CN114785523A - 网络功能服务的身份校验方法及相关装置 - Google Patents

网络功能服务的身份校验方法及相关装置 Download PDF

Info

Publication number
CN114785523A
CN114785523A CN202210474465.5A CN202210474465A CN114785523A CN 114785523 A CN114785523 A CN 114785523A CN 202210474465 A CN202210474465 A CN 202210474465A CN 114785523 A CN114785523 A CN 114785523A
Authority
CN
China
Prior art keywords
token
network element
certificate
service
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210474465.5A
Other languages
English (en)
Other versions
CN114785523B (zh
Inventor
张博
李飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210474465.5A priority Critical patent/CN114785523B/zh
Publication of CN114785523A publication Critical patent/CN114785523A/zh
Application granted granted Critical
Publication of CN114785523B publication Critical patent/CN114785523B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供了网络功能服务的身份校验方法及装置,该方法包括:第二网元接收来自第一网元的网络功能(NF)服务请求;NF服务请求包括令牌(token),token包括第一证书信息;对第一证书信息进行校验,以确定第一证书信息所表征的身份和所述第一网元的身份是否一致;在确定第一证书信息所表征的身份和第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求。实施本申请能够实现在第一网元向第二网元请求服务的过程中校验该第一网元的身份合法性,提高服务安全性。

Description

网络功能服务的身份校验方法及相关装置
技术领域
本发明涉及通信技术领域,尤其涉及网络功能服务的身份校验方法及相关装置。
背景技术
随着第五代移动通信技术(5th-generation,简称:5G)的发展,在5G网络的核心网网络架构的演进过程中,提出了基于云和虚拟化技术、以网络功能(Network Function,NF)为中心的服务化网络架构,在该架构中,网元实现了硬软件的解耦,网元的软件部分被拆分成多个NF,所有NF位于全互通的网络拓扑中,通过模块化实现NF间的解耦和整合,各解耦后的网络功能独立扩容、独立演进、按需部署。控制面所有NF之间的交互采用服务化接口,同一种服务可以被多种NF调用,降低NF之间接口定义的耦合度,最终实现整网功能的按需定制,灵活支持不同的业务场景和需求。这种服务化网络架构有利于快速部署新的NF实现网络业务的创新。
网络功能仓储功能(NF Repository Function,NRF)是一种为NF提供服务的注册,发现和授权功能的网络功能。NF可通过在NRF上请求授权,获得服务对应的令牌(token),token 用来表明该NF具有查看或者操作相应的服务的权限,该NF根据这个token向另一NF(拥有该服务的NF)请求此项服务,所述另一NF校验token通过后,返回服务响应。
本申请的发明人在研究实践中发现,当攻击者窃取了一个合法的token后,也能够根据该token向另一NF获取此项服务,造成了安全隐患。
发明内容
本发明实施例提供了网络功能服务的身份校验方法及相关装置,能够实现在NF向另一NF获取服务的过程中校验该NF的身份合法性,提高服务安全性。
第一方面,本发明实施例提供一种网络功能服务的身份校验方法,从第二网元侧描述,该方法包括:第二网元接收来自第一网元的网络功能(NF)服务请求;所述NF服务请求包括令牌(token),所述token包括第一证书信息;所述第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;在确定所述第一证书信息所表征的身份和所述第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求。
第二方面,本发明实施例提供一种网络功能服务的身份校验方法,从第一网元侧描述,该方法包括:第一网元获取NF服务对应的令牌(token),所述token包括所述token的请求者的第一证书信息;第一网元发送NF服务请求至第二网元,所述NF服务请求包括所述token,所述token用于触发所述第二网元确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;在所述token的请求者和所述第二网元的身份不一致的情况下,所述第一网元接收来自所述第二网元的拒绝消息。
其中,第一证书信息所表征的身份即为token的请求者(即向NRF请求授权该token的网元实体)的身份。第一证书信息可以是根据token的请求者的证书生成的。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,第二网元可对token中携带的证书信息进行校验,进而确定token的请求者和第一网元的身份是否一致的,即确认token是否是安全合法的。所以,实施本发明实施例,能够实现在第一网元向第二网元发起服务请求的过程中校验网络功能服务消费者的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
基于第一方面或第二方面,在可能的实施例中,在确定所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,所述第二网元继续处理所述NF服务请求。具体的,在所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,所述第一网元接收来自所述第二网元的NF服务响应。可以看到,实施本发明实施例,在确保服务安全性的情况下,第一网元和第二网元的正常功能不会受到影响。
基于第一方面或第二方面,在可能的实施例中,所述第二网元对所述第一证书信息进行校验之前,还包括:所述第二网元根据所述第一网元的证书,生成第二证书信息;相应的,所述第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致,包括:所述第二网元检验所述第一证书信息与所述第二证书信息是否相同。也即是说,收到所述token后,所述第二网元触发进一步确定所述第一证书信息与第二证书信息是否相同。
在一些可能实施例,当第二网元与第一网元做双向认证(mutualauthentication)时,第一网元可向第二网元发送第一网元的证书。在又一些可能实施例,也可以在第一网元与第二网元做了双向认证之后,第一网元向第二网元发送第一网元的证书。在又一些可能实施例,也可以预先在第二网元中配置第一网元的证书,等等。
在一些可能实施例,第一证书信息是第二控制面网元(如NRF)生成的,第二控制面网元根据第一网元的证书生成的第一证书信息的方式和第二网元根据第一网元的证书生成第二证书信息的方式相同。
其中,第一网元可以是服务的消费者(可称为NF1)。第二网元可以是服务的提供者(可称为NF2)。
可以看到,发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得NF2既能校验token,又能通过本地保存NF1证书生成证书信息,来校验token中所携带的证书信息。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验 NF1的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
基于第一方面或第二方面,在可能的实施例中,所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识;所述第二网元检验所述第一证书信息与所述第二证书信息是否相同,包括:所述第二网元检验所述token的请求者的标识与所述第一网元的标识是否相同。也即是说,收到所述token后,所述第二网元触发进一步确定所述token的请求者的标识与所述第一网元的标识是否相同。
在可能的实施例中,所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型;所述第二网元检验所述第一证书信息与所述第二证书信息是否相同,包括:所述第二网元检验所述token的请求者的NF类型与所述第一网元的NF类型是否相同。也即是说,收到所述token后,所述第二网元触发确定所述token 的请求者的NF类型与所述第一网元的NF类型是否相同。
可以看到,发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得NF2既能校验token,又能通过本地保存NF1证书生成证书信息,来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1的NF类型是否合法。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
基于第一方面或第二方面,在可能的实施例中,所述第一网元为服务的请求者,所述第二网元为第一控制面网元(例如可以是SFSF);所述第一证书信息例如包括所述token的请求者的标识或NF类型;所述第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致,包括:所述第一控制面网元根据所述第一网元的证书,生成第四证书信息;所述第一控制面网元检验所述第一证书信息与所述第四证书信息是否相同;若检验结果为所述第一证书信息与所述第四证书信息相同,则确定所述token的请求者和所述第一网元的身份是一致的。
也即是说,收到所述token后,所述第二网元触发确定所述第一证书信息与第四证书信息是否相同。其中,所述第四证书信息是所述第一控制面网元根据所述第一网元的证书生成的。
在可能的实施例中,在确定所述token的请求者和所述第二网元的身份一致的情况下,所述第一控制面网元将所述NF服务请求转发至作为服务的提供者的网元。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得第一控制面网元能够提前用本地保存NF1证书来校验token中所携带的证书信息。如果合法才继续让NF2校验token,否则可以拒绝来自NF1的NF服务请求。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,又有利于节省NF2的功耗开销。
基于第一方面,在可能的实施例中,所述第一网元为所述token的请求者;相应的,所述第一网元获取NF服务对应的token,包括:所述第一网元向第二控制面网元发送token获取请求;所述第一网元接收所述第二控制面网元返回的token,所述token中的所述第一证书信息是所述第二控制面网元根据所述第一网元的证书生成的。
基于第一方面或第二方面,在可能的实施例中,token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的类型,期望的服务名称,有效期和第一证书信息。
本发明又一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的实例ID,期望的服务名称,有效期和第一证书信息。
基于第一方面或第二方面,在可能的实施例中,token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,第一证书信息,NF2的类型,期望的服务名称,有效期。
本发明又一些实施例中,claim中可包括NRF的实例ID,第一证书信息,NF2的实例ID,期望的服务名称,有效期。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,在token中利用证书信息替换掉NF1的实例ID,从而能够维持token中的参数个数不变,从而能够节省数据开销,提升对现有架构的适用性。
基于第一方面或第二方面,在可能的实施例中,也可在NRF预先已保存NF1的实例ID与NF1的第三证书信息之间的映射关系,实现证书和token的绑定,使得NF2既能校验token,又能调用NRF进行校验第二证书信息和token中的token请求者的实例ID是否满足该映射关系,从而确认NF1的身份和/或NF1的NF类型是否合法。
基于第一方面或第二方面,在可能的实施例中,也可通过使NRF预先已保存NF1的实例ID与NF1的第三证书信息之间的映射关系,实现证书和token的绑定,使SFSF提前调用NRF校验第四证书信息和token中的token请求者的实例ID是否满足该映射关系,从而确认NF1的身份和/或NF1的NF类型是否合法。如果合法才继续让NF2校验token,否则可以拒绝来自NF1的NF服务请求。
基于第一方面或第二方面,在可能的实施例中,在身份校验中也可能同时存在两种(或两种以上)的身份校验,例如可能同时校验NF1的实例ID和校验证书信息,又例如可能同时校验NF1的NF类型和校验证书信息。
基于第一方面或第二方面,在可能的实施例中,在身份校验中除了token的校验外,还可以包括更多类型的验证,比如对数字签名(Sign)的校验。
第三方面,本发明实施例提供了一种装置,包括:通信模块,用于接收来自第一网元的网络功能(NF)服务请求;所述NF服务请求包括令牌(token),所述token包括第一证书信息;校验模块,用于对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;处理模块,用于在确定所述第一证书信息所表征的身份和所述第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求。
该装置可用于实现第一方面任一实施例所描述的方法。
第四方面,本发明实施例提供了又一种装置,包括:通信模块,用于获取NF服务对应的令牌(token),所述token包括所述token的请求者的第一证书信息;所述通信模块还用于,发送NF服务请求至第二网元,所述NF服务请求包括所述token,所述token用于触发所述第二网元确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;所述通信模块还用于,在所述token的请求者和所述第二网元的身份不一致的情况下,接收来自所述第二网元的拒绝消息。
该装置可用于实现第二方面任一实施例所描述的方法。
第五方面,本发明实施例提供一种硬件设备,所述设备包括处理器、存储器和通信接口,所述处理器、存储器和通信接口可通过总线连接或耦合在一起;其中:所述存储器用于存储数据和程序指令;所述通信接口用于实现与外界设备通信;所述处理器用于调用程序指令,以实现如第一方面任一实施例所描述的方法。
第六方面,本发明实施例提供又一种硬件设备,所述设备包括处理器、存储器和通信接口,所述处理器、存储器和通信接口可通过总线连接或耦合在一起;其中:所述存储器用于存储数据和程序指令;所述通信接口用于实现与外界设备通信;所述处理器用于调用程序指令,以实现如第二方面任一实施例所描述的方法。
第七方面,本发明实施例提供了一种非易失性计算机可读存储介质;所述计算机可读存储介质用于存储第一方面所述方法的实现代码。所述程序代码被计算设备执行时,所述计算设备用于第一方面任一实施例所述方法。
第八方面,本发明实施例提供了又一种非易失性计算机可读存储介质;所述计算机可读存储介质用于存储第二方面所述方法的实现代码。所述程序代码被计算设备执行时,所述用户设备用于第二方面任一实施例所述方法。
第九方面,本发明实施例提供了一种计算机程序产品;该计算机程序产品包括程序指令,当该计算机程序产品被计算设备执行时,执行前述第一方面任一实施例所述方法。
第十方面,本发明实施例提供了一种计算机程序产品;该计算机程序产品包括程序指令,当该计算机程序产品被计算设备执行时,执行前述第二方面任一实施例所述方法。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,第二网元可对token中携带的证书信息进行校验,进而确定token的请求者和第一网元的身份是否一致的,即确认token是否是安全合法的,进一步地,确定第一网元的标识和/或第一网元的NF类型是否合法。所以,实施本发明实施例,能够实现在网络功能服务消费者向网络功能服务提供者请求服务的过程中校验网络功能服务消费者的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
附图说明
为了更清楚地说明本发明实施例或背景技术中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
图1为一种公共陆地移动网络的网络切片及不同网络切片的网络功能的分布示意图;
图2为本发明实施例涉及的一种系统架构图;
图3为本发明实施例涉及的又一种系统架构图;
图4为网络功能服务的身份校验方法;
图5为本发明实施例的一种网络功能服务的身份校验方法的流程示意图;
图6为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图7为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图8为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图9为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图10为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图11为本发明实施例的一种设备的结构示意图;
图12为本发明实施例的一种装置的结构示意图;
图13为本发明实施例的又一种装置的结构示意图;
图14为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图15为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图16为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图17为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图18为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图19为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图20为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图21为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图。
具体实施方式
下面结合本发明实施例中的附图对本发明实施例进行描述。本发明的实施方式部分使用的术语仅用于对本发明的具体实施例进行解释,而非旨在限定本发明。
在5G通信系统中,提出了基于服务的架构(Service Based Architecture,SBA),SBA 基于云原生构架设计,借鉴了IT领域的“微服务(Micro Service)”理念。微服务就是指将单体式应用程序(Monolithic)拆分为多个粒度更小的微服务,微服务之间通过API交互,且每个微服务独立于其他服务进行部署、升级、扩展,可在不影响客户使用的情况下频繁更新正在使用的应用。基于这样的设计理念,SBA包括了网络功能服务(Network FunctionService,NFS)和基于服务的接口(如串行外设接口(Serial Based Interface,SBI))。网元的软件功能转换为网络功能(NF)后,NF再被分解为多个模块化的NFS,每个NFS都具有独立自治的特点,并通过基于服务的接口来展现其功能,因此NFS可以被授权的NF灵活使用。示例性地,以AMF网元为例,AMF可包括4个NFS,分别是Namf_Communication, Namf_EventExposure,Namf_MT,Namf_Location。
5G中的网络切片是指支持特定通信业务需求的逻辑网络功能实例的集合。网路切片最终实现接入网(Residential Access Network,RAN)与核心网的NF实例之间的动态连接,配置端到端的业务链,实现灵活组网,从而实现网络可定制化的服务。运营商可以根据各个具体通信业务对容量、覆盖、速率、时延以及可靠性等关键性能指标的需求确定网络切片,网络切片包括NF实例集合和运行这些NF实例所需的网络资源,从而为用户提供所需的电信服务业务和网络能力服务,满足特定的市场场景以及需求。
参见图1,图1为一种公共陆地移动网络(Public Land Mobile Network,PLMN)的网络切片及不同网络切片的NF的分布示意图,如图1所示,用户设备通过无线接入网节点接入PLMN,PLMN被切分为三个网络切片,每个网络切片包含一组特定功能的NF,一个 NF由一个或多个NFS组成,位于不同网络切片的NF1可为同一种类型的NF(如图示中网络切片A中的NF1和网络切片B中的NF1的类型相同),位于不同网络切片的NF2可为同一种类型的NF(如图示中网络切片A中的NF2和网络切片B中的NF2的类型相同)。位于不同网络切片的NF之间可以是相互隔离的,即便它们是同一种类型的NF。此外,也可以存在需要在多个网络切片之间共享的NF(如图1中的NF3)。
每个网络切片所包含的NF中,NF(或NFS)可以作为网络功能服务提供者(NFservice producer),提供应用程序编程接口(Application Programming Interface,API)供其他NF调用;NF(或NFS)也可以作为网络功能服务消费者(NF service consumer),调用其他NF 的API。
举例来说,网络功能服务消费者(如记为NF1)可以为AUSF类型,网络功能服务提供者(如记为NF2)可以为UDM类型。NF1向NF2请求的一个服务可以为“Nudm_UEAuthentication_Get service operation”,这个服务需要NRF的授权。通过这个服务,NF1可以从NF2获得UE的认证向量。
本文中,网络功能服务消费者又可简称为服务的请求者,网络功能服务提供者又可简称为服务的提供者。此外,向NRF请求令牌(token)的NF(或NFS)又可称为token的请求者。
本发明提供的技术方案可以应用于5G通信系统或者LTE系统等移动通信系统,或者其他授权相关的系统中,主要应用于以NF为中心的服务化网络架构下,不同NF之间进行服务交互授权的场景。下文主要以5G通信系统为例进行方案的描述,需了解的是,本发明的技术思想也可以应用在其他通信系统中。
参见图2,图2为本申请提供的一种网络架构示意图,该网络架构包括用户设备、接入网设备和运营商网络(如5G网络系统),运营商网络又包括核心网和数据网,用户设备通过接入网节点接入运营商网络。具体描述如下:
用户设备(User Equipment,UE),UE为逻辑实体,具体的,UE可以是终端设备(Terminal Equipment)、通信设备(Communication Device)、物联网(Internet ofThings,IoT)设备中的任意一种。其中,终端设备可以是智能手机(smart phone)、智能手表(smart watch),智能平板(smart tablet)等等。通信设备可以是服务器、网关(Gateway,GW)、控制器等等。物联网设备可以是传感器,电表以及水表等等。
无线接入网(Radio Access Net,RAN),RAN负责UE的接入,RAN可以是基站、无线保真(Wireless Fidelity,Wi-Fi)接入点、以及蓝牙接入点等等。
数据网络(Data network,DN),数据网络DN也被称为PDN(Packet Data Network)DN 可以为运营商外部网络,也可以为运营商控制的网络,用于向用户提供业务服务。
核心网(core network,CN),CN作为承载网络提供到DN的接口,为UE提供通信连接、认证、管理、策略控制以及对数据业务完成承载等。其中,CN又包括:接入和移动管理网元、会话管理网元,认证服务器网元、策略控制节点、应用功能网元、用户面节点等,相关描述具体如下:
接入与移动管理功能(Access and Mobility Management Function,AMF),由运营商提供的控制面网元,负责UE接入运营商网络的接入控制和移动性管理。
会话管理功能(Session Management Function,SMF),由运营商提供的控制面网元,负责管理UE的数据包的会话。
认证服务器功能(Authentication Server Function,AUSF),认证服务器功能网元AUSF 是由运营商提供的控制面网元,可用于运营商网络对网络签约用户的认证。
统一数据管理网元(Unified Data Manager,UDM),由运营商提供的控制面网元,负责存储运营商网络的签约用户持久标识(Subscriber Permanent Identifier,SUPI)、注册信息、信任状(credential)、签约数据等。
网络暴露功能(Network Exposure Function,NEF),NEF是由运营商提供控制面网元。NEF以安全的方式对第三方暴露运营商网络的对外接口。
应用功能(Application Function,AF):用于存储业务安全需求,提供策略判定的信息。
用户面节点功能(User Plane Function,UPF):UPF可以是网关、服务器、控制器、用户面功能网元等。UPF可以设置在运营网内部,也可以设置在运营网外部。UPF是由运营商提供的用户面网元,是运营商网络与DN通信的网关。
网络功能仓储功能(NF Repository Function,NRF),NRF负责NF自动化管理、选择和可扩展,具体包括NFS注册登记、发现、状态监测、服务的授权等,实现网络功能和服务的按需配置及NF间的互连。NF上电时主动向NRF报备自身NFS的信息,并且能够通过NRF寻找合适的对端NFS。每个网络功能服务消费者(NF service consumer)都需要在 NRF实体上进行注册,以获得服务对应的token。在本发明可能的实施例中,NRF还可以用于校验NF的证书信息与NF实例ID之间的映射关系,或者用于NF的证书信息与NF 类型之间的映射关系。在具体的实现中,NRF例如可以是网元、控制器或服务器等功能实体。
其中,N1、N2、N3、N4和N6为相应网元之间的接口。
本发明实施例中的NF可以是NEF、PCF、UDM、AF、AUSF、AMF、SMF、或UPF 中的网络功能,甚至在可能的实现中,NF还可能是UE、RAN或DN中的网络功能。在具体的实现中,NF也可以为终端、基站、网元、控制器或服务器等功能实体。
其中,各NF的API包括:AMF服务化接口(Service-based interface exhibited byAMF, Namf)、SMF服务化接口(Service-basedinterface exhibited by SMF,Nsmf)、NEF服务化接口 (Service-based interface exhibited by NEF,Nnef)、NRF服务化接口(Service-based interface exhibited by NRF,Nnrf)、PCF服务化接口(Service-basedinterface exhibited by PCF,Npcf)、 UDM服务化接口(Service-based interfaceexhibited by UDM,Nudm)、AUSF服务化接口 (Service-based interface exhibited byAUSF,Nausf)、AF服务化接口(Service-based interface exhibited by AF,Naf)等不做限制。
在上述网络架构下,网络功能服务消费者(NF service consumer)和网络功能服务提供者(NF service producer)之间可根据相关接口直接进行通信交互(服务交互)。
参见图3,图3为本申请提供的又一种网络架构示意图,该网络架构包括用户设备、接入网设备和运营商网络,运营商网络又包括核心网和数据网,用户设备通过接入网节点接入运营商网络。图3所示网络架构与图2所示网络架构的区别主要在于,在图3所示网络架构中,除了图2所示的网元外,还包括服务架构支撑功能(Service Framework SupportFunction,SFSF)。
SFSF主要用于支持注册、发现、授权、转发、校验等功能的至少一项,不同的NF之间可通过SFSF实现通信交互(服务交互)。例如可以支持转发和校验等等。一些应用场景中,SFSF也可能叫做SeCoP或者服务通信代理(service communication proxy,SCP)。本发明实施例中,SFSF主要用于执行服务通信的转发和代理校验。可能的实施例中,SFSF 可以用于校验证书信息,或用于校验NF的证书信息与NF实例ID之间的映射关系,或者用于NF的证书信息与NF类型之间的映射关系。在具体的实现中,SFSF实体例如可以是网元、控制器或服务器等实体。
在上述网络架构下,网络功能服务消费者(NF service consumer)和网络功能服务提供者(NF service producer)之间需通过SFSF进行通信交互(服务交互)。
首先参见图4,图4是本发明实施例提供的一种网络功能服务的身份校验方法的流程示意图,该方法包括但不限于以下步骤:
S1:第一网元获取NF服务对应的令牌(token),所述token包括所述token的请求者的第一证书信息;
具体的,第一网元可向第二控制面网元发送token获取请求;所述第二控制面网元根据所述第一网元的证书生成的第一证书信息,并将第一证书信息携带于token。所述第二控制面网元向第一网元发送token获取响应,token获取响应中包括该token。
本发明实施例中,第一网元可以是具有一定功能的网元实体,比如NF(或NFS),具体实施例中,第一网元可以是网络功能服务消费者(NF service consumer),即作为服务(service)的请求者。在其他场景中,第一网元也可以为终端,基站,核心网网元,控制器或服务器等实体,这里不做限制。为描述方便,后续主要以第一网元为NF(或NFS)为例进行描述。
本发明实施例中,第二控制面网元为用于注册登记、服务授权的功能实体,负责对第一网元的控制。具体实施例中,第二控制面网元可以为NRF。在其他场景中,也可以为终端,基站,核心网网元,控制器或服务器等实体,这里不做限制。为描述方便,后续主要以第一网元为NRF为例进行描述。
S2:第一网元发送NF服务请求给第二网元;所述NF服务请求包括令牌(token),所述token包括所述token的请求者的第一证书信息。
本发明实施例中,第二网元可以是具有一定功能的网元实体,比如NF(或NFS),具体实施例中,第二网元可以是网络功能服务提供者(NF service producer),即作为服务(service)的提供者。在其他场景中,第二网元也可以为终端,基站,核心网网元,控制器或服务器等实体,这里不做限制。为描述方便,当第二网元为服务的提供者时,主要以第二网元为NF(或NFS)为例进行描述。这种情况下,第一网元通过NF服务请求向第二网元请求相应的服务。
本发明实施例中,第二网元也可以是控制面网元(可称为第一控制面网元),第一控制面网元为可用于对第一网元的进行数据转发、身份校验等等。具体实施例中,第一控制面网元可以为SFSF。在其他场景中,也可以为终端,基站,核心网网元,控制器或服务器等实体,这里不做限制。为描述方便,后续主要以第一控制面网元为SFSF为例进行描述。这种情况下,第一网元向第一控制面网元发送NF服务请求后,第一控制面网元可用于根据token进行第一网元身份的校验,还可用于在第一网元和服务提供者之间进行消息的传递。
S3:第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致。
其中,第一证书信息所表征的身份即为token的请求者(即向NRF请求授权该token的网元实体)的身份。
本发明实施例中,第一网元可能是NF服务请求中的token的请求者,也可能不是该token的请求者。为了确保token的请求者和第一网元是同一个网元,避免token是被窃取而来的,第二网元根据第一证书信息对第一网元的身份进行校验,以确定所述token的请求者和所述第一网元的身份是否一致。
当所述第二网元是服务的提供者时,所述第二网元可根据所述第一网元的证书生成第二证书信息,检验所述第一证书信息与所述第二证书信息是否相同。例如,当所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识,那么可检验所述token的请求者的标识与所述第一网元的标识是否相同。又例如,当所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的 NF类型,那么可检验所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
当所述第二网元是第一控制面网元时,所述第一控制面网元可根据所述第一网元的证书生成第四证书信息,检验所述第一证书信息与所述第四证书信息是否相同(如标识或类型是否相同)。
当不同的证书信息之间内容相同,或当不同的证书信息之间的NF标识或NF类型相同,那么可认为所述token的请求者和所述第一网元的身份是一致的,此时token是安全合法的。
当不同的证书信息之间内容不相同,或当不同的证书信息之间的NF标识或NF类型不相同,那么可认为所述token的请求者和所述第一网元的身份是不一致的,此时token可能是不安全不合法的。
S4:在确定所述第一证书信息所表征的身份和所述第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求,例如第二网元向所述第一网元发送拒绝消息,第二网元丢弃所述NF服务请求。
S5:在确定所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,所述第二网元继续处理所述NF服务请求。
在确定所述token的请求者和所述第二网元的身份一致的情况下,所述第二网元继续处理所述NF服务请求。
例如,当所述第二网元是服务的提供者时,第二网元可以继续校验token,以及校验通过后执行相应的服务,向第一网元返回NF服务响应等等。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,第二网元可对token中携带的证书信息进行校验,进而确定token的请求者和第一网元的身份是否一致的,即确认token是否是安全合法的,进一步地,确定NF1的标识和/或NF1的NF类型是否合法。所以,实施本发明实施例,能够实现在网络功能服务消费者向网络功能服务提供者请求服务的过程中校验网络功能服务消费者的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
基于上文的系统架构和相关描述,本发明实施例进一步提供了一些网络功能服务的身份校验方法。
本文中为了便于区分,可将NF1发送给NF2的token中携带的证书信息称为第一证书信息,可将NF2根据NF1的证书生成的证书信息称为第二证书信息,可将NRF根据NF1 的证书生成的证书信息称为第三证书信息,将SFSF根据NF1的证书生成的证书信息称为第四证书信息。第二证书信息和第三证书信息可以是一致的;但是第一证书信息和第二证书信息可能是一致的,也可能是不一致的;第一证书信息和第三证书信息可能是一致的,也可能是不一致的。同理,第四证书信息和第三证书信息可以是一致的;但是第一证书信息和第四证书信息可能是一致的,也可能是不一致的。
此外,本文中可将证书内NF1的标识称为NF1的第二标识,将token中NF1的实例ID称为NF1的第一标识。第一标识与第二标识不相同。
参见图5,图5是本发明实施例提供的一种网络功能服务的身份校验方法的流程示意图,该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF申请并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。
NF1向NRF申请并获得服务对应的token的过程可包括但不限于S1-S4,描述如下:
S1:NRF获取并保存NF1的证书。
本发明实施例中,证书是对于NF身份的证明,证书可以由证书中心分发。具体的,对于NF1的证书,可包括NF1的标识,还可能包括NF1的NF类型。证书内NF1的标识 (即第二标识)可以是NF1的唯一标识,例如可以为NF1的NAI地址、FQDN地址、IP 地址、或设备号等等。
具体的,在一些可能实施例,当NF1向NRF注册时,可以在注册信息中携带NF1的证书。这样,NRF收到注册信息后,可获得并NF1的证书并保存在NRF本地。
在又一些可能实施例,当NF1与NRF做双向认证(mutual authentication)时,NF1可向NRF发送NF1的证书,相应的,NRF收到NF1的证书并保存在NRF本地。
在又一些可能实施例,也可以在NF1与NRF做了双向认证之后,NF1发送NF1的证书给NRF。
在又一些可能实施例,也可以预先在NRF中配置NF1的证书。
此外,NRF还可能通过其他方式获得NF1的证书,本发明不做限制。
S2:NF1发送token获取请求至NRF。
在一些可能的实施例中,该token获取请求可包括:NF1的实例ID(NF Instance Id(s)of the NF service consumer),期望的服务名称(expected NF service name(s)),期望的NF2的 NF类型,有效期(expiration time),NF1的NF类型(NF type of the NFService producer)。本文中NF类型用于指示某一类功能的网元。举例来说,NF1的NF类型可以是AMF类型、 SMF类型、UDM类型等等,本文不做限定。
在一些可能的实施例中,该token获取请求可包括:NF1的实例ID,期望的服务名称, NF2的实例ID。
可选的,token获取请求中还可以包括NF1的证书的相关信息,例如以下的至少一项 NF1的证书本身,或者NF1的证书中NF1的标识,或者NF1的证书中NF1的类型。相应的,NRF获得NF1的证书的相关信息。
S3:NRF基于S1所获得的NF1的证书计算token。可选的,NRF还可以基于S2所获得的NF1的证书的相关信息计算token。token用来表明NRF授权该NF1拥有查看或者操作相应的服务的权限。
具体的,NRF可基于本地策略,计算token。此外,NRF还可能对token进行加密,和 /或,还可能基于数字签名或者消息验证码的方式完整性保护此token。此处token的计算不做限制。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID(NF Instance Id of NRF),NF1实例ID,NF2的类型,期望的服务名称,有效期和第三证书信息。
本发明又一些实施例中,claim中可包括NRF的实例ID,NF1的实例ID,NF2的实例ID,期望的服务名称,有效期和第三证书信息。
其中,一些实施例中,上述第三证书信息可以为NF1的证书本身。又一些实施例中,上述第三证书信息也可以为对于NF1的证书进行操作而得到的信息,例如普通的映射处理,或者哈希(hash)函数方式的处理等。映射处理就是采用一种既定规则,将NF1的证书执行一种函数映射的操作。哈希处理即为采用哈希算法或者哈希算法类型的算法处理,输出一个定长的参数,此时参数可以理解为处理前参数的摘要。
又一些实施例中,上述第三证书信息也可以为NF1的证书中NF1的标识(即第二标识)。又一些实施例中,上述第三证书信息也可以为对于证书中NF1的标识进行哈希处理而得到的信息。
又一些实施例中,上述第三证书信息也可以为证书中NF1的NF类型。又一些实施例中,上述第三证书信息也可以为对于证书中NF1的NF类型进行哈希处理而得到的信息。
S4:NRF发送token获取响应至NF1,所述token获取响应中携带token。
可选实施例中,NF1收到该token,还可以根据NF1本地保存的证书校验token中的第三证书信是否正确。
可选实施例中,如果token是密文的形式,这时候NF1可能会读取token内的第三证书信息失败,所以NRF还可以发送token获取响应的同时还发送token中的第三证书信息给NF1,NF1收到该第三证书信息后,根据NF1本地保存的证书来校验token中的第三证书信息是否正确。
若上述校验结果为正确,那么NF1可采用该token执行后续方法流程。
若上述校验结果为错误,那么NF1还可以发送第三证书信息错误的指示或者错误消息至NRF。所示错误消息指示第三证书信息校验失败
NF1与NF2进行通信交互的过程可包括但不限于S5-S8(S8包括S8-1和S8-2),描述如下:
S5:NF2获得NF1的证书。
在一些可能实施例,当NF1与NF2做双向认证(mutual authentication)时,NF1可向 NF2发送NF1的证书,相应的,NF2收到NF1的证书并保存在NF2本地。
在又一些可能实施例,也可以在NF1与NRF做了双向认证之后,NF1发送NF1的证书给NF2。
在又一些可能实施例,也可以预先在NF2中配置NF1的证书。
此外,NF2还可能通过其他方式获得NF1的证书,本发明不做限制。
还需要说明的是,本发明并不限定S5与前述S1-S4中的任一步骤之间的先后顺序。
S6:NF1发送NF服务请求(或称业务请求)至NF2,NF服务请求中包括token。相应的,NF2接收所述NF服务请求。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的类型,期望的服务名称,有效期和第一证书信息。
本发明又一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的实例ID,期望的服务名称,有效期和第一证书信息。
S7:NF2校验token中的第一证书信息。
一些实施例中,可以先获取token中的第一证书信息并校验第一证书信息,校验通过的情况下再继续校验token的其他内容。
又一些实施例中,也可以先校验token的其他内容,校验通过的情况下再继续校验token。
其中,NF2校验token中的第一证书信息的方法可以是:NF2可采用与NRF相同的方式,根据自己本地保存的NF1的证书,计算得到第二证书信息。然后,校验第二证书信息与token中的第一证书信息是否相同,例如校验两者各自包含的NF1的第二标识是否相同,又例如校验两者各自包含的NF1的类型是否相同。若相同则校验第一证书信息通过,这说明token的请求者和服务的请求者是同一个NF(即该NF1)。否则校验第一证书信息不通过,说明token的请求者和服务的请求者可能并不是同一个NF(如token可能是窃取的)。
其中,NF2校验token中的其他内容的方法可以是以下一种或多种:校验数字签名或者消息验证码的正确性;校验NF2的类型是否与token中NF2的类型一致;校验NF2的实例ID与token中NF2的实例ID是否一致;校验NF1请求的服务名称是否属于token中期望的服务名称范围;根据当前时间校验token中的有效期确定是否过期,等等不做限制。
当上述校验token和校验token中的其他内容皆通过时,后续执行S8-1。
当上述校验token和校验token中的其他内容至少一个不通过时,后续执行S8-2。
S8-1:NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S8-2:可选的,NF2可发送错误响应至NF1。更进一步的,此错误响应可以包括错误指示,所述错误指示例如可用于指示NF1的第二标识或者NF1的类型校验不通过。
可选的,NF2可发送拒绝消息至NF1,拒绝消息用于表示NF2拒绝NF1的所述NF服务请求。
可选的,NF2也可直接丢弃所述NF服务请求。
现有技术中,由于证书中NF1的ID与token中的NF1实例ID不一样。NF2校验NF1 发送的token时也没法校验NF1的身份。所以NRF或者NF2均无法确定申请token的NF 和向NF2请求服务的NF是否为同一NF。
而本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得NF2 既能校验token,又能通过本地保存NF1证书来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1的NF类型是否合法。所以,实施本发明实施例能够实现在NF1 向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取token 之类的安全隐患。
更进一步的,针对本发明所有实施例的重点为生成token中如何包含证书信息,如何生成token,以及如何验证证书信息。对于token中其他参数的写入,以及校验,不做限制。本发明仅给出可能的其他参数的方式,用于实施例的完整表述。
参见图6,图6是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF请求并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。图6实施例与图5实施例所示方法的主要区别在于,图5实施例的token中同时包括NF1的实例ID和第一证书信息,图6实施例直接将token中的NF1的实例ID替换为第一证书信息。简要描述如下。
NF1向NRF申请并获得服务对应的token的过程可包括但不限于S1-S4,描述如下:
S1:NRF获取并保存NF1的证书。相关内容可参考图5实施例的S1的描述,这里不再赘述。
S2:NF1发送token获取请求至NRF。相关内容可参考图5实施例的S2的描述,这里不再赘述。
S3:NRF基于S1所获得的NF1的证书计算token。
具体的,NRF可基于本地策略,计算token。此外,NRF还可能对token进行加密,和 /或,还可能基于数字签名或者消息验证码的方式完整性保护此token。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID(NF Instance Id of NRF),第三证书信息,NF2的类型,期望的服务名称,有效期。
本发明又一些实施例中,claim中可包括NRF的实例ID,第三证书信息,NF2的实例ID,期望的服务名称,有效期。
同理,一些实施例中,上述第三证书信息可以为NF1的证书本身。又一些实施例中,上述第三证书信息也可以为对于NF1的证书进行哈希(hash)处理而得到的信息。又一些实施例中,上述第三证书信息也可以为NF1的证书中NF1的标识(即第二标识)。又一些实施例中,上述第三证书信息也为对于证书中NF1的标识进行哈希处理而得到的信息。又一些实施例中,上述第三证书信息也可以为证书中NF1的NF类型。又一些实施例中,上述第三证书信息也可以为对于证书中NF1的NF类型进行哈希处理而得到的信息。
S4:NRF发送token获取响应至NF1,所述token获取响应中携带token。相关内容可参考图5实施例的S4的描述,这里不再赘述。
NF1与NF2进行通信交互的过程可包括但不限于S5-S8,详细内容同理可参考图5实施例S5-S8的描述。其中:
S5:NF2获得NF1的证书。
S6:NF1发送NF服务请求至NF2,NF服务请求中包括token。相应的,NF2接收所述NF服务请求。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,第一证书信息,NF2的类型,期望的服务名称,有效期。
本发明又一些实施例中,claim中可包括NRF的实例ID,第一证书信息,NF2的实例ID,期望的服务名称,有效期。
S7:NF2校验token中的第一证书信息。
S8-1:NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S8-2:可选的,发送错误响应至NF1,用来告知NF1,token中证书信息校验失败。
可选的,NF2可发送拒绝消息至NF1,拒绝消息用于表示NF2拒绝NF1的所述NF 服务请求。
可选的,NF2也可直接丢弃所述NF服务请求。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得NF2既能校验token,又能通过本地保存NF1证书来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1的NF类型是否合法。而且,在token中利用证书信息替换掉NF1的实例ID,从而能够维持token中的参数个数不变,从而能够节省数据开销,提升对现有架构的适用性。实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验 NF1的身份合法性,提高服务安全性。
参见图7,图7是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF申请并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。图7实施例与图5实施例所示方法的主要区别在于,图5实施例中NF2本地生成第二证书信息来校验token中的第一证书信息,而图7实施例中NRF保存了NF1的第三证书信息与NF1的实例ID之间的映射关系,NF2需向NRF请求校验NF2所生成的第二证书信息和token中的token请求者的实例ID(这里的token请求者可能是NF1,也可能不是 NF1)是否满足映射关系。具体描述如下。
NF1向NRF申请并获得服务对应的token的过程可包括但不限于S1-S5,描述如下:
S1:NRF获取并保存NF1的证书。
具体实施例中,NF1在NRF注册时,向NRF发送注册信息,注册信息携带NF1的证书。或者,NF1与NRF做双向互认证的时候,NRF会获得NF1的证书。或者,NF1与NRF 做了双向认证之后,NF1发送自己的证书给NRF。或者,NRF预置了NF1的证书。关于 NRF获取NF1的证书的方式不做限制。
S2:NRF本地保存NF1的实例ID与第三证书信息之间的映射关系。
具体的,NF1在NRF注册时,会在注册信息中携带NF1的实例ID至NRF,从而使 NRF获得NF1的实例ID。NRF根据NF1的证书获得第三证书信息,并在本地保存NF1的实例ID与第三证书信息之间的映射关系。或者本地配置了NF1的实例ID等获取方式不做限制。
其中,一些实施例中,上述第三证书信息可以为NF1的证书本身。又一些实施例中,上述第三证书信息也可以为对于NF1的证书进行哈希(hash)处理而得到的信息。
又一些实施例中,上述第三证书信息也可以为NF1的证书中NF1的标识(即第二标识)。又一些实施例中,上述第三证书信息也可以为对于证书中NF1的标识进行哈希处理而得到的信息。
又一些实施例中,上述第三证书信息也可以为证书中NF1的NF类型。又一些实施例中,上述第三证书信息也可以为对于证书中NF1的NF类型进行哈希处理而得到的信息。
S3:NF1发送token获取请求至NRF,可选的,token获取请求中还可以包括NF1的证书的相关信息。具体内容可参考图5实施例S2的描述,这里不再赘述。
S4:NRF基于现有的方式计算token。需要说明的是,这里的token可不包括第三证书信息。
具体的,NRF可基于本地策略,计算token。此外,NRF还可能对token进行加密,和 /或,还可能基于数字签名或者消息验证码的方式完整性保护此token。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,NF1的实例ID,NF2的类型,期望的服务名称和有效期。
本发明又一些实施例中,claim中可包括NRF的实例ID,NF1的实例ID,NF2的实例ID,期望的服务名称和有效期。
可选的,假如NRF没有在S2中保存有NF1实例ID与第三证书信息的映射关系,此时NRF也可以根据S3中NF1发送的NF1的证书的相关信息,建立NF1实例ID与第三证书信息之间的映射关系。
S5:NRF发送token获取响应至NF1,所述token获取响应中携带token。具体内容可参考图5实施例S4的描述,这里不再赘述。
NF1与NF2进行通信交互的过程可包括但不限于S6-S12(S12包括S12-1和S12-2),描述如下:
S6:NF2获得NF1的证书。具体内容可参考图5实施例S5的描述,这里不再赘述。
S7:NF1发送NF服务请求至NF2,NF服务请求中包括token。相应的,NF2接收所述NF服务请求。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的类型,期望的服务名称,有效期和第一证书信息。
本发明又一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的实例ID,期望的服务名称,有效期和第一证书信息。
S8:NF2按照已有技术校验token。
例如,NF2校验token的方法可以是以下一种或多种:校验数字签名或者消息验证码的正确性;校验NF2的类型是否与token中NF2的类型一致;校验NF2的实例ID与token 中NF2的实例ID是否一致;校验NF1请求的服务名称是否属于token中期望的服务名称范围;根据当前时间校验token中的有效期确定是否过期,等等。
S9:NF2根据NF1的证书计算第二证书信息,并发送token中token请求者的实例ID和第二证书信息至NRF。第二证书信息的计算方式可参考第一证书信息/第三证书信息的计算方式,这里不再赘述。
S10:NRF根据已保存的NF1的实例ID与NF1的第三证书信息之间的映射关系,确定从NF2接收到的token请求者的实例ID和第二证书信息是否满足该映射关系。如果满足,则代表校验通过。如果不满足,则代表校验不通过。
S11:若S10的校验通过,NRF发送校验结果至NF2,该校验结果用于指示校验通过。
需要说明的是,若S10的校验不通过,NRF发送校验结果至NF2,该校验结果用于指示校验不通过。该校验结果还可能直接表示token请求者的实例ID校验不通过。
S12-1:在S8的校验通过,且S10的校验结果指示校验通过的情况下,NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S12-2:可选的,若S8的校验和S10的校验中至少一个不通过时,NF2发送错误响应至NF1。更进一步的,此错误响应可以包括错误指示,所述错误指示例如可用于指示token请求者的实例ID不通过。
可选的,若S8的校验和S10的校验中至少一个不通过时,NF2可发送拒绝消息至NF1,拒绝消息用于表示NF2拒绝NF1的所述NF服务请求。
可选的,若S8的校验和S10的校验中至少一个不通过时,NF2也可直接丢弃所述NF服务请求。
需要说明的是,在其他的实施方案中,也可能先执行证书信息的验证,之后再验证token。即S8在S11之后执行。
需要说明的是:若上述NF2发送的第二证书信息,与NRF保存的第三证书信息不同。那么NRF获得了NF2发送的第二证书信息,且NRF保存有NF1的证书的hash的情况下, NRF可以通过安全处理第二证书信息(例如,利用hash处理第二证书信息),使得第二证书信息和第三证书信息相同。
需要说明的是,在一些变形的方案中,也可以设计NRF预先已保存的NF1的NF类型与NF1的第三证书信息之间的映射关系,设计token中携带有token请求者的NF类型,从而能确定从NF2接收到的token请求者的NF类型和第二证书信息是否满足映射关系。如果满足,则代表校验通过。如果不满足,则代表校验不通过。具体内容可参考图7实施例的上述过程实现,这里不再赘述。
可以看到,本发明实施例中通过使NRF预先已保存NF1的实例ID与NF1的第三证书信息之间的映射关系,实现证书和token的绑定,使得NF2既能校验token,又能调用 NRF进行校验第二证书信息和token中的token请求者的实例ID是否满足该映射关系,从而确认NF1的身份和/或NF1的NF类型是否合法。所以,实施本发明实施例能够实现在 NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取 token之类的安全隐患。
参见图8,图8是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF申请并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。图8实施例与图7实施例所示方法的主要区别在于,图7实施例所示系统架构包括NF1,NF2和NRF,而图8实施例所示系统架构包括NF1,NF2,NRF和SFSF,具体描述如下。
NF1向NRF申请并获得服务对应的token的过程可包括但不限于S1-S5,相关具体内容可参考图7实施例S1-S5的描述,其中:
S1:NRF获取并保存NF1的证书。
S2:NRF本地保存NF1的实例ID与第三证书信息之间的映射关系。
S3:NF1发送token获取请求至NRF,可选的,token获取请求中还可以包括NF1的证书的相关信息。
S4:NRF基于现有的方式计算token,token可不包括第三证书信息,具体内容可参考图7实施例S4的描述,这里不再赘述。
S5:NRF发送token获取响应至NF1,所述token获取响应中携带token。
NF1与NF2进行通信交互的过程可包括但不限于S6-S13(S13包括S13-1和S13-2),描述如下:
S6:SFSF获得NF1的证书。
在一些可能实施例,当NF1与SFSF做双向认证(mutual authentication)时,NF1可向SFSF发送NF1的证书,相应的,SFSF收到NF1的证书并保存在SFSF本地。
在又一些可能实施例,也可以在NF1与NRF做了双向认证之后,NF1发送NF1的证书给SFSF。
在又一些可能实施例,也可以预先在SFSF中配置NF1的证书。
此外,SFSF还可能通过其他方式获得NF1的证书,本发明不做限制。
还需要说明的是,本发明并不限定S6与前述S1-S5中的任一步骤之间的先后顺序。
S7:NF1发送NF服务请求至SFSF,NF服务请求中包括token。相应的,SFSF接收所述NF服务请求。具体内容可参考图7实施例S7的描述,这里不再赘述。可选的,SFSF 可以不校验token中的内容。
S8:SFSF根据NF1的证书计算第四证书信息,并发送token中token请求者的实例ID和第四证书信息至NRF。第四证书信息的计算方式可参考第一证书信息/第三证书信息的计算方式,这里不再赘述。
S9:NRF根据已保存的NF1的实例ID与NF1的第三证书信息之间的映射关系,确定从SFSF接收到的token请求者的实例ID和第四证书信息是否满足该映射关系。如果满足,则代表校验通过。如果不满足,则代表校验不通过。
S10:若S9的校验通过,NRF发送校验结果至SFSF,该校验结果用于指示校验通过。
需要说明的是,若S9的校验不通过,NRF发送校验结果至SFSF,该校验结果用于指示校验不通过。该校验结果还可能直接表示token请求者的实例ID校验不通过。
S11:在校验结果指示校验通过的情况下(即S9的校验通过),SFSF转发NF服务请求至NF2,NF服务请求包括token。
可选的,在校验结果指示校验不通过的情况下(即S9的校验不通过),SFSF可拒绝所述NF服务请求(如丢弃所述NF服务请求)。
可选的,在校验结果指示校验通过的情况下,SFSF发送校验成功指示至NF2。
S12:NF2收到NF服务请求后,NF2按照已有技术校验token,具体可参考图7实施例S8的描述。
S13-1:在S9的校验结果指示校验通过,且S12的校验通过的情况下,NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S13-2:可选的,若S9的校验和S12的校验中至少一个不通过时,NF2通过SFSF发送错误响应至NF1。更进一步的,此错误响应可以包括错误指示,所述错误指示例如可用于指示token请求者的实例ID不通过。
可选的,若S9的校验和S12的校验中至少一个不通过时,NF2可通过SFSF发送拒绝消息至NF1,拒绝消息用于表示NF2拒绝NF1的所述NF服务请求。
可选的,若S9的校验和S12的校验中至少一个不通过时,NF2也可直接丢弃所述NF服务请求。
需要说明的是:若上述SFSF发送的第四证书信息,与NRF保存的第三证书信息不同。那么NRF获得了SFSF发送的第四证书信息,且NRF保存有NF1的证书的hash的情况下,NRF可以利用hash处理第四证书信息,使得第四证书信息和第三证书信息相同。
需要说明的是,在一些变形的方案中,也可以设计NRF预先已保存的NF1的NF类型与NF1的第四证书信息之间的映射关系,设计token中携带有token请求者的NF类型,从而能确定从NF2接收到的token请求者的NF类型和第四证书信息是否满足映射关系。如果满足,则代表校验通过。如果不满足,则代表校验不通过。具体内容可参考图8实施例的上述过程实现,这里不再赘述。
可以看到,本发明实施例中通过使NRF预先已保存NF1的实例ID与NF1的第三证书信息之间的映射关系,实现证书和token的绑定,使得SFSF能够提前调用NRF校验第四证书信息和token中的token请求者的实例ID是否满足该映射关系,从而确认NF1的身份和/或NF1的NF类型是否合法。如果合法才继续让NF2校验token,否则可以拒绝来自 NF1的NF服务请求。所以,实施本发明实施例既能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,又有利于节省NF2的功耗开销。
参见图9,图9是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF申请并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。图9实施例与图8实施例所示方法的主要区别在于,图8实施例中SFSF通过调用NRF来校验第四证书信息和token中的token请求者的实例ID是否满足该映射关系,从而确定NF1身份合法性,而图8实施例中SFSF可直接验证token中的证书信息来确定NF1 身份合法性,具体描述如下。
NF1向NRF申请并获得服务对应的token的过程可包括但不限于S1-S4,一些实现中, S1-S4的具体内容可参考图5实施例S1-S4的描述,又一些实现中,S1-S4的具体内容可参考图6实施例S1-S4的描述。其中:
S1:NRF获取并保存NF1的证书。
S2:NF1发送token获取请求至NRF。
S3:NRF基于S1所获得的NF1的证书计算token。
一些实现中,token可同时包括第三证书信息和NF1实例ID;又一些实现中,token包括第三证书信息但不包括NF1实例ID。
S4:NRF发送token获取响应至NF1,所述token获取响应中携带token。
NF1与NF2进行通信交互的过程可包括但不限于S5-S10(S10包括S10-1和S10-2),描述如下:
S5:SFSF获得NF1的证书。具体可参考图8实施例S6的相关描述,这里不再赘述。
S6:NF1发送NF服务请求至SFSF,NF服务请求中包括token。具体内容可参考图8 实施例S7的描述,这里不再赘述。
S7:SFSF校验token中的第一证书信息。
SFSF校验token中的第一证书信息的方法可以是:SFSF可采用与NRF相同的方式,根据自己本地保存的NF1的证书,计算得到第四证书信息。然后,校验第四证书信息与token中的第一证书信息是否相同,例如校验两者各自包含的NF1的第二标识是否相同,又例如校验两者各自包含的NF1的类型是否相同。若相同则校验第一证书信息通过,这说明token 的请求者和服务的请求者是同一个NF(即该NF1)。否则校验第一证书信息不通过,说明 token的请求者和服务的请求者可能并不是同一个NF(如token可能是窃取的)。
S8:在校验通过的情况下,SFSF转发NF服务请求至NF2,NF服务请求包括token。
可选的,在S7的校验不通过的情况下,SFSF可拒绝所述NF服务请求(如丢弃所述NF服务请求)。
S9:NF2收到NF服务请求后,NF2按照已有技术校验token,具体可参考图8实施例S12的描述。
S10-1:在S7的校验通过,且S9的校验通过的情况下,NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S13-2:可选的,若S7的校验和S9的校验中至少一个不通过时,NF2通过SFSF发送错误响应至NF1。更进一步的,此错误响应可以包括错误指示,所述错误指示例如可用于指示token请求者的实例ID不通过。
可选的,若S7的校验和S9的校验中至少一个不通过时,NF2可通过SFSF发送拒绝消息至NF1,拒绝消息用于表示NF2拒绝NF1的所述NF服务请求。
可选的,若S7的校验和S9的校验中至少一个不通过时,NF2也可直接丢弃所述NF服务请求。
而本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得SFSF 能够提前用本地保存NF1证书来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1的NF类型是否合法。如果合法才继续让NF2校验token,否则可以拒绝来自NF1 的NF服务请求。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验 NF1的身份合法性,提高服务安全性,又有利于节省NF2的功耗开销。
参见图10,图10是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该流程图为基于上文描述的图5-图9实施例中的任一实施例所述方法在漫游场景下的一种示例。
该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为 NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF注册并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。
NF1向NRF注册并获得服务对应的token的过程可描述如下:通过S1-1,NF1完成与第一种授权服务节点vNRF之间的注册,通过S1-2,第一种授权服务节点vNRF与第二种授权服务节点hNRF之前完成双向认证。通过S2,NF1发送token获取请求至vNRF,通过 S3,vNRF进一步发送token获取请求至hNRF;通过S4,hNRF可将hNRF本地生成的 NF1的证书信息(或称第三证书信息)写入token,或者,token中可不包括证书信息,但 hNRF本地保存有NF1的证书信息与NF1的实例ID之间的映射关系,或者NF1的证书信息与NF1的NF类型之间的映射关系。通过S5,hNRF将token获取响应返回给vNRF,以及通过S6,vNRF将token获取响应返回给NF1。从而,NF1拥有该授权的token。
NF1与NF2进行通信交互的过程可描述如下:通过S7,NF1基于安全边缘保护代理节点cSEPP和pSEPP的透传,将NF服务请求发送给NF2。NF服务请求包括token。
可选的,若token包括证书信息(或称第一证书信息),NF2可进一步校验证书信息,以确定token的请求者和服务的请求者是同一个NF(即NF1)。
可选的,若token不包括证书信息,NF2可进一步调用hNRF来校验token的请求者和服务的请求者是同一个NF(即NF1)。
可以理解的是,上述图5、图6和图7实施例都可以基于图10实施例的流程进行扩展/应用,这里不再赘述。
可能实施例中,NF1与NF2之间的交互过程还包括SFSF的参与,具体过程可参考图8、图9实施例予以实施,这里不再赘述。
可能实施例中,pSEPP接收到token后,也可以根据token做校验动作,类似于SFSF的校验,具体过程可参考图8、图9实施例予以实施,这里不再赘述。
在对NF1的身份校验和对token的校验均通过后,通过S8-1,NF2执行NF1所请求的服务并且发送NF服务响应至NF1。可选的,若对NF1的身份校验和对token的校验中至少一个不通过时,可通过S8-2,发送错误响应或者错误指示或拒绝消息至NF1,可选的, NF2还可直接丢弃NF服务请求。
需要说明的是,在可能的实现中,在漫游场景下还可包括两个SEPP,一个SEPP为cSEPP部署在NF1所在的网络,一个SEPP为pSEPP部署在NF2所在的网络。cSEPP接收到NF1发送的token,然后进行token的校验,类似参考图8实施例的步骤S7-S10或图9 实施例的步骤S6-S7。如果token校验通过,则发送token至pSEPP,由pSEPP将token发送至NF2。如果token校验不通过,cSEPP则发送错误响应或者错误指示或者拒绝消息至 NF1。可选的,cSEPP可以丢弃此消息。或者可选的,cSEPP发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,cSEPP可以在错误响应或者错误指示或者拒绝消息中指示token校验不通过。
还需要说明的是,对于上文给出的本发明任意实施例,当系统架构中包括SFSF时,SFSF具体可包括NF1侧的SFSF1以及NF2侧的SFSF2。
在一种可能的实现中,SFSF1接收到NF1发送的token,然后进行token的校验,类似参考图8实施例的步骤S7-S10或图9实施例的步骤S6-S7。如果校验通过后则发送token 至SFSF2,由SFSF2进一步将token发送至NF2。
在另一种可能的实现中,还可能在SFSF1和SFSF2之间进一步部署cSEPP和pSEFF,SFSF1接收到NF1发送的token,然后进行token的校验,此时如果校验通过,则发送token 至cSEPP,由cSEPP通过pSEPP发送至NF2,或者由cSEPP通过pSEPP和SFSF2将token 发送至NF2。若token校验不通过,可选的,SFSF1可以丢弃此消息。或者可选的,SFSF1 发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF1可以在错误响应或者错误指示或者拒绝消息中指示token校验不通过。
还需要说明的是,上文的实施例主要从如何生成token、如何在生成token中包含证书信息、以及如何校验token的角度进行方案论述;另外,还论述了通过NF1实例ID或者NF1的NF类型,与证书信息绑定的校验方式。本发明实施例还给出了token中一些可能存在的参数,用于实施例的完整表述。对于token中本文中未提及的其他参数的写入以及校验,或者token中是否包括其他新的参数,或者token中部分参数的减少等,本发明实施例均不做限制。
更进一步的,对于上文给出的本发明任意实施例,在身份校验中也可能同时存在两种 (或两种以上)的身份校验,例如可能同时校验NF1的实例ID和校验证书信息,又例如可能同时校验NF1的NF类型和校验证书信息。相应的,身份校验失败时产生的错误指示 (或者错误消息,或者错误响应,或者拒绝消息)可用于指示校验失败,或者用于分别指示这两种身份校验方式皆校验失败,或者用于指示为至少一种身份校验方式的校验失败。
更进一步的,在本发明可能的实施例中,在身份校验中还可以包括更多类型的校验,比如对数字签名(Sign)的校验,下面以图14和图15实施例为例进行相关方案的具体描述。
参见图14,图14是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该方法包括NF1向NRF申请并获得数字签名(Sign)以及服务对应的token的过程,和NF1与NF2进行通信交互的过程。
NF1向NRF申请并获得数字签名(Sign)以及服务对应的token的过程可包括但不限于S1-S7,描述如下:
S1:NRF获取并保存NF1的证书。可参考图5实施例步骤S1的相关描述,这里不再赘述。
S2:NF1发送第一请求至NRF。其中,该第一请求携带NF1的实例ID。
具体实现中,该第一请求可以为注册请求、发现请求等,本发明不做限制。
S3:NRF根据NRF的私钥和NF1的实例ID,计算数字签名(Sign)。
在一些更具体的实现中,计算Sign所采用的参数除了NRF的私钥和NF1的实例ID外,还可包括以下参数的至少一项:NF1的证书本身,或者NF1的证书中NF1的标识,或者 NF1的证书中NF1的类型,或者NF1的证书本身的哈希,或者NF1的证书中NF1的标识的哈希,或者NF1的证书中NF1的类型的哈希。
在对本步骤S3的一种可代替的方案中,NRF也可根据NRF的私钥和NF1的实例ID 的哈希来计算Sign。
同样,在一些更具体的实现中,计算Sign所采用的参数除了NRF的私钥和NF1的实例ID的哈希外,还可包括以下参数的至少一项:NF1的证书本身,或者NF1的证书中 NF1的标识,或者NF1的证书中NF1的类型,或者NF1的证书本身的哈希,或者NF1的证书中NF1的标识的哈希,或者NF1的证书中NF1的类型的哈希。
S4:NRF发送第一响应至NRF,其中该第一响应携带有上述S3获得的Sign。
S5:NF1发送token获取请求至NRF。
S6:NRF计算token。
S7:NRF发送token获取响应至NF1,所述token获取响应中携带token。
对于上述S5-S7,在一种可选的实施例中,token中也可以携带有NF1的证书信息。也就是说,对于S6具体为:NRF基于S1所获得的NF1的证书计算该token。这种情况下,上述S4-S7的具体实现可参考之前图5实施例S2-S4,这里不再赘述。
对于上述S5-S7,在又一种可选的实施例中,token中也可以不携带有NF1的证书信息。也就是说,对于S6,可以采用现有通用的方法(已有技术)来计算token。
另外,对于其他token的构造方式,本初不做限制。
NF1与NF2进行通信交互的过程可包括但不限于S8-S11(S11包括S11-1和S11-2),描述如下:
S8:NF2获得NF1的证书。
S9:NF1发送NF服务请求,其中携带该token和该Sign。相应的,NF2接收所述NF 服务请求。
S10:NF2校验token正确性,以及根据token中NF1实例ID校验Sign的正确性。
具体的,NF2可首先校验token和Sign的正确性。
如果token是根据如前述图5实施例S6所示方式得到的,则可根据如前述图5实施例 S7所示的方式校验来token。
如果token是根据已有技术得到的,那么可采用已有的方法校验token。若token校验不通过,可选的,NF2可以丢弃此消息。或者可选的,NF2发送错误响应或者错误指示或者拒绝消息至NF1。
其他形式的token校验不做限制。
然后,NF2校验Sign的正确性。具体的,NF2可根据NF1的证书、NF1的实例ID、还有NRF的公钥校验Sign的正确性。若Sign校验不通过,可选的,NF2可以丢弃此消息。可选的,NF2发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,NF2可以在错误响应或者错误指示或者拒绝消息中指示Sign校验不通过。
Token和Sign的校验顺序不做限制。
S11-1:NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S11-2:可选的,NF2可发送错误响应至NF1。
上述S11-1和S11-2的实现可参考如前述图5实施例S8-1和S8-2的描述,这里不再赘述。
本发明实施例中通过设计NF服务请求中携带token和Sign,其中token在一些实现中还可携带证书信息以实现证书和token的绑定,使得NF2既能校验Sign和token,又能通过本地保存NF1证书来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1 的NF类型是否合法。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
参见图15,图15是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,图15实施例与图14实施例的主要区别在于,图15实施例中NRF是在token的获取流程中计算的Sign,并且在token获取响应中携带此Sign发送给NF1。该方法包括NF1 向NRF申请并获得数字签名(Sign)以及服务对应的token的过程,和NF1与NF2进行通信交互的过程。
NF1向NRF申请并获得数字签名(Sign)以及服务对应的token的过程可包括但不限于S1-S4,描述如下:
S1:NRF获取并保存NF1的证书。可参考图5实施例步骤S1的相关描述,这里不再赘述。
S2:NF1发送token获取请求至NRF。可参考图5实施例步骤S2的相关描述,这里不再赘述。
S3:NRF计算token,以及,NRF根据NRF的私钥和NF1的实例ID,计算Sign。
其中,NRF计算token的具体实现方式可参考上述图15实施例步骤S6的相关描述。亦即在一种可选的实施例中,NRF基于S1所获得的NF1的证书计算该token,即token 携带有NF1的证书信息。在又一种可选的实施例中,可以采用现有通用的方法(已有技术) 来计算token,即token中不携带有NF1的证书信息。
其中,NRF计算Sign的具体实现方式可参考上述图15实施例步骤S3的相关描述,这里不再赘述。
S4:NRF发送token获取响应至NF1,所述token获取响应中携带该token和该Sign。
NF1与NF2进行通信交互的过程可包括但不限于S5-S8(S8包括S8-1和S8-2),描述如下:
S5:NF2获得NF1的证书。
S6:NF1发送NF服务请求,其中携带该token和该Sign。相应的,NF2接收所述NF 服务请求。
S7:NF2校验token正确性,以及根据token中NF1实例ID校验Sign的正确性。
校验token和Sign的顺序不做限制。
本步骤的具体实现方式可参考上述图15实施例步骤S10的相关描述,这里不再赘述。
S8-1:NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S8-2:可选的,NF2可发送错误响应至NF1。
上述S8-1和S8-2的实现可参考如前述图5实施例S8-1和S8-2的描述,这里不再赘述。
本发明实施例中通过设计NF服务请求中携带token和Sign,其中token在一些实现中还可携带证书信息以实现证书和token的绑定,使得NF2既能校验Sign和token,又能通过本地保存NF1证书来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1 的NF类型是否合法。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
参见图16,图16是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图。此实施例中,cNF的证书cert_C中cNF的身份与token中cNF的身份相同,例如可以都为cNF的实例ID。
具体步骤如下:
S0:cNF具有证书Cert_c,证书中cNF的身份与token中cNF的身份相同。例如,身份可以为cNF实例ID。
S1:cNF发送请求至NRF,请求获得token。
S2:NRF授权cNF的请求后,计算并发送token至cNF。Token中包括cNF的实例ID。
上述获得token的过程属于公开方法,不做限制。
S3:cNF根据cert_C中公钥对应的私钥计算得到数字签名Sign_C,对以下信息的至少一项进行完整性保护:
·Token。
·cSCP的信息,例如cSCP的instance ID,cSCP的地址相关信息(例如FQDN,IP 地址,MAC地址等),cSCP Group ID,cSCP set ID等。
·pNF的信息,例如pNF的类型,pNF的地址信息例如FQDN,IP地址,MAC地址等),pNFgroup ID,pNF set ID。
·切片信息,例如NSI ID,S-NSSAI。
也可以理解为cNF对整条service request进行完整性保护,生成Sign_C(整条消息包括上述的至少一项)。
S4.cNF发送service request消息给cSCP,其中包括token,cert_C,Sign_C,以及其他第三步中计算Sign_C用到的参数;这里cert_C是可选发送的,cSCP也可以通过与cNF建立安全连接的过程中(例如TLS),接收到cert_C;或者cSCP配置有cNF的证书cert_C。
S5:可选的cSCP校验service request。cSCP执行以下校验的至少一项:
·基于Cert_C校验Sign_C的正确性,即基于Cert_C中的公钥校验Sign_C的正确性。
·可选的,校验Sign_C中cSCP的信息与自己的cSCP信息是否一致。
·可选的,校验Cert_C中cNF的身份与token中cNF的身份是否一致。
上述校验都通过之后,cSCP继续执行。否则,cSCP可以丢弃消息,还可能发送错误码至cNF,用于指示校验不通过。这里错误码还可以为指示具体是哪一个没有校验通过的错误码。
S6:cSCP发送service request至pSCP。若S4未包含Cert_C,cSCP发送给pSCP的消息中,需要携带Cert_C。可选的,cSCP发送indicator用于指示第S5步校验成功。
如果cNF与pNF之间只有一个SCP的话,此时cSCP会发送service request至pNF。
S7:可选的,pSCP校验service request。若pSCP接收到S5步校验成功的指示,则可以相信S5的校验结果;可选的,减少S7与S5中重叠的校验动作。因为pSCP可以与cSCP 建立TLS链接,获取cSCP的证书。pSCP执行以下校验的至少一项:
·校验service request中Sign_C中cSCP的信息,与cSCP证书的中cSCP信息是否一致。
·可选的,校验Sign_C中cSCP的信息与自己接收到的cSCP信息是否一致。
·可选的,校验Cert_C中cNF的身份与token中cNF的身份是否一致。
上述校验都通过之后,pSCP继续执行。否则,pSCP可以丢弃消息,还可能发送错误码至cSCP,用于指示校验不通过。这里错误码还可以为指示具体是哪一个没有校验通过的错误码。
S8:pSCP发送service request至pNF,可选的,pSCP发送indicator用于指示第S7步校验成功。
S9:pNF执行以下校验中的至少一项:
·校验token是否正确,这属于已有技术。
·根据接受到的cert_C校验Sign_C是否正确。
·校验token中cNF实例ID与cert_C中cNF实例ID是否一致。
可选的,如果接收到indicator,则可以根据pSCP已经校验的部分,减少S9中校验的工作。
S10:上述校验都通过的话,pNF完成对于cNF业务请求的授权,则通过pSCP,cSCP发送业务响应值cNF。如果校验不通过,否则,pNF可以丢弃消息,还可能发送错误码至 pSCP或者cNF,用于指示校验不通过。这里错误码还可以为指示具体是哪一个没有校验通过的错误码。
本发明实施例中通过设计cNF的证书中cNF的身份跟token中cNF相同的身份,来简化整个cNF身份校验的流程。另外,引入证书和签名使得pNF可以确定cNF与token中的身份是否一致。另外,这里还可能包括多个SCP节点。流入cSCP通过SCPx与pSCP进行通过。此时SCPx的校验机制可以参考pSCP的校验。
本发明实施例中,vNRF代表visited NRF,hNRF代表home NRF。当然也是可以cNF属于hNRF,pNF属于vNRF的情况。不排除多种部署方式。
参见图17,图17是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图。图17是在图16的基础上,考虑漫游的场景,即cNF与pNF可能部署在不同的运营商网络。图17所述的方法,与图16所述的方法不同点在于,pNF可能未保存可以校验 Cert_C的参数,例如根证书,或者根公钥等。因为在获得token之后,pNF可以请求hNRF 或者其他NF获得校验Cert_C的参数,进而校验Cert_C。另外,还有一个不同点为,漫游时,cSCP与pSCP不能直连。cSCP可以通过CSEPP,和pSEPP与pSCP相连。因此pSCP 不能直接获得cSCP的证书或cSCP的信息,不能执行图16中校验cSCP信息的部分。这里cSEPP可以执行图16中,pSCP的校验内容,因为其与cSCP可能直连。校验成功后,发送消息至pSEPP,可选的也可以携带校验成功指示。校验失败的话,处理方式与pSCP相同。另外pSEPP可以执行上述图16对应方法中pSCP相同的校验和处理动作。
参见图18,图18是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图。图18是在图9的基础上,增加了pSCP的校验。这里图9中SFSF,即被图18中的SCP。以下描述为不同部分。
Service request中包括token,Cert_C,和Sign_C。其中Sign_C是基于图16中步骤S3。
cSCP新增的校验动作可以参考图17中S5的校验。具体为,可选的cSCP校验servicerequest。因为cSCP可以与cNF建立TLS链接,可以获取cNF的证书Cert_C。cSCP执行以下校验的至少一项:
·基于Cert_C校验Sign_C的正确性,即基于Cert_C中的公钥校验Sign_C的正确性。
·可选的,校验Sign_C中cSCP的信息与自己的cSCP信息是否一致。
·可选的,校验Cert_C中cNF的身份与token中cNF的身份是否一致。
上述校验都通过之后,cSCP继续执行。否则,cSCP可以丢弃消息,还可能发送错误码至cNF,用于指示校验不通过。这里错误码还可以为指示具体是哪一个没有校验通过的错误码。
cSCP发送Service request至pSCP,其中包括token,Cert_C,和Sign_C。
pSCP新增的校验动作可以参考图17中S7的校验。具体为,可选的pSCP校验servicerequest。因为pSCP可以与cSCP建立TLS链接,获取cSCP的证书。pSCP执行以下校验的至少一项:
·校验service request中Sign_C中cSCP的信息,与cSCP证书的信息是否一致。
·可选的,校验Sign_C中cSCP的信息与自己接收到的cSCP信息是否一致。
·可选的,校验Cert_C与token中证书的信息是否一致。
上述校验都通过之后,pSCP继续执行。否则,pSCP可以丢弃消息,还可能发送错误码至cSCP,用于指示校验不通过。这里错误码还可以为指示具体是哪一个没有校验通过的错误码。
之后,pSCP发送service request至pNF,可选的,pSCP发送incidator用于指示上述校验成功。
pNF执行以下校验中的至少一项:
·校验token是否正确,这属于已有技术。
·根据接受到的cert_C校验Sign_C是否正确。
·校验token中cNF实例ID与cert_C中cNF实例ID是否一致。
可选的,如果接收到indicator,则可以根据pSCP已经校验的部分,减少S9中校验的工作。上述校验都通过的话,pNF完成对于cNF业务请求的授权,则通过pSCP,cSCP发送业务响应值cNF。如果校验不通过,否则,pNF可以丢弃消息,还可能发送错误码至cSCP 或者cNF,用于指示校验不通过。这里错误码还可以为指示具体是哪一个没有校验通过的错误码。
参见图19,图19是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图。图19是在图18的基础上,增加了漫游的场景。
图19所述的方法,与图18所述的方法不同点在于,pNF可能未保存可以校验Cert_C的参数,例如根证书,或者根公钥等。因为在获得token之后,pNF可以请求hNRF或者其他NF获得校验Cert_C的参数,进而校验Cert_C。另外,还有一个不同点为,漫游时,cSCP 与pSCP不能直连。cSCP可以通过CSEPP,和pSEPP与pSCP相连。因此pSCP不能直接获得cSCP的证书或cSCP的信息,不能执行图18中校验pSCP校验cSCP信息的部分。
这里cSEPP可以执行图18中,pSCP的校验内容,因为其与cSCP可能直连。校验成功后,发送消息至pSEPP,可选的也可以携带校验成功指示。校验失败的话,处理方式与 pSCP相同。另外pSEPP可以执行上述pSCP相同的校验和处理动作。
参见图20,图20是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图。本实施例适用的场景为,cNF需要通过cSCP才能访问NRF。cNF拿到token之后的流程跟之前的实施例相同。这里cNF通过cSCP访问NRF的场景,需要补充cNF如何授权cSCP帮助其从NRF获得token。具体步骤如下:
S1:cNF发送request,其中包括包括cNF的实例ID。还可能包括,cSCP的信息。这里cSCP的信息,可以为,cSCP的标识,SCP group ID,SCP set ID,instance ID,IP地址,MAC地址或者cSCP的证书中的subject等至少一项。这里cSCP的信息可以为cNF通过发现确认的,或者配置的,不做限制。Request消息还可能携带,cNF的FQDN,和/或 cNF的cert_C中的subject。
还可能携带cNF所在的切片的信息,例如NSSAI,NSI ID。
还可能携带cSCP所在的切片的信息,例如NSSAI,NSI ID。
S2:NRF计算code1,code1可以为数字签名或者消息验证码,保护的内容包括以下的至少一项:
·cSCP的信息。
·cNF的信息:FQDN,NF instance ID,cNF Group ID,cNF set ID等至少一项。
·cNF的cert_C中的subject。
·cNF所在的切片的信息,例如NSSAI,NSI ID。
·cSCP所在的切片的信息,例如NSSAI,NSI ID。
这里cNF所在的切片的信息,也可以为NRF根据cNF的信息确定的。这里cSCP所在的切片的信息,也可以为NRF根据cSCP的信息确定的。这里cert_C中的subject可以为从cNF接受的,也可是从NRF接收的cNF的证书中获得的。
S3:NRF发送code1至cNF。
可选的,这里code1也可以是cNF计算的。此时则不需要S1,S2和S3中NRF的动作。cNF可以直接根据自己证书中公钥对应的私钥针对上述参数计算得到code1。
S4:cNF计算code2,保护的内容包括:
·Code1。
·新鲜参数,如Counter。
S5:cNF发送token请求至cSCP,其中携带code1,code2;可选的,还可能发送Cert_C。
S6:可选的cSCP通过与cNF的连接建立,获得Cert_C。cSCP校验以下至少一项:
·可选的,校验token request中code1中cSCP的信息,与自己cSCP的信息是否一致。
·可选的,校验code1中cNF的信息与自己连接的cNF信息是否一致。
·可选的,校验Cert_C中cNF的身份与code1中cNF的身份是否一致。
·可选的,校验code1的正确性。如果NRF计算的code1,则基于保存的NRF的公钥校验code。若是cNF计算的code1,则基于Cert_C校验code1。
·可选的,基于Cert_C校验code2的正确性。
上述校验都通过之后,cSCP继续执行。否则,cSCP可以丢弃消息,还可能发送错误码至cNF,用于指示校验不通过。这里错误码还可以为指示具体是哪一个没有校验通过的错误码。
S7:cSCP发送请求至NRF,其中携带cert_c,code1,code2,新鲜参数;可选的,所述发送请求携带指示,用于指示S6校验成功。
S8:NRF执行以下校验的至少一项:
·校验code1的正确性。如果NRF计算的code1,则基于保存的NRF的公钥校验code。若是cNF计算的code1,则基于接受的Cert_C校验code1。
·可选的,校验token request中code1中cSCP的信息,与自己连接cSCP的信息是否一致。
·可选的,校验Cert_C中cNF的身份与code1中cNF的身份是否一致。
·可选的,基于Cert_C校验code2的正确性。
·可选的,校验code2中新鲜性,例如code2中counter,比本地code1和/或cNF的信息对应的counter大。例如,之前cNF通过code1,code2请求过token,NRF保存code2 中counter为10,可以根据code1或者cNF的信息进行索引。再次接收到code1和code2 后,要求code1或者cNF的信息索引的counter比10大,否则则拒绝token请求。
可选的,如果接收到indicator,则可以根据pSCP已经校验的部分,减少S8中校验的工作。
S9:校验成功,NRF计算并发送token至cSCP。若校验不成功,NRF可以丢弃消息,还可能通过cSCP发送错误码至cNF,用于指示校验不通过。这里错误码还可以为指示具体是哪一个没有校验通过的错误码。
S10:cSCP发送token至cNF。
之后的流程参考上述实施例不做限制。
注意,上述流程描述了两个code并存的情况,即code1和code2。如果code1是由cNF计算的,那么本实施例可以仅包括code1的内容,不需要cNF再计算code2。其他code2 相关的部分也可以移除。
参见图21,图21是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图。图21是在图20的基础上,增加了漫游的场景。
虽然有两个NRF,一个vNRF,一个hNRF;但是code1还是由vNRF来计算。此时code1的流程与图20相同。vNRF在接收到code1和code2时,执行code1和code2的校验,校验成功后,发送token请求至hNRF,其中不包括cert_C,code1和code2。vNRF还可能发送校验成功的指示给hNRF。以使hNRF根据指示确定vNRF已经校验通过。若vNRF校验不通过,vNRF可以丢弃消息,还可能发送错误码至cNF,用于指示校验不通过。这里错误码还可以为指示具体是哪一个没有校验通过的错误码。最后,vNRF从hNRF接受token。并发送token至cNF。
注意其他跟校验cNF身份相关的参数没有赘述,不做限制。
针对上述实施例,pNF也可能请求NRF或者其他NF获得校验Cert_C的参数(例如根证书,或者根公钥等),进而校验Cert_C。另外,cSCP和/或pSCP同样适用请求NRF或者其他NF获得校验Cert_C的参数,进而校验Cert_C。
针对上述实施例,上述code(code1或code2)包括两个部分,一部分是被code保护的参数,即生成code用到的参数,例如cSCP的信息,cNF的信息等;另一个部分是计算得到的数字签名,或消息验证码。
需要说明的是,在身份校验包括token校验,或者同时包括token校验和Sign校验的情况下,针对存在SFSF和/或SEPP的场景,可以由SFSF和/或SEPP做token的校验。具体可能性描述如下:
在一种可能实现中,如果NF1和NF2之间仅有一个SFSF,那么SFSF可以校验Sign 的正确性,如果校验通过则发送token至NF2,由NF2校验token的正确性。或者如果校验通过则发送token和Sign至NF2,由NF2校验token的正确性,以及NF2再次校验Sign 的正确性。若Sign校验不通过,可选的,SFSF可以丢弃此消息。或者可选的,SFSF发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF可以在错误响应或者错误指示或者拒绝消息中指示Sign校验不通过。
在又一种可能实现中,SFSF包括NF1侧的SFSF1,以及NF2侧的SFSF2。此时SFSF1 接收到NF1发送的Sign后,参考本文的相关实施例,进行Sign的校验,如果校验通过则发送token至SFSF2,此时由SFSF2将token发送至NF2。还可能两个SFSF之间部署有cSEPP,和pSEFF。此时如果校验通过则发送token至cSEPP,由cSEPP通过pSEPP发送至NF2,或者由cSEPP通过pSEPP和SFSF2将token发送至NF2。若Sign校验不通过,可选的, SFSF1可以丢弃此消息。或者可选的,SFSF1发送错误响应或者错误指示或者拒绝消息至 NF1。或者可选的,SFSF1可以在错误响应或者错误指示或者拒绝消息中指示Sign校验不通过。
在另一种可能实现中,漫游场景下包括两个SEPP,一个SEPP为cSEPP部署在NF1所在的网络,一个SEPP为pSEPP部署在NF2所在的网络。此时cSEPP接收到NF1发送的Sign 后,参考上述实施例,进行Sign的校验,如果校验通过后则发送token至pSEPP,由pSEPP 将token发送至NF2。如果校验不通过cSEPP则发送错误响应或者错误指示或者拒绝消息至NF1。若Sign校验不通过,可选的,cSEPP可以丢弃此消息。或者可选的,cSEPP发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,cSEPP可以在错误响应或者错误指示或者拒绝消息中指示Sign校验不通过。此时cSEPP可以过滤不正确的Sign。
还需要说明的是,针对本发明描述的任意实施例,NF1发送哈希后的证书信息至SFSF 或者NRF;SFSF或者NRF可以基于其获得的NF1证书,校验UE发送的哈希后的证书信息是否正确。如果校验不通过,SFSF或者NRF则发送错误响应或者错误指示或者拒绝消息至NF1。若校验不通过,可选的,SFSF或者NRF可以丢弃此消息。或者可选的,SFSF 或者NRF发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF或者NRF 可以在错误响应或者错误指示或者拒绝消息中指示哈希后的证书信息校验不通过。此时 SFSF或者NRF可以过滤不正确的请求。如果校验通过,则继续执行其他操作。
还需要说明的是,针对本发明描述的任意实施例,NF1发送证书信息至SFSF或者NRF; SFSF或者NRF可以基于其获得的NF1证书,校验UE发送的证书信息是否正确。如果校验不通过,SFSF或者NRF则发送错误响应或者错误指示或者拒绝消息至NF1。若校验不通过,可选的,SFSF或者NRF可以丢弃此消息。或者可选的,SFSF或者NRF发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF或者NRF可以在错误响应或者错误指示或者拒绝消息中指示证书信息校验不通过。此时SFSF或者NRF可以过滤不正确的请求。如果校验通过,则继续执行其他操作。
还需要说明的是,针对本发明描述的任意实施例,NF1发送证书信息至SFSF或者NRF;以使后续NRF可以根据NF1发送的证书信息计算token或者Sign。
还需要说明的是,针对上文描述的任意实施例,在漫游场景下,当NRF包括第一种授权服务节点vNRF和第二种授权服务节点hNRF时,从hNRF获取NF1证书信息的形式的可能性描述如下:
在一种可能实现中,针对NF1通过vNRF1从hNRF请求的token的场景,vNRF在获得NF1的证书后,还可以发送哈希后的证书给hNRF,以使hNRF接收哈希后的证书。
在又一种可能实现中,针对NF1通过vNRF1从hNRF请求的token的场景,也可以 NF1在请求中直接携带哈希后的证书信息,此时vNRF不需要做额外的哈希转换,hNRF 将携带哈希后的证书信息的请求发送至hNRF。vNRF在获得NF1的证书后,也可以根据 NF1的证书校验NF1请求中哈希后的证书信息的准确性。如果校验失败,则发送错误响应或者错误指示或者拒绝消息至NF1。若校验不通过,可选的,vNRF可以丢弃此消息。或者可选的,vNRF发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,vNRF可以在错误响应或者错误指示或者拒绝消息中指示哈希后的证书信息校验不通过。此时vNRF 可以过滤不正确的请求。如果校验通过,则继续执行其他操作。如果校验成功,则发送请求至hNRF。
在另一种可能实现中,针对UE通过NRF1,cSEPP,以及pSEPP从hNRF请求token 的场景。此时也可能vNRF发送证书至cSEPP,那么cSEPP则发送哈希后的证书给hNRF,以使hNRF接收哈希后的证书。
还需要说明的是,针对上文描述的任意实施例,在漫游场景下,通过SFSF从NRF(该NRF不限制是vNRF还是hNRF)获取NF1证书信息的形式的可能性描述如下:
在一种可能实现中,针对NF1通过SFSF从NRF请求token的场景,SFSF在获得NF1 的证书后,还可以发送哈希后的证书给NRF,以使NRF接收哈希后的证书。
在一种可能实现中,针对NF1通过SFSF从NRF请求token的场景,也可以NF1在请求中直接携带哈希后的证书信息,此时SFSF不需要做额外的哈希转换,SFSF将携带哈希后的证书信息的请求发送至NRF。SFSF在获得NF1的证书后,也可以根据NF1的证书校验NF1请求中哈希后的证书信息的准确性。如果校验失败,则发送错误响应或者错误指示或者拒绝消息至NF1。若校验不通过,可选的,SFSF可以丢弃此消息。或者可选的,SFSF 发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF可以在错误响应或者错误指示或者拒绝消息中指示哈希后的证书信息校验不通过。此时SFSF可以过滤不正确的请求。如果校验通过,则继续执行其他操作。如果校验成功,则发送请求至NRF。
在一种可能实现中,针对NF1通过SFSF和vNRF,从hNRF请求token的场景。此时也可能SFSF发送证书至vNRF,那么vNRF则发送哈希后的证书给hNRF,以使hNRF接收哈希后的证书。
可以看到,由于证书的具体信息在漫游场景传输下会有泄露NF1的隐私的风险,例如泄露NF1的IP地址,FQDN等。而本发明通过上述处理,能够实现在漫游场景下既可以让hNRF获得证书的信息,同时不会泄露证书的具体内容给hNRF。此外,实施本发明的实施例,即使NF1与NRF没有直接逻辑链接,也可以通过其他网元(如SFSF,SEPP,vNRF) 等获得NF1的证书信息,完成token或者Sign的计算。
针对本发明所有实施例,token中携带的证书的信息可以为证书中参数的任一组合,例如被颁发证书的NF1的身份,NF的类型,颁发证书的身份等不做限制。
针对本发明所有实施例,计算Sign的输入参数可以为证书中参数的任一组合,例如被颁发证书的NF1的身份,NF的类型,颁发证书的身份等不做限制。
上文详细阐述了本发明实施例的方法,下面提供了本发明实施例的相关装置。
参见图11,本发明实施例提供了一种网元1100,该网元包括处理器1101、存储器1102 和发射器1103以及接收器1104,所述处理器1101、存储器1102和发射器1103以及接收器1104相连接(如通过总线相互连接,或者其中的部分或全部部件可以耦合在一起)。
存储器1102包括但不限于是随机存储记忆体(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦除可编程只读存储器(Erasable ProgrammableRead Only Memory,EPROM)、或便携式只读存储器(Compact Disc Read-Only Memory,CD-ROM),该存储器1102用于存储相关指令及数据(如token,证书等)。
发射器1103用于发射数据,接收器1104用于接收数据。
处理器1101可以是一个或多个中央处理器(Central Processing Unit,CPU),在处理器 1101是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该处理器1101用于读取所述存储器1102中存储的程序代码,以实现图4-图10实施例中的任一网元的功能。
具体的,当网元1100为第一网元时,存储器1102中存储的程序代码具体用于实现图4 实施例中的第一网元的功能。
具体的,当网元1100为第二网元时,存储器1102中存储的程序代码具体用于实现图4 实施例中的第二网元的功能。
具体的,当网元1100为NF1所在的网元时,存储器1102中存储的程序代码具体用于实现图5-图10实施例以及图14-图15实施例中的任意实施例中所述NF1的功能。
具体的,当网元1100为NF2所在的网元时,存储器1102中存储的程序代码具体用于实现图5-图10实施例以及图14-图15实施例中的任意实施例中所述NF2的功能。
具体的,当网元1100为NRF所在的网元时,存储器1102中存储的程序代码具体用于实现图5-图10实施例以及图14-图15实施例中的任意实施例中所述NRF的功能。
具体的,当网元1100为SFSF所在的网元时,存储器1102中存储的程序代码具体用于实现图8或图9实施例或其他相关实施例中的所述SFSF的功能。
参见图12,基于相同的发明构思,本发明实施例还提供了一种装置1200,装置1200可包括:
通信模块1201,用于接收来自第一网元的网络功能(NF)服务请求;所述NF服务请求包括令牌(token),所述token包括第一证书信息;
校验模块1202,用于对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;
处理模块1203,用于在确定所述第一证书信息所表征的身份和所述第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求。
在可能的实施例中,所述处理模块1203还用于:在确定所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,继续处理所述NF服务请求。
在可能的实施例中,所述装置还包括证书模块1204,所述证书模块1204用于根据所述第一网元的证书,生成第二证书信息;所述校验模块1202具体用于,检验所述第一证书信息与所述第二证书信息是否相同。
在可能的实施例中,所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识;所述校验模块1202具体用于,检验所述token的请求者的标识与所述第一网元的标识是否相同。
在可能的实施例中,所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型;所述校验模块1202具体用于,检验所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
在可能的实施例中,所述第一网元为服务的请求者,所述第二网元为第一控制面网元;所述第一证书信息包括所述token的请求者的标识或NF类型;所述证书模块1204具体用于,根据所述第一网元的证书,生成第四证书信息;所述校验模块1202具体用于,检验所述第一证书信息与所述第四证书信息是否相同;若检验结果为所述第一证书信息与所述第四证书信息相同,则确定所述token的请求者和所述第一网元的身份是一致的。
在可能的实施例中,所述通信模块1201还用于:在确定所述token的请求者和所述第二网元的身份一致的情况下,将所述NF服务请求转发至作为服务的提供者的网元。
装置1200中的各功能模块的具体实现可参考图4-图10中的相关描述,这里不再赘述。
参见图13,基于相同的发明构思,本发明实施例还提供了一种装置1300,装置1300可包括:
通信模块1301,用于获取NF服务对应的令牌(token),所述token包括所述token的请求者的第一证书信息;
存储模块1302,用于保存token。
所述通信模块1301还用于,发送NF服务请求至第二网元,所述NF服务请求包括所述token,所述token用于触发所述第二网元确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;
所述通信模块1301还用于,在所述token的请求者和所述第二网元的身份不一致的情况下,接收来自所述第二网元的拒绝消息。
在可能的实施例中,所述通信模块1301还用于,在所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,接收来自所述第二网元的NF服务响应。
在可能的实施例中,所述token具体用于触发所述第二网元确定所述第一证书信息与第二证书信息是否相同,其中,所述第二证书信息是所述第二网元根据所述第一网元的证书生成的。
在可能的实施例中,所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识;所述token具体用于触发所述第二网元确定所述token的请求者的标识与所述第一网元的标识是否相同。
在可能的实施例中,所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型;所述token具体用于触发所述第二网元确定所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
在可能的实施例中,所述第一网元为服务的请求者,所述第二网元为第一控制面网元;所述第一证书信息包括所述token的请求者的标识或NF类型;所述token具体用于触发所述第一控制面网元确定所述第一证书信息与第四证书信息是否相同。其中,所述第四证书信息是所述第一控制面网元根据所述第一网元的证书生成的。
在可能的实施例中,所述第一网元为所述token的请求者;所述通信模块1301具体用于:向第二控制面网元发送token获取请求;接收所述第二控制面网元返回的token,所述token中的所述第一证书信息是所述第二控制面网元根据所述第一网元的证书生成的。
装置1300中的各功能模块的具体实现可参考图4-图10中的相关描述,这里不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者任意组合来实现。当使用软件实现时,可以全部或者部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令,在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或其他可编程装置。所述计算机指令可存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网络站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、微波等)方式向另一个网络站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质,也可以是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带等)、光介质(例如DVD等)、或者半导体介质(例如固态硬盘)等等。
在上述实施例中,对各个实施例的描述各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。

Claims (19)

1.一种网络功能服务的身份校验方法,其特征在于,所述方法包括:
第一网元利用证书中公钥对应的私钥对输入参数进行计算以获得数字签名,其中,所述输入参数包括第二网元的信息以及所述第一网元的身份;
所述第一网元向服务通信代理发送业务请求,所述业务请求包括所述数字签名、所述证书以及令牌;
若所述数字签名校验正确且所述令牌校验正确,所述第一网元接收来自所述服务通信代理的业务响应。
2.根据权利要求1所述的方法,其特征在于,所述第二网元的信息包括所述第二网元的类型,所述第二网元的群组标识ID,所述第二网元的集合ID,以及所述第二网元的地址信息的至少一项。
3.根据权利要求1或2所述的方法,其特征在于,所述输入参数还包括消费者服务通信代理cSCP的信息,所述cSCP的信息包括以下至少一项:cSCP的实例ID,cSCP的地址,cSCP群组ID,cSCP集合ID等。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述输入参数还包括切片信息,所述切片信息包括网络切片实例ID,或者单网络切片选择支撑信息S-NSSAI。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述输入参数还包括所述令牌。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
若所述数字签名校验失败,所述第一网元接收来自所述服务通信代理的错误码。
7.一种网络功能服务的身份校验方法,其特征在于,所述方法包括:
服务通信代理接收来自第一网元的业务请求,所述业务请求包括数字签名、证书以及令牌;
所述服务通信代理使用所述证书校验所述数字签名是否正确,以及校验数字签名内第一网元身份与所述令牌内第一网元身份是否一致;
若所述数字签名校验正确且所述第一网元身份校验一致,所述服务通信代理发送业务请求消息;
若所述数字签名校验失败或所述第一网元身份校验不一致,所述服务通信代理丢弃消息或者发送错误码,所述错误码用于指示校验不通过。
8.根据权利要求7所述的方法,其特征在于,还包括,
若所述业务消息还包括服务通信代理的标识,所述服务通信代理校验所述标识与所述服务通信代理的身份是否一致。
9.根据权利要求7或8所述的方法,其特征在于,所述错误码还用于指示所述数字签名校验失败或所述第一网元身份校验不一致。
10.一种网络功能服务的身份校验装置,其特征在于,包括:
处理单元:用于利用证书中公钥对应的私钥对输入参数进行计算以获得数字签名,其中,所述输入参数包括第二网元的信息以及所述第一网元的身份;
发送单元:用于向服务通信代理发送业务请求,所述业务请求包括所述数字签名、所述证书以及令牌;
接收单元:用于若所述数字签名校验正确且所述令牌校验正确,接收来自所述服务通信代理的业务响应。
11.根据权利要求10所述的装置,其特征在于,所述第二网元的信息包括所述第二网元的类型,所述第二网元的群组标识ID,所述第二网元的集合ID,以及所述第二网元的地址信息的至少一项。
12.根据权利要求10或11所述的装置,其特征在于,所述输入参数还包括消费者服务通信代理cSCP的信息,所述cSCP的信息包括以下至少一项:cSCP的实例ID,cSCP的地址,cSCP群组ID,cSCP集合ID等。
13.根据权利要求10-12任一项所述的装置,其特征在于,所述输入参数还包括切片信息,所述切片信息包括网络切片实例ID,或者单网络切片选择支撑信息S-NSSAI。
14.根据权利要求10-13任一项所述的装置,其特征在于,所述输入参数还包括所述令牌。
15.根据权利要求10-14任一项所述的装置,其特征在于,所述接收单元还用于:
若所述数字签名校验失败,接收来自所述服务通信代理的错误码。
16.一种网络功能服务的身份校验装置,其特征在于,包括:
接收单元:用于接收来自第一网元的业务请求,所述业务请求包括数字签名、证书以及令牌;
处理单元:用于使用所述证书校验所述数字签名是否正确,以及校验数字签名内第一网元身份与所述令牌内第一网元身份是否一致;
发送单元:用于若所述数字签名校验正确且所述第一网元身份校验一致,发送业务请求消息;
所述处理单元:还用于若所述数字签名校验失败或所述第一网元身份校验不一致,丢弃消息或者通过所述发送单元发送错误码,所述错误码用于指示校验不通过。
17.根据权利要求16所述的装置,其特征在于,所述处理单元还用于:
若所述业务消息还包括服务通信代理的标识,校验所述标识与所述服务通信代理的身份是否一致。
18.根据权利要求16或17所述的装置,其特征在于,所述错误码还用于指示所述数字签名校验失败或所述第一网元身份校验不一致。
19.一种计算机可读存储介质,其特征在于,包括计算机指令,所述计算机指令被执行以实现权利要求1-9任一项所述的方法。
CN202210474465.5A 2019-04-28 2019-08-16 网络功能服务的身份校验方法及相关装置 Active CN114785523B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210474465.5A CN114785523B (zh) 2019-04-28 2019-08-16 网络功能服务的身份校验方法及相关装置

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
CN2019103596349 2019-04-28
CN201910359634 2019-04-28
CN201910766373.2A CN111865598B (zh) 2019-04-28 2019-08-16 网络功能服务的身份校验方法及相关装置
CN202210474465.5A CN114785523B (zh) 2019-04-28 2019-08-16 网络功能服务的身份校验方法及相关装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201910766373.2A Division CN111865598B (zh) 2019-04-28 2019-08-16 网络功能服务的身份校验方法及相关装置

Publications (2)

Publication Number Publication Date
CN114785523A true CN114785523A (zh) 2022-07-22
CN114785523B CN114785523B (zh) 2024-07-30

Family

ID=72970568

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202210474465.5A Active CN114785523B (zh) 2019-04-28 2019-08-16 网络功能服务的身份校验方法及相关装置
CN201910766373.2A Active CN111865598B (zh) 2019-04-28 2019-08-16 网络功能服务的身份校验方法及相关装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201910766373.2A Active CN111865598B (zh) 2019-04-28 2019-08-16 网络功能服务的身份校验方法及相关装置

Country Status (4)

Country Link
US (1) US12052233B2 (zh)
EP (1) EP3902199A4 (zh)
CN (2) CN114785523B (zh)
WO (1) WO2020220865A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024065798A1 (en) * 2022-09-30 2024-04-04 Nokia Shanghai Bell Co., Ltd. Certificate management for network functions
WO2024093684A1 (zh) * 2022-11-06 2024-05-10 华为技术有限公司 通信方法、装置和系统

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210092103A1 (en) * 2018-10-02 2021-03-25 Arista Networks, Inc. In-line encryption of network data
US11522721B2 (en) * 2020-04-07 2022-12-06 Verizon Patent And Licensing Inc. System and method for establishing dynamic trust credentials for network functions
CN112367665B (zh) * 2020-11-02 2022-02-01 广州爱浦路网络技术有限公司 一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统
US11943616B2 (en) * 2020-11-13 2024-03-26 Oracle International Corporation Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
US11895501B2 (en) 2020-12-08 2024-02-06 Oracle International Corporation Methods, systems, and computer readable media for automatic key management of network function (NF) repository function (NRF) access token public keys for 5G core (5GC) authorization to mitigate security attacks
US11558737B2 (en) 2021-01-08 2023-01-17 Oracle International Corporation Methods, systems, and computer readable media for preventing subscriber identifier leakage
FI129556B (en) * 2021-01-13 2022-04-29 Nokia Technologies Oy Handling an error in a network function call
US11431746B1 (en) * 2021-01-21 2022-08-30 T-Mobile Usa, Inc. Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network
US11546767B1 (en) 2021-01-21 2023-01-03 T-Mobile Usa, Inc. Cybersecurity system for edge protection of a wireless telecommunications network
US11888894B2 (en) 2021-04-21 2024-01-30 Oracle International Corporation Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks
US11627467B2 (en) 2021-05-05 2023-04-11 Oracle International Corporation Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces
US11638155B2 (en) 2021-05-07 2023-04-25 Oracle International Corporation Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks
US11695563B2 (en) 2021-05-07 2023-07-04 Oracle International Corporation Methods, systems, and computer readable media for single-use authentication messages
US11570689B2 (en) * 2021-05-07 2023-01-31 Oracle International Corporation Methods, systems, and computer readable media for hiding network function instance identifiers
CN115706997A (zh) * 2021-08-06 2023-02-17 华为技术有限公司 授权验证的方法及装置
CN116419229A (zh) * 2022-01-05 2023-07-11 华为技术有限公司 集成可信度量的通信方法
CN117118622A (zh) * 2022-05-16 2023-11-24 华为技术有限公司 安全通信的方法与装置
CN115002768B (zh) * 2022-05-23 2024-07-02 中国电信股份有限公司 一种请求消息处理方法、装置及系统
CN117318948A (zh) * 2022-06-20 2023-12-29 华为技术有限公司 通信方法和装置
EP4354798A1 (en) * 2022-10-10 2024-04-17 Nokia Technologies Oy Enhanced security in communication networks
CN118200914A (zh) * 2022-12-14 2024-06-14 华为技术有限公司 一种通信方法及装置
CN115801476B (zh) * 2023-02-09 2023-05-05 中国证券登记结算有限责任公司 一种应用请求的验证方法和装置
CN118540707A (zh) * 2023-02-23 2024-08-23 华为技术有限公司 建立安全通道的方法、装置及可读存储介质
WO2024192663A1 (en) * 2023-03-21 2024-09-26 Nokia Shanghai Bell Co., Ltd. N32 interface enhancement for network slicing
CN118713843A (zh) * 2023-03-25 2024-09-27 华为技术有限公司 一种信息处理方法及通信装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050069136A1 (en) * 2003-08-15 2005-03-31 Imcentric, Inc. Automated digital certificate renewer
CN101132405A (zh) * 2006-08-21 2008-02-27 华为技术有限公司 提供业务代理功能的通信网络系统和方法及业务代理装置
CN105122738A (zh) * 2014-03-26 2015-12-02 华为技术有限公司 基于网络功能虚拟化的证书配置方法、装置和系统
CN109428874A (zh) * 2017-08-31 2019-03-05 华为技术有限公司 基于服务化架构的注册方法及装置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8892869B2 (en) * 2008-12-23 2014-11-18 Avaya Inc. Network device authentication
US20100306442A1 (en) * 2009-06-02 2010-12-02 International Business Machines Corporation Detecting lost and out of order posted write packets in a peripheral component interconnect (pci) express network
US9525690B2 (en) * 2014-05-27 2016-12-20 Bank Of Ozarks Securely integrating third-party applications with banking systems
CN104378210B (zh) * 2014-11-26 2018-01-26 成都卫士通信息安全技术有限公司 跨信任域的身份认证方法
EP3308516B1 (en) * 2015-06-11 2020-04-22 Siemens Aktiengesellschaft Authorization apparatus and method for an authorized issuing of an authentication token for a device
US10250590B2 (en) * 2015-08-31 2019-04-02 Samsung Electronics Co., Ltd. Multi-factor device registration for establishing secure communication
WO2017081639A2 (en) * 2015-11-10 2017-05-18 Levin Pavel Method and system for network communication
KR20170056350A (ko) * 2015-11-13 2017-05-23 한국전자통신연구원 Nfv 자원 할당 검증 장치
CN107147611B (zh) * 2016-03-01 2020-07-24 华为技术有限公司 传输层安全tls建链的方法、用户设备、服务器和系统
US10609070B1 (en) * 2016-03-10 2020-03-31 Claude W. Farmer, III Device based user authentication
US20170289197A1 (en) * 2016-03-31 2017-10-05 Qualcomm Incorporated Transport layer security token binding and trusted signing
CN106302394B (zh) * 2016-07-26 2019-08-30 京信通信系统(中国)有限公司 安全通道建立方法和系统
CN108347417B (zh) * 2017-01-24 2020-08-07 华为技术有限公司 一种网络认证方法、用户设备、网络认证节点及系统
KR102511778B1 (ko) * 2018-03-05 2023-03-21 삼성전자주식회사 전자 디바이스 및 전자 디바이스의 디지털 키 프로비저닝 수행 방법
WO2020112126A1 (en) * 2018-11-30 2020-06-04 Hewlett-Packard Development Company, L.P. Device validation using tokens

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050069136A1 (en) * 2003-08-15 2005-03-31 Imcentric, Inc. Automated digital certificate renewer
CN101132405A (zh) * 2006-08-21 2008-02-27 华为技术有限公司 提供业务代理功能的通信网络系统和方法及业务代理装置
CN105122738A (zh) * 2014-03-26 2015-12-02 华为技术有限公司 基于网络功能虚拟化的证书配置方法、装置和系统
CN109428874A (zh) * 2017-08-31 2019-03-05 华为技术有限公司 基于服务化架构的注册方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024065798A1 (en) * 2022-09-30 2024-04-04 Nokia Shanghai Bell Co., Ltd. Certificate management for network functions
WO2024093684A1 (zh) * 2022-11-06 2024-05-10 华为技术有限公司 通信方法、装置和系统

Also Published As

Publication number Publication date
CN111865598A (zh) 2020-10-30
CN114785523B (zh) 2024-07-30
WO2020220865A1 (zh) 2020-11-05
EP3902199A1 (en) 2021-10-27
CN111865598B (zh) 2022-05-10
EP3902199A4 (en) 2021-11-24
US20220052992A1 (en) 2022-02-17
US12052233B2 (en) 2024-07-30

Similar Documents

Publication Publication Date Title
CN111865598B (zh) 网络功能服务的身份校验方法及相关装置
US11844014B2 (en) Service authorization for indirect communication in a communication system
CN109315004B (zh) Pdu类型的设置方法及相关实体
CN111565404B (zh) 一种数据分流方法和装置
CN113438196B (zh) 一种服务授权方法、装置及系统
WO2019237073A1 (en) Systems, devices, and techniques for managing data sessions in a wireless network using a native blockchain platform
US9380038B2 (en) Bootstrap authentication framework
CN110800331A (zh) 网络验证方法、相关设备及系统
WO2018202284A1 (en) Authorizing access to user data
CN112105021B (zh) 一种认证方法、装置及系统
CN111630882B (zh) 用户设备、认证服务器、介质、及确定密钥的方法和系统
CN112822678B (zh) 一种服务化架构授权的方法
WO2019056971A1 (zh) 一种鉴权方法及设备
JP2023519997A (ja) 端末パラメータ更新を保護するための方法および通信装置
EP3902213A1 (en) Relay method, relay system, and relay program
TWI820696B (zh) 通訊方法、裝置及電腦可讀儲存介質
CN112492592A (zh) 一种多个nrf场景下的授权方法
EP3852339A1 (en) Enabling quality of service for trusted 3rd party network functions in core networks
WO2021099675A1 (en) Mobile network service security management
US12120522B2 (en) Provision of application level identity
WO2021079023A1 (en) Inter-mobile network communication security
CN115086956A (zh) 通信网络的入网方法、入网装置、介质和电子设备
US20240114057A1 (en) Secure user equipment policy data in a communication network environment
US20240373224A1 (en) Methods, systems, and computer readable media for authentication between network function repository functions across different networks
WO2024195282A1 (ja) コアネットワークノード、データ生成方法、プログラム及び通信システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant