用于安全边缘保护代理（SEPP）处的委托授权的方法、系统和计算机可读介质与流程

本文中描述的主题涉及网络安全和公共陆地移动网络(plmn)间兼容性。更具体地，本文中描述的主题涉及用于sepp处的委托授权的方法、系统和计算机可读介质。

背景技术：

1、在5g电信网络中，提供服务的网络功能被称为生产者网络功能(nf)或nf服务生产者。消费服务的网络功能被称为消费者nf或nf服务消费者。取决于网络功能是在消费、生产还是消费和生产服务，网络功能可以是生产者nf、消费者nf或者两者。术语“生产者nf”和“nf服务生产者”在本文中可互换使用。类似地，术语“消费者nf”和“nf服务消费者”在本文中可互换使用。

2、给定的生产者nf可以具有许多服务端点，其中服务端点是由该生产者nf托管的一个或多个nf实例的联系点。由因特网协议(ip)地址和端口号的组合或解析为托管生产者nf的网络节点上的ip地址和端口号的完全限定域名来标识服务端点。nf实例是提供服务的生产者nf的实例。给定的生产者nf可以包括多于一个nf实例。还应注意的是，多个nf实例可以共享同一服务端点。

3、生产者nf向网络功能储存库功能(nrf)注册。nrf维护识别由每个nf实例支持的服务的可用nf实例的服务简档。术语“服务简档”和“nf简档”在本文中可互换使用。消费者nf可以订阅以接收关于已经向nrf注册的生产者nf实例的信息。

4、除了消费者nf之外，可以订阅以接收关于nf服务实例的信息的另一种类型的网络节点是服务通信代理(scp)。scp向nrf订阅并获得关于生产者nf服务实例的可达性和服务简档信息。消费者nf连接到服务通信代理，并且服务通信代理在提供所需服务的生产者nf服务实例之间对流量进行负载平衡，或者将流量直接路由到目的地生产者nf实例。

5、除了scp之外，在生产者和消费者nf之间路由流量的中间代理节点的另一示例是安全边缘保护代理(sepp)。sepp是用于保护在不同5g公共陆地移动网络(plmn)之间交换的控制平面流量的网络节点。因此，sepp对在plmn之间传送的所有应用编程接口(api)消息执行消息过滤、监管和拓扑隐藏。

6、当一个公共plmn或网络功能支持oauth 2.0授权而另一plmn或者网络功能不支持oauth 2.0授权时，出现5g通信网络中的一个问题。根据在因特网工程任务组(ietf)征求意见稿(rfc)6749中指定的oauth 2.0授权框架，寻求访问可从资源服务器获得的受保护资源的授权客户端首先从授权服务器获得访问令牌。在客户端获得访问令牌之后，客户端向资源服务器发送服务请求。资源服务器验证访问令牌并且提供对受保护资源的访问。

7、在5g通信网络的上下文中，nf服务消费者充当oauth 2.0资源客户端，nf服务生产者充当oauth 2.0资源服务器，并且nrf充当授权服务器。因此，寻求访问由nf服务生产者提供的服务的nf服务消费者与nrf发信号(signal)以获得用于访问由nf服务生产者提供的资源的访问令牌。在nf服务消费者从nrf获得访问令牌之后，nf服务消费者向nf服务生产者发送服务请求，其中该服务请求包括访问令牌。nf服务生产者验证访问令牌，并且提供对由nf服务消费者请求的服务的访问。

8、虽然oauth 2.0授权框架致力于在5g通信网络中提供授权，但如果服务请求是从不支持oauth 2.0授权的消费者nf向要求oauth 2.0访问令牌的生产者nf发送的，则该服务请求将被拒绝。类似地，如果支持oauth 2.0授权的消费者nf向不支持oauth 2.0授权的nrf发送访问令牌请求，则请求消费者nf将不能获得访问令牌。

9、当服务消费者的plmn支持oauth 2.0授权并且服务生产者的plmn不支持oauth2.0授权时，可能出现这些类型的不兼容问题，反之亦然。当来自一个供应商的nf支持oauth2.0授权并且来自另一供应商的nf不支持oauth 2.0授权时，也可能出现这些类型的不兼容问题。

10、鉴于这些和其他困难，当存在oauth 2.0授权不兼容时，需要用于网络功能之间的改进的互操作性的方法。

技术实现思路

1、一种用于安全边缘保护代理(sepp)处的委托授权的方法包括从不支持基于访问令牌的授权的第一消费者网络功能(nf)截取(intercept)用于访问由要求基于访问令牌的授权的第一生产者nf提供的服务的第一基于服务的接口(sbi)服务请求。该方法还包括作为访问令牌授权客户端代理操作以代表第一消费者nf获得第一访问令牌。该方法还包括使用第一访问令牌来使第一消费者nf能够访问由第一生产者nf提供的服务。

2、根据本文中描述的主题的另一方面，作为访问令牌授权客户端代理操作包括与nf储存库功能(nrf)发信号以获得第一访问令牌。

3、根据本文中描述的主题的另一方面，与nrf发信号以获得第一访问令牌包括：代表第一消费者nf生成访问令牌请求；向nrf传送访问令牌请求；以及从nrf接收包括第一访问令牌的访问令牌响应。

4、根据本文中描述的主题的另一方面，生成访问令牌请求包括从第一sbi服务请求的用户代理标头(header)提取要包括在访问令牌请求中的至少一些属性的值。

5、根据本文中描述的主题的另一方面，提取属性中的至少一些的值包括从第一sbi服务请求的用户代理标头提取第一消费者nf的nf实例id。

6、根据本文中描述的主题的另一方面，使用第一访问令牌来使第一消费者nf能够访问由第一生产者nf提供的服务包括：在第一sbi服务请求中插入第一访问令牌；将包括第一访问令牌的第一sbi服务请求转发到第一生产者nf；从第一生产者nf接收sbi服务响应；以及将sbi服务响应转发到第一消费者nf。

7、根据本文中描述的主题的另一方面，用于sepp处的委托授权的方法包括：从第二消费者nf接收访问令牌请求；响应于来自第二消费者nf的访问令牌请求，代表不支持访问令牌授权的nf储存库功能(nrf)作为访问令牌授权服务器代理操作；以及与第二消费者nf和第二生产者nf发信号以使第二消费者nf能够访问由第二生产者nf提供的服务。

8、根据本文中描述的主题的另一方面，作为访问令牌授权服务器代理操作包括：响应于访问令牌请求，生成第二访问令牌；以及向第二消费者nf传送包括第二访问令牌的访问令牌响应。

9、根据本文中描述的主题的另一方面，与第二生产者nf发信号以使第二消费者nf能够访问由第二生产者nf提供的服务包括：从第二消费者nf接收包括第二访问令牌的第二sbi服务请求；从第二sbi服务请求中移除第二访问令牌；将第二sbi服务请求转发到第二生产者nf；从第二生产者nf接收sbi服务响应；以及将sbi服务响应转发到第二消费者nf。

10、根据本文中描述的主题的另一方面，生成第二访问令牌包括生成包括具有句法正确的声明的伪(dummy)访问令牌的oauth 2.0访问令牌。

11、根据本文中描述的主题的另一方面，提供一种用于安全边缘保护代理(sepp)处的委托授权的系统。该系统包括包含至少一个处理器和存储器的sepp。该系统还包括由所述至少一个处理器实现的访问令牌授权客户端代理，用于：从不支持基于访问令牌的授权的第一消费者网络功能(nf)截取用于访问由要求基于访问令牌的授权的第一生产者nf提供的服务的第一基于服务的接口(sbi)服务请求，作为访问令牌授权客户端操作以代表第一消费者nf获得第一访问令牌，以及使用第一访问令牌来使第一消费者nf能够访问由第一生产者nf提供的服务。

12、根据本文中描述的主题的另一方面，访问令牌授权客户端代理被配置为与nf储存库功能(nrf)发信号以获得第一访问令牌。

13、根据本文中描述的主题的另一方面，访问令牌授权客户端代理被配置为通过以下步骤与nrf发信号以获得第一访问令牌：代表第一消费者nf生成访问令牌请求；向nrf传送访问令牌请求；以及从nrf接收包括第一访问令牌的访问令牌响应。

14、根据本文中描述的主题的另一方面，访问令牌授权客户端代理被配置为通过从第一sbi服务请求的用户代理标头提取要包括在访问令牌请求中的至少一些属性的值来生成访问令牌请求。

15、根据本文中描述的主题的另一方面，由访问令牌授权客户端代理提取的值包括来自第一sbi服务请求的用户代理标头的第一消费者nf的nf实例id。

16、根据本文中描述的主题的另一方面，访问令牌授权客户端代理被配置为通过以下步骤使用第一访问令牌来使第一消费者nf能够访问所述服务：在第一sbi服务请求中插入第一访问令牌；将包括第一访问令牌的第一sbi服务请求转发到第一生产者nf；从第一生产者nf接收sbi服务响应；以及将sbi服务响应转发到第一消费者nf。

17、根据本文中描述的主题的另一方面，用于sepp处的委托授权的系统包括访问令牌授权服务器代理，用于：从第二消费者nf接收访问令牌请求；响应于来自第二消费者nf的访问令牌请求代表不支持访问令牌授权的nf储存库功能(nrf)作为访问令牌授权服务器操作；以及与第二消费者nf和第二生产者nf发信号以使第二消费者nf能够访问由第二生产者nf提供的服务。

18、根据本文中描述的主题的另一方面，在作为访问令牌授权服务器操作时，访问令牌授权服务器代理被配置为：响应于访问令牌请求，生成第二访问令牌；以及向第二消费者nf传送包括第二访问令牌的访问令牌响应。

19、根据本文中描述的主题的另一方面，访问令牌授权服务器代理被配置为通过以下步骤与第二消费者nf和第二生产者nf发信号以使第二消费者nf能够访问由第二生产者nf提供的服务：从第二消费者nf接收包括第二访问令牌的第二sbi服务请求；从第二sbi服务请求中移除第二访问令牌；将sbi服务请求转发到第二生产者nf；从第二生产者nf接收sbi服务响应；以及将sbi服务响应转发到第二消费者nf。

20、根据本文中描述的主题的另一方面，提供一种在其上存储有可执行指令的非暂态计算机可读介质，所述可执行指令在由计算机的处理器执行时控制计算机执行步骤。所述步骤包括从不支持基于访问令牌的授权的消费者网络功能(nf)截取用于访问由要求基于访问令牌的授权的生产者nf提供的服务的基于服务的接口(sbi)服务请求。所述步骤还包括作为访问令牌授权客户端代理操作以代表第一消费者nf获得第一访问令牌。所述步骤还包括使用第一访问令牌来使消费者nf能够访问由生产者nf提供的服务。

21、可以用与硬件和/或固件组合的软件来实现本文中描述的主题。例如，可以用由处理器执行的软件来实现本文中描述的主题。在一个示例性实现方案中，可以使用在其上存储有计算机可执行指令的非暂态计算机可读介质来实现本文中描述的主题，这些计算机可执行指令在由计算机的处理器执行时控制计算机执行步骤。适合于实现本文中描述的主题的示例性计算机可读介质包括非暂态计算机可读介质，诸如盘存储器设备、芯片存储器设备、可编程逻辑器件和专用集成电路。此外，实现本文中描述的主题的计算机可读介质可以位于单个设备或计算平台上，或者可以跨多个设备或计算平台分布。