CN111865598B - 网络功能服务的身份校验方法及相关装置 - Google Patents
网络功能服务的身份校验方法及相关装置 Download PDFInfo
- Publication number
- CN111865598B CN111865598B CN201910766373.2A CN201910766373A CN111865598B CN 111865598 B CN111865598 B CN 111865598B CN 201910766373 A CN201910766373 A CN 201910766373A CN 111865598 B CN111865598 B CN 111865598B
- Authority
- CN
- China
- Prior art keywords
- network element
- token
- certificate information
- certificate
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了网络功能服务的身份校验方法及装置,该方法包括:第二网元接收来自第一网元的网络功能(NF)服务请求;NF服务请求包括令牌(token),token包括第一证书信息;对第一证书信息进行校验,以确定第一证书信息所表征的身份和所述第一网元的身份是否一致;在确定第一证书信息所表征的身份和第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求。实施本申请能够实现在第一网元向第二网元请求服务的过程中校验该第一网元的身份合法性,提高服务安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及网络功能服务的身份校验方法及相关装置。
背景技术
随着第五代移动通信技术(5th-generation,简称:5G)的发展,在5G网络的核心网网络架构的演进过程中,提出了基于云和虚拟化技术、以网络功能(Network Function,NF)为中心的服务化网络架构,在该架构中,网元实现了硬软件的解耦,网元的软件部分被拆分成多个NF,所有NF位于全互通的网络拓扑中,通过模块化实现NF间的解耦和整合,各解耦后的网络功能独立扩容、独立演进、按需部署。控制面所有NF之间的交互采用服务化接口,同一种服务可以被多种NF调用,降低NF之间接口定义的耦合度,最终实现整网功能的按需定制,灵活支持不同的业务场景和需求。这种服务化网络架构有利于快速部署新的NF实现网络业务的创新。
网络功能仓储功能(NF Repository Function,NRF)是一种为NF提供服务的注册,发现和授权功能的网络功能。NF可通过在NRF上请求授权,获得服务对应的令牌(token),token用来表明该NF具有查看或者操作相应的服务的权限,该NF根据这个token向另一NF(拥有该服务的NF)请求此项服务,所述另一NF校验token通过后,返回服务响应。
本申请的发明人在研究实践中发现,当攻击者窃取了一个合法的token后,也能够根据该token向另一NF获取此项服务,造成了安全隐患。
发明内容
本发明实施例提供了网络功能服务的身份校验方法及相关装置,能够实现在NF向另一NF获取服务的过程中校验该NF的身份合法性,提高服务安全性。
第一方面,本发明实施例提供一种网络功能服务的身份校验方法,从第二网元侧描述,该方法包括:第二网元接收来自第一网元的网络功能(NF)服务请求;所述NF服务请求包括令牌(token),所述token包括第一证书信息;所述第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;在确定所述第一证书信息所表征的身份和所述第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求。
第二方面,本发明实施例提供一种网络功能服务的身份校验方法,从第一网元侧描述,该方法包括:第一网元获取NF服务对应的令牌(token),所述token包括所述token的请求者的第一证书信息;第一网元发送NF服务请求至第二网元,所述NF服务请求包括所述token,所述token用于触发所述第二网元确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;在所述token的请求者和所述第二网元的身份不一致的情况下,所述第一网元接收来自所述第二网元的拒绝消息。
其中,第一证书信息所表征的身份即为token的请求者(即向NRF请求授权该token的网元实体)的身份。第一证书信息可以是根据token的请求者的证书生成的。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,第二网元可对token中携带的证书信息进行校验,进而确定token的请求者和第一网元的身份是否一致的,即确认token是否是安全合法的。所以,实施本发明实施例,能够实现在第一网元向第二网元发起服务请求的过程中校验网络功能服务消费者的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
基于第一方面或第二方面,在可能的实施例中,在确定所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,所述第二网元继续处理所述NF服务请求。具体的,在所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,所述第一网元接收来自所述第二网元的NF服务响应。可以看到,实施本发明实施例,在确保服务安全性的情况下,第一网元和第二网元的正常功能不会受到影响。
基于第一方面或第二方面,在可能的实施例中,所述第二网元对所述第一证书信息进行校验之前,还包括:所述第二网元根据所述第一网元的证书,生成第二证书信息;相应的,所述第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致,包括:所述第二网元检验所述第一证书信息与所述第二证书信息是否相同。也即是说,收到所述token后,所述第二网元触发进一步确定所述第一证书信息与第二证书信息是否相同。
在一些可能实施例,当第二网元与第一网元做双向认证(mutualauthentication)时,第一网元可向第二网元发送第一网元的证书。在又一些可能实施例,也可以在第一网元与第二网元做了双向认证之后,第一网元向第二网元发送第一网元的证书。在又一些可能实施例,也可以预先在第二网元中配置第一网元的证书,等等。
在一些可能实施例,第一证书信息是第二控制面网元(如NRF)生成的,第二控制面网元根据第一网元的证书生成的第一证书信息的方式和第二网元根据第一网元的证书生成第二证书信息的方式相同。
其中,第一网元可以是服务的消费者(可称为NF1)。第二网元可以是服务的提供者(可称为NF2)。
可以看到,发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得NF2既能校验token,又能通过本地保存NF1证书生成证书信息,来校验token中所携带的证书信息。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
基于第一方面或第二方面,在可能的实施例中,所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识;所述第二网元检验所述第一证书信息与所述第二证书信息是否相同,包括:所述第二网元检验所述token的请求者的标识与所述第一网元的标识是否相同。也即是说,收到所述token后,所述第二网元触发进一步确定所述token的请求者的标识与所述第一网元的标识是否相同。
在可能的实施例中,所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型;所述第二网元检验所述第一证书信息与所述第二证书信息是否相同,包括:所述第二网元检验所述token的请求者的NF类型与所述第一网元的NF类型是否相同。也即是说,收到所述token后,所述第二网元触发确定所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
可以看到,发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得NF2既能校验token,又能通过本地保存NF1证书生成证书信息,来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1的NF类型是否合法。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
基于第一方面或第二方面,在可能的实施例中,所述第一网元为服务的请求者,所述第二网元为第一控制面网元(例如可以是SFSF);所述第一证书信息例如包括所述token的请求者的标识或NF类型;所述第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致,包括:所述第一控制面网元根据所述第一网元的证书,生成第四证书信息;所述第一控制面网元检验所述第一证书信息与所述第四证书信息是否相同;若检验结果为所述第一证书信息与所述第四证书信息相同,则确定所述token的请求者和所述第一网元的身份是一致的。
也即是说,收到所述token后,所述第二网元触发确定所述第一证书信息与第四证书信息是否相同。其中,所述第四证书信息是所述第一控制面网元根据所述第一网元的证书生成的。
在可能的实施例中,在确定所述token的请求者和所述第二网元的身份一致的情况下,所述第一控制面网元将所述NF服务请求转发至作为服务的提供者的网元。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得第一控制面网元能够提前用本地保存NF1证书来校验token中所携带的证书信息。如果合法才继续让NF2校验token,否则可以拒绝来自NF1的NF服务请求。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,又有利于节省NF2的功耗开销。
基于第一方面,在可能的实施例中,所述第一网元为所述token的请求者;相应的,所述第一网元获取NF服务对应的token,包括:所述第一网元向第二控制面网元发送token获取请求;所述第一网元接收所述第二控制面网元返回的token,所述token中的所述第一证书信息是所述第二控制面网元根据所述第一网元的证书生成的。
基于第一方面或第二方面,在可能的实施例中,token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的类型,期望的服务名称,有效期和第一证书信息。
本发明又一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的实例ID,期望的服务名称,有效期和第一证书信息。
基于第一方面或第二方面,在可能的实施例中,token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,第一证书信息,NF2的类型,期望的服务名称,有效期。
本发明又一些实施例中,claim中可包括NRF的实例ID,第一证书信息,NF2的实例ID,期望的服务名称,有效期。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,在token中利用证书信息替换掉NF1的实例ID,从而能够维持token中的参数个数不变,从而能够节省数据开销,提升对现有架构的适用性。
基于第一方面或第二方面,在可能的实施例中,也可在NRF预先已保存NF1的实例ID与NF1的第三证书信息之间的映射关系,实现证书和token的绑定,使得NF2既能校验token,又能调用NRF进行校验第二证书信息和token中的token请求者的实例ID是否满足该映射关系,从而确认NF1的身份和/或NF1的NF类型是否合法。
基于第一方面或第二方面,在可能的实施例中,也可通过使NRF预先已保存NF1的实例ID与NF1的第三证书信息之间的映射关系,实现证书和token的绑定,使SFSF提前调用NRF校验第四证书信息和token中的token请求者的实例ID是否满足该映射关系,从而确认NF1的身份和/或NF1的NF类型是否合法。如果合法才继续让NF2校验token,否则可以拒绝来自NF1的NF服务请求。
基于第一方面或第二方面,在可能的实施例中,在身份校验中也可能同时存在两种(或两种以上)的身份校验,例如可能同时校验NF1的实例ID和校验证书信息,又例如可能同时校验NF1的NF类型和校验证书信息。
基于第一方面或第二方面,在可能的实施例中,在身份校验中除了token的校验外,还可以包括更多类型的验证,比如对数字签名(Sign)的校验。
第三方面,本发明实施例提供了一种装置,包括:通信模块,用于接收来自第一网元的网络功能(NF)服务请求;所述NF服务请求包括令牌(token),所述token包括第一证书信息;校验模块,用于对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;处理模块,用于在确定所述第一证书信息所表征的身份和所述第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求。
该装置可用于实现第一方面任一实施例所描述的方法。
第四方面,本发明实施例提供了又一种装置,包括:通信模块,用于获取NF服务对应的令牌(token),所述token包括所述token的请求者的第一证书信息;所述通信模块还用于,发送NF服务请求至第二网元,所述NF服务请求包括所述token,所述token用于触发所述第二网元确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;所述通信模块还用于,在所述token的请求者和所述第二网元的身份不一致的情况下,接收来自所述第二网元的拒绝消息。
该装置可用于实现第二方面任一实施例所描述的方法。
第五方面,本发明实施例提供一种硬件设备,所述设备包括处理器、存储器和通信接口,所述处理器、存储器和通信接口可通过总线连接或耦合在一起;其中:所述存储器用于存储数据和程序指令;所述通信接口用于实现与外界设备通信;所述处理器用于调用程序指令,以实现如第一方面任一实施例所描述的方法。
第六方面,本发明实施例提供又一种硬件设备,所述设备包括处理器、存储器和通信接口,所述处理器、存储器和通信接口可通过总线连接或耦合在一起;其中:所述存储器用于存储数据和程序指令;所述通信接口用于实现与外界设备通信;所述处理器用于调用程序指令,以实现如第二方面任一实施例所描述的方法。
第七方面,本发明实施例提供了一种非易失性计算机可读存储介质;所述计算机可读存储介质用于存储第一方面所述方法的实现代码。所述程序代码被计算设备执行时,所述计算设备用于第一方面任一实施例所述方法。
第八方面,本发明实施例提供了又一种非易失性计算机可读存储介质;所述计算机可读存储介质用于存储第二方面所述方法的实现代码。所述程序代码被计算设备执行时,所述用户设备用于第二方面任一实施例所述方法。
第九方面,本发明实施例提供了一种计算机程序产品;该计算机程序产品包括程序指令,当该计算机程序产品被计算设备执行时,执行前述第一方面任一实施例所述方法。
第十方面,本发明实施例提供了一种计算机程序产品;该计算机程序产品包括程序指令,当该计算机程序产品被计算设备执行时,执行前述第二方面任一实施例所述方法。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,第二网元可对token中携带的证书信息进行校验,进而确定token的请求者和第一网元的身份是否一致的,即确认token是否是安全合法的,进一步地,确定第一网元的标识和/或第一网元的NF类型是否合法。所以,实施本发明实施例,能够实现在网络功能服务消费者向网络功能服务提供者请求服务的过程中校验网络功能服务消费者的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
附图说明
为了更清楚地说明本发明实施例或背景技术中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
图1为一种公共陆地移动网络的网络切片及不同网络切片的网络功能的分布示意图;
图2为本发明实施例涉及的一种系统架构图;
图3为本发明实施例涉及的又一种系统架构图;
图4为网络功能服务的身份校验方法
图5为本发明实施例的一种网络功能服务的身份校验方法的流程示意图;
图6为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图7为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图8为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图9为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图10为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图11为本发明实施例的一种设备的结构示意图;
图12为本发明实施例的一种装置的结构示意图;
图13为本发明实施例的又一种装置的结构示意图;
图14为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图;
图15为本发明实施例的又一种网络功能服务的身份校验方法的流程示意图。
具体实施方式
下面结合本发明实施例中的附图对本发明实施例进行描述。本发明的实施方式部分使用的术语仅用于对本发明的具体实施例进行解释,而非旨在限定本发明。
在5G通信系统中,提出了基于服务的架构(Service Based Architecture,SBA),SBA基于云原生构架设计,借鉴了IT领域的“微服务(Micro Service)”理念。微服务就是指将单体式应用程序(Monolithic)拆分为多个粒度更小的微服务,微服务之间通过API交互,且每个微服务独立于其他服务进行部署、升级、扩展,可在不影响客户使用的情况下频繁更新正在使用的应用。基于这样的设计理念,SBA包括了网络功能服务(Network FunctionService,NFS)和基于服务的接口(如串行外设接口(Serial Based Interface,SBI))。网元的软件功能转换为网络功能(NF)后,NF再被分解为多个模块化的NFS,每个NFS都具有独立自治的特点,并通过基于服务的接口来展现其功能,因此NFS可以被授权的NF灵活使用。示例性地,以AMF网元为例,AMF可包括4个NFS,分别是Namf_Communication,Namf_EventExposure,Namf_MT,Namf_Location。
5G中的网络切片是指支持特定通信业务需求的逻辑网络功能实例的集合。网路切片最终实现接入网(Residential Access Network,RAN)与核心网的NF实例之间的动态连接,配置端到端的业务链,实现灵活组网,从而实现网络可定制化的服务。运营商可以根据各个具体通信业务对容量、覆盖、速率、时延以及可靠性等关键性能指标的需求确定网络切片,网络切片包括NF实例集合和运行这些NF实例所需的网络资源,从而为用户提供所需的电信服务业务和网络能力服务,满足特定的市场场景以及需求。
参见图1,图1为一种公共陆地移动网络(Public Land Mobile Network,PLMN)的网络切片及不同网络切片的NF的分布示意图,如图1所示,用户设备通过无线接入网节点接入PLMN,PLMN被切分为三个网络切片,每个网络切片包含一组特定功能的NF,一个NF由一个或多个NFS组成,位于不同网络切片的NF1可为同一种类型的NF(如图示中网络切片A中的NF1和网络切片B中的NF1的类型相同),位于不同网络切片的NF2可为同一种类型的NF(如图示中网络切片A中的NF2和网络切片B中的NF2的类型相同)。位于不同网络切片的NF之间可以是相互隔离的,即便它们是同一种类型的NF。此外,也可以存在需要在多个网络切片之间共享的NF(如图1中的NF3)。
每个网络切片所包含的NF中,NF(或NFS)可以作为网络功能服务提供者(NFservice producer),提供应用程序编程接口(Application Programming Interface,API)供其他NF调用;NF(或NFS)也可以作为网络功能服务消费者(NF service consumer),调用其他NF的API。
举例来说,网络功能服务消费者(如记为NF1)可以为AUSF类型,网络功能服务提供者(如记为NF2)可以为UDM类型。NF1向NF2请求的一个服务可以为“Nudm_UEAuthentication_Get service operation”,这个服务需要NRF的授权。通过这个服务,NF1可以从NF2获得UE的认证向量。
本文中,网络功能服务消费者又可简称为服务的请求者,网络功能服务提供者又可简称为服务的提供者。此外,向NRF请求令牌(token)的NF(或NFS)又可称为token的请求者。
本发明提供的技术方案可以应用于5G通信系统或者LTE系统等移动通信系统,或者其他授权相关的系统中,主要应用于以NF为中心的服务化网络架构下,不同NF之间进行服务交互授权的场景。下文主要以5G通信系统为例进行方案的描述,需了解的是,本发明的技术思想也可以应用在其他通信系统中。
参见图2,图2为本申请提供的一种网络架构示意图,该网络架构包括用户设备、接入网设备和运营商网络(如5G网络系统),运营商网络又包括核心网和数据网,用户设备通过接入网节点接入运营商网络。具体描述如下:
用户设备(User Equipment,UE),UE为逻辑实体,具体的,UE可以是终端设备(Terminal Equipment)、通信设备(Communication Device)、物联网(Internet ofThings,IoT)设备中的任意一种。其中,终端设备可以是智能手机(smart phone)、智能手表(smart watch),智能平板(smart tablet)等等。通信设备可以是服务器、网关(Gateway,GW)、控制器等等。物联网设备可以是传感器,电表以及水表等等。
无线接入网(Radio Access Net,RAN),RAN负责UE的接入,RAN可以是基站、无线保真(Wireless Fidelity,Wi-Fi)接入点、以及蓝牙接入点等等。
数据网络(Data network,DN),数据网络DN也被称为PDN(Packet Data Network)DN可以为运营商外部网络,也可以为运营商控制的网络,用于向用户提供业务服务。
核心网(core network,CN),CN作为承载网络提供到DN的接口,为UE提供通信连接、认证、管理、策略控制以及对数据业务完成承载等。其中,CN又包括:接入和移动管理网元、会话管理网元,认证服务器网元、策略控制节点、应用功能网元、用户面节点等,相关描述具体如下:
接入与移动管理功能(Access and Mobility Management Function,AMF),由运营商提供的控制面网元,负责UE接入运营商网络的接入控制和移动性管理。
会话管理功能(Session Management Function,SMF),由运营商提供的控制面网元,负责管理UE的数据包的会话。
认证服务器功能(Authentication Server Function,AUSF),认证服务器功能网元AUSF是由运营商提供的控制面网元,可用于运营商网络对网络签约用户的认证。
统一数据管理网元(Unified Data Manager,UDM),由运营商提供的控制面网元,负责存储运营商网络的签约用户持久标识(Subscriber Permanent Identifier,SUPI)、注册信息、信任状(credential)、签约数据等。
网络暴露功能(Network Exposure Function,NEF),NEF是由运营商提供控制面网元。NEF以安全的方式对第三方暴露运营商网络的对外接口。
应用功能(Application Function,AF):用于存储业务安全需求,提供策略判定的信息。
用户面节点功能(User Plane Function,UPF):UPF可以是网关、服务器、控制器、用户面功能网元等。UPF可以设置在运营网内部,也可以设置在运营网外部。UPF是由运营商提供的用户面网元,是运营商网络与DN通信的网关。
网络功能仓储功能(NF Repository Function,NRF),NRF负责NF自动化管理、选择和可扩展,具体包括NFS注册登记、发现、状态监测、服务的授权等,实现网络功能和服务的按需配置及NF间的互连。NF上电时主动向NRF报备自身NFS的信息,并且能够通过NRF寻找合适的对端NFS。每个网络功能服务消费者(NF service consumer)都需要在NRF实体上进行注册,以获得服务对应的token。在本发明可能的实施例中,NRF还可以用于校验NF的证书信息与NF实例ID之间的映射关系,或者用于NF的证书信息与NF类型之间的映射关系。在具体的实现中,NRF例如可以是网元、控制器或服务器等功能实体。
其中,N1、N2、N3、N4和N6为相应网元之间的接口。
本发明实施例中的NF可以是NEF、PCF、UDM、AF、AUSF、AMF、SMF、或UPF中的网络功能,甚至在可能的实现中,NF还可能是UE、RAN或DN中的网络功能。在具体的实现中,NF也可以为终端、基站、网元、控制器或服务器等功能实体。
其中,各NF的API包括:AMF服务化接口(Service-based interface exhibited byAMF,Namf)、SMF服务化接口(Service-basedinterface exhibited by SMF,Nsmf)、NEF服务化接口(Service-based interface exhibited by NEF,Nnef)、NRF服务化接口(Service-based interface exhibited by NRF,Nnrf)、PCF服务化接口(Service-based interfaceexhibited by PCF,Npcf)、UDM服务化接口(Service-based interface exhibited byUDM,Nudm)、AUSF服务化接口(Service-based interface exhibited by AUSF,Nausf)、AF服务化接口(Service-based interface exhibited by AF,Naf)等不做限制。
在上述网络架构下,网络功能服务消费者(NF service consumer)和网络功能服务提供者(NF service producer)之间可根据相关接口直接进行通信交互(服务交互)。
参见图3,图3为本申请提供的又一种网络架构示意图,该网络架构包括用户设备、接入网设备和运营商网络,运营商网络又包括核心网和数据网,用户设备通过接入网节点接入运营商网络。图3所示网络架构与图2所示网络架构的区别主要在于,在图3所示网络架构中,除了图2所示的网元外,还包括服务架构支撑功能(Service Framework SupportFunction,SFSF)。
SFSF主要用于支持注册、发现、授权、转发、校验等功能的至少一项,不同的NF之间可通过SFSF实现通信交互(服务交互)。例如可以支持转发和校验等等。一些应用场景中,SFSF也可能叫做SeCoP或者服务通信代理(service communication proxy,SCP)。本发明实施例中,SFSF主要用于执行服务通信的转发和代理校验。可能的实施例中,SFSF可以用于校验证书信息,或用于校验NF的证书信息与NF实例ID之间的映射关系,或者用于NF的证书信息与NF类型之间的映射关系。在具体的实现中,SFSF实体例如可以是网元、控制器或服务器等实体。
在上述网络架构下,网络功能服务消费者(NF service consumer)和网络功能服务提供者(NF service producer)之间需通过SFSF进行通信交互(服务交互)。
首先参见图4,图4是本发明实施例提供的一种网络功能服务的身份校验方法的流程示意图,该方法包括但不限于以下步骤:
S1:第一网元获取NF服务对应的令牌(token),所述token包括所述token的请求者的第一证书信息;
具体的,第一网元可向第二控制面网元发送token获取请求;所述第二控制面网元根据所述第一网元的证书生成的第一证书信息,并将第一证书信息携带于token。所述第二控制面网元向第一网元发送token获取响应,token获取响应中包括该token。
本发明实施例中,第一网元可以是具有一定功能的网元实体,比如NF(或NFS),具体实施例中,第一网元可以是网络功能服务消费者(NF service consumer),即作为服务(service)的请求者。在其他场景中,第一网元也可以为终端,基站,核心网网元,控制器或服务器等实体,这里不做限制。为描述方便,后续主要以第一网元为NF(或NFS)为例进行描述。
本发明实施例中,第二控制面网元为用于注册登记、服务授权的功能实体,负责对第一网元的控制。具体实施例中,第二控制面网元可以为NRF。在其他场景中,也可以为终端,基站,核心网网元,控制器或服务器等实体,这里不做限制。为描述方便,后续主要以第一网元为NRF为例进行描述。
S2:第一网元发送NF服务请求给第二网元;所述NF服务请求包括令牌(token),所述token包括所述token的请求者的第一证书信息。
本发明实施例中,第二网元可以是具有一定功能的网元实体,比如NF(或NFS),具体实施例中,第二网元可以是网络功能服务提供者(NF service producer),即作为服务(service)的提供者。在其他场景中,第二网元也可以为终端,基站,核心网网元,控制器或服务器等实体,这里不做限制。为描述方便,当第二网元为服务的提供者时,主要以第二网元为NF(或NFS)为例进行描述。这种情况下,第一网元通过NF服务请求向第二网元请求相应的服务。
本发明实施例中,第二网元也可以是控制面网元(可称为第一控制面网元),第一控制面网元为可用于对第一网元的进行数据转发、身份校验等等。具体实施例中,第一控制面网元可以为SFSF。在其他场景中,也可以为终端,基站,核心网网元,控制器或服务器等实体,这里不做限制。为描述方便,后续主要以第一控制面网元为SFSF为例进行描述。这种情况下,第一网元向第一控制面网元发送NF服务请求后,第一控制面网元可用于根据token进行第一网元身份的校验,还可用于在第一网元和服务提供者之间进行消息的传递。
S3:第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致。
其中,第一证书信息所表征的身份即为token的请求者(即向NRF请求授权该token的网元实体)的身份。
本发明实施例中,第一网元可能是NF服务请求中的token的请求者,也可能不是该token的请求者。为了确保token的请求者和第一网元是同一个网元,避免token是被窃取而来的,第二网元根据第一证书信息对第一网元的身份进行校验,以确定所述token的请求者和所述第一网元的身份是否一致。
当所述第二网元是服务的提供者时,所述第二网元可根据所述第一网元的证书生成第二证书信息,检验所述第一证书信息与所述第二证书信息是否相同。例如,当所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识,那么可检验所述token的请求者的标识与所述第一网元的标识是否相同。又例如,当所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型,那么可检验所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
当所述第二网元是第一控制面网元时,所述第一控制面网元可根据所述第一网元的证书生成第四证书信息,检验所述第一证书信息与所述第四证书信息是否相同(如标识或类型是否相同)。
当不同的证书信息之间内容相同,或当不同的证书信息之间的NF标识或NF类型相同,那么可认为所述token的请求者和所述第一网元的身份是一致的,此时token是安全合法的。
当不同的证书信息之间内容不相同,或当不同的证书信息之间的NF标识或NF类型不相同,那么可认为所述token的请求者和所述第一网元的身份是不一致的,此时token可能是不安全不合法的。
S4:在确定所述第一证书信息所表征的身份和所述第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求,例如第二网元向所述第一网元发送拒绝消息,第二网元丢弃所述NF服务请求。
S5:在确定所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,所述第二网元继续处理所述NF服务请求。
在确定所述token的请求者和所述第二网元的身份一致的情况下,所述第二网元继续处理所述NF服务请求。
例如,当所述第二网元是服务的提供者时,第二网元可以继续校验token,以及校验通过后执行相应的服务,向第一网元返回NF服务响应等等。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,第二网元可对token中携带的证书信息进行校验,进而确定token的请求者和第一网元的身份是否一致的,即确认token是否是安全合法的,进一步地,确定NF1的标识和/或NF1的NF类型是否合法。所以,实施本发明实施例,能够实现在网络功能服务消费者向网络功能服务提供者请求服务的过程中校验网络功能服务消费者的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
基于上文的系统架构和相关描述,本发明实施例进一步提供了一些网络功能服务的身份校验方法。
本文中为了便于区分,可将NF1发送给NF2的token中携带的证书信息称为第一证书信息,可将NF2根据NF1的证书生成的证书信息称为第二证书信息,可将NRF根据NF1的证书生成的证书信息称为第三证书信息,将SFSF根据NF1的证书生成的证书信息称为第四证书信息。第二证书信息和第三证书信息可以是一致的;但是第一证书信息和第二证书信息可能是一致的,也可能是不一致的;第一证书信息和第三证书信息可能是一致的,也可能是不一致的。同理,第四证书信息和第三证书信息可以是一致的;但是第一证书信息和第四证书信息可能是一致的,也可能是不一致的。
此外,本文中可将证书内NF1的标识称为NF1的第二标识,将token中NF1的实例ID称为NF1的第一标识。第一标识与第二标识不相同。
参见图5,图5是本发明实施例提供的一种网络功能服务的身份校验方法的流程示意图,该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF申请并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。
NF1向NRF申请并获得服务对应的token的过程可包括但不限于S1-S4,描述如下:
S1:NRF获取并保存NF1的证书。
本发明实施例中,证书是对于NF身份的证明,证书可以由证书中心分发。具体的,对于NF1的证书,可包括NF1的标识,还可能包括NF1的NF类型。证书内NF1的标识(即第二标识)可以是NF1的唯一标识,例如可以为NF1的NAI地址、FQDN地址、IP地址、或设备号等等。
具体的,在一些可能实施例,当NF1向NRF注册时,可以在注册信息中携带NF1的证书。这样,NRF收到注册信息后,可获得并NF1的证书并保存在NRF本地。
在又一些可能实施例,当NF1与NRF做双向认证(mutual authentication)时,NF1可向NRF发送NF1的证书,相应的,NRF收到NF1的证书并保存在NRF本地。
在又一些可能实施例,也可以在NF1与NRF做了双向认证之后,NF1发送NF1的证书给NRF。
在又一些可能实施例,也可以预先在NRF中配置NF1的证书。
此外,NRF还可能通过其他方式获得NF1的证书,本发明不做限制。
S2:NF1发送token获取请求至NRF。
在一些可能的实施例中,该token获取请求可包括:NF1的实例ID(NF Instance Id(s)of the NF service consumer),期望的服务名称(expected NF service name(s)),期望的NF2的NF类型,有效期(expiration time),NF1的NF类型(NF type of the NF Serviceproducer)。本文中NF类型用于指示某一类功能的网元。举例来说,NF1的NF类型可以是AMF类型、SMF类型、UDM类型等等,本文不做限定。
在一些可能的实施例中,该token获取请求可包括:NF1的实例ID,期望的服务名称,NF2的实例ID。
可选的,token获取请求中还可以包括NF1的证书的相关信息,例如以下的至少一项NF1的证书本身,或者NF1的证书中NF1的标识,或者NF1的证书中NF1的类型。相应的,NRF获得NF1的证书的相关信息。
S3:NRF基于S1所获得的NF1的证书计算token。可选的,NRF还可以基于S2所获得的NF1的证书的相关信息计算token。token用来表明NRF授权该NF1拥有查看或者操作相应的服务的权限。
具体的,NRF可基于本地策略,计算token。此外,NRF还可能对token进行加密,和/或,还可能基于数字签名或者消息验证码的方式完整性保护此token。此处token的计算不做限制。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID(NF Instance Id of NRF),NF1实例ID,NF2的类型,期望的服务名称,有效期和第三证书信息。
本发明又一些实施例中,claim中可包括NRF的实例ID,NF1的实例ID,NF2的实例ID,期望的服务名称,有效期和第三证书信息。
其中,一些实施例中,上述第三证书信息可以为NF1的证书本身。又一些实施例中,上述第三证书信息也可以为对于NF1的证书进行操作而得到的信息,例如普通的映射处理,或者哈希(hash)函数方式的处理等。映射处理就是采用一种既定规则,将NF1的证书执行一种函数映射的操作。哈希处理即为采用哈希算法或者哈希算法类型的算法处理,输出一个定长的参数,此时参数可以理解为处理前参数的摘要。
又一些实施例中,上述第三证书信息也可以为NF1的证书中NF1的标识(即第二标识)。又一些实施例中,上述第三证书信息也可以为对于证书中NF1的标识进行哈希处理而得到的信息。
又一些实施例中,上述第三证书信息也可以为证书中NF1的NF类型。又一些实施例中,上述第三证书信息也可以为对于证书中NF1的NF类型进行哈希处理而得到的信息。
S4:NRF发送token获取响应至NF1,所述token获取响应中携带token。
可选实施例中,NF1收到该token,还可以根据NF1本地保存的证书校验token中的第三证书信是否正确。
可选实施例中,如果token是密文的形式,这时候NF1可能会读取token内的第三证书信息失败,所以NRF还可以发送token获取响应的同时还发送token中的第三证书信息给NF1,NF1收到该第三证书信息后,根据NF1本地保存的证书来校验token中的第三证书信息是否正确。
若上述校验结果为正确,那么NF1可采用该token执行后续方法流程。
若上述校验结果为错误,那么NF1还可以发送第三证书信息错误的指示或者错误消息至NRF。所示错误消息指示第三证书信息校验失败
NF1与NF2进行通信交互的过程可包括但不限于S5-S8(S8包括S8-1和S8-2),描述如下:
S5:NF2获得NF1的证书。
在一些可能实施例,当NF1与NF2做双向认证(mutual authentication)时,NF1可向NF2发送NF1的证书,相应的,NF2收到NF1的证书并保存在NF2本地。
在又一些可能实施例,也可以在NF1与NRF做了双向认证之后,NF1发送NF1的证书给NF2。
在又一些可能实施例,也可以预先在NF2中配置NF1的证书。
此外,NF2还可能通过其他方式获得NF1的证书,本发明不做限制。
还需要说明的是,本发明并不限定S5与前述S1-S4中的任一步骤之间的先后顺序。
S6:NF1发送NF服务请求(或称业务请求)至NF2,NF服务请求中包括token。相应的,NF2接收所述NF服务请求。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的类型,期望的服务名称,有效期和第一证书信息。
本发明又一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的实例ID,期望的服务名称,有效期和第一证书信息。
S7:NF2校验token中的第一证书信息。
一些实施例中,可以先获取token中的第一证书信息并校验第一证书信息,校验通过的情况下再继续校验token的其他内容。
又一些实施例中,也可以先校验token的其他内容,校验通过的情况下再继续校验token。
其中,NF2校验token中的第一证书信息的方法可以是:NF2可采用与NRF相同的方式,根据自己本地保存的NF1的证书,计算得到第二证书信息。然后,校验第二证书信息与token中的第一证书信息是否相同,例如校验两者各自包含的NF1的第二标识是否相同,又例如校验两者各自包含的NF1的类型是否相同。若相同则校验第一证书信息通过,这说明token的请求者和服务的请求者是同一个NF(即该NF1)。否则校验第一证书信息不通过,说明token的请求者和服务的请求者可能并不是同一个NF(如token可能是窃取的)。
其中,NF2校验token中的其他内容的方法可以是以下一种或多种:校验数字签名或者消息验证码的正确性;校验NF2的类型是否与token中NF2的类型一致;校验NF2的实例ID与token中NF2的实例ID是否一致;校验NF1请求的服务名称是否属于token中期望的服务名称范围;根据当前时间校验token中的有效期确定是否过期,等等不做限制。
当上述校验token和校验token中的其他内容皆通过时,后续执行S8-1。
当上述校验token和校验token中的其他内容至少一个不通过时,后续执行S8-2。
S8-1:NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S8-2:可选的,NF2可发送错误响应至NF1。更进一步的,此错误响应可以包括错误指示,所述错误指示例如可用于指示NF1的第二标识或者NF1的类型校验不通过。
可选的,NF2可发送拒绝消息至NF1,拒绝消息用于表示NF2拒绝NF1的所述NF服务请求。
可选的,NF2也可直接丢弃所述NF服务请求。
现有技术中,由于证书中NF1的ID与token中的NF1实例ID不一样。NF2校验NF1发送的token时也没法校验NF1的身份。所以NRF或者NF2均无法确定申请token的NF和向NF2请求服务的NF是否为同一NF。
而本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得NF2既能校验token,又能通过本地保存NF1证书来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1的NF类型是否合法。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
更进一步的,针对本发明所有实施例的重点为生成token中如何包含证书信息,如何生成token,以及如何验证证书信息。对于token中其他参数的写入,以及校验,不做限制。本发明仅给出可能的其他参数的方式,用于实施例的完整表述。
参见图6,图6是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF请求并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。图6实施例与图5实施例所示方法的主要区别在于,图5实施例的token中同时包括NF1的实例ID和第一证书信息,图6实施例直接将token中的NF1的实例ID替换为第一证书信息。简要描述如下。
NF1向NRF申请并获得服务对应的token的过程可包括但不限于S1-S4,描述如下:
S1:NRF获取并保存NF1的证书。相关内容可参考图5实施例的S1的描述,这里不再赘述。
S2:NF1发送token获取请求至NRF。相关内容可参考图5实施例的S2的描述,这里不再赘述。
S3:NRF基于S1所获得的NF1的证书计算token。
具体的,NRF可基于本地策略,计算token。此外,NRF还可能对token进行加密,和/或,还可能基于数字签名或者消息验证码的方式完整性保护此token。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID(NF Instance Id of NRF),第三证书信息,NF2的类型,期望的服务名称,有效期。
本发明又一些实施例中,claim中可包括NRF的实例ID,第三证书信息,NF2的实例ID,期望的服务名称,有效期。
同理,一些实施例中,上述第三证书信息可以为NF1的证书本身。又一些实施例中,上述第三证书信息也可以为对于NF1的证书进行哈希(hash)处理而得到的信息。又一些实施例中,上述第三证书信息也可以为NF1的证书中NF1的标识(即第二标识)。又一些实施例中,上述第三证书信息也为对于证书中NF1的标识进行哈希处理而得到的信息。又一些实施例中,上述第三证书信息也可以为证书中NF1的NF类型。又一些实施例中,上述第三证书信息也可以为对于证书中NF1的NF类型进行哈希处理而得到的信息。
S4:NRF发送token获取响应至NF1,所述token获取响应中携带token。相关内容可参考图5实施例的S4的描述,这里不再赘述。
NF1与NF2进行通信交互的过程可包括但不限于S5-S8,详细内容同理可参考图5实施例S5-S8的描述。其中:
S5:NF2获得NF1的证书。
S6:NF1发送NF服务请求至NF2,NF服务请求中包括token。相应的,NF2接收所述NF服务请求。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,第一证书信息,NF2的类型,期望的服务名称,有效期。
本发明又一些实施例中,claim中可包括NRF的实例ID,第一证书信息,NF2的实例ID,期望的服务名称,有效期。
S7:NF2校验token中的第一证书信息。
S8-1:NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S8-2:可选的,发送错误响应至NF1,用来告知NF1,token中证书信息校验失败。
可选的,NF2可发送拒绝消息至NF1,拒绝消息用于表示NF2拒绝NF1的所述NF服务请求。
可选的,NF2也可直接丢弃所述NF服务请求。
可以看到,本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得NF2既能校验token,又能通过本地保存NF1证书来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1的NF类型是否合法。而且,在token中利用证书信息替换掉NF1的实例ID,从而能够维持token中的参数个数不变,从而能够节省数据开销,提升对现有架构的适用性。实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性。
参见图7,图7是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF申请并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。图7实施例与图5实施例所示方法的主要区别在于,图5实施例中NF2本地生成第二证书信息来校验token中的第一证书信息,而图7实施例中NRF保存了NF1的第三证书信息与NF1的实例ID之间的映射关系,NF2需向NRF请求校验NF2所生成的第二证书信息和token中的token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1)是否满足映射关系。具体描述如下。
NF1向NRF申请并获得服务对应的token的过程可包括但不限于S1-S5,描述如下:
S1:NRF获取并保存NF1的证书。
具体实施例中,NF1在NRF注册时,向NRF发送注册信息,注册信息携带NF1的证书。或者,NF1与NRF做双向互认证的时候,NRF会获得NF1的证书。或者,NF1与NRF做了双向认证之后,NF1发送自己的证书给NRF。或者,NRF预置了NF1的证书。关于NRF获取NF1的证书的方式不做限制。
S2:NRF本地保存NF1的实例ID与第三证书信息之间的映射关系。
具体的,NF1在NRF注册时,会在注册信息中携带NF1的实例ID至NRF,从而使NRF获得NF1的实例ID。NRF根据NF1的证书获得第三证书信息,并在本地保存NF1的实例ID与第三证书信息之间的映射关系。或者本地配置了NF1的实例ID等获取方式不做限制。
其中,一些实施例中,上述第三证书信息可以为NF1的证书本身。又一些实施例中,上述第三证书信息也可以为对于NF1的证书进行哈希(hash)处理而得到的信息。
又一些实施例中,上述第三证书信息也可以为NF1的证书中NF1的标识(即第二标识)。又一些实施例中,上述第三证书信息也可以为对于证书中NF1的标识进行哈希处理而得到的信息。
又一些实施例中,上述第三证书信息也可以为证书中NF1的NF类型。又一些实施例中,上述第三证书信息也可以为对于证书中NF1的NF类型进行哈希处理而得到的信息。
S3:NF1发送token获取请求至NRF,可选的,token获取请求中还可以包括NF1的证书的相关信息。具体内容可参考图5实施例S2的描述,这里不再赘述。
S4:NRF基于现有的方式计算token。需要说明的是,这里的token可不包括第三证书信息。
具体的,NRF可基于本地策略,计算token。此外,NRF还可能对token进行加密,和/或,还可能基于数字签名或者消息验证码的方式完整性保护此token。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,NF1的实例ID,NF2的类型,期望的服务名称和有效期。
本发明又一些实施例中,claim中可包括NRF的实例ID,NF1的实例ID,NF2的实例ID,期望的服务名称和有效期。
可选的,假如NRF没有在S2中保存有NF1实例ID与第三证书信息的映射关系,此时NRF也可以根据S3中NF1发送的NF1的证书的相关信息,建立NF1实例ID与第三证书信息之间的映射关系。
S5:NRF发送token获取响应至NF1,所述token获取响应中携带token。具体内容可参考图5实施例S4的描述,这里不再赘述。
NF1与NF2进行通信交互的过程可包括但不限于S6-S12(S12包括S12-1和S12-2),描述如下:
S6:NF2获得NF1的证书。具体内容可参考图5实施例S5的描述,这里不再赘述。
S7:NF1发送NF服务请求至NF2,NF服务请求中包括token。相应的,NF2接收所述NF服务请求。
其中token包括声明(claim),本发明一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的类型,期望的服务名称,有效期和第一证书信息。
本发明又一些实施例中,claim中可包括NRF的实例ID,token请求者的实例ID(这里的token请求者可能是NF1,也可能不是NF1),NF2的实例ID,期望的服务名称,有效期和第一证书信息。
S8:NF2按照已有技术校验token。
例如,NF2校验token的方法可以是以下一种或多种:校验数字签名或者消息验证码的正确性;校验NF2的类型是否与token中NF2的类型一致;校验NF2的实例ID与token中NF2的实例ID是否一致;校验NF1请求的服务名称是否属于token中期望的服务名称范围;根据当前时间校验token中的有效期确定是否过期,等等。
S9:NF2根据NF1的证书计算第二证书信息,并发送token中token请求者的实例ID和第二证书信息至NRF。第二证书信息的计算方式可参考第一证书信息/第三证书信息的计算方式,这里不再赘述。
S10:NRF根据已保存的NF1的实例ID与NF1的第三证书信息之间的映射关系,确定从NF2接收到的token请求者的实例ID和第二证书信息是否满足该映射关系。如果满足,则代表校验通过。如果不满足,则代表校验不通过。
S11:若S10的校验通过,NRF发送校验结果至NF2,该校验结果用于指示校验通过。
需要说明的是,若S10的校验不通过,NRF发送校验结果至NF2,该校验结果用于指示校验不通过。该校验结果还可能直接表示token请求者的实例ID校验不通过。
S12-1:在S8的校验通过,且S10的校验结果指示校验通过的情况下,NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S12-2:可选的,若S8的校验和S10的校验中至少一个不通过时,NF2发送错误响应至NF1。更进一步的,此错误响应可以包括错误指示,所述错误指示例如可用于指示token请求者的实例ID不通过。
可选的,若S8的校验和S10的校验中至少一个不通过时,NF2可发送拒绝消息至NF1,拒绝消息用于表示NF2拒绝NF1的所述NF服务请求。
可选的,若S8的校验和S10的校验中至少一个不通过时,NF2也可直接丢弃所述NF服务请求。
需要说明的是,在其他的实施方案中,也可能先执行证书信息的验证,之后再验证token。即S8在S11之后执行。
需要说明的是:若上述NF2发送的第二证书信息,与NRF保存的第三证书信息不同。那么NRF获得了NF2发送的第二证书信息,且NRF保存有NF1的证书的hash的情况下,NRF可以通过安全处理第二证书信息(例如,利用hash处理第二证书信息),使得第二证书信息和第三证书信息相同。
需要说明的是,在一些变形的方案中,也可以设计NRF预先已保存的NF1的NF类型与NF1的第三证书信息之间的映射关系,设计token中携带有token请求者的NF类型,从而能确定从NF2接收到的token请求者的NF类型和第二证书信息是否满足映射关系。如果满足,则代表校验通过。如果不满足,则代表校验不通过。具体内容可参考图7实施例的上述过程实现,这里不再赘述。
可以看到,本发明实施例中通过使NRF预先已保存NF1的实例ID与NF1的第三证书信息之间的映射关系,实现证书和token的绑定,使得NF2既能校验token,又能调用NRF进行校验第二证书信息和token中的token请求者的实例ID是否满足该映射关系,从而确认NF1的身份和/或NF1的NF类型是否合法。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
参见图8,图8是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF申请并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。图8实施例与图7实施例所示方法的主要区别在于,图7实施例所示系统架构包括NF1,NF2和NRF,而图8实施例所示系统架构包括NF1,NF2,NRF和SFSF,具体描述如下。
NF1向NRF申请并获得服务对应的token的过程可包括但不限于S1-S5,相关具体内容可参考图7实施例S1-S5的描述,其中:
S1:NRF获取并保存NF1的证书。
S2:NRF本地保存NF1的实例ID与第三证书信息之间的映射关系。
S3:NF1发送token获取请求至NRF,可选的,token获取请求中还可以包括NF1的证书的相关信息。
S4:NRF基于现有的方式计算token,token可不包括第三证书信息,具体内容可参考图7实施例S4的描述,这里不再赘述。
S5:NRF发送token获取响应至NF1,所述token获取响应中携带token。
NF1与NF2进行通信交互的过程可包括但不限于S6-S13(S13包括S13-1和S13-2),描述如下:
S6:SFSF获得NF1的证书。
在一些可能实施例,当NF1与SFSF做双向认证(mutual authentication)时,NF1可向SFSF发送NF1的证书,相应的,SFSF收到NF1的证书并保存在SFSF本地。
在又一些可能实施例,也可以在NF1与NRF做了双向认证之后,NF1发送NF1的证书给SFSF。
在又一些可能实施例,也可以预先在SFSF中配置NF1的证书。
此外,SFSF还可能通过其他方式获得NF1的证书,本发明不做限制。
还需要说明的是,本发明并不限定S6与前述S1-S5中的任一步骤之间的先后顺序。
S7:NF1发送NF服务请求至SFSF,NF服务请求中包括token。相应的,SFSF接收所述NF服务请求。具体内容可参考图7实施例S7的描述,这里不再赘述。可选的,SFSF可以不校验token中的内容。
S8:SFSF根据NF1的证书计算第四证书信息,并发送token中token请求者的实例ID和第四证书信息至NRF。第四证书信息的计算方式可参考第一证书信息/第三证书信息的计算方式,这里不再赘述。
S9:NRF根据已保存的NF1的实例ID与NF1的第三证书信息之间的映射关系,确定从SFSF接收到的token请求者的实例ID和第四证书信息是否满足该映射关系。如果满足,则代表校验通过。如果不满足,则代表校验不通过。
S10:若S9的校验通过,NRF发送校验结果至SFSF,该校验结果用于指示校验通过。
需要说明的是,若S9的校验不通过,NRF发送校验结果至SFSF,该校验结果用于指示校验不通过。该校验结果还可能直接表示token请求者的实例ID校验不通过。
S11:在校验结果指示校验通过的情况下(即S9的校验通过),SFSF转发NF服务请求至NF2,NF服务请求包括token。
可选的,在校验结果指示校验不通过的情况下(即S9的校验不通过),SFSF可拒绝所述NF服务请求(如丢弃所述NF服务请求)。
可选的,在校验结果指示校验通过的情况下,SFSF发送校验成功指示至NF2。
S12:NF2收到NF服务请求后,NF2按照已有技术校验token,具体可参考图7实施例S8的描述。
S13-1:在S9的校验结果指示校验通过,且S12的校验通过的情况下,NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S13-2:可选的,若S9的校验和S12的校验中至少一个不通过时,NF2通过SFSF发送错误响应至NF1。更进一步的,此错误响应可以包括错误指示,所述错误指示例如可用于指示token请求者的实例ID不通过。
可选的,若S9的校验和S12的校验中至少一个不通过时,NF2可通过SFSF发送拒绝消息至NF1,拒绝消息用于表示NF2拒绝NF1的所述NF服务请求。
可选的,若S9的校验和S12的校验中至少一个不通过时,NF2也可直接丢弃所述NF服务请求。
需要说明的是:若上述SFSF发送的第四证书信息,与NRF保存的第三证书信息不同。那么NRF获得了SFSF发送的第四证书信息,且NRF保存有NF1的证书的hash的情况下,NRF可以利用hash处理第四证书信息,使得第四证书信息和第三证书信息相同。
需要说明的是,在一些变形的方案中,也可以设计NRF预先已保存的NF1的NF类型与NF1的第四证书信息之间的映射关系,设计token中携带有token请求者的NF类型,从而能确定从NF2接收到的token请求者的NF类型和第四证书信息是否满足映射关系。如果满足,则代表校验通过。如果不满足,则代表校验不通过。具体内容可参考图8实施例的上述过程实现,这里不再赘述。
可以看到,本发明实施例中通过使NRF预先已保存NF1的实例ID与NF1的第三证书信息之间的映射关系,实现证书和token的绑定,使得SFSF能够提前调用NRF校验第四证书信息和token中的token请求者的实例ID是否满足该映射关系,从而确认NF1的身份和/或NF1的NF类型是否合法。如果合法才继续让NF2校验token,否则可以拒绝来自NF1的NF服务请求。所以,实施本发明实施例既能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,又有利于节省NF2的功耗开销。
参见图9,图9是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF申请并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。图9实施例与图8实施例所示方法的主要区别在于,图8实施例中SFSF通过调用NRF来校验第四证书信息和token中的token请求者的实例ID是否满足该映射关系,从而确定NF1身份合法性,而图8实施例中SFSF可直接验证token中的证书信息来确定NF1身份合法性,具体描述如下。
NF1向NRF申请并获得服务对应的token的过程可包括但不限于S1-S4,一些实现中,S1-S4的具体内容可参考图5实施例S1-S4的描述,又一些实现中,S1-S4的具体内容可参考图6实施例S1-S4的描述。其中:
S1:NRF获取并保存NF1的证书。
S2:NF1发送token获取请求至NRF。
S3:NRF基于S1所获得的NF1的证书计算token。
一些实现中,token可同时包括第三证书信息和NF1实例ID;又一些实现中,token包括第三证书信息但不包括NF1实例ID。
S4:NRF发送token获取响应至NF1,所述token获取响应中携带token。
NF1与NF2进行通信交互的过程可包括但不限于S5-S10(S10包括S10-1和S10-2),描述如下:
S5:SFSF获得NF1的证书。具体可参考图8实施例S6的相关描述,这里不再赘述。
S6:NF1发送NF服务请求至SFSF,NF服务请求中包括token。具体内容可参考图8实施例S7的描述,这里不再赘述。
S7:SFSF校验token中的第一证书信息。
SFSF校验token中的第一证书信息的方法可以是:SFSF可采用与NRF相同的方式,根据自己本地保存的NF1的证书,计算得到第四证书信息。然后,校验第四证书信息与token中的第一证书信息是否相同,例如校验两者各自包含的NF1的第二标识是否相同,又例如校验两者各自包含的NF1的类型是否相同。若相同则校验第一证书信息通过,这说明token的请求者和服务的请求者是同一个NF(即该NF1)。否则校验第一证书信息不通过,说明token的请求者和服务的请求者可能并不是同一个NF(如token可能是窃取的)。
S8:在校验通过的情况下,SFSF转发NF服务请求至NF2,NF服务请求包括token。
可选的,在S7的校验不通过的情况下,SFSF可拒绝所述NF服务请求(如丢弃所述NF服务请求)。
S9:NF2收到NF服务请求后,NF2按照已有技术校验token,具体可参考图8实施例S12的描述。
S10-1:在S7的校验通过,且S9的校验通过的情况下,NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S13-2:可选的,若S7的校验和S9的校验中至少一个不通过时,NF2通过SFSF发送错误响应至NF1。更进一步的,此错误响应可以包括错误指示,所述错误指示例如可用于指示token请求者的实例ID不通过。
可选的,若S7的校验和S9的校验中至少一个不通过时,NF2可通过SFSF发送拒绝消息至NF1,拒绝消息用于表示NF2拒绝NF1的所述NF服务请求。
可选的,若S7的校验和S9的校验中至少一个不通过时,NF2也可直接丢弃所述NF服务请求。
而本发明实施例中通过设计token携带证书信息,实现证书和token的绑定,使得SFSF能够提前用本地保存NF1证书来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1的NF类型是否合法。如果合法才继续让NF2校验token,否则可以拒绝来自NF1的NF服务请求。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,又有利于节省NF2的功耗开销。
参见图10,图10是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该流程图为基于上文描述的图5-图9实施例中的任一实施例所述方法在漫游场景下的一种示例。
该方法中将作为网络功能服务消费者(NF service consumer)的NF(或NFS)简称为NF1,将作为网络功能服务提供者(NF service producer)的NF(或NFS)简称为NF2,该方法包括NF1向NRF注册并获得服务对应的token的过程和NF1与NF2进行通信交互的过程。
NF1向NRF注册并获得服务对应的token的过程可描述如下:通过S1-1,NF1完成与第一种授权服务节点vNRF之间的注册,通过S1-2,第一种授权服务节点vNRF与第二种授权服务节点hNRF之前完成双向认证。通过S2,NF1发送token获取请求至vNRF,通过S3,vNRF进一步发送token获取请求至hNRF;通过S4,hNRF可将hNRF本地生成的NF1的证书信息(或称第三证书信息)写入token,或者,token中可不包括证书信息,但hNRF本地保存有NF1的证书信息与NF1的实例ID之间的映射关系,或者NF1的证书信息与NF1的NF类型之间的映射关系。通过S5,hNRF将token获取响应返回给vNRF,以及通过S6,vNRF将token获取响应返回给NF1。从而,NF1拥有该授权的token。
NF1与NF2进行通信交互的过程可描述如下:通过S7,NF1基于安全边缘保护代理节点cSEPP和pSEPP的透传,将NF服务请求发送给NF2。NF服务请求包括token。
可选的,若token包括证书信息(或称第一证书信息),NF2可进一步校验证书信息,以确定token的请求者和服务的请求者是同一个NF(即NF1)。
可选的,若token不包括证书信息,NF2可进一步调用hNRF来校验token的请求者和服务的请求者是同一个NF(即NF1)。
可以理解的是,上述图5、图6和图7实施例都可以基于图10实施例的流程进行扩展/应用,这里不再赘述。
可能实施例中,NF1与NF2之间的交互过程还包括SFSF的参与,具体过程可参考图8、图9实施例予以实施,这里不再赘述。
可能实施例中,pSEPP接收到token后,也可以根据token做校验动作,类似于SFSF的校验,具体过程可参考图8、图9实施例予以实施,这里不再赘述。
在对NF1的身份校验和对token的校验均通过后,通过S8-1,NF2执行NF1所请求的服务并且发送NF服务响应至NF1。可选的,若对NF1的身份校验和对token的校验中至少一个不通过时,可通过S8-2,发送错误响应或者错误指示或拒绝消息至NF1,可选的,NF2还可直接丢弃NF服务请求。
需要说明的是,在可能的实现中,在漫游场景下还可包括两个SEPP,一个SEPP为cSEPP部署在NF1所在的网络,一个SEPP为pSEPP部署在NF2所在的网络。cSEPP接收到NF1发送的token,然后进行token的校验,类似参考图8实施例的步骤S7-S10或图9实施例的步骤S6-S7。如果token校验通过,则发送token至pSEPP,由pSEPP将token发送至NF2。如果token校验不通过,cSEPP则发送错误响应或者错误指示或者拒绝消息至NF1。可选的,cSEPP可以丢弃此消息。或者可选的,cSEPP发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,cSEPP可以在错误响应或者错误指示或者拒绝消息中指示token校验不通过。
还需要说明的是,对于上文给出的本发明任意实施例,当系统架构中包括SFSF时,SFSF具体可包括NF1侧的SFSF1以及NF2侧的SFSF2。
在一种可能的实现中,SFSF1接收到NF1发送的token,然后进行token的校验,类似参考图8实施例的步骤S7-S10或图9实施例的步骤S6-S7。如果校验通过后则发送token至SFSF2,由SFSF2进一步将token发送至NF2。
在另一种可能的实现中,还可能在SFSF1和SFSF2之间进一步部署cSEPP和pSEFF,SFSF1接收到NF1发送的token,然后进行token的校验,此时如果校验通过,则发送token至cSEPP,由cSEPP通过pSEPP发送至NF2,或者由cSEPP通过pSEPP和SFSF2将token发送至NF2。若token校验不通过,可选的,SFSF1可以丢弃此消息。或者可选的,SFSF1发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF1可以在错误响应或者错误指示或者拒绝消息中指示token校验不通过。
还需要说明的是,上文的实施例主要从如何生成token、如何在生成token中包含证书信息、以及如何校验token的角度进行方案论述;另外,还论述了通过NF1实例ID或者NF1的NF类型,与证书信息绑定的校验方式。本发明实施例还给出了token中一些可能存在的参数,用于实施例的完整表述。对于token中本文中未提及的其他参数的写入以及校验,或者token中是否包括其他新的参数,或者token中部分参数的减少等,本发明实施例均不做限制。
更进一步的,对于上文给出的本发明任意实施例,在身份校验中也可能同时存在两种(或两种以上)的身份校验,例如可能同时校验NF1的实例ID和校验证书信息,又例如可能同时校验NF1的NF类型和校验证书信息。相应的,身份校验失败时产生的错误指示(或者错误消息,或者错误响应,或者拒绝消息)可用于指示校验失败,或者用于分别指示这两种身份校验方式皆校验失败,或者用于指示为至少一种身份校验方式的校验失败。
更进一步的,在本发明可能的实施例中,在身份校验中还可以包括更多类型的校验,比如对数字签名(Sign)的校验,下面以图14和图15实施例为例进行相关方案的具体描述。
参见图14,图14是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,该方法包括NF1向NRF申请并获得数字签名(Sign)以及服务对应的token的过程,和NF1与NF2进行通信交互的过程。
NF1向NRF申请并获得数字签名(Sign)以及服务对应的token的过程可包括但不限于S1-S7,描述如下:
S1:NRF获取并保存NF1的证书。可参考图5实施例步骤S1的相关描述,这里不再赘述。
S2:NF1发送第一请求至NRF。其中,该第一请求携带NF1的实例ID。
具体实现中,该第一请求可以为注册请求、发现请求等,本发明不做限制。
S3:NRF根据NRF的私钥和NF1的实例ID,计算数字签名(Sign)。
在一些更具体的实现中,计算Sign所采用的参数除了NRF的私钥和NF1的实例ID外,还可包括以下参数的至少一项:NF1的证书本身,或者NF1的证书中NF1的标识,或者NF1的证书中NF1的类型,或者NF1的证书本身的哈希,或者NF1的证书中NF1的标识的哈希,或者NF1的证书中NF1的类型的哈希。
在对本步骤S3的一种可代替的方案中,NRF也可根据NRF的私钥和NF1的实例ID的哈希来计算Sign。
同样,在一些更具体的实现中,计算Sign所采用的参数除了NRF的私钥和NF1的实例ID的哈希外,还可包括以下参数的至少一项:NF1的证书本身,或者NF1的证书中NF1的标识,或者NF1的证书中NF1的类型,或者NF1的证书本身的哈希,或者NF1的证书中NF1的标识的哈希,或者NF1的证书中NF1的类型的哈希。
S4:NRF发送第一响应至NRF,其中该第一响应携带有上述S3获得的Sign。
S5:NF1发送token获取请求至NRF。
S6:NRF计算token。
S7:NRF发送token获取响应至NF1,所述token获取响应中携带token。
对于上述S5-S7,在一种可选的实施例中,token中也可以携带有NF1的证书信息。也就是说,对于S6具体为:NRF基于S1所获得的NF1的证书计算该token。这种情况下,上述S4-S7的具体实现可参考之前图5实施例S2-S4,这里不再赘述。
对于上述S5-S7,在又一种可选的实施例中,token中也可以不携带有NF1的证书信息。也就是说,对于S6,可以采用现有通用的方法(已有技术)来计算token。
另外,对于其他token的构造方式,本初不做限制。
NF1与NF2进行通信交互的过程可包括但不限于S8-S11(S11包括S11-1和S11-2),描述如下:
S8:NF2获得NF1的证书。
S9:NF1发送NF服务请求,其中携带该token和该Sign。相应的,NF2接收所述NF服务请求。
S10:NF2校验token正确性,以及根据token中NF1实例ID校验Sign的正确性。
具体的,NF2可首先校验token和Sign的正确性。
如果token是根据如前述图5实施例S6所示方式得到的,则可根据如前述图5实施例S7所示的方式校验来token。
如果token是根据已有技术得到的,那么可采用已有的方法校验token。若token校验不通过,可选的,NF2可以丢弃此消息。或者可选的,NF2发送错误响应或者错误指示或者拒绝消息至NF1。
其他形式的token校验不做限制。
然后,NF2校验Sign的正确性。具体的,NF2可根据NF1的证书、NF1的实例ID、还有NRF的公钥校验Sign的正确性。若Sign校验不通过,可选的,NF2可以丢弃此消息。可选的,NF2发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,NF2可以在错误响应或者错误指示或者拒绝消息中指示Sign校验不通过。
Token和Sign的校验顺序不做限制。
S11-1:NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S11-2:可选的,NF2可发送错误响应至NF1。
上述S11-1和S11-2的实现可参考如前述图5实施例S8-1和S8-2的描述,这里不再赘述。
本发明实施例中通过设计NF服务请求中携带token和Sign,其中token在一些实现中还可携带证书信息以实现证书和token的绑定,使得NF2既能校验Sign和token,又能通过本地保存NF1证书来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1的NF类型是否合法。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
参见图15,图15是本发明实施例提供的又一种网络功能服务的身份校验方法的流程示意图,图15实施例与图14实施例的主要区别在于,图15实施例中NRF是在token的获取流程中计算的Sign,并且在token获取响应中携带此Sign发送给NF1。该方法包括NF1向NRF申请并获得数字签名(Sign)以及服务对应的token的过程,和NF1与NF2进行通信交互的过程。
NF1向NRF申请并获得数字签名(Sign)以及服务对应的token的过程可包括但不限于S1-S4,描述如下:
S1:NRF获取并保存NF1的证书。可参考图5实施例步骤S1的相关描述,这里不再赘述。
S2:NF1发送token获取请求至NRF。可参考图5实施例步骤S2的相关描述,这里不再赘述。
S3:NRF计算token,以及,NRF根据NRF的私钥和NF1的实例ID,计算Sign。
其中,NRF计算token的具体实现方式可参考上述图15实施例步骤S6的相关描述。亦即在一种可选的实施例中,NRF基于S1所获得的NF1的证书计算该token,即token携带有NF1的证书信息。在又一种可选的实施例中,可以采用现有通用的方法(已有技术)来计算token,即token中不携带有NF1的证书信息。
其中,NRF计算Sign的具体实现方式可参考上述图15实施例步骤S3的相关描述,这里不再赘述。
S4:NRF发送token获取响应至NF1,所述token获取响应中携带该token和该Sign。
NF1与NF2进行通信交互的过程可包括但不限于S5-S8(S8包括S8-1和S8-2),描述如下:
S5:NF2获得NF1的证书。
S6:NF1发送NF服务请求,其中携带该token和该Sign。相应的,NF2接收所述NF服务请求。
S7:NF2校验token正确性,以及根据token中NF1实例ID校验Sign的正确性。
校验token和Sign的顺序不做限制。
本步骤的具体实现方式可参考上述图15实施例步骤S10的相关描述,这里不再赘述。
S8-1:NF2执行NF1所请求的服务,并且发送NF服务响应至NF1。
S8-2:可选的,NF2可发送错误响应至NF1。
上述S8-1和S8-2的实现可参考如前述图5实施例S8-1和S8-2的描述,这里不再赘述。
本发明实施例中通过设计NF服务请求中携带token和Sign,其中token在一些实现中还可携带证书信息以实现证书和token的绑定,使得NF2既能校验Sign和token,又能通过本地保存NF1证书来校验token中所携带的证书信息,从而确认NF1的身份和/或NF1的NF类型是否合法。所以,实施本发明实施例能够实现在NF1向NF2获取服务的过程中校验NF1的身份合法性,提高服务安全性,避免攻击者窃取token之类的安全隐患。
需要说明的是,在身份校验包括token校验,或者同时包括token校验和Sign校验的情况下,针对存在SFSF和/或SEPP的场景,可以由SFSF和/或SEPP做token的校验。具体可能性描述如下:
在一种可能实现中,如果NF1和NF2之间仅有一个SFSF,那么SFSF可以校验Sign的正确性,如果校验通过则发送token至NF2,由NF2校验token的正确性。或者如果校验通过则发送token和Sign至NF2,由NF2校验token的正确性,以及NF2再次校验Sign的正确性。若Sign校验不通过,可选的,SFSF可以丢弃此消息。或者可选的,SFSF发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF可以在错误响应或者错误指示或者拒绝消息中指示Sign校验不通过。
在又一种可能实现中,SFSF包括NF1侧的SFSF1,以及NF2侧的SFSF2。此时SFSF1接收到NF1发送的Sign后,参考本文的相关实施例,进行Sign的校验,如果校验通过则发送token至SFSF2,此时由SFSF2将token发送至NF2。还可能两个SFSF之间部署有cSEPP,和pSEFF。此时如果校验通过则发送token至cSEPP,由cSEPP通过pSEPP发送至NF2,或者由cSEPP通过pSEPP和SFSF2将token发送至NF2。若Sign校验不通过,可选的,SFSF1可以丢弃此消息。或者可选的,SFSF1发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF1可以在错误响应或者错误指示或者拒绝消息中指示Sign校验不通过。
在另一种可能实现中,漫游场景下包括两个SEPP,一个SEPP为cSEPP部署在NF1所在的网络,一个SEPP为pSEPP部署在NF2所在的网络。此时cSEPP接收到NF1发送的Sign后,参考上述实施例,进行Sign的校验,如果校验通过后则发送token至pSEPP,由pSEPP将token发送至NF2。如果校验不通过cSEPP则发送错误响应或者错误指示或者拒绝消息至NF1。若Sign校验不通过,可选的,cSEPP可以丢弃此消息。或者可选的,cSEPP发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,cSEPP可以在错误响应或者错误指示或者拒绝消息中指示Sign校验不通过。此时cSEPP可以过滤不正确的Sign。
还需要说明的是,针对本发明描述的任意实施例,NF1发送哈希后的证书信息至SFSF或者NRF;SFSF或者NRF可以基于其获得的NF1证书,校验UE发送的哈希后的证书信息是否正确。如果校验不通过,SFSF或者NRF则发送错误响应或者错误指示或者拒绝消息至NF1。若校验不通过,可选的,SFSF或者NRF可以丢弃此消息。或者可选的,SFSF或者NRF发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF或者NRF可以在错误响应或者错误指示或者拒绝消息中指示哈希后的证书信息校验不通过。此时SFSF或者NRF可以过滤不正确的请求。如果校验通过,则继续执行其他操作。
还需要说明的是,针对本发明描述的任意实施例,NF1发送证书信息至SFSF或者NRF;SFSF或者NRF可以基于其获得的NF1证书,校验UE发送的证书信息是否正确。如果校验不通过,SFSF或者NRF则发送错误响应或者错误指示或者拒绝消息至NF1。若校验不通过,可选的,SFSF或者NRF可以丢弃此消息。或者可选的,SFSF或者NRF发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF或者NRF可以在错误响应或者错误指示或者拒绝消息中指示证书信息校验不通过。此时SFSF或者NRF可以过滤不正确的请求。如果校验通过,则继续执行其他操作。
还需要说明的是,针对本发明描述的任意实施例,NF1发送证书信息至SFSF或者NRF;以使后续NRF可以根据NF1发送的证书信息计算token或者Sign。
还需要说明的是,针对上文描述的任意实施例,在漫游场景下,当NRF包括第一种授权服务节点vNRF和第二种授权服务节点hNRF时,从hNRF获取NF1证书信息的形式的可能性描述如下:
在一种可能实现中,针对NF1通过vNRF1从hNRF请求的token的场景,vNRF在获得NF1的证书后,还可以发送哈希后的证书给hNRF,以使hNRF接收哈希后的证书。
在又一种可能实现中,针对NF1通过vNRF1从hNRF请求的token的场景,也可以NF1在请求中直接携带哈希后的证书信息,此时vNRF不需要做额外的哈希转换,hNRF将携带哈希后的证书信息的请求发送至hNRF。vNRF在获得NF1的证书后,也可以根据NF1的证书校验NF1请求中哈希后的证书信息的准确性。如果校验失败,则发送错误响应或者错误指示或者拒绝消息至NF1。若校验不通过,可选的,vNRF可以丢弃此消息。或者可选的,vNRF发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,vNRF可以在错误响应或者错误指示或者拒绝消息中指示哈希后的证书信息校验不通过。此时vNRF可以过滤不正确的请求。如果校验通过,则继续执行其他操作。如果校验成功,则发送请求至hNRF。
在另一种可能实现中,针对UE通过NRF1,cSEPP,以及pSEPP从hNRF请求token的场景。此时也可能vNRF发送证书至cSEPP,那么cSEPP则发送哈希后的证书给hNRF,以使hNRF接收哈希后的证书。
还需要说明的是,针对上文描述的任意实施例,在漫游场景下,通过SFSF从NRF(该NRF不限制是vNRF还是hNRF)获取NF1证书信息的形式的可能性描述如下:
在一种可能实现中,针对NF1通过SFSF从NRF请求token的场景,SFSF在获得NF1的证书后,还可以发送哈希后的证书给NRF,以使NRF接收哈希后的证书。
在一种可能实现中,针对NF1通过SFSF从NRF请求token的场景,也可以NF1在请求中直接携带哈希后的证书信息,此时SFSF不需要做额外的哈希转换,SFSF将携带哈希后的证书信息的请求发送至NRF。SFSF在获得NF1的证书后,也可以根据NF1的证书校验NF1请求中哈希后的证书信息的准确性。如果校验失败,则发送错误响应或者错误指示或者拒绝消息至NF1。若校验不通过,可选的,SFSF可以丢弃此消息。或者可选的,SFSF发送错误响应或者错误指示或者拒绝消息至NF1。或者可选的,SFSF可以在错误响应或者错误指示或者拒绝消息中指示哈希后的证书信息校验不通过。此时SFSF可以过滤不正确的请求。如果校验通过,则继续执行其他操作。如果校验成功,则发送请求至NRF。
在一种可能实现中,针对NF1通过SFSF和vNRF,从hNRF请求token的场景。此时也可能SFSF发送证书至vNRF,那么vNRF则发送哈希后的证书给hNRF,以使hNRF接收哈希后的证书。
可以看到,由于证书的具体信息在漫游场景传输下会有泄露NF1的隐私的风险,例如泄露NF1的IP地址,FQDN等。而本发明通过上述处理,能够实现在漫游场景下既可以让hNRF获得证书的信息,同时不会泄露证书的具体内容给hNRF。此外,实施本发明的实施例,即使NF1与NRF没有直接逻辑链接,也可以通过其他网元(如SFSF,SEPP,vNRF)等获得NF1的证书信息,完成token或者Sign的计算。
针对本发明所有实施例,token中携带的证书的信息可以为证书中参数的任一组合,例如被颁发证书的NF1的身份,NF的类型,颁发证书的身份等不做限制。
针对本发明所有实施例,计算Sign的输入参数可以为证书中参数的任一组合,例如被颁发证书的NF1的身份,NF的类型,颁发证书的身份等不做限制。
上文详细阐述了本发明实施例的方法,下面提供了本发明实施例的相关装置。
参见图11,本发明实施例提供了一种网元1100,该网元包括处理器1101、存储器1102和发射器1103以及接收器1104,所述处理器1101、存储器1102和发射器1103以及接收器1104相连接(如通过总线相互连接,或者其中的部分或全部部件可以耦合在一起)。
存储器1102包括但不限于是随机存储记忆体(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦除可编程只读存储器(Erasable ProgrammableRead Only Memory,EPROM)、或便携式只读存储器(Compact Disc Read-Only Memory,CD-ROM),该存储器1102用于存储相关指令及数据(如token,证书等)。
发射器1103用于发射数据,接收器1104用于接收数据。
处理器1101可以是一个或多个中央处理器(Central Processing Unit,CPU),在处理器1101是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该处理器1101用于读取所述存储器1102中存储的程序代码,以实现图4-图10实施例中的任一网元的功能。
具体的,当网元1100为第一网元时,存储器1102中存储的程序代码具体用于实现图4实施例中的第一网元的功能。
具体的,当网元1100为第二网元时,存储器1102中存储的程序代码具体用于实现图4实施例中的第二网元的功能。
具体的,当网元1100为NF1所在的网元时,存储器1102中存储的程序代码具体用于实现图5-图10实施例以及图14-图15实施例中的任意实施例中所述NF1的功能。
具体的,当网元1100为NF2所在的网元时,存储器1102中存储的程序代码具体用于实现图5-图10实施例以及图14-图15实施例中的任意实施例中所述NF2的功能。
具体的,当网元1100为NRF所在的网元时,存储器1102中存储的程序代码具体用于实现图5-图10实施例以及图14-图15实施例中的任意实施例中所述NRF的功能。
具体的,当网元1100为SFSF所在的网元时,存储器1102中存储的程序代码具体用于实现图8或图9实施例或其他相关实施例中的所述SFSF的功能。
参见图12,基于相同的发明构思,本发明实施例还提供了一种装置1200,装置1200可包括:
通信模块1201,用于接收来自第一网元的网络功能(NF)服务请求;所述NF服务请求包括令牌(token),所述token包括第一证书信息;
校验模块1202,用于对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;
处理模块1203,用于在确定所述第一证书信息所表征的身份和所述第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求。
在可能的实施例中,所述处理模块1203还用于:在确定所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,继续处理所述NF服务请求。
在可能的实施例中,所述装置还包括证书模块1204,所述证书模块1204用于根据所述第一网元的证书,生成第二证书信息;所述校验模块1202具体用于,检验所述第一证书信息与所述第二证书信息是否相同。
在可能的实施例中,所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识;所述校验模块1202具体用于,检验所述token的请求者的标识与所述第一网元的标识是否相同。
在可能的实施例中,所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型;所述校验模块1202具体用于,检验所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
在可能的实施例中,所述第一网元为服务的请求者,所述第二网元为第一控制面网元;所述第一证书信息包括所述token的请求者的标识或NF类型;所述证书模块1204具体用于,根据所述第一网元的证书,生成第四证书信息;所述校验模块1202具体用于,检验所述第一证书信息与所述第四证书信息是否相同;若检验结果为所述第一证书信息与所述第四证书信息相同,则确定所述token的请求者和所述第一网元的身份是一致的。
在可能的实施例中,所述通信模块1201还用于:在确定所述token的请求者和所述第二网元的身份一致的情况下,将所述NF服务请求转发至作为服务的提供者的网元。
装置1200中的各功能模块的具体实现可参考图4-图10中的相关描述,这里不再赘述。
参见图13,基于相同的发明构思,本发明实施例还提供了一种装置1300,装置1300可包括:
通信模块1301,用于获取NF服务对应的令牌(token),所述token包括所述token的请求者的第一证书信息;
存储模块1302,用于保存token。
所述通信模块1301还用于,发送NF服务请求至第二网元,所述NF服务请求包括所述token,所述token用于触发所述第二网元确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;
所述通信模块1301还用于,在所述token的请求者和所述第二网元的身份不一致的情况下,接收来自所述第二网元的拒绝消息。
在可能的实施例中,所述通信模块1301还用于,在所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,接收来自所述第二网元的NF服务响应。
在可能的实施例中,所述token具体用于触发所述第二网元确定所述第一证书信息与第二证书信息是否相同,其中,所述第二证书信息是所述第二网元根据所述第一网元的证书生成的。
在可能的实施例中,所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识;所述token具体用于触发所述第二网元确定所述token的请求者的标识与所述第一网元的标识是否相同。
在可能的实施例中,所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型;所述token具体用于触发所述第二网元确定所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
在可能的实施例中,所述第一网元为服务的请求者,所述第二网元为第一控制面网元;所述第一证书信息包括所述token的请求者的标识或NF类型;所述token具体用于触发所述第一控制面网元确定所述第一证书信息与第四证书信息是否相同。其中,所述第四证书信息是所述第一控制面网元根据所述第一网元的证书生成的。
在可能的实施例中,所述第一网元为所述token的请求者;所述通信模块1301具体用于:向第二控制面网元发送token获取请求;接收所述第二控制面网元返回的token,所述token中的所述第一证书信息是所述第二控制面网元根据所述第一网元的证书生成的。
装置1300中的各功能模块的具体实现可参考图4-图10中的相关描述,这里不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者任意组合来实现。当使用软件实现时,可以全部或者部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令,在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或其他可编程装置。所述计算机指令可存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网络站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、微波等)方式向另一个网络站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质,也可以是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带等)、光介质(例如DVD等)、或者半导体介质(例如固态硬盘)等等。
在上述实施例中,对各个实施例的描述各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
Claims (31)
1.一种网络功能服务的身份校验方法,其特征在于,所述方法包括:
第二网元接收来自第一网元的网络功能(NF)服务请求;所述NF服务请求包括令牌(token),所述token包括第一证书信息,所述第一证书信息包括所述token的请求者的标识或NF类型;
所述第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;
在确定所述第一证书信息所表征的身份和所述第一网元的身份不一致的情况下,所述第二网元拒绝所述NF服务请求。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,所述第二网元继续处理所述NF服务请求。
3.根据权利要求1或2所述的方法,其特征在于,所述第二网元对所述第一证书信息进行校验之前,还包括:
所述第二网元根据所述第一网元的证书,生成第二证书信息;
相应的,所述第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致,包括:
所述第二网元检验所述第一证书信息与所述第二证书信息是否相同。
4.根据权利要求3所述的方法,其特征在于,所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识;
所述第二网元检验所述第一证书信息与所述第二证书信息是否相同,包括:
所述第二网元检验所述token的请求者的标识与所述第一网元的标识是否相同。
5.根据权利要求3所述的方法,其特征在于,所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型;
所述第二网元检验所述第一证书信息与所述第二证书信息是否相同,包括:
所述第二网元检验所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
6.根据权利要求1或2所述的方法,其特征在于,所述第一网元为服务的请求者,所述第二网元为第一控制面网元;
所述第二网元对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致,包括:
所述第一控制面网元根据所述第一网元的证书,生成第四证书信息;
所述第一控制面网元检验所述第一证书信息与所述第四证书信息是否相同;
若检验结果为所述第一证书信息与所述第四证书信息相同,则确定所述token的请求者和所述第一网元的身份是一致的。
7.根据权利要求6所述的方法,其特征在于,
在确定所述token的请求者和所述第二网元的身份一致的情况下,所述第一控制面网元将所述NF服务请求转发至作为服务的提供者的网元。
8.一种网络功能服务的身份校验方法,其特征在于,所述方法包括:
第一网元获取NF服务对应的令牌(token),所述token包括所述token的请求者的第一证书信息,所述第一证书信息包括所述token的请求者的标识或NF类型;
第一网元发送NF服务请求至第二网元,所述NF服务请求包括所述token,所述token用于触发所述第二网元确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;
在所述token的请求者和所述第二网元的身份不一致的情况下,所述第一网元接收来自所述第二网元的拒绝消息。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
在所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,所述第一网元接收来自所述第二网元的NF服务响应。
10.根据权利要求8或9所述的方法,其特征在于,所述token具体用于触发所述第二网元确定所述第一证书信息与第二证书信息是否相同,其中,所述第二证书信息是所述第二网元根据所述第一网元的证书生成的。
11.根据权利要求10所述的方法,其特征在于,所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识;
所述token具体用于触发所述第二网元确定所述token的请求者的标识与所述第一网元的标识是否相同。
12.根据权利要求10所述的方法,其特征在于,所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型;
所述token具体用于触发所述第二网元确定所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
13.根据权利要求8或9所述的方法,其特征在于,所述第一网元为服务的请求者,所述第二网元为第一控制面网元;
所述token具体用于触发所述第一控制面网元确定所述第一证书信息与第四证书信息是否相同,其中,所述第四证书信息是所述第一控制面网元根据所述第一网元的证书生成的。
14.根据权利要求11-12任一项所述的方法,其特征在于,所述第一网元为所述token的请求者;
相应的,所述第一网元获取NF服务对应的token,包括:
所述第一网元向第二控制面网元发送token获取请求;
所述第一网元接收所述第二控制面网元返回的token,所述token中的所述第一证书信息是所述第二控制面网元根据所述第一网元的证书生成的。
15.一种网络功能服务的身份校验装置,其特征在于,包括:
通信模块,用于接收来自第一网元的网络功能(NF)服务请求;所述NF服务请求包括令牌(token),所述token包括第一证书信息,所述第一证书信息包括所述token的请求者的标识或NF类型;
校验模块,用于对所述第一证书信息进行校验,以确定所述第一证书信息所表征的身份和所述第一网元的身份是否一致;
处理模块,用于在确定所述第一证书信息所表征的身份和所述第一网元的身份不一致的情况下,第二网元拒绝所述NF服务请求。
16.根据权利要求15所述的装置,其特征在于,所述处理模块还用于:
在确定所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,继续处理所述NF服务请求。
17.根据权利要求15或16所述的装置,其特征在于,所述装置还包括证书模块,所述证书模块用于根据所述第一网元的证书,生成第二证书信息;
所述校验模块具体用于,检验所述第一证书信息与所述第二证书信息是否相同。
18.根据权利要求17所述的装置,其特征在于,所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识;
所述校验模块具体用于,检验所述token的请求者的标识与所述第一网元的标识是否相同。
19.根据权利要求17所述的装置,其特征在于,所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型;
所述校验模块具体用于,检验所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
20.根据权利要求15或16所述的装置,其特征在于,所述装置还包括证书模块,所述第一网元为服务的请求者,所述第二网元为第一控制面网元;
所述证书模块具体用于,根据所述第一网元的证书,生成第四证书信息;
所述校验模块具体用于,检验所述第一证书信息与所述第四证书信息是否相同;若检验结果为所述第一证书信息与所述第四证书信息相同,则确定所述token的请求者和所述第一网元的身份是一致的。
21.根据权利要求20所述的装置,其特征在于,所述通信模块还用于:
在确定所述token的请求者和所述第二网元的身份一致的情况下,将所述NF服务请求转发至作为服务的提供者的网元。
22.一种网络功能服务的身份校验装置,其特征在于,包括:
通信模块,用于获取NF服务对应的令牌(token),所述token包括所述token的请求者的第一证书信息,所述第一证书信息包括所述token的请求者的标识或NF类型;
所述通信模块还用于,发送NF服务请求至第二网元,所述NF服务请求包括所述token,所述token用于触发所述第二网元确定所述第一证书信息所表征的身份和第一网元的身份是否一致;
所述通信模块还用于,在所述token的请求者和所述第二网元的身份不一致的情况下,接收来自所述第二网元的拒绝消息。
23.根据权利要求22所述的装置,其特征在于,所述通信模块还用于,
在所述第一证书信息所表征的身份和所述第一网元的身份一致的情况下,接收来自所述第二网元的NF服务响应。
24.根据权利要求22或23所述的装置,其特征在于,所述token具体用于触发所述第二网元确定所述第一证书信息与第二证书信息是否相同,其中,所述第二证书信息是所述第二网元根据所述第一网元的证书生成的。
25.根据权利要求24所述的装置,其特征在于,所述第一证书信息包括所述token的请求者的标识,所述第二证书信息包括所述第一网元的标识;
所述token具体用于触发所述第二网元确定所述token的请求者的标识与所述第一网元的标识是否相同。
26.根据权利要求24所述的装置,其特征在于,所述第一证书信息包括所述token的请求者的NF类型,所述第二证书信息包括所述第一网元的NF类型;
所述token具体用于触发所述第二网元确定所述token的请求者的NF类型与所述第一网元的NF类型是否相同。
27.根据权利要求22或23所述的装置,其特征在于,所述第一网元为服务的请求者,所述第二网元为第一控制面网元;
所述token具体用于触发所述第一控制面网元确定所述第一证书信息与第四证书信息是否相同,其中,所述第四证书信息是所述第一控制面网元根据所述第一网元的证书生成的。
28.根据权利要求25-26任一项所述的装置,其特征在于,所述第一网元为所述token的请求者;
所述通信模块具体用于:
向第二控制面网元发送token获取请求;
接收所述第二控制面网元返回的token,所述token中的所述第一证书信息是所述第二控制面网元根据所述第一网元的证书生成的。
29.一种硬件设备,其特征在于,所述设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令时执行如权利要求1~7任意一项所述方法中的步骤。
30.一种硬件设备,其特征在于,所述设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令时执行如权利要求8~14任意一项所述方法中的步骤。
31.一种存储计算机指令的可读非易失性存储介质,其特征在于,包括计算机指令,所述计算机指令被执行以实现权利要求1至7任一项描述的方法,或者权利要求8至14任一项描述的方法。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210474465.5A CN114785523B (zh) | 2019-04-28 | 2019-08-16 | 网络功能服务的身份校验方法及相关装置 |
| EP20799055.7A EP3902199B1 (en) | 2019-04-28 | 2020-03-24 | Identity check method for network function service, and related device |
| PCT/CN2020/080971 WO2020220865A1 (zh) | 2019-04-28 | 2020-03-24 | 网络功能服务的身份校验方法及相关装置 |
| US17/512,627 US12052233B2 (en) | 2019-04-28 | 2021-10-27 | Identity verification method for network function service and related apparatus |
| US18/786,610 US20250023863A1 (en) | 2019-04-28 | 2024-07-29 | Identity verification method for network function service and related apparatus |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910359634 | 2019-04-28 | ||
| CN2019103596349 | 2019-04-28 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210474465.5A Division CN114785523B (zh) | 2019-04-28 | 2019-08-16 | 网络功能服务的身份校验方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111865598A CN111865598A (zh) | 2020-10-30 |
| CN111865598B true CN111865598B (zh) | 2022-05-10 |
Family
ID=72970568
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210474465.5A Active CN114785523B (zh) | 2019-04-28 | 2019-08-16 | 网络功能服务的身份校验方法及相关装置 |
| CN201910766373.2A Active CN111865598B (zh) | 2019-04-28 | 2019-08-16 | 网络功能服务的身份校验方法及相关装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210474465.5A Active CN114785523B (zh) | 2019-04-28 | 2019-08-16 | 网络功能服务的身份校验方法及相关装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US12052233B2 (zh) |
| EP (1) | EP3902199B1 (zh) |
| CN (2) | CN114785523B (zh) |
| WO (1) | WO2020220865A1 (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12238076B2 (en) * | 2018-10-02 | 2025-02-25 | Arista Networks, Inc. | In-line encryption of network data |
| US11522721B2 (en) * | 2020-04-07 | 2022-12-06 | Verizon Patent And Licensing Inc. | System and method for establishing dynamic trust credentials for network functions |
| CN112367665B (zh) * | 2020-11-02 | 2022-02-01 | 广州爱浦路网络技术有限公司 | 一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统 |
| US11943616B2 (en) * | 2020-11-13 | 2024-03-26 | Oracle International Corporation | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting |
| US11895501B2 (en) | 2020-12-08 | 2024-02-06 | Oracle International Corporation | Methods, systems, and computer readable media for automatic key management of network function (NF) repository function (NRF) access token public keys for 5G core (5GC) authorization to mitigate security attacks |
| US11558737B2 (en) | 2021-01-08 | 2023-01-17 | Oracle International Corporation | Methods, systems, and computer readable media for preventing subscriber identifier leakage |
| FI129556B (en) * | 2021-01-13 | 2022-04-29 | Nokia Technologies Oy | Network activity request error handling |
| US11431746B1 (en) * | 2021-01-21 | 2022-08-30 | T-Mobile Usa, Inc. | Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network |
| US12166784B1 (en) | 2021-01-21 | 2024-12-10 | T-Mobile Usa, Inc. | Cybersecurity system for network slices of wireless telecommunications network |
| US11546767B1 (en) | 2021-01-21 | 2023-01-03 | T-Mobile Usa, Inc. | Cybersecurity system for edge protection of a wireless telecommunications network |
| CN115150835A (zh) * | 2021-03-31 | 2022-10-04 | 华为技术有限公司 | 一种信令保护方法、装置及系统 |
| US11888894B2 (en) | 2021-04-21 | 2024-01-30 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks |
| US11627467B2 (en) | 2021-05-05 | 2023-04-11 | Oracle International Corporation | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces |
| US11638155B2 (en) | 2021-05-07 | 2023-04-25 | Oracle International Corporation | Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks |
| US11695563B2 (en) | 2021-05-07 | 2023-07-04 | Oracle International Corporation | Methods, systems, and computer readable media for single-use authentication messages |
| US11570689B2 (en) * | 2021-05-07 | 2023-01-31 | Oracle International Corporation | Methods, systems, and computer readable media for hiding network function instance identifiers |
| CN115706997A (zh) * | 2021-08-06 | 2023-02-17 | 华为技术有限公司 | 授权验证的方法及装置 |
| CN116321144A (zh) * | 2021-12-21 | 2023-06-23 | 中国电信股份有限公司 | 5g核心网sepp认证nf的方法、装置、设备及介质 |
| CN116419229A (zh) * | 2022-01-05 | 2023-07-11 | 华为技术有限公司 | 集成可信度量的通信方法 |
| CN116506137A (zh) * | 2022-01-19 | 2023-07-28 | 中国移动通信有限公司研究院 | 订阅通知方法、装置、通信设备及可读存储介质 |
| CN117082507A (zh) * | 2022-05-09 | 2023-11-17 | 华为技术有限公司 | 通信方法和网元设备 |
| CN117118622A (zh) * | 2022-05-16 | 2023-11-24 | 华为技术有限公司 | 安全通信的方法与装置 |
| CN115002768B (zh) * | 2022-05-23 | 2024-07-02 | 中国电信股份有限公司 | 一种请求消息处理方法、装置及系统 |
| CN117318948A (zh) * | 2022-06-20 | 2023-12-29 | 华为技术有限公司 | 通信方法和装置 |
| WO2024016280A1 (en) * | 2022-07-21 | 2024-01-25 | Nokia Technologies Oy | Access token verification |
| WO2024065798A1 (en) * | 2022-09-30 | 2024-04-04 | Nokia Shanghai Bell Co., Ltd. | Certificate management for network functions |
| EP4354798A1 (en) * | 2022-10-10 | 2024-04-17 | Nokia Technologies Oy | Enhanced security in communication networks |
| CN117997543A (zh) * | 2022-11-06 | 2024-05-07 | 华为技术有限公司 | 通信方法、装置和系统 |
| US12341765B2 (en) | 2022-11-15 | 2025-06-24 | Oracle International Corporation | Methods, systems, and computer readable media for detecting stolen access tokens |
| CN118200914A (zh) * | 2022-12-14 | 2024-06-14 | 华为技术有限公司 | 一种通信方法及装置 |
| JP2026500104A (ja) * | 2022-12-14 | 2026-01-06 | 楽天シンフォニー株式会社 | 通信ネットワークにおいてインターネットプロトコルセキュリティトンネルを使用してネットワークトラフィックを守るためのシステムおよび方法 |
| CN115801476B (zh) * | 2023-02-09 | 2023-05-05 | 中国证券登记结算有限责任公司 | 一种应用请求的验证方法和装置 |
| CN118540707A (zh) * | 2023-02-23 | 2024-08-23 | 华为技术有限公司 | 建立安全通道的方法、装置及可读存储介质 |
| WO2024192663A1 (en) * | 2023-03-21 | 2024-09-26 | Nokia Shanghai Bell Co., Ltd. | N32 interface enhancement for network slicing |
| CN118713843A (zh) * | 2023-03-25 | 2024-09-27 | 华为技术有限公司 | 一种信息处理方法及通信装置 |
| US20250234217A1 (en) * | 2024-01-11 | 2025-07-17 | Oracle International Corporation | Resiliency against nrf failure in a 5g network |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
| CN106302394A (zh) * | 2016-07-26 | 2017-01-04 | 京信通信技术(广州)有限公司 | 安全通道建立方法和系统 |
| CN107147611A (zh) * | 2016-03-01 | 2017-09-08 | 华为技术有限公司 | 传输层安全tls建链的方法、用户设备、服务器和系统 |
| CN108347417A (zh) * | 2017-01-24 | 2018-07-31 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7418597B2 (en) * | 2003-08-15 | 2008-08-26 | Venati, Inc. | Apparatus for accepting certificate requests and submission to multiple certificate authorities |
| CN101132405A (zh) * | 2006-08-21 | 2008-02-27 | 华为技术有限公司 | 提供业务代理功能的通信网络系统和方法及业务代理装置 |
| US8892869B2 (en) * | 2008-12-23 | 2014-11-18 | Avaya Inc. | Network device authentication |
| US20100306442A1 (en) * | 2009-06-02 | 2010-12-02 | International Business Machines Corporation | Detecting lost and out of order posted write packets in a peripheral component interconnect (pci) express network |
| KR101381789B1 (ko) * | 2012-05-24 | 2014-04-07 | 아주대학교산학협력단 | 웹 서비스 사용자 인증 방법 |
| EP3107246B1 (en) * | 2014-03-26 | 2019-05-22 | Huawei Technologies Co., Ltd. | Network function virtualization-based certificate configuration |
| US9525690B2 (en) * | 2014-05-27 | 2016-12-20 | Bank Of Ozarks | Securely integrating third-party applications with banking systems |
| EP3308516B1 (en) * | 2015-06-11 | 2020-04-22 | Siemens Aktiengesellschaft | Authorization apparatus and method for an authorized issuing of an authentication token for a device |
| US10250590B2 (en) * | 2015-08-31 | 2019-04-02 | Samsung Electronics Co., Ltd. | Multi-factor device registration for establishing secure communication |
| WO2017081639A2 (en) * | 2015-11-10 | 2017-05-18 | Levin Pavel | Method and system for network communication |
| KR20170056350A (ko) * | 2015-11-13 | 2017-05-23 | 한국전자통신연구원 | Nfv 자원 할당 검증 장치 |
| US10609070B1 (en) * | 2016-03-10 | 2020-03-31 | Claude W. Farmer, III | Device based user authentication |
| US20170289197A1 (en) * | 2016-03-31 | 2017-10-05 | Qualcomm Incorporated | Transport layer security token binding and trusted signing |
| WO2017203339A1 (en) * | 2016-05-27 | 2017-11-30 | ISN-Partners Ltd. | Computer implemented method for assistance |
| CN109428874B (zh) * | 2017-08-31 | 2020-10-09 | 华为技术有限公司 | 基于服务化架构的注册方法及装置 |
| KR102511778B1 (ko) * | 2018-03-05 | 2023-03-21 | 삼성전자주식회사 | 전자 디바이스 및 전자 디바이스의 디지털 키 프로비저닝 수행 방법 |
| US10917790B2 (en) * | 2018-06-01 | 2021-02-09 | Apple Inc. | Server trust evaluation based authentication |
| WO2020112126A1 (en) * | 2018-11-30 | 2020-06-04 | Hewlett-Packard Development Company, L.P. | Device validation using tokens |
| US12567983B2 (en) * | 2023-12-19 | 2026-03-03 | Nxp B.V. | Verification of authenticity of a data source |
-
2019
- 2019-08-16 CN CN202210474465.5A patent/CN114785523B/zh active Active
- 2019-08-16 CN CN201910766373.2A patent/CN111865598B/zh active Active
-
2020
- 2020-03-24 WO PCT/CN2020/080971 patent/WO2020220865A1/zh not_active Ceased
- 2020-03-24 EP EP20799055.7A patent/EP3902199B1/en active Active
-
2021
- 2021-10-27 US US17/512,627 patent/US12052233B2/en active Active
-
2024
- 2024-07-29 US US18/786,610 patent/US20250023863A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
| CN107147611A (zh) * | 2016-03-01 | 2017-09-08 | 华为技术有限公司 | 传输层安全tls建链的方法、用户设备、服务器和系统 |
| CN106302394A (zh) * | 2016-07-26 | 2017-01-04 | 京信通信技术(广州)有限公司 | 安全通道建立方法和系统 |
| CN108347417A (zh) * | 2017-01-24 | 2018-07-31 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
Non-Patent Citations (3)
| Title |
|---|
| 3GPP.3rd Generation Partnership Project * |
| Security architecture and procedures for 5G system(Release 15).《3GPP,3GPP TS 33.501 V15.4.0》.2019, * |
| Technical Specification Group Services and System Aspects * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114785523A (zh) | 2022-07-22 |
| EP3902199B1 (en) | 2025-10-01 |
| US20250023863A1 (en) | 2025-01-16 |
| EP3902199A4 (en) | 2021-11-24 |
| CN111865598A (zh) | 2020-10-30 |
| EP3902199A1 (en) | 2021-10-27 |
| US20220052992A1 (en) | 2022-02-17 |
| CN114785523B (zh) | 2024-07-30 |
| WO2020220865A1 (zh) | 2020-11-05 |
| US12052233B2 (en) | 2024-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111865598B (zh) | 网络功能服务的身份校验方法及相关装置 | |
| US9380038B2 (en) | Bootstrap authentication framework | |
| CN110167025B (zh) | 一种通信方法及通信装置 | |
| TWI820696B (zh) | 通訊方法、裝置及電腦可讀儲存介質 | |
| CN112105021B (zh) | 一种认证方法、装置及系统 | |
| KR102488798B1 (ko) | 서비스 api 호출 방법 및 관련 장치 | |
| CN110798833A (zh) | 一种鉴权过程中验证用户设备标识的方法及装置 | |
| CN110800331A (zh) | 网络验证方法、相关设备及系统 | |
| US11252572B2 (en) | Network application function registration | |
| JP2023519997A (ja) | 端末パラメータ更新を保護するための方法および通信装置 | |
| CN112822678B (zh) | 一种服务化架构授权的方法 | |
| KR102246978B1 (ko) | 라우팅 방법 및 장치 | |
| CN113543121A (zh) | 一种终端参数更新的保护方法和通信装置 | |
| WO2021099675A1 (en) | Mobile network service security management | |
| WO2019056971A1 (zh) | 一种鉴权方法及设备 | |
| CN112492592A (zh) | 一种多个nrf场景下的授权方法 | |
| EP4561133A1 (en) | Communication method and apparatus | |
| CN116471590A (zh) | 终端接入方法、装置及鉴权服务功能网元 | |
| CN119697634B (zh) | 基于5g vpdn的后路由组网方法、装置及设备 | |
| CN115086956B (zh) | 通信网络的入网方法、入网装置、介质和电子设备 | |
| CN103152721A (zh) | 终端、移动性管理实体、系统和网络接入方法 | |
| CN117560743B (zh) | 一种基于区块链的可信数据存储方法及装置 | |
| CN116980218A (zh) | 一种楼宇设备的生命周期管控SaaS系统及方法 | |
| CN104703121B (zh) | 控制设备访问的方法、系统及网络侧设备 | |
| CN117715040B (zh) | Dplc模组的配网通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |