WO2024021137A1 - Api调用者认证方法以及装置、通信设备及存储介质 - Google Patents
Api调用者认证方法以及装置、通信设备及存储介质 Download PDFInfo
- Publication number
- WO2024021137A1 WO2024021137A1 PCT/CN2022/109268 CN2022109268W WO2024021137A1 WO 2024021137 A1 WO2024021137 A1 WO 2024021137A1 CN 2022109268 W CN2022109268 W CN 2022109268W WO 2024021137 A1 WO2024021137 A1 WO 2024021137A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- function
- capif
- api caller
- key
- information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 217
- 238000004891 communication Methods 0.000 title claims abstract description 41
- 230000006870 function Effects 0.000 claims description 463
- 230000004044 response Effects 0.000 claims description 84
- 238000012545 processing Methods 0.000 claims description 49
- 238000013475 authorization Methods 0.000 claims description 21
- 238000012795 verification Methods 0.000 claims description 13
- 239000008186 active pharmaceutical agent Substances 0.000 description 636
- 238000005516 engineering process Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 20
- 238000007726 management method Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 11
- 238000010295 mobile communication Methods 0.000 description 6
- RJQIZOKNUKRKTP-UHFFFAOYSA-N N-acetyl-5-methoxykynuramine Chemical compound COC1=CC=C(N)C(C(=O)CCNC(C)=O)=C1 RJQIZOKNUKRKTP-UHFFFAOYSA-N 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 238000013507 mapping Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L27/00—Modulated-carrier systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本公开实施例提供一种API调用者认证方法以及装置、通信设备及存储介质,API调用者认证方法由API调用者执行,包括:向CAPIF功能发送第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于供CAPIF功能认证API调用者的身份。
Description
本公开涉及但不限于通信技术领域,尤其涉及一种API调用者认证方法以及装置、通信设备及存储介质。
在相关技术中,用户感知的北向AIP访问(subscriber-aware northbound API access,SNA)应用程序(Application,APP)安全性研究的目的之一是解决用户设备(User Equipment,UE)发起的应用程序接口(Application Program Interface,API)调用的安全性问题。在SNA场景中,UE可充当API调用者;API调用者在线签约(API invoker onboarding)是一个重要过程。API调用者在线签约过程中,通用应用程序接口框架(CAPIF)功能需要在向API调用者授权服务之前对API调用者进行身份认证。然后,在CAPIF中,目前没有解决方案以使CAPIF功能对API调用者进行身份认证。
发明内容
本公开实施例提供一种API调用者认证方法以及装置、通信设备及存储介质。
根据本公开实施例的第一方面,提供一种API调用者认证方法,由API调用者执行,包括:
向CAPIF功能发送第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于供CAPIF功能认证API调用者的身份。
在一些实施例中,方法包括:从API提供者域(API provider domain)或者API调用者的预配置信息获取注册信息,其中,注册信息,包括以下至少之一:
CAPIF功能的地址;
CAPIF功能的全限定域名(Fully Qualified Domain Name,FQDN);
CAPIF功能的根CA证书。
在一些实施例中,方法包括:基于注册信息,与CAPIF功能建立传输层安全(Transport Layer Security,TLS)连接;
向CAPIF功能发送第一请求信息,包括:基于TLS连接,向CAPIF功能发送第一请求信息。
在一些实施例中,认证信息包括:与面向应用的认证与密钥管理(Authentication and Key Management for Applications,AKMA)锚点密钥(AKMA Anchor Key)对应的AKMA密钥标识;其中,AKMA密钥标识用于确定AKMA锚点密钥,AKMA锚点密钥用于供CAPIF功能认证API调用者的身份。
在一些实施例中,方法包括:基于鉴权服务功能密钥(Authentication Server Function,K
AUSF),确定AKMA锚点密钥和与AKMA锚点密钥对应的AKMA密钥标识;
基于AKMA锚点密钥,确定第一应用功能密钥(Application Function,K
AF)。
在一些实施例中,基于AKMA锚点密钥,确定K
AF,包括以下之一:
基于AKMA锚点密钥及CAPIF功能的标识信息,确定第一K
AF;其中,CAPIF功能的标识信息,包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定。
在一些实施例中,方法包括:基于第一K
AF与CAPIF功能的第二K
AF,确定API调用者身份认证是否成功。
在一些实施例中,认证信息包括:第一证书;其中,第一证书,用于供CAPIF功能认证API调用者的身份。
在一些实施例中,方法包括:接收CAPIF功能发送的第一响应信息,其中,第一响应信息包括:
API调用者配置信息;其中,API调用者配置信息包括:开放功能(AEF)认证和授权信息;
API调用者的证书;其中,API调用者的证书,包括:API调用者的标识信息以及AIP调用者公钥;
API调用者的在线签约密钥。
在一些实施例中,API调用者的标识信息包括以下之一:
CAPIF功能分配的API调用者的标识信息;
用户永久标识符(Subscription Permanent Identifier,SUPI);
公共订阅标识符(Generic Public Subscription Identifier,GPSI);
IMS用户私有标识(IMS Private Identity,IMPI);
订阅用户隐藏标识符(Subscription Concealed Identifier,SUCI);
UE的应用层ID。
在一些实施例中,第一请求信息还包括:API调用者的令牌;第一响应信息是CAPIF基于令牌验证成功后发送的。
在一些实施例中,API调用者,包括:UE。
在一些实施例中,CAPIF功能包括以下之一:
CAPIF核心功能(CAPIF core function,CCF);
API开放功能(API exposing function,AEF);
授权功能(Authorization Function,AF)。
根据本公开实施例的第二方面,提供一种API调用者认证方法,由AKMA锚点功能(AKMA Anchor Function,AAnF)执行,包括:
接收CAPIF功能发送的第二请求信息,其中,第二请求信息是CAPIF功能基于第一请求信息确定的,且第二请求信息包括:第一请求信息中包括的API调用者的AKMA密钥标识;
基于AKMA密钥标识,确定与AKMA密钥标识对应的AKMA锚点密钥,其中,AKMA锚点 密钥用于供CAPIF功能认证API调用者的身份。
在一些实施例中,方法包括:
基于AKMA锚点密钥,确定第二K
AF;
向CAPIF发送第二响应信息,其中,第二响应信息包括第二K
AF。
在一些实施例中,第二响应信息还包括:与第二K
AF对应的有效时间,和/或API调用者的标识信息。
在一些实施例中,API调用者的标识信息,包括以下之一:SUPI、GPSI、IMPI、SUCI以及UE的应用层ID。
在一些实施例中,第二请求信息包括:CAPIF功能的标识信息;
基于AKMA锚点密钥,确定第二应用功能密钥K
AF,包括:
基于AKMA锚点密钥及CAPIF功能的标识信息,确定第二应用功能密钥K
AF。
在一些实施例中,CAPIF功能的标识信息包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定;
基于AKMA锚点密钥及CAPIF功能的标识信息,确定第二应用功能密钥K
AF,包括以下之一:
AKMA锚点密钥及FQDN,确定第二应用功能密钥K
AF;
AKMA锚点密钥、FQDN及安全协议标识符,确定第二K
AF。
在一些实施例中,方法包括:基于CAPIF功能的标识信息,确定AAnF是否能够为CAPIF功能提供服务;
基于AKMA密钥标识,确定AKMA密钥标识对应的AKMA锚点密钥,包括:
若确定AAnF能够为CAPIF功能提供服务,基于AKMA密钥标识,确定AKMA密钥标识对应的AKMA锚点密钥。
在一些实施例中,方法包括:若确定AAnF不能够为CAPIF功能提供服务,拒绝向CAPIF提供第二K
AF。
在一些实施例中,方法包括:基于AAnF中不存在与AKMA密钥对应的AKMA锚点密钥,向CAPIF功能发送携带错误指示信息的第二响应信息。
在一些实施例中,API调用者,包括:UE。
在一些实施例中,CAPIF功能包括以下之一:
CAPIF核心功能(CCF);
API开放功能(AEF);
授权功能(AF)。
根据本公开实施例的第三方面,提供一种API调用者认证方法,由CAPIF功能执行,包括:
接收API调用者发送的第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于认证API调用者的身份。
在一些实施例中,认证信息包括:与AKMA锚点密钥对应的AKMA密钥标识;其中,AKMA 密钥标识用于确定AKMA锚点密钥,AKMA锚点密钥用于认证API调用者的身份。
在一些实施例中,方法包括:向AKMA锚点功能AAnF发送第二请求信息,其中,第二请求信息包括AKMA密钥标识;其中,AKMA密钥标识用于供AAnF确定AKMA锚点密钥,且AKMA锚点密钥用于供AAnF确定CAPIF功能的第二K
AF。
在一些实施例中,方法包括:基于第二K
AF及API调用者的第一K
AF,认证API调用者身份。
在一些实施例中,方法包括:基于AKMA密钥标识,确定与CAPIF功能对应AAnF。
在一些实施例中,方法包括:接收AAnF发送的第二响应信息,其中,第二响应信息包括以下至少之一:
第二K
AF;
API调用者的标识信息及第二K
AF;
第二K
AF及与第二K
AF对应的有效时间;
API调用者的标识信息、第二K
AF及与第二K
AF对应的有效时间。
在一些实施例中,API调用者的标识信息,包括以下之一:SUPI、GPSI、IMPI、SUCI以及UE的应用层ID。
在一些实施例中,第二请求信息包括:CAPIF功能的标识信息;其中,CAPIF功能的标识信息包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定;AKMA锚点密钥与CAPIF功能的标识信息用于供AAnF确定第二K
AF。
在一些实施例中,认证信息包括:第一证书;其中,第一证书,用于供CAPIF功能认证API调用者的身份。
在一些实施例中,方法包括:基于第一证书以及CAPIF核心功能存储的与第一证书所对应的根证书,确定API调用者身份认证是否成功。
在一些实施例中,方法包括以下至少之一:
基于API调用者身份认证成功,确定API调用者的在线签约密钥;
基于API调用者身份认证成功,确定API调用者的API调用者配置信息;其中,API调用者配置信息包括:开放功能AEF认证和授权信息;
基于API调用者身份认证成功,生成API调用者的证书;其中,API调用者的证书,包括:API调用者公钥以及API调用者的标识信息。
在一些实施例中,第一请求信息还包括:API调用者的令牌;
确定API调用者的API调用者配置信息,包括:基于API调用者身份验证成功,根据令牌确定API调用者配置信息。
在一些实施例中,方法包括:向API调用者发送第一响应信息,其中,第一响应信息包括以下至少之一:API调用者的在线签约信息、API调用者配置信息以及API调用者的证书。
在一些实施例中,API调用者,包括:UE。
在一些实施例中,CAPIF功能包括以下之一:CCF;AEF;以及AF。
根据本公开实施例的第四方面,提供一种API调用者认证装置,包括:
发送模块,被配置为向CAPIF功能发送第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于供CAPIF功能认证API调用者的身份。
在一些实施例中,装置包括:接收模块,被配置为从API提供者域或者API调用者的预配置信息中获取注册信息,其中,注册信息,包括以下至少之一:
CAPIF功能的地址;
CAPIF功能的FQDN;
CAPIF功能的根CA证书。
在一些实施例中,装置包括:处理模块,被配置为基于注册信息,与CAPIF功能建立TLS连接;
发送模块,被配置为基于TLS连接,向CAPIF功能发送第一请求信息。
在一些实施例中,认证信息包括:与AKMA锚点密钥对应的AKMA密钥标识;其中,AKMA密钥标识用于确定AKMA锚点密钥,AKMA锚点密钥用于供CAPIF功能认证API调用者的身份。
在一些实施例中,装置包括:处理模块,被配置为基于K
AUSF,确定AKMA锚点密钥和与AKMA锚点密钥对应的AKMA密钥标识;
处理模块,还被配置为基于AKMA锚点密钥,确定第一K
AF。
在一些实施例中,处理模块,被配置为基于AKMA锚点密钥及CAPIF功能的标识信息,确定第一K
AF;其中,CAPIF功能的标识信息,包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定。
在一些实施例中,装置包括:处理模块,被配置为基于第一K
AF与CAPIF功能的第二K
AF,确定API调用者身份认证是否成功。
在一些实施例中,认证信息包括:第一证书;其中,第一证书,用于供CAPIF功能认证API调用者的身份。
在一些实施例中,装置包括:接收模块,被配置为接收CAPIF功能发送的第一响应信息,其中,第一响应信息包括:
API调用者配置信息;其中,API调用者配置信息包括:开放功能AEF认证和授权信息;
API调用者的证书;其中,API调用者的证书,包括:API调用者的标识信息以及AIP调用者公钥;
API调用者的在线签约密钥。
在一些实施例中,API调用者的标识信息包括以下之一:CAPIF功能分配的API调用者的标识信息、SUPI、GPSI、IMPI、SUCI以及UE的应用层ID。
在一些实施例中,第一请求信息还包括:API调用者的令牌;第一响应信息是CAPIF基于令牌验证成功后发送的。
在一些实施例中,API调用者,包括:UE。
在一些实施例中,CAPIF功能包括以下之一:CCF;AEF;以及AF。
根据本公开实施例的第五方面,提供一种API调用者认证装置,由AAnF执行,包括:
接收模块,被配置为接收CAPIF功能发送的第二请求信息,其中,第二请求信息是CAPIF功能基于第一请求信息确定的,且第二请求信息包括:第一请求信息中包括的API调用者的AKMA密钥标识;
处理模块,被配置为基于AKMA密钥标识,确定与AKMA密钥标识对应的AKMA锚点密钥,其中,AKMA锚点密钥用于供CAPIF功能认证API调用者的身份。
在一些实施例中,装置包括:处理模块,被配置为基于AKMA锚点密钥,确定第二K
AF;
发送模块,被配置为向CAPIF发送第二响应信息,其中,第二响应信息包括第二K
AF。
在一些实施例中,第二响应信息还包括:与第二K
AF对应的有效时间,和/或API调用者的标识信息。
在一些实施例中,API调用者的标识信息,包括以下之一:SUPI;GPSI、IMPI、SUCI以及UE的应用层ID。
在一些实施例中,第二请求信息包括:CAPIF功能的标识信息;
处理模块,被配置为基于AKMA锚点密钥及CAPIF功能的标识信息,确定第二K
AF。
在一些实施例中,CAPIF功能的标识信息包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定;
处理模块,被配置为AKMA锚点密钥及FQDN,确定第二应用功能密钥K
AF;
或者,处理模块,被配置为AKMA锚点密钥、FQDN及安全协议标识符,确定第二应用功能密钥K
AF。
在一些实施例中,装置包括:处理模块,被配置为基于CAPIF功能的标识信息,确定AAnF是否能够为CAPIF功能提供服务;
处理模块,还被配置为若确定AAnF能够为CAPIF功能提供服务,基于AKMA密钥标识,确定AKMA密钥标识对应的AKMA锚点密钥。
在一些实施例中,装置包括:处理模块,被配置为若确定AAnF不能够为CAPIF功能提供服务,拒绝向CAPIF提供第二K
AF。
在一些实施例中,装置包括:发送模块,被配置为基于AAnF中不存在与AKMA密钥对应的AKMA锚点密钥,向CAPIF功能发送携带错误指示信息的第二响应信息。
在一些实施例中,API调用者,包括:UE。
在一些实施例中,CAPIF功能包括以下之一:CCF;AEF以及AF。
根据本公开实施例的第六方面,提供一种API调用者认证装置,由CAPIF功能执行,包括:
接收模块,被配置为接收API调用者发送的第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于认证API调用者的身份。
在一些实施例中,认证信息包括:与AKMA锚点密钥对应的AKMA密钥标识;其中,AKMA密钥标识用于确定AKMA锚点密钥,AKMA锚点密钥用于认证API调用者的身份。
在一些实施例中,装置包括:发送模块,被配置为向AKMA锚点功能AAnF发送第二请求信息,其中,第二请求信息包括AKMA密钥标识;其中,AKMA密钥标识用于供AAnF确定AKMA锚点密钥,且AKMA锚点密钥用于供AAnF确定CAPIF功能的第二K
AF。
在一些实施例中,装置包括:处理模块,被配置为基于第二K
AF及API调用者的第一K
AF,认证API调用者身份。
在一些实施例中,装置包括:处理模块,被配置为基于AKMA密钥标识,确定与CAPIF功能对应AAnF。
在一些实施例中,装置包括:接收模块,被配置为接收AAnF发送的第二响应信息,其中,第二响应信息包括以下至少之一:
第二K
AF;
API调用者的标识信息及第二K
AF;
第二K
AF及与第二K
AF对应的有效时间;
API调用者的标识信息、第二K
AF及与第二K
AF对应的有效时间。
在一些实施例中,API调用者的标识信息,包括以下之一:SUPI;GPSI、IMPI、SUCI以及UE的应用层ID。
在一些实施例中,第二请求信息包括:CAPIF功能的标识信息;其中,CAPIF功能的标识信息包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定;AKMA锚点密钥与CAPIF功能的标识信息用于供AAnF确定第二K
AF。
在一些实施例中,认证信息包括:第一证书;其中,第一证书,用于供CAPIF功能认证API调用者的身份。
在一些实施例中,装置包括:处理模块,被配置为基于第一证书以及CAPIF核心功能存储的与第一证书所对应的根证书,确定API调用者身份认证是否成功。
在一些实施例中,处理模块,被配置为以下至少之一:
基于API调用者身份认证成功,确定API调用者的在线签约密钥;
基于API调用者身份认证成功,确定API调用者的API调用者配置信息;其中,API调用者配置信息包括:开放功能AEF认证和授权信息;
基于API调用者身份认证成功,生成API调用者的证书;其中,API调用者的证书,包括:API调用者公钥以及API调用者的标识信息。
在一些实施例中,第一请求信息还包括:API调用者的令牌;
处理模块,被配置为确定API调用者的API调用者配置信息,包括:基于API调用者身份验证成功,根据令牌确定API调用者配置信息。
在一些实施例中,装置包括:发送模块,被配置为向API调用者发送第一响应信息,其中,第一响应信息包括以下至少之一:API调用者的在线签约信息、API调用者配置信息以及API调用者的证书。
在一些实施例中,API调用者,包括:UE。
在一些实施例中,CAPIF功能包括以下之一:CCF;AEF;以及AF。
根据本公开的第七方面,提供一种通信设备,通信设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,处理器被配置为:用于运行可执行指令时,实现本公开任意实施例的API调用者认证方法。
根据本公开的第八方面,提供一种计算机存储介质,计算机存储介质存储有计算机可执行程序,可执行程序被处理器执行时实现本公开任意实施例的API调用者认证方法。
本公开实施例提供的技术方案可以包括以下有益效果:
本公开实施例中API调用者向CAPIF功能发送第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于供CAPIF功能认证API调用者的身份。如此可以使得CAPIF基于认证信息对API调用者身份实现有效的认证。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开实施例。
图1是根据一示例性实施例示出的一种无线通信系统的结构示意图。
图2是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图3是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图4是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图5是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图6是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图7是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图8是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图9是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图10是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图11是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图12是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图13是根据一示例性实施例示出的一种API调用者认证方法的示意图。
图14是根据一示例性实施例示出的一种API调用者认证装置的框图。
图15是根据一示例性实施例示出的一种API调用者认证装置的框图。
图16是根据一示例性实施例示出的一种API调用者认证装置的框图。
图17是根据一示例性实施例示出的一种UE的框图。
图18是根据一示例性实施例示出的一种基站的框图。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。
在本公开实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参考图1,其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示,无线通信系统是基于蜂窝移动通信技术的通信系统,该无线通信系统可以包括:若干个用户设备110以及若干个基站120。
其中,用户设备110可以是指向用户提供语音和/或数据连通性的设备。用户设备110可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网进行通信,用户设备110可以是物联网用户设备,如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网用户设备的计算机,例如,可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如,站(Station,STA)、订户单元(subscriber unit)、订户站(subscriber station),移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程用户设备(remote terminal)、接入用户设备(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户设备(user equipment)。或者,用户设备110也可以是无人飞行器的设备。或者,用户设备110也可以是车载设备,比如,可以是具有无线通信功能的行车电脑,或者是外接行车电脑的无线用户设备。或者,用户设备110也可以是路边设备,比如,可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。
基站120可以是无线通信系统中的网络侧设备。其中,该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication,4G)系统,又称长期演进(Long Term Evolution,LTE)系统;或者,该无线通信系统也可以是5G系统,又称新空口系统或5G NR系统。或者,该无线通信系统也可以是5G系统的再下一代系统。其中,5G系统中的接入网可以称为新一代无线接入网 (New Generation-Radio Access Network,NG-RAN)。
其中,基站120可以是4G系统中采用的演进型基站(eNB)。或者,基站120也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站120采用集中分布式架构时,通常包括集中单元(central unit,CU)和至少两个分布单元(distributed unit,DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层、无线链路层控制协议(Radio Link Control,RLC)层、媒体接入控制(Medium Access Control,MAC)层的协议栈;分布单元中设置有物理(Physical,PHY)层协议栈,本公开实施例对基站120的具体实现方式不加以限定。
基站120和用户设备110之间可以通过无线空口建立无线连接。在不同的实施方式中,该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口;或者,该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口,比如该无线空口是新空口;或者,该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。
在一些实施例中,用户设备110之间还可以建立E2E(End to End,端到端)连接。比如车联网通信(vehicle to everything,V2X)中的车对车(vehicle to vehicle,V2V)通信、车对路边设备(vehicle to Infrastructure,V2I)通信和车对人(vehicle to pedestrian,V2P)通信等场景。
这里,上述用户设备可认为是下面实施例的终端设备。
在一些实施例中,上述无线通信系统还可以包含网络管理设备130。
若干个基站120分别与网络管理设备130相连。其中,网络管理设备130可以是无线通信系统中的核心网设备,比如,该网络管理设备130可以是演进的数据分组核心网(Evolved Packet Core,EPC)中的移动性管理实体(Mobility Management Entity,MME)。或者,该网络管理设备也可以是其它的核心网设备,比如服务网关(Serving GateWay,SGW)、公用数据网网关(Public Data Network GateWay,PGW)、策略与计费规则功能单元(Policy and Charging Rules Function,PCRF)或者归属签约用户服务器(Home Subscriber Server,HSS)等。对于网络管理设备130的实现形态,本公开实施例不做限定。
为了便于本领域内技术人员理解,本公开实施例列举了多个实施方式以对本公开实施例的技术方案进行清晰地说明。当然,本领域内技术人员可以理解,本公开实施例提供的多个实施例,可以被单独执行,也可以与本公开实施例中其他实施例的方法结合后一起被执行,还可以单独或结合后与其他相关技术中的一些方法一起被执行;本公开实施例并不对此作出限定。
为了更好地理解本公开任一个实施例所描述的技术方案,首先,对相关技术中的进行部分说明:
在一些应用场景中,用户感知的北向AIP访问应用程序(SNAAPP)安全性研究的目的之一是解决UEAPI调用的安全性问题;在SNA场景中,UE可以充当API调用者。具体来说,在TS 22.261条款6.10.2中,它规定“通过对UE进行认证和授权,为UE提供对API的安全访问(例如,由5G系统不可见的应用触发)”。可以理解,在UE上运行的APP对于3GPP系统是不可见的,并且UE 需要被认证和授权。此外,SA6 SID[2]指出“需要注意的是,触发API调用者的UE(以下可简称触发UE)”可能不同于业务体验受到API调用响应的UE(以下可简称资源所有者)”。因此,对调用者的UE的认证和授权保护目标UE的业务体验也很重要。
在API调用者,CAPIF功能需要在向API调用者授权服务之前对API调用者进行认证。然而,在CAPIF中,没有现有的解决方案来使CAPIF功能能够认证API调用者。
如图2所示,本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:
步骤S21:向CAPIF功能发送第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于供CAPIF功能认证API调用者的身份。
在一个实施例中,API调用者,可以是但不限于:UE。这里,可以是各种移动终端或固定终端。例如,该UE可以是但不限于是手机、计算机、服务器、可穿戴设备、车载终端、游戏控制平台或多媒体设备等。
在一个实施例中,CAPIF功能可以是但不限于是:CAPIF核心功能(CCF)、API开放功能(AEF)以及授权功能(AF)。这里,CCF、AEF以及AF均可以是CAPIF中灵活部署的逻辑节点或者功能。这里,该AF也可以是核心网中或者接入核心的网络中的逻辑节点或者功能。
这里,CAPIF功能可以是CAPIF中灵活部署的其它逻辑节点或者功能等。CAPIF功能可以是运营商部署的网络功能。
示例性的,API调用者向CCF发送第一请求信息;或者,API调用者向AEF发送第一请求信息;或者,API调用者向AF发送第一请求信息。
示例性的,UE向CCF发送第一请求信息;或者,API调用者向AEF发送第一请求信息;或者,API调用者向AF发送第一请求信息。
本公开实施例以下所涉及的AAnF可以是通信网络中灵活部署的逻辑节点或者功能等。例如,该AAnF可以是核心网侧的逻辑节或者功能;又如,该AAnF可以是与核心网连接的数据网络中逻辑节点或者功能。
在一个实施例中,第一请求信息可以是:在线API请求信息(Onboard API invoker request message)。
在一个实施例中,认证信息可以是但不于是AKMA锚点密钥对应的AKMA密钥标识和/或证书信息等。这里,AKMA锚点密钥或者证书信息均可以供CAPIF功能认证API调用者的身份。
在一个实施例中,第一请求信息可包括但不限于包括以下至少之一:API调用者的令牌、API调用者密钥对以及API调用者公钥。这里,API调用者密钥对包括API调用者私钥及API调用者公钥。这里,API调用者令牌可以是但不限于是OAuth 2.0令牌;当然,API调用者令牌也可以是其它访问令牌(OAuth)等。这里,API调用者公钥可以是任一种公钥,例如可以是预先设置的一个字符串等。这里,API调用者令牌和/或API调用者公钥,可以有利于CAPIF进一步对API调用者身份的认证。
在本公开实施例中,API调用者向CAPIF功能发送第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于供CAPIF功能认证API调用者的身份。如此可以使得CAPIF基于认证信息对API调用者身份实现有效的认证。
如此,本公开实施例可以提高API调用者调用目标UE业务而对目标UE的业务的安全性保护。
在一个实施例中,步骤S21中向CAPIF功能发送第一请求信息,可包括:在SNA前或者SNA过程中,发送第一请求信息。如此,本公开实施例可以在API调用者进行SNA的应用时,对API调用者的身份进行认证,以可以加大对被调用的UE的业务安全保护。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图3所示,本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:
步骤S31:从API提供者域获取注册信息,其中,注册信息,包括以下至少之一:CAPIF功能的地址、CAPIF功能的FQDN以及CAPIF功能的根CA证书。
本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:从API调用者的预配置信息中获取注册信息,其中,注册信息,包括以下至少之一:CAPIF功能的地址、CAPIF功能的FQDN以及CAPIF功能的根CA证书。
在本公开的一些实施例中,CAPIF功能可以是步骤S21中CAPIF功能。
在一个实施例中,API提供者域可以是一个功能或者逻辑节点;例如,API提供者域是CAPIF中集成的一个管理API调用者和/或CAPIF功能的信息的功能。例如,API提供者域可以管理API调用者的令牌等。
在一个实施例中,API调用者中存储有至少一个API调用者的预配置信息。或者,API调用者也可以从其它网元中获取该API调用者的预配置信息。
在一个实施例中,CAPIF功能的地址可以是但不限于是CAPIF的物理地址等。
在一个实施例中,CAPIF功能的FQDN可以是但不限于:CAPIF功能的主机名和域名的组合,或者带有CAPIF功能的主机名和域名的名称。示例性的,CAPIF功能的主机名为“bigserver”,CAPIF功能的域名为“mycompany.com”;则FQDN可以是“bigserver.mycompany.com”。
在一个实施例中,CAPIF功能根CA证书可以是任意一种根CA证书。
在一个实施例中,注册信息可以是在线注册信息(onboarding enrolment information)。
如此,在本公开实施例中,API调用者可以从API提供者域或者API调用者的预配置信息中获取注册信息,该注册信息可以包括CAPIF功能的地址、FQDN以及根证书的其中至少之一,有利于API调用者基于该注册信息进行后续操作;例如可以是与CAPIF建立连接等。
在一些实施例中,方法包括:基于注册信息,与CAPIF功能建立TLS连接;
步骤S21中向CAPIF功能发送第一请求信息,包括:基于TLS连接,向CAPIF功能发送第一请求信息。
本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:
基于注册信息,与CAPIF功能TLS连接;
基于TLS连接,向CAPIF功能发送第一请求信息。
这里,该TLS连接是通过CAPIF接口的CAPIF功能与API调用者之间相互认证的。
这里,API调用者可通过TLS连接建立与CAPIF的TLS会话;API调用者可通过TLS会话向CAPIF发送第一请求信息。
示例性的,API调用者可基于CAPIF功能的地址和/或CAPIF功能的FQDN,与CAPIF功能建立TLS连接。
如此,在本公开实施例中,API调用者可以基于注册信息建立与CAPIF的TLS连接,以使得API调用者通过TLS连接向CAPIF发送第一请求信息;如此实现了第一请求信息的发送。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
在一些实施例中,认证信息包括:与AKMA锚点密钥对应的AKMA密钥标识;其中,AKMA密钥标识用于确定AKMA锚点密钥,AKMA锚点密钥用于供CAPIF功能认证API调用者的身份。
如图4所示,本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:
步骤S41:向CAPIF功能发送第一请求信息,其中,第一请求信息包括API调用者的认证信息;其中,认证信息包括与AKMA锚点密钥对应的AKMA密钥标识;其中,AKMA密钥标识用于确定AKMA锚点密钥,AKMA锚点密钥用于供CAPIF功能认证API调用者的身份。
在本公开的一些实施例中,第一请求信息、认证信息分别可以是步骤S21中第一请求信息、认证信息。
这里,AKMA锚点密钥用于确定K
AF,K
AF用于供CAPIF功能认证API调用者的身份。该K
AF可以是以下涉及的第一K
AF或者第二K
AF。
在一个实施例中,AKMA密钥标识可以为:A-KID。
这里,第一请求信息中携带的AKMA密钥标识用于供AAnF确定出AKMA锚点密钥;该AKMA锚点密钥用于供AAnF生成K
AF。例如,AAnF基于AKMA密钥标识,确定与AKMA密钥标识对应的AKMA锚点密钥;并基于该AKMA锚点密钥确定第二K
AF;AAnF将第二K
AF发送给CAPIF功能,以供CAPIF功能能够实现对API调用者身份的认证。
在本公开实施例中,API调用者可以向CAPIF功能发送第一请求信息,该第一请求信息包括认证信息,认证信息包括与AKMA锚点密钥对应的AKMA密钥标识;如此可基于该AKMA密钥标识确定出AKMA锚点密钥,进而可以基于该AKMA锚点密钥确定出用于供CAPIF功能认证的API调用者身份的K
AF。如此可以使得CAPIF功能能够实现对API调用者身份的认证。
本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:
基于鉴权服务功能密钥(K
AUSF),确定AKMA锚点密钥和与AKMA锚点密钥对应的AKMA密 钥标识(AKMA key identidier);
基于AKMA锚点密钥,确定第一应用功能密钥(K
AF)。
在一些实施例中,基于AKMA锚点密钥,确定K
AF,包括以下之一:
基于AKMA锚点密钥及CAPIF功能的标识信息,确定第一K
AF;其中,CAPIF功能的标识信息,包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定。
在一个实施例中,CAPIF功能的标识信息可以为:AF_ID。
本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:获取鉴权服务功能密钥(K
AUSF)。例如,API调用者可从API提供者域获取K
AUSF;或者,API调用者可确定K
AUSF。
在一个实施例中,安全协议标识符可以是Ua*协议安全协议标识符。
本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:
基于AKMA锚点密钥及CAPIF功能的标识信息,确定第一K
AF;其中,CAPIF功能的标识信息,包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定。
当然,在其它的实施例中,CAPIF功能的标识信息可以是任意一种可唯一表征CAPIF功能的标识信息;例如,CAPIF功能的标识信息可以是对CAPIF功能的编号信息;又如,CAPIF功能的标识信息的物理地址确定。
示例性的,API调用者基于AKMA锚点密钥及FQDN,生成第一K
AF。
示例性的,API调用者基于AKMA锚点密钥、FQDN及安全协议标识符,生成第一K
AF。
在本公开实施例中,API调用者可以基于K
AUSF确定出AKMA锚点密钥及与AKMA锚点密钥对应的AKMA密钥标识;其中,该AKMA锚点密钥可用于API调用者生成对API调用者身份认证的第一K
AF;该AKMA密钥标识可用于发送给CAPIF功能,以供CAPIF功能基于该AKMA密钥标识获得用于API调用者身份认证的第二K
AF。
本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:基于第一K
AF与CAPIF功能的第二K
AF,确定API调用者身份认证是否成功。
这里,可以基于第一K
AF与第二K
AF是否匹配,确定API调用者身份认证是否成功。若第一K
AF与第二K
AF不匹配,确定API调用者身份认证不成功;或者,若第一K
AF与第二K
AF匹配,确定API调用者身份认证成功。
示例性的,API调用者利用第一K
AF加密第一信息,以获得加密后的第二信息;API调用者将第二信息发送给CAPIF功能;CAPIF功能可基于第二K
AF解密第二信息以获得第一信息。如此,第一K
AF与第二K
AF匹配。
在本公开实施例中,第一K
AF与第二K
AF是基于同一AKMA锚点密钥生成的,若第一K
AF与第二K
AF匹配;则可确定API调用者的身份认证成功,该API调用者不是伪造的身份。
在一些实施例中,认证信息包括:第一证书;其中,第一证书,用于供CAPIF功能认证API调用者的身份。
如图5所示,本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:
步骤S51:向CAPIF功能发送第一请求信息,其中,第一请求信息包括API调用者的认证信息;其中,认证信息包括第一证书;其中,第一证书,用于供CAPIF功能认证API调用者的身份。
这里,第一证书可以是权威机构为API调用者生成的证书或者是CAPIF核心功能(CAPIF Core Function)为API调用者生成的证书。
这里,第一证书用于供CAPIF功能基于第一证书及CAPIF中存储的根证书认证API调用者的身份。这里,该根证书是CAPIF中存储的或者从其它功能获得第一证书对应根证书。
如此,本公开实施例中可以通过API调用者的发送自身的第一证书,以使得CAPIF可以基于证书实现对CAPIF功能的身份认证。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图6所示,本公开实施例提供一种API调用者认证方法,由API调用者执行,包括:
步骤S61:接收CAPIF功能发送的第一响应信息,其中,第一响应信息包括以下至少之一:API调用者配置信息、API调用者的证书以及API调用者的在线签约密钥。
这里,API调用者配置信息包括AEF认证信息和授权信息。
这里,API调用者的证书包括以下至少之一:API调用者的标识信息以及AIP调用者公钥。
这里,API调用者的标识信息包括但不限于以下之一:CAPIF分配的API调用者的标识信息、SUPI、GPSI、IMPI、SUCI以及UE的应用层ID。
在本公开的一些实施例中,API调用者可以为步骤S21中API调用者;CAPIF功能可以是步骤S21中CAPIF功能。
这里,API调用者证书包括但限于以下至少之一:API调用者的标识信息、API调用者公钥以及API调用者的标识信息。
这里,第一响应信息是CAPIF对API调用者身份认证成功后发送的。
在一个实施例中,第一响应信息可以是在线API调用者响应信息(Onboard API invoker response message)。
在本公开实施例中,API调用者的身份在被CAPIF功能认证成功后,CAPIF功能可以重新给API调用者分配API调用者的证书、AEF认证和授权信息以及API调用者的在线签约密钥。如此,有利于后续API调用者与CAPIF等功能之间的安全交互。
在一些实施例中,第一请求信息还包括:API调用者的令牌;第一响应信息是CAPIF基于令牌验证成功后发送的。
在本公开实施例中,在API调用者的身份认证成功后,CAPIF功能还可以基于API调用者的令牌进行进一步验证,在令牌验证成功后才生成API调用者配置信息;如此可以进一步对API身份进行认证,以提高后续在线交互的安全性等。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也 可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
以下一种API调用者认证方法,是由AAnF执行,与上述由API调用者执行的API调用者认证方法的描述是类似的;且对于由AAnF执行的API调用者认证方法实施例中未披露的技术细节,请参照由API调用者执行的API调用者认证方法示例的描述,在此不做详细描述说明。
如图7所示,本公开实施例提供一种API调用者认证方法,由AAnF执行,包括:
步骤S71:接收CAPIF功能发送的第二请求信息,其中,第二请求信息是CAPIF功能基于第一请求信息确定的,且第二请求信息包括:第一请求信息中包括的API调用者的AKMA密钥标识;
步骤S72:基于AKMA密钥标识,确定与AKMA密钥标识对应的AKMA锚点密钥,其中,AKMA锚点密钥用于供CAPIF功能认证API调用者的身份。
这里,第二请求信息可以是:应用密钥请求信息(Naanf_AKMA_ApplicationKey)。
在本公开的一些实施例中,API调用者可以是上述实施例中API调用者;CAPIF功能可以是上述实施例中CAPIF功能;AAnF可以为上述实施例中AAnF。
示例性的,API调用者可以是但不限于是UE。
示例性的,CAPIF功能可以是但不限于是:CAPIF核心功能(CCF)、API开放功能(AEF)以及授权功能(AF)。
这里,第二请求信息是CAPIF功能接收到第一请求信息后发送的。这里第一请求信息可以是上述实施例中第一请求信息。
这里,第二请求信息至少用于请求K
AF。
如此,在本公开实施例中,AAnF可以通过接收第二请求信息,其中,第二请求信息中包括AKMA密钥标识;并基于该AKMA密钥标识确定出AKMA锚点密钥。如此有利于AAnF基于该AKMA锚点密钥确定出第二K
AF,以供CAPIF功能对API调用者身份认证。
本公开实施例提供一种API调用者认证方法,由AAnF执行,包括:将AKMA锚点密钥发送给CAPIF功能。例如,API调用者发送向CAPIF功能发送第二响应信息,其中,第二响应信息包括AKMA锚点密钥。如此,该AKMA锚点密钥也可供CAPIF生成第二K
AF。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图8所示,本公开实施例提供一种API调用者认证方法,由AAnF执行,包括:
步骤S81:基于AKMA锚点密钥,确定第二K
AF;
步骤S82:向CAPIF发送第二响应信息,其中,第二响应信息包括第二K
AF。
在一些实施例中,第二响应信息还包括:与第二K
AF对应的有效时间,和/或API调用者的标识信息。
在本公开的一些实施例中,API调用者的标识信息可以为上述实施例中API调用者的标识信息。示例性的,API调用者的标识信息,包括以下之一:SUPI、GPSI、IMPI、SUCI以及UE的应用层 ID。
在一个实施例中,第二响应信息包括以下至少之一:
第二K
AF;
第二K
AF及第二K
AF的有效时间;
第二K
AF及API调用者的标识信息;
第二K
AF、第二K
AF的有效时间及API调用者的标识信息。
示例性的,AAnF向CAPIF发送第二响应信息,其中,第二响应信息包括第二K
AF。如此,可以使得CAPIF获得第二K
AF,以使得CAPIF能够基于该第二K
AF实现对API调用者身份的认证。
示例性的,AAnF向CAPIF发送第二响应信息,其中,第二响应信息包括第二K
AF和第二K
AF的有效时间。如此,可以使得CAPIF获得第二K
AF及第二K
AF的有效时间,以使得CAPIF能够基于该第二K
AF在有效时间内实现对API调用者身份的认证。
示例性的,AAnF向CAPIF发送第二响应信息,其中,第二响应信息包括第二K
AF和AP调用者的标识信息。如此,可以使得CAPIF知晓是对那个API调用者进行身份认证。
如此,在本公开实施例中,AAnF可以为CAPIF提供第二K
AF、第二K
AF以及API调用者的标识信息的其中至少之一,以有利于CAPIF实现对API调用者的身份认证。
在一些实施例中,第二请求信息包括:CAPIF功能的标识信息;
步骤S81,包括:基于AKMA锚点密钥及CAPIF功能的标识信息,确定第二K
AF。
本公开实施例提供一种API调用者认证方法,由AAnF执行,包括:基于AKMA锚点密钥及CAPIF功能的标识信息,确定第二K
AF。
在一些实施例中,CAPIF功能的标识信息包括:FQDN和/或安全协议标识符;
基于AKMA锚点密钥及CAPIF功能的标识信息,确定第二K
AF,包括以下之一:
基于AKMA锚点密钥及FQDN,确定第二K
AF;
基于AKMA锚点密钥、FQDN及安全协议标识符,确定第二K
AF。
在本公开的一些实施例中,FQDN及安全协议标识符可以为上述实施例中FQDN及安全协议标识符。
示例性的,FQDN可以是但不限于:CAPIF功能的主机名和域名的组合,或者带有CAPIF功能的主机名和域名的名称。
示例性的,安全协议标识符是API调用者与CAPIF功能协商确定。安全协议标识符可以是Ua*协议安全协议标识符。
在本公开实施例中,AAnF可采用与API调用者为相同的方式生成第二K
AF,可以确保生成K
AF的一致性。
在一些实施例中,方法包括:基于CAPIF功能的标识信息,确定AAnF是否能够为CAPIF功能提供服务;
步骤S72中基于AKMA密钥标识,确定AKMA密钥标识对应的AKMA锚点密钥,包括:若 确定AAnF能够为CAPIF功能提供服务,基于AKMA密钥标识,确定AKMA密钥标识对应的AKMA锚点密钥。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图9所示,本公开实施例提供一种API调用者认证方法,由AAnF执行,包括:
步骤S91:基于CAPIF功能的标识信息,确定AAnF是否能够为CAPIF功能提供服务;
步骤S92:若确定AAnF能够为CAPIF功能提供服务,基于AKMA密钥标识,确定AKMA密钥标识对应的AKMA锚点密钥。
这里,AAnF能够为CAPIF功能提供服务可以是:AAnF能够为CAPIF功能提供K
AF的服务等。
这里,步骤S91中CAPIF功能的标识信息可以是:CAPIF功能的FQDN。当然,在其它的实施例中,步骤S91中CAPIF功能的标识信息可以是其它任意一种唯一标识CAPIF功能的标识信息。
如此,在本公开实施例中,可以基于CAPIF功能的标识信息,确定AAnF是否能够为CAPIF功能提供的服务,若是,才基于AKMA密钥标识确定AKMA锚点密钥;如此,可以降低因AAnF无法为某个CAPIF功能提供服务时、而基于该CAPIF功能提供的AKMA密钥标识确定AKMA锚点密钥所消耗的功耗等。
本公开实施例提供一种API调用者认证方法,由AAnF执行,包括:若确定AAnF不能够为CAPIF功能提供服务,拒绝向CAPIF提供第二K
AF。这里,可以直接拒绝执行确定第二K
AF的操作和/或向CAPIF发送第二响应信息的操作等。
本公开实施例提供一种API调用者认证方法,由AAnF执行,包括:若AAnF存在与AKMA密钥标识对应的AKMA锚点密钥,基于AKMA密钥标识,确定AKMA密钥标识对应的AKMA锚点密钥。
这里,AAnF中存储映射信息,映射信息包括至少一个AKMA密钥标识与AKMA密钥标识对应的AKMA锚点密钥。如此,AAnF基于AKMA密钥标识及该映射信息,查询到与AKMA密钥标识对应的AKMA锚点密钥。
本公开实施例提供一种API调用者认证方法,由AAnF执行,包括:基于AAnF中不存在与AKMA密钥对应的AKMA锚点密钥,向CAPIF功能发送携带错误指示信息的第二响应信息。
这里,错误指示信息用于指示AAnF中不存在与AKMA密钥对应的AKMA锚点密钥。
在本公开实施例中,当AAnF中不存在与AKMA密钥对应的AKMA锚点密钥时,可以通过发送错误指示信息以告知CAPIF功能无法为CAPIF功能提供第二K
AF。
以上实施方式,具体可以参考API调用者侧的表述,在此不再赘述。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
以下一种API调用者认证方法,是由CAPIF功能执行,与上述由API调用者和/或AAnF执行 的API调用者认证方法的描述是类似的;且对于由CAPIF功能执行的API调用者认证方法实施例中未披露的技术细节,请参照由API调用者和/或AAnF执行的API调用者认证方法示例的描述,在此不做详细描述说明。
如图10所示,本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:
步骤S101:接收API调用者发送的第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于认证API调用者的身份。
在本公开的一些实施例中,API调用者可以是上述实施例中API调用者;CAPIF功能可以是上述实施例中CAPIF功能;AAnF可以为上述实施例中AAnF。
示例性的,API调用者可以是但不限于是UE。
示例性的,CAPIF功能可以是但不限于是:CAPIF核心功能(CCF)、API开放功能(AEF)以及授权功能(AF)。
在本公开的一些实施例中,第一请求信息及注册信息分别可以为上述实施例中第一请求信息及注册信息。
示例性的,第一请求信息可包括但不限于包括以下至少之一:API调用者的令牌、API调用者密钥对以及API调用者公钥。这里,API调用者密钥对包括API调用者私钥及公钥
示例性的,注册信息可以是在线注册信息(onboarding enrolment information)。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
在一些实施例中,认证信息包括:与AKMA锚点密钥对应的AKMA密钥标识;其中,AKMA密钥标识用于确定AKMA锚点密钥,AKMA锚点密钥用于认证API调用者的身份。
本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:
接收API调用者发送的第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息包括:与AKMA锚点密钥对应的AKMA密钥标识;其中,AKMA密钥标识用于确定AKMA锚点密钥,AKMA锚点密钥用于认证API调用者的身份。
这里,AKMA密钥标识用于供AAnF确定AKMA锚点密钥。AKMA锚点密钥用于供AAnF确定第二K
AF,或者AKMA锚点密钥用于供API调用者确定第一K
AF。
在一个实施例中,AKMA锚点密钥也可以用于CAPIF功能确定第二K
AF。
示例性的,CAPIF接收到AAnF发送的AKMA锚点密钥,并基于AKMA锚点密钥及CAPIF功能的标识信息,确定第二K
AF。
如图11所示,本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:
步骤S1101:向AAnF发送第二请求信息,其中,第二请求信息包括AKMA密钥标识;其中,AKMA密钥标识用于供AAnF确定AKMA锚点密钥,且AKMA锚点密钥用于供AAnF确定CAPIF功能的第二K
AF。
这里,第二请求信息可以是:应用密钥请求信息(Naanf_AKMA_ApplicationKey)。
本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:接收AAnF发送的第二响应信息,其中,第二响应信息包括以下至少之一:
第二K
AF;
API调用者的标识信息及第二K
AF;
第二K
AF及与第二K
AF对应的有效时间;
API调用者的标识信息、第二K
AF及与第二K
AF对应的有效时间。
在本公开的一些实施例中,API调用者的标识信息可以为上述实施例中API调用者的标识信息。示例性的,API调用者的标识信息,包括以下之一:SUPI;GPSI;以及IMPI。
本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:基于第二K
AF及API调用者的第一K
AF,认证API调用者身份。
示例性的,CAPIF功能接收API调用者发送的第二信息,该第二信息是API调用者基于第一K
AF的对第一信息加密后的信息;CAPIF功能利用第二K
AF对第二信息解密,若能够第一信息,则确定API调用者身份认证成功。
示例性的,CAPIF功能接收API调用者发送的第一K
AF;若确定第一K
AF与CAPIF功能的提供第二K
AF与第一K
AF匹配,则确定API调用者身份认证成功。
如此,在本公开实施例中,CAPIF可以基于应用功能密钥,实现对API调用者的身份的认证。
本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:基于AKMA密钥标识,确定与CAPIF功能对应AAnF。
这里,该AKMA的密钥标识可供CAPIF功能选择对应的AAnF。
在一些实施例中,第二请求信息包括:CAPIF功能的标识信息;其中,CAPIF功能的标识信息包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定;AKMA锚点密钥与CAPIF功能的标识信息用于供AAnF确定第二K
AF。
这里,AKMA锚点密钥与CAPIF功能的标识信息也可供API调用者确定第一K
AF。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
在一些实施例中,认证信息包括:第一证书;其中,第一证书,用于供CAPIF功能认证API调用者的身份。
本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:接收API调用者发送的第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息包括:第一证书,第一证书,用于供CAPIF功能认证API调用者的身份。
本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:基于第一证书以及CAPIF核心功能存储的与第一证书所对应的根证书,确定API调用者身份认证是否成功。
这里,若第一证书与CAPIF功能存储的根证书匹配,确定API调用者的身份认证成功。
这里,CAPIF功能存储至少一个API调用者对应的根证书。
如此,在本公开实施例中,CAPIF可基于证书,实现对API调用者的身份的认证。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:
基于API调用者身份认证成功,确定API调用者的在线签约密钥;
基于API调用者身份认证成功,确定API调用者的API调用者配置信息;其中,API调用者配置信息包括:开放功能AEF认证和授权信息;
基于API调用者身份认证成功,生成API调用者的证书;其中,API调用者的证书,包括:API调用者公钥以及API调用者的标识信息。
在一些实施例中,第一请求信息还包括:API调用者的令牌;
确定API调用者的API调用者配置信息,包括:基于API调用者身份验证成功,根据令牌确定API调用者配置信息。
本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:基于API调用者身份验证成功,根据API调用者的令牌确定API调用者配置信息。
本公开实施例提供一种API调用者认证方法,由CAPIF功能执行,包括:向API调用者发送第一响应信息,其中,第一响应信息包括以下至少之一:API调用者的在线签约信息、API调用者配置信息以及API调用者的证书。
以上实施方式,具体可以参考API调用者和/或CAPIF侧的表述,在此不再赘述。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
以下一种API调用者认证方法,是由通信设备执行,与上述由API调用者和/或AAnF和/或CAPIF功能执行的API调用者认证方法的描述是类似的;且对于由通信设备执行的API调用者认证方法实施例中未披露的技术细节,请参照由API调用者和/或AAnF和/或CAPIF功能执行的API调用者认证方法示例的描述,在此不做详细描述说明。
本公开实施例提供一种API调用者认证方法,由网络设备执行,网络设备包括:API调用者、AAnF和/或CAPIF功能;API调用者方法包括:
API调用者基于KAUSF,确定KAMA锚点密钥和与AKMA锚点密钥对应的AKMA密钥标识;基于AKMA锚点密钥,确定第一K
AF;并向CAPIF功能发送第一请求信息;其中,第一请求信息包括与AMKA锚点密钥对应的AMKA密钥标识;
CAPIF功能接收到第一请求信息后,向AAnF发送第二请求信息,其中,第二请求信息包括与AMKA锚点密钥对应的AMKA密钥标识;
AAnF基于AMKA密钥标识,确定与AKMA密钥标识对应的AKMA锚点密钥;并基于AKMA锚点密钥确定第二K
AF,并向CAPIF哦功能发送包括第二K
AF的第二响应信息;
CAPIF功能基于第二K
AF与API调用者提供的第一K
AF,认证API调用者的身份。
本公开实施例提供一种API调用者认证方法,由网络设备执行,网络设备包括:API调用者和/或CAPIF功能;API调用者方法包括:
API调用者向CAPIF功能发送第一请求信息,其中,第一请求信息包括第一证书;
CAPIF功能基于第一证书与CAPIF功能中存储的与第一证书对应的根证书,认证API调用者的身份。
以上实施方式,具体可以参考API调用者和/或AAnF和/或CAPIF功能侧的表述,在此不再赘述。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
为了进一步解释本公开任意实施例,以下提供几个具体实施例。
该几个具体实施例可适应于以下的应用场景中;在该应用场景中,假设UE充当API调用者,且假设UE与CAPIF功能(例如CCF或者AEF等)均支持AKMA协议。
API调用者和CAPIF功能应遵循本子条款中的程序,以保护和验证API调用者对CAPIF功能的登录;API调用者和CAPIF功能应使用TLS建立安全会话。TLS实施和使用的安全概况应遵循协议中TS 33.310中的规定。
随着TLS安全会话的建立,API调用者向CAPIF功能发送在线API调用者请求信息。在线API调用者请求信息携带在线凭证(例如OAuth 2.0令牌),该在线凭证是从API提供者域中获取。当基于OAuth 2.0令牌的机制被用作在线凭证时,OAuth 2.0令牌令牌应按照协议中IETF RFC 7519中的规定编码为JSON web令牌,应包括IETF RFC 7515[中规定的JSON web签名,并应按照OAuth 2.0、IETF RFC 7519和IETF RFC 7515进行验证。当然,也可以使用其他在线凭证(例如消息摘要等)。
示例一
如图12所示,本公开实施例提供一种API调用者认证方法,由网络设备执行,网络设备包括:API调用者、API提供者域、AAnF和/或CAPIF功能;API调用者认证方法,包括以下步骤:
这里,该CAPIF功能可以为CAPIF核心功能(CCF)。
步骤S1201:API调用者从API提供者域中获取注册信息;注册信息包括以下至少之一:CAPIF功能的地址、CAPIF功能的FQDN以及CAPIF功能的根CA证书;
这里,注册信息可以是在线注册信息(onboarding enrolment information)。在线注册信息用于API调用者在在线流程中验证和建立于CAPIF功能的TLS会话。
在一个可选实施例中,作为在线流程的先决条件,需要API调用者从API提供者域中获取在线注册信息。其中,在线注册信息包括CAPIF功能的地址、CAPIF功能的FQDN以及CAPIF功能的根CA证书(OAuth 2.0令牌)。
在一个可选实施例中,API调用者基于K
AUSF,生成AKMA锚点密钥和与AKMA锚点密钥对应 的AKMA密钥标识(A-KID)。该实施例中操作可在API调用者向CAPIF发送第一请求信息之前执行。
在一个可选实施例中,API调用者基于AKMA锚点密钥生成第一K
AF。该实施例中操作可在API调用者向CAPIF发送第一请求之前或者之后执行。
步骤S1202:API调用者基于注册信息,与CAPIF功能建立TLS连接;
在一个可选实施例中,API调用者基于注册信息,与CAPIF功能建立TLS连接的安全会话(TLS会话);该TLS连接是通过服务端证书认证后建立。
步骤S1203:API调用者向CAPIF功能发送第一请求信息,第一请求信息至少携带与AKMA锚点密钥对应的AKMA密钥标识;
这里,第一请求信息可以是在线API请求信息(Onboard API invoker request message)
在一个可选实施例中,成功建立TLS会话后,API调用者向CAPIF功能发送在线API请求信息;其中,在线API请求信息至少包括AKMA密钥标识(A-KID);在线API请求信息还可包括以下至少之一:OAuth 2.0令牌、API调用者密钥对、以及API调用者公钥。API调用者密钥对包括API调用者私钥及API调用者公钥。
步骤S1204:CAPIF功能向AAnF发送第二请求信息,其中,第二请求信息包括:AKMA密钥标识;
这里,第二请求信息可以是应用密钥请求信息(Naanf_AKMA_ApplicationKey)。
这里,第二请求信息可包括CAPIF功能的标识信息。
在一个可选实施例中,CAPIF功能确定不存在AKMA密钥标识的上下时,根据CAPIF功能的标识信息选择AAnF;并向AAnF发送用密钥请求信息,应用密钥请求信息包括AKMA密钥标识,且应用密钥请求信息用于请求AKMA锚点密钥。
步骤S1205:AAnF基于AKAM密钥标识确定第二K
AF;
在一个可选实施例中,AAnF基于CAPIF功能的标识信息,AAnF是否能够为CAPIF功能提供服务;若是,则执行获取AKMA锚点密钥的操作;若否,则拒绝为CAPIF功能提供第二K
AF。
在一个可选实施例中,AAnF基于AKAM密钥标识,识别的UE特定的AKMA锚点密钥的存在,验证UE是否被授权使用AKMA锚点密钥。
在一个可选实施例中,AAnF若确定存在与AKMA密钥标识对应的AKMA锚点密钥,基于AKMA密钥标识,确定AKMA密钥标识对应的AKMA锚点密钥;或者若确定不存在与AKMA密钥标识对应的AKMA锚点密钥,则向CAPIF发送错误指示信息。
在一个可选实施例中,AAnF若没有与AKMA锚点密钥对应的K
AF,基于AKMA锚点密钥,生成第二K
AF。
步骤S1206:AAnF向CAPIF功能发送第二响应信息,其中,第二响应信息包括第二K
AF;
在一个可选实施例中,第二响应信息还包括以下至少之一:第二K
AF的有效时间及API调用者的标识信息。
步骤S1207:CAPIF功能基于第二K
AF与API调用者提供的第一K
AF认证API调用者的身份;
在一个可选实施例中,CAPIF功能基于3GPP TS 33.535中描述的K
AF认证UE的方式认证API调用者的身份。
步骤S1208:CAPIF功能确定为API调用者授权;
在一个可选实施例中,当API调用者的身份认证通过后,CAPIF功能基于凭证信息(OAuth 2.0令牌)进行验证;若基于该OAuth 2.0令牌验证成功,则CAPIF功能确定API调用者的API调用者配置信息。这里,CAPIF功能可生成协议TS 23.222中指定的API调用者配置信息。其中,API调用者配置信息包括AEF认证和授权信息;API调用者的证书包括以下至少之一:API调用者的标识信息、以及API调用者公钥。API调用者的标识信息包括以下至少之一:CAPIF功能分配的API调用者的标识信息、SUPI、GPSI、IMPI、SUCI以及UE的应用层ID。如此,API调用者可使用该API调用者的证书,通过CAPIF核心执行后续认证流程,并可通过AEF建立安全连接和认证。
在一个可选实施例中,若签约的API服务使用方法3(如6.5.2.3条款中规定的)用于CAPIF-2e安全性,则CAPIF功能可选择性的生成API调用者的在线签约密钥。这里,在在线(onboarding)流程的生命周期内,API调用者在线签约密钥值可保持不变,且应建立API调用者在线签约密钥与API调用者的标识信息的对应关系。
步骤S1209:CAPIF功能向API调用者发送第一响应信息;第一响应信息包括以下至少之一:API调用者配置信息、API调用者的证书以及API调用者的在线签约密钥。
这里,第一响应信息可以是在线API调用者响应信息(Onboard API invoker response message)。
示例二
如图13所示,本公开实施例提供一种API调用者认证方法,由网络设备执行,网络设备包括:API调用者、API提供者域和/或CAPIF功能;API调用者认证方法,包括以下步骤:
这里,该CAPIF功能可以为CAPIF核心功能(CCF)。
步骤S1301:API调用者从API提供者域中获取注册信息;注册信息包括以下至少之一:CAPIF功能的地址、CAPIF功能的FQDN以及CAPIF功能的根CA证书;
这里,注册信息可以是在线注册信息(onboarding enrolment information)。在线注册信息用于API调用者在在线流程中验证和建立于CAPIF功能的TLS会话。
在一个可选实施例中,作为在线流程的先决条件,需要API调用者从API提供者域中获取在线注册信息。其中,在线注册信息包括CAPIF功能的地址、CAPIF功能的FQDN以及CAPIF功能的根CA证书(OAuth 2.0令牌)。
步骤S1302:API调用者基于注册信息,与CAPIF功能建立TLS连接;
在一个可选实施例中,API调用者基于注册信息,与CAPIF功能建立TLS连接的安全会话(TLS会话);该TLS连接是通过服务端证书认证后建立。
步骤S1303:API调用者向CAPIF功能发送第一请求信息,第一请求信息至少携带API调用者的第一证书;
这里,第一请求信息可以是在线API请求信息(Onboard API invoker request message)
在一个可选实施例中,成功建立TLS会话后,API调用者向CAPIF功能发送在线API请求信息;其中,在线API请求信息至少包括API调用者的第一证书;在线API请求信息还可包括以下至少之一:OAuth 2.0令牌、API调用者密钥对、以及API调用者公钥。API调用者密钥对包括API调用者私钥及API调用者公钥。
步骤S1304:CAPIF功能基于第一证书认证API调用者的身份;
在一个可选实施例中,CAPIF功能基于第一证书以及CAPIF功能存储的与第一证书所对应的根证书,确定API调用者身份认证是否成功。
步骤S1305:CAPIF功能确定为API调用者授权;
在一个可选实施例中,当API调用者的身份认证通过后,CAPIF功能基于凭证信息(OAuth 2.0令牌)进行验证;若基于该OAuth 2.0令牌验证成功,则CAPIF功能确定API调用者的API调用者配置信息。这里,CAPIF功能可生成协议TS 23.222中指定的API调用者配置信息。其中,API调用者配置信息包括:AEF认证和授权信息;API调用者的证书包括以下至少之一:API调用者公钥以及API调用者的标识信息。API调用者的标识信息包括以下至少之一:CAPIF功能分配的API调用者的标识信息、SUPI、GPSI、IMPI、SUCI以及UE的应用层ID。如此,API调用者可使用该API调用者的证书,通过CAPIF核心执行后续认证流程,并可通过AEF建立安全连接和认证。
在一个可选实施例中,若签约的API服务使用方法3(如6.5.2.3条款中规定的)用于CAPIF-2e安全性,则CAPIF功能可选择性的生成API调用者的在线签约密钥。这里,在在线(onboarding)流程的生命周期内,API调用者在线签约密钥值可保持不变,且应建立API调用者在线签约密钥与API调用者的标识信息的对应关系。
步骤S1306:CAPIF功能向API调用者发送第一响应信息;第一响应信息包括:API调用者配置信息API调用者的证书以及API调用者的在线签约密钥。
这里,第一响应信息可以是在线API调用者响应信息(Onboard API invoker response message)。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图14所示,本公开实施例提供一种API调用者认证装置,包括:
发送模块51,被配置为向CAPIF功能发送第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于供CAPIF功能认证API调用者的身份。
本公开实施例提供的API调用者认证装置,可应用于API调用者。
本公开实施例提供一种API调用者认证装置,包括:接收模块,被配置为从API提供者域或者API调用者的预配置信息中获取注册信息,其中,注册信息,包括以下至少之一:
CAPIF功能的地址;
CAPIF功能的FQDN;
CAPIF功能的根CA证书。
本公开实施例提供一种API调用者认证装置,包括:处理模块,被配置为基于注册信息,与CAPIF功能建立TLS连接;
发送模块51,被配置为基于TLS连接,向CAPIF功能发送第一请求信息。
在一些实施例中,认证信息包括:与AKMA锚点密钥对应的AKMA密钥标识;其中,AKMA密钥标识用于确定AKMA锚点密钥,AKMA锚点密钥用于供CAPIF功能认证API调用者的身份。
本公开实施例提供一种API调用者认证装置,包括:
处理模块,被配置为基于K
AUSF,确定AKMA锚点密钥和与AKMA锚点密钥对应的AKMA密钥标识;
处理模块,还被配置为基于AKMA锚点密钥,确定第一K
AF。
本公开实施例提供一种API调用者认证装置,包括:处理模块,被配置为基于AKMA锚点密钥及CAPIF功能的标识信息,确定第一K
AF;其中,CAPIF功能的标识信息,包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定。
本公开实施例提供一种API调用者认证装置,包括:处理模块,被配置为基于第一K
AF与CAPIF功能的第二K
AF,确定API调用者身份认证是否成功。
在一些实施例中,认证信息包括:第一证书;其中,第一证书,用于供CAPIF功能认证API调用者的身份。
本公开实施例提供一种API调用者认证装置,包括:接收模块,被配置为接收CAPIF功能发送的第一响应信息;其中,第一响应信息包括:
API调用者配置信息;其中,API调用者配置信息包括:开放功能AEF认证和授权信息;
API调用者的证书;其中,API调用者的证书,包括:API调用者的标识信息以及AIP调用者公钥;
API调用者的在线签约密钥。
在一些实施例中,API调用者的标识信息包括以下之一:CAPIF功能分配的API调用者的标识信息、SUPI、GPSI、IMPI、SUCI以及UE的应用层ID。
在一些实施例中,第一请求信息还包括:API调用者的令牌;第一响应信息是CAPIF基于令牌验证成功后发送的。
在一些实施例中,API调用者,包括:UE。
在一些实施例中,CAPIF功能包括以下之一:CCF;AEF;以及AF。
如图15所示,本公开实施例提供一种API调用者认证装置,包括:
接收模块61,被配置为接收CAPIF功能发送的第二请求信息,其中,第二请求信息是CAPIF功能基于第一请求信息确定的,且第二请求信息包括:第一请求信息中包括的API调用者的AKMA密钥标识;
处理模块62,被配置为基于AKMA密钥标识,确定与AKMA密钥标识对应的AKMA锚点密 钥,其中,AKMA锚点密钥用于供CAPIF功能认证API调用者的身份。
本公开实施例提供的API调用者认证装置,可应用于AAnF中。
本公开实施例提供一种API调用者认证装置,包括:
处理模块62,被配置为基于AKMA锚点密钥,确定第二K
AF;
发送模块,被配置为向CAPIF发送第二响应信息,其中,第二响应信息包括第二K
AF。
在一些实施例中,第二响应信息还包括:与第二K
AF对应的有效时间,和/或API调用者的标识信息。
在一些实施例中,API调用者的标识信息,包括以下之一:SUPI、GPSI、IMPI、SUCI以及UE的应用层ID。
在一些实施例中,第二请求信息包括:CAPIF功能的标识信息,CAPIF功能的标识信息包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定。
本公开实施例提供一种API调用者认证装置,包括:处理模块62,被配置为基于AKMA锚点密钥及CAPIF功能的标识信息,确定第二K
AF。
在一些实施例中,CAPIF功能的标识信息包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定;
处理模块,被配置为AKMA锚点密钥及FQDN,确定第二应用功能密钥K
AF;
或者,处理模块,被配置为AKMA锚点密钥、FQDN及安全协议标识符,确定第二应用功能密钥K
AF。
本公开实施例提供一种API调用者认证装置,包括:处理模块62,被配置为基于CAPIF功能的标识信息,确定AAnF是否能够为CAPIF功能提供服务;
处理模块62,还被配置为若确定AAnF能够为CAPIF功能提供服务,基于AKMA密钥标识,确定AKMA密钥标识对应的AKMA锚点密钥。
本公开实施例提供一种API调用者认证装置,包括:处理模块62,被配置为若确定AAnF不能够为CAPIF功能提供服务,拒绝向CAPIF提供第二K
AF。
本公开实施例提供一种API调用者认证装置,包括:发送模块,被配置为基于AAnF中不存在与AKMA密钥对应的AKMA锚点密钥,向CAPIF功能发送携带错误指示信息的第二响应信息。
在一些实施例中,API调用者,包括:UE。
在一些实施例中,CAPIF功能包括以下之一:CCF;AEF以及AF。
如图16所示,本公开实施例提供一种API调用者认证装置,包括:
接收模块71,被配置为接收API调用者发送的第一请求信息,其中,第一请求信息包括API调用者的认证信息;认证信息用于认证API调用者的身份。
本公开实施例提供的API调用者认证装置,可应用于CAPIF功能中。
在一些实施例中,认证信息包括:与AKMA锚点密钥对应的AKMA密钥标识;其中,AKMA密钥标识用于确定AKMA锚点密钥,AKMA锚点密钥用于认证API调用者的身份。
本公开实施例提供一种API调用者认证装置,包括:发送模块,被配置为向AKMA锚点功能AAnF发送第二请求信息,其中,第二请求信息包括AKMA密钥标识;其中,AKMA密钥标识用于供AAnF确定AKMA锚点密钥,且AKMA锚点密钥用于供AAnF确定CAPIF功能的第二K
AF。
本公开实施例提供一种API调用者认证装置,包括:处理模块,被配置为基于第二K
AF及API调用者的第一K
AF,认证API调用者身份。
本公开实施例提供一种API调用者认证装置,包括:处理模块,被配置为基于AKMA密钥标识,确定与CAPIF功能对应AAnF。
本公开实施例提供一种API调用者认证装置,包括:接收模块71,被配置为接收AAnF发送的第二响应信息,其中,第二响应信息包括以下至少之一:
第二K
AF;
API调用者的标识信息及第二K
AF;
第二K
AF及与第二K
AF对应的有效时间;
API调用者的标识信息、第二K
AF及与第二K
AF对应的有效时间。
在一些实施例中,API调用者的标识信息,包括以下之一:SUPI、GPSI、IMPI、SUCI以及UE的应用层ID。
在一些实施例中,第二请求信息包括:CAPIF功能的标识信息;其中,CAPIF功能的标识信息包括:FQDN和/或安全协议标识符;安全协议标识符是API调用者与CAPIF功能协商确定;AKMA锚点密钥与CAPIF功能的标识信息用于供AAnF确定第二K
AF。
在一些实施例中,认证信息包括:第一证书;其中,第一证书,用于供CAPIF功能认证API调用者的身份。
本公开实施例提供一种API调用者认证装置,包括:处理模块,被配置为基于第一证书以及CAPIF核心功能存储的与第一证书所对应的根证书,确定API调用者身份认证是否成功。
本公开实施例提供一种API调用者认证装置,包括:处理模块,被配置为以下至少之一:
基于API调用者身份认证成功,确定API调用者的在线签约密钥;
基于API调用者身份认证成功,确定API调用者的API调用者配置信息;其中,API调用者配置信息包括:开放功能AEF认证和授权信息;
基于API调用者身份认证成功,生成API调用者的证书;其中,API调用者的证书,包括:API调用者公钥以及API调用者的标识信息。
在一些实施例中,第一请求信息还包括:API调用者的令牌。
本公开实施例提供一种API调用者认证装置,包括:处理模块,被配置为确定API调用者的API调用者配置信息,包括:基于API调用者身份验证成功,根据令牌确定API调用者配置信息。
本公开实施例提供一种API调用者认证装置,包括:发送模块,被配置为向API调用者发送第一响应信息,其中,第一响应信息包括以下至少之一:API调用者的在线签约信息、API调用者配置信息以及API调用者的证书。
在一些实施例中,API调用者,包括:UE。
在一些实施例中,CAPIF功能包括以下之一:CCF;AEF;以及AF。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的装置,可以被单独执行,也可以与本公开实施例中一些装置或相关技术中的一些装置一起被执行。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本公开实施例提供一种通信设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,处理器被配置为:用于运行可执行指令时,实现本公开任意实施例的波束上报增强方法。
在一个实施例中,通信设备可以包括但不限于至少之一:API调用者、AAnF及CAPIF功能。这里,API调用者可以为UE;CAPIF功能可以为CCF、AEF或者AF。
其中,处理器可包括各种类型的存储介质,该存储介质为非临时性计算机存储介质,在用户设备掉电之后能够继续记忆存储其上的信息。
处理器可以通过总线等与存储器连接,用于读取存储器上存储的可执行程序,例如,如图2至图13所示的方法的至少其中之一。
本公开实施例还提供一种计算机存储介质,计算机存储介质存储有计算机可执行程序,可执行程序被处理器执行时实现本公开任意实施例的波束上报增强方法。例如,如图2至图13所示的方法的至少其中之一。
关于上述实施例中的装置或者存储介质,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图17是根据一示例性实施例示出的一种用户设备800的框图。例如,用户设备800可以是移动电话,计算机,数字广播用户设备,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图17,用户设备800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制用户设备800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在用户设备800的操作。这些数据的示例包括用于在用户设备800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为用户设备800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为用户设备800生成、管理和分配电力相关联的组件。
多媒体组件808包括在所述用户设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当用户设备800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当用户设备800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为用户设备800提供各个方面的状态评估。例如,传感器组件814可以检测到设备800的打开/关闭状态,组件的相对定位,例如所述组件为用户设备800的显示器和小键盘,传感器组件814还可以检测用户设备800或用户设备800一个组件的位置改变,用户与用户设备800接触的存在或不存在,用户设备800方位或加速/减速和用户设备800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于用户设备800和其他设备之间有线或无线方式的通信。用户设备800可以接入基于通信标准的无线网络,如WiFi,4G或5G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块 可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,用户设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器804,上述指令可由用户设备800的处理器820执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
如图18所示,本公开一实施例示出一种基站的结构。例如,基站900可以被提供为一网络侧设备。参照图18,基站900包括处理组件922,其进一步包括一个或多个处理器,以及由存储器932所代表的存储器资源,用于存储可由处理组件922的执行的指令,例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件922被配置为执行指令,以执行上述方法前述应用在所述基站的任意方法。
基站900还可以包括一个电源组件926被配置为执行基站900的电源管理,一个有线或无线网络接口950被配置为将基站900连接到网络,和一个输入输出(I/O)接口958。基站900可以操作基于存储在存储器932的操作系统,例如Windows Server TM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (44)
- 一种应用程序接口API调用者认证方法,其中,由应用程序接口API调用者执行,包括:向通用应用程序接口框架CAPIF功能发送第一请求信息,其中,所述第一请求信息包括API调用者的认证信息;所述认证信息用于供CAPIF功能认证所述API调用者的身份。
- 根据权利要求1所述的方法,其中,所述方法包括:从API提供者域或所述API调用者的预配置信息中获取注册信息,其中,所述注册信息,包括以下至少之一:所述CAPIF功能的地址;所述CAPIF功能的全限定域名FQDN;所述CAPIF功能的根CA证书。
- 根据权利要求2所述的方法,其中,所述方法包括:基于所述注册信息,与所述CAPIF功能建立传输层安全TLS连接;所述向通用应用程序接口框架CAPIF功能发送第一请求信息,包括:基于所述TLS连接,向所述CAPIF功能发送所述第一请求信息。
- 根据权利要求1至3任一项所述的方法,其中,认证信息包括:与面向应用的认证与密钥管理AKMA锚点密钥对应的AKMA密钥标识;其中,所述AKMA密钥标识用于确定所述AKMA锚点密钥,所述AKMA锚点密钥用于供所述CAPIF功能认证所述API调用者的身份。
- 根据权利要求4所述的方法,其中,所述方法包括:基于鉴权服务功能密钥K AUSF,确定AKMA锚点密钥和与所述AKMA锚点密钥对应的所述AKMA密钥标识;基于所述AKMA锚点密钥,确定第一应用功能密钥K AF。
- 根据权利要求5所述的方法,其中,所述基于所述AKMA锚点密钥,确定第一应用功能密钥K AF,包括以下之一:基于所述AKMA锚点密钥及CAPIF功能的标识信息,确定所述第一K AF;其中,所述CAPIF功能的标识信息,包括:FQDN和/或安全协议标识符;所述安全协议标识符是所述API调用者与所述CAPIF功能协商确定。
- 根据权利要求5所述的方法,其中,所述方法包括:基于所述第一K AF与所述CAPIF功能的第二K AF,确定所述API调用者身份认证是否成功。
- 根据权利要求1至3任一项所述的方法,其中,所述认证信息包括:第一证书;其中,所述第一证书,用于供所述CAPIF功能认证所述API调用者的身份。
- 根据权利要求1至3任一项所述的方法,其中,所述方法包括:接收所述CAPIF功能发送的第一响应信息,其中,所述第一响应信息包括:API调用者配置信息;其中,所述API调用者配置信息包括:开放功能AEF认证和授权信息;API调用者的证书;其中,所述API调用者的证书,包括以下至少之一:API调用者的标识信息以及AIP调用者公钥;所述API调用者的在线签约密钥。
- 根据权利要求9所述的方法,其中,所述API调用者的标识信息包括以下之一:CAPIF功能分配的API调用者的标识信息;用户永久标识符SUPI;公共订阅标识符GPSI;IMS用户私有标识IMPI;订阅用户隐藏标识符SUCI;UE的应用层ID
- 根据权利要求9所述的方法,其中,所述第一请求信息还包括:所述API调用者的令牌;所述第一响应信息是所述CAPIF基于所述令牌验证成功后发送的。
- 根据权利要求1所述的方法,其中,所述API调用者,包括:UE。
- 根据权利要求1所述的方法,其中,所述CAPIF功能包括以下之一:CAPIF核心功能CCF;API开放功能AEF;授权功能AF。
- 一种API调用者认证方法,其中,由AKMA锚点功能AAnF执行,包括:接收通用应用程序接口框架CAPIF功能发送的第二请求信息,其中,所述第二请求信息是所述CAPIF功能基于第一请求信息确定的,且所述第二请求信息包括:所述第一请求信息中包括的应用程序接口API调用者的AKMA密钥标识;基于所述AKMA密钥标识,确定与所述AKMA密钥标识对应的AKMA锚点密钥,其中,所述AKMA锚点密钥用于供CAPIF功能认证所述API调用者的身份。
- 根据权利要求14所述的方法,其中,所述方法包括:基于所述AKMA锚点密钥,确定第二应用功能密钥K AF;向所述CAPIF发送第二响应信息,其中,所述第二响应信息包括所述第二K AF。
- 根据权利要求15所述的方法,其中,所述第二响应信息还包括:与所述第二K AF对应的有效时间,和/或所述API调用者的标识信息。
- 根据权利要求16所述的方法,其中,所述API调用者的标识信息,包括以下之一:用户永久标识符SUPI;公共订阅标识符GPSI;IMS用户私有标识IMPI;订阅用户隐藏标识符SUCI;UE的应用层ID。
- 根据权利要求15所述的方法,其中,所述第二请求信息包括:所述CAPIF功能的标识信息;所述基于所述AKMA锚点密钥,确定第二应用功能密钥K AF,包括:基于所述AKMA锚点密钥及所述CAPIF功能的标识信息,确定所述第二应用功能密钥K AF。
- 根据权利要求18所述的方法,其中,所述CAPIF功能的标识信息包括:全限定域名FQDN和/或安全协议标识符;所述安全协议标识符是所述API调用者与所述CAPIF功能协商确定;所述基于AKMA锚点密钥及所述CAPIF功能的标识信息,确定所述第二应用功能密钥K AF,包括以下之一:AKMA锚点密钥及所述FQDN,确定所述第二应用功能密钥K AF;AKMA锚点密钥、所述FQDN及安全协议标识符,确定所述第二应用功能密钥K AF。
- 根据权利要求14所述的方法,其中,所述方法包括:基于所述CAPIF功能的标识信息,确定AAnF是否能够为所述CAPIF功能提供服务;所述基于所述AKMA密钥标识,确定所述AKMA密钥标识对应的AKMA锚点密钥,包括:若确定所述AAnF能够为所述CAPIF功能提供服务,基于所述AKMA密钥标识,确定所述AKMA密钥标识对应的AKMA锚点密钥。
- 根据权利要求20所述的方法,其中,所述方法包括:若确定所述AAnF不能够为所述CAPIF功能提供服务,拒绝向所述CAPIF提供所述第二K AF。
- 根据权利要求20所述的方法,其中,所述方法包括:基于所述AAnF中不存在与所述AKMA密钥对应的AKMA锚点密钥,向所述CAPIF功能发送携带错误指示信息的所述第二响应信息。
- 根据权利要求14所述的方法,其中,所述API调用者,包括:UE。
- 根据权利要求14所述的方法,其中,所述CAPIF功能包括以下之一:CAPIF核心功能CCF;API开放功能AEF;授权功能AF。
- 一种API调用者认证方法,其中,由通用应用程序接口框架CAPIF功能执行,包括:接收应用程序接口API调用者发送的第一请求信息,其中,所述第一请求信息包括API调用者的认证信息;所述认证信息用于认证所述API调用者的身份。
- 根据权利要求25所述的方法,其中,所述认证信息包括:与所述面向应用的认证与密钥管理AKMA锚点密钥对应的AKMA密钥标识;其中,所述AKMA密钥标识用于确定所述AKMA锚点密钥,所述AKMA锚点密钥用于认证所述API调用者的身份。
- 根据权利要求26所述的方法,其中,所述方法包括:向AKMA锚点功能AAnF发送第二请求信息,其中,所述第二请求信息包括所述AKMA密钥 标识;其中,所述AKMA密钥标识用于供所述AAnF确定所述AKMA锚点密钥,且所述AKMA锚点密钥用于供所述AAnF确定所述CAPIF功能的第二K AF。
- 根据权利要求27所述的方法,其中,所述方法包括:基于所述第二K AF及所述API调用者的第一K AF,认证所述API调用者身份。
- 根据权利要求27所述的方法,其中,所述方法包括:基于所述AKMA密钥标识,确定与所述CAPIF功能对应所述AAnF。
- 根据权利要求27所述的方法,其中,所述方法包括:接收所述AAnF发送的第二响应信息,其中,所述第二响应信息包括以下至少之一:所述第二K AF;所述API调用者的标识信息及所述第二K AF;所述第二K AF及与所述第二K AF对应的有效时间;所述API调用者的标识信息、所述第二K AF及与所述第二K AF对应的有效时间。
- 根据权利要求30所述的方法,其中,所述API调用者的标识信息,包括以下之一:用户永久标识符SUPI;公共订阅标识符GPSI;IMS用户私有标识IMPI;订阅用户隐藏标识符SUCI;UE的应用层ID。
- 根据权利要求27所述的方法,其中,所述第二请求信息包括:所述CAPIF功能的标识信息;其中,所述CAPIF功能的标识信息包括:FQDN和/或安全协议标识符;所述安全协议标识符是所述API调用者与所述CAPIF功能协商确定;所述AKMA锚点密钥与所述CAPIF功能的标识信息用于供所述AAnF确定所述第二K AF。
- 根据权利要求25所述的方法,其中,所述认证信息包括:第一证书;其中,所述第一证书,用于供所述CAPIF功能认证所述API调用者的身份。
- 根据权利要求33所述的方法,其中,所述方法包括:基于所述第一证书以及所述CAPIF功能存储的与第一证书所对应的根证书,确定所述API调用者身份认证是否成功。
- 根据权利要求28或34所述的方法,其中,所述方法包括以下至少之一:基于所述API调用者身份认证成功,确定所述API调用者的在线签约密钥;基于所述API调用者身份认证成功,确定所述API调用者的API调用者配置信息;其中,所述API调用者配置信息包括:开放功能AEF认证和授权信息;基于所述API调用者身份认证成功,生成API调用者的证书;其中,所述API调用者的证书,包括:API调用者公钥以及API调用者的标识信息。
- 根据权利要求35所述的方法,其中,所述第一请求信息还包括:所述API调用者的令牌;所述确定所述API调用者的API调用者配置信息,包括:基于所述API调用者身份验证成功,根据令牌确定所述API调用者配置信息。
- 根据权利要求36所述的方法,其中,所述方法包括:向所述API调用者发送第一响应信息,其中,所述第一响应信息包括以下至少之一:所述API调用者的在线签约信息、所述API调用者配置信息以及所述API调用者的证书。
- 根据权利要求25所述的方法,其中,所述API调用者,包括:UE。
- 根据权利要求25所述的方法,其中,所述CAPIF功能包括以下之一:CAPIF核心功能CCF;API开放功能AEF;授权功能AF。
- 一种API调用者认证装置,其中,包括:发送模块,被配置为向通用应用程序接口框架CAPIF功能发送第一请求信息,其中,所述第一请求信息包括应用程序接口API调用者的认证信息;所述认证信息用于供CAPIF功能认证所述API调用者的身份
- 一种API调用者认证装置,其中,包括:接收模块,被配置为接收通用应用程序接口框架CAPIF功能发送的第二请求信息,其中,所述第二请求信息是所述CAPIF功能基于第一请求信息确定的,且所述第二请求信息包括:所述第一请求信息中包括的应用程序接口API调用者的AKMA密钥标识;处理模块,被配置为基于所述AKMA密钥标识,确定与所述AKMA密钥标识对应的AKMA锚点密钥,其中,所述AKMA锚点密钥用于供CAPIF功能认证所述API调用者的身份。
- 一种API调用者认证装置,其中,包括:接收模块,被配置为接收应用程序接口API调用者发送的第一请求信息,其中,所述第一请求信息包括API调用者的认证信息;所述认证信息用于认证所述API调用者的身份。
- 一种通信设备,其中,所述通信设备,包括:处理器;用于存储所述处理器可执行指令的存储器;其中,所述处理器被配置为:用于运行所述可执行指令时,实现权利要求1至13、或者权利要求14至24、或者权利要求25至39任一项所述的API调用者认证方法。
- 一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行程序,所述可执行程序被处理器执行时实现权利要求1至14、或者权利要求15至24、或者权利要求25至39任一项所述的API调用者认证方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202280002857.XA CN117795905A (zh) | 2022-07-29 | 2022-07-29 | Api调用者认证方法以及装置、通信设备及存储介质 |
| PCT/CN2022/109268 WO2024021137A1 (zh) | 2022-07-29 | 2022-07-29 | Api调用者认证方法以及装置、通信设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2022/109268 WO2024021137A1 (zh) | 2022-07-29 | 2022-07-29 | Api调用者认证方法以及装置、通信设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2024021137A1 true WO2024021137A1 (zh) | 2024-02-01 |
Family
ID=89705141
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2022/109268 WO2024021137A1 (zh) | 2022-07-29 | 2022-07-29 | Api调用者认证方法以及装置、通信设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117795905A (zh) |
| WO (1) | WO2024021137A1 (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110362412A (zh) * | 2018-04-09 | 2019-10-22 | 华为技术有限公司 | 一种服务api调用方法和相关装置 |
| CN111373712A (zh) * | 2017-11-16 | 2020-07-03 | 三星电子株式会社 | 用于认证应用程序接口(api)调用者的方法和系统 |
| WO2020249861A1 (en) * | 2019-06-08 | 2020-12-17 | Nokia Technologies Oy | Communication security between user equipment and third-party application using communication network-based key |
| CN112438041A (zh) * | 2018-04-06 | 2021-03-02 | 三星电子株式会社 | 用于执行接入的方法与装置 |
| CN114079921A (zh) * | 2020-08-04 | 2022-02-22 | 中国电信股份有限公司 | 会话密钥的生成方法、锚点功能网元以及系统 |
-
2022
- 2022-07-29 CN CN202280002857.XA patent/CN117795905A/zh active Pending
- 2022-07-29 WO PCT/CN2022/109268 patent/WO2024021137A1/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111373712A (zh) * | 2017-11-16 | 2020-07-03 | 三星电子株式会社 | 用于认证应用程序接口(api)调用者的方法和系统 |
| CN112438041A (zh) * | 2018-04-06 | 2021-03-02 | 三星电子株式会社 | 用于执行接入的方法与装置 |
| CN110362412A (zh) * | 2018-04-09 | 2019-10-22 | 华为技术有限公司 | 一种服务api调用方法和相关装置 |
| WO2020249861A1 (en) * | 2019-06-08 | 2020-12-17 | Nokia Technologies Oy | Communication security between user equipment and third-party application using communication network-based key |
| CN114079921A (zh) * | 2020-08-04 | 2022-02-22 | 中国电信股份有限公司 | 会话密钥的生成方法、锚点功能网元以及系统 |
Non-Patent Citations (1)
| Title |
|---|
| "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Authentication and Key Management for Applications (AKMA) based on 3GPP credentials in the 5G System (5GS) (Release 17)", 3GPP STANDARD; TECHNICAL SPECIFICATION; 3GPP TS 33.535, 3RD GENERATION PARTNERSHIP PROJECT (3GPP), MOBILE COMPETENCE CENTRE ; 650, ROUTE DES LUCIOLES ; F-06921 SOPHIA-ANTIPOLIS CEDEX ; FRANCE, no. V17.6.0, 17 June 2022 (2022-06-17), Mobile Competence Centre ; 650, route des Lucioles ; F-06921 Sophia-Antipolis Cedex ; France, pages 1 - 25, XP052183026 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117795905A (zh) | 2024-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10856135B2 (en) | Method and apparatus for network access | |
| AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
| US20210112411A1 (en) | Multi-factor authentication in private mobile networks | |
| WO2024021137A1 (zh) | Api调用者认证方法以及装置、通信设备及存储介质 | |
| WO2024021142A1 (zh) | 应用程序接口api认证方法、装置、通信设备及存储介质 | |
| WO2023240657A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
| WO2023240661A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
| WO2024000121A1 (zh) | Ims会话方法、装置、通信设备及存储介质 | |
| WO2023231018A1 (zh) | 个人物联网pin基元凭证配置方法、装置、通信设备及存储介质 | |
| WO2024000115A1 (zh) | Ims会话方法、装置、通信设备及存储介质 | |
| WO2023216275A1 (zh) | 认证方法、装置、通信设备及存储介质 | |
| WO2024092801A1 (zh) | 认证方法、装置、通信设备及存储介质 | |
| WO2023230924A1 (zh) | 认证方法、装置、通信设备和存储介质 | |
| WO2023240659A1 (zh) | 认证方法、装置、通信设备和存储介质 | |
| WO2023216276A1 (zh) | 认证方法、装置、通信设备及存储介质 | |
| WO2023000139A1 (zh) | 传输凭证的方法、装置、通信设备及存储介质 | |
| WO2023240574A1 (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| WO2024031722A1 (zh) | 北向应用程序接口api调用方法及装置 | |
| WO2023201551A1 (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| WO2024031730A1 (zh) | 授权撤销方法及装置、存储介质 | |
| WO2024031731A1 (zh) | 应用程序接口api调用方法及装置、存储介质 | |
| WO2023184561A1 (zh) | 中继通信方法、装置、通信设备及存储介质 | |
| WO2023245354A1 (zh) | 安全保护方法、装置、通信设备及存储介质 | |
| WO2023201454A1 (zh) | 中继通信方法、装置、通信设备及存储介质 | |
| EP4203392A1 (en) | Authentication support for an electronic device to connect to a telecommunications network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22952582 Country of ref document: EP Kind code of ref document: A1 |