CN118451687A - 边缘使能器客户端(eec)的基于类型的认证 - Google Patents
边缘使能器客户端(eec)的基于类型的认证 Download PDFInfo
- Publication number
- CN118451687A CN118451687A CN202280086074.4A CN202280086074A CN118451687A CN 118451687 A CN118451687 A CN 118451687A CN 202280086074 A CN202280086074 A CN 202280086074A CN 118451687 A CN118451687 A CN 118451687A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- credential
- eec
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 153
- 238000004891 communication Methods 0.000 claims description 92
- 238000012545 processing Methods 0.000 claims description 55
- 230000004044 response Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 11
- 230000000153 supplemental effect Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 76
- 230000015654 memory Effects 0.000 description 42
- 238000013475 authorization Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 23
- 238000007726 management method Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 22
- 230000005540 biological transmission Effects 0.000 description 21
- 230000008901 benefit Effects 0.000 description 15
- 238000005259 measurement Methods 0.000 description 11
- 230000010267 cellular communication Effects 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 210000004027 cell Anatomy 0.000 description 6
- 230000003993 interaction Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000001413 cellular effect Effects 0.000 description 5
- 238000001537 electron coincidence spectroscopy Methods 0.000 description 5
- 230000006855 networking Effects 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 4
- 239000000463 material Substances 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000012384 transportation and delivery Methods 0.000 description 3
- 210000001956 EPC Anatomy 0.000 description 2
- 241001465754 Metazoa Species 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000003416 augmentation Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 101150119040 Nsmf gene Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004378 air conditioning Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- DJGAAPFSPWAYTJ-UHFFFAOYSA-M metamizole sodium Chemical compound [Na+].O=C1C(N(CS([O-])(=O)=O)C)=C(C)N(C)N1C1=CC=CC=C1 DJGAAPFSPWAYTJ-UHFFFAOYSA-M 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 239000000779 smoke Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开的实施例包括用于边缘数据网络中的客户端的方法。这样的方法包括:在接入边缘数据网络之前获得初始接入凭证。初始接入凭证包括或基于以下中的一项或多项:客户端是合法客户端的指示,以及与客户端相关联的客户端类型。这样的方法包括:基于传输层安全性TLS,与边缘数据网络的服务器建立第一连接;基于服务器证书,经由第一连接来认证服务器;以及经由第一连接向服务器提供初始接入凭证,以用于认证客户端。其他实施例包括用于服务器和用于凭证提供者的补充方法,以及被配置为执行这样的方法的UE、网络节点和/或计算系统。
Description
技术领域
本公开一般地涉及无线通信网络领域,并且更具体地,涉及“边缘计算”技术,该技术促进靠近提供和消费数据的用户和/或设备的执行环境,而不是在集中的公共网络云中的执行环境。
背景技术
当前,第五代(“5G”)蜂窝系统(也被称为新无线电(NR))正在第三代合作伙伴计划(3GPP)中进行标准化。NR的开发旨在实现最大的灵活性以支持多种截然不同的用例。这些用例包括增强型移动宽带(eMBB)、机器型通信(MTC)、超可靠低延迟通信(URLLC)、副链路设备对设备(D2D)和几个其他用例。
图1示出了包括下一代RAN(NG-RAN)199和5G核心(5GC)198的示例性5G网络架构的高级视图。NG-RAN 199可以包括经由一个或多个NG接口连接到5GC的一个或多个gNodeB(gNB),例如分别经由接口102、152连接的gNB 100、150。更具体地,gNB 100、150可以经由相应的NG-C接口被连接到5GC 198中的一个或多个接入和移动性管理功能(AMF)。类似地,gNB100、150可以经由相应的NG-U接口被连接到5GC 198中的一个或多个用户面功能(UPF)。各种其他网络功能(NF)可以被包括在5GC 198中,如下面更详细地描述的那样。
此外,gNB可以经由一个或多个Xn接口(例如gNB 100与150之间的Xn接口140)彼此连接。NG-RAN的无线电技术通常被称为“新无线电”(NR)。关于到UE的NR接口,每个gNB可以支持频分双工(FDD)、时分双工(TDD)或其组合。每个gNB可以服务包括一个或多个小区的地理覆盖区域,以及在一些情况下,还可以使用各种定向波束来提供相应小区中的覆盖。
NG-RAN 199被分层成无线电网络层(RNL)和传输网络层(TNL)。NG-RAN架构(即,NG-RAN逻辑节点和它们之间的接口)被定义为RNL的一部分。对于每个NG-RAN接口(NG、Xn、F1),指定了相关的TNL协议和功能。TNL针对用户面传输和信令传输提供服务。在一些示例性配置中,每个gNB被连接到“AMF区域”内的所有5GC节点,其中术语“AMF”将在下面更详细地描述。
图1中所示的NG RAN逻辑节点包括中央单元(CU或gNB-CU)和一个或多个分布式单元(DU或gNB-DU)。例如,gNB 100包括gNB-CU 110以及gNB-DU 120和130。CU(例如gNB-CU110)是逻辑节点,其托管高层协议并且执行各种gNB功能(例如控制DU的操作)。DU(例如gNB-DU 120、130)是分散逻辑节点,其托管低层协议并且可以取决于功能划分选项而包括gNB功能的各种子集。因此,CU和DU中的每一个可以包括执行它们的相应功能所需的各种电路,包括处理电路、收发机电路(例如用于通信)和电源电路。
gNB-CU通过相应的F1逻辑接口(例如图1中所示的接口122和132)连接到一个或多个gNB-DU。但是,gNB-DU可以仅被连接到单个gNB-CU。gNB-CU和所连接的gNB-DU仅作为gNB对其他gNB和5GC可见。换句话说,F1接口在gNB-CU之外不可见。
5G网络中(例如5GC中)的另一个变化是在先前世代的网络中发现的传统对等接口和协议被基于服务的架构(SBA)修改和/或取代,在SBA中,网络功能(NF)向一个或多个服务消费者提供一个或多个服务。这可以例如通过超文本传输协议/表述性状态传输(HTTP/REST)应用编程接口(API)来完成。一般而言,各种服务是自包含的功能,其可以以独立方式被改变和修改而不影响其他服务。这种SBA模型还采用了诸如NF的模块化、可重用性和自包含之类的原理,这可以使得部署能够利用最新的虚拟化和软件技术。
此外,服务包括各种“服务操作”,这些服务操作是整体服务功能的更细粒度划分。服务消费者与生产者之间的交互可以是“请求/响应”或“订阅/通知”类型。在5G SBA中,网络储存库功能(NRF)允许每个网络功能发现由其他网络功能提供的服务,而数据存储功能(DSF)允许每个网络功能存储它的上下文。
3GPP Rel-16引入了一种被称为应用的认证和密钥管理(AKMA)的特征,其基于5G中的3GPP用户凭证,包括物联网(IoT)用例。更具体地,AKMA利用用户的AKA(认证和密钥协商)凭证来引导UE与应用功能(AF)之间的安全性,这允许UE与应用服务器安全地交换数据。AKMA架构可以被视为在3GPP Rel-15中针对5GC指定的GBA(通用引导架构)的演进,并且在3GPP TS 33.535(v16.0.0)中被进一步指定。
预计5GC将支持边缘计算(EC),这使运营商和第三方服务能够在UE的连接接入点的附近被托管。这可以通过减少传输网络上的端到端延迟和负载来促进有效的服务传送。5GC可以选择UE附近的用户面功能(UPF),并且执行经由N6接口从UPF引导到本地数据网络的业务。下面将更详细地讨论UPF和N6两者。
3GPP TR 23.748(v17.0.0)讨论了在用于3GPP Rel-17的5GC中支持EC可能需要的架构增强。此外,3GPP TR 33.839(v0.7.0)讨论了在用于3GPP Rel-17的5GC中增强对EC的支持的安全方面的研究。在3GPP TR 33.839(v0.7.0)中讨论的关键问题包括用于客户端与服务器之间的接口以及用于边缘数据网络中不同服务器之间的接口的认证、授权和传输安全性解决方案。这些服务器可以包括边缘配置服务器(ECS)、边缘使能器服务器(EES)、以及边缘应用服务器(EAS)。相关客户端包括边缘使能器客户端(EEC),其可以被视为在UE上运行并且与ECS和EES通信的应用。
在3GPP TR 33.839(v0.7.0)中讨论了这些和其他问题的各种解决方案,并且在边缘计算安全性的规范3GPP标准的制定中(例如在3GPP SA3中)提出了其他解决方案。
发明内容
但是,用于EEC认证的当前解决方案具有各种困难、问题和/或缺点。例如,这些解决方案中的许多解决方案都依赖于EEC标识符(EEC ID)的认证,这给认证过程增加了不必要的复杂性。
相应地,本公开的实施例解决了与安全性相关的这些和其他难题、问题和/或困难,从而使与5G网络相关的EC解决方案的部署能够具有其他优势。
本公开的一些实施例包括用于边缘数据网络(例如5G网络)中的客户端(例如EEC)的方法(例如过程)。
这些示例性方法可以包括:在接入所述边缘数据网络之前获得初始接入凭证。所述初始接入凭证包括或基于以下中的一项或多项:所述客户端是合法客户端的指示,以及与所述客户端相关联的客户端类型。在一些实施例中,所述初始接入凭证还包括或还基于所述客户端的标识符。这些示例性方法还可以包括:基于传输层安全性TLS,与所述边缘数据网络的服务器建立第一连接。这些示例性方法还可以包括:基于服务器证书,经由所述第一连接来认证所述服务器。这些示例性方法还可以包括:经由所述第一连接向所述服务器提供所述初始接入凭证,以用于认证所述客户端。
在一些实施例中,这些示例性方法还可以包括:在基于所述初始接入凭证来认证所述客户端之后,经由所述第一连接从所述服务器接收第二接入凭证。所述第二接入凭证包括或基于以下中的一项或多项:所述客户端是合法客户端的所述指示,与所述客户端相关联的所述客户端类型,以及所述客户端的标识符。
在这些实施例的一些实施例中,这些示例性方法还可以包括:基于TLS,与所述服务器建立第二连接;基于服务器证书,经由所述第二连接来认证所述服务器;以及经由所述第二连接向所述服务器提供所述第二接入凭证,以用于认证所述客户端。在一些变型中,这些示例性方法还可以包括:在基于所述第二接入凭证来认证所述客户端之后,经由所述第二连接从所述服务器接收第三接入凭证。所述第三接入凭证包括或基于以下中的一项或多项:所述客户端是合法客户端的所述指示,与所述客户端相关联的所述客户端类型,以及所述客户端的所述标识符。
在一些实施例中,所述客户端是边缘使能器客户端EEC,以及所述初始接入凭证是从与所述EEC相关联的边缘计算服务提供者ECSP获得的。在这些实施例的一些实施例中,这些示例性方法还可以包括以下操作:在最近获得的接入凭证(例如初始、第二或第三)期满之后,向所述ECSP发送对更新的接入凭证的请求;响应于所述请求,从所述ECSP接收所述更新的接入凭证;以及经由下一个建立的连接(即,与所述服务器建立的下一个连接)向所述服务器提供所述更新的接入凭证,以用于认证所述EEC。在一些变型中,所述更新的接入凭证包括或基于以下中的一项或多项:所述客户端是合法客户端的所述指示,以及与所述客户端相关联的所述客户端类型。
在各种实施例中,所述服务器是ECS或EES。
其他实施例包括用于边缘数据网络(例如5G网络)中的服务器(例如ECS、EES)的补充方法(例如过程)。
这些示例性方法可以包括:基于TLS,与所述边缘数据网络的客户端建立第一连接。这些示例性方法还可以包括:经由所述第一连接向所述客户端提供服务器证书,以用于认证所述服务器。这些示例性方法还可以包括:基于经由所述第一连接从所述客户端接收的初始接入凭证,认证所述客户端。所述初始接入凭证包括或基于以下中的一项或多项:所述客户端是合法客户端的指示,以及与所述客户端相关联的客户端类型。在一些实施例中,所述初始接入凭证还包括或还基于所述客户端的标识符。
在一些实施例中,这些示例性方法还可以包括:在基于所述初始接入凭证来认证所述客户端之后,经由所述第一连接向所述客户端发送第二接入凭证。所述第二接入凭证包括或基于以下中的一项或多项:所述客户端是合法客户端的所述指示,与所述客户端相关联的所述客户端类型,以及所述客户端的标识符。
在这些实施例的一些实施例中,这些示例性方法还可以包括:基于TLS,与所述客户端建立第二连接;经由所述第二连接向所述客户端提供所述服务器证书,以用于认证所述服务器;以及基于经由所述第二连接从所述客户端接收的所述第二接入凭证,认证所述客户端。
在这些实施例的一些实施例中,这些示例性方法还可以包括:在基于所述第二接入凭证来认证所述客户端之后,经由所述第二连接向所述客户端选择性地发送第三接入凭证。所述第三接入凭证包括或基于以下中的一项或多项:所述客户端是合法客户端的所述指示,与所述客户端相关联的所述客户端类型,以及所述客户端的所述标识符。
在一些变型中,选择性地发送可以包括:将所述第二接入凭证的有效性时长与预先确定的阈值进行比较;当所述有效性时长小于所述预先确定的阈值时,发送所述第三接入凭证;以及当所述有效性时长不小于所述预先确定的阈值时,避免发送所述第三接入凭证。
在一些实施例中,所述初始接入凭证是由所述客户端从所述服务器之外的凭证提供者获得的,并且所述认证操作可以包括以下子操作:基于以下中的一项来验证所述初始接入凭证:所述凭证提供者的证书,所述凭证提供者的公钥,或者通过联系所述凭证提供者;以及基于所述初始接入凭证,验证以下中的一项或多项:所述客户端是合法客户端,以及与所述客户端相关联的所述客户端类型是合法客户端类型。
在一些实施例中,这些示例性方法还可以包括:在至少所述初始接入凭证期满之后,基于从所述客户端接收的更新的接入凭证,认证所述客户端。与所述初始接入凭证类似,所述更新的接入凭证包括或基于以下中的一项或多项:所述客户端是合法客户端的指示,以及与所述客户端相关联的客户端类型。
在这些实施例的一些实施例中,这些示例性方法还可以包括:基于以下中的至少一项,授权所述客户端接入所述服务器:所述初始接入凭证,以及所述更新的接入凭证。在这些实施例的一些实施例中,所述客户端是EEC,以及所述初始接入凭证和所述更新的接入凭证是由所述EEC从与所述EEC相关联的ECSP获得的。在各种实施例中,所述服务器是ECS或EES。
其他实施例包括用于与边缘数据网络(例如5G网络)相关联的凭证提供者(例如ECSP)的补充方法(例如过程)。
这些示例性方法可以包括:在所述边缘数据网络中的客户端接入所述边缘数据网络中的服务器之前,向所述客户端提供用于所述服务器的初始接入凭证。这些示例性方法还可以包括:从所述客户端接收对用于所述服务器的更新的接入凭证的请求。这些示例性方法还可以包括:响应于所述请求,向所述客户端发送所述更新的接入凭证。所述初始接入凭证和所述更新的接入凭证包括或基于以下中的一项或多项:所述客户端是合法客户端的指示,以及与所述客户端相关联的客户端类型。在一些实施例中,所述初始接入凭证和所述更新的接入凭证中的至少一个还包括或还基于所述客户端的标识符。
在一些实施例中,所述客户端是EEC,以及所述凭证提供者是与所述EEC相关联的ECSP。
其他实施例包括用于边缘数据网络(或托管边缘数据网络的网络节点或计算系统)的客户端、服务器、以及凭证提供者,它们被配置为执行与本文描述的任何示例性方法相对应的操作。其他实施例还包括存储计算机可执行指令的非暂时性计算机可读介质,所述计算机可执行指令在由处理电路执行时,配置这样的客户端、服务器、以及凭证提供者以执行与本文描述的任何示例性方法相对应的操作。
本文描述的这些和其他实施例能够促进基于由ECSP颁发的凭证来认证EEC,该凭证可以基于除EEC ID之外的其他信息。这简化了EEC认证,并且促进了5G网络内的边缘计算的安全部署。
本公开的这些和其他目的、特征和优点将在基于下面简要描述的“附图说明”来阅读以下“具体实施方式”时变得显而易见。
附图说明
图1-2示出了示例性5G网络架构的各个方面;
图3示出了支持5G网络中的边缘计算(EC)应用的示例性应用层架构的图;
图4示出了用于由边缘配置服务器(ECS)和边缘使能器服务器(EES)来认证边缘使能器客户端(EEC)的技术的示例性信号流程图;
图5示出了用于EES载入(onboarding)的基于令牌的解决方案的信号流程图;
图6-14示出了用于EEC与ECS或EES之间的认证和授权的各种建议技术的信号流程图;
图15-16示出了根据本公开的各种实施例的用于分别朝向ECS和EES认证EEC的技术的信号流程图;
图17示出了根据本公开的各种实施例的用于边缘数据网络中的客户端的示例性方法(例如过程);
图18示出了根据本公开的各种实施例的用于边缘数据网络中的服务器的示例性方法(例如过程);
图19示出了根据本公开的各种实施例的用于与边缘数据网络相关联的凭证提供者的示例性方法(例如过程);
图20示出了根据本公开的各种实施例的通信系统;
图21示出了根据本公开的各种实施例的UE;
图22示出了根据本公开的各种实施例的网络节点;
图23示出了根据本公开的各种实施例的主机计算系统;
图24是其中由本公开的一些实施例实现的功能可以被虚拟化的虚拟化环境的框图;
图25示出了根据本公开的各种实施例的在主机计算系统、网络节点、以及UE之间的经由多个连接(其中至少一个连接是无线连接)的通信。
具体实施方式
现在将参考附图更全面地描述上面简要概述的实施例。通过示例的方式提供这些描述以向本领域技术人员解释主题,并且这些描述不应被解释为将主题的范围仅限于本文描述的实施例。更具体地,下面提供的示例示出了根据上面讨论的优点的各种实施例的操作。
通常,本文使用的所有术语应根据其在相关技术领域中的普通含义来解释,除非明确给出不同含义和/或从其使用的上下文中暗示不同含义。除非明确说明,否则对一/一个/该元件、装置、组件、部件、步骤等的所有引用都应被公开解释为指的是该元件、装置、组件、部件、步骤等的至少一个实例。本文公开的任何方法和/或过程的步骤不必以公开的确切顺序执行,除非一个步骤被明确描述为在另一个步骤之后或之前和/或其中暗示一个步骤必须在另一个步骤之后或之前。在适当的情况下,本文公开的任何实施例的任何特征可以应用于任何其他实施例。同样地,任何实施例的任何优点可以适用于任何其他实施例,反之亦然。所附实施例的其他目的、特征和优点将从以下描述中显而易见。
此外,在下面给出的整个描述中使用以下术语:
·无线电接入节点:如本文所使用的,“无线电接入节点”(或等同地,“无线电网络节点”、“无线电接入网络节点”或“RAN节点”)可以是蜂窝通信网络的无线电接入网络(RAN)中的用于无线地发送和/或接收信号的任何节点。无线电接入节点的一些示例包括但不限于基站(例如3GPP第五代(5G)新无线电(NR)网络中的NR基站(gNB)或3GPP LTE网络中的增强型或演进型节点B(eNB))、基站分布式组件(例如CU和DU)、高功率或宏基站、低功率基站(例如微型基站、微微基站、毫微微基站或家庭基站等)、集成接入回程(IAB)节点(或其组件,例如MT或DU)、发送点、远程无线电单元(RRU或RRH)以及中继节点。
·核心网络节点:如本文所使用的,“核心网络节点”是核心网络中的任何类型的节点。核心网络节点的一些示例包括例如移动性管理实体(MME)、服务网关(SGW)、分组数据网络网关(P-GW)等。核心网络节点还可以是实现特定核心网络功能(NF)(例如接入和移动性管理功能(AMF)、会话管理功能(AMF)、用户面功能(UPF)、服务能力开放功能(SCEF)等)的节点。
·无线设备:如本文所使用的,“无线设备”(或简称为“WD”)是通过与网络节点和/或其他无线设备进行无线通信来接入蜂窝通信网络(即,由蜂窝通信网络服务)的任何类型的设备。无线通信可以涉及使用电磁波、无线电波、红外波和/或适合于通过空中传送信息的其他类型的信号来发送和/或接收无线信号。除非另有说明,否则术语“无线设备”在本文中可以与“用户设备”(或简称为“UE”)互换使用。无线设备的一些示例包括但不限于智能电话、移动电话、蜂窝电话、IP语音(VoIP)电话、无线本地环路电话、台式计算机、个人数字助理(PDA)、无线相机、游戏机或设备、音乐存储设备、播放设备、可穿戴设备、无线端点、移动台、平板计算机、笔记本电脑、笔记本电脑内置设备(LEE)、笔记本电脑安装设备(LME)、智能设备、无线客户端设备(CPE)、移动型通信(MTC)设备、物联网(IoT)设备、车载无线终端设备、移动终端(MT)等。
·无线电节点:如本文所使用的,“无线电节点”可以是“无线电接入节点”(或等效术语)或“无线设备”。
·网络节点:如本文所使用的,“网络节点”是作为无线电接入网络(例如无线电接入节点或等效术语)或蜂窝通信网络的核心网络(例如上面讨论的核心网络节点)的一部分的任何节点。在功能上,网络节点是如下设备,其能够、被配置为、被布置为和/或可操作以与无线设备和/或与蜂窝通信网络中的其他网络节点或设备直接或间接通信,以实现和/或提供对无线设备的无线接入,和/或在蜂窝通信网络中执行其他功能(例如管理)。
·节点:如本文所使用的,术语“节点”(没有任何前缀)可以是能够在无线网络(包括RAN和/或核心网络)中操作或与其一起操作的任何类型的节点,包括无线电接入节点(或等效术语)、核心网络节点或无线设备。
·服务:如本文所使用的,术语“服务”通常指与一个或多个应用相关的一组数据,该数据将经由网络被传输,并且需要满足某些特定的传送要求以便使应用成功。
·组件:如本文所使用的,术语“组件”通常指传送服务所需的任何组件。组件的示例是RAN(例如E-UTRAN、NG-RAN或其部分,例如eNB、gNB、基站(BS)等)、CN(例如EPC、5GC或其部分,包括RAN与CN实体之间的所有类型的链路),以及具有诸如计算、存储之类的相关资源的云基础设施。一般而言,每个组件可以具有“管理器”,该管理器是可以收集有关资源利用率的历史信息以及提供有关与该组件相关联的资源的当前和预测的未来可用性的信息的实体(例如RAN管理器)。
注意,本文给出的描述集中在3GPP蜂窝通信系统上,并且因此,通常使用3GPP术语或类似于3GPP术语的术语。但是,本文公开的概念不限于3GPP系统。其他无线系统(包括但不限于宽带码分多址(WCDMA)、全球微波访问互操作性(WiMax)、超移动宽带(UMB)和全球移动通信系统(GSM))也可以受益于本文描述的概念、原理和/或实施例。
此外,本文描述为由无线设备或网络节点执行的功能和/或操作可以分布在多个无线设备和/或网络节点上。此外,尽管在本文使用术语“小区”,但是应当理解(特别是对于5G NR而言),可以使用波束代替小区,并且因此,本文描述的概念同样适用于小区和波束两者。
如上面简要提到的,用于边缘使能器客户端(EEC)认证的当前解决方案(例如AKMA和传输层安全性(TLS))具有各种困难、问题和/或缺点,使它们不适合在用于5GS的建议边缘网络中的EEC与各种服务器(例如ECS和/或EES)之间的接口上使用。这可能针对EC解决方案的部署产生各种难题、困难和/或问题,将在以下5G网络和安全架构的描述之后对此进行更详细的讨论。
图2示出了示例性非漫游5G参考架构,其具有基于服务的接口和在控制面(CP)内的3GPP定义的各种NF。它们包括以下NF,并且针对与本公开最相关的NF提供了附加细节:
·应用功能(AF,具有Naf接口),其与5GC交互以向网络运营商提供信息,以及订阅运营商网络中发生的特定事件。AF提供这样的应用:对于该应用,服务在与其中服务已经被请求的层(即,信令层)不同的层(即,传输层)中被传送,根据与网络协商的内容来控制流资源。AF(经由N5接口)向PCF传送动态会话信息,包括要由传输层传送的媒体的描述。
·策略控制功能(PCF,具有Npcf接口),其通过经由N7参考点向SMF提供PCC规则(例如,关于在PCC控制下的每个服务数据流的处理),支持统一策略框架以管理网络行为。PCF朝向SMF提供策略控制决策和基于流的计费控制,包括服务数据流检测、选通、QoS、以及基于流的计费(信用管理除外)。PCF从AF接收会话和媒体相关信息,并且向AF通知业务(或用户)面事件。
·用户面功能(UPF)-支持基于从SMF接收的规则来处理用户面业务,包括分组检查和不同的实施动作(例如事件检测和报告)。UPF经由N3参考点与RAN(例如NG-RAN)通信,经由N4参考点与SMF(下面讨论)通信,以及经由N6参考点与外部分组数据网络(PDN)通信。N9参考点用于两个UPF之间的通信。
·会话管理功能(SMF,具有Nsmf接口),其与分离的业务(或用户)面交互,包括创建、更新和删除协议数据单元(PDU)会话,以及使用用户面功能(UPF)来管理会话上下文,例如以用于事件报告。例如,SMF执行数据流检测(基于PCC规则中包括的过滤器定义)、在线和离线计费交互、以及策略实施。
·计费功能(CHF,具有Nchf接口),其负责融合的在线计费和离线计费功能。它提供配额管理(用于在线计费)、重新授权触发、评级条件等,并且从SMF接收有关使用报告的通知。配额管理涉及针对服务许可特定数量的单位(例如字节、秒)。CHF还与计费系统交互。
·接入和移动性管理功能(AMF,具有Namf接口),其终止RAN CP接口,并且处理UE的所有移动性和连接管理(类似于EPC中的MME)。AMF经由N1参考点与UE通信,以及经由N2参考点与RAN(例如NG-RAN)通信。
·具有Nnef接口的网络开放功能(NEF)-通过向AF安全地公开由3GPP NF提供的网络能力和事件,以及通过提供使AF向3GPP网络安全地提供信息的方式,充当进入运营商网络的入口点。例如,NEF提供一种服务,该服务允许AF针对各种UE提供特定的订阅数据(例如预期的UE行为)。
·具有Nnrf接口的网络储存库功能(NRF)-提供服务注册和发现,从而使得NF能够标识从其他NF提供的适当服务。
·具有Nnssf接口的网络切片选择功能(NSSF)-“网络切片”是5G网络的逻辑分区,其提供特定的网络能力和特性,例如以支持特定的服务。网络切片实例是提供网络切片的能力和特性的一组NF实例和所需网络资源(例如计算、存储、通信)。NSSF使得其他NF(例如AMF)能够标识适于UE的期望服务的网络切片实例。
·具有Nausf接口的认证服务器功能(AUSF)-基于用户的归属网络(HPLMN),它执行用户认证并且计算用于各种目的的安全密钥材料。
·具有Nlmf接口的位置管理功能(LMF)-支持与UE位置确定相关的各种功能,包括UE的位置确定并且获得以下中的任一项:来自UE的DL位置测量或位置估计;来自NG RAN的UL位置测量;以及来自NG RAN的非UE关联的辅助数据。
·具有Nudm接口的统一数据管理(UDM)功能-支持生成3GPP认证凭证、用户标识处理、基于订阅数据的访问授权、以及其他订户相关功能。为了提供该功能,UDM使用存储在5GC统一数据储存库(UDR)中的订阅数据(包括认证数据),该UDR还支持PCF对策略数据的存储和取得,以及NEF对应用数据的存储和取得。
UE与5G网络(AN和CN)之间的通信链路可以被分组到两个不同的层中。UE通过非接入层(NAS)与CN通信,以及通过接入层(AS)与AN通信。所有NAS通信都经由NAS协议(图2中的N1接口)在UE与AMF之间发生。由NAS协议(用于NAS)和PDCP协议(用于AS)来提供通过这些层的通信的安全性。
3GPP Rel-16引入了一种被称为应用的认证和密钥管理(AKMA)的新特征,其基于5G中的3GPP用户凭证,包括物联网(IoT)用例。更具体地,AKMA利用用户的AKA(认证和密钥协商)凭证来引导UE与应用功能(AF)之间的安全性,这允许UE与应用服务器安全地交换数据。AKMA架构是在3GPP Rel-15中针对5GC指定的通用引导架构(GBA)的演进,并且在3GPPTS 33.535(v16.1.0)中被进一步指定。
除了图2中所示和上面描述的NEF、AUSF和AF之外,Rel-16 AKMA还利用应用的认证和密钥管理的锚定功能(AAnF)。该功能在图2中示出,其具有Naanf接口。一般而言,AAnF与AUSF交互,并且维持要被用于例如由应用功能发出的后续引导请求的UE AKMA上下文。在高级别,AAnF类似于针对Rel-15 GBA定义的引导服务器功能(BSF)。
一般而言,用于各种5GS协议的安全机制依赖于多个安全密钥。3GPP TS 33.501(v16.4.0)在组织层次结构中指定了这些密钥。顶部是认证凭证的长期密钥部分,并且被存储在UE侧的SIM卡中和用户的HPLMN中的UDM/ARPF中。
在UE与HPLMN中的AUSF之间运行的成功主认证导致了KAUSF(层次结构中的第二级别密钥)的建立。该密钥不旨在离开HPLMN,并且被用于保护UE与HPLMN之间的信息交换,例如以用于从HPLMN中的UDM向UE提供参数。更准确地,KAUSF被用于对从HPLMN传送到UE的消息进行完整性保护。如3GPP TS 33.501(v16.4.0)中所述,这样的新特征包括漫游引导(SoR)和UDM参数传送过程。
KAUSF被用于导出被发送到服务PLMN的另一个密钥KSEAF。然后,服务PLMN使用该密钥来导出后续的NAS和AS保护密钥。这些低级密钥与其他安全参数(例如加密算法、UE安全能力、用于不同协议中的重放保护的计数器的值等)一起构成了如在3GPP TS 33.501(v16.4.0)中定义的5G安全上下文。但是,KAUSF不是驻留在UE的服务PLMN中的UE的5G安全上下文的一部分。
3GPP TR 33.839(v0.7.0)讨论了关于在3GPP Rel-17的5GC中增强对边缘计算(EC)的支持的安全方面的研究。在3GPP TR 33.839(v0.7.0)中讨论的关键问题包括针对客户端与服务器之间的接口以及针对边缘数据网络中不同服务器之间的接口的认证、授权和传输安全性解决方案。这些服务器可以包括边缘配置服务器(ECS)、边缘使能器服务器(EES)、以及边缘应用服务器(EAS)。相关客户端包括边缘使能器客户端(EEC),其可以被视为在UE上运行并且与ECS和EES通信的应用。
3GPP TS23.558(v17.1.0)指定了Rel-17 EC架构中的各种客户端/服务器和服务器/服务器接口。图3示出了支持EC应用的示例性应用层架构的图。除了上述ECS、EES、EAS和EEC之外,图3还示出了在UE上运行并且与边缘数据网络中的EAS传送应用数据业务的一个或多个应用客户端。附加地,图3示出了在3GPP TS23.558(v17.1.0)中定义的以下客户端/服务器和服务器/服务器接口:
·EDGE-1:在EEC与EES之间。
·EDGE-2:在EES与CN(例如5GC)之间。
·EDGE-3:在EAS与EES之间。
·EDGE-4:在EEC与ECS之间。
·EDGE-5:在EEC与应用客户端之间。
·EDGE-6:在ECS与EES之间。
·EDGE-7:在EAS与CN之间。
·EDGE-8:在ECS与CN之间。
·EDGE-9:在EES与EES之间。
在图3中所示的架构中,在UE上运行的EEC需要朝向EES/ECS认证它自身。EEC针对该目的提供了UE标识符(ID),如3GPP TS23.558(v17.1.0)条款7.2.6中所指定的。当前,唯一受支持的UE ID是通用公共订阅标识符(GPSI),其可以在5G网络的内部和外部使用,如3GPP TS23.501(v17.2.0)和23.003(v17.3.0)中进一步指定的。
3GPP TS23.558(v17.1.0)还指定了包括UE的EEC的新的边缘使能器层。在这种布置中,UE使用EEC ID作为边缘使能器层上的客户端标识符。因此,EEC朝向EES使用两个不同的标识符:EEC ID和UE标识符(例如GPSI)。换句话说,EES/ECS可能需要认证与UE相关联的两个不同的标识符。
当前,3GPP TR 33.839(v0.7.0)包括针对EEC的认证和针对EES/ECS对GPSI的认证的一些建议。针对EEC的认证的建议包括以下项:
·基于传输层安全性(TLS)证书;
·基于从AKMA、GBA或类似过程导出的AF密钥(K_AF),以及将该密钥用作TLS中的
预共享密钥或用作要在HTTP摘要协议中使用的密钥;
·使用辅认证;以及
·使用令牌。
图4示出了用于解决ECS进行的EEC认证的基于AKMA的解决方案的示例性信号流程图,ECS向EEC提供令牌以被用于与EES的认证。在3GPP TR 33.839(v0.7.0)第6.3.2节(其通过引用整体并入本文)给出了该建议(被称为“解决方案#3”)的详细描述。3GPP TR 33.839(v0.7.0)描述了类似的建议(被称为“解决方案#4”),以用于使用辅认证来解决ECS进行的EEC认证,ECS向EEC提供令牌以被用于与EES的认证。
3GPP TR 33.839(v0.7.0)第6.12.2节描述了另一个建议(被称为“解决方案#12”),该建议与EEC的认证无关,但使用基于令牌的解决方案以进行EES载入。根据该建议,EES提供者向EES提供接入令牌以被用于EES载入。EES向ECS发送该令牌,ECS验证该令牌。图5示出了该建议的示例性信号流程图。
3GPP TR 33.839(v0.7.0)描述了另一个建议(被称为“解决方案#17”),该建议涉及由与EEC相关联的边缘计算服务提供者(ECSP)提供的令牌。对于EDGE-4接口,使用TLS以及基于使用由PKI中的CA颁发的服务器证书的服务器来实现ECS的认证和接口传输安全性。对于ECS对EEC的第一次认证,使用由EEC的ECSP或由可信新实体(其可能与也可能不与ECSP共址)提供给EEC的令牌,包括EEC ID。在ECSP提供令牌的情况下,假设在EEC的ECSP与ECS之间存在业务关系,由此EEC的ECSP向EEC提供初始接入令牌,并且ECS可以验证该令牌。在EEC认证之后,ECS在初始接入中向EEC提供令牌以被用于下一次建立它们之间的通信。在初始接入之后的后续接入中,ECS考虑诸如令牌的期满时间之类的信息来决定新的接入令牌是否是必需的。
对于EDGE-1接口,使用TLS以及基于由PKI中的CA颁发的服务器证书的服务器认证来实现EES的认证和接口传输安全性。对于EES对EEC的认证,EEC首先从ECS获得令牌,并且向EES发送该令牌。假设在ECS的ECSP与EES之间存在业务关系,以使得EES能够验证该令牌。
3GPP SA3工作组中已开始针对边缘计算安全性的规范工作。对于这项工作,针对朝向EES/ECS进行的EEC认证存在一些建议。一些建议包括基于令牌的解决方案,下面将对此进行更详细的描述。
图6示出了用于EEC与ECS之间的认证和授权的一个建议的示例性信号流程图。以下是图6中所示的过程的先决条件(示为操作0):
·EEC被提供用于认证ECS的凭证。
·EEC可以被提供要由ECS认证的证书,或者可以被提供用于EEC认证和授权的令牌。
·ECS可以被提供用于认证EEC的令牌的凭证。
·如果选择OAuth 2.0机制,则ECS应当是OAuth 2.0授权服务器,而EEC应当是OAuth2.0客户端。ECS和EES共享所需的凭证。
在操作1中,EEC和ECS使用服务侧认证来建立TLS。如果EEC具有证书,则可以执行具有相互认证的TLS。在操作2中,EEC向ECS发送服务请求,该服务请求可以包括令牌和GPSI。
在操作3中,ECS应当使用在3GPP TS 33.501(v16.4.0)第13.3.0节中定义的静态授权来授权EEC。如果服务请求中包括令牌,则ECS可以使用该令牌来认证和授权EEC。如果GPSI是从EEC接收的,则ECS应当使用在3GPP SA2中定义的IP转换来获取UE的GPSI。然后,ECS通过比较服务请求中的GPSI和从3GPP核心网络中取得的GPSI来验证GPSI。如果授权和GPSI验证成功,则ECS处理该请求。ECS可以生成用于EES服务授权的EES服务令牌,并且向EEC发送EES服务令牌。在操作4中,ECS向EEC发回服务响应。
图7示出了用于EEC与EES之间的认证和授权的一个建议的示例性信号流程图。以下是图7中所示的过程的先决条件(示为操作0):
·EEC被提供用于认证EES证书的凭证。
·EEC可以被提供要由EES认证的证书,或者可以被提供用于EEC认证和授权的令牌。
·ECS和EES共享OAuth 2.0机制的所需凭证。
在操作1中,EEC和EES使用服务侧认证来建立TLS。如果EEC具有证书,则可以执行具有相互认证的TLS。在操作2中,EEC向EES发送服务请求,该服务请求可以包括EES服务令牌和GPSI。
在操作3中,ECS应当使用在3GPP TS 33.501(v16.4.0)第13.3.0节中定义的静态授权来授权EEC。如果服务请求中包括EES服务令牌,则EES可以使用EES服务令牌来认证和授权EEC。如果GPSI是从EEC接收的,则ECS应当使用在3GPP SA2中定义的IP转换来获取UE的GPSI。然后,ECS通过比较服务请求中的GPSI和从3GPP核心网络中取得的GPSI来验证GPSI。如果授权和GPSI验证成功,则EES处理该服务请求。在操作4中,EES向EEC发回服务响应。
图8示出了用于EEC与EES之间的认证和授权的另一个建议的示例性信号流程图。以下是图8中所示的过程的先决条件或要求,该过程包括使用PSK认证来建立TLS:
·ECS将能够通过EDGE-4接口提供与EEC的相互认证。
·ECS将能够确定EEC是否被授权接入ECS的服务。
·AKMA服务将被用于在EEC与ECS之间建立共享密钥。
·所导出的共享密钥将被用于建立安全的TLS连接。
在操作1中,成功的主认证导致KAUSF被存储在AUSF和UE处。UE和AUSF生成AKMA密钥材料(即,KAKMA和A-KID),并且AUSF向AAnF发送该材料,如3GPP TS 33.535(v16.0.0)第6.1节中所指定的。
在操作2中,UE向ECS发起TLS过程,以用于EEC与ECS之间的相互认证,这是AAnF的AF,如3GPP TS 33.535(v16.0.0)中所指定的。在EEC与ECS之间建立共享密钥KECS。密钥KECS是AKMA应用密钥(KAF),并且由UE和ECS两者导出,如3GPP TS 33.535(v16.0.0)中所指定的。
在操作3-4中,在成功导出KECS之后,导出用于建立安全TLS会话的预主密钥KECS-PSK。EEC通过建立的TLS会话向ECS发起服务提供过程(如3GPP TS23.558(v17.1.0)第8.3节中所指定的)。如果UE被授权接入EES,则ECS生成接入令牌和ID令牌,并且通过建立的TLS会话将接入令牌和ID令牌提供给UE。附加地,ECS将向EEC提供EES根CA证书,该证书被用于验证EES的证书。接入令牌和ID令牌被用于EEC与EES之间的认证和授权。
图9示出了用于EEC与ECS之间的认证和授权的另一个建议的示例性信号流程图。以下是图9中所示的过程的先决条件或要求:
·EES将能够通过EDGE-1接口提供与EEC的相互认证。
·EES将能够确定EEC是否被授权接入EES的服务。
·使用TLS和基于OAuth令牌的过程的服务器(EES)侧证书认证将被用于EEC与EES之间的认证和授权。
在操作1中,UE和EES将使用EES服务器证书来建立安全的TLS连接。ECS可以在初始提供过程期间向EEC提供EES根CA证书,以验证EES的证书。TLS将通过EDGE-1接口来提供完整性保护、重放保护、以及机密性保护。
在操作2中,UE向EES发起EEC注册过程,包括从ECS获得的接入令牌和ID令牌。接入令牌和ID令牌将被包括在注册请求中,该注册请求通过验证由ECS向UE颁发的接入令牌和ID令牌,提供对EEC注册请求的认证和授权检查。在操作3中,EES从ECS获得令牌验证。在操作4中,EES通过向EEC发送响应来完成注册过程。
图10示出了用于EEC与ECS之间的认证和授权的另一个建议的示例性信号流程图。总之,ECS的TLS证书被用于EEC对ECS的认证。EEC使用由它的EEC提供者域提供的令牌来朝向ECS认证自身。该令牌可以是用于EEC的隐式认证的接入令牌(OAuth 2.0)或用于显式认证的标识令牌(OpenID Connect 1.0)。因为在EEC的ECSP与ECS之间存在业务关系,所以ECS可以验证该令牌。在EEC的认证之后,ECS在初始接入中针对EEC颁发令牌以被用于下一次建立它们之间的通信。在除了初始接入之外的其他接入中,ECS考虑诸如令牌的期满时间之类的信息来决定新的接入令牌是否是必需的。
在操作1中,EEC和ECS使用ECS的TLS证书来建立TLS会话。在操作2中,在建立的TLS会话期间,EEC发送由它的提供者域提供的令牌,并且在操作3中,ECS验证该令牌。在操作4中,ECS针对EEC颁发接入或标识令牌以在下一个请求中使用,并且向EEC发送该令牌。在操作5中,EEC和ECS使用ECS的TLS证书来建立TLS会话。在操作6中,在建立的TLS会话期间,EEC发送由ECS在前一个请求中提供的令牌,并且在操作7,ECS中验证该令牌。在操作8中,ECS可选地(取决于在操作6中接收到的令牌的期满时间)针对EEC颁发令牌以在下一个请求中使用,并且向EEC发送该令牌。
图11示出了用于EEC与EES之间的认证和授权的另一个建议的示例性信号流程图。总之,EES的TLS证书被用于EEC对EES的认证。EEC使用由ECS提供的令牌来朝向EES认证自身。该令牌可以是用于EEC的隐式认证的接入令牌(OAuth 2.0)或用于显式认证的标识令牌(OpenID Connect 1.0)。因为在EEC的ECSP与ECS之间存在业务关系,所以EES可以验证该令牌。
在操作1中,ECS针对EEC颁发令牌以被用于EES对EEC的认证。在操作2中,EEC和EES使用EES的TLS证书来建立TLS会话。在操作3中,在建立的TLS会话期间,EEC发送由ECS提供的令牌。在操作4中,EES验证该令牌。
用于朝向EES/ECS认证EEC的其他解决方案涉及EEC的服务提供者(即,ECSP)向EEC提供令牌以被用于EES/ECS对EEC的认证。在下面讨论的图12-14中示出了一些示例。
图12示出了用于在EEC与ECS之间的EDGE-4接口上的认证的这些解决方案中的一个解决方案的示例性信号流程图。在该解决方案中,通过使用TLS以及使用由PKI中的CA颁发的服务器(即,ECS)证书的服务器认证来实现ECS的认证和接口的传输安全性。首先,ECSP向EEC提供令牌。在通过使用ECS证书的服务器认证来建立TLS连接之后,EEC使用ECSP提供的接入令牌以向ECS进行EEC认证,然后ECS提供另一个令牌以用于EEC的后续接入。一个先决条件是ECSP与ECS之间的业务关系,以使得ECS能够验证由ECSP提供的令牌。在后续接入期间,ECS可以基于例如正在被使用的接入令牌的期满时间来决定是否向EEC提供新的接入令牌。如果ECS不提供另一个接入令牌,则EEC可以重用相同的接入令牌。
图13示出了用于在EEC与EES之间的EDGE-1接口上认证的这些解决方案中的一个解决方案的示例性信号流程图。在该解决方案中,通过使用TLS以及使用由PKI中的CA颁发的服务器(即,EES)证书的服务器认证来实现EES的认证和接口的传输安全性。如图13中所示,ECS首先向EEC提供令牌。在通过使用EES证书的服务器认证来建立TLS连接之后,EEC使用ECS提供的接入令牌以向EES进行EEC认证。
图14示出了用于在EEC与EES之间的EDGE-1接口上的认证的这些解决方案中的另一个解决方案的信号流程图。在该解决方案中,ECSP向EEC提供初始接入令牌。在通过使用EES证书的服务器认证来建立TLS连接之后,EEC使用ECSP提供的接入令牌以向EES进行EEC认证,然后EES提供另一个令牌以用于EEC的后续接入。一个先决条件是ECSP与EES之间的业务关系,以使得EES能够验证由ECSP提供的令牌。在后续接入期间,EES可以基于例如当前正在被使用的接入令牌的期满时间来决定是否向EEC提供新的接入令牌。如果EES不提供另一个接入令牌,则EEC可以重用相同的接入令牌。
在图12-14中所示的解决方案中,TLS实现和使用的简档应当优选地遵循在3GPPTS 33.310(v16.6.0)附录E和3GPP TS 33.210(v16.4.0)第6.2节中给出的规定。UE(AC)上的应用与服务器(EAS)之间的认证可以取决于UE的操作系统,并且因此不在本公开的范围内。3GPP TS23.558(v17.1.0)第7.2.6条指定了使用UE ID来标识UE的EEC与EES/ECS之间的不同交互。UE ID的唯一示例是GPSI,其也需要认证。
基于分析针对EEC认证的安全要求,申请人已认识到在EEC认证期间可能不需要验证EEC ID。例如,由EES/ECS提供并且由EEC调用的应用编程接口(API)不需要验证EEC ID。这些API包括以下项:
·Eecs_ServiceProvisioning(由ECS提供)。ECS向EEC返回优化的EES列表,其中考虑一些参数,例如由EEC发送的GPSI标识的UE位置,以及使用UE的IP地址从3GPP网络获得的UE位置。
·Eees_EECRegistration(由EES提供)。EEC执行向EES的注册,以便提供可以由EES在边缘计算服务中使用的信息。
·Eees_EASDiscovery(由EES提供)。ECS向EEC返回优化的EAS列表,其中考虑一些参数,例如由EEC发送的GPSI标识的UE位置,以及使用UE的IP地址从3GPP网络获得的UE位置。
·Eees_AppContextRelocation(由EES提供)。被用于ACR发起或ACR确定。
鉴于此,申请人已认识到仅根据其是否是合法应用来验证EEC便足以用于EEC认证。
本公开的实施例通过提供技术来解决这些和其他难题、问题和/或困难,由此ECSP使用专有方法来验证EEC,并且颁发诸如令牌之类的凭证,该凭证可以由EES和/或ECS来验证。该令牌包括以下中的一项或多项:EEC是合法EEC的指示;EEC类型;以及EEC ID。EES和/或ECS可以通过使用在证书颁发中使用的ECSP的证书或公钥,或者通过联系ECSP来验证令牌。在成功验证凭证之后,EES和/或ECS检查以下中的一项或多项:1)EEC是否是合法EEC;EEC类型;以及EEC ID。在成功检查之后,EES和/或ECS可以颁发新的凭证以被用于EEC与EES/ECS之间的下一次通信。如果EEC由于某些原因(例如凭证的期满)而没有有效的凭证,则EEC从ECSP获得新的凭证。
这些实施例能够提供各种益处和/或优点。例如,这样的技术促进基于由ECSP颁发的凭证进行EEC的认证,该凭证可以基于除EEC ID之外的其他信息。这简化了EEC认证,并且促进了5G网络内的边缘计算的安全部署。
图15示出了根据一些实施例的用于在EEC(1510)与ECS(1530)之间的EDGE-4接口上的认证的示例性信号流程图。在该解决方案中,通过使用TLS以及使用由PKI中的CA颁发的服务器(即,ECS1530)证书的服务器认证来实现ECS的认证和接口的传输安全性。首先,ECSP(1520)向EEC提供凭证(例如令牌)。该凭证包括EEC是合法EEC的指示和/或EEC类型(即,与EEC相关联的类型)。可选地,该凭证可以包括EEC ID。
在通过使用ECS证书的服务器认证来建立TLS连接之后,EEC使用ECSP提供的凭证以向ECS进行EEC认证。可选地,ECS还可以基于ECSP提供的凭证中的信息(例如合法性的指示和/或EEC类型)来授权EEC(例如以用于ECS接入)。一个先决条件是ECSP与ECS之间的业务关系,以使得ECS可以验证由ECSP提供的凭证。可选地,ECS然后提供新的凭证(例如令牌)以用于EEC的后续接入。在后续接入期间,ECS可以基于例如正在被使用的接入令牌的期满时间来决定是否向EEC提供新的凭证(例如令牌)。如果ECS不提供另一个凭证,则EEC可以重用相同的凭证以用于下一次接入。
在由EEC接收的最新凭证期满后,EEC向ECSP发送对新的或更新的凭证的请求,并且接收新的有效凭证作为响应。然后,EEC可以继续进行与先前接入ECS相同的操作,但改为使用新的凭证。
图16示出了用于在EEC(1510)与EES(1540)之间的EDGE-1接口上的认证的这些解决方案中的另一个解决方案的信号流程图。在该解决方案中,通过使用TLS以及使用由PKI中的CA颁发的服务器(即,EES1540)证书的服务器认证来实现ECS的认证和接口的传输安全性。首先,ECSP(1520)向EEC提供凭证(例如令牌)。该凭证包括EEC是合法EEC的指示和/或EEC类型(即,与EEC相关联的类型)。可选地,该凭证可以包括EEC ID。
在通过使用EES证书的服务器认证来建立TLS连接之后,EEC使用ECSP提供的凭证以向EES进行EEC认证。可选地,EES还可以基于ECSP提供的凭证中的信息(例如合法性的指示和/或EEC类型)来授权EEC(例如以用于EES接入)。一个先决条件是ECSP与EES之间的业务关系,以使得EES可以验证由ECSP提供的凭证。可选地,EES然后提供新的凭证(例如令牌)以用于EEC的后续接入。在后续接入期间,EES可以基于例如正在被使用的接入令牌的期满时间来决定是否向EEC提供新的凭证(例如令牌)。如果EES不提供另一个凭证,则EEC可以重用相同的凭证以进行下一次接入。
在由EEC接收的最新凭证期满后,EEC向ECSP发送对新的或更新的凭证的请求,并且接收新的有效凭证作为响应。然后,EEC可以继续进行与先前接入EES相同的操作,但改为使用新的凭证。
可以参考图17-19进一步说明上面描述的实施例,图17-19分别示出了由边缘数据网络中的客户端、边缘数据网络中的服务器、以及与边缘数据网络相关联的凭证提供者执行的示例性方法(例如过程)。换句话说,下面描述的操作的各种特征对应于上面描述的各种实施例。图17-19中所示的示例性方法可以彼此补充,以使得它们可以被协同使用以提供益处、优点和/或本文描述的问题的解决方案。尽管在图17-19中通过特定顺序的特定方框示出了这些示例性方法,但与方框相对应的操作可以以不同于所示的顺序来执行,并且可以被组合成和/或划分成具有不同于所示的功能的操作。可选的方框和/或操作由虚线指示。
更具体地,图17示出了根据本公开的各种实施例的用于边缘数据网络(例如5G网络)中的客户端的示例性方法(例如过程)。图17中所示的示例性方法可以由用户设备(UE,例如无线设备)的边缘客户端(例如本文参考其他图描述的EEC)执行。
该示例性方法可以包括方框1710的操作,其中客户端可以在接入边缘数据网络之前获得初始接入凭证。初始接入凭证包括或基于以下中的一项或多项:客户端是合法客户端的指示,以及与客户端相关联的客户端类型。在一些实施例中,初始接入凭证还包括或还基于客户端的标识符。
该示例性方法还可以包括方框1720的操作,其中客户端可以基于传输层安全性(TLS),与边缘数据网络的服务器建立第一连接。该示例性方法还可以包括方框1730的操作,其中客户端可以基于服务器证书,经由第一连接来认证服务器。该示例性方法还可以包括方框1740的操作,其中客户端可以经由第一连接向服务器提供初始接入凭证,以用于认证客户端。
在一些实施例中,该示例性方法还可以包括方框1745的操作,其中客户端可以在基于初始接入凭证来认证客户端之后,经由第一连接从服务器接收第二接入凭证。第二接入凭证包括或基于以下中的一项或多项:客户端是合法客户端的指示,与客户端相关联的客户端类型,以及客户端的标识符。
在这些实施例的一些实施例中,该示例性方法还可以包括方框1750-1760的操作。在方框1750中,客户端可以基于TLS,与服务器建立第二连接。例如,这可以在第一连接已被断开、移除、去激活等之后的时间进行。在方框1755中,客户端可以基于服务器证书,经由第二连接来认证服务器。在方框1760中,客户端可以经由第二连接向服务器提供第二接入凭证,以用于认证客户端。
在一些变型中,该示例性方法还可以包括方框1770的操作,其中客户端可以在基于第二接入凭证来认证客户端之后,经由第二连接从服务器接收第三接入凭证。第三接入凭证包括或基于以下中的一项或多项:客户端是合法客户端的指示,与客户端相关联的客户端类型,以及客户端的标识符。
在一些实施例中,客户端是边缘使能器客户端(EEC),并且初始接入凭证是从与EEC相关联的边缘计算服务提供者(ECSP)获得的。在这些实施例的一些实施例中,该示例性方法还可以包括方框1780-1790的操作。在方框1780-1785中,在最近获得的接入凭证(例如初始、第二或第三)期满之后,客户端可以向ECSP发送对更新的接入凭证的请求,以及响应于该请求,从ECSP接收更新的接入凭证。在方框1790中,客户端可以经由下一个建立的连接(即,与服务器建立的下一个连接)向服务器提供更新的接入凭证,以用于认证EEC。在一些变型中,更新的接入凭证包括或基于以下中的一项或多项:客户端是合法客户端的指示,以及与客户端相关联的客户端类型。以这种方式,更新的接入凭证可以类似于由ECSP提供的初始接入凭证。
在各种实施例中,服务器是分别如图15-16中所示的ECS或EES。在各种实施例中,上述各种接入凭证中的每一个可以是令牌、证书、或促进上述操作的任何其他相关类型的凭证。
此外,图18示出了根据本公开的各种实施例的用于边缘数据网络(例如5G网络)中的服务器的示例性方法(例如过程)。图18中所示的示例性方法可以由例如针对本文其他图示出和/或描述的任何适当的服务器(例如EES、ECS等)执行。
该示例性方法可以包括方框1810的操作,其中服务器可以基于TLS,与边缘数据网络的客户端建立第一连接。该示例性方法还可以包括方框1820的操作,其中服务器可以经由第一连接向客户端提供服务器证书,以用于认证服务器。该示例性方法还可以包括方框1830的操作,其中服务器可以基于经由第一连接从客户端接收的初始接入凭证,认证客户端。初始接入凭证包括或基于以下中的一项或多项:客户端是合法客户端的指示,以及与客户端相关联的客户端类型。在一些实施例中,初始接入凭证还包括或还基于客户端的标识符。
在一些实施例中,该示例性方法还可以包括方框1840的操作,其中服务器可以在基于初始接入凭证来认证客户端之后,经由第一连接向客户端发送第二接入凭证。第二接入凭证包括或基于以下中的一项或多项:客户端是合法客户端的指示,与客户端相关联的客户端类型,以及客户端的标识符。
在这些实施例中的一些实施例中,该示例性方法还可以包括方框1850-1870的操作。在方框1850中,服务器可以基于TLS,与客户端建立第二连接。例如,这可以在第一连接已经被断开、移除、去激活等之后的时间进行。在方框1860中,服务器可以经由第二连接向客户端提供服务器证书,以用于认证服务器。在方框1870中,服务器可以基于经由第二连接从客户端接收的第二接入凭证,认证客户端。
在这些实施例的一些实施例中,该示例性方法还可以包括方框1880的操作,其中服务器可以在基于第二接入凭证来认证客户端之后,经由第二连接向客户端选择性地发送第三接入凭证。第三接入凭证包括或基于以下中的一项或多项:客户端是合法客户端的指示,与客户端相关联的客户端类型,以及客户端的标识符。
在一些实施例中,方框1880的选择性发送操作可以包括子方框1881-1883的操作,其中服务器可以将第二接入凭证的有效性时长与预先确定的阈值进行比较;当有效性时长小于预先确定的阈值时,发送第三接入凭证;以及当有效性时长不小于预先确定的阈值时,避免发送第三接入凭证。
在一些实施例中,初始接入凭证是由客户端从服务器之外的凭证提供者获得的,并且方框1830中的认证操作可以包括子方框1831-1832的操作。在子方框1831中,服务器可以基于以下中的一项来验证初始接入凭证:凭证提供者的证书,凭证提供者的公钥,或者通过联系凭证提供者。在子方框1832中,服务器可以基于初始接入凭证来验证以下中的一项或多项:客户端是合法客户端,以及与客户端相关联的客户端类型是合法客户端类型。
在一些实施例中,该示例性方法还可以包括方框1890的操作,其中在至少初始接入凭证期满之后,服务器可以基于从客户端接收的更新的接入凭证,认证客户端。与初始接入凭证类似,更新的接入凭证包括或基于以下中的一项或多项:客户端是合法客户端的指示,以及与客户端相关联的客户端类型。
在这些实施例的一些实施例中,该示例性方法还可以包括方框1895的操作,其中服务器可以基于以下中的至少一项,授权客户端接入服务器:初始接入凭证,以及更新的接入凭证。在这些实施例的一些实施例中,客户端是边缘使能器客户端(EEC),以及初始接入凭证和更新的接入凭证是由EEC从与EEC相关联的边缘计算服务提供者(ECSP)获得的。
在各种实施例中,服务器是分别如图15-16中所示的ECS或EES。在各种实施例中,上述各种接入凭证中的每一个可以是令牌、证书、或促进上述操作的任何其他相关类型的凭证。
此外,图19示出了根据本公开的各种实施例的用于与边缘数据网络(例如5G网络)相关联的凭证提供者的示例性方法(例如过程)。图19中所示的示例性方法可以由例如针对本文其他图示出和/或描述的任何适当的凭证提供者(例如ECSP等)执行。
该示例性方法可以包括方框1910的操作,其中凭证提供者可以在边缘数据网络中的客户端接入边缘数据网络中的服务器之前,向客户端提供用于服务器的初始接入凭证。该示例性方法还可以包括方框1920的操作,其中凭证提供者可以从客户端接收对用于服务器的更新的接入凭证的请求。该示例性方法还可以包括方框1930的操作,其中凭证提供者可以响应于该请求,向客户端发送更新的接入凭证。初始接入凭证和更新的接入凭证包括或基于以下中的一项或多项:客户端是合法客户端的指示,以及与客户端相关联的客户端类型。在一些实施例中,初始接入凭证和更新的接入凭证中的至少一个还包括或还基于客户端的标识符。
在一些实施例中,客户端是EEC,并且凭证提供者是与EEC相关联的ECSP。在各种实施例中,上述各种接入凭证中的每一个可以是令牌、证书、或促进上述操作的任何其他相关类型的凭证。
尽管上面根据方法、技术和/或过程描述了各种实施例,但本领域技术人员将容易理解,可以通过各种系统、通信设备、计算设备、控制设备、装置、非暂时性计算机可读介质、计算机程序产品等中的硬件和软件的各种组合来体现这样的方法、技术和/或过程。
图20示出了根据一些实施例的通信系统2000的示例。在该示例中,通信系统2000包括电信网络2002,其包括接入网络2004(例如无线电接入网络(RAN))和核心网络2006(其包括一个或多个核心网络节点2008)。接入网络2004包括一个或多个接入网络节点,例如网络节点2010a和2010b(其中一个或多个通常可以被称为网络节点2010),或者任何其他类似的第三代合作伙伴计划(3GPP)接入节点或非3GPP接入点。网络节点2010促进用户设备(UE)的直接或间接连接,例如通过一个或多个无线连接将UE 2012a、2012b、2012c和2012d(其中一个或多个通常可以被称为UE 2012)连接到核心网络2006。
通过无线连接的示例无线通信包括使用电磁波、无线电波、红外波和/或适合于在不使用电线、电缆或其他材料导体的情况下传送信息的其他类型的信号来发送和/或接收无线信号。此外,在不同的实施例中,通信系统2000可以包括任何数量的有线或无线网络、网络节点、UE和/或任何其他组件或系统,它们可以促进或参与数据和/或信号的通信(无论是经由有线连接还是无线连接)。通信系统2000可以包括任何类型的通信、电信、数据、蜂窝、无线电网络和/或其他类似类型的系统和/或与其对接。
UE 2012可以是各种通信设备中的任一个,包括被布置、被配置和/或可操作以与网络节点2010和其他通信设备进行无线通信的无线设备。类似地,网络节点2010被布置、能够、被配置和/或可操作以直接或间接与UE 2012和/或电信网络2002中的其他网络节点或设备进行通信,以启用和/或提供网络接入(例如无线网络接入)和/或在电信网络2002中执行其他功能(例如管理)。
在所描绘的示例中,核心网络2006将网络节点2010连接到一个或多个主机,例如主机2016。这些连接可以是直接连接,或者是经由一个或多个中间网络或设备的间接连接。在其他示例中,网络节点可以被直接耦接到主机。核心网络2006包括用硬件和软件组件构成的一个或多个核心网络节点(例如,核心网络节点2008)。这些组件的特征可以基本上类似于针对UE、网络节点和/或主机描述的特征,以使得其描述通常适用于核心网络节点2008的对应组件。示例核心网络节点包括以下一项或多项的功能:移动交换中心(MSC)、移动性管理实体(MME)、归属订户服务器(HSS)、接入和移动性管理功能(AMF)、会话管理功能(SMF)、认证服务器功能(AUSF)、订阅标识符去隐藏功能(SIDF)、统一数据管理(UDM)、安全边缘保护代理(SEPP)、网络开放功能(NEF)和/或用户面功能(UPF)。
主机2016可以在除了接入网络2004和/或电信网络2002的运营商或提供商之外的服务提供商的所有权或控制之下,并且可以由服务提供商或代表服务提供商来操作。主机2016可以托管各种应用以提供一个或多个服务。这样的应用的示例包括实时和预先记录的音频/视频内容、数据收集服务(例如取得和编辑由多个UE检测到的各种环境条件的数据)、分析功能、社交媒体、用于控制远程设备或以其他方式与远程设备交互的功能、用于警报和监视中心的功能、或者由服务器执行的任何其他这样的功能。
整体上,图20的通信系统2000实现了UE、网络节点和主机之间的连接。在该意义上,通信系统可以被配置为根据预定义规则或过程来操作,这些规则或过程例如是特定标准,包括但不限于:全球移动通信系统(GSM);通用移动电信系统(UMTS);长期演进(LTE)、和/或其他合适的2G、3G、4G、5G标准、或者任何适用的未来一代标准(例如,6G);无线局域网(WLAN)标准,例如电气和电子工程师协会(IEEE)802.11标准(WiFi);和/或任何其他适当的无线通信标准,例如全球微波访问互操作性(WiMax)、蓝牙、Z波、近场通信(NFC)、ZigBee、LiFi和/或任何低功率广域网(LPWAN)标准,例如LoRa和Sigfox。
在一些示例中,电信网络2002是实现3GPP标准化特征的蜂窝网络。因此,电信网络2002可以支持网络切片,以向被连接到电信网络2002的不同设备提供不同的逻辑网络。例如,电信网络2002可以向一些UE提供超可靠低延迟通信(URLLC)服务,同时向其他UE提供增强型移动宽带(eMBB)服务,和/或向其他UE提供大规模机器型通信(mMTC)/大规模IoT服务。
在一些示例中,UE 2012被配置为在没有直接人类交互的情况下发送和/或接收信息。例如,UE可以被设计为当由内部或外部事件触发时或响应于来自接入网络2004的请求而按预定的调度将信息发送到接入网络2004。附加地,UE可以被配置用于在单RAT或多RAT或多标准模式下操作。例如,UE可以使用Wi-Fi、NR(新无线电)和LTE中的任一个或组合来操作,即,被配置用于多无线电双连接(MR-DC),例如E-UTRAN(演进型UMTS陆地无线电接入网络)新无线电-双连接(EN-DC)。
在该示例中,集线器2014与接入网络2004进行通信以促进一个或多个UE(例如UE2012c和/或2012d)与网络节点(例如网络节点2010b)之间的间接通信。在一些示例中,集线器2014可以是控制器、路由器、内容源和分析、或者本文描述的关于UE的任何其他通信设备。例如,集线器2014可以是使得UE能够接入核心网络2006的宽带路由器。作为另一个示例,集线器2014可以是向UE中的一个或多个致动器发送命令或指令的控制器。命令或指令可以从UE、网络节点2010接收,或者通过集线器2014中的可执行代码、脚本、过程或其他指令接收。作为另一个示例,集线器2014可以是充当UE数据的临时存储装置的数据收集器,并且在一些实施例中,可以执行数据的分析或其他处理。作为另一个示例,集线器2014可以是内容源。例如,对于作为VR头戴式设备、显示器、扬声器或其他媒体传送设备的UE,集线器2014可以经由网络节点来取得VR资产、视频、音频或与感测信息相关的其他媒体或数据,然后集线器2014直接、在执行本地处理之后和/或在添加附加本地内容之后将其提供给UE。在又一个示例中,集线器2014充当UE的代理服务器或编排器,特别是在一个或多个UE是低能量IoT设备的情况下。
集线器2014可以具有与网络节点2010b的恒定/持久或间歇连接。集线器2014还可以允许集线器2014与UE(例如,UE 2012c和/或2012d)之间以及集线器2014与核心网络2006之间的不同通信方案和/或调度。在其他示例中,集线器2014经由有线连接被连接到核心网络2006和/或一个或多个UE。此外,集线器2014可以被配置为通过接入网络2004来连接到M2M服务提供商和/或通过直接连接来连接到另一个UE。在一些场景中,UE可以与网络节点2010建立无线连接,同时仍然经由集线器2014通过有线或无线连接进行连接。在一些实施例中,集线器2014可以是专用集线器,也就是说,其主要功能是从网络节点2010b向UE路由通信/从UE向网络节点2010b路由通信的集线器。在其他实施例中,集线器2014可以是非专用集线器,也就是说,能够操作以在UE与网络节点2010b之间路由通信,但是还能够作为特定数据信道的通信起点和/或终点进行操作的设备。
图21示出了根据一些实施例的UE 2100。如本文所使用的,UE指能够、被配置、被布置和/或可操作以与网络节点和/或其他UE进行无线通信的设备。UE的示例包括但不限于智能电话、移动电话、蜂窝电话、IP语音(VoIP)电话、无线本地环路电话、台式计算机、个人数字助理(PDA)、无线相机、游戏机或设备、音乐存储设备、播放设备、可穿戴终端设备、无线端点、移动台、平板计算机、笔记本电脑、笔记本电脑内置设备(LEE)、笔记本电脑安装设备(LME)、智能设备、无线客户端设备(CPE)、车载或车载嵌入式/集成无线设备等。其他示例包括由第三代合作伙伴计划(3GPP)标识的任何UE,包括窄带物联网(NB-IoT)UE、机器型通信(MTC)UE和/或增强型MTC(eMTC)UE。
UE可以例如通过实现用于副链路通信、专用短程通信(DSRC)、车对车(V2V)、车对基础设施(V2I)或车到万物(V2X)的3GPP标准来支持设备对设备(D2D)通信。在其他示例中,在拥有和/或操作相关设备的人类用户的意义上,UE可能不一定具有用户。而是,UE可以表示旨在出售给人类用户或由人类用户操作但是可能不或者最初可能不与特定人类用户相关联的设备(例如,智能洒水控制器)。替代地,UE可以表示未旨在出售给最终用户或不由其操作但是可以与用户相关联或为用户的利益而操作的设备(例如,智能功率计)。
UE 2100包括处理电路2102,处理电路2102在操作上经由总线2104耦接到输入/输出接口2106、电源2108、存储器2110、通信接口2112和/或任何其他组件或它们的任何组合。某些UE可以利用图21中所示的所有组件或组件子集。组件之间的集成水平可以随UE而变化。此外,某些UE可能包含组件的多个实例,例如多个处理器、存储器、收发机、发射机、接收机等。
处理电路2102被配置为处理指令和数据,并且可以被配置为实现可操作以执行被存储为存储器2110中的机器可读计算机程序的指令的任何顺序状态机。处理电路2102可以被实现为一个或多个硬件实现的状态机(例如,采用离散逻辑、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等);可编程逻辑以及适当的固件;一个或多个所存储的计算机程序、通用处理器(例如微处理器或数字信号处理器(DSP))以及适当的软件;或以上的任何组合。例如,处理电路2102可以包括多个中央处理单元(CPU)。
在该示例中,输入/输出接口2106可以被配置为向输入设备、输出设备或一个或多个输入和/或输出设备提供一个或多个接口。输出设备的示例包括扬声器、声卡、视频卡、显示器、监视器、打印机、致动器、发射机、智能卡、另一个输出设备或其任何组合。输入设备可以允许用户将信息捕获到UE 2100中。输入设备的示例包括触敏显示器或存在敏感显示器、照相机(例如,数码相机、数字摄像机、网络相机等)、麦克风、传感器、鼠标、轨迹球、方向板、轨迹板、滚轮、智能卡等。存在敏感显示器可以包括容性或阻性触摸传感器以感测来自用户的输入。传感器可以是例如加速度计、陀螺仪、倾斜传感器、力传感器、磁力计、光学传感器、接近度传感器、生物测量传感器等或其任何组合。输出设备可以使用与输入设备相同类型的接口端口。例如,通用串行总线(USB)端口可以被用于提供输入设备和输出设备。
在一些实施例中,电源2108被构造为电池或电池组。可以使用其他类型的电源,例如外部电源(例如,电源插座)、光伏设备或电池。电源2108还可以包括用于经由输入电路或接口(例如电源线)将来自电源2108本身和/或外部电源的电力传送到UE 2100的各个部分的电源电路。传送电力可以例如用于对电源2108进行充电。电源电路可以执行对来自电源2108的电力的任何格式化、转换或其他修改,以使电力适合于电力被提供到的UE 2100的相应组件。
存储器2110可以是或被配置为包括诸如随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、磁盘、光盘、硬盘、可移动盒式磁带、闪存驱动器之类的存储器。在一个示例中,存储器2110包括一个或多个应用程序2114(例如操作系统、网络浏览器应用、小控件、小工具引擎或其他应用)以及对应的数据2116。存储器2110可以存储各种操作系统中的任一种或操作系统的组合以供UE 2100使用。
存储器2110可以被配置为包括多个物理驱动器单元,例如独立磁盘冗余阵列(RAID)、闪存、USB闪存驱动器、外部硬盘驱动器、拇指驱动器、笔驱动器、钥式驱动器、高密度数字多功能光盘(HD-DVD)光盘驱动器、内部硬盘驱动器、蓝光光盘驱动器、全息数字数据存储(HDDS)光盘驱动器、外部迷你双列直插式内存模块(DIMM)、同步动态随机存取存储器(SDRAM)、外部微DIMM SDRAM、智能卡存储器(例如通用集成电路卡(UICC)形式的防篡改模块,包括一个或多个订户标识模块(SIM),例如USIM和/或ISIM)、其他存储器或其任何组合。UICC例如可以是嵌入式UICC(eUICC)、集成UICC(iUICC)或可移动UICC,通常被称为“SIM卡”。存储器2110可以允许UE 2100访问存储在暂时性或非暂时性存储介质上的指令、应用程序等,以卸载数据或上载数据。诸如利用通信系统的制造品可以被有形地体现为存储器2110或体现在存储器2110中,该存储器可以是或包括设备可读存储介质。
处理电路2102可以被配置为使用通信接口2112与接入网络或其他网络进行通信。通信接口2112可以包括一个或多个通信子系统,并且可以包括天线2122或被通信地耦接到天线2122。通信接口2112可以包括用于通信(例如通过与能够进行无线通信的另一个设备(例如,另一个UE或接入网络中的网络节点)的一个或多个远程收发机进行通信)的一个或多个收发机。每个收发机可以包括适于提供网络通信(例如,光、电、频率分配等)的发射机2118和/或接收机2120。此外,发射机2118和接收机2120可以被耦接到一个或多个天线(例如,天线2122),以及可以共享电路组件、软件或固件,或者替代地被单独实现。
在所示的实施例中,通信接口2112的通信功能可以包括蜂窝通信、Wi-Fi通信、LPWAN通信、数据通信、语音通信、多媒体通信、诸如蓝牙的短程通信、近场通信、诸如使用全球定位系统(GPS)来确定位置的基于位置的通信、另一个类似的通信功能或其任何组合。通信可以根据一个或多个通信协议和/或标准来实现,例如IEEE 802.11、码分多址(CDMA)、宽带码分多址(WCDMA)、GSM、LTE、新无线电(NR)、UMTS、WiMax、以太网、传输控制协议/网际协议(TCP/IP)、同步光学网络(SONET)、异步传输模式(ATM)、QUIC、超文本传输协议(HTTP)等。
无论传感器的类型如何,UE都可以通过其通信接口2112经由与网络节点的无线连接来提供由其传感器捕获的数据的输出。由UE的传感器捕获的数据可以通过与网络节点的无线连接而经由另一个UE被传送。输出可以是周期性的(例如,如果它报告所感测的温度,则每15分钟一次)、随机的(例如,以平衡来自多个传感器的报告负载)、响应于触发事件(例如,当检测到湿度时发送警报)、响应于请求(例如,用户发起的请求)、或者连续流(例如,患者的实时视频馈送)。
作为另一个示例,UE包括与通信接口相关的致动器、电动机或开关,该通信接口被配置为经由无线连接从网络节点接收无线输入。响应于所接收的无线输入,致动器、电动机或开关的状态可以改变。例如,UE可以包括电动机,其根据所接收的输入来调整飞行中的无人机的控制表面或转子,或者根据所接收的输入来控制执行医疗过程的机器人手臂。
当采取物联网(IoT)设备的形式时,UE可以是用于一个或多个应用领域的设备,这些领域包括但不限于城市可穿戴技术、扩展行业应用和医疗保健。这样的IoT设备的非限制性示例是作为以下项或被嵌入在以下项中的设备:联网冰箱或冰柜、电视、联网照明设备、电表、机器人吸尘器、语音控制的智能扬声器、家庭安全摄像头、运动检测器、恒温器、烟雾检测器、门/窗传感器、洪水/湿度传感器、电动门锁、联网门铃、热泵之类的空调系统、自主车辆、监控系统、天气监视设备、车辆停放监视设备、电动车辆充电站、智能手表、健身追踪器、用于增强现实(AR)或虚拟现实(VR)的头戴式显示器、用于触觉增强或感觉增强的可穿戴设备、洒水器、动物或物品跟踪设备、用于监视植物或动物的传感器、工业机器人、无人驾驶飞行器(UAV)以及任何种类的医疗设备,如心率监视器或遥控手术机器人。IoT设备形式的UE包括与IoT设备的预期应用相关的电路和/或软件以及如针对图21中所示的UE 2100描述的其他组件。
作为又一个特定示例,在IoT场景中,UE可以表示执行监视和/或测量并将这样的监视和/或测量的结果发送到另一个UE和/或网络节点的机器或其他设备。在这种情况下,UE可以是M2M设备,在3GPP上下文中可以将其称为MTC设备。作为一个特定示例,UE可以实现3GPP NB-IoT标准。在其他场景中,UE可以表示能够监视和/或报告其操作状态或与其操作相关联的其他功能的车辆(例如汽车、公共汽车、卡车)、轮船和飞机或其他设备。
在实践中,可以针对单个用例一起使用任何数量的UE。例如,第一UE可以是或被集成在无人机中,并且将无人机的速度信息(通过速度传感器获得)提供给作为操作无人机的遥控器的第二UE。当用户从遥控器进行改变时,第一UE可以调整无人机上的油门(例如,通过控制致动器)以提高或降低无人机的速度。第一UE和/或第二UE还可以包括上面描述的功能中的多个功能。例如,UE可以包括传感器和致动器,并且处理速度传感器和致动器两者的数据通信。
图22示出了根据一些实施例的网络节点2200。如本文所使用的,网络节点指能够、被配置、被布置和/或可操作以直接或间接与UE和/或电信网络中的其他网络节点或设备进行通信的设备。网络节点的示例包括但不限于接入点(AP)(例如,无线电接入点)、基站(BS)(例如,无线电基站、节点B、演进型节点B(eNB)和NR节点B(gNB))。
可以基于基站提供的覆盖量(或者换句话说,它们的发射功率等级)对基站进行分类,并且因此取决于所提供的覆盖量,可以将其称为毫微微基站、微微基站、微基站或宏基站。基站可以是中继节点或控制中继的中继施主节点。网络节点还可以包括分布式无线电基站的一个或多个(或所有)部分(例如集中式数字单元和/或远程无线电单元(RRU)(有时被称为远程无线电头(RRH)))。这样的远程无线电单元可以与或可以不与天线集成为天线集成无线电。分布式无线电基站的部分也可以被称为分布式天线系统(DAS)中的节点。
网络节点的其他示例包括多发送点(多TRP)5G接入节点、多标准无线电MSR设备(诸如MSR BS)、诸如无线电网络控制器(RNC)或基站控制器(BSC)的网络控制器、基站收发台(BTS)、发送点、发送节点、多小区/多播协调实体(MCE)、运营和维护(O&M)节点、运营支持系统(OSS)节点、自组织网络(SON)节点、定位节点(例如,演进型服务移动定位中心(E-SMLC))和/或最小化路测(MDT)。
网络节点2200包括处理电路2202、存储器2204、通信接口2206和电源2208。网络节点2200可以包括多个物理上分离的组件(例如,节点B组件和RNC组件,或者BTS组件和BSC组件等),每一个组件可以具有它们自己的相应组件。在网络节点2200包括多个单独的组件(例如,BTS和BSC组件)的某些场景中,一个或多个单独的组件可以在多个网络节点之间被共享。例如,单个RNC可以控制多个节点B。在这样的场景中,在某些情况下,每个唯一的节点B和RNC对可以被视为单个单独的网络节点。在一些实施例中,网络节点2200可以被配置为支持多种无线电接入技术(RAT)。在这样的实施例中,一些组件可以被重复(例如,用于不同RAT的单独的存储器2204),而一些组件可以被重用(例如,同一天线2210可以由不同的RAT共享)。网络节点2200还可以包括用于集成到网络节点2200中的不同无线技术(例如GSM、WCDMA、LTE、NR、Wi-Fi、Zigbee、Z波、LoRaWAN、射频标识(RFID)或蓝牙无线技术)的多组各种示例组件。这些无线技术可以被集成到相同或不同的芯片或芯片组以及网络节点2200内的其他组件中。
处理电路2202可以包括可操作以单独地或与其他网络节点2200组件(例如存储器2204)结合提供网络节点2200功能的以下一项或多项的组合:微处理器,控制器,微控制器,中央处理单元,数字信号处理器,专用集成电路,现场可编程门阵列,或任何其他合适的计算设备、资源,或硬件、软件和/或编码逻辑的组合。
在一些实施例中,处理电路2202包括片上系统(SOC)。在一些实施例中,处理电路2202包括射频(RF)收发机电路2212和基带处理电路2214中的一个或多个。在一些实施例中,射频(RF)收发机电路2212和基带处理电路2214可以在单独的芯片(或芯片组)、板或单元(例如无线电单元和数字单元)上。在替代实施例中,RF收发机电路2212和基带处理电路2214中的部分或全部可以在同一芯片或芯片组、板或单元上。
存储器2204可以包括任何形式的易失性或非易失性计算机可读存储器,包括但不限于永久存储装置、固态存储器、远程安装的存储器、磁性介质、光学介质、随机存取存储器(RAM)、只读存储器(ROM)、大容量存储介质(例如,硬盘)、可移动存储介质(例如,闪存驱动器、光盘(CD)或数字视频磁盘(DVD))和/或存储可以由处理电路2202使用的信息、数据和/或指令的任何其他易失性或非易失性、非暂时性的设备可读和/或计算机可执行存储设备。存储器2204可以存储任何合适的指令、数据或信息,包括计算机程序、软件、应用(包括逻辑、规则、代码、表等中的一个或多个)和/或能够由处理电路2202执行并由网络节点2200利用的其他指令。存储器2204可以被用于存储由处理电路2202进行的任何计算和/或经由通信接口2206接收的任何数据。在一些实施例中,处理电路2202和存储器2204是集成的。
通信接口2206被用于网络节点、接入网络和/或UE之间的信令和/或数据的有线或无线通信中。如图所示,通信接口2206包括端口/端子2216以例如通过有线连接向网络发送和从网络接收数据。通信接口2206还包括可以被耦接到天线2210或在某些实施例中作为天线2210的一部分的无线电前端电路2218。无线电前端电路2218包括滤波器2220和放大器2222。无线电前端电路2218可以被连接到天线2210和处理电路2202。无线电前端电路可以被配置为调节在天线2210与处理电路2202之间传送的信号。无线电前端电路2218可以接收将经由无线连接被发出到其他网络节点或UE的数字数据。无线电前端电路2218可以使用滤波器2220和/或放大器2222的组合将数字数据转换成具有适当信道和带宽参数的无线电信号。无线电信号然后可以经由天线2210被发射。类似地,在接收数据时,天线2210可以收集无线电信号,然后由无线电前端电路2218将其转换成数字数据。数字数据可以被传递给处理电路2202。在其他实施例中,通信接口可以包括不同的组件和/或不同的组件组合。
在某些替代实施例中,网络节点2200不包括单独的无线电前端电路2218,而是,处理电路2202包括无线电前端电路并且被连接到天线2210。类似地,在一些实施例中,RF收发机电路2212的全部或一部分是通信接口2206的一部分。在其他实施例中,通信接口2206包括一个或多个端口或端子2216、无线电前端电路2218和RF收发机电路2212,作为无线电单元(未示出)的一部分,并且通信接口2206与基带处理电路2214进行通信,该基带处理电路2214是数字单元(未示出)的一部分。
天线2210可以包括被配置为发送和/或接收无线信号的一个或多个天线或天线阵列。天线2210可以被耦接到无线电前端电路2218,并且可以是能够无线地发送和接收数据和/或信号的任何类型的天线。在某些实施例中,天线2210与网络节点2200分离并且可以通过接口或端口连接到网络节点2200。
天线2210、通信接口2206和/或处理电路2202可以被配置为执行本文描述为由网络节点执行的任何接收操作和/或某些获得操作。可以从UE、另一个网络节点和/或任何其他网络设备接收任何信息、数据和/或信号。类似地,天线2210、通信接口2206和/或处理电路2202可以被配置为执行本文描述为由网络节点执行的任何发送操作。任何信息、数据和/或信号可以被发送到UE、另一个网络节点和/或任何其他网络设备。
电源2208以适合于相应组件的形式(例如,以每个相应组件所需的电压和电流等级)向网络节点2200的各个组件提供电力。电源2208还可以包括或被耦接到电源管理电路,以向网络节点2200的组件提供用于执行本文描述的功能的电力。例如,网络节点2200可以经由输入电路或接口(例如电缆)连接到外部电源(例如,电网、电源插座),由此该外部电源向电源2208的电源电路提供电力。作为又一个示例,电源2208可以包括采取被连接到电源电路或被集成于其中的电池或电池组的形式的电源。如果外部电源出现故障,电池可以提供备用电力。
网络节点2200的实施例可以包括图22所示组件之外的附加组件,这些附加组件用于提供网络节点的功能的某些方面,包括本文描述的任何功能和/或支持本文描述的主题所必需的任何功能。例如,网络节点2200可以包括用户接口设备,以允许将信息输入到网络节点2200中以及允许从网络节点2200输出信息。这可以允许用户针对网络节点2200执行诊断、维护、修理和其他管理功能。
图23是根据本文描述的各个方面的主机2300的框图,主机2300可以是图20的主机2016的实施例。如本文所使用的,主机2300可以是或包括硬件和/或软件的各种组合,包括独立服务器、刀片服务器、云实现的服务器、分布式服务器、虚拟机、容器或服务器场中的处理资源。主机2300可以向一个或多个UE提供一个或多个服务。
主机2300包括处理电路2302,处理电路2302在操作上经由总线2304耦接到输入/输出接口2306、网络接口2308、电源2310和存储器2312。在其他实施例中可以包括其他组件。这些组件的特征可以基本上类似于针对先前图(例如图21和22)的设备描述的特征,以使得其描述通常适用于主机2300的对应组件。
存储器2312可以包括一个或多个计算机程序,包括一个或多个主机应用程序2314和数据2316,数据2316可以包括用户数据,例如由UE针对主机2300生成的数据或由主机2300针对UE生成的数据。主机2300的实施例可以仅使用所示组件的子集或全部。主机应用程序2314可以在基于容器的架构中实现,并且可以提供对视频编解码器(例如,多功能视频编码(VVC)、高效率视频编码(HEVC)、高级视频编码(AVC)、MPEG、VP9)和音频编解码器(例如,FLAC、高级音频编码(AAC)、MPEG、G.711)的支持,包括UE(例如,手机、台式计算机、可穿戴显示系统、平视显示系统)的多个不同类、类型或实施方式的转码。主机应用程序2314还可以提供用户认证和授权检查,并且可以周期性地向中央节点(例如核心网络中或边缘上的设备)报告健康状况、路由和内容可用性。因此,主机2300可以针对UE选择和/或指示用于过顶服务的不同主机。主机应用程序2314可以支持各种协议,例如HTTP实时流(HLS)协议、实时消息传送协议(RTMP)、实时流协议(RTSP)、HTTP动态适配流(MPEG-DASH)等。
图24是示出其中可以虚拟化由一些实施例实现的功能的虚拟化环境2400的框图。在当前上下文中,虚拟化意味着创建装置或设备的虚拟版本,其可以包括虚拟化硬件平台、存储设备和联网资源。如本文所使用的,虚拟化可以被应用于本文描述的任何设备或其组件,并且涉及一种实现,其中至少一部分功能被实现为一个或多个虚拟组件。本文描述的一些或所有功能可以被实现为由一个或多个虚拟机(VM)执行的虚拟组件,这些VM在由一个或多个硬件节点(例如作为网络节点、UE、核心网络节点或主机操作的硬件计算设备)托管的一个或多个虚拟环境2400中实现。此外,在其中虚拟节点不需要无线电连接(例如,核心网络节点或主机)的实施例中,节点可以被完全虚拟化。
应用2402(其可以替代地被称为软件实例、虚拟设备、网络功能、虚拟节点、虚拟网络功能等)在虚拟化环境2400中运行,以实现本文公开的一些实施例的某些特征、功能和/或益处。
硬件2404包括处理电路、存储可由硬件处理电路执行的软件和/或指令的存储器和/或如本文描述的其他硬件设备,例如网络接口、输入/输出接口等。软件可以由处理电路执行以实例化一个或多个虚拟化层2406(也被称为系统管理程序或虚拟机监视器(VMM)),提供虚拟机2408a和2408b(其中一个或多个通常可以被称为虚拟机2408),和/或执行针对本文描述的一些实施例而描述的任何功能、特征和/或益处。虚拟化层2406可以向虚拟机2408呈现看起来像联网硬件的虚拟操作平台。
虚拟机2408包括虚拟处理、虚拟存储器、虚拟网络或接口以及虚拟存储装置,并且可以由对应的虚拟化层2406运行。虚拟设备2402的实例的不同实施例可以在一个或多个虚拟机2408上实现,并且可以以不同的方式来实现。在一些上下文中,硬件的虚拟化被称为网络功能虚拟化(NFV)。NFV可以被用于将许多网络设备类型整合到可以位于数据中心和客户驻地设备中的行业标准的大容量服务器硬件、物理交换机和物理存储装置上。
在NFV的上下文中,虚拟机2408可以是物理机的软件实现,该软件实现运行程序就好像程序是在物理的非虚拟化机器上执行一样。每个虚拟机2408以及硬件2404的执行该虚拟机的部分(专用于该虚拟机的硬件和/或该虚拟机与其他虚拟机共享的硬件)形成单独的虚拟网元。仍然在NFV的上下文中,虚拟网络功能负责处理在硬件2404之上的一个或多个虚拟机2408中运行的特定网络功能,并且对应于应用2402。
硬件2404可以在具有通用或特定组件的独立网络节点中实现。硬件2404可以经由虚拟化来实现一些功能。替代地,硬件2404可以是较大的硬件群集(例如,诸如在数据中心或CPE)的一部分,其中许多硬件节点一起工作并且经由管理和编排2410进行管理,除其他项以外,管理和编排2410监督应用2402的生命周期管理。在一些实施例中,硬件2404被耦接到一个或多个无线电单元,这些无线电单元均包括可以被耦接到一个或多个天线的一个或多个发射机和一个或多个接收机。无线电单元可以经由一个或多个适当的网络接口与其他硬件节点直接通信,以及可以与虚拟组件组合使用,以提供具有无线电能力的虚拟节点,例如无线电接入节点或基站。在一些实施例中,可以使用控制系统2412来提供一些信令,该控制系统2412可以替代地被用于硬件节点与无线电单元之间的通信。
图25示出了根据一些实施例的主机2502通过部分无线连接经由网络节点2504与UE 2506进行通信的通信图。现在将参考图25来描述根据各种实施例的在先前段落中讨论的UE(例如图20的UE 2012a和/或图21的UE 2100)、网络节点(例如图20的网络节点2010a和/或图22的网络节点2200)和主机(例如图20的主机2016和/或图23的主机2300)的示例实现。
与主机2300类似,主机2502的实施例包括硬件,例如通信接口、处理电路和存储器。主机2502还包括软件,该软件被存储在主机2502中或可由主机2502访问并且可由处理电路执行。软件包括主机应用,该主机应用可以操作以向远程用户(例如经由在UE 2506与主机2502之间延伸的过顶(OTT)连接2550进行连接的UE 2506)提供服务。在向远程用户提供服务时,主机应用可以提供使用OTT连接2550发送的用户数据。
网络节点2504包括使其能够与主机2502和UE 2506进行通信的硬件。连接2560可以是直接的或者通过核心网络(如图20的核心网络2006)和/或一个或多个其他中间网络,例如一个或多个公共、专用或托管网络。例如,中间网络可以是骨干网或因特网。
UE 2506包括硬件和软件,该软件被存储在UE 2506中或可由UE 2506访问并且可由UE的处理电路执行。该软件包括客户端应用,例如网络浏览器或运营商特定的“应用”,该应用可操作以在主机2502的支持下经由UE 2506向人类或非人类用户提供服务。在主机2502中,正在执行的主机应用可以经由终止于UE 2506和主机2502的OTT连接2550与正在执行的客户端应用进行通信。在向用户提供服务时,UE的客户端应用可以从主机的主机应用接收请求数据,并且响应于该请求数据而提供用户数据。OTT连接2550可以传送请求数据和用户数据两者。UE的客户端应用可以与用户交互,以生成其通过OTT连接2550而提供给主机应用的用户数据。
OTT连接2550可以经由主机2502与网络节点2504之间的连接2560以及经由网络节点2504与UE 2506之间的无线连接2570而延伸,以提供主机2502与UE 2506之间的连接。已经抽象地绘制了可以通过其提供OTT连接2550的连接2560和无线连接2570,以示出主机2502与UE 2506之间经由网络节点2504的通信,而没有显式参考任何中间设备以及经由这些设备的消息的精确路由。
作为经由OTT连接2550来发送数据的示例,在步骤2508中,主机2502提供用户数据,这可以通过执行主机应用来执行。在一些实施例中,用户数据与特定人类用户相关联,该人类用户与UE 2506交互。在其他实施例中,用户数据与UE 2506相关联,UE 2506与主机2502共享数据而无需显式的人类交互。在步骤2510中,主机2502发起朝向UE 2506的携带用户数据的传输。主机2502可以响应于由UE 2506发送的请求而发起传输。该请求可以由与UE2506的人类交互或者由在UE 2506上执行的客户端应用的操作而导致。根据贯穿本公开描述的实施例的教导,传输可以通过网络节点2504。因此,在步骤2512中,根据贯穿本公开描述的实施例的教导,网络节点2504向UE 2506发送在主机2502发起的传输中携带的用户数据。在步骤2514中,UE 2506接收在传输中携带的用户数据,这可以由在UE 2506上执行的客户端应用来执行,该客户端应用与由主机2502执行的主机应用相关联。
在一些示例中,UE 2506执行向主机2502提供用户数据的客户端应用。可以响应于从主机2502接收的数据来提供用户数据。因此,在步骤2516中,UE 2506可以提供用户数据,这可以通过执行客户端应用来执行。在提供用户数据时,客户端应用可以进一步考虑经由UE 2506的输入/输出接口从用户接收的用户输入。不管提供用户数据的具体方式如何,UE2506在步骤2518中发起用户数据经由网络节点2504朝向主机2502的传输。在步骤2520中,根据贯穿本公开描述的实施例的教导,网络节点2504从UE 2506接收用户数据,并且发起所接收的用户数据朝向主机2502的传输。在步骤2522中,主机2502接收在由UE 2506发起的传输中携带的用户数据。
各种实施例中的一个或多个提高了使用OTT连接2550(其中无线连接2570形成最后的段)向UE 2506提供的OTT服务的性能。更准确地,本文描述的实施例能够促进基于由与边缘使能器客户端(EEC)相关联的边缘计算服务提供者(ECSP)颁发的凭证来认证EEC。该凭证能够基于除EEC标识符以外的信息,这能够简化EEC认证,并且促进5G网络内的边缘计算的安全部署。当以这种方式部署的边缘计算被用于提供和/或支持OTT数据服务时,它增加了这样的服务对终端用户和服务提供商的价值。
在示例场景中,主机2502可以收集和分析工厂状态信息。作为另一个示例,主机2502可以处理可能已经从UE中取得的音频和视频数据以用于创建地图。作为另一个示例,主机2502可以收集和分析实时数据以协助控制车辆拥堵(例如,控制交通灯)。作为另一个示例,主机2502可以存储由UE上传的监控视频。作为另一个示例,主机2502可以存储或控制对诸如视频、音频、VR或AR之类的媒体内容的访问,主机2502可以将该媒体内容广播、多播或单播到UE。作为其他示例,主机2502可以被用于能源定价、非时间关键型电力负载的远程控制以平衡发电需求、定位服务、呈现服务(例如根据从远程设备收集的数据来编译图等)或收集、取得、存储、分析和/或发送数据的任何其他功能。
在一些示例中,可以出于监视数据速率、延迟和一个或多个实施例在其上改进的其他因素的目的而提供测量过程。响应于测量结果的变化,还可以存在用于重新配置主机2502与UE 2506之间的OTT连接2550的可选网络功能。用于重新配置OTT连接的测量过程和/或网络功能可以在主机2502和/或UE 2506的软件和硬件中实现。在一些实施例中,可以将传感器(未示出)部署在OTT连接2550所通过的其他设备中或与这样的其他设备相关联;传感器可以通过提供以上示例的监视量的值或提供软件可以从中计算或估计监视量的其他物理量的值来参与测量过程。OTT连接2550的重新配置可以包括消息格式、重传设置、优选路由等;重新配置不需要直接改变网络节点2504的操作。这样的过程和功能可以在本领域中是已知的和经实践的。在某些实施例中,测量可以涉及专有UE信令,其促进主机2502对吞吐量、传播时间、延迟等的测量。可以实现测量,因为软件在其监视传播时间、错误等期间导致使用OTT连接2550来发送消息,特别是空消息或“假(dummy)”消息。
以上仅说明了本公开的原理。鉴于本文的教导,对所描述的实施例的各种修改和变更对于本领域技术人员来说将是显而易见的。因此应当理解,本领域技术人员将能够设计出多种系统、布置和过程,尽管本文没有明确地示出或描述,但是该多种系统、布置和过程体现了本公开的原理并且因此可以在本公开的精神和范围内。如本领域普通技术人员应当理解的,各种实施例可以彼此一起使用,以及相互可互换地使用。
如本文所使用的,术语“单元”可以具有在电子装置、电气设备和/或电子设备领域中的常规含义,并且可以包括例如用于执行如本文描述的相应任务、过程、计算、输出和/或显示功能等的电气和/或电子电路、设备、模块、处理器、存储器、逻辑固态和/或分立器件、计算机程序或指令。
可以通过一个或多个虚拟装置的一个或多个功能单元或模块来执行本文公开的任何适当的步骤、方法、特征、功能或益处。每个虚拟装置可以包括多个这样的功能单元。这些功能单元可以经由处理电路来实现,处理电路可以包括一个或多个微处理器或微控制器,以及可以包括数字信号处理器(DSP)、专用数字逻辑等的其他数字硬件。处理电路可以被配置为执行存储在存储器中的程序代码,存储器可以包括一种或多种类型的存储器,例如只读存储器(ROM)、随机存取存储器(RAM)、高速缓冲存储器、闪存设备、光存储设备等。存储在存储器中的程序代码包括用于执行一种或多种电信和/或数据通信协议的程序指令以及用于执行本文描述的一种或多种技术的指令。在一些实现中,处理电路可以被用于使得相应的功能单元执行根据本公开的一个或多个实施例的对应功能。
如本文所描述的,设备和/或装置可以由半导体芯片、芯片组或包括这样的芯片或芯片组的(硬件)模块表示;然而,这并不排除设备或装置的功能不是由硬件实现而是实现为软件模块(例如包括用于在处理器上执行或运行的可执行软件代码部分的计算机程序或计算机程序产品)的可能性。此外,设备或装置的功能可以通过硬件和软件的任何组合来实现。设备或装置也可以被视为多个设备和/或装置的组合件,无论是在功能上相互协作还是相互独立。此外,只要设备或装置的功能得以保留,设备和装置可以在整个系统中以分布式方式实现。这样的和类似的原理被认为是本领域技术人员已知的。
除非另有定义,否则本文使用的所有术语(包括技术术语和科学术语)具有与本公开所属领域的普通技术人员通常理解的含义相同的含义。将进一步理解,本文中使用的术语应被解释为具有与其在本说明书和相关领域的上下文中的含义一致的含义,并且不应被解释为理想化或过于形式化的含义,除非本文明确地如此定义。
此外,本公开(包括说明书和附图)中使用的特定术语在特定情况下可以被同义地使用(例如“数据”和“信息”)。应当理解,虽然这些术语(和/或可以彼此同义的其他术语)在本文中可以同义地使用,但是可以存在这样的词可以不旨在被同义地使用的情况。如果现有技术知识没有在上文通过引用的方式显式并入本文,则其全部内容显式并入本文。所引用的所有出版物通过引用整体并入本文。
Claims (32)
1.一种用于边缘数据网络中的客户端(1510)的方法,所述方法包括:
在接入所述边缘数据网络之前获得(1710)初始接入凭证,其中,所述初始接入凭证包括或基于以下中的一项或多项:所述客户端(1510)是合法客户端的指示,以及与所述客户端(1510)相关联的客户端类型;
基于传输层安全性TLS,与所述边缘数据网络的服务器(1530,1540)建立(1720)第一连接;
基于服务器证书,经由所述第一连接来认证(1730)所述服务器(1530,1540);以及
经由所述第一连接向所述服务器(1530,1540)提供(1740)所述初始接入凭证,以用于认证所述客户端(1510)。
2.根据权利要求1所述的方法,其中,所述初始接入凭证还包括或还基于所述客户端(1510)的标识符。
3.根据权利要求1或2中任一项所述的方法,其中:
所述方法还包括:在基于所述初始接入凭证来认证所述客户端(1510)之后,经由所述第一连接从所述服务器(1530,1540)接收(1745)第二接入凭证;以及
所述第二接入凭证包括或基于以下中的一项或多项:所述客户端(1510)是合法客户端的所述指示,与所述客户端(1510)相关联的所述客户端类型,以及所述客户端(1510)的标识符。
4.根据权利要求3所述的方法,还包括:
随后基于TLS,与所述服务器(1530,1540)建立(1750)第二连接;
基于服务器证书,经由所述第二连接来认证(1755)所述服务器(1530,1540);以及
经由所述第二连接向所述服务器(1530,1540)提供(1760)所述第二接入凭证,以用于认证所述客户端(1510)。
5.根据权利要求4所述的方法,其中:
所述方法还包括:在基于所述第二接入凭证来认证所述客户端(1510)之后,经由所述第二连接从所述服务器(1530,1540)接收(1770)第三接入凭证;以及
所述第三接入凭证包括或基于以下中的一项或多项:所述客户端(1510)是合法客户端的所述指示,与所述客户端(1510)相关联的所述客户端类型,以及所述客户端(1510)的所述标识符。
6.根据权利要求1-5中任一项所述的方法,其中,
所述客户端(1510)是边缘使能器客户端EEC;以及
所述初始接入凭证是从与所述EEC相关联的边缘计算服务提供者ECSP(1520)获得的。
7.根据权利要求6所述的方法,还包括:
在最近获得的接入凭证期满之后,向所述ECSP(1520)发送(1780)对更新的接入凭证的请求;
响应于所述请求,从所述ECSP(1520)接收(1785)所述更新的接入凭证;以及
经由下一个建立的连接向所述服务器(1530,1540)提供(1790)所述更新的接入凭证,以用于认证所述EEC。
8.根据权利要求7所述的方法,其中,所述更新的接入凭证包括或基于以下中的一项或多项:所述客户端(1510)是合法客户端的所述指示,以及与所述客户端(1510)相关联的所述客户端类型。
9.根据权利要求1-8中任一项所述的方法,其中,所述服务器(1530,1540)是边缘配置服务器ECS或边缘使能器服务器EES。
10.一种用于边缘数据网络中的服务器(1530,1540)的方法,所述方法包括:
基于传输层安全性TLS,与所述边缘数据网络的客户端(1510)建立(1810)第一连接;
经由所述第一连接向所述客户端(1510)提供(1820)服务器证书,以用于认证所述服务器(1530,1540);以及
基于经由所述第一连接从所述客户端(1510)接收的初始接入凭证,认证(1830)所述客户端(1510),其中,所述初始接入凭证包括或基于以下中的一项或多项:所述客户端(1510)是合法客户端的指示,以及与所述客户端(1510)相关联的客户端类型。
11.根据权利要求10所述的方法,其中,所述初始接入凭证还包括或还基于所述客户端(1510)的标识符。
12.根据权利要求10或11中任一项所述的方法,其中:
所述方法还包括:在基于所述初始接入凭证来认证所述客户端(1510)之后,经由所述第一连接向所述客户端(1510)发送(1840)第二接入凭证;以及
所述第二接入凭证包括或基于以下中的一项或多项:所述客户端(1510)是合法客户端的所述指示,与所述客户端(1510)相关联的所述客户端类型,以及所述客户端(1510)的标识符。
13.根据权利要求12所述的方法,还包括:
基于TLS,与所述客户端(1510)建立(1850)第二连接;
经由所述第二连接向所述客户端提供(1860)所述服务器(1530,1540)证书,以用于认证所述服务器(1530,1540);以及
基于经由所述第二连接从所述客户端(1510)接收的所述第二接入凭证,认证(1870)所述客户端(1510)。
14.根据权利要求13所述的方法,其中:
所述方法还包括:在基于所述第二接入凭证来认证所述客户端(1510)之后,经由所述第二连接向所述客户端(1510)选择性地发送(1880)第三接入凭证;以及
所述第三接入凭证包括或基于以下中的一项或多项:所述客户端(1510)是合法客户端的所述指示,与所述客户端(1510)相关联的所述客户端类型,以及所述客户端(1510)的所述标识符。
15.根据权利要求14所述的方法,其中,选择性地发送包括:
将所述第二接入凭证的有效性时长与预先确定的阈值进行比较(1881);
当所述有效性时长小于所述预先确定的阈值时,发送(1882)所述第三接入凭证;以及
当所述有效性时长不小于所述预先确定的阈值时,避免(1883)发送所述第三接入凭证。
16.根据权利要求10-15中任一项所述的方法,其中,所述初始接入凭证是由所述客户端(1510)从所述服务器(1530,1540)之外的凭证提供者(1520)获得的,并且基于所述初始接入凭证来认证所述客户端(1510)包括:
基于以下中的一项来验证所述初始接入凭证:所述凭证提供者(1520)的证书,所述凭证提供者(1520)的公钥,或者通过联系所述凭证提供者(1520);以及
基于所述初始接入凭证,验证以下中的一项或多项:
所述客户端(1510)是合法客户端,以及
与所述客户端(1510)相关联的所述客户端类型是合法客户端类型。
17.根据权利要求10-16中任一项所述的方法,其中:
所述方法还包括:在至少所述初始接入凭证期满之后,基于从所述客户端(1510)接收的更新的接入凭证,认证(1890)所述客户端(1510);以及
所述更新的接入凭证包括或基于以下中的一项或多项:所述客户端(1510)是合法客户端的指示,以及与所述客户端(1510)相关联的客户端类型。
18.根据权利要求17所述的方法,还包括:基于以下中的至少一项,授权(1895)所述客户端(1510)接入所述服务器(1530,1540):所述初始接入凭证,以及所述更新的接入凭证。
19.根据权利要求17-18中任一项所述的方法,其中,
所述客户端(1510)是边缘使能器客户端EEC;以及
所述初始接入凭证和所述更新的接入凭证是由所述EEC从与所述EEC相关联的边缘计算服务提供者ECSP(1520)获得的。
20.根据权利要求10-19中任一项所述的方法,其中,所述服务器(1530,1540)是边缘配置服务器ECS或边缘使能器服务器EES。
21.一种用于边缘数据网络中的凭证提供者(1520)的方法,所述方法包括:
在所述边缘数据网络中的客户端(1510)接入所述边缘数据网络中的服务器(1530,1540)之前,向所述客户端(1510)提供(1910)用于所述服务器(1530,1540)的初始接入凭证;
从所述客户端(1510)接收(1920)对用于所述服务器(1530,1540)的更新的接入凭证的请求;以及
响应于所述请求,向所述客户端(1510)发送(1930)所述更新的接入凭证,
其中,所述初始接入凭证和所述更新的接入凭证包括或基于以下中的一项或多项:所述客户端(1510)是合法客户端的指示,以及与所述客户端(1510)相关联的客户端类型。
22.根据权利要求21所述的方法,其中,所述初始接入凭证和所述更新的接入凭证中的至少一个还包括或还基于所述客户端(1510)的标识符。
23.根据权利要求21或22中任一项所述的方法,其中,
所述客户端(1510)是边缘使能器客户端EEC;以及
所述凭证提供者(1520)是与所述EEC相关联的边缘计算服务提供者ECSP。
24.一种用户设备UE(2100),包括用于边缘数据网络的客户端(1510,2100),所述UE包括:
通信接口电路(2112),其被配置为促进所述客户端(1510,2100)与所述边缘数据网络的一个或多个服务器(1530,1540,2200)之间的通信;以及
处理电路(2120),其在操作上耦接到所述通信接口电路(2112),由此所述处理电路(2120)和所述通信接口电路(2112)被配置为执行与权利要求1-9中的任一项所述的方法相对应的操作。
25.一种存储计算机可执行指令的非暂时性计算机可读介质,所述计算机可执行指令在由与用于边缘数据网络的客户端(1510,2100)相关联的处理电路(2102)执行时,配置所述客户端(1510,2100)以执行与权利要求1-9中的任一项所述的方法相对应的操作。
26.一种包括计算机可执行指令的计算机程序产品,所述计算机可执行指令在由与用于边缘数据网络的客户端(1510,2100)相关联的处理电路(2102)执行时,配置所述客户端(1510,2100)以执行与权利要求1-9中的任一项所述的方法相对应的操作。
27.一种被配置用于边缘数据网络的服务器(1530,1540,2200),所述服务器(1530,1540,2200)包括:
通信接口电路(2206),其被配置为与用于所述边缘数据网络的一个或多个客户端(1510,2100)通信;以及
处理电路(2202),其在操作上耦接到所述通信接口电路(2206),由此所述处理电路(2201)和所述通信接口电路(2206)被配置为执行与权利要求10-20中的任一项所述的方法相对应的操作。
28.一种存储计算机可执行指令的非暂时性计算机可读介质,所述计算机可执行指令在由与被配置用于边缘数据网络的服务器(1530,1540,2200)相关联的处理电路(2202)执行时,配置所述服务器(1530,1540,2200)以执行与权利要求10-20中的任一项所述的方法相对应的操作。
29.一种包括计算机可执行指令的计算机程序产品,所述计算机可执行指令在由与被配置用于边缘数据网络的服务器(1530,1540,2200)相关联的处理电路(2202)执行时,配置所述服务器(1530,1540,2200)以执行与权利要求10-20中的任一项所述的方法相对应的操作。
30.一种与边缘数据网络相关联的凭证提供者(1520,2200),所述凭证提供者(1520,2200)包括:
通信接口电路(2206),其被配置为与所述边缘数据网络中的一个或多个客户端(1510,2100)通信;以及
处理电路(2202),其在操作上耦接到所述通信接口电路(2206),由此所述处理电路(2202)和所述通信接口电路(2206)被配置为执行与权利要求21-23中的任一项所述的方法相对应的操作。
31.一种存储计算机可执行指令的非暂时性计算机可读介质,所述计算机可执行指令在由与边缘数据网络相关联的凭证提供者(1520,2200)的处理电路(2202)执行时,配置所述凭证提供者(1520,2200)以执行与权利要求21-23中的任一项所述的方法相对应的操作。
32.一种包括计算机可执行指令的计算机程序产品,所述计算机可执行指令在由与边缘数据网络相关联的凭证提供者(1520,2200)的处理电路(2202)执行时,配置所述凭证提供者(1520,2200)以执行与权利要求21-23中的任一项所述的方法相对应的操作。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNPCT/CN2021/127894 | 2021-11-01 | ||
CN2021127894 | 2021-11-01 | ||
PCT/EP2022/080189 WO2023073166A1 (en) | 2021-11-01 | 2022-10-28 | Type-based authentication of edge enabler client (eec) |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118451687A true CN118451687A (zh) | 2024-08-06 |
Family
ID=83851837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280086074.4A Pending CN118451687A (zh) | 2021-11-01 | 2022-10-28 | 边缘使能器客户端(eec)的基于类型的认证 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP4427401A1 (zh) |
CN (1) | CN118451687A (zh) |
WO (1) | WO2023073166A1 (zh) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10764264B2 (en) * | 2005-07-11 | 2020-09-01 | Avaya Inc. | Technique for authenticating network users |
CN102739687B (zh) * | 2012-07-09 | 2016-03-23 | 广州杰赛科技股份有限公司 | 基于标识的应用服务网络访问方法及系统 |
CN103237038B (zh) * | 2013-05-09 | 2016-01-13 | 中国电子科技集团公司第三十研究所 | 一种基于数字证书的双向入网认证方法 |
-
2022
- 2022-10-28 WO PCT/EP2022/080189 patent/WO2023073166A1/en active Application Filing
- 2022-10-28 EP EP22809464.5A patent/EP4427401A1/en active Pending
- 2022-10-28 CN CN202280086074.4A patent/CN118451687A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4427401A1 (en) | 2024-09-11 |
WO2023073166A1 (en) | 2023-05-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2022248118A1 (en) | Authorization of consumer network functions | |
CN118575494A (zh) | 经由ue参数更新upu过程的路由指示符更新 | |
CN117957866A (zh) | 用外部认证服务器认证无线通信设备 | |
CN118451687A (zh) | 边缘使能器客户端(eec)的基于类型的认证 | |
US20240276217A1 (en) | Application-specific gpsi retrieval | |
EP4423977A1 (en) | Enhanced authentication and authorization of servers and clients in edge computing | |
WO2023142676A1 (en) | Service-specific authorization removal in 5g core network (5gc) | |
KR20240005819A (ko) | 메시징 프레임워크 없는 데이터 수집 코디네이션 기능(dccf) 데이터 액세스 인가 | |
WO2023222524A1 (en) | Methods for edge computing client to obtain and use identifiers of user equipment that hosts client | |
WO2024171066A1 (en) | Methods, apparatus and computer-readable media for enabling an application function to utilize resources of a resource owner | |
WO2024209101A1 (en) | Network verification of user equipment (ue) identifier request made by edge client | |
CN118202621A (zh) | 无线通信网络中针对基于邻近的服务的认证 | |
WO2024068611A1 (en) | Security for ai/ml model storage and sharing | |
KR20240137645A (ko) | 무선 통신 디바이스에 의한 트래픽 중계를 위한 보안 | |
WO2024171050A1 (en) | Reuse of security context for non-seamless wireless lan offload | |
WO2024100035A1 (en) | Authorizing federated learning participant in 5g system (5gs) | |
WO2023079342A1 (en) | Using identifier and locator separation to simplify application network service requests | |
EP4385228A1 (en) | Akma key diversity for multiple applications in ue | |
WO2023144155A1 (en) | Redundant target for notification in a communication network | |
WO2024099874A1 (en) | Local authorization for ai/ml model storage and sharing | |
WO2024079129A1 (en) | Security for ai/ml model storage and sharing | |
WO2024175369A1 (en) | Secondary authentication for remote user equipment | |
WO2024104788A1 (en) | Delegated token request for ai/ml model sharing | |
WO2023247221A1 (en) | Reuse of security context for access and registration | |
WO2024210787A1 (en) | User equipment capability information related to radio frequency retuning time |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |