CN110166404A - 数据访问限制方法及服务提供者、服务使用者网络功能 - Google Patents
数据访问限制方法及服务提供者、服务使用者网络功能 Download PDFInfo
- Publication number
- CN110166404A CN110166404A CN201810145730.9A CN201810145730A CN110166404A CN 110166404 A CN110166404 A CN 110166404A CN 201810145730 A CN201810145730 A CN 201810145730A CN 110166404 A CN110166404 A CN 110166404A
- Authority
- CN
- China
- Prior art keywords
- data
- service
- network function
- information
- subdomain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 230000004044 response Effects 0.000 claims abstract description 57
- 230000006870 function Effects 0.000 claims description 173
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012546 transfer Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000000977 initiatory effect Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种数据访问限制方法及服务提供者、服务使用者网络功能,属于核心网技术领域。其中,应用于服务提供者网络功能NF的方法包括:接收服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;根据所述服务请求中的服务信息向所述服务使用者网络功能返回服务响应。本发明的技术方案能够对服务使用者NF对数据域以及数据子域的访问进行限制。
Description
技术领域
本发明涉及核心网技术领域,特别是指一种数据访问限制方法及服务提供者、服务使用者网络功能。
背景技术
5G(5th-Generation,第五代移动通信技术)核心网用户数据库采用服务化接口访问。
如图1所示,UDR(User Data Records,用户数据记录)中划分了不同的数据域,用来存放不同类型的数据。现有技术定义了若干服务使用者(UDM(Unified Data Manager,统一数据管理)、PCF(Policy Control function,策略控制功能)、NEF(Network ExposureFunction,网络能力开放功能))可以访问UDR,需要考虑访问限制问题。
另外,5G核心网中NF(Network Function,网络功能)上可能有多种数据,需要对服务访问者进行权限限制。
如图2所示,5G核心网中的SMF(Session Management Function,会话管理功能),用户上下文中有会话策略数据、会话绑定数据、用户注册信息(如AMF(Core Access andMobility Management Function,接入和移动管理功能)ID等),需限制PCF只能访问策略数据、NEF只能访问会话绑定数据、AMF只能更新AMF ID。
一种现有方案中,服务发现时,NRF(NF Repository Function,网络功能发现功能)基于服务名称对服务使用者NF进行NF粒度的鉴权。鉴权通过时返回服务发现响应,携带服务提供者NF的地址或ID。
服务访问时,服务提供者NF针对服务使用者NF进行请求类型粒度的鉴权,也是perUE,基于subscription or roaming agreements(签约或漫游协议)的鉴权。鉴权通过时返回服务响应。
但上述方案存在以下问题:解决不了服务化接口数据分域访问问题,因为定义了UDM/PCF/NEF有权访问UDR的服务,但无法限制不同服务使用者访问不同的数据域。
另外一种现有方案提供了质询/响应(challenge/response)机制:服务器收到一条HTTP(HyperText Transfer Protocol,超文本传输协议)请求报文时,以一个“认证质询”进行响应,要求用户提供一些保密信息说明身份。客户端再次发起请求时,附上保密证书(用户名和密码),如果证书不匹配,服务器可以再次质询客户端或产生一条错误信息。如果证书匹配,服务器正常处理该请求。
HTTP定义了认证头WWW-Authenticate,在401unauthorized(未经授权的)响应中返回,描述保护区域并指定认证算法。支持通过指定realm(范围)为不同的资源设定不同的访问权限,以帮助用户了解应该使用哪个密码,如Basic realm=office。
并且定义了Authorization(授权)头,在客户端重新发送的请求中携带,说明认证算法、用户名和密码,授权成功后,服务器会返回正常状态码。
但上述方案存在以下问题:需要额外增加质询/响应过程,而且通过用户名和密码实现,适合用户在客户端进行认证操作,不适于客户端NF发起大量服务请求时自动验证以及服务器的实时处理需求。
发明内容
本发明要解决的技术问题是提供一种数据访问限制方法及服务提供者、服务使用者网络功能,能够对服务使用者网络功能对数据域以及数据子域的访问进行限制。
为解决上述技术问题,本发明的实施例提供技术方案如下:
一方面,提供一种数据访问限制方法,应用于服务提供者网络功能,所述方法包括:
接收服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;
根据所述服务请求中的服务信息向所述服务使用者网络功能返回服务响应。
进一步地,所述根据所述服务请求中的服务信息向所述服务使用者网络功能返回服务响应包括:
将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配,根据匹配结果向所述服务使用者网络功能返回服务响应。
进一步地,所述根据匹配结果向所述服务使用者网络功能返回服务响应包括:
在匹配成功时,允许所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回成功响应;
在匹配不成功时,拒绝所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回错误响应。
进一步地,所述数据域或数据子域的信息包括以下至少一种:
数据域或数据子域的名称;
数据域或数据子域的标识;
数据域或数据子域的特征值。
进一步地,还包括:
将数据划分为数据域和数据子域,并设置数据访问权限信息,所述数据访问权限信息包括每个数据域和数据子域允许被访问的服务使用者的网络功能类型。
进一步地,所述访问权限还包括以下信息中的至少一种:
允许访问的服务使用者网络功能标识;
允许访问的服务标识;
允许访问的服务操作;
允许访问的超文本传输协议HTTP方法。
进一步地,所述将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配包括:
从所述服务请求中提取全部服务信息,与所述数据访问权限信息中对应所述需要访问的数据域或数据子域的访问权限进行匹配,在全部匹配时,判断匹配成功;在不完全匹配时,判断匹配不成功。
进一步地,在所述服务请求为HTTP请求时,
所述服务请求的统一资源标识符URI中携带数据域或数据子域的名称或特征值或标识;
所述服务请求的HTTP头域或URI或消息体中携带服务使用者的NF类型。
本发明实施例还提供了一种数据访问限制方法,应用于服务使用者网络功能,所述方法包括:
向服务提供者网络功能发送服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;
接收所述服务提供者网络功能返回的服务响应。
本发明实施例还提供了一种服务提供者网络功能网络功能,包括处理器和收发器,
所述收发器用于接收服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;
所述收发器还用于根据所述服务请求中的服务信息向所述服务使用者网络功能返回服务响应。
进一步地,所述处理器用于将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配;
所述收发器具体用于根据匹配结果向所述服务使用者网络功能返回服务响应。
进一步地,所述收发器具体用于在匹配成功时,允许所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回成功响应;在匹配不成功时,拒绝所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回错误响应。
进一步地,所述数据域或数据子域的信息包括以下至少一种:
数据域或数据子域的名称;
数据域或数据子域的标识;
数据域或数据子域的特征值。
进一步地,所述处理器还用于将数据划分为数据域和数据子域,并设置数据访问权限信息,所述数据访问权限信息包括每个数据域和数据子域允许被访问的服务使用者的网络功能类型。
进一步地,所述访问权限还包括以下信息中的至少一种:
允许访问的服务使用者网络功能标识;
允许访问的服务标识;
允许访问的服务操作;
允许访问的超文本传输协议HTTP方法。
进一步地,所述处理器具体用于从所述服务请求中提取全部服务信息,与所述数据访问权限信息中对应所述需要访问的数据域或数据子域的访问权限进行匹配,在全部匹配时,判断匹配成功;在不完全匹配时,判断匹配不成功。
进一步地,在所述服务请求为HTTP请求时,
所述服务请求的统一资源标识符URI中携带数据域或数据子域的名称或特征值或标识;
所述服务请求的HTTP头域或URI或消息体中携带服务使用者的网络功能类型。
本发明实施例还提供了一种服务使用者网络功能,包括收发器和处理器,
所述收发器用于向服务提供者网络功能发送服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型,并接收所述服务提供者网络功能返回的服务响应。
本发明实施例还提供了一种服务提供者网络功能,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现如上所述的数据访问限制方法。
本发明实施例还提供了一种服务使用者网络功能,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现如上所述的数据访问限制方法。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的数据访问限制方法中的步骤。
本发明的实施例具有以下有益效果:
上述方案中,服务提供者网络功能接收服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;这样服务提供者网络功能能够将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配,并根据匹配结果向所述服务使用者网络功能返回服务响应,达到限制不同服务使用者访问不同的数据域,同时避免额外增加消息交互的技术效果,解决了现有技术只能基于上层应用信息进行服务访问认证,无法限制不同服务使用者访问不同的数据域的问题;避免了现有HTTP基础协议通过质询/响应过程以及用户名/密码实现数据域认证,额外增加消息交互且不适应客户端NF发起大量服务请求的实时处理需求。
附图说明
图1为数据存储结构示意图;
图2为另一种数据存储结构示意图;
图3为本发明实施例应用于服务提供者NF的数据访问限制方法的流程示意图;
图4为本发明实施例应用于服务使用者NF的数据访问限制方法的流程示意图;
图5为本发明实施例数据访问限制方法的信令交互示意图;
图6为本发明实施例服务提供者NF的结构示意图;
图7为本发明实施例服务使用者NF的结构示意图。
具体实施方式
为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明实施例提供一种数据访问限制方法及服务提供者NF、服务使用者NF,能够对服务使用者NF对数据域以及数据子域的访问进行限制。
本发明实施例提供一种数据访问限制方法,应用于服务提供者网络功能,如图3所示,所述方法包括:
步骤101:接收服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;
步骤102:根据所述服务请求中的服务信息向所述服务使用者网络功能返回服务响应。
其中,数据域或数据子域的信息可以是数据域或数据子域的名称/标识,还可以是数据域或数据子域的特征值。通过数据域或数据子域的信息可以唯一判断出数据域或数据子域。
本实施例中,服务提供者NF接收服务使用者NF发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域,所述服务信息至少包括服务使用者的NF类型;服务提供者NF将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配,并根据匹配结果向所述服务使用者NF返回服务响应,达到限制不同服务使用者访问不同的数据域,同时避免额外增加消息交互的技术效果,解决了现有技术只能基于上层应用信息进行服务访问认证,无法限制不同服务使用者访问不同的数据域的问题;避免了现有HTTP基础协议通过质询/响应过程以及用户名/密码实现数据域认证,额外增加消息交互且不适应客户端NF发起大量服务请求的实时处理需求。
进一步地,所述根据所述服务请求中的服务信息向所述服务使用者网络功能返回服务响应包括:
将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配,根据匹配结果向所述服务使用者网络功能返回服务响应。
进一步地,所述根据匹配结果向所述服务使用者网络功能返回服务响应包括:
在匹配成功时,允许所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回成功响应;
在匹配不成功时,拒绝所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回错误响应。
进一步地,所述方法还包括:
将数据划分为数据域和数据子域,并设置数据访问权限信息,所述数据访问权限信息包括每个数据域和数据子域允许被访问的服务使用者的网络功能类型。
进一步地,所述访问权限还包括以下信息中的至少一种:
允许访问的服务使用者网络功能标识;
允许访问的服务标识;
允许访问的服务操作;
允许访问的超文本传输协议HTTP方法。
进一步地,所述将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配包括:
从所述服务请求中提取全部服务信息,与所述数据访问权限信息中对应所述需要访问的数据域或数据子域的访问权限进行匹配,在全部匹配时,判断匹配成功;在不完全匹配时,判断匹配不成功。具体地,数据访问权限信息可以为数据访问权限表。
进一步地,在所述服务请求为HTTP请求时,
所述服务请求的URI(Uniform Resource Identifier,统一资源标识符)中携带数据域或数据子域的名称或特征值或标识;
所述服务请求的HTTP头域或URI或消息体中携带服务使用者的网络功能类型。
进一步地,所述服务请求的请求行中的API(Application ProgrammingInterface,应用程序编程接口名称)name携带服务标识;或
所述服务请求的消息体中携带服务使用者网络功能标识;或
所述服务请求的请求行中携带HTTP方法。
本发明实施例还提供了一种数据访问限制方法,应用于服务使用者网络功能网络功能,如图4所示,所述方法包括:
步骤201:向服务提供者网络功能发送服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;
步骤202:接收所述服务提供者网络功能返回的服务响应。
本实施例中,服务提供者网络功能接收服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域,所述服务信息至少包括服务使用者的网络功能类型;这样服务提供者网络功能能够将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配,并根据匹配结果向所述服务使用者网络功能返回服务响应,达到限制不同服务使用者访问不同的数据域,同时避免额外增加消息交互的技术效果,解决了现有技术只能基于上层应用信息进行服务访问认证,无法限制不同服务使用者访问不同的数据域的问题;避免了现有HTTP基础协议通过质询/响应过程以及用户名/密码实现数据域认证,额外增加消息交互且不适应客户端网络功能发起大量服务请求的实时处理需求。
下面结合附图以及具体的实施例对本发明的数据访问限制方法进行介绍。
首先,在服务提供者网络功能中划分数据域和数据子域,并针对数据域、数据子域设置数据访问权限信息,数据访问权限信息中存储有与数据域和数据子域对应的访问权限,如:XX数据域:允许访问的使用者网络功能(如UDM),允许访问的服务使用者网络功能ID(标识),允许访问的HTTP方法(如GET),…,允许访问的服务ID。用户签约数据域:允许UDM、PCF访问,允许访问的服务提供者网络功能ID,允许访问的HTTP方法:GET/POST,允许访问的服务标识:查询服务。
具体地,数据访问权限信息可以如表1所示,当然,数据访问权限信息并不局限于如表1所示的形式,只要能够配置与数据域和数据子域对应的访问权限即可:
表1
表中的参数可以配置和修改。服务使用者可以通过定义服务使用者网络功能type与数据域/数据子域的对应关系来对服务使用者的数据访问权限进行设置。
服务使用者网络功能在需要访问数据域和数据子域时,向服务提供者网络功能发送服务请求。服务请求中除了携带该请求涉及的上层应用相关的信息(允许访问的服务ID、允许的服务操作、允许访问的服务使用者网络功能ID等)以及作为资源访问路径一部分的数据域name(名称)、数据子域name之外,还需要携带服务使用者的网络功能type,表明这个网络功能是什么类型的网元。服务使用者可以通过定义服务使用者网络功能type与数据域/数据子域的对应关系来对服务使用者的数据访问权限进行设置。其中,服务使用者网络功能type可以通过扩展HTTP头域或资源URI或消息体来实现。
服务提供者网络功能收到服务请求后基于本地的数据访问权限信息以及服务请求中携带的信息进行判断,如全部匹配,则认为该服务使用者有权访问,正常处理并返回成功响应;如不完全匹配,则认为该服务使用者无权访问,返回错误响应提示无权访问。
具体地,服务请求中携带的服务信息如下:
利用资源URI来携带数据域/数据子域的name或者特征值(如归属于用户签约数据中的特定类型,如ODB数据);
服务请求为HTTP请求消息,HTTP请求消息的请求行中的API name携带服务ID;
服务请求为HTTP请求消息,HTTP请求消息的消息体中携带服务使用者网络功能ID;
服务请求为HTTP请求消息,HTTP请求行携带HTTP方法;
利用HTTP头域或资源URI或消息体携带服务使用者网络功能的类型。
当然,服务请求中携带的服务信息并不局限于上述信息。
一具体示例中,如图5所示,数据访问限制方法包括以下步骤:
1、在服务提供者NF中划分数据域、数据子域,并针对数据域、数据子域设置数据访问权限表;
2、服务使用者NF1向服务提供者NF发送服务请求1,服务请求1中携带有服务ID1、服务使用者NF ID1、HTTP方法1、数据域1、数据子域1、服务使用者NF TYPE1,即服务ID为1,服务使用者NF ID为1,所使用的HTTP方法为HTTP方法1,要访问的是数据域1和数据子域1,服务使用者NF的类型为TYPE1;
3、服务提供者NF从服务请求中提取服务信息,与数据访问权限表中数据域1和数据子域1对应的访问权限进行匹配,发现全部匹配;
4、服务提供者NF向服务使用者NF1返回成功响应;
5、服务使用者NF1向服务提供者NF发送服务请求2,服务请求2中携带有服务ID1、服务使用者NF ID1、HTTP方法1、数据域2、数据子域2、服务使用者NF TYPE1,即服务ID为1,服务使用者NF ID为1,所使用的HTTP方法为HTTP方法1,要访问的是数据域2和数据子域2,服务使用者NF的类型为TYPE1;
6、服务提供者NF从服务请求中提取服务信息,与数据访问权限表中数据域2和数据子域2对应的访问权限进行匹配,发现不完全匹配;
7、服务提供者NF向服务使用者NF1返回错误响应;
8、服务使用者NF2向服务提供者NF发送服务请求3,服务请求3中携带有服务ID1、服务使用者NF ID1、HTTP方法1、数据域3、数据子域3、服务使用者NF TYPE2,即服务ID为1,服务使用者NF ID为1,所使用的HTTP方法为HTTP方法1,要访问的是数据域3和数据子域3,服务使用者NF的类型为TYPE2;
9、服务提供者NF从服务请求中提取服务信息,与数据访问权限表中数据域3和数据子域3对应的访问权限进行匹配,发现不完全匹配;
10、服务提供者NF向服务使用者NF2返回错误响应。
本发明实施例还提供了一种服务提供者网络功能网络功能,如图6所示,包括处理器31和收发器32,
所述收发器32用于服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;
所述收发器32还用于根据所述服务请求中的服务信息向所述服务使用者网络功能返回服务响应。
本实施例中,服务提供者网络功能接收服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域,所述服务信息至少包括服务使用者的网络功能类型;服务提供者网络功能将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配,并根据匹配结果向所述服务使用者网络功能返回服务响应,达到限制不同服务使用者访问不同的数据域,同时避免额外增加消息交互的技术效果,解决了现有技术只能基于上层应用信息进行服务访问认证,无法限制不同服务使用者访问不同的数据域的问题;避免了现有HTTP基础协议通过质询/响应过程以及用户名/密码实现数据域认证,额外增加消息交互且不适应客户端网络功能发起大量服务请求的实时处理需求。
进一步地,
所述处理器31用于将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配;
所述收发器32具体用于根据匹配结果向所述服务使用者网络功能返回服务响应。
进一步地,所述收发器32具体用于在匹配成功时,允许所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回成功响应;在匹配不成功时,拒绝所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回错误响应。
进一步地,所述数据域或数据子域的信息包括以下至少一种:
数据域或数据子域的名称;
数据域或数据子域的标识;
数据域或数据子域的特征值。
进一步地,所述处理器31还用于将数据划分为数据域和数据子域,并设置数据访问权限信息,所述数据访问权限信息包括每个数据域和数据子域允许被访问的服务使用者的网络功能类型。
除包括允许访问的服务使用者的网络功能类型之外,所述访问权限还包括以下信息中的至少一种:
允许访问的服务使用者网络功能标识;
允许访问的服务标识;
允许访问的服务操作;
允许访问的超文本传输协议HTTP方法。
进一步地,所述处理器31具体用于从所述服务请求中提取全部服务信息,与所述数据访问权限信息中对应所述需要访问的数据域或数据子域的访问权限进行匹配,在全部匹配时,判断匹配成功;在不完全匹配时,判断匹配不成功。
进一步地,在所述服务请求为HTTP请求时,
所述服务请求的统一资源标识符URI中携带数据域或数据子域的名称或特征值或标识或标识;
所述服务请求的HTTP头域或URI或消息体中携带服务使用者的网络功能类型。
进一步地,所述服务请求的请求行中的应用程序编程接口名称API name携带服务标识;或
所述服务请求的消息体中携带服务使用者网络功能标识;或
所述服务请求的请求行中携带HTTP方法。
本发明实施例还提供了一种服务使用者网络功能网络功能,如图7所示,包括收发器41和处理器42,
所述收发器41用于向服务提供者网络功能发送服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域,所述服务信息至少包括服务使用者的网络功能类型,并接收所述服务提供者网络功能返回的服务响应。
本实施例中,服务提供者网络功能接收服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域,所述服务信息至少包括服务使用者的网络功能类型;这样服务提供者网络功能能够将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配,并根据匹配结果向所述服务使用者网络功能返回服务响应,达到限制不同服务使用者访问不同的数据域,同时避免额外增加消息交互的技术效果,解决了现有技术只能基于上层应用信息进行服务访问认证,无法限制不同服务使用者访问不同的数据域的问题;避免了现有HTTP基础协议通过质询/响应过程以及用户名/密码实现数据域认证,额外增加消息交互且不适应客户端网络功能发起大量服务请求的实时处理需求。
本发明实施例还提供了一种服务提供者网络功能网络功能,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现如上所述的数据访问限制方法。
本发明实施例还提供了一种服务使用者网络功能网络功能,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现如上所述的数据访问限制方法。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的数据访问限制方法中的步骤。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (21)
1.一种数据访问限制方法,其特征在于,应用于服务提供者网络功能,所述方法包括:
接收服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;
根据所述服务请求中的服务信息向所述服务使用者网络功能返回服务响应。
2.根据权利要求1所述的数据访问限制方法,其特征在于,所述根据所述服务请求中的服务信息向所述服务使用者网络功能返回服务响应包括:
将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配,根据匹配结果向所述服务使用者网络功能返回服务响应。
3.根据权利要求2所述的数据访问限制方法,其特征在于,所述根据匹配结果向所述服务使用者网络功能返回服务响应包括:
在匹配成功时,允许所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回成功响应;
在匹配不成功时,拒绝所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回错误响应。
4.根据权利要求1所述的数据访问限制方法,其特征在于,所述数据域或数据子域的信息包括以下至少一种:
数据域或数据子域的名称;
数据域或数据子域的标识;
数据域或数据子域的特征值。
5.根据权利要求2所述的数据访问限制方法,其特征在于,还包括:
将数据划分为数据域和数据子域,并设置数据访问权限信息,所述数据访问权限信息包括每个数据域和数据子域允许被访问的服务使用者的网络功能类型。
6.根据权利要求5所述的数据访问限制方法,其特征在于,所述访问权限还包括以下信息中的至少一种:
允许访问的服务使用者网络功能标识;
允许访问的服务标识;
允许访问的服务操作;
允许访问的超文本传输协议HTTP方法。
7.根据权利要求6所述的数据访问限制方法,其特征在于,所述将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配包括:
从所述服务请求中提取全部服务信息,与所述数据访问权限信息中对应所述需要访问的数据域或数据子域的访问权限进行匹配,在全部匹配时,判断匹配成功;在不完全匹配时,判断匹配不成功。
8.根据权利要求6所述的数据访问限制方法,其特征在于,在所述服务请求为HTTP请求时,
所述服务请求的统一资源标识符URI中携带数据域或数据子域的名称或特征值或标识;
所述服务请求的HTTP头域或URI或消息体中携带服务使用者的NF类型。
9.一种数据访问限制方法,其特征在于,应用于服务使用者网络功能,所述方法包括:
向服务提供者网络功能发送服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;
接收所述服务提供者网络功能返回的服务响应。
10.一种服务提供者网络功能网络功能,其特征在于,包括处理器和收发器,
所述收发器用于接收服务使用者网络功能发送的服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型;
所述收发器还用于根据所述服务请求中的服务信息向所述服务使用者网络功能返回服务响应。
11.根据权利要求10所述的服务提供者网络功能,其特征在于,
所述处理器用于将所述服务请求中的服务信息与所述数据域或数据子域对应的访问权限进行匹配;
所述收发器具体用于根据匹配结果向所述服务使用者网络功能返回服务响应。
12.根据权利要求11所述的服务提供者网络功能,其特征在于,
所述收发器具体用于在匹配成功时,允许所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回成功响应;在匹配不成功时,拒绝所述服务使用者网络功能访问所述数据域或数据子域,并向所述服务使用者网络功能返回错误响应。
13.根据权利要求10所述的服务提供者网络功能,其特征在于,所述数据域或数据子域的信息包括以下至少一种:
数据域或数据子域的名称;
数据域或数据子域的标识;
数据域或数据子域的特征值。
14.根据权利要求11所述的服务提供者网络功能,其特征在于,
所述处理器还用于将数据划分为数据域和数据子域,并设置数据访问权限信息,所述数据访问权限信息包括每个数据域和数据子域允许被访问的服务使用者的网络功能类型。
15.根据权利要求14所述的服务提供者网络功能,其特征在于,所述访问权限还包括以下信息中的至少一种:
允许访问的服务使用者网络功能标识;
允许访问的服务标识;
允许访问的服务操作;
允许访问的超文本传输协议HTTP方法。
16.根据权利要求15所述的服务提供者网络功能,其特征在于,
所述处理器具体用于从所述服务请求中提取全部服务信息,与所述数据访问权限信息中对应所述需要访问的数据域或数据子域的访问权限进行匹配,在全部匹配时,判断匹配成功;在不完全匹配时,判断匹配不成功。
17.根据权利要求15所述的服务提供者网络功能,其特征在于,在所述服务请求为HTTP请求时,
所述服务请求的统一资源标识符URI中携带数据域或数据子域的名称或特征值或标识;
所述服务请求的HTTP头域或URI或消息体中携带服务使用者的网络功能类型。
18.一种服务使用者网络功能,其特征在于,包括收发器和处理器,
所述收发器用于向服务提供者网络功能发送服务请求,所述服务请求中携带有服务信息以及需要访问的数据域或数据子域的信息,所述服务信息至少包括服务使用者的网络功能类型,并接收所述服务提供者网络功能返回的服务响应。
19.一种服务提供者网络功能,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,所述处理器执行所述程序时实现如权利要求1-8中任一项所述的数据访问限制方法。
20.一种服务使用者网络功能,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,所述处理器执行所述程序时实现如权利要求9所述的数据访问限制方法。
21.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-8中任一项所述的数据访问限制方法中的步骤或实现如权利要求9所述的数据访问限制方法中的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810145730.9A CN110166404B (zh) | 2018-02-12 | 2018-02-12 | 数据访问限制方法及服务提供者、服务使用者网络功能 |
PCT/CN2018/123054 WO2019153912A1 (zh) | 2018-02-12 | 2018-12-24 | 数据访问限制方法及服务提供者、服务使用者网络功能 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810145730.9A CN110166404B (zh) | 2018-02-12 | 2018-02-12 | 数据访问限制方法及服务提供者、服务使用者网络功能 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110166404A true CN110166404A (zh) | 2019-08-23 |
CN110166404B CN110166404B (zh) | 2021-01-15 |
Family
ID=67548816
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810145730.9A Active CN110166404B (zh) | 2018-02-12 | 2018-02-12 | 数据访问限制方法及服务提供者、服务使用者网络功能 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN110166404B (zh) |
WO (1) | WO2019153912A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111163473A (zh) * | 2020-01-02 | 2020-05-15 | 广州爱浦路网络技术有限公司 | 一种基于nrf权限等级的5g核心网数据防护方法 |
CN112887260A (zh) * | 2019-11-30 | 2021-06-01 | 华为技术有限公司 | 授权方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102547788A (zh) * | 2010-12-22 | 2012-07-04 | 江苏联优信息科技有限公司 | 一种无线传感接入复用设备的设备管理方法 |
CN103425920A (zh) * | 2013-08-26 | 2013-12-04 | 江苏物联网研究发展中心 | 基于音频信息的数字水印的数据库安全访问控制方法 |
CN107079010A (zh) * | 2014-09-30 | 2017-08-18 | 阿尔卡特朗讯 | 用于在专用网络中操作用户设备装置的方法和系统 |
WO2017192791A1 (en) * | 2016-05-06 | 2017-11-09 | Convida Wireless, Llc | Traffic steering at the service layer |
-
2018
- 2018-02-12 CN CN201810145730.9A patent/CN110166404B/zh active Active
- 2018-12-24 WO PCT/CN2018/123054 patent/WO2019153912A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102547788A (zh) * | 2010-12-22 | 2012-07-04 | 江苏联优信息科技有限公司 | 一种无线传感接入复用设备的设备管理方法 |
CN103425920A (zh) * | 2013-08-26 | 2013-12-04 | 江苏物联网研究发展中心 | 基于音频信息的数字水印的数据库安全访问控制方法 |
CN107079010A (zh) * | 2014-09-30 | 2017-08-18 | 阿尔卡特朗讯 | 用于在专用网络中操作用户设备装置的方法和系统 |
WO2017192791A1 (en) * | 2016-05-06 | 2017-11-09 | Convida Wireless, Llc | Traffic steering at the service layer |
Non-Patent Citations (3)
Title |
---|
APPROVAL: "《OI#3a: 23.502: Clarifies the NF/NF service discoveries》", 《3GPP SA WG2 MEETING #124,S2-179109》 * |
APPROVAL: "《TS 23.502: UDR Services Update》", 《3GPP SA WG2 MEETING #122-BIS,S2-176642》 * |
NOKIA, NOKIA SHANGHAI BELL: "《Fixes for UDM/UDR services》", 《3GPP SA WG2 MEETING #125,S2-180516》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887260A (zh) * | 2019-11-30 | 2021-06-01 | 华为技术有限公司 | 授权方法及装置 |
CN111163473A (zh) * | 2020-01-02 | 2020-05-15 | 广州爱浦路网络技术有限公司 | 一种基于nrf权限等级的5g核心网数据防护方法 |
CN111163473B (zh) * | 2020-01-02 | 2020-11-13 | 广州爱浦路网络技术有限公司 | 一种基于nrf权限等级的5g核心网数据防护方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2019153912A1 (zh) | 2019-08-15 |
CN110166404B (zh) | 2021-01-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11716621B2 (en) | Apparatus and method for providing mobile edge computing services in wireless communication system | |
US7221935B2 (en) | System, method and apparatus for federated single sign-on services | |
CA2473793C (en) | System, method and apparatus for federated single sign-on services | |
US8984606B2 (en) | Re-authentication | |
US9641324B2 (en) | Method and device for authenticating request message | |
JP4728258B2 (ja) | ユーザーがipネットワークに接続する時、ローカル管理ドメインにおいてユーザーに対するアクセス認証を管理するための方法及びシステム | |
US8578456B2 (en) | Authentication in an IP multimedia subsystem network where an in-use line identifier (LID) does not match a registered LID | |
US9113332B2 (en) | Method and device for managing authentication of a user | |
JP2008506139A (ja) | ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法 | |
US20060259776A1 (en) | Extensible account authentication system | |
US20130007867A1 (en) | Network Identity for Software-as-a-Service Authentication | |
TW200810460A (en) | Authentication of a principal in a federation | |
CN103023856B (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
CN113994727A (zh) | 通信系统中的安全访问控制 | |
CN107147496A (zh) | 一种面向服务技术框架下不同应用间统一授权认证的方法 | |
CN101204038A (zh) | 鉴权协议转换方法 | |
CN101052032B (zh) | 一种业务实体认证方法及装置 | |
TWI827187B (zh) | 用於新登處理之使用者裝備與通訊網路間之認證技術 | |
KR20200130106A (ko) | 무선 통신 시스템에서 모바일 엣지 컴퓨팅 서비스를 제공하기 위한 장치 및 방법 | |
CN110166404A (zh) | 数据访问限制方法及服务提供者、服务使用者网络功能 | |
US20110035794A1 (en) | Method and entity for authenticating tokens for web services | |
RU2325774C2 (ru) | Способ распределения паролей | |
CN102083066A (zh) | 统一安全认证的方法和系统 | |
Yousefnezhad et al. | Authentication and access control for open messaging interface standard | |
JP5670926B2 (ja) | 無線lanのアクセスポイントの端末アクセス制御システム及び認可サーバ装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |