WO2023141753A1 - 传输层安全性协议的建立方法及装置 - Google Patents

Abstract

提供了一种传输层安全性协议的建立方法及装置，该方法包括：边缘配置服务器ECS接收来自边缘使能客户端EEC的第一协商请求信息（S310），第一协商请求信息用于指示EEC支持第一认证方式；ECS支持第一认证方式的情况下，ECS向EEC发送第一协商回复信息（S330a），第一协商回复信息用于指示ECS支持第一认证方式。本申请实施例中的方法，有助于实现EEC与ECS之间的相互认证。

Description

传输层安全性协议的建立方法及装置 技术领域

本申请涉及通信网络安全技术领域，并且更为具体地，涉及一种传输层安全性协议的建立方法及装置。

背景技术

在某些通信网络中，边缘使能客户端(edge enabler client，EEC)与边缘配置服务器(edge configuration server，ECS)之间进行安全可信的数据通信需要建立传输层安全性协议(transport layer security，TLS)隧道。EEC与ECS之间建立TLS隧道时需要进行相互认证。

当前的标准中仅仅规定了EEC与ECS之间进行相互认证可以使用的认证方式，但是并没有进一步指出EEC与ECS之间如何使用这些可使用的认证方式来实现相互认证。也就是说，EEC与ECS并不知道如何基于这些认证方式来实现相互认证。

发明内容

本申请提供一种传输层安全性协议的建立方法及装置，有助于实现EEC与ECS之间的相互认证。

第一方面，提供了一种传输层安全性协议的建立方法，包括：边缘配置服务器ECS接收来自边缘使能客户端EEC的第一协商请求信息，所述第一协商请求信息用于指示所述EEC支持第一认证方式；所述ECS支持第一认证方式的情况下，所述ECS向所述EEC发送第一协商回复信息，所述第一协商回复信息用于指示所述ECS支持所述第一认证方式。

第二方面，提供了一种传输层安全性协议的建立方法，包括：边缘使能客户端EEC向边缘配置服务器ECS发送第一协商请求信息，所述第一协商请求信息用于指示所述边缘使能客户端ECS支持第一认证方式；所述EEC接收来自所述ECS的第一协商回复信息，所述第一协商回复信息用于指示所述ECS支持所述第一认证方式。

第三方面，提供了一种传输层安全性协议的建立方法，包括：边缘使能服务器EES接收来自边缘配置服务器ECS的第五认证方式信息和第三密钥信息，所述第五认证方式信息用于指示第一EEC支持第一认证方式，所述ECS支持的认证方式包括所述第一认证方式，所述EES支持的认证方式包括所述第一认证方式，所述第三密钥信息用于指示特定密钥在第一认证网元中的标识信息，所述特定密钥为所述EEC使用所述第一认证方式在所述第一认证网元上进行认证的过程中所获取的特定密钥，所述第一认证网元用于实现基于所述第一认证方式的认证；所述EES基于所述第三密钥信息从所述第一认证网元获取所述特定密钥。

第四方面，提供了一种传输层安全性协议的建立装置，包括：接收单元，用于接收来自边缘使能客户端EEC的第一协商请求信息，所述第一协商请求信息用于指示所述EEC支持第一认证方式；发送单元，用于在所述装置支持第一认证方式的情况下，向所述EEC发送第一协商回复信息，所述第一协商回复信息用于指示所述装置支持所述第一认证方式。

第五方面，提供了一种传输层安全性协议的建立装置，包括：发送单元，用于向边缘配置服务器ECS发送第一协商请求信息，所述第一协商请求信息用于指示所述边缘使能客户端ECS支持第一认证方式；接收单元，用于接收来自所述ECS的第一协商回复信息，所述第一协商回复信息用于指示所述ECS支持所述第一认证方式。

第六方面，提供了一种传输层安全性协议的建立装置，包括：接收单元，用于接收来自边缘配置服务器ECS的第五认证方式信息和第三密钥信息，所述第五认证方式信息用于指示第一EEC支持第一认证方式，所述ECS支持的认证方式包括所述第一认证方式，所述装置支持的认证方式包括所述第一认证方式，所述第三密钥信息用于指示特定密钥在第一认证网元中的标识信息，所述特定密钥为所述EEC使用所述第一认证方式在所述第一认证网元上进行认证的过程中所获取的特定密钥，所述第一认证网元用于实现基于所述第一认证方式的认证；获取单元，用于基于所述第三密钥信息从所述第一认证网元获取所述特定密钥。

第七方面，提供一种传输层安全性协议的建立装置，包括存储器和处理器，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，以执行如第一方面、第二方面或第三方面中任一方面所述的方法。

第八方面，提供一种传输层安全性协议的建立装置，包括处理器，用于从存储器中调用程序，以执行第一方面、第二方面或第三方面中任一方面所述的方法。

第九方面，提供一种芯片，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行第一方面、第二方面或第三方面中任一方面所述的方法。

第十方面，提供一种计算机可读存储介质，其上存储有程序，所述程序使得计算机执行第一方面、第二方面或第三方面中任一方面所述的方法。

第十一方面，提供一种计算机程序产品，包括程序，所述程序使得计算机执行第二方面、第二方面或第三方面中任一方面所述的方法。

第十二方面，提供一种计算机程序，所述计算机程序使得计算机执行第一方面、第二方面或第三方面中任一方面所述的方法。

在本申请实施例中，通过EEC与ECS之间进行各自支持的认证方式的交互，可以实现EEC与ECS之间的认证方式协商，从而有助于EEC与ECS之间的TLS连接的建立，进而有助于提高EEC与ECS之间的通信安全性。

进一步地，本申请实施例中，EEC与ECS之间可以通过EEC与ECS协商好的认证方式对应的共享密钥来实现相互认证，从而可以实现EEC与ECS之间的TLS连接的建立。

或者，本申请实施例中，EEC与ECS之间可以通过EEC与ECS协商好的认证方式对应的共享密钥和ECS的证书来实现相互认证，从而可以实现EEC与ECS之间的TLS连接的建立。

进一步地，本申请实施例中，EEC与EES可以通过ECS的辅助来实现相互认证，从而有助于提高EEC与EES之间的通信安全性。

进一步地，本申请实施例中，EES发生更新的情况下，可以通过ECS实现EEC与更新后的EES之间的相互认证，从而有助于保证当前与EEC建立TLS连接的EES为质量较优或最优的EES，进而有利于保证EEC的业务实现的可靠性。

附图说明

图1是本申请一个实施例提供的通信系统的示例图。

图2是本申请另一个实施例提供的通信系统的示例图。

图3为本申请一个实施例的EEC与ECS相互认证的方法的示例性流程图。

图4为本申请另一个实施例的EEC与ECS相互认证的方法的示意性流程图。

图5为本申请又一个实施例的EEC与ECS相互认证的方法的示意性流程图。

图6为本申请又一个实施例的EEC与EES相互认证的方法的示意性流程图。

图7为本申请又一个实施例的EEC与EES相互认证的方法的示意性流程图。

图8为本申请一个实施例的传输层安全性协议的建立方法的示意性流程图。

图9为本申请另一个实施例的传输层安全性协议的建立方法的示意性流程图。

图10为本申请又一个实施例的传输层安全性协议的建立方法的示意性流程图。

图11为本申请又一个实施例的传输层安全性协议的建立方法的示意性流程图。

图12为本申请又一个实施例的传输层安全性协议的建立方法的示意性流程图。

图13为本申请又一个实施例的传输层安全性协议的建立方法的示意性流程图。

图14为本申请又一个实施例的传输层安全性协议的建立方法的示意性流程图。

图15是本申请一实施例提供的设备升级的装置的示意性结构图。

图16是本申请另一实施例提供的设备升级的装置的示意性结构图。

图17是本申请又一实施例提供的设备升级的装置的示意性结构图。

图18是本申请一实施例提供的装置的示意性结构图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

图1是本申请一个实施例中的通信网络。该系统100中包括EEC 110、ECS 120和边缘使能服务器(edge enabler server，EES)130。其中，EEC 110与ECS 120之间可以通信，ECS 120与EES 130之间可以通信，EEC 110与EES 130之间可以通信。

可以理解的是，图1所示的系统架构仅是一种示例，本申请实施例的方法和装置适用的通信系统中还可以包括其他网元，或者，可以包括更多数量的EEC、ECS或EES。

本实施例中，EEC可以指部署在用户设备(user equipment，UE)中的边缘使能客户端，具有检索 配置信息，与边缘应用服务器(edge application server，EAS)交换应用数据的作用。其中，UE也可以称为终端设备，该UE可以是手机(mobile phone)、平板电脑(Pad)、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，MID)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。

本实施例中，ECS可以指边缘配置服务器，具有向EEC提供边缘配置信息(与EES建立连接的信息、区分EES的信息)，支持EES的注册的作用。

本实施例中，EES可以指位于边缘数据网络的边缘使能服务器，具有与3GPP核心网交互、访问网络的功能，和向EEC提供配置文件的作用，支持EEC的注册等作用。

EEC 110与ECS 120之间可以建立TLS隧道，即EEC 110与ECS 120之间可以建立TLS连接，以便于可以实现EEC 110与ECS 120之间的信息安全传输。

EEC 110与ECS 120建立TLS连接时，可以使用基于预共享密钥(pre shared key，PSK)的TLS认证方式进行相互认证。但是目前的标准中仅规定了EEC 110与ECS 120之间可以使用哪些TLS认证方式，例如可以使用应用层的认证和密钥管理协议(authentication and key management for applications，AKMA)的认证方式或通用自举架构(generic bootstrapping architecture，GBA)的认证方式，EEC 110与ECS 120之间如何使用标准中规定的TLS认证方式来实现相互认证确不明确。此外，现有标准中也没有进一步明确EEC和EES之间如何实现相互认证。

基于该技术问题，本申请提出了TLS的建立方法和相关装置，有助于实现EEC 110与ECS 120之间的相互认证。进一步地，本申请提出的TLS的建立方法和相关装置，还有助于实现EEC与EES之间的相互认证。

图2为本申请一个实施例的通信网络系统的示例性架构图。图2所示的系统200中可以包括EEC 110、ECS 120、EES 130和认证网元140。其中，EEC 110、ECS 120、EES 130分别可以与认证网元140通信，以实现认证。

作为一个示例，认证网元140可以用于实现AKMA方式的认证。例如，认证网元140可以是AKMA的锚定功能(AKMA anchor function，AAnF)网元。

作为另一个示例，认证网元140可以用于实现GBA方式的认证。例如，认证网元140可以是自举服务功能(bootstrapping server function，BSF)网元。

本申请提供的EEC与ECS相互认证的方法中，EEC向ECS告知EEC支持第一认证方式，ECS判断自己是否也支持第一认证方式。

若ECS也支持第一认证方式，则可以向EEC告知ECS也支持第一认证方式。这种情况下，说明EEC和ECS之间成功协商好认证方式。

若ECS不支持第一认证方式，则可以向EEC告知ECS不支持第一认证方式，或者直接告知EEC认证方式协商失败。ECS向EEC告知ECS不支持第一认证方式的情况下，EEC可以基于该告知确认EEC与ECS之间认证方式协商失败。

EEC与ECS相互认证的方法中，在协商认证方式至于，还可以进一步基于协商的第一认证方式来获取特定密钥，以便于生成TLS预主密钥。

在一种可能的实现方式中，EEC向ECS告知EEC支持第一认证方式时，还向ECS告知EEC基于第一认证方式在认证网元进行认证所获得的第一特定密钥的第一标识信息。这种情况下，ECS确定认证方式协商成功的情况下，基于该第一标识信息从认证网元获取第一特定密钥，并基于第一特定密钥生成TLS预主密钥。

在一种可能的实现方式中，ECS向EEC告知ECS也支持第一认证方式时，还向EEC告知ECS的证书信息。EEC验证ECS告知的证书信息与EEC上配置的证书信息一致的情况下，以EEC基于第一认证方式在认证网元进行认证所获得的第一特定密钥的第一标识信息为用户名、以该第一特定密钥为口令获取第一摘要信息，并向ECS告知该第一摘要信息和第一标识信息。ECS接收到第一摘要信息和第一标识信息之后，基于第一标识信息从认证网元获取特定密钥并以第一标识信息为用户名、以该特定密钥为口令获取摘要信息。在该摘要信息与第一摘要信息一致的情况下，确定该特定密钥为第一特定密钥，并基于第一特定密钥生成TLS预主密钥。

本申请中，EEC获取第一特定密钥之后，也可以基于第一特定密钥生成TLS预主密钥。

EEC和ECS获取到第一特定密钥的情况下，可以认为EEC与ECS之间的TLS隧道或TLS连接已建立。

或者，EEC和ECS基于第一特定密钥获取到预主密钥的情况下，可以认为EEC与ECS之间的TLS隧道或TLS连接已建立。

图3为本申请一个实施例的EEC与ECS相互认证的方法的示例性流程图。如图3所示，该方法可以包括S310、S320、S330a和S330b。其中，S330a和S330b是择一执行。

作为一个示例，本实施例中的EEC可以是图2所示系统中的EEC 110，本实施例中的ECS可以是图2所示系统中的ECS 120，本实施例中的认证网元可以是图2所示系统的认证网元140。

S310，EEC向ECS发送第一协商请求信息，所述第一协商请求信息用于指示EEC支持第一认证方式。相应地，ECS接收该第一协商请求信息。

可以理解的是，在执行S310之前，EEC上可以预先配置有ECS或已经发现了ECS的地址。ECS的地址的一种示例包括ECS的统一资源标志符(uniform resource identifier，URI)。

本实施例中，EEC可以使用基于PSK的TLS认证方式，且EEC上可以预先配置好其可以支持的TLS认证方式包括哪些认证方式。本实施例中的认证方式也可以称为认证算法或者认证算法能力。

可以理解的是，EEC支持的TLS认证方式可以是一种，也可以包括多种。例如，EEC支持的TLS认证方式可以包括基于AKMS的认证方式，也可以包括基于BSF的认证方式，也可以既包括基于AKMS的认证方式也包括基于BSF的认证方式。

当EEC与ECS建立ELS连接时，EEC可以从自己支持的认证方式中选择一种认证方式。

作为一种示例，EEC支持的认证方式设置有优先级，EEC基于认证方式的优先级来选择认证方式。例如，可以选择优先级最高的认证方式。

为了描述方面，本实施例中将EEC从自己所支持的TLS认证方式选择的认证方式称为第一认证方式。

EEC选择好认证方式之后，可以向ECS发送信息，以向ECS告知EEC支持第一认证方式。本实施例中，用于指示EEC支持第一认证方式的信息称为第一协商请求信息。

作为一个示例，第一认证方式包括基于GBA的认证方式时，第一协商请求信息中可以包括“3GPP-bootstrapping-uicc”、“3GPP-bootstrapping”或“3GPP-bootstrapping-digest”等指示信息，以指示EEC支持的第一认证方式为基于AKMA的认证方式。

作为另一个示例，第一认证方式包括基于AKMA的认证方式时，第一协商请求信息中可以包括“3GPP-AKMA”等指示信息，以指示EEC支持的第一认证方式为基于GBA的认证方式。

可选地，EEC向ECS发送第一认证方式时，还可以向ECS发送EEC所属的UE的相关信息，例如可以包括该UE的标识信息、通用公共用户标识(generic public subscription identifier，GPSI)、连通性信息、位置信息和应用客户端配置文件(application client profile，AC profile)信息中一种或多种信息。

S320，ECS判断是否支持第一协商请求信息指示的第一认证方式。若支持则执行S330a，若不支持则执行S330b。

例如，ECS接收到第一协商请求信息，基于第一协商请求信息获知EEC支持第一认证方式之后，可以根据ECS本地配置的认证方式信息确定自己是否支持第一认证方式。

作为一种示例，若ECS本地配置的认证方式信息中包括第一认证方式，则可以确定ECS支持第一认证方式，否则可以确定ECS不支持第一认证方式。

例如，第一协商请求信息中包括“3GPP-bootstrapping-uicc”、“3GPP-bootstrapping”或“3GPP-bootstrapping-digest”时，若ECS本地配置的认证方式信息中也包括相同的信息，则可以确定ECS支持第一认证方式。

又如，第一协商请求信息中包括“3GPP-AKMA”时，若ECS本地配置的认证方式信息中也包括相同的信息，则可以确定ECS支持第一认证方式。

ECS也支持第一认证方式的情况下，说明ECS与EEC之间可以使用第一认证方式来实现相互认证。或者说ECS与EEC之间协商认证方式成功，协商的认证方式为第一认证方式。

ECS不支持第一认证方式的情况下，说明ECS与EEC之间不可以使用第一认证方式来实现相互认证。或者说ECS与EEC之间协商认证方式失败。

S330a，ECS向EEC发送第一协商回复信息，第一协商回复信息用于指示ECS支持第一认证方式。相应地，EEC接收该第一协商回复信息。

这种情况下，说明EEC与ECS之间的认证方式协商完成，并且协商成功。

作为一个示例，第一认证方式包括基于GBA的认证方式时，第一协商回复信息中可以包括“3GPP-bootstrapping-uicc”、“3GPP-bootstrapping”或“3GPP-bootstrapping-digest”等指示信息。

作为另一个示例，第一认证方式包括基于AKMA的认证方式时，第一协商回复信息中可以包括“3GPP-AKMA”等指示信息。

S330b，ECS向EEC发送认证结果指示信息，该认证结果指示信息用于指示ECS与EEC的认证方式协商失败。

这种情况下，可选地，ECS还可以EEC发送指示信息，以告知协商失败的认证方式为第一认证方式。

本实施例中，EEC向ECS告知自己支持的认证方式包括第一认证方式，ECS基于自己是否支持第一认证方式来回应EEC是否使用第一认证方式，从而可以实现EEC与ECS之间的认证方式的协商，从而可以辅助EEC与ECS之间通过第一认证方式实现认证，即有助于EEC与ECS之间的相互认证。

图3所示的实施例可以称为EEC与ECS之间的认证方式的协商，下面介绍EEC和ECS基于图3所示的方法实现EEC和ECS之间相互认证的实现方式。

图4为本申请一个实施例的EEC与ECS相互相认的方法的示例性流程图。如图4所示，该方法可以包括S405、S410、S415、420、S425、S430a、S430b和S440。其中，S430a和S430b是择一执行，S440是可选步骤。

S405，EEC基于第一认证方式在认证网元上进行认证，得到特定密钥和该特定密钥的标识信息，该认证网元用于实现基于第一认证方式的认证。

作为一个示例，该认证网元为图2所示系统中的认证网元140。

本实施例中，该特定密钥的标识信息可以是该特定密钥在认证网元上的标识信息，即通过该标识信息可以从该认证网元中获取该特定密钥。

例如，第一认证方式为基于AKMA的认证方式时，EEC可以与AAnF网元进行AKMA认证过程，并获得特定密钥“KAF”和该特定密钥的标识信息“AKMA的密钥标识(AKMA key identifier，A-KID)”。

又如，第一认证方式为基于GBA的认证方式时，EEC可以与BSF网元进行自举(bootsrapping)过程，并获得特定密钥“Ks_ext_NAF”或Ks_int_NAF，以及获得该特定密钥的标识信息“自举传输身份标识(bootstrapping transaction identifier，B-TID)”。

可选地，EEC基于第一认证方式在认证网元上进行认证的过程中，可以得到一个或多个特定密钥以及每个特定密钥的标识信息

S410，EEC向ECS发送第一协商请求信息，第一协商请求信息用于指示EEC支持第一认证方式。相应地，ECS接收该第一协商请求信息。

该步骤可以参考S310，此处不再赘述。

S415，EEC向ECS发送第一密钥信息，第一密钥信息包括特定密钥的标识信息。相应地，ECS接收该第一密钥信息。

可以理解的是，第一协商请求信息与第一密钥信息可以携带在同一个消息中，也可以携带在不同的消息中。

第一协商请求信息与第一密钥信息携带在同一个消息中时，作为一个示例，该消息可以是“ClientHello Message”

作为一个示例，第一认证方式为基于AKMA的认证方式时，第一密钥信息中可以包括特定密钥的标识信息“A-KID”。

作为另一个示例，第一认证方式为基于GBA的认证方式时，第一密钥信息中可以包括特定密钥的标识信息“B-TID”。

EEC在S405中获取到的特定密钥为一个的情况下，第一密钥信息中的标识信息即为该特定密钥的标识信息。

EEC在S405中获取的特定密钥为多个的情况下，第一密钥信息中的标识信息可以是这多个特定密钥中的一个特定密钥的标识信息，也可以是这多个特定密钥中部分多个特定密钥的标识信息，还可以是这多个特定密钥中所有特定密钥的标识信息。

第一密钥信息指示的标识信息为多个特定密钥中的部分特定密钥的标识信息时，这部分特定密钥可以是基于预先设置的规则选择的。

作为一个示例，预先设置的规则可以随机选择。作为另一个示例，预先设置的规则可以是按照这多个特定密钥的优先级选择优先级靠前的一个或多个。

S420，ECS判断是否支持第一协商请求信息指示的第一认证方式。若支持则执行S425a和S430a，若不支持则执行S430b。

该步骤的实现可以参考S320，此处不再赘述。

S425，ECS基于第一密钥信息获取特定密钥。

具体地，ECS基于第一认证方式和第一密钥信息获取第一密钥信息中的标识信息指示的特定密钥。

若第一密钥信息中的标识信息为一个，作为一个示例，ECS可以基于该标识信息从第一认证方式 的认证网元处获取特定密钥。

若第一密钥信息中的标识信息为多个，作为一个示例，ECS可以先从这多个标识信息中选择一个标识信息，再基于这一个标识信息从第一认证方式的认证网元处获取特定密钥。

例如，第一认证方式为基于AKMA的认证方式时，ECS可以基于“A-KID”标识信息从AAnF网元处获取特定密钥“KAF”。

又如，第一认证方式为基于GBA的认证方式时，ECS可以基于“B-TID”标识信息从BSF网元处获取特定密钥“Ks_ext_NAF”或Ks_int_NAF。

S430a，ECS向EEC发送第一协商回复信息，第一协商回复信息用于指示ECS支持第一认证方式。相应地，EEC接收该第一协商回复信息。

该步骤可以参考图3中的S330a，此处不再赘述。

S430b，ECS向EEC发送认证结果指示信息，该认证结果指示信息用于指示ECS与EEC的认证方式协商失败。

该步骤可以参考图3中的S430a，此处不再赘述。

本实施例中，通过EEC从认证网元之间进行认证并获取到特定密钥，以及ECS基于EEC告知特定密钥的标识信息从认证网元获取特定密钥，可以实现EEC与ECS的相互认证。本申请中，将这种认证方式称为基于共享的TLS密钥的PSK相互认证。

本实施例中，可选地，S415和S425a可以位于S430a之后。例如，EEC在S430a中接收到第一协商回复信息并基于该第一协商回复信息获知EEC和ECS之间的认证方式认证成功的情况下，才依次执行S415和S425a。

本实施例中，S415和S425a位于S430a之后的情况下，S405也可以位于S430a之后。例如，EEC在S430a中接收到第一协商回复信息并基于该第一协商回复信息获知EEC和ECS之间的认证方式认证成功的情况下，才依次执行S405、S415和S425a。

本实施例中，可选地，在执行S430之后，还可以包括S440，即EEC向ECS发送认证完成信息，该认证完成信息用于指示认证完成。

图5为本申请另一个实施例的EEC与ECS相互认证的方法的示例性流程图。如图5所示，该方法可以包括S510、S520、S530a、S530b，S540、S550、S560、S570及S580。其中，S530a和S530b是择一执行，S530之后的该步骤都是在执行S530的基础上才执行的。

S510，EEC向ECS发送第一协商请求信息，所述第一协商请求信息用于指示所述边缘使能客户端ECS支持第一认证方式。相应地，ECS接收该第一协商请求信息。

该步骤可以参考S310，此处不再赘述。

S520，ECS判断是否支持第一协商请求信息指示的第一认证方式。若支持则执行S525和S530a，若不支持则执行S530b。

本步骤中ECS判断是否支持第一协商请求信息指示的第一认证方式的实现方式可以参考S320中相关内容，此处不再赘述。

S530a，ECS向EEC发送第一协商回复信息和证书信息，第一协商回复信息用于指示ECS支持第一认证方式，该证书信息中包括ECS的全限定域名全限定域名(FQDN fully qualified domain name，FQDN)。相应地，EEC接收该第一协商回复信息和该证书信息。

该步骤可以参考S330a，此处不再赘述。

可选地，证书信息和第一协商回复信息可以携带在同一个消息中，也可以携带在不同的消息中。

S530b，ECS向EEC发送认证结果指示信息，该认证结果指示信息用于指示ECS与EEC的认证方式协商失败。

该步骤可以参考S330b，此处不再赘述。

S540，EEC基于证书信息中的FQDN对ECS进行验证。若验证成功，则执行S550。

作为一种实现方式，EEC的URL中记录有FQDN，EEC可以验证在URL中的FQDN和证书信息中的FQDN是否匹配。若匹配，则验证成功，否则验证失败。

S550，EEC基于第一认证方式在认证网元上进行认证，得到特定密钥和该特定密钥的标识信息，该认证网元用于实现基于第一认证方式的认证。

该步骤可以参考S405，此处不再赘述。

S560，EEC向ECS发送第二密钥信息，第二密钥信息包括特定密钥在认证网元上的标识信息以及摘要信息，该摘要信息是以该标识信息为用户名且以该特定密钥为口令生成的。相应地，ECS接收该第二密钥信息。

EEC在S550中获取的特定密钥为多个的情况下，第二密钥信息中的标识信息可以是这多个特定密 钥中的一个特定密钥的标识信息，也可以是这多个特定密钥中部分多个特定密钥的标识，还可以是这多个特定密钥中所有特定密钥的标识信息。

相应地，该摘要信息包括以第二密钥信息中的每个特定密钥的标识信息为用户名、且以该特定密钥为口令生成的摘要信息。

第二密钥信息指示的特定密钥可以是基于预先设置的规则在EEC从认证网元获取的特定密钥中选择的。

作为一个示例，预先设置的规则可以随机选择。作为另一个示例，预先设置的规则可以是按照这多个特定密钥的优先级选择优先级靠前的一个或多个。

S570，ECS从认证网元获取第二密钥信息标识的特定密钥。

该步骤可以参考S425，此处不再赘述，执行将S425中第一密钥信息中的标识信息换成第二密钥信息中的标识信息即可。

S580，ECS基于从认证网元获取的特定密钥对该摘要信息进行验证。

具体地，ECS以第二密钥信息中的标识信息为用户名且以ECS从认证网元获取的特定密钥为口令生成摘要信息，并将该摘要信息与第二密钥信息中的摘要信息进行对比。若一直，则验证成功；若不一致，则认证失败。

若验证成功，则说明ECS与EEC相互认证成功，否则说明ECS与EEC认证失败。

图3至图5任意图所示实施例中，EEC可以基于特定密钥生成TLS的预主密钥PSK。本实施例中并不限定EEC基于特定密钥生成TLS的预主密钥PSK的派生时间。例如，EEC可以在获取到特定密钥之后即生成，也可以实在接收到第一协商回复信息之后才生成，或者是在后续的通信过程中才生成。

图3至图5任意图所示实施例中，ECS可以基于特定密钥生成TLS的预主密钥PSK。本实施例中并不限定ECS基于特定密钥生成TLS的预主密钥PSK的派生时间。例如，ECS可以在获取到特定密钥之后即生成，也可以实在接收到认证完成信息之后才生成，或者是在后续的通信过程中才生成。

本实施例中，ECS向EEC告知ECS的证书信息，以使得EEC可以基于该证书信息对ECS进行认证，然后EEC向ECS发送特定密钥的标识信息和对应的摘要信息，以使得ECS基于该标识信息和摘要信息完成认证，从而实现EEC与ECS的相互认证。

上面介绍了EEC和ECS之间的相互认证过程，下面介绍EEC与EES之间的相互认证过程。本申请提供的EEC与EES相互认证的方法中，ECS获知EEC支持第一认证方式后，为ECS选择支持第一认证方式的EES。若选择成功，则告知EEC为其选择的EES为哪个EES，并向EES告知EEC使用第一认证方式进行认证所获得的特定密钥的标识信息，以便于EES可以基于该标识信息获取该特定密钥。

ECS为EEC选择支持第一认证方式的EES的实现方式有多种。下面进行示例性介绍。

在一种可能的实现方式中，ECS上配置有一个或多个EES的配置信息，该配置信息包括每个EES支持的认证方式。这种情况下，ECS基于该配置信息选择支持第一认证方式的EES作为该EEC的EES。为了描述方便，本申请中将ECS为EEC选择的EES称为第一EES。

如果支持第一认证方式的EES有多个，ECS可以进一步基于其他信息从这多个EES中选择能够为EEC提供较好服务质量甚至最好服务质量的EES作为第一EES。

例如，ECS可以获知EEC的位置信息，并基于该位置信息从这多个EES中选择距离EEC最近的EES作为第一EES。

在另一种可能的实现方式中，ECS可以向EES告知EEC支持第一认证方式，让EES基于自己支持的认证方式来向ECS反馈EES自己是否支持第一认证方式。

其中，EES向ECS反馈自己支持第一认证方式的情况下，ECS可以将该EES选做第一EES。

EES向ECS反馈自己不支持第一认证方式的情况，在一些实现方式中，ECS可以确定EEC与EES之间的认证方式协商失败，并告知EEC该协商结果。例如，所有EES均不支持第一认证方式的情况下，ECS可以确定EEC与EES之间的认证方式协商失败。

EES向ECS反馈自己不支持第一认证方式的情况，在另一些实现方式中，ECS向其他EES询问是否支持第一认证方式。

本申请中，ECS向EES告知的EEC使用第一认证方式进行认证所获得的第二特定密钥与ECS获取的第一特定密钥可以相同，也可以不相同。

本申请中，ECS向EES告知EEC通过第一认证方式进行认证所获得的第二特定密钥的方式有多种。下面进行示例性介绍。

在一种可能的实现方式中，EEC向ECS发送第二特定密钥的第二标识信息，ECS向EES转发该第二标识信息。这种实现方式中，EEC基于该第二标识信息从认证网元中获取第二特定密钥，并基于该第二特定密钥生成第二TLS预主密钥。

在另一种可能的实现方式中，EEC向ECS发送以第二特定密钥的第二标识信息为用户名、以第二特定密钥为口令生成的第二摘要信息以及该第二标识信息，ECS向EES转发该第二标识信息和第二摘要信息，EES基于第二标识信息从认证网元获取特定密钥，并以第二标识信息为用户名、以该特定密钥为口令生成摘要信息，并对比该摘要信息和第二摘要信息。若一致，则可以将该特定密钥作为第二特定密钥，并基于该第二特定密钥生成第二TLS预主密钥。

图6为本申请一个实施例的EEC与ECS相互认证的方法的示意性流程图。该方法中，ECS使用前述第一种可能的实现方式为如图6所示，该方法可以包括步骤S610、S615、S620、S630a、S630b、S640及S650。其中，S630a和S630b是择一执行。

S610，EEC向ECS发送第二协商请求信息，所述第二协商请求信息用于指示EEC支持第一认证方式。相应地，ECS接收该第二协商请求信息。

该步骤中第一认证方式可以参考图3所示方法中第一认证方式的相关内容；第二协商请求信息可以参考图3所示方法中第一协商请求信息的相关内容，此处不再赘述。

S615，EEC向ECS发送第二密钥信息，第二密钥信息用于指示第二特定密钥，第二特定密钥为EEC使用第一认证方式在认证网元上进行认证的过程中所获取的特定密钥。

本步骤中的第二特定密钥可以参考图3所示方法中第一特定密钥的相关内容，第二密钥信息可以参考图3所示方法中第一密钥信息的相关内容，此处不再赘述。

作为一种示例，第二密钥信息可以包括第二特定密钥在认证网元中的第二标识信息。第二特定密钥

作为另一种示例，第二密钥信息中可以包括以第二标识信息为用户名、以第二特定密钥为口令生成的第二摘要信息，以及包括第二标识信息。

S620，ECS基于配置信息确定是否存在支持第一认证方式的EES。若存在则执行S630a，若不存在则执行S630b。

该步骤可以参考前述ECS为EEC选择支持第一认证方式的EES的第一种可能的实现方式，此处不再赘述。

S630a，ECS向EEC发送EES指示信息，所述EES指示信息用于指示第一EES，第一EES为支持第一认证方式的EES。

作为一种示例，EES指示信息中可以包括第一EES的地址信息。

S630b，ECS向EEC发送认证结果指示信息，所述认证结果指示信息用于指示所述ECS与所述EEC的认证方式协商失败。

S640，ECS向第一ESS发送第二密钥信息。相应地，第一EES接收该第二密钥信息。

S650，第一EES基于第二密钥信息获取第二特定密钥。

该步骤的实现可以参考图3所示方法中ECS基于第一密钥信息获取第一特定密钥的相关内容，此处不再赘述。

图7为本申请一个实施例的EEC与EES相互认证的方法的示意性流程图。该方法中，ECS使用前述第一种可能的实现方式为如图7所示，该方法可以包括步骤S710、S715、S720、S730、S740a、S740b、S750、S760及S770。其中，S740a和S740b是择一执行。

S710，EEC向ECS发送第二协商请求信息，所述第二协商请求信息用于指示EEC支持第一认证方式。相应地，ECS接收该第二协商请求信息。

该步骤中第一认证方式可以参考图3所示方法中第一认证方式的相关内容；第二协商请求信息可以参考图3所示方法中第一协商请求信息的相关内容，此处不再赘述。

S715，EEC向ECS发送第二密钥信息，第二密钥信息用于指示第二特定密钥，第二特定密钥为EEC使用第一认证方式在认证网元上进行认证的过程中所获取的特定密钥。

本步骤中的第二特定密钥可以参考图3所示方法中第一特定密钥的相关内容，第二密钥信息可以参考图3所示方法中第一密钥信息的相关内容，此处不再赘述。

作为一种示例，第二密钥信息可以包括第二特定密钥在认证网元中的第二标识信息。第二特定密钥

作为另一种示例，第二密钥信息中可以包括以第二标识信息为用户名、以第二特定密钥为口令生成的第二摘要信息，以及包括第二标识信息。

S720，ECS向第一EES发送协商询问请求信息，协商询问请求信息用于指示EEC支持第一认证方式。相应地，第一EES接收协商询问请求信息。

协商询问请求信息指示第一认证方式的实现方式可以参考第一协商请求信息指示第一认证方式的实现方式，此处不再赘述。

S730，第一EES判断是否支持第一认证方式。若支持则执行S740a，若不支持则执行S740b。

S740a，第一EES向ECS发送第一协商询问反馈信息，第一协商询问反馈信息用于指示第一EES 支持第一认证方式。相应地，ECS接收第一协商询问反馈信息。

S740b，第一EES向ECS发送第二协商询问反馈信息，第二协商询问反馈信息用于指示第一EES不支持第一认证方式，或用于指示第一ECS与EEC的认证方式协商失败。相应地，ECS接收第一协商询问反馈信息。

S750，ECS向第一ESS发送第二密钥信息。相应地，第一EES接收该第二密钥信息。

S760，第一EES基于第二密钥信息获取第二特定密钥。

S770，ECS向ECC发送认证结果指示信息，所述认证结果指示信息用于指示EEC与EES的认证方式协商失败。

该步骤的实现可以参考图3所示方法中ECS基于第一密钥信息获取第一特定密钥的相关内容，此处不再赘述。

本实施例中，S770在S740b执行的情况下才执行。S750和S760在S740a执行的情况下才执行。

可选地，S715也可以位于S740a和S750之间。

图6或图7所示实施例中，EEC可以基于特定密钥生成TLS的预主密钥PSK。本实施例中并不限定EEC基于特定密钥生成TLS的预主密钥PSK的派生时间。例如，EEC可以在获取到特定密钥之后即生成，也可以实在接收到第一协商回复信息之后才生成，或者是在后续的通信过程中才生成。

图6或图7所示实施例中，ECS可以基于特定密钥生成TLS的预主密钥PSK。本实施例中并不限定ECS基于特定密钥生成TLS的预主密钥PSK的派生时间。例如，ECS可以在获取到特定密钥之后即生成，也可以实在接收到认证完成信息之后才生成，或者是在后续的通信过程中才生成。

本申请实施例提供的传输层安全性协议的建立方法中，可以包括图3至图7中任意图所示的方法，或者可以包括图3至图5中任一项图所示的方法和图6至图7中任意图所示的方法。

例如，在一种可能的实现方式中，本申请实施例提供的传输层安全性协议的建立方法中可以包括图4和图6所示的方法。

又如，在另一种可能的实现方式中，本申请实施例提供的传输层安全性协议的建立方法中可以包括图和图6所示的方法。

本申请还提出一种在ECS关联的EES发生更新的情况下如何建立传输层安全性协议的的方法。

作为一个示例，ECS关联的EES发生更新可以包括：ECS上有新的EES注册。

作为一个示例，ECS关联的EES发生更新可以包括：原有EES注销之后又重新注册。

作为一个示例，ECS关联的EES发生更新可以包括：原有EES支持的认证方式发生改变。

ECS关联的EES发生更新的情况下，ECS可以基于EEC支持的第一认证方式为EEC重新选择提供服务的EES，并告知EEC该重新选择的EES的相关信息(例如地址信息，EES也支持第一认证方式)，以便于EEC与EES之间可以通过前面关于EEC与EES之间相关认证方法中相关步骤实现相互认证。

例如，EEC与EES之间可以通过图6或图7所示方法中关于EEC与EES之间相关认证方法中相关步骤实现相互认证。

可以理解的是，在ECS为EEC重新选择的EES与之前的EES相同且该EES也支持第一认证方式的情况下，可以不用触发EEC与EES之间进行相互认证。

图8本申请一个实施例的传输层安全性协议的建立方法的示意性流程图。该方法的认证过程基于TS 33.222条款(clause)5.4.0.2，本申请实施例为EEC与ECS之间基于共享的TLS密钥PSK相互认证，EES算法信息已存储在ECS中，且EEC中已经预先配置好或者已经发现了ECS的地址(例如URI)。该方法可以包括步骤S810、S820、S830、S840、S850、S860、S870及S880。

S810，EEC根据认证算法能力获取特定密钥。

例如，当EEC与ECS建立TLS连接时，EEC可以选择使用基于PSK的TLS认证。如果EEC支持使用AKMA，则EEC可以进行AKMA认证过程获得ECS特定密钥KAF；如果EEC支持使用GBA，则EEC可以与BSF网元进行bootstrapping过程，并获得ECS特定密钥Ks_(ext)_NAF或Ks_int_NAF。

进一步地，EEC可以通过ECS特定密钥生成TLS的预主密钥PSK。(本申请实施中不限定该预主密钥的派生时间)。

同时，EEC可以生成与EES的特定密钥，并进一步生成与EES的TLS预主密钥(本申请实施中不限定该预主密钥的派生时间)。

S820，EEC向ECS发送认证算法请求协商消息。

当EEC想要与ECS建立TLS连接时，EEC可以向ECS发送认证算法请求协商消息(ClientHello Message)，其中可以包含认证算法选择消息，即UE支持的认证算法能力(例如，如果UE支持GBA，则可以发送"3GPP-bootstrapping-uicc"、"3GPP-bootstrapping"、或"3GPP-bootstrapping-digest"，以及相应的B-TID；如果UE支持AKMA，则可以发送"3GPP-AKMA"以及相应的A-KID)。该消息可以包含 UE标识，例如GPSI、连通性信息、UE位置和AC profile信息。

S830，ECS根据本地配置检查是否支持EEC选择的认证算法并选择EES。

ECS可以根据本地算法配置和收到的EEC认证算法能力，检查其是否支持EEC选择的认证算法。

ECS可以利用3GPP核心网络的能力(例如UE位置)或EEC提供的配置文件来识别EES。ECS可以帮助EEC与已识别的EES进行身份验证协商。如果EES算法信息已存储到ECS中。ECS可以利用3GPP核心网络的能力(例如UE位置)或EEC提供的配置文件和EES算法信息，来选择支持与EEC认证的EES。

S840，ECS进行认证算法协商。

若ECS支持基于PSK的TLS，则ECS可以根据本地认证算法配置与EEC协商生成PSK的认证算法。此时，可以包括以下几种情况：

(a)若EEC与ECS协商使用AKMA，ECS可以通过收到的A-KID，从AAnF处检索出KAF。

(b)若EEC与ECS协商使用GBA，则ECS可以通过收到的B-TID，从BSF检索出Ks_(ext)_NAF或Ks_int_NAF。

(c)如果协商失败，则ECS可以生成失败指示。

ECS可以通过特定密钥Ks_(ext)_NAF、Ks_int_NAF或KAF，生成TLS预主密钥PSK；

同时，ECS可以为EES执行与EEC的认证算法选择过程。

S850，ECS向EEC发送协商结果。

如果成功，ECS可以向EEC发送ServerHello消息(该消息可以包含认证算法和步骤S830中选择的EES profile)协助EEC与EES之间的认证；如果失败，ECS可以向EEC发送失败指示。

S860，EEC向ECS发送认证算法选择完成消息。

S870，ECS向EES发送协商结果。

如果协商成功，ECS通知EES协商结果；如果失败，ECS向EES发送失败指示。

S880，EES生成预主密钥。

根据本地算法配置和接收到的EEC认证算法能力，EES检查是否支持EEC选择的认证算法。此时，可以包括以下几种情况：

(a)若EEC与EES协商使用AKMA，EES可以通过收到的A-KID从AAnF处检索出KAF。

(b)若EEC与EES协商使用GBA，则EES可以通过收到的B-TID从BSF检索出Ks_(ext)_NAF或Ks_int_NAF。

EES可以通过特定密钥Ks_(ext)_NAF、Ks_int_NAF或KAF，生成TLS预主密钥PSK；

图9为本申请一个实施例的传输层安全性协议的建立方法的示意性流程图。该方法的认证过程基于TS 33.222条款(clause)5.3，本申请实施例为EEC与ECS之间基于共享的TSL密钥PSK和ECS的证书相互认证，EES算法信息已存储在ECS中，且EEC中已经预先配置好或者已经发现了ECS的地址(例如URI)。该方法可以包括步骤S910、S920、S930、S940、S950、S960、S970及S980。

S910，EEC向ECS发送认证算法能力。

若EEC基于ECS证书与ECS建立了TLS连接，EEC可以向ECS发送超文本传输协议(hyperText transfer protocol，HTTP)请求，其中可以包含EEC的认证算法能力，被预共享密钥标识(pre shared key identity hint，PSK-Identity hint)，例如，PSK-Identity hint可以包括"3GPP-bootstrapping-uicc"、"3GPP-bootstrapping"、"3GPP-bootstrapping-digest"，或"3GPP-AKMA"等。该消息还可以包含UE标识，例如，GPSI、连通性信息、UE位置和AC profile信息。

S920，ECS确定是否支持EEC选择的认证算法。

ECS可以根据本地算法配置和收到的EEC认证算法能力，检查其是否支持EEC选择的认证算法。如果协商失败，ECS可以生成失败指示。同时，ECS可以为EES执行与EEC的认证算法选择过程。

如果EES算法信息已存储到ECS中，ECS可以利用3GPP核心网络的能力(例如UE位置)或EEC提供的配置文件和EES算法信息，来选择支持与EEC认证的EES。

S930，ECS向EEC发送协商结果。

ECS可以向EEC发送WWW认证响应标头(WWW-Authenticate header)域，其中可以包含选择的认证算法标识和步骤S920中选定的EES Profile，或失败指示。

S940，EEC验证ECS的FQDN。

EEC验证与之建立TLS连接的ECS的FQDN，可以根据收到的认证算法标识。如果使用GBA，EEC可以与BSF网元执行GBA流程，生成ECS的特定密钥Ks_(ext)_NAF或Ks_int_NAF并派生TLS预主密钥PSK；如果使用AKMA，EEC可以执行AKMA流程，生成ECS的特定密钥KAF并派生PSK。

同理，EEC可以生成EES的特定密钥Ks_(ext)_NAF、Ks_int_NAF，或KAF并派生相应的PSK。

S950，EEC向ECS发送回应消息。

EEC可以向ECS发送回应消息，其中可以包含认证标头(Authorization header)域。如果选择GBA，域中的摘要计算可以使用B-TID作为用户名，使用Ks_(ext)_NAF或Ks_int_NAF作为口令；如果选择AKMA，域中的摘要计算可以使用A-KID作为用户名，使用KAF作为口令。

S960，ECS验证摘要。

ECS收到回应消息后，可以根据B-TID从BSF网元，或者A-KID从AAnF网元处获得对应的密钥来对摘要进行验证。

S970，ECS向EES发送协商结果。

如果协商成功，ECS可以通知EES协商结果；如果失败，ECS可以向EES发送失败指示。

S980，EES生成预主密钥。

如果协商成功，EES可以根据B-TID从BSF网元，或者A-KID从AAnF网元处获得对应的密钥并派生TLS预主密钥PSK。

图10为本申请一个实施例的传输层安全性协议的建立方法的示意性流程图。该方法为EEC与ECS之间基于共享的TLS密钥PSK相互认证，EES算法信息未存储在ECS中，且EEC中已经预先配置好或者已经发现了ECS的地址(例如URI)。该方法可以包括步骤S1010、S1020、S1030、S1040、S1050、S1060、S1070及S1080。

S1010，EEC获取特定密钥。

当EEC与ECS建立TLS连接时，EEC可以选择使用基于PSK的TLS认证，如果EEC支持使用AKMA，则EEC可以进行AKMA认证过程获得ECS特定密钥KAF；如果EEC支持使用GBA，则EEC可以与BSF网元进行bootstrapping过程，并获得ECS特定密钥Ks_(ext)_NAF或Ks_int_NAF。进一步地，UE可以通过ECS特定密钥生成TLS的预主密钥PSK。

同理EEC可以生成与EES的特定密钥，并进一步生成与EES的TLS预主密钥。

S1020，EEC向ECS发送认证算法请求协商消息。

EEC可以在向ECS发送的ClientHello消息中向ECS指示其支持基于PSK的TLS认证，该消息中可以包含EEC的认证算法能力，被PSK-Identity hint(即"3GPP-bootstrapping-uicc"、"3GPP-bootstrapping"、"3GPP-bootstrapping-digest"，或"3GPP-AKMA")标识，用于指示EEC生成PSK的认证算法能力。该消息可以包含UE标识，如GPSI、连通性信息、UE位置和AC profile信息)。

S1030，ECS进行认证算法协商。

若ECS支持基于PSK的TLS，则ECS可以根据本地认证算法配置与EEC协商生成PSK的认证算法。此时，可以包括以下几种情况：

(a)若EEC与ECS协商使用AKMA，ECS可以通过收到的A-KID从AAnF网元处检索出KAF。

(b)若EEC与ECS协商使用GBA，则ECS可以通过收到的B-TID从BSF网元检索出Ks_(ext)_NAF或Ks_int_NAF；

(c)如果协商失败，则ECS可以生成失败指示。

ECS可以通过特定密钥Ks_(ext)_NAF、Ks_int_NAF或KAF，生成TLS预主密钥PSK；

ECS可以为EES执行与EEC的认证算法选择过程，若EES的认证算法信息未存储在ECS中，则ECS可以向EES发送EEC的认证算法信息以便EES根据自身配置选择认证算法。

S1040，ECS向EES发送认证算法选择请求消息。

ECS可以向EES发送认证算法选择请求消息，其中可以包含EEC的认证算法能力PSK-Identity hint(即"3GPP-bootstrapping-uicc"、"3GPP-bootstrapping"、"3GPP-bootstrapping-digest"，或"3GPP-AKMA")。

S1050，EES确定是否支持EEC选择的认证算法。

EES可以根据本地算法配置和接收到的EEC认证算法能力，检查是否支持EEC选择的认证算法。此时，可以包括以下几种情况：

(a)若EEC与EES协商使用AKMA，EES可以通过收到的A-KID从AAnF网元处检索出KAF。

(b)若EEC与EES协商使用GBA，则EES可以通过收到的B-TID从BSF网元检索出Ks_(ext)_NAF或Ks_int_NAF。

(c)如果协商失败，则EES可以生成失败指示。

EES可以通过特定密钥Ks_(ext)_NAF、Ks_int_NAF或KAF，生成TLS预主密钥PSK；

S1060，EES向ECS发送算法认证结果。

EES可以向ECS返回ServerHello消息，该消息可以包含所选的认证算法标识。或者EES可以发送失败指示。

S1070，ECS为EEC选择其他EES。

如果ECS收到EES的失败指示，ECS可以为EEC选择其他EES。

S1080，ECS向EEC发送算法认证结果。

若EEC与ECS的认证算法选择过程成功，ECS可以向EEC发送ServerHello消息指示所选择的认证算法标识。否则ECS可以向EEC发送算法选择失败指示。

若ECS收到来自EES的认证算法协商成功消息，ECS可以向EEC转发EES的ServerHello消息。否则ECS可以向EEC转发EES的算法选择失败指示。

进一步地，EEC与ECS，EEC与EES可以通过生成的TLS预主密钥PSK建立TLS连接。

图11为本申请一个实施例的传输层安全性协议的建立方法的示意性流程图。该方法为EEC与ECS之间基于共享的TSL密钥PSK和ECS的证书相互认证，且EEC中已经预先配置好或者已经发现了ECS的地址(例如URI)。该方法可以包括步骤S1110、S1120、S1130、S1140、S1150、S1160、S1170、S1180及S1190。

S1110，EEC向ECS发送认证算法能力。

若EEC基于ECS证书与ECS建立了TLS连接，EEC可以向ECS发送HTTP请求，其中可以包含EEC认证算法能力，被PSK-Identity hint(即"3GPP-bootstrapping-uicc"、"3GPP-bootstrapping"、"3GPP-bootstrapping-digest"，或"3GPP-AKMA")标识，该消息可以包含UE标识，如GPSI、连通性信息、UE位置和AC profile信息。

S1120，ECS确定是否支持EEC选择的认证算法。

ECS可以根据本地算法配置和收到的EEC选择的认证算法能力，检查是否支持EEC选择的认证算法。如果协商失败，ECS可以生成失败指示。

ECS可以为EES执行与EEC的认证算法选择过程，若EES的认证算法信息未存储在ECS中，则ECS可以向EES发送EEC的认证算法信息以便EES根据自身配置选择认证算法。

S1130，ECS向EEC发送协商结果，向EES发送HTTP请求消息。

ECS向EEC发送WWW-Authenticate header域，其中包含选择的认证算法标识，或失败指示。ECS向EES转发EEC的HTTP请求，其中包含可以EEC的认证算法能力。

S1140，EES确定是否支持EEC的认证算法。

S1150，EES向EEC发送EES选择的认证算法标识。

EES通过ECS向EEC发送WWW-Authenticate header域，其中包含EES选择的认证算法标识，或失败指示。

S1160，EEC验证ECS的FQDN。

EEC验证与之建立TLS连接的ECS的FQDN，可以根据收到的认证算法标识，如果使用GBA，EEC可以与BSF网元执行GBA流程，生成ECS的特定密钥Ks_(ext)_NAF或Ks_int_NAF并派生TLS预主密钥PSK；如果使用AKMA，EEC可以执行AKMA流程，生成ECS的特定密钥KAF并派生PSK。

同理，EEC生成EES特定密钥Ks_(ext)_NAF、Ks_int_NAF，或KAF并派生相应的PSK。

S1170，EEC向EES发送回应消息。

EEC可以向ECS发送回应消息，其中可以包含Authorization header域。如果选择GBA，域中的摘要计算可以使用B-TID作为用户名，使用Ks_(ext)_NAF或Ks_int_NAF作为口令；如果选择AKMA，域中的摘要计算可是以使用A-KID作为用户名，使用KAF作为口令。

EEC可以通过ECS向EES发送回应消息。

S1180，ECS及EES验证摘要。

ECS收到消息后，可以根据B-TID从BSF网元，或者A-KID从AAnF网元处获得对应的密钥来对摘要进行验证。如果协商成功，ECS可以通知EES协商结果；如果失败，ECS可以发送失败指示。

同理，EES可以验证摘要，并通过ECS向EEC发送协商成功消息或者失败指示。

S1190，EES向EEC发送协商结果。

图12为本申请一个实施例的传输层安全性协议的建立方法的示意性流程图。该方法为EEC与ECS之间基于共享的TSL密钥PSK和ECS的证书相互认证，且EEC中已经预先配置好或者已经发现了ECS的地址(例如URI)。该方法可以包括步骤S1210、S1220及S1230。

S1210，ECS确定EES注册或认证算法更新。

在以下情况中，ECS可以触发通知EEC关于EES的算法选择，以及EES的地址信息。

(a)EES在ECS上的注册发生，ECS在EES的注册消息中可以收到EES支持的认证算法。

(b)EES的认证算法由网络配置更新。

S1220，ECS为EEC选择支持认证的EES。

ECS可以检查新收到的、或更新的EES的认证算法信息，并根据之前收到的EEC的认证算法能力， 为EEC选择支持其认证的EES。

S1230，ECS向EEC发送认证算法选择通知消息。

若ECS与EEC间已建立了TLS连接，ECS可以通过此连接向EEC发送认证算法选择通知消息，其中可以包含选定的EES的地址信息。

进一步地，EEC可以根据EES的地址和认证算法信息与EES进行密钥协商，并进一步建立TLS通道，生成TLS预主密钥PSK。该过程可以参考图8至图12中的EEC与EES的密钥协商过程，这里不再赘述。

进一步地，本申请实施例中的方法也可以应用于其他场景中。下面结合图13及图14进行详细说明。

在5G邻近服务(Prose)场景中，多个UE之间建立连接时需要执行发现机制。此时UE需要与DDNMF建立TLS安全通道，另外在网络中断(UE to network relay)场景下，远端UE可以通过基于用户面的认证方案来与中继relay建立安全PC5通道，此时可以由PKMF实现对该场景下密钥管理的功能，因此UE也需要分别于PKMF建立TLS安全通道。考虑到UE和网元各自支持不同的安全认证算法，因此在建立安全通道之时需要保证双方关于使用的认证算法保持一致。本方案可以实现UE与直接发现名称管理(direct discovery name management function，DDNMF)网元间的认证算法选择，以及UE与邻近通信服务的密钥管理网元(prose key management function，PKMF)网元间的认证算法选择。

图13为本申请一个实施例的传输层安全性协议的建立方法的示意性流程图。该方法为基于PSK-TLS的UE和DDNMF之间的认证算法选择流程，且DDNMF网元的地址信息已经预先配置在UE中(例如FQDN或IP)。该方法可以包括步骤S1310、S1320、S1330、S1340、S1350及S1360。

S1310，UE向DDNMF网元发送认证算法协商请求消息。

当UE想要与DDNMF建立TLS连接时，UE可以向DDNMF网元发送ClientHello Message，其中至少可以包含认证算法选择消息(UE支持的所有认证算法能力("3GPP-bootstrapping-uicc","3GPP-bootstrapping","3GPP-bootstrapping-digest"，以及相应的B-TID，"3GPP-AKMA"以及相应的A-KID)。

S1320，DDNMF网元确定是否支持UE的认证算法。

DDNMF网元可以根据本地算法配置和收到的UE认证算法能力，选定认证算法。

S1330，DDNMF网元进行算法协商。

如果协商使用AKMA，DDNMF网元可以利用A-KID从AAnf处获取K_AF并派生TLS密钥；如果协商使用GBA，DDNMF网元可以利用B-TID从BSF网元处获取Ks_(ext)_NAF或者Ks_int_NAF并派生TLS密钥；如果协商失败，DDNMF网元可以生成失败指示Failure Indication并终止TLS连接。

S1340，DDNMF网元向UE发送协商结果。

若协商成功，DDNMF可以向UE发送ServerHello消息(至少包含选择的认证算法)协助UE与DDNMF之间的认证；若协商失败，那么可以返回失败指示终止连接。

S1350，UE生成密钥。

UE可以检查ServerHello消息中的选定认证算法，根据该算法使用K_AF或者Ks_(ext)_NAF或者Ks_int_NAF进行派生TLS密钥。

S1360，UE与DDNMF网元生成预主密钥。

UE与DDNMF可以将派生的TLS密钥作为预主密钥PSK，执行基于PSK-TLS1.3协议的后续正常流程。

UE与PKMF网元之间基于PSK-TLS的认证算法选择流程与图13中的方法相同，这里不再赘述。

图14为本申请一个实施例的传输层安全性协议的建立方法的示意性流程图。该方法为基于网元证书-TLS的UE和DDNMF之间的认证算法选择流程，且DDNMF网元的地址信息已经预先配置在UE中(例如FQDN或IP)，UE和DDNMF网元之间的应用层协议采用HTTP协议，DDNMF网元配有可验证公钥证书。该方法可以包括步骤S1410、S1420、S1430、S1440、S1450、S1460及S1470。

S1410，UE与DDNMF网元建立TLS连接。

UE可以依据DDNMF证书与DDNMF网元建立TLS连接。

S1420，UE向DDNMF网元发送HTTP请求消息。

UE可以在TLS安全通道里发送HTTP请求消息，其中至少可以包含认证算法选择消息(UE支持的认证算法能力("3GPP-bootstrapping-uicc","3GPP-bootstrapping","3GPP-bootstrapping-digest"，"3GPP-AKMA")。

S1430，DDNMF网元确定认证算法。

DDNMF网元可以根据本地算法配置和收到的UE认证算法能力，选定认证算法。如果协商失败，DDNMF网元可以生成失败指示Failure Indication。

S1440，DDNMF网元向UE发送协商结果。

DDNMF网元可以向UE发送WWW-Authenticate header field(包含协商好的认证算法)或失败指示。

S1450，UE验证DDNMF网元的FQDN。

UE可以验证与之建立TLS连接的DDNMF网元的FQDN。

S1460，UE向DDNMF网元发送回应消息。

UE可以向DDNMF网元发送回应消息，其中可以包含Authorization header field。

如果UE选择GBA，域中的摘要计算可以使用B-TID作为用户名，Ks_(ext)_NAF或者Ks_int_KAF作为口令；如果UE选择AKMA，域中的摘要计算可以使用A-KID作为用户名，KAF作为口令。

S1470，DDNMF网元验证摘要。

DDNMF网元收到消息后，可以根据B-TID从BSF网元或者A-KID从AAnF网元处获得对应的密钥来对摘要进行验证。

此时，UE和DDNMF网元之间就实现了双方的相互认证。

UE与PKMF网元之间基于网元证书-TLS的认证算法选择流程与图14中的方法相同，这里不再赘述。

上文结合图1至图14，详细描述了本申请的方法实施例，下面结合图15至图18，详细描述本申请的装置实施例。应理解，方法实施例的描述与装置实施例的描述相互对应，因此，未详细描述的部分可以参见前面方法实施例。

图15是本申请一实施例提供的传输层安全性协议的建立装置的示意性结构图。如图15所示，所述装置1500包括接收单元1510和发送单元1520，具体如下：

接收单元1510，用于接收来自边缘使能客户端EEC的第一协商请求信息，所述第一协商请求信息用于指示所述EEC支持第一认证方式；

发送单元1520，用于在所述装置支持第一认证方式的情况下，向所述EEC发送第一协商回复信息，所述第一协商回复信息用于指示所述装置支持所述第一认证方式。

可选地，所述接收单元1510还用于：接收来自所述EEC的第一密钥信息，所述第一密钥信息包括特定密钥在认证网元中的标识信息，所述特定密钥为所述EEC使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；所述装置还包括获取单元1530，用于基于所述第一密钥信息从所述认证网元成功获取所述特定密钥。

可选地，所述发送单元1520还用于：向所述EEC发送所述装置的全限定域名FQDN；所述接收单元1510还用于：接收来自所述EEC的第二密钥信息，所述第二密钥信息包括特定密钥的标识信息以及摘要信息，所述摘要信息是以所述特定密钥在认证网元上的标识信息为用户名且以所述特定密钥为口令生成的，所述特定密钥为所述EEC使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；所述获取单元1530还用于：从所述认证网元获取所述第二密钥信息标识的特定密钥；所述装置1500还包括验证单元1540，用于：基于从所述认证网元获取的所述特定密钥对所述摘要信息验证成功。

可选地，所述装置1500还包括确定单元1550，用于：确定是否存在支持所述第一认证方式的EES；所述发送单元1520具体用于：在存在支持所述第一认证方式的EES的情况下，向所述EEC发送第一协商回复信息，且向所述EEC发送EES指示信息，所述EES指示信息用于指示第一EES，所述第一EES为支持所述第一认证方式的EES。

可选地，所述ECS中配置有至少一个EES中每个EES支持的认证方式；其中，所述确定单元1550具体用于：在所述至少一个EES中存在支持所述第一认证方式的EES的情况下，确定存在支持所述第一认证方式的EES，所述第一EES为所述至少一个EES中支持所述第一认证方式的EES。

可选地，所述确定单元1550具体用于：在所述至少一个EES中不存在支持所述第一认证方式的EES的情况下，确定不存在支持所述第一认证方式的EES。

可选地，所述发送单元1520具体用于：向所述第一EES发送协商询问请求信息，所述协商询问请求信息用于指示所述第一认证方式；所述接收单元1510具体用于：接收来自所述第一EES的协商询问反馈信息，所述第四认证方式用于指示所述第一EES是否支持所述第一认证方式；所述确定单元1550具体用于：在所述第四认证方式指示所述第一EES支持所述第一认证方式的情况下，确定存在支持所述第一认证方式的EES。

可选地，所述确定单元1550具体用于：在所述第四认证方式指示所述第一EES不支持所述第一认证方式的情况下，确定不存在支持所述第一认证方式的EES。

可选地，所述发送单元1520还用于：向所述EES发送第五认证方式信息和第三密钥信息，所述第 五认证方式信息用于指示所述EEC支持所述第一认证方式，所述第三密钥信息用于指示所述特定密钥的标识信息。

可选地，所述确定单元1550还用于：在确定不存在支持所述第一认证方式的EES的情况下，确定认证方式协商失败。

可选地，所述确定单元1550还用于：确定EES信息发生更新，所述更新后的EES信息中包括更新后的至少一个EES中每个EES支持的认证方式；基于所述更新后的EES信息重新为所述EEC确定所述第一EES，重新确定的所述第一EES支持所述第一认证方式；所述发送单元1520还用于：向所述EEC发送认证方式重选择通知信息，所述认证方式重选择通信用于指示所述EEC与重新确定的所述第一EES基于所述第一认证方式进行密钥协商。

可选地，所述确定单元1550具体用于：确定所述装置接收到待注册EES的注册请求信息，所述注册请求信息中携带所述待注册EES支持的认证方式。

可选地，所述确定单元1550具体用于：确定所述装置接收到网络侧设备发送的配置更新信息，所述配置更新信息用于所述更新前的至少一个EES中全部或部分EES支持的认证方式。

可选地，所述第一认证方式为基于传输层安全性协议TLS的通用自举架构GBA机制的认证方式，所述第一密钥信息包括所述特定密钥的自举传输身份标识B-TID，所述特定密钥包括GBA派生密钥或储存在通用集成电路卡UICC中的GBA派生密钥。

可选地，所述第一认证方式为基于应用层的认证和密钥管理协议AKMA机制的认证方式，所述第一密钥信息包括所述特定密钥的AKMA密钥标识，所述特定密钥包括AKMA密钥。

可选地，所述装置1500还包括生成单元1560，用于：基于所述特定密钥生成所述装置与所述EEC之间的TLS的预共享密钥。

可选地，所述确定单元1550还用于：在所述装置不支持所述第一认证方式的情况下，确定认证方式协商失败。

可选地，所述发送单元1520还用于：向所述EEC发送认证结果指示信息，所述认证结果指示信息用于指示所述装置与所述EEC的认证方式协商失败。

图16是本申请一实施例提供的传输层安全性协议的建立装置的示意性结构图。如图16所示，所述装置1600包括发送单元1610和接收单元1620，具体如下：

发送单元1610，用于向边缘配置服务器ECS发送第一协商请求信息，所述第一协商请求信息用于指示所述边缘使能客户端ECS支持第一认证方式；

接收单元1620，用于接收来自所述ECS的第一协商回复信息，所述第一协商回复信息用于指示所述ECS支持所述第一认证方式。

可选地，所述装置1600还包括认证单元1630，用于：基于所述第一认证方式在认证网元上进行认证，得到特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；所述发送单元1610还用于：向所述ECS发送第一密钥信息，所述第一密钥信息包括特定密钥在所述认证网元中的标识信息。

可选地，所述接收单元1620还用于：接收来自所述ECS的FQDN；所述装置1600还包括验证单元1640，用于：基于所述FQDN对所述ECS进行验证；所述发送单元1610，还用于：在所述装置基于所述FQDN对所述ECS验证成功的情况下，向所述ECS发送第二密钥信息，所述第二密钥信息包括特定密钥以及摘要信息，所述摘要信息是以所述特定密钥在认证网元上的标识信息为用户名且以所述特定密钥为口令生成的，所述特定密钥为所述装置使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证。

可选地，所述接收单元1620还用于：接收来自所述ECS的EES指示信息，所述EES指示信息用于指示第一EES，所述第一EES为支持所述第一认证方式的EES。

可选地，所述第一认证方式为基于传输层安全性协议TLS的通用自举架构GBA机制的认证方式，所述第一密钥信息包括所述特定密钥的自举传输身份标识B-TID，所述特定密钥包括GBA派生密钥或储存在通用集成电路卡UICC中的GBA派生密钥。

可选地，所述第一认证方式为基于应用层的认证和密钥管理协议AKMA机制的认证方式，所述第一密钥信息包括所述特定密钥的AKMA密钥标识，所述特定密钥包括AKMA密钥。

可选地，所述装置1600还包括生成单元1650，用于：基于所述特定密钥生成所述ECS与所述装置之间的TLS的预共享密钥。

可选地，所述发送单元1610还用于：向所述ECS发送第六认证方式信息，所述第六认证方式信息用于指示所述ECS支持第二认证方式；所述接收单元1620还用于：接收来自所述ECS的认证结果指示信息，所述认证结果指示信息用于指示所述ECS与所述装置的认证方式协商失败。

可选地，所述接收单元1620还用于：接收来自所述ECS的认证方式重选择通知信息，所述认证方 式重选择通信用于指示所述装置与所述ECS重新确定的第一EES基于所述第一认证方式进行密钥协商。

图17是本申请一实施例提供的传输层安全性协议的建立装置的示意性结构图。如图17所示，所述装置1700包括接收单元1710和获取单元1720，具体如下：

接收单元1710，用于接收来自边缘配置服务器ECS的第五认证方式信息和第三密钥信息，所述第五认证方式信息用于指示第一EEC支持第一认证方式，所述ECS支持的认证方式包括所述第一认证方式，所述装置支持的认证方式包括所述第一认证方式，所述第三密钥信息用于指示特定密钥在认证网元中的标识信息，所述特定密钥为所述EEC使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；

获取单元1720，用于基于所述第三密钥信息从所述认证网元获取所述特定密钥。

可选地，所述装置1700还包括生成单元1730，用于：基于所述特定密钥生成所述ECS与所述装置之间的TLS的预共享密钥。

可选地，所述接收单元1710还用于：接收来自所述ECS的协商询问请求信息，所述协商询问请求信息用于指示所述第一认证方式；

所述装置1700还包括发送单元1740，用于：向所述ECS方式协商询问反馈信息，所述第四认证方式用于指示所述装置支持所述第一认证方式。

可选地，所述第一认证方式为基于传输层安全性协议TLS的通用自举架构GBA机制的认证方式，所述第一密钥信息包括所述特定密钥的自举传输身份标识B-TID，所述特定密钥包括GBA派生密钥或储存在通用集成电路卡UICC中的GBA派生密钥。

可选地，所述第一认证方式为基于应用层的认证和密钥管理协议AKMA机制的认证方式，所述第一密钥信息包括所述特定密钥的AKMA密钥标识，所述特定密钥包括AKMA密钥。

可选地，所述接收单元1710还用于：接收来自所述ECS的第七认证方式信息，所述第七认证方式用于指示第二认证方式；所述发送单元1740还用于：在所述装置不支持所述第二认证方式的情况下，向所述ECS发送第八认证方式信息，所述第八认证方式信息用于指示所述装置不支持所述第二认证方式。

图18是本申请一实施例提供的装置的示意性结构图。图18中的虚线表示该单元或模块为可选的。该装置1800可用于实现上述方法实施例中描述的方法。装置1800可以是芯片或传输层安全性协议的建立装置。

装置1800可以包括一个或多个处理器1810。该处理器1810可支持装置1800实现前文方法实施例所描述的方法。该处理器1810可以是通用处理器或者专用处理器。例如，该处理器可以为中央处理单元(central processing unit，CPU)。或者，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

装置1000还可以包括一个或多个存储器1820。存储器1820上存储有程序，该程序可以被处理器1810执行，使得处理器1810执行前文方法实施例所描述的方法。存储器1820可以独立于处理器1810也可以集成在处理器1810中。

装置1800还可以包括收发器1830。处理器1810可以通过收发器1830与其他设备或芯片进行通信。例如，处理器1810可以通过收发器1830与其他设备或芯片进行数据收发。

本申请实施例还提供一种计算机可读存储介质，用于存储程序。该计算机可读存储介质可应用于本申请实施例提供的传输层安全性协议的建立装置中，并且该程序使得计算机执行本申请各个实施例中的由传输层安全性协议的建立装置执行的方法。

本申请实施例还提供一种计算机程序产品。该计算机程序产品包括程序。该计算机程序产品可应用于本申请实施例提供的传输层安全性协议的建立装置中，并且该程序使得计算机执行本申请各个实施例中的由传输层安全性协议的建立装置执行的方法。

本申请实施例还提供一种计算机程序。该计算机程序可应用于本申请实施例提供的传输层安全性协议的建立装置中，并且该计算机程序使得计算机执行本申请各个实施例中的由传输层安全性协议的建立装置执行的方法。

应理解，在本申请实施例中，“与A相应的B”表示B与A相关联，根据A可以确定B。但还应理解，根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够读取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，数字通用光盘(digital video disc，DVD))或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (84)

1. 一种传输层安全性协议的建立方法，其特征在于，包括：

   边缘配置服务器ECS接收来自边缘使能客户端EEC的第一协商请求信息，所述第一协商请求信息用于指示所述EEC支持第一认证方式；

   所述ECS支持第一认证方式的情况下，所述ECS向所述EEC发送第一协商回复信息，所述第一协商回复信息用于指示所述ECS支持所述第一认证方式。
2. 根据权利要求1所述的方法，其特征在于，所述ECS向所述EEC发送第一协商回复信息之前，所述方法还包括：

   所述ECS接收来自所述EEC的第一密钥信息，所述第一密钥信息包括特定密钥在认证网元中的标识信息，所述特定密钥为所述EEC使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；

   所述ECS基于所述第一密钥信息从所述认证网元成功获取所述特定密钥。
3. 根据权利要求1所述的方法，其特征在于，所述方法还包括：

   所述ECS向所述EEC发送所述ECS的全限定域名FQDN；

   所述ECS接收来自所述EEC的第二密钥信息，所述第二密钥信息包括特定密钥的标识信息以及摘要信息，所述摘要信息是以所述特定密钥在认证网元上的标识信息为用户名且以所述特定密钥为口令生成的，所述特定密钥为所述EEC使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；

   所述ECS从所述认证网元获取所述第二密钥信息标识的特定密钥；

   所述ECS基于从所述认证网元获取的所述特定密钥对所述摘要信息验证成功。
4. 根据权利要求2或3所述的方法，其特征在于，所述ECS向所述EEC发送第一协商回复信息之前，所述方法还包括：

   所述ECS确定是否存在支持所述第一认证方式的EES；

   所述ECS向所述EEC发送第一协商回复信息，包括：

   在存在支持所述第一认证方式的EES的情况下，所述ECS向所述EEC发送第一协商回复信息，且所述ECS向所述EEC发送EES指示信息，所述EES指示信息用于指示第一EES，所述第一EES为支持所述第一认证方式的EES。
5. 根据权利要求4所述的方法，其特征在于，所述ECS中配置有至少一个EES中每个EES支持的认证方式；

   其中，所述ECS确定是否存在支持所述第一认证方式的EES，包括：

   在所述至少一个EES中存在支持所述第一认证方式的EES的情况下，所述ECS确定存在支持所述第一认证方式的EES，所述第一EES为所述至少一个EES中支持所述第一认证方式的EES。
6. 根据权利要求5所述的方法，其特征在于，所述ECS确定是否存在支持所述第一认证方式的EES，包括：

   在所述至少一个EES中不存在支持所述第一认证方式的EES的情况下，所述ECS确定不存在支持所述第一认证方式的EES。
7. 根据权利要求4所述的方法，其特征在于，所述ECS确定是否存在支持所述第一认证方式的EES，包括：

   所述ECS向所述第一EES发送协商询问请求信息，所述协商询问请求信息用于指示所述第一认证方式；

   所述ECS接收来自所述第一EES的协商询问反馈信息，所述协商询问反馈用于指示所述第一EES是否支持所述第一认证方式；

   所述第四认证方式指示所述第一EES支持所述第一认证方式的情况下，所述ECS确定存在支持所述第一认证方式的EES。
8. 根据权利要求7所述的方法，其特征在于，所述第四认证方式指示所述第一EES不支持所述第一认证方式的情况下，所述ECS确定不存在支持所述第一认证方式的EES。
9. 根据权利要求4至8中任一项所述的方法，其特征在于，所述方法还包括：

   所述ECS向所述EES发送第五认证方式信息和第三密钥信息，所述第五认证方式信息用于指示所述EEC支持所述第一认证方式，所述第三密钥信息用于指示所述特定密钥的标识信息。
10. 根据权利要求4至9中任一项所述的方法，其特征在于，所述方法还包括：

    所述ECS确定不存在支持所述第一认证方式的EES的情况下，确定认证方式协商失败。
11. 根据权利要求4至10中任一项所述的方法，其特征在于，所述方法还包括：

    所述ECS确定EES信息发生更新，所述更新后的EES信息中包括更新后的至少一个EES中每个EES支持的认证方式；

    所述ECS基于所述更新后的EES信息重新为所述EEC确定所述第一EES，重新确定的所述第一EES支持所述第一认证方式；

    所述ECS向所述EEC发送认证方式重选择通知信息，所述认证方式重选择通信用于指示所述EEC与重新确定的所述第一EES基于所述第一认证方式进行密钥协商。
12. 根据权利要求11所述的方法，其特征在于，所述ECS确定EES信息发生更新，包括：

    所述ECS接收到待注册EES的注册请求信息，所述注册请求信息中携带所述待注册EES支持的认证方式。
13. 根据权利要求11或12所述的方法，其特征在于，所述ECS确定EES信息发生更新，包括：

    所述ECS接收到网络侧设备发送的配置更新信息，所述配置更新信息用于所述更新前的至少一个EES中全部或部分EES支持的认证方式。
14. 根据权利要求2至13中任一项所述的方法，其特征在于，所述第一认证方式为基于传输层安全性协议TLS的通用自举架构GBA机制的认证方式，所述第一密钥信息包括所述特定密钥的自举传输身份标识B-TID，所述特定密钥包括GBA派生密钥或储存在通用集成电路卡UICC中的GBA派生密钥。
15. 根据权利要求2至13中任一项所述的方法，其特征在于，所述第一认证方式为基于应用层的认证和密钥管理协议AKMA机制的认证方式，所述第一密钥信息包括所述特定密钥的AKMA密钥标识，所述特定密钥包括AKMA密钥。
16. 根据权利要求2至15中任一项所述的方法，其特征在于，所述ECS向所述EEC发送第一协商回复信息的情况下，所述方法还包括：

    所述ECS基于所述特定密钥生成所述ECS与所述EEC之间的TLS的预共享密钥。
17. 根据权利要求1至16中任一项所述的方法，其特征在于，所述方法还包括：

    所述ECS不支持所述第一认证方式的情况下，确定认证方式协商失败。
18. 根据权利要求10或17所述的方法，其特征在于，认证方式协商失败的情况下，所述方法还包括：

    所述ECS向所述EEC发送认证结果指示信息，所述认证结果指示信息用于指示所述ECS与所述EEC的认证方式协商失败。
19. 一种传输层安全性协议的建立方法，其特征在于，包括：

    边缘使能客户端EEC向边缘配置服务器ECS发送第一协商请求信息，所述第一协商请求信息用于指示所述边缘使能客户端ECS支持第一认证方式；

    所述EEC接收来自所述ECS的第一协商回复信息，所述第一协商回复信息用于指示所述ECS支持所述第一认证方式。
20. 根据权利要求19所述的方法，其特征在于，所述EEC接收来自所述ECS的第一协商回复信息之前，所述方法还包括：

    所述EEC基于所述第一认证方式在认证网元上进行认证，得到特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；

    所述EEC向所述ECS发送第一密钥信息，所述第一密钥信息包括特定密钥在所述认证网元中的标识信息。
21. 根据权利要求19所述的方法，其特征在于，所述方法还包括：

    所述EEC接收来自所述ECS的FQDN；

    所述EEC基于所述FQDN对所述ECS进行验证；

    所述EEC基于所述FQDN对所述ECS验证成功的情况下，所述EEC向所述ECS发送第二密钥信息，所述第二密钥信息包括特定密钥以及摘要信息，所述摘要信息是以所述特定密钥在认证网元上的标识信息为用户名且以所述特定密钥为口令生成的，所述特定密钥为所述EEC使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证。
22. 根据权利要求20或21所述的方法，其特征在于，所述方法还包括：

    所述EEC接收来自所述ECS的EES指示信息，所述EES指示信息用于指示第一EES，所述第一EES为支持所述第一认证方式的EES。
23. 根据权利要求20至22中任一项所述的方法，其特征在于，所述第一认证方式为基于传输层安全性协议TLS的通用自举架构GBA机制的认证方式，所述第一密钥信息包括所述特定密钥的自举传输 身份标识B-TID，所述特定密钥包括GBA派生密钥或储存在通用集成电路卡UICC中的GBA派生密钥。
24. 根据权利要求20至22中任一项所述的方法，其特征在于，所述第一认证方式为基于应用层的认证和密钥管理协议AKMA机制的认证方式，所述第一密钥信息包括所述特定密钥的AKMA密钥标识，所述特定密钥包括AKMA密钥。
25. 根据权利要求20至24中任一项所述的方法，其特征在于，所述方法还包括：

    所述EEC基于所述特定密钥生成所述ECS与所述EEC之间的TLS的预共享密钥。
26. 根据权利要求19至25中任一项所述的方法，其特征在于，所述方法还包括：

    所述EEC向所述ECS发送第六认证方式信息，所述第六认证方式信息用于指示所述ECS支持第二认证方式；

    所述EEC接收来自所述ECS的认证结果指示信息，所述认证结果指示信息用于指示所述ECS与所述EEC的认证方式协商失败。
27. 根据权利要求19至26中任一项所述的方法，其特征在于，所述方法还包括：

    所述EEC接收来自所述ECS的认证方式重选择通知信息，所述认证方式重选择通信用于指示所述EEC与所述ECS重新确定的第一EES基于所述第一认证方式进行密钥协商。
28. 一种传输层安全性协议的建立方法，其特征在于，包括：

    边缘使能服务器EES接收来自边缘配置服务器ECS的第五认证方式信息和第三密钥信息，所述第五认证方式信息用于指示第一EEC支持第一认证方式，所述ECS支持的认证方式包括所述第一认证方式，所述EES支持的认证方式包括所述第一认证方式，所述第三密钥信息用于指示特定密钥在认证网元中的标识信息，所述特定密钥为所述EEC使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；

    所述EES基于所述第三密钥信息从所述认证网元获取所述特定密钥。
29. 根据权利要求28所述的方法，其特征在于，所述方法还包括：

    所述EES基于所述特定密钥生成所述ECS与所述EES之间的TLS的预共享密钥。
30. 根据权利要求28或29所述的方法，其特征在于，所述方法还包括：

    所述EES接收来自所述ECS的协商询问请求信息，所述协商询问请求信息用于指示所述第一认证方式；

    所述EES向所述ECS方式协商询问反馈信息，所述第四认证方式用于指示所述EES支持所述第一认证方式。
31. 根据权利要求28至30中任一项所述的方法，其特征在于，所述第一认证方式为基于传输层安全性协议TLS的通用自举架构GBA机制的认证方式，所述第一密钥信息包括所述特定密钥的自举传输身份标识B-TID，所述特定密钥包括GBA派生密钥或储存在通用集成电路卡UICC中的GBA派生密钥。
32. 根据权利要求28至30中任一项所述的方法，其特征在于，所述第一认证方式为基于应用层的认证和密钥管理协议AKMA机制的认证方式，所述第一密钥信息包括所述特定密钥的AKMA密钥标识，所述特定密钥包括AKMA密钥。
33. 根据权利要求28至32中任一项所述的方法，其特征在于，所述方法还包括：

    所述EES接收来自所述ECS的第七认证方式信息，所述第七认证方式用于指示第二认证方式；

    所述EES不支持所述第二认证方式的情况下，向所述ECS发送第八认证方式信息，所述第八认证方式信息用于指示所述EES不支持所述第二认证方式。
34. 一种传输层安全性协议的建立装置，其特征在于，包括：

    接收单元，用于接收来自边缘使能客户端EEC的第一协商请求信息，所述第一协商请求信息用于指示所述EEC支持第一认证方式；

    发送单元，用于在所述装置支持第一认证方式的情况下，向所述EEC发送第一协商回复信息，所述第一协商回复信息用于指示所述装置支持所述第一认证方式。
35. 根据权利要求34所述的装置，其特征在于，所述接收单元还用于：接收来自所述EEC的第一密钥信息，所述第一密钥信息包括特定密钥在认证网元中的标识信息，所述特定密钥为所述EEC使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；所述装置还包括获取单元，用于基于所述第一密钥信息从所述认证网元成功获取所述特定密钥。
36. 根据权利要求34所述的装置，其特征在于，所述发送单元还用于：向所述EEC发送所述装置的全限定域名FQDN；所述接收单元还用于：接收来自所述EEC的第二密钥信息，所述第二密钥信息包括特定密钥的标识信息以及摘要信息，所述摘要信息是以所述特定密钥在认证网元上的标识信息为用户名且以所述特定密钥为口令生成的，所述特定密钥为所述EEC使用所述第一认证方式在所述认证网 元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；所述获取单元还用于：从所述认证网元获取所述第二密钥信息标识的特定密钥；所述装置还包括验证单元，用于：基于从所述认证网元获取的所述特定密钥对所述摘要信息验证成功。
37. 根据权利要求35或36所述的装置，其特征在于，所述装置还包括确定单元，用于：确定是否存在支持所述第一认证方式的EES；所述发送单元具体用于：在存在支持所述第一认证方式的EES的情况下，向所述EEC发送第一协商回复信息，且向所述EEC发送EES指示信息，所述EES指示信息用于指示第一EES，所述第一EES为支持所述第一认证方式的EES。
38. 根据权利要求37所述的装置，其特征在于，所述ECS中配置有至少一个EES中每个EES支持的认证方式；其中，所述确定单元具体用于：在所述至少一个EES中存在支持所述第一认证方式的EES的情况下，确定存在支持所述第一认证方式的EES，所述第一EES为所述至少一个EES中支持所述第一认证方式的EES。
39. 根据权利要求38所述的装置，其特征在于，所述确定单元具体用于：在所述至少一个EES中不存在支持所述第一认证方式的EES的情况下，确定不存在支持所述第一认证方式的EES。
40. 根据权利要求37所述的装置，其特征在于，所述发送单元具体用于：向所述第一EES发送协商询问请求信息，所述协商询问请求信息用于指示所述第一认证方式；所述接收单元具体用于：接收来自所述第一EES的协商询问反馈信息，所述第四认证方式用于指示所述第一EES是否支持所述第一认证方式；所述确定单元具体用于：在所述第四认证方式指示所述第一EES支持所述第一认证方式的情况下，确定存在支持所述第一认证方式的EES。
41. 根据权利要求40所述的装置，其特征在于，所述确定单元具体用于：在所述第四认证方式指示所述第一EES不支持所述第一认证方式的情况下，确定不存在支持所述第一认证方式的EES。
42. 根据权利要求37至41中任一项所述的装置，其特征在于，所述发送单元还用于：向所述EES发送第五认证方式信息和第三密钥信息，所述第五认证方式信息用于指示所述EEC支持所述第一认证方式，所述第三密钥信息用于指示所述特定密钥的标识信息。
43. 根据权利要求37至42中任一项所述的装置，其特征在于，所述确定单元还用于：在确定不存在支持所述第一认证方式的EES的情况下，确定认证方式协商失败。
44. 根据权利要求37至43中任一项所述的装置，其特征在于，所述确定单元还用于：确定EES信息发生更新，所述更新后的EES信息中包括更新后的至少一个EES中每个EES支持的认证方式；基于所述更新后的EES信息重新为所述EEC确定所述第一EES，重新确定的所述第一EES支持所述第一认证方式；所述发送单元还用于：向所述EEC发送认证方式重选择通知信息，所述认证方式重选择通信用于指示所述EEC与重新确定的所述第一EES基于所述第一认证方式进行密钥协商。
45. 根据权利要求44所述的装置，其特征在于，所述确定单元具体用于：确定所述装置接收到待注册EES的注册请求信息，所述注册请求信息中携带所述待注册EES支持的认证方式。
46. 根据权利要求44或45所述的装置，其特征在于，所述确定单元具体用于：确定所述装置接收到网络侧设备发送的配置更新信息，所述配置更新信息用于所述更新前的至少一个EES中全部或部分EES支持的认证方式。
47. 根据权利要求35至46中任一项所述的装置，其特征在于，所述第一认证方式为基于传输层安全性协议TLS的通用自举架构GBA机制的认证方式，所述第一密钥信息包括所述特定密钥的自举传输身份标识B-TID，所述特定密钥包括GBA派生密钥或储存在通用集成电路卡UICC中的GBA派生密钥。
48. 根据权利要求35至46中任一项所述的装置，其特征在于，所述第一认证方式为基于应用层的认证和密钥管理协议AKMA机制的认证方式，所述第一密钥信息包括所述特定密钥的AKMA密钥标识，所述特定密钥包括AKMA密钥。
49. 根据权利要求35至48中任一项所述的装置，其特征在于，所述装置还包括生成单元，用于：基于所述特定密钥生成所述装置与所述EEC之间的TLS的预共享密钥。
50. 根据权利要求34至49中任一项所述的装置，其特征在于，所述确定单元还用于：在所述装置不支持所述第一认证方式的情况下，确定认证方式协商失败。
51. 根据权利要求43或50所述的装置，其特征在于，所述发送单元还用于：

    向所述EEC发送认证结果指示信息，所述认证结果指示信息用于指示所述装置与所述EEC的认证方式协商失败。
52. 一种传输层安全性协议的建立装置，其特征在于，包括：

    发送单元，用于向边缘配置服务器ECS发送第一协商请求信息，所述第一协商请求信息用于指示所述边缘使能客户端ECS支持第一认证方式；

    接收单元，用于接收来自所述ECS的第一协商回复信息，所述第一协商回复信息用于指示所述ECS 支持所述第一认证方式。
53. 根据权利要求52所述的装置，其特征在于，所述装置还包括认证单元，用于：基于所述第一认证方式在认证网元上进行认证，得到特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；所述发送单元还用于：向所述ECS发送第一密钥信息，所述第一密钥信息包括特定密钥在所述认证网元中的标识信息。
54. 根据权利要求52所述的装置，其特征在于，所述接收单元还用于：接收来自所述ECS的FQDN；所述装置还包括验证单元，用于：基于所述FQDN对所述ECS进行验证；所述发送单元，还用于：在所述装置基于所述FQDN对所述ECS验证成功的情况下，向所述ECS发送第二密钥信息，所述第二密钥信息包括特定密钥以及摘要信息，所述摘要信息是以所述特定密钥在认证网元上的标识信息为用户名且以所述特定密钥为口令生成的，所述特定密钥为所述装置使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证。
55. 根据权利要求53或54所述的装置，其特征在于，所述接收单元还用于：接收来自所述ECS的EES指示信息，所述EES指示信息用于指示第一EES，所述第一EES为支持所述第一认证方式的EES。
56. 根据权利要求53至55中任一项所述的装置，其特征在于，所述第一认证方式为基于传输层安全性协议TLS的通用自举架构GBA机制的认证方式，所述第一密钥信息包括所述特定密钥的自举传输身份标识B-TID，所述特定密钥包括GBA派生密钥或储存在通用集成电路卡UICC中的GBA派生密钥。
57. 根据权利要求53至55中任一项所述的装置，其特征在于，所述第一认证方式为基于应用层的认证和密钥管理协议AKMA机制的认证方式，所述第一密钥信息包括所述特定密钥的AKMA密钥标识，所述特定密钥包括AKMA密钥。
58. 根据权利要求53至57中任一项所述的装置，其特征在于，所述装置还包括生成单元，用于：基于所述特定密钥生成所述ECS与所述装置之间的TLS的预共享密钥。
59. 根据权利要求52至58中任一项所述的装置，其特征在于，所述发送单元还用于：向所述ECS发送第六认证方式信息，所述第六认证方式信息用于指示所述ECS支持第二认证方式；所述接收单元还用于：接收来自所述ECS的认证结果指示信息，所述认证结果指示信息用于指示所述ECS与所述装置的认证方式协商失败。
60. 根据权利要求52至59中任一项所述的装置，其特征在于，所述接收单元还用于：接收来自所述ECS的认证方式重选择通知信息，所述认证方式重选择通信用于指示所述装置与所述ECS重新确定的第一EES基于所述第一认证方式进行密钥协商。
61. 一种传输层安全性协议的建立装置，其特征在于，包括：

    接收单元，用于接收来自边缘配置服务器ECS的第五认证方式信息和第三密钥信息，所述第五认证方式信息用于指示第一EEC支持第一认证方式，所述ECS支持的认证方式包括所述第一认证方式，所述装置支持的认证方式包括所述第一认证方式，所述第三密钥信息用于指示特定密钥在认证网元中的标识信息，所述特定密钥为所述EEC使用所述第一认证方式在所述认证网元上进行认证的过程中所获取的特定密钥，所述认证网元用于实现基于所述第一认证方式的认证；获取单元，用于基于所述第三密钥信息从所述认证网元获取所述特定密钥。
62. 根据权利要求61所述的装置，其特征在于，所述装置还包括生成单元，用于：基于所述特定密钥生成所述ECS与所述装置之间的TLS的预共享密钥。
63. 根据权利要求61或62所述的装置，其特征在于，所述接收单元还用于：接收来自所述ECS的协商询问请求信息，所述协商询问请求信息用于指示所述第一认证方式；所述装置还包括发送单元，用于：向所述ECS方式协商询问反馈信息，所述第四认证方式用于指示所述装置支持所述第一认证方式。
64. 根据权利要求61至63中任一项所述的装置，其特征在于，所述第一认证方式为基于传输层安全性协议TLS的通用自举架构GBA机制的认证方式，所述第一密钥信息包括所述特定密钥的自举传输身份标识B-TID，所述特定密钥包括GBA派生密钥或储存在通用集成电路卡UICC中的GBA派生密钥。
65. 根据权利要求61至63中任一项所述的装置，其特征在于，所述第一认证方式为基于应用层的认证和密钥管理协议AKMA机制的认证方式，所述第一密钥信息包括所述特定密钥的AKMA密钥标识，所述特定密钥包括AKMA密钥。
66. 根据权利要求61至65中任一项所述的装置，其特征在于，所述接收单元还用于：接收来自所述ECS的第七认证方式信息，所述第七认证方式用于指示第二认证方式；所述发送单元还用于：在所述装置不支持所述第二认证方式的情况下，向所述ECS发送第八认证方式信息，所述第八认证方式信息用于指示所述装置不支持所述第二认证方式。
67. 一种传输层安全性协议的建立装置，其特征在于，包括存储器和处理器，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，以执行如权利要求1至18中任一项所述的方法。
68. 一种传输层安全性协议的建立装置，其特征在于，包括存储器和处理器，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，以执行如权利要求19至27中任一项所述的方法。
69. 一种传输层安全性协议的建立装置，其特征在于，包括存储器和处理器，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，以执行如权利要求28至33中任一项所述的方法。
70. 一种传输层安全性协议的建立装置，其特征在于，包括处理器，用于从存储器中调用程序，以执行如权利要求1至18中任一项所述的方法。
71. 一种传输层安全性协议的建立装置，其特征在于，包括处理器，用于从存储器中调用程序，以执行如权利要求19至27中任一项所述的方法。
72. 一种传输层安全性协议的建立装置，其特征在于，包括处理器，用于从存储器中调用程序，以执行如权利要求28至33中任一项所述的方法。
73. 一种芯片，其特征在于，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行如权利要求1至18中任一项所述的方法。
74. 一种芯片，其特征在于，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行如权利要求19至27中任一项所述的方法。
75. 一种芯片，其特征在于，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行如权利要求28至33中任一项所述的方法。
76. 一种计算机可读存储介质，其特征在于，其上存储有程序，所述程序使得计算机执行如权利要求1至18中任一项所述的方法。
77. 一种计算机可读存储介质，其特征在于，其上存储有程序，所述程序使得计算机执行如权利要求19至27中任一项所述的方法。
78. 一种计算机可读存储介质，其特征在于，其上存储有程序，所述程序使得计算机执行如权利要求28至33中任一项所述的方法。
79. 一种计算机程序产品，其特征在于，包括程序，所述程序使得计算机执行如权利要求1至18中任一项所述的方法。
80. 一种计算机程序产品，其特征在于，包括程序，所述程序使得计算机执行如权利要求19至27中任一项所述的方法。
81. 一种计算机程序产品，其特征在于，包括程序，所述程序使得计算机执行如权利要求28至33中任一项所述的方法。
82. 一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求1至18中任一项所述的方法。
83. 一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求19至27中任一项所述的方法。
84. 一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求28至33中任一项所述的方法。

Images