CN110474875B - 基于服务化架构的发现方法及装置 - Google Patents

基于服务化架构的发现方法及装置 Download PDF

Info

Publication number
CN110474875B
CN110474875B CN201910630326.5A CN201910630326A CN110474875B CN 110474875 B CN110474875 B CN 110474875B CN 201910630326 A CN201910630326 A CN 201910630326A CN 110474875 B CN110474875 B CN 110474875B
Authority
CN
China
Prior art keywords
network element
service
functional network
nrf
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910630326.5A
Other languages
English (en)
Other versions
CN110474875A (zh
Inventor
张博
甘露
吴�荣
谭帅帅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201910630326.5A priority Critical patent/CN110474875B/zh
Publication of CN110474875A publication Critical patent/CN110474875A/zh
Application granted granted Critical
Publication of CN110474875B publication Critical patent/CN110474875B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Abstract

本申请提供一种基于服务化架构的发现方法及装置,在该方法中,控制网元向第一功能网元发送发现响应,在发现响应中包括确定的安全参数以及第二功能网元的访问地址或标识。第一功能网元接收控制网元发送的发现响应,并依据发现响应中包括的第二功能网元的地址或标识,向第二功能网元发送接入请求,并在接入请求中包括接收到的安全参数。第二功能网元接收第一功能网元发送的接入请求,验证安全参数的正确性,并基于安全参数的正确性,确定接入请求是否被所述第一功能网元授权。通过本申请,能够一定程度上减少通信次数,降低通信复杂度。

Description

基于服务化架构的发现方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及一种基于服务化架构的发现方法及装置。
背景技术
在5G网络的核心网网络架构讨论中,提出以网络功能(network function,NF)为中心的服务化架构方案。在服务化架构方案中,通过模块化实现NF间的解耦和整合,各解耦后的NF独立扩容、独立演进、按需部署,并且控制面的所有NF之间采用服务化接口进行交互,同一种服务可以被多种NF调用,降低NF之间接口定义的耦合度,最终实现整网功能的按需定制,以灵活支持不同的业务场景和需求。
在服务化架构方案中,通常由网元存储功能实体(NF repository function,NRF)等控制网元为NF提供服务的注册、发现、授权等功能,实现NF和服务的按需配置及NF间的互连。在服务发现阶段,目前一种可能的发现方法中,第一NF向NRF发送发现请求,其中,该发现请求用于请求接入第二NF,或者该发现请求用于请求进行某一业务。NRF根据接收到的发现请求确定第二NF的访问地址或标识,向第一NF发送第二NF的访问地址或标识,第一NF依据该访问地址或标识,接入第二NF。
上述基于服务化架构的发现方法中,为了保证第一NF与第二NF之间进行安全通信,通常是由NRF生成安全密钥,并将该安全密钥发送给第一NF和第二NF,由第一NF和第二NF基于该安全密钥进行安全认证。然而采用此种方法,必须要求NRF与第二NF之间进行通信,才能完成第一NF和第二NF之间进行安全密钥的共享,通信复杂度较高。
发明内容
本申请实施例提供的基于服务化架构的发现方法及装置,在服务发现过程中,第一NF与第二NF之间直接进行安全密钥的认证,无需NRF与第二NF之间进行通信,能够一定程度上减少通信次数,降低通信复杂度。
第一方面,提供一种基于服务化架构的发现方法,控制网元确定安全参数,并发送给第一功能网元,第一功能网元接收控制网元发送的安全参数,并将安全参数发送给第二功能网元,第二功能网元接收到第一功能网元发送的安全参数后,验证安全参数的正确性,并基于安全参数的正确性,确定接入请求是否被第一功能网元授权。通过该方法,第一功能网元与第二功能网元之间直接进行安全密钥的认证,一定程度上减少了发现过程中功能网元与控制网元之间的通信次数,进而可一定程度上降低通信复杂度。
其中,上述第一功能网元为需要接入其它功能网元或者有业务需求的网元。第二功能网元为第一功能网元接入的功能网元,或者能够为第一功能网元提供所需业务的网元。
一种可能的设计中,第一功能网元确定需要接入其它功能网元,或者确定需要请求进行业务时,向控制网元发送发现请求。控制网元接收到第一功能网元发送的发现请求后,依据该发现请求确定满足服务需求的第二功能网元的访问地址或标识,并确定安全参数。控制网元向第一功能网元发送发现响应,在发现响应中包括确定的安全参数以及第二功能网元的访问地址或标识。第一功能网元接收控制网元发送的发现响应,并依据发现响应中包括的第二功能网元的地址或标识,向第二功能网元发送接入请求,并在接入请求中包括接收到的安全参数。第二功能网元接收第一功能网元发送的接入请求,并获取到接入请求中包括的安全参数。通过此种实现方式,可使第二功能网元通过已有信令获取到安全参数。并且,第二功能网元在确认第一功能网元发送的安全参数正确的情况下,准许第一功能网元接入,在确认第一功能网元发送的安全参数不正确的情况下,可拒绝第一功能网元接入,提高通信安全性。
一种可能的设计中,安全参数包括非对称的第一令牌,以及第一功能网元和第二功能网元之间共享的第一会话密钥。
其中,控制网元生成第一会话密钥。控制网元基于控制网元的私钥,对第一功能网元的标识、以及第一会话密钥执行数字签名算法生成数字签名。控制网元基于第二功能网元的公钥,对数字签名、第一功能网元的标识、第二功能网元的标识、以及第一会话密钥加密生成非对称的第一令牌。控制网元将该非对称的第一令牌作为安全参数发送给第一功能网元,第一功能网元接收到非对称的第一令牌后,向第二功能网元发送。第二功能网元接收非对称的第一令牌,并利用第二功能网元的私钥解密非对称的第一令牌,以得到数字签名,并利用控制网元的公钥以及被签名的内容,验证数字签名的正确性。其中,被签名的内容包括第一功能网元的标识、以及第一会话密钥。
进一步的,控制网元生成数字签名时执行数字签名算法的参量除包括第一功能网元的标识、以及第一会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及签名有效期,签名随机数,计数器和序列号中的至少一项。被签名的内容与执行数字签名算法中涉及的参量相同。控制网元生成非对称的第一令牌时进行加密的参量除包括数字签名、第一功能网元的标识、第二功能网元的标识、以及第一会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及非对称的第一令牌有效期,非对称的第一令牌随机数,计数器和序列号中的至少一项。
另一种可能的设计中,安全参数包括对称的第一令牌,以及第一功能网元和第二功能网元之间共享的第一会话密钥。
其中,控制网元生成第一会话密钥。控制网元基于控制网元与第二功能网元之间共享的对称密钥,对第一功能网元的标识、以及第一会话密钥执行消息验证码的算法生成消息认证码。控制网元基于控制网元与第二功能网元之间共享的对称密钥,对消息认证码、第一功能网元的标识、第二功能网元的标识、以及第一会话密钥加密生成对称的第一令牌。控制网元将该对称的第一令牌作为安全参数发送给第一功能网元,第一功能网元接收到对称的第一令牌后,向第二功能网元发送。第二功能网元接收对称的第一令牌,利用所述对称密钥解密对称的第一令牌,以得到消息认证码,并利用控制网元与第二功能网元之间共享的对称密钥,以及被消息验证码保护的内容,验证消息验证码的正确性。其中,被消息验证码保护的内容包括第一功能网元的标识、以及第一会话密钥。
进一步的,控制网元生成消息认证码时执行消息认证码算法的参量除包括第一功能网元的标识、以及第一会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及消息认证码有效期,消息认证码随机数,计数器和序列号中的至少一项。被消息认证码保护的内容与执行消息认证码算法中涉及的参量相同。控制网元生成对称的第一令牌时进行加密的参量除包括消息认证码、第一功能网元的标识、第二功能网元的标识、以及第一会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及对称的第一令牌有效期,对称的第一令牌随机数,计数器和序列号中的至少一项。
上述控制网元生成第一会话密钥时,一种可能的实现中,第一会话密钥由控制网元随机选择得到。另一种可能的实现中,第一会话密钥由控制网元根据推衍密钥对第一功能网元的标识和第二功能网元的标识推衍生成。其中,推衍密钥由控制网元对预设的根密钥进行密钥推衍得到,或者推衍密钥是控制网元保存的密钥。
进一步的,控制网元生成第一会话密钥过程中,进行推衍的参量可包括第一功能网元的标识,第二功能网元的标识,第二功能网元的访问地址或标识,控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识等中的一项或多项。控制网元除对上述参量进行推衍以外,还可对第一会话密钥的有效期,第一会话密钥随机数,计数器和序列号中的至少一项进行推衍生成第一会话密钥。
又一种可能的设计中,第二功能网元解密对称的第一令牌或者非对称的第一令牌,还可得到第一会话密钥,第二功能网元和第一功能网元之间可共享第一会话密钥。第二功能网元与第一功能网元可基于第一会话密钥或者第一会话密钥推衍后的密钥建立安全通道。
本申请实施例提供的基于服务化架构的发现方法中,控制网元生成对称的或非对称的第一令牌以及用于对第一功能网元和第二功能网元之间进行通信的全部数据进行保护的第一会话密钥,可以实现基于连接的安全保护,并且可以在控制网元与第二功能网元之间不进行安全参数交互的情况下,实现第一功能网元与第二功能网元之间对安全参数的安全认证,在一定程度上减少了发现过程中功能网元与控制网元之间的通信次数,进而可一定程度上降低通信复杂度。
又一种可能的设计中,安全参数包括第一功能网元和第二功能网元之间共享的第二会话密钥,以及基于每个第二会话密钥分别生成的非对称第二令牌。
其中,控制网元生成针对第一功能网元所请求的每一业务分别进行保护的第二会话密钥。控制网元针对第一功能网元所请求的每一业务,基于控制网元的私钥,对第一功能网元的标识、以及第二会话密钥执行数字签名算法分别生成数字签名。控制网元针对第一功能网元所请求的每一业务,基于第二功能网元的公钥,对数字签名、第一功能网元的标识、第二功能网元的标识、第二会话密钥所保护业务的业务标识、以及第二会话密钥加密分别生成各业务非对称的第二令牌。控制网元将各业务对应的非对称的第二令牌作为安全参数发送给第一功能网元,第一功能网元接收到各业务对应的非对称的第二令牌后,依据所请求的业务向第二功能网元发送该所请求业务对应的非对称的第二令牌。第二功能网元接收非对称的第二令牌,并利用第二功能网元的私钥解密非对称的第二令牌,以得到数字签名,并利用控制网元的公钥以及被签名的内容,验证数字签名的正确性。其中,被签名的内容包括第一功能网元的标识、以及第二会话密钥。
进一步的,控制网元生成数字签名时执行数字签名算法的参量除包括第一功能网元的标识、以及第二会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及签名有效期,签名随机数,计数器和序列号中的至少一项。被签名的内容与执行数字签名算法中涉及的参量相同。控制网元生成非对称的第二令牌时进行加密的参量除包括数字签名、第一功能网元的标识、第二功能网元的标识、以及第二会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及非对称的第二令牌有效期,非对称的第二令牌随机数,计数器和序列号中的至少一项。
又一种可能的设计中,安全参数包括第一功能网元和第二功能网元之间共享的第二会话密钥,以及基于每个第二会话密钥分别生成的对称的第二令牌。
其中,控制网元生成针对第一功能网元所请求的每一业务分别进行保护的第二会话密钥。控制网元针对第一功能网元所请求的每一业务,基于控制网元与第二功能网元之间共享的对称密钥,对第一功能网元的标识、以及第二会话密钥执行消息验证码的算法分别生成消息认证码。控制网元基于控制网元与第二功能网元之间共享的对称密钥,对消息认证码、第一功能网元的标识、第二功能网元的标识、第二会话密钥所保护业务的业务标识、以及第二会话密钥加密,针对第一功能网元所请求的每一业务分别生成对称的第二令牌。控制网元将该对称的第二令牌作为安全参数发送给第一功能网元,第一功能网元接收到对称的第二令牌后,向第二功能网元发送。第二功能网元接收对称的第二令牌,利用控制网元与第二功能网元之间共享的对称密钥解密对称的第二令牌,以得到消息认证码,并利用控制网元与第二功能网元之间共享的对称密钥,以及被消息验证码保护的内容,验证消息验证码的正确性。其中,被消息验证码保护的内容包括第一功能网元的标识、以及第二会话密钥。
进一步的,控制网元生成消息认证码时执行消息认证码算法的参量除包括第一功能网元的标识、以及第二会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及消息认证码有效期,消息认证码随机数,计数器和序列号中的至少一项。被消息认证码保护的内容与执行消息认证码算法中涉及的参量相同。控制网元生成对称的第二令牌时进行加密的参量除包括消息认证码、第一功能网元的标识、第二功能网元的标识、以及第二会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及对称的第二令牌有效期,对称的第二令牌随机数,计数器和序列号中的至少一项。
本申请实施例提供的基于服务化架构的发现方法中,控制网元针对第一功能网元所请求的每个业务分别生成第二会话密钥以及第二令牌,可以实现基于业务的安全保护,并且可以在控制网元与第二功能网元之间不进行安全参数交互的情况下,实现第一功能网元与第二功能网元之间对安全参数的安全认证,在一定程度上减少了发现过程中功能网元与控制网元之间的通信次数,进而可一定程度上降低通信复杂度。
又一种可能的设计中,安全参数包括第一功能网元和第二功能网元之间共享的第二会话密钥,以及基于全部第二会话密钥生成的非对称第三令牌。
其中,控制网元生成针对第一功能网元所请求的每一业务分别进行保护的第二会话密钥。控制网元基于控制网元的私钥,对第一功能网元的标识、以及全部第二会话密钥执行数字签名算法生成数字签名。控制网元基于第二功能网元的公钥,对数字签名、第一功能网元的标识、第二功能网元的标识、全部的第二会话密钥所保护业务的业务标识、以及全部的第二会话密钥加密分别生成各业务非对称的第三令牌。控制网元将非对称的第三令牌作为安全参数发送给第一功能网元,第一功能网元接收到非对称的第三令牌后,向第二功能网元发送非对称的第三令牌。第二功能网元接收非对称的第三令牌,并利用第二功能网元的私钥解密第三令牌,以得到数字签名,并利用控制网元的公钥以及被签名的内容,验证数字签名的正确性。其中,被签名的内容包括第一功能网元的标识、以及全部的第二会话密钥。
进一步的,控制网元生成数字签名时执行数字签名算法的参量除包括第一功能网元的标识、以及全部的第二会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及签名有效期,签名随机数,计数器和序列号中的至少一项。被签名的内容与执行数字签名算法中涉及的参量相同。控制网元生成非对称的第三令牌时进行加密的参量除包括数字签名、第一功能网元的标识、第二功能网元的标识、以及全部的第二会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及非对称的第三令牌有效期,非对称的第三令牌随机数,计数器和序列号中的至少一项。
又一种可能的设计中,安全参数包括第一功能网元和第二功能网元之间共享的第二会话密钥,以及基于全部第二会话密钥生成的对称的第三令牌。
其中,控制网元生成针对第一功能网元所请求的每一业务分别进行保护的第二会话密钥。控制网元基于控制网元与第二功能网元之间共享的对称密钥,对第一功能网元的标识、以及全部的第二会话密钥执行消息验证码的算法生成消息认证码。控制网元基于控制网元与第二功能网元之间共享的对称密钥,对消息认证码、第一功能网元的标识、第二功能网元的标识、全部的第二会话密钥所保护业务的业务标识、以及全部的第二会话密钥加密生成对称的第三令牌。控制网元将该对称的第三令牌作为安全参数发送给第一功能网元,第一功能网元接收到对称的第三令牌后,向第二功能网元发送。第二功能网元接收对称的第三令牌,利用控制网元与第二功能网元之间共享的对称密钥解密对称的第三令牌,以得到消息认证码,并利用控制网元与第二功能网元之间共享的对称密钥,以及被消息验证码保护的内容,验证消息验证码的正确性。其中,被消息验证码保护的内容包括第一功能网元的标识、以及全部的第二会话密钥。
进一步的,控制网元生成消息认证码时执行消息认证码算法的参量除包括第一功能网元的标识、以及全部的第二会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及消息认证码有效期,消息认证码随机数,计数器和序列号中的至少一项。被消息认证码保护的内容与执行消息认证码算法中涉及的参量相同。控制网元生成对称的第三令牌时进行加密的参量除包括消息认证码、第一功能网元的标识、第二功能网元的标识、以及全部的第二会话密钥以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及对称的第三令牌有效期,对称的第三令牌随机数,计数器和序列号中的至少一项。
上述控制网元针对第一功能网元所请求的每一业务分别生成第二会话密钥时,一种可能的实现中,第二会话密钥由控制网元随机选择得到。另一种可能的实现中,第二会话密钥由控制网元根据推衍密钥对第一功能网元的标识和第二功能网元的标识推衍生成。其中,推衍密钥由控制网元对预设的根密钥进行密钥推衍得到,或者推衍密钥是控制网元保存的密钥。
进一步的,控制网元生成第二会话密钥过程中,进行推衍的参量可包括第一功能网元的标识,第二功能网元的标识,第二功能网元的访问地址或标识,控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识等中的一项或多项。控制网元除对上述参量进行推衍以外,还可对第二会话密钥的有效期,第二会话密钥随机数,计数器和序列号中的至少一项进行推衍生成第二会话密钥。
本申请实施例提供的基于服务化架构的发现方法中,控制网元针对第一功能网元所请求的每个业务分别生成第二会话密钥,并将全部的第二会话密钥携带在一个第三令牌,可以实现基于业务的安全保护,并且向第二功能网元发送一个令牌,能够降低通信复杂度。
又一种可能的设计中,第二功能网元解密第二令牌或第三令牌,还可得到第二会话密钥,第二功能网元和第一功能网元之间可共享第二会话密钥。第二功能网元与第一功能网元可基于第二会话密钥或者第二会话密钥推衍后的密钥,针对第二会话密钥所保护的业务建立安全通道。
又一种可能的设计中,安全参数包括数字签名。
其中,控制网元基于控制网元的私钥,对第一功能网元的标识执行数字签名算法生成数字签名。控制网元将该生成的数字签名作为安全参数发送给第一功能网元,第一功能网元接收到数字签名后,将该数字签名发送给第二功能网元,第二功能网元接收第一功能网元发送的数字签名,利用控制网元的公钥,以及被数字签名所签名的内容,验证数字签名的正确性。其中,被数字签名所签名的内容包括第一功能网元的标识。
进一步的,控制网元生成数字签名时执行数字签名算法的参量除包括第一功能网元的标识以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及签名有效期,签名随机数,计数器和序列号中的至少一项。被签名的内容与执行数字签名算法中涉及的参量相同。
其中,控制网元可基于第一功能网元所请求的每个业务分别生成数字签名,以实现业务层面的授权验证。
本申请实施例提供的基于服务化架构的发现方法中,控制网元生成数字签名,可以在控制网元与第二功能网元之间不进行安全参数交互的情况下,第二功能网元对第一功能网元的授权认证,在一定程度上减少了发现过程中功能网元与控制网元之间的通信次数,进而可一定程度上降低通信复杂度。
又一种可能的设计中,安全参数包括消息认证码。
控制网元基于控制网元与第二功能网元之间共享的对称密钥,对第一功能网元的标识执行消息验证码算法生成消息认证码。控制网元将该生成的消息认证码作为安全参数发送给第一功能网元,第一功能网元接收到消息认证码后,将该消息认证码发送给第二功能网元,第二功能网元接收第一功能网元发送的消息认证码,利用对称密钥、以及被消息验证码保护的内容,验证消息认证码的正确性。其中,被消息验证码保护的内容包括第一功能网元的标识。
进一步的,控制网元生成消息认证码时执行消息认证码算法的参量除包括第一功能网元的标识以外,还可包括控制网元标识,第一功能网元和第二功能网元的PLMN ID和第一功能网元所请求业务的业务标识中的一项或多项,以及消息认证码有效期,消息认证码随机数,计数器和序列号中的至少一项。被消息认证码保护的内容与执行消息认证码算法中涉及的参量相同。
其中,控制网元可基于第一功能网元所请求的每个业务分别生成消息认证码,以实现业务层面的授权验证。
本申请实施例四提供的基于服务化架构的发现方法中,控制网元生成消息认证码,可以在控制网元与第二功能网元之间不进行安全参数交互的情况下,第二功能网元对第一功能网元的授权认证,在一定程度上减少了发现过程中功能网元与控制网元之间的通信次数,进而可一定程度上降低通信复杂度。
又一种可能的设计中,第一功能网元和第二功能网元在漫游场景下,控制网元包括归属第一PLMN中的控制网元和归属第二PLMN中的控制网元。归属第一PLMN中的控制网元用于对第一功能网元进行管理和控制,归属第二PLMN中的控制网元用于对第二功能网元进行管理和控制。归属第二PLMN中的控制网元生成安全参数,并发送给归属第一PLMN中的控制网元。归属第一PLMN中的控制网元接收归属第二PLMN中的控制网元发送的安全参数,并将接收到的安全参数发送给第一功能网元,由第一功能网元发送给第二功能网元,实现第一功能网元与第二功能网元在漫游场景下的安全认证。
其中,归属第二PLMN中的控制网元生成安全参数与上述各设计中生成安全参数的过程类似,不同之处在于生成安全参数所用的参量中除包括上述参量以外还包括第一PLMN标识,或者第二PLMN标识,或者第一PLMN标识和第二PLMN标识。
又一种可能的设计中,若需要变更第一功能网元所请求的业务,例如撤销已请求的业务,或者修改已请求的业务的场景下,可由第一功能网元、控制网元或者管理网元发起业务变更请求。
一种可能的实现中,第一功能网元确定需要对已请求的业务进行变更时,第一功能网元生成消息认证码或数字签名,并向控制网元发送业务变更请求,该业务变更请求中包括对业务变更请求进行安全保护的消息认证码或数字签名。控制网元接收第一功能网元发送的业务变更请求,并对第一功能网元发送的业务变更请求进行授权认证。若控制网元确定接收到的业务变更请求是由第一功能网元授权的,则可对业务变更请求所请求变更的业务进行变更。
其中,对业务变更请求进行安全保护的消息认证码可由第一功能网元基于第一功能网元与控制网元之间共享的对称密钥,对业务变更请求所变更的业务标识、以及第一功能网元的标识执行消息认证码的算法生成。对业务变更请求进行安全保护的数字签名可由第一功能网元基于第一功能网元的私钥,对业务变更请求所变更的业务标识、以及第一功能网元的标识执行数字签名的算法生成。
若第一功能网元已经接入第二功能网元,则第一功能网元可向第二功能网元发送业务变更通知用于通知第二功能网元变更业务。
另一种可能的实现中,控制网元确定需要对已请求的业务进行变更时,控制网元生成MAC或数字签名,该MAC或数字签名可对控制网元向第一功能网元发送的业务变更请求进行安全保护。控制网元向第一功能网元发送业务变更请求,该业务变更请求中包括对业务变更请求进行安全保护的MAC或数字签名。第一功能网元接收控制网元发送的业务变更请求,并对控制网元发送的业务变更请求进行授权认证。若第一功能网元确定接收到的业务变更请求是由控制网元授权的,则可对业务变更请求所请求变更的业务进行变更。
其中,对业务变更请求进行安全保护的消息认证码可由控制网元基于第一功能网元与控制网元之间共享的对称密钥,对业务变更请求所变更的业务标识、以及第一功能网元的标识执行消息认证码的算法生成。对业务变更请求进行安全保护的数字签名可由控制网元基于控制网元的私钥,对业务变更请求所变更的业务标识、以及第一功能网元的标识执行数字签名的算法生成。
其中,若第一功能网元已经接入第二功能网元,则第一功能网元可向第二功能网元发送业务变更通知用于通知第二功能网元变更业务。
又一种可能的实现中,管理网元确定需要对第一功能网元已请求的业务进行变更时,管理网元生成MAC或数字签名,该MAC或数字签名可对管理网元向控制网元发送的业务变更请求进行安全保护。管理网元向控制网元发送业务变更请求,该业务变更请求中包括对业务变更请求进行安全保护的MAC或数字签名。控制网元接收管理网元发送的业务变更请求,并对管理网元发送的业务变更请求进行授权认证。
其中,对业务变更请求进行安全保护的消息认证码可由管理网元基于管理网元与控制网元之间共享的对称密钥,对业务变更请求所变更的业务标识,以及第一功能网元的标识执行消息认证码的算法生成。对业务变更请求进行安全保护的数字签名可由管理网元基于管理网元的私钥,对业务变更请求所变更的业务标识、以及第一功能网元的标识执行数字签名的算法生成。
其中,控制网元若确定管理网元对发送的业务变更请求进行授权,则向第一功能网元发送业务变更通知。第一功能网元接收控制网元发送的第一业务变更通知,并在确定第一功能网元已接入第二功能网元的情况下,向第二功能网元发送业务变更通知,以通知第二功能网元变更业务。
第二方面,提供一种基于服务化架构的发现装置,该发现装置可应用于控制网元,应用于控制网元的发现装置具有实现上述第一方面以及第一方面任意设计中控制网元的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。所述模块可以是软件和/或硬件。
一种可能的设计中,应用于控制网元的发现装置包括处理单元和发送单元,还可包括接收单元,其中,接收单元、处理单元和发送单元可以和上述控制网元执行的各功能步骤相对应,在此不予赘述。
另一种可能的设计中,应用于控制网元的发现装置包括处理器,收发器和存储器。存储器与处理器耦合,用于存储各种软件程序和/或多组指令。处理器调用存储器的存储程序或指令执行上述控制网元执行的功能步骤,并控制收发器收发信号。
第三方面,提供一种基于服务化架构的发现装置,该发现装置可应用于第一功能网元,应用于第一功能网元的发现装置具有实现上述第一方面以及第一方面任意设计中第一功能网元的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。所述模块可以是软件和/或硬件。
一种可能的设计中,应用于第一功能网元的发现装置包括接收单元和发送单元,还可包括处理单元,其中,接收单元、处理单元和发送单元可以和上述第一功能网元执行的各功能步骤相对应,在此不予赘述。
另一种可能的设计中,应用于第一功能网元的发现装置包括处理器,收发器和存储器。存储器与处理器耦合,用于存储各种软件程序和/或多组指令。处理器调用存储器的存储程序或指令执行上述第一功能网元执行的功能步骤,并控制收发器收发信号。
第四方面,提供一种基于服务化架构的发现装置,该发现装置可应用于第二功能网元,应用于第二功能网元的发现装置具有实现上述第一方面以及第一方面任意设计中第二功能网元的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。所述模块可以是软件和/或硬件。
一种可能的设计中,应用于第二功能网元的发现装置包括接收单元和处理单元,其中,接收单元和处理单元可以和上述第二功能网元执行的各功能步骤相对应,在此不予赘述。
另一种可能的设计中,应用于第二功能网元的发现装置包括处理器和收发器。存储器与处理器耦合,用于存储各种软件程序和/或多组指令。处理器调用存储器的存储程序或指令执行上述第二功能网元执行的功能步骤,并控制收发器收发信号。
第五方面,提供计算机存储介质,所述计算机存储介质存储有计算机指令,当所述指令在计算机上运行时,可以完成第一方面以及第一方面任意可能设计中的第一功能网元、第二功能网元或控制网元所涉及的任意一种功能。
第六方面,提供一种计算机程序产品,所述计算机程序产品中包括有计算机程序,该计算机程序用于执行完成第一方面以及第一方面任意可能设计中的第一功能网元、第二功能网元或控制网元所涉及的任意一种功能。
本申请实施例提供的基于服务化架构的发现方法及装置,控制网元确定安全参数,并发送给第一功能网元,第一功能网元接收控制网元发送的安全参数,并将安全参数发送给第二功能网元,第二功能网元接收到第一功能网元发送的安全参数后,验证安全参数的正确性,并基于安全参数的正确性,确定接入请求是否被第一功能网元授权。通过该方法,第一功能网元与第二功能网元之间直接进行安全密钥的认证,一定程度上减少了发现过程中功能网元与控制网元之间的通信次数,进而可一定程度上降低通信复杂度。
附图说明
图1为本申请实施例涉及的服务化架构;
图2为本申请实施例提供的一种基于服务化架构的发现方法实施流程图;
图3为本申请实施例一提供的一种基于服务化架构的发现方法实施流程图;
图4为本申请实施例二提供的一种基于服务化架构的发现方法实施流程图;
图5为本申请实施例三提供的一种基于服务化架构的发现方法实施流程图;
图6为本申请实施例四提供的一种基于服务化架构的发现方法实施流程图;
图7为本申请实施例五提供的一种基于服务化架构的发现方法实施流程图;
图8为本申请实施例六提供的一种基于服务化架构的发现方法实施流程图;
图9为本申请实施例六提供的另一种基于服务化架构的发现方法实施流程图;
图10为本申请实施例六提供的又一种基于服务化架构的发现方法实施流程图;
图11为本申请实施例提供的一种应用于控制网元的发现装置结构示意图;
图12为本申请实施例提供的一种控制网元的结构示意图;
图13为本申请实施例提供的一种应用于第一功能网元的发现装置结构示意图;
图14为本申请实施例提供的一种第一功能网元的结构示意图;
图15为本申请实施例提供的一种应用于第二功能网元的发现装置结构示意图;
图16为本申请实施例提供的一种第二功能网元的结构示意图。
具体实施方式
下面将结合附图,对本申请实施例中的技术方案进行描述。
本申请实施例提供的注册方法可应用于图1所示的服务化架构。图1中,核心网控制面的服务化架构中通过模块化实现NF间的解耦与整合,并且各NF之间采用服务化接口进行交互。例如图1中,网络开放功能(network exposure function,NEF)、NRF、策略控制功能(policy control function,PCF)、统一数据管理(unified data management,UDM)、应用功能(application function,AF)、鉴权服务器功能(authentication server function,AUSF)、接入与移动性管理功能(access and mobility management function,AMF)、会话管理功能(session managent function,SMF)等各NF可通过NEF服务化接口(service-based interface exhibited by NEF,Nnef)、AUSF服务化接口(service-based interfaceexhibited by AUSF,Nausf)、NRF服务化接口(service-based interface exhibited byNRF,Nnrf)、AMF服务化接口(service-based interface exhibited by AMF,Namf)、PCF服务化接口(service-based interface exhibited by PCF,Npcf)、SMF服务化接口(service-based interface exhibited by SMF,Nsmf)、UDM服务化接口(service-basedinterface exhibited by UDM,Nudm)和AF服务化接口(service-based interfaceexhibited by AF,Naf)等服务化接口进行交互,并且同一种服务可被多种NF调用,降低了NF之间接口定义的耦合度,实现NF的按需定制。图1中,用户设备(user equipment,UE)可通过无线接入网络(Radio Access Network,RAN)接入核心网的AMF,也可直接接入AMF,其中,UE与AMF之间的接口为N1接口,RAN与AMF之间的接口为N2接口。RAN可通过N3接口与用户面功能(user plan function,UPF)交互。UPF可通过N4接口接入核心网的SMF,并与核心网进行交互,UPF也可通过N6接口接入与数据网络(data network,DN),与DN进行交互。
其中,图1所示的各网元名称以及接口定义都是引用自第五代(5G)以及第三代移动通信标准化组织(3rd Generation Partnership Project,3GPP)草案中的定义,图示中仅是简单说明各个网络功能实体之间的接口定义,其中,方框代表具体的NF定义,连线代表接口定义,具体的定义可参阅5G 3GPP草案中的相关定义。
在上述服务化架构中,诸如NRF等对网元具有控制功能的控制网元可执行NF等功能网元的发现和授权功能。在基于服务化架构的服务发现阶段,若某一功能网元有服务需求,该服务需求例如可以是需要接入另一功能网元,或者也可以是需要请求获取业务,则该具有服务需求的功能网元可向控制网元发送发现请求。控制网元接收到发现请求后可执行功能网元的发现功能,确定满足服务需求的功能网元,并将该满足服务需求的功能网元的访问地址或标识,发送给发送发现请求的功能网元。发送发现请求的功能网元可以依据该访问地址或标识接入控制网元确定的功能网元。
可以理解的是,基于上述服务化架构的发现方法执行过程中,可以由管理网元对功能网元进行管理和控制。
本申请实施例中为描述方便,将有服务需求的功能网元称为第一功能网元,将满足第一功能网元服务需求的功能网元称为第二功能网元。
其中,本申请实施例中涉及的第一功能网元和第二功能网元可以理解为是具有一定功能的实体,例如可以是NF,也可以为终端、基站、控制器或服务器等实体本申请实施例不做限制,为描述方便,后续以功能网元为NF为例进行描述。本申请实施例中涉及的控制网元可以理解为是具备存储注册信息并对网元进行控制的功能实体,例如可以是NRF,也可以为终端、基站、控制器或服务器等实体。本申请实施例不做限制,为描述方便,后续以控制网元为NRF为例进行描述。本申请实施例中涉及的管理网元可以是任何具备网元管理和控制功能的功能实体,例如运行管理维护网元(operation administration and maintenance,OAM)或者切片管理网元(Slice manager)等实体,也可以为终端、基站、控制器或服务器等实体,本申请实施例不做限制,为描述方便,后续以管理网元为OAM为例进行描述。
上述基于服务化架构的实现第二NF发现的过程中,为了保证第一NF与第二NF之间进行安全通信,通常是由NRF生成安全密钥,并将该安全密钥发送给第一NF和第二NF,由第一NF和第二NF基于该安全密钥进行安全认证。然而采用此种方法,必须要求NRF与第二NF之间进行通信,才能完成第一NF和第二NF之间基于该安全密钥进行安全认证,通信复杂度较高。
有鉴于此,本申请实施例提供一种基于服务化架构的发现方法,在该方法中由NRF生成安全参数并将该安全参数发送至第一NF,由第一NF与第二NF之间基于该安全参数进行安全认证,而无需第二NF与NRF之间进行交互,一定程度上减少了发现过程中NF与NRF之间的通信次数,进而可一定程度上降低通信复杂度。
图2所示为本申请实施例提供的一种基于服务化架构的发现方法实施流程图,参阅图2所示,包括:
S101:第一NF向NRF发送发现请求。
本申请实施例中,第一NF在确定需要接入其它NF,或者需要请求进行业务时,向NRF发送发现请求。在第一NF在确定需要接入其它NF的情况下,第一NF向NRF发送的发现请求中可以包括第一NF需要接入的NF类型信息。在第一NF确定需要请求进行某一业务时,第一NF向NRF发送的发现请求中可以包括第一NF请求的业务参数等信息。
S102:NRF接收第一NF发送的发现请求,并基于该发现请求确定安全参数以及第二NF的访问地址或标识。
具体的,NRF接收到第一NF发送的发现请求后,可依据该发现请求中包括的NF类型信息、业务参数等信息,确定满足服务需求的NF。本申请实施例中假设第二NF为第一NF需要接入的NF,或者可以为第一NF提供第一NF所请求的业务。NRF确定了满足服务需求的第二NF后,可确定第二NF的访问地址或第二NF的标识等第二NF的参数信息。
本申请实施例中,NRF在确定了第二NF的访问地址或标识后,可依据第一NF请求业务的业务参数信息和第二NF的参数信息,生成安全参数,该安全参数用于第一NF与第二NF之间进行安全认证。
进一步的,本申请实施例中NRF可在接收到第一NF发送的发现请求后,对第一NF发送的发现请求进行安全认证,在确认第一NF发送的发现请求合法的情况下,再执行确认第二NF的访问地址或标识,以及生成安全参数的过程,以提高发现过程的安全性。
S103:NRF向第一NF发送发现响应,该发现响应中包括安全参数以及第二NF的访问地址或标识。
S104:第一NF依据NRF发送的第二NF的访问地址或标识,向第二NF发送接入请求,并在该接入请求中包括安全参数。
S105:第二NF接收第一NF发送的接入请求,并验证该接入请求中包括的安全参数的正确性,并基于安全参数的正确性,确定是否准许第一NF接入。
本申请实施例中,第二NF在确认第一NF发送的安全参数正确的情况下,准许第一NF接入,在确认第一NF发送的安全参数不正确的情况下,可拒绝第一NF接入。
本申请实施例中,由NRF生成安全参数并将该安全参数发送至第一NF,由第一NF与第二NF之间基于该安全参数进行安全认证,而无需第二NF与NRF之间进行交互,一定程度上减少了发现过程中NF与NRF之间的通信次数,进而可一定程度上降低通信复杂度。
本申请实施例以下将结合具体的实施例,对安全参数的生成、验证过程以及结合不同安全参数实现发现的过程进行说明。
本申请实施例中以第一NF需要请求业务,第二NF能够为第一NF提供该业务为例进行说明,对于第一NF请求接入第二NF的实施过程类似,在此不再赘述。
实施例一
图3所示为本申请实施例一提供的一种基于服务化架构的发现方法实施流程图,参阅图3所示,包括:
S201:第一NF确定需要请求业务,该业务可以通过业务参数来确定,业务参数例如可以是业务标识(service ID)。以下实施例中以业务参数为service ID为例进行说明,对于其它的业务参数的实现过程类似,在此不再赘述。
S202:第一NF向NRF发送发现请求,在该发现请求中可以包括第一NF的标识(ID_NF1),以及第一NF请求业务的service ID等信息,还可以包括第二NF的类型信息(NF2type)等。
本申请实施例中发现请求中可以包括多个业务的service ID。
进一步的,本申请实施例中发现请求中也可不包含service ID,若发现请求中不包含service ID,则NRF可根据第一NF发送的业务参数,确定service ID。
S203:NRF接收第一NF发送的发现请求,并确定第二NF的访问地址或标识(ID_NF2)以及安全参数。
其中,NRF根据发现请求中包括的service ID可以确定第二NF,进而可确定ID_NF2。
具体的,若发现请求中包括NF2 type,可根据NF2 type确定第二NF,或者可根据service ID和NF2 type确定ID_NF2。当然,本申请实施例中发现请求中若只包含NF2 type,则NRF也可根据NF2 type确定第二NF。
本申请实施例中,NRF接收到第一NF发送的发现请求,并确定了ID_NF2后,可基于service ID、ID_NF1和ID_NF2等生成K_session,该生成的K_session可用于对第一NF与第二NF之间进行通信的所有数据进行保护。
本申请实施例中为描述方便,将NRF生成并用于对第一NF与第二NF之间进行通信的所有数据进行保护的K_session,称为第一K_session。
本申请实施例中,第一K_session可由NRF生成。其中,第一K_session可以由NRF随机选择。或者第一K_session也可由NRF根据推衍密钥,推衍生成。进一步的,NRF生成第一K_session过程中,进行推衍的参量包括ID_NF1,ID_NF2,NF2地址,NRF标识(ID_NRF),第一NF和第二NF的公共陆地移动网络标识(Public Land Mobile Network ID,PLMN ID)和service ID等中的一项或多项。NRF除对上述参量进行推衍以外,还可对第一K_session的有效期(time),第一K_session随机数(nonce_session),计数器和序列号中的至少一项进行推衍生成第一K_session。其中,第一K_session的有效期可以为包含开始时间和结束时间,或者为开始时间和有效的时间,或者为结束时间。第一K_session随机数可以由NRF随机选择。
具体的,若第一NF请求的业务为多个,则生成第一K_session过程中可基于多个service ID生成。
其中,生成第一K_session所用的推衍密钥可由NRF对预设的根密钥进行密钥推衍得到,或者该推衍密钥也可为NRF保存的密钥。
本申请实施例中,NRF可基于该第一K_session生成token,并将基于该第一K_session生成的token和第一K_session作为用于第一NF和第二NF进行安全认证的安全参数。
本申请实施例中,为描述方便,将基于第一K_session生成的token,称为第一token。
本申请实施例中,一种可能的实施方式中,第一token可以为非对称的第一token,该非对称的第一token可由NRF基于第二NF的公钥(PKNF2)生成。其中,NRF基于PKNF2生成非对称的第一token,需要NRF中预先保存PKNF2、NRF的公钥(PKnrf)以及NRF的私钥(SKnrf)。PKNF2可以是初始预先设置在NRF中的,也可以是第二NF与NRF进行交互过程中,第二NF发送至NRF的。NF2也需要预先保存PKnrf、PKNF2以及第二NF的私钥(SKNF2)。其中,PKnrf可以是初始预先设置在第二NF中的,也可以是第二NF与NRF进行交互过程中,NRF发送至NRF的。
具体的,NRF可基于PKNF2,对数字签名(Signature)、ID_NF1、ID_NF2以及第一K_session加密生成。其中,数字签名可由NRF基于SKnrf,对ID_NF1、以及第一K_session执行数字签名算法生成。
进一步的,本申请实施例中,NRF除对上述参量基于PKNF2进行加密以外,还可对ID_NRF,第一NF和第二NF的PLMN ID和第一NF所请求业务的业务标识中的一项或多项进行加密。NRF还可对非对称的第一token有效期(time),非对称的第一token随机数(nonce_token),计数器和序列号中的至少一项执行签名算法。类似的,数字签名也可由NRF基于SKnrf,除对上述参量以外的ID_NRF,第一NF和第二NF的PLMN ID和第一NF所请求业务的业务标识中的一项或多项执行数字签名算法。NRF还可对签名有效期(time),签名随机数(nonce_sign),计数器和序列号中的至少一项执行签名算法。
其中,第一token有效期和签名有效期可以为包含开始时间和结束时间,或者为开始时间和有效的时间,或者为结束时间。非对称的第一token随机数和签名随机数可以由NRF随机选择,二者可相同,也可不同。
另一种可能的实施方式中,第一token可以为对称的第一token。对称的第一token可由NRF基于NRF与第二NF之间共享的对称密钥生成。NRF基于NRF与第二NF之间共享的对称密钥生成对称的第一token的情况下,需要NRF和第二NF预先保存共享的对称密钥。
具体的,对称的第一token可由NRF基于NRF与第二NF之间共享的对称密钥,对消息认证码(message Authentication code,MAC)、ID_NF1、ID_NF2以及第一K_session加密生成。其中,MAC由NRF基于NRF与第二NF之间共享的对称密钥,对ID_NF1以及第一K_session执行消息验证码的算法生成。
进一步的,本申请实施例中,NRF除对上述参量基于NRF与第二NF之间共享的对称密钥进行加密以外,还可对ID_NRF,第一NF和第二NF的PLMN ID和第一NF所请求业务的业务标识中的一项或多项进行加密。NRF还可对对称的第一token有效期(time),对称的第一token随机数(nonce_token),计数器和序列号中的至少一项执行消息验证码算法。类似的,MAC也可由NRF基于SKnrf,除对上述参量以外的ID_NRF,第一NF和第二NF的PLMN ID和第一NF所请求业务的业务标识中的一项或多项执行消息验证码算法。NRF还可对MAC有效期(time),MAC随机数(nonce_mac),计数器和序列号中的至少一项执行消息验证码算法。
其中,第一token有效期和MAC有效期可以为包含开始时间和结束时间,或者为开始时间和有效的时间,或者为结束时间。对称的第一token随机数和MAC随机数可以由NRF随机选择,二者可相同,也可不同。
S204:NRF向第一NF发送发现响应,在该发现响应中包括第一K_session和第一token,还包括ID_NF2和NF2地址的至少一项。
S205:第一NF接收NRF发送的发现响应,并基于ID_NF2或NF2地址向第二NF发送接入请求,该接入请求中包括ID_NF1和第一token。
S206:第二NF接收第一NF发送的接入请求,并验证接入请求中包括的第一token的正确性。
本申请实施例中,若第一token为基于PKNF2生成的非对称的第一token,则第二NF利用SKNF2解密第一token,以得到数字签名,并利用PKnrf以及被签名的内容,验证所述数字签名的正确性。其中,被签名的内容包括生成第一token过程中执行数字签名算法的参量。第二NF若验证数字签名正确,则确定第一NF发送的接入请求被NRF授权,准许第一NF接入第二NF。第二NF若验证数字签名不正确,则确定第一NF发送的接入请求未被NRF授权,则不准许第一NF接入第二NF。
本申请实施例中,若第一token为基于NRF与第二NF之间共享的对称密钥生成的对称的第一token,则第二NF利用NRF与第二NF之间共享的对称密钥解密第一token,以得到MAC,并利用NRF与第二NF之间共享的对称密钥以及被MAC保护的内容,验证MAC的正确性。其中,被MAC保护的内容包括生成第一token过程中执行消息验证码算法的参量。第二NF若验证MAC正确,则确定第一NF发送的接入请求被NRF授权,准许第一NF接入第二NF。第二NF若验证MAC不正确,则确定第一NF发送的接入请求未被NRF授权,则不准许第一NF接入第二NF。
进一步的,本申请实施例中第二NF解密第一token,还可得到第一K_session,第二NF和第一NF之间可共享第一K_Session。第二NF可利用第一K_Session执行如下S207的步骤,其中,S207为可选步骤。
S207:第二NF确定第一NF发送的接入请求被NRF授权的情况下,基于第一K_session或者第一K_session推衍后的密钥,与第一NF建立安全通道。
其中,第一K_session推衍后的密钥,可以通过对第一K_session,隧道建立计数器和会话标识中至少一项执行密钥推衍算法得到。
更进一步的,本申请实施例中还可包括如下S208的步骤,其中,S208的步骤为可选步骤:
S208:第二NF可向第一NF发送接入响应,以通知第一NF是否成功接入。
本申请实施例一提供的基于服务化架构的发现方法中,NRF生成第一token以及用于对第一NF和第二NF之间进行通信的全部数据进行保护的第一K_session,可以实现基于连接的安全保护,并且可以在NRF与第二NF之间不进行安全参数交互的情况下,实现第一NF与第二NF之间对安全参数的安全认证,在一定程度上减少了发现过程中NF与NRF之间的通信次数,进而可一定程度上降低通信复杂度。
实施例二
图4所示为本申请实施例二提供的一种基于服务化架构的发现方法实施流程图。图4中,S301和S302的执行步骤与实施一中的S201和S202的执行步骤相同在此不再赘述,以下仅就不同之处进行说明。
S303:NRF接收第一NF发送的发现请求,并确定第二NF的访问地址或标识(ID_NF2),以及确定安全参数。
其中,NRF确定ID_NF2的实施过程与上述实施例类似,在此不再赘述。
本申请实施例中,NRF确定第一NF与第二NF之间共享的K_session时,可区分第一NF请求的业务分别生成K_session,可以理解为,每一个业务与K_session之间是一一对应的关系,每个K_session对该K_session对应的业务进行保护。
本申请实施例中为描述方便,将对第一NF所请求的每一业务分别进行保护的各K_session,称为第二K_session。
本申请实施例中,NRF可基于第一NF所请求业务的service ID分别生成各业务各自对应的第二K_session。
具体的,各第二K_session的生成过程类似,只是所用的service ID不同,每个K_session都可采用如下方式生成:
第二K_sessio可由NRF生成。其中,第二K_session可以由NRF随机选择。或者K_session可由NRF根据推衍密钥,对ID_NF1、ID_NF2、以及第二K_session所保护业务的service ID的至少一项推演生成。其中,生成第二K_session所用的推衍密钥可以由NRF对预设的根密钥进行密钥推衍得到,或者也可以为NRF保存的密钥。
例如,假设第一NF所请求的业务包括业务1和业务2,业务1的标识为service ID1,业务2的标识为service ID2。本申请实施例中可分别生成第二K_session1和第二K_session2,其中,第二K_session1基于service ID1生成,并对业务1进行保护。第二K_session2基于service ID2生成,并对业务2进行保护。
进一步的,本申请实施例中NRF可基于生成的各第二K_session,分别生成与各第二K_session各自对应的token。
本申请实施例中,为描述方便可将基于每个第二K_session分别生成与各第二K_session各自对应的token,称为第二token。
具体的,NRF可基于每个第二K_session以及第二K_session所保护业务的serviceID,分别生成其各自对应的第二token,各第二token的生成过程类似,只是所用第二K_session以及第二K_session所保护业务的service ID不同。例如,仍假设第一NF所请求的业务包括业务1和业务2,业务1的标识为service ID1,业务2的标识为service ID2,并且第二K_session1基于service ID1生成,并对业务1进行保护,第二K_session2基于serviceID2生成,并对业务2进行保护,则本申请实施例中可基于service ID1、第二K_session1生成第二token1,并基于service ID2、第二K_session2生成第二token2。
进一步的,本申请实施例中第二token可以为对称的第二token,也可以为非对称的第二token。
一种可能的实施方式中,NRF可基于PKNF2,对数字签名、ID_NF1、ID_NF2、第二K_session所保护业务的service ID、以及第二K_session加密生成非对称的第二token。其中,数字签名由NRF基于NRF的私钥,对ID_NF1、以及第二K_session执行数字签名算法生成。
另一种可能的实施方式中,NRF可基于NRF与第二NF之间共享的对称密钥,对MAC、ID_NF1、ID_NF2、第二K_session所保护业务的service ID、以及第二K_session加密生成对称的第二token。其中,MAC由NRF基于NRF与第二NF之间共享的对称密钥,对ID_NF1、以及第二K_session执行消息验证码的算法生成。
本申请实施例中,针对每个第二K_session所生成的对称的第二token或非对称的第二token,可采用与上述实施例一中涉及的生成对称的第一token或非对称的第一token的实施方式类似,不同之处就在于,此处需要基于第二K_session以及第二K_session所保护业务的service ID生成,对于其它参量可类似,故在此不再赘述,具体可参阅上述实施例一的描述。
S304:NRF向第一NF发送发现响应,在该发现响应中包括全部第二K_session和全部第二token,还包括ID_NF2和NF2地址的至少一项。
S305:第一NF接收NRF发送的发现响应,并基于发现响应中包括的ID_NF2向第二NF发送接入请求,该接入请求中包括ID_NF2、以及第二token。例如,第一NF所请求的业务为业务1,则该接入请求中可包括第二K_session1以及第二token1。
S306:第二NF接收第一NF发送的接入请求,并验证接入请求中包括的第二token的正确性。
本申请实施例中第二NF验证第二token的实施过程与上述实施例一中涉及的验证第一token的实施过程类似,故在此不再赘述。
进一步的,本申请实施例中第二NF解密第二token,还可得到第二K_session,第二NF和第一NF之间可共享第二K_Session。第二NF可利用第二K_Session执行如下S307的步骤,其中,S307为可选步骤。
S307:第二NF确定第一NF发送的接入请求被NRF授权的情况下,基于第二K_session或者第二K_session推衍后的密钥,与第一NF建立针对该第二K_session所保护业务的安全通道。
类似的,本申请实施例中也可包括如下向第一NF发送接入响应的步骤:
S308:第二NF向第一NF发送接入响应,以通知第一NF是否成功接入。
其中,S308为可选步骤。
本申请实施例二提供的基于服务化架构的发现方法中,NRF针对第一NF所请求的每个业务分别生成第二K_session以及第二token,可以实现基于业务的安全保护,并且可以在NRF与第二NF之间不进行安全参数交互的情况下,实现第一NF与第二NF之间对安全参数的安全认证,在一定程度上减少了发现过程中NF与NRF之间的通信次数,进而可一定程度上降低通信复杂度。
本申请另一可能的实施例中,NRF可针对全部第二K_session生成一个token,以在第一NF请求多个业务时,无需发送多个token,可向第二NF发送一个token,以进一步降低通信复杂度。
本申请实施例中,为描述方便可将基于全部第二K_session生成的token称为第三token。
实施例三
图5所示为本申请实施例三提供的一种基于服务化架构的发现方法实施流程图。图5中,S401和S402的执行步骤与实施二中的S301和S302的执行步骤相同,并且S303中确定ID_NF2以及生成第二K_session的实施过程也与实施例二中确定ID_NF2以及生成第二K_session的实施过程相同,故在此不再赘述,以下仅就不同之处进行说明。
S403:NRF基于生成的各第二K_session,生成第三token。
本申请实施例中,第三token可以是对称的第三token,也可以是非对称的第三token。
一种可能的实施方式中,本申请实施例中可由NRF基于PKNF2,对数字签名、ID_NF1、ID_NF2以及全部的第二K_session加密生成非对称的第三token。其中,数字签名由NRF基于NRF的私钥,对ID_NF1、以及全部的第二K_session执行数字签名算法生成。另一种可能的实施方式中,也可由NRF基于NRF与第二NF之间共享的对称密钥,对消息认证码、ID_NF1、ID_NF2、以及全部的第二K_session加密生成对称的第三token。其中,消息认证码由NRF基于NRF与第二NF之间共享的对称密钥,对ID_NF1、以及全部的第二K_session执行消息验证码的算法生成。第三token的计算参数也可以包括全部的第二K_session保护的全部业务的service ID。
本申请实施例中对于生成非对称的第三token或对称的第三token的过程,可采用与上述实施例一中涉及的生成对称的第二token或非对称的第二token的实施方式类似,不同之处就在于,此处需要基于第二K_session以及第二K_session所保护业务的全部service ID生成,对于其它参量可类似,故在此不再赘述,具体可参阅上述实施例一的描述。
S404:NRF向第一NF发送发现响应,该发现响应中包括全部第二K_session和第三token,还包括ID_NF2和NF2地址的至少一项。
S405:第一NF接收NRF发送的发现响应,并基于发现响应中包括的ID_NF2向第二NF发送接入请求,该接入请求中包括ID_NF2、以及第三token。例如,第一NF所请求的业务为业务1,则该接入请求中可包括第二K_session1以及第三token。
S406:第二NF接收第一NF发送的接入请求,并验证接入请求中包括的第三token的正确性。
本申请实施例中第二NF验证第三token的实施过程与上述实施例一中涉及的验证第一token的实施过程类似,故在此不再赘述。
S407与S307的执行步骤相同,在此不再赘述,其中,该S407的执行步骤为可选步骤。
类似的,本申请实施例中也可包括向第一NF发送接入响应的步骤:
S408:第二NF向第一NF发送接入响应,以通知第一NF是否成功接入。
其中,S408为可选步骤。
本申请实施例三提供的基于服务化架构的发现方法中,NRF针对第一NF所请求的每个业务分别生成第二K_session,并将全部的第二K_session携带在一个第三token,可以实现基于业务的安全保护,并且向第二NF发送一个token,能够降低通信复杂度。
实施例四
图6所示为本申请实施例四提供的一种基于服务化架构的发现方法。图6中,S501和S502的执行步骤与实施一中的S201和S202的执行步骤相同,在此不再赘述,以下仅就不同之处进行说明。
S503:NRF接收第一NF发送的发现请求,并确定ID_NF2以及安全参数。
其中,NRF确定ID_NF2的实施过程与上述实施例类似,在此不再赘述。
本申请实施例中,NRF无需生成第一NF与第二NF之间共享的会话密钥,可单独生成用于第二NF对第一NF进行授权验证的安全参数。
本申请实施例中用于第二NF对第一NF进行授权验证的安全参数可以是数字签名也可以是MAC。
一种可能的实施方式中,用于第二NF对第一NF进行授权验证的安全参数可以包括数字签名,该用于第二NF对第一NF进行授权验证的数字签名可由NRF基于SKnrf生成。其中,NRF基于SKnrf生成数字签名,需要NRF中预先保存PKNF2、PKnrf以及SKnrf。PKNF2可以是初始预先设置在NRF中的,也可以是第二NF与NRF进行交互过程中,第二NF发送至NRF的。第二NF也需要预先保存PKnrf。其中,PKnrf可以是初始预先设置在第二NF中的,也可以是第二NF与NRF进行交互过程中,NRF发送至NRF的。
具体的,本申请实施例中NRF可基于SKnrf,对ID_NF1执行数字签名算法生成。进一步的,NRF除对ID_NF1执行数字签名算法外,还可对ID_NRF,第一NF和第二NF的PLMN ID和第一NF所请求业务的业务标识中的一项或多项执行数字签名算法。NRF还可对签名有效期(time),签名随机数(nonce_sign),计数器和序列号中的至少一项执行签名算法。
另一种可能的实施方式中,用于第二NF对第一NF进行授权验证的安全参数可以包括MAC,该用于第二NF对第一NF进行授权验证的MAC可由NRF基于NRF与第二NF之间共享的对称密钥生成。NRF基于NRF与第二NF之间共享的对称密钥生成MAC情况下,需要NRF和第二NF预先保存共享的对称密钥。
具体的,用于第二NF对第一NF进行授权验证的MAC可由NRF基于NRF与第二NF之间共享的对称密钥,对ID_NF1执行消息认证码的算法生成。
进一步的,MAC也可由NRF基于NRF与第二NF之间共享的对称密钥,对ID_NRF,以及除上述参量以外的ID_NRF,第一NF和第二NF的PLMN ID和第一NF所请求业务的业务标识中的一项或多项执行消息验证码算法。NRF还可对MAC有效期(time),MAC随机数(nonce_mac),计数器和序列号中的至少一项执行消息验证码算法。
可以理解的是,签名有效期和MAC有效期可以为包含开始时间和结束时间,或者为开始时间和有效的时间,或者为结束时间。签名随机数和MAC随机数可以由NRF随机选择。
S504:NRF向第一NF发送发现响应,该发现响应中包括数字签名或者MAC,还包括ID_NF2和NF2地址的至少一项。
S505:第一NF接收NRF发送的发现响应,并基于ID_NF2向第二NF发送接入请求,该接入请求中包括ID_NF1和数字签名,或者ID_NF1和MAC。
其中,接入请求中还可包括其它参量,诸如接入请求中包括ID_NF1和数字签名时,还可包括执行数字签名的签名有效期,签名随机数,计数器和序列号中的至少一项。或者接入请求中包括ID_NF1和MAC时,还可以包括执行消息验证码算法的MAC有效期,MAC随机数,计数器和序列号中的至少一项。
S506:第二NF接收第一NF发送的接入请求,并验证接入请求中包括的数字签名或MAC的正确性。
具体的,若安全参数包括数字签名,则第二NF可基于PKnrf以及被数字签名所签名的内容,验证数字签名的正确性,其中,被数字签名所签名的内容包括ID_NF1。第二NF若验证数字签名正确,则确定第一NF发送的接入请求被NRF授权,准许第一NF接入第二NF。第二NF若验证数字签名不正确,则确定第一NF发送的接入请求未被NRF授权,则不准许第一NF接入第二NF。
若安全参数包括MAC,则第二NF可利用NRF与第二NF之间共享的对称密钥、以及被MAC保护的内容,验证MAC的正确性。其中,被MAC保护的内容包括ID_NF1。第二NF若验证MAC正确,则确定第一NF发送的接入请求被NRF授权,准许第一NF接入第二NF。第二NF若验证MAC不正确,则确定第一NF发送的接入请求未被NRF授权,则不准许第一NF接入第二NF。
一种可能的示例中,本申请实施例中,NRF可基于第一NF所请求的每个业务分别生成数字签名,或者分别生成MAC,以实现业务层面的授权验证。
类似的,本申请实施例中也可包括向第一NF发送接入响应的步骤。
本申请实施例四提供的基于服务化架构的发现方法中,NRF生成数字签名或MAC,可以在NRF与第二NF之间不进行安全参数交互的情况下,第二NF对第一NF的授权认证,在一定程度上减少了发现过程中NF与NRF之间的通信次数,进而可一定程度上降低通信复杂度。
实施例五
本申请实施例中,若控制和管理第一NF的NRF归属第一PLMN,控制和管理第二NF的NRF归属第二PLMN,且第一PLMN与第二PLMN不同,则用于对第一NF进行授权认证的安全参数可由归属第二PLMN的NRF生成、并发送给归属第一PLMN的NRF。归属第一PLMN的NRF接收归属第二PLMN的NRF发送的安全参数,并向第一NF发送发现响应,发现响应中包括从归属第二PLMN的NRF处获取的安全参数,具体实现过程如图7所示。
图7所示的基于服务化架构的发现方法的流程图,适用于第一NF和/或第二NF发生漫游的场景,即控制和管理第一NF的NRF归属第一PLMN与控制和管理第一NF的NRF归属第二PLMN不同的场景。此种场景下归属第二PLMN的NRF生成安全参数的实施过程与上述实施例一至实施例四涉及的生成安全参数的实施过程类似,不同之处在于,NRF生成安全参数所用的参量除包括上述实施例涉及的参量外,还包括PLMN ID。
实施例六
本申请实施例中,在执行上述各实施例过程中,若需要变更业务,例如撤销已请求的业务,或者修改已请求的业务的场景下,可采用如下实施方式:
第一种实施方式中,由第一NF发起业务变更请求,具体实施流程如图8所示:
S601:第一NF确定需要对已请求的业务进行变更,例如需要对service ID1的业务进行撤销或者修改。
本申请实施例中第一NF可以对一个或多个业务进行变更。
S602:第一NF生成MAC或数字签名,该MAC或数字签名可对第一NF向NRF发送的业务变更请求进行安全保护。
具体的,对业务变更请求进行安全保护的MAC可由第一NF基于第一NF与NRF之间共享的对称密钥,对业务变更请求所变更业务的service ID、对称密钥有效期以及ID_NF1执行消息认证码的算法生成。对业务变更请求进行安全保护的数字签名可由第一NF基于第一NF的私钥,对业务变更请求所变更业务的service ID、数字签名有效期以及ID_NF1执行数字签名的算法生成。
本申请实施例中,若第一NF对多个业务进行变更,则可针对每个变更的业务分别生成数字签名或MAC,当然也可针对多个业务生成一个数字签名或一个MAC。
S603:第一NF向NRF发送业务变更请求,该业务变更请求中包括对业务变更请求进行安全保护的MAC或数字签名。
S604:NRF接收第一NF发送的业务变更请求,并对第一NF发送的业务变更请求进行授权认证。
本申请实施例中,NRF可基于对MAC或数字签名的验证,实现对第一NF发送的业务变更请求的授权认证。
具体的,若对业务变更请求进行安全保护的参数为MAC,则NRF可基于预先保存的与第一NF共享的对称密钥以及接收到的MAC所保护的内容,对接收到的MAC进行验证。NRF若验证MAC正确,则确定接收到的业务变更请求是由第一NF授权的,则可对业务变更请求所请求变更的业务进行变更。NRF若验证MAC不正确,则确定接收到的业务变更请求未被第一NF授权,则可拒绝对业务变更请求所请求变更的业务进行变更。
若对业务变更请求进行安全保护的参数为数字签名,则NRF可基于PKNF1以及被数字签名所保护的内容,对接收到的数字签名进行验证。其中,PKNF1可由NRF预先保存,也可由NRF与第一NF进行交互过程中获取。NRF若验证数字签名正确,则确定接收到的业务变更请求是由第一NF授权的,则可对业务变更请求所请求变更的业务进行变更。NRF若验证数字签名不正确,则确定接收到的业务变更请求未被第一NF授权,则可拒绝对业务变更请求所请求变更的业务进行变更。
本申请实施例中,对于NRF对业务变更请求所请求变更的业务进行变更的实施过程不作限定,例如可由第一NF向NRF发送变更策略,该变更策略可以由数字签名或MAC保护。
一种可能的示例中,NRF对第一NF发送的业务变更请求进行授权认证后,可向第一NF发送授权认证结果,当然此执行过程为可选的步骤。
S605:若第一NF已经接入第二NF,则第一NF可向第二NF发送业务变更通知用于通知第二NF变更业务。
其中,S605为可选步骤。
第二种实施方式中,由NRF发起业务变更请求,具体实施流程如图9所示:
S701:NRF确定需要对已请求的业务进行变更,例如需要对service ID1的业务进行撤销或者修改。
本申请实施例中NRF可以对一个或多个业务进行变更。
S702:NRF生成MAC或数字签名,该MAC或数字签名可对NRF向第一NF发送的业务变更请求进行安全保护。
具体的,对业务变更请求进行安全保护的MAC或数字签名的生成过程与上述实施例中第一NF生成业务变更请求进行安全保护的MAC或数字签名的过程类似,故在此不再赘述。
本申请实施例中,若NRF对多个业务进行变更,则可针对每个变更的业务分别生成数字签名或MAC,当然也可针对多个业务生成一个数字签名或一个MAC。
S703:NRF向第一NF发送业务变更请求,该业务变更请求中包括对业务变更请求进行安全保护的MAC或数字签名。
S704:第一NF接收NRF发送的业务变更请求,并对NRF发送的业务变更请求进行授权认证。
其中,第一NF对NRF发送的业务变更请求进行授权认证的实施过程,与NRF对第一NF发送的业务变更请求进行授权认证的实施过程类似,故在此不再赘述。
一种可能的示例中,第一NF对NRF发送的业务变更请求进行授权认证之后,可向NRF发送授权认证结果。
S705:若第一NF已经接入第二NF,则第一NF可向第二NF发送业务变更通知用于通知第二NF变更业务。
其中,S705为可选步骤。
第三种实施方式中,由OAM发起业务变更请求,具体实施流程如图10所示:
S801:OAM确定需要对第一NF已请求的业务进行变更,例如需要对service ID1的业务进行撤销或者修改。
本申请实施例中OAM可以对第一NF已请求的一个或多个业务进行变更。
S802:OAM生成MAC或数字签名,该MAC或数字签名可对OAM向NRF发送的业务变更请求进行安全保护。
具体的,对业务变更请求进行安全保护的MAC或数字签名的生成过程与上述实施例中NRF生成业务变更请求进行安全保护的MAC或数字签名的过程类似,不同之处在于,由OAM确定基于PAM与NRF之间共享的对称密钥确定MAC或由OAM基于PKnrf确定数字签名。在确定MAC时,OAM与NRF之间需要预先共享对称密钥。在确定数字签名时,OAM需要预先保存OAM的公钥、OAM的私钥以及PKnrf;NRF需要预先保存OAM的公钥。对于相同之处,在此不再赘述。
本申请实施例中,若OAM对多个业务进行变更,则可针对每个变更的业务分别生成数字签名或MAC,当然也可针对多个业务生成一个数字签名或一个MAC。
S803:OAM向NRF发送业务变更请求,该业务变更请求中包括对业务变更请求进行安全保护的MAC或数字签名。
S804:NRF接收OAM发送的业务变更请求,并对OAM发送的业务变更请求进行授权认证。
本申请实施例中NRF对OAM发送的业务变更请求进行授权认证的实施过程中,NRF可基于NRF与OAM之间共享的对称密钥验证MAC,可基于OAM的公钥验证数字签名的正确性,对于其它过程与NRF对第一NF发送的业务变更请求进行授权认证的实施过程类似,故在此不再赘述。
一种可能的示例中,NRF对OAM发送的业务变更请求进行授权认证之后,可向OAM发送授权认证结果。
S805:NRF若确定OAM对发送的业务变更请求进行授权,则向第一NF发送业务变更通知。
本申请实施例中为描述方便将NRF向第一NF发送的业务变更通知称为第一业务变更通知。第一业务变更通知由NRF在确定OAM发送的业务变更请求被授权的情况下所发送。
S806:第一NF接收NRF发送的第一业务变更通知,并在确定第一NF已接入第二NF,情况下,向第二NF发送业务变更通知,以通知第二NF变更业务。
本申请实施例中为描述方便,可将第一NF向第二NF发送的业务变更通知称为第二业务变更通知,其中,第二业务变更通知由第一NF向第二NF发送,并用于通知第二NF变更业务。
本申请实施例六提供的方法中,适用于需要变更业务的场景。
本申请实施例中,针对上述各实施例,若第一NF已知第二NF标识,但不知道第二NF的地址,此时第一NF发送发现请求至NRF,所述发现请求包括第二NF标识。NRF验证该第二NF标识,若验证通过,发送第二NF地址至第一NF。其他参数与之前实施例相同。
本申请实施例中,针对上述各实施例,NF1发送给NRF的发现请求中NF1的标识可选。
本申请实施例中,针对上述所有非对称技术的实施例,仍旧可以用基于身份技术实现。基于身份技术与基于证书非对称安全技术中的不同点在于,公钥PK可以为ID,即用户身份。
本申请实施例中,针对上述采用MAC和签名做验证的实施例中,还包括基于DH(Diffie-Hellman)密钥协商生成K_session的可能性,即NRF生成DH密钥协商的公钥PK_DH_NRF和SK_DH_NRF,采用MAC或者签名对PK_DH_NRF做保护,另外NRF将PK_DH_NRF和SK_DH_NRF发送至第一NF。第一NF在之前实施例中发送接入请求的基础上,另外发送PK_DH_NRF至第二NF。第二NF验证MAC或签名成功后,生成PK_DH_第二NF,和SK_DH_第二NF。并基于PK_DH_NRF和SK_DH_第二NF生成K_session。第二NF发送PK_DH_第二NF至第一NF。此时第一NF可以基于PK_DH_第二NF和SK_DH_NRF生成K_session。所述参数的格式和计算K_session的方式与经典DH密钥协商流程类似。DH密钥协议不做限制,包括但不限于离散对数等。
上述主要从管理网元、功能网元和控制网元交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,管理网元、功能网元和控制网元为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元及算法步骤,本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的技术方案的范围。
本申请实施例可以根据上述方法示例对第一功能网元、第二功能网元和控制网元进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用软件功能单元的形式实现时,图11示出了本申请实施例提供的一种基于服务化架构的发现装置100的结构示意图。其中,基于服务化架构的发现装置100可应用于控制网元,参阅图11所示,应用于控制网元的发现装置100可包括处理单元101和发送单元102。其中,处理单元101用于确定安全参数。发送单元102用于向第一功能网元发送发现响应,所述发现响应中包括处理单元101生成的安全参数。
一种可能的示例中,安全参数包括非对称的第一令牌,以及第一功能网元和第二功能网元之间共享的第一会话密钥。
其中,处理单元101用于生成第一会话密钥,基于控制网元的私钥,对第一功能网元的标识、以及第一会话密钥执行数字签名算法生成数字签名,基于第二功能网元的公钥,对数字签名、第一功能网元的标识、第二功能网元的标识、以及第一会话密钥加密生成非对称的第一令牌。发送单元102用于将处理单元101生成的非对称的第一令牌作为安全参数发送给第一功能网元。
另一种可能的示例中,安全参数包括对称的第一令牌,以及第一功能网元和第二功能网元之间共享的第一会话密钥。
其中,处理单元101用于生成第一会话密钥,基于控制网元与第二功能网元之间共享的对称密钥,对第一功能网元的标识、以及第一会话密钥执行消息验证码的算法生成消息认证码,基于控制网元与第二功能网元之间共享的对称密钥,对消息认证码、第一功能网元的标识、第二功能网元的标识、以及第一会话密钥加密生成对称的第一令牌。发送单元102用于将处理单元101生成的对称的第一令牌作为安全参数发送给第一功能网元。
具体的,一种可能的实现中,处理单元101随机选择得到第一会话密钥。另一种可能的实现中,处理单元101根据推衍密钥对第一功能网元的标识和第二功能网元的标识推衍生成第一会话密钥。其中,推衍密钥由控制网元对预设的根密钥进行密钥推衍得到,或者推衍密钥是控制网元保存的密钥。
本申请实施例中,应用于控制网元的发现装置100生成对称的或非对称的第一令牌以及用于对第一功能网元和第二功能网元之间进行通信的全部数据进行保护的第一会话密钥,可以实现基于连接的安全保护,并且可以在控制网元与第二功能网元之间不进行安全参数交互的情况下,实现第一功能网元与第二功能网元之间对安全参数的安全认证,在一定程度上减少了发现过程中功能网元与控制网元之间的通信次数,进而可一定程度上降低通信复杂度。
又一种可能的示例中,安全参数包括第一功能网元和第二功能网元之间共享的第二会话密钥,以及基于每个第二会话密钥分别生成的非对称第二令牌。
其中,处理单元101用于针对第一功能网元所请求的每一业务分别生成第二会话密钥,针对第一功能网元所请求的每一业务,基于控制网元的私钥,对第一功能网元的标识、以及第二会话密钥执行数字签名算法分别生成数字签名,针对第一功能网元所请求的每一业务,基于第二功能网元的公钥,对数字签名、第一功能网元的标识、第二功能网元的标识、第二会话密钥所保护业务的业务标识、以及第二会话密钥加密分别生成各业务非对称的第二令牌。发送单元102用于将处理单元101生成的各业务对应的非对称的第二令牌作为安全参数发送给第一功能网元。
又一种可能的示例中,安全参数包括第一功能网元和第二功能网元之间共享的第二会话密钥,以及基于每个第二会话密钥分别生成的对称的第二令牌。
其中,控制网元生成针对第一功能网元所请求的每一业务分别进行保护的第二会话密钥。控制网元针对第一功能网元所请求的每一业务,基于控制网元与第二功能网元之间共享的对称密钥,对第一功能网元的标识、以及第二会话密钥执行消息验证码的算法分别生成消息认证码。控制网元基于控制网元与第二功能网元之间共享的对称密钥,对消息认证码、第一功能网元的标识、第二功能网元的标识、第二会话密钥所保护业务的业务标识、以及第二会话密钥加密,针对第一功能网元所请求的每一业务分别生成对称的第二令牌。发送单元102用于将处理单元101生成的对称的第二令牌作为安全参数发送给第一功能网元。
本申请实施例中,应用于控制网元的发现装置100针对第一功能网元所请求的每个业务分别生成第二会话密钥以及第二令牌,可以实现基于业务的安全保护,并且可以在控制网元与第二功能网元之间不进行安全参数交互的情况下,实现第一功能网元与第二功能网元之间对安全参数的安全认证,在一定程度上减少了发现过程中功能网元与控制网元之间的通信次数,进而可一定程度上降低通信复杂度。
又一种可能的示例中,安全参数包括第一功能网元和第二功能网元之间共享的第二会话密钥,以及基于全部第二会话密钥生成的非对称第三令牌。
其中,处理单元101用于生成针对第一功能网元所请求的每一业务分别进行保护的第二会话密钥,基于控制网元的私钥,对第一功能网元的标识、以及全部第二会话密钥执行数字签名算法生成数字签名,基于第二功能网元的公钥,对数字签名、第一功能网元的标识、第二功能网元的标识、全部的第二会话密钥所保护业务的业务标识、以及全部的第二会话密钥加密分别生成各业务非对称的第三令牌。发送单元102用于将处理单元101生成的非对称的第三令牌作为安全参数发送给第一功能网元。
又一种可能的示例中,安全参数包括第一功能网元和第二功能网元之间共享的第二会话密钥,以及基于全部第二会话密钥生成的对称的第三令牌。
其中,处理单元101用于生成针对第一功能网元所请求的每一业务分别进行保护的第二会话密钥,基于控制网元与第二功能网元之间共享的对称密钥,对第一功能网元的标识、以及全部的第二会话密钥执行消息验证码的算法生成消息认证码,基于控制网元与第二功能网元之间共享的对称密钥,对消息认证码、第一功能网元的标识、第二功能网元的标识、全部的第二会话密钥所保护业务的业务标识、以及全部的第二会话密钥加密生成对称的第三令牌。发送单元102用于将处理单元101对称的第三令牌作为安全参数发送给第一功能网元。
本申请实施例中,应用于控制网元的发现装置100针对第一功能网元所请求的每个业务分别生成第二会话密钥,并将全部的第二会话密钥携带在一个第三令牌,可以实现基于业务的安全保护,并且向第二功能网元发送一个令牌,能够降低通信复杂度。
具体的,处理单元101针对第一功能网元所请求的每一业务分别生成第二会话密钥时,一种可能的实现中,第二会话密钥由处理单元101随机选择得到。另一种可能的实现中,第二会话密钥由处理单元101根据推衍密钥对第一功能网元的标识和第二功能网元的标识推衍生成。其中,推衍密钥由控制网元对预设的根密钥进行密钥推衍得到,或者推衍密钥是控制网元保存的密钥。
又一种可能的示例中,安全参数包括数字签名。
其中,处理单元101用于基于控制网元的私钥,对第一功能网元的标识执行数字签名算法生成数字签名。发送单元102用于将处理单元101生成的数字签名作为安全参数发送给第一功能网元。
其中,处理单元101可基于第一功能网元所请求的每个业务分别生成数字签名,以实现业务层面的授权验证。
又一种可能的示例中,安全参数包括消息认证码。
其中,处理单元101用于基于控制网元与第二功能网元之间共享的对称密钥,对第一功能网元的标识执行消息验证码算法生成消息认证码。发送单元102用将处理单元101生成的消息认证码作为安全参数发送给第一功能网元。
其中,处理单元101可基于第一功能网元所请求的每个业务分别生成消息认证码,以实现业务层面的授权验证。
又一种可能的示例中,处理单元101用于在确定发送单元需要对已请求的业务进行变更时,生成MAC或数字签名。发送单元102用于向第一功能网元发送业务变更请求,该业务变更请求中包括处理单元101生成的对业务变更请求进行安全保护的MAC或数字签名。
又一种可能的示例中,应用于控制网元的发现装置100还可包括接收单元103。
其中,一种可能的实现中,接收单元103用于接收第一功能网元或管理网元发送的业务变更请求。该业务变更请求中包括对业务变更请求进行安全保护的消息认证码或数字签名。处理单元101用于根据接收单元103接收的业务变更请求,对第一功能网元或管理网元发送的业务变更请求进行授权认证。
在采用硬件形式实现时,上述处理单元101可以是处理器,发送单元102可以是发射器,接收单元103可以是接收器,当处理单元101是处理器,发送单元102是发射器,接收单元103是接收器时,发现装置100可采用图12所示控制网元的结构。采用图12所示的控制网元可以是NRF,该NRF可以是上述方法实施例中涉及的NRF。
图12示出了本申请实施例提供的控制网元1000的结构示意图,即示出了发现装置100的另一结构示意图。参阅图12所示,控制网元1000包括处理器1001和发射器1002,还可包括接收器1003。其中,处理器1001也可以为控制器。所述处理器1001被配置为支持控制网元1000执行图2至图10中涉及的控制网元的功能。所述发射器1002和接收器1003被配置为支持控制网元1000与第一功能网元之间进行消息的收发功能。所述控制网元1000还可以包括存储器1004,所述存储器1004用于与处理器1001耦合,其保存控制网元1000必要的程序指令和数据。其中,处理器1001、发射器1002、接收器1003和存储器1004相连,该存储器1004用于存储指令,该处理器1001用于执行该存储器1004存储的指令,以控制发射器1002和接收器1003收发数据,完成上述方法中控制网元执行相应功能的步骤。
本申请实施例中,应用于控制网元的发现装置100和控制网元1000所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
在采用软件功能单元的形式实现时,图13示出了本申请实施例提供的一种基于服务化架构的发现装置200的结构示意图。其中,基于服务化架构的发现装置200可应用于第一功能网元,参阅图13所示,应用于第一功能网元的发现装置200可包括接收单元201和发送单元202。其中,接收单元201用于接收控制网元发送的发现响应,所述发现响应中包括安全参数以及第二功能网元的访问地址或标识。发送单元202用于依据所述接收单元接收到的访问地址或标识向第二功能网元发送接入请求,所述接入请求中包括接收单元201接收到的所述安全参数。
一种可能的示例中,所述安全参数包括对称的第一令牌或非对称的第一令牌,以及所述第一功能网元和所述第二功能网元之间共享的第一会话密钥。接收单元201用于接收控制网元发送的对称的第一令牌或非对称的第一令牌。发送单元202用于将接收单元201接收到对称的第一令牌或非对称的第一令牌向第二功能网元发送。
另一种可能的示例中,所述安全参数包括基于第一功能网元所请求的每一业务的业务标识分别生成的第二会话密钥,以及基于每一第二会话密钥分别生成的对称的第二令牌或非对称的第二令牌。接收单元201用于接收控制网元发送的对称的第二令牌或非对称的第二令牌。发送单元202用于将接收单元201接收到对称的第二令牌或非对称的第二令牌向第二功能网元发送。
又一种可能的示例中,所述安全参数包括基于第一功能网元所请求的每一业务的业务标识分别生成的第二会话密钥,以及基于全部第二会话密钥生成的对称的第三令牌或非对称的第三令牌。接收单元201用于接收控制网元发送的对称的第三令牌或非对称的第三令牌。发送单元202用于将接收单元201接收到对称的第三令牌或非对称的第三令牌向第二功能网元发送。
又一种可能的示例中,所述安全参数包括数字签名或消息认证码。接收单元201用于接收控制网元发送的数字签名或消息认证码。发送单元202用于将接收单元201接收到数字签名或消息认证码向第二功能网元发送。
又一种可能的示例中,接收单元201还用于接收控制网元发送的第一业务变更通知,所述第一业务变更通知由所述控制网元在确定管理网元发送的业务变更请求合法的情况下所发送。
又一种可能的示例中,接收单元201还用于接收控制网元发送的业务变更请求,所述业务变更请求中包括对所述业务变更请求进行安全保护的消息认证码或数字签名。应用于第一功能网元的发现装置200还包括处理单元203,处理单元203用于验证接收单元201接收到的业务变更请求中包括的消息认证码或数字签名的正确性。
在采用硬件形式实现时,上述接收单元201可以是接收器,发送单元202可以是发射器,处理单元203可以是处理器,当接收单元201是接收器,发送单元202是发射器,处理单元203是处理器时,发现装置200可采用图14所示第一功能网元的结构。采用图14所示的第一功能网元可以是第一NF,该第一NF可以是上述方法实施例中涉及的第一NF。
图14示出了本申请实施例提供的第一功能网元2000的结构示意图,即示出了发现装置200的另一结构示意图。参阅图14所示,第一功能网元2000包括处理器2001和发射器2002,还可能包括接收器2003。其中,处理器2001也可以为控制器。所述处理器2001被配置为支持第一功能网元2000执行图2至图10中涉及的第一功能网元的功能。所述发射器2002和接收器2003被配置为支持第一功能网元2000与控制网元以及第二功能网元之间进行消息的收发功能。所述第一功能网元2000还可以包括存储器2004,所述存储器2004用于与处理器2001耦合,其保存第一功能网元2000必要的程序指令和数据。其中,处理器2001、发射器2002、接收器2003和存储器2004相连,该存储器2004用于存储指令,该处理器2001用于执行该存储器2004存储的指令,以控制发射器2002和接收器2003收发数据,完成上述方法中第一功能网元执行相应功能的步骤。
本申请实施例中,应用于第一功能网元的发现装置200和第一功能网元2000所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
在采用软件功能单元的形式实现时,图15示出了本申请实施例提供的一种基于服务化架构的发现装置300的结构示意图。其中,基于服务化架构的发现装置300可应用于第二功能网元,参阅图15所示,应用于第二功能网元的发现装置300可包括接收单元301和处理单元302。其中,接收单元301用于接收第一功能网元发送的接入请求,所述接入请求中包括安全参数。处理单元302用于验证接收单元301接收到的安全参数的正确性,并基于所述安全参数的正确性,确定所述接入请求是否被所述第一功能网元授权。
一种可能的示例中,所述安全参数包括非对称的第一令牌,以及所述第一功能网元和所述第二功能网元之间共享的第一会话密钥。接收单元301用于接收第一功能网元发送的非对称的第一令牌。处理单元302用于利用第二功能网元的私钥解密接收单元301接收到的非对称的第一令牌,以得到数字签名,并利用控制网元的公钥以及被签名的内容,验证数字签名的正确性。其中,被签名的内容包括第一功能网元的标识、以及第一会话密钥。
另一种可能的示例中,所述安全参数包括对称的第一令牌,以及所述第一功能网元和所述第二功能网元之间共享的第一会话密钥。接收单元301用于接收第一功能网元发送的对称的第一令牌。处理单元302用于利用所述对称密钥解密接收单元301接收到的对称的第一令牌,以得到消息认证码,并利用控制网元与第二功能网元之间共享的对称密钥,以及被消息验证码保护的内容,验证消息验证码的正确性。其中,被消息验证码保护的内容包括第一功能网元的标识、以及第一会话密钥。
又一种可能的示例中,所述安全参数包括基于第一功能网元所请求业务的业务标识分别生成的第二会话密钥,以及基于第二会话密钥生成的非对称的第二令牌。接收单元301用于接收第一功能网元发送的非对称的第二令牌。处理单元302用于利用第二功能网元的私钥解密接收单元301接收到的非对称的第二令牌,以得到数字签名,并利用控制网元的公钥以及被签名的内容,验证数字签名的正确性。其中,被签名的内容包括第一功能网元的标识、以及第二会话密钥。
又一种可能的示例中,所述安全参数包括基于第一功能网元所请求业务的业务标识分别生成的第二会话密钥,以及基于第二会话密钥生成的对称的第二令牌。接收单元301用于接收第一功能网元发送的对称的第二令牌。处理单元302用于利用控制网元与第二功能网元之间共享的对称密钥解密所述接收单元301接收到的对称的第二令牌,以得到消息认证码,并利用控制网元与第二功能网元之间共享的对称密钥,以及被消息验证码保护的内容,验证消息验证码的正确性。其中,被消息验证码保护的内容包括第一功能网元的标识、以及第二会话密钥。
又一种可能的示例中,所述安全参数包括基于第一功能网元所请求的每一业务的业务标识分别生成的第二会话密钥,以及基于全部第二会话密钥生成的非对称的第三令牌。接收单元301用于接收第一功能网元发送的非对称的第三令牌。处理单元302用于利用第二功能网元的私钥解密接收单元301接收到的第三令牌,以得到数字签名,并利用控制网元的公钥以及被签名的内容,验证数字签名的正确性。其中,被签名的内容包括第一功能网元的标识、以及全部的第二会话密钥。
又一种可能的示例中,所述安全参数包括基于第一功能网元所请求的每一业务的业务标识分别生成的第二会话密钥,以及基于全部第二会话密钥生成的对称的第三令牌。接收单元301用于接收第一功能网元发送的对称的第三令牌。处理单元302用于利用控制网元与第二功能网元之间共享的对称密钥解密接收单元301接收到的对称的第三令牌,以得到消息认证码,并利用控制网元与第二功能网元之间共享的对称密钥,以及被消息验证码保护的内容,验证消息验证码的正确性。其中,被消息验证码保护的内容包括第一功能网元的标识、以及全部的第二会话密钥。
又一种可能的示例中,所述安全参数包括数字签名。接收单元301用于接收第一功能网元发送的数字签名。处理单元302用于利用控制网元的公钥,以及被数字签名所签名的内容,验证接收单元301接收到的数字签名的正确性。其中,被数字签名所签名的内容包括第一功能网元的标识。
又一种可能的示例中,所述安全参数包括消息认证码。接收单元301用于接收第一功能网元发送的消息认证码。处理单元302用于利用控制网元与所述第二功能网元之间共享的对称密钥、以及被消息验证码保护的内容,验证所述消息认证码的正确性;其中,所述被消息验证码保护的内容包括所述第一功能网元的标识。
在采用硬件形式实现时,上述接收单元301可以是收发器,处理单元302可以是处理器,当接收单元301是接收器,处理单元302是处理器时,发现装置300可采用图16所示第二功能网元的结构。采用图16所示的第二功能网元可以是第二NF,该第二NF可以是上述方法实施例中涉及的第二NF。
图16示出了本申请实施例提供的第二功能网元3000的结构示意图,即示出了发现装置300的另一结构示意图。参阅图16所示,第二功能网元3000包括处理器3001和收发器3002。其中,处理器3001也可以为控制器。所述处理器3001被配置为支持第二功能网元3000执行图2至图10中涉及的第二功能网元的功能。所述收发器3002被配置为支持第二功能网元3000与第一功能网元之间进行消息的收发功能。所述第二功能网元3000还可以包括存储器3003,所述存储器3003用于与处理器3001耦合,其保存第二功能网元3000必要的程序指令和数据。其中,处理器3001、收发器3002和存储器3003相连,该存储器3003用于存储指令,该处理器3001用于执行该存储器3003存储的指令,以控制收发器3002收发数据,完成上述方法中控制网元执行相应功能的步骤。
本申请实施例中,发现装置300和第二功能网元3000所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
需要说明的是,本申请实施例上述涉及的处理器可以是中央处理器(centralprocessing unit,CPU),通用处理器,数字信号处理器(digital signal processor,DSP),专用集成电路(application-specific integrated circuit,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。
其中,所述存储器可以集成在所述处理器中,也可以与所述处理器分开设置。
作为一种实现方式,接收器和发射器的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。
作为另一种实现方式,将实现处理器、接收器和发射器功能的程序代码存储在存储器中,通用处理器通过执行存储器中的代码来实现处理器、接收器和发射器的功能。
根据本申请实施例提供的方法,本申请实施例还提供一种通信系统,其包括前述的第一功能网元、第二功能网元及控制网元。
本申请实施例还提供一种芯片,所述芯片与存储器相连,用于读取并执行所述存储器中存储的软件程序,以实现上述实施例中涉及的第一功能网元、第二功能网元或控制网元的功能。
本申请实施例还提供一种计算机存储介质,该计算机存储介质中存储有一些指令,这些指令被执行时,可以完成上述方法实施例中涉及的发现方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品中包括计算机程序,该计算机程序用于执行上述方法实施例中涉及的发现方法。
本领域内的技术人员应明白,本申请实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims (4)

1.一种基于服务化架构的认证系统,其特征在于,所述认证系统包括归属于第一公共陆地移动网络PLMN的第一网络功能NF网元、归属于所述第一PLMN的第一控制网元以及归属于第二PLMN的第二控制网元;
所述第二控制网元,用于基于私钥,对所述第一NF网元的标识,所述第二控制网元的标识,所述第一NF网元所请求业务的业务标识,所述第一PLMN的标识和所述第二PLMN的标识执行预设算法以获取安全参数;所述安全参数为数字签名;
所述第二控制网元,还用于向所述第一控制网元发送所述安全参数;
所述第一控制网元,用于接收所述安全参数,并向所述第一NF网元发送所述安全参数;
所述系统还包括归属于所述第二PLMN的第二NF网元;
所述第一NF网元,用于接收所述安全参数,并向所述第二NF网元发送所述安全参数;
所述第二NF网元,用于接收所述安全参数,并验证所述安全参数的正确性;若验证正确,则准许所述第一NF网元接入所述第二NF网元;
其中,所述验证所述安全参数的正确性,包括:基于与所述私钥对应的公钥以及所述第一NF网元的标识,所述第二控制网元的标识,所述第一NF网元所请求业务的业务标识,所述第一PLMN的标识和所述第二PLMN的标识验证所述安全参数的正确性。
2.根据权利要求1所述的认证系统,其特征在于,所述第一NF用于向所述第一控制网元发送发现请求;所述第一控制网元,用于接收所述发现请求,并向所述第二控制网元发送所述发现请求。
3.一种基于服务化架构的认证方法,其特征在于,所述方法包括:
第二控制网元基于私钥对第一网络功能NF网元的标识,所述第二控制网元的标识,所述第一NF网元所请求业务的业务标识,第一公共陆地移动网络PLMN的标识和第二PLMN的标识执行预设算法以获取安全参数;所述安全参数为数字签名;向所述第一控制网元发送所述安全参数;其中,所述第一NF网元和所述第一控制网元归属于第一PLMN,所述第二控制网元归属于第二PLMN;
第一控制网元接收所述安全参数,并向所述第一NF网元发送所述安全参数;
所述第一NF网元接收所述安全参数,并向所述第二NF网元发送所述安全参数;
所述第二NF网元接收所述安全参数,并验证所述安全参数的正确性;若验证正确,则准许所述第一NF网元接入所述第二NF网元;
其中,所述验证所述安全参数的正确性,包括:基于与所述私钥对应的公钥以及所述第一NF网元的标识,所述第二控制网元的标识,所述第一NF网元所请求业务的业务标识,所述第一PLMN的标识和所述第二PLMN的标识验证所述安全参数的正确性。
4.根据权利要求3所述的认证方法,其特征在于,所述方法还包括:
所述第一NF网元向所述第一控制网元发送发现请求;
所述第一控制网元接收所述发现请求,并向所述第二控制网元发送所述发现请求。
CN201910630326.5A 2017-08-31 2017-08-31 基于服务化架构的发现方法及装置 Active CN110474875B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910630326.5A CN110474875B (zh) 2017-08-31 2017-08-31 基于服务化架构的发现方法及装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201910630326.5A CN110474875B (zh) 2017-08-31 2017-08-31 基于服务化架构的发现方法及装置
CN201710775263.3A CN109428875B (zh) 2017-08-31 2017-08-31 基于服务化架构的发现方法及装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201710775263.3A Division CN109428875B (zh) 2017-08-31 2017-08-31 基于服务化架构的发现方法及装置

Publications (2)

Publication Number Publication Date
CN110474875A CN110474875A (zh) 2019-11-19
CN110474875B true CN110474875B (zh) 2020-10-16

Family

ID=65504856

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201710775263.3A Active CN109428875B (zh) 2017-08-31 2017-08-31 基于服务化架构的发现方法及装置
CN201910630326.5A Active CN110474875B (zh) 2017-08-31 2017-08-31 基于服务化架构的发现方法及装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201710775263.3A Active CN109428875B (zh) 2017-08-31 2017-08-31 基于服务化架构的发现方法及装置

Country Status (4)

Country Link
US (2) US11296877B2 (zh)
EP (1) EP3627794B1 (zh)
CN (2) CN109428875B (zh)
WO (1) WO2019041802A1 (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020002359A1 (en) * 2018-06-25 2020-01-02 NEC Laboratories Europe GmbH Oam functional service exposure and discovery function and data repository
CN112019489B (zh) * 2019-05-31 2022-03-04 华为技术有限公司 验证方法及装置
US20220232460A1 (en) * 2019-05-31 2022-07-21 Telefonaktiebolaget Lm Ericsson (Publ) Towards robust notification mechanism in 5g sba
CN112087412B (zh) * 2019-06-14 2021-09-28 大唐移动通信设备有限公司 一种基于唯一令牌的服务访问处理方法及装置
CN112492592A (zh) * 2019-09-11 2021-03-12 华为技术有限公司 一种多个nrf场景下的授权方法
WO2021079023A1 (en) * 2019-10-22 2021-04-29 Nokia Technologies Oy Inter-mobile network communication security
CN112822678B (zh) * 2019-10-31 2022-05-06 华为技术有限公司 一种服务化架构授权的方法
WO2021140272A1 (en) * 2020-01-10 2021-07-15 Nokia Technologies Oy Verification of access tokens with network repository functions in core networks
MX2022010227A (es) * 2020-02-21 2022-09-19 Ericsson Telefon Ab L M Seleccion de funcion de servidor de autenticacion en autenticacion y administracion de claves.
US10862872B1 (en) * 2020-04-30 2020-12-08 Snowflake Inc. Message-based database replication
US11895501B2 (en) * 2020-12-08 2024-02-06 Oracle International Corporation Methods, systems, and computer readable media for automatic key management of network function (NF) repository function (NRF) access token public keys for 5G core (5GC) authorization to mitigate security attacks
CN113825134A (zh) * 2021-09-29 2021-12-21 新华三技术有限公司 一种网络服务授权方法、装置及设备
CN114257440B (zh) * 2021-12-17 2023-12-22 中国电信股份有限公司 网络功能服务发现方法、系统以及存储介质
US20230328145A1 (en) * 2022-03-23 2023-10-12 Oracle International Corporation Methods, systems, and computer readable media for integrity protection for subscribe/notify and discovery messages between network function (nf) and nf repository function (nrf)
CN114727278B (zh) * 2022-04-19 2023-07-28 广州爱浦路网络技术有限公司 一种单个nrf网元的地址变更方法及装置
CN115802352B (zh) * 2022-11-04 2023-07-25 广州爱浦路网络技术有限公司 5gc设备授权的处理方法、系统、装置和存储介质

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US8091114B2 (en) 2006-09-15 2012-01-03 Bombardier Transportation Gmbh Integrated security event management system
CN101448243B (zh) * 2008-04-11 2011-09-21 中兴通讯股份有限公司 一种实现用户注册的方法
CN103096311B (zh) 2011-10-31 2018-11-09 中兴通讯股份有限公司 家庭基站安全接入的方法及系统
CN103428800A (zh) * 2012-05-23 2013-12-04 中兴通讯股份有限公司 路由选择方法及功能网元
CN103002442A (zh) * 2012-12-20 2013-03-27 邱华 无线局域网密钥安全分发方法
CN104935426B (zh) * 2014-03-21 2018-11-30 华为技术有限公司 密钥协商方法、用户设备和近距离通信控制网元
CN105101194B (zh) * 2014-04-28 2019-07-09 华为技术有限公司 终端安全认证方法、装置及系统
CN106714152B (zh) 2015-11-13 2021-04-09 华为技术有限公司 密钥分发和接收方法、第一密钥管理中心和第一网元
CN106936570B (zh) 2015-12-31 2021-08-20 华为技术有限公司 一种密钥配置方法及密钥管理中心、网元
CN105897696B (zh) * 2016-03-25 2019-08-23 努比亚技术有限公司 一种终端、服务端和终端接入管理方法
CN105933448B (zh) 2016-06-29 2018-09-14 江苏电力信息技术有限公司 一种自管理的微服务架构及其服务方法
KR102559755B1 (ko) * 2016-10-06 2023-07-26 삼성전자 주식회사 네크워크 슬라이스를 지원하는 로밍 환경에서 단말의 attach 및 home routed PDU session 생성 방법
KR102569150B1 (ko) * 2016-11-03 2023-08-22 삼성전자주식회사 근접-기반 서비스 직접 통신에 기반하여 v2p 서비스를 제공하는 장치 및 방법
CN108632312B (zh) * 2017-03-20 2020-01-17 中国移动通信有限公司研究院 网络功能信息交互方法及装置
EP3656108B1 (en) * 2017-07-21 2022-03-02 Telefonaktiebolaget LM Ericsson (PUBL) Unstructured data storage function (udsf) services
RU2738088C1 (ru) * 2017-08-14 2020-12-08 Телефонактиеболагет Лм Эрикссон (Пабл) Способ обнаружения услуг, предоставляемых посредством функции сетевого репозитория
US10645583B2 (en) * 2018-02-15 2020-05-05 Nokia Technologies Oy Security management for roaming service authorization in communication systems with service-based architecture

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A security solution for service based architecture;HUAWEI ET AL;《3GPP DRAFT S3-171875》;20170731;1-2页 *

Also Published As

Publication number Publication date
EP3627794B1 (en) 2021-08-11
CN110474875A (zh) 2019-11-19
CN109428875B (zh) 2024-03-12
CN109428875A (zh) 2019-03-05
US11824981B2 (en) 2023-11-21
EP3627794A1 (en) 2020-03-25
US20200119909A1 (en) 2020-04-16
WO2019041802A1 (zh) 2019-03-07
US11296877B2 (en) 2022-04-05
US20220278831A1 (en) 2022-09-01
EP3627794A4 (en) 2020-05-06

Similar Documents

Publication Publication Date Title
CN110474875B (zh) 基于服务化架构的发现方法及装置
CN109428874B (zh) 基于服务化架构的注册方法及装置
US11228442B2 (en) Authentication method, authentication apparatus, and authentication system
EP3432532B1 (en) Key distribution and authentication method, apparatus and system
CN111630882B (zh) 用户设备、认证服务器、介质、及确定密钥的方法和系统
EP3982590A1 (en) Security authentication method, configuration method, and related device
CN112105021B (zh) 一种认证方法、装置及系统
CN109005032B (zh) 一种路由方法和装置
CN116405193A (zh) 一种证书申请方法及设备
US20240080316A1 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
EP4295531A1 (en) A method for operating a cellular network
CN112449323A (zh) 一种通信方法、装置和系统
CN115412909A (zh) 一种通信方法及装置
EP3968590B1 (en) Communication network component and method
US20230308868A1 (en) Method, devices and system for performing key management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant