。
Claims (13)
1.一种边缘数据网络的边缘启用器服务器,所述边缘启用器服务器被配置为执行包括以下项的操作:
接收包括边缘启用器客户端标识(EEC ID)的验证请求,其中所述EEC ID唯一地识别边缘启用器客户端(EEC);
确定所述EEC ID是否为授权的EEC ID;以及
基于所述EEC ID是否被授权来提供验证响应。
2.根据权利要求1所述的边缘启用器服务器,其中从所述边缘数据网络的边缘配置服务器(ECS)接收所述验证请求。
3.根据权利要求1所述的边缘启用器服务器,其中从所述边缘数据网络通信地耦接到的核心网络的针对应用程序的认证和密钥管理(AKMA)锚定功能(AAnF)接收所述验证请求。
4.根据权利要求1所述的边缘启用器服务器,其中所述确定基于由所述边缘启用器服务器本地存储的EEC ID的授权列表。
5.根据权利要求1所述的边缘启用器服务器,其中所述确定基于远离所述边缘启用器服务器存储的EEC ID的授权列表。
6.一种边缘数据网络的边缘配置服务器,所述边缘配置服务器被配置为执行包括以下项的操作:
从在用户装备(UE)上实例化的边缘启用器客户端(EEC)接收应用程序注册请求,所述应用程序注册请求包括EEC标识(EECID),其中所述EEC ID唯一地识别所述EEC;以及
验证所述EEC ID。
7.根据权利要求6所述的边缘配置服务器,其中所述验证所述EEC ID包括以下操作:
向所述边缘数据网络的边缘启用器服务器(EES)发送验证请求以请求对所述EEC ID的认证;以及
基于所述EEC ID是否被授权,接收来自所述EES的验证响应。
8.根据权利要求6所述的边缘配置服务器,其中所述边缘配置服务器本地存储EEC ID的授权列表,并且其中所述验证所述EEC ID包括查询本地存储的EEC ID的授权列表。
9.根据权利要求6所述的边缘配置服务器,被进一步配置为执行包括以下项的操作:
当所述EEC ID被授权时,向所述边缘数据网络通信地耦接到的核心网络的针对应用程序的认证和密钥管理(AKMA)锚定功能(AAnF)发送认证验证,所述认证验证包括所述EEC ID和用于认证所述EEC的其他信息;
从所述AAnF接收认证响应;以及
当所述认证响应指示对所述EEC的成功认证时,接受来自所述EEC的所述应用程序注册请求。
10.一种核心网络的针对应用程序的认证和密钥管理(AKMA)锚定功能(AAnF),所述AAnF被配置为执行包括以下项的操作:
从边缘数据网络的边缘配置服务器接收认证验证请求,所述认证验证请求包括边缘启用器客户端(EEC)标识(EEC ID)和用于认证EEC的其他信息;
向所述边缘数据网络的边缘启用器服务器(EES)发送验证请求以请求对所述EEC ID的认证;以及
基于所述EEC ID是否被授权,接收来自所述EES的验证响应。
11.根据权利要求10所述的AAnF,被进一步配置为执行包括以下项的操作:
当所述EEC ID被授权时,使用所述EEC ID和所述其他信息来执行认证过程以认证所述EEC;以及
向所述边缘配置服务器发送基于所述认证过程的认证验证响应。
12.一种用户装备(UE)的处理器,所述处理器被配置为执行包括以下项的操作:
实例化对应于请求对边缘数据网络的接入的应用程序客户端的边缘启用器客户端(EEC),其中所述EEC具有唯一地识别所述EEC的EEC标识(EEC ID);
生成与所述应用程序客户端或EEC所请求的接入相对应的密钥;
认证所述EEC ID作为授权的EEC ID;以及
当所述EEC ID被认证时,向所述边缘数据网络发送包括所述EEC ID的应用程序注册请求。
13.根据权利要求12所述的处理器,其中所述认证所述EEC ID包括针对每个应用程序客户端或EEC存储证书,其中所述认证至少基于针对所述应用程序客户端或EEC存储的所述证书。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2021/111339 WO2023010576A1 (en) | 2021-08-06 | 2021-08-06 | Edge Enabler Client Identification Authentication Procedures |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117678255A true CN117678255A (zh) | 2024-03-08 |
Family
ID=85154213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180012574.9A Pending CN117678255A (zh) | 2021-08-06 | 2021-08-06 | 边缘启用器客户端标识认证过程 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20240251238A1 (zh) |
| EP (1) | EP4150943A4 (zh) |
| KR (1) | KR20240026240A (zh) |
| CN (1) | CN117678255A (zh) |
| WO (1) | WO2023010576A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3967067B1 (en) * | 2019-05-09 | 2024-08-07 | Samsung Electronics Co., Ltd. | Apparatus and method for providing mobile edge computing services in wireless communication system |
| KR20200130141A (ko) * | 2019-05-09 | 2020-11-18 | 삼성전자주식회사 | 무선 통신 시스템에서 모바일 엣지 컴퓨팅 서비스를 제공하기 위한 장치 및 방법 |
| CN113132897A (zh) * | 2019-12-31 | 2021-07-16 | 华为技术有限公司 | 应用实例确定的方法、装置及系统 |
| WO2021137579A1 (ko) * | 2020-01-03 | 2021-07-08 | 삼성전자 주식회사 | 에지 컴퓨팅 시스템에서 어플리케이션 컨텍스트 재배치 조정 방법 및 장치 |
-
2021
- 2021-08-06 KR KR1020247003867A patent/KR20240026240A/ko unknown
- 2021-08-06 CN CN202180012574.9A patent/CN117678255A/zh active Pending
- 2021-08-06 US US17/759,877 patent/US20240251238A1/en active Pending
- 2021-08-06 EP EP21921686.8A patent/EP4150943A4/en active Pending
- 2021-08-06 WO PCT/CN2021/111339 patent/WO2023010576A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| US20240251238A1 (en) | 2024-07-25 |
| EP4150943A1 (en) | 2023-03-22 |
| KR20240026240A (ko) | 2024-02-27 |
| EP4150943A4 (en) | 2023-11-22 |
| WO2023010576A1 (en) | 2023-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2414086C2 (ru) | Аутентификация приложения | |
| US20200195445A1 (en) | Registration method and apparatus based on service-based architecture | |
| CN110800331A (zh) | 网络验证方法、相关设备及系统 | |
| WO2020174121A1 (en) | Inter-mobile network communication authorization | |
| US11070355B2 (en) | Profile installation based on privilege level | |
| CN111630882B (zh) | 用户设备、认证服务器、介质、及确定密钥的方法和系统 | |
| WO2015061977A1 (en) | User authentication | |
| WO2022027505A1 (en) | User equipment authentication and authorization procedure for edge data network | |
| US20240187865A1 (en) | Electronic subscriber identity module transfer eligibility checking | |
| US20240187257A1 (en) | Digital letter of approval (dloa) for device compliance | |
| WO2021099675A1 (en) | Mobile network service security management | |
| CN116210252A (zh) | 接收用于边缘计算的用户同意的网络操作 | |
| WO2022174399A1 (en) | User equipment authentication and authorization procedure for edge data network | |
| Santos et al. | Cross-federation identities for IoT devices in cellular networks | |
| WO2021079023A1 (en) | Inter-mobile network communication security | |
| US20240251238A1 (en) | Edge Enabler Client Identification Authentication Procedures | |
| US11968530B2 (en) | Network authentication for user equipment access to an edge data network | |
| TWI755951B (zh) | 通訊系統及通訊方法 | |
| WO2024093923A1 (zh) | 通信方法和通信装置 | |
| CN118614095A (zh) | 边缘计算中用于认证过程的协商机制 | |
| US20240356742A1 (en) | Verification of service based architecture parameters | |
| CN118614099A (zh) | 基于tls-psk的用于接入边缘数据网络的认证机制 | |
| CN116889004A (zh) | 用于边缘数据网络重定位的认证指示 | |
| WO2023223118A1 (en) | Subscription identification in networks | |
| CN116235515A (zh) | 对用于边缘计算的用户同意的安全保护 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |