TWI820696B - 通訊方法、裝置及電腦可讀儲存介質 - Google Patents
通訊方法、裝置及電腦可讀儲存介質 Download PDFInfo
- Publication number
- TWI820696B TWI820696B TW111116608A TW111116608A TWI820696B TW I820696 B TWI820696 B TW I820696B TW 111116608 A TW111116608 A TW 111116608A TW 111116608 A TW111116608 A TW 111116608A TW I820696 B TWI820696 B TW I820696B
- Authority
- TW
- Taiwan
- Prior art keywords
- service
- network element
- request message
- network
- consuming
- Prior art date
Links
- 230000006854 communication Effects 0.000 title claims abstract description 501
- 238000004891 communication Methods 0.000 title claims abstract description 492
- 238000000034 method Methods 0.000 title claims abstract description 169
- 230000004044 response Effects 0.000 claims abstract description 277
- 230000006870 function Effects 0.000 claims description 576
- 230000015654 memory Effects 0.000 claims description 39
- 238000004590 computer program Methods 0.000 claims description 8
- 239000003795 chemical substances by application Substances 0.000 description 336
- 238000013461 design Methods 0.000 description 167
- 238000012795 verification Methods 0.000 description 108
- 230000008569 process Effects 0.000 description 61
- 238000012545 processing Methods 0.000 description 56
- 201000009841 cataract 21 multiple types Diseases 0.000 description 37
- 238000013475 authorization Methods 0.000 description 31
- 230000005540 biological transmission Effects 0.000 description 25
- 201000009849 cataract 37 Diseases 0.000 description 23
- 238000007726 management method Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 13
- 102100031702 Endoplasmic reticulum membrane sensor NFE2L1 Human genes 0.000 description 6
- 101000588298 Homo sapiens Endoplasmic reticulum membrane sensor NFE2L1 Proteins 0.000 description 6
- 101000577547 Homo sapiens Nuclear respiratory factor 1 Proteins 0.000 description 6
- 230000001960 triggered effect Effects 0.000 description 6
- 230000000977 initiatory effect Effects 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 5
- 238000013523 data management Methods 0.000 description 4
- 101000588302 Homo sapiens Nuclear factor erythroid 2-related factor 2 Proteins 0.000 description 3
- 102100031701 Nuclear factor erythroid 2-related factor 2 Human genes 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 101150119040 Nsmf gene Proteins 0.000 description 2
- VJBCNMFKFZIXHC-UHFFFAOYSA-N azanium;2-(4-methyl-5-oxo-4-propan-2-yl-1h-imidazol-2-yl)quinoline-3-carboxylate Chemical compound N.N1C(=O)C(C(C)C)(C)N=C1C1=NC2=CC=CC=C2C=C1C(O)=O VJBCNMFKFZIXHC-UHFFFAOYSA-N 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 201000009893 cataract 4 multiple types Diseases 0.000 description 1
- 208000006990 cholangiocarcinoma Diseases 0.000 description 1
- 208000009854 congenital contractural arachnodactyly Diseases 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Signal Processing For Digital Recording And Reproducing (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Telephonic Communication Services (AREA)
Abstract
一種通訊方法及裝置,該方法可用於間接通訊場景下,
包括:服務消費網元向服務通訊代理發送第一服務請求訊息,服務消費網元從服務通訊代理接收針對第一服務請求訊息的回應訊息。其中,第一服務請求訊息用於向服務提供網元請求第一服務,第一服務請求訊息包括第一客戶認證憑證,第一客戶認證憑證包括第一網路功能類型和第二網路功能類型,第一網路功能類型為服務提供網元的網路功能類型,第二網路功能類型為提供第二服務的網元的網路功能類型,第二服務與第一服務關聯。採用上述方法可以保證在服務消費網元通過服務通訊代理向服務提供網元請求服務的情況下,避免因為CCA中僅含有服務提供網元的網路功能類型,而導致服務請求失敗的問題。
Description
本申請實施例涉及無線通訊領域,尤其涉及一種通訊方法及裝置。
如圖1所示為一種增強的服務化架構。在增強的服務化架構中,網元之間除了可以使用直接方式進行通訊(簡稱直接通訊),也可以使用間接方式進行通訊(簡稱間接通訊,又可以稱為非直接通訊),在間接通訊過程中,通訊的兩個網元之間可以通過服務通訊代理(service communication proxy,SCP)進行訊息的交互。其中,在直接通訊和間接通訊中,通訊的雙方分別稱為服務消費者(consumer)和服務提供者(producer)。其中,消費者是指服務的請求者或服務的調用者,提供者是指服務的提供者。服務消費者又稱為服務消費網元,服務提供者又稱服務提供網元。
在間接通訊場景下,引入了基於客戶認證憑證(client credentials assertion,CCA)的認證方案。消費者在服務請求中包含CCA使得接收端點能夠認證消費者。在不同的間接通訊場景
下,消費者需要(即被認證方)生成正確的CCA,才能使得接收端點(即認證方)準確的認證消費者,以便在認證成功的情況下,向消費者提供消費者請求的服務。然而,現有的標準並沒有定義在不同的間接通訊場景下,如何生成正確的CCA,從而防止服務消費網元請求服務可能失敗的問題。
本申請實施例提供一種通訊方法及裝置,用以改善服務消費網元請求服務失敗的情況。
第一方面,本申請實施例提供一種通訊方法,該方法包括:服務消費網元向服務通訊代理發送第一服務請求訊息,所述第一服務請求訊息用於向服務提供網元請求第一服務,所述第一服務請求訊息包括第一客戶認證憑證,所述第一客戶認證憑證用於認證所述服務消費網元,所述第一客戶認證憑證包括第一網路功能類型和第二網路功能類型,所述第一網路功能類型為所述服務提供網元的網路功能類型,所述第二網路功能類型為提供第二服務的網元的網路功能類型;其中,所述第二服務與所述第一服務關聯;所述服務消費網元從所述服務通訊代理接收針對所述第一服務請求訊息的回應訊息。
採用上述方法,在服務消費網元通過服務通訊代理向服務通過網元請求第一服務的場景下,服務消費網元在向服務通訊
代理發送的第一服務請求訊息中攜帶同時包含第一網路功能類型和第二網路功能類型的客戶認證憑證,進而可以保證服務通訊代理請求第二服務時,提供第二服務的網元對服務消費網元認證成功,進而也為服務消費網元請求第一服務提供了保障,解決了間接通訊場景下,因為客戶認證憑證認證失敗,導致服務消費網元請求服務失敗的問題。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限。
在一種可能的設計中,所述服務消費網元確定不存在所述第一服務對應的可用的訪問權杖。
採用上述設計使得服務消費網元能夠按需生成第一客戶認證憑證,防止第一客戶認證憑證被濫用。
此外,服務消費網元在確定不存在所述第一服務對應的可用的訪問權杖之後,服務消費網元可以在第一服務請求訊息中攜帶用於獲取第一服務對應的訪問權杖的參數。
在一種可能的設計中,所述服務消費網元確定不存在所述第一服務對應的可用的訪問權杖可以包括以下情況:所述服務消費網元確定未儲存所述第一服務對應的訪問權杖;或,所述服務消費網元確定儲存的所述第一服務對應的訪問權杖已過期。
在一種可能的設計中,在儲存的所述第一服務對應的訪問權杖已過期的情況下,所述服務消費網元刪除所述已過期的訪
問權杖。
採用上述設計可以實現及時釋放儲存空間,減輕系統的儲存負擔。
在一種可能的設計中,所述第二服務用於提供所述服務提供網元的資訊。
在一種可能的設計中,所述服務消費網元確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務。
在一種可能的設計中,在所述服務消費網元確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務時,所述服務消費網元根據以下一項或多項,確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務:未儲存第一終端設備的上下文,所述第一終端設備與所述第一服務關聯;或者,未儲存所述第一服務的上下文;或者,所述服務提供網元歸屬於第一切片且未儲存所述第一切片對應的上下文;或者,所述服務消費網元首次與所述服務通訊代理通訊。
此外,服務消費網元在確定第一服務請求訊息會觸發服務通訊代理請求第二服務之後,服務消費網元可以在第一服務請求訊息中攜帶用於發現服務提供網元的參數。
在一種可能的設計中,所述服務消費網元確定使用模式D的間接通訊模式請求所述第一服務。
示例性地,可以通過標準協定約定或者通過預配置資訊配置服務消費網元使用模式D與服務通訊代理進行通訊時,第一
服務請求訊息總是攜帶包括第一網路功能類型和第二網路功能類型的客戶認證憑證。或者在服務消費網元使用模式D與服務通訊代理進行通訊時,在判斷第一服務請求訊息會觸發服務通訊代理請求第二服務時,第一服務請求訊息攜帶包括第一網路功能類型和第二網路功能類型的客戶認證憑證。
在一種可能的設計中,所述服務消費網元向所述服務通訊代理發送第二服務請求訊息,所述第二服務請求訊息用於請求所述第一服務,所述第二服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括所述第一網路功能類型,所述第二客戶認證憑證用於認證所述服務消費網元;所述服務消費網元從所述服務通訊代理接收針對所述第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊。在所述服務消費網元向所述服務通訊代理發送第一服務請求訊息時,所述服務消費網元根據所述指示資訊,向所述服務通訊代理發送所述第一服務請求訊息。
採用上述設計,服務消費網元可以根據指示資訊向服務通訊代理發送第一服務請求訊息。
在一種可能的設計中,所述指示資訊包括第三客戶認證憑證,所述第三客戶認證憑證包括所述第二網路功能類型;其中,所述第三客戶認證憑證用於認證所述提供所述第二服務的網元;在所述服務消費網元根據所述指示資訊,向所述服務通訊代理發送所述第一服務請求訊息時,在根據所述第三客戶認證憑證對所
述提供所述第二服務的網元認證成功的情況下,所述服務消費網元向所述服務通訊代理發送所述第一服務請求訊息。
採用上述設計,服務消費網元可以根據第三客戶認證憑證認證提供第二服務的網元,並在認證成功時,根據第三客戶認證憑證包括的第二網路功能類型發送第一服務請求訊息。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
在一種可能的設計中,所述第一客戶認證憑證還包括以下一項或者多項:所述服務消費網元的標識或者有效時間資訊,其中,所述有效時間資訊用於表徵所述第一客戶認證憑證的有效時間。
第二方面,本申請提供一種通訊方法,該方法包括:第一網元從服務通訊代理接收第一服務請求訊息,所述第一服務請求訊息用於向所述第一網元請求第一服務,所述第一服務請求訊息包括第一客戶認證憑證,所述第一客戶認證憑證用於認證服務消費網元,其中,所述第一客戶認證憑證包括多個網路功能類型;所述第一網元根據所述第一客戶認證憑證,認證所述服務消費網元,其中,所述第一網元根據所述第一客戶認證憑證,認證所述服務消費網元,包括:所述第一網元判斷自身的網路功能類型是否與所述多個網路功能類型中的一個或者多個相匹配;所述第一網元根據認證結果向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息。
採用上述方法,在第一客戶認證憑證包括多個網路功能類型時,第一網元判斷自身的網路功能類型是否與多個網路功能類型中的一個或多個相匹配,獲得認證結果。因此,上述方法能夠實現在客戶認證憑證包括多個網路功能類型時判斷是否對服務消費網元認證成功,進而能夠實現具有不同網路功能類型的網元可以採用同一個客戶認證憑證實現對服務消費網元的認證。
在一種可能的設計中,在所述認證結果為認證成功時,所述第一網元向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,所述針對所述第一服務請求訊息的回應訊息用於提供所述第一服務;或者,在所述認證結果為認證失敗時,所述第一網元向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,所述針對所述第一服務請求訊息的回應訊息指示請求所述第一服務失敗。
在一種可能的設計中,所述多個網路功能類型包括第一網路功能類型和第二網路功能類型,所述第一網路功能類型為所述第一網元的網路功能類型,所述第二網路功能類型為提供第二服務的網元的網路功能類型,所述第二服務與所述第一服務關聯。
採用上述設計,可以實現具有兩種不同網路功能類型的網元採用同一個客戶認證憑證實現對服務消費網元的認證。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,其中,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限;或者,所
述第二服務用於提供所述第一網元的資訊。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
在一種可能的設計中,所述第一服務用於提供所述第二服務對應的訪問權杖,其中,所述第二服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第二服務的權限;或者,所述第一服務用於提供所述第二服務網元的資訊。
採用上述設計,可以實現具有兩種不同網路功能類型的網元採用同一個客戶認證憑證實現對服務消費網元的認證。
在一種可能的設計中,所述第一網元為網路儲存功能網元。
在一種可能的設計中,所述第一網元接收來自於所述服務通訊代理的第二服務請求訊息,所述第二服務請求訊息用於向所述第一網元請求所述第一服務,所述第二服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括第三網路功能類型;在所述第三網路功能類型與所述第一網元的網路功能類型不匹配的情況下,所述第一網元向所述服務通訊代理發送針對所述第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊,其中,所述指示資訊用於觸發所述第一服務請求訊息。
採用上述設計,當客戶認證憑證中的網路功能類型與第一網元的網路功能類型不匹配時,第一網元可以在針對第二服務
請求訊息的回應訊息中攜帶指示資訊,該指示資訊可以觸發第一服務請求訊息,進而獲得包括與第一網元的網路功能類型匹配的網路功能類型的客戶認證憑證,實現第一網元對服務消費網元認證成功。
在一種可能的設計中,所述指示資訊包括用於認證所述第一網元的第三客戶認證憑證,所述第三客戶認證憑證包括所述第一網元的網路功能類型。
採用上述設計,可以通過指示資訊中攜帶第一網元的網路功能類型進而觸發第一服務請求訊息中的第一客戶認證憑證攜帶與第一網元的網路功能類型匹配的網路功能類型,以實現對服務消費網元認證成功。
在一種可能的設計中,所述第一客戶認證憑證還包括所述服務消費網元的標識和所述第一客戶認證憑證的有效時間資訊;所述第一客戶認證憑證的有效時間資訊用於表徵所述第一客戶認證憑證的有效時間;所述第一網元根據所述第一客戶認證憑證,認證所述服務消費網元,還包括以下一項或者多項:所述第一網元驗證所述第一客戶認證憑證的簽名是否通過、根據所述第一客戶認證憑證包括的有效時間資訊驗證所述第一客戶認證憑證是否過期或者驗證所述第一客戶認證憑證中的所述服務消費網元的標識與用於簽名所述第一客戶認證憑證的證書中的網元的標識是否相同。
第三方面,本申請提供一種通訊方法,該方法包括:服
務消費網元向服務通訊代理發送第一服務請求訊息,所述第一服務請求訊息用於向服務提供網元請求第一服務,所述第一服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證,所述第四客戶認證憑證用於所述服務提供網元認證所述服務消費網元,所述第五客戶認證憑證用於提供第二服務的網元認證所述服務消費網元,所述第四客戶認證憑證包括第一網路功能類型,所述第五客戶認證憑證包括第二網路功能類型,所述第一網路功能類型為所述服務提供網元的網路功能類型,所述第二網路功能類型為所述提供第二服務的網元的網路功能類型,其中,所述第二服務與所述第一服務關聯;所述服務消費網元接收來自於所述服務通訊代理的針對所述第一服務請求訊息的回應訊息。
採用上述實施例,服務消費網元向服務通訊代理發送第一服務請求訊息,其中,第一服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證,第四客戶認證憑證包括第一網路功能類型,第五客戶認證憑證包括第二網路功能類型,能夠使提供第二服務的網元對服務消費網元認證成功,進而也為服務消費網元請求第一服務提供了保障,解決了間接通訊場景下,因為客戶認證憑證認證失敗,導致服務消費網元請求服務失敗的問題。
在一種可能的設計中,所述第四客戶認證憑證還包括所述服務消費網元的標識,所述第四客戶認證憑證的有效時間資訊,所述第四客戶認證憑證的有效時間資訊用於表徵所述第四客戶認證憑證的有效時間;所述第五客戶認證憑證還包括所述服務
消費網元的標識,所述第五客戶認證憑證的有效時間資訊,所述第五客戶認證憑證的有效時間資訊用於表徵所述第五客戶認證憑證的有效時間。
在一種可能的設計中,所述第五客戶認證憑證的有效時間比所述第四客戶認證憑證的有效時間短。
採用上述設計可以降低第五客戶認證憑證被服務通訊代理惡意使用的風險,進而保證通訊過程的安全性。
在一種可能的設計中,所述第四客戶認證憑證的有效時間與第一時長關聯,所述第一時長是所述服務消費網元與所述服務通訊代理的傳輸時延以及所述服務通訊代理與所述提供第二服務的網元的傳輸時延確定的。
上述針對第四客戶認證憑證的有效時間和第五客戶認證憑證的有效時間的配置規則可以儘量保證第四客戶認證憑證和第五客戶認證憑證不被服務通訊代理惡意使用,進而保證通訊過程的安全性。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限。
在一種可能的設計中,所述服務消費網元確定不存在所述第一服務對應的可用的訪問權杖。
此外,服務消費網元在確定不存在所述第一服務對應的可用的訪問權杖之後,服務消費網元可以在第一服務請求訊息中
攜帶用於獲取第一服務對應的訪問權杖的參數。
採用上述設計使得服務消費網元能夠按需生成第一客戶認證憑證,防止第一客戶認證憑證被濫用。
在一種可能的設計中,所述服務消費網元確定不存在所述第一服務對應的可用的訪問權杖可以包括以下情況:所述服務消費網元確定未儲存所述第一服務對應的訪問權杖;或,所述服務消費網元確定儲存的所述第一服務對應的訪問權杖已過期。
在一種可能的設計中,在儲存的所述第一服務對應的訪問權杖已過期的情況下,所述服務消費網元刪除所述已過期的訪問權杖。
採用上述設計可以實現及時釋放儲存空間,減輕系統的儲存負擔。
在一種可能的設計中,所述第二服務用於提供所述服務提供網元的資訊。
在一種可能的設計中,所述服務消費網元確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務。
在一種可能的設計中,在所述服務消費網元確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務時,所述服務消費網元根據以下一項或多項,確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務:未儲存第一終端設備的上下文,所述第一終端設備與所述第一服務關聯;或者,未儲存所述第一服務的上下文;或者,所述服務提供網元歸屬於
第一切片且未儲存所述第一切片對應的上下文;或者,所述服務消費網元首次與所述服務通訊代理通訊。
此外,服務消費網元在確定第一服務請求訊息會觸發服務通訊代理請求第二服務之後,服務消費網元可以在第一服務請求訊息中攜帶用於發現服務提供網元的參數。
在一種可能的設計中,所述服務消費網元確定使用模式D的間接通訊模式請求所述第一服務。
示例性地,可以通過標準協定約定或者通過預配置資訊配置服務消費網元使用模式D與服務通訊代理進行通訊時,第一服務請求訊息總是攜帶包括第一網路功能類型和第二網路功能類型的客戶認證憑證。或者在服務消費網元使用模式D與服務通訊代理進行通訊時,在判斷第一服務請求訊息會觸發服務通訊代理請求第二服務時,第一服務請求訊息攜帶包括第一網路功能類型和第二網路功能類型的客戶認證憑證。
在一種可能的設計中,所述服務消費網元向所述服務通訊代理發送第二服務請求訊息,所述第二服務請求訊息用於請求所述第一服務,所述第二服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括所述第一網路功能類型,所述第二客戶認證憑證用於認證所述服務消費網元;所述服務消費網元從所述服務通訊代理接收針對所述第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊。在所述服務消費網元向所述服務通訊代理發送第一服務請求訊息時,所
述服務消費網元根據所述指示資訊,向所述服務通訊代理發送所述第一服務請求訊息。
採用上述設計,服務消費網元可以根據指示資訊向服務通訊代理發送第一服務請求訊息。
在一種可能的設計中,所述指示資訊包括第三客戶認證憑證,所述第三客戶認證憑證包括所述第二網路功能類型;其中,所述第三客戶認證憑證用於認證所述提供所述第二服務的網元;在所述服務消費網元根據所述指示資訊,向所述服務通訊代理發送所述第一服務請求訊息時,在根據所述第三客戶認證憑證對所述提供所述第二服務的網元認證成功的情況下,所述服務消費網元向所述服務通訊代理發送所述第一服務請求訊息。
採用上述設計,服務消費網元可以根據第三客戶認證憑證認證提供第二服務的網元,並在認證成功時,根據第三客戶認證憑證包括的第二網路功能類型發送第一服務請求訊息。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
第四方面,本申請提供一種通訊方法,該方法包括:服務通訊代理接收來自於服務消費網元的第一服務請求訊息,所述第一服務請求訊息用於向服務提供網元請求第一服務,所述第一服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證,所述第四客戶認證憑證用於所述服務提供網元認證所述服務消費網元,所述第五客戶認證憑證用於第一網元認證所述服務消費網
元,其中,所述第四客戶認證憑證包括第一網路功能類型,所述第五客戶認證憑證包括第二網路功能類型,所述第一網路功能類型為所述服務提供網元的網路功能類型,所述第二網路功能類型為所述第一網元的網路功能類型;回應於所述第一服務請求訊息,所述服務通訊代理向所述第一網元發送第二服務請求訊息,所述第二服務請求訊息用於請求第二服務,所述第二服務請求訊息包括所述第五客戶認證憑證;所述服務通訊代理接收來自於所述第一網元的針對所述第二服務請求訊息的回應訊息;所述服務通訊代理根據針對所述第二服務請求訊息的回應訊息,向所述服務提供網元發送第三服務請求訊息,所述第三服務請求訊息用於向所述服務提供網元請求所述第一服務,所述第三服務請求訊息包括所述第四客戶認證憑證。
採用上述實施例,服務消費網元向服務通訊代理發送第一服務請求訊息,其中,第一服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證,第四客戶認證憑證包括第一網路功能類型,第五客戶認證憑證包括第二網路功能類型,服務通訊代理請求第二服務攜帶第五客戶認證憑證,能夠使提供第二服務的網元對服務消費網元認證成功,服務通訊代理請求第一服務攜帶第四客戶認證憑證,能夠使服務提供網元對服務消費網元認證成功,進而為服務消費網元請求第一服務提供了保障,解決了間接通訊場景下,因為客戶認證憑證認證失敗,導致服務消費網元請求服務失敗的問題。
在一種可能的設計中,所述服務通訊代理根據所述第一服務請求訊息,確定需要向所述第一網元請求所述第二服務;所述服務通訊代理根據所述第一網元的網路功能類型,確定在所述第二服務請求訊息中攜帶所述第五客戶認證憑證。
採用上述設計,服務通訊代理可以解析第一服務請求訊息,並根據第一網元的網路功能類型從第四客戶認證憑證和第五客戶認證憑證中選擇第五客戶認證憑證加入第二服務請求訊息。
在一種可能的設計中,所述服務通訊代理根據所述服務提供網元的網路功能類型,確定在所述第三服務請求訊息中攜帶所述第四客戶認證憑證。
採用上述設計,服務通訊代理可以解析第一服務請求訊息,並根據服務提供網元的網路功能類型從第四客戶認證憑證和第五客戶認證憑證中選擇第四客戶認證憑證加入第二服務請求訊息。
在一種可能的設計中,在服務通訊代理接收來自於所述服務消費網元的第一服務請求訊息之前,所述服務通訊代理接收來自於所述服務消費網元的第四服務請求訊息,所述第四服務請求訊息用於請求所述第一服務,所述第三服務請求訊息包括第六客戶認證憑證,所述第六客戶認證憑證包括第三網路功能類型;所述服務通訊代理向所述第一網元發送第五服務請求訊息,所述第五服務請求訊息用於請求所述第二服務,所述第五服務請求訊息包括所述第六客戶認證憑證;所述服務通訊代理接收來自於所
述第一網元的針對所述第五服務請求訊息的回應訊息,針對所述第五服務請求訊息的回應訊息包括指示資訊;所述服務通訊代理根據所述指示資訊向所述服務消費網元發送針對所述第四服務請求訊息的回應訊息。
採用上述設計,服務通訊代理可以根據指示資訊向服務消費網元發送針對第四服務請求訊息的回應訊息,以獲得包括與第一網路的網路功能類型相匹配的客戶認證憑證,使第一網元對服務消費網元認證成功。
在一種可能的設計中,所述指示資訊包括第七客戶認證憑證,所述第七客戶認證憑證包括所述第一網元的網路功能類型;針對所述第四服務請求訊息的回應訊息還包括所述第七客戶認證憑證。
採用上述設計,指示資訊可以觸發服務消費網元發送第一服務請求訊息,並在第一服務請求訊息中包括與第一網路的網路功能類型相匹配的客戶認證憑證。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限。
在一種可能的設計中,所述服務通訊代理確定未儲存所述第一服務對應的可用的訪問權杖且所述第一服務請求訊息不包括所述第一服務對應的訪問權杖。
在一種可能的設計中,所述第二服務用於提供所述服務
提供網元的資訊。
在一種可能的設計中,所述服務通訊代理確定未儲存所述服務提供網元的資訊且所述第一服務請求訊息不包括所述服務提供網元的資訊。
在一種可能的設計中,所述第四客戶認證憑證還包括所述服務消費網元的標識,所述第四客戶認證憑證的有效時間資訊,所述第四客戶認證憑證的有效時間資訊用於表徵所述第四客戶認證憑證的有效時間;所述第五客戶認證憑證還包括所述服務消費網元的標識,所述第五客戶認證憑證的有效時間資訊,所述第五客戶認證憑證的有效時間資訊用於表徵所述第五客戶認證憑證的有效時間。
在一種可能的設計中,所述第五客戶認證憑證的有效時間比所述第四客戶認證憑證的有效時間短。
採用上述設計可以降低第五客戶認證憑證被服務通訊代理惡意使用的風險,進而保證通訊過程的安全性。
在一種可能的設計中,所述第四客戶認證憑證的有效時間與第一時長關聯,所述第一時長是所述服務消費網元與所述服務通訊代理的傳輸時延以及所述服務通訊代理與所述提供第二服務的網元的傳輸時延確定的。
上述針對第四客戶認證憑證的有效時間和第五客戶認證憑證的有效時間的配置規則可以儘量保證第四客戶認證憑證和第五客戶認證憑證不被服務通訊代理惡意使用,進而保證通訊過程
的安全性。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
第五方面,本申請提供一種通訊方法,該方法包括:第一網元接收來自於服務通訊代理的第一服務請求訊息,所述第一服務請求訊息用於向所述第一網元請求第一服務,所述第一服務請求訊息包括多個客戶認證憑證;每個客戶認證憑證包括一個網路功能類型;所述第一網元根據所述多個客戶認證憑證認證所述服務消費網元;其中,在所述第一網元根據所述多個客戶認證憑證認證所述服務消費網元時,所述第一網元判斷所述多個客戶認證憑證認證中是否存在一個或者多個客戶認證憑證對服務消費網元認證成功;所述第一網元根據認證結果向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息。
採用上述方法,在第一服務請求訊息包括多個客戶認證憑證時,第一網元判斷存在一個或者多個客戶認證憑證對服務消費網元認證成功,獲得認證結果。因此,上述方法能夠實現在存在多個客戶認證憑證時判斷是否對服務消費網元認證成功。
在一種可能的設計中,在所述認證結果指示存在一個或者多個客戶認證憑證對服務消費網元認證成功時,所述第一網元向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,所述針對所述第一服務請求訊息的回應訊息用於提供所述第一服務;或者,在所述認證結果指示所述多個客戶認證憑證中任
意一個客戶認證憑證對服務消費網元認證失敗時,所述第一網元向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,所述針對所述第一服務請求訊息的回應訊息指示請求所述第一服務失敗。
採用上述設計,當存在一個或者多個客戶認證憑證對服務消費網元認證成功則確定對服務消費網元認證成功,當多個客戶認證憑證中任意一個客戶認證憑證對服務消費網元認證失敗,即全部客戶認證憑證均對服務消費網元認證失敗,則確定對服務消費網元認證失敗。
在一種可能的設計中,所述多個客戶認證憑證包括第四客戶認證憑證和第五客戶認證憑證,所述第四客戶認證憑證包括第一網路功能類型,所述第五客戶認證憑證包括第二網路功能類型,所述第一網路功能類型為所述第一網元的網路功能類型,所述第二網路功能類型為提供第二服務的網元的網路功能類型,所述第二服務與所述第一服務關聯。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,其中,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限;或者,所述第二服務用於提供所述第一網元的資訊。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
在一種可能的設計中,所述第一服務用於提供所述第二
服務對應的訪問權杖,其中,所述第二服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第二服務的權限;或者,所述第一服務用於提供所述第二服務網元的資訊。
在一種可能的設計中,所述第一網元為網路儲存功能網元。
在一種可能的設計中,所述第一網元接收來自於所述服務通訊代理的第二服務請求訊息,所述第二服務請求訊息用於向所述第一網元請求所述第一服務,所述第二服務請求訊息包括第六客戶認證憑證,所述第六客戶認證憑證包括第三網路功能類型;在所述第三網路功能類型與所述第一網元的網路功能類型不匹配的情況下,所述第一網元向所述服務通訊代理發送針對所述第三服務請求訊息的回應訊息,所述針對所述第三服務請求訊息的回應訊息包括指示資訊,其中,所述指示資訊用於觸發所述第一服務請求訊息。
採用上述設計,當客戶認證憑證中的網路功能類型與第一網元的網路功能類型不匹配時,第一網元可以在針對第三服務請求訊息的回應訊息中攜帶指示資訊,該指示資訊可以觸發第一服務請求訊息,進而獲得包括與第一網元的網路功能類型匹配的網路功能類型的客戶認證憑證,實現第一網元對服務消費網元認證成功。
在一種可能的設計中,所述指示資訊包括用於認證所述第一網元的第七客戶認證憑證,所述第七客戶認證憑證包括所述
第一網元的網路功能類型。
採用上述設計,可以通過指示資訊中攜帶第一網元的網路功能類型進而觸發第一服務請求訊息中的第一客戶認證憑證攜帶與第一網元的網路功能類型匹配的網路功能類型的客戶認證憑證,以實現對服務消費網元認證成功。
第六方面,本申請提供一種通訊方法,所述方法應用於服務消費網元通過服務通訊代理向服務提供網元請求第一服務的場景,該方法包括:所述服務通訊代理向所述服務消費網元發送客戶認證憑證請求訊息;所述客戶認證憑證請求訊息用於請求第一客戶認證憑證,所述第一客戶認證憑證用於提供第二服務網元認證所述服務消費網元,所述第二服務與所述第一服務關聯;所述服務通訊代理接收來自於所述服務消費網元的針對所述客戶認證憑證請求訊息的回應訊息,針對所述客戶認證憑證請求訊息的回應訊息包括所述第一客戶認證憑證,所述第一客戶認證憑證包括第一網路功能類型和第二網路功能類型,或者所述第一客戶認證憑證包括第二網路功能類型,所述第一網路功能類型為所述服務提供網元的網路功能類型,所述第二網路功能類型為所述提供所述第二服務的網元的網路功能類型。
採用上述設計,服務通訊代理可以請求客戶認證憑證,進而保障服務通訊代理請求第二服務,以及服務消費網元請求第一服務。
在一種可能的設計中,在所述服務通訊代理向所述服務
消費網元發送客戶認證憑證請求訊息之前,所述服務通訊代理接收來自於所述服務消費網元的第一服務請求訊息,所述第一服務請求訊息用於請求所述第一服務,所述第一服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括所述第一網路功能類型;所述服務通訊代理向第一網元發送第二服務請求訊息,所述第二服務請求訊息用於請求所述第二服務,所述第二服務請求訊息包括所述第二客戶認證憑證;所述服務通訊代理接收來自於所述第一網元的針對所述第二服務請求訊息的回應訊息,針對所述第二服務請求訊息的回應訊息包括指示資訊;在所述服務通訊代理向所述服務消費網元發送客戶認證憑證請求訊息時,所述服務通訊代理根據所述指示資訊向所述服務消費網元發送所述客戶認證憑證請求訊息。
採用上述設計,當客戶認證憑證中的網路功能類型與第一網元的網路功能類型不匹配時,第一網元可以在針對第二服務請求訊息的回應訊息中攜帶指示資訊,該指示資訊可以觸發客戶認證憑證請求訊息,進而獲得包括與第一網元的網路功能類型匹配的網路功能類型的客戶認證憑證,實現第一網元對服務消費網元認證成功。
在一種可能的設計中,所述指示資訊包括第三客戶認證憑證,所述第三客戶認證憑證包括所述第一網元的網路功能類型;所述客戶認證憑證請求訊息包括所述第三客戶認證憑證。
採用上述設計,可以通過指示資訊中攜帶第一網元的網
路功能類型進而觸發第一服務請求訊息中的第一客戶認證憑證攜帶與第一網元的網路功能類型匹配的網路功能類型的客戶認證憑證,以實現對服務消費網元認證成功。
在一種可能的設計中,所述第一客戶認證憑證包括所述第二網路功能類型;所述服務通訊代理向所述第一網元發送第三服務請求訊息,所述第三服務請求訊息用於請求所述第二服務,所述第三服務請求訊息包括所述第一客戶認證憑證;所述服務通訊代理接收來自於所述第一網元的針對第三服務請求訊息的回應訊息;所述服務通訊代理根據針對第三服務請求訊息的回應訊息向服務提供網元發送第四服務請求訊息,所述第四服務請求訊息用於請求所述第一服務,所述第四服務請求訊息包括所述第二客戶認證憑證。
採用上述設計,服務通訊代理解析針對客戶認證憑證的回應訊息,根據第一網元的網路功能類型在第三服務請求訊息中攜帶第一客戶認證憑證,根據服務提供網元的網路功能類型在第四服務請求訊息中攜帶第二客戶認證憑證。
在一種可能的設計中,所述第一客戶認證憑證包括所述第一網路功能類型和所述第二網路功能類型;所述服務通訊代理向所述第一網元發送第三服務請求訊息,所述第三服務請求訊息用於請求所述第二服務,所述第三服務請求訊息包括所述第一客戶認證憑證;所述服務通訊代理接收來自於所述第一網元的針對第三服務請求訊息的回應訊息;所述服務通訊代理根據針對第三
服務請求訊息的回應訊息向服務提供網元發送第四服務請求訊息,所述第四服務請求訊息用於請求所述第一服務,所述第四服務請求訊息包括所述第一客戶認證憑證,或者,所述第四服務請求訊息包括所述第二客戶認證憑證。
採用上述設計,服務通訊代理解析針對客戶認證憑證的回應訊息,根據第一網元的網路功能類型在第三服務請求訊息中攜帶第一客戶認證憑證,根據服務提供網元的網路功能類型在第四服務請求訊息中攜帶第一客戶認證憑證或第二客戶認證憑證。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限。
在一種可能的設計中,所述服務通訊代理確定未儲存所述第一訪問權杖且所述第一服務請求訊息不包括所述第一訪問權杖。
在一種可能的設計中,所述第二服務用於提供所述服務提供網元的資訊。
在一種可能的設計中,所述服務通訊代理確定未儲存所述服務提供網元的資訊且所述第一服務請求訊息不包括所述服務提供網元的資訊。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
第七方面,本申請提供一種通訊裝置,該裝置包括收發
單元和處理單元,所述處理單元調用所述收發單元執行:向服務通訊代理發送第一服務請求訊息,所述第一服務請求訊息用於向服務提供網元請求第一服務,所述第一服務請求訊息包括第一客戶認證憑證,所述第一客戶認證憑證用於認證所述裝置,所述第一客戶認證憑證包括第一網路功能類型和第二網路功能類型,所述第一網路功能類型為所述服務提供網元的網路功能類型,所述第二網路功能類型為提供第二服務的網元的網路功能類型;其中,所述第二服務與所述第一服務關聯;從所述服務通訊代理接收針對所述第一服務請求訊息的回應訊息。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,所述第一服務對應的訪問權杖用於表徵所述裝置具有獲取所述第一服務的權限。
在一種可能的設計中,所述處理單元,用於確定不存在所述第一服務對應的可用的訪問權杖。
在一種可能的設計中,所述處理單元,用於在確定不存在所述第一服務對應的可用的訪問權杖時,未儲存所述第一服務對應的訪問權杖;或,確定儲存的所述第一服務對應的訪問權杖已過期。
在一種可能的設計中,在儲存的所述第一服務對應的訪問權杖已過期的情況下,所述處理單元,用於刪除所述已過期的訪問權杖。
在一種可能的設計中,所述第二服務用於提供所述服務
提供網元的資訊。
在一種可能的設計中,所述處理單元,用於確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務。
在一種可能的設計中,在確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務時,所述處理單元,用於根據以下一項或多項,確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務:未儲存第一終端設備的上下文,所述第一終端設備與所述第一服務關聯;或者,未儲存所述第一服務的上下文;或者,所述服務提供網元歸屬於第一切片且未儲存所述第一切片對應的上下文;或者,所述裝置首次與所述服務通訊代理通訊。
在一種可能的設計中,所述處理單元,用於確定使用模式D的間接通訊模式請求所述第一服務。
在一種可能的設計中,所述收發單元用於:向所述服務通訊代理發送第二服務請求訊息,所述第二服務請求訊息用於請求所述第一服務,所述第二服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括所述第一網路功能類型,所述第二客戶認證憑證用於認證所述裝置;從所述服務通訊代理接收針對所述第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊。在向所述服務通訊代理發送第一服務請求訊息時,所述處理單元,用於根據所述指示資訊,向所述服務通訊代理發送所述第一服務請求訊息。
在一種可能的設計中,所述指示資訊包括第三客戶認證憑證,所述第三客戶認證憑證包括所述第二網路功能類型;其中,所述第三客戶認證憑證用於認證所述提供所述第二服務的網元;所述收發單元用於:在根據所述指示資訊,向所述服務通訊代理發送所述第一服務請求訊息時,在根據所述第三客戶認證憑證對所述提供所述第二服務的網元認證成功的情況下,向所述服務通訊代理發送所述第一服務請求訊息。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
在一種可能的設計中,所述第一客戶認證憑證還包括以下一項或者多項:所述裝置的標識或者有效時間資訊,其中,所述有效時間資訊用於表徵所述第一客戶認證憑證的有效時間。
第八方面,本申請提供一種通訊裝置,該裝置包括收發單元和處理單元,所述收發單元,用於從服務通訊代理接收第一服務請求訊息,所述第一服務請求訊息用於向所述裝置請求第一服務,所述第一服務請求訊息包括第一客戶認證憑證,所述第一客戶認證憑證用於認證服務消費網元,其中,所述第一客戶認證憑證包括多個網路功能類型;所述處理單元,用於根據所述第一客戶認證憑證,認證所述服務消費網元,其中,在根據所述第一客戶認證憑證,認證所述服務消費網元時,所述處理單元判斷自身的網路功能類型是否與所述多個網路功能類型中的一個或者多個相匹配,所述處理單元調用所述收發單元根據認證結果向所述
服務通訊代理發送針對所述第一服務請求訊息的回應訊息。
在一種可能的設計中,在所述認證結果為認證成功時,所述收發單元,用於向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,所述針對所述第一服務請求訊息的回應訊息用於提供所述第一服務;或者,在所述認證結果為認證失敗時,所述收發單元,用於向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,所述針對所述第一服務請求訊息的回應訊息指示請求所述第一服務失敗。
在一種可能的設計中,所述多個網路功能類型包括第一網路功能類型和第二網路功能類型,所述第一網路功能類型為所述裝置的網路功能類型,所述第二網路功能類型為提供第二服務的網元的網路功能類型,所述第二服務與所述第一服務關聯。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,其中,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限;或者,所述第二服務用於提供所述裝置的資訊。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
在一種可能的設計中,所述第一服務用於提供所述第二服務對應的訪問權杖,其中,所述第二服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第二服務的權限;或者,所述第一服務用於提供所述第二服務網元的資訊。
在一種可能的設計中,所述裝置為網路儲存功能網元。
在一種可能的設計中,所述收發單元,用於接收來自於所述服務通訊代理的第二服務請求訊息,所述第二服務請求訊息用於向所述裝置請求所述第一服務,所述第二服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括第三網路功能類型;在所述第三網路功能類型與所述裝置的網路功能類型不匹配的情況下,所述收發單元,用於向所述服務通訊代理發送針對所述第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊,其中,所述指示資訊用於觸發所述第一服務請求訊息。
在一種可能的設計中,所述指示資訊包括用於認證所述裝置的第三客戶認證憑證,所述第三客戶認證憑證包括所述裝置的網路功能類型。
在一種可能的設計中,所述第一客戶認證憑證還包括所述服務消費網元的標識和所述第一客戶認證憑證的有效時間資訊;所述第一客戶認證憑證的有效時間資訊用於表徵所述第一客戶認證憑證的有效時間;所述處理單元,用於根據所述第一客戶認證憑證,認證所述服務消費網元,還包括以下一項或者多項:驗證所述第一客戶認證憑證的簽名是否通過、根據所述第一客戶認證憑證包括的有效時間資訊驗證所述第一客戶認證憑證是否過期或者驗證所述第一客戶認證憑證中的所述服務消費網元的標識
與用於簽名所述第一客戶認證憑證的證書中的網元的標識是否相同。
第九方面,本申請提供一種通訊裝置,該裝置包括收發單元和處理單元:所述處理單元調用所述收發單元執行:向服務通訊代理發送第一服務請求訊息,所述第一服務請求訊息用於向服務提供網元請求第一服務,所述第一服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證,所述第四客戶認證憑證用於所述服務提供網元認證所述服務消費網元,所述第五客戶認證憑證用於提供第二服務的網元認證所述服務消費網元,所述第四客戶認證憑證包括第一網路功能類型,所述第五客戶認證憑證包括第二網路功能類型,所述第一網路功能類型為所述服務提供網元的網路功能類型,所述第二網路功能類型為所述提供第二服務的網元的網路功能類型,其中,所述第二服務與所述第一服務關聯,接收來自於所述服務通訊代理的針對所述第一服務請求訊息的回應訊息。
在一種可能的設計中,所述第四客戶認證憑證還包括所述服務消費網元的標識,所述第四客戶認證憑證的有效時間資訊,所述第四客戶認證憑證的有效時間資訊用於表徵所述第四客戶認證憑證的有效時間;所述第五客戶認證憑證還包括所述服務消費網元的標識,所述第五客戶認證憑證的有效時間資訊,所述第五客戶認證憑證的有效時間資訊用於表徵所述第五客戶認證憑證的有效時間。
在一種可能的設計中,所述第五客戶認證憑證的有效時間比所述第四客戶認證憑證的有效時間短。
在一種可能的設計中,所述第四客戶認證憑證的有效時間與第一時長關聯,所述第一時長是所述服務消費網元與所述服務通訊代理的傳輸時延以及所述服務通訊代理與所述提供第二服務的網元的傳輸時延確定的。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,所述第一服務對應的訪問權杖用於表徵所述裝置具有獲取所述第一服務的權限。
在一種可能的設計中,所述處理單元,用於確定不存在所述第一服務對應的可用的訪問權杖。
在一種可能的設計中,所述處理單元,用於在確定不存在所述第一服務對應的可用的訪問權杖時,未儲存所述第一服務對應的訪問權杖;或,確定儲存的所述第一服務對應的訪問權杖已過期。
在一種可能的設計中,在儲存的所述第一服務對應的訪問權杖已過期的情況下,所述處理單元,用於刪除所述已過期的訪問權杖。
在一種可能的設計中,所述第二服務用於提供所述服務提供網元的資訊。
在一種可能的設計中,所述處理單元,用於確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務。
在一種可能的設計中,在確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務時,所述處理單元,用於根據以下一項或多項,確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務:未儲存第一終端設備的上下文,所述第一終端設備與所述第一服務關聯;或者,未儲存所述第一服務的上下文;或者,所述服務提供網元歸屬於第一切片且未儲存所述第一切片對應的上下文;或者,所述裝置首次與所述服務通訊代理通訊。
在一種可能的設計中,所述處理單元,用於確定使用模式D的間接通訊模式請求所述第一服務。
在一種可能的設計中,所述收發單元用於:向所述服務通訊代理發送第二服務請求訊息,所述第二服務請求訊息用於請求所述第一服務,所述第二服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括所述第一網路功能類型,所述第二客戶認證憑證用於認證所述裝置;從所述服務通訊代理接收針對所述第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊。在向所述服務通訊代理發送第一服務請求訊息時,所述處理單元,用於根據所述指示資訊,向所述服務通訊代理發送所述第一服務請求訊息。
在一種可能的設計中,所述指示資訊包括第三客戶認證憑證,所述第三客戶認證憑證包括所述第二網路功能類型;其中,所述第三客戶認證憑證用於認證所述提供所述第二服務的網元;
所述收發單元用於:在根據所述指示資訊,向所述服務通訊代理發送所述第一服務請求訊息時,在根據所述第三客戶認證憑證對所述提供所述第二服務的網元認證成功的情況下,向所述服務通訊代理發送所述第一服務請求訊息。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
在一種可能的設計中,所述第一客戶認證憑證還包括以下一項或者多項:所述裝置的標識或者有效時間資訊,其中,所述有效時間資訊用於表徵所述第一客戶認證憑證的有效時間。
第十方面,本申請提供一種通訊裝置,所述裝置包括收發單元和處理單元,所述處理單元調用所述收發單元執行:接收來自於服務消費網元的第一服務請求訊息,所述第一服務請求訊息用於向服務提供網元請求第一服務,所述第一服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證,所述第四客戶認證憑證用於所述服務提供網元認證所述服務消費網元,所述第五客戶認證憑證用於第一網元認證所述服務消費網元,其中,所述第四客戶認證憑證包括第一網路功能類型,所述第五客戶認證憑證包括第二網路功能類型,所述第一網路功能類型為所述服務提供網元的網路功能類型,所述第二網路功能類型為所述第一網元的網路功能類型;回應於所述第一服務請求訊息,向所述第一網元發送第二服務請求訊息,所述第二服務請求訊息用於請求第二服務,所述第二服務請求訊息包括所述第五客戶認證憑證;接收來
自於所述第一網元的針對所述第二服務請求訊息的回應訊息;根據針對所述第二服務請求訊息的回應訊息,向所述服務提供網元發送第三服務請求訊息,所述第三服務請求訊息用於向所述服務提供網元請求所述第一服務,所述第三服務請求訊息包括所述第四客戶認證憑證。
在一種可能的設計中,所述處理單元,用於根據所述第一服務請求訊息,確定需要向所述第一網元請求所述第二服務;根據所述第一網元的網路功能類型,確定在所述第二服務請求訊息中攜帶所述第五客戶認證憑證。
在一種可能的設計中,所述處理單元,用於根據所述服務提供網元的網路功能類型,確定在所述第三服務請求訊息中攜帶所述第四客戶認證憑證。
在一種可能的設計中,在接收來自於所述服務消費網元的第一服務請求訊息之前,所述收發單元,用於接收來自於所述服務消費網元的第四服務請求訊息,所述第四服務請求訊息用於請求所述第一服務,所述第三服務請求訊息包括第六客戶認證憑證,所述第六客戶認證憑證包括第三網路功能類型;向所述第一網元發送第五服務請求訊息,所述第五服務請求訊息用於請求所述第二服務,所述第五服務請求訊息包括所述第六客戶認證憑證;接收來自於所述第一網元的針對所述第五服務請求訊息的回應訊息,針對所述第五服務請求訊息的回應訊息包括指示資訊;根據所述指示資訊向所述服務消費網元發送針對所述第四服務請
求訊息的回應訊息。
在一種可能的設計中,所述指示資訊包括第七客戶認證憑證,所述第七客戶認證憑證包括所述第一網元的網路功能類型;針對所述第四服務請求訊息的回應訊息還包括所述第七客戶認證憑證。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限。
在一種可能的設計中,所述處理單元,用於確定未儲存所述第一服務對應的可用的訪問權杖且所述第一服務請求訊息不包括所述第一服務對應的訪問權杖。
在一種可能的設計中,所述第二服務用於提供所述服務提供網元的資訊。
在一種可能的設計中,所述處理單元,用於確定未儲存所述服務提供網元的資訊且所述第一服務請求訊息不包括所述服務提供網元的資訊。
在一種可能的設計中,所述第四客戶認證憑證還包括所述服務消費網元的標識,所述第四客戶認證憑證的有效時間資訊,所述第四客戶認證憑證的有效時間資訊用於表徵所述第四客戶認證憑證的有效時間;所述第五客戶認證憑證還包括所述服務消費網元的標識,所述第五客戶認證憑證的有效時間資訊,所述第五客戶認證憑證的有效時間資訊用於表徵所述第五客戶認證憑
證的有效時間。
在一種可能的設計中,所述第五客戶認證憑證的有效時間比所述第四客戶認證憑證的有效時間短。
在一種可能的設計中,所述第四客戶認證憑證的有效時間與第一時長關聯,所述第一時長是所述服務消費網元與所述服務通訊代理的傳輸時延以及所述服務通訊代理與所述提供第二服務的網元的傳輸時延確定的。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
第十一方面,本申請提供一種通訊裝置,所述裝置包括收發單元和處理單元,所述處理單元調用所述收發單元執行:接收來自於服務通訊代理的第一服務請求訊息,所述第一服務請求訊息用於向所述第一網元請求第一服務,所述第一服務請求訊息包括多個客戶認證憑證;每個客戶認證憑證包括一個網路功能類型;所述第一網元根據所述多個客戶認證憑證認證所述服務消費網元;其中,所述第一網元根據所述多個客戶認證憑證認證所述服務消費網元,包括:所述第一網元判斷所述多個客戶認證憑證認證中是否存在一個或者多個客戶認證憑證對服務消費網元認證成功;所述第一網元根據認證結果向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息。
在一種可能的設計中,在所述認證結果指示存在一個或者多個客戶認證憑證對服務消費網元認證成功時,所述第一網元
向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,所述針對所述第一服務請求訊息的回應訊息用於提供所述第一服務;或者,在所述認證結果指示所述多個客戶認證憑證中任意一個客戶認證憑證對服務消費網元認證失敗時,所述第一網元向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,所述針對所述第一服務請求訊息的回應訊息指示請求所述第一服務失敗。
在一種可能的設計中,所述多個客戶認證憑證包括第四客戶認證憑證和第五客戶認證憑證,所述第四客戶認證憑證包括第一網路功能類型,所述第五客戶認證憑證包括第二網路功能類型,所述第一網路功能類型為所述第一網元的網路功能類型,所述第二網路功能類型為提供第二服務的網元的網路功能類型,所述第二服務與所述第一服務關聯。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,其中,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限;或者,所述第二服務用於提供所述第一網元的資訊。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
在一種可能的設計中,所述第一服務用於提供所述第二服務對應的訪問權杖,其中,所述第二服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第二服務的權限;或者,所
述第一服務用於提供所述第二服務網元的資訊。
在一種可能的設計中,所述第一網元為網路儲存功能網元。
在一種可能的設計中,所述收發單元用於接收來自於所述服務通訊代理的第二服務請求訊息,所述第二服務請求訊息用於向所述第一網元請求所述第一服務,所述第二服務請求訊息包括第六客戶認證憑證,所述第六客戶認證憑證包括第三網路功能類型;
在所述第三網路功能類型與所述第一網元的網路功能類型不匹配的情況下,所述收發單元用於向所述服務通訊代理發送針對所述第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊,其中,所述指示資訊用於觸發所述第一服務請求訊息。
在一種可能的設計中,所述指示資訊包括用於認證所述第一網元的第七客戶認證憑證,所述第七客戶認證憑證包括所述第一網元的網路功能類型。
第十二方面,本申請提供一種通訊裝置,該裝置包括收發單元和處理單元,服務消費網元通過所述裝置向服務提供網元請求第一服務,所述處理單元調用所述收發單元執行:向所述服務消費網元發送客戶認證憑證請求訊息;所述客戶認證憑證請求訊息用於請求第一客戶認證憑證,所述第一客戶認證憑證用於提供第二服務網元認證所述服務消費網元,所述第二服務與所述第
一服務關聯;接收來自於所述服務消費網元的針對所述客戶認證憑證請求訊息的回應訊息,針對所述客戶認證憑證請求訊息的回應訊息包括所述第一客戶認證憑證,所述第一客戶認證憑證包括第一網路功能類型和第二網路功能類型,或者所述第一客戶認證憑證包括第二網路功能類型,所述第一網路功能類型為所述服務提供網元的網路功能類型,所述第二網路功能類型為所述提供所述第二服務的網元的網路功能類型。
在一種可能的設計中,在向所述服務消費網元發送客戶認證憑證請求訊息之前,所述收發單元,用於接收來自於所述服務消費網元的第一服務請求訊息,所述第一服務請求訊息用於請求所述第一服務,所述第一服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括所述第一網路功能類型;向所述提供所述第二服務的網元發送第二服務請求訊息,所述第二服務請求訊息用於請求所述第二服務,所述第二服務請求訊息包括所述第二客戶認證憑證;接收來自於所述提供所述第二服務的網元的針對所述第二服務請求訊息的回應訊息,針對所述第二服務請求訊息的回應訊息包括指示資訊;在向所述服務消費網元發送客戶認證憑證請求訊息時,根據所述指示資訊向所述服務消費網元發送所述客戶認證憑證請求訊息。
在一種可能的設計中,所述指示資訊包括第三客戶認證憑證,所述第三客戶認證憑證包括所述第一網元的網路功能類型;所述客戶認證憑證請求訊息包括所述第三客戶認證憑證。
在一種可能的設計中,所述第一客戶認證憑證包括所述第二網路功能類型;所述服務通訊代理向所述第一網元發送第三服務請求訊息,所述第三服務請求訊息用於請求所述第二服務,所述第三服務請求訊息包括所述第一客戶認證憑證;所述服務通訊代理接收來自於所述第一網元的針對第三服務請求訊息的回應訊息;所述服務通訊代理根據針對第三服務請求訊息的回應訊息向服務提供網元發送第四服務請求訊息,所述第四服務請求訊息用於請求所述第一服務,所述第四服務請求訊息包括所述第二客戶認證憑證。
在一種可能的設計中,所述第一客戶認證憑證包括所述第一網路功能類型和所述第二網路功能類型;所述收發單元用於向所述第一網元發送第三服務請求訊息,所述第三服務請求訊息用於請求所述第二服務,所述第三服務請求訊息包括所述第一客戶認證憑證;接收來自於所述第一網元的針對第三服務請求訊息的回應訊息;根據針對第三服務請求訊息的回應訊息向服務提供網元發送第四服務請求訊息,所述第四服務請求訊息用於請求所述第一服務,所述第四服務請求訊息包括所述第一客戶認證憑證,或者,所述第四服務請求訊息包括所述第二客戶認證憑證。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限。
在一種可能的設計中,在向所述服務消費網元發送客戶
認證憑證請求訊息之前,所述處理單元用於確定未儲存所述第一訪問權杖且所述第一服務請求訊息不包括所述第一訪問權杖。
在一種可能的設計中,所述第二服務用於提供所述服務提供網元的資訊。
在一種可能的設計中,在向所述服務消費網元發送客戶認證憑證請求訊息之前,所述處理單元用於確定未儲存所述服務提供網元的資訊且所述第一服務請求訊息不包括所述服務提供網元的資訊。
在一種可能的設計中,所述提供所述第二服務的網元為網路儲存功能網元。
第十三方面,本申請還提供一種通訊裝置。該裝置可以執行上述方法設計。該裝置可以是能夠執行上述方法對應的功能的晶片或電路,或者是包括該晶片或電路的設備。
在一種可能的實現方式中,該裝置包括:記憶體,用於儲存電腦可執行程式碼;以及處理器,處理器與記憶體耦合。其中記憶體所儲存的程式碼包括指令,當處理器執行所述指令時,使該裝置或者安裝有該裝置的設備執行上述第一方面至第六方面的任意一種可能的設計中的方法。
其中,該裝置還可以包括通訊介面,該通訊介面可以是收發器,或者,如果該裝置為晶片或電路,則通訊介面可以是該晶片的輸入/輸出介面,例如輸入/輸出管腳等。
在一種可能的設計中,該裝置包括相應的功能單元,分
別用於實現以上方法中的步驟。功能可以通過硬體實現,也可以通過硬體執行相應的軟體實現。硬體或軟體包括一個或多個與上述功能相對應的單元。
第十四方面,本申請實施例提供一種電腦可讀儲存介質,所述電腦可讀儲存介質儲存有電腦程式,當所述電腦程式在裝置上運行時,執行如第一方面至第六方面的任意一種可能的設計中的方法。
第十五方面,本申請實施例提供一種電腦程式產品,所述電腦程式產品包括電腦程式,當所述電腦程式在裝置上運行時,執行如第一方面至第六方面的任意一種可能的設計中的方法。
第十六方面,本申請提供了一種通訊晶片,其中儲存有指令,當其在通訊設備上運行時,使得所述通訊晶片執行上述第一方面至第六方面的任意一種可能的設計中的方法。
2100、2200:裝置
2110:收發模組
2120:處理模組
2201:處理器
2202:記憶體
2203:收發器
201、202、203、204、205、206、207、301、302、303、304、305、401、402、403、404、405、406、407、408、409、501、502、503、504、505、506、507、508、509、510、511、601、602、603、604、605、701、702、703、704、801、802、803、804、805、806、807、808、901、902、903、904、905、906、1001、1002、1003、1004、1005、1006、1007、1008、1101、1102、1103、1104、1105、
1106、1107、1108、1201、1202、1203、1204、1205、1206、1207、1208、1209、1210、1211、1212、1213、1301、1302、1303、1304、1305、1306、1307、1308、1309、1401、1402、1403、1404、1405、1406、1407、1408、1409、1501、1502、1503、1504、1505、1506、1507、1508、1509、1601、1602、1603、1604、1605、1606、1701、1702、1703、1704、1705、1706、1707、1708、1709、1801、1802、1803、1804、1805、1806、1807、1808、1809、1901、1902、1903、1904、1905、1906、1907、1908、1909、1910、1911、1912、1913、1914、2001、2002、2003、2004、2005、2006、2007、2008、2009、2010、2011、2012、2013、2014:步驟
圖1為本申請的實施例應用的移動通訊系統的架構示意圖;圖2為本申請的實施例中模式C的間接通訊模式的示意圖;圖3為本申請的實施例中模式D的間接通訊模式的示意圖;圖4為本申請的實施例中在模式C的間接通訊模式下NF服務consumer直接與NRF交互的示意圖;圖5為本申請的實施例中在模式C的間接通訊模式下NF服
務consumer通過SCP與NRF交互的示意圖;圖6為本申請的實施例中在模式D的間接通訊模式下NF服務consumer通過SCP與NRF交互的示意圖之一;圖7為本申請的實施例中在模式D的間接通訊模式下NF服務consumer通過SCP與NRF交互的示意圖之二;圖8為本申請的實施例中一種通訊方法的概述流程圖之一;圖9為本申請的實施例中服務消費網元根據指示資訊向服務通訊代理發送第一服務請求訊息的具體過程;圖10為本申請的實施例中一種通訊方法的概述流程圖之二;圖11為本申請的實施例中一種通訊方法的概述流程圖之三;圖12為本申請的實施例中一種通訊方法的概述流程圖之四;圖13為本申請的實施例中在確定需要請求第一服務且不存在第一服務對應的可用的access token時NF服務consumer獲取第一服務的流程圖之一;圖14為本申請的實施例中在確定需要請求第一服務且不存在第一服務對應的可用的access token時NF服務consumer獲取第一服務的流程圖之二;圖15為本申請的實施例中在確定需要請求第一服務且不存在第一服務對應的可用的access token時NF服務consumer獲取第一服務的流程圖之三;圖16為本申請的實施例中在確定需要請求第一服務且存在第一服務對應的可用的access token時NF服務consumer獲取第一
服務的流程圖;圖17為本申請的實施例中在需要請求第一服務且請求第一服務觸發SCP請求NF服務producer的參數時NF服務consumer獲取第一服務的流程圖之一;圖18為本申請的實施例中在需要請求第一服務且請求第一服務觸發SCP請求NF服務producer的參數時NF服務consumer獲取第一服務的流程圖之二;圖19為本申請的實施例中NF服務consumer根據指示資訊向SCP發送服務請求訊息獲取第一服務的流程圖;圖20為本申請的實施例中在SCP主動請求客戶認證憑證時NF服務consumer獲取第一服務的流程圖;圖21為本申請實施例中一種通訊裝置的結構示意圖之一;圖22為本申請實施例中一種通訊裝置的結構示意圖之二。
下面將結合本申請實施例中的附圖,對本申請實施例中的技術方案進行清楚、完整地描述。顯然,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例。本申請的說明書和請求項書及上述附圖中的術語“第一”、第二”以及相應術語標號等是用於區別類似的物件,而不必用於描述特定的順序或先後次序。應該理解這樣使用的術語在適當情況下可以互換,這僅僅是描述本申請的實施例中對相同屬性的物件在描述時所採用的區分
方式。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,以便包含一系列單元的過程、方法、系統、產品或設備不必限於那些單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它單元。
在本申請的描述中,除非另有說明,“/”表示或的意思,例如,A/B可以表示A或B;本申請中的“和/或”僅僅是一種描述關聯物件的關聯關係,表示可以存在三種關係,例如,A和/或B,可以表示:單獨存在A,同時存在A和B,單獨存在B這三種情況。另外,在本申請的描述中,“至少一項”是指一項或者多項,“多項”是指兩項或兩項以上。“以下至少一項(個)”或其類似表達,是指的這些項中的任意組合,包括單項(個)或複數項(個)的任意組合。例如,a,b,或c中的至少一項(個),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是單個,也可以是多個。
本申請實施例的技術方案可以應用於各種通訊系統,例如:寬頻碼分多址(Wideband Code Division Multiple Access,WCDMA)系統,通用分組無線業務(general packet radio service,GPRS),長期演進(Long Term Evolution,LTE)系統,LTE頻分雙工(frequency division duplex,FDD)系統,LTE時分雙工(time division duplex,TDD),通用移動通訊系統(universal mobile telecommunication system,UMTS),全球互聯微波接入(worldwide interoperability for microwave access,WiMAX)通訊系統,第五代(5th generation,5G)系統或未來的第六代通訊系統等。
為了便於理解本申請實施例,以圖1所示的增強的服務化架構為例對本申請使用的應用場景進行說明。具體的,增強的服務化架構具體可以包括但不限於以下設備:
1、會話管理網元:主要用於會話管理、終端設備的網路互連協議(internet protocol,IP)位址分配和管理、選擇可管理使用者設備平面功能、策略控制、或收費功能介面的終結點以及下行資料通知等。在5G通訊中,會話管理網元可以是會話管理功能(session management function,SMF)網元,在未來通訊如6G通訊中,會話管理功能網元仍可以是SMF網元,或者有其它名稱,本申請對此不作限定。Nsmf是SMF提供的基於服務的介面,SMF可以通過Nsmf與其他的網路功能通訊。
2、接入管理網元:主要用於移動性管理和接入管理等,可以用於實現移動性管理實體(mobility management entity,MME)功能中除會話管理之外的其它功能,例如,合法監聽、或接入授權(或鑒權)等功能。在5G通訊中,接入管理網元可以是接入管理功能(access and mobility management function,AMF)網元,在未來通訊如6G通訊中,接入管理網元仍可以是AMF網元,或者有其它名稱,本申請對此不作限定。Namf是AMF提供的基於服務的介面,AMF可以通過Namf與其他的網路功能通訊。
3、認證服務網元:主要用於使用者鑒權等。在5G通訊中,認證服務網元可以是認證服務功能(authentication server function,AUSF)網元,在未來通訊如6G通訊中,認證服務網元
仍可以是AUSF網元,或者有其它名稱,本申請對此不作限定。Nausf是AUSF提供的基於服務的介面,AUSF可以通過Nausf與其他的網路功能通訊。
4、網路開放網元:用於安全地向外部開放由第三代合作夥伴計畫(3rd generation partnership project,3GPP)網路功能提供的業務和能力等。在5G通訊中,網路開放網元可以是網路開放功能(network exposure function,NEF)網元,在未來通訊如6G通訊中,網路開放功能網元仍可以是NEF網元,或者有其它名稱,本申請對此不作限定。其中Nnef是NEF提供的基於服務的介面,NEF可以通過Nnef與其他的網路功能通訊。
5、網路儲存網元:用於提供服務註冊、發現和授權,並維護可用的網路功能(network function,NF)實例資訊,可以實現網路功能和服務的按需配置以及NF之間的互連。其中,服務註冊是指,NF網元需要在網路儲存網元進行註冊登記後才能提供服務。服務發現是指,NF網元需要其他NF網元為其提供服務時,需先通過網路儲存網元執行服務發現,以發現所期望的為其提供服務的NF網元。例如,NF網元1需要NF網元2為其提供服務時,需先通過網路儲存網元進行服務發現,以發現NF網元2。服務授權是指,NF網元需要其他NF網元提供服務時,需先通過網路儲存網元獲取授權資訊,從而進一步使用授權資訊獲取其他NF網元提供的服務。例如,NF網元1向NF網元2請求服務之前,NF網元1首先向網路儲存網元請求接入NF網元2的授權資訊,
NF網元1使用獲取的授權資訊向NF網元2請求服務。在5G通訊中,網路儲存網元可以是網路儲存功能(network repository function,NRF)網元,在未來通訊如6G通訊中,網路儲存功能網元仍可以是NRF網元,或者有其它名稱,本申請對此不作限定。Nnrf是NRF提供的基於服務的介面,NRF可以通過Nnrf與其他的網路功能通訊。
6、策略控制網元:用於指導網路行為的統一策略框架,為控制平面功能網元(例如AMF,SMF等)提供策略規則資訊等。在5G通訊中,策略控制網元可以是策略控制功能(policy control function,PCF)網元,在未來通訊如6G通訊中,策略控制功能網元仍可以是NEF網元,或者有其它名稱,本申請對此不作限定。其中Npcf是PCF提供的基於服務的介面,PCF可以通過Npcf與其他的網路功能通訊。
7 資料管理網元:用於處理使用者標識、接入鑒權、註冊、或移動性管理等。在5G通訊中,資料管理網元可以是統一資料管理(unified data management,UDM)網元,在未來通訊如6G通訊中,資料管理網元仍可以是UDM網元,或者有其它名稱,本申請對此不作限定。其中Nudm是UDM提供的基於服務的介面,UDM可以通過Nudm與其他的網路功能通訊。
8、應用網元:用於進行應用影響的資料路由,接入網路開放功能,或與策略框架交互進行策略控制等。在5G通訊中,應用網元可以是應用功能(application function,AF)網元,在未來
通訊如6G通訊中,應用網元仍可以是AF網元,或者有其它名稱,本申請對此不作限定。Naf是AF提供的基於服務的介面,AF可以通過Naf與其他的網路功能通訊。
9、使用者設備(user equipment,UE)。可以包括各種具有無線通訊功能的手持設備、車載設備、可穿戴設備、計算設備或連接到無線數據機的其它處理設備,以及各種形式的終端,移動台(mobile station,MS),終端(terminal),使用者設備(user equipment,UE),軟終端等等,例如水錶、電錶、感測器等。
10、(無線)接入網(radio access network,(R)AN)網元:用於為特定區域的授權使用者設備提供入網功能,並能夠根據使用者設備的級別,業務的需求等使用不同品質的傳輸隧道。
RAN能夠管理無線資源,為終端設備提供接入服務,進而完成控制信號和使用者設備資料在終端和核心網之間的轉發,RAN也可以理解為傳統網路中的基站。
11、使用者面網元(user plane function,UPF)網元:用於分組路由和轉發、或使用者面資料的服務品質(quality of service,QoS)處理等。在5G通訊中,使用者面網元可以是使用者面功能(user plane function,UPF)網元,在未來通訊如6G通訊中,使用者面網元仍可以是UPF網元,或者有其它名稱,本申請對此不作限定。
12、資料網路(data network,DN)網元:用於提供傳輸資料的網路,例如,Internet網路等。其中,DN網元可以是資料
網路鑒權、授權和計費(data network authentication、authorization、accounting),也可以是應用伺服器(application function)等。
13、SCP:用於完成服務化介面訊息的路由和轉發。也可以理解為:SCP可為服務化介面信令的發送方提供路由和轉發服務。例如,在AMF向SMF請求建立會話的情況下,AMF向SCP發送會話建立請求訊息,由SCP將會話建立請求訊息發送至SMF,SMF確定是否回應該會話建立請求訊息,若SMF向SCP發送會話建立回應訊息,SCP將會話建立回應訊息發送至AMF。若SMF向SCP發送會話建立拒絕訊息,SCP將會話建立拒絕訊息發送至AMF。其中,AMF與SMF之間交互的訊息可以經過一跳SCP或者多跳SCP。
可以理解的是,上述功能或網元既可以是硬體設備中的網路元件,也可以是在專用硬體上運行軟體功能,或者是平臺(例如,雲平臺)上產生實體的虛擬化功能。本申請實施例的應用場景並不限於此,任何能夠實現上述各個網路功能的網路架構都適用於本申請實施例。
需要說明的是,下述內容中的消費者、服務消費網元、NF服務consumer是同一種類型網元,提供者、服務提供網元、和NF服務producer是指同一種類型的網元。本申請下述各實施例均假設本地運營商的策略指示NF服務consumer向SCP發送服務請求訊息需要攜帶CCA。例如,本地運營商策略可以為配置該NF服務consumer在使用間接通訊時生成CCA,用以通過CCA認
證NF服務consumer。
基於上述增強的服務化架構,以下對間接通訊流程的幾種模式進行簡要說明。
其一,無需代理發現的間接通訊(indirect communication without delegated discovery)(簡稱模式C):消費者直接與NRF進行通訊,以執行服務發現流程來選擇對應的服務提供網元,所述服務發現流程無需SCP網元參與。
以下結合圖2對上述模式C進行說明。
步驟201:consumer向NRF發送producer發現訊息。
步驟202:NRF向consumer發送可用的producer的資訊。
在一些實施例中,Consumer可以根據獲取到的可用的producer的資訊選擇目標producer。可用的producer的資訊可以包括NF set Id或特定的NF實例的標識等。具體的,目標producer可以是NF set Id對應的任意NF實例(即producer集合中的任意一個producer)或一個特定NF Set Id對應的NF實例中的一個特定的NF實例(即特定producer)或一個特定的NF實例(即特定producer)。
在一些實施例中,SCP可以負責選擇目標producer,詳見下述步驟204。
步驟203:consumer向SCP發送服務請求訊息,用於通過SCP向目標producer請求特定的服務。
步驟204:SCP通過與NRF交互獲取用於選擇目標
producer的參數。
例如,SCP獲取的參數可以包括但不限於NF實例的位置或容量等。
需要說明的是,步驟204為可選的步驟,示例性地,服務請求訊息包括可用的producer的資訊,例如,可用的producer的資訊包括NF set Id,即可用的producer的資訊指向一組NF實例,SCP需要從該組NF實例中選擇一個NF實例作為目標producer,具體的,SCP可以根據從NRF獲取的參數選擇目標producer。例如,SCP可以根據獲取的NF實例的位置從一組NF實例中確定目標producer。
步驟205:SCP向目標producer發送服務請求訊息,用於向目標producer請求所述特定的服務。
步驟206:目標producer向SCP發送用於提供所述特定的服務的服務請求回應訊息。
步驟207:SCP向consumer發送用於提供所述特定的服務的服務請求回應訊息。
其二,需要代理發現的非直接通訊(indirect communication with delegated discovery)(簡稱模式D):消費者不直接與NRF進行通訊,由SCP網元代理消費者與NRF進行通訊,以執行服務發現流程來選擇對應的服務提供網元。
以下結合圖3對上述模式D進行說明。
步驟301:consumer向SCP發送服務請求訊息;用於通過SCP向目標producer請求特定的服務。
其中,服務請求訊息包括用於目標producer發現和選擇的參數。
步驟302:SCP通過與NRF交互獲取可用的producer的資訊。
其中,SCP可以根據步驟301中的服務請求訊息中用於目標producer發現和選擇的參數獲取可用的producer的資訊並從可用的producer的資訊中確定目標producer。
步驟303:SCP向目標producer發送服務請求訊息,用於向目標producer請求特定的服務。
步驟304:目標producer向SCP發送用於提供所述特定的服務的服務請求回應訊息。
步驟305:SCP向consumer發送用於提供所述特定的服務的服務請求回應訊息。
需要說明的是,在本申請各個實施例中,SCP從consumer接收到的服務請求訊息與SCP向目標producer發送服務請求訊息,可以是相同的,也可以是不相同的。例如,SCP可以對從consumer接收到的服務請求訊息進行相應的修改(例如,增加、刪除或者修改部分資訊),以生成向目標producer發送服務請求訊息。同樣地,SCP從目標producer接收到的服務請求回應訊息與SCP向consumer發送的服務請求回應訊息也可以是相同的,也可
以是不相同的。例如,SCP可以對從目標producer接收到的服務請求回應訊息進行相應的修改,以生成向consumer發送的服務請求回應訊息。
進一步地,給予上述圖2和圖3所示的間接通訊流程,當consumer通過SCP與producer通訊時,producer還需要認證發起服務請求的consumer。同理,當consumer通過SCP與NRF通訊時,NRF也需要認證發起服務請求的consumer。
針對上述間接通訊場景下的認證需求,以下本申請實施例中涉及的驗證資訊進行說明。
一、客戶認證憑證(client credentials assertion,CCA)
CCA例如可以是被認證方簽名的權杖(token),用於認證方認證/驗證被認證方的,即確定被認證方的身份。
示例性地,CCA是一個NF服務consumer簽名的權杖,通過在訊息中包括CCA使得訊息的接收端(即認證方,例如NRF或NF服務producer)認證NF服務consumer。例如,CCA可以包含在超文字傳輸協定(hypertext transfer protocol,HTTP)訊息的訊息頭或訊息體中。
其中,CCA可以包括訊息頭(head)、載荷(payload)和簽名(signature)三部分。
載荷包括聲明(claims),示例性地,聲明包括NF服務consumer的NF實例ID、時間戳記(timestamp)、過期時間和期望的受眾的NF type。其中,時間戳記用於表明CCA的發佈時間,
過期時間用於指示在該時間之後CCA被認為已過期。期望的受眾的NF type為認證NF服務consumer的網元的NF type。
訊息頭和載荷被NF服務consumer使用NF服務consumer證書的私密金鑰進行簽名。訊息頭包括證書資訊,即NF服務consumer證書的相關資訊,例如,該證書資訊包括定位到公開金鑰的證書或憑證連結,或者,該證書資訊包括定位到公開金鑰的證書或憑證連結的統一資源定位符(uniform resource locator,URL)。
當認證方(例如NRF或NF服務producer)接收到包括CCA的訊息時,認證方根據CCA認證NF服務consumer。具體的認證過程如下:驗證CCA的簽名,若簽名驗證通過,則根據時間戳記和/或CCA的過期時間驗證CCA是否過期。若CCA未過期,則進一步認證方驗證期望的受眾的NF type是否與自己的NF type匹配。若匹配,驗證CCA中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配,若匹配,則所有驗證均通過,則認證方確定NF服務consumer認證成功。需要說明的是,本申請對於上述驗證的順序並不限定。
其中,認證方驗證期望的受眾的NF type是否與自己的NF type匹配例如可以包括判斷認證方驗證期望的受眾的NF type是否與自己的NF type相同。例如,當期望的受眾的NF type為AMF時,認證方驗證自己的NF type是否為AMF。驗證CCA中
的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配例如可以包括判斷CCA中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否相同。
可以理解的是,上述認證過程僅為舉例,認證方還可以採用其他順序驗證CCA,本申請對此不做限定。
二、訪問權杖(access token)
訪問權杖用於表徵/指示消費者具有獲取服務的權限。提供者在訪問權杖驗證通過的情況下,才會為消費者提供相應的服務。
示例性地,NRF接收到來自於NF服務consumer或者SCP的access token請求訊息,NRF執行授權檢查,確定授權通過,則NRF生成一個包括claims的access token。
其中,access token分為兩種類型:基於NF服務producer的NF type(簡稱類型A)的access token和基於NF服務producer實例或NF服務producer服務實例(簡稱類型B)的access token。
其中,從功能來定義實例,一個實例可以是NF服務consumer實例或者NF服務producer實例。從服務來定義實例,實例又可稱為服務實例,例如,一個服務實例可以是提供服務A的服務實例或者提供服務B的服務實例。
若NF服務consumer請求類型A的access token,即請求的access token用於指示NF服務consumer接入NF type對應的任
一NF服務producer獲取服務的權限,或者請求的access token用於指示NF服務consumer訪問NF type對應的任一NF服務Producer的服務的權限。access token請求訊息包括NF服務consumer的NF實例ID、期望的服務名稱、NF服務consumer的NF type和期望的NF服務producer的NF type。可選的,access token請求訊息還可以包括期望的NF服務producer實例的單網路切片選擇輔助資訊(single network slice selection assistance information,S-NSSAI)清單或網路切片實例標識(network slice instance identifier,NSI ID)清單、期望的NF服務producer實例的NF Set ID、NF服務consumer的S-NSSAI清單等。
相應的,NRF生成的access token中的claims包括NRF的NF實例ID,NF服務consumer的NF實例ID,NF服務producer的NF type,期望的服務名稱,access token的有效時間。可選的,claims還可以包括附加範圍(例如,請求的資源和請求的針對資源的操作)、期望的NF服務producer實例的S-NSSAI清單或NSI ID清單、期望的NF服務producer實例的NF Set ID。
若NF服務consumer請求類型B的access token,即請求的access token用於授權接入特定NF服務producer實例或NF服務producer服務實例獲取服務。access token請求訊息包括NF服務consumer的NF實例ID、期望的服務名稱、請求的NF服務producer實例ID(s)。
相應的,NRF生成的access token中的claims包括NRF
的NF實例ID,NF服務consumer的NF實例ID,NF服務producer的NF實例ID(s),期望的服務名稱,access token的有效時間。可選的,claims還可以包括附加範圍(例如,請求的資源和請求的針對資源的操作)等。
此外,一般地,CCA的有效時間比access token的有效時間短。
進一步地,在NRF生成access token之後,NRF對access token進行完整性保護,例如,使用與NF服務producer共用的金鑰對claims進行完整性保護,例如生成訊息驗證碼(message authentication code,MAC)或使用NRF證書的私密金鑰對claims進行簽名。
當提供者(例如NF服務producer)接收到包括access token的服務請求訊息時,提供者執行完整性驗證,例如,使用與NRF共用的金鑰驗證access token的MAC或使用NRF證書的公開金鑰驗證access token的簽名。若完整性驗證成功,則進一步驗證access token中的claims。
針對類型A的access token中的claims,提供者具體驗證以下內容:(1)提供者驗證claims中的請求的NF服務producer的NF type是否與自己的NF type匹配;(2)如果claims中包括期望的NF服務producer實例的S-NSSAI清單或NSI ID列表,則提供者驗證自己是否能夠服務對
應的切片;(3)如果claims中包括期望的NF服務producer實例的NF Set Id,提供者驗證claims中的NF set Id是否與自己的NF Set Id匹配;(4)如果claims中包括期望的服務名稱,則提供者驗證是否匹配服務請求訊息請求的服務操作;(5)如果claims中包括附加範圍資訊,則提供者驗證附加範圍資訊與服務請求訊息請求的服務操作是否匹配;(6)提供者根據當前資料/時間驗證access token中的有效時間來檢查access token是否過期,或者提供者根據當前資料/時間驗證access token中的有效時間來檢查access token是否在有效期內。
針對類型B的access token中的claims,提供者具體驗證以下內容:(1)提供者驗證claims中的請求的NF服務producer的NF實例ID(s)中是否包括與自己的ID;(2)如果claims中包括期望的服務名稱,則提供者驗證是否匹配服務請求訊息請求的服務操作;(3)如果claims中包括附加範圍資訊,則提供者驗證附加範圍資訊與服務請求訊息請求的服務操作是否匹配;(4)提供者根據當前資料/時間驗證訪問權杖中的到期時間來檢查訪問權杖是否過期,或者提供者根據當前資料/時間驗證
access token中的有效時間來檢查access token是否在有效期內。
以下結合上述CCA和access token驗證過程對間接通訊場景進行進一步說明:
場景1:無需代理發現的間接流程(模式C)
NF服務consumer直接與NRF交互,如圖4所示。
步驟401:NF服務consumer確定不存在可用的NF服務Producer的資訊,NF服務consumer發起NF服務producer的發現(discovery)流程。
其中,該發現流程用於發現可用的NF服務producer。
示例性地,若步驟402和步驟403請求的是類型B的access token,則需要先於步驟402發起該發現過程,並確定特定NF服務producer實例的標識或NF服務producer服務實例的標識。
示例性地,若步驟402和步驟403請求的是類型A的access token,則可以在步驟402和步驟403之前發起NF服務producer的發現流程(即步驟401),或者,在步驟402和步驟403之後發起NF服務producer的發現流程(即步驟404)。
可以理解的是,NF服務consumer只需發起一次NF服務producer的發現流程。
步驟402:NF服務consumer向NRF發送access token請求訊息(例如,Nnrf_AccessToken_Get_Request)。由上述內容可知,access token分為兩種類型,針對不同類型access token,access token請求訊息包括的具體內容不同,詳見上述關於access token
的相關描述。
步驟403:NRF向NF服務consumer發送access token回應訊息(例如,Nnrf_AccessToken_Get_Response),access token回應訊息包括NRF生成的access token。
具體的,NRF接收來自於NF服務consumer的access token請求訊息,NRF執行授權檢查,即驗證NF服務consumer是否被授權獲取請求的服務。若授權通過,則NRF生成access token,並對access token進行完整性保護。
步驟404:NF服務consumer確定不存在可用的producer資訊(即未執行步驟401),NF服務consumer發起producer發現流程。
其中,步驟404為可選的步驟,在步驟401和步驟404中可以僅一個步驟被執行。
步驟405:NF服務consumer向SCP發送服務請求訊息(例如,Service Request),服務請求訊息包括access token和CCA。
CCA用於NF服務producer認證NF服務consumer。具體的,CCA中的claims包括NF服務consumer的NF實例ID,時間戳記和過期時間,期望的受眾的NF type。根據CCA的定義,服務請求訊息的接收端點為NF服務producer,則這裡的期望的受眾的NF type為NF服務producer的NF type。關於CCA可以參見上述相關內容,此處不再贅述。
例如,在AMF通過SCP向SMF請求建立會話的情況下,AMF向SCP發送會話建立請求訊息,會話建立請求訊息包括access token和CCA。此時的CCA包括AMF的NF實例ID,時間戳記和過期時間,期望的受眾的NF type為SMF。
步驟406:SCP向NF服務producer發送服務請求訊息。
示例性地,SCP執行應用程式設計介面(Application Programming interface,API)修改,並將接收到的服務請求訊息發送至NF服務producer。
其中,若服務請求訊息包括特定NF服務producer實例的標識或NF服務producer服務實例的標識,SCP將服務請求訊息發送至特定NF服務producer實例或NF服務producer服務實例。若服務請求訊息包括NF set Id,SCP可以從中選擇一個NF實例向其發送服務請求訊息。
步驟407:NF服務producer接收來自於SCP的服務請求訊息。NF服務producer驗證CCA和access token。
NF服務producer對access token執行完整性驗證,若完整性驗證成功,則進一步驗證access token中的claims,詳見上述access token中的claims驗證的相關內容。NF服務producer還需要根據CCA驗證NF服務consumer,其中,驗證CCA的具體過程可以參考上述關於CCA驗證的相關描述。
步驟408:NF服務producer確定acess token和CCA驗證成功,則NF服務producer向SCP發送服務回應訊息(例如,
Service Response)。
步驟409:SCP向NF服務consumer發送服務回應訊息。
示例性地,SCP接收來自於NF服務producer的服務回應訊息執行API修改,並向NF服務consumer發送服務回應訊息。
場景2:無需代理發現的間接流程(模式C):NF服務consumer通過SCP與NRF交互,如圖5所示。
步驟501:NF服務consumer確定不存在可用的NF服務Producer的資訊,NF服務consumer發起NF服務producer的發現流程。
其中,該發現流程用於發現可用的NF服務producer。
示例性地,若步驟502和步驟503請求的是類型B的access token,則需要先於步驟502發起該發現過程,並確定特定NF服務producer實例的標識或NF服務producer服務實例的標識。
示例性地,若步驟502和步驟503請求的是類型A的access token,則可以在步驟502和步驟503之前發起NF服務producer的發現流程(即步驟501),或者,在步驟502和步驟503之後發起NF服務producer的發現流程(即步驟504)。
可以理解的是,NF服務producer只需發起一次發現流程。
步驟502:NF服務consumer向SCP發送access token請求訊息。
access token請求訊息包括的具體參數可以根據請求的access token的類型確定,具體可參考上述access token的相關描
述。此外,access token請求訊息還可以包括CCA*,CCA*用於NRF認證NF服務consumer。具體的,CCA*中的claims包括NF服務consumer的NF實例ID,時間戳記和過期時間,期望的受眾的NF type。根據CCA的定義,access token請求訊息的接收端點為NF服務producer,則這裡的期望的受眾的NF type為NFR。
步驟503:SCP向NRF發送步驟501中接收到的access token請求訊息。
步驟504:NRF確定CCA*驗證成功,生成access token。
具體的,NRF根據CCA*認證NF服務consumer。若認證通過,NRF進一步執行授權檢查,若授權通過,則NRF生成access token,並對access token進行完整性保護。
步驟505:NRF向SCP發送access token回應訊息,access token回應訊息包括NRF生成的access token。
步驟506:SCP向NRF發送access token回應訊息,access token回應訊息包括NRF生成的access token。
步驟507~步驟511的具體內容可以參考圖5所示實施例中的步驟505~步驟509。
場景3:代理發現的流程下的通訊授權(模式D):NF服務consumer通過SCP與NRF交互,如圖6所示。
步驟601:NF服務consumer向SCP發送服務請求訊息。服務請求訊息包括CCA和access token。其中,CCA和access token均未過期。CCA中的claims包括NF服務consumer的NF實例ID,
時間戳記和過期時間,期望的受眾的NF type。根據CCA的定義,服務請求訊息的接收端點為NF服務producer,則這裡的期望的受眾的NF type為NF服務producer的NF type。
步驟602:SCP向NF服務producer發送服務請求訊息,服務請求訊息包括CCA和access token。
步驟603~步驟605的具體內容可以參考圖5所示實施例中的步驟607~步驟609。
場景4:代理發現的流程下的通訊授權(模式D):NF服務consumer通過SCP與NRF交互,如圖7所示。
步驟701:NF服務consumer向SCP發送服務請求訊息,服務請求訊息包括CCA。CCA中的claims包括NF服務consumer的NF實例ID、時間戳記、過期時間和期望的受眾的NF type。服務請求的接收端點為NF服務producer,則這裡的期望的受眾的NF type為NF服務Producer的NF type。
步驟702:SCP向NRF發送access token請求訊息。
示例性地,SCP可以根據服務請求訊息判斷是否向NRF發起access token請求流程。例如,SCP確定接收到的服務請求訊息不包括access token且本地沒有與服務請求訊息對應的access token,則SCP向NRF發送access token請求訊息。
其中,access token請求訊息包括步驟701中的CCA。
步驟703:NRF確定驗證CCA失敗。
其中,CCA中期望的受眾的NF type為NF服務producer
的NF type,由於CCA中的NF type與NRF的NF type不一致,NRF確定CCA驗證失敗。
步驟704:NRF向SCP發送access token回應訊息,access token回應訊息不包括access token。
因此,由於SCP獲取access token失敗,進而導致NF服務consumer向NF服務producer請求服務失敗。
基於模式D的間接通訊場景,本申請實施例提供以下幾種實施例,用於解決在NF服務consumer直接向SCP發送服務請求訊息觸發SCP發起請求其他服務時,由於服務請求的接收端點(該其他服務的提供者)認證NF服務consumer失敗,導致SCP請求該其他服務失敗,進而導致NF服務consumer請求服務失敗的問題。
首先對下述各個實施例中涉及的技術概念進行說明:
1、本申請實施例涉及至少兩種網路功能類型。其中,第一網路功能類型與第二網路功能類型不同。網路功能類型是指網路中提供一組功能行為或提供一組服務的網路功能的統稱。例如,5G網路中的網路功能類型可以包含AMF類型或者SMF類型等,其中AMF類型的功能網元可以提供接入和移動性管理相關的服務,SMF類型的功能網元可以提供PDU會話管理相關的服務。
2、本申請實施例還涉及至少兩種服務。其中,第一服務與第二服務不同,第一服務與第二服務關聯。
示例性地,第一服務可以是請求會話建立,第二服務可
以是請求與第一服務對應的access token。或者,第一服務可以是請求會話建立,第二服務可以是請求提供第一服務的網元的資訊。
例如,基於模式D的間接通訊場景,在AMF向SMF請求建立會話時,AMF向SCP發送會話建立請求訊息,在SCP向SMF發送會話建立請求之前,若SCP需要首先從NRF獲取會話建立請求對應的access token(以下記為access token 1),則在SCP從NRF獲取access token 1之後,SCP將會話建立請求訊息發送至SMF,此時的會話建立請求訊息包括access token 1。這裡的第一服務是指請求會話建立,第二服務是指請求第一服務對應的access token,且SCP向NRF請求第一服務對應的access token發生在SCP向SMF發送會話建立請求訊息之前,即SCP發起請求第二服務在發起請求第一服務之前。此外,在一些場景下,SCP發起請求第二服務還可能在發起請求第一服務之後,本申請實施例對此不做限定。如無特殊說明,以下僅以SCP發起請求第二服務在發起請求第一服務之前為例進行說明。
第一服務與第二服務關聯例如可以是發起請求第一服務可能觸發請求第二服務。
在一示例中,第二服務用於提供第一服務對應的訪問權杖,第一服務對應的訪問權杖用於表徵/指示服務消費網元具有獲取第一服務的權限。由於服務消費網元請求第一服務,且第二服務提供的第一服務對應的訪問權杖用於表徵/指示服務消費網元具有獲取第一服務的權限,因此,第一服務與第二服務關聯。示例
性地,NF服務consumer請求第一服務可能觸發SCP請求第一服務對應的access token。第一服務對應的access token用於表徵/指示NF服務consumer具有獲取第一服務的權限或訪問第一服務的權限。
在另一示例中,第二服務用於提供服務提供網元的資訊。由於服務消費網元請求第一服務,第二服務提供的服務提供網元的資訊指示的服務提供網元可以提供第一服務,因此,第一服務與第二服務關聯。示例性地,NF服務consumer請求第一服務可能觸發SCP請求NF服務producer的資訊。NF服務producer為NF服務consumer提供第一服務。
此外,發起請求第一服務還可能觸發請求多個第二服務。示例性地,NF服務consumer請求第一服務可能觸發SCP請求NF服務producer的資訊,以及觸發SCP請求第一服務對應的access token。NF服務producer為NF服務consumer提供第一服務,第一服務對應的access token用於表徵/指示服務消費網元具有獲取第一服務的權限。具體的,SCP可以向NRF1請求第一服務對應的access token,並向NRF1請求NF服務producer的資訊。此時NRF1提供兩種第二服務。或者,SCP可以向NRF1請求第一服務對應的access token,並向NRF2請求NF服務producer的資訊。此時,NRF1與NRF2不同,NRF1提供的第二服務與NRF2提供的第二服務不同。
可以理解的是,上述第一服務和第二服務僅為舉例,不
作為本申請實施例的限定。
以下僅以提供第二服務的網元為網路儲存功能網元為例進行說明,提供第二服務的網元還可能是其他類型的網元,本申請實施例對此不做限定。
本申請實施例提供一種通訊方法,服務消費網元向服務通訊代理發送服務請求訊息,該服務請求訊息包括第一客戶認證憑證,第一客戶認證憑證可以包括至少兩種不同的網路功能類型,進而可以實現不同網元都可以根據第一客戶認證憑證,成功的認證服務消費網元。以下以圖8所示的實施例為例進行說明。
步驟801:服務消費網元向服務通訊代理發送第一服務請求訊息,第一服務請求訊息用於向服務提供網元請求第一服務,第一服務請求訊息包括第一客戶認證憑證。
第一客戶認證憑證用於認證服務消費網元。第一客戶認證憑證包括第一網路功能類型和第二網路功能類型,第一網路功能類型為提供第一服務的網元的網路功能類型,即服務提供網元的網路功能類型,第二網路功能類型為提供第二服務的網元的網路功能類型,第二服務與第一服務關聯。提供第二服務的網元的網路功能類型可以為網路儲存功能網元的網路功能類型。
相較于現有的CCA,第一客戶認證憑證包括兩種網路功能類型,因此,現有CCA僅用於服務請求的接收端點對服務消費網元進行認證,即認證服務消費網元的身份。而本申請實施例中第一客戶認證憑證可以用於兩種網路功能類型的網元對服務消費
網元進行認證,即服務請求的接收端點以及服務請求觸發的請求訊息的接收端點對服務消費網元進行身份認證。此外,第一客戶認證憑證還包括服務消費網元的標識和第一客戶認證憑證的有效時間資訊中的一項或多項。第一客戶認證憑證的有效時間資訊用於指示第一客戶認證憑證的有效時間,例如,第一客戶認證憑證的有效時間資訊可以包括時間戳記和第一客戶認證憑證的過期時間。這些內容與現有CCA中對應概念的含義相同,此處不再贅述。例如,時間戳記指示時刻A,過期時間指示時刻B,則第一客戶認證憑證在時刻A和時刻B確定的一段時間內有效。或者,第一客戶認證憑證的有效時間資訊可以包括時間戳記和第一客戶認證憑證的有效時長。這裡的時間戳記與現有CCA中對應概念的含義相同,有效時長可以是指時間戳記後一段時間。例如,時間戳記指示時刻A,有效時長指示時間段C(例如5分鐘),則第一客戶認證憑證在時刻A之後的時間段C內有效。
其中,第一客戶認證憑證的有效時間資訊與第一時長關聯,第一時長是服務消費網元與服務通訊代理的傳輸時延、服務通訊代理與提供第二服務的網元的傳輸時延以及服務通訊代理與服務提供網元(即提供第一服務的網元)的傳輸時延確定的。
示例性地,服務消費網元與服務通訊代理的傳輸時延記為T1,服務通訊代理與提供第二服務的網元的傳輸時延記為T2,服務通訊代理與服務提供網元的傳輸時延記為T3。上述傳輸時延可以為兩個網元之間的傳輸時延的平均值或略大於傳輸時延的平
均值。若服務通訊代理請求第二服務早於請求第一服務,第一時長=T1+2T2+T3。此時,第一客戶認證憑證的有效時長可以為第一時長與預設時長之和。或者,第一客戶認證憑證的過期時間可以由時間戳記、第一時長和預設時長確定。這裡的預設時長可以預先設定或者動態調整確定。需要說明的是,預設時長如果設置過長,則可能會導致CCA的有效時間很長,則CCA有可能存在被重複使用的風險。
上述針對第一客戶認證憑證的有效時間資訊的配置規則可以儘量保證第一客戶認證憑證不被服務通訊代理惡意使用,進而保證通訊過程的安全性。
可以理解的是,在服務消費網元向服務通訊代理發送第一服務請求訊息之前,服務消費網元還需要判斷本地是否儲存可用的第一客戶認證憑證,若儲存可用的客戶認證憑證(例如,保存有未過期的客戶認證憑證),則使用該未過期的客戶認證憑證作為第一客戶憑證。若未儲存可用的客戶認證憑證(例如,客戶認證憑證已過期或未儲存客戶認證憑證),則服務消費網元生成該第一客戶認證憑證。此外,當存在已過期的客戶認證憑證時,服務消費網元可以刪除已過期的客戶認證憑證。因此,服務消費網元可以通過刪除已過期的客戶認證憑證,釋放儲存空間,減輕系統的儲存負擔。
以下說明觸發服務消費網元向服務通訊代理發送第一服務請求訊息的幾種可能的場景。
場景1:在需要請求第一服務且不存在第一服務對應的可用的訪問權杖的情況下,服務消費網元向服務通訊代理發送第一服務請求訊息。
示例性地,服務消費網元確定需要請求第一服務且不存在第一服務對應的可用的訪問權杖,服務消費網元向服務通訊代理發送第一服務請求訊息。
在一些實施例中,服務消費網元確定不存在第一服務對應的可用的訪問權杖包括:服務消費網元確定未儲存第一服務對應的訪問權杖或服務消費網元確定儲存的第一服務對應的訪問權杖已過期。進一步地,在儲存的第一服務對應的訪問權杖已過期的情況下,服務消費網元可以刪除已過期的第一服務對應的訪問權杖。
示例性地,access token可以儲存在NF服務consumer的公共儲存空間(例如,access token儲存在節點級別的上下文中)。NF服務consumer可以接收UE的服務請求訊息,根據該服務請求訊息確定需要請求第一服務。NF服務consumer根據UE的標識獲取UE的相關資訊(例如UE的上下文資訊),進一步地,NF服務consumer檢查公共儲存空間是否包括與第一服務對應的access token。若包括第一服務對應的access token且該access token未過期,則使用該access token;若不包括第一服務對應的access token則確定不存在可用的access token;或若包括第一服務對應的access token但該access token已過期,確定不存在可用的access
token,進一步可選的,NF服務consumer刪除該access token。其中,UE的相關資訊可以儲存在NF服務consumer的公共儲存空間,或者,NF服務consumer根據UE的標識從其他網元獲取的UE的相關資訊。
可以理解的是,若服務消費網元確定存在可用的第一服務對應的訪問權杖,則此時服務消費網元向服務通訊代理發送的第一服務請求訊息可以不需要包括第二網路功能類型,僅包括第一網路功能類型即可。
場景2:在需要請求第一服務且請求第一服務觸發服務通訊代理請求服務提供網元的資訊的情況下,服務消費網元向服務通訊代理發送第一服務請求訊息。
示例性地,服務消費網元確定需要請求第一服務且請求第一服務觸發服務通訊代理請求服務提供網元的資訊,服務消費網元向服務通訊代理發送第一服務請求訊息。
其中,在出現以下一種或多種情況時,服務消費網元可以確定請求第一服務會觸發服務通訊代理請求服務提供網元的資訊。示例性地,服務消費網元接收與第一終端設備關聯的第一訊息,服務消費網元根據第一訊息確定需要請求第一服務。進一步地,服務消費網元根據以下一項或多項,確定請求第一服務觸發服務通訊代理請求服務提供網元的資訊。
情況1:未儲存第一終端設備的上下文。
示例性地,NF服務consumer可以接收UE的服務請求訊
息,根據該服務請求訊息確定需要請求第一服務。NF服務consumer根據UE的標識獲取UE的上下文資訊,若未能獲取UE的上下文資訊,即該UE為新的UE,未觸發過NF服務consumer向NF服務producer請求服務,則NF服務consumer確定請求第一服務觸發SCP請求NF服務producer的資訊。其中,UE的上下文資訊可以儲存在NF服務consumer,或者,NF服務consumer根據UE的標識從其他網元獲取的UE的上下文資訊。
情況2:未儲存第一服務的上下文。
示例性地,NF服務consumer可以接收UE的服務請求訊息,根據該服務請求訊息確定需要請求第一服務。NF服務consumer根據UE的標識獲取UE的上下文資訊,根據UE的上下文資訊確定未包括第一服務的上下文,即UE未觸發過NF服務consumer向NF服務producer請求第一服務,則NF服務consumer確定請求第一服務觸發SCP請求NF服務producer的資訊。其中,UE的上下文資訊可以儲存在NF服務consumer,或者,NF服務consumer根據UE的標識從其他網元獲取的UE的上下文資訊。
情況3:第一切片歸屬於服務提供網元且未儲存第一切片的上下文;示例性地,NF服務consumer可以接收UE的服務請求訊息,根據該服務請求訊息確定需要請求第一服務且需要向第一切片中服務提供網元請求第一服務。NF服務consumer根據UE的標識獲取UE的上下文資訊,根據UE的上下文資訊確定未包括第一
切片的上下文,即UE未觸發過NF服務consumer向第一切片中的NF服務producer請求第一服務,則NF服務consumer確定請求第一服務觸發SCP請求NF服務producer的資訊。其中,UE的上下文資訊可以儲存在NF服務consumer,或者,NF服務consumer根據UE的標識從其他網元獲取的UE的上下文資訊。
情況4:服務消費網元首次與服務通訊代理通訊。
可以理解的是,服務消費網元可以通過多個服務通訊代理向服務提供網元請求服務,若服務消費網元確定向新的服務通訊代理發送第一服務請求訊息,即服務消費網元首次與該服務通訊代理進行通訊,則服務消費網元確定第一服務請求訊息觸發服務通訊代理請求第二服務。
此外,NF服務consumer接收服務請求回應訊息,該訊息中包含綁定指示,該綁定指示用於後續的相關服務訊息。這種場景下,若NF服務consumer發起請求第一服務時,第一服務請求訊息攜帶綁定資訊,綁定資訊可以用於SCP將第一服務請求路由特定的NF服務producer。此時SCP無需發起NF服務producer發現流程。
場景3:在需要請求第一服務且服務消費網元使用模式D的間接通訊模式與服務通訊代理進行通訊,服務消費網元向服務通訊代理發送第一服務請求訊息。
示例性地,可以通過標準協定約定或者通過預配置資訊配置服務消費網元使用模式D與服務通訊代理進行通訊時,第一
服務請求訊息總是攜帶包括第一網路功能類型和第二網路功能類型的客戶認證憑證。
場景4:在服務消費網元向服務通訊代理發送第一服務請求訊息之前,服務消費網元獲取指示資訊,服務消費網元根據指示資訊向服務通訊代理發送第一服務請求訊息。
如圖9所示,以下對圖8步驟801中場景4下服務消費網元根據指示資訊向服務通訊代理發送第一服務請求訊息的具體過程進行說明。
步驟901:在服務消費網元向服務通訊代理發送第一服務請求訊息之前,服務消費網元向服務通訊代理發送第二服務請求訊息,第二服務請求訊息用於請求第一服務,第二服務請求訊息包括第二客戶認證憑證,第二客戶認證憑證包括第一網路功能類型,第二客戶認證憑證用於服務提供網元認證服務消費網元。
需要說明的是,此時第二客戶認證憑證不包括第二網路功能類型。
步驟902:服務通訊代理向網路儲存功能網元發送第三服務請求訊息,第三服務請求訊息用於請求第二服務,第三服務請求訊息包括第二客戶認證憑證。網路儲存功能網元用於提供第二服務。
服務通訊代理確定請求第一服務觸發請求第二服務可以包括但不限於以下場景:
場景A:在未儲存第一服務對應的可用的訪問權杖且第
二服務請求訊息未包括第一服務對應的訪問權杖的情況下,服務通訊代理向網路儲存功能網元發送第三服務請求訊息,第三服務請求訊息用於請求第一服務對應的訪問權杖。服務通訊代理確定未儲存可用的第一服務對應的訪問權杖且第二服務請求訊息未包括第一服務對應的訪問權杖,服務通訊代理向網路儲存功能網元發送第三服務請求訊息。
示例性地,服務通訊代理根據接收到的第二服務請求訊息,可以確定需要第一服務對應的訪問權杖,例如,服務通訊代理可以根據服務請求訊息的類型或服務請求的訪問範圍確定需要第一服務對應的訪問權杖。進一步地,服務通訊代理查詢是否儲存第一服務對應的訪問權杖,若未儲存或儲存的第一服務對應的訪問權杖已過期,且第二服務請求訊息中未包括該訪問權杖,則可以根據服務請求訊息的類型確定請求第一服務對應的訪問權杖所需要的參數,即claim中的參數,例如,期望的服務的名稱、consumer的NF instance ID等。此外,當儲存的第一服務對應的訪問權杖已過期,服務通訊代理可以刪除該過期的訪問權杖。
場景B:在未儲存可用的服務提供網元的資訊且第二服務請求訊息未包括服務提供網元的資訊的情況下,服務通訊代理向網路儲存功能網元發送第三服務請求訊息,第三服務請求訊息用於請求服務提供網元的資訊。服務通訊代理確定未儲存可用的服務提供網元的資訊且第二服務請求訊息未包括服務提供網元的資訊,向網路儲存功能網元發送第三服務請求訊息。示例性地,
服務通訊代理可以根據第二服務請求訊息的類型和/或第二服務請求訊息中的指示資訊確定。
服務通訊代理在接收到第二服務請求訊息之後,服務通訊代理解析第二服務請求訊息,進而可以確定訊息的接收者是誰,是否需要發現訊息的接收者(即服務提供網元)。其中,服務通訊代理判斷是否需要發現服務提供網元,與在直接通訊中服務消費網元如何確定是否需要發現服務提供者的邏輯類似。例如,SCP接收到的是請求訊息是會話建立請求,SCP確定需要將該訊息轉發給SMF,SCP會根據該訊息中的參數確定本地是否有符合條件的SMF實例資訊。
步驟903:網路儲存功能網元根據第二客戶認證憑證確定服務消費網元認證失敗。
示例性地,網路儲存功能網元根據第二客戶認證憑證確定服務消費網元認證失敗,包括:所述網路儲存功能網元確定所述第一網路功能類型與網路儲存功能網元的網路功能類型不匹配。或者,網路儲存功能網元根據第二客戶認證憑證確定服務消費網元認證失敗,包括:網路儲存功能網元驗證第二客戶認證憑證的簽名通過、根據第二客戶認證憑證包括的時間戳記和/或第二客戶認證憑證的過期時間驗證第二客戶認證憑證未過期、驗證第二客戶認證憑證中的服務消費網元的標識與用於簽名第二客戶認證憑證的證書中的網元的標識相同以及驗證第一網路功能類型與網
路儲存功能網元的網路功能類型不匹配。
步驟904:在第一網路功能類型與網路儲存功能網元的網路功能類型不匹配的情況下,網路儲存功能網元向服務通訊代理發送針對第三服務請求訊息的回應訊息。針對第三服務請求訊息的回應訊息包括原因值和/或第一指示資訊。
其中,原因值和/或第一指示資訊指示第二客戶認證憑證中不包括第二網路功能類型,或者指示第二客戶認證憑證中包括的第一網路功能類型與網路儲存功能網元的網路功能類型不匹配,或者指示第二客戶認證憑證中缺少正確的網路功能類型等。
可選的,所述第一指示資訊可以是第三客戶認證憑證。該第三客戶認證憑證包括網路儲存功能網元的標識、第三客戶認證憑證的時間戳記、第三客戶認證憑證的過期時間、服務消費網元的網路功能類型。可選的,第三客戶認證憑證還可以包括網路儲存功能網元的網路功能類型,用以指示服務消費網元生成包括網路儲存功能網元的網路功能類型的客戶認證憑證。
由於步驟903可知,網路儲存功能網元對服務消費網元認證失敗,則針對第三服務請求訊息的回應訊息還可以指示第二服務請求失敗。
步驟905:服務通訊代理根據針對第三服務請求訊息的回應訊息向服務消費網元發送針對第二服務請求訊息的回應訊息,所述針對第二服務請求訊息的回應訊息中包括第二指示資訊。
其中,所述第二指示資訊用於觸發所述服務消費網元發
送圖8實施例中步驟801的第一服務請求訊息(即同時攜帶服務提供網元的網路功能類型和網路儲存功能網元的網路功能類型的服務請求訊息)。
一種可能的實現方式中,所述第二指示資訊用於指示第二客戶認證憑證中不包括網路儲存功能網元的網路功能類型(即上述第二網路功能類型),或者指示第二客戶認證憑證中包括的第一網路功能類型與網路儲存功能網元的網路功能類型不匹配,或者指示第二客戶認證憑證中缺少正確的網路功能類型等。
具體實現中,上述第二指示資訊可以與所述第一指示資訊相同,或者是由服務通訊代理對所述第一指示資訊處理之後得到的資訊。本申請實施例對此不做限定。
在一些實施例中,服務通訊代理還可以根據針對第三服務請求訊息的回應訊息生成所述第二指示資訊,該第二指示資訊可以觸發服務消費網元重新發起請求第一服務的服務請求訊息並在重新發起請求第一服務時攜帶包括網路儲存功能網元的網路功能類型和服務提供網元的網路功能類型的客戶認證憑證(即執行上述步驟801)。
步驟906:服務消費網元根據所述第二指示資訊,向服務通訊代理發送第一服務請求訊息。
在一些實施例中,在第二指示資訊包括第三客戶認證憑證且第三客戶認證憑證包括網路儲存功能網元的網路功能類型時,服務消費網元可以根據第三客戶認證憑證認證網路儲存功能
網元,在網路儲存功能網元認證成功時,服務消費網元向服務通訊代理發送第一服務請求訊息,其中,服務消費網元確定第二網路功能類型為網路儲存功能網元的網路功能類型(其中,網路儲存功能網元用於提供第二服務,網路儲存功能網元的網路功能類型為提供第二服務的網元的網路功能類型)。
步驟802:服務通訊代理接收來自於服務消費網元的第一服務請求訊息,服務通訊代理向網路儲存功能網元發送第四服務請求訊息,第四服務請求訊息用於請求第二服務,第四服務請求訊息包括第一客戶認證憑證。
服務通訊代理確定請求第一服務觸發請求第二服務可以參考上述步驟902,重複之處不再贅述。
步驟803:網路儲存功能網元接收來自於服務通訊代理的第四服務請求訊息,網路儲存功能網元根據第一客戶認證憑證認證服務消費網元。
網路儲存功能網元確定在第一網路功能類型和第二網路功能類型中存在與網路儲存功能網元的網路功能類型相同的網路功能類型,則網路儲存功能網元確定服務消費網元認證成功。其中,第二網路功能類型與網路儲存功能網元的網路功能類型相同。
具體的,網路儲存功能網元驗證第一客戶認證憑證的簽名通過、根據第一客戶認證憑證包括的時間戳記和/或第一客戶認證憑證的過期時間驗證第一客戶認證憑證未過期、驗證第一客戶認證憑證中的服務消費網元的標識與用於簽名第一客戶認證憑證
的證書中的網元的標識相同、驗證第一網路功能類型和第二網路功能類型中第二網路功能類型與網路儲存功能網元的網路功能類型匹配,則網路儲存功能網元確定服務消費網元認證成功。
步驟804:在服務消費網元認證成功時,網路儲存功能網元向服務通訊代理發送針對第四服務請求訊息的回應訊息。
示例性地,若第四服務請求訊息請求第一服務對應的訪問權杖,則網路儲存功能網元在服務消費網元認證成功後,網路儲存功能網元執行授權檢查,確定授權通過,則網路儲存功能網元生成第一服務對應的訪問權杖。網路儲存功能網元向服務通訊代理發送針對第四服務請求訊息的回應訊息。針對第四服務請求訊息的回應訊息包括第一服務對應的訪問權杖。
示例性地,若第四服務請求訊息請求服務提供網元的資訊,則網路儲存功能網元在服務消費網元認證成功後,向服務通訊代理發送針對第四服務請求訊息的回應訊息,針對第四服務請求訊息的回應訊息包括服務提供網元的資訊。
步驟805:服務通訊代理接收來自於網路儲存功能網元的針對第四服務請求訊息的回應訊息,服務通訊代理根據針對第四服務請求訊息的回應訊息向服務提供網元發送第五服務請求訊息,第五服務請求訊息用於請求第一服務,第五服務請求訊息包括第一客戶認證憑證。
可以理解的是,第五服務請求訊息還包括第一服務對應的訪問權杖。
示例性地,在針對第四服務請求訊息的回應訊息包括第一服務對應的訪問權杖時,服務通訊代理向服務提供網元發送第五服務請求訊息,第五服務請求訊息用於請求第一服務,第五服務請求訊息包括第一客戶認證憑證和第一服務對應的訪問權杖。
示例性地,在針對第四服務請求訊息的回應訊息包括服務提供網元的資訊時,服務通訊代理向服務提供網元的資訊指示的服務提供網元發送第五服務請求訊息,第五服務請求訊息用於請求第一服務,第五服務請求訊息包括第一客戶認證憑證和第一服務對應的訪問權杖。此時的第一服務對應的訪問權杖可以是服務通訊代理儲存的或第一請求訊息中攜帶的。
或者另一種實現方式中,服務通訊代理使用所述第一客戶認證憑證向網路儲存功能網元請求所述第一服務對應的訪問權杖和所述服務提供網元的資訊。即通過執行兩次步驟802-步驟804,服務通訊代理可以發起兩次針對第二服務的服務請求訊息,一次用於請求第一服務對應的訪問權杖,一次用於請求所述服務提供網元的資訊。則此時,步驟805中的第一服務對應的訪問權杖,可以是服務通訊代理通過步驟802-步驟804從網路儲存功能網路獲取的。
步驟806:服務提供網元接收來自於服務通訊代理的第五服務請求訊息,服務提供網元根據第一客戶認證憑證認證服務消費網元。
可以理解的是,服務提供網元還需驗證第一服務對應的
訪問權杖,具體可以參考上述關於access token的驗證過程,此處不再贅述。
服務提供網元根據第一客戶認證憑證認證服務消費網元,包括:服務提供網元判斷自身的網路功能類型是否與所述第一網路功能類型和第二網路功能類型中一個或者多個相匹配。
具體的,所述服務提供網元根據第一客戶認證憑證認證服務消費網元,還包括:,服務提供網元驗證第一客戶認證憑證的簽名是否通過、根據第一客戶認證憑證包括的時間戳記和/或第一客戶認證憑證的過期時間驗證第一客戶認證憑證是否未過期以及驗證第一客戶認證憑證中的服務消費網元的標識與用於簽名第一客戶認證憑證的證書中的網元的標識是否相同。
其中,網路儲存功能網元和服務提供網元根據第一客戶認證憑證認證服務消費網元的認證思路相同,相應內容可以互相參考,不再贅述。
步驟807:在服務消費網元認證成功時,服務提供網元向服務通訊代理發送針對第五服務請求訊息的回應訊息。
例如,在對服務消費網元認證成功且第一服務對應的訪問權杖驗證成功時,針對第五服務請求訊息的回應訊息用於指示提供第一服務或者指示第五服務請求成功。或者,在服務消費網元認證失敗和/或第一服務對應的訪問權杖驗證失敗時,針對第五服務請求訊息的回應訊息指示請求第一服務失敗。
步驟808:服務通訊代理向服務消費網元發送針對第一服
務請求訊息的回應訊息。
當針對第五服務請求訊息的回應訊息用於指示提供第一服務或者指示第五服務請求成功時,針對第一服務請求訊息的回應訊息用於指示提供第一服務或者指示第一服務請求成功。或者,當針對第五服務請求訊息的回應訊息指示第一服務請求失敗時,針對第一服務請求訊息的回應訊息指示第一服務請求失敗。示例性地,服務通訊代理可能會修改一下針對第五服務請求訊息的回應訊息的訊息頭中的資訊,但針對第五服務請求訊息的回應訊息的內容基本不變,服務通訊代理主要是起到訊息路由的作用。
採用上述實施例,在服務消費網元通過服務通訊代理向服務通過網元請求第一服務的場景下,服務消費網元在向服務通訊代理發送的第一服務請求訊息中攜帶同時包含第一網路功能類型和第二網路功能類型的客戶認證憑證,進而可以保證服務通訊代理請求第二服務時,提供第二服務的網元對服務消費網元認證成功,進而也為服務消費網元請求第一服務提供了保障,解決了間接通訊場景下,因為客戶認證憑證認證失敗,導致服務消費網元請求服務失敗的問題。
本申請實施例提供一種通訊方法,服務消費網元向服務通訊代理發送服務請求訊息,該服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證,第四客戶認證憑證和第五客戶認證憑證分別包括不同的網路功能類型,服務通訊代理向不同網元發送對應的客戶認證憑證,進而可以實現不同網元根據不同客戶認證
憑證認證服務消費網元。以下以圖10所示的實施例為例進行說明。
本申請實施例提供一種通訊方法,如圖10所示,該方法包括:
步驟1001:服務消費網元向服務通訊代理發送第一服務請求訊息,第一服務請求訊息用於請求第一服務,第一服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證。
其中,第四客戶認證憑證用於服務提供網元認證服務消費網元,第五客戶認證憑證用於提供第二服務的網元認證服務消費網元,第四客戶認證憑證包括第一網路功能類型,第五客戶認證憑證包括第二網路功能類型,第一網路功能類型為服務提供網元的網路功能類型,第二網路功能類型為提供第二服務的網元的網路功能類型,第二服務與第一服務關聯。
第四客戶認證憑證還包括服務消費網元的標識和第四客戶認證憑證的有效時間資訊中的一項或多項,第四客戶認證憑證的有效時間資訊指示第四客戶認證憑證的過期時間,例如,第四客戶認證憑證的有效時間資訊包括時間戳記,第四客戶認證憑證的過期時間。或者,第四客戶認證憑證的有效時間資訊可以包括第四客戶認證憑證的時間戳記和第四客戶認證憑證的有效時長。第五客戶認證憑證還包括服務消費網元的標識和第五客戶認證憑證的有效時間資訊中的一項或多項,第五客戶認證憑證的有效時間資訊指示第五客戶認證憑證的有效時間。例如,第五客戶認證憑證的有效時間資訊包括第五客戶認證憑證的時間戳記,第五客
戶認證憑證的過期時間。或者,第五客戶認證憑證的有效時間資訊可以包括第五客戶認證憑證的時間戳記和第五客戶認證憑證的有效時長。
在服務通訊代理請求第二服務早於請求第一服務的情況下,第五客戶認證憑證的有效時間比第四客戶認證憑證的有效時間短。示例性地,在服務通訊代理請求第二服務早於請求第一服務的情況下,第五客戶認證憑證的有效時間與第一時長關聯,第一時長是服務消費網元與服務通訊代理的傳輸時延以及服務通訊代理與提供第二服務的網元的傳輸時延確定的。例如,服務消費網元與服務通訊代理的傳輸時延記為T1,服務通訊代理與提供第二服務的網元的傳輸時延記為T2。上述傳輸時延可以為傳輸時延的平均值或略大於傳輸時延的平均值。第一時長=T1+T2。例如,第一客戶認證憑證的過期時間可以由時間戳記、第一時長和預設時長確定。這裡的預設時長可以根據經驗值確定。
在服務通訊代理請求第二服務晚於請求第一服務的情況下,第五客戶認證憑證的有效時間比第四客戶認證憑證的有效時間長。
上述針對第四客戶認證憑證的有效時間和第五客戶認證憑證的有效時間的配置規則可以儘量保證第四客戶認證憑證和第五客戶認證憑證不被服務通訊代理惡意使用,進而保證通訊過程的安全性。
可以理解的是,在服務消費網元向服務通訊代理發送第
一服務請求訊息之前,服務消費網元還需要判斷本地是否儲存可用的客戶認證憑證,若儲存可用的客戶認證憑證(例如,保存有未過期的客戶認證憑證),則使用該可用的客戶認證憑證作為第四客戶認證憑證。若未儲存可用的客戶認證憑證(例如,保存的客戶認證憑證已過期或未儲存客戶認證憑證),則服務消費網元生成該第四客戶認證憑證。此外,當存在已過期的客戶認證憑證時,服務消費網元可以刪除已過期的客戶認證憑證。因此,服務消費網元可以通過刪除已過期的客戶認證憑證,釋放儲存空間,減輕系統的儲存負擔。同理,適用于第五客戶認證憑證,此處不再贅述。
其中,提供第二服務的網元的網路功能類型可以為網路儲存功能網元的網路功能類型。
其中,觸發服務消費網元向服務通訊代理發送第一服務請求訊息的幾種場景可以具體參考圖8所示實施例的相關內容,重複之處不再贅述。
步驟1002:服務通訊代理接收來自於服務消費網元的第一服務請求訊息,服務通訊代理向網路儲存功能網元發送第二服務請求訊息,第二服務請求訊息用於請求第二服務,第二服務請求訊息包括第五客戶認證憑證。
服務通訊代理確定請求第一服務觸發請求第二服務可以參考上述步驟902,重複之處不再贅述。
其中,在服務通訊代理確定請求第一服務觸發請求第二
服務之後,服務通訊代理根據網路儲存功能網元的網路功能類型向網路儲存功能網元發送第二服務請求訊息,第二服務請求訊息包括第五客戶認證憑證。
示例性地,服務通訊代理確定需要向網路儲存功能網元請求第一服務對應的訪問權杖,根據網路儲存功能網元的網路功能類型從第四客戶認證憑證和第五客戶認證憑證中選擇第五客戶認證憑證添加至第二服務請求訊息。或者,服務通訊代理確定需要向網路儲存功能網元請求服務提供網元的資訊,則根據網路儲存功能網元的網路功能類型從第四客戶認證憑證和第五客戶認證憑證中選擇第五客戶認證憑證添加至第二服務請求訊息。
步驟1003:網路儲存功能網元接收來自於服務通訊代理的第二服務請求訊息,網路儲存功能網元根據第五客戶認證憑證認證服務消費網元。
網路儲存功能網元確定服務消費網元認證成功。具體的,網路儲存功能網元驗證第五客戶認證憑證的簽名通過、根據第五客戶認證憑證包括的時間戳記和/或第五客戶認證憑證的過期時間驗證第五客戶認證憑證未過期、驗證第五客戶認證憑證中的服務消費網元的標識與用於簽名第五客戶認證憑證的證書中的網元的標識相同、驗證第二網路功能類型與網路儲存功能網元的網路功能類型匹配,則網路儲存功能網元確定服務消費網元認證成功。
步驟1004:網路儲存功能網元向服務通訊代理發送針對
第二服務請求訊息的回應訊息。
示例性地,若第二服務請求訊息請求第一服務對應的訪問權杖,則網路儲存功能網元在服務消費網元認證成功後,網路儲存功能網元執行授權檢查,確定授權通過,則網路儲存功能網元生成第一服務對應的訪問權杖。網路儲存功能網元向服務通訊代理發送針對第二服務請求訊息的回應訊息。針對第二服務請求訊息的回應訊息包括第一服務對應的訪問權杖。
示例性地,若第二服務請求訊息請求服務提供網元的資訊,則網路儲存功能網元在服務消費網元認證成功後,向服務通訊代理發送針對第二服務請求訊息的回應訊息,針對第二服務請求訊息的回應訊息包括服務提供網元的資訊。
可選的,網路儲存功能網元在服務消費網元認證失敗的情況下,網路儲存功能網元向服務通訊代理發送針對第二服務請求訊息的回應訊息,用於指示請求所述第二服務失敗。
步驟1005:服務通訊代理接收來自於網路儲存功能網元的針對第二服務請求訊息的回應訊息,服務通訊代理根據針對第二服務請求訊息的回應訊息向服務提供網元發送第三服務請求訊息,第三服務請求訊息用於請求第一服務,第三服務請求訊息包括第四客戶認證憑證。
可以理解的是,第三服務請求訊息還包括第一服務對應的訪問權杖。
示例性地,服務通訊代理確定服務消費網元請求第一服
務,根據服務提供網元的類型從第四客戶認證憑證和第五客戶認證憑證中選擇第四客戶認證憑證添加至第三服務請求訊息。
示例性地,在針對第二服務請求訊息的回應訊息包括第一服務對應的訪問權杖時,服務通訊代理向服務提供網元發送第三服務請求訊息,第三服務請求訊息用於請求第一服務,第三服務請求訊息包括第四客戶認證憑證和第一服務對應的訪問權杖。或者在針對第二服務請求訊息的回應訊息包括服務提供網元的資訊時,服務通訊代理向服務提供網元的資訊指示的服務提供網元發送第三服務請求訊息,第三服務請求訊息用於請求第一服務,第三服務請求訊息包括第四客戶認證憑證和第一服務對應的訪問權杖。此時的第一服務對應的訪問權杖可以是服務通訊代理已儲存的或第一服務請求訊息攜帶的。
步驟1006:服務提供網元接收來自於服務通訊代理的第三服務請求訊息,服務提供網元根據第四客戶認證憑證認證服務消費網元。
可以理解的是,服務提供網元還需驗證第一服務對應的訪問權杖,具體可以參考上述關於access token的驗證過程,此處不再贅述。
服務提供網元確定服務消費網元認證成功。具體的,服務提供網元驗證第四客戶認證憑證的簽名通過、根據第四客戶認證憑證包括的時間戳記和/或第四客戶認證憑證的過期時間驗證第四客戶認證憑證未過期、驗證第四客戶認證憑證中的服務消費網
元的標識與用於簽名第四客戶認證憑證的證書中的網元的標識相同、驗證第一網路功能類型與服務提供網元的網路功能類型匹配,則服務提供網元確定服務消費網元認證成功。
步驟1007:服務提供網元向服務通訊代理發送針對第三服務請求訊息的回應訊息。
在服務消費網元認證成功且第一服務對應的訪問權杖驗證成功時,針對第三服務請求訊息的回應訊息用於指示提供第一服務或者指示所述第三服務請求成功。或者,在服務消費網元認證失敗和/或第一服務對應的訪問權杖驗證失敗時,針對第三服務請求訊息的回應訊息指示第一服務請求失敗。
步驟1008:服務通訊代理向服務消費網元發送針對第一服務請求訊息的回應訊息。
當針對第三服務請求訊息的回應訊息用於指示提供第一服務或者指示所述第三服務請求成功時,針對第一服務請求訊息的回應訊息用於指示提供第一服務或者指示所述第一服務請求成功。或者,當針對第三服務請求訊息的回應訊息指示第一服務請求失敗時,針對第一服務請求訊息的回應訊息指示第一服務請求失敗。示例性地,服務通訊代理可能會修改一下針對第三服務請求訊息的回應訊息的訊息頭中的資訊,但針對第三服務請求訊息的回應訊息的內容基本不變,服務通訊代理主要是起到訊息路由的作用。
採用上述實施例,服務消費網元向服務通訊代理發送第
一服務請求訊息,其中,第一服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證,第四客戶認證憑證包括第一網路功能類型,第五客戶認證憑證包括第二網路功能類型,進而可以保證服務通訊代理請求第二服務時,提供第二服務的網元對服務消費網元認證成功,進而也為服務消費網元請求第一服務提供了保障。
本申請實施例提供一種通訊方法,服務消費網元向服務通訊代理發送服務請求訊息,該服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證,第四客戶認證憑證和第五客戶認證憑證分別包括不同的網路功能類型,網路儲存功能網元(或服務提供網元)在接收到第四客戶認證憑證和第五客戶認證憑證時,根據第四客戶認證憑證確定服務消費網元認證成功或根據第五客戶認證憑證確定服務消費網元認證成功,即可確定對服務消費網元認證成功。以下以圖11所示的實施例為例進行說明。
本申請實施例提供一種通訊方法,如圖11所示,該方法包括:
步驟1101:服務消費網元向服務通訊代理發送第一服務請求訊息,第一服務請求訊息用於請求第一服務,第一服務請求訊息包括第四客戶認證憑證和第五客戶認證憑證。
具體可以參考圖10中的步驟1001,重複之處不再贅述。
步驟1102:服務通訊代理接收來自於服務消費網元的第一服務請求訊息,服務通訊代理向網路儲存功能網元發送第二服務請求訊息,第二服務請求訊息用於請求第二服務,第二服務請
求訊息包括第四客戶認證憑證和第五客戶認證憑證。
服務通訊代理確定請求第一服務觸發請求第二服務可以參考上述步驟902,重複之處不再贅述。
步驟1103:網路儲存功能網元接收來自於服務通訊代理的第二服務請求訊息,網路儲存功能網元根據第四客戶認證憑證和第五客戶認證憑證認證服務消費網元。
網路儲存功能網元根據第四客戶認證憑證和第五客戶認證憑證中的一個或多個客戶認證憑證對服務消費網元認證成功,則網路儲存功能網元確定服務消費網元認證成功。
網路儲存功能網元根據第五客戶認證憑證確定服務消費網元認證成功。具體的,網路儲存功能網元驗證第五客戶認證憑證的簽名通過、根據第五客戶認證憑證包括的時間戳記和/或第五客戶認證憑證的過期時間驗證第五客戶認證憑證未過期、驗證第五客戶認證憑證中的服務消費網元的標識與用於簽名第五客戶認證憑證的證書中的網元的標識相同、驗證第二網路功能類型與網路儲存功能網元的網路功能類型匹配,則網路儲存功能網元確定服務消費網元認證成功。
網路儲存功能網元根據第四客戶認證憑證確定服務消費網元認證失敗。具體的,網路儲存功能網元驗證第四客戶認證憑證的簽名通過、根據第四客戶認證憑證包括的時間戳記和/或第四客戶認證憑證的過期時間驗證第四客戶認證憑證未過期、驗證第四客戶認證憑證中的服務消費網元的標識與用於簽名第四客戶認
證憑證的證書中的網元的標識相同、驗證第一網路功能類型與網路儲存功能網元的網路功能類型不匹配,則網路儲存功能網元確定服務消費網元認證失敗。
由上可知,網路儲存功能網元根據第五客戶認證憑證對服務消費網元認證成功,根據第四客戶認證憑證對服務消費網元認證失敗,則網路儲存功能網元確定服務消費認證成功。
步驟1104:在服務消費網元認證成功時,網路儲存功能網元向服務通訊代理發送針對第二服務請求訊息的回應訊息。
示例性地,若第二服務請求訊息請求第一服務對應的訪問權杖,則網路儲存功能網元在服務消費網元認證成功後,網路儲存功能網元執行授權檢查,確定授權通過,則網路儲存功能網元生成第一服務對應的訪問權杖。網路儲存功能網元向服務通訊代理發送針對第二服務請求訊息的回應訊息。針對第二服務請求訊息的回應訊息包括第一服務對應的訪問權杖。
示例性地,若第二服務請求訊息請求服務提供網元的資訊,則網路儲存功能網元在服務消費網元認證成功後,向服務通訊代理發送針對第二服務請求訊息的回應訊息,針對第二服務請求訊息的回應訊息包括服務提供網元的資訊。
步驟1105:服務通訊代理接收來自於網路儲存功能網元的針對第二服務請求訊息的回應訊息,服務通訊代理根據針對第二服務請求訊息的回應訊息向服務提供網元發送第三服務請求訊息,第三服務請求訊息用於請求第一服務,第三服務請求訊息包
括第四客戶認證憑證和第五客戶認證憑證。
可以理解的是,第三服務請求訊息還包括第一服務對應的訪問權杖。
示例性地,在針對第二服務請求訊息的回應訊息包括第一服務對應的訪問權杖時,服務通訊代理向服務提供網元發送第三服務請求訊息,第三服務請求訊息用於請求第一服務,第三服務請求訊息包括第四客戶認證憑證和第一服務對應的訪問權杖。
示例性地,在針對第二服務請求訊息的回應訊息包括服務提供網元的資訊時,服務通訊代理向服務提供網元的資訊指示的服務提供網元發送第三服務請求訊息,第三服務請求訊息用於請求第一服務,第三服務請求訊息包括第四客戶認證憑證和第一服務對應的訪問權杖。此時的第一服務對應的訪問權杖可以是服務通訊代理已儲存的或第一服務請求訊息攜帶的。
步驟1106:服務提供網元接收來自於服務通訊代理的第三服務請求訊息,服務提供網元驗證第四客戶認證憑證和第五客戶認證憑證。
可以理解的是,服務提供網元還需驗證第一服務對應的訪問權杖,具體可以參考上述關於access token的驗證過程,此處不再贅述。
服務提供網元根據第四客戶認證憑證和第五客戶認證憑證中的一個或多個客戶認證憑證對服務消費網元認證成功,則服務提供網元確定服務消費網元認證成功。
服務提供網元根據第四客戶認證憑證確定服務消費網元認證成功。具體的,服務提供網元驗證第四客戶認證憑證的簽名通過、根據第四客戶認證憑證包括的時間戳記和/或第四客戶認證憑證的過期時間驗證第四客戶認證憑證未過期、驗證第四客戶認證憑證中的服務消費網元的標識與用於簽名第四客戶認證憑證的證書中的網元的標識相同、驗證第一網路功能類型與服務提供網元的網路功能類型匹配,則服務提供網元確定服務消費網元認證成功。
服務提供網元根據第五客戶認證憑證確定服務消費網元認證失敗。具體的,服務提供網元驗證第五客戶認證憑證的簽名通過、根據第五客戶認證憑證包括的時間戳記和/或第五客戶認證憑證的過期時間驗證第五客戶認證憑證未過期、驗證第五客戶認證憑證中的服務消費網元的標識與用於簽名第五客戶認證憑證的證書中的網元的標識相同、驗證第二網路功能類型與服務提供網元的網路功能類型不匹配,則服務提供網元確定服務消費網元認證失敗。
由上可知,服務提供網元根據第四客戶認證憑證對服務消費網元認證成功,根據第五客戶認證憑證對服務消費網元認證失敗,則服務提供網元確定服務消費認證成功。
步驟1107:服務提供網元向服務通訊代理發送針對第三服務請求訊息的回應訊息。
步驟1108:服務通訊代理向服務消費網元發送針對第一
服務請求訊息的回應訊息。
其中步驟1107與步驟1108分別圖10實施例中步驟1007以及步驟1008相同,不再贅述。
相比圖10的實施例,圖11的實施例中服務通訊代理不需要根據請求服務的物件不同,在服務請求訊息中攜帶不同的CCA,簡化了服務通訊代理的處理邏輯。此外,因為服務通訊代理在接收到服務消費網元的服務請求之後,不管是向網路儲存功能網元請求第二服務還是向服務提供網元請求第一服務,都是同時攜帶了兩個CCA,因此總能夠保證網路儲存功能網元和服務提供網元認證服務消費網元成功,從而避免了服務消費網元請求服務失敗的問題。
本申請實施例提供一種通訊方法,在服務通訊代理請求第二服務失敗時,服務通訊代理可以主動向服務消費網元請求客戶認證憑證,以保障服務通訊代理能夠獲取第二服務,進而保障服務消費網元獲取第一服務。
本申請實施例提供一種通訊方法,如圖12所示,該方法包括:
步驟1201:服務消費網元向服務通訊代理發送服務請求訊息1,服務請求訊息1用於請求第一服務,服務請求訊息1包括客戶認證憑證A,客戶認證憑證A包括第一網路功能類型,客戶認證憑證A用於服務提供網元認證服務消費網元。第一網路功能類型為服務提供網元的網路功能類型。
需要說明的是,此時客戶認證憑證A不包括第二網路功能類型。其中,第二網路功能類型為提供第二服務的網元的網路功能類型,第二服務與第一服務關聯。
步驟1202:服務通訊代理向網路儲存功能網元發送服務請求訊息2,服務請求訊息2用於請求第二服務,服務請求訊息2包括客戶認證憑證A。網路儲存功能網元用於提供第二服務。
步驟1203:網路儲存功能網元根據客戶認證憑證A確定服務消費網元認證失敗。
步驟1204:網路儲存功能網元向服務通訊代理發送針對服務請求訊息2的回應訊息。
上述步驟1201至步驟1204分別參考圖9實施例中步驟901至904相同,不再贅述。
步驟1205:服務通訊代理根據針對服務請求訊息2的回應訊息向服務消費網元發送客戶認證憑證請求訊息。
客戶認證憑證請求訊息可以指示第一服務請求失敗。客戶認證憑證請求訊息還可以包括指示資訊。
在一些實施例中,該指示資訊可以包括客戶認證憑證B和/或原因值。其中,當指示資訊包括客戶認證憑證B時,可以避免服務通訊代理惡意觸發服務消費網元請求客戶認證憑證。
在一些實施例中,服務通訊代理還可以根據針對服務請求訊息2的回應訊息生成指示資訊,指示資訊也可以不包括客戶認證憑證B或原因值,該指示資訊可以指示服務消費網元請求客
戶認證憑證並在請求客戶認證憑證時攜帶包括網路儲存功能網元的網路功能類型的客戶認證憑證。
步驟1206:服務消費網元根據指示資訊,向服務通訊代理發送針對客戶認證憑證請求訊息的回應訊息。
在一些實施例中,在指示資訊包括客戶認證憑證B且客戶認證憑證B包括網路儲存功能網元的網路功能類型時,服務消費網元可以驗證客戶認證憑證B,在客戶認證憑證B驗證成功時,服務消費網元向服務通訊代理發送針對客戶認證憑證請求訊息的回應訊息,針對客戶認證憑證請求訊息的回應訊息包括客戶認證憑證C,客戶認證憑證C包括第一網路功能類型和第二網路功能類型,或者客戶認證憑證C包括第二網路功能類型,第一網路功能類型為服務提供網元的網路功能類型,第二網路功能類型為提供第二服務的網元的網路功能類型。
步驟1207:服務通訊代理接收來自於服務消費網元的針對客戶認證憑證請求訊息的回應訊息,服務通訊代理向網路儲存功能網元發送服務請求訊息3,服務請求訊息3用於請求第二服務,服務請求訊息3包括客戶認證憑證C。
示例性地,在未儲存可用的第一服務對應的訪問權杖且第一服務請求訊息未包括第一服務對應的訪問權杖的情況下,服務通訊代理向網路儲存功能網元發送服務請求訊息3,服務請求訊息3用於請求第一服務對應的訪問權杖。
或者,在未儲存服務提供網元的資訊且第一服務請求訊
息未包括服務提供網元的資訊的情況下,服務通訊代理向網路儲存功能網元發送服務請求訊息3,服務請求訊息3用於請求服務提供網元的資訊。
步驟1208:網路儲存功能網元接收來自於服務通訊代理的服務請求訊息3,網路儲存功能網元根據客戶認證憑證C認證服務消費網元。
若客戶認證憑證C包括第一網路功能類型和第二網路功能類型,網路儲存功能網元確定在第一網路功能類型和第二網路功能類型中存在與網路儲存功能網元的網路功能類型匹配的網路功能類型,則網路儲存功能網元確定客戶認證憑證C驗證成功。其中,第二網路功能類型與網路儲存功能網元的網路功能類型匹配。具體的,網路儲存功能網元驗證客戶認證憑證C的簽名通過、根據客戶認證憑證C包括的時間戳記和/或客戶認證憑證C的過期時間驗證客戶認證憑證C未過期、驗證客戶認證憑證C中的服務消費網元的標識與用於簽名客戶認證憑證C的證書中的網元的標識相同、驗證第一網路功能類型和第二網路功能類型中的第二網路功能類型與網路儲存功能網元的網路功能類型匹配,則網路儲存功能網元確定服務消費網元認證成功。
若客戶認證憑證C包括第二網路功能類型,網路儲存功能網元驗證客戶認證憑證C的簽名通過、根據客戶認證憑證C包括的時間戳記和/或客戶認證憑證C的過期時間驗證客戶認證憑證C未過期、驗證客戶認證憑證C中的服務消費網元的標識與用於
簽名客戶認證憑證C的證書中的網元的標識相同、驗證第二網路功能類型與網路儲存功能網元的網路功能類型匹配,則網路儲存功能網元確定服務消費網元認證成功。
步驟1209:在服務消費網元認證成功時,網路儲存功能網元向服務通訊代理發送針對服務請求訊息3的回應訊息。
示例性地,若服務請求訊息請求3第一服務對應的訪問權杖,則網路儲存功能網元在服務消費網元認證成功後,網路儲存功能網元執行授權檢查,確定授權通過,則網路儲存功能網元生成第一服務對應的訪問權杖。網路儲存功能網元向服務通訊代理發送針對服務請求訊息3的回應訊息。針對服務請求訊息3的回應訊息包括第一服務對應的訪問權杖。
示例性地,若服務請求訊息3請求服務提供網元的資訊,則網路儲存功能網元在服務消費網元認證成功後,向服務通訊代理發送針對服務請求訊息3的回應訊息,針對服務請求訊息3的回應訊息包括服務提供網元的資訊。
步驟1210:服務通訊代理接收來自於網路儲存功能網元的針對服務請求訊息3的回應訊息,服務通訊代理根據針對服務請求訊息3的回應訊息向服務提供網元發送服務請求訊息4,服務請求訊息4用於請求第一服務,服務請求訊息4包括客戶認證憑證A或客戶認證憑證C。
可以理解的是,服務請求訊息4還包括第一服務對應的訪問權杖。
示例性地,在針對服務請求訊息3的回應訊息包括第一服務對應的訪問權杖時,服務通訊代理向服務提供網元發送服務請求訊息4,服務請求訊息4用於請求第一服務,服務請求訊息4包括第一客戶認證憑證和第一服務對應的訪問權杖。
示例性地,在針對服務請求訊息3的回應訊息包括服務提供網元的資訊時,服務通訊代理向服務提供網元的資訊指示的服務提供網元發送服務請求訊息4,服務請求訊息4用於請求第一服務,服務請求訊息4包括第一客戶認證憑證和第一服務對應的訪問權杖。此時的第一服務對應的訪問權杖可以是服務通訊代理已儲存的或服務請求訊息1攜帶的。
步驟1211:服務提供網元接收來自於服務通訊代理的服務請求訊息4,服務提供網元根據客戶認證憑證A或客戶認證憑證C認證NF服務consumer。
可以理解的是,服務提供網元還需驗證第一服務對應的訪問權杖,具體可以參考上述關於access token的驗證過程,此處不再贅述。
若服務請求訊息4包括客戶認證憑證C,服務提供網元確定在第一網路功能類型和第二網路功能類型中存在與服務提供網元的網路功能類型匹配的網路功能類型,則服務提供網元根據客戶認證憑證C確定服務消費網元認證成功。其中,第一網路功能類型與服務提供網元的網路功能類型匹配。具體的,服務提供網元驗證客戶認證憑證C的簽名通過、根據客戶認證憑證C包括
的時間戳記和/或客戶認證憑證C的過期時間驗證客戶認證憑證C未過期、驗證客戶認證憑證C中的服務消費網元的標識與用於簽名客戶認證憑證C的證書中的網元的標識相同、驗證第一網路功能類型和第二網路功能類型中的第一網路功能類型與服務提供網元的網路功能類型匹配,則服務提供網元確定服務消費網元認證成功。
若服務請求訊息4包括客戶認證憑證A,服務提供網元驗證客戶認證憑證A的簽名通過、根據客戶認證憑證A包括的時間戳記和/或客戶認證憑證A的過期時間驗證客戶認證憑證A未過期、驗證客戶認證憑證A中的服務消費網元的標識與用於簽名客戶認證憑證A的證書中的網元的標識相同、驗證第一網路功能類型與服務提供網元的網路功能類型匹配,則服務提供網元確定服務消費網元認證成功。
步驟1212:服務提供網元向服務通訊代理發送針對服務請求訊息4的回應訊息。
在服務消費網元認證成功且第一服務對應的訪問權杖驗證成功時,針對服務請求訊息4的回應訊息用於指示提供第一服務或者指示所述服務請求4成功。或者,在服務消費網元認證失敗和/或第一服務對應的訪問權杖驗證失敗時,針對服務請求訊息4的回應訊息指示第一服務請求失敗。
步驟1213:服務通訊代理向服務消費網元發送針對服務請求訊息1的回應訊息。
當針對服務請求訊息4的回應訊息用於指示提供第一服務或者指示所述服務請求4成功時,針對服務請求訊息1的回應訊息用於指示提供第一服務或者指示服務請求1成功。或者,當針對服務請求訊息4的回應訊息指示第一服務請求失敗時,針對服務請求訊息1的回應訊息指示第一服務請求失敗。
採用上述實施例,服務通訊代理向服務消費網元發送客戶認證憑證請求訊息,進而可以保證服務通訊代理請求第二服務時,提供第二服務的網元對服務消費網元認證成功,進而也為服務消費網元請求第一服務提供了保障。
以下結合具體實施例1至實施例7對上述圖8至圖12所示的實施例進行舉例說明。
實施例1:結合圖8所示實施例,在確定需要請求第一服務且不存在可用的第一服務對應的access token時,NF服務consumer可以採用但不限於以下實施例獲取第一服務,如圖13所示。
步驟1301:NF服務consumer確定請求第一服務且不存在第一服務對應的可用的access token,NF服務consumer獲取CCA,第一服務對應的access token表徵/指示NF服務consumer具有獲取第一服務的權限或訪問第一服務的權限。
可以理解的是,NF服務consumer還可以在步驟1301之前確定當前間接通訊模式為模式D。
在NF服務consumer確定請求第一服務之後,NF服務
consumer檢查本地是否儲存第一服務對應的access token。NF服務consumer確定不存在第一服務對應的可用的access token是指NF服務consumer確定未儲存第一服務對應的access token或儲存的第一服務對應的access token已過期。進一步地,當NF服務consumer確定儲存的第一服務對應的access token已過期時,NF服務consumer刪除已過期的第一服務對應的access token。
示例性地,NF服務consumer可以接收UE的服務請求訊息,根據該服務請求訊息確定需要請求第一服務。NF服務consumer根據UE的標識獲取UE的相關資訊(例如UE的上下文資訊),進一步地,NF服務consumer檢查公共儲存空間是否包括與第一服務對應的access token。若包括第一服務對應的access token且該access token未過期,則使用該access token;若不包括第一服務對應的access token則確定不存在可用的access token;或若包括第一服務對應的access token但該access token已過期,確定不存在可用的access token,進一步可選的,NF服務consumer刪除該access token。其中,UE的相關資訊可以儲存在NF服務consumer的公共儲存空間,或者,NF服務consumer根據UE的標識從其他網元獲取的UE的相關資訊。
此外,NF服務consumer還需要判斷本地是否儲存可用的CCA,若儲存可用的CCA(例如,CCA未過期),則使用該CCA。若未儲存可用的CCA(例如,CCA已過期或未儲存CCA),則NF服務consumer生成CCA。此外,當CCA已過期時,NF服務
consumer刪除已過期的CCA。
其中,CCA包括第一NF type和第二NF type,其中,第一NF type為期望提供第一服務的NF服務producer的NF type,第二NF type為期望提供access token的NRF的NF type。
此外,該CCA還包括NF服務consumer的NF實例的標識,時間戳記,過期時間。
步驟1302:NF服務Consumer向SCP發送第一服務請求訊息,第一服務請求訊息包括步驟1301中的CCA和用於獲取access token的參數。第一服務請求訊息用於請求第一服務。
用於獲取access token的參數可以與用於發現NF服務producer的參數相同,也可以全部不同或部分不同。用於獲取access token的參數可以與用於發現NF服務producer的參數可以使用同一個信元指示或者使用不同的信元指示。示例性地,若兩者全部相同,可以使用同一個信元指示。若兩者全部不同,則第一服務請求訊息中還包含用於發現NF服務producer的參數。若部分不同,則第一服務請求訊息中還包括剩餘的用於發現NF服務producer的參數。
例如,用於獲取access token的參數可以包括期望的服務名稱、NF服務consumer的NF type和期望的NF服務producer的NF type,期望的NF服務producer實例的S-NSSAI清單或NSI ID清單、期望的NF服務producer實例的NF Set ID、NF服務consumer的S-NSSAI清單等。用於發現NF服務producer的參數可以包括
期望的NF服務producer的NF type,期望的NF服務producer實例的S-NSSAI清單或NSI ID列表。此時,用於獲取access token的參數可以與用於發現NF服務producer的參數部分相同。
步驟1303:SCP向NRF發送access token請求訊息,access token請求訊息包括CCA和用於獲取access token的參數。
在SCP向NRF發送access token請求訊息之前,SCP確定第一服務請求訊息不包括第一服務對應的access token且本地未儲存第一服務對應的access token或SCP確定第一服務請求訊息不包括第一服務對應的access token且儲存的第一服務對應的access token過期。若判斷儲存的第一服務對應的access token過期,SCP刪除過期的第一服務對應的access token。
此外,可以理解的是,若第一服務對應的access token為類型B的access token,則SCP還需在步驟1303之前發起NF服務Producer的發現流程。否則,SCP可以在獲取第一服務對應的access token之後發起NF服務Producer的發現流程。或者,當本機存放區有NF服務Producer的資訊時,SCP可以不發起NF服務Producer的發現流程。
其中,access token請求訊息可以為NNrf_AccessToken_Get_Request或者其他訊息,本申請實施例對此不做限定。
步驟1304:NRF接收access token請求訊息,NRF根據CCA認證NF服務Consumer。
NRF根據CCA對NF服務Consumer認證成功,NRF執行授權檢查,確定授權通過,生成第一服務對應的access token。
其中,NRF驗證CCA的簽名,根據時間戳記和/或CCA的過期時間驗證CCA是否過期,驗證CCA中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NRF還需要驗證CCA包括的第一NF type和第二NF type是否存在與NRF的NF type相同的NF type,當NRF確定第二NF type與NRF的NF type匹配,則NRF確定NF服務Consumer認證成功。
步驟1305:NRF向SCP發送access token回應訊息,access token回應訊息包括第一服務對應的access token。
步驟1306:SCP向NF服務producer發送第二服務請求訊息。第二服務請求訊息包括第一服務對應的access token和CCA。
步驟1307:NF服務producer接收來自於SCP的第二服務請求訊息。NF服務producer根據CCA認證NF服務Consumer。
NF服務producer對第一服務對應的access token執行完整性驗證,若完整性驗證成功,則進一步驗證第一服務對應的access token中的claims,詳見上述access token中的claims驗證的相關內容。
NF服務producer還需要根據CCA認證NF服務consumer。其中,NF服務producer驗證CCA的簽名,根據時間
戳記和/或CCA的過期時間驗證CCA是否過期,驗證CCA中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配,除上述驗證內容均驗證成功之外,NF服務producer還需要驗證CCA包括的第一NF type和第二NF type是否存在與NF服務producer的NF type匹配的NF type,當NF服務producer確定第一NF type與NF服務producer的NF type匹配,則NF服務producer確定NF服務consumer認證成功。
上述驗證access token和CCA順序也可以為先驗證CCA,驗證成功之後再驗證access token,此處不做限定。
此外NF服務producer還檢查CCA中的NF服務consumer的NF實例Id與access token中包含NF服務consumer的NF實例Id是否相同,若相同,則為NF服務consumer提供請求的服務。
步驟1308:NF服務producer確定第一acess token驗證成功且NF服務consumer認證成功,則NF服務producer向SCP發送針對第二服務請求訊息的回應訊息。針對第二服務請求訊息的回應訊息用於指示提供第一服務或者指示所述第二服務請求成功。
可以理解的是,若第一access token驗證失敗和/或NF服務consumer認證失敗,針對第二服務請求訊息的回應訊息指示第一服務請求失敗。
步驟1309:SCP接收來自於NF服務producer的針對第二服務請求訊息的回應訊息,並向NF服務consumer發送針對第
一服務請求訊息的回應訊息。
針對第二服務請求訊息的回應訊息可以包括第一服務對應的access token。NF服務Consumer儲存第一服務對應的access token,用於後續發起請求第一服務。
此外,若NF服務consumer確定存在可用的第一服務對應的access token,則NF服務consumer可以判斷是否儲存可用的CCA,若儲存可用的CCA,則使用該CCA,若未儲存可用的CCA,則生成CCA。可以理解的是,此時CCA可以不包括第二NF type。但是,若NF服務consumer在步驟1301之前確定當前間接通訊模式為模式D,則第一服務請求訊息需要攜帶第一NF type和第二NF type。
採用上述實施例CCA包括第一NF type和第二NF type,進而可以保證NRF和NF服務producer根據CCA對NF服務consumer認證成功,進而保障了NF服務consumer獲取第一服務。
實施例2:結合圖10所示實施例,在確定需要請求第一服務且不存在可用的第一服務對應的access token時,NF服務consumer可以採用但不限於以下實施例獲取第一服務,如圖14所示。
步驟1401:NF服務consumer確定請求第一服務且不存在可用的第一服務對應的access token,NF服務consumer獲取CCA1和CCA2,第一服務對應的access token表徵/指示NF服務consumer具有獲取第一服務的權限或訪問第一服務的權限。
可以理解的是,NF服務consumer還可以在步驟1401之前確定當前間接通訊模式為模式D。NF服務consumer確定請求第一服務且不存在可用的第一服務對應的access token具體可以圖13中的步驟1301中的相關描述,重複之處不再贅述。
此外,NF服務consumer需要判斷本地是否儲存可用的CCA1和CCA2。若儲存可用的CCA1(例如,CCA1未過期),則使用該CCA1。若未儲存可用的CCA1(例如,CCA1已過期),則NF服務consumer生成CCA1。若儲存可用的CCA2(例如,CCA2未過期或未儲存CCA2),則使用該CCA2。若未儲存可用的CCA2(例如,CCA2已過期或未儲存CCA2),則NF服務consumer生成CCA2。其中,當CCA1或CCA2過期時,NF服務consumer刪除過期的CCA。
其中,CCA1包括第一NF type,CCA2包括第二NF type,其中,第一NF type為期望提供第一服務的NF服務producer的NF type,第二NF type為期望提供access token的NRF的NF type。
此外,CCA1還包括NF服務consumer的NF實例的標識,時間戳記,CCA1的過期時間。CCA2還包括NF服務consumer的NF實例的標識,時間戳記,CCA2的過期時間。
步驟1402:NF服務Consumer向SCP發送第一服務請求訊息,第一服務請求訊息包括步驟1401中CCA1和CCA2和用於獲取access token的參數。第一服務請求訊息用於請求第一服務。
關於用於獲取access token的參數可以與用於發現NF服
務producer的參數可以參考實施例1中的步驟1402,重複之處不再贅述。
步驟1403:SCP向NRF發送access token請求訊息,access token請求訊息包括CCA2和用於獲取access token的參數。
在SCP向NRF發送access token請求訊息之前,SCP確定第一服務請求訊息不包括第一服務對應的access token且本地未儲存第一服務對應的access token或SCP確定第一服務請求訊息不包括第一服務對應的access token且儲存的第一服務對應的access token過期。若判斷儲存的第一服務對應的access token過期,SCP刪除過期的第一服務對應的access token。
由於SCP需要向NRF發送access token請求訊息,因此,SCP選擇CCA2添加至access token請求訊息中。
此外,可以理解的是,若第一服務對應的access token為類型B的access token,則SCP還需在步驟1403之前發起NF服務producer的發現流程。否則,SCP可以在獲取第一服務對應的access token之後發起NF服務producer的發現流程。或者,當本機存放區有NF服務Producer的資訊時,SCP可以不發起NF服務Producer的發現流程。
示例性地,access token請求訊息可以為NNrf_AccessToken_Get_Request或者其他訊息,本申請實施例對此不做限定。
步驟1404:NRF接收access token請求訊息,NRF根據
CCA2認證NF服務consumer。
NRF根據CCA2對NF服務Consumer認證成功,NRF執行授權檢查,確定授權通過,生成第一服務對應的access token。
其中,NRF驗證CCA2的簽名,根據時間戳記和/或CCA2的過期時間驗證CCA2是否過期,驗證CCA2中的NF服務consumer的NF實例ID與用於簽名CCA2的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NRF還需要驗證CCA2包括的第二NF type是否與NRF的NF type相同。由於第二NF type與NRF的NF type匹配,則NRF確定CCA2驗證成功。
步驟1405:NRF向SCP發送access token回應訊息,access token回應訊息包括第一服務對應的access token。
步驟1406:SCP向NF服務producer發送第二服務請求訊息。第二服務請求訊息包括第一服務對應的access token和CCA1。
由於SCP需要向NF服務producer發送第二服務請求訊息,因此,SCP選擇CCA1添加至第二服務請求訊息中。
步驟1407:NF服務producer接收來自於SCP的第二服務請求訊息,NF服務producer驗證CCA1和第一服務對應的access token。
NF服務producer對第一服務對應的access token執行完整性驗證,若完整性驗證成功,則進一步驗證第一服務對應的access token中的claims,詳見上述access token中的claims驗證
的相關內容。
NF服務producer還需要根據CCA1認證NF服務consumer。其中,NF服務producer驗證CCA1的簽名,根據時間戳記和/或CCA1的過期時間驗證CCA1是否過期,驗證CCA1中的NF服務consumer的NF實例ID與用於簽名CCA1的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NF服務consumer還需要驗證CCA1包括的第一NF type是否與NF服務producer的NF type匹配。由於第一NF type與NF服務producer的NF type匹配,則確定NF服務consumer認證成功。
上述驗證access token和CCA1順序也可以為先驗證CCA1,驗證成功之後再驗證access token,此處不做限定。
在access token和CCA1都驗證成功之後,NF服務producer還檢查CCA1中的NF服務consumer的NF實例Id與access token中包含NF服務consumer的NF實例Id是否相同,若相同,則為NF服務consumer提供請求的服務。
步驟1408:NF服務producer確定第一acess token且NF服務consumer認證成功,則NF服務producer向SCP發送針對第二服務請求訊息的回應訊息。針對第二服務請求訊息的回應訊息用於指示提供第一服務或者指示所述第二服務請求成功。
可以理解的是,若第一access token驗證失敗和/或NF服務consumer認證失敗,針對第二服務請求訊息的回應訊息指示第一服務請求失敗。
步驟1409:SCP接收來自於NF服務producer的針對第二服務請求訊息的回應訊息,並向NF服務consumer發送針對第一服務請求訊息的回應訊息。
針對第一服務請求訊息的回應訊息可以包括第一服務對應的access token。NF服務Consumer儲存第一服務對應的access token,用於後續發起請求第一服務。
此外,若NF服務consumer確定存在可用的第一服務對應的access token,則NF服務consumer可以判斷是否儲存可用的CCA1,若儲存可用的CCA1,則使用該CCA1,若未儲存可用的CCA1,則生成CCA1。可以理解的是,此時NF服務consumer不需要判斷是否儲存可用的CCA2,即使未儲存可用的CCA2,也不需要生成CCA2,也不需要通過SCP獲取第一服務對應的access token,第一服務請求訊息可以不包括CCA2。但是,若NF服務consumer在步驟1401之前確定當前間接通訊模式為模式D,則第一服務請求訊息需要攜帶CCA1和CCA2。
採用上述實施例CCA1包括第一NF type,CCA2包括第二NF type,進而可以保證NRF根據CCA2對NF服務consumer認證成功,NF服務producer根據CCA1對NF服務consumer認證成功,進而保障了NF服務consumer獲取第一服務。
實施例3:結合圖11所示實施例,在確定需要請求第一服務且不存在可用的第一服務對應的access token時,NF服務consumer可以採用但不限於以下實施例獲取第一服務,如圖15所
示。
步驟1501和步驟1502可以參考圖14中的步驟1401和步驟1402重複之處不再贅述。
步驟1503:SCP向NRF發送access token請求訊息,access token請求訊息包括CCA2和CCA1和用於獲取access token的參數。
在SCP向NRF發送access token請求訊息之前,SCP確定第一服務請求訊息不包括第一服務對應的access token且本地未儲存第一服務對應的access token或SCP確定第一服務請求訊息不包括第一服務對應的access token且儲存的第一服務對應的access token過期。若判斷儲存的第一服務對應的access token過期,SCP刪除過期的第一服務對應的access token。
此外,可以理解的是,若第一服務對應的access token為類型B的access token,則SCP還需在步驟1503之前發起NF服務producer的發現流程。否則,SCP可以在獲取第一服務對應的access token之後發起NF服務producer的發現流程。或者,當本機存放區有NF服務Producer的資訊時,SCP可以不發起NF服務producer的發現流程。
示例性地,access token請求訊息可以為NNrf_AccessToken_Get_Request或者其他訊息,本申請實施例對此不做限定。
步驟1504:NRF接收access token請求訊息,NRF根據
CCA1和CCA2認證NF服務consumer。
NRF根據CCA1對NF服務consumer認證成功或根據CCA2對NF服務consumer認證成功,NRF執行授權檢查,確定授權通過,生成第一服務對應的access token。
NRF根據CCA1和CCA2認證NF服務consumer,此時不需要NRF根據CCA1確定NF服務consumer認證成功且根據CCA2確定NF服務consumer認證成功,當根據CCA1確定NF服務consumer認證成功或根據CCA2確定NF服務consumer認證成功時,則NRF確定NF服務consumer認證成功。
其中,NRF驗證CCA1的簽名,根據時間戳記和/或CCA1的過期時間驗證CCA1是否過期,驗證CCA1中的NF服務consumer的NF實例ID與用於簽名CCA1的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NRF還需要驗證CCA1包括的第一NF type是否與NRF的NF type匹配,由於第一NF type與NRF的NF type不匹配,則NRF確定NF服務consumer認證失敗。
NRF驗證CCA2的簽名,根據時間戳記和/或CCA2的過期時間驗證CCA2是否過期,驗證CCA2中的NF服務consumer的NF實例ID與用於簽名CCA2的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NRF還需要驗證CCA2包括的第二NF type是否與NRF的NF type匹配,由於第二NF type與NRF的NF type匹配,則NRF確定NF服務consumer認證成功。
步驟1505:NRF向SCP發送access token回應訊息,access token回應訊息包括第一服務對應的access token。
步驟1506:SCP向NF服務producer發送第二服務請求訊息。第二服務請求訊息包括第一服務對應的access token、CCA1和CCA2。
步驟1507:NF服務producer接收來自於SCP的第二服務請求訊息。NF服務producer驗證CCA1、CCA2和access token。
NF服務producer對第一服務對應的access token執行完整性驗證,若完整性驗證成功,則進一步驗證第一服務對應的access token中的claims,詳見上述access token中的claims驗證的相關內容。
NF服務producer根據CCA1和CCA2認證NF服務consumer,此時不需要NF服務producer根據CCA1確定NF服務consumer認證成功且根據CCA2確定NF服務consumer認證成功,NF服務producer根據CCA1確定NF服務consumer認證成功或根據CCA2確定NF服務consumer認證成功時,則NF服務producer確定NF服務consumer認證成功。
其中,NF服務producer驗證CCA1的簽名,根據時間戳記和/或CCA1的過期時間驗證CCA1是否過期,驗證CCA1中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NF服務producer還需要驗證CCA1包括的第一NF type是否與NF服務
producer的NF type匹配,第一NF type與NF服務producer的NF type匹配,則NF服務producer確定NF服務consumer認證成功。
其中,NF服務producer驗證CCA2的簽名,根據時間戳記和/或CCA2的過期時間驗證CCA2是否過期,驗證CCA2中的NF服務consumer的NF實例ID與用於簽名CCA2的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NF服務producer還需要驗證CCA2包括的第二NF type是否與NF服務producer的NF type匹配,由於第二NF type為期望提供第一服務對應的access token的NF服務producer的NF type,第二NF type與NF服務producer的NF type不匹配,則NF服務producer確定NF服務consumer認證失敗。
步驟1508:NF服務producer確定第一acess token驗證成功且NF服務consumer認證成功,則NF服務producer向SCP發送針對第二服務請求訊息的回應訊息。針對第二服務請求訊息的回應訊息用於指示提供第一服務或者指示所述第二服務請求成功。
可以理解的是,若第一access token驗證失敗和/或NF服務consumer認證失敗,針對第二服務請求訊息的回應訊息指示第一服務請求失敗。
步驟1509:SCP接收來自於NF服務producer的針對第二服務請求訊息的回應訊息,並向NF服務consumer發送針對第
一服務請求訊息的回應訊息。
針對第二服務請求訊息的回應訊息可以包括第一服務對應的access token。NF服務consumer儲存第一服務對應的access token,用於後續發起請求第一服務。
採用上述實施例CCA1包括第一NF type,CCA2包括第二NF type,進而可以保證NRF根據CCA1對NF服務consumer認證成功,NF服務producer根據CCA2對NF服務consumer認證成功,進而保障了NF服務consumer獲取第一服務。
實施例4:在確定需要請求第一服務且存在第一服務對應的可用的access token時,NF服務consumer可以採用但不限於以下實施例獲取第一服務,如圖16所示。
步驟1601:NF服務consumer確定請求第一服務且存在第一服務對應的可用的access token,NF服務consumer獲取CCA,第一服務對應的access token表徵/指示NF服務consumer具有獲取第一服務的權限或訪問第一服務的權限。
若NF服務consumer確定存在可用的第一服務對應的access token,則NF服務consumer可以進一步判斷是否儲存可用的CCA,若儲存可用的CCA,則使用該CCA,若未儲存可用的CCA,則生成CCA。可以理解的是,此時NF服務consumer生成的CCA可以不需要包括第二NF type。
其中,CCA包括NF服務consumer的NF實例的標識,時間戳記,過期時間和第一NF type,其中,第一NF type為期望
提供第一服務的NF服務producer的NF type。
步驟1602:NF服務Consumer向SCP發送第一服務請求訊息,第一服務請求訊息包括步驟1601中的CCA和第一。
步驟1603:SCP向NF服務producer發送第二服務請求訊息。第二服務請求訊息包括第一服務對應的access token和CCA。
在SCP向NF服務producer發送第二服務請求訊息之前,SCP確定第一服務請求訊息包括第一服務對應的access token或本機存放區第一服務對應的access token。
步驟1604:NF服務producer接收來自於SCP的第二服務請求訊息。NF服務produce根據CCA認證NF服務consumer。
其中,NF服務consumer對第一服務對應的access token執行完整性驗證,若完整性驗證成功,則進一步驗證第一服務對應的access token中的claims,詳見上述access token中的claims驗證的相關內容。NF服務producer還需要根據CCA認證NF服務consumer,具體可以參考現有CCA驗證過程。
NF服務producer驗證CCA的簽名,根據時間戳記和/或CCA的過期時間驗證CCA是否過期,驗證CCA中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NF服務producer還需要驗證CCA1包括的第一NF type是否與NF服務producer的NF type匹配,第一NF type與NF服務producer的NF type匹配,
則NF服務producer確定NF服務consumer認證成功。
步驟1605:NF服務producer確定第一acess token驗證成功且NF服務consumer認證成功,則NF服務producer向SCP發送針對第二服務請求訊息的回應訊息。
針對第二服務請求訊息的回應訊息用於指示提供第一服務或者指示所述第二服務請求成功。
可以理解的是,若第一access token驗證失敗和/或NF服務consumer認證失敗,針對第二服務請求訊息的回應訊息指示第一服務請求失敗。
步驟1606:SCP接收來自於NF服務producer的針對第二服務請求訊息的回應訊息,並向NF服務consumer發送針對第一服務請求訊息的回應訊息。
採用上述實施例通過判斷儲存可用的CCA,NF服務consumer可以僅攜帶第一NF type獲取第一服務。
實施例5:結合圖8所示實施例,在需要請求第一服務且請求第一服務觸發SCP請求NF服務producer的參數(觸發SCP發起NF服務producer的發現流程)時,NF服務consumer可以採用但不限於以下實施例獲取第一服務,如圖17所示。
步驟1701:NF服務consumer確定觸發SCP發起NF服務producer的發現流程,NF服務consumer獲取CCA。
可以理解的是,NF服務consumer還可以在步驟1701之前確定當前間接通訊模式為模式D。
示例性地,NF服務consumer可以根據以下一項或多項確定觸發SCP發起NF服務producer的發現流程:
情況1:未儲存UE的上下文。示例性地,NF服務consumer根據UE的服務請求訊息確定需要請求第一服務。
情況2:未儲存第一服務的上下文。
情況3:第一切片歸屬於服務提供網元且未儲存第一切片的上下文,示例性地,NF服務consumer根據UE的服務請求訊息確定需要向第一切片中的服務提供網元請求第一服務。
情況4:服務消費網元首次與服務通訊代理通訊。
在NF服務consumer生成CCA之前,NF服務consumer需要首先判斷本地是否儲存可用的CCA,若儲存可用的CCA(例如,CCA未過期),則使用該CCA。若未儲存可用的CCA(例如,CCA已過期或未儲存CCA),則NF服務consumer生成CCA。當CCA過期時,NF服務consumer刪除過期的CCA。
其中,CCA包括第一NF type和第二NF type,其中,第一NF type為期望提供第一服務的NF服務producer的NF type,第二NF type為期望提供NF服務producer的資訊的NRF的NF type。
此外,該CCA還包括NF服務consumer的NF實例的標識,時間戳記,過期時間。
步驟1702:NF服務Consumer向SCP發送第一服務請求訊息,第一服務請求訊息包括步驟1701中的CCA和用於發現NF
服務producer的參數,第一服務請求訊息用於請求第一服務。
示例性地,用於發現NF服務producer的參數可以包括期望的NF服務producer的NF type,期望的NF服務producer實例的S-NSSAI清單或NSI ID列表等。
步驟1703:SCP向NRF發送發現請求訊息,發現請求訊息包括CCA和用於發現NF服務producer的參數。
在SCP向NRF發送發現請求訊息之前,SCP確定第一服務請求訊息未包括NF服務producer的資訊且本地未儲存NF服務producer的資訊。
這裡假設定第一服務請求訊息還包括第一服務對應的access token,或者SCP本機存放區第一服務對應的access token。
步驟1704:NRF接收發現請求訊息,NRF根據CCA認證NF服務consumer。
其中,NRF驗證CCA的簽名,根據時間戳記和/或CCA的過期時間驗證CCA是否過期,驗證CCA中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NRF還需要驗證CCA包括的第一NF type和第二NF type是否存在與NRF的NF type匹配的NF type,當NRF確定第二NF type與NRF的NF type匹配,則NRF確定NF服務consumer認證成功。
步驟1705:NRF向SCP發送發現回應訊息,發現回應訊息包括NF服務producer的參數。
在NF服務consumer認證成功的情況下,NRF向SCP發送發現回應訊息,發現回應訊息包括NF服務producer的參數。
步驟1706:SCP向NF服務producer發送第二服務請求訊息。第二服務請求訊息包括第一服務對應的access token和CCA。
其中,SCP向發現回應訊息中NF服務producer的參數指示的NF服務producer發送第二服務請求訊息。
步驟1707:NF服務producer接收來自於SCP的第二服務請求訊息。NF服務producer根據CCA認證NF服務consumer。
NF服務producer對第一服務對應的access token執行完整性驗證,若完整性驗證成功,則進一步驗證第一服務對應的access token中的claims,詳見上述access token中的claims驗證的相關內容。NF服務producer還需要根據CCA認證NF服務consumer。
其中,NF服務producer驗證CCA的簽名,根據時間戳記和/或CCA的過期時間驗證CCA是否過期,驗證CCA中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配,除上述驗證內容均驗證成功之外,NF服務producer還需要驗證CCA包括的第一NF type和第二NF type是否存在與NF服務producer的NF type匹配的NF type,當NF服務producer確定第一NF type與NF服務producer的NF type匹配,則NF服務producer確定NF服務consumer認證成功。
步驟1708:NF服務producer確定第一acess token驗證成功且NF服務consumer認證成功,則NF服務producer向SCP發送針對第二服務請求訊息的回應訊息。針對第二服務請求訊息的回應訊息用於指示提供第一服務或者指示所述第二服務請求成功。
可以理解的是,若第一access token驗證失敗和/或NF服務consumer認證失敗,針對第二服務請求訊息的回應訊息指示第一服務請求失敗。
步驟1709:SCP接收來自於NF服務producer的針對第二服務請求訊息的回應訊息,並向NF服務consumer發送針對第一服務請求訊息的回應訊息。
採用上述實施例CCA包括第一NF type和第二NF type,進而可以保證NRF和NF服務producer根據CCA對NF服務consumer認證成功,進而保障了NF服務consumer獲取第一服務。
實施例6:結合圖10所示實施例,在需要請求第一服務且請求第一服務觸發SCP請求NF服務producer的參數(觸發SCP發起NF服務producer的發現流程)時,NF服務consumer可以採用但不限於以下實施例獲取第一服務,如圖18所示。
步驟1801:NF服務consumer確定觸發SCP執行NF服務producer的發現流程,NF服務consumer獲取CCA1和CCA2。
可以理解的是,NF服務consumer還可以在步驟1801之前確定當前間接通訊模式為模式D。
示例性地,NF服務consumer確定觸發SCP執行NF服務producer的發現流程可以參考上述實施例5的步驟1701中的相關描述。
此外,在NF服務consumer生成CCA1和CCA2之前,NF服務consumer需要首先判斷本地是否儲存可用的CCA1和CCA2。若儲存可用的CCA1(例如,CCA1還在過期時間內),則使用該CCA1。若未儲存可用的CCA1(例如,CCA1已過期或未儲存CCA1),則NF服務consumer生成CCA1。若儲存可用的CCA2(例如,CCA2未過期),則使用該CCA2。若未儲存可用的CCA2(例如,CCA2已過期或未儲存CCA2),則NF服務consumer生成CCA2。其中,若CCA1或CCA2過期,NF服務consumer刪除過期的CCA。
其中,CCA1包括第一NF type,CCA2包括第二NF type,其中,第一NF type為期望提供第一服務的NF服務producer的NF type,第二NF type為期望提供NF服務producer的資訊的NRF的NF type。
此外,CCA1還包括NF服務consumer的NF實例的標識,時間戳記,CCA1的過期時間。CCA2還包括NF服務consumer的NF實例的標識,時間戳記,CCA2的過期時間。
步驟1802:NF服務Consumer向SCP發送第一服務請求訊息,第一服務請求訊息包括步驟1801中CCA1和CCA2和用於發現NF服務producer的參數。第一服務請求訊息用於請求第一
服務。
步驟1803:SCP向NRF發送發現請求訊息,發現請求訊息包括CCA2和用於發現NF服務producer的參數。
在SCP向NRF發送發現請求訊息之前,SCP確定第一服務請求訊息未包括NF服務producer的資訊且本地未儲存NF服務producer的資訊。
這裡假設定第一服務請求訊息還包括第一服務對應的access token,或者SCP本機存放區第一服務對應的access token。
由於SCP需要向NRF發送發現請求訊息,因此,SCP選擇CCA2添加至發現請求訊息中。
步驟1804:NRF接收發現請求訊息,NRF根據CCA2認證NF服務consumer。
其中,NRF驗證CCA2的簽名,根據時間戳記和/或CCA2的過期時間驗證CCA2是否過期,驗證CCA2中的NF服務consumer的NF實例ID與用於簽名CCA2的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NRF還需要驗證CCA2包括的第二NF type是否與NRF的NF type匹配。由於第二NF type與NRF的NF type匹配,則NRF確定NF服務consumer認證成功。
步驟1805:NRF向SCP發送發現回應訊息,發現回應訊息包括NF服務producer的資訊。
在NF服務consumer認證成功的情況下,NRF向SCP發
送發現回應訊息,發現回應訊息包括NF服務producer的參數。
步驟1806:SCP向NF服務producer發送第二服務請求訊息。第二服務請求訊息包括第一服務對應的access token和CCA1。
其中,SCP向發現回應訊息中NF服務producer的參數指示的NF服務producer發送第二服務請求訊息。
由於SCP需要向NF服務producer發送第二服務請求訊息,因此,SCP選擇CCA1添加至第二服務請求訊息中。
步驟1807:NF服務producer接收來自於SCP的第二服務請求訊息。NF服務producer根據CCA1認證NF服務consumer。
NF服務producer對第一服務對應的access token執行完整性驗證,若完整性驗證成功,則進一步驗證第一服務對應的access token中的claims,詳見上述access token中的claims驗證的相關內容。NF服務producer還需要根據CCA1認證NF服務consumer。
其中,NF服務producer驗證CCA1的簽名,根據時間戳記和/或CCA1的過期時間驗證CCA1是否過期,驗證CCA1中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NF服務consumer還需要驗證CCA1包括的第一NF type是否與NF服務producer的NF type匹配。由於第一NF type與NF服務producer的NF type匹配,則NF服務producer確定NF服務consumer認證
成功。
步驟1808:NF服務producer確定第一acess token驗證成功且NF服務consumer認證成功,則NF服務producer向SCP發送針對第二服務請求訊息的回應訊息。針對第二服務請求訊息的回應訊息用於指示提供第一服務或者指示所述第二服務請求成功。
可以理解的是,若第一access token驗證失敗和/或NF服務consumer認證失敗,針對第二服務請求訊息的回應訊息指示第一服務請求失敗。
步驟1809:SCP接收來自於NF服務producer的針對第二服務請求訊息的回應訊息,並向NF服務consumer發送針對第一服務請求訊息的回應訊息。
此外,若NF服務consumer確定不需要觸發SCP執行NF服務producer的發現流程,則NF服務consumer可以判斷是否儲存可用的CCA1,若儲存可用的CCA1,則使用該CCA1,若未儲存可用的CCA1,則生成CCA1。可以理解的是,此時NF服務consumer不需要判斷是否儲存可用的CCA2,即使未儲存可用的CCA2,也不需要生成CCA2,第一服務請求訊息可以不包括CCA2。但是,若NF服務consumer在步驟1801之前確定當前間接通訊模式為模式D,則第一服務請求訊息需要攜帶CCA1和CCA2。
採用上述實施例CCA1包括第一NF type,CCA2包括第
二NF type,進而可以保證NRF根據CCA1對NF服務consumer認證成功,NF服務producer根據CCA2對NF服務consumer認證成功,進而保障了NF服務consumer獲取第一服務。
實施例7:結合圖8和圖10所示實施例,NF服務consumer獲取指示資訊,NF服務consumer根據指示資訊向SCP發送服務請求訊息,NF服務consumer可以採用但不限於以下實施例獲取第一服務,如圖19所示。
步驟1901:NF服務consumer獲取CCA1。
可以理解的是,NF服務consumer還可以在步驟1901之前確定當前間接通訊模式為模式D。
NF服務consumer確定請求第一服務,NF服務consumer獲取CCA1。在NF服務consumer生成CCA1之前,NF服務consumer需要首先判斷本地是否儲存可用的CCA1。若儲存可用的CCA1(例如,CCA1未過期),則使用該CCA1。若未儲存可用的CCA1(例如,CCA1已過期,或者,未儲存CCA1),則NF服務consumer生成CCA1。此外,若CCA1已過期,則NF服務consumer刪除過期的CCA1。
其中,CCA1包括NF服務consumer的NF實例的標識,時間戳記,CCA1的過期時間,第一NFtype,第一NF type為期望提供第一服務的NF服務producer的NF type。
步驟1902:NF服務consumer向SCP發送第一服務請求訊息,第一服務請求訊息包括步驟1901中CCA1。第一服務請求
訊息用於請求第一服務。
步驟1903:SCP向NRF發送第二服務請求訊息,第二服務請求訊息包括CCA1,第二服務請求訊息用於請求第二服務。
步驟1904:NRF接收第二服務請求訊息,NRF根據CCA1認證NF服務consumer失敗。
其中,NRF驗證CCA1的簽名,根據時間戳記和/或CCA1的過期時間驗證CCA1是否過期,驗證CCA1中的NF服務consumer的NF實例ID與用於簽名CCA1的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NRF還需要驗證CCA1包括的第一NF type是否與NRF的NF type匹配,由於第一NF type與NRF的NF type不匹配,則NRF確定NF服務consumer認證失敗。
步驟1905:NRF向SCP發送針對第二服務請求訊息的回應訊息。針對第二服務請求訊息的回應訊息包括CCA2。其中,CCA2包括NRF的NF實例的標識,時間戳記和過期時間,NF服務consumer的NF type和NRF的NF type。
步驟1906:SCP向NF服務consumer發送針對所述第一服務請求訊息的回應訊息。針對所述第一服務請求訊息的回應訊息包括CCA2。
步驟1907:NF服務consumer向SCP發送第三服務請求訊息,第三服務請求訊息包括CCA3和CCA4,或者第三服務請求訊息包括CCA5。
CCA3包括NF服務consumer的NF實例的標識,時間戳記,CCA3的過期時間,第一NFtype。
CCA4包括NF服務consumer的NF實例的標識,時間戳記,CCA4的過期時間,第二NFtype。
CCA5包括NF服務consumer的NF實例的標識,時間戳記,CCA5的過期時間,第一NFtype,第二NF type。
其中,第一NF type為期望提供第一服務的NF服務producer的NF type,第二NF type為期望提供第二服務的NF服務producer的NF type。
示例性地,NF服務consumer根據CCA2認證NRF,確定NRF認證成功,則根據CCA2中的NRF的NF type生成CCA3和CCA4,或者CCA5。
步驟1908:SCP向NRF發送第四服務請求訊息,第四服務請求訊息包括CCA4或CCA5,第四服務請求訊息用於請求第二服務。
步驟1909:NRF接收第四服務請求訊息,NRF根據第四服務請求訊息中的CCA認證NF服務consumer。
示例性地,若第四服務請求訊息包括CCA4,NRF根據CCA4對NF服務consumer認證成功。其中,NRF驗證CCA4的簽名,根據時間戳記和/或CCA4的過期時間驗證CCA4是否過期,驗證CCA4中的NF服務consumer的NF實例ID與用於簽名CCA4的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之
外,NRF還需要驗證CCA4包括的第二NF type是否與NRF的NF type匹配,由於第二NF type與NRF的NF type匹配,則NRF確定NF服務consumer認證成功。
示例性地,若第四服務請求訊息包括CCA5,NRF根據CCA5對NF服務consumer認證成功。其中,NRF驗證CCA5的簽名,根據時間戳記和/或CCA5的過期時間驗證CCA5是否過期,驗證CCA5中的NF服務consumer的NF實例ID與用於簽名CCA5的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NRF還需要驗證CCA5包括的第一NFtype和第二NF type是否存在與NRF的NF type匹配的NF type,由於第二NF type與NRF的NF type匹配,則NRF確定NF服務consumer認證成功。
步驟1910:NRF向SCP發送針對第四服務請求訊息的回應訊息。
步驟1911:SCP向NF服務producer發送第五服務請求訊息。第五服務請求訊息包括CCA3和第一服務對應的access token,或者,第五服務請求訊息包括CCA5和第一服務對應的access token。
步驟1912:NF服務producer接收來自於SCP的第五服務請求訊息。NF服務producer根據第五服務請求訊息中的CCA認證NF服務consumer。
NF服務producer對第一服務對應的access token執行完整性驗證,若完整性驗證成功,則進一步驗證第一服務對應的
access token中的claims,詳見上述access token中的claims驗證的相關內容。
若第五服務請求訊息包括CCA3,NF服務producer還需要根據CCA3認證NF服務consumer。其中,NF服務producer驗證CCA3的簽名,根據時間戳記和/或CCA3的過期時間驗證CCA3是否過期,驗證CCA3中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NF服務consumer還需要驗證CCA3包括的第一NF type是否與NF服務producer的NF type匹配,由於第一NF type與NF服務producer的NF type匹配,則確定NF服務consumer認證成功。
若第五服務請求訊息包括CCA5,NF服務producer還需要根據CCA5認證NF服務consumer。其中,NF服務producer驗證CCA5的簽名,根據時間戳記和/或CCA5的過期時間驗證CCA5是否過期,驗證CCA5中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NF服務consumer還需要驗證CCA5包括的第一NF type和第二NF type是否包括與NF服務producer的NF type匹配的NF type,由於第一NF type與NF服務producer的NF type匹配,則確定CCA5認證成功。
步驟1913:NF服務producer確定第一acess token且NF服務consumer認證成功,NF服務producer向SCP發送針對第五
服務請求訊息的回應訊息。針對第五服務請求訊息的回應訊息用於提供指示第一服務或者指示所述第五服務請求成功。
可以理解的是,若第一access token驗證失敗和/或NF服務consumer認證失敗,針對第五服務請求訊息的回應訊息指示第一服務請求失敗。
步驟1914:SCP接收來自於NF服務producer的針對第五服務請求訊息的回應訊息,並向NF服務consumer發送針對第三服務請求訊息的回應訊息。
採用上述實施例SCP向NF服務consumer發送指示資訊,NF服務consumer根據指示資訊發送服務請求訊息攜帶CCA3(第一NF type)和CCA4(第二NF type),或者,CCA5(第一NF type和第二NF type),進而可以保障NF服務consumer獲取第一服務。
實施例7:結合圖12所示實施例,SCP主動請求客戶認證憑證,發送客戶認證憑證請求訊息,NF服務consumer回應客戶認證憑證請求訊息,NF服務consumer可以採用但不限於以下實施例獲取第一服務,如圖20所示。
步驟2001至步驟2005可以參考上述實施例6中的步驟1901至步驟1905相關描述。
步驟2006:SCP向NF服務consumer發送CCA請求訊息。CCA請求訊息包括CCA2。
步驟2007:NF服務consumer向SCP發送針對CCA請
求訊息的回應訊息,針對CCA請求訊息的回應訊息包括CCA3,或者針對CCA請求訊息的回應訊息包括CCA4。
CCA3包括NF服務consumer的NF實例的標識,時間戳記,CCA3的過期時間,第二NFtype。
CCA4包括NF服務consumer的NF實例的標識,時間戳記,CCA4的過期時間,第一NFtype,第二NF type。
其中,第一NF type為期望提供第一服務的NF服務producer的NF type,第二NF type為期望提供第二服務的NF服務producer的NF type。
示例性地,NF服務consumer根據CCA2認證NRF,確定NRF認證成功,則根據CCA2中的NRF的NF type生成CCA3或CCA4。
步驟2008:SCP向NRF發送第三服務請求訊息,第三服務請求訊息包括CCA3或CCA4,第三服務請求訊息用於請求第二服務。
步驟2009:NRF接收第三服務請求訊息,NRF根據第三服務請求訊息中的CCA認證NF服務consumer。
示例性地,若第三服務請求訊息包括CCA3,NRF根據CCA3對NF服務consumer認證成功。其中,NRF驗證CCA3的簽名,根據時間戳記和/或CCA3的過期時間驗證CCA3是否過期,驗證CCA3中的NF服務consumer的NF實例ID與用於簽名CCA3的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之
外,NRF還需要驗證CCA3包括的第二NF type是否與NRF的NF type匹配,由於第二NF type與NRF的NF type匹配,則NRF確定NF服務consumer認證成功。
示例性地,若第三服務請求訊息包括CCA4,NRF根據CCA4對NF服務consumer認證成功。其中,NRF驗證CCA4的簽名,根據時間戳記和/或CCA4的過期時間驗證CCA4是否過期,驗證CCA4中的NF服務consumer的NF實例ID與用於簽名CCA4的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NRF還需要驗證CCA4包括的第一NFtype和第二NF type是否存在與NRF的NF type匹配的NF type,由於第二NF type與NRF的NF type匹配,則NRF確定NF服務consumer認證成功。
步驟2010:NRF向SCP發送針對第三服務請求訊息的回應訊息。
步驟2011:SCP向NF服務producer發送第四服務請求訊息。第四服務請求訊息包括CCA3和第一服務對應的access token,或者,第四服務請求訊息包括CCA4和第一服務對應的access token。
步驟2012:NF服務producer接收來自於SCP的第四服務請求訊息。NF服務producer根據第四服務請求訊息中的CCA認證NF服務consumer。
NF服務producer對第一服務對應的access token執行完整性驗證,若完整性驗證成功,則進一步驗證第一服務對應的
access token中的claims,詳見上述access token中的claims驗證的相關內容。
若第四服務請求訊息包括CCA3,NF服務producer還需要根據CCA3認證NF服務consumer。其中,NF服務producer驗證CCA3的簽名,根據時間戳記和/或CCA3的過期時間驗證CCA3是否過期,驗證CCA3中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NF服務consumer還需要驗證CCA3包括的第一NF type是否與NF服務producer的NF type匹配,由於第一NF type與NF服務producer的NF type匹配,則確定NF服務consumer認證成功。
若第四服務請求訊息包括CCA4,NF服務producer還需要根據CCA4認證NF服務consumer。其中,NF服務producer驗證CCA4的簽名,根據時間戳記和/或CCA4的過期時間驗證CCA4是否過期,驗證CCA4中的NF服務consumer的NF實例ID與用於簽名CCA的證書中的NF實例ID是否匹配。除上述驗證內容均驗證成功之外,NF服務consumer還需要驗證CCA4包括的第一NF type和第二NF type是否包括與NF服務producer的NF type匹配的NF type,由於第一NF type與NF服務producer的NF type匹配,則確定CCA4認證成功。
步驟2013:NF服務producer確定第一acess token且NF服務consumer認證成功,NF服務producer向SCP發送針對第四
服務請求訊息的回應訊息。針對第四服務請求訊息的回應訊息用於指示提供第一服務或者指示所述第四服務請求成功。
可以理解的是,若第一access token驗證失敗和/或NF服務consumer認證失敗,針對第四服務請求訊息的回應訊息指示第一服務請求失敗。
步驟2014:SCP接收來自於NF服務producer的針對第四服務請求訊息的回應訊息,並向NF服務consumer發送針對第一服務請求訊息的回應訊息。
採用上述實施例SCP向NF服務consumer發送客戶認證憑證請求訊息,客戶認證憑證請求訊息包括指示資訊,NF服務consumer根據指示資訊回應客戶認證憑證請求訊息。針對客戶認證憑證請求訊息的回應訊息攜帶CCA3(第二NF type)或CCA4(第一NF type和第二NF type)進而可以保障NF服務consumer獲取第一服務。
圖21示出了本申請實施例中所涉及的一種裝置的可能的示例性框圖,該裝置2100包括:收發模組2110和處理模組2120,收發模組2110可以包括接收單元和發送單元。處理模組2120用於對裝置2100的動作進行控制管理。收發模組2110用於支援裝置2100與其他網路實體的通訊。可選地,裝置2100還可以包括儲存單元,所述儲存單元用於儲存裝置2100的程式碼和資料。
可選地,所述裝置2100中各個模組可以是通過軟體來實現。
可選地,處理模組2120可以是處理器或控制器,例如可以是通用中央處理器(central processing unit,CPU),通用處理器,數位信號處理(digital signal processing,DSP),專用積體電路(application specific integrated circuits,ASIC),現場可程式設計閘陣列(field programmable gate array,FPGA)或者其他可程式設計邏輯器件、電晶體邏輯器件、硬體部件或者其任意組合。其可以實現或執行結合本申請實施例公開內容所描述的各種示例性的邏輯方框,模組和電路。所述處理器也可以是實現計算功能的組合,例如包含一個或多個微處理器組合,DSP和微處理器的組合等等。收發模組2110可以是通訊介面、收發器或收發電路等,其中,該通訊介面是統稱,在具體實現中,該通訊介面可以包括多個介面,儲存單元可以是記憶體。
當裝置2100為服務消費網元或服務消費網元中的晶片時,裝置2100中的處理模組2120可以支援裝置2100執行上文中各方法示例中服務消費網元的動作,例如可以支援裝置2100執行,圖14中的步驟1401,圖15中的步驟1501,圖16中的步驟1601,圖17中的步驟1701,圖18中的步驟1801,圖19中的步驟1901,圖20中的步驟2001。
收發模組2110可以支援裝置2100與服務通訊代理(例如SCP)之間的通訊,例如,收發模組2110可以支援裝置2100執行圖8中的步驟801,步驟808,圖9中的步驟901,步驟905,步驟906,圖10中的步驟1001,步驟1008,圖11中的步驟1101,
步驟1108,圖12中的步驟1201,步驟1205,步驟1206,步驟1213,圖13中的步驟1302,步驟1309,圖14中的步驟1402,步驟1409,圖15中的步驟1502,步驟1509,圖16中的步驟1602,步驟1606,圖17中的步驟1702,步驟1709,圖18中的步驟1802,步驟1809,圖19中的步驟1902,步驟1906,步驟1907,步驟1914,圖20中的步驟2002,步驟2006,步驟2007,步驟2014。
例如,可以如下:在一種實現方式中,所述裝置2100包括:所述收發模組2110,向服務通訊代理發送第一服務請求訊息,服務消費網元從服務通訊代理接收針對第一服務請求訊息的回應訊息。其中,第一服務請求訊息用於向服務提供網元請求第一服務,第一服務請求訊息包括第一客戶認證憑證,第一客戶認證憑證用於認證服務消費網元,第一客戶認證憑證包括第一網路功能類型和第二網路功能類型,第一網路功能類型為服務提供網元的網路功能類型,第二網路功能類型為提供第二服務的網元的網路功能類型;其中,第二服務與第一服務關聯。
在一種可能的實現方式中,所述第二服務用於提供所述第一服務對應的訪問權杖,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限。
在一種可能的實現方式中,所述處理模組2120用於:所述服務消費網元確定不存在所述第一服務對應的可用的訪問權杖。
在一種可能的實現方式中,所述處理模組2120用於:確定未儲存所述第一服務對應的訪問權杖;或,確定儲存的所述第一服務對應的訪問權杖已過期。
在一種可能的實現方式中,所述第二服務用於提供所述服務提供網元的資訊。
在一種可能的實現方式中,所述處理模組2120用於:確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務。
在一種可能的實現方式中,所述處理模組2120用於:根據以下一項或多項,確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務:未儲存第一終端設備的上下文,所述第一終端設備與所述第一服務關聯;或者,未儲存所述第一服務的上下文;或者,所述服務提供網元歸屬於第一切片且未儲存所述第一切片對應的上下文;或者,所述服務消費網元首次與所述服務通訊代理通訊。
在一種可能的實現方式中,所述處理模組2120用於:確定使用模式D的間接通訊模式請求所述第一服務。
在一種可能的實現方式中,所述收發模組2110用於:向所述服務通訊代理發送第二服務請求訊息,所述第二服務請求訊息用於請求所述第一服務,所述第二服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括所述第一網路功能類型,所述第二客戶認證憑證用於認證所述服務消費網元;從所述服務
通訊代理接收針對所述第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊;所述處理模組2120用於:根據所述指示資訊,通過所述收發模組2110向所述服務通訊代理發送所述第一服務請求訊息。
應理解,根據本申請實施例的裝置2100可對應於前述方法實施例中服務消費網元,比如,圖8中的方法,並且裝置2100中的各個模組的操作和/或功能分別為了實現前述方法實施例中服務消費網元的方法的相應步驟,因此也可以實現前述方法實施例中的有益效果,為了簡潔,這裡不作贅述。
當裝置2100為第一網元或第一網元中的晶片時,裝置2100中的處理模組2120可以支援裝置2100執行上文中各方法示例中網路儲存功能網元或服務提供網元的動作。
例如,當第一網元為網路儲存功能網元時,可以支援裝置2100執行,圖8中的步驟803,圖9中的步驟903,圖10中的步驟1003,圖11中的步驟1103,圖12中的步驟1203,步驟1208,圖13中的步驟1304,圖14中的步驟1404,圖15中的步驟1504,圖17中的步驟1704,圖18中的步驟1804,圖19中的步驟1904,步驟1909,圖20中的步驟2004,步驟2009。收發模組2110可以支援裝置2100與服務通訊代理(例如SCP)之間的通訊,例如,收發模組2110可以支援裝置2100執行圖8中的步驟802,步驟804,步驟808,圖9中的步驟902,步驟904,圖10中的步驟1002,步驟1004,圖11中的步驟1102,步驟1104,圖12中的步驟1202,
步驟1204,步驟1207,步驟1209,圖13中的步驟1303,步驟1305,圖14中的步驟1403,步驟1405,圖15中的步驟1503,步驟1505,圖17中的步驟1703,步驟1705,圖18中的步驟1803,步驟1805,圖19中的步驟1903,步驟1905,步驟1908,步驟1910,圖20中的步驟2003,步驟2005,步驟2008,步驟2010。
例如,當第一網元為服務提供網元時,可以支援裝置2100執行,圖8中的步驟803,圖10中的步驟1006,圖11中的步驟1106,圖12中的步驟1211,圖13中的步驟1307,圖14中的步驟1407,圖15中的步驟1507,圖16中的步驟1604,圖17中的步驟1707,圖18中的步驟1807,圖19中的步驟1912,圖20中的步驟2012。收發模組2110可以支援裝置2100與服務通訊代理(例如SCP)之間的通訊,例如,收發模組2110可以支援裝置2100執行圖8中的步驟805,步驟807,步驟808,圖10中的步驟1005,步驟1007,圖11中的步驟1105,步驟1107,圖12中的步驟1210,步驟1212,圖13中的步驟1306,步驟1308,圖14中的步驟1406,步驟1408,圖15中的步驟1506,步驟1508,圖16中的步驟1603,步驟1605,圖17中的步驟1706,步驟1708,圖18中的步驟1806,步驟1808,圖19中的步驟1911,步驟1913,圖20中的步驟2011,步驟2013。
例如,可以如下:在一種實現方式中,所述裝置2100包括:收發模組2110用於:從服務通訊代理接收第一服務請求
訊息,所述第一服務請求訊息用於向所述第一網元請求第一服務,所述第一服務請求訊息包括第一客戶認證憑證,所述第一客戶認證憑證用於認證服務消費網元,其中,所述第一客戶認證憑證包括多個網路功能類型;所述處理模組2120,用於根據所述第一客戶認證憑證,認證所述服務消費網元;在根據所述第一客戶認證憑證,認證所述服務消費網元時,判斷自身的網路功能類型是否與所述多個網路功能類型中的一個或者多個相匹配;根據認證結果通過所述收發模組2110向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息。
在一種可能的設計中,所述多個網路功能類型包括第一網路功能類型和第二網路功能類型,所述第一網路功能類型為所述第一網元的網路功能類型,所述第二網路功能類型為提供第二服務的網元的網路功能類型,所述第二服務與所述第一服務關聯。
在一種可能的設計中,所述第二服務用於提供所述第一服務對應的訪問權杖,其中,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限;或者,所述第二服務用於提供所述第一裝置的資訊。
在一種可能的設計中,所述第一服務用於提供所述第二服務對應的訪問權杖,其中,所述第二服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第二服務的權限;或者,所述第一服務用於提供所述第二服務網元的資訊。
在一種可能的設計中,所述收發模組2110用於接收來自於所述服務通訊代理的第二服務請求訊息,所述第二服務請求訊息用於向所述第一網元請求所述第一服務,所述第二服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括第三網路功能類型;在所述第三網路功能類型與所述第一網元的網路功能類型不匹配的情況下,向所述服務通訊代理發送針對所述第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊,其中,所述指示資訊用於觸發所述第一服務請求訊息。
應理解,根據本申請實施例的裝置2100可對應於前述方法實施例中第一網元(例如,網路儲存功能網元或服務提供網元)的方法,比如,圖8中的方法,並且裝置2100中的各個模組的操作和/或功能分別為了實現前述方法實施例中網路儲存功能網元的方法的相應步驟,或者,圖8中的方法,並且裝置2100中的各個模組的操作和/或功能分別為了實現前述方法實施例中服務提供網元的方法的相應步驟,因此也可以實現前述方法實施例中的有益效果,為了簡潔,這裡不作贅述。
當本申請實施例中的處理模組2120為處理器,收發模組2110為收發器時,本申請實施例所涉及的裝置2100可以為圖22所示的裝置2200。
圖22示出了根據本申請實施例的通訊裝置2200的示意性結構圖。如圖22所示,所述裝置2200包括:處理器2201。
當裝置2100為服務消費網元或服務消費網元中的晶片時,一種可能的實現方式中,當所述處理器2201用於調用介面執行以下動作:向服務通訊代理發送第一服務請求訊息,服務消費網元從服務通訊代理接收針對第一服務請求訊息的回應訊息。其中,第一服務請求訊息用於向服務提供網元請求第一服務,第一服務請求訊息包括第一客戶認證憑證,第一客戶認證憑證用於認證服務消費網元,第一客戶認證憑證包括第一網路功能類型和第二網路功能類型,第一網路功能類型為服務提供網元的網路功能類型,第二網路功能類型為提供第二服務的網元的網路功能類型;其中,第二服務與第一服務關聯。
應理解,所述裝置2200還可用于執行前文實施例中服務消費網元側的其他步驟和/或操作,為了簡潔,這裡不作贅述。
當裝置2100為第一網元或第一網元中的晶片時,一種可能的實現方式中,當所述處理器2201用於調用介面執行以下動作:從服務通訊代理接收第一服務請求訊息,所述第一服務請求訊息用於向所述第一網元請求第一服務,所述第一服務請求訊息包括第一客戶認證憑證,所述第一客戶認證憑證用於認證服務消費網元,其中,所述第一客戶認證憑證包括多個網路功能類型;根據所述第一客戶認證憑證,認證所述服務消費網元;在根據所述第一客戶認證憑證,認證所述服務消費網元時,判斷自身的網路功能類型是否與所述多個網路功能類型中的一個或者多個相匹配;根據認證結果向所述服務通訊代理發送針對所述第一服務請
求訊息的回應訊息。
應理解,所述裝置2200還可用于執行前文實施例中第一網元側的其他步驟和/或操作,為了簡潔,這裡不作贅述。
應理解,所述處理器2201可以調用介面執行上述收發動作,其中,調用的介面可以是邏輯介面或物理介面,對此不作限定。可選地,物理介面可以通過收發器實現。可選地,所述裝置2200還包括收發器2203。
可選地,所述裝置2200還包括記憶體2202,記憶體2202中可以儲存上述方法實施例中的程式碼,以便於處理器2201調用。
具體地,若所述裝置2200包括處理器2201、記憶體2202和收發器2203,則處理器2201、記憶體2202和收發器2203之間通過內部連接通路互相通訊,傳遞控制和/或資料信號。在一個可能的設計中,處理器2201、記憶體2202和收發器2203可以通過晶片實現,處理器2201、記憶體2202和收發器2203可以是在同一個晶片中實現,也可能分別在不同的晶片實現,或者其中任意兩個功能組合在一個晶片中實現。該記憶體2202可以儲存程式碼,處理器2201調用記憶體2202儲存的程式碼,以實現裝置2200的相應功能。
上述本申請實施例揭示的方法可以應用於處理器中,或者由處理器實現。處理器可能是一種積體電路晶片,具有信號的處理能力。在實現過程中,上述方法實施例的各步驟可以通過處理器中的硬體的集成邏輯電路或者軟體形式的指令完成。上述的
處理器可以是通用處理器、數位訊號處理器(digital signal processor,DSP)、專用積體電路(application specific integrated circuit,ASIC)、現成可程式設計閘陣列(field programmable gate array,FPGA)或者其他可程式設計邏輯器件、分立門或者電晶體邏輯器件、分立硬體元件,還可以是系統晶片(system on chip,SoC),還可以是中央處理器(central processor unit,CPU),還可以是網路處理器(network processor,NP),還可以是數位信號處理電路(digital signal processor,DSP),還可以是微控制器(micro controller unit,MCU),還可以是可程式設計控制器(programmable logic device,PLD)或其他集成晶片。可以實現或者執行本申請實施例中的公開的各方法、步驟及邏輯框圖。通用處理器可以是微處理器或者該處理器也可以是任何常規的處理器等。結合本申請實施例所公開的方法的步驟可以直接體現為硬體解碼處理器執行完成,或者用解碼處理器中的硬體及軟體模組組合執行完成。軟體模組可以位於隨機記憶體,快閃記憶體、唯讀記憶體,可程式設計唯讀記憶體或者電可讀寫可程式設計記憶體、寄存器等本領域成熟的儲存介質中。該儲存介質位於記憶體,處理器讀取記憶體中的資訊,結合其硬體完成上述方法的步驟。
可以理解,本申請實施例中的記憶體可以是易失性記憶體或非易失性記憶體,或可包括易失性和非易失性記憶體兩者。其中,非易失性記憶體可以是唯讀記憶體(read-only memory,ROM)、可程式設計唯讀記憶體(programmable ROM,PROM)、
可擦除可程式設計唯讀記憶體(erasable PROM,EPROM)、電可擦除可程式設計唯讀記憶體(electrically EPROM,EEPROM)或快閃記憶體。易失性記憶體可以是隨機存取記憶體(random access memory,RAM),其用作外部快取記憶體。通過示例性但不是限制性說明,許多形式的RAM可用,例如靜態隨機存取記憶體(static RAM,SRAM)、動態隨機存取記憶體(dynamic RAM,DRAM)、同步動態隨機存取記憶體(synchronous DRAM,SDRAM)、雙倍數據速率同步動態隨機存取記憶體(double data rate SDRAM,DDR SDRAM)、增強型同步動態隨機存取記憶體(enhanced SDRAM,ESDRAM)、同步連接動態隨機存取記憶體(synchlink DRAM,SLDRAM)和直接記憶體匯流排隨機存取記憶體(direct rambus RAM,DR RAM)。應注意,本文描述的系統和方法的記憶體旨在包括但不限於這些和任意其它適合類型的記憶體。
應理解,在本申請實施例中,編號“第一”、“第二”...僅僅為了區分不同的物件,比如為了區分不同的參數資訊或者訊息,並不對本申請實施例的範圍構成限制,本申請實施例並不限於此。
還應理解,在本申請的各種實施例中,上述各過程的序號的大小並不意味著執行順序的先後,各過程的執行順序應以其功能和內在邏輯確定。上述各個過程涉及的各種數字編號或序號僅為描述方便進行的區分,而不應對本申請實施例的實施過程構成任何限定。
還應理解,本文中術語“和/或”,僅僅是一種描述關聯物
件的關聯關係,表示可以存在三種關係,例如,A和/或B,可以表示:單獨存在A,同時存在A和B,單獨存在B這三種情況。另外,本文中字元“/”,一般表示前後關聯物件是一種“或”的關係。
本申請中出現的類似於“項目包括如下中的一項或多項:A,B,以及C”表述的含義,如無特別說明,通常是指該項目可以為如下中任一個:A;B;C;A和B;A和C;B和C;A,B和C;A和A;A,A和A;A,A和B;A,A和C,A,B和B;A,C和C;B和B,B,B和B,B,B和C,C和C;C,C和C,以及其他A,B和C的組合。以上是以A,B和C共3個元素進行舉例來說明該項目的可選用條目,當表達為“項目包括如下中至少一種:A,B,......,以及X”時,即表達中具有更多元素時,那麼該專案可以適用的條目也可以按照前述規則獲得。
本領域普通技術人員可以意識到,結合本文中所公開的實施例描述的各示例的單元及演算法步驟,能夠以電子硬體、或者電腦軟體和電子硬體的結合來實現。這些功能究竟以硬體還是軟體方式來執行,取決於技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能,但是這種實現不應認為超出本申請的範圍。
所屬領域的技術人員可以清楚地瞭解到,為描述的方便和簡潔,上述描述的系統、裝置和單元的具體工作過程,可以參考前述方法實施例中的對應過程,在此不再贅述。
在本申請所提供的幾個實施例中,應該理解到,所揭露
的系統、裝置和方法,可以通過其它的方式實現。例如,以上所描述的裝置實施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或元件可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通訊連接可以是通過一些介面,裝置或單元的間接耦合或通訊連接,可以是電性,機械或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本申請各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。
所述功能如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個電腦可讀取儲存介質中。基於這樣的理解,本申請的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存介質中,包括若干指令用以使得一台電腦設備(可以是個人電腦,伺服器,或者網路設備等)執行本申請各個實施例所述方法的全部或部分步驟。而前述的儲
存介質包括:U盤、移動硬碟、唯讀記憶體ROM、隨機存取記憶體RAM、磁碟或者光碟等各種可以儲存程式碼的介質。
以上所述,僅為本申請的具體實施方式,但本申請的保護範圍並不局限於此,任何熟悉本技術領域的技術人員在本申請揭露的技術範圍內,可輕易想到變化或替換,都應涵蓋在本申請的保護範圍之內。因此,本申請的保護範圍應以所述請求項的保護範圍為准。
801、802、803、804、805、806、807、808:步驟
Claims (31)
- 一種通訊方法,其中,該方法包括:服務消費網元向服務通訊代理發送第一服務請求訊息,所述第一服務請求訊息用於向服務提供網元請求第一服務,所述第一服務請求訊息包括第一客戶認證憑證,所述第一客戶認證憑證用於認證所述服務消費網元,所述第一客戶認證憑證包括第一網路功能類型和第二網路功能類型,所述第一網路功能類型為所述服務提供網元的網路功能類型,所述第二網路功能類型為提供第二服務的網元的網路功能類型;其中,所述第二服務與所述第一服務關聯;所述服務消費網元從所述服務通訊代理接收針對所述第一服務請求訊息的回應訊息。
- 如請求項1所述的方法,其中,所述第二服務用於提供所述第一服務對應的訪問權杖,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限。
- 如請求項1所述的方法,其中,還包括:所述服務消費網元確定不存在所述第一服務對應的可用的訪問權杖。
- 如請求項3所述的方法,其中,所述服務消費網元確定不存在所述第一服務對應的可用的訪問權杖,包括:所述服務消費網元確定未儲存所述第一服務對應的訪問權杖;或, 所述服務消費網元確定儲存的所述第一服務對應的訪問權杖已過期。
- 如請求項4所述的方法,其中,還包括:在儲存的所述第一服務對應的訪問權杖已過期的情況下,所述服務消費網元刪除所述已過期的訪問權杖。
- 如請求項1所述的方法,其中,所述第二服務用於提供所述服務提供網元的資訊。
- 如請求項6所述的方法,其中,還包括:所述服務消費網元確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務。
- 如請求項7所述的方法,其中,所述服務消費網元確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務,包括:所述服務消費網元根據以下一項或多項,確定所述第一服務請求訊息會觸發所述服務通訊代理請求所述第二服務:未儲存第一終端設備的上下文,所述第一終端設備與所述第一服務關聯;或者,未儲存所述第一服務的上下文;或者,所述服務提供網元歸屬於第一切片且未儲存所述第一切片對應的上下文;或者,所述服務消費網元首次與所述服務通訊代理通訊。
- 如請求項1-8任一項所述的方法,其中,還包括:所述服務消費網元確定使用模式D的間接通訊模式請求所述第一服務。
- 如請求項1-8任一項所述的方法,其中,還包括:所述服務消費網元向所述服務通訊代理發送第二服務請求訊息,所述第二服務請求訊息用於請求所述第一服務,所述第二服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括所述第一網路功能類型,所述第二客戶認證憑證用於認證所述服務消費網元;所述服務消費網元從所述服務通訊代理接收針對所述第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊;所述服務消費網元向所述服務通訊代理發送第一服務請求訊息,包括:所述服務消費網元根據所述指示資訊,向所述服務通訊代理發送所述第一服務請求訊息。
- 如請求項10所述的方法,其中,所述指示資訊包括第三客戶認證憑證,所述第三客戶認證憑證包括所述第二網路功能類型;其中,所述第三客戶認證憑證用於認證所述提供所述第二服務的網元;所述服務消費網元根據所述指示資訊,向所述服務通訊代理發送所述第一服務請求訊息,包括:在根據所述第三客戶認證憑證對所述提供所述第二服務的網元認證成功的情況下,所述服務消費網元向所述服務通訊代理發送所述第一服務請求訊息。
- 如請求項1-8任一項所述的方法,其中,所述提供所述第二服務的網元為網路儲存功能網元。
- 如請求項9所述的方法,其中,所述提供所述第二服務的網元為網路儲存功能網元。
- 如請求項1-8或13所述的方法,其中,所述第一客戶認證憑證還包括以下一項或者多項:所述服務消費網元的標識或者有效時間資訊,其中,所述有效時間資訊用於表徵所述第一客戶認證憑證的有效時間。
- 如請求項9所述的方法,其中,所述第一客戶認證憑證還包括以下一項或者多項:所述服務消費網元的標識或者有效時間資訊,其中,所述有效時間資訊用於表徵所述第一客戶認證憑證的有效時間。
- 如請求項12所述的方法,其中,所述第一客戶認證憑證還包括以下一項或者多項:所述服務消費網元的標識或者有效時間資訊,其中,所述有效時間資訊用於表徵所述第一客戶認證憑證的有效時間。
- 一種通訊方法,其中,該方法包括:第一網元從服務通訊代理接收第一服務請求訊息,所述第一服務請求訊息用於向所述第一網元請求第一服務,所述第一服務請求訊息包括第一客戶認證憑證,所述第一客戶認證憑證用於認證服務消費網元,其中,所述第一客戶認證憑證包括多個網路功能類型; 所述第一網元根據所述第一客戶認證憑證,認證所述服務消費網元;其中,所述第一網元根據所述第一客戶認證憑證,認證所述服務消費網元,包括:所述第一網元判斷自身的網路功能類型是否與所述多個網路功能類型中的一個或者多個相匹配;所述第一網元根據認證結果向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息。
- 如請求項17所述的方法,其中,所述第一網元根據認證結果向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,包括:在所述認證結果為認證成功時,所述第一網元向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,所述針對所述第一服務請求訊息的回應訊息用於指示提供所述第一服務;或者,在所述認證結果為認證失敗時,所述第一網元向所述服務通訊代理發送針對所述第一服務請求訊息的回應訊息,所述針對所述第一服務請求訊息的回應訊息指示請求所述第一服務失敗。
- 如請求項17所述的方法,其中,所述多個網路功能類型包括第一網路功能類型和第二網路功能類型,所述第一網路功能類型為所述第一網元的網路功能類型,所述第二網路功能類型為提供第二服務的網元的網路功能類型,所述第二服務與所述第一服務關聯。
- 如請求項19所述的方法,其中,所述第二服務用於提供所述第一服務對應的訪問權杖,其中,所述第一服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第一服務的權限;或者,所述第二服務用於提供所述第一網元的資訊。
- 如請求項19所述的方法,其中,所述提供所述第二服務的網元為網路儲存功能網元。
- 如請求項17所述的方法,其中,所述第一服務用於提供所述第二服務對應的訪問權杖,其中,所述第二服務對應的訪問權杖用於表徵所述服務消費網元具有獲取所述第二服務的權限;或者,所述第一服務用於提供所述第二服務網元的資訊。
- 如請求項22所述的方法,其中,所述第一網元為網路儲存功能網元。
- 如請求項17-23任一項所述的方法,其中,還包括:所述第一網元接收來自於所述服務通訊代理的第二服務請求訊息,所述第二服務請求訊息用於向所述第一網元請求所述第一服務,所述第二服務請求訊息包括第二客戶認證憑證,所述第二客戶認證憑證包括第三網路功能類型;在所述第三網路功能類型與所述第一網元的網路功能類型不匹配的情況下,所述第一網元向所述服務通訊代理發送針對所述 第二服務請求訊息的回應訊息,所述針對所述第二服務請求訊息的回應訊息包括指示資訊,其中,所述指示資訊用於觸發所述第一服務請求訊息。
- 如請求項24所述的方法,其中,所述指示資訊包括用於認證所述第一網元的第三客戶認證憑證,所述第三客戶認證憑證包括所述第一網元的網路功能類型。
- 如請求項18-23或25任一項所述的方法,其中,所述第一客戶認證憑證還包括所述服務消費網元的標識和所述第一客戶認證憑證的有效時間資訊;所述第一客戶認證憑證的有效時間資訊用於表徵所述第一客戶認證憑證的有效時間,所述第一網元根據所述第一客戶認證憑證,認證所述服務消費網元,還包括以下一項或者多項:所述第一網元驗證所述第一客戶認證憑證的簽名是否通過、根據所述第一客戶認證憑證包括的有效時間資訊驗證所述第一客戶認證憑證是否過期或者驗證所述第一客戶認證憑證中的所述服務消費網元的標識與用於簽名所述第一客戶認證憑證的證書中的網元的標識是否相同。
- 一種通訊裝置,其中,包括用於執行如請求項1至16中的任一項所述方法的模組。
- 一種通訊裝置,其中,包括用於執行如請求項17至26中的任一項所述方法的模組。
- 一種通訊裝置,其中,所述通訊裝置包括處理器和記憶體;所述記憶體用於儲存電腦執行指令,當所述裝置運行時,所述處理器執行所述記憶體儲存的所述電腦執行指令,以使所述通訊裝置執行如請求項1-16中所述服務消費網元執行的任意一項所述的方法。
- 一種通訊裝置,其中,所述通訊裝置包括處理器和記憶體;所述記憶體用於儲存電腦執行指令,當所述裝置運行時,所述處理器執行所述記憶體儲存的所述電腦執行指令,以使所述通訊裝置執行如請求項17-26中所述第一網元執行的任意一項所述的方法。
- 一種電腦可讀儲存介質,其中,所述電腦可讀儲存介質中儲存有電腦程式或指令,當所述電腦程式或指令被通訊裝置執行時,實現如請求項1至26中任一項所述的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110502638.5 | 2021-05-09 | ||
CN202110502638.5A CN115396892A (zh) | 2021-05-09 | 2021-05-09 | 一种通信方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202245442A TW202245442A (zh) | 2022-11-16 |
TWI820696B true TWI820696B (zh) | 2023-11-01 |
Family
ID=84028853
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW111116608A TWI820696B (zh) | 2021-05-09 | 2022-05-03 | 通訊方法、裝置及電腦可讀儲存介質 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20240073212A1 (zh) |
EP (1) | EP4325918A1 (zh) |
KR (1) | KR20240005900A (zh) |
CN (1) | CN115396892A (zh) |
BR (1) | BR112023023383A2 (zh) |
TW (1) | TWI820696B (zh) |
WO (1) | WO2022237741A1 (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111865597A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 通信方法和通信设备 |
WO2020220919A1 (zh) * | 2019-04-29 | 2020-11-05 | 华为技术有限公司 | 一种代理订阅的授权方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220353255A1 (en) * | 2019-06-24 | 2022-11-03 | Nokia Technologies Oy | Apparatuses and methods relating to authorisation of network functions |
EP3962136A1 (en) * | 2020-08-25 | 2022-03-02 | Nokia Technologies Oy | Management of access tokens in communication networks |
-
2021
- 2021-05-09 CN CN202110502638.5A patent/CN115396892A/zh active Pending
-
2022
- 2022-05-03 TW TW111116608A patent/TWI820696B/zh active
- 2022-05-09 EP EP22806704.7A patent/EP4325918A1/en active Pending
- 2022-05-09 KR KR1020237042282A patent/KR20240005900A/ko unknown
- 2022-05-09 WO PCT/CN2022/091806 patent/WO2022237741A1/zh active Application Filing
- 2022-05-09 BR BR112023023383A patent/BR112023023383A2/pt unknown
-
2023
- 2023-11-08 US US18/504,954 patent/US20240073212A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111865597A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 通信方法和通信设备 |
WO2020220919A1 (zh) * | 2019-04-29 | 2020-11-05 | 华为技术有限公司 | 一种代理订阅的授权方法及装置 |
Non-Patent Citations (1)
Title |
---|
網路文獻 CableLabs, Mavenir, Nokia, Nokia Bell Labs "Client authentications in token-based authorization for indirect communication" 3GPP 2020/05/01 https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_99e/Docs/S3-201081.zip * |
Also Published As
Publication number | Publication date |
---|---|
WO2022237741A1 (zh) | 2022-11-17 |
CN115396892A (zh) | 2022-11-25 |
BR112023023383A2 (pt) | 2024-01-23 |
KR20240005900A (ko) | 2024-01-12 |
EP4325918A1 (en) | 2024-02-21 |
TW202245442A (zh) | 2022-11-16 |
US20240073212A1 (en) | 2024-02-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11844014B2 (en) | Service authorization for indirect communication in a communication system | |
US10645583B2 (en) | Security management for roaming service authorization in communication systems with service-based architecture | |
US20210234706A1 (en) | Network function authentication based on public key binding in access token in a communication system | |
US20190251241A1 (en) | Security management for service authorization in communication systems with service-based architecture | |
CN104956638B (zh) | 用于在热点网络中未知设备的受限证书注册 | |
WO2021037175A1 (zh) | 一种网络切片的管理方法及相关装置 | |
CN113438196B (zh) | 一种服务授权方法、装置及系统 | |
WO2020053481A1 (en) | Network function authentication using a digitally signed service request in a communication system | |
WO2019017837A1 (zh) | 网络安全管理的方法及装置 | |
CN101536480A (zh) | 用于网络接入的设备和/或用户认证 | |
KR20160127170A (ko) | 무선 유닛의 사용자를 인증하는 방법들 및 시스템들 | |
US20110035592A1 (en) | Authentication method selection using a home enhanced node b profile | |
US20210112411A1 (en) | Multi-factor authentication in private mobile networks | |
WO2019196766A1 (zh) | 通信方法和装置 | |
US20220182829A1 (en) | Systems and methods for subscriber certificate provisioning | |
WO2022134089A1 (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
WO2021099675A1 (en) | Mobile network service security management | |
TWI820696B (zh) | 通訊方法、裝置及電腦可讀儲存介質 | |
WO2020012065A1 (en) | Security management for unauthorized requests in communication system with service-based architecture | |
WO2021079023A1 (en) | Inter-mobile network communication security | |
WO2024093923A1 (zh) | 通信方法和通信装置 | |
WO2021185347A1 (zh) | 接入控制方法及通信设备 | |
WO2023246753A1 (zh) | 通信方法和装置 | |
WO2023159603A1 (zh) | 一种安全实现方法及装置、终端设备、网元 | |
WO2023011158A1 (zh) | 一种证书管理方法和装置 |