针对边缘计算服务的安全连接的建立和认证的方法和系统技术方案

提供了用于访问边缘计算服务的认证和安全连接的建立的方法和系统。该方法包括在执行安全连接建立时或之前或者在建立用户设备(UE)和服务器之间的安全接口时或之前动态地导出预先共享密钥(PSK)并且使用动态地导出的PSK进行认证，其中UE包括边缘使能客户端(EEC)，并且服务器是边缘配置服务器(ECS)。该方法还包括基于应用程序认证和密钥管理(AKMA)应用程序密钥来导出PSK。(AKMA)应用程序密钥来导出PSK。(AKMA)应用程序密钥来导出PSK。

【技术实现步骤摘要】
【国外来华专利技术】针对边缘计算服务的安全连接的建立和认证的方法和系统


[0001]本公开涉及边缘计算系统的领域。更具体地，本公开涉及针对边缘计算服务的安全连接的建立和认证。

技术介绍

[0002]为了满足自从部署4G通信系统以来增加的无线数据业务需求，已经致力于开发一种改进的5G或准5G通信系统。因此，5G或准5G通信系统也被称为“超4G网络”或“后LTE系统”。5G通信系统被认为是在较高频率(毫米波)频带(例如，60GHz频带)下实施的，以便实现更高的数据速率。为了降低无线电波的传播损耗并增大发射距离，在5G通信系统中讨论了波束形成、大规模多输入多输出(MIMO)、全维MIMO(FD
‑
MIMO)、阵列天线、模拟波束形成、大规模天线技术。另外，在5G通信系统中，正在基于高级小小区、云无线电接入网络(RAN)、超密集网络、装置到装置(D2D)通信、无线回程、移动网络、协作通信、协调多点(CoMP)、接收端干扰消除等进行对系统网络改进的开发。在5G系统中，已经开发了作为高级编码调制(ACM)的混合FSK和QAM调制(FQAM)以及滑动窗口叠加编码(SWSC)，以及作为高级接入技术的滤波器组多载波(FBMC)、非正交多址接入(NOMA)和稀疏码多址接入(SCMA)。
[0003]作为人类在其中产生和消费信息的以人类为中心的连接性网络的互联网现在演变成物联网(IoT)，其中诸如事物等分布式实体在没有人类干预的情况下交换和处理信息。已经出现了万物联网(IoE)，它是IoT技术与大数据处理技术通过与云服务器连接的组合。由于IoT实施需要诸如“传感技术”、“有线/无线通信和网络基础设施”、“服务接口技术”和“安全技术”的技术元素，因此最近已对传感器网络、机器到机器(M2M)通信、机器类型通信(MTC)等进行研究。这种IoT环境可以提供智能互联网技术服务，这些服务通过收集并分析在连接事物之间生成的数据来为人类生活创造新的价值。IoT可以通过现有信息技术(IT)与各种工业应用之间的融合和组合应用于多种领域，包括智能家居、智能建筑、智慧城市、智能汽车或联网汽车、智能电网、健康护理、智能家电和高级医疗服务。
[0004]因此，已经作出各种努力来将5G通信系统应用于IoT网络。例如，诸如传感器网络、机器类型通信(MTC)和机器对机器(M2M)通信等技术可以通过波束形成、MIMO和阵列天线来实施。作为如上文所述的大数据处理技术的云无线电接入网络(RAN)的应用也可以被视为5G技术与IoT技术之间的融合的示例。
[0005]边缘计算系统使得能够接近用户设备(UE)/用户装置部署云计算和服务环境以提供边缘计算服务。与云环境相比，边缘计算服务提供若干益处，诸如但不限于，更低的延迟、更高的带宽、减少的回程流量、新服务的前景等。
[0006]另外，随着边缘计算系统的出现，应用程序可以更快响应并且提供在没有边缘计算系统提供的低延迟和快速处理能力的情况下不可能实现的特征。在比如虚拟现实(VR)的应用程序中，网络辅助的处理高度依赖于边缘计算系统。仍可以在不使用边缘计算系统的情况下提供应用程序的某些特征，然而，在没有边缘计算系统的情况下可能无法提供/服务某些特征。
[0007]边缘计算系统可以由诸如移动网络运营商(MNO)的服务提供商提供，服务提供商可能因运营和财务约束而无法在不久的将来无处不在。为了利用由边缘计算系统提供的能力和特征，应用程序必须知道任其使用的边缘计算系统/特征，诸如以启用或停用依赖于边缘计算系统的使用的特征。另外，这种边缘计算系统的可用性可能会因多种原因而动态地改变。必须向应用程序通知此类改变以相应地微调所提供的服务。例如，依赖于边缘计算系统的应用程序的可用性可能取决于用户的位置、在边缘服务器处可获得的内容等。
[0008]图1描绘了根据相关技术的用于实现支持边缘计算系统的应用程序的应用程序架构，如在TR 23.758和TS 23.558中定义。
[0009]参考图1，EDGE
‑
4参考点实现UE的边缘使能客户端(EEC)与边缘配置服务器(ECS)之间的交互。EDGE
‑
4接口是在AKMA规范TS 33.535中定义的Ua*接口。ECS提供EEC与边缘使能服务器(EES)连接所需的支持功能。EDGE
‑
4参考点支持向EEC提供边缘配置信息(例如，统一资源标识符(URI)或局部区域数据网络(LADN)服务信息)。EEC执行如通过EDGE
‑
4接口从ECS进行配置信息检索的功能。
[0010]根据TS 23.558，ECS可以部署在MNO域中，或可以部署在服务提供商的第3方域中，其中EEC可以与一个或多个ECS同时地通信。如果由MNO部署的ECS与一个或多个边缘计算服务提供商ECSP有合约，则ECS经由MNO ECS来提供MNO拥有的和ECSP拥有的EES的EES配置信息，如在条款8.3.3.2中描述。如果ECS由非MNO ECSP部署，EEC可以配置有ECS端点地址可。知道多个ECSP的ECS端点地址的EEC可以按照每个ECSP的ECS多次执行服务提供过程。
[0011]在边缘计算系统中，UE/EEC可以与ECS通信以用于访问边缘计算系统。EEC和ECS在彼此第一次通信时使用传输层安全(TLS)协议或互联网密钥交换版本2(IKEv2)或可扩展认证协议(EAP)过程。
[0012]TLS协议提供允许对等方/UE协商TLS协议版本、选择密码算法、可选地认证彼此并建立共享密钥建钥材料的TLS握手特征。一旦完成握手，对等方使用建立的密钥来保护应用层流量。类似地，IKEv2是用于执行相互认证并且建立和维持安全关联(SA)的互联网协议安全(IPsec)协议的组成部分。IKEv2执行UE与ECS之间的相互认证并且建立包括共享密钥信息的IKE SA，这可以用于高效地建立SA。在RFC 3748中指定的EAP过程/框架用于外部数据网络中的UE和ECS之间的认证。第五代(5G)核心网络发起认证并建立协议数据单元(PDU)会话，如在TS 33.501中详述。
[0013]为了实现EEC和ECS之间的边缘计算服务(使用TLS协议或IKEv2或EAP过程)，在实际通信之前需要验证EEC和ECS的真实性(即，实体之间的相互认证)。为了执行EEC和ECS之间的相互认证，需要建立安全凭证。然而，常规方法没有公开如何通过提供EEC和ECS所需的安全凭证并基于EEC和ECS的成功认证和授权实现相互认证，从而为使用边缘计算服务建立安全连接。
[0014]此外，对于EEC和ECS之间使用TLS协议的安全连接建立，根据RFC，仅验证ECS的真实性就足够了并且对于EEC是可选的。在常规方法中，可以使用ECS服务器侧证书来建立EEC和ECS之间的安全TLS连接，并且EEC使用消息认证码(MAC
‑
1)进行认证。然而，这种认证和EEC和ECS之间的安全TLS连接的这种建立可能不是有效的。
[0015]另外，安全连接建立过程可本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于建立用于访问边缘计算服务的安全连接的方法，所述方法包括：由用户设备UE使用订阅凭证执行与核心网络CN的认证；在执行与所述CN的所述认证之后，由所述UE导出用于至少一个边缘计算服务的边缘配置服务器特定密钥K
ECS
；以及由所述UE通过基于所导出的K
ECS
建立预先共享密钥PSK来发起与服务器的安全连接建立过程，以建立用于访问所述至少一个边缘计算服务的所述安全连接。2.根据权利要求1所述的方法，其中，所述安全连接的所述建立包括建立用于访问所述至少一个边缘计算服务的所述UE与所述服务器之间的安全信道。3.根据权利要求1所述的方法，其中，所述UE包括边缘使能客户端EEC，以及所述服务器包括边缘配置服务器ECS，以及其中，与所述CN执行的所述认证是主网络接入过程。4.根据权利要求1所述的方法，其中，所述安全连接建立过程包括传输层安全TLS会话建立过程，以及所述安全连接包括安全TLS会话。5.根据权利要求1所述的方法，其中，由所述UE发起与所述服务器的所述安全连接建立过程包括：由所述UE在第一消息或第二消息中向所述服务器发送应用程序密钥标识符ID；以及由所述UE基于用于向所述服务器发送所述应用程序密钥ID的所述第一消息或所述第二消息来发起与所述服务器的所述安全连接建立过程以建立所述安全连接，其中，所述应用程序密钥ID是应用程序认证和密钥管理AKMA密钥ID，所述AKMA密钥ID用于识别应用程序锚点功能中的应用程序安全上下文以导出所述K
ECS
，并且其中，所述第一消息是承载所述应用程序密钥ID的TLS协议消息，以及所述第二消息是服务提供请求。6.根据权利要求5所述的方法，其中，如果所述应用程序密钥ID是在所述第一消息中从所述UE向所述服务器发送的，则发起所述安全连接建立过程以建立所述安全连接包括：由所述UE与在所述第一消息中向所述服务器发送所述应用程序密钥ID并行地发起所述安全连接建立过程；在发起所述安全连接建立过程之后，由所述UE和所述服务器基于所述K
ECS
来导出所述PSK或使用所述K
ECS
作为所述PSK；以及由所述UE和所述服务器使用所述PSK执行彼此之间的相互认证以建立用于所述至少一个边缘计算服务的所述安全连接。7.根据权利要求5所述的方法，其中，如果所述应用程序密钥ID是在所述第二消息中从所述UE向所述服务器发送的，则发起所述安全连接建立过程以建立所述安全连接包括：在以所述第二消息从所述UE向所述服务器发送所述应用程序密钥ID之后，由所述UE和所述服务器基于所述K
ECS
来导出所述PSK或使用所述K
ECS
作为所述PSK；由所述服务器在导出所述PSK之后，向所述UE发送请求以发起所述安全连接建立过程；由所述UE基于从所述服务器接收到的所述请求来发起所述安全连接建立过程；由所述UE和所述服务器使用所述PSK执行彼此之间的相互认证以建立用于所述至少一个边缘计算服务的所述安全连接；以及由所述服务器通过所建立的安全连接响应于所述第二消息向所述UE提供授权凭证。
8.根据权利要求6所述的方法，其中，由所述服务器导出所述PSK包括：由所述服务器向所述应用程序锚点功能提供包括从所述UE接收的所述应用程序密钥ID的密钥请求，其中，所述应用程序锚点功能针对所接收到的应用程序密钥ID导出所述K
ECS
；由所述服务器在密钥响应中从所述应用程序锚点功能接收所述K
ECS
；以及由所述服务器基于所接收到的K
ECS
来导出所述PSK或使用所述K
ECS
作为PSK，以及其中，所述应用程序锚点功能是AKMA锚点功能AAnF。9.根据权利要求6所述的方法，其中，由所述UE和所述服务器基于所述K
ECS
来导出所述PSK包括：根据所述边缘配置服务器特定密钥K
E...

【专利技术属性】
技术研发人员：拉加维瑟曼，
申请(专利权)人：三星电子株式会社，
类型：发明
国别省市：