CN116368751A - 消息传输方法及装置 - Google Patents

消息传输方法及装置 Download PDF

Info

Publication number
CN116368751A
CN116368751A CN202080106387.2A CN202080106387A CN116368751A CN 116368751 A CN116368751 A CN 116368751A CN 202080106387 A CN202080106387 A CN 202080106387A CN 116368751 A CN116368751 A CN 116368751A
Authority
CN
China
Prior art keywords
domain
master clock
time
sensitive network
tsn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080106387.2A
Other languages
English (en)
Inventor
赵绪文
何承东
张博
李飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN116368751A publication Critical patent/CN116368751A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04JMULTIPLEX COMMUNICATION
    • H04J3/00Time-division multiplex systems
    • H04J3/02Details
    • H04J3/06Synchronising arrangements
    • H04J3/0635Clock or time synchronisation in a network
    • H04J3/0638Clock or time synchronisation among nodes; Internode synchronisation
    • H04J3/0658Clock or time synchronisation among packet nodes
    • H04J3/0661Clock or time synchronisation among packet nodes using timestamps
    • H04J3/0667Bidirectional timestamps, e.g. NTP or PTP for compensation of clock drift and for compensation of propagation delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种消息传输方法及装置,涉及通信领域,解决了校验时间敏感网络消息中TSN域编号的真实性的问题。第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息后,根据TSN工作域的第二域编号对时间敏感网络消息包括的TSN工作域的第一域编号进行校验,若校验成功,则第一设备传输时间敏感网络消息。

Description

消息传输方法及装置 技术领域
本申请涉及通信领域,尤其涉及一种消息传输方法及装置。
背景技术
时间敏感网络(time sensitive network,TSN)是以以太网为基础的新一代网络标准,具有时间同步、延时保证等确保实时性的功能,以确保数据传输的时间确定性。TSN可以分为不同的TSN工作域(TSN working domain),每个TSN工作域采用TSN域编号(TSN domain number)标识,以及每个TSN工作域都有一个时间敏感网络主时钟(time sensitive network grand master,TSN GM)设备作为时钟源。
目前,5G网络可以作为TSN的桥(bridge)透传TSN终端(end-station)与TSN工作域之间的时间敏感网络消息。5G网络的终端侧和网络侧都可以部署多个TSN工作域和TSN终端。TSN终端依据TSN主时钟信息与TSN工作域进行时钟同步。例如,对于下行时钟同步,TSN工作域广播时间敏感网络消息,时间敏感网络消息包含主时钟信息和TSN域编号。5G网络的网络侧设备(如:用户面功能(user plane function,UPF)/网络侧TSN转换器(network-side TSN translator,NW-TT))将TSN工作域的时间敏感网络消息发送给终端侧设备(如:用户设备(user equipment,UE)/设备侧TSN转换器(device-side TSN translator,DS-TT)),终端侧设备将时间敏感网络消息发送至TSN终端,由TSN终端选择感兴趣的TSN域编号所指示的TSN的主时钟进行时钟同步。
但是,当前5G网络无法检验时间敏感网络消息中的TSN域编号的真实性。TSN工作域也可以发送虚假的TSN域编号,导致TSN终端可能基于虚假的TSN域编号进行时钟同步,造成系统时钟同步异常,严重的可能导致系统无法工作,造成网络攻击。因此,如何检验时间敏感网络消息中TSN域编号的真实性是一个亟待解决的问题。
发明内容
本申请提供一种消息传输方法及装置,解决了如何检验时间敏感网络消息中TSN域编号的真实性的问题。
第一方面,本申请提供了一种消息传输方法,该方法可应用于第一设备,或者该方法可应用于可以支持第一设备实现该方法的通信装置,例如该通信装置包括芯片系统,方法包括:第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息后,根据TSN工作域的第二域编号对时间敏感网络消息包括的TSN工作域的第一域编号进行校验,若校验成功,则第一设备传输时间敏感网络消息。
如此,第一设备有TSN工作域的第二域编号,该第二域编号是合法的,后续第一设备接收到时间敏感网络消息中TSN工作域的新的域编号,比如第一域编号时,以该合法的第二域编号为基准,校验TSN工作域的新的第一域编号的真实性,若校验成功,确保TSN终端根据时间敏感网络消息包括的真实的主时钟信息与TSN工作域的主时 钟设备进行时钟同步,避免TSN终端采用仿冒的主时钟进行时钟同步,造成时钟同步异常,系统无法工作或遭受网络攻击等。例如,校验成功是指第一域编号和第二域编号相同。
进一步地,该合法的域编号可以通过在第一设备上配置包含TSN工作域的合法的域编号的主时钟证书获得。
若第一域编号与第二域编号不同,则第一设备中止当前流程,或者,第一设备发送校验失败消息。
在一种可能的实现方式中,在第一设备根据时间敏感网络工作域的第二域编号对第一域编号进行校验之前,方法还包括:第一设备确定时间敏感网络工作域的主时钟设备标识;第一设备根据主时钟设备标识从第一设备保存的时间敏感网络工作域的主时钟设备证书中获取第二域编号,主时钟设备证书包括主时钟设备标识和第二域编号。
在一种可能的设计中,获取第二域编号之前,方法还包括:第一设备在与第二设备建立安全连接的过程中获取主时钟设备证书。从而,进一步提高获取主时钟设备证书的安全性。
其中,主时钟设备标识包括以下至少一个:主时钟设备的时钟标识,主时钟设备的媒体存取控制地址(media access control,MAC)地址,主时钟设备的互联网协议(internet protocol,IP)地址,主时钟设备的全限定域名((fully qualified domain name,FQDN),主时钟设备的端口号。
在另一种可能的实现方式中,在第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息之前,方法还包括:第一设备在与第二设备建立安全连接的过程中获取安全连接的会话标识和TSN工作域的主时钟设备证书,主时钟设备证书包括第二域编号,并保存主时钟设备证书和会话标识的对应关系;第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息,包括:第一设备通过安全连接接收时间敏感网络消息;方法进一步包括:第一设备根据时间敏感网络消息确定会话标识;第一设备根据会话标识以及对应关系确定主时钟设备证书;第一设备从第一设备保存的主时钟设备证书中获取第二域编号。
如此,第一设备有包含第二域编号的主时钟证书,该第二域编号是合法的,后续第一设备接收到时间敏感网络消息中TSN工作域的新的域编号时,比如第一域编号时,以接收主时钟证书和时间敏感网络消息的同一个安全连接的会话标识查找主时钟证书,以主时钟证书包含的TSN工作域的合法的第二域编号为基准,校验TSN工作域的新的第一域编号的真实性,若校验成功,确保TSN终端根据时间敏感网络消息包括的真实的主时钟信息与TSN工作域的主时钟设备进行时钟同步,避免TSN终端采用仿冒的主时钟进行时钟同步,造成时钟同步异常,系统无法工作或遭受网络攻击等。
在另一种可能的实现方式中,时间敏感网络消息还包括令牌,令牌包括第二域编号;在第一设备根据时间敏感网络工作域的第二域编号对第一域编号进行校验之前,方法还包括:第一设备校验令牌(token)的完整性;若校验令牌的完整性成功,则执行根据时间敏感网络工作域的第二域编号对第一域编号进行校验的处理;若校验令牌的完整性失败,则第一设备发送校验失败消息。
如此,在主时钟设备发送时间敏感网络消息之前先向认证授权服务器申请令牌 (token),认证授权服务器校验令牌请求,校验成功后,向主时钟设备反馈包含TSN工作域的第二域编号的令牌。该第二域编号是合法的。令牌中的TSN工作域的第二域编号具有真实性,且被令牌保护。后续第一设备接收到时间敏感网络消息中TSN工作域的新的域编号和令牌时,比如第一域编号时,以令牌包含的TSN工作域的合法的第二域编号为基准,校验TSN工作域的新的第一域编号的真实性,若校验成功,确保TSN终端根据时间敏感网络消息包括的真实的主时钟信息与TSN工作域的主时钟设备进行时钟同步,避免TSN终端采用仿冒的主时钟进行时钟同步,造成时钟同步异常,系统无法工作或遭受网络攻击等。
第二方面,本申请提供了一种消息传输方法,该方法可应用于第一设备,或者该方法可应用于可以支持第一设备实现该方法的通信装置,例如该通信装置包括芯片系统,方法包括:第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息后,获取第二设备的公钥,使用公钥验证时间敏感网络消息包括的数字签名;若验证成功,则第一设备传输时间敏感网络消息。若验证数字签名失败,则第一设备中止当前流程,或者第一设备发送校验失败消息。时间敏感网络消息包括时间敏感网络工作域的第一域编号,数字签名为第二设备对时间敏感网络工作域的第二域编号进行完整性保护得到的签名。
在一种可能的实现方式中,第一设备获取第二设备的公钥,包括:第一设备根据第一域编号从本地保存的多个主时钟设备证书中获取时间敏感网络工作域的主时钟设备证书,从时间敏感网络工作域的主时钟设备证书中获取公钥。主时钟设备证书包含时间敏感网络工作域的第二域编号和公钥。
在另一种可能的实现方式中,第一设备根据第一域编号从本地保存的主时钟设备证书中获取时间敏感网络工作域的主时钟设备证书之前,方法还包括:第一设备在与第二设备建立安全连接的过程中获取时间敏感网络工作域的主时钟设备证书。
第三方面,本申请提供了一种消息传输方法,该方法可应用于第二设备,或者该方法可应用于可以支持第二设备实现该方法的通信装置,例如该通信装置包括芯片系统,方法包括:第二设备利用时间敏感网络工作域的主时钟设备证书的公钥所对应的私钥对时间敏感网络工作域的第二域编号签名,得到数字签名;第二设备通过第一通信网络向第一设备发送时间敏感网络消息,时间敏感网络消息包括时间敏感网络工作域的第一域编号和数字签名。
第四方面,本申请提供了一种消息传输方法,该方法可应用于第二设备,或者该方法可应用于可以支持第二设备实现该方法的通信装置,例如该通信装置包括芯片系统,方法包括:第二设备向认证授权服务器发送令牌请求消息,令牌请求消息包括时间敏感网络工作域的第一域编号和主时钟设备标识;第二设备从认证授权服务器接收令牌,令牌包括时间敏感网络工作域的第二域编号;第二设备向第一设备发送时间敏感网络消息,时间敏感网络消息包括第一域编号和令牌。
在一种可能的实现方式中,在第二设备向认证授权服务器发送令牌请求消息之前,方法还包括:第二设备向认证授权服务器发送注册消息,注册消息包括第一域编号和主时钟设备标识。
第五方面,本申请提供了一种消息传输方法,该方法可应用于认证授权服务器, 或者该方法可应用于可以支持认证授权服务器实现该方法的通信装置,例如该通信装置包括芯片系统,方法包括:认证授权服务器接收第二设备发送的令牌请求消息,令牌请求消息包括时间敏感网络工作域的第一域编号和主时钟设备标识;认证授权服务器根据时间敏感网络工作域的第二域编号对第一域编号进行校验;若校验成功,则认证授权服务器生成令牌,令牌包括第二域编号;认证授权服务器向第二设备发送令牌。
在一种可能的实现方式中,在认证授权服务器接收第二设备发送的令牌请求消息之前,方法还包括:认证授权服务器接收第二设备发送的注册消息,注册消息包括第一域编号和主时钟设备标识;认证授权服务器根据时间敏感网络工作域的第二域编号对第一域编号进行校验;若校验成功,则认证授权服务器注册成功。
在另一种可能的实现方式中,第二设备是主时钟设备,第一设备与第二设备进行下行时钟同步时,第一通信网络是时间敏感网络,第一设备是用户面功能或网络侧TSN转换器;或者,第一通信网络是5G网络,第一设备是用户设备或设备侧TSN转换器;和/或,第一设备与第二设备进行上行时钟同步时,第一通信网络是时间敏感网络,第一设备是用户设备或设备侧TSN转换器;或者,第一通信网络是5G网络,第一设备是用户面功能或网络侧TSN转换器。
第六方面,本申请实施例还提供了一种通信装置,有益效果可以参见第一方面的描述此处不再赘述。所述通信装置具有实现上述第一方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述通信装置包括:收发单元和处理单元。收发单元,用于通过第一通信网络接收来自第二设备的时间敏感网络消息,时间敏感网络消息包括TSN工作域的第一域编号;处理单元,用于根据TSN工作域的第二域编号对第一域编号进行校验;若校验成功,则通过收发单元传输时间敏感网络消息。这些单元可以执行上述第一方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第七方面,本申请实施例还提供了一种通信装置,有益效果可以参见第二方面的描述此处不再赘述。所述通信装置具有实现上述第二方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,该通信装置包括:收发单元和处理单元。收发单元,用于通过第一通信网络接收来自第二设备的时间敏感网络消息,时间敏感网络消息包括时间敏感网络工作域的第一域编号和数字签名,数字签名为第二设备对时间敏感网络工作域的第二域编号进行完整性保护得到的签名;处理单元,用于获取第二设备的公钥,使用公钥验证数字签名;若验证成功,则通过收发单元传输时间敏感网络消息。这些模块可以执行上述第二方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第八方面,本申请实施例还提供了一种通信装置,有益效果可以参见第三方面的描述此处不再赘述。所述通信装置具有实现上述第三方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,该通信装置包括:收发单元和处理单元。处理单元,用于利用时间敏感网络工作域的主时钟设备证书的 公钥所对应的私钥对时间敏感网络工作域的第二域编号签名,得到数字签名;收发单元,用于通过第一通信网络向第一设备发送时间敏感网络消息,时间敏感网络消息包括时间敏感网络工作域的第一域编号和数字签名。这些模块可以执行上述第三方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第九方面,本申请实施例还提供了一种通信装置,有益效果可以参见第四方面的描述此处不再赘述。所述通信装置具有实现上述第四方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,该通信装置包括:收发单元和处理单元。收发单元,用于向认证授权服务器发送令牌请求消息,令牌请求消息包括时间敏感网络工作域的第一域编号和主时钟设备标识;收发单元,还用于从认证授权服务器接收令牌,令牌包括时间敏感网络工作域的第二域编号;收发单元,还用于向第一设备发送时间敏感网络消息,时间敏感网络消息包括第一域编号和令牌。这些模块可以执行上述第四方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第十方面,本申请实施例还提供了一种通信装置,有益效果可以参见第五方面的描述此处不再赘述。所述通信装置具有实现上述第五方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,该通信装置包括:收发单元和处理单元。收发单元,用于接收第二设备发送的令牌请求消息,令牌请求消息包括时间敏感网络工作域的第一域编号和主时钟设备标识;收发单元,还用于根据时间敏感网络工作域的第二域编号对第一域编号进行校验;若校验成功,则处理单元,用于生成令牌,令牌包括所述第二域编号;收发单元,还用于向第二设备发送令牌。这些模块可以执行上述第五方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第十一方面,提供了一种通信装置,该通信装置可以为上述方法实施例中的第一设备,或者为设置在第一设备中的芯片。该通信装置包括通信接口以及处理器,可选的,还包括存储器。其中,该存储器用于存储计算机程序或指令,处理器与存储器、通信接口耦合,当处理器执行计算机程序或指令时,使通信装置执行上述方法实施例中由第一设备所执行的方法。
第十二方面,提供了一种通信装置,该通信装置可以为上述方法实施例中的第二设备,或者为设置在第二设备中的芯片。该通信装置包括通信接口以及处理器,可选的,还包括存储器。其中,该存储器用于存储计算机程序或指令,处理器与存储器、通信接口耦合,当处理器执行计算机程序或指令时,使通信装置执行上述方法实施例中由第二设备所执行的方法。
第十三方面,提供了一种计算机程序产品,计算机程序产品包括:计算机程序代码,当计算机程序代码并运行时,使得上述各方面中由第一设备执行的方法被执行。
第十四方面,提供了一种计算机程序产品,计算机程序产品包括:计算机程序代码,当计算机程序代码被运行时,使得上述各方面中由第二设备执行的方法被执行。
第十五方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于实现上 述各方面的方法中终端设备的功能。在一种可能的设计中,芯片系统还包括存储器,用于保存程序指令和/或数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第十六方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于实现上述各方面的方法中第二设备的功能。在一种可能的设计中,所述芯片系统还包括存储器,用于保存程序指令和/或数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第十七方面,本申请提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,当该计算机程序被运行时,实现上述各方面中由第一设备执行的方法。
第十八方面,本申请提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,当该计算机程序被运行时,实现上述各方面中由第二设备执行的方法。
本申请中,第一设备、第二设备和通信装置的名字对设备本身不构成限定,在实际实现中,这些设备可以以其他名称出现。只要各个设备的功能和本申请类似,属于本申请权利要求及其等同技术的范围之内。
附图说明
图1为本申请实施例提供的一种通信系统的架构示意图;
图2为本申请实施例提供的一种消息传输方法流程图;
图3为本申请实施例提供的另一种消息传输方法流程图;
图4为本申请实施例提供的另一种消息传输方法流程图;
图5为本申请实施例提供的另一种消息传输方法流程图;
图6为本申请实施例提供的另一种消息传输方法流程图;
图7为本申请实施例提供的另一种消息传输方法流程图;
图8为本申请实施例提供的另一种消息传输方法流程图;
图9为本申请实施例提供的另一种消息传输方法流程图;
图10为本申请实施例提供的另一种消息传输方法流程图;
图11为本申请实施例提供的另一种消息传输方法流程图;
图12为本申请实施例提供的另一种消息传输方法流程图;
图13为本申请实施例提供的另一种消息传输方法流程图;
图14为本申请实施例提供的一种通信装置的结构示意图;
图15为本申请实施例提供的一种通信装置的结构示意图。
具体实施方式
本申请说明书和权利要求书及上述附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象,而不是用于限定特定顺序。
在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
“多个”是指两个或两个以上,其它量词与之类似。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,对于单数形式“a”,“an”和“the”出现的元素(element),除非上下文另有明确规定,否则其不意味着“一个或仅一个”,而是意味着“一个或多于一个”。例如,“a device”意味着对一个或多个这样的device。再者,至少一个(at least one of).......”意味着后续关联对象中的一个或任意组合,例如“A、B和C中的至少一个”包括A,B,C,AB,AC,BC,或ABC。
下面将结合附图对本申请实施例的实施方式进行详细描述。
目前,5G网络支持时间敏感通信(time sensitive communication,TSC),可以作为时间敏感网络(time sensitive network,TSN)的桥(bridge)透传时间敏感网络消息(如:通用精确时间协议(generalized precision time protocol,gPTP)消息和精确时间协议(precision time protocol,PTP)消息)。图1是本申请的实施例一种通信系统的架构示意图。如图1所示,5G网络包括核心网中的多个核心网设备101、无线接入网设备102和至少一个终端设备(如图1中的终端设备103和终端设备104)。终端设备通过无线的方式与无线接入网设备相连,无线接入网设备通过无线或有线方式与核心网设备连接。核心网设备与无线接入网设备可以是独立的不同的物理设备,也可以是将核心网设备的功能与无线接入网设备的逻辑功能集成在同一个物理设备上,还可以是一个物理设备上集成了部分核心网设备的功能和部分的无线接入网设备的功能。终端设备可以是固定位置的,也可以是可移动的。图1只是示意图,该5G网络中还可以包括其它网络设备,如还可以包括无线中继设备和无线回传设备,在图1中未画出。
其中,核心网设备包含核心接入与移动管理功能(core access and mobility management function,AMF)设备和会话管理功能(session management function,SMF)设备。
无线接入网设备是终端设备通过无线方式接入到该5G网络中的接入设备,可以是基站(base station)、演进型基站(evolved NodeB,eNodeB)、发送接收点(transmission reception point,TRP)、5G移动通信系统中的下一代基站(next generation NodeB,gNB)、未来移动通信系统中的基站或WiFi系统中的接入节点等;也可以是完成基站部分功能的模块或单元,例如,可以是集中式单元(central unit,CU),也可以是分布式单元(distributed unit,DU)。本实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。在本实施例中,无线接入网设备简称网络设备,如果无特殊说明,网络设备均指无线接入网设备。
终端设备也可以称为终端(terminal)、用户设备(user equipment,UE)、移动台(mobile station,MS)、移动终端(mobile terminal,MT)等。终端设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(Virtual Reality,VR)终端设备、增强现实(Augmented Reality,AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home) 中的无线终端等等。本申请的实施例对终端设备所采用的具体技术和具体设备形态不做限定。
网络设备和终端设备可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上;还可以部署在空中的飞机、气球和人造卫星上。本申请的实施例对网络设备和终端设备的应用场景不做限定。
网络设备和终端设备之间可以通过授权频谱(licensed spectrum)进行通信,也可以通过免授权频谱(unlicensed spectrum)进行通信,也可以同时通过授权频谱和免授权频谱进行通信。网络设备和终端设备之间可以通过6千兆赫(gigahertz,GHz)以下的频谱进行通信,也可以通过6GHz以上的频谱进行通信,还可以同时使用6GHz以下的频谱和6GHz以上的频谱进行通信。本申请的实施例对网络设备和终端设备之间所使用的频谱资源不做限定。
在5G网络的终端侧和网络侧还部署了多个TSN工作域和多个TSN终端。由于5G网络中的设备依据第三代合作伙伴项目(3rd Generation Partnership Project,3GPP)协议传输消息,TSN工作域中的设备采用电气和电子工程师协会(institute of electrical and electronics engineers,IEEE)802.1协议传输消息。为了使TSN终端与TSN工作域之间通过5G网络传输时间敏感网络消息,可以在5G网络的终端侧部署设备侧TSN转换器(device-side TSN translator,DS-TT),在5G网络的网络侧部署网络侧TSN转换器(network-side TSN translator,NW-TT)。DS-TT和NW-TT用于基于TSN和5G网络之间的协议进行消息转换。
在一些实施例中,DS-TT和NW-TT可以是实体设备。5G网络的终端侧设备可以连接DS-TT,多个TSN工作域和多个TSN终端连接DS-TT。5G网络的网络侧设备可以连接NW-TT,多个TSN工作域和多个TSN终端连接NW-TT。从而,以便于5G网络的终端侧的TSN终端与5G网络的网络侧的TSN终端之间传输时间敏感网络消息。
在另一些实施例中,DS-TT和NW-TT可以是一个软件程序。5G网络的终端侧设备安装DS-TT程序,5G网络的网络侧设备安装NW-TT程序,实现基于TSN和5G网络之间的协议进行消息转换的功能。本实施例对DS-TT和NW-TT的设置方式不予限定。
另外,TSN工作域包含TSN终端和TSN主时钟设备。TSN主时钟设备用于为TSN终端提供主时钟,以便于TSN终端与TSN工作域进行时钟同步,确保数据传输的时间确定性。不同的TSN工作域用于实现不同的功能。例如,TSN工作域用于实现工业应用中的设备操作控制。又如,TSN工作域用于实现医疗应用中的设备的操作控制。TSN工作域可以采用TSN域编号(TSN domain number)标识。一个TSN终端可以接入多个DS-TT或多个NW-TT,TSN终端可以与一个或多个TSN域编号指示的TSN工作域进行时钟同步。
示例的,如图1所示,5G网络的终端设备103安装DS-TT程序1031,具有TSN和5G网络之间进行消息协议转换的功能。终端设备103通过无线的方式连接多个TSN工作域105和TSN终端106。TSN工作域105包含TSN主时钟设备1051和TSN终端1052。5G网络的终端设备104连接设备侧TSN转换器107,设备侧TSN转换器107连接多个TSN工作域108和TSN终端109。TSN工作域108包含TSN主时钟设备1081 和TSN终端1082。5G网络的核心网设备101连接网络侧TSN转换器110,网络侧TSN转换器110连接多个TSN工作域111和TSN终端112。TSN工作域111包含TSN主时钟设备1111和TSN终端1112。
需要说明的是,部署NW-TT软件的核心网设备或与NW-TT的实体设备连接的核心网设备可以是用于实现用户面功能(user plane function,UPF)的设备,或者核心网中的其他设备,不予限定。本实施例对核心网设备、无线接入网设备、终端设备、TSN终端和TSN工作域的数量不予限定。
TSN终端可以是有线终端或无线终端,例如工业控制(industrial control)中的终端、无人驾驶(self driving)中的终端、远程手术(remote medical surgery)中的终端、智能电网(smart grid)中的终端、运输安全(transportation safety)中的终端、智慧城市(smart city)中的终端、智慧家庭(smart home)中的终端等等。本申请的实施例对终端设备所采用的具体技术和具体设备形态不做限定。
本申请的实施例可以适用于下行时钟同步,也可以适用于上行时钟同步。对于下行时钟同步,发送设备是与5G网络的网络侧设备连接的TSN主时钟设备(如:TSN主时钟设备1111),对应的接收设备是与5G网络的终端侧设备连接的TSN终端(如:TSN终端106、TSN终端109、TSN终端1052或TSN终端1082),TSN终端与5G网络的网络侧设备连接的TSN主时钟设备进行时钟同步。对于上行时钟同步,发送设备是与5G网络的终端侧设备连接的TSN主时钟设备(如:TSN主时钟设备1051或TSN主时钟设备1081),对应的接收设备是与5G网络的网络侧设备连接的TSN终端(如:TSN终端112或TSN终端1112),TSN终端与5G网络的终端侧设备连接的TSN主时钟设备进行时钟同步。
为了确保TSN终端与TSN工作域中的主时钟设备进行时钟同步的真实性,本申请提供了一种消息传输方法,5G网络的中设备先对TSN工作域的域编号进行校验,校验成功后,发送TSN工作域的主时钟信息。该方法具体包括第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息后,第一设备根据TSN工作域的第二域编号对时间敏感网络消息包括TSN工作域的第一域编号进行校验;若校验成功,则第一设备传输时间敏感网络消息。其中,时间敏感网络消息还包括主时钟信息。第一设备可以为5G网络中的接收时间敏感网络消息的入口设备或5G网络中向TSN终端发送时间敏感网络消息的出口设备。第二设备为TSN工作域的主时钟设备。从而,确保TSN终端根据时间敏感网络消息包括的真实的主时钟信息与TSN工作域的主时钟设备进行时钟同步,避免TSN终端采用仿冒的主时钟信息进行时钟同步,造成时钟同步异常,系统无法工作或遭受网络攻击等。
其中,第一域编号和第二域编号可以是TSN工作域的域编号,或者是TSN工作域中主时钟域的域编号。本申请的实施例中以第一域编号和第二域编号是TSN工作域的域编号为例来描述。
可理解的,对于下行时钟同步,若第一通信网络是时间敏感网络,第一设备是UPF/NW-TT(如:图1中所示的网络侧TSN转换器110),第二设备是5G网络的网络侧的TSN工作域中的主时钟设备(如:图1中所示的TSN主时钟设备1111)。若第一通信网络是5G网络,第一设备是UE/DS-TT(如:图1中所示的设备侧TSN转 换器107或终端设备103),第二设备是5G网络的网络侧的TSN工作域中的主时钟设备(如:图1中所示的TSN主时钟设备1111)。
对于上行时钟同步,若第一通信网络是时间敏感网络,第一设备是UE/DS-TT(如:图1中所示的设备侧TSN转换器107),第二设备是5G网络的终端侧的TSN工作域中的主时钟设备(如:图1中所示的TSN主时钟设备1081)。若第一通信网络是5G网络,第一设备是UPF/NW-TT(如:图1中所示的网络侧TSN转换器110),第二设备是5G网络的终端侧的TSN工作域中的主时钟设备(如:图1中所示的TSN主时钟设备1081)。
接下来,以下行时钟同步为例对检验时间敏感网络消息中TSN域编号的真实性进行详细说明。在本申请的实施例中,假设5G网络与TSN工作域已建立了连接,即UE/DS-TT与UPF/NW-TT通过5G桥信息报告(5G bridge information reporting)和5G桥信息配置(5G bridge information configuration)两个流程已建立安全连接,以便于TSN终端之间传输时间敏感网络消息,TSN终端与TSN工作域中的主时钟设备进行时钟同步。关于两个流程的具体的过程可以参考3GPP TS 23.501和TS 23.502描述,不予赘述。
图2为本实施例提供的一种消息传输方法流程图。这里以第一设备为UPF/NW-TT,如图1中所示的网络侧TSN转换器(NW-TT)110,第二设备为图1中所示的TSN主时钟设备1111为例进行说明。如图2所示,该方法包括以下步骤。
S201、第一设备在与第二设备建立安全连接的过程中获取TSN工作域的主时钟设备证书。
第一设备与第二设备可以采用传输层安全(transport layer security,TLS)协议建立第一设备与第二设备之间的安全连接,使第一设备与第二设备通过该安全链路传输两个通信应用程序之间的消息,为所传输的消息提供保密性和数据完整性。
在本实施例中,第一设备可以在与第二设备建立安全连接的过程中获取第二设备所在的TSN工作域的主时钟设备证书。传输层安全协议包括TLS记录(TLS record)协议和TLS握手(TLS handshake)协议。第一设备可以在与第二设备执行TLS握手协议建立安全连接的过程中获取第二设备所在的TSN工作域的主时钟设备证书。主时钟设备证书包括第二设备所在的TSN工作域的主时钟设备标识和TSN工作域的第二域编号。
可理解的,第一设备和第二设备建立安全连接,通过该安全连接进行双认证后,第一设备和第二设备均保存了TSN工作域的主时钟设备证书。由于主时钟设备证书具有合法性,因此主时钟设备证书包含的第二域编号是TSN工作域的真实的域编号。第二设备为TSN工作域内的主时钟设备,该主时钟设备提供了主时钟信息。主时钟设备证书包含的主时钟设备标识包括以下至少一个:主时钟设备的时钟标识,主时钟设备的MAC地址,主时钟设备的IP地址,主时钟设备的全限定域名,主时钟设备的端口号。
在实际应用中,第一设备可以与多个TSN工作域内的主时钟设备建立安全连接,获取多个TSN工作域的主时钟设备证书。第一设备可以保存多个TSN工作域的主时钟设备证书包含的主时钟设备标识和相应第二域编号的对应关系。
在另一些实施例中,第一设备也可以自动配置TSN工作域主时钟设备证书,或者,人工手动配置TSN工作域主时钟设备证书。
S202、第二设备发送时间敏感网络消息,时间敏感网络消息包括TSN工作域的第一域编号和主时钟设备标识。
第二设备发送时间敏感网络消息,5G网络中多个设备可以接收到来自第二设备的时间敏感网络消息。
S203、第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息。
可理解的,若第一设备为图1中所示的网络侧TSN转换器(NW-TT)110,第二设备为图1中所示的TSN主时钟设备1111,表示时间敏感网络消息经过了时间敏感网络(如:TSN工作域111)的传输,使NW-TT 110接收到来自TSN主时钟设备1111的时间敏感网络消息,即第一通信网络为时间敏感网络。
在一些实施例中,第一设备与第二设备之间还可以部署有其他设备(如:NW-TT的临近设备,TSN应用功能(application function,AF)设备),即第一通信网络还可以包括NW-TT的临近设备和/或TSN AF设备。通过其他设备透传时间敏感网络消息,使第一设备接收来自第二设备的时间敏感网络消息。如果第一设备与第二设备之间未部署其他设备,第一设备与第二设备直连,无需通过其他设备的透传时间敏感网络消息,第一设备接收来自第二设备的时间敏感网络消息。
S204、第一设备确定TSN工作域的主时钟设备标识。
时间敏感网络消息包含主时钟设备标识,第一设备接收到时间敏感网络消息后,从时间敏感网络消息获取主时钟设备标识。
S205、第一设备根据主时钟设备标识从第一设备保存的TSN工作域的主时钟设备证书中获取第二域编号。
第一设备根据主时钟设备标识从第一设备保存的多个主时钟设备证书中,查询包含时间敏感网络消息中的主时钟设备标识的主时钟设备证书,从该主时钟设备证书中获取第二域编号。
在一些实施例中,TSN工作域的主时钟设备标识和第二域编号的对应关系可以以表格的形式呈现。如表1所示。
表1
主时钟设备证书 主时钟设备标识 域编号
证书1 主时钟设备标识1 域编号1
证书2 主时钟设备标识2 域编号2
证书3 主时钟设备标识3 域编号3
由表1可知,证书1包含主时钟设备标识1和域编号1;证书2包含主时钟设备标识2和域编号2;证书3包含主时钟设备标识3和域编号3。假如第一设备接收到的时间敏感网络消息包含主时钟设备标识2,第一设备根据主时钟设备标识2查询表1,确定包含主时钟设备标识2和域编号2的证书2,进而获得与主时钟设备标识2关联的域编号2,将域编号2作为第二域编号。
需要说明的是,表1只是以表格的形式示意TSN工作域的主时钟设备标识和第二域编号的对应关系在存储设备中的存储形式,并不是对该对应关系在存储设备中的存 储形式的限定,当然,该对应关系在存储设备中的存储形式还可以以其他的形式存储,本申请实施例对此不做限定。
S206、第一设备根据TSN工作域的第二域编号对第一域编号进行校验。
第一设备可以比较第一域编号和第二域编号,若第一域编号和第二域编号相同,表示校验成功,时间敏感网络消息包含的第一域编号是合法的域编号;若第一域编号和第二域编号不同,表示校验失败,时间敏感网络消息包含的第一域编号是非法的域编号。
若校验成功,执行S207;若校验失败,第一设备丢弃该时间敏感网络消息,该流程终止,或者,第一设备执行S208。
S207、第一设备传输时间敏感网络消息。
第一设备可以通过5G网络中的核心网设备和无线接入网设备将时间敏感网络消息传输给UE/DS-TT,即DS-TT(如:DS-TT107)或安装DS-TT程序的终端设备(如:终端设备103),由UE/DS-TT将时间敏感网络消息传输给TSN终端,TSN终端根据时间敏感网络消息包含的主时钟信息与第二设备进行时钟同步。第二设备为时间敏感网络消息包含的第一域编号指示的TSN工作域中的主时钟设备。
如此,第一设备有TSN工作域的第二域编号,该第二域编号是合法的,后续第一设备接收到时间敏感网络消息中TSN工作域的新的域编号,比如第一域编号时,以该合法的第二域编号为基准,校验TSN工作域的新的第一域编号的真实性,若校验成功,确保TSN终端根据时间敏感网络消息包括的真实的主时钟信息与TSN工作域的主时钟设备进行时钟同步,避免TSN终端采用仿冒的主时钟进行时钟同步,造成时钟同步异常,系统无法工作或遭受网络攻击等。例如,校验成功是指第一域编号和第二域编号相同。
S208、第一设备向第二设备发送校验失败消息。
校验失败消息可以包括失败原因。在一些实施例中,第一设备可以预先配置多个失败原因值,一个失败原因值表示一种失败原因。可以采用校验失败消息中一个比特位的取值表示失败原因值,从而告知第二设备时间敏感网络消息发送失败。
图3为本实施例提供的另一种消息传输方法流程图。与上述图2所示的实施例的区别在于,图2是以第一设备是5G网络中的接收时间敏感网络消息的入口设备进行举例说明的,该实施例以第一设备是5G网络中的接收时间敏感网络消息的出口设备举例说明。例如,若第一设备为DS-TT(如:图1中所示的设备侧TSN转换器(DS-TT)107)或安装DS-TT程序的终端设备(如:终端设备103),第二设备为图1中所示的TSN主时钟设备1111,表示时间敏感网络消息经过了5G网络的传输,使DS-TT 107接收到来自TSN主时钟设备1111的时间敏感网络消息,即第一通信网络为5G网络。传输时间敏感网络消息的过程详细解释可以参考上述图2所示的实施例中的相关步骤的解释。
图4为本实施例提供的另一种消息传输方法流程图。与上述图2所示的实施例的区别在于,第一设备在与第二设备建立安全连接的过程中不仅获取到TSN工作域的主时钟设备证书,还获取到安全连接的会话标识,根据会话标识获取包含TSN工作域的第二域编号的主时钟设备证书,以便于第一设备校验接收到来自第二设备的TSN工作 域的第一域编号,确保TSN工作域的第一域编号的真实性。如图4所示,该方法包括以下步骤。
S401、第一设备在与第二设备建立安全连接的过程中获取TSN工作域的主时钟设备证书和安全连接的会话标识。
可理解的,第一设备和第二设备建立安全连接,通过该安全连接进行双认证后,第一设备和第二设备均保存了TSN工作域的主时钟设备证书和安全连接的会话标识。由于主时钟设备证书具有合法性,主时钟设备证书包含的第二域编号是TSN工作域的真实的域编号。关于安全连接的解释可以参考上述S201的阐述。
S402、第二设备通过该安全连接发送时间敏感网络消息,时间敏感网络消息包括TSN工作域的第一域编号。
S403、第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息。
时间敏感网络消息经过第一通信网络的传输,第一设备通过该安全连接接收时间敏感网络消息。关于接收时间敏感网络消息和第一通信网络的解释可以参考上述S203的阐述。
S404、第一设备根据时间敏感网络消息确定会话标识。
由于底层协议栈会携带会话标识,第一设备根据时间敏感网络消息确定会话标识。
S405、第一设备根据会话标识以及对应关系确定主时钟设备证书。
S406、第一设备从第一设备保存的主时钟设备证书中获取第二域编号。
由于第一设备通过会话标识指示的安全连接获取的主时钟设备证书,第一设备保存会话标识与主时钟设备证书的对应关系,第一设备通过会话标识指示的安全连接获取时间敏感网络消息后,第一设备根据会话标识从第一设备保存的多个主时钟设备证书中,查询与会话标识关联的主时钟设备证书,从该主时钟设备证书中获取第二域编号。
在一些实施例中,TSN工作域的主时钟设备证书和会话标识的对应关系可以以表格的形式呈现。如表2所示。
表2
主时钟设备证书 会话标识 域编号
证书1 会话标识1 域编号1
证书2 会话标识2 域编号2
证书3 会话标识3 域编号3
由表2可知,证书1包含域编号1,证书1与会话标识1关联;证书2包含域编号2,证书2与会话标识2关联;证书3包含域编号3,证书3与会话标识3关联。假如第一设备通过会话标识2指示的安全连接接收到的时间敏感网络消息,第一设备根据会话标识2查询表2,确定与会话标识2关联的TSN工作域的主时钟设备证书为证书2,进而将证书2包含的域编号2作为第二域编号。
需要说明的是,表2只是以表格的形式示意TSN工作域的主时钟设备证书和会话标识的对应关系在存储设备中的存储形式,并不是对该对应关系在存储设备中的存储形式的限定,当然,该对应关系在存储设备中的存储形式还可以以其他的形式存储,本申请实施例对此不做限定。
S407、第一设备根据TSN工作域的第二域编号对第一域编号进行校验。
若校验成功,执行S408;若校验失败,第一设备丢弃该时间敏感网络消息,该流程终止,或者,第一设备执行S409。
S408、第一设备传输时间敏感网络消息。
S409、第一设备向第二设备发送校验失败消息。
关于S407至S409的详细解释可以参考上述S206至S208的阐述。
如此,第一设备有包含第二域编号的主时钟证书,该第二域编号是合法的,后续第一设备接收到时间敏感网络消息中TSN工作域的新的域编号时,比如第一域编号时,以接收主时钟证书和时间敏感网络消息的同一个安全连接的会话标识查找主时钟证书,以主时钟证书包含的TSN工作域的合法的第二域编号为基准,校验TSN工作域的新的第一域编号的真实性,若校验成功,确保TSN终端根据时间敏感网络消息包括的真实的主时钟信息与TSN工作域的主时钟设备进行时钟同步,避免TSN终端采用仿冒的主时钟进行时钟同步,造成时钟同步异常,系统无法工作或遭受网络攻击等。
图5为本实施例提供的另一种消息传输方法流程图。与上述图4所示的实施例的区别在于,图4是以第一设备是5G网络中的接收时间敏感网络消息的入口设备进行举例说明的,该实施例以第一设备是5G网络中的接收时间敏感网络消息的出口设备举例说明。例如,若第一设备为DS-TT(如:图1中所示的设备侧TSN转换器(DS-TT)107)或安装DS-TT程序的终端设备(如:终端设备103),第二设备为图1中所示的TSN主时钟设备1111,表示时间敏感网络消息经过了5G网络的传输,使DS-TT 107接收到来自TSN主时钟设备1111的时间敏感网络消息,即第一通信网络为5G网络。传输时间敏感网络消息的过程详细解释可以参考上述图4所示的实施例中的相关步骤的解释。
图6为本实施例提供的另一种消息传输方法流程图。与上述实施例的区别在于,第一设备在与第二设备建立安全连接的过程中获取的时间敏感网络消息不仅包含了TSN工作域的第一域编号,还包含了令牌,令牌包含了TSN工作域的第二域编号,以便于第一设备利用令牌校验TSN工作域的第一域编号,从而确保第一设备接收到的TSN工作域的第一域编号具有真实性。如图6所示,该方法包括以下步骤。
S601、第一设备和认证授权服务器配置密钥。
第一设备与认证授权服务器分别配置第一设备和认证授权服务器之间的共享秘钥。或者,第一设备配置认证授权服务器的公钥,认证授权服务器配置认证授权服务器的公钥和私钥对。
S602、第二设备在与认证授权服务器建立安全连接的过程中获取TSN工作域的主时钟设备证书。
TSN工作域的主时钟设备证书包含TSN工作域的第二域编号。可理解的,第二设备和认证授权服务器建立安全连接,通过该安全连接进行双认证后,第二设备和认证授权服务器均保存了TSN工作域的主时钟设备证书和安全连接的会话标识。由于主时钟设备证书具有合法性,主时钟设备证书包含的第二域编号是TSN工作域的真实的域编号。关于安全连接的解释可以参考上述S201的阐述。
S603、第二设备向认证授权服务器发送注册消息,注册消息包括TSN工作域的第 一域编号和主时钟设备标识。
S604、认证授权服务器接收第二设备发送的注册消息。
S605、认证授权服务器根据TSN工作域的第二域编号对第一域编号进行校验。
如果TSN工作域的主时钟设备证书包含主时钟设备标识,认证授权服务器可以根据注册消息中的主时钟设备标识从认证授权服务器保存的多个主时钟设备证书中获取TSN工作域的主时钟设备证书,再从TSN工作域的主时钟设备证书中获取第二域编号。具体的过程可以参考上述图2所述的实施例的详细阐述。
如果认证授权服务器保存了安全连接的会话标识和TSN工作域的主时钟设备证书的对应关系,认证授权服务器可以根据安全连接的会话标识从认证授权服务器保存的多个主时钟设备证书中获取与会话标识关联的TSN工作域的主时钟设备证书,再从TSN工作域的主时钟设备证书中获取第二域编号。具体的过程可以参考上述图4所述的实施例的详细阐述。
认证授权服务器根据TSN工作域的第二域编号对第一域编号进行校验,若校验成功,则认证授权服务器确定注册成功,执行S606;若校验失败,则认证授权服务器确定注册失败,认证授权服务器丢弃该注册消息,该流程终止,或者,认证授权服务器执行S607。关于第二域编号对第一域编号进行校验的详细解释可以参考上述S206的阐述。
S606、认证授权服务器向第二设备发送注册成功消息。
S607、认证授权服务器向第二设备发送注册失败消息。
S608、第二设备向认证授权服务器发送令牌请求消息,令牌请求消息包括TSN工作域的第一域编号和主时钟设备标识。
S609、认证授权服务器接收第二设备发送的令牌请求消息。
S610、认证授权服务器根据TSN工作域的第二域编号对令牌请求消息中的第一域编号进行校验。
若校验失败,认证授权服务器丢弃该令牌请求消息,该流程终止,或者,认证授权服务器执行S611;若校验成功,则执行S612。
S611、认证授权服务器向第二设备发送请求失败消息。
关于S610至S611的详细解释可以参考上述S206至S207的阐述。
S612、认证授权服务器向第二设备生成令牌并发送令牌,令牌包括第二域编号和主时钟设备标识。
S613、第二设备从认证授权服务器接收令牌。
S614、第二设备向第一设备发送时间敏感网络消息,时间敏感网络消息包括第一域编号和令牌。
S615、第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息。
S616、第一设备校验令牌的完整性。
由于第一设备配置了与认证授权服务器相同的密钥,第一设备利用与认证授权服务器的共享密钥,或者认证授权服务器的公钥对令牌进行完整性校验,从而确保令牌包含的第二域编号的真实性。
若校验令牌的完整性成功,则执行S617;若校验令牌的完整性失败,则第一设备 丢弃该时间敏感网络消息,该流程终止,或者,第一设备执行S619。
S617、第一设备根据令牌中的TSN工作域的第二域编号对时间敏感网络消息中的第一域编号进行校验。
若校验成功,执行S618;若校验失败,第一设备丢弃该时间敏感网络消息,该流程终止,或者,第一设备执行S619。
S618、第一设备传输时间敏感网络消息。
S619、第一设备向第二设备发送校验失败消息。
关于S617至S619的详细解释可以参考上述S206至S208的阐述。
如此,在主时钟设备发送时间敏感网络消息之前先向认证授权服务器申请令牌(token),认证授权服务器校验令牌请求,校验成功后,向主时钟设备反馈包含TSN工作域的第二域编号的令牌。该第二域编号是合法的。令牌中的TSN工作域的第二域编号具有真实性,且被令牌保护。后续第一设备接收到时间敏感网络消息中TSN工作域的新的域编号和令牌时,比如第一域编号时,以令牌包含的TSN工作域的合法的第二域编号为基准,校验TSN工作域的新的第一域编号的真实性,若校验成功,确保TSN终端根据时间敏感网络消息包括的真实的主时钟信息与TSN工作域的主时钟设备进行时钟同步,避免TSN终端采用仿冒的主时钟进行时钟同步,造成时钟同步异常,系统无法工作或遭受网络攻击等。
图7为本实施例提供的另一种消息传输方法流程图。与上述图6所示的实施例的区别在于,图6是以第一设备是5G网络中的接收时间敏感网络消息的入口设备进行举例说明的,该实施例以第一设备是5G网络中的接收时间敏感网络消息的出口设备举例说明。例如,若第一设备为DS-TT(如:图1中所示的设备侧TSN转换器(DS-TT)107)或安装DS-TT程序的终端设备(如:终端设备103),第二设备为图1中所示的TSN主时钟设备1111,表示时间敏感网络消息经过了5G网络的传输,使DS-TT 107接收到来自TSN主时钟设备1111的时间敏感网络消息,即第一通信网络为5G网络。传输时间敏感网络消息的过程详细解释可以参考上述图6所示的实施例中的相关步骤的解释。
图8为本实施例提供的另一种消息传输方法流程图。与上述实施例的区别在于,第二设备利用TSN工作域的主时钟设备证书的公钥对应的私钥对TSN工作域的第二域编号进行签名,以便于第一设备验证签名,从而确保第一设备接收到的TSN工作域的第一域编号具有真实性。如图8所示,该方法包括以下步骤。
S801、第一设备在与第二设备建立安全连接的过程中获取TSN工作域的主时钟设备证书。
第一设备与第二设备可以采用TLS协议建立第一设备与第二设备之间的安全连接,获取TSN工作域的主时钟设备证书。TSN工作域的主时钟设备证书包含TSN工作域的第二域编号。可理解的,第二设备和认证授权服务器建立安全连接,通过该安全连接进行双认证后,第二设备和认证授权服务器均保存了TSN工作域的主时钟设备证书和安全连接的会话标识。由于主时钟设备证书具有合法性,主时钟设备证书包含的第二域编号是TSN工作域的真实的域编号。具体的解释可以参考上述图2所述的实施例的S201的阐述。
S802、第二设备利用TSN工作域的主时钟设备证书的公钥所对应的私钥对TSN工作域的第二域编号签名,得到数字签名。数字签名为第二设备对TSN工作域的第二域编号进行完整性保护得到的签名。
S803、第二设备通过第一通信网络向第一设备发送时间敏感网络消息,时间敏感网络消息包括TSN工作域的第一域编号和数字签名。
S804、第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息。
S805、第一设备获取第二设备的公钥,使用公钥验证数字签名。
第一设备根据第一域编号从本地保存的多个主时钟设备证书中获取TSN工作域的主时钟设备证书,主时钟设备证书包含TSN工作域的第二域编号和公钥;第一设备从TSN工作域的主时钟设备证书中获取公钥,使用公钥验证数字签名。
在一些实施例中,如果第一域编号与第二域编号相同,第一设备根据第一域编号可以找到与第一域编号相同的第二域编号所对应的主时钟设备证书,第一设备使用主时钟设备证书的公钥成功验证数字签名。
在另一些实施例中,如果第一域编号与第二域编号不同,第一设备根据第一域编号可以找到包含第一域编号的主时钟设备证书,第一设备使用包含第一域编号的主时钟设备证书的公钥验证数字签名会验证失败。或者,第一设备根据第一域编号查找不到主时钟设备证书。从而对于第一域编号假冒了真实的第二域编号的情况,通过数字签名的验证,进一步保证校验的准确性。
若验证成功,则执行S806;若验证失败,第一设备丢弃该时间敏感网络消息,该流程终止,或者,第一设备执行S807。
S806、第一设备传输时间敏感网络消息。
S807、第一设备向第二设备发送校验失败消息。
关于S806至S807的详细解释可以参考上述S207至S208的阐述。
如此,主时钟设备发送的时间敏感网络消息包括了TSN工作域的合法的第二域编号的数字签名。后续5G网络中的设备接收到时间敏感网络消息中TSN工作域的新的第一域编号时,根据TSN工作域的新的第一域编号查找主时钟设备证书,并用此主时钟设备证书验证签名。如果时间敏感网络消息中TSN工作域的新的域编号是虚假的,那么5G网络中的设备无法根据虚假的域编号找到正确的主时钟设备证书,造成主时钟设备证书验证失败,从而可以发现TSN工作域的新的域编号造假。以TSN工作域的合法的第二域编号为基准,校验TSN工作域的新的第一域编号的真实性,若校验成功,确保TSN终端根据时间敏感网络消息包括的真实的主时钟信息与TSN工作域的主时钟设备进行时钟同步,避免TSN终端采用仿冒的主时钟进行时钟同步,造成时钟同步异常,系统无法工作或遭受网络攻击等。
图9为本实施例提供的另一种消息传输方法流程图。与上述图8所示的实施例的区别在于,图8是以第一设备是5G网络中的接收时间敏感网络消息的入口设备进行举例说明的,该实施例以第一设备是5G网络中的接收时间敏感网络消息的出口设备举例说明。例如,若第一设备为DS-TT(如:图1中所示的设备侧TSN转换器(DS-TT)107)或安装DS-TT程序的终端设备(如:终端设备103),第二设备为图1中所示的TSN主时钟设备1111,表示时间敏感网络消息经过了5G网络的传输,使DS-TT 107 接收到来自TSN主时钟设备1111的时间敏感网络消息,即第一通信网络为5G网络。传输时间敏感网络消息的过程详细解释可以参考上述图8所示的实施例中的相关步骤的解释。
图10为本实施例提供的一种消息传输方法流程图。与上述图2所示的实施例的区别在于,第一设备预先配置TSN工作域的第二域编号和主时钟设备标识的对应关系,以便于第一设备根据主时钟设备标识查询TSN工作域的第二域编号,校验接收到来自第二设备的TSN工作域的第一域编号,确保TSN工作域的第一域编号的真实性。如图10所示,该方法包括以下步骤。
S1001、第一设备预先配置TSN工作域的第二域编号和主时钟设备标识的对应关系。
第一设备可以自动配置TSN工作域的第二域编号和主时钟设备标识的对应关系,或者,人工手动配置TSN工作域的第二域编号和主时钟设备标识的对应关系。
由于第二域编号是TSN工作域的真实的域编号。第二设备为TSN工作域内的主时钟设备,该主时钟设备提供了主时钟信息。主时钟设备标识包括以下至少一个:主时钟设备的时钟标识,主时钟设备的MAC地址,主时钟设备的IP地址,主时钟设备的全限定域名,主时钟设备的端口号。
在实际应用中,第一设备可以与多个TSN工作域内的主时钟设备建立安全连接,获取多个TSN工作域的第二域编号和主时钟设备标识的对应关系。第一设备可以保存多个主时钟设备标识和相应第二域编号的对应关系。
S1002、第二设备发送时间敏感网络消息,时间敏感网络消息包括TSN工作域的第一域编号和主时钟设备标识。
第二设备发送时间敏感网络消息,5G网络中多个设备可以接收到来自第二设备的时间敏感网络消息。
S1003、第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息。
可理解的,若第一设备为图1中所示的网络侧TSN转换器(NW-TT)110,第二设备为图1中所示的TSN主时钟设备1111,表示时间敏感网络消息经过了时间敏感网络(如:TSN工作域111)的传输,使NW-TT 110接收到来自TSN主时钟设备1111的时间敏感网络消息,即第一通信网络为时间敏感网络。
在一些实施例中,第一设备与第二设备之间还可以部署有其他设备(如:NW-TT的临近设备,TSN应用功能(application function,AF)设备),即第一通信网络还可以包括NW-TT的临近设备和/或TSN AF设备。通过其他设备透传时间敏感网络消息,使第一设备接收来自第二设备的时间敏感网络消息。如果第一设备与第二设备之间未部署其他设备,第一设备与第二设备直连,无需通过其他设备的透传时间敏感网络消息,第一设备接收来自第二设备的时间敏感网络消息。
S1004、第一设备确定TSN工作域的主时钟设备标识。
时间敏感网络消息包含主时钟设备标识,第一设备接收到时间敏感网络消息后,从时间敏感网络消息获取主时钟设备标识。
S1005、第一设备根据主时钟设备标识从第一设备保存的TSN工作域的主时钟设备和相应第二域编号的对应关系中获取第二域编号。
第一设备根据主时钟设备标识从第一设备保存的多个对应关系中,查询包含时间敏感网络消息中的主时钟设备标识的主时钟设备对应关系,获取第二域编号。
在一些实施例中,TSN工作域的主时钟设备标识和第二域编号的对应关系可以以表格的形式呈现。如表3所示。
表3
对应关系 主时钟设备标识 域编号
对应关系1 主时钟设备标识1 域编号1
对应关系2 主时钟设备标识2 域编号2
对应关系3 主时钟设备标识3 域编号3
由表3可知,对应关系1包含主时钟设备标识1和域编号1;对应关系2包含主时钟设备标识2和域编号2;对应关系3包含主时钟设备标识3和域编号3。假如第一设备接收到的时间敏感网络消息包含主时钟设备标识2,第一设备根据主时钟设备标识2查询表1,确定包含主时钟设备标识2和域编号2的对应关系2,进而获得与主时钟设备标识2关联的域编号2,将域编号2作为第二域编号。
需要说明的是,表3只是以表格的形式示意TSN工作域的主时钟设备标识和第二域编号的对应关系在存储设备中的存储形式,并不是对该对应关系在存储设备中的存储形式的限定,当然,该对应关系在存储设备中的存储形式还可以以其他的形式存储,本申请实施例对此不做限定。
S1006、第一设备根据TSN工作域的第二域编号对第一域编号进行校验。
第一设备可以比较第一域编号和第二域编号,若第一域编号和第二域编号相同,表示校验成功,时间敏感网络消息包含的第一域编号是合法的域编号;若第一域编号和第二域编号不同,表示校验失败,时间敏感网络消息包含的第一域编号是非法的域编号。
若校验成功,执行S1007;若校验失败,第一设备丢弃该时间敏感网络消息,该流程终止,或者,第一设备执行S1008。
S1007、第一设备传输时间敏感网络消息。
第一设备可以通过5G网络中的核心网设备和无线接入网设备将时间敏感网络消息传输给UE/DS-TT,即DS-TT(如:DS-TT107)或安装DS-TT程序的终端设备(如:终端设备103),由UE/DS-TT将时间敏感网络消息传输给TSN终端,TSN终端根据时间敏感网络消息包含的主时钟信息与第二设备进行时钟同步。第二设备为时间敏感网络消息包含的第一域编号指示的TSN工作域中的主时钟设备。
从而通过在5G网络中的设备上配置TSN工作域的第二域编号和主时钟设备标识的对应关系,后续5G网络中的设备接收到时间敏感网络消息中TSN工作域的新的域编号时,以TSN工作域的合法的域编号为基准,校验TSN工作域的新的域编号的真实性。若校验成功,确保TSN终端根据时间敏感网络消息包括的真实的主时钟信息与TSN工作域的主时钟设备进行时钟同步,避免TSN终端采用仿冒的主时钟进行时钟同步,造成时钟同步异常,系统无法工作或遭受网络攻击等。
S1008、第一设备向第二设备发送校验失败消息。
校验失败消息可以包括失败原因。在一些实施例中,第一设备可以预先配置多个 失败原因值,一个失败原因值表示一种失败原因。可以采用校验失败消息中一个比特位的取值表示失败原因值,从而告知第二设备时间敏感网络消息发送失败。
图11为本实施例提供的另一种消息传输方法流程图。与上述图10所示的实施例的区别在于,图10是以第一设备是5G网络中的接收时间敏感网络消息的入口设备进行举例说明的,该实施例以第一设备是5G网络中的接收时间敏感网络消息的出口设备举例说明。第一设备(UE/DS-TT)配置TSN工作域的第二域编号和主时钟设备标识的对应关系。例如,若第一设备为图1中所示的设备侧TSN转换器(DS-TT)107,第二设备为图1中所示的TSN主时钟设备1111,表示时间敏感网络消息经过了5G网络的传输,使DS-TT 107接收到来自TSN主时钟设备1111的时间敏感网络消息,即第一通信网络为5G网络。传输时间敏感网络消息的过程详细解释可以参考上述图10所示的实施例中的相关步骤的解释。
在另一些实施例中,还可以通过在TSN AF,TSN中心网络配置器(TSN centralized network configuration,TSN CNC)或者5G网络中的SMF上集中配置主时钟设备标识与TSN工作域的合法的域编号的对应关系。然后,在主时钟设备发送时间敏感网络消息之前,动态下发该对应关系到UPF/NW-TT或UE/DS-TT。后续UPF/NW-TT或UE/DS-TT接收到包含新的域编号的时间敏感网络消息后,使得UPF/NW-TT或UE/DS-TT以TSN工作域的合法的域编号为基准,校验TSN工作域的新的域编号的真实性。若校验成功,确保TSN终端根据时间敏感网络消息包括的真实的主时钟信息与TSN工作域的主时钟设备进行时钟同步,避免TSN终端采用仿冒的主时钟进行时钟同步,造成时钟同步异常,系统无法工作或遭受网络攻击等。
图12为本实施例提供的一种消息传输方法流程图。与上述图10所示的实施例的区别在于,TSN CNC集中配置主时钟设备标识与TSN工作域的第二域编号的对应关系,然后TSN CNC通过Traffic forwarding information消息将对应关系发送给TSN AF。或者,TSN AF集中配置主时钟设备标识与TSN工作域的第二域编号的对应关系(执行S1201)。在第二设备发送时间敏感网络消息之前,TSN CNC或TSN AF动态下发该对应关系到第一设备(执行S1202)。其中,TSN AF通过AF请求程序(AF request procedure)将对应关系发送给PCF。PCF通过SM策略控制更新通知(SM policy control update notify)流程将对应关系发送给SMF。第一设备和UE/DS-TT建立PDU Session Modification procedure。SMF通过N4会话修改请求(N4session modification request)向UPF/NW-TT发送该对应关系。UPF/NW-TT保存对应关系。UPF/NW-TT向SMF回复N4会话修改响应(N4session modification response)。从而,第一设备根据主时钟设备标识查询TSN工作域的第二域编号,校验接收到来自第二设备的TSN工作域的第一域编号,确保TSN工作域的第一域编号的真实性。关于S1203至S1209的详细解释参考上述图10中S1002至S1008的阐述。
图13为本实施例提供的另一种消息传输方法流程图。与上述图12所示的实施例的区别在于,图12是以第一设备是5G网络中的接收时间敏感网络消息的入口设备进行举例说明的,该实施例以第一设备是5G网络中的接收时间敏感网络消息的出口设备举例说明。SMF接收到UPF/NW-TT发送主时钟设备标识与TSN工作域的第二域编号的对应关系后,SMF通过Namf_Communication_N1N2MessageTransfer Request向 AMF发送,该对应关系。AMF向SMF发送Namf_Communication_N1N2MessageTransfer Response。AMF向RAN发送N2消息,N2消息包含主时钟设备标识与TSN工作域的第二域编号的对应关系。RAN通过RRC Connection Reconfiguration将对应关系发送给第一设备(UE/DS-TT)。可选的,AMF可以向第一设备(UE/DS-TT)发送NAS消息,NAS消息包含对应关系。第一设备(UE/DS-TT)保存主时钟设备标识与TSN工作域的第二域编号的对应关系。从而,第一设备根据主时钟设备标识查询TSN工作域的第二域编号,校验接收到来自第二设备的TSN工作域的第一域编号,确保TSN工作域的第一域编号的真实性。关于S1203至S1209的详细解释参考上述图10中S1002至S1008的阐述。传输时间敏感网络消息的过程详细解释可以参考上述图12所示的实施例中的相关步骤的解释。
在另一些实施例中,SMF集中配置主时钟设备标识与TSN工作域的第二域编号的对应关系。UE/DS-TT与UPF/NW-TT通过5G桥信息报告(5G bridge information reporting)和5G桥信息配置(5G bridge information configuration)两个流程建立安全连接之后,SMF可以判断当前PDU会话是否用于TSN通信,若是则将对应关系发送给UPF/NW-TT保存,进而,以便于UPF/NW-TT根据主时钟设备标识查询TSN工作域的第二域编号,校验接收到来自第二设备的TSN工作域的第一域编号,确保TSN工作域的第一域编号的真实性,具体的校验过程参考上述各实施例的阐述。
可以理解的是,为了实现上述实施例中功能,网络设备和终端设备包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本申请中所公开的实施例描述的各示例的单元及方法步骤,本申请能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用场景和设计约束条件。
图14和图15为本申请的实施例提供的可能的通信装置的结构示意图。这些通信装置可以用于实现上述方法实施例中第一设备或第二设备的功能,因此也能实现上述方法实施例所具备的有益效果。在本申请的实施例中,该通信装置可以是如图1所示的网络侧TSN转换器110或设备侧TSN转换器107,也可以是如图1所示的TSN主时钟设备1111、TSN主时钟设备1051或者TSN主时钟设备1081,还可以是应用于这些设备的模块(如芯片)。
如图14所示,通信装置1400包括处理单元1410和收发单元1420。通信装置1400用于实现上述图2至图13中任一个所示的方法实施例中第一设备或第二设备的功能。
通信装置中的收发单元执行接收、发送信息相关的处理,处理单元则执行除了接收和发送之外的其他处理。以下是针对处理单元和收发单元具体执行处理的一些举例。
当通信装置1400用于实现图2或图3所示的方法实施例中第二设备的功能时:收发单元1420用于执行S201和S202。
当通信装置1400用于实现图2或图3所示的方法实施例中第一设备的功能时:收发单元1420用于执行S203、S207和S208;处理单元1410用于执行S204至S206。
当通信装置1400用于实现图4或图5所示的方法实施例中第二设备的功能时:收发单元1420用于执行S401和S402。
当通信装置1400用于实现图4或图5所示的方法实施例中第一设备的功能时:收 发单元1420用于执行S403、S408和S409;处理单元1410用于执行S404至S407。
当通信装置1400用于实现图6或图7所示的方法实施例中第二设备的功能时:收发单元1420用于执行S602、S603、S608、S613、S614。
当通信装置1400用于实现图6或图7所示的方法实施例中第一设备的功能时:收发单元1420用于执行S615、S618和S619;处理单元1410用于执行S616和S617。
当通信装置1400用于实现图8或图9所示的方法实施例中第二设备的功能时:收发单元1420用于执行S801和S803;处理单元1410用于执行S802。
当通信装置1400用于实现图8或图9所示的方法实施例中第一设备的功能时:收发单元1420用于执行S804、S806和S807;处理单元1410用于执行S805。
当通信装置1400用于实现图10或图11所示的方法实施例中第二设备的功能时:收发单元1420用于执行S1002。
当通信装置1400用于实现图10或图11所示的方法实施例中第一设备的功能时:收发单元1420用于执行S1003、S1007和S1008;处理单元1410用于执行S1004和S1005。
当通信装置1400用于实现图12或图13所示的方法实施例中第二设备的功能时:收发单元1420用于执行S1203。
当通信装置1400用于实现图12或图13所示的方法实施例中第一设备的功能时:收发单元1420用于执行S1204、S1208和S1209;处理单元1410用于执行S1205至S1207。
有关上述处理单元1410和收发单元1420更详细的描述可以直接参考图2至图13所示的方法实施例中相关描述直接得到,这里不加赘述。
如图15所示,通信装置1500包括处理器1510和接口电路1520。处理器1510和接口电路1520之间相互耦合。可以理解的是,接口电路1520可以为收发器或输入输出接口。可选的,通信装置1500还可以包括存储器1530,用于存储处理器1510执行的指令或存储处理器1510运行指令所需要的输入数据或存储处理器1510运行指令后产生的数据。
当通信装置1500用于实现图2至图13所示的方法时,处理器1510用于执行上述处理单元1410的功能,接口电路1520用于执行上述收发单元1420的功能。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中的方法步骤可以通过硬件的方式来实现,也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于网络设备或终端设备中。当然,处理器和存储介质也可以作为分立组件存在于网络设备或终端设备中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行所述计算机程序或指令时,全部或部分地执行本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其它可编程装置。所述计算机程序或指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机程序或指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,例如,软盘、硬盘、磁带;也可以是光介质,例如,数字视频光盘(digital video disc,DVD);还可以是半导体介质,例如,固态硬盘(solid state drive,SSD)。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”,一般表示前后关联对象是一种“或”的关系;在本申请的公式中,字符“/”,表示前后关联对象是一种“相除”的关系。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。

Claims (25)

  1. 一种消息传输方法,其特征在于,包括:
    第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息,所述时间敏感网络消息包括时间敏感网络TSN工作域的第一域编号;
    所述第一设备根据所述时间敏感网络工作域的第二域编号对所述第一域编号进行校验;
    若校验成功,则所述第一设备传输所述时间敏感网络消息。
  2. 根据权利要求1所述的方法,其特征在于,在所述第一设备根据所述时间敏感网络工作域的第二域编号对所述第一域编号进行校验之前,所述方法还包括:
    所述第一设备确定所述时间敏感网络工作域的主时钟设备标识;
    所述第一设备根据所述主时钟设备标识从所述第一设备保存的所述时间敏感网络工作域的主时钟设备证书中获取所述第二域编号,所述主时钟设备证书包括所述主时钟设备标识和所述第二域编号。
  3. 根据权利要求2所述的方法,其特征在于,所述获取所述第二域编号之前,所述方法还包括:
    所述第一设备在与所述第二设备建立安全连接的过程中获取所述主时钟设备证书。
  4. 根据权利要求2或3所述的方法,其特征在于,所述主时钟设备标识包括以下至少一个:主时钟设备的时钟标识,主时钟设备的MAC地址,主时钟设备的IP地址,主时钟设备的全限定域名FQDN,主时钟设备的端口号。
  5. 根据权利要求1所述的方法,其特征在于,在所述第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息之前,所述方法还包括:
    所述第一设备在与所述第二设备建立安全连接的过程中获取所述安全连接的会话标识和所述时间敏感网络工作域的主时钟设备证书,所述主时钟设备证书包括所述第二域编号,所述第一设备保存所述主时钟设备证书和所述会话标识的对应关系;
    所述第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息,包括:
    所述第一设备通过所述安全连接接收所述时间敏感网络消息;
    所述方法进一步包括:
    所述第一设备根据所述时间敏感网络消息确定所述会话标识;
    所述第一设备根据所述会话标识以及所述对应关系确定所述主时钟设备证书;
    所述第一设备从所述第一设备保存的所述主时钟设备证书中获取所述第二域编号。
  6. 根据权利要求1-5中任一项所述的方法,其特征在于,所述校验成功包括:所述第一域编号和所述第二域编号相同。
  7. 一种消息传输方法,其特征在于,包括:
    第一设备通过第一通信网络接收来自第二设备的时间敏感网络消息,所述时间敏感网络消息包括时间敏感网络工作域的第一域编号和数字签名,所述数字签名为对所述时间敏感网络工作域的第二域编号进行签名得到的;
    所述第一设备获取所述第二设备的公钥,使用所述公钥验证所述数字签名;
    若验证成功,则所述第一设备传输所述时间敏感网络消息。
  8. 根据权利要求7所述的方法,其特征在于,所述第一设备获取所述第二设备的 公钥,包括:
    所述第一设备根据所述第一域编号从本地保存的多个主时钟设备证书中获取所述时间敏感网络工作域的主时钟设备证书,所述主时钟设备证书包含所述时间敏感网络工作域的第二域编号和公钥;
    所述第一设备从所述时间敏感网络工作域的主时钟设备证书中获取所述公钥。
  9. 根据权利要求8所述的方法,其特征在于,所述第一设备根据所述第一域编号从本地保存的主时钟设备证书中获取所述时间敏感网络工作域的主时钟设备证书之前,所述方法还包括:
    所述第一设备在与所述第二设备建立安全连接的过程中获取所述时间敏感网络工作域的主时钟设备证书。
  10. 一种消息传输方法,其特征在于,包括:
    第二设备利用时间敏感网络工作域的主时钟设备证书的公钥所对应的私钥对所述时间敏感网络工作域的第二域编号签名,得到数字签名;
    所述第二设备通过第一通信网络向第一设备发送时间敏感网络消息,所述时间敏感网络消息包括所述时间敏感网络工作域的第一域编号和所述数字签名。
  11. 根据权利要求1-10中任一项所述的方法,其特征在于,所述第二设备是主时钟设备,
    所述第一设备与所述第二设备进行下行时钟同步时,第一通信网络是时间敏感网络,第一设备是用户面功能或网络侧TSN转换器;
    或者,第一通信网络是第五代5G网络,第一设备是用户设备或设备侧TSN转换器;和/或
    所述第一设备与所述第二设备进行上行时钟同步时,第一通信网络是时间敏感网络,第一设备是用户设备或设备侧TSN转换器;
    或者,第一通信网络是5G网络,第一设备是用户面功能或网络侧TSN转换器。
  12. 一种通信装置,其特征在于,包括:
    收发单元,用于通过第一通信网络接收来自第二设备的时间敏感网络消息,所述时间敏感网络消息包括时间敏感网络TSN工作域的第一域编号;
    处理单元,用于根据所述时间敏感网络工作域的第二域编号对所述第一域编号进行校验;若校验成功,则通过所述收发单元传输所述时间敏感网络消息。
  13. 根据权利要求12所述的装置,其特征在于,
    所述处理单元,还用于确定所述时间敏感网络工作域的主时钟设备标识;
    所述处理单元,还用于根据所述主时钟设备标识从第一设备保存的所述时间敏感网络工作域的主时钟设备证书中获取所述第二域编号,所述主时钟设备证书包括所述主时钟设备标识和所述第二域编号。
  14. 根据权利要求13所述的装置,其特征在于,
    所述处理单元,还用于在获取所述第二域编号之前,与所述第二设备建立安全连接的过程中获取所述主时钟设备证书。
  15. 根据权利要求13或14所述的装置,其特征在于,所述主时钟设备标识包括以下至少一个:主时钟设备的时钟标识,主时钟设备的MAC地址,主时钟设备的IP 地址,主时钟设备的全限定域名FQDN,主时钟设备的端口号。
  16. 根据权利要求12所述的装置,其特征在于,
    所述处理单元,还用于在与所述第二设备建立安全连接的过程中获取所述安全连接的会话标识和所述时间敏感网络工作域的主时钟设备证书,所述主时钟设备证书包括所述第二域编号,并保存所述主时钟设备证书和所述会话标识的对应关系;
    所述收发单元,具体用于通过所述安全连接接收所述时间敏感网络消息;
    所述处理单元,还用于根据所述时间敏感网络消息确定所述会话标识;根据所述会话标识以及所述对应关系确定所述主时钟设备证书;以及从第一设备保存的所述主时钟设备证书中获取所述第二域编号。
  17. 根据权利要求12-16中任一项所述的装置,其特征在于,所述校验成功包括:所述第一域编号和所述第二域编号相同。
  18. 一种通信装置,其特征在于,包括:
    收发单元,用于通过第一通信网络接收来自第二设备的时间敏感网络消息,所述时间敏感网络消息包括时间敏感网络工作域的第一域编号和数字签名,所述数字签名为对所述时间敏感网络工作域的第二域编号进行签名得到的;
    处理单元,用于获取所述第二设备的公钥,使用所述公钥验证所述数字签名;若验证成功,则通过所述收发单元传输所述时间敏感网络消息。
  19. 根据权利要求18所述的装置,其特征在于,所述处理单元,具体用于:
    根据所述第一域编号从本地保存的多个主时钟设备证书中获取所述时间敏感网络工作域的主时钟设备证书,所述主时钟设备证书包含所述时间敏感网络工作域的第二域编号和公钥;
    从所述时间敏感网络工作域的主时钟设备证书中获取所述公钥。
  20. 根据权利要求19所述的装置,其特征在于,
    所述处理单元,还用于在与所述第二设备建立安全连接的过程中获取所述时间敏感网络工作域的主时钟设备证书。
  21. 一种通信装置,其特征在于,包括:
    处理单元,用于利用时间敏感网络工作域的主时钟设备证书的公钥所对应的私钥对所述时间敏感网络工作域的第二域编号签名,得到数字签名;
    收发单元,用于通过第一通信网络向第一设备发送时间敏感网络消息,所述时间敏感网络消息包括所述时间敏感网络工作域的第一域编号和所述数字签名。
  22. 根据权利要求12-21中任一项所述的装置,其特征在于,所述第二设备是主时钟设备,
    第一设备与所述第二设备进行下行时钟同步时,第一通信网络是时间敏感网络,第一设备是用户面功能或网络侧TSN转换器;
    或者,第一通信网络是第五代5G网络,第一设备是用户设备或设备侧TSN转换器;和/或
    所述第一设备与所述第二设备进行上行时钟同步时,若第一通信网络是时间敏感网络,第一设备是用户设备或设备侧TSN转换器;
    或者,第一通信网络是5G网络,第一设备是用户面功能或网络侧TSN转换器。
  23. 一种通信装置,其特征在于,包括处理器和接口电路,所述接口电路用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置,所述处理器通过逻辑电路或执行代码指令用于实现如权利要求1至6、11中任一项所述的方法,或者,实现如权利要求7至9、11中任一项所述的方法,或者,实现如权利要求10或11所述的方法。
  24. 一种通信系统,其特征在于,包括如权利要求12至17以及22中任一项所述的第一设备和第二设备;
    所述第二设备用于通过第一通信网络向所述第一设备发送时间敏感网络消息,所述时间敏感网络消息包括时间敏感网络TSN工作域的第一域编号和主时钟设备标识。
  25. 一种通信系统,其特征在于,包括如权利要求18至21以及22中任一项所述的第一设备和第二设备。
CN202080106387.2A 2020-10-30 2020-10-30 消息传输方法及装置 Pending CN116368751A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/125566 WO2022088106A1 (zh) 2020-10-30 2020-10-30 消息传输方法及装置

Publications (1)

Publication Number Publication Date
CN116368751A true CN116368751A (zh) 2023-06-30

Family

ID=81383480

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080106387.2A Pending CN116368751A (zh) 2020-10-30 2020-10-30 消息传输方法及装置

Country Status (3)

Country Link
EP (1) EP4236120A4 (zh)
CN (1) CN116368751A (zh)
WO (1) WO2022088106A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115801544B (zh) * 2023-01-29 2023-05-23 北京智芯微电子科技有限公司 网络监测方法、设备、系统及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200259896A1 (en) * 2019-02-13 2020-08-13 Telefonaktiebolaget Lm Ericsson (Publ) Industrial Automation with 5G and Beyond

Also Published As

Publication number Publication date
EP4236120A4 (en) 2023-12-13
WO2022088106A1 (zh) 2022-05-05
EP4236120A1 (en) 2023-08-30

Similar Documents

Publication Publication Date Title
US11812496B2 (en) User group session management method and apparatus
US20190335332A1 (en) Authorization and Verification Method and Apparatus
EP4117320A1 (en) Communication method, apparatus, and system
JP7389225B2 (ja) セキュリティ保護モードを決定するための方法および装置
EP3459278B1 (en) Authentication for next generation systems
CN110073681B (zh) 用于物联网设备的方法、装置和计算机可读介质
EP3852414B1 (en) Data processing method and data processing device thereof
CN116723507B (zh) 针对边缘网络的终端安全方法及装置
CN116368751A (zh) 消息传输方法及装置
WO2023246942A1 (zh) 通信方法及装置
WO2019196963A1 (zh) 接入网络切片的方法及装置、存储介质、电子装置
CN113518475A (zh) 通信方法、装置及系统
WO2017152360A1 (zh) 一种为无线承载进行安全配置方法和设备
CN110636644A (zh) 信息传输方法及装置
CN112601222B (zh) 一种空口信息的安全保护方法及装置
RU2783350C2 (ru) Способ управления сеансом группы пользователей и устройство
CN113285805B (zh) 一种通信方法及装置
WO2018120150A1 (zh) 网络功能实体之间的连接方法及装置
WO2023104123A1 (zh) 一种通信方法、装置及设备
WO2024000331A1 (zh) 感知服务获取方法及装置
WO2023072271A1 (zh) 管理安全上下文的方法和装置
US20230308864A1 (en) Wireless communication method, apparatus, and system
WO2023213191A1 (zh) 安全保护方法及通信装置
WO2022104740A1 (zh) 一种非公共网络签约信息更新方法及装置
WO2023226956A1 (zh) 一种网络设备和通信系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination