CN117121438A - 用于安全边缘保护代理(sepp)处的委托授权的方法、系统和计算机可读介质 - Google Patents
用于安全边缘保护代理(sepp)处的委托授权的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN117121438A CN117121438A CN202280025297.XA CN202280025297A CN117121438A CN 117121438 A CN117121438 A CN 117121438A CN 202280025297 A CN202280025297 A CN 202280025297A CN 117121438 A CN117121438 A CN 117121438A
- Authority
- CN
- China
- Prior art keywords
- access token
- consumer
- producer
- service
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 131
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000004044 response Effects 0.000 claims description 51
- 230000006870 function Effects 0.000 claims description 44
- 230000011664 signaling Effects 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 7
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 description 5
- 102100023843 Selenoprotein P Human genes 0.000 description 5
- 239000000284 extract Substances 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 229940119265 sepp Drugs 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于安全边缘保护代理(SERF)处的委托授权的方法包括从不支持基于访问令牌的授权的消费者网络功能(NF)截取用于访问由要求基于访问令牌的授权的生产者NF提供的服务的基于服务的接口(SBI)服务请求。该方法还包括作为访问令牌授权客户端操作以代表消费者NF获得第一访问令牌。该方法还包括使用第一访问令牌来使消费者NF能够访问由第一生产者NF提供的服务。SERF还可以代表不支持基于访问令牌的授权的NRF作为访问令牌授权服务器操作。
Description
优先权要求
本申请要求于2021年3月11日提交的美国专利申请序列号17/198,740的优先权权益,该申请的公开内容通过引用将其整体并入本文中。
技术领域
本文中描述的主题涉及网络安全和公共陆地移动网络(PLMN)间兼容性。更具体地,本文中描述的主题涉及用于SEPP处的委托授权的方法、系统和计算机可读介质。
背景技术
在5G电信网络中,提供服务的网络功能被称为生产者网络功能(NF)或NF服务生产者。消费服务的网络功能被称为消费者NF或NF服务消费者。取决于网络功能是在消费、生产还是消费和生产服务,网络功能可以是生产者NF、消费者NF或者两者。术语“生产者NF”和“NF服务生产者”在本文中可互换使用。类似地,术语“消费者NF”和“NF服务消费者”在本文中可互换使用。
给定的生产者NF可以具有许多服务端点,其中服务端点是由该生产者NF托管的一个或多个NF实例的联系点。由因特网协议(IP)地址和端口号的组合或解析为托管生产者NF的网络节点上的IP地址和端口号的完全限定域名来标识服务端点。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应注意的是,多个NF实例可以共享同一服务端点。
生产者NF向网络功能储存库功能(NRF)注册。NRF维护识别由每个NF实例支持的服务的可用NF实例的服务简档。术语“服务简档”和“NF简档”在本文中可互换使用。消费者NF可以订阅以接收关于已经向NRF注册的生产者NF实例的信息。
除了消费者NF之外,可以订阅以接收关于NF服务实例的信息的另一种类型的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理,并且服务通信代理在提供所需服务的生产者NF服务实例之间对流量进行负载平衡,或者将流量直接路由到目的地生产者NF实例。
除了SCP之外,在生产者和消费者NF之间路由流量的中间代理节点的另一示例是安全边缘保护代理(SEPP)。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。因此,SEPP对在PLMN之间传送的所有应用编程接口(API)消息执行消息过滤、监管和拓扑隐藏。
当一个公共PLMN或网络功能支持OAuth 2.0授权而另一PLMN或者网络功能不支持OAuth 2.0授权时,出现5G通信网络中的一个问题。根据在因特网工程任务组(IETF)征求意见稿(RFC)6749中指定的OAuth 2.0授权框架,寻求访问可从资源服务器获得的受保护资源的授权客户端首先从授权服务器获得访问令牌。在客户端获得访问令牌之后,客户端向资源服务器发送服务请求。资源服务器验证访问令牌并且提供对受保护资源的访问。
在5G通信网络的上下文中,NF服务消费者充当OAuth 2.0资源客户端,NF服务生产者充当OAuth 2.0资源服务器,并且NRF充当授权服务器。因此,寻求访问由NF服务生产者提供的服务的NF服务消费者与NRF发信号(signal)以获得用于访问由NF服务生产者提供的资源的访问令牌。在NF服务消费者从NRF获得访问令牌之后,NF服务消费者向NF服务生产者发送服务请求,其中该服务请求包括访问令牌。NF服务生产者验证访问令牌,并且提供对由NF服务消费者请求的服务的访问。
虽然OAuth 2.0授权框架致力于在5G通信网络中提供授权,但如果服务请求是从不支持OAuth 2.0授权的消费者NF向要求OAuth 2.0访问令牌的生产者NF发送的,则该服务请求将被拒绝。类似地,如果支持OAuth 2.0授权的消费者NF向不支持OAuth 2.0授权的NRF发送访问令牌请求,则请求消费者NF将不能获得访问令牌。
当服务消费者的PLMN支持OAuth 2.0授权并且服务生产者的PLMN不支持OAuth2.0授权时,可能出现这些类型的不兼容问题,反之亦然。当来自一个供应商的NF支持OAuth2.0授权并且来自另一供应商的NF不支持OAuth 2.0授权时,也可能出现这些类型的不兼容问题。
鉴于这些和其他困难,当存在OAuth 2.0授权不兼容时,需要用于网络功能之间的改进的互操作性的方法。
发明内容
一种用于安全边缘保护代理(SEPP)处的委托授权的方法包括从不支持基于访问令牌的授权的第一消费者网络功能(NF)截取(intercept)用于访问由要求基于访问令牌的授权的第一生产者NF提供的服务的第一基于服务的接口(SBI)服务请求。该方法还包括作为访问令牌授权客户端代理操作以代表第一消费者NF获得第一访问令牌。该方法还包括使用第一访问令牌来使第一消费者NF能够访问由第一生产者NF提供的服务。
根据本文中描述的主题的另一方面,作为访问令牌授权客户端代理操作包括与NF储存库功能(NRF)发信号以获得第一访问令牌。
根据本文中描述的主题的另一方面,与NRF发信号以获得第一访问令牌包括:代表第一消费者NF生成访问令牌请求;向NRF传送访问令牌请求;以及从NRF接收包括第一访问令牌的访问令牌响应。
根据本文中描述的主题的另一方面,生成访问令牌请求包括从第一SBI服务请求的用户代理标头(header)提取要包括在访问令牌请求中的至少一些属性的值。
根据本文中描述的主题的另一方面,提取属性中的至少一些的值包括从第一SBI服务请求的用户代理标头提取第一消费者NF的NF实例ID。
根据本文中描述的主题的另一方面,使用第一访问令牌来使第一消费者NF能够访问由第一生产者NF提供的服务包括:在第一SBI服务请求中插入第一访问令牌;将包括第一访问令牌的第一SBI服务请求转发到第一生产者NF;从第一生产者NF接收SBI服务响应;以及将SBI服务响应转发到第一消费者NF。
根据本文中描述的主题的另一方面,用于SEPP处的委托授权的方法包括:从第二消费者NF接收访问令牌请求;响应于来自第二消费者NF的访问令牌请求,代表不支持访问令牌授权的NF储存库功能(NRF)作为访问令牌授权服务器代理操作;以及与第二消费者NF和第二生产者NF发信号以使第二消费者NF能够访问由第二生产者NF提供的服务。
根据本文中描述的主题的另一方面,作为访问令牌授权服务器代理操作包括:响应于访问令牌请求,生成第二访问令牌;以及向第二消费者NF传送包括第二访问令牌的访问令牌响应。
根据本文中描述的主题的另一方面,与第二生产者NF发信号以使第二消费者NF能够访问由第二生产者NF提供的服务包括:从第二消费者NF接收包括第二访问令牌的第二SBI服务请求;从第二SBI服务请求中移除第二访问令牌;将第二SBI服务请求转发到第二生产者NF;从第二生产者NF接收SBI服务响应;以及将SBI服务响应转发到第二消费者NF。
根据本文中描述的主题的另一方面,生成第二访问令牌包括生成包括具有句法正确的声明的伪(dummy)访问令牌的OAuth 2.0访问令牌。
根据本文中描述的主题的另一方面,提供一种用于安全边缘保护代理(SEPP)处的委托授权的系统。该系统包括包含至少一个处理器和存储器的SEPP。该系统还包括由所述至少一个处理器实现的访问令牌授权客户端代理,用于:从不支持基于访问令牌的授权的第一消费者网络功能(NF)截取用于访问由要求基于访问令牌的授权的第一生产者NF提供的服务的第一基于服务的接口(SBI)服务请求,作为访问令牌授权客户端操作以代表第一消费者NF获得第一访问令牌,以及使用第一访问令牌来使第一消费者NF能够访问由第一生产者NF提供的服务。
根据本文中描述的主题的另一方面,访问令牌授权客户端代理被配置为与NF储存库功能(NRF)发信号以获得第一访问令牌。
根据本文中描述的主题的另一方面,访问令牌授权客户端代理被配置为通过以下步骤与NRF发信号以获得第一访问令牌:代表第一消费者NF生成访问令牌请求;向NRF传送访问令牌请求;以及从NRF接收包括第一访问令牌的访问令牌响应。
根据本文中描述的主题的另一方面,访问令牌授权客户端代理被配置为通过从第一SBI服务请求的用户代理标头提取要包括在访问令牌请求中的至少一些属性的值来生成访问令牌请求。
根据本文中描述的主题的另一方面,由访问令牌授权客户端代理提取的值包括来自第一SBI服务请求的用户代理标头的第一消费者NF的NF实例ID。
根据本文中描述的主题的另一方面,访问令牌授权客户端代理被配置为通过以下步骤使用第一访问令牌来使第一消费者NF能够访问所述服务:在第一SBI服务请求中插入第一访问令牌;将包括第一访问令牌的第一SBI服务请求转发到第一生产者NF;从第一生产者NF接收SBI服务响应;以及将SBI服务响应转发到第一消费者NF。
根据本文中描述的主题的另一方面,用于SEPP处的委托授权的系统包括访问令牌授权服务器代理,用于:从第二消费者NF接收访问令牌请求;响应于来自第二消费者NF的访问令牌请求代表不支持访问令牌授权的NF储存库功能(NRF)作为访问令牌授权服务器操作;以及与第二消费者NF和第二生产者NF发信号以使第二消费者NF能够访问由第二生产者NF提供的服务。
根据本文中描述的主题的另一方面,在作为访问令牌授权服务器操作时,访问令牌授权服务器代理被配置为:响应于访问令牌请求,生成第二访问令牌;以及向第二消费者NF传送包括第二访问令牌的访问令牌响应。
根据本文中描述的主题的另一方面,访问令牌授权服务器代理被配置为通过以下步骤与第二消费者NF和第二生产者NF发信号以使第二消费者NF能够访问由第二生产者NF提供的服务:从第二消费者NF接收包括第二访问令牌的第二SBI服务请求;从第二SBI服务请求中移除第二访问令牌;将SBI服务请求转发到第二生产者NF;从第二生产者NF接收SBI服务响应;以及将SBI服务响应转发到第二消费者NF。
根据本文中描述的主题的另一方面,提供一种在其上存储有可执行指令的非暂态计算机可读介质,所述可执行指令在由计算机的处理器执行时控制计算机执行步骤。所述步骤包括从不支持基于访问令牌的授权的消费者网络功能(NF)截取用于访问由要求基于访问令牌的授权的生产者NF提供的服务的基于服务的接口(SBI)服务请求。所述步骤还包括作为访问令牌授权客户端代理操作以代表第一消费者NF获得第一访问令牌。所述步骤还包括使用第一访问令牌来使消费者NF能够访问由生产者NF提供的服务。
可以用与硬件和/或固件组合的软件来实现本文中描述的主题。例如,可以用由处理器执行的软件来实现本文中描述的主题。在一个示例性实现方案中,可以使用在其上存储有计算机可执行指令的非暂态计算机可读介质来实现本文中描述的主题,这些计算机可执行指令在由计算机的处理器执行时控制计算机执行步骤。适合于实现本文中描述的主题的示例性计算机可读介质包括非暂态计算机可读介质,诸如盘存储器设备、芯片存储器设备、可编程逻辑器件和专用集成电路。此外,实现本文中描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以跨多个设备或计算平台分布。
附图说明
图1是图示示例性5G系统网络架构的网络图;
图2是图示在使用OAuth 2.0授权框架访问5G通信网络中的服务时交换的示例性消息的消息流图;
图3是图示当消费者NF不支持OAuth 2.0授权并且生产者NF要求OAuth 2.0授权作为允许访问由生产者NF提供的服务的条件时交换的示例性消息的消息流图;
图4是图示当消费者NF支持OAuth 2.0授权而NRF不支持OAuth2.0授权时交换的示例性消息的消息流图;
图5是图示SEPP代表不支持OAuth 2.0授权的消费者NF作为OAuth 2.0授权客户端代理操作时的委托的OAuth 2.0授权的消息流图;
图6是图示当SEPP代表不支持OAuth 2.0授权的NRF作为OAuth2.0授权服务器代理操作时交换的示例性消息的消息流图;
图7是图示能够代表不支持OAuth 2.0授权的NF服务消费者和NRF执行委托的OAuth 2.0授权的SEPP的框图;
图8A是图示代表不支持OAuth 2.0授权的消费者NF执行委托的OAuth 2.0授权的示例性过程的流程图;
图8B是更详细地图示来自图8A的代表不支持OAuth 2.0授权的消费者NF作为访问令牌授权客户端代理操作的步骤的流程图;
图8C是更详细地图示来自图8A的使用访问令牌来使不支持OAuth 2.0授权的消费者NF能够访问由要求OAuth 2.0授权的生产者NF提供的服务的步骤的流程图;
图9A是图示用于代表不支持OAuth 2.0授权的NRF作为OAuth2.0授权服务器代理操作并且在消费者NF支持OAuth 2.0授权而生产者NF不支持OAuth 2.0授权时促进对服务的访问的示例性过程的流程图;
图9B是更详细地图示来自图9A的代表不支持OAuth 2.0授权的NRF作为OAuth 2.0授权服务器代理操作的步骤的流程图;并且
图9C是更详细地图示来自图9A的在消费者NF支持OAuth 2.0授权而生产者NF不支持OAuth 2.0授权时与生产者NF和消费者NF发信号以使消费者NF能够访问由生产者NF提供的服务的步骤的流程图。
具体实施方式
图1是图示示例性5G系统网络架构的框图。图1中的架构包括NRF 100和SCP 101,它们可以位于同一归属公共陆地移动网络(HPLMN)中。如上文所述,NRF 100可以维护可用的生产者NF服务实例及其支持的服务的简档,并且允许消费者NF或SCP订阅并被通知新的/更新的生产者NF服务实例的注册。SCP 101还可以支持生产者NF实例的选择和服务发现。SCP 101可以进行消费者NF和生产者NF之间的连接的负载平衡。
NRF 100是NF或生产者NF实例的服务简档的储存库。为了与生产者NF实例通信,消费者NF或SCP必须从NRF 100获得生产者NF实例的服务简档或NF。NF或服务简档是在3GPPTS29.510中定义的JavaScript对象表示法(JSON)数据结构。NF或服务简档定义包括完全限定域名(FQDN)、因特网协议(IP)版本4(IPv4)地址或IP版本6(IPv6)地址中的至少一个。
在图1中,任何网络功能可以是消费者NF、生产者NF或两者,这取决于它们是在请求、提供还是请求和提供服务。在图示的示例中,NF包括在网络中进行策略相关操作的PCF102、管理用户数据的UDM功能104以及提供应用服务的应用功能(AF)106。
图1中所示的NF还包括管理接入和移动性管理功能(AMF)110与PCF 102之间的会话的会话管理功能(SMF)108。AMF 110进行与4G网络中的移动性管理实体(MME)所进行的移动性管理操作类似的移动性管理操作。认证服务器功能(AUSF)112为诸如用户设备(UE)114之类的寻求访问网络的用户设备(UE)进行认证服务。
网络切片选择功能(NSSF)116为寻求访问与网络切片相关联的特定网络能力和特性的设备提供网络切片服务。网络暴露功能(NEF)118为寻求获得关于附接到网络的物联网(IoT)设备和其他UE的信息的应用功能提供应用编程接口(API)。NEF 118进行与4G网络中的服务能力暴露功能(SCEF)类似的功能。
无线电接入网络(RAN)120经由无线链路将用户设备(UE)114连接到网络。可以使用g-Node B(gNB)(图1中未示出)或其他无线接入点来接入无线电接入网络120。用户平面功能(UPF)122可以支持用于用户平面服务的各种代理功能。此类代理功能的一个示例是多路径传输控制协议(MPTCP)代理功能。UPF 122还可以支持性能测量功能,UE 114可以使用该性能测量功能来获得网络性能测量。图1中还图示了数据网络(DN)124,UE通过它访问数据网络服务,诸如因特网服务。
SEPP 126过滤来自另一个PLMN的传入流量,并对离开归属PLMN的流量进行拓扑隐藏。SEPP 126可以与管理外地(foreign)PLMN的安全性的外地PLMN中的SEPP进行通信。因此,不同PLMN中的NF之间的流量可以穿过两个SEPP功能,一个用于归属PLMN,而另一个用于外地PLMN。
如上所述,在5G网络中可能出现的一个问题是缺乏对OAuth 2.0授权的通用支持,这可能导致网络之间的服务不兼容。图2是图示PLMN之间的OAuth 2.0授权以及使用访问令牌来跨PLMN边界访问服务的消息流图。参考图2中的消息流,在线1中,消费者NF 200向位于拜访者网络中的NRF 100A发送NRF内访问令牌请求消息。NRF 100A经由SEPP 126A和126B将访问令牌请求消息转发到远程NRF 100B。该转发由图2中的线2-4指示。
在线5中,归属NRF 100B确定客户端是否被授权以接收访问令牌并且通过传送访问令牌响应消息来返回访问令牌。在线5-7中,访问令牌响应消息被传送到消费者NF 200。
在线9中,消费者NF 200生成包括访问令牌的SBI服务请求消息,并且经由SEPP126A和126B将SBI服务请求消息发送到生产者NF 202,如线9-11所示。
生产者NF 202验证访问令牌并且授予消费者NF 200对服务的访问。在线12-14中,生产者NF 202向消费者NF 200返回SBI服务响应消息。因此,图2图示了两个不同的网络支持OAuth 2.0授权的情况,并且作为结果,访问令牌消息传递和服务请求消息传递是成功的。然而,如果一个或另一个网络不支持OAuth 2.0授权,则服务请求和/或访问令牌消息传递将不成功。
图3图示了NF服务消费者不支持OAuth 2.0授权而NF服务生产者要求OAuth 2.0授权的情况。参考图3,在线1中,消费者NF 200向位于不同PLMN中并且要求访问令牌授权的生产者NF 202发送SBI服务请求消息。由于服务请求不包括访问令牌,因此线2中的服务请求被归属SEPP 126B拒绝。由于3GPP TS 33.501节13.4.1.2.2建议提供商SEPP应检查访问令牌中的主题声明的服务PLMN匹配与N32消息中的N32-f上下文ID对应的远程PLMN,因此SEPP126B拒绝服务请求。因为线2中的服务请求消息不包括访问令牌,所以没有供SEPP 126B验证的主题声明,因此该消息被拒绝。
图3图示了消费者NF不支持OAuth 2.0授权而生产者NF支持OAuth 2.0授权的情况,而图4图示了消费者NF支持OAuth 2.0授权而NRF不支持的情况。参考图4中的消息流,在线1中,为了访问由位于归属网络中的生产者NF 302提供的服务,在本示例中位于归属网络中的消费者NF 300向位于归属网络中的NRF 100B发送访问令牌请求消息。NRF 100B将访问令牌请求消息转发到位于拜访者网络中的远程NRF 100A。该转发由图4中的消息流图的线2-4指示。在本示例中,拜访者NRF 100A不支持OAuth 2.0授权。因此,拜访者NRF 100A不能对访问令牌请求做出响应,这导致访问令牌消息传递的失败。作为结果,消费者NF 300可能无法访问由拜访者网络中的生产者NF 302提供的服务。
为了避免这些困难,本文中描述的SEPP代表不支持基于访问令牌的授权的消费者NF充当访问令牌授权客户端代理,并且代表不支持基于访问令牌的授权的NRF充当访问令牌授权服务器。对于不支持基于访问令牌的授权的消费者NF,SEPP在将请求转发到生产者NF之前获取访问令牌并且将访问令牌添加到SBI请求。SEPP可以选择缓存令牌以加速处理。SEPP可以利用来自消费者NF在SBI服务请求中提供的用户代理标头的字段来获得用于代表消费者NF创建访问令牌请求的NF类型和NF实例ID。当SEPP充当OAuth 2.0授权服务器时,SEPP向提出请求的消费者NF发布访问令牌。
图5图示了SEPP代表不支持OAuth 2.0授权的消费者NF充当OAuth 2.0授权客户端代理的情况。参考图5,在消息流图的线1中,消费者NF 200向位于不同PLMN中的生产者NF202发送SBI服务请求消息。SEPP 126A拦截访问令牌请求,并确定请求处不具有访问令牌。在消息流图的线2中,SEPP 126A制定访问令牌请求并且将其发送到位于生产者NF的PLMN中的NRF 100B。将在下文中进一步详细描述访问令牌请求消息的制定。图5中的线2和线3图示了将访问令牌请求转发到NRF 100B。NRF 100B验证消费者NF 200,生成包括访问令牌的访问令牌响应,并且在线4和线5中,经由SEPP 126B和126A将访问令牌响应发送到消费者NF200的网络。代替将访问令牌响应转发到消费者NF 200,SEPP 126A截取访问令牌响应,从响应提取访问令牌,并且将访问令牌插入在线1中接收的SBI服务请求消息中。在线6和线7中,SEPP 126A将带有访问令牌的SBI服务请求转发到生产者NF 202。生产者NF 202使用访问令牌验证服务请求,并且在线8-10中生成SBI服务响应消息并将其发送到消费者NF 200。因此,图5图示了SEPP 126A代表不支持OAuth 2.0授权的消费者NF充当OAuth 2.0授权客户端代理的情况。
在另一示例中,SEPP 126A可以充当访问令牌授权服务器。在图6中图示了该示例。参考图6,在线1中,消费者NF 300生成访问令牌请求消息,并且将访问令牌请求消息转发到位于归属网络中的NRF 100B。在线2和线3中,NRF 100B将访问令牌请求消息转发到位于生产者NF 302所在的网络中的NRF 100A。然而,NRF 100A不支持OAuth 2.0授权。因此,SEPP126A截取访问令牌请求消息,并且在线4中代表NRF 100A生成访问令牌响应消息。访问令牌响应消息包括由SEPP 126A使用SEPP 126A本地的信息生成的访问令牌。该访问令牌可以在句法上是正确的,因为它包括所有所需的访问令牌声明。在线4-6中,SEPP 126A将访问令牌转发到消费者NF 300。
在线7中,消费者NF 300生成SBI服务请求并将其发送到生产者NF 302,并且该服务请求包括访问令牌。在线8中,SEPP 126A接收SBI服务请求,并且由于生产者NF 302不支持OAuth 2.0授权,因此从服务请求中移除访问令牌。在线9中,SEPP 126A将服务请求转发到生产者NF 302。在线10-12中,生产者NF 202生成SBI服务响应消息并将其发送到消费者NF 300。因此,图6图示了SEPP 126A代表不支持OAuth 2.0授权的NRF充当OAuth 2.0授权服务器代理的情况。
图7是图示如本文中描述的那样支持OAuth 2.0授权代理的SEPP的示例性架构的框图。参考图7,SEPP 126A包括至少一个处理器700和存储器702。SEPP 126A还包括用于执行上面关于图5描述的操作的访问令牌授权客户端代理704,这些操作代表不支持OAuth2.0授权的消费者NF获得OAuth 2.0访问令牌并且修改SBI服务请求消息以包括OAuth 2.0访问令牌以使消费者NF能够访问由支持OAuth 2.0授权的生产者NF提供的服务。SEPP 126A还包括代表不支持OAuth 2.0授权的NRF执行OAuth 2.0授权服务器的功能的访问令牌授权服务器代理706,如上面关于图6描述的那样。访问令牌授权服务器代理706还可以从去往不支持基于访问令牌的授权的生产者NF的服务请求消息中移除访问令牌。访问令牌授权客户端代理704和访问令牌授权服务器代理706可以使用存储在存储器702中的计算机可执行指令来实现,这些计算机可执行指令使得处理器700执行上述的访问令牌授权客户端和服务器代理操作。
图8A是图示用于在SEPP充当访问令牌授权客户端代理的SEPP处执行委托授权的示例性总体过程的流程图。参考图8A,在步骤800中,该过程包括从不支持基于访问令牌的授权的消费者NF截取用于访问由要求基于访问令牌的授权的生产者NF提供的服务的SBI服务请求。例如,SEPP 126A可以从消费者NF 200接收用于访问由生产者NF 202提供的服务的SBI服务请求。
在步骤802中,该过程包括作为访问令牌授权客户端代理操作以代表消费者NF获得访问令牌。例如,SEPP 126A可以充当OAuth 2.0授权客户端代理以代表不支持OAuth 2.0授权的消费者NF 200获得访问令牌。图8B图示了图8A中的步骤802的附加细节。参考图8B,在步骤802A中,该过程包括代表消费者NF生成访问令牌请求消息。下面示出的表1图示了在访问令牌请求消息中必须包括的属性。
表1:访问令牌请求属性
在访问令牌请求中必须包括的最小属性集是授权类型(grant type)、NF实例ID、NF类型、目标NF类型、范围(scope)、请求者PLMN和目标PLMN。可以从填充自SBI服务请求消息的消费者NF证书获得授权类型属性。可以从SBI服务请求消息的用户代理标头填充NF实例ID。根据3GPP TS29.500节5.2.2,用户代理标头是SBI服务请求消息中的强制性标头。下面示出的表2图示了用户代理参数的结构。
表2:用户代理参数
如表2中所示,用户代理参数可以包含标识NF实例的信息,诸如NF实例ID。SEPP126A可以从SBI服务请求消息的用户代理标头提取NF实例ID,并且使用该信息来填充访问令牌请求消息的NF实例ID属性。类似地,还可以从SBI服务请求消息的用户代理标头获得NF类型。
返回到表1,可以基于SEPP 126A的配置的请求者PLMN参数来填充访问令牌请求的请求者PLMN。可以根据从SBI服务请求消息的请求者统一资源标识符(R-URI)提取的API名称来填充目标PLMN属性。可以根据从SBI服务请求消息的R-URI提取的服务名称来填充访问令牌请求的范围属性。
返回到图8B,一旦制定了访问令牌请求,则在步骤802B中,SEPP 126A将访问令牌请求传送到NRF。例如,SEPP 126A可以向位于生产者NF 202所在的PLMN中的NRF 100B发送访问令牌请求消息。
在步骤802C中,该过程包括从NRF接收包括访问令牌的访问令牌响应。例如,SEPP126A可以从NRF 100B接收包括访问令牌的访问令牌响应。
返回到图8A,在步骤804中,该过程包括使用第一访问令牌来使消费者NF能够访问由生产者NF提供的服务。图8C图示了图8A中的步骤804的附加细节。参考图8C,在步骤804A中,该过程包括将访问令牌插入到SBI服务请求消息中。例如,SEPP 126A可以将它从NRF100B获得的访问令牌插入它从消费者NF 200截取的服务请求消息中。
在步骤804B中,该过程包括向生产者NF转发包括第一访问令牌的SBI服务请求。例如,SEPP 126A可以向生产者NF 202转发包括访问令牌的SBI服务请求。然后生产者NF 202将使用访问令牌来授权服务请求,并且对服务请求做出响应。SEPP 126A将向消费者NF 200转发响应。因此,图8A-图8C图示了通过SEPP的委托授权,其中SEPP充当访问令牌授权客户端代理,该访问令牌授权客户端代理在本文中描述的示例中是OAuth 2.0授权客户端代理。
图9A图示了由代表不支持访问令牌授权的NRF充当访问令牌授权服务器代理的SEPP执行的示例性委托授权过程。参考图9A,在步骤900中,该过程包括从消费者NF接收访问令牌请求。例如,SEPP 126A从消费者NF 300接收访问令牌请求。
在步骤902中,该过程包括响应于访问令牌请求,代表不支持基于访问令牌的授权的NRF作为访问令牌授权服务器代理操作。在图9B中更详细地图示了步骤902。参考图9B,在步骤902A中,该过程包括响应于访问令牌请求而生成访问令牌。例如,SEPP 126A可以生成包括IETF RFC 6749中指定的所需声明的访问令牌。根据在IETF RFC 6749中指定的格式和内容,访问令牌可以是句法上正确的。然而,访问令牌没有必要是真实访问令牌并且可以是具有句法正确字段的伪访问令牌,因为如将在下文中描述的那样,SEPP 126A将在将服务请求消息转发到不支持基于访问令牌的授权的生产者NF之前从服务请求消息中移除访问令牌。
在步骤902B中,该过程包括向消费者NF传送访问令牌响应。例如,SEPP 126A可以向提出请求的消费者NF 300传送包括步骤902A中生成的访问令牌的访问令牌响应。
返回到图9A,在步骤904中,该过程包括与生产者NF和消费者NF发信号以使消费者NF能够访问服务。在图9C中更详细地图示了步骤904。参考图9C,与消费者NF和生产者NF发信号的过程包括:在步骤904A中,从消费者NF接收包括访问令牌的SBI服务请求。例如,SEPP126A可以从NF服务消费者300接收包括SEPP 126A生成的NF访问令牌的SBI服务请求。
在步骤904B中,该过程包括从SBI服务请求中移除访问令牌。在步骤904C中,该过程包括将SBI服务请求转发到生产者NF。因此,图9A-图9C图示了SEPP可以在代表不支持基于访问令牌的授权的NRF充当访问令牌授权服务器代理和信令中介时执行的示例性步骤。
本文中描述的主题的示例性优点包括在一个PLMN支持基于访问令牌的授权而另一PLMN不支持的PLMN之间的改进的互操作性。由于SEPP位于网络之间的边界处,因此在SEPP处提供解决方案是有益的。它也是可扩展的解决方案,因为单个SEPP可以为消费者和生产者NF或代表消费者和生产者NF执行本文中描述的功能。
以下参考文献中的每一个的公开内容在此通过引用将其整体并入本文中。
参考文献
1.Hardt,D.“The OAuth 2.0Authorization Framework,”IETF RFC 6749(October 2012).
2.3GPP TS 33.501V17.0.0(2020-12),3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;Securityarchitecture and procedures for 5G system(Release 17).
3.3GPP TS29.500V17.1.0(2020-12);3rd Generation Partnership Project;Technical Specification Group Core Network and Terminals;5G System;TechnicalRealization of the Service Based Architecture;Stage 3(Release 17).
4.3GPP TS29.510V17.0.0(2020-12);3rd Generation Partnership Project;Technical Specification Group Core Network and Terminals;5G System;NetworkFunction Repository Services;Stage 3(Release17).
应理解的是,在不脱离本文中描述的主题的范围的情况下,可以改变本文中描述主题的各种细节。此外,前述描述仅出于说明的目的,而不是出于限制的目的,因为本文中描述的主题由以下阐述的权利要求限定。
Claims (20)
1.一种用于安全边缘保护代理(SEPP)处的委托授权的方法,所述方法包括:
在包括至少一个处理器和存储器的SEPP处:
从不支持基于访问令牌的授权的第一消费者网络功能(NF)截取第一基于服务的接口(SBI)服务请求,第一SBI服务请求用于访问由要求基于访问令牌的授权的第一生产者NF提供的服务;
作为访问令牌授权客户端代理操作以代表第一消费者NF获得第一访问令牌;以及
使用第一访问令牌来使第一消费者NF能够访问由第一生产者NF提供的服务。
2.根据权利要求1所述的方法,其中,作为访问令牌授权客户端代理操作包括与NF储存库功能(NRF)发信号以获得第一访问令牌。
3.根据权利要求2所述的方法,其中,与NRF发信号以获得第一访问令牌包括:
代表第一消费者NF生成访问令牌请求;
向NRF传送访问令牌请求;以及
从NRF接收包括第一访问令牌的访问令牌响应。
4.根据权利要求3所述的方法,其中,生成访问令牌请求包括从第一SBI服务请求的用户代理标头提取要包括在访问令牌请求中的至少一些属性的值。
5.根据权利要求4所述的方法,其中,提取属性中的至少一些的值包括从第一SBI服务请求的用户代理标头提取第一消费者NF的NF实例ID。
6.根据任一前述权利要求所述的方法,其中,使用第一访问令牌来使第一消费者NF能够访问由第一生产者NF提供的服务包括:
在第一SBI服务请求中插入第一访问令牌;
将包括第一访问令牌的第一SBI服务请求转发到第一生产者NF;
从第一生产者NF接收SBI服务响应;以及
将SBI服务响应转发到第一消费者NF。
7.根据任一前述权利要求所述的方法,包括:
从第二消费者NF接收访问令牌请求;
响应于来自第二消费者NF的访问令牌请求,代表不支持访问令牌授权的NF储存库功能(NRF)作为访问令牌授权服务器代理操作;以及
与第二消费者NF和第二生产者NF发信号以使第二消费者NF能够访问由第二生产者NF提供的服务。
8.根据权利要求7所述的方法,其中,作为访问令牌授权服务器代理操作包括:
响应于访问令牌请求,生成第二访问令牌;以及
向第二消费者NF传送包括第二访问令牌的访问令牌响应。
9.根据权利要求8所述的方法,其中,与第二生产者NF发信号以使第二消费者NF能够访问由第二生产者NF提供的服务包括:
从第二消费者NF接收包括第二访问令牌的第二SBI服务请求;
从第二SBI服务请求中移除第二访问令牌;
将第二SBI服务请求转发到第二生产者NF;
从第二生产者NF接收SBI服务响应;以及
将SBI服务响应转发到第二消费者NF。
10.根据权利要求8所述的方法,其中,生成第二访问令牌包括生成包括具有句法正确的声明的伪访问令牌的OAuth 2.0访问令牌。
11.一种用于安全边缘保护代理(SEPP)处的委托授权的系统,所述系统包括:
包括至少一个处理器和存储器的SEPP;以及
由所述至少一个处理器实现的访问令牌授权客户端代理,用于:从不支持基于访问令牌的授权的第一消费者网络功能(NF)截取第一基于服务的接口(SBI)服务请求,第一SBI服务请求用于访问由要求基于访问令牌的授权的第一生产者NF提供的服务;作为访问令牌授权客户端操作以代表第一消费者NF获得第一访问令牌;以及使用第一访问令牌来使第一消费者NF能够访问由第一生产者NF提供的服务。
12.根据权利要求11所述的系统,其中,访问令牌授权客户端代理被配置为与NF储存库功能(NRF)发信号以获得第一访问令牌。
13.根据权利要求12所述的系统,其中,访问令牌授权客户端代理被配置为通过以下步骤与NRF发信号以获得第一访问令牌:
代表第一消费者NF生成访问令牌请求;
向NRF传送访问令牌请求;以及
从NRF接收包括第一访问令牌的访问令牌响应。
14.根据权利要求13所述的系统,其中,访问令牌授权客户端代理被配置为通过从第一SBI服务请求的用户代理标头提取要包括在访问令牌请求中的至少一些属性的值来生成访问令牌请求。
15.根据权利要求14所述的系统,其中,由访问令牌授权客户端代理提取的值包括来自第一SBI服务请求的用户代理标头的第一消费者NF的NF实例ID。
16.根据权利要求11至15中的任一项所述的系统,其中,访问令牌授权客户端代理被配置为通过以下步骤使用第一访问令牌来使第一消费者NF能够访问所述服务:
在第一SBI服务请求中插入第一访问令牌;
将包括第一访问令牌的第一SBI服务请求转发到第一生产者NF;
从第一生产者NF接收SBI服务响应;以及
将SBI服务响应转发到第一消费者NF。
17.根据权利要求11至16中的任一项所述的系统,包括访问令牌授权服务器代理,用于:从第二消费者NF接收访问令牌请求;响应于来自第二消费者NF的访问令牌请求代表不支持访问令牌授权的NF储存库功能(NRF)作为访问令牌授权服务器操作;以及与第二消费者NF和第二生产者NF发信号以使第二消费者NF能够访问由第二生产者NF提供的服务。
18.根据权利要求17所述的系统,其中,在作为访问令牌授权服务器操作时,访问令牌授权服务器代理被配置为:
响应于访问令牌请求,生成第二访问令牌;以及
向第二消费者NF传送包括第二访问令牌的访问令牌响应。
19.根据权利要求17所述的系统,其中,访问令牌授权服务器代理被配置为通过以下步骤与第二消费者NF和第二生产者NF发信号以使第二消费者NF能够访问由第二生产者NF提供的服务:
从第二消费者NF接收包括第二访问令牌的第二SBI服务请求;
从第二SBI服务请求中移除第二访问令牌;
将SBI服务请求转发到第二生产者NF;
从第二生产者NF接收SBI服务响应;以及
将SBI服务响应转发到第二消费者NF。
20.一种在其上存储有可执行指令的非暂态计算机可读介质,所述可执行指令在由计算机的处理器执行时控制计算机执行包括以下的步骤:
从不支持基于访问令牌的授权的消费者网络功能(NF)截取基于服务的接口(SBI)服务请求,SBI服务请求用于访问由要求基于访问令牌的授权的生产者NF提供的服务;
作为访问令牌授权客户端操作以代表消费者NF获得第一访问令牌;以及
使用第一访问令牌来使消费者NF能够访问由生产者NF提供的服务。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/198,740 US20220295282A1 (en) | 2021-03-11 | 2021-03-11 | Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (sepp) |
US17/198,740 | 2021-03-11 | ||
PCT/US2022/014084 WO2022191931A1 (en) | 2021-03-11 | 2022-01-27 | Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (sepp) |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117121438A true CN117121438A (zh) | 2023-11-24 |
Family
ID=80786954
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280025297.XA Pending CN117121438A (zh) | 2021-03-11 | 2022-01-27 | 用于安全边缘保护代理(sepp)处的委托授权的方法、系统和计算机可读介质 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20220295282A1 (zh) |
EP (1) | EP4305805A1 (zh) |
JP (1) | JP2024509941A (zh) |
CN (1) | CN117121438A (zh) |
WO (1) | WO2022191931A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11811747B2 (en) | 2021-03-11 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for delegated authorization at service communication proxy (SCP) |
US11818102B2 (en) * | 2021-04-16 | 2023-11-14 | Nokia Technologies Oy | Security enhancement on inter-network communication |
US20220353263A1 (en) * | 2021-04-28 | 2022-11-03 | Verizon Patent And Licensing Inc. | Systems and methods for securing network function subscribe notification process |
US20240163661A1 (en) * | 2022-11-15 | 2024-05-16 | Oracle International Corporation | Methods, systems, and computer readable media for securing sensitive data to be transmitted in 5g and subsequent generation networks |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7512973B1 (en) * | 2004-09-08 | 2009-03-31 | Sprint Spectrum L.P. | Wireless-access-provider intermediation to facilliate digital rights management for third party hosted content |
US11245682B2 (en) * | 2018-10-18 | 2022-02-08 | Oracle International Corporation | Adaptive authorization using access token |
JP7412419B2 (ja) * | 2019-04-11 | 2024-01-12 | 株式会社Nttドコモ | ネットワークノード |
EP3963825A4 (en) * | 2019-04-27 | 2023-01-25 | Nokia Technologies Oy | SERVICE AUTHORIZATION FOR INDIRECT COMMUNICATION IN A COMMUNICATION SYSTEM |
JP2021064319A (ja) * | 2019-10-17 | 2021-04-22 | 富士通株式会社 | 通信プログラム、認可サーバ、および、通信システム |
US11032270B1 (en) * | 2020-04-07 | 2021-06-08 | Cyberark Software Ltd. | Secure provisioning and validation of access tokens in network environments |
-
2021
- 2021-03-11 US US17/198,740 patent/US20220295282A1/en active Pending
-
2022
- 2022-01-27 JP JP2023555360A patent/JP2024509941A/ja active Pending
- 2022-01-27 WO PCT/US2022/014084 patent/WO2022191931A1/en active Application Filing
- 2022-01-27 EP EP22704990.5A patent/EP4305805A1/en active Pending
- 2022-01-27 CN CN202280025297.XA patent/CN117121438A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
US20220295282A1 (en) | 2022-09-15 |
WO2022191931A1 (en) | 2022-09-15 |
JP2024509941A (ja) | 2024-03-05 |
EP4305805A1 (en) | 2024-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11844014B2 (en) | Service authorization for indirect communication in a communication system | |
US11943616B2 (en) | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting | |
US11528251B2 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
JP2023548372A (ja) | ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体 | |
JP2023553496A (ja) | 第5世代(5g)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体 | |
CN117121438A (zh) | 用于安全边缘保护代理(sepp)处的委托授权的方法、系统和计算机可读介质 | |
US11811747B2 (en) | Methods, systems, and computer readable media for delegated authorization at service communication proxy (SCP) | |
US11553524B2 (en) | Methods, systems, and computer readable media for resource object level authorization at a network function (NF) | |
CN112335274A (zh) | 用于通信系统中服务访问的安全管理 | |
US11627467B2 (en) | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces | |
CN116686313B (zh) | 用于防止订户标识符泄露的方法、系统和计算机可读介质 | |
US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
WO2021068937A1 (zh) | 服务绑定的方法及装置 | |
WO2023229855A1 (en) | Methods, systems, and computer readable media for utilizing network function (nf) service attributes associated with registered nf service producers in a hierarchical network | |
US20240121199A1 (en) | Methods, systems, and computer readable media for adjusting and using priorities of service/notification request messages at network functions with multiple slice support | |
US20230318960A1 (en) | Methods, systems, and computer readable media for service communication proxy (scp) routing | |
US20240080300A1 (en) | Methods, systems, and computer readable media for automatic category 1 message filtering rules configuration by learning topology information from network function (nf) repository function (nrf) | |
US20240007858A1 (en) | Methods, systems, and computer readable media for managing network function request messages at a security edge protection proxy | |
US20240163660A1 (en) | Methods, systems, and computer readable media for providing shared security edge protection proxy (sepp) for roaming aggregators | |
US20230379690A1 (en) | Methods, systems, and computer readable media for facilitating processing of inter-public land mobile network (plmn) messages relating to existing subscriptions | |
CN116491140A (zh) | 用于入口消息速率限制的方法、系统和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |