(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210948364.7 (22)申请日 2022.08.08 (71)申请人 国网智能电网研究院有限公司 地址 102209 北京市昌平区未来科技城 滨 河大道18号 申请人 国网浙江省电力有限公司信息通信 分公司　 国家电网有限公司 (72)发明人 张小建　王齐　高鹏　郭亚琼　 陆鑫　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 刘静 (51)Int.Cl. H04W 12/06(2021.01)H04W 12/069(2021.01) H04W 12/08(2021.01) H04L 9/32(2006.01) H04L 67/10(2022.01) (54)发明名称 一种面向5G边缘计算节点的用户可信接入 系统及方法 (57)摘要 本发明提供一种面向5G边缘计算节点的用 户可信接入系统及方法， 系统包括： 用户终端UE、 目标容器、 UPF、 UDM、 宿主机及MEC控制器， UE为目 标容器的资源请求方， 向目标容器请求可信证据 进行可信验证， 目标容器的可信证据由其宿主机 的TPM和目标容器中的vTPM提供； UPF为远程证明 的通信代理， 分别对UE和目标容器进行可信验 证； UDM为UE的可信验证节点为UE颁发证书和验 证可信证据； MEC控制器是容器的可信验证节点， 为目标容器、 宿主机的TPM颁发AIK证书和验证可 信证据， 基于 该系统采用远程证明方法对UE和容 器运行时环境双向可信认 证， 既保证了UE的接入 容器的身份可信， 又保证了访问双方运行环境可 信。 权利要求书3页 说明书8页 附图3页 CN 115334506 A 2022.11.11 CN 115334506 A 1.一种面向5G边缘计算节点的用户可信接入系统， 其特征在于， 包括： 用户终端UE、 目 标容器、 用户面功能网元UPF、 统一数据管理功能网元UDM、 宿主机及M EC控制器， 其中： UE为目标容器的资源请求方， 通过向目标容器请求可信证据， 对其进行可信验证， 目标 容器的可信证据由目标容器所在的宿 主机的可信平台模块TP M和目标容器中的虚拟可信计 算模块vTPM提供； UPF为远程证明的通信代理， 在收到UE发送的远程证明请求后， 联合UDM验证UE是否可 信， 其中UDM为UE的可信验证节点， 用于为UE颁发认证密钥证书和 验证可信证据； UE可信验 证通过后， UPF联合MEC控制器验证目标容器是否可信， 其中MEC控制器是目标容器的可信验 证节点， 用于为目标容器、 宿主机的TPM颁发AIK证书和验证可信证据； UE和目标容器均通过 可信验证后， UPF允许UE与目标容器之间建立 通信。 2.根据权利要求1所述的面向5G边缘计算节点的用户可信 接入系统， 其特征在于， 所述 UE向UPF发起远程证明请求之前， 所述UE、 目标容器、 MEC控制器和UDM进行安全初始化， 包 括： 所述UE中内置TPM模块， UE在注册时由UDM为其发放TPM的AIK密钥AIK1， 初始化启动时 将度量后的PCR值发送至UDM的基准 值库， 用于提供验证UE是否可信的度量基准 值； 宿主机的TPM从MEC控制器处获取身份证明密钥为AIK2， 所述宿主机初始化启动， 将度 量后的PCR值发送至MEC控制器的基准值库， 以及， 容器初始化， 宿主机的TPM为目标容器上 的vTPM实例签发虚拟身份证明密钥的证书CvAIK1， 密钥为vAIK1， 目标容器启动时， 利用 vTPM进行度量， 并将度量后的vPCR值发送至宿主机中的虚拟基准值库， 用于提供验证目标 容器是否可信的度量基准 值。 3.一种面向5G边缘计算节点的用户可信 接入方法， 基于权利要求1或2任一所述的面向 5G边缘计算节点的用户可信接入系统， 其特 征在于， 包括： UE向UPF发起远程证明请求， UPF收到远程证明请求后， 联合UDM验证UE是否可信； 若UE可信验证通过， UPF 联合MEC控制器验证目标容器是否可信； 当UE和目标容器均通过 可信验证后， UPF允许UE与目标容器之间建立 通信。 4.根据权利要求3所述的面向5G边缘计算节点的用户可信 接入方法， 其特征在于， 所述 UE向UPF发起远程证明请求的步骤之前， 还包括： 对UE、 目标容器、 MEC控制器和UDM进行安全 初始化， 其过程包括： UE初始化启动时将度量后的PCR值发送至UDM的基准 值库； 在宿主机初始化启动时将度量后的PCR值发送至 MEC控制器的基准 值库； 容器初始化时， 宿主机的TPM为目标容器上的vTPM实例签发虚拟身份证明密钥的证书 CvAIK1， 密钥为vAIK1， 目标容器启动时， 利用vTPM进行度量， 并将度量后的vPCR值发送至宿 主机中的虚拟基准 值库。 5.根据权利要求3所述的面向5G边缘计算节点的用户可信 接入方法， 其特征在于， 所述 UPF收到远程证明请求后， 联合UDM验证UE是否可信的过程， 包括： UPF接收远程证明请求后， 向UDM发起UE可信证据验证请求； UDM对UE的可信证据进行验证， 并向UPF返回UE可信验证结果响应。 6.根据权利要求5所述的面向5G边缘计算节点的用户可信 接入方法， 其特征在于， 所述 UPF联合MEC控制器验证目标容器是否可信的过程， 包括：权　利　要　求　书 1/3 页 2 CN 115334506 A 2UPF向目标容器发起 容器可信证据获取请求； 目标容器接收到容器可信证据获取请求后， 生成容器可信证据响应发送至UPF； UPF接收到容器可信证据响应后， 向M EC控制器发送容器可信证据验证请求； MEC控制器接收容器可信证据验证请求， 联合宿主机对容器可信证据及容器可信进行 验证， 并向UPF返回容器验证响应结果。 7.根据权利要求6所述的面向5G边缘计算节点的用户可信 接入方法， 其特征在于， UE向 UPF发起远程证明请求的过程， 包括： UE生成随机数nonce1后， 向UPF发起远程证明请求， 远程证明请求包括： 目标容器ID、 随 机数nonce1、 UE_ID、 UE的可信证据， 其中UE的可信证据包括： UE的TPM中的可信 度量值PCR1、 TPM的ID以及使用密钥AIK1对PCR 1的签名S1。 8.根据权利要求7所述的面向5G边缘计算节点的用户可信接入方法， 其特征在于， UPF 接收远程证明请求后， 向UDM发起UE可信证据验证请求的过程， 包括： UPF接收远程证明请求后， 生成随机数nonce2， 并向UDM发起UE可信证据验证请求挑战， UE可信证据验证请求包括： 随机数n once2、 UE_ID、 所述UE的可信证据。 9.根据权利要求8所述的面向5G边缘计算节点的用户可信 接入方法， 其特征在于， 所述 UDM对UE的可信证据进行验证， 并向UPF返回UE可信验证结果响应的过程， 包括： UDM记录UE可信证据验证请求中的n once2， 并对UE的可信证据进行验证； UDM首先对签名S1进行验证， 确认UE的身份信息是否有效； UDM验签完成后将PCR1值与存储的UE的TPM的PCR基准值进行对比， 若一致， 判定UE可 信； 判定UE可信后， UDM向UPF返回包 含UE可信验证结果的UE可信验证响应； UE可信验证响应包括： 随机数n once2’、 UE_ID、 UE可信验证结果Suc cess/Failure； UPF接收UE可信验证响应， 通过验证随机数nonce2 ’与nonce2是否相同来判断会话是否 有效， 若一 致， 则会话有效； 若会话有效， UPF读取UE可信验证结果 为Success， UE可信验证通过， 继续验证； 若可信验证结果 为Failure， UPF断开与UE的连接； 若可信验证结果为Success， UPF生成随机数nonce3， 向目标容器发起容器可信证据获 取请求， 容器可信证据获取请求包括目标容器ID、 随机数n once3。 10.根据权利要求9所述的面向5G边缘计算节点的用户可信接入方法， 其特征在于， 所 述目标容器接收容器可信证据获取请求后， 生成容器可信证据响应， 发送至UPF的过程， 包 括： 容器可信证据响应包括随机数nonce3 ’和目标容器的可信证据， 可信证据包括MEC宿主 机的TPM的可信度量值PCR2， 以及使用AIK2对PCR2的签名S2； 目标容器中的vTPM实例的可信 度量值vPCR1， 以及使用密钥vAIK1对 vPCR1的签名S3 。 11.根据权利要求10所述的面向5G边缘计算节点的用户可信 接入方法， 其特征在于， 所 述UPF接收到容器可信证据响应后， 向M EC控制器发送容器可信证据验证请求的过程， 包括： UPF接收容器可信证据响应后， 通过验证随机数nonce3 ’与nonce3是否相同来判断会话 是否有效； 若有效， UPF生成随机数nonce4， 并向MEC控制器发送容器可信证据验证请求挑战， 容器权　利　要　求　书 2/3 页 3 CN 115334506 A 3