利用边缘数据网络进行认证和授权的方法、设备和系统技术方案

本公开总体上涉及通信网络中用边缘数据网络进行UE认证和授权。这种认证和授权可以基于UE的边缘计算密钥的生成和应用。这种边缘计算密钥可以被用于双向认证，并且可以在认证和授权过程的各个阶段期间被动态地更新。认证和授权被支持连接到属于不同PLMN的多个AMF的UE。UE。UE。

【技术实现步骤摘要】
【国外来华专利技术】利用边缘数据网络进行认证和授权的方法、设备和系统
[0001]技术域
[0002]本公开针对通信网络中利用边缘数据网络进行的终端设备认证和授权。

技术介绍

[0003]在通信网络中，各种应用和服务可能需要诸如虚拟现实(VR)和游戏应用，以及企业和物联网(IoT)服务之类的低延迟但高性能的计算。这样的应用和服务可以依赖于多址边缘计算(MEC)或移动边缘计算，它将应用带到网络的边缘，以减少延迟并实现高带宽。在用户设备(UE)和边缘计算网络上的高效和鲁棒的两端认证对于提供可信计算环境至关重要。

技术实现思路

[0004]本公开涉及在通信网络中利用边缘数据网络进行的UE认证和授权，并且特别涉及在认证和授权过程期间为UE生成和应用边缘计算密钥。
[0005]在一些实施方式中，公开了一种用于在终端设备和提供应用服务的计算网络之间建立安全通信链路的方法。该方法可以由通信网络中的终端设备执行，并且可以包括：基于终端设备的唯一标识符，生成终端设备的设备计算密钥；基于向计算网络的配置服务器的注册请求的原始数据和管理终端设备的接入服务器的加密密钥，生成注册请求签名；以及向配置服务器发送包括设备计算密钥和注册请求签名的第一消息，以用于向计算网络请求服务授权。
[0006]在一些其他实施方式中，公开了一种用于认证来自由接入服务器管理的终端设备的注册请求的方法。该方法可以由接入服务器执行，并且包括从计算网络中的开放服务器接收验证请求，其中，验证请求包括以下中的至少一个：从终端设备发起的注册请求，该注册请求由计算网络中的配置服务器转发给开放服务器，被用于请求终端设备访问计算网络；或者基于注册请求的原始数据、接入服务器的加密密钥和记录从终端设备发送到配置服务器的消息计数的消息计数器来进行加密的注册请求签名；基于注册请求的原始数据和接入服务器的加密密钥，生成注册请求签名的本地副本；将注册请求签名的本地副本与验证请求中的注册请求签名进行比较；以及响应于两个签名匹配，向开放服务器发送验证响应。
[0007]在一些其他实施方式中，公开了一种由计算网络中的配置服务器执行的、用于认证来自终端设备的注册请求的方法。该方法可以包括从终端设备接收注册请求，其中，该注册请求包括以下中的至少一个：基于注册请求的原始数据进行加密的注册请求签名、管理终端设备的接入服务器的加密密钥、以及记录从终端设备发送到配置服务器的消息计数的消息计数器；或者用于访问计算网络的终端设备的设备计算密钥；基于该设备计算密钥向计算网络中的开放服务器发送用于验证注册请求的验证请求，该验证请求包括以下中的至少一个：设备计算密钥；配置服务器的标识符；或者注册请求签名；以及从开放服务器接收包括配置服务器的配置服务器密钥的验证响应，验证响应。
[0008]在一些其他实施方式中，公开了一种设备。该设备主要包括一个或多个处理器，其中，一个或多个处理器被配置为实施上述方法中的任何一种。
[0009]在又一些其他实施方式中，公开了一种计算机程序产品。计算机程序产品可以包括具有存储在其上的计算机代码的非瞬态计算机可读程序介质，当由一个或多个处理器执行时，该计算机代码使一个或多个处理器实施上述方法中的任何一种。
[0010]在下面的附图、说明书和权利要求书中更详细地解释了上述实施例及其实施方式的其他方面和可替选方案。
附图说明
[0011]图1示出了包括终端设备、运营商网络、数据网络和服务应用的示例性通信网络。
[0012]图2示出了通信网络中的示例性网络功能或网络节点。
[0013]图3示出了无线通信网络中的示例性网络功能或网络节点。
[0014]图4示出了包括终端设备、核心网和边缘数据网络(EDN)的示例性通信网络。
[0015]图5和图6示出了利用EDN进行UE认证的示例性逻辑流程。
[0016]图7和图8示出了利用EDN进行UE认证的另一示例性逻辑流程。
具体实施方式
[0017]如图1中的100所示的示例性通信网络可以包括终端设备110和112、运营商网络102、各种服务应用140和其他数据网络150。例如，运营商网络102可以包括接入网120和核心网130。运营商网络102可以被配置为在终端设备110和112之间、在终端设备110和112与服务应用140之间、或者在终端设备110和112与其他数据网络150之间传输语音、数据和其他信息(统称为数据业务)。可以为这种数据传输建立和配置通信会话和相应的数据路径。接入网120可以被配置为向终端设备110和112提供对核心网130的网络接入。核心网130可以包括被配置为控制通信会话并执行网络接入管理和数据业务路由的各种网络节点或网络功能。服务应用140可以由各种应用服务器托管，该各种应用服务器由终端设备110和112通过运营商网络102的核心网130访问。服务应用140可以被部署为核心网130之外的数据网络。同样，其他数据网络150可以由终端设备110和112通过核心网130访问，并且其他数据网络150可以表现为在运营商网络102中实例化的特定通信会话的数据目的地或数据源。
[0018]图1的核心网130可以包括地理上分布和互连的各种网络节点或功能，以提供运营商网络102的服务区域的网络覆盖。这些网络节点或功能可以被实施为专用硬件网元。可替选地，这些网络节点或功能可以被虚拟化，并且被实施为虚拟机或软件实体。每个网络节点可以被配置有一种或多种类型的网络功能。这些网络节点或网络功能可以共同提供核心网130的配置和路由功能。术语“网络节点”和“网络功能”在本公开中可以被互换使用。
[0019]图2进一步示出了通信网络200的核心网130中的网络功能的示例性划分。虽然在图2中仅示出了网络节点或功能的单个实例，但是本域的普通技术人员理解，这些网络节点中的每个可以被实例化为分布在整个核心网130中的网络节点的多个实例。如图2所示，核心网130可以包括但不限于诸如接入管理网络节点(AMNN)230、认证网络节点(AUNN)260、网络数据管理网络节点(NDMNN)270、会话管理网络节点(SMNN)240、数据路由网络节点(DRNN)250、策略控制网络节点(PCNN)220以及应用数据管理网络节点(ADMNN)210之类的网络节
点。通过各种通信接口在各种类型的网络节点之间进行的示例性信令和数据交换由图2中的各种实线连接线表示。这种信令和数据交换可以通过遵循预定格式或协议的信令或数据消息来进行。
[0020]上面在图1和图2中描述的实施方式可以被应用于无线通信系统和有线通信系统。图3示出了基于图2的通信网络200的一般实施方式的示例性蜂窝无线通信网络300。图3示出了无线通信网络300可以包括用户设备(UE)310(用作图2的终端设备110)、无线接入网(RAN)320(用作图2的接入网120)、数据网络(DN)150和核心网130，该核心网130包括接入管理功能(AMF)330(用作图2的AMNN 230)、会话管理功能(SMF)340(用作图2的SM本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于在终端设备和提供应用服务的计算网络之间建立安全通信链路的方法，所述方法由所述终端设备在通信网络中执行，所述方法包括：基于所述终端设备的唯一标识符，生成所述终端设备的设备计算密钥；基于向所述计算网络的配置服务器的注册请求的原始数据，以及管理所述终端设备的接入服务器的加密密钥，生成注册请求签名；以及向所述配置服务器发送第一消息，所述第一消息包括所述设备计算密钥和所述注册请求签名，以用于向所述计算网络请求服务授权。2.根据权利要求1所述的方法，其中，所述终端设备的所述唯一标识符包括以下中的至少一项：5G全球唯一临时标识符(5G
‑
GUTI)；或订阅永久标识符(SUPI)。3.根据权利要求1所述的方法，其中，所述接入服务器包括以下中的至少一个：接入和移动性管理功能(AMF)；或安全锚定功能(SEAF)。4.根据权利要求1所述的方法，其中，所述接入服务器的所述唯一标识符包括全球唯一AMF ID(GUAMI)。5.根据权利要求1所述的方法，其中，所述计算网络包括以下中的至少一个：配置服务器；启用服务器；应用服务器；或开放服务器。6.根据权利要求1所述的方法，其中，生成所述注册请求签名包括：基于向所述边缘计算网络的配置服务器的注册请求消息、所述接入服务器的所述加密密钥、以及记录发送到所述配置服务器的消息的计数的消息计数器，生成注册请求签名。7.根据权利要求6所述的方法，其中，所述消息计数器包括非接入层(NAS)上行链路计数器。8.根据权利要求1所述的方法，其中，在生成所述设备计算密钥之前，所述方法还包括，基于所述接入服务器的所述加密密钥和所述终端设备的所述唯一标识符，使用基于哈希的安全算法生成所述终端设备的临时标识符。9.根据权利要求8所述的方法，其中，生成所述设备计算密钥包括：基于所述通信网络内的所述终端设备的所述临时标识符和所述接入服务器的所述唯一标识符，生成所述设备计算密钥。10.根据权利要求9所述的方法，其中，所述设备计算密钥是网络接入标识符(NAI)格式，并且所述设备计算密钥的用户名部分包括所述接入服务器的所述唯一标识符和所述终端设备的所述临时标识符。11.根据权利要求1所述的方法，还包括：从所述配置服务器接收第一响应消息，所述第一响应消息包括第一注册响应和第一注册响应签名，其中：基于所述第一注册响应的原始数据，以及由所述接入服务器计算的所述配置服务器的
配置服务器密钥，加密计算出所述第一注册响应签名，所述接入服务器由所述计算网络经由所述设备计算密钥来识别，基于所述终端设备的所述唯一标识符、管理所述终端设备的所述接入服务器的所述加密密钥、以及所述配置服务器的标识符，加密计算出所述配置服务器密钥；基于所述终端设备的所述唯一标识符、管理所述终端设备的所述接入服务器的所述加密密钥、以及所述配置服务器的所述标识符，计算所述配置服务器密钥的本地副本；基于所述第一注册响应的所述原始数据、以及所述配置服务器密钥的所述本地副本，生成所述第一注册响应签名的本地副本；将所述第一注册响应签名的本地副本与所述第一响应消息中的所述第一注册响应签名进行比较；以及响应于两个签名匹配，在所述终端设备和所述配置服务器之间建立所述安全通信链路。12.根据权利要求11所述的方法，其中，所述第一响应消息还包括与所述配置服务器相关联的所述计算网络中的启用服务器的标识符、或者与所述配置服务器相关联的所述计算网络中的应用服务器的标识符中的至少一个。13.根据权利要求11所述的方法，还包括：基于向启用服务器的第二注册请求的原始数据、以及所述配置服务器密钥，生成第二注册请求签名；以及向所述启用服务器发送第二消息，所述第二消息包括所述设备计算密钥和所述第二注册请求签名。14.根据权利要求13所述的方法，其中，在发送所述第二消息之前，所述方法还包括：通过以下之一更新所述设备计算密钥：将所述配置服务器的所述标识符添加到所述设备计算密钥中；或者用所述配置服务器的所述标识符替换所述接入服务器的所述唯一标识符。15.根据权利要求14所述的方法，还包括：从所述启用服务器接收第二响应消息，所述第二响应消息包括第二注册响应和第二注册响应签名，其中：基于所述第二注册响应的原始数据、以及由所述配置服务器计算的启用服务器密钥，加密计算得到所述第二注册响应签名，所述配置服务器由所述启用服务器经由所述设备计算密钥来识别，并且基于所述启用服务器的标识符、以及所述配置服务器密钥，加密计算得到所述启用服务器密钥；基于所述启用服务器的所述标识符、以及所述配置服务器密钥，计算所述启用服务器密钥的本地副本；基于所述第二注册响应的所述原始数据、以及所述启用服务器密钥的所述本地副本，生成所述第二注册请求签名的本地副本；将所述第二注册请求签名的本地副本与所述第二消息中的所述第二注册响应签名进行比较；以及响应于两个签名匹配，在所述终端设备和所述启用服务器之间建立所述安全通信链路。
16.根据权利要求15所述的方法，其中，所述第二响应消息还包括与所述配置服务器相关联的所述计算网络中的应用服务器的标识符。17.根据权利要求15所述的方法，还包括：基于向应用服务器的第三注册请求的原始数据、以及所述启用服务器密钥，生成第三注册请求签名；以及向所述启用服务器发送第三消息，所述第三消息包...

【专利技术属性】
技术研发人员：游世林，蔡继燕，王庆，王继刚，刘宇泽，彭锦，邢真，林兆骥，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：