对网络服务的认证的制作方法-j9九游会真人

对网络服务的认证
1.相关申请案的交叉参考
2.本技术主张标题为“用于授权nf服务消费者经由中间nf间接存取来自nf服务生产者的服务的设备、方法及系统(apparatuses,methods,and systems for authorizing an nf service consumer to access a service from an nf service producer indirectly via an intermediate nf)”且由迪米特里奥斯
·
卡拉姆帕齐斯(dimitrios karampatsis)在2021年2月19日申请的第63/151,490号美国专利申请案的优先权，所述申请案的全文以引用的方式并入本文中。
技术领域
3.本文中所公开的标的物大体上涉及无线通信，且更特定来说，涉及对网络服务的认证。


背景技术：

4.在某些无线通信网络中，可授权装置存取服务。在此类网络中，对服务的授权可能不是间接受支持的。


技术实现要素：

5.公开用于对网络服务的认证的方法。设备及系统也执行所述方法的功能。一种方法的一个实施例包含在第一网络装置处从第二网络装置接收用以在第三网络装置上执行服务的网络功能服务请求。所述请求包含用于向第一网络装置认证的第一凭证及用于向所述第三网络装置认证的第二凭证。在一些实施例中，所述方法包含确定所述所提供的第一凭证是否有效且通过确定所述第三网络装置执行由所述第二网络装置请求的所述服务来执行所述服务请求。在某些实施例中，所述方法包含将用于向所述第三网络装置认证的请求发射到第四网络装置。所述请求包含所述第三网络装置的标识符及所述第二网络装置的第二凭证。在各种实施例中，所述方法包含从所述第四网络装置接收用于向所述第三网络功能发起网络功能(nf)服务的第三凭证。在一些实施例中，所述方法包含将用于发起所述nf服务的请求发射到所述第三网络装置。所述请求包含认证凭证，所述认证凭证包含所述第二凭证及所述第三凭证。
6.一种用于对网络服务的认证的设备包含第一网络装置。在一些实施例中，所述设备包含接收器，所述接收器从第二网络装置接收用以在第三网络装置上执行服务的网络功能服务请求。所述请求包含用于向第一网络装置认证的第一凭证及用于向所述第三网络装置认证的第二凭证。在各种实施例中，所述设备包含处理器，所述处理器确定所述所提供的第一凭证是否有效且通过确定所述第三网络装置执行由所述第二网络装置请求的所述服务来执行所述服务请求。在某些实施例中，所述设备包含发射器，所述发射器将用于向所述第三网络装置认证的请求发射到第四网络装置。所述请求包含所述第三网络装置的标识符及所述第二网络装置的第二凭证。所述接收器从所述第四网络装置接收用于向所述第三网
络功能发起网络功能(nf)服务的第三凭证。所述发射器将用于发起所述nf服务的请求发射到所述第三网络装置。所述请求包含认证凭证，所述认证凭证包含所述第二凭证及所述第三凭证。
7.一种用于对网络服务的认证的方法的另一实施例包含将用于授权存取第一网络装置的服务的请求从第二网络装置发射到第四网络装置。在一些实施例中，所述方法包含从所述第四网络装置接收包含存取令牌的第一凭证。在某些实施例中，所述方法包含将用以执行服务的网络功能服务请求从第三网络装置发射到第一网络装置，所述网络功能服务请求包括用于向所述第一网络装置认证的所述第一凭证及用于向所述第三网络装置认证的第二凭证。所述第一凭证包含第一存取令牌且第二凭证包含由所述第二网络装置产生的第二存取令牌。在各种实施例中，所述方法包含从所述第一网络装置接收对所述网络功能服务请求的响应。
8.用于对网络服务的认证的另一设备包含第二网络装置。在一些实施例中，所述设备包含发射器，所述发射器将用于授权存取第一网络装置的服务的请求发射到第四网络装置。在各种实施例中，所述设备包含接收器，所述接收器从所述第四网络装置接收包含存取令牌的第一凭证。所述发射器将用以执行服务的网络功能服务请求从第三网络装置发射到第一网络装置，所述网络功能服务请求包含用于向所述第一网络装置认证的所述第一凭证及用于向所述第三网络装置认证的第二凭证。所述第一凭证包含第一存取令牌且第二凭证包含由所述第二网络装置产生的第二存取令牌。所述接收器从所述第一网络装置接收对所述网络功能服务请求的响应。
9.一种用于对网络服务的认证的方法的进一步实施例包含在第四网络装置处从第一网络装置接收用于向第三网络装置认证的请求。所述请求包含第一凭证，所述第一凭证包含第二网络装置的存取令牌及所述第三网络装置的标识符。在一些实施例中，所述方法包含确定所述第一网络装置及所述第二网络装置是否被允许存取所述第三网络装置的服务。在某些实施例中，所述方法包含响应于确定所述第一网络装置及所述第二网络装置被允许存取所述服务，产生包含第二存取令牌的第二凭证。在各种实施例中，所述方法包含将用于发起nf服务的所述第二凭证发射到所述第一网络装置。
10.用于对网络服务的认证的进一步设备包含第四网络装置。在一些实施例中，所述设备包含接收器，所述接收器从第一网络装置接收用于向第三网络装置认证的请求。所述请求包含第一凭证，所述第一凭证包含第二网络装置的存取令牌及所述第三网络装置的标识符。在各种实施例中，所述设备包含处理器，所述处理器：确定所述第一网络装置及所述第二网络装置是否被允许存取所述第三网络装置的服务；及响应于确定所述第一网络装置及所述第二网络装置被允许存取所述服务，产生包含第二存取令牌的第二凭证。在某些实施例中，所述设备包含发射器，所述发射器将用于发起nf服务的所述第二凭证发射到所述第一网络装置。
附图说明
11.将通过参考附图中所说明的特定实施例进行对上文简要描述的实施例的更特定描述。应理解，这些附图仅描绘一些实施例且因此不应被认为是对范围的限制，将通过使用附图以额外特定性及细节来描述及解释所述实施例，在附图中：
12.图1是说明用于对网络服务的认证的无线通信系统的一个实施例的示意框图；
13.图2是说明可用于对网络服务的认证的设备的一个实施例的示意框图；
14.图3是说明可用于对网络服务的认证的设备的一个实施例的示意框图；
15.图4是说明用于经由dccf进行数据收集的系统的一个实施例的示意框图；
16.图5是说明供nf服务消费者用于向nrf请求存取来自nf服务生产者的服务的系统的一个实施例的示意框图；
17.图6是说明供nf服务生产者用于基于存取令牌而执行所请求服务的系统的一个实施例的示意框图；
18.图7是说明用于授权经由中间nf存取服务的系统的一个实施例的示意框图；
19.图8是说明用于对网络服务的认证的方法的一个实施例的流程图；
20.图9是说明用于对网络服务的认证的方法的另一实施例的流程图；以及
21.图10是说明用于对网络服务的认证的方法的进一步实施例的流程图。
具体实施方式
22.如所属领域的技术人员将明白，实施例的方面可被体现为系统、设备、方法或程序产品。因此，实施例可采取完全硬件实施例、完全软件实施例(包含固件、常驻软件、微代码等)或组合软件与硬件方面的实施例的形式，其在本文中通常可全部被称为“电路”、“模块”或“系统”。此外，实施例可采取存储机器可读代码、计算机可读代码及/或程序代码(下文中被称为代码)的一或多个计算机可读存储装置中体现的程序产品的形式。所述存储装置可为有形的、非暂时性的及/或非传输性的。所述存储装置可不体现信号。在某一实施例中，所述存储装置仅采用信号来存取代码。
23.本说明书中所描述的某些功能单元可被标记为模块，以便更特定地强调它们的实施独立性。例如，模块可被实施为硬件电路，其包括定制的超大规模集成(“vlsi”)电路或门阵列、现成半导体，例如逻辑芯片、晶体管或其它离散元件。模块也可以可编程硬件装置(例如现场可编程门阵列、可编程阵列逻辑、可编程逻辑装置或类似者)实施。
24.模块也可以用于由各种类型的处理器执行的代码及/或软件实施。经识别代码模块可例如包含可执行代码的一或多个物理或逻辑块，所述可执行代码可例如被组织为对象、程序或功能。然而，经识别模块的可执行文件不需要在物理上定位在一起，而是可包含存储在不同位置中的不同指令，所述指令在逻辑上接合在一起时包含所述模块且实现所述模块的所陈述目的。
25.实际上，代码模块可为单个指令或许多指令，且甚至可分布在若干不同代码片段上、分布在不同程序当中及跨若干存储器装置分布。类似地，在本文中，可操作数据可在模块内进行识别及说明，且可以任何合适形式体现并被组织在任何合适类型的数据结构内。可操作数据可作为单个数据集来收集，或可分布在不同位置上(包含在不同计算机可读存储装置上)。在模块或模块的部分以软件实施的情况下，软件部分被存储在一或多个计算机可读存储装置上。
26.可利用一或多个计算机可读媒体的任何组合。所述计算机可读媒体可为计算机可读存储媒体。所述计算机可读存储媒体可为存储代码的存储装置。所述存储装置可为例如但不限于电子、磁性、光学、电磁、红外线、全息、微机械或半导体系统、设备或装置，或者前
述的任何合适组合。
27.存储装置的更特定实例(非穷尽性列表)将包含以下项：具有一或多个电线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(“ram”)、只读存储器(“rom”)、可擦除可编程只读存储器(“eprom”或快闪存储器)、便携式光盘只读存储器(“cd-rom”)、光学存储装置、磁性存储装置或者前述的任何合适组合。在本文献的上下文中，计算机可读存储媒体可为可含有或存储由指令执行系统、设备或装置使用或者结合其使用的程序的任何有形媒体。
28.用于实行实施例的操作的代码可为任何数目个行且可用一或多种编程语言的任何组合编写，包含面向对象编程语言(例如python、ruby、java、smalltalk、c 或类似者)，及常规程序编程语言(例如“c”编程语言或类似者)及/或机器语言(例如汇编语言)。代码可完全在用户的计算机上执行、部分在用户的计算机上执行、作为独立软件包执行、部分在用户的计算机上执行且部分在远程计算机上执行或者完全在远程计算机或服务器上执行。在后一种场景中，远程计算机可通过任何类型的网络(包含局域网(“lan”)或广域网(“wan”))连接到用户的计算机，或可连接到外部计算机(例如，通过使用因特网服务提供商的因特网)。
29.贯穿本说明书对“一个实施例”、“一实施例”或类似语言的引用意味着结合所述实施例所描述的特定特征、结构或特性被包含在至少一个实施例中。因此，贯穿本说明书出现短语“在一个实施例中”、“在一实施例中”及类似语言可但不一定全部指同一实施例，而是表示“一或多个但不是所有实施例”，除非另有明确地指定。术语“包含”、“包括”、“具有”及其变体表示“包含但不限于”，除非另有明确地指定。所枚举项目列表并不暗示着所述项目中的任一者或全部均是相互排斥的，除非另有明确地指定。术语“一”、“一个”及“所述”也指“一或多个”，除非另有明确地指定。
30.此外，所述实施例的所描述特征、结构或特性可以任何合适方式组合。在以下描述中，提供众多特定细节(例如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的实例)以提供对实施例的透彻理解。然而，相关领域的技术人员将认识到，可在没有所述特定细节中的一或多者的情况下或者利用其它方法、组件、材料等实践实施例。在其它例子中，未详细地展示或描述众所周知的结构、材料或操作以避免模糊实施例的方面。
31.下文参考根据实施例的方法、设备、系统及程序产品的示意流程图及/或示意框图描述所述实施例的方面。将理解，示意流程图及/或示意框图的每一框以及示意流程图及/或示意框图中的框的组合可通过代码来实施。所述代码可提供到通用计算机、专用计算机或其它可编程数据处理设备的处理器以产生机器，使得经由所述计算机或其它可编程数据处理设备的处理器执行的指令创建用于实施示意流程图及/或示意框图框或者若干示意流程图及/或示意框图框中所指定的功能/动作的手段。
32.所述代码还可被存储在存储装置中，所述存储装置可引导计算机、其它可编程数据处理设备或其它装置以特定方式运作，使得存储在所述存储装置中的指令产生包含实施示意流程图及/或示意框图框或者若干示意流程图及/或示意框图框中所指定的功能/动作的指令的制品。
33.所述代码还可被加载到计算机、其它可编程数据处理设备或其它装置上以致使在所述计算机、其它可编程设备或其它装置上执行一系列操作步骤以产生计算机实施过程，
使得在所述计算机或其它可编程设备上执行的代码提供用于实施流程图及/或框图框或者若干流程图及/或框图框中所指定的功能/动作的过程。
34.附图中的示意流程图及/或示意框图说明根据各种实施例的设备、系统、方法及程序产品的可能实施方案的架构、功能性及操作。在这点上，示意流程图及/或示意框图中的每一框可表示代码的模块、片段或部分，其包含用于实施(若干)所指定逻辑功能的代码的一或多个可执行指令。
35.还应注意，在一些替代实施方案中，框中所标注的功能可不以附图中所标注的顺序出现。例如，取决于所涉及的功能性，连续展示的两个框实际上可基本上并发地执行，或所述框有时可以相反顺序执行。可考虑在功能、逻辑或效果上等效于所说明附图的一或多个框或者其部分的其它步骤及方法。
36.尽管可在流程图及/或框图中采用各种箭头类型及线条类型，但它们应被理解为不限制对应实施例的范围。实际上，一些箭头或其它连接符可用来仅指示所描绘实施例的逻辑流程。例如，箭头可指示所描绘实施例的所枚举步骤之间的未指定持续时间的等待或监测时段。还将注意，框图及/或流程图的每一框及框图及/或流程图中的框的组合可由执行所指定功能或动作的基于专用硬件的系统或者专用硬件与代码的组合来实施。
37.对每一图中的元件的描述可参考前图的元件。在所有图中，类似数字是指类似元件，包含类似元件的替代实施例。
38.图1描绘用于对网络服务的认证的无线通信系统100的实施例。在一个实施例中，无线通信系统100包含远程单元102及网络单元104。尽管在图1中描绘特定数目个远程单元102及网络单元104，但所属领域的技术人员将认识到，在无线通信系统100中可包含任何数目个远程单元102及网络单元104。
39.在一个实施例中，远程单元102可包含计算装置，例如台式计算机、膝上型计算机、个人数字助理(“pda”)、平板计算机、智能手机、智能电视(例如，连接到因特网的电视)、机顶盒、游戏控制台、安全性系统(包含安全性摄像机)、车载计算机、网络装置(例如，路由器、交换机、调制解调器)、飞行器、无人机或类似者。在一些实施例中，远程单元102包含可穿戴装置，例如智能手表、健身手环、光学头戴式显示器或类似者。此外，远程单元102可被称为订户单元、移动装置、移动站、用户、终端、移动终端、固定终端、订户站、用户装备(“ue”)、用户终端、装置或通过所属领域中使用的其它术语来指代。远程单元102可经由ul通信信号直接与网络单元104中的一或多者进行通信。在某些实施例中，远程单元102可通过侧链路通信直接与其它远程单元102进行通信。
40.网络单元104可分布在一地理区域内。在某些实施例中，网络单元104也可被称为及/或可包含以下项中的一或多者：接入点、接入终端、基地、基站、位置服务器、核心网络(“cn”)、无线电网络实体、node-b、演进node-b(“enb”)、5g node-b(“gnb”)、归属node-b、中继节点、装置、核心网络、空中服务器、无线电接入节点、接入点(“ap”)、新无线电(“nr”)、网络实体、接入及移动性管理功能(“amf”)、统一数据管理(“udm”)、统一数据存储库(“udr”)、udm/udr、策略控制功能(“pcf”)、无线电接入网络(“ran”)、网络切片选择功能(“nssf”)、操作、经营及管理(“oam”)、会话管理功能(“smf”)、用户平面功能(“upf”)、应用功能、认证服务器功能(“ausf”)、安全性锚功能性(“seaf”)、可信非3gpp网关功能(“tngf”)或通过所属领域中使用的任何其它术语来指代。网络单元104通常是包含可通信地耦合到一或多个对
应网络单元104的一或多个控制器的无线电接入网络的部分。无线电接入网络通常可通信地耦合到一或多个核心网络，所述核心网络可耦合到其它网络，例如因特网及公共交换电话网以及其它网络。无线电接入及核心网络的这些及其它元件未进行说明，但对于所属领域的一般技术人员来说是众所周知的。
41.在一个实施方案中，无线通信系统100符合在第三代j9九游会真人的合作伙伴计划(“3gpp”)中标准化的nr协议，其中网络单元104在下行链路(“dl”)上使用ofdm调制方案进行发射且远程单元102在上行链路(“ul”)上使用单载波频分多址(“sc-fdma”)方案或正交频分复用(“ofdm”)方案进行发射。然而，更一般地，无线通信系统100可实施一些其它开放或专有通信协议，例如wimax、电气及电子工程师协会(“ieee”)802.11变体、全球移动通信系统(“gsm”)、通用分组无线服务(“gprs”)、通用移动电信系统(“umts”)、长期演进(“lte”)变体、码分多址2000(“cdma 2000”)、zigbee、sigfoxx以及其它协议。本公开并不意在限于任何特定无线通信系统架构或协议的实施方案。
42.网络单元104可经由无线通信链路服务于服务区域(例如小区或小区扇区)内的数个远程单元102。网络单元104发射dl通信信号以在时域、频域及/或空间域中服务于远程单元102。
43.在各种实施例中，网络单元104可在第一网络装置处从第二网络装置接收用于在第三网络装置上执行服务的网络功能服务请求。所述请求包含用于向第一网络装置认证的第一凭证及用于向第三网络装置认证的第二凭证。在一些实施例中，网络单元104可确定所提供的第一凭证是否有效且通过确定第三网络装置来执行由第二网络装置请求的服务来执行所述服务请求。在某些实施例中，网络单元104可将用于向第三网络装置认证的请求发射到第四网络装置。所述请求包含第三网络装置的标识符及第二网络装置的第二凭证。在各种实施例中，网络单元104可从第四网络装置接收用于向第三网络功能发起网络功能(nf)服务的第三凭证。在一些实施例中，网络单元104可将用于发起nf服务的请求发射到第三网络装置。所述请求包含认证凭证，所述认证凭证包含第二凭证及第三凭证。因此，网络单元104可用于对网络服务的认证。
44.在某些实施例中，网络单元104可将用于授权存取第一网络装置的服务的请求从第二网络装置发射到第四网络装置。在一些实施例中，网络单元104可从第四网络装置接收包含存取令牌的第一凭证。在某些实施例中，网络单元104可将用于执行服务的网络功能服务请求从第三网络装置发射到第一网络装置，所述网络功能服务请求包括用于向第一网络装置认证的第一凭证及用于向第三网络装置认证的第二凭证。第一凭证包含第一存取令牌且第二凭证包含由第二网络装置产生的第二存取令牌。在各种实施例中，网络单元104可从第一网络装置接收对网络功能服务请求的响应。因此，网络单元104可用于对网络服务的认证。
45.在一些实施例中，网络单元104可在第四网络装置处从第一网络装置接收用于向第三网络装置认证的请求。所述请求包含第一凭证，所述第一凭证包含第二网络装置的存取令牌及第三网络装置的标识符。在一些实施例中，网络单元104可确定第一网络装置及第二网络装置是否被允许存取第三网络装置的服务。在某些实施例中，响应于确定第一网络装置及第二网络装置被允许存取所述服务，网络单元104可产生包含第二存取令牌的第二凭证。在各种实施例中，网络单元104可将用于发起nf服务的第二凭证发射到第一网络装
置。因此，网络单元104可用于对网络服务的认证。
46.图2描绘用于对网络服务的认证的设备200的一个实施例。设备200包含远程单元102的一个实施例。此外，远程单元102可包含处理器202、存储器204、输入装置206、显示器208、发射器210及接收器212。在一些实施例中，输入装置206及显示器208被组合成单个装置，例如触摸屏。在某些实施例中，远程单元102可不包含任何输入装置206及/或显示器208。在各种实施例中，远程单元102可包含处理器202、存储器204、发射器210及接收器212中的一或多者，且可不包含输入装置206及/或显示器208。
47.在一个实施例中，处理器202可包含能够执行计算机可读指令及/或能够执行逻辑操作的任何已知控制器。例如，处理器202可为微控制器、微处理器、中央处理单元(“cpu”)、图形处理单元(“gpu”)、辅助处理单元、现场可编程门阵列(“fpga”)或类似可编程控制器。在一些实施例中，处理器202执行存储在存储器204中的指令以执行本文中所描述的方法及例程。处理器202通信地耦合到存储器204、输入装置206、显示器208、发射器210及接收器212。
48.在一个实施例中，存储器204是计算机可读存储媒体。在一些实施例中，存储器204包含易失性计算机存储媒体。例如，存储器204可包含ram，包含动态ram(“dram”)、同步动态ram(“sdram”)及/或静态ram(“sram”)。在一些实施例中，存储器204包含非易失性计算机存储媒体。例如，存储器204可包含硬盘驱动器、快闪存储器或任何其它合适的非易失性计算机存储装置。在一些实施例中，存储器204包含易失性计算机存储媒体及非易失性计算机存储媒体两者。在一些实施例中，存储器204还存储程序代码及相关数据，例如在远程单元102上操作的操作系统或其它控制器算法。
49.在一个实施例中，输入装置206可包含任何已知的计算机输入装置，包含触摸面板、按钮、键盘、触笔、麦克风或类似者。在一些实施例中，输入装置206可与显示器208集成在一起，例如作为触摸屏或类似触敏显示器。在一些实施例中，输入装置206包含触摸屏使得可使用触摸屏上显示的虚拟键盘及/或通过在触摸屏上进行手写来输入文本。在一些实施例中，输入装置206包含两个或更多个不同装置，例如键盘及触摸面板。
50.在一个实施例中，显示器208可包含任何已知的电可控显示器或显示装置。显示器208可经设计以输出视觉、可闻及/或触觉信号。在一些实施例中，显示器208包含能够将视觉数据输出到用户的电子显示器。例如，显示器208可包含但不限于液晶显示器(“lcd”)、发光二极管(“led”)显示器、有机发光二极管(“oled”)显示器、投影仪或者能够将图像、文本或类似者输出到用户的类似显示装置。作为另一非限制性实例，显示器208可包含可穿戴显示器，例如智能手表、智能眼镜、平视显示器或类似者。此外，显示器208可为智能手机、个人数字助理、电视、平板计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板或类似者的组件。
51.在某些实施例中，显示器208包含用于产生声音的一或多个扬声器。例如，显示器208可产生可闻警报或通知(例如，哔哔声或鸣响)。在一些实施例中，显示器208包含用于产生振动、运动或其它触觉反馈的一或多个触觉装置。在一些实施例中，显示器208的全部或部分可与输入装置206集成在一起。例如，输入装置206及显示器208可形成触摸屏或类似触敏显示器。在其它实施例中，显示器208可定位在输入装置206附近。
52.尽管仅说明一个发射器210及一个接收器212，但远程单元102可具有任何合适数
目个发射器210及接收器212。发射器210及接收器212可为任何合适类型的发射器及接收器。在一个实施例中，发射器210及接收器212可为收发器的部分。
53.图3描绘用于对网络服务的认证的设备300的一个实施例。设备300包含网络单元104的一个实施例。此外，网络单元104可包含处理器302、存储器304、输入装置306、显示器308、发射器310及接收器312。如可理解，处理器302、存储器304、输入装置306、显示器308、发射器310及接收器312可分别与远程单元102的处理器202、存储器204、输入装置206、显示器208、发射器210及接收器212基本上类似。
54.在某些实施例中，接收器312从第二网络装置接收用以在第三网络装置上执行服务的网络功能服务请求。所述请求包含用于向第一网络装置认证的第一凭证及用于向第三网络装置认证的第二凭证。在各种实施例中，处理器302确定所提供的第一凭证是否有效且通过确定第三网络装置执行由第二网络装置请求的服务来执行所述服务请求。在某些实施例中，发射器310将用于向第三网络装置认证的请求发射到第四网络装置。所述请求包含第三网络装置的标识符及第二网络装置的第二凭证。接收器312从第四网络装置接收用于向第三网络功能发起网络功能(nf)服务的第三凭证。发射器310将用于发起nf服务的请求发射到第三网络装置。所述请求包含认证凭证，所述认证凭证包含第二凭证及第三凭证。
55.在一些实施例中，发射器310将用于授权存取第一网络装置的服务的请求发射到第四网络装置。在各种实施例中，接收器312从第四网络装置接收包含存取令牌的第一凭证。发射器310将用以执行服务的网络功能服务请求从第三网络装置发射到第一网络装置，所述网络功能服务请求包含用于向第一网络装置认证的第一凭证及用于向第三网络装置认证的第二凭证。第一凭证包含第一存取令牌且第二凭证包含由第二网络装置产生的第二存取令牌。接收器312从第一网络装置接收对网络功能服务请求的响应。
56.在各种实施例中，接收器312从第一网络装置接收用于向第三网络装置认证的请求。所述请求包含第一凭证，所述第一凭证包含第二网络装置的存取令牌及第三网络装置的标识符。在各种实施例中，处理器302：确定第一网络装置及第二网络装置是否被允许存取第三网络装置的服务；且响应于确定第一网络装置及第二网络装置被允许存取所述服务，产生包含第二存取令牌的第二凭证。在某些实施例中，发射器310将用于发起nf服务的第二凭证发射到第一网络装置。
57.在某些实施例中，可存在基于来自一或多个消费者网络功能(“nf”)的数据收集请求而协调从一或多个nf收集数据的数据收集协调功能(“dccf”)。
58.图4是说明用于经由dccf进行收集数据的系统400的一个实施例的示意框图。系统400包含dccf 402、网络存储库功能(“nrf”)404(dccf 402以到nrf 404的传输406发现nf)、数据生产者nf例子408(例如，amf)(dccf 402将事件开放(例如，事件id)发射410到数据生产者nf例子408)、数据生产者nf例子412(例如，smf)(dccf 402将事件开放(例如，事件id)发射414到数据生产者nf例子412)、数据生产者nf例子416(例如，应用功能(“af”))(dccf 402将事件开放(例如，事件id)发射418到数据生产者nf例子416)及消费者nf(例如，网络数据分析功能(“nwdaf”))420(消费者nf 420将具有事件id的ndccf_request数据发射422到dccf 402)。dccf 402基于一或多个事件id而确定424数据生产者nf。
59.用以经由dccf 402收集数据的图4的程序可如下：1)消费者nf 420经由向dccf 402调用ndccf服务操作而请求数据-在请求中，消费者nf 420包含数据收集的事件id(例
如，由每一nf支持的事件id)；2)由于存在由每一nf支持的特定事件id，所以dccf 402从由消费者nf 420请求的事件id确定nf类型(例如，amf、smf、af)且确定具有来自nrf 404的所需数据的nf例子；及3)dccf 402接着使用nnf_event_exposure订阅来订阅从每一nf类型收到事件通知。
60.在一些实施例中，如果nf服务消费者请求调用来自nf服务生产者的服务(例如，数据收集请求)，那么nf服务消费者向nrf请求存取所述服务，如图5中所展示。nrf确定nf服务消费者是否被授权存取所述服务，且在授权批准后将存取令牌提供到nf服务消费者，所述服务消费者在向nf服务生产者发起服务请求时包含所述存取令牌，如图6中所展示。在接受所述服务之前，nf服务生产者向nrf验证存取令牌是否有效。
61.图5是说明供nf服务消费者用于向nrf请求存取来自nf服务生产者的服务的系统500的一个实施例的示意框图。系统500包含nf服务消费者502(例如，nwdaf)及授权(例如，auth.)服务器504(例如，nrf)。所说明通信中的每一者可包含一或多个消息。
62.在第一通信506中，nf服务消费者502将包含预期的nf服务名称及nf类型：源nf的nnrf_access token_get请求发射到授权服务器504。授权服务器504可授权508客户端且产生存取令牌。在第二通信510中，授权服务器504将可包含expires_in及access_token的nnrf_access token_get响应发射到nf服务消费者502。
63.图6是说明供nf服务生产者用于基于存取令牌而执行所请求服务的系统600的一个实施例的示意框图。系统600包含nf服务消费者602及nf服务生产者604。所说明通信中的每一者可包含一或多个消息。
64.在第一通信606中，nf服务消费者602将可包含存取令牌的nf服务请求发射到nf服务生产者604。nf服务生产者604可验证存取令牌的完整性及声明。如果成功，那么nf服务生产者604可执行所请求服务。在第二通信610中，nf服务生产者604将nf服务响应发射到nf服务消费者602。
65.在某些实施例中，dccf允许供nf服务消费者(“nfc”)用于存取来自数据源或nf服务生产者(“nfp”)的数据的路径。由于在消费者与生产者之间使用dccf，所以现存安全性机制可能是不足够的，且可解决以下问题：1)基于来自dccf的请求，消息传递框架可将来自生产者的数据提供到请求数据消费者，即使所述消费者未被授权接收此数据也是如此；及/或2)基于来自dccf的请求，将从数据生产者接收到的数据存储在数据存储库功能(“drf”)中。当数据稍后被检索时，dccf可在被请求的情况下将经存储数据提供到未授权消费者。
66.在一些实施例中，数据生产者可能无法正确地验证数据消费者的身份，这是因为数据请求来自代表消费者的dccf。
67.在各种实施例中，不经由中间nf(例如，dccf)间接支持存取服务的授权。
68.在某些实施例中，dccf验证用于由数据消费者nf(例如，nwdaf)检索数据的请求被授权由经识别数据生产者nf(例如，amf、smf、af)及oam来检索。
69.在第一实施例中，可存在基于存取令牌的j9九游会真人的解决方案。
70.在一些实施例中，如果nf服务消费者(例如，nwdaf)在建立nf服务请求(例如，ndccf_datamanagement_request服务操作)以向dccf检索所需数据之前确定可经由数据收集协调功能收集数据，那么nf服务消费者可通过请求存取令牌来向nrf请求授权。在请求中，nf服务消费者包含识别目标nf(例如，dccf)的信息及用以识别nf服务消费者(例如，
nwdaf)的信息。nf服务消费者使用由nrf提供的经接收存取令牌来建立nf服务以向dccf请求数据。这个令牌是intermediate_access_token。在各种实施例中，nf消费者可产生客户端凭证断言(“cca”)令牌且将cca包含在对dccf的nf服务请求中。cca可用来验证nf服务消费者的真实性。
71.在某些实施例中，如果dccf确定数据必须由不同nf服务生产者来检索，那么dccf确定nf服务消费者是否被授权从经识别nf服务生产者nf检索数据(及存取nf服务)。这可由dccf通过用到nrf的发射来请求令牌以请求授权来支持。dccf将识别目标nf(例如，nf服务生产者)的信息、用以识别nf服务发起者(例如，dccf)的信息及用以识别最终将接收数据的nf服务消费者的额外授权信息包含在授权请求信息中。如果cca由nf服务消费者提供，那么dccf也可包含cca。在一些实施例中，dccf包含由nf服务消费者提供的intermediate_access_token作为额外授权信息。nrf通过验证dccf可存取来自nf服务生产者的服务且还基于经接收intermediate_access_token而验证nf服务消费者是否也被授权存取来自服务生产者nf的服务来授权请求。如果服务消费者nf的cca由dccf提供，那么nrf也可使用服务消费者nf的cca来验证nf服务消费者的真实性。nrf指派新存取令牌(例如，dccf_access_token)以朝向服务生产者nf发送服务请求(例如，使用事件开放服务操作的对数据的请求)。
72.图7是说明用于授权经由中间nf存取服务的系统700的一个实施例的示意框图。系统700包含nf服务消费者702(例如，nwdaf)、dccf 704、nf服务生产者706及授权服务器708(例如，nrf)。图7中的通信中的每一者可包含一或多个消息。
73.在第一通信710中，nf服务消费者702(例如，nwdaf)发现dccf 704nf以检索数据。nf服务消费者702通过调用包含用以识别目标nf(例如，dccf 704)及源nf的信息的nnrf_accesstoken_get请求来向nrf请求授权。
74.nrf授权712请求且产生存取令牌。
75.在第二通信714中，将存取令牌(例如，intermediate_access_token)提供到nf服务消费者702。intermediate_access_token包含含有用以识别nrf(例如，存取令牌的发出者)、nf消费者(例如，nf服务请求者)的nf例子id及nf服务生产者(例如，dccf 704)的nf例子id的信息的信息。
76.在第三通信716中，nf服务消费者702向dccf 704发起nf服务请求(例如，如果nf服务消费者是nwdaf，那么nwdaf发送ndccf_datamanagement请求)，所述nf服务请求包含intermediate_access_token。在一些实施例中，在向dccf 704的请求中，nf服务消费者702产生cca令牌且将其包含在所请求消息中以向nrf认证自身(如果所述请求是经由dccf 704发送)。
77.dccf 704验证718中间存取令牌有效且执行服务。
78.此外，dccf 704确定720所请求服务由除dccf 704之外的不同nf服务生产者提供(例如，在nwdaf的情况下，dccf 704确定所请求数据由不同nf产生)。由于服务由不同nf提供，所以dccf 704验证nf服务消费者702可存取(例如，间接)由经识别nf服务生产者提供的服务。
79.在第四通信722中，dccf 704通过调用nnrf_accesstoken_get请求来向nrf请求授权，所述nnrf_access token_get请求包含用以识别目标nf(例如，nf服务生产者706)、源nf
(例如，dccf 704)的信息及含有intermediate_access_token的额外授权信息。另外，如果cca令牌由nf服务消费者702提供，那么dccf 704包含cca令牌。提供额外授权信息以验证nf服务消费者702被允许使用由经识别nf服务消费者提供的服务。
80.nrf(例如，基于中间存取令牌)确定724dccf 704及服务消费者nf 702是否被允许存取由经识别nf服务生产者提供的服务。如果经接收授权请求包含由nf服务消费者706产生的cca令牌，那么nrf基于cca令牌来验证nf服务消费者706。
81.在第五通信726中，nrf产生存取令牌并将存取令牌提供到dccf 704。
82.在第六通信728中，dccf 704使用存取令牌来向经识别nf服务生产者(例如，nf服务生产者706)发起nf服务。如果cca令牌由nf服务消费者提供，那么dccf也包含cca令牌。
83.nf服务生产者706(或若干生产者)验证730存取令牌及cca令牌(如果被提供)且执行服务。
84.在第七通信732中，nf服务生产者706(或若干生产者)在响应中提供所请求数据。
85.在第八通信734中，dccf 704在响应中将所提供的数据转发到nf服务消费者702。
86.在一些实施例中，为了确保信令的高效使用，如果dccf 704接收到access_token且确定dccf 704具有来自同一nf服务生产者706例子的现存nf服务连接，那么dccf 704可重用现存nf例子来获得由nf服务消费者702请求的数据，而不是创建发射到同一nf服务生产者706例子的新nf服务请求以检索数据。
87.在各种实施例中，如果dccf 704将由nf服务生产者706检索的数据存储在数据存储库功能(“drf”)中，那么dccf 704也将nf服务生产者706的身份存储在drf中。如果dccf 704接收到服务请求且dccf 704确定数据在drf处可用(例如，如果drf是nf服务生产者706)，那么dccf 704还需要验证由nf服务生产者706检索的存储在drf中的数据是否被允许提供到nf服务消费者702。这通过验证nf服务消费者702被授权存取由nf服务生产者706提供的服务而受支持。这可如下受支持：1)dccf 704向nrf请求存取令牌以验证nf服务消费者702被授权存取由dr提供的服务-前提是目标nf为drf；及/或2)dccf 704向nrf请求第二存取令牌以验证nf服务消费者702也被授权存取由其数据存储在drf处的nf服务生产者706提供的服务-目标nf是nf服务生产者706。在各种实施例中，为了优化信令，dccf 704可将两个请求包含在到nrf的一个消息中。
88.在某些实施例中，如果dccf 704接收到有效授权令牌，那么dccf 704验证nf服务消费者702被授权存取存储在drf中的数据。
89.在一些实施例中，如果dccf 704接收到nf服务消费者702，那么dccf 704可从access_token(例如，nrf发出者)提取信息且将nf服务消费者702、nrf发出者及目标nf例子(例如，nf服务生产者706)的nf例子id包含在向nrf的授权请求中。另外，如果cca令牌由nf服务消费者702提供，那么dccf 704包含cca令牌。nrf使用所提供信息来授权nf服务消费者702间接存取nf服务生产者706的服务且还授权dccf 704用到nf服务生产者的发射来发起nf服务请求。
90.图8是说明用于对网络服务的认证的方法800的一个实施例的流程图。在一些实施例中，方法800由例如网络单元104的设备来执行。在某些实施例中，方法800可由执行程序代码的处理器(例如，微控制器、微处理器、cpu、gpu、辅助处理单元、fpga或类似者)来执行。
91.在各种实施例中，方法800包含在第一网络装置处从第二网络装置接收802用以在
第三网络装置上执行服务的网络功能服务请求。所述请求包含用于向第一网络装置认证的第一凭证及用于向第三网络装置认证的第二凭证。在一些实施例中，方法800包含确定804所提供的第一凭证是否有效且通过确定第三网络装置执行由第二网络装置请求的服务来执行所述服务请求。在某些实施例中，方法800包含将用于向第三网络装置认证的请求发射806到第四网络装置。所述请求包含第三网络装置的标识符及第二网络装置的第二凭证。在各种实施例中，方法800包含从第四网络装置接收808用于向第三网络功能发起网络功能(nf)服务的第三凭证。在一些实施例中，方法800包含将用于发起nf服务的请求发射810到第三网络装置。所述请求包含认证凭证，所述认证凭证包含第二凭证及第三凭证。
92.在某些实施例中，第一网络装置包括数据收集协调功能(dccf)。在一些实施例中，第二网络装置包括nf服务消费者。在各种实施例中，第四网络装置包括网络存储库功能(nrf)。
93.在一个实施例中，提供第一凭证以进行认证以存取第一网络装置的服务且提供第二凭证以进行认证以存取第三网络装置的服务。在某些实施例中，第三网络装置包括nf服务生产者。在一些实施例中，所述服务包括数据请求。
94.在各种实施例中，第一凭证包括从第三网络装置指派的第二网络装置的第一存取令牌。在一个实施例中，第二凭证包括从第二网络装置产生的第二存取令牌。在某些实施例中，第三凭证包括从第四网络装置产生的存取令牌。
95.图9是说明用于对网络服务的认证的方法900的另一实施例的流程图。在一些实施例中，方法900由例如网络单元104的设备来执行。在某些实施例中，方法900可由执行程序代码的处理器(例如，微控制器、微处理器、cpu、gpu、辅助处理单元、fpga或类似者)来执行。
96.在各种实施例中，方法900包含将用于授权存取第一网络装置的服务的请求从第二网络装置发射902到第四网络装置。在一些实施例中，方法900包含从第四网络装置接收904包含存取令牌的第一凭证。在某些实施例中，方法900包含将用以执行服务的网络功能服务请求从第三网络装置发射906到第一网络装置，所述网络功能服务请求包括用于向第一网络装置认证的第一凭证及用于向第三网络装置认证的第二凭证。第一凭证包含第一存取令牌且第二凭证包含由第二网络装置产生的第二存取令牌。在各种实施例中，方法900包含从第一网络装置接收908对网络功能服务请求的响应。
97.在某些实施例中，第一网络装置包括数据收集协调功能(dccf)。在一些实施例中，第二网络装置包括网络功能(nf)服务消费者。在各种实施例中，第四网络装置包括网络存储库功能(nrf)。
98.图10是说明用于对网络服务的认证的方法1000的另一实施例的流程图。在一些实施例中，方法1000由例如网络单元104的设备来执行。在某些实施例中，方法1000可由执行程序代码的处理器(例如，微控制器、微处理器、cpu、gpu、辅助处理单元、fpga或类似者)来执行。
99.在各种实施例中，方法1000包含在第四网络装置处从第一网络装置接收1002用于向第三网络装置认证的请求。所述请求包含第一凭证，所述第一凭证包含第二网络装置的存取令牌及第三网络装置的标识符。在一些实施例中，方法1000包含确定1004第一网络装置及第二网络装置是否被允许存取第三网络装置的服务。在某些实施例中，方法1000包含响应于确定第一网络装置及第二网络装置被允许存取所述服务，产生1006包含第二存取令
牌的第二凭证。在各种实施例中，方法1000包含将用于发起nf服务的第二凭证发射1008到第一网络装置。
100.在某些实施例中，第一网络装置包括数据收集协调功能(dccf)。在一些实施例中，第二网络装置包括网络功能(nf)服务消费者。在各种实施例中，第四网络装置包括网络存储库功能(nrf)。
101.在一个实施例中，一种设备包括第一网络装置。所述设备进一步包括：接收器，其从第二网络装置接收用以在第三网络装置上执行服务的网络功能服务请求，其中所述请求包括用于向第一网络装置认证的第一凭证及用于向所述第三网络装置认证的第二凭证；处理器，其确定所述所提供的第一凭证是否有效且通过确定所述第三网络装置执行由所述第二网络装置请求的所述服务来执行所述服务请求；及发射器，其将用于向所述第三网络装置认证的请求发射到第四网络装置，其中所述请求包括所述第三网络装置的标识符及所述第二网络装置的第二凭证，其中：所述接收器从所述第四网络装置接收用于向所述第三网络功能发起网络功能(nf)服务的第三凭证；且所述发射器将用于发起所述nf服务的请求发射到所述第三网络装置，其中所述请求包括认证凭证，所述认证凭证包括所述第二凭证及所述第三凭证。
102.在某些实施例中，所述第一网络装置包括数据收集协调功能(dccf)。
103.在一些实施例中，所述第二网络装置包括nf服务消费者。
104.在各种实施例中，所述第四网络装置包括网络存储库功能(nrf)。
105.在一个实施例中，提供第一凭证以进行认证以存取所述第一网络装置的所述服务且提供所述第二凭证以进行认证以存取所述第三网络装置的所述服务。
106.在某些实施例中，所述第三网络装置包括nf服务生产者。
107.在一些实施例中，所述服务包括数据请求。
108.在各种实施例中，所述第一凭证包括从所述第三网络装置指派的所述第二网络装置的第一存取令牌。
109.在一个实施例中，所述第二凭证包括从所述第二网络装置产生的第二存取令牌。
110.在某些实施例中，所述第三凭证包括从所述第四网络装置产生的存取令牌。
111.在一个实施例中，一种第一网络装置的方法包括：从第二网络装置接收用以在第三网络装置上执行服务的网络功能服务请求，其中所述请求包括用于向第一网络装置认证的第一凭证及用于向所述第三网络装置认证的第二凭证；确定所述所提供的第一凭证是否有效且通过确定所述第三网络装置执行由所述第二网络装置请求的所述服务来执行服务所述请求；将用于向所述第三网络装置认证的请求发射到第四网络装置，其中所述请求包括所述第三网络装置的标识符及所述第二网络装置的第二凭证；从所述第四网络装置接收用于向所述第三网络功能发起网络功能(nf)服务的第三凭证；及将用于发起所述nf服务的请求发射到所述第三网络装置，其中所述请求包括认证凭证，所述认证凭证包括所述第二凭证及所述第三凭证。
112.在某些实施例中，所述第一网络装置包括数据收集协调功能(dccf)。
113.在一些实施例中，所述第二网络装置包括nf服务消费者。
114.在各种实施例中，所述第四网络装置包括网络存储库功能(nrf)。
115.在一个实施例中，提供第一凭证以进行认证以存取所述第一网络装置的所述服务
且提供所述第二凭证以进行认证以存取所述第三网络装置的所述服务。
116.在某些实施例中，所述第三网络装置包括nf服务生产者。
117.在一些实施例中，所述服务包括数据请求。
118.在各种实施例中，所述第一凭证包括从所述第三网络装置指派的所述第二网络装置的第一存取令牌。
119.在一个实施例中，所述第二凭证包括从所述第二网络装置产生的第二存取令牌。
120.在某些实施例中，所述第三凭证包括从所述第四网络装置产生的存取令牌。
121.在一个实施例中，一种设备包括第二网络装置。所述设备进一步包括：发射器，其将用于授权存取第一网络装置的服务的请求发射到第四网络装置；及接收器，其从所述第四网络装置接收包括存取令牌的第一凭证，其中：所述发射器将用以执行服务的网络功能服务请求从第三网络装置发射到第一网络装置，所述网络功能服务请求包括用于向所述第一网络装置认证的所述第一凭证及用于向所述第三网络装置认证的第二凭证，其中所述第一凭证包括第一存取令牌且第二凭证包括由所述第二网络装置产生的第二存取令牌；且所述接收器从所述第一网络装置接收对所述网络功能服务请求的响应。
122.在某些实施例中，所述第一网络装置包括数据收集协调功能(dccf)。
123.在一些实施例中，所述第二网络装置包括网络功能(nf)服务消费者。
124.在各种实施例中，所述第四网络装置包括网络存储库功能(nrf)。
125.在一个实施例中，一种第二网络装置的方法包括：将用于授权存取第一网络装置的服务的请求发射到第四网络装置；从所述第四网络装置接收包括存取令牌的第一凭证；将用以执行服务的网络功能服务请求从第三网络装置发射到第一网络装置，所述网络功能服务请求包括用于向所述第一网络装置认证的所述第一凭证及用于向所述第三网络装置认证的第二凭证，其中所述第一凭证包括第一存取令牌且第二凭证包括由所述第二网络装置产生的第二存取令牌；及从所述第一网络装置接收对所述网络功能服务请求的响应。
126.在某些实施例中，所述第一网络装置包括数据收集协调功能(dccf)。
127.在一些实施例中，所述第二网络装置包括网络功能(nf)服务消费者。
128.在各种实施例中，所述第四网络装置包括网络存储库功能(nrf)。
129.在一个实施例中，一种设备包括第四网络装置。所述设备进一步包括：接收器，其从第一网络装置接收用于向第三网络装置认证的请求，其中所述请求包括第一凭证，所述第一凭证包括第二网络装置的存取令牌及所述第三网络装置的标识符；处理器，其：确定所述第一网络装置及所述第二网络装置是否被允许存取所述第三网络装置的服务；及响应于确定所述第一网络装置及所述第二网络装置被允许存取所述服务，产生包括第二存取令牌的第二凭证；及发射器，其将用于发起nf服务的所述第二凭证发射到所述第一网络装置。
130.在某些实施例中，所述第一网络装置包括数据收集协调功能(dccf)。
131.在一些实施例中，所述第二网络装置包括网络功能(nf)服务消费者。
132.在各种实施例中，所述第四网络装置包括网络存储库功能(nrf)。
133.在一个实施例中，一种第四网络装置的方法包括：从第一网络装置接收用于向第三网络装置认证的请求，其中所述请求包括第一凭证，所述第一凭证包括第二网络装置的存取令牌及所述第三网络装置的标识符；确定所述第一网络装置及所述第二网络装置是否被允许存取所述第三网络装置的服务；响应于确定所述第一网络装置及所述第二网络装置
被允许存取所述服务，产生包括第二存取令牌的第二凭证；及将用于发起nf服务的所述第二凭证发射到所述第一网络装置。
134.在某些实施例中，所述第一网络装置包括数据收集协调功能(dccf)。
135.在一些实施例中，所述第二网络装置包括网络功能(nf)服务消费者。
136.在各种实施例中，所述第四网络装置包括网络存储库功能(nrf)。
137.可以其它特定形式实践实施例。所描述实施例在所有方面均仅被认为是说明性的而非限制性的。因此，本公开的范围由所附权利要求书而不是由前文描述来指示。在权利要求书的等效物的含义及范围内的所有改变应被涵盖在它们的范围内。