管理端到端数据保护的制作方法

1.本文公开的主题总体上涉及无线通信，并且更具体地涉及提供使用启用dlt的验证来管理端到端数据保护。


背景技术：

2.在此定义以下缩写，其中至少一些在以下描述中被引用：第三代合作伙伴计划(“3gpp”)、第五代系统(“5gs”)、认证、授权和计费(“aaa”)、应用功能(“af”)、自动导引车辆(“agv”)、接入和移动性管理功能(“amf”)、反洗钱(“aml”)、肯定应答(“ack”)、应用编程接口(“api”)、接入层(“as”)、应用服务提供商(“asp”)、基站(“bs”)、核心网络(“cn”)、控制平面(“cp”)、数据网络(“dn”)、去中心化标识符(“did”)、数字标识符(“数字id”)、下行链路(“dl”)、分布式账本技术(“dlt”)、dn名称(“dnn”)、分布式事务验证网络(“dtvn”)、边缘应用服务器(“eas”)、边缘计算服务提供商(“ecsp”)、边缘数据网络(“edn”)、边缘使能器客户端(“eec”)、边缘使能器服务器(“ees”)、演进型节点b(“enb”)、演进型分组核心(“epc”)、未来工厂(“ff”)、ff应用使能器(“fae”)、fae客户端(“fae-c”)、fae服务器(“fae-s”)、完全合格域名(“fqdn”，也被称为“绝对域名”)、新一代(即，5g)节点b(“gnb”)、通用分组无线电服务(“gprs”)、通用公共服务标识符(“gpsi”)、全球移动通信系统(“gsm”)、归属订户服务器(“hss”)、物联网(“iot”)、身份管理(“im”)、了解你的客户(“kym”)、长期演进(“lte”)、移动边缘计算(“mec”)、大规模iot(“miot”)、移动性管理实体(“mme”)、移动网络运营商(“mno”)、否定应答(“nack”)或(“nak”)、新无线电(“nr”，5g无线电接入技术；也称为“5g nr”)、非接入层(“nas”)、非公共网络(“npn”)、网络切片选择辅助信息(“nssai”)、原始设备制造商(“oem”)、操作系统标识符(“osid”)、空中下载(“ota”)、分组数据单元(“pdu”，与“pdu会话”相连使用)、部分合格域名(“pqdn”，也被称为“相对域名”)、策略控制功能(“pcf”)、公共陆地移动网络(“plmn”)、体验质量(“qoe”)、服务质量(“qos”)、无线电接入网络(“ran”)、服务使能器架构层(“seal”)、会话管理功能(“smf”)、服务提供商(“sp”)、单网络切片选择辅助信息(“s-nssai”)、自主身份(“ssi”)、订阅隐藏标识符(“suci”)、订阅永久标识符(“supi”)、时间敏感联网(“tsn”)、信任服务提供商(“tsp”)、车辆对一切(“v2x”)、车辆对基础设施(“v2i”)、车辆对车辆(“v2v”)、v2x应用使能器(“vae”)、vae客户端(“vae-c”)、vae服务器(“vae-s”)、统一数据管理(“udm”)、用户数据储存库(“udr”)、用户实体/设备(移动终端)(“ue”)、上行链路(“ul”)、用户平面(“up”)、用户平面功能(“upf”)、通用移动电信系统(“umts”)、垂直应用层(“val”)和全球微波接入互操作性(“wimax”)。
3.某些无线通信系统支持使用分布式账本技术(“dlt”)的垂直应用。存在三种类型的dlt：公共dlt(也称为无许可账本)、联盟dlt和私有dlt(也称为许可账本)。dlt的关键概念是1)使用在dlt网络处的所有节点上可用的共享账本，2)智能合约，其是用于实现微事务的自动执行的事务协议，以及3)通过在启用dlt的节点当中进行多数投票来验证事务的共识。


技术实现要素：

4.公开了用于使用启用dlt的验证来管理端到端数据保护的过程。用于使用启用dlt的验证来管理端到端数据保护的可信应用实体(例如，中间件)的第一方法包括：从应用服务器接收用于管理用于至少一个服务的e2e数据保护的管理要求；以及响应于接收到该管理要求，获得用于至少一个服务的至少一个客户端设备的至少一个数字标识符(“dig-id”)。第一方法包括利用dtvn验证至少一个dig-id。在一个实施例中，dtvn包括tsp。在另一实施例中，dtvn包括dlt网络，诸如区块链网络。
5.第一方法包括向移动通信网络(例如，plmn、npn、mno、cn)发送请求，该请求提供至少一个经验证的dig-id(用于至少一个iot设备)。在这样的实施例中，至少一个经验证的dig-id允许至少一个客户端设备在移动通信网络(例如，使能器为此事务已经挑选的网络)中的服务供应。第一方法包括向至少一个客户端设备(具有经验证的数字标识符)发送触发事件以使用至少一个经验证的dig-id连接到移动通信网络。
6.用于使用启用dlt的验证来管理端到端数据保护的可信应用实体(例如，中间件)的第二方法包括基于接受的用户平面事务来接收用于针对至少一个客户端设备的验证的用户平面数据。第二方法包括利用dtvn验证用户平面数据，并且从dtvn接收验证结果。第二方法包括基于成功的验证结果和/或经验证的分布式账本将用户平面数据发送到至少一个客户端设备。
附图说明
7.将通过参考在附图中示出的特定实施例来呈现对以上简要描述的实施例的更具体的描述。理解这些附图仅描绘了一些实施例并且因此不应被认为是对范围的限制，将通过使用附图以附加的特殊性和细节来描述和解释实施例，在附图中：
8.图1是图示用于使用启用dlt的验证来管理端到端数据保护的无线通信系统的一个实施例的示意性框图；
9.图2是图示用于使用启用dlt的验证来管理端到端数据保护的网络架构和信令流的过程的一个实施例的图；
10.图3a是图示用于针对通过使能器层的注册支持的过程的一个实施例的信令流的图；
11.图3b是图3a中的过程的延续；
12.图4是图示用于针对启用中间件的用户平面保护的过程的一个实施例的信令流的图；
13.图5是图示可以用于使用启用dlt的验证来管理端到端数据保护的用户设备装置的一个实施例的图；
14.图6是图示可以用于使用启用dlt的验证来管理端到端数据保护的网络设备装置的一个实施例的图；以及
15.图7是图示可以用于使用启用dlt的验证来管理端到端数据保护的方法的一个实施例的流程图。
具体实施方式
16.如本领域技术人员将理解的，实施例的各方面可以被体现为系统、装置、方法或程序产品。因此，实施例可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)或组合软件和硬件方面的实施例的形式。
17.例如，所公开的实施例可以被实现为硬件电路，包括定制的超大规模集成(“vlsi”)电路或门阵列、现成的半导体，诸如逻辑芯片、晶体管或其他分立的组件。所公开的实施例也可以在可编程硬件设备中实现，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等。作为另一示例，所公开的实施例可以包括可执行代码的一个或多个物理块或逻辑块，其可以例如被组织为对象、过程或函数。
18.此外，实施例可以采取体现在一个或多个计算机可读存储设备中的程序产品的形式，该一个或多个计算机可读存储设备存储机器可读代码、计算机可读代码和/或程序代码，以下称为代码。存储设备可以是有形的、非暂时性的和/或非传输的。存储设备可以不体现信号。在某个实施例中，存储设备仅采用信号用于接入代码。
19.可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是，例如，但不限于电子、磁、光、电磁、红外、全息、微机械或半导体系统、装置或设备、或前述的任何适当的组合。
20.存储设备的更具体示例(非详尽列表)将包括以下：具有一个或多个电线的电气连接、便携式计算机软盘、硬盘、随机存取存储器(“ram”)、只读存储器(“rom”)、可擦除可编程只读存储器(“eprom”或闪存)、便携式致密盘只读存储器(“cd-rom”)、光存储设备、磁存储设备、或前述的任何适当的组合。在本文档的上下文中，计算机可读存储介质可以是能够包含或存储用于由指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用的程序的任何有形介质。
21.用于执行实施例的操作的代码可以是任意数量的行，并且可以用包括诸如python、ruby、java、smalltalk、c++等的面向对象的编程语言、和诸如“c”编程语言的传统过程编程语言、和/或诸如汇编语言的机器语言中的一种或多种编程语言的任意组合来编写。代码可以完全在用户的计算机上、部分在用户的计算机上、作为独立软件包、部分在用户的计算机上且部分在远程计算机上或完全在远程计算机或服务器上执行。在后一种情况下，远程计算机可以通过包括局域网(“lan”)或广域网(“wan”)的任何类型的网络连接到用户的计算机，或者可以连接到外部计算机(例如，通过使用互联网服务提供商的互联网)。
22.贯穿本说明书对“一个实施例”、“实施例”或类似语言的引用意指结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此，除非另有明确说明，否则贯穿本说明书的短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不一定都指代相同的实施例，而是意指“一个或多个但不是所有实施例”。除非另有明确说明，否则术语“包括”、“包含”、“具有”及其变形意指“包括但不限于”。除非另有明确说明，否则列举的项的列表并不暗示任何或所有项是相互排斥的。除非另有明确说明，否则术语“一个”、“一”和“该”也指“一个或多个”。
23.如本文所使用的，具有“和/或”连词的列表包括列表中的任何单个项或列表中的项的组合。例如，a、b和/或c的列表包括仅a、仅b、仅c、a和b的组合、b和c的组合、a和c的组合
或a、b和c的组合。如本文所使用的，使用术语“...的一个或多个”的列表包括列表中的任何单个项或列表中的项的组合。例如，a、b和c的一个或多个包括仅a、仅b、仅c、a和b的组合、b和c的组合、a和c的组合或a、b和c的组合。如本文所使用的，使用术语“...中的一个”的列表包括列表中的任何单个项中的一个且仅一个。例如，“a、b和c中的一个”包括仅a、仅b或仅c并且不包括a、b和c的组合。如本文所使用的，“选自由a、b和c组成的组的成员”包括a、b或c中的一个且仅一个，并且不包括a、b和c的组合。如本文所使用的，“选自由a、b和c及其组合组成的组的成员”包括仅a、仅b、仅c、a和b的组合、b和c的组合、a和c的组合或a、b和c的组合。
24.此外，实施例的描述的特征、结构或特性可以以任何适当的方式组合。在下面的描述中，提供了许多具体细节，诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例，以提供对实施例的透彻理解。然而，相关领域的技术人员将认识到，实施例可以在没有这些具体细节的一个或多个的情况下或者利用其他方法、组件、材料等来实践。在其他实例中，未详细示出或描述众所周知的结构、材料或操作以避免模糊实施例的各方面。
25.下面参考根据实施例的方法、装置、系统和程序产品的示意流程图和/或示意框图来描述实施例的各方面。将理解，示意流程图和/或示意框图中的各个框以及示意流程图和/或示意框图中的框的组合都能够通过代码来实现。该代码可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器，使得通过计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图中指定的功能/动作的装置。
26.代码还可以被存储在存储设备中，该存储设备能够引导计算机、其他可编程数据处理装置或其他设备以特定方式运行，使得存储在存储设备中的指令产生包括实现流程图和/或框图中指定的功能/动作的指令的制品。
27.代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上，以使一系列操作步骤在计算机、其他可编程装置或其他设备上执行，从而产生计算机实现的过程，使得在计算机或其他可编程装置上执行的代码提供用于实现流程图和/或框图中指定的功能/动作的过程。
28.附图中的流程图和/或框图示出了根据各种实施例的装置、系统、方法和程序产品的可能实施方式的架构、功能和操作。在这点上，流程图和/或框图中的每个框可以表示模块、段或代码的一部分，其包括用于实现指定逻辑功能的代码的一个或多个可执行指令。
29.还应注意，在一些替代实施方式中，框中标注的功能可以不按图中标注的顺序出现。例如，取决于所涉及的功能，连续示出的两个框实际上可以基本上同时执行，或者这些框有时可以以相反的顺序执行。可以设想到在功能、逻辑或效果上与示出的图的一个或多个框或其部分等效的其他步骤和方法。
30.尽管在流程图和/或框图中可以采用各种箭头类型和线类型，但它们不被理解为限制对应实施例的范围。实际上，一些箭头或其他连接器可以用于仅指示描绘的实施例的逻辑流程。例如，箭头可以指示描绘的实施例的列举步骤之间的未指定持续时间的等待或监测时段。还将注意，框图和/或流程图的每个框以及框图和/或流程图中的框的组合能够由执行指定功能或动作的基于专用硬件的系统或专用硬件与代码的组合来实现。
31.每个图中的元件的描述可以参考前面的附图的元件。在所有附图中，相同的标号指代相同的元件，包括相同元件的替代实施例。
32.通常，本公开描述了用于使用启用dlt的验证来管理端到端数据保护的系统、方法和装置。本文公开了用于使垂直设备(例如，iot设备)能够注册或机载(onboard)到安全且可靠的网络以执行可靠的固件更新和关键操作(例如，启用dlt的事务)的机制/技术。
33.区块链/分布式账本技术(“dlt”)是增强垂直应用的有前景的技术，并且是5g网络上的应用层中的重要组件。可以受益于使用分布式账本的一些垂直行业涉及：财务(例如，id验证(kyc/aml)、财务管理、欺诈风险减少、支付和p2p事务以及资金)；医疗保健(例如，医疗保健相关的敏感数据/记录收集和以安全方式共享)；商业/工业iot(例如，多方数据交换、物流协调、自动支付和iot设备-诸如agv/机器人之间的合同)；以及汽车(自动驾驶汽车可以在没有人为干预的情况下进行一系列事务(例如，收费支付、固件更新、停车)。
34.如本文所使用的，dlt被定义为由多个参与者跨多个节点管理的去中心化数据库。区块链是一种dlt，其中事务用散列记录。事务被表示为与先前事务的散列链接的区块(因此称为区块链)。还存在非区块链类型的dlt，诸如使用拓扑排序以树状方式操作的定向非循环图(dag)。虽然以下对dlt网络的描述可以使用区块链网络作为示例实施方式，但是本文描述的技术也应用非区块链分布式账本技术。
35.存在三种类型的区块链：公共区块链(也称为无许可区块链)、联盟区块链和私有区块链(也称为许可区块链)。区块链的关键概念是1)使用在区块链网络处的所有节点上可用的共享账户，2)智能合约，其是实现微事务的自动执行的事务协议，以及3)通过在启用dlt的节点当中进行多数投票来验证事务的共识。
36.当前，dlt/区块链是接入不可知的，这意味着事务在应用层并且对底层网络透明。然而，随着与5g网络的垂直集成以及对通过5g系统的端到端数据保护和事务优化的需求，存在通信部分与应用层之间的互通对于确保满足端到端安全要求至关重要的区域。
37.更具体地，对于这些行业，一些关键应用可能需要通信和应用层之间的联合互通。示例包括但不限于：
38.数据不可篡改：诸如供应链财务和保险的垂直行业可能对数据完整性和可追溯性、对于农业保险的环境数据(例如，温度和风速)以及对于库存融资的仓库数据(例如，货物的数量和重量)具有严格要求。这些服务需要保证数据不可篡改和数据端到端可追溯性；并且当5g用于通信时，这将对5g域(ran、传送、核心网)上的事务处置施加新的要求。
39.应用凭证：第三方身份管理系统能够在任何地方发布可验证的防篡改的数字证书，而不揭示实际身份。5g可以提供基于工作流/数据/资产的关联/提供/安全地递送凭证的手段。
40.去中心化工作流：基于区块链的智能合约，行业应用可以执行去中心化工作流，充分利用(leveraging)5g网络的分布式边缘。
41.去中心化身份：具有自控身份管理的数百万个工业设备应当能够经由5g网络执行事务。为了安全地注册/机载以及供应，通过5gs的服务将需要高效的身份转变(隐藏空中下载用户的真实身份，但同时允许mno意识到要被订阅以用于计费和安全目的的用户的真实身份)。
42.去中心化标识符(“did”)是实现可验证的去中心化数字身份的新类型的标识符。
did识别did的控制器决定其识别的任何主题(例如，人、组织、事务、数据模型、抽象实体等)。与典型的、联合标识符相比，did已经被设计成使得它们可以与集中式注册、身份提供商和证书授权机构解耦。具体地，虽然可以使用其他方来帮助使能够发现与did相关的信息，但是该设计使did的控制器能够证明对其的控制，同时不需要任何其他方的许可。
43.did是全局唯一的持久标识符，其不需要集中式注册授权机构，因为它被加密地生成和/或注册。did是将did主题与did文档相关联的uri，允许与该主题相关联的可信任的交互。
44.可能对5g系统施加强安全性和性能要求的关键事务的一个关键示例(尤其是当使用dlt/区块链时)是对iot设备的空中下载(ota)固件更新。用于iot设备的ota更新使制造商/oem能够高效地更新已经被部署用于商业和工业目的的设备。固件更新系统需要提供固件更新的有效性的保证，阻止恶意更新并保持合法更新。通常，理想的固件更新系统将确保满足严格的机密性、完整性和可用性要求。
45.存在用于提供ota固件更新的各种原因，包括：
46.·
发布新功能
47.·
当制造商从其发布的产品中发现错误时，固件更新能够提供错误修复。
48.·
制造商需要定期发布更新以防止网络攻击。该最终原因是最关键的原因，因为它可能导致灾难性损坏。例如，攻击者能够操纵自主驾驶汽车的参数以执行可能遭受危险事故的制动故障。
49.随着设备数量的显著上升，oem(例如，iot设备运营商)管理每个设备所需的版本控制和更新处理变得具有挑战性。在一些场景中，oem能够构造它们自己的ota更新管理系统或通过可信第三方推送更新。这已经是大型制造商的情况。然而，较小、较新的iot制造商不一定在适当位置具有此基础设施。保持在集中式服务器上的固件更新易受服务拒绝攻击的影响，并且这能够延迟关键补丁被应用于易受影响的设备。即使在没有攻击的情况下，许多同时的合法更新请求也可能压倒小制造商的服务器。
50.ota固件更新可能存在一些问题，这可能需要经由使用启用dlt的可信应用节点(例如，中间件)对这样的事务进行端到端保护，能够是：
51.iot设备可以嵌入一个或多个微控制器和传感器，并且这些组件可以由不同的制造商提供。这些制造商定期地提供用于改进其产品、解决错误和纠正安全问题的更新。损害组件之一的篡改/恶意固件的安装可能影响整个iot设备。如果使用中间件，则他可以提供为iot设备的所有组件提供更新的标准方式。
52.主机名称和ip地址必须用于由更新服务器认证iot设备。此信息能够容易地被哄骗以将iot设备连接到可能递送恶意固件的“假”更新服务器。这里，可以经由中间件使用和验证dig-id以避免这样的问题。
53.其中iot设备连接和接入的网络是不安全的，并且可以允许恶意节点“假装”他是iot服务器并且尝试通过提供恶意固件来控制iot设备。这里，中间件可以将业务导向最安全的网络并支持注册和数据传送。
54.下面描述的是使能快速和可靠的垂直(iot)设备注册/机载以及通过安全5g网络的数据递送，以执行启用dlt的关键操作(例如，固件更新)的解决方案。
55.图1描绘了根据本公开的实施例的用于使用启用dlt的验证管理端到端数据保护
的无线通信系统100。在各种实施例中，无线通信系统100包括至少一个远程单元105、无线电接入网络(“ran”)110和移动核心网络120。ran 110和移动核心网络120形成移动通信网络。ran 110可以由基站单元111组成，远程单元105使用无线通信链路115与基站单元111通信。尽管在图1a-1c中描绘了特定数量的远程单元105、基站单元111、无线通信链路115、ran 110和移动核心网络120，但本领域技术人员将认识到任何数量的远程单元105、基站单元111、无线通信链路115、ran 110和移动核心网络120都可以被包括在无线通信系统100中。
56.在一个实施方式中，ran 110符合3gpp规范中规定的5g系统。在另一实施方式中，ran 110符合3gpp规范中规定的lte系统。然而，更一般地，无线通信系统100可以实现一些其他开放或专有通信网络，例如，wimax，以及其他网络。本公开不旨在限于任何特定无线通信系统架构或协议的实施方式。
57.在图1中，无线通信系统100支持边缘计算服务部署，包括支持edn服务区域143的至少一个边缘数据网络(“edn”)141。edn 141包括支持应用的实例的至少一个边缘应用服务器(“eas”)177。当远程单元105位于edn服务区域143中时，边缘应用客户端179能够接入eas 177。然而，当远程单元105在任何edn服务区域之外时，ea客户端179能够使用位于数据网络150(即，区域数据网络)中的应用服务器171接入应用的实例。edn 141还包括边缘使能器服务器(“ees”)173、中间件应用使能器服务器，而远程单元105包括边缘使能器客户端(“eec”)175。在其他实施例中，无线通信系统可以支持ff垂直和/或v2x垂直(未示出)。
58.在一个实施例中，远程单元105可以包括计算设备，诸如桌上型计算机、膝上型计算机、个人数字助理(“pda”)、平板计算机、智能电话、智能电视(例如，连接到互联网的电视)、智能电器(例如，连接到互联网的电器)、机顶盒、游戏机、安全系统(包括安全相机)、车载计算机、网络设备(例如，路由器、交换机、调制解调器)等。在一些实施例中，远程单元105包括可穿戴设备，例如智能手表、健身带、光学头戴式显示器等。此外，远程单元105可以称为ue、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“wtru”)、设备或本领域中使用的其他术语。
59.远程单元105可以经由上行链路(“ul”)和下行链路(“dl”)通信信号与ran 110中的一个或多个基站单元111直接通信。此外，可以通过无线通信链路115承载ul和dl通信信号。这里，ran 110是为远程单元105提供对移动核心网络120的接入的中间网络。如所描绘的，远程单元105可以包括用于运行垂直应用层(“val”)客户端和/或移动应用客户端109的硬件和软件资源。
60.在一些实施例中，远程单元105经由与移动核心网络120的网络连接与通信主机(例如，边缘应用服务器149和/或应用服务器153)通信。例如，远程单元105中的移动应用(例如，网络浏览器、媒体客户端、电话/voip应用、移动应用客户端109)可以触发远程单元105以经由ran 110与移动核心网络120建立pdu会话(或其他数据连接)。移动核心网络120然后使用pdu会话在远程单元105和通信主机(即，应用服务器)之间中继业务。注意，远程单元105可以与移动核心网络120建立一个或多个pdu会话(或其他数据连接)。因此，远程单元105可以同时具有用于与一个应用服务器通信的至少一个pdu会话和用于与另一个应用服务器(未显示)通信的至少一个附加pdu会话。
61.基站单元111可以分布在地理区域上。在某些实施例中，基站单元111还可以称为接入终端、接入点、基地(base)、基站、节点b、enb、gnb、家庭节点b、中继节点或本领域中使
用的任何其他术语。基站单元111通常是无线电接入网络(“ran”)，例如ran 110的一部分，其可以包括可通信地耦合到一个或多个对应基站单元111的一个或多个控制器。无线电接入网络的这些和其他元件未示出但通常为本领域普通技术人员所熟知。基站单元111经由ran 110连接到移动核心网络120。
62.基站单元111可以经由无线通信链路115为服务区域(例如小区或小区扇区)内的多个远程单元105提供服务。基站单元111可以经由通信信号直接与远程单元105中的一个或多个通信。通常，基站单元111在时域、频域和/或空间域中发送dl通信信号以为远程单元105服务。此外，可以通过无线通信链路115承载dl通信信号。无线通信链路115可以是授权或非授权无线电频谱中的任何合适的载波。无线通信链路115促进一个或多个远程单元105和/或一个或多个基站单元111之间的通信。
63.在一个实施例中，移动核心网络120是5g核心(“5gc”)或演进分组核心(“epc”)，其可以耦合到分组数据网络150，如互联网和专用数据网络以及其他数据网络。远程单元105可以具有移动核心网络120的订阅或其他账户。每个移动核心网络120属于单个公共陆地移动网络(“plmn”)。本公开不旨在限于任何特定无线通信系统架构或协议的实施方式。
64.移动核心网络120包括若干网络功能(“nf”)。如所描绘的，移动核心网络120包括多个用户平面功能(“upf”)121。移动核心网络120还包括多个控制平面功能，包括但不限于服务于ran 110的接入和移动性管理功能(“amf”)123、会话管理功能(“smf”)125、策略控制功能(“pcf”)127、网络公开功能(“nef”)128和统一数据管理功能(“udm”)129。在某些实施例中，移动核心网络120还可以包括认证服务器功能(“ausf”)、网络储存库功能(“nrf”)(由各种nf使用以通过api相互发现和通信)或为5gc定义的其他nf。在一些实施例中，udm 129与用户数据储存库(“udr”)共置。
65.在各种实施例中，移动核心网络120支持不同类型的移动数据连接和不同类型的网络切片，其中，每个移动数据连接利用特定的网络切片。这里，“网络切片”指的是针对特定业务类型或通信服务优化的移动核心网络120的一部分。网络切片实例可以由s-nssai标识，而远程单元105被授权使用的一组网络切片由nssai标识。在某些实施例中，各种网络切片可以包括网络功能的单独实例，诸如smf 125和upf 121。在一些实施例中，不同的网络切片可以共享一些公共网络功能，诸如amf 123。为便于说明，图1中未示出不同的网络切片，但假设有它们的支持。
66.无线通信系统100包括oam/管理功能130。oam/管理功能130可以向使能器服务器(例如，ees 145)提供切片参数(例如，gst)。在各种实施例中，oam/管理功能130例如响应于来自服务提供商的请求执行切片实例化。
67.如所描绘的，数据网络150可以包括val服务器151、以及应用服务器153和/或身份管理(“im”)服务器155。在3gpp中，已经为垂直应用指定了应用支持层，称为垂直应用使能器层。垂直应用使能器的示例包括v2x使能器服务器、ff使能器服务器和uas使能服务器。垂直应用使能器层可以充当分布式或集中式中间件，其可以驻留在mno或第三方/垂直服务提供商的域处，用于将北向api暴露于垂直以及为连接的设备提供一些服务器-客户端支持功能性。
68.服务使能器架构层(“seal”)提供对于所有垂直来说公共的使能器层。关于标识，seal正在提供用于身份管理(“im”)的公共服务平台，以支持垂直接入5g系统。im服务器155
是认证垂直应用层用户身份的功能实体；并且身份管理客户端(未示出)是充当用于垂直应用层(“val”)用户身份相关事务的应用客户端109的功能实体。val服务器151是使能器服务器的一个实施例。
69.此外，存在两个模型：网络上和网络外模型。在网络上模型中，身份管理客户端通过im-uu参考点与身份管理服务器通信，然而对于网络外，ue1的身份管理客户端通过im-pc5参考点与ue2的身份管理客户端通信。
70.其他垂直特定使能器能力讨论了用于机载/注册的身份管理方面。
71.具体地：
72.ffapp——其是与未来工厂的应用架构有关的研究——讨论了设备机载的问题；并且特别是使用诸如设备管理、凭证和订阅管理以及网络连接性管理的工具。当前，使用来自seal的支持来提供与设备和身份管理有关的解决方案；然而，在提供连接性的同时没有对真实id的任何保护(参见3gpp ts 23.745)。
73.v2xapp是与v2x相关的研究，并且定义用于处置汽车垂直的支持功能性的v2x应用使能器(“vae”)层。它使用身份管理服务器api来执行与v2x-ue身份相关的动作。此外，对于设备的组管理，可以通过vae层提供身份列表；但是没有对真实id的任何保护(参见3gpp ts 23.286)。
74.5gmarch是与大规模iot相关的研究。在此研究中，msgin5g服务器被定义为用于为5g消息传递服务提供支持功能性的中间件。一些场景包括从应用服务器到ue的消息，反之亦然。ue能够是msgin5g ue类型、遗留3gpp ue类型、非3gpp ue类型或它们的组合(参见3gpp tr 23.700-24)。身份管理尚未在研究的范围内进行讨论；然而，这将是一个考虑因素，因为不同类型的ue可以交互；因此将需要对iot设备id以及事务的一些保护。
75.分布式事务验证网络160执行身份和/或事务验证服务。分布式事务验证网络160可以包括信任服务提供商(“tsp”)和/或分布式账本技术(“dlt”)网络。如本文所使用的，dlt网络包括共享分布式账本的多个节点。分布式账本是在地理上跨多个站点扩展的复制、共享和同步的数字数据的共识。dlt网络的一个示例是区块链网络，其中区块链是分布式账本。通过区块链网络，使用密码学将被称为区块的记录链接在一起(“区块链接(chained)”)。例如，每个区块可以包括先前区块的加密散列、时间戳和事务数据。
76.本文描述了一种机制(例如，在可以驻留在第三方/服务提供商(sp)域或mno或云平台提供商处的应用使能器/中间件功能处)，用于(基于应用服务器请求)针对给定区域中的iot设备启用端到端可信(例如，基于组的)注册/机载和启用dlt的服务供应。这允许第三方/sp(通过中间件)为关键的垂直事务提供端到端数据保护服务(端到端指的是客户端设备和应用服务器之间)，并且使mno(其将被选择为为服务提供通信)能够为其客户(垂直)提供具有数据完整性的通信的标准方法。
77.该机制具有三个部分：首先，基于垂直应用请求，经由外部区块链/dlt网络进行事务验证，以用于基于组的机载。第二，在验证事务时，身份转变和单个/组iot设备注册的处置触发所选择的安全5gs。第三，在注册并连接到安全5gs时，通过允许在使能器层上的消息递送(还通过验证用户平面事务本身)来实现用户平面端到端数据保护。
78.尽管在图1中描绘了特定数量和类型的网络功能，但是本领域的技术人员将认识到任何数量和类型的网络功能可以被包括在移动核心网络120中。此外，在移动核心网络
120是epc时，所描述的网络功能可以用适当的epc实体代替，例如mme、s-gw、p-gw、hss等。在某些实施例中，移动核心网络120可以包括aaa服务器。
79.虽然图1描绘了5g ran和5g核心网络的组件，但所描述的解决方案适用于其他类型的通信网络和rat，包括ieee 802.11变形、gsm、gprs、umts、lte变形、cdma 2000、蓝牙、zigbee、sigfoxx等。例如，在涉及epc的lte变形中，amf 123可以映射到mme，smf映射到pgw的控制平面部分和/或mme，upf映射到sgw和pgw的用户平面部分，udm/udr映射到hss等。
80.在下面的描述中，术语enb/gnb用于基站，但它可由任何其他无线电接入节点替换，例如bs、enb、gnb、ap、nr等。此外，主要在5g nr的上下文中描述操作。然而，所提出的解决方案/方法也同样适用于支持用于垂直应用和/或边缘网络部署的中间件辅助切片和/或dnn重新映射的其他移动通信系统。
81.图2描绘了根据本公开的实施例的用于使用启用dlt的验证来管理端到端(“e2e”)数据保护的网络架构200和信令流。过程200涉及包括应用客户端202、使能器客户端203和3gpp ue 205的客户端设备201。客户端设备201可以是远程单元105的一个实施例，应用客户端202可以是移动应用客户端109的一个实施例并且处于客户端设备201的应用层。使能器客户端203可以是val客户端107的实施例，并且处于客户端设备201的中间件层。3gpp ue 205表示客户端设备201的nas/as层。
82.架构200还涉及ran 207、cn控制平面(“cn-c”)209、cn用户平面(“cn-u”)211、使能器服务器213(中间件)、应用功能(“af”)215和应用服务器
‘
x’217。使能器服务器213可以是val服务器151和/或ees 145的一个实施例，而应用服务器217可以是边缘应用服务器149和/或应用服务器153的实施例。在某些实施例中，使能器服务器213(中间件)可以包括af功能性，例如，使能器服务器213(中间件)和af 215可以共置或组合成单个实体。
83.应用服务器217(即，iot服务器)向使能器服务器213发送用于支持用于特定区域或服务组的事务(例如，ota固件更新)的请求。此请求可以是下述之一：
84.·
找到在区域中需要固件更新的用户(可能仅在一些设备中更新软件版本)
85.·
找到“最佳”网络以提供更新并创建用于允许它们注册以接收更新的身份
86.·
处置用于要供应的垂直服务的控制平面方面
87.·
处置用于特定用户平面事务递送的端到端数据保护
88.使能器服务器213接收该请求，并基于“关键性”级别和服务的类型(例如，启用dlt的)，对其进行优先化(基于服务id或app服务器id理解它是关键事务)。
89.使能器服务器213从该区域中的使能器客户端203请求和接收(该区域是由使能器服务器213服务的地理区域)。在此领域中，使能器服务器213提供用于垂直应用的能力、它们的数字id(来自可以由app服务器217在设备处预配置的预定义数字id的集合)。
90.如本文所使用的，数字身份(“dig-id”)指的是可验证的安全身份(例如，链接到存储在可信和/或去中心化平台上的用户的可验证凭证，或者与信任服务提供商(“tsp”)和/或id服务提供商相关联的数字标识符基础设施)。dig-id的示例包括但不限于：去中心化标识符(“did”)和自主标识符(“ssi”)。虽然根据去中心化标识符描述了图2的实施例，但是在其他实施例中，可以使用另一种类型的数字id。
91.使能器服务器213经由(例如，外部)分布式事务验证网络219验证事务(《app服务器id、列表app客户端did、服务类型id、事务id》)，该分布式事务验证网络219能够是dlt/区
块链网络和/或信任服务提供商。在分布式事务验证网络处经由共识算法完成验证。
92.在某些实施方式中，一个或多个使能器服务器213可以部署在一个或多个dn/edn中，并且能够是启用区块链的节点(因此，它们可以是针对共识挖矿和投票的区块链网络的一部分)。在使能器服务器213部署在edn中的情况下，edn还可以包括eas 221(即，边缘应用服务器149的一个实施例)。
93.使能器服务器213使用val ue id、did或它们的组合作为标识来创建val ue id并请求5gc(udm)为应用内的val ue创建新条目；并且可选地提供注册的原因(关键服务供应)。
94.注意，可以使用did代替suci，或者能够被用作supi(并且将被加密为suci)。在一个实施例中，iot服务器(即，app服务器x 217)被订阅以直接或间接使用一个或多个5gs(订阅中间件，例如ecsp/sp，并且中间件已经订阅了5gs)。5gs/udm(cn-c 209的一部分)具有用于应用x(例如，iot服务器)但不用于iot设备(即，客户端设备201)的订阅信息；因此，此步骤允许5gs得到应用订阅到所请求的val ue id的映射。
95.使能器服务器213触发相关客户端设备201(也称为“val ue”)以注册到目标5gs(提供注册的原因，例如，关键服务供应)。使能器服务器213指示val ue使用它们的did(其被验证)作为用于注册的suci或supi(其将被用于构造suci)。在一个实施例中，此指令能够是组播(基于did到所选择的客户端)。在另一个实施例中，此指令是广播传输。在广播传输的情况下，所有应用客户端202将在给定区域中进行接收，但是仅针对已经验证了did的客户端设备201执行注册。
96.val-ue(客户端设备201)注册到5gc并且将建立pdu会话(利用如3gpp ts 23.502中的当前过程)。可选地，5gs向中间件发送针对在5gs中利用经验证的did成功注册的所有ue的ack。
97.使能器服务器213向app服务器x 217(例如，iot服务器)通知事务准入，还包括val ue信息(val ue id，使用的did)。
98.在客户端设备201已经连接到目标plmn/npn之后，app服务器x 217(iot服务器)开始经由目标5gs向客户端发送数据(固件更新)。这可以经由应用层(步骤8)或经由app使能器层(步骤9)来完成。
99.对于不需要经由中间件进行端到端数据保护的用户平面数据事务，这是经由plmn/npn从应用服务器217到应用客户端202执行的。参见步骤8。
100.对于需要通过dlt网络进行端到端用户平面验证(基于应用服务器订阅/请求)的用户平面数据事务，这经由应用使能器层执行以确保通过中间件层的数据完整性保护和通过外部区块链网络对用户平面的验证。在步骤9a处，使能器服务器213接收数据。在步骤9b处，在将数据推送到客户端之前，使能器服务器213利用分布式事务验证网络219来验证数据。如果被验证，则此数据被添加到账本。在步骤9c处，经由应用层信令将数据发送到客户端。
101.图3a-3b描绘了根据本公开的实施例的用于通过使能器层的注册支持的过程300。过程300涉及垂直设备301，其包括用于第一应用(称为“app#1”)的应用客户端302、val/im客户端303和3gpp ue 205。app#1客户端302可以是应用客户端202和/或应用客户端109的一个实施例，并且位于垂直设备的应用层处。val/im客户端303可以是val客户端107的实施
例，并且处于垂直设备301的中间件层处。过程300还涉及5gs和/或npn 305(其可以经由ran与垂直设备301通信)、seal/im服务器307、val服务器309、用于app#1的应用服务提供商311和分布式事务验证网络(“dtvn”)313。val服务器309能够是使能器服务器，可以使用来自seal的一些服务。dtvn 313是分布式事务验证网络160的实施例，并且可以包括信任服务提供商(“tsp”)和/或分布式账本技术(“dlt”)网络，诸如区块链网络。
102.转向图3a的消息流，在步骤0a处，作为第一前提条件，seal/im服务器307被授权以提供对用于给定区域中的一个或多个应用的数字id(例如，去中心化id和/或自主id)的支持(参见框315)。在步骤0b处，作为第二前提条件，seal客户端(例如，val/im客户端303)已经配置有seal服务器信息和/或能力，并且能够经由其他网络(例如，经由ran/wi-fi、plmn等，参见框317)与seal/im服务器307通信。
103.在步骤1处，将应用要求(例如，来自iot服务器)发送到val服务器(例如，vae/fae服务器)作为对消费特定服务请求的请求或订阅，例如，用于启用用于特定ot操作的连接性(参见消息传递319)。该请求仅包括服务id、覆盖区域和所请求的内容(处置用于关键事务的控制平面和/或用户平面数据完整性)。控制平面数据完整性指的是垂直设备301到安全网络的安全机载/注册。用户平面数据完整性指的是通过dlt网络的可选验证经由使能器层的数据的安全传输。响应/通知从val服务器发送回应用特定服务器以通知结果(例如，ack/nack)。
104.在步骤2处，val服务器309向seal/im服务器307发送请求以处置在所请求的事务中涉及的用户的身份管理(参见消息传递323)。此请求用来生成用于注册到目标5gs的标识符的目的。这将触发im服务器请求由请求者应用发起的事务的val用户的身份。
105.在步骤3处，服务响应被发送回val服务器以通知结果(例如，ok，参见消息传递321)。
106.在步骤4处，seal/im服务器307请求(来自所有seal客户端(对应于特定服务))以发送其数字标识符(参见消息传递325)。虽然在去中心化标识符(“did”)方面描述了图3a-3b的实施例，但是在其他实施例中可以使用另一种类型的数字id。垂直设备301的每个应用可以具有如由应用提供的预配置的一个或多个did。注意，did请求消息可以是广播(“bc”)或组播(“gc”)消息。did请求的内容可以包括下述中的一个或多个：
107.·
应用标识符
108.·
服务标识符
109.·
seal组标识符
110.·
did请求指示
111.在步骤4处接收到did请求时，垂直设备301生成由应用服务器提供的服务的did或使用预配置的did(参见框327)。
112.在步骤5处，seal/im服务器307接收包括相应设备的did的消息(参见消息传递329)。此did响应消息可以包括下述中的一个或多个：
113.·
im客户端id
114.·
应用id
115.·
did
116.在步骤6处，seal/im服务器307向dtvn 313发送验证请求(参见消息传递331)。该
请求消息可以包括下述中的一个或多个：
117.·
事务id
118.·
事务类型/关键性
119.·
did的列表
120.·
应用服务器id(例如，ip地址)
121.·
中间件id(例如，fqdn、ip地址)
122.·
应用客户端id(例如，os id)
123.·
did的列表
124.·
用于验证的时间窗口
125.继续图3b，dtvn 313执行验证处理(参见框333)。
126.在步骤7处，seal/im服务器307接收验证响应(参见消息传递335)并在验证之后生成val用户id(或val组id)(即，仅针对经验证的垂直设备301生成，参见框337)。该验证响应/报告可以包括下述中的一个或多个：
127.·
验证结果(即，是/否)
128.·
经验证的did的列表
129.·
所需要的用户平面验证(例如，如果共识是基于边际多数，则低数量的投票、
……
)。
130.在步骤8处，seal/im服务器307向val服务器309发送请求所应用的、所生成的val用户id的列表(参见消息传递339)。此消息可以包括下述中的一个或多个：
131.·
im服务器id
132.·
seal客户端id
133.·
经验证的did列表
134.在步骤9处，val服务器309(例如，充当af)经由nef向5gc/npn 305中的udm提供请求，以在针对应用#1的订阅处添加元组《did，生成的val-用户id》。(参见消息传递341)。此消息可以包括下述中的一个或多个：
135.·
af id
136.·
与要添加的val ue条目相对应的一个或多个did
137.·
与要添加的val ue条目相对应的一个或多个val-用户id
138.·
一个或多个val组id
139.·
请求使用did作为supi
140.·
请求使用did作为suci
141.·
请求使用val-用户id作为gpsi/外部id
142.在步骤10(可选的)处，val服务器309从5gs/npn 305中的udm接收响应作为对请求的应答(参见消息传递343)。
143.在步骤11处，val服务器309通知垂直设备301(即，val客户端303)使用did触发注册请求(参见消息传递345)。此消息可以包括下述中的一个或多个：
144.·
val服务器id
145.·
注册触发指示
146.·
plmn id/npn id
147.·
使用did作为supi的指示
148.·
使用did作为suci的指示
149.垂直设备301通过执行注册和pdu会话建立过程连接到5gs/npn 305(参见框347)。在一个实施例中，垂直设备301和5gs/npn 305执行如3gpp ts 23.502中所定义的3gpp注册和pdu会话建立。
150.注意，能够为msgin5g、ffapp、v2xapp、edgeapp架构提供类似的过程，其中val层的角色能够是fae服务器/客户端、vae服务器/客户端、msgin5g服务器/客户端、边缘使能器服务器/客户端。如在上面所提及的，im服务器307可以向这些val服务器309提供服务。还要注意，在某些实施例中，val服务器309和seal/im服务器307可以是相同的实体(或共置)。
151.图4描绘了根据本公开的实施例的用于中间件启用的用户平面保护的过程400。过程400涉及垂直设备301，其包括用于第一应用(称为“app#1”)的应用客户端302、val/im客户端303和ue 305。过程400还涉及上述5gs/npn 305、val服务器309、app#l服务提供商311和分布式事务验证网络(“dtvn”)313。
152.转向图4的消息流，在步骤0处，作为前提条件，垂直设备301被注册并连接到5gs/npn 305(参见框401)。此处，注册可以如上文参考图2和/或图3a到3b所描述。
153.在步骤a处：app#1服务器311(例如，iot服务器)想要将数据递送到垂直设备301(例如，iot设备)。然而，如果决定通过使能器层完成，则app#1服务器311向val服务器309(例如，使能器层/中间件)发送一个或多个消息。可选地，在发送数据之前，app#1服务器311向val服务器309发处置递送的请求(参见消息传递403)。
154.在步骤b处：val服务器309(使能器服务器/中间件)从分布式事务验证网络313发送对数据的验证的请求，该分布式事务验证网络313能够是信任服务提供商(“tsp”)和/或dlt/区块链网络(参见消息传递405)。该验证请求消息可以包括下述中的一个或多个：
155.·
事务id
156.·
事务类型/关键性
157.·
应用服务器id(例如，ip地址)
158.·
中间件id(例如，fqdn、ip地址)
159.·
ue id(例如，did)
160.·
待验证的数据
161.·
用于验证的时间窗口
162.分布式事务验证网络313执行验证(参见框407)。
163.在步骤c处：val服务器309(使能器服务器/中间件)从区块链网络接收用于数据验证的响应(参见消息传递409)。此验证包括验证结果(是、否)和关于如何实现验证的信息。
164.如果事务被验证，则val服务器309(使能器服务器/中间件)将新区块添加到区块链(如果dlt技术是区块链)，或者如果它不是基于区块链的，则中间件将数据添加到账本(参见框411)。为了清楚说明，分布式事务验证网络(例如，区块链/dlt网络)将验证事务，并且在验证时(例如，使用共识算法)，数据将被添加到账本。这可以以两种方式执行，称为选项a和选项b。
165.在选项a下面，中间件是dlt/区块链网络的一部分。这里，val服务器309将在从dlt网络请求验证时将数据添加到账本(参见“未决批准账本”)。大多数dlt节点达成共识。这也
被发送到确认事务并存储账本的中间件(具有有效的中间件所添加的数据的新账本数据库)。然后，val服务器309将数据发送到设备(注意，没有将完整账本发送到设备，只是数据)。
166.在选项b下面，val服务器309(使能器服务器/中间件)不是dlt/区块链网络的一部分。因此，中间件将向外部dlt/区块链网络发送请求。中间件将从包括待验证的数据的副本的外部节点请求验证，然后数据将例如由与中间件交互的节点(即，tsp)添加到账本。接下来，将验证账本(经由与dlt网络的共识)，然后将验证结果发送到中间件(即，ok msg)。最后，val服务器309将数据递送给设备。
167.在步骤d处：val服务器309将数据发送到被验证为接收数据的垂直设备301的使能器客户端(参见消息传递413)。在一个实施例中，val服务器309通过3gpp ts 23.434中定义的val-uu接口发送数据。垂直设备301的应用客户端302从使能器客户端303接收数据(参见框415)。在一个实施例中，app#1客户端302是基于云的客户端。在另一实施例中，app#1客户端302是垂直设备301的本地客户端。
168.注意，能够为msgin5g、ffapp、v2xapp、edgeapp架构提供类似的过程，其中val层的角色可以是fae服务器/客户端、vae服务器/客户端、msgin5g服务器/客户端、边缘使能器服务器/客户端。还要注意，在某些实施例中，val服务器309和seal/im服务器307可以是相同的实体(或共置)。
169.图5描绘了根据本公开的实施例的可以用于使用启用dlt的验证管理端到端数据保护的用户设备装置500。在各种实施例中，用户设备装置500用于实现上述解决方案中的一个或多个。用户设备装置500可以在垂直设备中实现，诸如上述远程单元105、客户端设备201和/或垂直设备301。此外，用户设备装置500可以包括处理器505、存储器510、输入设备515、输出设备520和收发器525。在一些实施例中，输入设备515和输出设备520被组合成单个设备，诸如触摸屏。在某些实施例中，用户设备装置500可以不包括任何输入设备515和/或输出设备520。在各种实施例中，用户设备装置500可以包括以下中的一个或多个：处理器505、存储器510和收发器525，并且可以不包括输入设备515和/或输出设备520。
170.如所描绘的，收发器525包括至少一个发射器530和至少一个接收器535。这里，收发器525与一个或多个远程单元105通信。另外，收发器525可以支持至少一个网络接口540。在一些实施例中，收发器525支持用于与ran中的一个或多个基站单元通信的第一接口(例如，uu接口)、用于与amf通信的第二接口(例如，n1接口)以及用于与tsn系统通信的第三接口。
171.在一个实施例中，处理器505可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如，处理器505可以是微控制器、微处理器、中央处理单元(“cpu”)、图形处理单元(“gpu”)、辅助处理单元、fpga、或类似的可编程控制器。在一些实施例中，处理器505执行存储在存储器510中的指令以执行本文所述的方法和例程。处理器505通信地耦合到存储器510、输入设备515、输出设备520和收发器525。在各种实施例中，处理器505控制用户设备装置500以实现上述ue行为、客户端设备行为和/或垂直设备行为。
172.用户设备装置500支持一个或多个应用接口545。每个应用接口545支持在用户设备装置500上运行的应用实例当中的通信和/或支持与例如在网络设备或ue上运行的外部应用实例的通信。在一些实施例中，应用接口545包括允许在用户设备装置500上运行的应
用接入其他应用、服务或操作系统的数据和特征的功能和过程的集合。例如，在用户设备装置500上运行的fae客户端可以使用应用接口545来与fae服务器通信。作为另一示例，在用户设备装置500上运行的v2x应用可以使用应用接口545来与v2x应用服务器通信。
173.在一个实施例中，存储器510是计算机可读存储介质。在一些实施例中，存储器510包括易失性计算机存储介质。例如，存储器510可以包括ram，其包括动态ram(“dram”)、同步动态ram(“sdram”)和/或静态ram(“sram”)。在一些实施例中，存储器510包括非易失性计算机存储介质。例如，存储器510可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中，存储器510包括易失性和非易失性计算机存储介质这两者。
174.在一些实施例中，存储器510存储与使用启用dlt的验证来管理端到端数据保护有关的数据。例如，存储器510可以存储服务要求、did、映射、应用要求、相关参数等。在某些实施例中，存储器510还存储程序代码和相关数据，诸如在远程单元105上运行的操作系统或其他控制器算法。
175.在一个实施例中，输入设备515可以包括任何已知的计算机输入设备，该已知的计算机输入设备包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中，输入设备515可以与输出设备520集成，例如作为触摸屏或类似的触敏显示器。在一些实施例中，输入设备515包括触摸屏，使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上的手写来输入文本。在一些实施例中，输入设备515包括两个或更多个不同的设备，诸如键盘和触摸面板。
176.在一个实施例中，输出设备520被设计为输出视觉、听觉和/或触觉信号。在一些实施例中，输出设备520包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如，输出设备520可以包括但不限于lcd显示器、led显示器、oled显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例，输出设备520可以包括与用户设备装置500的其余部分分离但通信耦合的可穿戴显示器，诸如智能手表、智能眼镜、平视显示器等。此外，输出设备520可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
177.在某些实施例中，输出设备520包括用于产生声音的一个或多个扬声器。例如，输出设备520可以产生听觉警报或通知(例如，蜂鸣声或嘟嘟声)。在一些实施例中，输出设备520包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中，输出设备520的全部或部分可以与输入设备515集成。例如，输入设备515和输出设备520可以形成触摸屏或类似的触敏显示器。在其他实施例中，输出设备520可以位于输入设备515附近。
178.收发器525在处理器505的控制下操作以发射消息、数据和其他信号，并且还接收消息、数据和其他信号。例如，处理器505可以在特定时间选择性地激活收发器(或其部分)以便于发送和接收消息。
179.在各种实施例中，收发器525被配置成与3gpp接入网络和/或非3gpp接入网络通信。在一些实施例中，收发器525实现用于3gpp接入网络和/或非3gpp接入网络的调制解调器功能性。在一个实施例中，收发器525使用不同的通信协议或协议栈实现多个逻辑收发器，同时使用公共物理硬件。
180.在一个实施例中，收发器525包括用于在授权无线电频谱上与移动通信网络通信
的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对。在某些实施例中，用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在未授权无线电频谱上与移动通信网络通信的第二发射器/接收器对可以组合成单个收发器单元，例如执行用于授权和未授权无线电频谱的功能的单个芯片。在一些实施例中，第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如，某些收发器525、发射器530和接收器535可以实现为物理上分离的组件，这些组件访问共享硬件资源和/或软件资源，诸如例如网络接口540。
181.收发器525可以包括一个或多个发射器530和一个或多个接收器535。尽管图示了特定数量的发射器530和接收器535，但是用户设备装置500可以具有任何合适数量的发射器530和接收器535。此外，发射器530和接收器535可以是任何合适类型的发射器和接收器。在某些实施例中，一个或多个发射器530和/或一个或多个接收器535可以共享收发器硬件和/或电路。例如，一个或多个发射器530和/或一个或多个接收器535可以共享天线、天线调谐器、放大器、滤波器、振荡器、混频器、调制器/解调器、电源等。
182.在各种实施例中，一个或多个发射器530和/或一个或多个接收器535可以被实现和/或集成到单个硬件组件中，诸如多收发器芯片、片上系统、应用专用集成电路(“asic”)、或其他类型的硬件组件。在某些实施例中，一个或多个发射器530和/或一个或多个接收器535可以被实现和/或集成到多芯片模块中。在一些实施例中，诸如网络接口540的其他组件或其他硬件组件/电路可以与任意数量的发射器530和/或接收器535集成到单个芯片中。在这样的实施例中，发射器530和接收器535可以被逻辑地配置为使用一个或多个常见的控制信号的收发器525，或者被实现为在相同硬件芯片或多芯片模块中实现的模块化发射器530和接收器535。在某些实施例中，收发器525可以实现3gpp调制解调器(例如，用于经由nr或lte接入网络进行通信)和非3gpp调制解调器(例如，用于经由wi-fi或其他非3gpp接入网络进行通信)。
183.图6描绘了根据本公开的实施例的可以用于使用启用dlt的验证来管理端到端数据保护的网络设备装置600的一个实施例。在一些实施例中，网络设备装置600可以是可信应用实体(例如，中间件)的一个实施例，诸如val服务器151、im服务器153、边缘使能器服务器145、使能器服务器213、seal/im服务器307和/或val服务器309。此外，网络设备装置600可以包括处理器605、存储器610、输入设备615、输出设备620、收发器625。在一些实施例中，输入设备615和输出设备620被组合成单个设备，诸如触摸屏。在某些实施例中，网络设备装置600不包括任何输入设备615和/或输出设备620。
184.如所描述的，收发器625包括至少一个发射器630和至少一个接收器635。这里，收发器625与一个或多个远程单元105通信。另外，收发器625可以支持至少一个网络接口640，诸如n1、n2和n3接口。在一些实施例中，收发器625支持用于与移动核心网络(例如，5gc和/或epc)中的一个或多个网络功能通信的第一接口、用于与tsn系统通信的第二接口以及用于与远程单元(例如，ue)通信的第三接口。
185.在一个实施例中，处理器605可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如，处理器605可以是微控制器、微处理器、中央处理单元(“cpu”)、图形处理单元(“gpu”)、辅助处理单元、现场可编程门阵列(“fpga”)、或类似的可编程控制器。在一些实施例中，处理器605执行存储在存储器610中的指令以执行本文所述
的方法和例程。处理器605通信地耦合到存储器610、输入设备615、输出设备620和收发器625。在各种实施例中，处理器605控制用户设备装置600以实现上述网络行为。
186.经由收发器625，处理器605从应用服务器(例如，应用服务器213或app#1服务提供商311)接收用于管理用于至少一个服务的e2e数据保护的管理要求。处理器605响应于接收到管理要求而获得用于至少一个服务的至少一个客户端设备的至少一个dig-id，并且利用dtvn(例如，分布式事务验证网络160、dtvn 219或ddtn 313)验证至少一个dig-id。在一个实施例中，dtvn包括tsp。在另一实施例中，dtvn包括dlt网络，诸如区块链网络。
187.处理器605控制收发器625以向移动通信网络(例如，plmn、npn、mno、cn)发送请求，该请求提供至少一个经验证的dig-id(例如，用于至少一个iot设备)。这里，至少一个经验证的dig-id允许至少一个客户端设备(即，为此事务选择的网络)在移动通信网络(即，为此事务选择的网络)中的服务供应，并且向至少一个客户端设备(例如，具有经验证的数字标识符)发送触发事件以使用至少一个经验证的dig-id连接到移动通信网络。
188.在一些实施例中，服务对应于下述之一：地理服务区域、边缘使能器服务区域(即，由edn中的ees服务的服务区域)、edn服务区域、应用服务标识和/或服务类型标识。在某些实施例中，管理要求采用对至少一个服务的订阅的形式。在其他实施例中，管理要求采用对至少一个服务的一次性请求的形式。
189.在某些实施例中，管理要求对应于向可信应用实体请求针对控制平面事务的e2e数据保护(即，支持相关设备向plmn/npn的安全注册/机载)。在其他实施例中，管理要求对应于对用于用户平面事务的e2e数据保护的请求。在一个实施例中，这样的请求可以是对外部实体的(例如，以管理用于控制平面事务的e2e数据保护)。在另一实施例中，向内部实体提出请求。
190.在一些实施例中，获得至少一个dig-id包括响应于接收到管理要求而向至少一个客户端设备发送第二请求，以及响应于第二请求而接收至少一个dig-id。在某些实施例中，经由应用使能器层信令承载第二请求，其中第二请求包括以下参数中的一个或多个：1)对与客户端设备相对应的dig-id的请求；2)服务标识符；和/或3)dig-id报告的配置。
191.在一些实施例中，验证至少一个dig-id包括向分布式事务验证网络发送验证请求以及从分布式事务验证网络接收验证响应。在一些实施例中，可信应用实体(例如，应用使能器和/或中间件)是启用dlt的节点。在这样的实施例中，中间件也是dlt(例如，区块链网络)的“部分”。在一些实施例中，至少一个经验证的dig-id能够由至少一个客户端设备用作订阅标识符以用于向移动通信网络进行订阅。
192.在一些实施例中，将请求发送到移动通信网络包括将请求发送到5g核心网络功能(例如，udm)以利用至少一个经验证的dig-id更新对应于应用的订阅。在某些实施例中，对移动通信网络的请求包括以下参数中的一个或多个：1)对应于可信应用实体的应用功能标识符(即，其中val服务器充当af)；2)对应于要添加的val ue条目的一个或多个dig-id的列表；3)对应于要添加的val ue条目的一个或多个val用户id的列表；4)一个或多个val组id的列表；5)使用dig-id作为supi的请求；6)使用dig-id作为suci的请求；和/或7)使用val用户id作为gpsi/外部id的请求。
193.在一些实施例中，经由应用使能器层信令提供触发事件，其中触发事件包括以下参数中的一个或多个：1)val服务器id；2)注册触发指示；3)plmn id(例如，移动国家代码
(“mcc”)和移动网络代码(“mnc”)的组合)；4)npn id；5)使用dig-id作为supi的指示；和/或6)使用dig-id作为suci的指示。在一些实施例中，触发事件提供用于切换到安全网络的辅助信息(例如，为至少一个客户端设备提供plmn id、npn id等)。
194.在各种实施例中，收发器625基于接受的用户平面事务来接收用户平面数据以用于至少一个客户端设备的验证。处理器605利用dtvn验证用户平面数据，并从dtvn接收验证结果。收发器625将经验证的数据发送到至少一个客户端设备。
195.在一些实施例中，接收用户平面数据包括从应用服务器接收，该方法进一步包括在接收用户平面数据之前从应用服务器接收递送请求。在一些实施例中，验证用户平面数据包括发送包括下述参数中的一个或多个的验证请求：1)事务id；2)事务类型；3)事务关键性级别；4)应用服务器id(例如，由ip地址表示)；5)中间件id(例如，由fqdn或ip地址表示)；6)一个或多个ue id的列表(例如，由dig-id表示)；7)要验证的用户数据；8)要验证的账本(包括用户平面数据)；和/或9)用于验证的时间窗口。
196.在一些实施例中，接收验证结果包括从dtvn接收经验证的分布式账本。在一个实施例中，dtvn包括tsp。在另一实施例中，dtvn包括dlt网络，诸如区块链网络。在一些实施例中，可信应用实体包括应用使能器服务器，其中将经验证的数据发送到至少一个客户端设备包括经由应用使能器层信令发送到客户端设备处的对应应用使能器客户端。在一些实施例中，将经验证的数据发送到至少一个客户端设备包括将dlt网络中的地址发送到客户端设备，其中至少一个客户端设备从dlt网络中的地址下载经验证的数据。
197.网络设备装置600支持一个或多个应用接口645。每个应用接口645支持在用户设备装置600上运行的应用实例当中的通信和/或支持与例如在网络设备或ue上运行的外部应用实例的通信。在一些实施例中，应用接口645包括允许在网络设备装置600上运行的应用访问其他应用、服务或操作系统的数据和特征的功能和过程的集合。如下面进一步详细描述的，在网络设备装置600上运行的fae客户端可以使用应用接口645以与fae服务器通信。作为另一示例，在网络设备装置600上运行的tsn应用可以使用应用接口645以与tsn应用服务器通信。
198.在一个实施例中，存储器610是计算机可读存储介质。在一些实施例中，存储器610包括易失性计算机存储介质。例如，存储器610可以包括ram，其包括动态ram(“dram”)、同步动态ram(“sdram”)和/或静态ram(“sram”)。在一些实施例中，存储器610包括非易失性计算机存储介质。例如，存储器610可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中，存储器610包括易失性和非易失性计算机存储介质这两者。
199.在一些实施例中，存储器610存储与使用启用dlt的验证来管理端到端数据保护有关的数据，例如，存储服务要求、qos要求、qoe要求、映射、应用要求、相关参数等。在某些实施例中，存储器610还存储程序代码和相关数据，诸如在网络设备装置600和一个或多个软件应用上操作的操作系统(“os”)或其他控制器算法。
200.在一个实施例中，输入设备615可以包括任何已知的计算机输入设备，该已知的计算机输入设备包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中，输入设备615可以与输出设备620集成，例如作为触摸屏或类似的触敏显示器。在一些实施例中，输入设备615包括触摸屏，使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上的手写来输入文本。在一些实施例中，输入设备615包括两个或更多个不同的设备，诸如键盘和触
摸面板。
201.在一个实施例中，输出设备620可以包括任何已知的电子可控显示器或显示设备。输出设备620可以被设计为输出视觉、听觉和/或触觉信号。在一些实施例中，输出设备620包括能够向用户输出视觉数据的电子显示器。例如，输出设备620可以包括但不限于lcd显示器、led显示器、oled显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一个非限制性示例，输出设备620可以包括可穿戴显示器，诸如智能手表、智能眼镜、平视显示器等。此外，输出设备620可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
202.在某些实施例中，输出设备620包括用于产生声音的一个或多个扬声器。例如，输出设备620可以产生听觉警报或通知(例如，蜂鸣声或嘟嘟声)。在一些实施例中，输出设备620包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中，输出设备620的全部或部分可以与输入设备615集成。例如，输入设备615和输出设备620可以形成触摸屏或类似的触敏显示器。在其他实施例中，输出设备620的全部或部分可以位于输入设备615附近。
203.如上面所讨论的，收发器625可以与一个或多个远程单元和/或与提供对一个或多个plmn的接入的一个或多个网络功能通信。收发器625还可以与一个或多个网络功能(例如，在移动核心网络120中)通信。收发器625在处理器605的控制下操作以发射消息、数据和其他信号并且还接收消息、数据和其他信号。例如，处理器605可以在特定时间选择性地激活收发器(或其部分)以便发送和接收消息。
204.收发器625可以包括一个或多个发射器630和一个或多个接收器635。在某些实施例中，一个或多个发射器630和/或一个或多个接收器635可以共享收发器硬件和/或电路系统。例如，一个或多个发射器630和/或一个或多个接收器635可以共享(一个或多个)天线、(一个或多个)天线调谐器、(一个或多个)放大器、(一个或多个)滤波器、(一个或多个)振荡器、(一个或多个)混频器、(一个或多个)调制器/解调器、电源等。在一个实施例中，收发器625使用不同的通信协议或协议栈实现多个逻辑收发器，同时使用公共物理硬件。
205.图7描绘了根据本公开的实施例的用于使用启用dlt的验证来管理端到端数据保护的方法700的一个实施例。在各种实施例中，该方法700由可信应用实体(例如，中间件)执行，诸如上述val服务器151、im服务器153、边缘使能器服务器145、使能器服务器213、seal/im服务器307、val服务器309。在一些实施例中，该方法700由处理器执行，诸如微控制器、微处理器、cpu、gpu、辅助处理单元、fpga等。
206.该方法700开始并从应用服务器接收705用于管理用于至少一个服务的端到端数据保护的管理要求。该方法700包括响应于接收到管理要求而获得710用于至少一个服务的至少一个客户端设备的至少一个数字标识符(“did”)。该方法700包括利用dtvn验证715至少一个did。
207.该方法700包括向移动通信网络发送720请求，该请求提供至少一个经验证的did，其中至少一个经验证的did允许至少一个客户端设备在移动通信网络中的服务供应。该方法700包括向至少一个客户端设备发送725触发事件以使用至少一个经验证的did连接到移动通信网络。该方法700结束。
208.图8描绘了根据本公开的实施例的用于使用启用dlt的验证来管理端到端数据保
护的方法800的一个实施例。在各种实施例中，该方法800由可信应用实体(例如，中间件)执行，诸如上述val服务器151、im服务器153、边缘使能器服务器145、使能器服务器213、seal/im服务器307和/或val服务器309。在一些实施例中，该方法800由处理器执行，诸如微控制器、微处理器、cpu、gpu、辅助处理单元、fpga等。
209.该方法800开始并且基于接受的用户平面事务接收805用于针对至少一个客户端设备的验证的用户平面数据。该方法800包括利用dtvn验证810用户平面数据。该方法800包括从dtvn接收815验证结果。该方法800包括基于成功的验证结果将用户平面数据发送820到至少一个客户端设备。该方法800结束。
210.本文公开了根据本公开的实施例的用于使用启用dlt的验证来管理端到端数据保护的第一装置。第一装置可以由可信应用实体(例如，中间件)实现，诸如val服务器151、im服务器153、边缘使能器服务器145、使能器服务器213、seal/im服务器307、val服务器309和/或网络装置700。第一装置包括收发器，该收发器从应用服务器接收用于管理用于至少一个服务的e2e数据保护的管理要求。第一装置包括处理器，该处理器响应于接收到管理要求而获得用于至少一个服务的至少一个客户端设备的至少一个dig-id，并且利用dtvn验证至少一个dig-id。在一个实施例中，dtvn包括tsp。在另一实施例中，dtvn包括dlt网络，诸如区块链网络。
211.收发器向移动通信网络(例如，plmn、npn、mno、cn)发送请求，该请求提供至少一个经验证的dig-id(例如，用于至少一个iot设备)，其中至少一个经验证的dig-id允许至少一个客户端设备在移动通信网络(即，使能器已经为此事务挑选的网络)中的服务供应，并且向至少一个客户端设备(例如，具有经验证的数字标识符)发送触发事件以使用至少一个经验证的dig-id连接到移动通信网络。
212.在一些实施例中，服务对应于下述之一：地理服务区域、边缘使能器服务区域、边缘数据网络服务区域、应用服务标识和/或服务类型标识。在一些实施例中，管理要求对应于对可信应用实体的对控制平面事务的e2e数据保护的请求。
213.在一些实施例中，管理要求对应于对用户平面事务的e2e数据保护的请求。在一些实施例中，管理需求采用以下形式：对至少一个服务的订阅或对至少一个服务的一次性请求。
214.在一些实施例中，获得至少一个dig-id包括响应于接收到管理要求而向至少一个客户端设备发送第二请求，以及响应于第二请求而接收至少一个dig-id。在某些实施例中，经由应用使能器层信令承载第二请求，其中该第二请求包括以下参数中的一个或多个：1)对与客户端设备相对应的dig-id的请求；2)服务标识符；和/或3)dig-id报告的配置。
215.在一些实施例中，验证至少一个dig-id包括向分布式事务验证网络发送验证请求以及从分布式事务验证网络接收验证响应。在一些实施例中，可信应用实体(例如，应用使能器和/或中间件)是启用dlt的节点。在一些实施例中，至少一个经验证的dig-id能够由至少一个客户端设备用作订阅标识符以向移动通信网络进行订阅。
216.在一些实施例中，将请求发送到移动通信网络包括将请求发送到5g核心网络功能(例如，udm)以利用至少一个经验证的dig-id更新对应于应用的订阅。在某些实施例中，对移动通信网络的请求包括以下参数中的一个或多个：1)对应于可信应用实体的应用功能标识符(即，其中val服务器充当af)；2)对应于要添加的val ue条目的一个或多个dig-id的列
表；3)对应于要添加的val ue条目的一个或多个val用户id的列表；4)一个或多个val组id的列表；5)使用dig-id作为supi的请求；6)使用dig-id作为suci的请求；和/或7)使用val用户id作为gpsi/外部id的请求。
217.在一些实施例中，经由应用使能器层信令提供触发事件，其中该触发事件包括以下参数中的一个或多个：1)val服务器id；2)注册触发指示；3)plmn id(例如，移动国家代码(“mcc”)和移动网络代码(“mnc”)的组合)；4)npn id；5)使用dig-id作为supi的指示；和/或6)使用dig-id作为suci的指示。在一些实施例中，触发事件提供用于切换到安全网络的辅助信息(例如，为至少一个客户端设备提供plmn id、npn id等)。
218.本文公开了根据本公开的实施例的用于使用启用dlt的验证来管理端到端数据保护的第一方法。第一方法可以由可信应用实体(例如，中间件)执行，诸如val服务器151、im服务器153、边缘使能器服务器145、使能器服务器213、seal/im服务器307、val服务器309和/或网络装置600。第一方法包括从应用服务器接收用于管理用于至少一个服务的e2e数据保护的管理要求；以及响应于接收到管理要求，获得用于至少一个服务的至少一个客户端设备的至少一个dig-id。第一方法包括利用dtvn验证至少一个dig-id。在一个实施例中，dtvn包括tsp。在另一实施例中，dtvn包括dlt网络，诸如区块链网络。
219.第一方法包括向移动通信网络(例如，plmn、npn、mno、cn)发送请求，该请求提供至少一个经验证的dig-id(例如，用于至少一个iot设备)。在这样的实施例中，至少一个经验证的dig-id允许至少一个客户端设备在移动通信网络(即，使能器已经为此事务挑选的网络)中的服务供应。第一方法包括向至少一个客户端设备(例如，具有经验证的数字标识符)发送触发事件以使用至少一个经验证的dig-id连接到移动通信网络。
220.在一些实施例中，服务对应于下述之一：地理服务区域、边缘使能器服务区域、边缘数据网络服务区域、应用服务标识和服务类型标识。在一些实施例中，管理要求对应于对可信应用实体的对控制平面事务的e2e数据保护的请求。
221.在一些实施例中，管理要求对应于对用户平面事务的e2e数据保护的请求。在一些实施例中，管理需求采用对至少一个服务的订阅的形式或对至少一个服务的一次性请求的形式。
222.在一些实施例中，获得至少一个dig-id包括响应于接收到管理要求而向至少一个客户端设备发送第二请求，以及响应于第二请求而接收至少一个dig-id。在某些实施例中，经由应用使能器层信令承载第二请求，其中该第二请求包括以下参数中的一个或多个：1)对与客户端设备相对应的dig-id的请求；2)服务标识符；和/或3)dig-id报告的配置。
223.在一些实施例中，验证至少一个dig-id包括向分布式事务验证网络发送验证请求以及从分布式事务验证网络接收验证响应。在一些实施例中，可信应用实体(例如，应用使能器和/或中间件)是启用dlt的节点。在一些实施例中，至少一个经验证的dig-id能够由至少一个客户端设备用作订阅标识符以向移动通信网络进行订阅。
224.在一些实施例中，将请求发送到移动通信网络包括将请求发送到5g核心网络功能(例如，udm)以利用至少一个经验证的dig-id更新对应于应用的订阅。在某些实施例中，对移动通信网络的请求包括以下参数中的一个或多个：1)对应于可信应用实体的应用功能标识符(即，其中val服务器充当af)；2)对应于要添加的val ue条目的一个或多个dig-id的列表；3)对应于要添加的val ue条目的一个或多个val用户id的列表；4)一个或多个val组id
的列表；5)使用dig-id作为supi的请求；6)使用dig-id作为suci的请求；和/或7)使用val用户id作为gpsi/外部id的请求。
225.在一些实施例中，经由应用使能器层信令提供触发事件，其中该触发事件包括以下参数中的一个或多个：1)val服务器id；2)注册触发指示；3)plmn id；4)npn id；5)使用dig-id作为supi的指示；和/或6)使用dig-id作为suci的指示。在一些实施例中，触发事件提供用于切换到安全网络的辅助信息(例如，为至少一个客户端设备提供plmn id、npn id等)。
226.本文公开了根据本公开的实施例的用于使用启用dlt的验证来管理端到端数据保护的第二装置。第二装置可以由可信应用实体(例如，中间件)实现，诸如val服务器151、im服务器153、边缘使能器服务器145、使能器服务器213、seal/im服务器307、val服务器309和/或网络装置700。第二装置包括收发器，该收发器基于接受的用户平面事务接收用于针对至少一个客户端设备的验证的用户平面数据。第二装置包括处理器，该处理器利用dtvn验证用户平面数据。该收发器基于成功的验证结果将经验证的数据发送到至少一个客户端设备。
227.在一些实施例中，接收用户平面数据包括从应用服务器接收，该方法进一步包括在接收用户平面数据之前从应用服务器接收递送请求。在一些实施例中，验证用户平面数据包括发送包括下述参数中的一个或多个的验证请求：1)事务id；2)事务类型；3)事务关键性级别；4)应用服务器id(例如，由ip地址表示)；5)中间件id(例如，由fqdn或ip地址表示)；6)一个或多个ue id的列表(例如，由dig-id表示)；7)要验证的用户数据；8)要验证的账本(包括用户平面数据)；和/或9)用于验证的时间窗口。
228.在一些实施例中，接收验证结果包括从dtvn接收经验证的分布式账本。在这样的实施例中，将用户平面数据发送到至少一个客户端设备是基于经验证的分布式账本的。在一个实施例中，dtvn包括tsp。在另一实施例中，dtvn包括dlt网络，诸如区块链网络。在一些实施例中，可信应用实体包括应用使能器服务器，其中将经验证的数据发送到至少一个客户端设备包括经由应用使能器层信令发送到客户端设备处的对应应用使能器客户端。在一些实施方案中，将经验证的数据发送到至少一个客户端设备包括将dlt网络中的地址发送到客户端设备，其中至少一个客户端设备从dlt网络中的地址下载经验证的数据。
229.本文公开了根据本公开的实施例的用于管理两个应用实体之间的数据传送的启用区块链的完整性保护的第二方法。第二方法可以由可信应用实体(例如，中间件)执行，诸如val服务器151、im服务器153、边缘使能器服务器145、使能器服务器213、seal/im服务器307、val服务器309和/或网络装置700。第二方法包括基于接受的用户平面事务接收用于针对至少一个客户端设备的验证的用户平面数据。第二方法包括利用dtvn验证用户平面数据，并从dtvn接收验证结果。第二方法包括基于成功的验证结果将用户平面数据发送到至少一个客户端设备。
230.在一些实施例中，接收用户平面数据包括从应用服务器接收，该方法进一步包括在接收用户平面数据之前从应用服务器接收递送请求。在一些实施例中，验证用户平面数据包括发送包括下述参数中的一个或多个的验证请求：1)事务id；2)事务类型；3)事务关键性级别；4)应用服务器id(例如，由ip地址表示)；5)中间件id(例如，由fqdn或由ip地址表示)；6)一个或多个ue id的列表(例如，由dig-id表示)；7)要验证的用户数据；8)要验证的
账本(包括用户平面数据)；和/或9)用于验证的时间窗口。
231.在一些实施例中，接收验证结果包括从dtvn接收经验证的分布式账本。在这样的实施例中，将用户平面数据发送到至少一个客户端设备是基于经验证的分布式账本的。在一个实施例中，dtvn包括tsp。在另一实施例中，dtvn包括dlt网络，诸如区块链网络。在一些实施例中，可信应用实体包括应用使能器服务器，其中将经验证的数据发送到至少一个客户端设备包括经由应用使能器层信令发送到客户端设备处的对应应用使能器客户端。在一些实施例中，将经验证的数据发送到至少一个客户端设备包括将dlt网络中的地址发送到客户端设备，其中至少一个客户端设备从dlt网络中的地址下载经验证的数据。
232.可以以其他特定形式实施实施例。所描述的实施例在所有方面仅被认为是说明性的而不是限制性的。因此，本发明的范围由所附权利要求而不是由前述说明指示。在权利要求的含义和范围内的所有改变都应被涵盖在其范围内。

技术特征：
1.一种可信应用实体处的方法，所述方法包括：从应用服务器接收用于管理用于至少一个服务的端到端(“e2e”)数据保护的管理要求；响应于接收到所述管理要求，获得用于所述至少一个服务的至少一个客户端设备的至少一个数字标识符(“did”)；利用分布式事务验证网络验证所述至少一个did；向移动通信网络发送请求，所述请求提供至少一个经验证的did，其中所述至少一个经验证的did允许所述至少一个客户端设备在所述移动通信网络中的服务供应；以及向所述至少一个客户端设备发送触发事件以使用所述至少一个经验证的did连接到所述移动通信网络。2.根据权利要求1所述的方法，其中，所述服务对应于下述之一：地理服务区域、边缘使能器服务区域、边缘数据网络服务区域、应用服务标识和服务类型标识。3.根据权利要求1所述的方法，其中，所述管理要求对应于对所述可信应用实体的对用于控制平面事务的e2e数据保护的请求。4.根据权利要求1所述的方法，其中，所述管理要求对应于对用于用户平面事务的e2e数据保护的请求。5.根据权利要求1所述的方法，其中，所述管理要求采用以下形式：对所述至少一个服务的订阅或对所述至少一个服务的一次性请求。6.根据权利要求1所述的方法，其中，获得所述至少一个did包括响应于接收到所述管理要求向所述至少一个客户端设备发送第二请求，以及响应于所述第二请求接收所述至少一个did。7.根据权利要求6所述的方法，其中，经由应用使能器层信令承载所述第二请求，其中所述第二请求包括下述参数：对与所述客户端设备相对应的did的请求；服务标识符；以及did报告的配置。8.根据权利要求1所述的方法，其中，验证所述至少一个did包括：向所述分布式事务验证网络发送验证请求；以及从所述分布式事务验证网络接收验证响应。9.根据权利要求1所述的方法，其中，所述可信应用实体是启用分布式账本技术的节点。10.根据权利要求1所述的方法，其中，所述至少一个经验证的did能够由所述至少一个客户端设备用作订阅标识符以用于向所述移动通信网络进行订阅。11.根据权利要求1所述的方法，其中，向所述移动通信网络发送所述请求包括向5g核心网络功能发送请求以利用所述至少一个经验证的did更新与所述应用相对应的订阅。12.根据权利要求11所述的方法，其中，对所述移动通信网络的所述请求包括下述参数中的一个或多个：与所述可信应用实体相对应的应用功能标识符；与要添加的垂直应用层(“val”)ue条目相对应的一个或多个did的列表；
与要添加的所述val ue条目相对应的一个或多个val用户id的列表；一个或多个val组id的列表；使用did作为supi的请求；使用did作为suci的请求；以及使用val用户id作为gpsi和/或外部id的请求。13.根据权利要求1所述的方法，其中，经由应用使能器层信令来提供所述触发事件，其中，所述触发事件包括下述参数中的一个或多个：垂直应用层(“val”)服务器id；注册触发指示；plmnid；npnid；使用所述did作为订阅永久标识符(“supi”)的指示；以及使用所述did作为订阅隐藏标识符(“suci”)的指示。14.根据权利要求1所述的方法，其中，所述触发事件提供用于切换到安全网络的辅助信息。15.一种可信应用实体处的方法，所述方法包括：基于接受的用户平面事务来接收用于针对至少一个客户端设备的验证的用户平面数据；利用分布式事务验证网络验证所述用户平面数据；从所述分布式事务验证网络接收验证结果；以及基于成功的验证结果将所述用户平面数据发送到所述至少一个客户端设备。16.根据权利要求15所述的方法，其中，接收所述用户平面数据包括从应用服务器接收，所述方法进一步包括在接收所述用户平面数据之前从应用服务器接收递送请求。17.根据权利要求15所述的方法，其中，验证所述用户平面数据包括发送包括下述参数中的一个或多个的验证请求：事务id；事务类型；事务关键性级别；应用服务器id；中间件id；一个或多个ueid的列表；要验证的用户数据；要验证的账本；以及用于验证的时间窗口。18.根据权利要求15所述的方法，其中，接收所述验证结果包括从所述分布式事务验证网络接收经验证的分布式账本。19.根据权利要求15所述的方法，其中，所述可信应用实体包括应用使能器服务器，其中，将经验证的数据发送到所述至少一个客户端设备包括经由应用使能器层信令发送到所述客户端设备处的对应应用使能器客户端。
20.根据权利要求15所述的方法，其中，将经验证的数据发送到所述至少一个客户端设备包括将所述dlt网络中的地址发送到所述客户端设备，其中所述至少一个客户端设备从所述dlt网络中的所述地址下载所述经验证的数据。

技术总结
公开了用于管理端到端(“e2e”)数据保护的装置、方法和系统。一种装置(600)包括收发器(625)，其从应用服务器(217)接收(705)用于管理至少一个服务的e2e数据保护的管理要求。该装置(600)包括处理器(605)，其响应于接收到管理要求而获得(710)用于至少一个服务的至少一个客户端设备(201)的至少一个数字标识符(“DIG-ID”)，并且利用分布式事务验证网络验证(715)至少一个DIG-ID。收发器(625)进一步向移动通信网络发送720请求，该请求提供至少一个经验证的DID，并且向至少一个客户端设备发送(725)触发事件以使用至少一个经验证的DID连接到移动通信网络。接到移动通信网络。接到移动通信网络。


技术研发人员：埃马努伊尔
受保护的技术使用者：联想（新加坡）私人有限公司
技术研发日：2020.12.08
技术公布日：2023/8/5