支持具有TLS的间接通信制造技术

本文公开了一种用于使用具有传输层安全性TLS的服务通信代理SCP 606在无线通信系统的核心网中进行间接通信的方法，该方法包括：在网络功能NF服务消费者602处：向SCP 606发送(702)旨在用于第一NF服务生产者实例604

【技术实现步骤摘要】
【国外来华专利技术】支持具有TLS的间接通信


[0001]本公开涉及无线通信系统的核心网(例如，第五代核心(5GC)中)的网络功能(NF)之间的间接通信。

技术介绍

[0002]图1
[0003]图1描绘了第三代合作伙伴项目(3GPP)第五代(5G)参考架构。在5G核心(5GC)中，基于服务的架构(SBA)中的间接通信模型要求网络功能(NF)服务消费者向被称为服务通信代理(SCP)的实体发送其服务请求，该实体继而将向目标NF服务生产者发出新的服务请求。以下方面也适用：
[0004]·
来自NF服务消费者的服务请求在受传输层安全性(TLS)保护时，应终止SCP处的TLS连接。
[0005]·
可能要求SCP缓存对NF服务消费者的先前响应。
[0006]具体地，如3GPP技术规范(TS)23.501V16.2.0中所述：
[0007]如果部署了SCP，则SCP可用于NF与NF服务之间的间接通信，如附件E所述。SCP本身不暴露服务。
[0008]3GPP TS 23.501 V16.2.0的附件E(资料性)如下：
[0009][0010][0011][0012]如3GPP TS 33.210 V16.2.0中所述，应支持TLS 1.2。具体地，3GPP TS 33.210 V16.2.0的第6.2.1节指出：
[0013][0014]为了支持服务消费者与服务生产者之间的通信(其中至少可以在它们之间部署SCP并使用TLS)，将在服务消费者与SCP之间建立TLS关联。
[0015]3GPP已经引入了3GPP特定的自定义超文本传输协议(HTTP)报头“3gpp
‑
Sbi
‑
Target
‑
apiRoot”，该报头设置为服务生产者的统一资源指示符(URI)，即，用于在具有或不具有委托发现的情况下进行间接通信，HTTP客户端将在其向SCP发送的请求中包括3gpp
‑
Sbi
‑
Target
‑
apiRoot报头，该报头被设置为用于目标资源的授权服务器的apiRoot(如果可用)。换言之，已经对NF服务消费者将在被称为3gpp
‑
Sbi
‑
Target
‑
apiRoot的HTTP报头中向SCP传达目标NF服务生产者的应用程序接口(API)根(root)(HTTP架构+权限+API前缀)达成了一致。

技术实现思路

[0016]“3gpp
‑
Sbi
‑
Target
‑
apiRoot”的引入会导致潜在的缓存问题，如下所述。互联网工程任务组(IETF)备忘录(RFC)7234指定了主缓存键由请求方法和目标统一资源指示符(URI)组成。在呈现请求时，缓存不能重用所存储的响应，除非所呈现的有效请求URI和所存储的响应的URI匹配。例如：
[0017]·
向生产者NF(例如，统一数据管理(UDM))发送请求的消费者网络功能(NF)(例如，访问和移动功能(AMF))可能需要发送：
[0018]GET https://udm1.operator.com/nudm_sdm/v1/{supi}/nssai
[0019]·
然后，如果AMF被配置为使用具有传输层安全性(TLS)的服务通信代理(SCP)，则AMF向SCP发送请求：
[0020]GET https://scp.operator.com/nudm_sdm/v1/{supi}/nssai
[0021]3gpp
‑
Sbi
‑
Target
‑
apiRoot:https://udm1.operator.com
[0022]从缓存的角度来看，这将导致向UDM1和UDM2发送的请求相同的问题。
[0023]换言之，在CT4#93会议期间，提议NF服务消费者将对SCP请求的超文本传输协议(HTTP)的权限设置为SCP的完全限定域名(FQDN)+端口。这被认为是有问题的，因为对不同
NF服务消费者的若干请求可能导致对SCP的相同HTTP请求，这会使响应的缓存不可行。
[0024]解决该问题的一个建议是将HTTP请求的权限设置为：
[0025]<表示目标FQDN的标签>.<SCP的FQDN>
[0026]鉴于缓存键通常基于完整的URI(包括权限部分)，这解决了缓存响应之间的冲突问题。继续上面的示例，一个示例是：
[0027]GET
[0028]https://label1.scp.operator.com/nudm_sdm/v1/{supi}/nssai
[0029]3gpp
‑
Sbi
‑
Target
‑
apiRoot:https://udm1.operator.com
[0030]SCP基于https://label1.scp.operator.com/nudm_sdm/v1/{supi}/nssai来为消费者构建缓存。然后，SCP移除label1，并向https://udm1.operator.com/nudm_sdm/v1/{supi}/nssai发送请求，如最初预期的那样。服务消费者(例如，在这种情况下为AMF)使用不同的“label1”来区分来自UDM1和UDM2的响应。
[0031]然而，上述提议具有以下问题。假设AMF已经实现了标准的HTTP协议栈，则：
[0032]1.必须配置运营商的域名系统(DNS)基础设施，以使得将*.<SCP的FQDN>形式的所有地址解析为SCP的互联网协议(IP)地址。换言之，当HTTP协议栈接收到：权限＝label1.scp.operator.com时，它将执行DNS过程来检索SCP的IP地址。这需要在DNS服务器中配置用于SCP的通配符DNS记录，即，*.scp.operator.com。
[0033]2.SCP必须提供与域*.<SCP的FQDN>匹配的通配符证书。换言之，由于“:scheme”＝“https”，服务消费者需要与SCP建立TLS关联。如果使用TLS 1.2，则在“server hello”消息中，SCP需要提供服务器的公钥及其证书，其中这种证书和公钥用于SCP的FQDN(scp.operator.com)而不用于“label1.scp.operator.com”。直接将证书与SCP IP地址相关联是更糟糕的想法，因为要求IP地址应为公共IP地址，而在运营商网络中经常使用私有IP地址。另外，在云环境中，NF可以动态地被实例化并被分配IP地址。所以，需要使用DNS(使用SCP的FQDN)来解析对应的IP地址。
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于使用具有传输层安全性TLS的服务通信代理SCP(606)在无线通信系统的核心网中进行间接通信的方法，所述方法包括：
·
在网络功能NF服务消费者(602)处：o向所述SCP(606)发送(702)旨在用于第一NF服务生产者实例(604
‑
1)的超文本传输协议HTTP消息，所述HTTP消息使用所述SCP(606)的完全限定域名FQDN并具有包括被设置为第一值的查询参数的路径；
·
在所述SCP(606)处：o从所述NF服务消费者(602)接收(702)所述HTTP消息；o获得对所述HTTP消息的HTTP响应；并且o向所述NR服务消费者(602)发送(714)所述HTTP响应；以及
·
在所述NF服务消费者(602)处：o从所述SCP(606)接收(714)所述HTTP响应。2.根据权利要求1所述的方法，还包括：
·
在所述SCP(606)处：o至少部分地基于所述查询参数来确定(704)在所述SCP(606)的缓存系统中是否存在针对所述HTTP消息的缓存命中；o其中，在所述SCP(606)处获得所述HTTP响应包括：当在所述SCP(606)的缓存系统中存在针对所述HTTP消息的缓存命中时，从所述缓存系统获得对所述HTTP消息的HTTP响应，否则从所述第一NF服务生产者实例(604
‑
1)获得对所述HTTP消息的HTTP响应。3.根据权利要求1或2所述的方法，还包括：
·
在所述NF服务消费者(602)处：o在向所述SCP(606)发送(702)所述HTTP消息之前，至少部分地基于所述查询参数来确定(700)在所述NF服务消费者(602)的缓存系统中是否存在针对所述HTTP消息的缓存命中；o其中，向所述SCP(606)发送(702)所述HTTP消息包括：当在所述NF服务消费者(602)的缓存系统中不存在针对所述HTTP消息的缓存命中时，向所述SCP(606)发送(702)所述HTTP消息。4.一种由网络功能NF服务消费者(602)执行的用于使用具有传输层安全性TLS的服务通信代理SCP(606)在无线通信系统的核心网中进行间接通信的方法，所述方法包括：向所述SCP(606)发送(702)旨在用于第一NF服务生产者实例(604
‑
1)的超文本传输协议HTTP消息，所述HTTP消息使用所述SCP(606)的完全限定域名FQDN并具有包括被设置为第一值的查询参数的路径；以及从所述SCP(606)接收(714)HTTP响应。5.根据权利要求4所述的方法，其中，向所述SCP(606)发送(702)所述HTTP消息包括：向所述SCP(606)发送(702)所述HTTP消息以及被设置为所述第一NF服务生产者实例(604
‑
1)的apiRoot的3gpp
‑
Sbi
‑
Target
‑
apiRoot。6.根据权利要求4或5所述的方法，其中，所述第一值与所述第一NF服务生产者实例(604
‑
1)相关联。7.根据权利要求4至6中任一项所述的方法，还包括：在向所述SCP(606)发送(702)所述HTTP消息之前，至少部分地基于所述查询参数来确
定(700)在所述NF服务消费者(602)的缓存系统中是否存在针对所述HTTP消息的缓存命中；其中，向所述SCP(606)发送(702)所述HTTP消息包括：当在所述NF服务消费者(602)的缓存系统中不存在针对所述HTTP消息的缓存命中时，向所述SCP(606)发送(702)所述HTTP消息。8.根据权利要求7所述的方法，还包括：使用与所述NF服务生产者实例(604
‑
1)相关联的所述查询参数的所述第一值，在所述NF服务消费者(602)的缓存系统中缓存(716)所述HTTP响应。9.根据权利要求4至8中任一项所述的方法，还包括：向所述SCP(606)发送(720)旨在用于第二NF服务生产者实例(604
‑
2)的第二HTTP消息，所述第二HTTP消息使用所述SCP(606)的FQDN并具有包括被设置为第二值的查询参数的路径，所述第二值不同于所述第一值。10.根据权利要求9所述的方法，其中，向所述SCP(606)发送(720)第二HTTP消息包括：向所述SCP(606)发送(720)所述第二HTTP消息以及被设置为所述第二NF服务生产者实例(604
‑
2)的apiRoot的3gpp
‑
Sbi
‑
Target
‑
apiRoot。11.根据权利要求9或10所述的方法，其中，所述第二值与所述第...

【专利技术属性】
技术研发人员：杨涌，杰苏斯安杰尔，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：