[发明专利]用于核心网络域中的证书处理的技术

说明书

提供了一种移动通信网络的核心网络域中的网络存储库功能(NRF)，其中，NRF被配置为注册网络功能(NF)简档以用于NF发现，并且其中，NF证书已经被颁发给NF，每个NF证书包括相应NF的公钥和至少一个认证机构(CA)的至少一个签名。NRF被配置为从具有NF证书的注册NF接收简档信息，该简档信息包括注册NF的NF标识、注册NF的NF类型和至少一个CA的至少一个CA证书，该至少一个CA签名了被颁发给注册NF的NF证书。NRF还被配置为将所接收的简档信息存储在存储库中。

技术领域

本公开总体上涉及移动通信系统，并且具体地涉及移动通信网络的核心网络域。更详细地，本公开涉及提供核心网络域中的网络存储库功能和网络功能的装置、核心网络域系统、对应的方法和计算机程序产品。

背景技术

第3代合作伙伴计划(3GPP)正在开发针对第5代(5G)通信系统的技术规范(TS)。3GPP TS 23.501 V15.4.0(2018-12)定义了5G基于服务的架构(SBA)的架构方面。根据该SBA，网络功能(NF)使用基于服务的交互来消费来自其他NF的服务。对服务和生产它们的NF的发现由网络存储库功能(NRF)提供。

服务生产NF在NRF中注册、更新或取消注册它们的简档。服务消费NF通过向NRF查询提供给定类型服务的NF实例来发现由NF生产者实例提供的服务。NF可以订阅和取消订阅在NRF中注册的NF状态的改变。基于这种订阅，NRF将向NF通知其他NF的状态改变。

SBA安全机制在3GPP TS 33.501 V15.3.1中规定。例如，该文档的第13.1节定义了NF应支持具有服务器侧和客户端侧证书两者的传输层安全(TLS)。该TLS模式通常被称为双向TLS(mTLS)。

TLS使用包含公钥并由认证机构(CA)进行数字签名的X.509证书。CA具有证书，其可以由另一个CA进行签名。根CA是其证书未由任何其他CA签名的CA。证书链以根CA开始，包括所有中间CA(但不包括根CA)并以客户端或服务器证书结束，每个证书都相对于在前一个证书中编码的公钥被签名。

接收X.509证书的一方必须对其进行验证。验证意味着遍历证书链并验证所有证书签名。当所有签名都有效时，则认为该证书有效。

当服务消费者NF的证书被服务生产者NF成功验证时，服务生产者NF对服务消费者NF进行认证。然后，服务生产者NF需要对服务消费者NF进行授权，即检查服务消费者NF是否有权消费由服务生产者NF提供的服务。

根据TS 33.501，可以可选地使用基于令牌的授权。当不使用时，服务生产者NF应基于本地策略检查服务消费者NF的授权。

当使用mTLS时，必须对CA证书进行生命周期管理。大规模进行这种管理是复杂的任务，需要成本高昂的集成并引入复杂性。另一方面，当不使用基于令牌的授权并且授权基于本地策略时，需要在服务生产者NF中配置访问控制列表(ACL)或等效机制，并且在网络中实例化新的NF实例时，必须更新所有服务生产者NF的ACL，这也是复杂且成本高昂的。

发明内容

需要一种在核心网络域中提供对CA证书的高效处理的技术。

根据第一方面，提供了一种被配置为提供移动通信网络的核心网络域中的网络存储库功能NRF的装置，其中，NRF被配置为注册网络功能NF简档以用于NF发现，并且其中，NF证书已经被颁发给NF，每个NF证书包括相应NF的公钥和至少一个认证机构CA的至少一个签名。该装置被配置为从具有NF证书的注册NF接收简档信息，该简档信息包括注册NF的NF标识、注册NF的NF类型和至少一个CA的至少一个CA证书，该至少一个CA签名了被颁发给注册NF的NF证书。该装置还被配置为将所接收的简档信息存储在存储库中。