CN113748699A - 用于通信系统中的间接通信的服务授权 - Google Patents
用于通信系统中的间接通信的服务授权 Download PDFInfo
- Publication number
- CN113748699A CN113748699A CN202080031512.8A CN202080031512A CN113748699A CN 113748699 A CN113748699 A CN 113748699A CN 202080031512 A CN202080031512 A CN 202080031512A CN 113748699 A CN113748699 A CN 113748699A
- Authority
- CN
- China
- Prior art keywords
- service
- proxy element
- communication proxy
- access token
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在第一服务通信代理元件处接收服务请求,其中所述服务请求是从服务消费者接收的并且是对访问服务生产者的至少一个服务的请求。所述第一服务通信代理元件基于所述服务请求确定至少一个目标服务生产者。所述第一服务通信代理元件向授权实体发送访问令牌请求,其中所述访问令牌请求是基于所述确定步骤而被生成的。所述第一服务通信代理元件接收来自所述授权实体的访问令牌响应,其中所述访问令牌响应包括访问令牌;于是,所述第一服务通信代理元件可向第二服务通信代理元件发送具有所述访问令牌的服务请求,其中所述第二服务通信代理元件与所述目标服务生产者相关联。所述方法可应用于漫游和非漫游场景。
Description
技术领域
本领域大致涉及通信系统,并且更具体地但非排外地,涉及此类系统内的安全管理。
背景技术
本节介绍了可能有助于更好地理解这些发明的方面。因此,本节的说明应按此阅读,并且不应被理解为对现有技术中的内容或现有技术中不存在的内容的承认。
第四代(4G)无线移动通信技术(也称为长期演进(LTE)技术)旨在提供具有高数据速率的大容量移动多媒体,特别是用于人类交互。下一代或第五代(5G)技术旨在不仅用于人的交互,而且还用于所谓的物联网(IoT)网络中的机器类型通信。
虽然5G网络旨在实现海量物联网服务(例如,非常大量的有限容量设备)和关键任务物联网服务(例如,要求高可靠性),但对传统移动通信服务的改进是以增强移动宽带(eMBB)服务的形式支持的,从而为移动设备提供改进的无线互联网接入。
在示例性通信系统中,诸如移动终端(订户)的用户装备(5G网络中的5G UE,或者更广泛地,UE)通过空中接口与作为5G网络的一部分的基站或接入点(被称为gNB或WLAN接入点)通信。接入点(例如,gNB)示意性地是通信系统的接入网的一部分。例如,在5G网络中,接入网被称为5G系统并且在名称为“Technical Specification Group Services andSystem Aspects;System Architecture for the 5G System(技术规范组服务和系统方面;用于5G系统的系统架构)”的5G技术规范(TS)23.501,V16.0.2中描述,该技术规范的公开内容通过引用以其整体并入本文。通常,接入点(例如,gNB)为UE提供对核心网(CN)的接入,该核心网随后为UE提供对其他UE和/或数据网(诸如分组数据网(例如,互联网))的接入。
TS 23.501进一步定义了基于5G服务的架构(SBA),其将服务建模为网络功能(NF),这些网络功能使用代表性的状态转移应用编程接口(Restful API)来相互通信。
此外,名称为“Technical Specification Group Services and SystemAspects;Security Architecture and Procedures for the 5G System(技术规范组服务和系统方面;用于5G系统的架构和过程)”的5G技术规范(TS)33.501,V15.4.0(其公开内容通过引用以其整体并入本文)进一步描述了与5G网络相关联的安全管理细节。
安全管理在任何通信系统中都是重要的考虑因素。例如,访问服务的授权就是5G网络中的安全管理的一个示例。然而,服务访问授权给现有5G方法带来了一些挑战,因为5G是基于服务的架构,并且引入新类型的中间节点,并且被构建为支持IoT使用场景。
发明内容
示意性实施例提供了用于通信系统中的安全管理的改进技术,特别是相对于服务访问授权。
例如,在一个示意性实施例中,一种方法包括以下步骤。在第一服务通信代理元件处接收服务请求,其中所述服务请求是从服务消费者接收的并且是对访问服务生产者的至少一个服务的请求。所述第一服务通信代理元件基于所述服务请求确定至少一个目标服务生产者。所述第一服务通信代理元件向授权实体发送访问令牌请求,其中所述访问令牌请求是基于所述确定步骤而被生成的。所述第一服务通信代理元件接收来自所述授权实体的访问令牌响应,其中所述访问令牌响应包括访问令牌;于是,所述第一服务通信代理元件可向第二服务通信代理元件发送具有所述访问令牌的服务请求,其中所述第二服务通信代理元件与所述目标服务生产者相关联。所述服务通信代理之间的通信可穿过中间节点。
在另一个实施例中,一种方法包括以下步骤。在与服务生产者相关联的第二服务通信代理元件处从与服务消费者相关联的第一服务通信代理元件接收具有访问令牌的服务请求。所述服务请求是由所述服务消费者对访问所述服务生产者的至少一个服务的请求,并且所述访问令牌是先前从授权实体获得的。所述第二服务通信代理元件验证所述访问令牌的完整性。当所述访问令牌被验证时,所述第二服务通信代理元件证实从所述访问令牌提取的一个或多个声明。当来自所述访问令牌的所述一个或多个声明被证实时,所述第二服务通信代理元件向所述服务生产者发送所述服务请求。
一个或多个示意性实施例在涉及一个以上通信网络(例如,访问和归属公共陆地移动网络)的漫游场景中实现,而一个或多个其他示意性实施例在涉及一个通信网络的非漫游场景中实现。
以非暂时性计算机可读存储介质的形式提供进一步的示意性实施例,在该非暂时性计算机可读存储介质中具体化可执行程序代码,所述可执行程序代码在由处理器执行时致使所述处理器执行上述步骤。再进一步的示意性实施例包括具有被配置为执行上述步骤的处理器和存储器的装置。
从附图和下面的详细描述中,本文描述的实施例的这些和其他特征和优点将变得更加明显。
附图说明
图1示出了通过其实现一个或多个示意性实施例的通信系统。
图2示出了通过其实现一个或多个示意性实施例的用于提供安全管理的网络元件/功能。
图3示出了通过其实现一个或多个示意性实施例的具有在网络内交互的网络功能的通信系统架构。
图4示出了通过其实现一个或多个示意性实施例的具有在访问网络和归属网络之间交互的网络功能的通信系统架构。
图5示出了通过其实现一个或多个示意性实施例的使用服务通信代理元件的认证协议架构。
图6A示出了根据示意性实施例的用于获得用于在通信系统中的服务访问授权中使用的访问令牌的方法。
图6B示出了根据示意性实施例的用于通信系统中的服务访问授权的方法。
具体实施方式
在本文中将结合示例性通信系统和用于在通信系统中提供安全管理的相关联技术来说明实施例。然而,应当理解,权利要求的范围不限于所公开的特定类型的通信系统和/或过程。实施例可使用替代过程和操作在多种其他类型的通信系统中实现。例如,尽管在利用诸如3GPP下一代系统(5G)的3GPP系统元件的无线蜂窝系统的上下文中示出,但所公开的实施例可以直接的方式适用于各种其他类型的通信系统。
根据在5G通信系统环境中实现的示意性实施例,一个或多个3GPP技术规范(TS)和技术报告(TR)提供与一个或多个示意性实施例交互的用户装备和网络元件/功能和/或操作的进一步解释,例如,上述3GPP TS23.501和3GPP TS 33.501。其他3GPP TS/TR文档提供了本领域普通技术人员将认识到的其他常规细节。然而,尽管示意性实施例非常适合于与上述5G相关的3GPP标准相关联的具体实施,但替代实施例不一定旨在限于任何特定标准。
此外,本文将在开放系统互连模型(OSI模型)的上下文中解释示意性实施例,该OSI模型是概念上表征诸如5G网络的通信系统的通信功能的模型。OSI模型通常被概念化为分层栈,其中给定层服务于上面的层并且被下面的层服务。典型地,OSI模型包括七层,其中栈的顶层是应用层(层7),然后是表示层(层6)、会话层(层5)、传输层(层4)、网络层(层3)、数据链路层(层2)和物理层(层1)。本领域普通技术人员将理解各个层的功能和互操作,并且因此在本文中不描述每一层的进一步细节。然而,应当理解,虽然示意性实施例非常适合于利用OSI模型的具体实施,但替代性实施例不必局限于任何特定通信功能模型。
示意性实施例涉及与用于5G网络的基于服务的架构(SBA)相关联的安全管理。在描述此类示意性实施例之前,下面将在图1和图2的上下文中描述5G网络的主要部件的一般描述。
图1示出了其中实现示意性实施例的通信系统100。应当理解,通信系统100中示出的元件旨在表示系统内提供的主要功能,例如,UE接入功能、移动性管理功能、认证功能、服务网关功能等。因此,图1中所示的块参考提供这些主要功能的5G网络中的特定元件。然而,在其他实施例中使用其他网络元件来实现所表示的一些或全部主要功能。此外,应当理解,图1中未描绘5G网络的所有功能。相反,示出了有助于说明示意性实施例的功能。随后的附图描述了一些附加元件/功能。
因此,如图所示,通信系统100包括经由空中接口103与接入点(gNB)104通信的用户装备(UE)102。在替代实施例中,接入可通过4G接入点(eNB)。在一些实施例中,UE 102是移动台,并且此类移动台可包括例如移动电话、计算机或任何其他类型的通信设备。因此,本文中使用的术语“用户装备”旨在被广义地解释以便包括各种不同类型的移动台、订户台或更一般地说,通信设备,包括诸如插入膝上型计算机中的数据卡或其他装备(诸如智能电话或其他蜂窝设备)的组合的示例。在一个或多个示意性实施例中,用户装备是指IoT设备和/或执行超可靠低延迟通信(URLLC)应用软件的设备,其中UE上的计算资源有限或性能和定时要求非常严格。此类通信设备还旨在涵盖通常称为接入终端的设备。
在一个实施例中,UE 102包括通用集成电路卡(UICC)部分和移动装备(ME)部分。UICC是UE的用户相关部分并且包含至少一个通用订户标识模块(USIM)和适当的应用软件。UICC可以是可移除的、嵌入的(eUICC)或集成的(iUICC)。USIM安全地存储永久订阅标识符及其相关密钥,其用于向接入网络识别和认证订户。ME是UE的用户独立部分并且包含终端装备(TE)功能和各种移动终端(MT)功能。
注意,在一个示例中,永久订阅标识符是UE的国际移动订户标识(IMSI)。在一个实施例中,IMSI是固定15数位长度并且由3数位的移动国家代码(MCC)、3数位的移动网络代码(MNC)和9数位的移动台标识号(MSIN)组成。在5G通信系统中,IMSI被称为订阅永久标识符(SUPI)。在IMSI作为SUPI的情况下,MSIN提供订户标识。因此,通常只需要对IMSI的MSIN部分进行加密。IMSI的MNC和MCC部分提供由服务网络使用以路由到正确归属网络的路由信息。当SUPI的MSIN被加密时,它被称为订阅隐藏标识符(SUCI)。
接入点104示意性地是通信系统100的接入网的一部分。这种接入网包括例如具有多个基站和一个或多个相关联的无线电网络控制功能的5G系统。在一些实施例中,基站和无线电网络控制功能是逻辑上分离的实体,但在一些实施例中,在相同的物理网络元件(例如,基站路由器或蜂窝接入点)中实现。
在该示意性实施例中,接入点104可操作地耦接到移动性管理功能106。在5G网络中,移动性管理功能通过接入和移动性管理功能(AMF)来实现。在一些实施例中,安全锚点功能(SEAF)也通过将UE与移动性管理功能连接的AMF来实现。如本文所使用的,移动性管理功能是通信系统的核心网(CN)部分中的元件或功能(即实体),该元件或功能(即实体)管理或以其他方式参与有关UE的接入和移动性(包括认证/授权)操作(通过接入点104)和其他网络操作。在本文中,AMF还更一般地被称为接入和移动性管理实体。
在该示意性实施例中,AMF 106可操作地耦接到归属订户功能108,即驻留在用户的归属网络中的一个或多个功能。如图所示,这些功能中的一些功能包括统一数据管理(UDM)功能以及认证服务器功能(AUSF)。AUSF和UDM(单独地或共同地)在本文也被更一般地称为认证实体。此外,归属订户功能包括但不限于网络切片选择功能(NSSF)、网络暴露功能(NEF)、网络存储库功能(NRF)、策略控制功能(PCF)和应用功能(AF)。
需注意,诸如UE 102的UE通常被订阅到称为归属公共陆地移动网络(HPLMN)的网络,其中归属订户功能108中的一些或全部驻留在HPLMN中。如果UE正在漫游(不在HPLMN中),则它通常与也被称为访问或服务网络的访问公共陆地移动网络(VPLMN)连接。移动性管理功能106中的一些或全部可驻留在VPLMN中,在这种情况下,VPLMN中的功能根据需要与HPLMN中的功能通信。然而,在非漫游场景中,移动性管理功能106和归属订户功能108可驻留在相同通信网络中。
接入点104还可操作地耦接到服务网关功能,即会话管理功能(SMF)110,其可操作地耦接到用户平面功能(UPF)112。UPF 112可操作地耦接到分组数据网络,例如互联网114。如在5G和其他通信网络中所知,用户平面(UP)或数据平面承载网络用户业务,而控制平面(CP)承载信令业务。SMF 110支持与UP订户会话有关的功能,例如,PDU会话的建立、修改和释放。UPF 112支持有利于UP操作的功能,例如,分组路由和转发、与数据网络的互连(例如,图1中的114)、策略实施和数据缓冲。
应当理解,图1是简化的说明,因为图1中未示出NF和其他系统元件之间的所有通信链路和连接。给定各种3GPP TS/TR下,本领域普通技术人员将理解在图1中未明确示出的或可以其他方式概括的各种链路和连接。
另外,当特定网络元件的典型操作和功能不是示意性实施例的焦点但可在适当的3GPP 5G文档中找到时,这里不详细描述它们。应当理解,图1中的系统元件的特定布置仅是示例,并且在其他实施例中,附加或替代元件的其他类型和布置可用于实现通信系统。例如,在其他实施例中,系统100包括在本文中未明确示出的其他元件/功能。此外,尽管在图1的实施例中只示出了单个元件/功能,但这只是为了简单和清楚地说明。给定替代实施例可包括更多的此类系统元件,以及通常与常规系统具体实施相关联的类型的附加或替代元件。
还需注意,虽然图1将系统元件示出为单个功能块,但组成5G网络的各种子网络被划分为所谓的网络切片。网络切片(网络分区)包括在公共物理基础设施上使用网络功能虚拟化(NFV)的针对每个对应服务类型的一系列网络功能(NF)集(即,功能链)。根据给定服务(例如,eMBB服务、大规模IoT服务和关键任务IoT服务)的需要来实例化网络切片。因此,当创建网络切片或功能的实例时,实例化该网络切片或功能。在一些实施例中,这涉及在底层物理基础设施的一个或多个主机设备上安装或以其他方式运行网络切片或功能。UE 102被配置为经由gNB 104访问这些服务中的一者或多者。NF还可访问其他NF的服务。
进一步注意,在各种实施例中,单个NF实例可服务单个网络切片选择辅助信息(NSSAI)切片或用于多个NSSAI切片的单个共享NF实例,但单个或多个NF实例也可被部署为单个或多个虚拟网络功能(VNF)实例。此外,替代实施例还考虑用于NF的裸机实施方式。
图2是示意性实施例中的用于提供安全管理的网络元件/功能的框图。系统200被示为包括第一网络元件/功能202和第二网络元件/功能204。应当理解,网络元件/功能202和204中的一者或两者可表示被配置为提供安全管理和本文描述的其他技术的任何网络元件/功能,例如但不限于AMF、SEAF、UDM、AUSF、NSSF、NEF、NRF、PCF和AF。
然而,在一个或多个示意性实施例中,第一网络元件/功能202和第二网络元件/功能204中的一个或两者表示服务通信代理(SCP),本文更一般地称为“服务通信代理元件”。SCP在上述3GPP TS 23.501的版本16(Rel-16)中定义。如本文将进一步描述的,Rel-16引入间接通信模型,其中NF经由SCP通信,SCP是用于辅助在两个NF之间路由消息(例如,CP消息,诸如直径路由代理(DRA)消息)的中间功能/元件。本文将描述示意性实施例,其在间接通信模型和存在SCPs的上下文中解决用于服务授权的OAuth 2.0协议。在互联网工程任务组(IETF)请求评论(RFC)6749中描述了OAuth 2.0,其公开内容通过引用被整体并入本文。如本文中说明性使用的,OAuth 2.0可更简单地称为OAuth。然而,应理解,实施例不限于OAuth2.0或任何特定认证协议。
网络元件/功能202包括耦接到存储器216和接口电路210的处理器212。网络元件/功能202的处理器212包括安全管理处理模块214,其可至少部分地以由处理器执行的软件的形式来实现。处理模块214执行结合后续图和本文中以其他方式描述的安全管理(例如,服务授权)。网络元件/功能202的存储器216包括安全管理存储模块218,其存储在安全管理操作期间生成或以其他方式使用的数据。
网络元件/功能204包括耦接到存储器226和接口电路220的处理器222。网络元件/功能204的处理器222包括安全管理处理模块224,其可至少部分地以由处理器222执行的软件的形式来实现。处理模块224执行结合后续图和本文中以其他方式描述的安全管理。网络元件/功能204的存储器226包括安全管理存储模块228,其存储在安全管理操作期间生成或以其他方式使用的数据。
需注意,存储模块218和228提供持久性,并且在一些实施例中,可被群集从而提供可由多个网络功能/元件共享的一些安全管理数据。
各网络元件/功能202和204的处理器212和222可包括,例如,微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)或其他类型的处理设备或集成电路,以及此类元件的部分或组合。此类集成电路设备及其部分或组合是本文所用的该术语的“电路”的示例。在实现示意性实施例时,可使用硬件和相关联的软件或固件的多种其他配置。
各网络元件/功能202和204的存储器216和226可用于存储一个或多个软件程序,该一个或多个软件程序由各处理器212和222执行以实现本文描述的功能的至少一部分。例如,可使用由处理器212和222执行的软件代码以直接的方式实现结合后续图和本文中以其他方式描述的安全管理操作和其他功能。
因此,存储器216或226中的给定的一个可被视为本文更一般地称为计算机程序产品或更一般地称为处理器可读存储介质的存储器的示例,在该处理器可读存储介质中具体化有可执行程序代码。处理器可读存储介质的其他示例可包括磁盘或其他类型的磁性或光学媒体的任何组合。示意性实施例可包括含有此类计算机程序产品或其他处理器可读存储媒体的制品。
存储器216或226可更具体地包括例如电子随机存取存储器(RAM),诸如静态RAM(SRAM)、动态RAM(DRAM)或其他类型的易失性或非易失性电子存储器。后者可包括例如非易失性存储器,诸如闪存存储器、磁RAM(MRAM)、相变RAM(PC-RAM)或铁电RAM(FRAM)。本文中使用的术语“存储器”旨在被广义地解释,并且可附加地或另选地包括例如只读存储器(ROM)、基于盘的存储器或其他类型的存储器设备,以及此类设备的部分或组合。
各网络元件/功能202和204的接口电路210和220示例性地包括收发器或允许相关联的系统元件以本文描述的方式彼此通信的其他通信硬件或固件。
从图2可明显看出,经由各自的接口电路210和220,网络元件/功能202被配置用于与网络元件/功能204通信,反之亦然。该通信涉及网络元件/功能202向网络元件/功能204发送数据,以及网络元件/功能204向网络元件/功能202发送数据。然而,在替代实施例中,其他网络元件可操作地耦接在网络元件/功能202和204之间以及耦接到这些网络元件/功能。本文中使用的术语“数据”意在被广义地解释,以便包括可在网络元件/功能之间(以及在用户装备和核心网之间)发送的任何类型的信息,包括但不限于消息、令牌、标识符、密钥、指示符、用户数据、控制数据等。
因此,在一个示例中,网络元件/功能202是诸如AMF的NF,并且网络元件/功能204是SCP。在这种情况下,AMF和SCP参与服务访问授权方法并且根据需要交换消息/数据。以下将进一步描述此类服务访问授权方法。图2可以可替换地表示彼此通信的两个SCP,或与诸如NRF或UDM/AUSF的NF通信的SCP。
应当理解,图2中所示的部件的特定布置仅是示例,并且在其他实施例中使用许多替代配置。例如,任何给定的网络元件/功能可被配置为合并附加或替代的部件并支持其他通信协议。
例如UE 102和gNB 104的其他系统元件也可每一个都被配置为包括例如处理器、存储器和网络接口的部件。此类元件不需要在分开的独立处理平台上实现,而是可例如表示单个公共处理平台的不同功能部分。
如上所述,上述3GPP TS 23.501的Rel-16通过引入SCP为NF提供了间接通信模型。在Rel-16中引入的体架构选项中的一者是选项D。在此选项中,NF实现应用程序逻辑,而所有非应用程序逻辑(包括为给定服务发现目标NF、基于负载平衡从可用NF列表中选择目标NF、服务授权等)都委托给SCP。需注意,在Rel-16(即TS 23.501的Rel-15)之前,NF查询NRF以通过应用程序编程接口(API)发现彼此并相互通信。Rel-16现在将SCP用作NF的中介以用于此类发现、选择和授权功能。
选项D是基于NF之间的间接通信。换句话说,NF不直接相互通信。这也包括NF和NRF之间的交互。结果是基于Rel-15认证(OAuth)的服务访问授权在Rel-16中不可用。
在Rel-15中,在OAuth客户端(NF消费者)与OAuth服务器(NRF)之间的OAuth客户端认证隐式地基于在OAuth客户端(即NF消费者或NFc)和OAuth服务器(即NRF)之间的底层传输层安全性(TLS)。由于在NF之间(包括NFc和NRF之间)存在SCP,这在间接通信模型的选项D的情况下不再是可能的。
在Rel-15中,OAuth客户端(NFc)一旦发现并选择其用于获得期望服务的目标NF生产者(NFp)时,就直接从扮演OAuth授权服务器角色的NRF获得访问令牌。但在选项D中,目标NFp的发现和选择被委托给SCP。因此,NFc不能直接获取访问令牌。
换句话说,Rel-15中的现有OAuth服务访问授权解决方案不适用于其中存在SCP的间接通信模型,特别是在选项D架构选项中。
示意性实施例克服了通过引入服务通信代理元件而提出的上述和其他安全管理挑战。例如,在一个或多个示意性实施例中,提供了一种方法,其用于为Rel-16选项D架构选项实现基于OAuth的服务访问授权。然而,应当理解,实施例不限于Rel-16选项D架构选项,并且更普遍地适用于其中服务消费者和服务生产者通过服务通信代理元件来间接通信的任何服务授权场景。
回到Rel-16选项D实施例,在消费者侧,SCP扮演OAuth客户端而不是NF消费者(NFc)的角色。SCP代表NFc获得访问令牌并且存储这些(高速缓存的)访问令牌以供以后在所授予的访问令牌的整个有效期内使用。这是在单个NFc实例与多个SCPc实例通信的情况下,则高速缓存的访问令牌可能需要在所有SCPc实例之间共享。NFc调用用于期望服务的必要API。连接到NFc的SCP(本文称为SCPc)从NRF获得与目标NF生产者(NFp)有关的所有所需信息。一旦它选择了目标NFp,它就向NRF发出另一个请求以获得特定于NFc和所选目标NFp的访问令牌。
需注意,如果对于这对NFc-NFp已经存在尚未过期的访问令牌,则SCPc可重用该访问令牌(即,高速缓存的令牌)并且不需要对NRF的访问令牌请求。
在生产者侧,与目标NFp连接的SCP(这里称为SCPp)代表NFp验证访问令牌。SCPp具有用以验证访问令牌完整性和验证令牌内的声明所需的所有必要信息。可由SCPp发送指示以通知NFp该请求已由SCPp授权。
图3和图4描绘了其中实现示意性实施例的两个场景。
更具体地,图3示出了PLMN内SCP间场景300。如图所示,通信网络310(由网络运营商1管理)包括可操作地耦接到SCPp 314的NFp 312。SCPp 314可操作地耦接到NRF1 316和SCPc 318,而SCPc 318可操作地耦接到NFc 320和NRF2 322。
图4示出了PLMN间漫游场景400。在该场景中,假设通信网络410是经由网络间分组交换(IPX)提供商网络420耦接到VPLMN 430(由网络运营商2管理)的HPLMN(由网络运营商1管理)。需注意,替代的中间网络可耦接VPLMN和HPLMN网络。因此,相对于给定UE,假设HPLMN410是UE的归属网络(UE是该网络的订户),并且VPLMN 430是UE当前附接的访问网络。图4还示出了在每个PLMN的边缘处存在安全边缘保护代理(SEPP),即HPLMN 410中的hSEPP 411和VPLMN 430中的vSEPP 431。SEPP是驻留在PLMN网络的周边的实体,其用于保护PLMN免受外部业务的影响,并且另外为在服务层处的两个网间网络功能之间交换的所有数据和信令实现传输层安全性(TLS)和应用层安全性(ALS)。例如,在超文本传输协议(HTTP)消息通过漫游N32接口被向外部发送之前,SEPP对该消息中的信息元素(IE)执行安全功能。此外,如图所示,HPLMN 410包括可操作地耦接到SCPp 414的NFp 412。SCPp 414可操作地耦接到hNRF416和VPLMN 430中的SCPc 434(通过hSEPP 411、IPX提供商网络420和vSEPP 431)。SCPc434可操作地耦接到NFc 432和vNRF 436。
现在将描述在场景300(图3)和场景400(图4)的间接通信模型中提供服务授权的示意性实施例。如上所述,虽然Rel-16中用于选项D的OAuth协议将用作示例性实施例,但替代实施例适用于其他形式的服务授权。
将分多个部分描述用于Rel-16中的选项D的OAuth协议的示意性实施例。
a)Rel-16中用于选项D架构选项的OAuth架构
当使用选项D架构选项时,SCP实现NF的基于OAuth的服务访问授权。NF不支持在选项D中的基于OAuth的功能。
图5示出了具有OAuth协议角色的层级500。OAuth协议角色被如下执行:
NRF 502是OAuth授权服务器(Auth服务器)。
SCPc 504(消费者侧的SCP)是OAuth客户端。
SCPp 506(生产者侧的SCP)是OAuth资源服务器。
一个或多个NFc 508直接与SCPc 504通信,而一个或多个NFc 510直接与SCPp 506通信。
Rel-16允许NRF与SCP共址或组合。在这种情况下,SCP还可包括OAuth授权服务器的功能。
SCPc执行OAuth客户端的角色。因此,它具有唯一OAuth客户端标识符(ID)并且向OAuth授权服务器注册,例如,参见上面引用的IETF RFC 6749。
b)NF生产者(NFp)使用NF消费者(NFc)的认证和授权的隐式模型
NFp依赖于其受信SCP来执行对向其请求服务的消费者的认证、身份验证和授权。与生产者相关联的SCPp继而依赖于与消费者相关联的SCPc以断言调用API请求的消费者的真实性。这是通过NFc和SCPC之间的相互认证的TLS连接(例如,基于证书)来实现的。在NFc和NFP之间不需要直接认证。
c)OAuth客户端(SCP)向OAuth授权服务器(NRF)注册
SCP向NRF注册为“机密”OAuth客户端。由于在SCP和NRF之间存在基础的相互认证的TLS连接,因此不需要分开的OAuth客户端认证机制。
OAuth客户端标识符(客户端id)可基于SCP证书中的subjectName/subjectAltName或SCPc的NF实例ID。
应当理解,在NF消费者向NRF注册的场景中,该过程可在现有的NF服务注册过程上捎带(一步方法),或者利用在SCP和NRF之间建立TLS隧道而为隐式的(Rel-15方法)。
d)SCP代表NF消费者获得访问令牌
图6A描绘了方法600,方法600描述SCP代表NFc获得访问令牌。
步骤602是先决条件,其中:
a)建立在SCP和NRF(授权服务器或更一般地,“授权实体”)之间的相互认证的TLS连接/隧道。OAuth客户端注册通过在SCP和NRF之间建立相互验证的TLS连接/隧道来隐式地完成。
b)建立在NFc和SCPc之间以及在NFp和SCPp之间的相互认证的TLS连接/隧道。
步骤604:NFc调用向SCPc请求特定服务的API。目标NF生产者实例或服务实例以及NF生产者类型可能被包括也可能不被包括在此请求中。
步骤606:如果需要(即,如果在步骤604中不包括目标NF细节),SCPc执行对目标NFp的服务发现和选择。
步骤608:一旦SCPc知道目标受众(即,请求是针对NF实例还是NF服务实例等),它就代表NF消费者获得用于服务访问授权的访问令牌。消息包括NF服务消费者的NF实例Id、预期NF服务名称、预期NF生产者实例的NF类型和NF消费者。请求还包括SCPc的OAuth客户端Id。
步骤610:NRF检查其内部数据库以授权NF消费者。这有助于确定访问范围。
步骤612:于是,NRF生成其中包含适当声明的访问令牌。NRF如IETF RFC 7515中描述的那样基于共享秘密或私钥来对所生成的访问令牌进行数字签名,该IETF RFC的公开内容通过引用以其整体并入本文中。
在该示意性实施例中,令牌中的声明包括NRF(发行方)的NF实例Id、NF服务消费者(主体)的NF实例Id、NF服务生产者(受众)的NF类型、预期服务名称(范围)和到期时间(有效期)。
步骤614:于是,NRF将访问令牌连同到期时间一起发送到SCP。
SCPc验证原始消息并将消息转发到下一跳,该下一跳是对于NFp的可信SCP(SCPp)。SCPc将具有访问令牌(包括范围、到期时间等)的API请求转发给SCPp。
e.SCP在生产者侧证实访问令牌
图6B描绘了方法620,方法620描述了在生产者侧对访问令牌的证实。需注意,虽然在图6B中没有明确示出,但假设在SCPp和NFp之间建立相互认证的TLS连接,类似于NFc和SCPc。此外,SCP到SCP的连接可基于TLS,或者,在替代实施例中,也可以是网络域安全/互联网协议或NDS/IP(IPSec),或者如果通过SEPP(对于漫游间场景)的话也可以是隐式的。SCPc和SCPp基于它们之间的直接或经由SEPP的间接的相互认证的安全连接而相互信任。
步骤622:SCPp从SCPc接收具有访问令牌的NF服务请求。
步骤624:SCPp验证访问令牌的完整性。
步骤626:SCPp提取并且证实令牌中的声明(自包含的或与NRF一起使用API)。
步骤628:如果步骤626中的验证成功,则SCPp将API请求转发到NFp。
在一些实施例中,可通知SCPc关于验证/证实结果。
需注意,NRF API可基于IETF RFC 7662,其公开内容通过引用以其整体并入本文,在这种情况下,NRF公开供SCPp用于令牌证实的自省端点。
在替代实施例中,在步骤628中,SCPp还包括访问令牌。这允许NFp(OAuth资源服务器)在需要时授权NF消费者(例如,如果应用程序逻辑需要进一步检查,例如,用于安全性过滤)。在又一实施例中,在步骤628中,由SCPp向NFp发送指示NFc的成功认证/授权的指示。
在NFc的认证/授权成功后,NFc被给予对NFp的服务的访问。
需注意,NFc和NFp之间的每个请求/响应操作通常是原子的。这意味着SCPp将检查这是否是有效的访问令牌(只要它包含在请求中)。进一步注意,NFp不参与访问令牌过程,因此并且一旦SCPp将请求转发给NFp,NFp将会提供服务。还要注意,SCP(SCPc和SCPp)通常总是被包含在消息路径中。对于漫游(PLMN间),SEPP也在路径中。
图6A和图6B中描述的示意性实施例适用于选项D场景,其中根据定义,SCP完全负责发现和选择目标NF生产者。除此之外,示意性实施例还提供了用于使SCP执行基于OAuth的服务访问授权的所需过程的机制。当NF将基于OAuth的服务访问授权委托给SCP时,备选实施例也可应用于(TS 23.501的)选项C场景中。
需注意,图6A描绘了PLMN内场景。对于PLMN间场景,遵循上述TS 33.501条款13.4.1中的Rel-15规范,其中授权服务器位于另一个网络中,并且本地NRF将请求转发给另一个NRF,如TS 33.501中的条款13.4.1所述。
需注意,给定NF在一个实例中可以是NFc并且在另一个实例中可以是NFp,因为它可向其他网络功能提供服务,但也请求和需要来自其他网络功能的服务。因此,取决于上下文,与给定NF相关联的可信SCP可用作SCPc或SCPp。
结合图6A和图6B的消息流程图描述的特定处理操作和其他系统功能仅通过示意性示例来呈现,并且不应被解释为以任何方式限制本公开的范围。替代实施例可使用其他类型的处理操作和消息传递协议。例如,在其他实施例中,步骤的排序可改变,或者某些步骤可至少部分地彼此并发地而不是串行地被执行。而且,可周期性地重复一个或多个步骤,或者可彼此并行地执行方法的多个实例。
因此,应该再次强调,本文描述的各种实施例仅通过示意性示例来呈现并且不应被解释为限制权利要求的范围。例如,替代实施例可利用与上述在示意性实施例的上下文中描述的通信系统配置、用户装备配置、基站配置或技术、密钥对供应和使用过程、消息传递协议和消息格式不同的通信系统配置、用户装备配置、基站配置或技术、密钥对供应和使用过程、消息传递协议和消息格式。对于本领域的技术人员来说,在所附权利要求的范围内的这些和许多其他备选实施例将是显而易见的。
Claims (30)
1.一种方法,包括:
在第一服务通信代理元件处接收服务请求,其中所述服务请求是从服务消费者接收的并且是对访问服务生产者的至少一个服务的请求;
由所述第一服务通信代理元件基于所述服务请求确定至少一个目标服务生产者;
从所述第一服务通信代理元件向授权实体发送访问令牌请求,其中所述访问令牌请求是基于所述确定步骤而被生成的;以及
在所述第一服务通信代理元件处接收来自所述授权实体的访问令牌响应,其中所述访问令牌响应包括访问令牌;
其中所述第一服务通信代理元件由至少一个处理设备执行,所述至少一个处理设备包括可操作地耦接到存储器的处理器。
2.根据权利要求1所述的方法,还包括:
从所述第一服务通信代理元件向第二服务通信代理元件发送具有所述访问令牌的服务请求,其中所述第二服务通信代理元件与所述目标服务生产者相关联。
3.根据权利要求2所述的方法,其中所述第一服务通信代理元件是与所述第二服务通信代理元件相同的通信网络的一部分。
4.根据权利要求2所述的方法,其中所述第一服务通信代理元件是与所述第二服务通信代理元件不同的通信网络的一部分。
5.根据权利要求1所述的方法,其中所述访问令牌响应还包括所述访问令牌的到期时间。
6.根据权利要求1所述的方法,还包括,在所述第一服务通信代理元件发送所述访问令牌请求之前,所述第一服务通信代理元件向所述授权实体注册为所述授权实体的机密客户端。
7.根据权利要求1所述的方法,其中相互认证的安全连接先前被建立在所述服务消费者和所述第一服务通信代理元件之间。
8.根据权利要求1所述的方法,其中相互认证的安全连接先前被建立在所述第一服务通信代理元件和所述授权实体之间。
9.根据权利要求1所述的方法,其中由所述第一服务通信代理元件从所述服务消费者接收的所述服务请求还包括与所述服务消费者相关联的识别信息。
10.根据权利要求1所述的方法,其中由所述第一服务通信代理元件从所述服务消费者接收的所述服务请求还包括与给定目标服务生产者相关联的识别信息。
11.根据权利要求1所述的方法,其中当由所述第一服务通信代理元件从所述服务消费者接收的所述服务请求不包括与给定目标服务生产者相关联的识别信息时,所述第一服务通信代理元件执行目标服务生产者发现和选择。
12.根据权利要求1所述的方法,其中从所述第一服务通信代理元件发送到所述授权实体的所述访问令牌请求还包括服务消费者标识符、目标服务生产者名称和/或类型,以及所述第一服务通信代理元件的授权客户端标识符。
13.根据权利要求1所述的方法,其中所述服务消费者和所述服务生产者各自是5G通信系统中不同的网络功能(NF)。
14.根据权利要求1所述的方法,其中所述服务请求是应用程序编程接口(API)请求。
15.一种制品,包括在其中具体化可执行程序代码的非暂时性计算机可读存储介质,所述可执行程序代码在由与所述第一服务通信代理元件相关联的处理器执行时,致使所述处理器执行根据权利要求1所述的步骤。
16.一种装置,包括:
至少一个处理器;
至少一个存储器,所述至少一个存储器包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起致使所述装置至少:
接收服务请求,其中所述服务请求是从服务消费者接收的并且是对访问服务生产者的至少一个服务的请求;
基于所述服务请求来确定至少一个目标服务生产者;
向授权实体发送访问令牌请求,其中所述访问令牌请求是基于所述目标服务生产者确定而被生成的;以及
接收来自所述授权实体的访问令牌响应,其中所述访问令牌响应包括访问令牌。
17.根据权利要求16所述的装置,其中所述至少一个存储器和所述计算机程序代码被进一步配置为与所述至少一个处理器一起致使所述装置至少向服务通信代理元件发送具有所述访问令牌的服务请求,其中所述服务通信代理元件与所述目标服务生产者相关联。
18.根据权利要求17所述的装置,其中所述装置是与关联于所述服务生产者的服务通信代理元件相同的通信网络的一部分。
19.根据权利要求17所述的装置,其中所述装置是与关联于所述服务生产者的服务通信代理元件不同的通信网络的一部分。
20.一种方法,包括:
在与服务生产者相关联的第二服务通信代理元件处从与服务消费者相关联的第一服务通信代理元件接收具有访问令牌的服务请求,其中所述服务请求是由所述服务消费者对访问所述服务生产者的至少一个服务的请求,并且其中所述访问令牌是先前从授权实体获得的;
由所述第二服务通信代理元件验证所述访问令牌的完整性;
当所述访问令牌被验证时,由所述第二服务通信代理元件证实从所述访问令牌提取的一个或多个声明;以及
当来自所述访问令牌的所述一个或多个声明被证实时,从所述第二服务通信代理元件向所述服务生产者发送所述服务请求;
其中所述第二服务通信代理元件由至少一个处理设备执行,所述至少一个处理设备包括可操作地耦接到存储器的处理器。
21.根据权利要求20所述的方法,其中发送到所述服务生产者的所述服务请求还包括所述访问令牌。
22.根据权利要求20所述的方法,还包括由所述第二服务通信代理元件向所述服务生产者发送所述服务消费者的成功授权的指示。
23.根据权利要求20所述的方法,其中所述第一服务通信代理元件是与所述第二服务通信代理元件相同的通信网络的一部分。
24.根据权利要求20所述的方法,其中所述第一服务通信代理元件是与所述第二服务通信代理元件不同的通信网络的一部分。
25.根据权利要求20所述的方法,其中所述访问令牌响应还包括所述访问令牌的到期时间。
26.根据权利要求20所述的方法,其中所述服务消费者和所述服务生产者各自是5G通信系统中不同的网络功能(NF)。
27.一种制品,包括在其中体现可执行程序代码的非暂时性计算机可读存储介质,所述可执行程序代码在由与所述第一服务通信代理元件相关联的处理器执行时,致使所述处理器执行根据权利要求20所述的步骤。
28.一种装置,包括:
至少一个处理器;
至少一个存储器,所述至少一个存储器包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起致使所述装置至少:
从与服务消费者相关联的服务通信代理元件接收具有访问令牌的服务请求,其中所述服务请求是由所述服务消费者对访问与所述装置相关联的服务生产者的至少一个服务的请求,并且其中所述访问令牌是先前从授权实体获得的;
验证所述访问令牌的完整性;
当所述访问令牌被验证时,证实从所述访问令牌提取的一个或多个声明;以及
当来自所述访问令牌的所述一个或多个声明被证实时,向所述服务生产者发送所述服务请求。
29.根据权利要求28所述的装置,其中所述装置是与关联于所述服务消费者的所述服务通信代理元件相同的通信网络的一部分。
30.根据权利要求28所述的装置,其中所述装置是与关联于所述服务消费者的所述服务通信代理元件不同的通信网络的一部分。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201941016836 | 2019-04-27 | ||
| IN201941016836 | 2019-04-27 | ||
| PCT/FI2020/050216 WO2020221956A1 (en) | 2019-04-27 | 2020-04-03 | Service authorization for indirect communication in a communication system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113748699A true CN113748699A (zh) | 2021-12-03 |
Family
ID=73028607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080031512.8A Pending CN113748699A (zh) | 2019-04-27 | 2020-04-03 | 用于通信系统中的间接通信的服务授权 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11844014B2 (zh) |
| EP (1) | EP3963825A4 (zh) |
| CN (1) | CN113748699A (zh) |
| WO (1) | WO2020221956A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114339752A (zh) * | 2021-12-30 | 2022-04-12 | 中国电信股份有限公司 | 安全边缘保护代理的消息发送方法、装置及相关设备 |
| CN114760350A (zh) * | 2022-04-11 | 2022-07-15 | 中国电信股份有限公司 | 间接通信场景下的服务实现方法、装置、电子设备和介质 |
| CN114978551A (zh) * | 2022-06-14 | 2022-08-30 | 中国电信股份有限公司 | 访问令牌下发方法、获取方法、装置、系统、设备及介质 |
| WO2023169206A1 (zh) * | 2022-03-11 | 2023-09-14 | 华为技术有限公司 | 授权验证的方法和装置 |
| WO2024016280A1 (en) * | 2022-07-21 | 2024-01-25 | Nokia Technologies Oy | Access token verification |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
| US11876703B2 (en) * | 2020-02-10 | 2024-01-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Routing communication in telecommunications network having multiple service communication proxies |
| US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
| US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
| US11528251B2 (en) * | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
| US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
| US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
| US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
| US11811747B2 (en) * | 2021-03-11 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for delegated authorization at service communication proxy (SCP) |
| US20220295282A1 (en) * | 2021-03-11 | 2022-09-15 | Oracle International Corporation | Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (sepp) |
| US11425636B1 (en) * | 2021-04-16 | 2022-08-23 | Nokia Technologies Oy | Network function service subscription control |
| US20220353263A1 (en) * | 2021-04-28 | 2022-11-03 | Verizon Patent And Licensing Inc. | Systems and methods for securing network function subscribe notification process |
| US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
| US20220386225A1 (en) * | 2021-05-26 | 2022-12-01 | Oracle International Corporation | Methods, systems, and computer readable media for determining time related parameter values for a communications network |
| WO2023272706A1 (en) * | 2021-07-01 | 2023-01-05 | Nokia Technologies Oy | Network repository function services access authorization |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150026772A1 (en) * | 2013-07-16 | 2015-01-22 | Samsung Electronics Co., Ltd. | Media based authentication and authorization for secure services |
| US9961154B1 (en) * | 2014-04-28 | 2018-05-01 | State Farm Mutual Automobile Insurance Company | Web service gateway |
| EP3257193B1 (en) * | 2015-01-26 | 2022-08-10 | Mobile Iron, Inc. | Identity proxy to provide access control and single sign on |
| EP3104635B1 (en) * | 2015-06-09 | 2020-02-12 | Deutsche Telekom AG | Method for an improved installation of a secure-element-related service application in a secure element being located in a communication device, system and telecommunications network for an improved installation of a secure-element-related service application in a secure element being located in a communication device, program comprising a computer readable program code, and computer program product |
-
2020
- 2020-04-03 WO PCT/FI2020/050216 patent/WO2020221956A1/en unknown
- 2020-04-03 US US17/264,105 patent/US11844014B2/en active Active
- 2020-04-03 CN CN202080031512.8A patent/CN113748699A/zh active Pending
- 2020-04-03 EP EP20798049.1A patent/EP3963825A4/en active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114339752A (zh) * | 2021-12-30 | 2022-04-12 | 中国电信股份有限公司 | 安全边缘保护代理的消息发送方法、装置及相关设备 |
| WO2023169206A1 (zh) * | 2022-03-11 | 2023-09-14 | 华为技术有限公司 | 授权验证的方法和装置 |
| CN114760350A (zh) * | 2022-04-11 | 2022-07-15 | 中国电信股份有限公司 | 间接通信场景下的服务实现方法、装置、电子设备和介质 |
| CN114760350B (zh) * | 2022-04-11 | 2024-02-06 | 中国电信股份有限公司 | 5g网络间接通信场景下服务实现方法、装置、设备和介质 |
| CN114978551A (zh) * | 2022-06-14 | 2022-08-30 | 中国电信股份有限公司 | 访问令牌下发方法、获取方法、装置、系统、设备及介质 |
| CN114978551B (zh) * | 2022-06-14 | 2024-02-06 | 中国电信股份有限公司 | 访问令牌下发方法、获取方法、装置、系统、设备及介质 |
| WO2024016280A1 (en) * | 2022-07-21 | 2024-01-25 | Nokia Technologies Oy | Access token verification |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3963825A4 (en) | 2023-01-25 |
| WO2020221956A1 (en) | 2020-11-05 |
| EP3963825A1 (en) | 2022-03-09 |
| US11844014B2 (en) | 2023-12-12 |
| US20210297942A1 (en) | 2021-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11844014B2 (en) | Service authorization for indirect communication in a communication system | |
| US20210234706A1 (en) | Network function authentication based on public key binding in access token in a communication system | |
| US11483741B2 (en) | Automated roaming service level agreements between network operators via security edge protection proxies in a communication system environment | |
| US11038923B2 (en) | Security management in communication systems with security-based architecture using application layer security | |
| EP3753226B1 (en) | Security management in communication systems between security edge protection proxy elements | |
| WO2019158819A1 (en) | Security management for roaming service authorization in communication systems with service-based architecture | |
| US11924641B2 (en) | Security management for service access in a communication system | |
| WO2020053481A1 (en) | Network function authentication using a digitally signed service request in a communication system | |
| EP3791537A1 (en) | Security management for edge proxies on an inter-network interface in a communication system | |
| WO2021094349A1 (en) | Multi-step service authorization for indirect communication in a communication system | |
| CN113994633B (zh) | 通信系统中的网络功能集合的授权 | |
| CN113994727A (zh) | 通信系统中的安全访问控制 | |
| WO2020249861A1 (en) | Communication security between user equipment and third-party application using communication network-based key | |
| WO2022018580A1 (en) | Service authorization in communication systems | |
| WO2020065130A1 (en) | Security management between edge proxy and internetwork exchange node in a communication system | |
| US11789803B2 (en) | Error handling framework for security management in a communication system | |
| WO2021090171A1 (en) | Authorization in a service communication proxy | |
| WO2020208294A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over public network | |
| WO2020254925A1 (en) | Policy-based authorization for indirect communications between network functions in a communication system | |
| JP7241202B2 (ja) | テレスコピックfqdnをハンドリングするためのシステムおよび方法 | |
| WO2020208295A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over private network | |
| WO2021079023A1 (en) | Inter-mobile network communication security | |
| CN113574829A (zh) | 与第三方应用共享通信网络锚定加密密钥 | |
| US20240154803A1 (en) | Rekeying in authentication and key management for applications in communication network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |