网络请求的认证的制作方法

1.本公开涉及通信网络中的安全过程，诸如认证过程。


背景技术：

2.在支持基于无线的通信或基于有线的通信的网络中，发现网络功能nf和网络功能服务很重要，因为许多网络功能实例可以被虚拟化并且具有动态特性。核心网络(cn)实体可以寻求发现用于特定nf服务或nf类型的一组一个或多个nf实例和nf服务实例。这种cn实体的示例包括nf和服务通信代理(scp)。要被发现的nf实例的示例包括应用功能、网关和订户数据储存库，以及应用相关功能(例如用于垂直行业支持或娱乐)。其他示例包括资源控制或管理功能、会话管理或控制功能、交互的数据管理或存储功能、认证功能，或这些功能中的一个或多个的组合。nf服务实例，也称为nf服务，包括由nf提供的各个服务。一个nf可以被配置为提供多于一个的服务，其中多于一个的服务中的每一个可以使用不同的方法(诸如不同的地址或端口或通信协议)来获得。
3.nf服务发现可以经由nf发现过程被启用，例如由第三代合作伙伴计划3gpp或gsma、gsm协会建立的技术规范中针对无线通信网络所规定的nf发现过程。然而，本文公开的技术也与有线通信网络相关。


技术实现要素：

4.根据一些方面，提供了独立权利要求的主题。在从属权利要求中限定了一些实施例。本发明的各种实施例所寻求的保护范围由独立权利要求给出。在本说明书中描述的不落入独立权利要求的范围内的实施例、示例和特征(如果有的话)将被解释为对理解本发明的各种实施例有用的示例。
5.根据本公开的第一方面，提供了一种装置，包括至少一个处理核、至少一个存储器，所述至少一个存储器包括计算机程序代码，所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核一起使所述装置至少：接收针对由所述装置提供的服务的服务请求；至少部分地基于认证来确定是否提供所述服务，所述认证基于被包括在所述服务请求中的访问令牌中的第一标识符以及被包括在所述服务请求中的凭证数据元素中的第二标识符，其中当所述第一标识符和所述第二标识符标识相同的网络功能实例或相同的网络功能实例集合时，所述认证是成功的；以及响应于所述确定的结果指示要提供所述服务而提供所述服务。
6.根据本公开的第二方面，提供了一种装置，包括至少一个处理核、至少一个存储器，所述至少一个存储器包括计算机程序代码，所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核一起使所述装置至少：向网络功能提供方提供针对在所述网络功能提供方处的服务的服务请求，而不将所述服务请求路由到服务通信代理；以及将凭证数据元素包括在所述服务请求中。
7.根据本公开的第三方面，提供了一种方法，包括：在装置中接收针对由所述装置提
供的服务的服务请求；至少部分地基于认证来确定是否提供所述服务，所述认证基于被包括在所述服务请求中的访问令牌中的第一标识符以及被包括在所述服务请求中的凭证数据元素中的第二标识符，其中当所述第一标识符和所述第二标识符标识相同的网络功能实例或相同的网络功能实例集合时，所述认证是成功的；以及响应于所述确定的结果指示要提供所述服务而提供所述服服务。
8.根据本公开的第四方面，提供了一种方法，包括：向网络功能提供方提供针对在所述网络功能提供方处的服务的服务请求，而不将所述服务请求路由到服务通信代理；以及将凭证数据元素包括在所述服务请求中。
9.根据本公开的第五方面，提供了一种装置，包括：用于在装置中接收针对由所述装置提供的服务的服务请求的部件；用于至少部分地基于认证来确定是否提供所述服务的部件，所述认证基于被包括在所述服务请求中的访问令牌中的第一标识符以及被包括在所述服务请求中的凭证数据元素中的第二标识符，其中当所述第一标识符和所述第二标识符标识相同的网络功能实例或相同的网络功能实例集合时，所述认证是成功的；以及用于响应于所述确定的结果指示要提供所述服务而提供所述服务的部件。
10.根据本公开的第六方面，提供了一种装置，包括：用于向网络功能提供方提供针对在所述网络功能提供方处的服务的服务请求，而不将所述服务请求路由到服务通信代理的部件；以及用于将凭证数据元素包括在所述服务请求中的部件。
11.根据本发明的第七方面，提供一种非瞬态计算机可读介质，其上存储有计算机可读指令集，该计算机可读指令集在被至少一个处理器执行时使装置至少：接收针对由所述装置提供的服务的服务请求；至少部分地基于认证来确定是否提供所述服务，所述认证基于被包括在所述服务请求中的访问令牌中的第一标识符以及被包括在所述服务请求中的凭证数据元素中的第二标识符，其中当所述第一标识符和所述第二标识符标识相同的网络功能实例或相同的网络功能实例集合时，所述认证是成功的；以及响应于所述确定的结果指示要提供所述服务而提供所述服务。
12.根据本发明的第八方面，提供一种非瞬态计算机可读介质，其上存储有计算机可读指令集，该计算机可读指令集在被至少一个处理器执行时使装置至少：向网络功能提供方提供针对在所述网络功能提供方处的服务的服务请求，而不将所述服务请求路由到服务通信代理；以及将凭证数据元素包括在所述服务请求中。
13.根据本公开的第九方面，提供了一种计算机程序，被配置为当运行时使装置执行至少以下各项：接收针对由所述装置提供的服务的服务请求；至少部分地基于认证来确定是否提供所述服务，所述认证基于被包括在所述服务请求中的访问令牌中的第一标识符以及被包括在所述服务请求中的凭证数据元素中的第二标识符，其中当所述第一标识符和所述第二标识符标识相同的网络功能实例或相同的网络功能实例集合时，所述认证是成功的；以及响应于所述确定的结果指示要提供所述服务而提供所述服务。
14.根据本公开的第十方面，提供了一种计算机程序，被配置为当运行时使装置执行至少以下各项：向网络功能提供方提供针对在所述网络功能提供方处的服务的服务请求，而不将所述服务请求路由到服务通信代理；以及将凭证数据元素包括在所述服务请求中。
15.根据本公开的第十一方面，提供了一种装置，包括至少一个处理核、至少一个存储器，所述至少一个存储器包括计算机程序代码，所述至少一个存储器和所述计算机程序代
码被配置为与所述至少一个处理核一起使所述装置至少：接收针对由所述装置提供的服务的服务请求；至少部分地基于认证来确定是否提供所述服务，所述认证基于被包括在所述服务请求中的访问令牌中的第一标识符以及被包括在用于保护所述装置和网络功能消费方之间的连接的凭证数据元素中的第二标识符，其中当所述第一标识符和所述第二标识符标识相同的网络功能实例或相同的网络功能实例集合时，所述认证是成功的；以及响应于所述确定的结果指示要提供所述服务而提供所述服务。
附图说明
16.图1示出了根据本发明的至少一些实施例的示例系统；
17.图2示出了根据本发明的至少一些实施例的示例系统；
18.图3示出了能够支持本发明的至少一些实施例的示例装置；
19.图4示出了根据本发明的至少一些实施例的信令；以及
20.图5是根据本发明的至少一些实施例的方法的流程图。
具体实施方式
21.在基于服务的架构中，可以通过实现将在本文中公开的认证过程来防止访问令牌(access token)的误用。具体地，服务提供网络功能提供方nfp可以被配置为验证传入的服务请求具有服务消费nf(nfc)的凭证数据元素，例如nfc的客户凭证断言(cca)数据元素，其具有与包括在同一服务请求中的访问令牌中的标识符一致的标识符。例如，标识符可以标识相同的nf实例(nfc)、或相同的nf实例集。nf实例集可以包括多于一个nf实例。在标识符冲突的情况下，网络功能提供方可以利用错误消息或者例如通过简单地丢弃服务请求来拒绝服务请求。因此，保护了网络免受例如恶意执行的、陷入危险的服务通信代理。
22.图1示出了根据本发明的至少一些实施例的示例系统100。该系统包括两个公共陆地移动网络plmn 110、112，其中每个公共陆地移动网络分别配备有网络功能nf 120、122。网络功能可以指操作实体和/或物理实体。网络功能可以是特定的网络节点或网络元件，或由诸如虚拟化网络元件vnf的一个或多个实体执行的特定功能或功能集。一个物理节点可以被配置为执行多个nf。这种网络功能的示例包括资源控制或管理功能、会话管理或控制功能、交互、数据管理或存储功能、认证功能、或这些功能中的一个或多个的组合。
23.在第三代合作伙伴计划3gpp、第五代5g、基于系统服务的架构(sba)核心网络的情况下，nf可以包括接入和移动性管理功能(access and mobility management function)amf、会话管理功能smf、网络切片选择功能nssf、网络开放功能(network exposure function)nef、网络储存库功能nrf、统一数据管理udm、认证服务器功能ausf、策略控制功能pcf和应用功能af中的至少一些。nef被配置为提供对开放的网络服务和能力的访问。udm被配置为在单个集中式元件中管理网络用户数据。每个plmn还可以分别包括被配置为作为安全边缘节点或网关操作的安全边缘保护代理(sepp)130、132。nf可以使用例如代表性状态传送(rest)应用编程接口来彼此通信。这些可以被称为restful api。nf的其它示例包括与游戏、流传输或工业过程控制相关的nf。该系统还可以包括来自3g或4g节点系统的节点，例如归属订户服务器(hss)，以及用于例如diameter和基于json的restful api之间的协议转换的合适互通功能。虽然本文主要使用5g系统的术语进行描述，但是本发明的原理也适
用于使用本文描述的代理的其它通信网络，例如4g网络和非3gpp网络。
24.虽然图1的示例具有两个plmn 110、122，但是通常本发明的至少一些实施例可以在单个plmn中实现，其不一定需要具有sepp。在双plmn的情况下，在图1中，sepp 130、132是在运营商网络的边界处的网络节点，该网络节点可以被配置为从nf接收诸如http请求或http响应的消息，以针对发送施加保护并且通过诸如ip交换(ip exchanges，ipx)的中间节点链向接收sepp转发重新格式化的消息。接收sepp接收由发送sepp发送的消息，并将该消息转发到其运营商网络内的nf，例如ausf。
25.在图1的示例中，服务消费nf和服务生产nf之间的通信在下文中被称为nfc 120和nfp 122。它们也可以分别被称为nf服务消费方和nf服务生产方。如上所述，nfc和nfp可以驻留在相同的plmn或不同的plmn中。
26.服务通信代理scp 150可以被部署用于网络功能nf之间的间接通信。scp是中间网络实体，用于辅助nfc和nfp之间的间接通信，包括对消息(例如在nf之间的控制平面消息)进行路由，并且可选地包括代表nfc 120发现和选择nfp 122，或者代表nfc 120向nrf140、142或授权服务器请求访问令牌以访问nfp 122的服务。
27.对于nf服务，可以在nfc 120与nfp 122之间应用直接通信，或者可以经由scp 150间接执行nf服务通信。在直接通信中，nfc120通过本地配置或经由本地nrf(cnrf)140来执行目标nfp 122的发现。在间接通信中，nfc 120可以将目标nfp 122的发现委托给scp 150。在后一种情况下，scp可以使用由nfc 120提供的参数来执行目标nfp 122的发现和/或选择，例如参考一个或多个nrf。
28.nf发现和nf服务发现使诸如nfc或scp的实体能够发现用于特定nf服务或nfp类型的一组nf实例及nf服务实例。nfc和/或scp可以是核心网络实体。网络储存库功能(nrf)可以包括用于支持nf和nf服务注册、发现、授权和状态通知功能性的功能。附加地或可选地，nrf可以被配置为充当授权服务器。nrf可以维护可用nfp实体及其所支持的服务的nf简档。nrf可以向进行了订阅的nfc或scp通知新注册、更新或注销的nfp实体及其nf服务。nrf因此可以通知nfc实体或scp关于它们可以从哪个nfp实体获得它们需要的服务。nrf可以与scp一起共处一地，例如在同一计算基板中运行。备选地，nrf可以位于在物理上与scp不同的节点中，或者甚至由服务提供方托管。
29.为了使nfc 120或scp 150获得关于在plmn/切片中注册或配置的nfp 122和/或nf服务的信息，nfc 120或scp 150可以基于本地配置来发起利用nrf(例如，cnrf 140)的发现过程。可以通过提供nfp的类型以及可选地提供其试图发现的特定服务的列表来发起发现过程。nfc 120或scp 150可以附加地或替换地提供其它服务参数，诸如与网络切片有关的信息。
30.应当注意，实体或节点120、122、140、142中的至少一些可以在服务消费和服务提供两种角色中均起作用，并且它们的物理结构可以相似或相同，而它们在本示例中在递送特定消息或服务中的角色通过使用前缀/后缀“c”或“p”来标识，前缀/后缀“c”或“p”指示它们是充当服务消费nf还是服务生产nf。应当注意，替代“c”和“p”，用于受访的“v”和用于归属的“h”可以用来指受访plmn和归属plmn中的至少一些相应实体。在一些实施例中，实现本公开的实施例的系统包括第四代(4g)和第五代(5g)部分。
31.在一些实施例中，为了授权nfc访问nfp的服务，在nfc和nfp之间应用基于oauth的
服务授权和/或令牌交换。作为oauth的替代，可以应用另一授权框架。因此，网络实体(诸如nrf)可以是授权服务器(as)，或者可以作为授权服务器(as)执行操作，其中授权服务器(as)诸如是例如oauth授权服务器。nfc可以是oauth客户端，nfp可以作为oauth资源服务器工作，并且它们可以被配置为支持例如rfc 6749中定义的oauth授权框架。
32.通常，网络支持功能(诸如nrf)还可以被配置为充当授权服务器，并向nfc或代表nfc而动作的scp提供授权nfc使用由nfp提供的服务的加密访问令牌。通常，nrf是网络支持节点的术语示例。通常，scp是代理实体的术语示例。当从nfp请求服务时，nfc或scp可以在请求消息中包括访问令牌，例如在“授权承载(authorization bearer)”报头中包括访问令牌。这样的访问令牌在本文可以简称为令牌。例如，nrf可以充当oauth 2.0认证服务器。令牌可以包括例如nfc、nrf和/或nfp的标识符、时间戳和/或利用该令牌对nfc授权的特定服务的标识符。令牌可以包括其自身的令牌标识符，例如序列号。令牌标识符可以唯一地标识令牌。可以使用nrf的私钥对令牌进行加密签名。这种加密签名的有效性可以使用nrf的相应公钥来验证，例如，nfp可以结合向nrf注册它提供的服务来获得所述公钥。当nfc联系nfp时，nfc可以展示访问令牌，然后nfp可以例如至少部分地通过使用它的nrf的公钥的副本来验证该访问令牌。在一些实施例中，可以使用基于消息认证码(mac)的加密签名来代替基于非对称密码学的签名，或者作为对基于非对称密码学的签名的补充。经由服务通信代理发布访问令牌可以包括代理代表nfc使用访问令牌将其转发到nfc或不将其转发到nfc。
33.当从nfp请求服务时，nfc或代表nfc而动作的scp可以在服务请求中包括访问令牌(该访问令牌授权对服务的访问)，以及nfc和/或scp的凭证数据元素(诸如cca)。cca可以包括例如以下字段中的一个、多于一个或全部：
34.cca(nfc)
35.sub：nfc实例id
36.iat：发布时间
37.exp：期满时间
38.aud：nfp
39.nf set id：集id
40.此处sub是生成该cca的nfc的nf实例标识符。此处iat是声明cca的发布时间的时间戳，并且exp是cca的期满时间。此处aud是被预期处理cca的nf类型的列表，在该示例中，cca旨在在nfp中使用。集id(可选，因为其在至少一些实施例中不存在)标识包括nfc的一组nf实例。
41.图2示出了根据本发明的至少一些实施例的示例系统。nfc 210想要消费由nfp 240提供的服务。在图2的示例中使用经由scp 220的间接通信，尽管如本文将描述的，其它实施例使用nfc和nfp之间的不经由scp的直接通信。在服务请求200a中，nfc 210通过向scp 220发送请求来请求服务。服务请求可以包括nfc 210的凭证数据元素，例如客户凭证断言(cca)数据元素，该cca数据元素使接收nf(例如，nrf或nfp)能够认证nfc 210。通常，cca数据元素可以采取例如javascript对象符号(json)、web令牌的形式。凭证数据元素可以包括例如nf实例集标识符。
42.响应于服务请求200a，scp 220向nrf 230发出发现消息200b。发现消息200b可以基于在服务请求200a中表达的信息来描述nfc210寻找的服务。scp 220可以在发现消息中
包括以下至少一项：nfc210的凭证数据元素、或scp 220自身的凭证数据元素。
43.响应于发现消息200b，nrf 230可以用nf简档消息200c来进行响应，该nf简档消息200c可以描述提供nfc 210希望获得的服务的nfp实体。scp 220可以代表nfc 210从简档消息200c中选择nfp实体中的一个，并在消息200d中针对所选择的nfp请求访问令牌，该消息200d可以包括所选择的nfp(在图2的情况下，是nfp 240)的标识符。响应于访问令牌请求200d，nrf可以在消息200e中向scp 220提供所请求的访问令牌。例如，访问令牌可以授权访问nfp 240中的nfc 210感兴趣的特定服务。访问令牌可以包括nfc 210的标识符。例如，在使用凭证数据元素的实施例中，nfc210的标识符可以由nrf 230从nfc 210的凭证数据元素获得。
44.然后，scp 220可以通过向nfp 240发送服务请求消息200f来向nfp 240请求服务。请求消息200f可以包括scp 220在消息200e中接收的访问令牌和nfc 210的凭证数据元素(诸如cca)。在验证访问令牌之后，nfp 240可以执行认证，其中nfp 240将被包括在服务请求200f中的访问令牌中的第一标识符与被包括在服务请求200f中的nfc 210的凭证数据元素中的第二标识符进行比较，其中当第一标识符和第二标识符标识相同的网络功能实例或相同的网络功能实例集时，认证成功。因此，nfp可以检查(check)服务请求200f中的访问令牌已被针对请求该服务的特定nfc授权启用对该服务的访问。当然，nfp 240可以可选地首先执行认证，然后验证访问令牌。验证访问令牌可以包括检查访问令牌上的加密签名。响应于认证过程指示可以提供服务并且访问令牌被验证为正确，nfp 240可以在消息200g中提供所请求的服务的结果，然后这些结果由scp220在消息200h中提供给nfc 210。总之，确定是否提供服务可以包括认证以及可选地包括访问令牌签名的验证。
45.第二nfc 250可以在服务请求200j中请求服务，例如与nfc 210在阶段200a中所请求的服务相同的服务。nfc 250可以试图伪装成nfc 210。scp 220可以确定它已经具有从阶段200e缓存的针对该服务的访问令牌，并向nfp 240发出服务请求200k。在这种情况下，避开了nrf 230作为授权服务器的角色，并且nfc 250实际上没有被授权访问nfp 240中的服务。因此，阶段200k的服务请求将包括nfc 250的凭证数据元素，以及在阶段200e中提供的用于授权nfc210访问该服务的访问令牌。为了防止这种情况，scp 220可以被配置为在服务请求中重新使用经缓存的访问令牌之前，检查已经为请求nfc(而非另一nfc)生成了访问令牌。
46.当执行认证处理时，nfp 240将认识到访问令牌中的第一标识符和第二标识符与服务请求200k中的凭证数据元素不匹配。详细地，访问令牌中的第一标识符标识nfc 210，而凭证数据元素(例如，cca)中的第二标识符标识nfc 250。认证过程仅在nfc 210和nfc250在同一nfc集中的情况下才会成功，在该情况下，访问令牌中的集标识符可以与nfc 250的凭证数据元素中的集标识符相同。如果不是这种情况，则nfp 240可以被配置为返回错误消息，或仅丢弃服务请求200k。
47.scp 220可以偶然地或者在scp恶意地动作的情况下重新使用nfc 210的访问令牌。例如，在scp被恶意软件感染的情况下，scp可能恶意地动作。在使用直接通信并且nfc 210向nfp 240发出服务请求以使该服务请求不经过scp的实施例中，中间人(man-in-the-middle，mitm)攻击者可以在服务请求到达nfp之前从该服务请求复制nfc 210的访问令牌，并且稍后使用所复制的访问令牌向另一nfc(例如，nfc 250)请求服务。在这种情况下，
nfp240同样处于拒绝服务请求的立场，因为服务请求中的第一标识符和第二标识符不匹配。详细地，访问令牌中的标识符与凭证数据元素中的标识符不匹配。在使用直接通信且nfc 210向nfp 240发布服务请求而不将服务请求引导给scp的情况下，nfp可以检查其在服务请求中接收的访问令牌中的nfc的标识符是否标识与用于保护nfp与nfc侧之间的连接的密码证书中的nfc标识符所标识的nfc相同的nfc。这种证书的示例是tls证书，并且tls证书中的nfc标识符的示例是证书的subjectaltname字段中的标识符。
48.在漫游时的间接通信的情况下，如果启用nfc的凭证数据元素用于漫游，则所描述的认证处理是非常有用的。例如，归属plmn(hplmn)中的nfp可以通过将由vplmn中的nfc发送的凭证数据元素中存在的nf实例标识符与由hplmn中存在的nrf生成的访问令牌中存在的nf实例标识符进行比较，来验证服务请求是否源自受访plmn中的真正nfc。
49.在一些实施例中，nfp被配置为基于服务请求的内容来决定是否执行认证。nfp可以被配置为仅在满足至少一个标准的情况下执行认证。例如，nfp可以被配置为基于在服务请求中指示的网络功能消费方的网络功能类型来决定是否执行认证。作为具体示例，当nfp本身是统一数据管理节点时，nfp可以被配置为响应于服务请求中指示的网络功能消费方的类型为网络开放功能而执行认证。例如，该标准可以具体地涉及作为nfc的nef从作为nfp的udm请求称为udm-pp服务的用户设备数据供应。该标准的另一示例是当amf向充当nfp的ausf请求认证请求时执行认证。为了启用认证，nfc可以被配置为将其凭证数据元素包括到所有服务请求中，而不管是否使用scp。作为另一示例，当nfc是nef或amf时它可以将凭证数据元素包括到其从udm或ausf请求服务的服务请求中，否则不将其凭证数据元素包括在服务请求中。
50.图3示出了能够支持本发明的至少一些实施例的示例装置。所示出的是设备300，设备300可以在可应用部分中包括例如运行nfp和/或nfc的物理节点。处理器310包括在设备300中，处理器310可以包括例如单核处理器或多核处理器，其中单核处理器包括一个处理核，而多核处理器包括多于一个处理核。处理器310通常可以包括控制设备。处理器310可以包括多于一个的处理器。处理器310可以是控制设备。处理核可以包括，例如，由arm holdings公司制造的cortex-a8处理核或由amd公司设计的zen处理核。处理器310可以包括至少一个amd epyc和/或intel原子处理器。处理器310可以包括至少一个专用集成电路asic。处理器310可以包括至少一个现场可编程门阵列fpga。处理器310可以是用于在设备300中执行诸如接收、确定、包括和/或提供等的方法步骤的部件。处理器310可以至少部分地由计算机指令配置以执行动作。
51.处理器可以包括电路，或者被构成为一个或多个电路，该一个或多个电路被配置为执行根据本文描述的实施例的方法的阶段。如本技术中所使用，术语“电路”可指以下一项或多项或全部：(a)纯硬件电路实现，诸如仅模拟电路和/或数字电路中的实现，以及(b)硬件电路和软件的组合，诸如，如可适用：(i)模拟硬件电路和/或数字硬件电路与软件/固件的组合，以及(ii)具有软件(包括数字信号处理器)的硬件处理器的任何部分、软件和存储器一起工作以使装置(诸如服务器)执行各种功能，以及(c)需要软件(例如固件)用于操作的硬件电路和/或处理器(诸如微处理器或微处理器的一部分)，但是当不需要该软件用于操作时，该软件可以不存在。
52.电路的这一定义适用于该术语在本技术中(包括在任何权利要求中)的所有使用。
作为另一示例，如本技术中所使用，术语电路还涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器的一部分及其(或它们的)随附软件和/或固件的实现。术语电路还涵盖(例如并且如果适用于特定权利要求元件)用于移动设备的基带集成电路或处理器集成电路或服务器、蜂窝式网络设备或其它计算设备或网络设备中的类似集成电路。
53.设备300可以包括存储器320。存储器320可以包括随机存取存储器和/或永久存储器。存储器320可以包括至少一个ram芯片。存储器320可以包括例如固态、磁、光和/或全息存储器。存储器320可以至少部分地可由处理器310访问。存储器320可以至少部分地包括在处理器310中。存储器320可以是用于存储信息的部件。存储器320可以包括处理器310被配置来执行的计算机指令。当被配置为使处理器310执行某些动作的计算机指令被存储在存储器320中，并且设备300整体被配置为使用来自存储器320的计算机指令在处理器310的指导下运行时，处理器310和/或其至少一个处理核可以被认为被配置来执行所述某些动作。存储器320可以至少部分地被包括在处理器310中。存储器320可以至少部分地在设备300外部，但可以由设备300访问。
54.设备300可以包括发送器330。设备300可以包括接收器340。发送器330和接收器340可以被配置为分别根据至少一个蜂窝标准或非蜂窝标准来发送信息和接收信息。发送器330可以包括多于一个发送器。接收器340可以包括多于一个接收器。发送器330和/或接收器340可以被配置为根据适当的消息传送协议进行操作。
55.设备300可以包括用户接口ui 360。ui 360可以包括显示器、键盘或触摸屏中的至少一个。用户能够经由ui 360操作设备300，例如配置诸如认证策略信息的操作参数。
56.处理器310可以配备有发送器，该发送器被设置为经由设备300内部的电引线将信息从处理器310输出到包括在设备300中的其他设备。这样的发送器可以包括串行总线发送器，该串行总线发送器被设置为例如经由至少一个电引线将信息输出到存储器320以存储在其中。替代地，对于串行总线，发送器可以包括并行总线发送器。类似地，处理器310可以包括接收器，该接收器被设置为经由设备300内部的电引线从包括在设备300中的其他设备接收处理器310中的信息。这样的接收器可以包括串行总线接收器，其被设置为例如经由至少一个电引线从接收器340接收信息以在处理器310中进行处理。替代地，对于串行总线，接收器可以包括并行总线接收器。
57.设备300可以包括图3中未示出的其它设备。在一些实施例中，设备300缺少至少一个上述设备。
58.处理器310、存储器320、发送器330、接收器340和/或ui 360可以通过设备300内部的电引线以多种不同方式互连。例如，上述设备中的每一个可以单独地连接到设备300内部的主总线，以允许设备交换信息。然而，如本领域技术人员将理解的，这仅是一个示例，并且取决于实施例，在不脱离本发明的范围的情况下，可以选择将前述设备中的至少两个互连的各种方式。
59.图4示出了根据本发明的至少一些实施例的信令。在垂直轴上，在左侧设置nfc，在中心设置scp，在右侧设置nfp。时间从顶部向底部前进。
60.在阶段410中，nfc向scp请求由nfp提供的服务。阶段410的请求可以包括nfc的凭证数据元素。在阶段420中，scp向nfp发送服务请求。该请求可以包括nfc的凭证数据元素(诸如cca)，以及授权从nfp向nfc提供所请求的服务的访问令牌。scp可以从例如nrf或从
nfc本身获得访问令牌。在阶段425中，scp通过将包括在阶段420的服务请求中的访问令牌存储在包括在scp中的存储器中或可由scp访问的存储器中来缓存该访问令牌。
61.在阶段430，nfp分析阶段420的请求。nfp可以通过检查发布该令牌的nrf或其他授权服务器的在访问令牌上的加密签名来验证该访问令牌。此外，nfp可以执行认证过程以检查访问令牌上的第一标识符与nfc的凭证数据元素上的第二标识符相同。在第一标识符和第二标识符标识相同的网络功能实例或相同的网络功能实例集的情况下，认证成功。如果认证成功并且访问令牌被成功地验证为可信的，则在阶段440和阶段450中nfp可以将服务的结果提供给nfc。因此，确定是否提供服务可以包括访问令牌的认证和验证。在一些实施例中，不执行访问令牌的验证。
62.在阶段460中，scp使用在阶段425中缓存的访问令牌代表另一nfc发出虚假服务请求。因此，阶段460的服务请求包括与服务请求420中的访问令牌相同的访问令牌、以及不同nfc的凭证数据元素。当在阶段470中nfp分析阶段460的服务请求时，它将检测到虽然访问令牌在发布nrf或其它授权服务器的加密签名正确这一意义上是可信的，但是访问令牌中的第一标识符标识了与阶段460的凭证数据元素中的第二标识符所标识的网络功能不同的网络功能。因此，通过在阶段480将错误消息发送回scp，nfp处于拒绝阶段460的服务请求的立场。错误消息可以是4xx错误消息，例如携带指示因nf实例id不匹配导致授权失败的原因代码。
63.图5是根据本发明的至少一些实施例的方法的流程图。所说明的方法的阶段可以在nfp中执行，或者在被配置以在安装于其中时控制其功能的控制设备中执行。
64.阶段510包括在装置中接收针对由所述装置提供的服务的服务请求。例如，可以从代理实体(诸如服务通信代理scp)接收所述服务请求。替代地，可以直接从nfc接收所述服务请求，以使所述服务请求不经过scp。阶段520包括至少部分地基于认证来确定是否提供所述服务，所述认证基于包括在所述服务请求中的访问令牌中的第一标识符以及包括在所述服务请求中的凭证数据元素中的第二标识符，其中当所述第一标识符和所述第二标识符标识相同的网络功能实例或相同的网络功能实例集时，所述认证是成功的。阶段530包括响应于确定的结果指示要提供所述服务而提供所述服务。所述访问令牌不同于所述凭证数据元素。
65.应理解，所公开的本发明的实施例不限于本文所公开的特定结构、工艺步骤或材料，而是扩展到相关领域技术人员将认识到的其等效物。还应当理解，本文使用的术语仅用于描述特定实施例的目的，而不旨在限制。
66.在整个说明书中对一个实施例或一实施例的引用意味着结合该实施例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，在本说明书中各处出现的短语“在一个实施例中”或“在一实施例中”不一定都指同一实施例。当使用诸如约或基本上的术语提及数值时，也公开了确切的数值。
67.如本文所使用的，为方便起见，多个项目、结构元件、组成元件和/或材料可以呈现在共同列表中。然而，这些列表应被解释为该列表的每个成员被单独标识为单独且唯一的成员。因此，在没有相反指示的情况下，这种列表中的任何单个成员都不应被解释为仅基于其在共同组中的呈现而与同一列表中的任何其他成员事实上等同。此外，本发明的各种实施例和示例可以在本文中连同其各种组件的替换物一起提及。应当理解，这样的实施例、示
例和替代方案不应当被解释为彼此的实际等同物，而是应当被认为是本发明的独立且自主的表示。
68.此外，所描述的特征、结构或特性可以以任何合适的方式组合在一个或多个实施例中。在前面的描述中，提供了许多具体细节，例如长度、宽度、形状等的示例，以提供对本发明实施例的透彻理解。然而，相关领域技术人员将认识到，可以在没有一个或多个具体细节的情况下，或者利用其它方法、组件、材料等来实践本发明。在其它情况下，未示出或详细描述公知的结构、材料或操作，以避免模糊本发明的各方面。
69.虽然上述示例在一个或多个特定应用中说明了本发明的原理，但是对于本领域普通技术人员来说显而易见的是，在不运用创造性能力的情况下，并且在不脱离本发明的原理和概念的情况下，可以对实现的形式、使用和细节进行多种修改。因此，除了所提出的权利要求之外，本发明不受限制。
70.动词“包括”和“包含”在本文中用作开放式限制，既不排除也不要求还存在未列举的特征。除非另有明确说明，从属权利要求中所述的特征可以相互自由组合。此外，应当理解，在全文中使用“一”或“一个”，即单数形式，并不排除复数的情况。
71.本文中的表述“a或b中的至少一个”意指a或b，或者a和b两者。
72.工业实用性
73.本发明的至少一些实施例在通信网络安全中实现工业应用。
74.首字母缩略词列表
75.api
ꢀꢀꢀꢀ
应用程序编程接口
76.fqdn
ꢀꢀꢀ
全限定域名
77.nfc
ꢀꢀꢀꢀ
网络功能消费方
78.nfp
ꢀꢀꢀꢀ
网络功能生产方
79.nrf
ꢀꢀꢀꢀ
网络储存库功能
80.scp
ꢀꢀꢀꢀ
服务通信代理