授权验证的方法及装置制造方法及图纸

本申请提供了一种授权验证的方法，该方法可以包括：第一网元接收与第二网元关联的服务请求消息，该服务请求消息用于请求该第一网元向该第二网元提供的第一服务，该服务请求消息包括访问令牌，该访问令牌包括第一网络功能NF集的标识，该第一NF集的标识用于指示该访问令牌适用的服务请求网元；该第一网元根据该第一NF集的标识，确定是否授权该第二网元使用该第一服务。在本申请中，通过验证请求服务的网元是否属于请求消息中携带的访问令牌所对应的NF集，来确定该网元是否被授权，从而可以避免恶意的NF服务消费者越权使用访问令牌获取服务。务。务。

【技术实现步骤摘要】
授权验证的方法及装置


[0001]本申请涉及通信
，尤其涉及一种授权验证的方法及装置。

技术介绍

[0002]第五代(5th generation，5G)服务化系统架构中，基于服务化接口通信的双方分别称为服务消费者(service consumer)和服务提供者(service producer)。其中，请求服务的一方称为服务消费者(也可以称为服务请求网元)，提供服务的一方称为服务提供者(也可以称为服务提供网元)。NF服务消费者向NF服务提供者请求服务时，网络功能(network function，NF)服务提供者需要对NF服务消费者请求的服务进行授权检查，即检查NF服务消费者是否被授权使用请求的服务，通过授权流程保证服务消费者获取的是授权的服务，防止恶意的NF服务消费者越权或者非法使用服务。例如，NF服务请求者首先获取访问令牌(access token)，并在发送给NF服务提供者的服务请求消息中携带该access token，NF服务提供者根据该access token对服务请求执行授权检查。
[0003]另一方面，为了保证网络本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种授权验证的方法，其特征在于，包括：第一网元接收与第二网元关联的服务请求消息，所述服务请求消息用于请求所述第一网元向所述第二网元提供第一服务，所述服务请求消息包括访问令牌，所述访问令牌包括第一网络功能NF集的标识，所述第一NF集的标识用于指示所述访问令牌适用的服务请求网元；所述第一网元根据所述第一NF集的标识，确定是否授权所述第二网元使用所述第一服务。2.根据权利要求1所述的方法，其特征在于，所述第一网元根据所述第一NF集的标识，确定是否授权所述第二网元使用所述第一服务，包括：所述第一网元确定所述第二网元是否属于所述第一NF集的标识所指示的第一NF集合；在所述第二网元不属于所述第一NF集合的情况下，所述第一网元拒绝向所述第二网元提供所述第一服务。3.根据权利要求1或2所述的方法，其特征在于，所述第一网元根据所述第一NF集的标识，确定是否授权所述第二网元使用所述第一服务，包括：所述第一网元向第三网元发送第一验证请求消息，所述第一验证请求消息用于请求验证所述第二网元是否属于所述第一NF集的标识所指示的第一NF集合，所述第一验证请求消息包括所述第二网元的标识和所述第一NF集的标识；所述第一网元接收来自所述第三网元的指示信息；所述第一网元根据所述指示信息确定所述第二网元是否属于所述第一NF集合；在所述第二网元不属于所述第一NF集的情况下，所述第一网元拒绝向所述第二网元提供所述第一服务。4.根据权利要求1或2所述的方法，其特征在于，所述第一网元根据所述第一NF集的标识，确定是否授权所述第二网元使用所述第一服务，包括：所述第一网元向第三网元发送第二验证请求消息，所述第二验证请求消息用于请求获取所述第二网元所属的NF集的标识，所述第二验证请求消息包括所述第二网元的标识；所述第一网元接收来自所述第三网元的第二NF集的标识；在所述第二NF集的标识和所述第一NF集的标识不相同的情况下，所述第一网元拒绝向所述第二网元提供所述第一服务。5.根据权利要求1或2所述的方法，其特征在于，所述第一网元根据所述第一NF集的标识，确定是否授权所述第二网元使用所述第一服务，包括：所述第一网元向第三网元发送第三验证请求消息，所述第三验证请求消息用于请求获取所述第一NF集的标识所指示的第一NF集合包括的NF的标识，所述第三验证请求消息包括所述第一NF集的标识；所述第一网元接收来自所述第三网元的所述第一NF集合包括的NF的标识；在所述第一NF集合包括的NF的标识不包括所述第二网元的标识的情况下，所述第一网元拒绝向所述第二网元提供所述第一服务。6.根据权利要求3至5中任一项所述的方法，其特征在于，所述第三网元为网络存储功能网元。7.根据权利要求2所述的方法，其特征在于，所述第一网元确定所述第二网元是否属于
所述第一NF集的标识所指示的第一NF集合，包括：所述第一网元根据配置信息和所述第二网元的标识，确定所述第二网元是否属于所述第一NF集合，所述配置信息包括所述第一NF集合中的NF的标识和/或所述第二网元所属的NF集的标识。8.根据权利要求1至7中任一项所述的方法，其特征在于，所述方法还包括：所述第一网元从所述第二网元的证书中获取所述第二网元的标识；或者，所述第一网元从服务通信代理网元接收所述第二网元的客户端凭证声明CCA，其中，所述CCA中包括所述第二网元的标识；或者，所述第一网元从所述服务请求消息中获取所述第二网元的标识。9.根据权利要求1至8中任一项所述的方法，其特征在于，所述访问令牌还包括第四网元的标识，所述第四网元的标识用于指示所述访问令牌由所述第四网元请求获得的，且所述第四网元属于所述第一NF集的标识所指示的第一NF集合；所述方法还包括：所述第一网元确定所述第二网元的标识与所述第四网元的标识不同。10.根据权利要求1至9中任一项所述的方法，其特征在于，所述方法还包括：在所述第一网元确定所述第二网元属于所述第一NF集的标识所指示的第一NF集合的情形下，所述第一网元保存所述第二网元的标识和所述第一NF集的标识的关联关系。11.根据权利要求1至10中任一项所述的方法，其特征在于，所述访问令牌还包括其他验证条件，所述方法还包括：所述第一网元根据所述其他验证条件，确定是否授权所述第二网元使用所述第一服务，其中，所述其他验证条件包括以下一个或者多个：服务提供者的NF实例标识、服务提供者的NF类型、服务提供者的单网络切片选择辅助信息、服务提供者的网络切片实例标识、期望的服务提供者所属的NF集的标识、期望的服务名称、所述访问令牌的有效时间。12.根据权利要求11所述的方法，其特征在于，所述第一网元根据所述第一NF集的标识，确定是否授权所述第二网元使用所述第一服务，包括：当所述第二网元属于所述第一NF集的标识所指示的第一NF集合，且所述其他验证条件验证通过时，所述第一网元授权所述第二网元使用所述第一服务。13.根据权利要求11所述的方法，其特征在于，所述第一网元根据所述第一NF集的标识，确定是否授权所述第二网元使用所述第一服务，包括：当所述第二网元不属于所述第一NF集的标识所指示的第一NF集，和/或所述其他验证条件中的任意一项验证不通过时...

【专利技术属性】
技术研发人员：吴义壮，吴荣，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：