CN117528522A - 服务获取方法、信息传输方法、装置及网络功能网元 - Google Patents
服务获取方法、信息传输方法、装置及网络功能网元 Download PDFInfo
- Publication number
- CN117528522A CN117528522A CN202210897769.2A CN202210897769A CN117528522A CN 117528522 A CN117528522 A CN 117528522A CN 202210897769 A CN202210897769 A CN 202210897769A CN 117528522 A CN117528522 A CN 117528522A
- Authority
- CN
- China
- Prior art keywords
- network element
- service
- network function
- access token
- target service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 80
- 230000005540 biological transmission Effects 0.000 title claims abstract description 40
- 230000006399 behavior Effects 0.000 claims abstract description 92
- 230000006870 function Effects 0.000 claims description 490
- 238000012795 verification Methods 0.000 claims description 85
- 230000004044 response Effects 0.000 claims description 31
- 238000012545 processing Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 11
- 238000013475 authorization Methods 0.000 description 26
- 238000010586 diagram Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 6
- 238000007670 refining Methods 0.000 description 6
- 230000003068 static effect Effects 0.000 description 6
- 238000010295 mobile communication Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种服务获取方法、信息传输方法、装置及网络功能网元。服务获取方法包括接收第三网络功能网元发送的指示信息,其中,指示信息用于指示第一网络功能网元在获取目标服务之前需要完成的义务行为;在根据指示信息确定已完成义务行为的情况下,向第三网络功能网元发送访问令牌请求,访问令牌请求用于请求目标服务的访问令牌;接收第三网络功能网元发送的目标服务的访问令牌;向第二网络功能网元发送用于请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌;获取第二网络功能网元在对目标服务的访问令牌验证成功后、提供的目标服务。本发明的方法能够使得网络功能网元适应复杂的网络环境。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种服务获取方法、信息传输方法、装置及网络功能网元。
背景技术
随着B5G网络和6G网络的发展,为了满足多样化场景的业务要求,网络需要实现空、天、地、海立体覆盖以及多种异构网络的融合共存。随着分布式边缘计算以及智能终端设备大量部署计算和存储等资源下沉至边缘节点,需要分布式与集中式协作的云边融合网络来支持。因此未来网络架构将会是集中控制式移动通信网络与开放式互联网相互融合的、集散共存的新型网络架构。
Oauth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。现有的5G网络虽然引入了Oauth2.0的动态授权机制,但是授权粒度仍然是针对网元本身的静态属性,缺乏动态调整能力。尤其是在跨域通信场景中,存在冒用合法网元非法攻击其他网元的可能。依赖于对网元静态属性验证的粗粒度授权无法对网元非法行为进行实时的检测,无法适应未来B5G和6G灵活复杂的网络环境。
发明内容
本发明的目的在于提供一种服务获取方法、信息传输方法、装置及网络功能网元,用以解决现有技术存在的网元授权粒度粗,导致网络功能网元无法适应复杂的网络环境的问题。
为了达到上述目的,第一方面,本发明提供服务获取方法,应用于第一网络功能网元,包括:
接收第三网络功能网元发送的指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
在根据所述指示信息确定已完成所述义务行为的情况下,向所述第三网络功能网元发送访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
接收所述第三网络功能网元发送的所述目标服务的访问令牌,所述目标服务的访问令牌是所述第三网络功能网元在对所述认证信息验证成功后生成的;
向第二网络功能网元发送用于请求提供所述目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
获取所述第二网络功能网元在对所述目标服务的访问令牌验证成功后、提供的所述目标服务。
其中,接收第三网络功能网元发送的指示信息之前,所述方法还包括:
向所述第三网络功能网元发送服务发现请求,所述服务发现请求用于请求所述第三网络功能网元给予能够向所述第一网络功能网元提供所申请的目标服务的网元信息;
所述接收第三网络功能网元发送的指示信息,包括:
接收所述第三网络功能网元基于所述服务发现请求返回的服务发现请求响应,所述服务发现请求响应包括所述网元信息,所述网元信息包括所述指示信息。
其中,所述指示信息包括所述第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识。
其中,所述网元信息还包括网元集合和所述网元集合中每个网元的网络功能属性信息,其中,所述第二网络功能网元为所述网元集合中的一个网元。
其中,所述认证信息包括所述第一网络功能网元获取目标服务之前、已完成服务的服务标识,提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名;
其中,所述服务发生的时间信息用于验证服务的有效性;所述消息验证码基于所述已完成服务的服务标识,所述提供服务的网元标识和所述服务发生的时间信息的哈希运算得到,用于验证网络功能操作的完整性;所述第一签名为提供服务的网元利用私钥对所述已完成服务的服务标识、所述提供服务的网元标识、所述服务发生的时间信息和所述消息验证码的签名。
其中,所述服务请求还包括:服务操作参数,用于指示在网络中已完成的服务操作。
第二方面,本发明还提供一种信息传输方法,应用于第三网络功能网元,包括:
向第一网络功能网元发送指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
接收所述第一网络功能网元发送的访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
对所述认证信息进行验证,并在验证成功后生成所述目标服务的访问令牌;
向所述第一网络功能网元发送所述目标服务的访问令牌。
其中,向第一网络功能网元发送指示信息之前,所述方法还包括:
接收所述第一网络功能网元发送的服务发现请求,所述服务发现请求用于请求所述第三网络功能网元给予能够向所述第一网络功能网元提供所申请的目标服务的网元信息;
基于所述服务发现请求,获取支持目标服务的网络功能网元的第一网络功能属性信息和所述第一网络功能网元的第二网络功能属性信息;
根据所述第一网络功能属性信息和所述第二网络功能属性信息,判断是否允许所述第一网络功能网元发现所申请的目标服务;
若是,则基于所述目标服务查询预设访问控制表,得到所述指示信息;
所述向第一网络功能网元发送指示信息,包括:
向所述第一网络功能网元发送服务发现请求响应,所述服务发现请求响应包括所述网元信息,所述网元信息包括所述指示信息。
其中,所述指示信息包括所述第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识。
其中,所述网元信息还包括网元集合和所述网元集合中每个网元的网络功能属性信息。
其中,所述认证信息包括所述第一网络功能网元获取目标服务之前、已完成服务的服务标识,提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名;
所述对所述认证信息进行验证,包括:
根据所述提供服务的网元标识对应的公钥,验证所述第一签名的合法性;
在所述第一签名合法的情况下,根据所述消息验证码验证网络功能操作的完整性;
在网络功能操作完整的情况下,根据所述服务发生的时间信息验证服务的有效性;
在服务有效的情况下,比对所述已完成服务的服务标识与所述指示信息中所述第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识是否一致;
在比对结果表示一致的情况下,确定验证成功。
第三方面,本发明还提供一种信息传输方法,应用于第二网络功能网元,包括:
接收第一网络功能网元发送的请求提供目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
对所述目标服务的访问令牌进行验证,并在验证成功后向所述第一网络功能网元提供所述目标服务。
其中,所述对所述目标服务的访问令牌进行验证,包括:
获取第二网络功能网元的网络功能属性信息的更新发生时间;
若所述目标服务的访问令牌的生成时间早于所述更新发生时间,则向所述第一网络功能网元发送通知消息,所述通知消息用于通知所述目标服务的访问令牌无效;
若所述目标服务的访问令牌的生成时间晚于所述更新发生时间,则确定验证成功。
第四方面,本发明还提供一种服务获取装置,应用于第一网络功能网元,包括:
第一接收模块,用于接收第三网络功能网元发送的指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
第一发送模块,用于在根据所述指示信息确定已完成所述义务行为的情况下,向所述第三网络功能网元发送访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
第二接收模块,用于接收所述第三网络功能网元发送的所述目标服务的访问令牌,所述目标服务的访问令牌是所述第三网络功能网元在对所述认证信息验证成功后生成的;
第二发送模块,用于向第二网络功能网元发送用于请求提供所述目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
服务获取模块,用于获取所述第二网络功能网元在对所述目标服务的访问令牌验证成功后、提供的所述目标服务。
第五方面,本发明实施例还提供一种信息传输装置,应用于第三网络功能网元,包括:
第四发送模块,用于向第一网络功能网元发送指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
第三接收模块,用于接收所述第一网络功能网元发送的访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
第一处理模块,用于对所述认证信息进行验证,并在验证成功后生成所述目标服务的访问令牌;
第四发送模块,用于向所述第一网络功能网元发送所述目标服务的访问令牌。
第六方面,本发明还提供一种信息传输装置,应用于第二网络功能网元,包括:
第五接收模块,用于接收第一网络功能网元发送的请求提供目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
第三处理模块,用于对所述目标服务的访问令牌进行验证,并在验证成功后向所述第一网络功能网元提供所述目标服务。
第七方面,本发明还提供一种网络功能网元,所述网络功能网元为第一网络功能网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
通过所述收发器接收第三网络功能网元发送的指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
通过所述收发器在根据所述指示信息确定已完成所述义务行为的情况下,向所述第三网络功能网元发送访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
通过所述收发器接收所述第三网络功能网元发送的所述目标服务的访问令牌,所述目标服务的访问令牌是所述第三网络功能网元在对所述认证信息验证成功后生成的;
通过所述收发器向第二网络功能网元发送用于请求提供所述目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
获取所述第二网络功能网元在对所述目标服务的访问令牌验证成功后、提供的所述目标服务。
第八方面,本发明还提供一种网络功能网元,所述网络功能网元为第三网络功能网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
通过所述收发器向第一网络功能网元发送指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
通过所述收发器接收所述第一网络功能网元发送的访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
对所述认证信息进行验证,并在验证成功后生成所述目标服务的访问令牌;
通过所述收发器向所述第一网络功能网元发送所述目标服务的访问令牌。
第九方面,本发明还提供一种网络功能网元,所述网络功能网元为第二网络功能网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
通过所述收发器接收第一网络功能网元发送的请求提供目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
对所述目标服务的访问令牌进行验证,并在验证成功后向所述第一网络功能网元提供所述目标服务。
第十方面,本发明还提供一种网络功能网元,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现如上述第一方面所述的服务获取方法,或者实现如上述第二方面所述的信息传输方法,或者实现如上述第三方面所述的信息传输方法。
第十一方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的服务获取方法中的步骤,或者实现如上述第二方面所述的信息传输方法中的步骤,或者实现如上述第三方面所述的信息传输方法中的步骤。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例中,通过接收第三网络功能网元发送的指示信息,其中,指示信息用于指示第一网络功能网元在获取目标服务之前需要完成的义务行为;在根据指示信息确定已完成义务行为的情况下,向第三网络功能网元发送访问令牌请求,访问令牌请求用于请求目标服务的访问令牌,访问令牌请求包括认证信息,认证信息用于认证第一网络功能网元已完成的义务行为;接收第三网络功能网元发送的目标服务的访问令牌,目标服务的访问令牌是第三网络功能网元在对认证信息验证成功后生成的;向第二网络功能网元发送用于请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌;获取第二网络功能网元在对目标服务的访问令牌验证成功后、提供的目标服务,如此,在第一网络功能网元获取目标服务之前,需要完成规定的义务行为,并通过增加对第一网络功能网元的行为的验证,在验证成功后,第三网络功能网元才将目标服务的访问令牌授予该第一网络功能网元,通过进一步细化网元授权粒度,当第一网络功能网元发生非法行为后,第三网络功能网元可以及时识别并拒绝授权,进而使得网络功能网元可以适应复杂的网络环境。
附图说明
图1表示本发明实施例提供的服务获取方法的流程示意图;
图2表示第一网络功能网元与第二网络功能网元之间执行服务发现的流程示意图;
图3表示第一网络功能网元与第二网络功能网元之间执行访问令牌获取的流程示意图;
图4表示第一网络功能网元与第二网络功能网元之间执行请求服务的流程示意图;
图5表示本发明实施例提供的信息传输方法的流程示意图之一;
图6表示本发明实施例提供的信息传输方法的流程示意图之二;
图7表示本发明实施例提供的服务获取装置的模块示意图;
图8表示本发明实施例提供的信息传输装置的模块示意图之一;
图9表示本发明实施例提供的信息传输装置的模块示意图之二;
图10表示本发明实施例提供的第一网络功能网元的结构示意图;
图11表示本发明实施例提供的第三网络功能网元的结构示意图
图12表示本发明实施例提供的第二网络功能网元的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
为了帮忙理解本发明的相关方案,下面进行如下说明。
第五代移动通信技术(5th Generation Mobile Communication Technology,简称5G)中核心网采用了基于服务的架构(Service-based Architecture,SBA),将网络功能(Network Function,NF)定义为多个相对独立并且可被灵活调用的服务模块,这对创建新服务的方式以及各个NF的通信方式产生了根本性的影响。NF服务生产者通过服务化接口,将自身的能力作为一种服务暴露到网络中,并被其他NF复用;NF服务消费者通过服务化接口的发现获取拥有所需NF服务的NF实例。
5G引入了OAuth2.0授权机制,网络仓储功能(Network Repository Function,NRF)网元作为OAuth授权服务器,为NF网元提供认证和授权服务。NRF网元接收NF网元服务注册信息,维护NF实例的相关信息和支持的服务信息;NRF网元接收NF网元的服务发现请求,返回对应的NF实例信息。
现有的5G网络虽然引入了Oauth2.0的动态授权机制,但是授权粒度仍然是针对网元本身的静态属性,缺乏动态调整能力。尤其是在跨域通信场景中,存在冒用合法网元非法攻击其他网元的可能。例如,在面向垂直行业的5G专网中,部分核心网网元设备会下沉到园区,攻击者有可能作为中间人,获取边缘/下沉网络发送的数据,利用服务化的开放接口攻击核心网网元。依赖于对网元静态属性验证的粗粒度授权无法对网元非法行为进行实时的检测,无法适应未来B5G和6G灵活复杂的网络环境。
为了解决上述问题,本发明提供一种服务获取方法、信息传输方法、装置及网络功能网元。
如图1所示,为本发明实施例提供的服务获取方法的流程示意图。该方法应用于第一网络功能网元,其中,该方法可具体包括以下步骤:
步骤101,接收第三网络功能网元发送的指示信息,其中,指示信息用于指示第一网络功能网元在获取目标服务之前需要完成的义务行为。
可选地,第三NF网元为NRF网元。
可选地,指示信息包括第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识。
可选地,指示信息为义务行为集Obligation Set,其中,Obligation Set的格式为<Service ID1,Service ID2…>。
需要说明的是,初始时,对系统中所有类型的服务配置访问控制策略,除了网元类型、拥有的资源等静态的属性的限制外,按照移动通信网络业务流程规定获取每个服务类型所需执行的义务行为集合,并以访问控制表的形式存储在NRF网元中。
作为一可选地实现方式,步骤101之前,本发明实施例的方法还可包括:
步骤100,向第三网络功能网元发送服务发现请求,服务发现请求用于请求第三网络功能网元给予能够向第一网络功能网元提供所申请的目标服务的网元信息。
本发明实施例中,第一网络功能网元作为NF服务消费者,在获取目标服务之前,并不知道网络中哪些服务生产者(除第一网络功能网元外的其他网络功能网元)可以提供该目标服务和网络中服务生产者的位置。因此需要执行本步骤101,即先向NRF网元发起服务发现请求Nnrf_NFDiscovery_Request。
相应的,步骤101可包括:
步骤1011,接收第三网络功能网元基于服务发现请求返回的服务发现请求响应,服务发现请求响应包括网元信息,网元信息包括指示信息。
在第一网络功能网元向NRF网元(第三网络功能网元)发起服务发现请求之后,NRF网元根据第一网络功能网元想要获取的目标服务的第一网络功能属性信息(如NF profile信息)和第一网络功能网元的第二网络功能属性信息(如NF profile信息),判断第一网络功能网元是否允许发现该第一网络功能网元申请的目标服务;若验证成功,向第一网络功能网元返回的服务发现请求响应Nrf_NFDiscovery_Request Response中包括网元信息,该网元信息包括指示信息。
其中,关于服务发现过程涉及的第一网络功能网元与第三网络功能网元之间的交互可参见图2。
若验证失败,向第一网络功能网元返回的服务发现请求响应中包括验证失败的原因。
步骤102,在根据指示信息确定已完成义务行为的情况下,向第三网络功能网元发送访问令牌请求,访问令牌请求用于请求目标服务的访问令牌,访问令牌请求包括认证信息,认证信息用于认证第一网络功能网元已完成的义务行为。
其中,向第三网络功能网元发送访问令牌请求,即向第三网络功能网元发送Nnrf_AccessToken_Get Request。
具体的,根据指示信息中义务行为的服务标识进行自检,判断是否已完成获取目标服务之前需要完成的义务行为,若判断结果为是,则生成认证信息。其中认证信息包含于访问令牌请求中,以使第三网络功网元对该认证信息进行验证,其目的是在第三网络功能网元侧验证第一网络功能网元是否已完成需要完成的义务行为。
可选地,认证信息包括第一网络功能网元获取目标服务之前、已完成服务的服务标识,提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名。
其中,服务发生的时间信息用于验证服务的有效性;消息验证码基于已完成服务的服务标识,提供服务的网元标识和服务发生的时间信息的哈希运算得到,用于验证网络功能操作的完整性;第一签名为提供服务的网元利用私钥对已完成服务的服务标识、提供服务的网元标识、服务发生的时间信息和消息验证码的签名。
可选地,认证信息为操作集Operation Set,其中,Operation Set格式和内容如下:
<
<Service ID1,NF ID1,Timestamp,HMAC,sign1>;
Service ID2,NF ID2,Timestamp,HMAC,sign2>
…>
其中,Service ID是已完成服务的服务标识,NF ID是提供服务的网元标识;Timestamp是服务发生的时间信息,具体为服务发生的时间戳;HMAC是消息验证码,HMAC=Hash(Service ID,NF ID,Timestamp);sign是提供该服务的网元利用私钥对(Service ID,NF ID,Timestamp,HMAC)的签名。
需要说明的是,获取目标服务之前需要完成的义务行为可能不只一个,因此Operation Set可以包含多个<Service ID,NF ID,Timestamp,HMAC,sign>。
步骤103,接收第三网络功能网元发送的目标服务的访问令牌,目标服务的访问令牌是第三网络功能网元在对认证信息验证成功后生成的。
具体的,接收第三网络功能网元在执行认证信息验证成功后发送的访问令牌请求响应,即Nnrf_AccessToken_Get request Response,其中访问令牌请求响应携带有目标服务的访问令牌。
这里,目标服务的访问令牌是第三网络功能网元在对认证信息验证成功后生成的,也就是说只有在第三网络功能网元在验证第一网络功能网元已完成需要完成的义务行为,即验证成功后,方可生成目标服务的访问令牌,并发送给第一网络功能网元,这样做的目的是,为了在第一网络功能网元发生非法行为后,第三网络功能网元可以及时识别并拒绝授权。
具体的第三网络功能网元对认证信息的验证过程可详见第三网络功能网元为执行主体的信息传输方法的实施例。
具体的,关于访问令牌获取过程(即请求授权过程)涉及的第一网络功能网元与第三网络功能网元之间的交互可参见图3。
步骤104,向第二网络功能网元发送用于请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌。
这里,向第二网络功能网元发送用于请求提供目标服务的服务请求,即向第二网络功能网元发送NF Service request。
可选地,网元信息还包括网元集合和网元集合中每个网元的网络功能属性信息,其中,第二网络功能网元为网元集合中的一个网元。
步骤105,获取第二网络功能网元在对目标服务的访问令牌验证成功后、提供的目标服务。
这里,第二网络功能网元作为服务生产者,对目标服务的访问令牌进行验证,是验证访问令牌的合法性和有效性。
具体的,关于请求服务过程涉及的第一网络功能网元与第二网络功能网元之间的交互可参见图4。
可选地,服务请求还包括:服务操作参数,用于指示在网络中已完成的服务操作。
这里,服务操作参数包括已完成服务的服务标识、提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名。
需要说明的是,在服务请求中增加服务操作参数,其目的是用于在服务生产者作为服务消费者向网络中其他网元申请服务时使用,以保证网络中服务的连续性。
本发明实施例的服务获取方法,在第一网络功能网元获取目标服务之前,需要完成规定的义务行为,并通过增加对第一网络功能网元的行为的验证,在验证成功后,第三网络功能网元才将目标服务的访问令牌授予该第一网络功能网元,通过进一步细化网元授权粒度,当第一网络功能网元发生非法行为后,第三网络功能网元可以及时识别并拒绝授权,进而使得网络功能网元可以适应复杂的网络环境。
如图5所示,为本发明实施例提供的信息传输方法的流程示意图。该方法应用于第三网络功能网元,其中,该方法可具体包括以下步骤:
步骤501,向第一网络功能网元发送指示信息,其中,指示信息用于指示第一网络功能网元在获取目标服务之前需要完成的义务行为。
可选地,第三网络功能网元为NRF网元。
可选地,指示信息包括第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识。
可选地,指示信息为义务行为集Obligation Set,其中,Obligation Set的格式为<Service ID1,Service ID2…>。
作为一可选地实现方式,在步骤501之前,本发明实施例的方法还包括:
S1:接收第一网络功能网元发送的服务发现请求,服务发现请求用于请求第三网络功能网元给予能够向第一网络功能网元提供所申请的目标服务的网元信息。
由于第一网络功能网元作为NF服务消费者,在获取目标服务之前,并不知道网络中哪些服务生产者(除第一网络功能网元外的其他网络功能网元)可以提供该目标服务和网络中服务生产者的位置。因此需要先向NRF网元发起服务发现请求Nnrf_NFDiscovery_Request。相应的,NRF网元接收第一网络功能网元发送的服务发现请求。
S2:基于服务发现请求,获取支持目标服务的网络功能网元的第一网络功能属性信息和第一网络功能网元的第二网络功能属性信息。
需要说明的是,第三网络功能网元预先存储有大量网元的网络功能属性信息(如NF profile信息),其中包括支持目标服务的网络功能网元的第一网络功能属性信息和第一网络功能网元的第二网络功能属性信息。
S3:根据第一网络功能属性信息和第二网络功能属性信息,判断是否允许第一网络功能网元发现所申请的目标服务。
这里,判断是否允许第一网络功能网元发现所申请的目标服务的标准是预先设定的。
S4:若是,则基于目标服务查询预设访问控制表,得到指示信息。
需要说明的是,初始时,对系统中所有类型的服务配置访问控制策略,除了网元类型、拥有的资源等静态的属性的限制外,按照移动通信网络业务流程规定获取每个服务类型所需执行的义务行为集合,并以访问控制表的形式存储在NRF网元中。
其中,服务访问控制表的格式如下表示:
其中,Obligation Set规定为了获取网元支持的目标服务需要完成的义务行为集合。例如,在5G核心网中AUSF网元想向UDM网元进行认证请求服务,需要先由AMF网元向AUSF网元发起认证请求。
相应的,步骤501可包括:
步骤5011,向第一网络功能网元发送服务发现请求响应,服务发现请求响应包括网元信息,网元信息包括指示信息。
具体的,向第一网络功能网元发送Nrf_NFDiscovery_Request Response,Nrf_NFDiscovery_Request Response包括网元信息,该网元信息包括指示信息。
可选地,网元信息还包括网元集合和网元集合中每个网元的网络功能属性信息。
这里,网元集合和网元集合中每个网元的网络功能属性信息是为了使第一网络功能网元基于手上述信息选择第二网络功能网元为其提供目标服务。
步骤502,接收第一网络功能网元发送的访问令牌请求,访问令牌请求用于请求目标服务的访问令牌,访问令牌请求包括认证信息,认证信息用于认证第一网络功能网元已完成的义务行为。
这里,第一网络功能网元根据指示信息中义务行为的服务标识进行自检,判断是否已完成获取目标服务之前需要完成的义务行为,若判断结果为是,则生成认证信息。其中认证信息包含于访问令牌请求中,以使第三网络功网元对该认证信息进行验证,其目的是在第三网络功能网元侧验证第一网络功能网元是否已完成需要完成的义务行为。
具体的,接收第一网络功能网元发送的访问令牌请求Nnrf_AccessToken_GetRequest,Nnrf_AccessToken_Get Request包括认证信息。
步骤503,对认证信息进行验证,并在验证成功后生成目标服务的访问令牌。
可选地,认证信息包括第一网络功能网元获取目标服务之前、已完成服务的服务标识,提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名。
相应的,步骤503中,对认证信息进行验证可包括:
步骤5031,根据提供服务的网元标识对应的公钥,验证第一签名的合法性。
步骤5032,在第一签名合法的情况下,根据消息验证码验证网络功能操作的完整性。
步骤5033,在网络功能操作完整的情况下,根据服务发生的时间信息验证服务的有效性。
步骤5034,在服务有效的情况下,比对已完成服务的服务标识与指示信息中第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识是否一致。
步骤5035,在比对结果表示一致的情况下,确定验证成功。
之后,在验证成功后生成目标服务的访问令牌。若对比结果表示不一致,则确定验证失败,表明第一网络功能网元可能发生非法行为,第三网络功能网元拒绝授权,即禁止生成目标服务的访问令牌。
步骤504,向第一网络功能网元发送目标服务的访问令牌。
具体的,第三网络功能网元向第一网络功能网元发送访问令牌请求响应Nnrf_AccessToken_Get request Response,Nnrf_AccessToken_Get request Response包括目标服务的访问令牌。
本发明实施例的信息传输方法,通过向第一网络功能网元发送指示信息,其中,指示信息用于指示第一网络功能网元在获取目标服务之前需要完成的义务行为;接收第一网络功能网元发送的访问令牌请求,访问令牌请求用于请求目标服务的访问令牌,访问令牌请求包括认证信息,认证信息用于认证第一网络功能网元已完成的义务行为;对认证信息进行验证,并在验证成功后生成目标服务的访问令牌;向第一网络功能网元发送目标服务的访问令牌,如此,通过认证信息实现对第一网络功能网元的行为的验证,在验证成功后,第三网络功能网元才将目标服务的访问令牌授予该第一网络功能网元,通过进一步细化网元授权粒度,当第一网络功能网元发生非法行为后,第三网络功能网元可以及时识别并拒绝授权,进而使得网络功能网元可以适应复杂的网络环境。
如图6所示,为本发明实施例提供的信息传输方法的流程示意图。该方法应用于第二网络功能网元,其中,该方法可具体包括以下步骤:
步骤601,接收第一网络功能网元发送的请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌。
具体的,接收第一网络功能网元发送的请求提供目标服务的服务请求,即向接收第一网络功能网元发送的NF Service request。
步骤602,对目标服务的访问令牌进行验证,并在验证成功后向第一网络功能网元提供目标服务。
这里,第二网络功能网元作为服务生产者,对目标服务的访问令牌进行验证,是验证访问令牌的合法性和有效性。
作为一可选地实现方式,步骤602中对目标服务的访问令牌进行验证,可包括:
步骤6021,获取第二网络功能网元的网络功能属性信息的更新发生时间。
步骤6022,若目标服务的访问令牌的生成时间早于更新发生时间,则向第一网络功能网元发送通知消息,通知消息用于通知目标服务的访问令牌无效。
目标服务的访问令牌的生成时间早于更新发生时间,说明在生成目标服务的访问令牌之后,作为服务生产者的第二网络功能网元发生了一些属性的更新,原来生成的目标服务的访问令牌与当前的第二网络功能网元的网络功能属性信息不匹配了,所以原来目标服务的访问令牌无效。
这里,通知消息用于通知第一网络功能网元其发送的目标服务的访问令牌无效,需要重新从第三网络功能网元获取目标服务的访问令牌。
步骤6023,若目标服务的访问令牌的生成时间晚于更新发生时间,则确定验证成功。
本发明实施例的信息传输方法,在第一网络功能网元获取目标服务之前,需要完成规定的义务行为,并通过增加对第一网络功能网元的行为的验证,在验证成功后,第三网络功能网元才将目标服务的访问令牌授予该第一网络功能网元,进而接收第一网络功能网元发送的请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌;对目标服务的访问令牌进行验证,并在验证成功后向第一网络功能网元提供目标服务,从而保证网络系统中完整的服务链安全,提高网络系统的安全性。
为了更好的实现上述目的,如图7所示,本发明实施例还提供一种服务获取装置,应用于第一网络功能网元,包括:
第一接收模块701,用于接收第三网络功能网元发送的指示信息,其中,指示信息用于指示第一网络功能网元在获取目标服务之前需要完成的义务行为;
第一发送模块702,用于在根据指示信息确定已完成义务行为的情况下,向第三网络功能网元发送访问令牌请求,访问令牌请求用于请求目标服务的访问令牌,访问令牌请求包括认证信息,认证信息用于认证第一网络功能网元已完成的义务行为;
第二接收模块703,用于接收第三网络功能网元发送的目标服务的访问令牌,目标服务的访问令牌是第三网络功能网元在对认证信息验证成功后生成的;
第二发送模块704,用于向第二网络功能网元发送用于请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌;
服务获取模块705,用于获取第二网络功能网元在对目标服务的访问令牌验证成功后、提供的目标服务。
可选地,本发明实施例的服务获取装置还包括:
第三发送模块,用于向第三网络功能网元发送服务发现请求,服务发现请求用于请求第三网络功能网元给予能够向第一网络功能网元提供所申请的目标服务的网元信息;
相应的,第一接收模块701包括:
第一接收单元,用于接收第三网络功能网元基于服务发现请求返回的服务发现请求响应,服务发现请求响应包括网元信息,网元信息包括指示信息。
可选地,指示信息包括第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识。
可选地,网元信息还包括网元集合和网元集合中每个网元的网络功能属性信息,其中,第二网络功能网元为网元集合中的一个网元。
可选地,认证信息包括第一网络功能网元获取目标服务之前、已完成服务的服务标识,提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名;
其中,服务发生的时间信息用于验证服务的有效性;消息验证码基于已完成服务的服务标识,提供服务的网元标识和服务发生的时间信息的哈希运算得到,用于验证网络功能操作的完整性;第一签名为提供服务的网元利用私钥对已完成服务的服务标识、提供服务的网元标识、服务发生的时间信息和消息验证码的签名。
可选地,服务请求还包括:服务操作参数,用于指示在网络中已完成的服务操作。
本发明实施例的服务获取装置,在第一网络功能网元获取目标服务之前,需要完成规定的义务行为,并通过增加对第一网络功能网元的行为的验证,在验证成功后,第三网络功能网元才将目标服务的访问令牌授予该第一网络功能网元,通过进一步细化网元授权粒度,当第一网络功能网元发生非法行为后,第三网络功能网元可以及时识别并拒绝授权,进而使得网络功能网元可以适应复杂的网络环境。
如图8所示,本发明实施例还提供一种信息传输装置,应用于第三网络功能网元,包括:
第四发送模块801,用于向第一网络功能网元发送指示信息,其中,指示信息用于指示第一网络功能网元在获取目标服务之前需要完成的义务行为;
第三接收模块802,用于接收第一网络功能网元发送的访问令牌请求,访问令牌请求用于请求目标服务的访问令牌,访问令牌请求包括认证信息,认证信息用于认证第一网络功能网元已完成的义务行为;
第一处理模块803,用于对认证信息进行验证,并在验证成功后生成目标服务的访问令牌;
第四发送模块804,用于向第一网络功能网元发送目标服务的访问令牌。
可选地,本发明实施例的信息传输装置还包括:
第四接收模块,用于接收第一网络功能网元发送的服务发现请求,服务发现请求用于请求第三网络功能网元给予能够向第一网络功能网元提供所申请的目标服务的网元信息;
第一获取模块,用于基于服务发现请求,获取支持目标服务的网络功能网元的第一网络功能属性信息和第一网络功能网元的第二网络功能属性信息;
判断模块,用于根据第一网络功能属性信息和第二网络功能属性信息,判断是否允许第一网络功能网元发现所申请的目标服务;
第二处理模块,用于在判断结果为是的情况下,基于目标服务查询预设访问控制表,得到指示信息;
相应的,第四发送模块801包括:
第一发送单元,用于向第一网络功能网元发送服务发现请求响应,服务发现请求响应包括网元信息,网元信息包括指示信息。
可选地,所述指示信息包括所述第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识。
可选地,所述网元信息还包括网元集合和所述网元集合中每个网元的网络功能属性信息。
可选地,所述认证信息包括所述第一网络功能网元获取目标服务之前、已完成服务的服务标识,提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名;
相应的,第一处理模块803包括:
第一处理单元,用于根据所述提供服务的网元标识对应的公钥,验证所述第一签名的合法性;
第二处理单元,用于在所述第一签名合法的情况下,根据所述消息验证码验证网络功能操作的完整性;
第三处理单元,用于在网络功能操作完整的情况下,根据所述服务发生的时间信息验证服务的有效性;
第四处理单元,用于在服务有效的情况下,比对所述已完成服务的服务标识与所述指示信息中所述第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识是否一致;
第五处理单元,用于在比对结果表示一致的情况下,确定验证成功。
本发明实施例的信息传输装置,通过认证信息实现对第一网络功能网元的行为的验证,在验证成功后,第三网络功能网元才将目标服务的访问令牌授予该第一网络功能网元,通过进一步细化网元授权粒度,当第一网络功能网元发生非法行为后,第三网络功能网元可以及时识别并拒绝授权,进而使得网络功能网元可以适应复杂的网络环境。
如图9所示,本发明实施例还提供一种信息传输装置,应用于第二网络功能网元,包括:
第五接收模块901,用于接收第一网络功能网元发送的请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌;
第三处理模块902,用于对目标服务的访问令牌进行验证,并在验证成功后向第一网络功能网元提供目标服务。
可选地,第三处理模块902包括:
获取单元,用于获取第二网络功能网元的网络功能属性信息的更新发生时间;
第二发送单元,用于在目标服务的访问令牌的生成时间早于更新发生时间的情况下,向第一网络功能网元发送通知消息,通知消息用于通知目标服务的访问令牌无效;
第六处理单元,用于目标服务的访问令牌的生成时间晚于更新发生时间的情况下,确定验证成功。
本发明实施例的信息传输装置,在第一网络功能网元获取目标服务之前,需要完成规定的义务行为,并通过增加对第一网络功能网元的行为的验证,在验证成功后,第三网络功能网元才将目标服务的访问令牌授予该第一网络功能网元,进而接收第一网络功能网元发送的请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌;对目标服务的访问令牌进行验证,并在验证成功后向第一网络功能网元提供目标服务,从而保证网络系统中完整的服务链安全,提高网络系统的安全性。
如图10所示,本发明实施例还提供一种网络功能网元,所述网络功能网元为第一网络功能网元,包括处理器1000和收发器1010,所述收发器1010在处理器1000的控制下接收和发送数据,所述处理器1000用于执行如下过程:
通过收发器1010接收第三网络功能网元发送的指示信息,其中,指示信息用于指示第一网络功能网元在获取目标服务之前需要完成的义务行为;
通过收发器1010在根据指示信息确定已完成义务行为的情况下,向第三网络功能网元发送访问令牌请求,访问令牌请求用于请求目标服务的访问令牌,访问令牌请求包括认证信息,认证信息用于认证第一网络功能网元已完成的义务行为;
通过收发器1010接收第三网络功能网元发送的目标服务的访问令牌,目标服务的访问令牌是第三网络功能网元在对认证信息验证成功后生成的;
通过收发器1010向第二网络功能网元发送用于请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌;
获取第二网络功能网元在对目标服务的访问令牌验证成功后、提供的目标服务。
可选地,收发器1010还用于:
向第三网络功能网元发送服务发现请求,服务发现请求用于请求第三网络功能网元给予能够向第一网络功能网元提供所申请的目标服务的网元信息;
接收第三网络功能网元基于服务发现请求返回的服务发现请求响应,服务发现请求响应包括网元信息,网元信息包括指示信息。
可选地,指示信息包括第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识。
可选地,网元信息还包括网元集合和网元集合中每个网元的网络功能属性信息,其中,第二网络功能网元为网元集合中的一个网元。
可选地,认证信息包括第一网络功能网元获取目标服务之前、已完成服务的服务标识,提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名;
其中,服务发生的时间信息用于验证服务的有效性;消息验证码基于已完成服务的服务标识,提供服务的网元标识和服务发生的时间信息的哈希运算得到,用于验证网络功能操作的完整性;第一签名为提供服务的网元利用私钥对已完成服务的服务标识、提供服务的网元标识、服务发生的时间信息和消息验证码的签名。
可选地,服务请求还包括:服务操作参数,用于指示在网络中已完成的服务操作。
本发明实施例的网络功能网元,在第一网络功能网元获取目标服务之前,需要完成规定的义务行为,并通过增加对第一网络功能网元的行为的验证,在验证成功后,第三网络功能网元才将目标服务的访问令牌授予该第一网络功能网元,通过进一步细化网元授权粒度,当第一网络功能网元发生非法行为后,第三网络功能网元可以及时识别并拒绝授权,进而使得网络功能网元可以适应复杂的网络环境。
如图11所示,本发明实施例还提供一种网络功能网元,所述网络功能网元为第三网络功能网元,包括处理器1100和收发器1110,所述收发器1110在处理器1100的控制下接收和发送数据,所述处理器1100用于执行如下过程:
通过收发器1110向第一网络功能网元发送指示信息,其中,指示信息用于指示第一网络功能网元在获取目标服务之前需要完成的义务行为;
通过收发器1110接收第一网络功能网元发送的访问令牌请求,访问令牌请求用于请求目标服务的访问令牌,访问令牌请求包括认证信息,认证信息用于认证第一网络功能网元已完成的义务行为;
对认证信息进行验证,并在验证成功后生成目标服务的访问令牌;
通过收发器1110向第一网络功能网元发送目标服务的访问令牌
可选地,收发器1110还用于:
接收第一网络功能网元发送的服务发现请求,服务发现请求用于请求第三网络功能网元给予能够向第一网络功能网元提供所申请的目标服务的网元信息;
可选地,处理器1100还用于:
基于服务发现请求,获取支持目标服务的网络功能网元的第一网络功能属性信息和第一网络功能网元的第二网络功能属性信息;
根据第一网络功能属性信息和第二网络功能属性信息,判断是否允许第一网络功能网元发现所申请的目标服务;
若是,则基于目标服务查询预设访问控制表,得到指示信息;
可选地,收发器1110还用于:
向第一网络功能网元发送服务发现请求响应,服务发现请求响应包括网元信息,网元信息包括指示信息。
可选地,指示信息包括第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识。
可选地,网元信息还包括网元集合和网元集合中每个网元的网络功能属性信息。
可选地,认证信息包括第一网络功能网元获取目标服务之前、已完成服务的服务标识,提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名;
可选地,处理器1100还用于:
根据提供服务的网元标识对应的公钥,验证第一签名的合法性;
在第一签名合法的情况下,根据消息验证码验证网络功能操作的完整性;
在网络功能操作完整的情况下,根据服务发生的时间信息验证服务的有效性;
在服务有效的情况下,比对已完成服务的服务标识与指示信息中第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识是否一致;
在比对结果表示一致的情况下,确定验证成功。
本发明实施例的网络功能网元,通过认证信息实现对第一网络功能网元的行为的验证,在验证成功后,第三网络功能网元才将目标服务的访问令牌授予该第一网络功能网元,通过进一步细化网元授权粒度,当第一网络功能网元发生非法行为后,第三网络功能网元可以及时识别并拒绝授权,进而使得网络功能网元可以适应复杂的网络环境。
如图12所示,本发明实施例还提供一种网络功能网元,所述网络功能网元为第二网络功能网元,包括处理器1200和收发器1210,所述收发器1210在处理器1200的控制下接收和发送数据,所述处理器1200用于执行如下过程:
通过收发器1210接收第一网络功能网元发送的请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌;
对目标服务的访问令牌进行验证,并在验证成功后向第一网络功能网元提供目标服务。
可选地,处理器1200还用于:
获取第二网络功能网元的网络功能属性信息的更新发生时间;
若目标服务的访问令牌的生成时间早于更新发生时间,则向第一网络功能网元发送通知消息,通知消息用于通知目标服务的访问令牌无效;
若目标服务的访问令牌的生成时间晚于更新发生时间,则确定验证成功。
本发明实施例的信息传输装置,在第一网络功能网元获取目标服务之前,需要完成规定的义务行为,并通过增加对第一网络功能网元的行为的验证,在验证成功后,第三网络功能网元才将目标服务的访问令牌授予该第一网络功能网元,进而接收第一网络功能网元发送的请求提供目标服务的服务请求,服务请求包括目标服务的访问令牌;对目标服务的访问令牌进行验证,并在验证成功后向第一网络功能网元提供目标服务,从而保证网络系统中完整的服务链安全,提高网络系统的安全性。
本发明实施例还提供一种网络功能网元,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,当网络功能网元为第一网络功能网元,所述处理器执行所述程序时实现如上所述的服务获取方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述;当网络功能网元为第三网络功能网元,所述处理器执行所述程序时实现如上所述的信息传输方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述;当网络功能网元为第二网络功能网元,,所述处理器执行所述程序时实现如上所述的信息传输方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的服务获取方法、或者实现上述信息传输方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random AccessMemory,简称RAM)、磁碟或者光盘等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储介质中,使得存储在该计算机可读存储介质中的指令产生包括指令装置的纸制品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他科编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (21)
1.一种服务获取方法,应用于第一网络功能网元,其特征在于,包括:
接收第三网络功能网元发送的指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
在根据所述指示信息确定已完成所述义务行为的情况下,向所述第三网络功能网元发送访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
接收所述第三网络功能网元发送的所述目标服务的访问令牌,所述目标服务的访问令牌是所述第三网络功能网元在对所述认证信息验证成功后生成的;
向第二网络功能网元发送用于请求提供所述目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
获取所述第二网络功能网元在对所述目标服务的访问令牌验证成功后、提供的所述目标服务。
2.根据权利要求1所述的方法,其特征在于,接收第三网络功能网元发送的指示信息之前,所述方法还包括:
向所述第三网络功能网元发送服务发现请求,所述服务发现请求用于请求所述第三网络功能网元给予能够向所述第一网络功能网元提供所申请的目标服务的网元信息;
所述接收第三网络功能网元发送的指示信息,包括:
接收所述第三网络功能网元基于所述服务发现请求返回的服务发现请求响应,所述服务发现请求响应包括所述网元信息,所述网元信息包括所述指示信息。
3.根据权利要求1或2所述的方法,其特征在于,所述指示信息包括所述第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识。
4.根据权利要求2所述的方法,其特征在于,所述网元信息还包括网元集合和所述网元集合中每个网元的网络功能属性信息,其中,所述第二网络功能网元为所述网元集合中的一个网元。
5.根据权利要求1所述的方法,其特征在于,所述认证信息包括所述第一网络功能网元获取目标服务之前、已完成服务的服务标识,提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名;
其中,所述服务发生的时间信息用于验证服务的有效性;所述消息验证码基于所述已完成服务的服务标识,所述提供服务的网元标识和所述服务发生的时间信息的哈希运算得到,用于验证网络功能操作的完整性;所述第一签名为提供服务的网元利用私钥对所述已完成服务的服务标识、所述提供服务的网元标识、所述服务发生的时间信息和所述消息验证码的签名。
6.根据权利要求1所述的方法,其特征在于,所述服务请求还包括:服务操作参数,用于指示在网络中已完成的服务操作。
7.一种信息传输方法,应用于第三网络功能网元,其特征在于,包括:
向第一网络功能网元发送指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
接收所述第一网络功能网元发送的访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
对所述认证信息进行验证,并在验证成功后生成所述目标服务的访问令牌;
向所述第一网络功能网元发送所述目标服务的访问令牌。
8.根据权利要求7所述的方法,其特征在于,向第一网络功能网元发送指示信息之前,所述方法还包括:
接收所述第一网络功能网元发送的服务发现请求,所述服务发现请求用于请求所述第三网络功能网元给予能够向所述第一网络功能网元提供所申请的目标服务的网元信息;
基于所述服务发现请求,获取支持目标服务的网络功能网元的第一网络功能属性信息和所述第一网络功能网元的第二网络功能属性信息;
根据所述第一网络功能属性信息和所述第二网络功能属性信息,判断是否允许所述第一网络功能网元发现所申请的目标服务;
若是,则基于所述目标服务查询预设访问控制表,得到所述指示信息;
所述向第一网络功能网元发送指示信息,包括:
向所述第一网络功能网元发送服务发现请求响应,所述服务发现请求响应包括所述网元信息,所述网元信息包括所述指示信息。
9.根据权利要求7或8所述的方法,其特征在于,所述指示信息包括所述第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识。
10.根据权利要求8所述的方法,其特征在于,所述网元信息还包括网元集合和所述网元集合中每个网元的网络功能属性信息。
11.根据权利要求7所述的方法,其特征在于,所述认证信息包括所述第一网络功能网元获取目标服务之前、已完成服务的服务标识,提供服务的网元标识、服务发生的时间信息,消息验证码和第一签名;
所述对所述认证信息进行验证,包括:
根据所述提供服务的网元标识对应的公钥,验证所述第一签名的合法性;
在所述第一签名合法的情况下,根据所述消息验证码验证网络功能操作的完整性;
在网络功能操作完整的情况下,根据所述服务发生的时间信息验证服务的有效性;
在服务有效的情况下,比对所述已完成服务的服务标识与所述指示信息中所述第一网络功能网元在获取目标服务之前需要完成的义务行为的服务标识是否一致;
在比对结果表示一致的情况下,确定验证成功。
12.一种信息传输方法,应用于第二网络功能网元,其特征在于,包括:
接收第一网络功能网元发送的请求提供目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
对所述目标服务的访问令牌进行验证,并在验证成功后向所述第一网络功能网元提供所述目标服务。
13.根据权利要求12所述的方法,其特征在于,所述对所述目标服务的访问令牌进行验证,包括:
获取第二网络功能网元的网络功能属性信息的更新发生时间;
若所述目标服务的访问令牌的生成时间早于所述更新发生时间,则向所述第一网络功能网元发送通知消息,所述通知消息用于通知所述目标服务的访问令牌无效;
若所述目标服务的访问令牌的生成时间晚于所述更新发生时间,则确定验证成功。
14.一种服务获取装置,应用于第一网络功能网元,其特征在于,包括:
第一接收模块,用于接收第三网络功能网元发送的指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
第一发送模块,用于在根据所述指示信息确定已完成所述义务行为的情况下,向所述第三网络功能网元发送访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
第二接收模块,用于接收所述第三网络功能网元发送的所述目标服务的访问令牌,所述目标服务的访问令牌是所述第三网络功能网元在对所述认证信息验证成功后生成的;
第二发送模块,用于向第二网络功能网元发送用于请求提供所述目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
服务获取模块,用于获取所述第二网络功能网元在对所述目标服务的访问令牌验证成功后、提供的所述目标服务。
15.一种信息传输装置,应用于第三网络功能网元,其特征在于,包括:
第四发送模块,用于向第一网络功能网元发送指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
第三接收模块,用于接收所述第一网络功能网元发送的访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
第一处理模块,用于对所述认证信息进行验证,并在验证成功后生成所述目标服务的访问令牌;
第四发送模块,用于向所述第一网络功能网元发送所述目标服务的访问令牌。
16.一种信息传输装置,应用于第二网络功能网元,其特征在于,包括:
第五接收模块,用于接收第一网络功能网元发送的请求提供目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
第三处理模块,用于对所述目标服务的访问令牌进行验证,并在验证成功后向所述第一网络功能网元提供所述目标服务。
17.一种网络功能网元,所述网络功能网元为第一网络功能网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
通过所述收发器接收第三网络功能网元发送的指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
通过所述收发器在根据所述指示信息确定已完成所述义务行为的情况下,向所述第三网络功能网元发送访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
通过所述收发器接收所述第三网络功能网元发送的所述目标服务的访问令牌,所述目标服务的访问令牌是所述第三网络功能网元在对所述认证信息验证成功后生成的;
通过所述收发器向第二网络功能网元发送用于请求提供所述目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
获取所述第二网络功能网元在对所述目标服务的访问令牌验证成功后、提供的所述目标服务。
18.一种网络功能网元,所述网络功能网元为第三网络功能网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
通过所述收发器向第一网络功能网元发送指示信息,其中,所述指示信息用于指示所述第一网络功能网元在获取目标服务之前需要完成的义务行为;
通过所述收发器接收所述第一网络功能网元发送的访问令牌请求,所述访问令牌请求用于请求所述目标服务的访问令牌,所述访问令牌请求包括认证信息,所述认证信息用于认证所述第一网络功能网元已完成的义务行为;
对所述认证信息进行验证,并在验证成功后生成所述目标服务的访问令牌;
通过所述收发器向所述第一网络功能网元发送所述目标服务的访问令牌。
19.一种网络功能网元,所述网络功能网元为第二网络功能网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
通过所述收发器接收第一网络功能网元发送的请求提供目标服务的服务请求,所述服务请求包括所述目标服务的访问令牌;
对所述目标服务的访问令牌进行验证,并在验证成功后向所述第一网络功能网元提供所述目标服务。
20.一种网络功能网元,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述的服务获取方法,或者实现如权利要求7至11任一项所述的信息传输方法,或者实现如权利要求12或13所述的信息传输方法。
21.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6任一项所述的服务获取方法中的步骤,或者实现如权利要求7至11任一项所述的信息传输方法中的步骤,或者实现如权利要求12或13所述的信息传输方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210897769.2A CN117528522A (zh) | 2022-07-28 | 2022-07-28 | 服务获取方法、信息传输方法、装置及网络功能网元 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210897769.2A CN117528522A (zh) | 2022-07-28 | 2022-07-28 | 服务获取方法、信息传输方法、装置及网络功能网元 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117528522A true CN117528522A (zh) | 2024-02-06 |
Family
ID=89742542
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210897769.2A Pending CN117528522A (zh) | 2022-07-28 | 2022-07-28 | 服务获取方法、信息传输方法、装置及网络功能网元 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117528522A (zh) |
-
2022
- 2022-07-28 CN CN202210897769.2A patent/CN117528522A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107483509B (zh) | 一种身份验证方法、服务器及可读存储介质 | |
EP3668042B1 (en) | Registration method and apparatus based on service-oriented architecture | |
CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
CN109451061B (zh) | 区块链的合约调整处理方法和系统 | |
CN105516135B (zh) | 用于账号登录的方法和装置 | |
CN112491829B (zh) | 基于5g核心网和区块链的mec平台身份认证方法及装置 | |
EP3391609B1 (en) | A method and apparatus for trust based authentication in sdn clustering | |
CN114978635B (zh) | 跨域认证方法及装置、用户注册方法及装置 | |
CN116783866A (zh) | 对5g核心(5gc)授权的网络功能(nf)储存库功能(nrf)访问令牌公钥进行自动密钥管理以减轻安全攻击的方法、系统和计算机可读介质 | |
CN108768928B (zh) | 一种信息获取方法、终端及服务器 | |
CN113536284A (zh) | 一种数字证书的验证方法、装置、设备和存储介质 | |
CN111866993B (zh) | 无线局域网连接管理方法、装置、软件程序及存储介质 | |
CN112702337A (zh) | 一种区块节点数据的授权处理方法、装置和计算机设备 | |
CN112640360B (zh) | 用于对认证信息的设定进行中介的装置及方法 | |
CN112953986A (zh) | 一种边缘应用的管理方法及装置 | |
CN117528522A (zh) | 服务获取方法、信息传输方法、装置及网络功能网元 | |
CN112804063B (zh) | 一种级联方法及相关装置 | |
EP4207676A1 (en) | Method and apparatus for establishing secure communication | |
CN106576245B (zh) | 用户设备邻近请求认证 | |
CN114499981A (zh) | 一种视频访问方法及装置 | |
CN113111335B (zh) | 一种认证方法、装置、设备及存储介质 | |
CN110661777A (zh) | 数据传输方法及系统 | |
WO2023125642A1 (zh) | 认证和/或密钥管理方法、第一设备、终端及通信设备 | |
CN114745444B (zh) | 基于5g网络流量分析的调控业务访问控制方法及系统 | |
CN113347190B (zh) | 鉴权方法、系统、从站点服务器、客户端、设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |