方法、装置和计算机程序与流程

本技术涉及一种方法、装置和计算机程序，特别是但不限于授权管理服务消费者。

背景技术：

1、通信系统可以被看作是一种设施，通过在通信路径中涉及的各个实体之间提供载体，实现两个或更多个实体(诸如用户终端、基站和/或其他节点)之间的通信会话。通信系统可以例如通过通信网络和一个或多个兼容通信设备被提供。通信会话可以包括例如用于携带通信的数据通信，诸如语音、视频、电子邮件(email)、文本消息、多媒体和/或内容数据等。所提供的服务的非限制性示例包括双向或多向呼叫、数据通信或多媒体服务以及对数据网络系统(诸如互联网)的访问。

2、在无线通信系统中，至少两个站之间的通信会话的至少一部分通过无线链路进行。无线系统的示例包括公共陆地移动网络(plmn)、基于卫星的通信系统和不同的无线本地网络，例如无线局域网(wlan)。一些无线系统可以被分为小区，因此通常被称为蜂窝系统。

3、用户可以通过适当的通信设备或终端访问通信系统。用户的通信设备可以被称为用户设备(ue)或用户装置。通信设备被提供有适当的信号接收和发送装置，用于实现通信，例如，实现对通信网络的访问或与其他用户的直接通信。通信设备可以访问由站(例如，小区的基站)提供的载波，并且在载波上发送和/或接收通信。

4、通信系统和相关联的设备通常根据给定的标准或规范操作，该标准或规范规定了与系统相关联的各种实体被允许做什么以及应该如何被实现。应当被用于连接的通信协议和/或参数通常还被定义。通信系统的一个示例是utran(3g无线电)。通信系统的其他示例是通用移动电信系统(umts)无线电访问技术的长期演进(lte)和所谓的5g或新无线电(nr)网络。nr正在由第三代合作伙伴计划(3gpp)标准化。

技术实现思路

1、根据一个方面，提供了一种装置，包括用于以下项的部件：从授权服务消费者接收对于管理服务消费者访问管理服务的授权的请求；基于请求，验证管理服务消费者的标识；响应于验证标识，根据与管理服务消费者相关联的角色和/或组来获得被指派给管理服务消费者的许可；以及基于所获得的许可，向授权服务消费者发送授权响应。

2、授权服务消费者可以是管理服务消费者或管理服务生产者。

3、授权响应可以包括以下项中的至少一项：管理服务消费者的标识符；处理请求的结果；用于访问管理服务的令牌。

4、用于访问管理服务的令牌可以包括被指派给管理服务消费者的许可、以及以下项中的至少一项：令牌的标识符；将令牌的发行者标识为授权服务生产者的信息；将令牌的消费者标识为管理服务消费者的信息；令牌的上下文信息；以及令牌的类型。

5、该部件可以用于：接收标识用于管理服务消费者的角色和/或组的一个或多个访问许可的信息；以及存储所接收的信息，其中许可是从所存储的信息中被获得的。

6、对于授权的请求可以包括以下项中的至少一项：标识管理服务消费者的信息；标识令牌；被用于验证管理服务消费者的标识的凭证；标识管理服务的信息；以及与管理服务消费者相关联的上下文信息。

7、验证标识可以包括：向认证服务生产者发送标识管理服务消费者的信息；以及从认证服务生产者接收指示管理服务消费者标识有效的响应。

8、授权请求可以包括标识令牌，并且其中验证标识可以包括：基于标识令牌，验证标识。

9、获得该许可可以包括：确定与管理服务消费者相关联的组和/或角色；以及基于与管理服务消费者相关联的所确定的组和/或角色以及上下文信息，获得许可。

10、确定管理服务消费者被指派给的组和/或角色可以包括：从授权管理服务消费者接收将管理服务消费者与组和/或角色相关联的信息；或者从授权管理服务消费者接收将包括管理服务消费者的管理服务消费者组与角色相关联的信息。

11、该部件可以用于：基于所获得的许可和上下文信息，构建用于访问管理服务的令牌。

12、上下文信息可以包括以下项中的一项或多项：用于访问管理服务的令牌的到期时间；位置信息；以及管理服务消费者的安全状态。

13、该许可可以包括以下项中的至少一项：管理服务生产者的角色或组；对受管理的资源的一个或多个访问权限；以及一个或多个访问权限的一个或多个条件。

14、一个或多个访问权限可以与以下项中的一项或多项相关：在管理服务生产者处创建信息；在管理服务生产者处读取信息；在管理服务生产者处更新信息；以及在管理服务生产者处删除信息。

15、一个或多个访问权限的一个或多个条件可以包括以下的列表：表示条件的类型的键；以及表示条件的值。

16、该部件可以用于：接收更新的信息，该更新的信息标识用于管理服务消费者的角色和/或组的一个或多个访问许可；以及基于所接收的更新信息，更新存储的信息。

17、该部件可以用于：基于更新的存储信息，确定许可已经被改变；以及向授权服务消费者发送指示许可已经被改变的信息。

18、根据一个方面，提供了一种装置，包括用于以下项的部件：从管理服务消费者接收包括用于访问管理服务的令牌的访问请求；验证令牌；响应于验证令牌，基于令牌来确定管理服务消费者是否被授权访问，其中令牌包括与管理服务消费者相关联的许可；以及响应于确定管理服务消费者被授权访问，基于访问请求和由许可指示的一个或多个访问权限和条件来执行一个或多个操作。

19、访问请求还可以包括以下项中的至少一项：管理服务消费者的标识；以及将被访问的管理服务的指示。

20、令牌还可以包括以下项中的至少一项：令牌的标识符；将令牌的发行者标识为授权服务生产者的信息；将令牌的消费者标识为管理服务消费者的信息；令牌的上下文信息；以及令牌的类型；

21、令牌还可以包括上下文信息，并且其中确定还基于上下文信息。

22、上下文信息可以包括以下项中的一项或多项：令牌的到期时间；位置信息；以及管理服务消费者的安全状态。

23、访问权限可以与以下项中的一项或多项相关：在装置处创建信息；在装置处读取信息；在装置处更新信息；以及在装置处删除信息。

24、访问权限的条件可以包括以下的列表：表示条件的类型的键；以及表示条件的值。

25、该许可还可以包括访问权限的条件，并且其中该确定还可以基于该条件。

26、根据一个方面，提供了一种装置，该装置包括至少一个处理器和至少一个存储器，至少一个存储器包括计算机程序代码，至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少：从授权服务消费者接收对于管理服务消费者访问管理服务的授权的请求；基于请求，验证管理服务消费者的标识；响应于验证标识，根据与管理服务消费者相关联的角色和/或组来获得被指派给管理服务消费者的许可；以及基于所获得的许可，向授权服务消费者发送授权响应。

27、授权服务消费者可以是管理服务消费者或管理服务生产者。

28、授权响应可以包括以下项中的至少一项：管理服务消费者的标识符；处理请求的结果；用于访问管理服务的令牌。

29、用于访问管理服务的令牌可以包括被指派给管理服务消费者的许可以及以下项中的至少一项：令牌的标识符；将令牌的发行者标识为授权服务生产者的信息；将令牌的消费者标识为管理服务消费者的信息；令牌的上下文信息；以及令牌的类型。

30、至少一个存储器和至少一个处理器可以被配置为使装置：接收标识用于管理服务消费者的角色和/或组的一个或多个访问许可的信息；以及存储所接收的信息，其中许可是从所存储的信息中被获得的。

31、对于授权的请求可以包括以下项中的至少一项：标识管理服务消费者的信息；标识令牌；被用于验证管理服务消费者的标识的凭证；标识管理服务的信息；以及与管理服务消费者相关联的上下文信息。

32、至少一个存储器和至少一个处理器可以被配置为使得装置：向认证服务生产者发送标识管理服务消费者的信息；以及从认证服务生产者接收指示管理服务消费者标识有效的响应。

33、授权请求可以包括标识令牌，并且至少一个存储器和至少一个处理器可以被配置为使装置基于标识令牌验证标识。

34、至少一个存储器和至少一个处理器可以被配置为使装置：确定管理服务消费者被关联于的组和/或角色；以及基于所确定的组和/或角色以及与管理服务消费者相关联的上下文信息获得许可。

35、至少一个存储器和至少一个处理器可以被配置为使得装置：从授权管理服务消费者接收将管理服务消费者与组和/或角色相关联的信息；或者从授权管理服务消费者接收将包括管理服务消费者的管理服务消费者组与角色相关联的信息。

36、至少一个存储器和至少一个处理器可以被配置为使得装置：基于所获得的许可和上下文信息，构建用于访问管理服务的令牌。

37、上下文信息可以包括以下项中的一项或多项：用于访问管理服务的令牌的到期时间；位置信息；以及管理服务消费者的安全状态。

38、该许可可以包括以下项中的至少一项：管理服务生产者的角色或组；对受管理的资源的一个或多个访问权限；以及一个或多个访问权限的一个或多个条件。

39、一个或多个访问许可可以与以下项中的一项或多项相关：在管理服务生产者处创建信息；在管理服务生产者处读取信息；在管理服务生产者处更新信息；以及在管理服务生产者处删除信息。

40、一个或多个访问权限的一个或多个条件可以包括以下的列表：表示条件的类型的键；以及表示条件的值。

41、至少一个存储器和至少一个处理器可以被配置为使得装置：接收更新的信息，该更新的信息标识用于管理服务消费者的角色和/或组的一个或多个访问许可；以及基于接收的更新信息，更新存储的信息。

42、至少一个存储器和至少一个处理器可以被配置为使得装置：基于更新的存储信息，确定许可已经被改变；以及向授权服务消费者发送指示许可已经被改变的信息。

43、根据一个方面，提供了一种装置，包括至少一个处理器和至少一个存储器，至少一个存储器包括计算机程序代码，至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使得该装置至少：从管理服务消费者接收包括用于访问管理服务的令牌的访问请求；验证令牌；响应于验证令牌，基于令牌来确定管理服务消费者是否被授权访问，其中令牌包括与管理服务消费者相关联的许可；以及响应于确定管理服务消费者被授权访问，基于访问请求和由许可指示的一个或多个访问权限和条件来执行一个或多个操作。

44、访问请求还可以包括以下项中的至少一项：管理服务消费者的标识；以及将被访问的管理服务的指示。

45、令牌还可以包括以下项中的至少一项：令牌的标识符；将令牌的发行者标识为授权服务生产者的信息；将令牌的消费者标识为管理服务消费者的信息；令牌的上下文信息；以及令牌的类型；

46、令牌还可以包括上下文信息，并且其中确定还基于上下文信息。

47、上下文信息可以包括以下项中的一项或多项：令牌的到期时间；位置信息；以及管理服务消费者的安全状态。

48、访问权限可以与以下项中的一项或多项相关：在装置处创建信息；在装置处读取信息；在装置处更新信息；以及在装置处删除信息。

49、访问权限的条件可以包括以下的列表：表示条件的类型的键；以及表示条件的值。

50、该许可还可以包括访问权限的条件，并且其中该确定还可以基于该条件。

51、根据一个方面，提供了一种方法，包括：从授权服务消费者接收对于管理服务消费者访问管理服务的授权的请求；基于请求，验证管理服务消费者的标识；响应于验证标识，根据与管理服务消费者相关联的角色和/或组来获得被指派给所述管理服务消费者的许可；以及基于所获得的许可，向授权服务消费者发送授权响应。

52、授权服务消费者可以是管理服务消费者或管理服务生产者。

53、授权响应可以包括以下项中的至少一项：管理服务消费者的标识符；处理请求的结果；用于访问管理服务的令牌。

54、用于访问管理服务的令牌可以包括被指派给管理服务消费者的许可以及以下项中的至少一项：令牌的标识符；将令牌的发行者标识为授权服务生产者的信息；将令牌的消费者标识为管理服务消费者的信息；令牌的上下文信息；以及令牌的类型。

55、该方法可以包括：接收标识用于管理服务消费者的角色和/或组的一个或多个访问许可的信息；以及存储所接收的信息，其中许可是从所存储的信息中被获得的。

56、对于授权的请求可以包括以下项中的至少一项：标识管理服务消费者的信息；标识令牌；被用于验证管理服务消费者的标识的凭证；标识管理服务的信息；以及与管理服务消费者相关联的上下文信息。

57、验证标识可以包括：向认证服务生产者发送标识管理服务消费者的信息；以及从认证服务生产者接收指示管理服务消费者标识有效的响应。

58、授权请求可以包括标识令牌，并且其中验证标识可以包括：基于标识令牌，验证标识。

59、获得该许可可以包括：确定与管理服务消费者相关联的组和/或角色；以及基于与管理服务消费者相关联的所确定的组和/或角色、以及上下文信息获得许可。

60、确定管理服务消费者被指派到的组和/或角色可以包括：从授权管理服务消费者接收将管理服务消费者与组和/或角色相关联的信息；或者从授权管理服务消费者接收将包括管理服务消费者的管理服务消费者组与角色相关联的信息。

61、该方法可以包括：基于所获得的许可和上下文信息，构建用于访问管理服务的令牌。

62、上下文信息可以包括以下项中的一项或多项：用于访问管理服务的令牌的到期时间；位置信息；以及管理服务消费者的安全状态。

63、该许可可以包括以下项中的至少一项：管理服务生产者的角色或组；对受管理的资源的一个或多个访问权限；以及一个或多个访问权限的一个或多个条件。

64、一个或多个访问权限可以与以下项中的一项或多项相关：在管理服务生产者处创建信息；在管理服务生产者处读取信息；在管理服务生产者处更新信息；以及在管理服务生产者处删除信息。

65、一个或多个访问权限的一个或多个条件可以包括以下的列表：表示条件的类型的键；以及表示条件的值。

66、该方法可以包括：接收更新的信息，该更新的信息标识用于管理服务消费者的角色和/或组的一个或多个访问许可；以及基于接收的更新信息更新存储的信息。

67、该方法可以包括：基于更新的存储信息，确定许可已经被改变；以及向授权服务消费者发送指示许可已经被改变的信息。

68、根据一个方面，提供了一种方法，包括：从管理服务消费者接收包括用于访问管理服务的令牌的访问请求；验证令牌；响应于验证令牌，基于令牌，确定管理服务消费者是否被授权访问，其中令牌包括与管理服务消费者相关联的许可；以及响应于确定管理服务消费者被授权访问，基于访问请求和由许可指示的一个或多个访问权限和条件来执行一个或多个操作。

69、访问请求还可以包括以下项中的至少一项：管理服务消费者的标识；以及将被访问的管理服务的指示。

70、令牌还可以包括以下项中的至少一项：令牌的标识符；将令牌的发行者标识为授权服务生产者的信息；将令牌的消费者标识为管理服务消费者的信息；令牌的上下文信息；以及令牌的类型；

71、令牌还可以包括上下文信息，并且其中确定还基于上下文信息。

72、上下文信息可以包括以下项中的一项或多项：令牌的到期时间；位置信息；以及管理服务消费者的安全状态。

73、访问权限可以与以下项中的一项或多项相关：在装置处创建信息；在装置处读取信息；在装置处更新信息；以及在装置处删除信息。

74、访问权限的条件可以包括以下的列表：表示条件的类型的键；以及表示条件的值。

75、该许可还可以包括访问权限的条件，并且其中该确定还可以基于该条件。

76、根据一个方面，提供了一种计算机可读介质，包括程序指令，用于使装置至少执行以下项：从授权服务消费者接收针对管理服务消费者访问管理服务的授权的请求；基于请求验证管理服务消费者的标识；响应于验证标识，根据管理服务消费者被关联于的角色和/或组获得被指派给所述管理服务消费者的许可；以及基于所获得的许可向授权服务消费者发送授权响应。

77、授权服务消费者可以是管理服务消费者或管理服务生产者。

78、授权响应可以包括以下项中的至少一项：管理服务消费者的标识符；处理请求的结果；用于访问管理服务的令牌。

79、用于访问管理服务的令牌可以包括被指派给管理服务消费者的许可以及以下项中的至少一项：令牌的标识符；将令牌的发行者标识为授权服务生产者的信息；将令牌的消费者标识为管理服务消费者的信息；令牌的上下文信息；以及令牌的类型。

80、该程序指令可以使该装置执行：接收标识用于管理服务消费者的角色和/或组的一个或多个访问许可的信息；以及存储所接收的信息，其中许可是从所存储的信息中被获得的。

81、对于授权的请求可以包括以下项中的至少一项：标识管理服务消费者的信息；标识令牌；被用于验证管理服务消费者的标识的凭证；标识管理服务的信息；以及与管理服务消费者相关联的上下文信息。

82、验证标识可以包括：向认证服务生产者发送标识管理服务消费者的信息；以及从认证服务生产者接收指示管理服务消费者标识有效的响应。

83、授权请求可以包括标识令牌，并且其中验证标识可以包括：基于标识令牌，验证标识。

84、获得该许可可以包括：确定与管理服务消费者相关联的组和/或角色；以及基于与管理服务消费者相关联的所确定的组和/或角色、以及上下文信息获得许可。

85、确定管理服务消费者被指派给的组和/或角色可以包括：从授权管理服务消费者接收将管理服务消费者与组和/或角色相关联的信息；或者从授权管理服务消费者接收将包括管理服务消费者的管理服务消费者组与角色相关联的信息。

86、该程序指令可以使得该装置执行：基于所获得的许可和上下文信息，构建用于访问管理服务的令牌。

87、上下文信息可以包括以下项中的一项或多项：用于访问管理服务的令牌的到期时间；位置信息；以及管理服务消费者的安全状态。

88、该许可可以包括以下项中的至少一项：管理服务生产者的角色或组；对受管理的资源的一个或多个访问权限；以及一个或多个访问权限的一个或多个条件。

89、一个或多个访问权限可以与以下项中的一项或多项相关：在管理服务生产者处创建信息；在管理服务生产者处读取信息；在管理服务生产者处更新信息；以及在管理服务生产者处删除信息。

90、一个或多个访问权限的一个或多个条件可以包括以下的列表：表示条件的类型的键；以及表示条件的值。

91、该程序指令可以使得该装置执行：接收更新的信息，该更新的信息标识用于管理服务消费者的角色和/或组的一个或多个访问许可；以及基于接收的更新信息，更新存储的信息。

92、该程序指令可以使得该装置执行：基于更新的存储信息，确定许可已经被改变；以及向授权服务消费者发送指示许可已经被改变的信息。

93、根据一个方面，提供了一种计算机可读介质，包括程序指令，用于使得装置至少执行以下项：从管理服务消费者接收包括用于访问管理服务的令牌的访问请求；验证令牌；响应于验证令牌，基于令牌来确定管理服务消费者是否被授权访问，其中令牌包括与管理服务消费者相关联的许可；以及响应于确定管理服务消费者被授权访问，基于访问请求和由许可指示的一个或多个访问权限和条件来执行一个或多个操作。

94、访问请求还可以包括以下项中的至少一项：管理服务消费者的标识；以及将被访问的管理服务的指示。

95、令牌还可以包括以下项中的至少一项：令牌的标识符；将令牌的发行者标识为授权服务生产者的信息；将令牌的消费者标识为管理服务消费者的信息；令牌的上下文信息；以及令牌的类型；

96、令牌还可以包括上下文信息，并且其中确定还基于上下文信息。

97、上下文信息可以包括以下项中的一项或多项：令牌的到期时间；位置信息；以及管理服务消费者的安全状态。

98、访问权限可以与以下项中的一项或多项相关：在装置处创建信息；在装置处读取信息；在装置处更新信息；以及在装置处删除信息。

99、访问权限的条件可以包括以下的列表：表示条件的类型的键；以及表示条件的值。

100、该许可还可以包括访问权限的条件，并且其中该确定还可以基于该条件。

101、根据一个方面，提供了一种非瞬时性计算机可读介质，包括程序指令，用于使装置执行至少根据任一前述方面的方法。

102、在上面，许多不同的实施例已经被描述。应当理解，另外的实施例可以通过上述实施例的任何两个或更多个的组合来提供。