JP2024521649A - 通信方法および装置 - Google Patents

通信方法および装置 Download PDF

Info

Publication number
JP2024521649A
JP2024521649A JP2023569715A JP2023569715A JP2024521649A JP 2024521649 A JP2024521649 A JP 2024521649A JP 2023569715 A JP2023569715 A JP 2023569715A JP 2023569715 A JP2023569715 A JP 2023569715A JP 2024521649 A JP2024521649 A JP 2024521649A
Authority
JP
Japan
Prior art keywords
service
network element
request message
client credential
assertion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023569715A
Other languages
English (en)
Inventor
▲義▼壮 ▲呉▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2024521649A publication Critical patent/JP2024521649A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Telephonic Communication Services (AREA)

Abstract

通信方法および通信装置が開示される。本方法は、間接通信シナリオで使用され得、サービス・コンシューマ・ネットワーク要素がサービス通信プロキシに第1のサービス要求メッセージを送信するステップであって、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシから第1のサービス要求メッセージに対する応答メッセージを受信し、第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられている、ステップを含む。

Description

関連出願の相互参照
本出願は、参照によりその全体が本明細書に組み入れられる、2021年5月9日付で中国国家知識産権局に出願された、「COMMUNICATION METHOD AND APPARATUS」という名称の中国特許出願第202110502638.5号の優先権を主張するものである。
本出願の実施形態は無線通信分野に関し、特に、通信方法および装置に関する。
図1は、拡張されたサービスベースのアーキテクチャを示す。拡張されたサービスベースのアーキテクチャでは、ネットワーク要素は、直接的な方法で互いに通信してもよく(これは、簡単に直接通信と呼ばれることもある)、または間接的な方法で互いに通信してもよい(これは、簡単に間接通信と呼ばれることもあり、非直接通信と呼ばれることもある)。間接通信プロセスでは、互いに通信する2つのネットワーク要素は、サービス通信プロキシ(service communication proxy、SCP)を介してメッセージを交換し得る。直接通信および間接通信の間、2つの通信相手はそれぞれサービスコンシューマ(consumer)およびサービスプロデューサ(producer)と呼ばれる。コンシューマはサービス要求者またはサービス呼び出し元であり、プロデューサはサービスプロデューサである。サービスコンシューマはサービス・コンシューマ・ネットワーク要素とも呼ばれ、サービスプロデューサはサービス・プロデューサ・ネットワーク要素とも呼ばれる。
間接通信シナリオでは、クライアント資格情報アサーション(client credentials assertion、CCA)に基づく認証方式が導入される。コンシューマは、受信者がコンシューマを認証できるように、サービス要求にCCAを含む。異なる間接通信シナリオでは、受信者(すなわち、認証者)がコンシューマを正確に認証し、認証が成功したときに、コンシューマによって要求されたサービスをコンシューマに提供することができるように、コンシューマ(すなわち、ピア)は正しいCCAを生成する必要がある。しかしながら、既存の規格は、サービス・コンシューマ・ネットワーク要素がサービスを要求できない可能性があるという問題を回避するために、異なる間接通信シナリオで正しいCCAをどのように生成するかを定義していない。
本出願の実施形態は、サービス・コンシューマ・ネットワーク要素がサービスを要求することに失敗するケースを回避するために、通信方法および装置を提供する。
第1の態様によれば、本出願の一実施形態は通信方法を提供する。本方法は、以下を含む。
サービス・コンシューマ・ネットワーク要素が、サービス通信プロキシに第1のサービス要求メッセージを送信し、第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素を認証するために使用され、第1のクライアント資格情報アサーションは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられている。サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシから第1のサービス要求メッセージに対する応答メッセージを受信する。
前述の方法によれば、サービス・コンシューマ・ネットワーク要素がサービス通信プロキシを介してサービス・プロデューサ・ネットワーク要素から第1のサービスを要求するとき、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに送信された第1のサービス要求メッセージにおいて、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含むクライアント資格情報アサーションを搬送する。これにより、サービス通信プロキシが第2のサービスを要求するときに、第2のサービスを提供するネットワーク要素がサービス・コンシューマ・ネットワーク要素を正常に認証し、サービス・コンシューマ・ネットワーク要素が第1のサービスを要求することをさらに保証し、間接通信シナリオでは、クライアント資格情報アサーションに基づく認証が失敗するためにサービス・コンシューマ・ネットワーク要素がサービスを要求できないという問題を解決することを保証することができる。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示す。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素は、第1のサービスに対応する利用可能なアクセストークンがないと決定する。
前述の設計によれば、サービス・コンシューマ・ネットワーク要素は、必要に応じて第1のクライアント資格情報アサーションを生成することができ、これにより、第1のクライアント資格情報アサーションが悪用されることを防止する。
加えて、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応する利用可能なアクセストークンがないと決定した後、サービス・コンシューマ・ネットワーク要素は、第1のサービス要求メッセージにおいて、第1のサービスに対応するアクセストークンを取得するためのパラメータを搬送し得る。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応する利用可能なアクセストークンがないと決定することは、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応するアクセストークンが格納されていないと決定するケース、または、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応する格納されたアクセストークンが有効期限切れであると決定するケースを含み得る。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素は、第1のサービスに対応する格納されたアクセストークンが有効期限切れになると、期限切れのアクセストークンを削除する。
前述の設計によれば、記憶空間が適時に解放されることができ、システムの記憶負荷が低減されることができる。
1つの可能な設計では、第2のサービスは、サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素は、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定する。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素が、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定したとき、第1の端末デバイスのコンテキストが格納されておらず、第1の端末デバイスは第1のサービスに関連付けられているケース、第1のサービスのコンテキストが格納されていないケース、サービス・プロデューサ・ネットワーク要素が第1のスライスに属し、第1のスライスに対応するコンテキストが格納されていないケース、または、サービス・コンシューマ・ネットワーク要素が、初めてサービス通信プロキシと通信するケース、のうちの1つまたは複数に基づいて、サービス・コンシューマ・ネットワーク要素は、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定する。
加えて、サービス・コンシューマ・ネットワーク要素が、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすることができると決定した後、サービス・コンシューマ・ネットワーク要素は、第1のサービス要求メッセージ内で、サービス・プロデューサ・ネットワーク要素を発見するためのパラメータを搬送し得る。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素は、間接通信モード、すなわちモードDで第1のサービスを要求すると決定する。
例えば、サービス・コンシューマ・ネットワーク要素がモードDでサービス通信プロキシと通信するときに、第1のサービス要求メッセージが常に、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含むクライアント資格情報アサーションを搬送すること、または、サービス・コンシューマ・ネットワーク要素がモードDでサービス通信プロキシと通信し、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすることができると決定したとき、第1のサービス要求メッセージが、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含むクライアント資格情報アサーションを搬送することは、標準プロトコルで合意されてもよく、事前構成情報に基づいて構成されてもよい。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは第1のサービスを要求するために使用され、第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第2のクライアント資格情報アサーションはサービス・コンシューマ・ネットワーク要素を認証するために使用される。サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシから第2のサービス要求メッセージに対する応答メッセージを受信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含む。サービス・コンシューマ・ネットワーク要素がサービス通信プロキシに第1のサービス要求メッセージを送信すると、サービス・コンシューマ・ネットワーク要素は、指示情報に基づいてサービス通信プロキシに第1のサービス要求メッセージを送信する。
前述の設計によれば、サービス・コンシューマ・ネットワーク要素は、指示情報に基づいてサービス通信プロキシに第1のサービス要求メッセージを送信し得る。
1つの可能な設計では、指示情報は第3のクライアント資格情報アサーションを含み、第3のクライアント資格情報アサーションは第2のネットワーク機能タイプを含み、第3のクライアント資格情報アサーションは第2のサービスを提供するネットワーク要素を認証するために使用される。サービス・コンシューマ・ネットワーク要素が指示情報に基づいてサービス通信プロキシに第1のサービス要求メッセージを送信すると、サービス・コンシューマ・ネットワーク要素は、第3のクライアント資格情報アサーションに基づく、第2のサービスを提供するネットワーク要素に対する認証が成功したときに、サービス通信プロキシに第1のサービス要求メッセージを送信する。
前述の設計によれば、サービス・コンシューマ・ネットワーク要素は、第3のクライアント資格情報アサーションに基づいて、第2のサービスを提供するネットワーク要素を認証し、認証が成功したときに、第3のクライアント資格情報アサーションに含まれる第2のネットワーク機能タイプに基づいて第1のサービス要求メッセージを送信し得る。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子または有効時間情報のうちの1つまたは複数をさらに含み、有効時間情報は第1のクライアント資格情報アサーションの有効時間を表す。
第2の態様によれば、本出願は通信方法を提供する。本方法は、第1のネットワーク要素が、サービス通信プロキシから第1のサービス要求メッセージを受信するステップであって、第1のサービス要求メッセージは、第1のネットワーク要素から第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素を認証するために使用され、第1のクライアント資格情報アサーションは、複数のネットワーク機能タイプを含む、ステップ、を含む。第1のネットワーク要素は、第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証する。第1のネットワーク要素が第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証することは、第1のネットワーク要素が、第1のネットワーク要素のネットワーク機能タイプが複数のネットワーク機能タイプのうちの1つまたは複数と一致するかどうか決定するステップと、第1のネットワーク要素が、認証結果に基づいて、第1のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信するステップと、を含む。
前述の方法によれば、第1のクライアント資格情報アサーションが複数のネットワーク機能タイプを含むときに、第1のネットワーク要素は、認証結果を獲得するために、第1のネットワーク要素のネットワーク機能タイプが複数のネットワーク機能タイプのうちの1つまたは複数と一致するかどうか決定する。したがって、前述の方法によれば、クライアント資格情報アサーションが複数のネットワーク機能タイプを含むときに、サービス・コンシューマ・ネットワーク要素に対する認証が成功したかどうか決定されることができ、その結果、異なるネットワーク機能タイプを有するネットワーク要素は、同じクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証することができる。
1つの可能な設計では、認証結果が、認証が成功したことであるとき、第1のネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージに対する応答メッセージを送信し、第1のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供するために使用される。あるいは、認証結果が、認証が失敗したことであるとき、第1のネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージに対する応答メッセージを送信し、第1のサービス要求メッセージに対する応答メッセージは、第1のサービスの要求に失敗したことを示す。
1つの可能な設計では、複数のネットワーク機能タイプは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、第1のネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられる。
前述の設計によれば、2つの異なるネットワーク機能タイプを有するネットワーク要素は、同じクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証することができる。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示すか、または、第2のサービスは、第1のネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、第1のサービスは、第2のサービスに対応するアクセストークンを提供するために使用され、第2のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第2のサービスを取得する許可を有することを示すか、または、第1のサービスは、第2のネットワーク要素に関する情報を提供するために使用される。
前述の設計によれば、2つの異なるネットワーク機能タイプを有するネットワーク要素は、同じクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証することができる。
1つの可能な設計では、第1のネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、第1のネットワーク要素は、サービス通信プロキシから第2のサービス要求メッセージを受信し、第2のサービス要求メッセージは、第1のネットワーク要素から第1のサービスを要求するために使用され、第2のサービス要求メッセージは、第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは、第3のネットワーク機能タイプを含む。第3のネットワーク機能タイプが第1のネットワーク要素のネットワーク機能タイプと一致しないとき、第1のネットワーク要素は、サービス通信プロキシに第2のサービス要求メッセージに対する応答メッセージを送信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含み、指示情報は第1のサービス要求メッセージをトリガするために使用される。
前述の設計によれば、クライアント資格情報アサーション内のネットワーク機能タイプが第1のネットワーク要素のネットワーク機能タイプと一致しないときに、第1のネットワーク要素は第2のサービス要求メッセージに対する応答メッセージで指示情報を搬送し得る。指示情報は、第1のネットワーク要素がサービス・コンシューマ・ネットワーク要素を正常に認証するように、第1のネットワーク要素のネットワーク機能タイプと一致するネットワーク機能タイプを含むクライアント資格情報アサーションを取得するために、第1のサービス要求メッセージをトリガするために使用され得る。
1つの可能な設計では、指示情報は、第1のネットワーク要素を認証するために使用される第3のクライアント資格情報アサーションを含み、第3のクライアント資格情報アサーションは、第1のネットワーク要素のネットワーク機能タイプを含む。
前述の設計によれば、第1のネットワーク要素のネットワーク機能タイプは、指示情報内で搬送されて、第1のサービス要求メッセージ内の第1のクライアント資格情報アサーションをトリガして、第1のネットワーク要素のネットワーク機能タイプと一致するネットワーク機能タイプを搬送し、サービス・コンシューマ・ネットワーク要素を正常に認証するようにし得る。
1つの可能な設計では、第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子と、第1のクライアント資格情報アサーションの有効時間情報とをさらに含み、第1のクライアント資格情報アサーションの有効時間情報は、第1のクライアント資格情報アサーションの有効時間を表す。第1のネットワーク要素が第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証することは、第1のネットワーク要素が、第1のクライアント資格情報アサーションの署名が成功したかどうか検証すること、第1のクライアント資格情報アサーションに含まれる有効時間情報に基づいて、第1のクライアント資格情報アサーションが有効期限切れになったかどうか検証すること、または第1のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第1のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであるかどうか検証すること、のうちの1つまたは複数をさらに含む。
第3の態様によれば、本出願は通信方法を提供する。本方法は、サービス・コンシューマ・ネットワーク要素が、サービス通信プロキシに第1のサービス要求メッセージを送信するステップであって、第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用される、ステップ、を含む。第1のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含み、第4のクライアント資格情報アサーションはサービス・プロデューサ・ネットワーク要素によってサービス・コンシューマ・ネットワーク要素を認証するために使用され、第5のクライアント資格情報アサーションは、第2のサービスを提供するネットワーク要素によってサービス・コンシューマ・ネットワーク要素を認証するために使用される。第4のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第5のクライアント資格情報アサーションは第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられる。サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシから第1のサービス要求メッセージに対する応答メッセージを受信する。
前述の実施形態では、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージを送信し、第1のサービス要求メッセージは第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含み、第4のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第5のクライアント資格情報アサーションは第2のネットワーク機能タイプを含み、その結果、第2のサービスを提供するネットワーク要素はサービス・コンシューマ・ネットワーク要素を正常に認証することができる。これにより、サービス・コンシューマ・ネットワーク要素が第1のサービスを要求することを保証し、間接通信シナリオでは、クライアント資格情報アサーションに基づく認証が失敗するためにサービス・コンシューマ・ネットワーク要素がサービスを要求できないという問題を解決する。
1つの可能な設計では、第4のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子と、第4のクライアント資格情報アサーションの有効時間情報とをさらに含み、第4のクライアント資格情報アサーションの有効時間情報は、第4のクライアント資格情報アサーションの有効時間を表す。第5のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子と、第5のクライアント資格情報アサーションの有効時間情報とをさらに含み、第5のクライアント資格情報アサーションの有効時間情報は、第5のクライアント資格情報アサーションの有効時間を表す。
1つの可能な設計では、第5のクライアント資格情報アサーションの有効時間は第4のクライアント資格情報アサーションの有効時間よりも短い。
前述の設計によれば、第5のクライアント資格情報アサーションがサービス通信プロキシによって悪意をもって使用されるリスクが低減されて、通信プロセスのセキュリティを保証することができる。
1つの可能な設計では、第4のクライアント資格情報アサーションの有効時間は第1の持続時間と関連付けられており、第1の持続時間は、サービス・コンシューマ・ネットワーク要素とサービス通信プロキシとの間の伝送遅延と、サービス通信プロキシと第2のサービスを提供するネットワーク要素との間の伝送遅延とに基づいて決定される。
第4のクライアント資格情報アサーションの有効時間および第5のクライアント資格情報アサーションの有効時間についての前述の構成規則は、通信プロセスのセキュリティを保証するために、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションがサービス通信プロキシによって悪意をもって使用されないことを可能な限り保証することができる。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示す。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素は、第1のサービスに対応する利用可能なアクセストークンがないと決定する。
加えて、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応する利用可能なアクセストークンがないと決定した後、サービス・コンシューマ・ネットワーク要素は、第1のサービス要求メッセージにおいて、第1のサービスに対応するアクセストークンを取得するためのパラメータを搬送し得る。
前述の設計によれば、サービス・コンシューマ・ネットワーク要素は、必要に応じて第1のクライアント資格情報アサーションを生成することができ、これにより、第1のクライアント資格情報アサーションが悪用されることを防止する。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応する利用可能なアクセストークンがないと決定することは、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応するアクセストークンが格納されていないと決定するケース、または、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応する格納されたアクセストークンが有効期限切れであると決定するケースを含み得る。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素は、第1のサービスに対応する格納されたアクセストークンが有効期限切れになると、期限切れのアクセストークンを削除する。
前述の設計によれば、記憶空間が適時に解放されることができ、システムの記憶負荷が低減されることができる。
1つの可能な設計では、第2のサービスは、サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素は、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定する。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素が、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定したとき、第1の端末デバイスのコンテキストが格納されておらず、第1の端末デバイスは第1のサービスに関連付けられているケース、第1のサービスのコンテキストが格納されていないケース、サービス・プロデューサ・ネットワーク要素が第1のスライスに属し、第1のスライスに対応するコンテキストが格納されていないケース、または、サービス・コンシューマ・ネットワーク要素が、初めてサービス通信プロキシと通信するケース、のうちの1つまたは複数に基づいて、サービス・コンシューマ・ネットワーク要素は、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定する。
加えて、サービス・コンシューマ・ネットワーク要素が、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすることができると決定した後、サービス・コンシューマ・ネットワーク要素は、第1のサービス要求メッセージ内で、サービス・プロデューサ・ネットワーク要素を発見するためのパラメータを搬送し得る。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素は、間接通信モード、すなわちモードDで第1のサービスを要求すると決定する。
例えば、サービス・コンシューマ・ネットワーク要素がモードDでサービス通信プロキシと通信するときに、第1のサービス要求メッセージが常に、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含むクライアント資格情報アサーションを搬送すること、または、サービス・コンシューマ・ネットワーク要素がモードDでサービス通信プロキシと通信し、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすることができると決定したとき、第1のサービス要求メッセージが、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含むクライアント資格情報アサーションを搬送することは、標準プロトコルで合意されてもよく、事前構成情報に基づいて構成されてもよい。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは第1のサービスを要求するために使用され、第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第2のクライアント資格情報アサーションはサービス・コンシューマ・ネットワーク要素を認証するために使用される。サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシから第2のサービス要求メッセージに対する応答メッセージを受信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含む。サービス・コンシューマ・ネットワーク要素がサービス通信プロキシに第1のサービス要求メッセージを送信すると、サービス・コンシューマ・ネットワーク要素は、指示情報に基づいてサービス通信プロキシに第1のサービス要求メッセージを送信する。
前述の設計によれば、サービス・コンシューマ・ネットワーク要素は、指示情報に基づいてサービス通信プロキシに第1のサービス要求メッセージを送信し得る。
1つの可能な設計では、指示情報は第3のクライアント資格情報アサーションを含み、第3のクライアント資格情報アサーションは第2のネットワーク機能タイプを含み、第3のクライアント資格情報アサーションは第2のサービスを提供するネットワーク要素を認証するために使用される。サービス・コンシューマ・ネットワーク要素が指示情報に基づいてサービス通信プロキシに第1のサービス要求メッセージを送信すると、サービス・コンシューマ・ネットワーク要素は、第3のクライアント資格情報アサーションに基づく、第2のサービスを提供するネットワーク要素に対する認証が成功したときに、サービス通信プロキシに第1のサービス要求メッセージを送信する。
前述の設計によれば、サービス・コンシューマ・ネットワーク要素は、第3のクライアント資格情報アサーションに基づいて、第2のサービスを提供するネットワーク要素を認証し、認証が成功したときに、第3のクライアント資格情報アサーションに含まれる第2のネットワーク機能タイプに基づいて第1のサービス要求メッセージを送信し得る。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
第4の態様によれば、本出願は通信方法を提供する。本方法は、サービス通信プロキシが、サービス・コンシューマ・ネットワーク要素から第1のサービス要求メッセージを受信するステップであって、第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用される、ステップ、を含む。第1のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含む。第4のクライアント資格情報アサーションはサービス・プロデューサ・ネットワーク要素によってサービス・コンシューマ・ネットワーク要素を認証するために使用され、第5のクライアント資格情報アサーションは第1のネットワーク要素によってサービス・コンシューマ・ネットワーク要素を認証するために使用される。第4のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第5のクライアント資格情報アサーションは第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第1のネットワーク要素のネットワーク機能タイプである。サービス通信プロキシは、第1のサービス要求メッセージに応答して第1のネットワーク要素に第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは第2のサービスを要求するために使用され、第2のサービス要求メッセージは第5のクライアント資格情報アサーションを含む。サービス通信プロキシは、第1のネットワーク要素から第2のサービス要求メッセージに対する応答メッセージを受信する。サービス通信プロキシは、第2のサービス要求メッセージに対する応答メッセージに基づいて、サービス・プロデューサ・ネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、第3のサービス要求メッセージは、第4のクライアント資格情報アサーションを含む。
前述の実施形態では、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージを送信し、第1のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含み、第4のクライアント資格情報アサーションは、第1のネットワーク機能タイプを含み、第5のクライアント資格情報アサーションは、第2のネットワーク機能タイプを含み、サービス通信プロキシは、第2のサービスを要求するときに第5のクライアント資格情報アサーションを搬送し、その結果、第2のサービスを提供するネットワーク要素は、サービス・コンシューマ・ネットワーク要素を正常に認証することができ、サービス通信プロキシは、第1のサービスを要求するときに第4のクライアント資格情報アサーションを搬送し、その結果、サービス・プロデューサ・ネットワーク要素は、サービス・コンシューマ・ネットワーク要素を正常に認証することができる。これにより、サービス・コンシューマ・ネットワーク要素が第1のサービスを要求することを保証し、間接通信シナリオでは、クライアント資格情報アサーションに基づく認証が失敗するためにサービス・コンシューマ・ネットワーク要素がサービスを要求できないという問題を解決する。
1つの可能な設計では、サービス通信プロキシは、第1のサービス要求メッセージに基づいて、第2のサービスが第1のネットワーク要素から要求される必要があると決定し、サービス通信プロキシは、第1のネットワーク要素のネットワーク機能タイプに基づいて、第2のサービス要求メッセージ内で第5のクライアント資格情報アサーションを搬送すると決定する。
前述の設計によれば、サービス通信プロキシは、第1のサービス要求メッセージを解析し、第1のネットワーク要素のネットワーク機能タイプに基づいて、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションから第5のクライアント資格情報アサーションを選択し、第5のクライアント資格情報アサーションを第2のサービス要求メッセージに追加し得る。
1つの可能な設計では、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプに基づいて、第3のサービス要求メッセージ内の第4のクライアント資格情報アサーションを搬送すると決定する。
前述の設計によれば、サービス通信プロキシは、第1のサービス要求メッセージを解析し、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプに基づいて、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションから第4のクライアント資格情報アサーションを選択し、第4のクライアント資格情報アサーションを第2のサービス要求メッセージに追加し得る。
1つの可能な設計では、サービス通信プロキシがサービス・コンシューマ・ネットワーク要素から第1のサービス要求メッセージを受信する前に、サービス通信プロキシはサービス・コンシューマ・ネットワーク要素から第4のサービス要求メッセージを受信し、第4のサービス要求メッセージは第1のサービスを要求するために使用され、第3のサービス要求メッセージは第6のクライアント資格情報アサーションを含み、第6のクライアント資格情報アサーションは第3のネットワーク機能タイプを含む。サービス通信プロキシは、第1のネットワーク要素に第5のサービス要求メッセージを送信し、第5のサービス要求メッセージは第2のサービスを要求するために使用され、第5のサービス要求メッセージは第6のクライアント資格情報アサーションを含む。サービス通信プロキシは、第1のネットワーク要素から第5のサービス要求メッセージに対する応答メッセージを受信し、第5のサービス要求メッセージに対する応答メッセージは指示情報を含む。サービス通信プロキシは、指示情報に基づいて、サービス・コンシューマ・ネットワーク要素に第4のサービス要求メッセージに対する応答メッセージを送信する。
前述の設計によれば、サービス通信プロキシは、第1のネットワークのネットワーク機能タイプに一致するクライアント資格情報アサーションを取得するために、指示情報に基づいて、サービス・コンシューマ・ネットワーク要素に第4のサービス要求メッセージに対する応答メッセージを送信し得、その結果、第1のネットワーク要素はサービス・コンシューマ・ネットワーク要素を正常に認証する。
1つの可能な設計では、指示情報は第7のクライアント資格情報アサーションを含み、第7のクライアント資格情報アサーションは第1のネットワーク要素のネットワーク機能タイプを含み、第4のサービス要求メッセージに対する応答メッセージは第7のクライアント資格情報アサーションをさらに含む。
前述の設計によれば、指示情報は、第1のサービス要求メッセージを送信するようにサービス・コンシューマ・ネットワーク要素をトリガするために使用されてもよく、第1のサービス要求メッセージは、第1のネットワークのネットワーク機能タイプと一致するクライアント資格情報アサーションを含む。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示す。
1つの可能な設計では、サービス通信プロキシは、第1のサービスに対応する利用可能なアクセストークンが格納されておらず、第1のサービス要求メッセージは第1のサービスに対応するアクセストークンを含まないと決定する。
1つの可能な設計では、第2のサービスは、サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素に関する情報が格納されておらず、第1のサービス要求メッセージはサービス・プロデューサ・ネットワーク要素に関する情報を含まないと決定する。
1つの可能な設計では、第4のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子と、第4のクライアント資格情報アサーションの有効時間情報とをさらに含み、第4のクライアント資格情報アサーションの有効時間情報は、第4のクライアント資格情報アサーションの有効時間を表す。第5のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子と、第5のクライアント資格情報アサーションの有効時間情報とをさらに含み、第5のクライアント資格情報アサーションの有効時間情報は、第5のクライアント資格情報アサーションの有効時間を表す。
1つの可能な設計では、第5のクライアント資格情報アサーションの有効時間は第4のクライアント資格情報アサーションの有効時間よりも短い。
前述の設計によれば、第5のクライアント資格情報アサーションがサービス通信プロキシによって悪意をもって使用されるリスクが低減されて、通信プロセスのセキュリティを保証することができる。
1つの可能な設計では、第4のクライアント資格情報アサーションの有効時間は第1の持続時間と関連付けられており、第1の持続時間は、サービス・コンシューマ・ネットワーク要素とサービス通信プロキシとの間の伝送遅延と、サービス通信プロキシと第2のサービスを提供するネットワーク要素との間の伝送遅延とに基づいて決定される。
第4のクライアント資格情報アサーションの有効時間および第5のクライアント資格情報アサーションの有効時間についての前述の構成規則は、通信プロセスのセキュリティを保証するために、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションがサービス通信プロキシによって悪意をもって使用されないことを可能な限り保証することができる。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
第5の態様によれば、本出願は通信方法を提供する。本方法は、第1のネットワーク要素が、サービス通信プロキシから第1のサービス要求メッセージを受信するステップであって、第1のサービス要求メッセージは、第1のネットワーク要素から第1のサービスを要求するために使用され、第1のサービス要求メッセージは、複数のクライアント資格情報アサーションを含み、各クライアント資格情報アサーションは、ネットワーク機能タイプを含む、ステップ、を含む。第1のネットワーク要素は、複数のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証する。第1のネットワーク要素が複数のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証するときに、第1のネットワーク要素は、複数のクライアント資格情報アサーション内の1つまたは複数のクライアント資格情報アサーションがサービス・コンシューマ・ネットワーク要素を正常に認証するかを決定する。第1のネットワーク要素は、認証結果に基づいて、第1のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。
前述の方法によれば、第1のサービス要求メッセージが複数のクライアント資格情報アサーションを含むとき、第1のネットワーク要素は、1つまたは複数のクライアント資格情報アサーションがサービス・コンシューマ・ネットワーク要素を正常に認証したと決定し、認証結果を取得する。したがって、前述の方法では、複数のクライアント資格情報アサーションがあるとき、サービス・コンシューマ・ネットワーク要素に対する認証が成功したかどうかが決定されることができる。
1つの可能な設計では、認証結果が、1つまたは複数のクライアント資格情報アサーションがサービス・コンシューマ・ネットワーク要素を正常に認証したことを示すとき、第1のネットワーク要素は、第1のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信し、第1のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供するために使用される。あるいは、認証結果が、複数のクライアント資格情報アサーションのいずれか1つがサービス・コンシューマ・ネットワーク要素の認証に失敗したことを示すとき、第1のネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージに対する応答メッセージを送信し、第1のサービス要求メッセージに対する応答メッセージは、第1のサービスの要求が失敗したことを示す。
前述の設計によれば、1つまたは複数のクライアント資格情報アサーションがサービス・コンシューマ・ネットワーク要素を正常に認証すると、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定される。あるいは、複数のクライアント資格情報アサーションのうちのいずれか1つがサービス・コンシューマ・ネットワーク要素を認証することに失敗したとき、すなわち、すべてのクライアント資格情報アサーションがサービス・コンシューマ・ネットワーク要素を認証することに失敗したときに、サービス・コンシューマ・ネットワーク要素に対する認証が失敗したと決定される。
1つの可能な設計では、複数のクライアント資格情報アサーションは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含む。第4のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第5のクライアント資格情報アサーションは第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、第1のネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられる。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示すか、または、第2のサービスは、第1のネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、第1のサービスは、第2のサービスに対応するアクセストークンを提供するために使用され、第2のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第2のサービスを取得する許可を有することを示すか、または、第1のサービスは、第2のネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、第1のネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、第1のネットワーク要素は、サービス通信プロキシから第2のサービス要求メッセージを受信し、第2のサービス要求メッセージは、第1のネットワーク要素から第1のサービスを要求するために使用され、第2のサービス要求メッセージは、第6のクライアント資格情報アサーションを含み、第6のクライアント資格情報アサーションは、第3のネットワーク機能タイプを含む。第3のネットワーク機能タイプが第1のネットワーク要素のネットワーク機能タイプと一致しないとき、第1のネットワーク要素は、サービス通信プロキシに第3のサービス要求メッセージに対する応答メッセージを送信し、第3のサービス要求メッセージに対する応答メッセージは指示情報を含み、指示情報は第1のサービス要求メッセージをトリガするために使用される。
前述の設計によれば、クライアント資格情報アサーション内のネットワーク機能タイプが第1のネットワーク要素のネットワーク機能タイプと一致しないときに、第1のネットワーク要素は第3のサービス要求メッセージに対する応答メッセージで指示情報を搬送し得る。指示情報は、第1のネットワーク要素がサービス・コンシューマ・ネットワーク要素を正常に認証するように、第1のネットワーク要素のネットワーク機能タイプと一致するネットワーク機能タイプを含むクライアント資格情報アサーションを取得するために、第1のサービス要求メッセージをトリガするために使用され得る。
1つの可能な設計では、指示情報は、第1のネットワーク要素を認証するために使用される第7のクライアント資格情報アサーションを含み、第7のクライアント資格情報アサーションは、第1のネットワーク要素のネットワーク機能タイプを含む。
前述の設計によれば、第1のネットワーク要素のネットワーク機能タイプは、指示情報内で搬送されて、第1のサービス要求メッセージ内の第1のクライアント資格情報アサーションをトリガして、第1のネットワーク要素のネットワーク機能タイプと一致するネットワーク機能タイプを含むクライアント資格情報アサーションを搬送し、サービス・コンシューマ・ネットワーク要素を正常に認証するようにし得る。
第6の態様によれば、本出願は通信方法を提供する。本方法は、サービス・コンシューマ・ネットワーク要素がサービス通信プロキシを介してサービス・プロデューサ・ネットワーク要素から第1のサービスを要求するシナリオで使用される。本方法は、サービス通信プロキシが、サービス・コンシューマ・ネットワーク要素にクライアント資格情報アサーション要求メッセージを送信するステップであって、クライアント資格情報アサーション要求メッセージは、第1のクライアント資格情報アサーションを要求するために使用され、第1のクライアント資格情報アサーションは、第2のデバイスを提供するネットワーク要素によって、サービス・コンシューマ・ネットワーク要素を認証するために使用され、第2のサービスは、第1のサービスと関連付けられている、ステップ、を含む。サービス通信プロキシは、サービス・コンシューマ・ネットワーク要素からクライアント資格情報アサーション要求メッセージに対する応答メッセージを受信し、クライアント資格情報アサーション要求メッセージに対する応答メッセージは第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションは第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、または第1のクライアント資格情報アサーションは第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプである。
前述の設計によれば、サービス通信プロキシは、サービス通信プロキシが第2のサービスを要求し、サービス・コンシューマ・ネットワーク要素が第1のサービスを要求することを保証するために、クライアント資格情報アサーションを要求し得る。
1つの可能な設計では、サービス通信プロキシがサービス・コンシューマ・ネットワーク要素にクライアント資格情報アサーション要求メッセージを送信する前に、サービス通信プロキシはサービス・コンシューマ・ネットワーク要素から第1のサービス要求メッセージを受信し、第1のサービス要求メッセージは第1のサービスを要求するために使用され、第1のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは第1のネットワーク機能タイプを含む。サービス通信プロキシは、第1のネットワーク要素に第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは、第2のサービスを要求するために使用され、第2のサービス要求メッセージは、第2のクライアント資格情報アサーションを含む。サービス通信プロキシは、第1のネットワーク要素から第2のサービス要求メッセージに対する応答メッセージを受信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含む。サービス通信プロキシがサービス・コンシューマ・ネットワーク要素にクライアント資格情報アサーション要求メッセージを送信すると、サービス通信プロキシは指示情報に基づいてサービス・コンシューマ・ネットワーク要素にクライアント資格情報アサーション要求メッセージを送信する。
前述の設計によれば、クライアント資格情報アサーション内のネットワーク機能タイプが第1のネットワーク要素のネットワーク機能タイプと一致しないときに、第1のネットワーク要素は第2のサービス要求メッセージに対する応答メッセージで指示情報を搬送し得る。指示情報は、第1のネットワーク要素がサービス・コンシューマ・ネットワーク要素を正常に認証するように、第1のネットワーク要素のネットワーク機能タイプと一致するネットワーク機能タイプを含むクライアント資格情報アサーションを取得するために、クライアント資格情報アサーション要求メッセージをトリガするために使用され得る。
1つの可能な設計では、指示情報は第3のクライアント資格情報アサーションを含み、第3のクライアント資格情報アサーションは第1のネットワーク要素のネットワーク機能タイプを含み、クライアント資格情報アサーション要求メッセージは第3のクライアント資格情報アサーションを含む。
前述の設計によれば、第1のネットワーク要素のネットワーク機能タイプは、指示情報内で搬送されて、第1のサービス要求メッセージ内の第1のクライアント資格情報アサーションをトリガして、第1のネットワーク要素のネットワーク機能タイプと一致するネットワーク機能タイプを含むクライアント資格情報アサーションを搬送し、サービス・コンシューマ・ネットワーク要素を正常に認証するようにし得る。
1つの可能な設計では、第1のクライアント資格情報アサーションは第2のネットワーク機能タイプを含む。サービス通信プロキシは、第1のネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、第2のサービスを要求するために使用され、第3のサービス要求メッセージは、第1のクライアント資格情報アサーションを含む。サービス通信プロキシは、第1のネットワーク要素から第3のサービス要求メッセージに対する応答メッセージを受信する。サービス通信プロキシは、第3のサービス要求メッセージに対する応答メッセージに基づいてサービス・プロデューサ・ネットワーク要素に第4のサービス要求メッセージを送信し、第4のサービス要求メッセージは第1のサービスを要求するために使用され、第4のサービス要求メッセージは第2のクライアント資格情報アサーションを含む。
前述の設計によれば、サービス通信プロキシは、クライアント資格情報アサーションに対する応答メッセージを解析し、第1のネットワーク要素のネットワーク機能タイプに基づいて第3のサービス要求メッセージ内の第1のクライアント資格情報アサーションを搬送し、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプに基づいて第4のサービス要求メッセージ内の第2のクライアント資格情報アサーションを搬送する。
1つの可能な設計では、第1のクライアント資格情報アサーションは第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含む。サービス通信プロキシは、第1のネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、第2のサービスを要求するために使用され、第3のサービス要求メッセージは、第1のクライアント資格情報アサーションを含む。サービス通信プロキシは、第1のネットワーク要素から第3のサービス要求メッセージに対する応答メッセージを受信する。サービス通信プロキシは、第3のサービス要求メッセージに対する応答メッセージに基づいてサービス・プロデューサ・ネットワーク要素に第4のサービス要求メッセージを送信し、第4のサービス要求メッセージは第1のサービスを要求するために使用され、第4のサービス要求メッセージは第1のクライアント資格情報アサーションを含み、または第4のサービス要求メッセージは第2のクライアント資格情報アサーションを含む。
前述の設計によれば、サービス通信プロキシは、クライアント資格情報アサーションに対する応答メッセージを解析し、第1のネットワーク要素のネットワーク機能タイプに基づいて第3のサービス要求メッセージ内の第1のクライアント資格情報アサーションを搬送し、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプに基づいて第4のサービス要求メッセージ内の第1のクライアント資格情報アサーションまたは第2のクライアント資格情報アサーションを搬送する。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示す。
1つの可能な設計では、サービス通信プロキシは、第1のサービスに対応するアクセストークンが格納されておらず、第1のサービス要求メッセージが第1のアクセストークンを含まないと決定する。
1つの可能な設計では、第2のサービスは、サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素に関する情報が格納されておらず、第1のサービス要求メッセージはサービス・プロデューサ・ネットワーク要素に関する情報を含まないと決定する。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
第7の態様によれば、本出願は通信装置を提供する。本装置は、トランシーバユニットおよび処理ユニットを含む。処理ユニットは、トランシーバユニットを呼び出して、サービス通信プロキシに第1のサービス要求メッセージを送信し、第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションは、装置を認証するために使用され、第1のクライアント資格情報アサーションは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられ、サービス通信プロキシから第1のサービス要求メッセージに対する応答メッセージを受信する。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、装置が第1のサービスを取得する許可を有することを表す。
1つの可能な設計では、処理ユニットは、第1のサービスに対応する利用可能なアクセストークンがないと決定するように構成される。
1つの可能な設計では、処理ユニットは、第1のサービスに対応する利用可能なアクセストークンがないと決定したとき、第1のサービスに対応するアクセストークンが格納されていないと決定するか、または、第1のサービスに対応する格納されたアクセストークンが有効期限切れであると決定する、ように構成される。
1つの可能な設計では、処理ユニットは、第1のサービスに対応する格納されたアクセストークンが有効期限切れになったときに、期限切れのアクセストークンを削除するように構成される。
1つの可能な設計では、第2のサービスは、サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、処理ユニットは、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定するように構成される。
1つの可能な設計では、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定したとき、処理ユニットは、第1の端末デバイスのコンテキストが格納されておらず、第1の端末デバイスは第1のサービスに関連付けられているケース、第1のサービスのコンテキストが格納されていないケース、サービス・プロデューサ・ネットワーク要素が第1のスライスに属し、第1のスライスに対応するコンテキストが格納されていないケース、または、装置が初めてサービス通信プロキシと通信するケース、のうちの1つまたは複数に基づいて、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定するように構成される。
1つの可能な設計では、処理ユニットは、間接通信モード、すなわちモードDで第1のサービスを要求すると決定するように構成される。
1つの可能な設計では、トランシーバユニットは、サービス通信プロキシに第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは第1のサービスを要求するために使用され、第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第2のクライアント資格情報アサーションは装置を認証するために使用され、サービス通信プロキシから第2のサービス要求メッセージに対する応答メッセージを受信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含む、ように構成される。第1のサービス要求メッセージがサービス通信プロキシに送信されると、処理ユニットは、指示情報に基づいて第1のサービス要求メッセージをサービス通信プロキシに送信するように構成される。
1つの可能な設計では、指示情報は第3のクライアント資格情報アサーションを含み、第3のクライアント資格情報アサーションは第2のネットワーク機能タイプを含み、第3のクライアント資格情報アサーションは第2のサービスを提供するネットワーク要素を認証するために使用される。トランシーバユニットは、指示情報に基づいて第1のサービス要求メッセージがサービス通信プロキシに送信されると、第3のクライアント資格情報アサーションに基づく、第2のサービスを提供するネットワーク要素に対する認証が成功したときに、サービス通信プロキシに第1のサービス要求メッセージを送信するように構成される。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、第1のクライアント資格情報アサーションは、装置の識別子または有効時間情報のうちの1つまたは複数をさらに含み、有効時間情報は第1のクライアント資格情報アサーションの有効時間を表す。
第8の態様によれば、本出願は通信装置を提供する。本装置は、トランシーバユニットおよび処理ユニットを含む。トランシーバユニットは、サービス通信プロキシから第1のサービス要求メッセージを受信するように構成され、第1のサービス要求メッセージは、装置から第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素を認証するために使用される。第1のクライアント資格情報アサーションは複数のネットワーク機能タイプを含む。処理ユニットは、第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証するように構成される。サービス・コンシューマ・ネットワーク要素が第1のクライアント資格情報アサーションに基づいて認証されると、処理ユニットは、処理ユニットのネットワーク機能タイプが複数のネットワーク機能タイプのうちの1つまたは複数と一致するかどうか決定する。処理ユニットは、トランシーバユニットを呼び出して、認証結果に基づいて、第1のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。
1つの可能な設計では、認証結果が、認証が成功したことであるとき、トランシーバユニットは、サービス通信プロキシに第1のサービス要求メッセージに対する応答メッセージを送信し、第1のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供するために使用される、ように構成される。あるいは、認証結果が、認証が失敗したことであるとき、トランシーバユニットは、サービス通信プロキシに第1のサービス要求メッセージに対する応答メッセージを送信し、第1のサービス要求メッセージに対する応答メッセージは、第1のサービスの要求に失敗したことを示す、ように構成される。
1つの可能な設計では、複数のネットワーク機能タイプは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、装置のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられる。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示すか、または、第2のサービスは、装置に関する情報を提供するために使用される。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、第1のサービスは、第2のサービスに対応するアクセストークンを提供するために使用され、第2のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第2のサービスを取得する許可を有することを示すか、または、第1のサービスは、第2のネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、装置は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、トランシーバユニットは、サービス通信プロキシから第2のサービス要求メッセージを受信し、第2のサービス要求メッセージは装置から第1のサービスを要求するために使用され、第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは第3のネットワーク機能タイプを含む、ように構成される。
第3のネットワーク機能タイプが装置のネットワーク機能タイプと一致しないとき、トランシーバユニットは、サービス通信プロキシに第2のサービス要求メッセージに対する応答メッセージを送信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含み、指示情報は第1のサービス要求メッセージをトリガするために使用される、ように構成される。
1つの可能な設計では、指示情報は、装置を認証するために使用される第3のクライアント資格情報アサーションを含み、第3のクライアント資格情報アサーションは、装置のネットワーク機能タイプを含む。
1つの可能な設計では、第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子と、第1のクライアント資格情報アサーションの有効時間情報とをさらに含み、第1のクライアント資格情報アサーションの有効時間情報は、第1のクライアント資格情報アサーションの有効時間を表す。処理ユニットが第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証するように構成されることは、第1のクライアント資格情報アサーションの署名が成功したかどうか検証すること、第1のクライアント資格情報アサーションに含まれる有効時間情報に基づいて、第1のクライアント資格情報アサーションが有効期限切れになったかどうか検証すること、または第1のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第1のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであるかどうか検証すること、のうちの1つまたは複数をさらに含む。
第9の態様によれば、本出願は通信装置を提供する。本装置は、トランシーバユニットおよび処理ユニットを含む。処理ユニットは、トランシーバユニットを呼び出して、サービス通信プロキシに第1のサービス要求メッセージを送信し、第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含み、第4のクライアント資格情報アサーションは、サービス・プロデューサ・ネットワーク要素によって、サービス・コンシューマ・ネットワーク要素を認証するために使用され、第5のクライアント資格情報アサーションは、第2のサービスを提供するネットワーク要素によって、サービス・コンシューマ・ネットワーク要素を認証するために使用され、第4のクライアント資格情報アサーションは、第1のネットワーク機能タイプを含み、第5のクライアント資格情報アサーションは、第2のネットワーク機能タイプを含み、第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられており、サービス通信プロキシから第1のサービス要求メッセージに対する応答メッセージを受信する。
1つの可能な設計では、第4のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子と、第4のクライアント資格情報アサーションの有効時間情報とをさらに含み、第4のクライアント資格情報アサーションの有効時間情報は、第4のクライアント資格情報アサーションの有効時間を表す。第5のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子と、第5のクライアント資格情報アサーションの有効時間情報とをさらに含み、第5のクライアント資格情報アサーションの有効時間情報は、第5のクライアント資格情報アサーションの有効時間を表す。
1つの可能な設計では、第5のクライアント資格情報アサーションの有効時間は第4のクライアント資格情報アサーションの有効時間よりも短い。
1つの可能な設計では、第4のクライアント資格情報アサーションの有効時間は第1の持続時間と関連付けられており、第1の持続時間は、サービス・コンシューマ・ネットワーク要素とサービス通信プロキシとの間の伝送遅延と、サービス通信プロキシと第2のサービスを提供するネットワーク要素との間の伝送遅延とに基づいて決定される。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、装置が第1のサービスを取得する許可を有することを表す。
1つの可能な設計では、処理ユニットは、第1のサービスに対応する利用可能なアクセストークンがないと決定するように構成される。
1つの可能な設計では、処理ユニットは、第1のサービスに対応する利用可能なアクセストークンがないと決定したとき、第1のサービスに対応するアクセストークンが格納されていないと決定するか、または、第1のサービスに対応する格納されたアクセストークンが有効期限切れであると決定する、ように構成される。
1つの可能な設計では、処理ユニットは、第1のサービスに対応する格納されたアクセストークンが有効期限切れになったときに、期限切れのアクセストークンを削除するように構成される。
1つの可能な設計では、第2のサービスは、サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、処理ユニットは、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定するように構成される。
1つの可能な設計では、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定したとき、処理ユニットは、第1の端末デバイスのコンテキストが格納されておらず、第1の端末デバイスは第1のサービスに関連付けられているケース、第1のサービスのコンテキストが格納されていないケース、サービス・プロデューサ・ネットワーク要素が第1のスライスに属し、第1のスライスに対応するコンテキストが格納されていないケース、または、装置が初めてサービス通信プロキシと通信するケース、のうちの1つまたは複数に基づいて、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定するように構成される。
1つの可能な設計では、処理ユニットは、間接通信モード、すなわちモードDで第1のサービスを要求すると決定するように構成される。
1つの可能な設計では、トランシーバユニットは、サービス通信プロキシに第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは第1のサービスを要求するために使用され、第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第2のクライアント資格情報アサーションは装置を認証するために使用され、サービス通信プロキシから第2のサービス要求メッセージに対する応答メッセージを受信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含む、ように構成される。第1のサービス要求メッセージがサービス通信プロキシに送信されると、処理ユニットは、指示情報に基づいて第1のサービス要求メッセージをサービス通信プロキシに送信するように構成される。
1つの可能な設計では、指示情報は第3のクライアント資格情報アサーションを含み、第3のクライアント資格情報アサーションは第2のネットワーク機能タイプを含み、第3のクライアント資格情報アサーションは第2のサービスを提供するネットワーク要素を認証するために使用される。トランシーバユニットは、指示情報に基づいて第1のサービス要求メッセージがサービス通信プロキシに送信されると、第3のクライアント資格情報アサーションに基づく、第2のサービスを提供するネットワーク要素に対する認証が成功したときに、サービス通信プロキシに第1のサービス要求メッセージを送信するように構成される。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、第1のクライアント資格情報アサーションは、装置の識別子または有効時間情報のうちの1つまたは複数をさらに含み、有効時間情報は第1のクライアント資格情報アサーションの有効時間を表す。
第10の態様によれば、本出願は通信装置を提供する。本装置は、トランシーバユニットおよび処理ユニットを含む。処理ユニットは、トランシーバユニットを呼び出して、サービス・コンシューマ・ネットワーク要素から第1のサービス要求メッセージを受信し、第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含み、第4のクライアント資格情報アサーションは、サービス・プロデューサ・ネットワーク要素によってサービス・コンシューマ・ネットワーク要素を認証するために使用され、第5のクライアント資格情報アサーションは、第1のネットワーク要素によってサービス・コンシューマ・ネットワーク要素を認証するために使用され、第4のクライアント資格情報アサーションは、第1のネットワーク機能タイプを含み、第5のクライアント資格情報アサーションは、第2のネットワーク機能タイプを含み、第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第1のネットワーク要素のネットワーク機能タイプであり、第1のサービス要求メッセージに応答して第1のネットワーク要素に第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは、第2のサービスを要求するために使用され、第2のサービス要求メッセージは、第5のクライアント資格情報アサーションを含み、第1のネットワーク要素から第2のサービス要求メッセージに対する応答メッセージを受信し、第2のサービス要求メッセージに対する応答メッセージに基づいて、サービス・プロデューサ・ネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、第3のサービス要求メッセージは、第4のクライアント資格情報アサーションを含む。
1つの可能な設計では、処理ユニットは、第1のサービス要求メッセージに基づいて、第2のサービスが第1のネットワーク要素から要求される必要があると決定し、第1のネットワーク要素のネットワーク機能タイプに基づいて、第2のサービス要求メッセージ内で第5のクライアント資格情報アサーションを搬送すると決定する、ように構成される。
1つの可能な設計では、処理ユニットは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプに基づいて、第3のサービス要求メッセージ内の第4のクライアント資格情報アサーションを搬送すると決定する、ように構成される。
1つの可能な設計では、サービス・コンシューマ・ネットワーク要素からの第1のサービス要求メッセージが受信される前に、トランシーバユニットは、サービス・コンシューマ・ネットワーク要素から第4のサービス要求メッセージを受信し、第4のサービス要求メッセージは第1のサービスを要求するために使用され、第3のサービス要求メッセージは第6のクライアント資格情報アサーションを含み、第6のクライアント資格情報アサーションは第3のネットワーク機能タイプを含み、第1のネットワーク要素に第5のサービス要求メッセージを送信し、第5のサービス要求メッセージは第2のサービスを要求するために使用され、第5のサービス要求メッセージは第6のクライアント資格情報アサーションを含み、第1のネットワーク要素から第5のサービス要求メッセージに対する応答メッセージを受信し、第5のサービス要求メッセージに対する応答メッセージは指示情報を含み、指示情報に基づいてサービス・コンシューマ・ネットワーク要素に第4のサービス要求メッセージに対する応答メッセージを送信する、ように構成される。
1つの可能な設計では、指示情報は第7のクライアント資格情報アサーションを含み、第7のクライアント資格情報アサーションは第1のネットワーク要素のネットワーク機能タイプを含み、第4のサービス要求メッセージに対する応答メッセージは第7のクライアント資格情報アサーションをさらに含む。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示す。
1つの可能な設計では、処理ユニットは、第1のサービスに対応する利用可能なアクセストークンが格納されておらず、第1のサービス要求メッセージは第1のサービスに対応するアクセストークンを含まないと決定する、ように構成される。
1つの可能な設計では、第2のサービスは、サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、処理ユニットは、サービス・プロデューサ・ネットワーク要素に関する情報が格納されておらず、第1のサービス要求メッセージはサービス・プロデューサ・ネットワーク要素に関する情報を含まないと決定する、ように構成される。
1つの可能な設計では、第4のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子と、第4のクライアント資格情報アサーションの有効時間情報とをさらに含み、第4のクライアント資格情報アサーションの有効時間情報は、第4のクライアント資格情報アサーションの有効時間を表す。第5のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子と、第5のクライアント資格情報アサーションの有効時間情報とをさらに含み、第5のクライアント資格情報アサーションの有効時間情報は、第5のクライアント資格情報アサーションの有効時間を表す。
1つの可能な設計では、第5のクライアント資格情報アサーションの有効時間は第4のクライアント資格情報アサーションの有効時間よりも短い。
1つの可能な設計では、第4のクライアント資格情報アサーションの有効時間は第1の持続時間と関連付けられており、第1の持続時間は、サービス・コンシューマ・ネットワーク要素とサービス通信プロキシとの間の伝送遅延と、サービス通信プロキシと第2のサービスを提供するネットワーク要素との間の伝送遅延とに基づいて決定される。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
第11の態様によれば、本出願は通信装置を提供する。本装置は、トランシーバユニットおよび処理ユニットを含む。処理ユニットは、トランシーバユニットを呼び出して、サービス通信プロキシから第1のサービス要求メッセージを受信し、第1のサービス要求メッセージは、第1のネットワーク要素から第1のサービスを要求するために使用され、第1のサービス要求メッセージは、複数のクライアント資格情報アサーションを含み、各クライアント資格情報アサーションは、ネットワーク機能タイプを含む。第1のネットワーク要素は、複数のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証する。第1のネットワーク要素が複数のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証することは、第1のネットワーク要素が、複数のクライアント資格情報アサーション内の1つまたは複数のクライアント資格情報アサーションがサービス・コンシューマ・ネットワーク要素を正常に認証することができるどうかを決定することを含む。第1のネットワーク要素は、認証結果に基づいて、第1のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。
1つの可能な設計では、認証結果が、1つまたは複数のクライアント資格情報アサーションがサービス・コンシューマ・ネットワーク要素を正常に認証したことを示すとき、第1のネットワーク要素は、第1のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信し、第1のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供するために使用される。あるいは、認証結果が、複数のクライアント資格情報アサーションのいずれか1つがサービス・コンシューマ・ネットワーク要素の認証に失敗したことを示すとき、第1のネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージに対する応答メッセージを送信し、第1のサービス要求メッセージに対する応答メッセージは、第1のサービスの要求が失敗したことを示す。
1つの可能な設計では、複数のクライアント資格情報アサーションは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含む。第4のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第5のクライアント資格情報アサーションは第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、第1のネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられる。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示すか、または、第2のサービスは、第1のネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、第1のサービスは、第2のサービスに対応するアクセストークンを提供するために使用され、第2のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第2のサービスを取得する許可を有することを示すか、または、第1のサービスは、第2のネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、第1のネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
1つの可能な設計では、トランシーバユニットは、サービス通信プロキシから第2のサービス要求メッセージを受信し、第2のサービス要求メッセージは、第1のネットワーク要素から第1のサービスを要求するために使用され、第2のサービス要求メッセージは、第6のクライアント資格情報アサーションを含み、第6のクライアント資格情報アサーションは、第3のネットワーク機能タイプを含む、ように構成される。
第3のネットワーク機能タイプが第1のネットワーク要素のネットワーク機能タイプと一致しないとき、トランシーバユニットは、サービス通信プロキシに第2のサービス要求メッセージに対する応答メッセージを送信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含み、指示情報は第1のサービス要求メッセージをトリガするために使用される、ように構成される。
1つの可能な設計では、指示情報は、第1のネットワーク要素を認証するために使用される第7のクライアント資格情報アサーションを含み、第7のクライアント資格情報アサーションは、第1のネットワーク要素のネットワーク機能タイプを含む。
第12の態様によれば、本出願は通信装置を提供する。本装置は、トランシーバユニットおよび処理ユニットを含む。サービス・コンシューマ・ネットワーク要素は、装置を使用してサービス・プロデューサ・ネットワーク要素から第1のサービスを要求する。処理ユニットは、トランシーバユニットを呼び出して、サービス・コンシューマ・ネットワーク要素にクライアント資格情報アサーション要求メッセージを送信し、クライアント資格情報アサーション要求メッセージは第1のクライアント資格情報アサーションを要求するために使用され、第1のクライアント資格情報アサーションは第2のデバイスを提供するネットワーク要素によってサービス・コンシューマ・ネットワーク要素を認証するために使用され、第2のサービスは第1のサービスに関連付けられ、サービス・コンシューマ・ネットワーク要素から、クライアント資格情報アサーション要求メッセージに対する応答メッセージを受信し、クライアント資格情報アサーション要求メッセージに対する応答メッセージは第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションは第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、または第1のクライアント資格情報アサーションは第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプである。
1つの可能な設計では、クライアント資格情報アサーション要求メッセージがサービス・コンシューマ・ネットワーク要素に送信される前に、トランシーバユニットは、サービス・コンシューマ・ネットワーク要素から第1のサービス要求メッセージを受信し、第1のサービス要求メッセージは第1のサービスを要求するために使用され、第1のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第2のサービスを提供するネットワーク要素に第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは第2のサービスを要求するために使用され、第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、第2のサービスを提供するネットワーク要素から第2のサービス要求メッセージに対する応答メッセージを受信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含み、クライアント資格情報アサーション要求メッセージがサービス・コンシューマ・ネットワーク要素に送信されるときに、指示情報に基づいてクライアント資格情報アサーション要求メッセージをサービス・コンシューマ・ネットワーク要素に送信する、ように構成される。
1つの可能な設計では、指示情報は第3のクライアント資格情報アサーションを含み、第3のクライアント資格情報アサーションは第1のネットワーク要素のネットワーク機能タイプを含み、クライアント資格情報アサーション要求メッセージは第3のクライアント資格情報アサーションを含む。
1つの可能な設計では、第1のクライアント資格情報アサーションは第2のネットワーク機能タイプを含む。サービス通信プロキシは、第1のネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、第2のサービスを要求するために使用され、第3のサービス要求メッセージは、第1のクライアント資格情報アサーションを含む。サービス通信プロキシは、第1のネットワーク要素から第3のサービス要求メッセージに対する応答メッセージを受信する。サービス通信プロキシは、第3のサービス要求メッセージに対する応答メッセージに基づいてサービス・プロデューサ・ネットワーク要素に第4のサービス要求メッセージを送信し、第4のサービス要求メッセージは第1のサービスを要求するために使用され、第4のサービス要求メッセージは第2のクライアント資格情報アサーションを含む。
1つの可能な設計では、第1のクライアント資格情報アサーションは第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含む。トランシーバユニットは、第1のネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは第2のサービスを要求するために使用され、第3のサービス要求メッセージは第1のクライアント資格情報アサーションを含み、第1のネットワーク要素から第3のサービス要求メッセージに対する応答メッセージを受信し、第3のサービス要求メッセージに対する応答メッセージに基づいてサービス・プロデューサ・ネットワーク要素に第4のサービス要求メッセージを送信し、第4のサービス要求メッセージは第1のサービスを要求するために使用され、第4のサービス要求メッセージは第1のクライアント資格情報アサーションを含むか、または第4のサービス要求メッセージは第2のクライアント資格情報アサーションを含む、ように構成される。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示す。
1つの可能な設計では、クライアント資格情報アサーション要求メッセージがサービス・コンシューマ・ネットワーク要素に送信される前に、処理ユニットは、第1のアクセストークンが格納されておらず、第1のサービス要求メッセージが第1のサービスに対応するアクセストークンを含まないと決定するように構成される。
1つの可能な設計では、第2のサービスは、サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、クライアント資格情報アサーション要求メッセージがサービス・コンシューマ・ネットワーク要素に送信される前に、処理ユニットは、サービス・プロデューサ・ネットワーク要素に関する情報が格納されておらず、第1のサービス要求メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を含まないと決定するように構成される。
1つの可能な設計では、第2のサービスを提供するネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素である。
第13の態様によれば、本出願は通信装置をさらに提供する。装置は、前述の方法設計を実行し得る。装置は、前述の方法に対応する機能を実行することができるチップもしくは回路、またはチップもしくは回路を含むデバイスであり得る。
可能な一実施態様では、装置は、コンピュータ実行可能プログラムコードを格納するように構成されたメモリと、プロセッサとを含み、プロセッサはメモリに結合されている。メモリに格納されているプログラムコードは命令を含む。プロセッサが命令を実行すると、装置または装置がインストールされたデバイスは、第1の態様から第6の態様の可能な設計のいずれか1つの方法を実行することを可能にされる。
装置は、通信インターフェースをさらに含んでもよい。通信インターフェースはトランシーバであってもよい。あるいは、装置がチップまたは回路である場合、通信インターフェースは、チップの入力/出力インターフェース、例えば入力/出力ピンであってもよい。
1つの可能な設計では、装置は、前述の方法のステップをそれぞれ実装するように構成された対応する機能ユニットを含む。機能は、ハードウェアによって実装されてもよく、または対応するソフトウェアを実行するハードウェアによって実装されてもよい。ハードウェアまたはソフトウェアは、前述の機能に対応する1つまたは複数のユニットを含む。
第14の態様によれば、本出願の一実施形態はコンピュータ可読記憶媒体を提供し、コンピュータ可読記憶媒体はコンピュータプログラムを格納し、コンピュータプログラムが装置上で動作されると、第1の態様から第6の態様の可能な設計のいずれか1つにおける方法が実行される。
第15の態様によれば、本出願の一実施形態はコンピュータプログラム製品を提供し、コンピュータプログラム製品はコンピュータプログラムを含み、コンピュータプログラムが装置上で動作されると、第1の態様から第6の態様の可能な設計のいずれか1つの方法が実行される。
第16の態様によれば、本出願は通信チップを提供し、通信チップは命令を記憶し、命令が通信デバイス上で動作されると、通信チップは、第1の態様から第6の態様の可能な設計のいずれか1つの方法を実行することを可能にされる。
本出願の一実施形態が適用される移動通信システムのアーキテクチャの概略図である。 本出願の一実施形態による間接通信モード、すなわちモードCの概略図である。 本出願の一実施形態による間接通信モード、すなわちモードDの概略図である。 本出願の一実施形態による、間接通信モード、すなわちモードCにおけるNFサービスconsumerとNRFとの間の直接対話の概略図である。 本出願の一実施形態による、間接通信モード、すなわちモードCにおける、SCPを介したNFサービスconsumerとNRFとの間の対話の概略図である。 本出願の一実施形態による、間接通信モード、すなわちモードDにおける、SCPを介したNFサービスconsumerとNRFとの間の対話の概略図1である。 本出願の一実施形態による、間接通信モード、すなわちモードDにおける、SCPを介したNFサービスconsumerとNRFとの間の対話の概略図2である。 本出願の一実施形態による通信方法の概要フローチャート1である。 本出願の一実施形態による、サービス・コンシューマ・ネットワーク要素が指示情報に基づいてサービス通信プロキシに第1のサービス要求メッセージを送信する具体的なプロセスを示す図である。 本出願の一実施形態による通信方法の概要フローチャート2である。 本出願の一実施形態による通信方法の概要フローチャート3である。 本出願の一実施形態による通信方法の概要フローチャート4である。 本出願の一実施形態による、第1のサービスが要求される必要があり、第1のサービスに対応する利用可能なaccess tokenがないと決定されたときにNFサービスconsumerが第1のサービスを取得するフローチャート1である。 本出願の一実施形態による、第1のサービスが要求される必要があり、第1のサービスに対応する利用可能なaccess tokenがないと決定されたときにNFサービスconsumerが第1のサービスを取得するフローチャート2である。 本出願の一実施形態による、第1のサービスが要求される必要があり、第1のサービスに対応する利用可能なaccess tokenがないと決定されたときにNFサービスconsumerが第1のサービスを取得するフローチャート3である。 本出願の一実施形態による、第1のサービスが要求される必要があり、第1のサービスに対応する利用可能なaccess tokenがあると決定されたときにNFサービスconsumerが第1のサービスを取得するフローチャートである。 本出願の一実施形態による、第1のサービスが要求される必要があり、第1のサービスが、NFサービスproducerのパラメータを要求するためにSCPをトリガするように要求されるときに、NFサービスconsumerが第1のサービスを取得するフローチャート1である。 本出願の一実施形態による、第1のサービスが要求される必要があり、第1のサービスが、NFサービスproducerのパラメータを要求するためにSCPをトリガするように要求されるときに、NFサービスconsumerが第1のサービスを取得するフローチャート2である。 本出願の一実施形態による、第1のサービスを取得するために、NFサービスconsumerが指示情報に基づいてサービス要求メッセージをSCPに送信するフローチャートである。 本出願の一実施形態による、第1のサービスを取得するために、NFサービスconsumerが指示情報に基づいてサービス要求メッセージをSCPに送信するフローチャートである。 本出願の一実施形態による、SCPがクライアント資格情報アサーションを能動的に要求するときにNFサービスconsumerが第1のサービスを取得するフローチャートである。 本出願の一実施形態による、SCPがクライアント資格情報アサーションを能動的に要求するときにNFサービスconsumerが第1のサービスを取得するフローチャートである。 本出願の一実施形態による通信装置の構造の概略図1である。 本出願の一実施形態による通信装置の構造の概略図2である。
以下は、本出願の実施形態における添付の図面を参照して、本出願の実施形態における技術的解決策について明確かつ完全に説明する。説明されている実施形態は、本出願の実施形態の一部にすぎず、すべてではないことは明らかである。本出願の明細書、特許請求の範囲、および添付の図面において、「第1」、「第2」、対応する用語番号などは、類似する対象を区別することを意図されており、必ずしも特定の順序または順番を示すものではない。このように使用される用語は、適切な状況において交換可能であり、これは、本出願の実施形態において同じ属性を有する対象が説明される際に使用される区別方式にすぎないことを理解されたい。加えて、「含む」、「含有する」という用語および任意の他の変種は、一連のユニットを含むプロセス、方法、システム、製品、またはデバイスが、必ずしもそれらのユニットに限定されず、明示的に列挙されていない、またはこのようなプロセス、方法、システム、製品、もしくはデバイスに固有の他のユニットを含み得るように、非排他的な包含に該当することを意味する。
本出願の説明において、特に明記しない限り、「/」は「または」を意味する。例えば、A/Bは、AまたはBを表し得る。本出願において、「および/または」は、関連付けられた対象を説明するための関連付け関係のみを説明しており、3つの関係が存在し得ることを表す。例えば、Aおよび/またはBは、以下の3つの場合、すなわち、Aのみが存在する場合、AおよびBの両方が存在する場合、およびBのみが存在する場合を表すことができる。加えて、本出願の説明において、「少なくとも1つの項目」は1つまたは複数の項目を意味し、「複数の項目」は2つ以上の項目を意味する。以下の少なくとも1つの項目(ピース)またはその類似表現は、単数の項目(ピース)または複数の項目(ピース)の任意の組み合わせを含む、これらの項目の任意の組み合わせを意味する。例えば、a、b、またはcのうちの少なくとも1つの項目(ピース)は、a、b、c、aおよびb、aおよびc、bおよびc、またはa、b、およびcを示すことができ、a、b、およびcは、単数または複数であってもよい。
本出願の実施形態における技術的解決策は、広帯域符号分割多元接続(Wideband Code Division Multiple Access、WCDMA)システム、汎用パケット無線サービス(general packet radio service、GPRS)、ロングタームエボリューション(Long Term Evolution、LTE)システム、LTE周波数分割複信(frequency division duplex、FDD)システム、LTE時分割複信(time division duplex、TDD)システム、ユニバーサル・モバイル・テレコミュニケーション・システム(universal mobile telecommunication system、UMTS)、ワールドワイド・インターオペラビリティ・フォー・マイクロウェーブ・アクセス(worldwide interoperability for microwave access、WiMAX)通信システム、第5世代(5th generation、5G)システム、またはさらなる第6世代通信システムなどの様々な通信システムに適用され得る。
本出願の実施形態の理解を容易にするために、本出願で使用されるアプリケーションシナリオは、一例として図1に示す拡張されたサービスベースのアーキテクチャを使用して説明される。具体的には、拡張されたサービスベースのアーキテクチャは、以下のデバイスを特に含むことができるが、これらに限定されない。
1.セッション管理ネットワーク要素:セッションの管理、端末デバイスのインターネットプロトコル(internet protocol、IP)アドレスの割り当ておよび管理、ユーザ機器プレーン機能インターフェースおよびポリシーコントロールまたは課金機能インターフェースを管理することができるエンドポイントの選択、ダウンリンクデータ通知の実行などを行うように、主に構成される。5G通信では、セッション管理ネットワーク要素は、セッション管理機能(session management function、SMF)ネットワーク要素であってもよい。6G通信などの将来の通信では、セッション管理機能ネットワーク要素は引き続きSMFネットワーク要素である可能性があり、あるいは別の名称を有する可能性がある。これは本出願で限定されない。Nsmfは、SMFによって提供されるサービスベースのインターフェースである。SMFは、Nsmfを介して別のネットワーク機能と通信し得る。
2.アクセス管理ネットワーク要素:モビリティ管理やアクセス管理などを行うように主に構成される。アクセス管理ネットワーク要素は、機能、例えば、セッション管理以外のモビリティ管理エンティティ(mobility management entity、MME)機能で合法的な傍受やアクセス認可(または認証)を実装するように構成されてもよい。5G通信では、アクセス管理ネットワーク要素は、アクセス・モビリティ管理機能(access and mobility management function、AMF)ネットワーク要素であってもよい。6G通信などの将来の通信では、アクセス管理ネットワーク要素は、引き続きAMFネットワーク要素である可能性があり、あるいは別の名称を有する可能性がある。これは本出願で限定されない。Namfは、AMFによって提供されるサービスベースのインターフェースである。AMFは、Namfを介して別のネットワーク機能と通信し得る。
3.認証サービスネットワーク要素:ユーザ認証などを行うように主に構成される。5G通信では、認証サービスネットワーク要素は、認証サーバ機能(authentication server function、AUSF)ネットワーク要素であってもよい。6G通信などの将来の通信では、認証サービスネットワーク要素は、引き続きAUSFネットワーク要素である可能性があり、あるいは別の名称を有する可能性がある。これは本出願で限定されない。Nausfは、AUSFによって提供されるサービスベースのインターフェースである。AUSFは、Nausfを介して別のネットワーク機能と通信してもよい。
4.ネットワーク露出ネットワーク要素:第3世代パートナーシッププロジェクト(3rd generation partnership project、3GPP)ネットワーク機能によって提供されるサービス、能力などを外部に安全に露出するように構成される。5G通信では、ネットワーク露出ネットワーク要素は、ネットワーク露出機能(network exposure function、NEF)ネットワーク要素であってもよい。6G通信などの将来の通信では、ネットワーク露出機能ネットワーク要素は、引き続きNEFネットワーク要素である可能性があり、あるいは別の名称を有する可能性がある。これは本出願で限定されない。Nnefは、NEFによって提供されるサービスベースのインターフェースである。NEFは、Nnefを介して別のネットワーク機能と通信してもよい。
5.ネットワーク・リポジトリ・ネットワーク要素:サービス登録、発見、および認可を提供し、利用可能なネットワーク機能(network function、NF)インスタンス情報を維持するように構成される。これらの機能は、NF相互接続ならびにオンデマンドのネットワーク機能およびサービス構成を達成するのに役立つ。サービス登録は、NFネットワーク要素が、ネットワーク・リポジトリ・ネットワーク要素に登録された後にのみサービスを提供することができることを意味する。サービス発見は、NFネットワーク要素が、NFネットワーク要素にサービスを提供するために別のNFネットワーク要素を必要とするとき、NFネットワーク要素は、NFネットワーク要素にサービスを提供する予期されるNFネットワーク要素を発見するために、ネットワーク・リポジトリ・ネットワーク要素を使用してサービス発見を実行する必要があることを意味する。例えば、NFネットワーク要素1がNFネットワーク要素1にサービスを提供するためにNFネットワーク要素2を必要とするとき、NFネットワーク要素1は、NFネットワーク要素2を発見するために、ネットワーク・リポジトリ・ネットワーク要素を使用してサービス発見を実行する必要がある。サービス認可は、NFネットワーク要素がサービスを提供するために別のNFネットワーク要素を必要とするとき、NFネットワーク要素が、認可情報に基づいて、別のNFネットワーク要素によって提供されるサービスをさらに取得するために、ネットワーク・リポジトリ・ネットワーク要素を使用して認可情報を取得する必要があることを意味する。例えば、NFネットワーク要素1がNFネットワーク要素2からサービスを要求する前に、NFネットワーク要素1は、まず、ネットワーク記憶ネットワーク要素から、NFネットワーク要素2にアクセスするための認可情報を要求し、NFネットワーク要素1は、取得された認可情報に基づいて、NFネットワーク要素2にサービスを要求する。5G通信では、ネットワーク・リポジトリ・ネットワーク要素は、ネットワークリポジトリ機能(network repository function、NRF)ネットワーク要素であってもよい。6G通信などの将来の通信では、ネットワークリポジトリ機能ネットワーク要素は、引き続きNRFネットワーク要素である可能性があり、あるいは別の名称を有する可能性がある。これは本出願で限定されない。Nnrfは、NRFによって提供されるサービスベースのインターフェースである。NRFは、Nnrfを介して別のネットワーク機能と通信してもよい。
6.ポリシーコントロールネットワーク要素:ネットワーク挙動のための統一されたポリシーフレームワークをガイドし、コントロールプレーン機能ネットワーク要素(例えば、AMFまたはSMF)のためのポリシールール情報などを提供するように構成される。5G通信では、ポリシーコントロールネットワーク要素は、ポリシーコントロール機能(policy control function、PCF)ネットワーク要素であってもよい。6G通信などの将来の通信では、ポリシーコントロール機能ネットワーク要素は、引き続きNEFネットワーク要素である可能性があり、あるいは別の名称を有する可能性がある。これは本出願で限定されない。Npcfは、PCFによって提供されるサービスベースのインターフェースである。PCFは、Npcfを介して別のネットワーク機能と通信してもよい。
7.データ管理ネットワーク要素:ユーザ識別子処理、アクセス認証、登録、モビリティ管理などを実行するように構成される。5G通信では、データ管理ネットワーク要素は、統一データ管理(unified data management、UDM)ネットワーク要素であってもよい。6G通信などの将来の通信では、データ管理ネットワーク要素は、引き続きUDMネットワーク要素である可能性があり、あるいは別の名称を有する可能性がある。これは本出願で限定されない。Nudmは、UDMによって提供されるサービスベースのインターフェースである。UDMは、Nudmを介して別のネットワーク機能と通信してもよい。
8.アプリケーションネットワーク要素:アプリケーションの影響を受けるデータのルーティングを行い、ネットワーク露出機能にアクセスし、ポリシーコントロールを行うためにポリシーフレームワークとの対話などを行うように構成される。5G通信では、アプリケーションネットワーク要素は、アプリケーション機能(application function、AF)ネットワーク要素であってもよい。6G通信などの将来の通信では、アプリケーションネットワーク要素は、引き続きAFネットワーク要素である可能性があり、あるいは別の名称を有する可能性がある。これは本出願で限定されない。Nafは、AFによって提供されるサービスベースのインターフェースである。AFは、Nafを介して別のネットワーク機能と通信してもよい。
9.ユーザ機器(user equipment、UE):無線通信機能を有する様々なハンドヘルドデバイス、車載デバイス、ウェアラブルデバイス、もしくはコンピューティングデバイス、または無線モデムに接続された別の処理デバイス、および様々な形態の端末、移動局(mobile station、MS)、端末(terminal)、ユーザ機器(user equipment、UE)、ソフトウェア端末など、例えば水道メータ、電気メータ、およびセンサを含み得る。
10.(無線)アクセスネットワーク(radio access network、(R)AN)のネットワーク要素:特定のエリア内で認可されたユーザ機器にネットワークアクセス機能を提供するように構成され、ユーザ機器レベル、サービス要件などに基づいて質の異なる伝送トンネルを使用することができる。
RANネットワーク要素は、端末とコアネットワークとの間で制御信号およびユーザ機器データを転送するために、無線リソースを管理して、端末デバイスにアクセスサービスを提供することができる。RANネットワーク要素はまた、従来のネットワークにおける基地局として理解されてもよい。
11.ユーザプレーン(user plane function、UPF)ネットワーク要素:パケットのルーティングおよび転送、ユーザプレーンデータに対してのクオリティ・オブ・サービス(quality of service、QoS)処理などを行うように構成される。5G通信では、ユーザプレーンネットワーク要素は、ユーザプレーン機能(user plane function、UPF)ネットワーク要素であってもよい。6G通信などの将来の通信では、ユーザプレーンネットワーク要素は、引き続きUPFネットワーク要素である可能性があり、あるいは別の名称を有する可能性がある。これは本出願で限定されない。
12.データネットワーク(data network、DN)ネットワーク要素は、データを伝送するためのネットワーク、例えば、Internetネットワークを提供するように構成される。DNネットワーク要素は、データネットワーク認証、認可、およびアカウンティング(data network authentication、authorization、accounting)のネットワーク要素、アプリケーションサーバ(application function)などであってもよい。
13.SCP:サービス指向インターフェースメッセージをルーティングおよび転送するように構成される。これはまた、SCPがサービス指向インターフェースシグナリングの送信者にルーティングおよび転送サービスを提供し得ることとして理解され得る。例えば、AMFがSMFにセッションを確立するように要求すると、AMFはSCPにセッション確立要求メッセージを送信し、SCPはSMFにセッション確立要求メッセージを送信し、SMFはセッション確立要求メッセージに応答するかどうかを決定する。SMFがセッション確立応答メッセージをSCPに送信する場合、SCPはセッション確立応答メッセージをAMFに送信する。SMFがセッション確立拒否メッセージをSCPに送信する場合、SCPはセッション確立拒否メッセージをAMFに送信する。AMFとSMFとの間で交換されるメッセージは、1ホップSCPまたはマルチホップSCPを通過し得る。
前述した機能やネットワーク要素が、ハードウェアデバイス内のネットワーク要素、専用のハードウェア上で動作するソフトウェア機能、またはプラットフォーム(例えば、クラウドプラットフォーム)上でインスタンスとして生成される仮想機能であってもよいことが理解され得る。本出願の実施形態の適用シナリオはこれに限定されず、前述のネットワーク機能を実装することができる任意のネットワークアーキテクチャが本出願の実施形態に適用可能である。
以下の内容では、コンシューマ、サービス・コンシューマ・ネットワーク要素、およびNFサービスconsumerは同じタイプのネットワーク要素であり、プロデューサ、サービス・プロデューサ・ネットワーク要素、およびNFサービスproducerは同じタイプのネットワーク要素であることに留意されたい。本出願の以下の実施形態では、ローカルオペレータポリシーは、NFサービスconsumerによってSCPに送信されたサービス要求メッセージがCCAを搬送する必要があることを示すと仮定される。例えば、ローカルオペレータポリシーは、間接通信中にNFサービスconsumerがCCAを生成し、CCAに基づいてNFサービスconsumerを認証するように構成されてもよい。
前述の拡張されたサービスベースのアーキテクチャに基づいて、以下で、間接通信手順のいくつかのモードを簡単に説明する。
1.委任発見を伴わない間接通信(indirect communication without delegated discovery)(これは、簡単にモードCと呼ばれる)
コンシューマは、サービス発見手順を実行して対応するサービス・プロデューサ・ネットワーク要素を選択するために、NRFと直接通信し、SCPネットワーク要素はサービス発見手順に参加する必要がない。
以下、図2を参照して、モードCについて説明する。
ステップ201:consumerは、producer発見メッセージをNRFに送信する。
ステップ202:NRFは、利用可能なproducerに関する情報をconsumerに送信する。
いくつかの実施形態では、consumerは、利用可能なproducerに関する取得された情報に基づいてターゲットproducerを選択し得る。利用可能なproducerに関する情報は、NF set Id、特定のNFインスタンス識別子などを含み得る。具体的には、ターゲットproducerは、NF set Idに対応する任意のNFインスタンス(すなわち、producerセット内の任意のproducer)、特定のNF set Idに対応するNFインスタンス内の特定のNFインスタンス(すなわち、特定のproducer)、または特定のNFインスタンス(すなわち、特定のproducer)であり得る。
いくつかの実施形態では、SCPは、ターゲットproducerの選択を担当し得る。詳細については、以下のステップ204を参照されたい。
ステップ203:consumerは、SCPを介してターゲットproducerから特定のサービスを要求するために、サービス要求メッセージをSCPに送信する。
ステップ204:SCPは、ターゲットproducerを選択するためのパラメータを取得するためにNRFと対話する。
例えば、SCPによって取得されるパラメータは、NFインスタンスの位置、容量などを含み得るが、これらに限定されない。
ステップ204は任意選択のステップであることに留意されたい。例えば、サービス要求メッセージは、利用可能なproducerに関する情報を含む。例えば、利用可能なproducerに関する情報は、NF set Idを含み、言い換えれば、利用可能なproducerに関する情報は、NFインスタンスのグループを指す。SCPは、NFインスタンスのグループからNFインスタンスをターゲットproducerとして選択する必要がある。具体的には、SCPは、NRFから取得されたパラメータに基づいてターゲットproducerを選択し得る。例えば、SCPは、NFインスタンスの取得された位置に基づいて、NFインスタンスのグループからターゲットproducerを決定し得る。
ステップ205:SCPは、ターゲットproducerにサービス要求メッセージを送信して、ターゲットproducerに特定のサービスを要求する。
ステップ206:ターゲットproducerは、特定のサービスを提供するためのサービス要求応答メッセージをSCPに送信する。
ステップ207:SCPは、特定のサービスを提供するためのサービス要求応答メッセージをconsumerに送信する。
2.委任発見を伴う間接通信(indirect communication with delegated discovery)(これは、簡単にモードDと呼ばれる)
consumerはNRFと直接通信しない。SCPネットワーク要素は、サービス発見手順を実行して対応するサービス・プロデューサ・ネットワーク要素を選択するために、NRFと通信するためのコンシューマのプロキシとして機能する。
以下、図3を参照して、モードDについて説明する。
ステップ301:consumerは、SCPを介してターゲットproducerから特定のサービスを要求するために、サービス要求メッセージをSCPに送信する。
サービス要求メッセージは、ターゲットproducerの発見および選択に使用されるパラメータを含む。
ステップ302:SCPは、利用可能なproducerに関する情報を取得するためにNRFと対話する。
SCPは、ステップ301のサービス要求メッセージ内にあり、ターゲットproducerの発見および選択に使用されるパラメータに基づいて、利用可能なproducerに関する情報を取得し、利用可能なproducerに関する情報からターゲットproducerを決定し得る。
ステップ303:SCPは、ターゲットproducerにサービス要求メッセージを送信して、ターゲットproducerから特定のサービスを要求する。
ステップ304:ターゲットproducerは、特定のサービスを提供するためのサービス要求応答メッセージをSCPに送信する。
ステップ305:SCPは、特定のサービスを提供するためのサービス要求応答メッセージをconsumerに送信する。
本出願の実施形態では、consumerからSCPによって受信されたサービス要求メッセージと、SCPによってターゲットproducerに送信されたサービス要求メッセージとは、同じであっても異なっていてもよいことに留意されたい。例えば、SCPは、サービス要求メッセージを生成してターゲットproducerに送信するために、consumerから受信したサービス要求メッセージを修正し得る(例えば、いくつかの情報を追加、削除、または修正し得る)。同様に、ターゲットproducerからSCPによって受信されたサービス要求応答メッセージと、SCPによってconsumerに送信されたサービス要求応答メッセージとは、同じであっても異なっていてもよい。例えば、SCPは、ターゲットproducerから受信したサービス要求応答メッセージを修正して、consumerに送信されたサービス要求応答メッセージを生成してもよい。
さらに、図2および図3に示す間接通信手順では、consumerがSCPを介してproducerと通信するとき、producerは、サービス要求を開始するconsumerをさらに認証する必要がある。同様に、consumerがSCPを介してNRFと通信するとき、NRFはまた、サービス要求を開始するconsumerを認証する必要がある。
前述の間接通信シナリオにおける認証要件について、以下で本出願の実施形態における検証情報について説明する。
1.クライアント資格情報アサーション(client credentials assertion、CCA)
例えば、CCAは、ピアによって署名されたトークン(token)であってもよく、ピアを認証/検証する、すなわちピアのアイデンティティを決定するために認証者によって使用される。
例えば、CCAは、NFサービスconsumerによって署名されたトークンである。CCAは、メッセージの受信者(すなわち、認証者、例えば、NRFまたはNFサービスproducer)がNFサービスconsumerを認証するように、メッセージに含まれる。例えば、CCAは、ハイパーテキスト転送プロトコル(hypertext transfer protocol、HTTP)メッセージのメッセージヘッダまたはメッセージボディに含まれてもよい。
CCAは、メッセージヘッダ(head)、ペイロード(payload)、および署名(signature)の3つの部分を含んでもよい。
ペイロードは、請求項(claims)を含む。例えば、claimsは、NFサービスconsumerのNFインスタンスID、タイムスタンプ(timestamp)、有効期限、および予期されるオーディエンスのNF typeを含む。タイムスタンプはCCAの解放時間を示し、有効期限はCCAがその時間の後に期限切れになると見なされることを示す。予期されるオーディエンスのNF typeは、NFサービスconsumerを認証するネットワーク要素のNF typeである。
メッセージヘッダおよびペイロードは、NFサービスconsumer証明書の秘密鍵に基づいてNFサービスconsumerによって署名される。メッセージヘッダは、証明書情報、すなわち、NFサービスconsumer証明書の関連情報を含む。例えば、証明書情報は、公開鍵に配置される証明書もしくは証明書チェーンを含むか、または証明書情報は、公開鍵に配置される証明書もしくは証明書チェーンのユニフォームリソースロケータ(uniform resource locator、URL)を含む。
認証者(例えば、NRFまたはNFサービスproducer)がCCAを含むメッセージを受信すると、認証者はCCAに基づいてNFサービスconsumerを認証する。認証プロセスは以下の通りである:
CCAの署名が検証される。署名検証が成功した場合、CCAが有効期限切れであるかどうかは、CCAのタイムスタンプおよび/または有効期限に基づいて検証される。CCAが有効期限切れでない場合、認証者は、予期されるオーディエンスのNF typeが認証者のNF typeと一致するかどうかをさらに検証する。予期されるオーディエンスのNF typeが認証者のNF typeと一致する場合、認証者は、CCA内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。NFサービスconsumerのNFインスタンスIDが証明書内のNFインスタンスIDと一致する場合、すべての検証が成功し、認証者はNFサービスconsumerに対する認証が成功したと決定する。前述の検証の順序は、本出願では限定されないことに留意されたい。
認証者が、予期されるオーディエンスのNF typeが認証者のNF typeと一致するかどうかを検証することは、例えば、認証者が、予期されるオーディエンスのNF typeが認証者のNF typeと同じであるかどうかを決定することを含んでもよい。例えば、予期されるオーディエンスのNF typeがAMFである場合、認証者は、認証者のNF typeがAMFであるかどうかを検証する。CCA内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証するステップは、例えば、CCA内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと同じであるかどうかを決定するステップを含んでもよい。
前述の認証プロセスは単なる例であり、認証者は別の順序でCCAをさらに検証してもよいことが理解されよう。これは本出願で限定されない。
2.アクセストークン(access token)
アクセストークンは、コンシューマがサービスを取得する許可を有することを表す/示す。プロデューサは、access tokenの検証が成功したときにのみ、コンシューマに対応するサービスを提供する。
例えば、NRFは、NFサービスconsumerまたはSCPからアクセストークン要求メッセージを受信し、NRFは認可チェックを実行し、認可が成功したと決定する。この場合、NRFは、claimsを含むaccess tokenを生成する。
2つのタイプのaccess token、すなわち、NFサービスproducerのNF typeに基づくaccess token(タイプAと簡単に呼ばれる)と、NFサービスproducerインスタンスまたはNFサービスproducerサービスインスタンスに基づくaccess token(タイプBと簡単に呼ばれる)とがある。
インスタンスは、関数に基づいて定義される。インスタンスは、NFサービスconsumerインスタンスまたはNFサービスproducerインスタンスであってもよい。インスタンスは、サービスに基づいて定義される。インスタンスは、サービスインスタンスと呼ばれることもある。例えば、サービスインスタンスは、サービスAを提供するサービスインスタンスまたはサービスBを提供するサービスインスタンスであってもよい。
NFサービスconsumerがタイプAのaccess tokenを要求する場合、要求されたaccess tokenは、NFサービスconsumerがサービスを取得するためにNF typeに対応する任意のNFサービスproducerにアクセスする許可を有することを示し、または要求されたaccess tokenは、NFサービスconsumerがNF typeに対応する任意のNFサービスproducerのサービスにアクセスする許可を有することを示す。access token要求メッセージは、NFサービスconsumerのNFインスタンスID、予期されるサービス名、NFサービスconsumerのNF type、および予期されるNFサービスproducerのNF typeを含む。任意選択で、access token要求メッセージは、単一のネットワークスライス選択支援情報(single network slice selection assistance information、S-NSSAI)リストまたは予期されるNFサービスproducerインスタンスのネットワークスライスインスタンス識別子(network slice instance identifier、NSI ID)リスト、予期されるNFサービスproducerインスタンスのNF set Id、NFサービスconsumerのS-NSSAIリストなどをさらに含んでもよい。
これに対応して、NRFによって生成されたaccess token内のclaimsは、NRFのNFインスタンスID、NFサービスconsumerのNFインスタンスID、NFサービスproducerのNF type、予期されるサービス名、およびaccess tokenの有効時間を含む。任意選択で、claimsは、追加の範囲(例えば、要求されたリソースおよびリソースの要求された動作)、予期されるNFサービスproducerインスタンスのS-NSSAIリストまたはNSI IDリスト、および予期されるNFサービスproducerインスタンスのNF set Idをさらに含んでもよい。
NFサービスconsumerがタイプBのaccess tokenを要求する場合、要求されたaccess tokenは、サービスを取得するために特定のNFサービスproducerインスタンスまたはNFサービスproducerサービスインスタンスへのアクセスを許可するために使用される。access token要求メッセージは、NFサービスconsumerのNFインスタンスID、予期されるサービス名、および要求されたNFサービスproducerインスタンスIDを含む。
これに対応して、NRFによって生成されたaccess token内のclaimsは、NRFのNFインスタンスID、NFサービスconsumerのNFインスタンスID、NFサービスproducerのNFインスタンスID(s)、予期されるサービス名、およびaccess tokenの有効時間を含む。任意選択で、claimsは、追加の範囲(例えば、要求されたリソースおよびリソースの要求された動作)をさらに含んでもよい。
加えて、一般に、CCAの有効時間は、access tokenの有効時間よりも短い。
さらに、NRFがaccess tokenを生成した後、NRFは、access tokenに対して完全性保護を実行し、例えば、NFサービスproducerと共有された鍵に基づいてclaimsに対して完全性保護を実行し、例えば、メッセージ認証コード(message authentication code、MAC)を生成し、またはNRF証明書の秘密鍵に基づいてclaimsに署名する。
プロデューサ(例えば、NFサービスproducer)が、access tokenを含むサービス要求メッセージを受信すると、プロデューサは、完全性検証を実行し、例えば、NRFと共有された鍵に基づいてaccess tokenのMACを検証し、またはNRF証明書の公開鍵に基づいてaccess tokenの署名を検証する。完全性検証が成功した場合、access token内のclaimsがさらに検証される。
タイプAのaccess token内のclaimsについて、プロデューサは、以下の内容を特に検証する:
(1)プロデューサは、claims内の要求されたNFサービスproducerのNF typeがプロデューサのNF typeと一致するかどうかを検証する。
(2)claimsが予期されるNFサービスproducerインスタンスのS-NSSAIリストまたはNSI IDリストを含む場合、プロデューサは、プロデューサが対応するスライスを提供できるかどうかを検証する。
(3)claimsが予期されるNFサービスproducerインスタンスのNF set Idを含む場合、プロデューサは、claims内のNF set IdがプロデューサのNF set Idと一致するかどうかを検証する。
(4)claimsが予期されるサービス名を含む場合、プロデューサは、サービス要求メッセージによって要求されたサービス動作が一致されるかどうかを検証する。
(5)claimsが追加の範囲情報を含む場合、プロデューサは、追加の範囲情報がサービス要求メッセージによって要求されたサービス動作と一致するかどうかを検証する。
(6)プロデューサは、現在のデータ/時間に基づいてaccess tokenにおける有効時間を検証して、access tokenが有効期限切れであるかどうかをチェックするか、またはプロデューサは、現在のデータ/時間に基づいてaccess tokenにおける有効時間を検証して、access tokenが有効期間内にあるかどうかをチェックする。
タイプBのaccess token内のclaimsについて、プロデューサは、以下の内容を特に検証する。
(1)プロデューサは、claimsの要求されたNFサービスproducerのNFインスタンスID(s)がプロデューサのIDを含むかどうかを検証する。
(2)claimsが予期されるサービス名を含む場合、プロデューサは、サービス要求メッセージによって要求されたサービス動作が一致されるかどうかを検証する。
(3)claimsが追加の範囲情報を含む場合、プロデューサは、追加の範囲情報がサービス要求メッセージによって要求されたサービス動作と一致するかどうかを検証する。
(4)プロデューサは、現在のデータ/時間に基づいてaccess tokenにおける有効時間を検証して、access tokenが有効期限切れであるかどうかをチェックするか、またはプロデューサは、現在のデータ/時間に基づいてaccess tokenにおける有効時間を検証して、access tokenが有効期間内にあるかどうかをチェックする。
以下では、前述のCCAおよびaccess token検証プロセスを参照して、間接通信シナリオをさらに説明する。
シナリオ1:委任発見を伴わない間接手順(モードC)
NFサービスconsumerは、図4に示すように、NRFと直接対話する。
ステップ401:NFサービスconsumerは、利用可能なNFサービスproducerに関する情報がないと決定し、NFサービスconsumerは、NFサービスproducer発見(discovery)手順を開始する。
発見手順は、利用可能なNFサービスproducerを発見するために使用される。
例えば、ステップ402およびステップ403でタイプBのaccess tokenが要求された場合、発見手順はステップ402の前に開始される必要があり、特定のNFサービスproducerインスタンスの識別子またはNFサービスproducerサービスインスタンスの識別子が決定される必要がある。
例えば、ステップ402およびステップ403でタイプAのaccess tokenが要求された場合、NFサービスproducer発見手順は、ステップ402およびステップ403の前に開始されてもよく(すなわち、ステップ401)、またはNFサービスproducer発見手順は、ステップ402およびステップ403の後に開始されてもよい(すなわち、ステップ404)。
NFサービスconsumerは、ただ1つのNFサービスproducer発見手順を開始する必要があることが理解されよう。
ステップ402:NFサービスconsumerは、access token要求メッセージ(例えば、Nnrf_AccessToken_Get_Request)をNRFに送信する。前述の内容から、2つのタイプのaccess tokenがあることが知見され得る。異なるタイプのaccess tokenの場合、access token要求メッセージに含まれる特定の内容は異なる。詳細については、access tokenの前述の関連説明を参照されたい。
ステップ403:NRFは、access token応答メッセージ(例えば、Nnrf_AccessToken_Get_Response)をNFサービスconsumerに送信し、access token応答メッセージは、NRFによって生成されたaccess tokenを含む。
具体的には、NRFはNFサービスconsumerからaccess token要求メッセージを受信し、NRFは認可チェックを実行し、具体的には、NFサービスconsumerが要求されたサービスを取得することを許可されているかどうかを検証する。認可が成功した場合、NRFはaccess tokenを生成し、access tokenに対して完全性保護を実行する。
ステップ404:NFサービスconsumerは、利用可能なproducerに関する情報がないと決定し(すなわち、ステップ401は実行されない)、NFサービスconsumerはproducer発見手順を開始する。
ステップ404は任意のステップであり、ステップ401およびステップ404の一方のみが実行されてもよい。
ステップ405:NFサービスconsumerは、サービス要求メッセージ(例えば、Service Request)をSCPに送信し、サービス要求メッセージは、access tokenおよびCCAを含む。
CCAは、NFサービスconsumerを認証するためにNFサービスproducerによって使用される。具体的には、CCAにおけるclaimsは、NFサービスconsumerのNFインスタンスID、タイムスタンプ、有効期限、および予期されるオーディエンスのNF typeを含む。CCAの定義によれば、サービス要求メッセージの受信者がNFサービスproducerである場合、予期されるオーディエンスのNF typeはNFサービスproducerのNF typeである。CCAについては、前述の関連内容を参照されたい。本明細書では詳細は繰り返されない。
例えば、AMFが、SCPを介して、セッションを確立するようにSMFに要求すると、AMFは、セッション確立要求メッセージをSCPに送信し、セッション確立要求メッセージは、access tokenおよびCCAを含む。この場合、CCAは、AMFのNFインスタンスID、タイムスタンプ、および有効期限を含み、予期されるオーディエンスのNF typeはSMFである。
ステップ406:SCPは、サービス要求メッセージをNFサービスproducerに送信する。
例えば、SCPは、アプリケーションプログラミングインターフェース(Application Programming interface、API)の変更を実行し、受信したサービス要求メッセージをNFサービスproducerに送信する。
サービス要求メッセージが特定のNFサービスproducerインスタンスの識別子またはNFサービスproducerサービスインスタンスの識別子を含む場合、SCPは、特定のNFサービスproducerインスタンスまたはNFサービスproducerサービスインスタンスにサービス要求メッセージを送信する。サービス要求メッセージがNF set Idを含む場合、SCPは、特定のNFサービスproducerインスタンスおよびNFサービスproducerサービスインスタンスからNFインスタンスを選択し、サービス要求メッセージをNFインスタンスに送信してもよい。
ステップ407:NFサービスproducerは、SCPからサービス要求メッセージを受信する。NFサービスproducerは、CCAおよびaccess tokenを検証する。
NFサービスproducerは、access tokenに対して完全性検証を実行する。完全性検証が成功した場合、NFサービスproducerは、access token内のclaimsをさらに検証する。詳細については、access token内のclaimsに関する検証の関連内容を参照されたい。NFサービスproducerは、CCAに基づいてNFサービスconsumerをさらに検証する必要がある。CCAを検証する具体的なプロセスについては、CCA検証の前述の関連する説明を参照されたい。
ステップ408:NFサービスproducerが、access tokenおよびCCAに対する検証が成功したと決定した場合、NFサービスproducerは、サービス応答メッセージ(例えば、Service Response)をSCPに送信する。
ステップ409:SCPは、サービス応答メッセージをNFサービスconsumerに送信する。
例えば、SCPは、NFサービスproducerからサービス応答メッセージを受信し、API修正を実行し、NFサービスconsumerにサービス応答メッセージを送信する。
シナリオ2:図5に示すように、委任発見を伴わない間接手順(モードC):NFサービスconsumerは、SCPを介してNRFと対話する。
ステップ501:NFサービスconsumerは、利用可能なNFサービスproducerに関する情報がないと決定し、NFサービスconsumerは、NFサービスproducer発見手順を開始する。
発見手順は、利用可能なNFサービスproducerを発見するために使用される。
例えば、ステップ502およびステップ503でタイプBのaccess tokenが要求された場合、発見手順はステップ502の前に開始される必要があり、特定のNFサービスproducerインスタンスの識別子またはNFサービスproducerサービスインスタンスの識別子が決定される必要がある。
例えば、ステップ502およびステップ503でタイプAのaccess tokenが要求された場合、NFサービスproducer発見手順は、ステップ502およびステップ503の前に開始されてもよく(すなわち、ステップ501)、またはNFサービスproducer発見手順は、ステップ502およびステップ503の後に開始されてもよい(すなわち、ステップ504)。
NFサービスproducerはただ1つの発見手順を開始する必要があることが理解されよう。
ステップ502:NFサービスconsumerは、access token要求メッセージをSCPに送信する。
access token要求メッセージに含まれる特定のパラメータは、要求されたaccess tokenのタイプに基づいて決定され得る。詳細については、access tokenの関連説明を参照されたい。加えて、access token要求メッセージはCCA*をさらに含んでもよく、CCA*は、NFサービスconsumerを認証するためにNRFによって使用される。具体的には、CCA*におけるclaimsは、NFサービスconsumerのNFインスタンスID、タイムスタンプ、有効期限、および予期されるオーディエンスのNF typeを含む。CCAの定義によれば、access token要求メッセージの受信者がNFサービスproducerである場合、予期されるオーディエンスのNF typeはNFRである。
ステップ503:SCPは、ステップ501で受信したaccess token要求メッセージをNRFに送信する。
ステップ504:NRFはCCA*の検証が成功したと決定し、access tokenを生成する。
具体的には、NRFは、CCA*に基づいてNFサービスconsumerを認証する。認証が成功した場合、NRFは認可チェックをさらに実行する。認可が成功した場合、NRFはaccess tokenを生成し、access tokenに対して完全性保護を実行する。
ステップ505:NRFは、access token応答メッセージをSCPに送信し、access token応答メッセージは、NRFによって生成されたaccess tokenを含む。
ステップ506:SCPは、access token応答メッセージをNFサービスconsumerに送信し、access token応答メッセージは、NRFによって生成されたaccess tokenを含む。
ステップ507からステップ511の具体的な内容については、図5に示す実施形態のステップ505からステップ509を参照されたい。
シナリオ3:委任発見手順(モードD)における通信許可:図6に示すように、NFサービスconsumerは、SCPを介してNRFと対話する。
ステップ601:NFサービスconsumerは、サービス要求メッセージをSCPに送信する。サービス要求メッセージは、CCAおよびaccess tokenを含む。CCAおよびアクセストークンは期限切れではない。CCAにおけるclaimsは、NFサービスconsumerのNFインスタンスID、タイムスタンプ、有効期限、および予期されるオーディエンスのNF typeを含む。CCAの定義によれば、サービス要求メッセージの受信者がNFサービスproducerである場合、予期されるオーディエンスのNF typeはNFサービスproducerのNF typeである。
ステップ602:SCPは、サービス要求メッセージをNFサービスproducerに送信し、サービス要求メッセージはCCAおよびaccess tokenを含む。
ステップ603からステップ605の具体的な内容については、図5に示す実施形態のステップ509からステップ511を参照されたい。
シナリオ4:図7に示すように、委任発見手順(モードD)における通信許可:NFサービスconsumerは、SCPを介してNRFと対話する。
ステップ701:NFサービスconsumerは、サービス要求メッセージをSCPに送信し、サービス要求メッセージはCCAを含む。CCAにおけるclaimsは、NFサービスconsumerのNFインスタンスID、タイムスタンプ、有効期限、および予期されるオーディエンスのNF typeを含む。サービス要求メッセージの受信者がNFサービスproducerである場合、予期されるオーディエンスのNF typeはNFサービスproducerのNF typeである。
ステップ702:SCPは、access token要求メッセージをNRFに送信する。
例えば、SCPは、サービス要求メッセージに基づいて、NRFへのaccess token要求手順を開始するかどうかを決定し得る。例えば、受信したサービス要求メッセージがaccess tokenを含まず、サービス要求メッセージに対応するaccess tokenがローカルに存在しないとSCPが決定した場合、SCPはaccess token要求メッセージをNRFに送信する。
access token要求メッセージは、ステップ701においてCCAを含む。
ステップ703:NRFはCCA検証が失敗したと決定する。
CCAにおける予期されるオーディエンスのNF typeは、NFサービスproducerのNF typeである。CCA内のNF typeはNRFのNF typeと一致しないので、NRFはCCA検証が失敗したと決定する。
ステップ704:NRFは、access token応答メッセージをSCPに送信し、アクセストークン応答メッセージは、アクセストークンを含まない。
したがって、SCPはaccess tokenを取得することに失敗する。その結果、NFサービスconsumerは、NFサービスproducerからサービスを要求することに失敗する。
モードDに基づく間接通信シナリオでは、本出願の実施形態は、NFサービスconsumerがSCPにサービス要求メッセージを直接送信して、別のサービスを要求するようにSCPをトリガするとき、サービス要求の受信者(別のサービスのプロデューサ)がNFサービスconsumerを認証できないため、SCPが別のサービスを要求できず、その結果、NFサービスconsumerがサービスを要求できないという問題を解決するために、以下の実施形態を提供する。
以下では、本出願の実施形態における技術的概念を最初に説明する。
1.本出願の実施形態は、少なくとも2つのネットワーク機能タイプに関する。第1のネットワーク機能タイプは、第2のネットワーク機能タイプとは異なる。ネットワーク機能タイプは、ネットワーク内の機能挙動のグループまたはサービスのグループを提供するネットワーク機能の一般的な名称である。例えば、5Gネットワークにおけるネットワーク機能タイプは、AMFタイプ、SMFタイプなどを含み得る。AMFタイプの機能ネットワーク要素は、アクセスおよびモビリティ管理に関連するサービスを提供してもよく、SMFタイプの機能ネットワーク要素は、PDUセッション管理に関連するサービスを提供してもよい。
2.本出願の実施形態は、少なくとも2つのサービスにさらに関する。第1のサービスは第2のサービスとは異なり、第1のサービスは第2のサービスと関連付けられる。
例えば、第1のサービスは、セッション確立の要求であってもよく、第2のサービスは、第1のサービスに対応するaccess tokenの要求であってもよい。あるいは、第1のサービスは、セッション確立の要求であってもよく、第2のサービスは、第1のサービスを提供するネットワーク要素に関する情報の要求であってもよい。
例えば、モードDに基づく間接通信シナリオでは、AMFがセッションを確立するようにSMFに要求すると、AMFはセッション確立要求メッセージをSCPに送信する。SCPがSMFにセッション確立要求を送信する前に、SCPがNRFからセッション確立要求に対応するaccess token(以下、access token1と表記される)を最初に取得する必要がある場合、SCPがNRFからaccess token1を取得した後、SCPはSMFにセッション確立要求メッセージを送信する。この場合、セッション確立要求メッセージは、access token1を含む。本明細書での第1のサービスはセッション確立の要求であり、第2のサービスは第1のサービスに対応するaccess tokenの要求であり、SCPは、SCPがセッション確立要求メッセージをSMFに送信する前に、NRFから第1のサービスに対応するaccess tokenを要求する、すなわち、SCPは、第1のサービスを要求する前に第2のサービスを要求する。加えて、いくつかのシナリオでは、SCPは、第1のサービスを要求した後に第2のサービスを要求してもよい。これは本出願の実施形態では限定されない。特に指定しない限り、以下では、説明のために第1のサービスを要求する前に、SCPが第2のサービスを要求する例を使用するにすぎない。
第1のサービスと第2のサービスとの間の関連付けは、例えば、第1のサービスを要求することが、第2のサービスを要求することをトリガし得ることであってもよい。
例えば、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを表す/示す。サービス・コンシューマ・ネットワーク要素が第1のサービスを要求し、第2のサービスによって提供される第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを表す/示すので、第1のサービスは第2のサービスに関連付けられる。例えば、NFサービスconsumerが第1のサービスを要求することは、第1のサービスに対応するaccess tokenを要求するようにSCPをトリガし得る。第1のサービスに対応するaccess tokenは、NFサービスconsumerが第1のサービスを取得する許可または第1のサービスにアクセスする許可を有することを表す/示す。
別の例では、第2のサービスは、サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される。サービス・コンシューマ・ネットワーク要素が第1のサービスを要求し、第2のサービスによって提供されるサービス・プロデューサ・ネットワーク要素に関する情報によって示されるサービス・プロデューサ・ネットワーク要素が第1のサービスを提供し得るので、第1のサービスは第2のサービスに関連付けられる。例えば、NFサービスconsumerが第1のサービスを要求することは、NFサービスproducerに関する情報を要求するようにSCPをトリガし得る。NFサービスproducerは、NFサービスconsumerに第1のサービスを提供する。
加えて、第1のサービスの要求は、複数の第2のサービスを要求することをさらにトリガし得る。例えば、NFサービスconsumerが第1のサービスを要求することは、SCPをトリガしてNFサービスproducerに関する情報を要求し、SCPをトリガして第1のサービスに対応するaccess tokenを要求し得る。NFサービスproducerは、NFサービスconsumerに第1のサービスを提供し、第1のサービスに対応するaccess tokenは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを表す/示す。具体的には、SCPは、NRF1から第1のサービスに対応するaccess tokenを要求し、NRF1からNFサービスproducerに関する情報を要求し得る。この場合、NRF1は2つの第2のサービスを提供する。あるいは、SCPは、NRF1から第1のサービスに対応するアクセストークンを要求し、NRF2からNFサービスproducerに関する情報を要求し得る。この場合、NRF1はNRF2とは異なり、NRF1によって提供される第2のサービスはNRF2によって提供される第2のサービスとは異なる。
第1のサービスおよび第2のサービスは単なる例であり、本出願の実施形態を限定することが意図されるものではないことが理解されよう。
以下では、説明のために、第2のサービスを提供するネットワーク要素がネットワークリポジトリ機能ネットワーク要素である例を使用するにすぎない。あるいは、第2のサービスを提供するネットワーク要素は、別のタイプのネットワーク要素であってもよい。これは本出願の実施形態では限定されない。
本出願の一実施形態は、通信方法を提供する。サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシにサービス要求メッセージを送信し、サービス要求メッセージは、第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションは、少なくとも2つの異なるネットワーク機能タイプを含んでもよく、その結果、異なるネットワーク要素は、第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を正常に認証することができる。以下では、説明のための例として図8に示す実施形態を使用する。
ステップ801:サービス・コンシューマ・ネットワーク要素が、サービス通信プロキシに第1のサービス要求メッセージを送信し、第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素に第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含む。
第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素を認証するために使用される。第1のクライアント資格情報アサーションは第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、第1のサービスを提供するネットワーク要素のネットワーク機能タイプ、すなわち、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプである。第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプである。第2のサービスは、第1のサービスと関連付けられる。第2のサービスを提供するネットワーク要素のネットワーク機能タイプは、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプであってもよい。
既存のCCAと比較して、第1のクライアント資格情報アサーションは2つのネットワーク機能タイプを含む。したがって、既存のCCAは、サービス要求の受信者によってのみ、サービス・コンシューマ・ネットワーク要素を認証するために、すなわち、サービス・コンシューマ・ネットワーク要素のアイデンティティを認証するために使用される。本出願のこの実施形態では、第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素を認証するために2つのネットワーク機能タイプのネットワーク要素によって使用されてもよく、具体的には、サービス要求の受信者およびサービス要求によってトリガされる要求メッセージの受信者は、サービス・コンシューマ・ネットワーク要素のアイデンティティを認証する。加えて、第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子および第1のクライアント資格情報アサーションの有効時間情報のうちの1つまたは複数をさらに含む。第1のクライアント資格情報アサーションの有効時間情報は、第1のクライアント資格情報アサーションの有効時間を示す。例えば、第1のクライアント資格情報アサーションの有効時間情報は、第1のクライアント資格情報アサーションのタイムスタンプおよび有効期限を含んでもよい。内容は、既存のCCAにおける対応する概念と同じ意味を有し、本明細書では詳細は再度説明されない。例えば、タイムスタンプがモーメントAを示し、有効期限がモーメントBを示す場合、第1のクライアント資格情報アサーションは、モーメントAとモーメントBとの間で決定された期間内で有効である。あるいは、第1のクライアント資格情報アサーションの有効時間情報は、第1のクライアント資格情報アサーションのタイムスタンプおよび有効持続時間を含んでもよい。本明細書でのタイムスタンプは、既存のCCAにおける対応する概念と同じ意味を有し、有効持続時間はタイムスタンプ後の期間であってもよい。例えば、タイムスタンプがモーメントAを示し、有効持続時間が期間C(例えば、5分)を示す場合、第1のクライアント資格情報アサーションはモーメントAの後の期間C内で有効である。
第1のクライアント資格情報アサーションの有効時間情報は第1の持続時間と関連付けられており、第1の持続時間は、サービス・コンシューマ・ネットワーク要素とサービス通信プロキシとの間の伝送遅延、サービス通信プロキシと第2のサービスを提供するネットワーク要素との間の伝送遅延、およびサービス通信プロキシとサービス・プロデューサ・ネットワーク要素(すなわち、第1のサービスを提供するネットワーク要素)との間の伝送遅延に基づいて決定される。
例えば、サービス・コンシューマ・ネットワーク要素とサービス通信プロキシとの間の伝送遅延はT1と表され、サービス通信プロキシと第2のサービスを提供するネットワーク要素との間の伝送遅延はT2と表され、サービス通信プロキシとサービス・プロデューサ・ネットワーク要素との間の伝送遅延はT3と表される。前述の伝送遅延は、2つのネットワーク要素間の伝送遅延の平均値であってもよく、または伝送遅延の平均値よりわずかに大きくてもよい。サービス通信プロキシが第1のサービスよりも早く第2のサービスを要求する場合、第1の持続時間=T1+2T2+T3である。この場合、第1のクライアント資格情報アサーションの有効持続時間は、第1の持続時間とプリセット持続時間との合計であってもよい。あるいは、第1のクライアント資格情報アサーションの有効期限は、タイムスタンプ、第1の持続時間、およびプリセット持続時間に基づいて決定され得る。本明細書でのプリセット持続時間は、予め設定されてもよく、または動的調整によって決定されてもよい。プリセット持続時間が過度に長い持続時間に設定される場合、CCAの有効時間が過度に長くなる可能性があり、CCAが繰り返し使用される可能性があることに留意されたい。
第1のクライアント資格情報アサーションの有効時間情報についての前述の構成規則は、通信プロセスのセキュリティを保証するために、第1のクライアント資格情報アサーションがサービス通信プロキシによって悪意をもって使用されないことを可能な限り保証することができる。
サービス・コンシューマ・ネットワーク要素がサービス通信プロキシに第1のサービス要求メッセージを送信する前に、サービス・コンシューマ・ネットワーク要素は、利用可能な第1のクライアント資格情報アサーションがローカルに格納されているかどうかをさらに決定する必要があり、利用可能なクライアント資格情報アサーションが格納されている場合(例えば、有効期限が切れていないクライアント資格情報アサーションが格納されている)、有効期限が切れていないクライアント資格情報アサーションが第1のクライアント資格情報アサーションとして使用されることが理解されよう。利用可能なクライアント資格情報アサーションが格納されていない場合(例えば、クライアント資格情報アサーションが有効期限切れであるか、またはクライアント資格情報アサーションが格納されていない)、サービス・コンシューマ・ネットワーク要素は、第1のクライアント資格情報アサーションを生成する。加えて、期限切れのクライアント資格情報アサーションがあるとき、サービス・コンシューマ・ネットワーク要素は、期限切れのクライアント資格情報アサーションを削除し得る。したがって、サービス・コンシューマ・ネットワーク要素は、期限切れのクライアント資格情報アサーションを削除して記憶空間を解放し、システムの記憶負荷を低減し得る。
以下では、サービス通信プロキシに第1のサービス要求メッセージを送信するようにサービス・コンシューマ・ネットワーク要素がトリガされるいくつかの可能なシナリオについて説明する。
シナリオ1:第1のサービスが要求される必要があり、第1のサービスに対応する利用可能なアクセストークンがない場合、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージを送信する。
例えば、サービス・コンシューマ・ネットワーク要素が、第1のサービスが要求される必要があり、第1のサービスに対応する利用可能なアクセストークンがないと決定したとき、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージを送信する。
いくつかの実施形態では、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応する利用可能なアクセストークンがないと決定することは、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応するアクセストークンが格納されていないと決定すること、または、サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応する格納されたアクセストークンが有効期限切れであると決定することを含む。さらに、第1のサービスに対応する格納されたアクセストークンが有効期限切れになると、サービス・コンシューマ・ネットワーク要素は、第1のサービスに対応する期限切れのアクセストークンを削除し得る。
例えば、access tokenは、NFサービスconsumerの公開記憶空間に格納され得る(例えば、access tokenは、ノードレベルのコンテキストに格納される)。NFサービスconsumerは、UEのサービス要求メッセージを受信し、サービス要求メッセージに基づいて、第1のサービスが要求される必要があると決定し得る。NFサービスconsumerは、UEの識別子に基づいてUEの関連情報(例えば、UEのコンテキスト情報)を取得する。さらに、NFサービスconsumerは、公開記憶空間が第1のサービスに対応するaccess tokenを含むかどうかをチェックする。第1のサービスに対応するaccess tokenが含まれ、access tokenが有効期限切れでない場合、access tokenが使用される。第1のサービスに対応するaccess tokenが含まれていない場合、利用可能なaccess tokenがないと決定される。あるいは、第1のサービスに対応するaccess tokenが含まれているが、access tokenが有効期限切れである場合、利用可能なaccess tokenがないと決定される。さらに、任意選択で、NFサービスconsumerは、access tokenを削除する。UEの関連情報は、NFサービスconsumerの公開記憶空間に格納されてもよく、またはUEの関連情報は、UEの識別子に基づいて別のネットワーク要素からNFサービスconsumerによって取得される。
サービス・コンシューマ・ネットワーク要素が、第1のサービスに対応する利用可能なaccess tokenがあると決定した場合、サービス・コンシューマ・ネットワーク要素によってサービス通信プロキシに送信される第1のサービス要求メッセージは、第2のネットワーク機能タイプを含まなくてもよく、第1のネットワーク機能タイプのみを含んでもよいことが理解されよう。
シナリオ2:第1のサービスが要求される必要があり、第1のサービスの要求がサービス通信プロキシをトリガしてサービス・プロデューサ・ネットワーク要素に関する情報を要求するとき、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージを送信する。
例えば、サービス・コンシューマ・ネットワーク要素が、第1のサービスが要求される必要があると決定し、第1のサービスの要求が、サービス通信プロキシをトリガしてサービス・プロデューサ・ネットワーク要素に関する情報を要求するとき、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージを送信する。
以下のケースのうちの1つまたは複数が発生すると、サービス・コンシューマ・ネットワーク要素は、第1のサービスの要求がサービス通信プロキシをトリガしてサービス・プロデューサ・ネットワーク要素に関する情報を要求すると決定し得る。例えば、サービス・コンシューマ・ネットワーク要素は、第1の端末デバイスと関連付けられた第1のメッセージを受信し、サービス・コンシューマ・ネットワーク要素は、第1のメッセージに基づいて、第1のサービスが要求される必要があると決定する。さらに、サービス・コンシューマ・ネットワーク要素は、以下のケースのうちの1つまたは複数に基づいて、第1のサービスの要求がサービス通信プロキシをトリガしてサービス・プロデューサ・ネットワーク要素の情報を要求すると決定する。
ケース1:第1の端末デバイスのコンテキストが格納されていない。
例えば、NFサービスconsumerは、UEのサービス要求メッセージを受信し、サービス要求メッセージに基づいて、第1のサービスが要求される必要があると決定し得る。NFサービスconsumerは、UEの識別子に基づいてUEのコンテキスト情報を取得する。UEのコンテキスト情報が取得されていない場合、すなわち、UEが新しいUEであり、NFサービスproducerからサービスを要求するようにNFサービスconsumerをトリガしていない場合、NFサービスconsumerは、第1のサービスの要求が、NFサービスproducerに関する情報を要求するようにSCPをトリガすると決定する。UEのコンテキスト情報は、NFサービスconsumerに格納されてもよく、またはUEのコンテキスト情報は、UEの識別子に基づいて別のネットワーク要素からNFサービスconsumerによって取得される。
ケース2:第1のサービスのコンテキストが格納されていない。
例えば、NFサービスconsumerは、UEのサービス要求メッセージを受信し、サービス要求メッセージに基づいて、第1のサービスが要求される必要があると決定し得る。NFサービスconsumerは、UEの識別子に基づいてUEのコンテキスト情報を取得する。UEのコンテキスト情報に基づいて、第1のサービスのコンテキストが含まれていない、すなわち、UEがNFサービスproducerから第1のサービスを要求するようにNFサービスconsumerをトリガしていないと決定された場合、NFサービスconsumerは、第1のサービスの要求が、NFサービスproducerに関する情報を要求するようにSCPをトリガすると決定する。UEのコンテキスト情報は、NFサービスconsumerに格納されてもよく、またはUEのコンテキスト情報は、UEの識別子に基づいて別のネットワーク要素からNFサービスconsumerによって取得される。
ケース3:第1のスライスはサービス・プロデューサ・ネットワーク要素に属し、第1のスライスのコンテキストは格納されていない。
例えば、NFサービスconsumerは、UEのサービス要求メッセージを受信し、サービス要求メッセージに基づいて、第1のサービスが要求される必要があり、第1のスライス内のサービス・プロデューサ・ネットワーク要素から第1のサービスが要求される必要があると決定し得る。NFサービスconsumerは、UEの識別子に基づいてUEのコンテキスト情報を取得する。UEのコンテキスト情報に基づいて、第1のスライスのコンテキストが含まれていない、すなわち、UEが第1のスライスにおいてNFサービスproducerから第1のサービスを要求するようにNFサービスconsumerをトリガしていないと決定された場合、NFサービスconsumerは、第1のサービスの要求が、NFサービスproducerに関する情報を要求するようにSCPをトリガすると決定する。UEのコンテキスト情報は、NFサービスconsumerに格納されてもよく、またはUEのコンテキスト情報は、UEの識別子に基づいて別のネットワーク要素からNFサービスconsumerによって取得される。
ケース4:サービス・コンシューマ・ネットワーク要素は、初めてサービス通信プロキシと通信する。
サービス・コンシューマ・ネットワーク要素は、複数のサービス通信プロキシを介してサービス・プロデューサ・ネットワーク要素からサービスを要求し得ることが理解されよう。サービス・コンシューマ・ネットワーク要素が、新しいサービス通信プロキシに第1のサービス要求メッセージを送信すると決定した場合、すなわち、サービス・コンシューマ・ネットワーク要素が初めてサービス通信プロキシと通信する場合、サービス・コンシューマ・ネットワーク要素は、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定する。
加えて、NFサービスconsumerはサービス要求応答メッセージを受信し、メッセージはバインディング指示を含み、バインディング指示は後続の関連サービスメッセージで使用される。このシナリオでは、NFサービスconsumerが第1のサービスを要求するとき、第1のサービス要求メッセージはバインディング情報を搬送し、バインディング情報は、第1のサービス要求メッセージを特定のNFサービスproducerにルーティングするためにSCPによって使用され得る。この場合、SCPは、NFサービスproducer発見手順を開始する必要はない。
シナリオ3:第1のサービスが要求される必要があり、サービス・コンシューマ・ネットワーク要素が間接通信モード、すなわちモードDでサービス通信プロキシと通信するとき、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージを送信する。
例えば、サービス・コンシューマ・ネットワーク要素がモードDでサービス通信プロキシと通信するときに、第1のサービス要求メッセージが常に、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含むクライアント資格情報アサーションを搬送することは、標準プロトコルで合意されてもよく、事前構成情報に基づいて構成されてもよい。
シナリオ4:サービス・コンシューマ・ネットワーク要素がサービス通信プロキシに第1のサービス要求メッセージを送信する前に、サービス・コンシューマ・ネットワーク要素は指示情報を取得し、サービス・コンシューマ・ネットワーク要素は指示情報に基づいてサービス通信プロキシに第1のサービス要求メッセージを送信する。
図9に示されるように、以下では、図8のステップ801におけるシナリオ4の指示情報に基づいて、サービス・コンシューマ・ネットワーク要素がサービス通信プロキシに第1のサービス要求メッセージを送信する具体的なプロセスを説明する。
ステップ901:サービス・コンシューマ・ネットワーク要素がサービス通信プロキシに第1のサービス要求メッセージを送信する前に、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは第1のサービスを要求するために使用され、第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第2のクライアント資格情報アサーションは、サービス・プロデューサ・ネットワーク要素によって、サービス・コンシューマ・ネットワーク要素を認証するために使用される。
この場合、第2のクライアント資格情報アサーションは第2のネットワーク機能タイプを含まないことに留意されたい。
ステップ902:サービス通信プロキシは、ネットワークリポジトリ機能ネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、第2のサービスを要求するために使用され、第3のサービス要求メッセージは、第2のクライアント資格情報アサーションを含む。ネットワークリポジトリ機能ネットワーク要素は、第2のサービスを提供するように構成される。
サービス通信プロキシが、第1のサービスの要求が第2のサービスの要求をトリガすると決定することは、以下のシナリオを含み得るが、これに限定されない:
シナリオA:第1のサービスに対応する利用可能なアクセストークンが格納されておらず、第2のサービス要求メッセージが第1のサービスに対応するアクセストークンを含まないとき、サービス通信プロキシは、第3のサービス要求メッセージをネットワークリポジトリ機能ネットワーク要素に送信し、第3のサービス要求メッセージは、第1のサービスに対応するアクセストークンを要求するために使用される。サービス通信プロキシは、第1のサービスに対応する利用可能なアクセストークンが格納されておらず、第2のサービス要求メッセージが第1のサービスに対応するアクセストークンを含まないと決定し、サービス通信プロキシは、第3のサービス要求メッセージをネットワークリポジトリ機能ネットワーク要素に送信する。
例えば、サービス通信プロキシは、受信した第2のサービス要求メッセージに基づいて、第1のサービスに対応するアクセストークンが必要とされると決定し得る。例えば、サービス通信プロキシは、サービス要求メッセージのタイプまたはサービス要求のアクセス範囲に基づいて、第1のサービスに対応するアクセストークンが必要とされると決定し得る。さらに、サービス通信プロキシは、第1のサービスに対応するアクセストークンが格納されているかどうかを問い合わせる。第1のサービスに対応するアクセストークンが格納されていないか、または第1のサービスに対応する格納されたアクセストークンが有効期限切れであり、第2のサービス要求メッセージがアクセストークンを含まない場合、第1のサービスに対応するアクセストークンを要求するために必要なパラメータ、すなわち、claimのパラメータ、例えば、consumerの予期されるサービス名またはNF instance IDは、サービス要求メッセージのタイプに基づいて決定され得る。加えて、第1のサービスに対応する格納されたアクセストークンが有効期限切れになると、サービス通信プロキシは、期限切れのアクセストークンを削除し得る。
シナリオB:利用可能なサービス・プロデューサ・ネットワーク要素に関する情報が格納されておらず、第2のサービス要求メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を含まないとき、サービス通信プロキシは、第3のサービス要求メッセージをネットワークリポジトリ機能ネットワーク要素に送信し、第3のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素に関する情報を要求するために使用される。サービス通信プロキシは、利用可能なサービス・プロデューサ・ネットワーク要素に関する情報が格納されておらず、第2のサービス要求メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を含まないと決定し、第3のサービス要求メッセージをネットワークリポジトリ機能ネットワーク要素に送信する。例えば、サービス通信プロキシは、第2のサービス要求メッセージのタイプおよび/または第2のサービス要求メッセージ内の指示情報に基づいて決定されてもよい。
サービス通信プロキシが第2のサービス要求メッセージを受信した後、サービス通信プロキシは、第2のサービス要求メッセージを解析して、誰がメッセージの受信者であるか、およびメッセージの受信者(すなわち、サービス・プロデューサ・ネットワーク要素)を発見する必要があるかどうかを決定する。サービス通信プロキシが、サービス・プロデューサ・ネットワーク要素が発見される必要があるかどうかを決定することは、直接通信のサービス・コンシューマ・ネットワーク要素が、サービスプロデューサが発見される必要があるかどうかを決定することと論理的に同様である。例えば、SCPによって受信された要求メッセージがセッション確立要求である場合、SCPは、メッセージがSMFに転送される必要があると決定し、SCPは、メッセージ内のパラメータに基づいて、条件を満たすSMFインスタンス情報がローカルに存在するかどうかを決定する。
ステップ903:ネットワークリポジトリ機能ネットワーク要素は、第2のクライアント資格情報アサーションに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が失敗したと決定する。
例えば、ネットワークリポジトリ機能ネットワーク要素が、第2のクライアント資格情報アサーションに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が失敗したと決定することは、ネットワークリポジトリ機能ネットワーク要素が、第1のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致しないと決定すること、を含む。
あるいは、ネットワークリポジトリ機能ネットワーク要素が、第2のクライアント資格情報アサーションに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が失敗したと決定することは、ネットワークリポジトリ機能ネットワーク要素が、第2のクライアント資格情報アサーションの署名が成功したことを検証し、第2のクライアント資格情報アサーションに含まれるタイムスタンプおよび/または第2のクライアント資格情報アサーションの有効期限に基づいて、第2のクライアント資格情報アサーションが有効期限切れでないことを検証し、第2のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第2のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第1のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致しないことを検証すること、を含む。
ステップ904:第1のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致しないとき、ネットワークリポジトリ機能ネットワーク要素は、第3のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。第3のサービス要求メッセージに対する応答メッセージは、原因値および/または第1の指示情報を含む。
原因値および/または第1の指示情報は、第2のクライアント資格情報アサーションが第2のネットワーク機能タイプを含まないことを示し、第2のクライアント資格情報アサーションに含まれる第1のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致しないことを示し、または第2のクライアント資格情報アサーションが正しいネットワーク機能タイプを含まないことを示す。
任意選択で、第1の指示情報は、第3のクライアント資格情報アサーションであってもよい。第3のクライアント資格情報アサーションは、ネットワークリポジトリ機能ネットワーク要素の識別子と、第3のクライアント資格情報アサーションのタイムスタンプと、第3のクライアント資格情報アサーションの有効期限と、サービス・コンシューマ・ネットワーク要素のネットワーク機能タイプとを含む。任意選択で、第3のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素に、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプを含むクライアント資格情報アサーションを生成するように示すために、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプをさらに含んでもよい。
ステップ903から、ネットワークリポジトリ機能ネットワーク要素がサービス・コンシューマ・ネットワーク要素の認証に失敗し、第3のサービス要求メッセージに対する応答メッセージは、第2のサービス要求が失敗したことをさらに示し得ることが知見され得る。
ステップ905:サービス通信プロキシは、第3のサービス要求メッセージに対する応答メッセージに基づいて、サービス・コンシューマ・ネットワーク要素に第2のサービス要求メッセージに対する応答メッセージを送信し、第2のサービス要求メッセージに対する応答メッセージは第2の指示情報を含む。
第2の指示情報は、図8の実施形態のステップ801でサービス・コンシューマ・ネットワーク要素をトリガして第1のサービス要求メッセージ(すなわち、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプとネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプの両方を搬送するサービス要求メッセージ)を送信するために使用される。
可能な一実施態様では、第2の指示情報は、第2のクライアント資格情報アサーションがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプ(すなわち、第2のネットワーク機能タイプ)を含まないことを示し、第2のクライアント資格情報アサーションに含まれる第1のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致しないことを示し、または第2のクライアント資格情報アサーションが正しいネットワーク機能タイプを含まないことを示す。
特定の実施態様では、第2の指示情報は、第1の指示情報と同じであってもよく、またはサービス通信プロキシによって第1の指示情報を処理することによって取得された情報であってもよい。これは本出願の実施形態では限定されない。
いくつかの実施形態では、サービス通信プロキシは、第3のサービス要求メッセージに対する応答メッセージに基づいて第2の指示情報をさらに生成し得る。第2の指示情報は、サービス・コンシューマ・ネットワーク要素をトリガして、第1のサービスを要求するためのサービス要求メッセージを再開始させ、第1のサービスが再び要求されたときに、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプおよびサービス・プロデューサ・ネットワーク要素のネットワーク機能タイプを含むクライアント資格情報アサーションを搬送するために使用され得る(すなわち、ステップ801を実行する)。
ステップ906:サービス・コンシューマ・ネットワーク要素が、第2の指示情報に基づいてサービス通信プロキシに第1のサービス要求メッセージを送信する。
いくつかの実施形態では、第2の指示情報が第3のクライアント資格情報アサーションを含み、第3のクライアント資格情報アサーションがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプを含むときに、サービス・コンシューマ・ネットワーク要素は、第3のクライアント資格情報アサーションに基づいてネットワークリポジトリ機能ネットワーク要素を認証し得る。ネットワークリポジトリ機能ネットワーク要素に対する認証が成功すると、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージを送信し、サービス・コンシューマ・ネットワーク要素は、第2のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプであると決定する(ネットワークリポジトリ機能ネットワーク要素は、第2のサービスを提供するように構成され、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプである)。
ステップ802:サービス通信プロキシは、サービス・コンシューマ・ネットワーク要素から第1のサービス要求メッセージを受信し、サービス通信プロキシは、ネットワークリポジトリ機能ネットワーク要素に第4のサービス要求メッセージを送信し、第4のサービス要求メッセージは、第2のサービスを要求するために使用され、第4のサービス要求メッセージは、第1のクライアント資格情報アサーションを含む。
第1のサービスの要求が第2のサービスの要求をトリガするとサービス通信プロキシが決定することについては、前述のステップ902を参照されたい。詳細は繰り返されない。
ステップ803:ネットワークリポジトリ機能ネットワーク要素は、サービス通信プロキシから第4のサービス要求メッセージを受信し、ネットワークリポジトリ機能ネットワーク要素は、第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証する。
ネットワークリポジトリ機能ネットワーク要素が、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと同じネットワーク機能タイプが第1のネットワーク機能タイプおよび第2のネットワーク機能タイプに存在すると決定した場合、ネットワークリポジトリ機能ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。第2のネットワーク機能タイプは、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと同じである。
具体的には、ネットワークリポジトリ機能ネットワーク要素が、第1のクライアント資格情報アサーションの署名が成功したことを検証し、第1のクライアント資格情報アサーションに含まれる第1のクライアント資格情報アサーションのタイムスタンプおよび/または有効期限に基づいて、第1のクライアント資格情報アサーションが有効期限切れでないことを検証し、第1のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第1のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプのうちの第2のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致することを検証した場合、ネットワークリポジトリ機能ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
ステップ804:サービス・コンシューマ・ネットワーク要素に対する認証が成功すると、ネットワークリポジトリ機能ネットワーク要素は、サービス通信プロキシに第4のサービス要求メッセージに対する応答メッセージを送信する。
例えば、第4のサービス要求メッセージが第1のサービスに対応するアクセストークンを要求するために使用される場合、サービス・コンシューマ・ネットワーク要素に対する認証が成功した後、ネットワークリポジトリ機能ネットワーク要素は認可チェックを実行する。認可が成功したと決定された場合、ネットワークリポジトリ機能ネットワーク要素は、第1のサービスに対応するアクセストークンを生成する。ネットワークリポジトリ機能ネットワーク要素は、第4のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。第4のサービス要求メッセージに対する応答メッセージは、第1のサービスに対応するアクセストークンを含む。
例えば、第4のサービス要求メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を要求するために使用される場合、サービス・コンシューマ・ネットワーク要素に対する認証が成功した後、ネットワークリポジトリ機能ネットワーク要素は、第4のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。第4のサービス要求メッセージに対する応答メッセージは、サービス・プロデューサ・ネットワーク要素に関する情報を含む。
ステップ805:サービス通信プロキシは、ネットワークリポジトリ機能ネットワーク要素からの第4のサービス要求メッセージに対する応答メッセージを受信し、サービス通信プロキシは、第4のサービス要求メッセージに対する応答メッセージに基づいて、サービス・プロデューサ・ネットワーク要素に第5のサービス要求メッセージを送信し、第5のサービス要求メッセージは、第1のサービスを要求するために使用され、第5のサービス要求メッセージは、第1のクライアント資格情報アサーションを含む。
第5のサービス要求メッセージは、第1のサービスに対応するアクセストークンをさらに含むことが理解されよう。
例えば、第4のサービス要求メッセージに対する応答メッセージが第1のサービスに対応するアクセストークンを含むとき、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素に第5のサービス要求メッセージを送信し、第5のサービス要求メッセージは、第1のサービスを要求するために使用され、第5のサービス要求メッセージは、第1のクライアント資格情報アサーションおよび第1のサービスに対応するアクセストークンを含む。
例えば、第4のサービス要求メッセージに対する応答メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を含むとき、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素に関する情報によって示されるサービス・プロデューサ・ネットワーク要素に第5のサービス要求メッセージを送信し、第5のサービス要求メッセージは、第1のサービスを要求するために使用され、第5のサービス要求メッセージは、第1のクライアント資格情報アサーションおよび第1のサービスに対応するアクセストークンを含む。この場合、第1のサービスに対応するアクセストークンは、サービス通信プロキシによって格納されてもよく、または第1の要求メッセージ内で搬送されてもよい。
別の実施態様では、サービス通信プロキシは、第1のクライアント資格情報アサーションに基づいて、ネットワークリポジトリ機能ネットワーク要素から、第1のサービスに対応するアクセストークンおよびサービス・プロデューサ・ネットワーク要素に関する情報を要求する。すなわち、ステップ802からステップ804は2回実行され、その結果、サービス通信プロキシは、第1のサービスに対応するアクセストークンおよびサービス・プロデューサ・ネットワーク要素に関する情報をそれぞれ要求するために、第2のサービスに対するサービス要求メッセージを2回開始し得る。この場合、ステップ805における第1のサービスに対応するアクセストークンは、ステップ802からステップ804においてサービス通信プロキシによってネットワークリポジトリ機能ネットワーク要素から取得されてもよい。
ステップ806:サービス・プロデューサ・ネットワーク要素は、サービス通信プロキシから第5のサービス要求メッセージを受信し、サービス・プロデューサ・ネットワーク要素は、第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証する。
サービス・プロデューサ・ネットワーク要素は、第1のサービスに対応するアクセストークンをさらに検証する必要があることが理解されよう。詳細については、前述のaccess tokenの検証プロセスを参照されたい。本明細書では詳細は繰り返されない。
サービス・プロデューサ・ネットワーク要素が第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証することは、サービス・プロデューサ・ネットワーク要素が、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプが第1のネットワーク機能タイプおよび第2のネットワーク機能タイプのうちの1つまたは複数と一致するかどうか決定すること、を含む。
具体的には、サービス・プロデューサ・ネットワーク要素が第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証することは、サービス・プロデューサ・ネットワーク要素が、第1のクライアント資格情報アサーションの署名が成功したかどうか検証し、第1のクライアント資格情報アサーションに含まれる第1のクライアント資格情報アサーションのタイムスタンプおよび/または有効期限に基づいて、第1のクライアント資格情報アサーションが有効期限切れでないかどうか検証し、第1のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第1のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであるかどうか検証すること、をさらに含む。
ネットワークリポジトリ機能ネットワーク要素およびサービス・プロデューサ・ネットワーク要素は、第1のクライアント資格情報アサーションに基づいて、同じ認証アイデアに基づいてサービス・コンシューマ・ネットワーク要素を認証する。対応する内容については、互いに参照されたい。詳細は再度説明されない。
ステップ807:サービス・コンシューマ・ネットワーク要素に対する認証が成功すると、サービス・プロデューサ・ネットワーク要素は、第5のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。
例えば、サービス・コンシューマ・ネットワーク要素に対する認証が成功し、第1のサービスに対応するアクセストークンに対する検証が成功したとき、第5のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第5のサービス要求が成功したことを示す。あるいは、サービス・コンシューマ・ネットワーク要素に対する認証が失敗し、および/または第1のサービスに対応するアクセストークンに対する検証が失敗したとき、第5のサービス要求メッセージに対する応答メッセージは、第1のサービスの要求が失敗したことを示す。
ステップ808:サービス通信プロキシは、サービス・コンシューマ・ネットワーク要素に第1のサービス要求メッセージに対する応答メッセージを送信する。
第5のサービス要求メッセージに対する応答メッセージが、第1のサービスを提供することを示すか、または第5のサービス要求が成功したことを示すとき、第1のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第1のサービス要求が成功したことを示す。あるいは、第5のサービス要求メッセージに対する応答メッセージが、第1のサービス要求が失敗したことを示すとき、第1のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示す。例えば、サービス通信プロキシは、第5のサービス要求メッセージに対する応答メッセージのメッセージヘッダ内の情報を修正し得るが、第5のサービス要求メッセージに対する応答メッセージの内容は基本的に変更されないままである。サービス通信プロキシは、メッセージルーティングに主に使用される。
前述の実施形態では、サービス・コンシューマ・ネットワーク要素がサービス通信プロキシを介してサービス・プロデューサ・ネットワーク要素から第1のサービスを要求するとき、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに送信された第1のサービス要求メッセージにおいて、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含むクライアント資格情報アサーションを搬送する。これにより、サービス通信プロキシが第2のサービスを要求するときに、第2のサービスを提供するネットワーク要素がサービス・コンシューマ・ネットワーク要素を正常に認証し、サービス・コンシューマ・ネットワーク要素が第1のサービスを要求することをさらに保証し、間接通信シナリオでは、クライアント資格情報アサーションに基づく認証が失敗するためにサービス・コンシューマ・ネットワーク要素がサービスを要求できないという問題を解決することを保証することができる。
本出願の一実施形態は、通信方法を提供する。サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシにサービス要求メッセージを送信し、サービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含み、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションは、異なるネットワーク機能タイプをそれぞれ含む。サービス通信プロキシは、異なるネットワーク要素が異なるクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証できるように、対応するクライアント資格情報アサーションを異なるネットワーク要素に送信する。以下では、説明のための例として図10に示す実施形態を使用する。
本出願のこの実施形態は通信方法を提供する。図10に示されるように、方法は、以下のステップを含む。
ステップ1001:サービス・コンシューマ・ネットワーク要素が、サービス通信プロキシに第1のサービス要求メッセージを送信し、第1のサービス要求メッセージは、第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含む。
第4のクライアント資格情報アサーションはサービス・プロデューサ・ネットワーク要素によってサービス・コンシューマ・ネットワーク要素を認証するために使用され、第5のクライアント資格情報アサーションは第2のサービスを提供するネットワーク要素によってサービス・コンシューマ・ネットワーク要素を認証するために使用される。第4のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第5のクライアント資格情報アサーションは第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられる。
第4のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子および第4のクライアント資格情報アサーションの有効時間情報のうちの1つまたは複数をさらに含む。第4のクライアント資格情報アサーションの有効時間情報は、第4のクライアント資格情報アサーションの有効期限を示す。例えば、第4のクライアント資格情報アサーションの有効時間情報は、第4のクライアント資格情報アサーションのタイムスタンプおよび有効期限を含む。あるいは、第4のクライアント資格情報アサーションの有効時間情報は、第4のクライアント資格情報アサーションのタイムスタンプおよび第4のクライアント資格情報アサーションの有効持続時間を含んでもよい。第5のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素の識別子および第5のクライアント資格情報アサーションの有効時間情報のうちの1つまたは複数をさらに含む。第5のクライアント資格情報アサーションの有効時間情報は、第5のクライアント資格情報アサーションの有効時間を示す。例えば、第5のクライアント資格情報アサーションの有効時間情報は、第5のクライアント資格情報アサーションのタイムスタンプおよび第5のクライアント資格情報アサーションの有効期限を含む。あるいは、第5のクライアント資格情報アサーションの有効時間情報は、第5のクライアント資格情報アサーションのタイムスタンプおよび第5のクライアント資格情報アサーションの有効持続時間を含んでもよい。
サービス通信プロキシが第1のサービスよりも早く第2のサービスを要求するとき、第5のクライアント資格情報アサーションの有効時間は第4のクライアント資格情報アサーションの有効時間よりも短い。例えば、サービス通信プロキシが第1のサービスよりも早く第2のサービスを要求するとき、第5のクライアント資格情報アサーションの有効時間は第1の持続時間と関連付けられる。第1の持続時間は、サービス・コンシューマ・ネットワーク要素とサービス通信プロキシとの間の伝送遅延と、サービス通信プロキシと第2のサービスを提供するネットワーク要素との間の伝送遅延とに基づいて決定される。例えば、サービス・コンシューマ・ネットワーク要素とサービス通信プロキシとの間の伝送遅延はT1と表され、サービス通信プロキシと第2のサービスを提供するネットワーク要素との間の伝送遅延はT2と表される。前述の伝送遅延は、伝送遅延の平均値であってもよく、または伝送遅延の平均値よりわずかに大きくてもよい。第1の持続時間=T1+T2である。例えば、第1のクライアント資格情報アサーションの有効期限は、タイムスタンプ、第1の持続時間、およびプリセット持続時間に基づいて決定され得る。本明細書におけるプリセット持続時間は、経験値に基づいて決定されてもよい。
サービス通信プロキシが第1のサービスよりも後に第2のサービスを要求するとき、第5のクライアント資格情報アサーションの有効時間は第4のクライアント資格情報アサーションの有効時間よりも長い。
第4のクライアント資格情報アサーションの有効時間および第5のクライアント資格情報アサーションの有効時間についての前述の構成規則は、通信プロセスのセキュリティを保証するために、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションがサービス通信プロキシによって悪意をもって使用されないことを可能な限り保証することができる。
サービス・コンシューマ・ネットワーク要素がサービス通信プロキシに第1のサービス要求メッセージを送信する前に、サービス・コンシューマ・ネットワーク要素は、利用可能なクライアント資格情報アサーションがローカルに格納されているかどうかをさらに決定する必要があり、利用可能なクライアント資格情報アサーションが格納されている場合(例えば、有効期限が切れていないクライアント資格情報アサーションが格納されている)、利用可能なクライアント資格情報アサーションが第4のクライアント資格情報アサーションとして使用されることが理解されよう。利用可能なクライアント資格情報アサーションが格納されていない場合(例えば、格納されたクライアント資格情報アサーションが有効期限切れであるか、またはクライアント資格情報アサーションが格納されていない)、サービス・コンシューマ・ネットワーク要素は、第4のクライアント資格情報アサーションを生成する。加えて、期限切れのクライアント資格情報アサーションがあるとき、サービス・コンシューマ・ネットワーク要素は、期限切れのクライアント資格情報アサーションを削除し得る。したがって、サービス・コンシューマ・ネットワーク要素は、期限切れのクライアント資格情報アサーションを削除して記憶空間を解放し、システムの記憶負荷を低減し得る。同様に、これは第5のクライアント資格情報アサーションにも当てはまる。本明細書では詳細は繰り返されない。
第2のサービスを提供するネットワーク要素のネットワーク機能タイプは、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプであってもよい。
サービス・コンシューマ・ネットワーク要素が第1のサービス要求メッセージをサービス通信プロキシに送信するようにトリガされるいくつかのシナリオについては、図8に示す実施形態の関連内容を参照されたい。詳細は再度説明されない。
ステップ1002:サービス通信プロキシは、サービス・コンシューマ・ネットワーク要素から第1のサービス要求メッセージを受信し、サービス通信プロキシは、ネットワークリポジトリ機能ネットワーク要素に第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは、第2のサービスを要求するために使用され、第2のサービス要求メッセージは、第5のクライアント資格情報アサーションを含む。
第1のサービスの要求が第2のサービスの要求をトリガするとサービス通信プロキシが決定することについては、前述のステップ902を参照されたい。詳細は繰り返されない。
第1のサービスの要求が第2のサービスの要求をトリガするとサービス通信プロキシが決定した後、サービス通信プロキシは、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプに基づいて、ネットワークリポジトリ機能ネットワーク要素に第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは、第5のクライアント資格情報アサーションを含む。
例えば、サービス通信プロキシは、第1のサービスに対応するアクセストークンをネットワークリポジトリ機能ネットワーク要素から要求する必要があると決定し、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプに基づいて、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションから第5のクライアント資格情報アサーションを選択し、第5のクライアント資格情報アサーションを第2のサービス要求メッセージに追加する。あるいは、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素に関する情報がネットワークリポジトリ機能ネットワーク要素から要求される必要があると決定し、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプに基づいて、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションから第5のクライアント資格情報アサーションを選択し、第5のクライアント資格情報アサーションを第2のサービス要求メッセージに追加する。
ステップ1003:ネットワークリポジトリ機能ネットワーク要素は、サービス通信プロキシから第2のサービス要求メッセージを受信し、ネットワークリポジトリ機能ネットワーク要素は、第5のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証する。
ネットワークリポジトリ機能ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。具体的には、ネットワークリポジトリ機能ネットワーク要素が、第5のクライアント資格情報アサーションの署名が成功したことを検証し、第5のクライアント資格情報アサーションに含まれる第5のクライアント資格情報アサーションのタイムスタンプおよび/または有効期限に基づいて、第5のクライアント資格情報アサーションが有効期限切れでないことを検証し、第5のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第5のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第2のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致することを検証した場合、ネットワークリポジトリ機能ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
ステップ1004:ネットワークリポジトリ機能ネットワーク要素が、サービス通信プロキシに第2のサービス要求メッセージに対する応答メッセージを送信する。
例えば、第2のサービス要求メッセージが第1のサービスに対応するアクセストークンを要求するために使用される場合、サービス・コンシューマ・ネットワーク要素に対する認証が成功した後、ネットワークリポジトリ機能ネットワーク要素は認可チェックを実行する。認可が成功したと決定された場合、ネットワークリポジトリ機能ネットワーク要素は、第1のサービスに対応するアクセストークンを生成する。ネットワークリポジトリ機能ネットワーク要素は、第2のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。第2のサービス要求メッセージに対する応答メッセージは、第1のサービスに対応するアクセストークンを含む。
例えば、第2のサービス要求メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を要求するために使用される場合、サービス・コンシューマ・ネットワーク要素に対する認証が成功した後、ネットワークリポジトリ機能ネットワーク要素は、第2のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。第2のサービス要求メッセージに対する応答メッセージは、サービス・プロデューサ・ネットワーク要素に関する情報を含む。
任意選択で、サービス・コンシューマ・ネットワーク要素に対する認証が失敗したとき、ネットワークリポジトリ機能ネットワーク要素は、第2のサービスの要求が失敗したことを示すために、第2のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。
ステップ1005:サービス通信プロキシは、ネットワークリポジトリ機能ネットワーク要素からの第2のサービス要求メッセージに対する応答メッセージを受信し、サービス通信プロキシは、第2のサービス要求メッセージに対する応答メッセージに基づいて、サービス・プロデューサ・ネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、第1のサービスを要求するために使用され、第3のサービス要求メッセージは、第4のクライアント資格情報アサーションを含む。
第3のサービス要求メッセージは、第1のサービスに対応するアクセストークンをさらに含むことが理解されよう。
例えば、サービス通信プロキシは、サービス・コンシューマ・ネットワーク要素が第1のサービスを要求すると決定し、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプに基づいて、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションから第4のクライアント資格情報アサーションを選択し、第4のクライアント資格情報アサーションを第3のサービス要求メッセージに追加する。
例えば、第2のサービス要求メッセージに対する応答メッセージが第1のサービスに対応するアクセストークンを含むとき、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、第1のサービスを要求するために使用され、第3のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第1のサービスに対応するアクセストークンを含む。あるいは、第2のサービス要求メッセージに対する応答メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を含むとき、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素に関する情報によって示されるサービス・プロデューサ・ネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、第1のサービスを要求するために使用され、第3のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第1のサービスに対応するアクセストークンを含む。この場合、第1のサービスに対応するアクセストークンは、サービス通信プロキシによって格納されてもよく、または第1のサービス要求メッセージ内で搬送されてもよい。
ステップ1006:サービス・プロデューサ・ネットワーク要素は、サービス通信プロキシから第3のサービス要求メッセージを受信し、サービス・プロデューサ・ネットワーク要素は、第4のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証する。
サービス・プロデューサ・ネットワーク要素は、第1のサービスに対応するアクセストークンをさらに検証する必要があることが理解されよう。詳細については、前述のaccess tokenの検証プロセスを参照されたい。本明細書では詳細は繰り返されない。
サービス・プロデューサ・ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。具体的には、サービス・プロデューサ・ネットワーク要素が、第4のクライアント資格情報アサーションの署名が成功したことを検証し、第4のクライアント資格情報アサーションに含まれる第4のクライアント資格情報アサーションのタイムスタンプおよび/または有効期限に基づいて、第4のクライアント資格情報アサーションが有効期限切れでないことを検証し、第4のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第4のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第1のネットワーク機能タイプがサービス・プロデューサ・ネットワーク要素のネットワーク機能タイプと一致することを検証した場合、サービス・プロデューサ・ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
ステップ1007:サービス・プロデューサ・ネットワーク要素は、第3のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。
サービス・コンシューマ・ネットワーク要素に対する認証が成功し、第1のサービスに対応するアクセストークンに対する検証が成功したとき、第3のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第3のサービス要求が成功したことを示す。あるいは、サービス・コンシューマ・ネットワーク要素に対する認証が失敗し、および/または第1のサービスに対応するアクセストークンに対する検証が失敗したとき、第3のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示す。
ステップ1008:サービス通信プロキシは、サービス・コンシューマ・ネットワーク要素に第1のサービス要求メッセージに対する応答メッセージを送信する。
第3のサービス要求メッセージに対する応答メッセージが、第1のサービスを提供することを示すか、または第3のサービス要求が成功したことを示すとき、第1のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第1のサービス要求が成功したことを示す。あるいは、第3のサービス要求メッセージに対する応答メッセージが、第1のサービス要求が失敗したことを示すとき、第1のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示す。例えば、サービス通信プロキシは、第3のサービス要求メッセージに対する応答メッセージのメッセージヘッダ内の情報を修正し得るが、第3のサービス要求メッセージに対する応答メッセージの内容は基本的に変更されないままである。サービス通信プロキシは、メッセージルーティングに主に使用される。
前述の実施形態では、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシに第1のサービス要求メッセージを送信し、第1のサービス要求メッセージは第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含み、第4のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第5のクライアント資格情報アサーションは第2のネットワーク機能タイプを含む。これにより、サービス通信プロキシが第2のサービスを要求するときに、第2のサービスを提供するネットワーク要素がサービス・コンシューマ・ネットワーク要素を正常に認証することを保証することができ、サービス・コンシューマ・ネットワーク要素が第1のサービスを要求することをさらに保証することができる。
本出願の一実施形態は、通信方法を提供する。サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシにサービス要求メッセージを送信し、サービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含み、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションは、異なるネットワーク機能タイプをそれぞれ含む。第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを受信すると、ネットワークリポジトリ機能ネットワーク要素(またはサービス・プロデューサ・ネットワーク要素)は、第4のクライアント資格情報アサーションに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定し、または第5のクライアント資格情報アサーションに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定されることができる。以下では、説明のための例として図11に示す実施形態を使用する。
本出願のこの実施形態は通信方法を提供する。図11に示されるように、本方法は以下のステップを含む。
ステップ1101:サービス・コンシューマ・ネットワーク要素が、サービス通信プロキシに第1のサービス要求メッセージを送信し、第1のサービス要求メッセージは、第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含む。
詳細については、図10のステップ1001を参照されたい。詳細は再度説明されない。
ステップ1102:サービス通信プロキシは、サービス・コンシューマ・ネットワーク要素から第1のサービス要求メッセージを受信し、サービス通信プロキシは、ネットワークリポジトリ機能ネットワーク要素に第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは、第2のサービスを要求するために使用され、第2のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含む。
第1のサービスの要求が第2のサービスの要求をトリガするとサービス通信プロキシが決定することについては、前述のステップ902を参照されたい。詳細は繰り返されない。
ステップ1103:ネットワークリポジトリ機能ネットワーク要素は、サービス通信プロキシから第2のサービス要求メッセージを受信し、ネットワークリポジトリ機能ネットワーク要素は、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証する。
ネットワークリポジトリ機能ネットワーク要素が、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションのうちの1つまたは複数に基づいてサービス・コンシューマ・ネットワーク要素を正常に認証した場合、ネットワークリポジトリ機能ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
ネットワークリポジトリ機能ネットワーク要素は、第5のクライアント資格情報アサーションに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。具体的には、ネットワークリポジトリ機能ネットワーク要素が、第5のクライアント資格情報アサーションの署名が成功したことを検証し、第5のクライアント資格情報アサーションに含まれる第5のクライアント資格情報アサーションのタイムスタンプおよび/または有効期限に基づいて、第5のクライアント資格情報アサーションが有効期限切れでないことを検証し、第5のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第5のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第2のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致することを検証した場合、ネットワークリポジトリ機能ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
ネットワークリポジトリ機能ネットワーク要素は、第4のクライアント資格情報アサーションに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が失敗したと決定する。具体的には、ネットワークリポジトリ機能ネットワーク要素が、第4のクライアント資格情報アサーションの署名が成功したことを検証し、第4のクライアント資格情報アサーションに含まれる第4のクライアント資格情報アサーションのタイムスタンプおよび/または有効期限に基づいて、第4のクライアント資格情報アサーションが有効期限を切れていないことを検証し、第4のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第4のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第1のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致しないことを検証した場合、ネットワークリポジトリ機能ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が失敗したと決定する。
以上から知見され得るように、ネットワークリポジトリ機能ネットワーク要素が、第5のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を正常に認証し、第4のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素の認証に失敗した場合、ネットワークリポジトリ機能ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
ステップ1104:サービス・コンシューマ・ネットワーク要素に対する認証が成功すると、ネットワークリポジトリ機能ネットワーク要素は、サービス通信プロキシに第2のサービス要求メッセージに対する応答メッセージを送信する。
例えば、第2のサービス要求メッセージが第1のサービスに対応するアクセストークンを要求するために使用される場合、サービス・コンシューマ・ネットワーク要素に対する認証が成功した後、ネットワークリポジトリ機能ネットワーク要素は認可チェックを実行する。認可が成功したと決定された場合、ネットワークリポジトリ機能ネットワーク要素は、第1のサービスに対応するアクセストークンを生成する。ネットワークリポジトリ機能ネットワーク要素は、第2のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。第2のサービス要求メッセージに対する応答メッセージは、第1のサービスに対応するアクセストークンを含む。
例えば、第2のサービス要求メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を要求するために使用される場合、サービス・コンシューマ・ネットワーク要素に対する認証が成功した後、ネットワークリポジトリ機能ネットワーク要素は、第2のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。第2のサービス要求メッセージに対する応答メッセージは、サービス・プロデューサ・ネットワーク要素に関する情報を含む。
ステップ1105:サービス通信プロキシは、ネットワークリポジトリ機能ネットワーク要素からの第2のサービス要求メッセージに対する応答メッセージを受信し、サービス通信プロキシは、第2のサービス要求メッセージに対する応答メッセージに基づいて、サービス・プロデューサ・ネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、第1のサービスを要求するために使用され、第3のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを含む。
第3のサービス要求メッセージは、第1のサービスに対応するアクセストークンをさらに含むことが理解されよう。
例えば、第2のサービス要求メッセージに対する応答メッセージが第1のサービスに対応するアクセストークンを含むとき、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、第1のサービスを要求するために使用され、第3のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第1のサービスに対応するアクセストークンを含む。
例えば、第2のサービス要求メッセージに対する応答メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を含むとき、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素に関する情報によって示されるサービス・プロデューサ・ネットワーク要素に第3のサービス要求メッセージを送信し、第3のサービス要求メッセージは、第1のサービスを要求するために使用され、第3のサービス要求メッセージは、第4のクライアント資格情報アサーションおよび第1のサービスに対応するアクセストークンを含む。この場合、第1のサービスに対応するアクセストークンは、サービス通信プロキシによって格納されてもよく、または第1のサービス要求メッセージ内で搬送されてもよい。
ステップ1106:サービス・プロデューサ・ネットワーク要素は、サービス通信プロキシから第3のサービス要求メッセージを受信し、サービス・プロデューサ・ネットワーク要素は、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションを検証する。
サービス・プロデューサ・ネットワーク要素は、第1のサービスに対応するアクセストークンをさらに検証する必要があることが理解されよう。詳細については、前述のaccess tokenの検証プロセスを参照されたい。本明細書では詳細は繰り返されない。
サービス・プロデューサ・ネットワーク要素が、第4のクライアント資格情報アサーションおよび第5のクライアント資格情報アサーションのうちの1つまたは複数に基づいてサービス・コンシューマ・ネットワーク要素を正常に認証した場合、サービス・プロデューサ・ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
サービス・プロデューサ・ネットワーク要素は、第4のクライアント資格情報アサーションに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。具体的には、サービス・プロデューサ・ネットワーク要素が、第4のクライアント資格情報アサーションの署名が成功したことを検証し、第4のクライアント資格情報アサーションに含まれる第4のクライアント資格情報アサーションのタイムスタンプおよび/または有効期限に基づいて、第4のクライアント資格情報アサーションが有効期限切れでないことを検証し、第4のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第4のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第1のネットワーク機能タイプがサービス・プロデューサ・ネットワーク要素のネットワーク機能タイプと一致することを検証した場合、サービス・プロデューサ・ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
サービス・プロデューサ・ネットワーク要素は、第5のクライアント資格情報アサーションに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が失敗したと決定する。具体的には、サービス・プロデューサ・ネットワーク要素が、第5のクライアント資格情報アサーションの署名が成功したことを検証し、第5のクライアント資格情報アサーションに含まれる第5のクライアント資格情報アサーションのタイムスタンプおよび/または有効期限に基づいて、第5のクライアント資格情報アサーションが有効期限切れでないことを検証し、第5のクライアント資格情報アサーション内のサービス・コンシューマ・ネットワーク要素の識別子が、第5のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第2のネットワーク機能タイプがサービス・プロデューサ・ネットワーク要素のネットワーク機能タイプと一致しないことを検証した場合、サービス・プロデューサ・ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が失敗したと決定する。
以上から知見され得るように、サービス・プロデューサ・ネットワーク要素が、第4のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を正常に認証し、第5のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素の認証に失敗した場合、サービス・プロデューサ・ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
ステップ1107:サービス・プロデューサ・ネットワーク要素は、第3のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。
ステップ1108:サービス通信プロキシは、サービス・コンシューマ・ネットワーク要素に第1のサービス要求メッセージに対する応答メッセージを送信する。
ステップ1107およびステップ1108は、図10の実施形態におけるステップ1007およびステップ1008とそれぞれ同じである。詳細は再度説明されない。
図10の実施形態と比較して、図11の実施形態では、サービス通信プロキシは、サービスを要求する異なる対象に基づいて、サービス要求メッセージ内で異なるCCAを搬送する必要はない。これにより、サービス通信プロキシの処理ロジックを簡素化する。加えて、サービス・コンシューマ・ネットワーク要素のサービス要求を受信した後、サービス通信プロキシは、ネットワークリポジトリ機能ネットワーク要素から第2のサービスを要求するか、またはサービス・プロデューサ・ネットワーク要素から第1のサービスを要求するかにかかわらず、2つのCCAを搬送する。したがって、ネットワークリポジトリ機能ネットワーク要素およびサービス・プロデューサ・ネットワーク要素がサービス・コンシューマ・ネットワーク要素を正常に認証することが常に保証されることができ、サービス・コンシューマ・ネットワーク要素がサービスを要求できないという問題が回避される。
本出願の一実施形態は、通信方法を提供する。サービス通信プロキシが第2のサービスを要求することに失敗したとき、サービス通信プロキシは、サービス通信プロキシが第2のサービスを取得できることを保証し、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得することをさらに保証するために、サービス・コンシューマ・ネットワーク要素からクライアント資格情報アサーションを能動的に要求し得る。
本出願のこの実施形態は通信方法を提供する。図12に示されるように、本方法は以下のステップを含む。
ステップ1201:サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシにサービス要求メッセージ1を送信し、サービス要求メッセージ1は、第1のサービスを要求するために使用され、サービス要求メッセージ1は、クライアント資格情報アサーションAを含み、クライアント資格情報アサーションAは、第1のネットワーク機能タイプを含み、クライアント資格情報アサーションAは、サービス・プロデューサ・ネットワーク要素によって、サービス・コンシューマ・ネットワーク要素を認証するために使用される。第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプである。
この場合、クライアント資格情報アサーションAは第2のネットワーク機能タイプを含まないことに留意されたい。第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは第1のサービスに関連付けられる。
ステップ1202:サービス通信プロキシは、サービス要求メッセージ2をネットワークリポジトリ機能ネットワーク要素に送信し、サービス要求メッセージ2は、第2のサービスを要求するために使用され、サービス要求メッセージ2は、クライアント資格情報アサーションAを含む。ネットワークリポジトリ機能ネットワーク要素は、第2のサービスを提供するように構成される。
ステップ1203:ネットワークリポジトリ機能ネットワーク要素は、クライアント資格情報アサーションAに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が失敗したと決定する。
ステップ1204:ネットワークリポジトリ機能ネットワーク要素は、サービス通信プロキシにサービス要求メッセージ2に対する応答メッセージを送信する。
ステップ1201からステップ1204は、図9の実施形態におけるステップ901からステップ904とそれぞれ同じである。詳細は再度説明されない。
ステップ1205:サービス通信プロキシは、サービス要求メッセージ2に対する応答メッセージに基づいて、クライアント資格情報アサーション要求メッセージをサービス・コンシューマ・ネットワーク要素に送信する。
クライアント資格情報アサーション要求メッセージは、第1のサービス要求が失敗したことを示し得る。クライアント資格情報アサーション要求メッセージは指示情報をさらに含んでもよい。
いくつかの実施形態では、指示情報は、クライアント資格情報アサーションBおよび/または原因値を含み得る。指示情報がクライアント資格情報アサーションBを含むとき、サービス通信プロキシは、クライアント資格情報アサーションを要求するためにサービス・コンシューマ・ネットワーク要素を、悪意をもってトリガすることが防止され得る。
いくつかの実施形態では、サービス通信プロキシは、サービス要求メッセージ2に対する応答メッセージに基づいて指示情報をさらに生成し得る。指示情報は、クライアント資格情報アサーションBまたは原因値を代替的に含まなくてもよい。指示情報は、サービス・コンシューマ・ネットワーク要素に、クライアント資格情報アサーションを要求し、クライアント資格情報アサーションを要求するときに、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプを含むクライアント資格情報アサーションを搬送するように示し得る。
ステップ1206:サービス・コンシューマ・ネットワーク要素は、指示情報に基づいて、クライアント資格情報アサーション要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。
いくつかの実施形態では、指示情報がクライアント資格情報アサーションBを含み、クライアント資格情報アサーションBがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプを含むときに、サービス・コンシューマ・ネットワーク要素は、クライアント資格情報アサーションBを検証し得る。クライアント資格情報アサーションBの検証が成功すると、サービス・コンシューマ・ネットワーク要素は、クライアント資格情報アサーション要求メッセージに対する応答メッセージをサービス通信プロキシに送信する。クライアント資格情報アサーション要求メッセージに対する応答メッセージはクライアント資格情報アサーションCを含む。クライアント資格情報アサーションCは第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、またはクライアント資格情報アサーションCは第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプである。
ステップ1207:サービス通信プロキシは、サービス・コンシューマ・ネットワーク要素からクライアント資格情報アサーション要求メッセージに対する応答メッセージを受信し、ネットワークリポジトリ機能ネットワーク要素にサービス要求メッセージ3を送信し、サービス要求メッセージ3は第2のサービスを要求するために使用され、サービス要求メッセージ3はクライアント資格情報アサーションCを含む。
例えば、第1のサービスに対応する利用可能なアクセストークンが格納されておらず、第1のサービス要求メッセージが第1のサービスに対応するアクセストークンを含まないとき、サービス通信プロキシは、サービス要求メッセージ3をネットワークリポジトリ機能ネットワーク要素に送信し、サービス要求メッセージ3は、第1のサービスに対応するアクセストークンを要求するために使用される。
あるいは、サービス・プロデューサ・ネットワーク要素に関する情報が格納されておらず、第1のサービス要求メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を含まないとき、サービス通信プロキシはサービス要求メッセージ3をネットワークリポジトリ機能ネットワーク要素に送信し、サービス要求メッセージ3はサービス・プロデューサ・ネットワーク要素に関する情報を要求するために使用される。
ステップ1208:ネットワークリポジトリ機能ネットワーク要素は、サービス通信プロキシからサービス要求メッセージ3を受信し、ネットワークリポジトリ機能ネットワーク要素は、クライアント資格情報アサーションCに基づいてサービス・コンシューマ・ネットワーク要素を認証する。
クライアント資格情報アサーションCが第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、ネットワークリポジトリ機能ネットワーク要素が、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致するネットワーク機能タイプが第1のネットワーク機能タイプおよび第2のネットワーク機能タイプに存在すると決定した場合、ネットワークリポジトリ機能ネットワーク要素は、クライアント資格情報アサーションCに対する検証が成功したと決定する。第2のネットワーク機能タイプは、ネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致する。具体的には、ネットワークリポジトリ機能ネットワーク要素が、クライアント資格情報アサーションCの署名が成功したことを検証し、クライアント資格情報アサーションCに含まれるクライアント資格情報アサーションCのタイムスタンプおよび/または有効期限に基づいて、クライアント資格情報アサーションCが有効期限切れでないことを検証し、クライアント資格情報C内のサービス・コンシューマ・ネットワーク要素の識別子が、クライアント資格情報アサーションCに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプのうちの第2のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致することを検証した場合、ネットワークリポジトリ機能ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
クライアント資格情報アサーションCが第2のネットワーク機能タイプを含み、ネットワークリポジトリ機能ネットワーク要素が、クライアント資格情報アサーションCの署名が成功したことを検証し、クライアント資格情報アサーションCに含まれるクライアント資格情報アサーションCのタイムスタンプおよび/または有効期限に基づいて、クライアント資格情報アサーションCが有効期限切れでないことを検証し、クライアント資格情報C内のサービス・コンシューマ・ネットワーク要素の識別子が、クライアント資格情報アサーションCに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第2のネットワーク機能タイプがネットワークリポジトリ機能ネットワーク要素のネットワーク機能タイプと一致することを検証した場合、ネットワークリポジトリ機能ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
ステップ1209:サービス・コンシューマ・ネットワーク要素に対する認証が成功すると、ネットワークリポジトリ機能ネットワーク要素は、サービス通信プロキシにサービス要求メッセージ3に対する応答メッセージを送信する。
例えば、サービス要求メッセージ3が第1のサービスに対応するアクセストークンを要求するために使用される場合、サービス・コンシューマ・ネットワーク要素に対する認証が成功した後、ネットワークリポジトリ機能ネットワーク要素は認可チェックを実行する。認可が成功したと決定された場合、ネットワークリポジトリ機能ネットワーク要素は、第1のサービスに対応するアクセストークンを生成する。ネットワークリポジトリ機能ネットワーク要素は、サービス要求メッセージ3に対する応答メッセージをサービス通信プロキシに送信する。サービス要求メッセージ3に対する応答メッセージは、第1のサービスに対応するアクセストークンを含む。
例えば、サービス要求メッセージ3がサービス・プロデューサ・ネットワーク要素に関する情報を要求するために使用される場合、サービス・コンシューマ・ネットワーク要素に対する認証が成功した後、ネットワークリポジトリ機能ネットワーク要素は、サービス要求メッセージ3に対する応答メッセージをサービス通信プロキシに送信する。サービス要求メッセージ3に対する応答メッセージは、サービス・プロデューサ・ネットワーク要素に関する情報を含む。
ステップ1210:サービス通信プロキシは、ネットワークリポジトリ機能ネットワーク要素からサービス要求メッセージ3に対する応答メッセージを受信し、サービス通信プロキシは、サービス要求メッセージ3に対する応答メッセージに基づいてサービス・プロデューサ・ネットワーク要素にサービス要求メッセージ4を送信し、サービス要求メッセージ4は、第1のサービスを要求するために使用され、サービス要求メッセージ4は、クライアント資格情報アサーションAまたはクライアント資格情報Cを含む。
サービス要求メッセージ4は、第1のサービスに対応するアクセストークンをさらに含むことが理解されよう。
例えば、サービス要求メッセージ3に対する応答メッセージが第1のサービスに対応するアクセストークンを含むとき、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素にサービス要求メッセージ4を送信し、サービス要求メッセージ4は、第1のサービスを要求するために使用され、サービス要求メッセージ4は、第1のクライアント資格情報アサーションおよび第1のサービスに対応するアクセストークンを含む。
例えば、サービス要求メッセージ3に対する応答メッセージがサービス・プロデューサ・ネットワーク要素に関する情報を含むとき、サービス通信プロキシは、サービス・プロデューサ・ネットワーク要素に関する情報によって示されるサービス・プロデューサ・ネットワーク要素にサービス要求メッセージ4を送信し、サービス要求メッセージ4は、第1のサービスを要求するために使用され、サービス要求メッセージ4は、第1のクライアント資格情報アサーションおよび第1のサービスに対応するアクセストークンを含む。この場合、第1のサービスに対応するアクセストークンは、サービス通信プロキシによって格納されてもよく、またはサービス要求メッセージ1内で搬送されてもよい。
ステップ1211:サービス・プロデューサ・ネットワーク要素は、サービス通信プロキシからサービス要求メッセージ4を受信し、サービス・プロデューサ・ネットワーク要素は、クライアント資格情報アサーションAまたはクライアント資格情報アサーションCに基づいてNFサービスconsumerを認証する。
サービス・プロデューサ・ネットワーク要素は、第1のサービスに対応するアクセストークンをさらに検証する必要があることが理解されよう。詳細については、前述のaccess tokenの検証プロセスを参照されたい。本明細書では詳細は繰り返されない。
サービス要求メッセージ4がクライアント資格情報アサーションCを含み、サービス・プロデューサ・ネットワーク要素が、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプと一致するネットワーク機能タイプが第1のネットワーク機能タイプおよび第2のネットワーク機能タイプに存在すると決定した場合、サービス・プロデューサ・ネットワーク要素は、クライアント資格情報アサーションCに基づいて、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプと一致する。具体的には、サービス・プロデューサ・ネットワーク要素が、クライアント資格情報アサーションCの署名が成功したことを検証し、クライアント資格情報アサーションCに含まれるクライアント資格情報アサーションCのタイムスタンプおよび/または有効期限に基づいて、クライアント資格情報アサーションCが有効期限切れでないことを検証し、クライアント資格情報C内のサービス・コンシューマ・ネットワーク要素の識別子が、クライアント資格情報アサーションCに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプのうちの第1のネットワーク機能タイプがサービス・プロデューサ・ネットワーク要素のネットワーク機能タイプと一致することを検証した場合、サービス・プロデューサ・ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
サービス要求メッセージ4がクライアント資格情報アサーションAを含む場合、サービス・プロデューサ・ネットワーク要素は、クライアント資格情報アサーションAの署名が成功したことを検証し、クライアント資格情報アサーションAに含まれるクライアント資格情報アサーションAのタイムスタンプおよび/または有効期限に基づいて、クライアント資格情報アサーションAが有効期限切れでないことを検証し、クライアント資格情報アサーションA内のサービス・コンシューマ・ネットワーク要素の識別子が、クライアント資格情報アサーションAに署名するための証明書内のネットワーク要素の識別子と同じであることを検証し、第1のネットワーク機能タイプがサービス・プロデューサ・ネットワーク要素のネットワーク機能タイプと一致することを検証し、サービス・プロデューサ・ネットワーク要素は、サービス・コンシューマ・ネットワーク要素に対する認証が成功したと決定する。
ステップ1212:サービス・プロデューサ・ネットワーク要素は、サービス要求メッセージ4に対する応答メッセージをサービス通信プロキシに送信する。
サービス・コンシューマ・ネットワーク要素に対する認証が成功し、第1のサービスに対応するアクセストークンに対する検証が成功したとき、サービス要求メッセージ4に対する応答メッセージは、第1のサービスを提供することを示すか、またはサービス要求4が成功したことを示す。あるいは、サービス・コンシューマ・ネットワーク要素に対する認証が失敗し、および/または第1のサービスに対応するアクセストークンに対する検証が失敗したとき、サービス要求メッセージ4に対する応答メッセージは、第1のサービス要求が失敗したことを示す。
ステップ1213:サービス通信プロキシは、サービス・コンシューマ・ネットワーク要素にサービス要求メッセージ1に対する応答メッセージを送信する。
サービス要求メッセージ4に対する応答メッセージが、第1のサービスを提供することを示すか、またはサービス要求4が成功したことを示すとき、サービス要求メッセージ1に対する応答メッセージは、第1のサービスを提供することを示すか、またはサービス要求1が成功したことを示す。あるいは、サービス要求メッセージ4に対する応答メッセージが、第1のサービス要求が失敗したことを示すとき、サービス要求メッセージ1に対する応答メッセージは、第1のサービス要求が失敗したことを示す。
前述の実施形態では、サービス通信プロキシは、サービス通信プロキシが第2のサービスを要求するときに、第2のサービスを提供するネットワーク要素がサービス・コンシューマ・ネットワーク要素を正常に認証することを保証し、サービス・コンシューマ・ネットワーク要素が第1のサービスを要求することをさらに保証するために、サービス・コンシューマ・ネットワーク要素にクライアント資格情報アサーション要求メッセージを送信する。
図8から図12に示す実施形態は、実施形態1から8を参照しながら実施例を用いて以下で説明される。
実施形態1:図8に示す実施形態を参照すると、第1のサービスが要求される必要があり、第1のサービスに対応する利用可能なaccess tokenがないと決定されると、NFサービスconsumerは、図13に示すように、以下の実施形態に従って第1のサービスを取得し得るが、これに限定されない。
ステップ1301:NFサービスconsumerは、第1のサービスを要求すると決定し、第1のサービスに対応する利用可能なaccess tokenがないと決定し、NFサービスconsumerはCCAを取得し、第1のサービスに対応するaccess tokenは、NFサービスconsumerが第1のサービスを取得する許可または第1のサービスにアクセスする許可を有することを表す/示す。
NFサービスconsumerは、ステップ1301の前に、現在の間接通信モードがモードDであるとさらに決定し得ることが理解されよう。
NFサービスconsumerが第1のサービスを要求すると決定した後、NFサービスconsumerは、第1のサービスに対応するaccess tokenがローカルに格納されているかどうかをチェックする。NFサービスconsumerが、第1のサービスに対応する利用可能なaccess tokenがないと決定することは、NFサービスconsumerが、第1のサービスに対応するaccess tokenが格納されていないか、または第1のサービスに対応する格納されたaccess tokenが有効期限切れであると決定することを意味する。さらに、NFサービスconsumerが、第1のサービスに対応する格納されたaccess tokenが有効期限切れであると決定すると、NFサービスconsumerは、第1のサービスに対応する期限切れのaccess tokenを削除する。
例えば、NFサービスconsumerは、UEのサービス要求メッセージを受信し、サービス要求メッセージに基づいて、第1のサービスが要求される必要があると決定し得る。NFサービスconsumerは、UEの識別子に基づいてUEの関連情報(例えば、UEのコンテキスト情報)を取得する。さらに、NFサービスconsumerは、公開記憶空間が第1のサービスに対応するaccess tokenを含むかどうかをチェックする。第1のサービスに対応するaccess tokenが含まれ、access tokenが有効期限切れでない場合、access tokenが使用される。第1のサービスに対応するaccess tokenが含まれていない場合、利用可能なaccess tokenがないと決定される。あるいは、第1のサービスに対応するaccess tokenが含まれているが、access tokenが有効期限切れである場合、利用可能なaccess tokenがないと決定される。さらに、任意選択で、NFサービスconsumerは、access tokenを削除する。UEの関連情報は、NFサービスconsumerの公開記憶空間に格納されてもよく、またはUEの関連情報は、UEの識別子に基づいて別のネットワーク要素からNFサービスconsumerによって取得される。
加えて、NFサービスconsumerは、利用可能なCCAがローカルに格納されているかどうかをさらに決定する必要がある。利用可能なCCAが格納されている場合(例えば、CCAが有効期限切れでない場合)、CCAが使用される。利用可能なCCAが格納されていない場合(例えば、CCAが有効期限切れであるか、またはCCAが格納されていない場合)、NFサービスconsumerはCCAを生成する。加えて、CCAが有効期限切れになった場合、NFサービスconsumerは有効期限切れのCCAを削除する。
CCAは、第1のNF typeおよび第2のNF typeを含む。第1のNF typeは、第1のサービスを提供する予期されるNFサービスproducerのNF typeであり、第2のNF typeは、access tokenを提供する予期されるNRFのNF typeである。
加えて、CCAは、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、および有効期限をさらに含む。
ステップ1302:NFサービスconsumerは、第1のサービス要求メッセージをSCPに送信し、第1のサービス要求メッセージは、ステップ1301のCCAおよびaccess tokenを取得するためのパラメータを含む。第1のサービス要求メッセージは、第1のサービスを要求するために使用される。
access tokenを取得するためのパラメータおよびNFサービスproducerを発見するためのパラメータは、同じであってもよく、または完全にもしくは部分的に異なっていてもよい。アクセストークンを取得するためのパラメータおよびNFサービスproducerを発見するためのパラメータは、同じ情報要素または異なる情報要素によって示されてもよい。例えば、access tokenを取得するためのパラメータとNFサービスproducerを発見するためのパラメータの両方が同じである場合、同じ情報要素が指示に使用され得る。access tokenを取得するためのパラメータとNFサービスproducerを発見するためのパラメータとが完全に異なる場合、第1のサービス要求メッセージは、NFサービスproducerを発見するためのパラメータをさらに含む。access tokenを取得するためのパラメータとNFサービスproducerを発見するためのパラメータとが部分的に異なる場合、第1のサービス要求メッセージは、NFサービスproducerを発見するための残りのパラメータをさらに含む。
例えば、access tokenを取得するためのパラメータは、予期されるサービス名、NFサービスconsumerのNF type、予期されるNFサービスproducerのNF type、予期されるNFサービスproducerインスタンスのS-NSSAIリストまたはNSI IDリスト、予期されるNFサービスproducerインスタンスのNF set Id、NFサービスconsumerのS-NSSAIリストなどを含み得る。NFサービスproducerを発見するためのパラメータは、予期されるNFサービスproducerのNF typeと、予期されるNFサービスproducerインスタンスのS-NSSAIリストまたはNSI IDリストとを含み得る。この場合、access tokenを取得するためのパラメータは、NFサービスproducerを発見するためのパラメータと部分的に同じであってもよい。
ステップ1303:SCPは、access token要求メッセージをNRFに送信し、access token要求メッセージは、CCAおよびaccess tokenを取得するためのパラメータを含む。
SCPがaccess token要求メッセージをNRFに送信する前に、SCPは、第1のサービス要求メッセージが第1のサービスに対応するaccess tokenを含まず、第1のサービスに対応するaccess tokenがローカルに格納されていないと決定するか、または第1のサービス要求メッセージが第1のサービスに対応するaccess tokenを含まず、第1のサービスに対応する格納されたaccess tokenが有効期限切れであると決定する。第1のサービスに対応する格納されたaccess tokenが有効期限切れであると決定された場合、SCPは、第1のサービスに対応する有効期限切れのaccess tokenを削除する。
加えて、第1のサービスに対応するaccess tokenがタイプBのaccess tokenである場合、SCPはステップ1303の前にNFサービスproducer発見手順をさらに開始する必要があることが理解されよう。そうでない場合、SCPは、第1のサービスに対応するaccess tokenを取得した後にNFサービスproducer発見手順を開始してもよい。あるいは、NFサービスproducerに関する情報がローカルに格納されているとき、SCPはNFサービスproducer発見手順を開始しなくてもよい。
access token要求メッセージは、NNrf_AccessToken_Get_Requestまたは別のメッセージであってもよい。これは本出願の実施形態では限定されない。
ステップ1304:NRFはaccess token要求メッセージを受信し、NRFはCCAに基づいてNFサービスconsumerを認証する。
NRFは、CCAに基づいてNFサービスconsumerを正常に認証し、認可チェックを実行する。認可が成功したと決定された場合、第1のサービスに対応するaccess tokenが生成される。
NRFは、CCAの署名を検証し、CCAのタイムスタンプおよび/または有効期限に基づいて、CCAが有効期限切れであるかどうかを検証し、CCA内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証に成功したことに加えて、NRFは、CCAに含まれる第1のNF typeおよび第2のNF typeにNRFのNF typeと同じNF typeが存在するかどうかをさらに検証する必要がある。第2のNF typeがNRFのNF typeと一致するとNRFが決定したとき、NRFは、NFサービスconsumerに対する認証が成功したと決定する。
ステップ1305:NRFは、access token応答メッセージをSCPに送信し、access token応答メッセージは第1のサービスに対応するaccess tokenを含む。
ステップ1306:SCPは、NFサービスproducerに第2のサービス要求メッセージを送信する。第2のサービス要求メッセージは、CCAおよび第1のサービスに対応するaccess tokenを含む。
ステップ1307:NFサービスproducerは、SCPから第2のサービス要求メッセージを受信する。NFサービスproducerは、CCAに基づいてNFサービスconsumerを認証する。
NFサービスproducerは、第1のサービスに対応するaccess tokenに対して完全性検証を実行する。完全性検証が成功した場合、NFサービスproducerは、第1のサービスに対応するaccess token内のclaimsをさらに検証する。詳細については、access token内のclaimsに関する検証の関連内容を参照されたい。
NFサービスproducerは、CCAに基づいてNFサービスconsumerをさらに認証する必要がある。NFサービスproducerは、CCAの署名を検証し、CCAのタイムスタンプおよび/または有効期限に基づいて、CCAが有効期限切れであるかどうかを検証し、CCA内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述のすべての検証内容の検証の成功に加えて、NFサービスproducerは、CCAに含まれる第1のNF typeおよび第2のNF typeに、NFサービスproducerのNF typeと一致するNF typeが存在するかどうかをさらに検証する必要がある。第1のNF typeがNFサービスproducerのNF typeと一致するとNFサービスproducerが決定したとき、NFサービスproducerは、NFサービスconsumerに対する認証が成功したと決定する。
あるいは、access tokenおよびCCAを検証する前述のシーケンスは、CCAが最初に検証され、次いで、検証が成功した後にaccess tokenが検証されることであってもよい。これは、本明細書では限定されない。
加えて、NFサービスproducerは、CCA内のNFサービスconsumerのNFインスタンスIDが、access tokenに含まれるNFサービスconsumerのNFインスタンスIDと同じであるかどうかをさらにチェックする。CCA内のNFサービスconsumerのNFインスタンスIDが、access tokenに含まれるNFサービスconsumerのNFインスタンスIDと同じである場合、要求されたサービスはNFサービスconsumerに提供される。
ステップ1308:NFサービスproducerが、第1のアクセストークンに対する検証が成功し、NFサービスconsumerに対する認証が成功したと決定した場合、NFサービスproducerは、第2のサービス要求メッセージに対する応答メッセージをSCPに送信する。第2のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第2のサービス要求が成功したことを示す。
第1のaccess tokenに対する検証が失敗し、かつ/またはNFサービスconsumerに対する認証が失敗した場合、第2のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示すことが理解されよう。
ステップ1309:SCPは、NFサービスproducerから第2のサービス要求メッセージに対する応答メッセージを受信し、NFサービスconsumerに第1のサービス要求メッセージに対する応答メッセージを送信する。
第2のサービス要求メッセージに対する応答メッセージは、第1のサービスに対応するaccess tokenを含み得る。NFサービスconsumerは、第1のサービスを続いて要求するために、第1のサービスに対応するaccess tokenを格納する。
加えて、NFサービスconsumerが、第1のサービスに対応する利用可能なaccess tokenがあると決定した場合、NFサービスconsumerは、利用可能なCCAが格納されているかどうかを決定し得る。利用可能なCCAが格納されている場合、CCAが使用される。利用可能なCCAが格納されていない場合、CCAが生成される。この場合、CCAは第2のNF typeを含まなくてもよいことが理解されよう。しかしながら、NFサービスconsumerが、ステップ1301の前に、現在の間接通信モードがモードDであると決定した場合、第1のサービス要求メッセージは第1のNF typeおよび第2のNF typeを搬送する必要がある。
前述の実施形態では、CCAは、第1のNF typeおよび第2のNF typeを含む。これにより、NRFおよびNFサービスproducerがCCAに基づいてNFサービスconsumerを正常に認証することを保証することができ、NFサービスconsumerが第1のサービスを取得することをさらに保証することができる。
実施形態2:図10に示す実施形態を参照すると、第1のサービスが要求される必要があり、第1のサービスに対応する利用可能なaccess tokenがないと決定されると、NFサービスconsumerは、図14に示すように、以下の実施形態に従って第1のサービスを取得し得るが、これに限定されない。
ステップ1401:NFサービスconsumerは、第1のサービスを要求すると決定し、第1のサービスに対応する利用可能なaccess tokenがないと決定し、NFサービスconsumerはCCA1およびCCA2を取得し、第1のサービスに対応するaccess tokenは、NFサービスconsumerが第1のサービスを取得する許可または第1のサービスにアクセスする許可を有することを表す/示す。
NFサービスconsumerは、ステップ1401の前に、現在の間接通信モードがモードDであるとさらに決定し得ることが理解されよう。NFサービスconsumerは、第1のサービスを要求すると決定し、第1のサービスに対応する利用可能なaccess tokenがないと決定する。詳細については、図13のステップ1301の関連説明を参照されたい。詳細は繰り返されない。
加えて、NFサービスconsumerは、利用可能なCCA1およびCCA2がローカルに格納されているかどうかを決定する必要がある。利用可能なCCA1が格納されている場合(例えば、CCA1が有効期限切れでない場合)、CCA1が使用される。利用可能なCCA1が格納されていない場合(例えば、CCA1が有効期限切れである場合)、NFサービスconsumerはCCA1を生成する。利用可能なCCA2が格納されている場合(例えば、CCA2が有効期限切れでないか、またはCCA2が格納されていない場合)、CCA2が使用される。利用可能なCCA2が格納されていない場合(例えば、CCA2が有効期限切れであるか、またはCCA2が格納されていない場合)、NFサービスconsumerはCCA2を生成する。CCA1またはCCA2が有効期限切れである場合、NFサービスconsumerは有効期限切れのCCAを削除する。
CCA1は第1のNF typeを含み、CCA2は第2のNF typeを含む。第1のNF typeは、第1のサービスを提供する予期されるNFサービスproducerのNF typeであり、第2のNF typeは、access tokenを提供する予期されるNRFのNF typeである。
加えて、CCA1は、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、およびCCA1の有効期限をさらに含む。CCA2は、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、およびCCA2の有効期限をさらに含む。
ステップ1402:NFサービスconsumerは、第1のサービス要求メッセージをSCPに送信し、第1のサービス要求メッセージは、ステップ1401のCCA1およびCCA2ならびにaccess tokenを取得するためのパラメータを含む。第1のサービス要求メッセージは、第1のサービスを要求するために使用される。
access tokenを取得するためのパラメータおよびNFサービスproducerを発見するためのパラメータについては、実施形態1のステップ1402を参照されたい。詳細は繰り返されない。
ステップ1403:SCPは、access token要求メッセージをNRFに送信する。access token要求メッセージは、CCA2と、access tokenを取得するためのパラメータとを含む。
SCPがaccess token要求メッセージをNRFに送信する前に、SCPは、第1のサービス要求メッセージが第1のサービスに対応するaccess tokenを含まず、第1のサービスに対応するaccess tokenがローカルに格納されていないと決定するか、または第1のサービス要求メッセージが第1のサービスに対応するaccess tokenを含まず、第1のサービスに対応する格納されたaccess tokenが有効期限切れであると決定する。第1のサービスに対応する格納されたaccess tokenが有効期限切れであると決定された場合、SCPは、第1のサービスに対応する有効期限切れのaccess tokenを削除する。
SCPは、access token要求メッセージをNRFに送信する必要がある。したがって、SCPは、CCA2をaccess token要求メッセージに追加する。
加えて、第1のサービスに対応するaccess tokenがタイプBのaccess tokenである場合、SCPはステップ1403の前にNFサービスproducer発見手順をさらに開始する必要があることが理解されよう。そうでない場合、SCPは、第1のサービスに対応するaccess tokenを取得した後にNFサービスproducer発見手順を開始してもよい。あるいは、NFサービスproducerに関する情報がローカルに格納されているとき、SCPはNFサービスproducer発見手順を開始しなくてもよい。
例えば、access token要求メッセージは、NNrf_AccessToken_Get_Requestまたは別のメッセージであってもよい。これは本出願の実施形態では限定されない。
ステップ1404:NRFはaccess token要求メッセージを受信し、NRFはCCA2に基づいてNFサービスconsumerを認証する。
NRFは、CCA2に基づいてNFサービスconsumerを正常に認証し、認可チェックを実行する。認可が成功したと決定された場合、第1のサービスに対応するaccess tokenが生成される。
NRFは、CCA2の署名を検証し、CCA2のタイムスタンプおよび/または有効期限に基づいて、CCA2が有効期限切れであるかどうかを検証し、CCA2内のNFサービスconsumerのNFインスタンスIDがCCA2に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証に成功したことに加えて、NRFは、CCA2に含まれる第2のNF typeがNRFのNF typeと同じであるかどうかをさらに検証する必要がある。第2のNF typeはNRFのNF typeと一致するので、NRFはCCA2の検証が成功したと決定する。
ステップ1405:NRFは、access token応答メッセージをSCPに送信し、access token応答メッセージは第1のサービスに対応するaccess tokenを含む。
ステップ1406:SCPは、NFサービスproducerに第2のサービス要求メッセージを送信する。第2のサービス要求メッセージは、CCA1および第1のサービスに対応するaccess tokenを含む。
SCPは第2のサービス要求メッセージをNFサービスproducerに送信する必要があるので、SCPはCCA1を選択し、CCA1を第2のサービス要求メッセージに追加する。
ステップ1407:NFサービスproducerは、SCPから第2のサービス要求メッセージを受信し、NFサービスproducerは、CCA1および第1のサービスに対応するaccess tokenを検証する。
NFサービスproducerは、第1のサービスに対応するaccess tokenに対して完全性検証を実行する。完全性検証が成功した場合、NFサービスproducerは、第1のサービスに対応するaccess token内のclaimsをさらに検証する。詳細については、access token内のclaimsに関する検証の関連内容を参照されたい。
NFサービスproducerは、CCA1に基づいてNFサービスconsumerをさらに認証する必要がある。NFサービスproducerは、CCA1の署名を検証し、CCA1のタイムスタンプおよび/または有効期限に基づいて、CCA1が有効期限切れであるかどうかを検証し、CCA1内のNFサービスconsumerのNFインスタンスIDがCCA1に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NFサービスproducerは、CCA1に含まれる第1のNF typeがNFサービスproducerのNF typeと一致するかどうかをさらに検証する必要がある。第1のNF typeはNFサービスproducerのNF typeと一致するので、NFサービスconsumerに対する認証は成功したと決定される。
あるいは、access tokenおよびCCA1を検証する前述のシーケンスは、CCA1が最初に検証され、次いで、検証が成功した後にaccess tokenが検証されることであってもよい。これは、本明細書では限定されない。
access tokenに対する検証とCCA1に対する検証の両方が成功した後、NFサービスproducerは、CCA1内のNFサービスconsumerのNFインスタンスIDが、access tokenに含まれるNFサービスconsumerのNFインスタンスIDと同じであるかどうかをさらにチェックする。CCA1内のNFサービスconsumerのNFインスタンスIDが、access tokenに含まれるNFサービスconsumerのNFインスタンスIDと同じである場合、要求されたサービスはNFサービスconsumerに提供される。
ステップ1408:NFサービスproducerが、第1のアクセストークンに対する検証が成功し、NFサービスconsumerに対する認証が成功したと決定した場合、NFサービスproducerは、第2のサービス要求メッセージに対する応答メッセージをSCPに送信する。第2のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第2のサービス要求が成功したことを示す。
第1のaccess tokenに対する検証が失敗し、かつ/またはNFサービスconsumerに対する認証が失敗した場合、第2のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示すことが理解されよう。
ステップ1409:SCPは、NFサービスproducerから第2のサービス要求メッセージに対する応答メッセージを受信し、NFサービスconsumerに第1のサービス要求メッセージに対する応答メッセージを送信する。
第1のサービス要求メッセージに対する応答メッセージは、第1のサービスに対応するaccess tokenを含み得る。NFサービスconsumerは、第1のサービスを続いて要求するために、第1のサービスに対応するaccess tokenを格納する。
加えて、NFサービスconsumerが、第1のサービスに対応する利用可能なaccess tokenがあると決定した場合、NFサービスconsumerは、利用可能なCCA1が格納されているかどうかを決定し得る。利用可能なCCA1が格納されている場合、CCA1が使用される。利用可能なCCA1が格納されていない場合、CCA1が生成される。この場合、NFサービスconsumerは、利用可能なCCA2が格納されているかどうかを決定する必要がないことが理解されよう。利用可能なCCA2が格納されていない場合でも、NFサービスconsumerはCCA2を生成する必要がなく、SCPを介して第1のサービスに対応するaccess tokenを取得する必要がない。第1のサービス要求メッセージはCCA2を含まなくてもよい。しかしながら、NFサービスconsumerが、ステップ1401の前に、現在の間接通信モードがモードDであると決定した場合、第1のサービス要求メッセージはCCA1およびCCA2を搬送する必要がある。
前述の実施形態では、CCA1は第1のNF typeを含み、CCA2は第2のNF typeを含む。これにより、NRFがCCA2に基づいてNFサービスconsumerを正常に認証し、NFサービスproducerがCCA1に基づいてNFサービスconsumerを正常に認証することを保証することができ、NFサービスconsumerが第1のサービスを取得することをさらに保証することができる。
実施形態3:図11に示す実施形態を参照すると、第1のサービスが要求される必要があり、第1のサービスに対応する利用可能なaccess tokenがないと決定されると、NFサービスconsumerは、図15に示すように、以下の実施形態に従って第1のサービスを取得し得るが、これに限定されない。
ステップ1501およびステップ1502については、図14のステップ1401およびステップ1402を参照されたい。詳細は繰り返されない。
ステップ1503:SCPは、access token要求メッセージをNRFに送信する。access token要求メッセージは、CCA2と、CCA1と、access tokenを取得するためのパラメータとを含む。
SCPがaccess token要求メッセージをNRFに送信する前に、SCPは、第1のサービス要求メッセージが第1のサービスに対応するaccess tokenを含まず、第1のサービスに対応するaccess tokenがローカルに格納されていないと決定するか、またはSCPは、第1のサービス要求メッセージが第1のサービスに対応するaccess tokenを含まず、第1のサービスに対応する格納されたaccess tokenが有効期限切れであると決定する。第1のサービスに対応する格納されたaccess tokenが有効期限切れであると決定された場合、SCPは、第1のサービスに対応する有効期限切れのaccess tokenを削除する。
加えて、第1のサービスに対応するaccess tokenがタイプBのaccess tokenである場合、SCPはステップ1503の前にNFサービスproducer発見手順をさらに開始する必要があることが理解されよう。そうでない場合、SCPは、第1のサービスに対応するaccess tokenを取得した後にNFサービスproducer発見手順を開始してもよい。あるいは、NFサービスproducerに関する情報がローカルに格納されているとき、SCPはNFサービスproducer発見手順を開始しなくてもよい。
例えば、access token要求メッセージは、NNrf_AccessToken_Get_Requestまたは別のメッセージであってもよい。これは本出願の実施形態では限定されない。
ステップ1504:NRFはaccess token要求メッセージを受信し、NRFはCCA1およびCCA2に基づいてNFサービスconsumerを認証する。
NRFは、CCA1に基づいてNFサービスconsumerを正常に認証するか、またはCCA2に基づいてNFサービスconsumerを正常に認証し、認可チェックを実行する。認可が成功したと決定された場合、第1のサービスに対応するaccess tokenが生成される。
NRFは、CCA1およびCCA2に基づいてNFサービスconsumerを認証する。この場合、NRFは、CCA1に基づいて、NFサービスconsumerに対する認証が成功したと決定する必要はなく、またはCCA2に基づいて、NFサービスconsumerに対する認証が成功したと決定する必要もない。CCA1に基づいてNFサービスconsumerに対する認証が成功したと決定するとき、またはCCA2に基づいてNFサービスconsumerに対する認証が成功したと決定するとき、NRFはNFサービスconsumerに対する認証が成功したと決定する。
NRFは、CCA1の署名を検証し、CCA1のタイムスタンプおよび/または有効期限に基づいて、CCA1が有効期限切れであるかどうかを検証し、CCA1内のNFサービスconsumerのNFインスタンスIDがCCA1に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NRFは、CCA1に含まれる第1のNF typeがNRFのNF typeと一致するかどうかをさらに検証する必要がある。第1のNF typeはNRFのNF typeと一致しないので、NRFは、NFサービスconsumerに対する認証が失敗したと決定する。
NRFは、CCA2の署名を検証し、CCA2のタイムスタンプおよび/または有効期限に基づいて、CCA2が有効期限切れであるかどうかを検証し、CCA2内のNFサービスconsumerのNFインスタンスIDがCCA2に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NRFは、CCA2に含まれる第2のNF typeがNRFのNF typeと一致するかどうかをさらに検証する必要がある。第2のNF typeはNRFのNF typeと一致するので、NRFは、NFサービスconsumerに対する認証が成功したと決定する。
ステップ1505:NRFは、access token応答メッセージをSCPに送信し、access token応答メッセージは第1のサービスに対応するaccess tokenを含む。
ステップ1506:SCPは、NFサービスproducerに第2のサービス要求メッセージを送信する。第2のサービス要求メッセージは、CCA1、CCA2、および第1のサービスに対応するaccess tokenを含む。
ステップ1507:NFサービスproducerは、SCPから第2のサービス要求メッセージを受信する。NFサービスproducerは、CCA1、CCA2、およびaccess tokenを検証する。
NFサービスproducerは、第1のサービスに対応するaccess tokenに対して完全性検証を実行する。完全性検証が成功した場合、NFサービスproducerは、第1のサービスに対応するaccess token内のclaimsをさらに検証する。詳細については、access token内のclaimsに関する検証の関連内容を参照されたい。
NFサービスproducerは、CCA1およびCCA2に基づいてNFサービスconsumerを認証する。この場合、NFサービスproducerは、CCA1に基づいて、NFサービスconsumerに対する認証が成功したと決定する必要はなく、またはCCA2に基づいて、NFサービスconsumerに対する認証が成功したと決定する必要もない。NFサービスproducerが、CCA1に基づいて、NFサービスconsumerに対する認証が成功したと決定するか、またはCCA2に基づいて、NFサービスconsumerに対する認証が成功したと決定すると、NFサービスproducerは、NFサービスconsumerに対する認証が成功したと決定する。
NFサービスproducerは、CCA1の署名を検証し、CCA1のタイムスタンプおよび/または有効期限に基づいて、CCA1が有効期限切れであるかどうかを検証し、CCA1内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NFサービスproducerは、CCA1に含まれる第1のNF typeがNFサービスproducerのNF typeと一致するかどうかをさらに検証する必要がある。第1のNF typeはNFサービスproducerのNF typeと一致するので、NFサービスproducerは、NFサービスconsumerに対する認証は成功したと決定する。
NFサービスproducerは、CCA2の署名を検証し、CCA2のタイムスタンプおよび/または有効期限に基づいて、CCA2が有効期限切れであるかどうかを検証し、CCA2内のNFサービスconsumerのNFインスタンスIDがCCA2に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容の検証の成功に加えて、NFサービスproducerは、CCA2に含まれる第2のNF typeがNFサービスproducerのNF typeと一致するかどうかをさらに検証する必要がある。第2のNF typeは、第1のサービスに対応するaccess tokenを提供する予期されるNFサービスproducerのNF typeであり、第2のNF typeは、NFサービスproducerのNF typeと一致しないため、NFサービスproducerは、NFサービスconsumerに対する認証が失敗したと決定する。
ステップ1508:NFサービスproducerが、第1のアクセストークンに対する検証が成功し、NFサービスconsumerに対する認証が成功したと決定した場合、NFサービスproducerは、第2のサービス要求メッセージに対する応答メッセージをSCPに送信する。第2のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第2のサービス要求が成功したことを示す。
第1のaccess tokenに対する検証が失敗し、かつ/またはNFサービスconsumerに対する認証が失敗した場合、第2のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示すことが理解されよう。
ステップ1509:SCPは、NFサービスproducerから第2のサービス要求メッセージに対する応答メッセージを受信し、NFサービスconsumerに第1のサービス要求メッセージに対する応答メッセージを送信する。
第2のサービス要求メッセージに対する応答メッセージは、第1のサービスに対応するaccess tokenを含み得る。NFサービスconsumerは、第1のサービスを続いて要求するために、第1のサービスに対応するaccess tokenを格納する。
前述の実施形態では、CCA1は第1のNF typeを含み、CCA2は第2のNF typeを含む。これにより、NRFがCCA1に基づいてNFサービスconsumerを正常に認証し、NFサービスproducerがCCA2に基づいてNFサービスconsumerを正常に認証することを保証することができ、NFサービスconsumerが第1のサービスを取得することをさらに保証することができる。
実施形態4:第1のサービスが要求される必要があり、第1のサービスに対応する利用可能なaccess tokenがあると決定されると、NFサービスconsumerは、図16に示すように、以下の実施形態に従って第1のサービスを取得し得るが、これに限定されない。
ステップ1601:NFサービスconsumerは、第1のサービスを要求すると決定し、第1のサービスに対応する利用可能なaccess tokenがあると決定し、NFサービスconsumerはCCAを取得し、第1のサービスに対応するaccess tokenは、NFサービスconsumerが第1のサービスを取得する許可または第1のサービスにアクセスする許可を有することを表す/示す。
NFサービスconsumerが、第1のサービスに対応する利用可能なaccess tokenがあると決定した場合、NFサービスconsumerは、利用可能なCCAが格納されているかどうかをさらに決定し得る。利用可能なCCAが格納されている場合、CCAが使用される。利用可能なCCAが格納されていない場合、CCAが生成される。この場合、NFサービスconsumerによって生成されたCCAは、第2のNF typeを含まなくてもよいことが理解されよう。
CCAは、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、有効期限、および第1のNF typeを含み、第1のNF typeは、第1のサービスを提供する予期されるNFサービスproducerのNF typeである。
ステップ1602:NFサービスconsumerは、第1のサービス要求メッセージをSCPに送信し、第1のサービス要求メッセージは、ステップ1601のCCAおよび第1のサービスに対応するaccess tokenを含む。
ステップ1603:SCPは、NFサービスproducerに第2のサービス要求メッセージを送信する。第2のサービス要求メッセージは、CCAおよび第1のサービスに対応するaccess tokenを含む。
SCPが第2のサービス要求メッセージをNFサービスproducerに送信する前に、SCPは、第1のサービス要求メッセージが第1のサービスに対応するaccess tokenまたは第1のサービスに対応するローカルに格納されたaccess tokenを含むと決定する。
ステップ1604:NFサービスproducerは、SCPから第2のサービス要求メッセージを受信する。NFサービスproducerは、CCAに基づいてNFサービスconsumerを認証する。
NFサービスproducerは、第1のサービスに対応するaccess tokenに対して完全性検証を実行する。完全性検証が成功した場合、NFサービスconsumerは、第1のサービスに対応するaccess token内のclaimsをさらに検証する。詳細については、access token内のclaimsに関する検証の関連内容を参照されたい。NFサービスproducerは、CCAに基づいてNFサービスconsumerをさらに認証する必要がある。詳細については、既存のCCA検証プロセスを参照されたい。
NFサービスproducerは、CCAの署名を検証し、CCAのタイムスタンプおよび/または有効期限に基づいて、CCAが有効期限切れであるかどうかを検証し、CCA内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NFサービスproducerは、CCAに含まれる第1のNF typeがNFサービスproducerのNF typeと一致するかどうかをさらに検証する必要がある。第1のNF typeはNFサービスproducerのNF typeと一致するので、NFサービスproducerは、NFサービスconsumerに対する認証は成功したと決定する。
ステップ1605:NFサービスproducerが、第1のアクセストークンに対する検証が成功し、NFサービスconsumerに対する認証が成功したと決定した場合、NFサービスproducerは、第2のサービス要求メッセージに対する応答メッセージをSCPに送信する。
第2のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第2のサービス要求が成功したことを示す。
第1のaccess tokenに対する検証が失敗し、かつ/またはNFサービスconsumerに対する認証が失敗した場合、第2のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示すことが理解されよう。
ステップ1606:SCPは、NFサービスproducerから第2のサービス要求メッセージに対する応答メッセージを受信し、NFサービスconsumerに第1のサービス要求メッセージに対する応答メッセージを送信する。
前述の実施形態では、利用可能なCCAが格納されていると決定することによって、NFサービスconsumerは、第1のサービスを取得するために第1のNF typeを搬送し得る。
実施形態5:図8に示す実施形態を参照すると、第1のサービスが要求される必要があり、第1のサービスの要求が、SCPがNFサービスproducerのパラメータを要求するようにトリガする(SCPがNFサービスproducer発見手順を開始するようにトリガする)とき、NFサービスconsumerは、図17に示すように、以下の実施形態に従って第1のサービスを取得し得るが、これに限定されない。
ステップ1701:NFサービスconsumerは、SCPをトリガしてNFサービスproducer発見手順を開始すると決定し、NFサービスconsumerはCCAを取得する。
NFサービスconsumerは、ステップ1701の前に、現在の間接通信モードがモードDであるとさらに決定し得ることが理解されよう。
例えば、NFサービスconsumerは、以下のケースのうちの1つまたは複数に基づいて、SCPをトリガしてNFサービスproducer発見手順を開始するように決定し得る。
ケース1:UEのコンテキストが格納されていない。例えば、NFサービスconsumerは、UEのサービス要求メッセージに基づいて、第1のサービスが要求される必要があると決定する。
ケース2:第1のサービスのコンテキストが格納されていない。
ケース3:第1のスライスはサービス・プロデューサ・ネットワーク要素に属し、第1のスライスのコンテキストは格納されていない。例えば、NFサービスconsumerは、UEのサービス要求メッセージに基づいて、第1のスライス内のサービス・プロデューサ・ネットワーク要素から第1のサービスが要求される必要があると決定する。
ケース4:サービス・コンシューマ・ネットワーク要素は、初めてサービス通信プロキシと通信する。
NFサービスconsumerがCCAを生成する前に、NFサービスconsumerは、利用可能なCCAがローカルに格納されているかどうかを決定する必要がある。利用可能なCCAが格納されている場合(例えば、CCAが有効期限切れでない場合)、CCAが使用される。利用可能なCCAが格納されていない場合(例えば、CCAが有効期限切れであるか、またはCCAが格納されていない場合)、NFサービスconsumerはCCAを生成する。CCAが有効期限切れになった場合、NFサービスconsumerは有効期限切れのCCAを削除する。
CCAは、第1のNF typeおよび第2のNF typeを含む。第1のNF typeは、第1のサービスを提供する予期されるNFサービスproducerのNF typeであり、第2のNF typeは、NFサービスproducerに関する情報を提供する予期されるNRFのNF typeである。
加えて、CCAは、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、および有効期限をさらに含む。
ステップ1702:NFサービスconsumerは、第1のサービス要求メッセージをSCPに送信し、第1のサービス要求メッセージは、ステップ1701のCCAおよびNFサービスproducerを発見するためのパラメータを含み、第1のサービス要求メッセージは、第1のサービスを要求するために使用される。
例えば、NFサービスproducerを発見するためのパラメータは、予期されるNFサービスproducerのNF type、または予期されるNFサービスproducerインスタンスのS-NSSAIリストもしくはNSI IDリストなどを含み得る。
ステップ1703:SCPは、発見要求メッセージをNRFに送信し、発見要求メッセージは、CCAおよびNFサービスproducerを発見するためのパラメータを含む。
SCPがNRFに発見要求メッセージを送信する前に、SCPは、第1のサービス要求メッセージがNFサービスproducerに関する情報を含まず、NFサービスproducerに関する情報がローカルに格納されていないと決定する。
本明細書では、第1のサービス要求メッセージが第1のサービスに対応するaccess tokenをさらに含むか、またはSCPが第1のサービスに対応するaccess tokenをローカルに格納すると仮定される。
ステップ1704:NRFは発見要求メッセージを受信し、NRFはCCAに基づいてNFサービスconsumerを認証する。
NRFは、CCAの署名を検証し、CCAのタイムスタンプおよび/または有効期限に基づいて、CCAが有効期限切れであるかどうかを検証し、CCA内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証に成功したことに加えて、NRFは、CCAに含まれる第1のNF typeおよび第2のNF typeにNRFのNF typeと一致するNF typeが存在するかどうかをさらに検証する必要がある。第2のNF typeがNRFのNF typeと一致するとNRFが決定したとき、NRFは、NFサービスconsumerに対する認証が成功したと決定する。
ステップ1705:NRFは、発見応答メッセージをSCPに送信し、発見応答メッセージは、NFサービスproducerのパラメータを含む。
NFサービスconsumerに対する認証が成功すると、NRFは、発見応答メッセージをSCPに送信し、発見応答メッセージは、NFサービスproducerのパラメータを含む。
ステップ1706:SCPは、NFサービスproducerに第2のサービス要求メッセージを送信する。第2のサービス要求メッセージは、CCAおよび第1のサービスに対応するaccess tokenを含む。
SCPは、発見応答メッセージ内のNFサービスproducerのパラメータによって示されたNFサービスproducerに第2のサービス要求メッセージを送信する。
ステップ1707:NFサービスproducerは、SCPから第2のサービス要求メッセージを受信する。NFサービスproducerは、CCAに基づいてNFサービスconsumerを認証する。
NFサービスproducerは、第1のサービスに対応するaccess tokenに対して完全性検証を実行する。完全性検証が成功した場合、NFサービスproducerは、第1のサービスに対応するaccess token内のclaimsをさらに検証する。詳細については、access token内のclaimsに関する検証の関連内容を参照されたい。NFサービスproducerは、CCAに基づいてNFサービスconsumerをさらに認証する必要がある。
NFサービスproducerは、CCAの署名を検証し、CCAのタイムスタンプおよび/または有効期限に基づいて、CCAが有効期限切れであるかどうかを検証し、CCA内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述のすべての検証内容の検証の成功に加えて、NFサービスproducerは、CCAに含まれる第1のNF typeおよび第2のNF typeに、NFサービスproducerのNF typeと一致するNF typeが存在するかどうかをさらに検証する必要がある。第1のNF typeがNFサービスproducerのNF typeと一致するとNFサービスproducerが決定したとき、NFサービスproducerは、NFサービスconsumerに対する認証が成功したと決定する。
ステップ1708:NFサービスproducerが、第1のアクセストークンに対する検証が成功し、NFサービスconsumerに対する認証が成功したと決定した場合、NFサービスproducerは、第2のサービス要求メッセージに対する応答メッセージをSCPに送信する。第2のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第2のサービス要求が成功したことを示す。
第1のaccess tokenに対する検証が失敗し、かつ/またはNFサービスconsumerに対する認証が失敗した場合、第2のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示すことが理解されよう。
ステップ1709:SCPは、NFサービスproducerから第2のサービス要求メッセージに対する応答メッセージを受信し、NFサービスconsumerに第1のサービス要求メッセージに対する応答メッセージを送信する。
前述の実施形態では、CCAは、第1のNF typeおよび第2のNF typeを含む。これにより、NRFおよびNFサービスproducerがCCAに基づいてNFサービスconsumerを正常に認証することを保証することができ、NFサービスconsumerが第1のサービスを取得することをさらに保証することができる。
実施形態6:図10に示す実施形態を参照すると、第1のサービスが要求される必要があり、第1のサービスの要求が、SCPがNFサービスproducerのパラメータを要求するようにトリガする(SCPがNFサービスproducer発見手順を開始するようにトリガする)とき、NFサービスconsumerは、図18に示すように、以下の実施形態に従って第1のサービスを取得し得るが、これに限定されない。
ステップ1801:NFサービスconsumerは、NFサービスproducer発見手順を実行するようにSCPをトリガすると決定し、NFサービスconsumerは、CCA1およびCCA2を取得する。
NFサービスconsumerは、ステップ1801の前に、現在の間接通信モードがモードDであるとさらに決定し得ることが理解されよう。
例えば、NFサービスconsumerがSCPをトリガしてNFサービスproducer発見手順を実行すると決定することについては、実施形態5のステップ1701の関連説明を参照されたい。
加えて、NFサービスconsumerがCCA1およびCCA2を生成する前に、NFサービスconsumerは、利用可能なCCA1および利用可能なCCA2がローカルに格納されているかどうかを決定する必要がある。利用可能なCCA1が格納されている場合(例えば、CCA1が有効期限に到達しない場合)、CCA1が使用される。利用可能なCCA1が格納されていない場合(例えば、CCA1が有効期限切れであるか、またはCCA1が格納されていない場合)、NFサービスconsumerはCCA1を生成する。利用可能なCCA2が格納されている場合(例えば、CCA2が有効期限切れでない場合)、CCA2が使用される。利用可能なCCA2が格納されている場合(例えば、CCA2が有効期限切れであるか、またはCCA2が格納されていない場合)、NFサービスconsumerはCCA2を生成する。CCA1またはCCA2が有効期限切れである場合、NFサービスconsumerは有効期限切れのCCAを削除する。
CCA1は第1のNF typeを含み、CCA2は第2のNF typeを含む。第1のNF typeは、第1のサービスを提供する予期されるNFサービスproducerのNF typeであり、第2のNF typeは、NFサービスproducerに関する情報を提供する予期されるNRFのNF typeである。
加えて、CCA1は、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、およびCCA1の有効期限をさらに含む。CCA2は、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、およびCCA2の有効期限をさらに含む。
ステップ1802:NFサービスconsumerは、第1のサービス要求メッセージをSCPに送信し、第1のサービス要求メッセージは、ステップ1801のCCA1およびCCA2、ならびにNFサービスproducerを発見するためのパラメータを含む。第1のサービス要求メッセージは、第1のサービスを要求するために使用される。
ステップ1803:SCPは、発見要求メッセージをNRFに送信し、発見要求メッセージは、CCA2およびNFサービスproducerを発見するためのパラメータを含む。
SCPがNRFに発見要求メッセージを送信する前に、SCPは、第1のサービス要求メッセージがNFサービスproducerに関する情報を含まず、NFサービスproducerに関する情報がローカルに格納されていないと決定する。
本明細書では、第1のサービス要求メッセージが第1のサービスに対応するaccess tokenをさらに含むか、またはSCPが第1のサービスに対応するaccess tokenをローカルに格納すると仮定される。
SCPは、NRFに発見要求メッセージを送信する必要がある。したがって、SCPはCCA2を選択し、CCA2を発見要求メッセージに追加する。
ステップ1804:NRFは発見要求メッセージを受信し、NRFはCCA2に基づいてNFサービスconsumerを認証する。
NRFは、CCA2の署名を検証し、CCA2のタイムスタンプおよび/または有効期限に基づいて、CCA2が有効期限切れであるかどうかを検証し、CCA2内のNFサービスconsumerのNFインスタンスIDがCCA2に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NRFは、CCA2に含まれる第2のNF typeがNRFのNF typeと一致するかどうかをさらに検証する必要がある。第2のNF typeはNRFのNF typeと一致するので、NRFは、NFサービスconsumerに対する認証が成功したと決定する。
ステップ1805:NRFは、発見応答メッセージをSCPに送信し、発見応答メッセージは、NFサービスproducerに関する情報を含む。
NFサービスconsumerに対する認証が成功すると、NRFは、発見応答メッセージをSCPに送信し、発見応答メッセージは、NFサービスproducerのパラメータを含む。
ステップ1806:SCPは、NFサービスproducerに第2のサービス要求メッセージを送信する。第2のサービス要求メッセージは、CCA1および第1のサービスに対応するaccess tokenを含む。
SCPは、発見応答メッセージ内のNFサービスproducerのパラメータによって示されたNFサービスproducerに第2のサービス要求メッセージを送信する。
SCPは第2のサービス要求メッセージをNFサービスproducerに送信する必要があるので、SCPはCCA1を選択し、CCA1を第2のサービス要求メッセージに追加する。
ステップ1807:NFサービスproducerは、SCPから第2のサービス要求メッセージを受信する。NFサービスproducerは、CCA1に基づいてNFサービスconsumerを認証する。
NFサービスproducerは、第1のサービスに対応するaccess tokenに対して完全性検証を実行する。完全性検証が成功した場合、NFサービスproducerは、第1のサービスに対応するaccess token内のclaimsをさらに検証する。詳細については、access token内のclaimsに関する検証の関連内容を参照されたい。NFサービスproducerは、CCA1に基づいてNFサービスconsumerをさらに認証する必要がある。
NFサービスproducerは、CCA1の署名を検証し、CCA1のタイムスタンプおよび/または有効期限に基づいて、CCA1が有効期限切れであるかどうかを検証し、CCA1内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NFサービスproducerは、CCA1に含まれる第1のNF typeがNFサービスproducerのNF typeと一致するかどうかをさらに検証する必要がある。第1のNF typeはNFサービスproducerのNF typeと一致するので、NFサービスproducerは、NFサービスconsumerに対する認証は成功したと決定する。
ステップ1808:NFサービスproducerが、第1のアクセストークンに対する検証が成功し、NFサービスconsumerに対する認証が成功したと決定した場合、NFサービスproducerは、第2のサービス要求メッセージに対する応答メッセージをSCPに送信する。第2のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第2のサービス要求が成功したことを示す。
第1のaccess tokenに対する検証が失敗し、かつ/またはNFサービスconsumerに対する認証が失敗した場合、第2のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示すことが理解されよう。
ステップ1809:SCPは、NFサービスproducerから第2のサービス要求メッセージに対する応答メッセージを受信し、NFサービスconsumerに第1のサービス要求メッセージに対する応答メッセージを送信する。
加えて、NFサービスconsumerが、NFサービスproducer発見手順を実行するためにSCPはトリガされる必要がないと決定した場合、NFサービスconsumerは、利用可能なCCA1が格納されているかどうかを決定し得る。利用可能なCCA1が格納されている場合、CCA1が使用される。利用可能なCCA1が格納されていない場合、CCA1が生成される。この場合、NFサービスconsumerは、利用可能なCCA2が格納されているかどうかを決定する必要がないことが理解されよう。利用可能なCCA2が格納されていなくても、NFサービスconsumerはCCA2を生成する必要はない。第1のサービス要求メッセージはCCA2を含まなくてもよい。しかしながら、NFサービスconsumerが、ステップ1801の前に、現在の間接通信モードがモードDであると決定した場合、第1のサービス要求メッセージはCCA1およびCCA2を搬送する必要がある。
前述の実施形態では、CCA1は第1のNF typeを含み、CCA2は第2のNF typeを含む。これにより、NRFがCCA1に基づいてNFサービスconsumerを正常に認証し、NFサービスproducerがCCA2に基づいてNFサービスconsumerを正常に認証することを保証することができ、NFサービスconsumerが第1のサービスを取得することをさらに保証することができる。
実施形態7:図8および図10に示す実施形態を参照すると、NFサービスconsumerは指示情報を取得し、NFサービスconsumerは指示情報に基づいてサービス要求メッセージをSCPに送信し、NFサービスconsumerは、これに限定されないが、図19Aおよび図19Bに示すように、以下の実施形態に従って第1のサービスを取得し得る。
ステップ1901:NFサービスconsumerはCCA1を取得する。
NFサービスconsumerは、ステップ1901の前に、現在の間接通信モードがモードDであるとさらに決定し得ることが理解されよう。
NFサービスconsumerは第1のサービスを要求すると決定し、NFサービスconsumerはCCA1を取得する。NFサービスconsumerがCCA1を生成する前に、NFサービスconsumerは、利用可能なCCA1がローカルに格納されているかどうかを決定する必要がある。利用可能なCCA1が格納されている場合(例えば、CCA1が有効期限切れでない場合)、CCA1が使用される。利用可能なCCA1が格納されていない場合(例えば、CCA1が有効期限切れであるか、またはCCA1が格納されていない場合)、NFサービスconsumerはCCA1を生成する。加えて、CCA1が有効期限切れになった場合、NFサービスconsumerは有効期限切れのCCA1を削除する。
CCA1は、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、CCA1の有効期限、および第1のNF typeを含み、第1のNF typeは、第1のサービスを提供する予期されるNFサービスproducerのNF typeである。
ステップ1902:NFサービスconsumerは、第1のサービス要求メッセージをSCPに送信し、第1のサービス要求メッセージは、ステップ1901においてCCA1を含む。第1のサービス要求メッセージは、第1のサービスを要求するために使用される。
ステップ1903:SCPは第2のサービス要求メッセージをNRFに送信し、第2のサービス要求メッセージはCCA1を含み、第2のサービス要求メッセージは第2のサービスを要求するために使用される。
ステップ1904:NRFは第2のサービス要求メッセージを受信し、NRFはCCA1に基づいてNFサービスconsumerを認証することに失敗する。
NRFは、CCA1の署名を検証し、CCA1のタイムスタンプおよび/または有効期限に基づいて、CCA1が有効期限切れであるかどうかを検証し、CCA1内のNFサービスconsumerのNFインスタンスIDがCCA1に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NRFは、CCA1に含まれる第1のNF typeがNRFのNF typeと一致するかどうかをさらに検証する必要がある。第1のNF typeはNRFのNF typeと一致しないので、NRFは、NFサービスconsumerに対する認証が失敗したと決定する。
ステップ1905:NRFは、第2のサービス要求メッセージに対する応答メッセージをSCPに送信する。第2のサービス要求メッセージに対する応答メッセージはCCA2を含む。CCA2は、NRFのNFインスタンス識別子、タイムスタンプ、有効期限、NFサービスconsumerのNF type、およびNRFのNF typeを含む。
ステップ1906:SCPは、第1のサービス要求メッセージに対する応答メッセージをNFサービスconsumerに送信する。第1のサービス要求メッセージに対する応答メッセージはCCA2を含む。
ステップ1907:NFサービスconsumerは、第3のサービス要求メッセージをSCPに送信し、第3のサービス要求メッセージはCCA3およびCCA4を含むか、または第3のサービス要求メッセージはCCA5を含む。
CCA3は、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、CCA3の有効期限、および第1のNF typeを含む。
CCA4は、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、CCA4の有効期限、および第2のNF typeを含む。
CCA5は、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、CCA5の有効期限、第1のNF type、および第2のNF typeを含む。
第1のNF typeは、第1のサービスを提供する予期されるNFサービスproducerのNF typeであり、第2のNF typeは、第2のサービスを提供する予期されるNFサービスproducerのNF typeである。
例えば、NFサービスconsumerがCCA2に基づいてNRFを認証し、NRFに対する認証が成功したと決定した場合、NFサービスconsumerは、CCA2内のNRFのNF typeに基づいてCCA3およびCCA4、またはCCA5を生成する。
ステップ1908:SCPは第4のサービス要求メッセージをNRFに送信し、第4のサービス要求メッセージはCCA4またはCCA5を含み、第4のサービス要求メッセージは第2のサービスを要求するために使用される。
ステップ1909:NRFは第4のサービス要求メッセージを受信し、NRFは第4のサービス要求メッセージ内のCCAに基づいてNFサービスconsumerを認証する。
例えば、第4のサービス要求メッセージがCCA4を含む場合、NRFはCCA4に基づいてNFサービスconsumerを正常に認証する。NRFは、CCA4の署名を検証し、CCA4のタイムスタンプおよび/または有効期限に基づいて、CCA4が有効期限切れであるかどうかを検証し、CCA4内のNFサービスconsumerのNFインスタンスIDがCCA4に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NRFは、CCA4に含まれる第2のNF typeがNRFのNF typeと一致するかどうかをさらに検証する必要がある。第2のNF typeはNRFのNF typeと一致するので、NRFは、NFサービスconsumerに対する認証が成功したと決定する。
例えば、第4のサービス要求メッセージがCCA5を含む場合、NRFはCCA5に基づいてNFサービスconsumerを正常に認証する。NRFは、CCA5の署名を検証し、CCA5のタイムスタンプおよび/または有効期限に基づいて、CCA5が有効期限切れであるかどうかを検証し、CCA5内のNFサービスconsumerのNFインスタンスIDがCCA5に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証に成功したことに加えて、NRFは、CCA5に含まれる第1のNF typeおよび第2のNF typeにNRFのNF typeと一致するNF typeが存在するかどうかをさらに検証する必要がある。第2のNF typeはNRFのNF typeと一致するので、NRFは、NFサービスconsumerに対する認証が成功したと決定する。
ステップ1910:NRFは、第4のサービス要求メッセージに対する応答メッセージをSCPに送信する。
ステップ1911:SCPは、NFサービスproducerに第5のサービス要求メッセージを送信する。第5のサービス要求メッセージは、CCA3および第1のサービスに対応するaccess tokenを含むか、または第5のサービス要求メッセージは、CCA5および第1のサービスに対応するaccess tokenを含む。
ステップ1912:NFサービスproducerは、SCPから第5のサービス要求メッセージを受信する。NFサービスproducerは、第5のサービス要求メッセージ内のCCAに基づいてNFサービスconsumerを認証する。
NFサービスproducerは、第1のサービスに対応するaccess tokenに対して完全性検証を実行する。完全性検証が成功した場合、NFサービスproducerは、第1のサービスに対応するaccess token内のclaimsをさらに検証する。詳細については、access token内のclaimsに関する検証の関連内容を参照されたい。
第5のサービス要求メッセージがCCA3を含む場合、NFサービスproducerは、CCA3に基づいてNFサービスconsumerをさらに認証する必要がある。NFサービスproducerは、CCA3の署名を検証し、CCA3のタイムスタンプおよび/または有効期限に基づいて、CCA3が有効期限切れであるかどうかを検証し、CCA3内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NFサービスproducerは、CCA3に含まれる第1のNF typeがNFサービスproducerのNF typeと一致するかどうかをさらに検証する必要がある。第1のNF typeはNFサービスproducerのNF typeと一致するので、NFサービスconsumerに対する認証は成功したと決定される。
第5のサービス要求メッセージがCCA5を含む場合、NFサービスproducerは、CCA5に基づいてNFサービスconsumerをさらに認証する必要がある。NFサービスproducerは、CCA5の署名を検証し、CCA5のタイムスタンプおよび/または有効期限に基づいて、CCA5が有効期限切れであるかどうかを検証し、CCA5内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NFサービスproducerは、CCA5に含まれる第1のNF typeおよび第2のNF typeが、NFサービスproducerのNF typeと一致するNF typeを含むかどうかをさらに検証する必要がある。第1のNF typeはNFサービスproducerのNF typeと一致するので、CCA5に基づく認証が成功したと決定される。
ステップ1913:NFサービスproducerが、第1のアクセストークンに対する検証が成功し、NFサービスconsumerに対する認証が成功したと決定した場合、NFサービスproducerは、第5のサービス要求メッセージに対する応答メッセージをSCPに送信する。第5のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第5のサービス要求が成功したことを示す。
第1のaccess tokenに対する検証が失敗し、かつ/またはNFサービスconsumerに対する認証が失敗した場合、第5のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示すことが理解されよう。
ステップ1914:SCPは、NFサービスproducerから第5のサービス要求メッセージに対する応答メッセージを受信し、NFサービスconsumerに第3のサービス要求メッセージに対する応答メッセージを送信する。
前述の実施形態では、SCPは、指示情報をNFサービスconsumerに送信し、NFサービスconsumerは、指示情報に基づいて、CCA3(第1のNF type)およびCCA4(第2のNF type)、またはCCA5(第1のNF typeおよび第2のNF type)を搬送するサービス要求メッセージを送信して、NFサービスconsumerが第1のサービスを取得することを保証する。
実施形態8:図12に示す実施形態を参照すると、SCPは、クライアント資格情報アサーションを能動的に要求し、クライアント資格情報アサーション要求メッセージを送信する。NFサービスconsumerは、クライアント資格情報アサーション要求メッセージに応答する。NFサービスconsumerは、図20Aおよび図20Bに示すように、以下の実施形態に従って第1のサービスを取得し得るが、これに限定されない。
ステップ2001からステップ2005については、実施形態7のステップ1901からステップ1905の関連説明を参照されたい。
ステップ2006:SCPは、CCA要求メッセージをNFサービスconsumerに送信する。CCA要求メッセージはCCA2を含む。
ステップ2007:NFサービスconsumerは、CCA要求メッセージに対する応答メッセージをSCPに送信し、CCA要求メッセージに対する応答メッセージはCCA3を含むか、またはCCA要求メッセージに対する応答メッセージはCCA4を含む。
CCA3は、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、CCA3の有効期限、および第2のNF typeを含む。
CCA4は、NFサービスconsumerのNFインスタンス識別子、タイムスタンプ、CCA4の有効期限、第1のNF type、および第2のNF typeを含む。
第1のNF typeは、第1のサービスを提供する予期されるNFサービスproducerのNF typeであり、第2のNF typeは、第2のサービスを提供する予期されるNFサービスproducerのNF typeである。
例えば、NFサービスconsumerがCCA2に基づいてNRFを認証し、NRFに対する認証が成功したと決定した場合、NFサービスconsumerは、CCA2内のNRFのNF typeに基づいてCCA3またはCCA4を生成する。
ステップ2008:SCPは、第3のサービス要求メッセージをNRFに送信し、第3のサービス要求メッセージはCCA3またはCCA4を含み、第3のサービス要求メッセージは第2のサービスを要求するために使用される。
ステップ2009:NRFは、第3のサービス要求メッセージを受信し、NRFは第3のサービス要求メッセージ内のCCAに基づいてNFサービスconsumerを認証する。
例えば、第3のサービス要求メッセージがCCA3を含む場合、NRFはCCA3に基づいてNFサービスconsumerを正常に認証する。NRFは、CCA3の署名を検証し、CCA3のタイムスタンプおよび/または有効期限に基づいて、CCA3が有効期限切れであるかどうかを検証し、CCA3内のNFサービスconsumerのNFインスタンスIDがCCA3に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NRFは、CCA3に含まれる第2のNF typeがNRFのNF typeと一致するかどうかをさらに検証する必要がある。第2のNF typeはNRFのNF typeと一致するので、NRFは、NFサービスconsumerに対する認証が成功したと決定する。
例えば、第3のサービス要求メッセージがCCA4を含む場合、NRFはCCA4に基づいてNFサービスconsumerを正常に認証する。NRFは、CCA4の署名を検証し、CCA4のタイムスタンプおよび/または有効期限に基づいて、CCA4が有効期限切れであるかどうかを検証し、CCA4内のNFサービスconsumerのNFインスタンスIDがCCA4に署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証に成功したことに加えて、NRFは、CCA4に含まれる第1のNF typeおよび第2のNF typeにNRFのNF typeと一致するNF typeが存在するかどうかをさらに検証する必要がある。第2のNF typeはNRFのNF typeと一致するので、NRFは、NFサービスconsumerに対する認証が成功したと決定する。
ステップ2010:NRFは、第3のサービス要求メッセージに対する応答メッセージをSCPに送信する。
ステップ2011:SCPは、NFサービスproducerに第4のサービス要求メッセージを送信する。第4のサービス要求メッセージは、CCA3および第1のサービスに対応するaccess tokenを含むか、または第4のサービス要求メッセージは、CCA4および第1のサービスに対応するaccess tokenを含む。
ステップ2012:NFサービスproducerは、SCPから第4のサービス要求メッセージを受信する。NFサービスproducerは、第4のサービス要求メッセージ内のCCAに基づいてNFサービスconsumerを認証する。
NFサービスproducerは、第1のサービスに対応するaccess tokenに対して完全性検証を実行する。完全性検証が成功した場合、NFサービスproducerは、第1のサービスに対応するaccess token内のclaimsをさらに検証する。詳細については、access token内のclaimsに関する検証の関連内容を参照されたい。
第4のサービス要求メッセージがCCA3を含む場合、NFサービスproducerは、CCA3に基づいてNFサービスconsumerをさらに認証する必要がある。NFサービスproducerは、CCA3の署名を検証し、CCA3のタイムスタンプおよび/または有効期限に基づいて、CCA3が有効期限切れであるかどうかを検証し、CCA3内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NFサービスproducerは、CCA3に含まれる第1のNF typeがNFサービスproducerのNF typeと一致するかどうかをさらに検証する必要がある。第1のNF typeはNFサービスproducerのNF typeと一致するので、NFサービスconsumerに対する認証は成功したと決定される。
第4のサービス要求メッセージがCCA4を含む場合、NFサービスproducerは、CCA4に基づいてNFサービスconsumerをさらに認証する必要がある。NFサービスproducerは、CCA4の署名を検証し、CCA4のタイムスタンプおよび/または有効期限に基づいて、CCA4が有効期限切れであるかどうかを検証し、CCA4内のNFサービスconsumerのNFインスタンスIDがCCAに署名するための証明書内のNFインスタンスIDと一致するかどうかを検証する。前述の検証内容のすべての検証の成功に加えて、NFサービスproducerは、CCA4に含まれる第1のNF typeおよび第2のNF typeが、NFサービスproducerのNF typeと一致するNF typeを含むかどうかをさらに検証する必要がある。第1のNF typeはNFサービスproducerのNF typeと一致するので、CCA4に基づく認証が成功したと決定される。
ステップ2013:NFサービスproducerが、第1のアクセストークンに対する検証が成功し、NFサービスconsumerに対する認証が成功したと決定した場合、NFサービスproducerは、第4のサービス要求メッセージに対する応答メッセージをSCPに送信する。第4のサービス要求メッセージに対する応答メッセージは、第1のサービスを提供することを示すか、または第4のサービス要求が成功したことを示す。
第1のaccess tokenに対する検証が失敗し、かつ/またはNFサービスconsumerに対する認証が失敗した場合、第4のサービス要求メッセージに対する応答メッセージは、第1のサービス要求が失敗したことを示すことが理解されよう。
ステップ2014:SCPは、NFサービスproducerから第4のサービス要求メッセージに対する応答メッセージを受信し、NFサービスconsumerに第1のサービス要求メッセージに対する応答メッセージを送信する。
前述の実施形態では、SCPは、NFサービスconsumerにクライアント資格情報アサーション要求メッセージを送信し、クライアント資格情報アサーション要求メッセージは指示情報を含み、NFサービスconsumerは指示情報に基づいてクライアント資格情報アサーション要求メッセージに応答する。クライアント資格情報アサーション要求メッセージに対する応答メッセージは、NFサービスconsumerが第1のサービスを取得することを保証するために、CCA3(第2のNF type)またはCCA4(第1のNF typeおよび第2のNF type)を搬送する。
図21は、本出願の一実施形態による装置の可能な例のブロック図である。装置2100は、トランシーバモジュール2110および処理モジュール2120を含む。トランシーバモジュール2110は、受信ユニットおよび送信ユニットを含み得る。処理モジュール2120は、装置2100の動作を制御および管理するように構成される。トランシーバモジュール2110は、別のネットワークエンティティと通信する際に装置2100をサポートするように構成される。任意選択で、装置2100は記憶ユニットをさらに含んでもよく、記憶ユニットは、装置2100のプログラムコードおよびデータを格納するように構成される。
任意選択で、装置2100内の各モジュールは、ソフトウェアを使用して実装されてもよい。
任意選択で、処理モジュール2120はプロセッサまたはコントローラであってもよく、例えば、汎用中央処理装置(central processing unit、CPU)、汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application specific integrated circuit、ASIC)、フィールド・プログラマブル・ゲート・アレイ(field programmable gate array、FPGA)、または別のプログラマブル論理デバイス、トランジスタ論理デバイス、ハードウェアコンポーネント、またはこれらの組み合わせであってもよい。プロセッサまたはコントローラは、本出願の実施形態で開示された内容を参照して説明された、様々な例示的な論理ブロック、モジュール、および回路を実装または実行し得る。プロセッサは、計算機能を実装するプロセッサの組み合わせ、例えば、1つもしくは複数のマイクロプロセッサの組み合わせ、またはDSPとマイクロプロセッサの組み合わせであってもよい。トランシーバモジュール2110は、通信インターフェース、トランシーバ、トランシーバ回路などであってもよい。通信インターフェースは、一般的な名称である。具体的な実施態様では、通信インターフェースは複数のインターフェースを含んでもよく、記憶ユニットはメモリであってもよい。
装置2100がサービス・コンシューマ・ネットワーク要素またはサービス・コンシューマ・ネットワーク要素内のチップであるとき、装置2100内の処理モジュール2120は、前述の方法例におけるサービス・コンシューマ・ネットワーク要素の動作を実行する際に装置2100をサポートし得、例えば、図14のステップ1401、図15のステップ1501、図16のステップ1601、図17のステップ1701、図18のステップ1801、図19Aのステップ1901、および図20Aのステップ2001を実行する際に装置2100をサポートし得る。
トランシーバモジュール2110は、装置2100とサービス通信プロキシ(例えば、SCP)との間の通信をサポートし得る。例えば、トランシーバモジュール2110は、図8のステップ801およびステップ808、図9のステップ901、ステップ905、およびステップ906、図10のステップ1001およびステップ1008、図11のステップ1101およびステップ1108、図12のステップ1201、ステップ1205、ステップ1206、およびステップ1213、図13のステップ1302およびステップ1309、図14のステップ1402およびステップ1409、図15のステップ1502およびステップ1509、図16のステップ1602およびステップ1606、図17のステップ1702およびステップ1709、図18のステップ1802およびステップ1809、図19Aおよび図19Bのステップ1902、ステップ1906、ステップ1907、ステップ1914、ならびに図20Aおよび図20Bのステップ2002、ステップ2006、ステップ2007、およびステップ2014を実行する際に装置2100をサポートし得る。
例えば、詳細は以下の通りであり得る。
一実施態様では、装置2100は、以下をさらに含む:
トランシーバモジュール2110は、サービス通信プロキシに第1のサービス要求メッセージを送信し、サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシから第1のサービス要求メッセージに対する応答メッセージを受信し、第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素に第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素を認証するために使用され、第1のクライアント資格情報アサーションは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられている。
可能な一実施態様では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示す。
可能な一実施態様では、処理モジュール2120は、サービス・コンシューマ・ネットワーク要素を使用することにより、第1のサービスに対応する利用可能なアクセストークンがないと決定するように構成される。
可能な一実施態様では、処理モジュール2120は、第1のサービスに対応するアクセストークンが格納されていないと決定するか、または、第1のサービスに対応する格納されたアクセストークンが期限切れであると決定する、ように構成される。
可能な一実施態様では、第2のサービスは、サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される。
可能な一実施態様では、処理モジュール2120は、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定するように構成される。
可能な一実施態様では、処理モジュール2120は、第1の端末デバイスのコンテキストが格納されておらず、第1の端末デバイスは第1のサービスに関連付けられているケース、第1のサービスのコンテキストが格納されていないケース、サービス・プロデューサ・ネットワーク要素が第1のスライスに属し、第1のスライスに対応するコンテキストが格納されていないケース、または、サービス・コンシューマ・ネットワーク要素が、初めてサービス通信プロキシと通信するケース、のうちの1つまたは複数に基づいて、第1のサービス要求メッセージが第2のサービスを要求するようにサービス通信プロキシをトリガすると決定するように構成される。
可能な一実施態様では、処理モジュール2120は、間接通信モード、すなわちモードDで第1のサービスを要求すると決定するように構成される。
可能な一実施態様では、トランシーバモジュール2110は、サービス通信プロキシに第2のサービス要求メッセージを送信し、第2のサービス要求メッセージは第1のサービスを要求するために使用され、第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは第1のネットワーク機能タイプを含み、第2のクライアント資格情報アサーションはサービス・コンシューマ・ネットワーク要素を認証するために使用され、サービス通信プロキシから第2のサービス要求メッセージに対する応答メッセージを受信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含む、ように構成される。処理モジュール2120は、トランシーバモジュール2110を使用して、指示情報に基づいてサービス通信プロキシに第1のサービス要求メッセージを送信するように構成される。
本出願のこの実施形態における装置2100は、前述の方法実施形態におけるサービス・コンシューマ・ネットワーク要素、例えば、図8の方法に対応し得ることを理解されたい。加えて、装置2100内のモジュールの動作および/または機能は、前述の方法実施形態におけるサービス・コンシューマ・ネットワーク要素の方法の対応するステップを実装するためにそれぞれ使用される。したがって、前述の方法実施形態における有益な効果もまた達成されることができる。簡潔にするため、本明細書では詳細は再度説明されない。
装置2100が第1のネットワーク要素または第1のネットワーク要素内のチップであるとき、装置2100内の処理モジュール2120は、前述の方法例におけるネットワークリポジトリ機能ネットワーク要素またはサービス・プロデューサ・ネットワーク要素の動作を実行する際に装置2100をサポートし得る。
例えば、第1のネットワーク要素がネットワークリポジトリ機能ネットワーク要素であるとき、第1のネットワーク要素は、図8のステップ803、図9のステップ903、図10のステップ1003、図11のステップ1103、図12のステップ1203およびステップ1208、図13のステップ1304、図14のステップ1404、図15のステップ1504、図17のステップ1704、図18のステップ1804、図19Aのステップ1904およびステップ1909、ならびに図20Aのステップ2004およびステップ2009を実行する際に装置2100をサポートし得る。トランシーバモジュール2110は、装置2100とサービス通信プロキシ(例えば、SCP)との間の通信をサポートし得る。例えば、トランシーバモジュール2110は、図8のステップ802,ステップ804、およびステップ808、図9のステップ902およびステップ904、図10のステップ1002およびステップ1004、図11のステップ1102およびステップ1104、図12のステップ1202、ステップ1204、ステップ1207、およびステップ1209、図13のステップ1303およびステップ1305、図14のステップ1403およびステップ1405、図15のステップ1503およびステップ1505、図17のステップ1703およびステップ1705、図18のステップ1803およびステップ1805、図19Aおよび図19Bのステップ1903、ステップ1905、ステップ1908、ステップ1910、ならびに図20Aおよび図20Bのステップ2003、ステップ2005、ステップ2008、およびステップ2010を実行する際に装置2100をサポートし得る。
例えば、第1のネットワーク要素がサービス・プロデューサ・ネットワーク要素であるとき、第1のネットワーク要素は、図8のステップ803、図10のステップ1006、図11のステップ1106、図12のステップ1211、図13のステップ1307、図14のステップ1407、図15のステップ1507、図16のステップ1604、図17のステップ1707、図18のステップ1807、図19Bのステップ1912、ならびに図20Bのステップ2012を実行する際に装置2100をサポートし得る。トランシーバモジュール2110は、装置2100とサービス通信プロキシ(例えば、SCP)との間の通信をサポートし得る。例えば、トランシーバモジュール2110は、図8のステップ805、ステップ807、およびステップ808、図10のステップ1005およびステップ1007、図11のステップ1105およびステップ1107、図12のステップ1210およびステップ1212、図13のステップ1306およびステップ1308、図14のステップ1406およびステップ1408、図15のステップ1506およびステップ1508、図16のステップ1603およびステップ1605、図17のステップ1706およびステップ1708、図18のステップ1806およびステップ1808、図19Bのステップ1911およびステップ1913、ならびに図20Bのステップ2011およびステップ2013を実行する際に装置2100をサポートし得る。
例えば、詳細は以下の通りであり得る。
一実施態様では、装置2100は以下をさらに含む:
トランシーバモジュール2110は、サービス通信プロキシから第1のサービス要求メッセージを受信するように構成され、第1のサービス要求メッセージは、第1のネットワーク要素から第1のサービスを要求するために使用され、第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素を認証するために使用され、第1のクライアント資格情報アサーションは、複数のネットワーク機能タイプを含む。
処理モジュール2120は、第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証し、サービス・コンシューマ・ネットワーク要素が第1のクライアント資格情報アサーションに基づいて認証されるときに、処理モジュールのネットワーク機能タイプが複数のネットワーク機能タイプのうちの1つまたは複数と一致するかどうか決定し、トランシーバモジュール2110を使用して、認証結果に基づいてサービス通信プロキシに第1のサービス要求メッセージに対する応答メッセージを送信する、ように構成される。
1つの可能な設計では、複数のネットワーク機能タイプは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、第1のネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられる。
1つの可能な設計では、第2のサービスは、第1のサービスに対応するアクセストークンを提供するために使用され、第1のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第1のサービスを取得する許可を有することを示すか、または、第2のサービスは、第1のネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、第1のサービスは、第2のサービスに対応するアクセストークンを提供するために使用され、第2のサービスに対応するアクセストークンは、サービス・コンシューマ・ネットワーク要素が第2のサービスを取得する許可を有することを示すか、または、第1のサービスは、第2のネットワーク要素に関する情報を提供するために使用される。
1つの可能な設計では、トランシーバモジュール2110は、サービス通信プロキシから第2のサービス要求メッセージを受信し、第2のサービス要求メッセージは、第1のネットワーク要素から第1のサービスを要求するために使用され、第2のサービス要求メッセージは、第2のクライアント資格情報アサーションを含み、第2のクライアント資格情報アサーションは、第3のネットワーク機能タイプを含み、第3のネットワーク機能タイプが第1のネットワーク要素のネットワーク機能タイプと一致しないとき、第2のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信し、第2のサービス要求メッセージに対する応答メッセージは指示情報を含み、指示情報は第1のサービス要求メッセージをトリガするために使用される、ように構成される。
本出願のこの実施形態における装置2100は、前述の方法実施形態における第1のネットワーク要素(例えば、ネットワークリポジトリ機能ネットワーク要素またはサービス・プロデューサ・ネットワーク要素)の方法、例えば図8の方法に対応し得ることを理解されたい。加えて、装置2100内のモジュールの動作および/または機能は、前述の方法実施形態におけるネットワークリポジトリ機能ネットワーク要素の方法、または図8の方法の対応するステップを実装するためにそれぞれ使用される。加えて、装置2100内のモジュールの動作および/または機能は、前述の方法実施形態におけるサービス・プロデューサ・ネットワーク要素の方法の対応するステップを実装するためにそれぞれ使用される。したがって、前述の方法実施形態における有益な効果もまた達成されることができる。簡潔にするため、本明細書では詳細は再度説明されない。
本出願のこの実施形態における処理モジュール2120がプロセッサであり、トランシーバモジュール2110がトランシーバであるとき、本出願のこの実施形態における装置2100は、図22に示される装置2200であり得る。
図22は、本出願の一実施形態による通信装置2200の構造の概略図である。図22に示すように、装置2200はプロセッサ2201を含む。
装置2200がサービス・コンシューマ・ネットワーク要素またはサービス・コンシューマ・ネットワーク要素内のチップであるとき、可能な一実施態様では、プロセッサ2201が、以下の動作、すなわち、サービス通信プロキシに第1のサービス要求メッセージを送信する動作を実行するためにインターフェースを呼び出すように構成される。サービス・コンシューマ・ネットワーク要素は、サービス通信プロキシから第1のサービス要求メッセージに対する応答メッセージを受信する。第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用される。第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含む。第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素を認証するために使用される。第1のクライアント資格情報アサーションは第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含む。第1のネットワーク機能タイプは、サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、第2のサービスは、第1のサービスに関連付けられる。
装置2200は、前述の実施形態におけるサービス・コンシューマ・ネットワーク要素に対して別のステップおよび/または動作を実行するようにさらに構成されてもよいことを理解されたい。簡潔にするため、本明細書では詳細は再度説明されない。
装置2200が第1のネットワーク要素または第1のネットワーク要素内のチップであるとき、可能な一実施態様では、プロセッサ2201は、インターフェースを呼び出して、以下の動作、すなわち、サービス通信プロキシから第1のサービス要求メッセージを受信する動作であって、第1のサービス要求メッセージは第1のネットワーク要素から第1のサービスを要求するために使用され、第1のサービス要求メッセージは第1のクライアント資格情報アサーションを含み、第1のクライアント資格情報アサーションはサービス・コンシューマ・ネットワーク要素を認証するために使用され、第1のクライアント資格情報アサーションは複数のネットワーク機能タイプを含む、動作と、第1のクライアント資格情報アサーションに基づいてサービス・コンシューマ・ネットワーク要素を認証する動作と、サービス・コンシューマ・ネットワーク要素が第1のクライアント資格情報アサーションに基づいて認証されるとき、プロセッサのネットワーク機能タイプが複数のネットワーク機能タイプのうちの1つまたは複数と一致するかどうか決定する動作と、認証結果に基づいて、第1のサービス要求メッセージに対する応答メッセージをサービス通信プロキシに送信する動作と、を実行するように構成される。
装置2200は、前述の実施形態における第1のネットワーク要素に対して別のステップおよび/または動作を実行するようにさらに構成されてもよいことを理解されたい。簡潔にするため、本明細書では詳細は再度説明されない。
プロセッサ2201は、インターフェースを呼び出して、前述の受信および送信動作を実行してもよいことを理解されたい。呼び出されるインターフェースは、論理インターフェースまたは物理インターフェースであってもよい。これは限定されない。任意選択で、物理インターフェースはトランシーバを使用して実装されてもよい。任意選択で、装置2200は、トランシーバ2203をさらに含む。
任意選択で、装置2200はメモリ2202をさらに含む。メモリ2202は、プロセッサ2201がプログラムコードを呼び出すように、前述の方法の実施形態におけるプログラムコードを格納してもよい。
具体的には、装置2200がプロセッサ2201、メモリ2202、およびトランシーバ2203を含む場合、プロセッサ2201、メモリ2202、およびトランシーバ2203は、制御信号および/またはデータ信号を転送するために、内部接続経路を介して互いに通信する。1つの可能な設計では、プロセッサ2201、メモリ2202、およびトランシーバ2203は、チップを使用して実装されてもよい。プロセッサ2201、メモリ2202、およびトランシーバ2203は、同じチップに実装されてもよく、もしくはそれぞれ異なるチップに実装されてもよく、または機能のうちの任意の2つが組み合わされて1つのチップに実装される。メモリ2202は、プログラムコードを格納してもよく、プロセッサ2201は、装置2200の対応する機能を実装するために、メモリ2202に格納されたプログラムコードを呼び出す。
本出願の実施形態で開示される方法は、プロセッサに適用されてもよく、またはプロセッサによって実装されてもよい。プロセッサは、信号処理能力を有する集積回路チップであってもよい。1つの実施態様プロセスでは、前述の方法の実施形態におけるステップは、プロセッサ内のハードウェア集積論理回路を使用することによって、またはソフトウェアの形態の命令を使用することによって完了され得る。前述のプロセッサは、汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application specific integrated circuit、ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array、FPGA)もしくは別のプログラマブルロジックデバイス、ディスクリートゲートもしくはトランジスタロジックデバイス、ディスクリートハードウェアコンポーネントであってもよく、システムオンチップ(system on chip、SoC)であってもよく、中央処理装置(central processing unit、CPU)であってもよく、ネットワークプロセッサ(network processor、NP)であってもよく、デジタル信号プロセッサ(digital signal processor、DSP)であってもよく、マイクロコントローラユニット(micro controller unit、MCU)であってもよく、プログラマブルロジックデバイス(programmable logic device、PLD)または別の集積チップであってもよい。プロセッサは、本出願の実施形態で開示されている方法、ステップ、および論理ブロック図を実装または実行してもよい。汎用プロセッサはマイクロプロセッサであってもよく、またはプロセッサは任意の従来のプロセッサなどであってもよい。本出願の実施形態を参照して開示された方法のステップは、ハードウェア復号プロセッサによって直接実行され完了されてもよく、または復号プロセッサ内のハードウェアモジュールとソフトウェアモジュールとの組み合わせによって実行され完了されてもよい。ソフトウェアモジュールは、ランダム・アクセス・メモリ、フラッシュメモリ、読み出し専用メモリ、プログラム可能読み出し専用メモリ、電気的消去可能プログラム可能メモリ、またはレジスタなど、当技術の成熟した記憶媒体に配置されてもよい。記憶媒体はメモリ内に配置され、プロセッサはメモリ内の情報を読み出し、プロセッサのハードウェアと共同して前述の方法のステップを完了する。
本出願の実施形態のメモリは揮発性メモリであっても不揮発性メモリであってもよく、または揮発性メモリと不揮発性メモリとの両方を含んでもよいことが理解されよう。不揮発性メモリは、読み出し専用メモリ(read-only memory、ROM)、プログラム可能読み出し専用メモリ(programmable ROM、PROM)、消去可能プログラム可能読み出し専用メモリ(erasable PROM、EPROM)、電気的消去可能プログラム可能読み出し専用メモリ(electrically EPROM、EEPROM)、またはフラッシュメモリであってもよい。揮発性メモリは、ランダム・アクセス・メモリ(random access memory、RAM)であってもよく、外部キャッシュとして使用される。限定的ではなく例として、多くの形式のRAM、例えば、スタティック・ランダム・アクセス・メモリ(static RAM、SRAM)、ダイナミック・ランダム・アクセス・メモリ(dynamic RAM、DRAM)、同期ダイナミック・ランダム・アクセス・メモリ(synchronous DRAM、SDRAM)、ダブル・データ・レート同期ダイナミック・ランダム・アクセス・メモリ(double data rate SDRAM、DDR SDRAM)、拡張同期ダイナミック・ランダム・アクセス・メモリ(enhanced SDRAM、ESDRAM)、同期リンク・ダイナミック・ランダム・アクセス・メモリ(synchlink DRAM,SLDRAM)、および直接ラムバス・ランダム・アクセス・メモリ(direct rambus RAM、DR RAM)が使用されてもよい。本明細書で説明されているシステムおよび方法のメモリは、これらのメモリおよび別の適切なタイプの任意のメモリを含むが、これらに限定されないことに留意されたい。
本出願の実施形態では、「第1」、「第2」などの数字は、異なる対象を区別するために、例えば、異なるパラメータ情報またはメッセージを区別するために使用されるにすぎず、本出願の実施形態の範囲を限定するものではないことを理解されたい。本出願の実施形態はこれに限定されない。
前述のプロセスの順序番号が、本出願の実施形態における実行順序を意味しないことをさらに理解されたい。プロセスの実行順序は、機能とプロセスの内部ロジックに基づいて決定されるべきである。前述のプロセスにおける番号または連続番号は、単に説明を容易にするための区別のためのものであり、本出願の実施形態の実施プロセスを一切制限しない。
本明細書における「および/または」という用語が、関連する対象間の関連関係のみを記述し、3つの関係が存在し得ることを表すことも理解されたい。例えば、Aおよび/またはBは、以下の3つの場合、すなわち、Aのみが存在する場合、AおよびBの両方が存在する場合、およびBのみが存在する場合を表すことができる。加えて、本明細書における記号「/」は、関連する対象間の「または」関係を一般に示す。
特に明記しない限り、「項目はA、B、およびCのうちのいずれか1つまたは複数を含む」という表現と同様の本出願で使用されている表現は、項目が以下のいずれか1つであり得ることを通常意味する:A;B;C;AおよびB;AおよびC;BおよびC;A、B、およびC;AおよびA;A、A、およびA;A,A,およびB;A、A、およびC;A,B,およびB;A、C、およびC;BおよびB;B、BおよびB;B、BおよびC;CおよびC;C、C、およびC;ならびにA、BおよびCの別の組み合わせ。上記の説明では、項目の任意選択のケースを記述するための一例として3つの要素A、B、およびCが使用されている。表現が「項目はA、B、・・・、およびXのうちの少なくとも1つを含む」である、言い換えれば、より多くの要素が表現に含まれるときは、その項目が適用可能であるケースも前述のルールに従って得られることができる。
当業者は、本明細書に開示されている実施形態で説明された例を参照して、ユニットおよびアルゴリズムステップが、電子ハードウェアまたはコンピュータソフトウェアと電子ハードウェアとの組み合わせによって実装され得ることを認識し得る。機能がハードウェアによって実行されるかソフトウェアによって実行されるかは、技術的解決策の具体的な用途と設計上の制約条件しだいで決まる。当業者は、説明された機能を特定の用途ごとに実装するために異なる方法を使用し得るが、実施態様が本出願の範囲を超えると考えられてはならない。
簡便な説明のために、前述のシステム、装置、およびユニットの詳細な動作プロセスについては、前述の方法実施形態における対応するプロセスを参照することが、当業者によって明確に理解され得る。本明細書では詳細は繰り返されない。
本出願で提供されるいくつかの実施形態では、開示されたシステム、装置、および方法は、他の方式で実装されてもよいことを理解されたい。例えば、説明されている装置の実施形態は例にすぎない。例えば、ユニットへの分割は、論理的な機能分割にすぎない。実際の実装時には別の分割方式もあり得る。例えば、複数のユニットまたはコンポーネントが組み合わされるか、または別のシステムに統合されてもよく、またはいくつかの特徴は無視されてよく、または実行されなくてもよい。加えて、表示または考察された相互結合または直接結合または通信接続が、いくつかのインターフェースを介して実装されてもよい。装置またはユニット間の間接的な結合または通信接続は、電子的形態、機械的形態、または別の形態で実装されてもよい。
別個の部分として説明されたユニットは、物理的に別個であってもなくてもよく、ユニットとして提示された部分は物理ユニットであってもなくてもよく、1つの位置に配置されてもよく、または複数のネットワークユニットに分散されてもよい。ユニットの一部または全部は、実施形態の解決策の目的を達成するために実際の要求に応じて選択されてもよい。
加えて、本出願の実施形態における機能ユニットは、1つの処理ユニットに統合されてもよく、ユニットの各々は、物理的に単独で存在してもよく、または2つ以上のユニットが1つのユニットに統合される。
機能がソフトウェア機能ユニットの形態で実装され、独立した製品として販売または使用されるとき、機能はコンピュータ可読記憶媒体に記憶され得る。そのような理解に基づくと、本出願の技術的解決策は本質的に、または従来の技術に寄与する部分は、または技術的解決策の一部は、ソフトウェア製品の形態で実装されてもよい。コンピュータソフトウェア製品は、記憶媒体に記憶され、本出願の実施形態で説明されている方法のステップの全部または一部を実行することをコンピュータデバイス(パーソナルコンピュータ、サーバ、ネットワークデバイスなどであってよい)に命令するためのいくつかの命令を含む。前述の記憶媒体は、USBフラッシュドライブ、リムーバブルハードディスク、読み出し専用メモリROM、ランダム・アクセス・メモリRAM、磁気ディスク、または光ディスクなど、プログラムコードを記憶することができる何らかの媒体を含む。
前述の説明は、本出願の特定の実装にすぎず、本出願の保護範囲を限定することが意図されるものではない。本出願に開示されている技術的範囲内で当業者によって容易に考え出されるいかなる変形または置換も、本出願の保護範囲内にあるものとする。したがって、本出願の保護範囲は、特許請求の範囲の保護範囲に従うものとする。
2100 装置
2110 トランシーバモジュール
2120 処理モジュール
2200 装置
2201 プロセッサ
2202 メモリ
2203 トランシーバ
ステップ503:SCPは、ステップ502で受信したaccess token要求メッセージをNRFに送信する。

Claims (72)

  1. 通信方法であって、前記方法は、
    サービス・コンシューマ・ネットワーク要素によって、サービス通信プロキシに第1のサービス要求メッセージを送信するステップであって、前記第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、前記第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、前記第1のクライアント資格情報アサーションは、前記サービス・コンシューマ・ネットワーク要素を認証するために使用され、前記第1のクライアント資格情報アサーションは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、前記第1のネットワーク機能タイプは、前記サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、前記第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、前記第2のサービスは、前記第1のサービスに関連付けられている、ステップと、
    前記サービス・コンシューマ・ネットワーク要素によって、前記サービス通信プロキシから前記第1のサービス要求メッセージに対する応答メッセージを受信するステップと
    を含む、通信方法。
  2. 前記第2のサービスが、前記第1のサービスに対応するアクセストークンを提供するために使用され、前記第1のサービスに対応する前記アクセストークンは、前記サービス・コンシューマ・ネットワーク要素が前記第1のサービスを取得する許可を有することを示す、請求項1に記載の方法。
  3. 前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービスに対応する利用可能なアクセストークンがないと決定するステップ
    をさらに含む、請求項1または2に記載の方法。
  4. 前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービスに対応する利用可能なアクセストークンがないと決定する前記ステップが、
    前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービスに対応する前記アクセストークンが格納されていないと決定するステップ、または
    前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービスに対応する格納されたアクセストークンが期限切れであると決定するステップ
    を含む、請求項3に記載の方法。
  5. 前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービスに対応する前記格納されたアクセストークンが期限切れになったときに、前記期限切れのアクセストークンを削除するステップ
    をさらに含む、請求項4に記載の方法。
  6. 前記第2のサービスが、前記サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される、請求項1に記載の方法。
  7. 前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービス要求メッセージが前記第2のサービスを要求するように前記サービス通信プロキシをトリガすることができると決定するステップ
    をさらに含む、請求項1から6のいずれか一項に記載の方法。
  8. 前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービス要求メッセージが前記第2のサービスを要求するように前記サービス通信プロキシをトリガすることができると決定する前記ステップが、
    第1の端末デバイスのコンテキストが格納されておらず、前記第1の端末デバイスは前記第1のサービスに関連付けられているケース、前記第1のサービスのコンテキストが格納されていないケース、前記サービス・プロデューサ・ネットワーク要素が第1のスライスに属し、前記第1のスライスに対応するコンテキストが格納されていないケース、または、前記サービス・コンシューマ・ネットワーク要素が、初めて前記サービス通信プロキシと通信するケース、
    のうちの1つまたは複数に基づいて、前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービス要求メッセージが前記第2のサービスを要求するように前記サービス通信プロキシをトリガすることができると決定するステップ
    を含む、請求項7に記載の方法。
  9. 前記サービス・コンシューマ・ネットワーク要素によって、間接通信モード、すなわちモードDで前記第1のサービスを要求すると決定するステップ
    をさらに含む、請求項1から8のいずれか一項に記載の方法。
  10. 前記方法が、
    前記サービス・コンシューマ・ネットワーク要素によって、前記サービス通信プロキシに第2のサービス要求メッセージを送信するステップであって、前記第2のサービス要求メッセージは前記第1のサービスを要求するために使用され、前記第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、前記第2のクライアント資格情報アサーションは前記第1のネットワーク機能タイプを含み、前記第2のクライアント資格情報アサーションは前記サービス・コンシューマ・ネットワーク要素を認証するために使用される、ステップと、
    前記サービス・コンシューマ・ネットワーク要素によって、前記サービス通信プロキシから前記第2のサービス要求メッセージに対する応答メッセージを受信するステップであって、前記第2のサービス要求メッセージに対する前記応答メッセージは指示情報を含む、ステップと、
    をさらに含み、
    サービス・コンシューマ・ネットワーク要素によって、サービス通信プロキシに第1のサービス要求メッセージを送信する前記ステップは、
    前記サービス・コンシューマ・ネットワーク要素によって、前記指示情報に基づいて前記サービス通信プロキシに前記第1のサービス要求メッセージを送信するステップ
    を含む、
    請求項1から9のいずれか一項に記載の方法。
  11. 前記指示情報が第3のクライアント資格情報アサーションを含み、前記第3のクライアント資格情報アサーションは前記第2のネットワーク機能タイプを含み、前記第3のクライアント資格情報アサーションは前記第2のサービスを提供する前記ネットワーク要素を認証するために使用され、
    前記サービス・コンシューマ・ネットワーク要素によって、前記指示情報に基づいて前記サービス通信プロキシに前記第1のサービス要求メッセージを送信する前記ステップは、
    前記第2のサービスを提供する前記ネットワーク要素に対する、前記第3のクライアント資格情報アサーションに基づく前記認証が成功したときに、前記サービス・コンシューマ・ネットワーク要素によって、前記サービス通信プロキシに前記第1のサービス要求メッセージを送信するステップ
    を含む、
    請求項10に記載の方法。
  12. 前記第2のサービスを提供する前記ネットワーク要素が、ネットワークリポジトリ機能ネットワーク要素である、請求項1から11のいずれか一項に記載の方法。
  13. 前記第1のクライアント資格情報アサーションが、前記サービス・コンシューマ・ネットワーク要素の識別子または有効時間情報のうちの1つまたは複数をさらに含み、前記有効時間情報は前記第1のクライアント資格情報アサーションの有効時間を表す、請求項1から12のいずれか一項に記載の方法。
  14. 通信方法であって、前記方法は、
    第1のネットワーク要素によって、サービス通信プロキシから第1のサービス要求メッセージを受信するステップであって、前記第1のサービス要求メッセージは、前記第1のネットワーク要素から第1のサービスを要求するために使用され、前記第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、前記第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素を認証するために使用され、前記第1のクライアント資格情報アサーションは、複数のネットワーク機能タイプを含む、ステップと、
    前記第1のネットワーク要素によって、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証するステップと、
    を含み、
    前記第1のネットワーク要素によって、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証する前記ステップは、前記第1のネットワーク要素によって、前記第1のネットワーク要素のネットワーク機能タイプが前記複数のネットワーク機能タイプのうちの1つまたは複数と一致するかどうか決定するステップと、
    認証結果に基づいて前記第1のネットワーク要素によって、前記第1のサービス要求メッセージに対する応答メッセージを前記サービス通信プロキシに送信するステップと、
    を含む、
    通信方法。
  15. 認証結果に基づいて前記第1のネットワーク要素によって、前記第1のサービス要求メッセージに対する応答メッセージを前記サービス通信プロキシに送信する前記ステップが、
    前記認証結果が、前記認証が成功したことであるときに、前記第1のネットワーク要素によって、前記サービス通信プロキシに前記第1のサービス要求メッセージに対する前記応答メッセージを送信するステップであって、前記第1のサービス要求メッセージに対する前記応答メッセージは、前記第1のサービスを提供することを示す、ステップ、または
    前記認証結果が、前記認証が失敗したことであるときに、前記第1のネットワーク要素によって、前記サービス通信プロキシに前記第1のサービス要求メッセージに対する前記応答メッセージを送信するステップであって、前記第1のサービス要求メッセージに対する前記応答メッセージは、前記第1のサービスの要求が失敗したことを示す、ステップ
    を含む、請求項14に記載の方法。
  16. 前記複数のネットワーク機能タイプが、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、前記第1のネットワーク機能タイプは、前記第1のネットワーク要素の前記ネットワーク機能タイプであり、前記第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、前記第2のサービスは、前記第1のサービスと関連付けられる、請求項14または15に記載の方法。
  17. 前記第2のサービスが、前記第1のサービスに対応するアクセストークンを提供するために使用され、前記第1のサービスに対応する前記アクセストークンは、前記サービス・コンシューマ・ネットワーク要素が前記第1のサービスを取得する許可を有することを示すか、または
    前記第2のサービスは、前記第1のネットワーク要素に関する情報を提供するために使用される、
    請求項16に記載の方法。
  18. 前記第2のサービスを提供する前記ネットワーク要素が、ネットワークリポジトリ機能ネットワーク要素である、請求項16または17に記載の方法。
  19. 前記第1のサービスが、第2のサービスに対応するアクセストークンを提供するために使用され、前記第2のサービスに対応する前記アクセストークンは、前記サービス・コンシューマ・ネットワーク要素が前記第2のサービスを取得する許可を有することを示すか、または
    前記第1のサービスが、前記第2のサービスを提供するネットワーク要素に関する情報を提供するために使用される、
    請求項14または15に記載の方法。
  20. 前記第1のネットワーク要素が、ネットワークリポジトリ機能ネットワーク要素である、請求項19に記載の方法。
  21. 前記第1のネットワーク要素によって、前記サービス通信プロキシから第2のサービス要求メッセージを受信するステップであって、前記第2のサービス要求メッセージは、前記第1のネットワーク要素から前記第1のサービスを要求するために使用され、前記第2のサービス要求メッセージは、第2のクライアント資格情報アサーションを含み、前記第2のクライアント資格情報アサーションは、第3のネットワーク機能タイプを含む、ステップと、
    前記第3のネットワーク機能タイプが前記第1のネットワーク要素の前記ネットワーク機能タイプと一致しないとき、前記第1のネットワーク要素によって、前記第2のサービス要求メッセージに対する応答メッセージを前記サービス通信プロキシに送信するステップであって、前記第2のサービス要求メッセージに対する前記応答メッセージは指示情報を含み、前記指示情報は前記第1のサービス要求メッセージをトリガするために使用される、ステップと
    をさらに含む、請求項14から20のいずれか一項に記載の方法。
  22. 前記指示情報が、前記第1のネットワーク要素を認証するために使用される第3のクライアント資格情報アサーションを含み、前記第3のクライアント資格情報アサーションは、前記第1のネットワーク要素の前記ネットワーク機能タイプを含む、請求項21に記載の方法。
  23. 前記第1のクライアント資格情報アサーションが、前記サービス・コンシューマ・ネットワーク要素の識別子と前記第1のクライアント資格情報アサーションの有効時間情報とをさらに含み、前記第1のクライアント資格情報アサーションの前記有効時間情報は前記第1のクライアント資格情報アサーションの有効時間を表し、
    前記第1のネットワーク要素によって、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証する前記ステップは、
    前記第1のネットワーク要素によって、前記第1のクライアント資格情報アサーションの署名が成功したかどうか検証するステップと、前記第1のクライアント資格情報アサーションに含まれる前記有効時間情報に基づいて、前記第1のクライアント資格情報アサーションが期限切れであるかどうか検証するステップ、または前記第1のクライアント資格情報アサーション内の前記サービス・コンシューマ・ネットワーク要素の前記識別子が、前記第1のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであるかどうか検証するステップ
    のうちの1つまたは複数をさらに含む、
    請求項15から22のいずれか一項に記載の方法。
  24. 通信装置であって、前記装置はトランシーバユニットおよび処理ユニットを備え、
    前記処理ユニットは、前記トランシーバユニットを呼び出して、サービス通信プロキシに第1のサービス要求メッセージを送信し、前記第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、前記第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、前記第1のクライアント資格情報アサーションは、前記装置を認証するために使用され、前記第1のクライアント資格情報アサーションは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、前記第1のネットワーク機能タイプは、前記サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、前記第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、前記第2のサービスは、前記第1のサービスに関連付けられ、前記サービス通信プロキシから前記第1のサービス要求メッセージに対する応答メッセージを受信する、
    通信装置。
  25. 前記第2のサービスが、前記第1のサービスに対応するアクセストークンを提供するために使用され、前記第1のサービスに対応する前記アクセストークンは、前記装置が前記第1のサービスを取得する許可を有することを表す、請求項24に記載の通信装置。
  26. 前記処理ユニットが、前記第1のサービスに対応する利用可能なアクセストークンがないと決定するように構成される、請求項24または25に記載の通信装置。
  27. 前記処理ユニットが、前記第1のサービスに対応する前記アクセストークンが格納されていないと決定するか、または、前記第1のサービスに対応する格納されたアクセストークンが期限切れであると決定する、ようにさらに構成される、請求項26に記載の通信装置。
  28. 前記処理ユニットが、前記第1のサービスに対応する前記格納されたアクセストークンが有効期限切れになったときに、前記期限切れのアクセストークンを削除するようにさらに構成される、請求項27に記載の通信装置。
  29. 前記第2のサービスが、前記サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される、請求項24に記載の通信装置。
  30. 前記処理ユニットが、前記第1のサービス要求メッセージが前記第2のサービスを要求するように前記サービス通信プロキシをトリガすることができると決定するようにさらに構成される、請求項24から29のいずれか一項に記載の通信装置。
  31. 前記処理ユニットが、
    第1の端末デバイスのコンテキストが格納されておらず、前記第1の端末デバイスは前記第1のサービスに関連付けられているケース、前記第1のサービスのコンテキストが格納されていないケース、前記サービス・プロデューサ・ネットワーク要素が第1のスライスに属し、前記第1のスライスに対応するコンテキストが格納されていないケース、または、前記装置が、初めて前記サービス通信プロキシと通信するケース、
    のうちの1つまたは複数に基づいて、前記第1のサービス要求メッセージが前記第2のサービスを要求するように前記サービス通信プロキシをトリガすることができると決定するように構成される、請求項30に記載の通信装置。
  32. 前記処理ユニットが、間接通信モード、すなわちモードDで前記第1のサービスを要求すると決定するようにさらに構成される、請求項24から31のいずれか一項に記載の通信装置。
  33. 前記トランシーバユニットが、前記サービス通信プロキシに第2のサービス要求メッセージを送信し、前記第2のサービス要求メッセージは前記第1のサービスを要求するために使用され、前記第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、前記第2のクライアント資格情報アサーションは前記第1のネットワーク機能タイプを含み、前記第2のクライアント資格情報アサーションは前記装置を認証するために使用され、前記サービス通信プロキシから前記第2のサービス要求メッセージに対する応答メッセージを受信し、前記第2のサービス要求メッセージに対する前記応答メッセージは指示情報を含む、ようにさらに構成され、前記第1のサービス要求メッセージが前記サービス通信プロキシに送信されるときに、前記処理ユニットが、前記トランシーバユニットを呼び出して、前記指示情報に基づいて前記第1のサービス要求メッセージを前記サービス通信プロキシに送信する、請求項24から32のいずれか一項に記載の通信装置。
  34. 前記指示情報が第3のクライアント資格情報アサーションを含み、前記第3のクライアント資格情報アサーションは前記第2のネットワーク機能タイプを含み、前記第3のクライアント資格情報アサーションは前記第2のサービスを提供する前記ネットワーク要素を認証するために使用され、前記トランシーバユニットは、前記第2のサービスを提供する前記ネットワーク要素に対する、前記第3のクライアント資格情報アサーションに基づく前記認証が成功したときに、前記サービス通信プロキシに前記第1のサービス要求メッセージを送信するように構成される、請求項33に記載の通信装置。
  35. 前記第2のサービスを提供する前記ネットワーク要素が、ネットワークリポジトリ機能ネットワーク要素である、請求項24から34のいずれか一項に記載の通信装置。
  36. 前記第1のクライアント資格情報アサーションが、前記装置の識別子または有効時間情報のうちの1つまたは複数をさらに含み、前記有効時間情報は前記第1のクライアント資格情報アサーションの有効時間を表す、請求項24から35のいずれか一項に記載の通信装置。
  37. 通信装置であって、前記装置はトランシーバユニットおよび処理ユニットを備え、
    前記トランシーバユニットは、サービス通信プロキシから第1のサービス要求メッセージを受信し、前記第1のサービス要求メッセージは、前記装置から第1のサービスを要求するために使用され、前記第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、前記第1のクライアント資格情報アサーションは、サービス・コンシューマ・ネットワーク要素を認証するために使用され、前記第1のクライアント資格情報アサーションは、複数のネットワーク機能タイプを含む、ように構成され、
    前記処理ユニットは、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証し、前記サービス・コンシューマ・ネットワーク要素が前記第1のクライアント資格情報アサーションに基づいて認証されるときに、前記処理ユニットは、前記処理ユニットのネットワーク機能タイプが前記複数のネットワーク機能タイプのうちの1つまたは複数と一致するかどうか決定する、ように構成され、前記処理ユニットは、前記トランシーバユニットを呼び出して、認証結果に基づいて、前記第1のサービス要求メッセージに対する応答メッセージを前記サービス通信プロキシに送信する、
    通信装置。
  38. 前記トランシーバユニットが、前記認証結果が、前記認証が成功したことであるとき、前記サービス通信プロキシに前記第1のサービス要求メッセージに対する前記応答メッセージを送信し、前記第1のサービス要求メッセージに対する前記応答メッセージは、前記第1のサービスを提供するために使用されるか、または、前記認証結果が、前記認証が失敗したことであるとき、前記サービス通信プロキシに前記第1のサービス要求メッセージに対する前記応答メッセージを送信し、前記第1のサービス要求メッセージに対する前記応答メッセージは、前記第1のサービスの要求が失敗したことを示す、ように構成される、請求項37に記載の通信装置。
  39. 前記複数のネットワーク機能タイプが、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、前記第1のネットワーク機能タイプは、前記装置の前記ネットワーク機能タイプであり、前記第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、前記第2のサービスは、前記第1のサービスと関連付けられる、請求項37または38に記載の通信装置。
  40. 前記第2のサービスが、前記第1のサービスに対応するアクセストークンを提供するために使用され、前記第1のサービスに対応する前記アクセストークンは、前記サービス・コンシューマ・ネットワーク要素が前記第1のサービスを取得する許可を有することを示すか、または、前記第2のサービスは、前記装置に関する情報を提供するために使用される、請求項39に記載の通信装置。
  41. 前記第2のサービスを提供する前記ネットワーク要素が、ネットワークリポジトリ機能ネットワーク要素である、請求項39または40に記載の通信装置。
  42. 前記第1のサービスが、第2のサービスに対応するアクセストークンを提供するために使用され、前記第2のサービスに対応する前記アクセストークンは、前記サービス・コンシューマ・ネットワーク要素が前記第2のサービスを取得する許可を有することを示すか、または、前記第1のサービスが、第2のサービスネットワーク要素に関する情報を提供するために使用される、請求項37または38に記載の通信装置。
  43. 前記装置が、ネットワークリポジトリ機能ネットワーク要素である、請求項42に記載の通信装置。
  44. 前記トランシーバユニットが、前記サービス通信プロキシから第2のサービス要求メッセージを受信するようにさらに構成され、前記第2のサービス要求メッセージは、前記通信装置から前記第1のサービスを要求するために使用され、前記第2のサービス要求メッセージは、第2のクライアント資格情報アサーションを含み、前記第2のクライアント資格情報アサーションは、第3のネットワーク機能タイプを含み、
    前記トランシーバユニットは、前記第3のネットワーク機能タイプが前記通信装置の前記ネットワーク機能タイプと一致しないとき、前記サービス通信プロキシに前記第2のサービス要求メッセージに対する応答メッセージを送信し、前記第2のサービス要求メッセージに対する前記応答メッセージは指示情報を含み、前記指示情報は前記第1のサービス要求メッセージをトリガするために使用される、ようにさらに構成される、
    請求項37から43のいずれか一項に記載の通信装置。
  45. 前記指示情報が、前記装置を認証するために使用される第3のクライアント資格情報アサーションを含み、前記第3のクライアント資格情報アサーションは、前記装置の前記ネットワーク機能タイプを含む、請求項44に記載の通信装置。
  46. 前記第1のクライアント資格情報アサーションが、前記サービス・コンシューマ・ネットワーク要素の識別子と前記第1のクライアント資格情報アサーションの有効時間情報とをさらに含み、前記第1のクライアント資格情報アサーションの前記有効時間情報は前記第1のクライアント資格情報アサーションの有効時間を表し、前記処理ユニットが、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証するように構成されることは、前記第1のクライアント資格情報アサーションの署名が成功したかどうか検証すること、前記第1のクライアント資格情報アサーションに含まれる前記有効時間情報に基づいて、前記第1のクライアント資格情報アサーションが期限切れであるかどうか検証すること、または前記第1のクライアント資格情報アサーション内の前記サービス・コンシューマ・ネットワーク要素の前記識別子が、前記第1のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであるかどうか検証すること、のうちの1つまたは複数をさらに含む、請求項38から45のいずれか一項に記載の通信装置。
  47. 通信装置であって、前記通信装置がプロセッサおよびメモリを備え、前記メモリは、コンピュータ実行可能命令を記憶するように構成され、前記装置が動作すると、前記プロセッサは、前記メモリに格納された前記コンピュータ実行可能命令を実行して、前記通信装置が請求項1から13のいずれか一項に記載の方法を実行することを可能にする、通信装置。
  48. 通信装置であって、前記通信装置がプロセッサおよびメモリを備え、前記メモリは、コンピュータ実行可能命令を記憶するように構成され、前記装置が動作すると、前記プロセッサは、前記メモリに格納された前記コンピュータ実行可能命令を実行して、前記通信装置が請求項14から23のいずれか一項に記載の方法を実行することを可能にする、通信装置。
  49. コンピュータ可読記憶媒体であって、前記記憶媒体はコンピュータプログラムまたは命令を記憶し、前記コンピュータプログラムまたは前記命令が通信装置によって実行されると、請求項1から23のいずれか一項に記載の方法が実装される、コンピュータ可読記憶媒体。
  50. サービス・コンシューマ・ネットワーク要素とサービス通信プロキシとを備える通信システムであって、
    前記サービス・コンシューマ・ネットワーク要素は、前記サービス通信プロキシに第1のサービス要求メッセージを送信するように構成され、前記第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、前記第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、前記第1のクライアント資格情報アサーションは、前記サービス・コンシューマ・ネットワーク要素を認証するために使用され、前記第1のクライアント資格情報アサーションは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、前記第1のネットワーク機能タイプは、前記サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、前記第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、前記第2のサービスは、前記第1のサービスに関連付けられ、
    前記サービス通信プロキシは、前記第1のサービス要求メッセージを受信し、前記サービス・コンシューマ・ネットワーク要素に前記第1のサービス要求メッセージに対する応答メッセージを送信するように構成され、
    前記サービス・コンシューマ・ネットワーク要素は、前記サービス通信プロキシから前記第1のサービス要求メッセージに対する前記応答メッセージを受信するようにさらに構成される、
    通信システム。
  51. 前記サービス・コンシューマ・ネットワーク要素が、前記第1のサービス要求メッセージが前記第2のサービスを要求するように前記サービス通信プロキシをトリガすることができると決定するように構成される、請求項50に記載のシステム。
  52. 前記サービス・コンシューマ・ネットワーク要素が、間接通信モード、すなわちモードDで前記第1のサービスを要求すると決定するように構成される、請求項50または51に記載のシステム。
  53. 前記システムが、前記第2のサービスを提供する前記ネットワーク要素をさらに備え、
    前記サービス通信プロキシは、前記サービス・コンシューマ・ネットワーク要素から前記第1のサービス要求メッセージを受信した後で、前記第2のサービスを提供する前記ネットワーク要素に第2のサービス要求メッセージを送信するようにさらに構成され、前記第2のサービス要求メッセージは前記第2のサービスを要求するために使用され、前記第2のサービス要求メッセージは前記第1のクライアント資格情報アサーションを含み、
    前記第2のサービスを提供する前記ネットワーク要素は、前記サービス通信プロキシから前記第2のサービス要求メッセージを受信し、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証するように構成され、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証することは、前記第2のサービスを提供する前記ネットワーク要素の前記ネットワーク機能タイプが前記第1のネットワーク機能タイプおよび前記第2のネットワーク機能タイプのうちの1つまたは複数と一致するかどうか決定すること、および前記サービス・コンシューマ・ネットワーク要素に対する前記認証が成功したときに、前記第2のサービス要求メッセージに対する応答メッセージを前記サービス通信プロキシに送信し、前記第2のサービス要求メッセージに対する前記応答メッセージは前記第2のサービスを提供することを示すこと、を含む、
    請求項50から52のいずれか一項に記載のシステム。
  54. 前記第1のクライアント資格情報アサーションが、前記サービス・コンシューマ・ネットワーク要素の識別子または有効時間情報のうちの1つまたは複数をさらに含み、前記有効時間情報は前記第1のクライアント資格情報アサーションの有効時間を表し、
    前記第2のサービスを提供する前記ネットワーク要素が、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証するように構成されることは、
    前記第1のクライアント資格情報アサーションの署名が成功したかどうか検証すること、前記第1のクライアント資格情報アサーションに含まれる前記有効時間情報に基づいて、前記第1のクライアント資格情報アサーションが期限切れであるかどうか検証すること、前記第1のクライアント資格情報アサーション内の前記サービス・コンシューマ・ネットワーク要素の前記識別子が、前記第1のクライアント資格情報アサーションに署名するための証明書内のネットワーク要素の識別子と同じであるかどうか検証すること、
    のうちの1つまたは複数をさらに含む、
    請求項53に記載のシステム。
  55. 前記第2のサービスを提供する前記ネットワーク要素が、ネットワークリポジトリ機能ネットワーク要素である、請求項50から54のいずれか一項に記載のシステム。
  56. 前記第2のサービスが、前記サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される、請求項50から55のいずれか一項に記載のシステム。
  57. 前記システムが、前記サービス・プロデューサ・ネットワーク要素をさらに備え、
    前記サービス通信プロキシは、前記サービス・コンシューマ・ネットワーク要素に対する前記認証が成功したときに、前記第2のサービスを提供する前記ネットワーク要素から前記第2のサービス要求メッセージに対する前記応答メッセージを受信し、前記第2のサービス要求メッセージに対する前記応答メッセージに基づいて、前記サービス・プロデューサ・ネットワーク要素に第3のサービス要求メッセージを送信し、前記第3のサービス要求メッセージは、前記第1のサービスを要求するために使用され、前記第3のサービス要求メッセージは、前記第1のクライアント資格情報アサーションを含む、ようにさらに構成され、
    前記サービス・プロデューサ・ネットワーク要素は、前記サービス通信プロキシから前記第3のサービス要求メッセージを受信し、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証するように構成され、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証することは、前記サービス・プロデューサ・ネットワーク要素の前記ネットワーク機能タイプが前記第1のネットワーク機能タイプおよび前記第2のネットワーク機能タイプのうちの1つまたは複数と一致するかどうか決定すること、および前記サービス・コンシューマ・ネットワーク要素に対する前記認証が成功したときに、前記第3のサービス要求メッセージに対する応答メッセージを前記サービス通信プロキシに送信し、前記第3のサービス要求メッセージに対する前記応答メッセージは前記第1のサービスを提供することを示すこと、を含む、
    請求項53から56のいずれか一項に記載のシステム。
  58. 前記第1のクライアント資格情報アサーションが、前記サービス・コンシューマ・ネットワーク要素の前記識別子または前記有効時間情報のうちの1つまたは複数をさらに含み、前記有効時間情報は前記第1のクライアント資格情報アサーションの前記有効時間を表し、
    前記サービス・プロデューサ・ネットワーク要素が、前記第1のクライアント資格情報アサーションに基づいて前記サービス・コンシューマ・ネットワーク要素を認証するように構成されることは、
    前記第1のクライアント資格情報アサーションの前記署名が成功したかどうか検証すること、前記第1のクライアント資格情報アサーションに含まれる前記有効時間情報に基づいて、前記第1のクライアント資格情報アサーションが期限切れであるかどうか検証すること、または前記第1のクライアント資格情報アサーション内の前記サービス・コンシューマ・ネットワーク要素の前記識別子が、前記第1のクライアント資格情報アサーションに署名するための前記証明書内の前記ネットワーク要素の前記識別子と同じであるかどうか検証すること、
    のうちの1つまたは複数をさらに含む、
    請求項57に記載のシステム。
  59. 前記第3のサービス要求メッセージに対する前記応答メッセージが前記第1のサービスを提供することを示すときに、前記第1のサービス要求メッセージに対する前記応答メッセージは前記第1のサービスを提供することを示す、請求項57または58に記載のシステム。
  60. 通信方法であって、前記方法は、
    サービス・コンシューマ・ネットワーク要素によって、サービス通信プロキシに第1のサービス要求メッセージを送信するステップであって、前記第1のサービス要求メッセージは、サービス・プロデューサ・ネットワーク要素から第1のサービスを要求するために使用され、前記第1のサービス要求メッセージは、第1のクライアント資格情報アサーションを含み、前記第1のクライアント資格情報アサーションは、前記サービス・コンシューマ・ネットワーク要素を認証するために使用され、前記第1のクライアント資格情報アサーションは、第1のネットワーク機能タイプおよび第2のネットワーク機能タイプを含み、前記第1のネットワーク機能タイプは、前記サービス・プロデューサ・ネットワーク要素のネットワーク機能タイプであり、前記第2のネットワーク機能タイプは、第2のサービスを提供するネットワーク要素のネットワーク機能タイプであり、前記第2のサービスは、前記第1のサービスに関連付けられている、ステップと、
    前記サービス通信プロキシによって、前記サービス・コンシューマ・ネットワーク要素から前記第1のサービス要求メッセージを受信するステップと、
    前記サービス通信プロキシによって、前記サービス・コンシューマ・ネットワーク要素に前記第1のサービス要求メッセージに対する応答メッセージを送信するステップと
    を含む、通信方法。
  61. 前記第2のサービスが、前記第1のサービスに対応するアクセストークンを提供するために使用され、前記第1のサービスに対応する前記アクセストークンは、前記サービス・コンシューマ・ネットワーク要素が前記第1のサービスを取得する許可を有することを示す、請求項60に記載の方法。
  62. 前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービスに対応する利用可能なアクセストークンがないと決定するステップ
    をさらに含む、請求項60または61に記載の方法。
  63. 前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービスに対応する利用可能なアクセストークンがないと決定する前記ステップが、
    前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービスに対応する前記アクセストークンが格納されていないと決定するステップ、または
    前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービスに対応する格納されたアクセストークンが期限切れであると決定するステップ
    を含む、請求項62に記載の方法。
  64. 前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービスに対応する前記格納されたアクセストークンが期限切れになったときに、前記期限切れのアクセストークンを削除するステップ
    をさらに含む、請求項63に記載の方法。
  65. 前記第2のサービスが、前記サービス・プロデューサ・ネットワーク要素に関する情報を提供するために使用される、請求項60に記載の方法。
  66. 前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービス要求メッセージが前記第2のサービスを要求ように前記サービス通信プロキシをトリガすることができると決定するステップ
    をさらに含む、請求項60から65のいずれか一項に記載の方法。
  67. 前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービス要求メッセージが前記第2のサービスを要求するように前記サービス通信プロキシをトリガすることができると決定する前記ステップが、
    前記第1のサービス要求メッセージが前記第2のサービスを要求するように前記サービス通信プロキシをトリガすることができるケース、
    第1の端末デバイスのコンテキストが格納されておらず、前記第1の端末デバイスは前記第1のサービスに関連付けられているケース、前記第1のサービスのコンテキストが格納されていないケース、前記サービス・プロデューサ・ネットワーク要素が第1のスライスに属し、前記第1のスライスに対応するコンテキストが格納されていないケース、または、前記サービス・コンシューマ・ネットワーク要素が、初めて前記サービス通信プロキシと通信するケース、
    のうちの1つまたは複数に基づいて、前記サービス・コンシューマ・ネットワーク要素によって、前記第1のサービス要求メッセージが前記第2のサービスを要求するように前記サービス通信プロキシをトリガすると決定するステップ
    を含む、請求項66に記載の方法。
  68. 前記サービス・コンシューマ・ネットワーク要素によって、間接通信モード、すなわちモードDで前記第1のサービスを要求すると決定するステップ
    をさらに含む、請求項60から67のいずれか一項に記載の方法。
  69. 前記方法が、
    前記サービス・コンシューマ・ネットワーク要素によって、前記サービス通信プロキシに第2のサービス要求メッセージを送信するステップであって、前記第2のサービス要求メッセージは前記第1のサービスを要求するために使用され、前記第2のサービス要求メッセージは第2のクライアント資格情報アサーションを含み、前記第2のクライアント資格情報アサーションは前記第1のネットワーク機能タイプを含み、前記第2のクライアント資格情報アサーションは前記サービス・コンシューマ・ネットワーク要素を認証するために使用される、ステップと、
    前記サービス通信プロキシによって、前記サービス・コンシューマ・ネットワーク要素から第2のサービス要求メッセージを受信するステップと、
    前記サービス通信プロキシによって、前記サービス・コンシューマ・ネットワーク要素に前記第2のサービス要求メッセージに対する応答メッセージを送信するステップであって、前記第2のサービス要求メッセージに対する前記応答メッセージは指示情報を含む、ステップと、
    をさらに含み、
    サービス・コンシューマ・ネットワーク要素によって、サービス通信プロキシに第1のサービス要求メッセージを送信する前記ステップは、
    前記サービス・コンシューマ・ネットワーク要素によって、前記指示情報に基づいて前記サービス通信プロキシに前記第1のサービス要求メッセージを送信するステップ
    を含む、
    請求項60から68のいずれか一項に記載の方法。
  70. 前記指示情報が第3のクライアント資格情報アサーションを含み、前記第3のクライアント資格情報アサーションは前記第2のネットワーク機能タイプを含み、前記第3のクライアント資格情報アサーションは前記第2のサービスを提供する前記ネットワーク要素を認証するために使用され、
    前記サービス・コンシューマ・ネットワーク要素によって、前記指示情報に基づいて前記サービス通信プロキシに前記第1のサービス要求メッセージを送信する前記ステップは、
    前記第2のサービスを提供する前記ネットワーク要素に対する、前記第3のクライアント資格情報アサーションに基づく前記認証が成功したときに、前記サービス・コンシューマ・ネットワーク要素によって、前記サービス通信プロキシに前記第1のサービス要求メッセージを送信するステップ
    を含む、
    請求項69に記載の方法。
  71. 前記第2のサービスを提供する前記ネットワーク要素が、ネットワークリポジトリ機能ネットワーク要素である、請求項60から70のいずれか一項に記載の方法。
  72. 前記第1のクライアント資格情報アサーションが、前記サービス・コンシューマ・ネットワーク要素の識別子または有効時間情報のうちの1つまたは複数をさらに含み、前記有効時間情報は前記第1のクライアント資格情報アサーションの有効時間を表す、請求項60から71のいずれか一項に記載の方法。
JP2023569715A 2021-05-09 2022-05-09 通信方法および装置 Pending JP2024521649A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN202110502638.5 2021-05-09
CN202110502638.5A CN115396892A (zh) 2021-05-09 2021-05-09 一种通信方法及装置
PCT/CN2022/091806 WO2022237741A1 (zh) 2021-05-09 2022-05-09 一种通信方法及装置

Publications (1)

Publication Number Publication Date
JP2024521649A true JP2024521649A (ja) 2024-06-04

Family

ID=84028853

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023569715A Pending JP2024521649A (ja) 2021-05-09 2022-05-09 通信方法および装置

Country Status (8)

Country Link
US (1) US20240073212A1 (ja)
EP (1) EP4325918A1 (ja)
JP (1) JP2024521649A (ja)
KR (1) KR20240005900A (ja)
CN (1) CN115396892A (ja)
BR (1) BR112023023383A2 (ja)
TW (1) TWI820696B (ja)
WO (1) WO2022237741A1 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111435932B (zh) * 2019-01-14 2021-10-01 华为技术有限公司 一种令牌处理方法及装置
WO2020220919A1 (zh) * 2019-04-29 2020-11-05 华为技术有限公司 一种代理订阅的授权方法及装置
CN111865597B (zh) * 2019-04-29 2022-05-17 华为技术有限公司 通信方法和通信设备
US20220353255A1 (en) * 2019-06-24 2022-11-03 Nokia Technologies Oy Apparatuses and methods relating to authorisation of network functions
EP3962136A1 (en) * 2020-08-25 2022-03-02 Nokia Technologies Oy Management of access tokens in communication networks

Also Published As

Publication number Publication date
BR112023023383A2 (pt) 2024-01-23
TW202245442A (zh) 2022-11-16
TWI820696B (zh) 2023-11-01
WO2022237741A1 (zh) 2022-11-17
EP4325918A1 (en) 2024-02-21
US20240073212A1 (en) 2024-02-29
KR20240005900A (ko) 2024-01-12
CN115396892A (zh) 2022-11-25

Similar Documents

Publication Publication Date Title
KR102313265B1 (ko) 블록체인 네트워크에 의해 제공된 접속 정보를 이용한 사용자 인증
US20210234706A1 (en) Network function authentication based on public key binding in access token in a communication system
WO2020221956A1 (en) Service authorization for indirect communication in a communication system
US20230070253A1 (en) Methods and systems for authenticating devices using 3gpp network access credentials for providing mec services
EP3753269A1 (en) Security management for roaming service authorization in communication systems with service-based architecture
CN113438196B (zh) 一种服务授权方法、装置及系统
WO2021037175A1 (zh) 一种网络切片的管理方法及相关装置
WO2019017837A1 (zh) 网络安全管理的方法及装置
WO2020053481A1 (en) Network function authentication using a digitally signed service request in a communication system
US11622276B1 (en) Systems and method for authentication and authorization in networks using service based architecture
WO2022134089A1 (zh) 一种安全上下文生成方法、装置及计算机可读存储介质
WO2021099675A1 (en) Mobile network service security management
WO2019071472A1 (zh) 一种业务策略创建方法及装置
US20240073212A1 (en) Communication method and apparatus
WO2021079023A1 (en) Inter-mobile network communication security
EP4322462A1 (en) Improved security establishment methods and systems wherein keys are derived from a protocol transcript
EP4322455A1 (en) Improved security establishment methods and systems
EP4322463A1 (en) Improved security establishment methods and systems
EP4322456A1 (en) Quantum secure implicit authenticated password-based protocols and systems
EP4322461A1 (en) Improved security establishment methods and systems
EP4322472A1 (en) Improved security establishment methods and systems
EP4322454A1 (en) Improved security establishment methods and systems
EP4322457A1 (en) Improved security establishment methods and systems
EP4322460A1 (en) Reliability setting for improved security establishment methods and systems
WO2021185347A1 (zh) 接入控制方法及通信设备

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231221

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240129

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231221