KR20230096062A - 서비스 인가 방법, 통신 장치 및 시스템 - Google Patents
서비스 인가 방법, 통신 장치 및 시스템 Download PDFInfo
- Publication number
- KR20230096062A KR20230096062A KR1020237017881A KR20237017881A KR20230096062A KR 20230096062 A KR20230096062 A KR 20230096062A KR 1020237017881 A KR1020237017881 A KR 1020237017881A KR 20237017881 A KR20237017881 A KR 20237017881A KR 20230096062 A KR20230096062 A KR 20230096062A
- Authority
- KR
- South Korea
- Prior art keywords
- service
- network
- information
- network function
- token
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 157
- 238000004891 communication Methods 0.000 title claims abstract description 101
- 238000013475 authorization Methods 0.000 title claims abstract description 58
- 238000012795 verification Methods 0.000 claims abstract description 74
- 230000006870 function Effects 0.000 claims description 385
- 230000004044 response Effects 0.000 claims description 68
- 230000015654 memory Effects 0.000 claims description 38
- 238000012545 processing Methods 0.000 claims description 27
- 238000003672 processing method Methods 0.000 claims 10
- 238000013461 design Methods 0.000 description 34
- 238000010586 diagram Methods 0.000 description 22
- 230000008569 process Effects 0.000 description 16
- 238000004590 computer program Methods 0.000 description 11
- 239000000284 extract Substances 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000005242 forging Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000013523 data management Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 101150119040 Nsmf gene Proteins 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/303—Terminal profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 출원은 서비스 인가 방법, 통신 장치 및 시스템을 제공한다. 방법은, 제1 네트워크 요소가 네트워크 저장소 기능 네트워크 요소로 제1 토큰 요청을 전송하는 것과, 제1 네트워크 요소로부터 제1 토큰 요청을 수신한 후, 네트워크 저장소 기능 네트워크 요소는 검증을 통해 제1 토큰 요청으로 전달된 네트워크 기능 서비스 소비자 엔티티의 제1 정보가 네트워크 기능 서비스 소비자 엔티티의 어서션 내의 인증서의 제2 정보와 일치하는지 여부를 결정함으로써 네트워크 기능 서비스 소비자 엔티티의 유효성에 대한 검증을 완료할 수 있고, 네트워크 기능 서비스 소비자 엔티티의 유효성을 검증하는 데 네트워크 기능 서비스 소비자 엔티티의 프로파일에 의존하지 않는는 것을 포함한다. 따라서, 프로파일이 네트워크 저장소 기능 네트워크 요소에 저장되지 않은 네트워크 기능 서비스 소비자 엔티티에 대해, 네트워크 저장소 기능 네트워크 요소는 네트워크 기능 서비스 소비자 엔티티의 파라미터의 유효성도 검증할 수 있어서, 네트워크 기능 서비스를 사용하는 보안이 효과적으로 개선된다.
Description
관련 출원에 대한 상호 참조
본 출원은 2020년 10월 30일에 중국 특허청에 출원된 "서비스 인가 방법, 통신 장치 및 시스템"이라는 명칭의 중국 특허 출원 제202011197519.5호에 대한 우선권을 주장하며, 그 전체 내용은 본 명세서에 참조로 포함된다.
본 출원은 통신 기술 분야에 관한 것으로, 특히 서비스 인가 방법, 통신 장치 및 시스템에 관한 것이다.
3세대 파트너십 프로젝트(3rd generation partnership project, 3GPP)는 5세대(5th Generation, 5G) 이동통신 시스템에서 서비스 기반 아키텍처(service-based architecture, SBA) 및 서비스 기반 아키텍처의 강화(enhancement of service-based architecture, eSBA)를 사용하는 것을 제안한다.
SBA 또는 eSBA에서, 모든 네트워크 기능(network functions, NF)은 전송 계층 보안(transport layer security, TLS) 프로토콜을 지원한다. 네트워크 기능 서비스 제공자(network function service provider, NFp) 엔티티는 인가된 네트워크 기능 서비스 소비자(network function service consumer, NFc) 엔티티가 네트워크 기능 서비스 제공자 엔티티의 서비스에 액세스할 수 있게 한다. 네트워크 저장소 기능(network repository function, NRF) 네트워크 요소는 NF에 대한 관리, 검색 및 인가와 같은 서비스를 제공한다.
인가 프로세스는, NFc 엔티티가 NRF 네트워크 요소로부터, NFc 엔티티가 요청하고자 하는 서비스에 해당하는 토큰을 얻기 위해 요청하는 인가를 요청하는 것과, NRF 네트워크 요소가 NFc 엔티티의 인증서를 기반으로 토큰을 생성하고 그 토큰을 NFc 엔티티로 보내는 것과, 토큰을 획득한 후, NFc가 토큰에 기초하여 서비스를 가진 NFp 엔티티로부터 서비스를 요청할 수 있는 것을 포함한다.
전술한 인가 프로세스에서, NFc 엔티티로부터 토큰 요청을 수신할 때, NRF 네트워크 요소는 일반적으로 NFc 엔티티의 로컬로 저장된 프로파일(profile)에 기초하여, 토큰 요청으로 전달된 파라미터(예를 들어, 단일 네트워크 슬라이스 선택 지원 정보(single network slice selection assistance information, S-NSSAI))를 검증하여 NFc 엔티티가 NRF 인가를 얻기 위해 NFc 엔티티의 파라미터를 악의적으로 보고하지 못하게 한다. 그러나, NRF는 NFc의 일부의 프로파일을 저장하지 않는다. 결과적으로, NRF는 NFc의 파라미터를 검증할 수 없다.
본 출원의 실시예는 NRF가 NFc의 일부를 검증할 수 없는 문제를 해결하여 네트워크 신뢰도 및 보안을 효과적으로 향상시키기 위한 서비스 인가 방법, 통신 장치 및 시스템을 제공한다.
제1 양상에 따르면, 본 출원의 실시예는 서비스 인가 방법을 제공한다. 방법은, 제1 네트워크 요소가 네트워크 저장소 기능 네트워크 요소로 제1 토큰 요청을 전송하는 것을 포함하고, 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 어서션은 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하고, 인증서는 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함한다. 제1 토큰 요청을 수신한 후, 네트워크 저장소 기능 네트워크 요소는 검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정하고, 제1 정보가 제2 정보와 일치한다고 결정한 후, 토큰을 생성하며, 토큰을 제1 네트워크 요소로 보낸다. 제1 네트워크 요소는 토큰을 수신한다.
전술한 기술 솔루션에서, 제1 네트워크 요소로부터 제1 토큰 요청을 수신한 후, 네트워크 저장소 기능 네트워크 요소는 검증을 통해 제1 토큰 요청으로 전달된 네트워크 기능 서비스 소비자 엔티티의 제1 정보가 네트워크 기능 서비스 소비자 엔티티의 어서션 내의 인증서의 제2 정보와 일치하는지 여부를 결정함으로써 네트워크 기능 서비스 소비자 엔티티의 유효성에 대한 검증을 완료할 수 있고, 네트워크 기능 서비스 소비자 엔티티의 유효성을 검증하는 데 네트워크 기능 서비스 소비자 엔티티의 프로파일에 의존하지 않는다. 따라서, 프로파일이 네트워크 저장소 기능 네트워크 요소에 저장되지 않은 네트워크 기능 서비스 소비자 엔티티에 대해, 네트워크 저장소 기능 네트워크 요소는 네트워크 기능 서비스 소비자 엔티티의 파라미터의 유효성도 검증할 수 있어서, 네트워크 기능 서비스를 사용하는 보안이 효과적으로 개선된다.
가능한 설계에서, 제1 정보는 다음 중 하나 이상을 포함한다: 제1 공중 육상 이동 네트워크 식별자, 제1 독립형 비공개 네트워크 식별자, 제1 단일 네트워크 슬라이스 선택 지원 정보 식별자, 제1 네트워크 기능 인스턴스 식별자, 제1 네트워크 기능 유형, 제1 네트워크 기능 세트, 및 제1 통합 자원 식별자. 제2 정보는 다음 중 하나 이상을 포함한다: 제2 공중 육상 이동 네트워크 식별자, 제2 독립형 비공개 네트워크 식별자, 제2 단일 네트워크 슬라이스 선택 지원 정보 식별자, 제2 네트워크 기능 인스턴스 식별자, 제2 네트워크 기능 유형, 제2 네트워크 기능 세트, 및 제2 통합 자원 식별자.
전술한 기술 솔루션에서, 제1 정보 및 제2 정보는 하나 이상의 네트워크 기능 서비스 소비자 엔티티의 파라미터 정보를 포함할 수 있으므로, 기술 솔루션의 유연성 및 신뢰성이 효과적으로 개선된다.
제1 정보에 포함된 정보는 제2 정보에 포함된 정보와 일대일로 대응한다는 점에 유의해야 한다.
예를 들어, 제1 정보가 제1 네트워크 기능 인스턴스 식별자를 포함할 때, 제2 정보는 제2 네트워크 기능 인스턴스 식별자를 포함한다. 다른 예를 들어, 제1 정보가 제1 독립형 비공개 네트워크 식별자 및 제1 공중 육상 이동 네트워크 식별자를 포함할 때, 제2 정보는 제2 독립형 비공개 네트워크 식별자 및 제2 공중 육상 이동 네트워크 식별자를 포함한다. 또 다른 예를 들어, 제1 정보가 제1 공중 육상 이동 네트워크 식별자, 제1 독립형 비공개 네트워크 식별자 및 제1 네트워크 기능 인스턴스 식별자를 포함할 때, 제2 정보는 제2 공중 육상 이동 네트워크 식별자, 제2 독립형 비공개 네트워크 식별자 및 제2 네트워크 기능 인스턴스 식별자를 포함한다.
네트워크 저장소 기능 네트워크 요소가 검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정하는 복수의 특정 구현이 있으며, 다음 2개의 구현을 포함하지만 이에 제한되지 않음을 이해해야 한다.
구현 1: 제1 정보가 제2 정보와 동일하다고 결정하면, 네트워크 저장소 기능 네트워크 요소는 제1 정보가 제2 정보와 일치한다고 결정한다.
예를 들어, 제1 정보가 제1 공중 육상 이동 네트워크 식별자이고, 제2 정보가 제2 공중 육상 이동 네트워크 식별자일 때, 제1 공중 육상 이동 네트워크 식별자가 제2 공중 육상 이동 네트워크 식별자와 동일한 경우, 예를 들어, 둘 다 1인 경우, 네트워크 저장소 기능 네트워크 요소는 제1 정보가 제2 정보와 일치한다고 결정한다.
구현 2: 제1 정보가 제2 정보의 서브세트라고 결정하면, 네트워크 저장소 기능 네트워크 요소는 제1 정보가 제2 정보와 일치한다고 결정한다.
예를 들어, 제1 정보가 제1 독립형 비공개 네트워크 식별자이고, 제2 정보는 제2 독립형 비공개 네트워크 식별자이며, 제1 독립형 비공개 네트워크 식별자는 1이고, 제2 독립형 비공개 네트워크 식별자는 {1, 2, 4}일 때, 제1 독립형 비공개 네트워크 식별자는 제2 독립형 비공개 네트워크 식별자의 서브세트이며, 네트워크 저장소 기능 네트워크 요소는 제1 정보가 제2 정보와 일치한다고 결정한다.
전술한 기술 솔루션에서, 네트워크 저장소 기능 네트워크 요소는 제1 정보와 제2 정보 사이의 일치 관계를 복수의 방식으로 검증할 수 있으므로, 본 출원의 이 실시예에서 제공되는 기술 솔루션의 유연성이 더욱 향상된다.
가능한 설계에서, 토큰을 수신한 후, 제1 네트워크 요소는 네트워크 기능 서비스 제공자 엔티티로 제1 서비스 요청을 더 전송할 수 있으며, 제1 서비스 요청은 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공하도록 네트워크 기능 서비스 제공자 엔티티에 요청하기 위한 것이고, 제1 서비스 요청은 토큰 및 어서션을 포함하며, 토큰은 제1 네트워크 기능 인스턴스 식별자를 포함하고, 어서션은 제2 네트워크 기능 인스턴스 식별자를 더 포한다. 제1 서비스 요청을 수신한 후, 네트워크 기능 서비스 제공자 엔티티는 검증을 통해 제1 네트워크 기능 인스턴스 식별자가 제2 네트워크 기능 인스턴스 식별자와 동일한지 여부를 결정하고, 제1 네트워크 기능 인스턴스 식별자가 제2 네트워크 기능 인스턴스 식별자와 동일하다고 결정한 후, 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공할 수 있다.
전술한 기술 솔루션에서, 네트워크 기능 서비스 제공자 엔티티는 서비스 요청으로 전달된 토큰의 네트워크 기능 인스턴스 식별자와 어서션으로 전달된 네트워크 기능 인스턴스 식별자를 검증한다. 이를 통해 서비스 요청에 있는 토큰과 어서션 간의 일치를 보장하고, 공격자가 불법적으로 토큰을 도용하고 또한 불법적으로 네트워크 기능 서비스를 얻는 경우를 방지한다. 따라서, 네트워크 기능 서비스를 사용하는 보안이 효과적으로 향상된다.
제1 네트워크 요소는 서비스 통신 프록시 네트워크 요소일 수 있거나 네트워크 기능 서비스 소비자 엔티티일 수 있음에 유의해야 한다. 이는 본 출원의 이 실시예에서 특별히 제한되지 않는다.
가능한 설계에서, 제1 네트워크 요소는 서비스 통신 프록시 네트워크 요소이고, 서비스 통신 프록시 네트워크 요소가 네트워크 저장소 기능 네트워크 요소에 제1 토큰 요청을 전송하기 전에, 서비스 통신 프록시 네트워크 요소는 네트워크 기능 서비스 소비자 엔티티로부터 제2 토큰 요청 또는 제2 서비스 요청을 더 수신할 수 있고, 제2 토큰 요청 또는 제2 서비스 요청은 인증서를 포함한다. 그런 다음, 서비스 통신 프록시 네트워크 요소는 인증서와 연관된 제1 전체 주소 도메인 이름(FQDN) 및 제3 네트워크 기능 인스턴스 식별자를 획득하고, 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치한다고 결정한다.
가능한 설계에서, 제1 네트워크 요소는 서비스 통신 프록시 네트워크 요소이고, 토큰을 수신한 후, 제1 네트워크 요소는 또한 토큰을 네트워크 기능 서비스 소비자 엔티티로 전송하고, 네트워크 기능 서비스 소비자 엔티티로부터 제1 서비스 요청을 수신할 수 있으며, 제1 서비스 요청은 인증서를 포함한다. 그런 다음, 서비스 통신 프록시 네트워크 요소는 인증서와 연관된 제1 FQDN 및 제3 네트워크 기능 인스턴스 식별자를 획득하고, 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치한다고 결정한 후, 네트워크 기능 서비스 제공자 엔티티로 제1 서비스 요청을 전송한다.
서비스 통신 프록시 네트워크 요소가 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치한다고 결정하는 복수의 구현이 있으며, 다음 2개의 구현을 포함하지만 이에 제한되지 않는다.
구현 1: 서비스 통신 프록시 네트워크 요소는 네트워크 저장소 기능 네트워크 요소로부터 FQDN과 네트워크 기능 인스턴스 식별자 간의 바인딩 관계를 획득하고, 바인딩 관계에 기초하여 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치하는지 여부를 결정한다.
구현 2: 서비스 통신 프록시 네트워크 요소는 제1 전체 주소 도메인 이름(FQDN) 및 제3 네트워크 기능 인스턴스 식별자를 네트워크 저장소 기능 네트워크 요소로 전송하고, 네트워크 저장소 기능 네트워크 요소는 네트워크 저장소 기능 네트워크 요소에 의해 로컬로 저장된 바인딩 관계 또는 인증서 관리 기관 엔티티로부터 획득된 바인딩 관계에 기초하여 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치하는지 여부를 결정한다.
전술한 기술 솔루션에서, 네트워크 기능 서비스 제공자 엔티티로 서비스 요청을 전송하기 전에, 서비스 통신 프록시 네트워크 요소는 먼저 네트워크 기능 서비스 소비자 엔티티의 어서션 내의 인증서와 연관된 FQDN과 제3 네트워크 기능 인스턴스 식별자 간의 일치 관계를 검증하고, 검증이 성공한 후에만 서비스 요청을 네트워크 기능 서비스 제공자 엔티티로 보낸다. 따라서, 공격자가 어서션을 불법적으로 도용하고 추가로 네트워크 기능 서비스를 불법적으로 획득하는 경우를 피할 수 있으므로, 네트워크 기능 서비스를 사용하는 보안이 효과적으로 향상된다.
가능한 설계에서, 제1 네트워크 요소는 네트워크 기능 서비스 소비자 엔티티이고, 제1 네트워크 요소가 네트워크 기능 서비스 제공자 엔티티로 제1 서비스 요청을 전송하는 특정 구현은 다음과 같을 수 있다: 네트워크 기능 서비스 소비자 엔티티는 서비스 통신 프록시 네트워크 요소를 사용하여 네트워크 기능 서비스 제공자 엔티티에 제1 서비스 요청을 전송하며, 제1 서비스 요청은 인증서를 포함한다. 서비스 통신 프록시 네트워크 요소는 제1 네트워크 요소로부터 제1 서비스 요청을 수신하고, 제1 서비스 요청을 수신한 후, 인증서와 연관된 제1 전체 주소 도메인 이름(FQDN) 및 제3 네트워크 기능 인스턴스 식별자를 추가로 획득할 수 있으며, 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치한다고 결정한 후, 제1 서비스 요청을 네트워크 기능 서비스 제공자 엔티티로 전송한다.
전술한 기술 솔루션에서, 네트워크 기능 서비스 제공자 엔티티에 서비스 요청을 전송하기 전에, 서비스 통신 프록시 네트워크 요소는 먼저 네트워크 기능 서비스 제공자 엔티티의 어서션 내의 인증서와 연관된 제1 FQDN과 제3 네트워크 기능 인스턴스 식별자 간의 일치 관계를 검증하고, 검증이 성공한 후에만 서비스 요청을 네트워크 기능 서비스 제공자 엔티티로 보낸다. 따라서, 공격자가 어서션을 불법적으로 도용하고 추가로 네트워크 기능 서비스를 불법적으로 획득하는 경우를 피할 수 있으므로, 네트워크 기능 서비스를 사용하는 보안이 효과적으로 향상된다.
가능한 설계에서, 제1 토큰 요청을 수신한 후 및 토큰을 제1 네트워크 요소로 전송하기 전에, 네트워크 저장소 기능 네트워크 요소는 인증서와 연관된 제1 전체 주소 도메인 이름(FQDN)과 제3 네트워크 기능 인스턴스 식별자를 획득할 수 있고, 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치하고 제1 정보가 제2 정보와 일치한다고 결정한다.
전술한 기술 솔루션에서, 토큰을 제1 네트워크 요소로 반환하기 전에, 네트워크 저장소 기능 네트워크 요소는 먼저 네트워크 기능 서비스 소비자 엔티티의 어서션 내의 인증서와 연관된 제1 FQDN과 제3 네트워크 기능 인스턴스 식별자 간의 일치 관계 및 토큰 요청 내의 제1 정보와 제2 정보 간의 일치 관계를 검증하고, 검증이 성공한 후에만 토큰을 반환한다. 서비스 통신 프록시 네트워크 요소는 토큰을 수신한 후에만 서비스 요청을 개시할 수 있다. 따라서, 공격자가 어서션을 불법적으로 도용하고 추가로 네트워크 기능 서비스를 불법적으로 획득하는 경우를 피할 수 있으므로, 네트워크 기능 서비스를 사용하는 보안이 효과적으로 향상된다.
가능한 설계에서, 네트워크 저장소 기능 네트워크 요소로 제1 토큰 요청을 전송하기 전에, 네트워크 기능 서비스 소비자 엔티티는 인증서 관리 기관 엔티티로 인증서 신청 요청을 더 전송할 수 있으며, 인증서 신청 요청은 인증서 템플릿을 포함하고, 인증서 템플릿은 제1 FQDN과 제2 정보를 포함한다. 인증서 신청 요청을 수신한 후, 인증서 관리 기관 엔티티는 제1 FQDN 및 제2 정보에 기초하여 인증서를 생성할 수 있고, 인증서를 네트워크 기능 서비스 소비자 엔티티로 전송할 수 있으며, 인증서는 제1 FQDN을 포함한다.
전술한 기술 솔루션에서, 네트워크 기능 서비스 소비자 엔티티는 인증서 신청 요청에 제1 FQDN 및 제2 정보를 포함하여 인증서가 보다 풍부한 정보를 포함하도록 한다. 이는 인증서 정보 검증의 신뢰성을 효과적으로 향상시킨다.
가능한 설계에서, 인증서 관리 기관 엔티티는 또한 인증서 템플릿에 있는 제1 FQDN와 제2 정보의 제3 네트워크 기능 인스턴스 식별자에 기초하여 제1 FQDN과 제3 네트워크 기능 인스턴스 식별자 간의 바인딩 관계를 생성하고, 바인딩 관계를 저장할 수 있다.
전술한 기술 솔루션에서, 인증서 관리 기관 엔티티는 제1 FQDN과 제3 네트워크 기능 인스턴스 식별자 간의 바인딩 관계를 생성한다. 이는 인증서 검증의 신뢰성을 더욱 향상시키고, 공격자가 어서션을 불법적으로 도용하고 나아가 불법적으로 서비스를 획득하는 경우를 효과적으로 방지한다.
가능한 설계에서, 네트워크 기능 서비스 소비자 엔티티로부터 제1 서비스 요청을 수신하거나 네트워크 기능 서비스 제공자 엔티티로부터 서비스 등록 요청을 수신한 후, 네트워크 저장소 기능 네트워크 요소는 또한 인증서 관리 기관 엔티티로부터 바인딩 관계를 획득할 수 있다.
전술한 기술 솔루션에서, 네트워크 기능 서비스 소비자 엔티티로부터 제1 서비스 요청을 수신하거나 네트워크 기능 서비스 제공자 엔티티로부터 서비스 등록 요청을 수신한 후에만, 네트워크 저장소 기능 네트워크 요소는 인증서 관리 기관 엔티티로부터 바인딩 관계를 획득하고, 바인딩 관계를 로컬로 저장할 필요가 없으므로, 네트워크 저장소 기능 네트워크 요소의 저장 자원이 효과적으로 감소한다.
제2 양상에 따르면, 서비스 인가 방법이 제공된다. 방법은 네트워크 저장소 기능 네트워크 요소에 적용될 수 있거나, 네트워크 저장소 기능 네트워크 요소 내부의 칩에 적용될 수 있다. 예를 들어, 이 방법은 네트워크 저장소 기능 네트워크 요소에 적용될 수 있으며, 이 방법은:
제1 네트워크 요소로부터 제1 토큰 요청을 수신하는 단계 - 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 어서션은 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하며, 인증서는 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 와, 검증을 통해, 제1 정보가 제2 정보와 일치하는지 여부를 결정하고, 제1 정보가 제2 정보와 일치한다고 결정한 후, 토큰을 생성하며, 제1 네트워크 요소로 토큰을 전송하는 단계를 포함한다.
가능한 설계에서, 제1 토큰 요청을 수신한 후 및 토큰을 제1 네트워크 요소로 전송하기 전에, 네트워크 저장소 기능 네트워크 요소는 또한 인증서와 연관된 제1 FQDN 및 제3 네트워크 기능 인스턴스 식별자를 획득하고, 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치하고 제1 정보가 제2 정보와 일치한다고 결정할 수 있다.
가능한 설계에서, 네트워크 저장소 기능 네트워크 요소가 검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정하는 복수의 구현이 있으며, 다음 2개의 구현을 포함하지만 이에 제한되지 않는다.
구현 1: 제1 정보가 상기 제2 정보와 동일한 경우, 제1 정보가 제2 정보와 일치한다고 결정된다.
구현 2: 제1 정보가 제2 정보의 서브세트라고 결정되는 경우, 제1 정보가 제2 정보와 일치한다고 결정된다.
가능한 설계에서, 네트워크 기능 서비스 소비자 엔티티로부터 제1 서비스 요청을 수신하거나 네트워크 기능 서비스 제공자 엔티티로부터 서비스 등록 요청을 수신한 후, 네트워크 저장소 기능 네트워크 요소는 인증서 관리 기관으로부터 FQDN과 네트워크 기능 인스턴스 식별자 간의 바인딩 관계를 획득할 수 있다.
제3 양상에 따르면, 서비스 인가 방법이 제공된다. 방법은 제1 네트워크 요소에 적용될 수 있거나 제1 네트워크 요소 내부의 칩에 적용될 수 있다. 예를 들어, 이 방법은 제1 네트워크 요소에 적용될 수 있으며, 이 방법은:
네트워크 저장소 기능 네트워크 요소로 제1 토큰 요청을 전송하는 단계 - 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 어서션은 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하며, 인증서는 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 와, 네트워크 저장소 기능 네트워크 요소로부터 토큰을 수신하는 단계를 포함한다.
가능한 설계에서, 토큰을 수신한 후, 제1 네트워크 요소는 또한 네트워크 기능 서비스 제공자 엔티티로 제1 서비스 요청을 전송할 수 있고, 제1 서비스 요청은 토큰 및 어서션을 포함하고, 토큰은 제1 네트워크 기능 인스턴스 식별자를 포함하며, 어서션은 제2 네트워크 기능 인스턴스 식별자를 더 포함하고, 제1 서비스 요청은 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공하도록 네트워크 기능 서비스 제공자 엔티티에 요청하기 위한 것이다.
가능한 설계에서, 제1 네트워크 요소는 서비스 통신 프록시 네트워크 요소이고, 네트워크 저장소 기능 네트워크 요소에 제1 토큰 요청을 전송하기 전에, 방법은, 네트워크 기능 서비스 소비자 엔티티로부터 제2 토큰 요청 또는 제2 서비스 요청을 수신하는 단계 - 제2 토큰 요청 또는 제2 서비스 요청은 인증서를 포함함 - 와, 인증서와 연관된 제1 전체 주소 도메인 이름(FQDN) 및 제3 네트워크 기능 인스턴스 식별자를 획득하는 단계와, 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치한다고 결정하는 단계를 더 포함한다.
가능한 설계에서, 제1 네트워크 요소는 네트워크 기능 서비스 소비자 엔티티이고, 토큰을 수신한 후, 네트워크 기능 서비스 소비자 엔티티는 서비스 통신 프록시 네트워크 요소를 사용함으로써 네트워크 기능 서비스 제공자 엔티티에 제1 서비스 요청을 더 전송할 수 있으며, 제1 서비스 요청은 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공하도록 네트워크 기능 서비스 제공자 엔티티에 지시한다.
가능한 설계에서, 제1 네트워크 요소가 네트워크 기능 서비스 소비자 엔티티인 경우, 네트워크 저장소 기능 네트워크 요소로 제1 토큰 요청을 전송하기 전에, 네트워크 기능 서비스 소비자 엔티티는 인증서 관리 기관에 인증서 신청 요청을 더 전송할 수 있고, 인증서 신청 요청은 인증서 템플릿을 포함하고, 인증서 템플릿은 제1 FQDN 및 제2 정보를 포함한다.
제4 양상에 따르면, 서비스 인가 방법이 제공된다. 방법은 네트워크 기능 서비스 제공자 엔티티에 적용될 수 있거나 네트워크 기능 서비스 제공자 엔티티 내부의 칩에 적용될 수 있다. 예를 들어, 이 방법은 네트워크 기능 서비스 제공자 엔티티에 적용될 수 있으며, 이 방법은:
제1 네트워크 요소로부터 제1 서비스 요청을 수신하는 단계 - 제1 서비스 요청은 토큰 및 어서션을 포함하고, 토큰은 제1 네트워크 기능 인스턴스 식별자를 포함하며, 어서션은 제2 네트워크 기능 인스턴스 식별자를 포함함 - 와, 검증을 통해, 제1 네트워크 기능 인스턴스 식별자가 제2 네트워크 기능 인스턴스 식별자와 일치하는지 여부를 결정하는 단계와, 제1 네트워크 기능 인스턴스 식별자가 제2 네트워크 기능 인스턴스 식별자와 일치한다고 결정한 후, 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공하는 단계를 포함한다.
제5 양상에 따르면, 통신 장치가 제공된다. 통신 장치는 제2 양상 또는 제2 양상의 가능한 구현 중 어느 하나에 따른 방법을 수행하도록 구성된 모듈을 포함한다.
예에서, 장치는,
제1 네트워크 요소로부터 제1 토큰 요청을 수신하도록 구성된 송수신기 유닛 - 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 어서션은 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하며, 인증서는 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 과,
검증을 통해, 제1 정보가 제2 정보와 일치하는지 여부를 결정하고, 제1 정보가 제2 정보와 일치한다고 결정한 후, 토큰을 생성하도록 구성된 처리 유닛을 포함하되,
송수신기 유닛은 제1 네트워크 요소로 토큰을 전송하도록 더 구성된다.
가능한 설계에서, 송수신기 유닛이 상기 제1 토큰 요청을 수신한 후 및 송수신기 유닛이 토큰을 제1 네트워크 요소로 전송하기 전에, 처리 유닛은, 인증서와 연관된 제1 FQDN 및 제3 네트워크 기능 인스턴스 식별자를 획득하고, 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치하고 제1 정보가 제2 정보와 일치한다고 결정하도록 더 구성된다.
가능한 설계에서, 검증을 통해, 제1 정보가 제2 정보와 일치하는지 여부를 결정하도록 구성될 때, 처리 유닛은, 제1 정보가 제2 정보와 동일한 경우, 제1 정보가 제2 정보와 일치한다고 결정하거나, 또는 제1 정보가 제2 정보의 서브세트라고 결정하는 경우, 제1 정보가 제2 정보와 일치한다고 결정하도록 더 구성된다.
제6 양상에 따르면, 통신 장치가 제공된다. 장치는 제3 양상 또는 제3 양상의 가능한 구현 중 어느 하나에 따른 방법을 수행하도록 구성된 모듈을 포함한다.
예에서, 장치는,
제1 토큰 요청을 생성하도록 구성된 처리 유닛 - 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 상기 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 어서션은 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하며, 인증서는 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 과,
네트워크 저장소 기능 네트워크 요소로 제1 토큰 요청을 전송하고, 네트워크 저장소 기능 네트워크 요소로부터 토큰을 수신하도록 구성된 송수신기 유닛을 포함할 수 있다.
가능한 설계에서, 토큰을 수신한 후, 송수신기 유닛은,
네트워크 기능 서비스 제공자 엔티티로 제1 서비스 요청을 전송하도록 더 구성되고, 제1 서비스 요청은 토큰 및 어서션을 포함하고, 토큰은 제1 네트워크 기능 인스턴스 식별자를 포함하며, 어서션은 제2 네트워크 기능 인스턴스 식별자를 더 포함하고,
제1 서비스 요청은 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공하도록 네트워크 기능 서비스 제공자 엔티티에 요청하기 위한 것이다.
가능한 설계에서, 제1 네트워크 요소는 서비스 통신 프록시 네트워크 요소이고, 네트워크 저장소 기능 네트워크 요소로 제1 토큰 요청을 전송하기 전에, 송수신기 유닛은, 네트워크 기능 서비스 소비자 엔티티로부터 제2 토큰 요청 또는 제2 서비스 요청을 수신하도록 더 구성되고, 제2 토큰 요청 또는 제2 서비스 요청은 인증서를 포함한다. 처리 유닛은, 인증서와 연관된 제1 전체 주소 도메인 이름(FQDN) 및 제3 네트워크 기능 인스턴스 식별자를 획득하고, 제1 FQDN이 제3 네트워크 기능 인스턴스 식별자와 일치한다고 결정하도록 더 구성된다.
제7 양상에 따르면, 통신 장치가 제공된다. 장치는 제4 양상 또는 제4 양상의 가능한 구현 중 어느 하나에 따른 방법을 수행하도록 구성된 모듈을 포함한다.
예에서, 장치는:
제1 네트워크 요소로부터 제1 서비스 요청을 수신하도록 구성된 송수신기 유닛 - 제1 서비스 요청은 토큰 및 어서션을 포함하고, 토큰은 제1 네트워크 기능 인스턴스 식별자를 포함하며, 어서션은 제2 네트워크 기능 인스턴스 식별자를 포함함 - 과,
검증을 통해, 제1 네트워크 기능 인스턴스 식별자가 제2 네트워크 기능 인스턴스 식별자와 일치하는지 여부를 결정하고, 제1 네트워크 기능 인스턴스 식별자가 제2 네트워크 기능 인스턴스 식별자와 일치한다고 결정한 후, 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공하도록 구성된 처리 유닛을 포함한다.
제8 양상에 따르면, 서비스 인가 시스템이 제공된다. 시스템은 제5 양상 또는 제5 양상의 가능한 구현 중 어느 하나에 따른 통신 장치 및 제6 양상 또는 제6 양상의 가능한 구현 중 어느 하나에 따른 통신 장치를 포함한다.
선택적으로, 시스템은 제7 양상에 따른 통신 장치를 더 포함한다.
제9 양상에 따르면, 적어도 하나의 프로세서, 및 적어도 하나의 프로세서에 통신 가능하게 연결된 메모리 및 통신 인터페이스를 포함하는 전자 디바이스가 제공된다. 메모리는 적어도 하나의 프로세서에 의해 실행될 수 있는 명령어를 저장하고, 적어도 하나의 프로세서는 메모리에 저장된 명령어를 실행하여, 전자 디바이스가 제2 양상 또는 제2 양상의 가능한 설계 중 어느 하나에 따른 방법, 제3 양상 또는 제3 양상의 가능한 설계 중 어느 하나에 따른 방법, 또는 제4 양상 또는 제4 양상의 가능한 설계 중 어느 하나에 따른 방법을 수행하도록 한다.
제10 양상에 따르면, 프로그램 또는 명령어를 포함하는 컴퓨터 판독가능 저장 매체가 제공된다. 프로그램 또는 명령어가 컴퓨터에서 실행될 때, 제2 양상 또는 제2 양상의 가능한 설계 중 어느 하나에 따른 방법, 제3 양상 또는 제3 양상의 가능한 설계 중 어느 하나에 따른 방법, 또는 제4 양상 또는 제4 양상의 가능한 설계 중 어느 하나에 따른 방법이 수행된다.
제11 양상에 따르면, 칩이 제공된다. 칩은 메모리에 결합되고, 메모리에 저장된 프로그램 명령어를 읽고 실행하도록 구성되어, 제2 양상 또는 제2 양상의 가능한 설계 중 어느 하나에 따른 방법, 제3 양상 또는 제3 양상의 가능한 설계 중 어느 하나에 따른 방법, 또는 제4 양상 또는 제4 양상의 가능한 설계 중 어느 하나에 따른 방법이 수행된다.
제12 양상에 따르면, 컴퓨터 프로그램 명령어가 제공된다. 컴퓨터 프로그램 명령어가 컴퓨터에서 실행될 때, 제2 양상 또는 제2 양상의 가능한 설계 중 어느 하나에 따른 방법, 제3 양상 또는 제3 양상의 가능한 설계 중 어느 하나에 따른 방법, 또는 제4 양상 또는 제4 양상의 가능한 설계 중 어느 하나에 따른 방법이 수행된다.
제2 양상 내지 제12 양상 중 어느 하나의 설계 솔루션에 의해 달성될 수 있는 기술적 효과에 대해서는 제1 양상 또는 제1 양상의 가능한 설계 중 어느 하나에 따른 방법에 의해 달성될 수 있는 기술적 효과를 참조한다. 자세한 내용은 여기서 다시 설명하지 않는다.
도 1은 본 출원의 실시예가 적용될 수 있는 통신 시스템의 구조의 개략도이다.
도 2는 본 출원의 실시예가 적용될 수 있는 특정 통신 시스템의 구조의 개략도이다.
도 3a는 본 출원의 실시예가 적용될 수 있는 애플리케이션 시나리오의 개략도이다.
도 3b는 본 출원의 실시예가 적용될 수 있는 다른 애플리케이션 시나리오의 개략도이다.
도 3c는 본 출원의 실시예가 적용될 수 있는 다른 애플리케이션 시나리오의 개략도이다.
도 4는 본 출원의 실시예에 따른 서비스 인가 방법의 개략적인 흐름도이다.
도 5는 서비스 인가 방법의 개략적인 흐름도이다.
도 6은 다른 서비스 인가 방법의 개략적인 흐름도이다.
도 7은 본 출원의 실시예에 따른 서비스 인가 방법의 개략적인 흐름도이다.
도 8은 다른 서비스 인가 방법의 개략적인 흐름도이다.
도 9는 본 출원의 실시예에 따른 서비스 인가 방법의 개략적인 흐름도이다.
도 10은 본 출원의 실시예에 따른 서비스 인가 방법의 개략적인 흐름도이다.
도 11은 본 출원의 실시예에 따른 인증서 애플리케이션의 개략적인 흐름도이다.
도 12는 본 출원의 실시예에 따른 NRF에 의한 바인딩 관계 획득 방법의 개략적인 흐름도이다.
도 13은 본 출원의 실시예에 따른 서비스 인가 방법의 흐름도이다.
도 14는 본 출원의 실시예에 따른 서비스 인가 방법의 흐름도이다.
도 15는 본 출원의 실시예에 따른 다른 서비스 인가 방법의 흐름도이다.
도 16은 본 출원의 실시예에 따른 서비스 인가 방법의 흐름도이다.
도 17은 본 출원의 실시예에 따른 통신 장치의 구조의 개략도이다.
도 18은 본 출원의 실시예에 따른 통신 장치의 구조의 개략도이다.
도 19는 본 출원의 실시예에 따른 통신 장치의 구조의 개략도이다.
도 20은 본 출원의 실시예에 따른 전자 디바이스의 구조의 개략도이다.
도 2는 본 출원의 실시예가 적용될 수 있는 특정 통신 시스템의 구조의 개략도이다.
도 3a는 본 출원의 실시예가 적용될 수 있는 애플리케이션 시나리오의 개략도이다.
도 3b는 본 출원의 실시예가 적용될 수 있는 다른 애플리케이션 시나리오의 개략도이다.
도 3c는 본 출원의 실시예가 적용될 수 있는 다른 애플리케이션 시나리오의 개략도이다.
도 4는 본 출원의 실시예에 따른 서비스 인가 방법의 개략적인 흐름도이다.
도 5는 서비스 인가 방법의 개략적인 흐름도이다.
도 6은 다른 서비스 인가 방법의 개략적인 흐름도이다.
도 7은 본 출원의 실시예에 따른 서비스 인가 방법의 개략적인 흐름도이다.
도 8은 다른 서비스 인가 방법의 개략적인 흐름도이다.
도 9는 본 출원의 실시예에 따른 서비스 인가 방법의 개략적인 흐름도이다.
도 10은 본 출원의 실시예에 따른 서비스 인가 방법의 개략적인 흐름도이다.
도 11은 본 출원의 실시예에 따른 인증서 애플리케이션의 개략적인 흐름도이다.
도 12는 본 출원의 실시예에 따른 NRF에 의한 바인딩 관계 획득 방법의 개략적인 흐름도이다.
도 13은 본 출원의 실시예에 따른 서비스 인가 방법의 흐름도이다.
도 14는 본 출원의 실시예에 따른 서비스 인가 방법의 흐름도이다.
도 15는 본 출원의 실시예에 따른 다른 서비스 인가 방법의 흐름도이다.
도 16은 본 출원의 실시예에 따른 서비스 인가 방법의 흐름도이다.
도 17은 본 출원의 실시예에 따른 통신 장치의 구조의 개략도이다.
도 18은 본 출원의 실시예에 따른 통신 장치의 구조의 개략도이다.
도 19는 본 출원의 실시예에 따른 통신 장치의 구조의 개략도이다.
도 20은 본 출원의 실시예에 따른 전자 디바이스의 구조의 개략도이다.
먼저, 이해를 돕기 위해 본 출원의 실시예에서 몇몇 용어가 설명된다.
(1) 인증서(certificate)는 디지털 인증서이며, 인증 기관(certificate authority, CA)에 의해 디지털 서명된 파일로서 공개 키 소유자 정보 및 공개 키를 포함한다. 인증서는 통신 당사자 간의 신원 인증을 위한 것이다. 인증서는 일반적으로 인증서 버전 번호(version), 일련 번호(serial number), 서명 알고리즘 식별자(signature), 발급자 이름(issuer), 사용자 공개 키 정보(subject public key info) 및 유효성(validity)과 같은 정보를 포함하며, 발급자 식별자(issuer unique identifier), 사용자 식별자(subject unique identifier), 기타 확장 정보(extensions)도 포함할 수 있다. 본 출원의 실시예는 NF 서비스 소비자 엔티티의 인증서에 관한 것이다. 인증서는 애플리케이션 계층 인증서일 수 있고, 전송 계층 보안(transport layer security, TLS) 인증서일 수 있으며, 애플리케이션 계층과 전송 계층이 공유하는 인증서일 수도 있다.
(2) 줄여서 "NFc 엔티티" 또는 "NFc"로 지칭되는 네트워크 기능 서비스 소비자(network function service consumer, NFc) 엔티티는 구체적으로 서비스 기반 아키텍처, 예를 들어, 세션 관리 기능(session management function, SMF) 네트워크 요소, 액세스 및 이동성 관리 기능(access and mobility management function, AMF) 네트워크 요소 또는 인증 서버 기능(Authentication Server Function, AUSF) 네트워크 요소에서 기능 서비스를 호출할 수 있는 NF일 수 있다.
(3) 줄여서 "NFp 엔티티" 또는 "NFp"로 지칭되는 네트워크 기능 서비스 제공자(network function service provider, NFp) 엔티티는 구체적으로 서비스 기반 아키텍처, 예를 들어, SMF 네트워크 요소, AUSF 네트워크 요소 또는 통합 데이터 관리(unified data management, UDM) 네트워크 요소에서 호출될 수 있는 기능 서비스를 갖는 NF일 수 있다.
(4) 줄여서 "NRF 네트워크 요소" 또는 "NRF"로 지칭되는 네트워크 저장소 기능(network repository function, NRF) 네트워크 요소는 특히 NF 서비스 등록, 검색, 상태 모니터링, 서비스 인가 등을 포함하는 NF 자동 관리, 선택 및 확장을 담당하도록 구성되어 네트워크 기능 및 서비스의 주문형 구성을 구현하고 NF 간의 상호 연결을 구현한다. 예를 들어, NRF는 토큰 생성 및 토큰 검증과 같은 기능을 갖는다.
(5) 줄여서 "SCP 네트워크 요소" 또는 "SCP"로 지칭되는 서비스 통신 프록시(service communication proxy, SCP) 네트워크 요소는 NF들 사이의 간접 통신을 위한 것일 수 있고, 로드 밸런싱 및 NF 선택을 구현하도록 더 구성될 수 있으며, NF 등록, 검색 및 서비스 인가와 같은 기능을 추가로 가질 수 있다.
몇몇 가능한 실시예에서, "네트워크 요소"라는 용어는 "엔티티", "디바이스" 등으로 대체될 수 있다. 예를 들어, "AMF 네트워크 요소"는 "AMF 엔티티" 또는 "AMF 디바이스"로 표기될 수도 있고, "SMF 네트워크 요소"는 "SMF 엔티티" 또는 "SMF 디바이스"로 표기될 수도 있다. 설명의 편의를 위해, "XXX 네트워크 요소"는 다음에서 일률적으로 "XXX"로 약칭된다. 예를 들어, "AUSF 네트워크 요소"도 "AUSF"로 약칭될 수 있고, "SMF 네트워크 요소"도 "SMF"로 약칭될 수 있다.
본 출원에서 용어로 나타낸 각각의 네트워크 요소는 물리적 개념일 수 있음을 이해해야 한다. 예를 들어, 네트워크 요소는 물리적으로 하나의 디바이스일 수 있거나, 적어도 두 개의 네트워크 요소가 동일한 물리적 디바이스에 통합될 수 있다. 이와 달리, 본 명세서에 나타난 네트워크 요소는 논리적 개념, 예를 들어, 각 네트워크 요소가 제공하는 서비스에 대응하는 소프트웨어 모듈 또는 네트워크 기능일 수 있다. 네트워크 기능은 가상화 구현에서 가상화 기능으로 이해될 수 있고, 서비스 기반 아키텍처에서 서비스를 제공하는 네트워크 기능으로 이해될 수도 있다.
본 출원의 실시예에서, "적어도 하나"라는 용어는 하나 이상을 나타내고, "복수의"는 둘 이상을 나타낸다. "및/또는"이라는 용어는 연관된 객체를 기술하기 위한 연관 관계를 설명하며 세 가지 관계가 존재할 수 있음을 나타낸다. 예를 들어, A 및/또는 B는 다음 세 가지 경우를 나타낼 수 있다: A만 존재하고, A와 B가 모두 존재하며, B만 존재한다. A와 B는 각각 단수 또는 복수일 수 있다. 문자 "/"는 일반적으로 연결된 개체 간의 "또는" 관계를 나타낸다. 다음 항목(부분) 중 적어도 하나 또는 이와 유사한 표현은 단일 항목(부분) 또는 복수 항목(부분)의 임의의 조합을 포함하여 이러한 항목의 임의의 조합을 나타낸다. 예를 들어, a, b 또는 c 중 적어도 하나는 a, b, c, a 및 b, a 및 c, b 및 c, 또는 a, b 및 c를 나타낼 수 있다.
또한, 달리 언급하지 않는 한, 본 출원의 실시예에서 "제1" 및 "제2"와 같은 서수는 복수의 객체를 구별하기 위한 것이지, 복수의 객체의 순서, 시간 순서, 우선순위 또는 중요도를 제한하려는 것은 아니다. 예를 들어, 1순위 기준과 2순위 기준은 서로 다른 기준을 구분하는 데 사용될 뿐, 두 기준의 상이한 내용, 우선순위, 중요도 등을 나타내지는 않는다.
또한, 본 출원의 실시예, 청구범위 및 첨부 도면에서 "포함하다" 및 "갖다"라는 용어는 배타적이지 않다. 예를 들어, 일련의 단계 또는 모듈을 포함하는 프로세스, 방법, 시스템, 제품 또는 디바이스는 나열된 단계 또는 모듈에 한정되지 않고, 나열되지 않은 단계 또는 모듈을 더 포함할 수 있다.
본 출원의 실시예의 기술 솔루션은 다양한 통신 시스템, 예를 들어, 4세대(4th Generation, 4G) 통신 시스템, 5세대(5th Generation, 5G) 통신 시스템, 또 다른 미래 진화 시스템 또는 무선 액세스 기술을 사용하는 다양한 기타 무선 통신 시스템에 적용될 수 있다. 본 출원의 실시예의 기술 솔루션은 서비스 인증 또는 인가와 같은 요구사항을 가진 임의의 통신 시스템에 적용될 수 있다. 또한, 본 출원의 실시예에서 사용되는 네트워크 요소는 미래의 통신 시스템에서 상이한 이름을 가질 수 있다.
예를 들어, 도 1은 본 출원의 실시예가 적용될 수 있는 통신 시스템을 나타낸다. 통신 시스템은 제1 네트워크 요소, NRF 및 NFp를 포함한다.
제1 네트워크 요소는 NFc일 수 있다. NFc는 NRF로부터 NFp의 서비스 인가를 요청할 수 있으며, 예를 들어, NFp에 해당하는 토큰을 요청하고, NRF로부터 인가를 얻은 후(예를 들어, 토큰을 얻은 후) NFp로 서비스 요청을 개시할 수 있다.
제1 네트워크 요소는 이와 달리 NFc에 통신 가능하게 연결된 SCP일 수 있다. SCP는 NFc의 일부 기능에 대한 프록시 역할을 하거나 또는 NFc에 대한 프록시 역할을 하여 방법을 실행할 수 있다. 예를 들어, SCP는 NFc에 대한 프록시로서 NRF로부터 NFp의 서비스 인가를 요청하거나 NFc에 대한 프록시로서 NFp에 대한 서비스 요청을 개시할 수 있다.
실제 적용 동안, 도 1에 도시된 통신 시스템이 더 많은 네트워크 요소를 더 포함할 수 있다는 것을 이해해야 한다.
예를 들어, 도 2는 본 출원의 실시예가 적용될 수 있는 구체적인 통신 시스템을 나타낸다. 통신 시스템은 코어 네트워크(core network, CN)를 포함한다. 베어러 네트워크로서, CN은 데이터 네트워크(data network, DN)에 대한 인터페이스를 제공하고, 단말 디바이스에 통신 연결, 인증, 관리, 정책 제어, 데이터 서비스 베어러 등을 제공한다. CN은 다음 네트워크 요소를 포함할 수 있다: SMF 네트워크 요소, AMF 네트워크 요소, UDM 네트워크 요소, AUSF 네트워크 요소, 정책 제어 기능(policy control function, PCF) 네트워크 요소, 사용자 평면 기능(user plane function, UPF) 네트워크 요소, 네트워크 슬라이스 선택 기능(network slice selection function, NSSF) 네트워크 요소, 네트워크 노출 기능(network exposure function, NEF) 네트워크 요소, NRF, 애플리케이션 기능(application function, AF) 네트워크 요소 등.
CN은 하나 이상의 CN 디바이스를 포함할 수 있다는 점에 유의해야 한다. CN 디바이스는 전술한 단일 네트워크 기능을 수행하도록 구성된 네트워크 요소일 수 있거나 또는 전술한 복수의 네트워크 기능을 수행하도록 구성된 네트워크 요소일 수 있다. 하나의 CN 디바이스가 복수의 네트워크 기능을 수행하도록 구성된 경우, CN 디바이스는 복수의 네트워크 기능을 수행하도록 구성된 하나 이상의 기능 모듈을 포함할 수 있다. 기능 모듈은 소프트웨어 모듈일 수 있나 소프트웨어/하드웨어 모듈일 수 있다. 이것은 본 출원의 실시예에서 제한되지 않는다.
AMF, SMF, AUSF, UDM, NEF, PCF, AF, NSSF 등은 서비스 기반 인터페이스를 사용하여 서로 상호작용할 수 있음에 유의해야 한다. 예를 들어, 도 1에 도시된 바와 같이, Namf, Nsmf, Nausf, Nudm, Nnef, Npcf, Naf, Nnssf 및 Nnrf는 각각 AMF, SMF, AUSF, UDM, NEF, PCF, AF, NSSF 및 NRF에 의해 제시된 서비스 기반 인터페이스이다. N1과 N2는 각각 SMF와 UPF 사이의 서비스 기반 인터페이스와 UPF와 DN 사이의 서비스 기반 인터페이스이다.
도 1의 제1 네트워크 요소는 구체적으로 도 2의 SCP, SMF, AMF 등일 수 있다. 도 1의 NRF는 구체적으로 도 2의 NRF일 수 있다. 도 1의 NFp는 구체적으로 도 2의 SMF, UDM 등일 수 있다.
도 2는 이해의 편의를 위한 예의 단순화된 개략도일 뿐이라는 것을 이해해야 한다. 통신 시스템은 더 많은 네트워크 요소 또는 디바이스를 더 포함할 수 있다. 예를 들어, 선택적으로, 통신 시스템은 단말 디바이스를 더 포함한다. 선택적으로, 통신 시스템은 RAN을 더 포함한다.
단말이라고도 하는 단말 디바이스는 사용자에게 음성 및/또는 데이터 연결을 제공하는 디바이스장치를 포함할 수 있으며, 예를 들어 무선 연결 기능을 가진 핸드헬드 디바이스 또는 무선 모뎀에 연결된 처리 디바이스를 포함할 수 있다. 단말 디바이스는 무선 액세스 네트워크(radio access network, RAN)를 통해 코어 네트워크와 통신할 수 있고, RAN과 음성 및/또는 데이터를 교환할 수 있다. 단말 디바이스는 사용자 장비(user equipment, UE), 무선 단말 디바이스, 모바일 단말 디바이스, 디바이스 대 디바이스치(device-to-device, D2D) 통신 단말 디바이스, V2X 단말 디바이스, 기계 대 기계/기계형 통신(machine-to-machine/machine-type communication, M2M/MTC) 단말 디바이스, 사물 인터넷(internet of things, IoT) 단말 디바이스, 가입자 유닛(subscriber unit), 가입자국(subscriber station), 이동국(mobile station), 원격국(remote station), 액세스 포인트(access point, AP), 원격 단말(remote terminal), 액세스 단말(access terminal), 사용자 단말(user terminal), 사용자 에이전트(user agent), 사용자 디바이스(user device) 등일 수 있다. 예를 들어, 단말 디바이스는 모바일폰(또는 "셀룰러" 폰으로 지칭됨), 모바일 단말 디바이스를 갖춘 컴퓨터, 휴대용, 포켓 크기, 핸드헬드 또는 컴퓨터 내장형 모바일 장치를 포함할 수 있다. 예를 들어, 단말 디바이스는 개인 통신 서비스(personal communication service, PCS) 폰, 무선 전화기 세트, 세션 개시 프로토콜(session initiation protocol, SIP) 폰, 무선 로컬 루프(wireless local loop, WLL) 스테이션 또는 개인 휴대 정보 단말기(personal digital assistant, PDA)와 같은 디바이스일 수 있다. 단말 디바이스는 이와 달리 제한된 디바이스, 예를 들어, 상대적으로 전력 소비가 적은 디바이스, 저장 능력이 제한된 디바이스 또는 컴퓨팅 능력이 제한된 디바이스를 포함할 수 있다. 예를 들어, 단말 디바이스는 바코드, 무선 주파수 식별(radio frequency identification, RFID), 센서, 글로벌 포지셔닝 시스템(global positioning system, GPS) 또는 레이저 스캐너와 같은 정보 감지 디바이스를 포함한다.
제한 대신에 예로서, 본 출원의 실시예에서, 단말 디바이스는 이와 달리 웨어러블 디바이스일 수 있다. 웨어러블 디바이스는 웨어러블 지능형 디바이스, 지능형 웨어러블 디바이스 등으로도 지칭될 수 있으며, 예컨대, 안경, 장갑, 시계, 옷 및 신발과 같이 웨어러블 기술을 이용하여 일상 착용을 위해 지능적으로 설계 및 개발된 웨어러블 디바이스의 총칭이다. 웨어러블 디바이스는 사용자의 신체에 직접 착용하거나 옷이나 악세서리에 통합될 수 있는 휴대용 디바이스이다. 웨어러블 디바이스는 하드웨어 디바이스일 뿐만 아니라 소프트웨어 지원, 데이터 교환 및 클라우드 상호작용을 통해 강력한 기능도 구현한다. 넓은 의미에서, 웨어러블 지능형 디바이스는 예컨대, 스마트 워치나 스마트 글래스와 같이 스마트폰에 의존하지 않고 기능의 전부 또는 일부를 구현할 수 있는 전기능 및 대형 디바이스를 포함하며, 물리적 사인 모니터링을 위한 다양한 스마트 밴드, 스마트 헬멧 또는 스마트 주얼리와 같이 단 하나의 유형의 애플리케이션 기능에 전용이고 스마트폰과 같은 다른 디바이스와의 협업이 필요한 디바이스를 포함한다.
전술한 다양한 단말 디바이스가 차량에 위치하는 경우(예를 들어, 차량에 배치되거나 차량에 설치됨), 단말 디바이스는 모두 차량 탑재 단말 디바이스로 간주될 수 있다. 예를 들어, 차량 탑재 단말 디바이스는 온보드 유닛(on-board unit, OBU)이라고도 한다.
RAN은 주로 UE의 액세스를 담당한다. RAN 디바이스는 통신 시스템의 네트워크 측에 위치하며 무선 송수신기 기능을 갖는 디바이스이거나 디바이스에 배치될 수 있는 칩이다. 액세스 네트워크 디바이스는 진화된 NodeB(evolved node B, eNB), 무선 네트워크 제어기(radio network controller, RNC), NodeB(node B, NB), 기지국 제어기(base station controller, BSC), 기지국 송수신기(base transceiver station, BTS), 홈 기지국(예를 들어, 홈 진화 nodeB, 또는 홈 nodeB, HNB), 베이스밴드 유닛(base band unit, BBU), 무선 충실도(wireless fidelity, Wi-Fi) 시스템의 액세스 포인트(access point, AP), 무선 중계 노드, 무선 백홀 노드, 송신 수신 포인트(송수신 포인트(TRP) 또는 송신 포인트(TP)) 등을 포함하지만, 이에 제한되지 않는다. 이와 달리, 액세스 네트워크 디바이스는 뉴 라디오(new radio, NR) 시스템과 같은 5G 시스템에서 gNB 또는 송신 포인트(TRP 또는 TP), 또는 5G 시스템에서 기지국의 하나의 안테나 패널 또는 안테나 패널 그룹(복수의 안테나 패널을 포함함)일 수 있거나 또는 gNB 또는 송신 포인트를 구성하는 베이스밴드 유닛(BBU) 또는 분산 유닛(distributed unit, DU)과 같은 네트워크 노드일 수 있다.
본 출원의 실시예는 NFc가 서비스 기반 아키텍처에서 대응하는 NFp로부터 서비스를 요청하기 위해 NRF로부터 토큰을 획득하는 시나리오에 적용될 수 있다.
도 3a 내지 도 3c는 본 출원의 실시예에 따른 몇 가지 가능한 특정 애플리케이션 시나리오를 보여준다.
도 3a에 도시된 바와 같이, SCP는 NRF로부터 NFc에 대한 프록시로서 NFp로부터 서비스를 요청하기 위한 토큰을 요청한다. NRF는 해당 토큰을 생성하고 SCP를 통해 NFc에 토큰을 반환한다. SCP는 NFc에 대한 프록시로서 NFp로 서비스 요청을 보낸다. NFp는 서비스 요청을 수신하고 SCP를 통해 NFc에 서비스 응답을 반환한다.
도 3b에 도시된 바와 같이, NFc는 SCP에 서비스 요청을 전송하여, SCP는 NFc에 대한 프록시로서 NFp로부터 서비스를 요청하기 위한 토큰을 얻기 위해 NRF에 대한 토큰 요청을 개시한다. NRF는 해당 토큰을 생성하고 토큰을 SCP로 반환한다. SCP는 NFc에 대한 프록시로서 NFp에 서비스 요청을 보낸다. NFp는 서비스 요청을 수신하고 SCP를 통해 NFc에 서비스 응답을 반환한다.
도 3c에 도시된 바와 같이, NFc는 NFp로부터 서비스를 요청하기 위한 토큰을 NRF에 직접 요청한다. NRF는 해당 토큰을 생성하고 토큰을 NFc에 반환한다. NFc에 대한 프록시로서, SCP는 NFp에 서비스 요청을 보낸다. NFp는 서비스 요청을 수신하고, SCP를 통해 NFc에 서비스 응답을 반환한다.
전술한 몇몇 시나리오는 제한이 아니라 예일 뿐임을 이해해야 한다.
첨부 도면을 참조하여, 다음은 본 출원의 실시예에서 제공되는 서비스 인가 방법을 설명한다.
eSBA 또는 SBA에서, NFc로부터 토큰 요청을 수신한 후, NRF는 일반적으로 표 1에 도시된 NFc의 프로파일에 기초하여 토큰 요청으로 전달된 파라미터를 검증하여 NFc가 NRF로부터 인가를 얻기 위해 NFc의 파라미터를 악의적으로 보고하지 못하게 한다. 예를 들어, 토큰 요청으로 전달된 단일 네트워크 슬라이스 선택 지원 정보(single-networkslice selection assistance information, S-NSSAI)를 검증하여 NFc의 유효성을 검증한다. 그러나, NRF는 일부 NFc(예컨대, NRF에 등록되지 않은 NFc)의 프로파일을 저장하지 않는다. 그 결과, NRF는 NFc의 파라미터를 검증할 수 없다.
단일 네트워크 슬라이스 선택 지원 정보 식별자 |
전체 주소 도메인 이름 |
독립형 비공개 네트워크 식별자 |
전술한 기술적 문제에 대해, 본 출원의 실시예는 서비스 인가 방법을 제공한다. 방법은 도 1에 도시된 통신 시스템에 적용될 수 있다.
도 4를 참조하면, 방법은 다음 절차를 포함한다.
S401: 제1 네트워크 요소는 NRF에 제1 토큰 요청을 전송하고, NRF는 제1 네트워크 요소로부터 제1 토큰 요청을 수신한다.
본 출원의 이 실시예에서 제1 네트워크 요소는 NFc일 수 있거나 SCP일 수 있다. 이는 본 출원의 이 실시예에서 특별히 제한되지 않는다.
본 출원의 이 실시예에서 NFc는 기능 서비스를 호출할 수 있는 임의의 네트워크 요소, 예를 들어, 도 2의 SMF 또는 AMF일 수 있다. 이는 본 명세서에서 제한되지 않는다.
제1 토큰 요청은 NFc의 제1 정보 및 NFc의 어서션(assertion)을 포함한다. 어서션은 NFc의 인증서를 포함하고, 인증서는 NFc의 제2 정보를 포함한다.
제1 정보는 다음 중 하나 이상을 포함할 수 있다:
(1) 제1 공중 육상 이동 네트워크 식별자(public land mobile network identifier, PLMN-ID);
(2) 제1 독립형 비공개 네트워크 식별자(stand-alone non-public network identifier, SNPN-ID);
(3) 제1 단일 네트워크 슬라이스 선택 지원 정보 식별자(single-network slice selection assistance information identifier, S-NSSAI ID);
(4) 제1 네트워크 기능 인스턴스 식별자(network function instance identifier, NF instance ID);
(5) 제1 네트워크 기능 유형(network function type, NF type);
(6) 제1 네트워크 기능 세트(network function set, NF set;
(7) 제1 통합 자원 식별자(universal resource locator, URI).
제2 정보는 다음 중 하나 이상을 포함할 수 있다:
(1) 제2 PLMN ID;
(2) 제2 SNPN ID;
(3) 제2 S-NSSAI ID;
(4) 제3 NF 인스턴스 ID;
(5) 제2 NF 유형;
(6) 제2 NF 세트;
(7) 제2 URI.
제1 PLMN ID 및 제2 PLMN ID는 모두 NFc의 방문 네트워크 및/또는 홈 네트워크를 식별하기 위한 것임을 이해해야 한다. 제1 SNPN ID 및 제2 SNPN ID는 모두 NFc의 방문 네트워크 및/또는 홈 네트워크를 식별하기 위한 것이다. 제1 S-NSSAI ID와 제2 S-NSSAI ID는 모두 NFc의 네트워크 슬라이스 정보를 식별하기 위한 것이다. 제1 NF 인스턴스 ID와 제3 NF 인스턴스 ID는 모두 NFc의 특정 네트워크 요소를 식별하기 위한 것이다. 제1 NF 유형과 제2 NF 유형은 모두 NFp 또는 NFc의 기능 유형을 식별하기 위한 것이다. 제1 NF 세트 및 제2 NF 세트는 모두 NFp 또는 NFc가 제공하는 서비스 목록을 식별하기 위한 것이다. 제1 URI 및 제2 URI는 모두 인터넷 자원 이름의 문자열을 식별하기 위한 것이다.
제1 정보 또는 제2 정보의 각 정보는 식별자(identifier, ID)일 수 있거나 ID 목록일 수 있음에 유의해야 한다. 이는 본 출원의 이 실시예에서 특별히 제한되지 않는다.
제1 정보의 특정 내용은 제2 정보의 특정 내용에 대응한다는 것을 이해할 수 있다.
예를 들어, 제1 정보가 제1 SNPN ID를 포함하는 경우, 제2 정보는 제2 SNPN ID를 포함한다. 다른 예의 경우, 제1 정보가 제1 SNPN ID 및 제1 PLMN ID를 포함하는 경우, 제2 정보는 제2 SNPN ID 및 제2 PLMN ID를 포함한다. 또 다른 예의 경우, 제1 정보가 제1 SNPN ID, 제1 PLMN ID 및 제1 NF 인스턴스 ID를 포함하는 경우, 제2 정보는 제2 SNPN ID, 제2 PLMN ID 및 제3 NF 인스턴스 ID를 포함한다.
선택적으로, 제2 정보는 인증서의 확장 필드를 통해 전달된다.
S402: NRF는 검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정한다.
구체적으로, 제1 토큰 요청을 수신한 후, NRF는 S402를 수행하여 검증을 통해 제1 정보와 제2 정보가 일치하는지 여부를 결정한다. 제1 정보와 제2 정보가 일치한다고 결정되면, NRF는 S403A 내지 S404를 수행한다. 제1 정보가 제2 정보와 일치하지 않는다고 결정되면, NRF는 S403B를 수행하여 토큰 요청이 실패했음을 나타내는 응답 정보를 제1 네트워크 요소로 반환하거나 NFc로부터의 토큰 요청을 거부한다.
본 출원의 이 실시예에서, NRF가 검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정하는 특정 구현은 다음 두 가지 유형을 포함하지만 이에 제한되지 않는다.
구현 1: 제1 정보가 제2 정보와 동일하다고 결정하면, NRF는 제1 정보가 제2 정보와 일치한다고 결정한다.
예를 들어, 제1 정보가 제1 PLMN ID이고, 제2 정보가 제2 PLMN ID인 경우, 제1 PLMN ID와 제2 PLMN ID가 동일하면, 예를 들어, 둘 다 1이면, NRF는 제1 정보가 제2 정보와 일치한다고 결정한다.
구현 2: 제1 정보가 제2 정보의 서브세트라고 결정하면, NRF는 제1 정보가 제2 정보와 일치한다고 결정한다.
예를 들어, 제1 정보가 제1 SNPN ID이고, 제2 정보가 제2 SNPN ID이며, 제1 SNPN ID가 1이고, 제2 SNPN ID가 {1, 2, 4}인 경우, 제1 SNPN ID는 제2 SNPN ID의 서브세트이고, NRF는 제1 정보가 제2 정보와 일치한다고 결정한다.
제1 정보와 제2 정보 모두가 복수의 정보를 포함하는 경우, NRF가 제1 정보가 제2 정보와 일치한다고 결정하는 것은 구체적으로 NRF는 제1 정보에 포함된 정보가 제2 정보에 포함된 정보와 일대일 대응으로 일치한다는 것을 포함하는 것을 이해해야 한다.
예를 들어, 제1 정보가 제1 PLMN ID, 제1 SNPN ID, 제1 S-NSSAI ID 및 제1 NF 인스턴스 ID를 포함하고, 제2 정보는 제2 PLMN ID, 제2 SNPN ID, 제2 S-NSSAI ID 및 제3 NF 인스턴스 ID를 포함하는 경우, 제1 PLMN ID는 제2 PLMN ID와 일치하고, 제1 SNPN ID는 제2 SNPN ID와 일치하며, 제1 NF 인스턴스 ID는 제3 NF 인스턴스 ID와 일치한다고 결정되면, NRF는 제1 정보가 제2 정보와 일치한다고 결정한다.
S403A: NRF는 토큰을 생성한다.
가능한 구현에서, NRF는 토큰 요청을 통해 전달된 제1 정보와 어서션에 포함된 인증서를 기반으로 토큰을 생성할 수 있다. 구체적으로 말하면, 생성된 토큰은 NFc의 제1 정보와 인증서를 전달할 수 있으므로 다른 네트워크 요소가 나중에 토큰을 사용할 때 토큰 내의 제1 정보와 인증서를 기반으로 다른 검증 동작을 수행할 수 있다.
S403B: NRF는 제1 네트워크 요소에 대한 실패 응답을 반환하고, 제1 네트워크 요소는 실패 응답을 수신하며, 실패 응답은 토큰 요청이 실패함을 나타낸다.
S404: NRF는 토큰을 제1 네트워크 요소로 보내고, 제1 네트워크 요소는 토큰을 수신한다.
전술한 내용으로부터, 본 출원의 이 실시예에서, 제1 정보는 토큰 요청을 통해 전달되며, 제2 정보는 NFc의 인증서를 통해 전달되므로, NRF가 제1 정보와 제2 정보 사이의 일치 관계를 검증함으로써 NFc의 유효성을 검증할 수 있고, NFc의 유효성을 검증하는 데 NFc의 프로파일에 의존하지 않음을 알 수 있다. 따라서, 프로파일이 NRF에 저장되지 않은 NFc의 경우, NRF는 NFc의 파라미터의 유효성도 검증할 수 있어서 NF 서비스를 사용하는 보안이 본 출원의 이 실시예에서 효과적으로 개선된다.
도 5는 서비스 인가 방법의 개략도이다. 이 방법은 다음 단계들을 포함한다.
S501: NFc와 NRF는 서비스를 검색한다.
구체적으로, NFc는 NRF로의 서비스 검색 요청을 개시한다. NRF는 서비스 검색 요청을 수신하고, 해당 NFp가 제공하는 NF 서비스에 대한 정보를 NFc로 반환한다.
S502: NFc는 NRF에 토큰 요청을 보내고, NRF는 토큰 요청을 수신한다.
구체적으로, 토큰 요청을 수신한 후, NRF는 토큰을 생성하고, 토큰을 NFc로 반환한다.
S503: NRF는 토큰을 NFc로 보내고, NFc는 토큰을 수신한다.
구체적으로, 토큰을 수신한 후, NFc는 S501을 다시 수행하여 NFp가 제공하는 서비스를 검색한 다음 S504를 수행할 수 있다.
S504: NFc는 SCP를 통해 NFp에 서비스 요청을 보내고, NFp는 SCP를 통해 서비스 요청을 수신하며, 서비스 요청은 NFc의 토큰과 어서션을 전달한다.
S505: NFp는 어서션과 토큰을 검증한다.
구체적으로, NFp가 토큰을 검증하는 프로세스는 검증을 통해 정규 파라미터(예컨대, 유효성 또는 PLMN ID)가 유효한지 여부를 결정할 수 있다. NFp가 어서션을 검증하는 프로세스는 검증을 통해 어서션의 NF 인스턴스 ID가 어서션에 포함된 인증서의 NF 인스턴스 ID와 일치하는지 여부를 결정하는 것 또는 어서션 내의 타임스탬프(timestamp), 만료 시간(expiration time), 예상 대상의 네트워크 기능 유형(network function type of the expected audience), 서명 등을 검증하는 것일 수 있다. NFp가 토큰의 정규 파라미터가 유효하고 어서션의 NF 인스턴스 ID가 어서션에 포함된 인증서의 NF 인스턴스 ID와 일치한다고 결정하면, S506이 수행된다.
S506: NFp는 SCP를 통해 NFc에 서비스 응답을 반환하고, NFc는 SCP를 통해 서비스 응답을 수신한다.
전술한 방법에서, NFc가 토큰 요청을 NRF로 직접 보내고, NFc가 SCP를 통해 NFp로 서비스 요청을 보내면, NFc는 서비스 요청에 어서션을 추가로 포함하고, NFp는 검증을 통해 어서션의 NF 인스턴스 ID가 어서션에 포함된 인증서의 NF 인스턴스 ID와 일치하는지 여부만 결정한다. 따라서, 토큰의 NF 인스턴스 ID가 어서션의 NF 인스턴스 ID와 일치하지 않으면, 공격자가 NFc의 토큰을 불법적으로 얻는 경우, 공격자는 NF 서비스를 불법적으로 얻을 수 있다.
도 6은 다른 서비스 인가 방법의 개략적인 흐름도이다. 방법은 구체적으로 다음 단계들을 포함한다.
S600: NFc와 NRF는 서비스를 검색한다.
구체적으로, S600의 특정 구현은 S501의 특정 구현과 유사하다. S501의 설명을 참조하시오. 자세한 내용은 여기서 다시 설명하지 않는다.
S601: NFc는 SCP를 통해 NRF에 토큰 요청을 보내고, NRF는 SCP를 통해 토큰 요청을 수신하며, 토큰 요청은 NFc의 어서션을 전달한다.
S602: NRF는 어서션을 검증한다.
구체적으로, NRF가 어서션을 검증하는 프로세스는 검증을 통해 어서션 내의 NF 인스턴스 ID가 어서션에 포함된 인증서의 NF 인스턴스 ID와 일치하는지 여부를 결정하는 것일 수 있다.
S603: NRF는 SCP를 통해 NFc로 토큰을 보내고, NFc는 SCP를 통해 토큰을 수신한다.
S604: NFc는 SCP를 통해 NFp에 서비스 요청을 보내고, NFp는 SCP를 통해 서비스 요청을 수신한다.
S605: NFp는 토큰을 검증한다.
구체적으로, NFp가 토큰을 검증하는 프로세스는 토큰의 정규 파라미터(예를 들어, 유효성 또는 PLMN ID)를 검증하는 것일 수 있다.
S606: NFp는 SCP를 통해 NFc로 서비스 응답을 반환하고, NFc는 SCP를 통해 서비스 응답을 수신한다.
전술한 방법에서, NFc가 SCP를 통해 NRF로 토큰 요청을 보내고, SCP를 통해 NFp로 서비스 요청을 보낼 때, NFc는 NFc의 어서션을 토큰 요청과 서비스 요청 모두에 포함시키고, NRF와 NFp 모두 어서션을 검증한다. 그러나, 토큰의 NF 인스턴스 ID가 어서션의 NF 인스턴스 ID와 일치하지 않는 경우가 여전히 존재한다. 그 결과, 공격자가 NRF로부터 불법적으로 토큰을 획득하고, 또한 NF 서비스를 불법적으로 획득하는 경우가 여전히 존재한다.
공격자가 불법적으로 NF 서비스를 얻기 위해 NFc의 토큰을 불법적으로 도용하는 기술적 문제를 해결하기 위해, 본 출원의 실시예는 서비스 인가 방법을 더 제공한다. 이 방법은 도 1에 도시된 통신 시스템에 적용될 수 있다. 도 7을 참조하시오. 이 방법은 다음 단계들을 포함한다.
S701: 제1 네트워크 요소는 NFp에 서비스 요청을 보내고, NFp는 서비스 요청을 수신한다.
서비스 요청은 NFc에 대한 NF 서비스를 제공하도록 NFp에 요청하기 위한 것임을 이해할 수 있다. 서비스 요청은 토큰과 어서션을 포함한다. 토큰은 제1 NF 인스턴스 ID를 포함하고, 어서션은 제2 NF 인스턴스 ID를 포함한다.
제1 네트워크 요소는 NFc 또는 SCP일 수 있다. 이것은 본 명세서에서 제한되지 않는다.
본 출원의 이 실시예에서 NFp는 호출될 수 있는 NF 서비스를 갖는 임의의 네트워크 요소, 예를 들어, 도 2의 SMF 또는 UDM일 수 있다. 이것은 본 명세서에서 제한되지 않는다.
S702: NFp는 검증을 통해 어서션이 토큰과 일치하는지 여부를 결정한다.
구체적으로, 검증을 통해 NFp가 어서션이 토큰과 일치하는지 여부를 결정하는 특정 프로세스는, NFp가 검증을 통해 토큰의 제1 NF 인스턴스 ID가 어서션의 제2 NF 인스턴스 ID와 동일한지 여부를 결정하는 것일 수 있다. 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일한 것으로 결정되면, NFp는 어서션이 토큰과 일치한다고 결정하고 S703A를 수행한다. 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 다른 것으로 결정되면, NFp는 어서션이 토큰과 일치하지 않는다고 결정하고, S703B를 수행한다.
예를 들어, 제1 NF 인스턴스 ID가 범용 고유 식별자(universally unique identifier, UUID)이고 제2 NF 인스턴스 ID가 UUID라고 가정하면, NFp는 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일하다고 결정하며, 즉, 어서션이 토큰과 일치한다고 결정한다. 다른 예로, 제1 NF 인스턴스 ID가 "###134"이고, 제2 NF 인스턴스 ID도 "###134"인 경우, NFp는 제1 NF 인스턴스 ID가 제2 NF 인스턴스와 동일하다고 결정하며, 즉, 어서션이 토큰과 일치한다고 결정한다.
S703A: NFp는 제1 네트워크 요소에 서비스 응답을 반환하고, 제1 네트워크 요소는 서비스 응답을 수신한다.
가능한 구현에서, 제1 네트워크 요소는 SCP이다. 서비스 응답을 수신한 후, SCP는 서비스 응답을 NFC에 보낸다. 서비스 응답은 NFp의 어서션을 전달하며, 어서은 제3 NF 세트를 포함한다. 서비스 응답을 수신한 후, NFc는 검증을 통해 NFc가 요청한 제1 NF 세트가 제3 NF 세트와 일치하는지 여부를 결정한다. 제1 NF 세트가 제3 NF 세트와 일치하면, NFc는 해당 NF 서비스에 액세스한다. 제1 NF 세트가 제3 NF 세트와 일치하지 않으면, NFc는 NFp에 대한 서비스 요청을 재개시한다.
다른 가능한 구현에서, 제1 네트워크 요소는 NFc이다. 서비스 응답은 NFp의 어서션을 전달하며, 어서션은 제3 NF 세트를 포함한다. 서비스 응답을 수신한 후, NFc는 검증을 통해 NFc가 요청한 제1 NF 세트가 제3 NF 세트와 일치하는지 여부를 결정한다. 제1 NF 세트가 제3 NF 세트와 일치하면, NFc는 해당 NF 서비스에 액세스한다. 제1 NF 세트가 제3 NF 세트와 일치하지 않으면, NFc는 NFp에 대한 서비스 요청을 재개시한다.
NFc가 검증을 통해 제1 NF 세트가 제3 NF 세트와 일치하는지 여부를 결정하는 프로세스는 구체적으로 제1 NF 세트가 제3 NF 세트와 동일한지 여부를 결정하는 것 또는 제1 NF 세트와 제3 NF 세트 사이에 교차 세트가 존재하는지 여부를 결정하는 것일 수 있다. 예를 들어, 제1 NF 세트가 1이고 제3 NF 세트도 1인 경우, NFc는 제1 NF 세트가 제3 NF 세트와 일치한다고 결정한다. 또 다른 예로, 제1 NF 세트가 {2, 3, 5}이고, 제3 NF 세트가 {1, 2, 4}이며, 제1 NF 세트와 제3 NF 세트 사이에 교차 세트 {2}가 존재하면, NFc는 제1 NF 세트가 제3 NF 세트와 일치한다고 결정한다.
S703B: NFp는 제1 네트워크 요소에 실패 응답을 반환하고, 제1 네트워크 요소는 실패 응답을 수신하며, 실패 응답은 제1 네트워크 요소의 서비스 요청이 실패함을 나타낸다.
도 7에 도시된 서비스 인가 방법에서, NFp는 서비스 요청을 통해 전달된 토큰의 NF 인스턴스 ID와 어서션을 통해 전달된 NF 인스턴스 ID를 검증하여 서비스 요청의 토큰이 어서션과 일치한다는 것을 보장하고, 공격자가 토큰을 불법적으로 도용하고 추가로 불법적으로 NF 서비스를 얻는 경우를 방지한다. 따라서, NF 서비스를 사용하는 보안은 본 출원의 이 실시예에서 효과적으로 개선될 수 있다.
도 8은 다른 서비스 인가 방법의 개략적인 흐름도이다. 도 8은 NFc가 SCP를 통해 NFp에게 서비스 요청을 보내고, 서비스 요청이 SCP를 트리거하여 NRF로 토큰 요청을 보내는 시나리오를 도시한다. 이 방법은 구체적으로 다음 단계들을 포함한다.
S800: NFc는 SCP를 통해 NRF에 서비스 요청을 보내고, NRF는 SCP를 통해 서비스 요청을 수신한다.
구체적으로, NFc는 서비스 요청에 NFc의 어서션을 포함한다.
S801: SCP와 NRF는 서비스를 검색한다.
구체적으로, SCP는 NRF로의 서비스 검색 요청을 개시하고, NRF가 반환한 정보를 수신하며, 정보에 기초하여, 등록된 NFp가 제공하는 NF 서비스를 결정하고, S802를 수행하여 NRF에 토큰 요청을 보낸다.
S802: SCP는 NRF에 토큰 요청을 보내고, NRF는 토큰 요청을 수신한다.
구체적으로, SCP는 토큰 요청에 NFc의 어서션을 포함한다.
S803: NRF는 어서션을 검증한다.
구체적으로, 토큰 요청을 수신한 후, NRF는 토큰 요청의 어서션을 검증한다. 검증이 성공하면, NRF는 토큰을 생성하고, S804를 수행하여 토큰을 SCP로 보낸다. 검증이 실패하면, NRF는 토큰 요청이 실패했음을 나타내는 응답 정보를 SCP로 반환한다.
S804: NRF는 토큰을 SCP로 보내고, SCP는 토큰을 수신한다.
S805: SCP는 NFp에 서비스 요청을 보내고, NFp는 서비스 요청을 수신하며, 서비스 요청은 NFc의 토큰 및 어서션을 전달한다.
S806: NFp는 토큰과 어서션을 검증한다.
S806의 특정 구현은 S505의 특정 구현과 유사하다. S505의 설명을 참조하시오. 자세한 내용은 여기서 다시 설명하지 않는다. 토큰과 어서션이 모두 성공적으로 검증되면, NFp는 S807을 수행하여 SCP를 통해 NFc에 서비스 응답을 반환한다.
S807: NFp는 SCP를 통해 서비스 응답을 NFc로 반환하고, NFc는 SCP를 통해 서비스 응답을 수신한다.
도 8에 도시된 서비스 인가 방법에서, NFc가 SCP를 통해 NFp에게 서비스 요청을 보낼 때, NFc는 서비스 요청에 NFc의 어서션을 포함시키고, 서비스 요청은 SCP를 트리거하여 NRF로 토큰 요청을 보낸다. SCP는 또한 토큰 요청에 어서션을 포함시킨다. 토큰을 얻은 후, SCP는 NFc에 대한 프록시로서 서비스 요청을 보낼 때 서비스 요청에 어서션도 포함시킨다. NRF와 NFp는 모두 NFc의 어서션을 검증한다. 전체 서비스 요청 프로세스는 어서션에 의존한다(예컨대, 어서션이 성공적으로 검증된다는 것이 토큰 생성을 위한 전제 조건임). 따라서, 공격자는 다른 NFc의 어서션을 도용하고 더 나아가 NF 서비스를 불법적으로 얻을 수 있다.
공격자가 NF 서비스를 불법적으로 획득하기 위해 NFc의 어서션을 불법적으로 도용하는 기술적 문제를 해결하기 위해, 본 출원의 실시예는 서비스 인가 방법을 더 제공한다. 이 방법은 도 1에 도시된 통신 시스템에 적용될 수 있다. 도 9를 참조하시오. 이 방법은 다음 단계들을 포함한다.
S901: SCP는 인증서와 연관된 제1 전체 주소 도메인 이름(fully qualified domain name, FQDN) 및 제3 NF 인스턴스 ID를 획득한다.
본 출원의 이 실시예에서, 제1 FQDN은 NFc의 전송 계층 인증서 내의 FQDN일 수 있고, 제3 NF 인스턴스 ID는 NFc의 애플리케이션 계층 인증서 내의 NF 인스턴스 ID일 수 있다. 이와 달리, 제1 FQDN 및 제3 NF 인스턴스 ID는 NFc의 공유 인증서(예를 들어, 전송 계층 및 애플리케이션 계층이 공유하는 인증서) 내의 FQDN 및 NF 인스턴스 ID일 수 있다.
S902: SCP는 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정한다.
가능한 구현에서, SCP는 NFc로부터 서비스 요청을 수신할 수 있다. 서비스 요청은 NFc의 인증서를 포함한다. SCP는 S901 및 S902를 수행하여 인증서로부터 인증서와 연관된 제1 FQDN 및 제3 NF 인스턴스 ID를 획득한다. SCP가 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정하면, SCP는 S903을 수행하여 NFp에 서비스 요청을 보낸다. SCP가 제1 FQDN이 제3 NF 인스턴스 ID와 일치하지 않는다고 결정하면, SCP는 서비스 요청이 실패했음을 나타내는 프롬프트 정보를 NFc에 반환한다.
다른 가능한 구현에서, SCP는 NFc로부터 토큰 요청을 수신할 수 있다. 토큰 요청은 NFc의 인증서를 포함한다. SCP는 S901 및 S902를 수행하여 인증서로부터 인증서와 연관된 제1 FQDN 및 제3 NF 인스턴스 ID를 획득한다. SCP가 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정하면, SCP는 NRF에 토큰 요청을 보낸다. SCP가 제1 FQDN이 제3 NF 인스턴스 ID와 일치하지 않는다고 결정하면, SCP는 토큰 요청이 실패했음을 나타내는 프롬프트 정보를 NFc에 반환한다.
가능한 구현에서, SCP는 FQDN과 NF 인스턴스 ID 간의 바인딩 관계에 기초하여 제1 FQDN이 제3 NF 인스턴스 ID와 일치하는지 여부를 결정할 수 있다.
본 출원의 이 실시예에서, SCP가 바인딩 관계에 기초하여 제1 FQDN이 제3 NF 인스턴스 ID와 일치하는지 여부를 결정하는 복수의 구현이 있으며, 다음의 3가지 구현을 포함하지만 이에 제한되지 않는다.
구현 1: SCP는 NFc의 전송 계층 인증서로부터 제1 FQDN을 추출하고, 바인딩 관계 쿼리 요청을 NRF로 보내며, 바인딩 관계 쿼리 요청은 제1 FQDN을 전달한다. SCP는 NRF가 반환한 해당 NF 인스턴스 ID를 수신하고, NF 인스턴스 ID가 토큰 요청을 통해 전달된 어서션의 애플리케이션 계층 인증서 내의 제3 NF 인스턴스 ID와 일치하는지 여부를 결정한다. NF 인스턴스 ID가 제3 NF 인스턴스 ID와 일치하는 경우, SCP는 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정한다. NF 인스턴스 ID가 제3 NF 인스턴스 ID와 일치하지 않는 경우, SCP는 제1 FQDN이 제3 NF 인스턴스 ID와 일치하지 않는다고 결정한다.
구현 2: SCP는 NFc의 어서션에서 애플리케이션 계층 인증서로부터 제3 NF 인스턴스 ID를 추출하고, 바인딩 관계 쿼리 요청을 NRF로 보내며, 바인딩 관계 쿼리 요청은 제3 NF 인스턴스 ID를 전달한다. SCP는 NRF가 반환한 해당 FQDN을 수신하고, FQDN이 NFc의 전송 계층 인증서 내의 제1 FQDN과 일치하는지 여부를 결정한다. FQDN이 제1 FQDN과 일치하는 경우, SCP는 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정한다. FQDN이 제1 FQDN과 일치하지 않는 경우, SCP는 제1 FQDN이 제3 NF 인스턴스 ID와 일치하지 않는다고 결정한다.
구현 3: SCP는 NFc의 전송 계층 인증서로부터 제1 FQDN을 추출하고, NFc의 어셔션의 애플리케이션 계층 인증서로부터 제3 NF 인스턴스 ID를 추출하고, 바인딩 관계 쿼리 요청을 NRF에 보내며, 바인딩 관계 쿼리 요청은 제3 NF 인스턴스 ID와 제1 FQDN을 전달한다. SCP는 NRF가 반환한 일치 결과를 수신하며, 일치 결과는 제1 FQDN이 제3 NF 인스턴스 ID와 일치하는지 여부를 직접 나타낼 수 있다.
선택적으로, 바인딩 관계는 인증 기관/등록 기관(certification authority/registration authority, CA/RA) 엔티티로부터 SCP에 의해 획득될 수 있다. 이와 달리, NRF가 미리 CA/RA로부터 바인딩 관계를 획득하여 로컬로 저장한 후 SCP가 NRF로부터 획득할 수도 있다.
S903: SCP는 NFp에 서비스 요청을 보내고, NFp는 서비스 요청을 수신한다.
구체적으로, SCP는 서비스 요청에 NFc의 어서션 및 토큰을 포함시킬 수 있다. 서비스 요청을 수신한 후, NFp는 검증을 통해 어서션이 토큰과 일치하는지 여부를 결정할 수 있다. 어서션이 토큰과 일치한다고 결정되면, NFp는 S904를 수행하여 서비스 응답을 SCP로 반환한다. 어서션이 토큰과 일치하지 않는다고 결정되면, NFp는 서비스 요청을 거부한다.
S904: NFp는 서비스 응답을 SCP에 반환하고, SCP는 서비스 응답을 수신한다.
구체적으로, 서비스 응답을 수신한 후, SCP는 NFc에 서비스 응답을 추가로 보낼 수 있고, NFc는 서비스 응답을 수신한다.
도 9에 도시된 서비스 인가 방법에서, NFp로 서비스 요청을 보내기 전에, SCP는 먼저 NFc의 어서션에 있고 인증서와 연관된 FQDN과 NF 인스턴스 ID 간의 일치 관계를 검증하고, 검증이 성공한 후에만 서비스 요청을 NFp로 보낸다. 따라서, 공격자가 어서션을 불법적으로 도용하고 또한 NF 서비스를 불법적으로 획득하는 경우를 방지할 수 있으며, NF 서비스를 사용하는 보안을 효과적으로 향상시킬 수 있다.
본 출원의 이 실시예에서, 바인딩 관계는 이와 달리 다른 네트워크 요소에 의해 검증될 수 있다. 예를 들어, 제1 네트워크 요소로부터 토큰 요청을 수신한 후, NRF는 제1 네트워크 요소에 토큰을 전달하기 전에 바인딩 관계를 검증할 수 있다. 자세한 내용은 도 10을 참조하시오. 다음 단계들이 포함된다.
S1001: 제1 네트워크 요소는 NRF에 토큰 요청을 보내고, NRF는 토큰 요청을 수신하며, 토큰 요청은 NFc의 어서션을 전달한다.
가능한 구현에서, 제1 네트워크 요소는 SCP이다. NFc로부터 서비스 요청 또는 토큰 요청을 수신한 후, SCP는 토큰 요청을 NRF로 보낸다.
다른 가능한 구현에서, 제1 네트워크 요소는 NFc이다. NFc는 토큰 요청을 NRF에 직접 보낸다.
S1002: NRF는 인증서와 연관된 제1 FQDN 및 제3 NF 인스턴스 ID를 획득한다.
가능한 구현에서, 토큰 요청은 NFc의 어서션을 전달하고, 어서션은 NFc의 애플리케이션 계층 인증서 및 전송 계층 인증서를 포함한다. NRF는 NFc의 전송 계층 인증서로부터 FQDN을 추출하고, NFc의 애플리케이션 계층 인증서로부터 제3 NF 인스턴스 ID를 추출할 수 있다.
전송 계층 인증서는 제1 네트워크 요소와 NRF 사이에 전송 계층 링크가 수립될 때 제1 네트워크 요소에 의해 NRF로 전송될 수 있음을 이해해야 한다.
다른 가능한 구현에서, 토큰 요청은 NFc의 어서션을 전달하고, 어서션은 NFc의 애플리케이션 계층 및 전송 계층의 공유 인증서를 포함한다. NRF는 공유 인증서로부터 제1 FQDN 및/또는 제3 NF 인스턴스 ID를 추출할 수 있다.
S1003: NRF는 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정한다.
가능한 구현에서, 제1 네트워크 요소로부터 토큰 요청을 수신한 후, NRF는 로컬로 저장된 FQDN과 NF 인스턴스 ID 사이의 바인딩 관계에 기초하여 제1 FQDN이 제3 NF 인스턴스 ID와 일치하는지 여부를 결정할 수 있다. 구체적으로, NRF가 제1 FQDN 및 제3 NF 인스턴스 ID가 각각 바인딩 관계에서 FQDN 및 NF 인스턴스 ID와 일대일로 대응한다고 결정하면, NRF는 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정하고, 토큰을 생성하며, S1004를 수행한다. NRF가 제1 FQDN 및 제3 NF 인스턴스 ID가 각각 바인딩 관계에서 FQDN 및 NF 인스턴스 ID와 일대일 대응이 아니라고 결정하면, NRF는 제1 FQDN이 제3 NF 인스턴스 ID와 일치하지 않는다고 결정하고, 토큰 요청이 실패했음을 나타내는 응답 정보를 제1 네트워크 요소에 반환하거나 제1 네트워크 요소의 토큰 요청을 거부한다.
다른 가능한 구현에서, 제1 네트워크 요소로부터 토큰 요청을 수신한 후, NRF는 CA/RA로부터 바인딩 관계의 관련 파라미터(FQDN 및/또는 NF 인스턴스 ID)를 획득하고, 바인딩 관계의 관련 파라미터에 기초하여 제1 FQDN이 제3 NF 인스턴스 ID와 일치하는지 여부를 결정할 수 있다. NRF가 CA/RA로부터 바인딩 관계의 관련 파라미터를 획득하는 특정 구현은 도 12에 도시된 실시예에서 상세히 설명된다.
S1004: NRF는 토큰을 제1 네트워크 요소에 반환하고, 제1 네트워크 요소는 토큰을 수신한다.
가능한 구현에서, 제1 네트워크 요소는 SCP이다. 토큰을 수신한 후, SCP는 토큰을 NFC로 포워딩한다.
다른 가능한 구현에서, 제1 네트워크 요소는 NFc이고, NFc는 NRF로부터 토큰을 수신한다.
도 10에 도시된 서비스 인가 방법에서, 토큰을 제1 네트워크 요소로 반환하기 전에, NRF는 먼저 NFc의 어서션에 있고 인증서와 연관된 FQDN과 NF 인스턴스 ID 간의 일치 관계를 검증하고, 검증이 성공한 후에만 토큰을 반환한다. NFc 또는 SCP는 토큰을 수신한 후에만 서비스 요청을 개시할 수 있다. 따라서, 공격자가 어서션을 불법적으로 도용하고 또한 NF 서비스를 불법적으로 획득하는 경우를 방지할 수 있으며, NF 서비스를 사용하는 보안을 효과적으로 향상시킬 수 있다.
선택적으로, FQDN과 NF 인스턴스 ID 간의 바인딩 관계는 NFc가 CA/RA에 인증서를 신청할 때 CA/RA에 의해 생성될 수 있다.
다음은 인증서를 신청하는 방법을 설명한다.
도 11은 인증서 신청 방법의 개략도이다. 이 방법은 다음 단계들을 포함한다.
S1101: NFc는 CA/RA에 제1 인증서 신청 요청을 보내고, CA/RA는 제1 인증서 신청 요청을 수신한다.
구체적으로, 제1 인증서 신청 요청은 인증서 템플릿을 포함하고, 인증서 템플릿은 제2 정보를 포함한다. 제2 정보는 제3 NF 인스턴스 ID, 제2 PLMN ID, 제2 SNPN ID, 제2 S-NSSAI ID, 제2 NF 유형, 제2 NF 세트, 제2 URI와 같은 하나 이상의 정보를 포함할 수 있다. 제1 인증서 신청 요청을 수신한 후, CA/RA는 제2 정보에 기초하여 제1 인증서를 생성할 수 있다.
S1102: CA/RA는 제2 정보를 전달하는 제1 인증서를 생성한다.
제1 인증서는 NFc의 애플리케이션 계층 인증서일 수 있음을 이해해야 한다.
S1103: CA/RA는 NFc에 제1 인증서를 반환하고, NFc는 제1 인증서를 수신한다.
S1104: NFc는 CA/RA에 제2 인증서 신청 요청을 보내고, CA/RA는 제2 인증서 신청 요청을 수신한다.
구체적으로, 제2 인증서 신청 요청은 인증서 템플릿을 포함하고, 인증서 템플릿은 제1 FQDN을 포함한다. 제1 인증서 신청 요청을 수신한 후, CA/RA는 제1 FQDN을 기반으로 제2 인증서를 생성할 수 있다.
S1105: CA/RA는 제1 FQDN을 전달하는 제2 인증서를 생성한다.
제2 인증서는 NFc의 전송 계층 인증서일 수 있음을 이해해야 한다.
S1106: CA/RA는 NFc에 제2 인증서를 반환하고, NFc는 제2 인증서를 수신한다.
S1107: CA/RA는 제2 정보의 제3 NF 인스턴스 ID를 제1 FQDN에 바인딩하여 제3 NF 인스턴스 ID와 제1 FQDN 간의 바인딩 관계를 생성한다.
선택적으로, 제1 인증서와 제2 인증서는 하나의 인증서로 결합될 수 있다. 따라서, NFc는 CA/RA에 인증서를 한 번만 신청하면 된다. NFc는 CA/RA로 전송되는 인증서 신청 요청에 제1 FQDN 및 제2 정보를 포함하는 인증서 템플릿을 포함시킬 수 있다. 인증서 신청 요청을 수신한 후, CA/RA는 인증서 신청 요청의 인증서 템플릿을 기반으로 제1 FQDN과 제2 정보를 전달하는 인증서 및 제3 NF 인스턴스 ID와 제1 FQDN 간의 바인딩 관계를 생성할 수 있다.
다음은 NRF가 바인딩 관계를 획득하는 방법을 설명한다.
도 12는 NRF가 바인딩 관계를 획득하는 방법의 흐름도이다. 이 방법은 다음 단계들을 포함한다.
S1201: NRF는 트리거 이벤트를 검출한다.
트리거 이벤트는 NRF가 NFp로부터 NF 서비스 등록 요청을 수신하는 것, NRF가 NFc로부터 서비스 검색 요청을 수신하는 것, 또는 NRF가 NFc로부터 서비스 요청을 수신하는 것일 수 있다. 이는 본 출원의 이 실시예에서 특별히 제한되지 않는다.
S1202: NRF는 CA/RA에 바인딩 관계 요청을 보내고, CA/RA는 바인딩 관계 요청을 수신한다.
가능한 구현에서, NRF는 바인딩 관계 요청으로 인증서를 전달한다. 인증서는 NFc의 전송 계층 인증서(제1 FQDN을 포함하는 인증서), NFc의 애플리케이션 계층 인증서(제3 NF 인스턴스 ID를 포함하는 인증서) 또는 NFc의 전송 계층과 애플리케이션 계층이 공유하는 인증서(즉, 제1 FQDN 및 제3 NF 인스턴스 ID을 포함하는 인증서)일 수 있다.
다른 가능한 구현에서, NRF는 바인딩 관계 요청으로 인증서 연관 파라미터를 전달한다. 파라미터는 NFc의 전송 계층 인증서 내의 제1 FQDN, NFc의 애플리케이션 계층 인증서 내의 제3 NF 인스턴스 ID 또는 NFc의 전송 계층 인증서 내의 제1 FQDN 및 애플리케이션 계층 인증서 내의 제3 NF 인스턴스 ID일 수 있다.
S1203: CA/RA는 바인딩 관계 요청에 대응하는 응답 결과를 결정한다.
본 출원의 이 실시예에서, CA/RA에 의해 수신된 바인딩 관계 요청이 NFc의 전송 계층 인증서를 전달하는 경우, CA/RA는 응답 결과가 바인딩 관계의 애플리케이션 계층 인증서라고 결정한다. CA/RA가 수신한 바인딩 관계 요청이 NFc의 애플리케이션 계층 인증서를 전달하는 경우, CA/RA는 응답 결과가 바인딩 관계의 전송 계층 인증서라고 결정한다. CA/RA가 수신한 바인딩 관계 요청이 NFc의 전송 계층 및 애플리케이션 계층의 공유 인증서를 전달하는 경우, CA/RA는 응답 결과가 FQDN과 NF 인스턴스 ID의 일치 결과라고 결정한다.
상응하게, CA/RA가 수신한 바인딩 관계 요청이 NFc의 전송 계층 인증서의 제1 FQDN을 전달하는 경우, CA/RA는 응답 결과가 바인딩 관계에서 NF 인스턴스 ID라고 결정한다. CA/RA가 수신한 바인딩 관계 요청이 NFc의 애플리케이션 계층 인증서의 제3 NF 인스턴스 ID를 전달하는 경우, CA/RA는 응답 결과가 바인딩 관계에서 FQDN이라고 결정한다. CA/RA가 수신한 바인딩 관계 요청이 NFc의 전송 계층 및 애플리케이션 계층의 공유 인증서의 제1 FQDN 및 제3 NF 인스턴스 ID를 전달하는 경우, CA/RA는 응답 결과가 제1 FQDN과 제3 NF 인스턴스 ID의 일치 결과라고 결정한다.
S1204: CA/RA는 응답 결과를 NRF에 반환하고, NRF는 응답 결과를 수신한다.
구체적으로, 바인딩 관계 요청으로 전달된 파라미터를 기반으로 해당 응답 결과를 결정한 후, CA/RA는 응답 결과를 NRF에 반환한다.
선택적으로, 응답 결과를 수신한 후, NRF는 응답 결과에 기초하여 제1 FQDN이 제3 NF 인스턴스 ID와 일치하는지 여부를 결정 - 제1 FQDN 및 제3 NF 인스턴스 ID는 SCP로부터 NRF에 의해 수신된 서비스 요청으로 전달된 NFc의 어서션에 포함된 인증서와 연관됨 - 하고, 일치 결과를 SCP로 보낼 수 있다.
전술한 내용은 세 가지 기술 문제에 대한 대응하는 기술 솔루션을 개별적으로 제공한다는 것을 이해해야 한다. 실제 응용에서, 전술한 구현은 서로 결합하여 서로 다른 기술 솔루션과 기술 효과를 구현할 수 있다. 다음은 몇몇 특정 예를 사용하여 자세한 설명을 제공한다.
실시예 1:
도 13에 도시된 바와 같이, 도 4, 도 7 및 도 9에 도시된 기술 솔루션을 참조하여, 본 출원의 실시예는 서비스 인가 방법을 제공한다. 이 방법은 도 3a에 도시된 애플리케이션 시나리오에 적용되고, 방법은 다음 단계들을 포함한다.
S1301: NFc는 토큰 요청을 SCP로 보내고, SCP는 토큰 요청을 수신한다.
예를 들어, NFc는 도 2에 도시된 통신 시스템에서 SMF, AMF 등일 수 있다.
토큰 요청은 NFc의 어서션 및 제1 정보를 전달한다. 어셔션은 NFc의 인증서를 포함하고, 인증서는 NFc의 제2 정보를 포함한다. 제1 정보 및 제2 정보의 구체적인 내용은 S401의 관련 설명을 참조한다. 자세한 내용은 여기서 다시 설명하지 않는다.
S1302: SCP는 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정한다.
제1 FQDN은 NFc의 전송 계층 인증서 내의 FQDN일 수 있고, 제3 NF 인스턴스 ID는 NFc의 애플리케이션 계층 인증서 내의 NF 인스턴스 ID일 수 있다. 이와 달리, 제1 FQDN 및 제3 NF 인스턴스 ID는 NFc의 전송 계층 및 애플리케이션 계층이 공유하는 인증서 내의 FQDN 및 NF 인스턴스 ID일 수 있다.
구체적으로, SCP는 FQDN과 NF 인스턴스 ID 간의 바인딩 관계에 기초하여 제1 FQDN이 제3 NF 인스턴스 ID와 일치하는지 여부를 결정할 수 있다.
S1302에서 SCP가 바인딩 관계에 기초하여 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정하는 특정 구현은 S902의 특정 구현과 유사하다는 것을 이해할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
선택적으로, S1302를 수행한 후, SCP는 FQDN과 NF 인스턴스 ID 사이의 바인딩 관계 또는 바인딩 관계의 관련 파라미터(예컨대, FQDN과 NF 인스턴스 ID)를 로컬로 저장할 수 있다.
S1303: SCP는 NRF에 토큰 요청을 보내고, NRF는 토큰 요청을 수신한다.
구체적으로, 토큰 요청은 어셔션 및 제1 정보를 전달하고, 어서션의 인증서는 제2 정보를 전달하며, 제1 정보는 제1 NF 인스턴스 ID를 포함한다. 토큰 요청을 수신한 후 및 토큰을 생성하기 전에, NRF는 S1304를 수행하여 제1 정보가 제2 정보와 일치하는지 여부를 결정한다. 제1 정보가 제2 정보와 일치하는 것으로 결정되면, NRF는 인증서와 제1NF 인스턴스 ID를 전달하는 토큰을 생성하고, S1305를 수행하여 SCP를 통해 토큰을 NFc로 반환한다. 제1 정보가 제2 정보와 일치하지 않는 것으로 결정되면, NRF는 SCP를 통해 NFc에게 토큰 요청이 실패했다는 프롬프트 정보를 반환하거나 NFc의 토큰 요청을 거부한다.
S1304: NRF는 제1 정보가 제2 정보와 일치한다고 결정한다.
S1304에서 NRF가 검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정하는 특정 구현은 S402의 구체적인 구현과 유사하다는 것을 이해할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
S1305: NRF는 SCP를 통해 NFc로 토큰을 보내고, NFc는 SCP를 통해 토큰을 수신한다.
S1306: NFc는 SCP에 서비스 요청을 보내고, SCP는 서비스 요청을 수신한다.
구체적으로, NFc는 서비스 요청에 NFc의 어서션 및 토큰을 포함하고, SCP는 또한 S1302를 다시 수행하여 어서션의 인증서와 연관된 제1 FQDN과 제3 NF 인스턴스 ID 간의 일치가 있는지 여부를 결정할 수 있거나, 또는 S1302에서 저장된 바인딩 관계 또는 바인딩 관계의 관련 파라미터에 기초한 검증을 통해 서비스 요청에 포함된 인증서와 연관된 제1 FQDN과 제3 NF 인스턴스 ID 간의 일치가 있는지 여부를 결정할 수 있다.
S1307: SCP는 NFp에 서비스 요청을 보내고, NFp는 서비스 요청을 수신한다.
구체적으로, 서비스 요청은 NFc의 어서션 및 토큰을 전달하고, 토큰은 제1 NF 인스턴스 ID를 포함하며, 어셔션은 제2 NF 인스턴스 ID를 포함한다. 서비스 요청을 수신한 후, NFp는 S1308을 수행한다.
S1308: NFp는 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일한지 여부를 결정한다.
구체적으로, NFp는 검증을 통해 토큰의 제1 NF 인스턴스 ID가 어서션의 제2 NF 인스턴스 ID와 동일한지 여부를 결정한다. 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일한 경우, NFp는 S1309를 수행한다. 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 다른 경우, NFp는 서비스 요청이 실패했음을 나타내는 정보를 SCP를 통해 NFc로 반환한다.
S1308에서 NFp가 검증을 통해 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일한지 여부를 결정하는 특정 구현은 S702의 특정 구현과 유사하다는 것을 이해할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
S1309: NFp는 SCP를 통해 NFp로 서비스 응답을 반환하고, NFp는 SCP를 통해 서비스 응답을 수신한다.
S1309의 특정 구현은 S703A의 특정 구현과 유사하다는 것을 이해할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
도 13에 도시된 기술 솔루션에서, NRF는 토큰 요청으로 전달되는 NFc의 제1 정보와 NFc의 어서션의 인증서로 전달된 제2 정보 간의 일치 관계를 검증하고, NFp는 서비스 요청으로 전달되는 NFc의 토큰 내의 제1 NF 인스턴스 ID와 어서션의 제2 NF 인스턴스 ID 간의 일치 관계를 검증하며, SCP는 서비스 요청으로 전달되는 NFc의 인증서와 연관된 제1 FQDN과 제3 NF 인스턴스 ID 간의 일치 관계를 검증한다. 이것은 공격자가 불법적으로 토큰을 도용하고 어서션을 위조하며 또한 불법적으로 NF 서비스를 획득하는 경우를 효과적으로 방지한다. 또한, NFc의 프로파일을 이용하여 검증을 통해 NFc의 유효성을 결정할 필요가 없다. 따라서, NRF는 프로파일이 NRF에 저장되지 않은 NFc의 파라미터에 대한 유효성도 검증할 수 있다. 따라서, 본 출원의 이 실시예에서는 NF 서비스를 사용하는 보안이 효과적으로 향상될 수 있다.
실시예 2:
예 2와 예 1 사이의 차이점은 다음과 같다: 예 1에서, 토큰 요청은 NFc에 의해 SCP를 통해 NRF로 개시되고, SCP를 통해 NRF에 의해 반환된 토큰을 수신한 후에만 NFC가 서비스 요청을 개시한다. 예 2에서, NFc는 SCP를 통해 NRF에 서비스 요청을 직접 전송하여 SCP가 NFc의 프록시로서 NRF로의 토큰 요청을 개시하도록 트리거한다.
도 14에 도시된 바와 같이, 도 4, 도 7 및 도 9에 도시된 기술 솔루션을 참조하여, 본 출원의 실시예는 다른 서비스 인가 방법을 제공한다. 방법은 도 3b에 도시된 애플리케이션 시나리오에 적용될 수 있고 방법은 다음 단계들을 포함한다.
S1401: NFc는 SCP에 제1 서비스 요청을 보내고, SCP는 제1 서비스 요청을 수신한다.
S1402: SCP는 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정한다.
제1 FQDN은 전송 계층 인증서 내의 FQDN일 수 있고, 제3 NF 인스턴스 ID는 NFc의 애플리케이션 계층 인증서 내의 NF 인스턴스 ID일 수 있다. 이와 달리, 제1 FQDN 및 제3 NF 인스턴스 ID는 NFc의 전송 계층 및 애플리케이션 계층이 공유하는 인증서 내의 FQDN 및 NF 인스턴스 ID일 수 있다.
구체적으로, 제1 서비스 요청은 NFc의 어서션 및 제1 정보를 전달하고, 어서션은 NFc의 전송 계층 인증서 및 애플리케이션 계층 인증서, 또는 전송 계층 및 애플리케이션 계층에 의해 공유되는 인증서를 포함한다. SCP는 이들 인증서로부터 제1 FQDN 및/또는 제3 NF 인스턴스 ID를 추출하고, 단계 S1402를 수행하여 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정할 수 있다. S1402의 특정 구현은 S902의 특정 구현과 유사하다는 것을 이해할 수 있다. S902의 설명을 참조하시오. 자세한 내용은 여기서 다시 설명하지 않는다.
S1403: SCP는 NRF에 토큰 요청을 보내고, NRF는 토큰 요청을 수신한다.
구체적으로, 토큰 요청은 NFc의 어서션 및 제1 정보를 전달하고, 어서션은 NFc의 인증서를 포함하고, 인증서는 제2 정보를 포함한다. 제1 정보 및 제2 정보의 구체적인 내용은 S401의 관련 설명을 참조한다. 자세한 내용은 여기서 다시 설명하지 않는다.
구체적으로, 제1 정보는 제1 NF 인스턴스 ID를 포함한다. 토큰 요청을 수신한 후 및 토큰을 생성하기 전에, NRF는 검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정하는 단계 S1404를 수행한다. 제1 정보가 제2 정보와 일치하는 것으로 결정되면, NRF는 인증서와 제1 NF 인스턴스 ID를 전달하는 토큰을 생성하고, S1405를 수행하여 토큰을 SCP를 통해 NFc로 반환한다. 제1 정보가 제2 정보와 일치하지 않는 것으로 결정되면, NRF는 SCP를 통해 NFc로 토큰 요청이 실패했다는 프롬프트 정보를 반환하거나 NFc의 토큰 요청을 거부한다.
S1404: NRF는 제1 정보가 제2 정보와 일치한다고 결정한다.
S1404에서 NRF가 검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정하는 특정 구현은 S402의 특정 구현과 유사하다는 것을 이해할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
S1405: NRF는 토큰을 SCP로 보내고, SCP는 토큰을 수신한다.
S1406: SCP는 NFp에 제2 서비스 요청을 보내고, NFp는 제2 서비스 요청을 수신한다.
구체적으로, 제2 서비스 요청은 NFc의 토큰 및 어서션을 보내고, 토큰은 제1 NF 인스턴스 ID를 포함하며, 어서션은 제2 NF 인스턴스 ID를 포함한다.
S1407: NFp는 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일하다고 결정한다.
구체적으로, 제2 서비스 요청을 수신한 후, NFp는 검증을 통해 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일한지 여부를 결정한다. 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일한 경우, NFp는 SCP를 통해 NFc에 서비스 응답을 반환하는 S1408를 수행한다. 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 다른 경우, NFp는 서비스 요청 실패를 나타내는 정보를 SCP를 통해 NFc로 반환한다.
S1407에서 NFp가 검증을 통해 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일한지 여부를 결정하는 특정 구현은 S702의 특정 구현과 유사하다는 것을 이해할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
S1408: NFp는 SCP를 통해 NFc로 서비스 응답을 반환하고, NFc는 SCP를 통해 서비스 응답을 수신한다.
S1408의 특정 구현은 S703A의 특정 구현과 유사하다는 것을 이해할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
도 14에 도시된 기술 솔루션에서, SCP는 NFc로부터의 제1 서비스 요청으로 전달된 NFc의 어서션의 인증서와 연관된 제1 FQDN과 제3 NF 인스턴스 ID 간의 일치 관계를 검증하고, NRF는 SCP로부터의 토큰 요청으로 전달된 제1 정보와 제2 정보 간의 일치 관계를 검증하며, NFp는 SCP로부터의 제2 서비스 요청으로 전달된 토큰의 제1 NF 인스턴스 ID와 어서션의 제2 NF 인스턴스 ID 간의 일치 관계를 검증한다. 이는 공격자가 불법적으로 토큰을 도용하고 어서션을 위조하며 또한 NF 서비스를 불법적으로 획득하는 경우를 효과적으로 방지한다. 또한, NFc의 프로파일을 이용하여 NFc의 유효성을 검증할 필요가 없다. 따라서, NRF는 프로파일이 NRF에 저장되지 않은 NFc의 파라미터의 유효성도 검증할 수 있다. 따라서, 본 출원의 이 실시예에서는 NF 서비스를 사용하는 보안이 효과적으로 향상될 수 있으며, SCP는 NFc의 어서션의 인증서와 연관된 제1 FQDN과 제3 NF 인스턴스 ID 간의 일치 관계를 반복적으로 검증할 필요가 없다. 이는 컴퓨팅 자원을 효과적으로 감소시킨다.
실시예 3:
이 예와 예 1 및 예 2의 차이점은 다음과 같다: 예 3에서, NFc는 NRF로의 토큰 요청을 직접 개시하고, NRF에 의해 반환된 토큰을 수신한 후, SCP에 서비스 요청을 보낸다. 서비스 요청을 수신한 후, SCP는 서비스 요청으로 전달된 어서션의 인증서와 연관된 제1 FQDN과 제3 NF 인스턴스 ID 간의 일치 관계를 검증한다.
도 15에 도시된 바와 같이, 도 4, 도 7 및 도 9에 도시된 기술 솔루션을 참조하여, 본 출원의 실시예는 또 다른 서비스 인가 및 요청 방법을 제공한다. 방법은 도 3c에 도시된 애플리케이션 시나리오에 적용될 수 있고, 방법은 다음 단계들을 포함한다.
S1501: NFc는 NRF에 토큰 요청을 보내고, NRF는 토큰 요청을 수신한다.
구체적으로, 토큰 요청은 NFc의 제1 정보를 전달한다. 토큰 요청을 수신한 후, NRF는 NFc의 인증서를 획득하고, 인증서는 제2 정보를 포함한다. NRF는 검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정하는 S1502를 수행한다. 제1 정보가 제2 정보와 일치하면, NRF는 1503을 수행한다. 제1 정보가 제2 정보와 일치하지 않으면, NRF는 토큰 요청이 실패했음을 나타내는 표시 정보를 NFc로 반환하거나 NFc의 토큰 요청을 거부한다.
본 출원의 이 실시예에서, NRF에 의해 획득된 NFc의 인증서는 NRF가 NFc로의 전송 계층 링크를 수립할 때 NRF에 의해 획득된 NFc의 인증서일 수 있거나, NRF에 사전구성된 NFc의 인증서일 수 있거나, 토큰 요청으로 전달된 NFc의 인증서일 수 있다.
S1502: NRF는 제1 정보가 제2 정보와 일치한다고 결정한다.
S1502에서 NRF가 검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정하는 특정 구현은 S302의 특정 구현과 유사하다는 것을 이해할 수 있다. S402의 관련 설명을 참조하시오. 자세한 내용은 여기서 다시 설명하지 않는다.
S1503: NRF는 NFc에 토큰을 보내고, NFc는 토큰을 수신한다.
구체적으로, NFc에 토큰을 보내기 전에, NRF는 인증서 및 제1 NF 인스턴스 ID를 전달하는 토큰을 생성한다.
S1504: NFc는 SCP에 서비스 요청을 보내고, SCP는 서비스 요청을 수신한다.
구체적으로, 서비스 요청은 NFc의 토큰 및 어서션을 전달하고, 어서션은 NFc의 인증서를 포함한다. 서비스 요청을 수신한 후, SCP는 인증서와 연관된 제1 FQDN 및 제3 NF 인스턴스 ID를 결정하고, S1505를 수행하여 제1 FQDN이 제3 NF 인스턴스 ID와 일치하는지 여부를 결정할 수 있다. 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 걸정되면, SCP는 계속해서 S1506을 수행한다. 제1 FQDN이 제3 NF 인스턴스 ID와 일치하지 않는 것으로 결정되면, SCP는 서비스 요청이 실패했음을 나타내는 표시 정보를 NFc로 반환한다.
S1505: SCP는 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정한다.
S1505에서 SCP가 제1 FQDN이 제3 NF 인스턴스 ID와 일치한다고 결정하는 특정 구현은 S902의 특정 구현과 유사하다는 것을 이해할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
S1506: SCP는 NFp에 서비스 요청을 보내고, NFp는 서비스 요청을 수신한다.
구체적으로, 서비스 요청은 NFc의 어서션 및 토큰을 전달하고, 토큰은 제1 NF 인스턴스 ID를 전달하며, 어서션은 제2 NF 인스턴스 ID를 전달한다.
S1507: NFp는 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일하다고 결정한다.
구체적으로, 서비스 요청을 수신한 후, NFp는 검증을 통해 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일한지 여부를 결정한다. 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 같으면, NFp는 SCP를 통해 NFc에 서비스 응답을 반환하는 S1508을 수행한다. 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 다른 경우, NFp는 서비스 요청이 실패했음을 나타내는 정보를 SCP를 통해 NFc로 반환한다.
S1507에서 NFp가 검증을 통해 제1 NF 인스턴스 ID가 제2 NF 인스턴스 ID와 동일한지 여부를 결정하는 특정 구현은 S702의 특정 구현과 유사하다는 것을 이해할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
S1508: NFp는 SCP를 통해 서비스 응답을 NFc로 반환하고, NFc는 SCP를 통해 서비스 응답을 수신한다.
S1508의 특정 구현은 S703A의 특정 구현과 유사하다는 것을 이해할 수 있다. 자세한 내용은 여기서 다시 설명하지 않는다.
도 15에 도시된 기술 솔루션에서, NRF는 NFc로부터의 토큰 요청으로 전달된 제1 정보와 인증서의 제2 정보 간의 일치 관계를 검증하고, SCP는 NFc로부터의 서비스 요청으로 전달된 어서션의 인증서와 연관된 제1 FQDN과 제3 NF 인스턴스 ID 간의 일치 관계를 검증하며, NFP는 SCP로부터의 서비스 요청으로 전달된 NFc의 토큰 내의 제1 NF 인스턴스 ID와 NFc의 어서션 내의 제2 NF 인스턴스 ID 간의 일치 관계를 검증한다. 이것은 공격자가 불법적으로 토큰을 도용하고 어서션을 위조하며 나아가 불법적으로 NF 서비스를 획득하는 경우를 방지한다. 또한, NRF는 프로파일이 NRF에 저장되지 않은 NFc의 파라미터의 유효성도 검증할 수 있다. 이는 본 출원의 이 실시예에서 NF 서비스를 사용하는 보안을 효과적으로 향상시킬 수 있다.
분명히, 실제 응용에서, 전술한 세 가지 예에 더하여, 여기에서 하나씩 나열되지 않은 더 많은 다른 조합 솔루션이 있을 수 있다.
본 출원의 실시예의 전술한 솔루션을 더 잘 이해하기 위해, 본 출원의 전술한 실시예의 여러 NF 인스턴스 ID가 여기에서 더 명확해진다. 제1 NF 인스턴스 ID는 NFc의 토큰 요청으로 전달된 NF 인스턴스 ID 또는 토큰의 NF 인스턴스 ID이고, 제2 NF 인스턴스 ID는 NFc의 어서션으로 전달된 NF 인스턴스 ID이며, 제3 NF 인스턴스는 ID는 NFc의 어서션으로 전달되는 NF 인스턴스 ID이다.
본 출원의 실시예에 열거된 정보에 더하여, 본 출원의 실시예에서 토큰 요청, 토큰, 서비스 요청 또는 서비스 응답과 같은 메시지는 다른 정보를 더 포함할 수 있다는 점에 유의해야 한다. 이것은 본 출원에서 제한되지 않는다.
NFc가 NFp로부터 NF 서비스에 가입하는 애플리케이션 시나리오에서, 일부 공격자는 NF 서비스의 알림 정보를 불법적으로 획득하기 위해 가입 요청으로 불법 URI를 전달할 수 있다. 그 결과, NF 서비스의 네트워크 정보가 노출된다. 이를 고려하여, 본 출원의 실시예는 서비스 인가 방법을 더 제공한다. 도 16을 참조하시오. 이 방법은 다음 단계들을 포함한다.
S1601: NFc는 NFp에 가입 요청을 보내고, NFp는 가입 요청을 수신한다.
가능한 구현에서, 가입 요청은 NFc의 제1 URI 및 NFc의 인증서를 전달하고, 인증서는 제2 URI를 포함한다. 이 경우, NFp는 가입 요청으로부터 제1 URI와 제2 URI를 획득할 수 있다.
다른 가능한 구현에서, 가입 요청은 NFc의 제1 URI를 전달하고, NFp는 다른 방식으로 NFc의 인증서를 획득하며, 예를 들어, 전송 계층으로부터 NFc의 인증서를 획득한 다음 NFc의 인증서로부터 제2 URI를 획득한다. 이 경우, NFp는 제1 URI와 제2 URI도 획득할 수 있다.
S1602: NFp는 검증을 통해 제1 URI가 인증서의 제2 URI와 일치하는지 여부를 결정한다.
구체적으로, NFp가 검증을 통해 제1 URI가 제2 URI와 일치하는지 여부를 결정하는 프로세스는 구체적으로 제1 URI가 제2 URI와 일치한다고 결정하거나, 제1 URI가 제2 URI의 서브세트라고 결정하는 것을 포함할 수 있다. 예를 들어, 제1 URI가 "##8888"이고, 제2 URI도 "##8888"인 경우, NFp는 제1 URI가 제2 URI와 일치한다고 결정한다. 다른 예로, 제1 URI가 "123"이고, 제2 URI가 {123, 456}이며, 제1 NF URI가 제2 NF URI의 서브세트인 경우, NFp는 제1 NF URI가 제2 NF URI와 일치한다고 결정한다. 제1 URI가 제2 URI와 일치한다고 결정되면, NFp는 S1603A를 수행한다. 제1 URI가 제2 URI와 일치하지 않는다고 결정되면, NFp는 S1603B를 수행한다.
S1603A: NFp는 NFc에 제1 응답 정보를 반환하고, NFc는 제1 응답 정보를 수신하며, 제1 응답 정보는 NFc의 가입 요청이 성공하거나 NFp가 가입 요청을 수락함을 나타낸다.
구체적으로, NFc가 보낸 가입 요청에 동의한 후, NFp는 사전설정된 시간 주기에 기초하여 NFc가 지원하는 NF 서비스와 관련된 알림 메시지를 NFc로 보낼 수 있다.
S1603B: NFp는 NFc에 제2 응답 정보를 반환하고, NFc는 제2 응답 정보를 수신하며, 제2 응답 정보는 NFc의 가입 요청이 실패하거나 NFp가 가입 요청을 거부함을 나타낸다.
도 16에 도시된 실시예에서, NFp는 검증을 통해 가입 요청으로 전달된 NFc의 제1 정보의 제1 URI가 NFc의 전송 계층 인증서의 제2 URI와 일치하는지 여부를 결정하여, NFc가 불법적으로 네트워크 정보를 얻기 위해 가입 요청으로 불법 URI를 불법적으로 전달하는 경우를 효과적으로 방지할 수 있다. 이는 NF 서비스의 네트워크 정보가 공개되는 것을 효과적으로 방지한다.
전술한 내용은 도 4 내지 도 16을 참조하여 본 출원의 실시예에서 제공되는 서비스 인가 방법을 설명한다. 다음은 도 17, 도 18 및 도 19를 참조하여 본 출원의 실시예에서 제공되는 장치를 설명한다.
동일한 기술 개념에 기초하여, 본 출원의 실시예는 통신 장치(1700)를 더 제공한다. 장치(1700)는 전술한 방법 예에서 NRF를 구현하는 기능을 갖는다. 예를 들어, 장치(1700)는 도 10에 도시된 실시예에서 NRF에 의해 수행되는 단계를 수행하기 위한 해당 모듈, 유닛 또는 수단(mean)을 포함한다. 기능, 유닛 또는 수단은 소프트웨어로 구현되거나 하드웨어로 구현되거나 해당 소프트웨어를 실행하여 하드웨어로 구현될 수 있다.
예를 들어, 도 17을 참조하시오. 장치(1700)는:
제1 네트워크 요소로부터 제1 토큰 요청을 수신하도록 구성된 송수신기 유닛(1701) - 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 어서션은 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하며, 인증서는 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 과,
검증을 통해 제1 정보가 제2 정보와 일치하는지 여부를 결정하고, 제1 정보가 제2 정보와 일치한다고 결정되면 토큰을 생성하도록 구성된 처리 유닛(1702)을 포함할 수 있고,
송수신기 유닛(1701)은 토큰을 제1 네트워크 요소로 보내도록 더 구성된다.
전술한 방법 실시예의 단계들의 모든 관련 내용은 해당 기능 모듈의 기능 설명에서 참조될 수 있음을 이해해야 한다. 자세한 내용은 여기서 다시 설명하지 않는다.
동일한 기술 개념에 기초하여, 본 출원의 실시예는 통신 장치(1800)를 더 제공한다. 장치(1800)는 전술한 방법 예에서 제1 네트워크 요소를 구현하는 기능을 갖는다. 예를 들어, 장치(1800)는 도 7에 도시된 실시예에서 제1 네트워크 요소에 의해 수행되는 단계들을 수행하기 위한 해당 모듈, 유닛 또는 수단(mean)을 포함한다. 기능, 유닛 또는 수단은 소프트웨어로 구현되거나 하드웨어로 구현되거나 해당 소프트웨어를 실행하여 하드웨어로 구현될 수 있다.
예를 들어, 도 18을 참조하시오. 장치(1800)는:
제1 토큰 요청을 생성하도록 구성된 처리 유닛(1801) - 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 어서션은 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하고, 인증서는 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 과,
네트워크 저장소 기능 네트워크 요소에 제1 토큰 요청을 보내고 네트워크 저장소 기능 네트워크 요소로부터 토큰을 수신하도록 구성된 송수신기 유닛(1802)을 포함할 수 있다.
전술한 방법 실시예의 단계들의 모든 관련 내용은 해당 기능 모듈의 기능 설명에서 참조될 수 있음을 이해해야 한다. 자세한 내용은 여기서 다시 설명하지 않는다.
동일한 기술 개념에 기초하여, 본 출원의 실시예는 통신 장치(1900)를 더 제공한다. 장치(1900)는 전술한 방법 예에서 NFp를 구현하는 기능을 갖는다. 예를 들어, 장치(1900)는 도 7에 도시된 실시예에서 NFp에 의해 수행되는 단계들을 수행하기 위한 해당 모듈, 유닛 또는 수단(mean)을 포함한다. 기능, 유닛 또는 수단은 소프트웨어로 구현되거나 하드웨어로 구현되거나 해당 소프트웨어를 실행하여 하드웨어로 구현될 수 있다.
예를 들어, 도 19를 참조하시오. 장치(1900)는:
제1 네트워크 요소로부터 제1 서비스 요청을 수신하도록 구성된 송수신기 유닛(1901) - 제1 서비스 요청은 토큰 및 어서션을 포함하고, 토큰은 제1 네트워크 기능 인스턴스 식별자를 포함하며, 어서션은 제2 네트워크 기능 인스턴스 식별자를 포함함 - 과,
검증을 통해 제1 네트워크 기능 인스턴스 식별자가 제2 네트워크 기능 인스턴스 식별자와 일치하는지 여부를 결정하고, 제1 네트워크 기능 인스턴스 식별자가 제2 네트워크 기능 인스턴스 식별자와 일치한다고 결정되면, 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공하도록 구성된 처리 유닛(1902)을 포함할 수 있다.
전술한 방법 실시예의 단계들의 모든 관련 내용은 해당 기능 모듈의 기능 설명에서 참조될 수 있음을 이해해야 한다. 자세한 내용은 여기서 다시 설명하지 않는다.
동일한 기술 개념에 기초하여, 본 출원의 실시예는 도 4 내지 도 16에 도시된 실시예의 방법을 구현하도록 구성된 전자 디바이스(2000)를 더 제공한다.
도 20에 도시된 바와 같이, 전자 디바이스(2000)는 메모리(2002)에 저장된 프로그램 또는 명령어를 실행하도록 구성된 프로세서(2001)를 포함할 수 있다. 메모리(2002)에 저장된 프로그램 또는 명령어가 실행될 때, 프로세서는 도 4 내지 도 16에 도시된 실시예의 방법을 수행하도록 구성된다.
선택적으로, 전자 디바이스(2000)는 통신 인터페이스(2003)를 더 포함할 수 있다. 도 20에서, 통신 인터페이스(2003)는 점선으로 표시되며, 전자 디바이스(2000)에 대해 선택적이다.
프로세서(2001), 메모리(2002) 및 통신 인터페이스(2003)의 수는 본 출원의 이 실시예에 대한 제한을 구성하지 않으며, 특정 구현 동안 서비스 요구사항에 기초하여 랜덤으로 구성될 수 있다.
선택적으로, 메모리(2002)는 전자 디바이스(2000) 외부에 위치된다.
선택적으로, 전자 디바이스(2000)는 메모리(2002)를 포함하고, 메모리(2002)는 적어도 하나의 프로세서(2001)에 연결되며, 메모리(2002)는 적어도 하나의 프로세서(2001)에 의해 실행될 수 있는 명령어를 저장한다. 도 20에서, 메모리(2002)는 파선으로 표시되고, 전자 디바이스(2000)에 대해 선택적이다.
프로세서(2001) 및 메모리(2002)는 인터페이스 회로를 통해 결합될 수 있거나 함께 통합될 수 있다. 이것은 여기에서 제한되지 않는다.
프로세서(2001), 메모리(2002) 및 통신 인터페이스(2003) 사이의 특정 연결 매체는 본 출원의 이 실시예에서 제한되지 않는다. 본 출원의 이 실시예에서, 도 20에서 프로세서(2001), 메모리(2002) 및 통신 인터페이스(2003)는 버스(2004)를 통해 연결된다. 도 20에서 버스는 굵은 선으로 표현된다. 다른 구성요소 간의 연결 방식은 설명을 위한 예시일 뿐, 이에 한정되지 않는다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 표현의 용이함을 위해, 도 20에서 버스를 나타내기 위한 굵은 선이 하나만 있지만, 이것은 버스가 하나뿐이거나 버스 유형이 하나뿐이라는 의미는 아니다.
본 출원의 실시예에서 언급된 프로세서는 하드웨어에 의해 구현될 수 있거나 소프트웨어에 의해 구현될 수 있음을 이해해야 한다. 프로세서가 하드웨어를 사용하여 구현되는 경우, 프로세서는 로직 회로, 집적 회로 등이 될 수 있다. 프로세서가 소프트웨어를 사용하여 구현될 때, 프로세서는 범용 프로세서일 수 있으며, 메모리에 저장된 소프트웨어 코드를 읽음으로써 구현된다.
예를 들어, 프로세서는 중앙 처리 장치(Central Processing Unit, CPU)일 수 있거나, 다른 범용 프로세서, 디지털 신호 프로세서(Digital Signal Processor, DSP), 주문형 집적 회로(Application-Specific Integrated Circuit, ASIC), 필드 프로그래밍 가능 게이트 어레이(Field Programmable Gate Array, FPGA), 다른 프로그래밍 가능 로직 디바이스, 개별 게이트, 트랜지스터 로직 디바이스, 개별 하드웨어 구성요소 등일 수 있다. 범용 프로세서는 마이크로프로세서일 수 있거나, 프로세서는 임의의 종래의 프로세서 등일 수 있다.
본 출원의 실시예에서 언급된 메모리는 휘발성 메모리 또는 비휘발성 메모리일 수 있거나, 휘발성 메모리 및 비휘발성 메모리를 포함할 수 있음을 이해할 수 있다. 비휘발성 메모리는 판독 전용 메모리(Read-Only Memory, ROM), 프로그램 가능한 판독 전용 메모리(Programmable ROM, PROM), 소거 가능한 프로그램 가능한 판독 전용 메모리(Erasable PROM, EPROM), 전기적으로 소거 가능한 프로그램 가능한 판독 전용 메모리(Electrically EPROM, EEPROM) 또는 플래시 메모리일 수 있다. 휘발성 메모리는 외부 캐시로서 사용되는 랜덤 액세스 메모리(Random Access Memory, RAM)일 수 있다. 제한이 아닌 예로서, 많은 형태의 RAM, 예를 들어, 정적 랜덤 액세스 메모리(Static RAM, SRAM), 동적 랜덤 액세스 메모리(Dynamic RAM, DRAM), 동기식 동적 랜덤 액세스 메모리(Synchronous DRAM, SDRAM), 더블 데이터 레이트 동기식 동적 랜덤 액세스 메모리(Double Data Rate SDRAM, DDR SDRAM), 향상된 동기식 동적 랜덤 액세스 메모리(Enhanced SDRAM, ESDRAM), 동기화링크 동적 랜덤 액세스 메모리(Synchlink DRAM, SLDRAM) 및 다이렉트 램버스 랜덤 액세스 메모리(Direct Rambus RAM, DR RAM)가 사용될 수 있다.
프로세서가 범용 프로세서, DSP, ASIC, FPGA, 다른 프로그래밍 가능한 로직 디바이스, 개별 게이트 또는 트랜지스터 로직 디바이스 또는 개별 하드웨어 구성요소인 경우, 메모리(저장 모듈)이 프로세서에 통합될 수 있음에 유의해야 한다.
본 명세서에 기술된 메모리는 이러한 메모리 및 다른 적절한 유형의 임의의 메모리를 포함하는 것을 목표로 하지만 이에 제한되지 않는다는 점에 유의해야 한다.
동일한 기술 개념에 기초하여, 본 출원의 실시예는 프로그램 또는 명령어를 포함하는 컴퓨터 판독가능 저장 매체를 더 제공한다. 프로그램 또는 명령어가 컴퓨터에서 실행될 때, 전술한 방법 예에서 NRF에 의해 수행되는 방법, 제1 네트워크 요소에 의해 수행되는 방법 또는 NFp에 의해 수행되는 방법이 수행된다.
동일한 기술 개념에 기초하여, 본 출원의 실시예는 칩을 더 제공한다. 칩은 메모리에 결합되고, 메모리에 저장된 프로그램 명령어를 읽고 실행하도록 구성되어, 전술한 방법 예에서 NRF에 의해 수행되는 방법, 제1 네트워크 요소에 의해 수행되는 방법 또는 NFp에 의해 수행되는 방법이 수행된다.
동일한 기술 개념에 기초하여, 본 출원의 실시예는 컴퓨터 프로그램 명령어를 더 제공한다. 컴퓨터 프로그램 명령어가 컴퓨터에서 실행될 때, 전술한 방법 예에서 NRF에 의해 수행되는 방법, 제1 네트워크 요소에 의해 수행되는 방법 또는 NFp에 의해 수행되는 방법이 수행된다.
전술한 실시예는 상이한 기술적 효과를 달성하기 위해 서로 조합될 수 있다.
당업자는 본 출원의 실시예가 방법, 시스템 또는 컴퓨터 프로그램 제품으로서 제공될 수 있음을 이해해야 한다. 따라서, 본 출원은 하드웨어만의 실시예, 소프트웨어만의 실시예 또는 소프트웨어와 하드웨어가 결합된 실시예의 형태를 사용할 수 있다. 또한, 본 출원은 컴퓨터 사용가능 프로그램 코드를 포함하는 하나 이상의 컴퓨터 사용가능 저장 매체(디스크 메모리, CD-ROM, 광학 메모리 등을 포함하되 이에 제한되지 않음)에 구현되는 컴퓨터 프로그램 제품의 형태를 사용할 수 있다.
본 출원은 본 출원의 실시예에 따른 방법, 디바이스(시스템) 및 컴퓨터 프로그램 제품의 흐름도 및/또는 블록도를 참조하여 설명된다. 컴퓨터 프로그램 명령어는 흐름도 및/또는 블록도의 각 프로세스 및/또는 각 블록과 흐름도 및/또는 블록도의 프로세스 및/또는 블록의 조합을 구현하는 데 사용될 수 있음을 이해해야 한다. 이러한 컴퓨터 프로그램 명령어는 범용 컴퓨터, 전용 컴퓨터, 내장형 프로세서 또는 임의의 다른 프로그래밍 가능한 데이터 처리 디바이스의 프로세서에 제공되어 머신을 생성하여, 컴퓨터 또는 임의의 다른 프로그래밍 가능한 데이터 처리 디바이스의 프로세서에 의해 실행되는 명령어가 흐름도의 하나 이상의 프로세스 및/또는 블록도의 하나 이상의 블록에서 특정 기능을 구현하기 위한 장치를 생성하도록 할 수 있다.
컴퓨터 또는 임의의 다른 프로그래밍 가능한 데이터 처리 디바이스에 특정 방식으로 작동하도록 지시할 수 있는 이러한 컴퓨터 프로그램 명령어는 컴퓨터 판독가능 메모리에 저장될 수 있어서, 컴퓨터 판독가능 메모리에 저장된 명령어는 명령어 장치를 포함하는 아티팩트를 생성한다. 명령어 장치는 흐름도의 하나 이상의 프로세스 및/또는 블록도의 하나 이상의 블록에서 특정 기능을 구현한다.
컴퓨터 프로그램 명령어는 이와 달리 컴퓨터 또는 다른 프로그램 가능한 데이터 처리 디바이스에 로드되어 일련의 동작 및 단계가 컴퓨터 또는 다른 프로그램 가능한 디바이스에서 수행되어 컴퓨터로 구현된 처리가 생성될 수 있다. 따라서, 컴퓨터 또는 다른 프로그램 가능한 디바이스에서 실행되는 명령어는 순서도의 하나 이상의 절차 및/또는 블록도의 하나 이상의 블록에서 특정 기능을 구현하기 위한 단계를 제공한다.
당업자가 본 출원의 실시예의 범위를 벗어나지 않고 본 출원의 실시예에 대한 다양한 수정 및 변형을 할 수 있다는 것은 명백하다. 본 출원은 다음 청구범위 및 그와 균등한 기술에 의해 정의된 보호 범위 내에 있는 이러한 수정 및 변형을 포함하도록 의도된다.
Claims (40)
- 처리 방법으로서,
네트워크 저장소 기능 네트워크 요소에 의해, 네트워크 기능 서비스 소비자 엔티티로부터 토큰 요청을 수신하는 단계 - 상기 토큰 요청은 상기 네트워크 기능 서비스 소비자 엔티티의 제1 정보를 전달함 - 와,
상기 네트워크 저장소 기능 네트워크 요소에 의해, 상기 네트워크 기능 서비스 소비자 엔티티의 인증서를 획득하는 단계 - 상기 인증서는 제2 정보를 포함함 - 와,
검증을 통해, 상기 제1 정보가 상기 제2 정보와 일치한다고 결정한 후, 상기 네트워크 저장소 기능 네트워크 요소에 의해, 상기 네트워크 기능 서비스 소비자 엔티티로 토큰을 전송하는 단계를 포함하는,
처리 방법.
- 제1항에 있어서,
상기 제1 정보는 제1 네트워크 기능 유형을 포함하고, 상기 제2 정보는 제2 네트워크 기능 유형을 포함하는,
처리 방법.
- 제1항 또는 제2항에 있어서,
상기 방법은,
검증을 통해, 상기 제1 정보가 상기 제2 정보와 일치하지 않는다고 결정하면, 상기 네트워크 저장소 기능 네트워크 요소에 의해, 상기 네트워크 기능 서비스 소비자 엔티티로 실패 응답을 전송하는 단계를 더 포함하는,
처리 방법.
- 제1항 내지 제3항 중 어느 한 항에 있어서,
상기 방법은,
상기 네트워크 기능 서비스 제공자 엔티티에 의해, 상기 네트워크 기능 서비스 소비자 엔티티로부터 서비스 요청을 수신하는 단계 - 상기 서비스 요청은 상기 토큰 및 어서션(assertion)을 포함하고, 상기 토큰은 제1 NF 인스턴스 ID를 포함하며, 상기 어서션은 제2 NF 인스턴스 ID를 포함함 - 와,
검증을 통해, 상기 제1 NF 인스턴스 ID가 상기 제2 NF 인스턴스 ID와 일치한다고 결정한 후, 상기 네트워크 기능 서비스 제공자 엔티티에 의해, 상기 네트워크 기능 서비스 소비자 엔티티로 서비스 응답을 전송하는 단계를 더 포함하는,
처리 방법.
- 제4항에 있어서,
상기 방법은,
검증을 통해, 상기 제1 NF 인스턴스 ID가 상기 제2 NF 인스턴스 ID와 일치하지 않는다고 결정하면, 상기 네트워크 기능 서비스 제공자 엔티티에 의해, 상기 네트워크 기능 서비스 소비자 엔티티로 실패 응답을 전송하는 단계를 더 포함하는,
처리 방법.
- 제1항 내지 제5항 중 어느 한 항에 있어서,
검증을 통해 상기 네트워크 저장소 기능 네트워크 요소에 의해, 상기 제1 정보가 상기 제2 정보와 일치한다고 결정한 후, 상기 방법은 상기 토큰을 생성하는 단계를 더 포함하는,
처리 방법.
- 처리 방법으로서,
네트워크 기능 서비스 제공자 엔티티에 의해, 네트워크 기능 서비스 소비자 엔티티로부터 서비스 요청을 수신하는 단계 - 상기 서비스 요청은 토큰 및 어서션을 포함하고, 상기 토큰은 제1 NF 인스턴스 ID를 포함하며, 상기 어서션은 제2 NF 인스턴스 ID를 포함함 - 와,
검증을 통해, 상기 제1 NF 인스턴스 ID가 상기 제2 NF 인스턴스 ID와 일치한다고 결정한 후, 상기 네트워크 기능 서비스 제공자 엔티티에 의해, 상기 네트워크 기능 서비스 소비자 엔티티로 서비스 응답을 전송하는 단계를 포함하는,
처리 방법.
- 제7항에 있어서,
상기 방법은,
검증을 통해, 상기 제1 NF 인스턴스 ID가 상기 제2 NF 인스턴스 ID와 일치하지 않는다고 결정하면, 상기 네트워크 기능 서비스 제공자 엔티티에 의해, 상기 네트워크 기능 서비스 소비자 엔티티로 실패 응답을 전송하는 단계를 더 포함하는,
처리 방법.
- 통신 장치로서,
네트워크 기능 서비스 소비자 엔티티로부터 토큰 요청을 수신하도록 구성된 송수신기 유닛 - 상기 토큰 요청은 상기 네트워크 기능 서비스 소비자 엔티티의 제1 정보를 전달함 - 과,
상기 네트워크 기능 서비스 소비자 엔티티의 인증서 - 상기 인증서는 제2 정보를 포함함 - 를 획득하고, 검증을 통해, 상기 제1 정보가 상기 제2 정보와 일치하는지 여부를 결정도록 구성된 처리 유닛을 포함하되,
상기 송수신기 유닛은, 검증을 통해 상기 제1 정보가 상기 제2 정보와 일치한다고 결정된 후, 상기 네트워크 기능 서비스 소비자 엔티티로 토큰을 전송하도록 더 구성되는,
통신 장치.
- 제9항에 있어서,
상기 제1 정보는 제1 네트워크 기능 유형을 포함하고, 상기 제2 정보는 제2 네트워크 기능 유형을 포함하는,
통신 장치.
- 제9항 또는 제10항에 있어서,
상기 송수신기 유닛은, 상기 처리 유닛이 검증을 통해 상기 제1 정보가 상기 제2 정보와 일치하지 않는다고 결정하면, 상기 네트워크 기능 서비스 소비자 엔티티로 실패 응답을 전송하도록 더 구성되는,
통신 장치.
- 제9항 내지 제11항 중 어느 한 항에 있어서,
검증을 통해 상기 제1 정보가 상기 제2 정보와 일치한다고 결정한 후, 상기 처리 유닛은 상기 토큰을 생성하도록 더 구성되는,
통신 장치.
- 통신 장치로서,
네트워크 기능 서비스 소비자 엔티티로부터 서비스 요청을 수신하도록 구성된 송수신기 유닛 - 상기 서비스 요청은 토큰 및 어서션을 포함하고, 상기 토큰은 제1 NF 인스턴스 ID를 포함하며, 상기 어서션은 제2 NF 인스턴스 ID를 포함함 - 과,
검증을 통해, 상기 제1 NF 인스턴스 ID가 상기 제2 NF 인스턴스 ID와 일치하는지 여부를 결정하도록 구성된 처리 유닛을 포함하되,
상기 송수신기 유닛은, 상기 처리 유닛이 검증을 통해 상기 제1 NF 인스턴스 ID가 상기 제2 NF 인스턴스 ID와 일치한다고 결정한 후, 상기 네트워크 기능 서비스 소비자 엔티티로 서비스 응답을 전송하도록 더 구성되는,
통신 장치.
- 제13항에 있어서,
상기 송수신기 유닛은, 상기 처리 유닛이 검증을 통해 상기 제1 NF 인스턴스 ID가 상기 제2 NF 인스턴스 ID와 일치하지 않는다고 결정하면, 상기 네트워크 기능 서비스 소비자 엔티티로 실패 응답을 전송하도록 더 구성되는,
통신 장치.
- 서비스 인가 방법으로서,
제1 네트워크 요소에 의해, 네트워크 저장소 기능 네트워크 요소로 제1 토큰 요청을 전송하는 단계 - 상기 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 상기 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 상기 어서션은 상기 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하며, 상기 인증서는 상기 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 와,
상기 네트워크 저장소 기능 네트워크 요소에 의해, 상기 제1 토큰 요청을 수신하고, 검증을 통해 상기 제1 정보가 상기 제2 정보와 일치하는지 여부를 결정하며, 상기 제1 정보가 상기 제2 정보와 일치한다고 결정한 후, 토큰을 생성하고, 상기 토큰을 상기 제1 네트워크 요소로 전송하는 단계와,
상기 제1 네트워크 요소에 의해 상기 토큰을 수신하는 단계를 포함하는,
서비스 인가 방법.
- 제15항에 있어서,
상기 방법은,
상기 토큰을 수신한 후, 상기 제1 네트워크 요소에 의해, 네트워크 기능 서비스 제공자 엔티티로 제1 서비스 요청을 전송하는 단계 - 상기 제1 서비스 요청은 상기 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공하도록 상기 네트워크 기능 서비스 제공자 엔티티에 요청하기 위한 것이고, 상기 제1 서비스 요청은 상기 토큰 및 상기 어서션을 포함하며, 상기 토큰은 제1 네트워크 기능 인스턴스 식별자를 포함하고, 상기 어서션은 제2 네트워크 기능 인스턴스 식별자를 더 포함함 - 와,
상기 네트워크 기능 서비스 제공자 엔티티에 의해, 상기 제1 서비스 요청을 수신하고, 검증을 통해 상기 제1 네트워크 기능 인스턴스 식별자가 상기 제2 네트워크 기능 인스턴스 식별자와 동일한지 여부를 결정하며, 상기 제1 네트워크 기능 인스턴스 식별자가 상기 제2 네트워크 기능 인스턴스 식별자와 동일하다고 결정한 후, 상기 네트워크 기능 서비스 소비자 엔티티에 상기 서비스를 제공하는 단계를 더 포함하는,
서비스 인가 방법.
- 제15항 또는 제16항에 있어서,
상기 제1 네트워크 요소는 서비스 통신 프록시 네트워크 요소이고, 상기 제1 네트워크 요소에 의해 상기 네트워크 저장소 기능 네트워크 요소로 상기 제1 토큰 요청을 전송하기 전에, 상기 방법은,
상기 서비스 통신 프록시 네트워크 요소에 의해, 상기 네트워크 기능 서비스 소비자 엔티티로부터 제2 토큰 요청 또는 제2 서비스 요청을 수신하는 단계 - 상기 제2 토큰 요청 또는 상기 제2 서비스 요청은 상기 인증서를 포함함 - 와,
상기 서비스 통신 프록시 네트워크 요소에 의해, 상기 인증서와 연관된 제1 전체 주소 도메인 이름(fully qualified domain name, FQDN) 및 제3 네트워크 기능 인스턴스 식별자를 획득하고, 상기 제1 FQDN이 상기 제3 네트워크 기능 인스턴스 식별자와 일치한다고 결정하는 단계를 더 포함하는,
서비스 인가 방법.
- 제16항에 있어서,
상기 제1 네트워크 요소는 상기 네트워크 기능 서비스 소비자 엔티티이고, 상기 제1 네트워크 요소에 의해 상기 네트워크 기능 서비스 제공자 엔티티로 제1 서비스 요청을 전송하는 단계는,
상기 네트워크 기능 서비스 소비자 엔티티에 의해, 상기 서비스 통신 프록시 네트워크 요소를 사용하여 상기 네트워크 기능 서비스 제공자 엔티티로 상기 제1 서비스 요청을 전송하는 단계 - 상기 제1 서비스 요청은 상기 인증서를 포함함 - 와,
상기 서비스 통신 프록시 네트워크 요소에 의해, 상기 제1 네트워크 요소로부터 상기 제1 서비스 요청을 수신하고, 상기 제1 서비스 요청을 수신한 후, 상기 인증서와 연관된 제1 전체 주소 도메인 이름(FQDN) 및 제3 네트워크 기능 인스턴스 식별자를 획득하며, 상기 제1 FQDN이 상기 제3 네트워크 기능 인스턴스 식별자와 일치한다고 결정한 후, 상기 네트워크 기능 서비스 제공자 엔티티로 상기 제1 서비스 요청을 전송하는 단계를 포함하는,
서비스 인가 방법.
- 제17항 또는 제18항에 있어서,
상기 네트워크 저장소 기능 네트워크 요소에 의해 상기 제1 토큰 요청을 수신한 후 및 상기 토큰을 상기 제1 네트워크 요소로 전송하기 전에, 상기 방법은,
상기 네트워크 저장소 기능 네트워크 요소에 의해, 상기 인증서와 연관된 상기 제1 전체 주소 도메인 이름(FQDN) 및 상기 제3 네트워크 기능 인스턴스 식별자를 획득하고, 상기 제1 FQDN이 상기 제3 네트워크 기능 인스턴스 식별자와 일치하고 상기 제1 정보가 상기 제2 정보와 일치한다고 결정하는 단계를 더 포함하는,
서비스 인가 방법.
- 제15항 내지 제19항 중 어느 한 항에 있어서,
상기 네트워크 저장소 기능 네트워크 요소에 의해 검증을 통해 상기 제1 정보가 상기 제2 정보와 일치하는지 여부를 결정하는 단계는,
상기 제1 정보가 상기 제2 정보와 동일한 경우, 상기 제1 정보가 상기 제2 정보와 일치하는 것으로 결정하는 단계, 또는
상기 제1 정보가 상기 제2 정보의 서브세트라고 결정하는 경우, 상기 제1 정보가 상기 제2 정보와 일치한다고 결정하는 단계를 포함하는,
서비스 인가 방법.
- 서비스 인가 방법으로서,
상기 방법은 네트워크 저장소 기능 네트워크 요소에 적용되고,
제1 네트워크 요소로부터 제1 토큰 요청을 수신하는 단계 - 상기 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 상기 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 상기 어서션은 상기 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하며, 상기 인증서는 상기 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 와,
검증을 통해, 상기 제1 정보가 상기 제2 정보와 일치하는지 여부를 결정하고, 상기 제1 정보가 상기 제2 정보와 일치한다고 결정한 후, 토큰을 생성하며, 상기 제1 네트워크 요소로 상기 토큰을 전송하는 단계를 포함하는,
서비스 인가 방법.
- 제21항에 있어서,
상기 제1 토큰 요청을 수신한 후 및 상기 토큰을 상기 제1 네트워크 요소로 전송하기 전에, 상기 방법은,
상기 인증서와 연관된 제1 FQDN 및 제3 네트워크 기능 인스턴스 식별자를 획득하는 단계와,
상기 제1 FQDN이 상기 제3 네트워크 기능 인스턴스 식별자와 일치하고 상기 제1 정보가 상기 제2 정보와 일치한다고 결정하는 단계를 더 포함하는,
서비스 인가 방법.
- 제21항 또는 제22항에 있어서,
검증을 통해, 상기 제1 정보가 상기 제2 정보와 일치하는지 여부를 결정하는 단계는,
상기 제1 정보가 상기 제2 정보와 동일한 경우, 상기 제1 정보가 상기 제2 정보와 일치한다고 결정하는 단계, 또는
상기 제1 정보가 상기 제2 정보의 서브세트라고 결정하는 경우, 상기 제1 정보가 상기 제2 정보와 일치한다고 결정하는 단계를 포함하는,
서비스 인가 방법.
- 제1 네트워크 요소에 적용되는 서비스 인가 방법으로서,
네트워크 저장소 기능 네트워크 요소로 제1 토큰 요청을 전송하는 단계 - 상기 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 상기 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 상기 어서션은 상기 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하며, 상기 인증서는 상기 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 와,
상기 네트워크 저장소 기능 네트워크 요소로부터 토큰을 수신하는 단계를 포함하는,
서비스 인가 방법.
- 제24항에 있어서,
상기 토큰을 수신한 후, 상기 방법은,
상기 네트워크 기능 서비스 제공자 엔티티로 제1 서비스 요청을 전송하는 단계 - 상기 제1 서비스 요청은 상기 토큰 및 상기 어서션을 포함하고, 상기 토큰은 제1 네트워크 기능 인스턴스 식별자를 포함하며, 상기 어서션은 제2 네트워크 기능 인스턴스 식별자를 더 포함함 - 를 더 포함하되,
상기 제1 서비스 요청은 상기 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공하도록 상기 네트워크 기능 서비스 제공자 엔티티에 요청하기 위한 것인,
서비스 인가 방법.
- 제24항 또는 제25항에 있어서,
상기 제1 네트워크 요소는 서비스 통신 프록시 네트워크 요소이고, 상기 네트워크 저장소 기능 네트워크 요소에 상기 제1 토큰 요청을 전송하기 전에, 상기 방법은,
상기 네트워크 기능 서비스 소비자 엔티티로부터 제2 토큰 요청 또는 제2 서비스 요청을 수신하는 단계 - 상기 제2 토큰 요청 또는 상기 제2 서비스 요청은 상기 인증서를 포함함 - 와,
상기 인증서와 연관된 제1 전체 주소 도메인 이름(FQDN) 및 제3 네트워크 기능 인스턴스 식별자를 획득하는 단계와,
상기 제1 FQDN이 상기 제3 네트워크 기능 인스턴스 식별자와 일치한다고 결정하는 단계를 더 포함하는,
서비스 인가 방법.
- 서비스 인가 방법으로서,
상기 방법은 네트워크 기능 서비스 제공자 엔티티에 적용되며,
제1 네트워크 요소로부터 제1 서비스 요청을 수신하는 단계 - 상기 제1 서비스 요청은 토큰 및 어서션을 포함하고, 상기 토큰은 상기 제1 네트워크 기능 인스턴스 식별자를 포함하며, 상기 어서션은 제2 네트워크 기능 인스턴스 식별자를 포함함 - 와,
검증을 통해, 상기 제1 네트워크 기능 인스턴스 식별자가 상기 제2 네트워크 기능 인스턴스 식별자와 일치하는지 여부를 결정하는 단계와,
상기 제1 네트워크 기능 인스턴스 식별자가 상기 제2 네트워크 기능 인스턴스 식별자와 일치한다고 결정한 후, 상기 네트워크 기능 서비스 소비자 엔티티에 상기 서비스를 제공하는 단계를 포함하는,
서비스 인가 방법.
- 통신 장치로서,
제1 네트워크 요소로부터 제1 토큰 요청을 수신하도록 구성된 송수신기 유닛 - 상기 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 상기 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 상기 어서션은 상기 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하며, 상기 인증서는 상기 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 과,
검증을 통해, 상기 제1 정보가 상기 제2 정보와 일치하는지 여부를 결정하고, 상기 제1 정보가 상기 제2 정보와 일치한다고 결정한 후, 토큰을 생성하도록 구성된 처리 유닛을 포함하되,
상기 송수신기 유닛은 상기 제1 네트워크 요소로 상기 토큰을 전송하도록 더 구성되는,
통신 장치.
- 제28항에 있어서,
상기 송수신기 유닛이 상기 제1 토큰 요청을 수신한 후 및 상기 송수신기 유닛이 상기 토큰을 상기 제1 네트워크 요소로 전송하기 전에, 상기 처리 유닛은,
상기 인증서와 연관된 제1 FQDN 및 제3 네트워크 기능 인스턴스 식별자를 획득하고,
상기 제1 FQDN이 상기 제3 네트워크 기능 인스턴스 식별자와 일치하고 상기 제1 정보가 상기 제2 정보와 일치한다고 결정하도록 더 구성되는,
통신 장치.
- 제28항 또는 제29항에 있어서,
검증을 통해, 상기 제1 정보가 상기 제2 정보와 일치하는지 여부를 결정하도록 구성될 때, 상기 처리 유닛은,
상기 제1 정보가 상기 제2 정보와 동일한 경우, 상기 제1 정보가 상기 제2 정보와 일치한다고 결정하거나, 또는
상기 제1 정보가 상기 제2 정보의 서브세트라고 결정하는 경우, 상기 제1 정보가 상기 제2 정보와 일치한다고 결정하도록 더 구성되는,
통신 장치.
- 통신 장치로서,
제1 토큰 요청을 생성하도록 구성된 처리 유닛 - 상기 제1 토큰 요청은 네트워크 기능 서비스 소비자 엔티티의 제1 정보 및 상기 네트워크 기능 서비스 소비자 엔티티의 어서션을 포함하고, 상기 어서션은 상기 네트워크 기능 서비스 소비자 엔티티의 인증서를 포함하며, 상기 인증서는 상기 네트워크 기능 서비스 소비자 엔티티의 제2 정보를 포함함 - 과,
네트워크 저장소 기능 네트워크 요소로 상기 제1 토큰 요청을 전송하고, 상기 네트워크 저장소 기능 네트워크 요소로부터 토큰을 수신하도록 구성된 송수신기 유닛을 포함하는,
통신 장치.
- 제31항에 있어서,
상기 토큰을 수신한 후, 상기 송수신기 유닛은,
상기 네트워크 기능 서비스 제공자 엔티티로 제1 서비스 요청을 전송하도록 더 구성되고, 상기 제1 서비스 요청은 상기 토큰 및 상기 어서션을 포함하고, 상기 토큰은 제1 네트워크 기능 인스턴스 식별자를 포함하며, 상기 어서션은 제2 네트워크 기능 인스턴스 식별자를 더 포함하며,
상기 제1 서비스 요청은 상기 네트워크 기능 서비스 소비자 엔티티에 서비스를 제공하도록 상기 네트워크 기능 서비스 제공자 엔티티에 요청하기 위한 것인,
통신 장치.
- 제31항 또는 제32항에 있어서,
상기 제1 네트워크 요소는 서비스 통신 프록시 네트워크 요소이고, 상기 네트워크 저장소 기능 네트워크 요소로 상기 제1 토큰 요청을 전송하기 전에, 상기 송수신기 유닛은,
상기 네트워크 기능 서비스 소비자 엔티티로부터 제2 토큰 요청 또는 제2 서비스 요청을 수신하도록 더 구성되고, 상기 제2 토큰 요청 또는 상기 제2 서비스 요청은 상기 인증서를 포함하며,
상기 처리 유닛은, 상기 인증서와 연관된 제1 전체 주소 도메인 이름(FQDN) 및 제3 네트워크 기능 인스턴스 식별자를 획득하고, 상기 제1 FQDN이 상기 제3 네트워크 기능 인스턴스 식별자와 일치한다고 결정하도록 더 구성되는,
통신 장치.
- 통신 장치로서,
제1 네트워크 요소로부터 제1 서비스 요청을 수신하도록 구성된 송수신기 유닛 - 상기 제1 서비스 요청은 토큰 및 어서션을 포함하고, 상기 토큰은 상기 제1 네트워크 기능 인스턴스 식별자를 포함하며, 상기 어서션은 제2 네트워크 기능 인스턴스 식별자를 포함함 - 과,
검증을 통해, 상기 제1 네트워크 기능 인스턴스 식별자가 상기 제2 네트워크 기능 인스턴스 식별자와 일치하는지 여부를 결정하고, 상기 제1 네트워크 기능 인스턴스 식별자가 상기 제2 네트워크 기능 인스턴스 식별자와 일치한다고 결정한 후, 상기 네트워크 기능 서비스 소비자 엔티티에 상기 서비스를 제공하도록 구성된 처리 유닛을 포함하는,
통신 장치.
- 서비스 인가 시스템으로서,
제28항에 따른 통신 장치와,
제31항에 따른 통신 장치를 포함하는,
서비스 인가 시스템.
- 제35항에 있어서,
상기 시스템은 제34항에 따른 통신 장치를 더 포함하는,
서비스 인가 시스템.
- 프로그램 또는 명령어를 포함하는 컴퓨터 판독가능 저장 매체로서,
상기 프로그램 또는 상기 명령어가 컴퓨터에서 실행될 때, 제1항 내지 제6항, 제7항 및 제8항, 제21항 내지 제23항, 제24항 내지 제26항, 또는 제27항 중 어느 한 항에 따른 방법이 수행되는,
컴퓨터 판독가능 저장 매체.
- 칩으로서,
상기 칩은 메모리에 결합되고, 상기 메모리에 저장된 프로그램 명령어를 읽고 실행하여 제1항 내지 제6항, 제7항 및 제8항, 제21항 내지 제23항, 제24항 내지 제26항, 또는 제27항 중 어느 한 항에 따른 방법을 구현하도록 구성되는,
칩.
- 제15항 내지 제20항 중 어느 한 항 또는 제28항 내지 제34항 중 어느 한 항 또는 제35항 또는 제36항에 있어서,
상기 제1 정보는 제1 공중 육상 이동 네트워크 식별자, 제1 독립형 비공개 네트워크 식별자, 제1 단일 네트워크 슬라이스 선택 지원 정보 식별자, 제1 네트워크 기능 인스턴스 식별자, 제2 네트워크 기능 유형, 제1 네트워크 기능 세트, 및 제1 통합 자원 식별자 중 하나 이상을 포함하고,
상기 제2 정보는 제2 공중 육상 이동 네트워크 식별자, 제2 독립형 비공개 네트워크 식별자, 제2 단일 네트워크 슬라이스 선택 지원 정보 식별자, 제3 네트워크 기능 인스턴스 식별자, 제2 네트워크 기능 유형, 제2 네트워크 기능 세트, 및 제2 통합 자원 식별자 중 하나 이상을 포함하는,
방법, 장치 또는 시스템.
- 서비스 인가 시스템으로서,
제9항 내지 제12항 중 어느 한 항에 따른 통신 장치와,
제13항 또는 제14항에 따른 통신 장치를 포함하는,
서비스 인가 시스템.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011197519.5A CN114528540A (zh) | 2020-10-30 | 2020-10-30 | 一种服务授权方法、通信装置及系统 |
CN202011197519.5 | 2020-10-30 | ||
PCT/CN2021/125200 WO2022089290A1 (zh) | 2020-10-30 | 2021-10-21 | 一种服务授权方法、通信装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20230096062A true KR20230096062A (ko) | 2023-06-29 |
Family
ID=81381912
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020237017881A KR20230096062A (ko) | 2020-10-30 | 2021-10-21 | 서비스 인가 방법, 통신 장치 및 시스템 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20230262459A1 (ko) |
EP (1) | EP4224346A4 (ko) |
JP (1) | JP2023547926A (ko) |
KR (1) | KR20230096062A (ko) |
CN (1) | CN114528540A (ko) |
WO (1) | WO2022089290A1 (ko) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115668898A (zh) * | 2020-05-20 | 2023-01-31 | 瑞典爱立信有限公司 | 服务请求处理 |
FI129556B (en) * | 2021-01-13 | 2022-04-29 | Nokia Technologies Oy | Handling an error in a network function call |
US11630922B2 (en) * | 2021-09-23 | 2023-04-18 | Rockwell Automation Technologies, Inc. | Counterfeit hardware detection techniques |
CN117318948A (zh) * | 2022-06-20 | 2023-12-29 | 华为技术有限公司 | 通信方法和装置 |
CN117858087A (zh) * | 2022-09-30 | 2024-04-09 | 中国移动通信有限公司研究院 | 信息传输方法、装置、设备及存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060083262A1 (en) * | 2004-10-14 | 2006-04-20 | Utstarcom, Inc. | Method and apparatus to facilitate use of a pool of internet protocol 6to4 address prefixes |
US11075819B2 (en) * | 2014-08-07 | 2021-07-27 | Ca, Inc. | Identifying unauthorized changes to network elements and determining the impact of unauthorized changes to network elements on network services |
US10963553B2 (en) * | 2018-02-15 | 2021-03-30 | Nokia Technologies Oy | Security management for service authorization in communication systems with service-based architecture |
CN110519074B (zh) * | 2018-05-22 | 2022-04-12 | 华为技术有限公司 | 一种服务区域管理方法及装置 |
CN110650029B (zh) * | 2018-06-26 | 2021-05-18 | 华为技术有限公司 | 一种配置方法及装置 |
CN111435932B (zh) * | 2019-01-14 | 2021-10-01 | 华为技术有限公司 | 一种令牌处理方法及装置 |
-
2020
- 2020-10-30 CN CN202011197519.5A patent/CN114528540A/zh active Pending
-
2021
- 2021-10-21 WO PCT/CN2021/125200 patent/WO2022089290A1/zh active Application Filing
- 2021-10-21 JP JP2023526336A patent/JP2023547926A/ja active Pending
- 2021-10-21 EP EP21885017.0A patent/EP4224346A4/en active Pending
- 2021-10-21 KR KR1020237017881A patent/KR20230096062A/ko active Search and Examination
-
2023
- 2023-04-28 US US18/309,530 patent/US20230262459A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4224346A1 (en) | 2023-08-09 |
CN114528540A (zh) | 2022-05-24 |
US20230262459A1 (en) | 2023-08-17 |
JP2023547926A (ja) | 2023-11-14 |
WO2022089290A1 (zh) | 2022-05-05 |
EP4224346A4 (en) | 2024-03-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11134105B2 (en) | Method and apparatus for providing a profile | |
KR102313265B1 (ko) | 블록체인 네트워크에 의해 제공된 접속 정보를 이용한 사용자 인증 | |
US11829774B2 (en) | Machine-to-machine bootstrapping | |
EP4224346A1 (en) | Service authorization method, communication apparatus, and system | |
US10346147B2 (en) | Method and apparatus for providing a profile | |
KR102398221B1 (ko) | 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치 | |
KR102492203B1 (ko) | 기기간 통신 네트워크에서의 자동화된 서비스 등록 | |
US9258344B2 (en) | Multi-hop single sign-on (SSO) for identity provider (IdP) roaming/proxy | |
US20210250344A1 (en) | Service authorization method and communications apparatus | |
EP3605995A1 (en) | Method and apparatus for discussing digital certificate by esim terminal and server | |
CN105432102A (zh) | 用于机器对机器通信的网络辅助引导自举 | |
KR102094216B1 (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
JP2017505554A (ja) | ピアベースの認証 | |
EP3185599A1 (en) | Method and apparatus for providing a profile | |
CN109891921B (zh) | 下一代系统的认证的方法、装置和计算机可读存储介质 | |
WO2022079572A1 (en) | Relay ue and remote ue authorization | |
CN113709736A (zh) | 网络认证方法及装置、系统 | |
CN115699678A (zh) | 设备注销的方法、设备注册的方法、通信设备和云平台 | |
CN114301788A (zh) | 一种切片管理方法、装置及通信设备 | |
WO2021099675A1 (en) | Mobile network service security management | |
WO2022252658A1 (zh) | 一种漫游接入方法及装置 | |
WO2023216934A1 (zh) | 通信方法及装置 | |
CN117241410A (zh) | 同一ch下的snpn间的互访方法 | |
KR20240140139A (ko) | 디바이스 선택 방법 및 장치 | |
WO2024137758A1 (en) | System and method for secure ranging service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination |