CN114788245A - 网络管理 - Google Patents

Abstract

根据本发明的示例方面，提供了一种装置，该装置包括：被配置为存储安全信息的存储器；以及至少一个处理核，该至少一个处理核被配置为通过定义关于精确时间协议消息的用户平面传送的安全策略来生成安全信息，并且通过向至少一个网络节点传输安全信息来指示至少一个网络节点实现安全策略。

Description

网络管理

技术领域

本公开涉及通信网络的管理。

背景技术

跨越一个或多个通信系统的通信可以被划分为不同业务类别。例如，对话式电话呼叫可能比在后台执行的软件更新具有更严格的延迟要求，用户甚至不会注意到在后台执行的软件更新正在进行。

不同通信系统和网络具有不同机制来强制执行业务规则，以向用户提供系统已经被设计来提供的那种性能。同样，不同通信系统具有不同方法来处理定时。

发明内容

根据一些方面，提供了独立权利要求的主题。在从属权利要求中定义了一些实施例。本发明的各种实施例所寻求的保护范围由独立权利要求规定。在本说明书中描述的不属于独立权利要求的范围的实施例、示例和特征(如果有的话)应当被解释为对理解本发明的各种实施例有用的示例。

根据本公开的第一方面，提供了一种装置，该装置包括：被配置为存储安全信息的存储器；以及至少一个处理核，该至少一个处理核被配置为通过定义关于精确时间协议消息的用户平面传送的安全策略来生成安全信息，并且通过向至少一个网络节点传输安全信息来指示至少一个网络节点实现安全策略。

根据本公开的第二方面，提供了一种方法，该方法包括：存储安全信息，通过定义关于精确时间协议消息的用户平面传送的安全策略来生成安全信息，以及通过向至少一个网络节点传输安全信息来指示至少一个网络节点实现安全策略。

根据本公开的第三方面，提供了一种装置，该装置包括用于以下操作的部件：存储安全信息，通过定义关于精确时间协议消息的用户平面传送的安全策略来生成安全信息，以及通过向至少一个网络节点传输安全信息来指示至少一个网络节点实现安全策略。

根据本公开的第四方面，提供了一种非暂态计算机可读介质，该非暂态计算机可读介质其上存储有计算机可读指令集合，该计算机可读指令集合在由至少一个处理器执行时引起装置至少：存储安全信息，通过定义关于精确时间协议消息的用户平面传送的安全策略来生成安全信息，以及通过向至少一个网络节点传输安全信息来指示至少一个网络节点实现安全策略。

根据本公开的第五方面，提供了一种计算机程序，该计算机程序被配置为引起装置至少执行以下操作：存储安全信息，通过定义关于精确时间协议消息的用户平面传送的安全策略来生成安全信息，以及通过向至少一个网络节点传输安全信息来指示至少一个网络节点实现安全策略。

附图说明

图1示出了根据本发明的至少一些实施例的可用的示例系统；

图2A示出了根据本发明的至少一些实施例的示例系统；

图2B示出了根据本发明的至少一些实施例的示例系统；

图3示出了能够支持本发明的至少一些实施例的示例装置；

图4示出了根据本发明的至少一些实施例的信令；以及

图5是根据本发明的至少一些实施例的方法的流程图。

具体实施方式

根据本公开，网络装置(诸如用作会话管理功能的装置)可以为时间协议消息(诸如精确时间协议消息)的用户平面传送设置安全策略。这可以在包括网络装置的通信系统被配置为充当用于时间敏感联网的逻辑网桥时发生，该逻辑网桥位于两个时间感知系统之间。网络装置可以被配置为将安全策略设置为要求完整性保护、机密性保护或完整性保护和机密性保护两者。设置(多个)保护有利于由时间协议消息提供的计时可靠性，因为对它们的篡改是受控的。网络装置可以被配置为基于来自时间敏感联网适配器功能的触发或基于确定网络装置接收的消息来自时间敏感通信应用功能来设置安全策略。例如，网络装置可以通过将定义安全策略的安全信息传输给诸如gNB的基站节点来设置安全策略。从而基站节点被指示实现安全策略。

图1示出了根据至少一些实施例的可用的示例系统。在下文中，将使用基于高级长期演进(高级LTE(LTE-A))或新无线电(NR)(也称为第五代(5G))的无线电接入架构作为可以应用实施例的接入架构的示例来描述不同的示例性实施例，而没有将实施例限制为这样的架构。本领域技术人员已知，通过适当地调节参数和过程，实施例也可以应用于具有合适的模块的其他种类的通信网络。适用于系统的其他选项的一些示例是通用移动电信系统(UMTS)无线电接入网(UTRAN或E-UTRAN)、长期演进(LTE，与E-UTRA相同)、无线局域网(WLAN或WiFi)、全球微波接入互操作性(WiMAX)、

个人通信服务(PCS)、

宽带码分多址(WCDMA)、使用超宽带(UWB)技术的系统、传感器网络、移动自组织网络(MANET)和互联网协议多媒体子系统(IMS)或其任何组合。图1描绘了简化的系统架构的示例，其仅示出了一些元件和功能实体，它们都是逻辑单元，其实现可以与所示出的有所不同。图1所示的连接是逻辑连接；实际物理连接可以不同。该系统还可以包括除了图1所示的之外的其他功能和结构。

图1的示例示出了示例性无线电接入网的一部分。图1示出了用户设备100和102，用户设备100和102被配置为在小区中的一个或多个通信信道上与提供小区的接入节点(诸如(e/g)NodeB)104进行无线连接。从用户设备到(e/g)NodeB的物理链路称为上行链路或反向链路，而从(e/g)NodeB到用户设备的物理链路称为下行链路或前向链路。应当理解，(e/g)NodeB或其功能可以通过使用适合于这种用法的任何节点、主机、服务器或接入点等实体来实现。通信系统通常包括一个以上的(e/g)NodeB，在这种情况下，(e/g)NodeB也可以被配置为通过为该目的而设计的有线或无线链路彼此通信。这些链路可以用于信令目的。(e/g)NodeB是计算设备，被配置为控制其耦合到的通信系统的无线电资源。NodeB也可以称为基站、接入点、或任何其他类型的接口设备，包括中继站，诸如能够在无线环境中操作的IAB(集成接入和回程)节点的DU(分布式单元)部分。DU部分可以促进IAB节点的gNB功能。(e/g)NodeB包括或耦合到收发器。从(e/g)NodeB的收发器，向天线单元提供有连接，该天线单元建立到用户设备的双向无线电链路。天线单元可以包括多个天线或天线元件。(e/g)NodeB104还连接到核心网110(CN或下一代核心NGC)。取决于系统，CN侧的对方可以是服务网关(S-GW，路由和转发用户数据分组)、用于提供用户设备(UE)到外部分组数据网络的连接的分组数据网络网关(P-GW)、或移动管理实体(MME)等。

用户设备(user device)(也称为UE、用户设备(user equipment)、用户终端、终端设备等)示出了一种类型的装置，空中接口上的资源被分配和指派给该装置，并且因此本文中与用户设备一起描述的任何特征可以用对应装置来实现，还包括中继节点。这种情况的一个示例是IAB节点的MT(移动终止)部分，它为IAB节点提供回程连接。

此外，虽然装置已经被描述为单个实体或功能，但不同单元、处理器和/或存储器单元(未全部在图1中示出)可以在这些装置内实现，以支持其功能。

5G支持使用多输入多输出(MIMO)天线、比LTE(所谓的小小区概念)更多的基站或节点，包括与较小站点协作运行并且根据服务需求、用例和/或可用频谱而采用多种无线电技术的宏站点。5G移动通信支持广泛的用例和相关应用，包括视频流、增强现实、不同数据共享方式和各种形式的机器类型应用(诸如(大规模)机器类型通信(mMTC)，包括车辆安全、不同的传感器和实时控制)。预计5G将具有多个无线电接口，即，6GHz以下、厘米波(cmWave)和毫米波(mmWave)，并且还可以与诸如LTE等现有传统无线电接入技术集成。与LTE的集成可以至少在早期实现为系统，其中宏覆盖由LTE提供并且5G无线接口接入通过聚合到LTE而来自小小区。换言之，5G计划同时支持RAT间可操作性(诸如LTE-5G)和RI间可操作性(无线电接口间可操作性，诸如6GHz以下到cmWave、6GHz以下到cmWave到mmWave)。要在5G网络中使用的概念中的一个是网络切片，其中可以在同一基础设施内创建多个独立并且专用的虚拟子网络(网络实例)以运行对延迟、可靠性、吞吐量和移动性有不同要求的服务。

通信系统还能够与诸如公共交换电话网络或互联网112等其他网络通信，或利用由它们提供的服务。该系统可以充当另外的系统之间的网桥。通信网络还可以能够支持云服务的使用，例如核心网操作的至少一部分可以作为云服务(这在图1中由“云”114描绘)来执行。通信系统还可以包括为不同运营商的网络提供设施，以例如在频谱共享中协作的中央控制实体等。

通过利用网络功能虚拟化(NVF)和软件定义网络(SDN)，可以将边缘云引入无线电接入网(RAN)。使用边缘云可以表示接入节点操作至少部分在可操作地耦合到包括无线电部件的远程无线电头端或基站的服务器、主机或节点中执行。节点操作也可以分布在多个服务器、节点或主机之间。cloudRAN架构的应用使得RAN实时功能能够在RAN侧(在分布式单元DU 104中)执行，并且非实时功能能够以集中式方式(在集中式单元CU 108中)执行。

5G还可以利用卫星通信来增强或补充5G服务的覆盖范围，例如通过提供回程。可能的用例包括为机器对机器(M2M)或物联网(IoT)设备或车上乘客提供服务连续性，或者确保关键通信和未来铁路/海事/航空通信的服务可用性。卫星通信可以利用地球静止轨道(GEO)卫星系统，也可以利用近地轨道(LEO)卫星系统，特别是巨型星座(其中部署有数百颗(纳米)卫星的系统)。星座中的每个卫星106可以覆盖创建地面小区的若干个支持卫星的网络实体。地面小区可以通过地面中继节点104或由位于地面或卫星中的gNB来创建。

系统可以包括多个(e/g)NodeB，用户设备可以访问多个无线电小区，并且该系统还可以包括其他装置，诸如物理层中继节点或其他网络元件。例如，蜂窝无线电系统可以实现为包括多种小区(诸如宏小区、微小区和微微小区)的多层网络。通常，在多层网络中，一个接入节点提供一种或多种小区，并且因此提供这样的网络结构需要多个(e/g)NodeB。gNodeB可以更简洁地表示为gNB。

图2A示出了根据本发明的至少一些实施例的可用的示例系统。5G时域201包括5G系统时钟210，5G系统时钟210向gNB 220、用户设备UE 230、设备侧时间敏感联网转换器DS-TT 240、用户平面功能UPF 260和被包括在UPF 260中的网络侧时间敏感联网转换器NW-TT265提供同步。DS-TT 240可以至少部分或全部被包括在UE 230中。gNB 220是5G系统的基站并且被包括在无线电接入网RAN中，RAN可以包括若干基站。单独的时间敏感联网TSN工作域202与UPF 260接口。该域包括TSN网桥270、TSN主时钟280和终端站290。设备侧TSN终端站250设置在5G系统的另一侧，使得5G系统充当TSN终端站250与TSN工作域202之间的网桥。转换器DS-TT和NW-TT用于向5G系统桥接的TSN系统隐藏5G系统的内部功能的目的。TSN主时钟280提供TSN工作域202使用的时间。

为了支持TSN时间同步，5G系统(也称为5GS)与外部系统202、250集成为TSN网桥。5GS可以被视为电气和电子工程师协会IEEE 802.1AS兼容实体。对于TSN同步，整个端到端5G系统可以被视为时间感知系统，例如IEEE 802.1AS时间感知系统。位于5G系统的边缘处的TSN转换器(TT)可以被配置为支持IEEE 802.1AS操作。UE 230、gNB 220、UPF 260、NW-TT265和DS-TT 240与用于保持这些网络元件同步的5G系统时钟210同步。位于5G系统的边缘处的TT实现了与TSN相关的功能，诸如gPTP支持、时间戳、最佳主时钟算法(BMCA)和速率比。

精确时间协议(诸如gPTP)通信路径可以包括精确时间协议域的片段，该片段使得能够在两个时间感知系统之间进行直接通信。精确时间协议可以指定时间感知系统在桥接分组交换局域网上的操作。时间感知桥接局域网由通过支持精确时间协议的局域网互连的多个时间感知系统组成。通过支持精确时间协议的局域网互连的一组时间感知系统称为精确时间协议域，例如gPTP域。有两种类型的时间感知系统：a)时间感知端点站，如果不是主站(grandmaster)，则它是时间信息的接收方，以及b)时间感知网桥，如果不是主站，则它从主站接收时间信息。主时钟被认为是最可靠的。时间信息可以通过其他时间感知网桥间接接收。非主时间感知网桥可以应用校正以补偿局域网和网桥本身的延迟，并且向前重新传输校正后的信息。

精确时间协议(诸如gPTP)中的时间同步可以由将包括当前同步时间的信息发送给所有附接的时间感知系统的主站来进行，包括经由桥接而附接的系统。这些时间感知系统中的每个系统可以通过添加信息从主站传输通信路径所需要的传播时间来校正所接收的同步时间。如果时间感知系统是时间感知网桥，则它可以将校正后的时间信息(可选地包括对转发过程中的延迟的附加校正)转发给其他附接的时间感知系统。因此，精确时间协议(诸如gPTP)可以用于经由充当网桥的5G系统来建立包括系统250和202的统一时域。

因此，一般来说，精确时间协议消息可以包括由主站插入的时间指示、以及由转发精确时间协议消息的节点插入的补充指示，补充指示指明每次转发花费了多长时间，以使得接收消息的节点能够将补充指示应用于时间指示以获取同步。

图2B示出了根据本发明的至少一些实施例的示例系统。5G系统充当两侧的TSN系统之间的逻辑TSN网桥。与图2A相比，基站gNB被包括在无线电接入网(R)AN中，并且示出了控制元件。具体地，图2B中示出了接入和移动性管理功能AMF、统一数据管理UDM节点、网络公开功能NEF、策略控制功能PCF、TSN适配器功能TSN AF和会话管理功能SMF。用户平面(U平面)桥接在UPF和RAN之上，而控制平面桥接在TSN AF之上。图2B还命名了逻辑元素之间的接口，诸如SMF与UPF之间的N4、以及NEF与TSN AF之间的N33。在不同的技术或技术版本中，这些接口名称可以与图示的有所不同，因此本公开并不限制这些接口名称。

对于需要通过5GS作为整个TSN系统中的网桥的时间同步，设备侧TSN转换器DS-TT和网络侧TSN转换器NW-TT可以被配置为支持精确时间协议，诸如在IEEE规范(诸如IEEE802.1AS)中定义的广义精确时间协议gPTP。由于充当TSN中的网桥的5GS中的时间敏感通信TSC服务的时间信息具有中心相关性，用户平面中的时间同步(例如，5G系统时钟或TSN主时钟的分配、时间戳)所需要的精确时间协议消息的传送将受益于由安全策略定义的保护。这表示，对于包括桥接功能的TSC服务，5GS可以被配置为在用户平面中传递精确时间协议消息时强制执行用户平面UP机密性和UP完整性保护。可能还需要防重放(anti-reply)保护。这表示，在控制平面中的会话建立时，会话管理功能SMF必须意识到对对应分组数据单元PDU会话的这种强制执行，使得它可以向基站(诸如无线电接入网RAN的一个或多个gNB)提供对应安全策略。由TT在5GS的边界处理的精确时间协议消息然后根据安全策略在5GS的用户平面中透明地传送。

为了发起安全策略，TSN AF可以提供显式触发以在使用TSC服务时在用户平面中强制执行完整性和机密性保护，以安全地传送精确时间协议消息，或者如果安全相关信息由TSN AF提供，则SMF可以具有检测机制以设置安全策略。该检测机制可以包括检测TSN AF是在SMF中接收的消息的发送方。例如，该消息可以与初始化5G系统的网桥功能有关。无论哪种方式，SMF都可以确定安全策略适用于桥接PDU会话。

通常，SMF可以被配置为提供会话建立、会话修改和/或会话释放功能。会话建立可以包括在UPF与接入节点(诸如gNB)之间建立隧道连接。SMF可以在PDU会话建立过程中向ng-eNB或gNB提供PDU会话的UP安全策略。SMF可以基于从TSN AF接收的信息来确定TSCAI。因此，TSN AF可以触发或请求SMF在TSN系统之间建立桥接会话。PDU会话用户平面安全过程的示例在3GPP文档TS23.501(版本16.2.0)第5.10.3章中进行了描述。TSN概念和过程的示例在同一文档中的第5.27章和第5.28章中进行了描述。

响应于确定安全策略是适当的，SMF可以在用户平面中为5G TSC安全策略生成安全信息。这可以基于TSN AF接收的信息。传送所生成的安全信息至少有两种替代方案，首先，安全信息可以是TSC辅助信息TSCAI的一部分，或者可以单独传送。在第一选项中，TSCAI可以包括用于定义安全策略的信息的安全信息字段。在第二选项中，可以使用不同于TSCAI的安全信息元素。例如，这样的信息元素可以命名为TSC安全信息TSCSI。在NW-TT处理它们包含的时间信息之后，定义安全策略的安全信息可以用作触发并且由SMF提供给gNB，以用于精确时间协议消息的传送的PDU会话。gNB可以响应地将安全策略应用于精确时间协议消息的用户平面传输。

所获取的技术益处在于，可以确保NW-TT和DS-TT具有在精确时间协议中递送的正确时间信息，诸如gPTP、5G系统的桥接PDU会话的消息、或在充当网桥的系统不是特定5G系统时不同系统的桥接PDU会话的消息。篡改时间信息被防止，并且时间不会泄露给桥接系统(例如，5GS)中存在的其他会话，从而提高了桥接TSN系统的安全级别，而不仅仅是桥接系统本身的安全级别。

图3示出了能够支持本发明的至少一些实施例的示例装置。图示的是设备300，设备300可以包括例如诸如图2B的SMF等网络节点。被包括在设备300中的是处理器310，处理器310可以包括例如单核或多核处理器，其中单核处理器包括一个处理核，并且多核处理器包括一个以上的处理核。处理器310通常可以包括控制设备。处理器310可以包括一个以上的处理器。处理器310可以是控制设备。处理核可以包括例如由安谋控股(ARM Holdings)制造的Cortex-A8处理核或由先进微设备公司(Advanced Micro Devices Corporation)设计的Steamroller处理核。处理器310可以包括至少一个高通骁龙(Qualcomm Snapdragon)和/或英特尔凌动(Intel Atom)处理器。处理器310可以包括至少一个专用集成电路ASIC。处理器310可以包括至少一个现场可编程门阵列FPGA。处理器310可以是用于在设备300中执行诸如存储、生成和传输等方法步骤的部件。处理器310可以至少部分由计算机指令配置为执行动作。

处理器可以包括电路系统，或者被构建成为一个或多个电路系统，该一个或多个电路系统被配置为执行根据本文中描述的实施例的方法的各个阶段。如在本申请中使用的，术语“电路系统”可以是指以下中的一项或多项或全部：(a)仅硬件电路实现，诸如仅在模拟和/或数字电路系统中的实现，以及(b)硬件电路和软件，诸如适用于：(i)(多个)模拟和/或数字硬件电路与软件/固件的组合，以及(ii)具有软件的(多个)硬件处理器(包括(多个)数字信号处理器)、软件和(多个)存储器的任何部分，它们一起工作以引起装置(诸如服务器)执行各种功能，以及(c)(多个)硬件电路和(多个)/或处理器，诸如(多个)微处理器或(多个)微处理器的一部分，其需要软件(例如，固件)进行操作，但当不需要软件进行操作时，该软件可以不存在。

该电路系统的定义适用于该术语在本申请中的所有使用，包括在任何权利要求中。作为另一示例，如在本申请中使用的，术语电路系统还涵盖仅硬件电路或处理器(或多个处理器)、或硬件电路或处理器的一部分及其(或它们的)随附软件和/或固件的实现。例如，如果适用于特定权利要求元素，术语电路系统还涵盖用于移动设备的基带集成电路或处理器集成电路、或者服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。

设备300可以包括存储器320。存储器320可以包括随机存取存储器和/或永久存储器。存储器320可以包括至少一个RAM芯片。例如，存储器320可以包括固态、磁、光和/或全息存储器。存储器320可以至少部分由处理器310访问。存储器320可以至少部分被包括在处理器310中。存储器320可以是用于存储信息的部件。存储器320可以包括处理器310被配置为执行的计算机指令。当被配置为引起处理器310执行某些动作的计算机指令存储在存储器320中，并且设备300整体被配置为使用来自存储器320的计算机指令在处理器310的指导下运行时，处理器310和/或其至少一个处理核可以被认为被配置为执行上述某些动作。存储器320可以至少部分被包括在处理器310中。存储器320可以至少部分在设备300外部，但由设备300可访问。

设备300可以包括传输器330。设备300可以包括接收器340。传输器330和接收器340可以被配置为根据至少一种蜂窝或非蜂窝标准相应地传输和接收信息。传输器330可以包括一个以上的传输器。接收器340可以包括一个以上的接收器。例如，传输器330和/或接收器340可以被配置为根据全球移动通信系统GSM、宽带码分多址WCDMA、5G、长期演进LTE、IS-95、无线局域网WLAN、以太网和/或全球微波接入互操作性WiMAX标准进行操作。传输器330和/或接收器340每个可以是有线的或至少部分是无线的。

设备300可以包括用户接口UI 360。UI 360可以包括显示器、键盘、触摸屏、扬声器和麦克风中的至少一种。用户能够经由UI 360来操作设备300，例如以配置安全规则。

处理器310可以配备有传输器，该传输器被布置为将信息从处理器310经由设备300内部的电引线输出到设备300中包括的其他设备。这样的传输器可以包括串行总线传输器，该串行总线传输器被布置为例如经由至少一根电引线将信息输出到存储器320以存储在其中。作为串行总线的替代方案，传输器可以包括并行总线传输器。同样，处理器310可以包括接收器，该接收器被布置为经由设备300内部的电引线从设备300中包括的其他设备接收处理器310中的信息。这样的接收器可以包括串行总线接收器，该串行总线接收器被布置为例如经由至少一根电引线从接收器340接收信息以在处理器310中进行处理。作为串行总线的替代方案，接收器可以包括并行总线接收器。

设备300可以包括图3中未示出的另外的设备。在一些实施例中，设备300不具有至少一个上述设备。

处理器310、存储器320、传输器330、接收器340和/或UI 360可以通过设备300内部的电引线以多种不同方式互连。例如，上述设备中的每个可以单独连接到设备300内部的主总线，以允许设备交换信息。然而，如本领域技术人员将理解的，这仅仅是一个示例，在不脱离本发明范围的情况下，取决于实施例，可以选择互连至少两个上述设备的各种方式。

图4示出了根据本发明的至少一些实施例的信令。在纵轴上，左侧是TSN AF，中间是SMF，右侧是gNB，或通常是RAN。时间从上往下推进。

在阶段410，TSN AF接收提示，例如来自TSN系统的请求，该TSN系统在TSN AF被包括在其中的系统的外部，以在TSN AF和SMF被包括在其中的系统之上向第三TSN系统发起桥接PDU会话。作为响应，TSN AF请求SMF参与所请求的桥接会话的建立。该请求在图4中示出为阶段420。

在阶段430，SMF确定应当应用与在用户平面中传送的精确时间协议消息(诸如gPTP消息)有关并且与桥接PDU会话有关的安全策略。阶段430的确定可以基于被包括在阶段420的(多个)消息中的指示，大意是所请求的会话是TSN桥接会话或明确需要安全策略，和/或基于确定阶段420的(多个)请求是在SMF中从TSN AF接收的，预计将处理TSN桥接会话。

在阶段440，SMF通过定义安全策略来生成安全信息。换言之，安全信息是以系统可以处理的格式表达的安全策略。例如，安全策略可以要求精确时间协议消息受到完整性保护、机密性保护、或完整性和机密性保护两者。作为另一示例，安全策略可以要求精确时间协议消息受到完整性和机密性保护以及防重放保护。

在阶段450，SMF通过向gNB(或RAN)传输安全信息来指示gNB或更一般地RAN实现安全策略。该消息或消息传递相当于SMF初始化TSC服务，其中系统充当TSN系统之间的网桥。作为响应，在阶段460，安全策略被gNB或更一般地RAN使用。

可以由NW-TT调节精确时间协议消息，UPF可以在将精确时间协议消息传送给网桥的用户侧的DS-TT之前评估它们的参数，并且检测和应用所实现的安全策略。

图5是根据本发明的至少一些实施例的方法的流程图。图示的方法的阶段可以在SMF、辅助设备或个人计算机中执行，或者在被配置为控制其功能的控制设备中(当安装在其中时)执行。

阶段510包括存储安全信息。阶段520包括通过定义关于精确时间协议消息的用户平面传送的安全策略来生成安全信息。最后，阶段530包括通过向至少一个网络节点传输安全信息来指示至少一个网络节点实现安全策略。

应当理解，所公开的本发明的实施例不限于本文中公开的特定结构、过程步骤或材料，而是扩展到相关领域的普通技术人员将认识到的其等同方案。还应当理解，本文中使用的术语仅用于描述特定实施例的目的，而不是限制性的。

本说明书通篇对一个实施例或实施例的引用表示结合该实施例描述的特定特征、结构或特性被包括在本发明的至少一个实施例中。因此，在整个说明书的各个地方的短语“在一个实施例中”或“在实施例中”的出现不一定都指代相同的实施例。在使用诸如大约或基本上等术语提及数值的情况下，也公开了准确的该数值。

如本文中使用的，为方便起见，多个项目、结构元素、组成元素和/或材料可以呈现在共同列表中。然而，这些列表应当被解释为好像列表的每个成员都被个体地标识为单独的和唯一的成员。因此，这样的列表中的任何个体成员均不应当仅基于其在一个共同组中的呈现(而没有相反的指示)而被解释为事实上等同于同一列表中的任何其他成员。此外，本发明的各种实施例和示例连同其各种组件的替代方案一起在本文中被提及。应当理解，这样的实施例、示例和替代方案不应当被解释为彼此事实上的等同方案，而是应当被视为本发明的单独和自主的表示。

此外，所描述的特征、结构或特性可以在一个或多个实施例中以任何合适的方式组合。在前面的描述中，提供了很多具体细节，诸如长度、宽度、形状等的示例，以提供对本发明的实施例的透彻理解。然而，相关领域的技术人员将认识到，本发明可以在没有一个或多个具体细节的情况下、或者用其他方法、组件、材料等来实践。在其他情况下，众所周知的结构、材料或操作未详细示出或描述，以避免混淆本发明的方面。

尽管前述示例在一个或多个特定应用中说明了本发明的原理，但是对于本领域普通技术人员来说很清楚的是，在形式、使用和实现细节方面可以做出很多修改，而无需发挥创造力，并且没有背离本发明的原理和概念。因此，本发明不意在受到限制，除了由以下提出的权利要求书限定。

动词“包括(to comprise)”和“包括(to include)”在本文档中用作开放限制，既不排除也不要求还存在未列举的特征。除非另有明确说明，否则从属权利要求中记载的特征可以相互自由组合。此外，应当理解，在本文档中对“一个(a)”或“一个(an)”(即，单数形式)的使用并不排除复数。

工业适用性

本发明的至少一些实施例在增强通信网络中的时间敏感通信服务(例如，通过强制执行安全策略)方面存在工业应用。

缩略语列表

3GPP：第三代合作伙伴项目

gPTP：广义精确时间协议

IEEE：电气和电子工程师学会

PDU：协议数据单元

SMF：会话管理功能

TSC：时间敏感通信

TSCAI：TSC辅助信息

TSCSI：TSC安全信息

TSN：时间敏感联网

TSN AF：TSN适配器功能

TT：TSN转换器(DS TT：设备侧TT，NW TT：网络侧TT)

Claims (23)

1.一种装置，包括：

存储器，被配置为存储安全信息；

至少一个处理核，被配置为通过定义关于精确时间协议消息的用户平面传送的安全策略来生成所述安全信息，以及通过向至少一个网络节点传输所述安全信息来指示所述至少一个网络节点实现所述安全策略。

2.根据权利要求1所述的装置，其中所述装置包括会话管理功能。

3.根据权利要求2所述的装置，其中所述会话管理功能被配置为初始化由第三代合作伙伴项目定义的时间敏感通信TSC服务。

4.根据权利要求3所述的装置，其中所述TSC服务包括使用第五代蜂窝通信系统作为两个时间敏感联网元件之间的网桥。

5.根据权利要求1至4中任一项所述的装置，其中所述装置被配置为在时间敏感通信辅助信息数据元素中执行所述安全信息的所述传输。

6.根据权利要求1至4中任一项所述的装置，其中所述装置被配置为在与时间敏感通信辅助信息数据元素不同的时间敏感通信安全信息数据元素中执行所述安全信息的所述传输。

7.根据权利要求1至6中任一项所述的装置，其中所述装置被配置为执行所述安全信息的所述生成，作为对来自时间敏感通信适配器功能的触发信号的响应。

8.根据权利要求1至6中任一项所述的装置，其中所述装置被配置为执行所述安全信息的所述生成，作为对由所述装置确定时间敏感通信适配器功能是在所述装置中接收的请求消息的发送方的响应。

9.根据权利要求1至8中任一项所述的装置，其中所述安全策略包括对精确时间协议消息的所述传送的以下要求中的至少一项：完整性保护、机密性保护和/或防重放保护。

10.根据权利要求1至9中任一项所述的装置，其中所述精确时间协议消息是符合由电气和电子工程师协会IEEE建立的标准的广义精确时间协议gPTP消息。

11.一种装置中的方法，包括：

存储安全信息；

通过定义关于精确时间协议消息的用户平面传送的安全策略来生成所述安全信息，以及

通过向至少一个网络节点传输所述安全信息来指示所述至少一个网络节点实现所述安全策略。

12.根据权利要求11所述的方法，其中所述装置包括会话管理功能。

13.根据权利要求12所述的方法，其中所述会话管理功能被配置为初始化由第三代合作伙伴项目定义的时间敏感通信TSC服务。

14.根据权利要求13所述的方法，其中所述TSC服务包括使用第五代蜂窝通信系统作为两个时间敏感联网元件之间的网桥。

15.根据权利要求11至14中任一项所述的方法，其中所述安全信息的所述传输在时间敏感通信辅助信息数据元素中被执行。

16.根据权利要求11至14中任一项所述的方法，其中所述安全信息的所述传输在与时间敏感通信辅助信息数据元素不同的时间敏感通信安全信息数据元素中被执行。

17.根据权利要求11至16中任一项所述的方法，其中所述安全信息的所述生成作为对来自时间敏感通信适配器功能的触发信号的响应而被执行。

18.根据权利要求11至16中任一项所述的方法，其中所述安全信息的所述生成作为对由所述装置确定时间敏感通信适配器功能是在所述装置中接收的请求消息的发送方的响应而被执行。

19.根据权利要求11至18中任一项所述的方法，其中所述安全策略包括对精确时间协议消息的所述传送的以下要求中的至少一项：完整性保护、机密性保护和/或防重放保护。

20.根据权利要求11至19中任一项所述的方法，其中所述精确时间协议消息是符合由电气和电子工程师协会IEEE建立的标准的广义精确时间协议gPTP消息。

21.一种装置，包括用于以下操作的部件：

存储安全信息；

通过定义关于精确时间协议消息的用户平面传送的安全策略来生成所述安全信息，以及

通过向至少一个网络节点传输所述安全信息来指示所述至少一个网络节点实现所述安全策略。

22.一种非暂态计算机可读介质，其上存储有计算机可读指令集合，所述计算机可读指令集合在由至少一个处理器执行时引起装置至少：

存储安全信息；

通过定义关于精确时间协议消息的用户平面传送的安全策略来生成所述安全信息，以及

通过向至少一个网络节点传输所述安全信息来指示所述至少一个网络节点实现所述安全策略。

23.一种计算机程序，被配置为引起装置至少执行以下操作：

存储安全信息；

通过定义关于精确时间协议消息的用户平面传送的安全策略来生成所述安全信息，以及

通过向至少一个网络节点传输所述安全信息来指示所述至少一个网络节点实现所述安全策略。

Images