用于核心网络域中的证书处理的技术的制作方法

1.本公开总体上涉及移动通信系统，并且具体地涉及移动通信网络的核心网络域。更详细地，本公开涉及提供核心网络域中的网络存储库功能和网络功能的装置、核心网络域系统、对应的方法和计算机程序产品。


背景技术：

2.第3代合作伙伴计划(3gpp)正在开发针对第5代(5g)通信系统的技术规范(ts)。3gpp ts 23.501 v15.4.0(2018-12)定义了5g基于服务的架构(sba)的架构方面。根据该sba，网络功能(nf)使用基于服务的交互来消费来自其他nf的服务。对服务和生产它们的nf的发现由网络存储库功能(nrf)提供。
3.服务生产nf在nrf中注册、更新或取消注册它们的简档。服务消费nf通过向nrf查询提供给定类型服务的nf实例来发现由nf生产者实例提供的服务。nf可以订阅和取消订阅在nrf中注册的nf状态的改变。基于这种订阅，nrf将向nf通知其他nf的状态改变。
4.sba安全机制在3gpp ts 33.501 v15.3.1中规定。例如，该文档的第13.1节定义了nf应支持具有服务器侧和客户端侧证书两者的传输层安全(tls)。该tls模式通常被称为双向tls(mtls)。
5.tls使用包含公钥并由认证机构(ca)进行数字签名的x.509证书。ca具有证书，其可以由另一个ca进行签名。根ca是其证书未由任何其他ca签名的ca。证书链以根ca开始，包括所有中间ca(但不包括根ca)并以客户端或服务器证书结束，每个证书都相对于在前一个证书中编码的公钥被签名。
6.接收x.509证书的一方必须对其进行验证。验证意味着遍历证书链并验证所有证书签名。当所有签名都有效时，则认为该证书有效。
7.当服务消费者nf的证书被服务生产者nf成功验证时，服务生产者nf对服务消费者nf进行认证。然后，服务生产者nf需要对服务消费者nf进行授权，即检查服务消费者nf是否有权消费由服务生产者nf提供的服务。
8.根据ts 33.501，可以可选地使用基于令牌的授权。当不使用时，服务生产者nf应基于本地策略检查服务消费者nf的授权。
9.当使用mtls时，必须对ca证书进行生命周期管理。大规模进行这种管理是复杂的任务，需要成本高昂的集成并引入复杂性。另一方面，当不使用基于令牌的授权并且授权基于本地策略时，需要在服务生产者nf中配置访问控制列表(acl)或等效机制，并且在网络中实例化新的nf实例时，必须更新所有服务生产者nf的acl，这也是复杂且成本高昂的。


技术实现要素：

10.需要一种在核心网络域中提供对ca证书的高效处理的技术。
11.根据第一方面，提供了一种被配置为提供移动通信网络的核心网络域中的网络存储库功能nrf的装置，其中，nrf被配置为注册网络功能nf简档以用于nf发现，并且其中，nf
证书已经被颁发给nf，每个nf证书包括相应nf的公钥和至少一个认证机构ca的至少一个签名。该装置被配置为从具有nf证书的注册nf接收简档信息，该简档信息包括注册nf的nf标识、注册nf的nf类型和至少一个ca的至少一个ca证书，该至少一个ca签名了被颁发给注册nf的nf证书。该装置还被配置为将所接收的简档信息存储在存储库中。
12.例如，一些或所有nf的nf简档均可以通过包含一个或多个或所有ca证书的属性进行扩展，这些ca证书需要验证与对应nf简档相关联的nf的证书。验证可以具体地在服务消费者nf和服务生产者nf之间的相互握手过程期间发生。握手过程可以符合tls协议。
13.在一个变体中，被颁发给注册nf的nf证书还包括与注册nf的nf标识不同的nf标识符。在该变体中，所接收的简档信息还可以包括nf标识符。例如，一些或所有nf的nf简档均可以通过包含与对应nf简档相关联的nf的nf标识符的另外的属性进行扩展。在服务消费者nf和服务生产者nf之间的相互握手过程期间，nf标识符可用于验证目的。
14.例如，nf标识符可以是包括在nf证书的主题(subject)字段中的特定标识符。在一些情况下，nf标识符可以采用完全合格域名fqdn和所有人的安全生产标识框架spiffe标识符之一的形式。
15.与nf标识符相反，“常规”nf标识可以使nf(与包括该nf标识的nf简档相关联)在核心网络域中可发现或可区分。
16.该装置可以被配置为接收指示至少nf类型的发现请求。在这样的实现中，该装置还可以被配置为访问存储库以标识至少匹配所指示的nf类型的一个或多个nf简档并且被配置为发送包括来自该一个或多个匹配的nf简档的发现信息的发现响应。在一些情况下，发现信息至少包括针对相应nf简档存储的一个或多个ca证书。
17.该装置还可以被配置为从第一nf接收包括更新后的ca证书信息的更新请求。然后，该装置可以基于更新后的ca证书信息来更新第一nf的简档信息。具体地，该装置可以被配置为标识经由通知的订阅与第一nf相关联的一个或多个第二nf并且被配置为向一个或多个所标识的第二nf发送更新后的ca证书信息的至少一部分。
18.该装置还可以被配置为从第一nf接收包括更新后的nf标识符信息的更新请求。然后，该装置可以基于更新后的nf标识符信息来更新第一nf的简档信息。具体地，该装置可以被配置为标识经由通知的订阅与第一nf相关联的一个或多个第二nf并且被配置为向一个或多个所标识的第二nf发送更新后的nf标识符信息的至少一部分。
19.根据第二方面，提供了一种被配置为提供移动通信网络的核心网络域中的网络功能nf的装置，其中，nf证书已经被颁发给nf，该nf证书包括nf的公钥和至少一个认证机构ca的至少一个签名。第二方面的装置被配置为获得签名了被颁发给nf的nf证书的至少一个ca的至少一个ca证书，并向网络存储库功能nrf发送简档信息，该nrf被配置为注册nf简档以用于核心网络域中的nf发现，该简档信息包括注册nf的nf标识、注册nf的nf类型和至少一个ca证书。
20.被颁发给注册nf的nf证书还可以包括与注册nf的nf标识不同的nf标识符。所接收的简档信息还可以包括nf标识符，例如以属性(例如，除了定义至少一个ca证书的属性之外的属性)的形式。
21.第二方面的装置可以被配置为在与另一个nf的握手过程中向另一个nf发送nf证书。握手过程可以符合tls(例如，mtls)。
22.第二方面的装置可以被配置为向nrf发送指示至少nf类型的发现请求。该装置还可以被配置为从nrf接收发现响应，该发现响应包括来自至少匹配nf类型的一个或多个nf简档的发现信息，该发现信息包括针对相应nf简档存储的至少一个ca证书(以及可选地，相关联的nf标识符)。该装置可以将发现信息存储在存储装置中。
23.具体地，该装置还可以被配置为：从另一个nf接收针对该另一个nf颁发的nf证书，针对该另一个nf的发现信息先前已经从nrf接收到；从存储装置中读取包括在发现信息中的至少一个ca证书；以及使用从存储装置中读取的ca证书验证nf证书。nf证书可以是在与另一个nf的握手过程(例如，符合tls)的上下文中接收的。
24.第二方面的装置可以被配置为从所接收的nf证书中提取第一nf标识符，从简档信息中提取第二nf标识符，以及基于第二nf标识符来验证第一nf标识符。例如，可以验证第一nf标识符和第二nf标识符是相同的。
25.第二方面的装置可以被配置为从nrf接收针对nf的更新后的ca证书信息的至少一部分，该nf经由通知的订阅与接收nf相关联，并且针对该nf的发现信息先前已经被接收和存储。在这种情况下，该装置还可以被配置为基于所接收的更新后的ca证书信息来更新所存储的发现信息。可以针对更新后的nf标识符信息执行相同的过程。
26.第二方面的装置可以被配置为确定针对nf的更新后的ca证书信息并且向nrf发送包括针对nf的更新后的ca证书信息的更新消息。可以针对更新后的nf标识符信息执行相同的过程。
27.在一些实现中，第二方面的装置被配置作为服务消费者nf。在其他实现中，它被配置作为服务生成者nf。
28.还提供了一种核心网络系统，包括第一方面的装置(即，nrf)和第二方面的装置(即，nf)。
29.还提出了一种提供移动通信网络的核心网络域中的网络存储库功能nrf的方法，nrf被配置为注册网络功能nf简档以用于nf发现，其中，nf证书已经被颁发给nf，每个nf证书包括相应nf的公钥和至少一个认证机构ca的至少一个签名。该方法包括从具有nf证书的注册nf接收简档信息，该简档信息包括注册nf的nf标识、注册nf的nf类型和至少一个ca的至少一个ca证书，该至少一个ca签名了被颁发给注册nf的nf证书。该方法还包括将所接收的简档信息存储在存储库中。
30.上述方法可由第一方面的装置(即，nrf)执行。
31.此外，提出了一种提供移动通信网络的核心网络域中的网络功能nf的方法，其中，nf证书已经被颁发给nf，该nf证书包括nf的公钥和至少一个认证机构ca的至少一个签名。该方法包括获得签名了被颁发给nf的nf证书的至少一个ca的至少一个ca证书，并向网络存储库功能nrf发送简档信息，该nrf被配置为注册网络功能nf简档以用于核心网络域中的nf发现，该简档信息包括注册nf的nf标识、注册nf的nf类型和至少一个ca证书。
32.上述方法可由第二方面的装置(即，nf)执行。
33.还提供了一种包括程序代码部分在内的计算机程序产品，该程序代码部分被配置为在该程序代码部分由一个或多个处理器执行时执行本文提出的方法。计算机程序产品可以存储在计算机可读记录介质上或者可以被提供以经由网络连接下载。
通常表示具有专用nf标识(并且属于专用nf类型)的可识别nf实例。
49.图1所示的nf 107可以采用各种形式，例如用户平面功能(upf)107a、107b、107c。每个upf类型的nf 107a、107b、107c分别与终端设备104a、104b、104c之一相关联，并处理相关联的数据业务。应当理解，取决于网络配置，每个upf 107a、107b、107c原则上可以处理多个终端设备104a、104b、104c的数据业务。
50.nf 107a、107b、107c和其他nf 107d、107e可以在nrf 106中注册、更新或取消注册它们各自的nr简档并且在nrf 106处订阅和取消订阅被通知在nrf 106处注册的nf 107的状态改变。对于这些(和其他)过程，nrf 106在示例性5g实现中提供所谓的nnrf_nfmanagement服务(参见3gpp ts 29.510 v15.2.0(2018-12)的第5.2节)。此外，nf 107还可以向nrf 106查询以发现由其他nf 107提供的服务以及如何消费它们。对于这些过程，nrf 106在示例性5g实现中提供所谓的nnrf_nfdiscovery服务(参见ts 29.510的第5.3节)。
51.每个nf 107都与nf简档相关联。特定nf的nf简档定义了多个nf属性，例如特定nf 107的唯一标识及其类型(将通过例如由该nf提供的服务类型来指示)。nrf 106包括数据存储库106a，用于存储从nf 107接收的简档相关信息。每个nf 107还包括本地数据存储装置。
52.根据ts 33.501的第13.1节，nf 107应支持具有服务器侧和客户端侧nf证书二者的tls。如本文所理解的，服务生产者nf 107位于服务器侧，而服务消费者nf 107位于客户端侧。每个nf证书包括相应nf的公钥和至少一个ca的至少一个签名。
53.图2a和图2b示出了图1的nrf 106的两个实施例。在图2a所示的实施例中，nrf 106包括处理器202和耦接到处理器202的存储器204。nrf 106还包括可选的输入接口206和可选的输出接口208。存储器204存储控制处理器202的操作的程序代码。存储器204或不同的存储装置也存储数据存储库106b。
54.处理器202适于例如经由输入接口206并且从具有nf证书的注册nf接收简档信息，该简档信息包括注册nf的nf标识、注册nf的nf类型和至少一个ca的至少一个ca证书，该至少一个ca签名了被颁发给注册nf的nf证书。处理器202还被配置为将所接收的简档信息存储在如图1所示的数据存储库106a中。
55.图2b示出了以模块化配置实现nrf 106的实施例。如图2b所示，nrf 106包括接收模块210，该接收模块210被配置为从注册nf接收简档信息，该简档信息包括注册nf的nf标识、注册nf的nf类型和至少一个ca的至少一个ca证书，该至少一个ca签名了被颁发给注册nf的nf证书。nrf 106还包括存储模块212，该存储模块212被配置为将所接收的简档信息存储在数据存储库中。
56.图3a和图3b示出了图1的nf 107的两个实施例，其被配置为在nrf 106处注册其nf简档。在图3a所示的实施例中，nf 107包括处理器302和耦接到处理器302的存储器304。nf 107还包括可选的输入接口306和可选的输出接口308。存储器304存储控制处理器302的操作的程序代码。存储器304或不同的存储装置也可以存储针对nf 107自身的或从其他nf 107获得的ca证书相关信息。
57.nf 107的处理器302适于例如经由输入接口306获得至少一个ca的至少一个ca证书，该至少一个ca签名了被颁发给nf 107的nf证书。处理器302还适于例如经由输出接口308向nrf 106发送简档信息，nrf 106被配置为注册nf简档以用于核心网络域102中的nf发
现。发送的简档信息包括注册nf 107的nf标识、注册nf 107的nf类型和至少一个ca证书。
58.图3b示出了以模块化配置实现nf 107的实施例。如图3b所示，nf 107包括获得模块310，其被配置为获得至少一个ca的至少一个ca证书，该至少一个ca签名了被颁发给nf 107的nf证书。nf 107还包括发送模块312，其被配置为向nrf 106发送简档信息，nrf 106被配置为注册nf简档以用于核心网络域102中的nf发现。简档信息包括注册nf 107的nf标识、注册nf 107的nf类型和至少一个ca证书。
59.图4示出了本公开的方法实施例的两个流程图400、410。流程图400的方法实施例可以由图3a和图3b的任何nf实施例来执行。流程图410的方法实施例可以由图2a和图2b的任何nrf实施例来执行。
60.流程图400中所示的方法包括步骤402：由注册nf 107获得至少一个ca的至少一个ca证书，该至少一个ca签名了被颁发给注册nf 107的nf证书。至少一个ca证书已经由注册nf 107获得作为nf配置的一部分。尽管该配置是供应商特定的，但通常通用配置管理(cm)接口(例如，netconf)用于此目的。
61.在步骤404中，注册nf 107向nrf 106发送简档信息，以便其nf简档可以在那里注册以用于核心网络域102中的nf发现。简档信息包括(至少)注册nf 107的nf标识、注册nf 107的nf类型以及在步骤402中获得的至少一个ca证书。
62.现在转到流程图410，nrf 106在步骤406中从注册nf 107接收在步骤404中发送的简档信息。如上所述，简档信息包括(至少)注册nf 107的nf标识、注册nf 107的nf类型、以及至少一个ca的至少一个ca证书，该至少一个ca签名了被颁发给注册nf 107的nf证书。然后，在步骤408中，nrf 106将所接收的简档信息存储在其数据存储库106a中。
63.在下文中，将参考图5a至图5d中所示的信令实施例更详细地描述上述一般实施例。这些信令图基于特别是在ts 29.510中定义的示例性5g信令实现。示例性传统nf简档的内容在ts 29.510的第6.1.6.2.2节和6.1.6.2.3节中定义，并且将在以下实施例中通过以下两个属性之一或两者进行扩展：
[0064][0065]
ca证书属性是可选属性，其包含多达n个ca证书的列表，ca证书应被用于验证nf 107所使用的证书。该属性的格式是字符串数组。每个字符串可以包括一个ca证书的内容。
[0066]
在一个变体中，每个字符串表示pem(隐私增强电子邮件)base64编码的der(区分编码规则)证书，包含在
“‑‑‑‑‑
begin certificate
‑‑‑‑‑”
和
“‑‑‑‑‑
end certificate
‑‑‑‑‑”
之间。其他编码格式对于ca证书属性是可能的，只要它们与通常用于nf简档的json(javascript对象表示)编码兼容。
[0067]
标识符属性是可选属性，其包含用于在其ca证书中标识nf实例的标识符。格式是字符串。需要注意的是，该标识符属性是与传统nf简档中的nfinstanceid(nf实例id)属性或serviceinstanceid(服务实例id)属性不同并且是除此之外被提供的属性。
[0068]
在一种变体中，标识符属性是fqdn。fqdn可以按照3gpp ts 23.003 v15.6.0(2018-12)的第28.2节构建。fqdn的示例是：
[0069]
《nf-instance-id》.《nf-instance-type》.5gc.mnc《mnc》.mcc《mcc》.3gppnetwork.org
[0070]
其中：
[0071]-《nf-instance-id》是nf实例的唯一标识符。公共陆地移动网络(plmn)中的nf类型不应存在两个相同标识符
[0072]-《nf-instance-type》是nf类型，例如，统一数据管理(udm)
[0073]-《mnc》和《mcc》对应于运营商的plmn的移动网络代码(mnc)和移动国家代码(mcc)。
[0074]
在另一个变体中，标识符属性是spiffe标识符。示例spiffe标识符如下所示：
[0075]
spiffe：//5gc.mnc《mnc》.mcc《mcc》.3gppnetwork.org/《nf-instance-type》/《nf-instance-id》
[0076]
其中：
[0077]-《nf-instance-id》是nf实例的唯一标识符。plmn中的nf类型不应存在两个相同标识符
[0078]-《nf-instance-type》是nf类型，例如udm
[0079]-《mnc》和《mcc》对应于运营商的plmn的mnc和mcc。
[0080]
在又一个变体中，标识符属性是不透明值。不透明的标识符属性的示例如下所示：
[0081]
36f01027-4d6f-45e6-8e60-1e14d464344e
[0082]
图5a描绘了在nrf 106处注册图1所示的任何nf 107的上下文中的信令实施例。图5a中描绘的nf 107可以是服务生产者或服务消费者，或者可以取决于普遍要求同时担任这两种角色。
[0083]
作为先决条件，假设例如在配置期间nf 107已经被预配置有根ca证书和可选的一个或多个已用于签名nf 107的证书的中间ca证书。该预配置可能已经在图4所示的步骤s402的上下文中发生。
[0084]
图5a的信令实施例包括以下步骤：
[0085]
在初始步骤1100中，nf 107创建其nf简档。nf简档尤其包括其nf类型(例如，udr)、其唯一nf标识(例如，nfinstanceid或serviceinstanceid)以及以下属性中的至少一个：
[0086]-ca证书属性：包含验证nf 107的证书所需的根和/或中间ca证书(例如，如上所述编码的)。
[0087]-标识符属性：包含nf标识符(例如，如上所述)。在一些变体中，nf标识符与nf 107的证书的主题名称或主题备用名称字段的值匹配。
[0088]
在一些实现中，可以省略标识符属性。在其他实现中，可以省略ca证书属性。在这些属性之一被省略的情况下，不能执行某些安全过程(如下面参考图5c所讨论的)。因此，为了最大的安全性，可以默认使用这两个属性。
[0089]
在步骤1101中，nf 107通过发送nnrf_nfmanagement_nfregister请求在nrf 106中注册自己(参见图4中的步骤s404)。该请求包括先前在步骤1100中创建的nf简档。
[0090]
nrf 106接收nf简档(参见图4中的步骤s406)并将所接收的nf简档存储在其数据存储库106a中(参见图4中的步骤s408)。
[0091]
然后，在步骤1102中，nrf 106向nf 107返回nnrf_nfmanagement_nfregister响应。该响应向nf 107通知nf简档已由nf 106正确接收和存储。
[0092]
图5b描绘了在由担任服务消费者角色的nf 107进行的nf发现的上下文中的信令实施例。在下文中，将示例性地假设图1的nf 107d充当服务消费者，而nf 107e充当服务生产者。如上文参考图5a所解释的，nrf 106将能够针对其他nf 107充当服务生产者的所有nf 107的nf简档(具有相关联的nf类型和ca证书)存储在其数据存储库106a中。
[0093]
在步骤1200中，服务消费者nf 107d确定它需要与之交互的一个或多个nf类型(即，服务类型)，并且对于它们中的每一个重复步骤1201到1205。
[0094]
在步骤1201中，服务消费者nf 107d向nrf 107发送nnrf_nfdiscovery请求。该请求至少指示特定的nf类型作为选择标准。在一些情况下，请求可以包括一个或多个另外的选择标准，或其他信息。
[0095]
然后，在步骤1202中，nrf 106查阅其数据存储库106a以用于匹配一个或多个服务生产者nf 107e的nf简档并返回nnrf_nfdiscovery响应。该响应包含与步骤1201中指示的一个或多个标准匹配的nf简档。在步骤1202中返回的nf简档尤其可以包括相应的ca证书和标识符属性。以这种方式，服务消费者nf 107d接收在nrf 106的数据存储库106a中为每个服务生产者nf 107e存储的一个或多个ca证书以供将来使用。
[0096]
服务消费者nf 107d在步骤1203中处理所接收的nf简档。对于每个nf简档，服务消费者nf 107d：
[0097]-提取ca证书属性的内容，并且对于每个ca证书，将所提取的内容存储在tls实现的安全注册表中；以及
[0098]-提取标识符属性的内容并将其存储在内部(通常与从ca证书属性提取的内容分开)。
[0099]
在进一步的步骤1204中，服务消费者nf 107d向nrf 106发送(可选的)nnrf_nfmanagement_nfstatussubscribe请求。在该订阅请求中，服务消费者nf 107d指示nf类型，以便接收在步骤1202中已经获得nf简档的nf 107e的状态的改变，并且学习与所指示的nf类型匹配的新的nf简档。
[0100]
在步骤1205中，nrf 106处理订阅请求并返回nnrf_nfmanagement_nfstatussubscribe响应。订阅响应向服务消费者nf 107d通知订阅请求已被正确接收和处理。
[0101]
在图5b所示的信令过程结束时，服务消费者nf 107d具有它可能需要从其消费服务的所有服务生产者nf 107e的所有nf标识、ca证书和nf标识符。相同的信令过程可以由服务生产者nf 107e执行，这次指示服务生产者nf 107e将向其提供服务的nf类型。在对应的信令过程结束时，服务生产者nf 107e具有将消费其服务的所有服务消费者nf 107d的所有nf标识、ca证书和nf标识符。
[0102]
一些nf 107可以同时具有服务消费者和服务生产者角色，例如，udm充当针对认证
服务器功能(ausf)的服务生产者，并且充当针对统一数据存储库(udr)的消费者。在这种情况下，图5b所示的信令过程可以由给定的nf 107执行两次(一次作为服务消费者，一次作为服务生产者)。
[0103]
图5c描绘了在由服务消费者nf 107d相对于服务生产者nf 107e进行的nf服务调用的上下文中的信令实施例。服务生产者nf 107e先前已由服务消费者nf 107d使用发现/订阅信令发现，如图5b所示。
[0104]
在步骤1300中，服务消费者nf 107d向服务生产者nf 107e发起超文本传输协议2(http/2)连接。该连接用mtls保护，因此tls握手过程开始(参见虚线框)。
[0105]
在步骤1301中，服务消费者nf 107d向服务生产者nf 107e发送客户端问候消息，并且在步骤1302中，服务生产者nf 107e向服务消费者nf 107e发送服务器问候消息，包括服务生产者nf 107e的证书(图5c中的“服务器证书”)等。
[0106]
然后，在步骤1303中，服务消费者nf 107d验证由服务生产nf 107e提供的服务器证书。在该上下文中，tls实现访问安全注册表以获取在图5b的步骤1203中为服务生产者nf 107e存储的一个或多个ca证书。这样的验证是根据x.509协议执行的，通常通过从根ca证书经过中间ca证书到nf证书遍历证书链并验证所有证书签名，并且本文中将不更详细的描述。下面将假设验证已成功，因为证书链中的所有签名都可以成功地被验证。
[0107]
在成功验证之后，服务消费者nf 107d在步骤1304中向服务生产者nf 107e发送消息。该消息包括服务消费者nf 107d的证书(图5c中的“客户端证书”)等。
[0108]
在步骤1305中，服务生产者nf 107e(成功地)验证由服务消费者nf 107d提供的客户端证书。为此，tls实现访问安全注册表以获取在图5b的步骤1203中为服务消费者nf 107d存储的一个或多个ca证书。服务生产者nf 107e存储客户端证书细节以供以后使用。
[0109]
在步骤1306中，服务生产者nf 107e向服务消费者nf 107d发送服务器完成消息并终止tls握手阶段。从这一刻起，http/2连接被保护，并且mtls认证已成功完成。
[0110]
在步骤1307中，服务消费者nf 107d向服务生产nf 107e发送nf服务请求以消费其服务之一。
[0111]
在步骤1308中，服务生产者nf 107e在启用其服务的消费之前授权服务消费者nf 107d。为此，服务生产者nf 107e：
[0112]-分别从在步骤1304和1305中接收和存储的客户端证书中提取主题名称和主题备用名称字段；以及
[0113]-在消费其服务的nf类型的nf简档(例如，如先前在图5b所示的发现信令期间从nrf 106接收的)上进行迭代并将每个nf简档中的标识符属性与客户端证书中的主题名称或主题备用名称字段相匹配
[0114]
如果找到匹配，则服务消费者nf 107d已被成功授权，并且服务生产者nf 107e在步骤1309中返回服务调用响应。另一方面，如果没有找到匹配，则服务消费者nf 107d未被授权，并且服务生产者nf 107e在步骤1310中返回错误响应。该错误消息指示在步骤1307中接收的服务请求未被授权。
[0115]
应当理解，步骤1301到1306以及步骤1307到1309分别基于新的ca证书属性和新的标识符属性。在仅实现这些属性中的一个的情况下，与传统实现相比，将仍然存在实现或安全益处。
[0116]
图5d描绘了在更新ca证书(例如，因为它们到期)的上下文中的信令实施例，其属于生命周期管理(lcm)。如上面参考图5a和图5b所讨论的，需要更新的ca证书先前已经在核心网络域102中传送。每个nf 107将应用相同的信令程序，而与其作为服务消费者或服务生产者的角色无关。作为图5d中所示的信令过程的先决条件，nf 107已被预配置有至少一个更新的或新的根和/或中间ca证书。
[0117]
下面将假设由于lcm操作，必须为例如服务生产者nf 107e更新ca证书。因此，服务生产者nf 107e在步骤1400中使用ca证书属性的新值更新其nf简档。
[0118]
在步骤1401中，服务生产者nf 107e向nrf 106发送nfupdate请求。该请求指示ca证书属性的新值，可能具有已改变的附加nf简档属性。在一些实现中，发送完整的nf简档，在其他实现中，仅发送已经改变的属性的值。
[0119]
在步骤1402中，nrf 106将更新后的nf简档存储在数据存储库106a中并且向服务生产nf 107e返回nfupdate响应。
[0120]
在步骤1403中，nrf 106确定对以下改变具有有效订阅的所有服务消费者nf 107d：在步骤1402中发送请求消息的特定服务生产者nf 107e的改变，或通常对在步骤1402中发送请求消息的特定服务生产者nf 107e所属的服务生产者nf类型的改变。
[0121]
然后，对于在步骤1403中确定的每个服务消费者nf 107d，nrf 106在步骤1404中发送nfstatusnotify请求。该请求包括在步骤1401中接收的修改后的ca证书属性并指示与其相关联的服务生产者nf 107e的标识符属性。
[0122]
在步骤1405中，特定服务消费者nf 107d接收请求，并向nrf 106返回nfstatusnotify响应。该响应确认请求的正确接收。
[0123]
此外，在步骤1406中，服务消费者nf 107d从在步骤1405中接收的消息中提取ca证书属性的内容并将它们存储在tls实现的安全注册表中。
[0124]
在图5d所示的信令过程结束时，每个相关的服务消费者nf 107d更新了其为发起该过程的服务生产者nf 107e存储的ca证书。在另一个方向，服务消费者nf 107d也更新它们各自的ca证书属性，并且服务生产者nf 107e从nrf 106接收对应的更新通知并相应地更新它们各自的tls实现的安全注册表。相同的信令过程适用于服务消费者nf 107d的nf简档的标识符属性的改变。
[0125]
根据图5a至图5d已变得明显的是，使用ca证书和标识符属性之一或两者扩展nf简档导致对传统信令过程的各种修改。这些修改包括：具有ca证书和/或标识符属性的针对nf 107的nf简档的创建(图5a中的步骤1100和图5d中的步骤1400)；ca证书属性中包含的ca证书在tls实现的安全注册表中的存储；以及标识符属性在内部的存储(图5b中的步骤1203和图5d中的步骤1406)；nf简档中的标识符属性与客户端证书的主题名称和/或主题备用名称字段的查找和匹配(图5c中的步骤1308)等。
[0126]
如将理解的，如果并未小心地完成，则在以上实施例的上下文中发送证书和nf标识符可能暴露安全挑战。然而，nf 107和nrf 106之间的连接使用mtls进行保护，因此在注册、发现和通知信令期间交换的ca证书和nf标识符被保护免受潜在攻击者的窃听或篡改。此外，nrf 106被认为是受信任的，因此应以其中包含的nf简档不能被潜在的攻击者泄露或篡改的方式实现。
[0127]
本文提出的技术有助于分发验证所使用的证书所需的加密材料(ca证书)，例如，
在使用mtls保护的连接中。它还提供了一种基于本地策略的简单授权方法(当不使用基于令牌的授权时)，并且通常不需要在不同nf上的配置。因此，促进5g或类似系统的操作，实现轻松调整并降低由于人工干预和配置错误而导致的错误概率。
[0128]
应当理解，已经参考可以在许多方面变化的示例性实施例描述了本公开。因此，本发明仅由所附权利要求来限定。