CN112352409B - 下一代网络中的通用api框架所用的安全过程 - Google Patents
下一代网络中的通用api框架所用的安全过程 Download PDFInfo
- Publication number
- CN112352409B CN112352409B CN201980024249.7A CN201980024249A CN112352409B CN 112352409 B CN112352409 B CN 112352409B CN 201980024249 A CN201980024249 A CN 201980024249A CN 112352409 B CN112352409 B CN 112352409B
- Authority
- CN
- China
- Prior art keywords
- api
- api caller
- caller
- login
- core function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title abstract description 126
- 238000013475 authorization Methods 0.000 claims abstract description 157
- 230000004044 response Effects 0.000 claims description 56
- 238000012795 verification Methods 0.000 claims description 27
- 230000010365 information processing Effects 0.000 claims description 13
- 238000003672 processing method Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 description 127
- 238000012986 modification Methods 0.000 description 47
- 230000004048 modification Effects 0.000 description 47
- 230000008569 process Effects 0.000 description 36
- 239000008186 active pharmaceutical agent Substances 0.000 description 25
- 238000004891 communication Methods 0.000 description 15
- 238000007726 management method Methods 0.000 description 13
- 230000027455 binding Effects 0.000 description 8
- 238000009739 binding Methods 0.000 description 8
- 238000009795 derivation Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000011664 signaling Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000010200 validation analysis Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/0231—Traffic management, e.g. flow control or congestion control based on communication conditions
- H04W28/0236—Traffic management, e.g. flow control or congestion control based on communication conditions radio quality, e.g. interference, losses or delay
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Abstract
本文提出了供3GPP通用API框架(CAPIF)解决在各个阶段期间可能发生的各种安全问题的安全过程,诸如:(i)API调用者登录、(ii)API调用者登出、(iii)服务API发布、(iv)服务API取消发布、(v)更新服务API、(vi)服务API发现、(vii)API调用者从CAPIF核心功能(CCF)获得访问服务API的授权、(viii)服务调用时的API调用者与API开放功能(AEF)之间的认证、(ix)检索服务API、(x)CAPIF事件订阅,(xi)CAPIF事件取消订阅、以及(xii)API调用者授权访问服务API等。
Description
技术领域
本发明涉及通信系统。特别地但不排他地,本发明与根据第3代合作伙伴计划(3GPP)标准或其等同项或衍生项而工作的无线通信系统及其装置相关。特别地但不排他地,本发明与所谓的“5G”(或“下一代”)系统中的安全过程相关。
背景技术
过去,3GPP中的多个工作组(WG)定义了不同的解决方案,以支持3GPP系统外部的北向API接口。这些规范由具体需要触发,而无需彼此协调。这导致了满足具体需求的多个不兼容的API定义。最近,3GPP SA2正在定义北向API,以允许外部实体访问由3GPP系统通过服务能力开放功能(SCEF)提供的服务。由于诸如oneM2M等的外部SDO的请求,因此3GPP正在定义SCEF的API。
到目前为止,3GPP尚未定义通用框架,以经由API向外部实体提供对由3GPP系统所提供的服务的访问。LTE中的SCEF和5G中的NEF是可以利用这种通用框架的两个示例。
为了解决这种情况,在Release 15中,3GPP SA6 WG规定了第2阶段规范(TS23.222[2]),以定义通用API框架(CAPIF)架构,该CAPIF架构可由3GPP中的任何未来API定义使用。该第2阶段技术规范(TS)定义了第三方API提供商如何向用户提供其服务的架构。在这一标准工作之前所做的研究在3GPP技术报告(TR)23.722[1]中总结,并且用作以下标准规范TS 23.222[2]的基础。该第2阶段规范在2017年12月完成。
目前3GPP SA3具有正在进行的工作项(WI)以定义CAPIF的安全方面。相应的SA3TS为33.122[3]。
发明内容
发明要解决的问题
根据[2]和[3]中的规范,从安全角度来看,存在几个问题。问题被描述如下:
(i)API调用者登录(onboarding)
a.用于登录API调用者的过程没有指定过程中的安全相关方面。登录过程缺乏API调用者的关于其位置/区域的信息(可信/不可信/信任级别)。
b.CCF在成功的登录处理之后为API调用者分配API调用者标识符(ID),但该标识符不是CCF特定的。这可能导致对API调用者ID的分配和管理缺乏控制。
c.系统缺乏对登录结果与后续过程(诸如服务API的发现、认证、以及API调用者的授权)的绑定。
d.尽管登录被陈述成是用于将API调用者登记为CAPIF的认可用户的一次性登录处理,但系统中还存在登出(offboarding)处理。这意味着,一旦API调用者从CAPIF登出,并且如果API调用者需要访问其先前登出的同一CAPIF所控制的服务API,则API调用者需要再次登录CAPIF以访问相应的服务API。这带来了在API调用者的生命期内的多于一次登录的范围。此外,为不需要生命期有效性或不可靠的API调用者提供生命期有效性可能导致资源未充分利用、资源耗尽和安全问题。
(ii)API调用者登出
a.系统只有API调用者发起的登录。当恶意API调用者利用对服务API的访问时,无法抑制这类活动。
b.缺乏CAPIF核心功能发起的、用以防止恶意API调用者活动的API调用者登出。尽管[6]和[7]中的先前文献讨论了CAPIF核心功能所发起的登出过程,但它们未讨论安全方面。
c.此外,在API调用者发起的登出处理中,没有定义用以证实API调用者所触发的登出调用的可靠性的机制。
(iii)发布服务API
a.CAPIF支持API提供者发布服务API。通过假冒合法的服务API提供者来发布服务API的攻击者可能导致恶意服务。
b.服务API发布过程没有提高关于API提供者和服务API相关授权信息的明确说明。未讨论与其它方面绑定以提高安全性的授权信息。
c.服务API过程不包括服务API的发布期分配,这可能导致无效的服务API管理。
(iv)取消发布服务API
a.CAPIF支持API提供者取消发布服务API。一旦服务API信息被取消发布,API调用者就不能再发现该信息。因此,用以取消发布服务API的任何非法行为都将导致服务API的不可用。
b.没有关于在取消发布服务API过程中所使用的认证和授权信息中将究竟包含什么的明确信息。
(v)更新服务API
a.CAPIF支持通过相应API发布功能来更新发布的服务API。但是,没有关于CAPIF核心功能究竟如何对API发布功能进行认证或授权以对先前发布的服务API进行更新的明确信息。
b.也没有关于在TS 23.222[2]第8.6条中所讨论的更新服务API过程中使用的认证和授权信息中将究竟包含什么的明确信息。
(vi)服务API的发现
a.CAPIF中的服务API发现过程没有定义任何安全要求。
b.在针对位于不同信任区域中的或基于API调用者的信任级别的不同API调用者而定义或决定的发现级别之间不存在清晰的界限。
c.具有恶意意图的任何API调用者可能引起网络安全问题,因此,需要向服务API的信任域之外的基于信任级别来发现和访问服务API的API调用者隐藏服务拓扑。
d.在API调用者的API服务发现与AEF和CCF的拓扑隐藏之间没有绑定。缺乏服务API发现结果和拓扑隐藏决策绑定可能导致无效的拓扑隐藏。
(vii)API调用者从CAPIF核心功能(CCF)获得访问服务API的授权
a.在CAPIF认证与API调用者和CCF之间的服务API授权请求之间缺乏绑定可能导致获得去往合法的API调用者的调用/访问令牌的任何攻击者的中间人供给。
b.可以利用调用/访问令牌以允许会话固定,其中黑客使用真实用户的调用/访问令牌来获得对用户帐户的访问。当多于一个API调用者以相同的调用/访问令牌请求服务API时,缺乏与调用/访问令牌的生成绑定的AEF ID、CAPIF ID、服务API相关ID可能导致CCF或AEF处的API调用者授权验证问题。
c.CAPIF核心功能或服务API对于DoS攻击具有漏洞。通过大量的访问尝试,该条件下的CAPIF可能被泛洪和关闭,以正确地操作。
d.对于每个API调用者的授权请求或服务API访问请求缺乏对CCF或AEF处的API调用者相关认证/授权计数器的维持和执行控制可能导致对CCF、AEF和服务API提供者的DoS攻击。
e.缺少基于随机码(nonce)或时间戳的服务API授权请求/响应过程可能导致重放攻击。
(viii)服务调用时的API调用者与API开放功能(AEF)之间的认证
a.针对每个服务API调用的API调用者和API开放功能之间的认证可能是耗时的,并且可能延迟服务调用处理。
b.API调用者在初始认证期间从CCF/AEF接收到的调用/访问令牌或认证/授权信息如果在服务调用时照原样用于或重复用于API调用者与AEF之间的认证,则可能导致重放或伪装攻击。
(ix)检索服务API
a.CAPIF支持通过相应API发布功能来更新发布的服务API。但是,没有关于CAPIF核心功能究竟如何对API发布功能进行认证或授权以对先前发布的服务API进行更新的明确信息。
b.也没有关于在TS 23.222[2]第8.5条中所讨论的更新服务API过程中使用的认证和授权信息中将究竟包含什么的明确信息。
(x)CAPIF事件订阅
a.CAPIF核心功能使得订阅实体(即,API调用者、API开放功能、API发布功能、API管理功能)能够订阅CAPIF事件(诸如服务API的可用性事件、服务API信息的变化、监视服务API调用、API调用者登录事件等)。
b.CAPIF事件订阅过程没有讨论究竟如何执行API调用者或订阅实体的认证或授权以防止恶意API调用者或订阅实体订阅事件通知。对任何恶意实体的CAPIF事件的订阅和通知将导致不利影响。
(xi)CAPIF事件取消订阅
a.CAPIF核心功能向已订阅事件的符合标准的所有订阅实体发送事件通知。
b.CAPIF事件取消订阅过程没有讨论究竟如何执行API调用者的认证或授权以防止恶意API调用者取消订阅合法API调用者/订阅实体的事件通知。
(xii)对访问服务API的API调用者授权
a.TS 33.122第5.2.2.2条和第5.2.2.3条规定,“在CAPIF-2e参考点上成功建立TLS之后,API开放功能应从CAPIF核心功能获得TS 23.222[3]中所指定的API调用者的授权权利”。而TS 23.222第8.15.2条的信息流具有用于确认开发该过程的安全相关信息流在SA3范围内的注释。因此,该NID建议在TS 33.122中包括供AEF获得API调用者的授权权利的安全过程。
(xiii)API调用者认证
a.TS 33.122第5.2.2条描述了使用访问令牌的CAPIF-2e接口认证和保护。所述的过程在认证和访问令牌生成之间没有任何绑定,这可能导致诸如重放攻击等的安全问题。因此,NID建议在CAPIF-1e认证和访问令牌生成期间导出的密钥的绑定。
本文献描述了供CAPIF解决或至少缓解一个或多个安全问题的一些典型安全过程,包括但不限于以下:(i)API调用者登录、(ii)API调用者登出、(iii)服务API发布、(iv)服务API取消发布、(v)更新服务API、(vi)服务API发现、(vii)API调用者从CAPIF核心功能(CCF)获得访问服务API的授权、(viii)服务调用时的API调用者与API开放功能(AEF)之间的认证、(ix)检索服务API、(x)CAPIF事件订阅,(xi)CAPIF事件取消订阅、(xii)访问服务API的API调用者授权、以及(xiii)API调用者认证。
用于解决问题的方案
作为本发明的一方面,一种装置,包括:
发送器,其被配置为在使用TLS与应用服务器进行认证之后向所述应用服务器发送登录API调用者请求消息;以及
接收器,其被配置为从所述应用服务器接收登录API调用者响应消息,所述登录API调用者响应消息包括由所述应用服务器分配的应用服务器相关API调用者ID。
作为本发明的另一方面,一种应用服务器,包括:
接收器,其被配置为在使用TLS与装置进行认证之后从所述装置接收登录API调用者请求消息;以及
发送器,其被配置为响应于所述登录API调用者请求消息而向所述装置发送登录API调用者响应消息,所述登录API调用者响应消息包括由所述应用服务器分配的应用服务器相关API调用者ID。
作为本发明的另一方面,一种装置中的信息处理方法,包括:
在使用TLS与应用服务器间进行认证之后向所述应用服务器发送登录API调用者请求消息;以及
从所述应用服务器接收登录API调用者响应消息,所述登录API调用者响应消息包括由所述应用服务器分配的应用服务器相关API调用者ID。
作为本发明的另一方面,一种应用服务器中的信息处理方法,包括:
在使用TLS与装置进行认证之后从所述装置接收登录API调用者请求消息;以及
响应于所述登录API调用者请求消息而向所述装置发送登录API调用者响应消息,所述登录API调用者响应消息包括由所述应用服务器分配的应用服务器相关API调用者ID。
附图说明
图1示意性地示出本发明的实施例适用于的典型系统。
图2示意性地示出用于API调用者登录到CAPIF的典型安全过程。
图3示意性地示出用于API调用者发起的从CAPIF登出的典型过程。
图4示意性地示出用于CAPIF发起的从CAPIF登出的典型过程。
图5示意性地示出用以发布服务API的典型安全过程。
图6示意性地示出用以取消发布服务API的典型安全过程。
图7示意性地示出用以更新服务API的典型安全过程。
图8示意性地示出用以发现服务API的典型安全过程。
图9示意性地示出API调用者获得针对服务API访问的授权的典型安全过程。
图10示意性地示出用于在服务API调用时在API调用者和AEF之间进行认证的典型安全过程。
图11示意性地示出用于导出调用令牌*的典型过程。
图12示意性地示出用以检索服务API的典型安全过程。
图13示意性地示出用于CAPIF事件订阅的典型安全过程。
图14示意性地示出用于CAPIF事件取消订阅的典型安全过程。
图15示意性地示出用于API调用者授权访问服务API的典型过程。
图16示意性地示出以上实施例适用于的移动(蜂窝或无线)电信系统1。
图17是示出图16所示的UE(移动装置3)的主要组件的框图。
图18是示出图16所示的典型(R)AN节点5(基站)的主要组件的框图。
图19是示出通用核心网络节点(或功能)(例如,图16所示的CPF 8或UPF 9(或API调用者20))的主要组件的框图。
具体实施方式
图1示意性地示出本发明的实施例适用于的典型系统。图1所示的架构与TS23.222[2]第6.2子条款中所描述的整体CAPIF架构相对应。
在图1中,CAPIF-1至CAPIF-5是指逻辑实体之间的参考点:
-CAPIF-1:API调用者20和CAPIF核心功能(CCF)21之间的参考点,其中API调用者20在PLMN的信任域内。
-CAPIF-1e:API调用者20和CAPIF核心功能(CCF)21之间的参考点,其中API调用者20在PLMN的信任域外。
-CAPIF-2:API调用者20和API开放功能(AEF)22之间的参考点,其中API调用者20在PLMN的信任域内。
-CAPIF-2e:API调用者20和API开放功能(AEF)22之间的参考点,其中API调用者20在PLMN的信任域外。
-CAPIF-3:CAPIF核心功能(CCF)21和API开放功能(AEF)22之间的参考点。
-CAPIF-4:CAPIF核心功能(CCF)21和API发布功能(APF)23之间的参考点。
-CAPIF-5:CAPIF核心功能(CCF)21和API管理功能(AMF)24之间的参考点。
2.详细描述
与上述问题相对应的安全过程的详细描述分别如下在第2.1小节至第2.13小节中呈现。
为了使描述明确,在以下CAPIF安全过程中以粗体字或下划线示出本节(包括图)中的建议参数。然而,本发明不限于图中所突出显示的点。第2.1节至第2.13节中所述的所有CAPIF安全过程(过程中所涉及的所有参数)受到从CAPIF中的通信实体之间的任何先前认证或授权过程导出的安全上下文的机密性和/或完整性保护。
2.1用于API调用者登录的安全过程
本节中的描述与TS 23.222[2]第8.1子条款中所述的过程相对应。
图2示意性地示出用于将API调用者20登录到CAPIF的典型安全过程。
可以使用一个或多个信息来生成授权和登录令牌。以下描述了可以如何生成该令牌的一个示例。然而,不排除使用其它类型的信息的其它生成方法。
[表1]
登录令牌生成的变型:登录令牌生成应绑定到以下各项的任意组合:API提供者ID/CAPIF核心功能特定API调用者ID||CAPIF ID||登录订阅类型||发现级别||生命期||密钥。
秘密或秘密随机数的变型:可以是由CCF 21生成的任何随机数,其可以是预先提供的。
在使用TLS或者诸如EAP-AKA'或5G AKA等的任何相关认证机制或任何安全方法的API调用者登录处理之前,在API调用者20(装置或订户或订阅)和CAPIF核心网络21/网络之间存在认证/授权过程。例如,作为NAS信令的一部分而建立的安全上下文(例如,UE附接过程)可以在UE和网络之间建立相互认证之后与应用层(即,在API调用者20和CAPIF核心功能21之间)共享。从为了NAS信令保护而导出的安全上下文显式地导出安全登录过程所需的安全上下文。该安全上下文可用于导出CAPIF登录保护密钥,以对API调用者20和CCF 21之间的登录消息交换(登录处理中所涉及的参数或信息元素)进行机密性和/或完整性保护。
变型:网络预先向API调用者20提供对API调用者20和CAPIF核心功能21之间的登录消息交换或者第2.1节——用于API调用者登录的安全过程或图2中所讨论的参数进行机密性或完整性保护所需的安全上下文。
1.API调用者20将登录API调用者请求与API调用者信息连同订阅识别信息、订阅标识符、订户标识符或装置标识符、用户或装置特定应用标识符、请求的订阅类型、其位置信任区域级别指示或区域标识符(区域ID)以及最大或最小登录生命期(可选参数)一起发送到CAPIF核心功能21。
a.变型:区域ID可以是API调用者20连接至网络所经由的接入点名称或接入网络相关信息。
b.变型:根据TS 33.501第5.7.1条信任边界,“假定针对该子条款中的一组要求,移动网络运营商将其网络细分为信任区域。假定不同运营商的子网络位于不同信任区域中”。这里的建议是,每个装置将具有接入点名称(APN)或接入网络信息。因此,如果装置共享其连接至网络所经由的APN,则CCF21利用接收到的APN信息及其自身内存储的信任值来分析其对于特定API调用者的服务API请求可以具有的信任。为了支持这一点,CCF 21需要存储各种区域相关信息、与区域中的APN有关的信息、以及与各区域相对应的信任值或与CCF 21/网络和各可信区域相对应的信任值。
c.变型:API调用者信息包含用户特定应用ID或订阅/订户ID或第三方应用ID连同与ID相关的凭证(例如,密码)。如果API调用者信息包含影响用户隐私的用户特定ID,则需要发送隐藏的标识符。
2.CAPIF核心功能(CCF)21在接收到API调用者信息时,验证该特定API调用者20先前是否已被登录。如果API调用者20已登录到CCF 21,则其忽略登录API调用者请求消息。如果API调用者20先前未登录,则CCF 21利用其存储的信息验证接收到的API调用者的订阅相关信息和接收到的区域ID相关信任信息、API调用者20和/或其位置/网络信息这两者的信任级别、或者API调用者在登录API调用者请求消息中接收到的、API调用者与网络连接所经由的接入点的信任值/API调用者从中与网络连接的区域的信任值。如果验证成功,并且如果API调用者请求了登录生命期,则CCF 21基于验证结果来为API调用者20分配登录生命期,并存储API提供的信息和登录结果以供以后使用(以设置API调用者服务可发现性)。基于信任级别和登录结果,确定对登录/注册的订阅以及服务API发现的拓扑隐藏级别,并将相关数据存储在CCF 21中。由于API调用者20所请求的登录生命期参数可以是可选的,因此CCF 21将基于API调用者信息、API调用者的驻留区域的信任级别、订阅验证及其策略来确定登录生命期。如果API调用者20请求登录生命期值,则CCF 21确定登录生命期值。
a.变型:在每个装置中,我们将具有APN信息。因此,如果装置共享其连接到网络所经由的APN,则CCF 21利用其自身存储的APN信息(信任值)来分析它在特定API调用者相关方面可以具有的信任。
3.如果API调用者20被成功授权登录,则CCF 21发送登录API调用者响应消息以及成功指示、CAPIF ID(CAPIF/CCF相关标识符,其可以唯一地识别API调用者20登录到哪个CAPIF或CCF 21)、CAPIF特定API调用者ID(CAPIF核心功能或CAPIF托管的运营商特定API调用者ID)、登录生命期、授权/登录令牌(以支持API调用者20和CCF 21/AEF 22之间的进一步认证/授权)和服务API可用性通知。CAPIF特定API调用者ID是由CCF 21在成功的登录处理后分配的CCF相关API调用者标识符。该CAPIF核心功能特定API调用者ID在整个登录生命期内保持相同。登录令牌是登录的API调用者20在发送认证请求的同时作为成功登录的令牌需要发送的秘密令牌。登录令牌在登录生命期内保持相同。赋予API调用者20的授权令牌是动态秘密,其将在登录生命期期间的利用CCF 21的每次认证之后被更新。在成功登录时,适用的或服务API可用性通知参数包含API调用者20可发现/调用的所有服务API(名称和/或标识符和/或类型)的列表。
a.变型:登录令牌照原样使用,或者其导出结果在API调用者20和CCF21/AEF 22之间使用,作为针对登录的API调用者20的授权的证明或令牌。
b.变型:CCF 21将授权令牌和登录令牌这两者连同登录API调用者请求消息中的成功指示一起发送至API调用者20。
4.在成功登录时,API调用者20将调用可靠的/由CAPIF管理的、CCF提供的服务API列表存储作为登录的服务API列表。
a.变型:登录结果需要绑定到后续的CAPIF过程,诸如服务API的发现、认证以及API调用者的授权等。
2.1.1将登录结果绑定到认证和授权过程。
TS 33.122描述了第5.2.2.1条的方法1(使用TLS-PSK)中的API调用者20和AEF 22之间的认证和授权过程。其中,API调用者20和API开放功能22使用基于预共享密钥的TLS连接来建立专门的安全会话。在CAPIF-1e上成功建立TLS后,API调用者20和CAPIF核心功能21将导出密钥AEFPSK。
建议:AEFPSK可以绑定到CAPIF核心功能特定API调用者身份、登录令牌、CAPIF身份、授权令牌和AEF身份。
2.2用于API调用者登出的安全过程
a.API调用者20发起的登出
本节中的描述与TS 23.222[2]第8.2子条款中所述的过程相对应。
图3示意性地示出用于API调用者20发起的从CAPIF登出的典型过程。
1.API调用者20触发对CAPIF核心功能21的登出API调用者请求,根据CCF 21对API管理的要求来提供CAPIF ID、CAPIF特定API调用者ID、授权令牌/登录令牌
a.变型:根据登录令牌来导出用以授权登出的授权令牌,并将其导出结果绑定到CAPIF ID和/或CAPIF API调用者ID和/或登出码(静态或动态的)。
b.变型:授权令牌或登录令牌或这两者在登出API调用者请求消息中发送。
2.CCF 21验证请求的API调用者20是否是利用CAPIF API调用者ID来登出所声称的登录API调用者20的真实API调用者。如果验证成功,则CAPIF核心功能21从CAPIF取消API调用者20的登记。API调用者20不再是CAPIF的认可用户。与API调用者20相对应的所有授权和相关信息都从CAPIF中删除。可选地,API调用者20的信息可以根据运营商策略保留在CAPIF核心功能21。
3.CAPIF核心功能21返回登出API调用者响应消息,从而向API调用者20提供成功的登出指示。
b.CAPIF发起的API登出
图4示意性地示出用于CAPIF发起的从CAPIF登出的典型过程。
1.CCF 21向API调用者20发送API调用者登出通知消息。该行为的原因包括如下的情况,诸如API调用者管理功能或CAPIF发现API调用者20对服务API访问的行为是非预期的或不可接受的或欺诈的。API调用者登出通知消息包含CAPIF ID、CAPIF特定API调用者ID/信息和登出原因。
a.变型:CCF 21将授权令牌/登录令牌本身在API调用者登出通知消息中发送至API调用者20,以进行CCF 21认证/授权,从而触发登出处理。授权令牌导出结果绑定到CAPIF ID和/或先前在成功登录期间与API调用者20共享的登录令牌。
b.变型:在向API调用者20发送API调用者登出通知消息后,CCF21撤销服务,并且不再服务于该API调用者的请求。
c.变型:如果登出原因是API调用者20的非预期或不可接受或欺诈行为,则CCF 21在不使用授权令牌/登录令牌的情况下向API调用者20发送API调用者登出通知消息,并且CCF 21撤销服务并不再服务于该API调用者的请求。
2.API调用者20在接收到API调用者登出通知消息后,利用存储信息来验证CAPIFID、CAPIF特定API调用者ID和所接收到的授权/登录令牌,以防止伪装攻击。
3.如果验证成功,则API调用者20向CCF 21发送用以肯定地确认登出通知的API调用者登出确认消息。
4.CAPIF在从API调用者20接收到API调用者登出确认消息后取消API调用者登记。
2.3用于服务API发布的安全过程
本节中的描述与TS 23.222[2]第8.3子条款中所述的过程相对应。
图5示意性地示出用以发布服务API的典型安全过程。
在成功验证发布者ID和SLA时,CCF分配与发布所请求的服务API相对应的唯一CAPIF特定服务API标识符(服务API ID)。此外,CCF 21可以使用如下所述的一个或多个信息来生成发布令牌。以下描述了可以如何生成该令牌的一个示例。然而,不排除使用其它类型的信息的其它生成方法。
[表2]
1.API发布功能(APF)23发送具有发布期的服务API发布请求以及其它参数,诸如API发布者ID/APF ID、特定于服务API类型的认证和授权信息(如果有的话)、服务API信息、以及用以指示CCF 21在发布到API调用者的同时维持服务API所需的安全级别的指示符。
a.变型:APF 23所通知的安全级别指示符包含与服务API的安全性相关的任何信息(功能/加密算法/访问级别和操作许可/所需的最低安全性/调用者类型/API调用者20的信任级别/API驻留区域的信任级别)以及访问该信息所需的条件。
2.CCF 21在接收到服务API发布请求消息时基于SLA来验证授权信息(与(1)在认证或授权期间预共享或(2)预配置的安全上下文相关)、API发布者ID/APF ID,并与API提供者进行验证。CCF 21还基于信任、SLA和所请求的发布期来为通知的服务API ID设置发布期。在成功验证后,CCF 21生成请求API发布功能23所用的发布令牌,并生成/分配所发布的服务API的唯一CAPIF特定服务API ID。然后,CCF 21存储API信息连同发布令牌、APF ID、服务API ID以及与APF 23所提供的服务API相对应的安全要求指示符。
a.变型:以上示出的发布令牌生成涉及诸如API提供者ID、APF ID、发布相关密码、用于发布的码(静态的或动态的)、服务API类型/名称/相关信息、秘密和CCF ID等的一个或多个参数的任意组合。
3.如果验证成功,CCF 21将服务API发布响应消息与成功指示、发布令牌、服务APIID和所批准的发布期一起发送至APF 23。
4.APF 23存储所接收到的服务API ID、发布期和相应的发布令牌,以进行诸如取消发布、服务API检索和更新等的进一步处理。
a.变型:从CCF 21接收到的发布令牌被APF 23用作进行服务API取消发布、检索和更新操作的授权信息。换句话说,APF所提供的有效发布令牌指示该APF 23先前已被授权。
2.4用于服务API取消发布的安全过程
本节中的描述与TS 23.222[2]第8.4子条款中所述的过程相对应。
图6示意性地示出用以取消发布服务API的典型安全过程。
发布令牌的生成在第2.3节描述。发布令牌被APF 23用于从CCF 21中取消发布服务API。
1.API发布功能(APF)23发送具有发布令牌(如在第2.3节中导出的)和先前发布的CAPIF特定服务API ID/服务API相关信息的服务API取消发布请求消息连同诸如API发布者ID/APF ID、认证和授权信息等的其它参数。
2.CCF 21在接收到服务API取消发布请求消息时,CCF使用服务API ID来识别服务API相关存储信息,然后基于SLA来验证API发布者ID,并且还验证发布令牌作为授权请求取消发布服务API的证明,如果验证成功,则CCF 21将所提及的服务API从可用API的列表中移除。
3.如果发布令牌验证成功,CCF 21将服务API取消发布响应消息与成功指示、CAPIF ID、取消发布的服务API ID和相关信息一起发送至APF 23作为对APF 23的确认。
变型:无论该过程如何,如果服务API发布期期满,则CCF 21取消发布已发布的服务API。
2.5用于服务API更新的安全过程
图7示意性地示出用以更新服务API的典型安全过程。
使用发布令牌以由APF 23在CCF 21处进行服务API更新:
发布令牌的生成在第2.3节中描述。APF 23使用发布令牌以从CCF 21中更新服务API。
变型1:在CAPIF核心功能21和API提供者/发布者之间的认证/授权过程期间预共享发布令牌。
变型2:使用在CCF 21和API发布者之间的成功验证后导出的密钥/秘密来导出发布令牌,以用作用于APF 23在CCF 21处更新所发布的服务API的认证或授权信息。
本节中的描述与TS 23.222[2]第8.6子条款中所述的过程相对应。
1.API发布功能23向CAPIF核心功能21发送服务API更新请求,该请求包括API发布者ID、发布令牌、CCF 21在成功发布服务API后所提供的服务API ID(类型/名称/ID)。
2.在接收到服务API更新请求时,CAPIF核心功能21检查发布令牌和/或服务APIID(类型/名称/ID)和API发布者ID,以验证API发布功能23是否被授权更新发布的服务API信息。如果检查成功,则在CAPIF核心功能21(API注册表)处更新API发布功能23所提供的服务API信息。
3.CAPIF核心功能21将服务API更新响应消息连同CAPIF ID和更新的服务API ID(类型/名称/ID)一起提供给API发布功能23,并触发对订阅的API调用者的通知。
2.6用于服务API发现的安全过程
本节中的描述与TS 23.222[2]第8.7子条款中所述的过程相对应。
图8示意性地示出用以发现服务API的典型安全过程。
1.API调用者20将服务API发现请求消息与API调用者身份信息(CAPIF API调用者ID和/或其相关凭证)、调用令牌(它是登录令牌本身或从登录令牌导出的令牌)、区域id(API调用者的当前网络或位置)和其它查询信息(用于发现匹配的服务API的标准(例如,API类型、接口、协议等))一起发送至CCF 21。
a.变型:所发出的授权令牌特定于发现级别,或者从登录令牌导出。
2.CCF 21在接收到服务API发现请求消息时验证CAPIF特定API调用者ID、其存储的登录结果、API调用者的信任级别以及与API调用者所在的区域ID相对应的区域/网络/位置和授权令牌(其绑定到登录令牌和/或CAPIF API ID和/或CAPIF ID),如果验证成功,则CCF 21基于验证结果来检索服务API信息。
3.如果验证成功,CCF 21将服务API发现响应消息连同结果、服务API信息一起发送到API调用者20。基于对API调用者20和/或其API调用者区域的信任级别的验证或CCF 21处所存储的用户/API调用者/应用特定订阅信息,决定API调用者20的服务API级别的发现,并且相应地隐藏拓扑。
b.变型:如果API调用者20或装置共享其连接至网络所经由的接入点名称(APN),则CCF 21利用接收到的APN信息及其自身内存储的信任值来分析其对于特定API调用者的服务API请求可以具有的信任。为了支持这一点,CCF 21需要存储各种区域相关信息、与区域中的APN有关的信息、以及与各区域对应的信任值或与CCF 21/网络和各可信区域对应的信任值。
2.7用于API调用者从CAPIF核心功能(CCF)获得访问服务API的授权的安全过程
本节中的描述与TS 23.222[2]第8.11子条款中所述的过程相对应。
图9示意性地示出用于API调用者获得针对服务API访问的授权的典型安全过程。
调用令牌生成:
[表3]
变型:调用令牌否则被称为服务API调用令牌或服务API访问令牌或API调用者授权令牌或服务API授权令牌。无论在哪种情况下,将该令牌分配给API调用者都意味着API调用者20被授权并授予访问服务API的许可。
1.API调用者20通过包括API调用者信息(诸如CAPIF特定API调用者ID、从初始/CAPIF 1e/CAPIF 2e认证(例如,TLS)导出的授权令牌、认证/授权计数器、时间戳(或随机码)、所请求的服务类型/名称/API ID以及API调用者20的认证/授权所需的任何相关信息等)来向CAPIE核心功能21发送服务API授权请求消息,以获得访问服务API的许可。
a.变型:API调用者20还在服务API授权请求消息中包括用户或用户应用或API调用者特定订阅信息。
2.CAPIF核心功能21通过使用CCF 21所管理的CAPIF API调用者ID、授权令牌、认证/授权计数器验证所接收的CAPIF API调用者ID、授权令牌、认证/授权计数器来证实API调用者20(使用认证信息)的认证,并且这还防止资源耗尽。基于验证结果以及从API调用者20接收到的用户或用户应用或API调用者特定订阅信息,CCF 21检查本地存储的订阅信息,CCF 21决定API调用者20是否能够被授权访问所请求的服务类型/名称/API。
a.变型:在授权期间,在需要的情况下,CCF 21可能涉及与API调用者20的附加消息交换。
3.CCF 21在服务API授权响应消息中将用以访问服务API的授权信息连同以下项一起发送至API调用者20:用于随后与AEF 22间进行API调用者认证/授权的服务API调用令牌、用以在生命期或有效期后获得新的调用/访问令牌的刷新令牌、可接受/可应用服务API指示符和相关信息(服务API类型和/或ID/名称)、以及用以支持API调用者20和AEF 22之间的进一步相互认证的AEF授权令牌。
a.变型:AEF 22授权令牌由CCF 21使用秘密(例如,随机值)、AEF ID、CAPIF API调用者ID和任何服务API相关信息导出。
b.变型:获得服务API授权响应消息还包含调用/访问令牌的有效期。
c.变型:在有效期期满后,API调用者20使用递增的认证/授权计数器自行刷新调用/访问令牌。在认证或授权后的每次成功的服务API调用之后,API调用者20和CCF 21这两侧的相应计数器递增。
d.变型:API调用者20可以1)基于每个用户:通过发送用户ID或订阅ID或用户特定应用ID;2)基于每个API调用者20:通过发送装置ID或装置订阅ID或装置特定应用ID;以及/或者3)基于每个服务API级别:通过发送所请求的服务类型/名称/ID,来从CCF 21获得访问服务API的授权。
2.7.1用于API调用者基于每个用户/每个API调用者/每个服务API级别从CAPIF核心功能(CCF)获得访问服务API的授权的安全过程
变型1:针对每个用户的授权
API调用者20从CCF 21获得针对每个用户(特定于应用)/订户/人类用户订阅的授权,以从相关AEF 22请求对服务API的访问。
安全过程与第2.7节中所述的过程类似。
另外,API调用者20所发送的服务API授权请求消息还包含用户特定标识符/订户识别信息/订阅识别信息。连同第2.7节中所述的其它验证,CCF 21还验证接收到的用户特定标识符/订户识别信息/订阅识别信息,以提供诸如调用令牌和刷新令牌等的授权信息。如果验证成功,则CCF 21将诸如调用令牌和/或刷新令牌等的授权信息发送至API调用者20。
直到期满为止的授权信息由API调用者20使用,以在服务调用时用于与AEF 22间的一次或任意次数的认证。
变型2:针对每个API调用者20的授权
API调用者20可以对应于由多个用户而不是特定用户共享的UE或装置。安全过程与第2.6节中所述的过程类似。除此之外,API调用者20还通过在服务API授权请求消息中提供其CAPIF特定API调用者ID和/或在向特定CAPIF或CCF的成功登录之后接收到的登录令牌,来从CCF 21获得从AEF 22请求对服务API的访问的授权。
CCF 21相对其自身存储的信息验证CAPIF特定API调用者ID和/或从API调用者20接收到的登录令牌,以提供诸如调用令牌和刷新令牌等的授权信息。如果验证成功,则CCF21将诸如调用令牌和/或刷新令牌等的授权信息发送至API调用者20。
直到期满为止的授权信息由经授权的API调用者使用,以在相同或不同的服务(API)调用时用于与AEF 22间的一次或任意次数的认证。
一旦API调用者20获得来自CCF 21的授权,该特定API调用者20就无需针对与其AEF 22的任何进一步服务调用而进行利用同一CCF 21的授权。
变型3:针对每个服务API级别的授权
安全过程与第2.6节中所述的过程类似。除此之外,API调用者20还通过在服务API授权请求消息中提供其CAPIF特定API调用者ID、服务API ID(类型/名称/标识符)和/或在向特定CAPIF或CCF的成功登录之后接收到的登录令牌,来从CCF 21获得从相关AEF 22请求对服务API的访问的授权。
CCF 21相对其自身存储的信息验证CAPIF特定API调用者ID、服务API ID(类型/名称/标识符)和/或从API调用者20接收到的登录令牌,以提供诸如调用令牌和刷新令牌等的授权信息。CCF 21还验证API调用者20是否有资格接收针对所请求的服务API ID(类型/名称/标识符)的授权。如果验证成功,则CCF 21将诸如调用令牌和/或刷新令牌等的授权信息发送至API调用者20。
直到期满为止的授权信息由经授权的API调用者20使用,以在相同或相似的(服务API ID(类型/名称/标识符))服务调用时用于与AEF 22的一次或任意次数的认证。
对于每个不同的服务(类型/名称/标识符),如第2.6节中的安全过程中所述,API调用者20获得来自CAPIF核心功能(CCF)21的授权。
2.8用于在服务调用时在API调用者和API开放功能(AEF)之间进行认证的安全过程
本节中的描述与TS 23.222[2]第8.15子条款中所述的过程相对应。
图10示意性地示出用于在服务API调用时在API调用者20和AEF 22之间进行认证的典型安全过程。
1.API调用者20向API开放功能(AEF)22发送具有认证信息(诸如CAPIF API调用者ID、调用令牌*(如图11所示导出)、所需或所请求的服务API ID(服务类型/名称/ID)和相关信息等)的服务API调用请求消息。对于每一个新的调用,计算新的调用令牌*,以避免由于令牌重用而引起的安全漏洞。
a.变型:调用令牌*是使用调用/访问/授权令牌和/或导致API调用者20和CCF 21/AEF 22之间的认证/授权的密钥以及调用计数器值而导出的。调用令牌*可被称为服务API调用令牌*。
b.变型:API调用者20还在服务API调用请求消息中将其订阅相关信息发送至AEF22。
2.AEF 22在接收到服务API调用请求消息时,其进一步获得API调用者相关信息,诸如CAPIF API调用者ID、诸如调用/授权令牌或调用令牌*等的授权信息、所请求/所需/适用服务API相关识别(名称/类型/ID)信息、API调用者/API调用者的驻留区域的信任级别、以及来自CCF 21的用以在API调用者20和AEF 22之间进行相互认证的AEF授权令牌。
a.变型:AEF 22从CCF 21获得调用令牌或调用令牌*连同步骤2中所列出的其它参数以进行认证。
b.变型:调用令牌*在API调用者20侧、以及CCF 21侧或AEF 22侧中任一侧处导出。
3.AEF 22基于其从CCF 21获得的信息来对API调用者20进行身份验证和认证。另外,AEF 22验证CAPIF API调用者ID、调用令牌/调用令牌*和所请求的服务API指示符,以检查具有订阅的API调用者20是否可靠地访问所请求的服务API(类型/名称/ID)。
4.如果验证成功,则AEF 22发送服务API调用响应消息,其具有从CCF 21接收到的AEF授权令牌以及所接受的具有其ID的服务API和相关信息、所分配的服务API调用计数(基于订阅、API调用者/其区域的信任级别、相关CAPIF、系统负载、活动用户编号、持续时间等)。
5.API调用者20验证所接收到的AEF授权令牌,以验证AEF 22的可靠性/授权,如果验证成功,则API调用者20调用所接受的服务API。这确保了服务调用时的API调用者20和AEF 22之间的相互认证。
图11示意性地示出用于导出调用令牌*的典型过程。
变型:代替使用调用令牌*作为来自API调用者20的授权证明,授权证明可以是诸如调用密钥*或调用秘密*等的任何秘密。API调用者20、CCF 21或AEF 22分别使用诸如用于调用令牌*生成的令牌导出功能(TDS)、用于调用密钥*生成的密钥导出功能等的任何功能或用以分别生成调用秘密*生成的任何功能。
变型:调用令牌*或调用密钥*或调用秘密*可以使用任何服务API相关信息、从CCF21接收到的调用令牌/访问令牌、CAPIF API ID、CAPIF ID、特定于服务类型/ID/名称的调用计数来导出。在调用令牌*或调用密钥*或调用秘密*导出中使用所列出的参数的一个或多个的组合。
2.9用以检索服务API的安全过程
本节中的描述与TS 23.222[2]第8.5子条款中所述的过程相对应。
图12示意性地示出用以检索服务API的典型安全过程。
发布令牌的生成在第2.3节中描述。如本文献的第2.3节所述的在服务API发布过程期间由CCF 21提供的发布令牌用作APF 23从CCF 21检索服务API的授权信息。以下讨论了与TS 23.222第8.5条相对应的安全过程:
1.API发布功能23向CAPIF核心功能21发送服务API获取请求以及与CAPIF核心功能21在发布服务API时所提供的服务API发布的信息参考相对应的API发布者信息、发布令牌、服务API ID。
2.在接收到服务API获取请求时,CCF基于服务API ID来检索API信息,并且CAPIF核心功能21检查API发布功能23是否被授权检索所发布的服务API信息。如果检查成功,则通过API发布功能23从CAPIF核心功能21(API注册表)中检索相应的服务API信息。
3.CAPIF核心功能21向API发布功能23提供服务API获取响应,其包括服务API信息和CAPIF ID。
2.10用于CAPIF事件订阅的安全过程
本节中的描述与TS 23.222[2]第8.8.3子条款中所述的过程相对应。
在下图中,“订户实体”是指使用CAPIF核心功能21的服务的实体。这些“订户实体”包括诸如以下的实体:1)API调用者20、2)API开放功能22、3)API发布功能23以及4)API管理功能24。
图13示意性地示出用于CAPIF事件订阅的典型安全过程。
订阅令牌/密钥生成:
订阅令牌/密钥是使用以下一个或多个参数的任意组合而导出的:
由CCF 21在成功登录后提供的登录令牌(在API调用者20是订户实体的情况下)、订户ID(在其它订户实体的情况下)、订阅ID、订户实体ID、CAPIF事件ID、CAPIF ID、订阅码/密码、服务API类型/名称/ID、任何预共享密钥、使用API调用者20/订户实体与CCF 21之间的初始认证/授权而导出的任何密钥/令牌。
授权令牌生成
如果订户实体是API调用者20,则授权令牌在API调用者20的登录处理期间由CCF21导出并共享。用以导出API调用者20的授权令牌的方法在2.1节中描述。如果订户实体是如本节前面描述的任何其它类型,则授权令牌在成功的登记过程期间导出。
授权令牌是使用以下一个或多个参数的任意组合而导出的:
-在成功登录ID后CCF 21所提供的登录令牌(API调用者)、CAPIF特定API ID(API调用者)、订阅实体的订户ID、CAPIF事件ID、CAPIF ID、订阅码/密码、服务API类型/名称/ID、任何预共享密钥、使用API调用者20/订户实体与CCF 21之间的初始认证/授权而导出的任何密钥/令牌。
本节中的描述与TS 23.222[2]第8.8.3子条款中所述的过程相对应。
1.订阅实体将事件订阅请求连同订阅实体标识符、授权令牌、事件类型、服务APIID、服务API名称至CAPIF核心功能21,以接收事件的通知发送。
a.变型:订阅实体可以是API调用者20、API开放功能22、API发布功能23或API管理功能24。
b.变型:如果订阅实体是API调用者20,则订阅实体ID是CAPIF特定API调用者ID。
2.在接收到来自订阅实体的事件订阅请求时,CAPIF核心功能21检查事件订阅的相关授权。CCF 21证实授权令牌,如果证实/验证成功,则CC分配订阅标识符(ID)并生成订阅令牌。
3.如果授权成功,则CAPIF核心功能21存储诸如订阅ID和订阅令牌等的订阅信息。
4.CAPIF核心功能21发送指示成功操作的事件订阅响应连同订阅ID和订阅令牌。
2.11用于CAPIF事件取消订阅的安全过程
本节中的描述与TS 23.222[2]第8.8.5子条款中所述的过程相对应。
图14示意性地示出用于CAPIF事件取消订阅的典型安全过程。
安全过程:
1.订阅实体向CAPIF核心功能21发送事件取消订阅请求以及订户ID/订户实体ID、诸如订阅ID等的订阅信息、订户CAPIF事件ID、以及在成功订阅过程期间接收到的订阅令牌/密钥,如第2.10节中所述。
2.在接收到来自订阅实体的事件取消订阅请求时,CAPIF核心功能21通过验证订户ID、订阅信息来检查与订阅实体对应的事件订阅,并通过验证订阅令牌/密钥和CAPIF事件ID来进一步检查订阅实体是否被授权取消订阅CAPIF事件。
3.如果所有验证都成功,并且如果与订阅实体相对应的事件订阅信息可用且订阅实体被授权取消订阅CAPIF事件,则CAPIF核心功能21移除订阅信息。
4.CAPIF核心功能21相应地发送指示成功或失败操作的事件取消订阅响应。
2.12用于API调用者授权访问服务API的安全过程
本节中的描述与TS 23.222[2]第8.16子条款中所述的过程相对应。
图15示意性地示出用于API调用者授权访问服务API的典型过程。
1.API调用者20触发对AEF 22的服务API调用请求,包括CAPIF核心功能特定API调用者ID、CAPIF ID、调用令牌/调用令牌*以及要调用的所请求的服务API(类型/名称/ID)。调用令牌*将如第2.8节所述导出。由于API调用者20可以异步触发多个服务API调用,因此服务API调用请求还将包含随机码或时间戳参数,以防止重放和泛洪攻击。
2.在接收到服务API调用请求时,AEF 22从CAPIF核心功能(CCF)21检索API调用者服务API授权信息。CCF 21将基于诸如CAPIF核心功能特定API调用者ID、CAPIF ID、调用令牌/调用令牌*和可调用的适用服务API(类型/名称/ID)等的信息来向AEF 22提供API调用者的授权信息,诸如检查API调用者是否被授权调用该服务API。授权令牌用作授权信息。对于每个新的服务API调用请求,调用令牌*是从先前使用的调用令牌/调用令牌*、服务APIID及其相应的调用计数而导出的。
CCF 21处的调用令牌生成:调用令牌用作API调用者访问服务API的授权信息,并且它是基于在API调用者20和CCF 21之间或者AP调用者和AEF 22之间(例如,使用AEFPSK)的成功认证后导出的密钥、CAPIF ID、AEF ID、CCF特定API调用者ID、登录令牌和调用计数而生成的。
2a.如果AEF 22没有授权服务API调用所需的信息,则AEF 22获得诸如调用令牌/调用令牌*、CAPIF ID、AEF ID、CCF特定API调用者ID、登录令牌和调用计数等的授权信息。
3.AEF 22验证授权信息,并在授权成功的情况下执行所调用的服务API的服务逻辑。
4.API调用者接收作为服务API调用的结果的服务API调用响应。
2.13API调用者认证
在TS 33.122第5.2.2.3条的方法3(基于令牌的授权)中,在CAPIF核心功能21成功地访问令牌授权请求验证后,CAPIF核心功能21将使用登录令牌以及在先前的成功CAPIF-1e认证期间共享的任何密钥来生成API调用者20的访问令牌。
总结
有益地,上述的典型实施例包括但不限于[2]和[3]中的当前3GPP规范未解决的功能的以下一个或多个详情:
1)任何CAPIF或CAPIF核心功能(CCF)21针对API调用者20在成功登录后提供的CAPIF特定API调用者ID绑定到API调用者20以及发出CAPIF API调用者ID的特定CAPIF/CCF。这防止API调用者20未登录的其它CAPIF/CCF再使用CAPIF API调用者ID。该ID可被另外称为CCF特定API调用者ID。
2)CAPIF ID用于唯一地识别CAPIF框架中的CAPIF核心功能21。CAPIF ID绑定至/特定于或者没有绑定至/特定于诸如集中式、分布式和级联等的部署场景。但是CAPIF ID特定于作为逻辑实体的CAPIF核心功能21。
3)信任区域级别指示/指示符指示API调用者20驻留的区域或者API调用者连接至网络所经由的API调用者的接入点或无线电或接入网络元件。CCF 21基于其从API调用者20接收到的区域ID/APN/接入网络信息或者其对于其可支持通信和服务的各种网络区域所维持的信任级别信息来决定API调用者的驻留区域的信任级别。每个CCF 21对于其可以支持服务/通信的每个网络/位置/区域维持特定的信任级别。
4)API调用者的信任级别相关指示符与第3点中所指定的参数不同。该信任级别指示符参数特定于任何API调用者20对于CCF 21/CAPIF网络/AEF 22及其服务API的行为。该参数由CCF 21/AEF 22基于API调用者20的过去行为来分配。
5)区域ID及其信任级别相关指示符:移动网络运营商将其网络细分为信任区域。各信任区域具有唯一的区域ID。与驻留在特定区域中的另一实体进行通信的任何网络实体具有基于其策略或服务级别历史针对该区域ID分配的信任级别。特定区域的区域ID及其信任级别在其与其它不同网络的关系中存在差异或不存在差异。
6)登录生命期限于API调用者20可被信任在其整个生命期内采取真实行动的时期。此外,当前系统讨论登出,因此登录可选地可以不是API调用者20的整个生命期的一次性登记处理。登录生命期绑定到订阅,并且API调用者类型和API调用者20的信任级别也基于网络中的CAPIF策略。
7)登录令牌:在API调用者20向CCF 21的成功登录之后由CCF 21分配或生成并发送至API调用者20/由API调用者20接收到的秘密授权值或令牌,其将登录绑定到在APF调用者、CCF 21和AEF 22之间发生的所有后续过程。它在整个登录生命期内都是有效的。
8)授权令牌:API调用者20在向CCF 21的成功登录之后接收到的一次性/延长使用秘密授权值。它在API调用者20、CCF 21或AEF 22之间使用以用于授权。
a.变型:任何订阅实体在成功登记以进行诸如订阅某些事件、发现服务API等的操作之后从CCF 21接收到的一次性/延长使用秘密授权值。订阅实体可以是API调用者20、API开放功能22、API发布功能23或API管理功能24。授权令牌可以从登录令牌以及本文献的第2.1节中所述的其它参数中导出。
9)建议CAPIF发起的API登出,以防止API调用者20发现或监视的任何非预期恶意活动。[2]中的规范仅具有API调用者20发起的登出处理,其不具有用以控制恶意API调用者的机制。
10)发布令牌绑定到机密、API提供商、APF 23、CCF 21、服务API相关信息以及CAPIF中的经认证的APF 23和CCF 21之间所使用的发布码,以防止恶意API发布者发布恶意服务。
a.APF 23使用发布令牌作为授权信息来触发取消发布服务API请求。
b.APF 23使用发布令牌作为授权信息来触发更新服务API请求。
c.APF 23使用发布令牌作为授权信息来触发检索服务API请求。
11)发布期是被分配用于发布所请求的服务API的时期。这支持CCF 21处的高效资源利用率以及CAPIF处的更好服务API管理。在发布期期满后,CCF 21取消发布由CCF 21中的任何APF 23先前发布的服务API。
12)服务API的发现级别和拓扑隐藏基于API调用者20和/或其当前驻留的网络区域的信任级别或者API调用者20连接到网络所经由的APN的信任级别。
13)AEF授权令牌由CCF 21使用秘密(随机)、AEF ID、CAPIF API调用者ID和任何服务API相关信息导出,并且在成功认证/授权时,CCF与API调用者20和AEF 22共享AEF授权令牌,此后,该AEF授权令牌可由AEF 22共享给API调用者20以在服务调用期间授权其自身/进行相互认证。AEF授权令牌是静态的或动态的。
调用令牌/访问令牌:每当API调用者20尝试向AEF 22请求服务调用时,它就会照原样发送在认证后从CCF 21接收到的调用令牌,或者它被用来导出调用令牌*连同所讨论的其它参数,诸如导致API调用者20和CCF 21/AEF 22之间的认证/授权的密钥、调用计数器值和服务API相关信息等。
a.调用令牌*/访问令牌*用作API调用者20在服务API调用时在API调用者20和AEF22之间进行认证的授权证明。其还用于确保令牌新鲜度,以防止重放攻击。用以请求服务API调用的调用令牌/访问令牌的单次使用将提高安全级别。它不涉及如当前技术状态中的附加消息交换,其中基于刷新令牌的访问令牌请求/响应过程需要消息的额外往返。
b.变型:API调用者20使用刷新令牌来从CCF 21或AEF 22获取新授权证明,以用于调用令牌*生成。
c.变型:CCF 21或AEF 22提供的刷新令牌用作授权刷新通知令牌,并且API调用者20将其连同调用令牌*一起提供回CCF 21或AEF 22。
d.变型:代替使用调用令牌*作为授权证明,API调用者20使用调用密钥*或调用秘密*来在服务API调用时在API调用者20和AEF 22之间进行认证。
15)安全级别指示符:APF 23通知给CCF 21的安全级别指示符包含与发布的服务API的安全性相关的任何信息(功能/加密算法/访问级别和操作许可/所需的最低安全性/调用者类型/API调用者20的信任级别/API驻留区域的信任级别)以及访问该信息所需的条件。
16)CAPIF事件ID:CCF 21所进行的诸如服务API的可用性、服务API更新、监视服务API调用、API调用者登录、系统相关事件、性能相关事件等的任何CAPIF事件管理具有唯一的CAPIF事件标识符(CAPIF事件ID)。订户实体或API调用者20或CCF 21使用CAPIF事件ID来唯一地识别CAPIF事件。
17)订阅令牌/密钥:订阅令牌/密钥由订户实体生成并用作认证或授权信息,以请求在CCF 21处订阅和取消订阅事件。CCF 21生成与请求事件的订阅的订户实体相对应的订阅令牌/密钥,以验证订户实体请求订阅事件的授权。订阅令牌/密钥是使用诸如以下的一个或多个参数的任意组合而导出的:在成功登录后CCF 21提供的登录令牌、注册ID、订户ID、订户实体ID、CAPIF事件ID、CAPIF ID、订阅码/密码、服务API类型/名称/ID、任何预共享秘密、使用API调用者20/订户实体和CCF 21之间的初始认证/授权而导出的任何密钥/令牌。
a.订阅令牌/密钥用作订阅实体的授权信息,以向CCF 21触发与CAPIF事件有关的取消订阅请求。
可以看出,在以上实施例中:
1)在API调用者20的成功登录之后,CCF 21向API调用者20提供登录令牌。该登录令牌用于导出用于CAPIF安全过程的任何认证或授权信息。
2)用于CAPIF过程的任何授权令牌绑定到认证结果、通信方的标识符、秘密值、计数器和服务API相关信息。
3)登录结果绑定到API调用者20与CCF 21(及其它实体)之间通过登录令牌或根据该登录令牌导出的授权令牌而执行的所有CAPIF安全过程。
4)拓扑隐藏和服务API发现的级别考虑了请求API调用者20或驻留区域和/或其网络的信任级别。
5)刷新服务API调用令牌,而无需附加的消息交换。
6)API调用者20对CCF 21的登录存在生命期。
7)API发布功能23/API提供者所进行的服务API的发布、取消发布、更新和检索由CCF/CAPIF使用该CCF/CAPIF提供给APF 23的发布令牌来授权。
8)CCF 21通过验证订户实体所提供的诸如授权令牌/密钥等的认证或授权信息来检查CAPIF事件的订阅请求。授权令牌在订阅实体向CCF 21注册期间提供给订阅实体。
9)订阅令牌由CCF 21在成功的订阅过程之后发布给订阅实体。订阅实体使用该订阅令牌来从CCF 21或CAPIF取消订阅。
益处
建议的典型实施例提供了多个益处,包括:
当前系统没有足够的安全过程来处理CAPIF安全问题。
当前技术状态下的访问令牌刷新需要附加的消息交换。
系统概述
图16示意性地示出以上实施例适用于的移动(蜂窝或无线)电信系统1。
在该网络中,移动装置3(UE)的用户可以使用适当的3GPP无线电接入技术(RAT)(例如,E-UTRA和/或5G RAT)、经由相应的基站5和核心网络7来与彼此以及其他用户进行通信。应当理解,多个基站5形成(无线电)接入网络或(R)AN。本领域技术人员将理解,虽然为了例示目的而在图16中示出一个移动装置3和一个基站5,但是系统在实现时,通常将包括其它基站和移动装置(UE)。
各基站5控制一个或多个相关小区(直接地或经由诸如家庭基站、中继器和/或远程无线电头等的其它节点)。支持E-UTRA/4G协议的基站5可被称为“eNB”,并且支持下一代/5G协议的基站5可被称为“gNB”。应当理解,一些基站5可被配置为支持4G和5G这两者和/或任何其它3GPP或非3GPP通信协议。
移动装置3及其服务基站5经由适当的空中接口(例如所谓的“Uu”接口等)而连接。相邻基站5经由适当的基站到基站接口(诸如所谓的“X2”接口和/或“Xn”接口等)而彼此连接。基站5还经由适当的接口(诸如所谓的“S1”、“N1”、“N2”和/或“N3”接口等)而连接到核心网络节点。
核心网络7通常包括用于支持电信系统1中的通信的逻辑节点(或“功能”)。通常,例如,“下一代”/5G系统的核心网络7将包括控制面功能(CPF)8和用户面功能(UPF)9等。从核心网络7(例如经由一个或多个网关)还提供了到外部IP网络10(诸如因特网等)的连接。
CAPIF托管在运营商网络内。因此,系统1的节点被配置为在适当的情况下提供CAPIF功能。例如,一个或多个节点(例如,一个或多个CPF 8)可被配置为作为CAPIF核心功能21、API开放功能22、API管理功能24、API发布功能23、令牌导出功能(TDF)和/或订户实体等而操作。
API调用者20通常由与运营商具有服务协议的第三方应用提供商提供。API调用者20可以驻留在与运营商网络相同的信任域内,或者驻留在运营商网络的信任域外。
用户设备(UE)
图17是示出图16所示的UE(移动装置3)的主要组件的框图。如图所示,UE包括可操作地经由一个或多个天线33向连接的节点发送信号以及从连接的节点接收信号的收发器电路31。尽管在图17中不一定示出,但UE当然将具有传统移动装置的所有常见功能(诸如用户接口35等),并且该功能可以适当地通过硬件、软件和固件中的任一个或任何组合来提供。控制器37根据存储器39中所存储的软件来控制UE的操作。例如,软件可以预先安装在存储器39中,以及/或者可以经由电信网络1或从可移除数据存储装置(RMD)中下载。软件包括操作系统41和通信控制模块43等。通信控制模块43负责处理(生成/发送/接收)UE 3与包括(R)AN节点5和核心网络节点的其它节点之间的信令消息和上行链路/下行链路数据分组。
(R)AN节点
图18是示出图16所示的典型(R)AN节点5(基站)的主要组件的框图。如图所示,(R)AN节点5包括可操作地经由一个或多个天线53向连接的UE 3发送信号以及从连接的UE 3接收信号、并且可操作地经由网络接口55(直接地或间接地)向其它网络节点发送信号以及从其它网络节点接收信号的收发器电路51。网络接口55通常包括适当的基站-基站接口(诸如X2/Xn等)和适当的基站-核心网络接口(诸如S1/N1/N2/N3等)。控制器57根据存储器59中所存储的软件来控制(R)AN节点5的操作。例如,软件可以预先安装在存储器59中,以及/或者可以经由电信网络1或从可移除数据存储装置(RMD)中下载。软件包括操作系统61和通信控制模块63等。通信控制模块63负责处理(生成/发送/接收)(R)AN节点5与诸如UE 3和核心网络节点等的其它节点之间的信令。通信控制模块63还负责执行API相关安全过程。
核心网络节点
图19是示出通用核心网络节点(或功能)(例如,图16所示的CPF 8或UPF 9(或API调用者20))的主要组件的框图。如图所示,核心网络节点包括可操作地经由网络接口75向其它节点(包括UE3和(R)AN节点5)发送信号以及从其它节点接收信号的收发器电路71。控制器77根据存储器79中所存储的软件来控制核心网络节点的操作。例如,软件可以预先安装在存储器79中,以及/或者可以经由电信网络1或从可移除数据存储装置(RMD)中下载。软件包括操作系统81和通信控制模块83等。通信控制模块83负责处理(生成/发送/接收)核心网络节点与诸如UE3、(R)AN节点5和其它核心网络节点等的其它节点之间的信令。这种信令包括与API相关安全过程相关的适当格式化的请求和响应。
修改和替代
以上描述了具体实施方式。如本领域技术人员将理解的,可以对上述典型实施例进行多种修改和替代,同时仍受益于其中实现的发明。现将仅通过图示的方式来描述许多这样的替代和修改。
在以上描述中,为了便于理解而将UE、(R)AN节点和核心网络节点(包括API调用者)描述为具有多个分立模块(诸如通信控制模块等)。虽然例如在已经修改了现有系统以实施本发明的情况下,针对某些应用可以以这种方式提供这些模块,但在其它应用中,例如在从一开始就考虑到本发明的特征而设计的系统中,可以将这些模块内置到整个操作系统或代码中,并且因此这些模块可能无法作为分立实体来辨别。这些模块可以以软件、硬件、固件或其组合的形式实现。
各控制器可以包括任何合适形式的处理电路,包括(但不限于)例如:一个或多个硬件实现的计算机处理器;微处理器;中央处理单元(CPU);算术逻辑单元(ALU);输入/输出(IO)电路;内部存储器/缓存器(程序和/或数据);处理寄存器;通信总线(例如,控制总线、数据总线和/或地址总线);直接存储器存取(DMA)功能;硬件或软件实现的计数器;以及/或者指针和/或计时器等。
在上文的实施例中,描述了多个软件模块。如本领域技术人员将理解的,软件模块能够以编译或未编译的形式提供,并且可以作为信号通过计算机网络提供给UE、(R)AN节点和核心网络节点或者在记录介质上。此外,可以使用一个或多个专用硬件电路来进行通过该软件的部分或全部进行的功能。然而,软件模块的使用是优选的,因为它便于更新UE、(R)AN节点和核心网络节点以更新其功能。
以上实施例也可适用于“非移动”或一般是静止的用户设备。
各种其它修改对于本领域技术人员将是明显的,并且将不在这里进一步详细描述。
以上示例性方面中所述的程序存储在存储装置中或者记录在计算机可读记录介质上。例如,记录介质是诸如柔性盘、光盘、磁光盘和半导体存储器等的便携式介质。
尽管以上参考示例性方面描述了本发明,但是本发明不限于上述的示例性方面。本发明的结构和详情可以以本领域技术人员在本发明的范围内可以理解的各种方式进行改变。
本申请基于并且要求2018年4月6日提交的印度专利申请201811013212的优先权,其公开内容通过引用而全文并入于此。
引用列表
[1]3GPP TR 23.722 V1.0.0(2017-09),Study on Common API Framework for3GPP Northbound APIs(Release 15).
[2]3GPP TS 23.222 V15.0.0(2018-01),Common API Framework for 3GPPNorthbound APIs;Stage 2(Release 15).
[3]3GPP TS 33.122 V0.1.0(2018-01)Security Aspects of Common APIFramework for 3GPP Northbound APIs.(available as S3-180401)
[4]RFC 6749:OAuth 2.0Authorization Framework.
[5]RFC 6750:OAuth 2.0Authorization Framework Bearer Token Usage.
[6]3GPP S6-171534,"Issues of functionalities in the CAPIF TS 23.222",Nov 2017,NEC
[7]3GPP S6-171538,"Pseudo-CR on missing functionalities in CAPIF-offboarding",Nov 2017,NEC
缩写和术语
3GPP 第三代合作伙伴计划
5G 第5代
AEF API开放功能
AMF API管理功能
APF API发布功能
API 应用编程接口
CAPIF 通用API框架
CCF CAPIF核心功能
DoS 拒绝服务
LTE 长期演进
NEF 网络开放功能
PLMN 公共陆地移动网络
TDF 令牌导出功能
SA2 3GPP SA WG 2
SA3 3GPP SA WG 3
SA6 3GPP SA WG 6
SCEF 服务能力开放功能
SDO 标准开发组织
SLA 服务级别协议
TR 技术报告
TS 技术规范
WI 工作项
Claims (22)
1.一种API调用者,包括:
发送部件,用于在使用TLS与CAPIF核心功能进行认证之后向所述CAPIF核心功能发送登录API调用者请求消息;以及
接收部件,用于从所述CAPIF核心功能接收登录API调用者响应消息,所述登录API调用者响应消息包括由所述CAPIF核心功能分配的CAPIF核心功能相关API调用者ID和绑定到CCF特定API调用者ID的登录秘密信息,其中所述登录秘密信息在登录生命期期间维持恒定。
2.根据权利要求1所述的API调用者,还包括:建立部件,用于与所述CAPIF核心功能建立TLS会话。
3.根据权利要求1或2所述的API调用者,其中:
所述发送部件在所述认证之后向所述CAPIF核心功能发送用于获得访问服务API的许可的第二请求消息;以及
所述接收部件从所述CAPIF核心功能接收第二响应消息,所述第二响应消息包括特定于所述API调用者的访问令牌。
4.根据权利要求3所述的API调用者,其中,所述第二请求消息包括所述CAPIF核心功能相关API调用者ID和登录秘密信息。
5.根据权利要求1或2所述的API调用者,其中:
所述发送部件在使用TLS的认证之后向所述CAPIF核心功能发送登出API调用者请求消息,所述登出API调用者请求消息包括所述CAPIF核心功能相关API调用者ID;以及
响应于所述CAPIF核心功能相关API调用者ID的成功验证,所述接收部件从所述CAPIF核心功能接收登出API调用者响应消息,所述登出API调用者响应消息指示所述API调用者的成功登出。
6.一种包括CAPIF核心功能的设备,包括:
接收部件,用于在使用TLS与API调用者进行认证之后从所述API调用者接收登录API调用者请求消息;以及
发送部件,用于响应于所述登录API调用者请求消息而向所述API调用者发送登录API调用者响应消息,所述登录API调用者响应消息包括由所述CAPIF核心功能分配的CAPIF核心功能相关API调用者ID和绑定到CCF特定API调用者ID的登录秘密信息,其中所述登录秘密信息在登录生命期期间维持恒定。
7.根据权利要求6所述的设备,还包括:建立部件,用于与所述API调用者建立TLS会话。
8.根据权利要求6或7所述的设备,其中:
所述接收部件在所述认证之后从API调用者接收用于获得访问服务API的许可的第二请求消息,以及
还包括生成部件,用于:
生成特定于所述API调用者的访问令牌;以及
其中,所述发送部件向所述API调用者发送第二响应消息,所述第二响应消息包括所述访问令牌。
9.根据权利要求8所述的设备,其中,所述第二请求消息包括所述CAPIF核心功能相关API调用者ID和登录秘密信息。
10.根据权利要求6或7所述的设备,其中:
所述接收部件在使用TLS的所述认证之后从API调用者接收登出API调用者请求消息,所述登出API调用者请求消息包括所述CAPIF核心功能相关API调用者ID,以及
还包括:
验证部件,用于验证所述CAPIF核心功能相关API调用者ID;
取消部件,用于取消所述API调用者的登记;以及
删除部件,用于删除所述API调用者的授权信息,以及
其中,所述发送部件响应于所述CAPIF核心功能相关API调用者ID的成功验证而向所述API调用者发送登出API调用者响应消息,所述登出API调用者响应消息指示成功登出。
11.根据权利要求10所述的设备,还包括:保持部件,用于根据运营商策略来保持所述API调用者的信息。
12.一种API调用者中的信息处理方法,包括:
在使用TLS与CAPIF核心功能进行认证之后向所述CAPIF核心功能发送登录API调用者请求消息;以及
从所述CAPIF核心功能接收登录API调用者响应消息,所述登录API调用者响应消息包括由所述CAPIF核心功能分配的CAPIF核心功能相关API调用者ID和绑定到CCF特定API调用者ID的登录秘密信息,其中所述登录秘密信息在登录生命期期间维持恒定。
13.根据权利要求12所述的信息处理方法,包括:与所述CAPIF核心功能建立TLS会话。
14.根据权利要求12或13所述的信息处理方法,包括:
在所述认证之后向所述CAPIF核心功能发送用于获得访问服务API的许可的第二请求消息;以及
从所述CAPIF核心功能接收第二响应消息,所述第二响应消息包括特定于所述API调用者的访问令牌。
15.根据权利要求14所述的信息处理方法,其中,所述第二请求消息包括所述CAPIF核心功能相关API调用者ID和登录秘密信息。
16.根据权利要求12或13所述的信息处理方法,包括:
在使用TLS的所述认证之后向所述CAPIF核心功能发送登出API调用者请求消息,所述登出API调用者请求消息包括所述CAPIF核心功能相关API调用者ID;以及
响应于所述CAPIF核心功能相关API调用者ID的成功验证而从所述CAPIF核心功能接收登出API调用者响应消息,所述登出API调用者响应消息指示所述API调用者的成功登出。
17.一种包括CAPIF核心功能的设备中的信息处理方法,包括:
在使用TLS与API调用者进行认证之后从所述API调用者接收登录API调用者请求消息;以及
响应于所述登录API调用者请求消息而向所述API调用者发送登录API调用者响应消息,所述登录API调用者响应消息包括由所述CAPIF核心功能分配的CAPIF核心功能相关API调用者ID和绑定到CCF特定API调用者ID的登录秘密信息,其中所述登录秘密信息在登录生命期期间维持恒定。
18.根据权利要求17所述的信息处理方法,包括:与所述API调用者建立TLS会话。
19.根据权利要求17或18所述的信息处理方法,包括:
在所述认证之后从API调用者接收用于获得访问服务API的许可的第二请求消息;以及
生成特定于所述API调用者的访问令牌;以及
向所述API调用者发送第二响应消息,所述第二响应消息包括所述访问令牌。
20.根据权利要求19所述的信息处理方法,其中,所述第二请求消息包括所述CAPIF核心功能相关API调用者ID和登录秘密信息。
21.根据权利要求17或18所述的信息处理方法,包括:
在使用TLS的所述认证之后从API调用者接收登出API调用者请求消息,所述登出API调用者请求消息包括所述CAPIF核心功能相关API调用者ID;
验证所述CAPIF核心功能相关API调用者ID;
取消所述API调用者的登记;
删除所述API调用者的授权信息;以及
响应于所述CAPIF核心功能相关API调用者ID的成功验证而向所述API调用者发送登出API调用者响应消息,所述登出API调用者响应消息指示成功登出。
22.根据权利要求21所述的信息处理方法,包括:根据运营商策略来保持所述API调用者的信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310844706.5A CN117082511A (zh) | 2018-04-06 | 2019-04-03 | Api调用者装置及其方法和ccf节点及其方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201811013212 | 2018-04-06 | ||
| IN201811013212 | 2018-04-06 | ||
| PCT/JP2019/014864 WO2019194242A1 (en) | 2018-04-06 | 2019-04-03 | Security procedures for common api framework in next generation networks |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310844706.5A Division CN117082511A (zh) | 2018-04-06 | 2019-04-03 | Api调用者装置及其方法和ccf节点及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112352409A CN112352409A (zh) | 2021-02-09 |
| CN112352409B true CN112352409B (zh) | 2023-06-27 |
Family
ID=66334518
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310844706.5A Pending CN117082511A (zh) | 2018-04-06 | 2019-04-03 | Api调用者装置及其方法和ccf节点及其方法 |
| CN201980024249.7A Active CN112352409B (zh) | 2018-04-06 | 2019-04-03 | 下一代网络中的通用api框架所用的安全过程 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310844706.5A Pending CN117082511A (zh) | 2018-04-06 | 2019-04-03 | Api调用者装置及其方法和ccf节点及其方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210144550A1 (zh) |
| EP (1) | EP3777084B1 (zh) |
| JP (1) | JP7040632B2 (zh) |
| CN (2) | CN117082511A (zh) |
| WO (1) | WO2019194242A1 (zh) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3753234A4 (en) | 2018-04-06 | 2021-04-14 | Samsung Electronics Co., Ltd. | PROCESS AND DEVICE FOR CARRYING OUT BOARDING |
| CN114880657A (zh) * | 2018-04-08 | 2022-08-09 | 华为技术有限公司 | 一种api拓扑隐藏方法、设备及系统 |
| CN110362412A (zh) * | 2018-04-09 | 2019-10-22 | 华为技术有限公司 | 一种服务api调用方法和相关装置 |
| US11303731B2 (en) * | 2019-02-16 | 2022-04-12 | Samsung Electronics Co., Ltd. | Method and apparatus for registering API provider domain function entities on CAPIF core function entity |
| US11140165B2 (en) * | 2019-07-22 | 2021-10-05 | Bank Of America Corporation | System for selective mapping of distributed resources across network edge framework for authorized user access |
| WO2021160307A1 (en) * | 2020-02-14 | 2021-08-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and network entity for service api publishing |
| WO2021184216A1 (zh) * | 2020-03-17 | 2021-09-23 | Oppo广东移动通信有限公司 | 物联网通信方法及装置 |
| CN115380570B (zh) * | 2020-03-29 | 2023-12-08 | 华为技术有限公司 | 一种通信方法、装置及系统 |
| WO2021224545A1 (en) * | 2020-05-05 | 2021-11-11 | Nokia Technologies Oy | Enhanced registration in communication networks |
| US11706260B2 (en) * | 2020-08-21 | 2023-07-18 | Oracle International Corporation | Security zone policy enforcement in a cloud infrastructure system |
| US20220086189A1 (en) * | 2020-09-16 | 2022-03-17 | Salesforce.Com, Inc. | Network security orchestration and management across different clouds |
| JP2023546785A (ja) * | 2020-09-30 | 2023-11-08 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | アプリケーションプログラミングインタフェース管理のための方法及び装置 |
| CN114915430B (zh) * | 2021-01-28 | 2024-07-12 | 中国移动通信有限公司研究院 | 实现动态能力开放的方法、装置、通信设备及存储介质 |
| KR20230158656A (ko) * | 2021-03-23 | 2023-11-21 | 삼성전자주식회사 | 타겟 애플리케이션 프로그램 인터페이스를 탐색하기 위한 방법 및 시스템 |
| KR20230009656A (ko) * | 2021-07-09 | 2023-01-17 | 삼성전자주식회사 | 단말에 대한 네트워크 기능 개방 서비스 지원 방법 및 장치 |
| US20230015697A1 (en) * | 2021-07-13 | 2023-01-19 | Citrix Systems, Inc. | Application programming interface (api) authorization |
| WO2023021583A1 (ja) * | 2021-08-17 | 2023-02-23 | 株式会社Nttドコモ | ネットワークノード及び通信方法 |
| WO2023084606A1 (ja) * | 2021-11-09 | 2023-05-19 | 株式会社Nttドコモ | ネットワークノード、リソースオーナー装置、システム、及び通信方法 |
| CN118614097A (zh) * | 2022-01-28 | 2024-09-06 | 联想(新加坡)私人有限公司 | 资源所有者同意信息管理 |
| US11882057B2 (en) | 2022-03-28 | 2024-01-23 | Bank Of America Corporation | Pluggable cloud security system |
| WO2023186580A1 (en) * | 2022-03-29 | 2023-10-05 | Sony Group Corporation | Methods for enabling a first wireless device to determine a relative position between a plurality of second wireless devices, a related wireless device and related network nodes |
| WO2023213988A1 (en) * | 2022-05-06 | 2023-11-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Application programming interface access in a communication network |
| CN114584328B (zh) * | 2022-05-09 | 2022-08-02 | 武汉四通信息服务有限公司 | Api接口的访问方法、计算机设备及计算机存储介质 |
| CN115277046B (zh) * | 2022-05-24 | 2024-01-30 | 中国电信股份有限公司 | 5g能力开放安全控制方法、装置、设备及存储介质 |
| CN117882052A (zh) * | 2022-08-12 | 2024-04-12 | 北京小米移动软件有限公司 | 授权撤销方法及装置、存储介质 |
| CN117641358A (zh) * | 2022-08-12 | 2024-03-01 | 华为技术有限公司 | 通信方法和通信装置 |
| CN117882335A (zh) * | 2022-08-12 | 2024-04-12 | 北京小米移动软件有限公司 | 应用程序接口api调用方法及装置 |
| WO2024031731A1 (zh) * | 2022-08-12 | 2024-02-15 | 北京小米移动软件有限公司 | 应用程序接口api调用方法及装置、存储介质 |
| WO2024031722A1 (zh) * | 2022-08-12 | 2024-02-15 | 北京小米移动软件有限公司 | 北向应用程序接口api调用方法及装置 |
| CN118120176A (zh) * | 2022-09-29 | 2024-05-31 | 北京小米移动软件有限公司 | 一种api的调用方法、装置、设备及存储介质 |
| CN118120188A (zh) * | 2022-09-29 | 2024-05-31 | 北京小米移动软件有限公司 | 授权撤销方法及装置 |
| WO2024100055A1 (en) * | 2022-11-07 | 2024-05-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Application programming interface access in a communication network |
| WO2024164345A1 (zh) * | 2023-02-10 | 2024-08-15 | 北京小米移动软件有限公司 | 信息处理方法、系统及装置、通信设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6668322B1 (en) * | 1999-08-05 | 2003-12-23 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
| CN104255007A (zh) * | 2011-09-29 | 2014-12-31 | 甲骨文国际公司 | Oauth框架 |
| CN107438996A (zh) * | 2015-03-31 | 2017-12-05 | 日本电气株式会社 | 用于接收通信参数集的通信系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010129475A2 (en) * | 2009-05-03 | 2010-11-11 | Kabushiki Kaisha Toshiba | Media independent handover protocol security |
| US9282457B2 (en) | 2013-02-05 | 2016-03-08 | Mediatek Inc. | Method of sharing credential and wireless communication system thereof |
| EP3180934B1 (en) * | 2014-08-15 | 2018-10-31 | Telefonaktiebolaget LM Ericsson (publ) | Methods and nodes for mapping subscription to service user identity |
| US10412068B2 (en) * | 2015-12-07 | 2019-09-10 | Salesforce.Com, Inc. | API authentication |
-
2019
- 2019-04-03 CN CN202310844706.5A patent/CN117082511A/zh active Pending
- 2019-04-03 US US17/044,383 patent/US20210144550A1/en active Pending
- 2019-04-03 CN CN201980024249.7A patent/CN112352409B/zh active Active
- 2019-04-03 WO PCT/JP2019/014864 patent/WO2019194242A1/en active Application Filing
- 2019-04-03 EP EP19720701.2A patent/EP3777084B1/en active Active
- 2019-04-03 JP JP2020551438A patent/JP7040632B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6668322B1 (en) * | 1999-08-05 | 2003-12-23 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
| CN104255007A (zh) * | 2011-09-29 | 2014-12-31 | 甲骨文国际公司 | Oauth框架 |
| CN107438996A (zh) * | 2015-03-31 | 2017-12-05 | 日本电气株式会社 | 用于接收通信参数集的通信系统 |
Non-Patent Citations (7)
| Title |
|---|
| "S6-170931-Solution for API invoker authorization for service API access-HW";Huawei,Hisilicon,CMCC;《3GPP tsg_sa\WG6_MissionCritical》;20170711;第1-5页 * |
| "S6-171534_disc_functionalities_in_CAPIF_TS_v010";NEC;《3GPP tsg_sa\WG6_MissionCritical》;20171120;第1-9页 * |
| "S6-171535_pCR_CAPIF_authentication";NEC;《3GPP tsg_sa\WG6_MissionCritical》;20171120;第1-15页 * |
| "S6-171538_pCR_CAPIF_offboarding";NEC;《3GPP tsg_sa\WG6_MissionCritical》;20171120;第1-4页 * |
| "S6-180039-Procedures-information-flows-23222-f00";LG;《3GPP tsg_sa\WG6_MissionCritical》;20180115;第1-9页 * |
| "S6a170308 pCR on API invoker authentication";Motorola Solutions;《3GPP tsg_sa\WG6_MissionCritical》;20170912;第1-7页 * |
| NEC."S6-171535_pCR_CAPIF_authentication".《3GPP tsg_sa\WG6_MissionCritical》.2017, * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3777084A1 (en) | 2021-02-17 |
| CN117082511A (zh) | 2023-11-17 |
| EP3777084B1 (en) | 2024-07-10 |
| JP7040632B2 (ja) | 2022-03-23 |
| US20210144550A1 (en) | 2021-05-13 |
| JP2021516515A (ja) | 2021-07-01 |
| WO2019194242A1 (en) | 2019-10-10 |
| CN112352409A (zh) | 2021-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112352409B (zh) | 下一代网络中的通用api框架所用的安全过程 | |
| EP3752941B1 (en) | Security management for service authorization in communication systems with service-based architecture | |
| US10645583B2 (en) | Security management for roaming service authorization in communication systems with service-based architecture | |
| KR101287309B1 (ko) | 홈 노드-b 장치 및 보안 프로토콜 | |
| EP2534810B1 (en) | Method and apparatus for trusted federated identity | |
| US20190156019A1 (en) | Secure authentication of devices for internet of things | |
| KR101038064B1 (ko) | 애플리케이션 인증 | |
| JP7047921B2 (ja) | 通信装置、第1のネットワーク装置、通信装置の方法、及び第1のネットワーク装置の方法 | |
| US11895487B2 (en) | Method for determining a key for securing communication between a user apparatus and an application server | |
| CN109691058A (zh) | 使用秘密标识符的与用户设备有关的操作 | |
| JP2024507208A (ja) | セルラネットワークを動作させるための方法 | |
| JP2022043175A (ja) | コアネットワークへの非3gpp装置アクセス | |
| JP2017139026A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
| JP2015111440A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
| WO2022183427A1 (en) | Method, device, and system for protecting sequence number in wireless network | |
| EP4322479A1 (en) | Method, apparatus and system relating to a response to an request for an application key | |
| RU2779029C1 (ru) | Доступ не отвечающего спецификациям 3gpp устройства к базовой сети | |
| WO2022236543A1 (en) | Systems and methods for authorization of proximity based services | |
| CN117998362A (zh) | 通信方法和通信装置 | |
| WO2023217685A1 (en) | A method of joining a communication network | |
| CN117678255A (zh) | 边缘启用器客户端标识认证过程 | |
| CN116847350A (zh) | 一种d2d通信方法、终端及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |