CN109511115B

CN109511115B - 一种授权方法和网元

Info

Publication number: CN109511115B
Application number: CN201710825783.0A
Authority: CN
Inventors: 谭帅帅; 甘露; 张博; 吴�荣
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2017-09-14
Filing date: 2017-09-14
Publication date: 2020-09-29
Anticipated expiration: 2037-09-14
Also published as: WO2019052227A1; CN109511115A; US20200213290A1; US11431695B2

Abstract

一种授权方法和网元，以基于5G服务化网络架构实现第三方授权功能。该方法为，资源控制网元接收终端设备发送的资源使用请求消息，将资源使用请求消息中的第一用户身份标识替换为第二用户身份标识，通过NEF向授权服务器发送携带第二用户身份标识的授权请求消息，通过所述NEF接收授权服务器发送的授权响应消息，授权响应消息中包括根据、第二用户身份标识和资源使用请求消息进行授权的授权结果；根据该授权结果对所述终端设备进行网络资源分配，并向终端设备发送资源分配响应消息，这样能够实现5G服务化网络架构对于第三方授权的需求，且无需重复验证终端设备的身份，节省信令开销。

Description

一种授权方法和网元

技术领域

本申请涉及通信技术领域，尤其涉及一种授权方法和网元。

背景技术

目前，相比于第三代合作伙伴计划(3^rd Generation Partnership Project，3GPP)2G/3G/4G的网络架构，3GPP提出了新的基于服务化的5G服务化网络架构。

5G为物联网提供了网络基础设施，设备通过接入5G实现互联。在5G时代，网络提供能力开放功能，以便网络服务和管理功能向第三方开放，第三方可以通过授权是否允许终端设备使用网络资源来参与网络管理。

当前3GPP标准文档TS 33.501中的二次认证流程虽然实现了第三方授权功能，但是目前的第三方授权功能并未基于服务化网络架构设计，而服务化网络架构是5G的唯一实现架构，因此，亟需针对5G服务化网络架构设计一种第三方授权的技术方案。

发明内容

本申请实施例提供一种授权方法和网元，以基于5G服务化网络架构实现第三方授权功能。

本申请实施例提供的具体技术方案如下：

第一方面，本申请实施例提供一种第三方授权的方法，包括：资源控制网元接收终端设备发送的资源使用请求消息，该资源使用请求消息中包括终端设备的第一用户身份标识；资源控制网元使用第二用户身份标识替换所述第一用户身份标识，并向络开放网元NEF发送携带第二用户身份标识的授权请求消息；NEF确定该授权请求消息符合预设的安全性要求时，向授权服务器发送该授权请求消息；授权服务器根据本地存储的所述终端设备的授权信息，查询第二用户身份标识以及授权请求消息对应的授权结果，将授权结果携带在授权响应消息中，发送至NEF；NEF确定该授权响应消息符合预设的安全性要求时，向资源控制网元发送该授权响应消息；资源控制网元根据授权响应消息中的授权结果对终端设备进行网络资源分配，并向终端设备发送资源分配响应消息。

上述方法中，资源控制网元接收到终端设备发送的资源使用请求消息后，将资源使用请求消息中的第一用户身份标识替换为第二用户身份标识，通过NEF向授权服务器发送携带第二用户身份标识的授权请求消息，授权服务器接收到授权请求消息后，信任资源控制网元所在网络对终端设备的身份认证结果，节省了对终端设备的重复的身份认证步骤，减少了消息开销，考虑到5G服务化网络结构，上述方法可以满足5G服务化网络架构对于第三方授权的需求。

此外，网络开放网元接收到资源控制网元或授权服务器发送的消息后，对接收到的信息进行安全检查，安全的将信息转发到对应的网元，起到服务层安全网关的保护作用。

一种可能的设计中,所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识，可以通过以下过程实现：所述资源控制网元对所述第一用户身份标识进行身份验证，确定所述第一用户身份标识通过身份验证后，使用第二用户身份标识替换所述第一用户身份标识。

这种设计中，资源控制网元利用第一用户身份标识对终端设备进行身份验证后，身份认证通过后，再使用第二用户身份标识替换第一用户身份标识。

一种可能的设计中，所述资源控制网元对所述第一用户身份标识进行身份验证，可以通过以下方式实现：所述资源控制网元确定所述第一用户身份标识为用户永久身份标识；或，用户临时身份标识；或，第三方用户身份标识时，确定所述第一用户身份标识通过身份验证。

一种可能的设计中，所述第二用户身份标识是加密后的第一用户身份标识。

一种可能的设计中，所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识之前，可以通过以下方式得到第二用户身份标识：

方式一，利用非对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。

方式二，利用对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。

方式三，利用哈希加密算法对所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。

方式四，利用哈希加密算法对所述资源控制网元的随机数、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。

这种设计中，资源控制网元通过上述方式对第一用户身份标识进行加密得到第二用户身份标识，向授权服务器发送携带第二用户身份标识的授权请求消息时，既能够通知授权服务器已通过认证的终端设备的身份，同时避免用户隐私泄露。

一种可能的设计中，所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识之前，利用加密后的第一用户身份标识、预设的可变因子和预设加密算法计算得到所述第二用户身份标识，其中，所述加密后的第一用户身份标识可以通过上述方式得到。

这种设计中，资源控制网元通过预设算法对加密的第一身份标识进行再次加密得到第二用户身份标识，向授权服务器发送携带第二用户身份标识的授权请求消息时，既能够通知授权服务器已通过认证的终端设备的身份，同时避免用户隐私泄露。

一种可能的设计中，所述授权请求消息中还包括应用标识，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识、所述应用标识以及所述资源使用请求消息进行授权得到的授权结果。

这种设计中，由于授权请求消息中包括应用标识，授权服务器可以针对终端设备的某个应用进行第三方授权，实现应用级别的细粒度授权功能。

一种可能的设计中，所述授权响应消息中还包括第二用户身份标识。

一种可能的设计中，所述授权请求消息中还包括第一消息验证码，所述授权服务器使用所述第一消息验证码来验证所述授权请求消息的安全性，授权请求消息，所述授权响应消息中还包括第二消息验证码，所述资源控制网元使用所述第二消息验证码来验证所述授权响应消息的安全性。

这种设计中，由于授权请求消息和授权响应消息中包括消息验证码，从而能够提升消息的安全性，增强消息的防重放能力。

一种可能的设计中，所述资源控制网元通过所述NEF接收所述授权服务器发送的授权响应消息之后，所述资源控制网元通过所述NEF向所述授权服务器发送授权确认消息，所述授权确认消息中包括第三消息验证码，所述授权服务器使用第三消息验证码验证所述授权确认消息的安全性。

这种设计中，资源控制网元通过授权确认消息向授权服务器反馈授权响应消息是否成功接收，确保第三方授权过程能够完整执行，由于授权确认消息中包括消息验证码，从而能够提升消息的安全性，增强消息的防重放能力。

一种可能的设计中，所述资源控制网元向所述授权服务器发送授权请求消息之前，所述资源控制网元接收所述终端设备的订阅数据响应消息，所述订阅数据响应消息中包括第三方授权指示信息，所述第三方授权指示信息用于指示所述终端设备需要进行第三方授权；或，所述资源控制网元根据本地配置策略确定所述终端设备需要进行第三方授权。

这种设计中，若资源控制网元为存储终端设备的第三方授权信息时，能够通过上述过程获取第三方授权指示信息。

一种可能的设计中，所述资源使用请求消息为会话建立请求消息或注册请求消息。

一种可能的设计中，所述资源控制网元根据所述授权结果对所述终端设备进行网络资源分配，包括：若所述授权结果为允许终端设备使用网络资源，所述资源控制网元为所述终端设备分配请求的网络资源；若所述授权结果为不允许终端设备使用网络资源，所述资源控制网元拒绝为所述终端设备分配请求的网络资源。

一种可能的设计中，NEF确定所述授权请求消息符合预设的安全性要求，可以包括以下过程：NEF确定允许资源控制网元发送所述授权请求消息；和/或，确定所述授权请求消息的消息内容符合预设的安全策略。

通过上述设计的授权请求消息的安全检查方式，保证接收到的消息能够有效得到安全认证，实现消息的安全转发。

一种可能的设计中，所述NEF确定所述授权响应消息符合预设的安全性要求，可以包括以下过程：所述NEF确定允许接收所述授权服务器发送的所述授权响应消息；和/或，确定所述授权响应消息的消息内容符合预设的安全策略；和/或确定所述授权响应消息的目的地址与所述授权请求消息的源地址一致。

通过上述设计的消息的安全检查方式，保证接收到的消息能够有效得到安全认证，实现消息的安全转发，同时能够保证授权响应消息的消息地址与授权请求消息的源地址一致，提高第三方授权的安全性和可靠性。

第二方面，本申请实施例提供一种资源控制网元，包括：接收单元，用于接收终端设备发送的资源使用请求消息，所述资源使用请求消息中包括所述终端设备的第一用户身份标识；处理单元，用于使用第二用户身份标识替换所述第一用户身份标识；发送单元，用于通过网络开放网元NEF向授权服务器发送授权请求消息，所述授权请求消息中包括所述终端设备的第二用户身份标识；所述接收单元，还用于通过所述NEF接收所述授权服务器发送的授权响应消息，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识以及所述资源使用请求消息进行授权得到的授权结果；所述处理单元，还用于根据所述授权结果对所述终端设备进行网络资源分配；所述发送单元，还用于向所述终端设备发送资源分配响应消息。

一种可能的设计中，所述处理单元在使用第二用户身份标识替换所述第一用户身份标识时，具体用于：

对所述第一用户身份标识进行身份验证，确定所述第一用户身份标识通过身份验证后，使用第二用户身份标识替换所述第一用户身份标识。

一种可能的设计中，所述处理单元在对所述第一用户身份标识进行身份验证时，具体用于：

确定所述第一用户身份标识为用户永久身份标识；或，用户临时身份标识；或，第三方用户身份标识时，确定所述第一用户身份标识通过身份验证。

一种可能的设计中，所述处理单元在使用第二用户身份标识替换所述第一用户身份标识之前，还用于：利用非对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识；或，利用对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识；或，利用哈希加密算法对所述第一用户身份标识、预设参数加密生成所述第二用户身份标识；或，利用哈希加密算法对所述资源控制网元的随机数、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。

一种可能的设计中，所述处理单元在使用第二用户身份标识替换所述第一用户身份标识之前，还用于：利用加密后的第一用户身份标识、预设的可变因子和预设加密算法计算得到所述第二用户身份标识；所述加密后的第一用户身份标识，包括：利用非对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成；或，利用对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成；或，利用哈希加密算法对所述第一用户身份标识、预设参数加密生成；或，利用哈希加密算法对所述资源控制网元的随机数、所述第一用户身份标识、预设参数加密生成。

一种可能的设计中，所述授权请求消息中还包括第一消息验证码，所述授权服务器使用第一消息验证码来验证所述授权请求消息的安全性；所述授权响应消息中还包括第二消息验证码，所述处理单元使用第二消息验证码来验证所述授权响应消息的安全性。

一种可能的设计中，在所述接收单元通过所述NEF接收所述授权服务器发送的授权响应消息之后，所述发送单元还用于：通过所述NEF向所述授权服务器发送授权确认消息，所述授权确认消息中包括第三消息验证码，所述授权服务器使用第三消息验证码来验证所述第三方授权确认消息的安全性。

一种可能的设计中，在所述发送单元向所述授权服务器发送授权请求消息之前，所述接收单元还用于：接收所述终端设备的订阅数据响应消息，所述订阅数据响应消息中包括第三方授权指示信息，所述第三方授权指示信息用于指示所述终端设备需要进行第三方授权；或，所述处理单元还用于：根据本地配置策略确定所述终端设备需要进行第三方授权。

一种可能的设计中，所述处理单元在根据所述授权结果对所述终端设备进行网络资源分配时，具体用于：若所述授权结果为允许终端设备使用网络资源，为所述终端设备分配请求的网络资源；若所述授权结果为不允许终端设备使用网络资源，拒绝为所述终端设备分配请求的网络资源。

另一方面，上述实施例中的处理单元对应的实体设备可以为处理器，接收单元对应的实体设备可以为接收器，发送单元对应的实体设备可以为发射器。

第三方面，本申请实施例提供一种网络开放网元NEF，包括：接收单元，用于接收资源控制网元发送的授权请求消息，所述授权请求消息中包括所述终端设备的第二用户身份标识；处理单元，用于确定所述授权请求消息符合预设的安全性要求；发送单元，用于向授权服务器发送所述授权请求消息；所述接收单元，还用于接收所述授权服务器基于所述授权请求消息反馈的授权响应消息；所述处理单元，还用于确定所述授权响应消息符合预设的安全性要求；所述发送单元，还用于向所述资源控制网元发送所述授权响应消息。

一种可能的设计中，所述处理单元在确定所述授权请求消息符合预设的安全性要求时，具体用于：确定允许所述资源控制网元发送所述授权请求消息；和/或，确定所述授权请求消息的消息内容符合预设的安全策略。

一种可能的设计中，所述处理单元在确定所述授权响应消息符合预设的安全性要求时，具体用于：确定允许所述授权服务器发送所述授权响应消息；和/或，确定所述授权响应消息的消息内容符合预设的安全策略；和/或，确定所述授权响应消息的目的地址与所述授权请求消息的源地址一致。

第四方面，本申请实施例提供一种授权服务器，包括：接收单元，用于接收网络开放网元NEF发送的授权请求消息，所述授权请求消息中包括终端设备的用户永久身份标识；处理单元，用于根据本地存储的所述终端设备的授权信息，查询所述第二用户身份标识对应的授权结果；发送单元，用于通过所述NEF向所述资源控制网元发送授权响应消息，所述授权响应消息中包括所述授权结果。

一种可能的设计中，所述授权请求消息中还包括应用标识，所述授权响应消息中还包括应用标识，所述处理单元在根据本地存储的所述终端设备的授权信息，查询所述用户永久身份标识对应的授权结果时，具体用于：根据本地存储的所述终端设备的授权信息，查询所述第二用户身份标识和应用标识对应的授权结果。

第四方面，本申请实施例提供一种用于授权的***，包括：

资源控制网元，用于接收终端设备发送的资源使用请求消息，所述资源使用请求消息中包括所述终端设备的第一身份标识使用第二用户身份标识替换所述第一用户身份标识，并通过网络开放网元NEF向授权服务器发送授权请求消息，所述授权请求消息中包括所述终端设备的第二用户身份标识；通过所述NEF接收所述授权服务器发送的授权响应消息，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识以及所述资源使用请求消息进行授权得到的授权结果；根据所述授权结果对所述终端设备进行网络资源分配，并向所述终端设备发送资源分配响应消息；

NEF，用于接收资源控制网元发送的授权请求消息，确定所述授权请求消息符合预设的安全性要求时，向授权服务器发送所述授权请求消息；接收所述授权服务器基于所述授权请求消息反馈的授权响应消息；确定所述授权响应消息符合预设的安全性要求时，向所述资源控制网元发送所述授权响应消息；

授权服务器，用于接收所述NEF发送的授权请求消息，根据本地存储的所述终端设备的授权信息，查询所述第二用户身份标识对应的授权结果；通过所述NEF向所述资源控制网元发送授权响应消息，所述授权响应消息中包括所述授权结果。

第五方面，本申请实施例提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面的方法。

第六方面，本申请实施例提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面的方法。

第七方面，本申请实施例提供一种芯片***，该芯片***包括处理器，用于支持资源控制网元实现上述第一方面中所涉及的功能。在一种可能的设计中，芯片***还包括存储器，存储器，用于保存资源控制网元必要的程序指令和数据。芯片***，可以由芯片构成，也可以包含芯片和其他分立器件。

第八方面，本申请实施例提供一种芯片***，该芯片***包括处理器，用于支持网络开放网元实现上述第一方面中所涉及的功能。在一种可能的设计中，芯片***还包括存储器，存储器，用于保存网络开放网元必要的程序指令和数据。芯片***，可以由芯片构成，也可以包含芯片和其他分立器件。

第九方面，本申请实施例提供一种芯片***，该芯片***包括处理器，用于支持授权服务器实现上述第一方面中所涉及的功能。在一种可能的设计中，芯片***还包括存储器，存储器，用于保存授权服务器必要的程序指令和数据。芯片***，可以由芯片构成，也可以包含芯片和其他分立器件。

应理解，本申请实施例的第二至九方面与本申请实施例的第一方面的技术方案一致，各方面及对应的可实施的设计方式所取得的有益效果相似，不再赘述。

附图说明

图1为一种5G的服务化网络架构的示意图；

图2为本申请实施例提供的一种授权方法流程示意图；

图3～图12为本申请实施例一至实施例十中各个举例说明提供的授权方法流程图；

图13为本申请实施例提供的一种资源控制网元的结构示意图；

图14为本申请实施例提供的另一种资源控制网元的结构示意图；

图15为本申请实施例提供的一种NEF的结构示意图；

图16为本申请实施例提供的另一种NEF的结构示意图；

图17为本申请实施例提供的一种授权服务器的结构示意图；

图18为本申请实施例提供的另一种授权服务器的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

5G服务化网络架构是将网元的功能抽象成多个服务。除了传统架构中的网元，5G服务化架构中新增了网络开放网元(Network Exposure Function，NEF)和网络仓库网元(Network Repository Function，NRF)两个网元，NEF可以安全地对外提供3GPP网元服务和能力，可以看成是一个安全网关，外界要调用内部网络的功能要通过NEF中转，防止内部网元直接暴露带来安全问题，这里的外界可以是运营商网络之外的第三方、应用网元(Application Function，AF)、边缘计算网元等。

本申请实施例提供的技术方案适用于5G服务化网络架构，如图1所示为一种5G服务化网络架构的示意图，图1中包括5G服务化网络架构包括的网元以及各个网元之间用于通信的接口。

针对5G服务化网络架构，本申请实施例提供一种授权方法和网元，以基于5G服务化网络架构实现第三方授权功能。其中，方法和网元是基于同一发明构思的，由于方法及网元解决问题的原理相似，因此网元与方法的实施可以相互参见，重复之处不再赘述。

本申请实施例主要涉及的网元主要有终端设备、统一数据管理网元(UnifiedData Management，UDM)、会话管理网元(Session Management Function，SMF)、网络开放网元(Network Exposure Function，NEF)、NRF、接入和移动管理网元(Access and MobilityManagement Function，AMF)、AF、用户面网元(User Plane Function，UPF)以及策略控制网元(Policy Control Function，PCF)。

终端设备，是可以接入网络的用户设备，也可以称为用户设备(User Equipment，UE)，例如终端设备可以是手机、平板电脑等智能终端设备，又例如终端设备可以是服务器、网关、基站、控制器等通信设备，再例如终端设备可以是传感器、电表、水表等物联网设备。

UDM，使用存储在用户数据仓库网元(User Data Repository，UDR)中的订阅数据和认证数据，一般情况下，UDR是和UDM合设的。本申请在使用UDM的时候默认为UDM包括了UDR的功能。

SMF，用于在为终端设备建立、删除或修改会话过程中控制该过程中的相关信令。

NEF，安全地将网络中其它NF提供的服务开放给第三方、AF等，以及安全地将AF发送的信息传到网络，起到服务层安全网关作用。NEF保证安全的方法有认证、授权和调节AF流量，检查服务调用是否符合策略等。

NRF，存储并维护网络中的NF信息，并提供NF发现功能，即可以向NRF请求某个NF的信息，如IP地址。

AMF，负责终端设备的注册管理、可达性管理、移动管理等。

AF，提供应用的网元，授权服务器可以作为AF部署。

UPF，也可称为数据面网关，比如出口网关，用户数据通过此网元后接入到数据网络(Data Network，DN)，UPF可以是互联网或第三方的业务服务器等。

PCF，用于安全策略的获取、协商和决策，具体的可能为安全保护算法的选择，比如，根据终端设备的安全能力列表和事先获取或存储的网络侧的安全算法列表，取交集排优先级选择最终使用的安全算法，包括加密算法和完整性保护算法。

下面结合说明书附图对本申请的各个实施例进行详细描述。需要说明的是，本申请实施例的展示顺序仅代表实施例的先后顺序，并不代表实施例所提供的技术方案的优劣。

如图2所示，本申请实施例提供了一种第三方授权方法流程，涉及的网元包括资源控制网元、NEF和授权服务器，其中，资源控制网元是能控制分配网络资源或提供网络资源的网元，包括但不限于SMF、AMF、RAN和UPF。授权服务器是能授权终端设备使用网络资源的服务器，可以是第三方授权服务器，包括但不限于AF、DN或DN-AAA，也可以是资源控制网元所在网络的授权服务器。NEF在该授权流程中的部分或全部功能也可能由PCF或UPF完成。各个网元之间的交互流程如下：

S201：资源控制网元接收终端设备发送的资源使用请求消息，所述资源使用请求消息中包括所述终端设备的第一用户身份标识。

所述资源使用请求消息为会话建立请求消息或注册请求消息。

一种可能的设计中，资源控制网元在执行步骤S202之前，对所述第一用户身份标识进行身份验证，确定所述第一用户身份标识通过身份验证后，使用第二用户身份标识替换所述第一用户身份标识。具体的，所述资源控制网元确定所述第一用户身份标识为用户永久身份标识；或，用户临时身份标识；或，第三方用户身份标识时，确定所述第一用户身份标识通过身份验证。

另一种可能的设计中，资源控制网元不对终端设备的身份进行认证，资源控制网元接收到包括第一用户身份标识的资源使用请求消息后，默认资源控制网元所在的网络已经对终端设备进行了身份验证。

本申请中的第一用户身份标识可以为：用户永久身份标识；也可以为用户临时身份标识；或第三方用户身份标识。

其中，第三方用户身份标识为第三方为终端设备分配的身份标识，如网络访问标识(Network Access Identifier，NAI)。第三方是指用户和运营商之外的第三方信息服务提供商。若第三方用户身份标识用NAI表示，第三方用户身份标识能指示授权服务器的域名。例如，NAI的格式是[email protected]，所谓的授权服务器地址是指服务器的域名，例如server.com，所以NAI包含了授权服务器的地址。

可选的，所述资源使用请求消息中还包括授权服务器的地址和应用标识中的至少一项。其中授权服务器的地址包括但不限于数据网络名称(Data Network Name,DNN)、接入点名称(Access Point Name，APN)、网际协议(Internet Protocol Address，IP)地址。应用标识用以区分终端设备上的多个应用，包括但不限于应用身份标识(ApplicationIdentifier，APP ID)和端口号。

可选的，资源使用请求消息中可以包括所述终端设备的第一用户身份标识，如用户永久身份标识(Subscriber Permanent Identity，SUPI)，也可以包括5G的全球唯一临时UE标识(5G-Globally Unique Temporary UE Identity,5G-GUTI)、GUTI、临时识别码(Temporary Mobile Subscriber Identity，TMSI)中的至少一项，若资源使用请求消息中未包括用户永久身份标识时，则资源控制网元可以根据5G-GUTI、GUTI或TMSI得到终端设备的用户永久身份标识，此时，资源控制网元中预先存储了5G-GUTI、GUTI或TMSI与用户永久身份标识的对应关系。

S202：资源控制网元使用第二用户身份标识替换第一用户身份标识，向NEF发送授权请求消息，所述授权请求消息中包括所述第二用户身份标识。

需要说明的是，终端设备的第二用户身份标识指的是加密的第一用户身份标识。

需要说明的是，若资源控制网元本地未存储终端设备与第三方授权相关的订阅数据，也就是说没有存储终端设备的第二用户身份标识的相关信息，则资源控制网元向UDM发送用于请求用户的订阅数据的订阅请求；资源控制网元接收UDM返回的订阅数据响应消息，该订阅数据响应消息中包括了第二用户身份标识，可选的，该订阅数据响应消息中还可以包括是否需要第三方授权的授权指示信息、授权服务器的地址中的至少一项。

值得一提的是，本申请实施例中所述第二用户身份标识可以为：加密后的用户永久身份标识，本申请实施例中用SUPI*表示；也可以为利用可变因子(salt)对SUPI*加密后的标识，用SUPI**表示。

其中，用户永久身份标识，用SUPI表示，包括但不限于国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)、国际移动设备身份码(International Mobile Equipment Identity，IMEI)、IP地址或NAI。

SUPI*的计算包括但不限于以下方法：

(1)SUPI*＝E(PUCN,SUPI,Para)，其中PUCN为资源控制网元拥有的公钥，E为非对称加密算法.

(2)SUPI*＝E(KCN,SUPI,Para)，其中KCN为资源控制网元拥有的密钥，E为对称加密算法。

(3)SUPI*＝Hash(SUPI,Para)，其中Hash为哈希加密算法。

其中参数Para包括但不限于随机数、计数器的值、字符串、运营商标识、服务网络标识、应用标识。

需要指出的是，当第二用户身份标识为SUPI*时，UDM存储了终端设备的SUPI和SUPI*的对应关系，具体的表1给出了一个举例示意。

表1

SUPI	SUPI*
		123456789012345	08227a870de5e2258c56b3ce0f629502e5d4fb71

资源控制网元在向NEF发送授权请求消息之前已经通过域名***(Domain NameSystem，DNS)查询获得了授权服务器的地址，可选的，也可以将授权服务器的地址包括在该授权请求消息中，由NEF完成DNS查询。

可选的，所述授权请求消息中还包括所述终端设备请求的网络资源的相关信息。

S203：所述NEF确定所述授权请求消息符合预设的安全性要求时，向授权服务器发送所述授权请求消息。

具体的，NEF对授权请求消息进行安全检查以确定该消息是否符合预设的安全性要求，检查的内容包括但不限于是否允许资源控制网元发送该条消息，是否允许资源控制网元调用授权服务器的服务，以及第三方授权请求的消息内容是否符合预设的安全策略。

S204：授权服务器根据本地存储的所述终端设备的授权信息，查询所述第二用户身份标识对应的授权结果。

S205：授权服务器向NEF发送授权响应消息。

具体的，授权服务器接收到授权请求消息后，检查存储的授权信息中是否有第二用户身份标识对应的授权记录，所谓授权记录是以第二用户身份标识为索引的一组数据，该组数据包括但不限于第二用户身份标识、第三方身份标识、应用标识、权限、salt和扩展数据，表2是授权记录的举例，扩展数据为预留使用。以第二用户身份标识为SUPI*为例进行说明，若存在SUPI*对应的授权记录，说明拥有该SUPI*的终端设备的身份已经通过资源控制网元所在网络的认证，授权服务器信任该认证结果。然后授权服务器查询该SUPI*对应的权限，若授权请求消息中包括了应用标识，则授权服务器应查询该应用标识对应的权限。授权服务器向NEF发送授权响应消息，该授权响应消息包括授权结果、可选的，还可以包括SUPI*，应用标识，其中，授权结果包括但不限于权限和扩展数据。

表2

S206：NEF确定所述授权响应消息符合预设的安全性要求时，向所述资源控制网元发送所述授权响应消息。

具体的，NEF对授权响应消息进行安全检查以确定授权响应消息是否符合预设的安全性要求，检查的内容包括但不限于对该第三方授权消息的来源和完整性认证，消息的目的地址是否为之前发送授权请求消息的资源控制网元的地址，消息内容是否符合预设的安全策略。

S207：资源控制网元根据所述授权结果对所述终端设备进行网络资源分配。

S208：资源控制网元向终端设备发送资源分配响应消息，所述资源分配响应消息中包括是否为所述终端设备分配了请求的网络资源的指示信息。

具体的，若所述授权结果为允许终端设备使用网络资源，所述资源控制网元为所述终端设备分配请求的网络资源；若所述授权结果为不允许终端设备使用网络资源，所述资源控制网元拒绝为所述终端设备分配请求的网络资源。

通过图2所示的第三方授权方法，授权服务器接收到授权请求消息后，信任资源控制网元所在网络对终端设备的身份认证结果，节省了对终端设备的重复的身份认证步骤，减少了消息开销，考虑到5G服务化网络结构，图2所示的方法可以满足5G服务化网络架构对于第三方授权的需求。

基于图2所示的第三方授权方法，本实施例中对该方法进行适当扩展和变化，下面以举例说明的方式进行阐述。

实施例一

如图3所示为本实施例提供的一种第三方授权方法的流程示意图，图3所示的方法流程中，将第三方授权方案应用于SMF为终端设备建立PDU会话的流程，此时，资源控制网元为SMF，授权服务器为DN-AAA，资源使用请求为PDU会话建立请求，用户永久身份标识为SUPI。具体的，具体的信令交互如图3所示，步骤如下：

步骤31：网络运营商向DN-AAA分发终端设备的SUPI*，即告知DN-AAA终端设备对应的SUPI*，DN-AAA存储终端设备和SUPI*的对应关系，其中DN-AAA实现了授权服务器的功能，网络运营商是指合法控制UDM、SMF和NEF的实体。

步骤32：终端设备向SMF发送PDU会话建立请求消息，该PDU会话建立请求消息需要AMF转发(图中未画出)，该PDU会话建立请求消息从UE到AMF是包括在NAS消息的N1 SM信息中，AMF再将该NAS消息发送到SMF。PDU会话请求建立消息中包括了终端设备的第三方身份标识、应用标识和DN-AAA的地址。

可选的，若SMF没有UE的与第三方授权相关的订阅数据，还需要执行：

步骤33a：SMF向UDM发送订阅数据请求消息。

步骤33b：UDM向SMF返回订阅数据响应消息，该订阅数据响应消息包括了SUPI*和是否需要第三方授权的授权指示信息。

一种可能的设计中，SMF收到订阅数据响应消息，如果订阅数据响应消息中的授权指示信息指示PDU会话的建立需要第三方授权，SMF执行步骤34。

一种可能的设计中，SMF根据本地配置策略判断PDU会话的建立需要第三方授权，SMF执行步骤34。

步骤34：SMF向NEF发送授权请求消息，该授权请求消息包括了SUPI*和应用标识。

具体的，SMF对PDU会话请求建立消息中包括的SUPI进行加密得到SUPI*。

步骤35：NEF对授权请求消息进行安全检查，确定授权请求消息符合预设的安全性要求。

具体的，安全检查内容包括但不限于是否允许SMF发送授权请求消息到DN-AAA、授权请求消息的消息内容是否符合预设的安全策略。

步骤36a：NEF向DN-AAA转发步骤34中接收到的授权请求消息。

步骤36b：DN-AAA查询到该第三方授权请求对应的授权信息，并将其作为授权结果，向NEF返回授权响应消息，该授权响应消息包括了SUPI*、授权结果和应用标识。

步骤37：NEF对步骤36b中的授权响应消息进行安全检查，检查的内容包括但不限于对该授权响应消息的来源和完整性认证，消息的目的地址是否为之前发送授权请求消息的SMF的地址，消息内容是否符合预设的安全策略。

步骤38：NEF确定授权响应消息通过安全检查，向SMF转发授权响应消息，该授权响应消息包括授权结果、SUPI*和应用标识。

步骤39：SMF根据授权结果为终端设备分配网络资源。具体的，若授权结果指示允许为终端设备建立PDU会话，则继续执行PDU会话建立流程。若授权结果指示不允许为终端设备建立PDU会话，则SMF终止PDU会话建立流程并向终端设备发送拒绝消息。

步骤310：SMF向所述终端设备发送资源分配响应消息。

所述资源分配响应消息中包括是否为所述终端设备分配了请求的网络资源的指示信息。

图3中的第三方授权方法中，DN-AAA接收到授权请求消息后，信任SMF对终端设备的认证结果，SMF通过SUPI*标识通过认证的终端设备，从而使得第三方不需要重复认证终端设备的身份，减少了认证的消息开销；此外，使用加密的SUPI*保证了终端设备的SUPI不会被泄露，保护了用户隐私；通过在第三发授权请求消息中包括应用标识，从而实现了基于应用的细粒度授权功能。

实施例二

本实施例基于实施例一，信令流程与实施例一类似，不同之处在于本实施例中的服务请求与响应消息是基于服务化设计来实现的，具体的信令交互如图4所示，步骤如下：

步骤41～步骤42可参照上述步骤31～步骤32，在此不再赘述。

步骤43a：若SMF没有存储终端设备与第三方授权相关的订阅数据，则调用UDM的Nudm_Subscriber_Data_Get服务，该服务描述如下：

43b：UDM响应上述服务调用，通过订阅数据响应消息返回终端设备的订阅数据，订阅数据中包括了终端设备的SUPI*和是否需要第三方授权的授权指示信息。

步骤44：SMF收到订阅数据响应消息，如果授权指示信息指示需要第三方授权，或SMF根据本地策略判断需要第三方授权，则请求调用NEF的Nnef_ThirdParty_Authorize服务，输入参数为SUPI*和应用标识，该服务描述如下：

步骤45：NEF对服务调用请求进行安全检查，检查内容包括但不限于是否允许SMF调用Nnef_ThirdParty_Authorize服务，对应的消息内容是否符合预设的安全策略。

步骤46a:NEF调用DN-AAA的Ndn_ThirdParty_Authorize服务，输入为SUPI*和应用标识，该服务描述如下：

46b:DN-AAA根据SUPI*和应用标识找到对应的授权信息，并将授权结果作为服务调用的输出发送给NEF，输出参数包括授权结果、SUPI*和应用标识。

步骤47：NEF对服务响应消息进行安全检查，检查的内容包括但不限于对该授权响应消息的来源和完整性认证，该消息的目的地址是否为之前调用Nnef_ThirdParty_Authorize服务的SMF的地址，消息内容是否符合预设的安全策略。

步骤48：若服务响应消息通过安全检查，则NEF向SMF发送Nnef_ThirdParty_Authorize响应消息作为步骤44的服务调用响应，该响应的输出参数包括授权结果、SUPI*和应用标识。

步骤49：SMF根据授权结果为所述终端设备分配网络资源。

具体的，若授权结果指示允许为终端设备建立PDU会话，则继续执行PDU会话建立流程；若授权结果指示不允许为终端设备建立PDU会话，则SMF终止PDU会话建立流程并向终端设备发送拒绝消息。

步骤410：SMF向所述终端设备发送资源分配响应消息。

实施例三

本实施例与实施例一的不同在于加密的用户身份标识采用SUPI**，此时，UDM和DN-AAA不但存储了终端设备的SUPI*，还存储了一个salt值，用于计算一个可变的SUPI**。其它均与实施例一相同，具体步骤如图5所示：

步骤51：网络运营商向DN-AAA分发终端设备的SUPI*和salt值，即告知DN-AAA终端设备对应的SUPI*和salt，DN-AAA存储终端设备的第三方身份标识与SUPI*和salt的对应关系。

步骤52参阅上述步骤32，步骤53a参阅上述步骤33a。

步骤53b：UDM向SMF返回的订阅数据响应消息中包括了终端设备的salt和是否需要第三方授权的授权指示信息。

表3示出了UDM存储终端设备的SUPI、SUPI*和salt的一种可能的方式。

表3

步骤54：SMF向NEF发送授权请求消息，授权请求消息中包括SUPI**、应用标识、密码算法标识和终端设备的第三方身份标识，其中SUPI**＝Hash(SUPI*|Salt)，密码算法标识指示了使用哪种Hash算法，包括但不限于MD5、SHA1和SHA256。

步骤55参阅上述步骤35，在此不再赘述。

步骤56a：NEF向DN-AAA发送授权请求消息，授权请求消息中包括SUPI**、终端设备的第三方身份标识和应用标识。

步骤56b.DN-AAA向NEF返回授权响应消息，包括授权结果、SUPI**、终端设备的第三方身份标识和应用标识。

具体的，DN-AAA根据终端设备的第三方身份标识找到对应的授权记录，并使用该授权记录中的SUPI*、salt和密码算法标识指定的Hash算法计算SUPI1**’＝Hash(SUPI*,Salt)，若SUPI1**’与SUPI**相同，说明SMF已经认证了终端设备的身份。

示意性的，DN-AAA存储终端设备的授权记录的举例如表4所示。

表4

步骤57可参阅上述步骤37。

步骤58：NEF向SMF转发的授权响应消息包括授权结果、SUPI**、终端设备的第三方身份标识和应用标识。

步骤59～步骤510可参阅上述步骤39～步骤310。

本实施例中SMF通过Hash算法可以使得SUPI**可变，这样就不会因为频繁使用SUPI*造成用户隐私泄露。DN-AAA可以更新终端设备的第三方身份标识使得终端设备不可被追踪，从而保证终端设备的用户数据安全。

实施例四

本实施例与实施例一的流程类似，与实施例一的不同在于用户永久身份标识采用SUPI，UDM存储了SUPI和终端设备的第三方身份标识的对应关系，且NEF负责终端设备在内外网标识的转换，具体步骤如图6所示：

步骤61：终端设备向SMF发送PDU会话建立请求消息，该PDU会话建立请求消息需要AMF转发(图中未画出)，该PDU会话建立请求消息从UE到AMF是包括在NAS消息的N1 SM信息中，AMF再将该NAS消息发送到SMF。PDU会话请求建立消息中包括了终端设备的第三方身份标识即SUPI、应用标识和DN-AAA的地址。

步骤62a：SMF向UDM发送订阅数据请求消息。

步骤62b：UDM向SMF返回订阅数据响应消息，该订阅数据响应消息包括了是否需要第三方授权的授权指示信息。

一种可能的设计中，SMF收到订阅数据响应消息，如果订阅数据响应消息中的授权指示信息指示PDU会话的建立需要第三方授权，SMF执行步骤63。

一种可能的设计中，SMF根据本地配置策略判断PDU会话的建立需要第三方授权，SMF执行步骤63。

步骤63：SMF向NEF发送授权请求消息，该授权请求消息包括了终端设备的第三方身份标识、应用标识和SUPI。

步骤64：NEF对授权请求消息进行安全检查，确定授权请求消息符合预设的安全性要求。

除了安全检查，NEF将授权请求消息中的SUPI删除，并记录终端设备的第三方身份标识和SUPI的对应关系。

步骤65a：NEF转发不含SUPI的授权请求消息到DN-AAA，可选的，授权请求消息中包括应用标识。

步骤65b.DN-AAA以终端设备的第三方身份标识为索引查询该第三方授权请求对应的授权信息，将其作为授权结果，并向NEF返回授权响应消息，该授权响应消息包括了终端设备的第三方身份标识、授权结果和应用标识。

步骤66：NEF对步骤65b中的授权响应消息进行安全检查，检查的内容包括但不限于对该授权响应消息的来源和完整性认证，消息的目的地址是否为之前发送授权请求消息的SMF的地址，消息内容是否符合预设的安全策略。

除了安全检查，NEF根据授权响应消息中终端设备的第三方身份标识查询到终端设备的SUPI，并将授权响应消息中的终端设备的第三方身份标识替换为SUPI。

步骤67：NEF向SMF转发授权响应消息，该授权响应消息包括授权结果、SUPI和应用标识。

步骤68：SMF根据授权结果为所述终端设备分配网络资源。

步骤69：SMF向所述终端设备发送资源分配响应消息。

实施例五

本实施例与实施例一的流程类似，与实施例一的不同在于服务请求与响应消息增加防重放能力，防重放能力是通过基于对称加密的消息验证码实现的，具体步骤如图7所示。

需要说明的是，本实施例中SMF和DN-AAA预先协商好加密所使用的对称密钥K。

步骤71～步骤73b可参阅上述步骤31～步骤33b。

步骤74：SMF向NEF发送授权请求消息，该授权请求消息包括了SUPI*、应用标识、Nonce1和消息验证码MAC1，其中Nonce1为SMF生成的随机数，MAC1＝MAC(K,Nonce1)，MAC为消息验证码算法。

步骤75参阅上述步骤35。

步骤76a：NEF向DN-AAA发送授权请求消息，授权请求消息中包括SUPI*、终端设备的第三方身份标识、应用标识、Nonce1和消息验证码MAC1。

步骤76b：DN-AAA查询到该第三方授权请求对应的授权信息，并将其作为授权结果，向NEF返回授权响应消息，该授权响应消息包括了SUPI*、授权结果、应用标识、Nonce2和MAC2，其中MAC2＝MAC(K,Nonce1|Nonce2)，其中Nonce2为DN-AAA生成的随机数，Nonce1|Nonce2表示将Nonce1和Nonce2联接起来。

步骤77参阅上述步骤37。

步骤78：NEF确定授权响应消息通过安全检查，向SMF转发授权响应消息，该授权响应消息包括SUPI*、授权结果、应用标识、Nonce2和MAC2。

步骤79：SMF通过NEF向DN-AAA发送授权确认消息，该授权确认消息包括SUPI*、应用标识和MAC3，其中MAC3＝MAC(K,Nonce2)

步骤710参阅上述步骤39。

实施例六

本实施例基于实施例五，与实施例五的流程类似，不同在于防重放能力是通过基于非对称加密的数字签名实现的，具体步骤如图8所示：

步骤81～步骤83b可参阅上述步骤71～步骤73b。

步骤84：SMF向NEF发送授权请求消息，该授权请求消息包括了SUPI*、应用标识、Nonce1和数字签名Sig1_SMF，可选的，还可以包括SMF的数字证书，其中Sig_SMF＝E(PRSMF,Hash(Msg4))，PRSMF是SMF的私钥，E为非对称加密算法，Msg4为该授权请求消息的消息内容。

步骤85参阅上述步骤75。

步骤86a：NEF向DN-AAA发送授权请求消息，授权请求消息中包括SUPI*、终端设备的第三方身份标识、应用标识、Nonce1和数字签名Sig1_SM。

步骤86b：DN-AAA查询到该第三方授权请求对应的授权信息，并将其作为授权结果，向NEF返回授权响应消息，该授权响应消息包括SUPI*、授权结果、应用标识、Nonce2和数字签名Sig_AAA，可选的，还可以包括DN-AAA的数字证书，其中Sig_AAA＝E(PRAAA,Hash(Msg6))，E为非对称加密算法，PRAAA为DN-AAA的私钥，Msg6为该授权响应消息的消息内容。

步骤87参阅上述步骤77。

步骤88：NEF确定授权响应消息通过安全检查，向SMF转发授权响应消息，该授权响应消息包括括SUPI*、授权结果、应用标识、Nonce2和Sig_AAA。

步骤89：SMF通过NEF向DN-AAA发送授权确认消息，该授权确认消息包括SUPI*、应用标识和Sig2_SMF，其中Sig2_SMF＝E(PRSMF,Hash(Msg9))，Msg9为该授权确认消息的消息内容。

步骤810：SMF根据授权结果为终端设备分配网络资源。具体的，若授权结果指示允许为终端设备建立PDU会话，则继续执行PDU会话建立流程。若授权结果指示不允许为终端设备建立PDU会话，则SMF终止PDU会话建立流程并向终端设备发送拒绝消息。

实施例七

本实施例是网络侧向第三方订阅授权更新信息，使得第三方在更新终端设备的授权信息后将更新信息主动发送到网络侧，网络侧依据更新后的授权信息更新终端设备的网络资源，具体步骤如图9所示：

步骤91：SMF调用NEF的Nnef_ThirdParty_AuthorizeSubs服务，输入参数为SUPI*和应用标识，该调用服务的定义如下：

步骤92：NEF对服务调用请求进行安全检查，检查内容包括但不限于是否允许SMF调用Nnef_ThirdParty_AuthorizeSubs服务，消息内容是否符合预设的安全策略。

步骤93：如果服务调用请求通过步骤92的安全检查，NEF调用DN-AAA的Ndn_ThirdParty_AuthorizeSubs服务，输入参数为SUPI*和应用标识，该服务的定义如下：

步骤94：如果DN-AAA更新了终端设备的授权信息且步骤93中的服务调用指示为订阅了该授权信息更新，则将更新后的授权信息作为Ndn_ThirdParty_AuthorizeSubs服务输出参数发送给NEF，即通过Ndn_ThirdParty_AuthorizeSubs的服务通知消息发送。

步骤95：NEF对服务通知消息进行安全检查，检查的内容包括但不限于对该服务通知消息的来源和完整性进行认证，该服务通知消息的目的地址是否正确，消息内容是否符合预设的安全策略。

步骤96：若服务通知消息通过了步骤95的安全检查，则NEF将更新后的授权信息作为Nnef_ThirdParty_AuthorizeSubs服务输出参数发送给SMF。

步骤97：SMF根据更新后的授权信息更新终端设备使用的网络资源。

实施例八

本实施例与实施例一的不同在于，资源使用请求为注册请求，即在终端设备成功注册到网络后，AMF立即为终端设备申请第三方授权，得到授权后就可以随时为终端设备分配网络资源，而不是为终端设备分配网络资源时才去请求，消息交互如图10所示，具体步骤为：

与实施例一的流程类似，不同在于步骤102。

步骤102：终端设备成功注册到SMF。

其余步骤均可参照实施一中的相应步骤，步骤101可参阅实施例一的步骤31，步骤103a～步骤110可参阅实施例一的步骤33a～步骤310，在此不再赘述。

实施例九

本实施例的应用场景为第三方委托网络侧对终端设备进行授权的应用场景，即授权服务器将授权信息发送给网络侧，终端设备在请求使用网络资源时网络侧可以直接查询授权信息而不需要在线向第三方请求授权信息。本实施例的消息交互如图11所示，具体步骤为：

步骤111：第三方向网络侧中的授权信息存储网元分发授权信息。

第三方包括但不限于授权服务器、DN-AAA、管理员，授权信息存储网元包括但不限于UDM、UDR、HSS，分发方式可以为离线分发也可以为在线发送。例如，表5所示为授权信息的可能的实现方式，第三方将表5所示的内容发送给授权信息存储网元，且授权信息存储网元能建立终端设备的第三方身份标识与SUPI的一一对应关系。

表5

步骤112：终端设备向资源控制网元发送资源使用请求消息，该资源使用请求消息包括终端设备的标识和应用标识中的至少一项，其中终端设备的标识包括但不限于终端设备的第三方身份标识，如SUPI、5G-GUTI、GUTI和TMSI。

步骤113a：资源控制网元向授权信息存储网元发送用于请求终端设备的授权信息的授权信息请求消息，该授权信息请求消息包括但不限于终端设备的标识、应用标识。

步骤113b：授权信息存储网元向资源控制网元发送授权信息响应消息，该授权信息响应消息包括授权结果或授权信息中至少一项，授权结果用于指示是否允许终端设备使用网络资源，授权信息是记录了终端设备的权限的信息。

步骤114：资源控制网元根据接收到的授权结果或授权信息确定是否为终端设备分配请求的网络资源。

需要说明的是，本实施例中的服务请求与响应消息也可以通过如实施例二中的服务化设计实现。

实施例十

本实施例与实施例一的流程类似，不同在于用户永久身份标识采用SUPI**，SMF根据SUPI*和Nonce计算一个SUPI**，Nonce可以是SMF生成的随机数或随机字符串。且授权请求消息和授权响应消息中包括的是SUPI**而不是SUPI*。具体步骤如图12所示：

步骤121：SMF向DN-AAA分发终端设备的SUPI*，即告知DN-AAA终端设备对应的SUPI*，DN-AAA存储终端设备的第三方身份标识与SUPI*的对应关系。

步骤122参阅上述步骤32，步骤123a参阅上述步骤33a，在此不再赘述。

步123b：UDM向SMF返回的订阅数据响应消息中包括了终端设备是否需要第三方授权的授权指示信息。

步骤124：SMF向NEF发送授权请求消息，授权请求消息中包括终端设备的第三方身份标识、SUPI**、Nonce和应用标识，可选的，还可以包括参数Para，其中SUPI**＝Hash(SUPI*,Nonce,[Para])，其中Hash为哈希算法，Para包括但不限于随机数、计数器的值、SUPI、5G-GUTI、TMSI、GUTI、字符串、运营商标识、服务网络标识、应用标识。

步骤126a：NEF向DN-AAA发送授权请求消息，该授权请求消息包括SUPI**、终端设备的第三方身份标识和应用标识。

步骤126b：DN-AAA根据终端设备的第三方身份标识找到对应的授权记录，并使用该授权记录中的SUPI*、授权请求消息中的Nonce和Para计算SUPI1**’＝Hash(SUPI*,Nonce,[Para])，若SUPI1**’与SUPI**相同，说明SMF已经认证了终端设备的身份。DN-AAA向NEF返回授权响应消息，该授权响应消息包括授权结果、SUPI**、终端设备的第三方身份标识和应用标识。

步骤127可参阅上述步骤37。

步骤128：NEF向SMF转发的授权响应消息包括授权结果、SUPI**、终端设备的第三方身份标识和应用标识。

步骤129～步骤130可参阅上述步骤39～步骤310。

基于上述方法实施例，本申请实施例还提供了一种资源控制网元，该资源控制网元可以执行图2所示的资源控制网元的执行过程，也可以执行图3～图12所示的SMF的执行过程。参阅图13所示，资源控制网元1300包括：接收单元1301，发送单元1302以及处理单元1303。其中，

接收单元1301，用于接收终端设备发送的资源使用请求消息，所述资源使用请求消息中包括所述终端设备的第三方身份标识；

处理单元1303，用于使用第二用户身份标识替换所述第一用户身份标识；

发送单元1302，用于通过网络开放网元NEF向授权服务器发送授权请求消息，所述授权请求消息中包括所述终端设备的第二用户身份标识；

所述接收单元1301，还用于通过所述NEF接收所述授权服务器发送的授权响应消息，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识以及所述资源使用请求消息进行授权得到的授权结果；

所述处理单元1303，还用于根据所述授权结果对所述终端设备进行网络资源分配；

所述发送单元1302，还用于向所述终端设备发送资源分配响应消息。

在一种实现方式中，所述处理单元1303在使用第二用户身份标识替换所述第一用户身份标识时，具体用于：

所述处理单元在对所述第一用户身份标识进行身份验证时，具体用于：

在一种实现方式中，所述第二用户身份标识是加密后的第一用户身份标识。

在一种实现方式中，所述处理单元1303在使用第二用户身份标识替换所述第一用户身份标识之前，还用于：

利用非对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识；或，

利用对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识；或，

利用哈希加密算法对所述第一用户身份标识、预设参数加密生成所述第二用户身份标识；或，

利用哈希加密算法对所述资源控制网元的随机数、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。

利用加密后的第一用户身份标识、预设的可变因子和预设加密算法计算得到所述第二用户身份标识；

所述加密后的第一用户身份标识，包括：

利用非对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成；或，

利用对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成；或，

利用哈希加密算法对所述第一用户身份标识、预设参数加密生成；或，

利用哈希加密算法对所述资源控制网元的随机数、所述第一用户身份标识、预设参数加密生成。

在一种实现方式中，所述授权请求消息中还包括应用标识，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识、所述应用标识以及所述资源使用请求消息进行授权得到的授权结果。

在一种实现方式中，所述授权响应消息中还包括第二用户身份标识

在一种实现方式中，所述授权请求消息中还包括第一消息验证码，所述第一消息验证码用于所述授权服务器验证所述授权请求消息的安全性；所述授权响应消息中还包括第二消息验证码，所述第二消息验证码用于所述处理单元1303验证所述授权响应消息的安全性。

在一种实现方式中，在所述接收单元1301通过所述NEF接收所述授权服务器发送的授权响应消息之后，所述发送单元1302还用于：

通过所述NEF向所述授权服务器发送第三方授权确认消息，所述第三方授权确认消息中包括第三消息验证码，所述第三消息验证码用于所述授权服务器验证所述第三方授权确认消息的安全性。

在一种实现方式中，在所述发送单元1302向所述授权服务器发送授权请求消息之前，

所述接收单元1301还用于：接收所述终端设备的订阅数据响应消息，所述订阅数据响应消息中包括第三方授权指示信息，所述第三方授权指示信息用于指示所述终端设备需要进行第三方授权；或

所述处理单元1303还用于：根据本地配置策略确定所述终端设备需要进行第三方授权。

在一种实现方式中，所述资源使用请求消息为会话建立请求消息或注册请求消息。

在一种实现方式中，所述处理单元1303在根据所述授权结果对所述终端设备进行网络资源分配时，具体用于：

若所述授权结果为允许终端设备使用网络资源，为所述终端设备分配请求的网络资源；

若所述授权结果为不允许终端设备使用网络资源，拒绝为所述终端设备分配请求的网络资源。

需要说明的是，上述各个单元的具体功能说明可参见实施例提供的第三方授权方法，此处不再赘述。本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或说对现有技术做出贡献的部分或该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或网络设备等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或光盘等各种可以存储程序代码的介质。

基于同一发明构思，本申请实施例还提供了一种资源控制网元，该资源控制网元可以执行上述方法实施例中资源控制网元侧或SMF侧的方法，参阅图14，资源控制网元1400包括：处理器1401、收发器1402以及存储器1403。其中，

处理器1401，用于读取存储器1403中的程序，执行下列过程：

处理器1401，用于控制收发器1402接收终端设备发送的资源使用请求消息，所述资源使用请求消息中包括所述终端设备的第三方身份标识；接收终端设备发送的资源使用请求消息，所述资源使用请求消息中包括所述终端设备的第一用户身份标识；使用第二用户身份标识替换所述第一用户身份标识，并控制收发器1402通过网络开放网元NEF向授权服务器发送授权请求消息，所述授权请求消息中包括所述终端设备的第二用户身份标识；控制收发器1402通过所述NEF接收所述授权服务器发送的授权响应消息，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识以及所述资源使用请求消息进行授权得到的授权结果；根据所述授权结果对所述终端设备进行网络资源分配，并向所述终端设备发送资源分配响应消息；根据所述授权结果对所述终端设备进行网络资源分配，并控制收发器1402向所述终端设备发送资源分配响应消息。

存储器1403可以存储处理器1401在执行操作时所使用的数据，存储器1403可以是磁盘存储器、CD-ROM、光学存储器，也可以是承载资源控制网元的物理主机的内存，例如硬盘、U盘、安全数码(Secure Digital，SD)卡等等。

需要说明的是，一个具体的实施方式中，图13中的接收单元1301和发送单元1302的功能可以用图14中的收发器1402实现，图13中的处理单元1303的功能可以用图14中的处理器1401实现。

本实施例中还提供了一种计算机存储介质，用于储存为上述实施例的资源控制网元所用的计算机软件指令，其包含用于执行上述实施例所设计的程序。

基于上述方法实施例，本申请实施例还提供了一种网络开放网元NEF，该NEF可以执行图2～13所示的NEF的执行过程。参阅图15所示，NEF1500包括：接收单元1501，处理单元1502以及发送单元1503。其中：

接收单元1501，用于接收资源控制网元发送的授权请求消息，所述授权请求消息中包括所述终端设备的加密的用户身份标识；

处理单元1502，用于确定所述授权请求消息符合预设的安全性要求；

发送单元1503，用于向授权服务器发送所述授权请求消息；

所述接收单元1501，还用于接收所述授权服务器基于所述授权请求消息反馈的授权响应消息；

所述处理单元1502，还用于确定所述授权响应消息符合预设的安全性要求；

所述发送单元1503，还用于向所述资源控制网元发送所述授权响应消息。

在一种实现方式中，所述处理单元1502在确定所述授权请求消息符合预设的安全性要求时，具体用于：

确定允许所述资源控制网元发送所述授权请求消息；和/或，

确定所述授权请求消息的消息内容符合预设的安全策略。

在一种实现方式中，所述处理单元1502在确定所述授权响应消息符合预设的安全性要求时，具体用于：

确定允许所述授权服务器发送所述授权响应消息；和/或，

确定所述授权响应消息的消息内容符合预设的安全策略；和/或

确定所述授权响应消息的目的地址与所述授权请求消息的源地址一致。

基于同一发明构思，本申请实施例还提供了一种网络开放网元NEF，该NEF可以执行上述方法实施例中NEF侧的方法，参阅图16，NEF1600包括：处理器1601、收发器1602以及存储器1603。其中，

处理器1601，用于读取存储器1603中的程序，执行下列过程：

处理器1601，用于控制收发器1602接收资源控制网元发送的授权请求消息，所述授权请求消息中包括所述终端设备的加密的用户身份标识；确定所述授权请求消息符合预设的安全性要求；控制收发器1602向授权服务器发送所述授权请求消息；控制收发器1602接收所述授权服务器基于所述授权请求消息反馈的授权响应消息；确定所述授权响应消息符合预设的安全性要求；控制收发器1602向所述资源控制网元发送所述授权响应消息。

存储器1603可以存储处理器1601在执行操作时所使用的数据，存储器1603可以是磁盘存储器、CD-ROM、光学存储器，也可以是NEF的物理主机的内存，例如硬盘、U盘、安全数码(Secure Digital，SD)卡等等。

需要说明的是，一个具体的实施方式中，图15中的接收单元1501和发送单元1503的功能可以用图16中的收发器1602实现，图15中的处理单元1502的功能可以用图16中的处理器1601实现。

本实施例中还提供了一种计算机存储介质，用于储存为上述实施例的NEF所用的计算机软件指令，其包含用于执行上述实施例所设计的程序。

基于上述方法实施例，本申请实施例还提供了一种授权服务器，该授权服务器可以执行图2～13所示的授权服务器或DN-AAA的执行过程。参阅图17所示，授权服务器1700包括：接收单元1701，处理单元1702以及发送单元1703。其中：

接收单元1701，用于接收网络开放网元NEF发送的授权请求消息，所述授权请求消息中包括终端设备的加密的用户身份标识；

处理单元1702，用于根据本地存储的所述终端设备的授权信息，查询所述加密的用户身份标识对应的授权结果；

发送单元1703，用于通过所述NEF向所述资源控制网元发送授权响应消息，所述授权响应消息中包括所述授权结果。

在一种实现方式中，所述授权请求消息中还包括应用标识，所述授权响应消息中还包括应用标识，

所述处理单元1702在根据本地存储的所述终端设备的授权信息，查询所述用户永久身份标识对应的授权结果时，具体用于：

根据本地存储的所述终端设备的授权信息，查询所述用户永久身份标识和应用标识对应的授权结果。

基于同一发明构思，本申请实施例还提供了一种授权服务器，该授权服务器可以执行上述方法实施例中授权服务器侧或DN-AAA侧的方法，参阅图18，授权服务器1800包括：处理器1801、收发器1802以及存储器1803。其中，

处理器1801，用于读取存储器1803中的程序，执行下列过程：

处理器1801，用于控制收发器1802接收网络开放网元NEF发送的授权请求消息，所述授权请求消息中包括终端设备的加密的用户身份标识；根据本地存储的所述终端设备的授权信息，查询所述加密的用户身份标识对应的授权结果；控制收发器1802通过所述NEF向所述资源控制网元发送授权响应消息，所述授权响应消息中包括所述授权结果。存储器1803可以存储处理器1801在执行操作时所使用的数据，存储器1803可以是磁盘存储器、CD-ROM、光学存储器，也可以是承载授权服务器的物理主机的内存，例如硬盘、U盘、安全数码(Secure Digital，SD)卡等等。

需要说明的是，一个具体的实施方式中，图17中的接收单元1701和发送单元1703的功能可以用图18中的收发器1802实现，图17中的处理单元1702的功能可以用图18中的处理器1801实现。

本实施例中还提供了一种计算机存储介质，用于储存为上述实施例的授权服务器所用的计算机软件指令，其包含用于执行上述实施例所设计的程序。

本领域内的技术人员应明白，本申请实施例可提供为方法、***、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包括有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请实施例是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包括这些改动和变型在内。

Claims

1.一种授权方法，其特征在于，包括：

资源控制网元接收终端设备发送的资源使用请求消息，所述资源使用请求消息中包括所述终端设备的第一用户身份标识；

所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识，并通过网络开放网元NEF向授权服务器发送授权请求消息，所述授权请求消息中包括所述终端设备的第二用户身份标识，所述第二用户身份标识是加密后的第一用户身份标识；

所述资源控制网元通过所述NEF接收所述授权服务器发送的授权响应消息，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识以及所述资源使用请求消息进行授权得到的授权结果；

所述资源控制网元根据所述授权结果对所述终端设备进行网络资源分配，并向所述终端设备发送资源分配响应消息。

2.如权利要求1所述的方法，其特征在于，所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识，包括：

所述资源控制网元对所述第一用户身份标识进行身份验证，确定所述第一用户身份标识通过身份验证后，使用第二用户身份标识替换所述第一用户身份标识。

3.如权利要求2所述的方法，其特征在于，所述资源控制网元对所述第一用户身份标识进行身份验证，包括：

所述资源控制网元确定所述第一用户身份标识为用户永久身份标识；或，用户临时身份标识；或，第三方用户身份标识时，确定所述第一用户身份标识通过身份验证。

4.如权利要求1-3任一项所述的方法，其特征在于，所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识之前，包括：

5.如权利要求1-3任一项所述的方法，其特征在于，所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识之前，包括：

所述加密后的第一用户身份标识，包括：

6.如权利要求1-3任一项所述的方法，其特征在于，所述授权请求消息中还包括应用标识，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识、所述应用标识以及所述资源使用请求消息进行授权得到的授权结果。

7.如权利要求1-3任一项所述的方法，其特征在于，所述授权响应消息中还包括第二用户身份标识。

8.如权利要求1-3任一项所述的方法，其特征在于，所述授权请求消息中还包括第一消息验证码，所述授权服务器使用所述第一消息验证码来验证所述授权请求消息的安全性，授权请求消息，所述授权响应消息中还包括第二消息验证码，所述资源控制网元使用所述第二消息验证码来验证所述授权响应消息的安全性。

9.如权利要求8所述的方法，其特征在于，所述资源控制网元通过所述NEF接收所述授权服务器发送的授权响应消息之后，所述方法还包括：

所述资源控制网元通过所述NEF向所述授权服务器发送授权确认消息，所述授权确认消息中包括第三消息验证码，所述授权服务器使用第三消息验证码验证所述授权确认消息的安全性。

10.如权利要求1-3任一项所述的方法，其特征在于，所述资源控制网元向所述授权服务器发送授权请求消息之前，所述方法还包括：

所述资源控制网元接收所述终端设备的订阅数据响应消息，所述订阅数据响应消息中包括第三方授权指示信息，所述第三方授权指示信息用于指示所述终端设备需要进行第三方授权；或，

所述资源控制网元根据本地配置策略确定所述终端设备需要进行第三方授权。

11.如权利要求1-3任一项所述的方法，其特征在于，所述资源控制网元根据所述授权结果对所述终端设备进行网络资源分配，包括：

若所述授权结果为允许终端设备使用网络资源，所述资源控制网元为所述终端设备分配请求的网络资源；

若所述授权结果为不允许终端设备使用网络资源，所述资源控制网元拒绝为所述终端设备分配请求的网络资源。

12.一种授权方法，其特征在于，包括：

网络开放网元NEF接收资源控制网元发送的授权请求消息，所述授权请求消息中包括终端设备的第二用户身份标识，所述第二用户身份标识是加密后的第一用户身份标识；

所述NEF确定所述授权请求消息符合预设的安全性要求时，向授权服务器发送所述授权请求消息；

所述NEF接收所述授权服务器基于所述授权请求消息反馈的授权响应消息；

所述NEF确定所述授权响应消息符合预设的安全性要求时，向所述资源控制网元发送所述授权响应消息。

13.如权利要求12所述的方法，其特征在于，所述NEF确定所述授权请求消息符合预设的安全性要求，包括：

所述NEF确定允许所述资源控制网元发送所述授权请求消息；和/或，

确定所述授权请求消息的消息内容符合预设的安全策略。

14.如权利要求12所述的方法，其特征在于，所述NEF确定所述授权响应消息符合预设的安全性要求，包括：

所述NEF确定允许接收所述授权服务器发送的所述授权响应消息；和/或，

15.一种授权方法，其特征在于，包括：

授权服务器接收网络开放网元NEF发送的授权请求消息，所述授权请求消息中包括终端设备的第二用户身份标识，所述第二用户身份标识是加密后的第一用户身份标识；

所述授权服务器根据本地存储的所述终端设备的授权信息，查询所述第二用户身份标识以及所述授权请求消息对应的授权结果；

所述授权服务器通过所述NEF向资源控制网元发送授权响应消息，所述授权响应消息中包括所述授权结果。

16.如权利要求15所述的方法，其特征在于，所述授权请求消息中还包括应用标识，所述授权响应消息中还包括应用标识，

所述授权服务器根据本地存储的所述终端设备的授权信息，查询所述第二用户身份标识和应用标识对应的授权结果。

17.一种资源控制网元，其特征在于，包括：

接收单元，用于接收终端设备发送的资源使用请求消息，所述资源使用请求消息中包括所述终端设备的第一用户身份标识；处理单元，用于使用第二用户身份标识替换所述第一用户身份标识；

发送单元，用于通过网络开放网元NEF向授权服务器发送授权请求消息，所述授权请求消息中包括所述终端设备的第二用户身份标识，所述第二用户身份标识是加密后的第一用户身份标识；

所述接收单元，还用于通过所述NEF接收所述授权服务器发送的授权响应消息，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识以及所述资源使用请求消息进行授权得到的授权结果；

所述处理单元，还用于根据所述授权结果对所述终端设备进行网络资源分配；

所述发送单元，还用于向所述终端设备发送资源分配响应消息。

18.如权利要求17所述的网元，其特征在于，所述处理单元在使用第二用户身份标识替换所述第一用户身份标识时，具体用于：

19.如权利要求18所述的网元，其特征在于，所述处理单元在对所述第一用户身份标识进行身份验证时，具体用于：

20.如权利要求17-19任一项所述的网元，其特征在于，所述处理单元在使用第二用户身份标识替换所述第一用户身份标识之前，还用于：

21.如权利要求17-19任一项所述的网元，其特征在于，所述处理单元在使用第二用户身份标识替换所述第一用户身份标识之前，还用于：

所述加密后的第一用户身份标识，包括：

22.如权利要求17-19任一项所述的网元，其特征在于，所述授权请求消息中还包括应用标识，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识、所述应用标识以及所述资源使用请求消息进行授权得到的授权结果。

23.如权利要求17-19任一项所述的网元，其特征在于，所述授权响应消息中还包括第二用户身份标识。

24.如权利要求17-19任一项所述的网元，其特征在于，所述授权请求消息中还包括第一消息验证码，所述授权服务器使用第一消息验证码来验证所述授权请求消息的安全性；所述授权响应消息中还包括第二消息验证码，所述处理单元使用第二消息验证码来验证所述授权响应消息的安全性。

25.如权利要求24所述的网元，其特征在于，在所述接收单元通过所述NEF接收所述授权服务器发送的授权响应消息之后，所述发送单元还用于：

通过所述NEF向所述授权服务器发送授权确认消息，所述授权确认消息中包括第三消息验证码，所述授权服务器使用第三消息验证码来验证第三方授权确认消息的安全性。

26.如权利要求17-19任一项所述的网元，其特征在于，在所述发送单元向所述授权服务器发送授权请求消息之前，

所述接收单元还用于：接收所述终端设备的订阅数据响应消息，所述订阅数据响应消息中包括第三方授权指示信息，所述第三方授权指示信息用于指示所述终端设备需要进行第三方授权；或

所述处理单元还用于：根据本地配置策略确定所述终端设备需要进行第三方授权。

27.如权利要求17-19任一项所述的网元，其特征在于，所述处理单元在根据所述授权结果对所述终端设备进行网络资源分配时，具体用于：

28.一种网络开放网元NEF，其特征在于，包括：

接收单元，用于接收资源控制网元发送的授权请求消息，所述授权请求消息中包括终端设备的第二用户身份标识，所述第二用户身份标识是加密后的第一用户身份标识；

处理单元，用于确定所述授权请求消息符合预设的安全性要求；

发送单元，用于向授权服务器发送所述授权请求消息；

所述接收单元，还用于接收所述授权服务器基于所述授权请求消息反馈的授权响应消息；

所述处理单元，还用于确定所述授权响应消息符合预设的安全性要求；

所述发送单元，还用于向所述资源控制网元发送所述授权响应消息。

29.一种授权服务器，其特征在于，包括：

接收单元，用于接收网络开放网元NEF发送的授权请求消息，所述授权请求消息中包括终端设备的第二用户身份标识；

处理单元，用于根据本地存储的所述终端设备的授权信息，查询所述第二用户身份标识对应的授权结果，所述第二用户身份标识是加密后的第一用户身份标识；

发送单元，用于通过所述NEF向资源控制网元发送授权响应消息，所述授权响应消息中包括所述授权结果。

30.如权利要求29所述的授权服务器，其特征在于，所述授权请求消息中还包括应用标识，所述授权响应消息中还包括应用标识，

所述处理单元在根据本地存储的所述终端设备的授权信息，查询所述用户永久身份标识对应的授权结果时，具体用于：

根据本地存储的所述终端设备的授权信息，查询所述第二用户身份标识和应用标识对应的授权结果。