CN114528540A - 一种服务授权方法、通信装置及系统 - Google Patents

Abstract

本申请提供一种服务授权方法、通信装置及系统，该方法包括：第一网元向网络存储功能网元发送第一令牌请求；网络存储功能网元接收到来自第一网元的第一令牌请求之后，通过校验第一令牌请求中携带的网络功能服务消费实体的第一信息与网络功能服务消费实体的声明的证书中的第二信息是否匹配，就可以完成对网络功能服务消费实体的合法性校验，不需要依靠网络功能服务消费实体的配置文件来校验网络功能服务消费实体的合法性，所以对于在网络存储功能网元未保存有配置文件的网络功能服务消费实体，网络存储功能网元同样可以校验其参数的合法性，进而有效提升网络功能服务使用的安全性。

Description

一种服务授权方法、通信装置及系统

技术领域

本申请涉及通信技术领域，尤其涉及一种服务授权方法、通信装置及系统。

背景技术

第三代合作伙伴计划(3rd generation partnership project，3GPP)提出在第五代(the 5th Generation，5G)移动通信系统中采用服务化架构(service basedarchitecture，SBA)和服务化架构的增强(enhancement of service basedarchitecture,eSBA)。

在SBA或者eSBA中，所有网络功能(network function，NF)均支持传输层安全(transport layer security，TLS)协议。其中，网络功能服务提供(network functionservice provider，NFp)实体允许授权的网络功能服务消费(network function serviceconsumer，NFc)实体访问其服务。网络存储功能(network repository function，NRF)网元为NF提供管理、发现和授权等服务。

授权过程包括：NFc实体向NRF网元请求授权，用于请求获得NFc实体想要请求的服务对应的令牌；NRF网元根据该NFc实体的证书，生成令牌，并将该令牌发送至该NFc实体；NFc获得令牌之后，就可以根据令牌向拥有该服务的NFp实体请求此项服务。

在上述授权过程中，NRF网元收到NFc实体的令牌请求时，一般是根据本地存储的NFc实体的配置文件(profile)对令牌请求中携带的参数(例如，单一网络切片选择辅助信息(single-networkslice selection assistance information，S-NSSAI))进行校验，来防止NFc实体恶意上报自身参数获取NRF授权。然而NRF并未保存一部分NFc的配置文件，因此NRF无法对这些NFc进行参数校验。

发明内容

本申请实施例提供一种服务授权方法、装置及系统，用于解决NRF无法校验部分NFc的问题，有效提高网络的可靠性和安全性。

第一方面，本申请实施例提供一种服务授权方法，该方法包括：第一网元向网络存储功能网元发送第一令牌请求；其中，第一令牌请求包括网络功能服务消费实体的第一信息和网络功能服务消费实体的声明，声明包括网络功能服务消费实体的证书，证书包括网络功能服务消费实体的第二信息；网络存储功能网元接收第一令牌请求之后，校验第一信息是否与第二信息匹配，并在确定第一信息与第二信息相匹配之后，生成令牌，并向第一网元发送令牌；第一网元接收该令牌。

在上述技术方案中，网络存储功能网元接收到来自第一网元的第一令牌请求之后，通过校验第一令牌请求中携带的网络功能服务消费实体的第一信息与网络功能服务消费实体的声明的证书中的第二信息是否匹配，就可以完成对网络功能服务消费实体的合法性校验，不需要依靠网络功能服务消费实体的配置文件来校验网络功能服务消费实体的合法性，所以对于在网络存储功能网元未保存有配置文件的网络功能服务消费实体，网络存储功能网元同样可以校验其参数的合法性，进而有效提升网络功能服务使用的安全性。

在一种可能的设计中，第一信息包括以下一种或多种：第一公用陆地移动通信网标识、第一独立非公共网络标识、第一单一辅助选择切片信息标识、第一网络功能实例标识、第二网络功能类型、第一网络功能服务集、第一统一资源标识符；第二信息包括以下一种或多种：第二公用陆地移动通信网标识、第二独立非公共网络标识、第二单一辅助选择切片信息标识、第三网络功能实例标识、第二网络功能类型、第二网络功能服务集、第二统一资源标识符。

在上述技术方案中，第一信息和第二信息中可以包括一个或多个网络功能服务消费实体的参数信息，有效提高技术方案的灵活性、可靠性。

需要说明的是，该第一信息中包含的信息和该第二信息中包含的信息是一一对应的。

例如，当第一信息包括第一网络功能实例标识时，第二信息包括第二网络功能实例标识。又例如，当第一信息包括第一独立非公共网络标识和第一公用陆地移动通信网标识时，第二信息包括第二独立非公共网络标识和第二公用陆地移动通信网标识。再例如，当第一信息包括第一公用陆地移动通信网标识和第一独立非公共网络标识、第一网络功能实例标识时，第二信息包括第二公用陆地移动通信网标识和第二独立非公共网络标识、第三网络功能实例标识。

应理解，网络存储功能网元校验第一信息是否与第二信息匹配的具体实现方式有多种，包括但不限于以下两种：

方式1，若网络存储功能网元确定第一信息与第二信息相同，则确定第一信息与第二信息匹配。

示例性的，当第一信息是第一公用陆地移动通信网标识，第二信息是第二公用陆地移动通信网标识时，如果第一公用陆地移动通信网标识与第二公用陆地移动通信网标识相同，例如均为1，则网络存储功能网元确定第一信息与第二信息相匹配。

方式2，若网络存储功能网元确定第一信息是第二信息的子集，则确定第一信息与第二信息匹配。

示例性的，当第一信息是第一独立非公共网络标识，第二信息是独立非公共网络标识，且第一独立非公共网络标识为1，第二独立非公共网络标识为{1，2，4}，则第一独立非公共网络标识为第二独立非公共网络标识的子集，网络存储功能网元确定第一信息与第二信息相匹配。

在上述技术方案中，网络存储功能网元可以通过多种方式校验第一信息和第二信息的匹配关系，进一步提升本申请实施例提供的技术方案的灵活性。

在一种可能的设计中，第一网元在收到令牌之后，还可以向网络功能服务提供实体发送第一服务请求；其中，第一服务请求用于请求网络功能服务提供实体为网络功能服务消费实体提供服务，第一服务请求包括令牌和声明；令牌包括第一网络功能实例标识，声明还包括第二网络功能实例标识；网络功能服务提供实体接收该第一服务请求之后，可以校验第一网络功能实例标识和第二网络功能实例标识是否相同，并在确定第一网络功能实例标识和第二网络功能实例标识相同后，为网络功能服务消费实体提供服务。

在上述技术方案中，网络功能服务提供实体通过校验服务请求中携带的令牌的网络功能实例标识和声明中携带的网络功能实例标识，保证了服务请求中的令牌和声明相匹配，避免了攻击者非法盗用令牌，进而非法获取网络功能服务的情况，有效提升网络功能服务使用的安全性。

需要说明的是，上述第一网元可以是服务通信代理网元，也可以是网络功能服务消费实体，本申请的实施例不作具体的限定。

在一种可能的设计中，第一网元是服务通信代理网元，在服务通信代理网元向网络存储功能网元发送第一令牌请求之前，服务通信代理网元还可以接收来自网络功能服务消费实体的第二令牌请求或第二服务请求；其中第二令牌请求或第二服务请求中包括证书；然后服务通信代理网元获取与证书关联的第一全量域名FQDN和第三网络功能实例标识，并确定第一FQDN和第三网络功能实例标识匹配。

在一种可能的设计中，第一网元是服务通信代理网元，在服务通信代理网元接收到令牌中，还可以：将该令牌发送给网络功能服务消费实体，并接收来自网络功能服务消费实体的第一服务请求；第一服务请求中包括证书；然后服务通信代理网元获取与该证书关联的第一FQDN和第三网络功能实例标识，确定第一FQDN与第三网络功能实例标识匹配之后，向网络功能服务提供实体发送第一服务请求。

其中，服务通信代理网元确定第一FQDN和第三网络功能实例标识匹配的具有实现方式有多种，包括但不限于以下两种：

方式1，服务通信代理网元从网络存储功能网元获取FQDN和网络功能实例标识之间的绑定关系，根据该绑定关系，确定第一FQDN和第三网络功能实例标识是否匹配。

方式2，服务通信代理网元将第一全量域名FQDN和第三网络功能实例标识发送至网络存储功能网元，由该网络存储功能网元根据其本地存储的绑定关系或向证书管理机构实体获取的绑定关系，判断第一FQDN和第三网络功能实例标识是否匹配。

在上述技术方案中，服务通信代理网元在向网络功服务能提供实体发送服务请求之前，会先校验网络功能服务消费实体的声明中证书关联的FQDN和第三网络功能实例标识的匹配关系，并且在校验通过后，才向网络功服务能提供实体发送服务请求，因而可以避免攻击者非法盗用声明，进而非法获取网络功能服务的情况，有效提升网络功能服务使用的安全性。

在一种可能的设计中，第一网元为网络功能服务消费实体，第一网元向网络功能服务提供实体发送第一服务请求的具体实现方式可以是：网络功能服务消费实体通过服务通信代理网元向网络功能服务提供实体发送第一服务请求；其中，第一服务请求中包括证书；服务通信代理网元从第一网元接收该第一服务请求，在收到第一服务请求后，还可以获取与证书关联的第一全量域名FQDN和第三网络功能实例标识，确定第一FQDN和第三网络功能实例标识匹配之后，向网络功能服务提供实体发送第一服务请求。

在上述技术方案中，服务通信代理网元在向网络功能服务提供实体发送服务请求之前，会先校验网络功能服务消费实体的声明中证书关联的第一FQDN和第三网络功能实例标识的匹配关系，只有校验通过后，才向网络功能服务提供实体发送服务请求，因而可以避免攻击者非法盗用声明，进而非法获取网络功能服务的情况，有效提升网络功能服务使用的安全性。

在一种可能的设计中，在网络存储功能网元接收第一令牌请求之后，向第一网元发送令牌之前，网络存储功能网元可以获取与证书关联的第一全量域名FQDN和第三网络功能实例标识，确定第一FQDN与第三网络功能实例标识匹配，以及第一信息与第二信息匹配。

在上述技术方案中，网络存储功能网元在向第一网元返回令牌之前，会先校验网络功能服务消费实体的声明中证书关联的第一FQDN和第三网络功能实例标识的匹配关系、以及校验令牌请求中第一信息和第二信息，只有校验通过后，才返回令牌，而服务通信代理网元只有在收到令牌之后才能发起服务请求，因而可以避免攻击者非法盗用声明，进而非法获取网络功能服务的情况，有效提升网络功能服务使用的安全性。

在一种可能的设计中，网络功能服务消费实体在向网络存储功能网元发送第一令牌请求之前，还可以向证书管理机构实体发送证书申请请求；其中，证书申请请求中包括证书模板，该证书模板包括第一FQDN和第二信息；证书管理机构实体收到该证书申请请求之后，可以基于第一FQDN和第二信息生成证书，并向网络功能服务消费实体发送证书，证书包括第一FQDN。

在上述技术方案中，网络功能服务消费实体在证书申请请求中携带第一FQDN和第二信息，使得证书包含的信息更丰富，有效增强证书信息验证的可靠性。

在一种可能的设计中，证书管理机构实体还可以基于证书模板中的第一FQDN和第二信息中的第三网络功能实例标识，生成并保存第一FQDN和第三网络功能实例标识的绑定关系。

在上述技术方案中，证书管理机构实体通过生成第一FQDN和第三网络功能实例标识的绑定关系，进一步提高证书验证的可靠性，进而有效避免攻击者非法盗用声明，进而非法获取服务的情况。

在一种可能的设计中，网络存储功能网元还可以在接收到来自网络功能消费实体的第一服务请求后，或者，在接收到来自网络功能提供实体的服务注册请求后，从证书管理机构实体获取绑定关系。

在上述技术方案中，网络存储功能网元在接收到来自网络功能消费实体的第一服务请求后，或者，在接收到来自网络功能提供实体的服务注册请求后，才从证书管理机构实体获取绑定关系，本地无需保存该绑定关系，有效节约网络存储功能网元的存储资源。

第二方面，提供一种服务的授权方法，该方法可以应用于网络存储功能网元，或者也可以应用于网络存储功能网元内部的芯片，以该方法可以应用于网络存储功能网元为例，该方法包括：

接收来自第一网元的第一令牌请求；其中，第一令牌请求包括网络功能服务消费实体的第一信息和网络功能服务消费实体的声明，声明包括网络功能服务消费实体的证书，证书包括网络功能服务消费实体的第二信息；校验第一信息是否与第二信息匹配；在确定第一信息与第二信息相匹配之后，生成令牌，并向第一网元发送令牌。

在一种可能的设计中，网络存储功能网元在收到第一令牌请求之后，向第一网元发送令牌之前，还可以：获取与证书关联的第一FQDN和第三网络功能实例标识；确定第一FQDN与第三网络功能实例标识匹配、以及第一信息第二信息匹配。

在一种可能的设计中，网络存储功能网元校验第一信息是否与第二信息匹配，有多种实现方式，包括但不限于以下来两种：

方式1，若第一信息与第二信息相同，则确定第一信息与第二信息匹配。

方式2，若确定第一信息是第二信息的子集，则确定第一信息与第二信息匹配。

在一种可能的设计中，网络存储功能网元接收到来自网络功能消费实体的第一服务请求后，或者，接收到来自网络功能提供实体的服务注册请求后，可以从证书管理机构获取FQDN和网络功能实例标识之间的绑定关系。

第三方面，提供一种服务的授权方法，该方法可以应用于第一网元，或者也可以应用于第一网元内部的芯片，以该方法可以应用于第一网元为例，该方法包括：

向网络存储功能网元发送第一令牌请求；第一令牌请求包括网络功能服务消费实体的第一信息和网络功能服务消费实体的声明，声明包括网络功能服务消费实体的证书，证书包括网络功能服务消费实体的第二信息；从网络存储功能网元接收令牌。

在一种可能的设计中，第一网元在接收令牌之后，还可以向网络功能服务提供实体发送第一服务请求；其中，第一服务请求包括令牌和声明；令牌包括第一网络功能实例标识；声明还包括第二网络功能实例标识；第一服务请求用于请求网络功能服务提供实体为网络功能服务消费实体提供服务。

在一种可能的设计中，第一网元是服务通信代理网元，在向网络存储功能网元发送第一令牌请求之前，还包括：接收来自网络功能服务消费实体的第二令牌请求或第二服务请求；第二令牌请求或第二服务请求中包括证书；获取与证书关联的第一全量域名FQDN和第三网络功能实例标识；确定第一FQDN和第三网络功能实例标识匹配。

在一种可能的设计中，第一网元为网络功能服务消费实体，在网络功能服务消费实体接收到令牌之后，还可以通过服务通信代理网元向网络功能服务提供实体发送所述第一服务请求，其中，第一服务请求用于指示网络功能服务提供实体为网络功能服务消费实体提供服务。

在一种可能的设计中，第一网元为网络功能服务消费实体时，在向网络存储功能网元发送第一令牌请求之前，网络功能服务消费实体还可以：向证书管理机构发送证书申请请求，证书申请请求中包括者证书模板，证书模板包括所述第一FQDN和所述第二信息。

第四方面，提供一种服务的授权方法，该方法可以应用于网络功能服务提供实体，或者也可以应用于网络功能服务提供实体内部的芯片，以该方法可以应用于网络功能服务提供实体为例，该方法包括：

接收来自第一网元的第一服务请求；第一服务请求包括令牌和声明；令牌包括第一网络功能实例标识，声明包括第二网络功能实例标识；校验第一网络功能实例标识和第二网络功能实例标识是否匹配；在确定第一网络功能实例标识和第二网络功能实例标识匹配后，为网络功能服务消费实体提供服务。

第五方面，提供一种通信装置，该装置包括用于执行第二方面或第二方面中任一种可能的实现方式所述方法的模块。

作为一种示例，该装置可以包括：

收发单元，用于接收来自第一网元的第一令牌请求；第一令牌请求包括网络功能服务消费实体的第一信息和网络功能服务消费实体的声明，声明包括网络功能服务消费实体的证书，证书包括网络功能服务消费实体的第二信息；

处理单元用于校验第一信息是否与第二信息匹配，在确定第一信息与第二信息相匹配后，生成令牌；

收发单元，还用于向第一网元发送令牌。

在一种可能的设计中，在收发单元收到第一令牌请求之后，向第一网元发送令牌之前，处理单元还用于：获取与证书关联的第一FQDN和第三网络功能实例标识；确定第一FQDN与第三网络功能实例标识匹配、以及第一信息第二信息匹配。

在一种可能的设计中，处理单元在用于校验第一信息是否与第二信息匹配时，具体用于：若第一信息与第二信息相同，则确定第一信息与第二信息匹配；或者，若确定第一信息是第二信息的子集，则确定第一信息与第二信息匹配。

第六方面，提供一种通信装置，该装置包括用于执行第三方面或第三方面中任一种可能的实现方式所述方法的模块。

作为一种示例，该装置可以包括：

处理单元，用于生成第一令牌请求；第一令牌请求包括网络功能服务消费实体的第一信息和网络功能服务消费实体的声明，声明包括网络功能服务消费实体的证书，证书包括网络功能服务消费实体的第二信息；

收发单元，用于向网络存储功能网元发送第一令牌请求；从网络存储功能网元接收令牌。

在一种可能的设计中，在收发单元接收令牌之后，收发单元还用于：

向网络功能服务提供实体发送第一服务请求，第一服务请求包括令牌和声明；令牌包括第一网络功能实例标识；声明还包括第二网络功能实例标识；

其中，第一服务请求用于请求网络功能服务提供实体为网络功能服务消费实体提供服务。

在一种可能的设计中，第一网元是服务通信代理网元，收发单元在向网络存储功能网元发送第一令牌请求之前，还用于：接收来自网络功能服务消费实体的第二令牌请求或第二服务请求；第二令牌请求或第二服务请求中包括证书；处理单元，还用于：获取与证书关联的第一全量域名FQDN和第三网络功能实例标识；确定第一FQDN和第三网络功能实例标识匹配。

第七方面，提供一种通信装置，包括：该装置包括用于执行第四方面或第四方面中任一种可能的实现方式所述方法的模块。

作为一种示例，该装置可以包括：

收发单元，用于接收来自第一网元的第一服务请求；第一服务请求包括令牌和声明；令牌包括第一网络功能实例标识，声明包括第二网络功能实例标识；

处理单元，用于校验第一网络功能实例标识和第二网络功能实例标识是否匹配；在确定第一网络功能实例标识和第二网络功能实例标识匹配后，为网络功能服务消费实体提供服务。

第八方面，提供一种服务授权系统，该系统包括：如第五方面或第五方面中任一种可能的实现方式所述的通信装置和如第六方面或第六方面中任一种可能的实现方式所述的通信装置。

可选的，该系统还包括如第七方面所述的通信装置。

第九方面，提供一种电子设备，包括：至少一个处理器；以及与至少一个处理器通信连接的存储器、通信接口；其中，存储器存储有可被至少一个处理器执行的指令，至少一个处理器通过执行存储器存储的指令，使得所述电子设备执行如前述第二方面或第二方面中任一种可能的设计中的方法，或，如前述第三方面或第三方面中任一种可能的设计中的方法，或，如前述第四方面或第四方面中任一种可能的设计中的方法。

第十方面，提供一种计算机可读存储介质，包括程序或指令，当程序或指令在计算机上运行时，使得如前述第二方面或第二方面中任一种可能的设计中的方法，或，如前述第三方面或第三方面中任一种可能的设计中的方法，或，如前述第四方面或第四方面中任一种可能的设计中的方法被执行。

第十一方面，提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得前述第二方面或第二方面中任一种可能的设计中的方法，或，如前述第三方面或第三方面中任一种可能的设计中的方法，或，如前述第四方面或第四方面中任一种可能的设计中的方法被执行。

第十二方面，提供一种计算机程序指令，当其在计算机上运行时，使得前述第二方面或第二方面中任一种可能的设计中的方法，或，如前述第三方面或第三方面中任一种可能的设计中的方法，或，如前述第四方面或第四方面中任一种可能的设计中的方法被执行。

上述第二方面至第十二方面中任一方面中的各种设计方案可以达到的技术效果请参照上述第一方面或第一方面任一种可能的设计中的方法可以带来的技术效果，这里不再予以重复赘述。

附图说明

图1为本申请实施例适用的一种通信系统的结构示意图；

图2为本申请实施例适用的一种具体的通信系统的结构示意图；

图3A为本申请实施例适用的一种应用场景的示意图；

图3B为本申请实施例适用的另一种应用场景的示意图；

图3C为本申请实施例适用的另一种应用场景的示意图；

图4为本申请实施例提供的一种服务授权方法的流程示意图；

图5为一种服务授权方法的流程示意图；

图6为另一种服务授权方法的流程示意图；

图7为本申请实施例提供的一种服务授权方法的流程示意图；

图8为另一种服务授权方法的流程示意图；

图9为本申请实施例提供的一种服务授权方法的流程示意图；

图10为本申请实施例提供的一种服务授权方法的流程示意图；

图11为本申请实施例提供的一种证书申请的流程示意图；

图12为本申请实施例提供的一种NRF获取绑定关系的方法的流程示意图；

图13为本申请实施例提供的一种服务授权方法的流程图；

图14为本申请实施例提供的一种服务授权方法的流程图；

图15为本申请实施例提供的另一种服务授权方法的流程图；

图16为本申请实施例提供的一种服务授权方法的流程图；

图17为本申请实施例提供的一种通信装置的结构示意图；

图18为本申请实施例提供的一种通信装置的结构示意图；

图19为本申请实施例提供的一种通信装置的结构示意图；

图20为本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

首先，对本申请实施例中涉及的部分用语进行解释说明，以便于理解。

1)证书(certificate)：指数字证书，是一个经证书认证中心(certificateauthority，CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件，用于通信双方的身份认证。证书一般包含证书版本号(version)、序列号(serial number)、签名算法标识符(signature)、颁发者名称(issuer)、主体公钥信息(subject public key info)、有效期(validity)等信息；还可以包含颁发者的标识符(issuer unique identifier)、主体标识符(subject unique identifier)以及其他的扩展信息(extensions)。本申请实施例涉及NF服务消费实体的证书，可以是应用层证书，也可以是传输层安全(transport layersecurity，TLS)证书，也可以是应用层和传输层共用的证书。

2)网络功能服务消费(network function service consumer，NFc)实体，简称“NFc实体”或“NFc”，具体可以为服务化架构中能调用功能服务的NF，例如：会话管理功能(session management function，SMF)网元、接入和移动性管理功能(access andmobility management function，AMF)网元、鉴权服务功能(Authentication ServerFunction，AUSF)网元等。

3)网络功能服务提供(network function service provider，NFp)实体，简称“NFp实体”或“NFp”，具体可以为服务化架构中有功能服务可以被调用的NF，例如，SMF网元，AUSF网元，统一数据管理(unified data management，UDM)网元等。

4)网络存储功能(network repository function，NRF)网元，简称“NRF网元”或“NRF”，用于负责NF自动化管理、选择和扩展，具体包括NF服务的注册登记、发现、状态监测、服务的授权等，实现网络功能和服务的按需配置及NF间的互连，举例来说，NRF具有生成令牌，校验令牌等功能。

5)服务通信代理(service communication proxy，SCP)网元，简称“SCP网元”或“SCP”，可以用于NF之间的间接通信，还可以用于实现负载均衡和NF选择，还可以具有NF注册、发现和服务授权等功能。

一些可能的实施例中，术语“网元”可以和“实体”、或“设备”等相互替换。例如“AMF网元”还可以写为“AMF实体”或“AMF设备”，“SMF网元”还可以写为“SMF实体”或“SMF设备”等。下文为了便于描述，将“XXX网元”统一简写为“XXX”，例如“AUSF网元”还可以简写为“AUSF”，“SMF网元”还可以简写为“SMF”。

应理解，本申请术语中所示的各个网元可以是物理概念，例如在物理上可以是单个的设备，也可以将至少两个网元集成在同一个物理设备上，或者，本文所示的网元也可以是逻辑概念，例如为软件模块或者为与各个网元提供的服务对应的网络功能，网络功能可以理解为虚拟化实现下的一个虚拟化功能，还可以理解为服务化架构下提供服务的网络功能。

本申请实施例中的术语“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a，b，c，a和b，a和c，b和c，或a和b和c。

以及，除非有相反的说明，本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或者重要程度。例如，第一优先级准则和第二优先级准则，只是为了区分不同的准则，而并不是表示这两种准则的内容、优先级或者重要程度等的不同。

此外，本申请实施例和权利要求书及附图中的术语“包括”和“具有”不是排他的。例如，包括了一系列步骤或模块的过程、方法、系统、产品或设备，不限定于已列出的步骤或模块，还可以包括没有列出的步骤或模块。

本申请实施例的技术方案可以应用于各种通信系统，例如：第四代(4thGeneration，4G)通信系统、第五代(5th Generation，5G)通信系统或未来的其他演进系统、或其他各种采用无线接入技术的无线通信系统等。只要是存在服务认证或授权等需求的通信系统，均可以采用本申请实施例的技术方案。并且，本申请实施例中所使用的各个网元，在未来通信系统中，名称可以不同。

示例性的，图1为本申请实施例适用的一种通信系统，该通信系统包括第一网元、NRF以及NFp。

其中，第一网元可以为NFc，NFc可以向NRF请求NFp的服务授权，例如请求NFp对应的令牌，在获得NRF的授权之后(例如获得令牌之后)，向NFp发起服务请求。

第一网元还可以是与NFc通信连接的SCP，SCP能够代理NFc的部分功能，或者说代理人NFc执行方法。例如，SCP可以代理NFc向NRF请求NFp的服务授权、代理NFc向NFp发起服务请求等。

应理解，在实际应用中，图1所示的通信系统还可以包括更多的网元。

示例性的，图2为本申请实施例适用的一种具体的通信系统，该通信系统包括核心网(core network，CN)。CN作为承载网络提供到数据网络(data network，DN)的接口，为终端设备提供通信连接、认证、管理、策略控制以及对数据业务完成承载等。CN可以包括下述网元：SMF网元、AMF网元、UDM网元、AUSF网元、策略控制功能(policy control function，PCF)网元、用户面功能(user plane function，UPF)网元、网络切片选择功能(networkslice selection function，NSSF)网元、网络公开功能(network exposure function，NEF)网元、NRF和应用功能(application function，AF)网元等。

需要说明的是，上述CN可以包括一台或多台CN设备。其中，CN设备可以是用于执行上述单一网络功能的网元，也可以是用于执行上述多个网络功能的网元。在一台CN设备用于执行上述多个网络功能的情况下，该CN设备可以包括一个或多个用于执行上述多个网络功能的功能模块，该功能模块可以是软件模块，也可以是软硬件模块，本申请实施例不做限定。

需要说明的是，上述AMF、SMF、AUSF、UDM、NEF、PCF、AF、NSSF等可以采用服务化接口进行交互。例如，如图1所示，Namf、Nsmf、Nausf、Nudm、Nnef、Npcf、Naf、Nnssf和Nnrf分别为AMF、SMF、AUSF、UDM、NEF、PCF、AF、NSSF和NRF所展现的服务化接口；N1、N2分别为SMF、DN与UPF之间的服务化接口。

图1中的第一网元，具体可以是图2中的SCP或SMF、AMF等；图1中的NRF，具体可以是图2中的NRF；图1中的NFp，具体可以是图2中的SMF，DUM等。

应理解，图2仅为便于理解而示例的简化示意图，该通信系统中还可以包括更多的网元或设备，例如，可选的，还包括终端设备；可选的，还包括RAN。

其中，终端设备，又可称为终端，包括向用户提供语音和/或数据连通性的设备，例如可以包括具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端设备可以经无线接入网(radio access network，RAN)与核心网进行通信，与RAN交换语音和/或数据。该终端设备可以包括用户设备(user equipment，UE)、无线终端设备、移动终端设备、设备到设备通信(device-to-device，D2D)终端设备、V2X终端设备、机器到机器/机器类通信(machine-to-machine/machine-type communications，M2M/MTC)终端设备、物联网(internet of things，IoT)终端设备、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、远程站(remote station)、接入点(access point，AP)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、或用户装备(user device)等。例如，可以包括移动电话(或称为“蜂窝”电话)，具有移动终端设备的计算机，便携式、袖珍式、手持式、计算机内置的移动装置等。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(session initiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、等设备。还包括受限设备，例如功耗较低的设备，或存储能力有限的设备，或计算能力有限的设备等。例如包括条码、射频识别(radio frequency identification，RFID)、传感器、全球定位系统(global positioning system，GPS)、激光扫描器等信息传感设备。

作为示例而非限定，在本申请实施例中，该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备或智能穿戴式设备等，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能头盔、智能首饰等。

而如上介绍的各种终端设备，如果位于车辆上(例如放置在车辆内或安装在车辆内)，都可以认为是车载终端设备，车载终端设备例如也称为车载单元(on-board unit，OBU)。

上述RAN，主要负责UE的接入，RAN设备为位于上述通信系统网络侧，且具有无线收发功能的设备或可设置于该设备的芯片。该接入网设备包括但不限于：演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(nodeB，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiverstation，BTS)、家庭基站(例如，home evolved nodeB，或home nodeB，HNB)、基带单元(baseband unit，BBU)，(wireless fidelity，Wi-Fi)系统中的接入点(access point，AP)、无线中继节点、无线回传节点、传输点(transmission and reception point，TRP或者Transmission Point，TP)等，还可以为5G，如，新空口(new radio，NR)系统中的gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)等。

本申请实施例可以应用于服务化架构中NFc向NRF获取令牌，从而向相应的NFp请求服务的场景中。

图3A至图3C为本申请实施例提供的几种可能的具体应用场景。

如图3A所示，SCP代理NFc向NRF请求用于向NFp请求服务的令牌；NRF生成相应令牌，并通过SCP将令牌返回给NFc；SCP代理NFc向NFp发送服务请求；NFp接收该服务请求，并通过SCP向NFc返回服务响应。

如图3B所示，NFc向SCP发送服务请求，以使SCP代理NFc向NRF发起令牌请求，获取用于向NFp请求服务的令牌；NRF生成相应令牌，并向SCP返回该令牌；SCP代理NFc向NFp发送服务请求；NFp接收该服务请求，并通过SCP向NFc返回服务响应。

如图3C所示，NFc直接向NRF请求用于向NFp请求服务的令牌；NRF生成相应令牌，并将令牌返回给NFc；SCP代理NFc向NFp发送服务请求；NFp接收该服务请求，并通过SCP向NFc返回服务响应。

应理解，以上几种场景仅为举例而非限定。

下面结合附图介绍本申请实施例提供的服务授权方法。

在eSBA或SBA中，NRF在收到NFc的令牌请求后，一般是根据如表1所示NFc的配置文件对令牌请求中携带的参数进行校验，来防止NFc恶意上报自身参数获取NRF授权。例如，对令牌请求中携带的单一网络切片选择辅助信息(single-networkslice selectionassistance information，S-NSSAI)进行校验，来验证NFc的合法性。然而NRF并未保存一部分NF(例如，未在NRF注册的NFc)的配置文件，因此NRF无法对这些NF进行参数校验。

表1配置文件

单一辅助选择切片信息标识
	全量域名
独立非公共网络标识

针对上述技术问题，本申请实施例提供了一种服务授权方法，该方法可以应用于图1所示的通信系统。

请参见图4，该方法包括以下流程：

S401、第一网元向NRF发送第一令牌请求，NRF接收来自第一网元的第一令牌请求。

本申请实施例中的第一网元可以是NFc，也可以是SCP，本申请的实施例不作具体的限定。

本申请实施例中的NFc可以是能够能调用功能服务的任意网元，例如图2中的SMF、AMF等，这里不做限制。

第一令牌请求中包括NFc的第一信息和NFc的声明(assertion)，该声明包括NFc的证书，该证书包括NFc的第二信息。

该第一信息可以包括以下一种或多种：

1)第一公用陆地移动通信网标识(public land mobile network identifier，PLMN-ID)；

2)第一独立非公共网络标识(stand-alone non-public network identifier，SNPN-ID)；

4)第一单一辅助选择切片信息标识(single-network slice selectionassistance information identifier，S-NSSAI ID)；

4)第一网络功能实例标识(network function instance identifier，NFinstance ID)；

5)第一网络功能类型(network function type，NF type)；

6)第一网络功能服务集(network function set，NF set)；

7)第一统一资源标识符(universal resource locator，URI)。

该第二信息可以包括以下一种或多种：

1)第二PLMN ID；

2)第二SNPN ID；

4)第二S-NSSAI ID；

4)第三NF instance ID；

5)第二NF type；

6)第二NF set；

7)第二URI。

应理解，上述第一PLMN ID、第二PLMN ID均用于标识NFc的拜访地网络和/或归属地网络；上述第一SNPN ID、第二SNPN ID均用于标识NFc的拜访地网络和/或归属地网络；上述第一S-NSSAI ID、第二S-NSSAI ID均用于标识NFc的网络切片信息；上述第一NFinstance ID、第三NF instance ID均用于标识NFc的具体网元；上述第一NF type、第二NFtype均用于标识NFp或NFc的功能类型；上述第一NF set、第二NF set均用于标识NFp或NFc所提供的服务列表；上述第一URI、第二URI均用于标识某一互联网资源名称的字符串。

需要说明的是，上述的第一信息或第二信息中每个信息可以是一个标识(identifier，ID)，也可以是一个ID列表，本申请实施例不作具体的限定。

可以理解的是，该第一信息和第二信息的具体内容是对应的。

例如，当第一信息包括第一SNPN ID时，第二信息包括第二SNPN ID。又例如，当第一信息包括第一SNPN ID和第一PLMN ID时，第二信息包括第二SNPN ID和第二PLMN ID。再例如，当第一信息包括第一SNPN ID和第一PLMN ID、第一NF instance ID时，第二信息包括第二SNPN ID和第二PLMN ID、第三NF instance ID。

可选的，第二信息携带于证书的扩展(extensions)字段。

S402、NRF校验第一信息是否与第二信息匹配。

具体的，NRF收到第一令牌请求之后，执行S402，校验第一信息是否与第二信息匹配。当NRF确定第一信息与第二信息相匹配时，执行S403A～S404；当NRF确定第一信息与第二信息不匹配时，NRF执行S403B，向第一网元返回指示令牌请求失败的响应信息或拒绝NFc的令牌请求。

在本申请实施例中，NRF校验第一信息与第二信息是否匹配的具体实施方式包括但不限于以下两种：

方式1，NRF确定第一信息与第二信息相同，则NRF确定第一信息与第二信息匹配。

示例性的，当第一信息是第一PLMN ID，第二信息是第二PLMN ID时，如果第一PLMNID与第二PLMN ID相同，例如均为1，则NRF确定第一信息与第二信息相匹配。

方式2，NRF确定第一信息是第二信息的子集，则NRF确定第一信息与第二信息匹配。

示例性的，当第一信息是第一SNPN ID，第二信息是SNPN ID，且第一SNPN ID为1，第二SNPN ID为{1,2,4}，则第一SNPN ID为第二SNPN ID的子集，NRF确定第一信息与第二信息相匹配。

应理解，当第一信息和第二信息中均包含多项信息时，NRF确定第一信息与第二信息匹配具体包括：NRF确定第一信息中包含的信息与第二信息中包含的信息一一对应匹配。

例如，当该第一信息包括第一PLMN ID、第一SNPN ID、第一S-NSSAI ID、第一NFinstance ID；该第二信息包括第二PLMN ID、第二SNPN ID、第二S-NSSAI ID、第三NFinstance ID；NRF在确定第一PLMN ID与第二PLMN ID匹配，且第一SNPN ID与第二SNPN ID匹配，且第一NF instance ID与第三NF instance ID匹配时，确定第一信息与第二信息匹配。

S403A、NRF生成令牌。

在一种可能的实施方式中，NRF可以根据令牌请求中携带的第一信息和声明里包括的证书生成令牌，即生成的令牌中可以携带NFc的第一信息和证书，以便于后续其它网元使用令牌时可以基于令牌的第一信息和证书进行其它验证操作。

S403B、NRF向第一网元返回失败响应，第一网元接收该失败响应，该失败响应用于指示令牌请求失败。

S404、NRF向第一网元发送令牌，第一网元接收该令牌。

通过上述可知，本申请实施例通过在令牌请求中携带第一信息以及在NFc的证书中携带第二信息，使得NRF可以通过校验第一信息和第二信息的匹配关系来验证NFc的合法性，不需要依靠NFc的配置文件来校验NFc的合法性，所以对于在NRF未保存有配置文件的NFc，NRF同样可以校验其参数的合法性，因此，本申请实施例能够有效提升NF服务使用的安全性。

请参见图5，给出了一种服务授权方法的示意图，该方法包括以下步骤：

S501、NFc和NRF发现服务。

具体的，NFc向NRF发起服务发现请求；NRF接收该服务发现请求，向NFc返回相应的NFp所提供的NF服务的信息。

S502、NFc向NRF发送令牌请求，NRF接收该令牌请求。

具体的，NRF接收到令牌请求之后，生成令牌，并向NFc返回令牌。

S503、NRF向NFc发送令牌，NFc接收该令牌。

具体的，NFc接收到令牌之后，可以再次执行S501，发现NFp所提供的服务，再执行S504。

S504、NFc通过SCP向NFp发送服务请求，NFp通过SCP接收该服务请求，该服务请求中携带NFc的令牌和声明。

S505、NFp校验声明和令牌。

具体的，NFp校验令牌的过程可以是校验令牌的常规参数(例如，有效期、PLMN ID等)是否合法，NFp校验声明的过程可以是校验声明中的NF instance ID和声明包含的证书中的NF instance ID是否一致，或者，校验声明中的时间戳(timestamp)、有效时间(expiration time)、期望受众的网络功能类型(network function type of theexpected audience)、签名等；在NFp确定令牌中的常规参数合法，以及声明中的NFinstance ID和声明包含的证书中的NF instance ID一致时，执行S506。

S506、NFp通过SCP向NFc返回服务响应，NFc通过SCP接收该服务响应。

上述方法中，NFc直接向NRF进行令牌请求，以及NFc通过SCP向NFp进行服务请求时，NFc在服务请求中会额外携带声明，而NFp仅仅校验声明中的NF instance ID与声明包含的证书中的NF instance ID是否一致。因此，在令牌中的NF instance ID与声明中的NFinstance ID不一致的情况下，若攻击者非法获取到该NFc的令牌，就可以非法获取NF服务。

如图6所示，为另一种服务授权方法的流程示意图，该方法具体包括以下步骤：

S600、NFc和NRF发现服务。

具体的，S600的具体实施方式与S501的具体实施方式类似，请参见S501的描述，这里不再赘述。

S601、NFc通过SCP向NRF发送令牌请求，NRF通过SCP接收该令牌请求，该令牌请求中携带NFc的声明。

S602、NRF校验声明。

具体的，NRF校验声明的过程可以是校验声明中的NF instance ID和声明中包含的证书里的NF instance ID是否一致。

S603、NFp通过SCP向NFc发送令牌，NFc通过SCP接收该令牌。

S604、NFc通过SCP向NFp发送服务请求，NFp接收通过SCP该服务请求。

S605、NFp校验令牌。

具体的，NFp校验令牌的过程可以是校验令牌的常规参数(例如，有效期，PLMN ID等)。

S606、NFp通过SCP向NFc返回服务响应，NFc通过SCP接收该服务响应。

上述方法中，NFc通过SCP向NRF进行令牌请求，以及通过SCP向NFp进行服务请求时，NFc在令牌请求和服务请求中均携带NFc的声明，NRF以及NFp均会对该声明进行校验，但仍然存在令牌中的NF instance ID与声明中的NF instance ID不一致的情况，所以还是存在攻击者非法从NRF获取令牌，进而非法获取NF服务的情况。

为了解决攻击者非法盗用NFc的令牌从而非法获取NF服务的技术问题，本申请实施例还提供了一种服务授权方法，该方法可以应用于图1所示的通信系统，请参见图7，该方法包括以下步骤：

S701、第一网元向NFp发送服务请求，NFp接收该服务请求。

可以理解的是，该服务请求用于请求NFp为NFc提供NF服务，该服务请求包括令牌和声明，其中，令牌包括第一NF instance ID，声明包括第二NF instance ID。

第一网元可以是NFc，也可以是SCP，这里不做限制。

本申请实施例中的NFp可以是具有NF服务可以被调用的任意网元，例如图2中的SMF、UDM等，这里不做限制。

S702、NFp校验声明和令牌是否匹配。

具体的，NFp校验声明和令牌是否匹配的具体过程可以是：NFp校验令牌中的第一NF instance ID和声明中的第二NF instance ID是否相同，在NFp确定第一NF instanceID和第二NF instance ID相同时，则确定声明和令牌匹配，执行S703A；在NFp确定第一NFinstance ID和第二NF instance ID不相同时，即确定声明和令牌不匹配，执行S703B。

示例性，假设第一NF instance ID是全球唯一标识符(universally uniqueidentifier，UUID)，第二NF instance ID是UUID时，NFp确定第一NF instance ID和该第二NF instance ID相同，即确定声明和令牌匹配。又例如，第一NF instance ID是“###134”，第二NF instance ID也是“###134”时，则NFp确定第一NF instance ID和该第二NFinstance ID相同，即确定声明和令牌匹配。

S703A、NFp向第一网元返回服务响应，第一网元接收该服务响应。

在一种可能的实施方式中，第一网元为SCP，SCP收到该服务响应后，将该服务响应发送至NFc；该服务响应中携带NFp的声明，该声明中包括第三NF set，NFc接收该服务响应之后，NFc校验其自身请求的第一NF set与第三NF set是否相匹配，若匹配，NFc接入相应的NF服务，若不匹配，向NFp重新发起服务请求。

在另一种可能的实施方式中，第一网元为NFc，该服务响应中携带NFp的声明，该声明中包括第三NF set，NFc接收该服务响应之后，NFc校验其自身请求的第一NF set与第三NF set是否相匹配，若匹配，NFc接入相应的NF服务，若不匹配，向NFp重新发起服务请求。

其中，NFc校验第一NF set与第三NF set是否相匹配的过程具体可以是确定第一NF set与第三NF set相同，或者，确定第一NF set与第三NF set存在交集。例如，第一NFset是1，第三NF set也是1，则NFc确定第一NF set与第三NF set相匹配。又例如，第一NFset是{2，3，5}，第三NF set是{1，2，4}，第一NF set与第三NF set存在交集{2}，则NFc确定第一NF set与第三NF set相匹配。

S703B、NFp向第一网元返回失败响应，第一网元接收该失败响应，该失败响应用于指示第一网元服务请求失败。

在图7所示的服务授权方法中，NFp通过校验服务请求中携带的令牌的NFinstance ID和声明中携带的NF instance ID，保证了服务请求中的令牌和声明的相匹配，避免了攻击者非法盗用令牌，进而非法获取NF服务的情况，因此，本申请实施例能够有效提升NF服务使用的安全性。

请参见图8，为另一种服务授权方法的流程示意图，图8中为NFc通过SCP向NFp进行服务请求，且由该服务请求触发SCP向NRF进行令牌请求的场景，该方法具体包括以下步骤：

S800、NFc通过SCP向NRF发送服务请求，NRF通过SCP接收该服务请求。

具体的，NFc在该服务请求中携带NFc的声明。

S801、SCP和NRF发现服务。

具体的，SCP向NRF发起服务发现请求，并接收NRF返回的信息，根据该信息确定已注册的NFp所提供的NF服务，执行S802、向NRF发送令牌请求。

S802、SCP向NRF发送令牌请求，NRF接收该令牌请求。

具体的，SCP在该令牌请求中携带NFc的声明。

S803、NRF校验声明。

具体的，NRF收到该令牌请求之后，对令牌请求中的声明进行校验，在校验通过之后，生成令牌，执行S804，向SCP发送令牌；若校验通过，向SCP返回令牌请求失败的响应信息。

S804、NRF向SCP发送令牌，SCP接收该令牌。

S805、SCP向NFp发送服务请求，NFp接收该服务请求，该服务请求中携带NFc的令牌和声明。

S806、NFp校验令牌和声明。

S806具体的实施方式与S505的具体实施方式类似，请参见S505的描述，这里不再赘述。NFp在令牌和声明均校验成功时，执行S807，通过SCP向NFc返回服务响应。

S807、NFp通过SCP向NFc返回服务响应，NFc通过SCP接收该服务响应。

图8所示的服务授权方法中，NFc通过SCP向NFp进行服务请求时，NFc在服务请求中携带NFc的声明，且由该服务请求触发SCP向NRF发送令牌请求，SCP在该令牌请求中也携带该声明，SCP获取令牌后代理NFc进行服务请求时同样携带该声明。NRF和NFp均会对NFc的声明进行校验，整个服务请求过程依赖声明(例如，声明的校验成功作为令牌生成的前提条件)，因此，存在攻击者窃取其他NFc的声明，进而非法获取NF服务的情况。

为了解决攻击者非法盗用NFc的声明从而非法获取NF服务的技术问题，本申请实施例还提供一种服务授权方法，该方法可以应用于图1所示的通信系统，请参见图9，该方法包括以下步骤：

S901、SCP获取与证书关联的第一全量域名(fully qualified domain name，FQDN)和第三NF instance ID。

本申请实施例中的第一FQDN可以为NFc的传输层证书中的FQDN，第三NF instanceID可以为NFc的应用层证书中的NF instance ID，或者，第一FQDN、第三NF instance ID可以为NFc的共用证书(例如，传输层和应用层共用的证书)中的FQDN、NF instance ID。

S902、SCP确定第一FQDN和第三NF instance ID相匹配。

在一种可能的实施方式中，SCP可以接收来自NFc的服务请求；该服务请求中包括NFc的证书，SCP执行S901～S902，从该证书获取与该证书关联的第一FQDN和第三NFinstance ID，在SCP确定该第一FQDN和该第三NF instance ID相匹配时，SCP执行S903向NFp发送服务请求；若SCP确定该第一FQDN和该第三NF instance ID不匹配，SCP向NFc返回服务请求失败的提示信息。

在另一种可能的实施方式中，SCP可以接收来自NFc的令牌请求；该令牌请求中包括NFc的证书，SCP执行S901～S902，从该证书获取与该证书关联的第一FQDN和第三NFinstance ID，若SCP确定该第一FQDN和该第三NF instance ID相匹配时，SCP向NRF发送令牌请求；若SCP确定该第一FQDN和该第三NF instance ID不匹配，SCP向NFc返回令牌请求失败的提示信息。

在一种可能的实施方式中，SCP可以根据FQDN和NF instance ID之间的绑定关系来确定第一FQDN和第三NF instance ID是否相匹配。

在本申请实施例中，SCP在根据上述绑定关系确定第一FQDN和第三NF instanceID是否相匹配，有多种实现方式，包括但不限于以下三种：

方式一：SCP从NFc的传输层证书中提取第一FQDN，向NRF发送绑定关系查询请求，在该绑定关系查询请求中携带该第一FQDN；SCP接收NRF返回的对应的NF instance ID，判断该NF instance ID和令牌请求中携带的声明里的应用层证书中的第三NF instance ID是否一致，若一致，则SCP确定第一FQDN和第三NF instance ID相匹配；若不一致，则SCP确定第一FQDN和第三NF instance ID不匹配。

方式二：SCP从NFc的声明中的应用层证书中提取第三NF instance ID，向NRF发送绑定关系查询请求，在该绑定关系查询请求中携带该第三NF instance ID；SCP接收NRF返回的对应的FQDN，判断该FQDN和NFc的传输层证书中的第一FQDN是否一致，若一致，则SCP确定第一FQDN和第三NF instance ID相匹配；若不一致，则SCP确定第一FQDN和第三NFinstance ID不匹配。

方式三：SCP从NFc的传输层证书中提取第一FQDN、从NFc的声明的应用层证书中提取第三NF instance ID，向NRF发送绑定关系查询请求，并在该绑定关系查询请求中携带该第三NF instance ID和第一FQDN；SCP接收NRF返回的匹配结果，该匹配结果可以直接指示第一FQDN和第三NF instance ID是否相匹配。

可选的，绑定关系可以是SCP向证书管理机构(certification authority/registration authority，CA/RA)实体获取的，或者，NRF事先向CA/RA获取并保存在本地的，再由SCP向NRF获取的。

S903、SCP向NFp发送服务请求，NFp接收该服务请求。

具体的，SCP可以在该服务请求中携带NFc的声明和令牌，NFp接收到该服务请求之后，NFp可以校验该声明和该令牌是否匹配，并在确定该声明和该令牌匹配时，NFp执行S904，向SCP返回服务响应；NFp在确定该声明和该令牌不匹配时，拒绝该服务请求。

S904、NFp向SCP返回服务响应，SCP接收该服务响应。

具体的，SCP接收服务响应之后，还可以将该服务响应发送至NFc，NFc接收该服务响应。

在图9所示的服务授权方法中，SCP在向NFp发送服务请求之前，会先校验NFc的声明中证书关联的FQDN和NF instance ID的匹配关系，只有校验通过后，才向NFp发送服务请求，因而可以避免攻击者非法盗用声明，进而非法获取NF服务的情况，有效提升NF服务使用的安全性。

在本申请实施例中，校验绑定关系还可以交由其它网元来做，例如，NRF在接收到来自第一网元的令牌请求之后，向第一网元下发令牌之前可以对该绑定关系进行校验，具体请参见图10，包括以下步骤：

S1001、第一网元向NRF发送令牌请求，NRF接收该令牌请求，该令牌请求中携带NFc的声明。

在一种可能的实施方式中，第一网元为SCP，SCP接收来自NFc的服务请求或者令牌请求之后，向NRF发送该令牌请求。

在另一种可能的实施方式中，第一网元为NFc，NFc直接向NRF发送该令牌请求。

S1002、NRF获取与证书关联的第一FQDN和第三NF instance ID。

在一种可能的实施方式中，该令牌请求中携带NFc的声明，该声明包括NFc的应用层证书和传输层证书，NRF可以从NFc的传输层证书提取出FQDN，以及从NFc的应用层证书提取出第三NF instance ID。

应理解，传输层证书可以是第一网元和NRF之间建立传输层链路时，第一网元发送给NRF的。

在另一种可能的实施方式中，该令牌请求中携带NFc的声明，该声明包括NFc的应用层和传输层的共用证书，NRF从NF可以从该共用证书中提取出第一FQDN和/或第三NFinstance ID。

S1003、NRF确定第一FQDN和第三NF instance ID相匹配。

在一种可能的实施方式中，NRF在接收到来自第一网元的令牌请求之后，NRF可以根据本地保存的FQDN和NF instance ID之间的绑定关系来确定第一FQDN和第三NFinstance ID是否相匹配。具体的，NRF确定第一FQDN和第三NF instance ID分别与该绑定关系中的FQDN和NF instance ID一一对应，则确定第一FQDN和第三NF instance ID匹配，生成令牌，并执行S1004；若NRF确定第一FQDN和第三NF instance ID未分别与该绑定关系中的FQDN和NF instance ID一一对应，则确定第一FQDN和第三NF instance ID不匹配，则向第一网元返回指示令牌请求失败的响应信息或拒绝第一网元的令牌请求。

在另一种可能的实施方式中，NRF在接收到来自第一网元的令牌请求之后，可以向CA/RA获取该绑定关系的相关参数(FQDN和/或NF instance ID)，并根据该绑定关系的相关参数来确定第一FQDN和第三NF instance ID是否相匹配。其中，NRF向CA/RA获取绑定关系的相关参数的具体实施方式，将在图12所示的实施例给出详细介绍。

S1004、NRF向第一网元返回令牌，第一网元接收该令牌。

在一种可能的实施方式中，第一网元为SCP，SCP接收令牌之后，将该令牌转发至NFc。

在另一种可能的实施方式中，第一网元为NFc，NFc接收来自NRF的令牌。

在图10所示的服务授权方法中，NRF在向第一网元返回令牌之前，会先校验NFc的声明中证书关联的FQDN和NF instance ID的匹配关系，只有校验通过后，才返回令牌，而NFc或SCP只有在收到令牌之后才能发起服务请求，因而可以避免攻击者非法盗用声明，进而非法获取NF服务的情况，有效提升NF服务使用的安全性。

可选的，上述FQDN和NF instance ID之间的绑定关系可以是NFc在向CA/RA进行证书申请时，由CA/RA生成。

下面介绍证书的申请方法。

请参见图11，为一种证书申请方法的示意图，该方法包括以下步骤：

S1101、NFc向CA/RA发送第一证书申请请求，CA/RA接收第一证书申请请求。

具体的，第一证书申请请求包括证书模板，证书模板包括第二信息；该第二信息可以包括第三NF instance ID以及第二PLMN ID、第二SNPN ID、第二S-NSSAI ID、第二NFtype、第二NF set、第二URI等信息中的一种或多种，CA/RA接收第一证书申请请求之后，可以根据第二信息生成第一证书。

S1102、CA/RA生成携带第二信息的第一证书。

应理解，第一证书可以是NFc的应用层证书。

S1103、CA/RA向NFc返回第一证书，NFc接收第一证书。

S1104、NFc向CA/RA发送第二证书申请请求，CA/RA接收第二证书申请请求。

具体的，第二证书申请请求包括证书模板，证书模板包括第一FQDN，CA/RA接收第一证书申请请求之后，可以根据第一FQDN生成第二证书。

S1105、CA/RA生成携带第一FQDN的第二证书。

应理解，第一证书可以是NFc的传输层证书。

S1106、CA/RA向NFc返回第二证书，NFc接收第二证书。

S1107、CA/RA将第二信息中的第三NF instance ID与第一FQDN绑定，生成第三NFinstance ID与第一FQDN之间的绑定关系。

可选的，上述第一证书和第二证书可以合为一个证书。因此，NFc只需向CA/RA进行一次证书申请即可，NFc可以在向CA/RA发送的证书申请请求中携带包括第一FQDN和第二信息的证书模板，CA/RA收到该证书申请请求之后，根据该证书申请请求中的证书模板，就可生成携带第一FQDN和第二信息的证书，以及第三NF instance ID与第一FQDN之间的绑定关系。

下面介绍NRF获取绑定关系的方法。

参见图12所示，为一种NRF获取绑定关系的方法的流程图，该流程包括：

S1201、NRF监测到触发事件。

触发事件可以是NRF收到来自NFp的NF服务注册请求，或，NRF收到来自NFc的服务发现请求，或，NRF收到来自NFc的服务请求，本申请的实施例不作具体的限定。

S1202、NRF向CA/RA发送绑定关系请求，CA/RA接收该绑定关系请求。

一种可能实施方式是，NRF在绑定关系请求中携带证书，该证书可以是NFc的传输层证书(包含第一FQDN的证书)，或者，NFc的应用层证书(包含第三NF instance ID的证书)，或者，NFc的传输层和应用层共用的证书(即包含第一NF instance ID和第三FQDN的证书)。

另一种可能的实施方式是，NRF在绑定关系请求中携带证书关联的参数，该参数可以是NFc的传输层证书中的第一FQDN，或者，NFc的应用层证书中的第三NF instance ID，或者，NFc的传输层证书中的第一FQDN和应用层证书中的第三NF instance ID。

S1203、CA/RA确定该绑定关系请求对应的响应结果。

在本申请实施中，若CA/RA收到的绑定关系请求中携带NFc的传输层证书，则CA/RA确定响应结果为绑定关系中的应用层证书；若CA/RA收到的绑定关系请求中携带NFc的应用层证书，则CA/RA确定响应结果为绑定关系中的传输层证书；若CA/RA收到的绑定关系请求中携带NFc的传输层和应用层的共用证书，则CA/RA确定响应结果为FQDN和NF instance ID的匹配结果。

相应的，若CA/RA收到的绑定关系请求中携带NFc的传输层证书中的第一FQDN，则CA/RA确定响应结果为绑定关系中的NF instance ID；若CA/RA收到的绑定关系请求中携带NFc的应用层证书中的第三NF instance ID，则CA/RA确定响应结果为绑定关系中的FQDN；若CA/RA收到的绑定关系请求中携带NFc的传输层和应用层的共用证书中的第一FQDN、第三NF instance ID，则CA/RA确定响应结果为第一FQDN和第三NF instance ID的匹配结果。

S1204、CA/RA向NRF返回响应结果，NRF接收响应结果。

具体的，CA/RA根据该绑定关系请求中携带的参数，确定相应的响应结果之后，向NRF返回响应结果。

可选的，NRF接收响应结果之后，可以根据该响应结果确定NRF从SCP接收的服务请求携带的NFc的声明所包含的证书关联的第一FQDN和第三NF instance ID是否匹配，并将匹配结果发送至SCP。

应理解，以上针对三种技术问题分别提出对应的技术方案，在实际应用中，上述各实施方式还可以相互结合，实现不同的技术方案和技术效果。下面通过几个具体的示例详细说明。

示例一、

如图13所示，结合图4、图7、图9所示的技术方案，本申请实施例提供了一种服务授权方法，该方法以应用于图3A所示的应用场景中，该方法包括：

S1301、NFc向SCP发送令牌请求，SCP接收该令牌请求。

举例来说，NFc可以是图2所示通信系统中的SMF、AMF等。

令牌请求中携带了NFc的声明和第一信息，其中，该声明包括NFc的证书，该证书包括NFc的第二信息；其中，第一信息和第二信息的具体内容请参考上文S401的相关描述，这里不再赘述。

S1302、SCP确定第一FQDN和第三NF instance ID相匹配。

第一FQDN可以为NFc的传输层证书中的FQDN，第三NF instance ID可以为NFc的应用层证书中的NF instance ID，或者，第一FQDN、第三NF instance ID可以为NFc的传输层和应用层的共用证书中的FQDN、NF instance ID。

具体的，SCP可以根据FQDN和NF instance ID之间的绑定关系来确定第一FQDN和第三NF instance ID是否相匹配。

可以理解的是，S1302中SCP在根据上述绑定关系确定第一FQDN和第三NFinstance ID相匹配的具体实施方式与前述S902的具体实施方式类似，这里不再赘述。

可选的，SCP执行S1302之后，可以将FQDN和NF instance ID之间的绑定关系或绑定关系中的相关参数(例如，FQDN和NF instance ID)保存在本地。

S1303、SCP向NRF发送该令牌请求，NRF接收该令牌请求。

具体的，该令牌请求携带声明和第一信息，声明中的证书中携带第二信息，第一信息中包括第一NF instance ID，NRF收到令牌请求之后，生成令牌之前，执行S1304，确定第一信息与第二信息是否匹配，在NRF确定第一信息和第二信息相匹配时，NRF生成携带证书和第一NF instance ID的令牌，并执行S1305，通过SCP向NFc返回令牌；若NRF确定第一信息与第二信息不匹配，NRF通过SCP向NFc返回令牌请求失败的提示信息或拒绝NFc的令牌请求。

S1304、NRF确定第一信息与第二信息相匹配。

可以理解的是，S1304中NRF校验第一信息与第二信息是否匹配的具体实施方式与前述S402的具体实施方式类似，这里不再赘述。

S1305、NRF通过SCP向NFc发送令牌，NFc通过SCP接收该令牌。

S1306、NFc向SCP发送服务请求，SCP接收该服务请求。

具体的，NFc在该服务请求中携带NFc的声明和令牌，SCP还可以再次执行上述S1302，确定声明中的证书关联的第一FQDN和第三NF instance ID是否相匹配；或者，根据S1302中保存的绑定关系或绑定关系中的相关参数，检验该服务请求中声明包括的证书关联的第一FQDN和第三NF instance ID是否相匹配。

S1307、SCP向NFp发送服务请求，NFp接收该服务请求。

具体的，该服务请求中携带NFc的声明和令牌，令牌中包括第一NF instance ID，声明中包括第二NF instance ID，NFp接收到该服务请求之后，执行S1308。

S1308、NFp确定第一NF instance ID与第二NF instance ID是否相同。

具体的，NFp校验令牌中的第一NF instance ID与声明中的第二NF instance ID是否相同，若相同，NFp执行S1309；若不相同，NFp通过SCP向NFc返回服务请求失败的信息。

可以理解的是，S1308中NFp校验第一NF instance ID与第二NF instance ID是否相同的具体实施方式与前述S702的具体实施方式类似，这里不再赘述。

S1309、NFp通过SCP向NFp返回服务响应，NFp通过SCP接收该服务响应。

可以理解的是，S1309的具体实施方式与前述S703A的具体实施方式类似，这里不再赘述。

在上述图13所示的技术方案中，NRF校验令牌请求中携带的NFc的第一信息和NFc的声明的证书中携带的第二信息、NFp校验服务请求中携带的NFc的令牌中的第一NFinstance ID和声明中的第二NF instance ID、以及SCP校验令牌请求和服务请求中携带的NFc的声明中证书关联的第一FQDN和第三NF instance ID的匹配关系，有效避免攻击者非法盗用令牌、伪造声明，进而非法获取NF服务的情况，同时不需要依靠NFc的配置文件来校验NFc的合法性，所以对于在NRF未保存有配置文件的NFc，NRF同样可以校验其参数的合法性。因此，本申请实施例能够有效提升NF服务使用的安全性。

示例二、

示例二与示例一不同的是：示例一中，令牌请求由NFc通过SCP向NRF发起，且NFc在通过SCP接收到NRF返回的令牌之后才发起服务请求；而示例二中，NFc直接通过SCP向NRF发送服务请求，以触发SCP代理NFc向NRF发起令牌请求。

如图14所示，结合图4、图7、图9所示的技术方案，本申请实施例提供的另一种服务授权方法，该方法可以应用于图3B所示的应用场景中，该方法包括：

S1401、NFc向SCP发送第一服务请求，SCP接收该第一服务请求。

S1402、SCP确定第一FQDN和第三NF instance ID相匹配。

第一FQDN可以为传输层证书中的FQDN，第三NF instance ID可以为NFc的应用层证书中的NF instance ID，或者，第一FQDN、第三NF instance ID可以为NFc的传输层和应用层的共用证书中的FQDN、NF instance ID。

具体的，第一服务请求中携带NFc的声明、第一信息，该声明包括NFc的传输层证书、应用层证书，或，传输层和应用层的共用证书；SCP可以从这些证书中提取出第一FQDN和/或第三NF instance ID，并执行步骤S1402，确定第一FQDN和第三NF instance ID相匹配。可以理解的是，S1402的具体实施方式与S902的具体实施方式类似，请参见上述S902的阐述，这里不再赘述。

S1403、SCP向NRF发送令牌请求，NRF接收该令牌请求。

具体的，该令牌请求中携带了NFc的声明和第一信息，该声明包括NFc的证书，该证书中包括第二信息；其中，第一信息和第二信息的具体内容请参考上文S401的相关描述，这里不再赘述。

具体的，第一信息中包括第一NF instance ID，NRF收到令牌请求之后，生成令牌之前，执行步骤S1404：校验第一信息与第二信息是否匹配，在NRF确定第一信息和第二信息相匹配时，NRF生成携带证书和第一NF instance ID的令牌，并执行S1405，通过SCP向NFc返回令牌；若NRF确定第一信息与第二信息不匹配，NRF通过SCP向NFc返回令牌请求失败的提示信息或拒绝NFc的令牌请求。

S1404、NRF确定第一信息与第二信息相匹配。

可以理解的是，S1404中NRF校验第一信息与第二信息是否匹配的具体实施方式与前述S402的具体实施方式类似，这里不再赘述。

S1405、NRF向SCP发送令牌，SCP接收该令牌。

S1406、SCP向NFp发送第二服务请求，NFp接收该第二服务请求。

具体的，该第二服务请求中携带NFc的令牌和声明，令牌中包括第一NF instanceID，声明中包括第二NF instance ID。

S1407、NFp确定第一NF instance ID与第二NF instance ID相同。

具体的，NFp收到第二服务请求之后，校验第一NF instance ID与第二NFinstance ID是否相同，若相同，执行S1408，通过SCP向NFc返回服务响应，若不相同，通过SCP向NFc返回服务请求失败的信息。

可以理解的是，S1407中NFp校验第一NF instance ID与第二NF instance ID是否相同的具体实施方式与前述S702的具体实施方式类似，这里不再赘述。

S1408、NFp通过SCP向NFc返回服务响应，NFc通过SCP接收该服务响应。

可以理解的是，S1408的具体实施方式与前述S703A的具体实施方式类似，这里不再赘述。

在上述图14所示的技术方案中，SCP校验来自NFc的第一服务请求携带的NFc的声明中证书关联的第一FQDN和第三NF instance ID的匹配关系，NRF检验来自SCP的令牌请求携带的第一信息与第二信息的匹配关系；NFp校验来自SCP的第二服务请求携带的令牌中的第一NF instance ID和声明中的第二NF instance ID的匹配关系，有效避免攻击者非法盗用令牌、伪造声明，进而非法获取NF服务的情况，同时不需要依靠NFc的配置文件来校验NFc的合法性，所以对于在NRF未保存有配置文件的NFc，NRF同样可以校验其参数的合法性。因此，本申请实施例能够有效提升NF服务使用的安全性，并且SCP无需重复校验NFc的声明中的证书关联的第一FQDN和第三NF instance ID的匹配关系，有效节约计算资源。

示例三、

本示例与示例一、示例二不同的是：示例三中，NFc直接向NRF发起令牌请求，并在接收NRF返回的令牌之后，向SCP发送服务请求；SCP收到服务请求之后，对该服务请求中携带的声明中的证书关联的第一FQDN和第三NF instance ID的匹配关系进行校验。

如图15所示，结合图4、图7、图9所示的技术方案，本申请实施例提供了另一种服务授权、请求方法，该方法可以应用于图3C所示的应用场景中，该方法包括：

S1501、NFc向NRF发送令牌请求，NRF接收该令牌请求。

具体的，该令牌请求携带NFc的第一信息，NRF收到该令牌请求之后，获取NFc的证书，该证书中包括第二信息，NRF执行S1502，校验第一信息与第二信息是否相匹配，若匹配，NRF执行1503，若不匹配，NRF向NFc返回令牌请求失败的指示信息或拒绝NFc的令牌请求。

在本申请实施例中，NRF获取NFc的证书可以是来自于NRF在与NFc建立传输层链接获取的NFc证书，也可以是来自于NRF上预配置的NFc证书，也可以是来自于令牌请求中携带的NFc证书。

S1502、NRF确定第一信息与第二信息相匹配。

可以理解的是，S1502中NRF校验第一信息与第二信息是否相匹配的具体实施方式与S302的具体实施方式类似，请参见上述S402的相关描述，这里不再赘述。

S1503、NRF向NFc发送令牌，NFc接收该令牌。

具体的，在NRF向NFc发送令牌之前，NRF生成携带证书和第一NF instance ID的令牌。

S1504、NFc向SCP发送服务请求，SCP接收该服务请求。

具体的，该服务请求中携带NFc的令牌和声明，声明包括NFc证书，SCP接收到服务请求之后，可以确定该证书关联的第一FQDN和第三NF instance ID，并执行S1505，确定第一FQDN和第三NF instance ID是否匹配，若SCP确定第一FQDN和第三NF instance ID相匹配，继续执行S1506；若SCP确定第一FQDN和第三NF instance ID不匹配，向NFc返回用于指示服务请求失败的指示信息。

S1505、SCP确定第一FQDN和第三NF instance ID相匹配。

可以理解的是，S1505中SCP在确定第一FQDN和第三NF instance ID相匹配的具体实施方式与前述S902的具体实施方式类似，这里不再赘述。

S1506、SCP向NFp发送服务请求，NFp接收该服务请求。

具体的，该服务请求中携带NFc的声明、令牌，令牌中携带第一NF instance ID，声明中携带第二NF instance ID。

S1507、NFp确定第一NF instance ID与第二NF instance ID相同。

具体的，NFp收到该服务请求之后，校验第一NF instance ID与第二NF instanceID是否相同，若相同，执行S1508，通过SCP向NFc返回服务响应，若不相同，通过SCP向NFc返回服务请求失败的信息。

可以理解的是，S1507中NFp校验第一NF instance ID与第二NF instance ID是否相同的具体实施方式与前述S702的具体实施方式类似，这里不再赘述。

S1508、NFp通过SCP向NFc返回服务响应，NFc通过SCP接收该服务响应。

可以理解的是，S1508的具体实施方式与前述S703A的具体实施方式类似，这里不再赘述。

在上述图15所示的技术方案中，NRF校验来自NFc的令牌请求中携带的第一信息和证书中的第二信息、SCP校验来自NFc的服务请求携带的声明中证书关联的第一FQDN和第三NF instance ID的匹配关系、以及NFP校验来自SCP的服务请求携带的NFc的令牌中的第一NF instance ID和NFc的声明中的第二NF instance ID匹配关系，避免了攻击者非法盗用令牌、伪造声明，进而非法获取NF服务的情况，同时对于在NRF未保存有配置文件的NFc，NRF同样可以校验其参数的合法性，本申请实施例能够有效提升NF服务使用的安全性。

当然，实际应用中，除了以上三种示例，还可以有其它更多组合的方案，这里不再一一例举。

为了更清楚地理解本申请实施例上述方案，这里再对本申请实施例上文中涉及的几种NF instance ID进行澄清：第一NF instance ID为携带在NFc的令牌请求中的NFinstance ID或者令牌中的NF instance ID，第二NF instance ID为携带在NFc的声明中的NF instance ID，第三NF instance ID为携带在NFc的声明中的NF instance ID。

需要指出的是，本申请实施例涉及的各令牌请求、令牌、服务请求或服务响应等消息中除了包含本申请实施例所列举的信息外，还可能包含其他信息，本申请不作限定。

在NFc向NFp订阅NF服务的应用场景中，一些攻击者会在订阅请求中携带非法的URI，进而非法获取NF服务的通知信息，导致NF服务的网络信息泄露。鉴于此，本申请实施例还提供一种服务授权方法，请参见图16，包括：

S1601、NFc向NFp发送订阅请求，NFp接收该订阅请求。

在一种可能的实施方式中，该订阅请求中携带NFc的第一URI和NFc的证书，该证书中包含第二URI，则NFp可以从订阅请求中获取到第一URI以及第二URI。

在另一种可能的实施方式中，该订阅请求中携带NFc的第一URI，NFp通过其他方式获取到NFc的证书，比如从传输层获取NFc的证书，然后从NFc证书中获取到第二URI。则NFp也可以获取到第一URI和第二URI。

S1602、NFp校验第一URI与证书中的第二URI是否相匹配。

具体的，NFp校验第一URI与第二URI是否相匹配的过程具体可以是确定第一URI与第二URI一致，或者，确定第一URI是第二URI的子集。例如，第一URI是“##8888”，第二URI也是“##8888”，则NFp确定第一URI与第二URI相匹配。又例如，第一URI是“123”，第二URI是{123，456}，第一NF URI是第二NF URI的子集，则NFp确定第一NF URI与第二NF URI相匹配。若NFp确定第一URI与第二URI相匹配，执行S1603A，若NFp确定第一URI与第二URI不相匹配，执行S1603B。

S1603A、NFp向NFc返回第一响应信息，NFc接收该第一响应信息，该第一响应信息用于指示NFc订阅请求成功或NFp接受该订阅请求。

具体的，NFp同意NFc发送的订阅请求之后，可以按照预设时间周期向NFc向发送NFp所支持的NF服务相关的通知消息。

S1603B、NFp向NFc返回第二响应信息，NFc接收该第二响应信息，该第二响应信息用于指示NFc订阅请求失败或NFp拒绝所述订阅请求。

在图16所示的实施例中，NFp通过校验订阅请求中携带的NFc的第一信息中的第一URI与NFc的传输层证书里的第二URI是否一致，可以有效防止NFc在订阅请求中携带非法URI，以非法获取网络信息的情况，进而有效避免NF服务的网络信息泄露。

以上结合图4-图16介绍了本申请实施例提供的服务授权方法，以下结合附图17、图18、图19介绍本申请实施例提供的装置。

基于同一技术构思，本申请实施例还提供一种通信装置1700，该装置1700具备实现上述上方法示例中NRF的功能，比如，该装置1700包括执行上述图10所示实施例中NRF所执行的步骤所对应的模块或单元或手段(means)，所述功能或单元或手段可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现。

示例性的，参见图17，装置1700可以包括：

收发单元1701，用于接收来自第一网元的第一令牌请求；第一令牌请求包括网络功能服务消费实体的第一信息和网络功能服务消费实体的声明，声明包括网络功能服务消费实体的证书，证书包括网络功能服务消费实体的第二信息；

处理单元1702用于校验第一信息是否与第二信息匹配，在确定第一信息与第二信息相匹配时，生成令牌；

收发单元1701，还用于向第一网元发送令牌。

应理解，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

基于同一技术构思，本申请实施例还提供一种通信装置1800，该装置1800具备实现上述方法示例中第一网元的功能，比如，该装置1800包括执行上述图7所示实施例中第一网元所执行的步骤所对应的模块或单元或手段(means)，所述功能或单元或手段可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现。

示例性的，参见图18，装置1800可以包括：

处理单元1801，用于生成第一令牌请求；第一令牌请求包括网络功能服务消费实体的第一信息和网络功能服务消费实体的声明，声明包括网络功能服务消费实体的证书，证书包括网络功能服务消费实体的第二信息；

收发单元1802，用于向网络存储功能网元发送第一令牌请求；从网络存储功能网元接收令牌。

应理解，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

基于同一技术构思，本申请实施例还提供一种通信装置1900，该装置1900具备实现上述方法示例中NFp的功能，比如，该装置1900包括执行上述图7所示实施例中NFp所执行的步骤所对应的模块或单元或手段(means)，所述功能或单元或手段可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现。

示例性的，参见图19，装置1900可以包括：

收发单元1901，用于接收来自第一网元的第一服务请求；第一服务请求包括令牌和声明；令牌包括第一网络功能实例标识，声明包括第二网络功能实例标识；

处理单元1902，用于校验第一网络功能实例标识和第二网络功能实例标识是否匹配；在确定第一网络功能实例标识和第二网络功能实例标识匹配时，为网络功能服务消费实体提供服务。

应理解，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

基于同一技术构思，本申请实施例还提供一种电子设备2000，用于实现图4-图16所示实施例中的方法。

如图20所示，电子设备2000可以包括处理器2001用于执行存储器2002存储的程序或指令，当存储器2002存储的程序或指令被执行时，所述处理器用于执行图4～图16所示实施例中的方法。

可选的，电子设备2000还可以包括通信接口2003。附图20用虚线表示通信接口2003对于电子设备2000是可选的。

其中，处理器2001、存储器2002和通信接口2003的个数并不构成对本申请实施例的限定，具体实施时，可以根据业务需求任意配置。

可选的，所述存储器2002位于所述电子设备2000之外。

可选的，所述电子设备2000包括所述存储器2002，所述存储器2002与所述至少一个处理器2001相连，所述存储器2002存储有可被所述至少一个处理器2001执行的指令。附图20用虚线表示存储器2002对于电子设备2000是可选的。

其中，所述处理器2001和所述存储器2002可以通过接口电路耦合，也可以集成在一起，这里不做限制。

本申请实施例中不限定上述处理器2001、存储器2002以及通信接口2003之间的具体连接介质。本申请实施例在图20中以处理器2001、存储器2002以及通信接口2003之间通过总线2004连接，总线在图20中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图20中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

应理解，本申请实施例中提及的处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

示例性的，处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data EateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

应注意，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

基于同一技术构思，本申请实施例还提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得上述方法示例中NRF所执行的方法，或，第一网元所执行的方法，或，NFp所执行的方法被执行。

基于同一技术构思，本申请实施例还提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得上述方法示例中NRF所执行的方法，或，第一网元所执行的方法，或，NFp所执行的方法被执行。

基于同一技术构思，本申请实施例还提供一种计算机程序指令，当其在计算机上运行时，使得上述方法示例中NRF所执行的方法，或，第一网元所执行的方法，或，NFp所执行的方法被执行。

上述各实施例可以相互结合以实现不同的技术效果。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (25)

1.一种服务授权方法，其特征在于，所述方法包括：

第一网元向网络存储功能网元发送第一令牌请求；所述第一令牌请求包括网络功能服务消费实体的第一信息和所述网络功能服务消费实体的声明，所述声明包括所述网络功能服务消费实体的证书，所述证书包括所述网络功能服务消费实体的第二信息；

所述网络存储功能网元接收所述第一令牌请求；校验所述第一信息是否与所述第二信息匹配；在确定所述第一信息与所述第二信息相匹配之后，生成令牌，并向所述第一网元发送所述令牌；

所述第一网元接收所述令牌。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一网元在收到所述令牌之后，向所述网络功能服务提供实体发送第一服务请求，所述第一服务请求用于请求所述网络功能服务提供实体为所述网络功能服务消费实体提供服务，所述第一服务请求包括所述令牌和所述声明；所述令牌包括第一网络功能实例标识，所述声明还包括第二网络功能实例标识；

所述网络功能服务提供实体接收所述第一服务请求；校验所述第一网络功能实例标识和所述第二网络功能实例标识是否相同；在确定所述第一网络功能实例标识和所述第二网络功能实例标识相同后，为所述网络功能服务消费实体提供所述服务。

3.如权利要求1或2所述的方法，其特征在于，所述第一网元是服务通信代理网元；在所述第一网元向所述网络存储功能网元发送所述第一令牌请求之前，所述方法还包括：

所述服务通信代理网元接收来自所述网络功能服务消费实体的第二令牌请求或第二服务请求，其中所述第二令牌请求或所述第二服务请求中包括所述证书；

所述服务通信代理网元获取与所述证书关联的第一全量域名FQDN和第三网络功能实例标识；确定所述第一FQDN和所述第三网络功能实例标识匹配。

4.如权利要求2所述的方法，其特征在于，所述第一网元是所述网络功能服务消费实体；所述第一网元向所述网络功能服务提供实体发送第一服务请求，包括：

所述网络功能服务消费实体通过所述服务通信代理网元向所述网络功能服务提供实体发送所述第一服务请求，所述第一服务请求中包括所述证书；

所述服务通信代理网元从所述第一网元接收所述第一服务请求；在收到所述第一服务请求后，获取与所述证书关联的第一全量域名FQDN和第三网络功能实例标识；确定所述第一FQDN和所述第三网络功能实例标识匹配之后，向所述网络功能服务提供实体发送所述第一服务请求。

5.如权利要求3或4所述的方法，其特征在于，在所述网络存储功能网元接收第一令牌请求之后，向所述第一网元发送所述令牌之前，所述方法还包括：

所述网络存储功能网元获取与所述证书关联的第一全量域名FQDN和第三网络功能实例标识；确定所述第一FQDN与所述第三网络功能实例标识匹配，以及所述第一信息与所述第二信息匹配。

6.如权利要求1-5任一项所述的方法，其特征在于，所述网络存储功能网元校验所述第一信息是否与所述第二信息匹配，包括：

若所述第一信息与所述第二信息相同，则确定所述第一信息与所述第二信息匹配；或者，

若确定所述第一信息是所述第二信息的子集，则确定所述第一信息与所述第二信息匹配。

7.一种服务的授权方法，其特征在于，所述方法应用于网络存储功能网元，包括：

接收来自第一网元的第一令牌请求；所述第一令牌请求包括网络功能服务消费实体的第一信息和所述网络功能服务消费实体的声明，所述声明包括所述网络功能服务消费实体的证书，所述证书包括所述网络功能服务消费实体的第二信息；

校验所述第一信息是否与所述第二信息匹配；在确定所述第一信息与所述第二信息相匹配之后，生成令牌，并向所述第一网元发送所述令牌。

8.如权利要求7所述的方法，其特征在于，在收到所述第一令牌请求之后，向所述第一网元发送所述令牌之前，所述方法还包括：

获取与所述证书关联的第一FQDN和第三网络功能实例标识；

确定所述第一FQDN与所述第三网络功能实例标识匹配、以及所述第一信息所述第二信息匹配。

9.如权利要求7或8所述的方法，其特征在于，所述校验所述第一信息是否与所述第二信息匹配，包括：

若所述第一信息与所述第二信息相同，则确定所述第一信息与所述第二信息匹配；或者，

若确定所述第一信息是所述第二信息的子集，则确定所述第一信息与所述第二信息匹配。

10.一种服务的授权方法，其特征在于，应用于第一网元，所述方法包括：

向网络存储功能网元发送第一令牌请求；所述第一令牌请求包括网络功能服务消费实体的第一信息和所述网络功能服务消费实体的声明，所述声明包括所述网络功能服务消费实体的证书，所述证书包括所述网络功能服务消费实体的第二信息；

从所述网络存储功能网元接收令牌。

11.如权利要求10所述的方法，其特征在于，在所述接收所述令牌之后，还包括：

向所述网络功能服务提供实体发送第一服务请求，所述第一服务请求包括所述令牌和所述声明；所述令牌包括第一网络功能实例标识；所述声明还包括第二网络功能实例标识；

其中，所述第一服务请求用于请求所述网络功能服务提供实体为所述网络功能服务消费实体提供服务。

12.如权利要求10或11所述的方法，其特征在于，所述第一网元是服务通信代理网元，在向所述网络存储功能网元发送所述第一令牌请求之前，还包括：

接收来自所述网络功能服务消费实体的第二令牌请求或第二服务请求；所述第二令牌请求或所述第二服务请求中包括所述证书；

获取与所述证书关联的第一全量域名FQDN和第三网络功能实例标识；

确定所述第一FQDN和所述第三网络功能实例标识匹配。

13.一种服务的授权方法，其特征在于，应用于网络功能服务提供实体，包括：

接收来自第一网元的第一服务请求；所述第一服务请求包括令牌和声明；所述令牌包括所述第一网络功能实例标识，所述声明包括第二网络功能实例标识；

校验所述第一网络功能实例标识和所述第二网络功能实例标识是否匹配；

在确定所述第一网络功能实例标识和所述第二网络功能实例标识匹配后，为所述网络功能服务消费实体提供所述服务。

14.一种通信装置，其特征在于，包括：

收发单元，用于接收来自第一网元的第一令牌请求；所述第一令牌请求包括网络功能服务消费实体的第一信息和所述网络功能服务消费实体的声明，所述声明包括所述网络功能服务消费实体的证书，所述证书包括所述网络功能服务消费实体的第二信息；

处理单元用于校验所述第一信息是否与所述第二信息匹配，在确定所述第一信息与所述第二信息相匹配后，生成令牌；

所述收发单元，还用于向所述第一网元发送所述令牌。

15.如权利要求14所述的装置，其特征在于，所述处理单元还用于：在所述收发单元收到所述第一令牌请求之后，向所述第一网元发送所述令牌之前，

获取与所述证书关联的第一FQDN和第三网络功能实例标识；

确定所述第一FQDN与所述第三网络功能实例标识匹配、以及所述第一信息所述第二信息匹配。

16.如权利要求14或15所述的装置，其特征在于，所述处理单元在用于校验所述第一信息是否与所述第二信息匹配时，具体用于：

若所述第一信息与所述第二信息相同，则确定所述第一信息与所述第二信息匹配；或者，

若确定所述第一信息是所述第二信息的子集，则确定所述第一信息与所述第二信息匹配。

17.一种通信装置，其特征在于，包括：

处理单元，用于生成第一令牌请求；所述第一令牌请求包括网络功能服务消费实体的第一信息和所述网络功能服务消费实体的声明，所述声明包括所述网络功能服务消费实体的证书，所述证书包括所述网络功能服务消费实体的第二信息；

收发单元，用于向网络存储功能网元发送所述第一令牌请求；从所述网络存储功能网元接收令牌。

18.如权利要求17所述的装置，其特征在于，所述收发单元还用于：在所述收发单元接收所述令牌之后，

向所述网络功能服务提供实体发送第一服务请求，所述第一服务请求包括所述令牌和所述声明；所述令牌包括第一网络功能实例标识；所述声明还包括第二网络功能实例标识；

其中，所述第一服务请求用于请求所述网络功能服务提供实体为所述网络功能服务消费实体提供服务。

19.如权利要求17或18所述的装置，其特征在于，所述第一网元是服务通信代理网元，所述收发单元在向所述网络存储功能网元发送所述第一令牌请求之前，还用于：

接收来自所述网络功能服务消费实体的第二令牌请求或第二服务请求；所述第二令牌请求或所述第二服务请求中包括所述证书；

所述处理单元，还用于：获取与所述证书关联的第一全量域名FQDN和第三网络功能实例标识；确定所述第一FQDN和所述第三网络功能实例标识匹配。

20.一种通信装置，其特征在于，包括：

收发单元，用于接收来自第一网元的第一服务请求；所述第一服务请求包括令牌和声明；所述令牌包括所述第一网络功能实例标识，所述声明包括第二网络功能实例标识；

处理单元，用于校验所述第一网络功能实例标识和所述第二网络功能实例标识是否匹配；在确定所述第一网络功能实例标识和所述第二网络功能实例标识匹配后，为所述网络功能服务消费实体提供所述服务。

21.一种服务授权系统，其特征在于，包括：

如权利要求14所述的通信装置；

如权利要求17所述的通信装置。

22.如权利要求21所述的系统，其特征在于，所述系统还包括：

如权利要求20所述的通信装置。

23.一种计算机可读存储介质，其特征在于，包括程序或指令，当所述程序或指令在计算机上运行时，执行如权利要求7-9或权利要求10-12或权利要求13中任一项所述的方法。

24.一种芯片，其特征在于，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，实现如权利要求7-9或权利要求10-12或权利要求13中任一项所述的方法。

25.如权利要求1-13中任一项所述的方法，或，权利要求14-20中任一项所述的装置，或，权利要求21-22中任一项所述的系统，其特征在于，所述第一信息包括以下一种或多种：第一公用陆地移动通信网标识、第一独立非公共网络标识、第一单一辅助选择切片信息标识、第一网络功能实例标识、第二网络功能类型、第一网络功能服务集、第一统一资源标识符；

所述第二信息包括以下一种或多种：第二公用陆地移动通信网标识、第二独立非公共网络标识、第二单一辅助选择切片信息标识、第三网络功能实例标识、第二网络功能类型、第二网络功能服务集、第二统一资源标识符。

Images