CN115396867A - 通信方法和网络设备 - Google Patents
通信方法和网络设备 Download PDFInfo
- Publication number
- CN115396867A CN115396867A CN202110567958.9A CN202110567958A CN115396867A CN 115396867 A CN115396867 A CN 115396867A CN 202110567958 A CN202110567958 A CN 202110567958A CN 115396867 A CN115396867 A CN 115396867A
- Authority
- CN
- China
- Prior art keywords
- authorization
- network element
- manner
- network
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 299
- 238000004891 communication Methods 0.000 title claims abstract description 95
- 238000013475 authorization Methods 0.000 claims abstract description 1355
- 230000006870 function Effects 0.000 claims description 318
- 230000003068 static effect Effects 0.000 claims description 184
- 238000012545 processing Methods 0.000 claims description 75
- 230000015654 memory Effects 0.000 claims description 56
- 238000004590 computer program Methods 0.000 claims description 22
- 239000011814 protection agent Substances 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 abstract description 46
- 230000004044 response Effects 0.000 description 106
- 230000008569 process Effects 0.000 description 32
- 230000005540 biological transmission Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 24
- 101000588302 Homo sapiens Nuclear factor erythroid 2-related factor 2 Proteins 0.000 description 21
- 102100031701 Nuclear factor erythroid 2-related factor 2 Human genes 0.000 description 21
- 102100023843 Selenoprotein P Human genes 0.000 description 14
- 238000007726 management method Methods 0.000 description 14
- 101710205374 Extracellular elastase Proteins 0.000 description 9
- 230000011664 signaling Effects 0.000 description 9
- 102100031702 Endoplasmic reticulum membrane sensor NFE2L1 Human genes 0.000 description 8
- 101000588298 Homo sapiens Endoplasmic reticulum membrane sensor NFE2L1 Proteins 0.000 description 8
- 101000577547 Homo sapiens Nuclear respiratory factor 1 Proteins 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 description 5
- 102000007530 Neurofibromin 1 Human genes 0.000 description 5
- 108010085793 Neurofibromin 1 Proteins 0.000 description 5
- 238000011161 development Methods 0.000 description 5
- 230000000670 limiting effect Effects 0.000 description 5
- 230000002829 reductive effect Effects 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000036961 partial effect Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 102100027668 Carboxy-terminal domain RNA polymerase II polypeptide A small phosphatase 1 Human genes 0.000 description 1
- 101710134395 Carboxy-terminal domain RNA polymerase II polypeptide A small phosphatase 1 Proteins 0.000 description 1
- 102100027667 Carboxy-terminal domain RNA polymerase II polypeptide A small phosphatase 2 Human genes 0.000 description 1
- 101710134389 Carboxy-terminal domain RNA polymerase II polypeptide A small phosphatase 2 Proteins 0.000 description 1
- 238000004873 anchoring Methods 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- PUPNJSIFIXXJCH-UHFFFAOYSA-N n-(4-hydroxyphenyl)-2-(1,1,3-trioxo-1,2-benzothiazol-2-yl)acetamide Chemical compound C1=CC(O)=CC=C1NC(=O)CN1S(=O)(=O)C2=CC=CC=C2C1=O PUPNJSIFIXXJCH-UHFFFAOYSA-N 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/14—Mobility data transfer between corresponding nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了一种通信方法和网络设备,该通信方法包括:确定第二授权方式和第三授权方式,第二授权方式是服务消费功能网元所属网络对应的授权方式,第三授权方式是服务提供功能网元所属网络对应的授权方式;根据第二授权方式和第三授权方式确定第一授权方式,第一授权方式是访问服务提供功能网元的授权方式;发送该第三授权方式。本申请实施例的通信方法和网络设备,能够完成不同网络功能网元之间授权机制的协商,使得服务消费功能网元获得业务访问的授权方式,进而解决授权冲突的问题。
Description
技术领域
本申请涉及通信领域,并且更具体地,涉及一种通信方法和网络设备。
背景技术
当前第五代(the 5th Generation,5G)网络中,针对基于服务化架构(ServiceBased Architecture,SBA),不同网络功能(network function,NF)网元之间的业务访问是基于授权机制进行的,比如:包括静态授权方式和Oauth授权方式。
其中,网络功能网元在进行业务访问时需要确定执行的授权方式。特别是在漫游场景下,如果服务消费功能网元和服务提供功能网元属于不同的运营商,那么两个网元之间的授权机制不同,就会出现授权冲突的问题,从而发生业务的中断。
因此,不同网络功能网元之间如何完成授权方式的协商是亟待解决的问题。
发明内容
第一方面,提供了一种通信方法,该方法可以由网络存储功能(networkrepository function,NRF)网元或安全边缘保护代理(security edge protectionproxy,SEPP)网元执行,该方法包括:确定第一授权方式和第二授权方式,该第一授权方式是服务消费功能网元所属网络对应的授权方式,该第二授权方式是服务提供功能网元所属网络对应的授权方式;根据该第一授权方式和该第二授权方式确定第三授权方式,该第三授权方式是访问服务提供功能网元的授权方式;发送该第三授权方式。
根据本申请提供的方案,通过确定第一授权方式和第二授权方式,根据第一授权方式和第二授权方式确定第三授权方式,并向服务消费功能网元发送该第三授权方式。采用协商的方式进行确定访问服务提供功能网元的授权方式,进而解决授权冲突的问题,保证不同网络功能网元之间的业务访问正常进行。
结合第一方面,在第一方面的某些实现方式中,确定第二授权方式,包括:接收第一请求消息,该第一请求消息包括该服务提供功能网元所属网络的标识信息;根据该服务提供功能网元所属网络的标识信息确定该第二授权方式。
示例性的,确定第二授权方式可以是网络存储功能NRF网元或安全边缘保护代理SEPP网元配置该第二授权方式。通过配置对端授权方式,例如服务提供功能(NF serviceproducer,NFp)网元所属网络公共陆地移动网标识(public land mobile networkidentity,PLMN ID2)对应的授权方式,使得NRF或SEPP在接收到NFc请求访问对端NFp网元的授权方式时,本端NRF或SEPP可以直接根据NFc网元所属网络PLMN ID1对应的授权方式和对端NFp所属网络PLMN ID2对应的授权方式确定最终访问NFp的授权方式,减少NFc和NFp之间的授权冲突。
应理解,本申请实施例中,第一请求消息包括发现请求消息和/或授权请求消息。
结合第一方面,在第一方面的某些实现方式中,确定第一授权方式,包括:获取该服务消费功能网元所属网络的标识信息;根据该服务消费功能网元所属网络的标识信息确定该第一授权方式。
结合第一方面,在第一方面的某些实现方式中,获取服务消费功能网元所属网络的标识信息,包括:接收服务消费功能网元所属网络的标识信息,或者根据第一网络存储功能网元和第一安全边缘保护代理网元之间的连接确定所述服务消费功能网元所属网络的标识信息。
示例性的,从服务消费功能网元NFc接收服务消费功能网元所属网络的标识信息。
作为示例而非限定,NRF或者SEPP可以直接配置访问服务提供功能NFp网元对应的授权方式,即第一授权方式,NRF或者SEPP直接保存有该第一授权方式。此时,当NFc请求访问NFp的授权方式时,NRF或者SEPP不需要再根据PLMN ID1和PLMN ID2支持的授权方式确定最终授权方式。该实现方式既可以避免不同网元互相访问服务时发生授权冲突,又能够较少信令开销。
结合第一方面,在第一方面的某些实现方式中,该第三授权方式为开放授权方式,该方法还包括:接收第二请求消息,该第二请求消息用于请求获取第一令牌,该第一令牌用于授权该服务消费功能网元访问该第一服务;确定该第一令牌;发送该第一令牌。
示例性的,NRF网元负责服务授权的判断,例如服务消费功能NFc网元在访问服务提供功能NFp网元之前,会先向NRF发送请求消息,NRF判断允许NFc访问NFp之后,会生成一个授权令牌token,并发送token给NFc。使得NFc在访问NFp服务携带token。待NFp在校验token成功后,会为NFc提供对应的服务。
示例性的,第一请求信息和第二请求消息均还包括以下信息中的一个或多个:服务消费功能网元所属网络的标识信息、服务提供功能网元的业务类型、服务消费功能网元的业务类型。
结合第一方面,在第一方面的某些实现方式中,根据该第一授权方式和该第二授权方式确定第三授权方式,包括:根据该第一授权方式和该第二授权方式的共有授权方式确定该第三授权方式。
示例性的,当该共有授权方式为该静态授权方式或该开放授权方式,确定该静态授权方式或该开放授权方式为该第三授权方式;当该共有授权方式为该静态授权方式和该开放授权方式,根据本地策略确定该第三授权方式,或者确定该开放授权方式为该第三授权方式。
通过选取第一授权方式和第二授权方式的交集进一步确定最终NFc访问NFp服务使用的授权方式,避免由于授权冲突的问题,导致发生业务的中断。
示例性的,当第一授权方式和第二授权方式的共有授权方式同时支持静态授权方式和开放授权方式时,可以确定开放授权方式为最终NFc访问NFp服务所使用的授权方式;也可以根据本地策略进一步确定该第三授权方式,例如,根据NFc网元的能力,或者NFc所在网络的授权策略的机制等,本申请对此不作限定。
作为示例而非限定,NRF或SEPP根据NFp所属网络(例如,PLMN ID2)直接确定第三授权,无需根据第一授权方式和第二授权方式的共有方式,进一步确定访问NFp服务的授权方式,并向NFc发送该第三授权方式。
第二方面,提供了一种通信方法,该方法可以由服务消费功能(NF serviceconsumer,NFc)网元执行,该方法包括:接收第三授权方式,该第三授权方式是访问服务提供功能网元的授权方式,该第三授权方式是根据第一授权方式和第二授权方式确定的,该第一授权方式是服务消费功能网元所属网络对应的授权方式,该第二授权方式是该服务提供功能网元所属网络对应的授权方式;根据该第三授权方式向该服务提供功能网元请求第一服务。
根据本申请提供的方案,通过接收第三授权方式,即访问服务提供功能网元的授权方式,并根据该第三授权方式向NFp发送服务请求。该第三授权方式是采用协商的方式进行确定的,进而解决NFc和NFp网元之间授权冲突的问题,保证不同网络功能网元之间的业务访问正常进行。
结合第二方面,在第二方面的某些实现方式中,在接收该第三授权方式之前,该方法还包括:发送第一请求消息,该第一请求消息用于请求获取该第三授权方式,该第一请求消息包括该服务提供功能网元所属网络的标识信息。
应理解,本申请实施例中,第一请求消息包括发现请求消息和/或授权请求消息。
示例性的,发送第一请求消息包括:向网络存储功能NRF网元或安全边缘保护代理SEPP网元或服务通信代理(service communication proxy,SCP)网元发送第一请求消息。
应理解,当前5G架构包括SCP网元。SCP是NF网元的代理,也可以理解SCP为一个SCP域的出入口,或者代理节点。因此不同域之间的协商,也可以通过SCP来完成,例如NFc-SCP1-SCP2-NFp。所以上述通过SEPP直接协商的方式,也可以使用SCP的方式。对应的,可以将SCP替换为上述SEPP,PLMN ID替换为SCP域标识。
本申请适用不同域之间的协商,通过域标识确定此域授权方式的机制。例如NRF域、NF set域、SCP域,安全域等。域标识也可以不同,例如SCP域ID,NF set域ID,安全域ID,NRF域ID等。以下以漫游场景,域标识为PLMN ID为例进行描述。
结合第二方面,在第二方面的某些实现方式中,根据该第三授权方式向该服务提供功能网元请求第一服务,包括:当该第三授权方式为开发授权方式,向NRF发送第二请求消息,该第二请求消息用于请求获取第一令牌,该第一令牌用于授权该服务消费功能网元访问该第一服务;接收该第一令牌;向该服务提供功能网元发送用于请求该第一服务的消息,该用于请求该第一服务的消息中包括该第一令牌。
示例性的,NRF网元负责服务授权的判断,例如服务消费功能NFc网元在访问服务提供功能NFp网元之前,会先向NRF发送请求消息,NRF判断允许NFc访问NFp之后,会生成一个授权令牌token,并发送token给NFc。使得NFc在访问NFp服务携带token。待NFp在校验token成功后,会为NFc提供对应的服务。
结合第二方面,在第二方面的某些实现方式中,根据该第三授权方式向该服务提供功能网元请求第一服务,包括:当第三授权方式为静态授权方式,NFc直接使用该静态授权方式向NFp请求服务。例如发送业务请求至NFp,NFp根据静态授权方式(例如本地策略)判断是否授权NFc使用其请求的服务。
示例性的,第一请求信息和第二请求消息均还包括以下信息中的一个或多个:服务消费功能网元所属网络的标识信息、服务提供功能网元的业务类型、服务消费功能网元的业务类型。
结合第二方面,在第二方面的某些实现方式中,该接收第三授权方式包括:从网络存储功能网元或安全边缘保护代理网元接收该第三授权方式。
第三方面,提供了一种通信方法,该方法可以由第二网络存储功能NRF2网元或第二安全边缘保护代理SEPP2网元执行,该方法包括:接收请求消息,该请求消息用于请求获取访问第二功能网元的授权方式,该请求消息包括第一功能网元所属网络对应的授权方式;确定该第二功能网元所属网络对应的授权方式;根据该第一功能网元所属网络对应的授权方式和该第二功能网元所属网络对应的授权方式确定访问该第二功能网元的授权方式;发送访问该第二功能网元的授权方式。
可选地,该请求信息包括用于指示NRF2或SEPP2返回第二功能网元的授权方式的指示信息。
示例性的,SEPP2可以同时为多个NFc所属多个网络提供服务,或者仅为NFc所属网络PLMN ID1提供服务。如果SEPP2为多个PLMN ID对应的网络提供服务,那么SEPP2需要从SEPP1接收具体的某一PLMN ID,并根据接收到的PLMN ID确定对应的授权方式。
根据本申请提供的方案,通过两端NRF之间的协商,或者SEPP之间的协商,进而确定访问第二功能网元的授权方式,有效解决不同网元间授权冲突的问题,保证不同网络功能网元之间的业务访问正常进行。
结合第三方面,在第三方面的某些实现方式中,该第一功能网元包括第一网络存储功能网元或第一安全边缘保护代理网元,该第二功能网元包括第二网络存储功能网元或第二安全边缘保护代理网元。
结合第三方面,在第三方面的某些实现方式中,确定该第二功能网元所属网络对应的授权方式,包括:获取该第二功能网元所属网络的标识信息;根据该第二功能网元所属网络的标识信息确定该第二功能网元所属网络对应的授权方式。
结合第三方面,在第三方面的某些实现方式中,根据该第一功能网元所属网络对应的授权方式和该第二功能网元所属网络对应的授权方式确定访问该第二功能网元的授权方式,包括:根据该第一功能网元所属网络对应的授权方式和该第二功能网元所属网络对应的授权方式的共有授权方式确定访问该第二功能网元的授权方式;
示例性的,当该共有授权方式为该静态授权方式或该开放授权方式,确定该静态授权方式或该开放授权方式为访问该第二功能网元的授权方式;当该共有授权方式为该静态授权方式和该开放授权方式,根据本地策略确定访问该第二功能网元的授权方式,或者确定该开放授权方式为访问该第二功能网元的授权方式。应理解,本申请实施例中根据本地策略确定访问该第二功能网元的授权方式,可以是基于NFc网元的能力,或者NFc所在网络的授权策略的机制等确定,本申请对此不作限定。
第四方面,提供了一种通信方法,该方法可以由第一网络存储功能NRF1网元或第一安全边缘保护代理SEPP1网元执行,该方法包括:确定第一功能网元所属网络对应的授权方式;发送请求消息,该请求消息用于请求获取访问第二功能网元的授权方式,该请求消息包括该第一功能网元所属网络对应的授权方式;接收访问第二功能网元的授权方式,访问第二功能网元的授权方式是根据该第一功能网元所属网络对应的授权方式和该第二功能网元所属网络对应的授权方式确定的;发送访问第二功能网元的授权方式。
可选地,该请求信息包括用于指示NRF2或SEPP2返回第二功能网元的授权方式的指示信息。
示例性的,SEPP2可以同时为多个NFc所属多个网络提供服务,或者仅为NFc所属网络PLMN ID1提供服务。如果SEPP2为多个PLMN ID对应的网络提供服务,那么SEPP2需要从SEPP1接收具体的某一PLMN ID,并根据接收到的PLMN ID确定对应的授权方式。
根据本申请提供的方案,通过向对端NRF2或SEPP2请求获取访问第二功能网元的授权方式,并接收访问第二功能网元的授权方式。再向NFc发送访问第二功能网元的授权方式,使得NFc可以基于该授权方式向第二功能网元发送服务请求,避免网元间授权冲突,保证业务访问的正常进行。
结合第四方面,在第四方面的某些实现方式中,该第一功能网元包括第一网络存储功能网元或第一安全边缘保护代理网元,该第二功能网元包括第二网络存储功能网元或第二安全边缘保护代理网元。
结合第四方面,在第四方面的某些实现方式中,确定该第一功能网元所属网络对应的授权方式,包括:获取该第一功能网元所属网络的标识信息;根据该第一功能网元所属网络的标识信息确定该第一功能网元所属网络对应的授权方式。
第五方面,提供了一种通信方法,该方法可以由第一网络存储功能NRF1网元或第一安全边缘保护代理SEPP1网元执行,该方法包括:发送请求消息,该请求消息包括获取第二功能网元所属网络对应的授权方式的指示信息;接收该第二功能网元所属网络对应的授权方式;根据该第二功能网元所属网络对应的授权方式和第一功能网元所属网络对应的授权方式确定访问该第二功能网元的授权方式;发送访问该第二功能网元的授权方式。
示例性的,NRF1网元或SEPP1网元向NFc发送访问第二功能网元的授权方式,使得NFc可以基于该授权方式向第二功能网元发送服务请求,避免网元间授权冲突,保证业务访问正常进行。
根据本申请提供的方案,通过发送请求获取第二功能网元所述网络对应的授权方式的指示信息,来获取第二功能网元所属网络对应的授权方式,再根据第一功能网元和第二功能网元分别对应的授权方式进一步确定最终的授权方式,即NFc访问第二功能网元的授权方式。通过两端NRF之间的协商或SEPP之间的协商来确定访问第二功能网元的授权方式。该实现方式时效性较好,因为如果对端网络的授权方式发生变化,通过两端网元之间的协商可以获得最新的授权机制。
结合第五方面,在第五方面的某些实现方式中,该第一功能网元包括第一网络存储功能网元或第一安全边缘保护代理网元,该第二功能网元包括第二网络存储功能网元或第二安全边缘保护代理网元。
结合第五方面,在第五方面的某些实现方式中,发送通知消息,该通知消息用于指示访问该第一功能网元对应的授权方式,该通知消息包括该第一功能网元所属网络对应的授权方式。
示例性的,NRF1网元或SEPP1网元向NRF2网元或SEPP2网元发送该通知消息,方便后续NFp所在网络内NF网元请求访问第一功能网元所在网络内NF网元对应的授权方式时,NRF2网元或SEPP2网元可以直接将第一功能网元对应的授权方式发送给NFp,避免协商流程,既能解决网元间授权冲突问题,还能够减少信令开销。
结合第五方面,在第五方面的某些实现方式中,获取该第一功能网元所属网络的标识信息;根据该第一功能网元所属网络的标识信息确定该第一功能网元所属网络对应的授权方式。
示例性的,第三请求信息包括第三指示,第三指示用于指示需要返回第二功能网元的授权方式。
第六方面,提供了一种通信方法,该方法可以由第二网络存储功能NRF2网元或第二安全边缘保护代理SEPP2网元执行,该方法包括:接收请求消息,该请求消息包括获取第二功能网元所属网络对应的授权方式的指示信息;确定该第二功能网元所属网络对应的授权方式;发送该第二功能网元所属网络对应的授权方式。
根据本申请提供的方案,通过接收请求获取第二功能网元所述网络对应的授权方式的指示信息,并向NRF1或SEPP1发送第二功能网元所属网络对应的授权方式。通过两端NRF之间的协商或SEPP之间的协商来确定访问第二功能网元的授权方式。该实现方式时效性较好,因为如果对端网络的授权方式发生变化,通过两端网元之间的协商可以获得最新的授权机制。
结合第六方面,在第六方面的某些实现方式中,该第一功能网元包括第一网络存储功能网元或第一安全边缘保护代理网元,该第二功能网元包括第二网络存储功能网元或第二安全边缘保护代理网元。
结合第六方面,在第六方面的某些实现方式中,接收通知消息,该通知消息用于指示访问该第一功能网元对应的授权方式,该通知消息包括该第一功能网元所属网络对应的授权方式。
示例性的,NRF2网元或SEPP2网元接收来自NRF1网元或SEPP1网元的通知消息,方便后续NFp请求访问第一功能网元对应的授权方式时,NRF2网元或SEPP2网元可以直接将第一功能网元对应的授权方式发送给NFp,避免协商流程,既能解决网元间授权冲突问题,还能够减少信令开销。
结合第六方面,在第六方面的某些实现方式中,确定该第二功能网元所属网络对应的授权方式,包括:获取该第二功能网元所属网络的标识信息;根据该第二功能网元所属网络的标识信息确定该第二功能网元所属网络对应的授权方式。
第七方面,提供了一种通信方法,该方法可以由服务消费功能NFc网元执行,该方法包括:接收授权指示信息,该授权指示信息用于确定访问服务提供功能网元的授权方式,该授权指示信息为多个指示信息中的一个,该多个指示信息包括第一指示信息和第二指示信息,该第一指示信息用于指示静态授权方式,该第二指示信息用于指示在静态授权方式和开放授权方式中优先使用开放授权方式;根据该授权指示信息确定访问服务提供功能网元的授权方式;根据访问服务提供功能网元的授权方式向该服务提供功能网元请求第二服务。
应理解,在静态授权方式和开放授权方式中优先使用开放授权方式,是因为开放授权方式相对来说适用性更好。
根据本申请提供的方案,通过接收授权指示信息,进一步确定访问服务提供功能网元的授权方式;根据访问服务提供功能网元的授权方式向该服务提供功能网元请求。通过新定义授权指示信息Oauth2required,使得NFc完成授权策略的确定,减少了不必要的协商流程。
结合第七方面,在第七方面的某些实现方式中,根据该授权指示信息确定访问服务提供功能网元的授权方式,包括:
当该服务消费功能网元所属网络对应的授权方式包括该开放授权方式,或该静态授权方式和该开放授权方式,该授权指示信息为该第二指示信息时,确定访问该服务提供功能网元的授权方式是该开放授权方式,或者根据本地策略确定访问服务提供功能网元的授权方式是否为该开放授权方式;或者
当该服务消费功能网元所属网络对应的授权方式包括该静态授权方式,该授权指示信息为该第一指示信息或该第二指示信息时,确定访问该服务提供功能网元的授权方式是该静态授权方式。
应理解,本申请实施例中根据本地策略确定访问该第二功能网元的授权方式,可以是基于NFc网元的能力,或者NFc所在网络的授权策略的机制等确定,本申请对此不作限定。
在该实现方式中,NFc通过授权指示进一步确定访问服务提供功能网元的授权方式是静态授权方式和/或开放授权方式。并根据确定的授权方式向NFp请求服务。其中,如果最终的授权方式是静态方式,则NFc直接采用静态授权方式向NFp发送服务请求;如最终的授权方式是开放授权方式,NFc则需要先向NRF发送请求获取授权令牌token,再携带该授权令牌token向NFp请求服务,待NFp校验token成功后,为NFc提供相应的服务。
结合第七方面,在第七方面的某些实现方式中,该多个指示信息还包括第三指示信息,该第三指示信息用于指示该开放授权方式,根据该授权指示信息确定访问服务提供功能网元的授权方式,包括:
当该服务消费功能网元所属网络对应的授权方式包括该开放授权方式,或该静态授权方式和该开放授权方式,该授权指示信息为第三指示信息时,根据该第三指示信息确定访问该服务提供功能网元的授权方式是该开放授权方式;或者
当该服务消费功能网元所属网络对应的授权方式为该静态授权方式,并且访问该服务提供功能网元的授权方式为该开放授权方式,发送拒绝消息,或者根据本地策略确定访问服务提供功能网元的授权方式为该静态授权方式。
结合第七方面,在第七方面的某些实现方式中,发送通知消息,该通知消息用于指示访问该服务消费功能网元对应的授权方式,该通知消息包括该服务消费功能网元所属网络的标识信息和该服务消费功能网元所属网络对应的授权方式。
示例性的,NFc网元向NFp网元发送通知消息,方便后续NFp所在网络内NF网元请求访问服务消费功能NFc所在网络内NF网元时,可以直接将NFc网元对应的授权方式发送给NFp,避免协商流程,既能解决网元间授权冲突问题,还能够减少信令开销。
第八方面,提供了一种通信方法,该方法可以由第二服务提供功能(NF serviceproducer,NFp)网元执行,该方法包括:确定访问服务提供功能网元的授权方式的授权指示信息,该授权指示信息为多个指示信息中的一个,该多个指示信息包括第一指示信息和第二指示信息,该第一指示信息用于指示静态授权方式,该第二指示信息用于指示在静态授权方式和开放授权方式中优先使用开放授权方式;发送该授权指示信息。
应理解,在静态授权方式和开放授权方式中优先使用开放授权方式,是因为开放授权方式相对来说适用性更好。
根据本申请提供的方案,通过新定义的授权指示信息Oauth2required,NFp确定并向NFc发送授权指示信息,使得NFc完成访问服务提供功能网元的授权方式的确定,减少了不必要的协商流程。
结合第八方面,在第八方面的某些实现方式中,接收通知消息,该通知消息用于指示访问该服务消费功能网元对应的授权方式,该通知消息包括该服务消费功能网元所属网络的标识信息和该服务消费功能网元所属网络对应的授权方式。
示例性的,NFp网元接收来自NFc网元的通知消息,方便后续NFp请求访问服务消费功能NFc网元时,可以直接将NFc网元对应的授权方式发送给NFp,避免协商流程,既能解决网元间授权冲突问题,还能够减少信令开销。
结合第一方面至第八方面,在某些实现方式中,该第一授权方式和第二授权方式包括静态授权方式和/或开放授权方式。对应地,该第三授权方式是静态授权方式和/或开放授权方式。这里静态授权方式(static)是基于本地授权策略的机制,开放授权方式(openauthorization,Oauth)是一种基于令牌等授权参数的开放授权机制,其包括授权中心,业务的使用者,业务的提供者或者资源的拥有者等实体。授权中心会授权是否允许业务使用者使用业务提供者的服务。如果允许的话,则为业务使用者分发令牌。业务使用者发送令牌至业务提供者,当令牌校验成功后,业务提供者则为业务使用者提供服务。在5G网络则定义一个网络存储功能NRF网元进行服务授权的判断,该网络存储功能网元与该服务消费功能网元对应。
第九方面,提供了一种网络设备,该方法可以由网络存储功能NRF网元或安全边缘保护代理SEPP网元执行,该方法包括:处理单元,用于确定第一授权方式和第二授权方式,该第一授权方式是服务消费功能网元所属网络对应的授权方式,该第二授权方式是服务提供功能网元所属网络对应的授权方式;该处理单元,还用于根据该第一授权方式和该第二授权方式确定第三授权方式,该第三授权方式是访问服务提供功能网元的授权方式;收发单元,用于发送该第三授权方式。
具体地,该收发单元可以执行上述第一方面中涉及接收/发送的处理;该处理单元可以执行上述第一方面中除了接收/发送之外的其他处理。
第十方面,提供了一种网络设备,该方法可以由服务消费功能NFc网元执行,该方法包括:收发单元,用于接收第三授权方式,该第三授权方式是访问服务提供功能网元的授权方式,该第三授权方式是根据第一授权方式和第二授权方式确定的,该第一授权方式是服务消费功能网元所属网络对应的授权方式,该第二授权方式是该服务提供功能网元所属网络对应的授权方式;处理单元,用于根据该第三授权方式向该服务提供功能网元请求第一服务。
具体地,该收发单元可以执行上述第二方面中涉及接收/发送的处理;该处理单元可以执行上述第二方面中除了接收/发送之外的其他处理。
第十一方面,提供了一种网络设备,该方法可以由第二网络存储功能NRF2网元或第二安全边缘保护代理SEPP2网元执行,该方法包括:收发单元,用于接收请求消息,该请求消息用于请求获取访问第二功能网元的授权方式,该请求消息包括第一功能网元所属网络对应的授权方式;处理单元,用于确定该第二功能网元所属网络对应的授权方式;该处理单元,还用于根据该第一功能网元所属网络对应的授权方式和该第二功能网元所属网络对应的授权方式确定访问该第二功能网元的授权方式;该收发单元,还用于发送访问该第二功能网元的授权方式。
具体地,该收发单元可以执行上述第三方面中涉及接收/发送的处理;该处理单元可以执行上述第三方面中除了接收/发送之外的其他处理。
第十二方面,提供了一种网络设备,该方法可以由第一网络存储功能NRF1网元或第一安全边缘保护代理SEPP1网元执行,该方法包括:处理单元,用于确定第一功能网元所属网络对应的授权方式;收发单元,用于发送请求消息,该请求消息用于请求获取访问第二功能网元的授权方式,该请求消息包括该第一功能网元所属网络对应的授权方式;该收发单元,还用于接收访问第二功能网元的授权方式,访问第二功能网元的授权方式是根据该第一功能网元所属网络对应的授权方式和该第二功能网元所属网络对应的授权方式确定的;该收发单元,还用于发送访问第二功能网元的授权方式。
具体地,该收发单元可以执行上述第四方面中涉及接收/发送的处理;该处理单元可以执行上述第四方面中除了接收/发送之外的其他处理。
第十三方面,提供了一种网络设备,该方法可以由第一网络存储功能NRF1网元或第一安全边缘保护代理SEPP1网元执行,该方法包括:收发单元,用于发送请求消息,该请求消息包括获取第二功能网元所属网络对应的授权方式的指示信息;该收发单元,还用于接收该第二功能网元所属网络对应的授权方式;处理单元,用于根据该第二功能网元所属网络对应的授权方式和第一功能网元所属网络对应的授权方式确定访问该第二功能网元的授权方式;该收发单元,还用于发送访问该第二功能网元的授权方式。
具体地,该收发单元可以执行上述第五方面中涉及接收/发送的处理;该处理单元可以执行上述第五方面中除了接收/发送之外的其他处理。
第十四方面,提供了一种网络设备,该方法可以由第二网络存储功能NRF2网元或第二安全边缘保护代理SEPP2网元执行,该方法包括:接收请求消息,该请求消息包括获取第二功能网元所属网络对应的授权方式的指示信息;确定该第二功能网元所属网络对应的授权方式;发送该第二功能网元所属网络对应的授权方式。
具体地,该收发单元可以执行上述第六方面中涉及接收/发送的处理;该处理单元可以执行上述第六方面中除了接收/发送之外的其他处理。
第十五方面,提供了一种网络设备,该方法可以由服务消费功能NFc网元执行,该方法包括:收发单元,用于接收授权指示信息,该授权指示信息用于确定访问服务提供功能网元的授权方式,该授权指示信息为多个指示信息中的一个,该多个指示信息包括第一指示信息和第二指示信息,该第一指示信息用于指示静态授权方式,该第二指示信息用于指示在静态授权方式和开放授权方式中优先使用开放授权方式;处理单元,用于根据该授权指示信息确定访问服务提供功能网元的授权方式;该处理单元,还用于根据访问服务提供功能网元的授权方式向该服务提供功能网元请求第二服务。
具体地,该收发单元可以执行上述第七方面中涉及接收/发送的处理;该处理单元可以执行上述第七方面中除了接收/发送之外的其他处理。
第十六方面,提供了一种网络设备,该方法可以由第二服务提供功能(NF serviceproducer,NFp)网元执行,该方法包括:处理单元,用于确定访问服务提供功能网元的授权方式的授权指示信息,该授权指示信息为多个指示信息中的一个,该多个指示信息包括第一指示信息和第二指示信息,该第一指示信息用于指示静态授权方式,该第二指示信息用于指示在静态授权方式和开放授权方式中优先使用开放授权方式;收发单元,用于发送该授权指示信息。
具体地,该收发单元可以执行上述第八方面中涉及接收/发送的处理;该处理单元可以执行上述第八方面中除了接收/发送之外的其他处理。
第十七方面,提供了一种网络设备,包括:处理器,可选地,还包括存储器,该处理器用于控制收发器收发信号,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得该网络设备执行上述第一方面或第一方面中任一种可能实现方式中的方法,或者第二方面或第二方面中任一种可能实现方式中的方法,或者第三方面或第三方面中任一种可能实现方式中的方法,或者第四方面或第四方面中任一种可能实现方式中的方法,或者第五方面或第五方面中任一种可能实现方式中的方法,或者第六方面或第六方面中任一种可能实现方式中的方法,或者第七方面或第七方面中任一种可能实现方式中的方法,或者第八方面或第八方面中任一种可能实现方式中的方法。
可选地,该处理器为一个或多个,该存储器为一个或多个。
可选地,该存储器可以与该处理器集成在一起,或者该存储器与处理器分离设置。
可选地,该终端设备还包括收发器,收发器具体可以为发射机(发射器)和接收机(接收器)。
第十八方面,提供了一种通信装置,包括:用于实现第一方面或第一方面任一种可能实现方式中的方法的单元;或者用于实现第二方面或第二方面任一种可能实现方式中的方法;或者用于实现第三方面或第三方面任一种可能实现方式中的方法,或者第四方面或第四方面中任一种可能实现方式中的方法,或者第五方面或第五方面中任一种可能实现方式中的方法,或者第六方面或第六方面中任一种可能实现方式中的方法,或者第七方面或第七方面中任一种可能实现方式中的方法,或者第八方面或第八方面中任一种可能实现方式中的方法。
第十九方面,提供了一种通信系统,包括:网络设备,用于执行如上述第一方面或第一方面任一种可能实现方式中的方法;或者第二方面或第二方面任一种可能实现方式中的方法;或者第三方面或第三方面任一种可能实现方式中的方法,或者第四方面或第四方面中任一种可能实现方式中的方法,或者第五方面或第五方面中任一种可能实现方式中的方法,或者第六方面或第六方面中任一种可能实现方式中的方法,或者第七方面或第七方面中任一种可能实现方式中的方法,或者第八方面或第八方面中任一种可能实现方式中的方法。
第二十方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序或代码,所述计算机程序或代码在计算机上运行时,使得所述计算机执行上述第一方面或第一方面任一种可能实现方式中的方法,第二方面或第二方面任一种可能实现方式中的方法,第三方面或第三方面任一种可能实现方式中的方法,第四方面或第四方面中任一种可能实现方式中的方法,第五方面或第五方面中任一种可能实现方式中的方法,第六方面或第六方面中任一种可能实现方式中的方法,第七方面或第七方面中任一种可能实现方式中的方法,以及第八方面或第八方面中任一种可能实现方式中的方法。
第二十一方面,提供了一种芯片,包括至少一个处理器,所述至少一个处理器与存储器耦合,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得安装有该芯片系统的网络设备执行上述第一方面或第一方面任一种可能实现方式中的方法,第二方面或第二方面任一种可能实现方式中的方法,以及第三方面或第三方面任一种可能实现方式中的方法。
其中,该芯片可以包括用于发送信息或数据的输入电路或者接口,以及用于接收信息或数据的输出电路或者接口。
第二十二方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码被网络设备运行时,使得所述网络设备执行上述第一方面或第一方面任一种可能实现方式中的方法,第二方面或第二方面任一种可能实现方式中的方法,第三方面或第三方面任一种可能实现方式中的方法,第四方面或第四方面中任一种可能实现方式中的方法,第五方面或第五方面中任一种可能实现方式中的方法,第六方面或第六方面中任一种可能实现方式中的方法,第七方面或第七方面中任一种可能实现方式中的方法,以及第八方面或第八方面中任一种可能实现方式中的方法。
根据本申请实施例的方案,通过配置对端授权方式,或者增加NFc和NFp之间的网络存储功能网元的协商或安全边缘保护代理网元的协商,或者扩展NFp中的指示信息来减少不必要的协商流程,进而确定NFc访问NFp最终的授权方式。该方法能够完成不同网络功能网元之间授权机制的协商,使得服务消费功能网元获得业务访问的授权方式,进而解决授权冲突的问题,保证业务访问的正常进行。
附图说明
图1是本申请的通信系统的一例的示意图。
图2是本申请的获取授权令牌的方法的一例示意图。
图3是本申请的授权协商场景的一例示意图。
图4是本申请的请求获取服务提供功能网元的信息的一例示意图。
图5是本申请的通信方法的一例示意图。
图6是本申请的网元间授权机制协商方法的一例示意图。
图7是本申请的网元间授权机制协商方法的另一例示意图。
图8是本申请的网元间授权机制协商方法的又一例示意图。
图9是本申请的网元间授权机制协商方法的又一例示意图。
图10是本申请的网元间授权机制协商方法的又一例示意图。
图11是本申请的通信装置的一例示意图。
图12是本申请的通信装置的另一例示意图。
图13是本申请的通信装置的又一例示意图。
图14是本申请的网络设备的一例示意图。
图15是本申请的网络设备的另一例示意图。
图16是本申请的网络设备的又一例示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请实施例的技术方案可以应用于各种通信系统,例如:通用分组无线业务(general packet radio service,GPRS)、长期演进(long term evolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobile telecommunication system,UMTS)、全球互联微波接入(worldwide interoperability for microwave access,WIMAX)通信系统、第五代(5th Generation,5G)系统或新无线(new radio,NR),也可以扩展到类似的无线通信系统中,如无线保真(wireless-fidelity,WIFI),以及第三代合作伙伴计划(3rdgeneration partnership project,3GPP)相关的蜂窝系统等。
通常来说,传统的通信系统支持的连接数有限,也易于实现。然而,随着通信技术的发展,移动通信系统将不仅支持传统的通信,还将支持例如,设备到设备(device todevice,D2D)通信,机器到机器(machine to machine,M2M)通信,机器类型通信(machinetype communication,MTC),车联网(vehicle to everything,V2X)通信,例如,车到车(vehicle to vehicle,V2V)通信、车到基础设施(vehicle to infrastructure,V2I)通信、车到行人(vehicle to pedestrian,V2P)通信、车到网络(vehicle to network,V2N)通信等,车间通信长期演进技术(long term evolution-vehicle,LTE-V)、车联网、物联网(Internet of Things,IoT)、机器间通信长期演进技术(long term evolution-machine,LTE-M)等。
本申请提供的技术方案还可以应用于未来的通信系统,如第六代移动通信系统等。本申请对此不作限定。
在本申请实施例中,网络设备可以是一种部署在无线接入网中为终端设备提供无线通信功能的装置,可以是用于与终端设备通信的设备或者该设备的芯片。该网络设备包括但不限于:无线网络控制器(radio network controller,RNC)、基站控制器(basestation controller,BSC)、家庭基站(例如,home evolved nodeB,或home node B,HNB)、基带单元(baseband unit,BBU),无线保真系统中的接入点(access point,AP)、无线中继节点、无线回传节点、传输点(transmission point,TP)或者发送接收点(transmissionand reception point,TRP)等,还可以为5G(如NR)系统中的gNB或传输点(TRP或TP),或者5G系统中的基站的一个或一组(包括多个天线面板)天线面板,或者还可以为构成gNB或传输点的网络节点,如基带单元BBU,或分布式单元(distributed unit,DU)等。
本申请实施例中的网络设备可以包括各种形式的宏基站,微基站(也称为小站),中继站,接入点等,还可以是LTE系统中的演进型基站(evolutional nodeB,eNB或eNodeB),还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器,或者该网络设备可以为中继站、接入点、可穿戴设备或车载设备、可穿戴设备以及5G或未来网络中的网络设备或者未来演进的公用陆地移动通信网络PLMN网络中的网络设备等。
在一些网络部署中,网络设备可以包括集中式单元(centralized unit,CU)和分布式单元(distributed unit,DU)。网络设备还可以包括射频单元(radio unit,RU)、有源天线单元(active antenna unit,AAU)。CU实现网络设备的部分功能,比如负责处理非实时协议和服务,实现无线资源控制(radio resource control,RRC),分组数据汇聚层协议(packet data convergence protocol,PDCP)层的功能。DU实现网络设备的部分功能,比如负责处理物理层协议和实时服务,实现无线链路控制(radio link control,RLC)层、媒体接入控制(media access control,MAC)层和物理(physical,PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息,或者,由PHY层的信息转变而来。因而在这种架构下,高层信令(例如,RRC层信令)也可以认为是由DU发送的,或者由DU+AAU发送的。可以理解的是,网络设备可以为CU节点、或DU节点、或包括CU节点和DU节点的设备。此外,CU可以划分为接入网RAN中的网络设备,也可以将CU划分为核心网(core network,CN)中的网络设备,在此不做限制。
网络设备为小区提供服务,终端设备通过网络设备分配的传输资源(例如,频域资源,或者频谱资源)与小区进行通信,该小区可以属于宏基站(例如,宏eNB或宏gNB等),也可以属于小小区(small cell)对应的基站,这里的小小区可以包括:城市小区(metro cell)、微小区(micro cell)、微微小区(pico cell)、毫微微小区(femto cell)等,这些小小区具有覆盖范围小、发射功率低的特点,适用于提供高速率的数据传输服务。
图1是应用于本申请实施例的网络架构100的一例示意图,如图1所示,虚线右侧表示本地共用陆地网络(home public land mobile network,HPLMN),虚线左侧表示拜访公用陆地移动网(visited public land mobile network,VPLMN)。下面对该网络架构中可能涉及的部分网元分别进行说明。
(无线)接入网络(radio access network,(R)AN)网元120:包含RAN设备和AN设备,主要用于为特定区域的授权终端设备提供入网功能,并能够根据终端设备的级别,业务的需求等使用不同质量的传输隧道。RAN设备主要是3GPP网络无线网络设备,AN可以是non-3GPP定义的接入网设备。
用户面网元130:主要提供用户平面的业务处理功能,用于终端设备中用户数据的转发和接收,即数据包分组路由和转发,锚定功能、服务质量QoS映射和执行、上行链路的标识识别并路由到数据网络、下行包缓存和下行链路数据到达的通知触发、与外部数据网络连接等,可以从数据网络接收用户数据,通过接入网设备传输给终端设备,还可以通过接入网设备从终端设备接收用户数据,转发到数据网络。
用户面功能(user plane function,UPF)网元中为终端设备提供服务的传输资源和调度功能可以由会话管理功能(session management function,SMF)网元管理控制。在5G通信系统中,该用户面网元可以是用户面功能UPF网元。在未来通信系统中,用户面网元仍可以是UPF网元,或者,还可以有其它的名称,本申请不做限定。
网络存储网元180:用于维护网络中所有网络功能服务的实时信息,负责网元的控制,以及执行网络功能(network function,NF)网元的注册,发现和授权功能。
在5G通信系统中,该网络存储网元可以是网络存储功能(network repositoryfunction,NRF)网元。在未来通信系统中,网络存储网元仍可以是NRF网元,或者,还可以有其它的名称,本申请不做限定。
在本申请中,功能网元可以分为服务消费功能网元(NF service consumer,NFc)和服务提供功能网元(NF service producer,NFp)。NFc是业务消费者NF,NFp是业务提供者NF。NFc从NFp获得NFp提供的服务。在其他场景中,该功能网元也可以为终端、基站、网元、控制器或服务器等实体,本申请不做限定。为描述方便,后续以NF为例进行描述。
需要说明的是,上述“网元”也可以称为实体、设备、装置或模块等,本申请并未特别限定。并且,在本申请中,为了便于理解和说明,在对部分描述中省略“网元”这一描述,例如,将SMF网元简称SMF,此情况下,该“SMF”应理解为SMF网元或SMF实体,以下,省略对相同或相似情况的说明。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。
应理解,以上列举的通信系统包括的网元仅仅为示例性说明,本申请并未限定于此,例如,还可以包括但不限于:
网络切片选择功能网元:用于为用户设备选择一组网络切片实例、确定允许的网络切片选择辅助信息(network slice selection assistance information,NSSAI)和确定可以服务用户设备的AMF集,可以是切片选择功能网元(network slice selectionfunction,NSSF);
绑定支持功能网元:用于查找会话所关联的策略控制功能网元PCF;
安全边缘保护代理(security edge protection proxy,SEPP)网元:两个运营商之间漫游的安全功能网元,分为cSEPP和pSEPP。其中,消费安全边缘保护代理(consumer ofSEPP,cSEPP)网元为NFc侧对应的SEPP,服务安全边缘保护代理(producer of SEPP,pSEPP)网元为NFp侧对应的SEPP。主要执行漫游数据的封装,保护,校验等操作。
网络数据分析功能(network data analytics funtion,NWDA)网元:用于收集与存储来自于终端设备,RAN网元,以及其他网络实体(例如,AMF网元)的信息,并对这些信息进行分析,以及生成关于用户的上下文信息(可以认为是应用层的信息),并对此应用层的信息进行分发等。
在图1所示的网络架构中,N2接口为RAN网元20和AMF网元160的参考点,用于非接入层(non-access stratum,NAS)消息的发送等;N3接口为RAN网元120和UPF网元130之间的参考点,用于传输用户面的数据等;N4接口为SMF网元170和UPF网元130之间的参考点,用于传输例如N3连接的隧道标识信息,数据缓存指示信息,以及下行数据通知消息等信息;N6接口为UPF网元130和DN网元140之间的参考点,用于传输用户面的数据;N9接口为UPF网元130和另一个UPF网元之间的参考点;N32接口为v-安全边缘保护代理(v-security edgeprotection proxy,vSEPP)网元和h-安全边缘保护代理(h-security edge protectionproxy,hSEPP)网元之间的参考点,用于vSEPP和hSEPP通信等。
需要说明的是,基于服务化架构(service based architecture,SBA)的范围限于核心网的控制面网元,不包括用户面功能UPF网元。而且,UPF支持的接口N3,N9,N6,N4都不是服务化接口。从上述架构图中可见,与UPF可以连接的网元设备有SMF,RAN,DN和另一个UPF。
应理解,上述应用于本申请实施例的网络架构仅是举例说明的从服务化架构的角度描述的网络架构,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
例如,在某些网络架构中,AMF、SMF、PCF、GMF以及UDM等网络功能实体都称为网络功能NF网元;或者,在另一些网络架构中,AMF、SMF、PCF、GMF及UDM等网元的集合都可以称为控制面功能(control plane function,CPF)网元。
为方便说明,本申请以装置NF、NRF、SEPP为例,对用于建立会话的方法进行说明。本申请后续所描述的NF均可替换为网络功能网元网,NRF均可替换为网络存储网元、SEPP均可替换为漫游安全网元。对于装置为NF体内的芯片、NRF内的芯片或为SEPP实体内的芯片的实现方法,可参考装置分别为NF实体、NRF实体、SEPP实体的具体说明,不再重复介绍。本申请对NF适用的网元不做限制,例如RAN,UPF,AMF等所有功能网元设备都适用。
本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可。例如,本申请实施例提供的方法的执行主体可以是网络设备,或者是网络设备中能够调用程序并执行程序的功能模块;或者是可用于网络设备的部件(例如芯片或者电路)。
另外,本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmableread-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
当前5G网络中,服务化架构借鉴IT系统服务化/微服务化架构的成功经验,通过模块化实现网络功能间的解耦和整合,每个5G的功能网元都是一个独立的功能。控制面所有NF之间的交互采用服务化接口,同一种服务可以被多种NF调用。针对服务化架构,标准定义了两种NF之间相互访问的授权方式,一种为静态授权方式,一种为Oauth授权方式。
具体地,静态授权方式(static)是一种基于本地授权策略的机制。例如,AMF访问SMF场景,SMF根据AMF发送的业务请求内的参数和本地策略,判断是否允许AMF访问自己的服务。若根据本地授权策略判断允许AMF访问自己的服务,则为AMF提供服务。这里本地策略可以为是否允许AMF类型网络访问自己的服务,本申请对本地策略的举例不做限定。
Oauth授权方式是指,一种基于令牌等授权参数的开放授权机制,其包括授权中心,业务的使用者,业务的提供者或者资源的拥有者等实体。授权中心会授权是否允许业务使用者使用业务提供者的服务。如果允许的话,则为业务使用者分发令牌。业务使用者发送令牌至业务提供者,当令牌校验成功后,业务提供者则为业务使用者提供服务。在5G网络则定义一个NRF网元,其负责服务授权的判断。例如,服务消费功能网元(NF serviceconsumer,NFc)在访问服务提供功能网元(NF service producer,NFp)之前,会先向NRF发送请求消息,NRF判断允许NFc访问NFp之后,会生成一个授权令牌token,并向NFc发送token。然后,NFc在访问NFp服务时,发送服务请求,其中携带token。NFp在校验token成功后,会为NFc提供对应的服务。图2示出了实用本申请的NFc获取token的方法200,如图2所示,具体实现步骤包括:
S210,可选地,服务消费功能网元NFc(用NF1描述)在网络存储功能网元NRF完成注册;
S220,该NFc向NRF(用NF2描述)发送请求消息;对应的,NRF接收来自NFc的请求消息。
其中,该请求消息用于请求获取循序访问NFp的授权令牌token。该请求消息包括:NF1实例ID(例如,NF Instance Id(s)of the NF service consumer)、NF2的NF类型、NF1期望的业务(例如,expected NF service name(s))、以及该NFc期望的NFp的NF类型。
S230,NRF根据本地策略,确定是否授权NF1获取token的请求。
示例性的,NRF计算token,并基于数字签名或者消息验证码的方式完整性保护该token。其中,token包括声明(claim),该claim包括:NRF的NF实例ID,NF1实例ID,NF2的NF类型,期望的业务名称和有效期等。
S240,NRF向NFc发送授权响应消息;对应的,NFc接收来自NRF的授权响应消息。
其中,该响应消息用于指示同意授权该NFc访问NFp,该响应消息包括授权令牌token。
应理解,基于该授权令牌token,NFc可以向NFp请求访问服务,发送服务请求。相应的,NFp在成功校验token后为NFc提供服务。
应理解,以上列举的获取授权令牌token的过程仅为示例性说明,本申请并未限定于此,其他能够实现获取授权令牌的方法及过程均落入本申请的保护范围内。
需要说明的是,当Oauth授权方式没有被采纳的时候,两个网元之间就使用静态授权方式进行交互。特别是在漫游场景下,若NFc和NFp属于不同的运营商,由于授权机制的不同,也会使得NFp拒绝NFc的业务请求,从而发生业务的中断。例如NFc支持静态授权,而NFp支持Oauth授权,那么就会出现授权冲突问题。
图3示出了NFc和NFp基于不同授权方式进行协商的4种场景,如图3所示,场景1中NFc和NFp均只支持静态授权方式(static),二者可以直接通过静态授权方式进行访问与服务;场景2中NFc仅支持静态授权方式(static),NFp同时支持静态授权方式(static)和Oauth授权方式,当NFc向NFp提出访问请求时,NFp可以基于静态授权方式为NFc提供相应的服务;场景3中NFc同时支持静态授权方式(static)和Oauth授权方式,NFp仅支持静态授权方式(static),那么二者之间只能基于静态授权方式(static)进行访问与服务,NFc需要进一步确定是否采用Oauth授权方式,如果该NFc直接发起token授权请求,NFp会拒绝NFc对应的访问请求;场景4中NFc和NFp均同时支持静态授权方式(static)和Oauth授权方式,但是NFc需要进一步确定是否采用Oauth授权方式,如果该NFc直接使用静态授权方式(static)发起访问请求,那么作为更强授权控制能力的token或者Oauth授权方式将可能永远不会被采纳。因此,上述场景3和场景4中都存在NFc和NFp授权机制不一致的问题,容易发生NF间的授权冲突。另外,若NFp仅支持Oauth授权方式,而NFc支持静态授权和Oauth授权方式,当NFc直接发起静态授权,也将会被NFp拒绝。NFc和NFp之间发生冲突的场景较多,此处就不再赘述。
另外,图4示出了适用于本申请的NFc发现流程400的一例示意图,如图4所示,具体实现步骤包括:
S410,服务消费功能网元NFc向网络存储功能NRF网元发送发现服务请求消息;对应的,NRF接收来自NFc的发现服务请求消息。
其中,该服务请求可以为Nnrf_NFDiscovery_Request。该发现请求消息用来请求获得能够为NFc提供服务的NFp的信息。
示例性的,NFc可以向NRF发送与SMF相关的发现请求消息,用于NFc向SMF访问业务。
S420,NRF授权同意该发现服务请求消息。
可选地,NRF根据本地网络策略确定同意授权NFc向SMF访问业务。
S430,NRF向NFc发送发现请求响应消息;对应的,NFc接收来自NRF的发现请求响应消息。
需要说明的是,当前协议定义,在NF发现流程中,NRF会将NFp(例如,SMF)的Nfprofile中的信息发送给NFc。可选地,如果该NFprofile的NF service中包括oauth2required,那么接入NF produce的NFc需要执行Oauth机制。而如果NFc仅支持static,则出现业务中断。因此标准的定义在具体实现中也存在不合理,容易出现漫游时,或者不同域间NF不能互通的问题,例如域1内NFp要求Oauth机制,域2内NFc仅支持static授权。这里域可以为SCP域,NRF域,NF set域,安全域等不同的概念。综上所述,两个NF之间如何进行授权方式的协商是亟待解决的问题,即两个NF之间的业务访问与服务是使用Oauth授权方式还是静态授权方式。另外,当前协议也存在不合理,容易出现漫游时或者域间NF不能互通的问题。基于此,本申请提供了一种通信方法,根据是否考虑Oauth2required指示信息入手,利用NRF或SEPP配置对端授权方式,进而确定最终授权方式,使得NFc确定采用静态授权方式或Oauth授权方式进行访问。该方法能够解决网元(例如,NFc和NFp)之间授权机制不一致的问题,避免NF间授权冲突。
下面结合附图对本申请实施例中通信方法进行详细说明。
图5是适用本申请实施例的授权机制协商方法的一例示意图,具体实现步骤500包括:
S510,网络存储功能NRF网元或安全边缘保护代理SEPP网元确定第一授权方式和第二授权方式。
其中,第一授权方式是服务消费功能网元所属网络对应的授权方式,第二授权方式是服务提供功能网元所属网络对应的授权方式。
根据本申请提供的方案,通过确定第一授权方式和第二授权方式,根据第一授权方式和第二授权方式确定第三授权方式,并向服务消费功能网元发送该第三授权方式。采用协商的方式进行确定访问服务提供功能网元的授权方式,进而解决授权冲突的问题,保证不同网络功能网元之间的业务访问正常进行。
一种可能的实现方式,确定第二授权方式包括:NRF或SEPP接收来自NFc的第一请求消息,该第一请求消息包括该服务提供功能网元所属网络的标识信息;根据该服务提供功能网元所属网络的标识信息确定该第二授权方式。
可选地,NFc向服务通信代理(service communication proxy,SCP)网元发送第一请求消息。
应理解,当前5G架构包括SCP网元。SCP是NF网元的代理,也可以理解SCP为一个SCP域的出入口,或者代理节点。因此不同域之间的协商,也可以通过SCP来完成,例如NFc-SCP1-SCP2-NFp。所以上述通过SEPP直接协商的方式,也可以使用SCP的方式。对应的,可以将SCP替换为上述SEPP,PLMN ID替换为SCP域标识。
示例性的,确定第二授权方式可以是网络存储功能NRF网元或安全边缘保护代理SEPP网元配置该第二授权方式。通过配置对端授权方式,例如服务提供功能(NF serviceproducer,NFp)网元所属网络公共陆地移动网标识(public land mobile networkidentity,PLMN ID2)对应的授权方式,使得NRF或SEPP在接收到NFc请求访问对端NFp网元的授权方式时,本端NRF或SEPP可以直接根据NFc网元所属网络PLMN ID1对应的授权方式和对端NFp所属网络PLMN ID2对应的授权方式确定最终访问NFp的授权方式,减少NFc和NFp之间授权冲突。
应理解,本申请实施例中,第一请求消息包括发现请求消息和/或授权请求消息。
另一种可能的实现方式,确定第一授权方式包括:获取该服务消费功能网元所属网络的标识信息;根据该服务消费功能网元所属网络的标识信息确定该第一授权方式。
进一步地,获取服务消费功能网元所属网络的标识信息,包括:接收服务消费功能网元所属网络的标识信息,或者根据第一网络存储功能网元和第一安全边缘保护代理网元之间的连接确定所述服务消费功能网元所属网络的标识信息。
示例性的,从服务消费功能网元NFc接收服务消费功能网元所属网络的标识信息。
S520,NRF或SEPP根据第一授权方式和第二授权方式确定第三授权方式。
其中,第三授权方式是访问服务提供功能网元的授权方式。
需要说明的是,本申请实施例中,第一授权方式和第二授权方式包括静态授权方式(static)和/或开放授权方式(Oauth)。对应地,该第三授权方式是静态授权方式和/或开放授权方式。这里静态授权方式(static)是基于本地授权策略的机制,开放授权方式(Oauth)是需要网络存储功能NRF网元进行服务授权的判断,该网络存储功能网元与该服务消费功能网元对应。
示例性的,静态授权方式(static)是一种基于本地授权策略的机制。Oauth授权方式是指,一种基于令牌等授权参数的开放授权机制,其包括授权中心,业务的使用者,业务的提供者或者资源的拥有者等实体。授权中心会授权是否允许业务使用者使用业务提供者的服务。如果允许的话,则为业务使用者分发令牌。业务使用者发送令牌至业务提供者,当令牌校验成功后,业务提供者则为业务使用者提供服务。在5G网络则定义一个NRF网元,其负责服务授权的判断。
示例性的,该第三授权方式为开放授权方式,该方法还包括:接收第二请求消息,该第二请求消息用于请求获取第一令牌,该第一令牌用于授权该服务消费功能网元访问该第一服务;确定该第一令牌;发送该第一令牌。
示例性的,NRF网元负责服务授权的判断,例如服务消费功能NFc网元在访问服务提供功能NFp网元之前,会先向NRF发送请求消息,NRF判断允许NFc访问NFp之后,会生成一个授权令牌token,并发送token给NFc。使得NFc在访问NFp服务携带token。待NFp在校验token成功后,会为NFc提供对应的服务。
示例性的,第一请求信息和第二请求消息均还包括以下信息中的一个或多个:服务消费功能网元所属网络的标识信息、服务提供功能网元的业务类型、服务消费功能网元的业务类型。
示例性的,根据该第一授权方式和该第二授权方式确定第三授权方式,包括:根据该第一授权方式和该第二授权方式的共有授权方式确定该第三授权方式;当该共有授权方式为该静态授权方式或该开放授权方式,确定该静态授权方式或该开放授权方式为该第三授权方式;当该共有授权方式为该静态授权方式和该开放授权方式,根据本地策略确定该第三授权方式,或者确定该开放授权方式为该第三授权方式。
通过选取第一授权方式和第二授权方式的交集进一步确定最终NFc访问NFp服务使用的授权方式,避免由于授权冲突的问题,导致发生业务的中断。
示例性的,当第一授权方式和第二授权方式的共有授权方式同时支持静态授权方式和开放授权方式时,可以确定开放授权方式为最终NFc访问NFp服务所使用的授权方式;也可以根据本地策略进一步确定该第三授权方式,例如,根据NFc网元的能力,或者NFc所在网络的授权策略的机制等,本申请对此不作限定。
一种可能的实现方式,NRF或SEPP根据NFp所属网络(例如,PLMN ID2)直接确定第三授权,无需根据第一授权方式和第二授权方式的共有方式,进一步确定访问NFp服务的授权方式,并向NFc发送该第三授权方式。
S530,NRF或SEPP向服务消费功能NFc网元发送第三授权方式;对应的,NFc接收来自NRF或SEPP的第三授权方式。
作为示例而非限定,NRF或SEPP向对端网络存储功能网元NRF2或安全边缘保护代理网元SEPP2发送通知消息,该通知消息用于指示访问该NFc网元对应的授权方式,该通知消息包括该NFc网元所属网络PLMN ID1对应的授权方式。该实现方式为了方便后续NFp所在网络内NF网元请求访问NFc所在网络内NF网元时,NRF2网元或SEPP2网元可以直接将NFc网元对应的授权方式发送给NFp,避免协商流程,既能解决网元间授权冲突问题,还能够减少信令开销。
S540,NFc根据第三授权方式向服务提供功能网元请求第一服务。
一种可能的实现方式,根据该第三授权方式向该服务提供功能网元请求第一服务,包括:当第三授权方式为开放授权方式,向NRF发送第二请求消息,该第二请求消息用于请求获取第一令牌,该第一令牌用于授权该服务消费功能网元访问该第一服务;接收该第一令牌;向该服务提供功能网元发送用于请求该第一服务的消息,该用于请求该第一服务的消息中包括该第一令牌。
示例性的,NRF网元负责服务授权的判断,例如服务消费功能NFc网元在访问服务提供功能NFp网元之前,会先向NRF发送请求消息,NRF判断允许NFc访问NFp之后,会生成一个授权令牌token,并发送token给NFc。使得NFc在访问NFp服务携带token。待NFp在校验token成功后,会为NFc提供对应的服务。
另一种可能的实现方式,当第三授权方式为静态授权方式,NFc直接使用该静态授权方式向NFp请求服务。例如发送业务请求至NFp,NFp根据静态授权方式(例如本地策略)判断是否授权NFc使用其请求的服务。
图6是适用本申请实施例的授权机制协商方法的一例示意图,通过网络存储功能网元配置对端网络授权方式,并确定最终的授权方式,使得服务消费功能网元获得业务访问的授权方式。如图6所示,包括服务消费功能网元NFc、网络存储功能网元NRF#1和网络存储功能网元NRF#2,具体实现步骤600包括:
S610,网络存储功能网元(例如,NRF#1)配置对端(例如,PLMN ID2)对应的授权方式。
示例性的,NRF#1属于域1,NRF#2属于域2,域1和域2有不同的标识,可以为PLMNID、SCP域标识、NRF域标识等。不同域之间的协商可以通过PLMN ID、SCP域、NRF域、NF set域、安全域等来完成。可选地,NRF#1属于运营商1,NRF#2属于运营商2。一般地,不同运营商的网络功能网元之间的授权方式不同,同一运营商中网络功能网元之间的授权机制相同。可选地,NRF#1和NRF#2可以属于同一个运营商,此时NRF#1对应的业务类型的授权方式与NRF#2对应的业务类型的授权方式不同。
需要说明的是,本申请中NRF#1和NRF#2均配置各自PLMN ID对应的授权方式。即NRF#1配置PLMN ID1对应的授权方式,NRF#2配置PLMN ID2对应的授权方式。
示例性的,NRF#1配置有对端PLMND ID2对应的的授权方式,或者NRF#1向其他网元(例如,控制网元和/或管理网元)发送请求消息,该请求消息包括对端PLMN ID2,用于请求该PLMN ID2对应的授权方式,其他网元根据PLMN ID2确定PLMN ID2对应的授权方式,并发送给NRF#1。
其中,具体的PLMN ID对应的授权方式包括:静态授权方式(static),和/或Oauth授权方式。
一种可能的实现方式:
S620,服务消费功能网元(例如,NFc)向NRF#1发送发现请求消息;对应的,NRF#1接收来自NFc的发现请求消息。
其中,该发现请求消息包括PLMN ID2,该发现请求消息用于请求确定访问PLMNID2对应网络的NFp的信息。
可选地,该发现请求消息还包括PLMN ID1、NFc对应的其他参数和期望访问的NFp对应的其他参数。
需要说明的是,PLMN ID1为NFc所在网络的标识信息,PLMN ID2为NFc希望进行业务访问的服务提供功能NFp网元对应网络的标识信息。示例性的,该NFp可以为会话管理功能SMF网元,或者策略控制功能PCF网元等。
S630,NRF#1向NRF#2发送该发现请求消息;对应的,NRF#2接收来自NRF#1的发现请求消息。
其中,该发现请求消息用于请求确定访问PLMN ID2对应网络的NFp的信息。
示例性地,该发现请求消息可以包括以下参数中的一个或多个:PLMN ID1、PLMNID2、NFc对应的其他参数和期望访问的NFp对应的其他参数。
可选地,该发现请求消息可以不包括PLMN ID1、NFc对应的其他参数和期望访问的NFp对应的其他参数。在这种情况下,NRF#1在向NRF#2发送发现请求消息时,可以先经过SEPP#1转发至SEPP#2,再发送至NRF#2。此时,SEPP#2可以根据与SEPP#1之间协商的N32-fcontext中远端PLMN ID信息确定PLMN ID1,或者根据其与SEPP#1之间的连接确定PLMNID1,并将PLMN ID1发送至NRF#2。
其中,上述步骤S620和S630中,NFc对应的其他参数和期望访问的NFp对应的其他参数可以为NFc和NFp的网络业务类型,发现请求消息的名称可以为已有的服务名称,例如Nnrf_NFDiscovery_Request,也可以为新定义的服务名称,本申请对此不作限定。
S640,NRF#2向NRF#1发送发现响应消息;对应的,NRF#1接收来自NRF#2的发现响应消息。
示例性地,该发现响应消息可以包括以下参数中的一个或多个:PLMN ID1、PLMNID2、期望访问的NFp对应的其他参数。
需要说明的是,步骤S630和S640可以参考目前发现请求消息和发现响应消息的内容,本申请对此不做限制。
S650,NRF#1根据配置的对端PLMN ID2对应的授权方式,以及PLMN ID1对应的授权方式,确定最终的授权方式。
应理解,最终的授权方式既可以指示静态授权方式(static)或者Oauth授权方式,还可以同时指示静态授权方式(static)和Oauth授权方式。
示例性的,这里PLMN ID1可以是从步骤S620中NFc发送的发现请求消息中获取的,或者NRF#1自己所在网络的标识信息,即PLMN ID1。
特别地,NRF#1可以在步骤S640之后,根据PLMN ID1和PLMN ID2确定自己是否保存有或配置有该对应的最终授权方式,若有则跳过确定最终授权方式的步骤S650,即无需NRF#1与NRF#2之间进行授权机制的协商,继续下面步骤S660;否则,需要继续执行步骤S650进行最终授权方式的判定。
本申请实施例中,NRF#1中保存有的最终授权方式,可以是NRF#1根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式确定最终的授权方式,或者可以是一开始就保存在NRF#1内部。那么,NFc在访问PLMN ID2对应的NFp时,NRF#1中根据PLMN ID2可以直接确定和提供该最终授权方式给NFc,促进NFc和NFp之间业务的访问和服务。
需要说明的是,最终授权方式的确定采用取交集的方式,即根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式的交集确定最终的授权方式,具体包括:
(1)如果交集为支持静态授权方式(static),NFc和NFp之间的业务访问使用static授权方式。
(2)如果交集为支持Oauth授权方式,NFc和NFp之间的业务访问使用Oauth授权方式。
(3)如果交集为同时支持Oauth授权方式和static授权方式,可以根据本地网络策略来决定NFc和NFp之间的业务访问是使用Oauth授权方式,还是static授权方式。可选地,如果两个交集都支持Oauth授权方式和static授权方式,可以直接选择Oauth授权方式进行NFc和NFp之间的业务访问。因为Oauth授权方式相对于static授权方式来说,授权的控制更好,安全性更高。
可选地,上述步骤S650可以在步骤S610之后的任一步执行,具体执行位置不作限定。例如,步骤S650可以在步骤S620之后执行,即NRF#1在收到NFc的发现请求消息后,就可以根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式确定最终的授权方式。又或者,步骤S650可以在步骤S620之前执行,即NRF#1可以提前告知NFc进行业务访问NFp时,采用的最终授权方式,该实现方式可以进一步减少NFc的信令开销。
S660,NRF#1向NFc发送发现响应消息;对应的,NFc接收来自NRF#1的发现响应消息。
其中,该发现响应消息包括最终的授权方式。最终的授权方式可以携带在发现响应消息的有效载荷(payload)或头(header)中,例如http header中。
示例性的,发现响应消息中已有header可以有1个或多个,可以在已有的一个或多个header中新增指示信息,用于指示最终的授权的方式;或者在发现响应消息中新增一个header,用于携带最终的授权方式信息。
需要说明的是,该最终授权方式可以为静态授权方式或Oauth授权方式,对应的,NFc可以根据静态授权方式或Oauth授权方式向NFp请求业务访问;可选地,该最终授权还可以同时支持静态授权方式和Oauth授权方式,此时NFc需要本地策略进一步确定使用哪种授权方式向NFp请求业务访问。即NFc在接收到静态和Oauth两种授权方式时,自己决定使用哪种授权方式。
可选地,该发现响应消息可以包括以下参数:期望访问的NFp对应的其他参数。
其中,上述步骤S640和S660中,期望访问的NFp对应的其他参数可以为NFp的NFprofile等信息,该发现响应消息的名称可以为新的服务名称,或者已有的服务名称,例如Nnrf_NFDiscovery_Response,本申请对此不作限定。
作为示例而非限定,通过NRF#2确定最终授权方式。示例性的,NRF#2配置对端PLMNID1对应的授权方式,此时NRF#2从NRF#1接收发现请求消息,该请求消息包括PLMN ID1。然后,NRF#2根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式,确定最终的授权方式,并将最终的授权方式通过NRF#1发送给NFc。其中,具体的实现步骤与上述方法600中步骤S620至步骤S660类似。为了简洁,此处不再赘述。
另一种可能的实现方式:
S670,NFc向NRF#1发送授权请求消息;对应的,NRF#1接收来自NFc的授权请求消息。
其中,该授权请求消息包括PLMN ID2,该授权请求消息用于请求确定访问PLMNID2对应网络的授权方式。
可选地,该授权请求消息还包括PLMN ID1、NFc对应的其他参数和期望访问的NFp对应的其他参数。
需要说明的是,PLMN ID1为NFc所在网络的标识信息,PLMN ID2为NFc希望进行业务访问的服务提供功能NFp网元对应网络的标识信息。示例性的,该NFp可以为会话管理功能SMF网元,或者策略控制功能PCF网元等。
其中,NFc对应的其他参数和期望访问的NFp对应的其他参数可以为NFc和NFp的网络业务类型,授权请求消息的名称可以为新的服务名称,例如Nnrf_Authorization_Request,本申请对此不作限定;或者可以为已有的服务名称,那么需要新增指示信息,用于指示请求确定访问PLMN ID2对应网络的授权方式。可选地,该指示信息包括PLMN ID1。
S680,NRF#1根据配置的对端PLMN ID2对应的授权方式,以及PLMN ID1对应的授权方式,确定最终的授权方式。
应理解,最终的授权方式既可以指示静态授权方式(static)或者Oauth授权方式,还可以同时指示静态授权方式(static)和Oauth授权方式。
示例性的,这里PLMN ID1可以是从步骤S670中NFc发送的授权请求消息中获取的,或者NRF#1自己所在网络的标识信息,即PLMN ID1。
特别地,NRF#1可以在步骤S670之后,根据PLMN ID1和PLMN ID2确定自己是否保存有该对应的最终授权方式,若有则跳过确定最终授权方式的步骤S680,继续下面步骤S690;否则,需要继续执行步骤S680进行最终授权方式的判定。
本申请实施例中,NRF#1中保存有的最终授权方式,可以是NRF#1根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式确定最终的授权方式,或者可以是一开始就保存在NRF#1内部。那么,NFc在访问PLMN ID2对应的NFp时,NRF#1中根据PLMN ID2可以直接确定和提供该最终授权方式给NFc,促进NFc和NFp之间业务的访问和服务。
示例性的,最终授权方式的确定采用取交集的方式,即根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式的交集确定最终的授权方式,具体实现与步骤S650中一致。为了简洁,此处不再赘述。
S690,NRF#1向NFc发送授权响应消息;对应的,NFc接收来自NRF#1授权响应消息。
其中,该授权响应消息包括最终的授权方式。最终的授权方式可以携带在发现响应消息的有效载荷(payload)或头(header)中,例如http header中。
示例性的,授权响应消息中已有header可以有1个或多个,可以在已有的一个或多个header中新增指示信息,用于指示最终的授权的方式;或者在发现响应消息中新增一个header,用于携带最终的授权方式信息。
需要说明的是,该最终授权方式可以为静态授权方式或Oauth授权方式,对应的,NFc可以根据静态授权方式或Oauth授权方式向NFp请求业务访问;可选地,该最终授权还可以同时支持静态授权方式和Oauth授权方式,此时NFc需要本地策略进一步确定使用哪种授权方式向NFp请求业务访问。即NFc在接收到静态和Oauth两种授权方式时,自己决定使用哪种授权方式。
可选地,该授权响应消息可以包括以下参数:NFp对应的其他参数。
其中,授权响应消息的名称可以为新的服务名称,例如Nnrf_Authorization_Response,本申请对此不作限定。
S691,基于上述两种可能的实现方式,NFc根据最终的授权方式确定是否发起获取授权令牌token的流程。
示例性的,当最终的授权方式为static时,NFc采用静态授权方式直接向NFp发送业务请求;当最终的授权方式为Oauth时,NFc需要先向NRF发起请求获取授权令牌token的流程,再携带token向NFp发送业务请求,NFp在校验token成功后,为NFc提供相应的业务服务。其中,获取token的具体实现步骤在方法200中已经阐述,为了简洁,这里不再赘述。
作为示例而非限定,通过NRF#2确定最终授权方式。示例性的,NRF#2配置对端PLMNID1对应的授权方式,此时NRF#2从NRF#1接收授权请求消息,该请求消息包括PLMN ID1。然后,NRF#2根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式,确定最终的授权方式,并将最终的授权方式通过NRF#1发送给NFc。其中,具体的实现步骤与上述方法600中步骤S670至步骤S690类似。为了简洁,此处不再赘述。
图7是适用本申请实施例的授权机制协商方法的一例示意图,通过安全边缘保护代理网元配置对端网络授权方式,并确定最终的授权方式,使得服务消费功能网元获得业务访问的授权方式。该具体实现方式和上述方法600的区别在于,基于SEPP完成授权方式的配置和协商,避免了对于NRF的影响,将授权内容控制在漫游安全网元之间。如图7所示,包括服务消费功能网元NFc、网络存储功能网元NRF#A、网络存储功能网元NRF#B、安全边缘保护代理网元SEPP#A和安全边缘保护代理网元SEPP#B,具体实现步骤700包括:
S710,安全边缘保护代理网元(例如,SEPP#A)配置对端(例如,PLMN ID2)对应的授权方式。
示例性的,NRF#A属于域1,NRF#B属于域2,域1和域2有不同的标识,可以为PLMNID、SCP域标识、NRF域标识等。不同域之间的协商可以通过PLMN ID、SCP域ID、NRF域ID、NFset域ID、安全域ID等来完成。可选地,NRF#A属于运营商1,NRF#B属于运营商2。一般地,不同运营商的网络功能网元之间的授权方式不同,同一运营商中网络功能网元之间的授权机制相同。可选地,NRF#A和NRF#B可以属于同一个运营商,此时NRF#A对应的业务类型的授权方式与NRF#B对应的业务类型的授权方式不同。
需要说明的是,本申请中NRF#A和NRF#B均配置各自PLMN ID对应的授权方式,SEPP#A和SEPP#B均配置各自PLMN ID对应的授权方式。即NRF#A和SEPP#A配置PLMN ID1对应的授权方式,NRF#B和SEPP#B配置PLMN ID2对应的授权方式。这里SEPP#A和SEPP#B是通过N32接口连接,NRF#A与NRF#B之间的信息交互需要先后通过SEPP#和SEPP#B传输。
示例性的,SEPP#A配置有对端PLMND ID2对应的的授权方式,或者SEPP#A向其他网元(例如,控制网元和/或管理网元)发送请求消息,该请求消息包括对端PLMN ID2,用于请求该PLMN ID2对应的授权方式,其他网元根据PLMN ID2确定PLMN ID2对应的授权方式,并发送给SEPP#A。
其中,具体的PLMN ID对应的授权方式包括:静态授权方式(static),和/或Oauth授权方式。
一种可能的实现方式:
S720,服务消费功能网元(例如,NFc)向NRF#A发送发现请求消息;对应的,NRF#A接收来自NFc的发现请求消息。
S731-S733,NRF#A确定SEPP#A,并通过SEPP#A和SEPP#B向NRF#B发送发现请求消息;对应的,NRF#B接收来自NRF#A的发现请求消息。
其中,在上述步骤S720和步骤S731中,该发现请求消息包括PLMN ID2,该发现请求消息用于请求确定访问PLMN ID2对应网络的NFp的信息。
可选地,该发现请求消息还包括PLMN ID1、NFc对应的其他参数和期望访问的NFp对应的其他参数。
需要说明的是,PLMN ID1为NFc所在网络的标识信息,PLMN ID2为NFc希望进行业务访问的服务提供功能NFp网元对应网络的标识信息。示例性的,该NFp可以为会话管理功能SMF网元,或者策略控制功能PCF网元等。
可选地,步骤S732中该发现请求消息可以不包括PLMN ID1、PLMN ID2、NFc对应的其他参数和期望访问的NFp对应的其他参数。
在这种情况下,NRF#A在向NRF#B发送发现请求消息时,示例性的,SEPP#B可以根据与SEPP#A之间协商的N32-f context中远端PLMN ID信息确定PLMN ID1,或者根据其与SEPP#A之间的连接确定PLMN ID1,并将PLMN ID1发送至NRF#B。
其中,步骤S733中该发现请求消息包括PLMN ID1,用于请求确定访问PLMN ID2对应网络的信息。可选地,该发现请求消息还包括PLMN ID2、NFc对应的其他参数和期望访问的NFp对应的其他参数。
其中,上述步骤S720至步骤S733中,NFp对应的其他参数和期望访问的NFp对应的其他参数可以为NFc和NFp的网络业务类型,发现响应消息的名称可以为已有的服务名称,例如Nnrf_NFDiscovery_Request,也可以为新定义的服务名称,本申请对此不作限定。
S741-S742,NRF#B通过SEPP#B向SEPP#A发送发现响应消息;对应的,SEPP#A接收来自NRF#B的发现响应消息。
示例性地,该发现响应消息可以包括以下参数:NFp对应的NFpofile等其他参数。
需要说明的是,步骤S732和S742可以参考目前发现请求消息和发现响应消息的内容,本申请对此不做限制。
应理解,上述步骤S732至步骤S742的发现流程的具体实现方式可以参照上述方法400,本申请对此不作限定。
S750,SEPP#A根据配置的对端PLMN ID2对应的授权方式,以及PLMN ID1对应的授权方式,确定最终的授权方式。
应理解,最终的授权方式既可以指示静态授权方式(static)或者Oauth授权方式,还可以同时指示静态授权方式(static)和Oauth授权方式。
示例性的,这里PLMN ID1可以是从步骤S731中NFc发送的发现请求消息中获取的,或者SEPP#A自己所在网络的标识信息,即PLMN ID1。
特别地,SEPP#A可以在步骤S742之后,根据PLMN ID1和PLMN ID2,或者PLMNID2确定自己是否保存有或配置有该对应的最终授权方式,若有则跳过确定最终授权方式的步骤S750,继续下面步骤S760;否则,需要继续执行步骤S750进行最终授权方式的判定。
本申请实施例中,SEPP#A中保存有的最终授权方式,可以是SEPP#A根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式确定最终的授权方式,或者可以是一开始就保存在SEPP#A内部。那么,NFc在访问PLMN ID2对应的NFp时,SEPP#A中根据PLMN ID2可以直接确定和提供该最终授权方式给NFc,促进NFc和NFp之间业务的访问和服务。
示例性的,最终授权方式的确定采用取交集的方式,即根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式的交集确定最终的授权方式,具体实现与步骤S650中一致。为了简洁,此处不再赘述。
需要说明的是,SEPP#A在确定最终的授权方式之前需要确定PLMN ID1和PLMNID2。其中,PLMN ID2是从NRF#A接收的。PLMN ID1可以是从步骤S731中NFc发送的发现请求消息中获取的;或者SEPP#A自己所在网络的标识信息,即PLMN ID1;或者根据SEPP#A与NRF#A之间连接确定的NRF#A所在的网络标识,即PLMN ID1。例如,SEPP#A根据从NRF#A接收的NRF#A的全限定域名(fully qualified domain name,FQDN),和/或NRF#AD地址,和/或NRF#A证书内PLMN ID信息等确定的PLMN ID。
可选地,上述步骤S750可以在步骤S731之后的任一步执行,具体执行位置不作限定。例如,步骤S750可以在步骤S731之后执行,即SEPP#A在收到NRF#A的发现请求消息后,就可以根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式确定最终的授权方式。
S760-S770,SEPP#A通过NRF#A向NFc发送发现响应消息;对应的,NFc接收来自SEPP#A的发现响应消息。
其中,在上述步骤S760和步骤S770中,该发现响应消息包括最终的授权方式。最终的授权方式可以携带在发现响应消息的有效载荷(payload)或头(header)中,例如httpheader中。
示例性的,发现响应消息中已有header可以有1个或多个,可以在已有的一个或多个header中新增指示信息,用于指示最终的授权的方式;或者在发现响应消息中新增一个header,用于携带最终的授权方式信息。
需要说明的是,该最终授权方式可以为静态授权方式或Oauth授权方式,对应的,NFc可以根据静态授权方式或Oauth授权方式向NFp请求业务访问;可选地,该最终授权还可以同时支持静态授权方式和Oauth授权方式,此时NFc需要本地策略进一步确定使用哪种授权方式向NFp请求业务访问。即NFc在接收到静态和Oauth两种授权方式时,自己决定使用哪种授权方式。
可选地,该发现响应消息可以包括以下参数:期望访问的NFp对应的其他参数。
其中,在上述步骤S741、S742、S760和S770中,期望访问的NFp对应的其他参数可以为NFp的NFprofile等信息,该发现响应消息的名称可以为新的服务名称,例如Nnrf_NFDiscovery_Response,本申请对此不作限定。
作为示例而非限定,通过SEPP#B确定最终授权方式。示例性的,SEPP#B配置对端PLMN ID1对应的授权方式,此时SEPP#B从SEPP#A接收发现请求消息,该请求消息包括PLMNID1,并接收来自NRF#B的发现响应消息。然后,SEPP#B根据PLMN ID1对应的授权方式和PLMNID2对应的授权方式,确定最终的授权方式,并将最终的授权方式通过SEPP#A和NRF#A发送给NFc。其中,具体的实现步骤与上述方法700中步骤S720至步骤S770类似。为了简洁,此处不再赘述。
另一种可能的实现方式:
S780,NFc向SEPP#A发送授权请求消息;对应的,SEPP#A接收来自NFc的授权请求消息。
其中,该授权请求消息包括PLMN ID2,该授权请求消息用于请求确定访问PLMNID2对应网络的授权方式。
可选地,该授权请求消息还包括PLMN ID1。
应理解,PLMN ID1为NFc所在网络的标识信息,PLMN ID2为NFc希望进行业务访问的服务提供功能NFp网元对应网络的标识信息。
其中,授权请求消息的名称可以为新的服务名称,例如Nnrf_Authorization_Request,本申请对此不作限定;或者可以为已有的服务名称,那么需要新增指示信息,用于指示请求确定访问PLMN ID2对应网络的授权方式。可选地,该指示信息包括PLMN ID1。
作为示例而非限定,NFc访问SEPP#A,也可以通过其他网元进行访问。例如NRF,服务通信代理(service communication proxy,SCP)等,本申请对此不作限定。当前5G架构包括SCP网元,SCP是NF网元的代理,也可以理解SCP为一个SCP域的出入口,或者代理节点。因此不同域之间的协商,也可以通过SCP来完成。例如,NFc与NFp之间的业务访问可以先后经过SCP1和SCP2,即NFc-SCP1-SCP2-NFp。所以上述通过SEPP直接协商的方式,也使用SCP的方式。即可以将SCP替换为上述SEPP,PLMN ID替换为SCP域标识。
示例性的,SEPP#A的地址可以是NF发现流程中,NFc从NRF#A接收到的地址信息,或者NFc预先配置SEPP#A的地址信息,本申请对此不作限定。
S790,SEPP#A根据配置的对端PLMN ID2对应的授权方式,以及PLMN ID1对应的授权方式,确定最终的授权方式。
应理解,最终的授权方式既可以指示静态授权方式(static)或者Oauth授权方式,还可以同时指示静态授权方式(static)和Oauth授权方式。
示例性的,这里PLMN ID1可以是从步骤S780中NFc发送的授权请求消息中获取的,或者SEPP#A自己所在网络的标识信息,即PLMN ID1。
特别地,SEPP#A可以在步骤S780之后,根据PLMN ID1和PLMN ID2确定自己是否保存有该对应的最终授权方式,若有则跳过确定最终授权方式的步骤S790,继续下面步骤S791;否则,需要继续执行步骤S790进行最终授权方式的判定。
本申请实施例中,SEPP#A中保存有的最终授权方式,可以是SEPP#A根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式确定最终的授权方式,或者可以是一开始就保存在SEPP#A内部。那么,NFc在访问PLMN ID2对应的NFp时,SEPP#A中根据PLMN ID2可以直接确定和提供该最终授权方式给NFc,促进NFc和NFp之间业务的访问和服务。
示例性的,最终授权方式的确定采用取交集的方式,即根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式的交集确定最终的授权方式,具体实现与步骤S650中一致。为了简洁,此处不再赘述。
S791,SEPP#A向NFc发送授权响应消息;对应的,NFc接收来自SEPP#A授权响应消息。
其中,该授权响应消息包括最终的授权方式。最终的授权方式可以携带在授权响应消息的有效载荷(payload)或头(header)中,例如http header中。
示例性的,授权响应消息中已有header可以有1个或多个,可以在已有的一个或多个header中新增指示信息,用于指示最终的授权的方式;或者在授权响应消息中新增一个header,用于携带最终的授权方式信息。
需要说明的是,该最终授权方式可以为静态授权方式或Oauth授权方式,对应的,NFc可以根据静态授权方式或Oauth授权方式向NFp请求业务访问;可选地,该最终授权还可以同时支持静态授权方式和Oauth授权方式,此时NFc需要本地策略进一步确定使用哪种授权方式向NFp请求业务访问。即NFc在接收到静态和Oauth两种授权方式时,自己决定使用哪种授权方式。
其中,授权响应消息的名称可以为新的服务名称,例如Nnrf_Authorization_Response,本申请对此不作限定。
S792,基于上述两种可能的实现方式,NFc根据最终的授权方式确定是否发起获取授权令牌token的流程。具体实现方式参见上述步骤S691,为了简洁,此处不再赘述。
作为示例而非限定,通过SEPP#B确定最终授权方式。示例性的,SEPP#B配置对端PLMN ID1对应的授权方式,此时SEPP#B从SEPP#A接收授权请求消息,该请求消息包括PLMNID1。然后,SEPP#B根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式,确定最终的授权方式,并将最终的授权方式通过SEPP#A发送给NFc。其中,具体的实现步骤与上述方法700中步骤S780至步骤S791类似。为了简洁,此处不再赘述。
图8是适用本申请实施例的授权机制协商方法的一例示意图,通过网络存储功能网元配置本端网络授权方式,并与对端网络存储功能网元协商确定最终的授权方式,使得服务消费功能网元获得业务访问的授权方式。该具体实现方式和上述方法600的区别在于,新增了网络存储功能网元之间交互协商的流程。支持动态的授权协商,若对端网络授权方式发生变化,协商方式可以获得最新的授权机制。而配置方式需要配置之后,才能获得最新的授权机制,因此时效性没有协商机制好。如图8所示,包括服务消费功能网元NFc、网络存储功能网元NRF#1和网络存储功能网元NRF#2,具体实现步骤800包括:
一种可能的实现方式:
S810,服务消费功能网元(例如,NFc)向NRF#1发送发现请求消息;对应的,NRF#1接收来自NFc的发现请求消息。
其中,该发现请求消息包括PLMN ID2,该发现请求消息用于请求确定访问PLMNID2对应网络的授权方式。
可选地,该发现请求消息还包括PLMN ID1、NFc对应的其他参数和期望访问的NFp对应的其他参数。
需要说明的是,PLMN ID1为NFc所在网络的标识信息,PLMN ID2为NFc希望进行业务访问的服务提供功能NFp网元对应网络的标识信息。示例性的,该NFp可以为会话管理功能SMF网元,或者策略控制功能PCF网元等。
S820,NRF#1向NRF#2发送发现请求消息;对应的,NRF#2接收来自NRF#1的发现请求消息。
其中,该发现请求消息包括PLMN ID1对应的授权方式,用于请求确定访问PLMNID2对应网络的授权方式。PLMN ID1对应的授权方式可以携带在发现请求消息的有效载荷(payload)或头(header)中,例如http header中。
示例性的,发现请求消息中已有header可以有1个或多个,可以在已有的一个或多个header中新增指示信息,用于指示最终的授权的方式;或者在发现请求消息中新增一个header,用于携带最终的授权方式信息。
可选地,该发现请求消息可以包括以下参数中的一个或多个:PLMN ID1、PLMNID2、NFc对应的其他参数和期望访问的NFp对应的其他参数。
可选地,该发现请求消息可以不包括PLMN ID1、PLMN ID2、NFc对应的其他参数和期望访问的NFp对应的其他参数。在这种情况下,NRF#1在向NRF#2发送发现请求消息时,可以先经过SEPP#1转发至SEPP#2,再发送至NRF#2。此时,SEPP#2可以根据与SEPP#1之间协商的N32-f context中远端PLMN ID信息确定PLMN ID1,或者根据其与SEPP#1之间的连接确定,并将PLMN ID1发送至NRF#2。
其中,上述步骤S810和S820中,PLMN ID1对应的其他参数和PLMN ID2对应的其他参数可以为NFc和NFp的网络业务类型,发现请求消息的名称可以为已有服务名称,例如Nnrf_NFDiscovery_Request,也可以为新定义的服务名称,本申请对此不作限定。可选地,该发现请求消息可以携带指示信息,用于指示获取访问NFp的最终授权方式,NRF#2根据此指示信息确定最终授权方式。
S830,NRF#2根据本端PLMN ID2对应的授权方式,以及接收的PLMN ID1对应的授权方式,确定最终的授权方式。
应理解,最终的授权方式既可以指示静态授权方式(static)或者Oauth授权方式,还可以同时指示静态授权方式(static)和Oauth授权方式。
示例性的,PLMN ID1可以是从步骤S820中NRF#1发送的发现请求消息中获取的。
需要说明的是,最终授权方式的确定采用取交集的方式,即根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式的交集确定最终的授权方式,具体实现与步骤S650中一致。为了简洁,此处不再赘述。
S840-S850,NRF#2通过NRF#1向NFc发送发现响应消息;对应的,NFc接收来自NRF#2的发现响应消息。
其中,该发现响应消息包括最终的授权方式。最终的授权方式可以携带在发现响应消息的有效载荷(payload)或头(header)中,例如http header中。
示例性的,发现响应消息中已有header可以有1个或多个,可以在已有的一个或多个header中新增指示信息,用于指示最终的授权的方式;或者在发现响应消息中新增一个header,用于携带最终的授权方式信息。
需要说明的是,该最终授权方式可以为静态授权方式或Oauth授权方式,对应的,NFc可以根据静态授权方式或Oauth授权方式向NFp请求业务访问;可选地,该最终授权还可以同时支持静态授权方式和Oauth授权方式,此时NFc需要本地策略进一步确定使用哪种授权方式向NFp请求业务访问。即NFc在接收到静态和Oauth两种授权方式时,自己决定使用哪种授权方式。
可选地,该发现响应消息可以包括以下参数中的一个或多个:PLMN ID1、PLMNID2、期望访问的NFp对应的其他参数,例如NFprofile。发现响应消息的名称可以为已有的服务名称,例如Nnrf_NFDiscovery_Response,也可以为新定义的服务名称,本申请对此不作限定。
作为示例而非限定,通过NRF#1确定最终授权方式。示例性的,NRF#1向NRF#2发送发现请求消息,该请求消息用于请求PLMN ID2对应的授权方式,并从NRF#2接收PLMN ID2对应的授权方式。然后NRF#1根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式确定最终的授权方式,并将最终的授权方式发送给NFc。其中,具体的实现步骤与上述方法800中步骤S810至步骤S850类似。为了简洁,此处不再赘述。
另一种可能的实现方式:
S860,可选地,服务消费功能网元(例如,NFc)向NRF#1发送发现请求消息;对应的,NRF#1接收来自NFc的发现请求消息。其中,该发现请求消息包括PLMN ID2。
S870,NRF#1向NRF#2发送能力请求消息;对应的,NRF#2接收来自NRF#1的能力请求消息。
其中,该能力请求消息包括指示信息#1,用于指示NRF#2发送PLMN ID2对应网络的授权方式。
可选地,该能力请求消息可以包括以下参数:PLMN ID1。
其中,授权响应消息的名称可以为新的服务名称,例如Nnrf_Bootstrapping_Get_Request,本申请对此不作限定;或者可以为已有的服务名称,那么需要新增指示信息#2,用于指示请求确定访问PLMN ID2对应网络的授权方式。可选地,该指示信息#2包括PLMN ID1。
S880,NRF#2根据能力请求消息和指示信息#1确定PLMN ID2对应的授权方式;或者根据新的服务名称,确定PLMN ID2对应的授权方式。
S890,NRF#2向NRF#1发送能力响应消息;对应的,NRF#1接收来自NRF#2的能力响应消息。
其中,能力响应消息包括PLMN ID2对应的授权方式。能力响应消息的名称可以为已有的服务名称,例如Nnrf_Bootstrapping_Get_Response,本申请对此不作限定。
S891,NRF#1根据接收的PLMN ID2对应的授权方式,以及本地PLMN ID1对应的授权方式,确定最终的授权方式。
应理解,最终的授权方式既可以指示静态授权方式(static)或者Oauth授权方式,还可以同时指示静态授权方式(static)和Oauth授权方式。
示例性的,这里PLMN ID1可以是从步骤S860中NFc发送的发现请求消息中获取的,或者NRF#1自己所在网络的标识信息,即PLMN ID1。
本申请实施例中,NRF#1中保存有的最终授权方式,可以是NRF#1根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式确定最终的授权方式,或者可以是一开始就保存在NRF#1内部。那么,NFc在访问PLMN ID2对应的NFp时,NRF#1根据PLMN ID2可以直接确定和提供该最终授权方式给NFc,促进NFc和NFp之间业务的访问和服务。
示例性的,最终授权方式的确定采用取交集的方式,即根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式的交集确定最终的授权方式,具体实现与步骤S650中一致。为了简洁,此处不再赘述。
S892,可选地,NRF#1向NRF#2发送通知消息;对应的,NRF#2接收来自NRF#1的通知消息。
其中,该通知消息包括最终授权方式,用于后续PLMN ID2对应的网络功能NF网元向PLMN ID1对应的网络功能NF网元发送业务访问请求消息时,NRF#2网元可以根据上述最终授权方式执行对应的授权操作。
S893,NRF#1向NFc发送授权响应消息;对应的,NFc接收来自NRF#1授权响应消息。
其中,该授权响应消息包括最终的授权方式。最终的授权方式可以携带在发现响应消息的有效载荷(payload)或头(header)中,例如http header中。
示例性的,发现响应消息中已有header可以有1个或多个,可以在已有的一个或多个header中新增指示信息,用于指示最终的授权的方式;或者在发现响应消息中新增一个header,用于携带最终的授权方式信息。
需要说明的是,该最终授权方式可以为静态授权方式或Oauth授权方式,对应的,NFc可以根据静态授权方式或Oauth授权方式向NFp请求业务访问;可选地,该最终授权还可以同时支持静态授权方式和Oauth授权方式,此时NFc需要本地策略进一步确定使用哪种授权方式向NFp请求业务访问。即NFc在接收到静态和Oauth两种授权方式时,自己决定使用哪种授权方式。
S894,基于上述两种可能的实现方式,NFc根据最终的授权方式确定是否发起获取授权令牌token的流程。具体实现方式参见上述步骤S691,为了简洁,此处不再赘述。
作为示例而非限定,通过NRF#2确定最终授权方式。示例性的,NRF#2从NRF#1接收请求消息,该请求消息包括PLMN ID1对应的授权方式。可选地,该请求消息包括PLMN ID2。然后,NRF#2根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式,确定最终的授权方式,并将最终的授权方式通过NRF#1发送给NFc。其中,具体的实现步骤与上述方法800中步骤S860至步骤S893类似。为了简洁,此处不再赘述。
图9是适用本申请实施例的授权机制协商方法的一例示意图,通过安全边缘保护代理网元配置本端网络授权方式,并与对端网络存储功能网元协商确定最终的授权方式,使得服务消费功能网元获得业务访问的授权方式。该具体实现方式和上述方法600的区别在于,新增了SEPP间交互协商的流程,避免了对于NRF的影响,将授权内容控制在漫游安全网元之间。支持动态的授权协商,若对端网络授权方式发生变化,协商方式可以获得最新的授权机制。而配置方式需要配置之后,才能获得最新的授权机制,因此时效性没有协商机制好。如图9所示,包括服务消费功能网元NFc、网络存储功能网元NRF#A、网络存储功能网元NRF#B、安全边缘保护代理网元SEPP#A和安全边缘保护代理网元SEPP#B,具体实现步骤900包括:
一种可能的实现方式:
S911,服务消费功能网元(例如,NFc)向NRF#A发送发现请求消息;对应的,NRF#A接收来自NFc的发现请求消息。
S912,NRF#A确定SEPP#A,并向SEPP#A发送发现请求消息;对应的,SEPP#A接收来自NRF#A的发现请求消息。
其中,在上述步骤S9110和步骤S912中,该发现请求消息包括PLMN ID2,该发现请求消息用于请求确定访问PLMN ID2对应网络的授权方式。
可选地,该发现请求消息还包括PLMN ID1、NFc对应的其他参数和期望访问的NFp对应的其他参数中的至少一项。
需要说明的是,PLMN ID1为NFc所在网络的标识信息,PLMN ID2为NFc希望进行业务访问的服务提供功能NFp网元对应网络的标识信息。示例性的,该NFp可以为会话管理功能SMF网元,或者策略控制功能PCF网元等。
S920,SEPP#A根据PLMN ID1确定PLMN ID1对应的授权方式。
其中,PLMN ID1可以是从步骤S912中接收的发现请求消息中获取的;或者SEPP#A自己所在网络的标识信息,即PLMN ID1;或者根据SEPP#A与NRF#A之间连接确定的NRF#A所在的网络标识,即PLMN ID1。例如,SEPP#A根据从NRF#A接收的NRF#A的FQDN,和/或NRF#A的地址,和/或NRF#A证书内PLMN ID信息等确定的PLMN ID。
S930-S940,SEPP#A通过SEPP#B向NRF#B发送发现请求消息;对应的,NRF#B接收来自SEPP#A的发现请求消息。
其中,步骤S930中该发现请求消息包括:PLMN ID1对应的授权方式。
可选地,该发现请求消息可以不包括PLMN ID1、PLMN ID2、NFc对应的其他参数和期望访问的NFp对应的其他参数。
在这种情况下,SEPP#A在向SEPP#B发送发现请求消息时,示例性的,SEPP#B可以根据与SEPP#A之间协商的N32-f context中远端PLMN ID信息确定PLMN ID1,或者根据其与SEPP#A之间的连接确定PLMN ID1,并将PLMN ID1发送至NRF#B。
其中,步骤S940中该发现请求消息包括PLMN ID1,用于请求确定访问PLMN ID2对应网络的授权方式。
需要说明的是,上述步骤S911、S912、S930和步骤S940中,PLMN ID1对应的其他参数和PLMN ID2对应的其他参数可以为NFc和NFp的网络业务类型,发现响应消息的名称可以为已有的服务名称,例如Nnrf_NFDiscovery_Request,也可以为新定义的服务名称,本申请对此不作限定。
可选地,该发现请求消息可以携带指示信息,用于指示获取访问NFp的最终授权方式,NRF#B根据此指示信息确定最终授权方式。
S950,NRF#B向SEPP#B发送发现响应消息;对应的,SEPP#B接收来自NRF#B的发现响应消息。
示例性地,该发现响应消息可以包括以下参数:期望访问的NFp对应的其他参数。
S960,SEPP#B根据PLMN ID2对应授权方式和PLMN ID1对应的授权方式,确定最终的授权方式。
应理解,最终的授权方式既可以指示静态授权方式(static)或者Oauth授权方式,还可以同时指示静态授权方式(static)和Oauth授权方式。
示例性的,这里PLMN ID1可以是从步骤S930中接收的发现请求消息中获取的,或者SEPP#A自己所在网络的标识信息,即PLMN ID1。
示例性的,最终授权方式的确定采用取交集的方式,即根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式的交集确定最终的授权方式,具体实现与步骤S650中一致。为了简洁,此处不再赘述。
S971-S973,SEPP#通过SEPP#A和NRF#A向NFc发送发现响应消息;对应的,NFc接收来自SEPP#B的发现响应消息。
其中,该发现响应消息包括最终的授权方式。最终的授权方式可以携带在发现响应消息的有效载荷(payload)或头(header)中,例如http header中。
示例性的,发现响应消息中已有header可以有1个或多个,可以在已有的一个或多个header中新增指示信息,用于指示最终的授权的方式;或者在发现响应消息中新增一个header,用于携带最终的授权方式信息。
需要说明的是,该最终授权方式可以为静态授权方式或Oauth授权方式,对应的,NFc可以根据静态授权方式或Oauth授权方式向NFp请求业务访问;可选地,该最终授权还可以同时支持静态授权方式和Oauth授权方式,此时NFc需要本地策略进一步确定使用哪种授权方式向NFp请求业务访问。即NFc在接收到静态和Oauth两种授权方式时,自己决定使用哪种授权方式。
可选地,该发现响应消息可以包括以下参数:期望访问的NFp对应的其他参数。
其中,在上述步骤S741、S742、S760和S770中,PLMN ID1对应的其他参数和PLMNID2对应的其他参数可以为NFc和NFp的网络业务类型,发现响应消息的名称可以为已有服务名称,例如Nnrf_NFDiscovery_Response,也可以为新定义的服务名称,本申请对此不作限定。
作为示例而非限定,通过NRF#B确定最终授权方式。示例性的,基于上述方法900的基础上,在步骤S930之后,SEPP#B将PLMN ID1对应的授权方式发送给NRF#B。然后,NRF#B根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式,确定最终的授权方式,并将最终的授权方式通过SEPP#B、SEPP#A和NRF#A发送给NFc。其中,具体的实现步骤与上述方法900中步骤S911至步骤S973类似。为了简洁,此处不再赘述。
另一种可能的实现方式:
S981-S982,可选地,服务消费功能网元(例如,NFc)通过NRF#A向SEPP#A发送发现请求消息;对应的,SEPP#A接收来自NFc的发现请求消息。
其中,该发现请求消息包括PLMN ID2,用于请求确定访问PLMN ID2对应网络的授权方式。
S983,SEPP#A向SEPP#B发送N32连接建立请求消息;对应的,SEPP#B接收来自SEPP#A的N32连接建立请求消息。
其中,该N32接口是用于SEPP#A和SEPP#B之间的通信。可选地,该N32连接建立请求消息包括指示信息#A,用于指示SEPP#B发送SEPP#B所在网络支持的授权方式。例如,PLMNID2对应网络的授权方式,或者其他PLMN ID对应的授权方式。
应理解,如果执行上述步骤S981-S982,那么该SEPP#B需要确定并向SEPP#A发送PLMN ID2对应的授权方式。如果不执行上述步骤S981-S982,那么该SEPP#B可以确定多个为NFc提供服务的PLMN ID,以及对应的授权方式。因为SEPP#B可能支持多个PLMN ID,本申请对此不作限定。
可选地,该N32连接建立请求消息可以包括以下参数中的一个或多个:PLMN ID1、PLMN ID2。
其中,授权响应消息的名称可以为新的服务名称,例如N32connectionestablishment Request(indicator),本申请对此不作限定;或者可以为已有的服务名称,那么需要新增指示信息#B,用于指示请求确定访问SEPP2对应网络的授权方式。可选地,该指示信息#B包括PLMN ID1。
S990,SEPP#B根据连接建立请求消息和指示信息#A确定SEPP#B支持的网络对应的授权方式(可能支持多个PLMN ID,以及对应的授权方式),或者PLMN ID2对应的授权方式,即SEPP#B确定SEPP#B支持的网络对应的授权方式,或者从SEPP#A接收到的PLMN ID2对应的授权方式。SEPP#B支持的网络PLMN ID及其对应的授权方式取决于是否执行上述步骤S981-S982。
可选地,SEPP#B根据新的服务名称,确定向SEPP#A发送SEPP#B支持的网络对应的授权方式,或者PLMN ID2对应的授权方式。
需要说明的是,这里PLMN ID2为接收的PLMN ID2,或者SEPP#B根据两个SEPP之间协商的N32-f context中远端PLMN ID信息确定PLMN ID1,或者根据其与SEPP#A之间的连接来确定。
S991,SEPP#B向SEPP#A发送N32连接建立响应消息;对应的,SEPP#A接收来自SEPP#A的N32连接建立响应消息。
其中,该连接建立响应消息包括PLMN ID2对应的授权方式。
其中,该连接建立响应消息的名称可以为新的服务名称,例如N32connectionestablishment Response,本申请对此不作限定。
S992,SEPP#A根据接收的PLMN ID2对应的授权方式,以及本地PLMN ID1对应的授权方式,确定最终的授权方式。
应理解,最终的授权方式既可以指示静态授权方式(static)或者Oauth授权方式,还可以同时指示静态授权方式(static)和Oauth授权方式。
示例性的,这里PLMN ID1可以是从步骤S982中接收的发现请求消息中获取的,或者SEPP#A自己所在网络的标识信息,即PLMN ID1。
本申请实施例中,SEPP#A中保存有的最终授权方式,可以是SEPP#A根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式确定最终的授权方式,或者可以是一开始就保存在SEPP#A内部访问PLMN ID2,或者PLMN ID1访问PLMN ID2对应网络的最终授权方式。那么,NFc在访问PLMN ID2对应的NFp时,SEPP#A根据PLMN ID2可以直接确定和提供该最终授权方式给NFc,促进NFc和NFp之间业务的访问和服务。
示例性的,最终授权方式的确定采用取交集的方式,即根据PLMN ID1对应的授权方式和PLMN ID2对应的授权方式的交集确定最终的授权方式,具体实现与步骤S650中一致。为了简洁,此处不再赘述。
S993,可选地,SEPP#A向SEPP#B发送通知消息;对应的,SEPP#B接收来自SEPP#A的通知消息。
其中,该通知消息包括最终授权方式,用于后续PLMN ID2对应的网络功能NF网元向PLMN ID1对应的网络功能NF网元发送业务访问请求消息时,SEPP#B可以根据上述最终授权方式执行对应的授权操作。
S994-S995,SEPP#A通过NRF#A向NFc发送授权响应消息;对应的,NFc接收来自SEPP#A授权响应消息。
其中,该授权响应消息包括最终的授权方式。最终的授权方式可以携带在发现响应消息的有效载荷(payload)或头(header)中,例如http header中。
示例性的,授权响应消息中已有header可以有1个或多个,可以在已有的一个或多个header中新增指示信息,用于指示最终的授权的方式;或者在授权响应消息中新增一个header,用于携带最终的授权方式信息。
需要说明的是,该最终授权方式可以为静态授权方式或Oauth授权方式,对应的,NFc可以根据静态授权方式或Oauth授权方式向NFp请求业务访问;可选地,该最终授权还可以同时支持静态授权方式和Oauth授权方式,此时NFc需要本地策略进一步确定使用哪种授权方式向NFp请求业务访问。即NFc在接收到静态和Oauth两种授权方式时,自己决定使用哪种授权方式。
S996,基于上述两种可能的实现方式,NFc根据最终的授权方式确定是否发起获取授权令牌token的流程。具体实现方式参见上述步骤S691,为了简洁,此处不再赘述。
作为示例而非限定,通过SEPP#B确定最终授权方式。示例性的,基于上述方法900中,在步骤S983之后,SEPP#A向SEPP#B发送PLMN ID1及其对应的PLMN ID1支持的授权方式。然后,SEPP#B根据接收到的PLMN ID1对应授权方式和PLMN ID2对应授权方式,确定最终授权方式。并将最终的授权方式通过SEPP#A和NRF#A发送给NFc。其中,具体的实现步骤与上述方法900中步骤S981至步骤S995类似。为了简洁,此处不再赘述。
特别地,上述提供的几种实现方式,NF发现流程中,NRF会将NFp的Nfprofile中的信息发送给NFc。其中,Nfprofile的NF service消息中可能会携带Oauth2required指示信息,该指示信息表示NFc需要执行Oauth授权方式。上述图6中方法600至图9中方法900均不考虑该Oauth2required指示的方式,即忽略此指示信息。主要通过配置对端授权方式或者配置本端授权方式,完成服务消费功能网元和服务提供功能网元之间的授权机制的协商,进而保证不同NF之间的业务访问正常进行。
图10是适用本申请实施例的授权机制协商方法的一例示意图,考虑Oauth2required指示的方式,并对Oauth2required做扩展。当前Oauth2required指示信息需要Oauth的认证方式。减少了不必要的协商流程,完成授权策略的确定。如图10所示,包括服务消费功能网元NFc、网络存储功能网元NRF#1、网络存储功能网元NRF#2和服务提供功能网元NFp,具体实现步骤1000包括:
S1010,服务消费功能网元(例如,NFc)向NRF#1发送发现请求消息;对应的,NRF#1接收来自NFc的发现请求消息。
其中,该发现请求消息包括PLMN ID2,该发现请求消息用于请求确定访问PLMNID2对应网络的授权方式。
可选地,该发现请求消息还包括PLMN ID1、NFc对应的其他参数和期望访问的NFp对应的其他参数。
需要说明的是,PLMN ID1为NFc所在网络的标识信息,PLMN ID2为NFc希望进行业务访问的服务提供功能NFp网元对应网络的标识信息。示例性的,该NFp可以为会话管理功能SMF网元,或者策略控制功能PCF网元等。
S1020,NRF#1向NRF#2转发该发现请求消息;对应的,NRF#2接收来自NRF#1的发现请求消息。
示例性地,该发现请求消息可以包括以下参数中的一个或多个:PLMN ID1、PLMNID2、NFc对应的其他参数和期望访问的NFp对应的其他参数。
可选地,该发现请求消息可以不包括PLMN ID1、PLMN ID2、NFc对应的其他参数和期望访问的NFp对应的其他参数。在这种情况下,NRF#1在向NRF#2发送发现请求消息时,可以先经过SEPP#1转发至SEPP#2,再发送至NRF#2。此时,SEPP#2可以根据与SEPP#1之间协商的N32-f context中远端PLMN ID信息确定PLMN ID1,或者根据SEPP#1与SEPP#2之间的连接确定PLMN ID1,并将PLMN ID1发送至NRF#2。
其中,上述步骤S1010和S1020中,PLMN ID1对应的其他参数和PLMN ID2对应的其他参数可以为NFc和NFp的网络业务类型,发现请求消息的名称可以为已有的服务名称,例如Nnrf_NFDiscovery_Request,也可以为新定义的服务名称,本申请对此不作限定。
S1030,NRF#2根据发现请求消息确定NFp的NFprofile信息。
其中,NFprofile信息中包括Oauth2required。
S1040-S1050,NRF#2通过NRF#1向NFc发送发现响应消息;对应的,NFc接收来自NRF#2的发现响应消息。
其中,该发现响应消息包括指示信息#a,例如Oauth2required。该指示信息#a可以携带在发现响应消息的有效载荷(payload)或头(header)中,例如http header中。
示例性的,发现响应消息中已有header可以有1个或多个,可以在已有的一个或多个header中新增指示信息,用于指示最终的授权的方式;或者在发现响应消息中新增一个header,用于携带最终的授权方式信息。
可选地,该发现响应消息可以包括以下参数中的一个或多个:期望访问的NFp对应的其他参数。
其中,发现响应消息的名称可以为已有的服务名称,例如Nnrf_NFDiscovery_Response;也可以为新定义的服务名称,本申请对此不作限定。
S1060,NFc根据接收的Oauth2required指示信息,确定是否发起获取token的流程。
一种可能的实现方式:
将Oauth2required其扩充为3种值,Preferred,Required,Not needed。
NFc接收到Oauth2required之后,分为以下三种处理方式:
(1)若required,则执行Oauth授权;
(2)若Preferred,倾向于执行Oauth授权;
(3)若Not needed,则执行静态授权。
另一种可能的实现方式:
将Oauth2required其扩充为2种值,Preferred,Not needed。
NFc接收到Oauth2required之后,分为以下三种处理方式:
(1)NFc所在网络支持Oauth授权和静态授权方式
若Required,确定执行Oauth授权请求;
若Preferred,根据本地策略确定是否执行Oauth授权请求;
若Not needed,则执行静态授权方式。
(2)NFc所在网络仅支持静态授权
若Preferred或Not needed,则执行静态授权方式;
若Required,发生冲突,采用如下的处理方式。
(3)NFc所在网络仅支持Oauth授权
若Required,确定执行Oauth授权请求;
若Preferred,确定执行Oauth授权请求;
若Not needed,则执行静态授权方式。发生冲突,采用如下的处理方式。
综上所述,当NFc所在网络支持Oauth授权方式,若Oauth2required指示为required,则NFc执行Oauth授权请求,向NRF发送获取授权令牌token的流程;若Oauth2required指示Preferred,NFc根据本地策略确定是否执行Oauth授权请求;若Oauth2required指示Not needed,则执行静态授权方式。当NFc所在网络不支持Oauth授权方式,若Oauth2required指示为required,则NFc向NRF#1发送拒绝消息。可选地,这里拒绝消息可以携带拒绝原因值,用于指示NFc不支持Oauth2required指示的授权方式。
作为示例而非限定,如果NRF#2或者NRF#1确定的最终授权方式与上述步骤S1030中确定的Nfprofile中Oauth2required指示发生冲突,那么以最终授权的方式结果为准;同时发送通知消息至NFp。
在本申请实施例中,上述方法500/600/700/800/900中,授权策略的确定均未考虑NFp的Nfprofile中携带的Oauth2required指示信息。如果考虑该Oauth2required指示信息的同时,NRF或SEPP确定的最终授权方式与Oauth2required指示的授权方式不一致,一般以网元间协商的最终授权方式为准。此时,NFc,或者NRF#1,或者NRF#2可以向NFp发送通知消息,即:
S1071-S1073,NFc通过NRF#1和NRF#2向NFp发送通知消息;对应的,NFp接收来自NFc的通知消息。
可选地,NFc向NRF#1发送拒绝消息,使得NRF#1确定Oauth2required中指示的授权方式NFc不支持。
可选地,NRF#1根据之前实施例确定最终授权方式与Oauth2required指示不一致,或根据接收到NFc发送的拒绝消息,发送不匹配的通知消息至NRF#2。
可选地,NRF#2根据之前实施例确定最终授权方式与Oauth2required指示不一致,或根据接收到NRF#1发送的拒绝消息。
其中,该通知消息包括NFc ID和PLMN ID1,NFc或者PLMN ID1对应授权方式的至少一项,以使NFp未来接收来自NFc ID和/或PLMN ID1对应网络NF的业务请求,执行基于NFc或者PLMN ID1对应授权方式的授权,例如静态授权;当NFp接收到NFc发送的服务请求servicerequest,其中携带NFc ID和/或PLMN ID1,NFp根据此NFc ID和/或PLMN ID1确定采用基于NFc或者PLMN ID1对应授权方式的执行校验,则执行授权流程。例如,NFp的Oauth2required指示为需要Oauth授权,通过此通知消息使得NFp接收到NFc ID和/或PLMN ID1也会允许采用静态授权方式。
可选的,上述通知消息也可以不携带NFc或者PLMN ID1对应授权方式,此时NFp接收来自NFc ID和/或PLMN ID1对应网络NF的业务请求,执行与Oauth2required中指示授权方式相反的授权方式。例如若Oauth2required指示Oauth,则接受静态授权;若Oauth2required指示静态授权,则接受Oauth授权。
S1080,NFc向NFp发送服务请求消息;对应的,NFp接收来自NFc的服务请求消息。
其中,该服务请求消息包括NFc ID和/或PLMN ID1,以使NFp未来接收来自NFc ID对应的业务请求,执行静态授权;当NFp接收到NFc发送的service request,其中携带NFcID和/或PLMN ID1。NFp根据此NFc ID和/或PLMN ID1确定采用静态授权的执行校验,则执行静态授权流程。
综上所述,在上述实施例中,首先NFc通过向NRF或SEPP发送请求消息,用于请求获得访问NFp最终的授权方式,该请求消息中包括NFc希望访问的NFp所在网络标识PLMN ID2。其中,NRF或SEPP配置对端的授权方式,即PLMN ID2的授权方式。NRF或SEPP根据本端PLMNID1的授权方式和配置的PLMN ID2的授权方式确定的最终的授权方式,并发送给NFc。NFc基于最终的授权方式确定最终的授权执行方式。即如果最终授权方式为static就直接访问NFp;若授权方式为Oauth,则向NRF发起token请求,并携带该token访问NFp。或者增加NFc和NFp之间的NRF协商或SEPP协商,确定最终的授权方式。又或者扩展Oauth2required,减少不必要的协商流程,完成授权策略的确定,使得服务消费功能网元NFc获得访问服务提供功能网元NFp的授权方式,进而解决授权冲突的问题,保证业务访问的正常进行。
在本申请实施例中,将最终授权方式、Oauth2required等参数携带在header中能够不影响payload的内容,可以更好地让接收者识别header中携带的信息。
在本申请实施例中,以上述PLMN ID作为漫游场景下域标识进行了描述。应理解,本申请同时也适用于其他域和域标识的非漫游场景,例如运营商内包括多个SCP域,SCP域标识;或者运营商内包括多个NRF域,NRF域标识,或者运营商内包括多个安全域,安全域标识,或者运营商内包括多个NF set域,NF set域标识,等等不做限制。上述流程可以将PLMNID替换为上述其他域标识。另外,本申请实施例中提到了NRF和SEPP两个实体,其他区分不同域管理的功能网元,也可以替换上述NRF或者SEPP网元进行授权机制的协商和确定。
需要说明的是,本申请对于服务消息的名称不做限制。
上文结合图5至图10,详细描述了本申请实施例提供的网元间授权机制协商的方法侧实施例,下面将结合图11至图16,详细描述本申请的网元间授权机制协商的装置侧实施例。应理解,方法实施例的描述与装置实施例的描述相互对应,因此,未详细描述的部分可以参见前面方法实施例。
根据前述方法,图11是适用于本申请实施例的通信装置10的示意图。可以理解的是,该通信装置10可以是网络设备(例如,NRF或SEPP)。如图11所示,该通信装置10包括:收发单元11和处理单元12。
一种可能的实现方式,该处理单元22用于确定第一授权方式和第二授权方式,第一授权方式是服务消费功能网元所属网络对应的授权方式,第二授权方式是服务提供功能网元所属网络对应的授权方式;该处理单元22还用于根据第一授权方式和第二授权方式确定第三授权方式,第三授权方式是访问服务提供功能网元的授权方式;该收发单元21用于发送第三授权方式。
另一种可能的实现方式,该处理单元22用于确定第一功能网元所属网络对应的授权方式;该收发单元21用于发送请求消息,请求消息用于请求获取访问第二功能网元的授权方式,请求消息包括第一功能网元所属网络对应的授权方式;该收发单元21还用于接收访问第二功能网元的授权方式,访问第二功能网元的授权方式是根据第一功能网元所属网络对应的授权方式和第二功能网元所属网络对应的授权方式确定的;该收发单元21还用于发送问第二功能网元的授权方式。
在该另一种可能的实现方式中,该收发单元21还用于接收请求消息,请求消息用于请求获取访问第二功能网元的授权方式,请求消息包括第一功能网元所属网络对应的授权方式;该处理单元22还用于确定第二功能网元所属网络对应的授权方式;该处理单元22还用于根据第一功能网元所属网络对应的授权方式和第二功能网元所属网络对应的授权方式确定访问第二功能网元的授权方式;该收发单元21发送访问第二功能网元的授权方式。
又一种可能的实现方式,该收发单元21用于发送请求消息,请求消息包括获取第二功能网元所属网络对应的授权方式的指示信息;该收发单元21还用于接收第二功能网元所属网络对应的授权方式;该处理单元22用于根据第二功能网元所属网络对应的授权方式和第一功能网元所属网络对应的授权方式确定访问第二功能网元的授权方式;该收发单元21还用于发送访问第二功能网元的授权方式。
应理解,通信装置10可以对应于根据本申请实施例的方法500/600/700/800/900/1000中的网络设备(例如,NRF或SEPP),该通信装置10可以包括用于执行图5/图6/图7/图8/图9/图10中网络设备执行的方法的模块(或单元)。并且,该通信装置10中的各模块(或单元)和上述其他操作和/或功能分别为了实现方法500/600/700/800/900/1000的相应流程。
应理解,图11示例的装置10的结构仅为一种可能的形态,而不应对本申请实施例构成任何限定。本申请并不排除未来可能出现的其他形态的网络设备的可能。
应理解,根据本申请实施例的通信装置10可对应于前述方法实施例的网络设备(例如,NRF或SEPP),并且通信装置10中的各个模块(或单元)的上述和其它管理操作和/或功能分别为了实现前述各个方法的相应步骤,因此也可以实现前述方法实施例中的有益效果。
还应理解,本申请实施例中的处理模块(或单元)可以由处理器实现,收发模块(或单元)可以由收发器实现。
根据前述方法,图12是适用于本申请实施例的通信装置20的示意图。可以理解的是,该通信装置20可以是网络设备(例如,NFc)。如图12所示,该通信装置20包括:收发单元21和处理单元22。
一种可能的实现方式,该收发单元11用于接收第三授权方式,第三授权方式是访问服务提供功能网元的授权方式,第三授权方式是根据第一授权方式和第二授权方式确定的,第一授权方式是服务消费功能网元所属网络对应的授权方式,第二授权方式是服务提供功能网元所属网络对应的授权方式;该处理单元12用于根据第三授权方式向服务提供功能网元请求第一服务。
另一种可能的实现方式,该收发单元11用于接收授权指示信息,授权指示信息用于确定访问服务提供功能网元的授权方式,授权指示信息为多个指示信息中的一个,多个指示信息包括第一指示信息和第二指示信息,第一指示信息用于指示静态授权方式,第二指示信息用于指示在静态授权方式和开放授权方式中优先使用开放授权方式;该处理单元12用于根据授权指示信息确定访问服务提供功能网元的授权方式;该处理单元12还用于根据访问服务提供功能网元的授权方式向服务提供功能网元请求第二服务。
应理解,通信装置20可以对应于根据本申请实施例的方法500/600/700/800/900/1000中的网络设备(例如,NFc),该通信装置20可以包括用于执行图5/图6/图7/图8/图9/图10中网络设备(例如,NFc)执行的方法的模块(或单元)。并且,该通信装置20中的各模块(或单元)和上述其他操作和/或功能分别为了实现方法500/600/700/800/900/1000的相应流程。
应理解,图12示例的装置20的结构仅为一种可能的形态,而不应对本申请实施例构成任何限定。本申请并不排除未来可能出现的其他形态的网络设备的可能。
应理解,根据本申请实施例的通信装置20可对应于前述方法实施例的网络设备(例如,NFc),并且通信装置20中的各个模块(或单元)的上述和其它管理操作和/或功能分别为了实现前述各个方法的相应步骤,因此也可以实现前述方法实施例中的有益效果。
还应理解,本申请实施例中的处理模块(或单元)可以由处理器实现,收发模块(或单元)可以由收发器实现。
根据前述方法,图13是适用于本申请实施例的通信装置30的示意图。可以理解的是,该通信装置30可以是网络设备(例如,NRF2)。如图13所示,该通信装置30包括:收发单元31和处理单元32。
示例地,该处理单元32用于确定访问服务提供功能网元的授权方式的授权指示信息,授权指示信息为多个指示信息中的一个,多个指示信息包括第一指示信息和第二指示信息,第一指示信息用于指示静态授权方式,第二指示信息用于指示在静态授权方式和开放授权方式中优先使用开放授权方式;该收发单元31用于发送授权指示信息。
应理解,通信装置30可以对应于根据本申请实施例的方法500/600/700/800/900/1000中的网络设备(例如,NRF2),该通信装置30可以包括用于执行图5/图6/图7/图8/图9/图10中网络设备(例如,NRF2)执行的方法的模块。并且,该通信装置10中的各模块和上述其他操作和/或功能分别为了实现方法500/600/700/800/900/1000的相应流程。
应理解,图13示例的装置30的结构仅为一种可能的形态,而不应对本申请实施例构成任何限定。本申请并不排除未来可能出现的其他形态的网络设备的可能。
应理解,根据本申请实施例的通信装置30可对应于前述方法实施例的网络设备(例如,NRF2),并且通信装置30中的各个模块(或单元)的上述和其它管理操作和/或功能分别为了实现前述各个方法的相应步骤,因此也可以实现前述方法实施例中的有益效果。
还应理解,本申请实施例中的处理模块(或单元)可以由处理器实现,收发模块(或单元)可以由收发器实现。
根据前述方法,图14为本申请实施例提供的通信装置(也可以称为网络设备)40的示意图,如图14所示,该装置40可以为网络设备(例如,NRF或SEPP),也可以为芯片或电路,比如可设置于网络设备的芯片或电路。
该装置40可以包括处理器41(即,处理单元的一例)和存储器42。该存储器42用于存储指令,该处理器41用于执行该存储器42存储的指令,以使该装置40实现上述方法中网络设备(例如,NRF或SEPP)执行的步骤。
可选地,该装置40还可以包括输入口43(即,通信单元的一例)和输出口44(即,通信单元的另一例)。应理解,该处理器41、存储器42、输入口43和输出口44可以通过内部连接通路互相通信,传递控制和/或数据信号。
该存储器42用于存储计算机程序,该处理器41可以用于从该存储器42中调用并运行该计算计程序,以控制输入口43接收信号,控制输出口44发送信号,完成上述方法中网络设备的步骤。
该存储器42可以集成在处理器41中,也可以与处理器41分开设置。
可选地,若该装置40为网络设备,该输入口43为接收器,该输出口44为发送器。其中,接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时,可以统称为收发器。
可选地,若该装置40为芯片或电路,该输入口43为输入接口,该输出口44为输出接口。
作为一种实现方式,输入口43和输出口44的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器41可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。
作为另一种实现方式,可以考虑使用通用计算机的方式来实现本申请实施例提供的网络设备。即将实现处理器41、输入口43和输出口44功能的程序代码存储在存储器42中,通用处理器通过执行存储器42中的代码来实现处理器41、输入口43和输出口44的功能。
在本申请实施例中,该处理器41用于确定第一授权方式和第二授权方式,第一授权方式是服务消费功能网元所属网络对应的授权方式,第二授权方式是服务提供功能网元所属网络对应的授权方式;
该处理器41还用于根据第一授权方式和第二授权方式确定第三授权方式,第三授权方式是访问服务提供功能网元的授权方式;该输出口44用于发送第三授权方式。
一种可能的实现方式,该处理器41用于确定第一功能网元所属网络对应的授权方式;该输出口44用于发送请求消息,请求消息用于请求获取访问第二功能网元的授权方式,请求消息包括第一功能网元所属网络对应的授权方式;该输入口43用于接收访问第二功能网元的授权方式,访问第二功能网元的授权方式是根据第一功能网元所属网络对应的授权方式和第二功能网元所属网络对应的授权方式确定的;该输出口44还用于发送问第二功能网元的授权方式。
在该一种可能的实现方式中,该该输入口43还用于接收请求消息,请求消息用于请求获取访问第二功能网元的授权方式,请求消息包括第一功能网元所属网络对应的授权方式;该该处理器41还用于确定第二功能网元所属网络对应的授权方式;该处理器41还用于根据第一功能网元所属网络对应的授权方式和第二功能网元所属网络对应的授权方式确定访问第二功能网元的授权方式;该输出口44还用于发送访问第二功能网元的授权方式。
又一种可能的实现方式,该输出口44用于发送请求消息,请求消息包括获取第二功能网元所属网络对应的授权方式的指示信息;该输入口43用于接收第二功能网元所属网络对应的授权方式;该处理器41用于根据第二功能网元所属网络对应的授权方式和第一功能网元所属网络对应的授权方式确定访问第二功能网元的授权方式;该该输出口44还用于发送访问第二功能网元的授权方式。
可选地,该装置40配置在或本身即为网络设备,例如NRF或SEPP。
其中,以上列举的装置40中各模块或单元的功能和动作仅为示例性说明,装置40中各模块或单元可以用于执行上述方法500/600/700/800/900/1000中由网络设备(例如,NRF或SEPP)所执行的各动作或处理过程,这里,为了避免赘述,省略其详细说明。
该装置40所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
在一种可能的实施方式中,随着片上系统(system-on-chip,SoC)技术的发展,装置30的全部或者部分功能由SoC技术实现,例如由一网络设备功能芯片实现,该网络设备功能芯片集成了处理器、存储器、通信接口等器件,网络设备相关功能的程序存储在存储器中,由处理器执行程序以实现基站的相关功能。可选地,该网络设备功能芯片也能够读取该芯片外部的存储器以实现基站的相关功能。
应理解,图14示例的装置40的结构仅为一种可能的形态,而不应对本申请实施例构成任何限定。本申请并不排除未来可能出现的其他形态的基站结构的可能。
根据前述方法,图15为本申请实施例提供的通信装置(也可以称为网络设备)50的示意图,如图15所示,该装置50可以为网络设备(例如,NFc),也可以为芯片或电路,比如可设置于网络设备的芯片或电路。
该装置50可以包括处理器51(即,处理单元的一例)和存储器52。该存储器52用于存储指令,该处理器51用于执行该存储器52存储的指令,以使该装置50实现上述方法中网络设备(例如,NFc)执行的步骤。
可选地,该装置50还可以包括输入口53(即,通信单元的一例)和输出口54(即,通信单元的另一例)。应理解,该处理器51、存储器52、输入口53和输出口54可以通过内部连接通路互相通信,传递控制和/或数据信号。
该存储器52用于存储计算机程序,该处理器51可以用于从该存储器52中调用并运行该计算计程序,以控制输入口53接收信号,控制输出口54发送信号,完成上述方法中网络设备的步骤。
该存储器52可以集成在处理器51中,也可以与处理器51分开设置。
可选地,若该装置50为网络设备,该输入口53为接收器,该输出口54为发送器。其中,接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时,可以统称为收发器。
可选地,若该装置50为芯片或电路,该输入口53为输入接口,该输出口54为输出接口。
作为一种实现方式,输入口53和输出口54的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器51可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。
作为另一种实现方式,可以考虑使用通用计算机的方式来实现本申请实施例提供的网络设备。即将实现处理器51、输入口53和输出口54功能的程序代码存储在存储器52中,通用处理器通过执行存储器52中的代码来实现处理器51、输入口53和输出口54的功能。
在本申请实施例中,该输入口53用于接收第三授权方式,第三授权方式是访问服务提供功能网元的授权方式,第三授权方式是根据第一授权方式和第二授权方式确定的,第一授权方式是服务消费功能网元所属网络对应的授权方式,第二授权方式是服务提供功能网元所属网络对应的授权方式;该处理器51用于根据第三授权方式向服务提供功能网元请求第一服务。
一种可能的实现方式,该输入口53用于接收授权指示信息,授权指示信息用于确定访问服务提供功能网元的授权方式,授权指示信息为多个指示信息中的一个,多个指示信息包括第一指示信息和第二指示信息,第一指示信息用于指示静态授权方式,第二指示信息用于指示在静态授权方式和开放授权方式中优先使用开放授权方式;该处理器51用于根据授权指示信息确定访问服务提供功能网元的授权方式;该处理器51还用于根据访问服务提供功能网元的授权方式向服务提供功能网元请求第二服务。
可选地,该装置50配置在或本身即为网络设备,例如NFc。
其中,以上列举的装置50中各模块或单元的功能和动作仅为示例性说明,装置50中各模块或单元可以用于执行上述方法500/600/700/800/900/1000中由网络设备(例如,NFc)所执行的各动作或处理过程,这里,为了避免赘述,省略其详细说明。
该装置50所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
在一种可能的实施方式中,随着片上系统SoC技术的发展,装置50的全部或者部分功能由SoC技术实现,例如由一网络设备功能芯片实现,该网络设备功能芯片集成了处理器、存储器、通信接口等器件,网络设备相关功能的程序存储在存储器中,由处理器执行程序以实现基站的相关功能。可选地,该网络设备功能芯片也能够读取该芯片外部的存储器以实现基站的相关功能。
应理解,图15示例的装置50的结构仅为一种可能的形态,而不应对本申请实施例构成任何限定。本申请并不排除未来可能出现的其他形态的基站结构的可能。
根据前述方法,图16为本申请实施例提供的通信装置(也可以称为网络设备)60的示意图,如图16所示,该装置60可以为网络设备(例如,NRF2),也可以为芯片或电路,比如可设置于网络设备的芯片或电路。
该装置60可以包括处理器61(即,处理单元的一例)和存储器62。该存储器62用于存储指令,该处理器61用于执行该存储器62存储的指令,以使该装置60实现上述方法中网络设备(例如,NRF2)执行的步骤。
可选地,该装置60还可以包括输入口63(即,通信单元的一例)和输出口64(即,通信单元的另一例)。应理解,该处理器61、存储器62、输入口63和输出口64可以通过内部连接通路互相通信,传递控制和/或数据信号。
该存储器62用于存储计算机程序,该处理器61可以用于从该存储器62中调用并运行该计算计程序,以控制输入口63接收信号,控制输出口64发送信号,完成上述方法中网络设备的步骤。
该存储器62可以集成在处理器61中,也可以与处理器61分开设置。
可选地,若该装置60为网络设备,该输入口63为接收器,该输出口64为发送器。其中,接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时,可以统称为收发器。
可选地,若该装置60为芯片或电路,该输入口63为输入接口,该输出口64为输出接口。
作为一种实现方式,输入口63和输出口64的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器61可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。
作为另一种实现方式,可以考虑使用通用计算机的方式来实现本申请实施例提供的网络设备。即将实现处理器61、输入口63和输出口64功能的程序代码存储在存储器62中,通用处理器通过执行存储器62中的代码来实现处理器61、输入口63和输出口64的功能。
在本申请实施例中,该处理器61用于确定访问服务提供功能网元的授权方式的授权指示信息,授权指示信息为多个指示信息中的一个,多个指示信息包括第一指示信息和第二指示信息,第一指示信息用于指示静态授权方式,第二指示信息用于指示在静态授权方式和开放授权方式中优先使用开放授权方式;该输出口64用于发送授权指示信息。
可选地,该装置60配置在或本身即为网络设备,例如NRF2。
其中,以上列举的装置60中各模块或单元的功能和动作仅为示例性说明,装置60中各模块或单元可以用于执行上述方法500/600/700/800/900/1000中由网络设备(例如,NRF2)所执行的各动作或处理过程,这里,为了避免赘述,省略其详细说明。
该装置60所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
在一种可能的实施方式中,随着片上系统SoC技术的发展,装置60的全部或者部分功能由SoC技术实现,例如由一网络设备功能芯片实现,该网络设备功能芯片集成了处理器、存储器、通信接口等器件,网络设备相关功能的程序存储在存储器中,由处理器执行程序以实现基站的相关功能。可选地,该网络设备功能芯片也能够读取该芯片外部的存储器以实现基站的相关功能。
应理解,图16示例的装置60的结构仅为一种可能的形态,而不应对本申请实施例构成任何限定。本申请并不排除未来可能出现的其他形态的基站结构的可能。
应理解,本申请实施例中,该处理器可以为中央处理单元(central processingunit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronousDRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambusRAM,DR RAM)。
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行该计算机指令或计算机程序时,全部或部分地产生按照本申请实施例该的流程或功能。该计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
还应理解,本文提及的“第一”和“第二”等等仅仅是为了更清楚地表述本申请的技术方案而加以区分,不应对本申请构成任何限定。
在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如,部件可以是但不限于,在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示,在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中,部件可位于一个计算机上和/或分布在2个或更多个计算机之间。此外,这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据,例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
该功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (19)
1.一种通信方法,其特征在于,包括:
确定第一授权方式和第二授权方式,所述第一授权方式是服务消费功能网元所属网络对应的授权方式,所述第二授权方式是服务提供功能网元所属网络对应的授权方式;
根据所述第一授权方式和所述第二授权方式确定第三授权方式,所述第三授权方式是访问服务提供功能网元的授权方式;
发送所述第三授权方式。
2.根据权利要求1所述的方法,其特征在于,所述确定第二授权方式包括:
接收第一请求消息,所述第一请求消息包括所述服务提供功能网元所属网络的标识信息;
根据所述服务提供功能网元所属网络的标识信息确定所述第二授权方式;和/或,
所述确定第一授权方式包括:
获取所述服务消费功能网元所属网络的标识信息;
根据所述服务消费功能网元所属网络的标识信息确定所述第一授权方式。
3.根据权利要求1或2所述的方法,其特征在于,所述第三授权方式为开放授权方式,所述方法还包括:
接收第二请求消息,所述第二请求消息用于请求获取第一令牌,所述第一令牌用于授权所述服务消费功能网元访问所述第一服务;
确定所述第一令牌;
发送所述第一令牌。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述根据所述第一授权方式和所述第二授权方式确定第三授权方式,包括:
根据所述第一授权方式和所述第二授权方式的共有授权方式确定所述第三授权方式;
当所述共有授权方式为所述静态授权方式或所述开放授权方式,确定所述静态授权方式或所述开放授权方式为所述第三授权方式;
当所述共有授权方式为所述静态授权方式和所述开放授权方式,根据本地策略确定所述第三授权方式,或者确定所述开放授权方式为所述第三授权方式。
5.一种通信方法,其特征在于,包括:
接收第三授权方式,所述第三授权方式是访问服务提供功能网元的授权方式,所述第三授权方式是根据第一授权方式和第二授权方式确定的,所述第一授权方式是服务消费功能网元所属网络对应的授权方式,所述第二授权方式是所述服务提供功能网元所属网络对应的授权方式;
根据所述第三授权方式向所述服务提供功能网元请求第一服务。
6.根据权利要求5所述的方法,其特征在于,在接收所述第三授权方式之前,所述方法还包括:
发送第一请求消息,所述第一请求消息用于请求获取所述第三授权方式,所述第一请求消息包括所述服务提供功能网元所属网络的标识信息。
7.根据权利要求5或6所述的方法,其特征在于,所述第三授权方式为开放授权方式,所述根据所述第三授权方式向所述服务提供功能网元请求第一服务,包括:
发送第二请求消息,所述第二请求消息用于请求获取第一令牌,所述第一令牌用于授权所述服务消费功能网元访问所述第一服务;
接收所述第一令牌;
向所述服务提供功能网元发送用于请求所述第一服务的消息,所述用于请求所述第一服务的消息中包括所述第一令牌。
8.根据权利要求5至7中任一项所述的方法,其特征在于,所述接收第三授权方式包括:
从网络存储功能网元或安全边缘保护代理网元接收所述第三授权方式。
9.一种网络设备,其特征在于,包括:
处理单元,用于确定第一授权方式和第二授权方式,所述第一授权方式是服务消费功能网元所属网络对应的授权方式,所述第二授权方式是服务提供功能网元所属网络对应的授权方式;
所述处理单元,还用于根据所述第一授权方式和所述第二授权方式确定第三授权方式,所述第三授权方式是访问服务提供功能网元的授权方式;
收发单元,用于发送所述第三授权方式。
10.根据权利要求9所述的网络设备,其特征在于,
所述收发单元,还用于接收第一请求消息,所述第一请求消息包括所述服务提供功能网元所属网络的标识信息;
所述处理单元,还用于根据所述服务提供功能网元所属网络的标识信息确定所述第二授权方式;和/或,
所述处理单元,还用于:
获取所述服务消费功能网元所属网络的标识信息;
根据所述服务消费功能网元所属网络的标识信息确定所述第一授权方式。
11.根据权利要求9或10所述的网络设备,其特征在于,所述第三授权方式为开放授权方式,
所述收发单元,还用于接收第二请求消息,所述第二请求消息用于请求获取第一令牌,所述第一令牌用于授权所述服务消费功能网元访问所述第一服务;
所述处理单元,还用于确定所述第一令牌;
所述收发单元,还用于发送所述第一令牌。
12.根据权利要求9至11中任一项所述的网络设备,其特征在于,所述处理单元,还用于:
根据所述第一授权方式和所述第二授权方式的共有授权方式确定所述第三授权方式;
当所述共有授权方式为所述静态授权方式或所述开放授权方式,确定所述静态授权方式或所述开放授权方式为所述第三授权方式;
当所述共有授权方式为所述静态授权方式和所述开放授权方式,根据本地策略确定所述第三授权方式,或者确定所述开放授权方式为所述第三授权方式。
13.一种网络设备,其特征在于,包括:
收发单元,用于接收第三授权方式,所述第三授权方式是访问服务提供功能网元的授权方式,所述第三授权方式是根据第一授权方式和第二授权方式确定的,所述第一授权方式是服务消费功能网元所属网络对应的授权方式,所述第二授权方式是所述服务提供功能网元所属网络对应的授权方式;
处理单元,用于根据所述第三授权方式向所述服务提供功能网元请求第一服务。
14.根据权利要求13所述的网络设备,其特征在于,所述收发单元,在接收所述第三授权方式之前,还用于发送第一请求消息,所述第一请求消息用于请求获取所述第三授权方式,所述第一请求消息包括所述服务提供功能网元所属网络的标识信息。
15.根据权利要求13或14所述的网络设备,其特征在于,
所述收发单元,还用于发送第二请求消息,所述第二请求消息用于请求获取第一令牌,所述第一令牌用于授权所述服务消费功能网元访问所述第一服务;
所述收发单元,还用于接收所述第一令牌;
所述处理单元,还用于向所述服务提供功能网元发送用于请求所述第一服务的消息,所述用于请求所述第一服务的消息中包括所述第一令牌。
16.根据权利要求13至15中任一项所述的网络设备,其特征在于,所述收发单元,还用于从第一网络存储功能网元或第一安全边缘保护代理网元接收所述第三授权方式。
17.一种芯片系统,其特征在于,包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有所述芯片系统的网络设备执行如权利要求1至8中任意一项所述的方法。
18.一种计算机程序产品,其特征在于,所述计算机程序产品在计算机上执行时,
使得所述计算机执行如权利要求1至4中任一项所述的方法;或者使得所述计算机执行如权利要求5至8中任一项所述的方法。
19.一种计算机可读存储介质,其特征在于,包括:
所述计算机可读存储介质上存储有计算机程序,当所述计算机程序运行时,使得所述计算机执行如权利要求1至4中任一项所述的方法;或者使得所述计算机执行如权利要求5至8中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110567958.9A CN115396867A (zh) | 2021-05-24 | 2021-05-24 | 通信方法和网络设备 |
PCT/CN2022/089453 WO2022247569A1 (zh) | 2021-05-24 | 2022-04-27 | 通信方法和网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110567958.9A CN115396867A (zh) | 2021-05-24 | 2021-05-24 | 通信方法和网络设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115396867A true CN115396867A (zh) | 2022-11-25 |
Family
ID=84114627
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110567958.9A Pending CN115396867A (zh) | 2021-05-24 | 2021-05-24 | 通信方法和网络设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN115396867A (zh) |
WO (1) | WO2022247569A1 (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111435932B (zh) * | 2019-01-14 | 2021-10-01 | 华为技术有限公司 | 一种令牌处理方法及装置 |
CN112492592A (zh) * | 2019-09-11 | 2021-03-12 | 华为技术有限公司 | 一种多个nrf场景下的授权方法 |
CN112822678B (zh) * | 2019-10-31 | 2022-05-06 | 华为技术有限公司 | 一种服务化架构授权的方法 |
CN112825571A (zh) * | 2019-11-21 | 2021-05-21 | 中兴通讯股份有限公司 | 网络功能管理、注册、请求方法、装置、网元及介质 |
-
2021
- 2021-05-24 CN CN202110567958.9A patent/CN115396867A/zh active Pending
-
2022
- 2022-04-27 WO PCT/CN2022/089453 patent/WO2022247569A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2022247569A1 (zh) | 2022-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3621343B1 (en) | Method and smf for supporting qos | |
CN107852608B (zh) | 网络分片选择 | |
WO2021135295A1 (zh) | 建立连接和获取中继服务代码的方法和通信装置 | |
US10932131B2 (en) | Service provisioning by local operator | |
JP2023524163A (ja) | 通信方法及び通信装置 | |
US11399307B2 (en) | Service authorization method, terminal device and network device | |
US20190289650A1 (en) | Method and apparatus for establishing radio bearer | |
US20230371111A1 (en) | Communication method, apparatus, and system | |
EP3913982A1 (en) | Network slicing with a radio access network node | |
US20240031798A1 (en) | Communication method and apparatus | |
WO2022199451A1 (zh) | 会话切换的方法和装置 | |
CN113747605B (zh) | 通信方法和通信装置 | |
CN113784346A (zh) | 认证授权的方法和装置 | |
WO2022247569A1 (zh) | 通信方法和网络设备 | |
CN115996378A (zh) | 鉴权方法及装置 | |
CN115706997A (zh) | 授权验证的方法及装置 | |
WO2023216934A1 (zh) | 通信方法及装置 | |
WO2022011713A1 (zh) | 信息传输方法、装置、设备及存储介质 | |
WO2023169206A1 (zh) | 授权验证的方法和装置 | |
US20240155418A1 (en) | Method and apparatus for connecting qos flow based terminal in wireless communication system | |
US20230136984A1 (en) | Method and apparatus for verifying compliance with ue route selection policy | |
US20240056897A1 (en) | Method and apparatus for managing edge computing service session in wireless communication system | |
WO2023065778A1 (zh) | 中继通信的方法和装置 | |
US20230397095A1 (en) | Radio Access Technology Management for Wireless Communications of Multi-Subscriber-Identification-Module (MSIM) Low Latency Hotspot Devices | |
KR20230132797A (ko) | 무선 통신 시스템에서 단말 위치 업데이트 방법 및장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |