CN112438041B - 用于执行接入的方法与装置 - Google Patents

用于执行接入的方法与装置 Download PDF

Info

Publication number
CN112438041B
CN112438041B CN201980024053.8A CN201980024053A CN112438041B CN 112438041 B CN112438041 B CN 112438041B CN 201980024053 A CN201980024053 A CN 201980024053A CN 112438041 B CN112438041 B CN 112438041B
Authority
CN
China
Prior art keywords
access
api
caller
information
api caller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201980024053.8A
Other languages
English (en)
Other versions
CN112438041A (zh
Inventor
尼桑特·古普塔
拉加维瑟曼·拉加杜莱
纳伦德拉纳特·杜尔加·坦古杜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of CN112438041A publication Critical patent/CN112438041A/zh
Application granted granted Critical
Publication of CN112438041B publication Critical patent/CN112438041B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/546Message passing systems or structures, e.g. queues
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • G06Q30/0185Product, service or business identity fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Economics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Finance (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Algebra (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

提供了执行接入的API调用器。API调用器包括收发器以及与收发器联接的处理器,处理器配置为:从服务提供器获得包括接入凭证和CAPIF核心功能的信息的接入信息、基于接入信息建立与CAPIF核心功能的安全会话并控制收发器将接入API调用器请求消息与接入凭证一起发送到CAPIF核心功能、并基于在CAPIF核心功能处验证接入凭证的结果接收接入API调用器响应消息。

Description

用于执行接入的方法与装置
技术领域
本公开涉及接入系统,更具体地涉及将接入装置的应用编程接口(API)调用器安全接入(on-boarding)到通用API框架(CAPIF)核心功能(CCF)服务器。
背景技术
为了满足自部署第四代(4G)通信系统以来增加的无线数据流量需求,已努力开发改进的第五代(5G)或准5G通信系统。5G或准5G通信系统也称为“超4G网络”或“后长期演进(LTE)系统”。5G通信系统被认为在更高频率(mmWave)频段(例如,60GHz频段)中实现,从而达成更高的数据速率。为了减少无线电波的传播损耗并增加传输距离,针对5G通信系统讨论了波束成形、大规模多输入多输出(MIMO)、全尺寸MIMO(FD-MIMO)、阵列天线、模拟波束成形以及大规模天线技术。此外,在5G通信系统中,基于高级小型小区、云无线电接入网(RAN)、超密集网络、设备到设备(D2D)通信、无线回程、移动网络、协作通信、协作多点(CoMP)、接收端干扰消除等正进行系统网络改进的开发。在5G系统中,作为高级编码调制(ACM)的混合频移键控(FSK)和费赫尔正交幅度调制(FQAM)和滑动窗口叠加编码(SWSC),以及作为高级访问技术的滤波器组多载波(FBMC),非正交倍频访问(NOMA)和稀疏代码多路访问(SCMA)已得到开发。
互联网是以人为中心、人们可在其中生成并消费信息的连接网络,互联网正演变为物联网(IoT),在物联网中分布式实体(例如,物)无需人工干预即可交换并处理信息。已出现万物联网(IoE),其是通过连接云服务器将IoT技术与大数据处理技术的结合。由于实现IoT需要技术元素,例如,“传感技术”、“有线/无线通信与网络基础设施”、“服务接口技术”以及“安全技术”,所以最近已研发传感器网络、机器对机器(M2M)通信、机器类型通信(MTC)等。这样的IoT环境可提供智能互联网技术服务,其通过收集和分析在互联物之间生成的数据为人类生活创造新价值。IoT可通过现有信息技术(IT)与各种工业应用之间的融合与结合,应用于多种领域,包括智能家居、智能建筑、智能城市、智能汽车或联网汽车、智能电网、医疗保健、智能电器和先进医疗服务。
与此相应,已进行各种尝试以将5G通信系统应用于IoT网络。例如,诸如传感器网络、MTC和M2M通信的技术可通过波束成形、MIMO和阵列天线来实现。作为上述大数据处理技术的云RAN的应用也可被视为5G技术与IoT技术之间融合的示例。
如上所述,可以根据无线通信系统的发展来提供各种服务,因此需要容易地提供这种服务的方法。
发明内容
技术问题
本文的实施方式在于提供用于将接入装置的应用编程接口(API)调用器安全接入到通用API框架(CAPIF)核心功能(CCF)服务器的方法和系统。
技术解决方案
提供了执行接入的API调用器。API调用器包括收发器以及与收发器联接的处理器,处理器配置为从服务提供器获得包括接入凭证和CAPIF核心功能的信息的接入信息、基于接入信息建立与CAPIF核心功能的安全会话并控制收发器将接入API调用器请求消息与接入凭证一起发送到CAPIF核心功能,并基于在CAPIF核心功能处验证接入凭证的结果接收接入API调用器响应消息。
附图说明
在附图中示出了该方法,在所有附图中,相同的附图标记指示在各种图中的相应部分。通过以下参考附图的描述,将更好地理解本文的实施方式,在附图中:
图1是示出用于CCF服务器的功能模型的示例场景;
图2示出了根据本文公开的实施方式的用于处理接入装置的安全接入的系统;
图3a是根据本文公开的实施方式的接入装置的框图;
图3b示出了根据本文公开的实施方式的用于处理接入装置的安全接入的、接入装置的处理器的各种组件;
图4示出了根据本文公开的实施方式的CCF服务器的各种组件;
图5示出了根据本文公开的实施方式的用于处理接入装置的安全接入的、CCF服务器的处理器的各种组件;
图6是根据本文公开的实施方式的基于令牌的安全接入以处理接入装置的安全接入的示例场景;
图7是示出根据本文公开的实施方式的、由接入装置实现的用于处理API调用器的安全接入的方法的流程图;
图8是示出根据本文公开的实施方式的、由CCF服务器实现的用于处理API调用器的安全接入的方法的流程图;
图9和图10是根据本文公开的实施方式的、系统处理接入装置的安全接入的另一示例场景;
图11是根据本文公开的实施方式的、基于令牌的安全接入以用于处理接入装置的安全接入的另一示例场景;
图12是示出根据本文公开的实施方式的、在API调用器与CCF之间的基于证书的认证以用于API调用器的接入的时序图;以及
图13是示出根据本文公开的实施方式的、在API调用器与CCF之间建立基于DH的密钥以用于API调用器的安全接入的示例场景的时序图。
图14是示出根据本公开的另一实施方式的API调用器1400的图。
图15是示出根据本公开的另一实施方式的API调用器1500的图。
优选实施方式
根据本公开的实施方式,执行接入的API调用器,该API调用器包括收发器和与收发器联接的处理器,处理器配置为:从服务提供器获得包括接入凭证和CAPIF核心功能的信息的接入信息、基于接入信息建立与CAPIF核心功能的安全会话并控制收发器将接入API调用器请求消息连同接入凭证一起发送到CAPIF核心功能,并基于在CAPIF核心功能处验证接入凭证的结果接收接入API调用器响应消息。
处理器可进一步配置为:生成包括私钥和公钥的密钥对,并连同接入API调用器请求消息一起提供公钥。
CAPIF核心功能的信息可包括地址和根CA证书。
接入API调用器响应消息可包括分配的API调用器ID、认证和授权信息以及API调用器的证书。
接入凭证可包括OAuth 2.0访问令牌。
服务提供器可包括AEF(API公开功能)、APF(API发布功能)和AMF(API管理功能)。
接入API调用器请求消息包括API调用器将调用的API的列表。
接入API调用器响应消息包括允许调用的API的列表。
响应于证书颁发机构发布API调用器的证书,接入API调用器请求消息包括该证书。
根据本公开的另一实施方式,执行接入的CAPIF核心功能,该CAPIF核心功能包括收发器以及与收发器联接的处理器,处理器配置为:基于包括接入凭证的接入信息建立与API调用器的安全会话、控制收发器从API调用器接收接入API调用器请求消息和接入凭证、验证接入凭证,并基于验证接入凭证的结果控制收发器发送接入API调用器响应消息。
处理器可进一步配置为:响应于成功认证接入凭证,生成API调用器简档,该API调用器简档包括API调用器与AEF之间的认证和授权信息。
响应于由证书颁发机构发布API调用器的证书并确定该证书颁发机构是可信的,API调用器简档可包括该证书。
接入API调用器响应消息可包括分配的API调用器ID、认证和授权信息以及API调用器的证书。
根据本公开的另一实施方式,通过API调用器执行接入的方法,该方法包括:从服务提供器获得包括接入凭证和CAPIF核心功能的信息的接入信息;基于接入信息建立与CAPIF核心功能的安全会话;向CAPIF核心功能发送接入API调用器请求消息和接入凭证;并基于在CAPIF核心功能处验证接入凭证的结果接收接入API调用器响应消息。
根据本公开的另一实施方式,通过CAPIF核心功能执行接入的方法,该方法包括:基于包括接入凭证的接入信息建立与API调用器的安全会话;从API调用器接收接入API调用器请求消息和接入凭证;验证接入凭证;并基于验证接入凭证的结果发送接入API调用器响应消息。
具体实施方式
参照附图中示出并在以下说明中详细描述的非限制性实施方式,更全面地解释本文中的实施方式和各种特征及其有益细节。省略对公知组件和处理技术的说明,以便不必要地模糊本文中的实施方式。而且,本文中描述的各种实施方式不一定互相排斥,因为一些实施方式可与一个或多个其它实施方式结合以形成新实施方式。本文中使用的术语“或者”是指非排他性的或者,除非另有说明。本文中使用的示例仅旨在促进理解实践本文的实施方案的方式,并且进一步使本领域技术人员能够实践本文中实施方式。因此,示例不应被解释为限制本文中实施方式的范围。
如本领域的传统方式,可根据执行所描述的功能或多个功能的块来描述并示出实施方式。在本文中可指示管理器、单元、模块、硬件组件等的这些块由模拟和/或数字电路(例如,逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬连线电路等)物理地实现,并可以可选择地由固件和软件驱动。例如,电路可体现于一个或多个半导体芯片中,或者诸如印刷电路板等的基板支撑件上。构成块的电路可通过专用硬件、或者通过处理器(例如,一个或多个经编程的微处理器及相关电路)、或者通过用于执行块的一些功能的专用硬件与用于执行块的其他功能的处理器的组合来实现。在不脱离本公开的范围的情况下,实施方式的每个块可在物理上分成两个或更多个相互作用并离散的块。同样地,在不脱离本公开的范围的情况下,实施方式的块可物理地组合成更复杂的块。
附图用于帮助容易地理解各种技术特征,并且应当理解,本文提出的实施方式不受附图的限制。这样,除了附图中特别列出的之外,本公开应当被解释为扩展到任何改变、等同和替代。尽管术语第一、第二等可用于本文中来描述各种元件,但是这些元件不应受到这些术语的限制。这些术语通常仅用于将一个元件与另一个元件区分开。
在本公开中,术语“CAPIF核心功能实体”、“CAPIF核心功能”、“CCF”、“CCF实体”以及CCF服务器可互换地使用。CCF提供用于支持服务API操作的机制(例如,发布服务API、授权、日志记录、收费)。
术语“服务提供器”和“API提供器域”含义相同,并指示服务API提供器域。在整个文件和相关附图中,这些术语可互换地使用。
第三代合作伙伴计划(3GPP)已定义通用API框架,以支持具有诸如认证、授权、发现、注册、监视等通用功能的3GPP北向API。此外,3GPP TS 23.222为通用API框架定义了功能架构和信息流。3GPP TS 23.222的规范定义了诸如API调用器(AI)和通用API框架(CAPIF)核心功能(CCF)实体的功能实体,以及诸如API公开功能(AEF),API发布功能(APF)和API管理功能(AMF)的服务提供器域功能。该规范还定义了功能实体之间的参考点—AI与CCF之间的CAPIF-1/CAPIF-1e参考点、AI与AEF之间的CAPIF-2/CAPIF-2e、CCF与AEF之间的CAPIF-3参考点、CEF与APF之间的CAPIF-4参考点以及CCF与AMF之间的CAPIF-5参考点。
为了访问API(框架API和服务API),首先需要将API调用器接入至通用API框架。接入过程涉及从CAPIF获得访问API所必需的API调用器的ID、认证信息、授权信息等。
图1是示出用于CCF服务器300的功能模型的示例场景。在示例中,PLMN信任域内的接入装置100a经由CAPIF-1和CAPIF-2与CAPIF服务器300进行交互。来自PLMN信任域外部的接入装置100b经由CAPIF-1e和CAPIF-2e与CAPIF服务器300进行交互。PLMN信任域内的API提供器域的API公开功能、API发布功能和API管理功能(统称为API提供器域功能)分别经由CAPIF-3、CAPIF-4和CAPIF-5与CCF服务器300进行交互。因此,期望解决上述不足或其他缺点或至少提供有用的替代方案。
因此,本文的实施方式实现了用于处理至少一个接入装置的安全接入的方法。该方法包括由至少一个接入装置确定以下中的至少一个:对称密钥对、与API调用器相关联的客户端证书以及与至少一个API调用器相关联的注册信息。此外,该方法包括由至少一个接入装置与CCF服务器建立TLS会话。此外,该方法包括由至少一个接入装置使用TLS会话向CCF发送接入API调用器请求,以接入至少一个接入装置。接入API调用器请求包括对称密钥对、与API调用器相关联的客户端证书、OAuth 2.0访问令牌和注册信息中的至少一个。此外,该方法包括由CCF服务器验证对称密钥对、与API调用器相关联的客户端证书、OAuth2.0访问令牌以及与API调用器相关联的注册信息中的至少一个。此外,该方法包括由CCF服务器响应于成功验证对称密钥对、与API调用器相关联的客户端证书、OAuth 2.0访问令牌和注册信息中的至少一个,生成API调用器简档。此外,该方法包括由CCF服务器将包括API调用器简档的接入API调用器响应发送到至少一个接入装置。此外,该方法包括由至少一个接入装置的API调用器配置API调用器简档,以使至少一个接入装置能够访问由CCF服务器和服务提供器提供的服务。
与常规方法不同,提出的方法可用于由API调用器和服务提供器建立服务合同。此外,该方法可用于由服务提供器向API调用器提供接入信息。此外,CCF服务器根据所提出的方法核实接入信息的有效性(核实真实性)并安全地向API调用器提供API调用器简档(即访问API(例如,框架API和服务API)所需的信息)。这使API调用器访问由CCF服务器和服务提供器提供的服务。这使API调用器能够安全有效地通过框架和服务API使用CCF服务器和服务提供器服务。
在3GPP TS 33.122和3GPP TS 29.222中采用了所提出方法的各种实施方式。该方法允许授权来自API调用器的接入请求的系统方法,并在将接入的API调用器与CCF服务器之间建立安全环境,以进行接入过程。
现在参考附图,并且更具体地参考图2至图13,在附图中示出了优选的实施方式,在整个附图中相同的附图标记始终表示对应的特征。
图2示出了根据本文公开的实施方式的、用于处理接入装置100的安全接入的系统1000。在实施方式中,系统1000包括接入装置100、服务提供器200和CCF服务器300。接入装置100可以是例如但不限于物联网(IoT)装置、蜂窝装置,智能手表等。
在实施方式中,接入装置100配置为确定对称密钥对、与API调用器相关联的客户端证书、OAuth 2.0访问令牌以及与至少一个接入装置100相关联的注册信息中的至少一个。在实施方式中,基于服务提供器200与API调用器之间的服务API合同从服务提供器200获得注册信息。在实施方式中,对称密钥对是由接入装置100生成的。在实施方式中,与API调用器相关联的客户端证书从第三方(未示出)获得。
在实施方式中,注册信息包括与CCF服务器300有关的信息中的至少一项,包括:CCF服务器地址、CCF服务器标识和证书以及用于验证客户端/服务器核实的CCF服务器证书的根证书、具有用于API调用器的证书的私有公钥对、用于接入的安全凭证以及OAuth 2.0访问令牌中的至少一项。
此外,接入装置100配置为与CCF服务器300建立TLS会话。基于TLS会话,接入装置100配置为向CCF服务器300发送接入API调用器请求以接入至少一个接入装置100。接入API调用器请求包括对称密钥对、客户端证书和注册信息中的至少一个。
CCF服务器300接收接入API调用器请求,并且CCF服务器300配置为验证对称密钥对、客户端证书和注册信息中的至少一个。CCF服务器300配置为响应于成功验证对称密钥对、客户端证书和注册信息中的至少一个,生成API调用器简档。此外,CCF服务器300配置为将包括API调用器简档的接入API调用器响应发送到至少一个接入装置100。
在接收API调用器简档之后,接入装置100配置API调用器简档以使至少一个接入装置100能够访问由CCF服务器300和服务提供器200提供的服务。
在实施方式中,API调用器简档包括与以下至少一项有关的信息:用于调用API框架的API调用器的标识、API以及服务API中的至少一个、具有由CCF签名的用于IDAI-CCF的API调用器的证书的公私密钥对、由服务提供器或CAPIF证书颁发机构或受信任的证书颁发机构进行数字签名的用于IDAI-CCF或IDAI-SP的API调用器的证书,以及允许的服务API的认证和授权信息。
图3a示出了根据本文公开的实施方式的接入装置100的各种组件。在实施方式中,接入装置100包括处理器110、存储器120和通信器130。处理器110与存储器120以及通信器130联接。
在实施方式中,处理器110配置为确定对称密钥对、与API调用器相关联的客户端证书以及与API调用器110相关联的注册信息中的至少一个。此外,处理器110配置为与CCF服务器300建立TLS会话。基于TLS会话,处理器110配置为向CCF服务器300发送接入API调用器请求以接入接入装置100。此外,处理器110配置为从CCF服务器300接收包括API调用器简档的接入API调用器响应。处理器110配置API调用器简档,以使至少一个接入装置能够访问由CCF服务器300和服务提供器200提供的服务。
处理器110配置为执行存储在存储器120中的指令并执行各种处理。通信器130配置为用于在内部硬件组件之间进行内部通信以及经由一个或多个网络与外部装置进行通信。
存储器120存储将由处理器110执行的指令。存储器120可包括非易失性存储元件。这种非易失性存储元件的示例可包括磁性硬盘、光盘、软盘,闪存,或电可编程存储器(EPROM)或电可擦除可编程(EEPROM)存储器的形式。另外,在一些示例中,存储器120可被认为是非暂时性存储介质。术语“非暂时性”可指示存储介质没有以载波或传播的信号体现。然而,术语“非暂时性”不应被解释为存储器120是不可移动的。在一些示例中,存储器120可配置为存储比内存更大的信息量。在某些示例中,非暂时性存储介质可存储可随时间变化(例如,在随机存取存储器(RAM)或高速缓存中)的数据。
虽然图3a示出了接入装置100的各种硬件组件,但是应当理解,其他实施方式不限于此。在其他实施方式中,接入装置100可包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明目的,并不限制本发明的范围。一个或多个组件可组合在一起以执行与处理API调用器110a的安全接入相同或基本相似的功能。
图3b示出了根据本文公开的实施方式的、处理接入装置100的安全接入的接入装置100的处理器110的各种组件。在实施方式中,处理器110包括API调用器110a、TLS会话处理器110b和安全服务提供引擎110c。在实施方式中,TLS会话处理器110b配置为与CCF服务器300建立TLS会话。基于TLS会话,安全服务提供引擎110c配置为将接入API调用器请求发送至CCF服务器300以接入API调用器110a。此外,安全服务提供引擎110c配置为从CCF服务器300接收包括API调用器简档的接入API调用器响应。安全服务提供引擎110c配置API调用器简档使至少一个接入装置能够访问由CCF服务器300和服务提供器200提供的服务。
虽然图3b示出了处理器110的各种硬件组件,但是应当理解,其他实施方式不限于此。在其他实施方式中,处理器110可包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明目的,并不限制本发明的范围。一个或多个组件可组合在一起以执行与处理接入装置100的安全接入相同或基本相似的功能。
图4示出了根据本文公开的实施方式的CCF服务器300的各种组件。在实施方式中,CCF服务器300包括处理器310、通信器320和存储器330。处理器310与通信器320和存储器330联接。
处理器310配置为与API调用器110a建立TLS会话。此外,处理器310配置为使用TLS会话从API调用器110a接收接入API调用器请求以接入API调用器110a。此外,处理器310配置为验证对称密钥对、与API调用器110a相关联的客户端证书以及与API调用器110a相关联的注册信息中的至少一个。此外,处理器310配置为响应于成功验证对称密钥对、与API调用器相关联的客户端证书、OAuth 2.0访问令牌和注册信息中的至少一个,生成API调用器简档。此外,处理器310配置为将包括API调用器简档的接入API调用器响应发送到接入装置100。
处理器310配置为执行存储在存储器330中的指令并执行各种处理。通信器320配置为用于在内部硬件组件之间进行内部通信以及经由一个或多个网络与外部装置进行通信。
存储器330存储将由处理器310执行的指令。存储器330可包括非易失性存储元件。这种非易失性存储元件的示例可包括磁性硬盘、光盘、软盘、闪存,或电可编程存储器(EPROM)或电可擦除可编程(EEPROM)存储器的形式。另外,在一些示例中,存储器330可被认为是非暂时性存储介质。术语“非暂时性”可指示存储介质没有以载波或传播的信号体现。然而,术语“非暂时性”不应被解释为存储器330是不可移动的。在一些示例中,存储器330可配置为存储比内存更大的信息量。在某些示例中,非暂时性存储介质可存储可随时间变化(例如,在随机存取存储器(RAM)或高速缓存中)的数据。
虽然图4示出了CCF服务器300的各种硬件组件,但是应当理解,其他实施方式不限于此。在其他实施方式中,CCF服务器300可包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明目的,并不限制本发明的范围。一个或多个组件可组合在一起以执行与处理接入装置100的安全接入相同或基本相似的功能。
图5示出了根据本文公开的实施方式的、处理接入装置100的安全接入的CCF服务器300的处理器310的各种组件。在实施方式中,处理器310包括TLS会话处理器310a、接入API调用器处理器310b和安全服务提供引擎310c。
TLS会话处理器310a配置为与接入装置100建立TLS会话。此外,接入API调用器处理器310b配置为使用TLS会话从接入装置100接收接入API调用器请求,以接入接入装置100。此外,接入API调用器处理器310b配置为验证对称密钥对、与接入装置100相关联的客户端证书和与接入装置100相关联的注册信息中的至少一个。此外,安全服务提供引擎310c配置为响应于成功验证对称密钥对、与API调用器相关联的客户端证书、OAuth 2.0访问令牌和注册信息中的至少一个,生成API调用器简档。此外,安全服务提供引擎310c配置为将包括API调用器简档的接入API调用器响应发送至接入装置100。
虽然图5示出了处理器310的各种硬件组件,但是应当理解,其他实施方式不限于此。在其他实施方式中,处理器310可包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明目的,并不限制本发明的范围。一个或多个组件可组合在一起以执行与处理接入装置100的安全接入相同或基本相似的功能。
图6是根据本文公开的实施方式的、基于令牌的安全接入以处理接入装置100的安全接入的示例场景。
如图6所示,服务提供器200将访问令牌(例如,OAuth 2.0访问令牌)发布给接入装置100,其由接入装置100基于接入请求提交给CCF服务器300。考虑第一种场景,服务提供器200应在OAuth 2.0访问令牌中包括API调用器简档和所有允许的服务API信息的列表。在第二种场景下,允许的服务API的列表应在OAuth 2.0访问令牌之外。在这两种场景下,OAuth2.0访问令牌应包括来自服务提供器200的JWS(JSON Web签名)。
OAuth 2.0访问令牌可以是SAML(安全断言标记语言)令牌、JSON Web令牌等。如果使用了基于OAuth 2.0访问令牌的机制,则访问令牌认证并授权API调用器的接入请求。
如图6所示,基于OAuth 2.0访问令牌的机制可用于认证API调用器110a和API调用器的接入请求的授权。从服务提供器200接收到的OAuth 2.0访问令牌应被编码为JSON Web令牌,包括JWS(JSON Web签名),并应根据OAuth 2.0进行验证。
在步骤602,服务提供器200将接入信息提供给接入装置100以认证CCF服务器300并与之通信。该信息包括:CCF服务器300的详细信息(例如,地址和用于验证的根CA证书中的至少一个)、OAuth 2.0访问令牌。OAuth 2.0访问令牌将被编码为JSON Web令牌(例如,IETF RFC 7519等),并将在OAuth 2.0访问令牌的授权声明部分中嵌入API调用器信息(例如,简档详细信息、订阅详细信息,API调用器ID等)、允许的服务API的列表。OAuth 2.0访问令牌还应包括JSON Web数字签名(例如,IETF RFC 7515等)。作为接入程序的前提条件,该信息可通过无线、有线、经由物理介质或作为接入装置或通用订阅者识别模块(USIM)等的静态配置提供/供应给接入装置100。
在步骤604,接入装置100和CCF服务器300使用在步骤602中获得的注册信息建立安全通信信道(例如,使用服务器侧证书认证的TLS、通过根CA证书验证的CCF证书)。TLS连接基于CCF证书(即,基于服务器侧证书的认证)提供CCF的单向认证。
在步骤606,接入装置100生成密钥对(即,公钥和私钥)。接入装置100通过安全信道将接入请求发送至CCF服务器300。该接入请求包括(从服务提供器200接收的)OAuth 2.0访问令牌、生成的接入装置100的公钥,以及可选的服务API列表。
在步骤608,CCF服务器300根据OAuth 2.0、IETF RFC 7519和IETF RFC 7515验证OAuth 2.0访问令牌,访问令牌中可选地包括针对授权信息(API调用器信息、允许的服务API的列表)的接入请求。可选地,CCF服务器300将令牌发送给发布者(即,服务提供器200或第三方)并请求验证OAuth 2.0访问令牌。
在步骤610,在成功验证接入请求之后,CCF服务器300为每个接入装置100生成API调用器简档,其中,API调用器简档包括API调用器ID(如果存在于OAuth 2.0访问令牌中或基于服务提供器200与CCF服务器300之间的服务协议,生成新的或使用API调用器ID)、API调用器证书、接入装置100可访问的服务API的列表以及可访问的服务API的认证和授权信息(即,用于AEF认证和授权的所选方法,以及Onboard_Secret)中的至少一个。
在步骤612,CCF服务器300使用在步骤610生成的API调用器的简档信息将接入响应发送至接入装置100。
图7是示出根据本文公开的实施方式的、由接入装置100实现的用于处理接入装置100的安全接入的方法的流程图700。步骤702-710由安全服务提供引擎110c执行。
在步骤702,该方法包括:确定对称密钥对、与API调用器相关联的客户端证书、OAuth 2.0访问令牌以及与至少一个接入装置100相关联的注册信息中的至少一个。在步骤704,该方法包括:与CCF服务器300建立TLS会话。在步骤706,该方法包括:使用TLS会话向CCF服务器300发送接入API调用器请求以接入至少一个接入装置100。在步骤708,该方法包括:从CCF服务器300接收包括API调用器简档的接入API调用器响应。在步骤710,该方法包括:配置API调用器简档以使至少一个接入装置100能够访问由CCF服务器300和服务提供器200提供的服务。
流程图700中的各种动作、行为、块、步骤等可以以呈现的顺序、以不同的顺序或同时地执行。此外,在一些实施方式中,在不脱离本发明的范围的情况下,一些动作,行为,块,步骤等可以被省略、添加、修改、跳过等。
图8是示出根据本文公开的实施方式的、由CCF服务器300实现的用于处理接入装置100的安全接入的方法的流程图800。步骤802-810由安全服务提供引擎310c执行。
在802,该方法包括:与接入装置100建立TLS会话。在804,该方法包括:使用TLS会话从接入装置100接收接入API调用器请求,以接入至少一个接入装置。在806,该方法包括:验证对称密钥对、与接入装置100相关联的客户端证书以及与接入装置100相关联的注册信息中的至少一个。在808,该方法包括:响应于成功验证对称密钥对、与API调用器相关联的客户端证书、OAuth 2.0访问令牌和注册信息中的至少一个,生成API调用器简档。在810,该方法包括:由CCF服务器300将包括API调用器简档的接入API调用器响应发送到至少一个接入装置100。
流程图800中的各种动作、行为、块、步骤等可以以呈现的顺序、以不同的顺序或同时地执行。此外,在一些实施方式中,在不脱离本发明的范围的情况下,一些动作,行为,块,步骤等可以被省略、添加、修改、跳过等。
图9和图10示出了根据本文公开的实施方式的、系统1000处理接入装置100的安全接入的另一示例场景。
如图9所示,接入装置100可经由CAPIF-1/CAPIF-1e参考点访问框架API(由CCF服务器300公开)并经由CAPIF-2/CAPIF-2e参考点访问服务API(由API公开功能公开)。为了访问这样的API(例如,框架API或服务API),首先需要将(初始应该具有)接入装置100接入到通用API框架。接入过程涉及从CAPIF服务器300获得访问API所需的接入装置100的标识符(ID)、认证信息、授权信息等。所提出的方法可用于安全地接入接入装置100并向接入装置100和CCF服务器300提供这种必要信息,以接入并稍后访问API(框架API和服务API)。
在接入接入装置100的高级别过程之后:
在实施方式中,接入装置100和服务提供器200建立服务合同,并且服务提供器200利用接入装置100提供接入信息。
此外,接入装置100通过提供从服务提供器200接收到的接入信息来请求CCF服务器300接入接入装置100。
此外,CCF服务器300核实接入信息的有效性(或核实真实性),并安全地向API调用器200提供API调用器简档,即用于访问API(框架API和服务API)所必需的信息。这使接入装置100访问由CAPIF 300和服务提供器200提供的服务。这使得接入装置100能够通过框架和服务API安全地使用CAPIF 300和服务提供器200服务。
接入信息可包括但不限于以下信息:
1.CAPIF核心功能的详细信息-CCF地址、CCF标识和证书、用于客户端/服务器验证的根证书。
2.API调用器认证信息-标识信息(匿名ID、IP地址、IDAI-SP(下标“AI-SP”表示服务提供器已将ID发布给API调用器)等)。
3.接入的安全凭证(例如,DH详细信息(例如,DH组、椭圆曲线详细信息)、用于验证CCF证书的根证书、具有API调用器的证书的密钥对(私钥/公钥)(可用于IDAI-CCF或IDAI-SP,或在IDAI-SP用作IDAI-CCF时)、OAuth 2.0访问令牌、SAML令牌、JSON Web令牌等)。
4.允许API调用器调用的服务API的列表。
API调用器简档可包括但不限于以下信息:
1.接入装置100的标识,将用于调用框架API和服务API。接入装置100的标识可以与IDAI-SP相同,也可以是CCF服务器300生成的不同标识IDAI-CCF。
2.如果提供了IDAI-CCF,则CCF服务器300还应为接入装置100提供具有由CCF服务器300签名的证书的密钥对。可替换地,接入装置100生成密钥对并且CCF为用于标识IDAI-CCF或IDAI-SP的接入装置100发布证书。在IDAI-SP待用于IDAI-CCF的情况下,使用由服务提供器200或CCF服务器300或由用于IDAI-SP的可信CA提供证书。
3.允许接入装置100调用服务API的列表。
4.用于允许的服务API的认证和授权信息。
在另一实施方式中,服务提供器200可通过向CCF服务器300提供接入装置100的详细信息来直接地请求CCF服务器300接入接入装置100。在接收到请求时,CCF服务器300生成API调用器简档并将API调用器简档提供给服务提供器200。服务提供器200直接地向API调用器简档提供API调用器200。API调用器简档可通过无线、有线、经由物理介质(例如,记忆棒、存储卡)或作为对装置或通用订阅户身份模块(USIM)等的静态配置提供/供应。
自动接入过程包括为接入装置100和CCF服务器300提供成功接入接入装置100所需的信息。
在另一实施方式中,CCF服务器300和服务提供器200可位于同一地点。在这样的部署中,服务提供器200可能不需要与CCF服务器300共享(可使用内部接口进行交换)接入信息。
参照图9,在902,服务提供器200将接入信息提供给API调用器110a。API调用器110a使用接入信息来识别CCF服务器300并与之通信。接入信息包括:CAPIF核心功能的详细信息(例如,CCF IP地址、CCF标识、证书等)、API调用器认证信息(例如,标识信息(例如,匿名ID、IP地址、IDAI-SP等)、用于接入的安全凭证(例如,DH详细信息,例如DH组、用于验证CCF证书的根CA、具有API调用器的证书的密钥对、安全声明标记语言(SAML)令牌、JSON Web令牌等)以及允许API调用器调用的服务API的列表。
可通过无线、有线或经由物理介质(例如,记忆棒、存储卡)或作为对装置或USIM等的静态配置来提供/供应信息。
在904,服务提供器200与CCF服务器300共享API调用器的接入信息,从而CCF服务器300可自行验证刚收到的接入请求。可替换地,CCF服务器300可从服务提供器200取得信息。在实施方式中,服务提供器200通过CCF服务器300使用IDAI-SP来识别,或者,接入装置100向CCF服务器300提供服务提供器200的详细信息。
在906,接入装置100和CCF服务器300建立安全通信信道(出于说明的目的,使用Diffie-Hellman密钥交换建立秘密密钥,然后使用特定于协议的安全性机制(例如,通过TLS携带诸如JSON、XML、HTML等对象格式的必要信息的HTTP),以保护通信(可能在应用程序层或者在传输层或者在IP层)。
在908,接入装置100向CCF服务器300发送接入请求。接入请求包括从服务提供器200接收的、接入装置100的接入信息的子集。
在910,CCF服务器300相比在904处接收的信息验证所接收的接入信息。
在912,如果信息验证成功,则CCF服务器300生成API调用器简档,该API调用器简档包括API调用器ID、接入装置100可访问的API的列表以及可访问的API的认证和授权信息中的至少一个。如果CCF服务器300生成API调用器的标识、IDAI-CCF,则CCF服务器300还可使用新分配的用于密钥对的ID来提供证书。
在914,CCF服务器300安全地将接入响应发送到API调用器。接入响应向API调用器提供在912处生成的API调用器简档。
如图10所示,接入装置100提供成功请求CCF服务器300进行接入所需的信息。在接收到接入请求时,CCF服务器300依次联系服务提供器200以验证接收到的接入请求中的信息。基于来自服务提供器200的响应,CCF服务器300生成API调用器简档并接入接入装置100。
参照图10,在1002,服务提供器200将接入信息提供给接入装置100。接入装置100使用接入信息以与CCF服务器300进行通信。该信息包括:CCF服务器300的详细信息(CCF地址、CCF标识、根证书中的至少一个)、API调用器认证信息(例如,匿名ID、IP地址、IDAI-SP等标识信息中的至少一个)、用于接入的安全凭证(例如,DH详细信息,例如DH组、验证CCF证书的根CA、具有由服务提供器200签名的用于API调用器的证书的密钥对、SAML令牌、JSON Web令牌等)和允许API调用器调用的服务API的列表。该信息可通过无线方式或者作为装置或USIM等的静态配置来提供。
在1004,接入装置100和CCF服务器300建立安全通信通道(出于说明目的,使用Diffie-Hellman密钥交换建立秘密密钥,然后使用特定于协议(JSON或XML)的安全机制以保护通信(可能在应用程序层或者可在传输层或在IP层)。
在1006,接入装置100将接入请求发送到CCF服务器300。接入请求包括从服务提供器200接收的、接入装置100的接入信息的子集。
在1008,CCF服务器300发送接入请求确认并确认接收到请求。
在1010,CCF服务器300向服务提供器200发送包括所接收的用于验证的接入信息的接入信息验证请求。
在1012,服务提供器200验证接入信息。该过程在服务提供器200处可以自动地或者手动地进行。
在1014,一旦验证成功,则服务提供器200将接入信息验证响应发送到CCF服务器300。如果验证成功,则接入信息验证响应可包括可访问服务API的列表。
在1016,在接收到接入信息验证响应时,CCF服务器300生成API调用器简档,该API调用器简档包括API调用器ID、允许用于API调用器的API的列表,以及可访问的API的认证和授权信息中的至少一个。如果CCF服务器300生成用于接入装置100的标识,IDAI-CCF,那么CCF服务器300还可使用密钥对的新分配的ID提供证书。
在1018,接入装置100和CCF服务器300使用Diffie-Hellman密钥交换以及应用层保护机制或TLS会话来建立安全通信信道。该连接可由接入装置100(可在步骤1008处在由CCF服务器300指示的等待计时器之后)发起,或者可以是CCF服务器300发起的连接。
在1020,CCF服务器300利用API调用器简档安全地将通知发送到接入装置100。
在1022,接入装置100确认来自CCF服务器300的通知。
图11是根据本文公开的实施方式的、基于令牌的安全接入以用于处理接入装置的安全接入的另一示例场景。
如图11所示,可使用基于OAuth 2.0访问令牌的机制来认证和授权API调用器的接入请求。该场景与不能嵌入OAuth访问令牌中的允许的服务API的大量列表一起使用。允许的服务API的列表应在OAuth访问令牌之外。OAuth 2.0访问令牌应包括来自服务提供器200的JWS(JSON Web签名)签名。
在1102,服务提供器200将接入信息提供给接入装置100。基于接入信息,接入装置100认证CCF服务器300并与之进行通信。该信息包括:CCF的详细信息(地址、证书和用于验证的根CA证书中的至少一个)、OAuth 2.0访问令牌和允许服务API的列表中的至少一个。OAuth 2.0访问令牌将被编码为JSON Web令牌(即,IETF RFC 7519),并将在OAuth 2.0访问令牌的授权声明部分中嵌入API调用器信息(例如,简档详细信息、订阅详细信息、API调用器ID等)。OAuth 2.0访问令牌还应包括JSON网络数字签名(IETF RFC 7515)。该信息可通过无线、有线、经由物理介质,或者作为装置或USIM等的静态配置提供/供应给接入装置100。
在1104,接入装置100和CCF服务器300建立安全通信信道(即,使用由根CA证书验证的服务器侧证书和CCF证书的TLS)。TLS连接基于CCF证书提供CCF服务器300的单向认证。
在1106,接入装置100生成密钥对(即,公钥和私钥)。接入装置100通过安全通道将接入请求发送到CCF服务器300。接入请求包括(从服务提供器200接收到的)OAuth 2.0访问令牌、生成的接入装置100的公钥以及服务API的列表中至少一个。
在1108,CCF服务器300应按照OAuth 2.0、IETF RFC 7519和IETF RFC 7515验证OAuth 2.0访问令牌和JWS(JSON Web签名)。在成功验证之后,CCF服务器300应在过程1110和过程1112之后验证来自接入装置100的接入请求。
在1110,CCF服务器300向服务提供器200发送包括接收到的接入信息(来自OAuth2.0访问令牌的API调用器的信息和服务API的列表中的至少一个)的接入验证请求以用于验证。
在1112,一旦验证成功,服务提供器200将接入信息验证响应发送到CCF服务器300。如果验证成功,则接入信息验证响应可包括可访问的服务API的列表。
在1114,在成功验证接入请求之后,CCF服务器300将生成API调用器的简档,该API调用器的简档包括API调用器ID(如果存在于OAuth 2.0访问令牌或基于服务提供器200与CCF服务器300之间的服务协议,生成新的API调用器ID或使用API调用器ID)、API调用器证书、接入装置100可访问的服务API的列表、用于可访问的服务API的认证和授权信息中的至少一个。
在1116,CCF服务器300将接入响应连同API调用器的简档信息一起发送到接入装置100。
图12是示出根据本文公开的实施方式的、接入装置100与CCF服务器300之间基于证书的认证以用于自动安全接入的API调用器的接入的时序图。
在1202,服务提供器200向接入装置100提供接入信息。基于接入信息,接入装置100认证CCF服务器300并与之进行通信。该信息包括:CCF的详细信息(地址、用于验证的根CA证书)、为接入装置100生成的密钥对(即,公钥和私钥)、用于接入装置100的证书(由服务提供器200或CAPIF证书颁发机构或可信的证书颁发机构进行数字签名,包括为API调用器生成的IDAI-SP和公钥),IDAI-SP以及允许的服务API的列表。该信息可通过无线、有线、经由物理介质,或者作为装置或USIM等的静态配置提供/供应给接入装置100。
可替换地,代替由服务提供器200为接入装置100生成的密钥对(即,公钥和私钥),接入装置100生成密钥对(即,公钥和私钥)并在过程1202之前将公钥提供给服务提供器。因此,服务提供器200为接入装置100提供证书(由服务提供器200或CAPIF证书颁发机构或可信的证书颁发机构进行数字签名,包括为接入装置100生成的IDAI-SP和公钥)。
在1204,接入装置100和CCF服务器300建立安全通信信道(即,使用服务器和客户端证书认证的TLS(即,由根证书验证CCF证书和API调用器证书)。
在1206,接入装置100生成密钥对(即,公钥和私钥)。接入装置100通过安全TLS会话向CCF服务器300发送接入请求。该接入请求包括:API生成的接入装置100的公钥和服务API的列表。在实施方式中,接入装置100在过程1中接收指示,无论IDAI-SP用作IDAI-CCF还是新的IDAI-CCF都将由CCF服务器300分配。如果CCF服务器300分配IDAI-CCF并且接入装置100接收到生成密钥对的指示,那么接入装置100生成密钥对(即,公共对和私钥)。
在1208,CCF服务器300验证接入信息。
在1210,在成功验证接入请求之后,CCF服务器300生成API调用器的简档,该API调用器的简档包括API调用器ID(生成新的IDAI-CCF)、API调用器证书(由服务提供器200或CAPIF证书颁发机构或可信的证书颁发机构进行数字签名,包括为接入装置100生成的IDAI-CCF和公钥)、接入装置100可访问的服务API的列表、可访问的服务API的认证和授权信息。可替换地,CCF服务器300还可为接入装置100生成密钥对(即,公钥和私钥)并为接入装置100提供密钥和证书。如果CCF服务器300配置为生成密钥对,CCF服务器300生成用于接入装置100的密钥对来代替接入装置100。
可替换地,代替由CCF服务器300生成新的IDAI-CCF,使用由服务提供器200提供的IDAI-SP,并且还使用由服务提供器200提供的用于API调用器的证书,以用于与CCF服务器300的后续认证。
在1212,CCF服务器300使用在1210生成的API调用器简档信息,将接入响应发送到接入装置100。
图13是示出根据本文公开的实施方式的、在API调用器110a与CCF服务器300之间建立的基于DH的密钥用于API调用器110a的安全接入的示例场景的时序图。在1302,服务提供器200将接入信息提供给API调用器。基于接入信息,接入装置100认证CCF服务器300并与之通信。该信息包括:CCF的详细信息(地址、用于验证的根CA证书)、安全信息(关于DH的详细信息,例如,组详细信息或椭圆曲线详细信息)、IDAI-SP以及允许的服务API的列表。该信息可通过无线、有线、经由物理介质,或者作为装置或USIM等的静态配置提供/供应给接入装置100。
在1304,API调用器和CCF服务器300建立安全的通信信道(使用DH和通信协议特定安全性机制(在TLS上携带以诸如JSON、XML、HTML等的对象格式的必要信息的HTTP)。
在1306,接入装置100生成密钥对(即,公钥和私钥)。通过安全连接,接入装置100将接入请求发送到CCF。接入请求包括生成的API调用器的公钥和服务API的列表。
在1308,CCF服务器300验证接入信息。
在1310,在成功验证接入请求之后,CCF服务器300生成API调用器的简档,该API调用器的简档包括API调用器ID(生成新的IDAI-CCF)、API调用器证书(由服务提供器200或CAPIF证书颁发机构或可信的证书颁发机构进行数字签名,API调用器200生成的IDAI-CCF和公钥)、接入装置100可访问的服务API的列表、可访问的服务API的认证和授权信息。
可替换地,代替由CCF服务器300生成新的IDAI-CCF,使用由服务提供器提供的IDAI-SP,并且还使用由服务提供器200提供的用于API调用器的证书,以用于与CCF服务器300的后续认证。
在1312,CCF服务器300使用在过程1310中生成的API调用器的简档信息将接入响应发送到接入装置100。
图14是示出根据本公开的另一实施方式的API调用器1400的图。
参照图14,API调用器1400可包括收发器1410、处理器1420和存储器1430。然而,所有示出的组件不是必要的。API调用器1400可通过比图14中所示的组件更多或更少的组件来实现。此外,根据另一实施方式,收发器1410、处理器1420和存储器1430可被实现为单个芯片。
现在将详细描述前述组件。
收发器1410可包括:用于上转换和放大传输信号的RF发射器以及用于下转换所接收的信号的频率的RF接收器。然而,根据另一实施方式,收发器1410可由比组件中示出的组件更多或更少的组件来实现。
收发器1410可连接到处理器1420并且发送和/或接收信号。信号可包括控制信息和数据。另外,收发器1410可通过无线信道接收信号,并将信号输出到处理器1420。收发器1410可通过无线信道发送从处理器1420输出的信号。
处理器1420可包括控制所提出的功能、过程和/或方法的一个或多个处理器或其他处理装置。API调用器1400的操作可由处理器1420实现。
处理器1420可从服务提供器获得包括接入凭证和CAPIF核心功能的信息的接入信息。处理器1420可基于接入信息建立与CAPIF核心功能的安全会话。处理器1420可控制收发器向CAPIF核心功能发送接入API调用器请求消息和接入凭证,并基于在CAPIF核心功能处验证接入凭证的结果,接收接入API调用器响应消息。
存储器1430可存储由API调用器1400获得的信号中包括的控制信息或数据。存储器1430可连接至处理器1420,并存储用于所提出的功能、过程和/或方法的至少一个指令或协议或参数。存储器1430可包括只读存储器(ROM)和/或随机存取存储器(RAM)和/或硬盘和/或CD-ROM和/或DVD和/或其他存储装置。
图15是示出根据本公开的另一实施方式的API调用器1500的图。
参照图15,API调用器1500可包括收发器1510、处理器1520和存储器1530。然而,所有示出的组件不是必要的。API调用器1500可通过比图15中所示的组件更多或更少的组件来实现。此外,根据另一实施方式,收发器1510、处理器1520和存储器1530可被实现为单个芯片。
现在将详细描述前述组件。
收发器1510可包括:用于上转换和放大传输信号的RF发射器以及用于下转换所接收的信号的频率的RF接收器。然而,根据另一实施方式,收发器1510可由比组件中示出的组件更多或更少的组件来实现。
收发器1510可连接到处理器1520并且发送和/或接收信号。信号可包括控制信息和数据。另外,收发器1510可通过无线信道接收信号并将信号输出到处理器1520。收发器1510可通过无线信道发送从处理器1520输出的信号。
处理器1520可包括控制所提出的功能、过程和/或方法的一个或多个处理器或其他处理装置。API调用器1500的操作可由处理器1520实现。
处理器1520可基于包括接入凭证的接入信息建立与API调用器的安全会话。处理器1520可从API调用器接收接入API调用器请求消息以及接入凭证。处理器1520可验证接入凭证并控制收发器基于验证接入凭证的结果发送接入API调用器响应消息。
存储器1530可存储由API调用器1500获得的信号中包括的控制信息或数据。存储器1530可连接至处理器1520,并存储用于所提出的功能、过程和/或方法的至少一个指令或协议或参数。存储器1530可包括只读存储器(ROM)和/或随机存取存储器(RAM)和/或硬盘和/或CD-ROM和/或DVD和/或其他存储装置。
本文公开的实施方式可使用在至少一个硬件装置上运行并执行网络管理功能以控制元件的至少一个软件程序来实现。
对特定实施方式的前述描述将充分地揭示本文中的实施方式的一般性质,以至于在不脱离一般概念的情况下,其他人可以通过应用当前的知识而容易地修改和/或适应于这种特定实施方式的各种应用,并且因此,这种适应和修改应当并旨在所公开的实施方式的等同含义和范围内被理解。应当理解,本文采用的措词或术语是出于描述的目的而非限制。因此,尽管已根据优选实施方式描述了本文的实施方式,但是本领域技术人员将认识到,可利用在如本文描述的实施方式的精神和范围内的修改来实践本文的实施方式。

Claims (14)

1.无线通信系统中的应用编程接口API调用器,所述API调用器包括:
收发器;以及
处理器,与所述收发器联接并配置为:
通过所述收发器从服务提供器获得接入信息,所述接入信息包括接入凭证和通用API框架CAPIF核心功能的信息,其中,所述接入信息用于认证向所述CAPIF核心功能接入所述API调用器,并且其中,所述接入凭证包括OAuth 2.0访问令牌,所述OAuth 2.0访问令牌被编码为JSON web令牌;
使用所述接入信息建立与所述CAPIF核心功能的传输层安全TLS会话,其中,所述TLS会话是基于服务器侧证书认证建立的;
在建立所述TLS会话之后,通过所述收发器将接入API调用器请求消息连同所述接入凭证一起发送到所述CAPIF核心功能,以及
在所述接入凭证被成功验证的情况下,通过所述收发器从所述CAPIF核心功能接收接入API调用器响应消息。
2.根据权利要求1所述的API调用器,其中,所述CAPIF核心功能的信息包括地址和根证书颁发机构CA证书。
3.根据权利要求1所述的API调用器,其中,所述处理器还配置为:
生成包括私钥和公钥的密钥对,以及
连同所述接入API调用器请求消息一起提供所述公钥。
4.根据权利要求1所述的API调用器,其中,所述接入API调用器响应消息包括分配的API调用器标识符ID、认证和授权信息以及API调用器的证书。
5.根据权利要求1所述的API调用器,其中,所述服务提供器包括:API公开功能AEF、API发布功能APF和API管理功能AMF。
6.根据权利要求1所述的API调用器,其中,所述接入API调用器请求消息包括所述API调用器将要调用的API的列表。
7.根据权利要求1所述的API调用器,其中,所述接入API调用器响应消息包括允许被调用的API的列表。
8.根据权利要求1所述的API调用器,其中,响应于由证书颁发机构发布所述API调用器的证书,所述接入API调用器请求消息包括所述证书。
9.无线通信系统中的通用API框架CAPIF核心功能件,所述CAPIF核心功能件包括:
收发器;以及
处理器,与所述收发器联接,并配置为:
基于服务器侧证书认证,建立与应用编程接口API调用器的传输层安全TLS会话,其中,所述TLS会话与从服务提供器提供的接入信息相关联,其中,所述接入信息包括接入凭证和所述CAPIF核心功能件的信息,其中,所述接入信息用于认证向所述CAPIF核心功能件接入所述API调用器,并且其中,所述接入凭证包括OAuth 2.0访问令牌,所述OAuth 2.0访问令牌被编码为JSON web令牌;
在建立所述TLS会话之后,通过所述收发器从所述API调用器接收接入API调用器请求消息和所述接入凭证,
验证所述接入凭证,以及
在所述接入凭证被成功验证的情况下,通过所述收发器向所述API调用器发送接入API调用器响应消息。
10.根据权利要求9所述的CAPIF核心功能件,其中,所述处理器还配置为:
响应于成功验证所述接入凭证,生成API调用器简档,所述API调用器简档包括所述API调用器与API公开功能AEF之间的认证和授权信息。
11.根据权利要求10所述的CAPIF核心功能件,其中,响应于证书颁发机构发布所述API调用器的证书并且所述证书颁发机构被确定为是可信的,所述API调用器简档包括所述证书。
12.根据权利要求9所述的CAPIF核心功能件,其中,所述接入API调用器响应消息包括分配的API调用器标识符ID、认证和授权信息以及API调用器的证书。
13.通过无线通信系统中的应用编程接口API调用器执行的方法,所述方法包括:
从服务提供器获得接入信息,其中,所述接入信息包括接入凭证和通用API框架CAPIF核心功能的信息,其中,所述接入信息用于认证向所述CAPIF核心功能接入所述API调用器,并且其中,所述接入凭证包括OAuth 2.0访问令牌,所述OAuth 2.0访问令牌被编码为JSONweb令牌;
使用所述接入信息建立与所述CAPIF核心功能的传输层安全TLS会话,其中,所述TLS会话是基于服务器侧证书认证建立的;
在建立所述TLS会话之后,将接入API调用器请求消息连同所述接入凭证一起发送到所述CAPIF核心功能;以及
在所述接入凭证被成功验证的情况下,从所述CAPIF核心功能接收接入API调用器响应消息。
14.通过通用API框架CAPIF核心功能执行的方法,所述方法包括:
基于服务器侧证书认证,建立与应用编程接口API调用器的传输层安全TLS会话,其中,所述TLS会话与从服务提供器提供的接入信息相关联,其中,所述接入信息包括接入凭证和所述CAPIF核心功能的信息,其中,所述接入信息用于认证向所述CAPIF核心功能接入所述API调用器,并且其中,所述接入凭证包括OAuth 2.0访问令牌,所述OAuth 2.0访问令牌被编码为JSON web令牌;
在建立所述TLS会话之后,从所述API调用器接收接入API调用器请求消息和所述接入凭证;
验证所述接入凭证;以及
在所述接入凭证被成功验证的情况下,向所述API调用器发送接入API调用器响应消息。
CN201980024053.8A 2018-04-06 2019-04-08 用于执行接入的方法与装置 Active CN112438041B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IN201841013296 2018-04-06
IN201841013296 2019-04-04
PCT/KR2019/004140 WO2019194665A1 (en) 2018-04-06 2019-04-08 Method and device for performing onboarding

Publications (2)

Publication Number Publication Date
CN112438041A CN112438041A (zh) 2021-03-02
CN112438041B true CN112438041B (zh) 2024-07-19

Family

ID=68102085

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980024053.8A Active CN112438041B (zh) 2018-04-06 2019-04-08 用于执行接入的方法与装置

Country Status (4)

Country Link
US (1) US12095756B2 (zh)
EP (1) EP3753234A4 (zh)
CN (1) CN112438041B (zh)
WO (1) WO2019194665A1 (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110661638B (zh) * 2018-06-30 2021-04-20 华为技术有限公司 一种通信方法及装置
CN111148076B (zh) * 2018-11-05 2023-03-24 华为技术有限公司 一种api发布方法及装置
US11303731B2 (en) * 2019-02-16 2022-04-12 Samsung Electronics Co., Ltd. Method and apparatus for registering API provider domain function entities on CAPIF core function entity
US11526928B2 (en) * 2020-02-03 2022-12-13 Dell Products L.P. System and method for dynamically orchestrating application program interface trust
JP7346745B2 (ja) * 2020-02-14 2023-09-19 テレフオンアクチーボラゲット エルエム エリクソン(パブル) サービスapi発行のための方法及びネットワークエンティティ
WO2021224545A1 (en) * 2020-05-05 2021-11-11 Nokia Technologies Oy Enhanced registration in communication networks
US20230015697A1 (en) * 2021-07-13 2023-01-19 Citrix Systems, Inc. Application programming interface (api) authorization
WO2023186579A1 (en) * 2022-03-29 2023-10-05 Sony Group Corporation A method for enabling a wireless device to access a service api, a related wireless device and related network nodes
CN117795905A (zh) * 2022-07-29 2024-03-29 北京小米移动软件有限公司 Api调用者认证方法以及装置、通信设备及存储介质

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100568233B1 (ko) * 2003-10-17 2006-04-07 삼성전자주식회사 인증서를 이용한 기기 인증 방법 및 상기 방법을 이용하여기기 인증을 수행하는 디지털 컨텐츠 처리 기기
US20060294366A1 (en) 2005-06-23 2006-12-28 International Business Machines Corp. Method and system for establishing a secure connection based on an attribute certificate having user credentials
US8621598B2 (en) * 2008-03-12 2013-12-31 Intuit Inc. Method and apparatus for securely invoking a rest API
TW201345217A (zh) * 2012-01-20 2013-11-01 Interdigital Patent Holdings 具區域功能性身份管理
CN103220259B (zh) * 2012-01-20 2016-06-08 华为技术有限公司 Oauth API的使用、调用方法、设备及系统
EP2901766A2 (en) * 2012-09-27 2015-08-05 Interdigital Patent Holdings, Inc. End-to-end architecture, api framework, discovery, and access in a virtualized network
CN104598257B (zh) * 2013-10-30 2019-01-18 华为技术有限公司 远程应用程序运行的方法和装置
US10193700B2 (en) * 2015-02-27 2019-01-29 Samsung Electronics Co., Ltd. Trust-zone-based end-to-end security
US9665534B2 (en) * 2015-05-27 2017-05-30 Red Hat Israel, Ltd. Memory deduplication support for remote direct memory access (RDMA)
US10412068B2 (en) * 2015-12-07 2019-09-10 Salesforce.Com, Inc. API authentication
US10171457B2 (en) 2015-12-29 2019-01-01 International Business Machines Corporation Service provider initiated additional authentication in a federated system
US10243946B2 (en) * 2016-11-04 2019-03-26 Netskope, Inc. Non-intrusive security enforcement for federated single sign-on (SSO)
WO2018113130A1 (zh) * 2016-12-22 2018-06-28 华为技术有限公司 应用程序授权方法、终端及服务器
KR102607571B1 (ko) * 2017-05-02 2023-11-30 삼성전자주식회사 무선 통신 시스템에서 네트워크 기반의 노스바운드 어플리케이션 프로그래밍 인터페이스를 제공하기 위한 장치 및 방법
JP7178365B2 (ja) * 2017-05-05 2022-11-25 マイクロソフト テクノロジー ライセンシング,エルエルシー サービス能力公開機能(scef)ベースのインターネットオブシングス(iot)通信の方法とシステム
KR102382851B1 (ko) * 2017-07-04 2022-04-05 삼성전자 주식회사 eSIM 단말과 서버가 디지털 인증서를 협의하는 방법 및 장치
WO2019118964A1 (en) * 2017-12-15 2019-06-20 Idac Holdings, Inc. Enhanced nef function, mec and 5g integration
CN114706634A (zh) * 2018-01-15 2022-07-05 华为技术有限公司 一种系统、程序以及计算机可读存储介质
EP3777084B1 (en) 2018-04-06 2024-07-10 NEC Corporation Security procedures for common api framework in next generation networks

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
《3GPP》. "3GPP TSG-SA WG6 Meeting #21 S6-180132".3GPP tsg_sa\TSG_SA.2018,第1-46页. *
《3GPP》. "Technical Report 3rd Generation Partnership Project *
Study on Common API Framework for 3GPP Northbound APIs (Release 15),3GPP TR 23.722 V15.1.0 (2018-04)".3GPP Specs\23_series.2018,第1-65. *
Technical Specification Group Services and System Aspects *

Also Published As

Publication number Publication date
EP3753234A4 (en) 2021-04-14
US20210037007A1 (en) 2021-02-04
US12095756B2 (en) 2024-09-17
CN112438041A (zh) 2021-03-02
EP3753234A1 (en) 2020-12-23
WO2019194665A1 (en) 2019-10-10

Similar Documents

Publication Publication Date Title
CN112438041B (zh) 用于执行接入的方法与装置
EP3695575B1 (en) Method and system for authenticating application program interface (api) invokers
US11039311B2 (en) Profile download method and apparatus for use in wireless communication system
US11943615B2 (en) Method and apparatus for discussing digital certificate by ESIM terminal and server
EP3293993B1 (en) Method and apparatus for providing profile
CN107873137B (zh) 用于管理通信系统中的简档的技术
CN110024426B (zh) 通过eSIM进行访问控制的装置及方法
CN113796111A (zh) 在无线通信系统中提供移动边缘计算服务的装置和方法
US20220263832A1 (en) Method and server for providing user consent to edge application
CN111406397B (zh) 用于在通信系统中管理事件的方法和装置
CN113785532A (zh) 用于管理和验证证书的方法和装置
KR20190117302A (ko) eUICC 버전을 협상하는 방법 및 장치
CN116368833A (zh) 针对边缘计算服务的安全连接的建立和认证的方法和系统
CN118632229A (zh) 用于授权远程简档管理的方法、装置和系统
US20220150696A1 (en) Method and apparatus for establishing secure connections for edge computing services
CN112567772B (zh) 用于授权远程简档管理的方法、装置和系统
WO2023178686A1 (zh) 安全实现方法、装置、终端设备、网元、及凭证生成设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant