CN108713338A

CN108713338A - 无线接入资源共享

Info

Publication number: CN108713338A
Application number: CN201580085830.1A
Authority: CN
Inventors: 闫峥
Original assignee: Nokia Technologies Oy
Current assignee: Nokia Technologies Oy
Priority date: 2015-12-29
Filing date: 2015-12-29
Publication date: 2018-10-26
Also published as: US20200280858A1; WO2017115003A1

Abstract

根据示例性实施例，提供一种用于操作信任管理器实体的技术，该信任管理器实体被布置为服务虚拟基站池，该虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理云无线接入网络的相应的其它基带单元的无线接入的使用的相应的虚拟基站池。

Description

无线接入资源共享

技术领域

本发明的非限制性示例性实施例涉及无线网络之间的无线接入资源共享。

背景技术

第五代移动网络或第五代无线***(5G网络)旨在提供大数据带宽和几乎无限的联网能力。预计5G网络将在移动通信和多媒体共享方面带来改进的用户体验。在前5G(pre-5G)网络中，提高数据速率的主要做法是增加基站(BS)的数量，同时选取每个覆盖更小的相应的地理区域的小区以增加区域中的BS密度，这反过来使能增强的频带重用因子。然而，由于过多的资本和运营支出以及增加的能量消耗，大量蜂窝BS的额外部署和维护带来了高效率低下。另一方面，用户人口统计和对网络容量的需求通常根据一天中的时间和一周中的天而变化(所谓的潮汐效应)。在前5G网络中，每个BS的频谱和处理资源仅由其小区范围内的活动用户使用，从而通常在某些区域/时间中导致空闲的BS并且在其它区域/时间中导致超额订购的BS。此外，优化蜂窝网络的整体覆盖和能效(EE)没有固定的小区大小。前5G网络的另一个缺点是，由某个网络运营商管理和拥有的联网资源和设施(例如，BS)不能被另一个网络运营商的订户使用，从而可能剩下在某个网络运营商控制下的一些可用网络容量未被使用，而另一个网络运营商在同一区域中的网络容量可能不够。

为了解决例如上面提到的挑战的这些问题，已经提出了一种基于软件定义无线网络(SDWN)的新型集中式架构。在此方面，云无线接入网络(C-RAN)是用于蜂窝网络的新的架构，其中，BS的计算资源被汇集在中心位置。C-RAN的一些关键特性可概括如下：

i)计算资源的集中管理；

ii)频谱资源的可重新配置；

iii)协作通信；以及

iv)通用平台上的实时云计算。

作为概括性提纲，可以认为C-RAN包括以下主要元素：

1)一个或多个基带单元(BBU)，用于执行与操作C-RAN相关的数字处理任务。例如，可以通过一个或多个高速可编程处理器和实时虚拟化技术来提供每个BBU，以提供用于托管构成相应的BBU中的VBS池的一个或多个虚拟基站(VBS)的相应的集中式处理池。

2)对于每个BBU，一个或多个远程射频头(RRH)，每个远程射频头配备有相应的一个或多个天线并且位于其相应的远程站点处。BBU的一个或多个RRH由相应的BBU的VBS控制，从而经由RRH提供无线接入。

3)用于将RRH连接到相应的BBU的VBS池的相应的低延迟高带宽光纤(或其它高速数据链路)。

VBS的通信功能通常采用由一个或多个服务器设备(可以例如作为相应的一个或多个通用计算设备提供)托管的虚拟机(VM)上的软件执行，服务器设备可以容纳在云数据中心中。由于在集中式VBS池中，大多数(甚至全部)与BS有关的信息在相同的位置可用，因此BBU内的VBS能够高速交换控制数据和其它信息而不受严格的带宽限制，从而使得能够以Gbps的速度来传输数据。

发明内容

根据示例性实施例，提供一种在第一信任管理器实体中的方法，第一信任管理器实体被布置为服务虚拟基站池，虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布配置为服务管理云无线接入网络的相应的其它基带单元的无线接入的使用的相应的虚拟基站池，所述方法包括：向一个或多个其它信任管理器实体发送租用请求，该租用请求关于由相应的其它信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用；从一个或多个其它信任管理器实体接收相应的租用提议，该租用提议关于由相应的其它信任管理器所服务的虚拟基站池管理的无线接入的临时使用；根据预定义的选择规则选择所接收的租用提议之一，并且选择所选择的租用提议的源作为出借信任管理器；向出借信任管理器实体发送根据所选择的租用提议来执行无线接入的临时使用的初步请求，其中，该初步请求包括使用第一信任管理实体的私钥签署的第一签名，该第一签名包括所选择的租用提议；以及响应于从出借信任管理器实体接收的证实，向出借信任管理器实体发送根据所选择的租用提议来执行无线接入的临时使用的确认，其中，该证实包括使用出借信任管理器实体的私钥签署的第二签名，该第二签名包括第一签名。

根据另一个示例性实施例，提供一种在第一信任管理器实体中的方法，第一信任管理器实体被布置为服务虚拟基站池，虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理云无线接入网络的相应的其它基带单元的无线接入的使用的相应的虚拟基站池，所述方法包括：从另一信任管理器实体接收租用请求，该租用请求关于由第一信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用；根据该租用请求，生成用于另一信任管理器实体的租用提议；向另一信任管理实体发送所生成的租用提议；从另一信任管理器实体接收根据租用提议来执行无线接入的临时使用的初步请求，其中，该初步请求包括使用另一信任管理器实体的私钥签署的第一签名，该第一签名包括所述租用提议；以及响应于所述初步请求，向另一信任管理器实体发送包括使用第一信任管理器实体的私钥签署的第二签名的证实，该第二签名包括第一签名。

根据另一个示例性实施例，提供一种操作为第一信任管理器的装置，第一信任管理器被布置为服务虚拟基站池，虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理云无线接入网络的相应的其它基带单元的无线接入的使用的相应的虚拟基站池，所述装置包括通信部分和控制部分，通信部分包括用于与其它装置通信的至少一个通信装置，控制部分被配置为使用通信部分使所述装置：向一个或多个其它信任管理器实体发送租用请求，该租用请求关于由相应的其它信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用；从一个或多个其它信任管理器实体接收相应的租用提议，该租用提议关于由相应的其它信任管理器所服务的虚拟基站池管理的无线接入的临时使用；根据预定义的选择规则选择所接收的租用提议之一，并且选择所选择的租用提议的源作为出借信任管理器；向出借信任管理器实体发送根据所选择的租用提议来执行无线接入的临时使用的初步请求，其中，该初步请求包括使用第一信任管理实体的私钥签署的第一签名，该第一签名包括所选择的租用提议；以及响应于从出借信任管理器实体接收的证实，向出借信任管理器实体发送根据所选择的租用提议来执行无线接入的临时使用的确认，其中，该证实包括使用出借信任管理器实体的私钥签署的第二签名，该第二签名包括第一签名。

根据另一示例性实施例，提供一种操作为第一信任管理器的装置，第一信任管理器被布置为服务虚拟基站池，虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理云无线接入网络的相应的其它基带单元的无线接入的使用的相应的虚拟基站池，所述装置包括通信部分和控制部分，通信部分包括用于与其它装置通信的至少一个通信装置，控制部分被配置为使用通信部分使所述装置：从另一信任管理器实体接收租用请求，该租用请求关于由第一信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用；根据该租用请求，生成用于另一信任管理器实体的租用提议；向另一信任管理实体发送所生成的租用提议；从另一信任管理器实体接收根据所述租用提议来执行无线接入的临时使用的初步请求，其中，该初步请求包括使用另一信任管理器实体的私钥签署的第一签名，该第一签名包括所述租用提议；以及响应于所述初步请求，向另一信任管理器实体发送包括使用第一信任管理器实体的私钥签署的第二签名的证实，该第二签名包括第一签名。

根据另一个示例性实施例，提供一种操作为第一信任管理器的装置，第一信任管理器被布置为服务虚拟基站池，虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理云无线接入网络的相应的其它基带单元的无线接入的使用的相应的虚拟基站池，所述装置包括：用于向一个或多个其它信任管理器实体发送租用请求的装置，该租用请求关于由相应的其它信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用；用于从一个或多个其它信任管理器实体接收相应的租用提议的装置，该租用提议关于由相应的其它信任管理器所服务的虚拟基站池管理的无线接入的临时使用；用于根据预定义的选择规则选择所接收的租用提议之一并且选择所选择的租用提议的源作为出借信任管理器的装置；用于向出借信任管理器实体发送根据所选择的租用提议来执行无线接入的临时使用的初步请求的装置，其中，该初步请求包括使用第一信任管理实体的私钥签署的第一签名，该第一签名包括所选择的租用提议；以及用于响应于从出借信任管理器实体接收的证实，向出借信任管理器实体发送根据所选择的租用提议来执行无线接入的临时使用的确认的装置，其中，该证实包括使用出借信任管理器实体的私钥签署的第二签名，该第二签名包括第一签名。

根据另一个示例性实施例，提供一种操作为第一信任管理器的装置，第一信任管理器被布置为服务虚拟基站池，虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理云无线接入网络的相应的其它基带单元的无线接入的使用的相应的虚拟基站池，所述装置包括：用于从另一信任管理器实体接收租用请求的装置，该租用请求关于由第一信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用；用于根据该租用请求来生成用于另一信任管理器实体的租用提议的装置；用于向另一信任管理实体发送所生成的租用提议的装置；用于从另一信任管理器实体接收根据所述租用提议来执行无线接入的临时使用的初步请求的装置，其中，该初步请求包括使用另一信任管理器实体的私钥签署的第一签名，该第一签名包括所述租用提议；以及用于响应于所述初步请求，向另一信任管理器实体发送包括使用第一信任管理器实体的私钥签署的第二签名的证实的装置，该第二签名包括第一签名。

根据另一个示例性实施例，提供了一种计算机程序，该计算机程序包括计算机可读程序代码，其被配置为当所述程序代码在计算装置上执行时使得至少执行根据前面描述的示例性实施例的方法。

根据示例性实施例的计算机程序可以具体化在易失性或非易失性的计算机可读记录介质上，例如作为包括在其上存储有程序代码的至少一个计算机可读非暂时性介质的计算机程序产品，所述程序当由装置执行时使所述装置至少执行前面针对根据本发明示例性实施例的计算机程序而描述的操作。

在本专利申请中示出的本发明的示例性实施例不应被解释为对所附权利要求的适用性构成限制。动词“包括”及其衍生词在本专利申请中被用作开放式限制，其不排除另外未记载的特征的存在。除非另行明确说明，否则下文描述的特征可相互任意组合。

在所附权利要求中阐述了本发明的一些特征。然而，当结合附图阅读时，从以下一些示例性实施例的描述中将最好地理解本发明关于其构造及其操作方法、以及其附加目的和优势的各方面。

附图说明

在附图中，通过示例而非限制的方式示出了本发明的实施例，其中：

图1示出根据示例的云无线接入网络(C-RAN)的一些组件的框图；

图2示出根据示例性实施例的用于C-RAN的信任管理装置的一些组件的框图；

图3示出根据示例性实施例的流程图；

图4示出根据示例性实施例的信令图；

图5示出根据示例性实施例的流程图；

图6示出根据示例性实施例的信令图；

图7示出根据示例性实施例的装置的一些组件的框图。

具体执行方式

图1示出了C-RAN 100的一些逻辑组件的框图，其用作用于各种示例性实施例的说明的框架。在此方面，C-RAN 100被示出为具有表示一个或多个BBU 110的第一BBU 110-1和第二BBU 110-2。在图1中，第一BBU110-1和第二BBU 110-2用高速数据链路115彼此连接。通常，BBU 110-k中的每一个都可以用相应的高速数据链路连接到一个或多个其它BBU100，或者BBU 110可以经由具有足够数据传输容量的计算机网络彼此连接。BBU 110-k中的每一个还被耦合到核心网络140，核心网络140进一步将BBU 110与其它C-RAN和/或外部网络相连接。

第一BBU 110-1托管表示由第一BBU 110-1托管的一个或多个VBS120的第一VBS120-1和第二VBS 120-2。C-RAN 100进一步被示出为具有经由相应的高速数据链路135-1、135-2和135-3被连接到第一BBU 110-1的VBS池的第一RRH 130-1、第二RRH 130-2和第三RRH 130-3。因此，由第一BBU 110-1托管的一个或多个VBS 120构成VBS池，该VBS池经由与其连接的RRH 130-1、130-2和130-3来管理第一BBU 110-1的无线接入。第一BBU 110-1、其中托管的VBS池以及经由相应的数据链路与其连接的RRH可以被认为是第一BBU子***150-1。

第二BBU 110-2托管表示由第二BBU 110-2托管的一个或多个VBS的第三VBS 120-3、第四VBS 120-4和第五VBS 120-5。图1还示出了第四RRH 130-4和第五RRH 130-5，它们经由相应的高速数据链路135-4和135-5被连接到第二BBU 110-2的VBS池。因此，由第二BBU110-2托管的一个或多个VBS 120构成VBS池，该VBS池经由与其连接的RRH 130-4和130-5来管理第二BBU 110-2的无线接入。第二BBU 110-2、其中托管的VBS池和经由相应的数据链路与其连接的RRH可以被认为是第二BBU子***150-2。

在本文中，BBU子***150-1和150-2表示C-RAN 100的一个或多个BBU子***150。根据C-RAN 100的期望配置和期望容量，可以存在1到K个BBU子***150-k。在每个BBU子***150-k中，在BBU子***110-k的VBS池中可以存在1到L_k个VBS并且它们可以具有经由相应的高速数据链路与其连接的1到M_k个RRH。例如，高速数据链路115和135-k可被提供为相应的光纤。

通常，BBU子***150-k的所有组件由单个网络运营商管理、控制和拥有。作为这方面的示例，在示例C-RAN 100中，第一BBU子***150-1和第二BBU子***150-2都可以由相同的网络运营商操作。在另一个示例中，第一BBU子***150-1可以由第一网络运营商操作，而第二BBU子***150-2可以由第二网络运营商操作。通常，C-RAN 100的K个BBU子***150可以包括BBU子***150的多个子集，每个BBU子***150-k由相应的网络运营商操作。

在这种多运营商的环境中，在两个或更多的网络运营商的BBU子***150的RRH用于在至少部分重叠的地理区域上提供网络覆盖的情况下，不同网络运营商所拥有的BBU子***的增强协作将支持提供更经济且更有效的网络服务。例如，如果是第一网络运营商的网络的一部分的BBU***150的第一子集在它们的全容量或接近其全容量的情况下操作，则是第二网络运营商的网络的一部分的一个或多个BBU子***150的第二子集可被用来向第一网络运营商的订户提供网络服务，以使能以期望或预期的质量来提供服务。然而，这种跨网络运营商的网络资源共享(或“租用”)需要网络运营商的BBU子***之间的信任协作，以确保一方面以公平的方式使用“租用的”网络资源，而另一方面以期望的服务质量和成本向“租用”网络运营商提供网络资源。下面描述了关于BBU子***150之间的信任协作的各种示例。

图2示出了例如可以在C-RAN 100的框架内使用的信任管理装置200的一些逻辑组件的框图。信任管理装置200还可以被称为信任管理池。在图2中，每个BBU子***150-1、150-2、......150-K配备有相应的信任管理器(TM)实体210-l、210-2、......210-K，其中，每个TM实体210-k被布置为服务相应的BBU子***150-k和/或其中的VBS池。然而，这是为了清楚地说明而在此描述的示例性方法，并且在一般情况下，单个TM实体210-k可以服务一个或多个BBU子***150，通常使得单个TM实体210-k服务一组由相同的网络运营商操作的一个或多个BBU子***150。

虽然图2示出了具有K个BBU子***150和K个TM实体210的一般示例，但是在各种示例中，BBU子***和TM实体的数量可以是两个或更多个。TM实体210经由高速网络或经由专用高速链路彼此连接，并且TM实体210还被连接到核心网络140。在图2中示意性示出的BBU子***150的BBU被彼此连接并且被连接到核心网络140(如图1中所示出的)，但是为了清楚地说明而未在图2中示出这些连接。

在信任管理装置200的操作中，在TM实体210之间发布信任令牌，以允许以通用和安全的方式租用和使用信任的无线接入资源，从而促进由不同网络运营商操作的BBU子***150之间的网络资源的平衡。在示例中，服务BBU子***150-j的TM实体210-j应用信任证明以确保与由其它TM实体210服务的BBU子***150共享信任的无线接入资源。作为在发现BBU子***150-j中的无线接入资源暂时不足的情况下信任管理装置200的操作的概述，服务BBU子***150-j的TM实体210-j可以通过发送租用请求来联系一个或多个其它TM实体210。虽然此时TM实体210-j正在发送关于无线接入资源的可能的租用的查询，但是为了清楚地说明，它被称为租用TM实体210-j。在相应的BBU子***150-k中有适合的无线接入资源可用的情况下，每个被联系的其它TM实体210-k评估该租用请求并用相应的租用提议进行响应。提供租用提议可以进一步以租用请求与TM实体210-k所应用的租用策略兼容为条件。与租用策略的兼容性例如可以涉及以下一个或多个方面的考虑：

-BBU子***150-k中当前未使用的无线接入资源的可用程度；

-对租用TM实体210-j分配的资源租用的相对优先级；

-TM实体210-k与租用TM实体210-j之间的预定义的租用协议的存在和/或类型；

-请求无线接入资源的时间段的时长；以及

-在所请求的租用期间预期的无线接入资源使用。

租用TM实体210-j可以从一个或多个其它TM实体210接收相应的租用提议，并且鉴于TM实体210-j所应用的租用决定策略来选择租用提议之一。例如，在作出“零”个或一个租用提议的选择时，租用决定策略可以考虑所提供的无线接入资源的估计成本和/或基础网络运营商对于每个所接收的租用提议的相应的信誉。在TM实体210-j选择租用提议之一的情况下，在由其提议被选择的TM实体210-k服务的BBU子***150-k的控制下的网络运营商被指定为出借网络运营商。而在由租用TM实体210-j服务的BBU子***150-j的控制下的网络运营商被指定为租用网络运营商。类似地，BBU子***150-k可以被称为出借BBU子***150-k，TM实体210-k可以被称为出借TM实体210-k，而BBU子***150-j可以被称为租用BBU子***150-j。

响应于从出借TM实体210-k选择租用提议，出借BBU子***150-k被分配以根据所选择的租用提议，对租用网络运营商而非租用BBU子***150-j的一个或多个订户提供无线接入资源。在租用期间，例如被租用网络运营商的一个或多个订户所消耗的租用时间和无线接入资源由出借TM实体210-k记录日志。基于租用TM实体210-j的租用策略，通过使用出借TM实体210-k中的信任证明、信任监控和信任保证，所记录日志的信息片段被报告给租用TM实体210-j。在租用之后，出借TM实体210-k基于在租用期间记录日志的信息而生成信任令牌，该信任令牌由出借TM实体210-k(代表出借网络运营商)和租用TM实体210-j(代表租用网络运营商)签署。随后，信任令牌可以由出借网络运营商应用以向租用网络运营商要求与租用相关联的成本。

在初始化或重新配置(例如，在安装时或在维护操作之后)C-RAN时，每个TM实体210-j证明它正在服务的BBU子***150-j中的BBU 110-j中的VBS池的执行环境。执行环境的证明涉及验证BBU 110-j运行正确的软件，使用标准的硬件和/或使用标准的虚拟机。TM实体210-j验证它服务的BBU-j 110-j的完整性的过程可以被称为自证过程。

此外，当在操作中时，每个TM实体210-j可以被布置为周期性地重复自证过程，以便确保尤其是BBU 10-j中的软件继续正确，从而验证没有发生例如由于入侵或硬件故障造成的意外和不期望的软件改变。周期性重复可以以预定义的固定时间间隔进行。可以根据期望的安全级别例如从几分钟到几小时的范围中选择预定义的时间间隔的时长。除了周期性重复之外或替代周期性重复，TM实体210-j内的自证过程可以响应于预定义事件的发生和/或响应于经由/从BBU子***150-j的控制***接收到显式命令或请求而被执行。作为示例，该控制***可以被布置为响应于BBU 110-j中的软件和/或硬件的升级或其它受控改变而发出这样的命令/请求。

在示例中，自证过程包括TM实体210-j请求BBU 110-j提供BBU110-j中使用预定义的散列函数的软件、硬件和虚拟机的散列码(或两个或更多个散列码的链)。在下文中，为了编辑清楚地说明，在散列码计算中考虑的BBU 110-j的实体(或信任管理装置200的任何其它实体)被统称为BBU-j(或信任管理装置200的其它实体)的执行环境。响应于该请求，BBU110-j可以相应地计算该散列码并将其发送到TM实体210-j。BBU110-j还可以将计算出的散列码存储在其中的存储器中以供后续使用。TM实体210-j也可以将所接收的散列码存储在其中的存储器中。TM实体210-j可以将所接收的散列码与参考散列码进行比较：如果所接收的散列码与参考散列码匹配，则自证成功，而如果所接收的散列码与参考散列码不匹配，则自证失败。可以从可信第三方连同证书(例如，连同用于确保参考散列码的真实性的数字证书)一起接收参考散列码。

在此(以及在计算散列码的后续引用的上下文中)，可以使用本领域中已知的任何适用的技术来计算执行环境的散列码。作为这方面的说明性示例，可以通过使用预定义的散列函数来计算软件组件或软件包的散列码，以计算构成软件组件的二进制代码的散列码或计算构成软件包的二进制代码的散列码。作为这方面的另一个说明性示例，可以通过使用预定义的散列函数来计算硬件组件的散列码，以计算嵌入硬件组件中或硬件组件的特定配置中的二进制代码的散列码，或者计算硬件组件或硬件组件的组合的基本输入/输出***(BIOS)的散列码。

因此，可以使用自证过程来揭示BBU 110-j的执行环境中的任何意外变化。每个自证过程的结果可以被存储在TM实体210-j内的存储器中，以供进一步参考和/或后续验证。附加地或可替代地，可以将证明过程的结果报告给一个或多个其它实体，例如，报告给一个或多个其它TM实体210和/或报告给BBU子***150-j的控制***。响应于成功的自证过程，TM实体210-j作为信任管理装置200的一部分推进操作或继续操作。响应于不成功的自证过程，TM实体210-j可以发出关于失败的自证的警报或指示，和/或TM实体210-j可以避免作为信任管理装置200的一部分进行操作。

为了确保BBU子***150之间的信任协作，TM实体210-j可以执行与信任管理装置200的一个或多个其它TM实体210-J的信任证明(TA)过程。作为示例，例如，以预定义的时间间隔，TM实体210-j可以被布置为周期性地与TM实体210-k执行TA过程。可以根据期望的安全级别，例如，从几分钟到几小时的范围来选择预定义的时间间隔的时长。作为另一个示例，TM实体210-j可以被布置为，响应于预定义事件的发生，例如响应于检测到来自另一个运营商网络的无线接入资源的需求，而执行与TM实体210-k的TA过程。在另一个示例中，TM实体210-j可以被布置为，响应于例如经由/从BBU子***150-j的控制***接收到执行TA过程的显式命令或请求，而执行与TM实体210-k的TA过程。

图3示出了根据示例的用于概述在两个TM实体210-j与210-k之间执行TA过程的方法300A和300B的相应的流程图，而图4示出了根据示例的用于概述在两个TM实体210-j与210-k之间的TA过程的信令图。注意，对于该示例，术语“租用TM实体”和“出借TM实体”不适用，因为TA过程并非严格地链接到两个网络运营商之间的无线接入资源租用的特定场合(occasion)，而是用作关于由能够根据TM实体210-j的策略出借无线接入资源的TM实体210-k服务的BBU子***150-k的预先保证。因此，为了清楚地说明，在TA过程的上下文中，我们将TM实体210-j称为请求TM实体210-j，而将TM实体210-k称为响应TM实体210-k。在下文中，参考图3和图4，描述了在请求TM实体210-j与响应TM实体210-k之间的示例性TA过程。

如框310中所示出的，TA过程涉及请求TM实体210-j获得其与BBU子***150-k的网络运营商有关的信任策略。在下文中，该信任策略被表示为P_jk。获得信任策略P_jk可以涉及从请求TM实体210-j内的存储器或大容量存储设备读取预先创建的信任策略，或者针对与响应TM实体210-k的TA过程的当前场合生成信任策略P_jk。信任策略P_jk包括例如从可信第三方获得的一个或多个参考散列码的集合。信任策略P_jk还可以包括证书发布者(例如，可信第三方)的公钥以用于证书验证目的。信任策略P_jk还可以包括用于处理响应BBU 110-k中的后续改变的一个或多个策略规则。这样的策略规则可以要求响应BBU 110-k(或响应TM实体210-k)执行例如以下的一项或多项：

-在租用网络运营商的无线接入租用期间，拒绝响应BBU 110-k中的执行环境的任何升级或其它改变；

-将响应BBU 110-k中的执行环境的任何(未预期的)后续变化报告给请求TM实体210-j(其可以例如经由响应TM实体210-k执行的自证过程来检测)，以在请求TM实体210-j与响应TM实体210-k之间重新触发TA过程；

在步骤401中，也如框304中所示出的，请求TM实体210-j向响应TM实体210-k发送第一质询。该质询可以包括预定义的消息或标识符，其使得响应TM实体210-k能够将其识别为TA过程的第一质询。如框306中和步骤402中所示出的，响应于接收到该第一质询，响应TM实体210-k通过向请求TM实体210-j发送包括其执行环境证书的响应以及托管用于BBU子***150-k的VBS池的BBU 110-k的地址(和/或BBU子***150-k中的另一个适当实体的地址)的指示来响应第一质询。该执行环境证书可以提供为由可信第三方发布的数字证书。该证书例如可以根据本领域已知的X.509标准进行格式化(以用于传输到请求TM实体210-j)。在此，我们将此证书表示为第一证书C_TM-k。在示例中，替代第一证书C_TM-k或者除了第一证书C_TM-k之外，该响应可以包括使用预定义的散列函数计算的响应TM实体210-k的执行环境的散列码。可以通过响应于第一质询而计算散列码或者从存储器读取在响应TM实体210-k中最近计算的散列码来获得散列码。

响应于从响应TM实体210-k接收对第一质询的响应，请求TM实体210-j执行对在响应中接收的第一证书C_TM-k和/或散列码的验证。如框308中所示出的，在响应包括第一证书C_TM-k的情况下，执行证书验证以确保在响应中接收的所接收的第一证书C_TM-k的有效性。在此方面，可以使用本领域中已知的任何适用的验证过程。附加地或可替代地，在响应包括散列码的情况下，请求TM实体210-j进一步验证从响应TM实体210-k接收的散列码。可以鉴于在信任策略P_jk中定义的参考散列码的集合来执行该验证：在所接收的散列码与参考散列码之一匹配的情况下，散列码验证是成功的。

在任何所应用的验证都失败的情况下(例如，如果证书验证和散列码验证中的任一个或其两者都失败)，请求TM实体210-j终止TA过程并认为响应TM实体210-k不构成无线接入资源共享的可信实体。在每个所应用的验证都成功的情况下，请求TM实体210-j进行到步骤403，以将第二质询发送到在步骤402中从响应TM实体210-k接收的地址，也如框310中所示出的。该质询可以包括预定义的消息或标识符，其使得响应TM实体210-k能够将其识别为TA过程的第二质询。

在步骤404中，通过向请求TM实体210-j发送包括VBS池的执行环境证书的响应，BBU子***150-k(例如，托管用于BBU子***150-k的VBS池的BBU 110-k)响应第二质询。如同第一证书C_TM-k的情况，该执行环境证书可以提供为由可信第三方发布的数字证书，并且该证书例如可以根据本领域已知的X.509标准进行格式化(以用于传输到请求TM实体210-j)。在此，我们将该证书表示为第二证书C_BBU-k。在示例中，替代第二证书C_BBu-k或者除了第二证书C_BBU-k之外，响应可以包括使用预定义的散列函数计算的响应BBU 110-k的执行环境的散列码。可以通过响应于第二质询而计算散列码或者从存储器读取在响应BBU 110-k中最近计算的散列码来获得散列码。

响应于从响应BBU 110-k(或从BBU子***150-k的另一个实体)接收到对第二质询的响应，请求TM实体210-j执行对在响应中接收的第二证书C_BBU-k和/或散列码的验证。如框312中所示出的，在响应包括第二证书C_BBU-k的情况下，执行证书验证以确保在响应中接收的所接收的第二证书C_BBU-k的有效性。在此方面，可以使用本领域已知的适用的验证过程。附加地或可替代地，在响应包括散列码的情况下，请求TM实体210-j进一步验证从响应BBU 110-k接收的散列码。如同在响应于第一质询从响应TM实体210-k接收的散列码的情况，也可以鉴于在信任策略P_jk中定义的参考散列码的集合来执行该验证：在所接收的散列码与参考散列码之一匹配的情况下，散列码验证是成功的。

在任何应用的验证都失败的情况下(例如，如果证书验证和散列码验证中的任一个或其两者都失败)，请求TM实体210-j终止TA过程并认为响应BBU 110-k不构成无线接入资源共享的可信实体。也如框314中所示出的，在每个所应用的验证都成功的情况下，请求TM实体210-j进行到步骤405以将信任策略P_jk发送到响应TM实体210-k。

如框316中所示出的，响应于接收到信任策略P_jk(框316)，响应TM实体210-k鉴于信任策略P_jk监控其执行环境的操作。在示例中，该监控涉及验证使用预定义的散列函数计算的响应TM实体210-k的执行环境的散列码与在所接收的信任策略P_jk中定义的参考散列码之一匹配，并且该监控可以进一步包括：使用可包括在信任策略P_jk中的公钥和/或验证响应TM实体210-k被设置为根据可在所接收的信任策略P_jk中定义的策略规则进行操作，来验证租用TM实体210-j的证书(例如，从可信第三方接收的)。随后，可以根据预定义的时间表周期性地重复监控，例如，以预定义的时间间隔，其中，可以根据所期望的安全级别来选择预定义的时间间隔的时长，例如，从几分钟到几个小时。在示例中，替代使用预定义的时间表来重复监控，可以在信任策略P_jk中定义时间表(例如，时间间隔的时长)。在监控指示响应TM实体210-k没有根据信任策略P_jk进行操作的情况下，过程可以直接进行到步骤408以传输不信任指示。在监控指示响应TM实体210-k确实根据信任策略P_jk进行操作的情况下，响应TM实体210-k进行步骤406，其涉及将信任策略P_jk转发到托管用于BBU子***150-k的VBS池的BBU110-k，也如框318中所示出的。

响应于接收到信任策略P_jk，托管用于BBU子***150-k的VBS池的BBU 110-k鉴于信任策略P_jk监控其执行环境的操作。在示例中，该监控涉及验证使用预定义的散列函数计算的响应BBU 110-k的执行环境的散列码与在所接收的信任策略Pjk中定义的参考散列码之一匹配，以及响应BBU 110-k被设置为根据可在所接收的信任策略P_jk中定义的策略规则进行操作。随后，可以根据预定的时间表周期性地重复监控，例如，以预定义的时间间隔，其中，可以根据所期望的安全级别选择预定义的时间间隔的时长，例如，从几分钟到几个小时。在示例中，替代使用预定义的时间表来重复监控，可以在信任策略P_jk中定义时间表(例如，时间间隔的时长)。

在该监控指示BBU 110-k的元件没有根据信任策略P_jk进行操作的情况下，BBU110-k在步骤407中向响应TM实体210-k发送(第一)不信任指示。响应于从BBU 110-k接收到(第一)不信任指示，响应TM实体210-k在步骤408中向请求TM实体210-j发送(第二)不信任指示作为响应TM实体210-k、BBU子***150-k或者两者都不遵从信任策略P_jk的指示。(第二)不信任通知可以包括关于响应TM实体210-k、BBU子***150-k的策略遵从性的相应的指示，以向请求TM实体210-j提供关于非遵从性的源的指示。

在由步骤401到步骤408概述的TA过程中，为了请求TM实体210-j在信任管理装置200的框架中从响应TM实体210-k租用无线接入资源的目的，只有不信任被明确地指示给请求TM实体210-j，从而使缺乏明确的不信任指示成为请求TM实体210-j与响应TM实体210-k之间的信任关系的隐含指示。在该过程的变形中，例如通过从响应TM实体210-k发送到请求TM实体的信任指示，或者通过从BBU 110-k发送到响应TM实体210-k然后从那里进一步转发到请求TM实体210-j的信任指示，使用相应的信任指示还(或仅)将响应TM实体210-k和/或BBU-k 110-k中相应的信任策略验证的肯定结果通知给其它实体。

请求TM实体210-j可以在信任管理装置200内与多个其它TM实体210一起执行TA过程。因此，在请求TM实体210-j服务的BBU子***150-j的无线接入资源暂时不足的情况下，请求TM实体210-j能够跟踪在无线接入资源共享方面提供可信协作的其它BBU子***150。

在TM实体210-j获得关于BBU子***150-j中的无线接入资源暂时不足的指示的情况下，TM实体210-j可以发起关于暂时使用具有信任管理装置200的一个或多个其它TM实体210的另一个BBU子***150的无线接入资源的租用协商过程。可以触发TM实体210-j发起租用协商的条件的进一步示例包括当前所使用的无线接入资源的高成本(例如，高于预定阈值)和当前所使用的无线接入的低服务质量(例如，低于预定阈值)，其中，当前所使用的无线接入可以被提供为从另一个BBU子***150租用的无线接入资源或BBU子***150-j中的无线接入资源。

作为这方面的示例，图5示出了根据示例概述用于在TM实体210-j与两个其它TM实体210-k和210-l之间执行租用协商的方法500A和500B的相应的流程图，而图6示出了概述这种示例性租用协商过程的信令图。在本文中，在图6中示出了两个其它的TM实体以确保示例的编辑清楚，而在其它示例中，TM实体210-j可以仅与单个其它TM实体210-j或者与多于两个的其它TM实体210一起执行租用协商过程。在此方面，租用协商过程仅与例如已经基于前面描述的TA过程而与之验证了可信关系的其它TM实体220一起执行。在此，为了编辑清楚地说明，尽管在租用协商过程期间租用TM实体和出借TM实体的角色是暂时的，我们仍将这些TM实体称为租用TM实体210-j和出借TM实体210-k、210-l，它们被决定作为与信任管理装置200的“零”个或多个其它TM实体210的租用协商过程的结果。

作为初始步骤，如在框502中所示出的，租用TM实体210-j获得或定义租用请求RR_j。租用请求RR_j包括表征无线接入资源的所期望的租用的一个或多个信息片段。在示例中，租用请求RR_j至少定义所请求的无线接入资源rr_j的量(或容量)(例如，被表示为所请求的带宽、经由无线接入资源的所请求的数据传输总量、所请求的流量大小等)和所请求的租用的时间rt_j，其可以定义所请求的租用的开始时间和结束时间。在步骤601a和601b中，租用TM实体210-j将租用请求RR_j分别发送到出借TM实体210-k和210-l，也如框504中所示出的。租用请求RR_j的传输可以涉及广播租用请求，以使得其能够被信任管理装置200的所有其它TM实体210接收。

响应于租用请求RR_j，出借TM实体210-k根据租用请求RR_j针对租用TM实体210-j生成租用提议RO_k(框506)，并且将所生成的租用提议RO_k发送给租用TM实体210-j，如在步骤602a中和框508所示出的。租用提议RO_k可以包括与当前的租用提议RO_k相关联的单价UP_k,j的指示。所包括的单价UP_k,j可以指示在租用网络运营商与出借网络运营商之间预先商定的单价，或者它可以指示针对当前的租用提议RO_k而定义的单价(例如，鉴于出借BBU子***150-k内未使用的无线接入资源的量)。在租用提议RO_k中不包括单价UP_k,j的指示的情况下，可以针对当前的租用提议RO_k而假设租借网络运营商与租用网络运营商之间预先商定的单价。类似地，响应于租用请求RR_j，出借TM实体210-l根据租用请求RR_j针对租用TM实体210-j生成租用提议RO_l，并且，如步骤602b中所示出的，将所生成的租用提议RO_l发送给租用TM实体210-j。

出借TM实体210-k中的租用提议RO_k的生成例如可以包括对以下方面中的一个或多个的考虑，而出借TM实体210-l可以以类似的方式生成相应的租用提议RO_l：

-由出借TM实体210-k服务的出借BBU 150-k中可用的未使用无线接入资源的量，表示为fr_k；

-所请求的无线接入资源量rr_j(如在所接收的租用请求RR_j中示出的)；

-对租用TM实体210-k分配的相对优先级(关于对其它TM实体210分配的优先级)，表示为pr_k,j；

-当前的租用提议RO_k的单价UP_k,j，其可以(如前所述)是出借网络运营商与租用网络运营商之间预先商定的单价或者针对当前租用提议而定义的单价；

-在出借BBU子***150-k中用于其自己的订户在时间rt_j的无线接入资源的所估计的需求(如在所接收的租用请求RR_j中示出的)，表示为er_k。

例如，根据以下过程，在上面讨论的信息片段可被应用于在出借TM实体210-k中生成租用提议RO_k，

If出借TM实体210-k具有来自另一个TM实体210-n的未决资源请求RR_n，其相对优先级pr_k,n高于相对优先级pr_k,j(即，pr_k,n>pr_k,j)，

Then在处理来自租用TM实体210-j的资源请求RR_j之前，处理资源请求RR_n；

else if fr_k<rr_j

then拒绝来自租用TM实体210-j的资源请求RR_j；

else if er_k+rr_j<fr_k

then基于所需求的资源量rr_j和当前的租用提议RO_k的单价UP_k,j，生成租用提议RO_k；

else拒绝租用请求RR_j。

在以上的变形中，在相应的BBU子***150-k、150-l中未使用的无线接入资源目前不足以证明租用合理或者被估计在租用时不足的情况下，出借TM实体210-k、210-l可以避免生成相应的租用提议RO_k、RO_l而无需明确评估租用请求RR_j。在这种情况下，相应的出借TM实体210-k、210-l可以向租用TM实体210-j发送根据租用请求RR_j的无线接入资源租用不可能的明确指示，或者它可以仅仅避免发送相应的租用提议RO_k、RO_l以指示根据租用请求RR_j的租用是不可能的。

当租用TM实体210-j已经从租用TM实体210-j已向其发送资源请求RR_j的相应的出借TM实体210-k、210-l(和/或从任何其它TM实体210)接收到租用提议RO_k和RO_l时，它比较所接收的租用提议并且如在框510中所示出的根据预定义的选择规则来选择租用提议RO_k和RO_l中的一个。以下描述选择规则的非限制性示例。

在该示例中，选择规则基于针对由已经提供了租用提议RO_k和RO_l的出借TM实体210-k和210-l服务的BBU子***150(或操作这些BBU子***的网络运营商)而分配的信任值。在此方面，可以使用以下公式来计算租用提议RO_k的相对信任值TV_j,k：

其中，T_j,k表示由租用TM实体210-j对出借TM实体210-k分配的信任，T_x,k表示由TM实体210-x对出借TM实体210-k分配的信任，而a和β分别表示在租用TM实体210-j中针对T_j,k和T_x,k的贡献而应用的预定义的加权值。通常，尽管并非必需的，但是加权值a和β被定义为使得a+β＝1。

作为示例，等式(1)的变量T_j,k可以由租用TM实体210-j基于来自出借BBU子***150-k过去的无线接入资源租用来计算，例如，使得如果N_g表示过去的良好租用体验的数量，而N_b表示过去的不良租用体验的数量，则信任T_j,k可被计算为T_j,k＝N_g/(N_g+N_b+1)。在每次完成租用之后，例如基于来自租用网络运营商的订户的反馈和/或基于租用网络运营商所应用的服务质量监控，指示符N_g或N_b之一可以递增1，并且可以计算(或更新)信任T_j,k并将其存储在存储器中以供随后用于计算相对信任值TV_j,k。可以将信任T_j,k的计算(或更新)值进一步报告给信任管理装置200的其它TM实体210。类似地，变量T_x,k可以在相应的TM实体210-x中进行计算并且被报告给TM实体210-k以用于计算相对信任值TV_j,k。

租用提议RO_l的相对信任值TV_j,l可以通过将等式(1)中的T_j,k替换为T_j,l来计算，T_j,l表示租用TM实体210-j对出借TM实体分配的信任(同时,可以应用类似的计算来计算租用TM实体210-j可能接收的所有其它租用提议RO_x的信任值)。

可以在租用TM实体210-j中应用相对信任值TV_j,k，以例如使用以下公式来计算出借TM实体210-k的比较值S_j,k：

其中，UP_j,k表示在操作BBU子***150-k和150-j的相应的网络运营商之间商定的单价，而γ和δ分别表示针对信任值TV_j,k的贡献和针对租用和出借网络运营商之间的租用而商定的单价UP_j,k的贡献而分配的预定义的加权因子。通常，尽管并非必需的，但是加权因子γ和δ被定义为使得γ+δ＝1。

租用提议RO_l的比较值S_j,l可以通过将等式(2)中TV_j,k替换为TV_j,l来计算，TV_j,l表示租用TM实体210-j对出借TM实体210-l计算的信任值TV_j,l(同时，可以应用比较值S_j,x的类似计算来计算由租用TM实体210-j可能接收的所有其它租用提议RO_x的信任值)。

一旦在租用TM实体210-j中已经计算了所有接收的租用提议RO_x的相应的比较值S_j,x，它就选择已经导出最高比较值S_j,x的BBU子***150-x作为实际的出借TM实体。在此方面，为了编辑清楚地说明，在下文中假设已经选择出借TM实体210-k作为实际的出借TM实体。

在步骤603中，租用TM实体210-j向所选择的出借TM实体210-k发送根据相应的租用提议RO_k由出借BBU子***150-k来执行无线接入的临时提供(即，无线接入租用)的初步请求。如框512中所示出的。对于该初步请求，租用TM实体210-j使用租用TM实体210-j的(预定义的)私钥SK_j计算第一签名Sn_j＝Sign(RO_k,SK_j)作为对租用提议RO_k的签名。第一签名Sn_j被包括在从租用TM实体210-j发送到出借TM实体210-k的初步请求中。在示例中，使用本领域中已知的过程，根据RSA算法来计算第一签名Sn_j。在其它示例中，可以使用本领域中已知的用于计算签名的其它技术。初步请求还可以包括以下中的一个或多个：租用提议RO_k或其中包括的一个或多个预定义的信息片段、标识租用网络运营商的标识符、标识出借网络运营商的标识符。

出借TM实体210-k验证在初步请求中接收的第一签名Sn_j的有效性。在示例中，使用本领域已知的过程(或通过使用本领域已知的其它适用的技术)，根据RSA算法，使用租用TM实体210-j的(预定义的)公钥PK_j来执行验证。响应于成功的签名验证，在步骤604中，出借TM实体210-k通过向租用TM实体210-j发送证实来响应从租用TM实体210-j接收的初步请求(步骤603)，如在框514中所示出的。为了证实，出借TM实体210-k使用(预定义的)私钥计算第二签名Sn_k＝Sign(Sn_j,SK_k)作为在请求中从租用TM实体210-j接收的对第一签名Sn_j的签名。第二签名Sn_k被包括到从出借TM实体210-k发送到租用TM实体210-j的证实中。在示例中，使用本领域中已知的过程，根据RSA算法来计算第二签名Sn_k。在其它示例中，可以使用本领域中已知的用于计算签名的其它技术。

租用TM实体210-j验证在证实中接收的第二签名Sn_k的有效性。在示例中，使用本领域已知的过程(或通过使用本领域已知的其它适用的技术)，根据RSA算法使用出借TM实体210-k的(预定义的)公钥PK_j来执行验证。在从出借TM实体210-k的证实中接收的第二签名Sn_k的验证推断出租用协商，并且响应于成功的签名验证，在步骤605中，租用TM实体210-j向出借TM实体210-k发送由出借BBU子***150-k根据租用提议RO_k来执行无线接入的临时提供(即，无线接入资源租用)的确认。如框516中所示出的，响应于接收到该确认，出借TM实体210-k采取必要的动作以由出借BBU子***150-k(而非租用BBU子***150-j)根据租用提议RO_k来执行无线接入的临时提供(或重新定位)，如框518a中所示出的。此外，作为对从出借TM实体210-k接收的证实的进一步响应，租用TM实体210-j根据租用提议RO_k重定向其订户中的一个或多个的无线接入以经由BBU子***150-k而不是BBU子***150-j进行以执行无线接入租用，如框518b中所示出的。

在无线接入租用期间，出借TM实体210-k对描述出借BBU子***150-k中的租用网络运营商的订户的无线网络使用的信息保持跟踪。该跟踪至少涉及租用时间rt的跟踪和所消耗的无线接入资源cr的跟踪。所跟踪的信息连同操作BBU子***150-k和150-j的相应的网络运营商之间的商定单价UP_j,k的指示被应用以生成租用账户RA。作为示例，可以将租用账户RA生成为乘积RA＝rt×cr×UP_j,k。

在租用完成之后，出借TM实体210使用出借TM实体210-k的私钥SK_k计算对租用账户RA的第三签名Sn_RA＝Sign(RA,SK_k)，并且在步骤606中所计算的第三签名Sn_RA从出借TM实体210-k被发送到租用TM实体210-j。因此，租用TM实体210-j使用租用TM实体210-j的私钥SK_j计算从出借TM实体210-k接收的对第三签名的第四签名Sn_RA'＝Sign(Sn_RA,SK_j)，并且在步骤607中，所计算的第四签名Sn_RA从TM实体210-j被发送到出借TM实体210-k。第四签名Sn_RA'，即由出借TM实体210-k和租用TM实体210-j两者签名的租用账户RA，用作租用TM实体210-j对无线接入资源的相应的租用的信任令牌，其随后可被出借网络运营商用来向租用网络运营商要求租用的费用或在租用网络运营商处补偿其未来的资源使用费用。可以例如以与下面针对第一和第二签名所描述的类似方式来计算(和验证)第三和第四签名。

图7示出了示例性装置700的一些组件的框图。装置700可以包括在图7中未示出的其它组件、元件或部分。装置700可被用来实现例如信任管理装置200的TM实体210或者实现C-RAN 100的BBU 110。特别地，装置700可被用作实现TM实体210或BBU 110的唯一设备，或者两个或更多个装置700可被布置为联合实现TM实体210或BBU 110。为了在此方面编辑清楚地说明，在下文中描述了将装置700作为用于实现TM实体210的唯一设备的使用。

装置700包括用于与其它设备通信的通信部分712。特别地，通信部分712支持两个TM实体210之间、两个BBU之间、BBU 110与TM实体210之间、BBU 110与核心网络140之间和/或TM实体210与核心网络140之间的通信。在此方面，通信部分712包括至少一个能够与其它装置进行有线通信的通信装置，并且通信部分712可以包括一个或多个其它(无线或有线)通信装置。通信部分712的通信装置也可以被称为相应的通信装置。

装置700还包括处理器716和用于存储数据和计算机程序代码717的存储器715。存储器715和存储在其中的计算机程序代码717的一部分可以进一步被布置为与处理器716一起提供用于控制装置的操作的控制功能，并且特别地，使装置700操作为如上所述的TM实体210或BBU 110。存储器715和存储在其中的计算机程序代码717的一部分可以进一步被布置为与处理器716一起，可与可在通信部分712的相应的通信装置内提供的控制部分或控制功能一起，提供用于控制通信部分712的通信装置的操作的控制功能。这些控制功能可以单独地或共同地被称为(装置700的)控制装置。

装置700还可以包括用户I/O(输入/输出)组件718，其可被布置为可与处理器716和计算机程序代码717的一部分一起，提供用于接收来自第一设备310的用户的输入和/或向附属设备110的用户提供输出的用户接口。用户I/O组件718可以包括硬件组件，诸如显示器、触摸屏、触摸板、鼠标、键盘、和/或一个或多个键或按钮的布置等。用户I/O组件718也可以被称为***设备。例如，根据计算机程序代码717的一部分，并且可能还根据经由用户I/O组件718接收的用户输入，和/或根据经由通信部分712接收的信息，处理器716可以被布置为控制装置700的操作。虽然处理器716被示出为单个组件，但是它可被实现为一个或多个单独的处理组件。类似地，虽然存储器715被示出为单个组件，但是它可被实现为一个或多个单独的组件，其中的一些或全部可以是集成的/可移除的和/或可以提供永久/半永久/动态/缓存存储。

存储在存储器715中的计算机程序代码717可以包括计算机可执行指令，其在被加载到处理器716中时控制装置700的操作的一个或多个方面。作为示例，计算机可执行指令可被提供为一个或多个指令的一个或多个序列。处理器716能够通过从存储器715读取其中包括的一个或多个指令的一个或多个序列来加载和执行计算机程序代码717。一个或多个指令的一个或多个序列可被配置为当由处理器716执行时，使装置700在TM实体210或BBU110的上下文中执行在前面描述的操作、过程和/或功能。因此，装置700可以包括至少一个处理器716和包括用于一个或多个程序的计算机程序代码717的至少一个存储器715，至少一个存储器715和计算机程序代码717被配置为与至少一个处理器716一起，使装置700在TM实体210或BBU 110的上下文中执行在前面描述的操作、过程和/或功能。

存储在存储器715中的计算机程序例如可被提供为相应的计算机程序产品，其包括在其上存储有计算机程序代码717的至少一个计算机可读非暂时性介质，计算机程序代码在由装置700执行时使装置700至少执行在信息管理装置200的操作的描述的在TM实体210或BBU 110的上下文中所描述的操作、程序和/或功能。计算机可读非暂时性介质可以包括存储器设备或记录介质，诸如CD-ROM、DVD、蓝光盘或有形地具体化计算机程序的其它制品。作为另一个示例，计算机程序可被提供为被配置为可靠地传送计算机程序的信号。

提及处理器不应被理解为仅包括可编程处理器，而是还包括诸如现场可编程门阵列(FPGA)、专用电路(ASIC)、信号处理器等的专用电路。在前面的说明中描述的特征可以在明确描述的组合以外的组合中使用。

尽管已经参考某些特征描述了功能，但是这些功能可以通过其它特征来执行，无论是否进行描述。尽管已经参考某些实施例描述了特征，但是这些特征也可以存在于其它实施例中，无论是否进行描述。

Claims

1.一种在第一信任管理器实体中的方法，所述第一信任管理器实体被布置为服务虚拟基站池，所述虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理所述云无线接入网络的相应的其它基带单元的无线接入的使用的相应的虚拟基站池，所述方法包括：

向一个或多个其它信任管理器实体发送租用请求，所述租用请求关于由相应的其它信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用；

从一个或多个其它信任管理器实体接收相应的租用提议，所述租用提议关于由相应的其它信任管理器所服务的虚拟基站池管理的无线接入的临时使用；

根据预定义的选择规则选择所接收的租用提议之一，并且选择所选择的租用提议的源作为出借信任管理器；

向所述出借信任管理器实体发送根据所选择的租用提议来执行无线接入的临时使用的初步请求，其中，所述初步请求包括使用所述第一信任管理实体的私钥签署的第一签名，所述第一签名包括所选择的租用提议；以及

响应于从所述出借信任管理器实体接收的证实，向所述出借信任管理器实体发送根据所选择的租用提议来执行无线接入的临时使用的确认，其中，所述证实包括使用所述出借信任管理器实体的私钥签署的第二签名，所述第二签名包括所述第一签名。

2.根据权利要求1所述的方法，还包括：

在发送所述确认之后，根据所选择的租用提议，重定向用于所述第一信任管理器实体的一个或多个订户的无线接入以经由所述出借信任管理器所服务的虚拟基站池来进行。

3.根据权利要求1或2所述的方法，还包括：

在根据所选择的租用提议完成了由所述出借信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用之后，

从所述出借信任管理器实体接收使用所述出借信任管理器实体的私钥签署的第三签名，所述第三签名包括由所述出借信任管理器实体生成的租用账户；以及

向所述出借信任管理器实体发送使用所述第一信任管理器实体的私钥签署的第四签名，所述第四签名包括所述第三签名。

4.根据权利要求1至3中任一项所述的方法，其中，所述租用请求包括以下中的至少一个或多个：

-所请求的无线接入资源的量；

-请求所述无线接入资源的时间段的指示。

5.根据权利要求1至4中任一项所述的方法，其中，租用提议包括根据所述租用请求的无线接入的临时使用的单价的指示。

6.根据权利要求1至5中任一项所述的方法，其中，根据预定义的选择规则来选择所接收的租用提议之一包括：

对于已从其接收到租用提议的所述一个或多个其它信任管理器实体中的每一个，根据第一分量和第二分量计算相应的信任值，所述第一分量描述由所述第一信任管理器实体为该其它信任管理器实体分配的信任，所述第二分量描述由所述一个或多个其它信任管理器实体中的另外的其它信任管理器实体为该其它信任管理器实体分配的信任；

对于所接收的租用提议中的每一个，根据相应的所计算的信任值和所述第一信任管理器实体与所述出借信任管理器实体之间商定的单价，计算相应的比较值；以及

选择计算出最有利比较值的租用提议。

7.根据权利要求6所述的方法，其中，所述信任值被计算为所述第一分量和所述第二分量的加权和。

8.根据权利要求6或7所述的方法，其中，所述比较值被计算为相应的信任值和所述单价的倒数的加权和。

9.一种在第一信任管理器实体中的方法，所述第一信任管理器实体被布置为服务虚拟基站池，所述虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理所述云无线接入网络的相应的其它基带单元的无线接入的使用的相应的虚拟基站池，所述方法包括：

从另一信任管理器实体接收租用请求，所述租用请求关于由所述第一信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用；

根据所述租用请求，生成用于所述另一信任管理器实体的租用提议；

向所述另一信任管理实体发送所生成的租用提议；

从所述另一信任管理器实体接收根据所述租用提议来执行无线接入的临时使用的初步请求，其中，所述初步请求包括使用所述另一信任管理器实体的私钥签署的第一签名，所述第一签名包括所述租用提议；以及

响应于所述初步请求，向所述另一信任管理器实体发送包括使用所述第一信任管理器实体的私钥签署的第二签名的证实，所述第二签名包括所述第一签名。

10.根据权利要求9所述的方法，包括：

在发送所述证实之后，从所述另一信任管理器实体接收根据所述租用提议来执行无线接入的临时使用的确认；以及

根据所述租用提议，经由所述第一信任管理器所服务的所述虚拟基站池，向所述另一信任管理器实体的一个或多个订户提供无线接入。

11.根据权利要求9或10所述的方法，还包括：

在所述无线接入的临时使用的期间，对描述所述另一信任管理器实体的所述一个或多个订户的无线接入使用的信息保持跟踪；

在完成所述无线接入的临时使用之后，基于所述跟踪的信息和所述第一信任管理器实体与所述另一信任管理器实体之间商定的单价来生成租用账户；以及

向所述另一信任管理器实体发送使用所述信任管理器实体的私钥签署的第三签名，所述第三签名包括所述租用账户。

12.根据权利要求9至11中任一项所述的方法，其中，所述租用请求包括以下中的至少一个或多个：

-所请求的无线接入资源的量；

-请求所述无线接入资源的时间段的指示。

13.根据权利要求9至12中任一项所述的方法，其中，所述租用提议包括根据所述租用请求的无线接入的临时使用的单价的指示。

14.根据权利要求12或13所述的方法，其中，生成租用提议包括基于以下中的一个或多个来生成所述租用提议：

-对于由所述第一信任管理器实体服务的所述虚拟基站池可用的未使用无线接入资源的量；

-所请求的无线接入资源的量，请求无线接入资源的时间段的指示；

-对所述另一信任管理器实体分配的相对优先级；

-为所述租用提议定义的单价；

-对由所述第一信任管理器实体服务的所述虚拟基站池中用于其自己的订户的无线接入资源的所估计的需求。

15.根据权利要求1至14中任一项所述的方法，还包括：执行与另一信任管理器实体的信任证明过程，所述过程包括：

向所述另一信任管理器实体发送第一质询；

验证从所述另一信任管理器实体接收的第一证书，所述第一证书是所述另一信任管理器实体的执行环境的证书；

响应于所述第一证书的成功验证，向由所述另一信任管理器实体服务的虚拟基站池发送第二质询；

验证从所述虚拟基站池接收的第二证书，所述第二证书是所述虚拟基站池的执行环境的证书；

响应于所述第二证书的成功验证，向所述另一信任管理器实体发送与所述另一信任管理器实体有关的信任策略，以使所述另一信任管理器实体和所述虚拟基站池能够监控它们各自对所述信任策略的遵从性；

根据从所述另一信任管理器实体接收的响应，确定所述虚拟基站池为可信虚拟基站池或不可信虚拟基站池。

16.根据权利要求1至14中任一项所述的方法，还包括：执行与另一信任管理器实体的信任证明过程，所述过程包括：

响应于从另一信任管理器实体接收的第一质询，向所述另一信任管理器实体发送第一证书，所述第一证书是所述第一信任管理器实体的执行环境的证书；

监控所述第一信任管理器实体对从所述另一信任管理器实体接收的信任策略的遵从性；

向由所述第一信任管理器实体所服务的所述虚拟基站池发送所述信任策略，以用于监控其对所述信任策略的遵从性；

根据在所述第一信任管理器实体和所述虚拟基站池中的所述监控操作的相应结果，向所述另一信任管理器实体发送信任指示。

17.根据权利要求16所述的方法，其中，所述信任策略包括以下中的一个或多个：

一个或多个参考散列码的集合，其指示用于信任策略遵从性监控的有效散列码；

用于所述另一信任管理实体的证书的验证的证书发布者的公钥。

18.根据权利要求17所述的方法，其中，所述监控包括以下中的一个或多个：

验证使用预定义的散列函数计算的执行环境的散列码与在所述信任策略中接收的参考散列码之一匹配；

使用所述公钥验证所述另一信任管理器实体的证书。

19.根据权利要求1至18中任一项所述的方法，还包括：执行自证过程，所述过程包括：

向由所述第一信任管理器实体服务的虚拟基站池请求执行环境的散列码，所述散列码使用预定义的散列函数而计算；

将从所述虚拟基站池接收的散列码与至少一个参考散列码进行比较；

响应于所接收的散列码与所述至少一个参考散列码匹配，确定成功的自证。

20.一种操作为第一信任管理器的装置，所述第一信任管理器被布置为服务虚拟基站池，所述虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理所述云无线接入网络的相应其它的基带单元的无线接入的使用的相应的虚拟基站池，所述装置包括通信部分和控制部分，所述通信部分包括用于与其它装置通信的至少一个通信装置，所述控制部分被配置为使用所述通信部分使所述装置：

21.根据权利要求20所述的装置，其中，所述控制部分还被配置为使所述装置在发送所述确认之后，根据所选择的租用提议，重定向用于所述第一信任管理器实体的一个或多个订户的无线接入以经由所述出借信任管理器所服务的虚拟基站池来进行。

22.根据权利要求20或21所述的装置，其中，所述控制部分还被配置为使所述装置在根据所选择的租用提议完成了由所述出借信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用之后，

23.根据权利要求20至22中任一项所述的装置，所述租用请求包括以下中的至少一个或多个：

-所请求的无线接入资源的量；

-请求所述无线接入资源的时间段的指示。

24.根据权利要求20至23中任一项所述的装置，其中，租用提议包括根据所述租用请求的无线接入的临时使用的单价的指示。

25.根据权利要求20至24中任一项所述的装置，其中，根据预定义的选择规则来选择所接收的租用提议之一包括：

选择计算出最有利比较值的租用提议。

26.根据权利要求25所述的装置，其中，所述信任值被计算为所述第一分量和所述第二分量的加权和。

27.根据权利要求25或26所述的装置，其中，所述比较值被计算为相应的信任值和所述单价的倒数的加权和。

28.一种操作为第一信任管理器的装置，所述第一信任管理器被布置为服务虚拟基站池，所述虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理所述云无线接入网络的相应其它的基带单元的无线接入的使用的相应的虚拟基站池，所述装置包括通信部分和控制部分，所述通信部分包括用于与其它装置通信的至少一个通信装置，所述控制部分被配置为使用所述通信部分使所述装置：

向所述另一信任管理实体发送所生成的租用提议；

29.根据权利要求28所述的装置，其中，所述控制部分还被配置为使所述装置：

30.根据权利要求28或29所述的装置，其中，所述控制部分还被配置为使所述装置：

在所述无线接入的临时使用的期间，对描述所述另一信任管理器实体的所述一个或多个订户的无线接入使用的信息的保持跟踪；

31.根据权利要求28至30中任一项所述的装置，其中，所述租用请求包括以下中的至少一个或多个：

-所请求的无线接入资源的量；

-请求所述无线接入资源的时间段的指示。

32.根据权利要求28至31中任一项所述的装置，其中，租用提议包括根据所述租用请求的无线接入的临时使用的单价的指示。

33.根据权利要求31或32所述的装置，其中，生成租用提议包括基于以下中的一个或多个来生成所述租用提议：

-对所述另一信任管理器实体分配的相对优先级；

-为所述租用提议定义的单价；

34.根据权利要求20至33中任一项所述的装置，其中，所述控制部分还被配置为，为了执行与另一信任管理器实体的信任证明过程，使所述装置：

向所述另一信任管理器实体发送第一质询；

35.根据权利要求20至33中任一项所述的装置，其中，所述控制部分还被配置为，为了执行与另一信任管理器实体的信任证明过程，使所述装置：

36.根据权利要求35所述的装置，其中，所述信任策略包括以下中的一个或多个：

37.根据权利要求36所述的装置，其中，所述监控包括以下中的一个或多个：

使用所述公钥验证所述另一信任管理器实体的证书。

38.根据权利要求20至37中任一项所述的装置，其中，所述控制部分还被配置为，为了执行自证过程，使所述装置：

39.一种操作为第一信任管理器的装置，所述第一信任管理器被布置为服务虚拟基站池，所述虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理所述云无线接入网络的相应其它的基带单元的无线接入的使用的相应的虚拟基站池，所述装置包括：

用于向一个或多个其它信任管理器实体发送租用请求的装置，所述租用请求关于由相应的其它信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用；

用于从一个或多个其它信任管理器实体接收相应的租用提议的装置，所述租用提议关于由相应的其它信任管理器所服务的虚拟基站池管理的无线接入的临时使用；

用于根据预定义的选择规则选择所接收的租用提议之一，并且选择所选择的租用提议的源作为出借信任管理器的装置；

用于向所述出借信任管理器实体发送根据所选择的租用提议来执行无线接入的临时使用的初步请求的装置，其中，所述初步请求包括使用所述第一信任管理实体的私钥签署的第一签名，所述第一签名包括所选择的租用提议；以及

用于响应于从所述出借信任管理器实体接收的证实，向所述出借信任管理器实体发送根据所选择的租用提议来执行无线接入的临时使用的确认的装置，其中，所述证实包括使用所述出借信任管理器实体的私钥签署的第二签名，所述第二签名包括所述第一签名。

40.一种操作为第一信任管理器的装置，所述第一信任管理器被布置为服务虚拟基站池，所述虚拟基站池管理包括一个或多个其它信任管理器实体的信任管理装置内的云无线接入网络的基带单元的无线接入的使用，每个其它信任管理器实体被布置为服务管理所述云无线接入网络的相应的其它基带单元的无线接入的使用的相应的虚拟基站池，所述装置包括：

用于从另一信任管理器实体接收租用请求的装置，所述租用请求关于由所述第一信任管理器实体所服务的虚拟基站池管理的无线接入的临时使用；

用于根据所述租用请求来生成用于所述另一信任管理器实体的租用提议的装置；

用于向所述另一信任管理实体发送所生成的租用提议的装置；

用于从所述另一信任管理器实体接收根据所述租用提议来执行无线接入的临时使用的初步请求的装置，其中，所述初步请求包括使用所述另一信任管理器实体的私钥签署的第一签名，所述第一签名包括所述租用提议；以及

用于响应于所述初步请求，向所述另一信任管理器实体发送包括使用所述第一信任管理器实体的私钥签署的第二签名的证实的装置，所述第二签名包括所述第一签名。

41.一种计算机程序，包括计算机可读程序代码，所述计算机程序被配置为当所述程序代码在计算装置上运行时使得执行权利要求1至19中任一项所述的方法。

42.一种计算机程序产品，包括至少一个其上存储有程序代码的计算机可读非暂时性介质，所述程序代码在由装置执行时使所述装置至少执行权利要求1至19中任一项所述的方法。