一种服务授权方法、装置及系统制造方法及图纸

本申请实施例涉及一种服务授权方法、装置及系统，用于解决SNPN网络漫游场景下无法顺利完成服务授权或服务请求的问题。方法包括：第一NRF接收来自第一NF的第一请求，第一NF和第一NRF位于第一网络，第一请求用于请求访问令牌，访问令牌用于访问第二网络中的第二NF的服务，第一请求中包含第一网络的SNPN信息和/或第二网络的SNPN信息；第一NRF将第一请求转发给第二NRF，第二NRF位于第二网络；响应于第一请求，第二NRF生成访问令牌，访问令牌中包含第一网络的SNPN信息和/或第二网络的SNPN信息；第二NRF向第一NRF发送访问令牌；第一NRF接收访问令牌并将访问令牌发送给第一NF。访问令牌并将访问令牌发送给第一NF。访问令牌并将访问令牌发送给第一NF。

【技术实现步骤摘要】
一种服务授权方法、装置及系统


[0001]本申请涉及通信
，尤其涉及一种服务授权方法、装置及系统。

技术介绍

[0002]第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)定义了服务化架构(service-based architecture，SBA)网络，网络中的网络功能(Network Function，NF)服务消费方(service consumer)可以向NF服务提供商(service producer)进行服务请求。为了支持该特性，3GPP引入一个网络存储功能(Network Repository Function，NRF)网元，用于提供网络功能的注册、维护、发现以及访问授权等功能。
[0003]在漫游场景下，即NF服务消费方处于拜访地网络，而NF服务提供商处于归属地网络时，各网元会在交互消息(如访问令牌请求、服务请求等消息)中通过携带NF服务消费方和NF服务提供商的公共陆地移动网(Public Land Mobile Network，PLMN)标识(identity，ID)来标识拜访地网络和归属地网络。
[0004]以上方案仅考虑了PLMN网络漫游的场景，但是事实上，目前除了PLMN网络，还存在独立非公共网络(Stand-alone Non-Public Network，SNPN)。当归属地网络和/或拜访地网络的类型为SNPN时，如果仍按照现有方法在交互过程中通过携带PLMN ID来标识归属地网络或拜访地网络，则可能无法顺利完成服务授权或服务请求。

技术实现思路

[0005]本申请实施例提供一种服务授权方法、装置及系统，用于解决SNPN网络漫游场景下，无法唯一标识归属地网络和/或拜访地网络导致无法顺利完成服务授权或服务请求的问题，提高网络的可靠性和安全性。
[0006]第一方面，提供一种服务授权方法，包括：第一网络存储功能NRF接收来自第一网络功能NF的第一请求，其中所述第一NF和所述第一NRF位于第一网络，所述第一请求用于请求访问令牌，所述访问令牌用于访问第二网络中的第二NF的服务，所述第一请求中包含所述第一网络的独立非公共网络SNPN信息和/或所述第二网络的SNPN信息；所述第一NRF将所述第一请求转发给第二NRF，其中所述第二NRF位于所述第二网络；响应于所述第一请求，所述第二NRF生成访问令牌，所述访问令牌中包含所述第一网络的SNPN信息和/或所述第二网络的SNPN信息；所述第二NRF向所述第一NRF发送所述访问令牌；所述第一NRF接收来自所述第二NRF的访问令牌；以及，所述第一NRF将所述访问令牌发送给所述第一NF。
[0007]通过本申请实施例提供的技术方案，当第一网络是SNPN网络时，第一NF会在第一请求中添加第一网络的SNPN信息，当第二网络是SNPN网络时，第一NF会在第一请求中添加第二网络的SNPN信息，这样可使得服务授权过程中请求访问令牌的网络和被请求访问令牌的网络均能够被唯一标识，保证第一NF请求访问令牌的过程可以顺利完成，提高服务授权的可靠性。另外，返回的访问令牌中也会携带对应的SNPN信息，以明确访问令牌授权的服务消费方和服务提供方，可以进一步提高服务授权的可靠性。
[0008]结合第一方面，在第一方面的第一种可能的设计中，所述第一网络的SNPN信息包括网络标识符NID和公共陆地移动网标识符PLMN ID，和/或，所述第二网络的SNPN信息包括NID和PLMN ID。
[0009]通过本实施方式，SNPN网络可以通过NID和PLMN ID组合的形式被唯一标识，提高了网络交互的可靠性。
[0010]结合第一方面或者第一方面的第一种可能的设计，在第一方面的第二种可能的设计中，所述方法还包括：所述第一NF向第一安全边界代理网关SEPP发送第一服务请求消息；所述第一SEPP位于所述第一网络；所述第一服务请求消息中携带所述访问令牌；所述第一SEPP根据所述第一服务请求消息生成第二服务请求消息；所述第一SEPP向第二SEPP发送所述第二服务请求消息；所述第二SEPP位于所述第二网络，所述第二服务请求消息中携带N32接口上下文标识和所述访问令牌；所述第二SEPP确定出与所述N32接口上下文标识相对应N32接口上下文；所述第二SEPP校验所述N32接口上下文中记录的远端SNPN信息是否与所述第一网络的SNPN信息匹配；如果所述远端SNPN信息与所述第一网络的SNPN信息不匹配，则所述第二SEPP返回错误码给所述第一SEPP。
[0011]通过本实施方式，当第一网络是SNPN信息时，第二网络中的第二SEPP会在N32接口上下文中预置第一SEPP的SNPN信息，当第二网络是SNPN信息时，第一网络中的第一SEPP会在N32接口上下文中预置第二SEPP的SNPN信息，进而可以通过N32接口上下文对第一网络和第二网络之间的信令进行安全校验，可以进一步提高网络的安全性。
[0012]结合第一方面或者第一方面的第一种可能的设计，在第一方面的第三种可能的设计中，所述方法还包括：所述第一NF向所述第二NF发送服务请求消息，所述服务请求消息用于请求所述第二NF的服务，所述服务请求消息中携带所述访问令牌和所述第一网络的独立非公共网络SNPN信息；所述第二NF对所述访问令牌进行校验；若所述访问令牌校验成功，则所述第二NF向所述第一NF返回服务响应消息。
[0013]通过本申请实施例提供的技术方案，当第一网络是SNPN网络时，授权令牌中会携带第一网络的SNPN信息，当第二网络是SNPN网络时，授权令牌中会携带第二网络的SNPN信息，使得服务请求过程中服务请求方的网络和被请求方的网络均能够被唯一标识，进而保证第一NF请求服务的过程可以顺利完成，可以提高服务请求的可靠性，另外还可以提防恶意攻击，可以提高网络安全性。
[0014]第一方面的第三种可能的设计，在第一方面的第四种可能的设计中，所述第二NF对所述访问令牌进行校验，包括：所述第二NF校验所述访问令牌中的所述第二网络的SNPN信息是否与所述第二NF的SNPN信息匹配；和/或，所述第二NF校验所述访问令牌中的所述第一网络的SNPN信息是否与所述服务请求消息中携带的所述第一网络的SNPN信息匹配。
[0015]通过本实施方式，通过对访问令牌中的SNPN信息的校验，可以提高服务请求的可靠性，提防恶意攻击，提高网络安全性。
[0016]第二方面，提供一种服务授权方法，包括：第一网络存储功能NRF接收来自第一网络功能NF的第一请求，其中所述第一NF和所述第一NRF位于第一网络，所述第一请求用于请求访问令牌，所述访问令牌用于访问第二网络中的第二NF的服务，所述第一请求中包含所述第一网络的独立非公共网络SNPN信息和/或所述第二网络的SNPN信息；所述第一NRF将所述第一请求转发给第二NRF，其中所述第二NRF位于所述第二网络；所述第一NRF接收来自所
述第二NRF的访问令牌；以及，所述第一NRF将所述访问令牌发送给所述第一NF本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种服务授权方法，其特征在于，包括：第一网络存储功能NRF接收来自第一网络功能NF的第一请求，其中所述第一NF和所述第一NRF位于第一网络，所述第一请求用于请求访问令牌，所述访问令牌用于访问第二网络中的第二NF的服务，所述第一请求中包含所述第一网络的独立非公共网络SNPN信息和/或所述第二网络的SNPN信息；所述第一NRF将所述第一请求转发给第二NRF，其中所述第二NRF位于所述第二网络；响应于所述第一请求，所述第二NRF生成访问令牌，所述访问令牌中包含所述第一网络的SNPN信息和/或所述第二网络的SNPN信息；所述第二NRF向所述第一NRF发送所述访问令牌；所述第一NRF接收来自所述第二NRF的访问令牌；以及所述第一NRF将所述访问令牌发送给所述第一NF。2.如权利要求1所述的方法，其特征在于，所述第一网络的SNPN信息包括网络标识符NID和公共陆地移动网标识符PLMN ID，和/或，所述第二网络的SNPN信息包括NID和PLMN ID。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：所述第一NF向第一安全边界代理网关SEPP发送第一服务请求消息；所述第一SEPP位于所述第一网络；所述第一服务请求消息中携带所述访问令牌；所述第一SEPP根据所述第一服务请求消息生成第二服务请求消息；所述第一SEPP向第二SEPP发送所述第二服务请求消息；所述第二SEPP位于所述第二网络，所述第二服务请求消息中携带N32接口上下文标识和所述访问令牌；所述第二SEPP确定出与所述N32接口上下文标识相对应N32接口上下文；所述第二SEPP校验所述N32接口上下文中记录的远端SNPN信息是否与所述第一网络的SNPN信息匹配；如果所述远端SNPN信息与所述第一网络的SNPN信息不匹配，则所述第二SEPP返回错误码给所述第一SEPP。4.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：所述第一NF向所述第二NF发送服务请求消息，所述服务请求消息用于请求所述第二NF的服务，所述服务请求消息中携带所述访问令牌和所述第一网络的独立非公共网络SNPN信息；所述第二NF对所述访问令牌进行校验；若所述访问令牌校验成功，则所述第二NF向所述第一NF返回服务响应消息。5.根据权利要求4所述的方法，其特征在于，所述第二NF对所述访问令牌进行校验，包括：所述第二NF校验所述访问令牌中的所述第二网络的SNPN信息是否与所述第二NF的SNPN信息匹配；和/或，所述第二NF校验所述访问令牌中的所述第一网络的SNPN信息是否与所述服务请求消息中携带的所述第一网络的SNPN信息匹配。6.一种服务授权方法，其特征在于，包括：第一网络存储功能NRF接收来自第一网络功能NF的第一请求，其中所述第一NF和所述第一NRF位于第一网络，所述第一请求用于请求访问令牌，所述访问令牌用于访问第二网络
中的第二NF的服务，所述第一请求中包含所述第一网络的独立非公共网络SNPN信息和/或所述第二网络的SNPN信息；所述第一NRF将所述第一请求转发给第二NRF，其中所述第二NRF位于所述第二网络；所述第一NRF接收来自所述第二NRF的访问令牌；以及所述第一NRF将所述访问令牌发送给所述第一NF。7.如权利要求6所述的方法，其特征在于，所述第一网络的SNPN信息包括网络标识符NID和公共陆地移动网标识符PLMN ID，和/或，所述第二网络的SNPN信息包括NID和PLMN ID。8.一种服务授权系统，其特征在于，包括：第一网络功能NF，用于发送第一请求；第一网络存储功能NRF，用于接收来自所述第一NF的第一请求，其中所述第一NF和所述第一NRF位于第一网络，所述第一请求用于请求访问令牌，所述访问令牌用于访问第二网络中的第二NF的服务，所述第一请求中包含所述第一网络的独立非公共网络SNPN信息和/或所述第二网络的SNPN信息；...

【专利技术属性】
技术研发人员：李飞，何承东，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：