API制造技术

本发明专利技术涉及一种

【技术实现步骤摘要】
API调用者装置及其方法和CCF节点及其方法
[0001](
本申请是申请日为
2019
年4月3日
、
申请号为
2019800242497、
专利技术名称为“下一代网络中的通用
API
框架所用的安全过程”的申请的分案申请
。)


[0002]本专利技术涉及通信系统
。
特别地但不排他地，本专利技术与根据第3代合作伙伴计划
(3GPP)
标准或其等同项或衍生项而工作的无线通信系统及其装置相关
。
特别地但不排他地，本专利技术与所谓的“5G”(
或“下一代”)
系统中的安全过程相关
。

技术介绍

[0003]过去，
3GPP
中的多个工作组
(WG)
定义了不同的解决方案，以支持
3GPP
系统外部的北向
API
接口
。
这些规范由具体需要触发，而无需彼此协调
。
这导致了满足具体需求的多个不兼容的
API
定义
。
最近，
3GPP SA2
正在定义北向
API
，以允许外部实体访问由
3GPP
系统通过服务能力开放功能
(SCEF)
提供的服务
。
由于诸如
oneM2M
等的外部
SDO
的请求，因此
3GPP
正在定义
SCEF
的
API。
[0004]到目前为止，
3GPP
尚未定义通用框架，以经由
API
向外部实体提供对由
3GPP
系统所提供的服务的访问
。LTE
中的
SCEF
和
5G
中的
NEF
是可以利用这种通用框架的两个示例
。
[0005]为了解决这种情况，在
Release 15
中，
3GPP SA6 WG
规定了第2阶段规范
(TS 23.222[2])
，以定义通用
API
框架
(CAPIF)
架构，该
CAPIF
架构可由
3GPP
中的任何未来
API
定义使用
。
该第2阶段技术规范
(TS)
定义了第三方
API
提供商如何向用户提供其服务的架构
。
在这一标准工作之前所做的研究在
3GPP
技术报告
(TR)23.722[1]中总结，并且用作以下标准规范
TS 23.222[2]的基础
。
该第2阶段规范在
2017
年
12
月完成
。
[0006]目前
3GPP SA3
具有正在进行的工作项
(WI)
以定义
CAPIF
的安全方面
。
相应的
SA3 TS
为
33.122[3]。

技术实现思路

[0007]专利技术要解决的问题
[0008]根据
[2]和
[3]中的规范，从安全角度来看，存在几个问题
。
问题被描述如下：
[0009](i)API
调用者登录
(onboarding)
[0010]a.
用于登录
API
调用者的过程没有指定过程中的安全相关方面
。
登录过程缺乏
API
调用者的关于其位置
/
区域的信息
(
可信
/
不可信
/
信任级别
)。
[0011]b.CCF
在成功的登录处理之后为
API
调用者分配
API
调用者标识符
(ID)
，但该标识符不是
CCF
特定的
。
这可能导致对
API
调用者
ID
的分配和管理缺乏控制
。
[0012]c.
系统缺乏对登录结果与后续过程
(
诸如服务
API
的发现
、
认证
、
以及
API
调用者的授权
)
的绑定
。
[0013]d.
尽管登录被陈述成是用于将
API
调用者登记为
CAPIF
的认可用户的一次性登录处理，但系统中还存在登出
(offboarding)
处理
。
这意味着，一旦
API
调用者从
CAPIF
登出，并
且如果
API
调用者需要访问其先前登出的同一
CAPIF
所控制的服务
API
，则
API
调用者需要再次登录
CAPIF
以访问相应的服务
API。
这带来了在
API
调用者的生命期内的多于一次登录的范围
。
此外，为不需要生命期有效性或不可靠的
API
调用者提供生命期有效性可能导致资源未充分利用
、
资源耗尽和安全问题
。
[0014](ii)API
调用者登出
[0015]a.
系统只有
API
调用者发起的登录
。
当恶意
API
调用者利用对服务
API
的访问时，无法抑制这类活动
。
[0016]b.
缺乏
CAPIF
核心功能发起的
、
用以防止恶意
API
调用者活动的
API
调用者登出
。
尽管
[6]和
[7]中的先前文献讨论了
CAPIF
核心功能所发起的登出过程，但它们未讨论安全方面
。
[0017]c.
此外，在
API
调用者发起的登出处理中，没有定义用以证实
API
调用者所触发的登出调用的可靠性的机制
。
[0018](iii)
发布服务
API
[0019]a.CAPIF
支持
API
提供者发布服务
API。
通过假冒合法的服务
API
提供者来发布服务
API
的攻击者可能导致恶意服务本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种
API
调用者装置，其中
API
是应用编程接口的缩写，包括：发送部件，用于向
CAPIF
核心功能节点即
CCF
节点发送包括
CAPIF
特定
API
调用者
ID
的登出
API
调用者请求消息，其中
CAPIF
是通用
API
框架的缩写；以及接收部件，用于在所述
CCF
节点对所述
CAPIF
特定
API
调用者
ID
进行验证
、
并且如果所述验证成功则取消所述
API
调用者装置的登记的情况下，从所述
CCF
节点接收指示所述
API
调用者装置的成功登出的登出
API
调用者响应消息
。2.
根据权利要求1所述的
API
调用者装置，其中，所述
CCF
节点删除与所述
API
调用者装置的授权相关的信息
。3.
一种
API
调用者装置的方法，其中
API
是应用编程接口的缩写，所述方法包括：向
CAPIF
核心功能节点即
CCF
节点发送包括
CAPIF
特定
API
调用者
ID
的登出
API
调用者请求消息，其中
CAPIF
是通用
API
框架的缩写；以及在所述
CCF
节点对所述
CAPIF
特定
API
调用者
ID
进行验证
、
并且如果所述验证成功则取消所述
API
调用者装置的登记的情况下，从所述
CCF
节点接收指示所述
API
调用者装置的成功登出的登出
API
调用者响应消息
。4.
根据权利要求3所述的方法，其中，所述
CCF
节点删除与所述
API
调用者...

【专利技术属性】
技术研发人员：伊藤博纪，阿南德，
申请(专利权)人：日本电气株式会社，
类型：发明
国别省市：