CN117255346A - 用于sba中的证书生命周期管理的装置和方法 - Google Patents
用于sba中的证书生命周期管理的装置和方法 Download PDFInfo
- Publication number
- CN117255346A CN117255346A CN202310712626.4A CN202310712626A CN117255346A CN 117255346 A CN117255346 A CN 117255346A CN 202310712626 A CN202310712626 A CN 202310712626A CN 117255346 A CN117255346 A CN 117255346A
- Authority
- CN
- China
- Prior art keywords
- certificate
- registration process
- vendor
- network
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 143
- 230000008569 process Effects 0.000 claims abstract description 71
- 238000012545 processing Methods 0.000 claims abstract description 35
- 230000004044 response Effects 0.000 claims description 32
- 238000010200 validation analysis Methods 0.000 claims description 9
- 238000012790 confirmation Methods 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 238000007726 management method Methods 0.000 description 94
- 230000006870 function Effects 0.000 description 72
- 238000004891 communication Methods 0.000 description 54
- 230000005540 biological transmission Effects 0.000 description 25
- 230000007246 mechanism Effects 0.000 description 14
- 238000001228 spectrum Methods 0.000 description 14
- 230000001413 cellular effect Effects 0.000 description 9
- ZBRKMOHDGFGXLN-BQBZGAKWSA-N (1s,2s)-2-(3,4-dichlorobenzoyl)cyclopropane-1-carboxylic acid Chemical compound OC(=O)[C@H]1C[C@@H]1C(=O)C1=CC=C(Cl)C(Cl)=C1 ZBRKMOHDGFGXLN-BQBZGAKWSA-N 0.000 description 8
- 230000011664 signaling Effects 0.000 description 8
- 230000002776 aggregation Effects 0.000 description 7
- 238000004220 aggregation Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 238000013507 mapping Methods 0.000 description 5
- 238000013468 resource allocation Methods 0.000 description 5
- 239000000969 carrier Substances 0.000 description 4
- 230000010267 cellular communication Effects 0.000 description 4
- 101150071746 Pbsn gene Proteins 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000000638 solvent extraction Methods 0.000 description 3
- 101100172132 Mus musculus Eif3a gene Proteins 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 102100040255 Tubulin-specific chaperone C Human genes 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004873 anchoring Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000001427 coherent effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 230000010363 phase shift Effects 0.000 description 1
- 229920000915 polyvinyl chloride Polymers 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 108010093459 tubulin-specific chaperone C Proteins 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供了用于基于服务的架构(SBA)中的证书生命周期管理的装置和方法。该装置包括接口电路和处理电路,该处理电路与接口电路耦合并且被配置为:基于经由接口电路从管理多个网络功能(NF)的NF储存库功能(NRF)接收的消息,确定多个NF中的NF发起向证书链的登记过程,该证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行该登记过程。
Description
优先权声明
本申请基于2022年6月17日提交的美国专利申请第63/353,424号,并且要求该申请的优先权,该申请的全部内容通过引用结合于此。
技术领域
本公开的实施例总体涉及无线通信领域,具体地,涉及用于基于服务的架构(SBA)中的证书生命周期管理的装置和方法。
背景技术
证书是用于验证和加密网络通信的安全机制。网络功能(NF)是网络(例如,第五代(5G)或新无线电(NR)网络、第六代(6G)网络等)中提供各种功能和服务的重要组件。NF和证书都有自己的生命周期。NF的生命周期可以包括创建、配置、激活、使用和损毁等阶段。证书的生命周期可以包括发布、验证、更新和撤销等阶段。
第三代合作伙伴计划(3GPP)技术报告(TR)33.876(例如,2022年5月25日公布的版本)中的关键问题#6讨论了NF管理生命周期和证书管理生命周期之间的关系。如该关键问题的细节中所述,NF生命周期管理(LCM)和证书LCM具有在证书管理机制中需要考虑的一些关系。
发明内容
本公开的一方面提供了一种装置。该装置包括接口电路和处理电路,该处理电路与接口电路耦合并且被配置为:基于经由接口电路从管理多个网络功能(NF)的NF储存库功能(NRF)接收的消息,确定多个NF中的NF发起向证书链的登记过程,该证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行该登记过程。
本公开的另一方面提供了一种装置。该装置包括接口电路和处理电路,该处理电路与接口电路耦合并且被配置为:通过经由接口电路向网络功能(NF)储存库功能(NRF)发送注册请求以使NF向NRF注册,来发起该NF和证书链之间的登记过程,该证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行该登记过程。
附图说明
在附图中,将通过示例而非限制的方式说明本公开的实施例,其中相同的参考标号指代相似的元件。
图1示出了根据本公开的一些实施例的系统的示例架构。
图2A示出了根据本公开的实施例的用于在NF向NF储存库功能(NRF)注册时将NF管理生命周期和证书管理生命周期链接在一起的通信流的示意图。
图2B示出了根据本公开的实施例的用于在NF从NRF注销注册时将NF管理生命周期和证书管理生命周期链接在一起的通信流的示意图。
图3示出了图2A的登记过程的示例的示意流程图。
图4示出了根据本公开的实施例的用于将NF管理生命周期和证书管理生命周期链接在一起的示例方法的流程图。
图5示出了根据本公开的另一实施例的用于将NF管理生命周期和证书管理生命周期链接在一起的另一示例方法的流程图。
图6示出了根据本公开的各种实施例的网络。
图7示意性地示出了根据本公开的各种实施例的无线网络。
图8是示出根据一些示例实施例的能够从机器可读或者计算机可读介质读取指令并且执行本文所论述的任何一种或多种方法的组件的框图。
具体实施方式
将使用本领域技术人员通常采用的术语来描述说明性实施例的各个方面,以将本公开的实质传达给本领域其他技术人员。然而,对于本领域技术人员易于理解的是,可以使用所描述方面的部分来实践许多替代实施例。出于解释的目的,阐述了具体的数字、材料和配置,以提供对说明性实施例的透彻理解。然而,对于本领域技术人员易于理解的是,可以在没有这些具体细节的情况下实践替代实施例。在其他情况下,可以省略或简化众所周知的特征,以避免模糊说明性实施例。
此外,各种操作将以最有助于理解说明性实施例的方式被描述为多个离散操作;然而,描述的顺序不应被解释为暗示这些操作必须依赖于顺序。特别是,这些操作不需要按照呈现的顺序执行。
本文重复使用短语“在实施例中”、“在一种实施例中”和“在一些实施例中”。该短语通常不是指同一实施例;但是,它可能指同一实施例。除非上下文另有规定,否则术语“包含”、“具有”和“包括”是同义词。短语“A或B”和“A/B”表示“(A),(B)或(A和B)”。
尽管NF管理生命周期和证书管理生命周期可能需要不同的管理机制和过程,但是它们之间可能存在一些关系,因为证书是为NF发布的。因此,需要在为SBA指定自动证书管理时调查和考虑这些关系。
一般而言,由于NF生命周期过程独立于相关联的证书的有效期,所以如果在不考虑NF生命周期的情况下设计证书管理机制,则可能存在一些不一致的情况,例如,NF不具有任何证书或者现有证书不属于任何NF的情况。例如,当生产者NF实例的证书已经被撤销而没有通知NF储存库功能(NRF)时,NRF可能在发现过程中返回该生产者NF实例的身份(ID)。在这种情况下,如果消费者NF实例试图从该生产者NF实例获得服务,则它将不能获得该服务,因为生产者NF实例的证书已被撤销。这些不一致的情况将降低服务可用性。
因此,在SBA的自动证书管理的设计中需要考虑NF管理生命周期和证书管理生命周期之间的关系。
本公开的实施例提供了在SBA的自动证书管理中处置NF管理生命周期和证书管理生命周期之间的关系的解决方案。
如这里所使用的,术语“认证机构(CA)”指的是发布X.509证书的公钥基础设施(PKI)实体。X.509是定义公钥证书的格式的国际电信联盟(ITU)标准。
如这里所使用的,术语“注册机构(RA)”指的是不发布证书并且与CA分离的可选PKI实体,CA委托RA来接收和评估证书签名请求、潜在地验证它们、并且将它们转发到CA。
如这里所使用的,术语“证书撤销列表(CRL)”指的是包括交叉证书撤销的储存库。
CA和相应的RA发布证书,并经由证书管理协议(CMP)(例如,CMP的第二版(CMPv2))使这些证书对NF可用。CMPv2是CA和终端实体之间的协议,并且提供多个证书管理功能,如证书登记、证书更新等等。
本公开的实施例提出了用于运营商域内的证书管理的新功能/实体,其处置NF的登记、向NF分配证书、并维护证书撤销列表。仅仅为了描述的简单起见,这种新功能在这里可以被称为“证书处置器(CH)”或“证书管理器(CM)”。作为示例,在5G专用网络的情况下,CH/CM可以是将与外部RA/CA一起工作的隔离的网络功能。作为另一示例,在公共网络中,CH/CM可以与RA/CA同地协作,因为一般由运营商控制信任根。
图1示出了根据本公开的一些实施例的系统100的示例架构。以下描述是针对结合5G或新无线电(NR)系统标准操作的示例系统100而提供的。然而,示例实施例在此方面不受限制,并且所描述的实施例可以应用于受益于本文描述的原理的其他网络,诸如未来的3GPP系统(例如,第六代(6G))系统、电气和电子工程师协会(IEEE)802.16协议(例如,无线城域网(MAN)、全球微波接入互操作性(WiMAX)等)等。
如图1所示,系统100可以包括用户设备(UE)101a和UE 101b(统称为“(一个或多个)UE 101”)。如这里所使用的,术语“用户设备”或“UE”可以指具有无线电通信能力的设备,并且可以描述通信网络中的网络资源的远程用户。术语“用户设备”或“UE”可以被认为是同义词,并且可以被称为客户端、移动电话、移动设备、移动终端、用户终端、移动单元、移动站、移动用户、订户、用户、远程站、接入代理、用户代理、接收器、无线电设备、可重新配置无线电设备、可重新配置移动设备等。此外,术语“用户设备”或“UE”可以包括任何类型的无线/有线设备或者包括无线通信接口的任何计算设备。在该示例中,UE 101被示为智能电话(例如,可连接到一个或多个蜂窝网络的手持触摸屏移动计算设备),但是还可以包括任何移动或非移动计算设备,诸如消费电子设备、蜂窝电话、智能电话、功能手机、平板电脑、可穿戴计算机设备、个人数字助理(PDA)、寻呼机、无线手持设备、台式电脑、笔记本电脑、车载信息娱乐系统(IVI)、车载娱乐(ICE)设备、仪表板(Instrument Cluster,IC)、平视显示器(HUD)设备、车载诊断(OBD)设备、仪表板移动设备(DME)、移动数据终端(MDT)、电子发动机管理系统(EEMS)、电子/发动机控制单元(ECU)、电子/发动机控制模块(ECM)、嵌入式系统、微控制器、控制模块、发动机管理系统(EMS)、联网或“智能”设备、机器类型通信(MTC)设备、机器对机器(M2M)、物联网(IoT)设备和/或类似物。
在一些实施例中,UE 101中的任何一个可以包括IoT UE,其可以包括针对利用短期UE连接的低功率IoT应用而设计的网络接入层。IoT UE可以利用诸如M2M或MTC之类的技术来经由PLMN、基于邻近的服务(ProSe)或设备到设备(D2D)通信、传感器网络或IoT网络与MTC服务器或设备交换数据。M2M或MTC的数据交换可以是机器发起的数据交换。IoT网络描述了互连的IoT UE,其可以包括具有短期连接的唯一可识别的嵌入式计算设备(在互联网基础设施内)。IoT UE可以执行后台应用(例如,保持有效消息,状态更新等)以促进IoT网络的连接。
UE 101可以被配置为与RAN 110连接(例如,通信地耦合)。在实施例中,RAN 110可以是下一代(NG)RAN或5G RAN、演进的通用移动电信系统(UMTS)地面无线电接入网络(E-UTRAN)或传统RAN,例如UTRAN(UMTS陆地无线电接入网络)或GERAN(GSM(全球移动通信系统或Groupe Spécial Mobile)EDGE(GSM演进)无线电接入网络)。如这里所使用的,术语“NGRAN”等可以指代在NR或5G系统100中操作的RAN 110,并且术语“E-UTRAN”等可以指代在LTE或4G系统100中操作的RAN 110。UE 101分别利用连接(或信道)103和104,每个连接包括物理通信接口或层(下面进一步详细讨论)。如这里所使用的,术语“信道”可以指用于传送数据或数据流的任何有形或无形的传输介质。术语“信道”可以与“通信信道”、“数据通信信道”、“传输信道”、“数据传输信道”、“接入信道”、“数据接入信道”、“链路”、“数据链路”、“载波”、“射频载波”和/或表示通过其传送数据的路径或介质的任何其他类似术语同义和/或等同。另外,术语“链路”可以指通过无线电接入技术(RAT)在两个设备之间以发送和接收信息为目的的连接。
在该示例中,连接103和104被示为空中接口以实现通信耦合,并且可以与蜂窝通信协议一致,例如全球移动通信系统(GSM)协议、码分多址接入(CDMA)网络协议、即按即说(PTT)协议、蜂窝PTT(POC)协议、通用移动电信系统(UMTS)协议、3GPP长期演进(LTE)协议、第五代(5G)协议、新无线电(NR)协议和/或本文讨论的任何其他通信协议。在实施例中,UE101可以经由ProSe接口105直接交换通信数据。ProSe接口105可以替代地被称为侧链路(sidelink,SL)接口105并且可以包括一个或多个逻辑信道,包括但不限于物理侧链路控制信道(PSCCH)、物理侧链路共享信道(PSSCH)、物理侧链路发现信道(PSDCH)和物理侧链路广播信道(PSBCH)。
UE 101b被示出为被配置为经由连接107访问接入点(AP)106(也称为“WLAN节点106”、“WLAN 106”、“WLAN终端106”或“WT 106”等)。连接107可以包括本地无线连接,例如与任何IEEE 802.11协议一致的连接,其中AP 106将包括无线保真(WiFi)路由器。在该示例中,AP 106被示出为连接到互联网而不连接到无线系统的核心网(下面进一步详细描述)。在各种实施例中,UE 101b、RAN 110和AP 106可以被配置为利用LTE-WLAN聚合(LWA)操作和/或具有IPsec隧道的WLAN LTE/WLAN无线电级集成(LWIP)操作。LWA操作可以涉及处于RRC_CONNECTED中的UE 101b被RAN节点111配置为利用LTE和WLAN的无线电资源。LWIP操作可以涉及UE 101b经由互联网协议安全(IPsec)协议隧道使用WLAN无线电资源(例如,连接107)来认证和加密通过连接107发送的分组(例如,互联网协议(IP)分组)。IPsec隧道可以包括封装整个原始IP分组并添加新分组头部,从而保护IP分组的原始头部。
RAN 110可以包括启用连接103和104的一个或多个RAN节点111a和111b(统称为“(一个或多个)RAN节点111”)。如本文所使用的,术语“接入节点(AN)”、“接入点”、“RAN节点”等可以描述针对网络和一个或多个用户之间的数据和/或语音连接提供无线电基带功能的设备。这些接入节点可以称为基站(BS)、下一代节点B(gNB)、RAN节点、演进型NodeB(eNB)、NodeB,路侧单元(RSU)、传输接收点(TRxP或TRP)等等,并且可以包括在地理区域(例如,小区)内提供覆盖的地面站(例如,地面接入点)或卫星站。如这里所使用的,术语“NGRAN节点”等可以指代在NR或5G系统100中操作的RAN节点111(例如gNB),并且术语“E-UTRAN节点”等可以指在LTE或4G系统100中操作的RAN节点111(例如,eNB)。根据各种实施例,RAN节点111可以被实现为诸如宏小区基站和/或与宏小区相比用于提供具有更小的覆盖区域、更小的用户容量或更高的带宽的毫微微小区、微微小区或其他类似小区的低功率(LP)基站之类的一个或多个专用物理设备。
在一些实施例中,RAN节点111的全部或部分可以作为虚拟网络的一部分被实现为在服务器计算机上运行的一个或多个软件实体,其可以被称为云无线电接入网络(CRAN)和/或虚拟基带单元池(vBBUP)。在这些实施例中,CRAN或vBBUP可以实现RAN功能划分,例如:PDCP划分,其中RRC和PDCP层由CRAN/vBBUP操作,而其他第2层(L2)协议实体由个体RAN节点111操作;MAC/PHY划分,其中RRC、PDCP、RLC和MAC层由CRAN/vBBUP操作,并且PHY层由个体RAN节点111操作;或者“较低PHY”划分,其中RRC、PDCP、RLC、MAC层和PHY层的上部由CRAN/vBBUP操作,并且PHY层的下部由个体RAN节点111操作。该虚拟化框架允许释放RAN节点111的处理器核以执行其他虚拟化应用。在一些实现中,个体RAN节点111可以表示经由个体F1接口(图1未示出)连接到gNB-CU的个体gNB-DU。在这些实现中,gNB-DU可以包括一个或多个远程无线电头或无线电前端模块(RFEM),并且gNB-CU可以由位于RAN 110中的服务器(未示出)操作或以与CRAN/vBBUP类似的方式由服务器池操作。附加地或替代地,一个或多个RAN节点111可以是下一代eNB(ng-eNB),其是向UE 101提供E-UTRA用户平面和控制平面协议端接的RAN节点,并且其经由NG接口被连接到5GC。
在V2X场景中,一个或多个RAN节点111可以是RSU或充当RSU。术语“路边单元”或“RSU”可以指用于V2X通信的任何运输基础设施实体。RSU可以在合适的RAN节点或固定(或相对静止的)UE中实现或者由其实现,其中在UE中或由UE实现的RSU可以被称为“UE类型RSU”,在eNB中或由eNB实现的RSU可以被称为“eNB类型RSU”,在gNB中或由gNB实现的RSU可以被称为“gNB类型RSU”等。在一个示例中,RSU是与位于路边的射频电路耦合的计算设备,其为通过的车辆UE 101(vUE 101)提供连接性支持。RSU还可以包括内部数据存储电路,用于存储交叉点地图几何、交通统计信息、媒体、以及用于感测和控制正在进行的车辆和行人交通的应用/软件。RSU可以在5.9GHz直接短距离通信(DSRC)频带上操作,以提供高速事件所需的非常低延迟的通信,例如避免碰撞、交通警告等。附加地或替代地,RSU可以在蜂窝V2X频带上操作以提供上述低延迟的通信以及其他蜂窝通信服务。附加地或替代地,RSU可以作为WiFi热点(2.4GHz频带)操作和/或提供到一个或多个蜂窝网络的连接以提供上行链路和下行链路通信。RSU的(一个或多个)计算设备和一些或全部射频电路可以封装在适于室外安装的防风雨外壳中,并且可以包括网络接口控制器以提供与交通信号控制器和/或回程网络的有线(例如,以太网)连接。
任何RAN节点111都可以终止空中接口协议,并且可以是UE 101的第一联系点。在一些实施例中,任何RAN节点111可以满足RAN 110的各种逻辑功能,包括但是不限于无线电网络控制器(RNC)功能,例如无线电承载管理、上行链路和下行链路动态无线电资源管理和数据分组调度、以及移动性管理。
在实施例中,UE 101可以被配置为根据各种通信技术、使用正交频分复用(OFDM)通信信号、通过多载波通信信道彼此或与任何RAN节点111进行通信,各种通信技术例如但不限于正交频分多址(OFDMA)通信技术(例如,用于下行链路通信)或单载波频分多址(SC-FDMA)通信技术(例如,用于上行链路和ProSe或侧链路通信),尽管实施例的范围不限于此方面。OFDM信号可以包括多个正交子载波。
在一些实施例中,下行链路资源网格可以用于从任何RAN节点111到UE 101的下行链路传输,而上行链路传输可以使用类似的技术。网格可以是时频网格,被称为资源网格或时频资源网格,其是每个时隙在下行链路中的物理资源。这种时频平面表示是OFDM系统的常见做法,这使得无线电资源分配是直观的。资源网格的每列和每行分别对应于一个OFDM符号和一个OFDM子载波。时域中资源网格的持续时间对应于无线电帧中的一个时隙。资源网格中的最小时频单元被表示为资源要素。每个资源网格包括多个资源块,其描述了某些物理信道到资源要素的映射。每个资源块包括资源要素的集合;在频域中,这可以表示当前可以分配的最小资源量。存在使用这样的资源块传送的若干不同的物理下行链路信道。
根据各种实施例,UE 101和RAN节点111通过许可介质(也称为“许可频谱”和/或“许可频带”)和未经许可的共享介质(也称为“未许可频谱和/或“未许可频带”)传送(例如,发送和接收)数据。许可频谱可以包括在大约400MHz到大约3.8GHz的频率范围内操作的信道,而未许可频谱可以包括5GHz频带。
为了在未许可频谱中操作,UE 101和RAN节点111可以使用许可辅助接入(LAA)、增强LAA(eLAA)和/或其他eLAA(feLAA)机制来操作。在这些实现中,UE 101和RAN节点111可以执行一个或多个已知的介质感测操作和/或载波感测操作,以在未经许可的频谱中传输之前确定未许可频谱中的一个或多个信道是否不可用或以其他方式被占用。可以根据先听后说(LBT)协议来执行介质/载波感测操作。
LBT是一种机制,其中设备(例如,UE 101、RAN节点111等)感测介质(例如,信道或载波频率)并且在感测到介质空闲时(或者当感测到介质中的特定通道未被占用时)发送。介质感测操作可以包括空闲信道评估(CCA),其至少利用能量检测(ED)来确定信道上是否存在其他信号,以确定信道是被占用还是空闲。该LBT机制允许蜂窝/LAA网络与未许可频谱中的现任系统以及与其他LAA网络共存。ED可以包括在预期的传输频带上感测射频(RF)能量达一段时间并且将感测到RF能量与预定的或配置的阈值进行比较。
通常,5GHz频带中的现任系统是基于IEEE 802.11技术的WLAN。WLAN采用基于竞争的信道接入机制,称为具有冲突避免的载波侦听多路访问(CSMA/CA)。这里,当WLAN节点(例如,诸如UE 101、AP 106之类的移动站(MS))打算发送时,WLAN节点可以首先在发送之前执行CCA。另外,退避机制用于避免在多于一个WLAN节点将信道感测为空闲并同时发送的情况下的冲突。退避机制可以是在争用窗口大小(CWS)内随机绘制的计数器,其在发生冲突时指数地增加并且在传输成功时被重置为最小值。针对LAA设计的LBT机制有点类似于WLAN的CSMA/CA。在一些实现中,用于分别包括PDSCH或PUSCH传输的DL或UL传输突发的LBT过程可以具有在X和Y扩展CCA(ECCA)时隙之间长度可变的LAA争用窗口,其中X和Y是针对LAA的CWS的最小值和最大值。在一个示例中,LAA传输的最小CWS可以是9微秒(μs);然而,CWS的大小和最大信道占用时间(MCOT)(例如,传输突发)可以基于政府监管要求。
LAA机制基于LTE高级(LTE-Advanced)系统的载波聚合(CA)技术而建立。在CA中,每个聚合载波被称为分量载波(CC)。CC可以具有1.4、3、5、10、15或20MHz的带宽,并且可以聚合最多五个CC,因此,最大聚合带宽是100MHz。在频分双工(FDD)系统中,聚合载波的数量对于DL和UL可以是不同的,其中UL CC的数量等于或低于DL分量载波的数量。在某些情况下,个体CC可以具有与其他CC不同的带宽。在时分双工(TDD)系统中,对于DL和UL,CC的数量以及每个CC的带宽通常是相同的。
CA还包括单独的服务小区以提供单独的CC。服务小区的覆盖范围可能不同,例如,由于不同频带上的CC将经历不同的路径损耗。主服务小区或主小区(PCell)可以为UL和DL二者提供主CC(PCC),并且可以处理无线电资源控制(RRC)和非接入层(NAS)相关活动。其他服务小区被称为辅小区(SCell),并且每个SCell可以为UL和DL二者提供单独的辅CC(SCC)。可以根据需要添加和移除SCC,而改变PCC可能需要UE 101经历切换。在LAA、eLAA和feLAA中,一些或所有SCell可以在未许可频谱中操作(称为“LAA SCell”),并且LAA SCell由在许可频谱中操作的PCell辅助。当UE被配置有多于一个LAA SCell时,UE可以在被配置的LAASCell上接收UL授权,该UL授权指示同一子帧内的不同物理上行链路共享信道(PUSCH)起始位置。
物理下行链路共享信道(PDSCH)可以将用户数据和更高层信令携带到UE 101。物理下行链路控制信道(PDCCH)可以携带关于与PDSCH信道有关的传输格式和资源分配的信息等。它还可以向UE 101通知与上行链路共享信道有关的传输格式、资源分配和H-ARQ(混合自动重传请求)信息。通常,可以基于从任何UE 101反馈的信道质量信息在任何RAN节点111处执行下行链路调度(向小区内的UE 101b分配控制和共享信道资源块)。下行链路资源分配信息可以在用于(例如,分配给)每个UE 101的PDCCH上发送。
PDCCH可以使用控制信道要素(CCE)来传达控制信息。在映射到资源要素之前,可首先将PDCCH复值符号组织成四元组,然后可使用子块交织器对其进行置换以进行速率匹配。可以使用这些CCE中的一个或多个来发送每个PDCCH,其中每个CCE可以对应于称为资源要素组(REG)的九组四个物理资源要素。可以将四个正交相移键控(QPSK)符号映射到每个REG。可以使用一个或多个CCE来发送PDCCH,这取决于下行链路控制信息(DCI)的大小和信道条件。在LTE中可以定义有具有不同数量的CCE的四种或更多种不同的PDCCH格式(例如,聚合级别,L=1、2、4或8)。
一些实施例可以使用用于控制信道信息的资源分配的概念,该概念是上述概念的扩展。例如,一些实施例可以使用增强型物理下行链路控制信道(EPDCCH),其使用PDSCH资源来进行控制信息传输。可以使用一个或多个增强的控制信道要素(ECCE)来发送EPDCCH。与上面类似,每个ECCE可以对应于被称为增强资源要素组(EREG)的九组四个物理资源要素。在某些情况下,ECCE可能有其他数量的EREG。
RAN节点111可以被配置为经由接口112彼此通信。在系统100是LTE系统的实施例中,接口112可以是X2接口112。X2接口可以在连接到EPC 120的两个或更多个RAN节点111(例如,两个或更多个eNB等)和/或连接到EPC 120的两个eNB之间来定义。在一些实现中,X2接口可以包括X2用户平面接口(X2-U)和X2控制平面接口(X2-C)。X2-U可以针对通过X2接口传输的用户数据分组提供流控制机制,并且可以用于传送关于eNB之间的用户数据传递的信息。例如,X2-U可以针对从主eNB(MeNB)传送到辅eNB(SeNB)的用户数据提供特定的序列号信息;关于成功地针对用户数据从SeNB向UE 101顺次传输PDCP PDU的信息;未传递给UE101的PDCP PDU的信息;关于SeNB处用于发送给UE用户数据的当前最小所需缓冲区大小的信息;等等。X2-C可以提供LTE内接入移动性功能,包括从源eNB到目标eNB的上下文传输、用户平面传输控制等;负载管理功能;以及小区间干扰协调功能。
在系统100是5G或NR系统的实施例中,接口112可以是Xn接口112。Xn接口定义在连接到5GC 120的两个或更多个RAN节点111(例如,两个或更多个gNB等)之间,连接到5GC 120的RAN节点111(例如,gNB)与eNB之间,和/或连接到5GC 120的两个eNB之间。在一些实现中,Xn接口可以包括Xn用户平面(Xn-U)接口和Xn控制平面(Xn-C)接口。Xn-U可以提供用户平面PDU的无担保传送,并支持/提供数据转发和流控制功能。Xn-C可以提供:管理和错误处理功能;管理Xn-C接口的功能;对连接模式(例如,CM-CONNECTED)中的UE 101的移动性支持,包括管理一个或多个RAN节点111之间的连接模式的UE移动性的功能。移动性支持可以包括来自旧(源)服务RAN节点111到新的(目标)服务RAN节点111的上下文传送;以及对旧(源)服务RAN节点111与新(目标)服务RAN节点111之间的用户平面隧道的控制。Xn-U的协议栈可以包括建立在互联网协议(IP)传输层上的传输网络层,以及在(一个或多个)UDP和/或IP层之上的GTP-U层,用于承载用户平面PDU。Xn-C协议栈可以包括应用层信令协议(称为Xn应用协议(Xn-AP))和构建在SCTP上的传输网络层。SCTP可以位于IP层之上,并且可以提供应用层消息的担保传送。在传输IP层中,点对点传输用于传递信令PDU。在其他实现中,Xn-U协议栈和/或Xn-C协议栈可以与这里示出和描述的(一个或多个)用户平面和/或控制平面协议栈相同或相似。
RAN 110被示出通信地耦合到核心网——在该实施例中,为核心网(CN)120。CN120可以包括多个网络元件122,其被配置为向通过RAN 110连接到CN 120的客户/订户(例如,UE 101的用户)提供各种数据和电信服务。术语“网络元件”可以描述用于提供有线或无线通信网络服务的物理或虚拟化设备。术语“网络元件”可以被认为与下述项同义和/或被称为下述项:联网计算机、网络硬件、网络设备、路由器、交换机、集线器、网桥、无线电网络控制器、无线电接入网络设备、网关、服务器、虚拟化网络功能(VNF)、网络功能虚拟化基础设施(NFVI)和/或类似物。CN 120的组件可以在一个物理节点或分离的物理节点中实现,包括从机器可读或计算机可读介质(例如,非暂时性机器可读存储介质)读取和执行指令的组件。在一些实施例中,网络功能虚拟化(NFV)可用于经由存储在一个或多个计算机可读存储介质中的可执行指令来虚拟化任何或所有上述网络节点功能(下面进一步详细描述)。CN120的逻辑实例化可以被称为网络切片,并且CN 120的一部分的逻辑实例化可以被称为网络子切片。NFV架构和基础结构可用于将一个或多个网络功能虚拟化,或者由专用硬件执行到包括行业标准服务器硬件、存储硬件或交换机的组合的物理资源上。换句话说,NFV系统可用于执行一个或多个EPC组件/功能的虚拟或可重新配置的实现。
一般而言,应用服务器130可以是提供与核心网(例如,UMTS分组服务(PS)域,LTEPS数据服务等)一起使用IP承载资源的应用的元件。应用服务器130还可以被配置为经由EPC 120针对UE 101支持一个或多个通信服务(例如,互联网协议语音(VoIP)会话、PTT会话、群组通信会话、社交网络服务等)。
在实施例中,CN 120可以是5GC(被称为“5GC 120”等),并且RAN 110可以经由NG接口113与CN 120连接。在实施例中,NG接口113可以分成两部分:NG用户平面(NG-U)接口114,其承载RAN节点111和用户平面功能(UPF)之间的业务数据;以及S1控制平面(NG-C)接口115,这是RAN节点111和AMF之间的信令接口。
为了将NF管理生命周期和证书管理生命周期链接在一起,在如图1所示的5G或NR系统的运营商域中提供用于证书管理的新功能/实体。用于证书管理的新功能/实体被配置为处置NF的等级、向NF分配证书、并维护证书撤销列表。仅仅为了描述的简单起见,用于证书管理的新功能/实体在这里可以被称为“证书处置器(CH)”或“证书管理器(CM)”。
图2A示出了根据本公开的实施例的用于在NF向NRF注册时将NF管理生命周期和证书管理生命周期链接在一起的通信流的示意图。该通信流涉及以下几者之间的通信:该NF,管理并维护包括包括该NF在内的多个NF的NRF,以及包括CH(或CM)、RA和CA的证书链(为描述简单起见,这里将证书链表示为“CH/RA/CA”)。
在210,NF向NRF发送注册请求(例如,Nnrf_NFManagement_NFRegister)。该注册请求包括关于该NF本身的信息,以使得NRF能够在NF向NRF注册之后管理和维护该NF。
在220,NRF向CH/RA/CA发送消息,以指示NF已经发起了向CH/RA/CA的登记过程。例如,该消息可以指示NF是活动的并且其证书是活动的。
在230,执行NF和CH/RA/CA之间的登记过程。下面的图3中提供了该登记过程的示意流程图。
图2B示出了根据本公开的实施例用于在NF从NRF注销注册时将NF管理生命周期和证书管理生命周期链接在一起的通信流的示意图。该通信流涉及以下几者之间的通信:该NF,管理并维护包括包括该NF在内的多个NF的NRF,以及CH/RA/CA。
在240,NF向NRF发送注销注册请求(例如,Nnrf_NFManagement_NF DeRegister)。
在250,NRF向CH/RA/CA发送消息,以指示为该NF分配的证书应当被撤销。
在260,CH/RA/CA撤销为NF分配的证书,并更新由CH维护的本地证书撤销列表(CRL)。如果NF通过网络暴露功能(NEF)向外部暴露给其它运营商,则还应当更新公共CRL。
图3示出了图2A的登记过程的示例的示意流程图。
登记过程可以基于CMPv2来执行。为了描述的简单,图3示出了直接在NF和CH/RA/CA之间进行通信,但是可替换地,这些通信可以经过NRF,即NRF可以充当NF和CH/RA/CA之间的中介,本公开也覆盖了这种通信情况。
作为登记过程的先决条件,NF包括由供应商(例如,Intel公司)提供的私钥/公钥对,并被预配设有由该供应商的CA签名的NF证书。如果存在直到供应商的根CA的证书链,则NF还被被预配设有中间证书。运营商网络中的CH、CA和RA配置有供应商的根证书和(一个或多个)运营商证书。在登记过程中,通过设置所交换的消息的公钥基础设施(PKI)头部(PKIHeader)字段“protection”和“protection_Alg”来对它们进行保护。protection_Alg字段的示例被设置为值{1 2 840 11359 1 1 11}(其是sha256WithRSAEncryption的对象标识符(OID)值)。“sha256WithRSAEncryption”是使用SHA-256散列函数和RSA加密算法进行安全通信的数字签名算法。
在步骤1中,NF发现CH/RA/CA的地址。
在步骤2中,如果未被预配设将在运营商网络的CA中登记的私钥/公钥对,则NF生成该私钥/公钥对。
在步骤3中,NF生成初始化请求(ir)。该初始化请求可以包括证书请求消息(CertReqMsg)以指定所请求的证书。CertReqMsg可以包括独一无二的证书请求标识(certReqId)值以标识所请求的证书。为了提供对拥有的证明,NF使用与将由CH/RA/CA认证的公钥有关的私钥来生成对CertReqMsg的拥有证明(POP)签名密钥(POPOSigningKey)字段的签名。
在步骤4中,NF使用第一PKI消息(PKIMessage)向CH/RA/CA发送初始化请求(ir)。第一PKIMessage包括由NF使用供应商提供的私钥生成的初始化请求的数字签名。由供应商签名的NF证书和任何中间证书被包括在PKIMessage的额外证书(extraCerts)字段中。
在步骤5中,CH/RA/CA使用由供应商签名的NF证书和中间证书对照供应商的根证书验证初始化请求的数字签名。CH/RA/CA还可以验证拥有所请求证书的私钥的证明。
在步骤6中,CH/RA/CA为NF生成所请求的证书。如果初始化请求中不包括NF的建议身份(所请求的证书将与该建议身份相关联),则CH/RA/CA例如基于包括在由供应商签名的NF证书中的供应商提供的NF身份来确定NF的建议身份。
在步骤7中,CH/RA/CA生成初始化响应(ip)。该初始化响应包括所请求的证书,并且包括与初始化请求中相同的独一无二的certReqId值。CH/RA/CA用CH/RA/CA的私钥对该初始化响应进行签名,以生成针对初始化响应的签名。
在步骤8中,CH/RA/CA使用第二PKIMessage向NF提供签名的初始化响应。第二PKIMessage可以包括针对初始化响应的签名、(一个或多个)运营商证书、和运营商根证书。用于认证(一个或多个)运营商证书的适当证书链也被包括在第二PKIMessage中。
在步骤9中,如果运营商根证书未被预先配设给NF,则NF从第二PKIMessage中提取该运营商根证书。NF使用(一个或多个)运营商证书认证第二PKIMessage,并安装在第二PKIMessage中提供的所请求的证书。
在步骤10中,NF生成证书确认(certconf)消息并对该消息签名。证书确认消息可以包括与初始化请求中相同的独一无二的certReqId值。
在步骤11中,NF使用第三PKIMessage将签名的证书确认消息发送到CH/RA/CA。
在步骤12中,CH/RA/CA认证包括证书确认消息的第三PKIMessage。
在步骤13中,CH/RA/CA生成确认消息(pkiconf)并对该消息签名。
在步骤14中,CH/RA/CA使用第四PKIMessage将签名的确认消息发送到NF。
在步骤15中,NF认证确认消息。
图3所示出的仅是登记过程的一个具体示例,并非所有的登记过程都必须包括所示出的步骤1-15,此外,根据具体情况,登记过程还可以包括其它未示出的步骤。
图4示出了根据本公开的实施例的用于将NF管理生命周期和证书管理生命周期链接在一起的示例方法400的流程图。方法400可由运营商网络中包括用于证书管理的新功能/实体、RA和CA的证书链(例如,结合图2A、图2B和图3所述的CH/RA/CA)来执行。
方法400包括,在410,从管理多个NF的NRF接收消息。
方法400包括,在420,基于该消息确定多个NF中的一NF发起向CH/RA/CA的登记过程。
方法400还包括在430执行登记过程。登记过程可以是如图3所示的过程。
在一些实施例中,方法400可以包括更多或更少的或不同的步骤,这在本公开中不作限定。
可以结合上述实施例来理解方法400,这里不再重复。
图5示出了根据本公开的另一实施例的用于将NF管理生命周期和证书管理生命周期链接在一起的另一示例方法500的流程图。方法500可以由NF执行,例如结合图2A、图2B和图3所述的NF。
方法500包括,在510,向NRF发送注册请求(例如,Nnrf_NFManagement_NFRegister),以向NRF注册。该注册请求将使NRF向运营商网络中包括用于证书管理的新功能/实体、RA和CA的证书链(简称为“CH/RA/CA”)发送消息,以发起NF和CH/RA/CA之间的登记过程。
方法500包括在520执行向CH/RA/CA的登记过程。
在一些实施例中,方法500可以包括更多或更少的或不同的步骤,这在本公开中不作限定。
可以结合上述实施例来理解方法500,这里不再重复。
在一些实施例中,图4和5的方法可以在一个或多个模块中作为存储在诸如随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、固件、闪存之类的机器或计算机可读存储介质中的逻辑指令集实现;在诸如可编程逻辑阵列(PLA)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD)之类的可配置逻辑中实现;在使用诸如专用集成电路(ASIC)、互补金属氧化物半导体(CMOS)或晶体管-晶体管逻辑(TTL)技术之类的电路技术的固定功能逻辑硬件中实现;或者在其任意组合中实现。
例如,图4和5的方法中所示的操作的计算机程序代码可以以一种或多种编程语言的任意组合来编写,所述编程语言包括面向对象的编程语言,例如JAVA、SMALLTALK、C++等,以及常规的过程编程语言,例如“C”编程语言或类似的编程语言。另外,逻辑指令可以包括汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、状态设置数据、集成电路的配置数据、使硬件本地的电子电路和/或其它结构组件(例如,主处理器、中央处理单元(CPU)、微控制器等)个性化的状态信息。
图6示出了根据各种实施例的网络600。网络600可以按照与5G/NR系统的3GPP技术规范一致的方式操作。然而,示例实施例在这方面不受限制,并且所描述的实施例可以应用于受益于本文所描述的原理的其他网络,例如未来3GPP系统等。
网络600可以包括UE 602,该UE可以包括被设计为经由空中连接与RAN 604通信的任何移动或非移动计算设备。UE 602可以是但不限于智能手机、平板电脑、可穿戴计算机设备、台式计算机、膝上型计算机、车载信息娱乐设备、车载娱乐设备、仪表组、抬头显示设备、车上诊断设备、仪表板移动设备、移动数据终端、电子引擎管理系统、电子/引擎控制单元、电子/引擎控制模块、嵌入式系统、传感器、微控制器、控制模块、引擎管理系统、联网电器、机器型通信设备、M2M或D2D设备、物联网设备等。
在一些实施例中,网络600可以包括通过边链路接口彼此直接耦合的多个UE。UE可以是使用物理边链路信道(例如但不限于,PSBCH、PSDCH、PSSCH、PSCCH、PSFCH等)进行通信的M2M/D2D设备。
在一些实施例中,UE 602还可以通过空中连接与AP 606进行通信。AP 606可管理WLAN连接,其可用于从RAN 604卸载一些/所有网络流量。UE 602和AP 606之间的连接可以与任何IEEE 802.11协议一致,其中,AP 606可以是无线保真路由器。在一些实施例中,UE 602、RAN 604、和AP 606可以利用蜂窝WLAN聚合(例如,LWA/LWIP)。蜂窝WLAN聚合可涉及由RAN 604配置的UE 602利用蜂窝无线电资源和WLAN资源二者。
RAN 604可以包括一个或多个接入节点,例如,AN 608。AN 608可以通过提供包括RRC、分组数据会聚协议(PDCP)、无线电链路控制(RLC)、介质访问控制(MAC)、和L1协议在内的接入层协议来终止UE 602的空中接口协议。以此方式,AN 608可以使能CN 620和UE 602之间的数据/语音连通性。在一些实施例中,AN 608可以被实现在分立的设备中,或者被实现为在服务器计算机上运行的一个或多个软件实体,作为例如虚拟网络的一部分,虚拟网络可被称为CRAN或虚拟基带单元池。AN 608可被称为基站(BS)、gNB、RAN节点、演进节点B(eNB)、下一代eNB(ng-eNB)、节点B(NodeB)、路边单元(RSU)、TRxP、TRP等。AN 608可以是宏小区基站或低功率基站,用于提供与宏小区相比具有更小覆盖区域、更小用户容量、或更高带宽的微小区、微微小区、或其他类似小区。
在RAN 604包括多个AN的实施例中,它们可以通过X2接口(在RAN 604是LTE RAN的情况下)或Xn接口(在RAN 604是5G RAN的情况下)相互耦合。在一些实施例中可以被分离成控制平面接口/用户平面接口的X2/Xn接口可以允许AN传送与切换、数据/上下文传输、移动性、载荷管理、干扰协调等相关的信息。
RAN 604的AN可以分别管理一个或多个小区、小区组、分量载波等,以向UE 602提供用于网络接入的空中接口。UE 602可以与由RAN 604的相同或不同AN提供的多个小区同时连接。例如,UE 602和RAN 604可以使用载波聚合来允许UE 602与多个分量载波连接,每个分量载波对应于主小区(Pcell)或辅小区(Scell)。在双连通性场景中,第一AN可以是提供主小区组(MCG)的主节点,第二AN可以是提供辅小区组(SCG)的辅节点。第一/第二AN可以是eNB、gNB、ng-eNB等的任意组合。
RAN 604可以在许可频谱或非许可频谱上提供空中接口。为了在非许可频谱中操作,节点可以使用基于具有PCell/Scell的载波聚合(CA)技术的许可辅助接入(LAA)、增强的LAA(eLAA)、和/或进一步增强的LAA(feLAA)机制。在访问非许可频谱之前,节点可以基于例如先听后说(LBT)协议来执行介质/载波感测操作。
在车辆对一切(V2X)场景中,UE 602或AN 608可以是或充当路边单元(RSU),其可以指用于V2X通信的任何运输基础设施实体。RSU可以在适当的AN或静止(或相对静止)的UE中实现或由其实现。在UE中实现或由UE实现的RSU可以被称为“UE型RSU”;在eNB中实现或由eNB实现的RSU可以被称为“eNB型RSU”;在下一代NodeB(gNB)中实现或由gNB实现的RSU可以被称为“gNB型RSU”;等等。在一个示例中,RSU是与位于路边的射频电路耦合的计算设备,其向经过的车辆UE提供连通性支持。RSU还可以包括内部数据存储电路,用于存储交叉口地图几何图形、交通统计数据、媒体、以及用于感测和控制正在进行的车辆和行人交通的应用程序/软件。RSU可以提供高速事件所需的非常低延迟的通信,例如,碰撞避免、交通警告等。另外或可替代地,RSU可以提供其他蜂窝/WLAN通信服务。RSU的组件可被封装在适合室外安装的防风雨外壳中,并且可以包括网络接口控制器以提供到交通信号控制器或回程网络的有线连接(例如,以太网)。
在一些实施例中,RAN 604可以是具有eNB(例如,eNB 612)的LTE RAN 610。LTERAN 610可以提供具有以下特性的LTE空中接口:15kHz的子载波间隔(SCS);用于DL的CP-OFDM波形和用于UL的SC-FDMA波形;用于数据的turbo代码和用于控制的TBCC等。LTE空中接口可以依赖CSI-RS来进行CSI采集和波束管理;依赖PDSCH/PDCCH解调参考信号(DMRS)来进行PDSCH/PDCCH解调;以及依赖CRS来进行小区搜索和初始采集、信道质量测量、和信道估计,以用于UE处的相干解调/检测。LTE空中接口可以在亚6GHz波段上工作。
在一些实施例中,RAN 604可以是具有gNB(例如,gNB 616)或gn-eNB(例如,ng-eNB618)的下一代(NG)-RAN 614。gNB 616可以使用5G NR接口与启用5G的UE连接。gNB 616可以通过NG接口与5G核心连接,NG接口可以包括N2接口或N3接口。Ng-eNB 618还可以通过NG接口与5G核心连接,但是可以通过LTE空中接口与UE连接。gNB 616和ng-eNB 618可以通过Xn接口彼此连接。
在一些实施例中,NG接口可以分为NG用户平面(NG-U)接口和NG控制平面(NG-C)接口两部分,前者承载NG-RAN 614和UPF 648的节点之间的流量数据,后者是NG-RAN 614与接入和移动性管理功能(AMF)644的节点之间的信令接口(例如,N2接口)。
NG-RAN 614可以提供具有以下特性的5G-NR空中接口:可变SCS;用于DL的CP-OFDM、用于UL的CP-OFDM和DFT-s-OFDM;用于控制的极性、重复、单工、和里德-穆勒(Reed-Muller)码、以及用于数据的LDPC。5G-NR空中接口可以依赖于类似于LTE空中接口的CSI-RS、PDSCH/PDCCH DMRS。5G-NR空中接口可以不使用CRS,但是可以使用PBCH DMRS进行PBCH解调;使用PTRS进行PDSCH的相位跟踪;以及使用跟踪参考信号进行时间跟踪。5G-NR空中接口可以在包括亚6GHz频带的FR1频带或包括24.25GHz到52.6GHz频带的FR2频带上操作。5G-NR空中接口可以包括SSB,SSB是包括PSS/SSS/PBCH的下行链路资源网格的区域。
在一些实施例中,5G-NR空中接口可以将BWP用于各种目的。例如,BWP可以用于SCS的动态适应。例如,UE 602可被配置有多个BWP,其中,每个BWP配置具有不同的SCS。当向UE602指示BWP改变时,传输的SCS也改变。BWP的另一用例与省电有关。具体地,可以为UE 602配置具有不同数量的频率资源(例如,PRB)的多个BWP,以支持不同流量载荷场景下的数据传输。包含较少数量PRB的BWP可以用于具有较小流量载荷的数据传输,同时允许UE 602和在某些情况下gNB 616处的省电。包含大量PRB的BWP可以用于具有更高流量载荷的场景。
RAN 604通信地耦合到包括网络元件的CN 620,以向客户/订户(例如,UE 602的用户)提供支持数据和电信服务的各种功能。CN 620的组件可以实现在一个物理节点中也可以是实现在不同的物理节点中。在一些实施例中,NFV可以用于将CN 620的网络元件提供的任何或所有功能虚拟化到服务器、交换机等中的物理计算/存储资源上。CN 620的逻辑实例可以被称为网络切片,并且CN 620的一部分的逻辑实例化可以被称为网络子切片。
在一些实施例中,CN 620可以是LTE CN 622,其也可以被称为演进分组核心(EPC)。LTE CN 622可以包括移动性管理实体(MME)624、服务网关(SGW)626、服务GPRS支持节点(SGSN)628、归属订户服务器(HSS)630、代理网关(PGW)632、以及策略控制和收费规则功能(PCRF)634,如图所示,这些组件通过接口(或“参考点”)相互耦合。LTE CN 622的元件的功能可以简单介绍如下。
MME 624可以实现移动性管理功能,以跟踪UE 602的当前位置,从而方便巡护、承载激活/停用、切换、网关选择、认证等。
SGW 626可以终止朝向RAN的S1接口,并在RAN和LTE CN 622之间路由数据分组。SGW 626可以是用于RAN节点间切换的本地移动性锚点,并且还可以提供用于3GPP间移动性的锚定。其他职责可以包括合法拦截、收费、以及一些策略执行。
SGSN 628可以跟踪UE 602的位置并执行安全功能和访问控制。另外,SGSN 628可以执行EPC节点间信令,以用于不同RAT网络之间的移动性;MME 624指定的PDN和S-GW选择;用于切换的MME选择等。MME 624和SGSN 628之间的S3参考点可以使能空闲/活动状态下用于3GPP间接入网络移动性的用户和承载信息交换。
HSS 630可以包括用于网络用户的数据库,该数据库包括支持网络实体处理通信会话的订阅相关信息。HSS 630可以提供对路由/漫游、认证、许可、命名/寻址解析、位置依赖性等的支持。HSS 630和MME 624之间的S6a参考点可以使能订阅和认证数据的传输,以认证/许可用户对LTE CN 620的访问。
PGW 632可以终止朝向可以包括应用/内容服务器638的数据网络(DN)636的SGi接口。PGW 632可以在LTE CN 622和数据网络636之间路由数据分组。PGW 632可以通过S5参考点与SGW 626耦合,以促进用户平面隧道和隧道管理。PGW 632还可以包括用于策略执行和收费数据收集的节点(例如,PCEF)。另外,PGW 632和数据网络636之间的SGi参考点可以是例如,用于提供IMS服务的运营商外部公共、私有PDN、或运营商内部分组数据网络。PGW 632可以经由Gx参考点与PCRF 634耦合。
PCRF 634是LTE CN 622的策略和收费控制元件。PCRF 634可以通信地耦合到应用/内容服务器638,以确定服务流的适当QoS和收费参数。PCRF 632可以将相关联的规则提供给具有适当TFT和QCI的PCEF(经由Gx参考点)。
在一些实施例中,CN 620可以是5G核心网(5GC)640。5GC 640可以包括认证服务器功能(AUSF)642、接入和移动性管理功能(AMF)644、会话管理功能(SMF)646、用户平面功能(UPF)648、网络切片选择功能(NSSF)650、NEF 652、NRF 654、策略控制功能(PCF)656、统一数据管理(UDM)658、和应用功能(AF)660,如图所示,这些功能通过接口(或“参考点”)彼此耦合。5GC 640的元件的功能可以简要介绍如下。
AUSF 642可以存储用于UE 602的认证的数据并处置认证相关功能。AUSF 642可以促进用于各种接入类型的公共认证框架。除了如图所示的通过参考点与5GC 640的其他元件通信之外,AUSF 642还可以展示基于Nausf服务的接口。
AMF 644可以允许5GC 640的其他功能与UE 602和RAN 604通信,并订阅关于UE602的移动性事件的通知。AMF 644可以负责注册管理(例如,注册UE 602)、连接管理、可达性管理、移动性管理、合法拦截AMF相关事件、以及接入认证和许可。AMF 644可以提供UE602和SMF 646之间的会话管理(SM)消息的传输,并且充当用于路由SM消息的透明代理。AMF644还可以提供UE 602和SMSF之间的SMS消息的传输。AMF 644可以与AUSF 642和UE 602交互,以执行各种安全锚定和上下文管理功能。此外,AMF 644可以是RAN CP接口的终止点,其可包括或者是RAN 604和AMF 644之间的N2参考点;AMF 644可以作为NAS(N1)信令的终止点,并执行NAS加密和完整性保护。AMF 644还可以支持通过N3 IWF接口与UE 602的NAS信令。
SMF 646可以负责会话管理(SM)(例如,会话建立、UPF 648和AN 608之间的隧道管理);UE IP地址分配和管理(包括可选授权);UP功能的选择和控制;在UPF 648处配置流量控制,以将流量路由到适当的目的地;去往策略控制功能的接口的终止;控制策略执行、收费和QoS的一部分;合法截获(用于SM事件和到LI系统的接口);终止NAS消息的SM部分;下行链路数据通知;发起AN特定的SM信息(通过AMF 644在N2上发送到AN 608);以及确定会话的SSC模式。SM可以指PDU会话的管理,并且PDU会话或“会话”可以指提供或使能UE 602和数据网络636之间的PDU交换的PDU连通性服务。
UPF 648可以用作RAT内和RAT间移动性的锚点、与数据网络636互连的外部PDU会话点、以及支持多归属PDU会话的分支点。UPF 648还可以执行分组路由和转发、执行分组检查、执行策略规则的用户平面部分、合法截获分组(UP收集)、执行流量使用报告、为用户平面执行QoS处理(例如,分组过滤、选通、UL/DL速率强制执行)、执行上行链路流量验证(例如,SDF到QoS流映射)、上行链路和下行链路中的传输级分组标记,并执行下行链路分组缓冲和下行链路数据通知触发。UPF 648可以包括上行链路分类器,以支持将流量流路由到数据网络。
NSSF 650可以选择服务于UE 602的一组网络切片实例。如果需要的话,NSSF 650还可以确定允许的网络切片选择辅助信息(NSSAI)和到订阅的单个NSSAI(S-NSSAI)的映射。NSSF 650还可以基于合适的配置并可能通过查询NRF 654来确定要用于服务于UE 602的AMF集,或者确定候选AMF的列表。UE 602的一组网络切片实例的选择可以由AMF 644触发(UE 602通过与NSSF 650交互而向该AMF注册),这会导致AMF的改变。NSSF 650可以经由N22参考点与AMF 644交互;并且可以经由N31参考点(未示出)与到访网络中的另一NSSF通信。此外,NSSF 650可以展示基于Nnssf服务的接口。
NEF 652可以为第三方、内部披露/再披露、AF(例如,AF 660)、边缘计算或雾计算系统等安全地披露由3GPP网络功能提供的服务和能力。在这些实施例中,NEF 652可以认证、许可、或扼制AFs。NEF 652还可以翻译与AF 660交换的信息和与内部网络功能交换的信息。例如,NEF 652可以在AF服务标识符和内部5GC信息之间转换。NEF 652还可以基于其他NF的公开能力从其他NF接收信息。该信息可以作为结构化数据存储在NEF 652处,或者使用标准化接口存储在数据存储器NF处。然后,NEF 652可以将存储的信息重新披露给其他NF和AF,或者用于诸如分析之类的其他目的。另外,NEF 652可以展示基于Nnef服务的接口。
NRF 654可以支持服务发现功能,从NF实例接收NF发现请求,并将发现的NF实例的信息提供给NF实例。NRF 654还维护可用NF实例及其支持的服务的信息。如本文所使用的,术语“实例化”、“实例”等可指创建实例,“实例”可以指对象的具体出现,其可以例如在程序代码执行期间出现。此外,NRF 654可以展示基于Nnrf服务的接口。
PCF 656可以提供策略规则来控制平面功能以强制执行它们,并且还可以支持统一的策略框架来管理网络行为。PCF 656还可以实现前端以访问与UDM 658的UDR中的策略决策相关的订阅信息。除了如图所示通过参考点与功能通信外,PCF 656还展示了基于Npcf服务的接口。
UDM 658可以处理与订阅相关的信息以支持网络实体处理通信会话,并且可以存储UE 602的订阅数据。例如,订阅数据可以经由UDM 658和AMF 644之间的N8参考点传送。UDM 658可以包括两个部分:应用前端和UDR。UDR可以存储用于UDM 658和PCF 656的策略数据和订阅数据,和/或用于NEF 652的用于披露的结构化数据和应用数据(包括用于应用检测的PFD、用于多个UE 602的应用请求信息)。UDR可以展示基于Nudr服务的接口,以允许UDM658、PCF 656、和NEF 652访问存储数据的特定集合,以及读取、更新(例如,添加、修改)、删除、和订阅UDR中的相关数据更改的通知。UDM可包括UDM-FE,其负责处理凭证、位置管理、订阅管理等。若干不同的前端可以在不同的交易中为同一用户提供服务。UDM-FE访问存储在UDR中的订阅信息,并执行认证凭证处理、用户识别处理、访问许可、注册/移动性管理、和订阅管理。除了如图所示的通过参考点与其他NF通信之外,UDM 658还可以展示基于Nudm服务的接口。
AF 660可以提供对流量路由的应用影响,提供对NEF的访问,并与策略框架交互以进行策略控制。
在一些实施例中,5GC 640可以通过选择在地理上靠近UE 602附着到网络的点的运营商/第三方服务来使能边缘计算。这可以减少网络上的时延和载荷。为了提供边缘计算实现,5GC 640可以选择靠近UE 602的UPF 648,并通过N6接口执行从UPF 648到数据网络636的流量引导。这可以基于UE订阅数据、UE位置、和AF 660提供的信息。以此方式,AF 660可以影响UPF(重)选择和流量路由。基于运营商部署,当AF 660被认为是受信实体时,网络运营商可以允许AF 660直接与相关NF交互。另外,AF 660可以展示基于Naf服务的接口。
数据网络636可以表示可以由一个或多个服务器(包括例如,应用/内容服务器638)提供的各种网络运营商服务、互联网接入、或第三方服务。
图7示意性地示出了根据各种实施例的无线网络700。无线网络700可以包括与AN704进行无线通信的UE 702。UE 702和AN 704可以类似于本文其他位置描述的同命组件并且基本上可以与之互换。
UE 702可以经由连接706与AN 704通信地耦合。连接706被示为空中接口以使能通信耦合,并且可以与诸如LTE协议或5G NR协议等在毫米波(mmWave)或亚6GHz频率下操作的蜂窝通信协议一致。
UE 702可以包括与调制解调器平台710耦合的主机平台708。主机平台708可以包括应用处理电路712,该应用处理电路可以与调制解调器平台710的协议处理电路714耦合。应用处理电路712可以为UE 702运行源/接收器应用数据的各种应用。应用处理电路712还可以实现一个或多个层操作,以向数据网络发送/从数据网络接收应用数据。这些层操作可以包括传输(例如,UDP)和互联网(例如,IP)操作。
协议处理电路714可以实现一个或多个层操作,以促进通过连接706传输或接收数据。由协议处理电路714实现的层操作可以包括例如,MAC、RLC、PDCP、RRC、和NAS操作。
调制解调器平台710可以进一步包括数字基带电路716,该数字基带电路716可以实现由网络协议栈中的协议处理电路714执行的“低于”层操作的一个或多个层操作。这些操作可包括例如,包括混合自动重传请求-确认(HARQ-ACK)功能、加扰/解扰、编码/解码、层映射/去映射、调制符号映射、接收符号/比特度量确定、多天线端口预编码/解码中的一者或多者的PHY操作,其中,这些功能可以包括以下一者或多者:空时、空频、或空间编码,参考信号生成/检测,前导码序列生成和/或解码,同步序列生成/检测,控制信道信号盲解码,以及其他相关功能。
调制解调器平台710可以进一步包括发送电路718、接收电路720、射频(RF)电路722、和RF前端(RFFE)电路724,这些电路可以包括或连接到一个或多个天线面板726。简言之,发送电路718可以包括数模转换器、混频器、中频(IF)组件等;接收电路720可以包括模数转换器、混频器、IF组件等;RF电路722可以包括低噪声放大器、功率放大器、功率跟踪组件等;RFFE电路724可以包括滤波器(例如,表面/体声波滤波器)、开关、天线调谐器、波束形成组件(例如,相位阵列天线组件)等。发送电路718、接收电路720、RF电路722、RFFE电路724、以及天线面板726(统称为“发送/接收组件”)的组件的选择和布置可以特定于特定实现方式的细节,例如,通信是时分复用(TDM)还是频分复用(FDM)、以毫米波(mmWave)还是亚6GHz频率等。在一些实施例中,发送/接收组件可以以多个并列的发送/接收链的方式布置,并且可以布置在相同或不同的芯片/模块等中。
在一些实施例中,协议处理电路714可以包括控制电路的一个或多个实例(未示出),以为发送/接收组件提供控制功能。
UE接收可以通过并经由天线面板726、RFFE电路724、RF电路722、接收电路720、数字基带电路716、和协议处理电路714建立。在一些实施例中,天线面板726可以通过接收由一个或多个天线面板726的多个天线/天线元件接收的波束形成信号来接收来自AN 704的发送。
UE发送可以经由并通过协议处理电路714、数字基带电路716、发送电路718、RF电路722、RFFE电路724、和天线面板726建立。在一些实施例中,UE 702的发送组件可以对要发送的数据应用空间滤波器,以形成由天线面板726的天线元件发射的发送波束。
与UE 702类似,AN 704可以包括与调制解调器平台730耦合的主机平台728。主机平台728可以包括与调制解调器平台730的协议处理电路734耦合的应用处理电路732。调制解调器平台还可以包括数字基带电路736、发送电路738、接收电路740、RF电路742、RFFE电路744、和天线面板746。AN 704的组件可以类似于UE 702的同名组件,并且基本上可以与UE702的同名组件互换。除了如上所述执行数据发送/接收之外,AN 704的组件还可以执行各种逻辑功能,这些逻辑功能包括例如RNC功能,例如,无线电承载管理、上行链路和下行链路动态无线电资源管理、以及数据分组调度。
图8是示出根据一些示例实施例的能够从机器可读或者计算机可读介质(例如,非暂时性机器可读存储介质)读取指令并且执行本文所论述的任何一种或多种方法的组件的框图。具体地,图8示出了硬件资源800的图解表示方式,其包括一个或多个处理器(或处理器核)810、一个或多个存储器/存储设备820和一个或多个通信资源830,它们每一者可以通过总线840通信地耦合。硬件资源800可以是本公开所描述的任何实体或非实体(例如,服务或功能)的一部分。对于利用节点虚拟化(例如,NFV)的实施例,可以执行超管理程序802以提供用于一个或多个网络切片/子切片利用硬件资源800的执行环境。
处理器810(例如,中央处理单元(CPU)、精简指令集计算(RISC)处理器、复杂指令集计算(CISC)处理器、图形处理单元(GPU)、诸如基带处理器之类的数字信号处理器(DSP)、专用集成电路(ASIC)、射频集成电路(RFIC)、另一处理器、或其任何合适的组合)可包括例如处理器812和处理器814。在一些实施例中,处理器也可以被称为“处理电路”。
存储器/存储设备820可以包括主存储器、磁盘存储器或其任何合适的组合。存储器/存储设备820可以包括但不限于任何类型的易失性或非易失性存储器,例如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、固态存储装置等。
通信资源830可以包括互连或网络接口组件或其他合适的设备,以经由网络808与一个或多个外围设备804或一个或多个数据库806通信。例如,通信资源830可以包括有线通信组件(例如,用于经由通用串行总线(USB)、以太网等耦合)、蜂窝通信组件、近场通信(NFC)组件、 (或/>低功耗)组件,无线保真/>组件和其他通信组件。通信资源830还可以包括使得硬件资源800的组件或部分能够彼此通信的接口电路。
指令850可以包括软件、程序、应用、小应用程序、app或其他可执行代码,用于使至少任何处理器810执行本文所讨论的任何一种或多种方法。指令850可以完全或部分地驻留在处理器810(例如,处理器的缓冲存储器内)、存储器/存储设备820、或其任何合适的组合中的至少一个内。此外,指令850的任何部分可以被从外围设备804或数据库806的任何组合传送到硬件资源800。因此,处理器810、存储器/存储设备820、外围设备804和数据库806的存储器是计算机可读和机器可读介质的示例。
以下段落描述了各种实施例的示例。
示例1.一种装置,包括:接口电路;和处理电路,与所述接口电路耦合并且被配置为:基于经由所述接口电路从管理多个网络功能(NF)的NF储存库功能(NRF)接收的消息,确定所述多个NF中的NF发起向证书链的登记过程,所述证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行所述登记过程。
示例2.如示例1所述的装置,其中,所述处理电路还被配置为:基于经由所述接口电路从所述NRF接收的另一消息,确定撤销为所述多个NF中正在从所述NRF注销注册的NF分配的证书;撤销所述分配的证书;以及更新由所述用于证书管理的实体维护的证书撤销列表。
示例3.如示例1或2所述的装置,其中,所述登记过程是基于证书管理协议(CMP)来执行的,所述NF包括由供应商提供的私钥/公钥对并且被预配设有中间证书和/或由所述供应商签名的NF证书,并且所述用于证书管理的网络实体、所述CA和所述RA被配置有运营商证书和所述供应商的根证书。
示例4.如示例3所述的装置,其中,所述登记过程包括:接收所述NF的初始化请求,其中所述初始化请求被承载于第一公钥基础设施(PKI)消息(PKIMessage)中,并且包括用于指定所请求的证书的证书请求消息(CertReqMsg),所述CertReqMsg包括用于标识所请求的证书的独一无二的证书请求标识(certReqId)值,并且所述第一PKIMessage包括由所述NF使用由所述供应商提供的私钥生成的针对所述初始化请求的数字签名,并且包括由所述供应商签名的所述NF证书和所述中间证书,使用由所述供应商签名的所述NF证书和所述中间证书对照所述供应商的所述根证书验证针对所述初始化请求的所述数字签名,为所述NF生成所请求的证书,以及向所述NF提供包括所请求的证书的初始化响应,其中所述初始化响应所述独一无二的certReqId值。
示例5.如示例4所述的装置,其中,所述CertReqMsg的拥有证明(POP)签名密钥(POPOSigningKey)字段由所述NF使用与要由所述证书链认证的公钥有关的私钥来签名,并且所述登记过程还包括针对所请求的证书验证对与要由所述证书链认证的所述公钥有关的所述私钥的拥有的证明。
示例6.如示例4所述的装置,其中,所述初始化请求包括所述NF的建议身份,所请求的证书将与该建议身份相关联。
示例7.如示例4所述的装置,其中,所述登记过程还包括:基于包括在由所述供应商签名的所述NF证书中的、所述NF的由供应商提供的身份来确定所述NF的建议身份,其中所请求的证书将与该建议身份相关联。
示例8.如示例4所述的装置,其中,所述登记过程还包括:利用所述证书链的私钥生成针对所述初始化响应的签名,以及利用第二PKIMessage向所述NF提供所述初始化响应,其中所述第二PKIMessage包括针对所述初始化响应的所述签名、所述运营商证书、以及运营商根证书。
示例9.如示例4所述的装置,其中,所述登记过程还包括:从所述NF接收证书确认消息,所述证书确认消息包括所述独一无二的certReqId值,认证所述证书确认消息,以及生成要发送到所述NF的确认消息。
示例10.如示例1到9中任一项所述的装置,其中,所述登记过程通过所述NRF来执行。
示例11.一种装置,包括:接口电路;和处理电路,与所述接口电路耦合并且被配置为:通过经由所述接口电路向网络功能(NF)储存库功能(NRF)发送注册请求以使NF向所述NRF注册,来发起所述NF和证书链之间的登记过程,所述证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行所述登记过程。
示例12.如示例11所述的装置,其中,所述处理电路还被配置为:通过经由所述接口电路向所述NRF发送注销注册请求,来使得所述证书链针对从所述NRF注销注册的NF执行证书撤销过程并更新由所述用于证书管理的实体维护的证书撤销列表。
示例13.如示例11或12所述的装置,其中,所述登记过程是基于证书管理协议(CMP)来执行的,所述NF包括由供应商提供的私钥/公钥对并且被预配设有中间证书和/或由所述供应商签名的NF证书,并且所述用于证书管理的网络实体、所述CA和所述RA被配置有运营商证书和所述供应商的根证书。
示例14.如示例13所述的装置,其中,所述登记过程包括:发现所述证书链的地址,生成初始化请求,所述初始化请求包括用于指定所请求的证书的证书请求消息(CertReqMsg),所述CertReqMsg包括用于标识所请求的证书的独一无二的证书请求标识(certReqId)值,利用第一公钥基础设施(PKI)消息(PKIMessage)来发送所述初始化请求,其中所述第一PKIMessage包括由所述NF使用由所述供应商提供的私钥生成的针对所述初始化请求的数字签名,并且包括由所述供应商签名的所述NF证书和所述中间证书,以及接收由所述证书链生成的初始化响应,其中所述初始化响应包括所请求的证书和所述独一无二的certReqId值。
示例15.如示例14所述的装置,其中,所述登记过程还包括:生成将在所述证书链中登记的私钥/公钥对。
示例16.如示例14所述的装置,其中,所述登记过程还包括:使用与要由所述证书链认证的公钥有关的私钥来生成针对所述CertReqMsg的拥有证明(POP)签名密钥(POPOSigningKey)字段的签名。
示例17.如示例14所述的装置,其中,所述初始化请求包括所述NF的建议身份,所请求的证书将与该建议身份相关联。
示例18.如示例14所述的装置,其中,所述登记过程还包括:从承载所述所述初始化响应的第二PKIMessage中提取运营商根证书。
示例19.如示例14所述的装置,其中,所述登记过程还包括:利用所述运营商证书来认证承载所述所述初始化响应的第二PKIMessage,以及为所述NF安装所请求的证书。
示例20.如示例19所述的装置,其中,所述登记过程还包括:生成证书确认消息,其中所述证书确认消息包括所述独一无二的certReqId值,对所述证书确认消息进行签名,以及使用第三PKIMessage将经签名的所述证书确认消息提供给所述证书链。
示例21.如示例19所述的装置,其中,所述登记过程还包括:从所述证书链接收确认消息,以及认证所述确认消息。
示例22.如示例11到21中任一项所述的装置,其中,所述登记过程通过所述NRF来执行。
示例23.一种方法,包括:从管理多个网络功能(NF)的NF储存库功能(NRF)接收消息;基于该消息确定确定所述多个NF中的NF发起向证书链的登记过程,所述证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行所述登记过程。
示例24.如示例23所述的方法,还包括:从所述NRF接收另一消息;基于该另一消息确定撤销为所述多个NF中正在从所述NRF注销注册的NF分配的证书;撤销所述分配的证书;以及更新由所述用于证书管理的实体维护的证书撤销列表。
示例25.如示例23或24所述的方法,其中,所述登记过程是基于证书管理协议(CMP)来执行的,所述NF包括由供应商提供的私钥/公钥对并且被预配设有中间证书和/或由所述供应商签名的NF证书,并且所述用于证书管理的网络实体、所述CA和所述RA被配置有运营商证书和所述供应商的根证书。
示例26.如示例25所述的方法,其中,所述登记过程包括:接收所述NF的初始化请求,其中所述初始化请求被承载于第一公钥基础设施(PKI)消息(PKIMessage)中,并且包括用于指定所请求的证书的证书请求消息(CertReqMsg),所述CertReqMsg包括用于标识所请求的证书的独一无二的证书请求标识(certReqId)值,并且所述第一PKIMessage包括由所述NF使用由所述供应商提供的私钥生成的针对所述初始化请求的数字签名,并且包括由所述供应商签名的所述NF证书和所述中间证书,使用由所述供应商签名的所述NF证书和所述中间证书对照所述供应商的所述根证书验证针对所述初始化请求的所述数字签名,为所述NF生成所请求的证书,以及向所述NF提供包括所请求的证书的初始化响应,其中所述初始化响应包括所述独一无二的certReqId值。
示例27.如示例26所述的方法,其中,所述CertReqMsg的拥有证明(POP)签名密钥(POPOSigningKey)字段由所述NF使用与要由所述证书链认证的公钥有关的私钥来签名,并且所述登记过程还包括针对所请求的证书验证对与要由所述证书链认证的所述公钥有关的所述私钥的拥有的证明。
示例28.如示例26所述的方法,其中,所述初始化请求包括所述NF的建议身份,所请求的证书将与该建议身份相关联。
示例29.如示例26所述的方法,其中,所述登记过程还包括:基于包括在由所述供应商签名的所述NF证书中的、所述NF的由供应商提供的身份来确定所述NF的建议身份,其中所请求的证书将与该建议身份相关联。
示例30.如示例26所述的方法,其中,所述登记过程还包括:利用所述证书链的私钥生成针对所述初始化响应的签名,以及利用第二PKIMessage向所述NF提供所述初始化响应,其中所述第二PKIMessage包括针对所述初始化响应的所述签名、所述运营商证书、以及运营商根证书。
示例31.如示例26所述的方法,其中,所述登记过程还包括:从所述NF接收证书确认消息,所述证书确认消息包括所述独一无二的certReqId值,认证所述证书确认消息,以及生成要发送到所述NF的确认消息。
示例32.如示例23到31中任一项所述的方法,其中,所述登记过程通过所述NRF来执行。
示例33.一种方法,包括:向网络功能(NF)储存库功能(NRF)发送注册请求以使NF向所述NRF注册;发起所述NF和证书链之间的登记过程,所述证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行所述登记过程。
示例34.如示例33所述的方法,还包括:通过向所述NRF发送注销注册请求,来使得所述证书链针对从所述NRF注销注册的NF执行证书撤销过程并更新由所述用于证书管理的实体维护的证书撤销列表。
示例35.如示例33或34所述的方法,其中,所述登记过程是基于证书管理协议(CMP)来执行的,所述NF包括由供应商提供的私钥/公钥对并且被预配设有中间证书和/或由所述供应商签名的NF证书,并且所述用于证书管理的网络实体、所述CA和所述RA被配置有运营商证书和所述供应商的根证书。
示例36.如示例35所述的方法,其中,所述登记过程包括:发现所述证书链的地址,生成初始化请求,所述初始化请求包括用于指定所请求的证书的证书请求消息(CertReqMsg),所述CertReqMsg包括用于标识所请求的证书的独一无二的证书请求标识(certReqId)值,利用第一公钥基础设施(PKI)消息(PKIMessage)来发送所述初始化请求,其中所述第一PKIMessage包括由所述NF使用由所述供应商提供的私钥生成的针对所述初始化请求的数字签名,并且包括由所述供应商签名的所述NF证书和所述中间证书,以及接收由所述证书链生成的初始化响应,其中所述初始化响应包括所请求的证书和所述独一无二的certReqId值。
示例37.如示例36所述的方法,其中,所述登记过程还包括:生成将在所述证书链中登记的私钥/公钥对。
示例38.如示例36所述的方法,其中,所述登记过程还包括:使用与要由所述证书链认证的公钥有关的私钥来生成针对所述CertReqMsg的拥有证明(POP)签名密钥(POPOSigningKey)字段的签名。
示例39.如示例36所述的方法,其中,所述初始化请求包括所述NF的建议身份,所请求的证书将与该建议身份相关联。
示例40.如示例36所述的方法,其中,所述登记过程还包括:从承载所述所述初始化响应的第二PKIMessage中提取运营商根证书。
示例41.如示例36所述的方法,其中,所述登记过程还包括:利用所述运营商证书来认证承载所述所述初始化响应的第二PKIMessage,以及为所述NF安装所请求的证书。
示例42.如示例41所述的方法,其中,所述登记过程还包括:生成证书确认消息,其中所述证书确认消息包括所述独一无二的certReqId值,对所述证书确认消息进行签名,以及使用第三PKIMessage将经签名的所述证书确认消息提供给所述证书链。
示例43.如示例41所述的方法,其中,所述登记过程还包括:从所述证书链接收确认消息,以及认证所述确认消息。
示例44.如示例33到43中任一项所述的方法,其中,所述登记过程通过所述NRF来执行。
示例45.一种计算机可读存储介质,其上存储有指令,所述指令当被处理电路执行时,使得所述处理电路执行如示例23到32中任一项所述的方法。
示例46.一种计算机可读存储介质,其上存储有指令,所述指令当被处理电路执行时,使得所述处理电路执行如示例33到44中任一项所述的方法。
示例47.一种装置,包括用于执行如示例23到32中任一项所述的方法的部件。
示例48.一种装置,包括用于执行如示例33到44中任一项所述的方法的部件。
尽管为了描述的目的在本文中说明和描述了某些实施例,但是在不脱离本公开的范围的情况下,为了实现相同目的而规划的各种各样的替代和/或等同实施例或实现方式可以替代所示出和所描述的实施例。本申请旨在涵盖本文所讨论的实施例的任何改编或变化。因此,易于理解的是,本文描述的实施例仅由所附权利要求及其等同范围限制。
Claims (22)
1.一种装置,包括:
接口电路;和
处理电路,与所述接口电路耦合并且被配置为:
基于经由所述接口电路从管理多个网络功能(NF)的NF储存库功能(NRF)接收的消息,确定所述多个NF中的NF发起向证书链的登记过程,所述证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及
执行所述登记过程。
2.如权利要求1所述的装置,其中,所述处理电路还被配置为:
基于经由所述接口电路从所述NRF接收的另一消息,确定撤销为所述多个NF中正在从所述NRF注销注册的NF分配的证书;
撤销所述分配的证书;以及
更新由所述用于证书管理的实体维护的证书撤销列表。
3.如权利要求1所述的装置,其中,所述登记过程是基于证书管理协议(CMP)来执行的,所述NF包括由供应商提供的私钥/公钥对并且被预配设有中间证书和/或由所述供应商签名的NF证书,并且所述用于证书管理的网络实体、所述CA和所述RA被配置有运营商证书和所述供应商的根证书。
4.如权利要求3所述的装置,其中,所述登记过程包括:
接收所述NF的初始化请求,其中所述初始化请求被承载于第一公钥基础设施(PKI)消息(PKIMessage)中,并且包括用于指定所请求的证书的证书请求消息(CertReqMsg),所述CertReqMsg包括用于标识所请求的证书的独一无二的证书请求标识(certReqId)值,并且所述第一PKIMessage包括由所述NF使用由所述供应商提供的私钥生成的针对所述初始化请求的数字签名,并且包括由所述供应商签名的所述NF证书和所述中间证书,
使用由所述供应商签名的所述NF证书和所述中间证书对照所述供应商的所述根证书验证针对所述初始化请求的所述数字签名,
为所述NF生成所请求的证书,以及
向所述NF提供包括所请求的证书的初始化响应,其中所述初始化响应包括所述独一无二的certReqId值。
5.如权利要求4所述的装置,其中,所述CertReqMsg的拥有证明(POP)签名密钥(POPOSigningKey)字段由所述NF使用与要由所述证书链认证的公钥有关的私钥来签名,并且所述登记过程还包括针对所请求的证书验证对与要由所述证书链认证的所述公钥有关的所述私钥的拥有的证明。
6.如权利要求4所述的装置,其中,所述初始化请求包括所述NF的建议身份,所请求的证书将与该建议身份相关联。
7.如权利要求4所述的装置,其中,所述登记过程还包括:
基于包括在由所述供应商签名的所述NF证书中的、所述NF的由供应商提供的身份来确定所述NF的建议身份,其中所请求的证书将与该建议身份相关联。
8.如权利要求4所述的装置,其中,所述登记过程还包括:
利用所述证书链的私钥生成针对所述初始化响应的签名,以及
利用第二PKIMessage向所述NF提供所述初始化响应,其中所述第二PKIMessage包括针对所述初始化响应的所述签名、所述运营商证书、以及运营商根证书。
9.如权利要求4所述的装置,其中,所述登记过程还包括:
从所述NF接收证书确认消息,所述证书确认消息包括所述独一无二的certReqId值,
认证所述证书确认消息,以及
生成要发送到所述NF的确认消息。
10.如权利要求1到9中任一项所述的装置,其中,所述登记过程通过所述NRF来执行。
11.一种装置,包括:
接口电路;和
处理电路,与所述接口电路耦合并且被配置为:
通过经由所述接口电路向网络功能(NF)储存库功能(NRF)发送注册请求以使NF向所述NRF注册,来发起所述NF和证书链之间的登记过程,所述证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及
执行所述登记过程。
12.如权利要求11所述的装置,其中,所述处理电路还被配置为:
通过经由所述接口电路向所述NRF发送注销注册请求,来使得所述证书链针对从所述NRF注销注册的NF执行证书撤销过程并更新由所述用于证书管理的实体维护的证书撤销列表。
13.如权利要求11所述的装置,其中,所述登记过程是基于证书管理协议(CMP)来执行的,所述NF包括由供应商提供的私钥/公钥对并且被预配设有中间证书和/或由所述供应商签名的NF证书,并且所述用于证书管理的网络实体、所述CA和所述RA被配置有运营商证书和所述供应商的根证书。
14.如权利要求13所述的装置,其中,所述登记过程包括:
发现所述证书链的地址,
生成初始化请求,所述初始化请求包括用于指定所请求的证书的证书请求消息(CertReqMsg),所述CertReqMsg包括用于标识所请求的证书的独一无二的证书请求标识(certReqId)值,
利用第一公钥基础设施(PKI)消息(PKIMessage)来发送所述初始化请求,其中所述第一PKIMessage包括由所述NF使用由所述供应商提供的私钥生成的针对所述初始化请求的数字签名,并且包括由所述供应商签名的所述NF证书和所述中间证书,以及
接收由所述证书链生成的初始化响应,其中所述初始化响应包括所请求的证书和所述独一无二的certReqId值。
15.如权利要求14所述的装置,其中,所述登记过程还包括:
生成将在所述证书链中登记的私钥/公钥对。
16.如权利要求14所述的装置,其中,所述登记过程还包括:
使用与要由所述证书链认证的公钥有关的私钥来生成针对所述CertReqMsg的拥有证明(POP)签名密钥(POPOSigningKey)字段的签名。
17.如权利要求14所述的装置,其中,所述初始化请求包括所述NF的建议身份,所请求的证书将与该建议身份相关联。
18.如权利要求14所述的装置,其中,所述登记过程还包括:
从承载所述所述初始化响应的第二PKIMessage中提取运营商根证书。
19.如权利要求14所述的装置,其中,所述登记过程还包括:
利用所述运营商证书来认证承载所述所述初始化响应的第二PKIMessage,以及
为所述NF安装所请求的证书。
20.如权利要求19所述的装置,其中,所述登记过程还包括:
生成证书确认消息,其中所述证书确认消息包括所述独一无二的certReqId值,
对所述证书确认消息进行签名,以及
使用第三PKIMessage将经签名的所述证书确认消息提供给所述证书链。
21.如权利要求19所述的装置,其中,所述登记过程还包括:
从所述证书链接收确认消息,以及
认证所述确认消息。
22.如权利要求11到21中任一项所述的装置,其中,所述登记过程通过所述NRF来执行。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202263353424P | 2022-06-17 | 2022-06-17 | |
| US63/353,424 | 2022-06-17 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117255346A true CN117255346A (zh) | 2023-12-19 |
Family
ID=89128273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310712626.4A Pending CN117255346A (zh) | 2022-06-17 | 2023-06-15 | 用于sba中的证书生命周期管理的装置和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117255346A (zh) |
-
2023
- 2023-06-15 CN CN202310712626.4A patent/CN117255346A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113473634A (zh) | 用于为nr操作配置多小区调度的装置和方法 | |
| WO2021227021A1 (en) | Ue power saving for srs antenna switching | |
| US11950267B2 (en) | Mechanisms for transmission of multiple downlink control information | |
| CN113473635A (zh) | 用于nr操作的两小区调度 | |
| CN113825235A (zh) | 用于多trp场景中的ul传输的装置和方法 | |
| CN113766665A (zh) | 用于多trp场景中基于码本的ul传输的装置和方法 | |
| CN113825234A (zh) | 用在用户设备中的装置 | |
| CN113766502A (zh) | 用在ue、smf实体、以及预配置服务器中的装置 | |
| CN113285790A (zh) | 反馈资源配置的方法 | |
| CN113543337A (zh) | 处理MsgB调度的上行链路传输与动态SFI的冲突 | |
| CN115694700A (zh) | 用在无线通信系统中的装置 | |
| CN114765485A (zh) | 用在用户设备中的装置 | |
| WO2022032189A1 (en) | System and method for reliability improvement in nr multicast transmissions, and for group scheduling in single cell nr multicast transmissions | |
| CN113541902A (zh) | 用在用户设备中的装置 | |
| CN117255346A (zh) | 用于sba中的证书生命周期管理的装置和方法 | |
| CN117595974A (zh) | 用户设备及用在其中的装置 | |
| CN114499802A (zh) | 用在用户设备中的装置 | |
| CN115834314A (zh) | 用在基站中的装置 | |
| CN114531678A (zh) | 用在nef实体和预配置服务器中的装置 | |
| CN115707056A (zh) | 用于在小区trp之间切换ue的方法和装置 | |
| CN113676931A (zh) | Tsn中的af实体、以及网络端tsn转换器 | |
| CN115708386A (zh) | 用在无线通信系统中的装置 | |
| CN114765523A (zh) | 用在用户设备中的装置 | |
| CN114205917A (zh) | 用在用户设备中的装置 | |
| CN114584270A (zh) | 用在用户设备中的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |