[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN117318948A - 通信方法和装置 - Google Patents

通信方法和装置 Download PDF

Info

Publication number
CN117318948A
CN117318948A CN202210998724.4A CN202210998724A CN117318948A CN 117318948 A CN117318948 A CN 117318948A CN 202210998724 A CN202210998724 A CN 202210998724A CN 117318948 A CN117318948 A CN 117318948A
Authority
CN
China
Prior art keywords
certificate
network element
service discovery
function network
nfp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210998724.4A
Other languages
English (en)
Inventor
孙陶然
吴义壮
李论
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to PCT/CN2023/101302 priority Critical patent/WO2023246753A1/zh
Publication of CN117318948A publication Critical patent/CN117318948A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例提供了一种通信方法和装置。该方法包括:服务发现功能网元接收服务发现请求消息,该服务请求消息用于请求服务发现功能网元提供第一类型的网络功能网元,在确定第一类型的第一网络功能网元的第一证书有效的情况下,服务发现功能网元发送包括第一网络功能网元的标识信息的服务发现响应消息。本申请所揭示的方法,通过在服务发现流程中增加对第一网络功能网元所拥有的证书的有效性进行验证,能够避免后续网络功能服务消费网元和第一网络功能网元之间建立连接时,由于第一网络功能网元的证书失效或被吊销导致网络连接建立失败,从而提高网络效率,以及提升用户体验。

Description

通信方法和装置
技术领域
本申请涉及通信领域,并且更具体地,涉及一种通信方法和装置。
背景技术
当前,在服务化的架构(service based architecture,SBA)中,网络功能(network function,NF)网元之间基于服务化的接口进行交互,采用互联网协议安全(internet protocil security,IPSec)或传输层安全协议(transport layer security,TLS)等技术建立网络连接,这些安全技术要求具有相互通信的双方配置证书,证书包含通信双方用于验证的秘钥及算法,从而降低网络通信中的安全隐患。也就是说,每个NF上必须部署证书,NF之间进行通信之前需要基于证书完成双向认证,以提高通信安全性。
示例性的,网络功能服务消费网元(NF service consumer,NFc)从网络功能存储库功能网元(network function repository function,NRF)获取可以提供服务的网络功能服务提供网元信息(NF service producer,NFp)后,将与NFp尝试建立连接。具体地,NFc和NFp互相交换各自的证书进行验证。如果此时NFp的证书失效或者被吊销,那么NFp的证书将验证失败,进而导致此次网络连接建立失败,影响网络效率,以及降低用户体验。
发明内容
本申请提供一种通信方法和装置,能够提高网络效率,以及提升用户体验。
第一方面,提供了一种通信方法,该方法可以由服务发现功能网元(例如NRF)执行,或者,也可以由服务发现功能网元的组成部件(例如芯片或电路)执行,本申请对此不作限定。为了便于描述,下面以由服务发现功能网元执行为例进行说明。该方法包括:服务发现功能网元接收服务发现请求消息,服务请求消息用于请求服务发现功能网元提供第一类型的网络功能网元;在确定第一类型的第一网络功能网元的第一证书有效的情况下,服务发现功能网元发送包括第一网络功能网元的标识信息的服务发现响应消息。
应理解,服务请求消息用于请求服务发现功能网元提供第一类型的网络功能网元,可以理解为:服务请求消息用于请求服务发现功能网元提供第一类型的网络功能网元的信息,例如第一网络功能网元的标识,和/或第一网络功能网元的配置数据等,本申请对此不作具体限定。
根据本申请提供的方案,通过对第一网络功能网元的第一证书的有效性进行验证,并在验证通过的情况下向第二网络功能网元提供第一网络功能网元的信息,能够避免或者降低第一网络功能网元和第二网络功能网元在建立网络连接过程中,由于第一网络功能网元的证书无效(例如,失效或者被吊销),导致网络连接建立失败的情况发生,进而提高网络效率,以及提升用户体验。
结合第一方面,在第一方面的某些实现方式中,确定第一类型的第一网络功能网元的第一证书的有效,包括:服务发现功能网元根据第一证书的有效期确定第一证书未过期;以及服务发现功能网元确定第一证书未被吊销。
基于上述方案,通过在第一证书未过期且第一证书未被吊销的情况下确定第一类型的第一网络功能网元的第一证书的有效,进而向网络功能服务消费网元提供第一类型的第一网络功能网元,用于二者之间建立网络连接。
结合第一方面,在第一方面的某些实现方式中,服务发现功能网元确定第一证书未被吊销,包括:服务发现功能网元本地查询证书撤销列表,在第一证书不属于证书撤销列表的情况下,服务发现功能网元确定第一证书未被吊销。
可选地,在服务发现功能网元本地未查询到证书撤销列表的情况下,服务发现功能网元确定第一证书未被吊销。
基于上述方案,服务发现功能网元可以在本地查询证书撤销列表以确定第一证书是否被吊销,无需向外部服务器发送询问请求,减少信令开销和通信时延,进而能够提升网络效率。
结合第一方面,在第一方面的某些实现方式中,服务发现功能网元确定第一证书未被吊销,包括:服务发现功能网元向服务器发送询问请求消息,询问请求消息用于查询第一证书是否被吊销;服务发现功能网元接收来自服务器的询问响应消息,询问响应消息包括第一证书未被吊销的指示;服务发现功能网元根据指示确定第一证书未被吊销。
应理解,该服务器是部署证书撤销列表的服务器,因此可以从该从服务器查询获取证书的证书状态(是否被吊销)。
基于上述方案,服务发现功能网元可以通过向外部服务器询问当前第一网络功能网元的第一证书是否被吊销,该实现方式中第一证书的证书状态的实时准确性较好。
结合第一方面,在第一方面的某些实现方式中,服务发现功能网元接收注册请求消息,注册请求消息用于请求将第一网络功能网元注册到服务发现功能网元上,注册请求消息包括第一证书,第一证书包括第一证书的标识信息和第一证书有效期。
结合第一方面,在第一方面的某些实现方式中,服务发现功能网元接收连接建立请求消息,连接建立请求消息用于请求第一网络功能网元与服务发现功能网元建立连接,连接建立请求消息包括第一证书,第一证书包括第一证书的标识信息和第一证书的有效期。
结合第一方面,在第一方面的某些实现方式中,在确定第一证书有效的情况下,服务发现功能网元存储第一证书;或者,在确定第一证书有效的情况下,服务发现功能网元存储第一证书的标识信息和第一证书有效期。
基于上述方案,在接收第一网络功能网元注册请求之前,确保第一证书有效,能够提供安全通信,有利于后续第一网络功能网元和第二网络功能网元在建立网络连接过程中,提高网络效率,以及提升用户体验,尽量避免由于第一网络功能网元的证书失效或者被吊销,导致网络连接建立失败的情况发生。
结合第一方面,在第一方面的某些实现方式中,确定第一证书有效,包括:服务发现功能网元根据第一网络功能网元的公钥和证书颁发网元的公钥确定第一证书是证书颁发网元为第一网络功能网元签发的证书;服务发现功能网元根据第一证书的有效期确定第一证书未过期;以及服务发现功能网元确定第一证书的证书未被吊销。
基于上述方案,通过验证第一证书的真实性(即第一证书是证书颁发网元签发给第一网络功能网元的,避免第一证书被恶意篡改)和有效性(第一证书未超期,同时第一证书未被吊销),确保接受注册服务的第一网络功能网元的安全性和可用性,有利于后续第一网络功能网元和第二网络功能网元之间成功进行网络连接建立,提高网络效率。
可选地,在确定注册请求消息中第一证书有效的情况下,服务发现功能网元也可以不存储第一证书,或者不存储第一证书的标识信息和第一证书有效期。因此,基于该实现方式,服务发现功能网元在接收用于请求发现第一类型的网络功能网元的服务时,可以将第一类型的第一网络功能网元的标识信息发送给外部服务器,例如证书撤销列表服务器或线证书状态协议服务器,用于请求获取第一证书的有效性(查询第一证书的有效期和证书状态是否为被吊销),进而服务发现功能网元根据外部服务器反馈的响应消息确定是否提供第一网络功能网元的标识信息给第二网络功能网元NFc。例如,外部服务器反馈第一证书有效,则服务发现功能网元向第二网络功能网元NFc提供第一网络功能网元NFp的标识信息。
结合第一方面,在第一方面的某些实现方式中,在服务发现功能网元发送包括第一网络功能网元的标识信息的服务发现响应消息之后,服务发现功能网元接收指示信息,指示信息用于指示第一证书被吊销,指示信息包括第一证书的标识信息;服务发现功能网元发送通知消息,通知消息用于通知第一网络功能网元的第一证书被吊销。
基于上述方案,服务发现功能网元可以比较及时地获取第一证书的证书状态(是否被吊销),并及时通知第二网络功能网元NFc,能够避免因为第一证书失效或者被吊销,导致网络连接建立失败的情况发生,进而提高网络效率,提升用户体验。
结合第一方面,在第一方面的某些实现方式中,服务发现功能网元接收订阅请求消息,订阅请求消息用于向服务发现功能网元请求订阅第一证书的证书状态。
基于上述方案,服务发现功能网元基于订阅请求消息可以及时通知第二网络功能网元、代理网元或者其他NFc关于第一证书是否被吊销的事件,也就是说第二网络功能网元或者其他NFc能够实时有效获取第一证书的证书状态,保证后续网络功能网元之间通信的网络效率。
结合第一方面,在第一方面的某些实现方式中,服务发现功能网元接收指示信息,包括:服务发现功能网元接收来自证书颁发网元的指示信息。
进一步地,服务发现功能网元根据指示信息将第一证书增加至证书撤销列表。
基于上述方案,服务发现功能网元通过证书颁发网元可以及时获取第一证书是否被吊销,并及时更新证书撤销列表上第一证书的证书状态,实时有效。
结合第一方面,在第一方面的某些实现方式中,在服务发现功能网元发送包括第一网络功能网元的标识信息的服务发现响应消息之后,服务发现功能网元接收来自第一网络功能网元的去注册请求消息;服务发现功能网元发送通知消息,通知消息用于通知第一网络功能网元的第一证书无效。
基于上述方案,服务发现功能网元可以比较及时地获取第一证书的证书状态(是否被吊销),并及时通知第二网络功能网元NFc,能够避免因为第一证书失效或者被吊销,导致网络连接建立失败的情况发生,进而提高网络效率,提升用户体验。
结合第一方面,在第一方面的某些实现方式中,服务发现功能网元接收来自第一网络功能网元的更新注册服务请求消息,更新注册服务请求消息包括第二证书,第二证书包括第二证书的标识信息以及与第二证书的标识信息对应的第二证书的有效期;在确定第二证书有效的情况下,更新本地存储的第一网络功能网元的信息,可选地,将第二证书(有效期和标识信息)作为NFp上下文存储到服务发现功能网元上。
基于上述方案,通过接收第一网络功能网元的更新注册请求,并在第二证书有效的情况下提供更新注册服务,有利于在后续服务发现流程中查找到第一网络功能网元,用于向网络功能服务消费网元提供服务。
结合第一方面,在第一方面的某些实现方式中,在确定第一类型的第三网络功能网元的第一证书无效的情况下,服务发现功能网元发送不包括第三网络功能网元的标识信息的该服务发现响应消息。
基于上述方案,基于第三网络功能网元的第一证书的有效性验证不通过的情况下,服务发现功能网元向第二网络功能网元NFc不提供第三网络功能网元的信息,避免后续网络连接建立失败的情况发生,进而提高网络效率。
另外,在确定第一类型的所有网络功能网元的证书都无效的情况下,服务发现功能网元发送服务发现响应消息,用于拒绝提供第一类型的网络功能网元。
基于上述方案,基于第一类型的所有网络功能网元的证书的有效性验证都不通过的情况下,服务发现功能网元拒绝向第二网络功能网元NFc提供发现服务。
第二方面,提供了一种通信方法,该方法可以由网络功能服务消费网元(例如NFc)执行,或者,也可以由网络功能服务消费网元的组成部件(例如芯片或电路)执行,本申请对此不作限定。为了便于描述,下面以由网络功能服务消费网元执行为例进行说明。该方法包括:网络功能服务消费网元发送订阅请求消息,订阅请求消息用于向服务发现功能网元请求订阅网络功能服务提供网元的第一证书的证书状态,网络功能服务提供网元为网络功能服务消费网元提供服务;网络功能服务消费网元接收来自通知消息,通知消息用于通知网络功能服务提供网元第一证书被吊销或者无效。
根据本申请提供的方案,服务发现功能网元基于订阅请求消息可以及时通知网络功能服务消费网元该第一证书是否被吊销的事件,也就是说网络功能服务消费网元能够实时有效获取网络功能服务提供网元的第一证书的证书状态,保证后续网络功能网元之间通信的网络效率。
结合第二方面,在第二方面的某些实现方式中,在确定网络功能服务消费网元与网络功能服务提供网元建立连接失败的情况下,网络功能服务消费网元发送指示信息,该指示信息用于指示网络功能服务提供网元的第一证书被吊销,该指示信息包括第一证书的标识信息。
可选地,在确定网络功能服务消费网元与网络功能服务提供网元建立连接失败的情况下,网络功能服务消费网元发送第一信息,该第一信息包括第一证书和第一证书的失效指示;或者,该第一信息包括第一证书的标识信息和第一证书的失效指示。
基于上述方案,服务发现功能网元可以比较及时地获取网络功能服务提供网元的第一证书的证书状态(是否被吊销),并及时通知其他NFc,即与网络功能服务提供网元同样向NRF请求提供第一类型的网络功能网元的NFc,能够避免因为第一证书失效或者被吊销,导致网络连接建立失败的情况发生,进而提高网络效率,提升用户体验。
第三方面,提供了一种通信方法,该方法可以由证书颁发网元(例如CA/RA)执行,或者,也可以由用于由证书颁发网元的组成部件(例如芯片或电路)执行,本申请对此不作限定。为了便于描述,下面以由证书颁发网元执行为例进行说明。该方法包括:证书颁发网元确定第一网络功能网元的第一证书被吊销;证书颁发网元向第一网络功能网元对应的网络存储功能网元发送指示信息,指示信息用于指示将第一证书增加至证书撤销列表。
需要说明的是,该指示信息还可以用于指示第一证书被吊销,指示信息包括第一证书的标识信息。也就是说,该指示信息以及使得接收端(例如网络存储功能网元NRF)将第一证书添加至撤销列表的指示信息可以是同一个,本身其对此不作具体限定。
根据本申请提供的方案,基于证书颁发网元发送的指示信息,服务发现功能网元可以比较及时地获取第一证书的证书状态(是否被吊销),并及时通知第二网络功能网元NFc,能够避免因为第一证书失效或者被吊销,导致网络连接建立失败的情况发生,进而提高网络效率,提升用户体验。同时,基于证书颁发网元发送的指示信息,服务发现功能网元可以及时获取第一证书是否被吊销,并及时更新证书撤销列表上第一证书的证书状态,实时有效。
结合第三方面,在第三方面的某些实现方式中,在证书颁发网元向第一网络功能网元对应的网络存储功能网元发送指示信息之前,证书颁发网元根据预先配置的第一网络功能网元对应的网络存储功能网元信息确定该网络存储功能网元。
第四方面,提供了一种通信方法,该方法可以由第一网络功能网元(例如NFp)执行,或者,也可以由第一网络功能网元的组成部件(例如芯片或电路)执行,本申请对此不作限定。为了便于描述,下面以由第一网络功能网元执行为例进行说明。该方法包括:第一网络功能网元发送注册请求消息,注册请求消息用于请求将第一网络功能网元注册到服务发现功能网元上,注册请求消息包括第一网络功能网元的第一证书,第一证书包括第一证书的标识信息以及与第一证书的标识信息对应的第一证书有效期;第一网络功能网元接收注册请求响应消息。
根据本申请提供的方案,第一网络功能网元在发送注册请求消息时携带其所拥有的第一证书,使得服务发现网元对第一证书的有效性进行验证,并在确定第一证书有效的情况下接受注册请求,从而确保第一网络功能网元是真实可用的,以及有利于后续服务发现流程中向网络功能服务消费网元NFc提供该安全可用的第一网络功能网元,避免由于第一网络功能网元的证书失效或者被吊销,导致网络连接建立失败的情况发生,进而提高网络效率。
结合第四方面,在第四方面的某些实现方式中,第一网络功能网元发送去注册请求消息,该去注册请求消息用于请求将第一网络功能网元的上下文从服务发现功能网元上删除,该去注册请求消息包括第一网络功能网元的标识。
基于上述方案,服务发现功能网元可以比较及时地获取第一证书的证书状态(通过去注册请求消息),并及时通知第二网络功能网元NFc,能够避免因为第一证书失效,导致网络连接建立失败的情况发生,进而提高网络效率,提升用户体验。
结合第四方面,在第四方面的某些实现方式中,第一网络功能网元获取第二证书,第二证书包括第二证书的标识信息以及与第二证书的标识信息对应的第二证书的有效期;第一网络功能网元向服务发现功能网元发送更新注册服务请求消息,该更新注册服务请求消息用于请求服务发现功能网元提供更新注册服务,更新注册服务请求消息包括第二证书。
基于上述方案,通过向服务发现功能网元请求更新注册,可以在后续服务发现流程中被查找到,实现与网络功能服务消费网元的建立连接以及向网络功能服务消费网元提供服务。
第五方面,提供了一种通信方法,该方法可以由服务发现功能网元(例如NRF)执行,或者,也可以由服务发现功能网元的组成部件(例如芯片或电路)执行,本申请对此不作限定。为了便于描述,下面以由服务发现功能网元执行为例进行说明。该方法包括:服务发现功能网元接收第一服务发现请求消息,第一服务请求消息用于请求服务发现功能网元提供第一类型的网络功能网元;服务发现功能网元发送包括第一类型的第一网络功能网元的标识信息的第一服务发现响应消息;服务发现功能网元接收第二服务发现请求消息,第二服务请求消息用于请求服务发现功能网元提供第一类型的网络功能网元,第二服务发现请求消息包括第一网络功能网元标识以及第一网络功能网元与第二网络功能网元建立连接失败的原因;服务发现功能网元发送包括第一类型的第三网络功能网元的标识信息的第二服务发现响应消息。
根据本申请提供的方案,通过在服务发现请求消息中携带第一网络功能网元标识以及第一网络功能网元NFp与第二网络功能网元NFc建立连接失败的原因,使得服务发现功能网元在接下来的服务发现流程中向第二网络功能网元NFc提供除第一网络功能网元NFp之外的其他第一类型的网络功能网元的标识信息,避免服务发现功能网元重复发送第一网络功能网元的标识信息,造成网络连接再次建立失败等,增加通信时延,以及降低网络效率。
第六方面,提供了一种通信方法,该方法可以由第二网络功能网元(例如NFc)执行,或者,也可以由第二网络功能网元的组成部件(例如芯片或电路)执行,本申请对此不作限定。为了便于描述,下面以由第二网络功能网元执行为例进行说明。该方法包括:第二网络功能网元发送第一服务发现请求消息,第一服务请求消息用于请求服务发现功能网元提供第一类型的网络功能网元;第二网络功能网元接收包括第一类型的第一网络功能网元的标识信息的第一服务发现响应消息;在确定第一网络功能网元与第二网络功能网元建立连接失败的情况下,第二网络功能网元发送第二服务发现请求消息,第二服务请求消息用于请求服务发现功能网元提供第一类型的网络功能网元,第二服务发现请求消息包括第一网络功能网元标识和建立连接失败的原因;第二网络功能网元接收包括第一类型的第三网络功能网元的标识信息的第二服务发现响应消息。
根据本申请提供的方案,通过在服务发现请求消息中携带第一网络功能网元标识和第一网络功能网元NFp与第二网络功能网元NFc建立连接失败的原因,使得服务发现功能网元在接下来的服务发现流程中向第二网络功能网元NFc提供除第一网络功能网元NFp之外的其他第一类型的网络功能网元的标识信息,避免服务发现功能网元重复发送第一网络功能网元的标识信息,造成网络连接再次建立失败等,增加通信时延,以及降低网络效率。
结合第五方面或第六方面,在某些实现方式中,建立连接失败的原因包括以下一项或多项:第一网络功能网元的证书过期;第一网络功能网元的证书被吊销;或者,第一网络功能网元的路由失败。
第七方面,提供了一种通信装置。该装置用于执行上述第一方面或第五方面提供的方法。具体地,该通信装置可以包括用于执行第一方面或第五方面的上述任意一种实现方式提供的方法的单元和/或模块。
在一种实现方式中,该通信装置为服务发现功能网元。收发可以是收发器,或输入/输出接口。处理模块可以是至少一个处理器。可选地,收发器可以为收发电路。可选地,输入/输出接口可以为输入/输出电路。
在另一种实现方式中,该通信装置为服务发现功能网元中的芯片、芯片系统或电路。收发模块可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。处理模块可以是至少一个处理器、处理电路或逻辑电路等。
以上第七方面及其可能的设计所示方法的有益效果可参照第一方面或第五方面及其可能的设计中的有益效果。
第八方面,提供了一种通信装置。该装置用于执行上述第二方面或第六方面提供的方法。具体地,该通信装置可以包括用于执行第二方面或第六方面的上述任意一种实现方式提供的方法的单元和/或模块。
在一种实现方式中,该通信装置为第二网络功能网元。收发可以是收发器,或输入/输出接口。处理模块可以是至少一个处理器。可选地,收发器可以为收发电路。可选地,输入/输出接口可以为输入/输出电路。
在另一种实现方式中,该通信装置为第二网络功能网元中的芯片、芯片系统或电路。收发模块可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。处理模块可以是至少一个处理器、处理电路或逻辑电路等。
以上第八方面及其可能的设计所示方法的有益效果可参照第二方面或第六方面及其可能的设计中的有益效果。
第九方面,提供了一种通信装置。该装置用于执行上述第三方面或第三方面提供的方法。具体地,该通信装置可以包括用于执行第三方面或第三方面的上述任意一种实现方式提供的方法的单元和/或模块。
在一种实现方式中,该通信装置为证书颁发网元。收发可以是收发器,或输入/输出接口。处理模块可以是至少一个处理器。可选地,收发器可以为收发电路。可选地,输入/输出接口可以为输入/输出电路。
在另一种实现方式中,该通信装置为证书颁发网元中的芯片、芯片系统或电路。收发模块可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。处理模块可以是至少一个处理器、处理电路或逻辑电路等。
以上第九方面及其可能的设计所示方法的有益效果可参照第三方面或第三方面及其可能的设计中的有益效果。
第十方面,提供了一种通信装置。该装置用于执行上述第四方面或第四方面提供的方法。具体地,该通信装置可以包括用于执行第四方面或第四方面的上述任意一种实现方式提供的方法的单元和/或模块。
在一种实现方式中,该通信装置为第一网络功能网元。收发可以是收发器,或输入/输出接口。处理模块可以是至少一个处理器。可选地,收发器可以为收发电路。可选地,输入/输出接口可以为输入/输出电路。
在另一种实现方式中,该通信装置为第一网络功能网元中的芯片、芯片系统或电路。收发模块可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。处理模块可以是至少一个处理器、处理电路或逻辑电路等。
以上第十方面及其可能的设计所示方法的有益效果可参照第四方面或第四方面及其可能的设计中的有益效果。
第十一方面,提供了一种处理器,用于执行上述各方面提供的方法。对于处理器所涉及的发送和获取/接收等操作,如果没有特殊说明,或者,如果未与其在相关描述中的实际作用或者内在逻辑相抵触,则可以理解为处理器输出和接收、输入等操作,也可以理解为由射频电路和天线所进行的发送和接收操作,本申请对此不做限定。
第十二方面,提供了一种计算机可读存储介质。该计算机可读存储介质存储用于设备执行的程序代码,该程序代码包括用于执行上述第一方面至第四方面的任意一种实现方式提供的方法。
第十三方面,提供了提供一种包含指令的计算机程序产品。当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面至第四方面的任意一种实现方式提供的方法。
第十四方面,提供了提供一种芯片,芯片包括处理器与通信接口。处理器通过通信接口读取存储器上存储的指令,执行上述第一方面至第四方面的任意一种实现方式提供的方法。
可选地,作为一种实现方式,芯片还包括存储器,存储器中存储有计算机程序或指令,处理器用于执行存储器上存储的计算机程序或指令,当计算机程序或指令被执行时,处理器用于执行上述第二方面至第四方面的任意一种实现方式提供的方法。
第十五方面,提供了提供一种通信系统,包括:第七方面至第十方面所述的通信装置中的任意多个。
第十六方面,提供过一种通信方法,包括:第一网元获取网络功能网元所属证书的证书状态;在证书状态为证书失效的情况下,第一网元确定网络功能网元的配置方式,其中配置方式为以下方式的一种:配置网络功能网元为去注册,或,标识网络功能网元为失效。
在一种实现方式中,第一网元通过证书吊销通知消息获取网络功能网元的证书状态,其中,证书吊销通知消息包含用于指示证书状态的指示信息,或证书状态。
在一种实现方式中,第一网元获取网络功能网元的证书状态包括:第一网元接收来自证书颁发网元的证书吊销通知消息,证书吊销通知消息还包含网络功能网元标识,其中,网络功能网元标识用于标识证书所对应的网络功能网元;在证书状态为证书失效的情况下,第一网元确定网络功能网元的配置方式,包括:第一网元根据网络功能网元标识配置网络功能网元为去注册或标识功能网元为失效。
在一种实现方式中,第一网元获取网络功能网元的证书状态包括:第一网元接收来自证书颁发网元的证书吊销通知消息,证书吊销通知消息还包含服务名称,服务名称用于标识证书对应的服务;在证书状态为证书失效的情况下,第一网元标识网络功能网元为失效,包括:在证书状态为证书失效的情况下,第一网元根据服务名称来标识网络功能网元所对应的服务为失效。
在一种实现方式中,证书吊销通知消息还包括证书标识,证书标识用于标识证书;在证书状态为证书失效的情况下,第一网元标识网络功能网元为失效,包括:在证书状态为证书失效的情况下,第一网元根据证书标识来标识功能服务网元所对应的服务为失效。
在一种实现方式中,证书失效状态为吊销或吊扣中的一种。
在一种实现方式中,第一网元向OAM发送第一网元确定的配置方式。
在一种实现方式中,第一网元为服务发现功能网元或证书管理网元。
第十七方面,提供了一种通信装置。该装置用于执行上述第十六方面或第十六方面的上述任一种实现方式提供的方法。具体地,该通信装置可以包括用于执行第十六方面或第十六方面的上述任意一种实现方式提供的方法的单元和/或模块。
附图说明
图1是适用本申请的网络架构的示意图。
图2是PKI系统层级结构的示意图。
图3是NF注册/注册更新/去注册的流程示意图。
图4是不同场景下NF服务发现的流程示意图。
图5是本申请实施例提供的第一种通信方法的流程示例图。
图6是本申请实施例提供的第二种通信方法的流程示例图。
图7是本申请实施例提供的第三种通信方法的流程示例图。
图8是本申请实施例提供的第四种通信方法的流程示例图。
图9是本申请实施例提供的第五种通信方法的流程示例图。
图10是本申请实施例提供的一种通信装置的结构示意图。
图11是本申请实施例提供的另一种通信装置的结构示意图;
图12是本申请实施例提供的一种通信方法的流程示例图。
图13是本申请实施例提供的另一种通信方法的流程示例图。
图14是本申请实施例提供的另一种通信方法的流程示例图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请提供的技术方案可以应用于各种通信系统,例如:新无线(new radio,NR)系统、长期演进(long term evolution,LTE)系统、LTE频分双工(frequency divisionduplex,FDD)系统、LTE时分双工(time division duplex,TDD)系统等。本申请还可以应用于设备到设备(device to device,D2D)通信,车到万物(vehicle-to-everything,V2X)通信,机器到机器(machine to machine,M2M)通信,机器类型通信(machine typecommunication,MTC),以及物联网(internet of things,IoT)通信系统或者其他通信系统。
在通信系统中,运营者运营的部分可称为公共陆地移动网络(public landmobile network,PLMN),也可称为运营商网络等。PLMN是由政府或其所批准的经营者为公众提供陆地移动通信业务目的而建立和经营的网络,主要是移动网络运营商(mobilenetwork operator,MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的PLMN,具体可为符合第三代合作伙伴项目(3rd generation partnership project,3GPP)标准要求的网络,简称3GPP网络。3GPP网络通常包括但不限于第五代移动通信(5th-generation,5G)网络、第四代移动通信网络,以及未来的其他通信系统,例如第六代移动通信网络等。
为了方便描述,本申请实施例中将以PLMN或5G网络为例进行说明。
图1是适用本申请的一种网络架构的示意图,以3GPP标准化过程中定义的非漫游场景下,基于服务化架构SBA的5G网络架构为例。如图1所示,该网络架构可以包括三部分,分别是终端设备部分、数据网络(data network,DN)和运营商网络部分。下面对各部分的网元的功能进行简单说明。
终端设备部分可以包括终端设备110,该终端设备110也可以称为用户设备(userequipment,UE)。本申请中的终端设备110是一种具有无线收发功能的设备,可以经无线接入网(radio access network,RAN)140中的接入网设备(或者也可以称为接入设备)与一个或多个核心网(core network,CN)设备进行通信。本申请实施例对终端设备的类型或种类等并不限定。为便于理解,本申请后续以UE代指终端设备为例进行说明。
运营商网络部分可以包括但不限于(无线)接入网((radio)access network,(R)AN120和核心网(core network,CN)部分。(R)AN 120可以看作是运营商网络的子网络,是运营商网络中业务节点与终端设备110之间的实施系统。终端设备110要接入运营商网络,首先是经过(R)AN 120,进而可通过(R)AN 120与运营商网络的业务节点连接。本申请实施例中的接入网设备是一种为终端设备110提供无线通信功能的设备,也可以称为网络设备应理解,本文对接入网设备的具体类型不作限定。CN部分可以包括但不限于:用户面功能(user plane function,UPF)130、网络开放功能(network exposure function,NEF)131、NRF 132、策略控制功能(policy control function,PCF)133、统一数据管理功能(unifieddata management,UDM)134、统一数据存储库功能(unified data repository,UDR)135、网络数据分析功能(network data analytics function,NWDAF)136、认证服务器功能(authentication server function,AUSF)137、接入与移动性管理功能(access andmobility management function,AMF)138、会话管理功能(session managementfunction,SMF)139。
DN 140,也可以称为分组数据网络(packet data network,PDN),通常是位于运营商网络之外的网络,例如第三方网络。DN指的是为用户提供数据传输服务的运营商网络,如IP多媒体业务(IP multi-media service,IMS)、Internet等。PLMN可以接入多个DN 140,DN140上可部署多种业务,可为终端设备110提供数据和/或语音等服务。终端设备110可以通过运营商网络访问DN 140,使用DN 140上部署的运营商业务,和/或第三方提供的业务。
下面对CN包含的NF进行进一步简要说明。
1、UPF 130是由运营商提供的网关,是运营商网络与数据网络DN 140通信的网关。UPF网络功能130包括数据包路由和传输、数据包检测、业务用量上报、服务质量(qualityof service,QoS)处理、合法监听、上行数据包检测、下行数据包存储等用户面功能。
2、NEF 131是由运营商提供的控制面功能,主要使能第三方使用网络提供的服务,支持网络开放其能力、事件及数据分析、从外部应用给PLMN安全配备信息、PLMN内外交互信息的转换等。
3、NRF 132是由运营商提供的控制面功能,可用于维护网络中网络功能、服务的实时信息。例如支持网络服务发现、维护NF实例的NF配置数据(NF profile)支持的服务、支持SCP的服务发现、维护SCP实例的SCP配置数据(SCP profile)、发送有关新注册、去注册、更新的NF和SCP的通知、维护NF和SCP运行的健康状态等。
4、PCF 133是由运营商提供的控制面功能,它支持统一的策略框架来治理网络行为、向其他控制功能提供策略规则、策略决策相关的签约信息等。
5、UDM 134是由运营商提供的控制面功能,负责存储运营商网络中签约用户的用户永久标识符(subscriber permanent identifier,SUPI)、签约用户的公开使用的签约标识(generic public subscription identifier,GPSI)、信任状(credential)等信息。
6、UDR 135是由运营商提供的控制面功能,为UDM提供存储和获取签约数据的功能、为PCF提供存储和获取策略数据、存储和获取用户的NF群组ID(group ID)信息等。
7、NWDAF 136是由运营商提供的控制面功能,其主要功能是从NF、外部应用功能(application function,AF)以及运维管理(operations,administration andmaintenance,OAM)系统等处收集数据,对NF和AF提供NWDAF业务注册、数据开放和分析数据等。
8、AUSF 137是由运营商提供的控制面功能,通常用于终端设备110(签约用户)与运营商网络之间的认证。AUSF网络功能137接收到签约用户发起的认证请求之后,可通过UDM网络功能134中存储的认证信息和/或授权信息对签约用户进行认证和/或授权,或者通过UDM网络功能134生成签约用户的认证和/或授权信息。AUSF网络功能137可向签约用户反馈认证信息和/或授权信息。
9、AMF 138是由运营商网络提供的控制面网络功能,负责终端设备110接入运营商网络的接入控制和移动性管理,例如包括移动状态管理,分配用户临时身份标识,认证和授权用户等功能。
10、SMF 139是由运营商网络提供的控制面网络功能,负责管理终端设备110的协议数据单元(protocol data unit,PDU)会话。PDU会话是一个用于传输PDU的通道,终端设备需要通过PDU会话与数据网络DN 140互相传送PDU。PDU会话由SMF网络功能139负责建立、维护和删除等。SMF网络功能139包括会话管理(例如会话建立、修改和释放,包含用户面功能UPF 130和(R)AN 120之间的隧道维护)、UPF网络功能130的选择和控制、业务和会话连续性模式选择、漫游等会话功能。
可以理解的是,上述网元或者功能既可以是硬件设备中的物理实体,也可以是在专用硬件上运行的软件实例,或者是共享平台(例如,云平台)上实例化的虚拟化功能。简单来说,一个NF可以由硬件来实现,也可以由软件来实现。
为方便说明,本申请实施例中将网络功能(如NEF 131…SMF139)统称/简称为NF,即本申请实施例中后文所描述的NF可替换为任一个网络功能。另外,图1仅示意性地描述了部分网络功能,后文所描述的NF不局限于图1中示出的网络功能。
应理解,上述应用于本申请实施例的网络架构仅是从服务化架构的角度描述的网络架构,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
还应理解,图1中所示的AMF、SMF、UPF、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元,例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备,也可以集成于同一设备中实现不同的功能,本申请对于上述网元的具体形态不作限定。
还应理解,上述命名仅为便于区分不同的功能而定义,不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能采用其他名称等。
为便于理解本申请技术方案,首先对涉及的术语或技术进行简单说明。
1、非对称加密算法、数字签名、签名校验
非对称加密算法在使用时需要同时拥有公开密钥和私有密钥,公开密钥与私有密钥相对应,如果在对数据的加密过程中使用了公开密钥,那么只有使用相对应的私有密钥才能解密。反之,如果在对数据进行加密时使用了私有密钥,也只有使用与之相对应的公开密钥才能解密。利用非对称加密算法的一种加密过程是:甲方首先生成一对密钥同时将其中的一把作为公开密钥,得到公开密钥的乙方使用该密钥对需要加密的信息进行加密后再发送给甲方,甲方再使用另一把对应的私有密钥对加密后的信息进行解密,这样就实现了机密数据传输。利用非对称加密算法的另一种加密过程是:甲方使用自己的私有密钥对信息进行加密后发送给乙方,乙方使用甲方提供的公开密钥对加密后的信息进行解密,如果成功解密即可证实信息确实是由甲方所发,并非他人冒充,这就是常用的数字签名技术。
数字签名是非对称加密(asymmetric cryptography)技术的一种应用。非对称加密是一种密码学算法类型,在这种密码学方法中,需要一对密钥,一个是私人密钥(通常称为私钥),另一个则是公开密钥(通常称为公钥)。这两个密钥数学相关,通常一个作为加密密钥,一个作为解密密钥,通过加密密钥加密的信息只能通过加密密钥对应的解密密钥进行解密。因此,私钥持有者便可以通过私钥对信息进行加密来保证信息的完整和准确。其中,用私钥加密的信息便被称为数字签名,简称为签名。
数字签名具有以下几个特点:(1)防冒充(伪造):私有密钥只有签名者自己知道,所以其他人无法构造出正确的。(2)可鉴别身份:如前所述,数字签名可以防止他人伪造,因此接收方能够通过鉴别发送方所宣称的身份。(3)防篡改(防破坏信息的完整性):对于数字签名,签名与原有文件已经形成了一个混合的整体数据,不可能被篡改,从而保证了数据的完整性。(4)防重放。在数字签名中,如果采用了对签名报文添加流水号、时间戳等技术,可以防止重放攻击。(5)防抵赖。如前所述,数字签名可以鉴别身份,不可能冒充伪造,那么,只要保好签名的报文,就好似保存好了手工签署的合同文本,也就是保留了证据,签名者就无法抵赖。(6)机密性(保密性)。有了机密性保证,截收攻击也就失效了。手工签字的文件(如同文本)是不具备保密性的,文件一旦丢失,其中的信息就极可能泄露。数字签名可以加密要签名的消息,当然,如果签名的报名不要求机密性,也可以不用加密。
签名校验是信息接收方通过公钥来验证私钥持有者发布的数据或文件是否完整,以及信息来源是否准确。例如,私钥持有者通过私钥对待发送的数据(或者是待发送数据的摘要信息)进行加密,然后将待发送的数据和密文一起发送给接收方,该密文即为该数据的签名。接收方通过公钥对密文进行解密,并验证解密之后得到的数据和接收方从私钥持有者接收到的数据(或者是根据接收到的数据生成的摘要信息)是否一致,如果一致,则验证通过,表示接收到的数据信息是完整且准确的,且可以确定该数据是由私钥持有者发送的。在本申请中,签名校验还可以称为验证签名,验证通过也可以称为校验成功。
2、公钥基础设施(public key infrastructure,PKI)、证书、证书机构
PKI用于实现基于公私钥的密钥和数字证书(certificate)的产生、管理、存储、分发和撤销等功能。公钥和私钥分别用于加密和生成数字签名,公钥可以发到网络中,而私钥必须存在持有者内部。数字证书是用于数字通讯中标识一方身份和所持公钥所有权的数字认证信息,本申请中数字证书也可简称为证书。简单来说,证书用于标识用户的身份,PKI用于签发身份证明和证实该身份证明有效。
一个典型的PKI系统包括一个或多个证书机构(certificate authority,CA),CA负责管理公钥的整个生命周期,包括发放证书、定义证书有效期和吊销证书。需要说明的是,CA还可包括注册机构(registration authority,RA),RA用于获取并认证用户身份后向CA提出证书签发请求。其中,RA可以是集成在CA的一项功能,也可单独部署,本申请中假设CA集成了RA的功能。为便于管理证书,PKI系统层级结构采用树状结构。树状PKI架构具备以下特点:(1)根CA作为所有网元的信任终结点,需要出于绝对安全的位置,保证安全隔离和尽量少的通信交互。(2)可以借助多级别CA对证书进行使用范围的划分,例如位于不同区域位置的网元使用不同的叶CA下发证书,或用于公共业务和私有业务的网元使用不同的叶CA下发证书等。(3)当某个叶CA被攻击时,不会导致整个PKI架构失效和崩溃,有利于整个PKI系统的稳定性。
图2是一种PKI系统层级结构的示意图。PKI架构下任意两个网元是否可以信任对端是基于各自所持有的证书是否由共同的信任的终结点颁发,如图2所示的共同的信任的终结点为根CA。根CA会根据部署情况下属多级叶CA(如图2中除根CA外的其他CA),根CA负责对自己(自签名证书)和下一层叶CA(如图2中的CA-A和CA-B)签发证书,下一层叶CA再对其下一层CA签发证书,如CA-A的下一层CA为CA-A1和CA-A2,以此类推,最终由最后一层叶CA对网元签发证书,如CA-B1对网元B1签发证书。
具体地,用户向叶CA请求签发证书的流程如下:(1)用户本地生成配对的公钥和私钥,将公钥和自己的身份信息交给CA。(2)CA确定是否同意为该用户签发证书,包括验证用户身份和公私钥通过后即可以同意颁发,比如用户向CA发送一个初始的credential和一个私钥签名,CA验证初始credential来确定用户身份,并且使用公钥验证私钥签名,确定这个公私钥对是用户自己的,就可以颁发证书。如果同意则生成证书并使用CA的私钥对该证书生成数字签名。其中,证书至少有如表1所示的信息。(3)用户从CA处获取CA为该用户签发的证书,同时从CA处获取查询证书吊销信息的地址和证书链信息。其中,查询证书吊销的地址可以是查询记录证书吊销信息的证书吊销列表(certificate revocation list,CRL)或线证书状态协议(online certificate status protocol,OCSP)。证书链用于从底层叶CA循序向上一直显示到根CA,以向其他网元显示如何循序找到共同的信任终结点。例如,图2中的网元A1和网元B1的证书分别由CA-A1和CA-B1签发,网元A1和网元B1的证书无法独立显示共同的信任终结点,需要借助证书链显示共同信任终结点(如根CA)。其中,网元A1的证书链为{CA-A1证书,CA-A证书,根CA证书},网元B1的证书链为{CA-B1证书,CA-B证书,根CA证书}。
表1
3、核心网中的CA
核心网定义了不同类型的证书颁发机构,包括但不限于:安全网关(securitygateway,SEG)CA、网元(network element,NE)CA、传输层安全性协议(transport layersecurity,TLS)客户端CA、TLS服务器CA和互联(interconnection)CA。其中:
(1)SEG CA:指的是向特定运营商域内的SEG颁发终端实体证书的CA,用于与其他域的SEG交互或与自己域的网元交互。
(2)NE CA:指的是向特定运营商域内的网元颁发终端实体IPsec证书的CA,NE CA颁发的证书应限制在Zb接口,用于与其他NE或SEG交互。
(3)TLS客户端CA:指的是向特定运营商域内的TLS实体颁发终端实体TLS客户端证书的CA,用于客户端(client)和服务器(server)之间建立TLS连接。
(4)TLS服务器CA:指的是向特定运营商域内的TLS实体颁发终端实体TLS服务器证书的CA。
(5)互联CA:代表特定运营商向运营商的SEG和TLS实体与之互连的其他域的SEGCA、TLS客户端CA和TLS服务器CA颁发交叉证书的CA。
应理解,除非运营商选择合并CA,否则每个安全域至少有一个SEG CA、NE CA、TLS客户端CA或TLS服务器CA,以及一个专用的互联CA。
4、NF配置数据(NF Profile)
NF Profile由操作、管理和维护(operation,administration and maintenance,OAM)生成并配置给NF。NF Profile中包括但不限于以下参数:网元标识(例如NF ID(身份Identity或识别符Identifier)、NF的实例(Instance)ID)、网元类型(NF type)、全限定域名(fully qualified domain name,FQDN)/IP地址(IP address)、网元所支持的切片和服务、NF的位置信息、NF的归属网络标识PLMN ID、或NF专用的服务授权信息等参数。其中,NFinstance ID、NF type、FQDN/IP address等都可以用于申请证书。
5、证书撤销列表CRL和在线证书状态协议OCSP
CRL是一个具有时间戳的列表,包括所有已经吊销或挂起的数字证书信息,还包括CRL本次更新日期和下次更新日期两个字段,用户可根据这两个日期信息确定当前拥有的CRL是否是最新的,以及管理CRL缓冲区,即在CRL下次更新之前,用户可以一直使用原来的CRL缓冲区。由于CRL中含有CA的数字签名,因此CRL可以存储于网络上的任何节点,例如NRF。
在CRL方案中,更新的CRL会定期发布到轻型目录访问协议(lightweightdirectory access protocol,LDAP)目录服务器上,以便依赖方获悉证书的当前状态,依赖方可以根据CRL中是否包含待校验的证书来判断证书的状态是吊销或未吊销,如果CRL中包含校验证书,那说明证书被吊销,如果CRL中不包含校验证书,那说明证书没有被吊销。具体实现步骤包括:获取对应的CRL,校验CRL上CA的数字签名是否有效,以及检查待校验的证书是否在CRL中。其中,证书在CRL中的状态包括吊销和吊扣。吊销表示证书被不可逆的吊销,例如该证书是由不当的证书颁发机构颁发,或者该证书的私钥被认为已经破坏或窃取,即用户不再独有该证书的私钥。吊扣表示证书是可逆的吊扣,待证书恢复后可继续使用。
OCSP是一个在线证书查询接口,它建立一个可实时响应的机制,让浏览器发送查询证书请求到CA服务器,然后CA服务器实时响应验证证书是否合法有效,这样可以实时查询每一张证书的有效性,解决了CRL的实时性问题。
在基于服务化架构SBA的核心网中,控制面的NF之间是基于服务化的接口进行交互。也就是说,任何两个NF在物理上都是连通的,它们之间可以直接地或间接地通过其他NF(如服务通信代理SCP)进行交互,即一个NF调用另一个NF提供的服务。为了保证网络中NF交互的安全,5G网络中要求每个NF(例如,NFc或NFp)在与其他NF交互之前,需要先在NRF处获得授权。
在一种可能的实现方式中,NF可以通过与NRF进行注册流程来获得NRF的授权。例如,NF在实例化之后向NRF发起注册,将NF配置数据注册到NRF上,以便在服务发现流程中其他NF网元可以发现该NF。
图3是一种NF注册/注册更新/去注册300的流程示意图。其中,步骤S311-S313是NF注册流程,步骤S321-S323是NF注册更新流程,步骤S331-S333是NF去注册流程。如图3所示,具体包括如下多个步骤。
S311,NF(例如,NFp)向NRF发送注册请求(Nnrf_NFManagement_NFRegisterRequest)消息。
对应的,NRF接收来自NF的注册请求消息。
其中,该注册请求消息包括该NF的配置数据(NF Profile),NF Profile包括该NF标识,例如NF实例标识(Instance ID)。
可选地,NF Profile还可以包括其他信息。例如NF类型,或者NF所支持的切片和服务等参数。以NFp向NRF请求注册为例,NFp的配置数据还可以包括针对不同类型的NFc(例如SMF,或AMF)或者不同Instance ID的NFc可以使用的NFp具体资源或具体操作。
为了保证NF与NRF之间信息交互的安全性,可以遵循互联网工程任务组(InternetEngineering Task Force,IETF)制定的OAuth 2.0的标准授权框架来进行注册信息交互。其中,OAuth2.0中的客户端(client)对应这里的NF,客户端ID对应NF实例ID,授权服务器(authorization server)对应NRF。
S312,NRF(即授权服务器)存储NF的配置数据。
示例性的,NRF如果接受NFp的注册请求就存储NFp Profile,并标记NFp可用。
需要说明的是,NRF在接受NF注册之前可以对该请求进行验证。
具体地,基于OAuth的授权框架,NRF通过验证注册请求的信息是否真实有效来确定是否接受NF的请求。OAuth的授权框架不限制NRF具体使用的验证方法。例如,NFp可以事先获取一个数字证书,该证书是由NRF或其他网元签发,并在证书中描述NFp的合法Profile。NRF使用签发者(NRF或其他网元)的公钥验证该数字证书的真实性,由此来确定证书中内容的真实性。又例如,NFp也可以事先获取经过NRF或其他网元签名的NFp Profile,NRF通过使用签名者的公钥验证该签名的真实性来确定NFp Profile的真实性。NFp和NRF也可以使用其他事先约定的信任状(credentials)或方法(如口令,或共享密钥等),来使得NRF可以验证NFp Profile的真实性,本申请不作限定。进一步,如果是数字证书,NRF还可以检查证书所描述的Profile中的参数与注册请求消息中的NFp Profile的参数是一致的。
S313,NRF向NF发送注册响应(Nnrf_NFManagement_NFRegister Response)消息。
对应的,NF接收来自NRF的注册响应消息。
其中,该注册响应消息用于通知NF服务注册成功(或失败)。
S321,NF(例如,NFp)向NRF发送注册更新请求(Nnrf_NFManagement_NFUpdateRequest)消息。
对应的,NRF接收来自NF的注册更新请求消息。
其中,该注册更新请求消息包括该NF待更新的配置数据(例如,具有新的服务容量),用于请求NRF更新之前存储的NF profile。
S322,NRF更新NF的配置数据。
示例性的,如果NRF接受NFp的注册更新请求,就更新存储的NFp profile。
S323,NRF向NF发送注册更新响应(Nnrf_NFManagement_NFUpdate Response)消息。
对应的,NF接收来自NRF的注册更新响应消息。
S331,NF(例如,NFp)向NRF发送去注册请求(Nnrf_NFManagement_NFDeregisterRequest)消息。
对应的,NRF接收来自NF的去注册请求消息。
其中,该去注册请求消息用于通知NRF该NF不可用。
示例性的,去注册原因可以是NFp被销毁,或者由于网络规划变更导致NFp需要在另一NRF上注册,又或者当NRF即将关闭或与网络断开时,该NF不可用。
S332,NRF删除NF的配置数据。
示例性的,NRF可以根据NFp管理策略删除NFp profile,并标记NFp不可用。
S333,NRF向NF发送去注册响应(Nnrf_NFManagement_NFDeregister Response)消息。
对应的,NF接收来自NRF的去注册响应消息。
需要说明的是,以上提供的NFp注册/注册更新/去注册流程仅为示例,本申请并未限定于此,其他能够实现NF注册的方法及过程均落入本申请的保护范围内。
在另一种可能的实现方式中,NF可以通过与NRF进行服务发现流程来获得NRF的授权。即NF在向其他NF请求服务之前,会向NRF请求能够提供此服务的NF的信息。例如,AMF向NRF请求能够为UE提供PDU会话的SMF的信息。
图4是不同场景下NF服务发现400的流程示意图。其中,步骤S411-S413是非漫游场景下NF服务发现流程,即NF与NRF属于同一服务PLMN,步骤S421-S423是漫游场景下NF服务发现流程,即NF与NRF属于不同的服务PLMN。如图4所示,具体包括如下多个步骤。
S411,NF(例如,NFc)向NRF发送服务发现请求(Nnrf_NFdiscovery_Request)消息。
对应的,NRF接收来自NF的服务发现请求消息。
其中,该服务发现请求消息用于NFc请求发现期望的NFp实例,该服务发现请求消息包括期望的NFp服务名称、期望的NFp实例的NF类型和NFc的NF类型。
示例性的,NFc根据服务名称(如,建立PDU会话)和目标NF类型(如SMF)发现PLMN网络中可用的服务。
可选地,该服务发现请求消息还包括生产者NF set ID、NF service set ID、SUPI、数据集标识符、外部组ID(用于UDM和UDR发现)、UE的路由指示符和归属网络公钥标识符(用于UDM和AUSF发现)、S-NSSAI、NSI ID以及其他服务相关参数。
示例性的,对于SMF发现,该服务发现请求消息可以包括SMF区域ID,或SMF setID。例如,该服务发现请求消息包括对SMF位置的指示信息。
S412,NRF授权Nnrf_NFdiscovery_Request,并确定NFc期望的NFp实例。
示例性的,NRF根据期望的NFp或NFp服务的配置文件,以及NFc的类型,确定是否允许NFc发现期望的NFp实例。如果期望的NFp实例或NF服务实例部署在某个网络切片中,NRF根据网络切片的发现配置对发现请求进行授权。例如,期望的NFp实例只能由同一网络切片中的NFc发现。
进一步的,NRF根据NFc发送的请求中包含的服务名称、归属网络,或期望的NFp集合等参数确定匹配服务发现请求消息和NRF内部策略的NFp实例集合。
应理解,NRF确定的NFp数量可以是一个或多个,本申请对此不作具体限定。
S413,NRF向NF发送服务发现响应(Nnrf_NFdiscovery_Response)消息。
对应的,NF接收来自NRF的服务发现响应消息。
其中,该服务发现响应消息包括NFp实例集合的信息,例如NFp profile。
需要说明的是,如果NFc提供了优选的目标NFp位置,则NRF不应将发现的NFp实例或NFp服务实例的集合限制在目标NFp位置。例如,如果无法为优选目标NFp位置找到NFp实例或NFp服务实例,则NRF可以提供位置不是优选目标NFp位置的NFp实例或NFp服务实例。
S421,NF(例如,NFc)向NRF发送服务发现请求消息。
对应的,NRF接收来自NF的服务发现请求消息。
其中,该服务发现请求消息用于NFc请求发现期望的NFp实例,该服务发现请求消息包括期望的NFp服务名称、期望的NFp实例的NF类型、归属PLMN ID、服务PLMN ID,或NFc的NF类型。
可选地,该服务发现请求消息还包括生产者NF set ID、NF service set ID、S-NSSAI、NSI ID以及其他服务相关参数。
S422,NRF与归属hNRF进行服务发现请求消息的交互,以获取NFp实例的NFpprofile。
示例性的,服务PLMN中的NRF根据归属PLMN ID识别归属PLMN中的hNRF,并向hNRF转发NFc的服务发现请求消息,以获得归属PLMN中部署的期望NFp实例的NFp profile。由于服务PLMN中的NRF代表NFc触发服务发现请求,服务PLMN中的NRF不应替换NFc的信息。或者,hNRF还可以根据从服务PLMN的NRF接收的输入信息,在hPLMN中查询合适的本地NRF。本地NRF的FQDN或本地NRF的NF发现服务在hPLMN中的端点地址可能在hNRF中配置,也可能需要根据输入信息发现。
进一步的,NRF确定匹配服务发现请求消息和NRF内部策略的NFp实例集合,并向NRF发送NFp实例集合。
S423,NF向NRF发送服务发现响应消息。
对应的,NRF接收来自NF的服务发现响应消息。
其中,该服务发现响应消息包括NFp实例集合的信息,例如NFp profile。
需要说明的是,以上提供的NF服务发现的流程仅为示例性说明,本申请并未限定于此,其他能够实现获取期望的NFp实例的方法及过程均落入本申请的保护范围内。
综上所述,基于上述NF注册以及服务发现流程,NRF可以基于NFp的配置数据对NFp进行注册,并为NFc提供期望的NFp实例或NFp服务实例。进一步的,NFc需要与NFp尝试建立网络连接。具体地,NFc和NFp之间如果此时NFp的证书失效(例如,证书过期)或被吊销(例如,证书未过期但由于网络管理,或者NFp的私钥泄露等因素导致证书被吊销),那么此次连接将会建立失败,进而影响网络效率。
进一步地,NFc在与NFp建立网络连接失败后,可以向NFp重新请求服务发现NFp,但是后续NFc仍然有可能为NFc提供相同的NFp,导致网络连接再次失败,影响服务的进程。
也就是说,当NF生命周期与证书生命周期不一致时,会暴露一些安全风险。例如,当NF生命周期长于证书生命周期时,在证书过期或被吊销后,NRF仍可能在NF服务发现过程中发现该NF,并将其提供给NFc。当NFc与NFp建立TLS连接时,虽然NFc可以选择另一个NFp,但NFc和NFp之间的连接可能会失败,因为NFp的证书无效。但是,连接设置失败也会影响网络效率。
有鉴于此,本申请提供了一种通信方法和装置,通过在NFp注册流程中提供NFp所拥有的证书信息,以及在NFc服务发现流程中增加对NFp所拥有的证书有效性进行验证,能够避免或降低后续NFc和NFp建立TLS连接时因NFp证书失效或被吊销导致网络连接建立失败的可能性,进而提高网络效率,以及提升用户体验。
为了便于理解本申请实施例,作出以下几点说明:
第一、在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
第二、在本申请实施例中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a、b和c中的至少一项(个),可以表示:a,或,b,或,c,或,a和b,或,a和c,或,b和c,或,a、b和c。其中a、b和c分别可以是单个,也可以是多个。
第三、在本申请实施例中,“第一”、“第二”以及各种数字编号(例如,#1、#2等)指示为了描述方便进行的区分,并不用来限制本申请实施例的范围。例如,区分不同的消息等,而不是用于描述特定的顺序或先后次序。应理解,这样描述的对象在适当情况下可以互换,以便能够描述本申请的实施例以外的方案。
第四、在本申请实施例中,“当……时”、“在……的情况下”以及“如果”等描述均指在某种客观情况下设备会做出相应的处理,并非是限定时间,且也不要求设备在实现时一定要有判断的动作,也不意味着存在其它限定。
第五、在本申请实施例中,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
第六、在本申请实施例中,“用于指示”可以包括用于直接指示和用于间接指示。当描述某一指示信息用于指示A时,可以包括该指示信息直接指示A或间接指示A,而并不代表该指示信息中一定携带有A。
本申请实施例涉及的指示方式应理解为涵盖可以使得待指示方获知待指示信息的各种方法。待指示信息可以作为整体一起发送,也可以分成多个子信息分开发送,而且这些子信息的发送周期和/或发送时机可以相同,也可以不同,本申请对具体的发送方法不作限定。
本申请实施例中的“指示信息”可以是显式指示,即通过信令直接指示,或者根据信令指示的参数,结合其他规则或结合其他参数或通过推导获得。也可以是隐式指示,即根据规则或关系,或根据其他参数,或推导获得。本申请对此不作具体限定。
第七、在本申请实施例中,“协议”可以是指通信领域的标准协议,例如可以包括5G协议、新空口(new radio,NR)协议以及应用于未来的通信系统中的相关协议,本申请对此不做限定。“预配置”可以包括预先定义。例如,协议定义。其中,“预先定义”可以通过在设备中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现,本申请对于其具体的实现方式不做限定。
第八、本申请实施例中,“存储”可以是指保存在一个或者多个存储器中。所述一个或者多个存储器可以是单独的设置,也可以是集成在编码器或者译码器、处理器、或通信装置中。所述一个或者多个存储器,也可以是一部分单独设置,一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质,本申请并不对此限定。
第九、在本申请实施例中,“通信”还可以描述为“数据传输”、“信息传输”、“数据处理”等。“传输”包括“发送”和“接收”,本申请对此不作限定。
下面将结合附图详细说明本申请提供的技术方案。
图5是本申请实施例提供的第一种通信方法500的流程示意图。如图5所示,该方法包括如下多个步骤。
S510,服务发现功能网元接收服务发现请求消息,服务请求消息用于请求服务发现功能网元提供第一类型的网络功能网元。
示例性的,服务发现功能网元从第二网络功能网元(例如,网络功能服务消费网元NFc)接收服务发现请求消息;或者,服务发现功能网元通过代理网元(例如,通信代理(service communication proxy,SCP))接收来自第二网络功能网元的服务发现请求消息。
可选地,针对跨PLMN漫游场景下,服务发现功能网元(例如NRF1)还可以从其他服务发现功能网元(例如NRF2)接收服务发现请求消息。
需要说明的是,服务发现请求消息可以理解是调用服务发现请求的消息,服务发现可以理解为:服务发现功能网元发现可以为第二网络功能网元提供特定服务的第一网络功能网元。相应地,发送服务发现请求消息可以理解为触发服务发现流程。其中,所述服务发现请求消息可以包括第二网络功能网元期望的网络功能的类型(即第一类型)。
具体地,服务发现功能网元可以是NRF或未来用于服务发现功能的网元,第一类型可以是会话管理,第二网络功能网元可以是AMF,请求发现的网络功能网元可以是SMF。例如,AMF向NRF请求用于为某一用户提供PDU会话的SMF的信息。
S520,在确定第一类型的第一网络功能网元的第一证书有效的情况下,服务发现功能网元发送包括第一类型的第一网络功能网元的标识信息的服务发现响应消息。
示例性的,服务发现功能网元向第二网络功能网元NFc发送包括第一网络功能网元的标识信息的服务发现响应消息;或者,服务发现功能网元通过SCP向第二网络功能网元发送包括第一网络功能网元的标识信息的服务发现响应消息;或者,服务发现功能网元通过其他服务发现功能网元向第二网络功能网元发送包括第一网络功能网元的标识信息的服务发现响应消息。
示例性的,第一网络功能网元的标识信息可以是NF ID(身份Identity或识别符Identifier),或者NF的实例标识(Instance ID),用于后续第二网络功能网元与第一网络功能网元进行网络建立连接。
可选地,服务发现响应消息包括第一网络功能网元的配置数据(NF Profile),例如NF的类型(例如AMF、SMF等)、NF所属的PLMN识别符(例如PLMN ID)、切片相关识别符Identifier(例如,NF所属的单个网络切片选择辅助信息)、NF所属的切片实例的NSI ID),或者NF的位置信息等,本申请对此不作具体限定。
具体地,服务发现功能网元根据服务发现请求消息中的第一类型,确定第一类型的第一网络功能网元。具体实现方式可参考上述方法400中步骤S412,为了简洁,这里不再赘述。进一步地,服务发现功能网元根据第一证书的有效期确定第一证书未过期,以及服务发现功能网元确定第一证书未被吊销,进而确定第一类型的第一网络功能网元的第一证书的有效。
其中,服务发现功能网元可以通过查询NF上下文,获取第一证书的有效期。
其中,服务发现功能网元确定第一证书未被吊销,包括以下几种实现方式。
在一种可能的实现方式中,服务发现功能网元本地查询证书撤销列表(例如,可以是证书吊销列表(certificate revocation list,CRL)或线证书状态协议(onlinecertificate status protocol,OCSP)),在第一证书不属于证书撤销列表的情况下,服务发现功能网元确定第一证书未被吊销。
在另一种可能的实现方式中,在服务发现功能网元本地未查询到证书撤销列表的情况下,服务发现功能网元确定第一证书未被吊销。
示例性的,证书撤销列表可以是预配置的。
应理解,该实现方式中证书撤销列表部署在服务发现功能网元上,证书撤销列表上会列出当前所有已经吊销或挂起的数字证书信息。
在又一种可能的实现方式中,服务发现功能网元向服务器发送询问请求消息,询问请求消息用于查询第一证书是否被吊销;服务发现功能网元接收来自服务器的询问响应消息,询问响应消息包括第一证书未被吊销的指示;服务发现功能网元根据指示确定第一证书未被吊销。
可选地,服务器可以是CRL或者OCSP server。例如,NRF通过CRL或OCSP服务器查询NFp的证书状态(是否被吊销)。NRF可以直接或通过代理网元SCP与CRL或OCSP服务器交互,这具体取决于CRL/OCSP服务器的部署位置(例如,NRF,或者CRL或OCSP服务器)。
应理解,该实现方式中证书撤销列表部署在外部服务器上,证书撤销列表是一个具有时间戳的列表,包括当前所有已经吊销或挂起的数字证书信息。在证书撤销列表中包含本次更新日期和下次更新日期两个字段,用户可由这两个日期信息确定当前拥有的证书撤销列表是否是最新的,以及管理证书撤销列表缓冲区。
示例性的,第一证书还包括以下一项或者多项:签发第一证书的证书颁发网元的标识;第一证书的持有者标识;第一证书的持有者公钥;或者证书颁发网元的证书签名等。
接下来,对服务发现功能网元获取第一证书的具体实现方式进行具体说明。
在一种可能的实现方式中,服务发现功能网元接收注册请求消息,注册请求消息用于请求将第一网络功能网元注册到服务发现功能网元上,注册请求消息包括第一证书,第一证书包括第一证书的标识信息和第一证书有效期。
示例性的,第一证书的标识信息可以是第一证书ID(身份Identity或识别符Identifier),表示第一证书本身的身份信息。
示例性的,服务发现功能网元从网络功能服务消费网元接收注册请求消息;或者,通过代理网元(例如SCP)接收来自网络功能服务消费网元的注册请求消息。
需要说明的是,服务发现功能网元NRF通过SCP接收来自网络功能服务消费网元NFc的注册请求消息中,SCP需要在建立连接请求消息中携带SCP的证书,与NRF完成双向认证以建立网络连接。所以通过SCP建立连接时,第一网络功能网元NFp的所有证书都是通过注册请求消息携带的,而不通过SCP建立连接请求消息中携带。
在该实现方式中,第一证书可以是多个。例如,当第一证书有多个时,网络功能服务提供网元在与服务发现功能网元建立网络连接时需要基于证书完成双向认证,因此在连接建立请求中需要携带某一个证书。那么注册请求消息中第一证书可以是网络功能服务提供网元所拥有的全部证书,也可以是除了用于建立网络连接的证书以外的其他证书,本申请对此不作具体限定。
在另一种可能的实现方式中,服务发现功能网元接收连接建立请求消息,连接建立请求消息用于请求第一网络功能网元与服务发现功能网元建立连接,连接建立请求消息包括第一证书,第一证书包括第一证书的标识信息和第一证书的有效期。
示例性的,服务发现功能网元从第一网络功能网元NFp接收连接建立请求消息;或者,通过代理网元(例如SCP)接收来自第一网络功能网元NFp的连接建立请求消息。
在该实现方式中,第一证书可以是一个。例如,当第一证书仅有一个时,网络功能服务提供网元在与服务发现功能网元建立网络连接时需要基于证书完成双向认证,因此在网络连接建立请求中需要携带该第一证书。可选地,注册请求消息可以携带该第一证书,也可以不携带该第一证书,本申请对此不作具体限定。
进一步地,服务发现功能网元通过发送注册响应消息来通知接受第一网络功能网元NFp的注册请求,并存储第一网络功能网元的配置数据。
在一种可能的实现方式中,在确定第一证书有效的情况下,服务发现功能网元将第一证书作为NFp上下文存储在服务发现功能网元上;或者,在确定第一证书有效的情况下,服务发现功能网元将第一证书的标识信息和第一证书有效期作为NFp上下文存储在服务发现功能网元上。
也就是说,服务发现功能网元在确定第一证书有效的情况下才接受第一网络功能网元(例如NFp)的注册请求,即存储第一网络功能网元的配置数据,以及第一证书或者第一证书的标识信息和第一证书有效期。
需要说明的是,在本申请技术方案中,NRF需要将用于在NF和NRF之间建立TLS连接的证书信息作为NF的上下文存储到NRF上。
在另一种可能的实现方式中,在确定注册请求消息中第一证书有效的情况下,服务发现功能网元也可以不存储第一证书,或者不存储第一证书的标识信息和第一证书有效期。基于该实现方式,服务发现功能网元在接收用于请求发现第一类型的网络功能网元的服务时,可以将第一类型的第一网络功能网元的标识信息发送给外部服务器,例如证书撤销列表服务器或线证书状态协议服务器,用于请求获取第一证书的有效性(查询第一证书的有效期和证书状态),进而服务发现功能网元根据外部服务器反馈的响应消息确定是否提供第一网络功能网元的标识信息给第二网络功能网元NFc。例如,外部服务器反馈第一证书有效,则服务发现功能网元向第二网络功能网元NFc提供第一网络功能网元NFp的标识信息。
示例性的,服务发现功能网元向证书撤销列表服务器发送消息#1,该消息#1包括第一类型的第一网络功能网元的标识信息(例如,NFp ID或者NF instance ID),该消息#1用于向证书证书撤销列表服务器查询第一网络功能网元的第一证书的有效性。对应的,证书撤销列表服务器接收来自服务发现功能网元的消息#1,并根据NF instance ID查找NFp对应的证书。如果服务器没有找到其对应的证书,则表示NFp instance所拥有的第一证书没有被吊销;如果服务器找到其对应的证书,则表示NFp instance所拥有的第一证书有一个或多个被吊销,则向服务发现功能网元返回NFp instance的第一证书被吊销的指示。
接下来,针对注册请求过程中,服务发现功能网元确定第一证书有效的具体实现方式进行具体说明。
在一种可能的实现方式中,服务发现功能网元根据第一网络功能网元的公钥和证书颁发网元的公钥确定第一证书是证书颁发网元为第一网络功能网元签发的证书;服务发现功能网元根据第一证书的有效期确定第一证书未过期;以及服务发现功能网元确定第一证书的证书未被吊销。
示例性的,第一网络功能网元的公钥和证书颁发网元的公钥可以是服务发现功能网元预配置的,也可以是通过注册请求消息携带的,本申请对此不作具体限定。
应理解,公钥和私钥分别用于加密和生成数字签名,公钥可以发到网络中而私钥必须存在持有者内部。也就是说,第一网络功能网元和证书颁发网元可以分别通过各自的私钥对第一证书生成数字签名,作为加密的一种方式,服务发现功能网元可以通过第一网络功能网元的公钥和证书颁发网元的公钥对二者的加密保护进行解密钥验证,验证通过即说明该第一证书属于第一网络功能网元,且由证书颁发网元签发和认证,没有被其他功能实体篡改。
基于上述实现方式,第二网络功能网元NFc可以从服务发现功能网元NRF获取第一类型的第一网络功能网元NFp的标识信息,并与之进行网络建立连接。此时,如果第一网络功能网元的第一证书失效或者被吊销,将导致网络连接建立失败,进而影响网络效率。
接下来,针对在服务发现功能网元发送包括第一网络功能网元的标识信息的服务发现响应消息之后,但是第一证书被吊销的情况,服务发现功能网元如何管理证书,以及网络功能网元之间如何通信进行具体说明。
在一种可能的实现方式中,服务发现功能网元接收指示信息,指示信息用于指示第一证书被吊销,指示信息包括第一证书的标识信息;服务发现功能网元发送通知消息,通知消息用于通知第一网络功能网元的第一证书被吊销。
示例性的,服务发现功能网元可以从证书颁发网元(第一证书被吊销时)接收指示信息;或者,也可以从第二网络功能网元NFc(网络建立连接失败时)接收指示信息。
可选地,服务发现功能网元接收订阅请求消息,订阅请求消息用于向服务发现功能网元请求订阅第一证书的证书状态。
示例性的,服务发现功能网元从第二网络功能网元NFc接收订阅请求消息;或者,服务发现功能网元通过代理网元SCP接收来自第二网络功能网元NFc的订阅请求消息。
作为示例而非限定,服务发现功能网元接收来自证书颁发网元的指示信息。
对应的,证书颁发网元向第一网络功能网元对应的网络存储功能网元发送指示信息。
示例性的,证书颁发网元根据预先配置的第一网络功能网元对应的网络存储功能网元信息确定该网络存储功能网元。
需要说明的是,第一网络功能网元对应的网络存储功能网元信息可以是在第一网络功能网元NFp向证书颁发网元请求证书时发送的,并存储在证书颁发网元中;或者,第一网络功能网元对应的网络存储功能网元信息也可以是证书颁发网元颁发给第一网络功能网元NFp的第一证书的内容的一部分;或者,可以是网络管理网元或网络管理员预先配置在证书颁发网元上的。
可选地,在证书颁发网元向第一网络功能网元对应的网络存储功能网元发送指示信息之前,证书颁发网元根据第一证书上的第一网络功能网元的实例标识或第一证书上的证书撤销列表地址确定维护该第一证书的功能网元是该网络存储功能网元。
进一步地,服务发现功能网元根据指示信息将第一证书增加至证书撤销列表。
示例性的,当证书颁发网元吊销第一证书时,服务发现功能网元从证书颁发网元接收指示信息,并及时更新本地存储的证书撤销列表。
具体地,证书颁发网元吊销第一证书的原因可以是:证书颁发网元因收到其他实体发送的吊销请求,或主动的吊销第一证书,比如第一网络功能网元的私钥泄露,网管检测到这一安全事件后向证书颁发网元请求吊销证书,或者因为运营商网络维护,需要更新该第一网络功能网元的配置,吊销或暂时吊扣第一证书等。
需要说明的是,该指示信息还可以用于指示第一证书被吊销,指示信息包括第一证书的标识信息。也就是说,该指示信息以及使得接收端(例如网络存储功能网元NRF)将第一证书添加至撤销列表的指示信息可以是同一指示信息,本身其对此不作具体限定。
在另一种可能的实现方式中,服务发现功能网元接收来自第一网络功能网元的去注册请求消息;服务发现功能网元发送通知消息,通知消息用于通知第一网络功能网元的第一证书无效。
需要说明的是,在本申请实施例中,证书无效包括证书失效或者证书被吊销,证书失效一般理解为证书的有效期超期,证书被吊销一般理解为证书未超期,但是因为某些原因(例如NF私钥泄露或者网络管理等)而被吊销。
示例性的,服务发现功能网元可以从第一网络功能网元(去注册请求)接收第一证书无效的指示。其中,去注册原因可以是第一网络功能网元被销毁,也可以是网络规划变更使得第一网络功能网元需要在另一个服务发现功能网元(例如NRF)上注册等,本申请对此不作限定。
需要说明的是,以上NRF在服务发现流程中确定NFp,并验证NFp的证书有效性仅是示例性说明,不应构成对本申请技术方案的任何限定。也就是说,上述方案主要针对NFc请求NRF提供的第一类型的网络功能网元NFp与NFc是注册到同一NRF上的,归属于同一PLMN的场景,NFc和NFp的应用上下文存储到同一NRF上。
类似地,本申请同样适用于如下场景,即NFc请求NRF(例如NRF1)提供的第一类型的网络功能网元可以是其他NRF(例如NRF2)发现并确定的。即NFc和NFp的应用上下文分别存储到NRF1和NRF2上。因此,本申请对NRF的数量也不做限定。
针对上述第二种场景,具体步骤可以是:NFc发起服务发现流程,例如NFc向VPLMN中的NRF(即NRF1)发送服务发现请求消息,该请求消息携带归属PLMN ID。NRF1根据归属PLMN ID识别归属HPLMN中的NRF(hNRF)(即NRF2),并代表NFc触发“NF Discovery”。HPLMN中的NRF2在确定NFp后,通过NF上下文查询NFp的证书有效性,并通过CRL或OCSP服务器查询NFp的证书吊销状态。其中,HPLMN中的NRF2可以直接或通过代理与CRL或OCSP服务器交互,具体取决于CRL或OCSP服务器的部署位置(例如,NRF2或第三方服务器上)。HPLMN中的NRF2向VPLMN中的NRF1发送服务发现响应消息,携带NFp的信息(例如NFp的实例ID)。VPLMN中的NRF1再向NFc转发该服务发现响应消息。其中,NRF2搜索发现NFp以及NRF2对NFp的证书有效性进行验证的过程可参考上述步骤S510和S520,以及上述方法400中的步骤S421-S423,为了简洁,此处不再赘述。
换句话说,本申请技术方案既适用于非漫游场景下对管理证书以及通信进行描述,也适用于漫游场景,本申请对此不作具体限定。
基于上述技术方案,本申请通过对第一网络功能网元的第一证书的有效性进行验证,并在验证通过的情况下向第二网络功能网元提供第一网络功能网元的信息,能够避免或者降低第一网络功能网元和第二网络功能网元在建立网络连接过程中,由于第一网络功能网元的证书失效或者被吊销,导致网络连接建立失败的情况发生,进而提高网络效率,以及提升用户体验。
可选地,在确定第一类型的第三网络功能网元的第一证书无效的情况下,服务发现功能网元发送不包括第三网络功能网元的标识信息的该服务发现响应消息。
可选地,在确定第一类型的所有网络功能网元的证书都无效的情况下,服务发现功能网元发送服务发现响应消息,用于拒绝提供第一类型的网络功能网元。
综上所述,本申请技术方案基于已有的业务发现过程,将证书吊销状态查询与服务发现过程相结合,从而优化了证书吊销状态查询的效率。此外,本申请技术方案还可以避免NRF在NFp的证书过期或吊销后继续向NFc提供该NFp,这可能会导致连接设置失败。
下面以NFp向NRF请求服务注册,结合NFc向NRF请求服务发现为例,通过在NFp注册流程中提供NFp所拥有的证书信息,以及在NFc服务发现流程中增加对NFp所拥有证书有效性的验证,防止在NFc与NFp建立TLS连接时因NFp证书失效导致连接建立失败,降低网络效率。
图6是本申请实施例提供的第二种通信方法600的流程示例图。如图6所示,具体包括如下多个步骤。
S611,NRF维护所服务区域内的所有NF的证书的CRL。
需要说明的是,该实现方式中CRL存储在NRF,即NRF可以本地查询所服务区域内的所有NF的证书状态信息。
S612a,NFp向NRF发送注册请求消息#1。
对应的,NRF接收来自NFp的注册请求消息#1。
其中,该注册请求消息#1中携带NFp所拥有的证书,NFp的每个证书包括证书ID和证书有效期。例如,证书有效期可以是证书的签发时刻和有效时长,也可以是证书的有效截止时间等。
可选地,NFp的证书还包括签发证书的CA ID、证书的签名、证书持有者ID,或者证书持有者公钥等。
需要说明的是,该注册请求消息#1包括NFp所拥有的所有证书,本申请对NFp的证书数量不作限定。例如,NFp的证书数量取决于不同级别的CA签发,或者业务类型等。
S612b,NRF将NFp所拥有的证书作为NFp上下文存储在NRF上。
示例性的,NRF可以将NFp的证书ID和证书有效期作为NFp上下文存储在NRF上,或者,NRF也可以将NFp的所有证书的全部信息作为NFp上下文存储在NRF上,本申请对此不作具体限定。
在一种可能的实现方式中,NRF在接收到该注册请求消息#1后,将NFp的证书信息作为NFp上下文存储在NRF上。
示例性的,如果NFp只有一个证书,那么注册请求消息#1中可以携带该证书信息,也可以不携带该证书信息。这是因为如果NFp只有一个证书,那么在建立TLS连接时,NFp与NRF之间需要互相发送证书以验证双方的合法性,进而发起注册请求。此时NRF已经获得NFp的证书,所以NFp在注册请求消息#1中可以不携带该证书信息。
示例性的,如果NFp有多个证书,那么注册请求消息#1中可以携带所述多个证书的证书信息,也可以不携带与NRF建立TLS连接时所使用的证书的信息,本申请对此不作限定。
在另一种可能的实现方式中,NRF在接收到该注册请求消息#1后,对NFp所有证书进行验证。例如,NRF验证证书的有效性(证书有效期和证书状态),以及验证证书的真实性(该证书是否属于该NFp),待验证通过后将NFp的证书信息作为NFp上下文存储在NRF上。
示例性的,NRF使用CA公钥对接收到的NFp的证书上CA的签名进行验证,以及NRF使用NFp的公钥对接收到的NFp的证书上NFp的签名进行验证,以确定该证书该CA为该NFp签发的证书,且该证书没有被篡改过。进一步地,通过查询存储的NFp上下文中的证书信息(证书有效期)确定证书是否超期,以及本地查询CRL中NFp的证书状态是否被吊销。在确定该证书是CA针对NFp签发的,且该证书的状态是有效(在有效期内且证书未被吊销或吊扣)的情况下时,NRF将NFp的证书ID和证书有效期作为NFp上下文存储在NRF上。
可选地,在步骤S612b中,NRF可以不存储NFp的证书,或者不存储NFp的证书的标识信息和有效期。基于该实现方式,后续NRF在接收用于请求发现第一类型的网络功能网元的服务时,可以将第一类型的NFp的标识信息发送给外部服务器,例如证书撤销列表服务器CRL或线证书状态协议OCSP服务器,用于请求获取NFp的证书的有效性(查询证书的有效期和证书状态),进而在确定NFp的证书有效的情况下向NFc提供NFp的标识信息。
在该实现方式中,通过对NFp所拥有的证书的有效性进行验证,可以防止其他恶意的NF伪造证书信息进行注册,安全性更强。同样的,NF可以不携带与NRF建立TLS连接时所使用的证书的信息。
S613,NFc1向NRF发送服务发现请求消息#1。
对应的,NRF接收来自NFc1的服务发现请求消息#1。
其中,该服务发现请求消息#1用于NFc1请求发现期望的NFp实例,该服务发现请求消息#1包括期望的NFp服务名称、期望的NFp实例的NF类型和NFc1的NF类型等。
S614,NRF验证NFp的证书有效性,并确定NFp的证书有效,即NFp的证书有效性验证通过。
应理解,在验证NFp之前,NRF可以根据期望的NFp或NFp服务的配置文件,以及NFc的类型对NFc1的发现请求进行授权。同时,参考上述方法400中步骤S412确定匹配服务发现请求消息#1和NRF内部策略的NFp实例集合。
示例性的,NRF确定能够服务NFc1的一个或多个NFp后验证NFp证书的有效性。具体地,NRF通过查询存储的NFp上下文(证书信息)中的证书信息(证书有效期)确定此证书是否过期,然后本地查询CRL中记录的此证书的状态是否被吊销。如果全部验证通过,则认为该NFp是可以作为服务NFc1的NFp实例。例如,NFp只有一个证书,且该证书的有效截止时间为t5,假设当前时刻为t1,则说明该证书未过期,接着NRF查询该证书在CRL中的状态为非吊销,则说明该NFp的证书验证通过,可以用于为NFc1服务的NFp实例。
可选地,当NFp有多个证书时,判断标准为NFp的所有证书均通过验证,或是用于服务NFc1的证书通过验证,此时该NFp可以用于为NFc1服务的NFp实例。
示例性的,NFc1为AMF,NFp为SMF,SMF上有多个证书,包括用于与其他NF建立连接的TLS client证书和TLS server证书,也有用于与UPF建立连接的NE证书。如果AMF向NRF请求发现可以用于服务的SMF,NRF找到的某个SMF的NE证书过期或被吊销,则NRF可以根据吊销原因或本地策略判断是否将该SMF提供给AMF。例如,如果吊销原因为该SMF的私钥被泄露,那么该SMF不可以提供给AMF;如果吊销原因为网络维护或该NE证书为暂时吊扣,那么该SMF可以提供给AMF。
S615,NRF向NFc1发送服务发现响应消息#1。
对应的,NFc1接收来自NRF的服务发现响应消息#1。
其中,该服务发现响应消息#1用于通知NFc1的服务发现请求成功,该服务发现响应消息#1包括NFp实例集合的信息,例如NFp profile。
示例性的,在NFp所拥有证书的有效性被验证通过的情况下,NRF可以将NFp信息提供给NFc1,例如NFp Instance ID和NFp的NF类型等。
需要说明的是,步骤S613-S615的实现方式可以参考上述步骤S411-S413,为了简洁,此处不再赘述。
可选地,NFc1向NRF发送订阅请求消息#1,该订阅请求消息#1用于向NRF订阅上述步骤S615中提供的NFp的证书状态;或者说,该订阅请求消息#1用于向NRF订阅上述步骤S615中提供的NFp是否可用。该实现方式能够保证NFc1实时了解NFp的证书有效性,避免网络建立失败或者向NFp请求服务失败,从而降低网络效率以及用户体验。
示例性的,订阅请求消息#1可以和服务发现请求消息#1一起发送给NRF,即在步骤S613中。或者,订阅请求消息#1也可以在NFc1收到NRF提供的NFp信息后发送,即在步骤S615之后。
接下来,针对NFp的证书失效后如何管理证书进行示例性说明。其中,方式一是CA/RA吊销或吊扣NFp的证书,并请求NRF更新CRL中NFp的证书状态为无效(被吊销或吊扣)。方式二是NFp主动向NRF请求去注册,删除NFp的证书信息。
方式一:
S621,CA/RA吊销或吊扣NFp的证书。
示例性的,CA/RA接收到其他NF实体发送的吊销请求。例如,网管在检测到NFp的私钥泄露的情况下,向CA/RA请求吊销NFp的证书。
示例性的,CA/RA主动吊销NFp的证书。例如,由于运营商的网络维护,需要更新该NFp的配置信息,因此吊销或暂时吊扣NFp的证书等。
S622,CA/RA向NRF发送CRL更新请求消息#1。
对应的,NRF接收来自CA/RA的CRL更新请求消息#1。
其中,CRL更新请求消息#1用于请求更新存储在NRF上的CRL。
示例性的,CA/RA吊销证书后,根据证书上的NFp instance ID或CRL地址,对维护该证书CRL的功能实体的位置进行定位,即NRF。然后,CA/RA向NRF发送CRL更新请求,用于请求更新NRF上的CRL中NFp的证书状态。例如,吊销或吊扣。
可选地,CA/RA周期性地更新CRL。比如,CA/RA每隔一小时、一天或一周更新一次CRL。或者,CA/RA也可以在每当有新的证书被吊销时触发一次CRL更新。
可选地,CA/RA预先配置用于向NRF发送CRL更新请求消息#1的指示信息。
应理解,基于CRL更新请求消息#1,NRF更新本地存储的CRL,即将NFp的证书增加至CRL。
S623,NRF向NFc1发送通知消息#1。
对应的,NFc1接收来自NRF的通知消息#1。
其中,该通知消息#1用于通知NFc1该NFp的证书被吊销(失效)。
示例性的,NRF在更新CRL后,可以基于上述步骤S613中接收到来自NFc1的订阅请求消息#1,通知NFc1该NFp的证书已经被吊销(失效)。
也就是说,对于NFp所拥有的多个证书,如果其中一个或多个证书被撤销则认为该NFp的整个证书状态为无效,即该NFp不可用,此时NRF向NFc发送通知消息#1。
可选地,如果步骤S622中CA吊销的NFp的证书仅是多个证书中一个或多个,且该一个或多个被撤销的NFp证书与用于服务NFc1的证书是不相同的,此时NRF可以不执行步骤S623,即该NFp仍然可以作为用于为NFc1服务的NFp实例。
基于该实现方式,NRF通知NFc1该NFp的证书已经被吊销,使得已经进行过服务发现流程并获取了NFp信息的NFc1不会与NFp建立连接继续通信,能够提高网络效率,提升用户体验。
S624,NFc2向NRF发送服务发现请求消息#2。
对应的,NRF接收来自NFc2的服务发现请求消息#2。
其中,该服务发现请求消息#2用于NFc2请求发现期望的NFp实例,该服务发现请求消息#2包括期望的NFp服务名称、期望的NFp实例的NF类型和NFc2的NF类型。
S625,NRF验证NFp的证书有效性,并确定NFp的证书无效,即NFp的证书有效性验证不通过。
S626,NRF向NFc2发送服务发现响应消息#2。
对应的,NFc2接收来自NRF的服务发现响应消息#2。
其中,该服务发现响应消息#2用于通知NFc2的服务发现请求失败。
示例性的,NRF在验证NFp所拥有证书的有效性不通过后,不会将NFp的信息提供给NFc2。例如,NRF需要检查NFp的证书有效期和证书状态。由于步骤S621中NFp的证书被吊销或吊扣,因此即使NFp的证书还在有效期内,其有效性也不通过。
需要说明的是,步骤S624-S626的具体实现方式可参考上述步骤S613-S615,为了简洁,此处不再赘述。
S627,NFp获取新证书或证书恢复后,向NRF请求更新证书信息。
示例性的,针对NFp的证书被吊销,NFp可以重新向CA/RA请求签发证书。NFp在获取证书后可以向NRF发送注册更新消息,用于请求更新NFp的证书信息。进一步地,便于后续其他NF向NRF请求服务发现流程中找到该NFp。
需要说明的是,注册更新消息中携带NFp获取的新证书的信息。具体的注册更新请求流程可参考方法300中步骤S321-S323,NFp向NRF请求注册的具体实现方式可参考上述步骤S612a和S612b,NFp向CA/RA请求签发证书的具体实现方式可参考当前标准中提供的技术方案,本申请对此不作具体限定。为了简洁,此处不再过多赘述。
示例性的,针对NFp的证书被吊扣,NRF可以在证书吊扣恢复后告知NFc2。或者,NRF也可以向NFc2发送NFp的证书的吊扣时长或者吊扣时段,以便于NFc2在证书吊扣恢复继续与NFp进行通信。
方式二:
S631,NFp向NRF发送去注册请求消息#1。
对应的,NRF接收来自NFp的去注册请求消息#1。
其中,该去注册请求消息#1用于通知NRF该NFp不可用。
示例性的,NFp请求去注册的原因可以是NFp被销毁,或者NFp的私钥被窃取或被破坏,或者由于网络规划变更导致NFp需要在其他NRF上注册等。
S632,NRF删除NFp上下文,并将NFp的证书信息加入CRL。
也就是说,NFp在去注册之后,NFp的证书失效,NRF将其证书增加至CRL。
示例性的,NRF根据去注册请求消息对NFp进行去注册处理。例如,NRF删除NFpprofile和NFp的证书信息,并标记NFp不可用。同时,NRF将NFp的证书信息(如,整数ID和针数有效期)加入CRL中,用于指示该NFp所拥有的证书失效。
S633,NRF向NFc1发送通知消息#2。
对应的,NFc1接收来自NRF的通知消息#2。
其中,该通知消息#2用于通知NFc1该NFp已经去注册或NFp的证书已失效。
基于该实现方式,NRF通知NFc1该NFp的证书失效,使得已经进行过服务发现流程并获取了NFp信息的NFc1不会与NFp建立连接继续通信,能够提高网络效率,提升用户体验。
需要说明的是,上述去注册请求流程可参考方法300中步骤S331-S333,为了简洁,此处不再赘述。
应理解,上述以网络功能属于同一PLMN为例进行说明,即在非漫游场景下对管理证书以及通信进行描述,但本申请技术方案同样也适用于漫游场景,即NFp与NRF归属于不同的PLMN,具体实现方式可参考上述方法600以及方法400中的步骤S421-S423,为了简洁,此处不再赘述。
本申请所揭示的方法,通过在NFp注册流程中提供NFp所拥有的证书信息,以及在NFc服务发现NFp流程中增加对NFp所拥有的证书的有效性验证,防止在NFc与NFp建立TLS连接时,因NFp证书失效导致连接建立失败,降低网络效率以及用户体验。
考虑到上述方法600中的CRL存储在NRF上,在NF上维护CRL或OCSP后,攻击者可能会在CRL更新间隔期间发起攻击。因此提出以下方法700,将CRL部署在外部CRL服务器上,NRF通过与CRL服务器之间的信息交互,能够实时获取NFp证书的证书状态(是否被吊销)。
下面以NFp向NRF请求服务注册,结合NFc向NRF请求服务发现为例,通过在NFp注册流程中提供NFp所拥有的证书信息,以及在NFc服务发现流程中增加对NFp所拥有证书有效性的验证,防止在NFc与NFp建立TLS连接时因NFp证书失效导致连接建立失败,降低网络效率。
图7是本申请实施例提供的第三种通信方法700的流程示例图。如图7所示,该方法包括如下多个步骤。
S711a,NFp向NRF发送注册请求消息#a。
对应的,NRF接收来自NFp的注册请求消息#a。
其中,该注册请求消息#a中携带NFp所拥有的证书,每个NFp的证书包括证书ID和证书有效期。
S711b,NRF验证NFp的证书的有效性。
具体地,NRF对NFp的证书有效性进行验证,包括证书有效期和证书状态,以及证书的真实性(该证书是否属于该NFp)。例如,针对NFp的证书的真实性,NRF可以通过NFp公私密钥对证书的签名进行验证,确保该证书是该NFp的证书。又例如,针对NFp的证书有效期和证书状态的验证,NRF首先查看NFp的证书信息(如证书的有效期),确定该证书是否在有效期内(即,确定证书有无超期),然后向CRL server查询该证书是否被吊销。当NFp的证书未超期以及该证书未被吊销或吊扣时,NRF可以确定证书的有效性验证通过。
S711c,NRF将NFp所拥有的证书信息作为NFp上下文存储在NRF上。
示例性的,基于步骤S711bNFp的证书有效性验证通过后,NRF将NFp的证书信息(例如,证书ID和证书有效期)存储在NRF上。可选地,NRF也可以将NFp的所有证书的全部信息存储在NRF上。同时,基于步骤S711b的验证,NRF将NFp的每个证书的证书状态值设置为有效或无效。
示例性的,NRF可以根据本地策略对NFp的每个证书都增加一个状态值(有效/无效),当NFp有多个证书时,判断标准为NFp的所有证书均通过验证,或是用于服务NFc1的证书通过验证,此时该NFp可以用于为NFc1服务的NFp实例。例如,当NFp的某一个证书失效时,NFp便无法通信,此时NFp的整个证书状态为无效。
需要说明的是,上述步骤S711a-S711c的具体实现方式可参考方法600中步骤S612a和S612b,为了简洁,此处不再过多赘述。
S712,NFc1向NRF发送服务发现请求消息#a。
对应的,NRF接收来自NFc1的服务发现请求消息#a。
其中,该服务发现请求消息#a用于NFc1请求发现期望的NFp实例,该服务发现请求消息#a包括期望的NFp服务名称、期望的NFp实例的NF类型和NFc1的NF类型等。
S713a,NRF向CRL服务器发送查询消息#1。
对应的,CRL服务器接收来自NRF的查询消息#1。
其中,查询消息#1用于向CRL服务器查询NFp的证书状态。
S713b,CRL服务器向NRF发送响应消息#1。
对应的,NRF接收来自CRL的响应消息#1。
其中,响应消息#1包括NFp的证书状态,例如NFp的证书状态为非吊销则说明NFp的证书有效。
S714,NRF向NFc1发送服务发现响应消息#a。
对应的,NFc1接收来自NRF的服务发现响应消息#a。
其中,该服务发现响应消息#a用于通知NFc1的服务发现请求成功,该服务发现响应消息#a包括NFp实例集合的信息,例如NFp Instance ID和NFp的NF类型等。
可选地,NFc1向NRF发送订阅请求消息#a,用于订阅NRF提供的NFp的证书状态,或者用于订阅NRF提供的NFp是否可用。
接下来,针对NFp的证书失效后如何管理证书进行示例性说明。其中,方式一是CA/RA吊销或吊扣NFp的证书,并向NRF发送证书失效指示,更新NFp的证书状态。方式二是NFp主动向NRF请求去注册,删除NFp的证书信息。
方式一:
S721,CA/RA吊销或吊扣NFp的证书。
其中,具体实现方式可参考方法600中步骤S612,为了简洁,此处不再过多赘述。
S722,CA/RA向NRF发送证书失效指示信息#a。
对应的,NRF接收来自CA/RA的证书失效指示信息#a。
其中,证书失效指示信息#a用于指示NFp的证书被吊销或吊扣,证书失效指示信息#a包括NFp的证书ID。
可选地,在步骤S722中,CA/RA也可以向NRF发送NFp的证书以及证书失效指示。
示例性的,CA/RA吊销证书后,根据预先配置的NFp所属的网络存储功能网元信息确定该NRF,并向该NRF发送证书失效指示信息#a。
其中,预先配置的NFp所属的网络存储功能网元信息可以是NFp向CA/RA请求证书时发送给CA/RA的,或者可以存储在CA/RA中,或者可以作为CA/RA颁发给NFp的证书的内容的一部分,或者可以是由网络管理网元或网络管理员预先配置在CA/RA上的,本申请对此不作具体限定。
可选地,在步骤S722中,CA/RA也可以向NRF发送NFp的证书以及证书失效指示。
S723,NRF向NFc1发送通知消息#a。
对应的,NFc1接收来自NRF的通知消息#a。
其中,该通知消息#a用于通知NFc1该NFp的证书失效。
示例性的,NRF根据证书失效指示信息#a向NFc1发送通知消息#a。
可选地,NRF基于上述步骤S714接收到来自NFc1的订阅请求消息#1,通知NFc1该NFp的证书已经被吊销或吊扣。也就是说,此时NFp的失效失效或者NFp不可用,NFc无需与NFp建立连接。
S724,NFc2向NRF发送服务发现请求消息#b。
对应的,NRF接收来自NFc2的服务发现请求消息#b。
其中,该服务发现请求消息#b用于NFc2请求发现期望的NFp实例,该服务发现请求消息#b包括期望的NFp服务名称、期望的NFp实例的NF类型和NFc2的NF类型。
S725a,NRF向CRL服务器发送查询消息#2。
对应的,CRL服务器接收来自NRF的查询消息#2。
其中,查询消息#2用于向CRL服务器查询NFp的证书状态。
S725b,CRL服务器向NRF发送响应消息#2。
对应的,NRF接收来自CRL的响应消息#2。
其中,响应消息#2包括NFp的证书状态,例如NFp的证书状态为吊销则说明NFp的证书无效。
S727,NRF向NFc2发送服务发现响应消息#b。
对应的,NFc2接收来自NRF的服务发现响应消息#b。
其中,该服务发现响应消息#b用于通知NFc2的服务发现请求失败。
需要说明的是,步骤S724-S727的具体实现方式可参考上述步骤S712-S714,为了简洁,此处不再赘述。
S728,NFp获取新证书或证书恢复后,向NRF请求更新证书信息。
其中,具体实现方式可参考上述步骤S627,以及上述步骤S711a-S711c,为了简洁,此处不再过多赘述。
方式二:
S731,NFp向NRF发送去注册请求消息#a。
对应的,NRF接收来自NFp的去注册请求消息#a。
其中,该去注册请求消息#a用于通知NRF该NFp不可用。
S732,NRF删除NFp上下文。
可选地,NRF将NFp的证书信息(例如,证书ID和证书有效期)发送给外部的CRL服务器,用于通知NFp的证书失效并更新CRL中NFp的证书状态。这与方法600中步骤S632将NFp的证书信息加入CRL是不同的,这是由于CRL的部署不同(NRF或CRL服务器)导致的。
S733,NRF向NFc1发送通知消息#b。
对应的,NFc1接收来自NRF的通知消息#b。
其中,该通知消息#b用于通知NFc1该NFp已经去注册或NFp的证书已失效。
需要说明的是,步骤S731-S733的具体实现方式可参考上述步骤S631-S633,为了简洁,此处不再赘述。
应理解,本申请技术方案同样也适用于漫游场景,即NFp与NRF归属于不同的PLMN。
本申请所揭示的方法,通过在NFp注册流程中提供NFp所拥有的证书信息,以及在NFc服务发现NFp流程中增加对NFp所拥有的证书的有效性验证,防止在NFc与NFp建立TLS连接时,因NFp证书失效导致连接建立失败,降低网络效率以及用户体验。
基于上述方法700,由CA/RA撤销或吊销NFp的证书,并向NRF发送证书失效指示。考虑到由于CRL列表更新需要一定的周期,可能存在实效性问题,例如NFp证书已经被吊销,但是CA并不是立即向NRF反馈NFp的证书状态,而是需要在下次更新时期通知NRF,若在这个时间段NFc和NFp之间进行网络建立连接,则会导致连接建立失败,进而影响网络效率。因此提出以下方法800,在建立网络连接失败后,NFc主动及时地向NRF上报NFp的证书失效指示,便于NRF为NFc提供其他NFp进行网络建立连接和提供服务,也便于NRF向其他NFc通知NFp的证书失效,避免不必要的网络建立连接失败,影响网络效率。
下面以NFp向NRF请求服务注册,结合NFc向NRF请求服务发现为例,通过在NFp注册流程中提供NFp所拥有的证书信息,以及在NFc服务发现流程中增加对NFp所拥有证书有效性的验证,防止在NFc与NFp建立TLS连接时因NFp证书失效导致连接建立失败,降低网络效率。
图8是本申请实施例提供的第四种通信方法800的流程示例图。与上述方法600或700不同之处在于,该实现方式中NFc与NRF提供的NFp建立网络连接失败后,主动向NRF上报NFp的证书失效指示。如图8所示,该方法包括如下多个步骤。
S811a,NFp向NRF发送注册请求消息#A。
对应的,NRF接收来自NFp的注册请求消息#A。
其中,该注册请求消息#A中携带NFp的证书信息,NFp的证书信息包括证书ID和证书有效期。
S811b,NRF验证NFp的证书的有效性。
示例性的,NRF对NFp的所有证书进行验证,包括证书的有效性(证书有效期和证书状态)以及证书的真实性(该证书是否属于该NFp)。
S811c,NRF将NFp所拥有的证书信息作为NFp上下文存储在NRF上。
需要说明的是,上述步骤S811a-S811c的具体实现方式可参考方法700中步骤S711a-S711c,为了简洁,此处不再过多赘述。
S812,NFc1向NRF发送服务发现请求消息#A。
对应的,NRF接收来自NFc1的服务发现请求消息#A。
其中,该服务发现请求消息#A用于NFc1请求发现期望的NFp实例,该服务发现请求消息#A包括期望的NFp服务名称、期望的NFp实例的NF类型和NFc1的NF类型等。
S813a,NRF向CRL服务器发送查询消息#A。
对应的,CRL服务器接收来自NRF的查询消息#A。
其中,查询消息#A用于向CRL服务器查询NFp的证书状态。
S813b,CRL服务器向NRF发送响应消息#A。
对应的,NRF接收来自CRL的响应消息#A。
其中,响应消息#A包括NFp的证书状态,例如NFp的证书状态为非吊销则说明NFp的证书有效。
S814,NRF向NFc1发送服务发现响应消息#A。
对应的,NFc1接收来自NRF的服务发现响应消息#A。
其中,该服务发现响应消息#A用于通知NFc1的服务发现请求成功,该服务发现响应消息#A包括NFp实例集合的信息,例如NFp Instance ID和NFp的NF类型等。
需要说明的是,步骤S812-S814的具体实现方式可参考方法700中步骤S712-S714,为了简洁,此处不再过多赘述。
S815,NFc1与NFp建立连接失败。
示例性的,基于NRF提供的NFp实例集合的信息,NFc1尝试与该NFp建立网络连接。其中,失败原因可以是NFp的证书已经被吊销或已经失效。例如,由于NFp的证书有效期过期,或者网络维护,或者NFp的私钥泄露等,导致NFp的证书被吊销或失效,使得NFc1与NFp建立连接失败。
S816,NFc1向NRF发送证书失效指示信息#A。
对应的,NRF接收来自NFc1的证书失效指示信息#A。
其中,证书失效指示信息#A用于指示NFp的证书被吊销或失效,证书失效指示信息#A包括NFp ID、证书ID,或者证书类型。
可选地,在步骤S816中NFc1可以直接向NRF发送NFp的证书和失效指示。
S817,NRF根据证书失效指示信息#A发送通知消息#A。
示例性的,NRF向CRL服务器查询NFp的证书状态,以确定NFp的证书是否被吊销。当确认NFp的证书被吊销后,向其他NFc(例如NFc3)发送通知消息#A,避免NFc3后续与NFp建立网络连接或者提供服务时交互失败,进而影响网络效率。。
S818,NFc2向NRF发送服务发现请求消息#B。
对应的,NRF接收来自NFc2的服务发现请求消息#B。
其中,该服务发现请求消息#B用于NFc2请求发现期望的NFp实例,该服务发现请求消息#B包括期望的NFp服务名称、期望的NFp实例的NF类型和NFc2的NF类型。
S819a,NRF向CRL服务器发送查询消息#B。
对应的,CRL服务器接收来自NRF的查询消息#B。
其中,查询消息#A用于向CRL服务器查询NFp的证书状态。
S819b,CRL服务器向NRF发送响应消息#B。
对应的,NRF接收来自CRL的响应消息#B。
其中,响应消息#B包括NFp的证书状态,例如NFp的证书状态为吊销则说明NFp的证书无效。
S820,NRF向NFc2发送服务发现响应消息#B。
对应的,NFc2接收来自NRF的服务发现响应消息#B。
其中,该服务发现响应消息#B用于通知NFc2的服务发现请求失败。
需要说明的是,步骤S818-S820的具体实现方式可参考上述步骤S812-S814,为了简洁,此处不再赘述。
可选地,基于步骤S816的证书失效指示信息#A,上述步骤S819a-S819b可以删除。
S821,NFp获取新证书或证书恢复后,向NRF请求更新证书信息。
其中,具体实现方式可参考方法700中步骤S728,为了简洁,此处不再赘述。
应理解,本申请技术方案同样也适用于漫游场景,即NFp与NRF归属于不同的PLMN。
本申请所揭示的方法,通过在NFp注册流程中提供NFp所拥有的证书信息,以及在NFc服务发现流程中增加对NFp所拥有的证书有效性的验证,防止在NFc与NFp建立TLS连接时因NFp证书失效导致连接建立失败,能够提高网络效率。
考虑到上述方法600-800中,通过在NFp注册流程中提供NFp所拥有的证书信息,以及在NFc服务发现流程中增加对NFp所拥有的证书有效性的验证,改动当前网络功能的逻辑和交互流程,提高复杂度。因此提出以下方法900,基于当前技术在NFc与NFp之间连接建立失败的情况,重新向NRF请求服务发现,并上报建立失败的NFp信息以及建立失败的原因。相对来说,该实现方式能够简化NRF的逻辑,尽量避免对现有标准化系统、流程和网络功能(例如NRF或NFp)的改动。
下面以NFp向NRF请求服务注册,结合NFc向NRF请求服务发现为例,通过在NFp注册流程中提供NFp所拥有的证书信息,以及在NFc服务发现流程中增加对NFp所拥有证书有效性的验证,防止在NFc与NFp建立TLS连接时因NFp证书失效导致连接建立失败,降低网络效率。
图9是本申请实施例提供的第五种通信方法900的流程示例图。如图9所示,该方法包括如下多个步骤。
S911,NFc1向NRF发送服务发现请求消息#α。
对应的,NRF接收来自NFc1的服务发现请求消息#α。
其中,该服务发现请求消息#α用于NFc1请求发现期望的NFp实例,该服务发现请求消息#B包括期望的NFp服务名称、期望的NFp实例的NF类型和NFc2的NF类型。
S912,NRF授权并确定NFp实例集合。
S913,NRF向NFc1发送服务发现响应消息#B。
对应的,NFc1接收来自NRF的服务发现响应消息#B。
其中,该服务发现响应消息#B包括NFp实例集合的信息,例如NFp profile。
需要说明的是,步骤S911-S913的具体实现方式可参考方法400中步骤S411-S413,为了简洁,此处不再赘述。
S914,NFc1与NFp建立连接失败。
示例性的,基于NRF提供的NFp实例集合的信息,NFc1尝试与该NFp建立网络连接。其中,失败原因可以是NFp的证书已经被吊销或已经失效。例如,由于NFp的证书过期,或者NFp路由失败,或者网络维护,或者NFp的私钥泄露等导致NFc1与NFp建立连接失败。
示例性的,NFc在于NFp建立连接失败后,可以查询CRL确定该NFp的证书状态为吊销,或者该NFp的证书已经超期等。
S915,NFc1向NRF发送服务发现请求消息#β。
对应的,NRF接收来自NFc1的服务发现请求消息#β。
其中,服务发现请求消息#β包括连接失败的NFp的信息,例如NFp ID和失败原因。
示例性的,在步骤S914中,NFc与NRF提供的NFp实例集合中的一个或多个NFp建立连接全部失败,那么NFc向NRF继续请求服务发现NFp,并在服务发现请求消息#β中携带建立连接失败的NFp ID和失败原因。
S916,NRF授权并确定其他NFp实例集合。
示例性的,NRF根据服务发现请求消息#β继续为NFc搜索除了已经建立连接失败的NFp之外的符合要求的其他NFp。其中,NRF搜索NFp的具体实现方式可参考上述方法400中步骤S412,为了简洁,此处不再赘述。
S917,NRF向NFc1发送服务发现响应消息#β。
对应的,NFc1接收来自NRF的服务发现响应消息#β。
其中,该服务发现响应消息#β包括其他NFp实例集合的信息,例如其他NFpprofile。
应理解,基于NRF为NFc1重新提供的其他NFp,NFc与其他NFp建立连接成功。
需要说明的是,步骤S915-S917的具体实现方式可参考上述步骤S911-S917,为了简洁,此处不再赘述。
应理解,本申请技术方案同样也适用于漫游场景,即NFp与NRF归属于不同的PLMN。
本申请所揭示的方法,通过在NFp注册流程中提供NFp所拥有的证书信息,以及在NFc服务发现流程中增加对NFp所拥有的证书有效性的验证,防止在NFc与NFp建立TLS连接时因NFp证书失效导致连接建立失败,能够提高网络效率。
上文结合图1至图9,详细描述了本申请的通信方法侧实施例,下面将结合图10和图11,详细描述本申请的装置侧实施例。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的部分可以参见前面方法实施例。
图10是本申请实施例提供的装置的示意性框图。如图10所示,该装置1000可以包括收发单元1010和处理单元1020。收发单元1010可以与外部进行通信,处理单元1020用于进行数据处理。收发单元1010还可以称为通信接口或收发单元。
在一种可能的设计中,该装置1000可实现对应于上文方法实施例中的服务发现功能网元(例如NRF)执行的步骤或者流程,其中,处理单元1020用于执行上文方法实施例中服务发现功能网元的处理相关的操作,收发单元1010用于执行上文方法实施例中服务发现功能网元的收发相关的操作。
在另一种可能的设计中,该装置1000可实现对应于上文方法实施例中的第二网络功能网元(例如NFc)执行的步骤或者流程,其中,收发单元1010用于执行上文方法实施例中第二网络功能网元的收发相关的操作,处理单元1020用于执行上文方法实施例中第二网络功能网元的处理相关的操作。
在又一种可能的设计中,该装置1000可实现对应于上文方法实施例中的证书颁发网元(例如CA/RA)执行的步骤或者流程,其中,处理单元1020用于执行上文方法实施例中证书颁发网元的处理相关的操作,收发单元1010用于执行上文方法实施例中证书颁发网元的收发相关的操作。
在又一种可能的设计中,该装置1000可实现对应于上文方法实施例中的第一网络功能网元(例如NFp)执行的步骤或者流程,其中,收发单元1010用于执行上文方法实施例中第一网络功能网元的收发相关的操作,处理单元1020用于执行上文方法实施例中第一网络功能网元的处理相关的操作。
应理解,这里的装置1000以功能单元的形式体现。这里的术语“单元”可以指应用特有集成电路(application specific integrated circuit,ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如,共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中,本领域技术人员可以理解,装置1000可以具体为上述实施例中的发送端,可以用于执行上述方法实施例中与发送端对应的各个流程和/或步骤,或者,装置1000可以具体为上述实施例中的接收端,可以用于执行上述方法实施例中与接收端对应的各个流程和/或步骤,为避免重复,在此不再赘述。
上述各个方案的装置1000具有实现上述方法中发送端所执行的相应步骤的功能,或者,上述各个方案的装置1000具有实现上述方法中接收端所执行的相应步骤的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块;例如收发单元可以由收发机替代(例如,收发单元中的发送单元可以由发送机替代,收发单元中的接收单元可以由接收机替代),其它单元,如处理单元等可以由处理器替代,分别执行各个方法实施例中的收发操作以及相关的处理操作。
此外,上述收发单元还可以是收发电路(例如可以包括接收电路和发送电路),处理单元可以是处理电路。在本申请的实施例,图10中的装置可以是前述实施例中的接收端或发送端,也可以是芯片或者芯片系统,例如:片上系统(system on chip,SoC)。其中,收发单元可以是输入输出电路、通信接口。处理单元为该芯片上集成的处理器或者微处理器或者集成电路,对此不作限定。
图11示出了本申请实施例提供的装置2000。如图11所示,该装置2000包括处理器2010和收发器2020。其中,处理器2010和收发器2020通过内部连接通路互相通信,该处理器2010用于执行指令,以控制该收发器2020发送信号和/或接收信号。
可选地,该装置2000还可以包括存储器2030,该存储器2030与处理器2010、收发器2020通过内部连接通路互相通信。该存储器2030用于存储指令,该处理器2010可以执行该存储器2030中存储的指令。
在一种可能的实现方式中,装置2000用于实现上述方法实施例中的服务发现功能网元(例如NRF)对应的各个流程和步骤。
在另一种可能的实现方式中,装置2000用于实现上述方法实施例中的第一网络功能网元(例如,NFp)对应的各个流程和步骤。
在又一种可能的实现方式中,装置2000用于实现上述方法实施例中的第二网络功能网元(例如,NFc)对应的各个流程和步骤。
在又一种可能的实现方式中,装置2000用于实现上述方法实施例中的证书颁发网元(例如,CA/RA)对应的各个流程和步骤。
应理解,装置2000可以具体为上述实施例中的发送端或接收端,也可以是芯片或者芯片系统。对应的,该收发器2020可以是该芯片的收发电路,对此不作限定。具体地,该装置2000可以用于执行上述方法实施例中与发送端或接收端对应的各个步骤和/或流程。
可选地,该存储器2030可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。该处理器2010可以用于执行存储器中存储的指令,并且当该处理器2010执行存储器中存储的指令时,该处理器2010用于执行上述与发送端或接收端对应的方法实施例的各个步骤和/或流程。
图12是本申请实施例提供的一种通信方法的流程示意图。如图12所示,包括如下步骤:
S210.CA/RA向第一网元发送证书吊销通知消息。
作为实现方式的一种,证书吊销通知消息包含网络功能网元NF的标识信息和指示该网络功能网元所属证书的证书状态的指示信息。
作为实现方式的另一种,证书吊销通知消息包含NF的标识信息和NF所述证书的证书状态。
其中,网络功能网元所属证书的证书状态指NF所属的一个或多个证书的状态或者NF所属的证书集合的证书状态。证书状态指该证书失效或者有效。
可选的,证书失效还包括证书吊销或吊扣两种失效状态。
S220.第一网元根据NF所属证书的证书失效状态,确定该NF的配置方式。
在NF所属证书的证书状态为失效的情况下,第一网元确定该NF执行以下配置方式中的一种:配置该NF为去注册,或者标识该NF为失效。
其中,第一网元为NRF或证书管理网元。可以理解的,第一网元也可以为NRF和证书管理网元的集成。
S230.第一网元向OAM发送通知消息#1。
相应的,OAM接收来自第一网元的通知消息#1。
其中,通知消息#1用于将第一网元确定的NF的配置方式发送至OAM。
作为实现方式的一种,通知消息#1包含指示NF的配置方式的指示信息#1。示例的,该指示信息#1可以指示证书状态为吊销或吊扣。
下面对图12实施例中两种实现方式分别进行详细的描述。
图13是本申请实施例提供的一种通信方法的流程示意图。如图13所示,具体包括如下多个步骤:
S221.NF1向NRF发送注册请求消息#2。
对应的,NRF接收来自NF1的注册请求消息#2。其中,NF1为网络功能服务消费网元。
其中,该注册请求消息#2中携带NF1所拥有的证书,NF1的每个证书包括证书ID和证书有效期。例如,证书有效期可以是证书的签发时刻和有效时长,也可以是证书的有效截止时间等。
可选地,NFp的证书还包括签发证书的CA ID、证书的签名、证书持有者ID,或者证书持有者公钥等。
需要说明的是,该注册请求消息#2包括NF1所拥有的所有证书,本申请对NF1的证书数量不作限定。例如,NF1的证书数量取决于不同级别的CA签发,或者业务类型等。
S222.NRF确定NF1可用。
NRF接收来自NF1的注册请求消息#2,NF1注册成功后,NRF验证NF1的配置信息通过后,NRF确定NF1可用。
S223.NRF向证书管理网元发送注册请求消息#3。
相应的,证书管理网元接收注册请求消息#3。
注册请求消息#3携带NF1的标识信息。该标识信息可以是NF ID(身份Identity或识别符Identifier),或者NF的实例标识(NF Instance ID)。
可选的,注册请求消息#3还携带NF1所对应的NRF的标识信息。该NRF的标识信息可以是NRF的实例ID
S224.证书管理网元存储NF和NRF的对应关系。
证书管理网元根据注册请求消息#3存储NF1与NRF的对应关系。示例的,网络功能网元与NRF为一一对应的关系。
在一种实现方式中,注册请求消息#3携带NF instance ID和NRF的标识,证书管理网元接收到注册请求消息#3后,存储其携带的NF instance ID和NRF ID。
证书管理网元可接收来自多个NF的注册请求消息,各个注册请求消息分别携带各自的NF instance ID和NRF。
在一种实现方式中,证书管理网元中还存储证书ID和其对应的证书的用途,这些对应关系可以由CA/RA在证书颁发之后配置在证书管理网元中,也可以在NF注册成功后由NRF配置在证书管理网元中,也可以预配置在证书管理网元中。证书管理网元可以通过证书ID与证书用途的对应关系,确定被吊销证书的用途。
S225.CA/RA向证书管理网元发送证书吊销通知消息。
相应的,证书管理网元接收该证书失效通知消息。
该证书吊销通知消息用于通知证书管理网元证书失效。
该证书吊销通知消息包含NF instance ID,证书状态。其中,NF instance ID为服务于证书的NF的标识,证书状态为证书吊销状态或吊扣状态中的一种。
可选的,该证书失效通知还包括服务名称或证书ID。
其中,证书ID用于标识证书,不同证书ID所标识的证书具有不同的用途。
其中,服务名称用于标识证书对应的服务。示例的,服务为Namf_Communication,则服务名称用于标识与证书关联的服务。可以理解的,每个服务都对应一个证书。在一种实现方式中,证书失效通知包括服务名称。
NF可能会拥有多个证书,其中不同证书的作用是不同的,有专用于建立TLS连接的证书,有专用于对客户端凭证申明(Client Credentials Assertion,CCA)进行签名的证书,也有专用于某个切片或某个服务的证书。
例如,NF1为AMF,AMF可以服务于一个网络切片S-NSSAI#1,AMF会向CA/RA获取用于该网络切片的证书,当UE向AMF请求在该网络切片S-NSSAI#1中注册时,AMF会向该网络切片发起网络切片认证流程,此时服务请求中需要携带专用于S-NSSAI#1的证书,NSSAA会认证证书#4,确定AMF可以服务于此网络切片。另外AMF也可以获取专用于某个服务的证书,比如AMF可以向UDM请求UE的签约信息,此时AMF可以在请求中携带专用于请求签约信息服务的证书2,UDM认证证书2成功后,确定AMF可以获取签约信息;再比如,AMF可以向NSSAAF请求对网络切片进行重认证,此时请求消息中携带专用于此服务的证书3,NSSAAF认证证书3成功后,确定AMF可以发起网络切片重认证服务。
另一种实现方法中,CA/RA可以不携带服务名称,而携带证书ID,证书ID用于指示证书管理网元中被撤销的证书,证书管理网元中存储证书ID和其对应的证书的用途,这些对应关系可以由CA/RA在证书颁发之后配置在证书管理网元中,也可以在NF注册成功后由NRF配置在证书管理网元中,也可以预配置在证书管理网元中。证书管理网元可以通过证书ID与该证书的对应关系,确定被吊销证书的用途。
可见,证书吊销通知消息携带的证书ID或服务名称,可从服务粒度标识证书,获取服务粒度的证书状态。
S226.证书管理网元确定服务于证书对应的NF的NRF。
证书管理网元根据存储的NF instance ID与NRF的对应关系确定NF所对应的NRF。
证书管理网元根据接收的吊销通知消息获得NF instance ID,根据NFinstanceID确定该NF所对应的NRF。
S227.证书管理网元向该NRF发送请求消息#1.
该请求消息#1包含用于指示证书状态的指示信息。其中,证书状态为证书有效状态或证书失效状态。证书失效状态为证书吊销状态或证书吊扣状态中的一种。
在一种实现方式中,请求消息#1还包括NF instance ID和服务名称。
在另一种实现方式中,请求消息#1还包括NF instance ID和证书ID。
S228.NRF根据证书状态确定服务于证书的NF网元的处理方式。
NRF接收来自证书管理网元的请求消息#1,根据该请求消息#1携带的证书状态确定服务于该证书的NF网元的处理方式。在指示信息指示证书状态为失效状态时,NRF确定执行以下处理方式中的一种:配置NF1为去注册,或,标识NF1或NF1对应的服务为失效。
以下结合具体实现示例性说明可能的几种实现方案:
第一种实现方案:
请求消息#1包括:NF instance ID#1和指示信息#1。其中,指示信息#1指示证书处于失效状态,NRF根据NF instance ID和指示信息#1确定该NF instance ID对应的证书处于失效状态。
作为实现方式的一种,NRF确定NF instance ID对应的证书处于失效状态后,将该NF设置为不可达或失效。这样,当NF consumer进行NF discovery流程时,NRF接收来自NFconsumer的discovery请求时,NRF不会将该NF推荐给NF consumer。NF consumer不会与NF建立连接,继续通信,能够提高网络效率,提升用户体验。
示例的,指示信息#1为状态参数,当状态参数为1时,表示该证书为有效,当状态参数为0时,表示该证书失效。再例如,当状态参数为00时,表示该证书失效状态为吊扣。当状态参数为01时,表示该证书失效状态为吊销。可以理解的,这里仅为示例性说明,本申请对此不做限制。
作为实现方式的另一种,NRF确定NF instance ID对应的证书处于失效状态后,例如,证书处于吊销状态,NRF将该NF设置为去注册,即删除NRF中该NF对应的证书。这样,NF将不会被NF consumer搜索到。
第二种实现方案:
请求消息#1包括:NF instance ID#2、指示信息#2和服务名称。其中,NF instanceID#2用于标识NF#2,指示信息#2用于指示NF#2中的证书失效,服务名称用于标识NF#2中被禁用的服务。
若通知消息#1中携带服务名称,NRF根据服务名称确定禁用NF1的服务,示例的,服务名称指示被吊销的证书用于S-NSSAI#1,那么NRF会将NF1的状态设置为S-NSSAI#1失效,当NF consumer搜索能够服务S-NSSAI#1的NF时,NRF将不会把NF1推荐给NF consumer。示例的,当服务名称指示被吊销证书用于某个服务时,NRF将NF1的状态设置为该服务名称指示的该服务不可用。
这样,可以从更细的粒度对失效证书所对应的服务设置不可用,提升网络通信效率和灵活性。
第三种实现方案:
请求消息#1包括:NF instance ID#3、指示信息#3和证书ID。其中,NF instanceID#3用于标识NF#3,证书ID用于标识NF#3中的证书。指示信息#3用于指示NF#3中的与证书ID对应的证书失效。
S229a.NRF向证书管理网元发送响应于请求消息#1的响应消息#2。
该响应消息#2携带第一指示信息。该第一指示信息用于指示步骤228中NRF确定的服务于证书的NF网元的配置方式。
S130a.NRF向OAM发送通知消息#2。
第一消息#2包含指NF instance ID和用于指示NRF确定的处理方式的指示信息#2。其中指示信息#2指示配置NF1为去注册或标识NF1为失效。
可以理解的,作为上述步骤S229a和S230a的替代方案,在步骤S228之后,可选的,执行步骤S229b。
S229b.NRF向OAM发送通知消息#1。
通知消息#1包含的信息参见通知消息#2,在此不再赘述。
S230.OAM根据通知消息确定对NF1的处理方式。
在一种实现方式中,若通知消息#1携带的指示信息指示NF1为去注册,则OAM将NF1销毁或向NF1发起远程度量流程。
其中,远程度量流程可以度量NF1的硬件和软件信息,判断NF1的安全性和完整性,远程度量完成后,NF1会获得度量凭证,NF1可以通过度量凭证向CA/RA重新申请证书。
在另一种可能的实现方式中,若通知消息#1携带的指示信息指示标识NF1失效,则OAM向NF1发起远程度量流程以获取度量凭证,根据该度量凭证向CA/RA重新申请证书。
可以理解的,如果证书状态为吊扣状态,那么当证书恢复时,CA/RA会向证书管理网元发送证书恢复通知,该证书恢复通知中包含NF instance ID,以及证书ID或服务名称。证书管理网元收到后向NRF发送NF instance ID,以及服务名称或证书ID,NRF收到该证书恢复通知消息后将NF1状态设置为有效或可达。
图14是本申请实施例提供的一种通信方法的流程示意图。如图14所示,包括如下步骤:
S231.CA/RA向证书管理网元发送证书吊销通知消息#3。
相应的,证书管理网元接收证书吊销通知消息#3。证书吊销通知消息#3包含NF1的标识信息和NF1所属证书的证书状态。
该步骤的具体实现参见步骤S221,在此不再赘述。
S232.证书管理网元向NRF/OAM发送请求消息#3。
证书管理网元根据接收到的NF1的标识信息和证书状态确定是否发送请求消息#3。
在NF1所属证书的证书状态为吊销的情况下,证书管理网元向NRF或OAM发送请求消息#3。请求消息#3携带NF1的标识信息和路由指示信息,其中,路由指示信息用于指示请求与NF1通信的其它NF的信息。
S233.NRF/OAM获取与NF1通信的其它NF的信息。
作为实现方式的一种,若网络中没有部署NRF,则证书管理网元向OAM发送请求消息#3,OAM根据存储的与NF1关联的记录log,确定与NF1通信的NFc的信息。
作为实现方式的另一种,若网络中部署NRF,则NRF根据存储的记录,例如,服务发现请求的李璐,确定与NF1通信的NFc的信息。
S234.NRF/OAM向证书管理网元发送响应于请求消息#3的响应消息#3。
响应消息#3用于将步骤S233获取的与NF1通信的NFc的信息发送给证书管理网元。响应消息#3携带与NF1通信的NFc的信息以及指示NF1所属证书的失效的指示信息。
相应的,证书管理网元接收到来自NRF或OAM的响应消息#3。
可以理解的,与NF1通信的NFc可以为一个或者多个。
S235.证书管理网元向与NF1通信的NFc发送通知消息#4。
通知消息#4用于通知与NF1通信的NFc,该NF1所属证书的证书失效。
该通知消息#4携带与NF1通信的NFc的信息,以及NF1所属证书的证书状态。
可以理解的,图14中其它NF表示与NF1通信的一个或多个NF。
由此该一个或多个NF知晓NF1的证书失效后,不再与该NF1继续通信,能够提高网络效率,提升用户体验。
S236.在证书状态为吊扣状态的情况下,CA/RA向证书管理网元发送证书恢复通知消息#4。
在证书状态为吊扣状态的情况下,待NF1所属的证书恢复后,触发CA/RA向证书管理网元发送证书恢复通知消息#4,用于通知证书管理网元该NF1所属的证书已恢复。
S237.证书管理网元向其它NF发送通知消息#5。
相应的,证书管理网元通过通知消息#5通知其他NF,该NF1所属的证书已恢复。由此,与NF1通信的其它NF可再次与NF1通信。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
应注意,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。本申请实施例中的处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
根据本申请实施例提供的方法,本申请还提供一种计算机程序产品,该计算机程序产品包括:计算机程序代码,当该计算机程序代码在计算机上运行时,使得该计算机执行上述所示实施例中的方法。
根据本申请实施例提供的方法,本申请还提供一种计算机可读介质,该计算机可读介质存储有程序代码,当该程序代码在计算机上运行时,使得该计算机执行上述所示实施例中的方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (38)

1.一种通信方法,其特征在于,包括:
服务发现功能网元接收服务发现请求消息,所述服务请求消息用于请求所述服务发现功能网元提供第一类型的网络功能网元;
在确定所述第一类型的第一网络功能网元的第一证书有效的情况下,所述服务发现功能网元发送包括所述第一网络功能网元的标识信息的服务发现响应消息。
2.根据权利要求1所述的方法,其特征在于,所述确定所述第一类型的第一网络功能网元的第一证书有效,包括:
所述服务发现功能网元根据所述第一证书的有效期确定所述第一证书未过期;以及
所述服务发现功能网元确定所述第一证书未被吊销。
3.根据权利要求2所述的方法,其特征在于,所述服务发现功能网元确定所述第一证书未被吊销,包括:
所述服务发现功能网元本地查询证书撤销列表;
在所述第一证书不属于所述证书撤销列表的情况下,所述服务发现功能网元确定所述第一证书未被吊销。
4.根据权利要求2所述的方法,其特征在于,所述服务发现功能网元确定所述第一证书未被吊销,包括:
所述服务发现功能网元向服务器发送询问请求消息,所述询问请求消息用于查询所述第一证书是否被吊销;
所述服务发现功能网元接收来自所述服务器的询问响应消息,所述询问响应消息包括所述第一证书未被吊销的指示;
所述服务发现功能网元根据所述指示确定所述第一证书未被吊销。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
所述服务发现功能网元接收注册请求消息,所述注册请求消息用于请求将所述第一网络功能网元注册到所述服务发现功能网元上,所述注册请求消息包括所述第一证书,所述第一证书包括所述第一证书的标识信息和第一证书有效期;
或者,
所述服务发现功能网元接收连接建立请求消息,所述连接建立请求消息用于请求所述第一网络功能网元与所述服务发现功能网元建立连接,所述连接建立请求消息包括所述第一证书,所述第一证书包括所述第一证书的标识信息和所述第一证书的有效期。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在确定所述第一证书有效的情况下,所述服务发现功能网元存储所述第一证书;或者,
在确定所述第一证书有效的情况下,所述服务发现功能网元存储所述第一证书的标识信息和所述第一证书有效期。
7.根据权利要求6所述的方法,其特征在于,所述确定所述第一证书有效,包括:
所述服务发现功能网元根据所述第一网络功能网元的公钥和证书颁发网元的公钥确定所述第一证书是所述证书颁发网元为所述第一网络功能网元签发的证书;
所述服务发现功能网元根据所述第一证书的有效期确定所述第一证书未过期;以及
所述服务发现功能网元确定所述第一证书未被吊销。
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述服务发现功能网元发送包括所述第一网络功能网元的标识信息的服务发现响应消息之后,所述方法还包括:
所述服务发现功能网元接收指示信息,所述指示信息用于指示所述第一证书被吊销,所述指示信息包括所述第一证书的标识信息;
所述服务发现功能网元发送通知消息,所述通知消息用于通知所述第一网络功能网元的第一证书被吊销。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述服务发现功能网元接收订阅请求消息,所述订阅请求消息用于向所述服务发现功能网元请求订阅所述第一证书的状态。
10.根据权利要求8或9所述的方法,其特征在于,所述服务发现功能网元接收指示信息,包括:
所述服务发现功能网元接收来自证书颁发网元的所述指示信息;
其中,所述方法还包括:
所述服务发现功能网元根据所述指示信息将所述第一证书增加至证书撤销列表。
11.根据权利要求1至10中任一项所述的方法,其特征在于,在所述服务发现功能网元发送包括所述第一网络功能网元的标识信息的服务发现响应消息之后,所述方法还包括:
所述服务发现功能网元接收来自所述第一网络功能网元的去注册请求消息;
所述服务发现功能网元发送通知消息,所述通知消息用于通知所述第一网络功能网元的第一证书无效。
12.根据权利要求1至11中任一项所述的方法,其特征在于,所述方法还包括:
在确定所述第一类型的第三网络功能网元的第一证书无效的情况下,所述服务发现功能网元发送不包括所述第三网络功能网元的标识信息的所述服务发现响应消息。
13.一种通信装置,其特征在于,包括:
收发单元,用于接收服务发现请求消息,所述服务请求消息用于请求所述服务发现功能网元提供第一类型的网络功能网元;
在处理单元确定所述第一类型的第一网络功能网元的第一证书有效的情况下,所述收发单元,还用于发送包括所述第一网络功能网元的标识信息的服务发现响应消息。
14.根据权利要求13所述的装置,其特征在于,
所述处理单元,还用于根据所述第一证书的有效期确定所述第一证书未过期;以及确定所述第一证书未被吊销。
15.根据权利要求14所述的装置,其特征在于,
所述处理单元,还用于本地查询证书撤销列表;
在所述第一证书不属于所述证书撤销列表的情况下,所述处理单元,还用于确定所述第一证书未被吊销。
16.根据权利要求14所述的装置,其特征在于,
所述收发单元,还用于向服务器发送询问请求消息,所述询问请求消息用于查询所述第一证书是否被吊销;
所述收发单元,还用于接收来自所述服务器的询问响应消息,所述询问响应消息包括所述第一证书未被吊销的指示;
所述处理单元,还用于根据所述指示确定所述第一证书未被吊销。
17.根据权利要求13至16中任一项所述的装置,其特征在于,
所述收发单元,还用于接收注册请求消息,所述注册请求消息用于请求将所述第一网络功能网元注册到所述服务发现功能网元上,所述注册请求消息包括所述第一证书,所述第一证书包括所述第一证书的标识信息和第一证书有效期;
或者,
所述收发单元,还用于接收连接建立请求消息,所述连接建立请求消息用于请求所述第一网络功能网元与所述服务发现功能网元建立连接,所述连接建立请求消息包括所述第一证书,所述第一证书包括所述第一证书的标识信息和所述第一证书的有效期。
18.根据权利要求17所述的装置,其特征在于,
在确定所述第一证书有效的情况下,所述处理单元,还用于存储所述第一证书;或者,
在确定所述第一证书有效的情况下,所述处理单元,还用于存储所述第一证书的标识信息和所述第一证书有效期。
19.根据权利要求18所述的装置,其特征在于,所述处理单元,还用于:
根据所述第一网络功能网元的公钥和证书颁发网元的公钥确定所述第一证书是所述证书颁发网元为所述第一网络功能网元签发的证书;
根据所述第一证书的有效期确定所述第一证书未过期;以及
确定所述第一证书未被吊销。
20.根据权利要求13至19中任一项所述的装置,其特征在于,
所述收发单元,还用于接收指示信息,所述指示信息用于指示所述第一证书被吊销,所述指示信息包括所述第一证书的标识信息;
所述收发单元,还用于发送通知消息,所述通知消息用于通知所述第一网络功能网元的第一证书被吊销。
21.根据权利要求20所述的装置,其特征在于,
所述收发单元,还用于接收订阅请求消息,所述订阅请求消息用于向所述服务发现功能网元请求订阅所述第一证书的状态。
22.根据权利要求20或21所述的方法,其特征在于,
所述收发单元,还用于接收来自证书颁发网元的所述指示信息;
所述处理单元,还用于根据所述指示信息将所述第一证书增加至证书撤销列表。
23.根据权利要求13至22中任一项所述的装置,其特征在于,
所述收发单元,还用于接收来自所述第一网络功能网元的去注册请求消息;
所述收发单元,还用于发送通知消息,所述通知消息用于通知所述第一网络功能网元的第一证书无效。
24.根据权利要求13至23中任一项所述的装置,其特征在于,
在所述处理单元确定所述第一类型的第三网络功能网元的第一证书无效的情况下,所述收发单元,还用于发送不包括所述第三网络功能网元的标识信息的所述服务发现响应消息。
25.一种通信方法,其特征在于,
所述第一网元获取网络功能网元所属证书的证书状态;
在所述证书状态为证书失效的情况下,所述第一网元确定所述网络功能网元的配置方式,其中所述配置方式为以下方式的一种:配置所述网络功能网元为去注册,或,标识所述网络功能网元为失效。
26.根据权利要求25所述的通信方法,其特征在于,
所述第一网元通过证书吊销通知消息获取所述网络功能网元的证书状态,其中,所述证书吊销通知消息包含用于指示所述证书状态的指示信息,或所述证书状态。
27.根据权利要求26所述的通信方法,其特征在于,
所述第一网元获取网络功能网元的证书状态包括:
所述第一网元接收来自证书颁发网元的证书吊销通知消息,所述证书吊销通知消息还包含网络功能网元标识,其中,所述网络功能网元标识用于标识证书所对应的网络功能网元;
在所述证书状态为证书失效的情况下,所述第一网元确定所述网络功能网元的配置方式,包括:
所述第一网元根据所述网络功能网元标识配置所述网络功能网元为去注册或标识所述功能网元为失效。
28.根据权利要求26所述的通信方法,其特征在于,
所述第一网元获取网络功能网元的证书状态包括:
所述第一网元接收来自证书颁发网元的证书吊销通知消息,所述证书吊销通知消息还包含服务名称,所述服务名称用于标识所述证书对应的服务;
在所述证书状态为证书失效的情况下,所述第一网元标识所述网络功能网元为失效,包括:
在所述证书状态为证书失效的情况下,所述第一网元根据所述服务名称来标识所述网络功能网元所对应的服务为失效。
29.根据权利要求26所述的通信方法,其特征在于,所述证书吊销通知消息还包括证书标识,所述证书标识用于标识所述证书;
在所述证书状态为证书失效的情况下,所述第一网元标识所述网络功能网元为失效,包括:
在所述证书状态为证书失效的情况下,所述第一网元根据所述证书标识来标识所述功能服务网元所对应的服务为失效。
30.根据权利要求25-29任意一项所述的通信方法,其特征在于,
所述证书失效状态为吊销或吊扣中的一种。
31.根据权利要求25-29任意一项所述的通信方法,其特征在于,所述方法还包括:
所述第一网元向所述OAM发送所述第一网元确定的所述配置方式。
32.根据权利要求25-29任意一项所述的通信方法,其特征在于,
所述第一网元为服务发现功能网元或证书管理网元。
33.一种通信装置,其特征在于,包括:
用于实现权利要求1至12或权利要求25至32中任一项所述的方法的单元。
34.一种通信装置,其特征在于,包括:处理器,所述处理器与存储器耦合;所述处理器,用于执行所述存储器中存储的计算机程序,以使得所述装置执行如权利要求1至12或权利要求25至32中任一项所述的方法。
35.一种通信系统,其特征在于,包括:
用于执行如权利要求1至12或权利要求25至32中任一项所述的方法的服务发现功能网元。
36.一种芯片,其特征在于,包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有所述芯片的网元设备执行如权利要求1至12或权利要求25至32中任一项所述的方法。
37.一种计算机程序,其特征在于,所述计算机程序被网元设备执行时,实现如权利要求1至12或权利要求25至32中任一项所述的方法。
38.一种计算机可读存储介质,其特征在于,包括:所述计算机可读存储介质上存储有计算机程序,当所述计算机程序运行时,使得所述计算机执行如权利要求1至12或权利要求25至32中任一项所述的方法。
CN202210998724.4A 2022-06-20 2022-08-19 通信方法和装置 Pending CN117318948A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/CN2023/101302 WO2023246753A1 (zh) 2022-06-20 2023-06-20 通信方法和装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202210699709X 2022-06-20
CN202210699709 2022-06-20

Publications (1)

Publication Number Publication Date
CN117318948A true CN117318948A (zh) 2023-12-29

Family

ID=89287253

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210998724.4A Pending CN117318948A (zh) 2022-06-20 2022-08-19 通信方法和装置

Country Status (2)

Country Link
CN (1) CN117318948A (zh)
WO (1) WO2023246753A1 (zh)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105472604A (zh) * 2014-09-09 2016-04-06 中兴通讯股份有限公司 一种数字证书的状态处理方法、装置及系统
US10892950B2 (en) * 2017-11-24 2021-01-12 Microsoft Technology Licensing, Llc Distributed global discovery servers in operational technology infrastructure
CN114785523B (zh) * 2019-04-28 2024-07-30 华为技术有限公司 网络功能服务的身份校验方法及相关装置
PL4000296T3 (pl) * 2019-07-17 2023-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Technika obsługi certyfikatów w domenie sieci rdzeniowej
CN114528540A (zh) * 2020-10-30 2022-05-24 华为技术有限公司 一种服务授权方法、通信装置及系统
CN114257440B (zh) * 2021-12-17 2023-12-22 中国电信股份有限公司 网络功能服务发现方法、系统以及存储介质

Also Published As

Publication number Publication date
WO2023246753A1 (zh) 2023-12-28

Similar Documents

Publication Publication Date Title
US20240064144A1 (en) Security lifecycle management of devices in a communications network
US10601594B2 (en) End-to-end service layer authentication
EP3493502B1 (en) Supplying an iot-device with an authentication key
CN110474875B (zh) 基于服务化架构的发现方法及装置
US8578153B2 (en) Method and arrangement for provisioning and managing a device
US12074883B2 (en) Systems and methods for network access granting
CN101616410B (zh) 一种蜂窝移动通信网络的接入方法和系统
JP6086987B2 (ja) ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
Xu et al. BE-RAN: Blockchain-enabled open RAN with decentralized identity management and privacy-preserving communication
EP1993301B1 (en) Method and apparatus of operating a wireless home area network
JP2018519706A (ja) ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体
WO2019137030A1 (zh) 安全认证方法、相关设备及系统
US20240129746A1 (en) A method for operating a cellular network
WO2023246753A1 (zh) 通信方法和装置
WO2023221891A1 (zh) 安全通信的方法与装置
WO2024093684A1 (zh) 通信方法、装置和系统
WO2023216891A1 (zh) 通信方法和网元设备
Egners et al. Multi-operator wireless mesh networks secured by an all-encompassing security architecture
CN117997541A (zh) 通信方法和通信装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication