CN112822678A - 一种服务化架构授权的方法 - Google Patents

一种服务化架构授权的方法 Download PDF

Info

Publication number
CN112822678A
CN112822678A CN201911052387.4A CN201911052387A CN112822678A CN 112822678 A CN112822678 A CN 112822678A CN 201911052387 A CN201911052387 A CN 201911052387A CN 112822678 A CN112822678 A CN 112822678A
Authority
CN
China
Prior art keywords
token
network element
service
certificate information
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911052387.4A
Other languages
English (en)
Other versions
CN112822678B (zh
Inventor
李飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201911052387.4A priority Critical patent/CN112822678B/zh
Publication of CN112822678A publication Critical patent/CN112822678A/zh
Application granted granted Critical
Publication of CN112822678B publication Critical patent/CN112822678B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Abstract

本申请实施例公开了一种服务化架构授权的方法及装置,该方法包括:第一网络存储功能网元接收令牌请求后生成令牌,所述第一网络存储功能在所述令牌中写入服务通信代理SCP证书信息,并将携带所述证书信息的令牌返回至令牌请求的发送方;服务提供者网络功能接收服务请求,所述服务请求携带包含所述SCP证书信息的令牌或者携带所述令牌以及证书信息校验结果;如果所述服务请求不包含证书信息校验结果,所述服务提供者网络功能则校验所述SCP的证书信息;若校验结果为成功则继续授权流程。通过上述技术方案,能够解决引入服务通信代理后,服务提供者网络功能无法校验令牌中证书信息的问题。

Description

一种服务化架构授权的方法
技术领域
本申请涉及通信技术领域,尤其涉及一服务化架构授权的方法。
背景技术
第五代移动通信系统(the Fifth Generation,5G)采用服务化架构(ServiceBased Architecture,SBA)。第三代合作伙伴计划(3rd Generation PartnershipProject,3GPP)还提出了服务化架构的增强(enhancement of Service BasedArchitecture,eSBA)。在SBA或者eSBA中,所有网络功能(Network Function,NF)均支持传输层安全(Transport Layer Security,TLS)。NF允许其他授权的NF访问其服务。网络存储功能(NF Repository Function,NRF)为NF提供管理,发现和授权等服务。服务请求者NF通过向NRF请求授权,获得服务对应的令牌,NRF还会将该服务请求者NF的证书信息写入该令牌,服务请求者NF根据这个令牌向拥有该服务的服务提供者NF请求此项服务。服务提供者NF接收服务请求者发送的服务请求后,校验服务请求的合法性。
3GPP的R16(Release 16)中引入了服务通信代理(Service CommunicationProxy,SCP),SCP可以用于NF之间的间接通信,NF的服务请求可以由SCP代理。现有技术中,当SCP代理服务请求者NF向服务提供者NF请求服务时,令牌中的证书信息为服务提供者的证书信息,服务提供者接收SCP发送的服务请求后,无法校验服务请求的合法性。
发明内容
本申请提出一服务化架构授权的方法及装置,用以解决授权流程中引入SCP后服务提供者网络功能无法校验服务请求的合法性的问题。
本申请提出的授权方法涉及第一网络功能网元、第二网络功能网元、第一网络存储功能网元、第二网络存储功能网元、第一服务通信代理网元、第二服务通信代理网元等。其中第一网络功能可以是服务请求者网络功能(service consumer NF),第二网络功能网元可以是服务提供者网络功能(service producer NF),第一网络存储功能可以是cNRF,第二网络存储功能可以是pNRF,第一服务通信代理可以是cSCP,第二服务通信代理可以是pSCP。上述“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
第一方面,提供一种授权方法,该方法包括:
第一网络功能网元向第一网络存储功能网元发送令牌请求,该令牌请求携带服务通信代理(SCP)证书信息。第一网络存储功能网元接收该令牌请求后向第二网络存储功能网元转发该令牌请求,响应于接收到的令牌请求,第二网络存储功能网元授权并生成令牌,该令牌携带服务通信代理(SCP)证书信息。
在一种可能的实现中,第二网络存储功能网元生成令牌,包括在令牌中写入上述令牌请求中的SCP证书信息,即第一网络功能网元通过第一网络存储功能网元发送的SCP证书信息,其中该SCP证书信息为第一网络功能网元侧的第一服务通信代理网元的证书信息;
在另一种可能的实现中,在生产令牌之前,第二网络存储功能网元向第二网络功能网元发送证书信息请求消息,第二网络功能网元接收证书信息请求消息向第二网络存储功能网元返回SCP证书信息,其中该SCP证书信息为第二网络功能网元侧的第二服务通信代理网元的证书信息;第二网络存储功能网元接收该SCP证书信息后生成令牌,包括在该令牌中写入第二网络功能网元发送的SCP证书信息。
第二网络存储功能网元向第一网络存储功能网元发送所生成的携带SCP证书信息的令牌;第一网络存储功能网元接收该令牌后向第一网络功能网元转发该令牌。
第一网络功能网元向第一服务通信代理网元发送服务请求,其中该服务请求携带第一网络功能网元从第一存储功能网元接收的令牌,该令牌中包含SCP证书信息。
第一服务通信代理网元接收服务请求后,向第二服务通信代理网元转发该服务请求。
在一种可能的实现中,该服务请求携带的令牌中包含的SCP证书信息为第一服务通信代理的证书信息,第二服务通信代理网元接收该服务请求后,校验该服务请求中的SCP证书信息;
具体地,第二服务通信代理网元根据TLS证书校验所述SCP证书信息,其中所述TLS证书为所述第一服务通信代理网元与所述第二服务通信代理网元间建立的传输链路中的证书。
第二服务通信代理网元完成SCP证书信息的校验后向第二网络功能网元发送校验SCP证书信息的校验结果;
在另一种可能的实现中,第一服务通信代理网元向第二服务通信代理网元转发的服务请求携带的令牌中包含第二服务通信代理的证书信息,第二服务通信代理网元接收该服务请求后,向第二网络功能网元转发该服务请求,第二网络功能网元接收携带令牌的服务请求后校验该令牌中的SCP证书信息;
具体地,第二网络功能根据TLS证书校验所述SCP证书信息,其中所述TLS证书为所述第二服务通信代理网元与所述第二网络功能网元建立的传输链路中的证书。
如果第二网络功能网元校验SCP证书信息的校验结果为校验成功或者第二网络功能网元从第二服务通信代理网元接收到的证书信息校验结果为校验成功,则第二网络功能向第一网络功能网元提供服务。具体地,第二网络功能继续校验令牌,若令牌校验成功则通过第二服务通信代理网元以及第一通信服务代理网元向第一网络功能网元返回服务响应。
在一种可能的实现中,第一方面中的第一网络存储功能网元和第二网络存储功能网元为同一网络存储功能网元。此时,第一网络功能网元向该网络存储功能网元发送令牌请求;响应于该令牌请求,网络存储功能网元生成携带SCP证书信息的令牌,其中,该SCP证书信息为第一网络功能网元发送的令牌请求中携带的SCP证书信息,或者为该网络存储功能网元从第二网络功能网元处获取的SCP证书信息;网络存储功能网元向第一网络功能网元返回所生成的令牌;
第一网络功能网元向第一服务通信代理网元发送服务请求,其中该服务请求携带第一网络功能网元从网络存储功能网元接收的令牌,该令牌中包含SCP证书信息。后续步骤同上述第一方面中所描述的步骤,此处不再赘述。
第二方面,提供一种授权方法,该方法包括:
第二网络存储功能网元接收第一网络存储功能网元转发的来自第一网络功能网元的令牌请求,该令牌请求携带服务通信代理(SCP)证书信息;
响应于第一网络存储功能网元发送的令牌请求,第二网络存储功能网元生成令牌,其中,该令牌携带服务通信代理(SCP)证书信息。
在一种可能的实现中,该令牌中的SCP证书信息为令牌请求中所携带的SCP证书信息,该SCP证书信息为第一网络功能网元对应的服务通信代理的证书信息;
在另一种可能的实现中,该令牌中的SCP证书信息为第二网络功能网元所对应的服务通信代理网元的证书信息。具体地,第二网络存储功能网元向第二网络功能网元请求证书信息,第二网络存储功能接收第二网络功能网元返回的第二网络功能网元所对应的服务通信代理的证书信息。第二网络存储功能网元向所述第一网络存储功能网元发送令牌响应,该令牌响应携带第二网络存储功能网元所生成的令牌。
该令牌用于第一网络功能网元通过服务通信代理网元向第二网络功能网元请求服务。
第三方面,提供一种授权方法,该方法包括:
第二服务通信代理网元接收第一服务通信代理网元转发的来自第一网络功能网元的服务请求,该服务请求中携带令牌,令牌中包含服务通信代理(SCP)证书信息;该SCP证书信息为
第一服务通信代理网元的证书信息。
第二服务通信代理网元校验所接收的令牌中的SCP证书信息以获取证书信息校验结果,具体地,第二服务通信代理网元根据TLS证书校验所述SCP证书信息,其中所述TLS证书为所述第二服务通信代理网元与所述第一服务通信代理网元间建立的传输链路中的证书。
所述第二服务通信代理网元向第二网络功能网元发送上述证书信息校验结果。
第四方面,提供一种授权方法,该方法包括:
第二网络功能网元接收第二服务通信代理网元发送的服务请求,该服务请求为第二服务通信代理转发的来自第一网络功能网元的服务请求,该服务请求中携带令牌,令牌中包含服务通信代理(SCP)证书信息;该SCP证书信息为第二服务通信代理网元的证书信息。
第二网络功能网元校验所接收的令牌中的SCP证书信息以获取证书信息校验结果,具体地,第二网络功能网元根据TLS证书校验所述SCP证书信息,其中所述TLS证书为所述第二网络功能网元与所述第二服务通信代理网元间建立的传输链路中的证书。
第五方面,提供一种授权方法,该方法包括:
第一网络功能网元向第一网络存储功能网元发送令牌请求,该令牌请求携带第一网络功能的证书信息以及第一服务通信代理的证书信息。第一网络存储功能网元接收该令牌请求后向第二网络存储功能网元转发该令牌请求,响应于接收到的令牌请求,第二网络存储功能网元授权并生成令牌,该令牌携带第一网络功能的证书信息。第二网络存储功能网元向第一网络存储功能网元发送所生成的令牌,第一网络存储功能网元向第一网络功能网元转发接收到的令牌。
第一网络功能网元向第一服务通信代理网元发送服务请求,其中,该服务请求携带第一网络功能网元从第一网络存储功能网元接收的令牌,该令牌中包含第一网络功能的证书信息。第一服务通信代理网元接收携带令牌的服务请求后,校验令牌中的证书信息,以获取证书信息校验结果。具体地,第一服务通信代理网元根据TLS证书校验所述第一网络功能的证书信息,其中所述TLS证书为所述第一网络功能网元与第一服务通信代理网元之间建立的传输链路中的证书。
第一服务通信代理网元完成第一网络功能证书信息的校验后向第二服务通信代理网元发送证书信息校验结果;第二服务通信代理网元接收校验第一网络功能证书信息的证书信息校验结果后向第二网络功能网元转发该证书信息校验结果。
如果第二网络功能网元从第二服务通信代理网元接收到的证书消息校验结果为校验成功,则第二网络功能网元向第一网络功能网元提供服务。具体地,第二网络功能网元继续校验令牌,若令牌校验成功则通过第二服务通信代理网元以及第一服务通信代理网元向第一网络功能网元返回服务响应。
在一种可能的实现中,第二方面中的第一网络存储功能网元和第二网络存储功能网元为同一网络存储功能网元。此时,第一网络功能网元向该网络存储功能网元发送令牌请求;响应于该令牌请求,网络存储功能网元生成携带第一网络功能证书信息的令牌;网络存储功能网元向第一网络功能网元返回所生成的令牌;第一网络功能网元向第一服务通信代理网元发送服务请求,其中该服务请求携带第一网络功能网元从网络存储功能网元接收的令牌,该令牌中包含第一网络功能证书信息。后续步骤同上述第五方面中所描述的步骤,此处不再赘述。
第六方面,提供一种授权方法,该方法包括:
第一网络功能网元向第一网络存储功能网元发送令牌请求,该令牌请求携带服务通信代理(SCP)证书信息。第一网络存储功能网元接收该令牌请求后向第二网络存储功能网元转发该令牌请求,响应于接收到的令牌请求,第二网络存储功能网元授权并生成令牌,该令牌携带SCP证书信息。
在一种可能的实现中,第二网络存储功能网元生成令牌,包括在令牌中写入上述令牌请求中的SCP证书信息,即第一网络功能网元通过第一网络存储功能网元发送的SCP证书信息,其中该SCP证书信息为第一网络功能网元侧的第一服务通信代理的证书信息。
第二网络存储功能网元向第一网络存储功能网元发送所生成的携带SCP证书信息的令牌;第一网络存储功能网元接收该令牌后向第一网络功能网元转发该令牌。
第一网络功能网元向第一服务通信代理网元发送服务请求,其中该服务请求携带第一网络功能网元从第一网络存储功能网元接收的令牌,该令牌中包含SCP证书信息。第一服务通信代理网元接收携带令牌的服务请求后,向第二网络功能网元转发该服务请求。
第二网络功能网元接收到该携带令牌的服务请求后,校验该令牌中的SCP证书信息;具体地,第二网络功能网元根据TLS证书校验所述SCP证书信息,其中所述TLS证书为所述第一服务通信代理网元与所述第二网络功能网元之间建立的传输链路中的证书。
如果第二网络功能网元校验SCP证书信息的校验结果为校验成功,则第二网络功能网元向第一网络功能网元提供服务;具体地,第二网络功能网元继续校验令牌,若令牌校验成功则通过第一通信服务代理网元向第一网络功能网元返回服务响应。
在一种可能的实现中,第三方面中的第一网络存储功能网元和第二网络存储功能网元为同一网络存储功能网元。此时,第一网络功能向该网络存储功能网元发送令牌请求;响应于该令牌请求,网络存储功能网元生成携带SCP证书信息的令牌,其中,该SCP证书信息为第一网络功能网元发送的令牌请求中携带的SCP证书信息;网络存储功能网元向第一网络功能网元返回所生成的令牌;第一网络功能网元向第一服务通信代理网元发送服务请求,其中该服务请求携带第一网络功能网元从网络存储功能网元接收的令牌,该令牌中包含SCP证书信息。后续步骤同上述第六方面中所描述的步骤,此处不再赘述。
第七方面,提供一种授权装置,包括接收模块,用于接收第一网络存储功能网元转发的令牌请求;处理模块,用于生成令牌,该令牌携带服务通信代理(SCP)证书信息;发送模块,用于向第一网络存储功能网元发送令牌。
该装置具有实现上述第一方面的任意一种可能的设计中第二网络存储功能网元行为的功能。
第八方面,提供一种授权装置,包括接收模块,用于接收第一服务通信代理网元发送的携带令牌的服务请求;处理模块,用于校验接收模块收到的令牌中的证书信息;发送模块,用于向第二网络功能网元发送处理模块校验证书信息的校验结果。
该装置具有实现上述第一方面的任意一种可能的设计中第二服务通信代理网元行为的功能。
第九方面,提供一种授权装置,包括接收模块,用于接收第二服务通信代理网元发送的携带令牌的服务请求;处理模块,用于校验接收模块接收的令牌中的证书信息;发送模块,用于向第二服务通信代理网元发送服务响应。
该装置具有实现上述第一方面的任意一种可能的设计中第二网络功能网元行为的功能。
第十方面,提供一种授权装置,包括接收模块,用于接收第一网络存储功能网元转发的令牌请求;处理模块,用于生成令牌,该令牌携带服务通信代理(SCP)证书信息;发送模块,用于向第一网络存储功能网元发送令牌;
该装置具有实现上述第二方面的任意一种可能的设计中第二网络存储功能网元行为的功能。
第十一方面,提供一种授权装置,包括接收模块,用于接收第一服务通信代理网元发送的携带令牌的服务请求;处理模块,用于校验接收模块收到的令牌中的证书信息;发送模块,用于向第二网络功能网元发送处理模块校验证书信息的校验结果。
该装置具有实现上述第三方面的任意一种可能的设计中第二服务通信代理网元行为的功能。
第十二方面,提供一种授权装置,包括接收模块,用于接收第二服务通信代理网元发送的携带令牌的服务请求;处理模块,用于校验接收模块接收的令牌中的证书信息;发送模块,用于向第二服务通信代理网元发送服务响应。
该装置具有实现上述第四方面的任意一种可能的设计中第二网络功能网元行为的功能。
第十三方面,提供一种授权装置,包括接收模块,用于接收第一网络存储功能网元转发的令牌请求;处理模块,用于生成令牌,该令牌携带第一网络功能的证书信息;发送模块,用于向第一网络存储功能网元发送令牌。
该装置具有实现上述第五方面的任意一种可能的设计中第二网络存储功能网元行为的功能。
第十四方面,提供一种授权装置,包括接收模块,用于接收第一网络功能网元发送的携带令牌的服务请求;处理模块,用于校验接收模块接收到的令牌中的证书信息;发送模块,用于向第二服务通信代理网元发送服务请求,该服务请求中携带处理模块校验证书信息的校验结果。
该装置具有实现上述第五方面的任意一种可能的设计中第一服务通信代理网元行为的功能。
第十五方面,提供一种授权装置,包括接收模块,用于接收第一网络存储功能网元转发的令牌请求;处理模块,用于生成令牌,该令牌携带服务通信代理(SCP)证书信息;发送模块,用于向第一网络存储功能网元发送令牌。
该装置具有实现上述第六方面的任意一种可能的设计中第二网络存储功能网元行为的功能。
第十六方面,提供一种授权装置,包括接收模块,用于接收第一服务通信代理网元发送的携带令牌的服务请求;处理模块,用于校验接收模块接收的令牌中的证书信息;发送模块,用于向第一服务通信代理网元发送服务响应。
该装置具有实现上述第六方面的任意一种可能的设计中第二网络功能网元行为的功能。
第十七方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;其中,存储单元用于存储计算机指令,通信接口用于收发数据,处理器用于执行存储单元存储的计算机指令。
处理器执行上述计算机指令以实现上述第一方面的任意一种可能的设计中第二网络存储功能网元行为的功能。
第十八方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;其中,存储单元用于存储计算机指令,通信接口用于收发数据,处理器用于执行存储单元存储的计算机指令。
处理器执行上述计算机指令以实现上述第一方面的任意一种可能的设计中第二服务通信代理网元行为的功能。
第十九方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;其中,存储单元用于存储计算机指令,通信接口用于收发数据,处理器用于执行存储单元存储的计算机指令。
处理器执行上述计算机指令以实现上述第一方面的任意一种可能的设计中第二网络功能网元行为的功能。
第二十方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;其中,存储单元用于存储计算机指令,通信接口用于收发数据,处理器用于执行存储单元存储的计算机指令。
处理器执行上述计算机指令以实现上述第二方面的任意一种可能的设计中第二网络存储功能网元行为的功能。
第二十一方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;其中,存储单元用于存储计算机指令,通信接口用于收发数据,处理器用于执行存储单元存储的计算机指令。
处理器执行上述计算机指令以实现上述第三方面的任意一种可能的设计中第二服务通信代理网元行为的功能。
第二十二方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;其中,存储单元用于存储计算机指令,通信接口用于收发数据,处理器用于执行存储单元存储的计算机指令。
处理器执行上述计算机指令以实现上述第四方面的任意一种可能的设计中第二网络功能网元行为的功能。
第二十三方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;其中,存储单元用于存储计算机指令,通信接口用于收发数据,处理器用于执行存储单元存储的计算机指令。
处理器执行上述计算机指令以实现上述第五方面的任意一种可能的设计中第二网络存储功能网元行为的功能。
第二十四方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;其中,存储单元用于存储计算机指令,通信接口用于收发数据,处理器用于执行存储单元存储的计算机指令。
处理器执行上述计算机指令以实现上述第五方面的任意一种可能的设计中第一服务通信代理网元行为的功能。
第二十五方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;其中,存储单元用于存储计算机指令,通信接口用于收发数据,处理器用于执行存储单元存储的计算机指令。
处理器执行上述计算机指令以实现上述第六方面的任意一种可能的设计中第二网络存储功能网元行为的功能。
第二十六方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;其中,存储单元用于存储计算机指令,通信接口用于收发数据,处理器用于执行存储单元存储的计算机指令。
处理器执行上述计算机指令以实现上述第六方面的任意一种可能的设计中第二网络功能网元行为的功能。
第二十七方面,提供一种非易失性计算机可读存储介质,该非易失性计算机可读存储介质存储计算机程序,所述计算机程序被处理器执行,以完成本申请实施例提供的任意一个设备执行的任意一种方法的部分或全部步骤。
第二十八方面,提供一种计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述计算机设备执行本申请实施例提供的任意一个设备执行的任意一种方法的部分或全部步骤。
可以看到本申请实施例中,网络存储功能接收令牌请求后生成携带证书信息的令牌,并向服务请求者网络功能发送该令牌,服务请求者网络功能通过服务通信代理向服务提供者网络功能请求服务时,携带该包含证书信息的令牌;当证书信息为SCP证书信息时,服务提供者网络功能或服务提供者网络功能侧的服务通信代理校验令牌中的证书信息,以校验服务请求的合法性;当证书信息为服务请求者网络功能的证书信息时,服务请求者网络功能侧的服务通信代理校验令牌中的证书信息,以校验服务请求的合法性。
由此可见,实施本申请实施例,能够实现引入服务通信代理后,服务提供者网络功能校验服务请求的合法性。
附图说明
为了更清楚地说明本申请实施例或背景技术中的技术方案,下面将对本申请实施例或背景技术中所需要使用的附图进行说明。
图1为本申请实施例涉及的一种网络系统架构图;
图2a,图2b和图2c为本申请实施例涉及的三种应用场景图;
图3为本申请实施例的一种授权方法的流程示意图;
图4为本申请实施例的又一种授权方法的流程示意图;
图5为本申请实施例的又一种授权方法的流程示意图;
图6为本申请实施例的又一种授权方法的流程示意图;
图7为本申请实施例的又一种授权方法的流程示意图;
图8为本申请实施例的一种装置的结构示意图;
图9为本申请实施例的一种设备的结构示意图。
具体实施方式
本申请实施例提供一种服务化架构的授权方法及装置,用以实现在授权流程中引入SCP后,服务提供者网络功能校验服务请求的合法性。其中,方法和装置是基于同一发明构思的,由于方法及装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
以下对本申请实施例中涉及的部分用语进行解释说明,以便于理解。
1)证书(certificate):指数字证书,一个经证书认证中心(CertificateAuthority,CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件,用于通信双方的身份认证。证书包含证书版本号(Version)、序列号(SerialNumber)、签名算法标识符(Signature)、颁发者名称(Issuer)、主体公钥信息(SubjectPublicKeyInfo)、有效期(validity)等信息;证书还可以包含颁发者的标识符(Issuer Unique Identifier)、主体标识符(Subject Unique Identifier)以及其他的扩展信息(Extensions)。本申请涉及服务通信代理的证书(SCP证书),服务请求者网络功能的证书,传输层安全(Transport LayerSecurity,TLS)证书等等。
2)证书信息:本申请实施例中,证书信息指根据证书进行提取或计算获取的信息,证书信息可以是证书本身;也可以是从证书中提取的某个字段或某些字段,例如序列号,签名算法标识符等等;还可以是根据上述证书进行计算的值,例如对证书进行哈希(hash)运算的证书哈希值。所述证书信息还可能是对上述证书进行其他的提取、计算等操作后的信息,本申请不作限制。
本申请实施例的描述中,“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请中所涉及的至少一个是指一个或多个;多个,是指两个或两个以上。另外,需要理解的是,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
本申请实施例提供的通信方法可以应用于5G通信系统或未来的各种通信系统。
下面结合本申请实施例中的附图对本申请实施例进行描述。本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释,而非旨在限定本申请。
5G通信系统中提出了服务化架构(Service Based Architecture,SBA)。SBA中包含多个网络功能NF,各个NF之间通过基于服务的接口(Service-based Interface,SBI)进行交互,其中一个NF可以提供一个或多个NF服务。NF服务可以采用“请求-反馈”或者“订阅-通知”的方式。每个NF可以作为服务的提供者(Service Producer)提供应用程序编程接口(Application Programming Interface,API)供其他NF调用,也可以作为服务的请求者(Service Consumer)调用其他NF的API。
图1为非漫游场景下一种可能的网络架构示意图,该网络架构由用户设备、接入网和运营商网络组成,运营商网络包括核心网和数据网,用户设备通过接入网节点接入运营商网络。具体描述如下:
用户设备(User Equipment,UE),UE为逻辑实体,具体的,UE可以是终端设备(Terminal Equipment)、通信设备(Communication Device)、物联网(Internet ofThings,IoT)设备、车联网设备中的任意一种。其中,终端设备可以是智能手机(smartphone)、智能手表(smart watch),智能平板(smart tablet)、穿戴式设备、机车(汽车或电动车)或车载终端等等;通信设备可以是服务器、网关(Gateway,GW)、控制器等等;物联网设备可以是传感器,电表以及水表等等。
无线接入网(Radio Access Network,RAN),RAN负责UE的接入,RAN可以是基站、无线保真(Wireless Fidelity,Wi-Fi)接入点,以及蓝牙接入点等。
数据网络(Data network,DN),数据网络DN也被称为PDN(Packet Data Network),DN可以为运营商外部网络,也可以为运营商控制的网络,用于向用户提供业务服务。
核心网(Core network,CN),CN作为承载网络提供到DN的接口,为UE提供通信连接、认证、管理、策略控制以及对数据业务完成承载等。其中,CN包括:接入和移动管理网元(Access and Mobility Management Function,AMF)、安全锚点功能(Security AnchorFunction,SEAF)、会话管理网元(Session Management Function,SMF)、用户面节点功能(User Plane Function,UPF)、认证服务器功能(Authentication Server Function,AUSF)、统一数据管理网元(Unified Data Manager,UDM)、网络暴露功能网元(NetworkExposure Function,NEF)、应用功能网元(Application Function,AF)、网络切片选择功能网元(Network Slice Selection Function,NSSF)、策略控制网元(Policy ControlFunction,PCF)、网络存储功能NRF、服务通信代理网元SCP等。
图1中,N1、N2、N3、N4和N6为相应网元之间的接口;Namf、Nsmf、Nausf、Nudm、Nnef、Npcf、Naf、Nnssf和Nnrf分别为AMF、SMF、AUSF、UDM、NEF、PCF、AF、NSSF和NRF所展现的服务化接口。
本申请主要应用于服务化架构中服务请求者(Service Consumer)NF向NRF获取令牌,从而向相应的服务提供者(Service Producer)NF请求服务的场景中。
图2a至图2c示出了本申请实施例涉及的可能的应用场景。其中,服务请求者NF具体可以为服务化架构中能调用功能服务的NF,例如AMF、SMF、AUSF等等;服务提供者NF具体可以为服务化架构中有功能服务可以被调用的NF,例如,SMF,AUSF,UDM等等;网络存储功能NRF负责NF自动化管理、选择和扩展,具体包括NF服务的注册登记、发现、状态监测、服务的授权等,实现网络功能和服务的按需配置及NF间的互连,举例来说NRF具有生成令牌,校验令牌等功能;cNRF为服务请求者NF所注册的NRF,pNRF为服务提供者NF所注册的NRF;cSCP为服务请求者NF侧的SCP,pSCP为服务提供者NF侧的SCP,服务通信代理SCP可以用于实现NF之间的通信转发,还可以用于实现负载均衡和NF选择,还可以具有NF注册、发现和服务授权等功能。
如图2a所示,服务请求者NF向cNRF请求用于向服务提供者NF请求服务的令牌,cNRF从pNRF处获取令牌并将令牌返回给服务请求者NF,cSCP代理服务请求者NF向服务提供者NF发送服务请求,pSCP代理服务提供者NF接收cSCP的服务请求,并返回服务响应。
如图2b所示,服务请求者NF从NRF处获取用于向服务提供者NF请求服务的令牌,cSCP代理服务请求者NF向服务提供者NF发送服务请求,pSCP代理服务提供者NF接收cSCP的服务请求,并返回服务响应。
如图2c所示,服务请求者NF向cNRF请求用于向服务提供者NF请求服务的令牌,cNRF从pNRF处获取令牌并将令牌返回给服务请求者NF,cSCP代理服务请求者向服务提供者发送服务请求,服务提供者接收cSCP的服务请求,并返回服务响应。
本申请实施例中,NF可以是AMF、SMF、AUSF、UDM、NEF、PCF、AF或NSSF中的网络功能网元。上述网元既可以是在专用硬件上实现的网络元件,也可以是在专用硬件上运行的软件实例,或者是在适当平台上虚拟化功能的实例。
基于上述可能的系统架构及应用场景,图3至图7示出了本申请实施例提供的可能的授权方法的流程图。
需要指出的是,本申请实施例涉及的令牌请求或令牌响应或服务请求或服务响应中除了包含本申请实施例所述的信息外,还可能包含其他信息,本申请不作限定。
参见图3,本申请实施例提供的授权方法之一的一种可能的流程如下所述。
该流程适用于图2a中的应用场景,涉及服务请求者NF,服务请求者NF所注册的网络存储功能cNRF,服务请求者NF侧的服务通信代理cSCP,服务提供者NF,服务提供者NF所注册的网络存储功能pNRF,服务提供者NF侧的服务通信代理pSCP等网元。本实施例中,pNRF收到cNRF发送的令牌请求后,在令牌中写入cSCP的证书信息;pSCP接收携带令牌的服务请求后对令牌中的证书信息进行校验,以校验服务请求的合法性。
S301、服务请求者NF向其所注册的网络存储功能cNRF发送令牌请求,相应的,cNRF接收服务请求者NF发送的令牌请求。
该令牌请求携带服务请求者NF对应的服务通信代理的证书信息,即本实施例中cSCP的证书信息,所述cSCP证书信息预先配置于服务请求者NF中。该令牌请求还携带服务请求者NF自身的证书信息以及其他授权和令牌生成所需的参数,本申请不作限定。
服务通信代理或服务请求者NF的证书包含证书版本号(Version)、序列号(SerialNumber)、签名算法标识符(Signature)、颁发者名称(Issuer)、主体公钥信息(SubjectPublicKeyInfo)、有效期(Validity)等信息。上述证书还可以包含颁发者的标识符(IssuerUniqueIdentifier)、主体标识符(SubjectUniqueIdentifier)以及其他的扩展信息(Extensions),本申请不作限定。
可能的,本申请实施例中所述的证书信息可以是上述证书本身;也可以是从证书中提取的某个字段或某些字段,例如序列号,签名算法标识符等等;还可以是根据上述证书进行计算的值,例如对证书进行哈希(hash)运算的证书哈希值。所述证书信息还可能是对上述证书进行其他的提取、计算等操作后的信息,本申请不作限制。
在另一种可能的实现中,服务提供者NF所注册的网络存储功能,即cNRF预先配置有服务通信代理的证书信息;服务提供者NF向cNRF发送的令牌请求中携带该服务提供者NF对应的服务通信代理的标识(SCP ID),即本实施例中cSCP的标识。
S302、cNRF接收包含cSCP证书信息的令牌请求后,将令牌请求转发给pNRF,相应的,pNRF接收令牌请求。
在另一种可能的实现中,cNRF预先配置有服务通信代理的证书信息,且服务请求者NF发送的令牌中包含SCP ID时,cNRF根据该SCP ID查询出与其对应的服务通信代理的证书信息,即本实施例中cSCP的证书信息,在令牌请求中写入该cSCP证书信息,并将该携带cSCP证书的令牌请求发送给pNRF。
S303、pNRF接收令牌请求后,获取令牌请求中的信息,结合本地配置的策略或授权信息等进行授权,pNRF授权成功后生成令牌。
生成令牌时,pNRF在令牌中写入上述令牌请求消息中的cSCP的证书信息。该令牌还包含令牌声明(Token Claim),该令牌声明中包含令牌发布者的标识,服务请求者NF的标识,服务提供者NF的标识,预期的服务名称,令牌的有效期等信息。
S304、pNRF向cNRF返回令牌响应,相应的,cNRF接收pNRF发送的令牌响应。
该令牌响应中携带pNRF生成的令牌,令牌中包含cSCP的证书信息。
S305、cNRF收到令牌响应后,将令牌响应转发给服务请求者NF,相应的,服务请求者NF接收cNRF发送的令牌响应。
该令牌响应中携带令牌,令牌中包含cSCP的证书信息。
S306~S309为服务请求者NF通过服务通信代理向服务提供者NF调用服务的过程。
S306、服务请求者NF向cSCP发送服务请求,相应的,cSCP接收服务请求者NF发送的服务请求。
该服务请求携带pNRF所生成的令牌,令牌中包含cSCP的证书信息。
S307、cSCP向pSCP发送服务请求,相应的,pSCP接收cSCP发送的服务请求。
cSCP接收服务请求者NF发送的携带令牌的服务请求后,向pSCP转发所接收到的服务请求。
S308、pSCP校验令牌中的证书信息。
pSCP接收cSCP发送的服务请求,该服务请求携带pNRF所生成的令牌,令牌中包含cSCP的证书信息。
pSCP接收携带令牌的服务请求后,校验令牌中的证书信息,包括,pSCP根据cSCP与pSCP之间的传输链路的TLS证书校验上述证书信息,具体地pSCP校验令牌中的cSCP证书信息和上述TLS证书信息是否一致。
其中cSCP证书信息或TLS证书信息,可以为cSCP证书或TLS证书本身,也可以是从cSCP证书或TLS证书中提取的某个或某些字段,例如序列号,主体等等,还可以是根据cSCP证书或TLS证书进行某种计算的值,例如对证书进行哈希(hash)运算的证书哈希值。所述证书信息还可能是对上述证书进行其他的提取、计算等操作后的信息,本申请不作限制。
若校验结果为一致则说明证书信息校验成功,否则说明证书信息校验失败。
若证书信息校验成功,pSCP则向服务提供者NF发送证书信息校验结果,并继续服务调用流程,即执行步骤S309;
若证书信息校验失败,则终止服务调用流程。可选的,pSCP可以向cSCP发送用于指示服务终止的消息。
S309、pSCP向服务提供者NF发送服务请求,相应的,服务提供者NF接收pSCP发送的服务请求。
该服务请求携带令牌以及S308中的证书信息校验结果。
若证书信息校验结果为校验成功,服务提供者NF继续校验令牌,包括服务提供者NF校验令牌的完整性以及校验令牌声明。
上述令牌校验通过后,服务提供者NF向pSCP发送服务响应,pSCP接收服务响应后将其转发给cSCP,再由cSCP将该服务响应转发给服务请求者NF。
本实施例中,服务请求者NF向cNRF发送携带cSCP证书信息的令牌请求,cNRF将接收到的令牌请求转发给pNRF,pNRF接收令牌请求后进行授权并向cNRF返回包含cSCP证书信息的令牌,cNRF向服务请求者NF转发该令牌;由cSCP代理服务请求者NF向pSCP发送携带令牌的服务请求,pSCP校验令牌中的证书信息,并向服务提供者NF发送携带令牌和证书信息校验结果的服务请求,以实现服务提供者NF校验所述服务请求的合法性。
参见图4,本申请实施例提供的授权方法之一的一种可能的流程如下所述。
该流程适用于图2b中的应用场景,涉及服务请求者NF,服务请求者NF侧的服务通信代理cSCP,服务提供者NF,服务提供者NF侧的服务通信代理pSCP以及网络存储功能NRF等网元。其中,服务请求者NF和服务提供者NF同时注册在NRF下。本实施例中,NRF收到服务请求者NF的携带cSCP证书信息的令牌请求后,向服务请求者返回令牌,该令牌中包含cSCP证书信息。cSCP代理服务请求者NF向pSCP发送携带令牌的服务请求,pSCP接收服务请求后对证书信息进行校验,以校验服务请求的合法性。本实施例中的授权方法与图3实施例中所述方法相比,区别在于,本实施例中服务请求者NF和服务提供者NF注册在同一NRF下。
S401、服务请求者NF向网络存储功能NRF发送令牌请求,相应的,NRF接收服务请求者NF发送的令牌请求。
该令牌请求携带服务请求者NF对应的服务通信代理的证书信息,即本实施例中cSCP的证书信息。该令牌请求还携带服务请求者NF自身的证书信息以及其他授权和令牌生成所需的参数,本申请不作限定。
服务通信代理或服务请求者NF的证书包含证书版本号(Version)、序列号(SerialNumber)、签名算法标识符(Signature)、颁发者名称(Issuer)、主体公钥信息(SubjectPublicKeyInfo)、有效期(validity)等信息。上述证书还可以包含颁发者的标识符(IssuerUniqueIdentifier)、主体标识符(SubjectUniqueIdentifier)以及其他的扩展信息(Extensions),本申请不作限定。
可能的,本申请实施例中所述的证书信息可以是上述证书本身;也可以是从证书中提取的某个字段或某些字段,例如序列号,签名算法标识符等等;还可以是根据上述证书进行计算的值,例如对证书进行哈希(hash)运算的证书哈希值,
所述证书信息还可能是对上述证书进行其他的提取、计算等操作后的信息,本申请不作限制。
在另一种可能的实现中,服务提供者NF所注册的网络存储功能,即NRF预先配置有服务通信代理的证书信息;服务提供者NF向NRF发送的令牌请求中携带该服务提供者NF对应的服务通信代理的标识(SCP ID),即本实施例中cSCP的标识。
S402、NRF进行授权并生成令牌。
NRF接收令牌请求后,获取令牌请求中的信息,结合本地配置的策略或授权信息等进行授权,NRF授权成功后生成令牌。
生成令牌时,NRF将接收到的令牌请求消息中的cSCP的证书信息写入令牌。该令牌还包含令牌声明(Token Claim),令牌声明中包含令牌发布者的标识,服务请求者NF的标识,服务提供者NF的标识,预期的服务名称,令牌的有效期等信息。
在另一种可能的实现中,NRF预先配置有服务通信代理的证书信息,且服务请求者NF发送的令牌中包含SCP ID,在生成令牌时,NRF根据该SCP ID查询出与服务请求者NF对应的服务通信代理的证书信息,即本实施例中cSCP的证书信息,并在令牌中写入该cSCP证书信息。
S403、NRF向服务请求者NF返回令牌响应,相应的,服务请求者NF接收NRF发送的令牌响应。
该令牌响应中携带NRF所生成的令牌,令牌中包含cSCP的证书信息。
S404~S407为服务请求者NF通过服务通信代理向服务提供者NF调用服务的过程,具体内容同S306~S309,此处不再赘述。
本实施例中,服务请求者NF向NRF发送携带cSCP证书信息的令牌请求,NRF接收令牌请求后进行授权并向服务请求者NF返回包含cSCP证书信息的令牌;由cSCP代理服务请求者NF向pSCP发送携带令牌的服务请求,pSCP校验令牌中的证书信息,并向服务提供者NF发送携带令牌和证书信息校验结果的服务请求,以实现服务提供者NF校验服务请求的合法性。
参见图5,本申请实施例提供的授权方法之一的一种可能的流程如下所述。
该流程适用于图2a中的应用场景,涉及服务请求者NF,服务请求者NF所注册的网络存储功能cNRF,服务请求者NF侧的服务通信代理cSCP,服务提供者NF,服务提供者NF所注册的网络存储功能pNRF,服务提供者NF侧的服务通信代理pSCP等网元。本实施例中,pNRF收到cNRF发送的令牌请求后,向服务提供者NF请求pSCP的证书信息,并向cNRF返回包含pSCP证书信息的令牌;cNRF向服务请求者NF转发该令牌,服务请求者NF通过cSCP和pSCP向服务提供者NF发送携带令牌的服务请求,服务提供者NF接收到的令牌中的证书信息进行校验,以校验服务请求的合法性。
S501、服务请求者NF向其所注册的网络存储功能cNRF发送令牌请求,相应的,cNRF接收服务请求者NF发送的令牌请求。
该令牌请求携带服务请求者NF对应的服务通信代理的证书信息,即本实施例中cSCP的证书信息。该令牌请求还携带其他授权和令牌生成所需的参数,本申请不作限定。
S502、cNRF接收令牌请求后,将令牌请求转发给pNRF,相应的,pNRF接收令牌请求。
S503、pNRF接收令牌请求后,向服务提供者NF发送请求pSCP证书信息的消息,相应的,服务提供者NF接收pNRF的请求消息。
pNRF可以调用现有的服务请求向服务提供者NF获取pSCP的证书信息,也可以调用新定义的服务请求,本申请不作限制。
在另一种可能的实现中,pNRF预先配置有服务通信代理的证书信息,pNRF向服务提供者NF发送请求pSCP的SCP ID的请求消息。
S504、服务提供者NF向pNRF返回pSCP证书信息,相应的,pNRF接收服务提供者NF发送的pSCP证书信息。
其中服务提供者NF提前配置有其所对应的服务通信代理pSCP的证书信息,服务提供者NF接收pNRF发送的请求消息后向pNRF返回保存的pSCP证书信息。
所述pSCP的证书包含证书版本号(Version)、序列号(SerialNumber)、签名算法标识符(Signature)、颁发者名称(Issuer)、主体公钥信息(SubjectPublicKeyInfo)、有效期(Validity)等信息。上述证书还可以包含颁发者的标识符(IssuerUniqueIdentifier)、主体标识符(SubjectUniqueIdentifier)以及其他的扩展信息(Extensions),本申请不作限定。
可能的,本申请实施例中所述的pSCP证书信息可以是上述证书本身;也可以是从证书中提取的某个字段或某些字段,例如序列号,主体等等;还可以是根据上述证书进行计算的值,例如对证书进行哈希(hash)运算的证书哈希值,
所述pSCP证书信息还可能是对上述证书进行其他的提取、计算等操作后的信息,本申请不作限制。
另一种可能的实现中,当pNRF请求SCP ID的消息时,服务提供者NF向pNRF返回其所对应的服务通信代理的标识,即本实施例中的cSCP的SCP ID。
S505、pNRF进行授权并生成令牌。
pNRF接收令牌请求后,获取令牌请求中的信息,结合本地配置的策略或授权信息等进行授权,pNRF授权成功后生成令牌。
生成令牌时,pNRF将从服务提供者NF接收到的pSCP证书信息写入令牌;
在另一种可能的实现中,pNRF根据服务提供者NF返回的SCP ID从预先配置的服务通信代理的证书信息中查询出与服务提供者NF对应的服务通信代理的证书信息,即本实施例中pSCP的证书信息,并在令牌中写入该pSCP证书信息。
pNRF生成的令牌还包含令牌声明(Token Claim),令牌声明中包含令牌发布者的标识,服务请求者NF的标识,服务提供者NF的标识,预期的服务名称,令牌的有效期等信息。
S506、pNRF向cNRF返回令牌响应,相应的,cNRF接收pNRF发送的令牌响应。
该令牌响应中携带令牌,令牌中包含pSCP的证书信息。
S507、cNRF收到令牌响应后,将该令牌响应转发给服务请求者NF,相应的,服务请求者NF接收cNRF发送的令牌响应。
该令牌响应中携带令牌,令牌中包含pSCP的证书信息。
S508、服务请求者NF向cSCP发送服务请求,相应的,cSCP接收服务请求者NF发送的服务请求。
该服务请求携带pNRF所生成的令牌,令牌中包含pSCP的证书信息。
S509、cSCP向pSCP发送服务请求,相应的,cSCP接收pSCP发送的服务请求。
cSCP接收服务请求者NF发送的服务请求后,将接收到的服务请求转发给pSCP。
S510、pSCP将接收到的服务请求转发给服务提供者NF,相应的,服务提供者NF接收pSCP发送的服务请求。
S511、服务提供者NF校验令牌中的证书信息。
服务提供者NF接收pSCP发送的服务请求,该服务请求携带pNRF所生成的令牌,令牌中包含cSCP的证书信息。
服务提供者NF接收携带令牌的服务请求后,校验令牌中的证书信息,包括,服务提供者NF根据pSCP与服务提供者NF之间传输链路中的TLS证书校验上述证书信息,具体地,服务提供者校验令牌中的pSCP证书信息上述TLS证书信息是否一致。
其中pSCP证书信息或TLS证书信息,可以为pSCP证书或TLS证书本身,也可以是从pSCP证书或TLS证书中提取的某个或某些字段,例如序列号,签名算法标识符等等,还可以是根据pSCP证书或TLS证书进行某种计算的值,例如对证书进行哈希(hash)运算的证书哈希值。所述证书信息还可能是对上述证书进行其他的提取、计算等操作后的信息,本申请不作限制。
若校验结果为一致则说明证书信息校验成功,否则说明证书信息校验失败。
若证书信息校验成功,服务提供者NF继续校验令牌,包括服务提供者NF校验令牌的完整性以及校验令牌声明。
上述令牌校验通过后,服务提供者NF向pSCP发送服务响应,pSCP接收服务响应后将其转发给cSCP,再由cSCP将该服务响应转发给服务请求者NF。
若证书信息校验失败,则终止服务调用流程。可能的,服务提供者NF通过pSCP和cSCP向服务请求者NF发送用于指示服务终止的消息。
本实施例中,服务请求者NF向cNRF发送携带cSCP证书的令牌请求,cNRF将令牌请求转发给pNRF,pNRF接收令牌请求后从服务提供者NF处获取pSCP证书信息,并向cNRF返回包含pSCP证书信息的令牌,cNRF向服务请求者NF转发该令牌;由cSCP代理服务请求者NF向pSCP发送携带令牌的服务请求,pSCP转发服务请求给服务提供者NF,服务提供者NF校验令牌中的证书信息,以校验服务请求的合法性。
在另一种可能的实现中服务请求者NF和服务提供者NF注册在同一NRF下,即cNRF与pNRF为同一NRF,此时,本实施例中的步骤S501~S507替换为服务请求者NF向NRF发送携带cSCP证书信息的令牌请求,NRF接收令牌请求后从服务提供者NF获取pSCP证书信息,并向NRF返回包含pSCP证书信息的令牌,NRF向服务请求者NF转发该令牌;后续步骤S508~S511与本实施例相同。具体内容不再此赘述。
参见图6,本申请实施例提供的授权方法之一的一种可能的流程如下所述。
该流程适用于图2a中的应用场景,涉及服务请求者NF,服务请求者NF所注册的网络存储功能cNRF,服务请求者NF侧的服务通信代理cSCP,服务提供者NF,服务提供者NF所注册的网络存储功能pNRF,服务提供者NF侧的服务通信代理pSCP等网元。本实施例中,pNRF收到cNRF转发的令牌请求后,在令牌中写入服务请求者NF的证书信息;cSCP接收服务请求者NF发送的携带令牌的服务请求后对证书信息进行校验,并向pSCP发送携带证书信息校验结果的服务请求,pSCP向服务提供者NF转发该服务请求,以实现服务提供者NF校验服务请求的合法性。
S601、服务请求者NF向其所注册的网络存储功能cNRF发送令牌请求,相应的,cNRF接收服务请求者NF发送的令牌请求。
该令牌请求携带服务请求者NF对应的服务通信代理的证书信息,即本实施例中cSCP的证书信息。该令牌请求还携带服务请求者NF自身的证书信息以及其他授权和令牌生成所需的参数,本申请不作限定。
服务通信代理或服务请求者NF的证书包含证书版本号(Version)、序列号(SerialNumber)、签名算法标识符(Signature)、颁发者名称(Issuer)、主体公钥信息(SubjectPublicKeyInfo)、有效期(validity)等信息。上述证书还可以包含颁发者的标识符(IssuerUniqueIdentifier)、主体标识符(SubjectUniqueIdentifier)以及其他的扩展信息(Extensions),本申请不作限定。
可能的,本申请实施例中所述的证书信息可以是上述证书本身;也可以是从证书中提取的某个字段或某些字段,例如序列号,签名算法标识符等等;还可以是根据上述证书进行计算的值,例如对证书进行哈希(hash)运算的证书哈希值。
所述证书信息还可能是对上述证书进行其他的提取、计算等操作后的信息,本申请不作限制。
S602、cNRF接收令牌请求后,将令牌请求转发给pNRF,相应的,pNRF接收令牌请求。
S603、pNRF接收令牌请求后,获取令牌请求中的信息,结合本地配置的策略或授权信息等进行授权,pNRF授权成功后生成令牌。
生成令牌时,pNRF将接收到的令牌请求中携带的服务请求者NF的证书信息写入令牌。该令牌还包含令牌声明(Token Claim),令牌声明中包含令牌发布者的标识,服务请求者NF的标识,服务提供者NF的标识,预期的服务名称,令牌的有效期等信息。
S604、pNRF向cNRF返回令牌响应,相应的,cNRF接收pNRF发送的令牌响应。
该令牌响应中携带pNRF所生成的令牌,令牌中包含服务请求者NF的证书信息。
S605、cNRF收到令牌响应后,将令牌响应转发给服务请求者NF,相应的,服务请求者NF接收cNRF发送的令牌响应。
S606~S609为服务请求者NF通过服务通信代理向服务提供者NF调用服务的过程。
S606、服务请求者NF向cSCP发送服务请求,相应的,cSCP接收服务请求者NF发送的服务请求。
该服务请求携带cNRF发送的令牌响应中的令牌,即pNRF所生成的令牌,令牌中包含服务请求者NF的证书信息。
S607、cSCP校验服务请求者NF的证书信息。
cSCP接收携带令牌的服务请求后,校验令牌中的证书信息,包括,cSCP根据服务请求者NF与cSCP之间的传输链路中的TLS证书校验上述证书信息,具体地cSCP校验令牌中的服务请求者NF的证书信息和上述TLS证书信息是否一致。
其中服务请求者NF的证书信息或TLS证书信息,可以为服务请求者NF的证书或TLS证书本身,也可以是从服务请求者NF的证书或TLS证书中提取的某个或某些字段,例如序列号,签名算法标识符等等,还可以是根据服务请求者NF的证书或TLS证书进行某种计算的值,例如对证书进行哈希(hash)运算的证书哈希值。所述证书信息还可能是对上述证书进行其他的提取、计算等操作后的信息,本申请不作限制。
若校验结果为一致则说明证书信息校验成功,否则说明证书信息校验失败。
若证书信息校验成功,cSCP则向pSCP发送校验结果,并继续服务调用流程,即执行以下步骤。
S608、cSCP向pSCP发送服务请求,相应的,pSCP接收cSCP发送的服务请求。
该服务请求携带令牌以及证书信息校验结果,即S607中cSCP校验服务请求者的证书信息的校验结果。
S609、pSCP向服务提供者NF发送服务请求,相应的,服务提供者NF接收pSCP发送的服务请求。
pSCP接收cSCP发送的服务请求后,向服务提供者NF转发该服务请求。该服务请求携带令牌以及证书信息校验结果。
若证书信息校验结果为校验成功,服务提供者NF继续校验令牌,包括服务提供者NF校验令牌的完整性以及校验令牌声明。
上述令牌校验通过后,服务提供者NF向pSCP发送服务响应,pSCP接收服务响应后将其转发给cSCP,再由cSCP将该服务响应转发给服务请求者NF。
本实施例中,服务请求者NF向cNRF发送携带cSCP证书信息的令牌请求,cNRF将令牌请求转发给pNRF,pNRF接收令牌请求后进行授权并向cNRF返回包含服务请求者NF证书信息的令牌,cNRF向服务请求者NF转发该令牌;服务请求者NF向cSCP发送携带该令牌的服务请求,cSCP校验令牌中的证书信息,并将令牌和证书信息校验结果写入服务请求中发送给pSCP,pSCP向服务提供者NF转发该服务请求,以实现服务提供者NF校验服务请求的合法性。
在另一种可能的实现中服务请求者NF和服务提供者NF注册在同一NRF下,即cNRF与pNRF为同一NRF,此时,本实施例中的步骤S601~S605替换为服务请求者NF向NRF发送携带cSCP证书信息和服务请求者NF证书信息的令牌请求,NRF接收令牌请求后进行授权,并向NRF返回包含服务请求者NF证书信息的令牌,NRF向服务请求者NF转发该令牌;后续步骤S606~S609与本实施例相同。具体内容不再此赘述。
参见图7,本申请实施例提供的授权方法之一的一种可能的流程如下所述。
该流程适用于图2c中的应用场景,涉及服务请求者NF,服务请求者NF所注册的网络存储功能cNRF,服务请求者NF侧的服务通信代理cSCP,服务提供者NF,服务提供者NF所注册的网络存储功能pNRF等网元。本实施例中,pNRF收到cNRF发送的令牌请求后,在令牌中写入cSCP的证书信息;服务提供者NF接收携带令牌的服务请求后对证书信息进行校验,以校验服务请求的合法性。
S701、服务请求者NF向其所注册的网络存储功能cNRF发送令牌请求,相应的,cNRF接收服务请求者NF发送的令牌请求。
该令牌请求携带服务请求者NF对应的服务通信代理的证书信息,即本实施例中cSCP的证书信息。该令牌请求还携带服务请求者NF自身的证书信息以及其他授权和令牌生成所需的参数,本申请不作限定。
具体内容同S301,此处不再赘述。
在另一种可能的实现中,服务提供者NF所注册的网络存储功能,即cNRF预先配置有服务通信代理的证书信息;服务提供者NF向cNRF发送的令牌请求中携带该服务提供者NF对应的服务通信代理的标识(SCP ID),即本实施例中cSCP的标识。
S702、cNRF接收令牌请求后,将令牌请求转发给pNRF,相应的,pNRF接收令牌请求。
在另一种可能的实现中,cNRF预先配置有服务通信代理的证书信息,且服务请求者NF发送的令牌中包含SCP ID时,cNRF根据该SCP ID查询出与其对应的服务通信代理的证书信息,即本实施例中cSCP的证书信息,在令牌请求中写入该cSCP证书信息,并将该携带cSCP证书信息的令牌请求发送给pNRF。
S703、pNRF接收令牌请求后,获取令牌请求中的信息,结合本地配置的策略或授权信息等进行授权,pNRF授权成功后生成令牌。
生成令牌时,pNRF将接收到的令牌请求消息中的cSCP证书信息写入令牌。该令牌还包含令牌声明(Token Claim),令牌声明中包含令牌发布者的标识,服务请求者NF的标识,服务提供者NF的标识,预期的服务名称,令牌的有效期等信息。
S704、pNRF向cNRF返回令牌响应,相应的,cNRF接收pNRF发送的令牌响应。
该令牌响应中携带pNRF生成的令牌,令牌中包含cSCP的证书信息。
S705、cNRF收到令牌响应后,将令牌响应转发给服务请求者NF,相应的,服务请求者NF接收cNRF发送的令牌响应。
该令牌响应中携带令牌,令牌中包含cSCP的证书信息。
S706~S708为服务请求者NF通过服务通信代理向服务提供者NF调用服务的过程。
S706、服务请求者NF向cSCP发送服务请求,相应的,cSCP接收服务请求者NF发送的服务请求。
该服务请求携带cNRF发送的令牌响应中的令牌,即pNRF所生成的令牌,令牌中包含cSCP的证书信息。
S707、cSCP向服务提供者NF发送服务请求,相应的,服务提供者NF接收cSCP发送的服务请求。
cSCP接收服务请求者NF发送的服务请求后,向服务提供者NF转发所接收到的服务请求。
S708、服务提供者NF校验令牌中的证书信息。
服务提供者NF接收cSCP发送的服务请求,该服务请求携带pNRF所生成的令牌,令牌中包含cSCP的证书信息。
服务提供者NF接收携带令牌的服务请求后,校验令牌中的证书信息,包括,服务提供者NF根据cSCP与服务提供者NF之间传输链路中的TLS证书校验上述证书信息,具体地,服务提供者NF校验令牌中的cSCP证书信息上述TLS证书信息是否一致。
其中cSCP证书信息或TLS证书信息,可以为cSCP证书或TLS证书本身,也可以是从pSCP证书或TLS证书中提取的某个或某些字段,例如序列号,签名算法标识符等等,还可以是根据pSCP证书或TLS证书进行某种计算的值,例如对证书进行哈希(hash)运算的证书哈希值。所述证书信息还可能是对上述证书进行其他的提取、计算等操作后的信息,本申请不作限制。
若校验结果为一致则说明证书信息校验成功,否则说明证书信息校验失败。
若证书信息校验成功,服务提供者NF继续校验令牌,包括服务提供者NF校验令牌的完整性以及校验令牌声明。
上述令牌校验通过后,服务提供者NF向cSCP发送服务响应,由cSCP向服务请求者NF转发该服务响应。
若证书信息校验失败,则终止服务调用流程。可能的,服务提供者NF通过cSCP向服务请求者NF发送用于指示服务终止的消息。
本实施例中,服务请求者NF向cNRF发送携带cSCP证书信息的令牌请求,cNRF向pNRF转发该令牌请求,pNRF接收令牌请求后在令牌中写入cSCP证书信息,并向cNRF返回包含cSCP证书信息的令牌,cNRF向服务请求者NF转发该令牌;由cSCP代理服务请求者NF向服务请求向服务提供者NF发送携带该令牌请求的服务请求,服务提供者NF校验令牌中的证书信息,以校验服务请求的合法性。
在另一种可能的实现中服务请求者NF和服务提供者NF注册在同一NRF下,即cNRF与pNRF为同一NRF,此时,本实施例中的步骤S701~S705替换为服务请求者NF向NRF发送携带cSCP证书信息的令牌请求,NRF接收令牌请求后向NRF返回包含cSCP证书信息的令牌,NRF向服务请求者NF转发该令牌;后续步骤S706~S708与本实施例相同。具体内容不再此赘述。
参见图8,本申请实施例提供了一种装置800,该装置包括接收模块801、处理模块802以及发送模块803。
该装置800可以用于pNRF,也可以是pNRF,该装置可以执行上述各个方法实施例中pNRF所执行的操作。以图3中的授权方法为例,接收模块801用于接收cNRF转发的令牌请求;处理模块802用于生成令牌,该令牌携带cSCP的证书信息;发送模块803用于向cNRF返回令牌响应,该令牌响应携带处理模块802所生成的令牌。
该装置800可以用于NRF,也可以是NRF,该装置可以执行上述各个方法实施例中NRF所执行的操作。以图4中的授权方法为例,接收模块801用于接收服务请求者NF发送的令牌请求;处理模块802用于生成令牌,该令牌携带cSCP的证书信息;发送模块803用于向服务请求者NF返回令牌响应,该令牌响应携带处理模块802所生成的令牌。
该装置800可以用于pSCP,也可以是pSCP,该装置可以执行上述各个方法实施例中pSCP所执行的操作。以图3中的授权方法为例,接收模块801用于接收cSCPF转发的服务请求,该服务请求携带包含cSCP证书信息的令牌;处理模块802用于校验令牌中的证书信息;发送模块803用于向服务提供者NF发送服务请求,该服务请求携带接收模块801收到的令牌以及处理模块802生成的证书信息校验结果。
该装置800可以用于服务提供者NF,也可以是服务提供者NF,该装置可以执行上述各个方法实施例中服务提供者NF所执行的操作。以图5中的授权方法为例,接收模块801用于接收pSCP转发的服务请求,该服务请求携带包含pSCP证书信息的令牌;处理模块802用于校验令牌中的证书信息;发送模块803用于向pNRF返回服务响应。
该装置800可以用于cSCP,也可以是cSCP,该装置可以执行上述各个方法实施例中cSCP所执行的操作。以图6中的授权方法为例,接收模块801用于接收服务请求者NF发送的服务请求,该服务请求携带包含服务请求者NF证书信息的令牌;处理模块802用于校验令牌中的证书信息;发送模块803用于向pSCP发送服务请求,该服务请求携带接收模块801接收的令牌以及处理模块802生成的证书信息校验结果。
参见图9,本申请实施例还提供了一种设备900,该设备900包括处理器901、通信接口902和存储器903。
处理器901用于执行程序指令,当程序被执行时,使得处理器901执行上述实施例提供的各个授权方法中服务请求者NF、cNRF、pNRF、NRF、cSCP、pSCP或服务提供者NF执行的操作。处理器901可以但不限于是中央处理器(Central Processing Unit,CPU),网络处理器(Network Processor,NP)或者CPU和NP的组合。在处理器901是CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
处理器901还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(Application-specific Integrated Circuit,ASIC),可编程逻辑器件(ProgrammableLogic Device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(ComplexProgrammable Logic Device,CPLD),现场可编程逻辑门阵列(Field-programmable GateArray,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。
通信接口902用于在处理器901的控制下与其他设备进行通信,例如发送数据和/或接收数据,上述图8中的发送模块803和接收模块801可以通过通信接口902来实现。
存储器903用于存储处理器901所执行的程序。存储器903可以包括但不限于是随机存储记忆体(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、便携式只读存储器(Compact Disc Read-Only Memory,CD-ROM)、快闪存储器(flash memory)、硬盘(harddisk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器903还可以包括上述种类存储器的任意组合。
本申请实施例提供了一种通信设备,该设备包括用于收发数据的通信接口以及与所述通信接口耦合的处理器,其中处理器执行上述实施例提供的方法,该处理器还通过通信接口执行上述实施例中涉及的数据收发。
本申请实施例提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序包括用于执行上述实施例提供的方法的指令。
本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例提供的方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、设备(系统)或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图中的每一流程。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本申请的一些具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可对这些实施例做出另外的变更和修改。因此,所附权利要求意欲解释为包括上述实施例以及落入本申请范围的说是有变更和修改。因此,本申请保护范围应以所述权利要求的保护范围为准。

Claims (28)

1.一种服务化架构的授权方法,其特征在于,所述方法包括:
第一网络功能网元向第一网络存储功能网元发送令牌请求;
所述第一网络存储功能网元向第二网络存储功能网元转发所述令牌请求;
响应于所述令牌请求,所述第二网络存储功能网元生成令牌,其中,所述令牌携带服务通信代理(SCP)证书信息;
所述第二网络存储功能网元向所述第一网络存储功能网元发送所述令牌;以及
所述第一网络存储功能网元向所述第一网络功能网元转发所述令牌。
2.根据权利要求1所述的方法,其特征在于,所述令牌请求携带所述SCP证书信息;
所述第二网络存储功能网元生成令牌,包括:
所述第二网络存储功能网元将所述SCP证书信息写入所述令牌中。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述第一网络功能网元向第一服务通信代理网元发送服务请求,其中,所述服务请求携带SCP证书信息;
所述第一服务通信代理网元向第二服务通信代理网元转发所述服务请求;
所述第二服务通信代理网元校验所述服务请求中的SCP证书信息以获取证书信息检验结果;
所述第二服务通信代理网元向第二网络功能网元发送所述证书信息校验结果;
若所述校验结果为验证成功,则所述第二网络功能网元向所述第一网络功能网元提供服务。
4.根据权利要求3所述的方法,其特征在于,
所述第二服务通信代理网元校验所述服务请求中的SCP证书信息,包括:
所述第二服务通信代理根据传输层安全(TLS)证书校验所述SCP证书信息,其中所述TLS证书为所述第一服务通信代理网元与所述第二服务通信代理网元间建立的传输链路中的证书。
5.根据权利要求1所述的方法,其特征在于,所述第二网络存储功能网元生成令牌之前,所述方法还包括:
所述第二网络存储功能网元向第二网络功能网元发送证书信息请求消息;
所述第二网络存储功能网元接收所述第二网络功能网元返回的所述SCP证书信息;
所述第二网络存储功能网元生成令牌,包括:
所述第二网络存储功能网元将所述SCP证书信息写入所述令牌中。
6.根据权利要求1或5所述的方法,其特征在于,所述方法还包括:
所述第一网络功能网元向第一服务通信代理网元发送服务请求,其中,所述服务请求携带SCP证书信息;
所述第一服务通信代理网元向第二服务通信代理网元转发所述服务请求;
所述第二服务通信代理网元向所述第二网络功能网元转发所述服务请求;
所述第二网络功能网元校验所述服务请求中的SCP证书信息;
若校验成功,则所述第二网络功能网元向所述第一网络功能网元提供服务。
7.根据权利要求6所述的方法,其特征在于,
所述第二网络功能网元校验所述服务请求中的SCP证书信息,包括:
所述第二网络功能网元根据传输层安全(TLS)证书校验所述SCP证书信息,其中所述TLS证书为所述第二服务通信代理网元与所述第二网络功能网元间建立的传输链路中的证书。
8.一种服务化架构的授权方法,其特征在于,所述方法包括:
第二网络存储功能网元接收第一网络存储功能网元发送的令牌请求;
响应于所述令牌请求,所述第二网络存储功能网元生成令牌,其中,所述令牌携带服务通信代理(SCP)证书信息;
所述第二网络存储功能网元向所述第一网络存储功能网元发送所述令牌。
9.根据权利要求8所述的方法,其特征在于,
所述令牌请求携带所述SCP证书信息;
所述第二网络存储功能网元生成令牌,包括:
所述第二网络存储功能网元将所述SCP证书信息写入所述令牌中。
10.根据权利要求8所述的方法,其特征在于,所述第二网络存储功能网元生成令牌之前,所述方法还包括:
所述第二网络存储功能网元向第二网络功能网元发送证书请求信息;
所述第二网络存储功能网元接收所述第二网络功能网元返回的所述SCP证书信息;
所述第二网络存储功能网元生成令牌,包括:
所述第二网络存储功能网元将所述SCP证书信息写入所述令牌中。
11.一种服务化架构的授权方法,其特征在于,所述方法包括:
第二服务通信代理网元接收第一服务通信代理网元发送的服务请求;所述服务请求携带令牌,其中所述令牌包含服务通信代理(SCP)证书信息;
所述第二服务通信代理网元校验所述令牌中的SCP证书信息以获取证书信息校验结果;
所述第二服务通信代理网元向第二网络功能网元发送所述证书信息校验结果。
12.根据权利要求11所述的方法,其特征在于,
所述第二服务通信代理网元校验所述令牌中的SCP证书信息,包括:
所述第二网络功能网元根据传输层安全(TLS)证书校验所述SCP证书信息,其中所述TLS证书为所述第二服务通信代理网元与所述第二网络功能网元建立的传输链路中的证书。
13.一种服务化架构的授权方法,其特征在于,所述方法包括:
第二网络功能网元接收第二服务通信代理网元发送的服务请求;所述服务请求携带令牌,其中所述令牌服务通信代理(SCP)证书信息;
所述第二网络功能网元校验所述令牌中的SCP证书信息;
若所述第二网络功能网元校验所述SCP证书信息成功,则所述第二网络功能网元继续执行服务调用流程。
14.根据权利要求13所述的方法,其特征在于,
所述第二网络功能网元校验所述令牌中的SCP证书信息,包括:
所述第二网络功能网元根据传输层安全(TLS)证书校验所述SCP证书信息,其中所述TLS证书为所述第二服务通信代理网元与所述第二网络功能网元建立的传输链路中的证书。
15.一种授权装置,其特征在于,包括:
接收模块,用于接收第一网络存储功能网元发送的令牌请求;
处理模块,用于生成令牌,其中,所述令牌携带服务通信代理(SCP)证书信息;
发送模块,用于向所述第一网络存储功能网元发送所处处理模块生成的令牌。
16.根据权利要求15所述的装置,其特征在于,所述令牌请求携带所述SCP证书信息;
所述处理模块用于生成令牌,包括:
所述处理模块用于将所述SCP证书信息写入所述令牌中。
17.根据权利要求15所述的装置,其特征在于,所述处理模块生成令牌之前,
所述发送模块还用于向第二网络功能网元发送证书请求消息;
所述接收模块还用于接收所述第二网络功能网元返回的所述SCP证书信息;
所述处理模块用于生成令牌,包括:
所述处理模块用于将所述SCP证书信息写入所述令牌中。
18.一种授权装置,其特征在于,包括:
接收模块,用于接收第一服务通信代理网元发送的服务请求;所述服务请求携带令牌,其中所述令牌包含服务通信代理(SCP)证书信息;
处理模块,用于校验所述令牌中的SCP证书信息以获取证书信息校验结果;
发送模块,用于向第二网络功能网元发送所述证书信息校验结果。
19.根据权利要求18所述的装置,其特征在于,
所述处理模块用于校验所述令牌中的SCP证书信息,包括:
所述处理模块具体用于根据传输层安全(TLS)证书校验所述SCP证书信息,其中所述TLS证书为所述装置与所述第一服务通信代理网元建立的传输链路中的证书。
20.一种授权装置,其特征在于,包括:
接收模块,用于接收第二服务通信代理网元发送的服务请求;所述服务请求携带令牌,其中所述令牌包含服务通信代理(SCP)证书信息;
处理模块,用于校验所述令牌中的SCP证书信息;
发送模块,用于向所述第二服务通信代理网元返回服务响应。
21.根据权利要求20所述的装置,其特征在于,
所述处理模块用于校验所述令牌中的SCP证书信息,包括:
所述处理模块具体用于根据传输层安全(TLS)证书校验所述SCP证书信息,其中所述TLS证书为所述装置与所述第二服务通信代理网元建立的传输链路中的证书。
22.一种设备,其特征在于,所述设备包括:用于存储计算机指令的存储单元、用于收发数据的通信接口,以及与所述存储单元和通信接口耦合的处理器;当所述计算机指令被运行时,所述处理器执行权利要求8~10任意一项所述方法。
23.一种设备,其特征在于,所述设备包括:用于存储计算机指令的存储单元、用于收发数据的通信接口,以及与所述存储单元和通信接口耦合的处理器;当所述计算机指令被运行时,所述处理器执行权利要求11或12所述方法。
24.一种设备,其特征在于,所述设备包括:用于存储计算机指令的存储单元、用于收发数据的通信接口,以及与所述存储单元和通信接口耦合的处理器;当所述计算机指令被运行时,所述处理器执行权利要求13或14所述方法。
25.一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质中存储有计算机程序,当所述所述计算机程序被执行时,权利要求1~7所述的任意一项所述方法会被运行。
26.一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质中存储有计算机程序,当所述所述计算机程序被执行时,权利要求8~10所述的任意一项所述方法会被运行。
27.一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质中存储有计算机程序,当所述所述计算机程序被执行时,权利要求11或12所述方法会被运行。
28.一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质中存储有计算机程序,当所述所述计算机程序被执行时,权利要求13或14所述方法会被运行。
CN201911052387.4A 2019-10-31 2019-10-31 一种服务化架构授权的方法 Active CN112822678B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911052387.4A CN112822678B (zh) 2019-10-31 2019-10-31 一种服务化架构授权的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911052387.4A CN112822678B (zh) 2019-10-31 2019-10-31 一种服务化架构授权的方法

Publications (2)

Publication Number Publication Date
CN112822678A true CN112822678A (zh) 2021-05-18
CN112822678B CN112822678B (zh) 2022-05-06

Family

ID=75851513

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911052387.4A Active CN112822678B (zh) 2019-10-31 2019-10-31 一种服务化架构授权的方法

Country Status (1)

Country Link
CN (1) CN112822678B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113825134A (zh) * 2021-09-29 2021-12-21 新华三技术有限公司 一种网络服务授权方法、装置及设备
CN114173347A (zh) * 2021-12-16 2022-03-11 中国电信股份有限公司 5g网络中的通信方法、装置及存储介质
CN114826608A (zh) * 2022-04-02 2022-07-29 网宿科技股份有限公司 一种微服务的证书管理方法、装置及认证系统
WO2022247569A1 (zh) * 2021-05-24 2022-12-01 华为技术有限公司 通信方法和网络设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180359795A1 (en) * 2017-06-09 2018-12-13 Samsung Electronics Co., Ltd Method for establishing protocol data unit session in communication system
CN109428875A (zh) * 2017-08-31 2019-03-05 华为技术有限公司 基于服务化架构的发现方法及装置
CN109688586A (zh) * 2017-10-19 2019-04-26 中兴通讯股份有限公司 一种网络功能认证的方法、装置及计算机可读存储介质
CN110234140A (zh) * 2019-06-17 2019-09-13 腾讯科技(深圳)有限公司 一种通信方法、装置、实体及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180359795A1 (en) * 2017-06-09 2018-12-13 Samsung Electronics Co., Ltd Method for establishing protocol data unit session in communication system
CN109428875A (zh) * 2017-08-31 2019-03-05 华为技术有限公司 基于服务化架构的发现方法及装置
CN109688586A (zh) * 2017-10-19 2019-04-26 中兴通讯股份有限公司 一种网络功能认证的方法、装置及计算机可读存储介质
CN110234140A (zh) * 2019-06-17 2019-09-13 腾讯科技(深圳)有限公司 一种通信方法、装置、实体及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3RD GENERATION PARTNERSHIP PROJECT: "Technical Specification Group Services and System Aspects;Security Aspects;Study on security aspects of the 5G Service Based Architecture (SBA)", 《3GPP TR 33.855 V1.7.0(RELEASE 16)》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022247569A1 (zh) * 2021-05-24 2022-12-01 华为技术有限公司 通信方法和网络设备
CN113825134A (zh) * 2021-09-29 2021-12-21 新华三技术有限公司 一种网络服务授权方法、装置及设备
CN114173347A (zh) * 2021-12-16 2022-03-11 中国电信股份有限公司 5g网络中的通信方法、装置及存储介质
CN114173347B (zh) * 2021-12-16 2024-03-12 中国电信股份有限公司 5g网络中的通信方法、装置及存储介质
CN114826608A (zh) * 2022-04-02 2022-07-29 网宿科技股份有限公司 一种微服务的证书管理方法、装置及认证系统

Also Published As

Publication number Publication date
CN112822678B (zh) 2022-05-06

Similar Documents

Publication Publication Date Title
CN111865598B (zh) 网络功能服务的身份校验方法及相关装置
CN112822678B (zh) 一种服务化架构授权的方法
US11218314B2 (en) Network function service invocation method, apparatus, and system
CN111213339B (zh) 带有客户端密钥的认证令牌
CN110798833B (zh) 一种鉴权过程中验证用户设备标识的方法及装置
US11496320B2 (en) Registration method and apparatus based on service-based architecture
CN113438196B (zh) 一种服务授权方法、装置及系统
CN111865872B (zh) 一种网络切片内终端安全策略实现方法及设备
WO2020199700A1 (zh) 一种鉴权方法及通信装置
CN110809892B (zh) 一种认证方法及终端、网络设备
WO2021047403A1 (zh) 一种多个nrf场景下的授权方法及装置
CN106909826A (zh) 口令代填装置及系统
JP2023519997A (ja) 端末パラメータ更新を保護するための方法および通信装置
CN108738015B (zh) 网络安全保护方法、设备及系统
CN112788598B (zh) 一种保护认证流程中参数的方法及装置
CN110460567B (zh) 一种身份鉴权方法及装置
CN114760630A (zh) 通信方法、装置及系统
WO2018120150A1 (zh) 网络功能实体之间的连接方法及装置
CN110933591B (zh) 认证方法、设备及系统
CN111866870B (zh) 密钥的管理方法和装置
TWI820696B (zh) 通訊方法、裝置及電腦可讀儲存介質
CN114640988B (zh) 基于隐式指示加密的信息处理方法及装置
CN113453230B (zh) 终端管理方法和系统以及安全代理
CN117425150A (zh) 信令安全保护方法、系统、基站、终端及存储介质
CN117241410A (zh) 同一ch下的snpn间的互访方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant