WO2024065706A1

WO2024065706A1 - 一种构建连接的方法及装置

Info

Publication number: WO2024065706A1
Application number: PCT/CN2022/123346
Authority: WO
Inventors: 梁浩然; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-09-30
Filing date: 2022-09-30
Publication date: 2024-04-04

Abstract

本公开实施例公开了一种构建连接的方法及装置，可应用于通信技术领域，由H-ECS 执行的方法包括:确定访问边缘配置服务器 V-ECS的授权信息及目标V-ECS（201）；与目标V-ECS进行相互身份认证（202）；响应于相互身份认证成功，基于已认证的身份信息及 V-ECS的授权信息，确定目标V-ECS是否被允许与H-ECS 建立连接（203）；响应于目标V-ECS 被允许与 H-ECS建立连接,建立与目标V-ECS的连接（204）。从而在建立H-ECS与目标V-ECS 间的连接前，进行了身份的认证和授权,避免了通过该连接泄露信息，提高了ECS间连接的安全性和可靠性，提高了漫游场景中系统的性能。

Description

一种构建连接的方法及装置

技术领域

本公开涉及通信技术领域，尤其涉及一种构建连接的方法及装置。

背景技术

在漫游架构中，归属公共陆地移动网(home public land mobile network，简称：HPLMN)和访问(visited，V)公共陆地移动网VPLMN中均提供了边缘配置服务器(edge configuration server，ECS)。其中，终端设备中的边缘使能客户端(edge enabler client，EEC)可以从访问ECS(V-ECS)和访问边缘使能服务器(visited edge enabler server，V-EES)处获得服务。ECS之间(即V–ECS和H-ECS)定义了一个新的连接。新的连接可用于漫游PLMN中的EES发现或V-ECS信息检索。

恶意H-ECS可以通过新的连接从V-ECS获取EES信息或V-ECS信息，以此攻击导致VPLMN域中的拓扑详细信息和服务器信息泄露。恶意V-ECS可能会通过新的连接从H-ECS获取终端设备信息，从而导致终端设备的隐私暴露。

发明内容

本公开实施例提供一种构建连接的方法及装置。

第一方面，本公开实施例提供一种构建连接的方法，该方法由H-ECS执行，方法包括：

确定访问边缘配置服务器V-ECS的授权信息及目标V-ECS；

与所述目标V-ECS进行相互身份认证；

响应于相互身份认证成功，基于已认证身份信息及所述V-ECS的授权信息，确定所述目标V-ECS是否被允许与所述H-ECS建立连接；

响应于所述目标V-ECS被允许与所述H-ECS建立连接，建立与所述目标V-ECS的连接。

本公开中，H-ECS首先确定V-ECS的授权信息及目标V-ECS，进而再与目标V-ECS进行相互身份认证，在认证成功后，再基于已认证身份信息及V-ECS的授权信息，确定目标V-ECS是否被允许与H-ECS建立连接，在确认被允许的情况下，再建立与目标V-ECS间的连接。从而在建立H-ECS与目标V-ECS间的连接前，进行了身份的认证和授权，避免了通过该连接泄露信息，提高了ECS间连接的安全性和可靠性，提高了漫游场景中系统的性能。

第二方面，本公开实施例提供一种构建连接的方法，该方法由V-ECS执行，方法包括：

与归属边缘配置服务器H-ECS进行相互身份认证；

响应于相互身份认证成功，基于已认证身份信息及H-ECS的授权信息，确定所述H-ECS是否被允许与所述V-ECS建立连接；

响应于所述H-ECS被允许与所述V-ECS建立连接，建立与所述H-ECS的连接。

第三方面，本公开实施例提供一种通信装置，包括：

收发模块，用于确定访问边缘配置服务器V-ECS的授权信息及目标V-ECS；

处理模块，用于与所述目标V-ECS进行相互身份认证；

所述处理模块，还用于响应于相互身份认证成功，基于已认证身份信息及所述V-ECS的授权信息，确定所述目标V-ECS是否被允许与所述H-ECS建立连接；

所述处理模块，还用于响应于所述目标V-ECS被允许与所述H-ECS建立连接，建立与所述目标V-ECS的连接。

第四方面，本公开实施例提供另一种通信装置，包括：

收发模块，用于与归属边缘配置服务器H-ECS进行相互身份认证；

处理模块，用于响应于相互身份认证成功，基于已认证身份信息及H-ECS的授权信息，确定所述H-ECS是否被允许与所述V-ECS建立连接；

所述处理模块，还用于响应于所述H-ECS被允许与所述V-ECS建立连接，建立与所述H-ECS的连接。

第五方面，本公开实施例提供一种通信装置，该通信装置包括处理器，当该处理器调用存储器中的计算机程序时，执行上述第一方面所述的方法。

第六方面，本公开实施例提供一种通信装置，该通信装置包括处理器，当该处理器调用存储器中的计算机程序时，执行上述第二方面所述的方法。

第七方面，本公开实施例提供一种通信装置，该通信装置包括处理器和存储器，该存储器中存储有计算机程序；所述处理器执行该存储器所存储的计算机程序，以使该通信装置执行上述第一方面所述的方法。

第八方面，本公开实施例提供一种通信装置，该通信装置包括处理器和存储器，该存储器中存储有计算机程序；所述处理器执行该存储器所存储的计算机程序，以使该通信装置执行上述第二方面所述的方法。

第九方面，本公开实施例提供一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第一方面所述的方法。

第十方面，本公开实施例提供一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第二方面所述的方法。

第十一方面，本公开实施例提供一种通信系统，该系统包括第三方面所述的通信装置以及第四方面所述的通信装置，或者，该系统包括第五方面所述的通信装置以及第六方面所述的通信装置，或者，该系统包括第七方面所述的通信装置以及第八方面所述的通信装置，或者，该系统包括第九方面所述的通信装置以及第十方面所述的通信装置。

第十二方面，本发明实施例提供一种计算机可读存储介质，用于储存为上述终端设备所用的指令，当所述指令被执行时，使所述终端设备执行上述第一方面所述的方法。

第十三方面，本发明实施例提供一种可读存储介质，用于储存为上述网络设备所用的指令，当所述指令被执行时，使所述网络设备执行上述第二方面所述的方法。

第十四方面，本公开还提供一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

第十五方面，本公开还提供一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法。

第十六方面，本公开提供一种芯片系统，该芯片系统包括至少一个处理器和接口，用于支持终端设备实现第一方面所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存终端设备必要的计算机程序和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十七方面，本公开提供一种芯片系统，该芯片系统包括至少一个处理器和接口，用于支持网络设备实现第二方面所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存网络设备必要的计算机程序和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十八方面，本公开提供一种计算机程序，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

第十九方面，本公开提供一种计算机程序，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法。

附图说明

为了更清楚地说明本公开实施例或背景技术中的技术方案，下面将对本公开实施例或背景技术中所需要使用的附图进行说明。

图1是本公开实施例提供的一种通信系统的架构示意图；

图2是本公开实施例提供的一种构建连接的方法的流程示意图；

图3是本公开实施例提供的另一种构建连接的方法的流程示意图；

图4是本公开实施例提供的另一种构建连接的方法的流程示意图；

图5是本公开实施例提供的另一种构建连接的方法的流程示意图；

图6是本公开实施例提供的另一种构建连接的方法的流程示意图

图7是本公开实施例提供的另一种构建连接的方法的流程示意图；

图8是本公开实施例提供的另一种构建连接的位方法的交互示意图；

图9是本公开实施例提供的一种通信装置的结构示意图；

图10是本公开实施例提供的另一种通信装置的结构示意图；

图11是本公开实施例提供的一种芯片的结构示意图。

具体实施方式

为了便于理解，首先介绍本公开涉及的术语。

1、归属PLMN(HPLMN)

HPLMN为终端设备归属的PLMN。也就是说，终端设备中的全球用户识别卡(universal subscriber identity module，USIM)卡上的国际移动用户识别码(International Mobile Subscriber Identity，IMSI)中包含的移动国家码(Mobile Country Code，MCC)和移动网络号码(Mobile Network CodeMNC)与HPLMN上的MCC和MNC是一致的，对于某一USIM卡来说，其归属的PLMN只有一个。

2、访问PLMN(VPLMN)

VPLMN为终端设备访问的PLMN。其PLMN和存在USIM卡中的IMSI的MCC，MNC是不完全相同的。当终端设备丢失覆盖后，一个VPLMN将被选择。

为了更好的理解本公开实施例公开的一种迁移的方法，下面首先对本公开实施例适用的通信系统进行描述。

3、归属边缘配置服务器(home edge configuration server，H-ECS)

H-ECS为位于归属网络的边缘配置服务器。其可以用于对位于归属网络的边缘使能服务器(home edge enabler server，H-EES)进行配置管理，与归属网络中的其他服务器、或与V-ECS进行通讯等。

4、访问边缘配置服务器(visited edge configuration server，V-ECS)

V-ECS为位于拜访地(访问地)网络的边缘配置服务器。其可以用于对位于访问网络的边缘使能服务器(visited edge enabler server，V-EES)进行配置管理，与访问网络中的其他服务器、或与H-ECS进行通讯等。

请参见图1，图1为本公开实施例提供的一种通信系统的架构示意图。该通信系统可包括但不限于一个网络设备和一个终端设备，图1所示的设备数量和形态仅用于举例并不构成对本公开实施例的限定，实际应用中可以包括两个或两个以上的网络设备，两个或两个以上的终端设备。图1所示的通信系统以包括1个H-ECS11、一个V-ECS12为例和一个终端设备13。

需要说明的是，本公开实施例的技术方案可以应用于各种通信系统。例如：长期演进(long term evolution，LTE)系统、第五代(5th generation，5G)移动通信系统、5G新空口(new radio，NR)系统，或者其他未来的新型移动通信系统等。

本公开实施例中的H-ECS11和V-ECS12是一种为终端设备提供一个进入网络的通道和与其它服务器设备通讯的功能的设备。

可选的，该通信系统中，还包括归属网络设备及访问地网络设备。其中，网络设备为网络侧用于发射或接收信号的实体。例如，演进型基站(evolved NodeB，eNB)、传输点(transmission reception point，TRP)、NR系统中的下一代基站(next generation NodeB，gNB)、其他未来移动通信系统中的基站或无线保真(wireless fidelity，WiFi)系统中的接入节点等。本公开的实施例对网络设备所采用的具体技术和具体设备形态不做限定。本公开实施例提供的网络设备可以是由集中单元(central unit，CU)与分布式单元(distributed unit，DU)组成的，其中，CU也可以称为控制单元(control unit)，采用CU-DU的结构可以将网络设备，例如基站的协议层拆分开，部分协议层的功能放在CU集中控制，剩下部分或全部协议层的功能分布在DU中，由CU集中控制DU。

本公开实施例中的终端设备13为用户侧的一种用于接收或发射信号的实体，如手机。终端设备也可以称为终端设备(terminal)、用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端设备(mobile terminal，MT)等。终端设备可以是具备通信功能的汽车、智能汽车、手机(mobile phone)、穿戴式设备、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端设备、无人驾驶(self-driving)中的无线终端设备、远程手术(remote medical surgery)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city)中的无线终端设备、智慧家庭(smart home)中的无线终端设备等等。本公开的实施例对终端设备所采用的具体技术和具体设备形态不做限定。

可以理解的是，本公开实施例描述的通信系统是为了更加清楚的说明本公开实施例的技术方案，并不构成对于本公开实施例提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本公开实施例提供的技术方案对于类似的技术问题，同样适用。

本系统中，H-ECS可以实现本公开图2至图5任一实施例所示的方法，另外，V-HCS可以实现本公开图6至图7所述的方法。

本公开中，主要针对现有的漫游架构中，恶意H-ECS可以通过新的连接从V-ECS获取EES信息或V-ECS信息，以此攻击导致VPLMN域中的拓扑详细信息和服务器信息泄露。恶意V-ECS可能会通过新的连接从H-ECS获取UE信息，从而导致UE隐私暴露的问题，提出一种构建连接的方法。ECS之间在构建连接前，首先进行相互身份认证，在认证通过后，再进行连接授权确认，仅在被允许(allowed)建立连接的情况，才建立二者直接的连接，从而提高了ECS之间连接的安全性，即避免了VPLMN域中的拓扑详细信息和服务器信息泄露，又避免了终端设备的隐私暴露，提高了漫游场景中信息的安全性和可靠性，提高了通信系统性能。

下面结合各流程图，对本公开实施例提供的构建连接的方法进行详细的说明。

请参见图2，图2是本公开实施例提供的一种构建连接的方法的流程示意图。本实施例提供的方法，可以由归属边缘配置服务器H-ECS执行。如图2所示，该方法可以包括但不限于如下步骤：

步骤201，确定访问边缘配置服务器V-ECS的授权信息及目标V-ECS。

其中，目标V-ECS为待与H-ECS建立连接的ECS。

可选的，V-ECS的授权信息中可以包括可信的V-ECS的身份信息，或者可信的V-ECS对应的证书等等。

可选的，V-ECS的授权信息中还可以包括允许与H-ECS建立连接的V-ECS的身份信息及对应的证书等。

可选的，H-ECS可以从本地预设的存储区域获取V-ECS的授权信息；或者，也可以从终端设备处获取V-ECS的授权信息。本公开对此不做限定。

步骤202，与目标V-ECS进行相互身份认证。

本公开中H-ECS在确定目标V-ECS后，可以与目标V-ECS进行相互身份认证。

可选的，相互身份认证，可以为由H-ECS确定目标V-ECS是否为可信的ECS；或者，也可以为目标V-ECS确定H-ECS是否为可信的ECS；或者，还可以为H-ECS确定目标V-ECS是否为可信的ECS，和目标V-ECS确定H-ECS是否为可信的ECS。

步骤203，响应于相互身份认证成功，基于已认证身份信息及V-ECS的授权信息，确定目标V-ECS是否被允许与H-ECS建立连接。

步骤204，响应于目标V-ECS被允许与H-ECS建立连接，建立与目标V-ECS的连接。

可选的，已认证身份信息，可以为ECS的完全限定域名(fully qualified domain name，FQDN)，或者，还可以为任一其它可唯一表征其在网络中的身份的信息，比如为ECS的网络协议(Internet Protocol，IP)地址。

举例来说，目标V-ECS的已认证身份信息，可以为其对应的FQDN，或者IP地址等，本公开对此不做限定。

本公开中，终端设备允许与H-ECS建立连接的V-ECS，可能并不包括H-ECS当前确定的目标V-ECS，因此H-ECS在与V-ECS进行了身份认证后，H-ECS还可以基于已认证身份信息及V-ECS的授权信息，进一步判断目标V-ECS是否被允许与H-ECS建立连接。若目标V-ECS被允许与H-ECS建立连接，则可以建立二者之间的连接。由于构建的二者之间的连接，是在二者对彼此身份进行了认证后、且在被允许的情况下才建立的，从而保证了该连接的安全性，避免了通过该连接使得VPLMN域或终端设备中的信息被泄露的情况。

可选的，若目标V-ECS无权与H-ECS建立连接，那么H-ECS即可结束连接建立过程。

可选的，H-ECS可以基于H-ECS对应的第一证书及目标V-ECS对应的第二证书，建立与目标V-ECS之间的传输层安全性(transport layer security，TLS)连接。也就是说，H-ECS及目标V-ECS可以基于第一证书及第二证书对二者之间的TLS连接中交互的信息进行加密性；或者H-ECS可以基于V-ECS对应的第二证书对二者之间交互的信息采用的密钥进行加密，相应的V-ECS可以基于H-ECS对应的第第一证书对二者之间交互的信息采用的密钥进行加密等等，本公开对此不做限定。

需要说明的是，H-ECS在与目标V-ECS建立连接后，还可以进一步发现目标边缘使能服务器(edge enabler server，EES)。比如，可以根据EES的服务区域是否可以覆盖终端设备的位置信息来发现目标EES。之后，H-ECS即可向终端设备或者源EES返回目标EES的标识。

请参见图3，图3是本公开实施例提供的另一种构建连接的方法的流程示意图。本实施例提供的方法，可以由H-ECS执行。如图3所示，该方法可以包括但不限于如下步骤：

步骤301，接收终端设备中的边缘使能客户端EEC发送的第一请求，其中，第一请求中包含V-ECS的授权信息。

可选的，第一请求中，还可能包含终端设备的位置信息。

本公开实施例中，终端设备在需要接入V-ECS时，即可通过EEC(edge enabler client)向H-ECS发送第一请求，并将其允许的V-ECS的授权信息(比如允许接入的V-ECS的证书和/或身份信息)发送给H-ECS。

步骤302，根据终端设备的位置信息，确定目标V-ECS。

可选的，若第一请求中包含终端设备的位置信息，那么H-ECS即可根据第一请求中包含的终端设备的位置信息，确定可以覆盖该终端设备的位置的目标边缘使能服务器(target edge enabler server，T-EES),进而将确定的T-EES对应的ECS确定为目标V-ECS。

可选的，若第一请求中未包含终端设备的位置信息，那么H-ECS还需要与核心网设备进行交互，以确定终端设备的位置信息，进而再基于确定的终端设备的位置信息，确定目标V-ECS。

步骤303，向目标V-ECS发送第一证书，第一证书用于目标V-ECS对H-ECS的身份进行认证。

可选的，第一证书可以为任意可表征H-ECS身份的信息。该第一证书可以运营商预先配置在H-ECS中的，或者，也可以为H-ECS根据协议约定及自身信息确定的，本公开对此不做限定。

可选的，H-ECS在向目标ECS发送第一证书之前，还可以先确定V-ECS是否可信。比如，确定目标V-ECS的身份信息(例如FQDN，IP地址信息)在V-ECS的授权信息中的第一列表内，和/或对应的第二证书在V-ECS的授权信息中的第一列表内。也就是说，H-ECS仅在确定目标V-ECS被允许与其建立连接时，才将第一证书发送给目标V-ECS，由目标V-ECS对H-ECS的身份进行认证。

步骤304，接收目标V-ECS发送的第二证书。

步骤305，基于第二证书，对目标V-ECS的身份进行认证。

本公开实施例中，目标V-ECS在对H-ECS的第一证书进行认证后，若确定H-ECS可信，那么可以将其对应的第二证书发送给H-ECS，再由H-ECS对目标V-ECS的身份进行认证。从而保证建立连接的H-ECS与目标V-ECS均为可信的ECS，保证了连接的安全性。

可选的，H-ECS可以利用目标V-ECS对应的根证书签发机构(certificate authority，CA)对所述第二证书进行认证，如果认证成功，则可以确定第二证书中的信息为已认证的V-ECS身份信息，也就是说，确定目标V-ECS身份合法，否则确定目标V-ECS身份不合法。

步骤306，响应于相互身份认证成功、且目标V-ECS的已认证身份信息包含在V-ECS的授权信息的第一列表内，确定目标V-ECS被允许与所述H-ECS建立连接。

其中，V-ECS的授权信息的第一列表中，包含了一个或多个被允许与H-ECS进行连接的V-ECS的身份信息或对应的第二证书。可选的，目标V-ECS已认证身份信息可以为目标V-ECS的FQDN，或者也可以为目标V-ECS的IP地址，本公开对此不做限定。

可选的，本公开中，H-ECS也可以在确定目标V-ECS的已认证成功的第二证书包含在V-ECS的授权信息的第一列表内时，确定目标V-ECS被允许与所述H-ECS建立连接。

可选的，H-ECS也可以在目标V-ECS的已认证身份信息包含在V-ECS的授权信息的第一列表内、且已认证成功的第二证书也包含在V-ECS的授权信息的第一列表内时，才确定目标V-ECS被允许与所述H-ECS建立连接。

步骤307，建立与目标V-ECS的连接。

上述步骤307的具体实现方式可以参照本公开任一实施例的详细描述，此处不再赘述。

需要说明的是，H-ECS在与目标V-ECS建立连接后，还可以进一步发现目标边缘使能服务器(edge enabler server，EES)。之后，H-ECS即可向终端设备返回目标EES的标识。

本公开中，H-ECS在收到终端设备发送的V-ECS的授权信息时，首先根据终端设备的位置信息，确定目标V-ECS，进而再与目标V-ECS进行证书交互，以进行相互身份认证，在认证成功后，再基于已认证身份信息及V-ECS的授权信息，确定目标V-ECS是否被允许与H-ECS建立连接，在确认被允许的情况下，再建立与目标V-ECS间的连接。从而在建立H-ECS与目标V-ECS间的连接前，进行了身份的认证授权，并进行是否被允许建立连接的检查，避免了通过该连接泄露信息，提高了ECS间连接的安全性和可靠性，提高了漫游场景中系统的性能。

请参见图4，图4是本公开实施例提供的另一种构建连接的方法的流程示意图。本实施例提供的方法，可以由H-ECS执行。如图4所示，该方法可以包括但不限于如下步骤：

步骤401，接收源边缘使能服务器S-EES发送的第二请求，其中，第二请求中包括终端设备的标识。

其中，终端设备的标识，可以为任一由H-ECS可唯一确定该终端设备的信息。比如，可以为终端设备在H-ECS中的编号、或者为终端设备的设备识别码等等，本公开对此不做限定。

步骤402，向终端设备的标识对应的终端设备发送V-ECS的授权信息获取请求。

步骤403，接收终端设备返回的所述V-ECS的授权信息。

其中，源边缘使能服务器(source edge enabler server，S-EES)为当前为终端设备提供服务的EES。

本公开实施例中，S-EES在需要为终端设备查找目标V-ECS时，可以向H-ECS发送第二请求，以请求H-ECS为终端设备检索目标V-ECS。之后，H-ECS即可向该终端设备请求其对应的V-ECS的授权信息。

步骤404，根据终端设备的位置信息，确定所述目标V-ECS。

可选的，终端设备的位置信息，可以为终端设备在向H-ECS返回V-ECS的授权信息时，同步返回的；或者，也可以为H-ECS通过与核心网的交互确定的，本公开对此不做限定。

步骤405，向目标V-ECS发送第一证书，第一证书用于目标V-ECS对H-ECS的身份进行认证。

步骤406，接收目标V-ECS发送的第二证书。

步骤407，基于所述第二证书，对目标V-ECS的身份进行认证。

步骤408，响应于相互身份认证成功、且目标V-ECS已认证成功的第二证书包含在所述授权信息的第一列表内，确定目标V-ECS被允许与H-ECS建立连接。

可选的，H-ECS也可以在确定所述目标V-ECS的已认证身份信息，比如FQDN或IP地址包含在V-ECS的授权信息的第一列表内时，确定目标V-ECS被允许与H-ECS建立连接。

步骤409，基于H-ECS对应的第一证书及目标V-ECS对应的第二证书，建立与目标V-ECS之间的TLS连接。

上述步骤404至409的具体实现方式，可以参照本公开任一实施例的详细描述，此处不再赘述。

需要说明的是，H-ECS在与目标V-ECS建立连接后，还可以进一步发现目标边缘使能服务器(edge enabler server，EES)。之后，H-ECS即可向源EES返回目标EES的标识。

本公开中，H-ECS在收到S-EES发送的第二请求后，首先向终端设备请求V-ECS的授权信息，之后再根据终端设备的位置信息，确定目标V-ECS，进而再与目标V-ECS进行证书交互，以进行相互身份认证，在认证成功后，再确定目标V-ECS是否被允许与H-ECS建立连接，在确认被允许的情况下，再建立与目标V-ECS间的连接。从而在建立H-ECS与目标V-ECS间的连接前，进行了身份的认证授权，并进行是否被允许建立连接的检查，避免了通过该连接泄露信息，提高了ECS间连接的安全性和可靠性，提高了漫游场景中系统的性能。

请参见图5，图5是本公开实施例提供的另一种构建连接的方法的流程示意图。本实施例提供的方法，可以由H-ECS执行。如图5所示，该方法可以包括但不限于如下步骤：

步骤501，从预设的存储区域获取V-ECS的授权信息。

可选的，预设的存储区域中的V-ECS的授权信息，可以为运营商预先配置在H-ECS中的；或者，也可以为H-ECS在上一次与V-ECS建立连接时，从终端设备处请求的；或者，也可以为H-ECS根据协议约定确定的，本公开对此不做限定。

步骤502，响应于接收到终端设备发送的目标V-ECS查询请求，根据终端设备的位置，确定目标V-ECS。

其中，步骤502也可能在步骤501之前执行。也就是H-ECS先收到了终端设备发送的目标V-ECS查询请求、且终端设备并未将其对应的V-ECS的授权信息发送给H-ECS，那么H-ECS即可从其本地的预设存储区域中获取已存储的V-ECS的授权信息，本公开对此不做限定。

本公开中，终端设备在丢失覆盖后，需要接入VPLMN时，即可向H-ECS发送目标V-ECS查询请求。其中，该查询请求中，可以包括终端设备的位置信息，或者，也可以不包含终端设备的位置信息，由H-ECS通过与核心网的交互来确定终端设备的位置信息，本公开对此不做限定。

步骤503，向目标V-ECS发送第一证书，第一证书用于目标V-ECS对H-ECS的身份进行认证。

步骤504，接收目标V-ECS发送的第二证书。

步骤505，基于第二证书，对目标V-ECS的身份进行认证。

步骤506，响应于相互身份认证成功、且目标V-ECS已认证身份信息包含在V-ECS的授权信息的第一列表内，确定目标V-ECS被允许与H-ECS建立连接。

步骤507，建立与目标V-ECS的连接。

其中，上述步骤502至步骤507的具体实现过程，可以参照本公开任一实施例的详细描述，此处不再赘述。

本公开中，H-ECS在收到收到终端设备发送的目标V-ECS查询请求时，可以首先根据终端设备的位置信息，确定目标V-ECS，进而再基于本地的V-ECS的授权信息，与目标V-ECS进行证书交互，以进行相互身份认证，在认证成功后，再确定目标V-ECS是否被允许与H-ECS建立连接，在确认被允许的情况下，再建立与目标V-ECS间的连接。从而在建立H-ECS与目标V-ECS间的连接前，进行了身份的认证授权，并进行是否被允许建立连接的检查，避免了通过该连接泄露信息，提高了ECS间连接的安全性和可靠性，提高了漫游场景中系统的性能。

请参见图6，图6是本公开实施例提供的另一种构建连接的方法的流程示意图，该方法由V-ECS执行。如图6所示，该方法可以包括但不限于如下步骤：

步骤601，与归属边缘配置服务器H-ECS进行相互身份认证。

其中，V-ECS与H-ECS进行相互身份认证的具体实现方式，可以参照本公开任一实施例的详细描述，此处不再赘述。

步骤602，响应于相互身份认证成功，基于已认证身份信息及H-ECS的授权信息，确定H-ECS是否被允许与V-ECS建立连接。

可选的，H-ECS的授权信息，可以为运营商通过配置信息配置在V-ECS中的。从而V-ECS即可从配置信息中提取该H-ECS的授权信息；或者，也可以为V-ECS根据协议约定生成的，本公开对此不做限定。

可选的，H-ECS的授权信息中可以包括可信的H-ECS的身份信息，或者可信的H-ECS对应的证书等等。

可选的，H-ECS的授权信息中还可以包括允许与V-ECS建立连接的H-ECS的身份信息及对应的证书等。

步骤603，响应于H-ECS被允许与目标V-ECS建立连接，建立与H-ECS的连接。

举例来说，H-ECS已认证身份信息，可以为其对应的FQDN，或者IP地址等，本公开对此不做限定。

本公开中，V-ECS允许与其建立连接的H-ECS，可能并不包括当前已经完成了身份认证的H-ECS，因此H-ECS在与V-ECS进行了身份认证后，V-ECS还可以基于已认证身份信息及H-ECS的授权信息，进一步判断H-ECS是否被允许与V-ECS建立连接。若H-ECS被允许与V-ECS建立连接，则可以建立二者之间的连接。由于构建的二者之间的连接，是在二者对彼此身份进行了认证后、且在被允许的情况下才建立的，从而保证了该连接的安全性，避免了通过该连接使得VPLMN域或终端设备中的信息被泄露的情况。

可选的，若H-ECS无权与V-ECS建立连接，那么V-ECS即可结束连接建立过程。

可选的，V-ECS可以基于H-ECS对应的第一证书及V-ECS对应的第二证书，建立与目标V-ECS之间的传输层安全性(transport layer security，TLS)连接。也就是说，H-ECS及V-ECS可以基于第一证书及第二证书对二者之间的TLS连接中交互的信息进行加密性；或者H-ECS可以基于V-ECS对应的第二证书对二者之间交互的信息采用的密钥进行加密，相应的V-ECS可以基于H-ECS对应的第第一证书对二者之间交互的信息采用的密钥进行加密等等，本公开对此不做限定。

本公开中，V-ECS与H-ECS构建连接前，可以首先与H-ECS进行相互身份认证，之后在认证成功后，再基于已认证身份信息及H-ECS的授权信息，确定H-ECS是否被允许与V-ECS建立连接，在确认被允许的情况下，再建立与H-ECS间的连接。从而在建立H-ECS与目标V-ECS间的连接前，进行了身份的认证和授权，避免了通过该连接泄露信息，提高了ECS间连接的安全性和可靠性，提高了漫游场景中系统的性能。

请参见图7，图7是本公开实施例提供的另一种构建连接的方法的流程示意图，该方法由V-ECS执行。如图7所示，该方法可以包括但不限于如下步骤：

步骤701，从配置信息中提取H-ECS的授权信息。

可选的，V-ECS还可以根据协议约定确定H-ECS的授权信息，本公开对此不做限定。

步骤702，接收H-ECS发送的第一证书。

其中，V-ECS也可以先执行步骤702，再执行步骤701，本公开对此不做限定。

步骤703，基于第一证书，对H-ECS的身份进行认证。

可选的，V-ECS可以利用H-ECS对应的根证书签发机构(certificate authority，CA)对第一证书进行认证，如果认证成功，则可以确定第一证书中的信息为已认证的H-ECS身份信息，也就是说确定H-ECS身份合法，否则确定H-ECS身份不合法。

步骤704，向H-ECS发送第二证书。

本公开中，V-ECS在收到H-ECS发送的第一证书后，可以首先根据第一证书，对H-ECS的身份进行认证。若认证通过，则可以确定H-ECS为合法的ECS，从而即可再将其对应的第二证书发送给H-ECS，由H-ECS基于第二证书，对V-ECS进行认证。

可选的，由于V-ECS将第二证书发送给H-ECS的目的是在相互认证通过后，在二者之间建立连接，为了避免无效的认证过程，本公开中V-ECS也可以在向H-ECS发送第二证书前，首先确定其是否被允许与自身建立连接，仅在确定H-ECS被允许与V-ECS建立连接的情况下，再将第二证书发送给H-ECS。

步骤705，响应于相互身份认证成功，且H-ECS的已认证身份信息包含在H-ECS的授权信息的第一列表内，确定H-ECS被允许与V-ECS建立连接。

其中，H-ECS的授权信息的第一列表中，包含了一个或多个被允许与V-ECS进行连接的H-ECS的身份信息和/或对应的第一证书。

可选的，H-ECS的已认证身份信息可以为H-ECS的FQDN，或者也可以为H-ECS对应的IP地址，本公开对此不做限定。

可选的，V-ECS可以在确定H-ECS的已认证身份信息包含在H-ECS的授权信息的第一列表内时，确定H-ECS被允许与V-ECS建立连接。

可选的，V-ECS也可以在H-ECS已认证成功的第一证书包含在所述H-ECS的授权信息的第一列表内时，确定H-ECS被允许与V-ECS建立连接。

可选的，V-ECS也可以在H-ECS的已认证身份信息包含在V-ECS的授权信息的第一列表内、且已认证成功的第一证书，也包含在H-ECS的授权信息的第一列表内时，才确定H-ECS被允许与V-ECS建立连接。

步骤706，基于H-ECS对应的第一证书及V-ECS对应的第二证书，建立与H-ECS之间的TLS连接。

其中，步骤706的具体实现方式，可以参照本公开任一实施例的详细描述，此处不再赘述。

请参见图8，图8是本公开实施例提供的一种构建连接的方法的交互示意图。如图8所示，该方法可以包括但不限于如下步骤：

步骤801，H-ECS确定V-ECS的授权信息及目标V-ECS。

步骤802，H-ECS根据V-ECS的授权信息确定是否允许与目标V-ECS连接。

需要说明的是，如果H-ECS确定不允许与目标V-ECS建立连接，那么就可以结束该连接构建过程。

步骤803，H-ECS确定允许与目标V-ECS连接，向目标V-ECS发送第一证书。

步骤804，目标V-ECS认证第一证书。

步骤805，目标V-ECS确定第一证书有效，目标V-ECS根据本地H-ECS的授权信息，确定是否允许与H-ECS连接。

步骤806，V-ECS确定允许与H-ECS连接，向H-ECS发送第二证书。

步骤807，H-ECS认证第二证书。

步骤808，H-ECS确定第二证书有效，构建与V-HCS间的TLS连接。

本公开中，H-ECS在确定V-ECS的授权信息及目标V-ECS后，即可与目标V-ECS进行相互身份认证，在认证成功、且互为允许连接的ECS时，再建立与目标V-ECS间的连接。从而在建立H-ECS与目标V-ECS间的连接前，进行了身份的认证和授权，避免了通过该连接泄露信息，提高了ECS间连接的安全性和可靠性，提高了漫游场景中系统的性能。

请参见图9，图9为本公开实施例提供的一种通信装置的结构示意图。图9所示的通信装置900可包括收发模块901和处理模块902。收发模块901可包括发送模块和/或接收模块，发送模块用于实现发送功能，接收模块用于实现接收功能，收发模块901可以实现发送功能和/或接收功能。

可以理解的是，通信装置900可以是H-ECS，或者，也可以是H-ECS中的装置，或者，还可以是能够与H-ECS匹配使用的装置。

通信装置900在H-ECS侧，其中：

收发模块901，用于确定访问边缘配置服务器V-ECS的授权信息及目标V-ECS；

处理模块902，用于与所述目标V-ECS进行相互身份认证；

所述处理模块902，还用于响应于相互身份认证成功，基于已认证身份信息及所述V-ECS的授权信息，确定所述目标V-ECS是否被允许与所述H-ECS建立连接；

所述处理模块902，还用于响应于所述目标V-ECS被允许与所述H-ECS建立连接，建立与所述目标V-ECS的连接。

可选的，上述收发模块901，还用于接收终端设备中的边缘使能客户端EEC发送的第一请求，其中，所述第一请求中包含所述V-ECS的授权信息。

可选的，上述收发模块901，还用于：

接收源边缘使能服务器S-EES发送的第二请求，其中，所述第二请求中包括终端设备的标识；

向所述终端设备的标识对应的终端设备发送V-ECS的授权信息获取请求；

接收所述终端设备返回的所述V-ECS的授权信息；

可选的，上述处理模块902，还用于从预设的存储区域获取所述V-ECS的授权信息。

可选的，上述处理模块902，还用于根据终端设备的位置信息，确定所述目标V-ECS，其中，所述终端设备为向所述H-ECS发送所述V-ECS的授权信息的终端设备，或者，所述终端设备为向所述H-ECS发送V-ECS查询请求的终端设备。

可选的，上述收发模块901，还用于向所述目标V-ECS发送第一证书，所述第一证书用于所述目标V-ECS对所述H-ECS的身份进行认证。

可选的，上述处理模块902，还用于确定所述目标V-ECS的身份信息或对应的第二证书在所述授权信息中的第一列表内。

可选的，上述收发模块901，还用于接收所述目标V-ECS发送的第二证书；

上述处理模块902，还用于基于所述第二证书，对所述目标V-ECS的身份进行认证。

可选的，上述处理模块902，还用于利用所述目标V-ECS对应的根证书签发机构CA对所述第二证书进行认证；

响应于认证成功，确定第二证书中的信息为已认证的V-ECS身份信息。

可选的，上述处理模块902，还用于：

响应于所述目标V-ECS的已认证身份信息包含在所述V-ECS的授权信息的第一列表内，确定所述目标V-ECS被允许与所述H-ECS建立连接；和/或，

响应于所述目标V-ECS已认证成功的第二证书包含在所述V-ECS的授权信息的第一列表内，确定所述目标V-ECS被允许与所述H-ECS建立连接。

可选的，上述处理模块902，还用于基于所述H-ECS对应的第一证书及所述目标V-ECS对应的第二证书，建立与所述目标V-ECS之间的传输层安全性TLS连接。

或者，通信装置900在V-ECS侧，其中：

收发模块901，用于与归属边缘配置服务器H-ECS进行相互身份认证；

处理模块902，用于响应于相互身份认证成功，基于已认证身份信息及H-ECS的授权信息，确定所述H-ECS是否被允许与所述V-ECS建立连接；

处理模块902，还用于响应于所述H-ECS被允许与所述V-ECS建立连接，建立与所述H-ECS的连接。

可选的，上述处理模块902，还用于：

从配置信息中提取所述H-ECS的授权信息；或者，

根据协议约定，确定所述H-ECS的授权信息。

可选的，上述收发模块901，还用于接收所述H-ECS发送的第一证书；

处理模块902，还用于基于所述第一证书，对所述H-ECS的身份进行认证。

可选的，处理模块902，还用于利用所述H-ECS对应的根证书签发机构CA对所述第一证书进行认证；

响应于认证成功，确定第一证书中的信息为已认证的H-ECS身份信息。

可选的，收发模块901，还用于响应于所述H-ECS被允许与V-ECS建立连接向所述H-ECS发送第二证书。

可选的，上述处理模块902，还用于响应于所述H-ECS的已认证身份信息包含在所述H-ECS的授权信息的第一列表内，确定所述H-ECS被允许与所述V-ECS建立连接；或者，

响应于所述H-ECS的已认证成功的第一证书包含在所述H-ECS的授权信息的第一列表内，确定所述H-ECS被允许与所述V-ECS建立连接。

可选的，上述处理模块902，还用于基于所述H-ECS对应的第一证书及所述V-ECS对应的第二证书，建立与所述H-ECS之间的传输层安全性TLS连接。

请参见图10，图10是本公开实施例提供的另一种通信装置的结构示意图。通信装置1000可以是H-ECS，也可以是支持H-ECS实现上述方法的芯片、芯片系统、或处理器等。或者，也可以以是V-ECS，也可以是支持V-ECS实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

通信装置1000可以包括一个或多个处理器1001。处理器1001可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对通信装置(如，基站、基带芯片，终端设备、终端设备芯片，DU或CU等)进行控制，执行计算机程序，处理计算机程序的数据。

可选的，通信装置1000中还可以包括一个或多个存储器1002，其上可以存有计算机程序1004，处理器1001执行所述计算机程序1004，以使得通信装置1000执行上述方法实施例中描述的方法。可选的，所述存储器1002中还可以存储有数据。通信装置1000和存储器1002可以单独设置，也可以集成在一起。

可选的，通信装置1000还可以包括收发器1005、天线1006。收发器1005可以称为收发单元、收发机、或收发电路等，用于实现收发功能。收发器1205可以包括接收器和发送器，接收器可以称为接收机或接收电路等，用于实现接收功能；发送器可以称为发送机或发送电路等，用于实现发送功能。

可选的，通信装置1000中还可以包括一个或多个接口电路1007。接口电路1007用于接收代码指令并传输至处理器1001。处理器1001运行所述代码指令以使通信装置1000执行上述方法实施例中描述的方法。

通信装置1000中的收发器1005可用于执行上述各图中的收发步骤，处理器1001可用于执行上述各图中的处理步骤。

在一种实现方式中，处理器1001中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路，或者是接口，或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在一种实现方式中，处理器1001可以存有计算机程序1003，计算机程序1003在处理器1001上运行，可使得通信装置1000执行上述方法实施例中描述的方法。计算机程序1003可能固化在处理器1001中，该种情况下，处理器1001可能由硬件实现。

在一种实现方式中，通信装置1000可以包括电路，所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本公开中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor，CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor，PMOS)、双极结型晶体管(bipolar junction transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的通信装置可以是网络设备或者智能中继，但本公开中描述的通信装置的范围并不限于此，而且通信装置的结构可以不受图10的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置可以是：

(1)独立的集成电路IC，或芯片，或，芯片系统或子系统；

(2)具有一个或多个IC的集合，可选的，该IC集合也可以包括用于存储数据，计算机程序的存储部件；

(3)ASIC，例如调制解调器(Modem)；

(4)可嵌入在其他设备内的模块；

(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等；

(6)其他等等。

对于通信装置可以是芯片或芯片系统的情况，可参见图11所示的芯片的结构示意图。图11所示的芯片包括处理器1101和接口1102。其中，处理器1101的数量可以是一个或多个，接口1102的数量可以是多个。

对于芯片用于实现本公开实施例中终端设备的功能的情况。

可选的，芯片还包括存储器1103，存储器1103用于存储必要的计算机程序和数据。

本领域技术人员还可以了解到本公开实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本公开实施例保护的范围。

本公开还提供一种可读存储介质，其上存储有指令，该指令被计算机执行时实现上述任一方法实施例的功能。

本公开还提供一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时，全部或部分地产生按照本公开实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以理解：本公开中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本公开实施例的范围，也表示先后顺序。

本公开中的至少一个还可以描述为一个或多个，多个可以是两个、三个、四个或者更多个，本公开不做限制。在本公开实施例中，对于一种技术特征，通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征，该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。

本公开中各表所示的对应关系可以被配置，也可以是预定义的。各表中的信息的取值仅仅是举例，可以配置为其他值，本公开并不限定。在配置信息与各参数的对应关系时，并不一定要求必须配置各表中示意出的所有对应关系。例如，本公开中的表格中，某些行示出的对应关系也可以不配置。又例如，可以基于上述表格做适当的变形调整，例如，拆分，合并等等。上述各表中标题示出参数的名称也可以采用通信装置可理解的其他名称，其参数的取值或表示方式也可以通信装置可理解的其他取值或表示方式。上述各表在实现时，也可以采用其他的数据结构，例如可以采用数组、队列、容器、栈、线性表、指针、链表、树、图、结构体、类、堆、散列表或哈希表等。

本公开中的预定义可以理解为定义、预先定义、存储、预存储、预协商、预配置、固化、或预烧制。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本公开的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以所述权利要求的保护范围为准。

Claims

一种构建连接的方法，其特征在于，由归属边缘配置服务器H-ECS执行，所述方法包括：

确定访问边缘配置服务器V-ECS的授权信息及目标V-ECS；

与所述目标V-ECS进行相互身份认证；

响应于相互身份认证成功，基于已认证身份信息及所述V-ECS的授权信息，确定所述目标V-ECS是否被允许与所述H-ECS建立连接；

响应于所述目标V-ECS被允许与所述H-ECS建立连接，建立与所述目标V-ECS的连接。
如权利要求1所述的方法，其特征在于，所述V-ECS的授权信息的确定过程，包括：

接收终端设备中的边缘使能客户端EEC发送的第一请求，其中，所述第一请求中包含所述V-ECS的授权信息。
如权利要求1所述的方法，其特征在于，所述V-ECS的授权信息的确定过程，包括：

接收源边缘使能服务器S-EES发送的第二请求，其中，所述第二请求中包括终端设备的标识；

向所述终端设备的标识对应的终端设备发送V-ECS的授权信息获取请求；

接收所述终端设备返回的所述V-ECS的授权信息；
如权利要求1所述的方法，其特征在于，所述V-ECS的授权信息的确定过程，包括：

从预设的存储区域获取所述V-ECS的授权信息。
如权利要求1所述的方法，其特征在于，所述目标V-ECS的确定过程，包括：

根据终端设备的位置信息，确定所述目标V-ECS，其中，所述终端设备为向所述H-ECS发送所述V-ECS的授权信息的终端设备，或者，所述终端设备为向所述H-ECS发送V-ECS查询请求的终端设备。
如权利要求1-5任一所述的方法，其特征在于，所述与所述目标V-ECS进行相互身份认证，包括：

向所述目标V-ECS发送第一证书，所述第一证书用于所述目标V-ECS对所述H-ECS的身份进行认证。
如权利要求6所述的方法，其特征在于，在所述向所述目标V-ECS发送第一证书之前，还包括：

确定所述目标V-ECS的身份信息或对应的第二证书在所述授权信息中的第一列表内。
如权利要求1-7任一所述的方法，其特征在于，所述与所述目标V-ECS进行相互身份认证，包括：

接收所述目标V-ECS发送的第二证书；

基于所述第二证书，对所述目标V-ECS的身份进行认证。
如权利要求8所述的方法，其特征在于，所述基于所述第二证书，对所述目标V-ECS的身份进行认证，包括：

利用所述目标V-ECS对应的根证书签发机构CA对所述第二证书进行认证；

响应于认证成功，确定所述第二证书中的信息为已认证的V-ECS身份信息。
如权利要求1-9任一所述的方法，其特征在于，所述基于已认证身份信息及所述V-ECS的授权信息，确定所述目标V-ECS是否被允许与所述H-ECS建立连接，包括：

响应于所述目标V-ECS的已认证身份信息包含在所述V-ECS的授权信息的第一列表内，确定所述目标V-ECS被允许与所述H-ECS建立连接；和/或，

响应于所述目标V-ECS已认证成功的的第二证书包含在所述V-ECS的授权信息的第一列表内，确定所述目标V-ECS被允许与所述H-ECS建立连接。
如权利要求1-10任一所述的方法，其特征在于，所述建立与所述目标V-ECS的连接，包括：

基于所述H-ECS对应的第一证书及所述目标V-ECS对应的第二证书，建立与所述目标V-ECS之间的传输层安全性TLS连接。
一种构建连接的方法，其特征在于，由访问边缘配置服务器V-ECS执行，所述方法包括：

与归属边缘配置服务器H-ECS进行相互身份认证；

响应于相互身份认证成功，基于已认证身份信息及H-ECS的授权信息，确定所述H-ECS是否被允许与所述V-ECS建立连接；

响应于所述H-ECS被允许与所述V-ECS建立连接，建立与所述H-ECS的连接。
如权利要求12所述的方法，其特征在于，还包括：

从配置信息中提取所述H-ECS的授权信息；或者，

根据协议约定，确定所述H-ECS的授权信息。
如权利要求12所述的方法，其特征在于，所述与归属边缘配置服务器H-ECS进行相互身份认证，包括：

接收所述H-ECS发送的第一证书；

基于所述第一证书，对所述H-ECS的身份进行认证。
如权利要求14所述的方法，其特征在于，所述基于所述第一证书，对所述H-ECS的身份进行认证，包括：

利用所述H-ECS对应的根证书签发机构CA对所述第一证书进行认证；

响应于认证成功，确定所述第一证书中的信息为已认证的H-ECS身份信息。
如权利要求12所述的方法，其特征在于，所述与归属边缘配置服务器H-ECS进行相互身份认证，包括：

响应于所述H-ECS被允许与V-ECS建立连接向所述H-ECS发送第二证书。
如权利要求12-16任一所述的方法，其特征在于，所述基于已认证身份信息及预设的授权信息，确定所述H-ECS是否被允许与所述V-ECS建立连接，包括：

响应于所述H-ECS的已认证身份信息包含在所述H-ECS的授权信息的第一列表内，确定所述H-ECS被允许与所述V-ECS建立连接；或者，

响应于所述H-ECS已认证成功的第一证书包含在所述H-ECS的授权信息的第一列表内，确定所述H-ECS被允许与所述V-ECS建立连接。
如权利要求12-17任一所述的方法，其特征在于，所述建立与所述H-ECS的连接，包括：

基于所述H-ECS对应的第一证书及所述V-ECS对应的第二证书，建立与所述H-ECS之间的传输层安全性TLS连接。
一种通信装置，其特征在于，包括：

收发模块，用于确定访问边缘配置服务器V-ECS的授权信息及目标V-ECS；

处理模块，用于与所述目标V-ECS进行相互身份认证；

所述处理模块，还用于响应于相互身份认证成功，基于已认证的身份信息及所述V-ECS的授权信息，确定所述目标V-ECS是否被允许与所述H-ECS建立连接；

所述处理模块，还用于响应于所述目标V-ECS被允许与所述H-ECS建立连接，建立与所述目标V-ECS的连接。
一种通信装置，其特征在于，包括：

收发模块，用于与归属边缘配置服务器H-ECS进行相互身份认证；

处理模块，用于响应于相互身份认证成功，基于已认证的身份信息及H-ECS的授权信息，确定所述H-ECS是否被允许与所述V-ECS建立连接；

所述处理模块，还用于响应于所述H-ECS被允许与所述V-ECS建立连接，建立与所述H-ECS的连接。
一种通信系统，其特征在于，所述通信系统包括H-ECS及V-ECS，所述H-ECS用于执行如权利要求1-11任一所述的方法，所述V-ECS用于执行如权利要求12-18任一所述的方法。
一种通信装置，其特征在于，所述装置包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求1至11中任一项所述的方法，或者执行如权利要求12-18任一项所述的方法。
一种计算机可读存储介质，用于存储有指令，当所述指令被执行时，使如权利要求1至11中任一项所述的方法被实现，或者使如权利要求12至18中任一项所述的方法被实现。