本申请的实施例公开一种服务授权方法及服务器。通过本发明专利技术提供的技术方案,第一服务器在访问令牌中添加了切片信息,以使得客户端在使用该访问令牌进行功能访问时,只能访问本切片内部的功能服务器,从而保证了切片之间能够相互隔离。
【技术实现步骤摘要】
一种网络切片授权的方法及通信装置
本申请涉及通信
,尤其涉及一种网络切片授权的方法及通信装置。
技术介绍
在采用服务化架构(service-basedarchitecture,SBA)部署的网络,如第五代(5thgeneration,5G)移动通信系统的核心网(corenetwork,CN)中,不同的网络功能通常基于客户端(client)/服务器(server)的通信模式进行通信。请求方为客户端,响应方为服务器。为了避免任意客户端访问服务器,给移动通信系统带来安全风险,同时也为了支持第三方客户端的资源受限访问,服务化架构还支持服务授权功能,授权服务器会给客户端提供一个访问令牌,客户端根据访问令牌进行功能访问。针对上述场景,如何对客户端授予访问令牌以使得客户端使用该访问令牌进行功能服务器访问时不会引起网络安全问题显得尤为重要。
技术实现思路
本申请的实施例提供一种服务授权方法及通信装置,能够使得客户端在使用获得的访问令牌时不会造成网络安全。为达到上述目的,本申请的实施例提供如下技术方案:第一方面,提供一种服务授权方法,包括:第一服务器接收客户端发送的第一请求,其中,所述第一请求用于请求访问令牌,所述第一请求中包含切片信息;所述第一服务器对所述客户端进行验证;若所述客户端被验证通过,所述第一服务器向所述客户端发送第一响应消息,其中,所述第一响应消息中包括访问令牌,所述访问令牌中包含所述切片信息。举例来说,所述切片信息包括下述四种信息中的至少一种:单一网络切片选择辅助信息(Single-NetworkSliceSelectionAssistanceInformation,S-NSSAI)或单一网络切片选择辅助信息列表或网络切片实例标识(NetworkSliceInstanceIdentifier,NSIID)或网络切片实例标识列表。另外,进一步需要指出的是,S-NSSAI是切片类型粒度,NSIID具体是指哪个切片。举例来说,常见的切片类型包括eMBB(enhancemobilebroadband,增强移动带宽)类型的切片,URLLC(ultrareliablelowlatencycommunications,极可靠低延迟通信)类型的切片等。举例来说,一类切片里面会有多个实例,每个实例会有一个标识(identifier,ID),根据该切片的ID就可以确定是哪一个切片了。其中,需要指出的是,所述切片信息用于保证所述客户端只能访问该切片内的功能服务器,从而保证了切片之间的隔离,维护了网络的安全。其中,需要指出的是,所述访问令牌中还包括期待服务的名称和类型,所述客户端标识以及所述客户端类型;可选的,所述访问令牌中还可以包括分组标识,所述分组标识为预设功能服务器的预设服务所组成的组的ID信息。举例来说,比如该预设功能服务器为会话管理网元(或称为会话管理服务器)包含四种服务,分别为服务1,服务2,服务3和服务4。其中,服务1和服务2组成第一分组,服务3和服务4组成第二分组。如果该客户端访问该会话管理网元时,可以加上需要访问的分组标识。另外,可选的,所述访问令牌中的切片信息可替换为分组标识。从上可知,通过本专利技术提供的技术方案,所述第一服务器在访问令牌中添加了切片信息,以使得客户端在使用该访问令牌进行功能访问时,只能访问本切片内部的功能服务器,从而保证了切片之间能够相互隔离。本专利技术第二方面公开了一种服务请求的方法,所述方法包括:第二服务器接收客户端发送的第二请求,所述第二请求用于请求功能服务,所述第二请求包含访问令牌;所述第二服务器对所述访问令牌中的切片信息进行校验;所述第二服务器向所述客户端发送校验结果。其中,可选的,所述第二服务器对所述访问令牌中的切片信息进行校验,包括:所述第二服务器判断所述访问令牌中的切片信息与所述第二服务器存储的切片信息是否匹配。另外,可选的,所述访问令牌中可能包括分组标识,如果所述访问令牌中包括分组标识的话,第二服务器还需要对分组标识进行校验。另外,可选的,也许该访问令牌中没有包括切片信息,而是包括分组标识,那么该第二服务器对该分组标识进行校验。另外,需要指出的是,所述访问令牌中包括期望服务的名称、功能服务器的功能类型等参数。当然,该第二服务器需要确认下该客户端所要求的功能服务是否超出所述访问令牌所记载的服务的范围。从而可知,通过本专利技术实施例提供的技术方案,第二服务器对访问令牌中的切片信息进行验证,以保证是相同切片内部的服务访问,杜绝了其他切片来访问本功能服务器的可能,从而保证了切片之间相互隔离。另外,需要指出的是如果切片信息指示的是切片类型,那么通过验证切片信息,可以保证相同类型的切片的内部网元可以相互访问,非相同类型的切片之间的网元是不可以相互访问的。第三方面,提供一种服务器,该服务器用于执行所述第一方面所描述的方法。具体的,所述服务器包括接收单元、验证单元和发送单元。其中,所述接收单元,用于接收客户端发送的第一请求,其中,所述第一请求用于请求访问令牌,所述第一请求中包含切片信息;所述验证单元,用于对所述客户端进行验证;所述发送单元,用于若所述客户端被验证通过,向所述客户端发送第一响应消息,其中,所述第一响应消息中包括访问令牌,所述访问令牌中包含所述切片信息。可选的,所述访问令牌中还包括期待服务的名称和类型,所述客户端标识以及所述客户端类型;当然,所述访问令牌还可以进一步包括分组标识。相应的,那么第一请求也有可能包括上述所列举的参数。另外,进一步需要指出的是所述切片信息为单一网络切片选择辅助信息和/或网络切片实例标识或单一网络切片选择辅助信息列表和/或网络切片实例标识列表。另外,需要指出的是,所述访问令牌可能不会包括切片信息,而是包括分组标识;相应的,那么第一请求中应该包括的就是分组标识而不是切片信息。第四方面,还提供另一种服务器。所述服务器包括接收单元、校验单元以及发送单元。具体的,所述接收单元,用于接收客户端发送的第二请求,所述第二请求用于请求功能服务,所述第二请求包含访问令牌;所述校验单元,用于对所述访问令牌中的切片信息进行校验;所述发送单元,用于向所述客户端发送校验结果。可选的,需要指出的是,所述校验单元,用于判断所述访问令牌中的切片信息与所述第二服务器存储的切片信息是否匹配。第五方面,提供一种服务器,包括:处理器和收发器。其中,处理器与存储器耦合;处理器用于执行存储器中存储的计算机程序,以使得该服务器执行如第一方面及其各种可选的实现方式中任意之一所述的服务授权方法,或者执行如第二方面及其各种可选的实现方式中任意之一所述的服务授权方法。第六方面,提供一种计算机可读存储介质,存储有程序或指令,当程序或指令在计算机上运行时,使得计算机执行如第一方面及其各种可选的实现方式中任意之一所述的方法,或者执行如第二方面及其各种可选的实现方式中任意之一所述的方法。第七方面,提供一种计算本文档来自技高网...
【技术保护点】
1.一种服务授权方法,其特征在于,所述方法包括:/n第一服务器接收客户端发送的第一请求,其中,所述第一请求用于请求访问令牌,所述第一请求中包含切片信息;/n所述第一服务器对所述客户端进行验证;/n若所述客户端被验证通过,所述第一服务器向所述客户端发送第一响应消息,其中,所述第一响应消息中包括访问令牌,所述访问令牌中包含所述切片信息。/n
【技术特征摘要】
20181105 CN 20181130795751.一种服务授权方法,其特征在于,所述方法包括:
第一服务器接收客户端发送的第一请求,其中,所述第一请求用于请求访问令牌,所述第一请求中包含切片信息;
所述第一服务器对所述客户端进行验证;
若所述客户端被验证通过,所述第一服务器向所述客户端发送第一响应消息,其中,所述第一响应消息中包括访问令牌,所述访问令牌中包含所述切片信息。
2.根据权利要求1所述的方法,其特征在于,所述访问令牌中还包括期待服务的名称和类型,所述客户端标识以及所述客户端类型。
3.根据权利要求1或2所述的方法,其特征在于,所述切片信息为单一网络切片选择辅助信息和/或网络切片实例标识或单一网络切片选择辅助信息列表和/或网络切片实例标识列表。
4.一种服务请求的方法,其特征在于,所述方法包括:
第二服务器接收客户端发送的第二请求,所述第二请求用于请求功能服务,所述第二请求包含访问令牌;
所述第二服务器对所述访问令牌中的切片信息进行校验;
所述第二服务器向所述客户端发送校验结果。
5.根据权利要求4所述的方法,其特征在于,所述第二服务器对所述访问令牌中的切片信息进行校验,包括:
所述第二服务器判...
【专利技术属性】
技术研发人员:李飞,张博,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。