CN114339760A - 通信网络中的授权 - Google Patents
通信网络中的授权 Download PDFInfo
- Publication number
- CN114339760A CN114339760A CN202111187437.7A CN202111187437A CN114339760A CN 114339760 A CN114339760 A CN 114339760A CN 202111187437 A CN202111187437 A CN 202111187437A CN 114339760 A CN114339760 A CN 114339760A
- Authority
- CN
- China
- Prior art keywords
- network function
- access token
- consumer
- producer
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 57
- 238000004891 communication Methods 0.000 title claims abstract description 19
- 238000012795 verification Methods 0.000 claims abstract description 10
- 230000004044 response Effects 0.000 claims description 37
- 238000013523 data management Methods 0.000 claims description 7
- 238000007405 data analysis Methods 0.000 claims description 3
- 238000013480 data collection Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 abstract description 33
- 230000006870 function Effects 0.000 description 115
- OUSLHGWWWMRAIG-FBCAJUAOSA-N (6r,7r)-7-[[(2z)-2-(furan-2-yl)-2-methoxyiminoacetyl]amino]-3-(hydroxymethyl)-8-oxo-5-thia-1-azabicyclo[4.2.0]oct-2-ene-2-carboxylic acid Chemical compound N([C@@H]1C(N2C(=C(CO)CS[C@@H]21)C(O)=O)=O)C(=O)\C(=N/OC)C1=CC=CO1 OUSLHGWWWMRAIG-FBCAJUAOSA-N 0.000 description 22
- 238000004590 computer program Methods 0.000 description 14
- 230000008859 change Effects 0.000 description 6
- 230000011664 signaling Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000010267 cellular communication Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请涉及通信网络中的授权。提供了一种方法,包括:由中间网络功能从网络功能消费者接收请求网络功能生产者的数据的订阅请求,其中所述订阅请求包括所述网络功能消费者的客户端凭证断言和访问令牌;在成功验证所述访问令牌和所述客户端凭证断言验证之后,由所述中间网络功能授权和认证所述网络功能消费者;以及由所述中间网络功能向授权服务器发送访问令牌请求以获得另一访问令牌,其中所述另一访问令牌用于验证所述网络功能消费者以访问所述网络功能生产者的服务。访问令牌请求包括网络功能生产者的网络功能消费者请求数据的客户端凭证断言。
Description
技术领域
各种示例实施例在总体上涉及通信网络,诸如蜂窝通信系统的核心网,并且更具体地,涉及在这种网络中的授权。
背景技术
在各种通信网络中需要授权,以确保只有具有访问某些服务的权利的用户和网络实体才能够这样做。例如在蜂窝通信系统的核心网中,诸如在由第三代合作伙伴计划3GPP开发的5G核心网中,需要确保适当的授权。3GPP仍然开发5G核心网,并且需要提供用于改进5G核心网中的授权的改进的方法、装置和计算机程序。这种改进在其它通信网络中也是有用的。
发明内容
根据一些方面,提供了独立权利要求的主题。在从属权利要求中定义了一些示例实施例。
本发明的各种示例性实施例所寻求的保护范围由独立权利要求提出。在本说明书中描述的未落入独立权利要求的范围内的示例性实施例和特征(如果有的话)将被解释为对理解本发明的各种示例性实施例有用的示例。
根据本发明的第一方面,提供了一种装置,包括:至少一个处理器,包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为利用至少一个处理器使得装置至少:由中间网络功能从请求网络功能生产者的数据的网络功能消费者接收订阅请求,其中订阅请求包括网络功能消费者的客户端凭证断言和访问令牌,在访问令牌和客户端凭证断言验证成功之后,由中间网络功能授权和认证网络功能消费者,以及由中间网络功能向授权服务器发送访问令牌请求以获得另一访问令牌,其中所述另一访问令牌要被用于验证网络功能消费者以访问网络功能生产者的服务,并且访问令牌请求包括请求网络功能生产者的数据的网络功能消费者的客户端凭证断言。
根据本发明的第二方面,提供了一种装置,包括至少一个处理器,包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为利用至少一个处理器使得装置至少:由授权服务器从中间网络功能接收访问令牌请求,其中访问令牌请求包括网络功能消费者的客户端凭证断言,该网络功能消费者经由消息传送框架请求网络功能生产者的数据,在检查所述网络功能消费者的客户端凭证断言之后、由授权服务器生成要被用于针对网络功能生产者的数据验证网络功能消费者的访问令牌,以及由授权服务器向中间网络功能发送访问令牌响应,其中访问令牌响应包括访问令牌。
根据本发明的第三方面,提供了一种装置,包括至少一个处理器,包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为利用至少一个处理器使得装置至少:由网络功能生产者从中间网络功能接收订阅请求,以验证网络功能消费者经由消息传送框架访问网络功能生产者的数据,订阅请求包括网络功能消费者的客户端凭证断言、中间网络功能的客户端凭证断言、消息传送框架的回调统一资源标识符、以及访问令牌,授权订阅请求以经由消息传送框架向网络功能消费者通知数据,并且由网络功能生产者向中间网络功能发送订阅响应,订阅响应包括指向网络功能生产者的回调统一资源标识符。
根据本发明的第四方面,提供了一种装置,包括至少一个处理器,包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为利用至少一个处理器使得装置至少:由网络功能消费者向中间网络功能而不是网络功能生产者发送订阅请求,其中订阅请求包括网络功能消费者的客户端凭证断言和访问令牌。
根据本发明的第五方面,提供了一种方法,包括:由中间网络功能从请求网络功能生产者的数据的网络功能消费者接收订阅请求,其中订阅请求包括网络功能消费者的客户端凭证断言和访问令牌;在成功确认访问令牌和客户端凭证断言确认之后,由中间网络功能授权和认证网络功能消费者;以及由中间网络功能向授权服务器发送访问令牌请求以获得另一访问令牌,其中另一访问令牌要被用于验证网络功能消费者访问网络功能生产者的服务。访问令牌请求包括请求网络功能生产者的数据的网络功能消费者的客户端凭证断言。
根据本发明的第六方面,提供了一种方法,包括:由授权服务器从中间网络功能接收访问令牌请求,其中访问令牌请求包括网络功能消费者的客户端凭证断言,该网络功能消费者经由消息传送框架请求网络功能生产者的数据;在检查网络功能消费者的客户端凭证断言之后由授权服务器由授权服务器要被用于针对网络功能生产者的数据验证网络功能消费者的访问令牌;以及由授权服务器向中间网络功能发送访问令牌响应,其中访问令牌响应包括访问令牌。
根据本发明的第七方面,提供了一种方法,包括:由网络功能生产者从中间网络功能接收订阅请求,以验证网络功能消费者经由消息传送框架访问网络功能生产者的数据,该订阅请求包括网络功能消费者的客户端凭证断言、中间网络功能的客户端凭证断言、消息传送框架的回调统一资源标识符和访问令牌;授权订阅请求以经由消息传送框架向网络功能消费者通知数据;以及由网络功能生产者向中间网络功能发送订阅响应。订阅响应包括指向网络功能生产者的回调统一资源标识符。
根据本发明的第八方面,提供了一种方法,包括由网络功能消费者向中间网络功能而不是网络功能生产者发送订阅请求,其中订阅请求包括网络功能消费者的客户端凭证断言和访问令牌。
根据本发明的第九方面,提供了一种设备,包括用于执行第五,第六,第七或第八方面的方法的装置。
根据本发明的第十方面,提供了一种其上存储有一组计算机可读指令的非瞬态计算机可读介质,计算机可读指令在由至少一个处理器执行时使得装置至少执行第五,第六,第七或第八方面的方法。根据本发明的第十一方面,提供了一种被配置为执行第三方面的方法的计算机程序。
附图说明
图1示出了根据至少一些示例实施例的示例性数据管理框架;
图2示出了根据至少一些示例实施例的第一信令示例;
图3示出了根据至少一些示例实施例的第二信令示例;
图4示出了能够支持至少一些示例实施例的示例设备;
图5展示了根据至少一些示范性实施例的第一方法的流程图;
图6示出了根据至少一些示例实施例的第二方法的流程图。
具体实施方式
可以通过提供数据收集协调功能DCCF的过程来改进授权,使得DCCF可以在可能经由消息传送框架MF将任何数据传递回NFc之前验证网络功能消费者NFc与网络功能生产者NFp之间的认证和授权方面。
图1示出了根据本发明的至少一些示例实施例的示例性数据管理框架。图1的示例性数据管理框架包括数据消费者110、DCCF 120、MF 130、数据源140和授权服务器150。数据消费者110可以被称为NFc(Network Function consumer)。例如,数据消费者110可以是如第三代合作伙伴计划3GPP标准规范TS23.288中定义的网络数据分析功能NWDAF,并且NWDAF可以基于从不同数据源收集的数据来计算分析,所述数据源诸如接入和移动性管理功能AMF、会话管理功能SMF、策略控制功能PCF、统一数据管理UDM、应用功能AF以及操作管理和维护OAM。NWDAF可以使用例如为5G核心网定义的基于服务的架构向消费者提供由3GPP定义的分析标识符标识的分析。
DCCF 120可以找到正确的数据生产者,即数据源140,识别每个用户设备UE的服务网络功能,控制数据复制和合并订阅。DCCF适配器DA可以协调请求和/或数据传递。MF 130可将数据从数据源140转发到数据消费者110,可能经由生产者适配器3PA和消费者适配器3CA,且可复制待发送到不同实体(例如,不同数据消费者110或数据储存库和数据消费者110)的数据。数据源140可以被称为NFp(Network Function producer)。授权服务器150可以是网络储存库功能NRF。本发明的一些实施例可以应用于OAuth2.0框架中,用于如3GPP标准规范TS33.501中定义的网络功能NF服务访问的授权。
DCCF 120可以为NFc1 110引入新的路径来访问来自数据源140(即NFps)的数据。由于在NFc1 110和NFp 140之间引入了DCCF 120,因此需要增强安全机制。例如,如果不允许NFc1 110访问来自NFp 140的数据,则应当确保DCCF 120不向NFc1 110提供与NFp140相关的数据。
另一个问题是,如果允许NFc1 110访问来自NFp 140的数据,则NFc1 110可以请求能够由NFp 140产生的数据,并且在这种情况下,DCCF 120可以请求来自NFp 140的数据。因此,DCCF 120可以协调数据分布,可能经由MF 130来协调。然而,另一NFc(图1中未示出)可能不被允许访问由NFp 140提供的数据。因此,如果另一NFc请求与NFc1 110相同的数据,DCCF 120和/或MF 130可能已经具有所述数据,但DCCF 120应能够确保其将不向另一NF提供已经从NFp 140获得的数据。
此外,间接通信可能需要NFc1 110的客户端凭证断言CCA,如例如在3GPP标准规范TS33.501中所定义的,使得NFp 140可以认证NFc1 110。因此,在基于DCCF 120的通信的情况下,当数据源140改变(例如,UE移动性场景)时,DCCF 120应当以某种方式获得NFc1 110的新CCA,以便向新数据源认证NFc1 110。
本发明的实施例解决了上述问题。更具体地,本发明的实施例使得DCCF 120能够在可能经由MF 130将任何数据传递回NFc1 110之前验证NFc1 110和NFp 140之间的认证和授权方面的过程成为可能。
图2示出了根据至少一些示例实施例的第一信令示例。在垂直轴上,从左到右布置NFc1 110、DCCF 120、MF 130、NFp 140和授权服务器150,即NRF。时间从顶部朝向底部前进。图2说明一实例,其中NFc1 110将订阅请求发送到DCCF 120以请求接入NFp 140的服务/数据,但DCCF 120和/或MF 130不具有NFp 140所请求的数据。
在阶段202,如果NFc1 110想要与DCCF 120通信以取回NFp140的数据,例如AMF或SMF,则NFc1 110可从授权服务器150取回访问令牌用以稍后在DCCF 120处获得授权。那么NFc1 110可以发送访问令牌请求“Nnrf_AccessToken_Get request,Target=DCCF”,并且经由“Nnrf_AccessToken_Get Response(expires_in,access_token)”在DCCF 120处接收包括要用于验证、授权和认证NFc1 110的访问令牌的访问令牌响应。
在阶段204,NFc1 110可发起对DCCF 120的订阅请求,以可能经由包括DCCF 120和MF 130的数据管理框架来取回NFp 140的数据。NFc1 110可以将在阶段202接收到的访问令牌包括在订阅请求中,例如包括在订阅请求的授权报头中。NFc1 110还可以包括NFc1 110的CCA,而与直接或间接通信无关。在一些实施例中,CCA中的目标NF类型将包括DCCF 120、授权服务器150和NFp 140。如果NFc1 110不是NFp 140的可能NF类型中的某些NF类型,则NFc1 110可添加可适用的NFp 140的所有可能NF类型。例如,订阅请求可以是“Ndccf_EventExposure_Subscribe(Nxxx_Service,Parameters),CCA{Nftype=DCCF,AMF,NRF},Token”。也就是说,NFc1 110经由DCCF 120请求数据,包括NFc1 110的CCA和要用于在DCCF120处验证NFc1 110的访问令牌。
如果NFc1 110(诸如NWDAF或任何其它NF)与DCCF 120直接通信,则DCCF 120将不需要NFc1 110的CCA,并且可以跳过目标NF类型=DCCF。然而,从NFc1 110经由DCCF 120到其它NF的通信是间接通信,因此,在一些实施例中,NFc1 110的CCA可能需要包括在阶段204处的订阅请求中,而不管在NFc1 110与DCCF 120之间是否存在服务通信代理SCP。也就是说,在阶段204,NFc1 110的CCA可能需要被包括在订阅请求中,而不管NFc1 110和DCCF 120是否直接连接,所述直接连接是指在NFc1 110和DCCF120之间没有SCP的情况。因此,在直接连接的情况下,订阅请求可以从NFc1 110到DCCF 120而不经过SCP。
在阶段206,DCCF 120可以验证从NFc1 110接收的接入令牌和CCA,并验证NFc1110。也就是说,一旦成功验证了NFc1 110的访问令牌和CCA,DCCF 120就可以授权和认证NFc1 110。
在阶段208,DCCF 120可以检查数据是否已经可用于经由MF 130到NFc1 110的分发。如果数据不可用,则DCCF 120可基于TS 23288中定义的现有机制(经由NRF、UDM等)来发现诸如NFp 140等数据源。为了联系数据源,即NFp 140,DCCF 120需要从NRF获得另一令牌(所述另一访问令牌)。DCCF 120可以向授权服务器150发送访问令牌请求,其中所请求的所述另一访问令牌将用于验证NFc1 110来访问NFp 140的服务,并且该访问令牌请求包括请求访问NFp 140的服务的NFc1 110的CCA。例如,如果DCCF 120检查并发现NFp 140的数据尚未可用于经由MF 130到NFc1 110的分发,则DCCF 120可经由NRF或UDM发现NFp 140,即数据源。但是为了正确地联系NFp 140,DCCF 120可能需要从授权服务器150获得所述另一访问令牌。为此,DCCF 120可以形成访问令牌请求,使得访问令牌包括NFc1 110的标识和/或MF130的标识。备选地或附加地,DCCF 120可以形成接入令牌请求,使得接入令牌请求至少包括NFc1 110的CCA,并且可能还包括DCCF 120的CCA。访问令牌请求可能是例如“Nnrf_AccessToken_Get Request(…Target=AMF,SubscribingNF=NWDAF Id,andMessageFramework Id…)CCA-NFc1”。
在阶段210,授权服务器150可以为访问令牌响应生成数字签名的访问令牌,可能具有作为对访问令牌响应的新声明而包括的关于订阅NF(subscribingnfinfo)的信息。所述关于订阅NF的信息可以包括NFc1 110和MF 130的标识符。也就是说,在阶段210,授权服务器150可以生成所述另一个访问令牌,用于验证NFc1 110访问NFp 140NFc1 110的服务。因此,授权服务器150可授权DCCF 120代表NFc1 110和MF 130NFc1 110订阅对NFp 140的服务(即,数据)的访问。间接地,授权服务器150还可以授权NFp 140向NFc1110、DCCF 120和MF130发送通知。也就是说,所述另一访问令牌可以授权NFc1 110、DCCF 120和MF 130从NFp140接收通知。
在阶段212,授权服务器150可以向DCCF 120发送访问令牌响应,该访问令牌响应包括所述另一访问令牌。访问令牌响应例如可以是“Nnrf_AccessToken_Get Response(expires_in,access_token{Token-2})”。访问令牌响应还可以包括两个订阅网络实体的标识符,这两个订阅网络实体包括NFc1 110和MF 130,从而可以使用单个令牌来避免不必要的资源消耗。例如,访问令牌响应可以包括根据下表的访问令牌声明(AccessTokenClaim)。
表1类型:访问令牌声明
备选地,授权服务器150可以提供两个访问令牌,一个用于NFc1 110访问NFp 140,另一个用于DCCF 120和/或MF 130访问NFp 140。
在阶段214,DCCF 120可向NFp 140发送订阅请求,以验证NFc1 110访问NFp 140的服务,对NFp 140的订阅请求包括NFc1 110的CCA和所述另一访问令牌。对NFp 140的所述订阅请求可以是例如“Namf_EventExposure_Subscribe,CCA-NWDAF,CCA-DCCF,Token-2”。也就是说,DCCF 120可以向NFp 140提供两个CCA报头,第一个CCA报头是从NFc1 110接收的,而第二个CCA报头是由DCCF 120自生成的。在阶段216,NFp 140必须在向DCCF 120提供服务或向MF 130发送通知之前检查所述另一访问令牌/声明。然后,NFp 140可以验证NFc1 110以经由DCCF 120访问NFp 140的服务。DCCF 120还可包括MF 130向NFp 140的订阅请求的回调统一资源标识符URI,使得NFp 140可直接向MF 130发送通知/数据。
在阶段218,NFp 140可向DCCF 120发送订阅响应。如果验证成功,则订阅响应可包括仅指向NFp 140的回调URI,该回调URI可用于从DCCF 120到NFp 140的进一步通信。因此,授权服务器150可授权MF 130代表DCCF 120收集数据。
在阶段220,如果订阅响应指示成功的订阅/验证,则DCCF 120和MF 130可创建订阅。否则,DCCF 120可拒绝订阅请求。在阶段222,DCCF 120可向NFc1 110发送订阅响应。在阶段224处,NFp 140可将至少一个通知转发到MF 130,且在阶段226处,可经由MF 130将所述至少一个通知转发到NFc1 110。一旦建立了关联,则MF 130可以开始从NFp 140向NFc1110发送所存储的数据或新接收的数据。
图3示出了根据至少一些示例实施例的第二信令示例。类似于图2,在垂直轴上从左到右布置NFc1 110、DCCF 120、MF 130、NFp 140和授权服务器150,例如NRF。此外,图3中示出了另一NFc2 112。时间从顶部朝向底部前进。图3示出一个示例,其中所述另一NFc2112可向DCCF 120传输针对相同数据源(即,NFp 140)的订阅请求,并且数据已在DCCF 120和/或MF 130中可用。也就是说,图3示出了当DCCF 120已经订阅了NFp 140时的数据访问授权。
在阶段302之前,NFc1 110可以开始从NFp 140收集数据。也就是说,图3的第二信令示例可以发生在图2所示的第一信令示例之后。阶段302-326可以分别对应于图2中的阶段202-226。当另一NFc2 112想要从NFp 140收集数据时,所述另一NFc2 112可在阶段304处将订阅请求“Subscribe,CCA{Nftype=DCCF,AMF},Token”发送到DCCF 120,以请求对NFp140的服务(即,数据)的访问。在阶段306,DCCF 120可在验证在另一NFc2 112的订阅请求中接收的访问令牌后授权和认证另一NFc2 112。此外,DCCF 120可以确定DCCF 120和/或MF130不具有NFp 140所请求的数据。因此,DCCF 120可以通过在阶段308发送访问令牌请求“Nnrf_AccessToken_Get Request(…Target=AMF,SubscribingNF=NFc-2,InstanceId/SetId,and MessageFramework Id…)CCA-NFc-2,CCA-DCCF”并在阶段312接收包括将由另一NFc2 112用于访问NFp 140的服务的访问令牌的访问令牌响应“Nnrf_AccessToken_GetResponse(expires_in,access_token{Token-2})”来从授权服务器取回访问令牌,其中访问令牌将由另一NFc2 112用于访问NFp 140的服务。
为了在NFp 140处验证、认证和授权另一NFc2 112,可能经由NFc2 112的CCA,DCCF120可以在阶段314使用由NFp 140提供的回调URI来向NFp 140发送通知请求或订阅更新请求消息,例如具有访问令牌和CCA报头“Namf_EventExposure_SubscribeModify orNotification_ReAuthCallback,CCA-NWDAF,CCA-DCCF,Token-2”。也就是说,DCCF 120可以在阶段314向NFp 140发送订阅更新请求或Notification_ReAuthCallback请求,以验证另一NFc2112对NFp 140的服务的访问。
在阶段316,NFp 140可验证另一NFc2 112的CCA和在阶段314接收的访问令牌,并授权另一NFc2 112访问NFp 140的服务。如果成功完成授权,则NFp 140可在阶段318向DCCF120发送指示成功的订阅更新响应。在接收到订阅更新响应时,DCCF 120可在阶段320在MF130中创建订阅,使得可将由另一NFc2 112请求且从NFp 140收集的数据发送到另一NFc2112。在阶段322,DCCF 120可向另一NFc2 112发送订阅响应。当在阶段324从NFp 140接收到新数据时,MF 130可在阶段326和328基于已授权的NFc列表分别向另一NFc2112和NFc1 110发送通知。
在一些实施例中,数据源可以改变,例如在UE移动性情形中。作为示例,如果UE会话从AMF(集合1)或NFp 140移动到AMF2(集合2)或另一NFp,则可能发生数据源(即NFp 140)的改变。因此,DCCF 120可能需要确保所述另一NFp对NFc1 110进行认证和授权,使得MF130继续向NFc1 110发送数据。DCCF 120可以确定数据源从NFp 140到所述另一NFp的改变,例如通过订阅当服务特定UE的NFp改变时要通知的UDM。
在确定改变后,DCCF 120可向NFc1 110发送关于改变的至少一个通知,例如,具有原因DATA_SOURCE_CHANGE和新的数据源细节。在接收到至少一个通知之后,NFc1 110可以向DCCF 120发送订阅更新请求,例如没有数据。订阅更新请求可以至少包括NFc1 110的新CCA,其中新CCA还可以包括所述另一NFp的类型。例如,订阅更新请求可以是“目标NF类型=NFp(例如AMF,SMF)和NF类型=DCCF(用于间接通信)”。NFC1 110还可以将访问令牌添加到DCCF 120的订阅更新请求中。可替换地或附加地,还可以为订阅更新请求添加新的回调URI。
DCCF 120可基于NFc1 110的CCA(用于间接通信)来认证NFc1 110,并基于访问令牌来授权NFc1 110。DCCF 120还可以联系所述另一NFp,使得所述另一NFp可以遵循图2中描述的步骤来认证和授权NFc1 110。也就是说,DCCF 120可以向所述另一NFp发送订阅请求,来验证NFc1 110以访问所述另一NFp的服务,该订阅请求包括NFc1 110的CCA,DCCF 120的CCA以及新令牌DCCF 120应该已经从授权服务器/NRF150接收到,以由所述另一NFp检查。
即使DCCF 120被用作示例,本发明的实施例通常也可以应用于任何中间NF。也就是说,DCCF 120是中间NF,并且可以用诸如UDM或NWDAF的任何其它中间NF来代替。类似地,NFc1 110和NFc2 112可以是任何NF消费者,诸如NWDAF或网络暴露功能NEF。例如,NEF可以经由UDM访问基于AMF和/或SMF的通知。在一些实施例中,NFc1 110可以是NEF,而DCCF 120和/或MF 130可以是UDM。备选地,NWDAF1可以要求另一个NWDAF2收集NWDAF1的数据,并且在这种情况下,NWDAF还可以被配置为充当中间功能,并且处理NWDAF1(如NFc1 110)访问来自NFp 140的服务的授权。
图4示出了能够支持至少一些示例实施例的示例设备。所示的是设备400,其可以包括例如DCCF 120或授权服务器150,或控制其功能的设备。包括在设备400中的是处理器410,其可以包括例如单核或多核处理器,其中单核处理器包括一个处理器,并且多核处理器包括多于一个处理器。处理器410通常可以包括控制装置。处理器410可以包括一个以上的处理器。处理器410可以是控制设备。处理器410可以包括至少一个专用集成电路ASIC。处理器410可以包括至少一个现场可编程门阵列FPGA。处理器410可以包括例如IntelXeon处理器。处理器410可以是用于在设备400中执行方法步骤的装置,例如确定,引起发送和引起接收。处理器410可以至少部分地由计算机指令配置以执行动作。
处理器可以包括电路,或者被构成为一个或多个电路,该一个或多个电路被配置为执行根据在此描述的示例实施例的方法的阶段。如本申请案中所使用,术语“电路”可指以下各项中的一者或一者以上或全部:(a)仅硬件电路实现,例如仅模拟和/或数字电路中的实现,以及(b)硬件电路和软件的组合,例如,如适用:(i)模拟和/或数字硬件电路与软件/固件的组合,以及(ii)硬件处理器的任何部分与软件(包括数字信号处理器),软件和存储器一起工作以使装置(例如网络功能)执行各种功能,以及(c)硬件电路和/或处理器(例如微处理器或微处理器的一部分)需要软件(例如固件)用于操作,但是当不需要该软件用于操作时,该软件可以不存在。
电路的这个定义适用于本申请中这个术语的所有使用,包括在任何权利要求中。作为另一实例,如本申请案中所使用,术语电路还涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器的一部分及其(或其)伴随软件和/或固件的实施方案。术语电路还涵盖(例如且如果适用于特定权利要求元件)用于移动装置的基带集成电路或处理器集成电路或服务器中的类似集成电路,蜂窝式网络装置或其它计算或网络装置。
设备400可以包括存储器420。存储器420可以包括随机存取存储器和/或永久存储器。存储器420可以包括至少一个RAM芯片。存储器420可以包括例如固态、磁光和/或全息存储器。存储器420可以至少部分地可由处理器410访问。存储器420可以至少部分地包括在处理器410中。存储器420可以是用于存储信息的装置。存储器420可以包括处理器410被配置为执行的计算机指令。当被配置为使处理器410执行某些动作的计算机指令被存储在存储器420中,并且设备400整体被配置为使用来自存储器420的计算机指令在处理器410的指示下运行时,处理器410和/或其至少一个处理器可以被认为被配置为执行所述某些动作。存储器420可以至少部分地包括在处理器410中。存储器420可以至少部分地在设备400外部,但可由设备400访问。
设备400可以包括发射器430。设备400可以包括接收器440。发射器430和接收器440可以被配置为分别根据至少一个蜂窝标准(例如由3GPP定义的标准)来发射和接收信息。发射器430可以包括多于一个发射器。接收器440可以包括一个以上的接收器。发射器430和/或接收器440可以被配置为根据适当的通信标准进行操作。
设备400可以包括用户接口UI 450。UI 450可以包括以下中的至少一项:显示器、键盘、触摸屏、被布置为通过使设备400振动来向用户发信号的振动器、扬声器和麦克风。用户能够经由UI 450操作设备400,例如配置设备400和/或其运行的功能。
处理器410可以配备有发射器,该发射器被安排成经由设备400内部的电引线将信息从处理器410输出到包括在设备400中的其他设备。这样的发送器可以包括串行总线发送器,其被设置为例如经由至少一个电引线将信息输出到存储器420以存储在其中。作为串行总线的替换,发射器可以包括并行总线发射器。类似地,处理器410可以包括接收器,该接收器被安排成经由设备400内部的电引线从包括在设备400中的其他设备接收处理器410中的信息。这样的接收器可以包括串行总线接收器,其被设置为例如经由至少一个电引线从接收器440接收信息以在处理器410中进行处理。作为串行总线的替换,接收器可以包括并行总线接收器。
设备400可以包括图4中未示出的其它设备。在一些示例实施例中,设备400缺少至少一个上述设备。例如,设备400可以不具有UI450。
处理器410、存储器420、发射器430、接收器440和/或UI 450可以通过设备400内部的电引线以多种不同方式互连。例如,上述设备中的每一个可以单独地连接到设备400内部的主总线,以允许设备交换信息。然而,如本领域技术人员将理解的,这仅是一个示例,并且取决于示例实施例,在不脱离本发明的范围的情况下,可以选择将前述设备中的至少两个互连的各种方式。
图5是根据至少一些示例实施例的第一方法的流程图。所说明的第一方法的阶段可以由DCCF 120执行,或者由被配置成控制其功能的控制装置执行,可能当被安装在其中时。
第一方法可以包括,在步骤510,由中间网络功能从网络功能消费者接收请求网络功能生产者的数据的订阅请求,其中订阅请求包括网络功能消费者的客户端凭证断言和访问令牌。在步骤520,第一方法还可以包括:在成功验证访问令牌和客户端凭证断言验证之后,由中间网络功能授权和认证网络功能消费者。最后,第一方法可以包括,在步骤530,由中间网络功能向授权服务器发送访问令牌请求以获得另一访问令牌,其中所述另一访问令牌要被用于验证网络功能消费者以访问网络功能生产者的服务,并且访问令牌请求包括请求网络功能生产者的数据的网络功能消费者的客户端凭证断言。
图6是根据至少一些示例实施例的第二方法的流程图。所说明的第二方法的阶段可由授权服务器150(例如NRF)或由经配置以控制其功能(可能在安装于其中时)的控制装置来执行。
在步骤610,第二方法可以包括由授权服务器从中间网络功能接收访问令牌请求,其中访问令牌请求包括网络功能消费者的客户端凭证断言,该网络功能消费者经由消息传送框架请求网络功能生产者的数据。在步骤620,第二方法还可以包括:在检查网络功能消费者的客户端凭证断言之后,由授权服务器生成要被用于针对网络功能生产者的数据验证网络功能消费者的访问令牌。最后,在步骤630,第二方法可以包括由授权服务器向中间网络功能发送访问令牌响应,其中访问令牌响应包括访问令牌。
应理解,所公开的示例性实施例不限于本文所公开的特定结构,工艺步骤或材料,而是扩展到相关领域的普通技术人员将认识到的其等效物。还应当理解,本文使用的术语仅用于描述特定示例性实施例的目的,而不旨在进行限制。
贯穿本说明书对一个示例实施例或示例实施例的引用意味着结合该示例实施例描述的特定特征,结构或特性被包括在至少一个示例实施例中。因此,短语“在一个示例性实施例中”或“在示例性实施例中”在整个说明书中不同地方的出现不一定都指相同的示例性实施例。当使用诸如约或基本上的术语提及数值时,也公开了确切的数值。
如本文所用,为方便起见,多个项目,结构要素,组成要素和/或材料可呈现在共同列表中。然而,这些列表应被解释为该列表的每个成员被单独标识为单独且唯一的成员。因此,在没有相反指示的情况下,这种列表中的任何单个成员都不应被解释为仅基于其在共同组中的呈现的相同列表中的任何其他成员的实际等同物。此外,各种示例性实施例和示例可连同其各种组件的替换物一起在本文中提及。应当理解,这样的示例性实施例,示例和替代方案不应当被解释为彼此的实际等同物,而是应当被认为是独立和自主的表示。
在示例实施例中,诸如DCCF 120或授权服务器150或控制其功能的设备的装置可以包括用于执行上述示例实施例及其任意组合的装置。
在示例实施例中,计算机程序可以被配置为引起根据上述示例实施例及其任意组合的方法。在示例性实施例中,体现在非瞬态计算机可读介质上的计算机程序产品可以被配置成控制处理器来执行包括上述示例性实施例及其任何组合的过程。
在示例实施例中,诸如DCCF 120或授权服务器150的装置或控制其功能的设备可以包括至少一个处理器和包括计算机程序代码的至少一个存储器,其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述装置至少执行上述示例实施例及其任意组合。
此外,所描述的特征,结构或特性可以以任何合适的方式组合在一个或多个示例实施例中。在前面的描述中,提供了许多具体细节,例如长度,宽度,形状等的示例,以提供对本发明的示例实施例的透彻理解。然而,相关领域的技术人员将认识到,可以在没有一个或多个具体细节的情况下,或者利用其它方法,组件,材料等来实践本发明。在其它情况下,未示出或详细描述公知的结构,材料或操作,以避免模糊本发明的各方面。
虽然前述示例说明了一个或多个特定应用中的示例性实施例的原理,但是对于本领域的普通技术人员显而易见的是,在不行使创造性的能力的情况下,并且在不脱离本发明的原理和概念的情况下,可以对实现的形式,使用和细节进行多种修改。因此,除了下面提出的权利要求之外,本发明不限于此。
动词“包括”和“包含”在本文中用作开放式限制,既不排除也不要求也存在未列举的特征。从属权利要求中所述的特征可相互自由组合,除非另有明确说明。此外,应当理解,在整个本文件中使用“一”或“一个”,即单数形式,并不排除多个。
工业实用性
至少一些示例实施例至少在5G核心网中以及将来可能在其他核心网中找到工业应用。
首字母缩略词列表
3CA 消费者适配器
3GPP 第3代伙伴项目
3PA 生产者适配器
AF 应用功能
AMF 接入和移动性管理功能
BSF 绑定支持功能
CCA 客户端凭证断言
DCCF 数据收集协调功能
MF 消息传送框架
NEF 网络曝光功能
NF 网络功能
NFc 网络功能消费者
NFp 网络功能生产者
NRF 网络储存库功能
NWDAF 网络数据分析功能
OAM 运营管理和维护
PCF 策略控制功能
SCP 服务通信代理
SMF 会话管理功能
UDM 统一数据管理
UE 用户设备
URI 统一资源标识符。
附图标记列表
| 110,112 | NFc |
| 120 | DCCF,一般是中间NF |
| 130 | MF |
| 140 | NFp |
| 150 | 授权服务器 |
| 202-226 | 图2的过程的步骤 |
| 302-328 | 图3的过程的步骤 |
| 400-450 | 图4的装置的结构 |
| 510-530 | 图5中的第一方法的阶段 |
| 610-630 | 图6中的第二方法的阶段 |
。
Claims (15)
1.一种用于通信的装置,包括:
用于由中间网络功能从请求网络功能生产者的数据的网络功能消费者接收订阅请求的部件,其中所述订阅请求包括所述网络功能消费者的客户端证书断言和访问令牌;
用于在成功验证所述访问令牌和所述客户端凭证断言验证之后、由所述中间网络功能授权和认证所述网络功能消费者的部件;以及
用于由所述中间网络功能向授权服务器发送访问令牌请求以获得另一访问令牌的部件,其中所述另一访问令牌被用于验证所述网络功能消费者以访问所述网络功能生产者的服务,并且所述访问令牌请求包括请求所述网络功能生产者的数据的所述网络功能消费者的所述客户端凭证断言。
2.根据权利要求1所述的装置,其中不管所述网络功能消费者和所述中间网络功能是否直接连接,所接收的所述订阅请求均包括所述网络功能消费者的所述客户端凭证断言。
3.根据权利要求1所述的装置,其中所述访问令牌请求包括所述中间网络功能的客户端凭证断言。
4.根据权利要求1所述的装置,其中所接收的所述网络功能消费者的所述客户端凭证断言包括所述网络功能生产者的目标网络功能类型。
5.根据权利要求1所述的装置,其中所发送的所述访问令牌请求包括从所述网络功能生产者向所述网络功能消费者传播数据的消息传送框架的标识。
6.根据权利要求1所述的装置,还包括:
用于由所述中间网络功能从所述授权服务器接收访问令牌响应的部件,所述访问令牌响应包括要被用于访问所述网络功能生产者的服务的所述另一访问令牌,其中所述访问令牌响应包括两个订阅网络实体的标识符,所述两个订阅网络实体还包括所述网络功能消费者和所述消息传送框架。
7.根据权利要求6所述的装置,还包括:
用于由所述中间网络功能向所述网络功能生产者发送订阅请求来验证所述网络功能消费者、以经由消息传送框架访问所述网络功能生产者的数据的部件,所述订阅请求包括所述网络功能消费者的所述客户端凭证断言、所述中间网络功能的客户端凭证断言、消息传送框架的回调统一资源标识符以及所述另一访问令牌。
8.根据权利要求7所述的装置,还包括:
用于由所述中间网络功能从所述网络功能生产者接收订阅响应的部件,所述订阅响应包括指向所述网络功能生产者的回调统一资源标识符。
9.根据权利要求8所述的装置,还包括:
用于由所述中间网络功能从另一网络功能消费者接收订阅请求的部件,所述另一网络功能消费者请求访问所述网络功能生产者的服务;
用于由所述中间网络功能向所述网络功能生产者发送订阅更新请求以请求所述网络功能生产者针对所述网络功能生产者的数据来验证所述另一网络功能消费者的部件,所述订阅更新请求包括所述另一网络功能消费者的客户端凭证断言、所述中间网络功能的客户端凭证断言以及所述另一网络功能消费者的访问令牌。
10.根据前述权利要求中任一项所述的装置,其中所述中间网络功能是统一数据管理功能、数据收集协调功能或网络数据分析功能。
11.一种用于通信的装置,包括:
用于由授权服务器从中间网络功能接收访问令牌请求的部件,其中所述访问令牌请求包括网络功能消费者的客户端凭证断言,所述网络功能消费者经由消息传送框架请求网络功能生产者的数据;
用于在检查所述网络功能消费者的所述客户端凭证断言之后、由所述授权服务器生成要被用于针对所述网络功能生产者的数据验证所述网络功能消费者的访问令牌的部件;以及
用于由所述授权服务器向所述中间网络功能发送访问令牌响应的部件,其中所述访问令牌响应包括所述访问令牌。
12.根据权利要求11所述的装置,其中所接收的所述访问令牌请求包括消息传送框架的标识。
13.根据权利要求11所述的装置,其中所述访问令牌响应包括两个订阅网络实体的标识符,所述两个订阅网络实体还包括所述网络功能消费者和所述消息传送框架。
14.根据权利要求11所述的装置,其中所述访问令牌授权所述中间网络功能、所述网络功能消费者和消息传送框架从所述网络功能生产者接收通知。
15.根据权利要求11至14中任一项所述的装置,其中所述访问令牌授权所述中间网络功能代表所述网络功能消费者和消息传送框架进行订阅以访问所述网络功能生产者的服务。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN202041044341 | 2020-10-12 | ||
| IN202041044341 | 2020-10-12 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114339760A true CN114339760A (zh) | 2022-04-12 |
Family
ID=78211812
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111187437.7A Pending CN114339760A (zh) | 2020-10-12 | 2021-10-12 | 通信网络中的授权 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220116400A1 (zh) |
| EP (1) | EP3982615A1 (zh) |
| CN (1) | CN114339760A (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3984193A1 (en) * | 2019-06-15 | 2022-04-20 | Nokia Technologies Oy | Secure access control in communication system |
| US20220353263A1 (en) * | 2021-04-28 | 2022-11-03 | Verizon Patent And Licensing Inc. | Systems and methods for securing network function subscribe notification process |
| WO2023247394A1 (en) * | 2022-06-20 | 2023-12-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Access control for data storage in communication networks |
| EP4322477A1 (en) * | 2022-08-10 | 2024-02-14 | Nokia Technologies Oy | Mechanism to enable authorization of network function acting as federated learning clients and federated learning servers in 5g core |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101803276A (zh) * | 2007-09-21 | 2010-08-11 | 诺基亚西门子通信公司 | 预订和付款通知控制 |
| CN109587187A (zh) * | 2017-09-28 | 2019-04-05 | 华为技术有限公司 | 用于调用网络功能服务的方法、装置和系统 |
| US20190251241A1 (en) * | 2018-02-15 | 2019-08-15 | Nokia Technologies Oy | Security management for service authorization in communication systems with service-based architecture |
| WO2020002764A1 (en) * | 2018-06-29 | 2020-01-02 | Nokia Technologies Oy | Security management for service access in a communication system |
| CN111107047A (zh) * | 2018-10-29 | 2020-05-05 | 华为技术有限公司 | 服务授权方法及通信装置 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2491694B1 (en) * | 2009-10-22 | 2015-12-23 | Telefonaktiebolaget L M Ericsson (publ) | Method for managing access to protected resources in a computer network, physical entities and computer programs therefor |
| US8667579B2 (en) * | 2011-11-29 | 2014-03-04 | Genband Us Llc | Methods, systems, and computer readable media for bridging user authentication, authorization, and access between web-based and telecom domains |
| KR101453154B1 (ko) * | 2012-05-30 | 2014-10-23 | 모다정보통신 주식회사 | M2m 통신에서 리소스 접근 권한 설정 방법 |
| US8839376B2 (en) * | 2012-06-29 | 2014-09-16 | Cable Television Laboratories, Inc. | Application authorization for video services |
| US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
| US20160142409A1 (en) * | 2014-11-18 | 2016-05-19 | Microsoft Technology Licensing, Llc | Optimized token-based proxy authentication |
| EP3318036B1 (en) * | 2015-07-02 | 2022-11-23 | Convida Wireless, LLC | Resource-driven dynamic authorization framework |
| US9832024B2 (en) * | 2015-11-13 | 2017-11-28 | Visa International Service Association | Methods and systems for PKI-based authentication |
| US11218468B2 (en) * | 2018-03-06 | 2022-01-04 | T-Mobile Usa, Inc. | MSISDN request handling for identity fraud management |
| US11265324B2 (en) * | 2018-09-05 | 2022-03-01 | Consumerinfo.Com, Inc. | User permissions for access to secure data at third-party |
| US10936191B1 (en) * | 2018-12-05 | 2021-03-02 | Pure Storage, Inc. | Access control for a computing system |
| US11748744B2 (en) * | 2019-04-03 | 2023-09-05 | First Data Corporation | Source independent consistent tokenization |
| US11599623B2 (en) * | 2019-12-03 | 2023-03-07 | Aetna Inc. | Global identity for use in a hybrid cloud network architecture |
| US11509476B2 (en) * | 2020-02-12 | 2022-11-22 | Verizon Patent And Licensing Inc. | System and method for enabling secure service-based communications via 5G proxies |
| US11622276B1 (en) * | 2020-03-05 | 2023-04-04 | Cable Television Laboratories, Inc. | Systems and method for authentication and authorization in networks using service based architecture |
| US11658984B2 (en) * | 2020-04-24 | 2023-05-23 | Citrix Systems, Inc. | Authenticating access to computing resources |
| EP4154472A1 (en) * | 2020-05-19 | 2023-03-29 | Telefonaktiebolaget LM Ericsson (publ) | Technique for maintaining a subscription of a subscriber nf |
| CN116097691A (zh) * | 2020-07-31 | 2023-05-09 | 瑞典爱立信有限公司 | 服务请求处置 |
-
2021
- 2021-09-29 EP EP21199707.7A patent/EP3982615A1/en active Pending
- 2021-10-06 US US17/494,930 patent/US20220116400A1/en active Pending
- 2021-10-12 CN CN202111187437.7A patent/CN114339760A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101803276A (zh) * | 2007-09-21 | 2010-08-11 | 诺基亚西门子通信公司 | 预订和付款通知控制 |
| US20100229232A1 (en) * | 2007-09-21 | 2010-09-09 | Nokia Siemens Networks Oy | Subscription and device of charge control |
| CN109587187A (zh) * | 2017-09-28 | 2019-04-05 | 华为技术有限公司 | 用于调用网络功能服务的方法、装置和系统 |
| US20190251241A1 (en) * | 2018-02-15 | 2019-08-15 | Nokia Technologies Oy | Security management for service authorization in communication systems with service-based architecture |
| WO2020002764A1 (en) * | 2018-06-29 | 2020-01-02 | Nokia Technologies Oy | Security management for service access in a communication system |
| CN111107047A (zh) * | 2018-10-29 | 2020-05-05 | 华为技术有限公司 | 服务授权方法及通信装置 |
Non-Patent Citations (3)
| Title |
|---|
| 3RD GENERATION PARTNERSHIP PROJECT: "Security architecture and procedures for 5G system (Release 16)", 3GPP TS 33.501, 25 September 2020 (2020-09-25), pages 13 * |
| NOKIA, NOKIA SHANGHAI BELL: "S3-201802 "Re-using of access token in indirect communication with delegated discovery"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, 7 August 2020 (2020-08-07) * |
| NOKIA, NOKIA SHANGHAI BELL: "S3-202189 "Authorization of NF service access"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, 1 September 2020 (2020-09-01) * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3982615A1 (en) | 2022-04-13 |
| US20220116400A1 (en) | 2022-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3251324B1 (en) | Secure access to cloud-based services | |
| CN114339760A (zh) | 通信网络中的授权 | |
| CN111556006B (zh) | 第三方应用系统登录方法、装置、终端及sso服务平台 | |
| US10594695B2 (en) | Authentication arrangement | |
| EP2572527B1 (en) | Generic bootstrapping architecture usage with web applications and web pages | |
| CN104917721B (zh) | 基于oAuth协议的授权方法、装置和系统 | |
| WO2015196908A1 (zh) | 业务处理方法、终端、服务器及系统 | |
| US20120240211A1 (en) | Policy-based authentication | |
| US20160380999A1 (en) | User Identifier Based Device, Identity and Activity Management System | |
| US9954839B2 (en) | Systems and methods for providing distributed authentication of service requests by identity management components | |
| CN111212075A (zh) | 业务请求的处理方法、装置、电子设备及计算机存储介质 | |
| US11425636B1 (en) | Network function service subscription control | |
| CN114145031A (zh) | 在基于服务的架构中注册和请求服务 | |
| CN103685204A (zh) | 基于物联网资源共享平台的资源鉴权方法 | |
| CN113746633A (zh) | 物联网设备绑定方法、装置、系统、云服务器和存储介质 | |
| CN114189557A (zh) | 通信网络中的访问令牌的管理 | |
| US20220191028A1 (en) | Authorization of network request | |
| CN112087412B (zh) | 一种基于唯一令牌的服务访问处理方法及装置 | |
| KR101824562B1 (ko) | 인증 게이트웨이 및 인증 게이트웨이의 인증 방법 | |
| KR20230104257A (ko) | 데이터 정보 취득 방법들 및 장치들, 관련 디바이스, 및 매체 | |
| WO2021224545A1 (en) | Enhanced registration in communication networks | |
| US20230030315A1 (en) | Network Security | |
| WO2016165443A1 (zh) | 一种保护机器类通信设备的方法、网络实体及mtc设备 | |
| WO2021224544A1 (en) | Registration in communication networks | |
| CN114650142B (zh) | 5g消息身份认证方法、系统及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |