【技术实现步骤摘要】
【国外来华专利技术】利用边缘数据网络进行认证和授权的方法、设备和系统
[0001]技术域
[0002]本公开针对通信网络中利用边缘数据网络进行的终端设备认证和授权。
技术介绍
[0003]在通信网络中,各种应用和服务可能需要诸如虚拟现实(VR)和游戏应用,以及企业和物联网(IoT)服务之类的低延迟但高性能的计算。这样的应用和服务可以依赖于多址边缘计算(MEC)或移动边缘计算,它将应用带到网络的边缘,以减少延迟并实现高带宽。在用户设备(UE)和边缘计算网络上的高效和鲁棒的两端认证对于提供可信计算环境至关重要。
技术实现思路
[0004]本公开涉及在通信网络中利用边缘数据网络进行的UE认证和授权,并且特别涉及在认证和授权过程期间为UE生成和应用边缘计算密钥。
[0005]在一些实施方式中,公开了一种用于在终端设备和提供应用服务的计算网络之间建立安全通信链路的方法。该方法可以由通信网络中的终端设备执行,并且可以包括:基于终端设备的唯一标识符,生成终端设备的设备计算密钥;基于向计算网络的配置服务器的注册请求的原始数据和管理终端设备的接入服务器的加密密钥,生成注册请求签名;以及向配置服务器发送包括设备计算密钥和注册请求签名的第一消息,以用于向计算网络请求服务授权。
[0006]在一些其他实施方式中,公开了一种用于认证来自由接入服务器管理的终端设备的注册请求的方法。该方法可以由接入服务器执行,并且包括从计算网络中的开放服务器接收验证请求,其中,验证请求包括以下中的至少一个:从终端设备发起的注册请求,该注册请求由计算网络中的配置 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于在终端设备和提供应用服务的计算网络之间建立安全通信链路的方法,所述方法由所述终端设备在通信网络中执行,所述方法包括:基于所述终端设备的唯一标识符,生成所述终端设备的设备计算密钥;基于向所述计算网络的配置服务器的注册请求的原始数据,以及管理所述终端设备的接入服务器的加密密钥,生成注册请求签名;以及向所述配置服务器发送第一消息,所述第一消息包括所述设备计算密钥和所述注册请求签名,以用于向所述计算网络请求服务授权。2.根据权利要求1所述的方法,其中,所述终端设备的所述唯一标识符包括以下中的至少一项:5G全球唯一临时标识符(5G
‑
GUTI);或订阅永久标识符(SUPI)。3.根据权利要求1所述的方法,其中,所述接入服务器包括以下中的至少一个:接入和移动性管理功能(AMF);或安全锚定功能(SEAF)。4.根据权利要求1所述的方法,其中,所述接入服务器的所述唯一标识符包括全球唯一AMF ID(GUAMI)。5.根据权利要求1所述的方法,其中,所述计算网络包括以下中的至少一个:配置服务器;启用服务器;应用服务器;或开放服务器。6.根据权利要求1所述的方法,其中,生成所述注册请求签名包括:基于向所述边缘计算网络的配置服务器的注册请求消息、所述接入服务器的所述加密密钥、以及记录发送到所述配置服务器的消息的计数的消息计数器,生成注册请求签名。7.根据权利要求6所述的方法,其中,所述消息计数器包括非接入层(NAS)上行链路计数器。8.根据权利要求1所述的方法,其中,在生成所述设备计算密钥之前,所述方法还包括,基于所述接入服务器的所述加密密钥和所述终端设备的所述唯一标识符,使用基于哈希的安全算法生成所述终端设备的临时标识符。9.根据权利要求8所述的方法,其中,生成所述设备计算密钥包括:基于所述通信网络内的所述终端设备的所述临时标识符和所述接入服务器的所述唯一标识符,生成所述设备计算密钥。10.根据权利要求9所述的方法,其中,所述设备计算密钥是网络接入标识符(NAI)格式,并且所述设备计算密钥的用户名部分包括所述接入服务器的所述唯一标识符和所述终端设备的所述临时标识符。11.根据权利要求1所述的方法,还包括:从所述配置服务器接收第一响应消息,所述第一响应消息包括第一注册响应和第一注册响应签名,其中:基于所述第一注册响应的原始数据,以及由所述接入服务器计算的所述配置服务器的
配置服务器密钥,加密计算出所述第一注册响应签名,所述接入服务器由所述计算网络经由所述设备计算密钥来识别,基于所述终端设备的所述唯一标识符、管理所述终端设备的所述接入服务器的所述加密密钥、以及所述配置服务器的标识符,加密计算出所述配置服务器密钥;基于所述终端设备的所述唯一标识符、管理所述终端设备的所述接入服务器的所述加密密钥、以及所述配置服务器的所述标识符,计算所述配置服务器密钥的本地副本;基于所述第一注册响应的所述原始数据、以及所述配置服务器密钥的所述本地副本,生成所述第一注册响应签名的本地副本;将所述第一注册响应签名的本地副本与所述第一响应消息中的所述第一注册响应签名进行比较;以及响应于两个签名匹配,在所述终端设备和所述配置服务器之间建立所述安全通信链路。12.根据权利要求11所述的方法,其中,所述第一响应消息还包括与所述配置服务器相关联的所述计算网络中的启用服务器的标识符、或者与所述配置服务器相关联的所述计算网络中的应用服务器的标识符中的至少一个。13.根据权利要求11所述的方法,还包括:基于向启用服务器的第二注册请求的原始数据、以及所述配置服务器密钥,生成第二注册请求签名;以及向所述启用服务器发送第二消息,所述第二消息包括所述设备计算密钥和所述第二注册请求签名。14.根据权利要求13所述的方法,其中,在发送所述第二消息之前,所述方法还包括:通过以下之一更新所述设备计算密钥:将所述配置服务器的所述标识符添加到所述设备计算密钥中;或者用所述配置服务器的所述标识符替换所述接入服务器的所述唯一标识符。15.根据权利要求14所述的方法,还包括:从所述启用服务器接收第二响应消息,所述第二响应消息包括第二注册响应和第二注册响应签名,其中:基于所述第二注册响应的原始数据、以及由所述配置服务器计算的启用服务器密钥,加密计算得到所述第二注册响应签名,所述配置服务器由所述启用服务器经由所述设备计算密钥来识别,并且基于所述启用服务器的标识符、以及所述配置服务器密钥,加密计算得到所述启用服务器密钥;基于所述启用服务器的所述标识符、以及所述配置服务器密钥,计算所述启用服务器密钥的本地副本;基于所述第二注册响应的所述原始数据、以及所述启用服务器密钥的所述本地副本,生成所述第二注册请求签名的本地副本;将所述第二注册请求签名的本地副本与所述第二消息中的所述第二注册响应签名进行比较;以及响应于两个签名匹配,在所述终端设备和所述启用服务器之间建立所述安全通信链路。
16.根据权利要求15所述的方法,其中,所述第二响应消息还包括与所述配置服务器相关联的所述计算网络中的应用服务器的标识符。17.根据权利要求15所述的方法,还包括:基于向应用服务器的第三注册请求的原始数据、以及所述启用服务器密钥,生成第三注册请求签名;以及向所述启用服务器发送第三消息,所述第三消息包...
【专利技术属性】
技术研发人员:游世林,蔡继燕,王庆,王继刚,刘宇泽,彭锦,邢真,林兆骥,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。