WO2024021142A1

WO2024021142A1 - 应用程序接口api认证方法、装置、通信设备及存储介质

Info

Publication number: WO2024021142A1
Application number: PCT/CN2022/109273
Authority: WO
Inventors: 梁浩然; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-07-29
Filing date: 2022-07-29
Publication date: 2024-02-01
Also published as: CN117795915A

Abstract

本公开是关于一种应用程序接口 API 调用器认证方法，其中，方法包括:向通用应用程序接口API框架 CAPIF 功能发送认证请求信息；其中,认证请求信息用于触发CAPIF 功能对API调用器的身份认证(步骤21)。

Description

应用程序接口API认证方法、装置、通信设备及存储介质

技术领域

本公开涉及一种应用程序接口API认证方法，尤其涉及一种应用程序接口API认证方法、装置、通信设备及存储介质。

背景技术

为了解决终端发起的应用程序接口(API，Application Program Interface)调用的安全性问题。支持用户感知北向API访问(SNA，Subscriber-aware Northbound API Access)的要求。示例性地，提出了通过对终端进行身份验证和授权，为终端提供对API的安全访问。

在SNA场景中，只涉及对API调用程序进行身份认证的方案，如何对API调用器进行身份认证，是需要考虑的问题。

发明内容

有鉴于此，本公开实施例提供了一种应用程序接口API认证方法、装置、通信设备及存储介质。

根据本公开的第一方面，提供一种应用程序接口API调用器认证方法，其中，所述方法包括：

向通用应用程序接口API框架CAPIF功能发送认证请求信息；

其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

根据本公开的第二方面，提供一种应用程序接口API调用器认证方法，其中，所述方法由CAPIF功能执行，所述方法包括：

接收终端发送的认证请求信息；

根据本公开的第三方面，提供一种应用程序接口API调用器认证方法，其中，所述方法由BSF执行，所述方法包括：

接收CAPIF功能发送的第二请求信息；

其中，所述第二请求信息包括以下至少之一：

API调用器提供的B-TID；

接收CAPIF功能的网络应用功能标识NAF-ID，包括所述CAPIF功能的FQDN和/或CAPIF功能与终端之间Ua接口安全协议标识符。

根据本公开的第四方面，提供一种应用程序接口API调用器认证方法，其中，所述方法由网络侧执行，所述方法包括：

接收终端发送的认证请求信息；

根据本公开的第五方面，提供一种应用程序接口API调用器认证装置，其中，所述装置包括：

发送模块，被配置为向通用应用程序接口API框架CAPIF功能发送认证请求信息；

根据本公开的第六方面，提供一种应用程序接口API调用器认证装置，其中，所述装置包括：

接收模块，被配置为接收终端发送的认证请求信息；

根据本公开的第七方面，提供一种应用程序接口API调用器认证装置，其中，所述装置包括：

接收模块，被配置为接收CAPIF功能发送的第二请求信息；

其中，所述第二请求信息包括以下至少之一：

API调用器提供的B-TID；

根据本公开的第八方面，提供一种应用程序接口API调用器认证装置，其中，所述装置包括：

接收模块，被配置为接收终端发送的认证请求信息；

根据本公开的第九方面，提供一种通信设备，所述通信设备，包括：

处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为：用于运行所述可执行指令时，实现本公开任意实施例所述的方法。

根据本公开实施例的第十方面，提供一种计算机存储介质，所述计算机存储介质存储有计算机可执行程序，所述可执行程序被处理器执行时实现本公开任意实施例所述的方法。

本公开实施例的技术方案，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。由于API调用器向所述CAPIF功能发送了能够触发所述CAPIF功能对所述API调用器进行身份认证的认证请求信息，所述CAPIF功能就能够对所述API调用器进行身份认证，相较于不能够对所述 API调用器进行身份认证的方式，能够提升SNA场景下的通信安全。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明实施例，并与说明书一起用于解释本发明实施例的原理。

图1是根据一示例性实施例示出的无线通信系统的结构示意图；

图2是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图3是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图4是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图5是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图6是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图7是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图8是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图9是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图10是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图11是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图12是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图13是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图14是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图15是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图16是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图17是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图18是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图19是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图20是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图21是根据一示例性实施例示出的一种应用程序接口API调用器认证方法的流程示意图；

图22是根据一示例性实施例示出的一种应用程序接口API调用器认证装置的示意图；

图23是根据一示例性实施例示出的一种应用程序接口API调用器认证装置的示意图；

图24是根据一示例性实施例示出的一种应用程序接口API调用器认证装置的示意图；

图25是根据一示例性实施例示出的一种终端的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于蜂窝移动通信技术的通信系统，该无线通信系统可以包括：若干个终端11以及若干个基站12。

其中，终端11可以是指向用户提供语音和/或数据连通性的设备。终端11可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，终端11可以是物联网终端，如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网终端的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程终端(remote terminal)、接入终端(access terminal)、用户装置(user terminal)、用户代理(user agent)、终端(user device)、或用户终端(user equipment，UE)。或者，终端11也可以是无人飞行器的设备。或者，终端11也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线通信设备。或者，终端11也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

基站12可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口(new radio，NR)系统或5G NR系统。或者，该无线通信系统也可以是任一代系统。其中，5G系统中的接入网可以称为新一代无线接入网(New Generation-Radio Access Network，NG-RAN)。或者，MTC系统。

其中，基站12可以是4G系统中采用的演进型基站(eNB)。或者，基站12也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站12采用集中分布式架构时，通常包括集中单元(Central Unit，CU)和至少两个分布单元(Distributed Unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体访问控制(Media Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对基站12的具体实现方式不加以限定。

基站12和终端11之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

在一些实施例中，终端11之间还可以建立端到端(End to End，E2E)连接。比如车联网通信(vehicle to everything，V2X)中的V2V(vehicle to vehicle，车对车)通信、车对路边设备(vehicle to Infrastructure，V2I)通信和车对人(vehicle to Pedestrian，V2P)通信等场景。

在一些实施例中，上述无线通信系统还可以包含网络管理设备13。

本公开实施例涉及的执行主体包括但不限于：蜂窝移动通信系统中的终端(UE，User Equipment)，以及蜂窝移动通信的基站等。

如图2所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法包括：

步骤21、向通用应用程序接口API框架(CAPIF，Common API Framework)功能发送认证请求信息；

在一个实施例中，所述API调用器为终端。本公开实施例可以由终端执行。

本公开所涉及的终端可以是但不限于是手机、可穿戴设备、车载终端、路侧单元(RSU，Road Side Unit)、智能家居终端、工业用传感设备和/或医疗设备等。在一些实施例中，该终端可以是Redcap终端或者预定版本的新空口NR终端(例如，R17的NR终端)。

但是，需要说明的是，该实施例不限于被终端执行，在特定场景下，也可以被基站或者核心网中的其他网络通信节点执行，在此不做限定。例如，在基站为多模态服务中的接收端和/或发送端的场景下，该实施例也可以由基站执行；在核心网设备为多模态服务中的接收端和/或发送端的场景下，该实施例也可以由核心网设备执行。需要说明的是，本公开中的将终端作为执行主体的示意，并不对本公开的技术方案进行限定。

在一个实施例中，所述API调用器访问的所述CAPIF功能包括以下至少之一：

第一类型功能，包括：CAPIF核心功能；

第二类型功能，CAPIF体系中除所述CAPIF核心功能之外的功能。

示例性地，所述第二类型功能可以是API开放功能(AEF，API Exposure Function)和/或授权功能(AF，Authorization Function)，但不限于上述功能。需要说明的是，本公开中的功能可以是核心网中的网络功能。

在一个实施例中，响应于基于证书认证方式对所述API调用器进行身份认证，所述认证请求信息指示用于证书认证的证书；或者，响应于基于通用引导架构GBA认证方式对所述API调用器进行身份认证，所述认证请求信息指示会话事务标识B-TID。

在一个实施例中，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证；响应于基于通用引导架构(GBA，Generic Bootstrapping Architecture)认证方式对API调用器进行身份认证，所述认证请求信息包含基于GBA认证方式对API调用器进行身份认证的信息，例如，会话事务标识B-TID。

在一个实施例中，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于基于证书认证方式对API调用器进行身份认证，所述认证请求信息包含进行身份认证的证书。示例性的，证书可以是第一类型功能生成的。

在一个实施例中，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。根据API调用器访问的所述CAPIF功能，确定认证所述API调用器的认证方式。

在一个实施例中，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于所述终端访问的所述CAPIF功能包括所述第一类型功能，确定认证所述API调用器的认证方式为通用引导架构GBA认证方式或者证书认证方式。

在一个实施例中，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于所述终端访问的所述CAPIF功能不包括所述第一类型功能，确定认证所述API调用器的认证方式为证书认证方式。

在一个实施例中，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于所述终端访问的所述CAPIF功能包括所述第一类型功能，确定认证所述API调用器的认证方式为通用引导架构GBA认证方式或者证书认证方式。响应于所述终端访问的所述CAPIF功能为所述第一类型功能，接收所述第一类型功能发送的用于证书认证的证书；其中，所述证书用于所述终端与所述第二类型功能之间的认证。

在一个实施例中，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于所述终端访问的所述CAPIF功能包括所述第一类型功能，确定认证所述API调用器的认证方式为通用引导架构GBA认证方式或者证书认证方式。响应于所述终端访问的CAPIF功能为所述第二类型功能，基于通用引导架构GBA执行终端身份认证或基于第一类型功能发送的证书执行基于证书的终端身份认证。

在一个实施例中，响应于基于所述第一类型功能发送的证书执行基于证书的终端身份认证，向所述CAPIF功能发送所述认证请求信息；其中，所述认证请求信息包含所述第一类型功能发送的证书。基于所述证书执行所述API调用器和CAPIF功能之间的身份认证。

在一个实施例中，响应于基于所述第一类型功能发送的证书执行基于证书的终端身份认证，向所述CAPIF功能发送所述认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。基于GBA认证方式执行所述API调用器和CAPIF功能之间的身份认证。

在一个实施例中，所述认证请求信息包含以下至少之一：

API提供者域提供的注册凭证，所述注册凭证包括访问令牌；

API调用器公钥；

会话事务标识B-TID。

在一个实施例中，响应于基于所述第一类型功能发送的证书执行基于证书的终端身份认证，向所述CAPIF功能发送所述认证请求信息；其中，所述认证请求信息包含所述第一类型功能发送的证书。基于GBA认证方式执行所述API调用器和CAPIF功能之间的身份认证。接收所述CAPIF功能发送的第一响应信息；其中，所述第一响应信息包括以下至少之一：

API调用器证书，所述API调用器证书中包含CAPIF功能分配的API调用器标识、API调用器公钥和/或API调用器身份标识；

所述CAPIF功能分配的API调用器ID；

AEF身份验证和授权信息；

API调用器签约密钥，例如，注册密钥(Onboard_Secret)。

其中，所述API调用器身份标识包括以下至少之一：

用户永久标识符SUPI；

公共订阅标识符GPSI；

IP多媒体子系统IMS用户私有标识IMPI；

订阅用户隐藏标识符SUCI；以及

终端的应用层标识ID。

在一个实施例中，响应于所述终端与所述CAPIF功能之间的传输层安全会话TLS建立，通过所述TLS向所述CAPIF功能发送所述认证请求信息，其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

在一个实施例中，从API提供者域或者API调用器的预配置信息中获取获取注册信息。基于注册信息建立所述TLS；其中，所述在注册信息包括以下至少之一：CAPIF功能的地址；CAPIF功能的完全限定域名FQDN；CAPIF功能的根证书授权CA证书；以及API提供者域提供的注册凭证，所述注册凭证包括访问令牌。响应于所述终端与所述CAPIF功能之间的传输层安全会话TLS建立，通过所述TLS向所述CAPIF功能发送所述认证请求信息，其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

在一个实施例中，基于参考点Ua接口启动所述终端与所述网络功能之间的通信。向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

在一个实施例中，基于受密钥Ks_NAF保护的所述参考点Ua接口启动所述终端与所述网络功能之间的通信；其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

在一个实施例中，响应于所述终端选择的通用集成电路卡UICC应用的密钥Ks可用，基于所述密钥Ks确定所述密钥Ks_NAF。基于受密钥Ks_NAF保护的所述参考点Ua接口启动所述终端与所述网络功能之间的通信；其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

在一个实施例中，响应于所述终端选择的UICC应用的密钥Ks不可用，基于参考点Ub接口与引导服务器功能BSF确定密钥Ks，基于所述密钥Ks确定所述密钥Ks_NAF。基于受密钥Ks_NAF保护的所述参考点Ua接口启动所述终端与所述网络功能之间的通信；其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

在一个实施例中，响应于所述终端不期望基于所述UICC应用的原有的密钥Ks确定所述密钥Ks_NAF，基于参考点Ub接口与BSF确定新生成的密钥Ks，基于所述新生成的密钥Ks确定所述密钥Ks_NAF。基于受密钥Ks_NAF保护的所述参考点Ua接口启动所述终端与所述网络功能之间的通信；其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

在一个实施例中，基于受密钥Ks_NAF保护的所述参考点Ua接口启动所述终端与所述网络功能之间的通信；其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。接收所述CAPIF功能发送的第一请求信息；其中，所述第一请求信息指示所述密钥Ks_NAF失效或者即将失效。

本公开实施例的技术方案，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。由于API调用器向所述CAPIF功能发送了能够触发所述CAPIF功能对所述API调用器进行身份认证的认证请求信息，所述CAPIF功能就能够对所述API调用器进行身份认证，相较于不能够对所述API调用器进行身份认证的方式，能够提升SNA场景下的通信安全。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

如图3所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法包括：

步骤31、根据API调用器访问的CAPIF功能，确定认证所述API调用器的认证方式。

在一个实施例中，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于所述终端访问的所述CAPIF功能包括所述第一类型功能，确定认证所述API调用器的认证方式为通用引导架构GBA认证方式。

在一个实施例中，向通用应用程序接口API框架CAPIF功能发送认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于所述终端访问的所述CAPIF功能不包括所述第一类型功能，确定认证所述API调用器的认证方式为证书认证方式或者通用引导架构GBA认证方式。

如图4所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法包括：

步骤41、响应于所述终端访问的所述CAPIF功能为所述第一类型功能，接收所述第一类型功能发送的用于证书认证的证书；其中，所述证书用于所述终端与所述第二类型功能之间的认证。

如图5所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法包括：

步骤51、响应于所述终端访问的CAPIF功能为所述第二类型功能，基于通用引导架构GBA执行终端身份认证或基于第一类型功能发送的证书执行基于证书的终端身份认证。

如图6所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法包括：

步骤61、响应于基于第一类型功能发送的证书执行基于证书的终端身份认证，向CAPIF功能发送所述认证请求信息；

其中，所述认证请求信息包含所述第一类型功能发送的证书。

如图7所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法包括：

步骤71、基于GBA认证方式执行所述API调用器和CAPIF功能之间的身份认证。

在一个实施例中，响应于基于GBA认证方式执行终端身份认证，向所述CAPIF功能发送所述认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。基于GBA认证方式执行所述API调用器和CAPIF功能之间的身份认证。

如图8所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法包括：

步骤81、接收所述CAPIF功能发送的认证响应信息；

其中，所述第一响应信息包括以下至少之一：

所述CAPIF功能分配的API调用器ID；

AEF身份验证和授权信息；

API调用器签约密钥。

其中，所述API调用器身份标识包括以下至少之一：

用户永久标识符SUPI；

公共订阅标识符GPSI；

IP多媒体子系统IMS用户私有标识IMPI；

订阅用户隐藏标识符SUCI；以及

终端的应用层标识ID。

所述CAPIF功能分配的API调用器ID；

AEF身份验证和授权信息；

API调用器签约密钥，例如，注册密钥(Onboard_Secret)。

如图9所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法包括：

步骤91、基于注册信息建立所述TLS；

其中，所述在注册信息包括以下至少之一：

CAPIF功能的地址；

CAPIF功能的完全限定域名FQDN；

CAPIF功能的根证书授权CA证书；

API提供者域提供的注册凭证，所述注册凭证包括访问令牌。

在一个实施例中，从API提供者域或API调用器的预配置信息中获取注册信息。基于注册信息建立所述TLS；其中，所述在注册信息包括以下至少之一：CAPIF功能的地址；CAPIF功能的完全限定域名FQDN；CAPIF功能的根证书授权CA证书；以及API提供者域提供的注册凭证，所述注册凭证包括访问令牌。响应于所述终端与所述CAPIF功能之间的传输层安全会话TLS建立，通过所述TLS向所述CAPIF功能发送所述认证请求信息，其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

如图10所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法包括：

步骤101、基于参考点Ua接口启动所述终端与所述网络功能之间的通信。

如图11所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法由CAPIF功能执行，所述方法包括：

步骤111、接收终端发送的认证请求信息；

在一个实施例中，所述API调用器为终端。

第一类型功能，包括：CAPIF核心功能；

第二类型功能，CAPIF体系中除所述CAPIF核心功能之外的功能。

在一个实施例中，接收终端发送的认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于基于通用引导架构(GBA，Generic Bootstrapping Architecture)认证方式对API调用器进行身份认证，所述认证请求信息包含基于GBA认证方式对API调用器进行身份认证的信息，例如，会话事务标识B-TID。

在一个实施例中，接收终端发送的认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于基于证书认证方式对API调用器进行身份认证，所述认证请求信息包含进行身份认证的证书。示例性的，证书可以是第一类型功能生成的。

在一个实施例中，接收终端发送的认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于基于证书认证方式对API调用器进行身份认证，所述认证请求信息包含进行身份认证的证书。示例性的，证书可以是第一类型功能生成的。响应于所述认证请求信息包括第一类型功能颁发的证书，第二类型功能利用所述第一类型功能的公钥验证所述证书；响应于所述证书的验证通过，所述终端通过身份认证。

在一个实施例中，响应于基于通用引导架构GBA认证方式对所述API调用器进行身份认证，所述认证请求信息包含以下至少之一：

API提供者域提供的注册凭证，所述注册凭证包括访问令牌；

API调用器公钥；

会话事务标识B-TID。

在一个实施例中，接收终端发送的认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。向终端发送响应信息；其中，所述响应信息包括以下至少之一：

所述CAPIF功能分配的API调用器ID；

AEF身份验证和授权信息；

API调用器签约密钥。

其中，所述API调用器身份标识包括以下至少之一：

用户永久标识符SUPI；

公共订阅标识符GPSI；

IP多媒体子系统IMS用户私有标识IMPI；

订阅用户隐藏标识符SUCI；以及

终端的应用层标识ID。

在一个实施例中，基于注册信息建立所述TLS；其中，所述注册信息包括以下至少之一：CAPIF功能的地址；CAPIF功能的完全限定域名FQDN；CAPIF功能的根证书授权CA证书；以及API提供者域提供的注册凭证，所述注册凭证包括访问令牌。响应于所述终端与所述网络功能之间的传输层安全会话TLS建立，基于所述TLS接收终端发送的所述认证请求信息。

在一个实施例中，基于参考点Ua接口执行所述终端与所述网络功能之间的通信。接收终端发送的认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

在一个实施例中，基于参考点Ua接口执行所述终端与所述网络功能之间的通信。基于受密钥Ks_NAF保护的所述参考点Ua接口执行所述终端与所述网络功能之间的通信；其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。

在一个实施例中，基于参考点Ua接口执行所述终端与所述网络功能之间的通信。基于受密钥Ks_NAF保护的所述参考点Ua接口执行所述终端与所述网络功能之间的通信；其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。响应于所述密钥Ks_NAF失效或者即将失效，向所述终端发送第一请求信息；其中，所述第一请求信息指示所述密钥Ks_NAF失效或者即将失效。

在一个实施例中，接收终端发送的认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。向BSF发送第二请求信息；其中，所述第二请求信息包括以下至少之一：终端提供的B-TID；CAPIF功能的网络应用功能标识NAF-ID，包括所述CAPIF功能的FQDN和/或CAPIF功能与终端之间Ua接口安全协议标识符。接收所述BSF发送的第二响应信息；其中，所述第二响应信息包括以下至少之一：所述CAPIF功能对应的密钥Ks_NAF；用户安全设置USS信息；引导时间；以及密钥的生命周期。

在一个实施例中，接收终端发送的认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。向BSF发送第二请求信息；其中，所述第二请求信息包括以下至少之一：终端提供的B-TID；CAPIF功能的网络应用功能标识NAF-ID，包括所述CAPIF功能的FQDN和/或CAPIF功能与终端之间Ua接口安全协议标识符。接收所述BSF 发送的第二响应信息；其中，所述第二响应信息包括以下至少之一：所述CAPIF功能对应的密钥Ks_NAF；用户安全设置USS信息；引导时间；以及密钥的生命周期。基于所述密钥Ks_NAF对所述终端进行认证。

在一个实施例中，接收终端发送的认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。向引导服务功能(BSF，Bootstrapping Server Function)发送第二请求信息；其中，所述第二请求信息包括以下至少之一：终端提供的B-TID；CAPIF功能的网络应用功能标识NAF-ID，包括所述CAPIF功能的FQDN和/或CAPIF功能与终端之间Ua接口安全协议标识符。接收所述BSF发送的第二响应信息；其中，所述第二响应信息包括以下至少之一：所述CAPIF功能对应的密钥Ks_NAF；用户安全设置USS信息；引导时间；以及密钥的生命周期。响应于基于通用引导架构GBA执行所述终端的身份认证，基于Ks_NAF验证API调用器身份信息。响应于所述API调用器身份验证成功，生成API调用器配置文件；其中，所述API调用器配置文件包含API调用器和API开放功能AEF之间的AEF身份验证和授权的选定方式。

在一个实施例中，响应于所述API调用器身份验证成功，生成API调用器配置文件；其中，所述API调用器配置文件包含API调用器和API开放功能AEF之间的AEF身份验证和授权的选定方式。针对分配的API调用器标识和公钥，生成API调用器证书；其中，所述API调用器证书中包含CAPIF功能分配的API调用器标识、API调用器公钥和/或API调用器身份标识。

在一个实施例中，响应于所述API调用器身份验证成功，生成API调用器配置文件；其中，所述API调用器配置文件包含API调用器和API开放功能AEF之间的AEF身份验证和授权的选定方式。生成签约密钥；

其中，所述签约密钥与所述CAPIF功能生成的AIP调用器ID绑定。

如图12所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法由CAPIF功能执行，所述方法包括：

步骤121、响应于所述认证请求信息包括第一类型功能颁发的证书，第二类型功能利用所述第一类型功能的公钥验证所述证书；

步骤122、响应于所述证书的验证通过，所述终端通过身份认证。

如图13所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法由CAPIF功能执行，所述方法包括：

步骤131、向终端发送响应信息；

其中，所述响应信息包括以下至少之一：

所述CAPIF功能分配的API调用器ID；

AEF身份验证和授权信息；

API调用器签约密钥。

其中，所述API调用器身份标识包括以下至少之一：

用户永久标识符SUPI；

公共订阅标识符GPSI；

IP多媒体子系统IMS用户私有标识IMPI；

订阅用户隐藏标识符SUCI；以及

终端的应用层标识ID。

所述CAPIF功能分配的API调用器ID；

AEF身份验证和授权信息；

API调用器签约密钥。

在一个实施例中，基于注册信息建立所述TLS；其中，所述注册信息包括以下至少之一：CAPIF功能的地址；CAPIF功能的完全限定域名FQDN；CAPIF功能的根证书授权CA证书；以及API提供者域提供的注册凭证，所述注册凭证包括访问令牌。响应于所述终端与所述网络功能之间的传输层安全会话TLS建立，基于所述TLS接收终端发送的所述认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。向终端发送响应信息；其中，所述响应信息包括以下至少之一：API调用器证书，所述API调用器证书中包含CAPIF功能分配的API调用器标识、API调用器公钥和/或API调用器身份标识(包括但不限于用户永久标识符GPSI、私有用户标识IMPI和用户隐藏标识符SUCI等)；所述CAPIF功能分配的API调用器ID；AEF身份验证和授权信息；API调用器签约密钥。

如图14所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法由CAPIF功能执行，所述方法包括：

步骤141、基于参考点Ua接口执行所述终端与所述网络功能之间的通信。

在一个实施例中，基于受密钥Ks_NAF保护的所述参考点Ua接口执行所述终端与所述网络功能之间的通信；其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。接收终端发送的认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。

在一个实施例中，基于受密钥Ks_NAF保护的所述参考点Ua接口执行所述终端与所述网络功能之间的通信；其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。接收终端发送的认证请求信息；其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。响应于所述密钥Ks_NAF失效或者即将失效，向所述终端发送第一请求信息；其中，所述第一请求信息指示所述密钥Ks_NAF失效或者即将失效。

如图15所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法由CAPIF功能执行，所述方法包括：

步骤151、向BSF发送第二请求信息；

其中，所述第二请求信息包括以下至少之一：

终端提供的B-TID；

CAPIF功能的网络应用功能标识NAF-ID，包括所述CAPIF功能的FQDN和/或CAPIF功能与终端之间Ua接口安全协议标识符。

如图16所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法由CAPIF功能执行，所述方法包括：

步骤161、接收所述BSF发送的第二响应信息；

其中，所述第二响应信息包括以下至少之一：

所述CAPIF功能对应的密钥Ks_NAF；

用户安全设置USS信息；

引导时间；

密钥的生命周期。

如图17所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法由CAPIF功能执行，所述方法包括：

步骤171、基于所述密钥Ks_NAF对所述终端进行认证。

在一个实施例中，终端用自己的ks_NAF签名一条消息，CAPIF功能利用从BSF获取到的ks_NAF校验签名，若通过，则身份认证成功。

其中，所述签约密钥与所述CAPIF功能生成的AIP调用器ID绑定。

如图18所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法由BSF执行，所述方法包括：

步骤181、接收CAPIF功能发送的第二请求信息；

其中，所述第二请求信息包括以下至少之一：

API调用器提供的B-TID；

在一个实施例中，所述API调用器为终端。

第一类型功能，包括：CAPIF核心功能；

第二类型功能，CAPIF体系中除所述CAPIF核心功能之外的功能。

在一个实施例中，接收CAPIF功能发送的第二请求信息；其中，所述第二请求信息包括以下至少之一：API调用器提供的B-TID；接收CAPIF功能的网络应用功能标识NAF-ID，包括所述CAPIF功能的FQDN和/或CAPIF功能与终端之间Ua接口安全协议标识符。基于密钥Ks和密钥导出参数确定密钥Ks_NAF。向所述BSF发送第二响应信息；其中，所述第二响应信息包括以下至少之一：密钥Ks_NAF；用户安全设置USS信息；引导时间；以及密钥的生命周期。

如图19所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法由BSF执行，所述方法包括：

步骤191、向所述CAPIF功能发送第二响应信息；

其中，所述第二响应信息包括以下至少之一：

密钥Ks_NAF；

用户安全设置USS信息；

引导时间；

密钥的生命周期。

如图20所示，本实施例中提供一种应用程序接口API调用器认证方法，其中，所述方法由网络侧执行，所述方法包括：

步骤201、接收终端发送的认证请求信息；

在一个实施例中，所述API调用器为终端。

在一个实施例中，响应于基于证书认证方式对所述API调用器进行身份认证，所述认证请求信息指示用于证书认证的证书；

或者，

响应于基于通用引导架构GBA认证方式对所述API调用器进行身份认证，所述认证请求信息指示会话事务标识B-TID。

在一个实施例中，所述方法还包括：

向终端发送响应信息；

其中，所述响应信息包括以下至少之一：

API调用器证书，所述API调用器证书中包含CAPIF功能分配的API 调用器标识、API调用器公钥和/或API调用器身份标识；

所述CAPIF功能分配的API调用器ID；

AEF身份验证和授权信息；

API调用器签约密钥。

在一个实施例中，其中，所述API调用器身份标识包括以下至少之一：

用户永久标识符SUPI；

公共订阅标识符GPSI；

IP多媒体子系统IMS用户私有标识IMPI；

订阅用户隐藏标识符SUCI；以及

终端的应用层标识ID。

为了更好地理解本公开实施例，以下通过一个示例性实施例对本公开技术方案进行进一步说明：

示例1：

如图21所示，本实施例中提供一种应用程序接口API调用器认证方法，所述方法包括：

步骤211、终端从API提供者域获取注册信息。

步骤212、基于注册信息建立所述TLS。

步骤213、响应于所述终端与所述CAPIF功能之间的传输层安全会话TLS建立，终端通过所述TLS向所述CAPIF功能发送所述认证请求信息。需要说明的是，步骤203可在没有建立TLS的条件下执行，即：不建立TLS，直接发送认证请求信息。

步骤214、CAPIF功能向BSF发送第二请求信息。

步骤215、CAPIF功能接收所述BSF发送的第二响应信息。

步骤216、CAPIF功能基于所述密钥Ks_NAF对所述终端进行认证。

步骤217、终端授权程序。

步骤218、终端接收所述CAPIF功能发送的认证响应信息。

如图22所示，本实施例中提供一种应用程序接口API调用器认证装置，其中，所述装置包括：

发送模块221，被配置为向通用应用程序接口API框架CAPIF功能发送认证请求信息；

如图23所示，本实施例中提供一种应用程序接口API调用器认证装置，其中，所述装置包括：

接收模块231，被配置为接收终端发送的认证请求信息；

如图24所示，本实施例中提供一种应用程序接口API调用器认证装置，其中，所述装置包括：

接收模块241，被配置为接收CAPIF功能发送的第二请求信息；

其中，所述第二请求信息包括以下至少之一：

API调用器提供的B-TID；

本公开实施例提供一种通信设备，通信设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，处理器被配置为：用于运行可执行指令时，实现应用于本公开任意实施例的方法。

其中，处理器可包括各种类型的存储介质，该存储介质为非临时性计算机存储介质，在通信设备掉电之后能够继续记忆存储其上的信息。

处理器可以通过总线等与存储器连接，用于读取存储器上存储的可执行程序。

本公开实施例还提供一种计算机存储介质，其中，计算机存储介质存储有计算机可执行程序，可执行程序被处理器执行时实现本公开任意实施例的方法。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图25是根据一示例性实施例示出的一种用户设备8000的框图。例如，用户设备8000可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图25，用户设备8000可以包括以下一个或多个信元：处理信元 8002，存储器8004，电源信元8006，多媒体信元8008，音频信元8010，输入/输出(I/O)的接口8012，传感器信元8014，以及通信信元8016。

处理信元8002通常控制用户设备8000的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理信元8002可以包括一个或多个处理器8020来执行指令，以完成上述的个人物联网设备凭证配置方法的全部或部分步骤。此外，处理信元8002可以包括一个或多个模块，便于处理信元8002和其他信元之间的交互。例如，处理信元8002可以包括多媒体模块，以方便多媒体信元8008和处理信元8002之间的交互。

存储器8004被配置为存储各种类型的数据以支持在设备8000的操作。这些数据的示例包括用于在用户设备8000上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器8004可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源信元8006为用户设备8000的各种信元提供电力。电源信元8006可以包括电源管理系统，一个或多个电源，及其他与为用户设备8000生成、管理和分配电力相关联的信元。

多媒体信元8008包括在用户设备8000和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体信元8008包括一个前置摄像头和/或后置摄像头。当设备8000处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频信元8010被配置为输出和/或输入音频信号。例如，音频信元8010包括一个麦克风(MIC)，当用户设备8000处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器8004或经由通信信元8016发送。在一些实施例中，音频信元8010还包括一个扬声器，用于输出音频信号。

I/O接口8012为处理信元8002和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器信元8014包括一个或多个传感器，用于为用户设备8000提供各个方面的状态评估。例如，传感器信元8014可以检测到设备8000的打开/关闭状态，信元的相对定位，例如信元为用户设备8000的显示器和小键盘，传感器信元8014还可以检测用户设备8000或用户设备8000中一个信元的位置改变，用户与用户设备8000接触的存在或不存在，用户设备8000方位或加速/减速和用户设备8000的温度变化。传感器信元8014可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器信元8014还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器信元8014还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信信元8016被配置为便于用户设备8000和其他设备之间有线或无线方式的通信。用户设备8000可以接入基于通信标准的无线网络，如Wi-Fi，2G或3G，或它们的组合。在一个示例性实施例中，通信信元8016经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信信元8016还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，用户设备8000可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述个人物联网设备凭证配置方法的步骤。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器8004，上述指令可由用户设备8000的处理器8020执行以完成上述个人物联网设备凭证配置方法的步骤。例如，非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明实施例的其它实施方案。本申请旨在涵盖本发明实施例的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明实施例的一般性原理并包括本公开实施例未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明实施例的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明实施例并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明实施例的范围仅由所附的权利要求来限制。

Claims

一种应用程序接口API调用器认证方法，其中，所述方法包括：

向通用应用程序接口API框架CAPIF功能发送认证请求信息；

其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。
根据权利要求1所述的方法，其中，所述API调用器为终端。
根据权利要求2所述的方法，其中，

响应于基于证书认证方式对所述API调用器进行身份认证，所述认证请求信息指示用于证书认证的证书；

或者，

响应于基于通用引导架构GBA认证方式对所述API调用器进行身份认证，所述认证请求信息指示会话事务标识B-TID。
根据权利要求2所述的方法，其中，所述API调用器访问的所述CAPIF功能包括以下至少之一：

第一类型功能，包括：CAPIF核心功能；

第二类型功能，CAPIF体系中除所述CAPIF核心功能之外的功能。
根据权利要求4所述的方法，其中，所述第二类型功能包括API开放功能AEF和/或授权功能AF。
根据权利要求2所述的方法，其中，所述方法还包括：

根据API调用器访问的所述CAPIF功能，确定认证所述API调用器的认证方式。
根据权利要求6所述的方法，其中，所述根据API调用器访问的所述CAPIF功能，确定认证所述API调用器的认证方式，包括：

响应于所述终端访问的所述CAPIF功能包括所述第一类型功能，确定认证所述API调用器的认证方式为GBA认证方式或者证书认证方式；

或者，

响应于所述终端访问的所述CAPIF功能不包括所述第一类型功能，确定认证所述API调用器的认证方式为证书认证方式。
根据权利要求7所述的方法，其中，所述方法还包括：

响应于所述终端访问的所述CAPIF功能为所述第一类型功能，接收所述第一类型功能发送的用于证书认证的证书；

其中，所述证书用于所述终端与所述第二类型功能之间的认证。
根据权利要求8所述的方法，其中，所述方法还包括：

响应于所述终端访问的CAPIF功能为所述第二类型功能，基于GBA执行终端身份认证或基于第一类型功能发送的证书执行基于证书的终端身份认证。
根据权利要求9所述的方法，其中，向通用应用程序接口API框架CAPIF功能发送认证请求信息，包括：

响应于基于所述第一类型功能发送的证书执行基于证书的终端身份认证，向所述CAPIF功能发送所述认证请求信息；

其中，所述认证请求信息包含所述第一类型功能发送的证书。
根据权利要求2所述的方法，其中，所述方法还包括：

基于GBA认证方式执行所述API调用器和CAPIF功能之间的身份认证。
根据权利要求11所述的方法，其中，所述认证请求信息包含以下至少之一：

API提供者域提供的注册凭证，所述注册凭证包括访问令牌；

API调用器公钥；

会话事务标识B-TID。
根据权利要求11所述的方法，其中，所述方法还包括：

接收所述CAPIF功能发送的认证响应信息；

其中，所述认证响应信息包括以下至少之一：

API调用器证书，所述API调用器证书中包含CAPIF功能分配的API调用器标识、API调用器公钥和/或API调用器身份标识；

所述CAPIF功能分配的API调用器ID；

AEF身份验证和授权信息；

API调用器签约密钥。
根据权利要求13所述的方法，其中，其中，所述API调用器身份标识包括以下至少之一：

用户永久标识符SUPI；

公共订阅标识符GPSI；

IP多媒体子系统IMS用户私有标识IMPI；

订阅用户隐藏标识符SUCI；以及

终端的应用层标识ID。
根据权利要求12所述的方法，其中，所述向通用应用程序接口API框架CAPIF功能发送认证请求信息，包括：

响应于所述终端与所述CAPIF功能之间的传输层安全会话TLS建立，通过所述TLS向所述CAPIF功能发送所述认证请求信息。
根据权利要求15所述的方法，其中，所述方法还包括：

基于注册信息建立所述TLS；

其中，所述在注册信息包括以下至少之一：

CAPIF功能的地址；

CAPIF功能的完全限定域名FQDN；

CAPIF功能的根证书授权CA证书；

API提供者域提供的注册凭证，所述注册凭证包括访问令牌。
根据权利要求12所述的方法，其中，所述方法还包括：

从API提供者域获取或者API调用器的预配置信息中获取注册信息。
根据权利要求12所述的方法，其中，所述方法还包括：

基于参考点Ua接口启动所述终端与所述网络功能之间的通信。
根据权利要求18所述的方法，其中，所述基于参考点Ua接口启动所述终端与所述网络功能之间的通信，包括：

基于受密钥Ks_NAF保护的所述参考点Ua接口启动所述终端与所述网络功能之间的通信；

其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。
根据权利要求19所述的方法，其中，所述方法还包括：

响应于所述终端选择的通用集成电路卡UICC应用的密钥Ks可用，基于所述密钥Ks确定所述密钥Ks_NAF；

或者，响应于所述终端选择的UICC应用的密钥Ks不可用，基于参考点Ub接口与引导服务器功能BSF确定密钥Ks，基于所述密钥Ks确定所述密钥Ks_NAF；

或者，响应于所述终端不期望基于所述UICC应用的原有的密钥Ks确定所述密钥Ks_NAF，基于参考点Ub接口与BSF确定新生成的密钥Ks，基于所述新生成的密钥Ks确定所述密钥Ks_NAF。
根据权利要求19所述的方法，其中，所述方法还包括：

接收所述CAPIF功能发送的第一请求信息；

其中，所述第一请求信息指示所述密钥Ks_NAF失效或者即将失效。
一种应用程序接口API调用器认证方法，其中，所述方法由CAPIF功能执行，所述方法包括：

接收终端发送的认证请求信息；

其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。
根据权利要求22所述的方法，其中，所述API调用器为终端。
根据权利要求23所述的方法，其中，

响应于基于证书认证方式对所述API调用器进行身份认证，所述认证请求信息指示用于证书认证的证书；

或者，

响应于基于通用引导架构GBA认证方式对所述API调用器进行身份认证，所述认证请求信息指示会话事务标识B-TID。
根据权利要求23所述的方法，其中，所述API调用器访问的所述CAPIF功能包括以下至少之一：

第一类型功能，包括：CAPIF核心功能；

第二类型功能，CAPIF体系中除所述CAPIF核心功能之外的功能。
根据权利要求25所述的方法，其中，所述第二类型功能包括API开放功能AEF和/或授权功能AF。
根据权利要求23所述的方法，其中，所述方法还包括：

响应于所述认证请求信息包括第一类型功能颁发的证书，第二类型功能利用所述第一类型功能的公钥验证所述证书；

响应于所述证书的验证通过，所述终端通过身份认证。
根据权利要求23所述的方法，其中，响应于基于通用引导架构GBA认证方式对所述API调用器进行身份认证，所述第一请求信息包含以下至少之一：

API提供者域提供的注册凭证，所述注册凭证包括访问令牌；

API调用器公钥；

会话事务标识B-TID。
根据权利要求28所述的方法，其中，所述方法还包括：

向终端发送响应信息；

其中，所述响应信息包括以下至少之一：

API调用器证书，所述API调用器证书中包含CAPIF功能分配的API调用器标识、API调用器公钥和/或API调用器身份标识；

所述CAPIF功能分配的API调用器ID；

AEF身份验证和授权信息；

API调用器签约密钥。
根据权利要求29所述的方法，其中，其中，所述API调用器身份标识包括以下至少之一：

用户永久标识符SUPI；

公共订阅标识符GPSI；

IP多媒体子系统IMS用户私有标识IMPI；

订阅用户隐藏标识符SUCI；以及

终端的应用层标识ID。
根据权利要求28所述的方法，其中，所述接收终端发送的认证请求信息，包括：

响应于所述终端与所述网络功能之间的传输层安全会话TLS建立，基于所述TLS接收终端发送的所述认证请求信息。
根据权利要求31所述的方法，其中，所述方法还包括：

基于注册信息建立所述TLS；

其中，所述注册信息包括以下至少之一：

CAPIF功能的地址；

CAPIF功能的完全限定域名FQDN；

CAPIF功能的根证书授权CA证书；

API提供者域提供的注册凭证，所述注册凭证包括访问令牌。
根据权利要求28所述的方法，其中，所述方法还包括：

基于参考点Ua接口执行所述终端与所述网络功能之间的通信。
根据权利要求33所述的方法，其中，所述基于参考点Ua接口启动所述终端与所述网络功能之间的通信，包括：

基于受密钥Ks_NAF保护的所述参考点Ua接口执行所述终端与所述网络功能之间的通信；

其中，所述密钥Ks_NAF为所述终端与所述网络功能之间的共享密钥。
根据权利要求34所述的方法，其中，所述方法还包括：

响应于所述密钥Ks_NAF失效或者即将失效，向所述终端发送第一请求信息；

其中，所述第一请求信息指示所述密钥Ks_NAF失效或者即将失效。
根据权利要求28所述的方法，其中，所述方法还包括：

向BSF发送第二请求信息；

其中，所述第二请求信息包括以下至少之一：

终端提供的B-TID；

CAPIF功能的网络应用功能标识NAF-ID，包括所述CAPIF功能的FQDN和/或CAPIF功能与终端之间Ua接口安全协议标识符。
根据权利要求36所述的方法，其中，所述方法还包括：

接收所述BSF发送的第二响应信息；

其中，所述第二响应信息包括以下至少之一：

所述CAPIF功能对应的密钥Ks_NAF；

用户安全设置USS信息；

引导时间；

密钥的生命周期。
根据权利要求37所述的方法，其中，所述方法还包括：

基于所述密钥Ks_NAF对所述终端进行认证。
根据权利要求38所述的方法，其中，所述基于所述密钥Ks_NAF对所述终端进行认证，包括：

响应于基于通用引导架构GBA执行所述终端的身份认证，基于Ks_NAF验证API调用器身份信息。
根据权利要求39所述的方法，其中，所述方法还包括：

响应于所述API调用器身份验证成功，生成API调用器配置文件；

其中，所述API调用器配置文件包含API调用器和API开放功能AEF之间的AEF身份验证和授权的选定方式。
根据权利要求40所述的方法，其中，所述方法还包括：

针对分配的API调用器标识和公钥，生成API调用器证书；

其中，所述API调用器证书中包含CAPIF功能分配的API调用器标识、API调用器公钥和/或API调用器身份标识。
根据权利要求41所述的方法，其中，所述API调用器身份标识包括以下至少之一：

用户永久标识符SUPI；

公共订阅标识符GPSI；

IP多媒体子系统IMS用户私有标识IMPI；

订阅用户隐藏标识符SUCI；以及

终端的应用层标识ID。
根据权利要求40所述的方法，其中，所述方法还包括：

生成签约密钥；

其中，所述签约密钥与所述CAPIF功能生成的AIP调用器ID绑定。
一种应用程序接口API调用器认证方法，其中，所述方法由BSF执行，所述方法包括：

接收CAPIF功能发送的第二请求信息；

其中，所述第二请求信息包括以下至少之一：

API调用器提供的B-TID；

接收CAPIF功能的网络应用功能标识NAF-ID，包括所述CAPIF功能的FQDN和/或CAPIF功能与终端之间Ua接口安全协议标识符。
根据权利要求44所述的方法，其中，所述API调用器为终端。
根据权利要求44所述的方法，其中，

所述CAPIF功能包括以下至少之一：

第一类型功能，包括：CAPIF核心功能；

第二类型功能，CAPIF体系中除所述CAPIF核心功能之外的功能。
根据权利要求46所述的方法，其中，所述第二类型功能包括API开放功能AEF和/或授权功能AF。
根据权利要求44所述的方法，其中，所述方法还包括：

基于密钥Ks和密钥导出参数确定密钥Ks_NAF。
根据权利要求48所述的方法，其中，所述方法还包括：

向所述BSF发送第二响应信息；

其中，所述第二响应信息包括以下至少之一：

密钥Ks_NAF；

用户安全设置USS信息；

引导时间；

密钥的生命周期。
一种应用程序接口API调用器认证方法，其中，所述方法由网络侧执行，所述方法包括：

接收终端发送的认证请求信息；

其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。
根据权利要求50所述的方法，其中，所述API调用器为终端。
根据权利要求51所述的方法，其中，

响应于基于证书认证方式对所述API调用器进行身份认证，所述认证请求信息指示用于证书认证的证书；

或者，

响应于基于通用引导架构GBA认证方式对所述API调用器进行身份认证，所述认证请求信息指示会话事务标识B-TID。
根据权利要求50所述的方法，其中，所述方法还包括：

向终端发送响应信息；

其中，所述响应信息包括以下至少之一：

API调用器证书，所述API调用器证书中包含CAPIF功能分配的API调用器标识、API调用器公钥和/或API调用器身份标识；

所述CAPIF功能分配的API调用器ID；

AEF身份验证和授权信息；

API调用器签约密钥。
根据权利要求53所述的方法，其中，所述API调用器身份标识包括以下至少之一：

用户永久标识符SUPI；

公共订阅标识符GPSI；

IP多媒体子系统IMS用户私有标识IMPI；

订阅用户隐藏标识符SUCI；以及

终端的应用层标识ID。
一种应用程序接口API调用器认证装置，其中，所述装置包括：

发送模块，被配置为向通用应用程序接口API框架CAPIF功能发送认证请求信息；

其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。
一种应用程序接口API调用器认证装置，其中，所述装置包括：

接收模块，被配置为接收终端发送的认证请求信息；

其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。
一种应用程序接口API调用器认证装置，其中，所述装置包括：

接收模块，被配置为接收CAPIF功能发送的第二请求信息；

其中，所述第二请求信息包括以下至少之一：

API调用器提供的B-TID；

接收CAPIF功能的网络应用功能标识NAF-ID，包括所述CAPIF功能的FQDN和/或CAPIF功能与终端之间Ua接口安全协议标识符。
一种应用程序接口API调用器认证装置，其中，所述装置包括：

接收模块，被配置为接收终端发送的认证请求信息；

其中，所述认证请求信息用于触发所述CAPIF功能对API调用器的身份认证。
一种通信设备，其中，包括：

存储器；

处理器，与所述存储器连接，被配置为通过执行存储在所述存储器上的计算机可执行指令，并能够实现权利要求1至21、22至43、44至49或者50至54任一项所述的方法。
一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令被处理器执行后能够实现权利要求1至21、22至43、44至49或者50至54任一项所述的方法。