CN116134857A - 基于服务的管理框架的接入控制 - Google Patents
基于服务的管理框架的接入控制 Download PDFInfo
- Publication number
- CN116134857A CN116134857A CN202080102534.9A CN202080102534A CN116134857A CN 116134857 A CN116134857 A CN 116134857A CN 202080102534 A CN202080102534 A CN 202080102534A CN 116134857 A CN116134857 A CN 116134857A
- Authority
- CN
- China
- Prior art keywords
- access control
- identity information
- authentication
- authorization
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 claims abstract description 89
- 238000000034 method Methods 0.000 claims abstract description 79
- 238000012795 verification Methods 0.000 claims abstract description 19
- 230000006870 function Effects 0.000 claims description 48
- 230000007246 mechanism Effects 0.000 claims description 33
- 230000015654 memory Effects 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 14
- 230000008859 change Effects 0.000 claims description 6
- 230000004044 response Effects 0.000 claims 6
- 238000007726 management method Methods 0.000 description 95
- 238000004891 communication Methods 0.000 description 19
- 238000005516 engineering process Methods 0.000 description 9
- 238000012550 audit Methods 0.000 description 8
- 230000003993 interaction Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000010354 integration Effects 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000007792 addition Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 239000004744 fabric Substances 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 102100022734 Acyl carrier protein, mitochondrial Human genes 0.000 description 1
- 101000678845 Homo sapiens Acyl carrier protein, mitochondrial Proteins 0.000 description 1
- 101000771237 Homo sapiens Serine/threonine-protein kinase A-Raf Proteins 0.000 description 1
- 102100029437 Serine/threonine-protein kinase A-Raf Human genes 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000001356 surgical procedure Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本公开的实施例涉及基于服务的管理框架的接入控制的设备、方法、装置和计算机可读存储介质。该方法包括:根据关于第二设备在第二设备的登录过程中已经被认证的确定,向第三设备传输第二设备的身份信息;从第三设备接收用于第二设备到至少一个第四设备的接入控制的授权授予,授权授予至少基于第二设备的接入控制策略来生成,接入控制策略基于身份信息和与至少一个第四设备相关联的一组相应域来确定;基于身份信息和授权授予来生成用于第二设备接入至少一个第四设备的授权验证指示;以及向第二设备传输授权验证指示。以这种方式,可以实现基于服务的管理框架的AAA解决方案。
Description
技术领域
本公开的实施例总体上涉及电信领域,并且具体地涉及基于服务的管理框架的接入控制的设备、方法、装置和计算机可读存储介质。
背景技术
引入了基于服务的管理架构(SBMA)以支持服务和网络管理自动化。与传统的基于集成参考点(IRP)的架构相比,SBMA更具灵活性、可缩放性和可扩展性。特别地,零接触网络和服务管理(ZSM)框架能够实现多个管理域之间的集成和协调,以支持零接触服务管理和编排。3GPP相关管理系统可以是ZSM框架的一个或多个管理域。不同管理(management)域可以属于不同管理(administrative)域。
用于保护由ZSM或第三代合作伙伴计划(3GPP)定义的管理系统提供的管理服务(MnS)的接入控制(包括标识、认证、授权和审计)以及管理系统本身对于服务和网络管理和编排至关重要,已经定义了一些要求、指南和解决方案。例如,ZSM要求ZSM框架参考架构应当允许已认证服务消费者对服务接入进行授权,并且建议在管理服务生产者与消费者之间进行稳健的相互认证、以及对管理服务的接入控制。此外,3GPP建议对暴露给通信服务提供者的网络切片管理接口进行安全保护以防止未授权接入。
发明内容
总体上,本公开的示例实施例提供了一种基于服务的管理框架的接入控制的解决方案。
在第一方面,提供了一种第一设备。第一设备包括至少一个处理器;以及包括计算机程序代码的至少一个存储器;至少一个存储器和计算机程序代码被配置为与至少一个处理器一起引起第一设备至少:根据关于第二设备在第二设备的登录过程中已经被认证的确定,向第三设备传输第二设备的身份信息;从第三设备接收用于第二设备到至少一个第四设备的接入控制的授权授予,授权授予至少基于第二设备的接入控制策略来生成,接入控制策略基于身份信息和与至少一个第四设备相关联的一组相应域来确定;基于身份信息和授权授予来生成用于第二设备接入至少一个第四设备的授权验证指示;以及向第二设备传输授权验证指示。
在第二方面,提供了一种第三设备。第三设备包括至少一个处理器;以及包括计算机程序代码的至少一个存储器;至少一个存储器和计算机程序代码被配置为与至少一个处理器一起引起第三设备至少:从第一设备接收第二设备的身份信息;基于身份信息和与至少一个第四设备相关联的一组相应域来确定第二设备的接入控制策略;至少基于接入控制策略来生成用于第二设备到至少一个第四设备的接入控制的授权授予;以及向第一设备传输授权授予。
在第三方面,提供了一种方法。该方法包括:根据关于第二设备在第二设备的登录过程中已经被认证的确定,向第三设备传输第二设备的身份信息;从第三设备接收用于第二设备到至少一个第四设备的接入控制的授权授予,授权授予至少基于第二设备的接入控制策略来生成,接入控制策略基于身份信息和与至少一个第四设备相关联的一组相应域来确定;基于身份信息和授权授予来生成用于第二设备接入至少一个第四设备的授权验证指示;以及向第二设备传输授权验证指示。
在第四方面,提供了一种方法。该方法包括从第一设备接收第二设备的身份信息;基于身份信息和与至少一个第四设备相关联的一组相应域来确定第二设备的接入控制策略;至少基于接入控制策略生成用于第二设备到至少一个第四设备的接入控制的授权授予;以及向第一设备传输授权授予。
在第五方面,提供了一种装置,该装置包括用于根据关于第二设备在第二设备的登录过程中已经被认证的确定来向第三设备传输第二设备的身份信息的部件;用于从第三设备接收用于第二设备到至少一个第四设备的接入控制的授权授予的部件,授权授予至少基于第二设备的接入控制策略来生成,接入控制策略基于身份信息和与至少一个第四设备相关联的一组相应域来确定;用于基于身份信息和授权授予来生成用于第二设备接入至少一个第四设备的授权验证指示的部件;以及用于向第二设备传输授权验证指示的部件。
在第六方面,提供了一种装置,该装置包括用于从第一设备接收第二设备身份信息的部件;用于基于身份信息和与至少一个第四设备相关联的一组相应域来确定第二设备的接入控制策略的部件;用于至少基于接入控制策略来生成用于第二设备到至少一个第四设备的接入控制的授权授予的部件;以及用于向第一设备传输授权授予的部件。
在第七方面,提供了一种其上存储有计算机程序的计算机可读介质,该计算机程序在由设备的至少一个处理器执行时引起该设备执行根据第三方面的方法。
在第八方面,提供了一种其上存储有计算机程序的计算机可读介质,该计算机程序在由设备的至少一个处理器执行时引起该设备执行根据第四方面的方法。
当结合附图阅读时,本公开的实施例的其他特征和优点也将从以下具体实施例的描述中很清楚,附图通过示例的方式说明了本公开的实施例的原理。
附图说明
本公开的实施例是在示例的意义上提出的,并且其优点将在下面参考附图更详细地解释,在附图中
图1示出了可以在其中实现本公开的示例实施例的示例环境;
图2示出了根据本公开的一些示例实施例的用于支持SBMA接入控制的示例功能块;
图3示出了图示根据本公开的一些示例实施例的基于服务的管理框架的接入控制过程的信令图;
图4示出了图示根据本公开的一些示例实施例的基于服务的管理框架的接入控制过程的信令图;
图5示出了根据本公开的一些示例实施例的基于服务的管理框架的接入控制的示例方法的流程图;
图6示出了根据本公开的一些示例实施例的基于服务的管理框架的接入控制的示例方法的流程图;
图7示出了适合于实现本公开的示例实施例的设备的简化框图;以及
图8示出了根据本公开的一些实施例的示例计算机可读介质的框图。
在整个附图中,相同或相似的附图标记表示相同或相似的元素。
具体实施方式
现在将参考一些示例实施例来描述本公开的原理。应当理解,描述这些实施例仅是为了说明和帮助本领域技术人员理解和实现本公开,并不表示对本公开的范围的任何限制。本文中描述的公开内容可以以除了下面描述的方式之外的各种其他方式来实现。
在以下描述和权利要求中,除非另有定义,否则本文中使用的所有技术和科学术语具有与本公开所属领域的普通技术人员通常理解的相同的含义。
在本公开中,对“一个实施例”、“实施例”和“示例实施例”等的引用表明所描述的实施例可以包括特定特征、结构或特性,但并非每个实施例都必须包括特定特征、结构或特性。此外,这样的短语不一定指的是同一实施例。此外,当结合一个示例实施例描述特定特征、结构或特性时,本领域技术人员认为,无论是否明确描述,与其他实施例相结合来影响这样的特征、结构或特性都在本领域技术员的知识范围内。
应当理解,尽管术语“第一”和“第二”等可以在本文中用于描述各种元素,但这些元素不应受到这些术语的限制。这些术语仅用于区分各种元件的功能。如本文中使用的,术语“和/或”包括所列术语中的一个或多个术语的任何和所有组合。
本文中使用的术语仅用于描述特定实施例,而非旨在限制示例实施例。本文中使用的单数形式“一个(a)”、“一个(an)”和“该(the)”也包括复数形式,除非上下文另有明确说明。进一步理解,术语“包括(comprises)”、“包括(comprising)”、“具有(has)”、“具有(having)”、“包括(includes)”和/或“包括(including)”当在本文中使用时指定所述特征、元素和/或组件等的存在,但不排除一个或多个其他特征、元素、组件和/或其组合的存在或添加。
如本申请中使用的,术语“电路系统”可以指代以下中的一项或多项或全部:
(a)纯硬件电路实现(诸如仅使用模拟和/或数字电路系统的实现),以及
(b)硬件电路和软件的组合,诸如(如适用):
(i)(多个)模拟和/或数字硬件电路与软件/固件的组合,以及
(ii)具有软件的(多个)硬件处理器(包括(多个)数字信号处理器)、软件和(多个)存储器的任何部分,其一起工作以引起装置(诸如移动电话或服务器)执行各种功能,以及
(c)(多个)硬件电路和/或(多个)处理器,诸如(多个)微处理器或(多个)微处理器的一部分,其需要软件(例如,固件)
进行操作,但在不需要操作时软件可以不存。
该电路系统的定义适合于该术语在本申请中的所有使用,包括在任何权利要求中。作为另一示例,如在本申请中使用的,术语电路系统还涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器的一部分及其(或它们的)随附软件和/或固件的实现。例如,如果适用于特定权利要求元素,则术语电路系统还涵盖用于移动设备的基带集成电路或处理器集成电路、或者服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。
如本文中使用的,术语“通信网络”是指遵循任何合适的通信标准的网络,诸如第五代(5G)系统、长期演进(LTE)、高级LTE(LTE-a)、宽带码分多址(WCDMA)、高速分组接入(HSPA)、窄带物联网(NB-IoT)等。此外,通信网络中终端设备与网络设备之间的通信可以根据任何合适的一代通信协议来执行,包括但不限于第一代(1G)、第二代(2G)、2.5G、2.75G、第三代(3G)、第四代(4G)、4.5G、未来的第五代(5G)新无线(NR)通信协议、和/或当前已知或未来将要开发的任何其他协议。本公开的实施例可以应用于各种通信系统。考虑到通信的快速发展,当然也会有未来类型的通信技术和系统可以体现本公开。本公开的范围不应仅限于上述系统。
如本文中使用的,术语“网络设备”是指通信网络中的节点,终端设备通过该节点接入网络并且从网络接收服务。网络设备可以是指基站(BS)或接入点(AP),例如,节点B(NodeB或NB)、演进型NodeB(eNodeB或eNB)、NR下一代NodeB(gNB)、远程无线电单元(RRU)、无线电报头(RH)、远程无线电头端(RRH)、中继、低功率节点(诸如毫微微、微微)等,具体取决于所应用的术语和技术。RAN拆分架构包括控制多个gNB-DU(分布式单元,其托管RLC、MAC和PHY)的gNB-CU(集中式单元,其托管RRC、SDAP和PDCP)。中继节点可以对应于IAB节点的DU部分。
术语“终端设备”是指能够进行无线通信的任何终端设备。作为示例而非限制,终端设备也可以称为通信设备、用户设备(UE)、订户站(SS)、便携式订户站、移动站(MS)或接入终端(AT)。终端设备可以包括但不限于移动电话、蜂窝电话、智能手机、IP语音(VoIP)电话、无线本地环路电话、平板电脑、可穿戴终端设备、个人数字助理(PDA)、便携式计算机、台式计算机、图像捕获终端设备(诸如数码相机)、游戏终端设备、音乐存储和播放设备、车载无线终端设备、无线端点、移动站、笔记本电脑嵌入式设备(LEE)、笔记本电脑车载设备(LME)、USB加密狗、智能设备、无线客户场所设备(CPE)、物联网(IoT)设备、手表或其他可穿戴设备、头戴显示器(HMD)、车辆、无人机、医疗设备和应用(例如,远程手术)、工业设备和应用(例如,在工业和/或自动化处理链上下文中操作的机器人和/或其他无线设备)、消费电子设备、在商业和/或工业无线网络上操作的设备等。终端设备还可以对应于集成接入和回程(IAB)节点(也称为中继节点)的移动终止(MT)部分。在以下描述中,术语“终端设备”、“通信设备”、“终端”、“用户设备”和“UE”可以互换使用。
虽然在各种示例实施例中,本文中描述的功能可以在固定和/或无线网络节点中执行,但在其他示例实施例中,功能可以在用户设备装置(诸如手机或平板电脑或膝上型计算机或台式计算机或移动IoT设备或固定IoT设备)中实现。例如,该用户设备装置可以适当地配备有如结合(多个)固定和/或无线网络节点而描述的对应能力。用户设备装置可以是用户设备和/或控制设备,诸如芯片组或处理器,该控制设备被配置为当安装在用户设备中时控制用户设备。这样的功能的示例包括引导服务器功能和/或归属订户服务器,其可以通过向用户设备装置提供软件来在用户设备装置中实现,该软件被配置为引起用户设备装置从这些功能/节点的角度来执行。
如上所述,引入了基于服务的管理架构(SBMA)以支持服务和网络管理自动化。与传统的基于集成参考点(IRP)的架构相比,SBMA更具灵活性、可缩放性和可扩展性。特别地,零接触网络和服务管理(ZSM)框架能够实现多个管理域之间的集成和协调,以支持零接触服务管理和编排。3GPP相关管理系统可以是ZSM框架的一个或多个管理域。不同管理(management)域可以属于不同管理(administrative)域。
用于保护由ZSM或第三代合作伙伴计划(3GPP)管理系统提供的管理服务(MnS)的接入控制(包括标识、认证、授权和审计)以及管理系统本身对于服务至关重要,已经定义了一些要求、指南和解决方案。例如,ZSM要求ZSM框架参考架构应当允许已认证服务消费者对服务接入进行授权,并且建议在管理服务生产者与消费者之间进行稳健的相互认证、以及对管理服务的接入控制。此外,3GPP建议对暴露给通信服务提供者的网络切片管理接口进行安全保护以防止未授权接入。
认证、授权和审计(AAA)对于管理和编排框架至关重要,但到目前为止,尚未为ZSM框架和3GPP SBMA开发AAA解决方案。
ZSM框架构建在多个管理域上。域之间的信任级别不同。通常,域之间在开始时是零信任。此外,信任关系可以随着每个管理域中的变化而动态变化。接入控制解决方案(包括标识和认证、授权和审计)应当适应ZSM管理域之间以及(多个)ZSM管理域名与外部实体之间的信任关系的变化。
此外,多样性是ZSM框架的一个典型特征,例如,它集成了基于不同技术的管理域,适用于具有不同安全要求的不同行业;它支持多种类型的交互,例如机器对机器、人对机器、代表机器的人等。ZSM服务提供机器可消费的接口(例如,到管理功能、网络功能、应用、移动设备等)。它们还可以允许使用例如GUI、网络门户或应用等与人类用户(例如,表示租户、操作者、第三方合作伙伴、供应商、终端用户等)进行交互。ZSM框架实现资源共享以及特定租户的专用(物理/逻辑)资源。因此,使用ZSM(或类似的)框架进行E2E服务管理和编排可能非常复杂和不可预测,而认证、授权和审计需要灵活、动态和自适应。
已经提出了一些解决AAA问题的方法。例如,基于传输层安全性(TLS)的相互认证、以及基于OAuth或本地策略的授权,而没有具体的解决方案。然而,TLS可以是由消费者(客户端)认证MnS生产者(服务器)的很好的解决方案,但几乎不可能依靠TLS来认证MnS消费者(客户端),因为MnS消费者始终处于与生产者不同的管理和网络域中。从管理角度来看,很难在每个生产者上预先配置消费者的根证书,因为MnS消费者可能动态改变。从技术角度来看,很难确保客户端请求中客户端的IP地址或FQDN与客户端证书的主题或主题“替代方案”相同,特别是在它们位于不同网络域中的情况下。事实上,MnS消费者始终处于与生产者不同的域中,这是依赖TLS来进行MnS消费者认证的阻塞问题(block issue)。
ONAP(开放网络自动化平台)中用于保护ONAP应用的应用认证框架(AAF)、和用于保护应用程序编程接口(API)的基于OAuth的授权解决方案是集中式和静态接入控制框架,其专注于具有有限客户端类型的一个管理域,并且可能不满足针对ZSM或类似框架的跨多个管理域的灵活和动态的SBMA接入控制的要求。此外,上述解决方案均未考虑安全审计。
如上所述,所提出的方法未能解决多个管理域中MnS消费者与生产者之间的AAA问题。因此,本发明的实施例提出了一种用于跨多个管理域的SBMA接入控制的新框架,包括跨域认证、授权和审计功能、以及域特定认证和授权功能。该框架实现了不同场景中任何类型的MnS消费者与生产者之间的相互和自适应认证、基于业务逻辑和特定上下文的细粒度和自适应授权、基于从多个域收集的数据的审计,还允许与现有域或中央AAA框架集成。
图1示出了可以在其中实现本公开的实施例的示例环境100。如图1所示,接入控制功能(ACF)130被引入环境100。ACF 130可以包括认证管理功能(ANAF)131(下文中也可以称为第一设备131)和授权管理功能(ARAF)132(下文中也可以称为第三设备132)。应当理解,图1所示的ANAF 131和ARAF 132的数目是出于说明的目的而给出的,而没有提出任何限制。环境100可以包括任何合适数目的ANAF 131和ARAF 132。
此外,环境100还可以包括管理服务消费者(MnSC)110(下文中也可以称为第二设备110)和管理服务提供者(MnSP)120(下文中也可以称为第四设备120)。应当理解,图1所示的MnSC和MnSP的数目是出于说明的目的而给出的,而没有提出任何限制。环境100可以包括在一个或多个管理域中或来自外部实体的任何合适数目的MnSC和MnSP。
环境100还可以包括接入控制实施点140。MnSC 110和MnSP 120可以分别与接入控制实施点140交互,并且可以分别经由接入控制实施点140与ACF 130交互。接入控制实施点140可以被实现为集成结构(IF)或暴露治理管理功能(EGMF)。
通常,ANAF 131可以支持与一个或多个管理域中的MnSC 110和一个或多个MnSP120相关联的认证功能,诸如身份管理、凭证管理和认证策略管理等,而ARAF 132可以支持与一个或多个管理域中的MnSC 110和一个或多个MnSP 120相关联的授权功能,诸如接入控制策略管理。以这种方式,可以实现MnSC 110与MnSP 120之间的接入控制。
应当理解,ANAF 131和ARAF 132也可以被视为集成功能,即,ACF 130。ACF 130可以支持ANAF 131和ARAF 132的所有功能。ACF 130也可以被视为集成到接入控制实施点140。
为了更好地理解本公开的解决方案,下文中将结合ZSM架构详细描述新引入的功能。图2示出了根据本公开的一些示例实施例的在ZSM架构中支持SBMA接入控制的示例功能块。
架构200可以包括端到端(E2E)管理域(MnD)210和管理域(MnD)230。E2E MnD 210的管理功能(MnF)和MnD 230的MnF可以分别通过其域集成结构(DIF)211和231与跨域集成结构(CDIF)220交互。
E2E MnD 210中的域认证管理功能(DANAF)212和域授权管理功能(DARAF)213可以与DIF 211交互,而MnD 230中的DANAF232和DARAF 233可以与DIF 231交互。DANAF 212和232可以被视为图1所示的ANAF 131的实施例,并且DARAF 213和233可以被视为图1所示的ARAF 132的实施例。
此外,跨域认证管理功能(CDANAF)241和跨域授权管理功能(CDARAF)242可以与CDIF 220交互。跨域认证管理功能(CDANAF)241可以经由CDIF和DIF与DANAF交互,并且跨域授权管理功能(CDARAF)242可以经由CDIF和DIF与DARAF交互。CDANAF 241可以被视为图1所示的ANAF 131的实施例,并且CDARAF 242可以被视为图1所示的ARAF 132的实施例。
具体地,CDANAF 241以及DANAF 212和232可以支持以下功能:身份管理,包括各种类型的MnSC和MnSP的身份生命周期管理;凭证管理,包括各种类型的凭证的凭证生命周期管理;MnSC和MnSP的认证策略管理(例如,创建、删除、更新等);在验证MnSC的身份和凭证之后,生成并且向MnSC发出认证断言/令牌;集成到现有AAA或单点登录(SSO)解决方案中;与集成结构(IF)、分析和智能功能交互以用于动态身份和认证策略管理,因此支持基于上下文的和自适应的认证;以及在CDANAF 241与DANAF 212和232之间同步和映射身份。此外,CDANAF 242可以跨多个域生成合并的认证策略。
在一些示例实施例中,认证策略可以包括以下信息元素作为示例:认证因素:知识(我知道什么)、所有权(我拥有什么)、个人属性(我是谁)、单一因素、多因素;认证模式:本地认证(在MnF提供的MnS上)、域认证、公共认证、SSO等。;认证协议:TLS、SAML2.0、OpenID、基本用户/密码、Kerberos和上下文自适应信息:例如,在哪个上下文中需要应用什么anthemion因子等。
此外,CDARAF 242以及DARAF 213和233可以支持以下功能:MnSC和MnSP的接入控制策略管理(创建、删除、更新);与策略管理服务交互以实现接入策略的一致性,尤其是冲突检测和解决;与SLA管理交互以基于SLA来调节接入控制策略;与集成结构、分析和智能功能交互以实现动态策略适应;根据最佳实践或策略的自主接入控制(DAC)或强制接入控制(MAC)。例如,对专用资源应用DAC,并且对共享资源应用MAC;以及在CDARAF 242与DARAF213和233之间同步和映射接入控制策略。此外,CDANAF 242可以跨多个域生成合并的认证策略。
架构200中的CDIF 220以及DIF 211和231可以与CDANAF241/DANAF 212和232/CDARAF 242/DARAF 213和233交互,以在ZSM接入控制系统中注册新的MnSC 110(例如,ZSM框架消费者、ZSM框架内的MnF等),并且与CDANAF 241/DANAF 212和232/CDARAF 242/DARAF213和233交互,以在ZSS接入控制系统内注册新的MnS。CDIF 220以及DIF 211和231还可以将MnS的改变(例如,添加/删除/更新)与CDANAF 241/DANAF 212和232/CDARAF 242/DARAF213和233同步。CDIF 220以及DIF 211和231可以是接入控制(认证和授权)实施点,并且可以在数据服务中记录安全日志,以记录每个注册、登录以及接入请求和结果。
架构200还可以包括公共审计功能243,公共审计功能243可以与CDIF 220交互,并且基于从域/跨域数据服务收集的安全日志来生成特定域、特定服务、特定租户等的安全报告。
本公开的原理和实现将在下文中参考图3-图4详细描述,图3-图4示出了基于服务的管理框架的接入控制的示意性过程。为了讨论的目的,将参考图3描述过程300。过程300可以涉及如图1所示的MnSP 120、ARAF 131和ANAF 132。
过程300还可以涉及集成结构(IF)301,IF 301可以被视为图1所示的接入控制实施点140、或图2所示的CDIF 220或DIF 211和231。应当理解,IF 301可以替换为其他框架或系统中的其他交互功能、实体或模块。
在图3所示的注册过程300中,MnSP 120可以向IF 301发送305注册请求,以向IF301注册MnS。该请求可以包括服务类型、服务的安全级别、服务的域、MnS生产者支持的认证机制等。
然后,IF 301可以向ANAF 131发送310MnSP 120的注册信息,以在认证系统中注册MnS。根据MnSP 120的要求,ANAF 131可以为MnS创建315新记录。ANAF 131还可以为MnSP120分配认证组。
在一些示例实施例中,ANAF 131可以从MnSP 120的注册信息来确定服务类型、服务的安全级别、服务的域、MnS生产者支持的认证机制。ANAF 131基于来自MnSP 120的注册信息的服务类型、服务的安全级别、服务的域、MnS生产者支持的认证机制来确定MnSP120认证策略。
替代地,ANAF 131可以将MnSP 120分配到认证组。例如,如果ANAF 131确定存在与MnSP 120的注册信息相关的要求相匹配的配置有一组认证策略的现有认证组,则ANAF 131可以将现有认证组分配给MnSP 120,并且将配置的该组认证策略应用于MnSP 120。
作为另一选项,如果ANAF 131确定不存在与MnSP 120的注册信息相关的要求相匹配的现有认证组,则ANAF 131可以为MnSP 120创建新的认证组,并且基于与MnSP 120的注册信息相关的要求来配置对应认证策略。
然后,ANAF 131可以进一步向ARAF 132发送320与MnSP 120相关的信息。ARAF 132可以基于与MnSP 120相关的信息来确定MnS的分类。然后,ARAF 132可以基于MnS的分类和接入控制策略的主题的分类/许可(clearance)来更新325接入控制策略。例如,ARAF 132可以将MnS添加到现有接入控制策略中。
此外,IF 301可以在数据库中记录MnSP 120的注册过程。
下文中,将参考图4描述过程400。过程400可以涉及如图1所示的MnSP 120、IF301、ARAF 131、ANAF 132和MnSC 110。
在注册过程中,MnSC 110可以向MnSP 120的IF 301发送402注册请求。注册请求可以包括消费者类型、消费者域、消费者的安全级别、消费者支持的认证机制等。
然后,IF 301可以向ANAF 131发送404MnSC 110的注册信息,以在认证系统中注册MnSC 110。ANAF 131可以为MnSC 110创建406身份。此外,ANAF 131还可以在身份存储库中记录MnSC 110的身份信息以及MnSC 110的优选认证机制。身份信息可以包括MnSC110的域、MnSC 110的安全级别和MnSC 110的类型等。
在一些示例实施例中,如果一个以上的MnSP已经被注册,则ANAF 131可以根据其自身的能力和MnSC 110的安全上下文以及MnSC 110和一个或多个管理域的一个或多个MnSP支持的技术来确定认证策略。此外,ANAF 131还可以从ARAF 132获取MnSC 110的一些初步信息。ARAF 132可以基于来自在IF 301上注册的一个或多个管理域的MnS的分类(例如,安全级别、应用行业、地区、安全状态等)和MnSC 110的分类/许可(例如,SLA、行业、地区等)(其可以从MnSC 110的身份信息中获取)来将相关接入控制策略分配给MnSC 110。
然后,ANAF 131可以向IF 301发送408创建的身份、商定的认证机制和初步信息。IF 301可以进一步向MnSC 110发送410创建的身份以及商定的认证机制。
此外,使用创建的身份,MnSC 110可以登录MnSP的IF 301,以在MnSP的认证系统中创建新帐户,并且管理该帐户的接入策略。IF 301可以在数据库中记录MnSC的注册、登录和接入过程。
下文中,将参考图4进一步描述MnSC 110的登录过程。MnSC 110可以使用在注册过程中获取的(多个)商定的认证机制中的身份和凭证来登录412IF 301。作为认证实施点的IF 301可以与ANAF 131交互,以基于商定的认证策略以及MnSC 110的身份的安全上下文(例如,时间、地点、身份的安全状态等)来认证416MnSC 110。
应当理解,本文中的登录过程中的“安全上下文”可以与MnSC110的当前状态相关联,这可以不同于MnSC 110在ANAF 131处注册时的状态。
在MnSC 110被认证之后,ANAF 131可以向ARAF 132发送418MnSC 110的认证状态的指示,并且将MnSC 110的身份信息与授权系统同步。
然后,ARAF 132可以基于来自在IF 301上注册的一个或多个管理域的MnS的分类(例如,安全级别、应用行业、地区、安全状态等)和MnSC 110的分类/许可(例如,SLA、行业、地区等)以及消费者的安全上下文(例如,时间、位置、安全状态、任务/原因等)(其可以从MnSC 110的身份信息中获取)来将相关接入控制策略分配给MnSC 110。
基于所分配的接入控制策略,ARAF 132可以为MnSC 110生成420接入控制的授权授予和/或暴露给MnSC 110的MnS列表的接入点。ARAF 132可以向ANAF 131发送422授权授予,并且ANAF 131可以生成424授权验证指示,该授权验证指示包括基于认证和授权结果的令牌和断言中的至少一项。
然后,ANAF 131可以向IF 301发送426生成的令牌/断言,并且IF 301可以向MnSC110发送由ANAF 131生成的令牌或断言和/或暴露于MnSC 110的MnS列表的接入点,并且可能向MnSC 100暴露允许的MnS(可以包括SAP、操作、资源等)。
在获取令牌/断言之后,MnSC 110可以使用包括令牌/断言的接入请求来接入430MnSP 120的MnS。令牌/断言可以被包括在对MnS的接入请求中。MnSP 120可以验证432令牌/断言并且继续该请求。然后,MnSP 120可以向MnSC 110发送434接入结果。此外,IF 301或MnSP 120可以在数据库中记录MnSC 110的登录和接入过程。
除了上面参考图3和图4描述的过程之外,基于服务的管理框架的接入控制存在一些后置条件。首先,安全审计可以定期或按需执行。例如,授权的审计服务消费者可以向MnSP发送审计MnSC的请求。MnSP的审计功能可以从数据库中检索与MnSC相关的数据,分析数据,生成报告并且将报告返回给审计服务消费者。
其次,安全策略可以动态更新。例如,IF可以发现MnSP或MnSC的变化,并且将这些变化与ANAF 131或ARAF 132同步。ANAF 131和ARAF 132可以相应地更新身份存储库、认证策略和接入控制策略,并且可以终止MnSC或MnSP的正在进行的接入会话。ANAF 131和ARAF132可以根据从分析或智能功能接收的MnSC和MnSP的安全状态改变、或来自其他域的ARAF的接入控制策略改变、来自MnSC或MnSP的接入策略改变等来更新身份状态、认证策略和接入控制策略,并且可以终止MnSC或MnSP的正在进行的接入会话。
应当理解,MnSC可以是人类消费者、数字门户、管理功能、网络功能、应用等。IF可以是跨域集成结构或域集成结构、或暴露治理管理功能、管理服务注册功能等。ANAF和ANRF可以是独立的功能块或彼此组合,或与其他功能块(诸如IF)组合。
参考图2所示的示例框架200,功能的交互和操作可以在不同场景中进一步详细描述。
在MnD 230作为MnSC注册到ZSM框架的情况下,在DIF 231、DANAF 232和DARAF 233之间、以及在CDIF 220、CDANAF 241和CDARAF 242之间已经建立了相互信任,并且MnF信任DIF 231,DIF 231、DANAF 232和DARAF 233信任CDIF 220、CDANAF 241和CDARAF 242,MnD230的DIF 231在MnD 230被部署之后向CDIF220注册MnD 230,请求可以包括MnD类型、MnD认证机制、MnD安全级别等。
CDIF 220调用CDANAF 241(包括身份管理)以在ZSM框架的接入控制系统中注册MnD 230。
CDANAF 241为MnD 230创建主要身份,并且在公共身份存储库中记录身份信息以及MnD 230的优选认证机制。在一些示例实施例中,CDANAF 241可以根据其自身的能力和MnD 230的安全上下文以及MnD 230支持的技术来确定认证策略。
然后,CDIF 220向MnD 230的DIF 231返回主要身份以及商定的认证机制。
MnD 230的DIF 231在域身份存储库或其他域数据服务中记录主要身份和认证机制以及CDANAF 241的可选地址。
MnD 230的DIF 231使用主要身份、商定的认证机制和证书登录CDIF 220,CDIF220重定向请求或调用CDANAF 241以验证DIF 231。在一些示例实施例中,用于管理和交换每个身份的证书的机制取决于认证机制以及证书存储和接入技术。
然后,CDANAF 241基于DIF 231/MnD 230的当前安全上下文来验证DIF 231的身份和凭证,并且在成功验证DIF 231之后为DIF 231发布认证断言/令牌。
此外,CDANAF 241/CDIF 220将身份信息与CDARAF 242同步。
CDARAF 242基于在CDIF 220上注册的MnS的分类(例如,安全级别、应用行业、地区、安全状态等)和MnD 220的分类/许可(例如,安全级别、安全状态、SLA等)来将相关接入控制策略分配给新的MnD 230。应当理解,强制接入控制(MAC)被应用于该场景。CDARAF 242可以与DARAF 232交互以获取细粒度接入控制策略,然后基于接入控制策略生成许可,并且返回给CDANAF/CDIF。
然后,CDANAF/CDIF 220基于许可生成断言/令牌,并且向DIF231返回认证断言/令牌和/或允许的MnS列表。如果MnF需要接入在CDIF 22上暴露的MnS或在CDIF 220上暴露其MnS,则MnD 230的DIF 231可以为MnD 230的现有MnF创建帐户。DIF 231直接(或通过CDIF220代理)调用CDANAF 241和CDARAF 242服务,以创建新账户并且与DARAF 233一起管理MnF的接入策略。应当理解,自主接入控制(DAC)在该场景中被应用,其允许域管理员管理MnD230可以接入的MnS范围内的域MnF的接入策略。
在MnD 230中部署了新的MnF之后,新的MnF注册到DIF 231。DIF 231与DANAF 232交互以为MnF创建身份,与DARAF 233一起,根据MnF的许可/分类为MnF接入域MnS(包括DIF服务)而分配接入控制策略。
可选地,DIF 231/DANAF 232可以调用CDANAF 241和CDARAF242服务,以与DARAF233一起为MnF创建帐户并且分配接入策略,之后,MnF可以将自己注册到CDIF 220,并且还可以接入在CDIF 220上注册并且在认证和授权之后暴露给MnF的MnS。替代地,DIF 231可以代表MnF向CDIF 220注册MnF。应当理解,默认情况下,允许向域结构注册MnD中的任何MnF。然后,CDIF 220/DIF 231将MnD230的MnF的每个注册、登录以及接入请求和结果记录在公共/域数据服务中。
在这种场景中,假定安全连接总是构建在上述所有交互中。为了简化解决方案,本发明未涵盖由MnF进行的认证。因此,认证和授权总是在CDIF或DIF处基于由DANAF/CDANAF发布的令牌/断言来执行。DANAF/CDANAF/DARAF/CDARAF可以是IF的一部分,或者是独立MnF。DANAF/CDANAF/DARAF/CDARAF的一部分可以与数据服务生产者(例如,身份存储库)一起部署,它们的一部分可以与策略服务生产者一起部署,另一部分可以与DIF/CDIF一起部署,等等。
基于MnD的设计和安全考虑,MnD的MnF可以隐藏在MnD的DIF后面。来自/去往CDIF或其他域MnF的所有接入将由MnD的DIF代理。在这种情况下,无需为CDANAF中的MnF创建单独帐户。
在另一场景中,MnD 230作为生产者注册到ZSM框架。该场景的前提条件可以包括MnD 230已经作为消费者注册到ZSM框架,并且为每个MnF创建帐户,以在CDIF 220上暴露MnS,并且向MnF分配基本权限,例如注册MnS等;MnF已经被记录在DIF 231中,DIF 231或MnF已经被记录在CDIF 220中。
在MnD 230已经作为消费者注册到ZSM框架的场景中,MnSP将MnS注册到DIF 231,至少需要提供MnS的服务接入点(SAP)。DIF 231调用DANAF 232以在认证系统中注册MnS。
根据MnSP的要求,DANAF 232可以为MnS创建新记录,MnS的SAP应当被记录。DANAF232可以将MnS放入现有组中(例如,基于服务类型、服务的安全级别、服务的生产者、MnS生产者支持的认证机制等),并将组策略应用于MnS,或为MnS创建一个新的组,并根据例如服务的安全级别(可能影响认证因素)、MnSP支持的技术(可能影响验证协议和因素)、以及认证偏好来向组分配认证策略。
然后,DANAF 232将新的MnS信息与DARAF 233同步。DARAF233可以根据MnS的分类和接入控制策略的主题的分类/许可来将MnS添加到现有接入控制策略中。如果MnS需要暴露于CDIF 220,则MnSP将MnS注册到CDIF 220,至少需要提供MnS的SAP。CDIF220可以调用公共CDANAF 241以在公共认证系统中注册MnS。
根据MnSP的要求,CDANAF 241可以为MnS创建新记录,MnS的SAP应当被记录。然后,CDANAF 241可以将MnS放入现有组(例如,基于服务类型、服务的安全级别、服务的域、服务的生产者、MnS生产者支持的认证机制等),并将组策略应用于MnS,或为MnS创建一个新的组,并根据例如服务的安全级别(可能影响认证因素)、CDANAF 241支持的技术(可能影响验证协议和因素)、以及认证偏好来向组分配认证策略。
CDANAF 241将新的MnS信息与CDARAF 242同步。CDARAF242可以根据MnS的分类和接入控制策略的主题的分类/许可来将MnS添加到现有接入控制策略中。CDIF 220/DIF 231将MnD 230的MnF的每个注册、登录以及接入请求和结果记录在公共/域数据服务中。
在这种场景中,假定安全连接总是构建在上述所有交互中。此外,为了简化,MnSP可以用于表示MnD或MnF或服务生产者,而不管是哪个具体组件初始化了到集成结构的MnS注册。
在另一场景中,对跨多个管理域而消费MnS的ZSM框架消费者进行接入控制。该场景的前提条件可以包括ZSM框架的MnD与CDIF220之间的信任关系已经建立,并且MnS将由注册到CDIF 220的ZSM框架消费者接入。
在这种场景中,ZSM框架消费者注册到ZSM框架,CDIF 220(与BSS或客户关怀系统交互)与消费者签订在线合同,并且为消费者(正式或试用租户/客户)创建记录。协商的SLA(其可以包括认证机制)被包括在记录中。
作为替代方案,租户/客户可以提前与ZSM框架所有者(操作者)签订合同,并且租户/客户已经在BSS系统中被创建,并且ZSM框架管理员可以代表消费者向ZSM框架的CDIF220注册租户/客户。
CDIF 220调用CDANAF 241以在ZSM框架的接入控制系统中注册消费者。CDANAF241为ZSM消费者创建主要身份,并且将身份信息以及消费者的优选认证机制记录在公共身份存储库中。
CDIF 220向消费者返回主要身份以及商定的认证机制。CDANAF241根据其自身的能力、消费者的安全上下文和消费者支持的技术、以及(多个)MnSP的安全上下文和生产者支持的技术(例如,令牌的类型、断言等)来决定认证机制,该生产者将提供服务以满足消费者的SLA。CDIF 220(与CDANAF 241和CDARAF 242一起)需要通过一个或多个MnD中的所有(多个)MnSP,并且最终找出适用于所有MnSP并且也受消费者支持的通用认证技术。
ZSM框架消费者使用商定的认证机制中的身份和凭证登录ZSM框架。作为认证实施点的CDIF 220与CDANAF 241交互,以基于商定的认证策略以及身份的其他安全上下文(例如,时间、地点、身份的安全状态等)来认证消费者。用于管理和交换消费者的凭证的机制取决于认证机制。在认证之后,CDIF 220/CDANAF 241将身份信息与CDARAF 242同步。
CDARAF 242基于在CDIF 220上注册的MnS的分类(例如,安全级别、应用行业、地区、安全状态等)和消费者的分类/许可(例如,SLA、行业、地区等)以及消费者的安全上下文(例如,时间、位置、安全状态、任务/原因等)来将相关接入控制策略分配给消费者,并且基于接入控制策略生成许可,并且返回给CDIF 220/CDANAF 241。
在这种场景中,CDARAF 242可以与DARAF 233交互,以获取细粒度接入控制策略。CDIF 220将由CDANAF 241基于许可生成的令牌/断言返回给ZSM框架消费者。此外,CDIF220根据许可向消费者暴露允许的MnS(可以包括SAP、操作、资源等)。CDIF 220(与CDANAF241和CDARAF 242一起)可以在成功认证之后向消费者返回单个断言/令牌,或者如果消费者有能力支持,则针对不同MnS生产者返回不同断言/令牌。
ZSM框架消费者接入暴露给他们的MnS,令牌/断言应当被包括在接入请求中。如果CDIF被暴露给消费者,则CDIF验证令牌/断言并调用MnS,并且将结果转发给消费者。替代地,如果MnS的端点被暴露,则MnS的MnF应当能够基于预先配置的信息或通过与CDANAF进行检查来验证令牌/断言。CDIF/MnF可以在处理请求之前用CDARAF对分配给消费者的接入控制策略和消费者的上下文进行双重检查。
通过主要身份,ZSM消费者可以创建新帐户,并且在认证之后管理帐户的接入策略。自主接入控制(DAC)应用于该场景,这允许ZSM框架客户在客户可以接入的MnS范围内管理其自己账户的接入策略。
CDIF将ZSM框架消费者的每个注册、登录以及接入请求和结果记录在公共数据服务中。
在这种场景中,ZSM消费者与ZSM框架组件之间以及ZSM框架的组件之间的所有交互都受到保密和完整性保护。根据最小权限原则,任何对象的默认权限和新身份的操作都是拒绝的。可以基于性能和安全要求部署多个跨域集成结构以支持不同管理域。
在另一场景中,消费E2E服务MnS的ZSM框架消费者进行接入控制,并且E2E服务MnF跨多个管理域消费MnS,以为消费者构建E2E服务。该场景的前提条件可以包括支持注册到CDIF 220的E2E服务部署的E2E服务MnD 210和其他MnD 230。
ZSM框架消费者使用身份和凭证登录ZSM框架。CDIF 220与CDANAF 241交互以基于商定的认证策略以及消费者的其他安全上下文来认证消费者。在认证之后,CDIF 220/CDANAF 241基于来自CDARAF 242的消费者的接入控制策略获取相关许可。
CDIF 220将由CDANAF 241基于许可生成的令牌/断言返回给ZSM框架消费者。此外,CDIF 220基于许可来对消费者暴露允许的MnS(可以包括SAP、操作、资源等)。ZSM框架消费者接入暴露给他们的E2E服务MnS(假定直接使用E2E MnS的地址),令牌/断言应当被包括在接入请求中。
在验证令牌/断言之后,E2E服务MnF将E2E服务请求映射到在CDIF 220上暴露的MnS上的一个或若干其他请求。如果不存在已认证会话,则E2E服务MnF使用其身份和凭证登录CDIF 220。CDIF 220与CDANAF 241交互以基于商定的认证策略以及MnF的其他安全上下文来认证MnF。
在认证之后,CDIF 220检查MnF的接入控制策略,并且向E2E服务MnF返回令牌/断言。此外,CDIF 220向MnF暴露允许的MnS(可以包括SAP、操作、资源等)。E2E服务MnF接入支持E2E服务的服务需求所需要的MnS,返回给E2E服务MnF的令牌/断言应当被包括在接入请求中。
目标MnD中产生MnS的域MnF验证E2E服务MnF的令牌/断言并且处理请求。域MnF将请求分解为一个或多个域MnS请求。如果不存在认证会话,则域MnF将登录DIF。DIF与DANAF交互以基于域特定认证策略以及MnF的其他安全上下文来认证域MnF。然后,DIF使用DARAF检查分配给MnF的接入控制策略,并且向MnF返回令牌/断言。此外,DIF向MnF暴露允许的MnS(可以包括SAP、操作、资源等)。DARAF可以自行认证MnF,或将请求转发给CDIF以进行联合认证。在后一种情况下,DARAF需要将联合id映射到MnF的本地id。
域MnF(MnF-1)为了所需要的MnS而使用从DIF获取的令牌/断言接入另一域MnF(MnF-2)。被调用MnF(MnF-2)验证令牌/断言,继续请求,并且将结果返回给调用MnF(MnF-1)。
在与其他域MnF处理所有映射请求之后,处理来自E2E服务MnD的请求的域MnF(MnF-1)将结果返回给E2E服务MnF。在与CDIF和其他MnD中的MnF处理所有映射请求之后,E2E服务MnF将结果返回给E2E服务MnS消费者。
CDIF将E2E服务消费者的每个注册、登录以及接入请求和结果、以及E2E服务MnD与其他MnD之间的所有交互记录在公共数据服务中。DIF将MnD的MnF的每个注册、登录以及接入请求和结果记录在域数据服务中。
图5示出了根据本公开的一些示例实施例的基于服务的管理框架的接入控制的示例方法500的流程图。方法500可以在如图1所示的ANAF 110处实现。为了讨论的目的,将参考图1描述方法500。
在510,如果ANAF确定管理服务消费者已经在管理服务消费者的登录过程中被认证,则ANAF向ARAF传输管理服务消费者的身份信息。
在520,ANAF从ARAF接收用于管理服务消费者到至少一个管理服务生产者的接入控制的授权授予。授权授予可以至少基于该身份信息和管理服务消费者的接入控制策略来生成,接入控制策略基于该身份信息和与至少一个管理服务生产者相关联的一组相应域来确定。
在530,ANAF基于该身份信息和授权授予来生成用于管理服务消费者接入至少一个管理服务生产者的授权验证指示。
在540,ANAF向管理服务消费者传输授权验证指示。
图6示出了根据本公开的一些示例实施例的基于服务的管理框架的接入控制的示例方法600的流程图。方法600可以在如图1所示的ARAF 120处实现。为了讨论的目的,将参考图1描述方法600。
在610,ARAF从ANAF接收管理服务消费者的身份信息;
在620,ARAF基于该身份信息和至少一个管理服务生产者的一组相应域来确定管理服务消费者的接入控制策略。
在630,ARAF至少基于接入控制策略来生成用于管理服务消费者到至少一个管理服务生产者的接入控制的授权授予。
在640,ARAF向ANAF传输授权授予。
在一些示例实施例中,一种能够执行方法500(例如,在ANAF 110处实现)的装置可以包括用于执行方法500的相应步骤的部件。该部件可以以任何合适的形式实现。例如,该部件可以在电路系统或软件模块中实现。
在一些示例实施例中,该装置包括用于根据关于第二设备在第二设备的登录过程中已经被认证的确定来向第三设备传输第二设备的身份信息的部件;用于从第三设备接收用于第二设备到至少一个第四设备的接入控制的授权授予的部件,授权授予至少基于第二设备的接入控制策略来生成,接入控制策略基于身份信息和与至少一个第四设备相关联的一组相应域来确定;用于基于身份信息和授权授予来生成用于第二设备接入至少一个第四设备的授权验证指示的部件;以及用于向第二设备传输授权验证指示的部件。
在一些示例实施例中,一种能够执行方法600(例如,在ARAF 120处实现)的装置可以包括用于执行方法600的相应步骤的部件。该部件可以以任何合适的形式实现。例如,该部件可以在电路系统或软件模块中实现。
在一些示例实施例中,该装置包括用于从第一设备接收第二设备的身份信息的部件;用于基于身份信息和与至少一个第四设备相关联的一组相应域来确定第二设备的接入控制策略的部件;用于至少基于接入控制策略生成用于第二设备到至少一个第四设备的接入控制的授权授予的部件;以及用于向第一设备传输授权授予的部件。
图7是适合于实现本公开的实施例的设备700的简化框图。可以提供设备700来实现通信设备,例如图1所示的ANAF 110和ARAF120。如图所示,设备700包括一个或多个处理器710、耦合到处理器710的一个或多个存储器740、以及耦合到处理器710的一个或多个传输器和/或接收器(TX/RX)740。
TX/RX 740用于双向通信。TX/RX 740具有至少一个天线以便于通信。通信接口可以表示与其他网络元件通信所需要的任何接口。
处理器710可以是适合本地技术网络的任何类型,并且作为非限制性示例,可以包括以下中的一种或多种:通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器。设备700可以具有多个处理器,诸如在时间上从属于与主处理器同步的时钟的专用集成电路芯片。
存储器720可以包括一个或多个非易失性存储器和一个或多个易失性存储器。非易失性存储器的示例包括但不限于只读存储器(ROM)724、电可编程只读存储器(EPROM)、闪存、硬盘、压缩盘(CD)、数字视频磁盘(DVD)、和其他磁存储和/或光存储。易失性存储器的示例包括但不限于随机存取存储器(RAM)722和不会在断电期间持续的其他易失性存储器。
计算机程序730包括由相关联的处理器710执行的计算机可执行指令。程序730可以存储在ROM 720中。处理器710可以通过将程序730加载到RAM 720中来执行任何合适的动作和处理。
本公开的实施例可以通过程序730来实现,使得设备700可以执行参考图2至图6讨论的本公开的任何过程。本公开的实施例也可以通过硬件或软件和硬件的组合来实现。
在一些实施例中,程序730可以有形地包含在计算机可读介质中,该计算机可读介质可以被包括在设备700中(诸如存储器720中)或设备700可以接入的其他存储设备中。设备700可以将程序730从计算机可读介质加载到RAM 722以供执行。计算机可读介质可以包括任何类型的有形非易失性存储器,诸如ROM、EPROM、闪存、硬盘、CD、DVD等。图8示出了CD或DVD形式的计算机可读介质800的示例。计算机可读介质上存储有程序730。
通常,本公开的各种实施例可以使用硬件或专用电路、软件、逻辑或其任何组合来实现。一些方面可以使用硬件实现,而其他方面可以使用可以由控制器、微处理器或其他计算设备执行的固件或软件来实现。尽管本公开的实施例的各个方面被图示和描述为框图、流程图或使用一些其他图形表示,但是应当理解,作为非限制性示例,本文中描述的块、设备、系统、技术或方法可以使用硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备、或其某种组合来实现。
本公开还提供有形地存储在非暂态计算机可读存储介质上的至少一种计算机程序产品。计算机程序产品包括计算机可执行指令,诸如程序模块中包括的指令,该指令在目标真实或虚拟处理器上的设备中执行,以执行上面参考图5-图6描述的方法500和600。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、库、对象、类、组件、数据结构等。在各种实施例中,程序模块的功能可以根据需要在程序模块之间组合或拆分。程序模块的机器可执行指令可以在本地或分布式设备内执行。在分布式设备中,程序模块可以位于本地和远程存储介质两者中。
用于执行本公开的方法的程序代码可以以一种或多种编程语言的任何组合来编写。这些程序代码可以被提供给通用计算机、专用计算机或其他可编程数据处理设备的处理器或控制器,使得程序代码在由处理器或控制器执行时引起在流程图和/或框图中指定的功能/操作被实现。程序代码可以完全在机器上、部分在机器上、作为独立软件包、部分在机器上和部分在远程机器上、或完全在远程机器或服务器上执行。
在本公开的上下文中,计算机程序代码或相关数据可以由任何合适的载体承载,以使得设备、设备或处理器能够执行如上所述的各种过程和操作。载体的示例包括信号、计算机可读介质等。
计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读介质可以包括但不限于电子、磁性、光学、电磁、红外线或半导体系统、设备或设备、或前述各项的任何合适的组合。计算机可读存储介质的更具体示例将包括具有一根或多根电线的电连接、便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光存储设备、磁存储设备、或前述各项的任何合适的组合。
此外,虽然以特定顺序描述操作,但这不应当被理解为需要以所示特定顺序或按顺序执行这样的操作或者执行所有所示操作以获取期望结果。在某些情况下,多任务和并行处理可能是有利的。同样,虽然在上述讨论中包含了若干具体实现细节,但这些不应当被解释为对本公开的范围的限制,而是对可能特定于特定实施例的特征的描述。在单独实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也可以在多个实施例中单独或以任何合适的子组合来实现。
尽管本公开已经以特定于结构特征和/或方法动作的语言进行了描述,但是应当理解,在所附权利要求中定义的本公开不一定限于上述特定特征或动作。相反,上述具体特征和动作被公开作为实现权利要求的示例形式。
Claims (36)
1.一种第一设备,包括:
至少一个处理器;以及
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起引起所述第一设备至少:
根据关于第二设备在所述第二设备的登录过程中已经被认证的确定,向第三设备传输所述第二设备的身份信息;
从所述第三设备接收用于所述第二设备到至少一个第四设备的接入控制的授权授予,所述授权授予至少基于所述第二设备的接入控制策略来生成,所述接入控制策略基于所述身份信息和与所述至少一个第四设备相关联的一组相应域来确定;
基于所述身份信息和所述授权授予,来生成用于所述第二设备接入所述至少一个第四设备的授权验证指示;以及
向所述第二设备传输所述授权验证指示。
2.根据权利要求1所述的第一设备,其中所述第一设备还被引起:
基于所述授权授予来确定针对所述第二设备所允许的服务列表;以及
向所述第二设备传输所述服务列表。
3.根据权利要求1所述的第一设备,其中所述第一设备还被引起:
响应于从所述第二设备接收到所述第二设备的注册信息,基于所述注册信息来确定所述第二设备的身份信息;
从所述注册信息来获取所述第二设备支持的认证机制;
基于所述第二设备支持的所述认证机制、所述认证机制、所述第一设备的认证能力、以及与所述至少一个第四设备相关联的所述一组相应域所支持的另外的认证机制,来确定要在所述第一设备处认证的所述第二设备的认证策略;以及
向所述第二设备传输所述身份信息和所述认证策略。
4.根据权利要求3所述的第一设备,其中所述第一设备还被引起:
向所述第三设备传输所述第二设备的所述身份信息;以及
响应于接收到与所述第二设备的所述接入控制相关联的初步信息,向所述第二设备传输所述初步信息,所述初步信息包括初步接入控制策略以及针对所述第二设备所允许的初步服务列表中的至少一项。
5.根据权利要求1所述的第一设备,其中所述第一设备还被引起:
响应于在所述登录过程中从所述第二设备接收到登录请求,确定所述第二设备的所述身份信息;
确定所述第二设备的安全上下文;
基于所述身份信息来获取要在所述第一设备处认证的所述第二设备的认证策略;以及
基于所述安全上下文和所述认证策略来确定所述第二设备的认证状态。
6.根据权利要求1所述的第一设备,其中所述第一设备还被引起:
响应于从所述至少一个第四设备接收到所述至少一个第四设备的另外的注册信息,基于所述另外的注册信息来创建所述至少一个第四设备的相应的另外的身份信息;以及
向所述第三设备传输所述相应的另外的身份信息。
7.根据权利要求6所述的第一设备,其中所述第一设备还被引起:
从所述另外的注册信息来获取所述至少一个第四设备的属性,所述属性包括以下中的至少一项:
由所述至少一个第四设备提供的相应服务类型;
所述至少一个第四设备的安全级别;
所述服务的安全级别;
所述服务的域信息;以及
所述至少一个第四设备所支持的另外的认证机制;以及基于所述属性来确定所述至少一个第四设备的相应认证策略。
8.根据权利要求1所述的第一设备,其中所述第一设备还被引起:
根据对所述至少一个第四设备和所述第二设备中的至少一项的状态改变的确定,更新以下中的至少一项:
所述第二设备的安全状态;
所述至少一个第四设备的安全状态;以及
为所述第二设备而配置的认证策略;
为所述至少一个第四设备而配置的认证策略。
9.根据权利要求8所述的第一设备,其中所述第一设备还被引起:
确定所述第二设备与所述至少一个第四设备之间是否存在正在进行的接入会话;以及
根据关于存在所述正在进行的接入会话的确定,触发所述正在进行的接入会话的终止。
10.根据权利要求1所述的第一设备,其中所述第一设备包括认证功能,所述第二设备包括管理服务消费者,所述第三设备包括授权功能,并且所述至少一个第四设备包括管理服务提供者。
11.一种第三设备,包括:
至少一个处理器;以及
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起引起所述第三设备至少:
在第二设备在所述第二设备的登录过程中已经被认证之后,从第一设备接收所述第二设备的身份信息;
基于身份信息以及与至少一个第四设备相关联的一组相应域,来确定所述第二设备的接入控制策略;
至少基于所述接入控制策略,来生成用于所述第二设备到所述至少一个第四设备的接入控制的授权授予;以及
向所述第一设备传输所述授权授予。
12.根据权利要求11所述的第三设备,其中所述第三设备还被引起:
在所述第二设备已经在所述第一设备处注册之后,从所述第一设备接收所述第二设备的所述身份信息;
基于所述身份信息以及与所述至少一个第四设备相关联的所述一组相应域,来确定与所述第二设备的所述接入控制相关联的初步信息,所述初步信息包括初步接入控制策略以及针对所述第二设备所允许的初步服务列表中的至少一项;以及
向所述第一设备传输所述初步信息。
13.根据权利要求11所述的第三设备,其中所述第三设备还被引起:
从所述第一设备接收所述至少一个第四设备的相应的另外的身份信息;以及
基于所述相应的另外的身份信息,来确定所述至少一个第四设备的相应服务的一组候选分类。
14.根据权利要求13所述的第三设备,其中所述第三设备被引起通过以下方式来确定所述接入控制策略:
获取所述第二设备的安全上下文;
基于所述身份信息来确定所述第二设备的分类;以及
基于所述至少一个第四设备的所述相应服务的所述一组候选分类、所述第二设备的所述分类、以及所述安全上下文,来确定所述接入控制策略。
15.根据权利要求11所述的第三设备,其中所述第三设备还被引起:
根据对所述至少一个第四设备和所述第二设备中的至少一项的状态改变的确定,更新所述第二设备的所述接入控制策略。
16.根据权利要求11所述的第三设备,其中所述第一设备包括认证功能,所述第二设备包括管理服务消费者,所述第三设备包括授权功能,并且所述至少一个第四设备包括管理服务提供者。
17.一种方法,包括:
根据关于第二设备在所述第二设备的登录过程中已经被认证的确定,向第三设备传输所述第二设备的身份信息;
从所述第三设备接收用于所述第二设备到至少一个第四设备的接入控制的授权授予,所述授权授予至少基于所述第二设备的接入控制策略来生成,所述接入控制策略基于所述身份信息和与所述至少一个第四设备相关联的一组相应域来确定;
基于所述身份信息和所述授权授予,来生成用于所述第二设备接入所述至少一个第四设备的授权验证指示;以及
向所述第二设备传输所述授权验证指示。
18.根据权利要求17所述的方法,还包括:
基于所述授权授予来确定针对所述第二设备所允许的服务列表;以及
向所述第二设备传输所述服务列表。
19.根据权利要求17所述的方法,还包括:
响应于从所述第二设备接收到所述第二设备的注册信息,基于所述注册信息来确定所述第二设备的身份信息;
从所述注册信息来获取所述第二设备支持的认证机制;
基于所述第二设备支持的所述认证机制、所述第一设备的认证能力、以及与所述至少一个第四设备相关联的所述一组相应域所支持的另外的认证机制,来确定要在所述第一设备处认证的所述第二设备的认证策略;以及
向所述第二设备传输所述身份信息和所述认证策略。
20.根据权利要求19所述的方法,还包括:
向所述第三设备传输所述第二设备的所述身份信息;以及
响应于接收到与所述第二设备的所述接入控制相关联的初步信息,向所述第二设备传输所述初步信息,所述初步信息包括初步接入控制策略以及针对所述第二设备所允许的初步服务列表中的至少一项。
21.根据权利要求17所述的方法,还包括:
响应于在所述登录过程中从所述第二设备接收到登录请求,确定所述第二设备的所述身份信息;
获取所述第二设备的安全上下文;
基于所述身份信息来获取要在所述第一设备处认证的所述第二设备的认证策略;以及
基于所述安全上下文和所述认证策略来确定所述第二设备的认证状态。
22.根据权利要求17所述的方法,还包括:
响应于从所述至少一个第四设备接收到所述至少一个第四设备的另外的注册信息,基于所述另外的注册信息来创建所述至少一个第四设备的相应的另外的身份信息的另外的记录;以及
向所述第三设备传输所述相应的另外的身份信息。
23.根据权利要求22所述的方法,还包括:
从所述另外的注册信息来获取所述至少一个第四设备的属性,所述属性包括以下中的至少一项:
由所述至少一个第四设备提供的相应服务类型;
所述至少一个第四设备的安全级别;
所述服务的安全级别;
所述服务的域信息;以及
所述至少一个第四设备所支持的另外的认证机制;以及基于所述属性来确定所述至少一个第四设备的相应认证策略。
24.根据权利要求17所述的方法,还包括:
根据对所述至少一个第四设备和所述第二设备中的至少一项的状态改变的确定,更新以下中的至少一项:
所述第二设备的安全状态;
所述至少一个第四设备的安全状态;
为所述第二设备而配置的认证策略;以及
为所述至少一个第四设备而配置的认证策略。
25.根据权利要求24所述的方法,还包括:
确定所述第二设备与所述至少一个第四设备之间是否存在正在进行的接入会话;以及
根据关于存在所述正在进行的接入会话的确定,触发所述正在进行的接入会话的终止。
26.根据权利要求17所述的方法,其中所述第一设备包括认证功能,所述第二设备包括管理服务消费者,所述第三设备包括授权功能,并且所述至少一个第四设备包括管理服务提供者。
27.一种方法,包括:
在第二设备在所述第二设备的登录过程中已经被认证之后,从第一设备接收所述第二设备的身份信息;
基于身份信息和与至少一个第四设备相关联的一组相应域,来确定所述第二设备的接入控制策略;
至少基于所述接入控制策略,来生成用于所述第二设备到所述至少一个第四设备的接入控制的授权授予;以及
向所述第一设备传输所述授权授予。
28.根据权利要求27所述的方法,还包括:
在所述第二设备已经在所述第一设备处注册之后,从所述第一设备接收所述第二设备的所述身份;
基于所述身份信息以及与所述至少一个第四设备相关联的所述一组相应域,来确定与所述第二设备的所述接入控制相关联的初步信息,所述初步信息包括初步接入控制策略以及针对所述第二设备所允许的初步服务列表中的至少一项;以及
向所述第一设备传输所述初步信息。
29.根据权利要求28所述的方法,还包括:
从所述第一设备接收所述至少一个第四设备的相应的另外的身份信息;以及
基于所述相应的另外的身份信息,来确定所述至少一个第四设备的相应服务的一组候选分类。
30.根据权利要求28所述的方法,其中确定所述接入控制策略包括:
从所述身份信息和所述第二设备的安全上下文来获取所述第二设备的身份;
基于所述身份信息确定所述第二设备的分类;以及
基于所述至少一个第四设备的所述相应服务的所述一组候选分类、所述第二设备的所述分类、以及所述安全上下文,来确定所述接入控制策略。
31.根据权利要求27所述的方法,还包括:
根据对所述至少一个第四设备和所述第二设备中的至少一项的状态改变的确定,更新所述第二设备的所述接入控制策略。
32.根据权利要求27所述的方法,其中所述第一设备包括认证功能,所述第二设备包括管理服务消费者,所述第三设备包括授权功能,并且所述至少一个第四设备包括管理服务提供者。
33.一种装置,包括:
用于根据关于第二设备在所述第二设备的登录过程中已经被认证的确定来向第三设备传输所述第二设备的身份信息的部件;
用于从所述第三设备接收用于所述第二设备到至少一个第四设备的接入控制的授权授予的部件,所述授权授予至少基于所述第二设备的接入控制策略来生成,所述接入控制策略基于所述身份信息以及与所述至少一个第四设备相关联的一组相应域来确定;
用于基于所述身份信息和所述授权授予来生成用于所述第二设备接入所述至少一个第四设备的授权验证指示的部件;以及
用于向所述第二设备传输所述授权验证指示的部件。
34.一种装置,包括:
用于从第一设备接收第二设备的身份信息的部件;
用于基于所述身份信息以及与至少一个第四设备相关联的一组相应域来确定所述第二设备的接入控制策略的部件;
用于至少基于所述接入控制策略来生成用于所述第二设备到所述至少一个第四设备的接入控制的授权授予的部件;以及
用于向所述第一设备传输所述授权授予的部件。
35.一种非暂态计算机可读介质,包括用于引起装置至少执行根据权利要求17至26中任一项所述的方法的程序指令。
36.一种非暂态计算机可读介质,包括用于引起装置至少执行根据权利要求27至32中任一项所述的方法的程序指令。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2020/098706 WO2022000155A1 (en) | 2020-06-29 | 2020-06-29 | Access control of service based management framework |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116134857A true CN116134857A (zh) | 2023-05-16 |
Family
ID=79317771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080102534.9A Pending CN116134857A (zh) | 2020-06-29 | 2020-06-29 | 基于服务的管理框架的接入控制 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP4173226A4 (zh) |
| CN (1) | CN116134857A (zh) |
| WO (1) | WO2022000155A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023167571A1 (en) * | 2022-03-04 | 2023-09-07 | Samsung Electronics Co., Ltd. | Method and system for management services authorization |
| CN117278329B (zh) * | 2023-11-21 | 2024-01-16 | 大连凌一科技发展有限公司 | 一种基于零信任网关的应用资源动态控制访问方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8831568B2 (en) * | 2011-09-27 | 2014-09-09 | Qualcomm Incorporated | Automatic configuration of a wireless device |
| CN105659558B (zh) * | 2013-09-20 | 2018-08-31 | 甲骨文国际公司 | 计算机实现的方法、授权服务器以及计算机可读存储器 |
| US9912704B2 (en) * | 2015-06-09 | 2018-03-06 | Intel Corporation | System, apparatus and method for access control list processing in a constrained environment |
| CN105721412A (zh) * | 2015-06-24 | 2016-06-29 | 乐视云计算有限公司 | 多系统间的身份认证方法及装置 |
| CN105187426B (zh) * | 2015-09-06 | 2018-05-04 | 北京京东尚科信息技术有限公司 | 用于基于认证信息实现跨域访问的方法和系统 |
| CN109936547A (zh) * | 2017-12-18 | 2019-06-25 | 阿里巴巴集团控股有限公司 | 身份认证方法、系统及计算设备 |
| US10645583B2 (en) * | 2018-02-15 | 2020-05-05 | Nokia Technologies Oy | Security management for roaming service authorization in communication systems with service-based architecture |
-
2020
- 2020-06-29 EP EP20942683.2A patent/EP4173226A4/en active Pending
- 2020-06-29 WO PCT/CN2020/098706 patent/WO2022000155A1/en unknown
- 2020-06-29 CN CN202080102534.9A patent/CN116134857A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4173226A4 (en) | 2024-03-06 |
| WO2022000155A1 (en) | 2022-01-06 |
| EP4173226A1 (en) | 2023-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220014517A1 (en) | Self-federation in authentication systems | |
| US20210297410A1 (en) | Mec platform deployment method and apparatus | |
| WO2019098730A1 (en) | Method and system for authenticating application program interface (api) invokers | |
| US11706617B2 (en) | Authenticating radio access network components using distributed ledger technology | |
| US10536447B2 (en) | Single sign-on for managed mobile devices | |
| US9882887B2 (en) | Single sign-on for managed mobile devices | |
| US10540507B2 (en) | Verified device identity providing context to application | |
| US20180145968A1 (en) | Single sign-on for managed mobile devices | |
| US9380038B2 (en) | Bootstrap authentication framework | |
| US20230362199A1 (en) | Mechanism for dynamic authorization | |
| WO2018038489A1 (ko) | 무선 통신 시스템에서, 단말과 써드 파티 서버 간의 인증 요청 방법 및, 이를 위한 단말 및 네트워크 슬라이스 인스턴스 관리 장치 | |
| US20210127265A1 (en) | Communication system | |
| WO2021219385A1 (en) | Securely identifying network function | |
| WO2022000155A1 (en) | Access control of service based management framework | |
| CN115462108A (zh) | 无密码无线认证 | |
| EP4075722A1 (en) | Security enhancement on inter-network communication | |
| US20220360586A1 (en) | Apparatus, methods, and computer programs | |
| US11871236B2 (en) | Method and a system for dynamic discovery of multi-access edge computing (MEC) applications | |
| US20180367536A1 (en) | Integrated hosted directory | |
| WO2021160386A1 (en) | Authorization service for providing access control | |
| WO2024037215A1 (zh) | 通信方法及装置 | |
| US20230361989A1 (en) | Apparatus, methods, and computer programs | |
| US20230413052A1 (en) | Access token revocation in security management | |
| WO2024077582A1 (en) | Security counter measure for distributed network slice admission control | |
| WO2021032912A1 (en) | Plmn based authorization service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |