CN115396892A - 一种通信方法及装置 - Google Patents

Abstract

一种通信方法及装置，该方法可用于间接通信场景下，包括：服务消费网元向服务通信代理发送第一服务请求消息，服务消费网元从服务通信代理接收针对第一服务请求消息的响应消息。其中，第一服务请求消息用于向服务提供网元请求第一服务，第一服务请求消息包括第一客户认证凭证，第一客户认证凭证包括第一网络功能类型和第二网络功能类型，第一网络功能类型为服务提供网元的网络功能类型，第二网络功能类型为提供第二服务的网元的网络功能类型，第二服务与第一服务关联。采用上述方法可以保证在服务消费网元通过服务通信代理向服务提供网元请求服务的情况下，避免因为CCA中仅含有服务提供网元的网络功能类型，而导致服务请求失败的问题。

Description

一种通信方法及装置

技术领域

本申请实施例涉及无线通信领域，尤其涉及一种通信方法及装置。

背景技术

如图1所示为一种增强的服务化架构。在增强的服务化架构中，网元之间除了可以使用直接方式进行通信(简称直接通信)，也可以使用间接方式进行通信(简称间接通信，又可以称为非直接通信)，在间接通信过程中，通信的两个网元之间可以通过服务通信代理(service communication proxy，SCP)进行消息的交互。其中，在直接通信和间接通信中，通信的双方分别称为服务消费者(consumer)和服务提供者(producer)。其中，消费者是指服务的请求者或服务的调用者，提供者是指服务的提供者。服务消费者又称为服务消费网元，服务提供者又称服务提供网元。

在间接通信场景下，引入了基于客户认证凭证(client credentials assertion，CCA)的认证方案。消费者在服务请求中包含CCA使得接收端点能够认证消费者。在不同的间接通信场景下，消费者需要(即被认证方)生成正确的CCA，才能使得接收端点(即认证方)准确的认证消费者，以便在认证成功的情况下，向消费者提供消费者请求的服务。然而，现有的标准并没有定义在不同的间接通信场景下，如何生成正确的CCA，从而防止服务消费网元请求服务可能失败的问题。

发明内容

本申请实施例提供一种通信方法及装置，用以改善服务消费网元请求服务失败的情况。

第一方面，本申请实施例提供一种通信方法，该方法包括：

服务消费网元向服务通信代理发送第一服务请求消息，所述第一服务请求消息用于向服务提供网元请求第一服务，所述第一服务请求消息包括第一客户认证凭证，所述第一客户认证凭证用于认证所述服务消费网元，所述第一客户认证凭证包括第一网络功能类型和第二网络功能类型，所述第一网络功能类型为所述服务提供网元的网络功能类型，所述第二网络功能类型为提供第二服务的网元的网络功能类型；其中，所述第二服务与所述第一服务关联；所述服务消费网元从所述服务通信代理接收针对所述第一服务请求消息的响应消息。

采用上述方法，在服务消费网元通过服务通信代理向服务通过网元请求第一服务的场景下，服务消费网元在向服务通信代理发送的第一服务请求消息中携带同时包含第一网络功能类型和第二网络功能类型的客户认证凭证，进而可以保证服务通信代理请求第二服务时，提供第二服务的网元对服务消费网元认证成功，进而也为服务消费网元请求第一服务提供了保障，解决了间接通信场景下，因为客户认证凭证认证失败，导致服务消费网元请求服务失败的问题。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限。

在一种可能的设计中，所述服务消费网元确定不存在所述第一服务对应的可用的访问令牌。

采用上述设计使得服务消费网元能够按需生成第一客户认证凭证，防止第一客户认证凭证被滥用。

此外，服务消费网元在确定不存在所述第一服务对应的可用的访问令牌之后，服务消费网元可以在第一服务请求消息中携带用于获取第一服务对应的访问令牌的参数。

在一种可能的设计中，所述服务消费网元确定不存在所述第一服务对应的可用的访问令牌可以包括以下情况：所述服务消费网元确定未存储所述第一服务对应的访问令牌；或，所述服务消费网元确定存储的所述第一服务对应的访问令牌已过期。

在一种可能的设计中，在存储的所述第一服务对应的访问令牌已过期的情况下，所述服务消费网元删除所述已过期的访问令牌。

采用上述设计可以实现及时释放存储空间，减轻系统的存储负担。

在一种可能的设计中，所述第二服务用于提供所述服务提供网元的信息。

在一种可能的设计中，所述服务消费网元确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务。

在一种可能的设计中，在所述服务消费网元确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务时，所述服务消费网元根据以下一项或多项，确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务：未存储第一终端设备的上下文，所述第一终端设备与所述第一服务关联；或者，未存储所述第一服务的上下文；或者，所述服务提供网元归属于第一切片且未存储所述第一切片对应的上下文；或者，所述服务消费网元首次与所述服务通信代理通信。

此外，服务消费网元在确定第一服务请求消息会触发服务通信代理请求第二服务之后，服务消费网元可以在第一服务请求消息中携带用于发现服务提供网元的参数。

在一种可能的设计中，所述服务消费网元确定使用模式D的间接通信模式请求所述第一服务。

示例性地，可以通过标准协议约定或者通过预配置信息配置服务消费网元使用模式D与服务通信代理进行通信时，第一服务请求消息总是携带包括第一网络功能类型和第二网络功能类型的客户认证凭证。或者在服务消费网元使用模式D与服务通信代理进行通信时，在判断第一服务请求消息会触发服务通信代理请求第二服务时，第一服务请求消息携带包括第一网络功能类型和第二网络功能类型的客户认证凭证。

在一种可能的设计中，所述服务消费网元向所述服务通信代理发送第二服务请求消息，所述第二服务请求消息用于请求所述第一服务，所述第二服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括所述第一网络功能类型，所述第二客户认证凭证用于认证所述服务消费网元；所述服务消费网元从所述服务通信代理接收针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息。在所述服务消费网元向所述服务通信代理发送第一服务请求消息时，所述服务消费网元根据所述指示信息，向所述服务通信代理发送所述第一服务请求消息。

采用上述设计，服务消费网元可以根据指示信息向服务通信代理发送第一服务请求消息。

在一种可能的设计中，所述指示信息包括第三客户认证凭证，所述第三客户认证凭证包括所述第二网络功能类型；其中，所述第三客户认证凭证用于认证所述提供所述第二服务的网元；在所述服务消费网元根据所述指示信息，向所述服务通信代理发送所述第一服务请求消息时，在根据所述第三客户认证凭证对所述提供所述第二服务的网元认证成功的情况下，所述服务消费网元向所述服务通信代理发送所述第一服务请求消息。

采用上述设计，服务消费网元可以根据第三客户认证凭证认证提供第二服务的网元，并在认证成功时，根据第三客户认证凭证包括的第二网络功能类型发送第一服务请求消息。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

在一种可能的设计中，所述第一客户认证凭证还包括以下一项或者多项：所述服务消费网元的标识或者有效时间信息，其中，所述有效时间信息用于表征所述第一客户认证凭证的有效时间。

第二方面，本申请提供一种通信方法，该方法包括：第一网元从服务通信代理接收第一服务请求消息，所述第一服务请求消息用于向所述第一网元请求第一服务，所述第一服务请求消息包括第一客户认证凭证，所述第一客户认证凭证用于认证服务消费网元，其中，所述第一客户认证凭证包括多个网络功能类型；所述第一网元根据所述第一客户认证凭证，认证所述服务消费网元，其中，所述第一网元根据所述第一客户认证凭证，认证所述服务消费网元，包括：所述第一网元判断自身的网络功能类型是否与所述多个网络功能类型中的一个或者多个相匹配；所述第一网元根据认证结果向所述服务通信代理发送针对所述第一服务请求消息的响应消息。

采用上述方法，在第一客户认证凭证包括多个网络功能类型时，第一网元判断自身的网络功能类型是否与多个网络功能类型中的一个或多个相匹配，获得认证结果。因此，上述方法能够实现在客户认证凭证包括多个网络功能类型时判断是否对服务消费网元认证成功，进而能够实现具有不同网络功能类型的网元可以采用同一个客户认证凭证实现对服务消费网元的认证。

在一种可能的设计中，在所述认证结果为认证成功时，所述第一网元向所述服务通信代理发送针对所述第一服务请求消息的响应消息，所述针对所述第一服务请求消息的响应消息用于提供所述第一服务；或者，在所述认证结果为认证失败时，所述第一网元向所述服务通信代理发送针对所述第一服务请求消息的响应消息，所述针对所述第一服务请求消息的响应消息指示请求所述第一服务失败。

在一种可能的设计中，所述多个网络功能类型包括第一网络功能类型和第二网络功能类型，所述第一网络功能类型为所述第一网元的网络功能类型，所述第二网络功能类型为提供第二服务的网元的网络功能类型，所述第二服务与所述第一服务关联。

采用上述设计，可以实现具有两种不同网络功能类型的网元采用同一个客户认证凭证实现对服务消费网元的认证。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，其中，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限；或者，所述第二服务用于提供所述第一网元的信息。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

在一种可能的设计中，所述第一服务用于提供所述第二服务对应的访问令牌，其中，所述第二服务对应的访问令牌用于表征所述服务消费网元具有获取所述第二服务的权限；或者，所述第一服务用于提供所述第二服务网元的信息。

采用上述设计，可以实现具有两种不同网络功能类型的网元采用同一个客户认证凭证实现对服务消费网元的认证。

在一种可能的设计中，所述第一网元为网络存储功能网元。

在一种可能的设计中，所述第一网元接收来自于所述服务通信代理的第二服务请求消息，所述第二服务请求消息用于向所述第一网元请求所述第一服务，所述第二服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括第三网络功能类型；在所述第三网络功能类型与所述第一网元的网络功能类型不匹配的情况下，所述第一网元向所述服务通信代理发送针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息，其中，所述指示信息用于触发所述第一服务请求消息。

采用上述设计，当客户认证凭证中的网络功能类型与第一网元的网络功能类型不匹配时，第一网元可以在针对第二服务请求消息的响应消息中携带指示信息，该指示信息可以触发第一服务请求消息，进而获得包括与第一网元的网络功能类型匹配的网络功能类型的客户认证凭证，实现第一网元对服务消费网元认证成功。

在一种可能的设计中，所述指示信息包括用于认证所述第一网元的第三客户认证凭证，所述第三客户认证凭证包括所述第一网元的网络功能类型。

采用上述设计，可以通过指示信息中携带第一网元的网络功能类型进而触发第一服务请求消息中的第一客户认证凭证携带与第一网元的网络功能类型匹配的网络功能类型，以实现对服务消费网元认证成功。

在一种可能的设计中，所述第一客户认证凭证还包括所述服务消费网元的标识和所述第一客户认证凭证的有效时间信息；所述第一客户认证凭证的有效时间信息用于表征所述第一客户认证凭证的有效时间；所述第一网元根据所述第一客户认证凭证，认证所述服务消费网元，还包括以下一项或者多项：所述第一网元验证所述第一客户认证凭证的签名是否通过、根据所述第一客户认证凭证包括的有效时间信息验证所述第一客户认证凭证是否过期或者验证所述第一客户认证凭证中的所述服务消费网元的标识与用于签名所述第一客户认证凭证的证书中的网元的标识是否相同。

第三方面，本申请提供一种通信方法，该方法包括：服务消费网元向服务通信代理发送第一服务请求消息，所述第一服务请求消息用于向服务提供网元请求第一服务，所述第一服务请求消息包括第四客户认证凭证和第五客户认证凭证，所述第四客户认证凭证用于所述服务提供网元认证所述服务消费网元，所述第五客户认证凭证用于提供第二服务的网元认证所述服务消费网元，所述第四客户认证凭证包括第一网络功能类型，所述第五客户认证凭证包括第二网络功能类型，所述第一网络功能类型为所述服务提供网元的网络功能类型，所述第二网络功能类型为所述提供第二服务的网元的网络功能类型，其中，所述第二服务与所述第一服务关联；所述服务消费网元接收来自于所述服务通信代理的针对所述第一服务请求消息的响应消息。

采用上述实施例，服务消费网元向服务通信代理发送第一服务请求消息，其中，第一服务请求消息包括第四客户认证凭证和第五客户认证凭证，第四客户认证凭证包括第一网络功能类型，第五客户认证凭证包括第二网络功能类型，能够使提供第二服务的网元对服务消费网元认证成功，进而也为服务消费网元请求第一服务提供了保障，解决了间接通信场景下，因为客户认证凭证认证失败，导致服务消费网元请求服务失败的问题。

在一种可能的设计中，所述第四客户认证凭证还包括所述服务消费网元的标识，所述第四客户认证凭证的有效时间信息，所述第四客户认证凭证的有效时间信息用于表征所述第四客户认证凭证的有效时间；所述第五客户认证凭证还包括所述服务消费网元的标识，所述第五客户认证凭证的有效时间信息，所述第五客户认证凭证的有效时间信息用于表征所述第五客户认证凭证的有效时间。

在一种可能的设计中，所述第五客户认证凭证的有效时间比所述第四客户认证凭证的有效时间短。

采用上述设计可以降低第五客户认证凭证被服务通信代理恶意使用的风险，进而保证通信过程的安全性。

在一种可能的设计中，所述第四客户认证凭证的有效时间与第一时长关联，所述第一时长是所述服务消费网元与所述服务通信代理的传输时延以及所述服务通信代理与所述提供第二服务的网元的传输时延确定的。

上述针对第四客户认证凭证的有效时间和第五客户认证凭证的有效时间的配置规则可以尽量保证第四客户认证凭证和第五客户认证凭证不被服务通信代理恶意使用，进而保证通信过程的安全性。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限。

在一种可能的设计中，所述服务消费网元确定不存在所述第一服务对应的可用的访问令牌。

此外，服务消费网元在确定不存在所述第一服务对应的可用的访问令牌之后，服务消费网元可以在第一服务请求消息中携带用于获取第一服务对应的访问令牌的参数。

采用上述设计使得服务消费网元能够按需生成第一客户认证凭证，防止第一客户认证凭证被滥用。

在一种可能的设计中，所述服务消费网元确定不存在所述第一服务对应的可用的访问令牌可以包括以下情况：所述服务消费网元确定未存储所述第一服务对应的访问令牌；或，所述服务消费网元确定存储的所述第一服务对应的访问令牌已过期。

在一种可能的设计中，在存储的所述第一服务对应的访问令牌已过期的情况下，所述服务消费网元删除所述已过期的访问令牌。

采用上述设计可以实现及时释放存储空间，减轻系统的存储负担。

在一种可能的设计中，所述第二服务用于提供所述服务提供网元的信息。

在一种可能的设计中，所述服务消费网元确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务。

在一种可能的设计中，在所述服务消费网元确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务时，所述服务消费网元根据以下一项或多项，确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务：未存储第一终端设备的上下文，所述第一终端设备与所述第一服务关联；或者，未存储所述第一服务的上下文；或者，所述服务提供网元归属于第一切片且未存储所述第一切片对应的上下文；或者，所述服务消费网元首次与所述服务通信代理通信。

此外，服务消费网元在确定第一服务请求消息会触发服务通信代理请求第二服务之后，服务消费网元可以在第一服务请求消息中携带用于发现服务提供网元的参数。

在一种可能的设计中，所述服务消费网元确定使用模式D的间接通信模式请求所述第一服务。

示例性地，可以通过标准协议约定或者通过预配置信息配置服务消费网元使用模式D与服务通信代理进行通信时，第一服务请求消息总是携带包括第一网络功能类型和第二网络功能类型的客户认证凭证。或者在服务消费网元使用模式D与服务通信代理进行通信时，在判断第一服务请求消息会触发服务通信代理请求第二服务时，第一服务请求消息携带包括第一网络功能类型和第二网络功能类型的客户认证凭证。

在一种可能的设计中，所述服务消费网元向所述服务通信代理发送第二服务请求消息，所述第二服务请求消息用于请求所述第一服务，所述第二服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括所述第一网络功能类型，所述第二客户认证凭证用于认证所述服务消费网元；所述服务消费网元从所述服务通信代理接收针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息。在所述服务消费网元向所述服务通信代理发送第一服务请求消息时，所述服务消费网元根据所述指示信息，向所述服务通信代理发送所述第一服务请求消息。

采用上述设计，服务消费网元可以根据指示信息向服务通信代理发送第一服务请求消息。

在一种可能的设计中，所述指示信息包括第三客户认证凭证，所述第三客户认证凭证包括所述第二网络功能类型；其中，所述第三客户认证凭证用于认证所述提供所述第二服务的网元；在所述服务消费网元根据所述指示信息，向所述服务通信代理发送所述第一服务请求消息时，在根据所述第三客户认证凭证对所述提供所述第二服务的网元认证成功的情况下，所述服务消费网元向所述服务通信代理发送所述第一服务请求消息。

采用上述设计，服务消费网元可以根据第三客户认证凭证认证提供第二服务的网元，并在认证成功时，根据第三客户认证凭证包括的第二网络功能类型发送第一服务请求消息。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

第四方面，本申请提供一种通信方法，该方法包括：服务通信代理接收来自于服务消费网元的第一服务请求消息，所述第一服务请求消息用于向服务提供网元请求第一服务，所述第一服务请求消息包括第四客户认证凭证和第五客户认证凭证，所述第四客户认证凭证用于所述服务提供网元认证所述服务消费网元，所述第五客户认证凭证用于第一网元认证所述服务消费网元，其中，所述第四客户认证凭证包括第一网络功能类型，所述第五客户认证凭证包括第二网络功能类型，所述第一网络功能类型为所述服务提供网元的网络功能类型，所述第二网络功能类型为所述第一网元的网络功能类型；响应于所述第一服务请求消息，所述服务通信代理向所述第一网元发送第二服务请求消息，所述第二服务请求消息用于请求第二服务，所述第二服务请求消息包括所述第五客户认证凭证；所述服务通信代理接收来自于所述第一网元的针对所述第二服务请求消息的响应消息；所述服务通信代理根据针对所述第二服务请求消息的响应消息，向所述服务提供网元发送第三服务请求消息，所述第三服务请求消息用于向所述服务提供网元请求所述第一服务，所述第三服务请求消息包括所述第四客户认证凭证。

采用上述实施例，服务消费网元向服务通信代理发送第一服务请求消息，其中，第一服务请求消息包括第四客户认证凭证和第五客户认证凭证，第四客户认证凭证包括第一网络功能类型，第五客户认证凭证包括第二网络功能类型，服务通信代理请求第二服务携带第五客户认证凭证，能够使提供第二服务的网元对服务消费网元认证成功，服务通信代理请求第一服务携带第四客户认证凭证，能够使服务提供网元对服务消费网元认证成功，进而为服务消费网元请求第一服务提供了保障，解决了间接通信场景下，因为客户认证凭证认证失败，导致服务消费网元请求服务失败的问题。

在一种可能的设计中，所述服务通信代理根据所述第一服务请求消息，确定需要向所述第一网元请求所述第二服务；所述服务通信代理根据所述第一网元的网络功能类型，确定在所述第二服务请求消息中携带所述第五客户认证凭证。

采用上述设计，服务通信代理可以解析第一服务请求消息，并根据第一网元的网络功能类型从第四客户认证凭证和第五客户认证凭证中选择第五客户认证凭证加入第二服务请求消息。

在一种可能的设计中，所述服务通信代理根据所述服务提供网元的网络功能类型，确定在所述第三服务请求消息中携带所述第四客户认证凭证。

采用上述设计，服务通信代理可以解析第一服务请求消息，并根据服务提供网元的网络功能类型从第四客户认证凭证和第五客户认证凭证中选择第四客户认证凭证加入第二服务请求消息。

在一种可能的设计中，在服务通信代理接收来自于所述服务消费网元的第一服务请求消息之前，所述服务通信代理接收来自于所述服务消费网元的第四服务请求消息，所述第四服务请求消息用于请求所述第一服务，所述第三服务请求消息包括第六客户认证凭证，所述第六客户认证凭证包括第三网络功能类型；所述服务通信代理向所述第一网元发送第五服务请求消息，所述第五服务请求消息用于请求所述第二服务，所述第五服务请求消息包括所述第六客户认证凭证；所述服务通信代理接收来自于所述第一网元的针对所述第五服务请求消息的响应消息，针对所述第五服务请求消息的响应消息包括指示信息；所述服务通信代理根据所述指示信息向所述服务消费网元发送针对所述第四服务请求消息的响应消息。

采用上述设计，服务通信代理可以根据指示信息向服务消费网元发送针对第四服务请求消息的响应消息，以获得包括与第一网络的网络功能类型相匹配的客户认证凭证，使第一网元对服务消费网元认证成功。

在一种可能的设计中，所述指示信息包括第七客户认证凭证，所述第七客户认证凭证包括所述第一网元的网络功能类型；针对所述第四服务请求消息的响应消息还包括所述第七客户认证凭证。

采用上述设计，指示信息可以触发服务消费网元发送第一服务请求消息，并在第一服务请求消息中包括与第一网络的网络功能类型相匹配的客户认证凭证。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限。

在一种可能的设计中，所述服务通信代理确定未存储所述第一服务对应的可用的访问令牌且所述第一服务请求消息不包括所述第一服务对应的访问令牌。

在一种可能的设计中，所述第二服务用于提供所述服务提供网元的信息。

在一种可能的设计中，所述服务通信代理确定未存储所述服务提供网元的信息且所述第一服务请求消息不包括所述服务提供网元的信息。

在一种可能的设计中，所述第四客户认证凭证还包括所述服务消费网元的标识，所述第四客户认证凭证的有效时间信息，所述第四客户认证凭证的有效时间信息用于表征所述第四客户认证凭证的有效时间；所述第五客户认证凭证还包括所述服务消费网元的标识，所述第五客户认证凭证的有效时间信息，所述第五客户认证凭证的有效时间信息用于表征所述第五客户认证凭证的有效时间。

在一种可能的设计中，所述第五客户认证凭证的有效时间比所述第四客户认证凭证的有效时间短。

采用上述设计可以降低第五客户认证凭证被服务通信代理恶意使用的风险，进而保证通信过程的安全性。

在一种可能的设计中，所述第四客户认证凭证的有效时间与第一时长关联，所述第一时长是所述服务消费网元与所述服务通信代理的传输时延以及所述服务通信代理与所述提供第二服务的网元的传输时延确定的。

上述针对第四客户认证凭证的有效时间和第五客户认证凭证的有效时间的配置规则可以尽量保证第四客户认证凭证和第五客户认证凭证不被服务通信代理恶意使用，进而保证通信过程的安全性。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

第五方面，本申请提供一种通信方法，该方法包括：第一网元接收来自于服务通信代理的第一服务请求消息，所述第一服务请求消息用于向所述第一网元请求第一服务，所述第一服务请求消息包括多个客户认证凭证；每个客户认证凭证包括一个网络功能类型；所述第一网元根据所述多个客户认证凭证认证所述服务消费网元；其中，在所述第一网元根据所述多个客户认证凭证认证所述服务消费网元时，所述第一网元判断所述多个客户认证凭证认证中是否存在一个或者多个客户认证凭证对服务消费网元认证成功；所述第一网元根据认证结果向所述服务通信代理发送针对所述第一服务请求消息的响应消息。

采用上述方法，在第一服务请求消息包括多个客户认证凭证时，第一网元判断存在一个或者多个客户认证凭证对服务消费网元认证成功，获得认证结果。因此，上述方法能够实现在存在多个客户认证凭证时判断是否对服务消费网元认证成功。

在一种可能的设计中，在所述认证结果指示存在一个或者多个客户认证凭证对服务消费网元认证成功时，所述第一网元向所述服务通信代理发送针对所述第一服务请求消息的响应消息，所述针对所述第一服务请求消息的响应消息用于提供所述第一服务；或者，在所述认证结果指示所述多个客户认证凭证中任意一个客户认证凭证对服务消费网元认证失败时，所述第一网元向所述服务通信代理发送针对所述第一服务请求消息的响应消息，所述针对所述第一服务请求消息的响应消息指示请求所述第一服务失败。

采用上述设计，当存在一个或者多个客户认证凭证对服务消费网元认证成功则确定对服务消费网元认证成功，当多个客户认证凭证中任意一个客户认证凭证对服务消费网元认证失败，即全部客户认证凭证均对服务消费网元认证失败，则确定对服务消费网元认证失败。

在一种可能的设计中，所述多个客户认证凭证包括第四客户认证凭证和第五客户认证凭证，所述第四客户认证凭证包括第一网络功能类型，所述第五客户认证凭证包括第二网络功能类型，所述第一网络功能类型为所述第一网元的网络功能类型，所述第二网络功能类型为提供第二服务的网元的网络功能类型，所述第二服务与所述第一服务关联。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，其中，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限；或者，所述第二服务用于提供所述第一网元的信息。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

在一种可能的设计中，所述第一服务用于提供所述第二服务对应的访问令牌，其中，所述第二服务对应的访问令牌用于表征所述服务消费网元具有获取所述第二服务的权限；或者，所述第一服务用于提供所述第二服务网元的信息。

在一种可能的设计中，所述第一网元为网络存储功能网元。

在一种可能的设计中，所述第一网元接收来自于所述服务通信代理的第二服务请求消息，所述第二服务请求消息用于向所述第一网元请求所述第一服务，所述第二服务请求消息包括第六客户认证凭证，所述第六客户认证凭证包括第三网络功能类型；在所述第三网络功能类型与所述第一网元的网络功能类型不匹配的情况下，所述第一网元向所述服务通信代理发送针对所述第三服务请求消息的响应消息，所述针对所述第三服务请求消息的响应消息包括指示信息，其中，所述指示信息用于触发所述第一服务请求消息。

采用上述设计，当客户认证凭证中的网络功能类型与第一网元的网络功能类型不匹配时，第一网元可以在针对第三服务请求消息的响应消息中携带指示信息，该指示信息可以触发第一服务请求消息，进而获得包括与第一网元的网络功能类型匹配的网络功能类型的客户认证凭证，实现第一网元对服务消费网元认证成功。

在一种可能的设计中，所述指示信息包括用于认证所述第一网元的第七客户认证凭证，所述第七客户认证凭证包括所述第一网元的网络功能类型。

采用上述设计，可以通过指示信息中携带第一网元的网络功能类型进而触发第一服务请求消息中的第一客户认证凭证携带与第一网元的网络功能类型匹配的网络功能类型的客户认证凭证，以实现对服务消费网元认证成功。

第六方面，本申请提供一种通信方法，所述方法应用于服务消费网元通过服务通信代理向服务提供网元请求第一服务的场景，该方法包括：所述服务通信代理向所述服务消费网元发送客户认证凭证请求消息；所述客户认证凭证请求消息用于请求第一客户认证凭证，所述第一客户认证凭证用于提供第二服务网元认证所述服务消费网元，所述第二服务与所述第一服务关联；所述服务通信代理接收来自于所述服务消费网元的针对所述客户认证凭证请求消息的响应消息，针对所述客户认证凭证请求消息的响应消息包括所述第一客户认证凭证，所述第一客户认证凭证包括第一网络功能类型和第二网络功能类型，或者所述第一客户认证凭证包括第二网络功能类型，所述第一网络功能类型为所述服务提供网元的网络功能类型，所述第二网络功能类型为所述提供所述第二服务的网元的网络功能类型。

采用上述设计，服务通信代理可以请求客户认证凭证，进而保障服务通信代理请求第二服务，以及服务消费网元请求第一服务。

在一种可能的设计中，在所述服务通信代理向所述服务消费网元发送客户认证凭证请求消息之前，所述服务通信代理接收来自于所述服务消费网元的第一服务请求消息，所述第一服务请求消息用于请求所述第一服务，所述第一服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括所述第一网络功能类型；所述服务通信代理向第一网元发送第二服务请求消息，所述第二服务请求消息用于请求所述第二服务，所述第二服务请求消息包括所述第二客户认证凭证；所述服务通信代理接收来自于所述第一网元的针对所述第二服务请求消息的响应消息，针对所述第二服务请求消息的响应消息包括指示信息；在所述服务通信代理向所述服务消费网元发送客户认证凭证请求消息时，所述服务通信代理根据所述指示信息向所述服务消费网元发送所述客户认证凭证请求消息。

采用上述设计，当客户认证凭证中的网络功能类型与第一网元的网络功能类型不匹配时，第一网元可以在针对第二服务请求消息的响应消息中携带指示信息，该指示信息可以触发客户认证凭证请求消息，进而获得包括与第一网元的网络功能类型匹配的网络功能类型的客户认证凭证，实现第一网元对服务消费网元认证成功。

在一种可能的设计中，所述指示信息包括第三客户认证凭证，所述第三客户认证凭证包括所述第一网元的网络功能类型；所述客户认证凭证请求消息包括所述第三客户认证凭证。

采用上述设计，可以通过指示信息中携带第一网元的网络功能类型进而触发第一服务请求消息中的第一客户认证凭证携带与第一网元的网络功能类型匹配的网络功能类型的客户认证凭证，以实现对服务消费网元认证成功。

在一种可能的设计中，所述第一客户认证凭证包括所述第二网络功能类型；所述服务通信代理向所述第一网元发送第三服务请求消息，所述第三服务请求消息用于请求所述第二服务，所述第三服务请求消息包括所述第一客户认证凭证；所述服务通信代理接收来自于所述第一网元的针对第三服务请求消息的响应消息；所述服务通信代理根据针对第三服务请求消息的响应消息向服务提供网元发送第四服务请求消息，所述第四服务请求消息用于请求所述第一服务，所述第四服务请求消息包括所述第二客户认证凭证。

采用上述设计，服务通信代理解析针对客户认证凭证的响应消息，根据第一网元的网络功能类型在第三服务请求消息中携带第一客户认证凭证，根据服务提供网元的网络功能类型在第四服务请求消息中携带第二客户认证凭证。

在一种可能的设计中，所述第一客户认证凭证包括所述第一网络功能类型和所述第二网络功能类型；所述服务通信代理向所述第一网元发送第三服务请求消息，所述第三服务请求消息用于请求所述第二服务，所述第三服务请求消息包括所述第一客户认证凭证；所述服务通信代理接收来自于所述第一网元的针对第三服务请求消息的响应消息；所述服务通信代理根据针对第三服务请求消息的响应消息向服务提供网元发送第四服务请求消息，所述第四服务请求消息用于请求所述第一服务，所述第四服务请求消息包括所述第一客户认证凭证，或者，所述第四服务请求消息包括所述第二客户认证凭证。

采用上述设计，服务通信代理解析针对客户认证凭证的响应消息，根据第一网元的网络功能类型在第三服务请求消息中携带第一客户认证凭证，根据服务提供网元的网络功能类型在第四服务请求消息中携带第一客户认证凭证或第二客户认证凭证。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限。

在一种可能的设计中，所述服务通信代理确定未存储所述第一访问令牌且所述第一服务请求消息不包括所述第一访问令牌。

在一种可能的设计中，所述第二服务用于提供所述服务提供网元的信息。

在一种可能的设计中，所述服务通信代理确定未存储所述服务提供网元的信息且所述第一服务请求消息不包括所述服务提供网元的信息。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

第七方面，本申请提供一种通信装置，该装置包括收发单元和处理单元，所述处理单元调用所述收发单元执行：向服务通信代理发送第一服务请求消息，所述第一服务请求消息用于向服务提供网元请求第一服务，所述第一服务请求消息包括第一客户认证凭证，所述第一客户认证凭证用于认证所述装置，所述第一客户认证凭证包括第一网络功能类型和第二网络功能类型，所述第一网络功能类型为所述服务提供网元的网络功能类型，所述第二网络功能类型为提供第二服务的网元的网络功能类型；其中，所述第二服务与所述第一服务关联；从所述服务通信代理接收针对所述第一服务请求消息的响应消息。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，所述第一服务对应的访问令牌用于表征所述装置具有获取所述第一服务的权限。

在一种可能的设计中，所述处理单元，用于确定不存在所述第一服务对应的可用的访问令牌。

在一种可能的设计中，所述处理单元，用于在确定不存在所述第一服务对应的可用的访问令牌时，未存储所述第一服务对应的访问令牌；或，确定存储的所述第一服务对应的访问令牌已过期。

在一种可能的设计中，在存储的所述第一服务对应的访问令牌已过期的情况下，所述处理单元，用于删除所述已过期的访问令牌。

在一种可能的设计中，所述第二服务用于提供所述服务提供网元的信息。

在一种可能的设计中，所述处理单元，用于确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务。

在一种可能的设计中，在确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务时，所述处理单元，用于根据以下一项或多项，确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务：未存储第一终端设备的上下文，所述第一终端设备与所述第一服务关联；或者，未存储所述第一服务的上下文；或者，所述服务提供网元归属于第一切片且未存储所述第一切片对应的上下文；或者，所述装置首次与所述服务通信代理通信。

在一种可能的设计中，所述处理单元，用于确定使用模式D的间接通信模式请求所述第一服务。

在一种可能的设计中，所述收发单元用于：向所述服务通信代理发送第二服务请求消息，所述第二服务请求消息用于请求所述第一服务，所述第二服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括所述第一网络功能类型，所述第二客户认证凭证用于认证所述装置；从所述服务通信代理接收针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息。在向所述服务通信代理发送第一服务请求消息时，所述处理单元，用于根据所述指示信息，向所述服务通信代理发送所述第一服务请求消息。

在一种可能的设计中，所述指示信息包括第三客户认证凭证，所述第三客户认证凭证包括所述第二网络功能类型；其中，所述第三客户认证凭证用于认证所述提供所述第二服务的网元；所述收发单元用于：在根据所述指示信息，向所述服务通信代理发送所述第一服务请求消息时，在根据所述第三客户认证凭证对所述提供所述第二服务的网元认证成功的情况下，向所述服务通信代理发送所述第一服务请求消息。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

在一种可能的设计中，所述第一客户认证凭证还包括以下一项或者多项：所述装置的标识或者有效时间信息，其中，所述有效时间信息用于表征所述第一客户认证凭证的有效时间。

第八方面，本申请提供一种通信装置，该装置包括收发单元和处理单元，所述收发单元，用于从服务通信代理接收第一服务请求消息，所述第一服务请求消息用于向所述装置请求第一服务，所述第一服务请求消息包括第一客户认证凭证，所述第一客户认证凭证用于认证服务消费网元，其中，所述第一客户认证凭证包括多个网络功能类型；所述处理单元，用于根据所述第一客户认证凭证，认证所述服务消费网元，其中，在根据所述第一客户认证凭证，认证所述服务消费网元时，所述处理单元判断自身的网络功能类型是否与所述多个网络功能类型中的一个或者多个相匹配；所述处理单元调用所述收发单元根据认证结果向所述服务通信代理发送针对所述第一服务请求消息的响应消息。

在一种可能的设计中，在所述认证结果为认证成功时，所述收发单元，用于向所述服务通信代理发送针对所述第一服务请求消息的响应消息，所述针对所述第一服务请求消息的响应消息用于提供所述第一服务；或者，在所述认证结果为认证失败时，所述收发单元，用于向所述服务通信代理发送针对所述第一服务请求消息的响应消息，所述针对所述第一服务请求消息的响应消息指示请求所述第一服务失败。

在一种可能的设计中，所述多个网络功能类型包括第一网络功能类型和第二网络功能类型，所述第一网络功能类型为所述装置的网络功能类型，所述第二网络功能类型为提供第二服务的网元的网络功能类型，所述第二服务与所述第一服务关联。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，其中，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限；或者，所述第二服务用于提供所述装置的信息。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

在一种可能的设计中，所述第一服务用于提供所述第二服务对应的访问令牌，其中，所述第二服务对应的访问令牌用于表征所述服务消费网元具有获取所述第二服务的权限；或者，所述第一服务用于提供所述第二服务网元的信息。

在一种可能的设计中，所述装置为网络存储功能网元。

在一种可能的设计中，所述收发单元，用于接收来自于所述服务通信代理的第二服务请求消息，所述第二服务请求消息用于向所述装置请求所述第一服务，所述第二服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括第三网络功能类型；

在所述第三网络功能类型与所述装置的网络功能类型不匹配的情况下，所述收发单元，用于向所述服务通信代理发送针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息，其中，所述指示信息用于触发所述第一服务请求消息。

在一种可能的设计中，所述指示信息包括用于认证所述装置的第三客户认证凭证，所述第三客户认证凭证包括所述装置的网络功能类型。

在一种可能的设计中，所述第一客户认证凭证还包括所述服务消费网元的标识和所述第一客户认证凭证的有效时间信息；所述第一客户认证凭证的有效时间信息用于表征所述第一客户认证凭证的有效时间；所述处理单元，用于根据所述第一客户认证凭证，认证所述服务消费网元，还包括以下一项或者多项：验证所述第一客户认证凭证的签名是否通过、根据所述第一客户认证凭证包括的有效时间信息验证所述第一客户认证凭证是否过期或者验证所述第一客户认证凭证中的所述服务消费网元的标识与用于签名所述第一客户认证凭证的证书中的网元的标识是否相同。

第九方面，本申请提供一种通信装置，该装置包括收发单元和处理单元：所述处理单元调用所述收发单元执行：向服务通信代理发送第一服务请求消息，所述第一服务请求消息用于向服务提供网元请求第一服务，所述第一服务请求消息包括第四客户认证凭证和第五客户认证凭证，所述第四客户认证凭证用于所述服务提供网元认证所述服务消费网元，所述第五客户认证凭证用于提供第二服务的网元认证所述服务消费网元，所述第四客户认证凭证包括第一网络功能类型，所述第五客户认证凭证包括第二网络功能类型，所述第一网络功能类型为所述服务提供网元的网络功能类型，所述第二网络功能类型为所述提供第二服务的网元的网络功能类型，其中，所述第二服务与所述第一服务关联；接收来自于所述服务通信代理的针对所述第一服务请求消息的响应消息。

在一种可能的设计中，所述第四客户认证凭证还包括所述服务消费网元的标识，所述第四客户认证凭证的有效时间信息，所述第四客户认证凭证的有效时间信息用于表征所述第四客户认证凭证的有效时间；所述第五客户认证凭证还包括所述服务消费网元的标识，所述第五客户认证凭证的有效时间信息，所述第五客户认证凭证的有效时间信息用于表征所述第五客户认证凭证的有效时间。

在一种可能的设计中，所述第五客户认证凭证的有效时间比所述第四客户认证凭证的有效时间短。

在一种可能的设计中，所述第四客户认证凭证的有效时间与第一时长关联，所述第一时长是所述服务消费网元与所述服务通信代理的传输时延以及所述服务通信代理与所述提供第二服务的网元的传输时延确定的。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，所述第一服务对应的访问令牌用于表征所述装置具有获取所述第一服务的权限。

在一种可能的设计中，所述处理单元，用于确定不存在所述第一服务对应的可用的访问令牌。

在一种可能的设计中，所述处理单元，用于在确定不存在所述第一服务对应的可用的访问令牌时，未存储所述第一服务对应的访问令牌；或，确定存储的所述第一服务对应的访问令牌已过期。

在一种可能的设计中，在存储的所述第一服务对应的访问令牌已过期的情况下，所述处理单元，用于删除所述已过期的访问令牌。

在一种可能的设计中，所述第二服务用于提供所述服务提供网元的信息。

在一种可能的设计中，所述处理单元，用于确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务。

在一种可能的设计中，在确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务时，所述处理单元，用于根据以下一项或多项，确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务：未存储第一终端设备的上下文，所述第一终端设备与所述第一服务关联；或者，未存储所述第一服务的上下文；或者，所述服务提供网元归属于第一切片且未存储所述第一切片对应的上下文；或者，所述装置首次与所述服务通信代理通信。

在一种可能的设计中，所述处理单元，用于确定使用模式D的间接通信模式请求所述第一服务。

在一种可能的设计中，所述收发单元用于：向所述服务通信代理发送第二服务请求消息，所述第二服务请求消息用于请求所述第一服务，所述第二服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括所述第一网络功能类型，所述第二客户认证凭证用于认证所述装置；从所述服务通信代理接收针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息。在向所述服务通信代理发送第一服务请求消息时，所述处理单元，用于根据所述指示信息，向所述服务通信代理发送所述第一服务请求消息。

在一种可能的设计中，所述指示信息包括第三客户认证凭证，所述第三客户认证凭证包括所述第二网络功能类型；其中，所述第三客户认证凭证用于认证所述提供所述第二服务的网元；所述收发单元用于：在根据所述指示信息，向所述服务通信代理发送所述第一服务请求消息时，在根据所述第三客户认证凭证对所述提供所述第二服务的网元认证成功的情况下，向所述服务通信代理发送所述第一服务请求消息。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

在一种可能的设计中，所述第一客户认证凭证还包括以下一项或者多项：所述装置的标识或者有效时间信息，其中，所述有效时间信息用于表征所述第一客户认证凭证的有效时间。

第十方面，本申请提供一种通信装置，所述装置包括收发单元和处理单元，所述处理单元调用所述收发单元执行：接收来自于服务消费网元的第一服务请求消息，所述第一服务请求消息用于向服务提供网元请求第一服务，所述第一服务请求消息包括第四客户认证凭证和第五客户认证凭证，所述第四客户认证凭证用于所述服务提供网元认证所述服务消费网元，所述第五客户认证凭证用于第一网元认证所述服务消费网元，其中，所述第四客户认证凭证包括第一网络功能类型，所述第五客户认证凭证包括第二网络功能类型，所述第一网络功能类型为所述服务提供网元的网络功能类型，所述第二网络功能类型为所述第一网元的网络功能类型；响应于所述第一服务请求消息，向所述第一网元发送第二服务请求消息，所述第二服务请求消息用于请求第二服务，所述第二服务请求消息包括所述第五客户认证凭证；接收来自于所述第一网元的针对所述第二服务请求消息的响应消息；根据针对所述第二服务请求消息的响应消息，向所述服务提供网元发送第三服务请求消息，所述第三服务请求消息用于向所述服务提供网元请求所述第一服务，所述第三服务请求消息包括所述第四客户认证凭证。

在一种可能的设计中，所述处理单元，用于根据所述第一服务请求消息，确定需要向所述第一网元请求所述第二服务；根据所述第一网元的网络功能类型，确定在所述第二服务请求消息中携带所述第五客户认证凭证。

在一种可能的设计中，所述处理单元，用于根据所述服务提供网元的网络功能类型，确定在所述第三服务请求消息中携带所述第四客户认证凭证。

在一种可能的设计中，在接收来自于所述服务消费网元的第一服务请求消息之前，所述收发单元，用于接收来自于所述服务消费网元的第四服务请求消息，所述第四服务请求消息用于请求所述第一服务，所述第三服务请求消息包括第六客户认证凭证，所述第六客户认证凭证包括第三网络功能类型；向所述第一网元发送第五服务请求消息，所述第五服务请求消息用于请求所述第二服务，所述第五服务请求消息包括所述第六客户认证凭证；接收来自于所述第一网元的针对所述第五服务请求消息的响应消息，针对所述第五服务请求消息的响应消息包括指示信息；根据所述指示信息向所述服务消费网元发送针对所述第四服务请求消息的响应消息。

在一种可能的设计中，所述指示信息包括第七客户认证凭证，所述第七客户认证凭证包括所述第一网元的网络功能类型；针对所述第四服务请求消息的响应消息还包括所述第七客户认证凭证。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限。

在一种可能的设计中，所述处理单元，用于确定未存储所述第一服务对应的可用的访问令牌且所述第一服务请求消息不包括所述第一服务对应的访问令牌。

在一种可能的设计中，所述第二服务用于提供所述服务提供网元的信息。

在一种可能的设计中，所述处理单元，用于确定未存储所述服务提供网元的信息且所述第一服务请求消息不包括所述服务提供网元的信息。

在一种可能的设计中，所述第四客户认证凭证还包括所述服务消费网元的标识，所述第四客户认证凭证的有效时间信息，所述第四客户认证凭证的有效时间信息用于表征所述第四客户认证凭证的有效时间；所述第五客户认证凭证还包括所述服务消费网元的标识，所述第五客户认证凭证的有效时间信息，所述第五客户认证凭证的有效时间信息用于表征所述第五客户认证凭证的有效时间。

在一种可能的设计中，所述第五客户认证凭证的有效时间比所述第四客户认证凭证的有效时间短。

在一种可能的设计中，所述第四客户认证凭证的有效时间与第一时长关联，所述第一时长是所述服务消费网元与所述服务通信代理的传输时延以及所述服务通信代理与所述提供第二服务的网元的传输时延确定的。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

第十一方面，本申请提供一种通信装置，所述装置包括收发单元和处理单元，所述处理单元调用所述收发单元执行：接收来自于服务通信代理的第一服务请求消息，所述第一服务请求消息用于向所述第一网元请求第一服务，所述第一服务请求消息包括多个客户认证凭证；每个客户认证凭证包括一个网络功能类型；所述第一网元根据所述多个客户认证凭证认证所述服务消费网元；其中，所述第一网元根据所述多个客户认证凭证认证所述服务消费网元，包括：所述第一网元判断所述多个客户认证凭证认证中是否存在一个或者多个客户认证凭证对服务消费网元认证成功；所述第一网元根据认证结果向所述服务通信代理发送针对所述第一服务请求消息的响应消息。

在一种可能的设计中，在所述认证结果指示存在一个或者多个客户认证凭证对服务消费网元认证成功时，所述第一网元向所述服务通信代理发送针对所述第一服务请求消息的响应消息，所述针对所述第一服务请求消息的响应消息用于提供所述第一服务；或者，在所述认证结果指示所述多个客户认证凭证中任意一个客户认证凭证对服务消费网元认证失败时，所述第一网元向所述服务通信代理发送针对所述第一服务请求消息的响应消息，所述针对所述第一服务请求消息的响应消息指示请求所述第一服务失败。

在一种可能的设计中，所述多个客户认证凭证包括第四客户认证凭证和第五客户认证凭证，所述第四客户认证凭证包括第一网络功能类型，所述第五客户认证凭证包括第二网络功能类型，所述第一网络功能类型为所述第一网元的网络功能类型，所述第二网络功能类型为提供第二服务的网元的网络功能类型，所述第二服务与所述第一服务关联。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，其中，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限；或者，所述第二服务用于提供所述第一网元的信息。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

在一种可能的设计中，所述第一服务用于提供所述第二服务对应的访问令牌，其中，所述第二服务对应的访问令牌用于表征所述服务消费网元具有获取所述第二服务的权限；或者，所述第一服务用于提供所述第二服务网元的信息。

在一种可能的设计中，所述第一网元为网络存储功能网元。

在一种可能的设计中，所述收发单元用于接收来自于所述服务通信代理的第二服务请求消息，所述第二服务请求消息用于向所述第一网元请求所述第一服务，所述第二服务请求消息包括第六客户认证凭证，所述第六客户认证凭证包括第三网络功能类型；

在所述第三网络功能类型与所述第一网元的网络功能类型不匹配的情况下，所述收发单元用于向所述服务通信代理发送针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息，其中，所述指示信息用于触发所述第一服务请求消息。

在一种可能的设计中，所述指示信息包括用于认证所述第一网元的第七客户认证凭证，所述第七客户认证凭证包括所述第一网元的网络功能类型。

第十二方面，本申请提供一种通信装置，该装置包括收发单元和处理单元，服务消费网元通过所述装置向服务提供网元请求第一服务，所述处理单元调用所述收发单元执行：向所述服务消费网元发送客户认证凭证请求消息；所述客户认证凭证请求消息用于请求第一客户认证凭证，所述第一客户认证凭证用于提供第二服务网元认证所述服务消费网元，所述第二服务与所述第一服务关联；接收来自于所述服务消费网元的针对所述客户认证凭证请求消息的响应消息，针对所述客户认证凭证请求消息的响应消息包括所述第一客户认证凭证，所述第一客户认证凭证包括第一网络功能类型和第二网络功能类型，或者所述第一客户认证凭证包括第二网络功能类型，所述第一网络功能类型为所述服务提供网元的网络功能类型，所述第二网络功能类型为所述提供所述第二服务的网元的网络功能类型。

在一种可能的设计中，在向所述服务消费网元发送客户认证凭证请求消息之前，所述收发单元，用于接收来自于所述服务消费网元的第一服务请求消息，所述第一服务请求消息用于请求所述第一服务，所述第一服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括所述第一网络功能类型；向所述提供所述第二服务的网元发送第二服务请求消息，所述第二服务请求消息用于请求所述第二服务，所述第二服务请求消息包括所述第二客户认证凭证；接收来自于所述提供所述第二服务的网元的针对所述第二服务请求消息的响应消息，针对所述第二服务请求消息的响应消息包括指示信息；在向所述服务消费网元发送客户认证凭证请求消息时，根据所述指示信息向所述服务消费网元发送所述客户认证凭证请求消息。

在一种可能的设计中，所述指示信息包括第三客户认证凭证，所述第三客户认证凭证包括所述第一网元的网络功能类型；所述客户认证凭证请求消息包括所述第三客户认证凭证。

在一种可能的设计中，所述第一客户认证凭证包括所述第二网络功能类型；所述服务通信代理向所述第一网元发送第三服务请求消息，所述第三服务请求消息用于请求所述第二服务，所述第三服务请求消息包括所述第一客户认证凭证；所述服务通信代理接收来自于所述第一网元的针对第三服务请求消息的响应消息；所述服务通信代理根据针对第三服务请求消息的响应消息向服务提供网元发送第四服务请求消息，所述第四服务请求消息用于请求所述第一服务，所述第四服务请求消息包括所述第二客户认证凭证。

在一种可能的设计中，所述第一客户认证凭证包括所述第一网络功能类型和所述第二网络功能类型；所述收发单元用于向所述第一网元发送第三服务请求消息，所述第三服务请求消息用于请求所述第二服务，所述第三服务请求消息包括所述第一客户认证凭证；接收来自于所述第一网元的针对第三服务请求消息的响应消息；根据针对第三服务请求消息的响应消息向服务提供网元发送第四服务请求消息，所述第四服务请求消息用于请求所述第一服务，所述第四服务请求消息包括所述第一客户认证凭证，或者，所述第四服务请求消息包括所述第二客户认证凭证。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限。

在一种可能的设计中，在向所述服务消费网元发送客户认证凭证请求消息之前，所述处理单元用于确定未存储所述第一访问令牌且所述第一服务请求消息不包括所述第一访问令牌。

在一种可能的设计中，所述第二服务用于提供所述服务提供网元的信息。

在一种可能的设计中，在向所述服务消费网元发送客户认证凭证请求消息之前，所述处理单元用于确定未存储所述服务提供网元的信息且所述第一服务请求消息不包括所述服务提供网元的信息。

在一种可能的设计中，所述提供所述第二服务的网元为网络存储功能网元。

第十三方面，本申请还提供一种通信装置。该装置可以执行上述方法设计。该装置可以是能够执行上述方法对应的功能的芯片或电路，或者是包括该芯片或电路的设备。

在一种可能的实现方式中，该装置包括：存储器，用于存储计算机可执行程序代码；以及处理器，处理器与存储器耦合。其中存储器所存储的程序代码包括指令，当处理器执行所述指令时，使该装置或者安装有该装置的设备执行上述第一方面至第六方面的任意一种可能的设计中的方法。

其中，该装置还可以包括通信接口，该通信接口可以是收发器，或者，如果该装置为芯片或电路，则通信接口可以是该芯片的输入/输出接口，例如输入/输出管脚等。

在一种可能的设计中，该装置包括相应的功能单元，分别用于实现以上方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的单元。

第十四方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，当所述计算机程序在装置上运行时，执行如第一方面至第六方面的任意一种可能的设计中的方法。

第十五方面，本申请实施例提供一种计算机程序产品，所述计算机程序产品包括计算机程序，当所述计算机程序在装置上运行时，执行如第一方面至第六方面的任意一种可能的设计中的方法。

第十六方面，本申请提供了一种通信芯片，其中存储有指令，当其在通信设备上运行时，使得所述通信芯片执行上述第一方面至第六方面的任意一种可能的设计中的方法。

附图说明

图1为本申请的实施例应用的移动通信系统的架构示意图；

图2为本申请的实施例中模式C的间接通信模式的示意图；

图3为本申请的实施例中模式D的间接通信模式的示意图；

图4为本申请的实施例中在模式C的间接通信模式下NF服务consumer直接与NRF交互的示意图；

图5为本申请的实施例中在模式C的间接通信模式下NF服务consumer通过SCP与NRF交互的示意图；

图6为本申请的实施例中在模式D的间接通信模式下NF服务consumer通过SCP与NRF交互的示意图之一；

图7为本申请的实施例中在模式D的间接通信模式下NF服务consumer通过SCP与NRF交互的示意图之二；

图8为本申请的实施例中一种通信方法的概述流程图之一；

图9为本申请的实施例中服务消费网元根据指示信息向服务通信代理发送第一服务请求消息的具体过程；

图10为本申请的实施例中一种通信方法的概述流程图之二；

图11为本申请的实施例中一种通信方法的概述流程图之三；

图12为本申请的实施例中一种通信方法的概述流程图之四；

图13为本申请的实施例中在确定需要请求第一服务且不存在第一服务对应的可用的access token时NF服务consumer获取第一服务的流程图之一；

图14为本申请的实施例中在确定需要请求第一服务且不存在第一服务对应的可用的access token时NF服务consumer获取第一服务的流程图之二；

图15为本申请的实施例中在确定需要请求第一服务且不存在第一服务对应的可用的access token时NF服务consumer获取第一服务的流程图之三；

图16为本申请的实施例中在确定需要请求第一服务且存在第一服务对应的可用的access token时NF服务consumer获取第一服务的流程图；

图17为本申请的实施例中在需要请求第一服务且请求第一服务触发SCP请求NF服务producer的参数时NF服务consumer获取第一服务的流程图之一；

图18为本申请的实施例中在需要请求第一服务且请求第一服务触发SCP请求NF服务producer的参数时NF服务consumer获取第一服务的流程图之二；

图19为本申请的实施例中NF服务consumer根据指示信息向SCP发送服务请求消息获取第一服务的流程图；

图20为本申请的实施例中在SCP主动请求客户认证凭证时NF服务consumer获取第一服务的流程图；

图21为本申请实施例中一种通信装置的结构示意图之一；

图22为本申请实施例中一种通信装置的结构示意图之二。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。本申请的说明书和权利要求书及上述附图中的术语“第一”、第二”以及相应术语标号等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。

在本申请的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本申请的描述中，“至少一项”是指一项或者多项，“多项”是指两项或两项以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

本申请实施例的技术方案可以应用于各种通信系统，例如：宽带码分多址(Wideband Code Division Multiple Access，WCDMA)系统，通用分组无线业务(generalpacket radio service，GPRS)，长期演进(Long Term Evolution，LTE)系统，LTE频分双工(frequency division duplex，FDD)系统，LTE时分双工(time division duplex，TDD)，通用移动通信系统(universal mobile telecommunication system，UMTS)，全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统，第五代(5thgeneration，5G)系统或未来的第六代通信系统等。

为了便于理解本申请实施例，以图1所示的增强的服务化架构为例对本申请使用的应用场景进行说明。具体的，增强的服务化架构具体可以包括但不限于以下设备：

1、会话管理网元：主要用于会话管理、终端设备的网络互连协议(internetprotocol，IP)地址分配和管理、选择可管理用户设备平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。在5G通信中，会话管理网元可以是会话管理功能(sessionmanagement function，SMF)网元，在未来通信如6G通信中，会话管理功能网元仍可以是SMF网元，或者有其它名称，本申请对此不作限定。Nsmf是SMF提供的基于服务的接口，SMF可以通过Nsmf与其他的网络功能通信。

2、接入管理网元：主要用于移动性管理和接入管理等，可以用于实现移动性管理实体(mobility management entity，MME)功能中除会话管理之外的其它功能，例如，合法监听、或接入授权(或鉴权)等功能。在5G通信中，接入管理网元可以是接入管理功能(access and mobility management function，AMF)网元，在未来通信如6G通信中，接入管理网元仍可以是AMF网元，或者有其它名称，本申请对此不作限定。Namf是AMF提供的基于服务的接口，AMF可以通过Namf与其他的网络功能通信。

3、认证服务网元：主要用于用户鉴权等。在5G通信中，认证服务网元可以是认证服务功能(authentication server function，AUSF)网元，在未来通信如6G通信中，认证服务网元仍可以是AUSF网元，或者有其它名称，本申请对此不作限定。Nausf是AUSF提供的基于服务的接口，AUSF可以通过Nausf与其他的网络功能通信。

4、网络开放网元：用于安全地向外部开放由第三代合作伙伴计划(3rdgeneration partnership project，3GPP)网络功能提供的业务和能力等。在5G通信中，网络开放网元可以是网络开放功能(network exposure function，NEF)网元，在未来通信如6G通信中，网络开放功能网元仍可以是NEF网元，或者有其它名称，本申请对此不作限定。其中Nnef是NEF提供的基于服务的接口，NEF可以通过Nnef与其他的网络功能通信。

5、网络存储网元：用于提供服务注册、发现和授权，并维护可用的网络功能(network function，NF)实例信息，可以实现网络功能和服务的按需配置以及NF之间的互连。其中，服务注册是指，NF网元需要在网络存储网元进行注册登记后才能提供服务。服务发现是指，NF网元需要其他NF网元为其提供服务时，需先通过网络存储网元执行服务发现，以发现所期望的为其提供服务的NF网元。例如，NF网元1需要NF网元2为其提供服务时，需先通过网络存储网元进行服务发现，以发现NF网元2。服务授权是指，NF网元需要其他NF网元提供服务时，需先通过网络存储网元获取授权信息，从而进一步使用授权信息获取其他NF网元提供的服务。例如，NF网元1向NF网元2请求服务之前，NF网元1首先向网络存储网元请求接入NF网元2的授权信息，NF网元1使用获取的授权信息向NF网元2请求服务。在5G通信中，网络存储网元可以是网络存储功能(network repository function，NRF)网元，在未来通信如6G通信中，网络存储功能网元仍可以是NRF网元，或者有其它名称，本申请对此不作限定。Nnrf是NRF提供的基于服务的接口，NRF可以通过Nnrf与其他的网络功能通信。

6、策略控制网元：用于指导网络行为的统一策略框架，为控制平面功能网元(例如AMF，SMF等)提供策略规则信息等。在5G通信中，策略控制网元可以是策略控制功能(policycontrol function，PCF)网元，在未来通信如6G通信中，策略控制功能网元仍可以是NEF网元，或者有其它名称，本申请对此不作限定。其中Npcf是PCF提供的基于服务的接口，PCF可以通过Npcf与其他的网络功能通信。

7数据管理网元：用于处理用户标识、接入鉴权、注册、或移动性管理等。在5G通信中，数据管理网元可以是统一数据管理(unified data management，UDM)网元，在未来通信如6G通信中，数据管理网元仍可以是UDM网元，或者有其它名称，本申请对此不作限定。其中Nudm是UDM提供的基于服务的接口，UDM可以通过Nudm与其他的网络功能通信。

8、应用网元：用于进行应用影响的数据路由，接入网络开放功能，或与策略框架交互进行策略控制等。在5G通信中，应用网元可以是应用功能(application function，AF)网元，在未来通信如6G通信中，应用网元仍可以是AF网元，或者有其它名称，本申请对此不作限定。Naf是AF提供的基于服务的接口，AF可以通过Naf与其他的网络功能通信。

9、用户设备(user equipment，UE)。可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备，以及各种形式的终端，移动台(mobile station，MS)，终端(terminal)，用户设备(user equipment，UE)，软终端等等，例如水表、电表、传感器等。

10、(无线)接入网(radio access network，(R)AN)网元：用于为特定区域的授权用户设备提供入网功能，并能够根据用户设备的级别，业务的需求等使用不同质量的传输隧道。

RAN能够管理无线资源，为终端设备提供接入服务，进而完成控制信号和用户设备数据在终端和核心网之间的转发，RAN也可以理解为传统网络中的基站。

11、用户面网元(user plane function，UPF)网元：用于分组路由和转发、或用户面数据的服务质量(quality of service，QoS)处理等。在5G通信中，用户面网元可以是用户面功能(user plane function，UPF)网元，在未来通信如6G通信中，用户面网元仍可以是UPF网元，或者有其它名称，本申请对此不作限定。

12、数据网络(data network，DN)网元：用于提供传输数据的网络，例如，Internet网络等。其中，DN网元可以是数据网络鉴权、授权和计费(data network authentication、authorization、accounting)，也可以是应用服务器(application function)等。

13、SCP：用于完成服务化接口消息的路由和转发。也可以理解为：SCP可为服务化接口信令的发送方提供路由和转发服务。例如，在AMF向SMF请求建立会话的情况下，AMF向SCP发送会话建立请求消息，由SCP将会话建立请求消息发送至SMF，SMF确定是否响应该会话建立请求消息，若SMF向SCP发送会话建立响应消息，SCP将会话建立响应消息发送至AMF。若SMF向SCP发送会话建立拒绝消息，SCP将会话建立拒绝消息发送至AMF。其中，AMF与SMF之间交互的消息可以经过一跳SCP或者多跳SCP。

可以理解的是,上述功能或网元既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能，或者是平台(例如,云平台)上实例化的虚拟化功能。本申请实施例的应用场景并不限于此，任何能够实现上述各个网络功能的网络架构都适用于本申请实施例。

需要说明的是，下述内容中的消费者、服务消费网元、NF服务consumer是同一种类型网元，提供者、服务提供网元、和NF服务producer是指同一种类型的网元。本申请下述各实施例均假设本地运营商的策略指示NF服务consumer向SCP发送服务请求消息需要携带CCA。例如，本地运营商策略可以为配置该NF服务consumer在使用间接通信时生成CCA，用以通过CCA认证NF服务consumer。

基于上述增强的服务化架构，以下对间接通信流程的几种模式进行简要说明。

其一，无需代理发现的间接通信(indirect communication without delegateddiscovery)(简称模式C)：

消费者直接与NRF进行通信，以执行服务发现流程来选择对应的服务提供网元，所述服务发现流程无需SCP网元参与。

以下结合图2对上述模式C进行说明。

步骤201：consumer向NRF发送producer发现消息。

步骤202：NRF向consumer发送可用的producer的信息。

在一些实施例中，Consumer可以根据获取到的可用的producer的信息选择目标producer。可用的producer的信息可以包括NF set Id或特定的NF实例的标识等。具体的，目标producer可以是NF set Id对应的任意NF实例(即producer集合中的任意一个producer)或一个特定NF Set Id对应的NF实例中的一个特定的NF实例(即特定producer)或一个特定的NF实例(即特定producer)。

在一些实施例中，SCP可以负责选择目标producer，详见下述步骤204。

步骤203：consumer向SCP发送服务请求消息，用于通过SCP向目标producer请求特定的服务。

步骤204：SCP通过与NRF交互获取用于选择目标producer的参数。

例如，SCP获取的参数可以包括但不限于NF实例的位置或容量等。

需要说明的是，步骤204为可选的步骤，示例性地，服务请求消息包括可用的producer的信息，例如，可用的producer的信息包括NF set Id，即可用的producer的信息指向一组NF实例，SCP需要从该组NF实例中选择一个NF实例作为目标producer，具体的，SCP可以根据从NRF获取的参数选择目标producer。例如，SCP可以根据获取的NF实例的位置从一组NF实例中确定目标producer。

步骤205：SCP向目标producer发送服务请求消息，用于向目标producer请求所述特定的服务。

步骤206：目标producer向SCP发送用于提供所述特定的服务的服务请求响应消息。

步骤207：SCP向consumer发送用于提供所述特定的服务的服务请求响应消息。

其二，需要代理发现的非直接通信(indirect communication with delegateddiscovery)(简称模式D)：

消费者不直接与NRF进行通信，由SCP网元代理消费者与NRF进行通信，以执行服务发现流程来选择对应的服务提供网元。

以下结合图3对上述模式D进行说明。

步骤301：consumer向SCP发送服务请求消息；用于通过SCP向目标producer请求特定的服务。

其中，服务请求消息包括用于目标producer发现和选择的参数。

步骤302：SCP通过与NRF交互获取可用的producer的信息。

其中，SCP可以根据步骤301中的服务请求消息中用于目标producer发现和选择的参数获取可用的producer的信息并从可用的producer的信息中确定目标producer。

步骤303：SCP向目标producer发送服务请求消息，用于向目标producer请求特定的服务。

步骤304：目标producer向SCP发送用于提供所述特定的服务的服务请求响应消息。

步骤305：SCP向consumer发送用于提供所述特定的服务的服务请求响应消息。

需要说明的是，在本申请各个实施例中，SCP从consumer接收到的服务请求消息与SCP向目标producer发送服务请求消息，可以是相同的，也可以是不相同的。例如，SCP可以对从consumer接收到的服务请求消息进行相应的修改(例如，增加、删除或者修改部分信息)，以生成向目标producer发送服务请求消息。同样地，SCP从目标producer接收到的服务请求响应消息与SCP向consumer发送的服务请求响应消息也可以是相同的，也可以是不相同的。例如，SCP可以对从目标producer接收到的服务请求响应消息进行相应的修改，以生成向consumer发送的服务请求响应消息。

进一步地，给予上述图2和图3所示的间接通信流程，当consumer通过SCP与producer通信时，producer还需要认证发起服务请求的consumer。同理，当consumer通过SCP与NRF通信时，NRF也需要认证发起服务请求的consumer。

针对上述间接通信场景下的认证需求，以下本申请实施例中涉及的验证信息进行说明。

一、客户认证凭证(client credentials assertion，CCA)

CCA例如可以是被认证方签名的令牌(token)，用于认证方认证/验证被认证方的，即确定被认证方的身份。

示例性地，CCA是一个NF服务consumer签名的令牌，通过在消息中包括CCA使得消息的接收端(即认证方，例如NRF或NF服务producer)认证NF服务consumer。例如，CCA可以包含在超文本传输协议(hypertext transfer protocol,HTTP)消息的消息头或消息体中。

其中，CCA可以包括消息头(head)、载荷(payload)和签名(signature)三部分。

载荷包括声明(claims)，示例性地，声明包括NF服务consumer的NF实例ID、时间戳(timestamp)、过期时间和期望的受众的NF type。其中，时间戳用于表明CCA的发布时间，过期时间用于指示在该时间之后CCA被认为已过期。期望的受众的NF type为认证NF服务consumer的网元的NF type。

消息头和载荷被NF服务consumer使用NF服务consumer证书的私钥进行签名。消息头包括证书信息，即NF服务consumer证书的相关信息，例如，该证书信息包括定位到公钥的证书或证书链，或者，该证书信息包括定位到公钥的证书或证书链的统一资源定位符(uniform resource locator,URL)。

当认证方(例如NRF或NF服务producer)接收到包括CCA的消息时，认证方根据CCA认证NF服务consumer。具体的认证过程如下：

验证CCA的签名，若签名验证通过，则根据时间戳和/或CCA的过期时间验证CCA是否过期。若CCA未过期，则进一步认证方验证期望的受众的NF type是否与自己的NF type匹配。若匹配，验证CCA中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配，若匹配，则所有验证均通过，则认证方确定NF服务consumer认证成功。需要说明的是，本申请对于上述验证的顺序并不限定。

其中，认证方验证期望的受众的NF type是否与自己的NF type匹配例如可以包括判断认证方验证期望的受众的NF type是否与自己的NF type相同。例如，当期望的受众的NF type为AMF时，认证方验证自己的NF type是否为AMF。验证CCA中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配例如可以包括判断CCA中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否相同。

可以理解的是，上述认证过程仅为举例，认证方还可以采用其他顺序验证CCA，本申请对此不做限定。

二、访问令牌(access token)

访问令牌用于表征/指示消费者具有获取服务的权限。提供者在访问令牌验证通过的情况下，才会为消费者提供相应的服务。

示例性地，NRF接收到来自于NF服务consumer或者SCP的access token请求消息，NRF执行授权检查，确定授权通过，则NRF生成一个包括claims的access token。

其中，access token分为两种类型：基于NF服务producer的NF type(简称类型A)的access token和基于NF服务producer实例或NF服务producer服务实例(简称类型B)的access token。

其中，从功能来定义实例，一个实例可以是NF服务consumer实例或者NF服务producer实例。从服务来定义实例，实例又可称为服务实例，例如，一个服务实例可以是提供服务A的服务实例或者提供服务B的服务实例。

若NF服务consumer请求类型A的access token，即请求的access token用于指示NF服务consumer接入NF type对应的任一NF服务producer获取服务的权限，或者请求的access token用于指示NF服务consumer访问NF type对应的任一NF服务Producer的服务的权限。access token请求消息包括NF服务consumer的NF实例ID、期望的服务名称、NF服务consumer的NF type和期望的NF服务producer的NF type。可选的，access token请求消息还可以包括期望的NF服务producer实例的单网络切片选择辅助信息(single networkslice selection assistance information，S-NSSAI)列表或网络切片实例标识(networkslice instance identifier，NSI ID)列表、期望的NF服务producer实例的NF Set ID、NF服务consumer的S-NSSAI列表等。

相应的，NRF生成的access token中的claims包括NRF的NF实例ID，NF服务consumer的NF实例ID，NF服务producer的NF type，期望的服务名称，access token的有效时间。可选的，claims还可以包括附加范围(例如，请求的资源和请求的针对资源的操作)、期望的NF服务producer实例的S-NSSAI列表或NSI ID列表、期望的NF服务producer实例的NF Set ID。

若NF服务consumer请求类型B的access token，即请求的access token用于授权接入特定NF服务producer实例或NF服务producer服务实例获取服务。access token请求消息包括NF服务consumer的NF实例ID、期望的服务名称、请求的NF服务producer实例ID(s)。

相应的，NRF生成的access token中的claims包括NRF的NF实例ID，NF服务consumer的NF实例ID，NF服务producer的NF实例ID(s)，期望的服务名称，access token的有效时间。可选的，claims还可以包括附加范围(例如，请求的资源和请求的针对资源的操作)等。

此外，一般地，CCA的有效时间比access token的有效时间短。

进一步地，在NRF生成access token之后，NRF对access token进行完整性保护，例如，使用与NF服务producer共享的密钥对claims进行完整性保护，例如生成消息验证码(message authentication code，MAC)或使用NRF证书的私钥对claims进行签名。

当提供者(例如NF服务producer)接收到包括access token的服务请求消息时，提供者执行完整性验证，例如，使用与NRF共享的密钥验证access token的MAC或使用NRF证书的公钥验证access token的签名。若完整性验证成功，则进一步验证access token中的claims。

针对类型A的access token中的claims，提供者具体验证以下内容：

(1)提供者验证claims中的请求的NF服务producer的NF type是否与自己的NFtype匹配；

(2)如果claims中包括期望的NF服务producer实例的S-NSSAI列表或NSI ID列表，则提供者验证自己是否能够服务对应的切片；

(3)如果claims中包括期望的NF服务producer实例的NF Set Id，提供者验证claims中的NF set Id是否与自己的NF Set Id匹配；

(4)如果claims中包括期望的服务名称，则提供者验证是否匹配服务请求消息请求的服务操作；

(5)如果claims中包括附加范围信息，则提供者验证附加范围信息与服务请求消息请求的服务操作是否匹配；

(6)提供者根据当前数据/时间验证access token中的有效时间来检查accesstoken是否过期，或者提供者根据当前数据/时间验证access token中的有效时间来检查access token是否在有效期内。

针对类型B的access token中的claims，提供者具体验证以下内容：

(1)提供者验证claims中的请求的NF服务producer的NF实例ID(s)中是否包括与自己的ID；

(2)如果claims中包括期望的服务名称，则提供者验证是否匹配服务请求消息请求的服务操作；

(3)如果claims中包括附加范围信息，则提供者验证附加范围信息与服务请求消息请求的服务操作是否匹配；

(4)提供者根据当前数据/时间验证访问令牌中的到期时间来检查访问令牌是否过期，或者提供者根据当前数据/时间验证access token中的有效时间来检查accesstoken是否在有效期内。

以下结合上述CCA和access token验证过程对间接通信场景进行进一步说明：

场景1：无需代理发现的间接流程(模式C)

NF服务consumer直接与NRF交互，如图4所示。

步骤401：NF服务consumer确定不存在可用的NF服务Producer的信息，NF服务consumer发起NF服务producer的发现(discovery)流程。

其中，该发现流程用于发现可用的NF服务producer。

示例性地，若步骤402和步骤403请求的是类型B的access token，则需要先于步骤402发起该发现过程，并确定特定NF服务producer实例的标识或NF服务producer服务实例的标识。

示例性地，若步骤402和步骤403请求的是类型A的access token，则可以在步骤402和步骤403之前发起NF服务producer的发现流程(即步骤401)，或者，在步骤402和步骤403之后发起NF服务producer的发现流程(即步骤404)。

可以理解的是，NF服务consumer只需发起一次NF服务producer的发现流程。

步骤402：NF服务consumer向NRF发送access token请求消息(例如，Nnrf_AccessToken_Get_Request)。由上述内容可知，access token分为两种类型，针对不同类型access token，access token请求消息包括的具体内容不同，详见上述关于access token的相关描述。

步骤403：NRF向NF服务consumer发送access token响应消息(例如，Nnrf_AccessToken_Get_Response)，access token响应消息包括NRF生成的access token。

具体的，NRF接收来自于NF服务consumer的access token请求消息，NRF执行授权检查，即验证NF服务consumer是否被授权获取请求的服务。若授权通过，则NRF生成accesstoken，并对access token进行完整性保护。

步骤404：NF服务consumer确定不存在可用的producer信息(即未执行步骤401)，NF服务consumer发起producer发现流程。

其中，步骤404为可选的步骤，在步骤401和步骤404中可以仅一个步骤被执行。

步骤405：NF服务consumer向SCP发送服务请求消息(例如，Service Request)，服务请求消息包括access token和CCA。

CCA用于NF服务producer认证NF服务consumer。具体的，CCA中的claims包括NF服务consumer的NF实例ID，时间戳和过期时间，期望的受众的NF type。根据CCA的定义，服务请求消息的接收端点为NF服务producer，则这里的期望的受众的NF type为NF服务producer的NF type。关于CCA可以参见上述相关内容，此处不再赘述。

例如，在AMF通过SCP向SMF请求建立会话的情况下，AMF向SCP发送会话建立请求消息，会话建立请求消息包括access token和CCA。此时的CCA包括AMF的NF实例ID，时间戳和过期时间，期望的受众的NF type为SMF。

步骤406：SCP向NF服务producer发送服务请求消息。

示例性地，SCP执行应用编程接口(Application Programming interface，API)修改，并将接收到的服务请求消息发送至NF服务producer。

其中，若服务请求消息包括特定NF服务producer实例的标识或NF服务producer服务实例的标识，SCP将服务请求消息发送至特定NF服务producer实例或NF服务producer服务实例。若服务请求消息包括NF set Id，SCP可以从中选择一个NF实例向其发送服务请求消息。

步骤407：NF服务producer接收来自于SCP的服务请求消息。NF服务producer验证CCA和access token。

NF服务producer对access token执行完整性验证，若完整性验证成功，则进一步验证access token中的claims，详见上述access token中的claims验证的相关内容。NF服务producer还需要根据CCA验证NF服务consumer，其中，验证CCA的具体过程可以参考上述关于CCA验证的相关描述。

步骤408：NF服务producer确定acess token和CCA验证成功，则NF服务producer向SCP发送服务响应消息(例如，Service Response)。

步骤409：SCP向NF服务consumer发送服务响应消息。

示例性地，SCP接收来自于NF服务producer的服务响应消息执行API修改，并向NF服务consumer发送服务响应消息。

场景2：无需代理发现的间接流程(模式C):NF服务consumer通过SCP与NRF交互，如图5所示。

步骤501：NF服务consumer确定不存在可用的NF服务Producer的信息，NF服务consumer发起NF服务producer的发现流程。

其中，该发现流程用于发现可用的NF服务producer。

示例性地，若步骤502和步骤503请求的是类型B的access token，则需要先于步骤502发起该发现过程，并确定特定NF服务producer实例的标识或NF服务producer服务实例的标识。

示例性地，若步骤502和步骤503请求的是类型A的access token，则可以在步骤502和步骤503之前发起NF服务producer的发现流程(即步骤501)，或者，在步骤502和步骤503之后发起NF服务producer的发现流程(即步骤504)。

可以理解的是，NF服务producer只需发起一次发现流程。

步骤502：NF服务consumer向SCP发送access token请求消息。

access token请求消息包括的具体参数可以根据请求的access token的类型确定，具体可参考上述access token的相关描述。此外，access token请求消息还可以包括CCA*，CCA*用于NRF认证NF服务consumer。具体的，CCA*中的claims包括NF服务consumer的NF实例ID，时间戳和过期时间，期望的受众的NF type。根据CCA的定义，access token请求消息的接收端点为NF服务producer，则这里的期望的受众的NF type为NFR。

步骤503：SCP向NRF发送步骤501中接收到的access token请求消息。

步骤504：NRF确定CCA*验证成功，生成access token。

具体的，NRF根据CCA*认证NF服务consumer。若认证通过，NRF进一步执行授权检查，若授权通过，则NRF生成access token，并对access token进行完整性保护。

步骤505：NRF向SCP发送access token响应消息，access token响应消息包括NRF生成的access token。

步骤506：SCP向NRF发送access token响应消息，access token响应消息包括NRF生成的access token。

步骤507～步骤511的具体内容可以参考图5所示实施例中的步骤505～步骤509。

场景3：代理发现的流程下的通信授权(模式D):NF服务consumer通过SCP与NRF交互，如图6所示。

步骤601：NF服务consumer向SCP发送服务请求消息。服务请求消息包括CCA和access token。其中，CCA和access token均未过期。CCA中的claims包括NF服务consumer的NF实例ID，时间戳和过期时间，期望的受众的NF type。根据CCA的定义，服务请求消息的接收端点为NF服务producer，则这里的期望的受众的NF type为NF服务producer的NF type。

步骤602：SCP向NF服务producer发送服务请求消息，服务请求消息包括CCA和access token。

步骤603～步骤605的具体内容可以参考图5所示实施例中的步骤607～步骤609。

场景4：代理发现的流程下的通信授权(模式D):NF服务consumer通过SCP与NRF交互，如图7所示。

步骤701：NF服务consumer向SCP发送服务请求消息,服务请求消息包括CCA。CCA中的claims包括NF服务consumer的NF实例ID、时间戳、过期时间和期望的受众的NF type。服务请求的接收端点为NF服务producer，则这里的期望的受众的NF type为NF服务Producer的NF type。

步骤702：SCP向NRF发送access token请求消息。

示例性地，SCP可以根据服务请求消息判断是否向NRF发起access token请求流程。例如，SCP确定接收到的服务请求消息不包括access token且本地没有与服务请求消息对应的access token，则SCP向NRF发送access token请求消息。

其中，access token请求消息包括步骤701中的CCA。

步骤703：NRF确定验证CCA失败。

其中，CCA中期望的受众的NF type为NF服务producer的NF type，由于CCA中的NFtype与NRF的NF type不一致，NRF确定CCA验证失败。

步骤704：NRF向SCP发送access token响应消息，access token响应消息不包括access token。

因此，由于SCP获取access token失败，进而导致NF服务consumer向NF服务producer请求服务失败。

基于模式D的间接通信场景，本申请实施例提供以下几种实施例，用于解决在NF服务consumer直接向SCP发送服务请求消息触发SCP发起请求其他服务时，由于服务请求的接收端点(该其他服务的提供者)认证NF服务consumer失败，导致SCP请求该其他服务失败，进而导致NF服务consumer请求服务失败的问题。

首先对下述各个实施例中涉及的技术概念进行说明：

1、本申请实施例涉及至少两种网络功能类型。其中，第一网络功能类型与第二网络功能类型不同。网络功能类型是指网络中提供一组功能行为或提供一组服务的网络功能的统称。例如，5G网络中的网络功能类型可以包含AMF类型或者SMF类型等，其中AMF类型的功能网元可以提供接入和移动性管理相关的服务，SMF类型的功能网元可以提供PDU会话管理相关的服务。

2、本申请实施例还涉及至少两种服务。其中，第一服务与第二服务不同，第一服务与第二服务关联。

示例性地，第一服务可以是请求会话建立，第二服务可以是请求与第一服务对应的access token。或者，第一服务可以是请求会话建立，第二服务可以是请求提供第一服务的网元的信息。

例如，基于模式D的间接通信场景，在AMF向SMF请求建立会话时，AMF向SCP发送会话建立请求消息，在SCP向SMF发送会话建立请求之前，若SCP需要首先从NRF获取会话建立请求对应的access token(以下记为access token 1)，则在SCP从NRF获取access token1之后，SCP将会话建立请求消息发送至SMF，此时的会话建立请求消息包括access token 1。这里的第一服务是指请求会话建立，第二服务是指请求第一服务对应的access token，且SCP向NRF请求第一服务对应的access token发生在SCP向SMF发送会话建立请求消息之前，即SCP发起请求第二服务在发起请求第一服务之前。此外，在一些场景下，SCP发起请求第二服务还可能在发起请求第一服务之后，本申请实施例对此不做限定。如无特殊说明，以下仅以SCP发起请求第二服务在发起请求第一服务之前为例进行说明。

第一服务与第二服务关联例如可以是发起请求第一服务可能触发请求第二服务。

在一示例中，第二服务用于提供第一服务对应的访问令牌，第一服务对应的访问令牌用于表征/指示服务消费网元具有获取第一服务的权限。由于服务消费网元请求第一服务，且第二服务提供的第一服务对应的访问令牌用于表征/指示服务消费网元具有获取第一服务的权限，因此，第一服务与第二服务关联。示例性地，NF服务consumer请求第一服务可能触发SCP请求第一服务对应的access token。第一服务对应的access token用于表征/指示NF服务consumer具有获取第一服务的权限或访问第一服务的权限。

在另一示例中，第二服务用于提供服务提供网元的信息。由于服务消费网元请求第一服务，第二服务提供的服务提供网元的信息指示的服务提供网元可以提供第一服务，因此，第一服务与第二服务关联。示例性地，NF服务consumer请求第一服务可能触发SCP请求NF服务producer的信息。NF服务producer为NF服务consumer提供第一服务。

此外，发起请求第一服务还可能触发请求多个第二服务。示例性地，NF服务consumer请求第一服务可能触发SCP请求NF服务producer的信息，以及触发SCP请求第一服务对应的access token。NF服务producer为NF服务consumer提供第一服务，第一服务对应的access token用于表征/指示服务消费网元具有获取第一服务的权限。具体的，SCP可以向NRF1请求第一服务对应的access token，并向NRF1请求NF服务producer的信息。此时NRF1提供两种第二服务。或者，SCP可以向NRF1请求第一服务对应的access token，并向NRF2请求NF服务producer的信息。此时，NRF1与NRF2不同，NRF1提供的第二服务与NRF2提供的第二服务不同。

可以理解的是，上述第一服务和第二服务仅为举例，不作为本申请实施例的限定。

以下仅以提供第二服务的网元为网络存储功能网元为例进行说明，提供第二服务的网元还可能是其他类型的网元，本申请实施例对此不做限定。

本申请实施例提供一种通信方法，服务消费网元向服务通信代理发送服务请求消息，该服务请求消息包括第一客户认证凭证，第一客户认证凭证可以包括至少两种不同的网络功能类型，进而可以实现不同网元都可以根据第一客户认证凭证，成功的认证服务消费网元。以下以图8所示的实施例为例进行说明。

步骤801：服务消费网元向服务通信代理发送第一服务请求消息，第一服务请求消息用于向服务提供网元请求第一服务，第一服务请求消息包括第一客户认证凭证。

第一客户认证凭证用于认证服务消费网元。第一客户认证凭证包括第一网络功能类型和第二网络功能类型，第一网络功能类型为提供第一服务的网元的网络功能类型，即服务提供网元的网络功能类型，第二网络功能类型为提供第二服务的网元的网络功能类型，第二服务与第一服务关联。提供第二服务的网元的网络功能类型可以为网络存储功能网元的网络功能类型。

相较于现有的CCA，第一客户认证凭证包括两种网络功能类型，因此，现有CCA仅用于服务请求的接收端点对服务消费网元进行认证，即认证服务消费网元的身份。而本申请实施例中第一客户认证凭证可以用于两种网络功能类型的网元对服务消费网元进行认证，即服务请求的接收端点以及服务请求触发的请求消息的接收端点对服务消费网元进行身份认证。此外，第一客户认证凭证还包括服务消费网元的标识和第一客户认证凭证的有效时间信息中的一项或多项。第一客户认证凭证的有效时间信息用于指示第一客户认证凭证的有效时间，例如，第一客户认证凭证的有效时间信息可以包括时间戳和第一客户认证凭证的过期时间。这些内容与现有CCA中对应概念的含义相同，此处不再赘述。例如，时间戳指示时刻A，过期时间指示时刻B，则第一客户认证凭证在时刻A和时刻B确定的一段时间内有效。或者，第一客户认证凭证的有效时间信息可以包括时间戳和第一客户认证凭证的有效时长。这里的时间戳与现有CCA中对应概念的含义相同，有效时长可以是指时间戳后一段时间。例如，时间戳指示时刻A，有效时长指示时间段C(例如5分钟)，则第一客户认证凭证在时刻A之后的时间段C内有效。

其中，第一客户认证凭证的有效时间信息与第一时长关联，第一时长是服务消费网元与服务通信代理的传输时延、服务通信代理与提供第二服务的网元的传输时延以及服务通信代理与服务提供网元(即提供第一服务的网元)的传输时延确定的。

示例性地，服务消费网元与服务通信代理的传输时延记为T₁，服务通信代理与提供第二服务的网元的传输时延记为T₂，服务通信代理与服务提供网元的传输时延记为T₃。上述传输时延可以为两个网元之间的传输时延的平均值或略大于传输时延的平均值。若服务通信代理请求第二服务早于请求第一服务，第一时长＝T₁+2T₂+T₃。此时，第一客户认证凭证的有效时长可以为第一时长与预设时长之和。或者，第一客户认证凭证的过期时间可以由时间戳、第一时长和预设时长确定。这里的预设时长可以预先设定或者动态调整确定。需要说明的是，预设时长如果设置过长，则可能会导致CCA的有效时间很长，则CCA有可能存在被重复使用的风险。

上述针对第一客户认证凭证的有效时间信息的配置规则可以尽量保证第一客户认证凭证不被服务通信代理恶意使用，进而保证通信过程的安全性。

可以理解的是，在服务消费网元向服务通信代理发送第一服务请求消息之前，服务消费网元还需要判断本地是否存储可用的第一客户认证凭证，若存储可用的客户认证凭证(例如，保存有未过期的客户认证凭证)，则使用该未过期的客户认证凭证作为第一客户凭证。若未存储可用的客户认证凭证(例如，客户认证凭证已过期或未存储客户认证凭证)，则服务消费网元生成该第一客户认证凭证。此外，当存在已过期的客户认证凭证时，服务消费网元可以删除已过期的客户认证凭证。因此，服务消费网元可以通过删除已过期的客户认证凭证，释放存储空间，减轻系统的存储负担。

以下说明触发服务消费网元向服务通信代理发送第一服务请求消息的几种可能的场景。

场景1：在需要请求第一服务且不存在第一服务对应的可用的访问令牌的情况下，服务消费网元向服务通信代理发送第一服务请求消息。

示例性地，服务消费网元确定需要请求第一服务且不存在第一服务对应的可用的访问令牌，服务消费网元向服务通信代理发送第一服务请求消息。

在一些实施例中，服务消费网元确定不存在第一服务对应的可用的访问令牌包括：服务消费网元确定未存储第一服务对应的访问令牌或服务消费网元确定存储的第一服务对应的访问令牌已过期。进一步地，在存储的第一服务对应的访问令牌已过期的情况下，服务消费网元可以删除已过期的第一服务对应的访问令牌。

示例性地，access token可以存储在NF服务consumer的公共存储空间(例如，access token存储在节点级别的上下文中)。NF服务consumer可以接收UE的服务请求消息，根据该服务请求消息确定需要请求第一服务。NF服务consumer根据UE的标识获取UE的相关信息(例如UE的上下文信息)，进一步地，NF服务consumer检查公共存储空间是否包括与第一服务对应的access token。若包括第一服务对应的access token且该access token未过期，则使用该access token；若不包括第一服务对应的access token则确定不存在可用的access token；或若包括第一服务对应的access token但该access token已过期，确定不存在可用的access token，进一步可选的，NF服务consumer删除该access token。其中，UE的相关信息可以存储在NF服务consumer的公共存储空间，或者，NF服务consumer根据UE的标识从其他网元获取的UE的相关信息。

可以理解的是，若服务消费网元确定存在可用的第一服务对应的访问令牌，则此时服务消费网元向服务通信代理发送的第一服务请求消息可以不需要包括第二网络功能类型，仅包括第一网络功能类型即可。

场景2：在需要请求第一服务且请求第一服务触发服务通信代理请求服务提供网元的信息的情况下，服务消费网元向服务通信代理发送第一服务请求消息。

示例性地，服务消费网元确定需要请求第一服务且请求第一服务触发服务通信代理请求服务提供网元的信息，服务消费网元向服务通信代理发送第一服务请求消息。

其中，在出现以下一种或多种情况时，服务消费网元可以确定请求第一服务会触发服务通信代理请求服务提供网元的信息。示例性地，服务消费网元接收与第一终端设备关联的第一消息，服务消费网元根据第一消息确定需要请求第一服务。进一步地，服务消费网元根据以下一项或多项，确定请求第一服务触发服务通信代理请求服务提供网元的信息。

情况1：未存储第一终端设备的上下文。

示例性地，NF服务consumer可以接收UE的服务请求消息，根据该服务请求消息确定需要请求第一服务。NF服务consumer根据UE的标识获取UE的上下文信息，若未能获取UE的上下文信息，即该UE为新的UE，未触发过NF服务consumer向NF服务producer请求服务，则NF服务consumer确定请求第一服务触发SCP请求NF服务producer的信息。其中，UE的上下文信息可以存储在NF服务consumer，或者，NF服务consumer根据UE的标识从其他网元获取的UE的上下文信息。

情况2：未存储第一服务的上下文。

示例性地，NF服务consumer可以接收UE的服务请求消息，根据该服务请求消息确定需要请求第一服务。NF服务consumer根据UE的标识获取UE的上下文信息，根据UE的上下文信息确定未包括第一服务的上下文，即UE未触发过NF服务consumer向NF服务producer请求第一服务，则NF服务consumer确定请求第一服务触发SCP请求NF服务producer的信息。其中，UE的上下文信息可以存储在NF服务consumer，或者，NF服务consumer根据UE的标识从其他网元获取的UE的上下文信息。

情况3：第一切片归属于服务提供网元且未存储第一切片的上下文；

示例性地，NF服务consumer可以接收UE的服务请求消息，根据该服务请求消息确定需要请求第一服务且需要向第一切片中服务提供网元请求第一服务。NF服务consumer根据UE的标识获取UE的上下文信息，根据UE的上下文信息确定未包括第一切片的上下文，即UE未触发过NF服务consumer向第一切片中的NF服务producer请求第一服务，则NF服务consumer确定请求第一服务触发SCP请求NF服务producer的信息。其中，UE的上下文信息可以存储在NF服务consumer，或者，NF服务consumer根据UE的标识从其他网元获取的UE的上下文信息。

情况4：服务消费网元首次与服务通信代理通信。

可以理解的是，服务消费网元可以通过多个服务通信代理向服务提供网元请求服务，若服务消费网元确定向新的服务通信代理发送第一服务请求消息，即服务消费网元首次与该服务通信代理进行通信，则服务消费网元确定第一服务请求消息触发服务通信代理请求第二服务。

此外，NF服务consumer接收服务请求响应消息，该消息中包含绑定指示，该绑定指示用于后续的相关服务消息。这种场景下，若NF服务consumer发起请求第一服务时，第一服务请求消息携带绑定信息，绑定信息可以用于SCP将第一服务请求路由特定的NF服务producer。此时SCP无需发起NF服务producer发现流程。

场景3：在需要请求第一服务且服务消费网元使用模式D的间接通信模式与服务通信代理进行通信，服务消费网元向服务通信代理发送第一服务请求消息。

示例性地，可以通过标准协议约定或者通过预配置信息配置服务消费网元使用模式D与服务通信代理进行通信时，第一服务请求消息总是携带包括第一网络功能类型和第二网络功能类型的客户认证凭证。

场景4：在服务消费网元向服务通信代理发送第一服务请求消息之前，服务消费网元获取指示信息，服务消费网元根据指示信息向服务通信代理发送第一服务请求消息。

如图9所示，以下对图8步骤801中场景4下服务消费网元根据指示信息向服务通信代理发送第一服务请求消息的具体过程进行说明。

步骤901：在服务消费网元向服务通信代理发送第一服务请求消息之前，服务消费网元向服务通信代理发送第二服务请求消息，第二服务请求消息用于请求第一服务，第二服务请求消息包括第二客户认证凭证，第二客户认证凭证包括第一网络功能类型，第二客户认证凭证用于服务提供网元认证服务消费网元。

需要说明的是，此时第二客户认证凭证不包括第二网络功能类型。

步骤902：服务通信代理向网络存储功能网元发送第三服务请求消息，第三服务请求消息用于请求第二服务，第三服务请求消息包括第二客户认证凭证。网络存储功能网元用于提供第二服务。

服务通信代理确定请求第一服务触发请求第二服务可以包括但不限于以下场景：

场景A：在未存储第一服务对应的可用的访问令牌且第二服务请求消息未包括第一服务对应的访问令牌的情况下，服务通信代理向网络存储功能网元发送第三服务请求消息，第三服务请求消息用于请求第一服务对应的访问令牌。服务通信代理确定未存储可用的第一服务对应的访问令牌且第二服务请求消息未包括第一服务对应的访问令牌，服务通信代理向网络存储功能网元发送第三服务请求消息。

示例性地，服务通信代理根据接收到的第二服务请求消息，可以确定需要第一服务对应的访问令牌，例如，服务通信代理可以根据服务请求消息的类型或服务请求的访问范围确定需要第一服务对应的访问令牌。进一步地，服务通信代理查询是否存储第一服务对应的访问令牌，若未存储或存储的第一服务对应的访问令牌已过期，且第二服务请求消息中未包括该访问令牌，则可以根据服务请求消息的类型确定请求第一服务对应的访问令牌所需要的参数，即claim中的参数，例如，期望的服务的名称、consumer的NF instance ID等。此外，当存储的第一服务对应的访问令牌已过期，服务通信代理可以删除该过期的访问令牌。

场景B：在未存储可用的服务提供网元的信息且第二服务请求消息未包括服务提供网元的信息的情况下，服务通信代理向网络存储功能网元发送第三服务请求消息，第三服务请求消息用于请求服务提供网元的信息。服务通信代理确定未存储可用的服务提供网元的信息且第二服务请求消息未包括服务提供网元的信息，向网络存储功能网元发送第三服务请求消息。示例性地，服务通信代理可以根据第二服务请求消息的类型和/或第二服务请求消息中的指示信息确定。

服务通信代理在接收到第二服务请求消息之后，服务通信代理解析第二服务请求消息，进而可以确定消息的接收者是谁，是否需要发现消息的接收者(即服务提供网元)。其中，服务通信代理判断是否需要发现服务提供网元，与在直接通信中服务消费网元如何确定是否需要发现服务提供者的逻辑类似。例如，SCP接收到的是请求消息是会话建立请求，SCP确定需要将该消息转发给SMF，SCP会根据该消息中的参数确定本地是否有符合条件的SMF实例信息。

步骤903：网络存储功能网元根据第二客户认证凭证确定服务消费网元认证失败。

示例性地，网络存储功能网元根据第二客户认证凭证确定服务消费网元认证失败，包括：所述网络存储功能网元确定所述第一网络功能类型与网络存储功能网元的网络功能类型不匹配。或者，

网络存储功能网元根据第二客户认证凭证确定服务消费网元认证失败，包括：网络存储功能网元验证第二客户认证凭证的签名通过、根据第二客户认证凭证包括的时间戳和/或第二客户认证凭证的过期时间验证第二客户认证凭证未过期、验证第二客户认证凭证中的服务消费网元的标识与用于签名第二客户认证凭证的证书中的网元的标识相同以及验证第一网络功能类型与网络存储功能网元的网络功能类型不匹配。

步骤904：在第一网络功能类型与网络存储功能网元的网络功能类型不匹配的情况下，网络存储功能网元向服务通信代理发送针对第三服务请求消息的响应消息。针对第三服务请求消息的响应消息包括原因值和/或第一指示信息。

其中，原因值和/或第一指示信息指示第二客户认证凭证中不包括第二网络功能类型，或者指示第二客户认证凭证中包括的第一网络功能类型与网络存储功能网元的网络功能类型不匹配，或者指示第二客户认证凭证中缺少正确的网络功能类型等。

可选的，所述第一指示信息可以是第三客户认证凭证。该第三客户认证凭证包括网络存储功能网元的标识、第三客户认证凭证的时间戳、第三客户认证凭证的过期时间、服务消费网元的网络功能类型。可选的，第三客户认证凭证还可以包括网络存储功能网元的网络功能类型，用以指示服务消费网元生成包括网络存储功能网元的网络功能类型的客户认证凭证。

由于步骤903可知，网络存储功能网元对服务消费网元认证失败，则针对第三服务请求消息的响应消息还可以指示第二服务请求失败。

步骤905：服务通信代理根据针对第三服务请求消息的响应消息向服务消费网元发送针对第二服务请求消息的响应消息，所述针对第二服务请求消息的响应消息中包括第二指示信息。

其中，所述第二指示信息用于触发所述服务消费网元发送图8实施例中步骤801的第一服务请求消息(即同时携带服务提供网元的网络功能类型和网络存储功能网元的网络功能类型的服务请求消息)。

一种可能的实现方式中，所述第二指示信息用于指示第二客户认证凭证中不包括网络存储功能网元的网络功能类型(即上述第二网络功能类型)，或者指示第二客户认证凭证中包括的第一网络功能类型与网络存储功能网元的网络功能类型不匹配，或者指示第二客户认证凭证中缺少正确的网络功能类型等。

具体实现中，上述第二指示信息可以与所述第一指示信息相同，或者是由服务通信代理对所述第一指示信息处理之后得到的信息。本申请实施例对此不做限定。

在一些实施例中，服务通信代理还可以根据针对第三服务请求消息的响应消息生成所述第二指示信息，该第二指示信息可以触发服务消费网元重新发起请求第一服务的服务请求消息并在重新发起请求第一服务时携带包括网络存储功能网元的网络功能类型和服务提供网元的网络功能类型的客户认证凭证(即执行上述步骤801)。

步骤906：服务消费网元根据所述第二指示信息，向服务通信代理发送第一服务请求消息。

在一些实施例中，在第二指示信息包括第三客户认证凭证且第三客户认证凭证包括网络存储功能网元的网络功能类型时，服务消费网元可以根据第三客户认证凭证认证网络存储功能网元，在网络存储功能网元认证成功时，服务消费网元向服务通信代理发送第一服务请求消息，其中，服务消费网元确定第二网络功能类型为网络存储功能网元的网络功能类型(其中，网络存储功能网元用于提供第二服务，网络存储功能网元的网络功能类型为提供第二服务的网元的网络功能类型)。

步骤802：服务通信代理接收来自于服务消费网元的第一服务请求消息，服务通信代理向网络存储功能网元发送第四服务请求消息，第四服务请求消息用于请求第二服务，第四服务请求消息包括第一客户认证凭证。

服务通信代理确定请求第一服务触发请求第二服务可以参考上述步骤902，重复之处不再赘述。

步骤803：网络存储功能网元接收来自于服务通信代理的第四服务请求消息，网络存储功能网元根据第一客户认证凭证认证服务消费网元。

网络存储功能网元确定在第一网络功能类型和第二网络功能类型中存在与网络存储功能网元的网络功能类型相同的网络功能类型，则网络存储功能网元确定服务消费网元认证成功。其中，第二网络功能类型与网络存储功能网元的网络功能类型相同。

具体的，网络存储功能网元验证第一客户认证凭证的签名通过、根据第一客户认证凭证包括的时间戳和/或第一客户认证凭证的过期时间验证第一客户认证凭证未过期、验证第一客户认证凭证中的服务消费网元的标识与用于签名第一客户认证凭证的证书中的网元的标识相同、验证第一网络功能类型和第二网络功能类型中第二网络功能类型与网络存储功能网元的网络功能类型匹配，则网络存储功能网元确定服务消费网元认证成功。

步骤804：在服务消费网元认证成功时，网络存储功能网元向服务通信代理发送针对第四服务请求消息的响应消息。

示例性地，若第四服务请求消息请求第一服务对应的访问令牌，则网络存储功能网元在服务消费网元认证成功后，网络存储功能网元执行授权检查，确定授权通过，则网络存储功能网元生成第一服务对应的访问令牌。网络存储功能网元向服务通信代理发送针对第四服务请求消息的响应消息。针对第四服务请求消息的响应消息包括第一服务对应的访问令牌。

示例性地，若第四服务请求消息请求服务提供网元的信息，则网络存储功能网元在服务消费网元认证成功后，向服务通信代理发送针对第四服务请求消息的响应消息，针对第四服务请求消息的响应消息包括服务提供网元的信息。

步骤805：服务通信代理接收来自于网络存储功能网元的针对第四服务请求消息的响应消息，服务通信代理根据针对第四服务请求消息的响应消息向服务提供网元发送第五服务请求消息，第五服务请求消息用于请求第一服务，第五服务请求消息包括第一客户认证凭证。

可以理解的是，第五服务请求消息还包括第一服务对应的访问令牌。

示例性地，在针对第四服务请求消息的响应消息包括第一服务对应的访问令牌时，服务通信代理向服务提供网元发送第五服务请求消息，第五服务请求消息用于请求第一服务，第五服务请求消息包括第一客户认证凭证和第一服务对应的访问令牌。

示例性地，在针对第四服务请求消息的响应消息包括服务提供网元的信息时，服务通信代理向服务提供网元的信息指示的服务提供网元发送第五服务请求消息，第五服务请求消息用于请求第一服务，第五服务请求消息包括第一客户认证凭证和第一服务对应的访问令牌。此时的第一服务对应的访问令牌可以是服务通信代理存储的或第一请求消息中携带的。

或者另一种实现方式中，服务通信代理使用所述第一客户认证凭证向网络存储功能网元请求所述第一服务对应的访问令牌和所述服务提供网元的信息。即通过执行两次步骤802-步骤804，服务通信代理可以发起两次针对第二服务的服务请求消息，一次用于请求第一服务对应的访问令牌，一次用于请求所述服务提供网元的信息。则此时，步骤805中的第一服务对应的访问令牌，可以是服务通信代理通过步骤802-步骤804从网络存储功能网络获取的。

步骤806：服务提供网元接收来自于服务通信代理的第五服务请求消息，服务提供网元根据第一客户认证凭证认证服务消费网元。

可以理解的是，服务提供网元还需验证第一服务对应的访问令牌，具体可以参考上述关于access token的验证过程，此处不再赘述。

服务提供网元根据第一客户认证凭证认证服务消费网元，包括：服务提供网元判断自身的网络功能类型是否与所述第一网络功能类型和第二网络功能类型中一个或者多个相匹配。

具体的，所述服务提供网元根据第一客户认证凭证认证服务消费网元，还包括：，服务提供网元验证第一客户认证凭证的签名是否通过、根据第一客户认证凭证包括的时间戳和/或第一客户认证凭证的过期时间验证第一客户认证凭证是否未过期以及验证第一客户认证凭证中的服务消费网元的标识与用于签名第一客户认证凭证的证书中的网元的标识是否相同。

其中，网络存储功能网元和服务提供网元根据第一客户认证凭证认证服务消费网元的认证思路相同，相应内容可以互相参考，不再赘述。

步骤807：在服务消费网元认证成功时，服务提供网元向服务通信代理发送针对第五服务请求消息的响应消息。

例如，在对服务消费网元认证成功且第一服务对应的访问令牌验证成功时，针对第五服务请求消息的响应消息用于指示提供第一服务或者指示第五服务请求成功。或者，在服务消费网元认证失败和/或第一服务对应的访问令牌验证失败时，针对第五服务请求消息的响应消息指示请求第一服务失败。

步骤808：服务通信代理向服务消费网元发送针对第一服务请求消息的响应消息。

当针对第五服务请求消息的响应消息用于指示提供第一服务或者指示第五服务请求成功时，针对第一服务请求消息的响应消息用于指示提供第一服务或者指示第一服务请求成功。或者，当针对第五服务请求消息的响应消息指示第一服务请求失败时，针对第一服务请求消息的响应消息指示第一服务请求失败。示例性地，服务通信代理可能会修改一下针对第五服务请求消息的响应消息的消息头中的信息，但针对第五服务请求消息的响应消息的内容基本不变，服务通信代理主要是起到消息路由的作用。

采用上述实施例，在服务消费网元通过服务通信代理向服务通过网元请求第一服务的场景下，服务消费网元在向服务通信代理发送的第一服务请求消息中携带同时包含第一网络功能类型和第二网络功能类型的客户认证凭证，进而可以保证服务通信代理请求第二服务时，提供第二服务的网元对服务消费网元认证成功，进而也为服务消费网元请求第一服务提供了保障，解决了间接通信场景下，因为客户认证凭证认证失败，导致服务消费网元请求服务失败的问题。

本申请实施例提供一种通信方法，服务消费网元向服务通信代理发送服务请求消息，该服务请求消息包括第四客户认证凭证和第五客户认证凭证，第四客户认证凭证和第五客户认证凭证分别包括不同的网络功能类型，服务通信代理向不同网元发送对应的客户认证凭证，进而可以实现不同网元根据不同客户认证凭证认证服务消费网元。以下以图10所示的实施例为例进行说明。

本申请实施例提供一种通信方法，如图10所示，该方法包括：

步骤1001：服务消费网元向服务通信代理发送第一服务请求消息，第一服务请求消息用于请求第一服务，第一服务请求消息包括第四客户认证凭证和第五客户认证凭证。

其中，第四客户认证凭证用于服务提供网元认证服务消费网元，第五客户认证凭证用于提供第二服务的网元认证服务消费网元，第四客户认证凭证包括第一网络功能类型，第五客户认证凭证包括第二网络功能类型，第一网络功能类型为服务提供网元的网络功能类型，第二网络功能类型为提供第二服务的网元的网络功能类型，第二服务与第一服务关联。

第四客户认证凭证还包括服务消费网元的标识和第四客户认证凭证的有效时间信息中的一项或多项，第四客户认证凭证的有效时间信息指示第四客户认证凭证的过期时间，例如，第四客户认证凭证的有效时间信息包括时间戳，第四客户认证凭证的过期时间。或者，第四客户认证凭证的有效时间信息可以包括第四客户认证凭证的时间戳和第四客户认证凭证的有效时长。第五客户认证凭证还包括服务消费网元的标识和第五客户认证凭证的有效时间信息中的一项或多项，第五客户认证凭证的有效时间信息指示第五客户认证凭证的有效时间。例如，第五客户认证凭证的有效时间信息包括第五客户认证凭证的时间戳，第五客户认证凭证的过期时间。或者，第五客户认证凭证的有效时间信息可以包括第五客户认证凭证的时间戳和第五客户认证凭证的有效时长。

在服务通信代理请求第二服务早于请求第一服务的情况下，第五客户认证凭证的有效时间比第四客户认证凭证的有效时间短。示例性地，在服务通信代理请求第二服务早于请求第一服务的情况下，第五客户认证凭证的有效时间与第一时长关联，第一时长是服务消费网元与服务通信代理的传输时延以及服务通信代理与提供第二服务的网元的传输时延确定的。例如，服务消费网元与服务通信代理的传输时延记为T₁，服务通信代理与提供第二服务的网元的传输时延记为T₂。上述传输时延可以为传输时延的平均值或略大于传输时延的平均值。第一时长＝T₁+T₂。例如，第一客户认证凭证的过期时间可以由时间戳、第一时长和预设时长确定。这里的预设时长可以根据经验值确定。

在服务通信代理请求第二服务晚于请求第一服务的情况下，第五客户认证凭证的有效时间比第四客户认证凭证的有效时间长。

上述针对第四客户认证凭证的有效时间和第五客户认证凭证的有效时间的配置规则可以尽量保证第四客户认证凭证和第五客户认证凭证不被服务通信代理恶意使用，进而保证通信过程的安全性。

可以理解的是，在服务消费网元向服务通信代理发送第一服务请求消息之前，服务消费网元还需要判断本地是否存储可用的客户认证凭证，若存储可用的客户认证凭证(例如，保存有未过期的客户认证凭证)，则使用该可用的客户认证凭证作为第四客户认证凭证。若未存储可用的客户认证凭证(例如，保存的客户认证凭证已过期或未存储客户认证凭证)，则服务消费网元生成该第四客户认证凭证。此外，当存在已过期的客户认证凭证时，服务消费网元可以删除已过期的客户认证凭证。因此，服务消费网元可以通过删除已过期的客户认证凭证，释放存储空间，减轻系统的存储负担。同理，适用于第五客户认证凭证，此处不再赘述。

其中，提供第二服务的网元的网络功能类型可以为网络存储功能网元的网络功能类型。

其中，触发服务消费网元向服务通信代理发送第一服务请求消息的几种场景可以具体参考图8所示实施例的相关内容，重复之处不再赘述。

步骤1002：服务通信代理接收来自于服务消费网元的第一服务请求消息，服务通信代理向网络存储功能网元发送第二服务请求消息，第二服务请求消息用于请求第二服务，第二服务请求消息包括第五客户认证凭证。

服务通信代理确定请求第一服务触发请求第二服务可以参考上述步骤902，重复之处不再赘述。

其中，在服务通信代理确定请求第一服务触发请求第二服务之后，服务通信代理根据网络存储功能网元的网络功能类型向网络存储功能网元发送第二服务请求消息，第二服务请求消息包括第五客户认证凭证。

示例性地，服务通信代理确定需要向网络存储功能网元请求第一服务对应的访问令牌，根据网络存储功能网元的网络功能类型从第四客户认证凭证和第五客户认证凭证中选择第五客户认证凭证添加至第二服务请求消息。或者，服务通信代理确定需要向网络存储功能网元请求服务提供网元的信息，则根据网络存储功能网元的网络功能类型从第四客户认证凭证和第五客户认证凭证中选择第五客户认证凭证添加至第二服务请求消息。

步骤1003：网络存储功能网元接收来自于服务通信代理的第二服务请求消息，网络存储功能网元根据第五客户认证凭证认证服务消费网元。

网络存储功能网元确定服务消费网元认证成功。具体的，网络存储功能网元验证第五客户认证凭证的签名通过、根据第五客户认证凭证包括的时间戳和/或第五客户认证凭证的过期时间验证第五客户认证凭证未过期、验证第五客户认证凭证中的服务消费网元的标识与用于签名第五客户认证凭证的证书中的网元的标识相同、验证第二网络功能类型与网络存储功能网元的网络功能类型匹配，则网络存储功能网元确定服务消费网元认证成功。

步骤1004：网络存储功能网元向服务通信代理发送针对第二服务请求消息的响应消息。

示例性地，若第二服务请求消息请求第一服务对应的访问令牌，则网络存储功能网元在服务消费网元认证成功后，网络存储功能网元执行授权检查，确定授权通过，则网络存储功能网元生成第一服务对应的访问令牌。网络存储功能网元向服务通信代理发送针对第二服务请求消息的响应消息。针对第二服务请求消息的响应消息包括第一服务对应的访问令牌。

示例性地，若第二服务请求消息请求服务提供网元的信息，则网络存储功能网元在服务消费网元认证成功后，向服务通信代理发送针对第二服务请求消息的响应消息，针对第二服务请求消息的响应消息包括服务提供网元的信息。

可选的，网络存储功能网元在服务消费网元认证失败的情况下，网络存储功能网元向服务通信代理发送针对第二服务请求消息的响应消息，用于指示请求所述第二服务失败。

步骤1005：服务通信代理接收来自于网络存储功能网元的针对第二服务请求消息的响应消息，服务通信代理根据针对第二服务请求消息的响应消息向服务提供网元发送第三服务请求消息，第三服务请求消息用于请求第一服务，第三服务请求消息包括第四客户认证凭证。

可以理解的是，第三服务请求消息还包括第一服务对应的访问令牌。

示例性地，服务通信代理确定服务消费网元请求第一服务，根据服务提供网元的类型从第四客户认证凭证和第五客户认证凭证中选择第四客户认证凭证添加至第三服务请求消息。

示例性地，在针对第二服务请求消息的响应消息包括第一服务对应的访问令牌时，服务通信代理向服务提供网元发送第三服务请求消息，第三服务请求消息用于请求第一服务，第三服务请求消息包括第四客户认证凭证和第一服务对应的访问令牌。或者在针对第二服务请求消息的响应消息包括服务提供网元的信息时，服务通信代理向服务提供网元的信息指示的服务提供网元发送第三服务请求消息，第三服务请求消息用于请求第一服务，第三服务请求消息包括第四客户认证凭证和第一服务对应的访问令牌。此时的第一服务对应的访问令牌可以是服务通信代理已存储的或第一服务请求消息携带的。

步骤1006：服务提供网元接收来自于服务通信代理的第三服务请求消息，服务提供网元根据第四客户认证凭证认证服务消费网元。

可以理解的是，服务提供网元还需验证第一服务对应的访问令牌，具体可以参考上述关于access token的验证过程，此处不再赘述。

服务提供网元确定服务消费网元认证成功。具体的，服务提供网元验证第四客户认证凭证的签名通过、根据第四客户认证凭证包括的时间戳和/或第四客户认证凭证的过期时间验证第四客户认证凭证未过期、验证第四客户认证凭证中的服务消费网元的标识与用于签名第四客户认证凭证的证书中的网元的标识相同、验证第一网络功能类型与服务提供网元的网络功能类型匹配，则服务提供网元确定服务消费网元认证成功。

步骤1007：服务提供网元向服务通信代理发送针对第三服务请求消息的响应消息。

在服务消费网元认证成功且第一服务对应的访问令牌验证成功时，针对第三服务请求消息的响应消息用于指示提供第一服务或者指示所述第三服务请求成功。或者，在服务消费网元认证失败和/或第一服务对应的访问令牌验证失败时，针对第三服务请求消息的响应消息指示第一服务请求失败。

步骤1008：服务通信代理向服务消费网元发送针对第一服务请求消息的响应消息。

当针对第三服务请求消息的响应消息用于指示提供第一服务或者指示所述第三服务请求成功时，针对第一服务请求消息的响应消息用于指示提供第一服务或者指示所述第一服务请求成功。或者，当针对第三服务请求消息的响应消息指示第一服务请求失败时，针对第一服务请求消息的响应消息指示第一服务请求失败。示例性地，服务通信代理可能会修改一下针对第三服务请求消息的响应消息的消息头中的信息，但针对第三服务请求消息的响应消息的内容基本不变，服务通信代理主要是起到消息路由的作用。

采用上述实施例，服务消费网元向服务通信代理发送第一服务请求消息，其中，第一服务请求消息包括第四客户认证凭证和第五客户认证凭证，第四客户认证凭证包括第一网络功能类型，第五客户认证凭证包括第二网络功能类型，进而可以保证服务通信代理请求第二服务时，提供第二服务的网元对服务消费网元认证成功，进而也为服务消费网元请求第一服务提供了保障。

本申请实施例提供一种通信方法，服务消费网元向服务通信代理发送服务请求消息，该服务请求消息包括第四客户认证凭证和第五客户认证凭证，第四客户认证凭证和第五客户认证凭证分别包括不同的网络功能类型，网络存储功能网元(或服务提供网元)在接收到第四客户认证凭证和第五客户认证凭证时，根据第四客户认证凭证确定服务消费网元认证成功或根据第五客户认证凭证确定服务消费网元认证成功，即可确定对服务消费网元认证成功。以下以图11所示的实施例为例进行说明。

本申请实施例提供一种通信方法，如图11所示，该方法包括：

步骤1101：服务消费网元向服务通信代理发送第一服务请求消息，第一服务请求消息用于请求第一服务，第一服务请求消息包括第四客户认证凭证和第五客户认证凭证。

具体可以参考图10中的步骤1001，重复之处不再赘述。

步骤1102：服务通信代理接收来自于服务消费网元的第一服务请求消息，服务通信代理向网络存储功能网元发送第二服务请求消息，第二服务请求消息用于请求第二服务，第二服务请求消息包括第四客户认证凭证和第五客户认证凭证。

服务通信代理确定请求第一服务触发请求第二服务可以参考上述步骤902，重复之处不再赘述。

步骤1103：网络存储功能网元接收来自于服务通信代理的第二服务请求消息，网络存储功能网元根据第四客户认证凭证和第五客户认证凭证认证服务消费网元。

网络存储功能网元根据第四客户认证凭证和第五客户认证凭证中的一个或多个客户认证凭证对服务消费网元认证成功，则网络存储功能网元确定服务消费网元认证成功。

网络存储功能网元根据第五客户认证凭证确定服务消费网元认证成功。具体的，网络存储功能网元验证第五客户认证凭证的签名通过、根据第五客户认证凭证包括的时间戳和/或第五客户认证凭证的过期时间验证第五客户认证凭证未过期、验证第五客户认证凭证中的服务消费网元的标识与用于签名第五客户认证凭证的证书中的网元的标识相同、验证第二网络功能类型与网络存储功能网元的网络功能类型匹配，则网络存储功能网元确定服务消费网元认证成功。

网络存储功能网元根据第四客户认证凭证确定服务消费网元认证失败。具体的，网络存储功能网元验证第四客户认证凭证的签名通过、根据第四客户认证凭证包括的时间戳和/或第四客户认证凭证的过期时间验证第四客户认证凭证未过期、验证第四客户认证凭证中的服务消费网元的标识与用于签名第四客户认证凭证的证书中的网元的标识相同、验证第一网络功能类型与网络存储功能网元的网络功能类型不匹配，则网络存储功能网元确定服务消费网元认证失败。

由上可知，网络存储功能网元根据第五客户认证凭证对服务消费网元认证成功，根据第四客户认证凭证对服务消费网元认证失败，则网络存储功能网元确定服务消费认证成功。

步骤1104：在服务消费网元认证成功时，网络存储功能网元向服务通信代理发送针对第二服务请求消息的响应消息。

示例性地，若第二服务请求消息请求第一服务对应的访问令牌，则网络存储功能网元在服务消费网元认证成功后，网络存储功能网元执行授权检查，确定授权通过，则网络存储功能网元生成第一服务对应的访问令牌。网络存储功能网元向服务通信代理发送针对第二服务请求消息的响应消息。针对第二服务请求消息的响应消息包括第一服务对应的访问令牌。

示例性地，若第二服务请求消息请求服务提供网元的信息，则网络存储功能网元在服务消费网元认证成功后，向服务通信代理发送针对第二服务请求消息的响应消息，针对第二服务请求消息的响应消息包括服务提供网元的信息。

步骤1105：服务通信代理接收来自于网络存储功能网元的针对第二服务请求消息的响应消息，服务通信代理根据针对第二服务请求消息的响应消息向服务提供网元发送第三服务请求消息，第三服务请求消息用于请求第一服务，第三服务请求消息包括第四客户认证凭证和第五客户认证凭证。

可以理解的是，第三服务请求消息还包括第一服务对应的访问令牌。

示例性地，在针对第二服务请求消息的响应消息包括第一服务对应的访问令牌时，服务通信代理向服务提供网元发送第三服务请求消息，第三服务请求消息用于请求第一服务，第三服务请求消息包括第四客户认证凭证和第一服务对应的访问令牌。

示例性地，在针对第二服务请求消息的响应消息包括服务提供网元的信息时，服务通信代理向服务提供网元的信息指示的服务提供网元发送第三服务请求消息，第三服务请求消息用于请求第一服务，第三服务请求消息包括第四客户认证凭证和第一服务对应的访问令牌。此时的第一服务对应的访问令牌可以是服务通信代理已存储的或第一服务请求消息携带的。

步骤1106：服务提供网元接收来自于服务通信代理的第三服务请求消息，服务提供网元验证第四客户认证凭证和第五客户认证凭证。

可以理解的是，服务提供网元还需验证第一服务对应的访问令牌，具体可以参考上述关于access token的验证过程，此处不再赘述。

服务提供网元根据第四客户认证凭证和第五客户认证凭证中的一个或多个客户认证凭证对服务消费网元认证成功，则服务提供网元确定服务消费网元认证成功。

服务提供网元根据第四客户认证凭证确定服务消费网元认证成功。具体的，服务提供网元验证第四客户认证凭证的签名通过、根据第四客户认证凭证包括的时间戳和/或第四客户认证凭证的过期时间验证第四客户认证凭证未过期、验证第四客户认证凭证中的服务消费网元的标识与用于签名第四客户认证凭证的证书中的网元的标识相同、验证第一网络功能类型与服务提供网元的网络功能类型匹配，则服务提供网元确定服务消费网元认证成功。

服务提供网元根据第五客户认证凭证确定服务消费网元认证失败。具体的，服务提供网元验证第五客户认证凭证的签名通过、根据第五客户认证凭证包括的时间戳和/或第五客户认证凭证的过期时间验证第五客户认证凭证未过期、验证第五客户认证凭证中的服务消费网元的标识与用于签名第五客户认证凭证的证书中的网元的标识相同、验证第二网络功能类型与服务提供网元的网络功能类型不匹配，则服务提供网元确定服务消费网元认证失败。

由上可知，服务提供网元根据第四客户认证凭证对服务消费网元认证成功，根据第五客户认证凭证对服务消费网元认证失败，则服务提供网元确定服务消费认证成功。

步骤1107：服务提供网元向服务通信代理发送针对第三服务请求消息的响应消息。

步骤1108：服务通信代理向服务消费网元发送针对第一服务请求消息的响应消息。

其中步骤1107与步骤1108分别图10实施例中步骤1007以及步骤1008相同，不再赘述。

相比图10的实施例，图11的实施例中服务通信代理不需要根据请求服务的对象不同，在服务请求消息中携带不同的CCA，简化了服务通信代理的处理逻辑。此外，因为服务通信代理在接收到服务消费网元的服务请求之后，不管是向网络存储功能网元请求第二服务还是向服务提供网元请求第一服务，都是同时携带了两个CCA，因此总能够保证网络存储功能网元和服务提供网元认证服务消费网元成功，从而避免了服务消费网元请求服务失败的问题。

本申请实施例提供一种通信方法，在服务通信代理请求第二服务失败时，服务通信代理可以主动向服务消费网元请求客户认证凭证，以保障服务通信代理能够获取第二服务，进而保障服务消费网元获取第一服务。

本申请实施例提供一种通信方法，如图12所示，该方法包括：

步骤1201：服务消费网元向服务通信代理发送服务请求消息1，服务请求消息1用于请求第一服务，服务请求消息1包括客户认证凭证A，客户认证凭证A包括第一网络功能类型，客户认证凭证A用于服务提供网元认证服务消费网元。第一网络功能类型为服务提供网元的网络功能类型。

需要说明的是，此时客户认证凭证A不包括第二网络功能类型。其中，第二网络功能类型为提供第二服务的网元的网络功能类型，第二服务与第一服务关联。

步骤1202：服务通信代理向网络存储功能网元发送服务请求消息2，服务请求消息2用于请求第二服务，服务请求消息2包括客户认证凭证A。网络存储功能网元用于提供第二服务。

步骤1203：网络存储功能网元根据客户认证凭证A确定服务消费网元认证失败。

步骤1204：网络存储功能网元向服务通信代理发送针对服务请求消息2的响应消息。

上述步骤1201至步骤1204分别参考图9实施例中步骤901至904相同，不再赘述。

步骤1205：服务通信代理根据针对服务请求消息2的响应消息向服务消费网元发送客户认证凭证请求消息。

客户认证凭证请求消息可以指示第一服务请求失败。客户认证凭证请求消息还可以包括指示信息。

在一些实施例中，该指示信息可以包括客户认证凭证B和/或原因值。其中，当指示信息包括客户认证凭证B时，可以避免服务通信代理恶意触发服务消费网元请求客户认证凭证。

在一些实施例中，服务通信代理还可以根据针对服务请求消息2的响应消息生成指示信息，指示信息也可以不包括客户认证凭证B或原因值，该指示信息可以指示服务消费网元请求客户认证凭证并在请求客户认证凭证时携带包括网络存储功能网元的网络功能类型的客户认证凭证。

步骤1206：服务消费网元根据指示信息，向服务通信代理发送针对客户认证凭证请求消息的响应消息。

在一些实施例中，在指示信息包括客户认证凭证B且客户认证凭证B包括网络存储功能网元的网络功能类型时，服务消费网元可以验证客户认证凭证B，在客户认证凭证B验证成功时，服务消费网元向服务通信代理发送针对客户认证凭证请求消息的响应消息，针对客户认证凭证请求消息的响应消息包括客户认证凭证C，客户认证凭证C包括第一网络功能类型和第二网络功能类型，或者客户认证凭证C包括第二网络功能类型，第一网络功能类型为服务提供网元的网络功能类型，第二网络功能类型为提供第二服务的网元的网络功能类型。

步骤1207：服务通信代理接收来自于服务消费网元的针对客户认证凭证请求消息的响应消息，服务通信代理向网络存储功能网元发送服务请求消息3，服务请求消息3用于请求第二服务，服务请求消息3包括客户认证凭证C。

示例性地，在未存储可用的第一服务对应的访问令牌且第一服务请求消息未包括第一服务对应的访问令牌的情况下，服务通信代理向网络存储功能网元发送服务请求消息3，服务请求消息3用于请求第一服务对应的访问令牌。

或者，在未存储服务提供网元的信息且第一服务请求消息未包括服务提供网元的信息的情况下，服务通信代理向网络存储功能网元发送服务请求消息3，服务请求消息3用于请求服务提供网元的信息。

步骤1208：网络存储功能网元接收来自于服务通信代理的服务请求消息3，网络存储功能网元根据客户认证凭证C认证服务消费网元。

若客户认证凭证C包括第一网络功能类型和第二网络功能类型，网络存储功能网元确定在第一网络功能类型和第二网络功能类型中存在与网络存储功能网元的网络功能类型匹配的网络功能类型，则网络存储功能网元确定客户认证凭证C验证成功。其中，第二网络功能类型与网络存储功能网元的网络功能类型匹配。具体的，网络存储功能网元验证客户认证凭证C的签名通过、根据客户认证凭证C包括的时间戳和/或客户认证凭证C的过期时间验证客户认证凭证C未过期、验证客户认证凭证C中的服务消费网元的标识与用于签名客户认证凭证C的证书中的网元的标识相同、验证第一网络功能类型和第二网络功能类型中的第二网络功能类型与网络存储功能网元的网络功能类型匹配，则网络存储功能网元确定服务消费网元认证成功。

若客户认证凭证C包括第二网络功能类型，网络存储功能网元验证客户认证凭证C的签名通过、根据客户认证凭证C包括的时间戳和/或客户认证凭证C的过期时间验证客户认证凭证C未过期、验证客户认证凭证C中的服务消费网元的标识与用于签名客户认证凭证C的证书中的网元的标识相同、验证第二网络功能类型与网络存储功能网元的网络功能类型匹配，则网络存储功能网元确定服务消费网元认证成功。

步骤1209：在服务消费网元认证成功时，网络存储功能网元向服务通信代理发送针对服务请求消息3的响应消息。

示例性地，若服务请求消息请求3第一服务对应的访问令牌，则网络存储功能网元在服务消费网元认证成功后，网络存储功能网元执行授权检查，确定授权通过，则网络存储功能网元生成第一服务对应的访问令牌。网络存储功能网元向服务通信代理发送针对服务请求消息3的响应消息。针对服务请求消息3的响应消息包括第一服务对应的访问令牌。

示例性地，若服务请求消息3请求服务提供网元的信息，则网络存储功能网元在服务消费网元认证成功后，向服务通信代理发送针对服务请求消息3的响应消息，针对服务请求消息3的响应消息包括服务提供网元的信息。

步骤1210：服务通信代理接收来自于网络存储功能网元的针对服务请求消息3的响应消息，服务通信代理根据针对服务请求消息3的响应消息向服务提供网元发送服务请求消息4，服务请求消息4用于请求第一服务，服务请求消息4包括客户认证凭证A或客户认证凭证C。

可以理解的是，服务请求消息4还包括第一服务对应的访问令牌。

示例性地，在针对服务请求消息3的响应消息包括第一服务对应的访问令牌时，服务通信代理向服务提供网元发送服务请求消息4，服务请求消息4用于请求第一服务，服务请求消息4包括第一客户认证凭证和第一服务对应的访问令牌。

示例性地，在针对服务请求消息3的响应消息包括服务提供网元的信息时，服务通信代理向服务提供网元的信息指示的服务提供网元发送服务请求消息4，服务请求消息4用于请求第一服务，服务请求消息4包括第一客户认证凭证和第一服务对应的访问令牌。此时的第一服务对应的访问令牌可以是服务通信代理已存储的或服务请求消息1携带的。

步骤1211：服务提供网元接收来自于服务通信代理的服务请求消息4，服务提供网元根据客户认证凭证A或客户认证凭证C认证NF服务consumer。

可以理解的是，服务提供网元还需验证第一服务对应的访问令牌，具体可以参考上述关于access token的验证过程，此处不再赘述。

若服务请求消息4包括客户认证凭证C，服务提供网元确定在第一网络功能类型和第二网络功能类型中存在与服务提供网元的网络功能类型匹配的网络功能类型，则服务提供网元根据客户认证凭证C确定服务消费网元认证成功。其中，第一网络功能类型与服务提供网元的网络功能类型匹配。具体的，服务提供网元验证客户认证凭证C的签名通过、根据客户认证凭证C包括的时间戳和/或客户认证凭证C的过期时间验证客户认证凭证C未过期、验证客户认证凭证C中的服务消费网元的标识与用于签名客户认证凭证C的证书中的网元的标识相同、验证第一网络功能类型和第二网络功能类型中的第一网络功能类型与服务提供网元的网络功能类型匹配，则服务提供网元确定服务消费网元认证成功。

若服务请求消息4包括客户认证凭证A，服务提供网元验证客户认证凭证A的签名通过、根据客户认证凭证A包括的时间戳和/或客户认证凭证A的过期时间验证客户认证凭证A未过期、验证客户认证凭证A中的服务消费网元的标识与用于签名客户认证凭证A的证书中的网元的标识相同、验证第一网络功能类型与服务提供网元的网络功能类型匹配，则服务提供网元确定服务消费网元认证成功。

步骤1212：服务提供网元向服务通信代理发送针对服务请求消息4的响应消息。

在服务消费网元认证成功且第一服务对应的访问令牌验证成功时，针对服务请求消息4的响应消息用于指示提供第一服务或者指示所述服务请求4成功。或者，在服务消费网元认证失败和/或第一服务对应的访问令牌验证失败时，针对服务请求消息4的响应消息指示第一服务请求失败。

步骤1213：服务通信代理向服务消费网元发送针对服务请求消息1的响应消息。

当针对服务请求消息4的响应消息用于指示提供第一服务或者指示所述服务请求4成功时，针对服务请求消息1的响应消息用于指示提供第一服务或者指示服务请求1成功。或者，当针对服务请求消息4的响应消息指示第一服务请求失败时，针对服务请求消息1的响应消息指示第一服务请求失败。

采用上述实施例，服务通信代理向服务消费网元发送客户认证凭证请求消息，进而可以保证服务通信代理请求第二服务时，提供第二服务的网元对服务消费网元认证成功，进而也为服务消费网元请求第一服务提供了保障。

以下结合具体实施例1至实施例7对上述图8至图12所示的实施例进行举例说明。

实施例1：结合图8所示实施例，在确定需要请求第一服务且不存在可用的第一服务对应的access token时，NF服务consumer可以采用但不限于以下实施例获取第一服务，如图13所示。

步骤1301：NF服务consumer确定请求第一服务且不存在第一服务对应的可用的access token，NF服务consumer获取CCA，第一服务对应的access token表征/指示NF服务consumer具有获取第一服务的权限或访问第一服务的权限。

可以理解的是，NF服务consumer还可以在步骤1301之前确定当前间接通信模式为模式D。

在NF服务consumer确定请求第一服务之后，NF服务consumer检查本地是否存储第一服务对应的access token。NF服务consumer确定不存在第一服务对应的可用的accesstoken是指NF服务consumer确定未存储第一服务对应的access token或存储的第一服务对应的access token已过期。进一步地，当NF服务consumer确定存储的第一服务对应的access token已过期时，NF服务consumer删除已过期的第一服务对应的access token。

示例性地，NF服务consumer可以接收UE的服务请求消息，根据该服务请求消息确定需要请求第一服务。NF服务consumer根据UE的标识获取UE的相关信息(例如UE的上下文信息)，进一步地，NF服务consumer检查公共存储空间是否包括与第一服务对应的accesstoken。若包括第一服务对应的access token且该access token未过期，则使用该accesstoken；若不包括第一服务对应的access token则确定不存在可用的access token；或若包括第一服务对应的access token但该access token已过期，确定不存在可用的accesstoken，进一步可选的，NF服务consumer删除该access token。其中，UE的相关信息可以存储在NF服务consumer的公共存储空间，或者，NF服务consumer根据UE的标识从其他网元获取的UE的相关信息。

此外，NF服务consumer还需要判断本地是否存储可用的CCA，若存储可用的CCA(例如，CCA未过期)，则使用该CCA。若未存储可用的CCA(例如，CCA已过期或未存储CCA)，则NF服务consumer生成CCA。此外，当CCA已过期时，NF服务consumer删除已过期的CCA。

其中，CCA包括第一NF type和第二NF type，其中，第一NF type为期望提供第一服务的NF服务producer的NF type，第二NF type为期望提供access token的NRF的NF type。

此外，该CCA还包括NF服务consumer的NF实例的标识，时间戳，过期时间。

步骤1302：NF服务Consumer向SCP发送第一服务请求消息，第一服务请求消息包括步骤1301中的CCA和用于获取access token的参数。第一服务请求消息用于请求第一服务。

用于获取access token的参数可以与用于发现NF服务producer的参数相同，也可以全部不同或部分不同。用于获取access token的参数可以与用于发现NF服务producer的参数可以使用同一个信元指示或者使用不同的信元指示。示例性地，若两者全部相同，可以使用同一个信元指示。若两者全部不同，则第一服务请求消息中还包含用于发现NF服务producer的参数。若部分不同，则第一服务请求消息中还包括剩余的用于发现NF服务producer的参数。

例如，用于获取access token的参数可以包括期望的服务名称、NF服务consumer的NF type和期望的NF服务producer的NF type，期望的NF服务producer实例的S-NSSAI列表或NSI ID列表、期望的NF服务producer实例的NF Set ID、NF服务consumer的S-NSSAI列表等。用于发现NF服务producer的参数可以包括期望的NF服务producer的NF type，期望的NF服务producer实例的S-NSSAI列表或NSI ID列表。此时，用于获取access token的参数可以与用于发现NF服务producer的参数部分相同。

步骤1303：SCP向NRF发送access token请求消息,access token请求消息包括CCA和用于获取access token的参数。

在SCP向NRF发送access token请求消息之前，SCP确定第一服务请求消息不包括第一服务对应的access token且本地未存储第一服务对应的access token或SCP确定第一服务请求消息不包括第一服务对应的access token且存储的第一服务对应的accesstoken过期。若判断存储的第一服务对应的access token过期，SCP删除过期的第一服务对应的access token。

此外，可以理解的是，若第一服务对应的access token为类型B的access token，则SCP还需在步骤1303之前发起NF服务Producer的发现流程。否则，SCP可以在获取第一服务对应的access token之后发起NF服务Producer的发现流程。或者，当本地存储有NF服务Producer的信息时，SCP可以不发起NF服务Producer的发现流程。

其中，access token请求消息可以为NNrf_AccessToken_Get_Request或者其他消息，本申请实施例对此不做限定。

步骤1304：NRF接收access token请求消息，NRF根据CCA认证NF服务Consumer。

NRF根据CCA对NF服务Consumer认证成功，NRF执行授权检查，确定授权通过，生成第一服务对应的access token。

其中，NRF验证CCA的签名，根据时间戳和/或CCA的过期时间验证CCA是否过期，验证CCA中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA包括的第一NF type和第二NF type是否存在与NRF的NF type相同的NF type，当NRF确定第二NF type与NRF的NF type匹配，则NRF确定NF服务Consumer认证成功。

步骤1305：NRF向SCP发送access token响应消息，access token响应消息包括第一服务对应的access token。

步骤1306：SCP向NF服务producer发送第二服务请求消息。第二服务请求消息包括第一服务对应的access token和CCA。

步骤1307：NF服务producer接收来自于SCP的第二服务请求消息。NF服务producer根据CCA认证NF服务Consumer。

NF服务producer对第一服务对应的access token执行完整性验证，若完整性验证成功，则进一步验证第一服务对应的access token中的claims，详见上述access token中的claims验证的相关内容。

NF服务producer还需要根据CCA认证NF服务consumer。其中，NF服务producer验证CCA的签名，根据时间戳和/或CCA的过期时间验证CCA是否过期，验证CCA中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配，除上述验证内容均验证成功之外，NF服务producer还需要验证CCA包括的第一NF type和第二NF type是否存在与NF服务producer的NF type匹配的NF type，当NF服务producer确定第一NF type与NF服务producer的NF type匹配，则NF服务producer确定NF服务consumer认证成功。

上述验证access token和CCA顺序也可以为先验证CCA，验证成功之后再验证access token，此处不做限定。

此外NF服务producer还检查CCA中的NF服务consumer的NF实例Id与access token中包含NF服务consumer的NF实例Id是否相同，若相同，则为NF服务consumer提供请求的服务。

步骤1308：NF服务producer确定第一acess token验证成功且NF服务consumer认证成功，则NF服务producer向SCP发送针对第二服务请求消息的响应消息。针对第二服务请求消息的响应消息用于指示提供第一服务或者指示所述第二服务请求成功。

可以理解的是，若第一access token验证失败和/或NF服务consumer认证失败，针对第二服务请求消息的响应消息指示第一服务请求失败。

步骤1309：SCP接收来自于NF服务producer的针对第二服务请求消息的响应消息，并向NF服务consumer发送针对第一服务请求消息的响应消息。

针对第二服务请求消息的响应消息可以包括第一服务对应的access token。NF服务Consumer存储第一服务对应的access token，用于后续发起请求第一服务。

此外，若NF服务consumer确定存在可用的第一服务对应的access token，则NF服务consumer可以判断是否存储可用的CCA，若存储可用的CCA，则使用该CCA，若未存储可用的CCA，则生成CCA。可以理解的是，此时CCA可以不包括第二NF type。但是，若NF服务consumer在步骤1301之前确定当前间接通信模式为模式D，则第一服务请求消息需要携带第一NF type和第二NF type。

采用上述实施例CCA包括第一NF type和第二NF type，进而可以保证NRF和NF服务producer根据CCA对NF服务consumer认证成功，进而保障了NF服务consumer获取第一服务。

实施例2：结合图10所示实施例，在确定需要请求第一服务且不存在可用的第一服务对应的access token时，NF服务consumer可以采用但不限于以下实施例获取第一服务，如图14所示。

步骤1401：NF服务consumer确定请求第一服务且不存在可用的第一服务对应的access token，NF服务consumer获取CCA1和CCA2，第一服务对应的access token表征/指示NF服务consumer具有获取第一服务的权限或访问第一服务的权限。

可以理解的是，NF服务consumer还可以在步骤1401之前确定当前间接通信模式为模式D。NF服务consumer确定请求第一服务且不存在可用的第一服务对应的access token具体可以图13中的步骤1301中的相关描述，重复之处不再赘述。

此外，NF服务consumer需要判断本地是否存储可用的CCA1和CCA2。若存储可用的CCA1(例如，CCA1未过期)，则使用该CCA1。若未存储可用的CCA1(例如，CCA1已过期)，则NF服务consumer生成CCA1。若存储可用的CCA2(例如，CCA2未过期或未存储CCA2)，则使用该CCA2。若未存储可用的CCA2(例如，CCA2已过期或未存储CCA2)，则NF服务consumer生成CCA2。其中，当CCA1或CCA2过期时，NF服务consumer删除过期的CCA。

其中，CCA1包括第一NF type，CCA2包括第二NF type，其中，第一NF type为期望提供第一服务的NF服务producer的NF type，第二NF type为期望提供access token的NRF的NF type。

此外，CCA1还包括NF服务consumer的NF实例的标识，时间戳，CCA1的过期时间。CCA2还包括NF服务consumer的NF实例的标识，时间戳，CCA2的过期时间。

步骤1402：NF服务Consumer向SCP发送第一服务请求消息，第一服务请求消息包括步骤1401中CCA1和CCA2和用于获取access token的参数。第一服务请求消息用于请求第一服务。

关于用于获取access token的参数可以与用于发现NF服务producer的参数可以参考实施例1中的步骤1402，重复之处不再赘述。

步骤1403：SCP向NRF发送access token请求消息,access token请求消息包括CCA2和用于获取access token的参数。

在SCP向NRF发送access token请求消息之前，SCP确定第一服务请求消息不包括第一服务对应的access token且本地未存储第一服务对应的access token或SCP确定第一服务请求消息不包括第一服务对应的access token且存储的第一服务对应的accesstoken过期。若判断存储的第一服务对应的access token过期，SCP删除过期的第一服务对应的access token。

由于SCP需要向NRF发送access token请求消息，因此，SCP选择CCA2添加至accesstoken请求消息中。

此外，可以理解的是，若第一服务对应的access token为类型B的access token，则SCP还需在步骤1403之前发起NF服务producer的发现流程。否则，SCP可以在获取第一服务对应的access token之后发起NF服务producer的发现流程。或者，当本地存储有NF服务Producer的信息时，SCP可以不发起NF服务Producer的发现流程。

示例性地，access token请求消息可以为NNrf_AccessToken_Get_Request或者其他消息，本申请实施例对此不做限定。

步骤1404：NRF接收access token请求消息，NRF根据CCA2认证NF服务consumer。

NRF根据CCA2对NF服务Consumer认证成功，NRF执行授权检查，确定授权通过，生成第一服务对应的access token。

其中，NRF验证CCA2的签名，根据时间戳和/或CCA2的过期时间验证CCA2是否过期，验证CCA2中的NF服务consumer的NF实例ID与用于签名CCA2的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA2包括的第二NF type是否与NRF的NFtype相同。由于第二NF type与NRF的NF type匹配，则NRF确定CCA2验证成功。

步骤1405：NRF向SCP发送access token响应消息，access token响应消息包括第一服务对应的access token。

步骤1406：SCP向NF服务producer发送第二服务请求消息。第二服务请求消息包括第一服务对应的access token和CCA1。

由于SCP需要向NF服务producer发送第二服务请求消息，因此，SCP选择CCA1添加至第二服务请求消息中。

步骤1407：NF服务producer接收来自于SCP的第二服务请求消息，NF服务producer验证CCA1和第一服务对应的access token。

NF服务producer对第一服务对应的access token执行完整性验证，若完整性验证成功，则进一步验证第一服务对应的access token中的claims，详见上述access token中的claims验证的相关内容。

NF服务producer还需要根据CCA1认证NF服务consumer。其中，NF服务producer验证CCA1的签名，根据时间戳和/或CCA1的过期时间验证CCA1是否过期，验证CCA1中的NF服务consumer的NF实例ID与用于签名CCA1的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NF服务consumer还需要验证CCA1包括的第一NF type是否与NF服务producer的NF type匹配。由于第一NF type与NF服务producer的NF type匹配，则确定NF服务consumer认证成功。

上述验证access token和CCA1顺序也可以为先验证CCA1，验证成功之后再验证access token，此处不做限定。

在access token和CCA1都验证成功之后，NF服务producer还检查CCA1中的NF服务consumer的NF实例Id与access token中包含NF服务consumer的NF实例Id是否相同，若相同，则为NF服务consumer提供请求的服务。

步骤1408：NF服务producer确定第一acess token且NF服务consumer认证成功，则NF服务producer向SCP发送针对第二服务请求消息的响应消息。针对第二服务请求消息的响应消息用于指示提供第一服务或者指示所述第二服务请求成功。

可以理解的是，若第一access token验证失败和/或NF服务consumer认证失败，针对第二服务请求消息的响应消息指示第一服务请求失败。

步骤1409：SCP接收来自于NF服务producer的针对第二服务请求消息的响应消息，并向NF服务consumer发送针对第一服务请求消息的响应消息。

针对第一服务请求消息的响应消息可以包括第一服务对应的access token。NF服务Consumer存储第一服务对应的access token，用于后续发起请求第一服务。

此外，若NF服务consumer确定存在可用的第一服务对应的access token，则NF服务consumer可以判断是否存储可用的CCA1，若存储可用的CCA1，则使用该CCA1，若未存储可用的CCA1，则生成CCA1。可以理解的是，此时NF服务consumer不需要判断是否存储可用的CCA2，即使未存储可用的CCA2，也不需要生成CCA2，也不需要通过SCP获取第一服务对应的access token，第一服务请求消息可以不包括CCA2。但是，若NF服务consumer在步骤1401之前确定当前间接通信模式为模式D，则第一服务请求消息需要携带CCA1和CCA2。

采用上述实施例CCA1包括第一NF type，CCA2包括第二NF type，进而可以保证NRF根据CCA2对NF服务consumer认证成功，NF服务producer根据CCA1对NF服务consumer认证成功，进而保障了NF服务consumer获取第一服务。

实施例3：结合图11所示实施例，在确定需要请求第一服务且不存在可用的第一服务对应的access token时，NF服务consumer可以采用但不限于以下实施例获取第一服务，如图15所示。

步骤1501和步骤1502可以参考图14中的步骤1401和步骤1402重复之处不再赘述。

步骤1503：SCP向NRF发送access token请求消息,access token请求消息包括CCA2和CCA1和用于获取access token的参数。

在SCP向NRF发送access token请求消息之前，SCP确定第一服务请求消息不包括第一服务对应的access token且本地未存储第一服务对应的access token或SCP确定第一服务请求消息不包括第一服务对应的access token且存储的第一服务对应的accesstoken过期。若判断存储的第一服务对应的access token过期，SCP删除过期的第一服务对应的access token。

此外，可以理解的是，若第一服务对应的access token为类型B的access token，则SCP还需在步骤1503之前发起NF服务producer的发现流程。否则，SCP可以在获取第一服务对应的access token之后发起NF服务producer的发现流程。或者，当本地存储有NF服务Producer的信息时，SCP可以不发起NF服务producer的发现流程。

示例性地，access token请求消息可以为NNrf_AccessToken_Get_Request或者其他消息，本申请实施例对此不做限定。

步骤1504：NRF接收access token请求消息，NRF根据CCA1和CCA2认证NF服务consumer。

NRF根据CCA1对NF服务consumer认证成功或根据CCA2对NF服务consumer认证成功，NRF执行授权检查，确定授权通过，生成第一服务对应的access token。

NRF根据CCA1和CCA2认证NF服务consumer，此时不需要NRF根据CCA1确定NF服务consumer认证成功且根据CCA2确定NF服务consumer认证成功，当根据CCA1确定NF服务consumer认证成功或根据CCA2确定NF服务consumer认证成功时，则NRF确定NF服务consumer认证成功。

其中，NRF验证CCA1的签名，根据时间戳和/或CCA1的过期时间验证CCA1是否过期，验证CCA1中的NF服务consumer的NF实例ID与用于签名CCA1的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA1包括的第一NF type是否与NRF的NFtype匹配，由于第一NF type与NRF的NF type不匹配，则NRF确定NF服务consumer认证失败。

NRF验证CCA2的签名，根据时间戳和/或CCA2的过期时间验证CCA2是否过期，验证CCA2中的NF服务consumer的NF实例ID与用于签名CCA2的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA2包括的第二NF type是否与NRF的NF type匹配，由于第二NF type与NRF的NF type匹配，则NRF确定NF服务consumer认证成功。

步骤1505：NRF向SCP发送access token响应消息，access token响应消息包括第一服务对应的access token。

步骤1506：SCP向NF服务producer发送第二服务请求消息。第二服务请求消息包括第一服务对应的access token、CCA1和CCA2。

步骤1507：NF服务producer接收来自于SCP的第二服务请求消息。NF服务producer验证CCA1、CCA2和access token。

NF服务producer对第一服务对应的access token执行完整性验证，若完整性验证成功，则进一步验证第一服务对应的access token中的claims，详见上述access token中的claims验证的相关内容。

NF服务producer根据CCA1和CCA2认证NF服务consumer，此时不需要NF服务producer根据CCA1确定NF服务consumer认证成功且根据CCA2确定NF服务consumer认证成功，NF服务producer根据CCA1确定NF服务consumer认证成功或根据CCA2确定NF服务consumer认证成功时，则NF服务producer确定NF服务consumer认证成功。

其中，NF服务producer验证CCA1的签名，根据时间戳和/或CCA1的过期时间验证CCA1是否过期，验证CCA1中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NF服务producer还需要验证CCA1包括的第一NF type是否与NF服务producer的NF type匹配，第一NF type与NF服务producer的NFtype匹配，则NF服务producer确定NF服务consumer认证成功。

其中，NF服务producer验证CCA2的签名，根据时间戳和/或CCA2的过期时间验证CCA2是否过期，验证CCA2中的NF服务consumer的NF实例ID与用于签名CCA2的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NF服务producer还需要验证CCA2包括的第二NF type是否与NF服务producer的NF type匹配，由于第二NF type为期望提供第一服务对应的access token的NF服务producer的NF type，第二NF type与NF服务producer的NFtype不匹配，则NF服务producer确定NF服务consumer认证失败。

步骤1508：NF服务producer确定第一acess token验证成功且NF服务consumer认证成功，则NF服务producer向SCP发送针对第二服务请求消息的响应消息。针对第二服务请求消息的响应消息用于指示提供第一服务或者指示所述第二服务请求成功。

可以理解的是，若第一access token验证失败和/或NF服务consumer认证失败，针对第二服务请求消息的响应消息指示第一服务请求失败。

步骤1509：SCP接收来自于NF服务producer的针对第二服务请求消息的响应消息，并向NF服务consumer发送针对第一服务请求消息的响应消息。

针对第二服务请求消息的响应消息可以包括第一服务对应的access token。NF服务consumer存储第一服务对应的access token，用于后续发起请求第一服务。

采用上述实施例CCA1包括第一NF type，CCA2包括第二NF type，进而可以保证NRF根据CCA1对NF服务consumer认证成功，NF服务producer根据CCA2对NF服务consumer认证成功，进而保障了NF服务consumer获取第一服务。

实施例4：在确定需要请求第一服务且存在第一服务对应的可用的access token时，NF服务consumer可以采用但不限于以下实施例获取第一服务，如图16所示。

步骤1601：NF服务consumer确定请求第一服务且存在第一服务对应的可用的access token，NF服务consumer获取CCA，第一服务对应的access token表征/指示NF服务consumer具有获取第一服务的权限或访问第一服务的权限。

若NF服务consumer确定存在可用的第一服务对应的access token，则NF服务consumer可以进一步判断是否存储可用的CCA，若存储可用的CCA，则使用该CCA，若未存储可用的CCA，则生成CCA。可以理解的是，此时NF服务consumer生成的CCA可以不需要包括第二NF type。

其中，CCA包括NF服务consumer的NF实例的标识，时间戳，过期时间和第一NFtype，其中，第一NF type为期望提供第一服务的NF服务producer的NF type。

步骤1602：NF服务Consumer向SCP发送第一服务请求消息，第一服务请求消息包括步骤1601中的CCA和第一。

步骤1603：SCP向NF服务producer发送第二服务请求消息。第二服务请求消息包括第一服务对应的access token和CCA。

在SCP向NF服务producer发送第二服务请求消息之前，SCP确定第一服务请求消息包括第一服务对应的access token或本地存储第一服务对应的access token。

步骤1604：NF服务producer接收来自于SCP的第二服务请求消息。NF服务produce根据CCA认证NF服务consumer。

其中，NF服务consumer对第一服务对应的access token执行完整性验证，若完整性验证成功，则进一步验证第一服务对应的access token中的claims，详见上述accesstoken中的claims验证的相关内容。NF服务producer还需要根据CCA认证NF服务consumer，具体可以参考现有CCA验证过程。

NF服务producer验证CCA的签名，根据时间戳和/或CCA的过期时间验证CCA是否过期，验证CCA中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NF服务producer还需要验证CCA1包括的第一NF type是否与NF服务producer的NF type匹配，第一NF type与NF服务producer的NF type匹配，则NF服务producer确定NF服务consumer认证成功。

步骤1605：NF服务producer确定第一acess token验证成功且NF服务consumer认证成功，则NF服务producer向SCP发送针对第二服务请求消息的响应消息。

针对第二服务请求消息的响应消息用于指示提供第一服务或者指示所述第二服务请求成功。

可以理解的是，若第一access token验证失败和/或NF服务consumer认证失败，针对第二服务请求消息的响应消息指示第一服务请求失败。

步骤1606：SCP接收来自于NF服务producer的针对第二服务请求消息的响应消息，并向NF服务consumer发送针对第一服务请求消息的响应消息。

采用上述实施例通过判断存储可用的CCA，NF服务consumer可以仅携带第一NFtype获取第一服务。

实施例5：结合图8所示实施例，在需要请求第一服务且请求第一服务触发SCP请求NF服务producer的参数(触发SCP发起NF服务producer的发现流程)时，NF服务consumer可以采用但不限于以下实施例获取第一服务，如图17所示。

步骤1701：NF服务consumer确定触发SCP发起NF服务producer的发现流程，NF服务consumer获取CCA。

可以理解的是，NF服务consumer还可以在步骤1701之前确定当前间接通信模式为模式D。

示例性地，NF服务consumer可以根据以下一项或多项确定触发SCP发起NF服务producer的发现流程：

情况1：未存储UE的上下文。示例性地，NF服务consumer根据UE的服务请求消息确定需要请求第一服务。

情况2：未存储第一服务的上下文。

情况3：第一切片归属于服务提供网元且未存储第一切片的上下文，示例性地，NF服务consumer根据UE的服务请求消息确定需要向第一切片中的服务提供网元请求第一服务。

情况4：服务消费网元首次与服务通信代理通信。

在NF服务consumer生成CCA之前，NF服务consumer需要首先判断本地是否存储可用的CCA，若存储可用的CCA(例如，CCA未过期)，则使用该CCA。若未存储可用的CCA(例如，CCA已过期或未存储CCA)，则NF服务consumer生成CCA。当CCA过期时，NF服务consumer删除过期的CCA。

其中，CCA包括第一NF type和第二NF type，其中，第一NF type为期望提供第一服务的NF服务producer的NF type，第二NF type为期望提供NF服务producer的信息的NRF的NF type。

此外，该CCA还包括NF服务consumer的NF实例的标识，时间戳，过期时间。

步骤1702：NF服务Consumer向SCP发送第一服务请求消息，第一服务请求消息包括步骤1701中的CCA和用于发现NF服务producer的参数，第一服务请求消息用于请求第一服务。

示例性地，用于发现NF服务producer的参数可以包括期望的NF服务producer的NFtype，期望的NF服务producer实例的S-NSSAI列表或NSI ID列表等。

步骤1703：SCP向NRF发送发现请求消息,发现请求消息包括CCA和用于发现NF服务producer的参数。

在SCP向NRF发送发现请求消息之前，SCP确定第一服务请求消息未包括NF服务producer的信息且本地未存储NF服务producer的信息。

这里假设定第一服务请求消息还包括第一服务对应的access token，或者SCP本地存储第一服务对应的access token。

步骤1704：NRF接收发现请求消息，NRF根据CCA认证NF服务consumer。

其中，NRF验证CCA的签名，根据时间戳和/或CCA的过期时间验证CCA是否过期，验证CCA中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA包括的第一NF type和第二NF type是否存在与NRF的NF type匹配的NF type，当NRF确定第二NF type与NRF的NF type匹配，则NRF确定NF服务consumer认证成功。

步骤1705：NRF向SCP发送发现响应消息，发现响应消息包括NF服务producer的参数。

在NF服务consumer认证成功的情况下，NRF向SCP发送发现响应消息，发现响应消息包括NF服务producer的参数。

步骤1706：SCP向NF服务producer发送第二服务请求消息。第二服务请求消息包括第一服务对应的access token和CCA。

其中，SCP向发现响应消息中NF服务producer的参数指示的NF服务producer发送第二服务请求消息。

步骤1707：NF服务producer接收来自于SCP的第二服务请求消息。NF服务producer根据CCA认证NF服务consumer。

NF服务producer对第一服务对应的access token执行完整性验证，若完整性验证成功，则进一步验证第一服务对应的access token中的claims，详见上述access token中的claims验证的相关内容。NF服务producer还需要根据CCA认证NF服务consumer。

其中，NF服务producer验证CCA的签名，根据时间戳和/或CCA的过期时间验证CCA是否过期，验证CCA中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配，除上述验证内容均验证成功之外，NF服务producer还需要验证CCA包括的第一NFtype和第二NF type是否存在与NF服务producer的NF type匹配的NF type，当NF服务producer确定第一NF type与NF服务producer的NF type匹配，则NF服务producer确定NF服务consumer认证成功。

步骤1708：NF服务producer确定第一acess token验证成功且NF服务consumer认证成功，则NF服务producer向SCP发送针对第二服务请求消息的响应消息。针对第二服务请求消息的响应消息用于指示提供第一服务或者指示所述第二服务请求成功。

可以理解的是，若第一access token验证失败和/或NF服务consumer认证失败，针对第二服务请求消息的响应消息指示第一服务请求失败。

步骤1709：SCP接收来自于NF服务producer的针对第二服务请求消息的响应消息，并向NF服务consumer发送针对第一服务请求消息的响应消息。

采用上述实施例CCA包括第一NF type和第二NF type，进而可以保证NRF和NF服务producer根据CCA对NF服务consumer认证成功，进而保障了NF服务consumer获取第一服务。

实施例6：结合图10所示实施例，在需要请求第一服务且请求第一服务触发SCP请求NF服务producer的参数(触发SCP发起NF服务producer的发现流程)时，NF服务consumer可以采用但不限于以下实施例获取第一服务，如图18所示。

步骤1801：NF服务consumer确定触发SCP执行NF服务producer的发现流程，NF服务consumer获取CCA1和CCA2。

可以理解的是，NF服务consumer还可以在步骤1801之前确定当前间接通信模式为模式D。

示例性地，NF服务consumer确定触发SCP执行NF服务producer的发现流程可以参考上述实施例5的步骤1701中的相关描述。

此外，在NF服务consumer生成CCA1和CCA2之前，NF服务consumer需要首先判断本地是否存储可用的CCA1和CCA2。若存储可用的CCA1(例如，CCA1还在过期时间内)，则使用该CCA1。若未存储可用的CCA1(例如，CCA1已过期或未存储CCA1)，则NF服务consumer生成CCA1。若存储可用的CCA2(例如，CCA2未过期)，则使用该CCA2。若未存储可用的CCA2(例如，CCA2已过期或未存储CCA2)，则NF服务consumer生成CCA2。其中，若CCA1或CCA2过期，NF服务consumer删除过期的CCA。

其中，CCA1包括第一NF type，CCA2包括第二NF type，其中，第一NF type为期望提供第一服务的NF服务producer的NF type，第二NF type为期望提供NF服务producer的信息的NRF的NF type。

此外，CCA1还包括NF服务consumer的NF实例的标识，时间戳，CCA1的过期时间。CCA2还包括NF服务consumer的NF实例的标识，时间戳，CCA2的过期时间。

步骤1802：NF服务Consumer向SCP发送第一服务请求消息，第一服务请求消息包括步骤1801中CCA1和CCA2和用于发现NF服务producer的参数。第一服务请求消息用于请求第一服务。

步骤1803：SCP向NRF发送发现请求消息,发现请求消息包括CCA2和用于发现NF服务producer的参数。

在SCP向NRF发送发现请求消息之前，SCP确定第一服务请求消息未包括NF服务producer的信息且本地未存储NF服务producer的信息。

这里假设定第一服务请求消息还包括第一服务对应的access token，或者SCP本地存储第一服务对应的access token。

由于SCP需要向NRF发送发现请求消息，因此，SCP选择CCA2添加至发现请求消息中。

步骤1804：NRF接收发现请求消息，NRF根据CCA2认证NF服务consumer。

其中，NRF验证CCA2的签名，根据时间戳和/或CCA2的过期时间验证CCA2是否过期，验证CCA2中的NF服务consumer的NF实例ID与用于签名CCA2的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA2包括的第二NF type是否与NRF的NFtype匹配。由于第二NF type与NRF的NF type匹配，则NRF确定NF服务consumer认证成功。

步骤1805：NRF向SCP发送发现响应消息，发现响应消息包括NF服务producer的信息。

在NF服务consumer认证成功的情况下，NRF向SCP发送发现响应消息，发现响应消息包括NF服务producer的参数。

步骤1806：SCP向NF服务producer发送第二服务请求消息。第二服务请求消息包括第一服务对应的access token和CCA1。

其中，SCP向发现响应消息中NF服务producer的参数指示的NF服务producer发送第二服务请求消息。

由于SCP需要向NF服务producer发送第二服务请求消息，因此，SCP选择CCA1添加至第二服务请求消息中。

步骤1807：NF服务producer接收来自于SCP的第二服务请求消息。NF服务producer根据CCA1认证NF服务consumer。

NF服务producer对第一服务对应的access token执行完整性验证，若完整性验证成功，则进一步验证第一服务对应的access token中的claims，详见上述access token中的claims验证的相关内容。NF服务producer还需要根据CCA1认证NF服务consumer。

其中，NF服务producer验证CCA1的签名，根据时间戳和/或CCA1的过期时间验证CCA1是否过期，验证CCA1中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NF服务consumer还需要验证CCA1包括的第一NF type是否与NF服务producer的NF type匹配。由于第一NF type与NF服务producer的NF type匹配，则NF服务producer确定NF服务consumer认证成功。

步骤1808：NF服务producer确定第一acess token验证成功且NF服务consumer认证成功，则NF服务producer向SCP发送针对第二服务请求消息的响应消息。针对第二服务请求消息的响应消息用于指示提供第一服务或者指示所述第二服务请求成功。

可以理解的是，若第一access token验证失败和/或NF服务consumer认证失败，针对第二服务请求消息的响应消息指示第一服务请求失败。

步骤1809：SCP接收来自于NF服务producer的针对第二服务请求消息的响应消息，并向NF服务consumer发送针对第一服务请求消息的响应消息。

此外，若NF服务consumer确定不需要触发SCP执行NF服务producer的发现流程，则NF服务consumer可以判断是否存储可用的CCA1，若存储可用的CCA1，则使用该CCA1，若未存储可用的CCA1，则生成CCA1。可以理解的是，此时NF服务consumer不需要判断是否存储可用的CCA2，即使未存储可用的CCA2，也不需要生成CCA2，第一服务请求消息可以不包括CCA2。但是，若NF服务consumer在步骤1801之前确定当前间接通信模式为模式D，则第一服务请求消息需要携带CCA1和CCA2。

采用上述实施例CCA1包括第一NF type，CCA2包括第二NF type，进而可以保证NRF根据CCA1对NF服务consumer认证成功，NF服务producer根据CCA2对NF服务consumer认证成功，进而保障了NF服务consumer获取第一服务。

实施例7：结合图8和图10所示实施例，NF服务consumer获取指示信息，NF服务consumer根据指示信息向SCP发送服务请求消息，NF服务consumer可以采用但不限于以下实施例获取第一服务，如图19所示。

步骤1901：NF服务consumer获取CCA1。

可以理解的是，NF服务consumer还可以在步骤1901之前确定当前间接通信模式为模式D。

NF服务consumer确定请求第一服务，NF服务consumer获取CCA1。在NF服务consumer生成CCA1之前，NF服务consumer需要首先判断本地是否存储可用的CCA1。若存储可用的CCA1(例如，CCA1未过期)，则使用该CCA1。若未存储可用的CCA1(例如，CCA1已过期，或者，未存储CCA1)，则NF服务consumer生成CCA1。此外，若CCA1已过期，则NF服务consumer删除过期的CCA1。

其中，CCA1包括NF服务consumer的NF实例的标识，时间戳，CCA1的过期时间，第一NFtype，第一NF type为期望提供第一服务的NF服务producer的NF type。

步骤1902：NF服务consumer向SCP发送第一服务请求消息，第一服务请求消息包括步骤1901中CCA1。第一服务请求消息用于请求第一服务。

步骤1903：SCP向NRF发送第二服务请求消息，第二服务请求消息包括CCA1，第二服务请求消息用于请求第二服务。

步骤1904：NRF接收第二服务请求消息，NRF根据CCA1认证NF服务consumer失败。

其中，NRF验证CCA1的签名，根据时间戳和/或CCA1的过期时间验证CCA1是否过期，验证CCA1中的NF服务consumer的NF实例ID与用于签名CCA1的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA1包括的第一NF type是否与NRF的NFtype匹配，由于第一NF type与NRF的NF type不匹配，则NRF确定NF服务consumer认证失败。

步骤1905：NRF向SCP发送针对第二服务请求消息的响应消息。针对第二服务请求消息的响应消息包括CCA2。其中，CCA2包括NRF的NF实例的标识，时间戳和过期时间，NF服务consumer的NF type和NRF的NF type。

步骤1906：SCP向NF服务consumer发送针对所述第一服务请求消息的响应消息。针对所述第一服务请求消息的响应消息包括CCA2。

步骤1907：NF服务consumer向SCP发送第三服务请求消息，第三服务请求消息包括CCA3和CCA4，或者第三服务请求消息包括CCA5。

CCA3包括NF服务consumer的NF实例的标识，时间戳，CCA3的过期时间，第一NFtype。

CCA4包括NF服务consumer的NF实例的标识，时间戳，CCA4的过期时间，第二NFtype。

CCA5包括NF服务consumer的NF实例的标识，时间戳，CCA5的过期时间，第一NFtype，第二NF type。

其中，第一NF type为期望提供第一服务的NF服务producer的NF type，第二NFtype为期望提供第二服务的NF服务producer的NF type。

示例性地，NF服务consumer根据CCA2认证NRF，确定NRF认证成功，则根据CCA2中的NRF的NF type生成CCA3和CCA4，或者CCA5。

步骤1908：SCP向NRF发送第四服务请求消息，第四服务请求消息包括CCA4或CCA5，第四服务请求消息用于请求第二服务。

步骤1909：NRF接收第四服务请求消息，NRF根据第四服务请求消息中的CCA认证NF服务consumer。

示例性地，若第四服务请求消息包括CCA4，NRF根据CCA4对NF服务consumer认证成功。其中，NRF验证CCA4的签名，根据时间戳和/或CCA4的过期时间验证CCA4是否过期，验证CCA4中的NF服务consumer的NF实例ID与用于签名CCA4的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA4包括的第二NF type是否与NRF的NF type匹配，由于第二NF type与NRF的NF type匹配，则NRF确定NF服务consumer认证成功。

示例性地，若第四服务请求消息包括CCA5，NRF根据CCA5对NF服务consumer认证成功。其中，NRF验证CCA5的签名，根据时间戳和/或CCA5的过期时间验证CCA5是否过期，验证CCA5中的NF服务consumer的NF实例ID与用于签名CCA5的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA5包括的第一NFtype和第二NF type是否存在与NRF的NF type匹配的NF type，由于第二NF type与NRF的NF type匹配，则NRF确定NF服务consumer认证成功。

步骤1910：NRF向SCP发送针对第四服务请求消息的响应消息。

步骤1911：SCP向NF服务producer发送第五服务请求消息。第五服务请求消息包括CCA3和第一服务对应的access token，或者，第五服务请求消息包括CCA5和第一服务对应的access token。

步骤1912：NF服务producer接收来自于SCP的第五服务请求消息。NF服务producer根据第五服务请求消息中的CCA认证NF服务consumer。

NF服务producer对第一服务对应的access token执行完整性验证，若完整性验证成功，则进一步验证第一服务对应的access token中的claims，详见上述access token中的claims验证的相关内容。

若第五服务请求消息包括CCA3，NF服务producer还需要根据CCA3认证NF服务consumer。其中，NF服务producer验证CCA3的签名，根据时间戳和/或CCA3的过期时间验证CCA3是否过期，验证CCA3中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NF服务consumer还需要验证CCA3包括的第一NF type是否与NF服务producer的NF type匹配，由于第一NF type与NF服务producer的NF type匹配，则确定NF服务consumer认证成功。

若第五服务请求消息包括CCA5，NF服务producer还需要根据CCA5认证NF服务consumer。其中，NF服务producer验证CCA5的签名，根据时间戳和/或CCA5的过期时间验证CCA5是否过期，验证CCA5中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NF服务consumer还需要验证CCA5包括的第一NF type和第二NF type是否包括与NF服务producer的NF type匹配的NF type，由于第一NF type与NF服务producer的NF type匹配，则确定CCA5认证成功。

步骤1913：NF服务producer确定第一acess token且NF服务consumer认证成功，NF服务producer向SCP发送针对第五服务请求消息的响应消息。针对第五服务请求消息的响应消息用于提供指示第一服务或者指示所述第五服务请求成功。

可以理解的是，若第一access token验证失败和/或NF服务consumer认证失败，针对第五服务请求消息的响应消息指示第一服务请求失败。

步骤1914：SCP接收来自于NF服务producer的针对第五服务请求消息的响应消息，并向NF服务consumer发送针对第三服务请求消息的响应消息。

采用上述实施例SCP向NF服务consumer发送指示信息，NF服务consumer根据指示信息发送服务请求消息携带CCA3(第一NF type)和CCA4(第二NF type)，或者，CCA5(第一NFtype和第二NF type)，进而可以保障NF服务consumer获取第一服务。

实施例7：结合图12所示实施例，SCP主动请求客户认证凭证，发送客户认证凭证请求消息，NF服务consumer响应客户认证凭证请求消息，NF服务consumer可以采用但不限于以下实施例获取第一服务，如图20所示。

步骤2001至步骤2005可以参考上述实施例6中的步骤1901至步骤1905相关描述。

步骤2006：SCP向NF服务consumer发送CCA请求消息。CCA请求消息包括CCA2。

步骤2007：NF服务consumer向SCP发送针对CCA请求消息的响应消息，针对CCA请求消息的响应消息包括CCA3，或者针对CCA请求消息的响应消息包括CCA4。

CCA3包括NF服务consumer的NF实例的标识，时间戳，CCA3的过期时间，第二NFtype。

CCA4包括NF服务consumer的NF实例的标识，时间戳，CCA4的过期时间，第一NFtype，第二NF type。

其中，第一NF type为期望提供第一服务的NF服务producer的NF type，第二NFtype为期望提供第二服务的NF服务producer的NF type。

示例性地，NF服务consumer根据CCA2认证NRF，确定NRF认证成功，则根据CCA2中的NRF的NF type生成CCA3或CCA4。

步骤2008：SCP向NRF发送第三服务请求消息，第三服务请求消息包括CCA3或CCA4，第三服务请求消息用于请求第二服务。

步骤2009：NRF接收第三服务请求消息，NRF根据第三服务请求消息中的CCA认证NF服务consumer。

示例性地，若第三服务请求消息包括CCA3，NRF根据CCA3对NF服务consumer认证成功。其中，NRF验证CCA3的签名，根据时间戳和/或CCA3的过期时间验证CCA3是否过期，验证CCA3中的NF服务consumer的NF实例ID与用于签名CCA3的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA3包括的第二NF type是否与NRF的NF type匹配，由于第二NF type与NRF的NF type匹配，则NRF确定NF服务consumer认证成功。

示例性地，若第三服务请求消息包括CCA4，NRF根据CCA4对NF服务consumer认证成功。其中，NRF验证CCA4的签名，根据时间戳和/或CCA4的过期时间验证CCA4是否过期，验证CCA4中的NF服务consumer的NF实例ID与用于签名CCA4的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NRF还需要验证CCA4包括的第一NFtype和第二NF type是否存在与NRF的NF type匹配的NF type，由于第二NF type与NRF的NF type匹配，则NRF确定NF服务consumer认证成功。

步骤2010：NRF向SCP发送针对第三服务请求消息的响应消息。

步骤2011：SCP向NF服务producer发送第四服务请求消息。第四服务请求消息包括CCA3和第一服务对应的access token，或者，第四服务请求消息包括CCA4和第一服务对应的access token。

步骤2012：NF服务producer接收来自于SCP的第四服务请求消息。NF服务producer根据第四服务请求消息中的CCA认证NF服务consumer。

NF服务producer对第一服务对应的access token执行完整性验证，若完整性验证成功，则进一步验证第一服务对应的access token中的claims，详见上述access token中的claims验证的相关内容。

若第四服务请求消息包括CCA3，NF服务producer还需要根据CCA3认证NF服务consumer。其中，NF服务producer验证CCA3的签名，根据时间戳和/或CCA3的过期时间验证CCA3是否过期，验证CCA3中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NF服务consumer还需要验证CCA3包括的第一NF type是否与NF服务producer的NF type匹配，由于第一NF type与NF服务producer的NF type匹配，则确定NF服务consumer认证成功。

若第四服务请求消息包括CCA4，NF服务producer还需要根据CCA4认证NF服务consumer。其中，NF服务producer验证CCA4的签名，根据时间戳和/或CCA4的过期时间验证CCA4是否过期，验证CCA4中的NF服务consumer的NF实例ID与用于签名CCA的证书中的NF实例ID是否匹配。除上述验证内容均验证成功之外，NF服务consumer还需要验证CCA4包括的第一NF type和第二NF type是否包括与NF服务producer的NF type匹配的NF type，由于第一NF type与NF服务producer的NF type匹配，则确定CCA4认证成功。

步骤2013：NF服务producer确定第一acess token且NF服务consumer认证成功，NF服务producer向SCP发送针对第四服务请求消息的响应消息。针对第四服务请求消息的响应消息用于指示提供第一服务或者指示所述第四服务请求成功。

可以理解的是，若第一access token验证失败和/或NF服务consumer认证失败，针对第四服务请求消息的响应消息指示第一服务请求失败。

步骤2014：SCP接收来自于NF服务producer的针对第四服务请求消息的响应消息，并向NF服务consumer发送针对第一服务请求消息的响应消息。

采用上述实施例SCP向NF服务consumer发送客户认证凭证请求消息，客户认证凭证请求消息包括指示信息，NF服务consumer根据指示信息响应客户认证凭证请求消息。针对客户认证凭证请求消息的响应消息携带CCA3(第二NF type)或CCA4(第一NF type和第二NF type)进而可以保障NF服务consumer获取第一服务。

图21示出了本申请实施例中所涉及的一种装置的可能的示例性框图，该装置2100包括：收发模块2110和处理模块2120，收发模块2110可以包括接收单元和发送单元。处理模块2120用于对装置2100的动作进行控制管理。收发模块2110用于支持装置2100与其他网络实体的通信。可选地，装置2100还可以包括存储单元，所述存储单元用于存储装置2100的程序代码和数据。

可选地，所述装置2100中各个模块可以是通过软件来实现。

可选地，处理模块2120可以是处理器或控制器，例如可以是通用中央处理器(central processing unit，CPU)，通用处理器，数字信号处理(digital signalprocessing，DSP)，专用集成电路(application specific integrated circuits，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请实施例公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。收发模块2110可以是通信接口、收发器或收发电路等，其中，该通信接口是统称，在具体实现中，该通信接口可以包括多个接口，存储单元可以是存储器。

当装置2100为服务消费网元或服务消费网元中的芯片时，装置2100中的处理模块2120可以支持装置2100执行上文中各方法示例中服务消费网元的动作，例如可以支持装置2100执行，图14中的步骤1401，图15中的步骤1501，图16中的步骤1601，图17中的步骤1701，图18中的步骤1801，图19中的步骤1901，图20中的步骤2001。

收发模块2110可以支持装置2100与服务通信代理(例如SCP)之间的通信，例如，收发模块2110可以支持装置2100执行图8中的步骤801，步骤808，图9中的步骤901，步骤905，步骤906，图10中的步骤1001，步骤1008，图11中的步骤1101，步骤1108，图12中的步骤1201，步骤1205，步骤1206，步骤1213，图13中的步骤1302，步骤1309，图14中的步骤1402，步骤1409，图15中的步骤1502，步骤1509，图16中的步骤1602，步骤1606，图17中的步骤1702，步骤1709，图18中的步骤1802，步骤1809，图19中的步骤1902，步骤1906，步骤1907，步骤1914，图20中的步骤2002，步骤2006，步骤2007，步骤2014。

例如，可以如下：

在一种实现方式中，所述装置2100包括：

所述收发模块2110，向服务通信代理发送第一服务请求消息，服务消费网元从服务通信代理接收针对第一服务请求消息的响应消息。其中，第一服务请求消息用于向服务提供网元请求第一服务，第一服务请求消息包括第一客户认证凭证，第一客户认证凭证用于认证服务消费网元，第一客户认证凭证包括第一网络功能类型和第二网络功能类型，第一网络功能类型为服务提供网元的网络功能类型，第二网络功能类型为提供第二服务的网元的网络功能类型；其中，第二服务与第一服务关联。

在一种可能的实现方式中，所述第二服务用于提供所述第一服务对应的访问令牌，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限。

在一种可能的实现方式中，所述处理模块2120用于：所述服务消费网元确定不存在所述第一服务对应的可用的访问令牌。

在一种可能的实现方式中，所述处理模块2120用于：确定未存储所述第一服务对应的访问令牌；或，确定存储的所述第一服务对应的访问令牌已过期。

在一种可能的实现方式中，所述第二服务用于提供所述服务提供网元的信息。

在一种可能的实现方式中，所述处理模块2120用于：确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务。

在一种可能的实现方式中，所述处理模块2120用于：根据以下一项或多项，确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务：未存储第一终端设备的上下文，所述第一终端设备与所述第一服务关联；或者，未存储所述第一服务的上下文；或者，所述服务提供网元归属于第一切片且未存储所述第一切片对应的上下文；或者，所述服务消费网元首次与所述服务通信代理通信。

在一种可能的实现方式中，所述处理模块2120用于：确定使用模式D的间接通信模式请求所述第一服务。

在一种可能的实现方式中，所述收发模块2110用于：向所述服务通信代理发送第二服务请求消息，所述第二服务请求消息用于请求所述第一服务，所述第二服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括所述第一网络功能类型，所述第二客户认证凭证用于认证所述服务消费网元；从所述服务通信代理接收针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息；所述处理模块2120用于：根据所述指示信息，通过所述收发模块2110向所述服务通信代理发送所述第一服务请求消息。

应理解，根据本申请实施例的装置2100可对应于前述方法实施例中服务消费网元，比如，图8中的方法，并且装置2100中的各个模块的操作和/或功能分别为了实现前述方法实施例中服务消费网元的方法的相应步骤，因此也可以实现前述方法实施例中的有益效果，为了简洁，这里不作赘述。

当装置2100为第一网元或第一网元中的芯片时，装置2100中的处理模块2120可以支持装置2100执行上文中各方法示例中网络存储功能网元或服务提供网元的动作。

例如，当第一网元为网络存储功能网元时，可以支持装置2100执行，图8中的步骤803，图9中的步骤903，图10中的步骤1003，图11中的步骤1103，图12中的步骤1203，步骤1208，图13中的步骤1304，图14中的步骤1404，图15中的步骤1504，图17中的步骤1704，图18中的步骤1804，图19中的步骤1904，步骤1909，图20中的步骤2004，步骤2009。收发模块2110可以支持装置2100与服务通信代理(例如SCP)之间的通信，例如，收发模块2110可以支持装置2100执行图8中的步骤802，步骤804，步骤808，图9中的步骤902，步骤904，图10中的步骤1002，步骤1004，图11中的步骤1102，步骤1104，图12中的步骤1202，步骤1204，步骤1207，步骤1209，图13中的步骤1303，步骤1305，图14中的步骤1403，步骤1405，图15中的步骤1503，步骤1505，图17中的步骤1703，步骤1705，图18中的步骤1803，步骤1805，图19中的步骤1903，步骤1905，步骤1908，步骤1910，图20中的步骤2003，步骤2005，步骤2008，步骤2010。

例如，当第一网元为服务提供网元时，可以支持装置2100执行，图8中的步骤803，图10中的步骤1006，图11中的步骤1106，图12中的步骤1211，图13中的步骤1307，图14中的步骤1407，图15中的步骤1507，图16中的步骤1604，图17中的步骤1707，图18中的步骤1807，图19中的步骤1912，图20中的步骤2012。收发模块2110可以支持装置2100与服务通信代理(例如SCP)之间的通信，例如，收发模块2110可以支持装置2100执行图8中的步骤805，步骤807，步骤808，图10中的步骤1005，步骤1007，图11中的步骤1105，步骤1107，图12中的步骤1210，步骤1212，图13中的步骤1306，步骤1308，图14中的步骤1406，步骤1408，图15中的步骤1506，步骤1508，图16中的步骤1603，步骤1605，图17中的步骤1706，步骤1708，图18中的步骤1806，步骤1808，图19中的步骤1911，步骤1913，图20中的步骤2011，步骤2013。

例如，可以如下：

在一种实现方式中，所述装置2100包括：

收发模块2110用于：从服务通信代理接收第一服务请求消息，所述第一服务请求消息用于向所述第一网元请求第一服务，所述第一服务请求消息包括第一客户认证凭证，所述第一客户认证凭证用于认证服务消费网元，其中，所述第一客户认证凭证包括多个网络功能类型；

所述处理模块2120，用于根据所述第一客户认证凭证，认证所述服务消费网元；在根据所述第一客户认证凭证，认证所述服务消费网元时，判断自身的网络功能类型是否与所述多个网络功能类型中的一个或者多个相匹配；根据认证结果通过所述收发模块2110向所述服务通信代理发送针对所述第一服务请求消息的响应消息。

在一种可能的设计中，所述多个网络功能类型包括第一网络功能类型和第二网络功能类型，所述第一网络功能类型为所述第一网元的网络功能类型，所述第二网络功能类型为提供第二服务的网元的网络功能类型，所述第二服务与所述第一服务关联。

在一种可能的设计中，所述第二服务用于提供所述第一服务对应的访问令牌，其中，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限；或者，所述第二服务用于提供所述第一装置的信息。

在一种可能的设计中，所述第一服务用于提供所述第二服务对应的访问令牌，其中，所述第二服务对应的访问令牌用于表征所述服务消费网元具有获取所述第二服务的权限；或者，所述第一服务用于提供所述第二服务网元的信息。

在一种可能的设计中，所述收发模块2110用于接收来自于所述服务通信代理的第二服务请求消息，所述第二服务请求消息用于向所述第一网元请求所述第一服务，所述第二服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括第三网络功能类型；在所述第三网络功能类型与所述第一网元的网络功能类型不匹配的情况下，向所述服务通信代理发送针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息，其中，所述指示信息用于触发所述第一服务请求消息。

应理解，根据本申请实施例的装置2100可对应于前述方法实施例中第一网元(例如，网络存储功能网元或服务提供网元)的方法，比如，图8中的方法，并且装置2100中的各个模块的操作和/或功能分别为了实现前述方法实施例中网络存储功能网元的方法的相应步骤，或者，图8中的方法，并且装置2100中的各个模块的操作和/或功能分别为了实现前述方法实施例中服务提供网元的方法的相应步骤，因此也可以实现前述方法实施例中的有益效果，为了简洁，这里不作赘述。

当本申请实施例中的处理模块2120为处理器，收发模块2110为收发器时，本申请实施例所涉及的装置2100可以为图22所示的装置2200。

图22示出了根据本申请实施例的通信装置2200的示意性结构图。如图22所示，所述装置2200包括：处理器2201。

当装置2100为服务消费网元或服务消费网元中的芯片时，一种可能的实现方式中，当所述处理器2201用于调用接口执行以下动作：向服务通信代理发送第一服务请求消息，服务消费网元从服务通信代理接收针对第一服务请求消息的响应消息。其中，第一服务请求消息用于向服务提供网元请求第一服务，第一服务请求消息包括第一客户认证凭证，第一客户认证凭证用于认证服务消费网元，第一客户认证凭证包括第一网络功能类型和第二网络功能类型，第一网络功能类型为服务提供网元的网络功能类型，第二网络功能类型为提供第二服务的网元的网络功能类型；其中，第二服务与第一服务关联。

应理解，所述装置2200还可用于执行前文实施例中服务消费网元侧的其他步骤和/或操作，为了简洁，这里不作赘述。

当装置2100为第一网元或第一网元中的芯片时，一种可能的实现方式中，当所述处理器2201用于调用接口执行以下动作：从服务通信代理接收第一服务请求消息，所述第一服务请求消息用于向所述第一网元请求第一服务，所述第一服务请求消息包括第一客户认证凭证，所述第一客户认证凭证用于认证服务消费网元，其中，所述第一客户认证凭证包括多个网络功能类型；根据所述第一客户认证凭证，认证所述服务消费网元；在根据所述第一客户认证凭证，认证所述服务消费网元时，判断自身的网络功能类型是否与所述多个网络功能类型中的一个或者多个相匹配；根据认证结果向所述服务通信代理发送针对所述第一服务请求消息的响应消息。

应理解，所述装置2200还可用于执行前文实施例中第一网元侧的其他步骤和/或操作，为了简洁，这里不作赘述。

应理解，所述处理器2201可以调用接口执行上述收发动作，其中，调用的接口可以是逻辑接口或物理接口，对此不作限定。可选地，物理接口可以通过收发器实现。可选地，所述装置2200还包括收发器2203。

可选地，所述装置2200还包括存储器2202，存储器2202中可以存储上述方法实施例中的程序代码，以便于处理器2201调用。

具体地，若所述装置2200包括处理器2201、存储器2202和收发器2203，则处理器2201、存储器2202和收发器2203之间通过内部连接通路互相通信，传递控制和/或数据信号。在一个可能的设计中，处理器2201、存储器2202和收发器2203可以通过芯片实现，处理器2201、存储器2202和收发器2203可以是在同一个芯片中实现，也可能分别在不同的芯片实现，或者其中任意两个功能组合在一个芯片中实现。该存储器2202可以存储程序代码，处理器2201调用存储器2202存储的程序代码，以实现装置2200的相应功能。

上述本申请实施例揭示的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(fieldprogrammable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(centralprocessor unit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controllerunit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(directrambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，在本申请实施例中，编号“第一”、“第二”…仅仅为了区分不同的对象，比如为了区分不同的参数信息或者消息，并不对本申请实施例的范围构成限制，本申请实施例并不限于此。

还应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定。上述各个过程涉及的各种数字编号或序号仅为描述方便进行的区分，而不应对本申请实施例的实施过程构成任何限定。

还应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本申请中出现的类似于“项目包括如下中的一项或多项：A，B，以及C”表述的含义，如无特别说明，通常是指该项目可以为如下中任一个：A；B；C；A和B；A和C；B和C；A，B和C；A和A；A，A和A；A，A和B；A，A和C，A，B和B；A，C和C；B和B，B，B和B，B，B和C，C和C；C，C和C，以及其他A，B和C的组合。以上是以A，B和C共3个元素进行举例来说明该项目的可选用条目，当表达为“项目包括如下中至少一种：A，B，……，以及X”时，即表达中具有更多元素时，那么该项目可以适用的条目也可以按照前述规则获得。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器ROM、随机存取存储器RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (28)

1.一种通信方法，其特征在于，该方法包括：

服务消费网元向服务通信代理发送第一服务请求消息，所述第一服务请求消息用于向服务提供网元请求第一服务，所述第一服务请求消息包括第一客户认证凭证，所述第一客户认证凭证用于认证所述服务消费网元，所述第一客户认证凭证包括第一网络功能类型和第二网络功能类型，所述第一网络功能类型为所述服务提供网元的网络功能类型，所述第二网络功能类型为提供第二服务的网元的网络功能类型；其中，所述第二服务与所述第一服务关联；

所述服务消费网元从所述服务通信代理接收针对所述第一服务请求消息的响应消息。

2.如权利要求1所述的方法，其特征在于，所述第二服务用于提供所述第一服务对应的访问令牌，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限。

3.如权利要求1或者2所述的方法，其特征在于，还包括：

所述服务消费网元确定不存在所述第一服务对应的可用的访问令牌。

4.如权利要求3所述的方法，其特征在于，所述服务消费网元确定不存在所述第一服务对应的可用的访问令牌，包括：

所述服务消费网元确定未存储所述第一服务对应的访问令牌；或，

所述服务消费网元确定存储的所述第一服务对应的访问令牌已过期。

5.如权利要求4所述的方法，其特征在于，还包括：

在存储的所述第一服务对应的访问令牌已过期的情况下，所述服务消费网元删除所述已过期的访问令牌。

6.如权利要求1所述的方法，其特征在于，所述第二服务用于提供所述服务提供网元的信息。

7.如权利要求6所述的方法，其特征在于，还包括：

所述服务消费网元确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务。

8.如权利要求7所述的方法，其特征在于，所述服务消费网元确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务，包括：

所述服务消费网元根据以下一项或多项，确定所述第一服务请求消息会触发所述服务通信代理请求所述第二服务：

未存储第一终端设备的上下文，所述第一终端设备与所述第一服务关联；或者，未存储所述第一服务的上下文；或者，所述服务提供网元归属于第一切片且未存储所述第一切片对应的上下文；或者，所述服务消费网元首次与所述服务通信代理通信。

9.如权利要求1-8任一项所述的方法，其特征在于，还包括：

所述服务消费网元确定使用模式D的间接通信模式请求所述第一服务。

10.如权利要求1-9任一项所述的方法，其特征在于，还包括：

所述服务消费网元向所述服务通信代理发送第二服务请求消息，所述第二服务请求消息用于请求所述第一服务，所述第二服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括所述第一网络功能类型，所述第二客户认证凭证用于认证所述服务消费网元；

所述服务消费网元从所述服务通信代理接收针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息；

所述服务消费网元向所述服务通信代理发送第一服务请求消息，包括：

所述服务消费网元根据所述指示信息，向所述服务通信代理发送所述第一服务请求消息。

11.如权利要求10所述的方法，其特征在于，所述指示信息包括第三客户认证凭证，所述第三客户认证凭证包括所述第二网络功能类型；其中，所述第三客户认证凭证用于认证所述提供所述第二服务的网元；

所述服务消费网元根据所述指示信息，向所述服务通信代理发送所述第一服务请求消息，包括：

在根据所述第三客户认证凭证对所述提供所述第二服务的网元认证成功的情况下，所述服务消费网元向所述服务通信代理发送所述第一服务请求消息。

12.如权利要求1-11任一项所述的方法，其特征在于，所述提供所述第二服务的网元为网络存储功能网元。

13.如权利要求1-12任一项所述的方法，其特征在于，所述第一客户认证凭证还包括以下一项或者多项：所述服务消费网元的标识或者有效时间信息，其中，所述有效时间信息用于表征所述第一客户认证凭证的有效时间。

14.一种通信方法，其特征在于，该方法包括：

第一网元从服务通信代理接收第一服务请求消息，所述第一服务请求消息用于向所述第一网元请求第一服务，所述第一服务请求消息包括第一客户认证凭证，所述第一客户认证凭证用于认证服务消费网元，其中，所述第一客户认证凭证包括多个网络功能类型；

所述第一网元根据所述第一客户认证凭证，认证所述服务消费网元；

其中，所述第一网元根据所述第一客户认证凭证，认证所述服务消费网元，包括：所述第一网元判断自身的网络功能类型是否与所述多个网络功能类型中的一个或者多个相匹配；

所述第一网元根据认证结果向所述服务通信代理发送针对所述第一服务请求消息的响应消息。

15.如权利要求14所述的方法，其特征在于，所述第一网元根据认证结果向所述服务通信代理发送针对所述第一服务请求消息的响应消息，包括：

在所述认证结果为认证成功时，所述第一网元向所述服务通信代理发送针对所述第一服务请求消息的响应消息，所述针对所述第一服务请求消息的响应消息用于指示提供所述第一服务；

或者，在所述认证结果为认证失败时，所述第一网元向所述服务通信代理发送针对所述第一服务请求消息的响应消息，所述针对所述第一服务请求消息的响应消息指示请求所述第一服务失败。

16.如权利要求14或者15所述的方法，其特征在于，所述多个网络功能类型包括第一网络功能类型和第二网络功能类型，所述第一网络功能类型为所述第一网元的网络功能类型，所述第二网络功能类型为提供第二服务的网元的网络功能类型，所述第二服务与所述第一服务关联。

17.如权利要求16所述的方法，其特征在于，所述第二服务用于提供所述第一服务对应的访问令牌，其中，所述第一服务对应的访问令牌用于表征所述服务消费网元具有获取所述第一服务的权限；

或者，所述第二服务用于提供所述第一网元的信息。

18.如权利要求16或者17项所述的方法，其特征在于，所述提供所述第二服务的网元为网络存储功能网元。

19.如权利要求14或者15所述的方法，其特征在于，所述第一服务用于提供所述第二服务对应的访问令牌，其中，所述第二服务对应的访问令牌用于表征所述服务消费网元具有获取所述第二服务的权限；

或者，所述第一服务用于提供所述第二服务网元的信息。

20.如权利要求19所述的方法，其特征在于，所述第一网元为网络存储功能网元。

21.如权利要求14-20任一项所述的方法，其特征在于，还包括：

所述第一网元接收来自于所述服务通信代理的第二服务请求消息，所述第二服务请求消息用于向所述第一网元请求所述第一服务，所述第二服务请求消息包括第二客户认证凭证，所述第二客户认证凭证包括第三网络功能类型；

在所述第三网络功能类型与所述第一网元的网络功能类型不匹配的情况下，所述第一网元向所述服务通信代理发送针对所述第二服务请求消息的响应消息，所述针对所述第二服务请求消息的响应消息包括指示信息，其中，所述指示信息用于触发所述第一服务请求消息。

22.如权利要求21所述的方法，其特征在于，所述指示信息包括用于认证所述第一网元的第三客户认证凭证，所述第三客户认证凭证包括所述第一网元的网络功能类型。

23.如权利要求15-22任一项所述的方法，其特征在于，所述第一客户认证凭证还包括所述服务消费网元的标识和所述第一客户认证凭证的有效时间信息；所述第一客户认证凭证的有效时间信息用于表征所述第一客户认证凭证的有效时间；

所述第一网元根据所述第一客户认证凭证，认证所述服务消费网元，还包括以下一项或者多项：

所述第一网元验证所述第一客户认证凭证的签名是否通过、根据所述第一客户认证凭证包括的有效时间信息验证所述第一客户认证凭证是否过期或者验证所述第一客户认证凭证中的所述服务消费网元的标识与用于签名所述第一客户认证凭证的证书中的网元的标识是否相同。

24.一种通信装置，其特征在于，包括用于执行如权利要求1至13中的任一项所述方法的模块。

25.一种通信装置，其特征在于，包括用于执行如权利要求14至23中的任一项所述方法的模块。

26.一种通信装置，其特征在于，所述通信装置包括处理器和存储器；所述存储器用于存储计算机执行指令，当所述装置运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述通信装置执行如权利要求1-13中任意一项所述的方法。

27.一种通信装置，其特征在于，所述通信装置包括处理器和存储器；所述存储器用于存储计算机执行指令，当所述装置运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述通信装置执行如权利要求14-23中任意一项所述的方法。

28.一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序或指令，当所述计算机程序或指令被通信装置执行时，实现如权利要求1至23中任一项所述的方法。

Images