一种授权方法和网元技术

一种授权方法和网元，以基于5G服务化网络架构实现第三方授权功能。该方法为，资源控制网元接收终端设备发送的资源使用请求消息，将资源使用请求消息中的第一用户身份标识替换为第二用户身份标识，通过NEF向授权服务器发送携带第二用户身份标识的授权请求消息，通过所述NEF接收授权服务器发送的授权响应消息，授权响应消息中包括根据、第二用户身份标识和资源使用请求消息进行授权的授权结果；根据该授权结果对所述终端设备进行网络资源分配，并向终端设备发送资源分配响应消息，这样能够实现5G服务化网络架构对于第三方授权的需求，且无需重复验证终端设备的身份，节省信令开销。

An Authorization Method and Network Element

An authorization method and network element to realize third-party authorization function based on 5G service network architecture. The method is that the resource control network element receives the resource use request message sent by the terminal device, replaces the first user identity in the resource use request message with the second user identity, sends the authorization request message with the second user identity to the authorization server through NEF, receives the authorization response message sent by the authorization server through the NEF, and the authorization response is cancelled. The information includes the result of authorization based on the second user identity and resource use request message; according to the result of authorization, the network resources of the terminal device are allocated and the response message of resource allocation is sent to the terminal device, which can realize the requirement of the 5G service network architecture for third party authorization without duplicate authentication of the identity of the terminal device and save money. Signaling overhead.

【技术实现步骤摘要】
一种授权方法和网元
本申请涉及通信
，尤其涉及一种授权方法和网元。
技术介绍
目前，相比于第三代合作伙伴计划(3rdGenerationPartnershipProject，3GPP)2G/3G/4G的网络架构，3GPP提出了新的基于服务化的5G服务化网络架构。5G为物联网提供了网络基础设施，设备通过接入5G实现互联。在5G时代，网络提供能力开放功能，以便网络服务和管理功能向第三方开放，第三方可以通过授权是否允许终端设备使用网络资源来参与网络管理。当前3GPP标准文档TS33.501中的二次认证流程虽然实现了第三方授权功能，但是目前的第三方授权功能并未基于服务化网络架构设计，而服务化网络架构是5G的唯一实现架构，因此，亟需针对5G服务化网络架构设计一种第三方授权的技术方案。
技术实现思路
本申请实施例提供一种授权方法和网元，以基于5G服务化网络架构实现第三方授权功能。本申请实施例提供的具体技术方案如下：第一方面，本申请实施例提供一种第三方授权的方法，包括：资源控制网元接收终端设备发送的资源使用请求消息，该资源使用请求消息中包括终端设备的第一用户身份标识；资源控制网元使用第二用户身份标识替换所述第一用户身份标识，并向络开放网元NEF发送携带第二用户身份标识的授权请求消息；NEF确定该授权请求消息符合预设的安全性要求时，向授权服务器发送该授权请求消息；授权服务器根据本地存储的所述终端设备的授权信息，查询第二用户身份标识以及授权请求消息对应的授权结果，将授权结果携带在授权响应消息中，发送至NEF；NEF确定该授权响应消息符合预设的安全性要求时，向资源控制网元发送该授权响应消息；资源控制网元根据授权响应消息中的授权结果对终端设备进行网络资源分配，并向终端设备发送资源分配响应消息。上述方法中，资源控制网元接收到终端设备发送的资源使用请求消息后，将资源使用请求消息中的第一用户身份标识替换为第二用户身份标识，通过NEF向授权服务器发送携带第二用户身份标识的授权请求消息，授权服务器接收到授权请求消息后，信任资源控制网元所在网络对终端设备的身份认证结果，节省了对终端设备的重复的身份认证步骤，减少了消息开销，考虑到5G服务化网络结构，上述方法可以满足5G服务化网络架构对于第三方授权的需求。此外，网络开放网元接收到资源控制网元或授权服务器发送的消息后，对接收到的信息进行安全检查，安全的将信息转发到对应的网元，起到服务层安全网关的保护作用。一种可能的设计中,所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识，可以通过以下过程实现：所述资源控制网元对所述第一用户身份标识进行身份验证，确定所述第一用户身份标识通过身份验证后，使用第二用户身份标识替换所述第一用户身份标识。这种设计中，资源控制网元利用第一用户身份标识对终端设备进行身份验证后，身份认证通过后，再使用第二用户身份标识替换第一用户身份标识。一种可能的设计中，所述资源控制网元对所述第一用户身份标识进行身份验证，可以通过以下方式实现：所述资源控制网元确定所述第一用户身份标识为用户永久身份标识；或，用户临时身份标识；或，第三方用户身份标识时，确定所述第一用户身份标识通过身份验证。一种可能的设计中，所述第二用户身份标识是加密后的第一用户身份标识。一种可能的设计中，所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识之前，可以通过以下方式得到第二用户身份标识：方式一，利用非对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。方式二，利用对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。方式三，利用哈希加密算法对所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。方式四，利用哈希加密算法对所述资源控制网元的随机数、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。这种设计中，资源控制网元通过上述方式对第一用户身份标识进行加密得到第二用户身份标识，向授权服务器发送携带第二用户身份标识的授权请求消息时，既能够通知授权服务器已通过认证的终端设备的身份，同时避免用户隐私泄露。一种可能的设计中，所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识之前，利用加密后的第一用户身份标识、预设的可变因子和预设加密算法计算得到所述第二用户身份标识，其中，所述加密后的第一用户身份标识可以通过上述方式得到。这种设计中，资源控制网元通过预设算法对加密的第一身份标识进行再次加密得到第二用户身份标识，向授权服务器发送携带第二用户身份标识的授权请求消息时，既能够通知授权服务器已通过认证的终端设备的身份，同时避免用户隐私泄露。一种可能的设计中，所述授权请求消息中还包括应用标识，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识、所述应用标识以及所述资源使用请求消息进行授权得到的授权结果。这种设计中，由于授权请求消息中包括应用标识，授权服务器可以针对终端设备的某个应用进行第三方授权，实现应用级别的细粒度授权功能。一种可能的设计中，所述授权响应消息中还包括第二用户身份标识。一种可能的设计中，所述授权请求消息中还包括第一消息验证码，所述授权服务器使用所述第一消息验证码来验证所述授权请求消息的安全性，授权请求消息，所述授权响应消息中还包括第二消息验证码，所述资源控制网元使用所述第二消息验证码来验证所述授权响应消息的安全性。这种设计中，由于授权请求消息和授权响应消息中包括消息验证码，从而能够提升消息的安全性，增强消息的防重放能力。一种可能的设计中，所述资源控制网元通过所述NEF接收所述授权服务器发送的授权响应消息之后，所述资源控制网元通过所述NEF向所述授权服务器发送授权确认消息，所述授权确认消息中包括第三消息验证码，所述授权服务器使用第三消息验证码验证所述授权确认消息的安全性。这种设计中，资源控制网元通过授权确认消息向授权服务器反馈授权响应消息是否成功接收，确保第三方授权过程能够完整执行，由于授权确认消息中包括消息验证码，从而能够提升消息的安全性，增强消息的防重放能力。一种可能的设计中，所述资源控制网元向所述授权服务器发送授权请求消息之前，所述资源控制网元接收所述终端设备的订阅数据响应消息，所述订阅数据响应消息中包括第三方授权指示信息，所述第三方授权指示信息用于指示所述终端设备需要进行第三方授权；或，所述资源控制网元根据本地配置策略确定所述终端设备需要进行第三方授权。这种设计中，若资源控制网元为存储终端设备的第三方授权信息时，能够通过上述过程获取第三方授权指示信息。一种可能的设计中，所述资源使用请求消息为会话建立请求消息或注册请求消息。一种可能的设计中，所述资源控制网元根据所述授权结果对所述终端设备进行网络资源分配，包括：若所述授权结果为允许终端设备使用网络资源，所述资源控制网元为所述终端设备分配请求的网络资源；若所述所述授权结果为不允许终端设备使用网络资源，所述资源控制网元拒绝为所述终端设备分配请求的网络资源。一种可能的设计中，NEF确定所述授权请求消息符合预设的安全性要求，可以包括以下过程：NEF确定允许资源控制网元发送所述授权请求消息；和/或，确定所述授权请本文档来自技高网...

【技术保护点】
1.一种授权方法，其特征在于，包括：资源控制网元接收终端设备发送的资源使用请求消息，所述资源使用请求消息中包括所述终端设备的第一用户身份标识；所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识，并通过网络开放网元NEF向授权服务器发送授权请求消息，所述授权请求消息中包括所述终端设备的第二用户身份标识；所述资源控制网元通过所述NEF接收所述授权服务器发送的授权响应消息，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识以及所述资源使用请求消息进行授权得到的授权结果；所述资源控制网元根据所述授权结果对所述终端设备进行网络资源分配，并向所述终端设备发送资源分配响应消息。

【技术特征摘要】
1.一种授权方法，其特征在于，包括：资源控制网元接收终端设备发送的资源使用请求消息，所述资源使用请求消息中包括所述终端设备的第一用户身份标识；所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识，并通过网络开放网元NEF向授权服务器发送授权请求消息，所述授权请求消息中包括所述终端设备的第二用户身份标识；所述资源控制网元通过所述NEF接收所述授权服务器发送的授权响应消息，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识以及所述资源使用请求消息进行授权得到的授权结果；所述资源控制网元根据所述授权结果对所述终端设备进行网络资源分配，并向所述终端设备发送资源分配响应消息。2.如权利要求1所述的方法，其特征在于，所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识，包括：所述资源控制网元对所述第一用户身份标识进行身份验证，确定所述第一用户身份标识通过身份验证后，使用第二用户身份标识替换所述第一用户身份标识。3.如权利要求2所述的方法，其特征在于，所述资源控制网元对所述第一用户身份标识进行身份验证，包括：所述资源控制网元确定所述第一用户身份标识为用户永久身份标识；或，用户临时身份标识；或，第三方用户身份标识时，确定所述第一用户身份标识通过身份验证。4.如权利要求1-3任一项所述的方法，其特征在于，所述第二用户身份标识是加密后的第一用户身份标识。5.如权利要求1-4任一项所述的方法，其特征在于，所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识之前，包括：利用非对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识；或，利用对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识；或，利用哈希加密算法对所述第一用户身份标识、预设参数加密生成所述第二用户身份标识；或，利用哈希加密算法对所述资源控制网元的随机数、所述第一用户身份标识、预设参数加密生成所述第二用户身份标识。6.如权利要求1-4任一项所述的方法，其特征在于，所述资源控制网元使用第二用户身份标识替换所述第一用户身份标识之前，包括：利用加密后的第一用户身份标识、预设的可变因子和预设加密算法计算得到所述第二用户身份标识；所述加密后的第一用户身份标识，包括：利用非对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成；或，利用对称加密算法对所述资源控制网元的公钥、所述第一用户身份标识、预设参数加密生成；或，利用哈希加密算法对所述第一用户身份标识、预设参数加密生成；或，利用哈希加密算法对所述资源控制网元的随机数、所述第一用户身份标识、预设参数加密生成。7.如权利要求1-6任一项所述的方法，其特征在于，所述授权请求消息中还包括应用标识，所述授权响应消息中包括所述授权服务器根据所述第二用户身份标识、所述应用标识以及所述资源使用请求消息进行授权得到的授权结果。8.如权利要求1-6任一项所述的方法，其特征在于，所述授权响应消息中还包括第二用户身份标识。9.如权利要求1-6任一项所述的方法，其特征在于，所述授权请求消息中还包括第一消息验证码，所述授权服务器使用所述第一消息验证码来验证所述授权请求消息的安全性，授权请求消息，所述授权响应消息中还包括第二消息验证码，所述资源控制网元使用所述第二消息验证码来验证所述授权响应消息的安全性。10.如权利要求9所述的方法，其特征在于，所述资源控制网元通过所述NEF接收所述授权服务器发送的授权响应消息之后，所述方法还包括：所述资源控制网元通过所述NEF向所述授权服务器发送授权确认消息，所述授权确认消息中包括第三消息验证码，所述授权服务器使用第三消息验证码验证所述授权确认消息的安全性。11.如权利要求1-9任一项所述的方法，其特征在于，所述资源控制网元向所述授权服务器发送授权请求消息之前，所述方法还包括：所述资源控制网元接收所述终端设备的订阅数据响应消息，所述订阅数据响应消息中包括第三方授权指示信息，所述第三方授权指示信息用于指示所述终端设备需要进行第三方授权；或，所述资源控制网元根据本地配置策略确定所述终端设备需要进行第三方授权。12.如权利要求1-11任一项所述的方法，其特征在于，所述资源控制网元根据所述授权结果对所述终端设备进行网络资源分配，包括：若所述授权结果为允许终端设备使用网络资源，所述资源控制网元为所述终端设备分配请求的网络资源；若所述所述授权结果为不允许终端设备使用网络资源，所述资源控制网元拒绝为所述终端设备分配请求的网络资源。13.一种授权方法，其特征在于，包括：网络开放网元NEF接收资源控制网元发送的授权请求消息，所述授权请求消息中包括所述终端设备的第二用户身份标识；所述NEF确定所述授权请求消息符合预设的安全性要求时，向授权服务器发送所述授权请求消息；所述NEF接收所述授权服务器基于所述授权请求消息反馈的授权响应消息；所述NEF确定所述授权响应消息符合预设的安全性要求时，向所述资源控制网元发送所述授权响应消息。14.如权利要求13所述的方法，其特征在于，所述NEF确定所述授权请求消息符合预设的安全性要求，包括：所述NEF确定允许所述资源控制网元发送所述授权请求消息；和/或，确定所述授权请求消息的消息内容符合预设的安全策略。15.如权利要求13所述的方法，其特征在于，所述NEF确定所述授权响应消息符合预设的安全性要求，包括：所述NEF确定允许接收所述授权服务器发送的所述授权响应消息；和/或，确定所述授权响应消息的消息内容符合预设的安全策略；和/或确定所述授权响应消息的目的地址与所述授权请求消息的源地址一致。16.一种授权方法，其特征在于，包括：授权服务器接收网络开放网元NEF发送的授权请求消息，所述授权请求消息中包括终端设备的第二用户身份标识；所述授权服务器根据本地存储的所述终端设备的授权信息，查询所述第二用户身份标识以及所述授权请求消息对应的授权结果；所述授权服务器通过所述NEF向所述资源控制网元发送授权响应消息，所述授权响应消息中包括所述授权结果。17.如权利要求16所述的方法，...

【专利技术属性】
技术研发人员：谭帅帅，甘露，张博，吴荣，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44