具体实施方式

提供以下参考附图的描述以帮助全面理解由权利要求及其等同物限定的本公开的各种实施例。它包括各种具体细节以帮助理解，但这些仅被视为示例性的。因此，本领域普通技术人员将认识到，在不脱离本公开的范围和精神的情况下，可以对本文描述的各种实施例进行各种改变和修改。此外，为了清楚和简洁，可以省略对众所周知的功能和构造的描述。

在以下描述和权利要求中使用的术语和词语不限于字面意义，而仅被发明人使用以使得能够清楚且一致地理解本公开。因此，本领域技术人员应当清楚，提供本公开的各种实施例的以下描述仅出于说明目的，而不是出于限制由所附权利要求及其等同物限定的本公开的目的。

应理解单数形式″一″、″一个″和″该″包括复数指代，除非上下文另有明确规定。因此，例如，提及″部件表面″包括提及一个或多个这样的表面。

在下文中，本公开涉及用于在无线通信系统中提供移动边缘计算(MEC)服务的装置和方法。具体地，本公开描述了一种用于通过根据基于各种信息确定的认证方法的认证过程和用于无线通信系统中的边缘应用的授权过程的认证过程向各个订户提供不同边缘计算服务的技术。

在以下描述中，为了方便起见，示例性地使用了表示信号的术语、表示信道的术语、表示控制信息的术语、表示网络实体的术语、表示存储在网络实体中的数据的术语、表示实体之间交换的消息的术语、表示设备元件的术语等。因此，本公开不受以下使用的术语限制，并且可以使用表示具有等同技术含义的主题的其他术语。

此外，将使用一些通信标准(例如，第三代合作伙伴计划(3GPP)标准)中定义的术语和名称作为示例来描述本公开的各种实施例。然而，本公开的各种实施例可以通过容易进行的修改而应用于其他通信系统。

图1示出了根据本公开实施例的无线通信系统。图1所示的无线通信系统包括边缘计算系统100和5G系统140。

参照图1，边缘计算系统可以包括边缘服务器102和106、用户设备(UE)104、配置服务器108和域名系统(DNS)服务器110。

边缘服务器102和106中的每一个是UE 104为了使用移动边缘计算(MEC)服务而访问的服务器。可以在边缘服务器102和106中的每一个中驱动由第三方提供的第三方应用服务器。

配置服务器108是初始访问服务器，用于向UE 104提供用于使用MEC服务的配置信息。配置服务器108可以执行向UE 104发送用于使用MEC服务的配置信息的功能。配置服务器l08知道边缘服务器102和106的部署。因此，UE 104可以在使用MEC服务之前访问配置服务器108，从而获取MEC服务所需的配置信息，例如关于UE 104在特定位置必须访问的边缘服务器102和106的信息。

DNS服务器110可用于解析边缘服务器102和106的互联网协议(IP)地址或解析在边缘服务器102和106的上层中操作的应用服务器的IP地址。即，DNS服务器110可以是知道关于边缘服务器102和106的信息或关于在边缘服务器102和106的上层中驱动的应用服务器的信息的网络功能。DNS服务器110可以被提供到覆盖特定区域的每个边缘服务器120或者单个DNS服务器110可以被提供到整个边缘计算系统。在将用于MEC的DNS服务器110提供给覆盖特定区域的每个边缘数据网络120的情况下，要求UE 104识别关于对应位置的DNS的信息。在为整个边缘计算系统提供单个DNS服务器110的情况下，DNS服务器110需要识别整个网络中部署的边缘服务器102和106的信息以及边缘计算系统提供的关于应用服务器的信息，并且相应的信息可以由边缘服务器102和106提供给DNS服务器110。

UE 104是用户使用的设备并且通过无线信道执行与5G-RAN 142的通信。在一些情况下，可以在没有用户干预的情况下操作UE 104。也就是说，UE 104可以是执行机器类型通信(MTC)的设备，并且可以不被用户持有。UE 104可以被称为″终端″、″移动站″、″订户站″、″远程终端″、″无线终端″、″用户设备″或具有与上述名称等效的技术含义的另一术语以及″UE″。

此外，5G系统可以包括5G无线电访问网络(RAN)142、用户平面功能(UPF)144、访问和移动性管理功能(AMF)146、会话管理功能(SMF)148、策略和计费功能(PCF)150和网络暴露功能(NEF)152。AMF 146是管理UE 104的移动性的网络功能。SMF 148是管理提供到UE的分组数据网络(PDN)连接的的网络功能。该连接可以被称为″协议数据单元(PDU)会话″。PCF150是针对UE应用服务策略、计费策略和用于移动通信服务提供商的PDU会话策略的网络功能。NEF 152能够访问用于管理5G网络中的UE的信息，从而执行订阅到相应UE的移动性管理事件、订阅到相应UE的会话管理事件、请求会话相关信息、配置相应UE的计费信息、请求改变相应终端的PDU会话策略和发送用于相应的UE的小数据。5G-RAN 142是指为UE提供无线通信功能的基站。UPF 144可以起到网关的作用，以用于发送由UE发送和接收的分组。由于UPF 144可位于边缘服务器106附近以便支持MEC服务，因此UPF 144可以将数据分组发送到边缘数据网络120，从而实现低延迟传输。UPF 144还可以连接到通向互联网的数据网络130。因此，UPF 144可以将UE发送的数据中要发送到互联网的数据路由到数据网络130。此外，虽然图1未显示，但是5G系统还可包括统一数据管理(UDM)。该UDM是指存储订户信息的网络功能。

图2示出了根据本公开实施例的在无线通信系统中提供移动边缘计算服务的示例。

参考图2，示例无线通信包括UDM 202、EF 204、互联网206、UPF 208、EF 210、UPF212、UE 214、UE 216、第一云应用222、第二云应用224、第一边缘应用232和第二边缘应用234。

参照图2，UE 214和UE 216可以位于能够通过边缘数据网络提供边缘计算服务的边缘网络服务区域中。在这种情况下，移动通信服务提供商可以向各个UE提供不同的服务。即，移动通信服务提供商可以基于与订户相关的信息或服务提供商策略中的至少一项来区分诸如是否提供边缘计算服务的服务内容。区分边缘计算服务的示例如下表1所示。

表1

参考表1，服务提供商可确定向UE 1、UE 2和UE 3提供边缘计算服务并且不向UE 4提供边缘计算服务。此外，服务提供商可以允许UE 1在整个边缘网络服务区使用边缘应用APP 1和APP 2，可以允许UE 2在整个边缘网络服务区使用边缘应用APP 1，并且可以允许UE3在边缘网络服务区域的东区使用边缘应用APP 2。另一方面，服务提供商可以确定不允许UE 4使用边缘计算服务。也就是说，服务提供商可针对提供的边缘计算服务的类型和服务提供区域以及是否提供边缘计算服务而提供有区别的服务。例如，如果UE 216对应于UE 1，则可以向UE 216提供能够在整个边缘网络服务区域上使用边缘应用APP 1和APP 2的服务。在这种情况下，UE 216可通过边缘数据网络来使用利用启用功能(EF)210提供的第一边缘应用和第二边缘应用中的至少一个。同时，如果UE 216对应于UE 4，则UE 216不能使用边缘计算服务。因此，UE 214可通过互联网206使用第一云应用和第二云应用中的至少一个。

作为为边缘应用服务器启用MEC服务的功能，上述EF 204或210可以执行管理关于边缘应用服务器的信息的功能。此外，EF 204或210可以执行向UE通知关于其中正在运行边缘应用的边缘数据网络的信息和完全限定域名(Fully Qualified Domain Name(FQDN))或发送数据到相应边缘应用服务器所需的IP地址的功能。

图3示出了根据本公开实施例的无线通信系统中用于边缘应用的认证和授权的结构。

参照图3，用于认证和授权的结构包括UE 310、应用认证和授权功能(AAF)320、应用功能(AF)330、UDM 340、认证服务器功能(AUSF)350和应用配置文件(profile)记录(APR)360。

UE 310可以包括用户代理312和应用314。在这种情况下，应用314是与边缘应用分离的应用，并且UE 310可以使用用户代理312和应用314执行应用层的认证过程。

AAF 320可以包括授权端点(authorization endpoint)322、应用安全锚功能(ASAF)324、门户326和令牌端点(token endpoint)328。AAF 320可接收被发送到授权端点322的消息，用于UE执行使用边缘计算服务的认证过程，并且AAF 320可以执行认证过程。在这种情况下，授权端点322可以是评论请求(RFC)8252的授权端点。另外，在认证过程完成之后，AAF 320可以接收从UE发送到令牌端点328的消息，并且可以执行边缘计算服务的授权过程。在这种情况下，令牌端点328可以是RFC 8252的令牌端点。另外，在根据基于USIM凭证的认证方法执行认证过程的情况下，ASAF 324可以执行与由应用层中的安全锚点功能(SEAF)执行的安全相关功能对应的功能。另外，如果根据基于用户门户的认证方法来执行认证过程，则AAF 320可以使用门户326来执行web门户服务器的功能。

此外，AF 330可执行通用应用服务器的功能，用于验证从UE发送的令牌。例如，AF330可以执行与RFC 6750的资源服务器的功能相对应的功能。

此外，UDM 340可以存储与UE的用户相关的信息，从而提供执行UE和AAF之间的认证过程和授权过程所需的信息。

此外，如果执行使用USIM凭证的认证和密钥协商(AKA)，则AUSF 350可以作为AKA认证服务器操作。

此外，APR 360可以存储与应用相关的信息和配置文件，从而提供在执行认证过程和授权过程时可能需要的关于应用的信息。

下面将详细描述用于上述认证和授权的对象的详细操作。

图4示出了根据本公开实施例的无线通信系统中的终端的配置。图4中示出的配置可以被理解为图3中的UE 310的配置。下文中使用的术语″单元″或″-器″表示处理至少一个功能或操作的单元，并且可以被实现为硬件、软件或它们的组合。

参照图4，UE包括通信单元410(例如，收发器)、存储单元420和控制器430(例如，至少一个处理器)。

通信单元410执行通过无线信道发送和接收信号的功能。例如，通信单元410根据系统的物理层标准执行基带信号和比特串之间的转换功能。此外，当发送数据时，通信单元410对发送比特串进行编码和调制以生成复合符号。此外，当接收数据时，通信单元410对基带信号进行解调和解码以恢复接收比特串。此外，通信单元410将基带信号上变频为RF频带信号，从而通过天线发送，以及将通过天线接收的RF频带信号下变频为基带信号。例如，通信单元410可以包括发送滤波器、接收滤波器、放大器、混频器、振荡器、DAC、ADC等。

此外，通信单元410可以包括多个发送和接收路径。此外，通信单元410可以包括至少一个天线阵列，该天线阵列包括多个天线元件。在硬件方面，通信单元410可以包括数字电路和模拟电路{例如，射频集成电路(RFIC)}。在这种情况下，数字电路和模拟电路可以被实现为单个封装。此外，通信单元410可以包括多个RF链。此外，通信单元410可以执行波束成形。

通信单元410如上所述发送和接收信号。因此，通信单元410中的全部或一些可被称为″发送器″、″接收器″或″收发器″。此外，这里通过无线信道执行的发送和接收包括由通信单元410执行的上述过程。

存储单元420存储诸如用于UE操作的基本程序、应用程序、配置信息等的数据。存储单元420可以包括易失性存储器、非易失性存储器或它们的组合。此外，存储单元420应控制器430的请求提供存储的数据。

控制器430控制UE的整体操作。例如，控制器430通过通信单元410发送和接收信号。此外，控制器430在存储单元420中记录数据以及从存储单元420读取数据。此外，控制器430可以执行通信标准所需的协议栈的功能。为此，控制器430可以包括至少一个处理器或微处理器，或者可以是处理器的一部分。例如，通信单元410或控制器430的一部分可以被称为″通信处理器(CP)″。根据各种实施例，控制器430可以执行控制以使得UE根据以下描述的各种实施例执行操作。

图5示出了根据本公开实施例的无线通信系统中的服务器的配置。在图5中示出的配置可以被理解为具有图3中示出的AAF 320、AF 330、UDM 340、AUSF 350和APR 360中的至少一个的功能的设备的配置。下文中使用的术语″单元″或″-器″表示处理至少一个功能或操作的单元，并且可以被实现为硬件、软件或它们的组合。

参照图5，服务器包括通信单元510(例如，收发器)、存储单元520和控制器530(例如，至少一个处理器)。

通信单元510提供用于与网络中的其他设备进行通信的接口。即，通信单元510将从服务器发送到另一设备的比特串转换为物理信号，以及将从另一设备接收的物理信号转换为比特串。即，通信单元510可以发送和接收信号。因此，通信单元510可以被称为″调制解调器″、″发送器″、″接收器″或″收发器″。在这种情况下，通信单元510允许服务器通过回程连接(例如，有线回程或无线回程)或网络与其他设备或系统进行通信。

存储单元520存储诸如用于服务器的操作的基本程序、应用程序、配置信息等的数据。存储单元520可以包括易失性存储器、非易失性存储器或它们的组合。此外，存储单元520应控制器530的请求提供存储的数据。

控制器530控制服务器的整体操作。例如，控制器530通过通信单元510发送和接收信号。另外，控制器530在存储单元520中记录数据以及从存储单元520读取数据。为此，控制器530可以包括至少一个处理器。根据各种实施例，控制器530可以执行控制以使得服务器根据以下描述的各种实施例执行操作。

图6示出了根据本公开实施例的UE在无线通信系统中执行边缘应用的认证过程的流程图。图6示出了UE 310的操作方法。

参照图6，在操作601，UE向AAF(例如，AAF 320)发送认证发起消息。即，UE可以向AAF发送用于发起获取边缘应用授权的认证过程的消息。根据各种实施例，认证发起消息可以包括指示要在UE和AAF之间执行的认证方法的信息。例如，认证发起消息可以包括UE用户相关标识符、UE边缘使能器客户端(EEC)标识符、响应类型、重定向地址{统一资源定位符(URL)}、用户代理的类型中的至少之一。UE用户相关标识符可以是订户标识符，诸如订阅私有标识(SUPI)或通用公共订阅标识(GPSI)。这里，GPSI可以是诸如电子邮件地址或移动站国际订户目录号码(MSISDN)之类的标识信息。另外，UE用户相关标识符可以是UE设备的标识符，诸如永久设备标识符(PEI)。响应类型是指认证过程完成后从AAF发送的指示认证结果的信息或消息的类型。例如，响应类型可以是认证码或访问令牌中的至少一种。重定向地址是引导对边缘应用进行认证的地址，它是指认证成功时UE要访问的网址。用户代理可以是浏览器的标识符或用于执行认证过程的程序的标识符中的至少一种。

在操作603中，UE根据确定的认证方法执行认证过程。具体地，UE可根据基于认证发起消息中包含的信息确定的认证方法进行认证过程。认证方法可以包括基于USIM凭证的认证方法、基于用户门户的认证方法、基于自动生成的凭证的认证方法或基于OTP的认证方法中的至少一种。根据实施例，AAF可通过识别出包括在认证发起消息中的信息来确定上述认证方法中的至少一种。根据另一实施例，在UE确定认证方法之后，可以向AAF发送包括指示确定的认证方法的信息的认证发起消息。根据各种实施例，除了包括在认证发起消息中的UE用户相关标识符和用户代理类型之外，还可以通过进一步考虑移动通信服务提供商的策略、与应用相关的策略等来确定认证方法。

在操作605中，UE从AAF接收认证结果。如果根据确定的认证方法成功执行了认证过程，则UE可以从AAF接收指示已经成功执行认证的消息。例如，UE可以从AAF接收包括认证码的消息。另外，UE可以接收进一步包括重定向地址的消息。根据各种实施例，可以基于关于每个订户的边缘应用的授权配置文件信息来发布认证码。具体地，AAF可以从UDM接收与包含在认证发起消息中的信息对应的每个订户的授权配置文件，并且可以基于每个订户的授权配置文件生成认证码。通过接收基于每个订户的授权配置文件生成的认证码，UE可以使用认证码以便请求访问令牌的发布。另外，UE可以访问指示认证结果的消息中包含的重定向地址所指示的网站。

图7示出了根据本公开实施例的AAF在无线通信系统中对边缘应用执行认证过程的的流程图。图7示出了AAF 320的操作方法。

参照图7，在操作701，AAF从UE接收认证发起消息。也就是说，AAF可以从UE接收用于发起认证过程的消息，以便获得对边缘应用的授权。根据各种实施例，认证发起消息可以包括指示要在UE和AAF之间执行的认证方法的信息。例如，认证发起消息可以包括UE用户相关标识符、响应类型、重定向地址和用户代理的类型中的至少一种。UE用户相关标识符可以是诸如SUPI或GPSI之类的用户标识符。这里，GPSI可以是诸如电子邮件地址或MSISDN之类的标识信息。另外，UE用户相关标识可以是UE设备的标识符，诸如PEI。响应类型是指认证过程完成后从AAF发送的指示认证结果的信息或消息的类型。例如，响应类型可以是认证码或访问令牌中的至少一种。重定向地址是引导认证边缘应用的地址，是指认证成功时UE要访问的网址。用户代理可以是浏览器的标识符或用于执行认证过程的程序的标识符中的至少一种。

在操作703中，AAF根据确定的认证方法执行认证过程。具体的，AAF可根据基于认证发起消息中包含的信息确定的认证方法进行认证过程。认证方法可包括基于USIM凭证的认证方法、基于用户门户的认证方法、基于自动生成的凭证的认证方法或基于OTP的认证方法中的至少一种。根据实施例，AAF可以通过识别包括在认证发起消息中的信息来确定上述认证方法中的至少一种。根据另一实施例，在UE确定认证方法之后，可以向AAF发送包括指示确定的认证方法的信息的认证发起消息。根据各种实施例，除了包括在认证发起消息中的UE用户相关标识符和用户代理的类型之外，还可通过进一步考虑移动通信服务提供商的策略、与应用相关的策略等来确定认证方法。

在操作705中，AAF向UE发送认证结果。如果根据确定的认证方法成功执行了认证过程，则AAF可以向UE发送指示已经成功执行认证的消息。例如，AAF可以向UE发送包括认证码的消息。另外，AAF可以发送还包括重定向地址的消息。根据各种实施例，可以基于关于每个订户的边缘应用的授权配置文件信息来发布认证码。具体地，AAF可以从UDM接收与包含在认证发起消息中的信息对应的每个用户的授权配置文件，并且可以基于每个用户的授权配置文件生成认证码。通过从AAF接收基于每个订户的授权配置文件生成的认证码，UE可以使用认证码以便请求访问令牌的发布。另外，UE可以访问指示认证结果的消息中包含的重定向地址所指示的网站。

图8A示出了根据本公开实施例的用于在无线通信系统中为边缘应用执行认证过程的信号交换图。图8A所示的信号交换图可以被理解为在UE 310、AAF 320和UDM 340之间交换的信号流。

参照图8A，在操作801中，UE 310向AAF 320发送认证发起消息。AAF320可以从UE310接收认证发起消息。即，可以从UE 310向AAF 320发送用于发起获取边缘应用的授权的认证过程的消息。根据各种实施例，认证发起消息可以包括指示要在UE 310和AAF 320之间执行的认证方法的信息。例如，认证发起消息可以包括UE用户相关标识符、响应类型、重定向地址和用户代理的类型中的至少一项。UE用户相关标识符可以是诸如SUPI或GPSI之类的用户标识符。这里，GPSI可以是诸如电子邮件地址或MSISDN之类的标识信息。另外，UE用户相关标识符可以是UE设备的标识符，诸如PEI。响应类型指的是指示在认证过程完成之后要从AAF 320发送的认证结果的信息或消息的类型。例如，响应类型可以是认证码或访问令牌中的至少一种。重定向地址是引导认证边缘应用的地址，是指认证成功时UE 310要访问的网址。用户代理可以是浏览器的标识符或用于执行认证过程的程序的标识符中的至少一种。

在操作803中，AAF 320确定认证方法。AAF 320可以基于从UE 310接收的认证发起消息中包括的信息来确定认证方法。除了认证发起消息中包含的UE用户相关标识符、EEC标识符和用户代理的类型之外，AAF 320可以通过进一步考虑移动通信服务提供商的策略、与应用程序相关的策略等来确定认证方法。根据各种实施例，认证方法可以包括基于USIM凭证的认证方法、基于用户门户的认证方法、基于自动生成的凭证的认证方法或基于OTP的认证方法中的至少一种。AAF 320可以在上述认证方法当中识别出与UE用户相关的标识符和用户代理的类型相对应的认证方法。可替代地，AAF 320可以识别出UE用户相关标识符和用户代理的类型是否对应于移动通信服务提供商的策略或应用相关策略所支持的认证方法中的至少一种，从而确定认证方法。根据边缘计算服务提供商或移动通信服务提供商的策略，AAF 320可以在终端安全连接到服务提供商网络的环境中确定非认证。

在操作805中，UE 310和AAF 320根据确定的认证方法执行认证过程。即，UE 310和AAF 320可以根据基于USIM凭证的认证方法、基于用户门户的认证方法、基于自动生成的凭据或基于OTP的认证方法当中由AAF 320确定的认证方法来执行认证过程。虽然图8A未示出，但是可以执行与除UE 310、AAF 320和UDM 340之外的至少一个对象的信号交换。可替代地，如果AAF 320确定非认证，则AAF 320和UE 310不执行认证过程。

在操作807中，AAF 320向UDM 340发送授权请求消息。UDM 340可以从AAF 320接收授权请求消息。具体地，如果认证过程被成功执行，则可以从AAF 320向UDM 340发送请求边缘应用的授权配置文件的授权请求消息。根据各种实施例，授权请求消息可包括以下至少之一：订户标识符(例如，SUPI、GPSI等)或UE设备的标识符(例如PEI)或配置边缘应用的使用(例如，应用使用)的指示符中的至少一个。在这种情况下，可从包括在从UE 310接收的认证发起消息中的信息中获取订户标识符和UE设备的标识符。

在操作809中，UDM 340向AAF 320发送授权响应消息。AAF 320可以从UDM 340接收授权响应消息。具体地，UDM 340可以基于包括在从UDM 340接收的授权请求消息中的信息识别出与UE用户相关的信息，并且包括与所识别出的订户相对应的授权配置文件的授权响应消息可以从UDM 340发送到AAF 320。根据各种实施例，授权配置文件可以包括是否允许至UE 310的请求的边缘计算服务的信息、关于UE 310的用户是否已经订阅所请求的边缘计算服务的信息、边缘计算服务配置文件标识符、边缘计算服务配置文件索引、订户类别信息和订户级别中的至少之一。边缘计算服务配置文件标识符和边缘计算服务配置文件索引代表指示通过移动通信服务提供商和边缘应用服务提供商之间的事先约定确定的协商信息的标识符。此外，订户类别表示由移动通信服务提供商管理的订户的类或类别信息(例如，类A或类B)。此外，订户级别表示给予相应订户的优先级、提供差异化边缘计算服务的信息或关于每个订户的类的信息(例如，级别1或级别2)。即，UDM 340可以检索诸如与相关于请求认证的UE 310的标识符对应的订户类别、关于请求的边缘计算服务的信息以及关于UE310的用户与对应的边缘应用之间的关系的信息，并且可以使用授权响应消息将检索到的信息提供给AAF 320。

在操作811中，AAF 320产生认证结果。如果AAF 320确定非认证并且允许UE 310或UE中的边缘使能器客户端(EEC)访问，则可以生成成功的认证结果。AAF 320可以基于从UDM340接收到的授权响应消息来生成认证结果。也就是说，AAF 320可以基于从UDM 340接收到的授权响应消息来确定是否生成认证码。具体地，如果AAF 320基于授权响应消息中包括的授权配置文件识别出指示所请求的边缘计算服务不被允许的信息，则AAF 320可以不生成认证码。此外，如果AAF 320识别出指示所请求的边缘计算服务被允许的信息，则AAF 320可以生成认证码。

在操作813中，AAF 320向UE 310发送认证结果。UE 310可以从AAF 320接收认证结果。根据各种实施例，如果产生认证码，AAF 320可以向UE 310发送指示已成功执行认证的消息。即，AAF 320可以向UE 310发送包括认证码的消息。另外，AAF 320可以发送还包括重定向地址的消息。通过从AAF 320接收基于每个订户的授权配置文件生成的认证码，UE 310可以使用认证码以便请求访问令牌的发布。另外，UE 310可以访问由指示认证结果的消息中包括的重定向地址指示的网站。根据各种实施例，如果未生成认证码，则AAF 320可以向UE 310发送指示认证失败的消息。

图8B示出了根据本公开实施例的用于在无线通信系统中为边缘应用执行认证过程的另一信号交换图。图8B所示的信号交换图可以理解为在UE 310、AAF 320和UDM 340之间交换的信号流。

参照图8B，在操作851中，UE 310确定认证方法。UE 310可以在发起授权过程之前预先确定认证方法。具体地，UE 310可以基于用户输入或者预先获取的服务提供商的策略确定认证方法，并可以识别出对应于确定的认证方法的UE用户相关标识符、EEC标识符和用户代理的类型。根据各种实施例，认证方法可以包括基于USIM凭证的认证方法、基于用户门户的认证方法、基于自动生成的凭证的认证方法或基于OTP的认证方法中的至少一种。即，UE 310可以从上述认证方法中确定与用户输入相对应的认证方法或服务提供商的策略所支持的认证方法，并且可以根据确定的认证方法识别出在该认证中使用的标识符和用户代理的类型。

在操作853中，UE 310向AAF 320发送认证发起消息。AAF 320可以从UE 310接收认证发起消息。即可以从UE 310向AAF 320发送用于发起获取边缘应用授权的认证过程的消息。根据各种实施例，认证发起消息可以包括指示要在UE 310和AAF 320之间执行的认证方法的信息。例如，认证发起消息可以包括UE用户相关标识符、EEC标识符、响应类型、重定向地址、用户代理的类型中的至少一项。UE用户相关标识符可以是诸如SUPI或GPSI之类的用户标识符。这里，GPSI可以是诸如电子邮件地址或MSISDN之类的标识信息。另外，UE用户相关标识符可以是UE设备的标识符，诸如PEI。响应类型指的是指示在认证过程完成之后要从AAF 320发送的认证结果的信息或消息的类型。例如，响应类型可以是认证码或访问令牌中的至少一种。重定向地址是引导认证边缘应用的地址，是指认证成功时UE 310要访问的网址。用户代理可以是浏览器的标识符或用于执行认证过程的程序的标识符中的至少一种。

在操作855中，UE 310和AAF 320根据确定的认证方法执行认证过程。即，UE 310和AAF 320可以根据在基于USIM凭证的认证方法、基于用户门户的认证方法、基于自动生成的凭据或基于OTP的认证方法中由AAF 320确定的认证方法来执行认证过程。虽然图8B未示出，但是可根据确定的认证方法来执行与除UE 310、AAF 320和UDM 340之外的至少一个对象的信号交换。

在操作857中，AAF 320向UDM 340发送授权请求消息。UDM 340可以从AAF 320接收授权请求消息。具体地，如果认证过程被成功执行，则可以从AAF 320向UDM 340发送用于请求边缘应用的授权配置文件的授权请求消息。根据各种实施例，授权请求消息可以包括以下至少之一：订户标识符(例如，SUPI、GPSI等)、EEC标识符、UE设备的标识符(例如PEI)或用于配置边缘应用的使用(例如应用使用)的指示符。在这种情况下，可以从包括在从UE 310接收的认证发起消息中的信息获取订户标识符、EEC标识符和UE设备的标识符。

在操作859中，UDM 340向AAF 320发送授权响应消息。AAF 320可以从UDM 340接收授权响应消息。具体地，UDM 340可以基于包括在从UDM 340接收的授权请求消息中的信息识别出与UE用户相关的信息，并且可以从UDM 340向AAF 320发送包括与所识别出的订户相对应的授权配置文件的授权响应消息。根据各种实施例，授权配置文件可以包括关于是否允许到UE 310的请求的边缘计算服务的信息、关于UE 310的用户是否已经订阅所请求的边缘计算服务的信息、边缘计算服务配置文件标识符、允许的EEC标识符、边缘计算服务配置文件索引、订户类别信息和订户级别中的至少之一。边缘计算服务配置文件标识符和边缘计算服务配置文件索引代表指示通过移动通信服务提供商和边缘应用服务提供商之间的事先约定确定的协商信息的标识符。此外，订户类别表示由移动通信服务提供商管理的订户的类或类别信息(例如，类A或类B)。此外，订户级别表示给予相应订户的优先级、提供差异化边缘计算服务的信息或关于每个订户的类的信息(例如，级别l或级别2)。即，UDM 340可以检索诸如与请求认证的UE 310相关的标识符或EEC标识符对应的订户类、关于所请求的边缘计算服务的信息以及关于该UE 310的用户与相应边缘应用之间的关系的信息之类的信息，并且可以使用授权响应消息将检索到的信息提供给AAF 320。

在操作861中，AAF 320生成认证结果。AAF 320可以基于从UDM 340接收到的授权响应消息来生成认证结果。也就是说，AAF 320可以基于从UDM 340接收到的授权响应消息来确定是否生成认证码。具体地，如果AAF 320基于授权响应消息中包括的授权配置文件识别出指示所请求的边缘计算服务不被允许的信息，则AAF 320可不生成认证码。此外，如果AAF 320识别出指示所请求的边缘计算服务被允许的信息，则AAF 320可以生成认证码。

在操作863中，AAF 320向UE 310发送认证结果。UE 310可以从AAF 320接收认证结果。根据各种实施例，如果产生认证码，AAF 320可以向UE 310发送指示已成功执行认证的消息。即，AAF 320可以向UE 310发送包括认证码的消息。另外，AAF 320可以发送还包括重定向地址的消息。通过从AAF 320接收基于每个订户的授权配置文件生成的认证码，UE 310可以使用认证码以便请求访问令牌的发布。另外，UE 310可以访问由指示认证结果的消息中包括的重定向地址指示的网站。根据各种实施例，如果未生成认证码，则AAF 320可以向UE 310发送指示认证失败的消息。

图9示出了根据本公开实施例的在无线通信系统中UE确定边缘应用的认证方法的流程图。图9示出了UE 310的操作方法。

参照图9，在操作901，UE接收用于认证方法的策略。UE可以在发起认证过程之前预先确定认证方法。即，UE可以考虑包括关于服务提供商配置的认证方法的信息的服务提供商的策略来确定认证方法。关于上述认证方法的信息可以通过各种路径中的任一个发送到UE。例如，UE可以通过使用用户平面的应用层而从单独的配置服务器获得关于服务提供商配置的认证方法的信息。例如，UE可以通过来自5G系统的非访问层(NAS)消息获取关于服务提供商配置的认证方式的信息。可以预先存储在UE中的关于服务提供商配置的认证方法的信息可以包括认证凭证信息的类型、服务提供商的认证域和认证方法中的至少一种。认证凭证信息的类型可以包括SUPI、订阅隐藏标识符(SUCI)、包括MSISDN的GPSI、EEC标识符或指示由服务提供商管理的应用层的标识(ID)类型的指示符中的至少一种。此外，服务提供商的认证域可以包括服务提供商的标识符、服务提供商的域名、服务提供商的移动网络代码(MNC)或服务提供商的移动国家代码(MCC)信息中的至少一种。此外，认证方法可以包括基于USIM凭证的认证方法、基于用户门户的认证方法、基于自动生成的凭证的认证方法、基于OTP的认证方法、使用通用引导架构(GBA)的方法以及使用存储在UE中的认证凭证的认证方法中的至少之一。

在操作903中，UE基于接收到的策略或用户输入中的至少一个来确定认证方法。即，UE可以基于接收到的策略或者用户输入中的至少一个来确定认证方法，并且可以识别出与确定的认证方法对应的UE用户相关标识符、EEC标识符和用户代理的类型。UE可以向AAF发送包括UE用户相关标识符和用户代理的类型的认证发起消息，从而根据确定的认证方法执行认证过程。服务提供商的策略可以包括关于服务提供商支持的多种认证方法的信息，并且UE可以确定多种认证方法中的至少一种。例如，如果从接收到的策略中识别出多种认证方法，则UE可以在多种认证方法中确定与用户输入相对应的认证方法。例如，UE可以根据为从接收到的策略中识别出的各个认证方法配置的优先级来确定认证方法。根据各种实施例，UE用户相关标识符可以包括SUPI、SUCI、MSISDN、服务提供商用来管理订户的单独用户标识符或UE设备的标识符(例如，PEI)中至少之一。可替代地，UE用户相关标识符可以是UE的边缘使能器客户端(EEC)标识符。例如，如果服务提供商配置的认证方式是基于USIM凭证的认证方式，则UE可以向AAF发送SUPI或SUCI中的至少一个作为UE用户相关标识符，或者发送包括与SUPI或SUCI相关的GPSI的认证发起消息。此外，UE可以向AAF发送认证发起消息，该认证发起消息包括用于基于USIM凭证或单独的用户代理来确定用户代理的类型是否对应于实施认证方法的网络浏览器的标识符。在这种情况下，可以使用由服务提供商指定或由UE设备的制造商开发的单独的用户代理。

图10示出了根据本公开实施例的用于确定无线通信系统中的边缘应用的认证方法的AAF的流程图。图10示出了AAF 320的操作方法。

参照图10，在操作1001中，AAF识别出包括在认证发起消息中的信息。具体地，AAF可识别出认证发起消息中包含的UE用户相关标识符或边缘使能器客户端标识符(EEC ID)的格式。例如，如果UE用户相关标识符为GPSI，则AAF可根据该标识符中包含的用户名和域名确定认证方法。例如，如果UE用户相关标识符是MSISDN，则AAF可基于识别出的MSISDN识别出用于执行认证过程的本地网络和与本地网络对应的AUSF。例如，如果UE用户相关标识符为PEI，则AAF可通过识别出关于UE设备的信息来确定认证方法。

在操作1003中，AAF基于所识别的信息或策略中的至少一个来确定认证方法。AAF可以基于从认证发起消息识别出的信息来确定认证方法。在实施例中，如果UE用户相关标识符为GPSI，则AAF可以根据用户名和域名的格式选择不同的认证方法。可替代地，AAF可以使用EEC标识符选择不同的认证方法。即，如果标识符具有网络接入标识符(NAI)的格式，则该标识符可以被配置为诸如″[email protected]″的格式，AAF可以根据各个部分″username″和″domainname″的格式而选择不同的认证方法。例如，在域名格式为″5gc.mnc＜MNC＞.mcc＜MCC＞.3gppnetwork.org”的情况下，用户名(user name)可以包括国际移动订户标识符(IMSI)或SUCI的值。在这种情况下，AAF可以基于域名(domain name)从MNC和MCC中识别出用于执行认证过程的本地网络和与本地网络对应的AUSF，并且可以基于包含在用户名中的SUCI来选择AUSF组。因此，AAF可以基于USIM凭证选择认证方法，该认证方法是使用超文本传输协议(HTTP)的方法以便执行认证过程。又一示例，在域名具有诸如″operator.com”的格式的情况下，用户名中可以包含单独的UE订阅标识符，其中该UE订阅标识符在服务提供商或第三方服务提供商运营的门户服务器中注册。在这种情况下，如果AAF支持单独的UE订阅标识符，并且如果认证发起消息中包含的用户代理的类型被识别为网络浏览器，则AAF可根据用户门户选择认证方法以便执行认证过程。根据另一个实施例，在UE用户相关标识符是MSISDN的情况下，AAF可基于MSISDN选择本地网络和本地网络的AUSF，并且可以基于OTP选择认证方法，这是一种使用MSISDN的方法。根据另一实施例，在UE用户相关标识符是PEI的情况下，AAF可基于自动生成的凭证来选择认证方法，该方法是利用UE订阅信息的方法。可替代地，如果AAF 320从UE接收到请求，该请求用于使用应用的认证和密钥管理的(AKMA)密钥从5GC网络中的AKMA锚功能(AAnF)或AUSF生成密钥，则AAF 320可向5GC网络中的NEF或AUSF请求生成密钥。

图11示出了根据本公开实施例的用于在无线通信系统中基于USIM凭证执行认证过程的信号交换图。图11所示的信号交换图可以被理解为在UE 310、AAF 320、UDM/ARPF(认证凭证存储和处理功能)340和AUSF 350之间交换的信号流。图l1中描述的认证过程可以遵循HTTP AKA过程。

参照图11，在操作1101中，AAF 320向AUSF 350发送第一认证请求消息。AUSF 350可从AAF 320接收第一认证请求消息。具体地，AAF 320根据基于从UE 310接收到的认证发起消息确定的USIM凭证而识别出用于执行认证过程的AUSF 350。如果识别出AUSF 350，则AAF 320向识别的AUSF 350发送用于请求认证的第一认证请求消息。第一认证请求消息可称为″认证请求″，但不限于此，可对其使用各种请求认证的名称。根据各种实施例，第一认证请求消息可包括UE用户相关标识符、AAF 320的标识符(AAF ID)和应用提供商的标识符(应用提供商ID)中的至少一个。在这种情况下，UE用户相关标识符可以是GPSI、SUPI、SUCI中与确定的认证方法对应的标识符。另外，AAF 320的标识符可以是用于识别发送第一认证请求消息的各个AAF 320的标识符。另外，应用提供商的标识符可以是用于识别与移动通信服务提供商有合作关系的单独的服务提供商的标识符，并且可以具有反向完全限定域名(FQDN)的形式。

在操作1103中，AUSF 350向UDM/ARPF 340发送认证获得请求消息。UDM/ARPF 340可从AUSF 350接收认证获得请求消息。认证获得请求消息可以被称为″UE认证获取请求消息″。具体地，AUSF 350选择UDM/ARPF 340，并向所选择的UDM/ARPF 340发送认证获取请求消息。认证获取请求消息可以被理解为用于由AUSF 350将从AAF 320接收的信息发送到UDM/ARPF 340的消息。根据各种实施例，认证获得请求消息可以包括UE用户相关标识符、AAF 320的标识符和应用提供商的标识符中的至少一个。即，认证获取请求消息可以包括与从AAF 320接收的第一认证请求消息中包括的信息相同的信息，或者可通过将上述信息添加到第一认证请求消息中包括的信息来获得，然后可以向UDM/ARPF 340发送认证获取请求消息。UE用户相关标识符可以是GPSI、SUPI和SUCI中与确定的认证方法相对应的标识符。另外，AAF 320的标识符可以是用于识别发送第一认证请求消息的各个AAF 320的标识符。另外，应用提供商的标识符可以是用于识别与移动通信服务提供商有合作关系的单独的服务提供商的标识符，并且可具有反向FQDN的形式。

在操作1105中，UDM/ARPF 340生成认证向量。即，UDM/ARPF 340可以基于接收到的认证获得请求消息中包括的信息来生成认证向量(AV)。具体地，UDM/ARPF 340可以基于通过认证获取请求消息识别出的UE用户相关标识符来识别出UE的USIM凭证。例如，UDM/ARPF340可以通过执行从认证获得请求消息识别出的GPSI的转换来识别出UE的USIM凭证。UDM/ARPF 340可以识别出USIM凭证，并且可以使用包括在认证获得请求消息中的信息来生成认证向量。例如，UDM/ARPF 340可以使用接收到的AAF 320的标识符和应用提供商的标识符中的至少一个来生成XRES*。即，在生成XRES*的情况下，可以添加AAF 320的标识符和应用提供商的标识符中的至少一个。因此，UDM/ARPF 340可以生成包括XRES*、随机数(RAND)、认证令牌(AUTN)和用作认证密钥的KAUSF 350(或AUSF 350)的认证向量，这些是用于UE 310执行认证的信息。

在操作1107中，UDM/ARPF 340向AUSF 350发送认证获得响应消息。AUSF 350可以从UDM 340接收认证获得响应消息。认证获得响应消息可以被称为″UE认证获得响应消息″。即，UDM/ARPF 340可以向AUSF 350发送用于向UE 310发送执行认证所需的信息的消息。具体地，UDM/ARPF 340可以向AUSF 350发送包括应用层认证向量的认证获得响应消息，应用层认证向量可以包括XRES*、RAND、AUTN和KAUSF 350。即认证向量可以表达为″应用HE AV＝RAND，AUTN，XRES*，KAUSF 350″。

在操作1109中，AUSF 350存储XRES*并产生HXRES*。即，AUSF 350可以从自UDM/ARPF 340接收的认证获得响应消息中识别出认证向量，并且可以存储包括在识别出的认证向量中的信息。例如，AUSF 350可以存储认证向量的XRES*，并且可以基于XRES*导出HXRES*。

在操作1ll1中，AUSF 350向AAF 320发送第一认证响应消息。AAF 320可以从AUSF350接收第一认证响应消息。也就是说，AUSF 350可以向AAF 320发送用于发送UE 310执行认证所需的信息的消息。具体地，AUSF 350可以向AAF 320发送包括应用层认证向量的第一认证响应消息。应用层认证向量可以包括由AUSF 350生成的HXRES*。即，由AUSF发送的应用层认证向量350可以包括RAND、AUTN和HXRES*，并且可以被表达为″应用HE AV＝RAND，AUTN，HXRES*″。

在操作1113中，AAF 320向UE 310发送第二认证请求消息。UE 310可以从AAF 320接收第二认证请求消息。第二认证请求消息可以被称为″应用认证请求消息″。即，AAF 320可以向UE 310发送用于发送认证所需的信息的消息，其中该信息从AUSF 350接收到。根据各种实施例，由于基于USIM凭证的认证方法可以根据HTTP协议来执行，因此可以使用HTTP响应消息发送第二认证请求消息。例如，可以将作为″401未找到″响应代码或消息″WWW-authentication：Digest″的第二认证请求消息发送到UE 310。在这种情况下，″Digest(摘要)″可以包括从AUSF 350接收的应用层认证向量中包括的信息当中的RAND和AUTN。即，具有格式″WWW-authentication：Digest(RAND，AUTN)″的第二认证请求消息可以从AAF 320发送到UE 310。

在操作1115中，UE 310执行AKA算法。具体地，UE 310可以通过执行AKA算法来生成RES*和AUTN。UE 310验证生成的AUTN值是否与从AAF 320接收的第二认证请求消息中包括的AUTN值匹配。

在操作1117中，UE 310向AAF 320发送第二认证响应消息。AAF 320可以从UE 310接收第二认证响应消息。第二认证响应消息可以被称为″应用认证响应消息″。具体地，如果作为将由UE 310生成的AUTN值与从AAF 320接收的AUTN值进行比较的结果，认证是成功的，则UE 310可以向AAF 320发送第二认证响应消息以便发送RES*。根据各种实施例，可以使用HTTP请求消息来发送第二认证响应消息。在这种情况下，第二认证响应消息可以包括授权摘要报头。即，可以从UE 310向AAF 320发送形式为″授权摘要(RES*)″的第二认证响应消息。

在操作1119中，AAF 320计算XRES*和HXRES*。AAF 320可以使用从UE 310接收到的第二认证响应消息中包括的RES*来计算XRES*和HXRES*。UE 310可以比较HXRES*的值是否匹配目标值。在这种情况下，可以使用包括在第一认证响应消息的认证向量中的HXRES*来确定目标值。AAF 320可以验证HXRES*的值是否对应于UE 310的用户认证的目标值。

在操作1121中，AAF 320向AUSF 350发送第三认证请求消息。AUSF 350可从AAF320接收第三认证请求消息。因为确认计算的HXRES*的值匹配从AUSF 350接收的HXRES*的值，所以AAF 320可以向AUSF 350发送用于发送从UE 310接收到的RES*的消息。因此，第三认证请求消息可包括RES*。

在操作1123中，AUSF 350识别出RES*。即，AUSF 350可以确定从UE发送的RES*的值是否对应于存储在AUSF 350中的值。AUSF 350可以通过识别出RES*的值来确定对UE 3l0的认证是否成功。

在操作1125中，AUSF 350向AAF 320发送第三认证响应消息。AAF 320可以从AUSF350接收第三认证响应消息。如果确定对UE 310的认证成功，AUSF 350可以向AAF 320发送指示认证成功的消息。在这种情况下，AUSF 350向AAF 320发送第三认证响应消息，该第三认证响应消息包括指示认证成功的单独指示符和用作认证密钥的KAAF 320。

如果UE基于用户门户确定认证方法，则UE可以向AAF发送包括用于指示各种浏览器中的至少一种的用户代理的类型的认证发起消息。可替代地，如果AAF接收到的认证发起消息中包含的用户代理的类型指示各种浏览器中的至少一种，则AAF可以根据基于用户门户确定的认证方法执行流程。可替代地，如果AAF未能根据认证发起消息确定合适的认证方式，则可以确定基于用户门户的认证方式。在下文中，将参考图12和13详细描述在确定基于用户门户的认证方法的情况下的认证过程。

图12示出了根据本公开实施例的用于在无线通信系统中基于用户门户执行认证过程的信号交换图。图13示出了根据本公开实施例的用于在无线通信系统中基于用户门户执行认证过程的用户门户屏幕的示例。图12所示的信号交换图可以理解为UE 310和AAF320之间交换的信号流。下面将参考图11进行图12的说明。

参照图12，在操作1201中，AAF 320向UE 310发送用于输入认证凭证信息的消息。UE 310可以从AAF 320接收用于输入认证凭证信息的消息。具体地，AAF 320可以向UE 310发送包括用于显示能够输入用于认证的凭证信息(诸如用户ID和口令)的屏幕的HTML地址的消息。例如，AAF 320可以向UE 310发送包括用于输入用户ID的输入字段1310和用于输入口令的输入字段1320的屏幕1300的HTML地址。

在操作1203中，UE 310可以向AAF 320发送认证凭证信息。AAF 320可以从UE 310接收认证凭证信息。UE 310可以使用对应于由认证发起消息指示的用户代理的类型的浏览器来执行接收HTML文件的呈现，从而在UE 310的显示面板上显示屏幕1300。UE 310可以接收对输入字段1310的用户ID或电子邮件地址中的至少一个的输入以及向输入字段1320的口令输入。UE 310可以将输入的用户ID和口令发送给AAF 320作为认证凭证信息。

在操作1205中，UE 310和AAF 320使用输入的认证凭证信息执行认证过程。UE 310可以通过与包括在AAF 320中的门户的交互来执行用于验证用户ID和口令的认证过程。

根据上述确定认证方法的实施例，UE和AAF可以基于自动生成的凭证确定执行认证过程。在这种情况下，可以使用SUPI、PEI和MSISDN(这些是避免向公众公开的UE用户相关信息)中的至少一个来生成认证信息，并且可以验证通过协商的单向哈希函数生成的认证信息。在下文中，将参考图14详细描述根据基于自动生成的凭证的认证方法的认证过程。

图14示出了根据本公开实施例的用于在无线通信系统中基于自动生成的凭证来执行认证过程的信号交换图。图14所示的信号交换图可以被理解为在UE 310、AAF 320和UDM 340之间交换的信号流。

参照图14，在操作1401中，AAF 320向UDM 340发送配置文件请求消息。UDM 340可以从AAF 320接收配置文件请求消息。具体地，AAF 320可以选择执行认证过程的UDM 340，该选择过程使用从自UE 310接收的认证发起消息识别的UE用户相关标识符和关于用户代理的类型的信息。AAF 320可以据向所选的UDM 340请求基于自动生成的凭执行认证过程所需的信息。即，AAF 320可以向UDM 340发送包括UE用户相关标识符的配置文件请求消息。例如，AAF 320可以通过发送包括GPSI的配置文件请求消息向UDM 340请求用于为对应于GPSI的UE的用户执行认证所需的信息。

在操作1403中，UDM 340向AAF 320发送配置文件响应消息。AAF 320可以从UDM340接收配置文件响应消息。也就是说，UDM 340可以向AAF 320发送配置文件响应消息，该配置文件响应消息包括指示与GPSI对应的SUPI、PEI和MSISDN中的至少一个的订户信息。如上所述，SUPI、PEI和MSISDN是不向公众公开的标识符，可以用于自动生成凭证。即，可以使用基于利用UE 310相关的信息生成的凭证的认证方法。

在操作1405中，AAF 320产生摘要。AAF 320可以基于从UDM 340接收的配置文件响应消息来获取用于识别UE的订户信息。另外，AAF 320生成随机数(RAND)，从而使用所获取的订户信息和RAND产生摘要。在这种情况下，如上所述，订户信息可以对应于SUPI、PEI和MSISDN中的至少一个，并且摘要可以表示为″Digest＝H(RAND|SUPI)″。

在操作1407中，AAF 320向UE 310发送认证请求消息。UE 310可以从AAF 320接收认证请求消息。认证请求消息可以被称为″应用认证请求消息″。即，AAF 320可以向UE 310发送用于发送生成的摘要的消息。根据各种实施例，认证请求消息可以以HTTP响应消息的形式发送。AAF 320可以通过将生成的摘要插入到字段″WWW-authenticate″中来向UE 310发送HTTP响应消息。在这种情况下，认证请求消息可以包括诸如″WWW-authenticate：Digest Random：RAND″的形式。

在操作1409中，UE 310验证摘要并生成消息认证码(MAC)。如果验证了从认证请求消息中识别的摘要，则UE 310可以使用与用于识别UE 310的订户信息相对应的SUPI、PEI、MSISDN中的至少一个或者由AAF 320生成的RAND来生成MAC。也就是说，MAC可以被表达为″MAC＝H(RAND|MSISDN|PEI|SUPI)″。

在操作1411中，UE 310向AAF 320发送认证响应消息。AAF 320可从UE 310接收认证响应消息。认证响应消息可被称为″应用认证响应消息″。具体地，UE 310可向AAF 320发送具有插入到其中的MAC的认证响应消息，该MAC是基于验证的摘要生成的。根据各种实施例，认证响应消息可以以HTTP请求消息的形式发送。在这种情况下，UE 310可通过在HTTP请求消息的报头字段″authorization″中包括该MAC来向AAF 320发送认证响应消息。

在操作1413中，AAF 320验证MAC。即，AAF 320可以验证由UE 310生成的MAC与从UDM 340接收的UE用户相关标识符匹配。可以根据各种方法中的任一种来执行MAC的验证，诸如基于哈希函数的方法。

在操作1415中，AAF 320生成认证码。如果验证了MAC，则AAF 320可以确定认证成功。因此，AAF 320可以生成UE 310可以使用的认证码以便获取为边缘应用发布的访问令牌。

在操作1417中，AAF 320向UE 310发送认证结果。UE 310可以从AAF 320接收认证结果。认证结果可以被称为″应用认证结果消息″。AAF 320可以向UE 310发送指示已经成功执行认证的消息。根据各种实施例，AAF 320可以向UE 310发送包括认证码的消息。此外，AAF 320可以向UE 3l0发送进一步包括重定向地址的消息。

图l5示出了根据本公开实施例的用于在无线通信系统中基于OTP执行认证过程的信号交换图。图15所示的信号交换图可以被理解为在UE 310、AAF 320和UDM 340之间交换的信号流。

参照图15，在操作1501中，AAF 320向UDM 340发送配置文件请求消息。UDM 340可以从AAF 320接收配置文件请求消息。具体地，AAF 320可以选择用于执行认证过程的UDM340，该选择使用从UE 310接收的认证发起消息中识别的UE用户相关标识符和关于用户代理的类型的信息。AAF 320可以向所选择的UDM 340发送包括UE用户相关标识符的配置文件请求消息。例如，AAF 320可以发送包括GPSI的配置文件请求消息，从而向UDM 340请求对GPSI相对应的UE用户执行认证所需的信息。

在操作1503中，UDM 340向AAF 320发送配置文件响应消息。AAF 320可以从UDM340接收配置文件响应消息。UDM 340可以基于接收到的GPSI识别出UE 310的SUPI、PEI和MSISDN中至少之一。因此，UDM 340可以向AAF 320发送配置文件响应消息，该配置文件响应消息包括指示所识别的SUPI、PEI和MSISDN中的至少一个的订户信息。

在操作1505中，从AAF 320向UE 310发送OTP。基于从UDM 340接收的配置文件响应消息，AAF 320可以获取用于识别UE的订户信息。在这种情况下，如上所述，订户信息可以对应于SUPI、PEI和MSISDN中的至少一个。AAF 320可以通过单独的路径向UE 310发送与获取的SUPI、PEI和MSISDN中的至少一个相对应的一次性口令(OTP)。例如，AAF 320可以通过短消息服务(SMS)向UE 310发送与获取的订户信息相对应的OTP。例如，AAF 320可以通过NAS消息向与获取的订户信息相对应的UE 310发送OTP。

在操作1507中，AAF 320向UE 310发送认证请求消息。UE 310可以从AAF 320接收认证请求消息。认证请求消息可以被称为″应用认证请求消息″。即，从UE 310接收到发起认证过程的请求，AAF 320可以在预定过程之后发送认证请求消息作为响应消息。在这种情况下，AAF 320生成可用于验证消息认证码(MAC)的随机数(RAND)，并且可以向UE 310发送包括生成的RAND的认证请求消息。

在操作1509中，UE 310生成MAC。UE 310可以使用与用于识别UE 310的订户信息相对应的SUPI、PEI、MSISDN、由AAF 320生成的RAND和接收到的OTP值中的至少一个来生成MAC。即，该MAC可以表示为″MAC＝H(OTP，RAND|MSISDN|PEI|SUPI)″。

在操作l511中，UE 310向AAF 320发送认证响应消息。AAF 320可以从UE 310接收认证响应消息。认证响应消息可以被称为″应用认证响应消息″。具体地，UE 310可以向AAF320发送认证响应消息，该认证响应消息具有插入到其中的MAC，该MAC是基于上述订户信息、RAND和OTP值中的至少一个生成的。

在操作1513中，AAF 320验证该MAC。AAF 320可以基于通过配置文件响应消息从UDM 340接收的订户信息、由AAF 320生成的RAND和发送到UE 310的OTP值中的至少一个来生成该MAC。另外，AAF 320可以从UE 310接收的认证响应消息中识别出由UE 310生成的MAC。因此，AAF 320可以使用由AAF 320生成的MAC来验证由UE 310生成的MAC。

在操作1515中，AAF 320生成认证码。如果通过MAC的验证确定认证成功，则AAF320可以生成认证码。根据各种实施例，AAF 320可以根据OAUTH2框架来生成认证码，其中OAUTH2框架是用于管理第三方认证和使用令牌向其授予授权的协议。即，AAF 320可以生成可供UE 310接收为边缘应用发布的访问令牌的认证码。

在操作1517中，AAF 320向UE 310发送认证结果。UE 310可以从AAF 320接收认证结果。认证结果可以被称为″应用认证结果消息″。AAF 320可以向UE 310发送指示已经成功执行认证的消息。根据各种实施例，AAF 320可以向UE 310发送包括认证码的消息。另外，AAF 320可以向UE 310发送进一步包括重定向地址的消息。

如果通过执行上述认证过程来获取认证码，则UE可以使用所获取的认证码来执行用于获取访问令牌的过程。在下文中，将参考图16和17详细描述获取访问令牌的过程。

图16示出了根据本公开实施例的在无线通信系统中访问令牌生成成功的情况下的信号交互图。图16所示的信号交换图可以理解为在UE 310、AAF 320和APR 360之间交换的信号流。

参照图16，在操作1601中，UE 310向AAF 320发送请求消息。AAF 320可以从UE 310接收请求消息。也就是说，UE 310可以在成功执行认证过程之后向AAF 320发送用于请求访问令牌的消息。根据各种实施例，请求消息可以包括授权类型、认证码、重定向地址和客户端ID中的至少一个。请求消息可以被称为″访问令牌请求消息″。

在操作l603中，AAF 320检查认证码。AAF 320可基于接收到的请求消息来识别出认证码。AAF 320可以基于至少一个预定标准来验证所识别的认证码的有效性。例如，认证码的有效性可根据认证码的有效时间、认证码中识别出的GPSI或者请求消息中包含的认证码以外的信息中的至少一种来确定。

在操作1605中，AAF 320获取配置文件信息。如果验证了认证码的有效性，则AAF320可以获得与验证的认证码对应的订户配置文件。根据各种实施例，订户配置文件可以包括用于识别请求发布访问令牌的UE 310的用户的信息(例如，UE用户相关标识符)和对应于用户的订户信息(例如，订户级别、订户类别等)。虽然图16未示出，但是AAF 320可以向UDM请求订户配置文件，从而获取关于请求发布访问令牌的UE 310或用户的信息。

在操作1607中，AAF 320向APR 360发送配置文件请求消息。APR 360可以从AAF320接收配置文件请求消息。配置文件请求消息可以被称为″应用配置文件请求消息″。即，AAF 320可以向APR 360发送请求关于至少一个边缘应用的配置文件的消息。在这种情况下，请求关于对于其UE 310请求发布访问令牌的边缘应用的配置文件信息。根据各种实施例，配置文件请求消息可以包括应用配置文件的标识符(应用配置文件ID)或相应应用配置文件的类别中的至少一个。

在操作1609中，APR 360向AAF 320发送配置文件响应消息。AAF 320可从APR 360接收配置文件响应消息。配置文件响应消息可被称为″应用配置文件响应消息″。APR 360可基于预先存储的关于边缘应用的信息来识别是否允许由配置文件请求消息请求的应用配置文件。可从AAF 320请求至少一个应用配置文件，并且APR 360可以基于与应用相关的策略来检索或识别可允许应用配置文件。因此，APR 360可向AAF 320发送包括指示可允许应用配置文件或不允许的应用配置文件中的至少一个的信息的配置文件响应消息。

在操作1611中，AAF 320生成访问令牌。AAF 320可以基于从APR 360接收的配置文件响应消息来获取允许的应用配置文件。AAF 320可以通过根据获取的订户配置文件配置权限来生成访问令牌。根据各种实施例，所述访问令牌包括与UE用户相关的标识符(例如，订户标识符或UE设备的标识符)、应用配置文件的标识符、订户类别、订户级别和用于识别验证访问令牌的AAF 320的信息中的至少一种。用于识别验证访问令牌的AAF 320的信息可以包括AAF 320端点的地址、应用提供商的标识符和AAF 320ID中的至少一个。

在操作1613中，AAF 320向UE 310发送响应消息。UE 310可以从AAF 320接收所述响应消息。具体地，在对生成的访问令牌进行加密之后，AAF 320可以发送响应消息，该响应消息用于递送加密的访问令牌到UE 310。相应地，所述访问令牌可以用于确定是否允许UE310使用与应用配置文件对应的边缘计算服务。所述响应消息可以被称为″访问令牌响应消息″。

图17示出了根据本公开实施例的在无线通信系统中访问令牌生成失败的情况下的信号交互图。图17示的信号交换图可以被理解为在UE 310和AAF 320之间交换的信号流。

参照图17，在操作1701中，UE 310向AAF 320发送请求消息。AAF 320可以从UE 310接收所述请求消息。也就是说，UE 310可以在认证过程成功之后向AAF 320发送请求访问令牌的消息。根据各种实施例，所述请求消息可以包括授权类型、认证码、重定向地址和客户端ID中的至少一种。所述请求消息可以被称为″访问令牌请求消息″。

在操作1703中，AAF 320验证认证码。AAF 320可以基于所接收的请求消息来识别认证码。AAF 320可以使用从请求消息识别的信息来确定是否生成访问令牌。例如，如果认证码的有效时间已经过去时，如果从认证码识别的GPSI与从UDM接收到的GPSI不匹配，或者如果包含在请求消息中的客户端ID不匹配，则AAF 320可以确定不生成访问令牌。此外，如果确定从UDM接收的配置文件信息无效，则AAF 320可以确定不生成访问令牌。

在操作1705中，AAF 320向UE 310发送响应消息。UE 310可从AAF 320接收所述响应消息。也就是说，AAF 320可向UE 310发送指示尚未生成访问令牌的消息。例如，所述响应消息可包括关于拒绝认证码的原因的信息和重定向地址中的至少一种。即，AAF 320可通过所述响应消息向UE 310发送拒绝认证码的原因。此外，AAF 320可通过所述响应消息发送可以根据拒绝认证码的原因确定的重定向地址。所述响应消息可被称为″访问令牌响应消息″。

图18示出了根据本公开实施例的在无线通信系统中UE为边缘应用授于权限的流程图。图18示出了UE 310的操作方法。

参照图18，在操作1801，UE向AF发送包括访问令牌的请求消息。即，如果根据认证码的验证成功从AAF接收到访问令牌，则UE可以向AF发送请求对边缘应用进行授权的请求消息。在这种情况下，UE可以通过请求消息向AF发送访问令牌。访问令牌可以包括UE用户相关标识符(例如，用户标识符或UE设备的标识符)、应用配置文件的标识符、用户类别、用户级别和识别用于验证访问令牌的AAF的信息中的至少一个。

在操作1803中，UE从AF接收基于访问令牌的验证结果的响应消息。具体地，AF可以基于接收到的访问令牌来识别用于验证访问令牌的AAF。AF可以向所识别的AAF发送包括访问令牌和请求对边缘应用进行授权的信息的消息。如果AAF对访问令牌的验证成功，则AF从AAF接收访问令牌中包含的信息对应的边缘应用的可允许权限信息或可允许应用配置文件中的至少一项。因此，UE可以从AF接收响应消息，该响应消息包括关于根据与UE相关的订户类别和订户级别中的至少一个允许的边缘应用的信息。根据各种实施例，关于边缘应用的信息可以包括与边缘应用对应的应用服务器的地址。例如，应用服务器的地址可包括FQDN、互联网协议(IP)地址或边缘计算服务端点的地址中的至少一种。如果AAF对访问令牌的验证失败，则AF从AAF接收指示访问令牌的验证失败的原因的验证响应消息。因此，UE可以从AF接收响应消息，该响应消息包括指示访问令牌的验证失败的原因的信息和用于重新执行用于获取有效访问令牌的认证过程的重定向地址中的至少一个。

图19示出了根据本公开实施例的在无线通信系统中AAF为边缘应用授于权限的流程图。图19示出了AAF 320的操作方法。

参照图19，在操作1901中，AAF从AF接收请求验证访问令牌的请求消息。具体地，AF可以基于从UE接收到的请求消息中包括的访问令牌来识别用于验证访问令牌的AAF。AAF可以从AF接收验证请求消息，该验证请求消息包括访问令牌和用于请求对边缘应用的授权的信息。即，在AF识别出AAF后，AAF可以从AF接收请求验证访问令牌的消息。

在操作1903中，AAF执行访问令牌的验证。AAF可基于访问令牌的有效时间和与访问令牌的权限相关的信息中的至少一个来验证访问令牌。例如，AAF可以在执行验证时识别访问令牌的有效时间是否已经过去。如果有效时间尚未过去，则AAF可以确定访问令牌的验证成功。如果有效时间已经过去，则AAF可以确定访问令牌的验证失败。另外，AAF可以识别访问令牌允许的资源或UE请求的资源中的至少一个是否属于访问令牌的权限。如果访问令牌允许的资源或UE请求的资源中的至少一个属于访问令牌的权限，则AAF可以确定访问令牌的验证成功。如果访问令牌允许的资源或UE请求的资源中的至少一个不属于访问令牌的权限，则AAF可以确定访问令牌的验证失败。

在操作1905中，AAF基于访问令牌的验证结果向AF发送验证响应消息。即，AAF可以向AF发送指示访问令牌的验证结果的响应消息。如果确定访问令牌的验证成功，则AAF可以向AF发送验证响应消息，该验证响应消息包括关于与包含在访问令牌中的信息对应的边缘应用的可允许权限的信息或可允许的应用程序配置文件中的至少一个。如果确定访问令牌的验证失败，则AAF可以向AF发送指示访问令牌的验证失败的原因的验证响应消息。在这种情况下，可以向AF发送验证失败的原因，诸如由于超过有效时间导致访问令牌失效的情况或者请求的资源不属于访问令牌的权限等情况。

图20示出了根据本公开实施例的用于在无线通信系统中为边缘应用授于权限的AF的流程图。图20例示了AF 330的操作方法。

参照图20，在操作2001中，AF向AAF发送请求验证接收到的访问令牌的请求消息。具体地，AF可基于从UE接收到的访问令牌中包含的用于识别验证访问令牌的AAF的信息来识别出用于验证访问令牌的AAF。根据各种实施例，用于识别验证访问令牌的AAF的信息可以包括AAF端点的地址、应用提供商的标识符和AAF ID中的至少一个。例如，如果访问令牌具有JSON网络令牌(JWT)的格式，则作为令牌发布者的标识信息的″发布者ID″字段可包括基于应用提供者的标识符和AAF ID确定的信息和作为指示令牌发布时间的信息的″发布于(IAT)″字段，并且可以包括AAF端点的地址。因此，AF可向识别出的AAF发送包括访问令牌和授权请求信息的验证请求消息。

在操作2003中，AF基于访问令牌的验证结果从AAF接收验证响应消息。即，AF可以从AAF接收指示访问令牌的验证结果的响应消息。如果确定访问令牌的验证成功，则AF可以从AAF接收验证响应消息，该验证响应消息包括与包含在访问令牌中的信息对应的边缘应用的允许权限信息或允许的应用配置文件中至少之一。如果确定访问令牌的验证失败，则AF可以从AAF接收指示访问令牌的验证失败的原因的验证响应消息。在这种情况下，可以向AF发送验证失败的原因，诸如由于超过有效时间导致访问令牌失效的情况或者请求的资源不属于访问令牌的权限的情况。

在操作2005中，AF基于验证响应消息向UE发送响应消息。如果AAF对访问令牌的验证成功，则AF可以从AAF接收指示验证成功的验证响应消息，然后可以向UE发送包括根据与UE相关的订户类别和订户级别中至少之一允许的边缘应用的信息的响应消息。根据各种实施例，关于边缘应用的信息可以包括与边缘应用对应的应用服务器的地址。例如，应用服务器的地址可以包括FQDN、IP地址或边缘计算服务端点地址中的至少一种。如上所述，如果访问令牌的验证成功，则验证响应消息可以包括关于与包括在访问令牌中的信息相对应的边缘应用的允许权限的信息或允许的应用配置文件中的至少一个。如果AAF对访问令牌的验证失败，则AF可以从AAF接收指示访问令牌的验证失败的原因的验证响应消息，然后向UE发送响应消息，该响应消息包括指示访问令牌的验证失败的原因的信息和用于重新执行认证过程以用于获取有效访问令牌的重定向地址中的至少一项。

图21示出了根据本公开实施例的用于在无线通信系统中为边缘应用授于权限的信号交换图。图21所示的信号交换图可以被理解为在UE 310、AAF 320和AF 330之间交换的信号流。

参照图21，在操作2101中，UE 310向AF 330发送请求消息。AF 330可从UE 310接收请求消息。请求消息可被称为″应用请求消息″。即，如果根据认证码的成功验证从AAF 320接收到访问令牌，则UE 310可向AF 330发送请求对边缘应用进行授权的请求消息。在这种情况下，UE 310可通过请求消息向AF 330发送访问令牌。访问令牌可以包括UE用户相关标识符(例如，订户标识符或UE设备的标识符)、应用配置文件的标识符、订户类别、订户级别以及用于识别为了验证访问令牌的AAF 320的信息中的至少一项。

在操作2103，AF 330向AAF 320发送验证请求消息。AAF 320可从AF 330接收验证请求消息。具体地，AF 330可基于用于识别为了验证访问令牌的AAF 320的信息来识别用于验证访问令牌的AAF 320，该信息包括在从UE 310接收的访问令牌中。验证请求消息可被称为″访问令牌验证请求消息″。根据各种实施例，用于识别验证访问令牌的AAF 320的信息可包括AAF 320端点的地址、应用提供商的标识符和AAF 320ID中至少一个。例如，如果访问令牌具有JWT的格式，则作为令牌发布者的标识信息的″发布者ID″字段可包括基于应用提供商的标识符和AAF 320ID确定的信息和指示令牌发布时间的字段″发布于(IAT)″的信息，且可包括AAF端点的地址。因此，AF 330可向识别的AAF 320发送包括访问令牌和授权请求信息的验证请求消息。

在操作2105中，AAF 320向AF 330发送验证响应消息。AF 330可从AAF 320接收验证响应消息。即，AAF 320可向AF 330发送响应消息，该响应消息指示访问令牌的验证结果。验证响应消息可被称为″访问令牌验证响应消息″。如果确定访问令牌的验证成功，则AAF320可向AF 330发送验证响应消息，该验证响应消息包括与访问令牌中包括的信息对应的边缘应用的允许权限的信息或允许的应用配置文件中至少之一。如果确定访问令牌的验证失败，则AAF 320可向AF 330发送指示访问令牌的验证失败的原因的验证响应消息。在这种情况下，可向AF 330发送验证失败的原因，诸如由于超过有效时间导致访问令牌失效的情况或者请求的资源不属于访问令牌的权限的情况。

在操作2107中，AF 330向UE 310发送响应消息。UE 310可以从AF 330接收响应消息。响应消息可被称为″应用响应消息″。如果AAF 320对访问令牌的验证成功，则AF 330可以从AAF 320接收指示验证成功的验证响应消息，然后可以向UE 310发送响应消息，该响应消息包括根据与UE 310相关的订户类别和订户级别中的至少一个允许的关于边缘应用的信息。根据各种实施例，关于边缘应用的信息可包括对应于边缘应用的应用服务器的地址。例如，应用服务器的地址可以包括FQDN、IP地址或边缘计算服务端点地址中的至少一种。如上所述，如果访问令牌的验证成功，则验证响应消息可以包括关于与包括在访问令牌中的信息相对应的边缘应用的允许权限的信息或允许的应用配置文件中的至少一个。如果AAF320对访问令牌的验证失败，则AF 330可以从AAF 320接收指示访问令牌的验证失败的原因的验证响应消息，然后可以向UE发送响应消息，该响应消息包括指示访问令牌的验证失败的原因的信息和用于重新执行认证过程以获取有效访问令牌的重定向地址中的至少一个。

如图18至图21，基于包括在访问令牌中的信息，可向各个UE或UE用户提供不同的边缘计算服务。即，AF可向UE发送信息以根据应用配置文件、订户类别、订户类等来提供差异化的边缘计算服务，以便允许使用边缘计算服务。例如，如果AF从UE接收到对边缘应用列表的请求，则AF可以执行访问令牌的验证，并且可以基于从AAF接收到的订户类别来确定UE可用的边缘应用列表。下面的表2中示出了各个订户类的可用边缘应用列表的示例。

表2

参考表2，可以允许APP 1和APP 2用于属于订户类A的订户。此外，可以允许APP 1和APP 2用于属于订户类B的订户。此外，对于属于订户类C的订户，可以仅允许使用APP 1，而不是APP 2。也就是说，可以根据订户类提供不同的边缘应用。

此外，如果关于可用边缘应用的信息被发送到UE，并且如果从UE接收到对边缘应用的应用服务器的地址的请求，则AF可以基于订户类别和订户类为应用发送不同的地址。边缘应用的应用服务器的地址示例如下表3所示。

表3

参照表3，在APP 1的情况下，如果请求FQDN作为应用服务器的地址，则可以提供地址″ex.app1.com″。另外，在订户类A的情况下，可以向UE提供地址″fast.app1.com″；在订户类B的情况下，可以向UE提供地址″slow.app1.com″。即，可以根据订户类以不同的速度提供边缘应用APP 1。同样，在APP 2的情况下，如果请求FQDN作为应用服务器的地址，则可以提供地址″svc.app2.com″。另外，在订户类A的情况下，可以向UE提供地址″fast.app2.com″；在订户类B的情况下，可以向UE提供地址″slow.app2.com″。即，可以根据订户类以不同的速度提供边缘应用APP 2。

下面将参考图22和23，详细描述在请求关于用户的个人信息以提供边缘计算服务的情况下，用户同意和利用个人信息的实施例。

图22示出了根据本公开实施例的用于在无线通信系统中获得对使用个人信息的用户同意的信号交换图。图22所示的信号交换图可以被理解为在UE 310和EF 2l0之间交换的信号流。

参考图22，在操作220l中，UE 310和EF 210执行获取对使用个人信息的用户同意的过程。例如，在执行上述认证程序时或在认证程序完成之后，可以由客户端即外部用户代理请求关于用户的个人信息。即，向请求边缘计算服务的UE 310的用户作出对于同意授予对个人信息的权限的请求。关于用户的个人信息可以包括各种信息，诸如UE 310的位置信息。

在操作2203中，EF 210存储关于用户同意或拒绝的信息。EF 210可以存储关于用户是否同意使用个人信息的信息。关于用户同意或拒绝的信息可以在通过上述认证过程获得的认证结果的有效期内保持。如果期间认证结果保持有效的有效期到期，则EF 210可以删除关于用户同意或拒绝的信息。

图23示出了根据本公开实施例的在无线通信系统中使用个人信息的信号交换图。图23所示的信号交换图可以被理解为在AMF 146/NEF 152、EF 204或210以及边缘服务器102或106之间交换的信号流。

参考图23，在操作2301中，边缘服务器102或106向EF 204或210发送对于使用个人信息的请求消息。EF 204或210从边缘服务器102或106接收对于使用个人信息的请求消息。向UE提供边缘应用的边缘服务器102或106可向EF 204或210发送请求利用关于相应UE的用户的个人信息的消息。

在操作2303中，EF 204或210确定用户是否同意使用个人信息。如图22所示，EF204或210可基于预先存储的关于用户的同意或拒绝的信息来识别用户是否同意使用所请求的个人信息。在这种情况下，EF 204或210可以在期间认证结果保持有效的有效期时段之前识别所请求的个人信息的可用性。

在操作2305中，EF 204或210向AMF 146和NEF 152发送个人信息请求消息。AMF146和NEF 152从EF 204或210接收个人信息请求消息。如果基于关于用户同意或拒绝的信息而确认用户同意使用所请求的个人信息，则EF 204或210可以向AMF 146和NEF 152发送用于获取相应个人信息的当前状态的请求消息。即，EF 204或210可以获取关于用户同意的功能(例如，UE的定位)的当前有效信息。尽管图23中描述了AMF 146和NEF 152，但是附加实体可以根据请求的个人信息的类型接收请求消息。例如，如果边缘服务器102或106请求关于UE的位置信息，则EF 204或210可以向位置服务(LCS)以及AMF 146和NEF发送请求UE的当前位置信息的消息。

图24示出了根据本公开实施例的网络结构，其中用于边缘应用的认证和授权的结构被映射到无线通信系统中的边缘计算结构。

具体来说，图24示出了其中各种实施例的实体被映射到边缘计算结构的网络结构。

参考图24，边缘使能器客户端(EEC)318可以是包括用户代理312和应用314两者的软件模块。可替代地，UE 310中的EEC 318可以是包括用户代理312的软件模块。

可以使用EEC标识符来识别边缘使能器客户端318。EEC标识符可以是从订户的标识符导出的值。在EEC标识符源自订户的标识符的情况下，EEC可以包括从订阅永久标识符(SUPI)导出的移动通信服务提供商的标识符、移动台国际订户号码(MSISDN)或通用公共订阅标识符(GPSI)和区分移动通信服务提供商的序列号。在EEC标识符由终端制造商提供的情况下，EEC标识符可以从永久设备标识符(PEI)导出。在EEC标识符从PEI导出的情况下，EEC标识符可以包括标识信息，该标识信息包括制造商的标识符、制造商的编号、SW编号、型号名称等。可替代地，EEC标识符可以是使用EEC的软件模块预设的值。如果EEC标识符是软件模块的标识符，则EEC标识符可以遵循通用唯一标识符(UUID)的格式。EEC标识符可以包括能够标识软件包的唯一软件包名称，其可以遵循完全限定域名(FQDN)的反向格式，诸如″com.samsung.mecframework″。另外，软件包名称可以包括软件的版本名称。EEC标识符可以从边缘计算服务提供商下载，以便然后安装在终端中。EEC标识符可以包括边缘计算服务提供商发布的序列号。另外，EEC标识符可以包括用于区分边缘计算服务提供商的标识符。

在图24中描述的实施例中，边缘使能器客户端318可以包括图3中描述的实施例中的用户代理312和应用314的功能。

在图24中描述的实施例中，AAF 320执行图3中描述的实施例中的AAF 320的功能。AAF 320可以设置在3GPP核心网2410中。可替代地，AAF 320可以与边缘配置服务器2430一起实现。可替代地，如图24所示，AAF 320可以与3GPP核心网络2410和边缘配置服务器2430分开操作。

边缘使能器客户端318接收与边缘应用服务器2422交换应用数据业务所需的配置信息。边缘使能器客户端318获取关于边缘数据网络2420中的可用边缘应用服务器2422的地址信息。

在图24中描述的实施例中，边缘使能器服务器(EES)2424执行边缘应用服务器2422和边缘使能器客户端318所需的以下功能。

1.与边缘应用服务器2422交换应用数据业务所需的配置信息

2.将与边缘应用服务器2422相关的信息提供给边缘使能器客户端318

3.为3GPP网络提供的网络功能提供应用编程接口(API)

在图24中描述的实施例中，边缘配置服务器(ECS)2430执行边缘使能器客户端318连接到边缘使能器服务器2424所需的功能。边缘配置服务器2430向边缘使能器客户端318提供关于边缘配置信息的预先信息。边缘配置信息是边缘使能器客户端318连接到边缘使能器服务器2424所需的信息和用于与边缘使能器服务器2424建立连接的信息。

在图24中描述的实施例中，应用客户端316是在UE 310中安装并运行的应用程序。在图24描述的实施例中，边缘应用服务器(EAS)2422在边缘数据网络2420或边缘托管环境中执行边缘托管平台中的服务器的功能。应用客户端316连接到边缘应用服务器2424中的可用服务。

图25示出根据各种实施例的在无线通信系统中提供多种认证方法的情况下由终端和AAF确定认证方法的过程。图25还包括其中认证方法使用由5G核心(5GC)网络提供的应用的认证和密钥管理(AKMA)的实施例。

在图25的实施例中，UE 2521对应于图24的实施例中的UE 310。参照图25，UE 2521在其中具有边缘使能器客户端(EEC)2522和通信处理器(CP)2523。CP 2523是UE 2521内部的装置，它实现接入5G访问和5G核心网以及LTE访问和EPC(EPC)网络的无线接口，并且其中包括调制解调器功能。UE 2521中的CP 2523接入EPC网络或5GC网络。

在步骤2501a中，CP 2523向EPC 2524执行注册。CP 2523的注册请求消息可以包括EPC-AKA认证的信息。在步骤2501a中，UE 2521的CP 2523执行到EPC 2524网络的初始附接过程。在步骤2501a中，UE 2521和EPC 2524网络执行EPC认证和密钥协商(AKA)认证过程。

可替代地，UE 2521在步骤2501b-1和2501b-2中执行到5GC 2525网络的注册过程。

在步骤2501b-1中，CP 2523执行到5GC 2525的注册。CP 2523的注册请求消息可以包括关于5GC-AKA认证或非3GPP AKA认证中的至少一个的信息。在向5GC 2525网络注册的过程中执行5GC-AKA或可扩展认证协议(EAP)-AKA认证。

在步骤2501b-2中，5GC 2525执行UE配置更新。UE配置更新消息可以包括ECS地址、AAF地址和AKMA密钥可用性中的至少一个。在成功注册到5GC 2525网络后，5GC 2525网络通过UE配置更新过程发送关于边缘配置服务器(ECS)2527的信息。在步骤2501b-2中，5GC2525的访问和移动性管理功能(AMF)可以向UE 2521的CP 2523发送关于用于ECS认证的AKMA密钥是否可用的信息。

在步骤2502中，CP 2523向EEC 2522发送关于CN类型和AKMA密钥可用性的信息。已成功注册到EPC 2524网络或5GC 2525网络的CP 2523向EEC 2522发送指示成功接入EPC2524或5GC 2525的信息。在这种情况下，CP 2523可以向EEC 2522发送关于成功接入的3GPP核心网络(CN)类型(CN-type)的信息。3GPP核心网类型信息可以是诸如EPC 2524和5GC2525的3GPP核心网类型。此外，CP 2523还可向EEC 2522发送关于在EPC 2524和5GC 2525网络中执行的认证方法的信息以及CP 2523可用的凭证信息。关于认证方法的信息可以是EPC-AKA、5GC-AKA或EAP-AKA，可用的凭证信息可包括AKMA凭证、AKMA认证方法和证书。在AKMA可用于CP 2523的情况下，CP 2523可分配新的AKMA密钥ID以用于生成EEC 2522的认证密钥，并且可以生成与AKMA密钥ID对应的AKMA密钥。CP 2523生成的AKMA凭证可发送到EEC2522。EEC 2522从CP 2523接收AKMA密钥凭证的另一种方法是EEC 2522向CP 2523发送包括EEC ID、与EEC 2522相关联的ECS ID或边缘计算服务提供商(ECSP)的标识符的信息，并且CP 2523响应于EEC 2522的请求而生成包括EEC ID、ECSP标识符和ECS信息的新AKMA ID。CP2523可将新AKMA密钥ID和AKMA密钥发送到EEC 2522。

在步骤2503中，UE 2521确定″CN类型″和″AKMA支持″。在步骤2503中，UE 2521中的EEC 2522从自UE 2521中的CP 2523接收的信息中导出可用的认证方法。例如，在CP 2523已经向5GC 2525执行注册的情况下，可以导出指示AKMA可用的信息。CP 2523可以通过向5GC2525网络的注册过程或安全模式命令(SMC)过程发送关于是否支持AKMA的信息，并且可以从5GC 2525的AMF或AUSF接收指示5GC 2525支持AKMA的信息。CP 2523可以通过上述能力信息交换过程确定是否支持AKMA。如果确定AKMA可用，则CP 2523可以以与步骤2502相同的方式向EEC 2522发送这样的信息，并且EEC 2522可以识别是否支持AKMA。在步骤2503中，UE2521中的EEC 2522可以确定访问的3GPP核心网型(CN类型)信息和可能的认证方法是否可用。基于该信息，EEC 2522可以选择可用的认证方法以用于执行EEC 2522认证和授权过程。

在步骤2504中，EEC 2522向ECS 2527发送供应请求消息。供应请求消息可以包括关于EEC ID、GPSI、PLMN ID、CN类型和支持的EEC认证方法中至少之一的信息。在步骤2504中，EEC 2522使用在EEC 2522中预设的ECS 2527的地址(对应于图24中实施例的ECS 2430)向ECS 2527发送供应请求消息。供应请求消息可以包括关于EEC 2522标识符、GPSI、服务PLMN ID、归属PLMN ID、3GPP核心网型(CN类型)和用于EEC 2522的可用认证方法列表中的至少一个的信息。在步骤2504中接收供应请求消息的ECS 2527识别供应请求消息中包括的安全凭证，并确定是否已经进行了认证。对于不包括适当安全凭证的认证供应消息来说，ECS 2527可以确定将该消息重定向到AAF 2526，从而执行认证。已确定重定向到AAF 2526的ECS 2527可以向EEC 2522发送可用于AAF 2526的EEC认证方法的预设列表。此外，ECS2527可以向EEC 2522发送包括AAF2526的地址的信息、指示需要重定向的指示符以及执行重定向的原因。执行重定向的原因可以包括指示需要EEC认证/授权的指示符或指示包括在ECS 2527中的安全凭证不合适的信息。

在步骤2505中，ECS 2527向EEC 2522发送供应响应消息。供应响应消息可以包括关于AAF地址、重定向请求、支持的EEC认证方法和MNO认证请求中的至少一个的信息。在步骤2505中，EEC 2522接收供应响应消息。EEC 2522接收的供应响应消息包括AAF地址、重定向请求、指示需要EEC认证/授权的指示符以及AAF 2526支持的认证方法。

在步骤2506中，EEC 2522选择认证方法。UE 2521中的EEC 2522具有关于是否使用存储在EEC 2522中的用于认证的凭证(例如，用于EEC 2522的凭证和密钥)或使用通过用户接口直接收到的输入来提供认证方法的信息，以及从CP 2523接收的认证方法。在如上所述提供多个EEC认证方法的情况下，EEC 2522可以根据认证方法的优先级确定认证方法，优先级是通过预配置而在EEC 2522中定义的。可替代地，可以通过用户设置来改变认证方法的优先级。EEC 2522可以选择一种合适的认证方法，或者也可以选择多种认证方法。如果在步骤2502中EEC 2522当前连接到3GPP核心网，并且如果EEC 2522在步骤2505中接收到指示需要MNO认证的指示符，则EEC 2522必须通过3GPP核心网选择认证方法。例如，这种认证方法可以是EPC 2524网络中使用AKA认证的通用引导架构(GBA)认证方法、5GC 2525网络中的AKMA认证方法、应用层认证的AKMA方法等。另外，它可能是使用应用层协议的HTTP(超文本传输协议)AKA方法。可替代地，在ECS 2527是边缘计算服务提供商而不是移动通信服务提供商的情况下，步骤2505中的供应响应消息可以包括关于边缘计算服务提供商的信息，并且如果EEC 2522具有边缘计算服务提供商的标识符标识的认证信息，则EEC 2522可以通过关于边缘计算服务提供商的信息来选择认证方法。

在步骤2507中，EEC 2522向AAF 2526发送EEC 2522认证/授权请求消息。EEC 2522认证/授权请求消息可以包括关于EEC 2522ID、GPSI、PLMN ID中的至少一个的信息和安全凭证标识符(例如，AKMA密钥ID、GBA、ID-PW、证书等)。在步骤2507中，EEC 2522根据在步骤2506中选择的认证方法向AAF 2526发送EEC认证/授权请求消息。EEC认证/授权请求消息可以包括UE 2521的标识符(例如，通用公共订阅标识(GPSI)}、EEC 2522的标识符(EEC ID)、当前服务PLMN标识符和归属PLMN标识符。此外，EEC 2522可以向AAF 2526发送当前可用于UE 2521的安全凭证的列表。EEC 2522可以向AAF 2526发送可用凭证的列表或可用安全凭证的标识符。可替代地，EEC 2522可以发送支持的认证方法的列表。可用凭证标识符可以包括关于例如AKMA密钥标识符、GBA标识符、GBA请求指示符、对ID-PW认证的支持/不支持和证书中的至少一项的信息。

在步骤2508中，AAF 2526确定EEC 2522认证/授权方法。在步骤2508中，AAF 2526可以接收EEC 2522支持的多种认证方法和安全凭证标识符，并且可以通过AAF 2526中配置的信息和关于是否支持与3GPP网络交互的信息来确定认证方法。

例如，如果满足以下条件中的一个或多个，则AAF 2526可以将AKMA认证方法确定作为EEC认证方法。

1.EEC 2522当前连接到3GPP核心网。

2.EEC 2522接收到指示支持AKMA的指示符，或接收到AKMA密钥标识符。

3.AAF 2526能够与AAnF交互，该AAnF在由从EEC 2522接收的归属PLMN标识符标识的3GPP 5GC网络中提供AKMA密钥生成功能。

4.已确认通过NEF支持AKMA密钥生成。

可替代地，如果满足以下条件中的一个或多个，则AAF 2526可以选择GBA认证方法作为EEC认证方法。

1.在由归属PLMN标识符标识的归属PLMN网络中支持GBA。

2、EEC 2522当前连接3GPP核心网，连接的网络为EPC网络。

3.EEC 2522能够与GBA服务器交互。

4.从UE 2521接收到指示用于GBA交互的客户端功能可用的指示符。

在步骤2509中，AAF 2526向EEC 2522发送EEC 2522认证/授权响应消息。EEC 2522认证/授权响应消息可以包括关于所选择的EEC 2522安全凭证ID和所选择的认证方法中的至少一个的信息。在步骤2509中，AAF 2526将在步骤2508中确定的EEC认证方法发送到EEC2522。

如果选择了要在EEC认证方法中使用的安全凭证标识符，则在步骤2509中，AAF2526将所选择的安全凭证标识符(ID)发送到EEC 2522。

UE 2521根据确定的认证方法发送EEC认证请求。如果确定的认证方法是AKMA方法，则UE 2521生成AKMA密钥和AKMA密钥标识符。AKMA密钥可以通过向CP 2523发出请求来生成。为了生成AKMA密钥，EEC 2522可以通过在其中进一步包括EEC ID、ECSP标识符和用于识别边缘计算服务的指示符来生成AKMA密钥和AKMA密钥标识符。新生成的AKMA密钥可用于验证EEC 2522和AAF 2526之间的消息。在步骤2510中，EEC 2522使用新生成的AKMA密钥向AAF 2526发送消息。

在步骤2510中，EEC 2522向AAF 2526发送EEC认证/授权请求消息。EEC认证/授权请求消息可包括关于EEC ID、GPSI、PLMN ID、AKMA密钥ID和AKMA认证码(MAC)中至少之一的信息。在步骤2510中，AAF 2526从EEC 2522接收认证请求消息。认证请求消息可包括关于EEC ID、GPSI、PLMN ID、AKMA密钥ID和使用AKMA密钥认证的认证码中的至少之一的信息。

在步骤2511中，AAF 2526发现用作AKMA密钥ID的5GNF(即，AAnF地址)。AAF 2526发现为每个PLMN预设的5GC 2525网络的NEF或AAnF地址。可替代地，AAF 2526可以通过包含在由EEC 2522发送的认证请求消息中的AANF地址或到AAnF的路由信息来发现AAnF。

在步骤2512中，AAF 2526向5GC 2525发送AKMA密钥导出请求消息。AKMA密钥导出请求消息可以包括关于GPSI和AKMA密钥ID中的至少一个的信息。在步骤2512中，AAF 2526向5GC 2525发送AKMA密钥导出请求消息。

在步骤2513中，5GC 2525向AAF 2526发送AKMA密钥导出响应消息。AKMA密钥导出响应消息可以包括关于EEC ID、GPSI、PLMN ID、CN类型和AF键中至少之一的信息。5GC 2525使用指示ECSP标识符、EEC ID等的信息作为参数从与订户对应的AKMA密钥ID、ECSP标识符、GPSI和AUSF密钥导出AKMA密钥。在步骤2513中，5GC 2525将导出的AKMA密钥发送到AAF2526。

在步骤2514中，AAF 2526执行验证。从5GC 2525网络接收AKMA密钥的AAF 2425验证在步骤2510中接收到的AKMA认证码。

在步骤2515中，AAF 2526向5GC 2525发送对边缘计算相关配置文件(例如，GPSI)的请求消息。如果验证成功，则AAF 2526直接向3GPP 5GC 2525网络中的UDM请求边缘计算相关信息。AAF 2526可以经由5GC 2525网络中的NEF发送对边缘计算相关信息的请求。

在步骤2516中，5GC 2525向AAF 2526发送包括边缘计算相关配置文件的响应消息。AAF 2526从5GC 2525网络接收边缘计算相关订户信息。边缘计算相关订户信息可以包括以下信息中的至少一项。

1.边缘计算服务配置文件标识符

2.边缘计算服务配置文件索引

3.订户类别信息和订户级别中的至少一项

4.关于用户是否订阅边缘计算服务的信息

5.边缘计算服务提供商(ECSP)许可的S-NSSAI和DNN的列表

6.许可用于边缘计算目的的S-NS SAI或DNN的列表

7.边缘计算协议下的ECSP标识符的列表

8.应用配置文件：

8-1.关于UE 2521和应用层边缘应用服务器(EAS)之间的最小和最大延迟的信息

8-2.关于应用层中的传输速率的信息：最大传输速率和平均传输速率

8-3.所需的计算资源信息：CPU/GPU的最大和平均性能，CPU/GPU类型以及所需的内存和存储器尺寸

9.满足应用配置文件条件的S-NSSAI和DNN的列表

10.S-NSSAI和DNN、S-NSSAI和DNN满足的应用配置文件信息或预定义应用配置文件条件的应用配置文件索引

在步骤2517中，AAF 2526使用边缘计算相关配置文件执行访问令牌的生成。AAF2526可以基于从3GPP核心网接收到的边缘计算配置文件信息来生成访问令牌。用于边缘计算访问的访问令牌包括以下信息中的至少一项。

1.令牌发布日期

2.到期时间

3.应用配置文件索引

4.订阅级别

5.订阅类别

6. 3GPP核心网运营商PLMN标识符

7.关于发布令牌的ECSP或PLMN的信息

8.关于EEC 2522中可用于边缘计算的S-NSSAI和DNN的信息

9.令牌发布者的签名：该签名是能够验证令牌内容的认证码并且使用发布的AKMA密钥来生成。

可以使用AKMA密钥对发布的边缘计算访问令牌进行加密。

在步骤2518中，AAF 2526向EEC 2522发送EEC认证/授权响应消息。EEC认证/授权响应消息可以包括关于认证结果和访问令牌中的至少一个的信息。在步骤2517中发布的边缘计算访问令牌与在步骤2518中的认证结果一起被发送到UE 2521。

在步骤2518之后，EEC 2522可以使用AKMA密钥解密所发送的访问令牌。另外，当后面与ECS 2527(对应于图24实施例中的ECS 2430)和EES(对应于图24实施例中的EES 2424)交互时，EEC 2522可以使用该访问令牌。此外，如果UE 2521的应用客户端请求切片，则EEC2522可以请求访问在该访问令牌中指定的指定切片。如果应用客户端请求特定切片，但是EEC 2522接收到的访问令牌中允许的边缘计算配置文件信息不包括关于应用客户端请求的特定切片的信息，则EEC 2522可以拒绝应用客户端的生成新切片的请求。如果应用客户端请求使用特定DNN或生成特定DNN，则EEC 2522识别出访问令牌是否包括关于该特定DNN的信息。如果在允许的DNN信息中不包括关于该特定DNN的信息，则EEC 2522可以拒绝应用客户端请求的使用该特定DNN或生成该特定DNN的请求。可替代地，EEC 2522可以使用不同于所请求的特定DNN的DNN向应用客户端提供服务。

权利要求中公开的方法和/或根据本公开说明书中描述的各种实施例的方法可以通过硬件、软件或硬件和软件的组合来实现。

当这些方法由软件实现时，可以提供一种用于存储一个或多个程序(软件模块)的计算机可读存储介质。存储在计算机可读存储介质中的一个或多个程序可以被配置为由电子设备内的一个或多个处理器执行。至少一个程序可以包括使电子设备执行根据如所附权利要求限定的和/或本文公开的本公开的各种实施例的方法的指令。

程序(软件模块或软件)可以存储在非易失性存储器中，所述非易失性存储器包括随机存取存储器和闪存、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、磁光盘存储设备、压缩光盘-ROM(CD-ROM)、数字多功能光盘(DVD)或其他类型的光学存储设备或磁带。可替代地，它们中的一些或全部的任意组合可形成存储程序的存储器。此外，电子设备中可以包括多个这样的存储器。

此外，程序可以存储在可附接的存储设备中，该可附接的存储设备可通过诸如互联网、内联网、局域网(LAN)、广域网(WLAN)和存储区域网络(SAN)或它们的组合的通信网络接入电子设备。这种存储设备可以通过外部端口接入电子设备。此外，通信网络上的单独存储设备可以接入便携式电子设备。

在上述详细描述的本公开实施例中，根据所呈现的详细实施例，包括在本公开中的元素以单数或复数表示。然而，为了描述的方便，根据所呈现的情况适当地选择单数形式或复数形式，并且本公开不限于以单数或复数表示的元素。因此，以复数表示的元素也可以包括单个元素，或者以单数表示的元素也可以包括多个元素。

虽然已经参考本公开各种实施例示出和描述了本公开，但是本领域技术人员将理解，在不脱离如由所附权利要求及其等效物定义的本公开的精神和范围的情况下，可以在其中进行形式和细节的各种改变。