用于边缘数据网络的用户装备认证和授权规程的制作方法-j9九游会真人

1.本技术整体涉及无线通信系统，并且具体地涉及针对边缘数据网络的用户装备认证和授权规程。


背景技术：

2.用户装备(ue)可连接到边缘数据网络以接入边缘计算服务。边缘计算是指在生成数据的网络处执行计算和数据处理。为了建立与边缘数据网络的连接，ue可能必须通过边缘配置服务器(ecs)执行认证规程。


技术实现要素：

3.一些示例性实施方案涉及一种用户装备(ue)，该用户装备具有：收发器，该收发器被配置为与网络进行通信；和处理器，该处理器通信地耦接到该收发器。处理器被配置为执行操作。该操作包括：基于第二凭据生成第一凭据，该第二凭据针对该ue与蜂窝网络之间的规程生成；生成与该第一凭据相对应的标识符；基于该第一凭据和计数生成消息认证码，其中该计数与在该ue上运行的边缘网络客户端的标识符相关联；向与边缘数据网络相关联的服务器传输应用程序注册请求消息，该应用程序注册请求消息包括该计数、该消息认证码、与该第一凭据相对应的该标识符以及该网络的公共陆地移动网络标识符(plmn id)；以及从与该边缘数据网络相关联的该服务器接收认证接受消息或认证拒绝消息。
4.其他示例性实施方案涉及一种实施核心网的统一数据管理(udm)的网络部件。该网络部件包括被配置为执行操作的一个或多个处理器。该操作包括：从认证服务器功能(ausf)接收与用户装备(ue)相对应的标识符、第一凭据和与该第一凭据相对应的标识符；从该ausf接收与该ue相对应的该标识符和该第一凭据和与该第一凭据相对应的该标识符之间的映射关系；从网络曝光功能(nef)接收认证验证消息，该认证验证消息包括计数、消息认证码和与该第一凭据相对应的该标识符；基于从该nef接收的与该第一凭据相对应的该标识符来确定该第一凭据；使用该第一凭据和该计数来验证该消息认证码；以及基于对该消息认证码的该验证，向该nef传输认证接受消息或认证拒绝消息。
5.另外的示例性实施方案涉及一种实施核心网的网络曝光功能(nef)的网络部件。该网络部件包括被配置为执行操作的一个或多个处理器。该操作包括：生成与在用户装备(ue)上运行的边缘网络客户端相关联的标识符和与该ue相关联的标识符之间的映射关系；从该ue接收应用程序注册请求消息，该应用程序注册请求消息包括该边缘网络客户端标识符、消息认证码和与第一凭据相对应的标识符；基于该映射关系将从该ue接收的该边缘网络客户端标识符映射到与该ue相关联的该标识符；向与边缘数据网络相关联的服务器传输第一认证验证消息，该第一认证验证消息包括与该ue相关联的该标识符、该消息认证码和与该第一凭据相对应的该标识符；从该服务器接收第二认证验证消息，该第二认证验证消息包括与该ue相关联的第二标识符、第二消息认证码和与该第一凭据相对应的第二标识符；基于该映射关系将与该ue相关联的该第二标识符映射到该eec id；以及向认证服务器
功能(ausf)传输认证验证请求消息，该认证验证请求消息包括该边缘网络客户端标识符、该第二消息认证码和与该第一凭据相对应的该第二标识符。
附图说明
6.图1示出了根据各种示例性实施方案的示例性网络布置。
7.图2示出了根据各种示例性实施方案的示例性ue。
8.图3示出了根据各种示例性实施方案的用于启用边缘应用程序的架构。
9.图4a和图4b示出了根据各种示例性实施方案的认证和授权规程的信令图。
10.图5示出了根据各种示例性实施方案的认证和授权规程的信令图。
具体实施方式
11.参考以下描述及相关附图可进一步理解示例性实施方案，其中类似的元件具有相同的附图标号。示例性实施方案涉及实现用于接入边缘数据网络的认证和认证规程。
12.示例性实施方案是关于ue来描述的。然而，对ue的参考仅仅是出于说明的目的而提供的。示例性实施方案可与可建立与网络的连接并且被配置有用于与网络交换信息和数据的硬件、软件和/或固件的任何电子部件一起使用。因此，如本文所述的ue用于表示任何适当的电子部件。
13.此外，参照5g新空口(nr)网络描述了示例性实施方案。然而，对5g nr网络的参考仅仅是出于说明的目的而提供的。示例性实施方案可与实现本文所述的用于边缘计算的功能的任何网络一起使用。因此，如本文所述的5g nr网络可表示包括与边缘计算相关联的功能的任何网络。
14.ue可经由5g nr网络来接入边缘数据网络。边缘数据网络可向ue提供对边缘计算服务的接入。边缘计算是指在生成数据的网络处执行计算和数据处理。与利用集中式架构的传统方法相比，边缘计算是分布式方法，其中数据处理朝向网络边缘、更靠近终端用户定位。这使得性能得以优化，延迟得以最小化。
15.进一步参照边缘配置服务器(ecs)描述了示例性实施方案。ecs可执行与用于接入边缘数据网络的认证和授权规程相关的操作。然而，对ecs的参考仅仅是出于说明的目的而提供的。示例性实施方案可与被配置有用于与ue交换信息的硬件、软件、固件和/或云计算功能的任何电子部件一起使用。因此，如本文所述的ecs用于表示驻留在网络中的任何适当的电子部件或功能。
16.当执行与边缘数据网络的认证时，ue可在注册请求中包括特定于ue的边缘启用器客户端id(eec id)。然而，攻击者可能恶意拦截来自ue的消息，并获得eec id来跟踪ue。
17.在一些示例性实施方案中，ue被配置为通过使用计数(而不是其eec id)来保护其eec id，该计数可与其在与边缘数据网络的通信中的eec id相关或不相关。因此，eec id从不在ue外共享，大大降低了此id被恶意获取的风险。
18.在其他示例性实施方案中，移动网络运营商(mno)网络的网络曝光功能(nef)被配置为将ue的公共id映射到eec id。ue的公共id用于与边缘数据网络的通信，使得eec id从不在mno网络外传送，从而大大降低了此id被恶意获取的风险。
19.图1示出了根据各种示例性实施方案的示例性网络布置100。示例性网络布置100
包括ue 110。本领域技术人员将理解，ue 110可为被配置为经由网络通信的任何类型的电子部件，例如，移动电话、平板电脑、台式计算机、智能电话、平板手机、嵌入式设备、可穿戴设备、cat-m设备、cat-m1设备、mtc设备、emtc设备、其他类型的物联网(iot)设备等。实际网络布置可包括由任意数量的用户使用的任意数量的ue。因此，单个ue 110的示例仅仅是出于说明的目的而提供。
20.ue 110可被配置为与一个或多个网络通信。在网络配置100的示例中，ue 110可与其进行无线通信的网络是5g nr无线电接入网络(ran)120。然而，ue 110还可与其他类型的网络(例如，5g云ran、lte ran、传统蜂窝网络、wlan等)通信，并且ue 110还可通过有线连接来与网络通信。关于示例性实施方案，ue 110可与5g nr ran 120建立连接。因此，ue 110可具有5g nr芯片组以与nr ran 120通信。
21.5g nr ran 120可以是可由网络运营商(例如，verizon、at&t、sprint、t-mobile等)部署的蜂窝网络的一部分。5g nr ran 120可例如包括被配置为从配备有适当蜂窝芯片组的ue发送和接收通信流量的小区或基站(节点b、enodeb、henb、enbs、gnb、gnodeb、宏蜂窝基站、微蜂窝基站、小蜂窝基站、毫微微蜂窝基站等)。
22.在网络布置100中，5g nr ran 120包括表示gnb的小区120a。然而，实际网络布置可包括任何数量的不同类型的小区，该不同类型的小区由任何数量的ran进行部署。因此，出于说明的目的，只提供了具有单个小区120a的示例。
23.ue 110可经由小区120a连接至5g nr-ran 120。本领域的技术人员将理解，可执行任何相关过程用于ue 110连接至5g nr-ran 120。例如，如上所述，可使5g nr-ran 120与特定的蜂窝提供商相关联，在提供商处，ue 110和/或其用户具有协议和凭据信息(例如，存储在sim卡上)。在检测到5g nr-ran 120的存在时，ue 110可传输对应的凭据信息，以便与5g nr-ran 120相关联。更具体地，ue 110可与特定小区(例如，小区120a)相关联。然而，如上所述，对5g nr-ran 120的标引是为了进行示意性的说明，并且可使用任何适当类型的ran。
24.网络布置100还包括蜂窝核心网130。蜂窝核心网130可被视为管理蜂窝网络的操作和流量的部件或功能的互连集合。在该示例中，部件包括认证服务器功能(ausf)131、统一数据管理(udm)132、会话管理功能(smf)133、用户平面功能(upf)134和网络曝光功能(nef)135。然而，实际蜂窝核心网可包括各种其他部件执行多种不同功能中的任何功能。
25.ausf 131可存储用于认证ue的数据并处理与认证相关的功能。ausf 131可配备有一个或多个通信接口以与其他网络部件(例如，网络功能、ran、ue等)通信。示例性实施方案不限于执行上述参考操作的ausf。本领域的技术人员将理解ausf可执行的各种不同类型的操作。此外，对单个ausf 131的引用仅仅是为了进行示意性的说明，实际网络布置可包括任何适当数量的ausf。
26.udm 132可执行与处理订阅相关信息以支持网络对通信会话的处理相关的操作。udm 132可配备有一个或多个通信接口以与其他网络部件(例如，网络功能、ran、ue等)通信。示例性实施方案不限于执行上述参考操作的udm。本领域的技术人员将理解udm可执行的各种不同类型的操作。此外，对单个udm 132的引用仅是为了进行示意性的说明，实际网络布置可包括任何适当数量的udm。
27.smf 133执行与会话管理相关的操作，诸如但不限于会话建立、会话释放、ip地址分配、策略和服务质量(qos)实施等。smf 133可配备有一个或多个通信接口以与其他网络
部件(例如，网络功能、ran、ue等)通信。示例性实施方案不限于执行上述参考操作的smf。本领域的技术人员将理解smf可执行的各种不同类型的操作。此外，对单个smf 133的引用仅仅是为了进行示意性的说明，实际网络布置可包括任何适当数量的smf。
28.upf 134执行与分组数据单元(pdu)会话管理相关的操作。例如，upf 134可促进ue 110与边缘数据网络170之间的连接。upf 134可配备有一个或多个通信接口以与其他网络和/或网络部件(例如，网络功能、ran、ue等)通信。示例性实施方案不限于执行上述参考操作的upf。本领域的技术人员将理解upf可执行的各种不同类型的操作。此外，对单个upf 134的引用仅仅是为了进行示意性的说明，实际网络布置可包括任何适当数量的upf。
29.nef 135通常负责安全地曝光由5g nr-ran 120网络功能提供的服务和能力。nef 135可配备有一个或多个通信接口以与其他网络部件(例如，网络功能、ran、ue等)通信。示例性实施方案不限于执行上述参考操作的nef。本领域的技术人员将理解nef可执行的各种不同类型的操作。此外，对单个nef 135的引用仅仅是为了进行示意性的说明，实际网络布置可包括任何适当数量的nef。
30.网络布置100还包括互联网140、ip多媒体子系统(ims)150和网络服务主干160。蜂窝核心网130管理在蜂窝网络与互联网140之间流动的流量。ims 150通常可被描述为用于使用ip协议将多媒体服务递送至ue 110的架构。ims 150可与蜂窝核心网130和互联网140通信以将多媒体服务提供至ue 110。网络服务主干160与互联网140和蜂窝核心网130直接或间接通信。网络服务主干160可通常被描述为一组部件(例如，服务器、网络存储布置等)，其实施一套可用于扩展ue 110与各种网络通信的功能的服务。
31.此外，网络布置100包括边缘数据网络170和边缘配置服务器(ecs)180。关于实现ue 110和ecs 180之间的认证和授权规程描述了示例性实施方案。以下将关于图3更详细地描述边缘数据网络170和ecs 180。
32.图2示出了根据各种示例性实施方案的示例性ue 110。将参照图1的网络布置100来描述ue 110。ue 110可包括处理器205、存储器布置210、显示设备215、输入/输出(i/o)设备220、收发器225以及其他部件230。其他部件230可包括例如音频输入设备、音频输出设备、功率源、数据采集设备、用于将ue 110电连接到其他电子设备的端口等。
33.处理器205可被配置为执行各种类型的软件。例如，处理器可执行应用程序客户端235和边缘启用器客户端(eec)240。应用程序客户端235可执行与在ue 110上运行的应用程序相关的操作，该ue经由网络与服务器交换应用程序数据。eec 240可执行与建立到边缘数据网络170的连接相关的操作。应用程序客户端235和eec 240在下面关于图4更详细地讨论。
34.以上提到的软件由处理器205执行仅是示例性的。与软件相关联的功能也可被表示为ue 110的独立整合部件，或者可为耦接到ue 110的模块化部件，例如，具有或不具有固件的集成电路。例如，集成电路可包括用于接收信号的输入电路系统以及用于处理信号和其他信息的处理电路系统。引擎也可被体现为一个应用程序或分开的多个应用程序。此外，在一些ue中，针对处理器205描述的功能性在两个或更多个处理器诸如基带处理器和应用处理器之间分担。可以按照ue的这些或其他配置中的任何配置实施示例性实施方案。
35.存储器布置210可以是被配置为存储与由ue 110所执行的操作相关的数据的硬件部件。显示设备215可以是被配置为向用户显示数据的硬件部件，而i/o设备220可以是使得
用户能够进行输入的硬件部件。显示设备215和i/o设备220可以是独立的部件或者可被集成在一起(诸如触摸屏)。收发器225可以是被配置为建立与5g nr-ran 120、lte-ran(图中未示出)、传统ran(图中未示出)、wlan(图中未示出)等的连接的硬件部件。因此，收发器225可在多个不同的频率或信道(例如，一组连续频率)上操作。
36.图3示出了根据各种示例性实施方案的用于启用边缘应用程序的架构300。将参照图1的网络布置100来描述架构200。
37.将关于ue 110的eec 240和ecs 180之间的认证和授权规程描述示例性实施方案。示例性规程的成功完成可在边缘数据网络170和ue 110之间的应用程序数据流量的流动之前。
38.架构300提供了当ue 110被配置为与边缘数据网络170交换应用程序数据流量时可彼此交互的类型的部件的一般示例。以下将关于图4的信令图400提供示例性认证和授权规程的具体示例。
39.架构300包括ue 110、核心网130和边缘数据网络170。ue 110可经由核心网130和各种其他部件(例如，小区120a、5g nr ran 120、网络功能等)建立到边缘数据网络170的连接。
40.在架构300中，各种部件被示为经由标记成边缘-x(例如，边缘-1、边缘-2、边缘-3、边缘-4、边缘-5、边缘-6、边缘-7、边缘-8等)的参考点来连接。本领域技术人员将理解，这些参考点(例如，连接、接口)中的每一者在3gpp规范中定义。示例性架构布置300以它们在3gpp规范中定义的方式使用这些参考点。此外，虽然这些接口在整个说明书中被称为参考点，但应当理解，这些接口不需要是直接有线连接或无线连接，例如，这些接口可经由中间的硬件和/或软件部件进行通信。为了提供示例，ue 110与gnb 120a交换通信。然而，在架构300中，ue 110被示为具有通向ecs 180的连接。然而，该连接不是ue 110和ecs 180之间的直接通信链路。相反，这是通过介入硬件和软件部件来促进的连接。因此，在整个说明书中，术语“连接”、“参考点”和“接口”可互换使用以描述架构300和网络布置100中的各种部件之间的接口。
41.在操作期间，应用程序数据流量305可在ue 110上运行的应用程序客户端235和边缘数据网络170的边缘应用服务器(eas)172之间流动。eas 172可经由上行链路分类器(cl)和分支点(np)或以任何其他适当的方式通过核心网130接入。本领域技术人员将理解与应用程序客户端和eas相关的各种不同类型的操作和配置。由这些部件执行的操作超出示例性实施方案的范围。相反，这些部件包括在架构300的描述中以证明ue 110和ecs 180之间的示例性认证和授权规程可在ue 110和边缘数据网络170之间的应用程序数据流量305的流动之前。
42.eec 240可被配置为提供针对应用程序客户端235的支持功能。例如，eec 240可执行与概念相关的操作，诸如但不限于在边缘数据网络中可用的eas(例如，eas 172)的发现，以及可使得能够在应用程序客户端235和eas 172之间交换应用程序数据流量305的配置信息的检索和配设。为了将eec 240与其他eec区分开，eec 240可与识别eec 240的全局唯一值(例如，eec id)相关联。此外，仅出于说明性目的提供了对单个应用程序客户端235和eec 240的参考，ue 110可被配备有任何适当数量的应用程序客户端和eec。
43.边缘数据网络170还可包括边缘启用器服务器(ees)174。ees 174可被配置为向
eas 172和ue 110上运行的eec 240提供支持功能。例如，ees 174可执行与概念相关的操作，诸如但不限于配设配置以使得能够在ue 110和eas 172之间交换应用程序数据流量305，并且向ue 110上运行的eec 235提供与eas 172相关的信息。本领域技术人员将理解与ees相关的各种不同类型的操作和配置。此外，仅出于说明性目的提供了对包括单个eas 172和单个ees 174的边缘数据网络170的参考。在实际部署场景中，边缘数据网络可包括与任何数量的ue交互的任何适当的eas和ees。
44.ecs 180可被配置为提供用于使eec 240连接到ees 174的支持功能。例如，ecs 180可执行与概念相关的操作，诸如但不限于将边缘配置信息配设到eec 240。边缘配置信息可包括用于使eec 240连接到ees 174的信息(例如，服务区域信息等)和用于建立与ees 174的连接的信息(例如，统一资源标识符(uri))。本领域技术人员将理解与ecs相关的各种不同类型的操作和配置。
45.在网络架构100和启用架构300中，ecs 180被示为在边缘数据网络170和核心网130外。然而，这仅仅是出于说明的目的而提供。ecs 180可部署在任何适当的虚拟和/或物理位置(例如，在移动网络运营商域内或第三方域内)，并且经由硬件、软件和/或固件的任何适当组合来实现。
46.如上所指示，ecs 180和ue 110上运行的eec 240之间的交互可在应用程序数据流量305的流动之前进行。示例性实施方案涉及ue 110和ecs 180之间的认证和授权规程。
47.图4a示出了根据各种示例性实施方案的认证和授权规程的信令图400。将关于图3的启用架构300、图2的ue 110和图1的网络布置100来描述信令图400。
48.信令图400包括ue 110、ausf 131、udm 132、nef 135和ecs 180。如将在下面更详细地描述的，由主要认证规程生成的凭据(例如，k
ausf
)可以提供本文描述的示例性认证和授权规程的凭据的基础。
49.本领域技术人员将理解，主要认证规程(例如，5g aka、eap-aka等)通常是指ue 110与核心网130之间的认证规程。在规程期间，ausf 131可经由认证向量生成来生成凭据k
ausf
。然后，k
ausf
可用于主要认证规程的进一步操作。k
ausf
的一些特性包括：i)可在ue 110和家庭公共陆地移动网络(hplmn)的ausf(例如，ausf 131)之间共享k
ausf
，并且ii)k
ausf
可提供后续5g密钥层级结构的基础。
50.信令图400假设ue 110和核心网130已经成功地执行了主要认证规程，并且凭据(k
ausf
)是可用的。然而，仅出于说明性目的提供了对k
ausf
的参考，示例性实施方案可应用于除了k
ausf
之外或代替其使用的任何类似类型的3gpp凭据或者信息。
51.此外，出于信令图400的目的，可认为由主要认证生成的凭据无法在运营商的网络外发送。此外，还可认为ue 110已经发现边缘数据网络170并且被允许发起该示例性边缘计算认证和授权规程。
52.在405中，ue 110通过网络执行主要认证。如上所指示，规程可导致在ue 110与ausf 131之间共享凭据(k
ausf
)。然而，示例性实施方案不限于k
ausf
的使用，可利用任何其他适当的参数。
53.在410中，ue 110生成并存储一个或多个凭据。在整个说明书中，这些凭据可被称为“k
edge”和“k
edgeid”。然而，关于“k
edge”和“k
edge
id”仅用于说明目的，可利用任何适当的凭据或参数。
54.在此示例中，凭据k
edge
可以使用密钥导出函数(kdf)来生成。本领域技术人员将理解，kdf可以是例如在3gpp技术规范(ts)33.220的附录b.2.0中定义的kdf或任何其他类似类型的函数。
55.凭据k
edge
可从凭据k
ausf
导出。例如，kdf的输入密钥可以是k
ausf
。当导出k
edge
时，以下参数也可以用于kdf：fc、p0、l0。这里，fc可以表示用于区分kdf的不同实例的参数。fc的值可以是由基于3gpp的实体分配的任何适当的值。订阅永久标识符(supi)或与ue 110相关联的任何其他标识符(例如，通用公共订阅标识符(gpsi)等)可用于p0。p0参数(例如，supi、gpsi等)的长度可用于l0。
56.k
edgeid
参数可用于唯一地标识k
edge
参数。k
edgeid
参数可以以任何适当的方式生成。如上所述，可认为由主要认证生成的凭据无法在运营商的网络外发送。因此，k
edge
可不在运营商网络外发送。然而，k
edgeid
参数可以在该网络外发送，因为它不是凭据而是唯一地标识k
edgeid
参数的参数。
57.在415中，ausf 131生成并存储一个或多个凭据。这里，ausf 131生成与在410中由ue 110以类似的方式生成的凭据相同的凭据。因此，在该示例中，ausf 131还可以生成凭据k
edge
和k
edgeid
。由于凭据k
ausf
在ue 110和ausf 131之间共享，ue 110和ausf 131可以独立地生成相同的凭据。然而，关于k
ausf
仅出于说明性目的而提供，任何适当类型的信息可用于提供在410和415中生成的一个或多个凭据的基础。例如，在一些实施方案中，
58.在420中，eec 240接收由ue 110生成的一个或多个凭据。例如，eec 240可以从ue 110的存储器布置210检索k
edge
和k
edgeid
，或者这些凭据可通过由处理器205执行的另一过程提供给eec 240。
59.在425中，eec 240可生成消息认证码(mac)eec授权参数。在整个说明书中，该参数可被称为mac
eec
。可使用k
edge
和计数参数(count)来生成授权参数。例如，mac
eec
参数可以使用sha-256散列函数来生成。在导出mac
eec
参数时，p0和p1可用于形成输入参数s。这里，p0表示k
edge
并且p1表示count。输入s可以等于级联p0‖p1。mac
eec
参数用sha-246函数的输出的n个最低有效位来标识，例如，32位、64位等。
60.在一些实施方案中，count可为随机生成数。在一些实施方案中，count可另选地对应于与eec 240相关联的eec id。例如，ue 110可被配置为将count映射到eec id，使得该计数可与其他实体(例如，边缘数据网络)共享，但eec id从不在ue 110外共享。在一些实施方案中，ue 110可包括多个eec id。在这种场景中，ue 110被配置为将多个count映射到对应的多个eec id。为了确保eec id在ue 110内是安全的，ue 110不共享count与eec id之间的映射关系。在一些实施方案中，ue 110可在count被使用预定次数之后改变count。在这种场景中，当count改变时，count到对应eec id的映射也更新。ue 110被配置为以不可预测的随机方式生成count，使得在ue 110内维持的eec id是安全的。
61.在430中，ue 110向ecs 180发送应用注册请求。应用程序注册请求可包括诸如但不限于以下的信息：count、mac
eec
、k
edgeid
以及服务于ue 110的网络的plmn id。此消息可经由非接入层(nas)、用户平面或以任何其他适当的方式来发送。
62.在435中，ecs 180基于所接收的plmn id来确定与ue 110相关联的正确nef(例如，nef 135)。在440中，ecs 180向nef 135发送认证验证消息以进行验证。认证验证消息可包括类似于应用程序注册请求(例如，count、mac
eec
和k
edgeid
)的内容。
63.在445中，nef 135可向ausf 131发送认证验证消息以进行mac
eec
验证。在450中，ausf 131可使用k
edgeid
检索k
edge
并且可使用k
edge
和count验证mac
eec
。换句话说，ausf 131可通过基于其所存储的与k
edgeid
的关联来检索在410中生成的凭据而验证所接收的mac
eec
。在一些实施方案中，ausf 131然后可生成mac
eec
的独立且不同的第二实例。如果mac
eec
的第二实例匹配在445中所接收的mac
eec
，则验证过程成功。在该示例中，该验证过程成功。然而，在实际操作场景中，如果存储的k
edge
的实例不能被找到或mac
eec
的第二实例不匹配在445中所接收的mac
eec
，则验证过程已失败，并且ue 110可能无法成功地完成示例性认证和授权规程。
64.在455中，ausf 131可向nef 135发送认证验证响应。在该示例中，验证过程成功。因此，认证验证响应可以指示成功的验证过程。在其他实施方案中，验证过程已失败的指示或缺少认证验证响应可向nef 135指示认证验证不成功。
65.在460中，nef 135向ecs 180发送由ausf 131提供的对认证验证响应(例如，成功/失败)的指示。基于验证结果，ecs 170决定是接受还是拒绝认证请求。
66.在465中，ecs 180向ue 110(例如，eec 240)发送认证接受或认证拒绝消息。认证接受消息可以指示ue 110被允许尝试接入边缘数据网络170和/或eas 172。认证拒绝消息可以指示不允许ue 110尝试接入边缘数据网络170和/或eas 172。
67.在认证接受消息之后，可以在ue 110(例如，应用程序客户端235、eec 240等)与边缘数据网络170(例如，eas 172、eec 174等)之间执行各种信令以建立可用于在ue 110与边缘数据网络170之间交换应用程序数据流量的连接。为了提供示例，可以发起pdu会话建立规程。
68.图4b示出了根据各种示例性实施方案的认证和授权规程的信令图400b。信令图400b基本上类似于上述信令图400。因此，为了清楚起见，这里将省略对相同步骤的描述。在415中生成凭据k
edge
和k
edgeid
之后(如上所述)，在415b中，ausf 131向udm 132传输ue 110的susi与凭据k
edge
和k
edgeid
之间的映射关系。因此，在一些实施方案中，以上在445-455中描述的操作可另选地由udm 132执行，如图4b所示。然而，在实际操作场景中，如上所述，这些操作可由ausf 131、ausf 131和udm 132的组合或者由任何其他适当的一个或多个网络部件来执行。
69.图5示出了根据各种示例性实施方案的认证和授权规程的信令图500。将关于图3的启用架构300、图2的ue 110和图1的网络布置100来描述信令图500。
70.类似于上述信令图400，信令图500包括ue 110、ausf 131、udm 132、nef 135和ecs 180。信令图500还假设ue 110和核心网130已成功地执行了主要认证规程，并且凭据(k
ausf
)是可用的。然而，仅出于说明性目的提供了对k
ausf
的参考，示例性实施方案可应用于除了k
ausf
之外或代替其使用的任何类似类型的3gpp凭据或者信息。
71.此外，出于信令图500的目的，可认为由主要认证生成的凭据无法在运营商的网络外发送。此外，还可认为ue 110已经发现边缘数据网络170并且被允许发起该示例性边缘计算认证和授权规程。
72.在505中，ue 110通过网络执行主要认证。如上所指示，规程可导致在ue 110与ausf 131之间共享凭据(k
ausf
)。然而，示例性实施方案不限于k
ausf
的使用，可利用任何其他适当的参数。
73.在510中，nef 135生成并存储ue 110的eec id与ue的公共id(例如，supi、gpsi等)之间的映射关系。
74.在515中，ue 110生成并存储一个或多个凭据。在整个说明书中，这些凭据可被称为“k
edge”和“k
edgeid”。然而，关于“k
edge”和“k
edge
id”仅用于说明目的，可利用任何适当的凭据或参数。在此示例中，凭据k
edge
可使用密钥导出函数(kdf)来生成，如先前所述。
75.在520中，ausf 131生成并存储一个或多个凭据。这里，ausf 131生成与在515中由ue 110生成的凭据相同的凭据。因此，在该示例中，ausf 131还可以生成凭据k
edge
和k
edgeid
。由于凭据k
ausf
在ue 110和ausf 131之间共享，ue 110和ausf 131可以独立地生成相同的凭据。然而，关于k
ausf
仅出于说明性目的而提供，任何适当类型的信息可用于提供在515和520中生成的一个或多个凭据的基础。
76.在525中，eec 240接收由ue 110生成的一个或多个凭据。例如，eec 240可以从ue 110的存储器布置210检索k
edge
和k
edgeid
，或者这些凭据可通过由处理器205执行的另一过程提供给eec 240。
77.在530中，eec 240可生成介质访问控制(mac)eec授权参数。在整个说明书中，该参数可被称为mac
eec
。授权参数可以使用k
edge
和与eec 240相关联的eec id来生成。例如，mac
eec
参数可以使用sha-256散列函数来生成。在导出mac
eec
参数时，p0和p1可用于形成输入参数s。这里，p0表示k
edge
并且p1表示eec id。输入s可以等于级联p0‖p1。mac
eec
参数用sha-246函数的输出的n个最低有效位来标识，例如，32位、64位等。
78.在535中，ue 110向nef 135发送应用程序注册请求。应用程序注册请求可包括诸如但不限于eec id、mac
eec
和k
edgeid
的信息。此消息可经由非接入层(nas)、用户平面或以任何其他适当的方式来发送。
79.在540中，nef 135基于在510中生成的映射关系将在535中的应用程序注册请求中所接收的eec id映射到ue 110的公共id。在此示例中，nef 135使用ue 110的gpsi。然而，应当指出的是，nef 135可在eec id到公共id的映射中使用ue 110的任何其他公共id。
80.在545中，nef 135向ecs 180发送认证验证消息以进行验证。认证验证消息可包括类似于应用程序注册请求(例如，mac
eec
和k
edgeid
)的内容，但现在包括ue 110的gpsi而不是eec id。因此，ue 110的eec id保留在ue的mno网络中并且从不在该网络外传输，从而防止eec id被攻击者拦截。
81.在550中，ecs 180向nef 135发送认证验证消息以进行验证。认证验证消息可包括类似于从nef 135接收的认证验证(例如，gpsi、mac
eec
和k
edgeid
)的内容。
82.在555中，nef 135将从ecs 180接收的认证验证消息中的gpsi映射到gpsi所对应的ue的eec id，并向ausf 131(或udm 132)发送认证验证消息以进行mac
eec
验证。认证验证消息可包括所得的eec id、mac
eec
和k
edgeid
。
83.在560中，ausf 131(和/或udm 132)可使用k
edgeid
检索k
edge
并且可使用k
edge
和eec id验证mac
eec
。换句话说，ausf 131(和/或udm 132)可通过基于其所存储的与k
edgeid
的关联来检索在410中生成的凭据而验证所接收的mac
eec
。ausf 131(和/或udm 132)然后可生成mac
eec
的独立且不同的第二实例。如果mac
eec
的第二实例匹配在555中所接收的mac
eec
，则验证过程成功。在该示例中，该验证过程成功。然而，在实际操作场景中，如果存储的k
edge
的实例不能被找到或mac
eec
的第二实例不匹配在555中所接到的mac
eec
，则验证过程已失败，并且
ue 110可能无法成功地完成示例性认证和授权规程。
84.在565中，ausf 131可向nef 135发送认证验证响应。在该示例中，验证过程成功。因此，认证验证响应可以指示成功的验证过程。在其他实施方案中，验证过程失败的指示或缺少认证验证响应可向nef 135指示认证验证不成功。
85.以上在555-565中描述的操作在上文被描述为由ausf 131执行。然而，在实际操作场景中，这些操作可由udm 132、ausf 131和udm 132的组合或者由任何其他适当的一个或多个网络部件来执行。例如，类似于上述信令图400b，ausf 131可在520中生成凭据k
edge
和k
edgeid
之后(如上所述)，向udm 132发送ue 110的gpsi(或supi)与凭据k
edge
和k
edgeid
之间的映射关系。因此，在一些实施方案中，以上在555-565中描述的操作可另选地由udm 132执行。因此，在信令图500中，560中的检索和验证过程被示为与ausf 131和udm 132两者相关联。
86.在570中，nef 135向ecs 180发送由ausf 131提供的对认证验证响应(例如，成功/失败)的指示。基于验证结果，ecs 170决定是接受还是拒绝认证请求。
87.在575中，ecs 180向ue 110(例如，eec 240)发送认证接受或认证拒绝消息。认证接受消息可以指示ue 110被允许尝试接入边缘数据网络170和/或eas 172。认证拒绝消息可以指示不允许ue 110尝试接入边缘数据网络170和/或eas 172。
88.在认证接受消息之后，可以在ue 110(例如，应用程序客户端235、eec 240等)与边缘数据网络170(例如，eas 172、eec 174等)之间执行各种信令以建立可用于在ue 110与边缘数据网络170之间交换应用程序数据流量的连接。为了提供示例，可以发起pdu会话建立规程。
89.实施例
90.在第一实施例中，一种实施核心网的认证服务器功能(ausf)的网络部件包括一个或多个处理器，该一个或多个处理器被配置为执行包括以下的操作：基于第二凭据生成第一凭据，该第二凭据针对该ue与蜂窝网络之间的规程生成；生成与该第一凭据相对应的标识符；从网络曝光功能(nef)接收认证验证消息，该认证验证消息包括计数、消息认证码和与该第一凭据相对应的该标识符；基于从该nef接收的与该第一凭据相对应的该标识符来确定该第一凭据；使用该第一凭据和该计数来验证该消息认证码；以及基于对该消息认证码的该验证，向该nef传输认证接受消息或认证拒绝消息。
91.在第二实施例(第一实施例的网络部件)中，其中该第一凭据基于k
ausf
凭据和与该ue相关联的该标识符。
92.在第三实施例(第二实施例的网络部件)中，其中与该ue相关联的该标识符是订阅永久标识符(supi)或通用公共订阅标识符(gpsi)中的一者。
93.在第四实施例(第一实施例的网络部件)中，其中该消息认证码基于该第一凭据和该计数。
94.在第五实施例(第一实施例的网络部件)中，其中验证该消息认证码包括：检索从该ausf接收的该第一凭据；基于该第一凭据和该计数生成第二消息认证码，其中该第二消息认证码独立于从该nef接收的该消息认证码；以及将该第二消息认证码与从该nef接收的该消息认证码进行比较。
95.在第六实施例(第一实施例的网络部件)中，其中该计数对应于与在该ue上运行的
边缘网络客户端相关联的标识符。
96.本领域的技术人员将理解，可以任何合适的软件配置或硬件配置或它们的组合来实现上文所述的示例性实施方案。用于实现示例性实施方案的示例性硬件平台可包括例如具有兼容操作系统的基于intel x86的平台、windows os、mac平台和mac os、具有操作系统诸如ios、android等的移动设备。上述方法的示例性实施方案可被体现为包括存储在非暂态计算机可读存储介质上的代码行的程序，在进行编译时，该程序可在处理器或微处理器上执行。
97.尽管本专利申请描述了各自具有不同特征的各种实施方案的各种组合，本领域的技术人员将会理解，一个实施方案的任何特征均可以任何未被公开否定的方式与其他实施方案的特征或者在功能上或逻辑上不与本发明所公开的实施方案的设备的操作或所述功能不一致的特征相组合。
98.众所周知，使用个人可识别信息应遵循公认为满足或超过维护用户隐私的行业或政府要求的隐私政策和做法。具体地，应管理和处理个人可识别信息数据，以使无意或未经授权的访问或使用的风险最小化，并应当向用户明确说明授权使用的性质。
99.对本领域的技术人员而言将显而易见的是，可在不脱离本公开的实质或范围的前提下对本公开进行各种修改。因此，本公开旨在涵盖本公开的修改形式和变型形式，但前提是这些修改形式和变型形式在所附权利要求及其等同形式的范围内。