WO2024065564A1

WO2024065564A1 - 一种api的调用方法、装置、设备及存储介质

Info

Publication number: WO2024065564A1
Application number: PCT/CN2022/122958
Authority: WO
Inventors: 梁浩然; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-09-29
Filing date: 2022-09-29
Publication date: 2024-04-04
Also published as: CN118120176A

Abstract

本公开提出一种API的调用方法、装置、设备及存储介质，属于通信技术领域。API开放功能实体会接收API调用实体发送的API调用请求，其中，API调用请求中包括API调用信息和用户资源访问令牌，根据API调用信息和用户资源访问令牌进行API调用验证。由此可知，本公开提供的方法中，API开放功能实体可以通过用户资源访问令牌进行API调用验证，也即是API开放功能实体可以利用用户资源访问令牌确定是否授权API调用实体访问用户资源和调用服务API，则避免出现"未经资源所有者授权直接访问用户资源"这一情形，从而提高了API调用的安全性。

Description

一种API的调用方法、装置、设备及存储介质

技术领域

本公开涉及通信技术领域，尤其涉及一种API的调用方法/装置/设备及存储介质。

背景技术

在通信***中，引入了一个通用应用编程接口框架(Common Application Programming Interface Framework，CAPIF)，以实现负载平衡和访问控制。其中，该CAPIF可以包括API(Application Programming Interface，应用编程接口)调用实体、通用API框架核心功能(Common API FrameworkCore Function，CCF)、API开放功能(API Exposing Function，AEF)等，其中，AEF可以提供一个或者多个API。

但是，CAPIF中的API调用实体可以直接通过API信息访问提供该API的AEF，并通过AEF调用该API。在这过程中，AEF没有经过资源所有者的授权，即未经资源所有者授权直接访问用户资源，基于此可能会存在非法调用API访问资源，从而降低了API调用的安全性。

发明内容

本公开提出的API的调用方法/装置/设备及存储介质，用于解决相关技术API调用的方法安全性低的技术问题。

第一方面，本公开实施例提供一种API的调用方法，其特征在于，由API开放功能实体执行，包括：

接收API调用实体发送的API调用请求，其中，所述API调用请求中包括API调用信息和用户资源访问令牌；

根据所述API调用信息和所述用户资源访问令牌进行API调用验证。

本公开提供的API的调用方法中，API开放功能实体会接收API调用实体发送的API调用请求，其中，API调用请求中包括API调用信息和用户资源访问令牌，之后，根据API调用信息和用户资源访问令牌进行API调用验证。由此可知，本公开提供的方法中，API开放功能实体可以通过用户资源访问令牌进行API调用验证，也即是API开放功能实体可以利用用户资源访问令牌中的用户资源访问信息进行API调用验证，则避免出现“未经资源所有者授权直接访问用户资源”这一情形，从而提高了API调用的安全性。

第二方面，本公开实施例提供一种API的调用方法，由API调用实体执行，包括：

向API开放功能实体发送API调用请求，其中，所述API调用请求中包括API调用信息和用户资源访问令牌。

第三方面，本公开实施例提供一种通信装置，该装置被配置在API开放功能实体中，包括：

接收模块，用于接收API调用实体发送的API调用请求，其中，所述API调用请求中包括API调用信息和用户资源访问令牌；

调用验证模块，用于根据所述API调用信息和所述用户资源访问令牌进行API调用验证。

第四方面，本公开实施例提供一种API的调用方法，该装置被配置在API调用实体中，包括：

发送模块，用于向API开放功能实体发送API调用请求，其中，所述API调用请求中包括API调用信息和用户资源访问令牌。

第五方面，本公开实施例提供一种通信装置，该通信装置包括处理器，当该处理器调用存储器中的计算机程序时，执行上述第一方面所述的方法。

第六方面，本公开实施例提供一种通信装置，该通信装置包括处理器，当该处理器调用存储器中的计算机程序时，执行上述第二方面所述的方法。

第七方面，本公开实施例提供一种通信装置，该通信装置包括处理器和存储器，该存储器中存储有计算机程序；所述处理器执行该存储器所存储的计算机程序，以使该通信装置执行上述第一方面所述的方法。

第八方面，本公开实施例提供一种通信装置，该通信装置包括处理器和存储器，该存储器中存储有计算机程序；所述处理器执行该存储器所存储的计算机程序，以使该通信装置执行上述第二方面所述的方法。

第九方面，本公开实施例提供一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第一方面所述的方法。

第十方面，本公开实施例提供一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第二方面所述的方法。

第十一方面，本公开实施例提供一种通信***，该***包括第三方面所述的通信装置至第四方面所述的通信装置，或者，该***包括第五方面所述的通信装置至第六方面所述的通信装置，或者，该***包括第七方面所述的通信装置至第八方面所述的通信装置，或者，该***包括第九方面所述的通信装置至第十方面所述的通信装置。

第十二方面，本发明实施例提供一种计算机可读存储介质，用于储存为上述网络设备所用的指令，当所述指令被执行时，使所述终端设备执行上述第一方面至第二方面的任一方面所述的方法。

第十三方面，本公开还提供一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面至第二方面的任一方面所述的方法。

第十四方面，本公开提供一种芯片***，该芯片***包括至少一个处理器和接口，用于支持网络设备实现第一方面至第二方面的任一方面所述的方法所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中，所述芯片***还包括存储器，所述存储器，用于保存源辅节点必要的计算机程序和数据。该芯片***，可以由芯片构成，也可以包括芯片和其他分立器件。

第十五方面，本公开提供一种计算机程序，当其在计算机上运行时，使得计算机执行上述第一方面至第二方面的任一方面所述的方法。

附图说明

本公开上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本公开实施例提供的一种通信***的架构示意图；

图2为本公开另一个实施例所提供的API的调用方法的流程示意图；

图3为本公开再一个实施例所提供的API的调用方法的流程示意图；

图4为本公开又一个实施例所提供的API的调用方法的流程示意图；

图5为本公开另一个实施例所提供的API的调用方法的流程示意图；

图6为本公开再一个实施例所提供的API的调用方法的流程示意图；

图7为本公开又一个实施例所提供的API的调用方法的流程示意图；

图8为本公开一个实施例所提供的API的调用方法的流程示意图；

图9为本公开另一个实施例所提供的API的调用方法的流程示意图；

图10为本公开再一个实施例所提供的API的调用方法的流程示意图；

图11为本公开又一个实施例所提供的API的调用方法的流程示意图；

图12为本公开另一个实施例所提供的API的调用方法的流程示意图；

图13为本公开再一个实施例所提供的API的调用方法的交互流程图；

图14为本公开一个实施例所提供的通信装置的结构示意图；

图15为本公开另一个实施例所提供的通信装置的结构示意图；

图16是本公开一个实施例所提供的一种用户设备的框图；

图17为本公开一个实施例所提供的一种网络侧设备的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”及“若”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面详细描述本公开的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的要素。下面通过参考附图描述的实施例是示例性的，旨在用于解释本公开，而不能理解为对本公开的限制。

为了便于理解，首先介绍本申请涉及的术语。

1、通用应用编程接口框架(Common Application Programming Interface Framework，CAPIF)

CAPIF包括API调用实体、通用API框架核心功能(Common API FrameworkCore Function，CCF)、API开放功能(API Exposing Function，AEF)等，其中，AEF可以提供一个或者多个API。

API调用实体通常会从CCF中获取到提供API的AEF的信息，直接访问提供API的AEF。

为了更好的理解本公开实施例公开的一种API的调用方法，下面首先对本公开实施例适用的通信***进行描述。

请参见图1，图1为本公开实施例提供的一种通信***的架构示意图。该通信***可包括但不限于一个网络设备和一个终端设备，图1所示的设备数量和形态仅用于举例并不构成对本公开实施例的限定，实际应用中可以包括两个或两个以上的网络设备，两个或两个以上的终端设备。图1所示的通信***以包括一个终端设备11、一个核心网设备12为例。

需要说明的是，本公开实施例的技术方案可以应用于各种通信***。例如：长期演进(long term evolution，LTE)***、第五代(5th generation，5G)移动通信***、5G新空口(new radio，NR)***，或者其他未来的新型移动通信***等。

本公开实施例中的核心网设备12是部署在核心网中的设备，核心网设备12的功能主要是提供用户连接、对用户的管理以及对业务完成承载，作为承载网络提供到外部网络的接口。例如，5G NR***中的核心网设备可以包括接入和移动性管理功能(Access and Mobility Management Function，AMF)网元、用户平面功能(User Plane Function，UPF)网元和会话管理功能(Session Management Function，SMF)网元等。

示例性的，本申请实施例中的核心网设备12可以包括位置管理功能网元。可选地，位置管理功能网元包括位置服务器(location server)，位置服务器可以实现为以下任意一项：LMF(Location Management Function，位置管理网元)、E SMLC(Enhanced Serving Mobile Location Centre，增强服务的流动定位中心)、SUPL(Secure User Plane Location，安全用户平面定位)、SUPL SLP(SUPL Location Platform，安全用户平面定位定位平台)。

本公开实施例中的终端设备11是用户侧的一种用于接收或发射信号的实体，如手机。终端设备也可以称为终端设备(terminal)、用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端设备(mobile terminal，MT)等。终端设备可以是具备通信功能的汽车、智能汽车、手机(mobile phone)、穿戴式设备、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端设备、无人驾驶(self-driving)中的无线终端设备、远程手术(remote medical surgery)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city)中的无线终端设备、智慧家庭(smart home)中的无线终端设备等等。本公开的实施例对终端设备所采用的具体技术和具体设备形态不做限定。

可以理解的是，本公开实施例描述的通信***是为了更加清楚的说明本公开实施例的技术方案，并不构成对于本公开实施例提供的技术方案的限定，本领域普通技术人员可知，随着***架构的演变和新业务场景的出现，本公开实施例提供的技术方案对于类似的技术问题，同样适用。

其中，在本公开的一个实施例中，SNAAPP安全性研究的目标之一是获得资源所有者的授权，在TS22.261规定，“允许UE(User Equipment，用户设备)提供/撤销对与第三方共享的信息(例如，位置、存在)的同意”。基于此，API调用实体要调用特定的服务API来获取/修改/设置特定的用户资源(例如位置、QoS)，在API调用过程中应同时使用用户资源授权信息和API授权信息。为满足上述“在API调用过程中应同时使用用户资源授权信息和API授权信息”这个条件，本公开提出了一种API的调用方法。

下面参考附图对本公开实施例所提供的API的调用方法/装置/设备及存储介质进行详细描述。

图2为本公开实施例所提供的一种API的调用方法的流程示意图，其中，该方法由API开放功能实体执行，如图2所示，该API的调用方法可以包括以下步骤：

步骤201、接收API调用实体发送的API调用请求，API调用请求中包括API调用信息和用户资源访问令牌。

其中，在本公开的一个实施例中，上述API调用实体可以是UE或AF(Application Function，应用功能)。并且，在本公开的另一个实施例中，上述API开放功能实体可以是AEF。

以及，在本公开的一个实施例中，上述API调用信息可以包括以下中的至少一项：

API调用实体的第一身份标识；

第一资源所有者身份标识(如GPSI(Generic Public Subscription Identifier，通用公共订阅标识符)或者IMSI(International Mobile Subscriber Identity，国际移动用户识别码)，或者应用层ID(Identity，序号))；

需要调用的服务API标识符；

需要调用的服务标识符；

需要访问的用户资源标识符(如位置)。

进一步地，在本公开的一个实施例中，上述用户资源访问令牌可以包括以下一项或多项：

CAPIF(Common Application Programming Interface Framework，通用应用编程接口框架)核心功能身份(如NF(Network Function，网络功能)instance(实例)ID或者NF ID)；

授权功能身份(如NF instance ID或者NF ID)；

API开放功能实体的第一身份标识(如NF instance ID或者NF ID)；

API调用实体的第二身份标识；

第二资源所有者身份标识(如GPSI(Generic Public Subscription Identifier，通用公共订阅标识符)或者IMSI(International Mobile Subscriber Identity，国际移动用户识别码)，或者应用层ID)；

用户资源标识符(如位置)；

过期时间。

其中，在本公开的一个实施例中，上述服务标识符可以包括以下至少一种：

服务名称标识符(Service Name)；

服务操作标识符(Service Operation)；

操作语义标识(Operation Semantics)。

以及，在本公开的一个实施例中，API开放功能实体接收API调用实体发送的API调用请求之前，需要与API调用实体进行相互身份认证，并在进行相互身份认证后建立安全连接，以保证交互过程的安全。以及，在本公开的一个实施例中，API调用实体与API开放功能实体进行相互身份认证后，API调用实体会有认证后的身份标识，以便后续API开放功能实体对API调用实体进行身份认证。其中，关于建立网络连接的过程会在后续实施例中进行详细介绍。

在本公开的一个实施例中，用户资源访问信息可以包括第二资源所有者身份标识，和/或用户资源标识符。关于上述API调用信息中的API调用实体的第一身份标识、第一资源所有者身份标识与用户资源访问令牌中的API调用实体的第二身份标识、第二资源所有者身份标识会在后续实施例中进行详细介绍。

步骤202、根据API调用信息和用户资源访问令牌进行API调用验证。

其中，在本公开的一个实施例中，根据API调用信息和用户资源访问令牌进行API调用验证时，可以根据API调用信息和用户资源访问令牌对API调用请求进行用户资源访问验证和API调用验证，并且当用户资源访问验证和API调用验证均通过时，判断API调用请求通过验证。

以及，在本公开的一个实施例中，当API调用请求中内容不同时，上述根据API调用信息和用户资源访问令牌进行API调用验证的方法也有所不同。关于这部分内容会在后续实施例中进行详细介绍。

综上所述，在本公开实施例提供的API的调用方法中，API开放功能实体会接收API调用实体发送的API调用请求，其中，API调用请求中包括API调用信息和用户资源访问令牌，之后，根据API调用信息和用户资源访问令牌进行API调用验证。由此可知，本公开提供的方法中，API开放功能实体可以通过用户资源访问令牌进行API调用验证，也即是API开放功能实体可以利用用户资源访问令牌中的用户资源访问信息进行API调用验证，则避免出现“未经资源所有者授权直接访问用户资源”这一情形，从而提高了API调用的安全性。

图3为本公开实施例所提供的一种API的调用方法的流程示意图，该方法由API开放功能实体执行，如图3所示，该API的调用方法可以包括以下步骤：

步骤301、接收API调用实体发送的API调用请求，其中，API调用请求中包括API调用信息和用户资源访问令牌。

步骤302、根据用户资源访问令牌对API调用请求进行用户资源访问验证。

其中，在本公开的一个实施例中，API开放功能实体根据用户资源访问令牌对API调用请求进行用户资源访问验证的方法可以包括：对用户资源访问令牌进行有效性校验，确定用户资源访问令牌有效后，根据用户资源访问令牌对API调用请求进行用户资源访问验证。

具体的，在本公开的一个实施例中，API开放功能实体对用户资源访问令牌进行有效性校验的方法可以包括：验证用户资源访问令牌的有效性(即令牌是否被篡改)，若用户资源令牌无效，说明用户资源访问令牌已被篡改，则API开放功能实体终止后续验证，确定未通过用户资源访问验证；若用户资源访问令牌有效，说明用户资源访问令牌未被篡改，则完成对用户资源访问令牌的有效性校验，确定用户资源访问令牌有效。

其中，在本公开的一个实施例中，上述API开放功能实体验证用户资源访问令牌的有效性的方法可以包括：若用户资源访问令牌是JSONWeb令牌，则API开放功能实体使用CAPIF核心功能/授权功能的公钥来验证令牌是否有效(即令牌是否被篡改)；若用户资源访问令牌不是JSON Web令牌，则API开放功能实体会将用户资源访问令牌发送到CAPFI核心功能/授权功能，并接收CAPIF核心功能/授权功能的指示，若接收CAPIF核心功能/授权功能指示用户资源访问令牌有效，则确定用户资源访问令牌有效；否则，确定用户资源访问令牌无效。

需要说明的是，在本公开的一个实施例中，上述对用户资源访问令牌的有效性进行校验的过程中，验证了用户资源访问令牌的有效性，从而通过上述校验方法确保接收到的用户资源访问令牌中的信息是可用的。

进一步地，在本公开的一个实施例中，确定用户资源访问令牌有效后，上述API开放功能实体还需要根据用户资源访问令牌对API调用请求进行用户资源访问验证。

其中，在本公开的一个实施例中，用户资源访问令牌中的第二资源所有者身份标识和/或用户资源标识符为API调用实体可以访问的用户资源访问信息，基于此，需要利用资源访问令牌中API调用实体可以访问的信息与API调用信息中API调用实体要访问的信息进行比较，从而确定API调用请求是否通过用户资源访问验证。

以及，在本公开的一个实施例中，根据用户资源访问令牌对API调用请求进行用户资源访问验证的方法可以包括：确定用户资源访问令牌与API调用信息中对应相同标识的值是否相同，若对应相同标识的值均相同，则确定API调用请求通过用户资源访问验证；否则，确定API调用请求未通过用户资源访问验证，以及API开放功能实体终止后续验证，。

具体的，在本公开的一个实施例中，若API调用信息中的API调用实体的第一身份标识和用户资源访问令牌中的API调用实体的第二身份标识，与该API调用实体身份认证后的标识不相同，和/或，无法映射到API调用实体身份认证后的标识，则API开放功能实体终止后续验证，确定API调用请求未通过用户资源访问验证；否则，若API调用信息中的第一资源所有者身份标识与用户资源访问令牌中的第二资源所有者身份标识不相同，则API开放功能实体终止后续验证，确定API调用请求未通过用户资源访问验证；否则，若API调用信息中的需要访问的用户资源标识符与用户资源访问令牌中的用户资源标识符不相同，则API开放功能实体终止后续验证，确定API调用请求未通过用户资源访问验证；否则，若用户资源访问令牌中的API开放功能实体的第一身份标识与API开放功能实体的身份标识不相同，和/或，无法映射到API开放功能实体的身份标识，则API开放功能实体终止后续验证，确定API调用请求未通过用户资源访问验证；否则，确认API调用请求通过用户资源访问验证。

其中，在本公开的一个实施例中，通过上述内容可知，确定用户资源访问令牌有效后，API开放功能实体会首先对API调用实体进行身份验证，并当API调用信息中API调用实体的第一身份标识以及用户资源访问令牌中的API调用实体的第二身份标识，与API调用实体认证后的身份标识一致，或者可以映射到认证后的身份标识，才会继续后续验证；否则，API开放功能实体终止后续验证，确定API调用请求未通过用户资源访问验证，从而确定了API调用实体的身份，避免了未经身份认证的API调用实体进行API调用，保证了API调用的安全性。

以及，在本公开的一个实施例中，通过上述内容可知，API调用信息中的API调用实体的第一身份标识、第一资源所有者身份标识是为了与用户资源访问令牌中的API调用实体的第二身份标识、第二资源所有者身份标识进行比对，从而进一步确定用户资源访问令牌中的信息可用。

以及，在本公开的一个实施例中，若确认API调用请求通过用户资源访问验证，则说明授权API调用实体访问用户资源；若确认API调用请求未通过用户资源访问验证，则说明未授权API调用实体访问用户资源。

步骤303、通过调用CAPIF核心功能或授权功能对API调用请求进行API调用验证。

其中，在本公开的一个实施例中，上述用户资源访问令牌中仅包括用户资源访问信息(如第二资源所有者身份标识和/或用户资源标识符)，并不包括API使用信息(如服务API标识符和/或服务标识符)。基于此，API开放功能实体无法根据用户资源访问令牌确定API调用实体可以调用的API使用信息，从而无法根据用户资源访问令牌对API调用请求进行API调用验证，此时需要通过调用CAPIF核心功能或授权功能对API调用请求进行API调用验证。

具体的，在本公开的一个实施例中，通过调用CAPIF核心功能或授权功能对API调用请求进行API调用验证的方法可以包括：API开放功能实体将API调用信息中的API调用实体的第一身份标识和需要调用的服务API标识符/需要调用的服务标识符发送至CCF/AF(Authorization function，授权功能)进行API授权，从而根据接收到的CCF/AF发送的响应确定API调用请求是否通过API调用验证。其中，若接收到的CCF/AF发送的授权响应，则确定API调用请求通过API调用验证；否则，确定API调用请求未通过API调用验证。

以及，在本公开的一个实施例中，若确认API调用请求通过API调用验证，则说明授权API调用实体调用服务API和/或服务；若确认API调用请求未通过API调用验证，则说明未授权API调用实体调用服务API和/或服务。

步骤304、当用户资源访问验证和API调用验证均通过时，判断API调用请求通过验证。

其中，在本公开的一个实施例中，当用户资源访问验证和API调用验证均通过时，判断API调用请求通过验证，此时确定授权API调用实体访问用户资源和调用服务API和/或服务；否则，判断API调用请求未通过验证，此时确定未授权API调用实体访问用户资源和/或调用服务API和/或服务。

综上所述，在本公开实施例提供的API的调用方法中，API开放功能实体会接收API调用实体发送的API调用请求，其中，API调用请求中包括API调用信息和用户资源访问令牌，之后，根据API 调用信息和用户资源访问令牌进行API调用验证。由此可知，本公开提供的方法中，API开放功能实体可以通过用户资源访问令牌进行API调用验证，也即是API开放功能实体可以利用用户资源访问令牌确定是否授权API调用实体访问用户资源和调用服务API，则避免出现“未经资源所有者授权直接访问用户资源”这一情形，从而提高了API调用的安全性。

图4为本公开实施例所提供的一种API的调用方法的流程示意图，该方法由API开放功能实体执行，如图4所示，该API的调用方法可以包括以下步骤：

步骤401、接收API调用实体发送的API调用请求，API调用请求中包括API调用信息和用户资源访问令牌，用户资源访问令牌中包括服务API标识符和服务标识符。

步骤402、根据用户资源访问令牌对API调用请求进行用户资源访问验证和API调用验证。

其中，在本公开的一个实施例中，API开放功能实体根据用户资源访问令牌对API调用请求进行用户资源访问验证和API调用验证的方法可以包括：对用户资源访问令牌进行有效性校验，确定用户资源访问令牌有效后，根据用户资源访问令牌对API调用请求进行用户资源访问验证和API调用验证。

关于API开放功能实体对用户资源访问令牌进行有效性校验的方法可以参考上述实施例中相关介绍，本公开实施例在此不做赘述。

以及，在本公开的一个实施例中，本实施例与上述实施例的区别在于，本实施例中用户资源访问令牌除了包括上述信息外，还包括：服务API标识符和/或服务标识符，其中用户资源访问令牌中的服务API标识符和/或服务标识符为API调用实体可以访问的API使用信息。

由此，本实施例中，用户资源访问令牌中用户资源访问信息和API使用信息。基于此，API开放功能实体确定用户资源访问令牌有效后，可以根据用户资源访问令牌对API调用请求进行用户资源访问验证和API调用验证。

具体的，在本公开的一个实施例中，根据用户资源访问令牌对API调用请求进行用户资源访问验证和API调用验证的方法可以包括：确定用户资源访问令牌与API调用信息中对应相同标识的值是否相同，若对应相同标识的值均相同，则确定API调用请求通过用户资源访问验证和API调用验证；否则，确定API调用请求未通过用户资源访问验证或API调用验证，则API开放功能实体终止后续验证。

以及，在本公开的一个实施例中，若API调用信息中的需要调用的服务API标识符与用户资源访问令牌中的服务API标识符不相同，则API开放功能实体终止后续验证，确定API调用请求未通过API调用验证；否则，若API调用信息中的需要调用的服务标识符与用户资源访问令牌中的服务API操作符不相同，则API开放功能实体终止后续验证，确定API调用请求未通过API调用验证；否则，确定API调用请求通过API调用验证。

步骤403、当用户资源访问验证和所述API调用验证均通过时，判断API调用请求通过验证。

关于步骤403的详细介绍可以参考上述实施例中的相关介绍，本公开实施例在此不做赘述。

综上所述，在本公开实施例提供的API的调用方法中，API开放功能实体会接收API调用实体发送的API调用请求，其中，API调用请求中包括API调用信息和用户资源访问令牌，之后，根据API调用信息和用户资源访问令牌进行API调用验证。由此可知，本公开提供的方法中，API开放功能实体可以通过用户资源访问令牌进行API调用验证，也即是API开放功能实体可以利用用户资源访问令牌确定是否授权API调用实体访问用户资源和调用服务API，则避免出现“未经资源所有者授权直接访问用户资源”这一情形，从而提高了API调用的安全性。

图5为本公开实施例所提供的一种API的调用方法的流程示意图，该方法由API开放功能实体执行，如图5所示，该API的调用方法可以包括以下步骤：

步骤501、接收API调用实体发送的API调用请求，API调用请求中包括API调用信息、用户资源访问令牌和API访问令牌。

其中，在本公开的一个实施例中，上述API访问令牌可以包括以下一项或多项：

API调用实体的第三身份标识；

API开放功能实体的第二身份标识；

用户资源标识符；

服务API标识符；

服务标识符。

其中，在本公开的一个实施例中，上述用户资源访问令牌和API访问令牌可以属于不同令牌或者同属于一个令牌。

步骤502、根据用户资源访问令牌对API调用请求进行用户资源访问验证。

关于步骤502的详细介绍可以参考上述实施例中的相关介绍，本公开实施例在此不做赘述。

步骤503、根据API访问令牌对API调用请求进行API调用验证。

其中，在本公开的一个实施例中，API开放功能实体根据API访问令牌对API调用请求进行API调用验证的方法可以包括：对API访问令牌进行有效性校验，确定API访问令牌有效后，根据API访问令牌对API调用请求进行API调用验证。

具体的，在本公开的一个实施例中，API开放功能实体对API访问令牌进行有效性校验的方法可以包括：验证API访问令牌的有效性(即令牌是否被篡改)，若API访问令牌无效，说明API访问令牌已被篡改，则API开放功能实体终止后续验证，确定未通过API调用验证；若API访问令牌有效，说明API访问令牌未被篡改，则完成对API访问令牌的有效性校验，确定API访问令牌有效。

其中，在本公开的一个实施例中，上述API开放功能实体验证API访问令牌的有效性的方法可以包括：若API访问令牌是JSON Web令牌，则API开放功能实体使用CAPIF核心功能/授权功能的公钥来验证API访问令牌是否有效；若API访问令牌不是JSON Web令牌，则API开放功能实体会将API访问令牌发送到CAPFI核心功能/授权功能，并接收CAPIF核心功能/授权功能的指示，若接收CAPIF核心功能/授权功能指示API访问令牌有效，则确定API访问令牌有效；否则，确定API访问令牌无效。

以及，在本公开的一个实施例中，当上述用户资源访问令牌和API访问令牌属于不同令牌时，API调用实体向API开放功能实体发送用户资源访问令牌和API访问令牌后，API开放功能实体需要对用户资源访问令牌和API访问令牌均进行认证。

在本公开的另一个实施例中，当上述用户资源访问令牌和API访问令牌同属于一个令牌时，API调用实体向API开放功能实体发送用户资源访问令牌和API访问令牌后，API开放功能实体需要仅需对用户资源访问令牌和API访问令牌同属的令牌进行有效性校验。关于有效性校验的方法可以参考上述实施例中的相关描述。

进一步地，在本公开的一个实施例中，确定API访问令牌有效后，上述API开放功能实体还需要根据API访问令牌对API调用请求进行API调用验证。

其中，在本公开的一个实施例中，API访问令牌中的服务API标识符和/或服务标识符为API调用实体可以调用的API使用信息，以及用户资源标识符为API调用实体可以访问的用户资源访问信息，基于此，需要利用API访问令牌中API调用实体可以调用的API使用信息和用户资源访问信息与API调用信息中API调用实体要调用的API使用信息和用户资源访问信息进行比较，从而确定API调用请求是否通过API调用验证。

以及，在本公开的一个实施例中，根据API访问令牌对调用请求进行用户资源访问验证的方法可以包括：确定API访问令牌与API调用信息中对应相同标识的值是否相同，若对应相同标识的值均相同，则确定API调用请求通过API调用验证；否则，确定API调用请求未通过API调用验证，以及API开放功能实体终止后续验证。

具体的，在本公开的一个实施例中，若API调用信息中的API调用实体的第一身份标识和API访问令牌中的API调用实体的第三身份标识，与该API调用实体身份认证后的标识不相同，或者，无法映射到API调用实体身份认证后的标识，则API开放功能实体终止后续验证，确定API调用请求未通过API调用验证；否则，若API调用信息中的需要调用的服务API标识符与API访问令牌中的服务API标识符不相同，则API开放功能实体终止后续验证，确定API调用请求未通过API调用验证；否则，若API调用信息中的需要调用的服务标识符与API访问令牌中的服务标识符不相同，则API开放功能实体终止后续验证，确定API调用请求未通过API调用验证；否则，若API访问令牌中的API开放功能实体的第二身份标识与API开放功能实体的身份标识不相同，和/或，无法映射到API开放功能实体的身份标识，则API开放功能实体终止后续验证，确定API调用请求未通过API调用验证；否则，若API调用信息中的需要访问的用户资源标识符与API访问令牌中的用户资源标识符不相同，则API开放功能实体终止后续验证，确定API调用请求未通过API调用验证；否则，确定API调用请求通过API调用验证。

步骤504、当用户资源访问验证和API调用验证均通过时，判断API调用请求通过验证。

关于步骤504的详细介绍可以参考上述实施例中的相关介绍，本公开实施例在此不做赘述。

图6为本公开实施例所提供的一种API的调用方法的流程示意图，该方法由API开放功能实体执行，如图6所示，该API的调用方法可以包括以下步骤：

步骤601、向API调用实体发送API调用响应。

其中，在本公开的一个实施例中，API开放功能实体可以根据上述实施例中得到的API调用验证的结果，向API调用实体发送API调用响应。

具体的，在本公开的一个实施例中，当确定API调用请求通过验证时，说明API调用实体被授权访问用户资源和调用服务API和/或服务，则API开放功能实体向API调用实体发送授权API调用响应；当确定API调用请求未通过验证时，说明API调用实体未被授权访问用户资源和/或调用服务API和/或服务，则API开放功能实体向API调用实体发送拒绝/终止API调用响应。

以及，在本公开的一个实施例中，API开放功能实体向API调用实体发送API调用响应后，API调用实体可根据接收到的API调用响应进行进行操作。

图7为本公开实施例所提供的一种API的调用方法的流程示意图，该方法由API开放功能实体执行，如图7所示，该API的调用方法可以包括以下步骤：

步骤701、与API调用实体进行相互身份认证。

其中，在本公开的一个实施例中，通过以下任一认证机制与API调用实体进行相互身份认证：

TLS-PSK(Transport Layer Security-Pre-Shared Key，安全传输层协议-预共享密钥)；

PKI(Public Key Infrastructure，公钥基础设施)；

Oauth(Open Authorization，开放授权)协议证书；

基于GBA(General Bootstrapping Architecture，通用认证机制)的认证机制；

基于AKMA(Application layer Authentication and Key Management，应用层鉴权和密钥管理)的认证机制；

基于证书的认证机制。

步骤702、响应于身份认证成功，建立与API调用实体之间的安全连接。

其中，在本公开的一个实施例中，响应于身份认证成功，可以通过TLS(Transport Layer Security，传输层安全)建立与API调用实体之间的安全连接。

以及，在本公开的一个实施例中，在与API调用实体建立安全连接之后，API开放功能实体可以通过安全连接与API调用实体进行交互，如接收API调用实体发送的API调用请求，或者，向API调用实体发送API调用响应。

此外，关于本实施例的其他详细内容可以参考上述实施例描述。

图8为本公开实施例所提供的一种API的调用方法的流程示意图，该方法由API调用实体执行，如图8所示，该API的调用方法可以包括以下步骤：

步骤801、向API开放功能实体发送API调用请求，API调用请求中包括API调用信息和用户资源访问令牌。

其中，在本公开的一个实施例中，上述API调用实体可以是UE或AF。

以及，在本公开的一个实施例中，上述API调用信息可以包括以下一项或多项：

API调用实体的第一身份标识；

第一资源所有者身份标识(如GPSI或者IMSI，或者应用层ID)；

需要调用的服务API标识符；

需要调用的服务标识符；

需要访问的用户资源标识符(如位置)。

CAPIF核心功能身份(如NF instance ID或者NF ID)；

授权功能身份(如NF instance ID或者NF ID)；

API开放功能实体的身份标识(如NF instance ID、NF ID)；

API调用实体的第二身份标识；

第二资源所有者身份标识(如GPSI或者IMSI，或者应用层ID)；

用户资源标识符(如位置)；

过期时间。

进一步地，在本公开的一个实施例中，API调用实体向API开放功能实体发送API调用请求之后，API开放功能实体可以根据API调用信息和用户资源访问令牌进行API调用验证。

关于本实施例的其他详细内容可以参考上述实施例描述。

综上所述，在本公开实施例提供的API的调用方法中，API调用实体向API开放功能实体发送API调用请求，API调用请求中包括API调用信息和用户资源访问令牌。由此可知，本公开提供的方法中，API开放功能实体可以通过用户资源访问令牌进行API调用验证，也即是API开放功能实体可以利用用户资源访问令牌确定是否授权API调用实体访问用户资源和调用服务API，则避免出现“未经资源所有者授权直接访问用户资源”这一情形，从而提高了API调用的安全性。

图9为本公开实施例所提供的一种API的调用方法的流程示意图，该方法由API调用实体执行，如图9所示，该API的调用方法可以包括以下步骤：

步骤901、向API开放功能实体发送API调用请求，API调用请求中包括API调用信息和用户资源访问令牌，用户资源访问令牌中包括服务API标识符和服务标识符。

在本公开的一个实施例中，本实施例与上述图8的实施例的区别在于，本实施例中用户资源访问令牌除了包括上述信息外，还包括：服务API标识符和/或服务标识符。

由此，本实施例中用户资源访问令牌包括的内容与图8实施例中用户资源访问令牌包括的内容不同，基于此，后续API开放功能实体根据API调用信息和用户资源访问令牌进行API调用验证的方法也有所不同。关于这部分内容的详细介绍可以参考上述实施例中的相关介绍，本公开实施例在此不做赘述。

综上所述，在本公开实施例提供的API的调用方法中，API调用实体会向API开放功能实体发送API调用请求，API调用请求中包括API调用信息和用户资源访问令牌。由此可知，本公开提供的方法中，API开放功能实体可以通过用户资源访问令牌进行API调用验证，也即是API开放功能实体可以利用用户资源访问令牌确定是否授权API调用实体访问用户资源和调用服务API，则避免出现“未经资源所有者授权直接访问用户资源”这一情形，从而提高了API调用的安全性。

图10为本公开实施例所提供的一种API的调用方法的流程示意图，该方法由API调用实体执行，如图10所示，该API的调用方法可以包括以下步骤：

步骤1001、向API开放功能实体发送API调用请求，API调用请求中包括API调用信息、用户资源访问令牌和API访问令牌。

API调用实体的第三身份标识；

服务API标识符；

服务标识符。

以及，在本公开的一个实施例中，上述用户资源访问令牌和API访问令牌可以属于不同令牌或者同属于一个令牌。

其中，在本公开的一个实施例中，当上述用户资源访问令牌和API访问令牌属于不同令牌时，API调用实体向API开放功能实体发送用户资源访问令牌和API访问令牌后，API开放功能实体需要对用户资源访问令牌和API访问令牌均进行认证。

以及，在本公开的一个实施例中，当上述用户资源访问令牌和API访问令牌同属于一个令牌时，API调用实体向API开放功能实体发送用户资源访问令牌和API访问令牌后，API开放功能实体需要仅需对用户资源访问令牌和API访问令牌同属的令牌进行认证。以及，关于这部分内容的详细介绍可以参考上述实施例中的相关介绍，本公开实施例在此不做赘述。

图11为本公开实施例所提供的一种API的调用方法的流程示意图，该方法由API调用实体执行，如图11所示，该API的调用方法可以包括以下步骤：

步骤1101、接收API开放功能实体发送的API调用响应。

其中，在本公开的一个实施例中，API调用实体向API开放功能实体发送API调用请求之后，API开放功能实体可以根据接收到API调用信息和用户资源访问令牌对API调用请求进行API调用验证，并根据验证结果确定API调用响应。

具体的，在本公开的一个实施例中，当API调用请求未通过API调用验证，则API调用实体接收 API开放功能实体发送的拒绝/终止API调用响应。以及，在本公开的另一个实施例中，当API调用请求通过API调用验证，则API调用实体接收API开放功能实体发送的授权API调用响应。

其中，在本公开的一个实施例中，当接收API开放功能实体发送的API调用响应为拒绝/终止API调用响应，则API调用实体不能调用对应的服务API和/或服务。

以及，在本公开的一个实施例中，当将收API开放功能实体发送的API调用响应为授权API调用响应，则API调用实体可以调用对应的服务API和/或服务。

图12为本公开实施例所提供的一种API的调用方法的流程示意图，该方法由API调用实体执行，如图12所示，该API的调用方法可以包括以下步骤：

步骤1201、与API开放功能实体进行相互身份认证。

其中，在本公开的一个实施例中，通过以下任一认证机制与API开放功能实体进行相互身份认证：

TLS-PSK；

PKI；

OAuth协议证书；

基于GBA的认证机制；

基于AKMA的认证机制；

基于证书的认证机制。

步骤1202、响应于身份认证成功，建立与API开放功能实体之间的安全连接。

其中，在本公开的一个实施例中，响应于身份认证成功，可以通过TLS建立与API开放功能实体之间的安全连接。

以及，在本公开的一个实施例中，在API调用实体与API开放功能实体建立安全连接之后，API调用实体可以通过安全连接与API开放功能实体进行交互，如向API开放功能实体发送API调用请求，或者，接收API开放功能实体发送的API调用响应。

基于上述描述，图13为本公开一个实施例提供的一种API的调用方法的交互流程图，如图13所示，具体可以包括以下步骤：

步骤1301、API调用者(即上述API调用实体)与AEF(即上述API开放功能实体)进行相互认证(即上述身份认证)。

步骤1302、API调用实体向AEF发送服务API调用请求(即上述API调用请求)。

步骤1303、AEF进行API调用请求授权验证。

步骤1304、AEF通过CAPIF核心功能/授权功能进行API调用请求授权和授权验证。

步骤1305、AEF向API调用实体发送服务API调用响应(即上述API调用响应)。

图14为本公开实施例所提供的一种通信装置的结构示意图，如图15所示，装置可以包括：

接收模块1401，用于接收API调用实体发送的API调用请求，其中，API调用请求中包括API调用信息和用户资源访问令牌；

验证模块1402，用于根据API调用信息和用户资源访问令牌进行API调用验证。

综上所述，在本公开实施例提供的通信装置中，API开放功能实体会接收API调用实体发送的API调用请求，其中，API调用请求中包括API调用信息和用户资源访问令牌，之后，根据API调用信息和用户资源访问令牌进行API调用验证。由此可知，本公开提供的方法中，API开放功能实体可以通过用户资源访问令牌进行API调用验证，也即是API开放功能实体可以利用用户资源访问令牌确定是否授权API调用实体访问用户资源和调用服务API，则避免出现“未经资源所有者授权直接访问用户资源”这一情形，从而提高了API调用的安全性。

可选的，在本公开的一个实施例中，API调用请求中还包括API访问令牌。

可选的，在本公开的一个实施例中，用户资源访问令牌和所述API访问令牌同属于一个令牌。

可选的，在本公开的一个实施例中，API调用信息包括以下一项或多项：

API调用实体的第一身份标识；

第一资源所有者身份标识；

需要调用的服务API标识符；

需要调用的服务标识符；

需要访问的用户资源标识符。

可选的，在本公开的一个实施例中，用户资源访问令牌包括以下一项或多项：

CAPIF核心功能身份；

授权功能身份；

所述API开放功能实体的身份标识；

所述API调用实体的第二身份标识；

第二资源所有者身份标识；

用户资源标识符；

过期时间。

可选的，在本公开的一个实施例中，用户资源访问令牌还包括：

服务API标识符；

服务标识符。

可选的，在本公开的一个实施例中，上述验证模块1402，还用于：

根据用户资源访问令牌对API调用请求进行用户资源访问验证；

通过调用CAPIF核心功能或授权功能对API调用请求进行API调用验证；

当用户资源访问验证和API调用验证均通过时，判断API调用请求通过验证。

根据用户资源访问令牌对API调用请求进行用户资源访问验证和API调用验证；

根据API访问令牌对API调用请求进行API调用验证；

可选的，在本公开的一个实施例中，上述装置，还用于：

向API调用实体发送API调用响应。

可选的，在本公开的一个实施例中，上述装置，还用于：

与所述API调用实体进行相互身份认证；

可选的，在本公开的一个实施例中，上述装置，还用于通过以下任一认证机制与API调用实体进行相互身份认证：

TLS-PSK；

PKI；

OAuth协议证书；

基于GBA的认证机制；

基于AKMA的认证机制；

基于证书的认证机制。

可选的，在本公开的一个实施例中，上述装置，还用于：

响应于身份认证成功，建立与API开放功能实体之间的安全连接。

图15为本公开实施例所提供的一种通信装置的结构示意图，如图15所示，装置可以包括：

发送模块1501，用于向API开放功能实体发送API调用请求，其中，API调用请求中包括API调用信息和用户资源访问令牌。

综上所述，在本公开实施例提供的通信装置中，API调用实体会向API开放功能实体发送API调用请求，API调用请求中包括API调用信息和用户资源访问令牌。由此可知，本公开提供的方法中，API开放功能实体可以通过用户资源访问令牌进行API调用验证，也即是API开放功能实体可以利用用户资源访问令牌确定是否授权API调用实体访问用户资源和调用服务API，则避免出现“未经资源所有者授权直接访问用户资源”这一情形，从而提高了API调用的安全性。

API调用实体的第一身份标识；

第一资源所有者身份标识；

需要调用的服务API标识符；

需要调用的服务标识符；

需要访问的用户资源标识符。

CAPIF核心功能身份；

授权功能身份；

API开放功能实体的身份标识；

API调用实体的第二身份标识；

第二资源所有者身份标识；

用户资源标识符；

过期时间。

服务API标识符；

服务标识符。

可选的，在本公开的一个实施例中，上述装置，还用于：

接收API开放功能实体发送的API调用响应。

可选的，在本公开的一个实施例中，上述装置，还用于：

与API开放功能实体进行相互身份认证；

可选的，在本公开的一个实施例中，上述装置，还用于通过以下任一认证机制与API开放功能实体进行相互身份认证：

TLS-PSK；

PKI；

OAuth协议证书；

基于GBA的认证机制；

基于AKMA的认证机制；

基于证书的认证机制。

可选的，在本公开的一个实施例中，上述装置，还用于：

请参见图16，图16是本申请实施例提供的一种通信装置1600的结构示意图。通信装置1600可以是网络设备，也可以是终端设备，也可以是支持网络设备实现上述方法的芯片、芯片***、或处理器等，还可以是支持终端设备实现上述方法的芯片、芯片***、或处理器等。该装置可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

通信装置1600可以包括一个或多个处理器1601。处理器1601可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对通信装置(如，基站、基带芯片，终端设备、终端设备芯片，DU或CU等)进行控制，执行计算机程序，处理计算机程序的数据。

可选的，通信装置1600中还可以包括一个或多个存储器1602，其上可以存有计算机程序1604，处理器1601执行所述计算机程序1604，以使得通信装置1600执行上述方法实施例中描述的方法。可选的，所述存储器1602中还可以存储有数据。通信装置1600和存储器1602可以单独设置，也可以集成在一起。

可选的，通信装置1600还可以包括收发器1605、天线1606。收发器1605可以称为收发单元、收发机、或收发电路等，用于实现收发功能。收发器1605可以包括接收器和发送器，接收器可以称为接收机或接收电路等，用于实现接收功能；发送器可以称为发送机或发送电路等，用于实现发送功能。

可选的，通信装置1600中还可以包括一个或多个接口电路1607。接口电路1607用于接收代码指令并传输至处理器1601。处理器1601运行所述代码指令以使通信装置1600执行上述方法实施例中描述的方法。

通信装置1600为终端设备：收发器1605用于执行图3中的步骤301-步骤302；图4中的步骤401至步骤402；图5中的步骤501至步骤503；图6a中的步骤601a至步骤603a；图6b中的步骤601b至步骤602b。处理器1601用于执行图2中的步骤201；图3中的步骤303-步骤304；图4中的步骤403；图5中的步骤504和步骤505；图6a中的步骤604a；图6b中的步骤603b；图7中的步骤701-步骤702。

通信装置1600为网络设备：收发器1605用于执行图11a中的步骤1102a。处理器1601用于执行图8中的步骤801；图9中的步骤901至步骤904；图10中的步骤1001至步骤1005；图11a中的步骤1101a；图11b中的步骤1101b和步骤1102b。

在一种实现方式中，处理器1601中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路，或者是接口，或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在一种实现方式中，处理器1601可以存有计算机程序1603，计算机程序1603在处理器1601上运行，可使得通信装置1600执行上述方法实施例中描述的方法。计算机程序1603可能固化在处理器1601中，该种情况下，处理器1601可能由硬件实现。

在一种实现方式中，通信装置1600可以包括电路，所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor，CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor，PMOS)、双极结型晶体管(bipolar junction transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的通信装置可以是网络设备或者终端设备，但本申请中描述的通信装置的范围并不限于此，而且通信装置的结构可以不受图16的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置可以是：

(1)独立的集成电路IC，或芯片，或，芯片***或子***；

(2)具有一个或多个IC的集合，可选的，该IC集合也可以包括用于存储数据，计算机程序的存储部件；

(3)ASIC，例如调制解调器(Modem)；

(4)可嵌入在其他设备内的模块；

(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等；

(6)其他设备。

对于通信装置可以是芯片或芯片***的情况，可参见图17所示的芯片的结构示意图。图17所示的芯片包括处理器1701和接口1702。其中，处理器1701的数量可以是一个或多个，接口1702的数量可以是多个。

可选的，芯片还包括存储器1703，存储器1703用于存储必要的计算机程序和数据。

本领域技术人员还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个***的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本申请实施例保护的范围。

本申请还提供一种可读存储介质，其上存储有指令，该指令被计算机执行时实现上述任一方法实施例的功能。

本申请还提供一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以理解：本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围，也表示先后顺序。

本申请中的至少一个还可以描述为一个或多个，多个可以是两个、三个、四个或者更多个，本申请不做限制。在本申请实施例中，对于一种技术特征，通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征，该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。

本申请中各表所示的对应关系可以被配置，也可以是预定义的。各表中的信息的取值仅仅是举例，可以配置为其他值，本申请并不限定。在配置信息与各参数的对应关系时，并不一定要求必须配置各表中示意出的所有对应关系。例如，本申请中的表格中，某些行示出的对应关系也可以不配置。又例如，可以基于上述表格做适当的变形调整，例如，拆分，合并等等。上述各表中标题示出参数的名称也可以采用通信装置可理解的其他名称，其参数的取值或表示方式也可以通信装置可理解的其他取值或表示方式。上述各表在实现时，也可以采用其他的数据结构，例如可以采用数组、队列、容器、栈、线性表、指针、链表、树、图、结构体、类、堆、散列表或哈希表等。

本申请中的预定义可以理解为定义、预先定义、存储、预存储、预协商、预配置、固化、或预烧制。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种应用程序接口API的调用方法，其特征在于，由API开放功能实体执行，所述方法包括：

接收所述API调用实体发送的API调用请求，其中，所述API调用请求中包括API调用信息和用户资源访问令牌；

根据所述API调用信息和所述用户资源访问令牌进行API调用验证。
如权利要求1所述的方法，其特征在于，所述API调用请求中还包括API访问令牌。
如权利要求2所述的方法，其特征在于，所述用户资源访问令牌和所述API访问令牌同属于一个令牌。
如权利要求1所述的方法，其特征在于，所述API调用信息包括以下一项或多项：

所述API调用实体的第一身份标识；

第一资源所有者身份标识；

需要调用的服务API标识符；

需要调用的服务标识符；

需要访问的用户资源标识符。
如权利要求1所述的方法，其特征在于，所述用户资源访问令牌包括以下一项或多项：

通用应用编程接口框架CAPIF核心功能身份；

授权功能身份；

所述API开放功能实体的身份标识；

所述API调用实体的第二身份标识；

第二资源所有者身份标识；

用户资源标识符；

过期时间。
如权利要求5所述的方法，其特征在于，所述用户资源访问令牌还包括：

服务API标识符；

服务标识符。
如权利要求1所述的方法，其特征在于，所述根据所述API调用信息和所述用户资源访问令牌进行API调用验证，包括：

根据所述用户资源访问令牌对所述API调用请求进行用户资源访问验证；

通过调用CAPIF核心功能或授权功能对所述API调用请求进行API调用验证；

当所述用户资源访问验证和所述API调用验证均通过时，判断所述API调用请求通过验证。
如权利要求6所述的方法，其特征在于，所述根据所述API调用信息和所述用户资源访问令牌进行API调用验证，包括：

根据所述用户资源访问令牌对所述API调用请求进行用户资源访问验证和API调用验证；

当所述用户资源访问验证和所述API调用验证均通过时，判断所述API调用请求通过验证。
如权利要求2所述的方法，其特征在于，所述根据所述API调用信息和所述用户资源访问令牌进行API调用验证，包括：

根据所述用户资源访问令牌对所述API调用请求进行用户资源访问验证；

根据所述API访问令牌对所述API调用请求进行API调用验证；

当所述用户资源访问验证和所述API调用验证均通过时，判断所述API调用请求通过验证。
如权利要求1所述的方法，其特征在于，所述方法还包括：

向所述API调用实体发送API调用响应。
如权利要求1所述的方法，其特征在于，所述方法还包括：

与所述API调用实体进行相互身份认证。
如权利要求11所述的方法，其特征在于，通过以下任一认证机制与所述API调用实体进行相互身份认证：

安全传输层协议-预共享密钥TLS-PSK；

公钥基础设施PKI；

OAuth协议证书；

基于通用认证机制GBA的认证机制；

基于应用层鉴权和密钥管理AKMA的认证机制；

基于证书的认证机制。
如权利要求11所述的方法，其特征在于，所述方法还包括：

响应于身份认证成功，建立与API开放功能实体之间的安全连接。
一种API的调用方法，其特征在于，由API调用实体执行，所述方法包括：

向所述API开放功能实体发送API调用请求，其中，所述API调用请求中包括API调用信息和用户资源访问令牌。
如权利要求14所述的方法，其特征在于，所述API调用请求中还包括API访问令牌。
如权利要求15所述的方法，其特征在于，所述用户资源访问令牌和所述API访问令牌同属于一个令牌。
如权利要求14所述的方法，其特征在于，所述API调用信息包括以下一项或多项：

所述API调用实体的第一身份标识；

第一资源所有者身份标识；

需要调用的服务API标识符；

需要调用的服务标识符；

需要访问的用户资源标识符。
如权利要求14所述的方法，其特征在于，所述用户资源访问令牌包括以下一项或多项：

CAPIF核心功能身份；

授权功能身份；

所述API开放功能实体的身份标识；

所述API调用实体的第二身份标识；

第二资源所有者身份标识；

用户资源标识符；

过期时间。
如权利要求18所述的方法，其特征在于，所述用户资源访问令牌还包括：

服务API标识符；

服务标识符。
如权利要求14所述的方法，其特征在于，所述方法还包括：

接收所述API开放功能实体发送的API调用响应。
如权利要求14所述的方法，其特征在于，所述方法还包括：

与所述API开放功能实体进行相互身份认证。
如权利要求21所述的方法，其特征在于，通过以下任一认证机制与所述API开放功能实体进行相互身份认证：

TLS-PSK；

PKI；

OAuth协议证书；

基于GBA的认证机制；

基于AKMA的认证机制；

基于证书的认证机制。
如权利要求21所述的方法，其特征在于，所述方法还包括：

响应于身份认证成功，建立与API开放功能实体之间的安全连接。
一种通信装置，被配置在API开放功能实体中，包括：

接收模块，用于接收API调用实体发送的API调用请求，其中，所述API调用请求中包括API调用信息和用户资源访问令牌；

调用验证模块，用于根据所述API调用信息和所述用户资源访问令牌进行API调用验证。
一种通信装置，被配置在API调用实体中，包括：

发送模块，用于向API开放功能实体发送API调用请求，其中，所述API调用请求中包括API调用信息和用户资源访问令牌。
一种通信装置，其特征在于，所述装置包括处理器和存储器，其中，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求1至13中任一项所述的方法，或所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求14至23中任一项所述的方法。
一种通信装置，其特征在于，包括：处理器和接口电路，其中：

所述接口电路，用于接收代码指令并传输至所述处理器；

所述处理器，用于运行所述代码指令以执行如权利要求1至13中任一项所述的方法，或用于运行所述代码指令以执行如权利要求14至23中任一项所述的方法。
一种计算机可读存储介质，用于存储有指令，当所述指令被执行时，使如权利要求1至13中任一项所述的方法被实现，或当所述指令被执行时，使如权利要求14至23中任一项所述的方法被实现。