CN112492592A - 一种多个nrf场景下的授权方法 - Google Patents
一种多个nrf场景下的授权方法 Download PDFInfo
- Publication number
- CN112492592A CN112492592A CN201910860117.XA CN201910860117A CN112492592A CN 112492592 A CN112492592 A CN 112492592A CN 201910860117 A CN201910860117 A CN 201910860117A CN 112492592 A CN112492592 A CN 112492592A
- Authority
- CN
- China
- Prior art keywords
- nrf
- token
- network
- service
- token request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供了一种网络功能服务的授权方法及装置,该方法包括:第一网络存储功能网元NRF接收第一令牌请求,所述第一令牌请求包括服务提供者网络功能NF_P的标识;所述第一NRF根据所述标识确定每个服务提供者NF_P所注册的目标络存储功能网元NRF;若目标NRF中存在第二网络存储功能NRF,则向所述第二NRF发送第二令牌请求;所述第二NRF根据所述第二令牌请求生成令牌,并将令牌返回给所述第一NRF;所述第一NRF接收第二NRF发送的令牌后,将生成的和/或接收到的令牌送给令牌请求者。通过上述技术方案,能够解决在同一个公共陆地网络PLMN中存在多个NRF场景下的授权问题。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种多个NRF场景下的授权方法。
背景技术
第五代移动通信***(the Fifth Generation,5G)采用服务化架构(ServiceBased Architecture,SBA)。第三代合作伙伴计划(3rd Generation PartnershipProject,3GPP)还提出了服务化架构的增强(enhancement of Service BasedArchitecture,eSBA)。在SBA或者eSBA中,网络功能(Network Function,NF)允许其他授权的NF访问其服务。网络存储功能(NF Repository Function,NRF)为NF提供管理,发现和授权等服务。NF通过向NRF请求授权,获得服务对应的令牌,并根据这个令牌向拥有该服务的另一NF请求此项服务,所述另一NF校验令牌通过后,返回服务响应。
当前,3GPP业务与***工作组2(Service and System Aspects Working Group2,SA2)的标准规定NRF的部署可以是公共陆地网络(Public Land Mobile Network,PLMN)级别,也可以是切片级别,即同一PLMN内可以部署两个及以上的NRF。各NRF为其管理的NF提供注册、服务发现和授权等服务,不同NRF管理的NF之间不能直接访问,这些NF只能通过各自注册的NRF完成发现和授权等流程。
目前3GPP业务与***工作组3(Service and System Aspects Working Group 3,SA3)定义的授权流程仅考虑一个PLMN网络内部仅部署一个NRF的情况,即同一PLMN内所有的NF都注册在同一个NRF上,并由该NRF完成NF的管理和授权。以上同一PLMN内部署多个NRF场景下的授权在3GPP标准中并没有考虑,现有授权机制也无法解决多个NRF场景下的授权问题。
发明内容
本申请提出一种多个NRF场景下的授权方法及装置,用以解决多个NRF场景下的授权问题。本申请提出的授权方法涉及第一网络存储功能NRF,第二网络存储功能NRF,服务请求者网络功能(Service Consumer),服务提供者网络功能(Service Producer)。其中第一NRF可以是NRF_C或NRF_P0,其中第二NRF可以是NRF_P,服务请求者网络功能可以是NF_C,服务提供者网络功能可以是NF_P。上述“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。另外,本申请中所涉及的A和/或B包括三种情况,比如可以是A,可以是B,也可以是A和B。
第一方面,提供一种授权方法,该方法适用于网络功能NF_C向一个或多个注册在不同网络存储功能NRF下的网络功能NF_P请求令牌的场景,该方法包括:服务请求者网络功能网元NF_C向所注册的网络存储功能网元NRF_C发送包含服务提供者网络功能网元NF_P的标识的第一令牌请求;所述NRF_C利用接收到的第一令牌请求中的一个或多个NF_P的标识,查询注册信息,以确定每个NF_P所注册的目标NRF;当所述目标NRF为NF_C所注册的NRF_C时,所述NRF_C根据第一令牌请求中的信息进行授权,授权成功后生成令牌,其中所述令牌包含所述令牌发布者NRF_C的实例标识和服务提供者NF_P的实例标识等信息。
其中,需要指出的是,所述注册信息是NRF_C在接收第一令牌请求前,NRF_C所保存的网络功能注册信息,和/或所获取的NRF_C所属PLMN内其他NRF上保存的网络功能注册信息。
所述注册信息包括网络功能简况(NF Profiles),和/或所述NF_P的标识与所述NF_P注册的NRF_P标识的对应关系。
可选的,所述目标NRF可以是NF_C所注册的NRF_C,也可以是一个或多个其他网络存储功能NRF_P。
可选的,若所述目标NRF包括所述一个或多个NRF_P时,所述NRF_C向所述一个或多个NRF_P发送第二令牌请求,所述第二令牌请求中包含一个或多个每个NRF_P所对应的NF_P的实例标识。其中,所述一个或多个NRF_P可以与所述NRF_C处于同一PLMN。
在另一种实现方式中,所述NRF_C和所述NRF_P处于不同PLMN,即所述NRF_C处于服务网络,而所述一个或多个NRF_P处于归属网络。此时,所述NRF_C向所述归属网络中的网络存储功能NRF_P0转发来自NF_C的第一令牌请求,其中所述NRF_P0可以是归属网络内部署的专用于接收漫游信息的NRF,还可以是归属网络内任一NRF,此处不作限定。所述NRF_P0利用第一令牌请求中的NF_P的标识,查询注册信息,以确定每个NF_P所注册的目标NRF;
若所述目标NRF包括一个或多个其他网络存储功能NRF_P,所述NRF_P0分别向各NRF_P发送第二令牌请求,所述第二令牌请求中包含一个或多个每个NRF_P所对应的NF_P的实例标识。所述每个NRF_P收到所述第二令牌请求后,根据所述第二令牌请求中的信息进行授权并生成令牌,并将所述令牌返回至令牌请求的发送方,即NRF_C或NRF_P0,其中,所述令牌包含所述令牌发布者NRF_P的实例标识和服务提供者NF_P的实例标识等信息。
所述注册信息是NRF_P0在接收第一令牌请求前,NRF_P0所保存的和/或所获取的所述归属网络内其他NRF上保存的网络功能的注册信息。
所述注册信息包括网络功能简况,和/或所述NF_P的标识与所述NF_P注册的NRF_P标识的对应关系。
可选的,所述目标NRF可以是NRF_P0,此时所述NRF_P0根据所述第一令牌请求中的信息进行授权并生成令牌。
所述NRF_P0收到各NRF_P发送的令牌后,将生成的令牌和/或接收到的令牌发送至所述NRF_C。
所述NRF_C生成令牌和/或接收到令牌后,将所述生成和/或接收的令牌发送给服务请求者网络功能网元NF_C。
所述NF_C收到令牌后选取与服务提供者网络功能网元NF_P相对应的令牌,并向所述NF_P发送携带所述令牌的服务请求。具体地,所述NF_C在服务请求前根据所述NF_P的实例标识,查询各所述令牌的声明Claim,其中所述令牌声明包括服务提供者网络功能网元的标识,所述NF_C使用令牌声明中服务提供者网络功能网元的标识与所述NF_P标识一致的令牌。
第二方面,提供一种授权方法,该方法适用于网络功能NF_C向一个或多个注册在不同网络存储功能NRF下的同一类型的网络功能NF_P请求令牌的场景。该方法包括:服务请求者NF_C网络功能网元向所注册的网络存储功能网元NRF_C发送第一令牌请求,所述第一令牌请求包含服务提供者网络功能网元NF_P的类型;所述NRF_C利用所述NF_P的类型,通过查询注册信息,确定属于所述类型的一个或多个NF_P中每个NF_P所注册的目标NRF;
当所述目标NRF为NF_C所注册的NRF_C时,所述NRF_C根据第一令牌请求中的信息进行授权,授权成功后生成令牌,其中所述令牌包含所述令牌发布者NRF_C的实例标识和服务提供者NF_P的类型等信息。
所述注册信息是NRF_C在接收第一令牌请求前,NRF_C所保存的网络功能注册信息,和/或所获取的NRF_C所属PLMN内其他NRF上保存的网络功能注册信息。
所述注册信息包括网络功能简况(NF Profiles),和/或所述NF_P的标识与所述NF_P注册的NRF_P标识的对应关系。
可选的,所述目标NRF可以是NF_C所注册的NRF_C,也可以是一个或多个其他网络存储功能NRF_P。
可选的,当所述目标NRF包括一个或多个NRF_P时,所述NRF_C向所述一个或多个NRF_P发送第二令牌请求,所述第二令牌请求携带注册在所述NRF_P上的NF_P的类型和/或NF_P的实例标识。响应于所述第二令牌请求,所述NRF_P会生成令牌,并向所述NRF_C发送所述令牌。所述一个或多个NRF_P可以与所述NRF_C处于同一PLMN。
另外,在一种实现方式中,所述NRF_C和所述NRF_P处于不同PLMN,即所述NRF_C处于服务网络,而所述一个或多个NRF_P处于归属网络。此时,所述NRF_C向所述归属网络中的网络存储功能NRF_P0转发来自NF_C的第一令牌请求,其中所述NRF_P0可以是归属网络内部署的专用于接收漫游信息的NRF,还可以是归属网络内任一NRF,此处不作限定。
所述NRF_P0利用所述NF_P的类型,通过查询注册信息,确定属于所述类型的一个或多个NF_P中每个NF_P所注册的目标NRF;
所述注册信息是NRF_P0在接收第一令牌请求前,NRF_P0所保存的和/或所获取的所述归属网络内其他NRF上保存的网络功能的注册信息。
所述注册信息包括网络功能简况(NF Profiles),和/或所述NF_P的标识与所述NF_P注册的NRF_P标识的对应关系。
可选的,所述目标NRF可以是NRF_P0,此时所述NRF_P0根据所述第一令牌请求中的信息进行授权并生成令牌。
可选的,所述目标NRF包括位于所述归属网络中的一个或多个其他网络存储功能NRF_P,此时所述NRF_P0分别向各NRF_P发送第二令牌请求,所述第二令牌请求携带注册在所述NRF_P上的NF_P的类型和/或NF_P的实例标识。
所述每个NRF_P收到第二令牌请求后,根据所述令牌请求中的信息进行授权并生成令牌,并将所述令牌返回至令牌请求的发送方,即NRF_C或NRF_P0,其中所述令牌包含所述令牌发布者NRF_C的实例标识和服务提供者NF_P的类型等信息。
所述NRF_P0收到各NRF_P发送的令牌后,将生成的令牌和/或接收到的令牌发送至所述NRF_C。
所述NRF_C生成令牌和/或接收到令牌后,将所述生成和/或接收的令牌发送给服务请求者网络功能网元NF_C。
所述NF_C收到令牌后选取与服务提供者网络功能网元NF_P相对应的令牌,并向所述NF_P发送携带所述令牌的服务请求。
具体地,所述NF_C在服务请求前,根据服务提供者NF_P所注册的NRF_P的实例标识,从NRF_C返回的令牌中选取与当前NF_P对应的令牌。
可选的,NF_C可以在获取令牌之前,通过服务发现流程从其所注册的NRF_C处获取本方案所述类型的NF_P所注册的NRF_P的实例标识,并保存所述NF_P的实例标识与NRF_P的实例标识的对应关系;此时,所述NF_C可以根据NF_P的实例标识,查询到NRF_P的实例标识,再根据NRF_P的实例标识,查询各所述令牌的声明Claim,其中所述令牌声明包括网络存储功能网元的标识,所述NF_C使用令牌声明中网络存储功能网元的标识与所述NF_P所注册的NRF_P标识一致的令牌。
可选的,所述NF_C可以在获取令牌之后,所述NF_C向所注册的NRF_C请求查询NRF_P的实例标识,所述NRF_C根据所述NF_P的实施例标识查询注册信息,并向所述NF_C返回NF_P所注册的NRF_P的实例标识。所述NF_C根据接收到的NRF_P的实例标识,查询各所述令牌的声明Claim,其中所述令牌声明包括网络存储功能网元的标识,所述NF_C使用令牌声明中网络存储功能网元的标识与所述NF_P所注册的NRF_P标识一致的令牌。
第三方面,提供一种授权方法,该方法的步骤包括:服务请求者网络功能网元NF_C向所注册的网络存储功能网元NRF_C发送令牌请求,所述令牌请求包含一个或多个服务提供者网络功能NF_P的实例标识或者服务提供者网路功能NF_P的类型,所述令牌请求还包含其他服务请求相关的信息,此处不作限定;
在一种可能的设计中,当令牌请求中包含NF_P的实例标识时,NRF_C根据上述一个或多个NF_P的实例标识,通过查询注册信息,确定每个NF_P所注册的目标NRF;
在又一种可能的设计中,当令牌请求中包含NF_P的类型时,NRF_C根据上述NF_P的类型,通过查询注册信息,确定所述类型的一个或多个NF_P中每个NF_P所注册的目标NRF;
可选的,所述目标NRF可以是NF_C所注册的NRF_C,此时所述NRF_C根据令牌请求中的信息进行授权,授权成功后生成令牌,并返回给NF_C。其中所述令牌包含所述令牌发布者NRF_C的实例标识和服务提供者NF_P的实例标识或类型等信息。
可选的,所述目标NRF包括是一个或多个其他网络存储功能网元NRF_P。此时所述NRF_C向所述NF_C返回所述每个NF_P所注册的NRF_P的实例标识。
所述NF_C收到所述一个或多个NRF_P的实例标识后,根据所述NRF_P的实例标识,分别向每个NRF_P发送令牌请求,所述令牌请求中包含所述NF_P的实例标识或类型,所述令牌请求还包含其他服务请求相关的信息,此处不作限定;
所述每个NRF_P收到所述令牌请求后,根据所述令牌请求中的信息进行授权并生成令牌,并将所述令牌返回至令牌请求的发送方NF_C。其中所述令牌包含所述令牌发布者NRF_P的实例标识和服务提供者NF_P的实例标识或类型等信息。
所述NF_C收到令牌后选取与服务提供者NF_P相对应的令牌,并向所述NF_P发送携带所述令牌的服务请求。其中令牌选取方法取决于令牌中包含的NF_P的信息。当令牌中包含NF_P的实例标识时,令牌选取方法同上述第一方面中所述令牌选取步骤;当令牌中包含NF_P的类型时,令牌选取方法同上述第二方面中所述令牌选取步骤,此处不再赘述。
第四方面,提供一种授权装置,包括接收模块,用于接收第一令牌请求,所述第一令牌请求包含服务提供者网络功能网元NF_P的标识或类型;处理模块,用于确定每个服务提供者NF_P所注册的目标网络存储功能网元NRF,所述处理模块利用所述NF_P的实例标识或类型,查询注册信息,确定目标NRF;发送模块,用于向所述目标NRF发送第二令牌请求;
所述接收模块还用于接收所述目标NRF反馈的令牌;
所述处理模块还可以用于根据所述令牌请求中的信息进行授权并生成令牌;当所述装置和所述NF_P位于不同PLMN时,所述处理模块还用于确定NF_P所在归属网络内的网络存储功能NRF_P0;
所述发送模块还用于向令牌请求的发送方返回所述处理模块所生成的令牌和/或所述接收模块收到的令牌;当所述装置和NF_P位于不同PLMN时,所述发送模块用于向所述NRF_P0转发所述第一令牌请求。
该装置具有实现上述第一方面的任意一种可能的设计中网络存储功能网元NRF_C行为的功能。
第五方面,提供又一种授权装置,包括接收模块,用于接收第一令牌请求,所述第一令牌请求包含服务提供者网络功能网元NF_P的类型;处理模块,用于确定每个服务提供者NF_P所注册的目标网络存储功能网元NRF,所述处理模块用于根据所述NF_P的类型通过查询注册信息确定目标NRF;发送模块,用于向所述目标NRF发送第二令牌请求;
所述接收模块还用于接收所述目标NRF反馈的令牌;
所述处理模块还可以用于根据所述第一令牌请求中的信息进行授权并生成令牌;当所属装置和NF_P位于不同PLMN时,所述处理模块还用于确定NF_P所在归属网络内的网络存储功能NRF_P0;
所述发送模块还用于向第一令牌请求的发送方返回所述处理模块所生成的令牌和/或所述接收模块收到的令牌;当所述装置和NF_P位于不同PLMN时,所述发送模块用于向所述NRF_P0转发所述第一令牌请求。
该装置具有实现上述第二方面的任意一种可能的设计中网络存储功能网元NRF_C行为的功能。
第六方面,提供又一种授权装置,包括发送模块,用于发送第一令牌请求,所述第一令牌请求包含服务提供者网络功能网元NF_P的标识;接收模块,用于接收由服务提供者网络功能网元NF_P所注册的网络存储功能所生成的令牌;处理模块,用于确定服务提供者NF_P所对应的令牌;所述发送模块还用于向服务提供者NF_P发送携带所述令牌的服务请求;所述接收模块还用于接收服务提供者NF_P反馈的服务响应。
该装置具有实现上述第一方面的任意一种可能的设计中网络功能网元NF_C行为的功能。
第七方面,提供又一种授权装置,包括发送模块,用于发送第一令牌请求,所述第一令牌请求包含服务提供者网络功能网元NF_P的类型;接收模块,用于接收由服务提供者网络功能网元NF_P所注册的网络存储功能所生成的令牌;处理模块,用于确定服务提供者NF_P所对应的令牌;所述发送模块还用于向服务提供者NF_P发送携带所述令牌的服务请求;所述接收模块还用于接收服务提供者NF_P反馈的服务响应。
该装置具有实现上述第二方面的任意一种可能的设计中网络功能网元NF_C行为的功能。
第八方面,提供一种授权装置,包括接收模块,用于接收第一令牌请求,所述第一令牌请求包含服务提供者网络功能网元NF_P的标识;处理模块,用于确定每个服务提供者NF_P所注册的目标网络存储功能网元NRF,所述处理模块根据所述NF_P的实例标识确定目标NRF;发送模块,用于向所述目标NRF发送第二令牌请求;所述接收模块还用于接收所述目标NRF反馈的令牌;所述处理模块还可以用于根据所述第一令牌请求中的信息进行授权并生成令牌;所述发送模块还用于向令牌请求的发送方返回所述处理模块所生成的令牌和/或所述接收模块收到的令牌。
该装置具有实现上述第一方面的任意一种可能的设计中网络存储功能网元NRF_P0行为的功能。
第九方面,提供又一种授权装置,包括接收模块,用于接收第一令牌请求,所述第一令牌请求包含服务提供者网络功能网元NF_P的类型;处理模块,用于确定每个服务提供者NF_P所注册的目标网络存储功能网元NRF,所述处理模块根据所述NF_P的类型确定目标NRF;发送模块,用于向所述目标NRF发送第二令牌请求;所述接收模块还用于接收所述目标NRF反馈的令牌;所述处理模块还可以用于根据所述第一令牌请求中的信息进行授权并生成令牌;所述发送模块还用于向令牌请求的发送方返回所述处理模块所生成的令牌和/或所述接收模块收到的令牌。
该装置具有实现上述第二方面的任意一种可能的设计中网络存储功能网元NRF_P0行为的功能。
第十方面,提供又一种授权装置,包括:
接收模块,用于接收令牌请求,所述令牌请求包含服务提供者网络功能网元NF_P的类型或实例标识;
处理模块,用于根据所述令牌请求中的信息进行授权并生成令牌;所述处理模块还可以用于确定每个服务提供者NF_P所注册的目标网络存储功能网元NRF,所述处理模块根据所述NF_P的实例标识或类型确定目标NRF;
发送模块,向令牌请求者返回所述处理模块所生成的令牌。所述发送模块还用于向令牌请求者返回所述处理模块所确定的每个NF_P所注册的目标NRF的实例标识。
该装置具有实现上述第三方面的任意一种可能的设计中网络存储功能网元NRF_C行为的功能。
第十一方面,提供又一种授权装置,包括
发送模块,用于发送令牌请求,所述令牌请求包含服务提供者网络功能网元NF_P的实例标识或类型;所述发送模块还用于向服务提供者NF_P发送携带所述令牌的服务请求;
接收模块,用于接收NRF_C生成并发送的令牌;所述接收模块还用于接收NRF_C发送的所述NF_P所注册NRF_P的实例标识;所述接收模块还用于接收所述各NRF_P生成并发送的令牌。所述接收模块还用于接收服务提供者NF_P反馈的服务响应。
处理模块,用于在服务请求前,从所述接收模块收到的令牌中选取当前服务提供者NF_P所对应的令牌;
该装置具有实现上述第三方面的任意一种可能的设计中网络存储功能网元NF_C行为的功能。
第十二方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令以实现上述第一方面的任意一种可能的设计中NRF_C行为的功能。
第十三方面,提供又一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令以实现上述第二方面的任意一种可能的设计中NRF_C行为的功能。
第十四方面,提供又一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令以实现上述第一方面的任意一种可能的设计中NF_C行为的功能。
第十五方面,提供一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令以实现上述第二方面的任意一种可能的设计中NF_C行为的功能。
第十六方面,提供又一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令以实现上述第一方面的任意一种可能的设计中NRF_P0行为的功能。
第十七方面,提供又一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令以实现上述第二方面的任意一种可能的设计中NRF_P0行为的功能。
第十八方面,提供又一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令以实现上述第三方面的任意一种可能的设计中NRF_C行为的功能。
第十九方面,提供又一种设备,该设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令以实现上述第三方面的任意一种可能的设计中NF_C行为的功能。
第二十方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储的程序,所述程序被处理器执行,以完成本申请实施例提供的任意一个设备执行的任意一种方法的部分或全部步骤。
第二十一方面,提供一种计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述计算机设备执行本申请实施例提供的任意一个设备执行的任意一种方法的部分或全部步骤。
可以看到本申请实施例中,网络存储功能网元NRF_C接收到携带有一个或多个注册在不同网络存储功能NRF_P下的服务提供者网络功能网元NF_P的信息的第一令牌请求后,根据令牌请求中网络功能网元NF_P的标识或类型,通过查询注册信息,确定每个服务提供者网络功能网元NF_P所注册的网络存储功能网元NRF_P,然后向其发送第二令牌请求,并接收其反馈的令牌。进一步地,NRF_C将保存的和/或接收到的令牌发送给令牌请求者。在请求服务时,请求令牌的服务请求者网络功能网元NF_C,根据服务提供者网络功能网元NF_P的标识从收到的令牌中找出与该NF_P对应的令牌,最终向服务提供者NF_P发送携带有令牌的服务请求。由此可见,实施本申请实施例,能够实现多个NRF场景下的授权,弥补了现有授权机制的空缺。
附图说明
为了更清楚地说明本申请实施例或背景技术中的技术方案,下面将对本申请实施例或背景技术中所需要使用的附图进行说明。
图1为本申请实施例涉及的一种网络***架构图;
图2a和2b为本申请实施例涉及的一种应用场景图;
图3为本申请实施例的一种授权方法的流程示意图;
图4为本申请实施例的又一种授权方法的流程示意图;
图5a和5b为本申请实施例涉及的又一种应用场景图
图6为本申请实施例的又一种授权方法的流程示意图;
图7为本申请实施例的又一种授权方法的流程示意图;
图8a和8b为本申请实施例涉及的又一种应用场景图;
图9为本申请实施例的又一种授权方法的流程示意图;
图10为本申请实施例的又一种授权方法的流程示意图;
图11为本申请实施例的一种装置的结构示意图;
图12为本申请实施例的一种设备的结构示意图。
具体实施方式
本申请实施例提供一种多NRF场景下的授权方法及装置,用以实现一个PLMN内存在多个NRF场景下,NF请求服务时的授权。其中,方法和装置是基于同一发明构思的,由于方法及装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
本申请实施例的描述中,“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请中所涉及的至少一个是指一个或多个;多个,是指两个或两个以上。另外,需要理解的是,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
本申请实施例提供的通信方法可以应用于5G通信***或未来的各种通信***。
下面结合本申请实施例中的附图对本申请实施例进行描述。本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释,而非旨在限定本申请。
5G通信***中提出了基于服务的架构(Service Based Architecture,SBA)。SBA中包含多个网络功能(Network Function,NF),各个NF之间通过基于服务的接口(Service-based Interface,SBI)进行交互,其中一个NF可以提供一个或多个NF服务。NF服务可以采用“请求-反馈”或者“订阅-通知”的方式。每个NF可以作为服务的提供者(ServiceProducer)提供应用程序编程接口(Application Programming Interface,API)供其他NF调用,也可以作为服务的消费者(Service Consumer)调用其他NF的API。下文中将ServiceProducer称作服务提供者,将Service Consumer称作服务请求者。
图1为非漫游场景下一种可能的网络架构示意图,该网络架构由用户设备、接入网和运营商网络组成,运营商网络包括核心网和数据网,用户设备通过接入网节点接入运营商网络。具体描述如下:
用户设备(User Equipment,UE),UE为逻辑实体,具体的,UE可以是终端设备(Terminal Equipment)、通信设备(Communication Device)、物联网(Internet ofThings,IoT)设备中的任意一种。其中,终端设备可以是智能手机(smart phone)、智能手表(smart watch),智能平板(smart tablet)等等;通信设备可以是服务器、网关(Gateway,GW)、控制器等等;物联网设备可以是传感器,电表以及水表等等。
无线接入网(Radio Access Net,RAN),RAN负责UE的接入,RAN可以是基站、无线保真(Wireless Fidelity,Wi-Fi)接入点,以及蓝牙接入点等。
数据网络(Data network,DN),数据网络DN也被称为PDN(Packet Data Network)DN可以为运营商外部网络,也可以为运营商控制的网络,用于向用户提供业务服务。
核心网(Core network,CN),CN作为承载网络提供到DN的接口,为UE提供通信连接、认证、管理、策略控制以及对数据业务完成承载等。其中,CN包括:接入和移动管理网元、会话管理网元、用户面节点功能、认证服务器、统一数据管理网元、网络暴露功能网元、应用功能网元、网络切片选择功能网元、策略控制网元、网络存储功能等。
接入和移动管理功能(Access and Mobility Management Function,AMF),由运营商提供的控制面网元,负责UE接入运营商网络的接入控制和移动性管理。
会话管理功能(Session Management Function,SMF),由运营商提供的控制面网元,负责管理UE的数据包的会话。
用户面节点功能(User Plane Function,UPF),由运营商提供的用户面网元,是运营商网络与DN通信的网关。UPF可以是网关、服务器、控制器、用户面功能网元等。UPF可以设置在运营网内部,也可以设置在运营网外部。
鉴权服务器功能(Authentication Server Function,AUSF),由运营商提供的控制面网元,可用于运营商网络对网络签约用户的认证。
统一数据管理网元(Unified Data Manager,UDM),由运营商提供的控制面网元,负责存储运营商网络的签约用户持久标识(Subscriber Permanent Identifier,SUPI)、注册信息、信任状(credential)、签约数据等。
网络暴露功能(Network Exposure Function,NEF),由运营商提供控制面网元,NEF以安全的方式对第三方暴露运营商网络的对外接口。
应用功能(Application Function,AF),用于存储业务安全需求,提供策略判定的信息。
策略控制功能(Policy Control Function,PCF),可用于负责策略控制决策、提供基于业务数据流和应用检测、门控、QoS和基于流的计费控制等功能等。
网络切片选择功能网元(Network Slice Selection Function,NSSF),用于选择服务用户设备的网络切片实例,确定用于用户设备的AMF集合等。
网络存储功能(NF Repository Function,NRF),负责NF自动化管理、选择和扩展,具体包括NF服务的注册登记、发现、状态监测、服务的授权等,实现网络功能和服务的按需配置及NF间的互连。在具体实现中,NRF可以是网元、控制器或服务器等功能实体。
图1中,N1、N2、N3、N4和N6为相应网元之间的接口;Namf、Nsmf、Nausf、Nudm、Nnef、Npcf、Naf、Nnssf和Nnrf分别为AMF、SMF、AUSF、UDM、NEF、PCF、AF、NSSF和NRF所展现的服务化接口SBI。
本实施例中,NF可以是AMF、SMF、AUSF、UDM、NEF、PCF、AF或NSSF中的网络功能。上述网元既可以是在专用硬件上实现的网络元件,也可以是在专用硬件上运行的软件实例,或者是在适当平台上虚拟化功能的实例。
本申请实施例主要应用于同一PLMN内部署两个或两个以上NRF的场景。各NRF为其管理的NF提供注册、服务发现和授权等服务,不同NRF管理的NF之间不能直接访问,这些NF只能通过各自注册的NRF完成发现和授权等流程。本申请实施例还考虑了漫游场景和非漫游场景,在漫游场景下存在服务网络和归属网络,服务网络和归属网络的架构可能相同或不同。基于上述服务化架构***,下面介绍本申请实施例的应用场景以及对应的授权方法。
本申请实施例提出的授权方法涉及第一网络存储功能NRF,第二网络存储功能NRF,服务请求者网络功能(Service Consumer),服务提供者网络功能(ServiceProducer)。其中第一NRF可以是NRF_C或NRF_P0,其中第二NRF可以是NRF_P,服务请求者网络功能可以是NF_C,服务提供者网络功能可以是NF_P。本申请实施例的应用场景中可以存在一个或多个上述NRF_P,例如NRF_P1,NRF_P2等;还可以存在一个或多个NF_P,例如NF_P1,NF_P2,NF_P3等。
图2a和图2b描述了服务请求者NF请求注册在不同NRF上的某一特定服务提供者NF的令牌的场景。例如AMF向SMF请求服务,或AUSF向UDM请求服务等,此处不作限定。
图2a示出了服务请求者网元和服务提供者网元位于同一PLMN内的场景。具体的,服务请求者NF_C注册在NRF_C上;服务提供者NF_P注册在NRF_P上;NRF_C和NRF_P可进行交互。
图2b示出了服务请求者网元和服务提供者网元位于不同PLMN内的场景。具体的,服务请求者NF_C注册在位于服务网络cPLMN的NRF_C上;服务提供者NF_P1注册在位于归属网络pPLMN的NRF_P1上;NRF_C与pPLMN内的NRF_P0交互;NRF_P0与NRF_P1交互。
参见图3,本申请实施例提供的授权方法之一的一种可能的流程如下所述。
该流程描述了服务请求者NF发送的令牌请求中包含注册在不同NRF下的服务提供者NF的标识的授权场景,其中所述服务请求者NF和服务提供者NF位于同一PLMN网络内,即非漫游场景,场景描述详见图2a。该场景涉及四个网元,包括服务请求者NF_C以及对应的NRF_C,服务提供者NF_P以及对应的NRF_P。
S300、该步骤为授权流程开始前需完成的前序步骤。
授权流程开始前,各网络功能网元NF注册到其对应的网络存储功能网元NRF上,例如本实施例中,服务请求者NF_C注册到NRF_C上,服务提供者NF_P注册到NRF_P上。各个网络存储功能NRF之间通过注册的方式保存对方的注册信息,即一个NRF注册到另一个NRF上;
可选的NRF_C和NRF_P之间也可以通过网络配置保存对方的注册信息,比如,NRF_C上保存了注册在NRF_P上所有NF的信息;可选的,NRF_C和NRF_P之间也可以通过Nnrf_NFManagement服务中的NFStatusSubscribe和NFStatusNotify两个操作,完成注册信息的获取和更新。NRF_C和NRF_P之间注册信息的获取包括但不限于以上方式,本申请不做限制。
所述注册信息包括网络功能简况(NF Profiles),所述NF Profiles可以包含NF的实例标识(Instance ID)、NF的类型、PLMN ID、网络切片相关标识、NF的全限定域名(FullyQualified Domain Name,FQDN)或IP地址、NF的容量信息、NF的优先级信息、NF的集合ID、NF所支持的服务名称、NF特定服务授权信息等。可选的,所述注册信息还包含所述NF类型与该类型NF注册的所有NRF的实例标识的对应关系,和/或所述NF的实例标识与该NF所注册的NRF的实例标识的对应关系;
注册完成后,服务请求者NF_C向NRF_C发起NF发现流程,NRF_C向NF_C返回能够提供特定NF服务或属于目标NF类型的一组NF的信息,所述信息包含NF的实例标识和/或NF所注册的NRF的标识,NF的类型,NF的FQDN或IP地址,提供的服务名称等。所述服务发现返回的信息还包含PLMN ID,NF的位置信息,NF集合ID等其他相关信息,此处不再一一列举。例如本实施例中所述信息包含NF_P的实例标识。
S301、服务请求者NF_C向所注册的NRF_C发送第一令牌请求,相应的,NRF_C接收来自NF_C的令牌请求。
所述令牌请求携带服务提供者NF_P的标识,例如携带NF_P的实例标识。该令牌请求还携带服务请求者NF_C的标识,服务名称等其他授权和令牌生成所需的参数,此处不做限定。
S302、网络存储功能NRF_C确定服务提供者NF_P所注册的NRF。
NRF_C接收令牌请求后,根据上述令牌请求中的服务提供者NF_P的标识,通过查询所述注册信息,获取NF_P所对应的目标NRF,即NRF_P的标识。所述标识可以为NRF_P的实例标识和/或FQDN,或NRF_P的其他标识或者地址等,此处不做限定。
S303、NRF_C根据NRF_P的标识向NRF_P转发令牌请求,相应的,NRF_P接收来自NRF_C的令牌请求。
S304、NRF_P进行授权,生成令牌并进行完整性保护。
NRF_P接收到令牌请求后,获取令牌请求中的信息结合本地配置的策略或者授权信息等进行授权,NRF_P授权成功后生成令牌。
所述NRF_P生成的令牌的令牌声明Claim中包含令牌发布者的标识,即NRF_P的实例标识。所述令牌还携带所述服务请求者NF_C的实例标识、所述服务提供者NF_P的实例标识、所述请求的服务名称以及所述令牌的有效期等信息。
此外,NRF_P使用与服务提供者NF_P的共享密钥或者使用其本身的私钥对所述令牌进行完整性保护。
S305、NRF_P向NRF_C发送令牌,所述令牌是NRF_P进行完整性保护后的令牌,相应的NRF_C接收所述令牌。
S306、NRF_C将接收到的令牌发送给NF_C,相应的,NF_C接收所述令牌。
可选的,NRF_C在发送令牌的同时还将所述NF_P与所述NRF_P的实例标识的对应关系发送给NF_C,相应的,NF_C接收并保存NF_P与所述NRF_P的对应关系。后续NF_C请求所述NF_P的令牌时,可通过查询保存的信息找出与NF_P对应的NRF_P的标识,并直接向所述NRF_P发送令牌请求。
S307、服务请求者NF_C向服务提供者NF_P发送服务请求,所述服务请求携带令牌。相应的,NF_P接收来自NF_C的携带令牌的服务请求。
S308、NF_P使用与NRF_P协商的共享密钥,或者使用NRF_P的公钥对令牌进行完整性校验,校验通过后执行令牌校验。
所述令牌校验是指服务请求者NF_P校验令牌携带的信息是否与NF_P的相关信息相符,例如令牌中携带的服务提供者的实例标识是否为该NF_P的实例标识。
S309、上述令牌校验通过后,服务提供者NF_P向服务请求者NF_C发送服务响应。相应的NF_C接收来自NF_P的服务响应。
本实施例中,NRF_C和NRF_P之间共享注册信息,NRF_C收到令牌请求后,通过查询注册信息,确定服务提供者NF_P所注册的NRF_P并向其转发令牌请求,使得NRF_P完成授权和令牌生成,后续服务提供者NF_P对令牌进行校验,从而解决了现有技术中同一PLMN网络内部署多个NRF时NF之间的服务授权问题。
参见图4,本申请实施例提供的授权方法之一的一种可能的流程如下所述。
该流程描述了服务请求者NF发送的令牌请求中包含注册在不同NRF下的服务提供者NF的标识的授权场景,其中所述服务请求者NF和服务提供者NF位于不同PLMN网络内,即漫游场景,场景描述详见图2b。该场景涉及五个网元,包括位于服务网络的服务请求者NF_C以及对应的NRF_C,位于归属网络的第一网络存储功能NRF_P0、服务提供者NF_P1以及对应的NRF_P1。所述NRF_P0可以是pPLMN中部署的专门负责接收漫游请求的网络存储功能,也可以是pPLMN内任意一个网络存储功能。
S400、该步骤为授权流程开始前需完成的前序步骤。
授权流程开始前,各网络功能网元NF注册到其对应的网络存储功能网元NRF上,例如本实施例中,服务请求者NF_C注册到NRF_C上,服务提供者NF_P1注册到NRF_P1上。
网络存储功能NRF_C和NRF_P0,以及NRF_P0和NRF_P1之间可以通过网络配置保存对方的注册信息,即注册在NRF上所有NF的信息;
可选的,NRF_P0和NRF_P1之间通过注册的方式保存对方的注册信息,即一个NRF注册到另一个NRF上;
可选的NRF_C和NRF_P0,以及NRF_P0和NRF_P1之间也可以通过Nnrf_NFManagement服务中的NFStatusSubscribe和NFStatusNotify两个操作,完成注册信息的获取和更新。NRF之间注册信息的获取包括但不限于上述方式,本申请不做限制。
注册完成后,服务请求者NF_C向NRF_C发起NF发现流程,NRF_C向NF_C返回能能够提供特定NF服务或属于目标NF类型的一组NF的信息,所述信息可能包含的内容详见S300,本实施例中所述信息包含NF_P1的实例标识。
S401、该步骤与S301类似,区别在于,除S301所述内容外,所述令牌请求还包含服务请求者NF_C所属服务网络cPLMN的PLMN ID和服务提供者NF_P所属归属网络pPLMN的PLMNID。
S402、网络存储功能NRF_C确定服务提供者所在PLMN内部署的第一网络存储功能NRF_P0。
NRF_C根据上述令牌请求中的服务提供者NF_P1所属归属网络pPLMN的PLMN ID,通过查询注册信息,获取pPLMN内部署的网络存储功能NRF_P0的实例标识和/或FQDN,或其他NRF_P的标识或者地址等,本申请不做限制。
S403、NRF_C根据NRF_P0的标识向NRF_P0转发令牌请求,相应的,NRF_P0接收来自NRF_C的令牌请求。
S404、网络存储功能NRF_P0确定服务提供者NF_P1所注册NRF_P1。
网络存储功能NRF_P0根据上述令牌请求中的服务提供者NF_P1的标识,通过查询注册信息,确定NF_P1所注册的目标NRF,即NRF_P1的标识。所述标识可以是NRF_P1的实例标识和/或FQDN,或NRF_P1的其他标识或者地址等,本申请不做限制。
S405、网络存储功能NRF_P0根据NRF_P1的标识将令牌请求发送给NF_P1注册的NRF_P1,相应的NRF_P1接收来自NRF_P0的令牌请求。
S406、NRF_P1进行授权,生成令牌并进行完整性保护。
该步骤与S304类似,区别在于,除了S304所述内容外,所述令牌还携带服务请求者NF_C所属服务网络cPLMN的PLMN ID和服务提供者NF_P1所属归属网络pPLMN的PLMN ID。
S407、所述服务提供者对应的NRF_P1向所述NRF_P0发送令牌,相应的,所述NRF_P0接收来自NRF_P1的令牌。
所述令牌为NRF_P1使用与服务提供者NF_P1的共享密钥或者使用其本身的私钥对所述令牌进行完整性保护后的令牌。
S408、NRF_P0将接收到的令牌转发给NRF_C,相应的,NRF_C接收所述令牌。
S409~S412同S306~S309,此处不再赘述。
相较于实施例1,本实施例适用于漫游场景。NRF_C和NRF_P0,以及NRF_P0和NRF_P1之间共享注册信息。NRF_C收到令牌请求后,先查询到NRF_P0并向其转发令牌请求,然后NRF_P0查询到NRF_P1并向其转发令牌请求,使得NRF_P1完成授权和令牌生成,后续服务提供者NF_P1对令牌进行校验,从而解决了现有技术中同一PLMN网络内部署多个NRF时漫游场景下NF之间的服务授权问题。
图5a和图5b描述了服务请求者NF请求某几个注册在不同NRF上的特定服务提供者NF的令牌的场景,例如AMF向SMF、NEF和UDM请求服务,或AUSF向AMF、UDM和SMF请求服务等,此处不作限定。
图5a示出了服务请求者网元和几个服务提供者网元位于同一PLMN网络的场景。具体的,服务请求者NF_C注册在NRF_C上;服务提供者一NF_P1注册在NRF_P1上,服务提供者二NF_P2和服务提供者三NF_P3注册在NRF_P2上;NRF_C、NRF_P1和NRF_P2之间可进行交互。
图5b示出了服务请求者和几个服务提供者位于不同PLMN网络的场景。例如位于服务网络cPLMN内的AMF向位于归属网络pPLMN内的SMF、NEF和UDM请求服务,或位于服务网络cPLMN内的AUSF向位于归属网络pPLMN内的AMF、UDM和SMF请求服务等,此处不作限定。NRF_C与归属网络pPLMN内的NRF_P0交互,NRF_P0、NRF_P1和NRF_P2相互交互;各网络功能NF的注册关系同图5a此处不再赘述。
参见图6,本申请实施例提供的授权方法之一的一种可能的流程如下所述。
该流程描述了服务请求者网络功能网元NF_C注册在网络存储功能NRF_C上,至少两个或以上的服务提供者网络功能网元NF_P分别注册在同一PLMN内的不同NRF_P上的场景下的授权流程,场景描述详见图5a。该场景涉及七个网元,包括服务请求者网络功能网元NF_C及对应的NRF_C,服务提供者网络功能网元NF_P1及对应的NRF_P1和服务提供者NF_P2、NF_P3及它们所对应的NRF_P2。
S600、该步骤为授权流程开始前需完成的前序步骤。
授权流程开始前,各网络功能网元NF注册到其对应的网络存储功能网元NRF上,例如本实施例中,服务请求者NF_C注册到NRF_C上,服务提供者NF_P1注册到NRF_P1上,服务提供者NF_P2和NF_P3注册到NRF_P2上。各个网络存储功能NRF之间通过注册的方式保存对方的注册信息,即一个NRF注册到另一个NRF上;
可选的NRF_C、NRF_P1和NRF_P2之间也可以通过网络配置保存对方的注册信息,即注册在NRF上所有NF的信息;可选的,NRF_C、NRF_P1和NRF_P2之间也可以通过Nnrf_NFManagement服务中的NFStatusSubscribe和NFStatusNotify两个操作,完成注册信息的获取和更新。NRF_C、NRF_P1和NRF_P2之间注册信息的获取包括但不限于以上方式,本申请不做限制。所述注册信息已在S300描述,此处不再赘述。
注册完成后,服务请求者NF_C向NRF_C发起NF发现流程,NRF_C向NF_C返回能能够提供特定NF服务或属于目标NF类型的一组NF的信息,所述信息可包含的内容详见S300,此处不再赘述。本实施例中所述信息包含NF_P1、NF_P2和NF_P3的实例标识。
S601、服务请求者NF_C向所注册的网络存储功能网元NRF_C发送第一令牌请求,网络存储功能网元NRF_C接收第一令牌请求。
所述第一令牌请求携带各服务提供者NF_P的标识,例如携带NF_P1的实例标识、NF_P2和/或NF_P3的实例标识。该第一令牌请求还可以携带服务请求者NF_C的标识,服务名称等其他授权和令牌生成所需的参数,此处不做限定。
S602、网络存储功能NRF_C确定每个服务提供者NF_P所注册的目标NRF。
网络存储功能网元NRF_C接收令牌请求后,根据上述令牌请求中的服务提供者NF_P的标识,通过查询注册信息,确定每个NF_P所注册的目标NRF的标识,例如NRF_C根据NF_P1的实例标识获取NRF_P1的实例标识和/或FQDN,或NRF_P的标识或地址等,本申请不做限制;NRF_C根据NF_P2和/或NF_P3的实例标识获取NRF_P2的实例标识和/或FQDN,或NRF_P的标识或地址等,本申请不做限制。
本实施例中所述目标NRF均为所述NRF_C同一PLMN内的其他NRF,即NRF_P1和NRF_P2;可选的,在其他场景中,所述目标NRF可以为NF_C所注册的NRF_C,此时所述NRF_C根据第一令牌请求中的信息进行授权,授权成功后生成令牌,并对令牌进行完整性保护。
S603、NRF_C向NF_P1对应的NRF_P1发送第二令牌请求,相应的NRF_P1接收来自NRF_C的第二令牌请求,所述第二令牌请求中包含NF_P1的实例标识;
网络存储功能NRF_C获取每个服务提供者NF_P对应的NRF_P的标识后,分别向各个NRF_P发送第二令牌请求,此步骤中NRF_C将令牌请求发送给NRF_P1。
S604、NRF_P1进行授权,生成令牌并进行完整性保护。具体内容同S304,此处不再赘述。
S605、所述服务提供者对应的NRF_P1向所述服务请求者对应的NRF_C发送令牌。
所述令牌为NRF_P1使用与服务提供者NF_P的共享密钥或者使用其本身的私钥对所述令牌进行完整性保护后的令牌。
S606、NRF_C向NRF_P2发送第二令牌请求,相应的NRF_P2接收来自NRF_C的第二令牌请求。所述第二令牌请求包含NF_P2和/或NF_P3的实例标识。
可选的,针对多个服务提供者网元NF_P注册在同一个NRF_P上的情况,NRF_C可以分别向NRF_P发送多次针对单一服务提供者的令牌请求,此时S606~S608与S303~S305相同。此处不再赘述。
S607、NRF_P2进行授权,生成令牌并进行完整性保护。
NRF_P2获取令牌请求携带的信息结合本地配置的策略或者授权信息等进行授权,授权成功后生成令牌。
所述令牌的令牌声明Claim中包含令牌发布者NRF_P2的实例标标识。所述令牌还携带所述服务请求者NF_C的实例标识,所述服务提供者NF_P2和NF_P3的实例标识,所述请求的服务名称以及所述令牌的有效期等信息。
此外,NRF_P2使用与服务提供者NF_P2和NF_P3的共享密钥或者使用其本身的私钥对所述令牌进行完整性保护。
S608、所述服务提供者对应的NRF_P2向所述服务请求者对应的NRF_C发送令牌,相应的NRF_C接收来自NRF_P2的令牌。
S603~S605与S606~S608没有严格的执行顺序,可交换顺序来执行。
S609、NRF_C接收每个NRF_P发送的令牌并通过令牌响应向服务请求者NF_C发送所有获取到的令牌,例如本实施例中来自NRF_P1和NRF_P2的令牌,相应的,NF_C接收来自NRF_C的令牌。
可选的,若在其他场景中,所述目标NRF中包含所述NRF_C,NRF_C则向NF_C发送所述NRF_C生成的和/或NRF_C接收到的令牌。
可选的,NRF_C在发送令牌的同时还将各NF_P的实例标识与其所注册的NRF_P的实例标识的对应关系发送给NF_C,相应的,NF_C接收并保存各NF_P与NRF_P的对应关系。例如本实施例中NF_P1与NRF_P1的对应关系,以及NF_P2和NF_P3与NRF_P2的对应关系等。后续NF_C请求某个NF_P的令牌时,可通过查询保存的对应关系找出与所述NF_P对应的NRF_P的标识,并直接向所述NRF_P发送令牌请求。
S610~S613以NF_P1为例,描述了服务请求者NF_C向服务提供者NF_P1请求服务的步骤。服务请求者NF_C向本实施例中的NF_P2或NF_P3发起服务请求的步骤与上述步骤相同。
S610、发起服务请求前,服务请求者NF_C根据服务提供者NF_P1的实例标识,查询并找出与其对应的令牌。
根据S604(同S304)和S607中描述的令牌携带的信息可知,NRF_P生成的令牌携带有服务提供者NF_P1的实例标识。因此,NF_C可以根据服务提供者NF_P1的实例标识,找出携带有该实例标识的令牌。
S611、NF_C向NF_P1发送携带对应令牌的服务请求。
服务请求者NF_C向服务提供者NF_P1发送服务请求,所述服务请求携带所述NF_P1对应的令牌,即带有所述NF_P1的实例标识的令牌。
S612、服务提供者NF_P1接收携带令牌的服务请求后,使用其对应的网络存储功能网元NRF_P1的公钥或者NF_P1与NRF_P1协商的共享密钥进行完整性校验,校验通过后执行令牌校验。
所述令牌校验是指服务请求者NF_P1校验令牌携带的信息是否与NF_P1的相关信息相符,例如令牌中携带的服务提供者的实例标识是否为该NF_P1的实例标识。
S613、上述令牌校验通过后,服务提供者NF_P1向服务请求者NF_C发送服务响应。相应的,服务请求者NF_C接收来自服务提供者NF_P的服务响应。
本实施例中,NRF_C、NRF_P1和NRF_P2之间共享注册信息,NRF_C收到第一令牌请求后,通过查询注册信息,针对各服务提供者NF_P的注册情况,分别向各NF_P所注册的NRF_P发送第二令牌请求,各NRF_P生成针对某一个或某几个NF_P的令牌。发起服务请求时,服务请求者根据服务提供者的标识选择对应的令牌,后续服务提供者对令牌进行校验。以上方法实现了服务请求者针对多个服务提供者的一次令牌请求中产生多个令牌,后续服务请求者在服务请求中携带正确的令牌,避免造成服务提供者的令牌校验失败,从而解决了现有技术中针对同一PLMN内部署多个NRF的场景下,针对某几个服务提供者的令牌请求问题。
参见图7,本申请实施例提供的授权方法之一的另一种可能的流程如下所述。
该流程对应服务请求者网络功能网元NF_C注册在网络存储功能NRF_C上,至少两个或以上的特定服务提供者网络功能网元NF_P分别注册在不同NRF_P上的场景,其中所述服务请求者位于服务网络,所述服务提供者位于归属网络,即漫游场景下的授权,场景描述详见图5b。图7中描述的授权流程涉及八个网元,包括位于服务网络cPLMN的服务请求者NF_C及对应的NRF_C,位于归属网络pPLMN的网络存储功能NRF_P0、服务提供者NF_P1及对应的NRF_P1、服务提供者NF_P2、NF_P3及它们所对应的NRF_P2。所述NRF_P0可以是pPLMN内部署的专门负责接收漫游请求的网络存储功能,也可以是pPLMN内任意一个网络存储功能。
S700、授权流程的前序步骤。
授权流程开始前,各网络功能网元NF注册到其对应的网络存储功能网元NRF上,例如本实施例中,服务请求者NF_C注册到NRF_C上,服务提供者NF_P1注册到NRF_P1上,服务提供者NF_P2和NF_P3注册到NRF_P2上;
网络存储功能NRF_C和NRF_P0,以及NRF_P0、NRF_P1和NRF_P2之间可以通过网络配置保存对方的注册信息,即注册在NRF上所有NF的信息;
可选的,NRF_C和NRF_P0,以及NRF_P0、NRF_P1和NRF_P2之间通过注册的方式保存对方的注册信息,即一个NRF注册到另一个NRF上;
可选的NRF_C和NRF_P0,以及NRF_P0、NRF_P1和NRF_P2之间也可以通过Nnrf_NFManagement服务中的NFStatusSubscribe和NFStatusNotify两个操作,完成注册信息的获取和更新。NRF之间注册信息的获取包括但不限于上述方式,本申请不做限制。
所述注册信息的具体内容已在S300描述,此处不再赘述。
注册完成后,服务请求者NF_C向NRF_C发起NF发现流程,NRF_C向NF_C返回能够提供特定NF服务或属于目标NF类型的一组NF的信息,所述信息可能包含的内容详见S300,此处不再赘述,本实施例中所述信息包含NF_P1、NF_P2和NF_P3的实例标识。
S701、服务请求者NF_C向所注册的网络存储功能网元NRF_C发送第一令牌请求,网络存储功能网元NRF_C接收第一令牌请求。
所述第一令牌请求携带各服务提供者NF_P的标识,例如携带NF_P1的实例标识、NF_P2和/或NF_P3的实例标识。该令牌请求还携带服务请求者与服务提供者网元所处的公共陆地网络PLMN ID,即本实施例中的服务网络cPLMN的ID和归属网络pPLMN的ID。该令牌请求还可以携带服务请求者NF_C的标识,服务名称等其他授权和令牌生成所需的参数,此处不做限定。
S702、网络存储功能NRF_C确定服务提供者所在PLMN内部署的网络存储功能NRF_P0。
NRF_C根据上述令牌请求中的服务提供者NF_P所属归属网络pPLMN的PLMN ID,通过查询注册信息,获取pPLMN内网络存储功能NRF_P0的标识,所述标识可以是NRF_P0的实例标识和/或FQDN,或NRF_P0的其他标识或者地址等,本申请不做限制。
S703、网络存储功能网元NRF_C将所述第一令牌请求发送给所述NRF_P0,相应的NRF_P0接收来自NRF_C的第一令牌请求。
本实施例中归属网络中的NRF_P0所执行的步骤S704~S710与图7中NRF_C所执行的步骤S602~S608相似,都是根据所接收到的第一令牌请求中携带的服务提供者NF_P的标识,通过查询注册信息,找出每个NF_P所注册的NRF_P,并向每个NRF_P发送令牌请求。
S704、网络存储功能NRF_P0确定每个服务提供者NF_P所注册的目标NRF。
网络存储功能NRF_P0根据上述第一令牌请求中的各个服务提供者NF_P的标识,通过查询注册信息,确定每个NF_P所对应的目标NRF的标识,例如本实施例中NRF_P1和NRF_P2的标识。所述标识可以是NRF_P的实例标识和/或FQDN,或NRF_P的其他标识或者地址等,本申请不做限制。
本实施例中所述目标NRF均为所述NRF_P0同一归属网络内的其他NRF,即NRF_P1和NRF_P2;可选的,在其他场景中,所述目标NRF可以为所述NRF_P0,此时所述NRF_P0根据第一令牌请求中的信息进行授权,授权成功后生成令牌,并对令牌进行完整性保护。
S705、网络存储功能NRF_P0向NF_P1对应的NRF_P1发送第二令牌请求,相应的NRF_P1接收来自NRF_P0的第二令牌请求,所述第二令牌请求中包含NF_P1的实例标识;
网络存储功能NRF_P0获取每个服务提供者NF_P对应的NRF_P的标识后,分别向各个NRF_P发送第二令牌请求,此步骤中NRF_P0将第二令牌请求发送给NRF_P1。
S706、NRF_P1进行授权,生成令牌并进行完整性保护。
该步骤与S604类似,区别在于,除了S304所述内容外,所述令牌还携带服务请求者NF_C所属服务网络cPLMN的PLMN ID和服务提供者NF_P1所属归属网络pPLMN的PLMN ID。
S707、所述服务提供者对应的NRF_P1向所述服务请求者对应的NRF_P0发送令牌。
所述令牌为NRF_P1使用与服务提供者NF_P的共享密钥或者使用其本身的私钥对所述令牌进行完整性保护后的令牌。
S708、网络存储功能NRF_P0向NRF_P2发送第二令牌请求,相应的NRF_P2接收来自NRF_P0的第二令牌请求。所述令牌请求包括NF_P2和/或NF_P3的实例标识。
可选的,针对多个服务提供者网元NF_P注册在同一个NRF_P上的情况,NRF_P0可以分别向NRF_P发送多次针对单一服务提供者的令牌请求,此时S708~S710与S405~S407相同。此处不再赘述。
S709、NRF_P2进行授权,生成令牌并对令牌进行完整性保护。
该步骤与S607类似,区别在于,除了S304所述内容外,所述令牌还携带服务请求者NF_C所属服务网络cPLMN的PLMN ID和服务提供者NF_P2所属归属网络pPLMN的PLMN ID。
S710、所述服务提供者对应的NRF_P2向所述NRF_P0发送令牌,相应的NRF_P0接收来自NRF_P2的令牌。
S705~S707与S708~S710没有严格的执行顺序,可交换顺序来执行。
S711、NRF_P0接收每个NRF_P发送的令牌后并通过令牌响应向服务网络cPLMN中的NRF_C发送所有获取到的令牌,例如本实施例中来自NRF_P1和NRF_P2的令牌。相应的,NRF_C接收来自NRF_P0的令牌。
可选的,若在其他场景中,所述目标NRF中包含所述NRF_P0,NRF_P0则向NRF_C发送所述NRF_P0生成的和/或NRF_P0接收到的令牌。
S712、所述NRF_C将接收到的令牌发送给所述服务请求者网元NF_C。
S713~S716与S610~S613相同,此处不再赘述。
相较于图7中的授权流程,本实施例中位于服务网络cPLMN的服务请求者NF_C注册的NRF_C向位于归属网络pPLMN内的第一网络存储功能NRF_P0转发令牌请求,由NRF_P0确定并向pPLMN内的目标NRF_P分别发送令牌请求,从而解决了现有技术中针对同一PLMN网络内部署多个NRF时漫游场景下,服务请求者NF与特定几个服务提供者NF之间的服务授权问题。
图8a和图8b描述了服务请求者NF请求注册在不同NRF上的某一类服务提供者NF的令牌的场景,例如AMF向注册在不同NRF上的SMF请求服务,或AUSF向注册在不同NRF上的UDM请求服务等,此处不作限定。
图8a示出了服务请求者网元和某一类服务提供者网元位于同一PLMN网络的场景。具体的,服务请求者NF_C注册在NRF_C上;服务提供者一NF_P1注册在NRF_P1上,服务提供者二NF_P2和服务提供者三NF_P3注册在NRF_P2上,其中NF_P1、NF_P2和NF_P3属于同一类型网元;NRF_C、NRF_P1和NRF_P2之间可进行交互。
图8b示出了服务请求者和某一类服务提供者位于不同PLMN网络的场景。例如位于服务网络cPLMN内的AMF向位于归属网络pPLMN内的三个SMF请求服务。NRF_C与归属网络pPLMN内的NRF_P0交互,NRF_P0、NRF_P1和NRF_P2相互交互;各网络功能NF的注册关系同图8a此处不再赘述。
参见图9,本申请实施例提供的授权方法之二的一种可能的流程如下所述。
该流程描述了服务请求者网络功能网元NF_C注册在网络存储功能NRF_C上,某一类的服务提供者网络功能网元NF_P分别注册在同一PLMN内的不同NRF_P的场景下的授权流程,场景描述详见图8a。该场景涉及六个网元,包括服务请求者网络功能网元NF_C及对应的NRF_C,服务提供者网络功能网元NF_P1及对应的NRF_P1和服务提供者NF_P2及对应的NRF_P2,所述服务提供者NF_P1和NF_P2属于同一类型网元。
S900、授权流程的前序步骤。
授权流程开始前,各个NF注册到与其对应的NRF上,各NRF之间共享注册信息,具体详见S600。
注册完成后,服务请求者NF_C通过服务发现步骤,从NRF_C处获取能能够提供特定NF服务或属于目标NF类型的一组NF的信息,所述信息详见S300。
可选的上述服务发现步骤可以在令牌请求步骤之后执行,即S912与S913之间。
可选的当S901~S903步骤执行时,上述服务发现步骤可以不执行。
S901、服务请求者NF_C向所注册的网络存储功能网元NRF_C发送NF发现请求,所述请求包含NF_P的类型,相应的NRF_C接收来自NF_C的NF发现请求。
S902、NRF_C收到NF_C发送的NF发现请求后,查询注册信息,发现符合要求的一个或多个服务提供者NF_P,并通过服务发现响应向NF_C返回各NF_P的实例标识,以及每个NF_P所注册的NRF_P的实例标识;相应的,NF_C接收服务发现响应。
S903、NF_C收到服务发现响应后,保存每个NF_P的实例标识与其所注册的NRF_P的实例标识的对应关系。
以上步骤S901~S903为可选步骤,可在S900与S904之间执行,也可以在S912和S913之间执行。若步骤S901~S903执行,则以下S913~S915应被跳过。
S904、服务请求者NF_C向所注册的网络存储功能网元NRF_C发送第一令牌请求,相应的,网络存储功能网元NRF_C接收第一令牌请求。
所述第一令牌请求携带服务请求者的标识,即NF_C的标识,包括NF_C的实例标识和类型;所述第一令牌请求还携带服务提供者NF_P的标识,所述标识包含NF_P的类型;所述第一令牌请求中还可以携带其他授权和令牌生成所需的参数,例如所请求的服务名称。
S905、网络存储功能NRF_C根据上述第一令牌请求中的服务提供者网络功能网元NF_P的类型,通过查询注册信息,确定该类型NF_P所对应的所有目标NRF的标识,例如本实施例中NRF_P1和NRF_P2的实例标识和/或FQDN,或者NRF_P的标识或地址等,本申请不做限制;
本实施例中所述目标NRF均为所述NRF_C同一PLMN内的其他NRF,即NRF_P1和NRF_P2;可选的,在其他场景中,所述目标NRF可以为NF_C所注册的NRF_C,此时所述NRF_C根据第一令牌请求中的信息进行授权,授权成功后生成令牌,并对令牌进行完整性保护。
S906、NRF_C向NRF_P1发送第二令牌请求,相应的,NRF_P1接收来自NRF_C的第二令牌请求。
所述令牌请求包含NF_P1的类型,和/或NF_P1的实例标识,和/或NF_P1和NF_P2的实例标识。
S907、NRF_P1进行授权,生成令牌并进行完整性保护。
服务提供者网络功能网元NF_P1对应的NRF_P1接收到第二令牌请求后,获取令牌请求中的信息结合本地配置的策略或者授权信息等进行授权,NRF_P1授权成功后生成令牌。此外,NRF_P1使用与服务提供者NF_P1的共享密钥或者使用其本身的私钥对令牌进行完整性保护。
所述NRF_P1生成的令牌的令牌声明Claim中携带令牌发布者的标识,即NRF_P1的实例标识。所述令牌还携带所述服务提供者NF_P1的类型,所述服务请求者NF_C的实例标识,所述请求的服务名称以及所述令牌的有效期等信息。
S908、所述服务提供者对应的NRF_P1向所述服务请求者对应的NRF_C发送令牌,相应的,所述服务请求者对应的NRF_C接收来自NRF_P1的令牌。
S909~S911将第二令牌请求发送给NRF_P2,NRF_P2进行授权、生成令牌并将所述令牌发送给NRF_C,具体内容同S903~S905。
S912、同S609。
S913~S919以NF_P1为例,描述了服务请求者NF_C选取相应的令牌向服务提供者NF_P请求服务的步骤。
S913、服务请求前,NF_C将NF_P1的实例标识发送给NRF_C,相应的所述NRF_C接收来自NF_C的NF_P1实例标识。
该步骤中用于请求NRF_C查询并返回NRF_P的实例标识的服务请求,可以是现有的Nnrf_NFDiscover_NFDiscover Request,Nnrf_NFManagement_NFProfileRetrievalRequest或其他服务请求,也可以是新定义的服务请求,此处不做限制。
S914、NRF_C根据所述NF_P1的实例标识,查询注册信息,找出NF_P1所注册的NRF_P1的实例标识。
S915、NRF_C将找出的NF_P1所注册的NRF_P1的实例标识发送给NF_C,相应的,NF_C接收来自NRF_C的NRF_P1实例标识。
该步骤可以是与S910相对应的服务响应,也可以是其或新定义的服务响应,此处不做限制。
S916、NF_C根据NRF_P1的实例标识,查询并找出与其对应的令牌。
根据S907中描述的令牌携带的信息可知,NRF_P生成的令牌携带有服务提供者NRF_P的实例标识。因此,NF_C可以根据服务提供者NRF_P1的实例标识,找出携带有该实例标识的令牌。
若以上S901~S903不执行,S913~S915执行时,NF_C根据NRF_C返回的NRF_P1的实例标识查询到令牌1;若以上S901~S903执行,S913~S915执行时,NF_C根据NF_P1的实例标识查询自身保存的NF_P的实例标识和NRF_P的实例标识的对应关系,获得NRF_P1的实例标识,并根据所述NRF_P1实例标识查询到令牌1。
S917~S919同S611~S613,此处不再赘述。
本实施例中,服务请求者NF_C请求用于访问某一类服务提供者NF_P的令牌,NRF_C收到令牌请求后,根据NF_P的类型,通过查询注册信息,针对各服务提供者NF_P的注册情况,分别向该类型NF_P所注册的NRF_P发送令牌请求,各NRF_P生成针对该类型NF_P的令牌。发起服务请求时,服务请求者NF_C根据所述NRF_P的标识选择对应的令牌,后续服务提供者对令牌进行校验。以上方法实现了服务请求者针对某一类服务提供者的一次令牌请求中产生多个令牌,后续服务请求者在服务请求中携带正确的令牌,避免造成服务提供者的令牌校验失败,从而解决了现有技术中针对同一PLMN内部署多个NRF的场景下,针对某一类服务提供者的令牌请求问题。
参见图10,本申请实施例提供的授权方法之二的另一种可能的流程如下所述。
该流程描述了服务请求者网络功能网元NF_C注册在网络存储功能NRF_C上,某一类的服务提供者网络功能网元NF_P分别注册在不同NRF_P的场景下的授权,其中所述服务请求者NF_C位于服务网络,所述服务提供者NF_P位于归属网络,即漫游场景下的授权,场景描述详见图4-b。该场景涉及七个网元,包括位于服务网络cPLMN的服务请求者NF_C及对应的NRF_C,位于归属网络pPLMN的第一网络存储功能NRF_P0、服务提供者NF_P1及对应的NRF_P1、服务提供者NF_P2及对应的NRF_P2。所述NRF_P0可以是pPLMN内部署的专门负责接收漫游请求的网络存储功能,也可以是pPLMN内任意一个网络存储功能。
S1000、授权流程的前序步骤。
授权流程开始前,各个NF注册到与其对应的NRF上,各NRF之间共享注册信息,具体详见S700。
注册完成后,服务请求者NF_C向NRF_C发起NF发现流程,NRF_C向NF_C返回能够提供特定NF服务或属于目标NF类型的一组NF的信息,所述信息可能包含的内容详见S300,此处不再赘述,本实施例中所述信息包含NF_P1、NF_P2和NF_P3的实例标识。
可选的上述服务发现步骤可以在令牌请求步骤之后执行,即S1015与S1016之间。
可选的当S1001~S1003步骤执行时,上述服务发现步骤可以不执行。
S1001~S1003同S901~903,此处不再赘述。
S1004、服务请求者NF_C向所注册的网络存储功能网元NRF_C发送第一令牌请求,网络存储功能网元NRF_C接收第一令牌请求。
所述第一令牌请求携带服务请求者的标识,即NF_C的标识,包括NF_C的实例标识和类型以及所属网络的PLMN ID,即cPLMN的ID;所述第一令牌请求还携带服务提供者NF_P的标识,所述标识包含NF_P的类型以及所属网络的PLMN ID,即pPLMN的ID。所述第一令牌请求中还可以携带其他授权和令牌生成所需的参数,例如所请求的服务名称。
S1005、同S702,此处不再赘述。
S1006、同S703,此处不再赘述。
S1007、网络存储功能NRF_P0根据第一令牌请求中的服务提供者NF_P的类型,通过查询注册信息,确定该类型NF_P所对应的所有目标NRF的标识,例如本实施例中NRF_P1和NRF_P2的实例标识和/或FQDN,或者NRF_P的标识或地址等,本申请不做限制;
本实施例中所述目标NRF均为所述NRF_P0同一归属网络内的其他NRF,即NRF_P1和NRF_P2;可选的,在其他场景中,所述目标NRF可以为所述NRF_P0,此时所述NRF_P0根据第一令牌请求中的信息进行授权,授权成功后生成令牌,并对令牌进行完整性保护。
S1008、上述网络存储功能NRF_P0向该类型服务提供者NF_P所对应的每个NRF_P发送第二令牌请求,所述令牌请求包含NF_P的类型和/或一个或多个NF_P的实例标识。此步骤中NRF_P0将第二令牌请求发送给NRF_P1。
S1009、NRF_P1进行授权,生成令牌并进行完整性保护。
服务提供者网络功能网元NF_P1对应的NRF_P1接收到第二令牌请求后,获取第二令牌请求中的信息结合本地配置的策略或者授权信息等进行授权,NRF_P1授权成功后生成令牌。此外,NRF_P1使用与服务提供者NF_P1的共享密钥或者使用其本身的私钥对令牌进行完整性保护。
所述NRF_P1生成的令牌携带令牌发布者的标识,即NRF_P1的实例标识。所述令牌还携带所述服务请求者NF_C的实例标识及所属公共陆地网络PLMN ID,所述服务提供者NF_P1的类型及所属公共陆地网络PLMN ID,所述请求的服务名称以及所述令牌的有效期等信息。
S1010、所述服务提供者对应的NRF_P1向所述服务请求者对应的NRF_C发送令牌,相应的,所述服务请求者对应的NRF_C接收来自NRF_P1的令牌。
S1011~S1013、NRF_C向NRF_P2发送第二令牌请求,NRF_P2进行授权、生成令牌并将所述令牌返回至NRF_C,具体内容同S1005~S1007
S1008~S1010与S1011~S1013没有严格的执行顺序,可交换顺序来执行。
S1014、NRF_P0接收来自每个NRF_P的令牌,并将其发送至NRF_C,相应的NRF_C接收NRF_P0发送的令牌。
可选的,若在其他场景中,所述目标NRF中包含所述NRF_P0,NRF_P0则向NRF_C发送所述NRF_P0生成的和/或NRF_P0接收到的令牌。
S1015、所述NRF_C将接收到的令牌发送给所述服务请求者网元NF_C。
S1016~S1022以NF_P1为例,描述了服务请求者NF_C选取相应的令牌向服务提供者NF_P请求服务的步骤,具体内容同S913~S919,此处不再赘述。
相较于图9中的授权流程,本实施例中位于服务网络cPLMN的服务请求者NF_C注册的NRF_C向位于归属网络pPLMN内的第一网络存储功能NRF_P0转发令牌请求,由NRF_P0根据服务提供者NF_P的类型确定并向pPLMN内的目标NRF_P分别发送令牌请求。从而解决了现有技术中针对同一PLMN网络内部署多个NRF时漫游场景下,服务请求者NF与某一类型服务提供者NF之间的服务授权问题。
上文详细阐述了本申请实施例的方法,基于上述方法实施例的同一发明构思,本实施例还提供了相关装置和设备。
参见图11,本申请实施例提供了一种装置1100,该装置包括接收模块1101、处理模块1102以及发送模块1103。
该装置1100可以用于NRF_C,也可以是NRF_C,该装置可以执行上述各个方法实施例中NRF_C所执行的操作。以图7中的授权方法为例,接收模块1101用于接收第一令牌请求;处理模块1102用于确定每个网络功能网元所注册的目标网络存储功能网元NRF;发送模块1103还用于向每个目标NRF发送第二令牌请求;接收模块1101还用于接收所述目标NRF反馈的令牌;发送模块1103还用于向令牌请求者,也就是图7中的NF_C,发送接收模块1101接收的令牌。
该装置1100还可以用于NF_C,也可以是NF_C,该装置可以执行上述各个方法实施例中NF_C所执行的操作。以图3中的授权方法为例,发送模块1103用于向NRF_C发送第一令牌请求;接收模块1101用于接收NRF_C发送的令牌;处理模块1102用于确定服务请求时所携带的令牌;发送模块1103还用于向服务提供者网元发送服务请求;接收模块1101还用于接收服务提供者反馈的服务请求。
该装置1100还可以用于NF_P,也可以是NF_P,该装置可以执行上述各个方法实施例中NF_P所执行的操作,所述NF_P可以是NF_P1,也可以是NF_P2、NF_P3。以图7中的授权方法为例,接收模块1101用于接收服务请求者的服务请求;处理模块1102用于对服务请求中的令牌进行校验;发送模块1103用于向服务请求者返回服务响应。
该装置1100还可以用于NRF_P0,也可以是NRF_P0,该装置可以执行上述各个方法实施例中NRF_P0所执行的操作。以图8中的授权方法为例,接收模块1101用于接收第一令牌请求;处理模块1102用于确定每个网络功能网元所注册的目标网络功能NRF;发送模块1103用于向每个目标NRF发送第二令牌请求。接收模块1101还用于接收所述目标NRF反馈的令牌;发送模块1103还用于向令牌请求者,也就是图8中的NRF_C发送接收模块1101收到的令牌。
该装置1100还可以用于NRF_P,也可以是NRF_P,该装置可以执行上述各个方法实施例中NRF_P所执行的操作,所述NRF_P可以是NRF_P1,也可以是NRF_P2。以图7中的授权方法为例,接收模块1101用于接收第二令牌请求;处理模块1102用于根据接收模块1101接收到的令牌请求中携带的信息,结合本地配置的策略或者授权信息等进行授权并生成令牌;处理模块1102还用于对所生成的令牌进行完整性保护;发送模块1103用于向令牌请求者发送由处理模块1102生成并保护的令牌。
参见图12,本申请实施例还提供了一种设备1200,该设备1200包括处理器1201、通信接口1202和存储器1203。
处理器1201用于执行程序指令,当程序被执行时,使得处理器1202执行上述实施例提供的各个授权方法中NRF_C、NF_C、NF_P、NRF_P或NRF_P0执行的操作。处理器902可以但不限于是中央处理器(Central Processing Unit,CPU),网络处理器(Network Processor,NP)或者CPU和NP的组合。在处理器1201是CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
处理器1201还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(Application-specific Integrated Circuit,ASIC),可编程逻辑器件(ProgrammableLogic Device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(ComplexProgrammable Logic Device,CPLD),现场可编程逻辑门阵列(Field-programmable GateArray,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。
通信接口1202用于在处理器1201的控制下与其他设备进行通信,例如发送数据和/或接收数据,上述图7中的发送模块和接收模块可以通过通信接口1202来实现。
存储器1203用于存储处理器1201所执行的程序。存储器1203可以包括但不限于是随机存储记忆体(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、便携式只读存储器(Compact Disc Read-Only Memory,CD-ROM)、快闪存储器(flash memory)、硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器1203还可以包括上述种类存储器的任意组合。
本申请实施例提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序包括用于执行上述实施例提供的方法的指令。
本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例提供的方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、设备(***)或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置、设备(***)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图中的每一流程。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本申请的一些具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可对这些实施例做出另外的变更和修改。因此,所附权利要求意欲解释为包括上述实施例以及落入本申请范围的说是有变更和修改。因此,本申请保护范围应以所述权利要求的保护范围为准。
Claims (32)
1.一种多个NRF场景下的授权方法,其特征在于:
第一网络存储功能网元NRF接收第一令牌请求,所述第一令牌请求包含一个或多个服务提供者网络功能网元NF_P的标识;
所述第一NRF根据所述一个或多个NF_P的标识确定每个NF_P所注册的目标NRF;
若所述目标NRF中包括第二网络存储功能网元NRF,所述第一NRF向所述第二NRF发送第二令牌请求,所述第二令牌请求包含一个或多个NF_P的标识;其中,所述第一NRF与所述第二NRF位于同一公共陆地网络PLMN;
所述第一NRF接收所述第二NRF反馈的令牌。
2.根据权利要求1所述的方法,其特征在于,所述第一NRF接收第一令牌请求之前,所述方法还包括:
所述第一NRF获取所述PLMN中其他NRF上保存的网络功能的注册信息;
所述第一NRF根据所述一个或多个NF_P的标识确定每个NF_P所注册的目标NRF,包括:
所述第一NRF利用所述一个或多个NF_P的标识,查询所述第一NRF保存的和/或获取的注册信息,以确定每个NF_P所注册的目标NRF。
3.根据权利要求1或2所述的方法,其特征在于,所述第一NRF接收第一令牌请求,包括:
所述第一NRF接收服务请求者网络功能网元发送的第一令牌请求。
4.根据权利要求3所述的方法,其特征在于,所述第一NRF接收所述第二NRF反馈的令牌之后,所述方法还包括:
所述第一NRF向所述服务请求者网络功能网元发送所述第一NRF生成的令牌和/或所述第一NRF接收到的令牌。
5.根据权利要求1或2所述的方法,其特征在于,所述第一NRF位于归属网络;
所述第一NRF接收所述第一令牌请求,包括:
所述第一NRF接收来自服务网络的网络存储功能发送的第一令牌请求。
6.根据权利要求5所述的方法,其特征在于,所述第一NRF接收所述第二NRF反馈的令牌之后,所述方法还包括:
所述第一NRF向所述服务网络的网络存储功能网元发送所述第一NRF生成的令牌和/或所述第一NRF接收到的令牌。
7.一种多个NRF场景下的授权方法,其特征在于:
第一网络存储功能网元NRF接收第一令牌请求,所述第一令牌请求包含服务提供者网络功能网元NF_P的类型;
所述第一NRF确定属于所述类型的NF_P所注册的目标网络存储功能NRF;
若所述目标NRF中包括第二网络存储功能网元NRF,所述第一NRF向所述第二NRF发送第二令牌请求;其中,所述第一NRF与所述第二NRF位于同一公共陆地网络PLMN;
所述第一NRF接收所述第二NRF反馈的令牌。
8.根据权利要求7所述的方法,其特征在于,所述第一NRF接收第一令牌请求之前,所述方法还包括:
所述第一NRF获取所述PLMN中其他NRF上保存的网络功能的注册信息;
所述第一NRF确定属于所述类型的NF_P所注册的目标NRF,包括:
所述第一NRF利用所述NF_P的类型,查询所述第一NRF保存的和/或获取的注册信息,以确定所述类型的NF_P所注册的每一个目标NRF的标识。
9.根据权利要求7或8所述的方法,其特征在于,
所述第二令牌请求包含注册在所述第二NRF上的所述NF_P的类型,和/或,一个或多个所述NF_P的标识。
10.根据权利要求9所述的方法,其特征在于,所述第一NRF接收第一令牌请求,包括:
所述第一NRF接收服务请求者网络功能网元发送的第一令牌请求。
11.根据权利要求10所述的方法,其特征在于,所述第一NRF接收所述第二NRF反馈的令牌之后,所述方法还包括:
所述第一NRF向所述服务请求者网络功能网元发送所述第一NRF生成的令牌和/或所述第一NRF接收到的令牌。
12.根据权利要求9所述的方法,其特征在于,所述第一NRF位于归属网络;
所述第一NRF接收第一令牌请求,包括:
所述第一NRF接收来自服务网络的网络存储功能发送的第一令牌请求。
13.根据权利要求12所述的方法,其特征在于,所述第一NRF接收所述第二NRF反馈的令牌之后,所述方法还包括:
所述第一NRF向所述服务网络的网络存储功能网元发送所述第一NRF生成的令牌和/或所述第一NRF接收到的令牌。
14.一种授权装置,其特征在于,包括:
接收模块,用于接收第一令牌请求,所述令牌请求包含一个或多个提供功能服务的网络功能网元NF_P的实例标识;
处理模块,用于根据所述一个或多个NF_P的实例标识确定每个NF_P所注册的目标NRF;
发送模块,用于若所述处理模块确定的目标NRF中包括第二网络存储功能网元NRF,向所述第二NRF发送第二令牌请求,所述第二令牌请求包含一个或多个NF_P的标识;其中,所述装置与所述第二NRF位于同一公共陆地网络PLMN;
所述接收模块,还用于接收所述第二NRF反馈的令牌。
15.根据权利要求14所述的装置,其特征在于,
所述接收模块,还用于获取所述PLMN中其他NRF上保存的网络功能的注册信息;
所述处理模块,用于利用所述一个或多个NF_P的标识,查询所述装置保存的和/或获取的注册信息,以确定每个NF_P所注册的目标NRF。
16.根据权利要求14或15所述的装置,其特征在于,所述接收模块接收第一令牌请求,包括:
所述接收模块接收服务请求者网络功能网元发送的第一令牌请求。
17.根据权利要求16所述的装置,其特征在于,
所述发送模块,还用于向所述服务请求者网络功能网元发送所述装置生成的和/或所述装置接收的令牌。
18.根据权利要求14或15所述的装置,其特征在于,所述装置位于归属网络;
所述接收模块,用于接收来自服务网络的网络存储功能网元发送的第一令牌请求。
19.根据权利要求18所述的装置,其特征在于,
所述发送模块,还用于向所述服务网络的网络存储功能网元发送所述令牌。
20.一种授权装置,其特征在于,包括:
接收模块,用于接收第一令牌请求,所述令牌请求包含提供功能服务的网络功能网元NF_P的类型;
处理模块,用于确定属于所述类型的每个NF_P所对应的目标网络存储功能NRF;
发送模块,用于若所述处理模块确定的目标NRF中包括第二网络存储功能网元NRF,向所述第二NRF发送第二令牌请求,其中,所述装置与所述第二NRF位于同一公共陆地网络PLMN;
所述接收模块还用于接收所述第二NRF反馈的令牌。
21.根据权利要求20所述的装置,其特征在于,
所述接收模块,还用于获取所述PLMN中其他NRF上保存的网络功能的注册信息;
所述处理模块,用于利用所述NF_P的类型,查询所述装置保存的和/或获取的注册信息,以确定所述类型的NF_P所注册的每一个目标NRF的标识。
22.根据权利要求20或21所述的装置,其特征在于,
所述发送模块发送的第二令牌请求包含注册在所述第二NRF上的所述NF_P的类型,和/或,一个或多个所述NF_P的标识。
23.根据权利要求22所述的装置,其特征在于,所述接收模块,用于接收服务请求者网络功能网元发送的第一令牌请求。
24.根据权利要求23所述的装置,其特征在于,
所述发送模块,用于向所述服务请求者网络功能网元发送所述装置生成的和/或所述装置接收到的令牌。
25.根据权利要求22所述的装置,其特征在于,所述装置位于归属网络;
所述接收模块,用于接收来自服务网络的网络存储功能发送的第一令牌请求。
26.根据权利要求25所述的装置,其特征在于,
所述发送模块,用于向所述服务网络的网络存储功能网元发送所述装置生成的和/或所述装置接收到的令牌。
27.一种设备,其特征在于,所述设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令以实现权利要求1~6任意一项所述方法。
28.一种设备,其特征在于,所述设备包括:存储单元、通信接口及与所述存储单元和通信接口耦合的处理器;所述存储单元用于存储指令,所述处理器用于执行所述指令,所述通信接口用于在所述处理器的控制下与其他设备进行通信;
所述处理器执行所述指令以实现权利要求7~13任意一项所述方法。
29.一种计算机可读存储介质,其特征在于,
所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现权利要求1~6所述的任意一项所述方法。
30.一种计算机可读存储介质,其特征在于,
所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现权利要求7~13所述的任意一项所述方法。
31.一种计算机程序产品,其特征在于,
所述计算机程序被处理器执行以实现权利要求1~6所述的任意一项所述方法。
32.一种计算机程序产品,其特征在于,
所述计算机程序被处理器执行以实现权利要求7~13所述的任意一项所述方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910860117.XA CN112492592A (zh) | 2019-09-11 | 2019-09-11 | 一种多个nrf场景下的授权方法 |
| PCT/CN2020/112317 WO2021047403A1 (zh) | 2019-09-11 | 2020-08-29 | 一种多个nrf场景下的授权方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910860117.XA CN112492592A (zh) | 2019-09-11 | 2019-09-11 | 一种多个nrf场景下的授权方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112492592A true CN112492592A (zh) | 2021-03-12 |
Family
ID=74867268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910860117.XA Pending CN112492592A (zh) | 2019-09-11 | 2019-09-11 | 一种多个nrf场景下的授权方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112492592A (zh) |
| WO (1) | WO2021047403A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112152856A (zh) * | 2020-09-25 | 2020-12-29 | 广州爱浦路网络技术有限公司 | 边缘服务器管理***及方法 |
| CN114978551A (zh) * | 2022-06-14 | 2022-08-30 | 中国电信股份有限公司 | 访问令牌下发方法、获取方法、装置、***、设备及介质 |
| WO2022247569A1 (zh) * | 2021-05-24 | 2022-12-01 | 华为技术有限公司 | 通信方法和网络设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109842906A (zh) * | 2017-11-28 | 2019-06-04 | 华为技术有限公司 | 一种通信的方法、装置及*** |
| US20190253894A1 (en) * | 2018-02-15 | 2019-08-15 | Nokia Technologies Oy | Security management for roaming service authorization in communication systems with service-based architecture |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110474875B (zh) * | 2017-08-31 | 2020-10-16 | 华为技术有限公司 | 基于服务化架构的发现方法及装置 |
| CN109587187A (zh) * | 2017-09-28 | 2019-04-05 | 华为技术有限公司 | 用于调用网络功能服务的方法、装置和*** |
-
2019
- 2019-09-11 CN CN201910860117.XA patent/CN112492592A/zh active Pending
-
2020
- 2020-08-29 WO PCT/CN2020/112317 patent/WO2021047403A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109842906A (zh) * | 2017-11-28 | 2019-06-04 | 华为技术有限公司 | 一种通信的方法、装置及*** |
| US20190253894A1 (en) * | 2018-02-15 | 2019-08-15 | Nokia Technologies Oy | Security management for roaming service authorization in communication systems with service-based architecture |
Non-Patent Citations (2)
| Title |
|---|
| 《3RD GENERATION PARTNERSHIP PROJECT》: ""C4-191262"", 《3GPP TSG-CT4 MEETING #90》 * |
| 3RD GENERATION PARTNERSHIP PROJECT: "《Network Function Repository Services(Release 15)》", 《3GPP TS 29.510 V15.2.0 (2018-12)》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112152856A (zh) * | 2020-09-25 | 2020-12-29 | 广州爱浦路网络技术有限公司 | 边缘服务器管理***及方法 |
| CN112152856B (zh) * | 2020-09-25 | 2021-10-01 | 广州爱浦路网络技术有限公司 | 边缘服务器管理***及方法 |
| WO2022247569A1 (zh) * | 2021-05-24 | 2022-12-01 | 华为技术有限公司 | 通信方法和网络设备 |
| CN114978551A (zh) * | 2022-06-14 | 2022-08-30 | 中国电信股份有限公司 | 访问令牌下发方法、获取方法、装置、***、设备及介质 |
| CN114978551B (zh) * | 2022-06-14 | 2024-02-06 | 中国电信股份有限公司 | 访问令牌下发方法、获取方法、装置、***、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021047403A1 (zh) | 2021-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111865598B (zh) | 网络功能服务的身份校验方法及相关装置 | |
| CN111436160B (zh) | 一种局域网通信方法、装置及*** | |
| CN109315004B (zh) | Pdu类型的设置方法及相关实体 | |
| US20200374698A1 (en) | Communication method and communications apparatus | |
| US10123205B2 (en) | Admission of a session to a virtual network service | |
| WO2019237073A1 (en) | Systems, devices, and techniques for managing data sessions in a wireless network using a native blockchain platform | |
| AU2018265334B2 (en) | Selection of IP version | |
| EP3955538A1 (en) | Communication method and communication device | |
| CN110730499B (zh) | 一种mec信息获取方法及装置 | |
| WO2018202284A1 (en) | Authorizing access to user data | |
| WO2021047403A1 (zh) | 一种多个nrf场景下的授权方法及装置 | |
| CN110278556B (zh) | 一种安全认证策略确定方法、设备和计算机可读存储介质 | |
| CN112822678B (zh) | 一种服务化架构授权的方法 | |
| CN112399523A (zh) | 一种ursp核查方法及装置 | |
| CN113766574A (zh) | 制定背景数据传输策略的方法、装置及*** | |
| WO2022062889A1 (zh) | 一种切片管理方法、装置及通信设备 | |
| WO2016000395A1 (zh) | D2d业务的授权方法及装置、归属近距离通信服务器 | |
| CN115996378A (zh) | 鉴权方法及装置 | |
| CN107211479B (zh) | 选择接入网的方法和装置 | |
| CN113727329B (zh) | 一种通信方法及装置 | |
| WO2022252658A1 (zh) | 一种漫游接入方法及装置 | |
| CN116193441A (zh) | 一种通信方法、通信装置和通信*** | |
| WO2021224624A1 (en) | Authentication of devices to third party services | |
| CN117676558A (zh) | 网络信息处理方法及装置 | |
| CN115776487A (zh) | 数据分流方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210312 |
|
| RJ01 | Rejection of invention patent application after publication |