本公开提供了用于基于服务的架构(SBA)中的证书生命周期管理的装置和方法。该装置包括接口电路和处理电路,该处理电路与接口电路耦合并且被配置为:基于经由接口电路从管理多个网络功能(NF)的NF储存库功能(NRF)接收的消息,确定多个NF中的NF发起向证书链的登记过程,该证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行该登记过程。及执行该登记过程。及执行该登记过程。
【技术实现步骤摘要】
用于SBA中的证书生命周期管理的装置和方法
[0001]优先权声明
[0002]本申请基于2022年6月17日提交的美国专利申请第63/353,424号,并且要求该申请的优先权,该申请的全部内容通过引用结合于此。
[0003]本公开的实施例总体涉及无线通信领域,具体地,涉及用于基于服务的架构(SBA)中的证书生命周期管理的装置和方法。
技术介绍
[0004]证书是用于验证和加密网络通信的安全机制。网络功能(NF)是网络(例如,第五代(5G)或新无线电(NR)网络、第六代(6G)网络等)中提供各种功能和服务的重要组件。NF和证书都有自己的生命周期。NF的生命周期可以包括创建、配置、激活、使用和损毁等阶段。证书的生命周期可以包括发布、验证、更新和撤销等阶段。
[0005]第三代合作伙伴计划(3GPP)技术报告(TR)33.876(例如,2022年5月25日公布的版本)中的关键问题#6讨论了NF管理生命周期和证书管理生命周期之间的关系。如该关键问题的细节中所述,NF生命周期管理(LCM)和证书LCM具有在证书管理机制中需要考虑的一些关系。
技术实现思路
[0006]本公开的一方面提供了一种装置。该装置包括接口电路和处理电路,该处理电路与接口电路耦合并且被配置为:基于经由接口电路从管理多个网络功能(NF)的NF储存库功能(NRF)接收的消息,确定多个NF中的NF发起向证书链的登记过程,该证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行该登记过程。
[0007]本公开的另一方面提供了一种装置。该装置包括接口电路和处理电路,该处理电路与接口电路耦合并且被配置为:通过经由接口电路向网络功能(NF)储存库功能(NRF)发送注册请求以使NF向NRF注册,来发起该NF和证书链之间的登记过程,该证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行该登记过程。
附图说明
[0008]在附图中,将通过示例而非限制的方式说明本公开的实施例,其中相同的参考标号指代相似的元件。
[0009]图1示出了根据本公开的一些实施例的系统的示例架构。
[0010]图2A示出了根据本公开的实施例的用于在NF向NF储存库功能(NRF)注册时将NF管理生命周期和证书管理生命周期链接在一起的通信流的示意图。
[0011]图2B示出了根据本公开的实施例的用于在NF从NRF注销注册时将NF管理生命周期和证书管理生命周期链接在一起的通信流的示意图。
[0012]图3示出了图2A的登记过程的示例的示意流程图。
[0013]图4示出了根据本公开的实施例的用于将NF管理生命周期和证书管理生命周期链接在一起的示例方法的流程图。
[0014]图5示出了根据本公开的另一实施例的用于将NF管理生命周期和证书管理生命周期链接在一起的另一示例方法的流程图。
[0015]图6示出了根据本公开的各种实施例的网络。
[0016]图7示意性地示出了根据本公开的各种实施例的无线网络。
[0017]图8是示出根据一些示例实施例的能够从机器可读或者计算机可读介质读取指令并且执行本文所论述的任何一种或多种方法的组件的框图。
具体实施方式
[0018]将使用本领域技术人员通常采用的术语来描述说明性实施例的各个方面,以将本公开的实质传达给本领域其他技术人员。然而,对于本领域技术人员易于理解的是,可以使用所描述方面的部分来实践许多替代实施例。出于解释的目的,阐述了具体的数字、材料和配置,以提供对说明性实施例的透彻理解。然而,对于本领域技术人员易于理解的是,可以在没有这些具体细节的情况下实践替代实施例。在其他情况下,可以省略或简化众所周知的特征,以避免模糊说明性实施例。
[0019]此外,各种操作将以最有助于理解说明性实施例的方式被描述为多个离散操作;然而,描述的顺序不应被解释为暗示这些操作必须依赖于顺序。特别是,这些操作不需要按照呈现的顺序执行。
[0020]本文重复使用短语“在实施例中”、“在一种实施例中”和“在一些实施例中”。该短语通常不是指同一实施例;但是,它可能指同一实施例。除非上下文另有规定,否则术语“包含”、“具有”和“包括”是同义词。短语“A或B”和“A/B”表示“(A),(B)或(A和B)”。
[0021]尽管NF管理生命周期和证书管理生命周期可能需要不同的管理机制和过程,但是它们之间可能存在一些关系,因为证书是为NF发布的。因此,需要在为SBA指定自动证书管理时调查和考虑这些关系。
[0022]一般而言,由于NF生命周期过程独立于相关联的证书的有效期,所以如果在不考虑NF生命周期的情况下设计证书管理机制,则可能存在一些不一致的情况,例如,NF不具有任何证书或者现有证书不属于任何NF的情况。例如,当生产者NF实例的证书已经被撤销而没有通知NF储存库功能(NRF)时,NRF可能在发现过程中返回该生产者NF实例的身份(ID)。在这种情况下,如果消费者NF实例试图从该生产者NF实例获得服务,则它将不能获得该服务,因为生产者NF实例的证书已被撤销。这些不一致的情况将降低服务可用性。
[0023]因此,在SBA的自动证书管理的设计中需要考虑NF管理生命周期和证书管理生命周期之间的关系。
[0024]本公开的实施例提供了在SBA的自动证书管理中处置NF管理生命周期和证书管理生命周期之间的关系的解决方案。
[0025]如这里所使用的,术语“认证机构(CA)”指的是发布X.509证书的公钥基础设施(PKI)实体。X.509是定义公钥证书的格式的国际电信联盟(ITU)标准。
[0026]如这里所使用的,术语“注册机构(RA)”指的是不发布证书并且与CA分离的可选
PKI实体,CA委托RA来接收和评估证书签名请求、潜在地验证它们、并且将它们转发到CA。
[0027]如这里所使用的,术语“证书撤销列表(CRL)”指的是包括交叉证书撤销的储存库。
[0028]CA和相应的RA发布证书,并经由证书管理协议(CMP)(例如,CMP的第二版(CMPv2))使这些证书对NF可用。CMPv2是CA和终端实体之间的协议,并且提供多个证书管理功能,如证书登记、证书更新等等。
[0029]本公开的实施例提出了用于运营商域内的证书管理的新功能/实体,其处置NF的登记、向NF分配证书、并维护证书撤销列表。仅仅为了描述的简单起见,这种新功能在这里可以被称为“证书处置器(CH)”或“证书管理器(CM)”。作为示例,在5G专用网络的情况下,CH/CM可以是将与外部RA/CA一起工作的隔离的网络功能。作为另一示例,在公共网络中,CH/CM可以与RA/CA同地协作,因为一般由运营商控制信任根。
[0030]图1示出了根据本公开的一些实施例的系统100的示例架构。以下描述是针对结合5G或新无线电(NR)系统标准操作的示例系统100而提供的。然而,示本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种装置,包括:接口电路;和处理电路,与所述接口电路耦合并且被配置为:基于经由所述接口电路从管理多个网络功能(NF)的NF储存库功能(NRF)接收的消息,确定所述多个NF中的NF发起向证书链的登记过程,所述证书链包括运营商网络中的用于证书管理的网络实体、认证机构(CA)和注册机构(RA);以及执行所述登记过程。2.如权利要求1所述的装置,其中,所述处理电路还被配置为:基于经由所述接口电路从所述NRF接收的另一消息,确定撤销为所述多个NF中正在从所述NRF注销注册的NF分配的证书;撤销所述分配的证书;以及更新由所述用于证书管理的实体维护的证书撤销列表。3.如权利要求1所述的装置,其中,所述登记过程是基于证书管理协议(CMP)来执行的,所述NF包括由供应商提供的私钥/公钥对并且被预配设有中间证书和/或由所述供应商签名的NF证书,并且所述用于证书管理的网络实体、所述CA和所述RA被配置有运营商证书和所述供应商的根证书。4.如权利要求3所述的装置,其中,所述登记过程包括:接收所述NF的初始化请求,其中所述初始化请求被承载于第一公钥基础设施(PKI)消息(PKIMessage)中,并且包括用于指定所请求的证书的证书请求消息(CertReqMsg),所述CertReqMsg包括用于标识所请求的证书的独一无二的证书请求标识(certReqId)值,并且所述第一PKIMessage包括由所述NF使用由所述供应商提供的私钥生成的针对所述初始化请求的数字签名,并且包括由所述供应商签名的所述NF证书和所述中间证书,使用由所述供应商签名的所述NF证书和所述中间证书对照所述供应商的所述根证书验证针对所述初始化请求的所述数字签名,为所述NF生成所请求的证书,以及向所述NF提供包括所请求的证书的初始化响应,其中所述初始化响应包括所述独一无二的certReqId值。5.如权利要求4所述的装置,其中,所述CertReqMsg的拥有证明(POP)签名密钥(POPOSigningKey)字段由所述NF使用与要由所述证书链认证的公钥有关的私钥来签名,并且所述登记过程还包括针对所请求的证书验证对与要由所述证书链认证的所述公钥有关的所述私钥的拥有的证明。6.如权利要求4所述的装置,其中,所述初始化请求包括所述NF的建议身份,所请求的证书将与该建议身份相关联。7.如权利要求4所述的装置,其中,所述登记过程还包括:基于包括在由所述供应商签名的所述NF证书中的、所述NF的由供应商提供的身份来确定所述NF的建议身份,其中所请求的证书将与该建议身份相关联。8.如权利要求4所述的装置,其中,所述登记过程还包括:利用所述证书链的私钥生成针对所述初始化响应的签名,以及利用第二PKIMessage向所述NF提供所述初始化响应,其中所述第二PKIMessage包括针
对所述初始化响应的所述签名、所述运营商证书、以及运营商根证书。9.如权利要求4所述的装置,其中,所述登记过程还包括:从所述NF接收证书确认消息,所述证书确认消息包括所述独一无二的certReqId值,认证所述证书确认消息,以及生成要发送到所述NF的确认消息。10.如权利要求1到9中任一项所...
【专利技术属性】
技术研发人员:阿比吉特,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。