1.本公开的实施例总体上涉及电信领域,并且具体地,涉及用于增强的逐跳安全性的装置、方法和计算机可读存储介质。
背景技术:
::2.在第三代合作伙伴计划(3gpp)版本16(rel‑16)中,基于5g核心网络(5gc)基于服务的架构(sba)已从直接通信扩展为两个网络功能(nf)之间的间接通信。这意味着至少一个服务通信代理(scp)可能位于两个nf之间的通信路径中。scp是一个中间功能,涵盖委派的nf发现以帮助解析目标nf生产者实例以及委派的路由以帮助在两个nf之间路由控制平面消息。3.在间接通信中,nf之间没有直接连接。nf之间的通信将逐跳被保护。例如,充当服务消费者的nf(其在下文中可以称为“nf消费者”或“nfc”)可以建立到scp(其在下文中可以称为“scpc”)的安全管道,scpc可以建立到另一个scp(其在下文中可以称为“scpp”)的安全管道,scpp可以建立到充当服务生产者的nf(在下文中也称为“nf生产者”或“nfp”)的安全管道。nf之间的这种间接通信改变并扩展了通信的安全模型。技术实现要素:4.通常,本公开的示例实施例提供用于增强的逐跳安全性的装置、方法和计算机可读存储介质。5.在第一方面,提供了一种第一装置。所述第一装置包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述第一装置:从与第一网络功能相关联的第二装置接收从所述第一网络功能指向第二网络功能的消息,所述消息包括第一签名和网络功能信息,所述网络功能信息至少包括所述第一网络功能的标识信息;根据所述第一签名的成功验证,用特定于所述第一装置实现的业务通信代理的第二签名更新所述消息;以及将所述更新后的消息发送给与所述第二网络功能相关联的第三装置,所述更新后的消息至少包括所述第二签名和所述网络功能信息。6.在第二方面,提供了第二装置。所述第二装置包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述第二装置:基于网络功能信息生成签名,所述网络功能信息至少包括所述第一网络功能的标识信息,所述签名特定于所述第二装置实现的第一网络功能;生成从所述第一网络功能指向第二网络功能的消息,所述消息包括所述签名和所述网络功能信息;以及将所述消息发送给第一装置,所述第一装置被配置为实现连接到所述第一网络功能的服务通信代理。7.在第三方面,提供了第三装置。所述第三装置包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述第三装置:从被配置为实现服务通信代理的第一装置接收从所述第一网络功能指向由所述第三装置实现的第二网络功能的消息;验证所述消息中特定于所述服务通信代理的签名,所述消息还包括网络功能信息,所述网络功能信息至少包括所述第一网络功能的标识信息;以及根据所述签名的成功验证,从所述消息中获取所述第一网络功能的所述标识信息。8.在第四方面,提供了一种方法。所述方法包括:在第一装置处以及从与第一网络功能相关联的第二装置处接收从所述第一网络功能指向第二网络功能的消息,所述消息包括第一签名和网络功能信息,所述网络功能信息至少包括第一网络功能的标识信息;根据所述第一签名的成功验证,用特定于所述第一装置实现的业务通信代理的第二签名更新所述消息;以及将所述更新后的消息发送给与所述第二网络功能相关联的第三装置,所述更新后的消息至少包括所述第二签名和所述网络功能信息。9.在第五方面,提供了一种方法。所述方法包括:在第二装置处基于网络功能信息生成签名,所述网络功能信息至少包括所述第一网络功能的标识信息,所述签名特定于所述第二装置实现的第一网络功能;生成从所述第一网络功能指向第二网络功能的消息,所述消息包括所述签名和所述网络功能信息;将所述消息发送给第一装置,所述第一装置被配置为实现与所述第一网络功能连接的服务通信代理。10.在第六方面,提供了一种方法。所述方法包括:在第三装置处以及从被配置为实现服务通信代理的第一装置接收从第一网络功能指向由所述第三装置实现的第二网络功能的消息;以及验证所述消息中特定于所述服务通信代理的签名,所述消息还包括网络功能信息,所述网络功能信息至少包括所述第一网络功能的标识信息;以及根据所述签名的成功验证,从所述消息中获取所述第一网络功能的所述标识信息。11.在第七方面,提供了一种第一装置,所述第一装置包括:用于从与第一网络功能相关联的第二装置接收从所述第一网络功能指向第二网络功能的消息的模块,所述消息包括第一签名和网络功能信息,所述网络功能信息至少包括所述第一网络功能的标识信息;用于根据所述第一签名的成功验证用特定于所述第一装置实现的业务通信代理的第二签名更新所述消息的模块;以及用于将所述更新后的消息发送给与所述第二网络功能相关联的第三装置的模块,所述更新后的消息至少包括所述第二签名和所述网络功能信息。12.在第八方面,提供了第二装置,所述第二装置包括:用于基于网络功能信息生成签名的模块,所述网络功能信息至少包括所述第一网络功能的标识信息,所述签名特定于所述第二装置实现的第一网络功能;用于生成从所述第一网络功能指向第二网络功能的消息的模块,所述消息包括所述签名和所述网络功能信息;以及用于将所述消息发送给第一装置的模块,所述第一装置被配置为实现连接到所述第一网络功能的服务通信代理。13.在第九方面,提供了一种第三装置,所述第三装置包括:用于从被配置为实现服务通信代理的第一装置接收从所述第一网络功能指向由所述第三装置实现的第二网络功能的消息的模块;用于验证所述消息中特定于所述服务通信代理的签名的模块,所述消息还包括网络功能信息,所述网络功能信息至少包括所述第一网络功能的标识信息;以及用于根据所述签名的成功验证,从所述消息中获取所述第一网络功能的所述标识信息的模块。14.在第十方面,提供了一种非暂时性计算机可读介质,其包括用于使装置至少执行根据上述第四方面的方法的程序指令。15.在第十一方面,提供了一种非暂时性计算机可读介质,其包括用于使装置至少执行根据上述第五方面的方法的程序指令。16.在第十二方面,提供了一种非暂时性计算机可读介质,其包括用于使装置至少执行根据上述第六方面的方法的程序指令。17.应当理解,
发明内容部分并非旨在标识本公开的实施例的关键或必要特征,也不旨在用于限制本公开的范围。通过以下描述,本公开的其他特征将变得容易理解。附图说明18.通过在附图中对本公开的一些示例实施例的更详细描述,本公开的上述和其他目的、特征和优点将变得更加明显,其中:19.图1示出了可以在其中实现本公开的一些示例实施例的示例环境的框图;20.图2示出了根据本公开的一些示例实施例的用于间接通信中的逐跳安全性的示例过程的交互图;21.图3示出了根据本公开的一些示例实施例的示出在间接通信期间的示例报头的示意图;22.图4示出了根据本公开的一些示例实施例的用于间接通信中的端到端认证的示例过程的交互图;23.图5示出了根据本公开的一些示例实施例的示出在间接通信期间的示例报头的示意图;24.图6示出了根据本公开的一些示例实施例的示例方法的流程图;25.图7示出了根据本公开的一些示例实施例的示例方法的流程图;26.图8示出了根据本公开的一些示例实施例的示例方法的流程图;27.图9示出了适于实现本公开的实施例的装置的简化框图;以及28.图10示出了根据本公开的一些示例实施例的示例计算机可读介质的框图。29.在所有附图中,相同或相似的附图标记表示相同或相似的元件。具体实施方式30.现在将参考一些示例实施例描述本公开的原理。应当理解,对这些实施例的描述仅出于说明的目的,并且帮助本领域技术人员理解和实现本公开,而没有对本公开的范围提出任何限制。除了下面描述的那些方式以外,可以以各种方式来实现本文描述的本公开。31.在以下描述和权利要求中,除非另有定义,否则本文中使用的所有技术和科学术语具有与本公开所属领域的普通技术人员通常所理解的相同含义。32.本公开中对“一个实施例”、“实施例”、“示例实施例”等的引用指示所描述的实施例可以包括特定的特征、结构或特性,但是每个实施例都不一定包括该特定的特征、结构或特性。而且,这样的短语不一定指相同的实施例。此外,当结合实施例描述特定的特征、结构或特性时,可以认为结合其他实施例来实现这样的特征、结构或特性是在本领域技术人员的知识范围内的,无论是否明确描述。33.应该理解,尽管本文可以使用术语“第一”和“第二”等来描述各种元素,但是这些元件不应受到这些术语的限制。这些术语仅用于将一个元件与另一个元件区分离。例如,在不脱离示例实施例的范围的情况下,第一元件可以被称为第二元件,并且类似地,第二元件可以被称为第一元件。如本文所用,术语“和/或”包括一个或多个所列术语的任何和所有组合。34.本文所使用的术语仅出于描述特定实施例的目的,并且不旨在限制示例实施例。如本文所使用的,单数形式的“一”、“一个”和“该”旨在也包括复数形式,除非上下文另有明确说明。将进一步理解,当在本文中使用时,术语“包括”、“包含”、“具有”和/或“含有”指定了所陈述特征、元件和/或组件等的存在,但不排除存在或添加一个或多个其他特征、元件、组件和/或其组合。35.如在本技术中使用的,术语“电路”可以指以下的一个或多个或全部:36.(a)纯硬件电路实施方式(例如仅在模拟和/或数字电路中的实施方式)和37.(b)硬件电路和软件的组合,例如(如适用):38.(i)模拟和/或数字硬件电路与软件/固件的组合,以及39.(ii)具有软件的硬件处理器(包括数字信号处理器)的任何部分,软件和存储器,它们共同工作以使诸如手机或服务器之类的设备执行各种功能的,以及40.(c)需要软件(例如固件)用于操作的硬件电路和/或处理器(例如微处理器或微处理器的一部分),但该软件在不需要它用于操作时可能不存在。41.电路的这种定义适用于该术语在本技术中(包括在任何权利要求中)的所有使用。作为另一示例,如在本技术中使用的,术语电路还仅覆盖硬件电路或处理器及其(或它们的)随附软件和/或固件的实施方式。例如,在适用于特定权利要求元素的情况下,术语电路还覆盖用于移动设备的基带集成电路或在服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。42.如本文所使用的,术语“通信网络”是指遵循任何适当的通信标准的网络,诸如长期演进(lte)、高级lte(lte‑a)、宽带码分多址(wcdma)、高速分组访问(hspa)、窄带物联网(nb‑iot)、新无线电(nr)等。此外,可以根据任何适当的一代通信协议来执行通信网络中终端设备与网络设备之间的通信(包括但不限于第一代(1g)、第二代(2g)、2.5g、2.75g、第三代(3g)、第四代(4g)、4.5g、未来的第五代(5g)通信协议,和/或当前已知或将来要开发的任何其他协议)。本公开的实施例可以应用于各种通信系统中。考虑到通信的快速发展,当然还将存在可以体现本公开的未来类型的通信技术和系统。不应将本公开的范围限制为仅上述系统。43.如上所述,在5gcsba中,将在基于传递信任模型(例如,a信任b,c信任b,因此c信任a)的逐跳安全性下保护nf之间的通信。尽管此模型在网络的拓扑是静态配置的、物理隔离的以及点对点的4g网络中可能已足够,但在5gc完全是云原生且虚拟化nf与其他nf共享硬件并且nf之间没有物理隔离的5g网络中,此模型是不够的。因此,需要一种机制,该机制使接收nf能够在虚拟化网络中可靠地认证发送nf。44.本公开的实施例提供一种用于逐跳安全性的解决方案。在该解决方案中,发送nf(例如,nfc)可以将指向接收nf(例如,nfp)的消息(例如,服务请求)发送给第一scp(例如,scpc)。该消息可以包括特定于发送nf的签名和发送nf的网络功能信息。该网络功能信息可以包括发送nf的标识(例如发送nf的nf实例id),并且还可以包括与该消息的发送有关的时间信息(例如时间戳)。在一些示例实施例中,该网络功能信息可以进一步包括特定于在生成该签名中使用的私钥的发送nf的证书信息。在成功验证特定于该发送nf的该签名之后,第一scp可以通过用自己的签名替换发送nf的签名或将其自己的签名插入该消息中来更新该消息。在替换发送nf的签名的情况下,对网络功能信息(例如包括标识信息、时间信息等)进行数字签名以生成第一scp的签名。在插入第一scp的签名的情况下,对网络功能信息(例如,包括标识信息、时间信息和证书信息)和发送nf的签名进行数字签名,以生成第一scp的签名;替代地,仅对发送nf的签名进行数字签名。45.第一scp然后将更新后的消息发送给第二scp(例如scpp)。在成功验证第一scp的签名之后,第二scp可以通过用其自己的签名替换第一scp的签名来进一步更新该消息。然后,第二scp可以将进一步更新后的消息发送给接收nf。在成功验证第二scp的签名之后,接收nf可以获取发送nf的标识信息。如果接收到的消息中存在发送nf的签名,该接收nf也将验证发送nf的签名。在一些示例实施例中,签名和网络功能信息可以由插入到该消息中的报头来携带。46.在另一种情况下,发送nf和接收nf可以直接通信(即,两者之间没有任何scp),例如在从nf生产者到nf消费者的通知消息的情况下。在这种情况下,接收nf验证发送nf的签名。47.在提出的解决方案中,签名和网络功能(例如,针对nf实例的专门定制的报头)的添加以及中间节点(例如,第一和第二scp)处的相关修改功能可以使得接收nf能够可靠地确定发送nf的标识(例如nf实例id、完全限定域名(fqdn)等)。提出的解决方案不违反rel‑15,并且向后兼容,因此也可以跨网络工作。48.现在参考图1,其示出了可以在其中实现本公开的一些示例实施例的环境100的框图。图1示出了用于间接通信场景的示例环境100。49.如图1所示,环境100包括nf110和120、连接到nf110的scp130、连接到nf120的scp140。scp130和140可以在同一物理设备或不同的物理设备中实现。nf110和120可以被实现在相同的物理设备或不同的物理设备中。在一些示例实施例中,nf110和120以及scp130和140以及其他元件可以在同一节点处实现。例如,scp可以与网络存储库功能(nrf)放在相同地点,而scp(实例)也可以与安全边缘保护代理(sepp)放在相同地点。在一些示例实施例中,nf110和120以及scp130和140以及nrf、sepp等中的一个或多个可以由第三方作为服务来运行,并且因此消息可以被来回路由给第三方。50.仅出于说明的目的,在下文中,nf110也可以被称为“第一nf110”,并且nf120也可以被称为“第二nf120”。连接到第一nf110的scp130也可以被称为“第一scp130”,并且连接到第二nf120的scp140也可以被称为“第二scp140”。在一些示例实施例中,nf110可以充当服务消费者,其可以向充当服务生产者的nf120请求服务。在这样的示例实施例中,第一nf110可以被称为“nfc110”,第二nf120也可以被称为“nfp120”。因此,连接到nfc110的第一scp130可以被称为“scpc130”,并且连接到nfp120的第二scp140也可以被称为“scpp140”。51.如图1所示,第一nf110和第二nf120没有彼此直接连接。scp130和140充当nf110和nf120之间的中间节点。应当理解,图1中所示的scp的数量仅出于说明目的,而没有任何限制,并且在nf110和120之间可以存在更少或更多的scp。在一些示例实施例中,在nf110和120之间可能只有一个scp。例如,在第一nf110充当从第二nf120(即nrf)请求服务的nf服务消费者的情况下,两个nf110和120可以连接到相同的scp。在一些示例实施例中,在nf110和120之间可以有两个以上的scp。52.应当理解,仅出于说明的目的示出了网络环境100,而不暗示对本公开的范围的任何限制。本公开的实施例还可以应用于具有不同结构的环境。53.图2示出了根据本公开的一些示例实施例的用于间接通信中的逐跳安全性的示例过程200的交互图。如图2所示,过程200可以涉及如图1所示的nf110、scp130和scp140以及nf120。54.应当理解,尽管过程200(以及以下描述的过程400)涉及nf110、scp130和scp140以及nf120,例如,“nfc‑>scpc‑>scpp‑>nfp”之间的逐跳安全性,相同的机制也可以在其他通信方向或场景中使用。例如,该机制可以用于从“nfp”到“nfc”的方向,然后例如允许nfc验证用于回调(callback)uri的nfp标识。此外,该机制还可以潜在地用于“nfc‑>scpc‑>nrf”的场景以及用于“nrf1‑>nrf2‑>nrf3”的场景。例如,当通过一个或多个中间转发nrf路由nnrf服务应用编程接口(api)请求时,该机制可用于通过分层nrf设置来验证nfc的标识,而且还可以在这种情况下对彼此标识nrf。因此,在一些示例实施例中,接收nf可以是nrf。55.在一些示例实施例中,作为以下详细过程的前提,执行201在nf110与scp130之间的相互认证,执行202在scp130与scp140之间的相互认证,以及执行203在nf120与scp140之间的相互认证。例如,可以执行传输层安全(tls)握手过程以用于相互认证。这样,可以在nf110和scp130之间、在scp130和scp140之间以及在scp140和nf120之间建立使用tls的安全连接(以下也称为“tls连接”)。例如,在nf110和scp130之间的tls握手期间,可以将nf110的客户端证书提供或指示给scp130。scp140和nf120可以分别获取对应的客户端证书。在本公开的示例过程中,tls握手的证书可被用于将下层传输层绑定到上层应用层,从而提供更好的安全。56.第一nf110可以打算将消息发送给第二nf120。本文中,这样的消息可以被称为从第一nf110指向第二nf120的消息。例如,在第一nf110充当nfc而第二nf120充当nfp的情况下,这样的消息可以是服务请求。在第一nf110充当nfp并且第二nf120充当nfc的情况下,这样的消息可以是通知消息。在图2所示的示例中,第一nf110也可以被称为发送nf110,第二nf120也可以被称为接收nf120。57.为了支持增强的逐跳安全性,可以在指向接收nf120的消息中插入发送nf110的签名和网络功能信息(nf信息)。nf信息至少包括发送nf110的标识信息,其可被用于标识发送nf110的nf实例。在一些示例实施例中,该标识信息可以是发送nf110的nfinstanceid、nfsetid(如果发送nf110属于的集合)或两者。nfinstanceid可以表示由nf提供的标识符,其在nf被注册的nrf的公共陆地移动网络(plmn)内应该是全局唯一的。nfsetid是来自给定网络的一组等效且可互换的cpnf的全局唯一标识符,这些cpnf提供分布性、冗余性和可缩放性(scalability)。58.在一些示例实施例中,为了重放(replay)保护的目的,nf信息还可包括与该消息的传输有关的时间信息。作为示例,可以添加基于rfc7321或rfc3161的时间戳作为时间信息。在一些示例实施例中,除了添加时间戳,发送nf110还可以添加时延信息,例如“acceptabledelay”,其向接收nf120提供针对被认为是有效的时间窗口方面的指导。在一些示例实施例中,替代地,接收nf120可以基于逐跳时延等的估计来确定可接受的时间窗口。在一些示例实施例中,nf信息可以进一步包括发送nf110的类型信息和发送nf110的证书信息,其将在下面参考图4和5进行详细描述。59.发送nf110生成205签名。例如,发送nf110可以基于要发送的nf信息和发送nf110的私钥来生成签名。可以使用与tls证书中的公钥相对应的私钥来生成该数字签名。替代地,运营商可以提供新的证书以生成数字签名。另外,这意味着使得该新证书对于需要验证该签名的所有实体是可用的。60.然后,发送nf110可以生成包括nf信息和特定于发送nf110的签名的消息。该消息(例如,服务请求)被发送210或转发给第一scp130,发送nf110正在与第一scp130通信并已建立了基于安全tls的连接。61.nf信息和签名可以在插入该消息(例如,服务请求)中的报头中被发送。现在参考图3,图3示出了示出根据本公开的一些示例实施例的在间接通信期间的示例报头的示意图300。在该示例中,可以由发送nf110插入名为“3gpp‑sbi‑sendingnfinfo”的示例http定制报头310(其以下简称为报头),其中sbi是基于服务的接口的缩写。此外,在该示例中,发送nf110充当nfc,并且所发送210的消息是服务请求。[0062]“nfinstanceinfo”字段311表示标识信息,其在该示例中是nfc110的nfinstanceid。“timestamp”字段312表示时间信息。报头310的“signature”字段313包含由发送nf110为“nfinstanceinfo”和“timestamp”附加的签名。可以通过使用发送nf110的私钥(其在示例中被示为“prnfc”)对“nfinstanceinfo”和“timestamp”的内容或内容的摘要进行签名,来生成“signature”字段313中的签名。应当理解,“signature”字段313中的签名仅是示例,没有限制。例如,在发送nf是nfp的情况下,可以将nfp的私钥(例如prnfp)用于签名目的。[0063]尽管在图3中未示出,但是用于生成签名的算法也可被包括在报头310中,例如在“algorithm”字段中。这样的报头或类似的报头也可以被称为安全超文本传输协议(http)报头。[0064]应当理解,图3所示的“3gpp‑sbi‑sendingnfinfo”报头仅是示例性的,没有限制。可以使用其他报头,例如rfc7239中定义的“forwarded”。[0065]在一些示例实施例中,如上所述,nf信息可以包括发送nf110的类型信息,例如,nf类型。发送nf110可以另外在“3gpp‑sbi‑sendingnfinfoheader”310中发送nf类型。可以在报头310的“nfinstanceinfo”字段311中或在附加字段中发送nf类型。[0066]在“3gpp‑sbi‑sendingnfinfo”报头310中,使用“timestamp”字段312。替代地,可以使用现有的“3gpp‑sbi‑sender‑timestamp”报头(例如,如ts29.500第5.2.3.3.2节中定义的)来携带时间信息。在这种情况下,发送nf110可以添加两个报头,即包括诸如nfinstanceinfo的标识信息(以及可选的用于端到端认证的证书信息,如下所述)的“3gpp‑sbi‑sendingnfinfo”报头和“3gpp‑sbi‑sender‑timestamp”报头。此外,在这种情况下,签名可以被包括在如图3所示的“3gpp‑sbi‑sendingnfinfo”报头中,或者可以被包括在分离的报头中。[0067]在本公开的示例实施例中,签名和各种类型的nf信息,例如标识信息、时间信息、nf类型信息和证书信息,可以全部在同一报头或在不同的报头中发送。签名和各种类型的nf信息可以以报头以外的其他形式在消息中发送。[0068]现在参考图2。连接到发送nf110的第一scp130可以执行215发现、选择和访问令牌请求过程。在从发送nf110接收到消息之后,第一scp130验证220消息中的签名。例如,第一scp130可以使用在tls客户端证书中可用的发送nf110的公钥来验证http报头中的签名,该tls客户端证书已由发送nf110在tls握手期间提供。替代地,如果基于新证书生成签名,则可以使用新证书中可用的公钥。对于图3所示的示例,“signature”字段313中的签名可以由第一scp130(其在这种情况下是scpc)来验证。[0069]如果签名被成功验证,则第一scp130更新225消息。然后,第一scp130将更新后的消息发送230或转发给第二scp140,第一scp130已经与第二scp140建立了相互认证的tls连接。[0070]在一些示例实施例中,为了更新该消息,第一scp130可以生成其自己的签名,并且用其自己的签名来替换该消息中(例如,在http报头中)的发送nf110的签名。参考图3。与示例报头310相比,更新后的消息中的示例报头320已经改变。“nfinstanceinfo”字段311和“timestamp”字段312保持不变。在“signature”字段323中,发送nf110的签名被第一scp130的签名替换。在该示例中,“signature”字段323中的签名可以通过用第一scp130的私钥(其在示例中显示为“prscpc”)对“nfinstanceinfo”和“timestamp”的内容或内容的摘要签名来生成。[0071]仍然参考图2,在从第一scp130接收到更新后的消息之后,第二scp140验证235更新后的消息中的签名,即第一scp130的签名。第二scp140可以使用tls客户端证书(其由第一scp130在tls握手期间提供)中可用的第一scp130的公钥验证在http报头中的签名。对于图3所示的示例,“signature”字段323中的签名可以由第二scp140(其在这种情况下是scpp)来验证。[0072]如果签名被成功验证,则第二scp140进一步更新240该消息。然后,第二scp140将进一步更新后的消息发送245或转发给接收nf120,第二scp140已经与接收nf120建立了相互认证的tls连接。在服务请求的情况下,接收nf120可以充当nfp,或在通知消息的情况下可以充当nfc。[0073]在一些示例实施例中,为了更新该消息,第二scp140可以生成其自己的签名,并且用其自己的签名来替换该消息中(例如,http报头中)第一scp130的签名。参考图3。与示例报头320相比,进一步更新后的消息中的示例报头330已经改变。“nfinstanceinfo”字段311和“timestamp”字段312保持不变。在“signature”字段333中,第一scp130的签名被第二scp140的签名替换。在该示例中,“signature”字段333中的签名可以通过用第二scp140的私钥(其在示例中显示为“prscpp”)对“nfinstanceinfo”和“timestamp”的内容或内容的摘要进行签名来生成。。[0074]仍然参考图2,在从第二scp140接收到进一步更新后的消息之后,接收nf120验证250在该进一步更新后的消息中的签名,即第二scp140的签名。接收nf120可以使用tls客户端证书(其已由第二scp140在tls握手期间提供)中可用的第二scp140的公钥来验证http报头中的签名。对于图3所示的示例,“signature”字段333中的签名可以由接收nf120(其在这种情况下是nfp)来验证。[0075]在其中nf信息包括时间信息的一些示例实施例中,如果签名被成功地验证,则接收nf120可以至少部分地基于时间信息来执行255时间窗口的验证。例如,在消息中包括时间戳的情况下,接收nf120可以验证时间戳在某个时间窗口内,例如可接受的时间窗口内。在这样的示例实施例中,可以实现重放保护。应当理解,如果时间戳仍然有效,但是最初用于签名的证书已到期或被吊销,则该消息(例如,服务请求)将不再有效/可接受。[0076]如上所述,在一些示例实施例中,时间信息可以进一步包括时延信息,例如“acceptabledelay”。在这样的示例实施例中,接收nf120可以基于时延信息来确定有效时间窗口。在一些示例实施例中,替代地,接收nf120可以基于逐跳时延等的估计,来确定有效时间窗口。[0077]在成功验证签名和可选的时间信息之后,接收nf从接收自第二scp140的消息中获取260发送nf110的标识信息。例如,接收nf120可以从报头(例如,图3中所示的报头330)获取发送nf110的nfinstanceid或nfsetid或fqdn。[0078]关于在两个通信的nf之间存在两个scp的配置描述了示例过程200。应该理解,本公开的解决方案也可以应用于发送和接收nf都连接到同一scp的配置。在这种配置中,scp将把更新后的消息转发给接收nf。这种场景的示例是nfc从nrf请求服务的情况。nfc和nrf都可以连接到同一scp。[0079]在一些示例实施例中,可以在两个通信的nf之间启用端到端(e2e)认证。这在两个nf之间需要端到端认证用于关键服务操作的情况下很有用。本公开的解决方案可以提供端到端认证的附加特征。[0080]当启用e2e认证时,例如在“signature”字段中的发送nf的签名被端对端转发并由接收nf验证。这要求接收nf具有对于发送nf的公钥的访问。因此,需要在从发送nf指向接收nf的消息中携带发送nf的证书信息。例如,附加的“cert”字段可用于携带发送nf的证书,例如tls证书或新证书(如果由运营商提供)。证书(tls证书或新提供的证书)是端到端承载的,并且是接收nf可获得的。一个或多个中间节点(例如scp)可以将其签名附加在消息中,例如在称为“scpsignature”的新字段中。与上述类似,当启用e2e认证时,发送nf可以是nfc,也可以是用于回调统一资源标识符(uri)或其他通知的nfp或nrf。[0081]因此,在启用端到端认证的示例实施例中,可能需要附加的两个字段。报头中的两个示例字段“cert”和“scpsignature”字段如下所示:[0082]a)“cert”:<发送nf的tls证书>//由发送nf或连接到发送nf的scp添加;[0083]b)“scpsignature”:sign[3gpp‑sbi‑sendingnfinfonfinstanceinfo timestamp]scp的私钥。[0084]现在参考图4,其示出了根据本公开的一些示例实施例的用于间接通信中的e2e认证的示例过程400的交互图。如图4所示,过程400可以涉及如图1所示的nf110、scp130和scp140以及nf120。[0085]类似于参考图2所描述的,在一些示例实施例中,作为前提,执行401在nf110与scp130之间的相互认证,执行402在scp130与scp140之间的相互认证,然后执行403在nf120和scp140之间的相互认证。例如,可以执行tls握手过程以用于相互认证。这样的过程与参考图2描述的过程相似,并且在此将不再重复。[0086]发送nf110可以旨在向接收nf120发送消息。例如,在发送nf110充当nfc而接收nf120充当nfp的情况下,这样的消息可以是服务请求。[0087]发送nf110的签名和nfinfo可被插入指向接收nf120的消息中。为了启用e2e认证,除了如上所述的标识信息和时间信息之外,例如,作为nf信息的一部分,需要发送nf110的证书信息。在一些示例实施例中,发送nf110本身可以在指向接收nf120的消息中插入发送nf110的证书信息。在这种情况下,nf信息可以至少包括标识信息和发送nf110的证书信息,并且还可以包括时间信息。[0088]发送nf110生成405签名。例如,发送nf110可以基于要发送的nf信息和发送nf110的私钥来生成签名。该数字签名可以使用与tls证书中的公钥相对应的私钥来生成。替代地,运营商可以提供新的证书以生成数字签名。另外,这意味着该新证书被使得是需要验证签名的所有实体可获得的。[0089]然后,发送nf110可以生成包括nf信息和特定于发送nf110的签名的消息。消息(例如,服务请求)被发送410或转发给第一scp130,发送nf110正在与第一scp130通信并已建立基于安全tls的连接。[0090]与上述相似,可以在插入到消息中的报头中发送nf信息和签名。现在参考图5,图5示出了示出根据本公开的一些示例实施例的在间接通信期间的示例报头的示意图500。在该示例中,可以由发送nf110插入名为“3gpp‑sbi‑sendingnfinfo”的示例报头510。此外,在该示例中,发送nf110充当nfc,并且所发送210的消息是服务请求。[0091]“nfinstanceinfo”字段511和“timestamp”字段512与关于图3描述的“nfinstanceinfo”字段311和“timestamp”字段312相似,并且在此不重复其描述。“cert”字段513表示证书信息。在该示例中,“cert”字段513被示为包含发送nf110的客户端证书,即“nfc的客户端证书”。[0092]报头510的“signature”字段514包含由发送nf110为“nfinstanceinfo”、“timestamp”和“cert”附加的签名。可以通过使用发送nf110的私钥(其在示例中被显示为“prnfc”)对“nfinstanceinfo”、“timestamp”和“cert”的内容或内容的摘要进行签名来生成“signature”字段514中的签名。尽管在图5中未示出,但是用于生成签名的算法也可以被包括在报头510中,例如在“algorithm”的字段中。这样的报头或类似的报头也可以被称为http报头。[0093]应当理解,以上参考图3描述的其他方面也可以应用于过程400。[0094]现在参考图4。连接到发送nf110的第一scp130可以执行415发现、选择和访问令牌请求过程。在从发送nf110接收到消息之后,第一scp130验证420消息中的签名。第一scp130可以使用在tls客户端证书(其已由发送nf110在tls握手期间提供)中可用的发送nf110的公钥来验证http报头中的签名。对于图4所示的示例,“signature”字段514中的签名可以由第一scp130(在这种情况下是scpc)来验证。[0095]如果签名被成功验证,则第一scp130更新430消息。然后,第一scp130将更新后的消息发送435或转发给第二scp140,第一scp130与第二scp建立了相互认证的tls连接。[0096]在启用e2e认证的此类示例实施例中,为了更新消息,第一scp130可以生成其自己的签名(其在下文中可以称为scp签名)并将scp签名添加到该消息中(例如,在http报头中)。参考图5。与示例报头510相比,更新后的消息中的示例报报头520已经改变。“nfinstanceinfo”字段511、“timestamp”字段512、“cert”字段513和“signature”字段514保持不变。[0097]“scpsignature”字段525由第一scp130插入。在该示例中,“scpsignature”字段525中的scp签名可以通过用第一scp130的私钥(其在示例中显示为“prscpc”)对“3gpp‑sbi‑sendingnfinfo”的内容或内容的摘要进行签名来生成。换句话说,可以基于发送nf110的签名和nf信息来生成“scpsignature”字段525中特定于第一scp130的scp签名,nf信息在该示例中包括标识信息(例如,“nfinstanceinfo”)、时间信息(例如“timestamp”)和证书信息(例如“cert”)。[0098]仍然参考图4,在从第一scp130接收更新后的消息之后,第二scp140验证440更新后的消息中的scp签名,即第一scp130的签名。第二scp140可以使用tls客户端证书(其已由第一scp130在tls握手期间提供)中可用的第一scp130的公钥来验证http报头中的scp签名。对于图5所示的示例,“scpsignature”字段525中的签名可以由第二scp140来验证,第二scp140在这种情况下是scpp。[0099]如果scp签名被成功验证,则第二scp140进一步更新445消息。然后,第二scp140将进一步更新后的消息发送450或转发给接收nf120,第二scp140已经与接收nf120建立了相互认证的tls连接。[0100]在启用e2e认证的这种示例实施例中,为了更新消息,第二scp140可以生成其自己的scp签名,并用其自己的scp签名替换该消息中(例如,http报头中)的第一scp130的scp签名。参考图5。与示例报头520相比,进一步更新后的消息中的示例报头530已经改变。“nfinstanceinfo”字段511、“timestamp”字段512、“cert”字段513和“signature”字段514仍然保持不变。[0101]在“scp签名”字段535中,第一scp130的scp签名被第二scp140的scp签名替换。在该示例中,可以通过使用第二scp140的私钥(其在示例中显示为“prscpp”)对“3gpp‑sbi‑sendingnfinfo”的内容或内容的摘要进行签名,来生成“scpsignature”字段535中的scp签名。换句话说,“scpsignature”字段535中特定于第二scp140的scp签名可以基于发送nf110的签名和nf信息生成,nf信息在此示例中包括标识信息(例如,“nfinstanceinfo”)、时间信息(例如“timestamp”)和证书信息(例如“cert”)。[0102]仍然参考图4,在从第二scp140接收到进一步更新后的消息之后,接收nf120验证455在进一步更新后的消息中的scp签名,即第二scp140的scp签名。接收nf120可以使用tls客户端证书(其已由第二scp140在tls握手期间提供)中可用的第二scp140的公钥来验证http报头中的scp签名。对于图5所示的示例,“scpsignature”字段535中的scp签名可以由接收nf120(其在这种情况下是nfp)来验证。[0103]如果第二scp140的scp签名被成功验证,则接收nf120可以获取发送nf110的证书信息,例如,发送nf110的客户端证书。然后,接收nf120验证460发送nf110的签名。例如,如图5中所示,“signature”字段514中的签名可以由接收nf120例如通过使用发送nf110的客户端证书来验证。[0104]在成功验证发送nf110的签名后,接收nf从第二scp140转发的消息中获取465发送nf110的标识信息。例如,接收nf120可以从报头(例如图5所示的报头530)获取发送nf110的nfinstanceid或nfsetid或fqdn。[0105]在其中nf信息包括时间信息的一些示例实施例中,类似于以上参考图2所描述的,接收nf120可以执行时间窗口的验证。[0106]在以上关于图4所作的描述中,发送nf可以将其签名和客户端证书附加在http报头中。这通过e2e方式发送给接收nf。接收nf可以使用从客户端证书中获取的公钥来验证所有权证明(proofofpossession),以验证发送nf的签名。这样,可以实现端到端认证,以支持其中两个nf之间需要端到端认证用于关键服务操作的场景。[0107]在以上描述中,发送nf的证书信息由发送nf本身插入到消息中。替代地,在一些其他示例实施例中,发送nf的证书信息可以由发送nf与之通信并且已经建立了基于安全tls的连接的scp来插入,或者可以由充当nf的边车(side‑car)代理的scp来插入。仍然参考图4,在这样的示例实施例中,第二scp130可以将发送nf110的证书信息插入425到消息中。例如,第二scp130可以将在tls握手期间获取的发送nf110的客户端证书插入消息中。替代地,如果将不同的证书用于数字签名,则运营商可以单独提供插入的证书。[0108]发送nf110的证书信息可以是或包括发送nf110的客户端证书。替代地或附加地,发送nf110的证书信息可以包括使得能够获取客户端证书或发送nf110的公钥的地址。例如,可以插入这样的统一资源定位符(url),该url指向接收nf120可以获取客户端的公钥或客户端证书的位置。代替插入证书,插入地址(例如url)可以减少消息的开销。[0109]尽管在图2和图4中未示出,对于第一scp130、第二scp140和接收nf120,如果签名验证失败或时间戳验证指示潜在的重放攻击,则接收实体或节点可以向接收实体或节点发送适当的(安全)失败响应。[0110]应当理解,所提出的解决方案不限于nfc,而是通常还可以用于标识生成通知的http客户端。它为通信(直接或间接)的接收方提供了标识通信源的方法。[0111]将参考图6‑8描述根据本公开的示例实施例的更多细节。[0112]图6示出了根据本公开的一些示例实施例的示例方法600的流程图。方法600可以在任何合适的设备处实现。例如,方法600可以在第一装置处实现,该第一装置被配置为实现图1中的scp130或140。出于讨论的目的,将参考图1来描述方法600。[0113]在框610,第一装置从与第一nf110相关联的第二装置接收从第一nf110指向第二nf120的消息,该消息包括第一签名和网络功能信息,该网络功能信息至少包括第一nf110的标识信息。在框620,根据第一签名的成功验证,第一装置用特定于由第一装置实现的服务通信代理的第二签名来更新该消息。在框630处,第一装置将更新后的消息发送给与第二nf120相关联的第三装置,该更新后的消息至少包括第二签名和网络功能信息。[0114]在一些示例实施例中,用第二签名更新消息包括:基于网络功能信息和服务通信代理的私钥来生成第二签名;以及将消息中的第一签名替换为第二签名。[0115]在一些示例实施例中,网络功能信息还包括第一nf110的证书信息,第二装置被配置为实现第一nf110,并且用第二签名更新消息包括:至少基于第一签名和服务通信代理的私钥生成第二签名;以及将第二签名插入消息中。[0116]在一些示例实施例中,第二装置被配置为实现第一nf110,并且用第二签名更新消息包括:将第一nf110的证书信息作为网络功能信息的一部分插入消息中;至少基于第一签名和服务通信代理的私钥来生成第二签名;以及将第二签名插入消息中。[0117]在一些示例实施例中,网络功能信息还包括第一nf110的证书信息,第二装置被配置为实现连接到第一nf110的另一服务通信代理,并且用第二签名更新消息包括:至少基于第一签名和服务通信代理的私钥生成第二签名;以及将消息中的第一签名替换为第二签名。[0118]在一些示例实施例中,消息还包括特定于第一nf110的第三签名,并且其中第三装置被配置为实现第二nf120。[0119]在一些示例实施例中,第一nf110的证书信息包括以下至少之一:第一nf110的客户端证书,或者使得能够获取第一网络设备的客户端证书或公钥的地址。[0120]在一些示例实施例中,网络功能信息还包括以下至少之一:第一nf110的类型信息或与消息的传输有关的时间信息。[0121]在一些示例实施例中,第一nf110的标识信息包括以下至少之一:第一nf110的实例标识符、第一nf110的集合标识符或第一nf110的fqdn。[0122]图7示出了根据本公开的一些示例实施例的示例方法700的流程图。方法700可以在任何合适的设备处实现。例如,方法700可以在第二装置处实现,该第二装置被配置为实现如图1中的接收nf110。出于讨论的目的,将参考图1来描述方法700。[0123]在框710处,第二装置基于网络功能信息生成签名,该网络功能信息至少包括第一nf110的标识信息,该签名特定于第二装置实现的第一nf110。在框720,第二装置生成从第一nf110指向第二nf120的消息,该消息包括签名和网络功能信息。在框730处,第二装置将消息发送给第一装置,该第一装置被配置为实现连接到第一nf110的服务通信代理或实现第二nf120。[0124]在一些示例实施例中,网络功能信息还包括以下至少之一:第一nf110的证书信息、第一nf110的类型信息或与消息的传输有关的时间信息。[0125]在一些示例实施例中,第一nf110的证书信息包括以下至少之一:第一nf110的客户端证书,或者使得能够获取第一网络设备的客户端证书或公钥的地址。[0126]在一些示例实施例中,第一nf110的标识信息包括以下至少之一:第一nf110的实例标识符、第一nf110的集合标识符或第一nf110的fqdn。[0127]图8示出了根据本公开的一些示例实施例的示例方法800的流程图。方法800可以在任何合适的设备处实现。例如,方法800可以在第三装置处实现,该第三装置被配置为实现如图1所示的发送nf120。出于讨论的目的,将参考图1来描述方法800。[0128]在框810处,第三装置从被配置为实现服务通信代理的第一装置接收从第一nf110指向由第三装置实现的第二nf120的消息。在框820处,第三装置验证该消息中特定于该服务通信代理的签名,该消息还包括网络功能信息,该网络功能信息至少包括第一nf110的标识信息。在框830处,根据签名的成功验证,第三装置从该消息中获取第一网络功能的标识信息。[0129]在一些示例实施例中,验证该消息中特定于服务通信代理的签名包括:使用该服务通信代理的公钥来验证该签名。[0130]在一些示例实施例中,网络功能信息还包括第一nf110的证书信息,并且获取标识信息包括:根据签名的成功验证,从消息中获取证书信息;使用所获取的证书信息来验证消息中特定于第一nf110的另一签名;根据另一签名的成功验证,从消息中获取第一网络功能的标识信息。[0131]在一些示例实施例中,第一nf110的证书信息包括以下至少之一:第一nf110的客户端证书、或者使得能够获取第一网络设备的客户端证书或公钥的地址。[0132]在一些示例实施例中,网络功能信息还包括与消息的传输有关的时间信息,并且该方法还包括:根据签名的成功验证,至少部分地基于时间信息来执行时间窗口的验证;以及根据无效时间窗口的确定,向第一装置发送失败响应。[0133]在一些示例实施例中,第一nf110的标识信息包括以下至少之一:第一nf110的实例标识符、第一nf110的集合标识符或第一nf110的fqdn。[0134]在一些示例实施例中,能够执行方法600的第一装置可以包括用于执行方法600的各个步骤的模块。该模块可以以任何合适的形式实现。例如,该模块可以在电路或软件模块中实现。[0135]第一装置包括:用于从与第一网络功能相关联的第二装置接收从第一网络功能指向第二网络功能的消息的模块,该消息包括第一签名和网络功能信息,该网络功能信息至少包括第一网络功能的标识信息;用于根据第一签名的成功验证用特定于由第一装置实现的服务通信代理的第二签名来更新所述消息的模块;以及用于将更新后的消息发送给与第二网络功能相关联的第三装置的模块,该更新后的消息至少包括所述第二签名和所述网络功能信息。[0136]在一些示例实施例中,用于用所述第二签名更新所述消息的模块包括:用于基于所述网络功能信息和所述服务通信代理的私钥来生成所述第二签名的模块;以及用于将所述消息中的所述第一签名替换为所述第二签名的模块。[0137]在一些示例实施例中,所述网络功能信息还包括所述第一网络功能的证书信息,所述第二装置被配置为实现第一网络功能,并且用于用所述第二签名更新所述消息的模块包括:用于至少基于所述第一签名和所述服务通信代理的私钥生成所述第二签名的模块;以及用于将所述第二签名插入到所述消息中的模块。[0138]在一些示例实施例中,所述第二装置被配置为实现所述第一网络功能,并且用于用所述第二签名更新所述消息的模块包括:用于将所述第一网络功能的证书信息作为所述网络功能信息的一部分插入所述消息中的模块;用于至少基于所述第一签名和所述服务通信代理的私钥来生成所述第二签名的模块;以及用于将所述第二签名插入到所述消息中的模块。[0139]在一些示例实施例中,所述网络功能信息还包括所述第一网络功能的证书信息,所述第二装置被配置为实现连接到所述第一网络功能的另一服务通信代理,并且用于用所述第二签名更新所述消息的模块包括:用于至少基于所述第一签名和所述服务通信代理的私钥来生成所述第二签名的模块;以及将所述消息中的所述第一签名替换为所述第二签名的模块。[0140]在一些示例实施例中,消息还包括特定于所述第一网络功能的第三签名,并且其中第三装置被配置为实现所述第二网络功能。[0141]在一些示例实施例中,所述第一网络功能的证书信息包括以下至少之一:所述第一网络功能的客户端证书,或者使得能够获取所述第一网络设备的客户端证书或公钥的地址。[0142]在一些示例实施例中,所述网络功能信息还包括以下至少之一:所述第一网络功能的类型信息或与所述消息的传输有关的时间信息。[0143]在一些示例实施例中,所述第一网络功能的标识信息包括以下至少之一:所述第一网络功能的实例标识符、所述第一网络功能的集合标识符或所述第一网络功能的fqdn。[0144]在一些示例实施例中,能够执行方法700的第二装置可以包括用于执行方法700的各个步骤的模块。该模块可以以任何合适的形式实现。例如,该模块可以在电路或软件模块中实现。[0145]第二装置包括:用于基于网络功能信息生成签名的模块,该网络功能信息至少包括第一网络功能的标识信息,该签名特定于由第二装置实现的第一网络功能;用于生成从所述第一网络功能指向第二网络功能的消息的模块,该消息包括所述签名和所述网络功能信息;以及用于向所述第一装置发送所述消息的模块,该第一装置被配置为实现连接到所述第一网络功能的服务通信代理或实现所述第二网络功能。[0146]在一些示例实施例中,所述网络功能信息还包括以下至少之一:所述第一网络功能的证书信息、所述第一网络功能的类型信息或与所述消息的传输有关的时间信息。[0147]在一些示例实施例中,所述第一网络功能的证书信息包括以下至少之一:所述第一网络功能的客户端证书,或者使得能够获取所述第一网络设备的客户端证书或公钥的地址。[0148]在一些示例实施例中,所述第一网络功能的标识信息包括以下至少之一:所述第一网络功能的实例标识符、所述第一网络功能的集合标识符或所述第一网络功能的fqdn。[0149]在一些示例实施例中,能够执行方法800的第三装置可以包括用于执行方法800的各个步骤的模块。该模块可以以任何合适的形式实现。例如,该模块可以在电路或软件模块中实现。[0150]第三装置包括:用于从被配置为实现服务通信代理的第一装置接收从第一网络功能指向由第三装置实现的第二网络功能的消息的模块;用于验证所述消息中特定于所述服务通信代理的签名的模块,该消息还包括网络功能信息,该网络功能信息至少包括所述第一网络功能的标识信息;以及用于根据签名的成功验证从所述消息中获取所述第一网络功能的标识信息的模块。[0151]在一些示例实施例中,用于验证所述消息中特定于所述服务通信代理的签名的模块包括:用于使用所述服务通信代理的公钥来验证所述签名的模块。[0152]在一些示例实施例中,网络功能信息还包括所述第一网络功能的证书信息,并且用于获取所述标识信息的模块包括:用于根据所述签名的成功验证从所述消息中获取证书信息的模块;用于使用获取的证书信息来验证所述消息中的特定于所述第一网络功能的另一签名的模块;以及根据另一签名的成功验证从所述消息中获取所述第一网络功能的所述标识信息的模块。[0153]在一些示例实施例中,所述第一网络功能的证书信息包括以下至少之一:所述第一网络功能的客户端证书,或者使得能够获取所述第一网络设备的客户端证书或公钥的地址。[0154]在一些示例实施例中,所述网络功能信息还包括与所述消息的传输有关的时间信息,并且所述第三装置还包括:用于根据所述签名的成功验证至少部分地基于时间信息执行时间窗口的验证的模块;以及用于根据无效时间窗口的确定将失败响应发送给所述第一装置的模块。[0155]在一些示例实施例中,所述第一网络功能的标识信息包括以下至少之一:所述第一网络功能的实例标识符、所述第一网络功能的集合标识符或所述第一网络功能的fqdn。[0156]图9是适合于实现本公开的实施例的设备900的简化框图。可以提供设备900以实现通信设备,例如图1所示的scp130或140、接收nf110、或发送nf120。如图所示,设备900包括一个或多个处理器910、耦合到处理器910的一个或多个存储器920、以及耦合到处理器910的一个或多个通信模块940。[0157]通信模块940用于双向通信。通信模块940具有至少一个天线以促进通信。通信接口可以表示与其他网络元件通信所必需的任何接口。[0158]处理器910可以是适合于本地技术网络的任何类型,并且作为非限制性示例,可以包括以下的一个或多个:通用计算机、专用计算机、微处理器、数字信号处理器(dsp)和基于多核处理器架构的处理器。设备900可以具有多个处理器,例如专用集成电路芯片,其在时间上从属于与主处理器同步的时钟。[0159]存储器920可以包括一个或多个非易失性存储器和一个或多个易失性存储器。非易失性存储器的示例包括但不限于只读存储器(rom)924、电可编程只读存储器(eprom)、闪存、硬盘、光盘(cd)、数字视频盘(dvd)以及其他磁存储和/或光存储。易失性存储器的示例包括但不限于随机存取存储器(ram)922和在掉电持续时间内不会持续的其他易失性存储器。[0160]计算机程序930包括由相关联的处理器910执行的计算机可执行指令。程序930可以存储在rom920中。处理器910可以通过将程序930加载到ram920中来执行任何适当的动作和处理。[0161]可以借助于程序930来实现本公开的实施例,以使得设备900可以执行参考图6至图8所讨论的本公开的任何过程。本公开的实施例还可以通过硬件或通过软件和硬件的组合来实现。[0162]在一些实施例中,程序930可以有形地包含在计算机可读介质中,该计算机可读介质可被包括在设备900(诸如在存储器920中)或设备900可访问的其他存储设备中。设备900可以将程序930从计算机可读介质加载到ram922以便执行。计算机可读介质可以包括任何类型的有形非易失性存储设备,例如rom、eprom、闪存、硬盘、cd、dvd等。图10示出了cd或dvd形式的计算机可读介质1000的示例。计算机可读介质具有存储在其上的程序930。[0163]应当理解,未来的网络可以利用网络功能虚拟化(nfv),这是一种网络架构概念,其提出了将网络节点功能虚拟化为可在操作上连接或链接在一起以提供服务的“构建块(buildingblocks)”或实体的方法。虚拟化网络功能(vnf)可以包括一个或多个使用标准或通用类型服务器而不是定制硬件运行计算机程序代码的虚拟机。也可以利用云计算或数据存储。在无线电通信中,这可能意味着要至少部分地在可操作地耦合到分布式单元(du)(例如无线电头/节点)的中央/集中式单元(cu)(例如服务器、主机或节点)中执行节点操作。也可能节点操作将分布在多个服务器、节点或主机之间。还应该理解,核心网络操作和基站操作之间的劳动分布可以根据实现而变化。[0164]在一个实施例中,服务器可以生成虚拟网络,服务器通过该虚拟网络与分布式单元进行通信。通常,虚拟联网可涉及将硬件和软件网络资源以及网络功能组合到单个基于软件的管理实体即虚拟网络中的过程。这样的虚拟网络可以在服务器和无线电头/节点之间提供灵活的操作分布。实际上,可以在cu或du中执行任何数字信号处理任务,并且可以根据实现选择责任在cu和du之间转移的边界。[0165]因此,在一个实施例中,实现了cu‑du架构。在这种情况下,设备900可以被包括在可操作地(例如经由无线或有线网络)耦合到分布式单元(例如,远程无线电头/节点)的中央单元(例如,控制单元、边缘云服务器、服务器)中。即,中央单元(例如,边缘云服务器)和分布式单元可以是经由无线电路径或经由有线连接彼此通信的独立装置。替代地,它们可以在通过有线连接等进行通信的同一实体中。边缘云或边缘云服务器可以服务于多个分布式单元或无线电接入网络。在一个实施例中,所描述的过程中的至少一些可以由中央单元执行。在另一个实施例中,设备900可以替代地被包括在分布式单元中,并且所描述的过程中的至少一些可以由分布式单元执行。[0166]在一个实施例中,设备900的至少一些功能的执行可以在形成一个操作实体的两个物理上分离的设备(du和cu)之间共享。因此,可以看出该装置描绘了包括用于执行所描述的过程中的至少一些的一个或多个物理上分离的设备的操作实体。在一个实施例中,这样的cu‑du架构可以在cu和du之间提供灵活的操作分布。实践中,可以在cu或du中执行任何数字信号处理任务,并且可以根据实现选择责任在cu和du之间转移的边界。在一个实施例中,设备900控制过程的执行,而不管装置的位置以及过程/功能在何处执行。[0167]通常,本公开的各种实施例可以以硬件或专用电路、软件、逻辑或其任何组合来实现。一些方面可以以硬件来实现,而其他方面可以以可以由控制器、微处理器或其他计算设备执行的固件或软件来实现。尽管本公开的实施例的各个方面被图示和描述为框图、流程图或使用一些其他图形表示,但是应当理解,本文所述的框、装置、系统、技术或方法可以作为非限制性示例以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备或其某种组合来实现。[0168]本公开还提供了有形地存储在非暂时性计算机可读存储介质上的至少一个计算机程序产品。该计算机程序产品包括计算机可执行指令,例如程序模块中包括的那些,该指令在设备中在目标真实或虚拟处理器上执行,以执行以上参考图6‑8描述的方法600、700或800。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、库、对象、类、组件、数据结构等。程序模块的功能可以如在各个实施例中所需的那样在程序模块之间组合或分割。用于程序模块的机器可执行指令可以在本地或分布式设备内执行。在分布式设备中,程序模块可以位于本地和远程存储媒体中。[0169]用于执行本公开的方法的程序代码可以以一种或多种编程语言的任何组合来编写。可以将这些程序代码提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,以使得该程序代码在由该处理器或控制器执行时使流程图和/或框图中指定的功能/操作被实现。程序代码可以完全在机器上执行、部分在机器上作为独立软件包执行、部分在机器上并且部分在远程机器上执行、或者完全在远程机器或服务器上执行。[0170]在本公开的上下文中,计算机程序代码或相关数据可以由任何合适的载体来携带,以使设备、装置或处理器能够执行如上所述的各种处理和操作。载体的示例包括信号、计算机可读介质等。[0171]计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是例如但不限于电子、磁、光、电磁、红外或半导体系统、装置或设备、或者前述的任何合适的组合。计算机可读存储介质的更具体示例将包括以下内容:具有一条或多条电线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或闪存)、光纤、便携式光盘只读存储器(cd‑rom)、光学存储设备、磁存储设备或任何上述的适当组合。[0172]此外,尽管以特定顺序描绘了操作,但这不应理解为要求以所示的特定顺序或以连续的顺序执行这样的操作,或者执行所有示出的操作以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。同样地,尽管以上讨论中包含几个特定的实现细节,但是这些不应被解释为对本公开的范围的限制,而应被解释为对特定于特定实施例的特征的描述。在单独的实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也可以分别在多个实施例中或以任何合适的子组合来实现。[0173]尽管以特定于结构特征和/或方法动作的语言描述了本公开,但是应理解,所附权利要求书中定义的本公开不必限于上述特定特征或动作。而是,以上描述的特定特征和动作被公开为实现权利要求的示例形式。当前第1页12当前第1页12
背景技术:
::2.在第三代合作伙伴计划(3gpp)版本16(rel‑16)中,基于5g核心网络(5gc)基于服务的架构(sba)已从直接通信扩展为两个网络功能(nf)之间的间接通信。这意味着至少一个服务通信代理(scp)可能位于两个nf之间的通信路径中。scp是一个中间功能,涵盖委派的nf发现以帮助解析目标nf生产者实例以及委派的路由以帮助在两个nf之间路由控制平面消息。3.在间接通信中,nf之间没有直接连接。nf之间的通信将逐跳被保护。例如,充当服务消费者的nf(其在下文中可以称为“nf消费者”或“nfc”)可以建立到scp(其在下文中可以称为“scpc”)的安全管道,scpc可以建立到另一个scp(其在下文中可以称为“scpp”)的安全管道,scpp可以建立到充当服务生产者的nf(在下文中也称为“nf生产者”或“nfp”)的安全管道。nf之间的这种间接通信改变并扩展了通信的安全模型。技术实现要素:4.通常,本公开的示例实施例提供用于增强的逐跳安全性的装置、方法和计算机可读存储介质。5.在第一方面,提供了一种第一装置。所述第一装置包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述第一装置:从与第一网络功能相关联的第二装置接收从所述第一网络功能指向第二网络功能的消息,所述消息包括第一签名和网络功能信息,所述网络功能信息至少包括所述第一网络功能的标识信息;根据所述第一签名的成功验证,用特定于所述第一装置实现的业务通信代理的第二签名更新所述消息;以及将所述更新后的消息发送给与所述第二网络功能相关联的第三装置,所述更新后的消息至少包括所述第二签名和所述网络功能信息。6.在第二方面,提供了第二装置。所述第二装置包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述第二装置:基于网络功能信息生成签名,所述网络功能信息至少包括所述第一网络功能的标识信息,所述签名特定于所述第二装置实现的第一网络功能;生成从所述第一网络功能指向第二网络功能的消息,所述消息包括所述签名和所述网络功能信息;以及将所述消息发送给第一装置,所述第一装置被配置为实现连接到所述第一网络功能的服务通信代理。7.在第三方面,提供了第三装置。所述第三装置包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述第三装置:从被配置为实现服务通信代理的第一装置接收从所述第一网络功能指向由所述第三装置实现的第二网络功能的消息;验证所述消息中特定于所述服务通信代理的签名,所述消息还包括网络功能信息,所述网络功能信息至少包括所述第一网络功能的标识信息;以及根据所述签名的成功验证,从所述消息中获取所述第一网络功能的所述标识信息。8.在第四方面,提供了一种方法。所述方法包括:在第一装置处以及从与第一网络功能相关联的第二装置处接收从所述第一网络功能指向第二网络功能的消息,所述消息包括第一签名和网络功能信息,所述网络功能信息至少包括第一网络功能的标识信息;根据所述第一签名的成功验证,用特定于所述第一装置实现的业务通信代理的第二签名更新所述消息;以及将所述更新后的消息发送给与所述第二网络功能相关联的第三装置,所述更新后的消息至少包括所述第二签名和所述网络功能信息。9.在第五方面,提供了一种方法。所述方法包括:在第二装置处基于网络功能信息生成签名,所述网络功能信息至少包括所述第一网络功能的标识信息,所述签名特定于所述第二装置实现的第一网络功能;生成从所述第一网络功能指向第二网络功能的消息,所述消息包括所述签名和所述网络功能信息;将所述消息发送给第一装置,所述第一装置被配置为实现与所述第一网络功能连接的服务通信代理。10.在第六方面,提供了一种方法。所述方法包括:在第三装置处以及从被配置为实现服务通信代理的第一装置接收从第一网络功能指向由所述第三装置实现的第二网络功能的消息;以及验证所述消息中特定于所述服务通信代理的签名,所述消息还包括网络功能信息,所述网络功能信息至少包括所述第一网络功能的标识信息;以及根据所述签名的成功验证,从所述消息中获取所述第一网络功能的所述标识信息。11.在第七方面,提供了一种第一装置,所述第一装置包括:用于从与第一网络功能相关联的第二装置接收从所述第一网络功能指向第二网络功能的消息的模块,所述消息包括第一签名和网络功能信息,所述网络功能信息至少包括所述第一网络功能的标识信息;用于根据所述第一签名的成功验证用特定于所述第一装置实现的业务通信代理的第二签名更新所述消息的模块;以及用于将所述更新后的消息发送给与所述第二网络功能相关联的第三装置的模块,所述更新后的消息至少包括所述第二签名和所述网络功能信息。12.在第八方面,提供了第二装置,所述第二装置包括:用于基于网络功能信息生成签名的模块,所述网络功能信息至少包括所述第一网络功能的标识信息,所述签名特定于所述第二装置实现的第一网络功能;用于生成从所述第一网络功能指向第二网络功能的消息的模块,所述消息包括所述签名和所述网络功能信息;以及用于将所述消息发送给第一装置的模块,所述第一装置被配置为实现连接到所述第一网络功能的服务通信代理。13.在第九方面,提供了一种第三装置,所述第三装置包括:用于从被配置为实现服务通信代理的第一装置接收从所述第一网络功能指向由所述第三装置实现的第二网络功能的消息的模块;用于验证所述消息中特定于所述服务通信代理的签名的模块,所述消息还包括网络功能信息,所述网络功能信息至少包括所述第一网络功能的标识信息;以及用于根据所述签名的成功验证,从所述消息中获取所述第一网络功能的所述标识信息的模块。14.在第十方面,提供了一种非暂时性计算机可读介质,其包括用于使装置至少执行根据上述第四方面的方法的程序指令。15.在第十一方面,提供了一种非暂时性计算机可读介质,其包括用于使装置至少执行根据上述第五方面的方法的程序指令。16.在第十二方面,提供了一种非暂时性计算机可读介质,其包括用于使装置至少执行根据上述第六方面的方法的程序指令。17.应当理解,
发明内容部分并非旨在标识本公开的实施例的关键或必要特征,也不旨在用于限制本公开的范围。通过以下描述,本公开的其他特征将变得容易理解。附图说明18.通过在附图中对本公开的一些示例实施例的更详细描述,本公开的上述和其他目的、特征和优点将变得更加明显,其中:19.图1示出了可以在其中实现本公开的一些示例实施例的示例环境的框图;20.图2示出了根据本公开的一些示例实施例的用于间接通信中的逐跳安全性的示例过程的交互图;21.图3示出了根据本公开的一些示例实施例的示出在间接通信期间的示例报头的示意图;22.图4示出了根据本公开的一些示例实施例的用于间接通信中的端到端认证的示例过程的交互图;23.图5示出了根据本公开的一些示例实施例的示出在间接通信期间的示例报头的示意图;24.图6示出了根据本公开的一些示例实施例的示例方法的流程图;25.图7示出了根据本公开的一些示例实施例的示例方法的流程图;26.图8示出了根据本公开的一些示例实施例的示例方法的流程图;27.图9示出了适于实现本公开的实施例的装置的简化框图;以及28.图10示出了根据本公开的一些示例实施例的示例计算机可读介质的框图。29.在所有附图中,相同或相似的附图标记表示相同或相似的元件。具体实施方式30.现在将参考一些示例实施例描述本公开的原理。应当理解,对这些实施例的描述仅出于说明的目的,并且帮助本领域技术人员理解和实现本公开,而没有对本公开的范围提出任何限制。除了下面描述的那些方式以外,可以以各种方式来实现本文描述的本公开。31.在以下描述和权利要求中,除非另有定义,否则本文中使用的所有技术和科学术语具有与本公开所属领域的普通技术人员通常所理解的相同含义。32.本公开中对“一个实施例”、“实施例”、“示例实施例”等的引用指示所描述的实施例可以包括特定的特征、结构或特性,但是每个实施例都不一定包括该特定的特征、结构或特性。而且,这样的短语不一定指相同的实施例。此外,当结合实施例描述特定的特征、结构或特性时,可以认为结合其他实施例来实现这样的特征、结构或特性是在本领域技术人员的知识范围内的,无论是否明确描述。33.应该理解,尽管本文可以使用术语“第一”和“第二”等来描述各种元素,但是这些元件不应受到这些术语的限制。这些术语仅用于将一个元件与另一个元件区分离。例如,在不脱离示例实施例的范围的情况下,第一元件可以被称为第二元件,并且类似地,第二元件可以被称为第一元件。如本文所用,术语“和/或”包括一个或多个所列术语的任何和所有组合。34.本文所使用的术语仅出于描述特定实施例的目的,并且不旨在限制示例实施例。如本文所使用的,单数形式的“一”、“一个”和“该”旨在也包括复数形式,除非上下文另有明确说明。将进一步理解,当在本文中使用时,术语“包括”、“包含”、“具有”和/或“含有”指定了所陈述特征、元件和/或组件等的存在,但不排除存在或添加一个或多个其他特征、元件、组件和/或其组合。35.如在本技术中使用的,术语“电路”可以指以下的一个或多个或全部:36.(a)纯硬件电路实施方式(例如仅在模拟和/或数字电路中的实施方式)和37.(b)硬件电路和软件的组合,例如(如适用):38.(i)模拟和/或数字硬件电路与软件/固件的组合,以及39.(ii)具有软件的硬件处理器(包括数字信号处理器)的任何部分,软件和存储器,它们共同工作以使诸如手机或服务器之类的设备执行各种功能的,以及40.(c)需要软件(例如固件)用于操作的硬件电路和/或处理器(例如微处理器或微处理器的一部分),但该软件在不需要它用于操作时可能不存在。41.电路的这种定义适用于该术语在本技术中(包括在任何权利要求中)的所有使用。作为另一示例,如在本技术中使用的,术语电路还仅覆盖硬件电路或处理器及其(或它们的)随附软件和/或固件的实施方式。例如,在适用于特定权利要求元素的情况下,术语电路还覆盖用于移动设备的基带集成电路或在服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。42.如本文所使用的,术语“通信网络”是指遵循任何适当的通信标准的网络,诸如长期演进(lte)、高级lte(lte‑a)、宽带码分多址(wcdma)、高速分组访问(hspa)、窄带物联网(nb‑iot)、新无线电(nr)等。此外,可以根据任何适当的一代通信协议来执行通信网络中终端设备与网络设备之间的通信(包括但不限于第一代(1g)、第二代(2g)、2.5g、2.75g、第三代(3g)、第四代(4g)、4.5g、未来的第五代(5g)通信协议,和/或当前已知或将来要开发的任何其他协议)。本公开的实施例可以应用于各种通信系统中。考虑到通信的快速发展,当然还将存在可以体现本公开的未来类型的通信技术和系统。不应将本公开的范围限制为仅上述系统。43.如上所述,在5gcsba中,将在基于传递信任模型(例如,a信任b,c信任b,因此c信任a)的逐跳安全性下保护nf之间的通信。尽管此模型在网络的拓扑是静态配置的、物理隔离的以及点对点的4g网络中可能已足够,但在5gc完全是云原生且虚拟化nf与其他nf共享硬件并且nf之间没有物理隔离的5g网络中,此模型是不够的。因此,需要一种机制,该机制使接收nf能够在虚拟化网络中可靠地认证发送nf。44.本公开的实施例提供一种用于逐跳安全性的解决方案。在该解决方案中,发送nf(例如,nfc)可以将指向接收nf(例如,nfp)的消息(例如,服务请求)发送给第一scp(例如,scpc)。该消息可以包括特定于发送nf的签名和发送nf的网络功能信息。该网络功能信息可以包括发送nf的标识(例如发送nf的nf实例id),并且还可以包括与该消息的发送有关的时间信息(例如时间戳)。在一些示例实施例中,该网络功能信息可以进一步包括特定于在生成该签名中使用的私钥的发送nf的证书信息。在成功验证特定于该发送nf的该签名之后,第一scp可以通过用自己的签名替换发送nf的签名或将其自己的签名插入该消息中来更新该消息。在替换发送nf的签名的情况下,对网络功能信息(例如包括标识信息、时间信息等)进行数字签名以生成第一scp的签名。在插入第一scp的签名的情况下,对网络功能信息(例如,包括标识信息、时间信息和证书信息)和发送nf的签名进行数字签名,以生成第一scp的签名;替代地,仅对发送nf的签名进行数字签名。45.第一scp然后将更新后的消息发送给第二scp(例如scpp)。在成功验证第一scp的签名之后,第二scp可以通过用其自己的签名替换第一scp的签名来进一步更新该消息。然后,第二scp可以将进一步更新后的消息发送给接收nf。在成功验证第二scp的签名之后,接收nf可以获取发送nf的标识信息。如果接收到的消息中存在发送nf的签名,该接收nf也将验证发送nf的签名。在一些示例实施例中,签名和网络功能信息可以由插入到该消息中的报头来携带。46.在另一种情况下,发送nf和接收nf可以直接通信(即,两者之间没有任何scp),例如在从nf生产者到nf消费者的通知消息的情况下。在这种情况下,接收nf验证发送nf的签名。47.在提出的解决方案中,签名和网络功能(例如,针对nf实例的专门定制的报头)的添加以及中间节点(例如,第一和第二scp)处的相关修改功能可以使得接收nf能够可靠地确定发送nf的标识(例如nf实例id、完全限定域名(fqdn)等)。提出的解决方案不违反rel‑15,并且向后兼容,因此也可以跨网络工作。48.现在参考图1,其示出了可以在其中实现本公开的一些示例实施例的环境100的框图。图1示出了用于间接通信场景的示例环境100。49.如图1所示,环境100包括nf110和120、连接到nf110的scp130、连接到nf120的scp140。scp130和140可以在同一物理设备或不同的物理设备中实现。nf110和120可以被实现在相同的物理设备或不同的物理设备中。在一些示例实施例中,nf110和120以及scp130和140以及其他元件可以在同一节点处实现。例如,scp可以与网络存储库功能(nrf)放在相同地点,而scp(实例)也可以与安全边缘保护代理(sepp)放在相同地点。在一些示例实施例中,nf110和120以及scp130和140以及nrf、sepp等中的一个或多个可以由第三方作为服务来运行,并且因此消息可以被来回路由给第三方。50.仅出于说明的目的,在下文中,nf110也可以被称为“第一nf110”,并且nf120也可以被称为“第二nf120”。连接到第一nf110的scp130也可以被称为“第一scp130”,并且连接到第二nf120的scp140也可以被称为“第二scp140”。在一些示例实施例中,nf110可以充当服务消费者,其可以向充当服务生产者的nf120请求服务。在这样的示例实施例中,第一nf110可以被称为“nfc110”,第二nf120也可以被称为“nfp120”。因此,连接到nfc110的第一scp130可以被称为“scpc130”,并且连接到nfp120的第二scp140也可以被称为“scpp140”。51.如图1所示,第一nf110和第二nf120没有彼此直接连接。scp130和140充当nf110和nf120之间的中间节点。应当理解,图1中所示的scp的数量仅出于说明目的,而没有任何限制,并且在nf110和120之间可以存在更少或更多的scp。在一些示例实施例中,在nf110和120之间可能只有一个scp。例如,在第一nf110充当从第二nf120(即nrf)请求服务的nf服务消费者的情况下,两个nf110和120可以连接到相同的scp。在一些示例实施例中,在nf110和120之间可以有两个以上的scp。52.应当理解,仅出于说明的目的示出了网络环境100,而不暗示对本公开的范围的任何限制。本公开的实施例还可以应用于具有不同结构的环境。53.图2示出了根据本公开的一些示例实施例的用于间接通信中的逐跳安全性的示例过程200的交互图。如图2所示,过程200可以涉及如图1所示的nf110、scp130和scp140以及nf120。54.应当理解,尽管过程200(以及以下描述的过程400)涉及nf110、scp130和scp140以及nf120,例如,“nfc‑>scpc‑>scpp‑>nfp”之间的逐跳安全性,相同的机制也可以在其他通信方向或场景中使用。例如,该机制可以用于从“nfp”到“nfc”的方向,然后例如允许nfc验证用于回调(callback)uri的nfp标识。此外,该机制还可以潜在地用于“nfc‑>scpc‑>nrf”的场景以及用于“nrf1‑>nrf2‑>nrf3”的场景。例如,当通过一个或多个中间转发nrf路由nnrf服务应用编程接口(api)请求时,该机制可用于通过分层nrf设置来验证nfc的标识,而且还可以在这种情况下对彼此标识nrf。因此,在一些示例实施例中,接收nf可以是nrf。55.在一些示例实施例中,作为以下详细过程的前提,执行201在nf110与scp130之间的相互认证,执行202在scp130与scp140之间的相互认证,以及执行203在nf120与scp140之间的相互认证。例如,可以执行传输层安全(tls)握手过程以用于相互认证。这样,可以在nf110和scp130之间、在scp130和scp140之间以及在scp140和nf120之间建立使用tls的安全连接(以下也称为“tls连接”)。例如,在nf110和scp130之间的tls握手期间,可以将nf110的客户端证书提供或指示给scp130。scp140和nf120可以分别获取对应的客户端证书。在本公开的示例过程中,tls握手的证书可被用于将下层传输层绑定到上层应用层,从而提供更好的安全。56.第一nf110可以打算将消息发送给第二nf120。本文中,这样的消息可以被称为从第一nf110指向第二nf120的消息。例如,在第一nf110充当nfc而第二nf120充当nfp的情况下,这样的消息可以是服务请求。在第一nf110充当nfp并且第二nf120充当nfc的情况下,这样的消息可以是通知消息。在图2所示的示例中,第一nf110也可以被称为发送nf110,第二nf120也可以被称为接收nf120。57.为了支持增强的逐跳安全性,可以在指向接收nf120的消息中插入发送nf110的签名和网络功能信息(nf信息)。nf信息至少包括发送nf110的标识信息,其可被用于标识发送nf110的nf实例。在一些示例实施例中,该标识信息可以是发送nf110的nfinstanceid、nfsetid(如果发送nf110属于的集合)或两者。nfinstanceid可以表示由nf提供的标识符,其在nf被注册的nrf的公共陆地移动网络(plmn)内应该是全局唯一的。nfsetid是来自给定网络的一组等效且可互换的cpnf的全局唯一标识符,这些cpnf提供分布性、冗余性和可缩放性(scalability)。58.在一些示例实施例中,为了重放(replay)保护的目的,nf信息还可包括与该消息的传输有关的时间信息。作为示例,可以添加基于rfc7321或rfc3161的时间戳作为时间信息。在一些示例实施例中,除了添加时间戳,发送nf110还可以添加时延信息,例如“acceptabledelay”,其向接收nf120提供针对被认为是有效的时间窗口方面的指导。在一些示例实施例中,替代地,接收nf120可以基于逐跳时延等的估计来确定可接受的时间窗口。在一些示例实施例中,nf信息可以进一步包括发送nf110的类型信息和发送nf110的证书信息,其将在下面参考图4和5进行详细描述。59.发送nf110生成205签名。例如,发送nf110可以基于要发送的nf信息和发送nf110的私钥来生成签名。可以使用与tls证书中的公钥相对应的私钥来生成该数字签名。替代地,运营商可以提供新的证书以生成数字签名。另外,这意味着使得该新证书对于需要验证该签名的所有实体是可用的。60.然后,发送nf110可以生成包括nf信息和特定于发送nf110的签名的消息。该消息(例如,服务请求)被发送210或转发给第一scp130,发送nf110正在与第一scp130通信并已建立了基于安全tls的连接。61.nf信息和签名可以在插入该消息(例如,服务请求)中的报头中被发送。现在参考图3,图3示出了示出根据本公开的一些示例实施例的在间接通信期间的示例报头的示意图300。在该示例中,可以由发送nf110插入名为“3gpp‑sbi‑sendingnfinfo”的示例http定制报头310(其以下简称为报头),其中sbi是基于服务的接口的缩写。此外,在该示例中,发送nf110充当nfc,并且所发送210的消息是服务请求。[0062]“nfinstanceinfo”字段311表示标识信息,其在该示例中是nfc110的nfinstanceid。“timestamp”字段312表示时间信息。报头310的“signature”字段313包含由发送nf110为“nfinstanceinfo”和“timestamp”附加的签名。可以通过使用发送nf110的私钥(其在示例中被示为“prnfc”)对“nfinstanceinfo”和“timestamp”的内容或内容的摘要进行签名,来生成“signature”字段313中的签名。应当理解,“signature”字段313中的签名仅是示例,没有限制。例如,在发送nf是nfp的情况下,可以将nfp的私钥(例如prnfp)用于签名目的。[0063]尽管在图3中未示出,但是用于生成签名的算法也可被包括在报头310中,例如在“algorithm”字段中。这样的报头或类似的报头也可以被称为安全超文本传输协议(http)报头。[0064]应当理解,图3所示的“3gpp‑sbi‑sendingnfinfo”报头仅是示例性的,没有限制。可以使用其他报头,例如rfc7239中定义的“forwarded”。[0065]在一些示例实施例中,如上所述,nf信息可以包括发送nf110的类型信息,例如,nf类型。发送nf110可以另外在“3gpp‑sbi‑sendingnfinfoheader”310中发送nf类型。可以在报头310的“nfinstanceinfo”字段311中或在附加字段中发送nf类型。[0066]在“3gpp‑sbi‑sendingnfinfo”报头310中,使用“timestamp”字段312。替代地,可以使用现有的“3gpp‑sbi‑sender‑timestamp”报头(例如,如ts29.500第5.2.3.3.2节中定义的)来携带时间信息。在这种情况下,发送nf110可以添加两个报头,即包括诸如nfinstanceinfo的标识信息(以及可选的用于端到端认证的证书信息,如下所述)的“3gpp‑sbi‑sendingnfinfo”报头和“3gpp‑sbi‑sender‑timestamp”报头。此外,在这种情况下,签名可以被包括在如图3所示的“3gpp‑sbi‑sendingnfinfo”报头中,或者可以被包括在分离的报头中。[0067]在本公开的示例实施例中,签名和各种类型的nf信息,例如标识信息、时间信息、nf类型信息和证书信息,可以全部在同一报头或在不同的报头中发送。签名和各种类型的nf信息可以以报头以外的其他形式在消息中发送。[0068]现在参考图2。连接到发送nf110的第一scp130可以执行215发现、选择和访问令牌请求过程。在从发送nf110接收到消息之后,第一scp130验证220消息中的签名。例如,第一scp130可以使用在tls客户端证书中可用的发送nf110的公钥来验证http报头中的签名,该tls客户端证书已由发送nf110在tls握手期间提供。替代地,如果基于新证书生成签名,则可以使用新证书中可用的公钥。对于图3所示的示例,“signature”字段313中的签名可以由第一scp130(其在这种情况下是scpc)来验证。[0069]如果签名被成功验证,则第一scp130更新225消息。然后,第一scp130将更新后的消息发送230或转发给第二scp140,第一scp130已经与第二scp140建立了相互认证的tls连接。[0070]在一些示例实施例中,为了更新该消息,第一scp130可以生成其自己的签名,并且用其自己的签名来替换该消息中(例如,在http报头中)的发送nf110的签名。参考图3。与示例报头310相比,更新后的消息中的示例报头320已经改变。“nfinstanceinfo”字段311和“timestamp”字段312保持不变。在“signature”字段323中,发送nf110的签名被第一scp130的签名替换。在该示例中,“signature”字段323中的签名可以通过用第一scp130的私钥(其在示例中显示为“prscpc”)对“nfinstanceinfo”和“timestamp”的内容或内容的摘要签名来生成。[0071]仍然参考图2,在从第一scp130接收到更新后的消息之后,第二scp140验证235更新后的消息中的签名,即第一scp130的签名。第二scp140可以使用tls客户端证书(其由第一scp130在tls握手期间提供)中可用的第一scp130的公钥验证在http报头中的签名。对于图3所示的示例,“signature”字段323中的签名可以由第二scp140(其在这种情况下是scpp)来验证。[0072]如果签名被成功验证,则第二scp140进一步更新240该消息。然后,第二scp140将进一步更新后的消息发送245或转发给接收nf120,第二scp140已经与接收nf120建立了相互认证的tls连接。在服务请求的情况下,接收nf120可以充当nfp,或在通知消息的情况下可以充当nfc。[0073]在一些示例实施例中,为了更新该消息,第二scp140可以生成其自己的签名,并且用其自己的签名来替换该消息中(例如,http报头中)第一scp130的签名。参考图3。与示例报头320相比,进一步更新后的消息中的示例报头330已经改变。“nfinstanceinfo”字段311和“timestamp”字段312保持不变。在“signature”字段333中,第一scp130的签名被第二scp140的签名替换。在该示例中,“signature”字段333中的签名可以通过用第二scp140的私钥(其在示例中显示为“prscpp”)对“nfinstanceinfo”和“timestamp”的内容或内容的摘要进行签名来生成。。[0074]仍然参考图2,在从第二scp140接收到进一步更新后的消息之后,接收nf120验证250在该进一步更新后的消息中的签名,即第二scp140的签名。接收nf120可以使用tls客户端证书(其已由第二scp140在tls握手期间提供)中可用的第二scp140的公钥来验证http报头中的签名。对于图3所示的示例,“signature”字段333中的签名可以由接收nf120(其在这种情况下是nfp)来验证。[0075]在其中nf信息包括时间信息的一些示例实施例中,如果签名被成功地验证,则接收nf120可以至少部分地基于时间信息来执行255时间窗口的验证。例如,在消息中包括时间戳的情况下,接收nf120可以验证时间戳在某个时间窗口内,例如可接受的时间窗口内。在这样的示例实施例中,可以实现重放保护。应当理解,如果时间戳仍然有效,但是最初用于签名的证书已到期或被吊销,则该消息(例如,服务请求)将不再有效/可接受。[0076]如上所述,在一些示例实施例中,时间信息可以进一步包括时延信息,例如“acceptabledelay”。在这样的示例实施例中,接收nf120可以基于时延信息来确定有效时间窗口。在一些示例实施例中,替代地,接收nf120可以基于逐跳时延等的估计,来确定有效时间窗口。[0077]在成功验证签名和可选的时间信息之后,接收nf从接收自第二scp140的消息中获取260发送nf110的标识信息。例如,接收nf120可以从报头(例如,图3中所示的报头330)获取发送nf110的nfinstanceid或nfsetid或fqdn。[0078]关于在两个通信的nf之间存在两个scp的配置描述了示例过程200。应该理解,本公开的解决方案也可以应用于发送和接收nf都连接到同一scp的配置。在这种配置中,scp将把更新后的消息转发给接收nf。这种场景的示例是nfc从nrf请求服务的情况。nfc和nrf都可以连接到同一scp。[0079]在一些示例实施例中,可以在两个通信的nf之间启用端到端(e2e)认证。这在两个nf之间需要端到端认证用于关键服务操作的情况下很有用。本公开的解决方案可以提供端到端认证的附加特征。[0080]当启用e2e认证时,例如在“signature”字段中的发送nf的签名被端对端转发并由接收nf验证。这要求接收nf具有对于发送nf的公钥的访问。因此,需要在从发送nf指向接收nf的消息中携带发送nf的证书信息。例如,附加的“cert”字段可用于携带发送nf的证书,例如tls证书或新证书(如果由运营商提供)。证书(tls证书或新提供的证书)是端到端承载的,并且是接收nf可获得的。一个或多个中间节点(例如scp)可以将其签名附加在消息中,例如在称为“scpsignature”的新字段中。与上述类似,当启用e2e认证时,发送nf可以是nfc,也可以是用于回调统一资源标识符(uri)或其他通知的nfp或nrf。[0081]因此,在启用端到端认证的示例实施例中,可能需要附加的两个字段。报头中的两个示例字段“cert”和“scpsignature”字段如下所示:[0082]a)“cert”:<发送nf的tls证书>//由发送nf或连接到发送nf的scp添加;[0083]b)“scpsignature”:sign[3gpp‑sbi‑sendingnfinfonfinstanceinfo timestamp]scp的私钥。[0084]现在参考图4,其示出了根据本公开的一些示例实施例的用于间接通信中的e2e认证的示例过程400的交互图。如图4所示,过程400可以涉及如图1所示的nf110、scp130和scp140以及nf120。[0085]类似于参考图2所描述的,在一些示例实施例中,作为前提,执行401在nf110与scp130之间的相互认证,执行402在scp130与scp140之间的相互认证,然后执行403在nf120和scp140之间的相互认证。例如,可以执行tls握手过程以用于相互认证。这样的过程与参考图2描述的过程相似,并且在此将不再重复。[0086]发送nf110可以旨在向接收nf120发送消息。例如,在发送nf110充当nfc而接收nf120充当nfp的情况下,这样的消息可以是服务请求。[0087]发送nf110的签名和nfinfo可被插入指向接收nf120的消息中。为了启用e2e认证,除了如上所述的标识信息和时间信息之外,例如,作为nf信息的一部分,需要发送nf110的证书信息。在一些示例实施例中,发送nf110本身可以在指向接收nf120的消息中插入发送nf110的证书信息。在这种情况下,nf信息可以至少包括标识信息和发送nf110的证书信息,并且还可以包括时间信息。[0088]发送nf110生成405签名。例如,发送nf110可以基于要发送的nf信息和发送nf110的私钥来生成签名。该数字签名可以使用与tls证书中的公钥相对应的私钥来生成。替代地,运营商可以提供新的证书以生成数字签名。另外,这意味着该新证书被使得是需要验证签名的所有实体可获得的。[0089]然后,发送nf110可以生成包括nf信息和特定于发送nf110的签名的消息。消息(例如,服务请求)被发送410或转发给第一scp130,发送nf110正在与第一scp130通信并已建立基于安全tls的连接。[0090]与上述相似,可以在插入到消息中的报头中发送nf信息和签名。现在参考图5,图5示出了示出根据本公开的一些示例实施例的在间接通信期间的示例报头的示意图500。在该示例中,可以由发送nf110插入名为“3gpp‑sbi‑sendingnfinfo”的示例报头510。此外,在该示例中,发送nf110充当nfc,并且所发送210的消息是服务请求。[0091]“nfinstanceinfo”字段511和“timestamp”字段512与关于图3描述的“nfinstanceinfo”字段311和“timestamp”字段312相似,并且在此不重复其描述。“cert”字段513表示证书信息。在该示例中,“cert”字段513被示为包含发送nf110的客户端证书,即“nfc的客户端证书”。[0092]报头510的“signature”字段514包含由发送nf110为“nfinstanceinfo”、“timestamp”和“cert”附加的签名。可以通过使用发送nf110的私钥(其在示例中被显示为“prnfc”)对“nfinstanceinfo”、“timestamp”和“cert”的内容或内容的摘要进行签名来生成“signature”字段514中的签名。尽管在图5中未示出,但是用于生成签名的算法也可以被包括在报头510中,例如在“algorithm”的字段中。这样的报头或类似的报头也可以被称为http报头。[0093]应当理解,以上参考图3描述的其他方面也可以应用于过程400。[0094]现在参考图4。连接到发送nf110的第一scp130可以执行415发现、选择和访问令牌请求过程。在从发送nf110接收到消息之后,第一scp130验证420消息中的签名。第一scp130可以使用在tls客户端证书(其已由发送nf110在tls握手期间提供)中可用的发送nf110的公钥来验证http报头中的签名。对于图4所示的示例,“signature”字段514中的签名可以由第一scp130(在这种情况下是scpc)来验证。[0095]如果签名被成功验证,则第一scp130更新430消息。然后,第一scp130将更新后的消息发送435或转发给第二scp140,第一scp130与第二scp建立了相互认证的tls连接。[0096]在启用e2e认证的此类示例实施例中,为了更新消息,第一scp130可以生成其自己的签名(其在下文中可以称为scp签名)并将scp签名添加到该消息中(例如,在http报头中)。参考图5。与示例报头510相比,更新后的消息中的示例报报头520已经改变。“nfinstanceinfo”字段511、“timestamp”字段512、“cert”字段513和“signature”字段514保持不变。[0097]“scpsignature”字段525由第一scp130插入。在该示例中,“scpsignature”字段525中的scp签名可以通过用第一scp130的私钥(其在示例中显示为“prscpc”)对“3gpp‑sbi‑sendingnfinfo”的内容或内容的摘要进行签名来生成。换句话说,可以基于发送nf110的签名和nf信息来生成“scpsignature”字段525中特定于第一scp130的scp签名,nf信息在该示例中包括标识信息(例如,“nfinstanceinfo”)、时间信息(例如“timestamp”)和证书信息(例如“cert”)。[0098]仍然参考图4,在从第一scp130接收更新后的消息之后,第二scp140验证440更新后的消息中的scp签名,即第一scp130的签名。第二scp140可以使用tls客户端证书(其已由第一scp130在tls握手期间提供)中可用的第一scp130的公钥来验证http报头中的scp签名。对于图5所示的示例,“scpsignature”字段525中的签名可以由第二scp140来验证,第二scp140在这种情况下是scpp。[0099]如果scp签名被成功验证,则第二scp140进一步更新445消息。然后,第二scp140将进一步更新后的消息发送450或转发给接收nf120,第二scp140已经与接收nf120建立了相互认证的tls连接。[0100]在启用e2e认证的这种示例实施例中,为了更新消息,第二scp140可以生成其自己的scp签名,并用其自己的scp签名替换该消息中(例如,http报头中)的第一scp130的scp签名。参考图5。与示例报头520相比,进一步更新后的消息中的示例报头530已经改变。“nfinstanceinfo”字段511、“timestamp”字段512、“cert”字段513和“signature”字段514仍然保持不变。[0101]在“scp签名”字段535中,第一scp130的scp签名被第二scp140的scp签名替换。在该示例中,可以通过使用第二scp140的私钥(其在示例中显示为“prscpp”)对“3gpp‑sbi‑sendingnfinfo”的内容或内容的摘要进行签名,来生成“scpsignature”字段535中的scp签名。换句话说,“scpsignature”字段535中特定于第二scp140的scp签名可以基于发送nf110的签名和nf信息生成,nf信息在此示例中包括标识信息(例如,“nfinstanceinfo”)、时间信息(例如“timestamp”)和证书信息(例如“cert”)。[0102]仍然参考图4,在从第二scp140接收到进一步更新后的消息之后,接收nf120验证455在进一步更新后的消息中的scp签名,即第二scp140的scp签名。接收nf120可以使用tls客户端证书(其已由第二scp140在tls握手期间提供)中可用的第二scp140的公钥来验证http报头中的scp签名。对于图5所示的示例,“scpsignature”字段535中的scp签名可以由接收nf120(其在这种情况下是nfp)来验证。[0103]如果第二scp140的scp签名被成功验证,则接收nf120可以获取发送nf110的证书信息,例如,发送nf110的客户端证书。然后,接收nf120验证460发送nf110的签名。例如,如图5中所示,“signature”字段514中的签名可以由接收nf120例如通过使用发送nf110的客户端证书来验证。[0104]在成功验证发送nf110的签名后,接收nf从第二scp140转发的消息中获取465发送nf110的标识信息。例如,接收nf120可以从报头(例如图5所示的报头530)获取发送nf110的nfinstanceid或nfsetid或fqdn。[0105]在其中nf信息包括时间信息的一些示例实施例中,类似于以上参考图2所描述的,接收nf120可以执行时间窗口的验证。[0106]在以上关于图4所作的描述中,发送nf可以将其签名和客户端证书附加在http报头中。这通过e2e方式发送给接收nf。接收nf可以使用从客户端证书中获取的公钥来验证所有权证明(proofofpossession),以验证发送nf的签名。这样,可以实现端到端认证,以支持其中两个nf之间需要端到端认证用于关键服务操作的场景。[0107]在以上描述中,发送nf的证书信息由发送nf本身插入到消息中。替代地,在一些其他示例实施例中,发送nf的证书信息可以由发送nf与之通信并且已经建立了基于安全tls的连接的scp来插入,或者可以由充当nf的边车(side‑car)代理的scp来插入。仍然参考图4,在这样的示例实施例中,第二scp130可以将发送nf110的证书信息插入425到消息中。例如,第二scp130可以将在tls握手期间获取的发送nf110的客户端证书插入消息中。替代地,如果将不同的证书用于数字签名,则运营商可以单独提供插入的证书。[0108]发送nf110的证书信息可以是或包括发送nf110的客户端证书。替代地或附加地,发送nf110的证书信息可以包括使得能够获取客户端证书或发送nf110的公钥的地址。例如,可以插入这样的统一资源定位符(url),该url指向接收nf120可以获取客户端的公钥或客户端证书的位置。代替插入证书,插入地址(例如url)可以减少消息的开销。[0109]尽管在图2和图4中未示出,对于第一scp130、第二scp140和接收nf120,如果签名验证失败或时间戳验证指示潜在的重放攻击,则接收实体或节点可以向接收实体或节点发送适当的(安全)失败响应。[0110]应当理解,所提出的解决方案不限于nfc,而是通常还可以用于标识生成通知的http客户端。它为通信(直接或间接)的接收方提供了标识通信源的方法。[0111]将参考图6‑8描述根据本公开的示例实施例的更多细节。[0112]图6示出了根据本公开的一些示例实施例的示例方法600的流程图。方法600可以在任何合适的设备处实现。例如,方法600可以在第一装置处实现,该第一装置被配置为实现图1中的scp130或140。出于讨论的目的,将参考图1来描述方法600。[0113]在框610,第一装置从与第一nf110相关联的第二装置接收从第一nf110指向第二nf120的消息,该消息包括第一签名和网络功能信息,该网络功能信息至少包括第一nf110的标识信息。在框620,根据第一签名的成功验证,第一装置用特定于由第一装置实现的服务通信代理的第二签名来更新该消息。在框630处,第一装置将更新后的消息发送给与第二nf120相关联的第三装置,该更新后的消息至少包括第二签名和网络功能信息。[0114]在一些示例实施例中,用第二签名更新消息包括:基于网络功能信息和服务通信代理的私钥来生成第二签名;以及将消息中的第一签名替换为第二签名。[0115]在一些示例实施例中,网络功能信息还包括第一nf110的证书信息,第二装置被配置为实现第一nf110,并且用第二签名更新消息包括:至少基于第一签名和服务通信代理的私钥生成第二签名;以及将第二签名插入消息中。[0116]在一些示例实施例中,第二装置被配置为实现第一nf110,并且用第二签名更新消息包括:将第一nf110的证书信息作为网络功能信息的一部分插入消息中;至少基于第一签名和服务通信代理的私钥来生成第二签名;以及将第二签名插入消息中。[0117]在一些示例实施例中,网络功能信息还包括第一nf110的证书信息,第二装置被配置为实现连接到第一nf110的另一服务通信代理,并且用第二签名更新消息包括:至少基于第一签名和服务通信代理的私钥生成第二签名;以及将消息中的第一签名替换为第二签名。[0118]在一些示例实施例中,消息还包括特定于第一nf110的第三签名,并且其中第三装置被配置为实现第二nf120。[0119]在一些示例实施例中,第一nf110的证书信息包括以下至少之一:第一nf110的客户端证书,或者使得能够获取第一网络设备的客户端证书或公钥的地址。[0120]在一些示例实施例中,网络功能信息还包括以下至少之一:第一nf110的类型信息或与消息的传输有关的时间信息。[0121]在一些示例实施例中,第一nf110的标识信息包括以下至少之一:第一nf110的实例标识符、第一nf110的集合标识符或第一nf110的fqdn。[0122]图7示出了根据本公开的一些示例实施例的示例方法700的流程图。方法700可以在任何合适的设备处实现。例如,方法700可以在第二装置处实现,该第二装置被配置为实现如图1中的接收nf110。出于讨论的目的,将参考图1来描述方法700。[0123]在框710处,第二装置基于网络功能信息生成签名,该网络功能信息至少包括第一nf110的标识信息,该签名特定于第二装置实现的第一nf110。在框720,第二装置生成从第一nf110指向第二nf120的消息,该消息包括签名和网络功能信息。在框730处,第二装置将消息发送给第一装置,该第一装置被配置为实现连接到第一nf110的服务通信代理或实现第二nf120。[0124]在一些示例实施例中,网络功能信息还包括以下至少之一:第一nf110的证书信息、第一nf110的类型信息或与消息的传输有关的时间信息。[0125]在一些示例实施例中,第一nf110的证书信息包括以下至少之一:第一nf110的客户端证书,或者使得能够获取第一网络设备的客户端证书或公钥的地址。[0126]在一些示例实施例中,第一nf110的标识信息包括以下至少之一:第一nf110的实例标识符、第一nf110的集合标识符或第一nf110的fqdn。[0127]图8示出了根据本公开的一些示例实施例的示例方法800的流程图。方法800可以在任何合适的设备处实现。例如,方法800可以在第三装置处实现,该第三装置被配置为实现如图1所示的发送nf120。出于讨论的目的,将参考图1来描述方法800。[0128]在框810处,第三装置从被配置为实现服务通信代理的第一装置接收从第一nf110指向由第三装置实现的第二nf120的消息。在框820处,第三装置验证该消息中特定于该服务通信代理的签名,该消息还包括网络功能信息,该网络功能信息至少包括第一nf110的标识信息。在框830处,根据签名的成功验证,第三装置从该消息中获取第一网络功能的标识信息。[0129]在一些示例实施例中,验证该消息中特定于服务通信代理的签名包括:使用该服务通信代理的公钥来验证该签名。[0130]在一些示例实施例中,网络功能信息还包括第一nf110的证书信息,并且获取标识信息包括:根据签名的成功验证,从消息中获取证书信息;使用所获取的证书信息来验证消息中特定于第一nf110的另一签名;根据另一签名的成功验证,从消息中获取第一网络功能的标识信息。[0131]在一些示例实施例中,第一nf110的证书信息包括以下至少之一:第一nf110的客户端证书、或者使得能够获取第一网络设备的客户端证书或公钥的地址。[0132]在一些示例实施例中,网络功能信息还包括与消息的传输有关的时间信息,并且该方法还包括:根据签名的成功验证,至少部分地基于时间信息来执行时间窗口的验证;以及根据无效时间窗口的确定,向第一装置发送失败响应。[0133]在一些示例实施例中,第一nf110的标识信息包括以下至少之一:第一nf110的实例标识符、第一nf110的集合标识符或第一nf110的fqdn。[0134]在一些示例实施例中,能够执行方法600的第一装置可以包括用于执行方法600的各个步骤的模块。该模块可以以任何合适的形式实现。例如,该模块可以在电路或软件模块中实现。[0135]第一装置包括:用于从与第一网络功能相关联的第二装置接收从第一网络功能指向第二网络功能的消息的模块,该消息包括第一签名和网络功能信息,该网络功能信息至少包括第一网络功能的标识信息;用于根据第一签名的成功验证用特定于由第一装置实现的服务通信代理的第二签名来更新所述消息的模块;以及用于将更新后的消息发送给与第二网络功能相关联的第三装置的模块,该更新后的消息至少包括所述第二签名和所述网络功能信息。[0136]在一些示例实施例中,用于用所述第二签名更新所述消息的模块包括:用于基于所述网络功能信息和所述服务通信代理的私钥来生成所述第二签名的模块;以及用于将所述消息中的所述第一签名替换为所述第二签名的模块。[0137]在一些示例实施例中,所述网络功能信息还包括所述第一网络功能的证书信息,所述第二装置被配置为实现第一网络功能,并且用于用所述第二签名更新所述消息的模块包括:用于至少基于所述第一签名和所述服务通信代理的私钥生成所述第二签名的模块;以及用于将所述第二签名插入到所述消息中的模块。[0138]在一些示例实施例中,所述第二装置被配置为实现所述第一网络功能,并且用于用所述第二签名更新所述消息的模块包括:用于将所述第一网络功能的证书信息作为所述网络功能信息的一部分插入所述消息中的模块;用于至少基于所述第一签名和所述服务通信代理的私钥来生成所述第二签名的模块;以及用于将所述第二签名插入到所述消息中的模块。[0139]在一些示例实施例中,所述网络功能信息还包括所述第一网络功能的证书信息,所述第二装置被配置为实现连接到所述第一网络功能的另一服务通信代理,并且用于用所述第二签名更新所述消息的模块包括:用于至少基于所述第一签名和所述服务通信代理的私钥来生成所述第二签名的模块;以及将所述消息中的所述第一签名替换为所述第二签名的模块。[0140]在一些示例实施例中,消息还包括特定于所述第一网络功能的第三签名,并且其中第三装置被配置为实现所述第二网络功能。[0141]在一些示例实施例中,所述第一网络功能的证书信息包括以下至少之一:所述第一网络功能的客户端证书,或者使得能够获取所述第一网络设备的客户端证书或公钥的地址。[0142]在一些示例实施例中,所述网络功能信息还包括以下至少之一:所述第一网络功能的类型信息或与所述消息的传输有关的时间信息。[0143]在一些示例实施例中,所述第一网络功能的标识信息包括以下至少之一:所述第一网络功能的实例标识符、所述第一网络功能的集合标识符或所述第一网络功能的fqdn。[0144]在一些示例实施例中,能够执行方法700的第二装置可以包括用于执行方法700的各个步骤的模块。该模块可以以任何合适的形式实现。例如,该模块可以在电路或软件模块中实现。[0145]第二装置包括:用于基于网络功能信息生成签名的模块,该网络功能信息至少包括第一网络功能的标识信息,该签名特定于由第二装置实现的第一网络功能;用于生成从所述第一网络功能指向第二网络功能的消息的模块,该消息包括所述签名和所述网络功能信息;以及用于向所述第一装置发送所述消息的模块,该第一装置被配置为实现连接到所述第一网络功能的服务通信代理或实现所述第二网络功能。[0146]在一些示例实施例中,所述网络功能信息还包括以下至少之一:所述第一网络功能的证书信息、所述第一网络功能的类型信息或与所述消息的传输有关的时间信息。[0147]在一些示例实施例中,所述第一网络功能的证书信息包括以下至少之一:所述第一网络功能的客户端证书,或者使得能够获取所述第一网络设备的客户端证书或公钥的地址。[0148]在一些示例实施例中,所述第一网络功能的标识信息包括以下至少之一:所述第一网络功能的实例标识符、所述第一网络功能的集合标识符或所述第一网络功能的fqdn。[0149]在一些示例实施例中,能够执行方法800的第三装置可以包括用于执行方法800的各个步骤的模块。该模块可以以任何合适的形式实现。例如,该模块可以在电路或软件模块中实现。[0150]第三装置包括:用于从被配置为实现服务通信代理的第一装置接收从第一网络功能指向由第三装置实现的第二网络功能的消息的模块;用于验证所述消息中特定于所述服务通信代理的签名的模块,该消息还包括网络功能信息,该网络功能信息至少包括所述第一网络功能的标识信息;以及用于根据签名的成功验证从所述消息中获取所述第一网络功能的标识信息的模块。[0151]在一些示例实施例中,用于验证所述消息中特定于所述服务通信代理的签名的模块包括:用于使用所述服务通信代理的公钥来验证所述签名的模块。[0152]在一些示例实施例中,网络功能信息还包括所述第一网络功能的证书信息,并且用于获取所述标识信息的模块包括:用于根据所述签名的成功验证从所述消息中获取证书信息的模块;用于使用获取的证书信息来验证所述消息中的特定于所述第一网络功能的另一签名的模块;以及根据另一签名的成功验证从所述消息中获取所述第一网络功能的所述标识信息的模块。[0153]在一些示例实施例中,所述第一网络功能的证书信息包括以下至少之一:所述第一网络功能的客户端证书,或者使得能够获取所述第一网络设备的客户端证书或公钥的地址。[0154]在一些示例实施例中,所述网络功能信息还包括与所述消息的传输有关的时间信息,并且所述第三装置还包括:用于根据所述签名的成功验证至少部分地基于时间信息执行时间窗口的验证的模块;以及用于根据无效时间窗口的确定将失败响应发送给所述第一装置的模块。[0155]在一些示例实施例中,所述第一网络功能的标识信息包括以下至少之一:所述第一网络功能的实例标识符、所述第一网络功能的集合标识符或所述第一网络功能的fqdn。[0156]图9是适合于实现本公开的实施例的设备900的简化框图。可以提供设备900以实现通信设备,例如图1所示的scp130或140、接收nf110、或发送nf120。如图所示,设备900包括一个或多个处理器910、耦合到处理器910的一个或多个存储器920、以及耦合到处理器910的一个或多个通信模块940。[0157]通信模块940用于双向通信。通信模块940具有至少一个天线以促进通信。通信接口可以表示与其他网络元件通信所必需的任何接口。[0158]处理器910可以是适合于本地技术网络的任何类型,并且作为非限制性示例,可以包括以下的一个或多个:通用计算机、专用计算机、微处理器、数字信号处理器(dsp)和基于多核处理器架构的处理器。设备900可以具有多个处理器,例如专用集成电路芯片,其在时间上从属于与主处理器同步的时钟。[0159]存储器920可以包括一个或多个非易失性存储器和一个或多个易失性存储器。非易失性存储器的示例包括但不限于只读存储器(rom)924、电可编程只读存储器(eprom)、闪存、硬盘、光盘(cd)、数字视频盘(dvd)以及其他磁存储和/或光存储。易失性存储器的示例包括但不限于随机存取存储器(ram)922和在掉电持续时间内不会持续的其他易失性存储器。[0160]计算机程序930包括由相关联的处理器910执行的计算机可执行指令。程序930可以存储在rom920中。处理器910可以通过将程序930加载到ram920中来执行任何适当的动作和处理。[0161]可以借助于程序930来实现本公开的实施例,以使得设备900可以执行参考图6至图8所讨论的本公开的任何过程。本公开的实施例还可以通过硬件或通过软件和硬件的组合来实现。[0162]在一些实施例中,程序930可以有形地包含在计算机可读介质中,该计算机可读介质可被包括在设备900(诸如在存储器920中)或设备900可访问的其他存储设备中。设备900可以将程序930从计算机可读介质加载到ram922以便执行。计算机可读介质可以包括任何类型的有形非易失性存储设备,例如rom、eprom、闪存、硬盘、cd、dvd等。图10示出了cd或dvd形式的计算机可读介质1000的示例。计算机可读介质具有存储在其上的程序930。[0163]应当理解,未来的网络可以利用网络功能虚拟化(nfv),这是一种网络架构概念,其提出了将网络节点功能虚拟化为可在操作上连接或链接在一起以提供服务的“构建块(buildingblocks)”或实体的方法。虚拟化网络功能(vnf)可以包括一个或多个使用标准或通用类型服务器而不是定制硬件运行计算机程序代码的虚拟机。也可以利用云计算或数据存储。在无线电通信中,这可能意味着要至少部分地在可操作地耦合到分布式单元(du)(例如无线电头/节点)的中央/集中式单元(cu)(例如服务器、主机或节点)中执行节点操作。也可能节点操作将分布在多个服务器、节点或主机之间。还应该理解,核心网络操作和基站操作之间的劳动分布可以根据实现而变化。[0164]在一个实施例中,服务器可以生成虚拟网络,服务器通过该虚拟网络与分布式单元进行通信。通常,虚拟联网可涉及将硬件和软件网络资源以及网络功能组合到单个基于软件的管理实体即虚拟网络中的过程。这样的虚拟网络可以在服务器和无线电头/节点之间提供灵活的操作分布。实际上,可以在cu或du中执行任何数字信号处理任务,并且可以根据实现选择责任在cu和du之间转移的边界。[0165]因此,在一个实施例中,实现了cu‑du架构。在这种情况下,设备900可以被包括在可操作地(例如经由无线或有线网络)耦合到分布式单元(例如,远程无线电头/节点)的中央单元(例如,控制单元、边缘云服务器、服务器)中。即,中央单元(例如,边缘云服务器)和分布式单元可以是经由无线电路径或经由有线连接彼此通信的独立装置。替代地,它们可以在通过有线连接等进行通信的同一实体中。边缘云或边缘云服务器可以服务于多个分布式单元或无线电接入网络。在一个实施例中,所描述的过程中的至少一些可以由中央单元执行。在另一个实施例中,设备900可以替代地被包括在分布式单元中,并且所描述的过程中的至少一些可以由分布式单元执行。[0166]在一个实施例中,设备900的至少一些功能的执行可以在形成一个操作实体的两个物理上分离的设备(du和cu)之间共享。因此,可以看出该装置描绘了包括用于执行所描述的过程中的至少一些的一个或多个物理上分离的设备的操作实体。在一个实施例中,这样的cu‑du架构可以在cu和du之间提供灵活的操作分布。实践中,可以在cu或du中执行任何数字信号处理任务,并且可以根据实现选择责任在cu和du之间转移的边界。在一个实施例中,设备900控制过程的执行,而不管装置的位置以及过程/功能在何处执行。[0167]通常,本公开的各种实施例可以以硬件或专用电路、软件、逻辑或其任何组合来实现。一些方面可以以硬件来实现,而其他方面可以以可以由控制器、微处理器或其他计算设备执行的固件或软件来实现。尽管本公开的实施例的各个方面被图示和描述为框图、流程图或使用一些其他图形表示,但是应当理解,本文所述的框、装置、系统、技术或方法可以作为非限制性示例以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备或其某种组合来实现。[0168]本公开还提供了有形地存储在非暂时性计算机可读存储介质上的至少一个计算机程序产品。该计算机程序产品包括计算机可执行指令,例如程序模块中包括的那些,该指令在设备中在目标真实或虚拟处理器上执行,以执行以上参考图6‑8描述的方法600、700或800。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、库、对象、类、组件、数据结构等。程序模块的功能可以如在各个实施例中所需的那样在程序模块之间组合或分割。用于程序模块的机器可执行指令可以在本地或分布式设备内执行。在分布式设备中,程序模块可以位于本地和远程存储媒体中。[0169]用于执行本公开的方法的程序代码可以以一种或多种编程语言的任何组合来编写。可以将这些程序代码提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,以使得该程序代码在由该处理器或控制器执行时使流程图和/或框图中指定的功能/操作被实现。程序代码可以完全在机器上执行、部分在机器上作为独立软件包执行、部分在机器上并且部分在远程机器上执行、或者完全在远程机器或服务器上执行。[0170]在本公开的上下文中,计算机程序代码或相关数据可以由任何合适的载体来携带,以使设备、装置或处理器能够执行如上所述的各种处理和操作。载体的示例包括信号、计算机可读介质等。[0171]计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是例如但不限于电子、磁、光、电磁、红外或半导体系统、装置或设备、或者前述的任何合适的组合。计算机可读存储介质的更具体示例将包括以下内容:具有一条或多条电线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或闪存)、光纤、便携式光盘只读存储器(cd‑rom)、光学存储设备、磁存储设备或任何上述的适当组合。[0172]此外,尽管以特定顺序描绘了操作,但这不应理解为要求以所示的特定顺序或以连续的顺序执行这样的操作,或者执行所有示出的操作以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。同样地,尽管以上讨论中包含几个特定的实现细节,但是这些不应被解释为对本公开的范围的限制,而应被解释为对特定于特定实施例的特征的描述。在单独的实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也可以分别在多个实施例中或以任何合适的子组合来实现。[0173]尽管以特定于结构特征和/或方法动作的语言描述了本公开,但是应理解,所附权利要求书中定义的本公开不必限于上述特定特征或动作。而是,以上描述的特定特征和动作被公开为实现权利要求的示例形式。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
