通信方法、装置及系统制造方法及图纸

本申请实施例提供通信方法、装置及系统，用于解决现有的客户凭证声明机制在漫游场景下使用时可能导致网络数据泄露的风险。方法包括：第一网络功能实体接收来自第二网络功能实体的第一客户凭证声明，该第一客户凭证声明中包括该第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识，该第一网络功能实体属于第一网络，该第二网络功能实体属于第二网络，该第一网络和该第二网络为不同网络；第一网络功能实体验证该第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识是否为该第一网络的网络标识。否为该第一网络的网络标识。否为该第一网络的网络标识。

Communication method, device and system

【技术实现步骤摘要】
通信方法、装置及系统


[0001]本申请涉及通信
，尤其涉及通信方法、装置及系统。

技术介绍

[0002]当前第五代(fourth
‑
generation，5G)网络中，非直接通信场景下，引入了一种新的客户凭证声明(client credential assertion，CCA)机制。具体地，发起方网络功能实体将客户凭证声明作为证明发起方网络功能实体的身份证明参数发送给接收方网络功能实体，由接收方网络功能实体根据该客户凭证声明证明发起方网络功能实体身份的正确性。当身份证明正确后，接收方网络功能实体可以直接为发起方网络功能实体提供服务。比如，即使中间有服务通信代理(service communicationproxy，SCP)网元，诸如网络功能提供者(producer ofthe network function，pNF)或者网络功能存储功能(network exposure function Repository Function，NRF)之类的接收方网络功能实体也可以通过客户凭证声明校验诸如网络功能消费者(consumer of network function，cNF)之类的发起方网络功能实体的身份。当身份证明正确后，pNF或者NRF可以直接为cNF提供服务。
[0003]其中，客户凭证声明机制在漫游场景下使用时，发起方网络功能实体与接收方网络功能实体属于不同的运营商网络。假设客户凭证声明被网络C中的发起方网络功能实体生成后，用来访问网络A中的接收方网络功能实体。根据现有技术的方案，如果客户凭证声明被泄漏，被攻击者获得，那么攻击者可以将此客户凭证声明用在网络C之外的任何一个网络(例如网络B)中的接收方网络功能实体。然而，如果客户凭证被其他网络中接收方网络功能实体认证通过，则可能会为攻击者提供服务，造成网络数据泄露等风险。

技术实现思路

[0004]本申请实施例提供通信方法、装置及系统，用于解决现有的客户凭证声明机制在漫游场景下使用时可能导致网络数据泄露的风险。
[0005]为达到上述目的，本申请的实施例采用如下技术方案：
[0006]第一方面，提供了一种通信方法，执行该通信方法的通信装置可以为第一网络功能实体；也可以为应用于第一网络功能实体中的模块，例如芯片或芯片系统。下面以执行主体为第一网络功能实体为例进行描述。第一网络功能实体接收来自第二网络功能实体的第一客户凭证声明，该第一客户凭证声明中包括该第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识，该第一网络功能实体属于第一网络，该第二网络功能实体属于第二网络，该第一网络和该第二网络为不同网络；第一网络功能实体验证该第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识是否为该第一网络的网络标识。由于本申请实施例中，发送方网络功能实体(对应上述第二网络功能实体)向接收方网络功能实体(对应上述第一网络功能实体)发送的第一客户凭证声明中绑定了第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识，该第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识用于验证是否与接收方网络功能实体所在网络的网络标识(对
应上述第一网络的网络标识)相同。其中，接收方网络功能实体在第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识为接收方网络功能实体所在网络的网络标识的情况下，才会为发送方网络功能实体提供服务，因此可以避免第一客户凭证声明被用在第一客户凭证声明的期望接收方网络功能实体所在网络之外的其他网络中的可能性，从而可以避免由于第一客户凭证声明被用在第一客户凭证声明的期望接收方网络功能实体所在网络之外的其他网络所导致的网络数据泄露等风险，提高了网络数据传输的可靠性。
[0007]结合上述第一方面，在一种可能的实现方式中，第一网络功能实体接收来自第二网络功能实体的第一客户凭证声明，包括：第一网络功能实体通过第一安全边缘保护代理实体接收第一消息，该第一消息包括来自该第二网络功能实体的该第一客户凭证声明。
[0008]结合上述第一方面，在一种可能的实现方式中，第一消息还包括第一根证书，该第一根证书为该第二网络的根证书；该方法还包括：第一网络功能实体根据该第一根证书，验证该第一客户凭证声明的证书信息是否正确。相对于现有技术在诸如不同运营商之间没有交叉证书等场景下接收方网络功能实体不能验证客户凭证声明中证书是否正确性的方案，本申请实施例可以根据第一根证书，验证第一客户凭证声明的证书信息是否正确，从而实现客户凭证声明中证书的验证，进而实现客户凭证声明的数字签名和被签名的内容的验证。
[0009]结合上述第一方面，在一种可能的实现方式中，该第一消息还包括该第二网络功能实体用于请求该第一网络功能实体的业务的第一授权令牌，该第一授权令牌中包括该第二网络的网络标识；该方法还包括：第一网络功能实体验证该第二网络的网络标识是否为该第一客户凭证声明的证书信息内的网络标识。
[0010]结合上述第一方面，在一种可能的实现方式中，该第一消息还包括该第一客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识；该方法还包括：第一网络功能实体验证该第一客户凭证声明的期望接收方网络功能实体所在网络功能集合的标识是否为该第一网络功能实体所属网络功能集合的标识。
[0011]结合上述第一方面，在一种可能的实现方式中，该第一客户凭证声明还包括该第一客户凭证声明的期望接收方网络功能实体所在网络功能集合的标识；该方法还包括：第一网络功能实体验证该第一客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识是否为该第一网络功能实体所属网络功能集合的标识。
[0012]结合上述第一方面，在一种可能的实现方式中，该第一客户凭证声明被签名的内容中包括该第一客户凭证声明的发起方网络功能实体所在网络的网络标识；该方法还包括：第一网络功能实体验证该第一客户凭证声明的发起方网络功能实体所在网络的网络标识是否为该第一客户凭证声明的证书信息内的网络标识。
[0013]结合上述第一方面，在一种可能的实现方式中，在该第一网络功能实体验证该第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识为该第一网络的网络标识之后，该方法还包括：第一网络功能实体向该第二网络功能实体发送第二客户凭证声明，该第二客户凭证声明中包括以下至少一个参数：该第二客户凭证声明的期望接收方网络功能实体的标识；该第二客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识；该第二客户凭证声明的期望接收方网络功能实体所在网络的网络标识；该第二客户凭证声明的期望接收方网络功能实体的类型；该第一客户凭证声明，或者该第一客户凭证声
明的哈希值；第一业务请求的数据，或者该第一业务请求的数据的哈希值，该第一业务请求为承载该第一客户凭证声明的业务请求；该第二客户凭证声明的发起方网络功能实体的标识；该第二客户凭证声明的发起方网络功能实体所属网络功能集合的标识；或者，该第二客户凭证声明的发起方网络功能实体所在网络的网络标识。基于该方案，发送方网络功能实体(对本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种通信方法，其特征在于，所述方法包括：第一网络功能实体接收来自第二网络功能实体的第一客户凭证声明，所述第一客户凭证声明中包括所述第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识，所述第一网络功能实体属于第一网络，所述第二网络功能实体属于第二网络，所述第一网络和所述第二网络为不同网络；所述第一网络功能实体验证所述第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识是否为所述第一网络的网络标识。2.根据权利要求1所述的方法，其特征在于，所述第一网络功能实体接收来自第二网络功能实体的第一客户凭证声明，包括：所述第一网络功能实体通过第一安全边缘保护代理实体接收第一消息，所述第一消息包括来自所述第二网络功能实体的所述第一客户凭证声明。3.根据权利要求2所述的方法，其特征在于，所述第一消息还包括第一根证书，所述第一根证书为所述第二网络的根证书；所述方法还包括：所述第一网络功能实体根据所述第一根证书，验证所述第一客户凭证声明的证书信息是否正确。4.根据权利要求2或3所述的方法，其特征在于，所述第一消息还包括所述第二网络功能实体用于请求所述第一网络功能实体的业务的第一授权令牌，所述第一授权令牌中包括所述第二网络的网络标识；所述方法还包括：所述第一网络功能实体验证所述第二网络的网络标识是否为所述第一客户凭证声明的证书信息内的网络标识。5.根据权利要求2
‑
4任一项所述的方法，其特征在于，所述第一消息还包括所述第一客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识；所述方法还包括：所述第一网络功能实体验证所述第一客户凭证声明的期望接收方网络功能实体所在网络功能集合的标识是否为所述第一网络功能实体所属网络功能集合的标识。6.根据权利要求1
‑
5任一项所述的方法，其特征在于，所述第一客户凭证声明还包括所述第一客户凭证声明的期望接收方网络功能实体所在网络功能集合的标识；所述方法还包括：所述第一网络功能实体验证所述第一客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识是否为所述第一网络功能实体所属网络功能集合的标识。7.根据权利要求1
‑
6任一项所述的方法，其特征在于，所述第一客户凭证声明被签名的内容中包括所述第一客户凭证声明的发起方网络功能实体所在网络的网络标识；所述方法还包括：所述第一网络功能实体验证所述第一客户凭证声明的发起方网络功能实体所在网络的网络标识是否为所述第一客户凭证声明的证书信息内的网络标识。8.根据权利要求1
‑
7任一项所述的方法，其特征在于，在所述第一网络功能实体验证所述第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识为所述第一网络的网络标识之后，所述方法还包括：所述第一网络功能实体向所述第二网络功能实体发送第二客户凭证声明，所述第二客户凭证声明中包括所述第二客户凭证声明的期望接收方网络功能实体所在网络的网络标
识。9.根据权利要求8所述的方法，其特征在于，所述第二客户凭证声明包括以下至少一个参数：所述第二客户凭证声明的期望接收方网络功能实体的标识；所述第二客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识；所述第二客户凭证声明的期望接收方网络功能实体的类型；所述第一客户凭证声明，或者所述第一客户凭证声明的哈希值；第一业务请求的数据，或者所述第一业务请求的数据的哈希值，所述第一业务请求为承载所述第一客户凭证声明的业务请求；所述第二客户凭证声明的发起方网络功能实体的标识；所述第二客户凭证声明的发起方网络功能实体所属网络功能集合的标识；或者，所述第二客户凭证声明的发起方网络功能实体所在网络的网络标识。10.根据权利要求1
‑
9任一项所述的方法，其特征在于，所述第一客户凭证声明包含在第二业务请求中，其中，所述第二业务请求的数据包含在所述第一客户凭证声明中，所述方法还包括：所述第一网络功能实体验证所述第二业务请求的数据的正确性。11.一种通信方法，其特征在于，所述方法包括：第二网络功能实体获取第一客户凭证声明，所述第一客户凭证声明中包括所述第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识；所述第二网络功能实体向第一网络功能实体发送所述第一客户凭证声明，所述第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识用于验证是否与第一网络的网络标识相同，其中，所述第一网络功能实体属于所述第一网络，所述第二网络功能实体属于第二网络，所述第一网络和所述第二网络为不同网络。12.根据权利要求11所述的方法，其特征在于，所述方法还包括：所述第二网络功能实体向所述第一网络功能实体发送所述第二网络功能实体用于请求所述第一网络功能实体的业务的第一授权令牌，所述第一授权令牌中包括所述第二网络的网络标识，所述第二网络的标识用于验证是否与所述第一客户凭证声明中证书信息内的网络标识相同。13.根据权利要求11或12所述的方法，其特征在于，所述方法还包括：所述第二网络功能实体向所述第一网络功能实体发送所述第一客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识，所述第一客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识用于验证是否与所述第一网络功能实体所属网络功能集合的标识相同。14.根据权利要求11或12所述的方法，其特征在于，所述第一客户凭证声明还包括所述第一客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识，所述第一客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识用于验证是否与所述第一网络功能实体所属网络功能集合的标识相同。15.根据权利要求11
‑
14任一项所述的方法，其特征在于，所述方法还包括：所述第二网络功能实体接收来自所述第一网络功能实体的第二客户凭证声明，所述第
二客户凭证声明中包括所述第二客户凭证声明的期望接收方网络功能实体所在网络的网络标识；所述第二网络功能实体验证所述第二客户凭证声明的期望接收方网络功能实体所在网络的网络标识是否为所述第二网络的网络标识。16.根据权利要求15所述的方法，其特征在于，所述第二客户凭证声明还包括以下至少一个参数：所述第二客户凭证声明的期望接收方网络功能实体的标识；所述第二客户凭证声明的期望接收方网络功能实体所属网络功能集合的标识；所述第二客户凭证声明的期望接收方网络功能实体的类型；所述第一客户凭证声明，或者所述第一客户凭证声明的哈希值；第一业务请求的数据，或者所述第一业务请求的数据的哈希值，所述第一业务请求为承载所述第一客户凭证声明的业务请求；所述第二客户凭证声明的发起方网络功能实体的标识；所述第二客户凭证声明的发起方网络功能实体所属网络功能集合的标识；或者，所述第二客户凭证声明的发起方网络功能实体所在网络的网络标识。17.根据权利要求16所述的方法，其特征在于，所述第二客户凭证声明包括所述第二客户凭证声明的期望接收方网络功能实体的标识；所述方法还包括：所述第二网络功能实体验证所述第二客户凭证声明的期望接收方网络功能实体的标识是否为所述第二网络功能实体的标识；或者，所述第二客户凭证声明包括所述第二客户凭证声明的期望接收方网络功能实体所在网络功能集合的标识；所述方法还包括：所述第二网络功能实体验证所述第二客户凭证声明的期望接收方网络功能实体所在网络功能集合的标识是否为所述第二网络功能实体所属网络功能集合的标识或者，所述第二客户凭证声明包括所述第二客户凭证声明的期望接收方网络功能实体的类型；所述方法还包括：所述第二网络功能实体验证所述第二客户凭证声明的期望接收方网络功能实体的类型是否为所述第二网络功能实体的类型；或者，所述第二客户凭证声明包括所述第一客户凭证声明；所述方法还包括：所述第二网络功能实体验证所述第二客户凭证声明中包括所述第一客户凭证声明；或者，所述第二客户凭证声明包括所述第一客户凭证声明的哈希值；所述方法还包括：所述第二网络功能实体验证所述第二客户凭证声明中包括所述第一客户凭证声明的哈希值；或者，所述第二客户凭证声明包括所述第一业务请求的数据；所述方法还包括：所述第二网络功能实体验证所述第二客户凭证声明中包括所述第一业务请求的数据；或者，所述第二客户凭证声明包括所述第一业务请求的数据的哈希值；所述方法还包括：所述第二网络功能实体验证所述第二客户凭证声明中包括所述第一业务请求的数据的哈希值；或者，所述第二客户凭证声明包括所述第二客户凭证声明的发起方网络功能实体的标识，包括：所述第二客户凭证声明中被签名的内容中包括所述第二客户凭证声明的发起方
网络功能实体的标识；所述方法还包括：所述第二网络功能实体验证所述第二客户凭证声明中被签名的内容中包括的所述第二客户凭证声明的发起方网络功能实体的标识是否为所述第二客户凭证声明中证书信息中的网络功能实体的标识；或者，所述第一客户凭证声明包含在所述第二网络功能实体发送给所述第一网络功能实体的第二业务请求中；所述第二业务请求还包括所述第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识；所述第二客户凭证声明包括所述第二客户凭证声明的发起方网络功能实体所属网络功能集合的标识；所述方法还包括：所述第二网络功能实体验证所述第二客户凭证声明的发起方网络功能实体所属网络功能集合的标识是否为所述第二业务请求中包括的所述第一客户凭证声明的期望接收方网络功能实体所在网络的网络标识；或者，所述第二客户凭证声明包括所述第二客户凭证声明的发起方网络功能实体所在网络的网络标识，包括：所述第二客户凭证声明中被签名的内容中包括所述第二客户凭证声明的发起方网络功能实体所在网络的网络标识；所述方法还包括：所述第二网络功能实体验证所述第二客户凭证声明中被签名的内容中包括的所述第二客户凭证声明的发起方网络功能实体所在网络的网络标识是否为所述第二客户凭证声明中证书信息中的网络标识。18.一种第一网络功能实体，其特征在于，所述第一网络功能实体包括：收发模块和处理模块；所述收发模块，用于接收来自第二网络功能实体的第一客户凭证声明，所述第一客户凭证声明中包括所述第一客户凭证声明的期望接收方网络功能实体所在网络的网...

【专利技术属性】
技术研发人员：张博，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：