本申請(qǐng)實(shí)施例提供一種基于服務(wù)化架構(gòu)的注冊(cè)方法及裝置，在該方法中，管理網(wǎng)元確定功能網(wǎng)元的配置信息，所述配置信息中包括安全參數(shù)；所述管理網(wǎng)元向功能網(wǎng)元發(fā)送所述配置信息。功能網(wǎng)元接收管理網(wǎng)元發(fā)送的配置信息；所述功能網(wǎng)元基于所述配置信息，向控制網(wǎng)元發(fā)送注冊(cè)請(qǐng)求，所述注冊(cè)請(qǐng)求中包括安全參數(shù)。控制網(wǎng)元接收功能網(wǎng)元發(fā)送的注冊(cè)請(qǐng)求，所述注冊(cè)請(qǐng)求中包括安全參數(shù)；所述控制網(wǎng)元驗(yàn)證所述安全參數(shù)的正確性，并通過所述安全參數(shù)的正確性確定所述注冊(cè)請(qǐng)求的合法性，以實(shí)現(xiàn)控制網(wǎng)元對(duì)功能網(wǎng)元的注冊(cè)請(qǐng)求進(jìn)行安全認(rèn)證，提高安全性。

技術(shù)領(lǐng)域

本申請(qǐng)涉及通信技術(shù)領(lǐng)域，尤其涉及一種基于服務(wù)化架構(gòu)的注冊(cè)方法及裝置。

背景技術(shù)

在5G網(wǎng)絡(luò)的核心網(wǎng)網(wǎng)絡(luò)架構(gòu)討論中，提出以網(wǎng)絡(luò)功能(network function，NF)為中心的服務(wù)化架構(gòu)方案。在服務(wù)化架構(gòu)方案中，通過模塊化實(shí)現(xiàn)NF間的解耦和整合，各解耦后的NF獨(dú)立擴(kuò)容、獨(dú)立演進(jìn)、按需部署，并且控制面的所有NF之間采用服務(wù)化接口進(jìn)行交互，同一種服務(wù)可以被多種NF調(diào)用，降低NF之間接口定義的耦合度，最終實(shí)現(xiàn)整網(wǎng)功能的按需定制，以靈活支持不同的業(yè)務(wù)場(chǎng)景和需求。

在服務(wù)化架構(gòu)方案中，通常由NF存儲(chǔ)功能(NF repository function，NRF)等控制網(wǎng)元為NF提供服務(wù)的注冊(cè)、發(fā)現(xiàn)、授權(quán)等功能，實(shí)現(xiàn)NF和服務(wù)的按需配置及NF間的互連。目前，一種可能的安全注冊(cè)方法中，管理網(wǎng)元首先向待注冊(cè)的功能網(wǎng)元配置相應(yīng)參數(shù)，之后待注冊(cè)的功能網(wǎng)元直接向NRF發(fā)送注冊(cè)請(qǐng)求，NRF接收到該注冊(cè)請(qǐng)求后直接完成注冊(cè)。NRF將注冊(cè)完成的功能網(wǎng)元添加至NF拓?fù)渲校l(fā)送響應(yīng)消息至該注冊(cè)完成的功能網(wǎng)元。

由于待注冊(cè)的功能網(wǎng)元與NRF之間通信接口不受安全信道的保護(hù)，可能存在攻擊者修改參數(shù)，或者攻擊者扮演待注冊(cè)的功能網(wǎng)元的角色嘗試接入NRF的風(fēng)險(xiǎn)，故上述基于服務(wù)化架構(gòu)的安全注冊(cè)方法中，NRF并不會(huì)對(duì)待注冊(cè)的功能網(wǎng)元所發(fā)送的注冊(cè)請(qǐng)求進(jìn)行安全認(rèn)證，安全性較低。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例提供一種基于服務(wù)化架構(gòu)的注冊(cè)方法及裝置，以實(shí)現(xiàn)控制網(wǎng)元對(duì)功能網(wǎng)元的注冊(cè)請(qǐng)求進(jìn)行安全認(rèn)證，提高安全性。

第一方面，提供一種基于服務(wù)化架構(gòu)的注冊(cè)方法，在該方法中，功能網(wǎng)元向控制網(wǎng)元發(fā)送注冊(cè)請(qǐng)求，并且該注冊(cè)請(qǐng)求中包括有安全參數(shù)。控制網(wǎng)元接收到功能網(wǎng)元發(fā)送的注冊(cè)請(qǐng)求，驗(yàn)證注冊(cè)請(qǐng)求中包括的安全參數(shù)的正確性，通過驗(yàn)證的安全參數(shù)的正確性確定NF發(fā)送的注冊(cè)請(qǐng)求是否合法，以實(shí)現(xiàn)對(duì)功能網(wǎng)元的注冊(cè)請(qǐng)求的安全認(rèn)證，提高安全性。

其中，安全參數(shù)可由管理網(wǎng)元確定，管理網(wǎng)元將確定的安全參數(shù)包含在配置信息中發(fā)送給功能網(wǎng)元，功能網(wǎng)元接收到管理網(wǎng)元發(fā)送的配置信息后，將配置信息中包括的安全參數(shù)攜帶在注冊(cè)請(qǐng)求中發(fā)送給管理網(wǎng)元。

本申請(qǐng)實(shí)施例提供的注冊(cè)方法中，管理網(wǎng)元接收功能網(wǎng)元發(fā)送的注冊(cè)請(qǐng)求后，通過驗(yàn)證注冊(cè)請(qǐng)求中包括的安全參數(shù)的正確性，可確定功能網(wǎng)元發(fā)送的注冊(cè)請(qǐng)求的合法性。管理網(wǎng)元在確定功能網(wǎng)元發(fā)送的注冊(cè)請(qǐng)求合法的情況下，將功能網(wǎng)元添加至功能網(wǎng)元拓?fù)渲校诖_定功能網(wǎng)元發(fā)送的注冊(cè)請(qǐng)求不合法的情況下，拒絕將功能網(wǎng)元添加至功能網(wǎng)元拓?fù)渲小９剩ㄟ^本申請(qǐng)實(shí)施例提供的注冊(cè)方法，可一定程度上提高通信安全性。

一種可能的設(shè)計(jì)中，管理網(wǎng)元確定的安全參數(shù)包括非對(duì)稱令牌。

其中，管理網(wǎng)元可基于管理網(wǎng)元的私鑰，對(duì)功能網(wǎng)元資料、功能網(wǎng)元的標(biāo)識(shí)執(zhí)行數(shù)字簽名算法生成數(shù)字簽名，并基于控制網(wǎng)元的公鑰，對(duì)數(shù)字簽名、功能網(wǎng)元資料、功能網(wǎng)元的標(biāo)識(shí)加密生成非對(duì)稱令牌。

其中，管理網(wǎng)元還可基于管理網(wǎng)元的私鑰，對(duì)功能網(wǎng)元資料、功能網(wǎng)元的標(biāo)識(shí)、以及功能網(wǎng)元與控制網(wǎng)元之間的共享密鑰執(zhí)行數(shù)字簽名算法生成數(shù)字簽名，并基于控制網(wǎng)元的公鑰，對(duì)數(shù)字簽名、功能網(wǎng)元資料、功能網(wǎng)元的標(biāo)識(shí)以及功能網(wǎng)元與控制網(wǎng)元之間的共享密鑰加密生成非對(duì)稱令牌。