CN115777193A - 用于边缘使能器服务器装载的边缘安全程序 - Google Patents

用于边缘使能器服务器装载的边缘安全程序 Download PDF

Info

Publication number
CN115777193A
CN115777193A CN202180048169.2A CN202180048169A CN115777193A CN 115777193 A CN115777193 A CN 115777193A CN 202180048169 A CN202180048169 A CN 202180048169A CN 115777193 A CN115777193 A CN 115777193A
Authority
CN
China
Prior art keywords
edge
server
enabler
client
edge enabler
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180048169.2A
Other languages
English (en)
Inventor
阿比吉特·阿肖克·科勒卡尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN115777193A publication Critical patent/CN115777193A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

描述了一种用于实现边缘设备的安全过程的装置和***。对边缘配置服务器、边缘使能器服务器和边缘应用服务器的装载执行认证和授权。还描述了用于EDGE‑1和EDGE‑4参考点的安全过程(其使用由边缘使能器客户端选择的并且与边缘配置服务器协商的安全方法)。安全方法是基于TLS‑PSK的、基于证书的相互认证、或基于访问令牌的。

Description

用于边缘使能器服务器装载的边缘安全程序
优先权声明
本申请要求于2020年8月4日提交的序列号为63/061,068的美国临时专利申请、于2020年8月4日提交的序列号为63/061,071的美国临时专利申请、于2020年8月4日提交的序列号为63/061,095的美国临时专利申请、和于2020年8月4日提交的序列号为63/061,096的美国临时专利申请的优先权权益,它们通过引用以其整体合并于此。
技术领域
实施例涉及第五代(5G)无线通信。具体地,一些实施例涉及5G网络中的边缘计算。
背景技术
因为使用网络资源的用户设备(UE)的设备类型增加了以及在这些UE上操作的各种应用(例如,视频流)所使用的数据量和带宽增加了,所以无线***(包括第4代(4G)和第5代(5G)网络等等)的使用和复杂性增加了。随着通信设备的数量和多样性的大量增加,相应的网络环境(包括路由器、交换机、桥接器、网关、防火墙和负载平衡器)已经变得越来越复杂,特别是随着下一代(NG)(或新的无线电(NR))***的出现。不出所料,任何新技术的出现都会带来许多问题。
附图说明
在不一定按比例绘制的附图中,相似的标号在不同视图中可以描述相似的组件。具有不同字母后缀的相似标号可以表示相似组件的不同实例。附图以示例方式而非限制方式概括图示了本文档中论述的各种实施例。
图1A示出了根据一些方面的网络的架构。
图1B示出了根据一些方面的非漫游5G***架构。
图1C示出了根据一些方面的非漫游5G***架构。
图2示出了根据一些实施例的通信设备的框图。
图3示出了根据一些实施例的用于使能边缘应用的架构。
图4示出了根据一些实施例的用于边缘使能器客户端装载(onboarding)的安全过程。
图5示出了根据一些实施例的对在EDGE-1参考点中使用的安全方法的选择。
图6示出了根据一些实施例的使用传输层安全预共享的密钥密码套件(TLS-PSK)的EDGE-1接口认证和保护。
图7示出了根据一些实施例的使用基于证书的相互认证的EDGE-1接口认证和保护。
图8示出了根据一些实施例的使用访问令牌的EDGE-1接口认证和保护。
图9示出了根据一些实施例的用于边缘应用服务器装载的安全过程。
具体实施方式
下面的描述和附图充分示出了特定实施例,以使得本领域技术人员能够实现它们。其他实施例可以包括结构的、逻辑的、电气的、过程的和其他的变化。一些实施例的部分和特征可以包括在其他实施例的部分和特征中,或替代其他实施例的部分和特征。权利要求中阐述的实施例包括这些权利要求的所有可用等同物。
图1A示出了根据一些方面的网络的架构。网络140A包括3GPP LTE/4G和NG网络功能,其可以扩展到6G功能。因此,虽然将提到5G,但是应当理解的是,这能够扩展到6G结构、***和功能。网络功能可以被实现为专用硬件上的离散网络元素、在专用硬件上运行的软件实例、和/或在适当平台(例如,专用硬件或云基础设施)上实例化的虚拟化功能。
网络140A被示出为包括用户设备(UE)101和UE 102。UE 101和102被示出为智能手机(例如,可连接到一个或多个蜂窝网络的手持触摸屏移动计算设备),但是也可以包括任何移动或非移动计算设备,例如便携式(笔记本电脑)或台式计算机、无线手机、无人机、或包括有线和/或无线通信接口的任何其他计算设备。UE 101和102可以在本文中被统称为UE101,并且UE 101可以用于执行本文中公开的一种或多种技术。
本文描述的任何无线电链路(例如,如在网络140A或任何其他图示网络中使用的)可以根据任何示例性无线电通信技术和/或标准进行操作。任何频谱管理方案,包括例如专用许可频谱、未许可频谱、(许可)共享频谱(例如,2.3-2.4GHz、3.4-3.6GHz、3.6-3.8GHz和其他频率中的许可共享访问(LSA)、以及3.55-3.7GHz和其他频率中的频谱访问***(SAS))。不同的单载波或正交频域复用(OFDM)模式(CP-OFDM、SC-FDMA、SC-OFDM、基于滤波器组的多载波(FBMC)、OFDMA等)(特别是3GPP NR)可以通过将OFDM载波数据位向量分配到相应的符号资源来使用。
在一些方面中,UE 101和102中的任一者都可以包括物联网(IoT)UE或蜂窝IoT(CIoT)UE,其可以包括为利用短寿命UE连接的低功耗物联网应用而设计的网络接入层。在一些方面中,UE 101和102中的任一者都可以包括窄带(NB)IoT UE(例如,增强的NB-IoT(eNB-IoT)UE和进一步增强的(FeNB-IoT)UE)。IoT UE可以利用诸如机器对机器(M2M)或机器类型通信(MTC)之类的技术,通过公共陆地移动网络(PLMN)、基于接近度的服务(ProSe)或设备对设备(D2D)通信、传感器网络、或IoT网络,来与MTC服务器或设备交换数据。M2M或MTC数据交换可以是由机器发起的数据交换。IoT网络包括互连连接的IoT UE,其可以包括唯一可识别的嵌入式计算设备(在互联网基础设施内),具有短寿命连接。IoT UE可以执行后台应用(例如,保持活动消息、状态更新等)以促进IoT网络的连接。在一些方面中,UE 101和102中的任一者都可以包括增强的MTC(eMTC)UE或进一步增强的MTC(FeMTC)UE。
UE 101和102可以被配置为与无线接入网(RAN)110连接(例如,通信地耦合)。RAN110可以是例如演进的通用移动通信***(UMTS)地面无线电接入网(E-UTRAN)、下一代RAN(NG RAN)、或其他类型的RAN。
UE 101和102分别利用连接103和104,每个连接包括物理通信接口或层(下文将进一步详细讨论);在该示例中,连接103和104被示出为使能通信耦合的空中接口,并且可以符合蜂窝通信协议,例如全球移动通信***(GSM)协议、码分多址(CDMA)网络协议、即按即说(PTT)协议、蜂窝上PTT(POC)协议、通用移动通信***(UMTS)协议、3GPP长期演进(LTE)协议、5G协议、6G协议等。
在一个方面中,UE 101和102可以进一步通过ProSe接口105直接交换通信数据。ProSe接口105也可以被称为侧链路(SL)接口,该SL接口包括一个或多个逻辑信道,包括但不限于物理侧链路控制信道(PSCCH)、物理侧链路共享信道(PSSCH)、物理侧链路发现信道(PSDCH)、物理侧链路广播信道(PSBCH)、和物理侧链路反馈信道(PSFCH)。
UE 102被示出为被配置为经由连接107接入接入点(AP)106。连接107可以包括本地无线连接,例如,符合任何IEEE 802.11协议的连接,根据该协议,AP 106可以包括无线保真
Figure BDA0004037185390000041
路由器。在该示例中,AP106被示出为连接到互联网而不连接到无线***的核心网络(下面将进一步详细描述)。
RAN 110可以包括一个或多个接入节点,该一个或多个接入节点使能连接103和104。这些接入节点(AN)可以被称为基站(BS)、NodeB、演进NodeB(eNB)、下一代NodeB(gNB)、RAN节点等,并且可以包括在地理区域(例如,小区)内提供覆盖的地面站(例如,地面接入点)或卫星站。在一些方面中,通信节点111和112可以是传输/接收点(TRP)。在通信节点111和112是NodeB(例如,eNB或gNB)的情况下,一个或多个TRP可以在NodeB的通信小区内发挥作用。RAN 110可以包括用于提供宏小区的一个或多个RAN节点(例如,宏RAN节点111),以及用于提供毫微微小区或微微小区(例如,相比于宏小区,具有更小的覆盖区域、更小的用户容量、或更高的带宽的小区)的一个或多个RAN节点(例如,低功率(LP)RAN节点112)。
RAN节点111和112中的任一者都可以终接(terminate)空中接口协议,并且可以是UE 101和102的第一接触点。在一些方面中,RAN节点111和112中的任一者都可以实现RAN110的各种逻辑功能,包括但不限于无线网络控制器(RNC)功能,例如,无线承载管理、上行链路和下行链路动态无线资源管理和数据分组调度、以及移动性管理。在示例中,节点111和/或112中的任一者都可以是gNB、eNB、或其他类型的RAN节点。
RAN 110被示出为通过S1接口113通信地耦合到核心网络(CN)120。在各个方面中,CN 120可以是演进分组核心(EPC)网络、下一代分组核心(NPC)网络、或一些其他类型的CN(例如,参考图1B至图1C所示)。在该方面中,S1接口113被分为两个部分:S1-U接口114,其承载RAN节点111和112与服务网关(S-GW)122之间的流量数据;以及S1移动性管理实体(MME)接口115,其是RAN节点111和112与MME 121之间的信令接口。
在该方面中,CN 120包括MME 121、S-GW 122、分组数据网络(PDN)网关(P-GW)123、和家庭订户服务器(HSS)124。MME 121在功能上可以类似于传统的服务通用分组无线业务(GPRS)支持节点(SGSN)的控制平面。MME 121可以管理接入中的移动性方面,例如网关选择和跟踪区域列表管理。HSS 124可以包括网络用户的数据库,包括用来支持网络实体处理通信会话的订阅相关信息。CN 120可以包括一个或几个HSS 124,这取决于移动订户的数量、设备的容量、网络的组织等等。例如,HSS 124可以提供对路由/漫游、认证、授权、命名/寻址解析、位置依赖性等的支持。
S-GW 122可以终接朝向RAN 110的S1接口113,并且在RAN 110和CN 120之间路由数据分组。此外,S-GW 122可以是用于RAN节点间切换的本地移动性锚点,并且还可以为3GPP间移动性提供锚点。S-GW 122的其他责任可以包括合法拦截、收费、和一些策略执行。
P-GW 123可以终接朝向PDN的SGi接口。P-GW 123可以通过互联网协议(IP)接口125在EPC网络120和外部网络(例如,包括应用服务器184(或者称为应用功能(AF))的网络)之间路由数据分组。P-GW123还可以将数据传送到其他外部网络131A,该其他外部网络131A可以包括互联网、IP多媒体子***(IPS)网络、和其他网络。一般地,应用服务器184可以是提供与核心网络(例如,UMTS分组服务(PS)域、LTE PS数据服务等)一起使用IP承载资源的应用的元件。在该方面中,P-GW 123被示出为通过IP接口125通信地耦合到应用服务器184。应用服务器184还可以被配置为通过CN 120支持针对UE 101和102的一个或多个通信服务(例如,互联网语音协议(VoIP)会话、PTT会话、组通信会话、社交网络服务等)。
P-GW 123还可以是用于策略执行和收费数据收集的节点。策略和收费规则功能(PCRF)126是CN 120的策略和收费控制元件。在非漫游场景中,在一些方面中,在家庭公共陆地移动网络(HPLMN)中可能存在与UE的互联网协议连接性接入网络(IP-CAN)会话相关联的单一PCRF。在具有本地流量中断的漫游场景中,可能存在与UE的IP-CAN会话相关联的两个PCRF:HPLMN内的家庭PCRF(H-PCRF)、和受访公共陆地移动网络(VPLMN)内的受访PCRF(V-PCRF)。PCRF 126可以通过P-GW 123通信地耦合到应用服务器184。
在一些方面中,通信网络140A可以是IoT网络或5G或6G网络,包括使用许可(5GNR)和未许可(5G NR-U)频谱中的通信的5G新无线电网络。目前IoT实现之一是窄带IoT(NB-IoT)。未许可频谱中的操作可以包括双连接性(DC)操作以及未许可频谱中的独立LTE***,根据该独立LTE***,基于LTE的技术仅在未许可频谱中操作,而不使用许可频谱中的“锚点”,称为MulteFire。在未来的版本和5G***中,期望进一步加强LTE***在许可以及未许可频谱中的操作。这种增强的操作可以包括用于侧链路资源分配的技术和用于NR侧链路V2X通信的UE处理行为。
NG***架构(或6G***架构)可以包括RAN 110和5G网络核心(5GC)120。NG-RAN110可以包括多个节点,例如gNB和NG-eNB。核心网络120(例如,5G核心网络/5GC)可以包括接入和移动性功能(AMF)和/或用户平面功能(UPF)。AMF和UPF可以通过NG接口通信地耦合到gNB和NG-eNB。更具体地,在一些方面中,gNB和NG-eNB可以通过NG-C接口连接到AMF,并且通过NG-U接口连接到UPF。gNB和NG-eNB可以通过Xn接口相互耦合。
在一些方面中,NG***架构可以在各种节点之间使用参考点。在一些方面中,每个gNB和NG-eNB都可以被实现为基站、移动边缘服务器、小小区、家庭eNB等等。在一些方面中,在5G架构中,gNB可以是主节点(MN),并且NG-eNB可以是从节点(SN)。
图1B示出了根据一些方面的非漫游5G***架构。具体地,图1B示出了以参考点表示的5G***架构140B,其可以扩展到6G***架构。更具体地,UE 102可以与RAN 110以及一个或多个其他5GC网络实体进行通信。5G***架构140B包括多个网络功能(NF),例如AMF132、会话管理功能(SMF)136、策略控制功能(PCF)148、应用功能(AF)150、UPF 134、网络切片选择功能(NSSF)142、认证服务器功能(AUSF)144、和统一数据管理(UDM)/家庭订户服务器(HSS)146。
UPF 134可以提供到数据网络(DN)152的连接,其可以包括例如运营商服务、互联网接入、或第三方服务。AMF 132可以用于管理接入控制和移动性,并且还可以包括网络切片选择功能。AMF 132可以提供基于UE的认证、授权、移动性管理等等,并且可以独立于接入技术。SMF 136可以被配置为根据网络策略来设置和管理各种会话。因此,SMF 136可以负责会话管理以及IP地址到UE的分配。SMF 136还可以选择和控制UPF134以用于数据传输。SMF136可以与UE 101的单个会话或UE 101的多个会话相关联。也就是说,UE 101可以具有多个5G会话。可以为每个会话分配不同的SMF。使用不同的SMF可以允许单独地管理每个会话。因此,每个会话的功能可以是相互独立的。
UPF 134可以根据期望的服务类型在一个或多个配置中进行部署,并且可以与数据网络进行连接。PCF 148可以被配置为提供使用网络切片、移动性管理、和漫游的策略框架(类似于4G通信***中的PCRF)。UDM可以被配置为存储订户配置文件和数据(类似于4G通信***中的HSS)。
AF 150可以向负责策略控制的PCF 148提供关于分组流的信息,以支持期望的QoS。PCF 148可以为UE 101设置移动性和会话管理策略。为此目的,PCF 148可以使用分组流信息来确定AMF 132和SMF 136的适当操作的适当策略。AUSF 144可以存储用于UE认证的数据。
在一些方面中,5G***架构140B包括IP多媒体子***(IMS)168B以及多个IP多媒体核心网络子***实体,例如呼叫会话控制功能(CSCF)。更具体地,IMS 168B包括CSCF,其可以作为代理CSCF(P-CSCF)162B、服务CSCF(S-CSCF)164B、紧急CSCF(E-CSCF)(在图1B中未示出)、或询问CSCF(I-CSCF)166B。P-CSCF 162B可以被配置为UE 102在IM子***(IMS)168B内的第一接触点。S-CSCF 164B可以被配置为处理网络中的会话状态,并且E-CSCF可以被配置为处理紧急会话的某些方面,例如将紧急请求路由到正确的紧急中心或PSAP。I-CSCF166B可以被配置为充当所有IMS连接在运营商网络内的接触点,这些IMS连接的目的地是该网络运营商的订户、或当前位于该网络运营商的服务区域内的漫游用户。在一些方面中,I-CSCF 166B可以连接到另一个IP多媒体网络170E,例如,由不同的网络运营商操作的IMS。
在一些方面中,UDM/HSS 146可以耦合到应用服务器160E,该应用服务器160E可以包括电话应用服务器(TAS)或其他应用服务器(AS)。AS 160B可以通过S-CSCF 164B或I-CSCF 166B耦合到IMS 168B。
参考点表示示出了相应的NF服务之间可以存在交互。例如,图1B示出了以下参考点:N1(在UE 102和AMF 132之间)、N2(在RAN 110和AMF 132之间)、N3(在RAN 110和UPF 134之间)、N4(在SMF136和UPF 134之间)、N5(在PCF 148和AF 150之间,未示出)、N6(在UPF 134和DN 152之间)、N7(在SMF 136和PCF 148之间,未示出)、N8(在UDM 146和AMF 132之间,未示出)、N9(在两个UPF134之间,未示出)、N10(在UDM 146和SMF 136之间,未示出)、N11(在AMF 132和SMF 136之间,未示出)、N12(在AUSF 144和AMF 132之间,未示出)、N13(在AUSF144和UDM 146之间,未示出)、N14(在两个AMF 132之间,未示出)、N15(在非漫游场景的情况下在PCF 148和AMF 132之间,或者在漫游场景的情况下在PCF 148与受访网络和AMF 132之间,未示出)、N16(在两个SMF之间,未示出)、和N22(在AMF 132和NSSF 142之间,未示出)。还可以使用图1B中未示出的其他参考点表示。
图1C示出了5G***架构140C和基于服务的表示。除了图1B中所示的网络实体之外,***架构140C还可以包括网络暴露功能(NEF)154和网络存储库功能(NRF)156。在一些方面中,5G***架构可以是基于服务的,并且网络功能之间的交互可以通过相应的点对点参考点Ni来表示,或者被表示为基于服务的接口。
在一些方面中,如图1C所示,基于服务的表示可以用来表示控制平面内的网络功能,这些网络功能使得其他已授权的网络功能能够访问他们的服务。在这方面,5G***架构140C可以包括以下基于服务的接口:Namf 158H(AMF 132展现的基于服务的接口)、Nsmf158I(SMF 136展现的基于服务的接口)、Nnef 158B(NEF 154展现的基于服务的接口)、Npcf158D(PCF 148展现的基于服务的接口)、Nudm 158E(UDM 146展现的基于服务的接口)、Naf158F(AF 150展现的基于服务的接口)、Nnrf 158C(NRF 156展现的基于服务的接口)、Nnssf158A(NSSF 142展现的基于服务的接口)、Nausf 158G(AUSF 144展现的基于服务的接口)。还可以使用图1C中未示出的其他基于服务的接口(例如,Nudr、N5g-eir和Nudsf)。
NR-V2X架构可以支持具有多种流量模式的高可靠性低延迟侧链路通信,包括具有随机分组到达时间和大小的周期性和非周期性通信。本文所公开的技术可以用于支持具有动态拓扑的分布式通信***(包括侧链路NR V2X通信***)中的高可靠性。
图2示出了根据一些实施例的通信设备的框图。通信设备200可以是UE(例如,专用计算机、个人或笔记本计算机(PC)、平板PC、或智能手机)、专用网络设备(例如,eNB)、将服务器配置为作为网络设备进行操作的服务器运行软件、虚拟设备、或者能够(顺序地或以其他方式)执行指定机器要采取的动作的指令的任何机器。例如,通信设备200可以被实现为图1A至图1C中所示的一个或多个设备。注意,本文所描述的通信可以在由发送实体(例如,UE、gNB)发送之前进行编码,以便由接收实体(例如,gNB、UE)接收,并在由接收实体接收之后进行解码。
如本文所述的示例可以包括逻辑或若干个组件、模块或机构,或者可以在逻辑或若干个组件、模块或机构上操作。模块和组件是能够执行指定的操作并且可以按一定方式来配置或布置的有形实体(例如,硬件)。在示例中,电路可以按指定的方式被布置为模块(例如,在内部或者对于外部实体,例如其他电路)。在示例中,一个或多个计算机***(例如,单机、客户端或服务器计算机***)或者一个或多个硬件处理器的全部或部分可以由固件或软件(例如,指令、应用部分或者应用)配置为进行操作来执行指定操作的模块。在示例中,软件可以驻留在机器可读介质上。在示例中,软件当被模块的底层硬件执行时使得该硬件执行指定的操作。
因此,术语“模块”(以及“组件”)被理解为涵盖有形实体,不论是物理构造的、特别配置(例如,硬连线)的还是临时(例如,暂态)配置(例如,编程)来以指定方式操作或者执行本文描述的任何操作的一部分或全部的实体。考虑其中模块被临时配置的示例,不需要在任何一个时刻实例化每个模块。例如,在模块包括利用软件配置的通用硬件处理器的情况下,该通用硬件处理器在不同时间可以被配置为各个不同的模块。软件可以相应地将硬件处理器配置为例如在一个时刻构成一个特定模块并且在不同的时刻构成不同的模块。
通信设备200可以包括硬件处理器(或等价的处理电路)202(例如,中央处理单元(CPU)、GPU、硬件处理器核心、或其任何组合)、主存储器204和静态存储器206,其中的一些或全部可以通过互连(例如,总线)208相互通信。主存储器204可以包括任何或全部的可移动存储装置和非可移动存储装置、易失性存储器或非易失性存储器。通信设备200还可以包括显示单元210,例如视频显示器、字母数字输入设备212(例如,键盘)和用户界面(UI)导航设备214(例如,鼠标)。在示例中,显示单元210、输入设备212和UI导航设备214可以是触摸屏显示器。通信设备200还可以包括存储设备(例如,驱动单元)216、信号生成设备218(例如,扬声器)、网络接口设备220和一个或多个传感器,例如全球定位***(GPS)传感器、指南针、加速度计或其他传感器。通信设备200还可以包括输出控制器,例如串行(例如,通用串行总线(USB))、并行、或其他有线或无线(例如,红外(IR)、近场通信(NFC)等)连接以与一个或多个***设备(例如,打印机、读卡器等)通信或者控制一个或多个***设备。
存储设备216可以包括非暂态机器可读介质222(以下简称机器可读介质),其上存储了体现本文描述的任何一个或多个技术或功能或者被本文描述的任何一个或多个技术或功能所利用的一组或多组数据结构或指令224(例如,软件)。在由通信设备200执行指令期间,指令224也可以完全或至少部分地驻留在主存储器204内、在静态存储器206内、和/或在硬件处理器202内。虽然机器可读介质222被示出为单个介质,但是术语“机器可读介质”可以包括被配置为存储一个或多个指令224的单个介质或多个介质(例如,集中式或分布式数据库,和/或关联的缓存和服务器)。
术语“机器可读介质”可以包括能够存储、编码或携带供通信设备200执行并且使得通信设备200执行本公开的任何一个或多个技术的指令的任何介质,或者能够存储、编码或携带被这种指令使用或者与这种指令相关联的数据结构的任何介质。非限制性机器可读介质示例可以包括固态存储器,以及光介质和磁介质。机器可读介质的具体示例可以包括:非易失性存储器,例如半导体存储器设备(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)),以及闪存设备;磁盘,例如内部硬盘和可移除盘;磁光盘;随机访问存储器(RAM);以及CD-ROM和DVD-ROM盘。
还可以利用若干无线局域网(WLAN)传输协议(例如,帧中继、互联网协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)等等)中的任何一种经由网络接口设备220使用传输介质226通过通信网络,来发送或接收指令224。示例通信网络可以包括局域网(LAN)、广域网(WAN)、分组数据网络(例如,互联网)、移动电话网络(例如,蜂窝网络)、简易老式电话(POTS)网络、和无线数据网络。网络上的通信可以包括一个或多个不同的协议,例如电气和电子工程师协会(IEEE)802.11标准系列(称为Wi-Fi)、IEEE802.16标准系列(称为WiMax)、IEEE 802.15.4标准系列、长期演进(LTE)标准系列、通用移动通信***(UMTS)标准系列、点对点(P2P)网络、下一代(NG)/第五代(5G)标准等等。在示例中,网络接口设备220可以包括用来连接到传输介质226的一个或多个物理插孔(例如,以太网、同轴、或电话插孔)或一个或多个天线。
注意,本文使用的术语“电路”是指被配置为提供描述的功能的硬件组件、是该硬件组件的一部分、或者包括该硬件组件,例如,电子电路、逻辑电路、处理器(共享的、专用的或群组的)和/或存储器(共享的、专用的或群组的)、专用集成电路(ASIC)、现场可编程设备(FPD)(例如,现场可编程门阵列(FPGA)、可编程逻辑设备(PLD)、复杂PLD(CPLD)、高容量PLD(HCPLD)、结构化ASIC、或可编程SoC)、数字信号处理器(DSP)等等。在一些实施例中,电路可以执行一个或多个软件或固件程序,以提供至少一些描述的功能。术语“电路”还可以指一个或多个硬件元件(或者在电气或电子***中使用的电路组合)与程序代码的组合,用于执行该程序代码的功能。在这些实施例中,硬件元件和程序代码的组合可以被称为特定类型的电路。
因此,本文使用的术语“处理器电路”或“处理器”是指下列电路、是下列电路的一部分、或者包括下列电路:该电路能够顺序且自动地执行一系列算术或逻辑操作,或者记录、存储和/或传输数字数据。术语“处理器电路”或“处理器”可以指一个或多个应用处理器、一个或多个基带处理器、物理中央处理单元(CPU)、单核或多核处理器、和/或能够执行或以其他方式操作计算机可执行指令(例如,程序代码、软件模块和/或功能进程)的任何其他设备。
本文描述的任何无线电链路都可以根据下列无线电通信技术和/或标准中的任一者或多者进行操作,包括但不限于:全球移动通信***(GSM)无线电通信技术、通用分组无线电业务(GPRS)无线电通信技术、增强型数据速率GSM演进(EDGE)无线电通信技术、和/或第三代合作伙伴计划(3GPP)无线电通信技术,例如,通用移动通信***(UMTS)、自由多媒体接入(FOMA)、3GPP长期演进(LTE)、3GPP长期演进高级(LTE高级)、码分多址2000(CDMA2000)、蜂窝数字分组数据(CDPD)、Mobitex、第三代(3G)、电路交换数据(CSD)、高速电路交换数据(HSCSD)、通用移动通信***(第三代)(UMTS(3G))、宽带码分多址(通用移动通信***)(W-CDMA(UMTS))、高速分组接入(HSPA)、高速下行链路分组接入(HSDPA)、高速上行链路分组接入(HSUPA)、高速分组接入+(HSPA+)、通用移动通信***时分双工(UMTS-TDD)、时分码分多址(TD-CDMA)、时分同步码分多址(TD-CDMA)、第三代合作伙伴计划版本8(第4代之前)(3GPP Rel.8(4G之前))、3GPP Rel.9(第3代合作伙伴计划版本9)、3GPP Rel.10(第3代合作伙伴计划版本10)、3GPP Rel.11(第3代合作伙伴计划版本11)、3GPP Rel.12(第3代合作伙伴计划版本12)、3GPP Rel.13(第3代合作伙伴计划版本13)、3GPP Rel.14(第3代合作伙伴计划版本14)、3GPP Rel.15(第3代合作伙伴计划版本15)、3GPP Rel.16(第3代合作伙伴计划版本16)、3GPP Rel.17(第3代合作伙伴计划版本17)以及后续版本(例如,Rel.18、Rel.19等等)、3GPP 5G、5G、5G新无线电(5G NR)、3GPP 5G新无线电、3GPP LTE扩展、LTE高级专业、LTE许可辅助接入(LAA)、MuLTEfire、UMTS陆地无线电接入(UTRA)、演进的UMTS陆地无线电接入(E-UTRA)、长期演进高级(***)(LTE高级(4G))、cdmaOne(2G)、码分多址2000(第三代)(CDMA2000(3G))、优化演进数据或仅演进数据(EV-DO)、高级移动电话***(第一代)(AMPS(1G))、全接入通信***/扩展式全接入通信***(TACS/ETACS)、数字AMPS(第二代)(D-AMPS(2G))、即按即说(PTT)、移动电话***(MTS)、改进的移动电话***(IMTS)、高级移动电话***(AMTS)、OLT(挪威语Offentlig Landmobil Telefoni,公共陆地移动电话)、MTD(瑞典语Mobiltelefonisystem D的缩写,或移动电话***D)、公共自动化陆地移动(Autotel/PALM)、ARP(芬兰语Autoradiopuhelin,“汽车无线电话”)、NMT(北欧移动电话)、NTT(日本电信电话)的大容量版本(Hicap)、蜂窝数字分组数据(CDPD)、Mobitex、DataTAC、集成数字增强网络(iDEN)、个人数字蜂窝(PDC)、电路交换数据(CSD)、个人手持电话***(PHS)、宽带集成数字增强型网络(WiDEN)、iBurst、未许可移动接入(UMA,也称为3GPP通用接入网络或GAN标准)、Zigbee、蓝牙(r)、无线千兆联盟(WiGig)标准、通用毫米波标准(在10-300GHz及以上进行操作的无线***,例如WiGig、IEEE 802.11ad、IEEE 802.11ay等等)、在300GHz和THz频带以上进行操作的技术、(基于3GPP/LTE、或IEEE 802.11p、或IEEE802.11bd以及其他的)车辆对车辆(V2V)和车辆对X(V2X)和车辆对基础设施(V2I)和基础设施对车辆(I2V)通信技术、3GPP蜂窝V2X、DSRC(专用短程通信)通信***(例如,智能传输***和其他(通常在5850MHz至5925MHz或以上进行操作(通常高达5935MHz,遵循CEPT报告71中的更改建议)))、欧洲ITS-G5***(即,基于IEEE 802.11p的DSRC的欧洲风格,包括ITS-G5A(即,在以下欧洲ITS频带中操作ITS-G5,该欧洲ITS频带在频率范围5875GHz至5905GHz中专用于安全相关应用的ITS)、ITS-G5B(即,在以下欧洲ITS频带中进行操作,该欧洲ITS频带在频率范围5855GHz至5875GHz中专用于ITS非安全应用)、ITS-G5C(即,在频率范围5470GHz至5725GHz中操作ITS应用))、在700MHz频带中的在日本的DSRC(包括715MHz至725MHz)、基于IEEE 802.11bd的***等等。
本文描述的各个方面可以用于任何频谱管理方案的上下文,包括专用许可频谱、未许可频谱、许可豁免频谱、(许可)共享频谱(例如,LSA=2.3-2.4GHz、3.4-3.6GHz、3.6-3.8GHz及以上频率中的许可共享访问,并且SAS=3.55-3.7GHz及以上频率中的频谱访问***/CBRS=3.55-3.7GHz及以上频率中的公民宽带无线电***)。适用的频谱带包括IMT(国际移动通信)频谱以及其他类型的频谱/频带,例如具有国家分配的频带(包括450-470MHz、902-928MHz(注:例如在US分配的(FCC部分15))、863-868.6MHz(注:例如在欧盟分配的(ETSI EN 300 220))、915.9-929.7MHz(注:例如在日本分配的)、917-923.5MHz(注:例如在韩国分配的)、755-779MHz和779-787MHz(注:例如在中国分配的)、790-960MHz、1710-2025MHz、2110-2200MHz、2300-2400MHz、2.4-2.4835GHz(注:其是具有全球可用性的ISM频带,并且其由Wi-Fi技术系列(11b/g/n/ax)和蓝牙使用)、2500-2690MHz、698-790MHz、610-790MHz、3400-3600MHz、3400-3800MHz、3800-4200MHz、3.55-3.7GHz(注:例如在US分配给公民宽带无线电业务)、5.15-5.25GHz和5.25-5.35GHz和5.47-5.725GHz和5.725-5.85GHz频带(注:例如在US分配的(FCC部分15),包括总共500MHz频谱中的四个U-NII频带)、5.725-5.875GHz(注:例如在EU分配的(ETSI EN 301 893))、5.47-5.65GHz(注:例如在韩国分配的)、5925-7125MHz和5925-6425MHz频带(注:US和EU分别正在考虑))。下一代Wi-Fi***预计将包括6GHz频谱作为操作频带,但值得注意的是,截至2017年12月,Wi-Fi***还不允许在该频带中使用。预计在2019-2020年完成监管,IMT先进频谱、IMT-2020频谱(预计包括3600-3800MHz、3800-4200MHz、3.5GHz频带、700MHz频带、24.25-86GHz范围内的频带等)、在FCC的“频谱前沿”5G倡议下可用的频谱(包括27.5-28.35GHz、29.1-29.25GHz、31-31.3GHz、37-38.6GHz、38.6-40GHz、42-42.5GHz、57-64GHz、71-76GHz、81-86GHz、和92-94GHz等)、5.9GHz(通常为5.85-5.925GHz)和63-64GHz的ITS(智能交通***)频带、目前分配给WiGig的频带(例如,WiGig频带1(57.24-59.40GHz)、WiGig频带2(59.40-61.56GHz)、和WiGig频带3(61.56-63.72GHz)、和WiGig频带4(63.72-65.88GHz))、57-64/66GHz(注:该频带具有接近全球指定的多千兆无线***(MGWS)/WiGig,在US(FCC部分15)分配了总共14GHz频谱,而EU(用于固定P2P的ETSI EN 302 567和ETSI EN 301 217-2)分配了总共9GHz频谱)、70.2GHz-71GHz频带、65.88GHz和71GHz之间的任意频带、目前分配给车载雷达应用的频带(例如,76-81GHz)、以及未来频带(包括94-300GHz及以上)。此外,该方案可以在诸如TV空白频带(通常低于790MHz)之类的频带的辅助基础上进行使用,其中400MHz和700MHz频带是有前途的候选频带。除了蜂窝应用之外,垂直市场的特定应用也可以得到解决,例如PMSE(程序制作和特殊事件)、医疗、健康、外科手术、汽车、低延迟、无人机等应用。
本文描述的各个方面还可以实现方案的分层应用,例如通过基于对频谱的优先级访问,为不同类型的用户(例如,低/中/高优先级等)引入使用的分层优先级,例如第1级用户具有最高优先级,其次是第2级用户,然后是第3级用户等等。
本文描述的各个方面还可以通过将OFDM载波数据位向量分配到相应的符号资源,来应用于不同的单载波或OFDM类型(CP-OFDM、SC-FDMA、SC-OFDM、基于过滤器组的多载波(FBMC)、OFDMA等)(特别是,3GPP NR(新无线电))。
本文档中的一些特征是针对网络侧定义的,例如AP、eNB、NR、或gNB,请注意,该术语通常在3GPP第五代(5G)通信***等的上下文中使用。尽管如此,UE也可以扮演该角色,并且充当AP、eNB或gNB;即,针对网络设备定义的一些或所有特征可以由UE实现。
边缘计算用于分布式计算,使得计算和存储更接近特定数据源。边缘数据网络是本地数据网络。图3示出了根据一些实施例的用于使能边缘应用的架构。(一个或多个)边缘应用服务器和边缘使能器服务器被包括在边缘数据网络中。边缘配置服务器提供与边缘使能器服务器相关的配置,包括托管边缘使能器服务器的边缘数据网络的细节。UE包括一个或多个应用客户端和边缘使能器客户端。(一个或多个)边缘应用服务器、边缘使能器服务器和边缘配置服务器可以与3GPP核心网络进行交互。
为了使用边缘计算,需要对各种实体进行认证和授权。边缘计算认证和授权包括边缘计算EDGE-4认证以及EDGE-1参考点认证和授权。在启动EDGE-1或EDGE-4认证和授权的安全流之前,需要成功装载边缘配置服务器(ECS)和边缘使能器客户端(EEC)。
此外,根据3GPP TS 23.558,每个EDGE参考点使能不同的交互。EDGE-6参考点使能边缘配置服务器和边缘使能器服务器之间的交互。EDGE-6支持边缘使能器服务器信息到边缘使能器网络配置服务器的注册和注册更新、以及取消注册。边缘使能器服务器注册过程允许边缘使能器服务器向边缘配置服务器提供信息,以请求使用其边缘配置功能。如果边缘使能器服务器处的信息发生了变化,则边缘使能器服务器注册更新过程允许边缘使能器服务器更新边缘配置服务器。边缘使能器服务器使用边缘使能器服务器取消注册过程来从边缘配置服务器中去除其信息。
边缘配置服务器可以部署在移动网络运营商(MNO)域中,或者也可以由服务提供商部署在第三方域中,其中一个边缘使能器客户端可以同时与一个或多个边缘配置服务器进行通信。一个边缘使能器服务器可以通过一个单独的EDGE-6参考点接口同时连接到一个或多个边缘配置服务器。配置有多个边缘配置服务器端点地址的边缘使能器服务器可以根据每个边缘配置服务器多次执行服务注册、更新或取消注册过程。在该上下文中,每个EDGE-6接口的安全上下文将相互分离,因为信任域可能是不同的。
安全问题
在没有认证或授权的情况下,恶意的边缘使能器服务器可以向边缘配置服务器注册,进一步将其服务暴露给UE的边缘,从而使能在UE上运行的客户端和应用。
没有任何机密性或完整性的注册更新可能帮助中间人向边缘使能器服务器模拟边缘配置服务器,将具有伪造的边缘使能器服务器配置文件的注册更新暴露给并且可能地修改到边缘配置服务器。此外,该攻击还会导致暴露PLMN域内的拓扑细节和服务器信息。恶意行为者可以利用这些暴露的信息来为PLMN或边缘计算服务提供商的竞争对手谋利。
Edge-6安全
对于EDGE-6参考点上的传输消息和数据,应当支持机密性和完整性保护。EDGE-6参考点上的消息传输将被保护免受重放攻击。
边缘配置服务器将能够对边缘使能器服务器进行认证,以注册和更新服务器配置文件信息。边缘配置服务器将能够授权边缘使能器服务器,以注册和更新服务器配置文件信息。
类似地,EDGE-3参考点使能边缘使能器服务器和边缘应用服务器之间的交互。与EDGE-6一样,EDGE-3支持边缘应用服务器信息到边缘使能器服务器的注册和注册更新、以及取消注册。一个边缘应用服务器可以通过一个单独的EDGE-3参考点接口同时连接到一个或多个边缘使能器服务器。在该上下文中,每个EDGE-3接口的安全上下文将相互分离,因为信任域可能是不同的。
Edge-3安全
对于EDGE-3参考点上的传输消息和数据,应当支持机密性和完整性保护。EDGE-3参考点上的消息传输将被保护免受重放攻击。
装载流开始于边缘使能器客户端通过Edge-4接口建立到边缘配置服务器的传输层安全(TLS)连接。成功的TLS建立使得边缘配置服务器有机会将Edge-1边缘使能器服务器认证和授权信息传输到边缘使能器客户端。在将Edge-1边缘使能器服务器认证和授权信息传输到边缘使能器客户端之后,释放TLS会话,并且Edge-4安全流结束。
更详细地,边缘使能器客户端和边缘配置服务器保护并且认证边缘使能器客户端到边缘配置服务器的装载。边缘使能器客户端和边缘配置服务器使用TLS建立安全会话。TLS实现方式和使用的安全配置文件遵循TS33.310、附录E中的规定。
在建立安全会话之后,边缘使能器客户端向边缘配置服务器发送装载边缘使能器客户端请求消息。装载边缘使能器客户端请求消息携带在预配设装载登记信息期间获得的装载凭证,该装载凭证可以是OAuth 2.0访问令牌。当使用基于OAuth 2.0令牌的机制作为装载凭证时,访问令牌被编码为互联网工程任务组(IETF)请求注解(RFC)7519中指定的JavaScript对象符号(JSON)web令牌,包括IETF RFC 7515中指定的并且根据OAuth 2.0、IETF RFC 7519和IETF RFC 7515进行验证的JSON web签名。还可以使用其他凭证(例如,消息摘要)。
图4示出了根据一些实施例的用于边缘使能器客户端装载的安全过程。在图4中示出了基于OAuth 2.0令牌的认证凭证。
如图4所示,在操作1中,作为装载过程的先决条件,边缘使能器客户端从边缘计算服务提供商域获得装载登记信息。装载登记信息用于在装载过程期间认证并且建立与边缘配置服务器的安全TLS通信。登记信息包括边缘配置服务器的细节(地址和根证书颁发机构(CA)证书),并且包括装载凭证(OAuth 2.0访问令牌)。
在操作2中,边缘使能器客户端和边缘配置服务器基于TLS(服务器侧证书认证)来建立安全会话。边缘使能器客户端使用在操作1中获得的登记信息来与边缘配置服务器建立TLS会话。
在操作3中,在成功建立TLS会话之后,边缘使能器客户端将装载边缘使能器客户端请求消息与登记凭证(OAuth 2.0访问令牌)一起发送到边缘配置服务器。边缘使能器客户端生成密钥对{私钥,公钥},并且提供公钥和装载边缘使能器客户端请求。
在操作4中,边缘配置服务器验证登记凭证(OAuth 2.0访问令牌)。如果对凭证(图4中的OAuth 2.0访问令牌)的验证是成功的,则边缘配置服务器生成TS 23.558中指定的边缘使能器客户端的配置文件,其可以包括用于边缘使能器客户端和边缘使能器服务器之间的边缘使能器服务器认证和授权的所选方法。边缘配置服务器可以针对分配的边缘使能器客户端身份和公钥,自行生成边缘使能器客户端的证书。该证书由边缘使能器客户端用于与边缘配置服务器的后续认证过程,并且可以用于与边缘使能器服务器建立安全连接和认证。边缘配置服务器可以选择地生成Onboarding_Secret_token。Onboarding_Secret_token值在装载的生命周期内保持不变,并且绑定到特定于边缘配置服务器的边缘使能器客户端ID。
当边缘使能器客户端的客户端证书是由第三方颁发的时,则在操作3中,边缘使能器客户端可以在装载边缘使能器客户端请求消息中附加地包括该证书。如果边缘配置服务器信任边缘使能器客户端的客户端证书的颁发者,则在操作4中,边缘配置服务器将所提供的证书包括在边缘使能器客户端的配置文件中。由边缘计算服务提供商域策略来决定是否接受由第三方颁发的客户端证书。
在操作5中,边缘配置服务器用装载边缘使能器客户端响应消息来进行响应。响应包括边缘配置服务器分配的边缘使能器客户端ID、边缘使能器服务器认证和授权信息(如果在操作4中生成的话)、边缘使能器客户端的证书、和边缘使能器客户端Onboarding_Secret_token(如果由边缘配置服务器生成的话)。
再次参考图3,EDGE-1参考点使能边缘使能器服务器和边缘使能器客户端之间的交互。EDGE-1参考点支持边缘使能器客户端到边缘使能器服务器的注册和取消注册,对边缘应用服务器配置信息的获取和配设,以及对边缘数据网络中可用的边缘应用服务器的发现。
边缘应用服务器通过EDGE-1参考点为边缘使能器客户端提供功能,例如对配置信息的配设,并且支持应用上下文传输的功能。边缘使能器客户端执行功能,例如从边缘使能器服务器获取配置信息,以及发现边缘数据网络中可用的边缘应用服务器。(一个或多个)边缘应用服务器和边缘使能器服务器包括在边缘数据网络中。
UE最初配设有连接到边缘数据网络的配置。在初始配设时,UE的边缘使能器客户端向(一个或多个)经配设的边缘使能器服务器的列表中的(一个或多个)所选边缘使能器服务器进行注册。边缘使能器客户端使用由边缘使能器服务器提供的服务,例如,在感兴趣的区域中发现边缘应用服务器。该过程实现边缘使能器客户端上下文信息在边缘使能器服务器处的初始化或更新。边缘使能器客户端向边缘使能器服务器发送边缘使能器客户端注册请求。边缘应用服务器发现使得边缘使能器客户端能够获得有关感兴趣的可用边缘应用服务器的信息。边缘应用服务器的识别是基于匹配请求中提供的查询过滤器或应用客户端配置文件的。
安全问题
当在没有授权的情况下使用任何注册、发现、配设、取消注册时,恶意的边缘使能器客户端从边缘使能器服务器发现响应消息或配设响应消息中接收边缘数据网络内的服务列表和拓扑结构。接收到的信息可以显示边缘数据网络的拓扑(例如,统一资源标识符(URI)、互联网协议(IP)地址、边缘应用服务器的数量、应用服务器功能、API类型、协议)。恶意的边缘使能器客户端可能会使用这些信息对边缘数据网络发起攻击,或者出于竞争原因使用这些信息。此外,EDGE-1接口上的消息传输应当被保护免受重放攻击、中间人(MITM)攻击,并且应当禁止对消息的争执。
安全规定
边缘使能器服务器能够通过EDGE-1接口与边缘使能器客户端提供相互认证。
边缘使能器服务器能够确定边缘使能器客户端是否被授权访问边缘使能器服务器的服务。
EDGE-1参考点上的消息传输受到完整性保护。
EDGE-1参考点上的消息传输被保护免受重放攻击。
EDGE-1参考点上的消息传输受到机密性保护。
EDGE4:保护EDGE-4接口的问题
细节
EDGE-4参考点使能边缘配置服务器和边缘使能器客户端之间的交互。边缘配置服务器为边缘使能器客户端提供了与边缘使能器服务器连接的支持功能。EDGE-4参考点支持边缘配置信息(例如,URI或LADN服务信息)到边缘使能器客户端的配设。边缘使能器客户端执行功能,例如通过EDGE-4接口从边缘配置服务器的配置信息获取。
如上所述,边缘配置服务器可以部署在MNO域中,或者可以部署在第三方域中。如果非MNO边缘计算服务提供商部署了边缘配置服务器,则边缘配置服务器端点地址被预先配置给边缘使能器客户端。配置有多个边缘配置服务器端点地址的边缘使能器客户端可以根据每个边缘配置服务器多次执行服务配设过程。UE可以包括单个应用客户端或多个应用客户端,它们由单个边缘配置服务器提供服务。在另一个场景中,UE具有多个应用客户端,其中每个应用客户端都可以由一个边缘应用服务器提供服务,该边缘应用服务器进而由不同的边缘配置服务器的边缘使能器服务器提供服务。
安全问题
如果在没有认证和授权的情况下获取到对配设和配置信息的访问,则恶意的边缘使能器客户端可以从配设响应消息中接收到边缘数据网络内的边缘使能器服务器配置信息列表和拓扑结构。接收到的信息可以显示边缘数据网络的拓扑(例如,URI、完全限定域名(FQDN)、IP地址、局域数据网络(LADN)服务信息、应用服务器功能、应用编程接口(API)类型、协议)。
使用上面描述的不同的边缘部署模型,边缘配置服务器应当能够隐藏每个应用的信任域之间的拓扑和配设信息。在没有这种访问控制和隐藏的拓扑的情况下,恶意的应用客户端可以访问其他的边缘使能器服务器和边缘应用服务器。恶意的边缘使能器客户端可能会使用这些信息对边缘数据网络发起攻击,或出于竞争原因使用这些信息。此外,EDGE-4上的消息传输应当被保护免受重放攻击、MITM攻击,并且应当禁止对消息的争执。
其他安全
边缘4安全:对于EDGE-4参考点上的传输消息和数据,应当支持机密性和完整性保护。
边缘配置服务器:边缘配置服务器能够通过EDGE-4接口与边缘使能器客户端提供相互认证。边缘配置服务器能够确定边缘使能器客户端是否被授权访问由边缘配置服务器提供的配设服务。边缘配置服务器能够隐藏每个应用客户端的信任域之间的拓扑细节。
用于EDGE-4参考点的安全过程
TLS用于提供完整性保护、重放保护和机密性保护。对TLS的支持是强制性的,或者是可选的,根据域管理员的策略来使用,以保护受信域内的接口。除非通过其他方式提供EDGE-4参考点的安全,否则可以遵循以下过程。
用于EDGE-4参考点的安全过程
认证和授权
概述
对于EDGE-4参考点的认证,使用TLS在边缘配置服务器和边缘使能器客户端之间执行基于客户端和服务器证书的相互认证。
基于证书的认证遵循3GPP TS 33.310、子条款6.1.3a和6.1.4a中给出的配置文件。用于证书的公钥基础设施(PKI)的结构超出了本文档的范围。
TLS用于为EDGE-4接口提供完整性保护、重放保护和机密性保护。EDGE-4接口上的对TLS的支持是强制性的。TLS实现方式和使用的安全配置文件遵循TS 33.310、附录E中的规定。
安全方法协商
边缘使能器客户端和边缘配置服务器协商一种安全方法,该安全方法由边缘使能器客户端和边缘使能器服务器用于EDGE-1接口认证和保护。在EDGE-4接口上的成功相互认证之后,基于边缘使能器服务器功能,边缘配置服务器选择安全方法,并且将选择的安全方法以及边缘使能器客户端在边缘使能器服务器处的认证信息发送到边缘使能器客户端。这些信息可以包括EDGE-1凭证的有效时间。这在图5中进行了描绘,图5示出了根据一些实施例的对在EDGE-1参考点中使用的安全方法的选择。
图5的方法的先决条件包括边缘使能器客户端向边缘配置服务器进行装载。在图5中,在操作1中,使用TLS在边缘使能器客户端和边缘配置服务器之间建立基于客户端和服务器证书的相互认证。使用由于成功装载而提供给边缘使能器客户端的客户端证书。
在操作2中,边缘使能器客户端可以在安全方法请求消息中向边缘配置服务器发送EDGE-1安全能力信息,指示边缘使能器客户端针对每个边缘使能器服务器在EDGE-1参考点上支持的安全方法列表。
在操作3中,边缘配置服务器针对每个请求的边缘使能器服务器选择要在EDGE-1参考点上使用的安全方法,同时考虑操作2中来自边缘使能器客户端的信息、访问场景和边缘使能器服务器功能。
在操作4中,边缘配置服务器向边缘使能器客户端发送安全方法响应消息,指示用于每个边缘使能器服务器的所选安全方法,以及与安全方法相关的任何安全信息。边缘使能器客户端在通过EDGE-1参考点与边缘使能器服务器的后续通信建立中使用该方法。
1.1.3服务和方法发现
在边缘使能器客户端和边缘配置服务器之间进行成功认证之后,边缘配置服务器根据边缘使能器客户端ID和发现策略来决定是否授权边缘使能器客户端执行发现。
1.1.4拓扑隐藏
在实现拓扑隐藏时,边缘配置服务器使用边缘使能器服务器信息来对服务应用编程接口(API)发现请求进行响应,并且充当拓扑隐藏实体。
用于EDGE-1参考点的安全过程
TLS用于提供完整性保护、重放保护和机密性保护。对TLS的支持是强制性的,或者是可选的,根据域管理员的策略来使用,以保护受信域内的接口。
用于EDGE-1参考点的安全过程
概述
基于边缘配置服务器所选择的安全方法,边缘使能器客户端和边缘使能器服务器使用以下指定的方法之一,来用于EDGE-1接口认证和保护。
认证和授权
方法1–使用TLS-PSK
边缘使能器客户端和边缘使能器服务器遵循方法1的过程,以使用基于预共享密钥(PSK)的TLS连接来建立专用安全会话。EDGE-4认证用于引导预共享密钥,以用于对EDGE-1的TLS连接进行认证。假定边缘使能器客户端和边缘配置服务器两者都预先配设有证书。使用TS 33.310的附录E中规定的TLS配置文件。
图6示出了根据一些实施例的使用TLS-PSK的EDGE-1接口认证和保护。图6详细说明了边缘使能器客户端、边缘配置服务器和边缘使能器服务器之间的消息流,以使用用于认证的预共享密钥来建立安全的EDGE-1接口。
在操作1中,如上所述建立了EDGE-4认证和安全会话。边缘配置服务器提供密钥EESPSK的有效计时器值。
在操作2中,在EDGE-4上成功建立TLS之后,边缘使能器客户端和边缘配置服务器获得密钥EESPSK。密钥EESPSK绑定到边缘使能器服务器。边缘使能器客户端和边缘配置服务器启动密钥EESPSK的有效计时器。
在操作3中,边缘使能器客户端向边缘使能器服务器发送认证发起请求,包括边缘配置服务器分配的边缘使能器客户端ID。如果边缘使能器客户端已经拥有一个有效的密钥EESPSK,则可以跳过该过程中的操作1和操作2。在这种情况下,边缘使能器客户端在操作3处开始该过程。
在操作4A中,如果边缘使能器服务器没有有效的密钥,则边缘使能器服务器从边缘配置服务器请求安全信息,以与边缘使能器客户端执行认证和安全接口建立。在操作4B中,边缘配置服务器通过EDGE-6参考点向边缘使能器服务器提供与所选择的安全方法相关的安全信息(TLS-PSK:EESPSK)。边缘配置服务器提供密钥EESPSK的剩余有效计时器值。
在操作5中,在获取用于认证的相关安全信息(EESPSK)之后,边缘使能器服务器向边缘使能器客户端发送认证发起响应消息,以发起TLS会话建立。边缘使能器服务器根据操作4中从边缘配置服务器接收到的值来启动有效计时器。
在操作6中,边缘使能器客户端和边缘使能器服务器使用密钥EESPSK来执行相互认证,并且通过EDGE-1建立TLS会话。
在EDGE-1参考点上成功建立TLS之后,边缘使能器服务器根据从边缘配置服务器获得的授权信息,来授权边缘使能器客户端的服务API调用请求。
方法2–使用PKI
边缘使能器客户端和边缘使能器服务器遵循方法2的过程,以使用根据基于证书的相互认证的TLS来建立通过EDGE-1的专用安全会话。假定边缘使能器客户端和边缘使能器服务器两者都预先配设有证书。
图7示出了根据一些实施例的使用基于证书的相互认证的EDGE-1接口认证和保护。图7详细说明了与该安全方法相关的边缘使能器客户端、边缘配置服务器和边缘使能器服务器之间的消息流。
在操作1中,边缘使能器客户端向边缘使能器服务器发送认证发起请求。该请求包括边缘使能器客户端ID。
在操作2A中,边缘使能器服务器从边缘配置服务器请求安全信息,以与边缘使能器客户端执行认证和安全接口建立。在操作2B中,边缘配置服务器通过EDGE-6参考点向边缘使能器服务器提供与所选择的安全方法相关的安全信息(TLS-PKI)。边缘配置服务器可以返回边缘使能器客户端的根CA证书,以供边缘使能器服务器来验证边缘使能器客户端的证书。
在操作3中,在获取了用于认证的相关安全信息之后,边缘使能器服务器向边缘使能器客户端发送认证发起响应消息,以发起TLS会话建立过程。
在操作4中,边缘使能器客户端和边缘使能器服务器使用证书来执行相互认证,并且通过EDGE-1建立TLS会话。基于证书的认证遵循3GPP TS 33.310、条款6.1.3a和6.1.4a中给出的配置文件。
在EDGE-1参考点上成功建立TLS之后,边缘使能器服务器根据从边缘配置服务器获得的授权信息,来授权边缘使能器客户端的服务API调用请求。
方法3–具有OAuth令牌的TLS
该方法详细介绍了通过EDGE-4、EDGE-1参考点建立安全通道,并且使用基于OAuth2.0令牌的机制将边缘使能器客户端的服务请求授权给边缘使能器服务器。图8示出了根据一些实施例的使用访问令牌的EDGE-1接口认证和保护。图8详细说明了边缘使能器客户端、边缘配置服务器和边缘使能器服务器之间的安全信息流。假定边缘使能器客户端、边缘配置服务器和边缘使能器服务器都预先配设有适当的凭证和相关信息,以建立安全会话。
根据OAuth 2.0,边缘配置服务器执行授权和令牌协议端点的功能;边缘使能器客户端执行资源所有者、客户端和重定向端点的功能,而边缘使能器服务器执行资源服务器功能。边缘使能器客户端(客户端端点)被注册为机密客户端类型,其授权授予类型为“客户端凭证”。
在操作1中,如上所述执行EDGE-4认证和安全会话建立。
在操作2中,在EDGE-4上成功建立TLS会话之后,如本文档子条款1.1所描述的,边缘使能器客户端根据OAuth 2.0规范向边缘配置服务器发送访问令牌请求消息。
在操作3中,边缘配置服务器根据OAuth 2.0规范来验证访问令牌请求消息。
在操作4中,如果边缘配置服务器成功地验证了访问令牌请求消息,则边缘配置服务器生成特定于边缘使能器客户端的访问令牌,并且在访问令牌响应消息中返回该访问令牌。
如果边缘使能器客户端已经拥有有效的OAuth访问令牌,则可以跳过图8的操作1到4。在这种情况下,边缘使能器客户端在操作5处开始该过程。边缘使能器客户端可以包括边缘配置服务器分配的边缘使能器客户端ID和OAuth访问令牌请求消息中的Onboard_Secret_token,以供边缘配置服务器来验证访问令牌请求。
在操作5中,在EDGE-1上,边缘使能器客户端通过根据由边缘配置服务器指示的认证和授权方法(即,服务器(边缘使能器服务器)侧证书认证或基于证书的相互认证)与边缘使能器服务器建立TLS会话,来向边缘使能器服务器进行认证。
在建立TLS会话之前,要执行以下步骤:
边缘使能器客户端向边缘使能器服务器发送认证发起请求。该请求包括边缘使能器客户端ID。
边缘使能器服务器从边缘配置服务器请求安全信息,以与边缘使能器客户端执行认证和安全接口建立。边缘配置服务器通过EDGE-6参考点向边缘使能器服务器提供与所选择的安全方法(具有OAuth令牌的TLS)相关的安全信息。边缘配置服务器可以返回边缘使能器客户端的根CA证书,以供边缘使能器服务器来验证边缘使能器客户端的证书。
在获取了用于认证的相关安全信息之后,边缘使能器服务器向边缘使能器客户端发送认证发起响应消息,以发起TLS会话建立过程。
在操作6中,通过在EDGE-1上向边缘使能器服务器进行认证成功,边缘使能器客户端发起其他过程,例如向边缘使能器服务器进行注册、发现、取消注册。访问令牌与这些方法一起发送。
在操作7中,边缘使能器服务器验证访问令牌。边缘使能器服务器通过验证边缘配置服务器签名来验证访问令牌的完整性。如果对访问令牌的验证是成功的,则边缘使能器服务器将针对访问令牌中的授权声明来验证边缘使能器客户端的服务请求,以确保边缘使能器客户端对所请求的服务具有访问权限。
在操作8中,边缘使能器服务器发送对操作6处的来自边缘使能器客户端的请求的响应。
图9示出了根据一些实施例的用于边缘应用服务器装载的安全过程。在图9中示出了基于OAuth 2.0令牌的认证凭证。
如图9所示,在操作1中,作为装载过程的先决条件,边缘应用服务器从边缘计算服务提供商域获得装载登记信息。装载登记信息用于在装载过程期间认证并且建立与边缘使能器服务器的安全TLS通信。登记信息包括边缘使能器服务器的细节(地址和根CA证书),并且包括装载凭证(OAuth 2.0访问令牌)。
在操作2中,边缘应用服务器和边缘使能器服务器基于TLS(服务器侧证书认证)来建立安全会话。边缘应用服务器使用在操作1中获得的登记信息来与边缘使能器服务器建立TLS会话。
在操作3中,在成功建立TLS会话之后,边缘应用服务器将装载边缘应用服务器请求消息与登记凭证(OAuth 2.0访问令牌)一起发送到边缘使能器服务器。边缘应用服务器生成密钥对{私钥,公钥},并且提供公钥和装载边缘应用服务器请求。
在操作4中,边缘使能器服务器验证登记凭证(OAuth 2.0访问令牌)。如果对凭证(图9中的OAuth 2.0访问令牌)的验证是成功的,则边缘使能器服务器生成TS 23.558中指定的边缘应用服务器的配置文件,其可以包括用于边缘应用服务器和边缘使能器服务器之间的边缘应用服务器认证和授权的所选方法。边缘使能器服务器可以针对分配的边缘应用服务器身份和公钥,自行生成边缘应用服务器的证书。该证书被边缘应用服务器用于与边缘使能器服务器的后续认证过程,并且可以用于与边缘应用服务器建立安全连接和认证。边缘使能器服务器可以选择地生成Onboarding_Secret_token。Onboarding_Secret_token值在装载的生命周期内保持不变,并且绑定到特定于边缘使能器服务器的边缘应用服务器ID。
当边缘应用服务器的客户端证书是由第三方颁发的时,则在操作3中,边缘应用服务器可以在装载边缘应用服务器请求消息中附加地包括该证书。如果边缘使能器服务器信任边缘应用服务器的客户端证书的颁发者,则在操作4中,边缘使能器服务器将所提供的证书包括在边缘应用服务器的配置文件中。由边缘计算服务提供商域策略来决定是否接受由第三方颁发的客户端证书。
在操作5中,边缘使能器服务器用装载边缘应用服务器响应消息来进行响应。响应包括边缘使能器服务器分配的边缘应用服务器ID、边缘使能器服务器认证和授权信息(如果在操作4中生成的话)、边缘应用服务器的证书、和边缘应用服务器Onboarding_Secret_token(如果由边缘使能器服务器生成的话)。
Onboarding_Secret_token可以绑定到从UE上的应用客户端接收到的事件。这些事件可以是例如UE配置、或用户对访问特定API的批准。在一个示例中,边缘应用服务器可以通过向边缘使能器服务器发送请求,来请求访问UE的位置,该边缘使能器服务器进而可以通过EDGE-2接口联系到3GPP核心网络。为了授权这样的请求,边缘使能器服务器检查Onboarding_Secret_token,该Onboarding_Secret_token可以绑定到该UE上对于由边缘应用服务器进行这种访问的用户许可(在上面的示例中,是访问UE自己的位置)。在与许可相关的是/否指示(无论是绑定到Onboarding_secret_token还是用于在令牌生成功能中生成令牌)之后,边缘使能器服务器可以验证从边缘应用服务器接收到的令牌,以便用户确认这种访问,并且然后可以进行到根据TS 23.558中的过程来访问该位置。
令牌绑定算法使用字节字符串来计算令牌签名,该字节字符串表示以下各项的串接:包含在TokenBinding.tokenbinding_type字段中的TokenBindingType值(其是“用户配置参数”和“所请求的服务的类型,例如,位置服务”)、包含在TokenBindingID.key_parameters字段中的TokenBindingKeyParameters值(其是“用户配置参数的值,例如,是/否”)、和从当前TLS连接获得的导出密钥材料(Exported Keying Material,EKM)值。可以首先检查TokenBindingKeyParameters值,并且如果TokenBindingKeyParameters值针对服务指示是,则可以检查TokenBinding.tokenbinding_type值。
虽然已参考具体的示例实施例描述了实施例,但是将会明白,在不脱离本公开的更宽广范围的情况下,可以对这些实施例做出各种修改和改变。因此,说明书和附图应被认为是说明性的,而不是限制性的。形成本文一部分的附图以图示而非限制方式示出了其中能够实现主题的具体实施例。图示的实施例被充分详细地描述以使得本领域技术人员能够实现本文公开的教导。可以从其利用和得出其他实施例,从而可以在不脱离本公开的范围的情况下做出结构上和逻辑上的替代和改变。这个具体实施方式部分因此不应当被从限制意义上来理解,而各种实施例的范围仅由所附权利要求以及这种权利要求被授权的完全等同范围来限定。
主题在本文中可以单独和/或总体上由术语“实施例”来提及,这只是为了方便,而并不打算将本申请的范围主动限制到任何单个创造性构思,如果实际上公开了多于一个的话。从而,虽然本文已图示和描述了具体实施例,但应当明白,任何打算实现相同目的的布置都可以替代所示出的具体实施例。本公开打算覆盖各种实施例的任何和所有适应性改变或变化。本领域技术人员在阅读以上描述后将清楚看出上述实施例的组合以及本文没有具体描述的其他实施例。
在本文档中,像专利文档中常见的那样,使用了术语“一”或“一个”来包括一个或者多于一个,这独立于“至少一个”或“一个或多个”的任何其他实例或使用。在本文档中,术语“或”被用于指代非排他性或,从而使得“A或B”包括“A,但没有B”、“B,但没有A”以及“A和B”,除非另有指示。在本文档中,术语“包括”和“在其中”被用作相应术语“包含”和“其中”的简明英语等同。另外,在所附权利要求中,术语“包括”和“包含”是开放性的,也就是说,除了在权利要求中这种术语之后列出的那些以外还包括其他元素的***、UE、物品、构成、配方或过程仍被认为落在该权利要求的范围内。另外,在所附权利要求中,术语“第一”、“第二”和“第三”等等仅被用作标签,而并不打算对其对象施加数值要求。
本公开的摘要被提供来符合37C.F.R.1.72(b),其需要允许读者迅速地确定技术公开的性质的摘要。摘要是在如下理解下提交的:它不会被用于解释或限制权利要求的范围或含义。此外,在前述的具体实施方式部分中,可以看出为了精简公开,各种特征被一起分组在单个实施例中。公开的这种方法不应被解释为反映了希望要求保护的实施例要求比每个权利要求中明确记载的更多的特征。更确切地说,如所附权利要求反映的,发明性主题存在于单个公开实施例的少于全部特征中。从而,特此将所附权利要求并入到具体实施方式部分中,其中每个权利要求独立作为一个单独的实施例。

Claims (20)

1.一种用于边缘设备的装置,所述装置包括:
处理电路,被配置为:
解码来自边缘计算服务提供商域的装载登记信息,所述装载登记信息包括登记凭证;
使用所述装载登记信息、基于传输层安全(TLS)来与另一个边缘设备建立安全会话;
在成功建立TLS会话之后,编码具有所述登记凭证的装载边缘请求消息,以用于传输到所述另一个边缘设备;以及
响应于传输所述装载边缘请求消息,解码来自所述另一个边缘设备的装载边缘响应消息;以及
存储器,被配置为存储所述登记信息。
2.根据权利要求1所述的装置,其中:
所述处理电路还被配置为生成公钥和私钥对,并且
所述装载边缘请求包括所述公钥。
3.根据权利要求2所述的装置,其中:
所述装载登记信息还包括所述另一个边缘设备的地址和根证书颁发机构(CA)证书,
所述登记凭证包括OAuth 2.0访问令牌,并且
所述装载边缘请求消息包括所述OAuth 2.0访问令牌。
4.根据权利要求1所述的装置,其中,所述装载边缘响应消息包括边缘设备分配的边缘标识符(ID)、边缘证书,并且在由所述另一个边缘设备生成的情况下包括边缘认证和授权信息以及边缘Onboarding_Secret_token。
5.根据权利要求1所述的装置,其中:
所述处理电路还被配置为解码来自第三方颁发者的边缘证书,并且
所述装载边缘请求消息包括所述边缘证书。
6.根据权利要求1所述的装置,其中,所述边缘设备是边缘使能器客户端,并且所述另一个边缘设备是边缘配置服务器。
7.根据权利要求1所述的装置,其中,所述边缘设备是边缘应用服务器,并且所述另一个边缘设备是边缘使能器服务器。
8.根据权利要求7所述的装置,其中,所述装载边缘响应消息包括边缘Onboarding_Secret_token,所述边缘Onboarding_Secret_token绑定到从用户设备(UE)上的边缘应用客户端接收到的事件,所述UE包含所述边缘应用客户端。
9.根据权利要求8所述的装置,其中,所述事件包括UE配置或UE批准,以用于访问特定的应用编程接口(API)。
10.根据权利要求8所述的装置,其中,所述处理电路还被配置为编码用于访问所述UE的位置的请求以用于传输到所述边缘使能器服务器,所述请求将被使用Onboarding_Secret_token授权,所述Onboarding_Secret_token被绑定到对于由所述边缘应用服务器访问所述位置的UE许可。
11.根据权利要求10所述的装置,其中:
所述Onboarding_Secret_token的令牌签名是通过令牌绑定算法使用字节字符串来计算的,所述字节字符串表示以下各项的串接:包含在TokenBinding.tokenbinding_type字段中的TokenBindingType值、包含在TokenBindingID.key_parameters字段中的TokenBindingKeyParameters值、和从当前TLS连接获得的导出密钥材料(EKM)值,
所述TokenBindingType值是从用户配置参数和请求的服务类型中选择的,并且
所述TokenBindingKeyParameters值是用户配置参数的值。
12.一种用于边缘使能器客户端的装置,所述装置包括:
处理电路,被配置为:
使用传输层安全(TLS)、基于客户端和服务器证书来与边缘配置服务器执行相互认证;
编码安全方法请求消息中的EDGE-1安全能力信息,以用于传输到所述边缘配置服务器,所述EDGE-1安全能力信息指示所述边缘使能器客户端在多个边缘使能器服务器中的每个边缘使能器服务器的EDGE-1参考点上支持的安全方法的列表;以及
解码来自所述边缘配置服务器的安全方法响应消息,所述安全方法响应消息为每个边缘使能器服务器指示由所述边缘配置服务器选择的在每个边缘使能器服务器的EDGE-1参考点上使用的安全方法以及与所述安全方法相关的安全信息;以及
存储器,被配置为存储每个边缘使能器服务器的安全方法。
13.根据权利要求12所述的装置,其中,所述处理电路还被配置为编码边缘使能器客户端标识符(ID)以用于传输到所述边缘配置服务器,所述边缘使能器客户端ID用于确定所述边缘使能器客户端是否被授权基于发现策略来执行发现。
14.根据权利要求12所述的装置,其中,所述处理电路还被配置为:
解码来自所述边缘配置服务器的绑定到特定边缘使能器服务器的密钥的有效计时器值,
在EDGE-4参考点上与所述边缘配置服务器建立TLS会话之后,导出所述密钥,
启动所述密钥的有效计时器,
编码认证发起请求以用于传输到所述特定边缘使能器服务器,所述认证发起请求包括边缘配置服务器分配的边缘使能器客户端标识符(ID),
在所述有效计时器期满之前解码来自所述特定边缘使能器服务器的认证发起响应消息,所述认证发起响应消息用于响应于所述特定边缘使能器服务器从所述边缘配置服务器获得所述边缘使能器客户端的安全信息,来发起与所述特定边缘使能器服务器的TLS会话建立,所述安全信息包括所述密钥和所述有效计时器的剩余时间,以及
使用所述密钥来与所述特定边缘使能器服务器执行相互认证,并且在所述EDGE-1参考点上与所述特定边缘使能器服务器建立TLS会话。
15.根据权利要求12所述的装置,其中,所述处理电路还被配置为:
编码认证发起请求以用于传输到特定边缘使能器服务器,所述认证发起请求包括边缘使能器客户端标识符(ID),
解码来自所述特定边缘使能器服务器的认证发起响应消息,所述认证发起响应消息用于响应于所述特定边缘使能器服务器从所述边缘配置服务器获得所述边缘使能器客户端的安全信息、并基于所述安全信息验证所述边缘使能器客户端,来发起与所述特定边缘使能器服务器的TLS会话建立,所述安全信息涉及使用所述边缘使能器客户端的传输层安全预共享的密钥密码套件(TLS-PSK)和根证书颁发机构(CA)证书,以及
使用所述边缘使能器客户端和所述特定边缘使能器服务器的根CA证书,来与所述特定边缘使能器服务器执行相互认证,并且在所述EDGE-1参考点上与所述特定边缘使能器服务器建立TLS会话。
16.根据权利要求12所述的装置,其中,所述处理电路还被配置为:
在EDGE-4参考点上与所述边缘配置服务器建立TLS会话之后,编码访问令牌请求消息,以用于传输到所述边缘配置服务器,
响应于所述边缘配置服务器对所述访问令牌请求消息的验证,解码来自所述边缘配置服务器的访问令牌响应消息,所述访问令牌响应消息包含所述边缘使能器客户端针对一个或多个服务的访问许可的访问令牌,
根据所述边缘配置服务器所指示的证书认证或基于证书的相互认证,来与特定边缘使能器服务器建立TLS会话,
在与所述特定边缘使能器服务器建立TLS会话之后,通过传输服务请求在EDGE-1参考点上与所述特定边缘使能器服务器调用一个或多个过程,所述服务请求包括所述访问令牌和请求的服务,所述一个或多个过程是从注册、发现和取消注册中选择的,以及
响应于通过验证边缘配置服务器签名来验证了所述访问令牌,并且相对于所述访问令牌中针对所述请求的服务的访问许可的授权声明来验证了所述服务请求,而解码来自所述特定边缘使能器服务器的服务响应,所述服务响应包含对执行所述请求的服务的响应。
17.根据权利要求16所述的装置,其中,在与所述边缘使能器服务器建立所述TLS会话之前,所述处理电路还被配置为:
编码认证发起请求以用于传输到所述特定边缘使能器服务器,所述认证发起请求包括边缘使能器客户端标识符(ID),以及
响应于根据所述边缘使能器客户端选择的安全方法的安全信息对所述边缘使能器客户端的认证以及对所述边缘使能器客户端的根证书颁发机构(CA)证书的验证,解码来自所述特定边缘使能器服务器的认证发起响应消息,所述认证发起响应消息用于发起与所述边缘使能器服务器建立所述TLS会话。
18.根据权利要求16所述的装置,其中,所述访问令牌请求消息包括边缘配置服务器分配的边缘使能器客户端标识符(ID)和Onboard_Secret_token,以用于验证所述访问令牌请求消息。
19.一种非暂态计算机可读存储介质,存储有指令,所述指令由边缘使能器客户端的一个或多个处理器执行,所述指令在被执行时,所述一个或多个处理器将所述边缘使能器客户端配置为:
解码来自边缘计算服务提供商域的装载登记信息,所述装载登记信息包括登记凭证;
使用所述装载登记信息、基于传输层安全(TLS)来与边缘配置服务器建立安全会话;
在成功建立TLS会话之后,编码具有所述登记凭证的装载边缘请求消息,以用于传输到所述边缘配置服务器;以及
响应于传输所述装载边缘请求消息,解码来自所述边缘配置服务器的装载边缘响应消息。
20.根据权利要求19所述的介质,其中:
所述指令在被执行时,所述一个或多个处理器还将所述边缘使能器客户端配置为生成公钥和私钥对,
所述装载边缘请求包括所述公钥,
所述装载登记信息还包括另一个边缘设备的地址和根证书颁发机构(CA)证书,
所述登记凭证包括OAuth 2.0访问令牌,并且
所述装载边缘请求消息包括所述OAuth 2.0访问令牌。
CN202180048169.2A 2020-08-04 2021-07-29 用于边缘使能器服务器装载的边缘安全程序 Pending CN115777193A (zh)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
US202063061071P 2020-08-04 2020-08-04
US202063061095P 2020-08-04 2020-08-04
US202063061096P 2020-08-04 2020-08-04
US202063061068P 2020-08-04 2020-08-04
US63/061,068 2020-08-04
US63/061,095 2020-08-04
US63/061,096 2020-08-04
US63/061,071 2020-08-04
PCT/US2021/043627 WO2022031505A1 (en) 2020-08-04 2021-07-29 Edge security procedures for edge enabler server onboarding

Publications (1)

Publication Number Publication Date
CN115777193A true CN115777193A (zh) 2023-03-10

Family

ID=80117660

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180048169.2A Pending CN115777193A (zh) 2020-08-04 2021-07-29 用于边缘使能器服务器装载的边缘安全程序

Country Status (2)

Country Link
CN (1) CN115777193A (zh)
WO (1) WO2022031505A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117597958A (zh) * 2022-06-17 2024-02-23 北京小米移动软件有限公司 认证与授权方法、装置、通信设备及存储介质
WO2024065503A1 (en) * 2022-09-29 2024-04-04 Apple Inc. Negotiation of authentication procedures in edge computing
WO2024065706A1 (zh) * 2022-09-30 2024-04-04 北京小米移动软件有限公司 一种构建连接的方法及装置
WO2024147696A1 (en) * 2023-01-07 2024-07-11 Samsung Electronics Co., Ltd. Device and method for managing information in a wireless communication

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11483347B2 (en) * 2018-12-05 2022-10-25 Akamai Technologies, Inc. High performance distributed system of record with secure interoperability to external systems

Also Published As

Publication number Publication date
WO2022031505A1 (en) 2022-02-10

Similar Documents

Publication Publication Date Title
US20210368341A1 (en) Secure access for 5g iot devices and services
CN110476448B (zh) 用于大规模物联网设备的基于组的上下文和安全性
CN104662997B (zh) 用于缺乏网络覆盖的情况下的设备到设备通信的***和方法
US10708783B2 (en) Method for performing multiple authentications within service registration procedure
US11849322B2 (en) Delegated data connection
CN114424597A (zh) 无人机接入网络的认证和授权
CN115777193A (zh) 用于边缘使能器服务器装载的边缘安全程序
US20220330022A1 (en) Ue onboarding and provisioning using one way authentication
WO2022159725A1 (en) Federated identity management in fifth generation (5g) system
US11848909B2 (en) Restricting onboard traffic
CN114339688A (zh) 用于ue与边缘数据网络的认证的装置和方法
US11496894B2 (en) Method and apparatus for extensible authentication protocol
CN113676904B (zh) 切片认证方法及装置
US20230224704A1 (en) Using a pseudonym for access authentication over non-3gpp access
CN115250470A (zh) 用在网关设备中的装置
CN116723507B (zh) 针对边缘网络的终端安全方法及装置
CN113766502A (zh) 用在ue、smf实体、以及预配置服务器中的装置
EP3025534A1 (en) Providing telephony services over wifi for non-cellular devices
US20230017260A1 (en) Access control method and communications device
CN116528234B (zh) 一种虚拟机的安全可信验证方法及装置
WO2024137163A1 (en) Resource access in personal iot network
WO2023150721A1 (en) Sixth generation (6g) mutual transport layer security (mtls) based security architecture between user equipment (ue) and 6g network
WO2023196811A1 (en) Downlink (dl) or uplink (ul) transmission in duplex operation
WO2023224915A1 (en) Security for distributed non-access stratum protocol in a mobile system
WO2023242743A1 (en) Security management of trusted network functions

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination