CN113994727A - 通信系统中的安全访问控制 - Google Patents
通信系统中的安全访问控制 Download PDFInfo
- Publication number
- CN113994727A CN113994727A CN202080043695.5A CN202080043695A CN113994727A CN 113994727 A CN113994727 A CN 113994727A CN 202080043695 A CN202080043695 A CN 202080043695A CN 113994727 A CN113994727 A CN 113994727A
- Authority
- CN
- China
- Prior art keywords
- service
- access
- service type
- communication system
- consumer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 78
- 238000013475 authorization Methods 0.000 claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 48
- 230000006870 function Effects 0.000 claims description 119
- 230000015654 memory Effects 0.000 claims description 28
- 238000004590 computer program Methods 0.000 claims description 16
- 238000004519 manufacturing process Methods 0.000 claims description 5
- 238000007726 management method Methods 0.000 description 15
- 238000012545 processing Methods 0.000 description 13
- 230000004044 response Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了通信系统中的针对安全访问控制的改进技术。在一个示例中,根据授权服务器功能,一种方法包括:从通信系统中的服务消费方接收对访问服务类型以及与所述服务类型相关联的一个或多个资源的请求。所述方法确定所述服务消费方是否被授权访问所述服务类型以及与所述服务类型相关联的一个或多个资源。所述方法生成访问令牌,所述访问令牌针对所述服务消费方被授权访问的所述服务类型以及与所述服务类型相关联的一个或多个资源标识一个或多个服务生产方,并且将所述访问令牌发送给所述服务消费方。所述服务消费方然后可以使用所述访问令牌来访问所述一个或多个服务以及所述一个或多个资源。除了这种资源级访问授权之外,还可以执行目标网络功能组访问授权。
Description
技术领域
本公开的领域通常涉及通信系统,更具体地,但不排他地,涉及此类系统内的安全访问控制。
背景技术
本节介绍可能有助于更好地理解本发明的方面。因此,本节的陈述应从这个角度来阅读,并且不应被理解为对现有技术中包含的内容或现有技术中不包含的内容的承认。
第四代(4G)无线移动电信技术(也称为长期演进(LTE)技术)被设计用来提供具有特别用于人际交互的高数据速率的大容量移动多媒体。下一代或第五代(5G)技术不仅旨在用于人际交互,还旨在用于所谓的物联网(IoT)网络中的机器类型通信。
5G网络旨在启用大规模物联网服务(例如,大量的有限容量设备)和关键任务物联网服务(例如,需要高可靠性),以增强型移动宽带(eMBB)服务的形式支持了对传统移动通信服务的改进,增强型移动宽带服务为移动设备提供改进的无线互联网访问。
在示例通信系统中,诸如移动终端(用户)的用户设备(5G网络中的5G UE或,更广泛地,UE)通过空中接口与基站或接入网络的接入点(在5G网络中称为5G AN)进行通信。说明性地,接入点(例如,gNB或N3IWF或TNGF或W-AGF,取决于5G接入网络的类型:支持3GPP定义的NR无线电,支持对5GC的不可信非3GPP访问,支持对5GC(5G Core)的可信非3GPP访问或支持对5GC的有线接入)是通信系统接入网络的一部分。例如,在5G网络中,标题为“技术规范组服务和系统方面;5G系统的系统架构”
(Technical Specification Group Services and System Aspects;SystemArchitecture for the 5G System)的5G技术规范(TS)23.501,V16.0.2描述了被称为5GAN的接入网络,该5G技术规范的公开内容通过引用而整体并入本文。通常,接入点(例如,gNB或N3IWF或TNGF或W-AGF,取决于5G接入网络的类型)为UE提供对核心网络(CN或5GC)的接入,然后核心网络为UE提供对其他UE和/或诸如分组数据网络(例如,因特网)的数据网络的接入。
TS 23.501继续定义5G基于服务的架构(SBA),该架构将服务建模为使用代表性状态传输应用程序编程接口(Restful API)相互通信的网络功能(NF)。
此外,标题为“技术规范组服务和系统方面;5G系统的安全架构和程序”(Technical Specification Group Services and System Aspects;SecurityArchitecture and Procedures for the 5G System)的5G技术规范(TS)33.501,V15.4.0的公开内容通过引用而整体并入本文,该5G技术规范进一步描述了与5G网络相关的安全管理细节。
在任何通信系统中网络实体的访问均是重要的安全管理考虑因素。但是,某些情况下的安全访问会带来一些挑战。
发明内容
说明性实施例提供了针对通信系统中的安全访问控制的改进技术。
例如,在根据授权服务器功能的一个说明性实施例中,一种方法包括:从通信系统中的服务消费方接收针对访问服务类型以及与所述服务类型相关联的一个或多个资源的请求。所述方法确定所述服务消费方是否被授权访问所述服务类型以及与所述服务类型相关联的一个或多个资源。所述方法生成针对所述服务消费方被授权访问的所述服务类型以及与所述服务类型相关联的一个或多个资源标识一个或多个服务生产方的访问令牌,并且将所述访问令牌发送给所述服务消费方。所述服务消费方然后可以使用所述访问令牌来访问所述一个或多个服务以及所述一个或多个资源。
在根据授权服务器功能的另一说明性实施例中,一种方法包括:从通信系统中的服务消费方接收针对访问服务类型的请求。所述方法确定所述服务消费方是否被授权访问所述服务类型以及与所述服务类型相关联的一个或多个网络功能组。所述方法生成访问令牌,所述访问令牌针对所述服务消费方被授权访问或未被授权访问的所述服务类型以及与所述服务类型相关联的一个或多个网络功能组标识一个或多个服务生产方,并且所述方法将所述访问令牌发送给所述服务消费方。所述服务消费方然后可以使用所述访问令牌来访问所述一个或多个服务。
在说明性实施例中,在5G系统中所述服务消费方是网络功能(NF)并且所述授权服务器功能是网络储存库功能(NRF)。
以在其中包含有可执行程序代码的非暂态计算机可读存储介质的形式提供进一步的说明性实施例,所述可执行程序代码在由处理器执行时使所述处理器执行上述步骤。更进一步的说明性实施例包括具有被配置为执行上述步骤的处理器和存储器的装置。此外,在其他实施例中提供了来自服务消费方的角度的方法、非暂态计算机可读存储介质和装置。
有利地,说明性实施例提供的访问授权级别不仅允许在服务级别的授权,而且还执行资源级别的访问授权,以及组级别的授权。
从附图和以下详细描述中,本文描述的实施例的这些和其他特征和优点将变得更加明显。
附图说明
图1图示了一种通信系统,利用该通信系统实现一个或多个说明性实施例。
图2示出了根据说明性实施例的通信系统中的安全访问控制中涉及的网络实体的处理架构。
图3图示了一种数据存储架构,利用该架构实现一个或多个说明性实施例。
图4A图示了根据说明性实施例的通信系统中的安全被允许资源访问控制方法的消息流。
图4B图示了根据另一说明性实施例的通信系统中的安全被允许组访问控制方法的消息流。
图5图示了根据说明性实施例的访问令牌请求类型的表。
图6示出了根据说明性实施例的访问令牌声明类型的表。
图7图示了根据说明性实施例的通信系统中的安全被允许资源访问控制方法。
图8图示了根据说明性实施例的通信系统中的安全被允许组访问控制方法。
具体实施方式
这里将结合示例通信系统和相关联的技术来说明实施例,用于在通信系统中提供网络实体的安全访问控制。然而,应当理解,权利要求的范围不限于所公开的特定类型的通信系统和/或过程。可以使用替代过程和操作在多种其他类型的通信系统中实现实施例。例如,虽然在利用诸如3GPP下一代系统(5G)之类的3GPP系统元件的无线蜂窝系统的背景中进行了说明,但是所公开的实施例可以以直接的方式适用于各种其他类型的通信系统。
根据在5G通信系统环境中实施的说明性实施例,一个或多个3GPP技术规范(TS)和技术报告(TR)使用一个或多个说明性实施例(例如,上面提到的3GPP TS 23.501和3GPP TS33.501)提供了交互的用户设备和网络元件/功能和/或操作的进一步解释。其他3GPP TS/TR文件提供了本领域普通技术人员会意识到的其他常规细节。例如,标题为“技术规范组服务和系统方面;5G系统程序;第2阶段”(Technical Specification Group Services andSystem Aspects;Procedures for the 5G System;Stage 2)的3GPP TS 23.502,V16.0.2以及标题为“技术规范组核心网络和终端;5G系统;网络功能存储库服务”(TechnicalSpecification Group Core Network and Terminals;5G System;Network FunctionRepository Services)的3GPP TS29.510,V15.3.0,它们的公开内容通过引用而整体并入本文,将在下面引用。然而,虽然说明性实施例非常适合与上述5G相关3GPP标准相关联的实现,但替代实施例不限于任何特定标准。
此外,这里将在开放系统互连模型(OSI模型)的背景中解释说明性实施例,该模型是概念上表征诸如例如5G网络之类的通信系统的通信功能的模型。OSI模型通常被概念化为一个分层堆栈,其中一个给定的层为上层服务并由下层服务。通常,OSI模型包括七层,堆栈的顶层是应用层(第7层),然后是表示层(第6层)、会话层(第5层)、传输层(第4层)、网络层(第3层)、数据链路层(第2层)和物理层(第1层)。本领域普通技术人员将理解各层的功能和相互作用,因此,此处不再描述每一层的进一步细节。然而,应当理解,虽然说明性实施例非常适合于利用OSI模型的实现方式,但替代实施例不限于任何特定的通信功能模型。
说明性实施例涉及与用于5G网络的基于服务的架构(SBA)相关联的密钥管理。在描述此类说明性实施例之前,下面将在图1和图2的背景中描述5G网络的主要组件的一般说明。
图1示出了其中实现了说明性实施例的通信系统100。应当理解,通信系统100中所示的元素旨在表示系统内提供的主要功能,例如,UE接入功能、移动性管理功能、认证功能、服务网关功能等。像这样,在图1中所示的块引用了5G网络中提供这些主要功能的特定元素。然而,在其他实施例中可以使用其他网络元件来实现所表示的主要功能中的一些或全部。此外,应当理解,并非5G网络的所有功能都被描绘在图1中。而是示出了有助于说明性实施例的解释的功能。后续的附图可以描绘一些附加的元素/功能。
因此,如图所示,通信系统100包括用户设备(UE)102,用户设备(UE)102经由空中接口103与接入点104(gNB或N3IWF或TNGF或W-AGF,取决于5G接入网络的类型)通信。在一些实施例中,UE 102是移动台,并且这样的移动台可以包括例如移动电话、计算机或任何其他类型的通信设备。因此,此处使用的术语“用户设备”旨在被广义地解释,以涵盖各种不同类型的移动站、用户站或更一般地,通信设备(包括插入笔记本电脑的数据卡或诸如智能手机或其他蜂窝设备的其他设备的组合的示例)。在一个或多个说明性实施例中,用户设备是指物联网设备。这种通信设备还旨在包括通常称为接入终端的设备。在其他实施例中,UE可以由通过有线接入连接到5G核心网络的住宅网关托管。
在一个实施例中,UE 102由通用集成电路卡(UICC)部分和移动设备(ME)部分组成。UICC是与用户相关的UE部分,包含至少一个通用用户身份模块(USIM)和适当的应用软件。USIM安全地存储用于识别和验证访问网络的用户的永久订阅标识符及其相关密钥。ME是与用户无关的UE部分,包含终端设备(TE)功能和各种移动终端(MT)功能。
注意,在一个示例中,永久订阅标识符是UE的国际移动用户标识(IMSI)。在一个实施例中,IMSI是固定的15位长度并且由3位移动国家代码(MCC)、3位移动网络代码(MNC)和9位移动站标识号(MSIN)组成。在5G通信系统中,IMSI被称为订阅永久标识符(SUPI)。在IMSI作为SUPI的情况下,MSIN提供用户身份。因此,通常仅需要加密IMSI的MSIN部分。IMSI的MNC部分和MCC部分提供路由信息,服务网络使用这些信息路由到正确的归属网络。当SUPI的MSIN被加密时,其被称为订阅隐藏标识符(SUCI)。
说明性地,接入点104是通信系统100的接入网络的一部分。这样的接入网络包括例如具有多个基站和一个或多个相关联的无线电网络控制功能的5G系统。在一些实施例中,基站和无线电网络控制功能是逻辑上分离的实体,但在一些实施例中,它们在相同的物理网络元件中(例如基站路由器或蜂窝接入点)实现。
本说明性实施例中的接入点104可操作地耦合到移动性管理功能106。在5G网络中,移动性管理功能由接入和移动性管理功能(AMF)实现。在一些实施例中,安全锚功能(SEAF)也是通过AMF实现的,AMF将UE与移动性管理功能连接起来。如本文中所使用的,移动性管理功能是通信系统的核心网络(CN)部分中的用于管理或以其他方式(通过接入点104)参与UE的接入和移动性操作(包括认证/授权)等网络操作的元素或功能(即,实体)。AMF在本文中也被更一般地称为接入和移动性管理实体。
在本说明性实施例中,AMF 106可操作地耦合到订户功能,例如驻留在订户的归属网络中或其他地方的一个或多个功能。其中一些功能包括统一数据管理(UDM)功能以及验证服务器功能(AUSF)。AUSF和UDM(单独地或共同地)在本文中也被更一般地称为认证实体。UDM支持通常存储在验证中使用的长期安全凭证的验证凭证存储库和处理功能(ARPF)。此外,用户功能包括但不限于网络切片选择功能(NSSF)、网络暴露功能(NEF)、网络存储功能(NRF)和策略控制功能(PCF)。用户功能中的一个或多个可以可操作地耦合到统一数据储存库(UDR)109,并且因此被认为是UDR客户端108,这将在下面进一步详细讨论。
在说明性实施例中,UE的订户与核心网络或另一移动网络的运营商保持移动订阅。请注意,UE通常订阅一些或所有用户功能驻留其中的所谓的归属公共陆地移动网络(HPLMN)。如果UE正在漫游(不在HPLMN中),则其通常与访问公共陆地移动网络(VPLMN)连接,VPLMN也称为服务网络。移动性管理功能106中的一些或全部可以驻留在VPLMN中,在这种情况下,VPLMN中的功能根据需要与HPLMN中的功能进行通信。然而,在非漫游场景中,移动性管理功能106和UDR客户端108可以根据需要驻留在同一通信网络中或其他地方。
接入点104也可操作地耦合到服务网关功能,即会话管理功能(SMF)110,会话管理功能(SMF)110可操作地耦合到用户平面功能(UPF)112。UPF 112可操作地耦合到分组数据网络,例如,互联网114。正如在5G和其他通信网络中已知的,用户平面(UP)或数据平面承载网络用户流量,而控制平面(CP)承载信令流量。SMF 110支持与UP订户会话相关的功能,例如PDU会话的建立、修改和释放。UPF 112支持促进UP操作的功能,例如分组路由和转发、与数据网络(例如图1中的114)的互连、策略实施和数据缓冲。
可以理解的是,图1是简化图示,因为在图1中并未图示网络功能(NF)和其他系统元件之间的所有通信链路和连接。被提供有各种3GPP TS/TR的本领域普通技术人员将理解在图1中没有明确示出的或可以以其他方式概括的各种链路和连接。
当某些网络元件不是说明性实施例的重点但可在适当的3GPP5G文档中找到时,此处不详细描述这些网络元件的进一步典型操作和功能。应当理解,图1中系统元件的特定布置仅是示例,并且可以使用其他类型和布置的附加元件或替代元件来实现其他实施例中的通信系统。例如,在其他实施例中,系统100包括此处未明确示出的其他元件/功能。此外,虽然在图1实施例中仅示出了单个元件/功能,但这只是为了说明的简洁和清楚。给定的替代实施例可以包括更多数量的这种系统元件,以及通常与常规系统实现相关联的类型的附加元件或替代元件。
还应注意的是,虽然图1将系统元件图示为单个功能块,但构成5G网络的各种子网被划分为所谓的网络切片。网络切片(网络分区)包括在公共物理基础设施上使用网络功能虚拟化(NFV)的每个相应服务类型的一系列网络功能(NF)集(即功能链)。根据给定服务的需要将网络切片进行实例化,例如eMBB服务、大规模物联网服务和任务关键型物联网服务。因此,当创建网络切片或功能的实例时,该网络切片或功能被实例化。在一些实施例中,这涉及在底层物理基础设施的一个或多个托管设备上安装或以其他方式执行网络切片或功能。UE 102被配置为经由接入点104(gNB或N3IWF或TNGF或W-AGF,取决于5G接入网络的类型)访问这些服务中的一个或多个。NF还可以访问其他NF的服务。
图2是在说明性实施例中的通信系统中的安全访问控制中涉及的两个组件(例如,可以包括通信系统的网络功能和其他网络元件的网络实体)的处理架构200的框图。应当理解,根据说明性实施例,在安全访问控制中可以涉及多于两个组件。因此,图2图示了与直接或间接通信的组件中的任何两个相关联的处理架构。因此,在说明性实施例中,安全访问控制方法中的每个参与方被理解为配置有图2所示的处理架构。
如图所示,网络功能/元件202包括耦合到存储器216和接口电路210的处理器212。网络功能/元件202的处理器212包括安全访问控制处理模块214,安全访问控制处理模块214可以至少部分地以由处理器执行的软件的形式来实现。处理模块214执行结合后续的附图和本文的其他方式描述的安全访问控制。网络功能/元件202的存储器216包括安全访问控制存储模块218,安全访问控制存储模块218存储在安全访问控制操作期间生成或以其他方式使用的数据。
如进一步所示,网络功能/元件204包括耦合到存储器226和接口电路220的处理器222。网络功能/元件204的处理器222包括可以至少部分地以由处理器222运行的软件的形式实现的安全访问控制处理模块224。处理模块224执行结合后续的附图和本文的其他方面所描述的安全访问控制。网络功能/元件204的存储器226包括安全访问控制存储模块228,安全访问控制存储模块228存储在安全访问控制操作期间生成或以其他方式使用的数据。
相应组件202和204的处理器212和222可以包括例如微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)或其他类型的处理设备或集成电路,以及这些元件的部分或组合。这种集成电路器件及其部分或组合是此处使用的术语“电路”的示例。硬件的多种其他布置和相关联的软件或固件可用于实现说明性实施例。
相应组件202和204的存储器216和226可用于存储由相应处理器212和222执行的一个或多个软件程序以实现本文所述功能的至少一部分。例如,可以使用由处理器212和222运行的软件代码以直接的方式来实现如结合后续的附图所描述的安全访问控制操作和其他功能。
因此,存储器216或226中的给定一个可以被视为这里更一般地称为计算机程序产品或更一般地称为其中包含可执行程序代码的处理器可读存储介质的示例。处理器可读存储介质的其他示例可以包括磁盘或其他类型的磁或光介质的任何组合。说明性实施例可包括包含此类计算机程序产品或其他处理器可读存储介质的制品。
存储器216或226可以更具体地包括例如电子随机存取存储器(RAM),诸如静态RAM(SRAM)、动态RAM(DRAM)或其他类型的易失性或非易失性电子存储器。后者可以包括例如非易失性存储器,例如闪存、磁RAM(MRAM)、相变RAM(PC-RAM)或铁电RAM(FRAM)。此处使用的术语“存储器”旨在被广义地解释,并且可以附加地或替代地包括例如只读存储器(ROM)、基于磁盘的存储器或其他类型的存储设备,以及此类设备的部分或组合。
相应组件202和204的接口电路210和220说明性地包括收发器或允许相关联的系统元件以本文所述的方式彼此通信的其他通信硬件或固件。
根据图2明显的是,网络功能/元件202被配置为经由它们各自的接口电路210和220与网络功能/元件204通信,反之亦然。该通信涉及网络功能/元件202向网络功能/元件204发送数据,以及网络功能/元件204向网络功能/元件202发送数据。然而,在替代实施例中,其他网络元件或其他组件可以可操作地耦合在组件202和204之间以及耦合到组件202和204。此处使用的术语“数据”旨在进行广义解释,以涵盖可在组件之间发送的任何类型的信息,包括但不限于消息、令牌、标识符、密钥、指示符、用户数据、控制数据、验证数据等。
应当理解,图2中所示的部件的特定布置仅是示例,并且在其他实施例中使用了许多替代配置。例如,任何给定的网络元件/功能都可以配置为包含附加组件或替代组件并支持其他通信协议。
在说明性实施例中,如下文将进一步解释的,网络功能/元件202是诸如UDM、PCF或NEF之类的NF,并且网络功能/元件204是诸如NRF(授权服务器)之类的NF。
鉴于上述说明性架构,下面将进一步描述一个或多个NF之间的安全访问控制的说明性实施例。在这样的描述之前,将在5G网络的背景中描述一些主要缺点,这些缺点至少部分是开发说明性实施例的动机。
虽然需要通信的两个NF(例如,一个NF可以访问另一NF的服务)可以位于不同的PLMN中,但同一PLMN中的一些NF也需要通信。在任一场景(PLMN间通信或PLMN内通信)中,SBA通信模型都包括安全方法,这些安全方法使“NF服务消费方”(服务客户端)能够被验证以及被授权访问由“NF服务生产方”(服务服务器)提供的服务。上面引用的3GPP TS 33.501(第15版)中支持的授权方法之一是基于OAuth 2.0(此处简称为“OAuth”)访问令牌方法。在5G系统中,使用OAuth时采用以下模型:(i)NRF是OAuth授权服务器;(ii)NF服务消费方是OAuth客户端;并且(iii)NF服务生产方是OAuth资源服务器。
NF服务消费方(客户端)通过NRF发现NF服务生产方(资源服务器),然后在调用服务应用程序编程接口(API)请求时获取访问令牌以呈现给NF服务生产方。
在5G SBA中,基于OAuth的服务访问授权仅在服务级别,而不在可通过服务访问的资源级别(例如,数据/数据集级别或NF组级别)。换句话说,23.501/23.502只允许在服务级别限制哪些NF可以使用服务。每个服务允许一组操作(方法),但访问和更新仅在服务级别上进行管理。没有现有的方法用来检查NF消费方是否被授权访问特定的数据集或其他可通过服务访问的资源。
这个问题产生了一个基本问题,特别是与如图3所示的UDR相关的问题。请注意,UDR本身可以视为NF。UDR支持的功能在TS23.501的第6.2.11条中定义,例如包括UDM对订阅数据的存储和检索、PCF对策略数据的存储和检索、用于暴露的结构化数据的存储和检索等等。
图3图示了5G系统中的数据存储架构300。更具体地,如图所示,UDM 302、PCF 304和NEF 306可操作地耦合到UDR 310。UDR310包括数据访问提供方模块312和数据存储器314。UDR 310向所有NF消费方(例如,在该示例中,UDM 302、PCF 304和NEF 306)提供一个Nudr_DataRepository(如图所示,Nudr)服务。任何NF都可以使用Nudr接口来访问由UDR310管理的资源,如图所示,这些资源包括(UE的)订阅数据、策略数据、用于暴露的结构化数据和应用程序数据。对于Nudr_DataRepository服务,UDR操作并没有特定的访问权限。
当前定义了以下数据集标识符:订阅数据、策略数据、应用程序数据和用于暴露的数据。UE的订阅信息(订阅数据)是非常敏感的信息,必须只能被UDM NF访问。其他NF(例如NEF或PCF)必须无法获得对Nudr_DataRepository服务的访问权限,并且其他NF能够自由地访问包括UE订阅数据在内的所有类型的数据。因此,希望将UDM限制为仅访问与订阅数据集标识符(Subscription Data Set Identifier)=订阅数据(Subscription Data)相关的数据。
作为另一示例,希望限制PCF仅访问与数据集标识符(Data Set Identifier)=策略数据(Policy Data)相关的数据。
一般而言,这里认识到NF内不同类型的数据可以具有不同的数据访问授权。NF必须能够具备授权管理机制来保证数据访问的安全。
另一需要的功能是基于每个NF生产方组标识符(Id)限制消费方访问。例如,此功能仅允许某些UDM(分别为AUSF或UDM或PCF)消费方访问某些UDM(分别为AUSF或UDM或PCF)NF组Id。例如,此功能旨在将某些UDM(分别为AUSF或UDM或PCF)组Id与某些企业用户组或公共安全用户相关联,并将对NF实例(为这些特定的组ID提供服务)的访问限制于一些特定的消费方NF(例如与一些特定的切片相关联)。
说明性实施例提供了上述和其他期望的特征。例如,在一些实施例中,提供了基于UDR数据集的访问控制,其中的思想是增强OAuth过程以在访问令牌(例如,JavaScript对象表示法(JSON)Web令牌)中传达附加信息,使NF生产方能够验证正进行请求的NF(NF消费方)是否被授权访问由NF生产方管理的资源/数据集。在其他实施例中,提供了基于组Id的访问控制,其中的思想是增强OAuth过程以在JSON Web令牌中传达附加信息,使NF生产方能够验证正进行请求的NF(NF消费方)是否被授权访问与由NF生产方服务的组Id相关的资源。
也就是说,说明性实施例添加了访问授权级别,该访问授权级别不仅允许在NF服务级别进行授权,而且通过对来自NF消费方的API请求执行资源级别访问授权而超越一个级别。
例如,在一个或多个说明性实施例中,作为发现过程的一部分,NRF检查是否允许NF消费方访问所请求的资源/数据集。
基于预期NF/NF服务的配置、NF服务消费方的类型和所请求的数据集,NRF确定是否允许NF服务消费方发现预期NF实例。
当针对NF消费方的NF类型,对所请求的数据集的访问不被允许时,NRF拒绝发现请求。
当针对NF消费方的NF类型,对所请求的组Id的访问不被允许时,NRF拒绝发现请求。
在访问令牌请求(即,Nnrf_AccessToken_Get Request)中,NF服务消费方包括其想要访问的数据集(data-set)和/或组Id的名称。这分别在图4A和图4B中进行描述。
如图4A(数据集ID)中的消息流400所示,在步骤410中,NF服务消费方402向NRF404(授权服务器)注册。
在步骤412中,NF服务消费方402向NRF 404发送访问令牌请求。如图所示,访问令牌请求包括预期NF服务名称、NF类型、消费方NF类型、OAuth客户端ID和预期数据集ID。
在步骤414,NRF 404对客户端进行授权并生成访问令牌。
在步骤416中,NRF 404向NF服务消费方402发送访问令牌响应(即,Nnrf_AccessToken_Get Response)。
如果NF服务消费方402被授权访问目标NF内的数据集,则NRF404在访问令牌中包括所有资源(统一资源标识符(URI))。
如图4B(目标NF组ID)中的消息流420所示,在步骤430中,NF服务消费方402向NRF404(授权服务器)注册。
在步骤432中,NF服务消费方402向NRF 404发送访问令牌请求。如图所示,访问令牌请求包括预期NF服务名称、NF类型、消费方NF类型、OAuth客户端ID和目标NF组ID。
在步骤434中,NRF 404对客户端进行授权并生成访问令牌。
在步骤436中,NRF 404向NF服务消费方402发送访问令牌响应(即,Nnrf_AccessToken_Get Response)。
如果NF服务消费方402被授权访问目标NF组,则NRF 404在访问令牌中包括组和/或组成员的指示。
注意,在一些实施例中,NF服务消费方402在其访问令牌请求中不包括目标NF组ID。在这种情况下,例如,仅当已知NF服务消费方402与某些切片相关联时,NRF 404才会许可访问某些UDM/UDR组ID。
相应地,NF服务消费方402可以发出包含一个或多个组ID的请求,或者可以发出不包含任何组ID的请求。NRF 404然后可以适当地发出与一个或多个群组ID相关的令牌(可能与授权群组ID或禁止群组ID相关),而不管NF服务消费方请求是否包含群组ID。
还要注意,在说明性实施例中,访问令牌具有与其相关联的到期时间。
图5图示了根据说明性实施例的访问令牌请求类型的表500。请注意,表格底部表示新的数据集ID和目标NF组ID。表500表示对上述3GPP TS 29.510中的访问令牌请求类型表的增强。
图6示出了根据说明性实施例的访问令牌声明类型的表600。请注意,表底部指示新数据集ID和目标NF组ID的属性名称和描述。类型AccessTokenClaims得到增强,包括了名为“allowedResources”的新声明。这包含NF服务消费方可以在NF生产方中访问的所有资源的资源URI。此外,引入了新属性“allowedNFGroup Id”。在一些实施例中,该属性包含被允许的NF Group Id的白名单或不允许消费方将其作为对象的NF Group Id的黑名单。表600是TS 29.510中访问令牌声明类型表的增强。在一些实施例中,当目标NF生产方是UDR时,allowedResources声明被强制包括在内。
图7示出了根据说明性实施例从通信系统中的请求服务消费方的角度观察的安全被允许资源访问控制方法700。如图所示,步骤702向通信系统中的授权服务器功能发送请求以访问服务类型以及与服务类型相关联的一个或多个资源。步骤704接收访问令牌,该访问令牌针对被授权访问的服务类型以及与所述服务类型相关联的一个或多个资源标识一个或多个服务生产方。步骤706使用访问令牌在通信系统中的服务提供方处访问服务类型以及与服务类型相关联的一个或多个资源。如上所述,该方法的步骤由通信系统的服务消费方执行。
图8示出了根据说明性实施例的从通信系统中的请求服务消费方的角度观察的安全被允许组访问控制方法800。如图所示,步骤802向通信系统中的授权服务器功能发送请求以访问服务类型以及与服务类型相关联的一个或多个网络功能组。步骤804接收访问令牌,该访问令牌针对装置被授权访问的服务类型以及与所述服务类型相关联的一个或多个网络功能组标识一个或多个服务生产方。步骤806使用访问令牌在通信系统中针对服务类型以及与服务类型相关联的一个或多个网络功能组访问一个或多个服务生产方。如上所述,该方法的步骤由通信系统的服务消费方执行。
请注意,如上所述,图8说明服务消费方发出包含一个或多个组ID的请求,在替代实施例中,所述请求不包含任何组ID。然后,授权服务功能可以酌情发布与一个或多个组ID相关的访问令牌(可能与授权组ID或禁止组ID相关),而不管服务消费方请求是否包含组ID。
结合图1至图8描述的特定处理操作和其他系统功能仅通过说明性示例的方式呈现,并且不应被解释为以任何方式限制本公开的范围。替代实施例可以使用其他类型的处理操作和消息传递协议。例如,在其他实施例中,步骤的顺序可以改变,或者某些步骤可以至少部分地彼此同时执行而不是顺序执行。此外,一个或多个步骤可以周期性地重复,或者方法的多个实例可以彼此并行地执行。
因此应再次强调,这里描述的各种实施例仅通过说明性示例的方式呈现并且不应被解释为限制权利要求的范围。例如,替代实施例可以利用与上面在说明性实施例的背景中描述的那些不同的通信系统配置、用户设备配置、基站配置、认证和密钥协商协议、密钥对供应和使用过程、消息传递协议和消息格式。所附权利要求范围内的这些和许多其他替代实施例对于本领域技术人员来说将是显而易见的。
Claims (29)
1.一种装置,包括:
至少一个处理器;
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少:
从通信系统中的服务消费方接收针对访问服务类型以及与所述服务类型相关联的一个或多个资源的请求;
确定所述服务消费方是否被授权访问所述服务类型以及与所述服务类型相关联的所述一个或多个资源;
生成访问令牌,所述访问令牌针对所述服务消费方被授权访问的所述服务类型以及与所述服务类型相关联的所述一个或多个资源标识一个或多个服务生产方;以及
向所述服务消费方发送所述访问令牌;
其中所述至少一个处理器、所述至少一个存储器和所述计算机程序代码是所述通信系统中的授权服务器功能的一部分。
2.根据权利要求1所述的装置,其中所述一个或多个资源包括一个或多个数据集。
3.根据权利要求1所述的装置,其中确定步骤还包括:所述装置执行服务级别授权和资源级别授权以确定所述访问令牌将包含的访问权限。
4.根据权利要求3所述的装置,其中所述至少一个存储器和所述计算机程序代码还被配置为与所述至少一个处理器一起使所述装置:当所述服务级别授权和所述资源级别授权中的一项或多项不成功时,向所述服务消费方发送拒绝消息。
5.根据权利要求1所述的装置,其中在5G系统中所述服务消费方是网络功能(NF)并且所述授权服务器功能是网络储存库功能(NRF)。
6.一种方法,包括:
从通信系统中的服务消费方接收针对访问服务类型以及与所述服务类型相关联的一个或多个资源的请求;
确定所述服务消费方是否被授权访问所述服务类型以及与所述服务类型相关联的所述一个或多个资源;
生成访问令牌,所述访问令牌针对所述服务消费方被授权访问的所述服务类型以及与所述服务类型相关联的所述一个或多个资源标识一个或多个服务生产方;以及
向所述服务消费方发送所述访问令牌;
其中所述方法的步骤由所述通信系统中的授权服务器功能执行。
7.根据权利要求6所述的方法,其中所述一个或多个资源包括一个或多个数据集。
8.根据权利要求6所述的方法,其中确定步骤还包括:执行服务级别授权和资源级别授权以确定所述访问令牌将包含的访问权限。
9.一种制品,包括非暂态计算机可读存储介质,所述非暂态计算机可读存储介质具有被实施在其中的可执行程序代码,所述可执行程序代码在由与授权服务器功能相关联的处理器执行时使所述授权服务器功能执行权利要求6的步骤。
10.一种装置,包括:
至少一个处理器;
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少:
向通信系统中的授权服务器功能发送针对访问服务类型以及与所述服务类型相关联的一个或多个资源的请求;
接收访问令牌,所述访问令牌针对所述装置被授权访问的所述服务类型以及与所述服务类型相关联的所述一个或多个资源标识一个或多个服务生产方;以及
使用所述访问令牌在所述通信系统中的服务生产方处访问所述服务类型以及与所述服务类型相关联的所述一个或多个资源;
其中所述至少一个处理器、所述至少一个存储器和所述计算机程序代码是所述通信系统中的服务消费方的一部分。
11.根据权利要求10所述的装置,其中所述一个或多个资源包括一个或多个数据集。
12.根据权利要求10所述的装置,其中所述访问令牌包含由服务级别授权和资源级别授权确定的访问权限。
13.根据权利要求12所述的装置,其中所述至少一个存储器和所述计算机程序代码还被配置为与所述至少一个处理器一起使所述装置:当所述服务级别授权和所述资源级别授权中的一项或多项不成功时,接收拒绝消息。
14.根据权利要求10所述的装置,其中在5G系统中所述服务消费方是网络功能(NF)并且所述授权服务器功能是网络储存库功能(NRF)。
15.一种方法,包括:
向通信系统中的授权服务器功能发送针对访问服务类型以及与所述服务类型相关联的一个或多个资源的请求;
接收访问令牌,所述访问令牌针对被授权访问的所述服务类型以及与所述服务类型相关联的所述一个或多个资源标识一个或多个服务生产方;以及
使用所述访问令牌在所述通信系统中的服务生产方处访问所述服务类型以及与所述服务类型相关联的所述一个或多个资源;
其中所述方法的步骤由所述通信系统的服务消费方执行。
16.根据权利要求15所述的方法,其中所述一个或多个资源包括一个或多个数据集。
17.根据权利要求15所述的方法,其中所述访问令牌包含由服务级别授权和资源级别授权确定的访问权限。
18.一种制品,包括非暂态计算机可读存储介质,所述非暂态计算机可读存储介质具有被实施在其中的可执行程序代码,所述可执行程序代码在由与服务消费方相关联的处理器执行时使所述服务消费方执行权利要求15的步骤。
19.一种装置,包括:
至少一个处理器;
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少:
从通信系统中的服务消费方接收针对访问服务类型的请求;
确定所述服务消费方是否被授权访问所述服务类型以及与所述服务类型相关联的一个或多个网络功能组;
生成访问令牌,所述访问令牌针对所述服务消费方被授权访问或未被授权访问的所述服务类型以及与所述服务类型相关联的一个或多个网络功能组标识一个或多个服务生产方;以及
向所述服务消费方发送所述访问令牌;
其中所述至少一个处理器、所述至少一个存储器和所述计算机程序代码是所述通信系统中的授权服务器功能的一部分。
20.根据权利要求19所述的装置,其中所述请求包括所述服务消费方寻求授权其访问的一组一个或多个网络功能的标识符。
21.根据权利要求19所述的装置,其中所述访问令牌包括所述服务消费方被授权访问的至少一个网络功能组的标识符或所述服务消费方未被授权访问的网络功能组的列表。
22.根据权利要求19所述的装置,其中在5G系统中所述服务消费方是网络功能(NF)并且所述授权服务器功能是网络储存库功能(NRF)。
23.一种方法,包括:
从通信系统中的服务消费方接收针对访问服务类型的请求;
确定所述服务消费方是否被授权访问所述服务类型以及与所述服务类型相关联的一个或多个网络功能组;
生成访问令牌,所述访问令牌针对所述服务消费方被授权访问或未被授权访问的所述服务类型以及与所述服务类型相关联的一个或多个网络功能组标识一个或多个服务生产方;以及
向所述服务消费方发送所述访问令牌;
其中所述方法的步骤由所述通信系统中的授权服务器功能执行。
24.一种制品,包括非暂态计算机可读存储介质,所述非暂态计算机可读存储介质具有被实施在其中的可执行程序代码,所述可执行程序代码在由与授权服务器功能相关联的处理器执行时使所述授权服务器功能执行权利要求23的步骤。
25.一种装置,包括:
至少一个处理器;
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少:
向通信系统中的授权服务器功能发送针对访问服务类型的请求;
接收访问令牌,所述访问令牌针对所述装置被授权访问或未被授权访问的所述服务类型以及与所述服务类型相关联的一个或多个网络功能组标识一个或多个服务生产方;以及
使用所述访问令牌访问所述通信系统中的一个或多个服务生产方;
其中所述至少一个处理器、所述至少一个存储器和所述计算机程序代码是所述通信系统中的服务消费方的一部分。
26.根据权利要求25所述的装置,其中所述请求包括所述服务消费方寻求授权其访问的一组一个或多个网络功能的标识符。
27.根据权利要求25所述的装置,其中所述访问令牌包括所述服务消费方被授权访问的至少一个网络功能组的标识符或所述服务消费方未被授权访问的网络功能组的列表。
28.一种方法,包括:
向通信系统中的授权服务器功能发送针对访问服务类型的请求;
接收访问令牌,所述访问令牌针对所述装置被授权访问或未被授权访问的所述服务类型以及与所述服务类型相关联的一个或多个网络功能组标识一个或多个服务生产方;以及
使用所述访问令牌访问所述通信系统中的一个或多个服务生产方;
其中所述方法的步骤由所述通信系统的服务消费方执行。
29.一种制品,包括非暂态计算机可读存储介质,所述非暂态计算机可读存储介质具有被实施在其中的可执行程序代码,所述可执行程序代码在由与服务消费方相关联的处理器执行时使所述服务消费方执行权利要求28的步骤。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN201941023836 | 2019-06-15 | ||
IN201941023836 | 2019-06-15 | ||
PCT/IB2020/055430 WO2020254918A1 (en) | 2019-06-15 | 2020-06-09 | Secure access control in communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113994727A true CN113994727A (zh) | 2022-01-28 |
Family
ID=71094650
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080043695.5A Pending CN113994727A (zh) | 2019-06-15 | 2020-06-09 | 通信系统中的安全访问控制 |
Country Status (4)
Country | Link |
---|---|
US (1) | US12015920B2 (zh) |
EP (1) | EP3984193A1 (zh) |
CN (1) | CN113994727A (zh) |
WO (1) | WO2020254918A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024103356A1 (zh) * | 2022-11-17 | 2024-05-23 | Oppo广东移动通信有限公司 | 授权方法和设备 |
WO2024145948A1 (zh) * | 2023-01-06 | 2024-07-11 | 北京小米移动软件有限公司 | 授权方法、装置、通信设备及存储介质 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3984193A1 (en) * | 2019-06-15 | 2022-04-20 | Nokia Technologies Oy | Secure access control in communication system |
WO2021018460A1 (en) * | 2019-07-26 | 2021-02-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Registering and requesting services in a service based architecture |
US11880484B2 (en) * | 2019-11-12 | 2024-01-23 | Salesforce, Inc. | Enforcing data isolation in jobs executed by a multi-tenant system on a secondary platform |
WO2022134059A1 (zh) * | 2020-12-25 | 2022-06-30 | Oppo广东移动通信有限公司 | 访问令牌处理方法和设备 |
US20220353802A1 (en) * | 2021-04-28 | 2022-11-03 | Samsung Electronics Co., Ltd. | System and method for limiting a scope of authorization provided to nfc device |
US20230171255A1 (en) * | 2021-11-29 | 2023-06-01 | Verizon Patent And Licensing Inc. | Computerized system and method for enhanced authorization of network data |
CN118715756A (zh) * | 2021-12-09 | 2024-09-27 | 上海诺基亚贝尔股份有限公司 | 方法、装置和计算机程序 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013086952A1 (zh) * | 2011-12-14 | 2013-06-20 | 华为技术有限公司 | 一种资源的控制方法及装置 |
CN103716326A (zh) * | 2013-12-31 | 2014-04-09 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
US20140223516A1 (en) * | 2013-02-05 | 2014-08-07 | Google Inc. | Authorization flow initiation using short-term wireless communication |
US20180375791A1 (en) * | 2017-06-23 | 2018-12-27 | Ca, Inc. | Authorization of varying levels of access to a resource server |
WO2019076801A1 (en) * | 2017-10-17 | 2019-04-25 | Telefonaktiebolaget Lm Ericsson (Publ) | RECORDING AND DISCOVERING SERVICE IN A COMMUNICATION NETWORK |
CN109688586A (zh) * | 2017-10-19 | 2019-04-26 | 中兴通讯股份有限公司 | 一种网络功能认证的方法、装置及计算机可读存储介质 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8249505B1 (en) * | 2008-03-13 | 2012-08-21 | Marvell International Ltd. | Method and apparatus for selecting a mode in a multi-mode communications client |
US10547622B2 (en) * | 2017-06-30 | 2020-01-28 | International Busines Machines Corporation | Extended OAuth architecture support in a scalable environment |
EP3984193A1 (en) * | 2019-06-15 | 2022-04-20 | Nokia Technologies Oy | Secure access control in communication system |
US20220240089A1 (en) * | 2019-06-15 | 2022-07-28 | Nokia Technologies Oy | Authorization for network function sets in communication system |
US12058123B2 (en) * | 2019-06-24 | 2024-08-06 | Nokia Technologies Oy | Apparatuses and methods relating to authorization of network functions |
US11341359B2 (en) * | 2019-07-22 | 2022-05-24 | EMC IP Holding Company LLC | Multi-domain monitoring services for intelligent infrastructure automation |
US10785652B1 (en) * | 2019-09-11 | 2020-09-22 | Cisco Technology, Inc. | Secure remote access to a 5G private network through a private network slice |
WO2021094349A1 (en) * | 2019-11-14 | 2021-05-20 | Nokia Technologies Oy | Multi-step service authorization for indirect communication in a communication system |
US11563743B2 (en) * | 2020-02-17 | 2023-01-24 | Nokia Technologies Oy | Security management for restricted local operator services in communication system |
US11757635B2 (en) * | 2020-03-13 | 2023-09-12 | Mavenir Networks, Inc. | Client authentication and access token ownership validation |
US11343236B2 (en) * | 2020-07-22 | 2022-05-24 | Charter Communications Operating, Llc | System and method for rendering a landing page based on location |
WO2022018580A1 (en) * | 2020-07-22 | 2022-01-27 | Nokia Technologies Oy | Service authorization in communication systems |
EP3982615B1 (en) * | 2020-10-12 | 2024-09-11 | Nokia Technologies Oy | Authorization in communication networks |
US11317321B1 (en) * | 2020-10-27 | 2022-04-26 | Sprint Communications Company L.P. | Methods for delivering network slices to a user |
FI129916B (en) * | 2020-12-16 | 2022-10-31 | Nokia Technologies Oy | AUTHORIZATION OF ONLINE REQUEST |
EP4047867A1 (en) * | 2021-02-19 | 2022-08-24 | Nokia Technologies Oy | Enhanced authorization in cellular communication networks |
US11425636B1 (en) * | 2021-04-16 | 2022-08-23 | Nokia Technologies Oy | Network function service subscription control |
US20220360586A1 (en) * | 2021-05-07 | 2022-11-10 | Nokia Technologies Oy | Apparatus, methods, and computer programs |
US20230171255A1 (en) * | 2021-11-29 | 2023-06-01 | Verizon Patent And Licensing Inc. | Computerized system and method for enhanced authorization of network data |
US20230308429A1 (en) * | 2022-03-28 | 2023-09-28 | Nokia Technologies Oy | Method and apparatus related to authorisation tokens for service requests |
-
2020
- 2020-06-09 EP EP20733029.1A patent/EP3984193A1/en active Pending
- 2020-06-09 WO PCT/IB2020/055430 patent/WO2020254918A1/en unknown
- 2020-06-09 US US17/618,015 patent/US12015920B2/en active Active
- 2020-06-09 CN CN202080043695.5A patent/CN113994727A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013086952A1 (zh) * | 2011-12-14 | 2013-06-20 | 华为技术有限公司 | 一种资源的控制方法及装置 |
US20140223516A1 (en) * | 2013-02-05 | 2014-08-07 | Google Inc. | Authorization flow initiation using short-term wireless communication |
CN103716326A (zh) * | 2013-12-31 | 2014-04-09 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
US20180375791A1 (en) * | 2017-06-23 | 2018-12-27 | Ca, Inc. | Authorization of varying levels of access to a resource server |
WO2019076801A1 (en) * | 2017-10-17 | 2019-04-25 | Telefonaktiebolaget Lm Ericsson (Publ) | RECORDING AND DISCOVERING SERVICE IN A COMMUNICATION NETWORK |
CN109688586A (zh) * | 2017-10-19 | 2019-04-26 | 中兴通讯股份有限公司 | 一种网络功能认证的方法、装置及计算机可读存储介质 |
Non-Patent Citations (5)
Title |
---|
3GPP TR 23.742 V2.0.0: ""Study on Enhancements to the Service-Based Architecture (Release 16)"", 3GPP TSG_SA\\TSG_SA, 7 December 2018 (2018-12-07) * |
3GPP TR 33.899 V0.7.0: ""Study on the security aspects of the next generation system (Release 14)"", 3GPP SPECS\\33_SERIES, 3 March 2017 (2017-03-03) * |
3GPP TS 33.501 V15.3.0: ""Security architecture and procedures for 5G system (Release 15)"", 3GPP SPECS\\33_SERIES, 18 December 2018 (2018-12-18) * |
HUAWEI, HISILICON, NOKIA, NOKIA SHANGHAI BELL: "Clarification on service authorization and token verification", 3GPP TSG SA WG3 S3-190440, 1 February 2019 (2019-02-01), pages 1 - 4 * |
HUAWEI, HISILICON: "S3-183213 "Editorial corrections on Authorization of NF service access"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, 12 October 2018 (2018-10-12) * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024103356A1 (zh) * | 2022-11-17 | 2024-05-23 | Oppo广东移动通信有限公司 | 授权方法和设备 |
WO2024145948A1 (zh) * | 2023-01-06 | 2024-07-11 | 北京小米移动软件有限公司 | 授权方法、装置、通信设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
EP3984193A1 (en) | 2022-04-20 |
US20220248225A1 (en) | 2022-08-04 |
WO2020254918A1 (en) | 2020-12-24 |
US12015920B2 (en) | 2024-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11844014B2 (en) | Service authorization for indirect communication in a communication system | |
US11483741B2 (en) | Automated roaming service level agreements between network operators via security edge protection proxies in a communication system environment | |
US12015920B2 (en) | Secure access control in communication system | |
US10645583B2 (en) | Security management for roaming service authorization in communication systems with service-based architecture | |
US20210234706A1 (en) | Network function authentication based on public key binding in access token in a communication system | |
US11924641B2 (en) | Security management for service access in a communication system | |
US20190251241A1 (en) | Security management for service authorization in communication systems with service-based architecture | |
US20210250186A1 (en) | Security management for edge proxies on an inter-network interface in a communication system | |
CN113994633B (zh) | 通信系统中的网络功能集合的授权 | |
WO2020053481A1 (en) | Network function authentication using a digitally signed service request in a communication system | |
WO2020249861A1 (en) | Communication security between user equipment and third-party application using communication network-based key | |
WO2022018580A1 (en) | Service authorization in communication systems | |
CN112136301A (zh) | 通信系统中用于安全性管理的错误处理框架 | |
US20230045417A1 (en) | Authentication between user equipment and communication network for onboarding process | |
US20220191008A1 (en) | Communication network-anchored cryptographic key sharing with third-party application | |
WO2020208295A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over private network | |
WO2020254925A1 (en) | Policy-based authorization for indirect communications between network functions in a communication system | |
WO2020208294A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over public network | |
US20230345247A1 (en) | Hierarchical consent in a communication network | |
US20240056815A1 (en) | Secure identification of applications in communication network | |
US20240154803A1 (en) | Rekeying in authentication and key management for applications in communication network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |