CN116711265A - 用于间接通信的访问令牌处理 - Google Patents
用于间接通信的访问令牌处理 Download PDFInfo
- Publication number
- CN116711265A CN116711265A CN202180090193.2A CN202180090193A CN116711265A CN 116711265 A CN116711265 A CN 116711265A CN 202180090193 A CN202180090193 A CN 202180090193A CN 116711265 A CN116711265 A CN 116711265A
- Authority
- CN
- China
- Prior art keywords
- service
- network function
- service request
- access token
- requested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 97
- 238000000034 method Methods 0.000 claims abstract description 84
- 230000004044 response Effects 0.000 claims abstract description 62
- 230000006870 function Effects 0.000 claims description 150
- 230000015654 memory Effects 0.000 claims description 35
- 230000009471 action Effects 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 22
- 238000012795 verification Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 11
- 238000013475 authorization Methods 0.000 description 9
- 239000003795 chemical substances by application Substances 0.000 description 8
- 230000003993 interaction Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 description 3
- 102100023843 Selenoprotein P Human genes 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 2
- 229940119265 sepp Drugs 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开的实施例涉及用于间接通信的方法、装置和计算机可读存储介质。在示例实施例中,提供了一种方法。该方法包括在第二服务通信代理(SCP)处从第一SCP接收服务请求和访问令牌,该服务请求源自第一网络功能(NF),用于从第二NF请求服务,并且包括指示关于所请求服务的范围信息的报头;基于服务请求的报头来验证访问令牌;以及响应于访问令牌的验证成功,向第二NF发送服务请求,而不向第二NF发送访问令牌。如此,访问令牌的验证从第二NF卸载到SCPp,从而减少第二NF上的开销。
Description
技术领域
本公开的实施例一般涉及电信领域,尤其涉及用于间接通信的方法、装置和计算机可读存储介质。
背景技术
第三代合作伙伴计划(3GPP)版本16(Rel-16)引入了间接通信模型,其中5G核心网络的两个网络功能(NF)可以经由一个或多个服务通信代理(SCP)相互通信。SCP是涵盖了委托NF发现以帮助解析目标NF生产方实例和委托路由以帮助在两个NF之间路由控制面消息的中间功能。3GPP Rel-16还针对间接通信引入了新架构选项,其被称为模型C(也被称为无委托发现的间接通信)和模型D(也被称为具有委托发现的间接通信)。在模型C中,NF服务消费方(NFc)发现并选择NF服务生产方(NFp),而SCP仅用于将服务请求路由到所选择的NFp。在模型D中,用于发现和选择NFp的功能被委托给SCP。
在引入具有委托发现的间接通信的情况下,SCP负责代表NFc从授权服务器请求访问令牌。然而,SCP无法确定其接收的服务请求对应于哪个(些)范围。因此,SCP不能为与需要特定授权的特定服务操作/资源相对应的服务请求来请求访问令牌。而且,针对从SCP接收的每个服务请求,仍然需要NFp来验证访问令牌,这将导致NFp上的显著开销。
发明内容
一般而言,本公开的示例实施例提供了用于间接通信的方法、装置和计算机可读存储介质。
在第一方面,提供了一种装置。该装置包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;并且至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使得该装置:在第一网络功能处生成用于从第二网络功能请求服务的服务请求,该服务请求包括指示关于所请求的服务的范围信息的报头;以及向服务于第一网络功能的第一服务通信代理发送该服务请求。
在第二方面,提供了一种装置。该装置包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;并且至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使得该装置:在第一服务通信代理处从第一网络功能接收服务请求,用于从第二网络功能请求服务,该服务请求包括指示关于所请求的服务的范围信息的报头;基于范围信息获得用于该服务请求的访问令牌;以及向服务于第二网络功能的第二服务通信代理发送服务请求和访问令牌。
在第三方面,提供了一种装置。该装置包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使得该装置:在第二服务通信代理处从第一服务通信代理的服务请求和访问令牌,该服务请求源自第一网络功能,用于从第二网络功能请求服务,并且包括指示关于所请求的服务的范围信息的报头;基于服务请求的报头来验证访问令牌;以及响应于访问令牌的验证成功,向第二网络功能发送服务请求,而不向第二网络功能发送访问令牌。
在第四方面,提供了一种装置。该装置包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使得该装置:在第二网络功能处从第二服务通信代理的服务请求,该服务请求源自第一网络功能,用于从第二网络功能请求服务,并且包括指示关于所请求的服务的范围信息的报头;以及根据确定报头中包括的范围信息与服务请求相匹配,向第一网络功能提供所请求的服务。
在第五方面,提供了一种方法。该方法包括:在第一网络功能处生成用于从第二网络功能请求服务的服务请求,该服务请求包括指示关于所请求的服务的范围信息的报头;以及向服务于第一网络功能的第一服务通信代理发送服务请求。
在第六方面,提供了一种方法。该方法包括:在第一服务通信代理处接收来自第一网络功能的服务请求,用于从第二网络功能请求服务,该服务请求包括指示关于所请求的服务的范围信息的报头;基于范围信息获得用于该服务请求的访问令牌;以及向服务于第二网络功能的第二服务通信代理发送服务请求和访问令牌。
在第七方面,提供了一种方法。该方法包括:在第二服务通信代理处接收来自第一服务通信代理的服务请求和访问令牌,该服务请求源自第一网络功能,用于从第二网络功能请求服务,并且包括指示关于所请求的服务的范围信息的报头;基于服务请求的报头来验证访问令牌;以及响应于访问令牌的验证成功,向第二网络功能发送服务请求,而不向第二网络功能发送访问令牌。
在第八方面,提供了一种方法。该方法包括:在第二网络功能处接收来自第二服务通信代理的服务请求,该服务请求源自第一网络功能,用于从第二网络功能请求服务,并且包括指示关于所请求的服务的范围信息的报头;以及根据确定报头中包括的范围信息与服务请求相匹配,向第一网络功能提供所请求的服务。
在第九方面,提供了一种装置。该装置包括:用于在第一网络功能处生成服务请求的部件,该服务请求用于从第二网络功能请求服务,该服务请求包括指示关于所请求的服务的范围信息的报头;以及用于向服务于第一网络功能的第一服务通信代理发送服务请求的部件。
在第十方面,提供了一种装置。该装置包括:用于在第一服务通信代理处从第一网络功能接收服务请求的部件,该服务请求用于从第二网络功能请求服务,该服务请求包括指示关于所请求的服务的范围信息的报头;用于基于范围信息获得用于服务请求的访问令牌的部件;以及用于向第二网络功能的第二服务通信代理发送服务请求和访问令牌的部件。
在第十一方面,提供了一种装置。该装置包括:用于在第二服务通信代理处从第一服务通信代理接收服务请求和访问令牌的部件,该服务请求源自第一网络功能,用于从第二网络功能请求服务,并且包括指示关于所请求的服务的范围信息的报头;用于基于服务请求的报头来验证访问令牌的部件;以及用于响应于访问令牌的验证成功,向第二网络功能发送服务请求,而不向第二网络功能发送访问令牌的部件。
在第十二方面,提供了一种装置。该装置包括:用于在第二网络功能处从第二服务通信代理接收服务请求的部件,该服务请求源自第一网络功能,用于从第二网络功能请求服务,并且包括指示关于所请求的服务的范围信息的报头;以及根据确定报头中包括的范围信息与服务请求相匹配,用于向第一网络功能提供所请求的服务的部件。
在第十三方面,提供了一种计算机可读存储介质,包括存储在其上的程序指令。当由装置执行时,该指令使得该装置执行根据第五至第八方面中任一方面的方法。
在第十四方面,提供了一种计算机程序产品,其存储在计算机可读介质上并包括机器可执行指令。该机器可执行指令在被执行时使得机器执行根据第五至第八方面中任一方面的方法。
应当理解的是,发明内容部分并不旨在标识本公开的实施例的关键或必要特征,也不旨在用于限制本公开的范围。通过以下描述,本公开的其他特征将变得容易理解。
附图说明
通过附图中本公开的一些示例实施例的更详细的描述,本公开的上述和其他目的、特征和优点将变得更加显而易见,其中:
图1A和1B图示了示例环境的框图,其中可以实现本公开的实施例;
图2图示了根据本公开的一些示例实施例的用于间接通信的示例过程的交互图;
图3图示了根据本公开的一些示例实施例的用于间接通信的示例过程的交互图;
图4示出了根据本公开的一些示例实施例的示例方法的流程图;
图5示出了根据本公开的一些示例实施例的示例方法的流程图;
图6示出了根据本公开的一些示例实施例的示例方法的流程图;
图7示出了根据本公开的一些示例实施例的示例方法的流程图;
图8图示了适于实现本公开的实施例的装置的简化框图;以及
图9图示了根据本公开的一些示例实施例的示例计算机可读介质的框图。
贯穿所有附图,相同或相似的附图标记表示相同或相似的元件。
具体实施方式
现在将参考一些示例实施例来描述本公开的原理。应当理解的是,描述这些实施例仅出于说明的目的,并帮助本领域技术人员理解和实现本公开,而并非建议对本公开的范围的任何限制。本文描述的公开可以以不同于以下描述的各种方式来实现。
在以下描述和权利要求中,除非另外定义,否则本文使用的所有技术和科学术语具有与本公开所属领域的普通技术人员通常理解的相同的含义。
本公开中对“一个实施例”、“实施例”、“示例实施例”等的引用指示所描述的实施例可以包括特定的特征、结构或特性,但是不必每个实施例都包括该特定的特征、结构或特性。而且,这些短语不一定指代同一实施例。此外,当结合示例实施例描述特定特征、结构或特性时,应当理解的是,结合其他实施例(无论是否明确描述)来影响这种特征、结构或特性是在本领域技术人员的知识范围内的。
应当理解的是,虽然术语“第一”和“第二”等在本文中可以用于描述各种元素,但这些元素不应被这些术语所限制。这些术语仅用于区分一个元素与另一个元素。例如,在不脱离示例实施例的范围的情况下,第一元素可以被称为第二元素,并且类似地,第二元素可以被称为第一元素。如本文所使用的,术语“和/或”包括一个或多个所列术语的任意和所有组合。
本文使用的术语仅出于描述特定实施例的目的,而并非旨在限制示例实施例。如本文所使用的,除非上下文另外明确指示,单数形式“一个(a)”、“一个(an)”和“该/所述(the)”也旨在包括复数形式。还应理解的是,当在本文中使用术语“包括(comprises)”、“包括(comprising)”、“具有(has)”、“具有(having)”、“包括(includes)”和/或“包括(including)”时指定所述特征、元素和/或组件等的存在,但并不排除一个或多个其它特征、元素、组件和/或其组合的存在或添加。
如本申请中所使用的,术语“电路”可以指代以下各项中的一项或多项或全部:
(a)仅硬件电路实现方式(诸如仅模拟和/或数字电路中的实现方式)以及
(b)硬件电路和软件的组合,诸如(如适用):
(i)(多个)模拟和/或数字硬件电路与软件/固件的组合,以及
(ii)具有软件的(多个)硬件处理器(包括(多个)数字信号处理器)、软件、以及存储器(多个)的任何部分,它们一起工作以使得装置(诸如移动电话或服务器)执行各种功能,以及
(c)需要软件(例如固件)来操作的(多个)硬件电路和/或(多个)处理器,诸如(多个)微处理器或(多个)微处理器的一部分,但当不需要软件来操作时,软件可以不存在。
电路的该定义适用于本申请(包括任何权利要求)中该术语的所有使用。作为另一示例,如本申请中所使用的,术语电路还涵盖仅硬件电路或处理器(或多个处理器)、或者硬件电路或处理器的一部分及它的(或它们的)伴随软件和/或固件的实现方式。术语电路还涵盖(例如且如果适用于特定权利要求元素)用于移动设备的基带集成电路或处理器集成电路,或服务器、蜂窝网络设备或其它计算或网络设备中的类似集成电路。
如本文所使用的,术语“通信网络”指代遵循任何适当的通信标准的网络,诸如长期演进(LTE)、高级LTE(LTE-A)、宽带码分多址(WCDMA)、高速分组接入(HSPA)、窄带物联网(NB-IoT)、新无线电(NR)等。此外,通信网络中终端设备和网络设备之间的通信可以根据任何一代适当的通信协议来执行,包括但不限于第一代(1G)、第二代(2G)、2.5G、2.75G、第三代(3G)、第四代(4G)、4.5G、未来的第五代(5G)通信协议、和/或当前已知的或未来将要开发的任何其它协议。本公开的实施例可以应用于各种通信系统中。鉴于通信的快速发展,当然还将有未来类型的通信技术和系统,本公开也可以利用其来实施。不应视为将本公开的范围仅限于上述系统。
如上所述,5G基于服务的架构(SBA)的3GPP Rel-16引入了用于间接服务通信的新架构选项,被称为模型C和模型D。在模型C中,NFc发现并选择NFp,而SCP仅用于将服务请求路由到所选择的NFp。在模型D中,用于发现和选择NFp的功能被委托给SCP。
OAuth 2.0是一种关键技术并被广泛用于5G SBA中的NF服务访问授权。它允许NF服务生产方授权来自NF服务消费方的服务请求。当NFc请求访问或消费由NFp提供的服务时,它需要从OAuth 2.0授权服务器(例如NF存储库功能(NRF))请求访问令牌。如果NFc被授权访问NFp的服务,则OAuth 2.0授权服务器返回访问令牌。NFc继而将访问令牌包括在其对NFp的服务请求中。NFp将验证从NFc接收的访问令牌。
在引入具有委托发现的间接通信的情况下,SCP负责代表NFc从授权服务器请求访问令牌。访问令牌的验证仍应由NFp执行。在这种情况下,识别出几个问题。
首先,SCP无法确定其接收的服务请求对应于哪个(些)范围。SCP可以从服务请求的请求统一资源标识符(URI)中导出应用编程接口(API)名称。因此,SCP原则上可以确定所请求的NF服务的服务名称所对应的范围。关于资源上的某些操作需要特定授权(即附加范围)的服务(即API),SCP无法确定访问这些操作/资源所需的附加范围信息,因为该附加范围信息是API特定信息,需要关于API资源和服务操作的深入的知识。SCP获得这样的知识是不可能和不切实际的。如此,对于与需要特定授权的特定服务操作/资源相对应的服务请求,SCP不能为其请求访问令牌。换言之,当前的Rel-16规范不能支持为支持附加范围的API获得访问令牌。
其次,NFp仍然需要验证从SCP接收的每个服务请求的访问令牌,这将导致NFp上的显著开销。换言之,间接通信模型能够将所有服务访问授权程序从NFc卸载到SCP,但不能将服务访问授权程序(诸如访问令牌验证)从NFp卸载到SCP。
本公开的实施例提供了一种用于在间接通信场景中处理访问令牌的解决方案,以解决上述问题以及一个或多个其它潜在问题。根据该解决方案,NFc在其服务请求中包括指示与该服务请求相对应的范围信息的报头,并向服务于NFc的SCP(也被称为“SCPc”)发送该服务请求。SCPc可以从报头导出与该服务请求相对应的(多个)范围,并请求与所导出的(多个)范围相对应的访问令牌。SCP将包括报头服务请求和访问令牌转发到服务于NFp的SCP(也被称为“SCPp”)。SCPp通过检查在访问令牌内授权的(多个)范围是否与报头中指示的(多个)范围相匹配来验证访问令牌。如果访问令牌的验证成功,则SCPp移除访问令牌并且将包括指示范围信息的报头的服务请求转发到NFp。NFp不再需要验证访问令牌,而仅需要验证服务请求与报头中指示的(多个)范围相匹配。
以此方式,(多个)SCP可以保持应用/API逻辑不可知。服务请求与报头中指示的(多个)范围之间的映射由NFc生成并由NFp验证。如此,访问令牌的请求和验证可以分别发生于SCPc和SCPp,而无需理解NFc或NFp中的应用/API逻辑。
下面将参照附图详细描述本公开的原理和实现方式。现在参考图1A和1B,其图示了示例环境的框图,其中可以实现本公开的实施例。
图1A图示了用于SBA场景的示例环境100。环境100可以是公共陆地移动网络(PLMN)。如图1A所示,环境100包括NF 110和120、服务于NF 110的SCP 130、服务于NF 120的SCP 140以及NF存储库功能(NRF)150和160。在一些示例实施例中,NF 110可以充当服务消费方,其可以从充当服务生产方的NF 120请求服务。仅出于说明的目的,在下文中,NF 110也被称为“NFc 110”或“第一NF 110”,并且NF 120也被称为“NFp 120”或“第二NF 120”。连接到NFc 110的SCP 130也被称为“SCPc 130”或“第一SCP 130”,并且连接到NFp 120的SCP140也被称为“SCPp 140”或“第二SCP 140”。
图1B图示了用于SBA漫游场景的另一示例环境102,其包括两个PLMN 102-1和102-2。例如,网络102-1和102-2可以由不同的运营商操作。网络102-1(也被称为“第一网络”)可以包括NF 110、SCP 130以及NRF 150。SEPP 170位于网络102-1的边缘,并且保护网络102-1免受来自其它网络的不想要的业务的影响。类似地,网络102-2(也被称为“第二网络”)可以包括NF 120、SCP 140以及NRF 160。SEPP 180位于网络102-1的边缘,并保护网络102-1免受来自其它网络的不希望的业务的影响。例如,NF 110可以充当服务消费方,而NF 120可以充当服务生产方。SEPP 170和180可以经由一个或多个IP交换服务(IPX)节点190相互通信。
在图1A和/或1B中,NRF是维护NF简档和可用NF实例的网络功能。NRF还可以提供服务注册和发现功能,从而NF可以相互发现。在利用模型D的5G SBA中,从可用NF列表中发现和选择目标NF的功能被委托给SCP。在这种情况下,NFc 110和NFp 120可以不直接连接到NRF 150和160。例如,NFc 110可以借助于SCPc 130发现目标NFp 120。然而,在利用模型C的5G SBA中,SCP不被委托用于发现目标NF。在这种情况下,NFc 110和NFp 120可以分别直接连接(或经由各自的SCP)到NRF 150和160。在图1A和/或1B中,SCPc 130可以负责代表NFc110请求访问令牌,并将服务请求从NFc110路由到NFp 120。NFp 120可负责验证访问令牌。应当理解的是,在图1A和/或1B中,SCP 130和140可以被实现为相同的物理网络实体或不同的物理网络实体。NRF 150和160可以被实现为相同的物理网络实体或不同的物理网络实体,或者可以相互耦合。
应当理解的是,仅出于说明的目的示出网络环境100和/或102,而并非建议对本公开的范围的任何限制。本公开的实施例还可以被应用于具有不同结构的环境。
图2图示了示例过程200的交互图,示例过程200用于根据本公开的一些示例实施例的间接通信。在下文中,将参考图1B描述过程200。例如,过程200可以涉及如图1B所示的NFc 110、SCPc 130和SCPp 140、NRF 150和160、以及NFp 120。即,NFc 110、SCPc 130以及NRF 150在PLMN 102-1中,而NFp 120、SCPp 140以及NRF 160在PLMN 102-2中。在图2所示的示例中,假设应用5G SBA的模型D。应当理解的是,这仅仅是出于讨论的目的,而并非建议对本公开的范围的任何限制。本公开的实施例还适用于利用模型C的5G SBA。
如图2所示,NFc 110旨在从NFp请求服务,并向服务于NFc 110的SCPc 130发送205服务请求。
在一些示例实施例中,NFc 110可以在服务请求中添加新的HTTP报头“3gpp-Sbi-Authorization-Scope”(或“3gpp-Sbi-Scope”),该报头指示关于所请求服务的范围信息。在一些示例实施例中,范围信息可以包括第一信息和/或第二信息,第一信息指示所请求的服务的服务名称,第二信息指示所请求的资源和在该资源上的所请求动作(服务操作)。例如,所请求动作可以包括但不限于创建、修改、读取资源等。即,第一信息可以指示服务请求的范围,而第二信息可以指示服务请求的附加范围。在HTTP报头中指示的范围信息可以被SCPc130用于请求与服务请求相对应的访问令牌。
在一些示例实施例中,报头的编码可以遵循IETF RFC 7230中定义的ABNF。例如,报头可以被编码为如下:3gpp-Sbi-Authorization-Scope=“3gpp-Sbi-Authorization-Scope”“:”scope-token*(SP scope-token),其中scope-token可以由NF服务名称和/或通过每个服务API定义的资源/操作级范围组成,用空格分隔。例如,关于与以下服务操作相对应的服务请求:
HTTP报头可以是“3gpp-Sbi-Authorization-Scope:nhss-ims-uecm nhss-ims-uecm:authorize:invoke”,其中“authorize”指示所请求的服务的服务名称,而“invoke”指示所请求的服务操作。
在一些示例实施例中,服务请求可以在发现和选择参数中至少包括源PLMN 102-1的标识符(ID)和目标PLMN 102-2的ID,这些参数是SCPc 130发现和选择NFp所需的。发现和选择参数可以被NFc110以SCPc 130无需解析服务请求的主体的方式包括在服务请求中。
响应于接收到服务请求,SCPc 130可以识别该服务请求针对于不同PLMN中的NFp,因此使用Nnrf_NFDiscovery服务与NRF 150交互。如图2所示,SCPc 130向PLMN 102-1中的NRF 150发送210Nnrf_NFDiscovery请求。PLMN 102-1中的NRF 150与PLMN 102-2中的NRF160使用Nnrf_NFDiscovery服务相互交互215。SCPc 130从NRF 150接收220具有NF简档的Nnrf_NFDiscovery响应,并选择225PLMN102-2中的NFp(诸如NFp 120)。
继而,SCPc 130使用Nnrf_NFAccessToken服务与NRF 160交互(例如经由NRF150)。如图2所示,SCPc 130将对访问令牌的请求发送230到NRF 160(例如经由NRF 150),该访问令牌与HTTP报头中指示的范围信息相对应。SCPc 130从NRF 160(例如经由NRF 150)接收235包括访问令牌的响应。
在一些示例实施例中,访问令牌包括关于已授权服务的范围信息。在一些示例实施例中,包括在访问令牌中的范围信息可以包括第三信息和/或第四信息,第三信息指示已授权服务的服务名称,第四信息指示已授权资源和/或该资源上的已授权动作(服务操作)。即,第三信息可以指示已授权服务的范围,而第四信息可以指示已授权服务的附加范围。
如图2所示,SCPc 130将包括HTTP报头服务请求和访问令牌转发240到PLMN 102-2中的SCPp 140。SCPp 140基于服务请求的HTTP报头验证245访问令牌。
在一些示例实施例中,SCPp 140可以验证访问令牌的完整性。例如,SCPp 140可以使用所配置的公钥来验证访问令牌的签名,或者使用共享秘密来检查MAC值。响应于访问令牌的完整性被验证,SCPp140可以通过检查HTTP报头中指示的范围信息是否与访问令牌中指示的范围信息相匹配来验证服务请求。SCPp 140可以检查HTTP报头中指示的范围是否与访问令牌中指示的范围相匹配。SCPp 140还可以检查报头中指示的附加范围是否与访问令牌中指示的附加范围相匹配,如果它们存在的话。如果HTTP报头中指示的范围与访问令牌中指示的范围不相匹配,或者报头中指示的附加范围与访问令牌中指示的附加范围不相匹配,则SCPp 140可以确定访问令牌的验证失败。如果HTTP报头中指示的范围信息与访问令牌中指示的范围信息相匹配,则SCPp140还可以执行其它验证操作,诸如检查访问令牌是否失效。如此,访问令牌的验证可以从NFp 120卸载到SCPp 140。
如图2所示,响应于访问令牌的验证成功,SCPp 140从服务请求中移除访问令牌,并将包括HTTP报头的服务请求转发250到NFp120。响应于接收到服务请求,NFp 120可以验证255接收到的服务请求的(多个)范围是否与HTTP报头中指示的范围信息相匹配。例如,NFp 120可以通过解析HTTP方法、HTTP统一资源标识符(URI)或服务请求的主体,来导出所接收的服务请求的范围和/或附加范围。NFp 120继而可以检查导出的(多个)范围是否与HTTP报头中指示的(多个)范围相匹配。如此,NFp 120不再需要验证访问令牌,而仅需要验证服务请求与HTTP报头中指示的(多个)范围相匹配。
图3图示了示例过程300的交互图,示例过程300用于根据本公开的一些示例实施例的间接通信。在下文中,将参考图1A描述过程200。例如,过程300可以涉及如图1A中所示的相同PLMN中的NFc110、SCPc 130和SCPp 140、NRF 150和160、以及NFp 120。例如,NRF 150和160被实现为相同的网络实体,因此在图3中省略了NRF 160。在图3所示的示例中,假设应用5G SBA的模型D。应当理解的是,这仅仅是出于讨论的目的,而并非建议对本公开的范围的任何限制。本公开的实施例还适用于利用模型C的5G SBA。
如图3所示,NFc 110旨在从NFp 120请求服务,并向服务于NFc110的SCPc 130发送305服务请求。该服务请求可以包括NFc 110的客户端凭证断言(CCA)和指示关于所请求的服务的范围信息的HTTP报头。
在一些示例实施例中,NFc 110可以在服务请求中添加新的HTTP报头“3gpp-Sbi-Authorization-Scope”(或“3gpp-Sbi-Scope”),该报头指示关于所请求的服务的范围信息。在一些示例实施例中,范围信息可以包括第一信息和/或第二信息,第一信息指示所请求的服务的服务名称,第二信息指示所请求的资源和在该资源上的所请求动作(服务操作)。例如,所请求的动作可以包括但不限于创建、修改、读取资源等。即,第一信息可以指示服务请求的范围,而第二信息可以指示服务请求的附加范围。在HTTP报头中指示的范围信息可以被SCPc 130用于请求与服务请求相对应的访问令牌。
在一些示例实施例中,报头的编码可以遵循IETF RFC 7230中定义的ABNF。例如,报头可以被编码为如下:3gpp-Sbi-Authorization-Scope=“3gpp-Sbi-Authorization-Scope”“:”scope-token*(SP scope-token),其中scope-token可以由NF服务名称和/或通过每个服务API定义的资源/操作级范围组成,用空格分隔。
如图3所示,响应于接收到服务请求,SCPc 130利用NRF 150执行310服务发现。SCPc 130将对访问令牌的请求发送315到NRF 150,该访问令牌与HTTP报头中指示的范围信息相对应。例如,该请求可以包括NFc的CCA和范围信息。如图3中的320所示,NRF 150认证NFc 110。如果认证成功并且NFc 110基于NRF策略被授权,则NRF 150发出访问令牌,并使用NFc 110的实例标识符作为访问令牌的主题。SCPc 130从NRF 150接收325包括访问令牌的响应。
在一些示例实施例中,访问令牌包括关于已授权服务的范围信息。在一些示例实施例中,包括在访问令牌中的范围信息可以包括第三信息和/或第四信息,第三信息指示已授权服务的服务名称,第四信息指示已授权资源和/或在该资源上的已授权动作(服务操作)。即,第三信息可以指示已授权服务的范围,而第四信息可以指示已授权服务的附加范围。
如图3所示,SCPc 130将服务请求和访问令牌转发330到SCPp140,该服务请求包括HTTP报头和NFc 110的CCA。SCPp 140基于服务请求的HTTP报头验证335访问令牌。
在一些示例实施例中,SCPp 140可以验证访问令牌的完整性。例如,SCPp 140可以使用所配置的公钥来验证访问令牌的签名,或者使用共享秘密来检查MAC值。响应于访问令牌的完整性被验证,SCPp140可以通过检查HTTP报头中指示的范围信息是否与访问令牌中指示的范围信息相匹配来验证服务请求。SCPp 140可以检查HTTP报头中指示的范围是否与访问令牌中指示的范围相匹配。SCPp 140还可以检查报头中指示的附加范围是否与访问令牌中指示的附加范围相匹配,如果它们存在的话。如果HTTP报头中指示的范围与访问令牌中指示的范围不相匹配,或者报头中指示的附加范围与访问令牌中指示的附加范围不相匹配,则SCPp 140可以确定访问令牌的验证失败。如果HTTP报头中指示的范围信息与访问令牌中指示的范围信息相匹配,则SCPp 140还可以执行其它验证操作,诸如检查访问令牌是否失效。如此,访问令牌的验证可以从NFp 120卸载到SCPp 140。
如图3所示,响应于访问令牌的验证成功,SCPp 140从服务请求中移除访问令牌,并将包括HTTP报头的服务请求转发340到NFp120。响应于接收到服务请求,NFp 120可以验证345接收到的服务请求的(多个)范围是否与HTTP报头中指示的范围信息相匹配。例如,NFp 120可以通过解析HTTP方法、HTTP URI或服务请求的主体,来导出所接收的服务请求的范围和/或附加范围。NFp 120继而可以检查导出的(多个)范围是否与HTTP报头中指示的(多个)范围相匹配。如此,NFp 120不再需要验证访问令牌,而仅需要验证服务请求与HTTP报头中指示的(多个)范围相匹配。
如图3所示,如果范围信息的验证成功,则NFp 120向NFc 110提供所请求的服务,并向SCPp 140发送350服务响应。SCPp 140将该服务响应转发355到SCPc 130,并且SCPc130将该服务响应转发360到NFc 110。
可以看到,本公开的实施例提供了一种用于在间接通信场景中处理访问令牌的解决方案。根据该解决方案,NFc在其服务请求中包括指示与该服务请求相对应的范围信息的报头,并将该服务请求发送到SCPc。这允许SCPc请求与报头中指示的范围信息相对应的访问令牌。而且,访问令牌的验证从NFp被卸载到SCPp。
以此方式,SCP可以保持应用/API逻辑不可知。服务请求和报头中指示的(多个)范围之间的映射由NFc生成并由NFp验证。如此,访问令牌的请求和验证可以分别发生于SCPc和SCPp,而SCP无需理解NFc或NFp的应用/API逻辑。NFp上的开销可以显著减少。
图4示出了根据本公开的一些示例实施例的示例方法400的流程图。方法400可以在如图1所示的第一NF 110处实现。应当理解的是,方法400可以包括未示出的附加框和/或可以省略一些示出的框,并且本公开的范围不限于此。
在框410处,第一NF生成服务请求,该服务请求用于从第二NF(例如图1所示的NFp120)请求服务,该服务请求包括指示关于所请求的服务的范围信息的报头。
在框420处,第一NF向服务于第一NF的第一SCP(例如图1所示的SCPc 130)发送服务请求。
在一些示例实施例中,范围信息包括以下至少一项:第一信息,指示所请求的服务的服务名称;以及第二信息,指示用于所请求的服务的所请求的资源和在该资源上的所请求的动作。
在一些示例实施例中,方法400还包括:在生成服务请求之前确定第二NF。
在一些示例实施例中,服务请求还包括至少一个参数,该至少一个参数用于由第一SCP确定第二NF。
在一些示例实施例中,方法400还包括:从第一SCP接收对该服务请求的服务响应。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF在第一PLMN中。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF在不同于第一PLMN的第二PLMN中。
图5示出了根据本公开的一些示例实施例的示例方法500的流程图。方法500可以在如图1所示的第一SCP 130处实现。应当理解的是,方法500可以包括未示出的附加框和/或可以省略一些示出的框,并且本公开的范围不限于此。
在框510处,第一SCP从第一NF(例如图1所示的NFc 110)接收服务请求,该服务请求用于从第二NF(例如图1所示的NFp 120)请求服务,该服务请求包括指示关于所请求的服务的范围信息的报头。
在框520处,第一SCP基于范围信息获得用于服务请求的访问令牌。
在框530处,第一SCP向服务于第二NF的第二SCP(例如图1所示的SCPp140)发送服务请求和访问令牌。
在一些示例实施例中,范围信息包括以下至少一项:第一信息,指示所请求的服务的服务名称;以及第二信息,指示用于所请求的服务的所请求的资源和在该资源上的所请求的动作。
在一些示例实施例中,服务请求还包括至少一个参数,该至少一个参数用于由第一服务通信代理确定第二网络功能,并且方法500还包括:响应于接收到服务请求,基于该至少一个参数确定第二NF。
在一些示例实施例中,获得访问令牌包括:向网络功能存储库功能发送对访问令牌的请求,该请求包括范围信息;以及从网络功能存储库功能接收对该请求的响应,该响应包括访问令牌。
在一些示例实施例中,方法500还包括:响应于从第二SCP接收对服务请求的服务响应,向第一NF转发该服务响应。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF和第二SCP在第一PLMN中。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF和第二SCP在不同于第一PLMN的第二PLMN中。
图6示出了根据本公开的一些示例实施例的示例方法600的流程图。方法600可以在如图1所示的第二SCP 140处实现。应当理解的是,方法600可以包括未示出的附加框和/或可以省略一些示出的框,并且本公开的范围不限于此。
在框610处,第二SCP从第一SCP(例如图1所示的SCPc 130)接收服务请求和访问令牌,该服务请求源自第一NF(例如图1所示的NFc 110),用于从第二NF(例如图1所示的NFp120)请求服务,并且包括指示关于所请求的服务的范围信息的报头。
在框620处,第二SCP基于服务请求的报头来验证访问令牌。
在框630处,响应于访问令牌的验证成功,第二SCP向第二NF发送服务请求,而不向第二NF发送访问令牌。
在一些示例实施例中,验证访问令牌包括:验证访问令牌的完整性;以及响应于访问令牌的完整性被验证,通过检查关于所请求的服务的范围信息是否与包括在访问令牌中的关于已授权服务的范围信息相匹配来核实访问令牌。
在一些示例实施例中,关于所请求的服务的范围信息包括第一信息,第一信息用于指示所请求的服务的服务名称;并且关于已授权服务的范围信息包括第三信息,第三信息用于指示已授权服务的服务名称。验证访问令牌包括:确定第一信息是否与第三信息相匹配;以及根据确定第一信息与第三信息不相匹配,确定访问令牌的核实失败。
在一些示例实施例中,关于所请求的服务的范围信息包括第二信息,第二信息指示用于所请求的服务的所请求资源以及在该所请求的资源上的所请求的动作;并且关于已授权服务的范围信息包括第四信息,第四信息用于指示已授权服务的所授权资源以及在该已授权资源上的所授权动作。验证访问令牌包括:确定第二信息是否与第四信息相匹配;以及根据确定第二信息与第四信息不相匹配,确定访问令牌的核实失败。
在一些示例实施例中,方法600还包括:响应于从第二NF接收到对该服务请求的服务响应,向第一SCP转发该服务响应。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF和第二SCP在第一PLMN中。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF和第二SCP在不同于第一PLMN的第二PLMN中。
图7示出了根据本公开的一些示例实施例的示例方法700的流程图。方法700可以在如图1所示的第二NF 120处实现。应当理解的是,方法700可以包括未示出的附加框和/或可以省略一些示出的框,并且本公开的范围不限于此。
在框710处,第二NF从第二SCP(例如图1所示的SCPp 140)接收服务请求,该服务请求源自第一NF(例如图1所示的NFc110),用于从第二NF(例如图1所示的NFp 120)请求服务,并且包括指示关于所请求的服务的范围信息的报头。
在框720处,根据确定报头中包括的范围信息与服务请求相匹配,第二NF向第一NF提供所请求的服务。
在一些示例实施例中,范围信息包括以下至少一项:第一信息,指示所请求的服务的服务名称;以及第二信息,指示用于所请求的服务的所请求的资源和在该资源上的所请求的动作。
在一些示例实施例中,方法700还包括:向第二SCP发送对服务请求的服务响应。
在一些示例实施例中,第一NF在第一PLMN中,并且第二NF和第二SCP在第一PLMN中。
在一些示例实施例中,第一NF在第一PLMN中,并且第二NF和第二SCP在不同于第一PLMN的第二PLMN中。
在一些示例实施例中,能够执行方法400的装置可以包括用于执行方法400的相应步骤的部件。该部件可以以任何适当的形式实现。例如,该部件可以在电路或软件模块中实现。
在一些示例实施例中,能够执行方法400的装置包括:用于在第一NF处生成服务请求的部件,该服务请求用于从第二NF请求服务,该服务请求包括指示关于所请求的服务的范围信息的报头;以及用于向服务于第一NF的第一SCP发送该服务请求的部件。
在一些示例实施例中,范围信息包括以下至少一项:第一信息,指示所请求的服务的服务名称;以及第二信息,指示用于所请求的服务的所请求的资源和在该资源上的所请求的动作。
在一些示例实施例中,能够执行方法400的装置还包括:用于在生成服务请求之前确定第二NF的部件。
在一些示例实施例中,服务请求还包括至少一个参数,该至少一个参数用于由第一SCP确定第二NF。
在一些示例实施例中,能够执行方法400的装置还包括:用于从第一SCP接收对该服务请求的服务响应的部件。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF在第一PLMN中。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF在不同于第一PLMN的第二PLMN中。
在一些示例实施例中,能够执行方法500的装置可以包括用于执行方法500的相应步骤的部件。该部件可以以任何适当的形式实现。例如,该部件可以在电路或软件模块中实现。
在一些示例实施例中,能够执行方法500的装置包括:用于在第一SCP处从第一NF接收服务请求的部件,该服务请求用于向第二NF请求服务,该服务请求包括指示关于所请求的服务的范围信息的报头;用于基于范围信息获得用于服务请求的访问令牌的部件;以及用于向服务于第二NF的第二SCP发送服务请求和访问令牌的部件。
在一些示例实施例中,范围信息包括以下至少一项:第一信息,指示所请求的服务的服务名称;以及第二信息,指示用于所请求的服务的所请求的资源和在该资源上的所请求的动作。
在一些示例实施例中,服务请求还包括至少一个参数,该至少一个参数用于由第一服务通信代理确定第二网络功能,并且能够执行方法500的装置还包括:用于响应于接收到服务请求,基于该至少一个参数确定第二NF的部件。
在一些示例实施例中,用于获得访问令牌的部件包括:用于向网络功能存储库功能发送对访问令牌的请求的部件,该请求包括范围信息;以及用于从网络功能存储库功能接收对该请求的响应的部件,该响应包括访问令牌。
在一些示例实施例中,能够执行方法500的装置还包括:用于响应于从第二SCP接收到对服务请求的服务响应,向第一NF转发该服务响应的部件。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF和第二SCP在第一PLMN中。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF和第二SCP在不同于第一PLMN的第二PLMN中。
在一些示例实施例中,能够执行方法600的装置可以包括用于执行方法600的相应步骤的部件。该部件可以以任何适当的形式实现。例如,该部件可以在电路或软件模块中实现。
在一些示例实施例中,能够执行方法600的装置包括:用于在第二SCP处从第一SCP接收服务请求和访问令牌的部件,该服务请求源自第一NF,用于从第二NF请求服务,并且包括指示关于所请求的服务的范围信息的报头;用于基于服务请求的报头来验证访问令牌的部件;以及用于响应于访问令牌的验证成功,向第二NF发送服务请求,而不向第二网络功能发送访问令牌的部件。
在一些示例实施例中,用于验证访问令牌的部件包括:用于验证访问令牌的完整性的部件;以及用于响应于访问令牌的完整性被验证,通过检查关于所请求的服务的范围信息是否与访问令牌中包括的关于已授权服务的范围信息相匹配来核实访问令牌的部件。
在一些示例实施例中,关于所请求服务的范围信息包括第一信息,第一信息用于指示所请求的服务的服务名称;并且关于已授权服务的范围信息包括第三信息,第三信息用于指示已授权服务的服务名称。用于验证访问令牌的部件包括:用于确定第一信息是否与第三信息相匹配的部件;以及用于根据确定第一信息与第三信息不相匹配,确定访问令牌的核实失败的部件。
在一些示例实施例中,关于所请求服务的范围信息包括第二信息,第二信息指示用于所请求的服务的所请求资源以及在该所请求的资源上的所请求的动作;并且关于已授权服务的范围信息包括第四信息,第四信息指示用于已授权服务的已授权的资源以及在该已授权资源上的已授权的动作。用于核实访问令牌的部件包括:用于确定第二信息是否与第四信息相匹配的部件;以及用于根据确定第二信息与第四信息不相匹配,确定访问令牌的核实失败的部件。
在一些示例实施例中,能够执行方法600的装置还包括:用于响应于从第二NF接收到对该服务请求的服务响应,向第一SCP转发服务响应的部件。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF和第二SCP在第一PLMN中。
在一些示例实施例中,第一NF和第一SCP在第一PLMN中,并且第二NF和第二SCP在不同于第一PLMN的第二PLMN中。
在一些示例实施例中,能够执行方法700的装置可以包括用于执行方法700的相应步骤的部件。该部件可以以任何适当的形式实现。例如,该部件可以在电路或软件模块中实现。
在一些示例实施例中,能够执行方法700的装置包括:用于在第二NF处从第二SCP接收服务请求的部件,该服务请求源自第一NF,用于从第二NF请求服务,并且包括指示关于所请求的服务的范围信息的报头;以及用于根据确定报头中包括的范围信息与服务请求相匹配,向第一NF提供所请求的服务的部件。
在一些示例实施例中,范围信息包括以下至少一项:第一信息,指示所请求的服务的服务名称;以及第二信息,指示用于所请求的服务的所请求的资源和在该资源上的所请求的动作。
在一些示例实施例中,能够执行方法700的装置还包括:用于向第二SCP发送对服务请求的服务响应的部件。
在一些示例实施例中,第一NF在第一PLMN中,并且第二NF和第二SCP在第一PLMN中。
在一些示例实施例中,第一NF在第一PLMN中,并且第二NF和第二SCP在不同于第一PLMN的第二PLMN中。
图8是适合于实现本公开的实施例的设备800的简化框图。例如,设备800可以实现NFc 110、NFp 120、SCPc 130和/或SCPp 140。如图所示,设备800包括一个或多个处理器810、耦合到处理器810的一个或多个存储器820、以及耦合到处理器810的一个或多个通信模块840。
通信模块840用于双向通信。通信模块840具有至少一个天线以促进通信。通信接口可以表示与其它网络元件通信所需的任何接口。
作为非限制性示例,处理器810可以是适合于本地技术网络的任何类型,并且可以包括以下一项或多项:通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器。设备800可具有多个处理器,诸如专用集成电路芯片,其在时间上从属于使主处理器同步的时钟。
存储器820可以包括一个或多个非易失性存储器和一个或多个易失性存储器。非易失性存储器的示例包括但不限于只读存储器(ROM)824、电子可编程只读存储器(EPROM)、快闪存储器、硬盘、光盘(CD)、数字视频盘(DVD)、以及其它磁存储器和/或光存储器。易失性存储器的示例包括但不限于随机存取存储器(RAM)822和其它在断电期间不会持续的易失性存储器。
计算机程序830包括由相关联的处理器810执行的计算机可执行指令。程序830可以存储在ROM 824中。处理器810可通过将程序830加载到RAM 822中来执行任何适当的动作和处理。
本公开的实施例可以借助于程序830来实现,从而设备800可以执行如参考图2至7所讨论的本公开的任何过程。本公开的实施例还可以通过硬件或软件和硬件的组合来实现。
在一些示例实施例中,程序830可以被有形地包含在计算机可读介质中,该计算机可读介质可以被包括在设备800(例如在存储器820中)或可由设备800访问的其他存储设备中。设备800可以从计算机可读介质将程序830加载到RAM 822以供执行。计算机可读介质可以包括任何类型的有形的非易失性存储器,诸如ROM、EPROM、快闪存储器、硬盘、CD、DVD等。图9示出了CD或DVD形式的计算机可读介质900的示例。计算机可读介质上存储有程序830。
应当理解的是,未来的网络可以利用网络功能虚拟化(NFV),其是提出将网络节点功能虚拟化为“构建块”或实体的网络架构概念,该“构建块”或实体可以可操作地连接或链接在一起以提供服务。虚拟化网络功能(VNF)可以包括一个或多个虚拟机,该虚拟机使用标准或通用类型服务器而不是定制硬件来运行计算机程序代码。也可以利用云计算或数据存储。在无线电通信中,这可以意味着节点操作要至少部分地在中央/集中式单元CU(例如服务器、主机或节点)中执行,中央/集中式单元CU可操作地耦合到分布式单元DU(例如无线电头/节点)。节点操作也可能分布在多个服务器、节点或主机中。还应当理解的是,核心网操作和基站操作之间的劳动力分配可以根据实现方式而变化。
在一个实施例中,服务器可以生成虚拟网络,服务器通过该虚拟网络与分布式单元通信。一般而言,虚拟联网可以涉及将硬件和软件网络资源与网络功能组合成单个的、基于软件的管理实体(虚拟网络)的过程。这种虚拟网络可以在服务器和无线电头/节点之间提供操作的灵活分布。在实践中,可以在CU或DU中执行任何数字信号处理任务,并且可以根据实现方式来选择在CU和DU之间转移责任的边界。
因此,在一个实施例中,实现了CU-DU架构。在这种情况下,装置800可以包括在中央单元(例如控制单元、边缘云服务器、服务器)中,中央单元可操作地耦合(例如经由无线或有线网络)到分布式单元(例如远程无线电头/节点)。即,中央单元(例如边缘云服务器)和分布式单元可以是经由无线电路径或经由有线连接相互通信的独立装置。备选地,它们可以经由有线连接等在同一实体中进行通信。边缘云或边缘云服务器可以服务于多个分布式单元或无线电接入网络。在一个实施例中,至少一些所描述的过程可以由中央单元执行。在另一个实施例中,装置800可以替代地包括在分布式单元中,并且至少一些所描述的过程可以由分布式单元执行。
在一个实施例中,装置800的至少一些功能的执行可以在两个物理上分离的设备(DU和CU)之间共享,该两个设备形成一个操作实体。因此,可以看出,该装置描绘了包括一个或多个物理上分离的设备的操作实体,该一个或多个设备用于执行至少一些所描述的过程。在一个实施例中,这种CU-DU架构可以在CU和DU之间提供操作的灵活分布。在实践中,可以在CU或DU中执行任何数字信号处理任务,并且可以根据实现方式来选择在CU和DU之间转移责任的边界。在一个实施例中,装置800控制过程的执行,不论装置的位置,也不论过程/功能在哪里执行。
通常,本公开的各实施例可以在硬件或专用电路、软件、逻辑或其任何组合中实现。一些方面可以由硬件来实现,而其他方面可以由固件或软件来实现,该固件或软件可以由控制器、微处理器或其他计算设备来执行。尽管本公开的实施例的各方面被图示并描述为框图、流程图或使用一些其他图示表示,但是应当理解的是,本文描述的框、装置、系统、技术或方法可以作为非限制性示例在硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备或其一些组合中实现。
本公开还提供了至少一种计算机程序产品,其有形地存储在非瞬态计算机可读存储介质上。该计算机程序产品包括计算机可执行指令(诸如包括在程序模块中的指令,该指令在目标的真实或虚拟处理器上的设备中执行),以执行如以上参考图4至7所描述的方法400、500、600和/或700。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、库、对象、类、组件、数据结构等。程序模块的功能在各实施例中可根据需要在程序模块之间组合或分割。程序模块的机器可执行指令可在本地或分布式设备内执行。在分布式设备中,程序模块可位于本地和远程存储介质中。
用于执行本公开的方法的程序代码可以用一种或多种编程语言的任意组合来编写。这些程序代码可以被提供给通用计算机、专用计算机或其它可编程数据处理设备的处理器或控制器,从而程序代码在被处理器或控制器执行时使得流程图和/或框图中指定的功能/操作被实现。程序代码可以完全在机器上、部分在机器上、作为独立的软件包、部分在机器上以及部分在远程机器上、或完全在远程机器或服务器上执行。
在本公开的上下文中,计算机程序代码或相关数据可以由任何适当的载体承载,以使设备、装置或处理器能够执行上述的各种过程和操作。载体的示例包括信号、计算机可读介质等。
计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置或设备、或前述的任何适当的组合。计算机可读存储介质的更具体的示例将包括具有一条或多条导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM),可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便携式光盘只读存储器(CD-ROM)、光存储设备、磁存储设备、或前述的任何适当的组合。
此外,尽管以特定次序描绘操作,但是这不应被理解为要求以所示的特定次序或以循序次序执行这些操作,或者执行所有图示的操作以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。同样地,尽管在上述讨论中包含了若干特定的实现方式的细节,但是这些不应当被解释为对本公开范围的限制,而相反应当被解释为对特定实施例的特定特征的描述。在分开实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。反之,在单个实施例的上下文中描述的各种特征也可以在多个实施例中分开实现或在任何适当的子组合中实现。
尽管已经用特定于结构特征和/或方法动作的语言描述了本公开,但是应当理解的是,所附权利要求中限定的本公开不必限于上述特定特征或动作。相反,上述特定特征和动作是以实现权利要求的示例形式被公开的。
Claims (37)
1.一种装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起,使得所述装置:
在第一网络功能处生成用于从第二网络功能请求服务的服务请求,所述服务请求包括指示关于所请求的所述服务的范围信息的报头;以及
向服务于所述第一网络功能的第一服务通信代理发送所述服务请求。
2.根据权利要求1所述的装置,其中所述范围信息包括以下至少一项:
第一信息,所述第一信息指示所请求的所述服务的服务名称;以及
第二信息,所述第二信息指示用于所请求的所述服务的所请求的资源以及在所述资源上的所请求的动作。
3.根据权利要求1所述的装置,其中所述装置还被使得:
在生成所述服务请求之前确定所述第二网络功能。
4.根据权利要求1所述的装置,其中所述服务请求还包括至少一个参数,所述至少一个参数用于由所述第一服务通信代理确定所述第二网络功能。
5.根据权利要求1所述的装置,其中所述装置还被使得:
从所述第一服务通信代理接收对所述服务请求的服务响应。
6.根据权利要求1所述的装置,其中:
所述第一网络功能和所述第一服务通信代理在第一公共陆地移动网络中;以及
所述第二网络功能在所述第一公共陆地移动网络中。
7.根据权利要求1所述的装置,其中:
所述第一网络功能和所述第一服务通信代理在第一公共陆地移动网络中;以及
所述第二网络功能在不同于所述第一公共陆地移动网络的第二公共陆地移动网络中。
8.一种装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起,使得所述装置:
在第一服务通信代理处从第一网络功能接收服务请求,所述服务请求用于从第二网络功能请求服务,所述服务请求包括指示关于所请求的所述服务的范围信息的报头;
基于所述范围信息获得用于所述服务请求的访问令牌;以及
向服务于所述第二网络功能的第二服务通信代理发送所述服务请求和所述访问令牌。
9.根据权利要求8所述的装置,其中所述范围信息包括以下至少一项:
第一信息,所述第一信息指示所请求的所述服务的服务名称;以及
第二信息,所述第二信息指示用于所请求的所述服务的所请求的资源以及在所述资源上的所请求的动作。
10.根据权利要求8所述的装置,其中所述服务请求还包括至少一个参数,所述至少一个参数用于由所述第一服务通信代理确定所述第二网络功能,并且所述装置还被使得:
响应于接收到所述服务请求,基于所述至少一个参数确定所述第二网络功能。
11.根据权利要求8所述的装置,其中所述装置还被使得:
向网络功能存储库功能发送对所述访问令牌的请求,所述请求包括所述范围信息;以及
从所述网络功能存储库功能接收对所述请求的响应,所述响应包括所述访问令牌。
12.根据权利要求8所述的装置,其中所述装置还被使得:
响应于从所述第二服务通信代理接收到对所述服务请求的服务响应,向所述第一网络功能转发所述服务响应。
13.根据权利要求8所述的装置,其中:
所述第一网络功能和所述第一服务通信代理在第一公共陆地移动网络中;以及
所述第二网络功能和所述第二服务通信代理在所述第一公共陆地移动网络中。
14.根据权利要求8所述的装置,其中:
所述第一网络功能和所述第一服务通信代理在第一公共陆地移动网络中;以及
所述第二网络功能和所述第二服务通信代理在不同于所述第一公共陆地移动网络的第二公共陆地移动网络中。
15.一种装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起,使得所述装置:
在第二服务通信代理处从第一服务通信代理接收服务请求和访问令牌,所述服务请求源自第一网络功能,用于从第二网络功能请求服务,并且包括指示关于所请求的所述服务的范围信息的报头;
基于所述服务请求的所述报头验证所述访问令牌;以及
响应于所述访问令牌的所述验证成功,向所述第二网络功能发送所述服务请求,而不向所述第二网络功能发送所述访问令牌。
16.根据权利要求15所述的装置,其中所述装置还被使得:
验证所述访问令牌的完整性;以及
响应于所述访问令牌的所述完整性被验证,通过检查关于所请求的所述服务的所述范围信息是否与所述访问令牌中包括的关于已授权服务的范围信息相匹配,来核实所述访问令牌。
17.根据权利要求16所述的装置,其中关于所请求的所述服务的所述范围信息包括第一信息,所述第一信息指示所请求的所述服务的服务名称,关于所述已授权服务的所述范围信息包括第三信息,所述第三信息指示所述已授权服务的服务名称,并且所述装置还被使得:
确定所述第一信息是否与所述第三信息相匹配;以及
根据确定所述第一信息与所述第三信息不匹配,确定所述访问令牌的所述核实失败。
18.根据权利要求16所述的装置,其中关于所请求的所述服务的所述范围信息包括第二信息,所述第二信息指示用于所请求的所述服务的所请求的资源以及在所请求的所述资源上的所请求的动作,关于所述已授权服务的所述范围信息包括第四信息,所述第四信息指示用于所述已授权服务的已授权资源以及在所述已授权资源上的已授权动作,并且所述装置还被使得:
确定所述第二信息是否与所述第四信息相匹配;以及
根据确定所述第二信息与所述第四信息不匹配,确定所述访问令牌的所述核实失败。
19.根据权利要求15所述的装置,其中所述装置还被使得:
响应于从所述第二网络功能接收到对所述服务请求的服务响应,向所述第一服务通信代理转发所述服务响应。
20.根据权利要求15所述的装置,其中:
所述第一网络功能和所述第一服务通信代理在第一公共陆地移动网络中;以及
所述第二网络功能和所述第二服务通信代理在不同于所述第一公共陆地移动网络的第二公共陆地移动网络中。
21.一种装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起,使得所述装置:
在第二网络功能处从第二服务通信代理接收服务请求,所述服务请求源自第一网络功能,用于从所述第二网络功能请求服务,并且包括指示关于所请求的所述服务的范围信息的报头;以及
根据确定所述报头中包括的所述范围信息与所述服务请求相匹配,向所述第一网络功能提供所请求的所述服务。
22.根据权利要求21所述的装置,其中所述范围信息包括以下至少一项:
第一信息,所述第一信息指示所请求的所述服务的服务名称;以及
第二信息,所述第二信息指示用于所请求的所述服务的所请求的资源以及在所述资源上的所请求的动作。
23.根据权利要求21所述的装置,其中所述装置还被使得:
向所述第二服务通信代理发送对所述服务请求的服务响应。
24.根据权利要求21所述的装置,其中:
所述第一网络功能在第一公共陆地移动网络中;以及
所述第二网络功能和所述第二服务通信代理在所述第一公共陆地移动网络中。
25.根据权利要求21所述的装置,其中:
所述第一网络功能在第一公共陆地移动网络中;以及
所述第二网络功能和所述第二服务通信代理在不同于所述第一公共陆地移动网络的第二公共陆地移动网络中。
26.一种方法,包括:
在第一网络功能处生成用于从第二网络功能请求服务的服务请求,所述服务请求包括指示关于所请求的所述服务的范围信息的报头;以及
向服务于所述第一网络功能的第一服务通信代理发送所述服务请求。
27.一种方法,包括:
在第一服务通信代理处从第一网络功能接收服务请求,所述服务请求用于从第二网络功能请求服务,所述服务请求包括指示关于所请求的所述服务的范围信息的报头;
基于所述范围信息获得用于所述服务请求的访问令牌;以及
向服务于所述第二网络功能的第二服务通信代理发送所述服务请求和所述访问令牌。
28.一种方法,包括:
在第二服务通信代理处从第一服务通信代理接收服务请求和访问令牌,所述服务请求源自第一网络功能,用于从第二网络功能请求服务,并且包括指示关于所请求的所述服务的范围信息的报头;
基于所述服务请求的所述报头验证所述访问令牌;以及
响应于所述访问令牌的所述验证成功,向所述第二网络功能发送所述服务请求,而不向所述第二网络功能发送所述访问令牌。
29.一种方法,包括:
在第二网络功能处从第二服务通信代理接收服务请求,所述服务请求源自第一网络功能,用于从所述第二网络功能请求服务,并且包括指示关于所请求的所述服务的范围信息的报头;以及
根据确定所述报头中包括的所述范围信息与所述服务请求相匹配,向所述第一网络功能提供所请求的所述服务。
30.一种装置,包括:
用于在第一网络功能处生成用于从第二网络功能请求服务的服务请求的部件,所述服务请求包括指示关于所请求的所述服务的范围信息的报头;以及
用于向服务于所述第一网络功能的第一服务通信代理发送所述服务请求的部件。
31.一种装置,包括:
用于在第一服务通信代理处从第一网络功能接收服务请求的部件,所述服务请求用于从第二网络功能请求服务,所述服务请求包括指示关于所请求的所述服务的范围信息的报头;
用于基于所述范围信息获得用于所述服务请求的访问令牌的部件;以及
用于向服务于所述第二网络功能的第二服务通信代理发送所述服务请求和所述访问令牌的部件。
32.一种装置,包括:
用于在第二服务通信代理处从第一服务通信代理接收服务请求和访问令牌的部件,所述服务请求源自第一网络功能,用于从第二网络功能请求服务,并且包括指示关于所请求的所述服务的范围信息的报头;
用于基于所述服务请求的所述报头来验证所述访问令牌的部件;以及
用于响应于所述访问令牌的所述验证成功,向所述第二网络功能发送所述服务请求,而不向所述第二网络功能发送所述访问令牌的部件。
33.一种装置,包括:
用于在第二网络功能处从第二服务通信代理接收服务请求的部件,所述服务请求源自第一网络功能,用于从所述第二网络功能请求服务,并且包括指示关于所请求的所述服务的范围信息的报头;以及
用于根据确定所述报头中包括的所述范围信息与所述服务请求相匹配,向所述第一网络功能提供所请求的所述服务的部件。
34.一种计算机可读存储介质,包括存储在其上的程序指令,所述指令当被装置执行时使得所述装置:
在第一网络功能处生成用于从第二网络功能请求服务的服务请求,所述服务请求包括指示关于所请求的所述服务的范围信息的报头;以及
向服务于所述第一网络功能的第一服务通信代理发送所述服务请求。
35.一种计算机可读存储介质,包括存储在其上的程序指令,所述指令当被装置执行时使得所述装置:
在第一服务通信代理处从第一网络功能接收服务请求,所述服务请求用于从第二网络功能请求服务,所述服务请求包括指示关于所请求的所述服务的范围信息的报头;
基于所述范围信息获得用于所述服务请求的访问令牌;以及
向服务于所述第二网络功能的第二服务通信代理发送所述服务请求和所述访问令牌。
36.一种计算机可读存储介质,包括存储在其上的程序指令,所述指令当被装置执行时使得所述装置:
在第二服务通信代理处从第一服务通信代理接收服务请求和访问令牌,所述服务请求源自第一网络功能,用于从第二网络功能请求服务,并且包括指示关于所请求的所述服务的范围信息的报头;
基于所述服务请求的所述报头验证所述访问令牌;以及
响应于所述访问令牌的所述验证成功,向所述第二网络功能发送所述服务请求,而不向所述第二网络功能发送所述访问令牌。
37.一种计算机可读存储介质,包括存储在其上的程序指令,所述指令当被装置执行时使得所述装置:
在第二网络功能处从第二服务通信代理接收服务请求,所述服务请求源自第一网络功能,用于从所述第二网络功能请求服务,并且包括指示关于所请求的所述服务的范围信息的报头;以及
根据确定所述报头中包括的所述范围信息与所述服务请求相匹配,向所述第一网络功能提供所请求的所述服务。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2021/071063 WO2022147827A1 (en) | 2021-01-11 | 2021-01-11 | Access token handling for indirect communication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116711265A true CN116711265A (zh) | 2023-09-05 |
Family
ID=82357658
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180090193.2A Pending CN116711265A (zh) | 2021-01-11 | 2021-01-11 | 用于间接通信的访问令牌处理 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240107299A1 (zh) |
| EP (1) | EP4275324A1 (zh) |
| CN (1) | CN116711265A (zh) |
| WO (1) | WO2022147827A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024016280A1 (en) * | 2022-07-21 | 2024-01-25 | Nokia Technologies Oy | Access token verification |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9420463B2 (en) * | 2014-09-30 | 2016-08-16 | Sap Se | Authorization based on access token |
| WO2016116171A1 (en) * | 2015-01-23 | 2016-07-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for obtaining a scoped token |
| CN111435932B (zh) * | 2019-01-14 | 2021-10-01 | 华为技术有限公司 | 一种令牌处理方法及装置 |
-
2021
- 2021-01-11 EP EP21916881.2A patent/EP4275324A1/en active Pending
- 2021-01-11 US US18/257,363 patent/US20240107299A1/en active Pending
- 2021-01-11 CN CN202180090193.2A patent/CN116711265A/zh active Pending
- 2021-01-11 WO PCT/CN2021/071063 patent/WO2022147827A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022147827A1 (en) | 2022-07-14 |
| US20240107299A1 (en) | 2024-03-28 |
| EP4275324A1 (en) | 2023-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11711858B2 (en) | Shared PDU session establishment and binding | |
| KR101830887B1 (ko) | 근접성 서비스 및 사물 인터넷 서비스를 위한 조인트 등록 및 등록 해제 방법 | |
| US20210306326A1 (en) | Enhanced hop by hop security | |
| KR20190044661A (ko) | 애플리케이션 친화적 프로토콜 데이터 유닛(pdu) 세션 관리를 위한 시스템 및 방법 | |
| KR20200062272A (ko) | 모바일 네트워크 상호 작용 프록시 | |
| WO2018202284A1 (en) | Authorizing access to user data | |
| CN114342332B (zh) | 一种通信方法、装置及系统 | |
| CN110784434B (zh) | 通信方法及装置 | |
| EP4075722A1 (en) | Security enhancement on inter-network communication | |
| US20220322067A1 (en) | Method and apparatus for configuring temporary user equipment (ue) external identifier in wireless communication system | |
| KR102490698B1 (ko) | 네트워크 슬라이스/서비스를 선택하는 통신 방법 및 이를 수행하는 통신 장치 | |
| CN114930294A (zh) | 用于边缘节点计算的系统、设备和方法 | |
| WO2021099676A1 (en) | Indicator tls extension handling for indirect communication in communication network | |
| WO2022147827A1 (en) | Access token handling for indirect communication | |
| WO2021068937A1 (zh) | 服务绑定的方法及装置 | |
| US20230232228A1 (en) | Method and apparatus for establishing secure communication | |
| EP3216250B1 (en) | Bootstrapping wi-fi direct communication by a trusted network entity | |
| US20230308429A1 (en) | Method and apparatus related to authorisation tokens for service requests | |
| WO2021160386A1 (en) | Authorization service for providing access control | |
| WO2024016280A1 (en) | Access token verification | |
| CN117082508A (zh) | 通信方法及装置 | |
| CN114205301A (zh) | Mptcp负载均衡方法、介质及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |