CN113994633A - 通信系统中的网络功能集合的授权 - Google Patents
通信系统中的网络功能集合的授权 Download PDFInfo
- Publication number
- CN113994633A CN113994633A CN202080043756.8A CN202080043756A CN113994633A CN 113994633 A CN113994633 A CN 113994633A CN 202080043756 A CN202080043756 A CN 202080043756A CN 113994633 A CN113994633 A CN 113994633A
- Authority
- CN
- China
- Prior art keywords
- service
- service producer
- access
- access token
- producer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006870 function Effects 0.000 title claims abstract description 98
- 238000004891 communication Methods 0.000 title claims abstract description 60
- 238000013475 authorization Methods 0.000 title claims abstract description 25
- 238000000034 method Methods 0.000 claims abstract description 37
- 230000015654 memory Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 16
- 238000003860 storage Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 9
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 14
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了用于通信系统中的安全访问控制的改进技术。一个或多个示例中的安全访问控制包括网络功能集合的授权。例如,根据授权服务器功能,一种方法包括:从通信系统中的服务消费方接收针对访问服务类型的请求,其中该请求包括包含服务生产方集合标识符的信息。该方法确定服务消费方是否被授权访问服务类型。该方法标识属于所请求的服务生产方集合标识符的服务生产方实例。该方法生成访问令牌,该访问令牌包括针对属于所请求的服务生产方集合标识符的服务生产方实例中的、经标识的服务生产方实例的标识符,以及将该访问令牌发送给服务消费方。
Description
技术领域
该领域总体上涉及通信系统,更具体地但非排他地涉及此类系统内的安全访问控制。
背景技术
本节介绍了可以助于促进对本发明的更好理解的各方面。因此,本节的陈述应从这个角度来解读,并且不应被理解为承认什么是现有技术或什么不是现有技术。
第四代(4G)无线移动电信技术,也称为长期演进(LTE)技术,被设计为以高数据速率提供大容量的移动多媒体,特别是用于人机交互。下一代或第五代(5G)技术不仅旨在用于人机交互,还旨在用于所谓的物联网(IoT)网络中的机器类型通信。
虽然5G网络旨在支持大规模IoT服务(例如,大量有限容量的设备)和关键任务IoT服务(例如,需要高可靠性),但是以为移动设备提供改进的无线互联网接入的增强型移动宽带(eMBB)服务的形式来支持对传统移动通信服务的改进。
在示例通信系统中,诸如移动终端(订户)之类的用户设备(5G网络中的5G UE,或更广泛地,UE)通过空中接口来与基站或接入网络的接入点(称为5G网络中的5G AN)进行通信。接入点(例如,gNB或N3IWF或TNGF或W-AGF,具体取决于5G接入网络的类型:支持3GPP定义的NR无线电,支持对5GC的不可信的非3GPP访问,支持对5GC(5G核心)的可信的非3GPP访问或支持对5GC的有线接入)说明性地是通信系统的接入网络的一部分。例如,在5G网络中,被称为5G AN的接入网络在5G技术规范(TS)23.501,V16.0.2的标题为“TechnicalSpecification Group Services and System Aspects;System Architecture for the5G System”中被描述,其公开内容通过引用整体并入本文。一般来说,接入点(例如,gNB或N3IWF或TNGF或W-AGF,具体取决于5G接入网络的类型)为UE提供对核心网络(CN或5GC)的接入,核心网络然后为UE提供对其他UE和/或数据网络诸如分组数据网络(例如,互联网)的接入。
TS 23.501继续定义5G基于服务的架构(SBA),该架构将服务建模为网络功能(NF),这些网络功能(NF)使用代表性状态传输应用编程接口(Restful API)相互通信。
此外,5G技术规范(TS)33.501,V15.4.0的标题为“Technical SpecificationGroup Services and System Aspects;Security Architecture and Procedures forthe 5G System”进一步描述了与5G网络相关联的安全管理细节,其公开内容通过引用整体并入本文。
网络实体的访问是任何通信系统中重要的安全管理考虑因素。然而,某些情况下的安全访问(例如,通过授权)会带来一些挑战。
发明内容
说明性实施例提供了用于通信系统中的安全访问控制的改进技术。例如,一个或多个说明性实施例中的安全访问控制包括网络功能集合的授权。
例如,在根据授权服务器功能的一个说明性实施例中,一种方法包括:从通信系统中的服务消费方接收针对访问服务类型的请求,其中该请求包括包含服务生产方集合标识符的信息。该方法确定服务消费方是否被授权访问服务类型。该方法标识属于所请求的服务生产方集合标识符的服务生产方实例。该方法生成访问令牌,该访问令牌包括针对属于所请求的服务生产方集合标识符的服务生产方实例中的、经标识的服务生产方实例的标识符。
在根据服务消费方的另一个说明性实施例中,一种方法,包括向通信系统中的授权服务器功能发送针对访问服务类型的请求,其中该请求包括包含服务生产方集合标识符的信息。该方法接收访问令牌,该访问令牌包括针对属于所请求的服务生产方集合标识符的服务生产方实例中的、经标识的服务生产方实例的标识符。该方法使用访问令牌来访问该访问令牌中经标识的服务生产方实例中的一个服务生产方实例。
在说明性实施例中,在5G系统中服务消费方是网络功能(NF)并且授权服务器功能是网络储存库功能(NRF)。在这样的实施例中,服务生产方可以属于由集合标识符(NF集合ID)识别的相似的网络功能集合。此外,可以在NRF处对已识别服务生产方实例进行预选择以包含在访问令牌中,或者可以在NF消费方处执行选择。
以其中包含可执行程序代码的非瞬态计算机可读存储介质的形式提供进一步的说明性实施例,当由处理器执行时,该可执行程序代码使处理器执行上述步骤。更进一步的说明性实施例包括具有被配置为执行上述步骤的处理器和存储器的装置。此外,在其他实施例中提供了从服务消费方角度的方法、非瞬态计算机可读存储介质和装置。
从附图和以下详细描述中,本文描述的实施例的这些和其他特征和优点将变得更加明显。
附图说明
图1图示了一种通信系统,利用该通信系统实现一个或多个说明性实施例。
图2图示了根据说明性实施例的通信系统中的安全访问控制中涉及的网络实体的处理架构。
图3图示了根据说明性实施例的通信系统中的访问令牌请求方法的消息流。
图4图示了根据说明性实施例的用于指定多个服务生产方实例的访问令牌的一部分。
图5图示了根据另一个说明性实施例的通信系统中的访问令牌请求方法的消息流。
图6图示了根据说明性实施例的访问令牌声明类型的表。
图7图示了根据说明性实施例的受众声明类型的表。
具体实施方式
在本文中将结合示例通信系统和用于在通信系统中提供网络实体的安全访问控制的关联技术来说明实施例。然而,应当理解,权利要求的范围不限于所公开的特定类型的通信系统和/或过程。可以使用替代过程和操作在多种其他类型的通信系统中实现实施例。例如,虽然在利用诸如3GPP下一代系统(5G)之类的3GPP系统元件的无线蜂窝系统的上下文中进行了说明,但是所公开的实施例可以以直接的方式适用于各种其他类型的通信系统。
根据在5G通信系统环境中实现的说明性实施例,一个或多个3GPP技术规范(TS)和技术报告(TR)提供了对与一个或多个说明性实施例进行交互的用户设备和网络元件/功能和/或操作的进一步解释,例如,上面引用的3GPP TS 23.501和3GPP TS 33.501。其他3GPPTS/TR文档提供了本领域普通技术人员将意识到的其他常规细节。例如,将在下面引用3GPPTS 23.502,V16.0.2的标题为“Technical Specification Group Services and SystemAspects;Procedures for the 5G System;Stage 2”以及3GPP TS 29.510,V15.3.0的标题为“Technical Specification Group Core Network and Terminals;5G System;NetworkFunction Repository Services”,其公开内容通过引用整体并入本文。然而,虽然说明性实施例非常适合与上述5G相关3GPP标准相关联的实现,但是替代实施例不一定旨在限于任何特定标准。
此外,在本文中将在开放系统互连模型(OSI模型)的上下文中解释说明性实施例,该模型是概念上表征诸如例如5G网络之类的通信系统的通信功能的模型。OSI模型通常被概念化为分层堆栈,其中给定层为上层服务,并由下层服务。通常,OSI模型包括七层,堆栈的顶层是应用层(层7),然后是表示层(层6)、会话层(层5)、传输层(层4)、网络层(层3)、数据链路层(层2)和物理层(层1)。本领域普通技术人员将了解各层的功能和相互作用,因此在本文中不再描述每一层的进一步细节。然而,应当了解,虽然说明性实施例非常适合于利用OSI模型的实现方式,但是替代实施例不一定限于任何特定的通信功能模型。
说明性实施例涉及与用于5G网络的基于服务的架构(SBA)相关联的密钥管理。在描述此类说明性实施例之前,下面将在图1和图2的上下文中描述5G网络的主要组件的一般描述。
图1示出了在其中实现了说明性实施例的通信系统100。应当理解,通信系统100中所示的元件旨在表示系统内提供的主要功能,例如,UE接入功能、移动性管理功能、认证功能、服务网关功能等。如此,在图1中所示的块引用了5G网络中提供这些主要功能的特定元件。然而,在其他实施例中可以使用其他网络元件来实现所表示的主要功能中的一些或全部。此外,应当理解,在图1中并非描绘了5G网络的所有功能。相反,有助于说明性实施例的解释的功能被示出。随后的附图可能描绘了一些附加的元件/功能。
因此,如所示,通信系统100包括用户设备(UE)102,其经由空中接口103来与接入点104(gNB或N3IWF或TNGF或W-AGF,具体取决于5G接入网络的类型)进行通信。在一些实施例中,UE 102是移动站,并且这样的移动站可以包括例如移动电话、计算机或任何其他类型的通信设备。因此,在本文中使用的术语“用户设备”旨在被广义地解释,以便涵盖各种不同类型的移动站、用户站或更一般来说的通信设备,包括诸如数据卡插入笔记本电脑或其他设备中的组合的示例,诸如智能电话或其他蜂窝设备。在一个或多个说明性实施例中,用户设备是指IoT设备。这种通信设备也旨在涵盖通常被称为接入终端的设备。在其他实施例中,UE可以由通过有线接入而连接到5G核心网的住宅网关来托管。
在一个实施例中,UE 102由通用集合成电路卡(UICC)部分和移动设备(ME)部分组成。UICC是UE的用户相关部分,并且包含至少一个通用用户身份模块(USIM)和适当的应用软件。USIM安全地存储永久订阅标识符及其相关密钥,其被用于识别和验证访问网络的订阅者。ME是与用户无关的UE部分,并且包含终端设备(TE)功能和各种移动终端(MT)功能。
注意,在一个示例中,永久订阅标识符是UE的国际移动用户标识(IMSI)。在一个实施例中,IMSI是固定的15位长度并且由3位移动国家代码(MCC)、3位移动网络代码(MNC)和9位移动站标识号(MSIN)组成。在5G通信系统中,IMSI被称为订阅永久标识符(SUPI)。在IMSI为SUPI的情况下,MSIN提供订户身份。因此,通常仅需要加密IMSI的MSIN部分。IMSI的MNC和MCC部分提供路由信息,服务网络使用该路由信息路由到正确的归属网络。当SUPI的MSIN被加密时,它被称为订阅隐藏标识符(SUCI)。
接入点104说明性地是通信系统100的接入网络的一部分。这样的接入网络包括例如具有多个基站和一个或多个相关联的无线电网络控制功能的5G系统。在一些实施例中,基站和无线电网络控制功能是逻辑上分离的实体,但是在一些实施例中被实现在相同的物理网络元件(诸如例如基站路由器或蜂窝接入点)中。
该说明性实施例中,接入点104可操作地耦合到移动性管理功能106。在5G网络中,移动性管理功能由接入和移动性管理功能(AMF)来实现。在一些实施例中,还通过AMF将UE与移动性管理功能连接来实现安全锚功能(SEAF)。如本文中所使用的,移动性管理功能是通信系统的核心网络(CN)部分中的元件或功能(即,实体),其在其他网络操作中管理或以其他方式参与(通过接入点104)与UE的接入和移动性(包括认证/授权)操作。AMF在本文中也被更一般地称为接入和移动性管理实体。
在该说明性实施例中,AMF 106可操作地耦合到附加网络功能108,例如驻留在订户的归属网络中或其他地方的一个或多个功能。这些功能中的一些包括统一数据管理(UDM)功能以及认证服务器功能(AUSF)。AUSF和UDM(单独地或共同地)在本文中也被更一般地称为认证实体。UDM支持认证凭证储存库和处理功能(ARPF),其通常存储在认证中使用的长期安全凭证。此外,订户功能包括但不限于网络切片选择功能(NSSF)、网络暴露功能(NEF)、网络储存库功能(NRF)和策略控制功能(PCF)。
在说明性实施例中,UE的订户与核心网络或另一移动网络的运营商保持移动订阅。注意,UE通常订阅一些或所有用户功能驻留在其中的所谓的归属公共陆地移动网络(HPLMN)。如果UE正在漫游(不在HPLMN中),则它通常与也被称为服务网络的访客公共陆地移动网络(VPLMN)连接。移动性管理功能106中的一些或全部可以驻留在VPLMN中,在这种情况下,VPLMN中的功能根据需要与HPLMN中的功能进行通信。然而,在非漫游场景中,移动性管理功能106和附加网络功能108可以根据需要驻留在同一通信网络中或其他地方。
接入点104也可操作地耦合到服务网关功能,即会话管理功能(SMF)110,其可操作地耦合到用户平面功能(UPF)112。UPF 112可操作地耦合到分组数据网络,例如互联网114。正如在5G和其他通信网络中所知,用户平面(UP)或数据平面承载网络用户业务,而控制平面(CP)承载信令业务。SMF 110支持与UP订户会话相关的功能性,例如PDU会话的建立、修改和释放。UPF 112支持促进UP操作的功能性,例如分组路由和转发、与数据网络(例如图1中的114)的互连、策略实施和数据缓冲。
应该了解,图1是简化图示,因为在图1中并未图示网络功能(NF)和其他系统元件之间的所有通信链路和连接。给定各种3GPP TS/TR的本领域普通技术人员将了解各种链路和连接未被明确示出或者可以在图1中以其他方式概括。
当某些网络元件不是说明性实施例的重点但是可在适当的3GPP 5G文档中找到时,这些网络元件的进一步典型操作和功能在本文中未被详细描述。应当了解,图1中的系统元件的特定布置仅是示例,并且可以使用其他类型和布置的附加或替代元件来实现其他实施例中的通信系统。例如,在其他实施例中,系统100包括本文中未明确示出的其他元件/功能。此外,虽然在图1实施例中仅示出了单个元件/功能,但是这仅是为了说明的简单和清楚。给定的替代实施例可以包括更多数量的这种系统元件,以及通常与常规系统实现相关联的类型的附加或备选元件。
还应注意的是,虽然图1将系统元件图示为单个功能块,但是构成5G网络的各种子网被划分为所谓的网络切片。网络切片(网络分区)包括在公共物理基础设施上使用网络功能虚拟化(NFV)的每个对应服务类型的一系列网络功能(NF)集合(即功能链)。网络切片根据给定服务的需要而被实例化,例如eMBB服务、大规模IoT服务和任务关键型IoT服务。因此,当创建网络切片或功能的实例时,该网络切片或功能被实例化。在一些实施例中,这涉及在底层物理基础设施的一个或多个主机设备上安装或以其他方式运行网络切片或功能。UE 102被配置为经由接入点104(gNB或N3IWF或TNGF或W-AGF,具体取决于5G接入网络的类型)接入这些服务中的一个或多个。NF还可以访问其他NF的服务。
图2是在说明性实施例中的通信系统中的安全访问控制中涉及的两个组件(例如,可以包括通信系统的网络功能和其他网络元件的网络实体)的处理架构200的框图。应当了解,根据说明性实施例,在安全访问控制中可以涉及多于两个组件。如此,图2图示了与直接或间接通信的组件中的任何两个组件相关联的处理架构。因此,在说明性实施例中,安全访问控制方法中的每个参与者被理解为配置有图2中所示的处理架构。
如所示,网络功能/元件202包括耦合到存储器216和接口电路210的处理器212。网络功能/元件202的处理器212包括安全访问控制处理模块214,其可以至少部分地以处理器所执行的软件形式来实现。处理模块214执行结合随后的附图和本文的其他方式描述的安全访问控制。网络功能/元件202的存储器216包括安全访问控制存储模块218,其存储在安全访问控制操作期间生成或以其他方式使用的数据。
如进一步所示,网络功能/元件204包括耦合到存储器226和接口电路220的处理器222。网络功能/元件204的处理器222包括安全访问控制处理模块224,其可以至少部分地以处理器222所执行的软件形式来实现。处理模块224执行结合随后的附图和本文的其他方面所描述的安全访问控制。网络功能/元件204的存储器226包括安全访问控制存储模块228,其存储在安全访问控制操作期间生成或以其他方式使用的数据。
相应组件202和204的处理器212和222可以包括例如微处理器、专用集合成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)或其他类型的处理设备或集合成电路以及这些元件的部分或组合。这种集合成电路器件及其部分或组合是本文中使用的术语“电路”的示例。硬件和相关联的软件或固件的多种其他布置可以被用于实现说明性实施例。
相应组件202和204的存储器216和226可以被用于存储由相应处理器212和222执行的一个或多个软件程序以实现本文所述功能性的至少一部分。例如,可以使用由处理器212和222执行的软件代码以直接的方式来实现如结合随后的附图所描述的安全访问控制操作和其他功能性。
因此,存储器216或226中的给定一个可以被视为本文中更一般地称为计算机程序产品或更一般地称为其中包含可执行程序代码的处理器可读存储介质的示例。处理器可读存储介质的其他示例可以包括任何组合的磁盘或其他类型的磁介质或光介质。说明性实施例可以包括包含此类计算机程序产品或其他处理器可读存储介质的制品。
存储器216或226可以更具体地包括例如电子随机存取存储器(RAM),诸如静态RAM(SRAM)、动态RAM(DRAM)或其他类型的易失性或非易失性电子存储器。后者可以包括例如非易失性存储器,诸如闪存、磁RAM(MRAM)、相变RAM(PC-RAM)或铁电RAM(FRAM)。本文中使用的术语“存储器”旨在被广义地解释,并且可以附加地或替代地包括例如只读存储器(ROM)、基于磁盘的存储器或其他类型的存储设备以及此类设备的部分或组合。
相应组件202和204的接口电路210和220说明性地包括收发器或其他通信硬件或固件,其允许相关联的系统元件以本文所述的方式彼此通信。
从图2中很明显,网络功能/元件202被配置用于经由它们相应的接口电路210和220来与网络功能/元件204通信,反之亦然。该通信涉及网络功能/元件202向网络功能/元件204发送数据,以及网络功能/元件204向网络功能/元件202发送数据。然而,在备选实施例中,其他网络元件或其他组件可以可操作地耦合在组件202和204之间以及耦合到组件202和204。在本文中使用的术语“数据”旨在被广义地解释,以涵盖可在组件之间发送的任何类型的信息,包括但不限于消息、令牌、标识符、密钥、指示符、用户数据、控制数据、认证数据等。
应当了解,图2中所示的组件的特定布置仅是示例,并且在其他实施例中使用许多替代配置。例如,任何给定的网络元件/功能都可以被配置为并入了附加或替代组件并支持其他通信协议。
在说明性实施例中,如下文将进一步解释的,网络功能/元件202是诸如UDM、PCF或NEF的NF,并且网络功能/元件204是诸如NRF(授权服务器)之类的NF。此外,第一网络元件/功能202和第二网络元件/功能204中的一个或两者也可以表示服务通信代理(SCP)元件。TS23.501的3GPP版本16引入了所谓的间接通信模型,在其中网络功能(NF)经由SCP进行通信,SCP是被配置为在两个NF之间路由控制平面消息的中间NF(例如,以类似于3G或4G通信系统中的Diameter路由代理(DRA)的方式)。
给定上述说明性架构,下面将进一步描述一个或多个NF之间的安全访问控制(例如,经由授权)的说明性实施例。在这样的描述之前,将在5G网络的上下文中描述一些主要缺点,这些缺点至少部分是说明性实施例的开发动机。
虽然需要进行通信的两个NF(例如,一个NF可以访问另一个NF的(一个或多个)服务)可以位于不同的PLMN中,但是同一PLMN中的一些NF也需要进行通信。在任一场景(PLMN间通信或PLMN内通信)中,SBA通信模型都包括安全方法,这些安全方法使得“NF服务消费方”或“NF消费方”(服务客户端)能够被认证和授权以访问由“NF服务生产方”或“NF生产方”(服务服务器)提供的服务或以其他方式与之相关联的服务。上面引用的3GPP TS 33.501(版本15)中支持的授权方法之一是基于OAuth 2.0(在本文中被简称为“OAuth”)访问令牌方法。在5G系统中,使用OAuth时采用以下模型:(i)NRF是OAuth授权服务器;(ii)NF服务消费方是OAuth客户端;以及(iii)NF服务生产方是OAuth资源服务器。
NF服务消费方(客户端)经由NRF来发现NF服务生产方(资源服务器),然后在调用服务应用编程接口(API)请求时获得访问令牌以呈现给NF服务生产方。
在3GPP版本16中,网络可靠性是经由“NF集合”和“NF服务集合”的概念而被引入的。
NF集合被用来管理NF的可扩展性和负载共享/管理,因而允许相同NF集合内的NF实例的可靠性。当所选的NF生产方实例不可用时,选择相同NF集合内的另一NF生产方实例。
当使用NF服务集合时,这允许NF服务集合内的NF服务的可靠性。当NF服务集合内的多个NF服务实例被暴露给NF服务消费方或SCP,并且给定的NF服务实例的故障被NRF检测到或通知时(例如,给定的NF服务实例不再可用),NF服务消费方或SCP选择相同NF服务集合内的另一NF服务实例(如果可用的话)。否则,NF服务消费方或SCP选择相同NF集合内的不同NF实例。
如果集合内需要目标NF生产方或服务,则NF服务消费方在发现请求中包含NF集合ID或NF服务集合ID。NRF在请求集合内挑选生产方或服务。
在3GPP版本15中,针对所选择的NF生产方或特定类型的NF生产方群组获取访问令牌。不存在获得单个访问令牌以允许利用版本16中的NF可靠性增强的选项。换句话说,目前没有网络机制来生成可以被用于NF/NF服务集合的所有成员的访问令牌。相反,3GPP TDoc-S3-191674中的现有提议要求NRF推导出NF集合Id并将其作为声明之一包含在访问令牌中,该提议的公开内容通过引用整体并入本文。
说明性实施例克服了与利用NF集合和NF服务集合的概念的现有提议网络可靠性提议相关联的上述和其他缺点。
例如,一个或多个说明性实施例提供以下内容:
a)NF服务消费方在给NRF的访问令牌请求(AccessTokenRequest)消息中包含目标NF集合Id(NFSetID)。
b)NRF标识属于所请求的NF集合Id(NFSetID)的所有NFP生产方(NFProducer)。
c)NRF选择可以被发送给NF服务消费方的合格NF生产方。这是基于许多因素,诸如例如:
·与请求相关联的UE的信息,诸如其位置。这可以基于UE互联网协议(IP)地址。
·请求NF消费方的信息,诸如其位置,例如由其IP地址来标识。
·当候选NF生产方的处理负载已经超过某个阈值限制时。换句话说,负载已经达到过载条件。
在一个或多个说明性实施例中,最终选择由NF服务消费方或SCP执行。说明性实施例建议在NRF处进行第一轮选择以从基于容易获得的因素诸如UE的位置、NF消费方的位置、NF生产方的负载是否已经超过了过载阈值限制等来选择的NF消费方可用的NF生产方列表中移除NF生产方。换句话说,NRF基于若干因素限制NF生产方实例的潜在列表,并在访问令牌中形成“受众”声明。
d)NRF利用所有选定的NF生产方实例的(一个或多个)NF实例ID填充访问令牌中的受众声明。
在上述步骤(c)的备选方案中,NRF对受众声明进行增强以包括NF集合ID。通过这种方法,选择正确的NF生产方实例的责任在于NF消费方或SCP。利用该选项,NRF中的第一轮选择不被执行,因为现在选择NF生产方的责任完全落在了NF消费方的上下文中。
NF消费方使用访问令牌来访问该访问令牌中经标识的服务生产方实例中的一个(例如,将访问令牌发送到实例)。
下面将分多个部分描述根据一个或多个说明性实施例的用于访问令牌和与其相关联的消息流的提议格式。
第1部分:在访问令牌请求消息中包含NF集合ID
在访问令牌请求(即Nnrf_AccessToken_Get)中,NF服务消费方包括目标NF生产方的NF集合ID。
图3图示了根据说明性实施例的通信系统中的访问令牌请求方法的消息流300。该图改编自TS 33.501。更具体地,如将解释的,NF服务消费方302在对NRF 304的请求中包括目标NF生产方的NF集合ID。
如所示,在步骤310中,NF服务消费方302向NRF 304(授权服务器)注册。
在步骤312中,NF服务消费方304向NRF 304发送访问令牌请求。如所示,访问令牌请求包括(多个)预期的NF服务名称、NF类型、消费者NF类型和NF集合ID。
在步骤314中,NRF 304授权客户端并生成访问令牌。
在步骤316中,NRF 304向NF服务消费方302发送访问令牌响应(即,Nnrf_AccessToken_Get响应)。注意,在说明性实施例中,访问令牌具有与该访问令牌相关联的到期时间。此外,在说明性实施例中,注意,请求NF服务消费方的NF实例Id被添加到访问令牌(例如,在主题字段中)。
第2部分:NRF确定所有NF生产方并填充访问令牌
NRF标识属于所请求的NF集合ID的所有NF生产方。
NRF基于多个标准进行第一轮选择,包括例如:
·UE的信息,诸如其位置。这可以基于UE IP地址。
·请求NF消费方的信息,诸如其位置,例如由其IP地址所标识。
·当候选NF生产方的处理负载已经超过过载阈值限制时。换句话说,负载已经达到过载条件。
然后,NRF利用所有选定NF生产方实例的(一个或多个)NF实例ID填充访问令牌中的受众声明。
图4包括示出了如何使用受众声明来捕获所发现的NF生产方实例的地址的示例400。注意,在一个或多个实施例中,访问令牌是JavaScript对象表示法(JSON)Web令牌。
在图4中所示的实施例中,受众声明是一个数组,该数组的每个元素由所有已识别NF生产方实例的NF实例Id组成。
图5图示了扩展了上面在图3中描述的消息流300的消息流500,在NRF 304中具有增强功能性,以标识、选择NF生产方并在访问令牌中填充它们的NF实例ID。因此,步骤310、312和316与图3中的相同。然而,在图5的消息流500中,NRF 304在步骤314-a中授权客户端。在步骤314-b中,NRF 304识别NF集合中的NF生产方并执行第一轮NF生产方选择。在步骤314-c中,NRF 304利用所选择的NF生产方来填充访问令牌中的受众声明。
第3部分:NF在受众声明中包含NF集合ID
第2部分的备选方案是NRF可以只在访问令牌中包含NF集合ID。在一个说明性实施例中,NF集合ID可以被包括在访问令牌的“受众字段”中。3GPP TS 29.510定义了针对访问令牌的第3阶段详细信息。图6示出了提供访问令牌声明类型的定义的表600。
3GPP TS 29.510将“受众”定义为包含NF类型或NF实例ID数组的列表。NF集合ID数据类型的添加在图7的表700中被示出。
还要注意,虽然在各种说明性实施例中认证服务器功能被描绘为NRF的一部分,但是在备选实施例中,认证服务器功能可以是任何NF的一部分。
结合图1-图7描述的特定处理操作和其他系统功能仅通过说明性示例的方式来呈现,并且不应被解释为以任何方式限制本公开的范围。备选实施例可以使用其他类型的处理操作和消息传递协议。例如,在其他实施例中,步骤的顺序可以改变,或者某些步骤可以至少部分地彼此同时执行而不是连续执行。此外,一个或多个步骤可以被周期性地重复,或者方法的多个实例可以彼此并行执行。
因此应该再次强调,在本文中描述的各种实施例仅通过说明性示例的方式来呈现,并且不应被解释为限制权利要求的范围。例如,替代实施例可以利用与在说明性实施例的上下文中如上描述的那些不同的通信系统配置、用户设备配置、基站配置、认证和密钥协商协议、密钥对供应和使用过程、消息传递协议和消息格式。所附权利要求范围内的这些和许多其他备选实施例对于本领域技术人员来说将是明显的。
Claims (24)
1.一种装置,包括:
至少一个处理器;
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器使所述装置至少:
从通信系统中的服务消费方接收针对访问服务类型的请求,其中所述请求包括包含服务生产方集合标识符的信息;
确定所述服务消费方是否被授权访问所述服务类型;
标识属于所请求的所述服务生产方集合标识符的服务生产方实例;
生成访问令牌,所述访问令牌包括针对属于所请求的所述服务生产方集合标识符的所述服务生产方实例中的、经标识的服务生产方实例的标识符;以及
将所述访问令牌发送给所述服务消费方;
其中所述至少一个处理器、所述至少一个存储器和所述计算机程序代码是所述通信系统中的授权服务器功能的一部分。
2.根据权利要求1所述的装置,其中所述至少一个存储器和所述计算机程序代码还被配置为与所述至少一个处理器一起使所述装置:选择属于所请求的所述服务生产方集合标识符的所述服务生产方实例中的、经标识的服务生产方实例的子集,以用于包含在所述访问令牌中。
3.根据权利要求2所述的装置,其中选择基于的是给定用户设备的信息,所述访问请求与所述给定用户设备相关联。
4.根据权利要求2所述的装置,其中选择基于的是发送所述访问请求的所述服务消费方的信息。
5.根据权利要求2所述的装置,其中选择基于的是所述服务生产方的处理负载。
6.根据权利要求1所述的装置,其中所述访问令牌包括针对属于所请求的所述服务生产方集合标识符的所述服务生产方实例的所述标识符中的每个标识符,以使所述服务消费方能执行选择。
7.根据权利要求1所述的装置,其中所述访问令牌在所述访问令牌的受众声明字段中指定针对属于所请求的所述服务生产方集合标识符的所述服务生产方实例中的、经标识的服务生产方实例的所述标识符。
8.根据权利要求1所述的装置,其中在5G系统中所述服务消费方是网络功能(NF)并且所述授权服务器功能是网络储存库功能(NRF)。
9.一种方法,包括:
从通信系统中的服务消费方接收对访问服务类型的请求,其中所述请求包括包含服务生产方集合标识符的信息;
确定所述服务消费方是否被授权访问所述服务类型;
标识属于所请求的所述服务生产方集合标识符的服务生产方实例;
生成访问令牌,所述访问令牌包括针对属于所请求的所述服务生产方集合标识符的所述服务生产方实例中的、经标识的服务生产方实例的标识符;以及
将所述访问令牌发送给所述服务消费方;
其中所述方法的步骤由所述通信系统中的授权服务器功能来执行。
10.根据权利要求9所述的方法,还包括:选择属于所请求的所述服务生产方集合标识符的所述服务生产方实例中的、经标识的服务生产方实例的子集,以用于包含在所述访问令牌中。
11.根据权利要求10所述的方法,其中选择基于的是给定用户设备的信息,所述访问请求与所述给定用户设备相关联。
12.根据权利要求10所述的方法,其中选择基于的是发送所述访问请求的所述服务消费方的信息。
13.根据权利要求10所述的方法,其中选择基于的是所述服务生产方的处理负载。
14.根据权利要求9所述的方法,其中所述访问令牌包括针对属于所请求的所述服务生产方集合标识符的所述服务生产方实例的所述标识符中的每个标识符,以使所述服务消费方能执行选择。
15.一种制品,包括其中实施有可执行程序代码的非瞬态计算机可读存储介质,所述可执行程序代码在由与授权服务器功能相关联的处理器执行时使所述授权服务器功能执行权利要求9所述的步骤。
16.一种装置,包括:
至少一个处理器;
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少:
向通信系统中的授权服务器功能发送针对访问服务类型的请求,其中所述请求包括包含服务生产方集合标识符的信息;
接收访问令牌,所述访问令牌包括针对属于所请求的所述服务生产方集合标识符的服务生产方实例中的、经标识的服务生产方实例的标识符;以及
使用所述访问令牌来访问所述访问令牌中标识的所述服务生产方实例中的一个服务生产方实例;
其中所述至少一个处理器、所述至少一个存储器和所述计算机程序代码是所述通信系统中的服务消费方的一部分。
17.根据权利要求16所述的装置,其中所述访问令牌包括针对属于所请求的所述服务生产方集合标识符的所述服务生产方实例中的每个服务生产方实例的标识符。
18.根据权利要求16所述的装置,其中所述访问令牌包括针对属于所请求的所述服务生产方集合标识符的所述服务生产方实例的子集的标识符,其中所述子集是由所述授权服务器功能预先选择的。
19.根据权利要求16所述的装置,其中所述访问令牌在所述访问令牌的受众声明字段中指定针对属于所请求的所述服务生产方集合标识符的所述服务生产方实例中的、经标识的服务生产方实例的所述标识符。
20.根据权利要求16所述的装置,其中在5G系统中所述服务消费方是网络功能(NF)并且所述授权服务器功能是网络储存库功能(NRF)。
21.一种方法,包括:
向通信系统中的授权服务器功能发送针对访问服务类型的请求,其中所述请求包括包含服务生产方集合标识符的信息;
接收访问令牌,所述访问令牌包括针对属于所请求的所述服务生产方集合标识符的服务生产方实例中的、经标识的服务生产方实例的标识符;以及
使用所述访问令牌来访问所述访问令牌中标识的所述服务生产方中的一个服务生产方;
其中所述方法的步骤由所述通信系统的服务消费方来执行。
22.根据权利要求21所述的方法,其中所述访问令牌包括针对属于所请求的所述服务生产方集合标识符的所述服务生产方实例中的每个服务生产方实例的标识符。
23.根据权利要求21所述的方法,其中所述访问令牌包括针对属于所请求的所述服务生产方集合标识符的所述服务生产方实例的子集的标识符,其中所述子集是由所述授权服务器功能预先选择的。
24.一种制品,包括其中实施有可执行程序代码的非瞬态计算机可读存储介质,所述可执行程序代码在由与服务消费方相关联的处理器执行时使所述服务消费方执行根据权利要求21所述的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201941023834 | 2019-06-15 | ||
| IN201941023834 | 2019-06-15 | ||
| PCT/IB2020/055285 WO2020254903A1 (en) | 2019-06-15 | 2020-06-04 | Authorization for network function sets in communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113994633A true CN113994633A (zh) | 2022-01-28 |
| CN113994633B CN113994633B (zh) | 2024-03-19 |
Family
ID=71078564
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080043756.8A Active CN113994633B (zh) | 2019-06-15 | 2020-06-04 | 通信系统中的网络功能集合的授权 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220240089A1 (zh) |
| EP (1) | EP3984192A1 (zh) |
| CN (1) | CN113994633B (zh) |
| WO (1) | WO2020254903A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020254918A1 (en) * | 2019-06-15 | 2020-12-24 | Nokia Technologies Oy | Secure access control in communication system |
| US11818102B2 (en) | 2021-04-16 | 2023-11-14 | Nokia Technologies Oy | Security enhancement on inter-network communication |
| EP4092982A1 (en) * | 2021-05-20 | 2022-11-23 | Nokia Technologies Oy | Authentication of network request |
| WO2023102861A1 (en) * | 2021-12-09 | 2023-06-15 | Nokia Shanghai Bell Co., Ltd. | Method, apparatus and computer program |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109688586A (zh) * | 2017-10-19 | 2019-04-26 | 中兴通讯股份有限公司 | 一种网络功能认证的方法、装置及计算机可读存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6066647B2 (ja) * | 2012-09-27 | 2017-01-25 | キヤノン株式会社 | デバイス装置、その制御方法、およびそのプログラム |
| US9591006B2 (en) * | 2014-09-18 | 2017-03-07 | Microsoft Technology Licensing, Llc | Lateral movement detection |
| EP3729783B1 (en) * | 2017-11-27 | 2023-09-27 | Telefonaktiebolaget LM Ericsson (publ) | Status updates in a 5g core network |
| US10965672B2 (en) * | 2018-04-13 | 2021-03-30 | At&T Intellectual Property I, L.P. | Network service control for access to wireless radio networks |
| US20210136068A1 (en) * | 2018-05-05 | 2021-05-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Telecom node control via blockchain |
| WO2019215308A1 (en) * | 2018-05-09 | 2019-11-14 | NEC Laboratories Europe GmbH | Leveraging data analytics for resources optimisation in a cloud-native 5g system architecture which uses service-based interfaces |
| CN116801423A (zh) * | 2018-09-19 | 2023-09-22 | 华为技术有限公司 | 策略控制方法、设备及系统 |
| WO2020141355A1 (en) * | 2019-01-04 | 2020-07-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Optimizing nf service discovery |
| US11489671B2 (en) * | 2019-06-25 | 2022-11-01 | Salesforce, Inc. | Serverless connected app design |
-
2020
- 2020-06-04 WO PCT/IB2020/055285 patent/WO2020254903A1/en unknown
- 2020-06-04 CN CN202080043756.8A patent/CN113994633B/zh active Active
- 2020-06-04 US US17/618,846 patent/US20220240089A1/en active Pending
- 2020-06-04 EP EP20731978.1A patent/EP3984192A1/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109688586A (zh) * | 2017-10-19 | 2019-04-26 | 中兴通讯股份有限公司 | 一种网络功能认证的方法、装置及计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| ""S3-190440"", 3GPP TSG_SA\\WG3_SECURITY, pages 2 - 3 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3984192A1 (en) | 2022-04-20 |
| WO2020254903A1 (en) | 2020-12-24 |
| US20220240089A1 (en) | 2022-07-28 |
| CN113994633B (zh) | 2024-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11844014B2 (en) | Service authorization for indirect communication in a communication system | |
| US11483741B2 (en) | Automated roaming service level agreements between network operators via security edge protection proxies in a communication system environment | |
| US10548004B2 (en) | Security management in communication systems between security edge protection proxy elements | |
| US11038923B2 (en) | Security management in communication systems with security-based architecture using application layer security | |
| US11924641B2 (en) | Security management for service access in a communication system | |
| US20210234706A1 (en) | Network function authentication based on public key binding in access token in a communication system | |
| CN113994633B (zh) | 通信系统中的网络功能集合的授权 | |
| US20220248225A1 (en) | Secure access control in communication system | |
| WO2020249861A1 (en) | Communication security between user equipment and third-party application using communication network-based key | |
| WO2021094349A1 (en) | Multi-step service authorization for indirect communication in a communication system | |
| WO2020065130A1 (en) | Security management between edge proxy and internetwork exchange node in a communication system | |
| WO2022018580A1 (en) | Service authorization in communication systems | |
| US11789803B2 (en) | Error handling framework for security management in a communication system | |
| WO2021090171A1 (en) | Authorization in a service communication proxy | |
| WO2020254925A1 (en) | Policy-based authorization for indirect communications between network functions in a communication system | |
| US20220191008A1 (en) | Communication network-anchored cryptographic key sharing with third-party application | |
| WO2020208295A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over private network | |
| WO2020208294A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over public network | |
| US20230345247A1 (en) | Hierarchical consent in a communication network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |