WO2019041809A1 - 基于服务化架构的注册方法及装置 - Google Patents

Abstract

本申请实施例提供一种基于服务化架构的注册方法及装置，在该方法中，管理网元确定功能网元的配置信息，所述配置信息中包括安全参数；所述管理网元向功能网元发送所述配置信息。功能网元接收管理网元发送的配置信息；所述功能网元基于所述配置信息，向控制网元发送注册请求，所述注册请求中包括安全参数。控制网元接收功能网元发送的注册请求，所述注册请求中包括安全参数；所述控制网元验证所述安全参数的正确性，并通过所述安全参数的正确性确定所述注册请求的合法性，以实现控制网元对功能网元的注册请求进行安全认证，提高安全性。

Description

基于服务化架构的注册方法及装置

本申请要求在2017年8月31日提交中国专利局、申请号为201710774290.9、申请名称为“基于服务化架构的注册方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种基于服务化架构的注册方法及装置。

背景技术

在5G网络的核心网网络架构讨论中，提出以网络功能(network function，NF)为中心的服务化架构方案。在服务化架构方案中，通过模块化实现NF间的解耦和整合，各解耦后的NF独立扩容、独立演进、按需部署，并且控制面的所有NF之间采用服务化接口进行交互，同一种服务可以被多种NF调用，降低NF之间接口定义的耦合度，最终实现整网功能的按需定制，以灵活支持不同的业务场景和需求。

在服务化架构方案中，通常由NF存储功能(NF repository function，NRF)等控制网元为NF提供服务的注册、发现、授权等功能，实现NF和服务的按需配置及NF间的互连。目前，一种可能的安全注册方法中，管理网元首先向待注册的功能网元配置相应参数，之后待注册的功能网元直接向NRF发送注册请求，NRF接收到该注册请求后直接完成注册。NRF将注册完成的功能网元添加至NF拓扑中，并发送响应消息至该注册完成的功能网元。

由于待注册的功能网元与NRF之间通信接口不受安全信道的保护，可能存在攻击者修改参数，或者攻击者扮演待注册的功能网元的角色尝试接入NRF的风险，故上述基于服务化架构的安全注册方法中，NRF并不会对待注册的功能网元所发送的注册请求进行安全认证，安全性较低。

发明内容

本申请实施例提供一种基于服务化架构的注册方法及装置，以实现控制网元对功能网元的注册请求进行安全认证，提高安全性。

第一方面，提供一种基于服务化架构的注册方法，在该方法中，功能网元向控制网元发送注册请求，并且该注册请求中包括有安全参数。控制网元接收到功能网元发送的注册请求，验证注册请求中包括的安全参数的正确性，通过验证的安全参数的正确性确定NF发送的注册请求是否合法，以实现对功能网元的注册请求的安全认证，提高安全性。

其中，安全参数可由管理网元确定，管理网元将确定的安全参数包含在配置信息中发送给功能网元，功能网元接收到管理网元发送的配置信息后，将配置信息中包括的安全参数携带在注册请求中发送给管理网元。

本申请实施例提供的注册方法中，管理网元接收功能网元发送的注册请求后，通过验证注册请求中包括的安全参数的正确性，可确定功能网元发送的注册请求的合法性。管理网元在确定功能网元发送的注册请求合法的情况下，将功能网元添加至功能网元拓扑中，在确定功能网元发送的注册请求不合法的情况下，拒绝将功能网元添加 至功能网元拓扑中。故，通过本申请实施例提供的注册方法，可一定程度上提高通信安全性。

一种可能的设计中，管理网元确定的安全参数包括非对称令牌。

其中，管理网元可基于管理网元的私钥，对功能网元资料、功能网元的标识执行数字签名算法生成数字签名，并基于控制网元的公钥，对数字签名、功能网元资料、功能网元的标识加密生成非对称令牌。

其中，管理网元还可基于管理网元的私钥，对功能网元资料、功能网元的标识、以及功能网元与控制网元之间的共享密钥执行数字签名算法生成数字签名，并基于控制网元的公钥，对数字签名、功能网元资料、功能网元的标识以及功能网元与控制网元之间的共享密钥加密生成非对称令牌。

其中，上述共享密钥可以是管理网元生成的会话密钥。会话密钥用于功能网元与控制网元之间的安全通信或认证。会话密钥可由管理网元根据预设的根密钥，对功能网元的标识加密生成。会话密钥也可由管理网元根据推衍密钥对功能网元的标识加密生成。其中，推衍密钥由管理网元对预设的根密钥进行密钥推衍得到，或者推衍密钥为管理网元保存的功能网元的密钥。

进一步的，基于控制网元的公钥进行加密的参数除了数字签名、功能网元资料、功能网元的标识、以及功能网元与控制网元之间的共享密钥以外，还可包括控制网元标识，功能网元类型，PLMN标识，功能网元支持的业务标识，数字签名随机数等中的一项或多项，以及令牌有效期，令牌随机数，计数器和序列号中的至少一项。管理网元基于管理网元的私钥执行数字签名算法的参数除了功能网元资料、功能网元的标识、以及功能网元与控制网元之间的共享密钥以外，还可包括控制网元标识，功能网元类型，PLMN标识，功能网元支持的业务标识等中的一项或多项，以及签名有效期，签名随机数，计数器和序列号中的至少一项。

管理网元将上述生成的非对称令牌作为安全参数发送给功能网元，功能网元向控制网元发送非对称令牌，控制网元接收该非对称令牌，并利用控制网元的私钥解密该非对称令牌，以得到数字签名，并利用管理网元的公钥以及被签名的内容，验证数字签名的正确性。

其中，被签名的内容与执行签名算法的参数相同，例如可包括功能网元资料、功能网元标识；除包括功能网元资料、功能网元标识以外还可包括功能网元与控制网元之间的共享密钥、控制网元标识功能网元类型，PLMN标识，功能网元支持的业务标识，数字签名随机数等中的一项或多项，以及令牌有效期，令牌随机数，计数器和序列号中的至少一项。

另一种可能的设计中，管理网元确定的安全参数包括对称令牌。

其中，管理网元可基于管理网元与控制网元之间共享的对称密钥，对功能网元的标识以及功能网元资料执行消息认证码的算法生成消息认证码，并基于管理网元与控制网元之间共享的对称密钥，对消息认证码、功能网元资料、功能网元的标识加密，生成对称令牌。

管理网元也可基于管理网元与控制网元之间共享的对称密钥，对功能网元和控制网元之间的共享密钥，功能网元的标识以及功能网元资料执行消息认证码的算法生成消息认证码，并基于管理网元与控制网元之间共享的对称密钥，对消息认证码、功能 网元资料、功能网元的标识、以及功能网元和控制网元之间的共享密钥加密生成对称密钥。

其中，功能网元和控制网元之间的共享密钥可以是管理网元生成的会话密钥。会话密钥用于功能网元与控制网元之间的安全通信或认证。会话密钥可由管理网元根据预设的根密钥，对功能网元的标识加密生成。会话密钥也可由管理网元根据推衍密钥对功能网元的标识加密生成。其中，推衍密钥由管理网元对预设的根密钥进行密钥推衍得到，或者推衍密钥为管理网元保存的功能网元的密钥。

进一步的，管理网元基于管理网元与控制网元之间共享的对称密钥进行加密的参数除了消息认证码、功能网元资料、功能网元的标识、以及功能网元与控制网元之间的共享密钥以外，还可包括控制网元标识，功能网元类型，PLMN标识，功能网元支持的业务标识，消息认证码随机数等中的一项或多项，以及令牌有效期，令牌随机数，计数器和序列号中的至少一项。管理网元基于管理网元与控制网元之间共享的对称密钥执行消息认证码算法的参数除了功能网元资料、功能网元的标识、以及功能网元与控制网元之间的共享密钥以外，还可包括控制网元标识，功能网元类型，PLMN标识，功能网元支持的业务标识等中的一项或多项，以及消息认证码有效期，消息认证码随机数，计数器和序列号中的至少一项。

管理网元将上述生成的对称令牌作为安全参数发送给功能网元，功能网元向控制网元发送对称令牌，控制网元接收该对称令牌，并利用对称密钥解密该对称令牌，以得到消息认证码，并利用管理网元与控制网元之间共享的对称密钥，以及被消息验证码保护的内容，验证消息验证码的正确性。

其中，被消息验证码保护的内容与执行消息验证码算法的参数相同，例如可包括功能网元资料、功能网元的标识、以及功能网元与控制网元之间的共享密钥；除包括功能网元资料、功能网元的标识、以及功能网元与控制网元之间的共享密钥以外还可包括控制网元标识，功能网元类型，PLMN标识，功能网元支持的业务标识等中的一项或多项，以及消息认证码有效期，消息认证码随机数，计数器和序列号中的至少一项。

又一种可能的设计中，管理网元确定的安全参数包括第一消息认证码。

其中，管理网元可基于管理网元与控制网元之间共享的对称密钥，对功能网元资料以及所述功能网元的标识执行消息认证码的算法生成第一消息认证码。

进一步的，管理网元基于管理网元与控制网元之间共享的对称密钥执行消息认证码算法生成第一消息认证码的参数除了功能网元资料、功能网元的标识以外，还可包括控制网元标识，功能网元类型，PLMN标识，功能网元支持的业务标识等中的一项或多项，以及第一消息认证码有效期，第一消息认证码随机数，计数器和序列号中的至少一项。

管理网元将上述生成的第一消息认证码作为安全参数发送给功能网元，功能网元向控制网元发送第一消息认证码，控制网元接收到该第一消息认证码，利用管理网元与控制网元之间共享的对称密钥、以及被第一消息验证码保护的内容，验证第一消息认证码的正确性。其中，被第一消息验证码保护的内容与执行消息验证码算法生成第一消息验证码时使用的参数相同，例如可包括功能网元资料以及功能网元的标识；除包括功能网元资料以及功能网元的标识以外还可包括控制网元标识，功能网元类型， PLMN标识，功能网元支持的业务标识等中的一项或多项，以及第一消息认证码有效期，第一消息认证码随机数，计数器和序列号中的至少一项。

又一种可能的设计中，管理网元确定的安全参数包括第一数字签名。

其中，管理网元可基于管理网元的私钥，对功能网元资料、以及功能网元的标识执行数字签名算法生成第一数字签名。

进一步的，管理网元基于管理网元的私钥执行数字签名算法的参数除了功能网元资料、功能网元的标识以外，还可包括控制网元标识，功能网元类型，PLMN标识，功能网元支持的业务标识等中的一项或多项，以及第一数字签名有效期，第一数字签名随机数，计数器和序列号中的至少一项。

管理网元将上述生成的第一数字签名作为安全参数发送给功能网元，功能网元向控制网元发送第一数字签名，控制网元接收该第一数字签名，并利用控制网元的私钥解密该第一数字签名，以得到数字签名，并利用管理网元的公钥以及被第一数字签名所签名的内容，验证第一数字签名的正确性。

其中，被第一数字签名所签名的内容与执行签名算法生成第一数字签名的参数相同，例如可包括功能网元资料、功能网元标识；除包括功能网元资料、功能网元标识以外还可控制网元标识功能网元类型，PLMN标识，功能网元支持的业务标识等中的一项或多项，以及第一数字签名有效期，第一数字签名随机数，计数器和序列号中的至少一项。

本申请实施例中，控制网元通过对管理网元生成的非对称令牌、对称令牌、第一消息认证码或者第一数字签名进行验证，可实现对功能网元的认证。

又一种可能的设计中，管理网元生成第一消息认证码和第三消息认证码，并发送给功能网元。功能网元将第一消息认证码发送给控制网元，控制网元验证第一消息认证码的合法性，实现对功能网元的认证。控制网元生成第二消息认证码，并发送给功能网元。功能网元验证第三消息认证码与第二消息认证码是否一致，以实现对第二消息认证码的合法性进行验证，并通过第二消息认证码的合法性实现对控制网元的认证。通过本申请实施例可实现功能网元和控制网元的相互认证。

其中，第二消息认证码由控制网元基于管理网元与控制网元之间共享的对称密钥，对功能网元的标识以及控制网元的标识执行消息认证码的算法生成。进一步的，控制网元基于管理网元与控制网元之间共享的对称密钥执行消息认证码算法生成第二消息认证码的参数除了功能网元的标识以及控制网元的标识以外，还可包括功能网元资料，功能网元类型，PLMN标识，功能网元支持的业务标识等中的一项或多项，以及第二消息认证码有效期，第二消息认证码随机数，计数器和序列号中的至少一项。

其中，第三消息认证码由管理网元基于管理网元与控制网元之间共享的对称密钥，对功能网元的标识以及控制网元的标识执行消息认证码的算法生成。进一步的，管理网元基于管理网元与控制网元之间共享的对称密钥执行消息认证码算法生成第三消息认证码的参数除了功能网元的标识以及控制网元的标识以外，还可包括功能网元资料，功能网元类型，PLMN标识，功能网元支持的业务标识等中的一项或多项，以及第三消息认证码有效期，第三消息认证码随机数，计数器和序列号中的至少一项。

又一种可能的设计中，管理网元生成第一数字签名，并发送给功能网元。功能网元将第一数字签名发送给控制网元，控制网元验证第一数字签名的合法性，实现对功 能网元的认证。控制网元生成第二数字签名，并发送给功能网元。功能网元验证第一数字签名与第二数字签名是否一致，以实现对第二数字签名的合法性进行验证，并通过第二数字签名的合法性实现对控制网元的认证。通过本申请实施例可实现功能网元和控制网元的相互认证。

其中，第二数字签名由述控制网元基于控制网元的私钥，对功能网元的标识以及控制网元的标识执行数字签名算法生成。进一步的，控制网元基于控制网元的私钥执行数字签名算法生成第二数字签名的参数除了功能网元的标识以及控制网元的标识以外，还可包括功能网元资料，功能网元类型，PLMN标识，功能网元支持的业务标识等中的一项或多项，以及第二数字签名有效期，第二数字签名随机数，计数器和序列号中的至少一项。

又一种可能的设计中，功能网元向控制网元发送的安全参数可包括由功能网元生成的第四消息认证码。

其中，功能网元可根据推衍密钥，对功能网元的标识执行消息认证码的算法生成第四消息认证码。

其中，功能网元生成第四消息认证码所用的推衍密钥由管理网元对预设的根密钥进行密钥推衍得到，或者为所述管理网元保存的所述功能网元的密钥。

一种可能的实施方式中，功能网元向控制网元发送第四消息认证码以及功能网元的标识，控制网元接收到第四消息认证码以及功能网元的标识之后，向管理网元发送功能网元的标识，并接收管理网元发送的第五消息认证码，控制网元通过比较第四消息认证码与第五消息认证码是否一致，验证所述第四消息认证码的正确性，并基于第四消息认证码的正确性，确认功能网元发送的注册请求的合法性。本申请实施例中，若第四消息认证码与第五消息认证码一致，则功能网元确定第四消息认证码正确，确认功能网元发送的注册请求合法，确认功能网元认证通过，实现功能网元对控制网元的认证。

另一种可能的实施方式中，功能网元向控制网元发送第四消息认证码，功能网元接收到第四消息认证码之后，向管理网元发送第四消息认证码。管理网元接收到控制网元发送的第四消息认证码，基于预先保存的推衍密钥生成第五消息认证码，并比较第四消息认证码与第五消息认证码是否一致，以实现对第四消息认证码的验证，若第四消息认证码与第五消息认证码一致，则功能网元确定第四消息认证码正确，确认功能网元发送的注册请求合法，确认功能网元认证通过。管理网元向控制网元发送第四消息认证码的验证结果，控制网元接收管理网元发送的第四消息认证码的验证结果，根据管理网元发送的第四消息认证码验证结果，确定第四消息认证码的正确性，以实现对功能网元的认证。

其中，第五消息认证码由管理网元根据推衍密钥，对功能网元的标识以及控制网元的标识执行消息认证码的算法生成。

其中，第四消息认证码与第五消息认证码生成过程中执行消息认证码算法的参数相同，除包括功能网元的标识以及控制网元的标识以外，还可包括功能网元资料，功能网元类型，PLMN标识，功能网元支持的业务标识等中的一项或多项，以及消息认证码有效期，消息认证码随机数，计数器和序列号中的至少一项。

又一种可能的设计中，控制网元与功能网元之间可基于会话密钥或者基于会话密钥的推衍密钥，建立安全通道。

其中，控制网元可通过解密非对称令牌或对称令牌得到会话密钥，所述非对称令牌或所述对称令牌基于所述会话密钥生成；或者所述会话密钥也可由管理网元根据预设的根密钥，对能网元的标识加密生成；或者所述控制网元从管理网元处获取所述会话密钥，所述会话密钥由所述管理网元根据推衍密钥对所述功能网元的标识加密生成；所述推衍密钥由管理网元对预设的根密钥进行密钥推衍得到，或者所述推衍密钥为所述管理网元保存的所述功能网元的密钥。

第二方面，提供一种基于服务化架构的注册装置，该注册装置可应用于管理网元，应用于管理网元的注册装置具有实现上述第一方面以及第一方面任意设计中管理网元的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。所述模块可以是软件和/或硬件。

一种可能的设计中，应用于管理网元的注册装置包括处理单元和发送单元，还可包括接收单元，其中，接收单元、处理单元和发送单元可以和上述管理网元执行的各功能步骤相对应，在此不予赘述。

另一种可能的设计中，应用于管理网元的注册装置包括处理器，收发器和存储器。存储器与处理器耦合，用于存储各种软件程序和/或多组指令。处理器调用存储器的存储程序或指令执行上述管理网元执行的功能步骤，并控制收发器收发信号。

第三方面，提供一种基于服务化架构的注册装置，该注册装置可应用于功能网元，应用于功能网元的注册装置具有实现上述第一方面以及第一方面任意设计中功能网元的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。所述模块可以是软件和/或硬件。

一种可能的设计中，应用于功能网元的注册装置包括接收单元和发送单元，还可包括处理单元，其中，接收单元、处理单元和发送单元可以和上述功能网元执行的各功能步骤相对应，在此不予赘述。

另一种可能的设计中，应用于功能网元的注册装置包括处理器，收发器和存储器。存储器与处理器耦合，用于存储各种软件程序和/或多组指令。处理器调用存储器的存储程序或指令执行上述功能网元执行的功能步骤，并控制收发器收发信号。

第四方面，提供一种基于服务化架构的注册装置，该注册装置可应用于控制网元，应用于控制网元的注册装置具有实现上述第一方面以及第一方面任意设计中控制网元的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。所述模块可以是软件和/或硬件。

一种可能的设计中，应用于控制网元的注册装置包括接收单元和处理单元，还可包括发送单元，其中，接收单元、处理单元和发送单元可以和上述控制网元执行的各功能步骤相对应，在此不予赘述。

另一种可能的设计中，应用于控制网元的注册装置包括处理器，收发器和存储器。存储器与处理器耦合，用于存储各种软件程序和/或多组指令。处理器调用存储器的存储程序或指令执行上述控制网元执行的功能步骤，并控制收发器收发信号。

第五方面，提供计算机存储介质，所述计算机存储介质存储有计算机指令，当所述指令在计算机上运行时，可以完成第一方面以及第一方面任意可能设计中的管理网元、功能网元或控制网元所涉及的任意一种功能。

第六方面，提供一种计算机程序产品，所述计算机程序产品中包括有计算机程序，该 计算机程序用于执行完成第一方面以及第一方面任意可能设计中的管理网元、功能网元或控制网元所涉及的任意一种功能。

本申请实施例提供的基于服务化架构的注册方法及装置，管理网元接收功能网元发送的注册请求后，通过验证注册请求中包括的安全参数的正确性，可确定功能网元发送的注册请求的合法性。管理网元在确定功能网元发送的注册请求合法的情况下，将功能网元添加至功能网元拓扑中，在确定功能网元发送的注册请求不合法的情况下，拒绝将功能网元添加至功能网元拓扑中。故，通过本申请实施例提供的注册方法，可一定程度上提高通信安全性。

附图说明

图1为本申请实施例提供的注册方法所应用的服务化架构示意图；

图2为本申请实施例提供的基于服务化架构的注册方法实施流程图；

图3所示为本申请实施例一提供的基于服务化架构的安全注册实施流程图；

图4所示为本申请实施例二提供的基于服务化架构的安全注册实施流程图；

图5所示为本申请实施例三提供的基于服务化架构的安全注册实施流程图；

图6所示为本申请实施例四提供的基于服务化架构的安全注册实施流程图；

图7所示为本申请实施例五提供的基于服务化架构的安全注册实施流程图；

图8所示为本申请实施例六提供的基于服务化架构的安全注册实施流程图；

图9所示为本申请实施例七提供的基于服务化架构的安全注册实施流程图；

图10所示为本申请实施例八提供的基于服务化架构的安全注册实施流程图；

图11所示为本申请实施例九提供的基于服务化架构的安全注册实施流程图；

图12为本申请实施例提供的一种应用于管理网元的注册装置结构示意图；

图13为本申请实施例提供的另一种应用于管理网元的注册装置结构示意图；

图14为本申请实施例提供的一种应用于功能网元的注册装置结构示意图；

图15为本申请实施例提供的另一种应用于功能网元的注册装置结构示意图；

图16为本申请实施例提供的一种应用于控制网元的注册装置结构示意图；

图17为本申请实施例提供的另一种应用于控制网元的注册装置结构示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。

本申请实施例提供的注册方法可应用于图1所示的服务化架构。图1中，核心网控制面的服务化架构中通过模块化实现NF间的解耦与整合，并且各NF之间采用服务化接口进行交互。例如图1中，网络开放功能(network exposure function，NEF)、NRF、策略控制功能(policy control function，PCF)、统一数据管理(unified data management，UDM)、应用功能(application function，AF)、鉴权服务器功能(authentication server function，AUSF)、接入与移动性管理功能(access and mobility management function，AMF)、会话管理功能(session management function，SMF)等各NF可通过NEF服务化接口(service-based interface exhibited by NEF，Nnef)、AUSF服务化接口(service-based interface exhibited by AUSF，Nausf)、NRF服务化接口(service-based interface exhibited by NRF，Nnrf)、AMF服务化接口(service-based interface exhibited by AMF，Namf)、PCF服务化接口(service-based interface exhibited by PCF，Npcf)、SMF服务化接口(service-based interface exhibited by  SMF，Nsmf)、UDM服务化接口(service-based interface exhibited by UDM，Nudm)和AF服务化接口(service-based interface exhibited by AF，Naf)等服务化接口进行交互，并且同一种服务可被多种NF调用，降低了NF之间接口定义的耦合度，实现NF的按需定制。图1中，用户设备(user equipment，UE)可通过无线接入网络(Radio Access Network，RAN)接入核心网的AMF，也可直接接入AMF，其中，UE与AMF之间的接口为N1接口，RAN与AMF之间的接口为N2接口。RAN可通过N3接口与用户面功能(user plan function，UPF)交互。UPF可通过N4接口接入核心网的SMF，并与核心网进行交互，UPF也可通过N6接口接入与数据网络(data network，DN)，与DN进行交互。

其中，图1所示的各网元名称以及接口定义都是引用自第五代(5G)以及第三代移动通信标准化组织(3rd Generation Partnership Project，3GPP)草案中的定义，图示中仅是简单说明各个网络功能实体之间的接口定义，其中，方框代表具体的NF定义，连线代表接口定义，具体的定义可参阅5G 3GPP草案中的相关定义。

在上述服务化架构中，若需要新增功能网元，可采用如下两种方式：一种实施方式中，由具备网元管理和注册功能的管理网元，向具有存储注册信息功能的控制网元发送注册请求，在该注册请求中包括新增功能网元的配置信息。控制网元接收到注册请求后完成注册，将注册完成的功能网元添加至NF拓扑中，并发送响应消息至管理网元。另一种实施方式中，由管理网元向待注册的功能网元配置相应参数，之后待注册的功能网元直接向控制网元发送注册请求，控制网元接收到该注册请求后直接完成注册。NRF将注册完成的功能网元添加至NF拓扑中，并发送响应消息至该注册完成的功能网元。

随着未来5G通信业务的迅速发展，可能会存在海量的功能网元需要新增，上述第一种实施方式中，管理网元需要向控制网元和新增的功能网元发送配置信息，故上述第一种实施方式可能不再适用未来5G通信业务。在未来5G通信业务中可采用第二种实施方式实现新增功能网元的注册。然而，在第二种实施方式中，虽然管理网元不需要向控制网元发送配置信息，由新增的功能网元直接向控制网元发送注册请求，但是新增的功能网元与控制网元之间的通信接口并不受安全信道的保护，可能攻击者修改参数，或者攻击者扮演待注册的功能网元的角色尝试接入控制网元的风险，通信安全性较低。

有鉴于此，本申请实施例提供一种基于服务化架构的安全注册方法，在该注册方法中，控制网元与功能网元之间进行安全认证，以提高通信安全性。

可以理解的是，本申请实施例中涉及的管理网元可以是任何具备网元管理和控制功能的功能实体，例如运行管理维护网元(operation administration and maintenance，OAM)或者切片管理网元(Slice manager)等实体，也可以为终端、基站、控制器或服务器等实体，本申请实施例不做限制，为描述方便，后续以管理网元为OAM为例进行描述。本申请实施例涉及的控制网元可以是任何具备存储注册信息并对网元进行控制功能的功能实体，例如可以是NRF，也可以为终端、基站、控制器或服务器等实体本申请实施例不做限制，为描述方便，后续以控制网元为NRF为例进行描述。本申请实施例中涉及的功能网元是具有一定功能的实体，例如可以是NF，也可以为终端、基站、控制器或服务器等实体本申请实施例不做限制，为描述方便，后续以功能网元为NF为例进行描述。

图2所示为本申请实施例提供的一种基于服务化架构进行注册的方法实施流程图，参阅图2所示，包括：

S101：OAM确定NF的配置信息，所述配置信息中包括安全参数。OAM将确定的 包含有安全参数的配置信息发送给NF。

S102：NF获取到OAM发送的配置信息，向NRF发送注册请求，该注册请求中包括安全参数，以及NF的配置信息。

S103：NRF接收NF发送的注册请求，并验证注册请求中包括的安全参数的正确性，通过验证的安全参数的正确性确定NF发送的注册请求是否合法。

本申请实施例中，OAM在向NF发送的配置信息中包括安全参数，NF将该安全参数携带在注册请求中发送给NRF。NRF收到该注册请求后，通过验证注册请求中包括的安全参数的正确性，可确定NF发送的注册请求的合法性。NRF在确定NF发送的注册请求合法的情况下，将NF添加至NF拓扑中，在确定NF发送的注册请求不合法的情况下，拒绝将NF添加至NF拓扑中。故，通过本申请实施例提供的注册方法，可一定程度上提高通信安全性。

本申请实施例中上述及的安全参数可以是令牌(token)，也可以是数字签名(Signature)，还可以是消息认证码(message Authentication code，MAC)。其中，不同的安全参数有不同的生成方法，并且安全参数验证的过程也不同。

本申请实施例以下将结合实际应用对安全参数的生成以及验证过程进行说明。

实施例一：安全参数包括token，token基于非对称密钥生成。

图3所示为本申请实施例一提供的基于服务化架构的安全注册实施流程图，参阅图3所示，包括：

S201a：OAM生成非对称token。

本申请实施例中，OAM可基于NRF的公钥(PKnrf)生成非对称token。

其中，OAM生成非对称token，需要OAM预先保存OAM的公钥(PKoam)，OAM的私钥(SKoam)以及NRF的公钥(PKnrf)。其中，PKnrf可以是初始预先设置在OAM中的，也可以是OAM与NRF进行交互过程中，从NRF处获取得到的。NRF也需要预先保存Pkoam，PKnrf以及NRF的私钥(SKnrf)。其中，Pkoam可以是初始预先设置在NRF中的，也可以是OAM与NRF进行交互过程中，OAM发送至NRF的。

具体的，OAM可基于PKoam，对数字签名、NF资料(NF profile)、以及NF的标识(ID_NF)进行加密，以生成非对称token。

其中，所述数字签名可由OAM基于SKoam，对NF profile、以及ID_NF执行数字签名算法生成。

一种可能的实施方式中，OAM基于PKoam进行加密的参数，除包括数字签名、NF profile、ID_NF以外，还可包括NRF的标识(ID_NRF)，NF类型(NF type)，公共陆地移动网络标识(Public Land Mobile Network ID，PLMN ID)，NF支持的业务标识，数字签名随机数(nonce_sign)等中的一项或多项，以及有效期(time)，token随机数(nonce_token)，计数器和序列号中的至少一项。

具体的，上述生成非对称token过程中所使用的各参数中，NF profile为可选的参数,ID_NRF为可选的参数，NF type为可选的参数，PLMN ID为可选的参数，NF支持业务标识可选。Nonce_token，Nonce_sign为OAM随机选择，两个nonce可以相同也可以不同，并且都是可选的参数。其中，time可以为密钥的有效期，具体形式可以为包含开始时间和结束时间，或者为开始时间和有效的时间，或者为结束时间。非漫游场景下，PLMN ID可包括NF归属网络的PLMN ID。漫游场景下，NF处于拜访网络，但NF的信息保存在归属网络，故PLMN ID可包括归属网络的PLMN ID和拜访网络的PLMN ID的至少一项。

一种可能的实施方式中，OAM生成数字签名时，基于SKoam执行数字签名算法的参数，除包括NF profile、ID_NF以外，还包括ID_NRF，NF type，PLMN ID，NF支持的业务标识等中的一项或多项，以及time，nonce_sign，计数器和序列号中的至少一项。换言之，被签名的内容中可包括NF profile、ID_NF，还可包括ID_NRF，NF type，PLMN ID，NF支持的业务标识，time，nonce_sign，计数器和序列号等。其中，被签名的内容中，NF profile为可选的参数，NF type为可选的参数，PLMN ID为可选的参数，NF支持的业务标识为可选的参数。

S201b：OAM确定会话密钥(K_session)。

本申请实施例中NF和NRF之间可共享K_session，该K_session可用于NF与NRF之间的安全通信或认证。当然，K_session的确定为可选的参数步骤，在不需要使用K_session进行安全通信或认证时，则可不包含该确定K_session的步骤。

本申请实施例中，若OAM生成K_session，则可将K_session作为NF和NRF之间的共享密钥，上述生成非对称token的过程中，基于PKoam除对上述涉及的参数进行加密以外，还可对该K_session进行加密。同时除对上述涉及的参数进行签名以外，还可对该K_session进行签名。

本申请实施例中，一种可能的实施方式中，K_session可以是OAM随机选择的，也可以是OAM根据预设的根密钥，对ID_NF推衍生成的。OAM也可根据预设的根密钥，对ID_NF，ID_NRF，NF profile，NF type，PLMN ID和NF支持的业务标识中的一项或多项进行推衍生成K_session。OAM除对上述参数进行加密以外，还可对time，会话密钥随机数(nonce_session)，计数器和序列号中的至少一项进行推衍生成K_session。另一种可能的实施方式中，K_session可以是OAM根据推衍密钥，对ID_NF推衍生成的。OAM也可根据推衍密钥，对ID_NF，ID_NRF，NF profile，NF type，PLMN ID和NF支持的业务标识中的一项或多项进行加密生成K_session。OAM除对上述参数进行推衍以外，还可对time，会话密钥随机数(nonce_session)，计数器和序列号中的至少一项进行推衍生成K_session。其中，生成K_session所用的推衍密钥，可以是OAM对预设的根密钥进行密钥推衍得到，也可以是由OAM保存的由OAM保存的NF的密钥。另外，K_session也可以为OAM随机选择的参数。

本申请实施例中生成K_session所用参数中，ID_NRF为可选的参数，NF profile为可选的参数，NF type为可选的参数，PLMN ID为可选的参数，NF支持的业务标识可选，(time，nonce_session，计数器和序列号为至少一项)为可选的参数，其中，nonce_session为OAM随机选择的。

S202：OAM确定配置信息，并向NF发送配置信息，该配置信息中包括上述生成的非对称token。

本申请实施例中OAM确定并向NF发送的配置信息中还可能包括ID_NF和token，进一步的也有可能还包括K_Session、ID_NRF，NF profile，NF type等中的至少一项。

S203：NF接收OAM发送的配置信息，基于该配置信息向NRF发送注册请求，其中，该注册请求中包括有配置信息中包括的非对称token，也可能包括ID_NF、ID_NRF、NF profile、NF type等中的至少一项。

S204：NRF接收NF发送的注册请求，并验证注册请求中包括的非对称token的正确性。

具体的，NRF可利用SKnrf解密注册请求中包括的非对称token，得到数字签名，并利用Pkoam和被签名的内容，验证数字签名的正确性。若数字签名验证成功，则NRF确定NF发送的非对称token正确，NF发送的注册请求合法，NF被OAM授权，则NRF依据NF发送的注册请求，将NF加入到NF拓扑中，并保存NF的注册信息。若数字签名验证不成功，则NRF确定NF发送的非对称token不正确，NF发送的注册请求不合法，NF未被OAM授权，则NRF拒绝NF的注册请求。

S205：NRF发送注册响应至NF，以通知NF是否被注册成功。

一种可能的示例中，若NRF利用SKnrf解密注册请求中包括的非对称token，还可得到K_Session，则NF与NRF之间共享K_Session。NRF可利用K_Session执行如下S206的步骤，其中，S206为可选步骤：

S206：NRF确定NF发送的注册请求合法的情况下，基于K_session或者K_session推衍后的密钥，与NF建立安全通道。

其中，K_session推衍后的密钥，可以通过对K_session，隧道建立计数器和会话ID中至少一项执行密钥推衍算法得到。

本申请上述实施例中，OAM在向NF发送的配置信息中包括非对称token，非对称token由OAM基于PKnrf生成。NF将该非对称token携带在注册请求中发送给NRF。NRF收到该注册请求后，通过验证注册请求中包括的非对称token的正确性，可确定NF发送的注册请求的合法性，实现对NF的认证。

进一步的，NF与NRF之间可共享K_session，并利用该共享的K_session，进行NF与NRF之间的安全通信或认证。

实施例二：安全参数包括token，token基于对称密钥生成。

图4所示为本申请实施例二提供的安全注册方法实施流程图。图4所示的安全注册方法实施流程图与图3所示的安全注册方法实施流程类似，不同之处仅在于token的计算方式不同，以下仅就不同之处进行说明，对于相同或相似之处可参阅上述实施例一的描述。

S301a：OAM生成对称token。

本申请实施例中，OAM可基于OAM与NRF之间共享的对称密钥(k)，生成对称token。

其中，OAM基于OAM与NRF之间共享的对称密钥(k)生成对称token情况下，需要OAM与NRF二者各自分别预先保存该对称密钥。

具体的，OAM可基于OAM与NRF之间共享的对称密钥(k)，对MAC、NF profile、ID_NF加密生成。其中，MAC可由OAM基于OAM与NRF之间共享的对称密钥(k)，对所述ID_NF以及NF profile执行消息认证码的算法生成。

一种可能的示例中，OAM基于OAM与NRF之间共享的对称密钥(k)，进行加密的参数除包括MAC、NF profile、ID_NF以外，还可包括ID_NRF，NF type，PLMN ID，NF支持的业务标识等中的一项或多项，以及time，nonce_token，计数器和序列号中的至少一项。

类似的，OAM生成MAC时，基于OAM与NRF之间共享的对称密钥(k)，执行消息认证码算法的参数除包括所述ID_NF以及NF profile以外，还可包括ID_NRF，NF type，PLMN ID，NF支持的业务标识等中的一项或多项，以及time，MAC随机数(nonce_mac)，计数器和序列号中的至少一项。换言之，被MAC保护的内容可包括NF  profile、ID_NF、以及NF和NRF之间的共享密钥，还可包括ID_NRF，NF type，PLMN ID，NF支持的业务标识，time，nonce_mac，计数器和序列号等。其中，被MAC保护的内容中，ID_NRF为可选的参数，NF profile为可选的参数，NF type为可选的参数，PLMN ID为可选的参数，NF支持的业务标识为可选的参数。

S301b：OAM生成K_session。

本申请实施例中OAM生成K_session的步骤为可选步骤，具体生成K_session的过程可参阅上述实施例一中的相关描述在此不再赘述。

本申请实施例中，若OAM生成K_session，可将K_session作为NF和NRF之间的共享密钥，则上述生成对称token的过程中，OAM基于OAM与NRF之间共享的对称密钥(k)除对上述涉及的参数进行加密以外，还可对该K_session进行加密。同时除对上述涉及的参数执行消息认证码算法以外，还可对该K_session执行消息认证码算法。

S302：OAM确定配置信息，并向NF发送配置信息，该配置信息中包括上述生成的对称token。

本申请实施例中OAM确定并向NF发送的配置信息中还可能包括ID_NF和token，进一步的也有可能同时包括ID_NRF，K_Session，NF profile，NF type等中的至少一项。

S303：NF接收OAM发送的配置信息，基于该配置信息向NRF发送注册请求，其中，该注册请求中包括有配置信息中包括的对称token，也可能包括ID_NF、ID_NRF、NF profile、NF type等中的至少一项。

S304：NRF接收NF发送的注册请求，并验证注册请求中包括的对称token的正确性。

具体的，NRF可OAM与NRF之间共享的对称密钥(k)解密注册请求中包括的对称token，以得到MAC，然后利用OAM与NRF之间共享的对称密钥(k)，以及被MAC保护的内容，验证MAC的正确性。若NRF验证MAC正确，则NRF确定NF发送的对称token正确，NF发送的注册请求合法，NF被OAM授权，则NRF依据NF发送的注册请求，将NF加入到NF拓扑中，并保存NF的注册信息。若NRF验证MAC不正确，则NRF确定NF发送的对称token不正确，NF发送的注册请求不合法，NF未被OAM授权，则NRF拒绝NF的注册请求。

一种可能的示例中，若NRF利用k解密注册请求中包括的对称token，还可得到K_Session，则NF与NRF之间共享K_Session。

S305以及S306的执行步骤与上述实施例一中涉及的S205和S206的执行步骤类似，在此不再赘述。

本申请上述实施例中，OAM基于OAM与NRF之间共享的对称密钥(k)生成对称token，OAM在向NF发送的配置信息中包括对称token，NF将该对称token携带在注册请求中发送给NRF。NRF收到该注册请求后，通过验证注册请求中包括的对称token的正确性，可确定NF发送的注册请求的合法性，实现对NF的认证。

进一步的，NF与NRF之间可共享K_session，并利用该共享的K_session，进行NF与NRF之间的安全通信或认证。

实施例三：安全参数包括MAC。

图5所示为本申请实施例三提供的安全注册方法实施流程图。图5所示的安全注册方法实施流程图与图4所示的安全注册方法实施流程类似，不同之处仅在于OAM生成的安全参数为MAC，无需生成token，并且NRF只验证MAC，无需验证token。 以下仅就不同之处进行说明，对于相同或相似之处可参阅上述实施例二的相关描述。

S401：OAM生成MAC。

本申请实施例中，OAM可基于OAM与NRF之间共享的对称密钥(k)，生成MAC。

其中，OAM基于OAM与NRF之间共享的对称密钥(k)生成MAC情况下，需要OAM与NRF二者各自分别预先保存该对称密钥。

具体的，本申请实施例中，OAM可基于OAM与NRF之间共享的对称密钥(k)，对ID_NF执行消息认证码算法，以生成MAC。

一种可能的实施方式中，OAM生成MAC时，执行消息认证码算法的参数除包括ID_NF以外，还可包括NF profile，ID_NRF，NF type，PLMN ID，NF支持的业务标识等中的一项或多项，以及time，MAC随机数(nonce_mac)，计数器和序列号中的至少一项。换言之，被MAC保护的内容可包括ID_NF，还可包括NF profile，ID_NRF，NF type，PLMN ID，NF支持的业务标识，time，nonce_mac，计数器和序列号等。其中，被MAC保护的内容中，ID_NRF为可选的参数，NF profile为可选的参数，NF type为可选的参数，PLMN ID为可选的参数，NF支持的业务标识为可选的参数。

S402：OAM确定配置信息，并向NF发送配置信息，该配置信息中包括上述生成的MAC。

本申请实施例中配置信息中除包括MAC以外，还包括生成MAC时所用的ID_NF。若生成MAC中包括有NF profile，ID_NRF，NF type，PLMN ID，NF支持的业务标识，time，nonce_mac，计数器和序列号等其它可选的参数，则在该配置信息中可相应包括生成MAC时所用的参数。例如生成MAC时所用参数除了包含ID_NF以外还包含有ID_NRF，则在OAM向NF发送的配置信息中包括MAC、ID_NF以及ID_NRF。其中，ID_NRF可以是NRF的身份标识信息，也可以是NRF的地址信息。

进一步的，若生成MAC所用的参数不是OAM与NRF共享的，则必须发送该共享的参数，例如time或者nonce_mac，又或者非共享的计数器或者序列号。

进一步的，若生成MAC所用的参数为OAM与NRF共享，则无需发送该共享的参数，例如OAM与NRF共享计数器和/或序列号，且生成MAC时包含有计数器和/或序列号，则配置参数中无需包含计数器和/或序列号。

S403：NF接收OAM发送的配置信息，基于该配置信息向NRF发送注册请求，其中，该注册请求中包括有配置信息中包括的参数信息，例如包括MAC和ID_NF，也可能还包括ID_NRF、NF profile、NF type、PLMN ID，NF支持的业务标识等中的至少一项。进一步的，用于计算MAC，并且OAM与NRF非共享的参数，都需要发送至NRF，例如接收到的time，nonce_mac，计数器或者序列号等也需要发送至NRF。

S404：NRF接收NF发送的注册请求，并验证注册请求中包括的MAC的正确性。

具体的，NRF可利用OAM与NRF之间共享的对称密钥(k)，以及被MAC保护的内容，验证MAC的正确性。若NRF验证MAC正确，则NRF确定NF发送的注册请求合法，NF被OAM授权，则NRF依据NF发送的注册请求，将NF加入到NF拓扑中，并保存NF的注册信息。若NRF验证MAC不正确，则NRF确定NF发送的注册请求不合法，NF未被OAM授权，则NRF拒绝NF的注册请求。

S405：NRF发送注册响应至NF，以通知NF是否被注册成功。

本申请实施例三中，OAM基于OAM与NRF之间共享的对称密钥(k)生成MAC， OAM在向NF发送的配置信息中包括MAC，NF将该MAC携带在注册请求中发送给NRF。NRF收到该注册请求后，通过验证注册请求中包括的MAC的正确性，可确定NF发送的注册请求的合法性，并实现对NF的认证。

本申请实施例三中实现了NRF对NF的认证，在一种可能的实施例中，也可实现NF对NRF的认证，即实现NF与NRF的双向认证。本申请实施例中以下将结合实施例四和实施例五对NF与NRF实现双向认证的过程进行说明。

实施例四：基于MAC实现NF与NRF的双向认证。

图6所示为本申请实施例四提供的安全注册方法实施流程图。图6所示的安全注册方法中可在实施例四中涉及的安全注册方法基础上，由NRF和OAM分别再生成一个MAC，通过比较OAM生成的MAC与NRF生成的MAC是否一致，实现NF与NRF的双向认证。

本申请实施例中为描述方便，将实施例三中OAM生成的MAC称为第一MAC，将本申请实施例四中NRF生成的MAC称为第二MAC，将本申请实施例中OAM生成的MAC称为第三MAC。

图6中S501、S502、S503和S504的执行步骤与上述图5中的S401、S402、S403和404的执行步骤类似，不同之处在于S501中OAM除生成第一MAC以外还生成第三MAC。本申请实施例中对于与实施例三相同之处，在此不再赘述，以下仅就不同之处进行说明：

S501：OAM生成第一MAC和第三MAC。

其中，OAM可基于OAM与NRF之间共享的对称密钥(k)生成第三MAC。

具体的，本申请实施例中，OAM可基于OAM与NRF之间共享的对称密钥(k)，对ID_NF、以及ID_NRF执行消息认证码算法，以生成第三MAC。

一种可能的实施方式中OAM生成第三MAC时，基于OAM与NRF之间共享的对称密钥(k)，执行消息认证码算法的参数除包括ID_NF、以及ID_NRF以外，还可包括NF profile，NF type，PLMN ID，NF支持的业务标识等中的一项或多项，以及time，MAC3随机数(nonce_mac3)，计数器和序列号中的至少一项。换言之，被第三MAC保护的内容可包括ID_NF和ID_NRF，还可包括NF profile，NF type，PLMN ID，NF支持的业务标识，time，nonce_mac3，计数器和序列号等。其中，被第三MAC保护的内容中，NF profile为可选的参数，NF type为可选的参数，PLMN ID为可选的参数，NF支持的业务标识为可选的参数。

S502：OAM确定配置信息，并向NF发送配置信息，该配置信息中包括上述生成的第一MAC和第三MAC。

S503和S504的执行步骤与S403和S404的执行步骤相同。

进一步的，若生成第三MAC中采用了OAM与NRF非共享的参数，都需要发送至NRF，例如接收到的time，nonce_mac3，计数器或者序列号等至少一项也需要通过NF发送至NRF。

S505：NRF生成第二MAC。

本申请实施例中，NRF可基于OAM与NRF之间共享的对称密钥(k)生成第二MAC。

具体的，本申请实施例中，NRF可基于OAM与NRF之间共享的对称密钥(k)，对ID_NF、以及ID_NRF执行消息认证码算法，以生成第二MAC。

本申请实施例中NRF生成的第二MAC过程中所涉及的参数，与OAM生成第三 MAC中涉及到的参数相同，在此不再赘述。

S506：NRF向NF发送第二MAC，其中，该第二MAC可通过NRF向NF发送的注册响应发送。

S507：NF接收NRF发送的第二MAC，并比较第二MAC与第三MAC是否一致，并根据比较结果确定第二MAC的合法性。

本申请实施例中，若第二MAC与第三MAC一致，则NF确定第二MAC合法，确认NRF认证通过。

本申请实施例中NRF通过验证第一MAC，实现对NF的认证，NF通过比较第二MAC与第三MAC是否一致，实现对NRF的认证，进而实现了NF与NRF的相互认证。

实施例五：基于MAC，NF与NRF实现双向认证。

图7所示为本申请实施例五提供的安全注册方法实施流程图。图7中S601、S603、S604、S605和S606的执行步骤与上述图6中的S501、S503、S504、S505和S506的执行步骤相同。图7中S602的执行步骤与图5中的S402的执行步骤相同。

S607：NF接收NRF发送的第二MAC，并向OAM发送该第二MAC。

S608：OAM接收NF发送的第二MAC，并比较第二MAC与第三MAC是否一致，并根据比较结果确定第二MAC的验证结果。

本申请实施例中，若第二MAC与第三MAC一致，则NF确定第二MAC合法，确认NRF认证通过。

S609：OAM向NF发送第二MAC的验证结果，NF根据从OAM接收的第二MAC的验证结果，确定第二MAC的合法性。

本申请实施例中NRF通过验证第一MAC，实现对NF的认证，NF通过从OAM接收的第二MAC的验证结果，确定第二MAC的合法性，实现对NRF的认证，进而实现了NF与NRF的相互认证。

实施例六：安全参数包括数字签名。

图8所示为本申请实施例六提供的安全注册方法实施流程图。图8所示的安全注册方法实施流程图与图5所示的安全注册方法实施流程类似，不同之处仅在于OAM生成的安全参数为数字签名，而不是MAC。以下仅就不同之处进行说明，对于相同或相似之处可参阅上述实施例三的相关描述。

S701：OAM生成数字签名。

本申请实施例中OAM可基于SKoam，生成数字签名。

其中，OAM基于SKoam生成数字签名的情况下，OAM需要预先保存PKoam和SKoam，NRF也需要预先保存PKoam。其中，Pkoam可以是初始预先设置在NRF中的，也可以是OAM与NRF进行交互过程中，OAM发送至NRF的。

具体的，本申请实施例中OAM可基于SKoam生成数字签名过程中，执行数字签名算法中涉及的参数(被签名的内容)与上述实施例三中涉及的生成MAC过程中执行消息认证码算法涉及的参数(被MAC保护的内容)类似，不同之处仅在于执行数字签名过程中用的随机数为数字签名的随机数，对于相同之处，在此不再赘述。

S702：OAM确定配置信息，并向NF发送配置信息，该配置信息中包括上述生成的数字签名。

进一步的，若生成数字签名中采用了OAM与NRF非共享的参数，都需要发送至NRF， 例如接收到的time，nonce_sign，计数器或者序列号等至少一项也需要通过NF发送至NRF。

S703：NF接收OAM发送的配置信息，基于该配置信息向NRF发送注册请求，该注册请求中包括OAM生成并发送给NF的数字签名。

S704：NRF接收NF发送的注册请求，并验证注册请求中包括的数字签名的正确性。

具体的，NRF可利用预先保存的Pkoam，以及被签名的内容，验证数字签名的正确性。若NRF确定NF发送的数字签名正确，则NF发送的注册请求合法，NF被OAM授权，则NRF依据NF发送的注册请求，将NF加入到NF拓扑中，并保存NF的注册信息。若NRF确定NF发送的数字签名不正确，则NF发送的注册请求不合法，NF未被OAM授权，则NRF拒绝NF的注册请求。

S705：NRF发送注册响应至NF，以通知NF是否被注册成功。

本申请实施例六中，OAM基于SKoam生成数字签名，OAM在向NF发送的配置信息中包括数字签名，NF将该数字签名携带在注册请求中发送给NRF。NRF收到该注册请求后，通过验证注册请求中包括的数字签名的正确性，可确定NF发送的注册请求的合法性，并实现对NF的认证。

本申请实施例六中实现了NRF基于数字签名对NF的认证，在一种可能的实施例中，也可基于数字签名实现NF对NRF的认证，即基于数字签名实现NF与NRF的双向认证。本申请实施例中以下将结合实施例七对NF与NRF基于数字签名实现双向认证的过程进行说明。

实施例七：NF与NRF基于数字签名进行双向认证。

本申请实施例中为实现NF与NRF基于数字签名进行双向认证，可在实施例六涉及的安全注册方法基础上，由NRF再生成一个数字签名，NF通过验证NRF生成的数字签名，实现NF对NRF的认证。具体生成数字签名的参数与图7对应实施例中S605计算MAC的参数一致。

本申请实施例中为描述方便，可将实施例六中OAM生成的数字签名称为第一数字签名，将本实施例七中NRF生成的数字签名称为第二数字签名。

图9所示为本申请实施例七提供的安全注册方法实施流程图。图9所示的安全注册方法实施流程中涉及的S801、S802以及S803的执行步骤与图8所示的安全注册方法实施流程中涉及的S701、S702以及S703的执行步骤类似，仅需要将图8中涉及的数字签名替换为第一数字签名即可，故相同之处在此不再赘述，以下仅就不同之处进行说明：

S804：NRF生成第二数字签名。

本申请实施例中NRF可基于SKnrf生成第二数字签名。

具体的，本申请实施例中NRF基于SKnrf生成第二数字签名过程中，执行数字签名算法中涉及的参数(被签名的内容)与上述实施例四中涉及的生成第二MAC过程中执行消息认证码算法涉及的参数(被第二MAC保护的内容)类似，不同之处仅在于执行数字签名过程中用的随机数为数字签名的随机数，对于相同之处，在此不再赘述。

S805：NRF向NF发送第二数字签名，该第二数字签名可通过NRF向NF发送的注册响应发送。

S806：NF验证NRF发送的第二数字签名。

具体的，NF可通过预先保存的PKnrf验证第二数字签名的正确性，其中该PKnrf可以是初始预先设置在NF中的，也可以是NF与NRF进行交互过程中，从NRF处获取得到的。

本申请实施例中，NF可利用PKnrf和被第二数字签名所签名的内容，验证第二数字签名的正确性。若第二数字签名验证正确，NR验证NRF合法。若第二数字签名验证不正确，则NR验证NRF不合法。

本申请实施例中NRF通过验证第一数字签名，实现对NF的认证，NF通过验证第二数字签名，实现对NRF的认证，进而实现了基于数字签名的NF与NRF的相互认证。

实施例八：安全参数包括NF生成的MAC，由NRF验证NF生成的MAC的正确性。

图10所示为本申请实施例八提供的安全注册方法实施流程图，参阅图10所示，包括：

S901：OAM确定NF的配置信息，并向NF发送该确定的配置信息，所述配置信息中包括推衍密钥(K_NF)。

本申请实施例中，OAM可对预设的根密钥进行密钥推衍得到推衍密钥(K_NF)，或者OAM保存有预配置的推衍密钥(K_NF)。

具体的，OAM可对预设的根密钥、ID_NF以及PLMN ID执行密钥推衍算法，得到给推衍密钥(K_NF)。

S902：NF接收OAM发送的配置信息，并利用配置信息中包括的推衍密钥(K_NF)，生成MAC。

本申请实施例中为描述方便，将NF根据推衍密钥(K_NF)生成的消息认证码，称为第四MAC。

本申请实施例中，NF基于推衍密钥(K_NF)生成的第四MAC，与OAM生成的第一MAC相似，不同之处仅在于NF是基于推衍密钥(K_NF)生成的，而OAM是基于OAM与NRF之间共享的对称密钥(k)生成的。对于NF基于推衍密钥(K_NF)生成第四MAC中涉及执行消息认证码算法的参数可参阅OAM基于OAM与NRF之间共享的对称密钥(k)生成第一MAC中执行消息认证码算法所涉及的参数，在此不再赘述。

S903：NF向NRF发送注册请求，该注册请求中包括上述生成的第四MAC和ID_NF。当然该注册请求中还可包括除ID_NF以外的其它配置信息。

S904：NRF向OAM发送ID_NF。

其中，NRF还可向OAM发送第四MAC的有效期(time)、nonce_mac4等信息，以查询OAM中保存的NF的MAC信息。

S905：OAM接收NRF发送的ID_NF，并基于预先保存的推衍密钥(K_NF)，对ID_NF执行消息认证码算法，得到用于NRF认证NF的MAC。

本申请实施例中为描述方便，将OAM基于推衍密钥(K_NF)生成的MAC，称为第五MAC。

本申请实施例中，OAM基于推衍密钥(K_NF)生成第五MAC的执行过程，可与OAM基于OAM与NRF之间共享的对称密钥(k)生成第三MAC的执行过程类似，不同之处仅在于，第五MAC是基于推衍密钥(K_NF)生成的，而第三MAC是基于OAM与NRF之间共享的对称密钥(k)生成的。本申请实施例中对于OAM基于推衍密钥(K_NF)生成第五MAC中涉及执行消息认证码算法的参数可参阅OAM基于OAM与NRF之间共享的对称密钥(k)生成第三MAC中执行消息认证码算法所涉及的参数，在此不再赘述。

一种可能的示例中，若NF与NRF之间共享用于NF与NRF之间的安全通信或认证的K_session，则OAM还可基于推衍密钥(K_NF)生成K_session。

S906：OAM向NRF发送第五MAC。

其中，若OAM基于推衍密钥(K_NF)生成K_session，则将该生成的K_session也发送给NRF。

S907：NRF接收OAM发送的第五MAC，并比较第四MAC与第五MAC是否一致，以验证第四MAC的正确性，并基于第四MAC的正确性，确认NF发送的注册请求的合法性。

本申请实施例中，若第四MAC与第五MAC一致，则NF确定第四MAC正确，确认NF发送的注册请求合法，确认NF认证通过。

S908：NRF向NF发送认证响应，以通知NF是否认证通过。

一种可能的示例中，若OAM基于推衍密钥(K_NF)生成K_session，NRF可利用K_Session执行如下S909的步骤：

S909：NRF确定NF发送的注册请求合法的情况下，基于K_session或者K_session推衍后的密钥，与NF建立安全通道。

本申请实施例八中，NF生成第四MAC并发送给NRF，NRF通过查询的方式，从OAM获取到第五MAC，通过比较第四MAC与第五MAC是否一致，实现对NF的认证。

本申请实施例中，NRF接收到NF发送的第四MAC后，可将第四MAC发送给OAM，由OAM验证第四MAC的正确性，NRF可基于OAM发送的第四MAC的验证结果，确认NF发送的注册请求的合法性，具体实施过程可参阅实施例九。

实施例九：安全参数包括NF生成的MAC，由OAM验证NF生成的MAC的正确性。

图11所示为本申请实施例九提供的安全注册方法实施流程图。图11所示的安全注册方法流程图中，S1001、S1002、S1003、S1008和S1009的执行步骤与上述图10中的S901、S902、S903、S908和S909的执行步骤相同，在此不再赘述，以下仅就不同之处进行说明：

S1004：NRF向OAM发送ID_NF以及第四MAC。

S1005：OAM接收NRF发送的ID_NF以及第四MAC，并基于预先保存的推衍密钥(K_NF)生成第五MAC。

一种可能的示例中，若NF与NRF之间共享用于NF与NRF之间的安全通信或认证的K_session，则OAM还可基于推衍密钥(K_NF)生成K_session。

S1006：OAM比较第四MAC与第五MAC是否一致，以验证第四MAC的正确性，并向NRF发送第四MAC的验证结果。

本申请实施例中，若第四MAC与第五MAC一致，则NF确定第四MAC正确，确认NF发送的注册请求合法，确认NF认证通过。

S1007：NRF接收OAM发送的第四MAC的验证结果，以确认第四MAC的正确性，并确认NF发送的注册请求的合法性。

一种可能的示例中，若OAM基于推衍密钥(K_NF)生成K_session，则将该K_session发送给NRF。

本申请实施例九中，NF生成第四MAC并发送给NRF，NRF向OAM发送该第四MAC。OAM生成第五MAC，通过比较第四MAC与第五MAC是否一致，验证第四MAC的正确性，并将第四MAC的验证结果发送给NRF，NRF基于第四MAC的验证结果，确认NF发送的注册请求的合法性，实现对NF的认证。

本申请实施例中，针对上述采用MAC和签名做验证的实施例，还包括基于DH (Diffie-Hellman)密钥协商生成K_session的可能性，即OAM生成DH密钥协商的公钥PK_DH_OAM和私钥SK_DH_OAM，采用MAC或者签名对PK_DH_OAM做保护，另外OAM将PK_DH_OAM和SK_DH_OAM发送至NF。NF在之前实施例中发送注册请求的基础上，另外发送PK_DH_OAM至NRF。NRF验证MAC或签名成功后，生成DH密钥协商的公钥PK_DH_NRF和私钥SK_DH_NRF。并基于PK_DH_OAM和SK_DH_NRF生成K_session。NRF发送PK_DH_NRF至NF。此时NF可以基于PK_DH_NRF和SK_DH_OAM生成K_session。所述参数的格式和计算K_session的方式与经典DH密钥协商流程类似。DH密钥协议不做限制，包括但不限于离散对数等等。

本申请实施例中，针对上述所有非对称技术的实施例，仍旧可以用基于身份技术实现。基于身份技术与基于证书非对称安全技术中的不同点在于，公钥PK可以为ID，即用户身份。

上述主要从管理网元、功能网元和控制网元交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，管理网元、功能网元和控制网元为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的技术方案的范围。

本申请实施例可以根据上述方法示例对管理网元、功能网元和控制网元进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用软件功能单元的形式实现时，图12示出了本申请实施例提供的一种基于服务化架构的注册装置100的结构示意图。其中，基于服务化架构的注册装置100可应用于管理网元，参阅图12所示，应用于管理网元的注册装置100可包括处理单元101和发送单元102。其中，处理单元101用于确定功能网元的配置信息，以及生成安全参数。发送单元102用于向功能网元发送处理单元101确定的配置信息，在发送的配置信息中包括生成的安全参数。

一种可能的实施方式中，处理单元101可管理网元的私钥，对功能网元资料、功能网元的标识执行数字签名算法生成数字签名，并基于控制网元的公钥，对数字签名、功能网元资料、功能网元的标识加密生成非对称令牌。发送单元102将处理单元101生成的非对称令牌作为安全参数发送给功能网元。

其中，处理单元101还可基于管理网元的私钥，对功能网元资料、功能网元的标识、以及功能网元与控制网元之间的共享密钥执行数字签名算法生成数字签名，并基于控制网元的公钥，对数字签名、功能网元资料、功能网元的标识以及功能网元与控制网元之间的共享密钥加密生成非对称令牌。发送单元102将处理单元101生成的非对称令牌作为安全参数发送给功能网元。

另一种可能的实施方式中，处理单元101可基于管理网元与控制网元之间共享的对称密钥，对功能网元的标识以及功能网元资料执行消息认证码的算法生成消息认证 码，并基于管理网元与控制网元之间共享的对称密钥，对消息认证码、功能网元资料、功能网元的标识加密，生成对称令牌。发送单元102将处理单元101生成的对称令牌作为安全参数发送给功能网元。

其中，处理单元101还可基于管理网元与控制网元之间共享的对称密钥，对功能网元和控制网元之间的共享密钥，功能网元的标识以及功能网元资料执行消息认证码的算法生成消息认证码，并基于管理网元与控制网元之间共享的对称密钥，对消息认证码、功能网元资料、功能网元的标识、以及功能网元和控制网元之间的共享密钥加密生成对称密钥。发送单元102将处理单元101生成的对称令牌作为安全参数发送给功能网元。

另一种可能的实施方式中，处理单元101可基于管理网元与控制网元之间共享的对称密钥，对功能网元资料以及所述功能网元的标识执行消息认证码的算法生成第一消息认证码。发送单元102将处理单元101生成的第一消息认证码作为安全参数发送给功能网元。

其中，处理单元101还可基于管理网元与控制网元之间共享的对称密钥，对功能网元的标识以及控制网元的标识执行消息认证码的算法生成第三消息认证码。发送单元102将处理单元101生成的第三消息认证码作为安全参数发送给功能网元。

又一种可能的实施方式中，注册装置100还可包括接收单元103，其中接收单元103用于接收控制网元发送的第四消息认证码以及功能网元的标识。处理单元101根据推衍密钥，对功能网元的标识以及控制网元的标识执行消息认证码的算法生成第五消息认证码，并比较第四消息认证码与第五消息认证码是否一致，以实现对第四消息认证码的验证，若第四消息认证码与第五消息认证码一致，则功能网元确定第四消息认证码正确，确认功能网元发送的注册请求合法，确认功能网元认证通过，发送单元102向控制网元发送第四消息认证码的验证结果。

另一种可能的实施方式中，处理单元101可基于管理网元的私钥，对功能网元资料、以及功能网元的标识执行数字签名算法生成第一数字签名。发送单元102将处理单元101生成的第一数字签名作为安全参数发送给功能网元。

在采用硬件形式实现时，上述处理单元101可以是处理器，发送单元102可以是发射器，接收单元103可以是接收器，当处理单元101是处理器，发送单元102是发射器，接收单元103是接收器时，注册装置100可采用图13所示管理网元的结构。采用图13所示的管理网元可以是OAM，该OAM可以是上述方法实施例中涉及的OAM。

图13示出了本申请实施例提供的管理网元1000的结构示意图，即示出了注册装置100的另一结构示意图。参阅图13所示，管理网元1000包括处理器1001、发射器1002和接收器1003。其中，处理器1001也可以为控制器。所述处理器1001被配置为支持管理网元1000执行图2至图11中涉及的管理网元的功能。所述发射器1002和接收器1003被配置为支持管理网元1000与控制网元以及功能网元之间进行消息的收发功能。所述管理网元1000还可以包括存储器1004，所述存储器1004用于与处理器1001耦合，其保存管理网元1000必要的程序指令和数据。其中，处理器1001、发射器1002、接收器1003和存储器1004相连，该存储器1004用于存储指令，该处理器1001用于执行该存储器1004存储的指令，以控制发射器1002和接收器1003收发数据，完成上述方法中管理网元执行相应功能的步骤。

本申请实施例中，注册装置100和管理网元1000所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

在采用软件功能单元的形式实现时，图14示出了本申请实施例提供的一种基于服务化架构的注册装置200的结构示意图。其中，基于服务化架构的注册装置200可应用于功能网元，参阅图14所示，应用于功能网元的注册装置200可包括接收单元201和发送单元202。其中，接收单元201用于接收管理网元发送的配置信息以及安全参数。发送单元202用于基于接收单元201接收的配置信息，向控制网元发送注册请求，注册请求中包括接收单元201接收到的安全参数。

其中，接收单元201接收到的安全参数可以是管理网元生成的非对称令牌、对称令牌、第一消息认证码或第一数字签名。

一种可能的实施方式中，接收单元201还用于接收控制网元发送的第二消息认证码以及管理网元发送的第三消息认证码。注册装置200还包括处理单元203，其中，处理单元203用于比较第二消息认证码与第三消息认证码是否一致，并根据比较结果确定第二消息认证码的合法性。

另一种可能的实施方式中，接收单元201还用于接收控制网元发送的第二消息认证码，发送单元202向管理网元发送接收单元201接收到的第二消息认证码。接收单元201还用于接收控制网元发送的第二消息认证码验证结果。注册装置200还包括处理单元203，其中，处理单元203用于根据接收单元201接收到的第二消息认证码验证结果，确定所述第二消息认证码的合法性。

又一种可能的实施方式中，接收单元201还用于接收控制网元发送的第二数字签名。册装置200还包括处理单元203，其中，处理单元203用于根据接收单元201接收到第二数字签名，以及被第二数字签名所签名的内容，验证所述第二数字签名的合法性。

又一种可能的实施方式中，注册装置200还包括处理单元203，处理单元203用于基于会话密钥或者基于会话密钥的推衍密钥，与控制网元建立安全通道。

在采用硬件形式实现时，上述接收单元201可以是接收器，发送单元202可以是发射器，处理单元203可以是处理器，当接收单元201是接收器，发送单元202是发射器，处理单元203是处理器时，注册装置200可采用图15所示功能网元的结构。采用图15所示的功能网元可以是NF，该NF可以是上述方法实施例中涉及的NF。

图15示出了本申请实施例提供的功能网元2000的结构示意图，即示出了注册装置200的另一结构示意图。参阅图15所示，功能网元2000包括处理器2001、发射器2002和接收器2003。其中，处理器2001也可以为控制器。所述处理器2001被配置为支持功能网元2000执行图2至图11中涉及的功能网元的功能。所述发射器2002和接收器2003被配置为支持功能网元2000与控制网元以及管理网元之间进行消息的收发功能。所述功能网元2000还可以包括存储器2004，所述存储器2004用于与处理器2001耦合，其保存功能网元2000必要的程序指令和数据。其中，处理器2001、发射器2002、接收器2003和存储器2004相连，该存储器2004用于存储指令，该处理器2001用于执行该存储器2004存储的指令，以控制发射器2002和接收器2003收发数据，完成上述方法中功能网元执行相应功能的步骤。

本申请实施例中，注册装置200和功能网元2000所涉及的与本申请实施例提供的技 术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

在采用软件功能单元的形式实现时，图16示出了本申请实施例提供的一种基于服务化架构的注册装置300的结构示意图。其中，基于服务化架构的注册装置300可应用于控制网元，参阅图16所示，应用于功能网元的注册装置300可包括接收单元301和处理单元302。其中，接收单元301用于接收功能网元发送的注册请求，该注册请求中包括安全参数。处理单元302用于验证接收单元301接收到的安全参数的正确性，并通过安全参数的正确性确定所述注册请求的合法性。

一种可能的实施方式中，所述安全参数包括非对称令牌。处理单元302利用所述控制网元的私钥解密所述非对称令牌，以得到数字签名，并利用管理网元的公钥以及被签名的内容，验证所述数字签名的正确性。

另一种可能的实施方式中，所述安全参数包括对称令牌。处理单元302利用所述对称密钥解密所述对称令牌，以得到消息认证码，并利用所述对称密钥，以及被消息验证码保护的内容，验证所述消息验证码的正确性。

又一种可能的实施方式中，所述安全参数包括第一消息认证码。处理单元302利用管理网元与控制网元之间共享的对称密钥、以及被第一消息验证码保护的内容，验证所述第一消息认证码的正确性。

其中，处理单元302还用于管理网元与控制网元之间共享的对称密钥，对所述功能网元的标识以及所述控制网元的标识执行消息认证码的算法生成第二消息认证码。注册装置300还包括发送单元303。其中，发送单元303用于将处理单元302生成的第二消息认证码发送给功能网元，以使功能网元利用第二消息认证码对控制网元实现认证。

又一种可能的实施方式中，所述安全参数包括第一数字签名。处理单元302利用管理网元的公钥，以及被第一数字签名所签名的内容，验证所述第一数字签名的正确性。

其中，处理单元302还用于基于控制网元的私钥，对所述功能网元的标识以及所述控制网元的标识执行数字签名算法生成第二数字签名。注册装置300还包括发送单元303。其中，发送单元303用于将处理单元302生成的第二数字签名发送给功能网元，以使功能网元利用第二数字签名对控制网元实现认证。

又一种可能的实施方式中，接收单元301用于接收功能网元发送的功能网元的标识以及第四消息认证码。注册装置300还包括发送单元303。发送单元303将接收单元301接收到的功能网元的标识以及第四消息认证码发送给管理网元。接收单元301还用于接收管理网元发送的第五消息认证码。处理单元302还用于比较所述第四消息认证码与所述第五消息认证码是否一致，验证所述第四消息认证码的正确性。

又一种可能的实施方式中，接收单元301用于接收功能网元发送的功能网元的标识以及第四消息认证码。注册装置300还包括发送单元303。发送单元303将接收单元301接收到的功能网元的标识以及第四消息认证码发送给管理网元。接收单元301还用于接收管理网元发送的第四消息认证码验证结果。处理单元302依据接收单元301接收的第四消息认证码验证结果确定所述第四消息认证码的正确性。

在采用硬件形式实现时，上述接收单元301可以是接收器，处理单元302可以是处理器，发送单元303可以是发射器，当接收单元301是接收器，处理单元302是处理器，发 送单元303是发射器时，注册装置300可采用图17所示控制网元的结构。采用图17所示的控制网元可以是NRF，该NRF可以是上述方法实施例中涉及的NRF。

图17示出了本申请实施例提供的控制网元3000的结构示意图，即示出了注册装置300的另一结构示意图。参阅图17所示，控制网元3000包括处理器3001、发射器3002和接收器3003。其中，处理器3001也可以为控制器。所述处理器3001被配置为支持控制网元3000执行图2至图11中涉及的控制网元的功能。所述发射器3002和接收器3003被配置为支持控制网元3000与功能网元以及管理网元之间进行消息的收发功能。所述控制网元3000还可以包括存储器3004，所述存储器3004用于与处理器3001耦合，其保存控制网元3000必要的程序指令和数据。其中，处理器3001、发射器3002、接收器3003和存储器3004相连，该存储器3004用于存储指令，该处理器3001用于执行该存储器3004存储的指令，以控制发射器3002和接收器3003收发数据，完成上述方法中控制网元执行相应功能的步骤。

本申请实施例中，注册装置300和控制网元3000所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

需要说明的是，本申请实施例上述涉及的处理器可以是中央处理器(central processing unit，CPU)，通用处理器，数字信号处理器(digital signal processor，DSP)，专用集成电路(application-specific integrated circuit，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。

其中，所述存储器可以集成在所述处理器中，也可以与所述处理器分开设置。

作为一种实现方式，接收器和发射器的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。

作为另一种实现方式，将实现处理器、接收器和发射器功能的程序代码存储在存储器中，通用处理器通过执行存储器中的代码来实现处理器、接收器和发射器的功能。

根据本申请实施例提供的方法，本申请实施例还提供一种通信系统，其包括前述的管理网元、功能网元及控制网元。

本申请实施例还提供一种芯片，所述芯片与存储器相连，用于读取并执行所述存储器中存储的软件程序，以实现上述实施例中涉及的管理网元所执行的功能。

本申请实施例还提供一种芯片，所述芯片与存储器相连，用于读取并执行所述存储器中存储的软件程序，以实现上述实施例中涉及的功能网元所执行的功能。

本申请实施例还提供一种芯片，所述芯片与存储器相连，用于读取并执行所述存储器中存储的软件程序，以实现上述实施例中涉及的控制网元所执行的功能。

本申请实施例还提供一种计算机存储介质，该计算机存储介质中存储有一些指令，这些指令被执行时，可以完成上述方法实施例中涉及的注册方法。

本申请实施例还提供一种计算机程序产品，该计算机程序产品中包括计算机程序，该计算机程序用于执行上述方法实施例中涉及的注册方法。

本领域内的技术人员应明白，本申请实施例可提供为方法、系统、或计算机程序产品。 因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims (25)

1. 一种基于服务化架构的注册方法，其特征在于，包括：

   控制网元接收功能网元发送的注册请求，所述注册请求中包括安全参数；

   所述控制网元验证所述安全参数的正确性，并通过所述安全参数的正确性确定所述注册请求的合法性。
2. 根据权利要求1所述的方法，其特征在于，所述安全参数包括令牌，所述令牌由管理网元生成并发送给所述功能网元。
3. 根据权利要求2所述的方法，其特征在于，所述令牌由管理网元基于所述控制网元的公钥，对数字签名、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；

   所述数字签名由管理网元基于所述管理网元的私钥，对功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥执行数字签名算法生成；

   所述控制网元验证所述安全参数的正确性，包括：

   所述控制网元利用所述控制网元的私钥解密所述令牌，以得到数字签名，并

   利用管理网元的公钥以及被签名的内容，验证所述数字签名的正确性；

   其中，所述被签名的内容包括所述功能网元和所述控制网元之间的共享密钥，所述功能网元的标识以及功能网元资料。
4. 根据权利要求2所述的方法，其特征在于，所述令牌由管理网元基于管理网元与控制网元之间共享的对称密钥，对消息认证码、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；

   所述消息认证码由管理网元基于管理网元与控制网元之间共享的对称密钥，对所述功能网元和所述控制网元之间的共享密钥，所述功能网元的标识以及功能网元资料执行消息认证码的算法生成；

   所述控制网元验证所述安全参数的正确性，包括：

   所述控制网元利用所述对称密钥解密所述令牌，以得到消息认证码，并

   利用所述对称密钥，以及被消息验证码保护的内容，验证所述消息验证码的正确性；

   其中，所述被消息验证码保护的内容包括所述功能网元和所述控制网元之间的共享密钥，所述功能网元的标识以及功能网元资料；另外还可能包括控制网元的标识。
5. 根据权利要求1至4任一项所述的方法，其特征在于，所述控制网元接收功能网元发送的注册请求之后，所述方法还包括：

   所述控制网元确定所述注册请求合法的情况下，基于会话密钥或者基于会话密钥的推衍密钥，与所述功能网元建立安全通道；

   其中，所述控制网元通过解密令牌得到所述会话密钥，所述令牌基于所述会话密钥生成，所述会话密钥由所述管理网元根据预设的根密钥，对所述功能网元的标识加密生成；或者所述控制网元从管理网元处获取所述会话密钥，所述会话密钥由所述管理网元根据推衍密钥对所述功能网元的标识加密生成；所述推衍密钥由管理网元对预设的根密钥进行密钥推衍得到，或者所述推衍密钥为所述管理网元保存的所述功能网 元的密钥。
6. 一种基于服务化架构的注册方法，其特征在于，包括：

   功能网元接收管理网元发送的配置信息；

   所述功能网元基于所述配置信息，向控制网元发送注册请求，所述注册请求中包括安全参数。
7. 根据权利要求6所述的方法，其特征在于，所述安全参数包括令牌，所述配置信息中包括所述令牌。
8. 根据权利要求7所述的方法，其特征在于，所述令牌由管理网元基于所述控制网元的公钥，对数字签名、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；所述数字签名由管理网元基于所述管理网元的私钥，对功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥执行数字签名算法生成；或者

   所述令牌由管理网元基于管理网元与控制网元之间共享的对称密钥，对消息认证码、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；所述消息认证码由管理网元基于管理网元与控制网元之间共享的对称密钥，对所述功能网元和所述控制网元之间的共享密钥，所述功能网元的标识以及功能网元资料执行消息认证码的算法生成。
9. 根据权利要求6至8任一项所述的方法，其特征在于，所述功能网元向控制网元发送注册请求之后，所述方法还包括：

   所述功能网元基于会话密钥或者基于会话密钥的推衍密钥，与所述控制网元建立安全通道；

   其中，所述会话密钥由所述管理网元根据预设的根密钥以及所述功能网元的标识生成，所述配置信息中包括所述会话密钥；或者所述会话密钥由所述功能网元根据所述功能网元的标识以及从管理网元处获取的推衍密钥生成，所述推衍密钥由管理网元对预设的根密钥进行密钥推得到，或者所述推衍密钥为所述管理网元保存的所述功能网元的密钥。
10. 一种基于服务化架构的注册方法，其特征在于，包括：

    管理网元确定功能网元的配置信息，所述配置信息中包括安全参数；

    所述管理网元向功能网元发送所述配置信息。
11. 根据权利要求10所述的方法，其特征在于，所述安全参数包括令牌；

    其中，所述令牌由管理网元基于所述控制网元的公钥，对数字签名、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；所述数字签名由管理网元基于所述管理网元的私钥，对功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥执行数字签名算法生成；或者

    所述令牌由管理网元基于管理网元与控制网元之间共享的对称密钥，对消息认证码、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；所述消息认证码由管理网元基于管理网元与控制网元之间共享的对称密钥，对所述功能网元和所述控制网元之间的共享密钥，所述功能网元的标识以及功能网元资料执行消息认证码的算法生成。
12. 根据权利要求10或11所述的方法，其特征在于，所述方法还包括：

    所述管理网元生成会话密钥，并将所述会话密钥发送给所述功能网元或控制网元；

    其中，所述会话密钥由所述管理网元根据预设的根密钥，对所述功能网元的标识加密生成；或者所述会话密钥由所述管理网元根据推衍密钥，对所述功能网元的标识加密生成，所述推衍密钥由管理网元对预设的根密钥进行密钥推衍得到，或者所述推衍密钥为所述管理网元保存的所述功能网元的密钥。
13. 一种基于服务化架构的注册装置，应用于控制网元，其特征在于，包括：

    接收单元，用于接收功能网元发送的注册请求，所述注册请求中包括安全参数；

    处理单元，用于验证所述接收单元接收的安全参数的正确性，并通过所述安全参数的正确性确定所述注册请求的合法性。
14. 根据权利要求13所述的装置，其特征在于，所述安全参数包括令牌，所述令牌由管理网元生成并发送给所述功能网元。
15. 根据权利要求13所述的装置，其特征在于，所述令牌由管理网元基于所述控制网元的公钥，对数字签名、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；

    所述数字签名由管理网元基于所述管理网元的私钥，对功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥执行数字签名算法生成；

    所述控制网元验证所述安全参数的正确性，包括：

    所述控制网元利用所述控制网元的私钥解密所述令牌，以得到数字签名，并

    利用管理网元的公钥以及被签名的内容，验证所述数字签名的正确性；

    其中，所述被签名的内容包括所述功能网元和所述控制网元之间的共享密钥，所述功能网元的标识以及功能网元资料。
16. 根据权利要求14所述的装置，其特征在于，所述令牌由管理网元基于管理网元与控制网元之间共享的对称密钥，对消息认证码、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；

    所述消息认证码由管理网元基于管理网元与控制网元之间共享的对称密钥，对所述功能网元和所述控制网元之间的共享密钥，所述功能网元的标识以及功能网元资料执行消息认证码的算法生成；

    所述控制网元验证所述安全参数的正确性，包括：

    所述控制网元利用所述对称密钥解密所述令牌，以得到消息认证码，并

    利用所述对称密钥，以及被消息验证码保护的内容，验证所述消息验证码的正确性；

    其中，所述被消息验证码保护的内容包括所述功能网元和所述控制网元之间的共享密钥，所述功能网元的标识以及功能网元资料；另外还可能包括控制网元的标识。
17. 根据权利要求13至16任一项所述的装置，其特征在于，所述处理单元，还用于：

    在所述接收单元接收功能网元发送的注册请求之后，确定所述注册请求合法的情况下，基于会话密钥或者基于会话密钥的推衍密钥，与所述功能网元建立安全通道；

    其中，所述控制网元通过解密令牌得到所述会话密钥，所述令牌基于所述会话密 钥生成，所述会话密钥由所述管理网元根据预设的根密钥，对所述功能网元的标识加密生成；或者所述控制网元从管理网元处获取所述会话密钥，所述会话密钥由所述管理网元根据推衍密钥对所述功能网元的标识加密生成；所述推衍密钥由管理网元对预设的根密钥进行密钥推衍得到，或者所述推衍密钥为所述管理网元保存的所述功能网元的密钥。
18. 一种基于服务化架构的注册装置，应用于功能网元，其特征在于，包括：

    接收单元，用于接收管理网元发送的配置信息；

    发送单元，用于基于所述接收单元接收的配置信息，向控制网元发送注册请求，所述注册请求中包括安全参数。
19. 根据权利要求18所述的装置，其特征在于，所述安全参数包括令牌，所述配置信息中包括所述令牌。
20. 根据权利要求19所述的装置，其特征在于，所述令牌由管理网元基于所述控制网元的公钥，对数字签名、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；所述数字签名由管理网元基于所述管理网元的私钥，对功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥执行数字签名算法生成；或者

    所述令牌由管理网元基于管理网元与控制网元之间共享的对称密钥，对消息认证码、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；所述消息认证码由管理网元基于管理网元与控制网元之间共享的对称密钥，对所述功能网元和所述控制网元之间的共享密钥，所述功能网元的标识以及功能网元资料执行消息认证码的算法生成。
21. 根据权利要求18至20任一项所述的装置，其特征在于，所述装置还包括处理单元，所述处理单元用于：

    在所述发送单元向控制网元发送注册请求之后，基于会话密钥或者基于会话密钥的推衍密钥，与所述控制网元建立安全通道；

    其中，所述会话密钥由所述管理网元根据预设的根密钥以及所述功能网元的标识生成，所述配置信息中包括所述会话密钥；或者所述会话密钥由所述功能网元根据所述功能网元的标识以及从管理网元处获取的推衍密钥生成，所述推衍密钥由管理网元对预设的根密钥进行密钥推得到，或者所述推衍密钥为所述管理网元保存的所述功能网元的密钥。
22. 一种基于服务化架构的注册装置，应用于管理网元，其特征在于，包括：

    处理单元，用于确定功能网元的配置信息，所述配置信息中包括安全参数；

    发送单元，用于向功能网元发送所述处理单元确定的配置信息。
23. 根据权利要求22所述的装置，其特征在于，所述安全参数包括令牌；

    所述处理单元具体用于：

    基于所述控制网元的公钥，对数字签名、功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；所述数字签名由管理网元基于所述管理网元的私钥，对功能网元资料、所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥执行数字签名算法生成；或者

    基于管理网元与控制网元之间共享的对称密钥，对消息认证码、功能网元资料、 所述功能网元的标识、以及所述功能网元和所述控制网元之间的共享密钥加密生成；所述消息认证码由管理网元基于管理网元与控制网元之间共享的对称密钥，对所述功能网元和所述控制网元之间的共享密钥，所述功能网元的标识以及功能网元资料执行消息认证码的算法生成。
24. 根据权利要求22或23所述的装置，其特征在于，所述处理单元还用于生成会话密钥；

    所述发送单元还用于将所述会话密钥发送给所述功能网元或控制网元；

    其中，所述会话密钥由所述管理网元根据预设的根密钥，对所述功能网元的标识加密生成；或者所述会话密钥由所述管理网元根据推衍密钥，对所述功能网元的标识加密生成，所述推衍密钥由管理网元对预设的根密钥进行密钥推衍得到，或者所述推衍密钥为所述管理网元保存的所述功能网元的密钥。
25. 一种通信系统，其特征在于，包括控制网元、功能网元以及管理网元，其中，

    所述控制网元为权利要求13至17任一项所述的基于服务化架构的注册装置；

    所述功能网元为权利要求18至21任一项所述的基于服务化架构的注册装置；

    所述管理网元为权利要求22至24任一项所述的基于服务化架构的注册装置。

Images