CN111373712A - 用于认证应用程序接口(api)调用者的方法和系统 - Google Patents
用于认证应用程序接口(api)调用者的方法和系统 Download PDFInfo
- Publication number
- CN111373712A CN111373712A CN201880074510.XA CN201880074510A CN111373712A CN 111373712 A CN111373712 A CN 111373712A CN 201880074510 A CN201880074510 A CN 201880074510A CN 111373712 A CN111373712 A CN 111373712A
- Authority
- CN
- China
- Prior art keywords
- api
- capif
- caller
- api caller
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 168
- 238000013475 authorization Methods 0.000 claims description 55
- 230000007246 mechanism Effects 0.000 claims description 8
- 238000004891 communication Methods 0.000 abstract description 20
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 18
- 239000008186 active pharmaceutical agent Substances 0.000 description 11
- 230000004044 response Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 230000014509 gene expression Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 6
- 238000013459 approach Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003334 potential effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Communication Control (AREA)
Abstract
公开了一种5G或准5G通信系统,以支持比诸如LTE的4G通信系统之后的系统更高的数据传输速率。本文的实施例公开了一种用于使用通用应用程序接口框架(CAPIF)认证应用程序接口(API)调用者的方法和系统。该方法包括:在从至少一个API调用者接收到在CAPIF‑2e接口上访问至少一个服务API的连接请求时,由CAPIF核心功能(CCF)建立与所述至少一个API调用者的安全传输层安全(TLS)连接。此外,该方法包括:由CCF确定至少一种安全方法,该至少一种安全方法将由至少一个API调用者用于所述至少一个API调用者的CAPIF‑2e接口安全(C2eIS),以在CAPIF‑2e接口上访问所述至少一个服务API。该方法还包括由API暴露功能(AEF)基于所确定的至少一种安全方法为至少一个API调用者启用C2eIS。
Description
技术领域
本公开涉及蜂窝通信领域,并且更具体地,涉及使用通用应用程序接口框架(CAPIF)认证应用程序接口(API)调用者(invoker)。
背景技术
为了满足第四代(4G)通信系统商业化后增加的无线数据业务需求,已经努力开发改进的第五代(5G)通信系统或准5G通信系统。为此,5G通信系统或准5G通信系统被称为超4G网络通信系统或后LTE系统。
为了实现高数据传输速率,正在考虑在毫米波频带(例如,60GHz频带)中实施5G通信系统。在5G通信系统中,讨论了诸如波束形成、大规模MIMO、全维MIMO(FD-MIMO)、阵列天线、模拟波束形成和大规模天线的技术,以减轻毫米波频带中的传播路径损耗并增加传播传输距离。
此外,已经开发了诸如演进小小区、高级小小区、云无线电接入网络(云RAN)、超密集网络、设备到设备通信(D2D)、无线回程、移动网络、协作通信、协调多点(CoMP)和干扰消除的技术来改进5G通信系统中的系统网络。
此外,5G系统已经开发了诸如混合FSK和QAM调制(FQAM)和滑动窗口叠加编码(SWSC)的高级编码调制(ACM)方案,以及诸如滤波器组多载波(FBMC)、非正交多址(NOMA)和稀疏码多址(SCMA)的高级接入技术。
发明内容
技术问题
目前,通用应用程序接口(API)框架(CAPIF)接口(CAPIF-1、CAPIF-1e、CAPIF-2和CAPIF-2e)的安全方面和相应的安全信息流是开放的。因此,需要各种安全方法来支持多于一种认证方法和安全接口建立方法/过程,因为CAPIF将支持具有不同体系结构和性能要求的大量服务。鉴于上述问题,需要一种用于认证API调用者的系统和方法。
解决方案
各种实施例提供了一种用于使用通用应用程序接口框架(CAPIF)来认证API调用者的系统和方法。
此外,各种实施例提供了一种系统和方法,用于在从至少一个API调用者接收到在CAPIF-2e接口上访问至少一个服务API的连接请求时,由CAPIF核心功能(CCF)通过CAPIF-1e接口与至少一个API调用者建立安全连接。
此外,各种实施例提供了一种系统和方法,用于由CCF确定至少一种安全方法,该至少一种安全方法将由至少一个API调用者用于至少一个API调用者的CAPIF-2e接口安全(C2eIS),以在CAPIF-2e接口上访问至少一个服务API。
此外,各种实施例提供了一种系统和方法,用于基于所确定的至少一种安全方法为至少一个API调用者启用C2eIS。
因此,本文的实施例提供了一种用于使用通用应用程序接口框架(CAPIF)来认证应用程序接口(API)调用者的方法和系统。该方法包括在接收到来自至少一个API调用者的在CAPIF-2e接口上访问至少一个服务API的连接请求时,由CAPIF核心功能(CCF)与至少一个API调用者建立安全连接,其中,建立CCF和至少一个API调用者之间的安全连接是基于通过CAPIF-1e接口的CCF和至少一个API调用者之间的相互认证的。此外,该方法包括:由CCF确定至少一种安全方法,该至少一种安全方法将由至少一个API调用者用于至少一个API调用者的CAPIF-2e接口安全(C2eIS),用于在CAPIF-2e接口上访问至少一个服务API,其中,该至少一种安全方法包括传输层安全-预共享密钥(TLS-PSK)、TLS-公钥基础设施(TLS-PKI)、互联网密钥交换版本2(IKEv2)、互联网协议安全(IPsec)和OAuth 2.0中的至少一个。该方法还包括由API暴露功能(AEF)基于所确定的至少一种安全方法为至少一个API调用者启用C2eIS。C2eIS包括认证、接口保护和授权中的至少一个。
在实施例中,由CCF基于所述API调用者订阅的服务的类型、AEF和API调用者之间的接口类型、所需的安全TLS会话的长度、访问场景、API调用者的能力、AEF的能力、API调用者的偏好以及至少一个API调用者和CCF之间的协商中的至少一个,确定该至少一种安全方法,并向API调用者指示该至少一种安全方法。在实施例中,还由CCF向AEF指示所确定的至少一种安全方法,无论是经请求的还是未经请求的,以在CAPIF-2e接口上执行所确定的安全方法。
在实施例中,由AEF基于所确定的至少一种安全方法为至少一个API调用者启用C2eIS,包括:如果所确定的至少一种安全方法是TLS-PSK,则使用从CCF接收的预共享密钥(PSK),通过CAPIF-2e接口与至少一个API调用者建立安全传输层安全(TLS)连接,其中,PSK是在通过CAPIF-1e接口在CCF和至少一个API调用者之间建立安全TLS连接之后,由至少一个API调用者和CCF中的至少一个导出的。此外,通过CAPIF-3接口从CCF接收至少一个API调用者的授权权利。此外,基于从CCF接收的至少一个API调用者的授权权利,授权至少一个API调用者访问至少一个服务API。
在实施例中,由AEF基于所确定的至少一种安全方法为至少一个API调用者启用C2eIS,包括:如果所确定的至少一种安全方法是TLS-PKI,则使用基于客户端和服务器证书的相互认证通过CAPIF-2e接口建立与至少一个API调用者的安全TLS连接。此外,通过CAPIF-3接口从CCF接收至少一个API调用者的授权权利。此外,基于从CCF接收的至少一个API调用者的授权权利,授权至少一个API调用者访问至少一个服务API。
在实施例中,由AEF基于所确定的至少一种安全方法为至少一个API调用者启用C2eIS,包括:如果所确定的至少一种安全方法是OAuth(开放授权:基于令牌的认证和授权),则使用基于证书的相互认证通过CAPIF-2e接口建立与至少一个API调用者的安全TLS连接。此外,从至少一个API调用者接收服务API访问请求以及访问令牌,其中,访问令牌是在通过CAPIF-1e接口在CCF和至少一个API调用者之间建立安全TLS连接之后,在从至少一个API调用者接收到基于OAuth的访问令牌请求时由CCF生成的。此外,基于从至少一个API调用者接收的访问令牌,授权至少一个API调用者访问至少一个服务API。
在实施例中,由AEF基于所确定的至少一种安全方法为至少一个API调用者启用C2eIS,包括:如果所确定的至少一种安全方法是OAuth 2.0,则使用基于服务器证书的认证通过CAPIF-2e接口建立与至少一个API调用者的安全TLS连接。此外,从至少一个API调用者接收服务API访问请求以及访问令牌,其中,访问令牌是在通过CAPIF-1e接口在CCF和至少一个API调用者之间建立安全TLS连接之后,在从至少一个API调用者接收到基于OAuth 2.0的访问令牌请求时由CCF生成的。此外,基于从至少一个API调用者接收的访问令牌,授权至少一个API调用者访问至少一个服务API。
因此,本文的实施例提供了一种用于使用通用应用程序接口框架(CAPIF)来认证应用程序接口(API)调用者的系统。该系统包括:CAPIF核心功能(CCF),被配置成在接收到来自至少一个API调用者的在CAPIF-2e接口上访问至少一个服务API的连接请求时,建立与至少一个API调用者的安全连接,其中,建立CCF和至少一个API调用者之间的安全连接是基于通过CAPIF-1e接口的CCF和至少一个API调用者之间的相互认证的。此外,CCF被配置成:确定至少一种安全方法,该至少一种安全方法将由至少一个API调用者用于至少一个API调用者的C2eIS,用于在CAPIF-2e接口上访问至少一个服务API,其中该至少一种安全方法包括传输层安全-预共享密钥(TLS-PSK)、TLS-公钥基础设施(TLS-PKI)、互联网密钥交换版本2(IKEv2)、互联网协议安全(IPsec)、应用层保护、本地授权机制和OAuth 2.0中的至少一个。此外,该系统包括:API暴露功能(AEF),被配置成基于所确定的至少一种安全方法为至少一个API调用者启用C2eIS。在实施例中,至少一种安全方法是基于API调用者订阅的服务的类型、AEF和API调用者之间的接口细节、访问场景、所需的安全传输层安全(TLS)会话的长度、API调用者的能力、AEF的能力、API调用者的偏好以及至少一个API调用者和CCF之间的协商中的至少一个来确定的。
当结合以下描述和附图考虑时,本文的示例实施例的这些和其他方面将被更好地领会和理解。然而,应当理解,以下描述虽然指示了示例性实施例及其许多特有细节,但是是通过说明而非限制的方式给出的。在不脱离本文的示例实施例的精神的情况下,可以在示例性实施例的范围内进行许多改变和修改,并且本文的示例性实施例包括所有这样的修改。
本公开的效果不限于上述效果。此外,根据以下描述,可以清楚地理解本公开的技术特征所预期的潜在效果。
在进行下面的详细描述之前,阐述贯穿本专利文档使用的某些词语和短语的定义可能是有利的:术语“包括”和“包含”以及其派生词,意味着包括但不限制;术语“或”是包含性的,意味着和/或;短语“与……相关联”和“与之相关联”及其派生词可以意味着包括、包括在……内、与……互连、包含、包含在……内、连接到……或与……连接、耦合到……或与……耦合、与……可通信、与……合作、交错、并置、靠近、结合到……或与……结合、具有……、具有……的属性等;并且术语“控制器”意味着控制至少一个操作的任何设备、系统或其部分,这样的设备可以用硬件、固件或软件或者它们中的至少两个的某种组合来实施。应该注意,与任何特定控制器相关联的功能可以是集中式的或者分布式的,无论在本地还是远程地。
而且,如下所述的各种功能可以通过一个或多个计算机程序来实施或者由一个或多个计算机程序支持,所述计算机程序中的每一个由计算机可读程序代码形成并且具体实现在计算机可读介质中。术语“应用”和“程序”是指被适配以便以合适的计算机可读程序代码来实施的一个或多个计算机程序、软件组件、指令集、程序、功能、对象、类、实例、相关数据、或者它们的一部分。短语“计算机可读程序代码”包括任何类型的计算机代码,包括源代码、目标代码、和可执行代码。短语“计算机可读介质”包括能够被计算机访问的任何类型的介质,诸如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动器、光盘(CD)、数字视频盘(DVD)、或者任何其它类型的存储器。“非瞬时性”计算机可读介质排除传输瞬时性电信号或者其它信号的有线的、无线的、光学的、或者其它的通信链路。非瞬时性计算机可读介质包括数据能够在其中能够永久地存储的介质以及数据能够在其中被存储并稍后被重写的介质,诸如可再写光盘或者可擦存储器设备。
遍及本专利文档提供了某些词语和短语的定义。本领域普通技术人员将理解,在许多实例中,即使不是在大多数实例中,这样的定义适用于这样定义的词语和短语的先前的使用以及将来的使用。
附图说明
这里的实施例在附图中示出,遍及附图,相似的附图标记指示各附图中的对应部分。从参考附图的以下描述,将更好地理解本文的实施例,在附图中:
图1示出了根据本文公开的实施例的系统图,该系统图示出了用于认证和授权API调用者的通用应用程序接口框架(CAPIF)功能安全机制;
图2示出了根据本文公开的实施例的序列图,该序列图示出了用于使用预共享密钥(PSK)通过CAPIF-1e、CAPIF-2e和CAPIF-3参考点认证和授权API调用者的安全信道建立;
图3示出了根据本文公开的实施例的序列图,该序列图示出了用于使用基于证书的相互认证通过CAPIF-2e和CAPIF-3参考点认证和授权API调用者的安全信道建立;
图4示出了根据本文公开的实施例的序列图,该序列图示出了用于使用基于OAuth的访问令牌通过CAPIF-1e和CAPIF-2e参考点认证和授权API调用者的安全信道建立;
图5示出了根据本文公开的实施例的序列图,该序列图示出了在服务API调用之前,用于在API调用者和API暴露功能(AEF)之间的认证的过程流程;
图6示出了根据本文公开的实施例的序列图,该序列图示出了非CCF(基于第三方的)认证过程;
图7示出了根据本文公开的实施例的序列图,该序列图示出了由CCF确定用于AEF对API调用者的认证和授权以及用于它们之间的安全通信的机制的场景;
图8示出了根据本文公开的实施例的序列图,该序列图示出了API调用者使用由CCF确定和指示的传输层安全预共享密钥(TLS-PSK)方法调用北向(Northbound)API/服务API;和
图9示出了根据本文公开的实施例的序列图,该序列图示出了API调用者使用由CCF确定和指示的访问令牌方法调用北向API/服务API。
具体实施方式
本文的示例性实施例及其各种特征和有利的细节参考附图中示出的和以下描述中详细描述的非限制性实施例来更全面地解释。省略了对众所周知的组件和处理技术的描述,以免不必要地模糊本文的实施例。本文的描述仅仅旨在帮助理解本文的示例性实施例可以被实践的方式,并且进一步使本领域技术人员能够实践本文的示例性实施例。因此,本公开不应被解释为限制本文的示例实施例的范围。本领域技术人员将理解,本公开的原理可以在任何适当布置的系统或设备中实施。
在下文中,将参考附图描述各种实施例。然而,应该理解的是,并不打算将本公开限制于本文公开的特定形式;相反,本公开应被解释为覆盖实施例的各种修改、等同物和/或替代物。在描述附图时,相似的附图标记可以用来表示相似的构成元件。
如本文使用的,表述“具有”、“可以具有”、“包括”或“可以包括”是指存在对应的特征(例如,数字、功能、操作或构成元件(诸如组件)),并且不排除一个或多个附加特征。
在本公开中,表述“A或B”、“A或/和B中的至少一个”或“A或/和B中的一个或多个”可以包括所列项目的所有可能组合。例如,表述“A或B”、“A和B中的至少一个”或“A或B中的至少一个”可以包括(1)至少一个A,(2)至少一个B,或(3)至少一个A和至少一个B两者。
在各种实施例中使用的表述“第一”、“第二”、“所述第一”或“所述第二”可以修饰各种组件,而不管其顺序和/或重要性,但不限制对应的组件。例如,第一用户设备和第二用户设备指示不同的用户设备,尽管它们都是用户设备。例如,第一元件可以被称为第二元件,并且类似地,第二元件可以被称为第一元件,而不脱离本公开的范围。
应该理解,当元件(例如,第一元件)被称为(可操作地或可通信地)“连接”或“耦合”到另一个元件(例如,第二元件)时,它可以直接连接或直接耦合到另一个元件,或者任何其他元件(例如,第三元件)可以插入它们之间。相反,可以理解,当元件(例如,第一元件)被称为“直接连接”或“直接耦合”到另一个元件(第二元件)时,没有元件(例如,第三元件)插入它们之间。
如本文所用,表述“被配置成”可以与表述“适合”、“具有…的能力”、“被设计成”、“适配于”、“制造成”或“能够”可互换地使用。术语“被配置成”可能不一定意味着以硬件“专门设计为”。可替换地,在一些情况下,表述“被配置成…的设备”可以意味着该设备与其他设备或组件一起“能够…”。例如,短语“适配于(或配置成)执行A、B和C的处理器”可以意味着仅用于执行对应操作的专用处理器(例如,嵌入式处理器),或者可以通过运行存储在存储器设备中的一个或多个软件程序来执行对应操作的通用处理器(例如,中央处理单元(CPU)或应用处理器(AP))。
在本公开中使用的术语仅仅用来描述特有实施例,并且并不旨在限制本公开。单数表述可以包括复数表述,除非它们在上下文中绝对不同。除非另外定义,否则本文使用的所有术语(包括技术术语和科学术语)具有与本公开所属领域的技术人员通常理解的含义相同的含义。如一般使用的词典中定义的那些术语的术语可以被解释为具有等同于相关技术领域中的上下文含义的含义,并且将不被解释为具有理想的或者过于正式的含义,除非在本公开中清楚地定义。在一些情况下,即使在本公开中定义的术语也不应被解释为排除实施例。
本文的实施例实现了一种用于使用通用应用程序接口框架(CAPIF)来认证应用程序接口(API)调用者的方法和系统。该方法包括在从至少一个API调用者接收到在CAPIF-2e接口上访问至少一个服务API的连接请求时,由CAPIF核心功能(CCF)建立与至少一个API调用者的安全连接,其中,建立CCF和至少一个API调用者之间的安全连接是基于通过CAPIF-1e接口的CCF和至少一个API调用者之间的相互认证的。此外,该方法包括由CCF确定和指示至少一种安全方法,该至少一种安全方法将由至少一个API调用者用于至少一个API调用者的C2eIS(即,认证、接口保护和授权),用于在CAPIF-2e接口上访问至少一个服务API,其中该至少一种安全方法包括传输层安全-预共享密钥(Transport Layers Security-Pre-Shared Key,TLS-PSK)、TLS-公钥基础设施(TLS-Public Key Infrastructure,TLS-PKI)、IKEv2、IPsec和OAuth中的至少一个。该方法还包括由API暴露功能(AEF)基于所确定的至少一种安全方法为至少一个API调用者启用C2eIS。现在参考附图,并且更具体地参考图1至图9,示出了示例性实施例,其中,贯穿附图相似的附图标记一致地表示对应的特征。
图1示出了根据本文公开的实施例的系统100图,该系统100图示出了用于认证、保护接口和授权API调用者102的CAPIF功能安全机制。
系统100包括一个或多个API调用者102、104、CAPIF核心功能(CCF)106、应用程序接口暴露功能(AEF)108、API发布功能110和API管理功能112。在实施例中,一个或多个API调用者102、104可以是计算机、膝上型电脑、移动电话、个人数字助理(PAD)和服务器或试图访问AEF 108以获得一个或多个服务API的任何其他设备中的至少一个,但不限于此。在实施例中,一个或多个API调用者可以被配置成调用网络上存在的一个或多个服务API。CCF106是功能实体,其可以被配置成累积服务API的所有通用方面。CCF 106可以被配置用于认证、监视、日志记录授权、发现,这对所有服务API是通用的。AEF 108是可以被配置用于将一个或多个服务API暴露给API调用者(即,102和104)的实体。API调用者102可以具有与AEF108的直接连接,以调用服务API。然而,API调用者102可能不具有与API发布功能110和API管理功能112的直接连接。API发布功能110可以被配置成在CCF 106上发布服务API的库。此外,API管理功能112可以被配置成管理与日志记录的管理和存储在CCF 106中的日志的审计相关的功能。
在实施例中,存在于公共陆地移动网络(PLMN)信任域中的API调用者104被运营商信任,并且存在于PLMN信任域之外的API调用者102可能不被运营商信任。被运营商信任的API调用者104可以不经受任何安全检查。然而,存在于PLMN信任域之外的API调用者102可能经受更高级别的安全检查。
此外,系统100包括一个或多个接口/参考点。一个或多个接口包括CAPIF-1、CAPIF-1e、CAPIF-2、CAPIF-2e、CAPIF-3、CAPIF-4和CAPIF-5接口。这些接口在第三代合作伙伴计划(3GPP)TS 23.222标准中定义,以及CAPIF功能在3GPP TS 23.222标准中定义。CAPIF-1、CAPIF-2、CAPIF-3、CAPIF-4和CAPIF-5接口存在于公共陆地移动网络(PLMN)信任域内,而CAPIF-1e和CAPIF-2e接口存在于CCF 106和API调用者102之间以及AEF 108接入点和API调用者102之间,所述API调用者102存在于PLMN信任域之外。CAPIF-1、CAPIF-2、CAPIF-3、CAPIF-4和CAPIF-5接口的安全支持传输层安全(TLS),如在3GPP TS 23.222标准中定义。
存在于PLMN信任域内和PLMN信任域之外的API调用者(即102、104)两者都需要认证和授权。为了认证和授权存在于PLMN信任域之外的API调用者102,CCF 106必须与AEF108协作,并利用CAPIF-1e、CAPIF-2e和CAPIF-3接口以打通(onboard)来在授予(grant)对CAPIF服务/服务API的访问之前对API调用者102进行认证和授权。当API调用者104在PLMN信任域内时,与AEF 108协作的CCF 106可以在授予对CAPIF服务的访问之前,经由CAPIF-1、CAPIF-2和CAPIF-3接口来执行对API调用者104的认证和授权。
CAPIF-1/1-e在API调用者102和CCF 106之间。此外,系统100基于API调用者102的身份和凭证或者呈现有效的安全令牌来认证API调用者102。API调用者和CCF之间存在相互认证。此外,在访问一个或多个服务API之前,系统100为API调用者提供授权。对于在API调用者102和AEF 108之间的CAPIF-2/2e,系统100基于API调用者102的身份和凭证或者呈现有效的安全令牌(OAuth)来认证API调用者102。此外,在访问服务API之前,系统100为API调用者102提供授权。此外,在访问服务API时,存在对API调用者的授权和验证。此外,系统100基于PLMN运营商配置的策略来控制服务API访问。CAPIF-1e和CAPIF-2e是参考点,其中API调用者102位于PLMN信任域之外。
本文的实施例提供了一种用于使用CAPIF认证API调用者的方法和系统100,该方法包括在从至少一个API调用者102接收到在CAPIF-2e接口上访问至少一个服务API的连接请求时,由CCF 106建立与至少一个API调用者102的安全连接。在CCF 106和至少一个API调用者102之间建立的安全连接是基于通过CAPIF-1e接口的CCF 104和至少一个API调用者102之间的相互认证的。此外,该方法包括由CCF 106确定至少一种安全方法,该至少一种安全方法将由至少一个API调用者102用于至少一个API调用者102的C2eIS(即,认证、接口保护和授权),以在CAPIF-2e接口上访问至少一个服务API。该至少一种安全方法包括传输层安全-预共享密钥(TLS-PSK)、TLS-公钥基础设施(TLS-PKI)、互联网密钥交换版本2(Internet Key Exchange version 2,IKEv2)、互联网协议安全(IPsec)、应用层保护、本地授权机制和OAuth中的至少一种。此外,该方法包括由AEF 108基于所确定的至少一种安全方法为至少一个API调用者102启用C2eIS。在实施例中,至少一种安全方法是基于API调用者102订阅的服务类型、AEF 108和API调用者102之间的类型接口、访问场景、所需的安全传输层安全(TLS)会话的长度、API调用者102的能力、AEF 108的能力、API调用者102的偏好以及至少一个API调用者102和CCF 106之间的协商中的至少一个来确定的。在实施例中,无论是经请求的还是未经请求的,CCF 106都向AEF 108指示所确定的至少一种安全方法,以在CAPIF-2e接口上执行所确定的安全方法。
在实施例中,由AEF 108基于所确定的至少一种安全方法为至少一个API调用者102启用C2eIS,包括:如果所确定的至少一种安全方法是TLS-PSK,则使用从CCF 106接收的PSK,通过CAPIF-2e接口在AEF 108和至少一个API调用者102之间建立安全TLS连接,其中,在通过CAPIF-1e接口在CCF 106和至少一个API调用者102之间建立安全TLS连接之后,由至少一个API调用者102和CCF 106中的至少一个导出PSK。此外,通过CAPIF-3接口从CCF接收至少一个API调用者的授权权利。此外,基于从CCF 106接收到的至少一个API调用者102的授权权利,授权至少一个API调用者102访问至少一个服务API。
在实施例中,API调用者102发现/识别以直接联系AEF 108以获取服务API,然后API调用者102直接发起与AEF 108的认证。然后,将在API调用者102和AEF 108之间执行基于客户端和服务器证书的相互认证,以在CCF 106的帮助下建立安全TLS连接。这里,API调用者102由CCF 106或者在服务发现期间预先配置或提供(provision),并且获得特定服务API所需的信息。这里,假设所确定的用于服务的安全方法和相关的有效安全凭证对于API调用者102是可用的,则需要直接与AEF 108做出请求,而无需联系CCF 106。此外,AEF 108可以不依赖于CCF来认证API调用者(例如,如果认证API调用者102的根证书106是预先提供的/可用于AEF 108)。在API调用者102和AEF 108之间在CAPIF-2e上成功建立了安全TLS连接之后。AEF 108通过CAPIF-3参考点从CCF 106请求API调用者102的授权权利。此外,CCF106通过CAPIF-3用API调用者102的授权权利进行响应。此外,在通过CAPIF-2e接口建立安全TLS连接时,API调用者102调用适用的3GPP北向API/服务API。此外,AEF 108基于API调用者102的授权权利给予API调用。
在实施例中,由AEF 108基于所确定的至少一种安全方法为至少一个API调用者启用C2eIS,包括:如果所确定的至少一种安全方法是TLS-PKI,则使用基于客户端和服务器证书的相互认证通过CAPIF-2e接口建立与至少一个API调用者102的安全TLS连接。此外,通过CAPIF-3接口从CCF 106接收至少一个API调用者102的授权权利。此外,基于从CCF 106接收到的至少一个API调用者102的授权权利,授权至少一个API调用者102访问至少一个服务API。
在实施例中,由AEF 108基于所确定的至少一种安全方法为至少一个API调用者102启用C2eIS,包括:如果所确定的至少一种安全方法是OAuth,则使用基于证书的相互认证和基于服务器侧证书的认证中的至少一种,通过CAPIF-2e接口在AEF 108和至少一个API调用者102之间建立安全TLS连接。此外,从至少一个API调用者102接收服务API访问请求以及访问令牌,其中,访问令牌是在通过CAPIF-1e接口在CCF 106和至少一个API调用者102之间建立安全TLS连接之后,在从至少一个API调用者102接收到基于OAuth的访问令牌请求时由CCF 106生成的。此外,基于从至少一个API调用者102接收的访问令牌,授权至少一个API调用者102访问至少一个服务API。
在实施例中,为CAPIF提出的安全方面和相关信息流适用于其他参考点,如为机器类型通信定义的T8接口和为第五代(5G)系统定义的基于服务的体系结构。
图1示出了系统100的示例性单元,但是应当理解,其他实施例不限于此。在其他实施例中,系统100可以包括更少或更多数量的单元。此外,单元的标签或名称仅用于说明的目的,但是并不限制本文的实施例的范围。一个或多个单元可以被组合以在系统100中执行相同或基本相似的功能。
图2示出了根据本文公开的实施例的序列图,该序列图示出了用于使用PSK通过CAPIF-1e、CAPIF-2e和CAPIF-3参考点认证和授权API调用者102的安全信道建立。
根据图2,本文的实施例建立了用于认证API调用者102的专用安全连接/会话。可以使用两种不同的方法,诸如基于PSK的方法和基于证书的方法,来建立API调用者102和AEF 108之间的专用安全连接。建立的专用安全会话可以用于所有的API调用和响应。为了建立专用安全会话,在CCF 106和API调用者102之间通过CAPIF-1e接口成功地相互认证之后,可以导出PSK。此外,PSK可以用于通过CAPIF-2e接口在API调用者102和AEF 108之间建立安全连接(例如,TLS或IPSec)。CAPIF-1e安全机制可以用于“引导(bootstrap)”用于认证CAPIF-2e的安全TLS连接的密钥。在没有PSK的情况下,可以使用在API调用者102和AEF 108之间的基于证书的相互认证来通过CAPIF-2e接口建立安全TLS会话。
图2示出了用于使用PSK建立安全信道的在API调用者102、CCF 106和AEF 108之间的高级安全信息流(针对访问场景:API调用者102在服务API调用之前访问AEF 108)。安全信息通过CAPIF-1e、CAPIF-2e和CAPIF-3参考点进行交换,具体步骤如下。
在步骤1,该方法包括通过CAPIF-1e接口在API调用者102和CCF 106之间建立安全TLS会话/连接。该方法允许API调用者102和CCF 106通过CAPIF-1e接口建立API调用者102和CCF 106之间的安全TLS会话/连接。可以基于API调用者102和CCF 106之间的相互认证,在API调用者102和CCF 106之间建立安全TLS会话。相互认证可以是基于证书的相互认证(即,基于客户端(即,API调用者102)和服务器(即,CCF 106)证书的相互认证)。
在步骤2,该方法包括通过CAPIF-1e接口导出PSK。该方法允许API调用者102和CCF106导出PSK。在成功建立安全TLS会话之后,可以基于TLS会话的主密钥(master secret)、AEF108的特有参数、会话参数和其他可能的参数来导出PSK。在实施例中,在CCF 106处的PSK的导出可以被延迟,直到从AEF 108接收到对PSK的请求。在实施例中,PSK对于特定的AEF 108是特有的(PSK绑定到AEF ID)。AEF ID至少在CAPIF内是唯一的标识符。AEFPSK=KDF(TLS Session Master_Secret(会话主密钥)、TLS会话参数、AEF ID、<其他潜在参数>)。KDF是密钥导出函数。AEFPSK和PSK术语在本文档中可互换使用。
在步骤3a,该方法包括发起与AEF 108的安全信道建立(TLS-PSK)请求。该方法允许API调用者102发起与AEF 108的TLS-PSK请求。在API调用者102处导出PSK时,API调用者102发起与AEF 108的安全信道建立请求。在实施例中,在API调用者102和AEF 108之间建立安全TLS连接之前,API调用者102可以随时导出PSK。
在步骤3b,该方法包括通过CAPIF-3参考点从CCF 106请求从API调用者108导出的PSK。该方法允许AEF 108通过CAPIF-3参考点向CCF 106请求从API调用者102导出的PSK。
在步骤3c,该方法包括通过CAPIF-3参考点从CCF 106接收PSK。该方法允许AEF108通过CAPIF-3参考点从CCF 106接收PSK。CCF 106可以被配置成在接收到来自AEF 108的请求时,通过CAPIF-3参考点用导出的PSK进行响应。在实施例中,CCF 106可以导出PSK并在通知消息中将其发送到AEF 108,而无需来自AEF 108的任何请求(solicitation)。在这种情况下,可以省略图2所示的步骤3b和3c以减少时延。
在步骤3d,该方法包括使用PSK在API调用者102和AEF 108之间建立安全TLS连接。该方法允许AEF 108使用PSK在API调用者102和AEF 108之间建立安全TLS连接。在API调用者102和AEF 108之间的安全TLS连接可以通过CAPIF-2e接口建立。
在步骤4,该方法包括通过CAPIF-3参考点从CCF 106请求API调用者102的授权权利。该方法允许AEF 108通过CAPIF-3参考点从CCF 106请求API调用者102的授权权利。
在步骤5,该方法包括通过CAPIF-3从CCF 106接收API调用者102的授权权利。该方法允许AEF 108通过CAPIF-3接口从CCF 106接收API调用者102的授权权利。
在步骤6,该方法包括API调用者102通过安全的CAPIF-2e接口用AEF调用适用的3GPP北向API/服务API。
在步骤7,该方法包括基于从CCF 106接收到的至少一个API调用者102的授权权利,授权至少一个API调用者102访问至少一个服务API。该方法允许AEF 108基于从CCF 108接收到的至少一个API调用者102的授权权利,授权至少一个API调用者102访问至少一个服务API。AEF 108基于API调用者102的授权权利给予API调用。
图3示出了根据本文公开的实施例的序列图,该序列图示出了使用基于证书的相互认证通过CAPIF-2e和CAPIF-3参考点对API调用者102的认证和授权的安全信道建立。
本文的实施例允许通过CAPIF-2e和CAPIF-3参考点交换安全信息。
在步骤1a,API调用者102发现/识别以直接联系AEF 108以获取服务API,然后API调用者102直接发起与AEF 108的认证。此外,将在API调用者102和AEF 108之间执行基于客户端和服务器证书的相互认证,以在CCF 106的帮助下建立安全TLS连接(步骤1b)。在此场景下,API调用者由CCF 106或者在服务发现期间预先配置或提供,并且获得特定服务API所需的信息。这里,API调用者102可以直接请求与AEF的连接,而不需要联系CCF 106(或者在联系CCF 106之后)。在CAPIF-2e上成功建立安全TLS连接之后(即,在API调用者102和AEF108之间),AEF 108通过CAPIF-3参考点从CCF 106请求API调用者102的授权权利。此外,CCF106通过CAPIF-3参考点用API调用者102的授权权利进行响应。此外,在通过CAPIF-2e接口建立安全TLS连接时,API调用者102调用适用的3GPP北向API/服务API。此外,AEF 108基于API调用者的授权权利给予API调用。
图4示出了根据本文公开的实施例的序列图,该序列图示出了使用基于OAuth的访问令牌通过CAPIF-1e和CAPIF-2e参考点对API调用者102的认证和授权的安全信道建立。本文的实施例通过CAPIF-1e接口建立安全信道。CAPIF-2e参考点使用访问令牌来授权和给予对AEF 108的API调用者102的服务API调用。
图4示出了在API调用者102、CCF 106和AEF 108之间的高级安全信息流。安全信息能够通过CAPIF-1e、CAPIF-2e和CAPIF-3参考点进行交换。该方法基于OAuth 2.0授权框架。参照OAuth 2.0,CCF 106映射到授权和令牌协议端点。此外,API调用者102映射到资源所有者、客户端和重定向端点,以及AEF 108映射到资源服务器。使用访问令牌通过CAPIF-1e和CAPIF-2e参考点对API调用者102的认证和授权的说明是基于假设:客户端端点类型被注册为机密,授权授予类型是客户端凭证,访问令牌是承载类型(RFC 6750)并且基于JWT(JSONweb令牌)。
在步骤1,该方法包括由API调用者102和CCF 108通过CAPIF-1e接口基于基于证书的相互认证建立安全TLS会话。该方法允许API调用者102和CCF 106基于基于证书的相互认证来建立安全TLS会话。
在步骤2,该方法包括使用https请求从CCF 106请求访问令牌。该方法允许API调用者102使用https请求从CCF 106请求访问令牌。在通过CAPIF-1e成功建立安全TLS会话之后,API调用者102使用https请求从CCF 106请求访问令牌。https请求包含授予类型“client_credentials(客户端_凭证)”、范围(请求的权限集)、API调用者客户端标识符以及在向CCF 106注册期间生成和共享的密钥。
在步骤3,该方法包括针对有效凭证、请求类型和所请求的范围,验证来自API调用者102的授予请求。该方法允许CCF 106针对有效凭证、请求类型和所请求的范围,验证来自API调用者102的授予请求。
在步骤4,该方法包括生成访问令牌。该方法允许CCF 106生成访问令牌。在由CCF106成功授予请求验证后,可以生成访问令牌。生成的访问令牌可以被编码为如在IETF RFC7519中定义的JSON Web令牌。访问令牌可以包括如在IETF RFC 7515中定义的JSON web数字签名简档。此外,访问令牌通过重定向统一资源标识符(URI)共享,其中URI是在向CCF106注册期间由API调用者102给定的。
在步骤5,该方法包括通过CAPIF-2e接口基于服务器证书使用AEF 108端点的单向认证来建立与AEF 108的安全TLS连接。该方法允许API调用者102通过CAPIF-2e接口基于服务器证书使用AEF 108端点的单向认证来建立与AEF 108的安全TLS连接。
在步骤6,该方法包括通过CAPIF-2e接口向AEF 108发送对3GPP北向API/服务API的访问请求/调用以及访问令牌(对于访问场景:API调用者102在服务API调用时访问AEF108)。该方法允许API调用者102通过CAPIF-2e接口向AEF 108发送对3GPP北向API/服务API的访问请求/调用以及访问令牌。从CCF 106接收的访问令牌可以与API调用请求一起发送。令牌作为“承载”属性值放在https请求(API调用)的“授权”报头下。
在步骤7,该方法包括基于作为访问令牌一部分的签名来证实访问令牌。该方法允许AEF 108基于作为访问令牌一部分的签名来证实访问令牌。有效的签名,根据访问令牌中的授权权限验证API调用者的请求。
在步骤7,在成功验证访问令牌和API调用者102的授权权利时,调用所请求的服务API,并将适当的结果作为响应发送给API调用者102。
在实施例中,各种因素和要求可以影响适当的安全方法(即,PSK和OAuth.2.0)的适用性。然而,业务要求需要可能是用于选择安全方法的常见因素,但是在决定安全方法时实施方式可以使用以下标准。
(即基于PSK的)方法1的选择标准:该方法允许建立专用安全会话。由于(在会话开始期间进行授权)而建立了专用的安全TLS会话,这可以用于多个API调用,避免对每个调用请求进行授权验证。可以基于以下标准/场景选择此方法:
1.如果安全TLS信道会话需要活动达长的持续时间(如12小时或更长),则API调用者102在一段时间内将这些会话用于API调用,而不为每个请求建立安全TLS连接。
2.如果需要在短的持续时间内快速爆发API调用(如5分钟内500次调用),则API调用者102可以使用此方法来建立与AEF 108的专用安全TLS会话,并避免对每个调用请求进行授权验证。
3.如果API调用者102或CAPIF-2e参考点或AEF 108有严格的要求,如要被最小化的消息交换的大小、最小化的功耗等。那么API调用者102可以选择此方法。
方法2(即OAuth)的选择标准:该方法基于OAuth 2.0,并且提供了用于安全异步API调用请求和响应的框架。可以基于以下标准/场景选择此方法:
如果API调用是稀疏的,并且对安全会话的需求是短暂的,那么可以选择OAuth2.0。
如果AEF 108上的可用资源不足以在认证之后维持安全TLS会话,例如,由于网络负载或认证和授权功能作为单独的网络实体被卸载。那么可以选择OAuth 2.0。
安全方法(基于PSK的或者OAuth或者基于PKI的等)可以基于访问场景、所请求的服务的特性和对所请求的服务的约束、接口细节(诸如IP地址/端口)、参考点的状态、实体的能力等来确定和选择。
图5示出了根据本文公开的实施例的序列图,该序列图示出了在服务API调用之前,在API调用者102和AEF108之间的认证的过程流程。
本文的实施例允许API调用者102直接联系AEF 108,并与AEF 108进行认证(不需要与CCF 106执行的先决条件)。如果已经执行了服务发现,则API调用者102请求CCF 106提供根证书机构(CA)的(一个或多个)根证书,以验证API调用者102为后续API调用发现的AEF108的(一个或多个)AEF证书。CA可以由运营商托管,或者由运营商信任。可替换地,CCF 106提供CA的(一个或多个)根证书的列表,以在服务发现时或授权时或在认证期间或作为独立/排他消息交换(请求-响应),向API调用者102验证具有(已订阅的)对应AEF 108细节的(一个或多个)AEF证书。
在实施例中,在服务发现过程期间,响应于API调用者102服务发现请求,由CCF106向API调用者102提供关于AEF 108的细节。AEF 108的细节包括安全参数(如,认证方法、用于验证AEF证书的CA的根证书、令牌、安全证书(令牌)的寿命)和访问方法(基于CAPIF(在服务请求之前用CCF认证),使用TLS-PSK或TLS-证书或基于访问令牌或TLS-公钥加密),基于第三方令牌)。在另一个实施例中,API调用者102可以在服务发现请求中包括其对认证方法的偏好(例如,基于服务请求的可预见频率)。在接收到来自API调用者102的请求时,CCF106考虑API调用者102的偏好和其他标准来决定认证方法。响应于该请求,CCF 106向API调用者102指示所选择的认证方法。在实施例中,指示(选择的认证方法和参考点保护(接口安全))被包括在安全TLS连接请求/协议中。
根据图5,在调用北向API/服务API之前,API调用者102向AEF 108认证。在这种场景下,可以使用基于安全PSK的或基于证书的安全连接建立方法。基于PSK的或基于证书的方法示出了用于API调用者102向AEF 108认证并建立TLS会话以保护后续API调用的过程。
图6示出了根据本文公开的实施例的序列图,该序列图示出了非CCF(基于第三方的)认证过程。本文的实施例提供了非CCF(基于第三方的)认证过程,以保护API调用者102和AEF 108之间的接口。在此场景下,API调用者由CCF 106或者在服务发现期间预先配置或提供,获得特定服务API所需的信息。此外,该请求需要在不联系CCF 106的情况下(或者在联系CCF 106之后)直接向AEF 108提出。
图7示出了根据本文公开的实施例的序列图,该序列图示出了由CCF确定用于AEF108对API调用者102的认证和授权以及用于它们之间的安全通信的机制的场景。
在步骤1,API调用者102和CCF 106使用基于客户端和服务器证书的相互认证建立例如TLS的安全通信信道。
在步骤2,API调用者102发送安全方法请求至CCF 106。至CCF 106的请求包括API调用者ID、AEF 108的细节,诸如服务细节、接口细节、北向API细节以及API调用者102的优选安全方法。
在步骤3,CCF 106选择将由AEF 108用来认证和授权API调用者102的安全方法。该选择考虑了在步骤2中从API调用者102接收的信息。
在实施例中,CCF 106为所有被请求的AEF的每个被请求接口选择基于PSK的、基于PKI的、基于OAuth 2.0的、基于IKEv2的、基于IPsec的、基于应用层安全的、基于类似这样的安全方法中的至少一种。
在实施例中,可以基于以下参数中的至少一个来决定认证方法:API调用者102订阅的服务的类型,接口细节(诸如,IP地址/端口),AEF 108和API调用者102之间的协议,何时请求访问特定服务(何时订阅多个服务),基于基于时间的场景(订阅的API),基于对TLS会话存活多长时间的需要,API调用者的能力,AEF 108的能力,基于来自API调用者102的请求(基于用户输入、使用时间、先前已知的请求数量),特定方法由CCF 106(每个AEF或每个API调用者)选择,并指示给API调用者102。
在实施例中,由AEF 108对API调用者102进行安全通信、认证和授权的方法与AEF108的服务API接口细节相关联,即,如果服务需要,托管在相同(或不同)AEF 108的两个或更多个API接口上的相同服务API可以具有对应于每个API接口的不同安全方法。当确定安全方法时,CCF 106将这些信息考虑在内。
在步骤4,CCF 106向API调用者102发送安全方法响应,指示每个AEF 108(或(一个或多个)AEF的每个服务API接口)的所选择的安全方法、与所选择的安全方法相关的任何安全信息(例如,用于直接建立TLS和/或IPsec和/或经由IKEv2建立IPsec等的预共享密钥)。API调用者102将在与(一个或多个)AEF 108的随后通信建立中使用这个选择的安全方法。
图8示出了根据本文公开的实施例的序列图,该序列图示出了API调用者102使用由CCF 106确定和指示的TLS-PSK方法调用北向API/服务API。
CCF 106可以向API调用者102发送认证响应。此外,API调用者102向AEF 108发送具有认证的服务API调用请求。此外,获得用于认证的API调用者102信息。此外,AEF基于PSK识别验证和认证。此外,AEF向API调用者102给出服务API调用响应。
图9示出了根据本文公开的实施例的序列图,该序列图示出了API调用者102使用由CCF 106确定和指示的访问令牌方法调用北向API/服务API。
根据图9,CCF 106基于来自API调用者102的认证请求向API调用者102共享认证响应。此外,API调用者102向AEF-2 108给出具有认证信息的服务API调用请求。此外,AEF-2108可以被配置成接收用于认证的API调用者102信息。此外,AEF-2 108基于由API调用者102呈现的令牌来执行身份验证和认证,并且在API调用者102和AEF 108之间建立安全TLS连接。此外,基于身份验证和认证,AEF-2 108提供服务API调用响应。
本文公开的实施例可以通过运行在至少一个硬件设备上并执行网络管理功能来控制元件的至少一个软件程序来实现。图1所示的元件可以是硬件设备或硬件设备和软件模块的组合中的至少一个。例如,本文公开的实施例可以在5G核心网络中的管理网络暴露功能(NEF)的网络实体中实施,并且该网络实体可以被实施为包括收发器和处理器的服务器,该处理器被配置成处理公开的与NEF相关的过程。
特有实施例的前述描述将如此充分地揭示本文实施例的一般性质,以至于其他人可以通过应用当前知识,在不脱离一般概念的情况下容易地修改和/或改编这样的特有实施例,因此,这样的改编和修改应该并且旨在被理解为在所公开的实施例的等同物的意义和范围内。应当理解,本文使用的措辞或术语是为了描述的目的,而不是为了限制。因此,尽管已经根据实施例描述了本文的实施例,但是本领域技术人员将认识到,本文的实施例可以以本文描述的实施例的精神和范围内的修改来实践。
Claims (11)
1.一种用于使用通用应用程序接口框架(CAPIF)认证应用程序接口(API)调用者的方法,所述方法包括:
在从至少一个API调用者接收到在CAPIF-2e接口上访问至少一个服务API的连接请求时,由CAPIF核心功能(CCF)建立与所述至少一个API调用者的安全连接;
由CCF确定至少一种安全方法,所述至少一种安全方法将由所述至少一个API调用者用于所述至少一个API调用者的CAPIF-2e接口安全(C2eIS),以在CAPIF-2e接口上访问所述至少一个服务API;以及
由API暴露功能(AEF)基于所确定的至少一种安全方法为所述至少一个API调用者启用C2eIS。
2.根据权利要求1所述的方法,其中,在所述CCF和所述至少一个API调用者之间建立安全连接是基于通过CAPIF-1e接口的所述CCF和所述至少一个API调用者之间的相互认证的。
3.根据权利要求1所述的方法,其中,所述至少一种安全方法包括传输层安全-预共享密钥(TLS-PSK)、TLS-公钥基础设施(TLS-PKI)、互联网密钥交换版本2(IKEv2)、互联网协议安全(IPsec)、应用层保护、本地授权机制和OAuth 2.0中的至少一种。
4.根据权利要求1所述的方法,其中,所述C2eIS包括所述至少一个API调用者的认证、接口保护和授权中的至少一个。
5.根据权利要求1所述的方法,其中,所述至少一种安全方法是基于API调用者订阅的服务的类型、AEF和API调用者之间的接口细节、访问场景、所需的安全传输层安全(TLS)会话的长度、API调用者的能力、AEF的能力、API调用者的偏好以及所述至少一个API调用者和CCF之间的协商中的至少一个来确定的。
6.根据权利要求1所述的方法,其中,由AEF基于所确定的至少一种安全方法为所述至少一个API调用者启用C2eIS,包括:
如果所确定的至少一种安全方法是TLS-PSK,则使用从CCF接收的预共享密钥(PSK)通过CAPIF-2e接口与所述至少一个API调用者建立安全TLS连接,其中,所述PSK是在通过CAPIF-1e接口在所述CCF和所述至少一个API调用者之间建立安全TLS连接之后,由所述至少一个API调用者和CCF中的至少一个导出的;
通过CAPIF-3接口从CCF接收所述至少一个API调用者的授权权利;以及
基于从CCF接收的所述至少一个API调用者的授权权利,授权所述至少一个API调用者访问所述至少一个服务API。
7.根据权利要求1所述的方法,其中,由AEF基于所确定的至少一种安全方法为所述至少一个API调用者启用C2eIS,包括:
如果所确定的至少一种安全方法是TLS-PKI,则使用基于客户端和服务器证书的相互认证,通过CAPIF-2e接口与所述至少一个API调用者建立安全TLS连接;
通过CAPIF-3接口从CCF接收所述至少一个API调用者的授权权利;以及
基于从CCF接收的所述至少一个API调用者的授权权利,授权所述至少一个API调用者访问所述至少一个服务API。
8.根据权利要求1所述的方法,其中,由AEF基于所确定的至少一种安全方法为所述至少一个API调用者启用C2eIS,包括:
如果所确定的至少一种安全方法是OAuth 2.0,则使用基于证书的相互认证和基于服务器证书的认证中的至少一种,通过CAPIF-2e接口建立与所述至少一个API调用者的安全TLS连接;
从所述至少一个API调用者接收服务API访问请求以及访问令牌,其中,所述访问令牌是在通过CAPIF-1e接口在CCF和所述至少一个API调用者之间建立安全TLS连接之后,在从所述至少一个API调用者接收到基于OAuth2.0的访问令牌请求时由CCF生成的;以及
基于从所述至少一个API调用者接收的访问令牌,授权所述至少一个API调用者访问所述至少一个服务API。
9.根据权利要求1所述的方法,所述至少一种安全方法包括所述至少一个API调用者的C2eIS的安全协议的细节。
10.一种用于使用通用应用程序接口框架(CAPIF)认证应用程序接口(API)调用者的装置,所述装置包括:
CAPIF核心功能(CCF),被配置成:
在从至少一个API调用者接收到在CAPIF-2e接口上访问至少一个服务API的连接请求时,建立与所述至少一个API调用者的安全连接;
确定至少一种安全方法,所述至少一种安全方法将由所述至少一个API调用者用于所述至少一个API调用者的CAPIF-2e接口安全(C2eIS),以在CAPIF-2e接口上访问所述至少一个服务API;以及
API暴露功能(AEF),被配置成:
基于所确定的至少一种安全方法为所述至少一个API调用者启用C2eIS。
11.根据权利要求10所述的装置,其中,所述装置适于根据权利要求2至9中的任一项进行操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310272526.4A CN116405938A (zh) | 2017-11-16 | 2018-11-16 | 用于认证应用程序接口(api)调用者的方法和系统 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN201741041088 | 2017-11-16 | ||
IN201741041088 | 2018-11-05 | ||
PCT/KR2018/014062 WO2019098730A1 (en) | 2017-11-16 | 2018-11-16 | Method and system for authenticating application program interface (api) invokers |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310272526.4A Division CN116405938A (zh) | 2017-11-16 | 2018-11-16 | 用于认证应用程序接口(api)调用者的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111373712A true CN111373712A (zh) | 2020-07-03 |
CN111373712B CN111373712B (zh) | 2023-04-04 |
Family
ID=66433799
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880074510.XA Active CN111373712B (zh) | 2017-11-16 | 2018-11-16 | 用于认证应用程序接口(api)调用者的方法和系统 |
CN202310272526.4A Pending CN116405938A (zh) | 2017-11-16 | 2018-11-16 | 用于认证应用程序接口(api)调用者的方法和系统 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310272526.4A Pending CN116405938A (zh) | 2017-11-16 | 2018-11-16 | 用于认证应用程序接口(api)调用者的方法和系统 |
Country Status (5)
Country | Link |
---|---|
US (2) | US11303676B2 (zh) |
EP (2) | EP3972310A1 (zh) |
KR (2) | KR20230152766A (zh) |
CN (2) | CN111373712B (zh) |
WO (1) | WO2019098730A1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022027528A1 (zh) * | 2020-08-06 | 2022-02-10 | 华为技术有限公司 | 应用程序接口调用方法及其装置、系统 |
WO2023216082A1 (zh) * | 2022-05-09 | 2023-11-16 | 北京小米移动软件有限公司 | 订阅处理方法、装置、介质和芯片 |
WO2024021137A1 (zh) * | 2022-07-29 | 2024-02-01 | 北京小米移动软件有限公司 | Api调用者认证方法以及装置、通信设备及存储介质 |
WO2024031722A1 (zh) * | 2022-08-12 | 2024-02-15 | 北京小米移动软件有限公司 | 北向应用程序接口api调用方法及装置 |
WO2024031723A1 (zh) * | 2022-08-12 | 2024-02-15 | 北京小米移动软件有限公司 | 应用程序接口api调用方法及装置 |
WO2024032226A1 (zh) * | 2022-08-12 | 2024-02-15 | 华为技术有限公司 | 通信方法和通信装置 |
WO2024065564A1 (zh) * | 2022-09-29 | 2024-04-04 | 北京小米移动软件有限公司 | 一种api的调用方法、装置、设备及存储介质 |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110046001B (zh) * | 2018-01-15 | 2022-03-25 | 华为技术有限公司 | 一种授权撤回的方法及装置 |
CN110348205B (zh) * | 2018-04-08 | 2022-04-22 | 华为技术有限公司 | 一种api拓扑隐藏方法、设备及系统 |
US11140169B1 (en) * | 2018-10-31 | 2021-10-05 | Workday, Inc. | Cloud platform access system |
CN113867980A (zh) * | 2019-01-14 | 2021-12-31 | 华为技术有限公司 | 调用应用程序接口的方法和装置 |
US10785652B1 (en) | 2019-09-11 | 2020-09-22 | Cisco Technology, Inc. | Secure remote access to a 5G private network through a private network slice |
CN117221385A (zh) * | 2020-02-14 | 2023-12-12 | 瑞典爱立信有限公司 | 用于服务api发布的方法、网络实体和介质 |
US11818173B2 (en) * | 2020-05-29 | 2023-11-14 | Palo Alto Networks, Inc. | Reducing memory footprint after TLS connection establishment |
CN114844945A (zh) * | 2021-02-01 | 2022-08-02 | 中国移动通信有限公司研究院 | 网络能力管理方法、能力开放平台及网络能力管理系统 |
US11620363B1 (en) | 2021-03-15 | 2023-04-04 | SHAYRE, Inc. | Systems and methods for authentication and authorization for software license management |
EP4295564A4 (en) * | 2021-03-23 | 2024-05-22 | Samsung Electronics Co., Ltd. | METHOD AND SYSTEM FOR DISCOVERING A TARGET APPLICATION PROGRAM INTERFACE |
US11632362B1 (en) * | 2021-04-14 | 2023-04-18 | SHAYRE, Inc. | Systems and methods for using JWTs for information security |
US11621830B1 (en) | 2021-06-28 | 2023-04-04 | SHAYRE, Inc. | Systems and methods for facilitating asynchronous secured point-to-point communications |
WO2023144649A1 (en) * | 2022-01-28 | 2023-08-03 | Lenovo (Singapore) Pte. Ltd. | Application programming interface (api) access management in wireless systems |
WO2024060067A1 (en) * | 2022-09-21 | 2024-03-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for internet protocol security authentication |
WO2024071697A1 (ko) * | 2022-09-28 | 2024-04-04 | 삼성전자 주식회사 | 이동 통신 시스템에서 사용자 동의 정보를 관리하는 방법 및 장치 |
WO2024100055A1 (en) * | 2022-11-07 | 2024-05-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Application programming interface access in a communication network |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140351446A1 (en) * | 2013-05-21 | 2014-11-27 | Samsung Electronics Co., Ltd. | Electronic device using logical channels for communication |
US20170249480A1 (en) * | 2014-09-26 | 2017-08-31 | Alcatel Lucent | Privacy protection for third party data sharing |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7996869B2 (en) * | 2006-08-18 | 2011-08-09 | Sony Corporation | Automatically reconfigurable multimedia system with interchangeable personality adapters |
JP4829822B2 (ja) | 2007-03-19 | 2011-12-07 | 株式会社リコー | 遠隔機器管理システム |
CN104598257B (zh) * | 2013-10-30 | 2019-01-18 | 华为技术有限公司 | 远程应用程序运行的方法和装置 |
US20160277413A1 (en) * | 2015-03-20 | 2016-09-22 | Kabushiki Kaisha Toshiba | Access Permission Device, Access Permission Method, Program, and Communicating System |
US9602292B2 (en) | 2015-07-25 | 2017-03-21 | Confia Systems, Inc. | Device-level authentication with unique device identifiers |
US10432631B2 (en) * | 2016-03-11 | 2019-10-01 | Oracle International Corporation | System and method for providing a universal security handler for a cloud-based integration platform |
EP3586257B1 (en) * | 2017-02-22 | 2022-10-26 | Fingerprint Cards Anacatum IP AB | Biometrics-based remote login |
CN109587187A (zh) * | 2017-09-28 | 2019-04-05 | 华为技术有限公司 | 用于调用网络功能服务的方法、装置和系统 |
-
2018
- 2018-11-15 US US16/192,069 patent/US11303676B2/en active Active
- 2018-11-16 EP EP21207669.9A patent/EP3972310A1/en active Pending
- 2018-11-16 KR KR1020237035362A patent/KR20230152766A/ko active Application Filing
- 2018-11-16 CN CN201880074510.XA patent/CN111373712B/zh active Active
- 2018-11-16 CN CN202310272526.4A patent/CN116405938A/zh active Pending
- 2018-11-16 KR KR1020207014132A patent/KR102591619B1/ko active IP Right Grant
- 2018-11-16 EP EP18878658.6A patent/EP3695575B1/en active Active
- 2018-11-16 WO PCT/KR2018/014062 patent/WO2019098730A1/en unknown
-
2022
- 2022-03-24 US US17/703,531 patent/US20220217178A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140351446A1 (en) * | 2013-05-21 | 2014-11-27 | Samsung Electronics Co., Ltd. | Electronic device using logical channels for communication |
US20170249480A1 (en) * | 2014-09-26 | 2017-08-31 | Alcatel Lucent | Privacy protection for third party data sharing |
Non-Patent Citations (5)
Title |
---|
ETSI: ""Security Aspects of Common API Framework for 3GPP Northbound APIs"", 《3GPP》 * |
HUAWEI, HISILICON: ""CAPIF architectural requirements related to security"", 《3GPP》 * |
SAMSUNG: "" CAPIF authentication with CCF"", 《3GPP》 * |
SAMSUNG: ""Security procedure for CAPIF-1e reference point "", 《3GPP》 * |
TSGSA: ""Functional architecture and information flows to support Common API Framework for 3GPP Northbound APIs"", 《3GPP》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022027528A1 (zh) * | 2020-08-06 | 2022-02-10 | 华为技术有限公司 | 应用程序接口调用方法及其装置、系统 |
WO2023216082A1 (zh) * | 2022-05-09 | 2023-11-16 | 北京小米移动软件有限公司 | 订阅处理方法、装置、介质和芯片 |
WO2024021137A1 (zh) * | 2022-07-29 | 2024-02-01 | 北京小米移动软件有限公司 | Api调用者认证方法以及装置、通信设备及存储介质 |
WO2024031722A1 (zh) * | 2022-08-12 | 2024-02-15 | 北京小米移动软件有限公司 | 北向应用程序接口api调用方法及装置 |
WO2024031723A1 (zh) * | 2022-08-12 | 2024-02-15 | 北京小米移动软件有限公司 | 应用程序接口api调用方法及装置 |
WO2024032226A1 (zh) * | 2022-08-12 | 2024-02-15 | 华为技术有限公司 | 通信方法和通信装置 |
WO2024065564A1 (zh) * | 2022-09-29 | 2024-04-04 | 北京小米移动软件有限公司 | 一种api的调用方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
EP3695575A1 (en) | 2020-08-19 |
KR20230152766A (ko) | 2023-11-03 |
KR20200083498A (ko) | 2020-07-08 |
CN116405938A (zh) | 2023-07-07 |
EP3695575A4 (en) | 2020-11-11 |
CN111373712B (zh) | 2023-04-04 |
KR102591619B1 (ko) | 2023-10-19 |
US20220217178A1 (en) | 2022-07-07 |
US20190149576A1 (en) | 2019-05-16 |
EP3972310A1 (en) | 2022-03-23 |
US11303676B2 (en) | 2022-04-12 |
EP3695575B1 (en) | 2022-01-05 |
WO2019098730A1 (en) | 2019-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111373712B (zh) | 用于认证应用程序接口(api)调用者的方法和系统 | |
EP3752941B1 (en) | Security management for service authorization in communication systems with service-based architecture | |
US10673861B2 (en) | Identity proxy to provide access control and single sign on | |
JP6086987B2 (ja) | ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録 | |
US20230070253A1 (en) | Methods and systems for authenticating devices using 3gpp network access credentials for providing mec services | |
KR101038064B1 (ko) | 애플리케이션 인증 | |
WO2019158819A1 (en) | Security management for roaming service authorization in communication systems with service-based architecture | |
US8627064B2 (en) | Flexible system and method to manage digital certificates in a wireless network | |
US10148651B2 (en) | Authentication system | |
CN110569638B (zh) | 一种api认证的方法、装置、存储介质及计算设备 | |
EP2805470A1 (en) | Identity management with local functionality | |
US20190007835A1 (en) | Profile installation based on privilege level | |
US11824972B2 (en) | Method and system for onboarding client devices to a key management server | |
US11622276B1 (en) | Systems and method for authentication and authorization in networks using service based architecture | |
KR20200130141A (ko) | 무선 통신 시스템에서 모바일 엣지 컴퓨팅 서비스를 제공하기 위한 장치 및 방법 | |
US20220116774A1 (en) | Methods and systems for authentication and establishment of secure connection for edge computing services | |
US20090136043A1 (en) | Method and apparatus for performing key management and key distribution in wireless networks | |
CN116419220A (zh) | 认证和/或密钥管理方法、第一设备、终端及通信设备 | |
WO2024062373A1 (en) | Registration handling of ledger-based identity |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |