CN109688586A - 一种网络功能认证的方法、装置及计算机可读存储介质 - Google Patents
一种网络功能认证的方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN109688586A CN109688586A CN201710979106.4A CN201710979106A CN109688586A CN 109688586 A CN109688586 A CN 109688586A CN 201710979106 A CN201710979106 A CN 201710979106A CN 109688586 A CN109688586 A CN 109688586A
- Authority
- CN
- China
- Prior art keywords
- nrf
- request
- access token
- network function
- carried
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
本发明实施例提供了一种网络功能认证的方法、装置及计算机可读存储介质,网络功能认证的方法包括:接收来自发送端的网络功能NF请求,对所述NF请求进行访问令牌认证,得到认证结果;根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果,所述网络功能认证的方法通过NRF在注册、发现等流程时对请求NF进行认证来提高系统的安全性,同时在NF自动注册时,提供自身的令牌供NF发现时由NRF提供给服务请求NF,以此服务提供NF可以进行NF服务调用的认证,提高了系统的安全性,避免系统受到非法攻击。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种网络功能认证的方法、装置及计算机可读存储介质。
背景技术
传统的电信网络较为封闭,硬件通常采用专用的设备,在专用的应用上叠加业务的软件,这些设备通常位于专有的电信机房内,业务之间的交互一般没有认证,只需要遵循相互之间的接口协议即可,如MME(Mobility Management Entity,移动管理实体)与SGW(Serving Gate Way,服务网关)之间的交互只要遵循3GPP(3rd Generation PartnershipProject,第三代合作伙伴计划)TS(Technical specification,技术规范)29.274中定义的接口即可。
电信领域已经开始进入5G(5th-Generation,第五代移动通信技术)时代,在3GPP核心网架构协议TS 23.501中已经明确要求支持NFV(Network Function Virtualization,网络功能虚拟化),NFV的架构要求软件运行在通用的硬件之上,这意味着软件一般不会运行于专有的硬件之上。而且核心网的业务逐步的下沉,可能导致部分的NF(NetworkFunction,网络功能)直接部署到边缘数据中心上。3GPP TS 23.501上定义的5G系统架构如图1所示。由图中可以看出,所有控制面的NF都位于一个总线上,这意味着所有的控制面NF采用相同的协议栈。
不管是NFV的要求,还是统一总线的要求,NF之间的交互需要考虑相互之间的认证,如何确保接收到的报文合法而不是一个攻击报文,是一个亟需解决的问题。
发明内容
为了解决上述技术问题,本发明实施例提供了一种网络功能认证的方法、装置及计算机可读存储介质,解决了NF通信安全的问题。
依据本发明实施例的一个方面,提供了一种网络功能认证的方法,包括:
接收来自发送端的网络功能NF请求,对所述NF请求进行访问令牌认证,得到认证结果;
根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。
可选地,所述接收端为网络功能仓储NRF,所述发送端为NF,所述NF请求为NF注册请求,所述接收来自发送端的网络功能NF请求,对所述NF请求进行访问令牌认证,得到认证结果,包括:
接收NF注册请求,判断所述NF注册请求中携带的NRF访问令牌与网络功能编排器NFVO注入的NRF访问令牌是否一致,得到认证结果;
其中,所述认证结果为:所述NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致;或者,所述NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF注册请求,所述根据所述认证结果对所述NF请求进行响应,包括:
若所述NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则成功响应所述NF注册请求;
若所述NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则丢弃所述NF注册请求。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF发现请求,所述根据所述认证结果对所述NF请求进行响应,包括:
若所述NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则向NF返回失败响应;
若所述NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则检查NF发现请求中携带的NRF访问令牌是否已经授权;
如果所述NF发现请求中携带的NRF访问令牌未授权,则向NF返回失败响应;
如果所述NF发现请求中携带的NRF访问令牌已授权,则向NF返回成功发现响应。
可选地,所述接收端为服务提供NF,所述发送端为服务请求NF,所述NF请求为NF调用请求,所述根据所述认证结果对所述NF请求进行响应,包括:
若所述NF调用请求中携带的NRF访问访问令牌与服务提供NF自身的NRF访问令牌一致,则给服务请求NF提供与所述NF调用请求对应的网络服务。
依据本发明实施例的另一个方面,还提供了一种网络功能认证的装置,适用于接收端,包括:
认证模块,用于接收来自发送端的网络功能NF请求,对所述NF请求进行访问令牌认证,得到认证结果;
响应模块,用于根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF注册请求,所述认证模块包括:
第一判断单元,用于接收网络功能NF注册请求,判断所述NF注册请求中携带的NRF访问令牌与网络功能编排器NFVO注入的NRF访问令牌是否一致,得到认证结果;
其中,所述认证结果为:NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致;或者,NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF注册请求,所述响应模块包括:
第一响应单元,用于若NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则成功响应所述NF注册请求;
第二响应单元,用于若NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则丢弃所述NF注册请求。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF发现请求,所述响应模块包括:
第三响应单元,用于若NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则向NF返回失败响应;
检查单元,用于若NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则检查NF发现请求中携带的NRF访问令牌是否已经授权;
第四响应单元,用于如果NF发现请求中携带的NRF访问令牌未授权,则向NF返回失败响应;
第五响应单元,用于如果NF发现请求中携带的NRF访问令牌已授权,则向NF返回发现响应。
可选地,所述接收端为服务提供NF,所述发送端为服务请求NF,所述NF请求为NF调用请求,所述响应模块包括:
第六响应单元,用于若NF调用请求中携带的NRF访问令牌与服务提供NF自身的NRF访问令牌一致,则给服务请求NF提供与所述NF调用请求对应的网络服务。
依据本发明实施例的又一个方面,还提供了一种网络功能认证的装置,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述的网络功能认证的方法中的步骤。
依据本发明实施例的再一个方面,还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上所述的网络功能认证的方法中的步骤。
本发明的实施例具有如下有益效果:
在本发明实施例中,接收来自发送端的NF(网络功能)请求,首先对所述NF请求进行访问令牌认证,得到认证结果;再根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。所述网络功能认证的方法通过NRF在注册、发现等流程时对请求NF进行认证来提高系统的安全性,同时在NF自动注册时,服务提供NF将自身的令牌在NF发现时由NRF提供给消费者NF,以此服务提供NF可以进行NF服务调用的认证,提高了系统的安全性,避免系统受到非法攻击。
附图说明
图1为现有的一种5G(第五代移动通信技术)系统架构示意图;
图2为本发明实施例提供的一种网络功能认证系统的结构示意图;
图3为本发明实施例提供的一种网络功能认证的方法的流程图;
图4为本发明实施例提供的另一种网络功能认证的方法的流程图;
图5为本发明实施例提供的再一种网络功能认证的方法的流程图;
图6为本发明实施例提供的又一种网络功能认证的方法的流程图;
图7为本发明实施例提供的一种网络功能认证的装置的结构示意图;
图8为本发明另一实施例提供的一种网络功能认证的装置的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。
为了解决NF通信安全的问题,尤其是在当前5G总线架构下的NF通信的安全问题,本发明实施例提供了一种网络功能认证系统。参见图2,所述网络功能认证系统包括:NRF(Network Function Repository,网络功能仓储)、NFVO(Network FunctionVirtualization Orchestrator,网络功能编排器)以及一个或多个NF,所述NF包括:消费者NF(或称为服务请求NF)和服务提供者NF(或称为服务提供NF)。
其中,NRF作为5G系统内NF注册与发现中心,同时还充当NF的认证中心,一方面在NF注册时在NRF进行注册认证,另一方面在NF发现时向请求NF提供目标NF的令牌供目标NF进行请求NF的认证。所述NRF包括:OAM,在NF启动后通过所述OAM将NRF令牌作为配置参数注入到NF中。
消费者NF作为NF服务的消费者,需要通过NRF获取服务提供者NF的访问令牌(可简称为令牌),并在调用提供者服务时提供消费者NF的访问令牌供服务提供者NF进行令牌认证。
服务提供者NF作为服务的提供者,一方面在NF注册时向NRF提供服务提供者NF的访问令牌供NRF进行认证;同时也会提供服务提供者NF的访问令牌来供NF发现时提供给消费者NF;另一方面在消费者NF调用其提供的服务时对消费者NF进行认证。
当NF部署时,由安全认证中心生成安全访问令牌并下发到各个部署的NF,这个访问令牌可以是密钥形式。其中,安全认证中心可以是NRF,也可以是可以充当NF安全中心的其他NF;当NF或NF服务携带获取的访问令牌向NRF发起注册时,NRF根据自身的访问令牌对发起注册请求的NF进行认证;当NF携带令牌向NRF发起NF或NF服务发现请求时,由NRF根据NRF自身的访问令牌对发起发现请求的NF进行认证。
进一步地,NF注册时也可以携带NF自身的令牌到NRF,NRF在NF发现时携带给消费者NF;消费者NF携带获取的令牌进行服务调用时,服务提供者NF可以对消费者NF进行认证。
为了解决当前5G总线架构下的NF通信的安全问题,本发明实施例提供了一种网络功能认证的方法,图3为本发明实施例提供的一种网络功能认证的方法的流程图,参见图3,该方法包括以下步骤:
S301,接收来自发送端的NF(网络功能)请求,对所述NF请求进行访问令牌认证,得到认证结果;
在本发明实施例中,所述NF请求包括:NF注册请求、NF发现请求或NF调用请求;需要说明的是,以上有关于NF请求的种类的描述只是示例并非限定,可以理解的是,在本发明实施例中并不具体限定所述NF请求的种类。
对所述NF请求进行访问令牌认证的实现方式有多种,其中一种优选的实现方式为:判断所述NF请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌是否一致,得到认证结果。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF注册请求,所述S301包括以下步骤:S3011。
S3011,接收网络功能NF注册请求,判断NF注册请求中携带的NRF访问令牌与网络功能编排器NFVO注入的NRF访问令牌是否一致,得到认证结果;其中,所述认证结果为:NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致;或者,NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致。
类似地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF发现请求,所述S301包括以下步骤:S3012。
S3012,接收网络功能NF发现请求,判断NF发现请求中携带的NRF访问令牌与网络功能编排器NFVO注入的NRF访问令牌是否一致,得到认证结果;其中,所述认证结果为:NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致;或者,NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致。
类似地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF调用请求,所述S301包括以下步骤:S3013。
S3013,接收网络功能NF调用请求,判断NF调用请求中携带的NRF访问令牌与网络功能编排器NFVO注入的NRF访问令牌是否一致,得到认证结果;其中,所述认证结果为:NF调用请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致;或者,NF调用请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致。
S302,根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF注册请求,所述S302包括以下步骤:S3021~S3022。
S3021,若NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则成功响应所述NF注册请求;
S3022,若NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则丢弃所述NF注册请求。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF发现请求,所述S302包括以下步骤:S3023~S3026。
S3023,若NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则向NF返回失败响应;
S3024,若NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则检查NF发现请求中携带的NRF访问令牌是否已经授权;
S3025,如果NF发现请求中携带的NRF访问令牌未授权,则向NF返回失败响应;
S3026,如果NF发现请求中携带的NRF访问令牌已授权,则向NF返回成功发现响应。
可选地,所述接收端为服务提供NF,所述发送端为服务请求NF,所述NF请求为NF调用请求,所述S302包括以下步骤:S3027~S3028。
S3027,若NF调用请求中携带的NRF访问令牌与服务提供NF自身的NRF访问令牌一致,则给服务请求NF提供与所述NF调用请求对应的网络服务。
S3028,若NF调用请求中携带的NRF访问令牌与服务提供NF自身的NRF访问令牌不一致,则向服务请求NF返回失败响应。
在本发明实施例中,接收来自发送端的NF(网络功能)请求,首先对所述NF请求进行访问令牌认证,得到认证结果;再根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。所述网络功能认证的方法通过NRF在注册、发现等流程时对请求NF进行认证来提高系统的安全性,同时在NF自动注册时,服务提供NF将自身的令牌在NF发现时由NRF提供给消费者NF,以此服务提供NF可以进行NF服务调用的认证,提高了系统的安全性,避免系统受到非法攻击。
为了便于理解上述的网络功能认证的方法,以下进行举例说明。
图4为本发明实施例提供的另一种网络功能认证的方法,该方法适用于NF向NRF注册时NRF进行令牌认证的过程,参见图4,所述方法包括以下步骤:
S401,NF上电后,根据NF自身的信息向NRF发起NF注册请求;其中,NF注册请求中携带有从OAM中注入的NRF的令牌;
需要说明的是,所述令牌即为NRF访问令牌的简称。
S402,令牌校验认证,即NRF接收到NF注册请求,判断NF注册请求中携带的令牌与OAM注入的令牌是否一致;
S403,注册响应,若NF注册请求中携带的令牌与OAM注入的令牌一致则返回成功响应;若NF注册请求中携带的令牌与OAM注入的令牌不一致,则返回失败响应或丢弃。
图5为本发明实施例提供的再一种网络功能认证的方法,该方法适用于NF通过NRF进行NF发现的过程,参见图5,所述方法包括以下步骤:
S501,NF由于外部消息触发,决定需要请求其他NF服务,如AMF(Access andMobility Management Function,接入和移动性管理功能)接收到UE(user equipment,用户终端)的注册请求时需要请求UDM(Unified Data Management,统一数据管理)的服务;该消费者NF需要通过NRF获取服务提供者NF的信息,消费者NF向NRF发起NF发现请求,在所述NF发现请求中携带有NRF的令牌信息;
S502,NRF收到NF发现请求,首先检查NF发现请求中携带的令牌信息与NRF自身保存的信息是否一致,若NF发现请求中携带的令牌信息与NRF自身保存的令牌信息不一致,则向NF返回失败响应;若NF发现请求中携带的令牌信息与NRF自身保存的令牌信息一致,则执行S503。
在本发明实施例中,所述NRF自身保存的令牌信息为NFVO注入的令牌信息。
S503,NRF对NF发现请求中携带的令牌信息进行授权检查,如果授权失败,则向NF返回失败响应;如果授权成功,则执行S504。
S504,NRF认证、授权检查通过后根据本地的信息向请求NF返回NF发现响应。
图6为本发明实施例提供的又一种网络功能认证的方法,该方法适用于消费者NF(即为服务请求NF)向服务提供者NF(即为服务提供NF)调用服务时进行认证的过程,参见图6,所述方法包括以下步骤:
S601,消费者NF从NRF中获取到服务提供者NF的信息后,根据一定的规则选择某个特定的NF,向该NF发起服务调用请求同时携带该NF的令牌信息;
以选择SMF(Session Management Function,会话管理功能)为例,来说明如何根据一定的规则选择某个特定的NF的过程。例如,在PDU(Packet Data Unit,报文数据单元PDU)建立过程中AMF可能通过SMF的负荷、状态、支持的DNN(Data Network Name,数据网络名称)等信息来选择满足条件的SMF。
S602,服务提供者NF接收到消费者NF调用请求后,判断NF调用请求消息中携带的令牌信息与服务提供者NF自身的令牌是否一致;
S603,调用响应,NF调用请求消息中携带的令牌信息与服务提供者NF自身的令牌不一致则向请求者NF返回失败响应;调用请求消息中携带的令牌信息与服务提供者NF自身的令牌一致,则可以向请求者NF提供服务。
图7为本发明实施例提供的一种网络功能认证的装置的结构示意图,该网络功能认证的装置适用于接收端,参见图7,该网络功能认证的装置700包括:认证模块701和响应模块702。其中,
认证模块701,用于接收来自发送端的网络功能NF请求,对所述NF请求进行访问令牌认证,得到认证结果;
响应模块702,用于根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF注册请求,所述认证模块701包括:第一判断单元。
第一判断单元,用于接收网络功能NF注册请求,判断NF注册请求中携带的NRF访问令牌与网络功能编排器NFVO注入的NRF访问令牌是否一致,得到认证结果;
其中,所述认证结果为:NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致;或者,NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF注册请求,所述响应模块702包括:第一响应单元和第二响应单元。
第一响应单元,用于若NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则成功响应所述NF注册请求;
第二响应单元,用于若NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则丢弃所述NF注册请求。
可选地,所述接收端为NRF,所述发送端为NF,所述NF请求为NF发现请求,所述响应模块702包括:第三响应单元、检查单元、第四响应单元和第五响应单元。其中,
第三响应单元,用于若NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则向NF返回失败响应;
检查单元,用于若NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则检查NF发现请求中携带的NRF访问令牌是否已经授权;
第四响应单元,用于如果NF发现请求中携带的NRF访问令牌未授权,则向NF返回失败响应;
第五响应单元,用于如果NF发现请求中携带的NRF访问令牌已授权,则向NF返回成功发现响应。
可选地,所述接收端为服务提供NF,所述发送端为服务请求NF,所述NF请求为NF调用请求,所述响应模块702包括:第六响应单元。其中,
第六响应单元,用于若NF调用请求中携带的NRF访问令牌与服务提供NF自身的NRF访问令牌一致,则给服务请求NF提供与所述NF调用请求对应的网络服务。
需要说明的是,本发明实施例的网络功能认证的装置可实现上述网络功能认证的方法的各个步骤,在此不再赘述。
在本发明实施例中,通过认证模块701接收来自发送端的NF请求,对所述NF请求进行访问令牌认证,得到认证结果;再通过响应模块702根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。该网络功能认证的装置通过NRF在注册、发现等流程时对请求NF进行认证来提高系统的安全性,同时在NF自动注册时,服务提供NF将自身的令牌在NF发现时由NRF提供给消费者NF,以此服务提供NF可以进行NF服务调用的认证,提高了系统的安全性,避免系统受到非法攻击。
图8是本发明另一实施例提供的一种网络功能认证的装置的结构示意图,如图8所示,网络功能认证的装置800包括:处理器801、收发机802、存储器803、用户接口804和总线接口,其中:
在本发明实施例中,网络功能认证的装置800还包括:存储在存储器803上并可在处理器801上运行的计算机程序,计算机程序被处理器801、执行时实现如下步骤:
接收来自发送端的网络功能NF请求,对所述NF请求进行访问令牌认证,得到认证结果;根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。
在图8中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器801代表的一个或多个处理器和存储器803代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机802可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口804还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器801负责管理总线架构和通常的处理,存储器803可以存储处理器801在执行操作时所使用的数据。
可选的,计算机程序被处理器801执行时还可实现如下步骤:
接收网络功能NF注册请求,判断NF注册请求中携带的NRF访问令牌与网络功能编排器NFVO注入的NRF访问令牌是否一致,得到认证结果;其中,所述认证结果为:NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致;或者,NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致。
可选的,计算机程序被处理器801执行时还可实现如下步骤:
若NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则成功响应所述注册请求;若NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则丢弃所述NF注册请求。
可选的,计算机程序被处理器801执行时还可实现如下步骤:
若NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则向NF返回失败响应;若NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则检查NF发现请求中携带的NRF访问令牌是否已经授权;如果NF发现请求中携带的NRF访问令牌未授权,则向NF返回失败响应;如果NF发现请求中携带的NRF访问令牌已授权,则向NF返回成功发现响应。
可选的,计算机程序被处理器801执行时还可实现如下步骤:
若NF调用请求中携带的NRF访问令牌与服务提供NF自身的NRF访问令牌一致,则给服务请求NF提供与所述NF调用请求对应的网络服务。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的网络功能认证的方法中的步骤。
在本发明实施例中,通过处理器801接收来自发送端的NF请求,对所述NF请求进行访问令牌认证,得到认证结果;再通过处理器801根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。该网络功能认证的装置通过NRF在注册、发现等流程时对请求NF进行认证来提高系统的安全性,同时在NF自动注册时,服务提供NF将自身的令牌在NF发现时由NRF提供给消费者NF,以此服务提供NF可以进行NF服务调用的认证,提高了系统的安全性,避免系统受到非法攻击。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,网络功能认证的装置,或者网络侧设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种网络功能认证的方法,适用于接收端,其特征在于,包括:
接收来自发送端的网络功能NF请求,对所述NF请求进行访问令牌认证,得到认证结果;
根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。
2.根据权利要求1所述的方法,其特征在于,所述接收端为网络功能仓储NRF,所述发送端为NF,所述NF请求为NF注册请求,所述接收来自发送端的NF请求,对所述NF请求进行访问令牌认证,得到认证结果,包括:
接收NF注册请求,判断所述NF注册请求中携带的NRF访问令牌与网络功能编排器NFVO注入的NRF访问令牌是否一致,得到认证结果;
其中,所述认证结果为:所述NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致;或者,所述NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致。
3.根据权利要求1或2所述的方法,其特征在于,所述接收端为NRF,所述发送端为NF,所述NF请求为NF注册请求,所述根据所述认证结果对所述NF请求进行响应,包括:
若所述NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则成功响应所述NF注册请求;
若所述NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则丢弃所述NF注册请求。
4.根据权利要求1所述的方法,其特征在于,所述接收端为NRF,所述发送端为NF,所述NF请求为NF发现请求,所述根据所述认证结果对所述NF请求进行响应,包括:
若所述NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则向NF返回失败响应;
若所述NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则检查NF发现请求中携带的NRF访问令牌是否已经授权;
如果所述NF发现请求中携带的NRF访问令牌未授权,则向NF返回失败响应;
如果所述NF发现请求中携带的NRF访问令牌已授权,则向NF返回成功发现响应。
5.根据权利要求1所述的方法,其特征在于,所述接收端为服务提供NF,所述发送端为服务请求NF,所述NF请求为NF调用请求,所述根据所述认证结果对所述NF请求进行响应,包括:
若所述NF调用请求中携带的NRF访问令牌与服务提供NF自身的NRF访问令牌一致,则给服务请求NF提供与所述NF调用请求对应的网络服务。
6.一种网络功能认证的装置,适用于接收端,其特征在于,包括:
认证模块,用于接收来自发送端的网络功能NF请求,对所述NF请求进行访问令牌认证,得到认证结果;
响应模块,用于根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果。
7.根据权利要求6所述的装置,其特征在于,所述接收端为NRF,所述发送端为NF,所述NF请求为NF注册请求,所述认证模块包括:
第一判断单元,用于接收网络功能NF注册请求,判断NF注册请求中携带的NRF访问令牌与网络功能编排器NFVO注入的NRF访问令牌是否一致,得到认证结果;
其中,所述认证结果为:NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致;或者,NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致。
8.根据权利要求6或7所述的装置,其特征在于,所述接收端为NRF,所述发送端为NF,所述NF请求为NF注册请求,所述响应模块包括:
第一响应单元,用于若NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则成功响应所述NF注册请求;
第二响应单元,用于若NF注册请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则丢弃所述NF注册请求。
9.根据权利要求6所述的装置,其特征在于,所述接收端为NRF,所述发送端为NF,所述NF请求为NF发现请求,所述响应模块包括:
第三响应单元,用于若NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌不一致,则向NF返回失败响应;
检查单元,用于若NF发现请求中携带的NRF访问令牌与NFVO注入的NRF访问令牌一致,则检查NF发现请求中携带的NRF访问令牌是否已经授权;
第四响应单元,用于如果NF发现请求中携带的NRF访问令牌未授权,则向NF返回失败响应;
第五响应单元,用于如果NF发现请求中携带的NRF访问令牌已授权,则向NF返回成功发现响应。
10.根据权利要求6所述的装置,其特征在于,所述接收端为服务提供NF,所述发送端为服务请求NF,所述NF请求为NF调用请求,所述响应模块包括:
第六响应单元,用于若NF调用请求中携带的NRF返回的NRF访问令牌与服务提供NF自身的NRF访问令牌一致,则给服务请求NF提供与所述NF调用请求对应的网络服务。
11.一种网络功能认证的装置,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~5任一项所述的网络功能认证的方法中的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1~5任一项所述的网络功能认证的方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710979106.4A CN109688586B (zh) | 2017-10-19 | 2017-10-19 | 一种网络功能认证的方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710979106.4A CN109688586B (zh) | 2017-10-19 | 2017-10-19 | 一种网络功能认证的方法、装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109688586A true CN109688586A (zh) | 2019-04-26 |
| CN109688586B CN109688586B (zh) | 2021-12-07 |
Family
ID=66182966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710979106.4A Active CN109688586B (zh) | 2017-10-19 | 2017-10-19 | 一种网络功能认证的方法、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109688586B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314944A (zh) * | 2020-02-13 | 2020-06-19 | 广州爱浦路网络技术有限公司 | 一种基于顶级nrf的管理5g核心网中nrf的方法 |
| CN111416827A (zh) * | 2020-03-25 | 2020-07-14 | 广州爱浦路网络技术有限公司 | 根据安全等级发现网络功能nf的方法 |
| CN111865888A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 一种代理订阅的授权方法及装置 |
| CN111865597A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 通信方法和通信设备 |
| WO2020220919A1 (zh) * | 2019-04-29 | 2020-11-05 | 华为技术有限公司 | 一种代理订阅的授权方法及装置 |
| CN112003912A (zh) * | 2020-08-13 | 2020-11-27 | 广州爱浦路网络技术有限公司 | 5g核心网中sepp认证nf的方法 |
| CN112087412A (zh) * | 2019-06-14 | 2020-12-15 | 大唐移动通信设备有限公司 | 一种基于唯一令牌的服务访问处理方法及装置 |
| WO2020254903A1 (en) * | 2019-06-15 | 2020-12-24 | Nokia Technologies Oy | Authorization for network function sets in communication system |
| CN112152856A (zh) * | 2020-09-25 | 2020-12-29 | 广州爱浦路网络技术有限公司 | 边缘服务器管理系统及方法 |
| CN112822678A (zh) * | 2019-10-31 | 2021-05-18 | 华为技术有限公司 | 一种服务化架构授权的方法 |
| WO2021103693A1 (zh) * | 2019-11-30 | 2021-06-03 | 华为技术有限公司 | 授权方法及装置 |
| CN113438196A (zh) * | 2020-03-23 | 2021-09-24 | 华为技术有限公司 | 一种服务授权方法、装置及系统 |
| CN113490212A (zh) * | 2021-06-18 | 2021-10-08 | 新华三技术有限公司 | 一种密钥的分配方法、通信设备和存储介质 |
| CN113994727A (zh) * | 2019-06-15 | 2022-01-28 | 诺基亚技术有限公司 | 通信系统中的安全访问控制 |
| CN114145031A (zh) * | 2019-07-26 | 2022-03-04 | 瑞典爱立信有限公司 | 在基于服务的架构中注册和请求服务 |
| CN114301662A (zh) * | 2021-12-27 | 2022-04-08 | 中国电信股份有限公司 | 请求生产者网络功能服务的方法及装置、设备及介质 |
| CN114424611A (zh) * | 2019-09-19 | 2022-04-29 | 诺基亚通信公司 | 网络功能的控制 |
| WO2023130885A1 (zh) * | 2022-01-05 | 2023-07-13 | 华为技术有限公司 | 集成可信度量的通信方法 |
| WO2023169206A1 (zh) * | 2022-03-11 | 2023-09-14 | 华为技术有限公司 | 授权验证的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150295905A1 (en) * | 2012-11-09 | 2015-10-15 | Interdigital Patent Holdings, Inc. | Identity management with generic bootstrapping architecture |
| CN105847220A (zh) * | 2015-01-14 | 2016-08-10 | 北京神州泰岳软件股份有限公司 | 一种认证方法、系统和服务平台 |
| CN106161077A (zh) * | 2015-04-24 | 2016-11-23 | 中兴通讯股份有限公司 | 接入汇聚装置和认证注册方法 |
| US20170099148A1 (en) * | 2015-10-01 | 2017-04-06 | Cisco Technology, Inc. | Securely authorizing client applications on devices to hosted services |
| US20170142108A1 (en) * | 2015-11-16 | 2017-05-18 | Mastercard International Incorporated | Systems and Methods for Authenticating an Online User Using a Secure Authorization Server |
| CN106717044A (zh) * | 2014-09-26 | 2017-05-24 | 高通股份有限公司 | 服务网络认证 |
-
2017
- 2017-10-19 CN CN201710979106.4A patent/CN109688586B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150295905A1 (en) * | 2012-11-09 | 2015-10-15 | Interdigital Patent Holdings, Inc. | Identity management with generic bootstrapping architecture |
| CN106717044A (zh) * | 2014-09-26 | 2017-05-24 | 高通股份有限公司 | 服务网络认证 |
| CN105847220A (zh) * | 2015-01-14 | 2016-08-10 | 北京神州泰岳软件股份有限公司 | 一种认证方法、系统和服务平台 |
| CN106161077A (zh) * | 2015-04-24 | 2016-11-23 | 中兴通讯股份有限公司 | 接入汇聚装置和认证注册方法 |
| US20170099148A1 (en) * | 2015-10-01 | 2017-04-06 | Cisco Technology, Inc. | Securely authorizing client applications on devices to hosted services |
| US20170142108A1 (en) * | 2015-11-16 | 2017-05-18 | Mastercard International Incorporated | Systems and Methods for Authenticating an Online User Using a Secure Authorization Server |
Non-Patent Citations (2)
| Title |
|---|
| " "S2_117_Draft_Rep_v011rm"", 《3GPP TSG_SA\WG2_ARCH》 * |
| 3GPP: ""3rd Generation Partnership Project;"", 《3GPP TS 33.501 V0.3.0 (2017-08)》 * |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865888B (zh) * | 2019-04-29 | 2022-08-19 | 华为技术有限公司 | 一种代理订阅的授权方法及装置 |
| CN111865888A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 一种代理订阅的授权方法及装置 |
| CN111865597A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 通信方法和通信设备 |
| WO2020220783A1 (zh) * | 2019-04-29 | 2020-11-05 | 华为技术有限公司 | 一种代理订阅的授权方法及装置 |
| WO2020220919A1 (zh) * | 2019-04-29 | 2020-11-05 | 华为技术有限公司 | 一种代理订阅的授权方法及装置 |
| CN111865597B (zh) * | 2019-04-29 | 2022-05-17 | 华为技术有限公司 | 通信方法和通信设备 |
| CN112087412B (zh) * | 2019-06-14 | 2021-09-28 | 大唐移动通信设备有限公司 | 一种基于唯一令牌的服务访问处理方法及装置 |
| CN112087412A (zh) * | 2019-06-14 | 2020-12-15 | 大唐移动通信设备有限公司 | 一种基于唯一令牌的服务访问处理方法及装置 |
| CN113994633B (zh) * | 2019-06-15 | 2024-03-19 | 诺基亚技术有限公司 | 通信系统中的网络功能集合的授权 |
| WO2020254903A1 (en) * | 2019-06-15 | 2020-12-24 | Nokia Technologies Oy | Authorization for network function sets in communication system |
| CN113994633A (zh) * | 2019-06-15 | 2022-01-28 | 诺基亚技术有限公司 | 通信系统中的网络功能集合的授权 |
| CN113994727A (zh) * | 2019-06-15 | 2022-01-28 | 诺基亚技术有限公司 | 通信系统中的安全访问控制 |
| CN114145031A (zh) * | 2019-07-26 | 2022-03-04 | 瑞典爱立信有限公司 | 在基于服务的架构中注册和请求服务 |
| CN114424611A (zh) * | 2019-09-19 | 2022-04-29 | 诺基亚通信公司 | 网络功能的控制 |
| CN114424611B (zh) * | 2019-09-19 | 2024-04-26 | 诺基亚通信公司 | 网络功能的控制 |
| CN112822678B (zh) * | 2019-10-31 | 2022-05-06 | 华为技术有限公司 | 一种服务化架构授权的方法 |
| CN112822678A (zh) * | 2019-10-31 | 2021-05-18 | 华为技术有限公司 | 一种服务化架构授权的方法 |
| WO2021103693A1 (zh) * | 2019-11-30 | 2021-06-03 | 华为技术有限公司 | 授权方法及装置 |
| CN111314944A (zh) * | 2020-02-13 | 2020-06-19 | 广州爱浦路网络技术有限公司 | 一种基于顶级nrf的管理5g核心网中nrf的方法 |
| CN111314944B (zh) * | 2020-02-13 | 2020-11-13 | 广州爱浦路网络技术有限公司 | 一种基于顶级nrf的管理5g核心网中nrf的方法 |
| CN113438196B (zh) * | 2020-03-23 | 2022-10-25 | 华为技术有限公司 | 一种服务授权方法、装置及系统 |
| CN113438196A (zh) * | 2020-03-23 | 2021-09-24 | 华为技术有限公司 | 一种服务授权方法、装置及系统 |
| CN111416827A (zh) * | 2020-03-25 | 2020-07-14 | 广州爱浦路网络技术有限公司 | 根据安全等级发现网络功能nf的方法 |
| CN112003912A (zh) * | 2020-08-13 | 2020-11-27 | 广州爱浦路网络技术有限公司 | 5g核心网中sepp认证nf的方法 |
| CN112152856A (zh) * | 2020-09-25 | 2020-12-29 | 广州爱浦路网络技术有限公司 | 边缘服务器管理系统及方法 |
| CN112152856B (zh) * | 2020-09-25 | 2021-10-01 | 广州爱浦路网络技术有限公司 | 边缘服务器管理系统及方法 |
| CN113490212A (zh) * | 2021-06-18 | 2021-10-08 | 新华三技术有限公司 | 一种密钥的分配方法、通信设备和存储介质 |
| CN114301662A (zh) * | 2021-12-27 | 2022-04-08 | 中国电信股份有限公司 | 请求生产者网络功能服务的方法及装置、设备及介质 |
| CN114301662B (zh) * | 2021-12-27 | 2024-02-23 | 中国电信股份有限公司 | 请求生产者网络功能服务的方法及装置、设备及介质 |
| WO2023130885A1 (zh) * | 2022-01-05 | 2023-07-13 | 华为技术有限公司 | 集成可信度量的通信方法 |
| WO2023169206A1 (zh) * | 2022-03-11 | 2023-09-14 | 华为技术有限公司 | 授权验证的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109688586B (zh) | 2021-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109688586A (zh) | 一种网络功能认证的方法、装置及计算机可读存储介质 | |
| US9712528B2 (en) | Methods, systems, and products for authentication | |
| US7739196B2 (en) | Policy control and billing support for call transfer in a session initiation protocol (SIP) network | |
| US8705720B2 (en) | System, method and apparatus for clientless two factor authentication in VoIP networks | |
| US9065684B2 (en) | IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium | |
| US20030070091A1 (en) | Granular authorization for network user sessions | |
| US20070220275A1 (en) | WEB AUTHORIZATION BY AUTOMATED INTERACTIVE PHONE OR VoIP SESSION | |
| WO2006020329B1 (en) | Method and apparatus for determining authentication capabilities | |
| CN101207613A (zh) | 跨网域信息通信的认证方法、系统及其装置 | |
| CN106295330B (zh) | 调用api的控制装置及方法 | |
| CN104735027B (zh) | 一种安全认证方法及鉴权认证服务器 | |
| CN107113613B (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| US8942673B2 (en) | Method and apparatus for providing cellphone service from any device | |
| CN103166962B (zh) | 基于绑定号码鉴权机制实现sip终端安全拨打的方法 | |
| US20160255191A1 (en) | Conference Access Method and Apparatus | |
| CN104869121A (zh) | 一种基于802.1x的认证方法及装置 | |
| Sheoran et al. | NASCENT: Tackling caller-ID spoofing in 4G networks via efficient network-assisted validation | |
| CN109981677A (zh) | 一种授信管理方法及装置 | |
| CN105743859B (zh) | 一种轻应用认证的方法、装置及系统 | |
| CN114978773A (zh) | 一种单包认证方法及系统 | |
| CN109831492A (zh) | 访问ott应用、服务器推送消息的方法及装置 | |
| CN112350982B (zh) | 一种资源鉴权方法和装置 | |
| CN105978774A (zh) | 一种接入认证的方法和装置 | |
| CN112994922B (zh) | 标识配置的方法及装置 | |
| CN101848228A (zh) | 用sim卡认证电脑终端服务器isp身份的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |