CN116888922A

CN116888922A - 服务授权方法、系统及通信装置

Info

Publication number: CN116888922A
Application number: CN202180094179.XA
Authority: CN
Inventors: 吴义壮; 李�赫; 吴�荣
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2021-02-21
Filing date: 2021-02-21
Publication date: 2023-10-13
Also published as: EP4287557A1; US20230396602A1; WO2022174433A1; EP4287557A4

Abstract

本申请实施例公开了服务授权方法、系统及通信装置，其中，该方法包括：第一网元从令牌生成网元获取第一访问令牌，并向第二网元发送针对指定服务的第一服务请求，第一服务请求包括该第一访问令牌。其中，第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，第一访问令牌包括NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息。通过在第一访问令牌中携带第一服务域信息，可以实现基于服务域的访问控制，从而有利于提高服务授权的安全性。

Description

服务授权方法、系统及通信装置

技术领域

本申请涉及通信技术领域，尤其涉及一种服务授权方法、系统及通信装置。

背景技术

在第五代(5 ^th-generation，5G)服务化架构下，为了使能5G系统提供更高的灵活性和更好的模块化，以及更好地支持网络功能服务的自动化和高可靠性，提出了增强的5G服务化架构。在增强的5G服务化架构中，引入服务通信代理(service communication proxy，SCP)网元，SCP网元用于完成服务化接口信令的路由和转发。

在引入SCP网元的服务化架构中，如何提高服务授权的安全性是亟待解决的技术问题。

发明内容

本申请提供一种服务授权方法、系统及通信装置，可以提高服务授权的安全性。

第一方面，本申请实施例提供一种服务授权方法，该方法包括：第一网元从令牌生成网元获取第一访问令牌；其中，第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，第一访问令牌包括该NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息；第一网元向第二网元发送针对指定服务的第一服务请求，该第一服务请求包括第一访问令牌。

在该技术方案中，通过在第一访问令牌中携带第一服务域信息，使得NF服务提供网元根据第一服务域信息可以确定NF服务消费网元是否具有访问该NF服务提供网元提供的服务的权限，进而可以实现基于服务域的访问控制，从而有利于提高服务授权的安全性。

在一种实现方式中，第一服务域信息用于指示NF服务消费网元所属的服务域，或者，用于指示NF服务消费网元允许接入的NF服务提供网元所属的服务域。

在一种实现方式中，该方法应用于间接通信场景；第一网元向第二网元发送针对指定服务的第一服务请求的具体实施方式可以为：第一网元通过第一服务通信代理SCP网元向第二网元发送针对指定服务的第一服务请求。

在一种实现方式中，第一网元从令牌生成网元获取第一访问令牌的具体实施方式可以为：第一网元通过第一SCP网元向令牌生成网元发送令牌获取请求，令牌获取请求包括NF服务消费网元的标识和指定服务的标识；第一网元通过第一SCP网元接收来自令牌生成网元的令牌获取响应，令牌获取响应包括第一访问令牌。

在一种实现方式中，第一网元从令牌生成网元获取第一访问令牌的具体实施方式可以为：所述第一网元向令牌生成网元发送令牌获取请求；令牌获取请求包括NF服务消费网元的标识和指定服务的标识；第一网元接收来自令牌生成网元的令牌获取响应，令牌获取响应包括第一访问令牌。

在一种实现方式中，令牌获取响应还包括第二访问令牌；其中，第二访问令牌用于指示NF服务消费网元具有访问第一SCP网元的权限。

在该技术方案中，增加了第一SCP网元对NF服务消费网元的授权检查，从而有利于提高服务授权的安全性。

在一种实现方式中，第一网元通过第一SCP网元向第二网元发送针对指定服务的第一服务请求的具体实施方式可以为：第一网元向第一SCP网元发送针对指定服务的第二服务请求，第二服务请求包括第一访问令牌和第二访问令牌；第二访问令牌用于第一SCP网元确定NF服务消费网元具有访问第一SCP网元的权限，并响应于第二服务请求，向第二网元发送针对指定服务的第一服务请求。

在一种实现方式中，第一服务请求还包括第三访问令牌；该第三访问令牌用于指示第一SCP网元具有通信代理的权限。

在该技术方案中，增加了对第一SCP网元的授权检查，从而有利于提高服务授权的安全性。

在一种实现方式中，令牌获取请求包括指示信息，该指示信息用于指示NF服务消费网元请求获取含有第一服务域信息的令牌。

在一种实现方式中，第一网元为NF服务消费网元或第二SCP网元，第二网元为NF服务消费网元。

在一种实现方式中，令牌生成网元为网络功能仓储功能NRF网元。

在一种实现方式中，第一访问令牌还包括NF服务提供网元的标识或NF服务提供网元的类型。

在一种实现方式中，前述第一访问令牌还包括以下一个或者多个：NF服务提供网元的NF类型，到期时间，NF服务提供网元实例的单网络切片选择辅助信息S-NSSAI列表或网络切片实例标识NSI ID列表或者该NF服务提供网元所属的NF集合的标识。

第二方面，本申请实施例提供另一种服务授权方法，该方法包括：第二网元接收第一服务请求，第一服务请求包括第一访问令牌，第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，第一访问令牌包括NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息；所述第二网元发送第一服务响应，第一服务响应用于响应该第一服务请求。

在一种实现方式中，第二网元为NF服务提供网元；该方法还包括：第二网元根据第一访问令牌，确定NF服务消费网元具有访问该NF服务提供网元提供的服务的权限。

在一种实现方式中，第一服务域信息用于指示NF服务消费网元所属的服务域；第二网元根据第一访问令牌，确定NF服务消费网元具有访问该NF服务提供网元提供的服务的权限的具体实施方式可以为：第二网元根据NF服务消费网元所属的服务域和本地配置的服务域信息，确定NF服务消费网元具有访问该NF服务提供网元提供的服务的权限。

在一种实现方式中，第一服务域信息用于指示NF服务消费网元允许接入的NF服务提供网元所属的服务域；第二网元根据第一访问令牌，确定NF服务消费网元具有访问该NF服务提供网元提供的服务的权限的具体实施方式可以为：第二网元根据NF服务提供网元所属的服务域和NF服务消费网元允许接入的NF服务提供网元所属的服务域的，确定该 NF服务消费网元具有访问该NF服务提供网元提供的服务的权限。

在一种实现方式中，所述方法应用于间接通信场景；第一服务请求来自第一SCP网元，第一服务请求还包括第三访问令牌，第三访问令牌用于指示第一SCP网元具有通信代理的权限；所述方法还包括：所述第二网元根据第三访问令牌，确定第一SCP网元具有向第二网元发送第一服务请求的权限。

在一种实现方式中，第二网元为NF服务消费网元。

在一种实现方式中，第一访问令牌还包括以下一个或者多个：NF服务提供网元的NF类型，到期时间，NF服务提供网元实例的单网络切片选择辅助信息S-NSSAI列表或网络切片实例标识NSI ID列表或者NF服务提供网元所属的NF集合的标识。

第三方面，本申请实施例提供又一种服务授权方法，该方法包括：令牌生成网元接收令牌获取请求，并响应于该令牌获取请求，生成第一访问令牌；令牌获取请求包括网络功能NF服务消费网元的标识和指定服务的标识；第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，第一访问令牌包括NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息；令牌生成网元发送令牌获取响应，令牌获取响应包括该第一访问令牌。

在一种实现方式中，令牌获取请求包括指示信息；指示信息用于指示NF服务消费网元请求获取含有第一服务域信息的令牌；令牌生成网元生成第一访问令牌的具体实施方式可以为：令牌生成网元根据该指示信息，生成第一访问令牌。

在一种实现方式中，令牌生成网元生成第一访问令牌的具体实施方式可以为：在令牌生成网元的本地策略支持生成含有第一服务域信息的令牌的情况下，令牌生成网元生成第一访问令牌。

在一种实现方式中，令牌生成网元生成第一访问令牌的具体实施方式可以为：令牌生成网元根据NF服务消费网元的NF类型、NF服务提供网元的NF类型、NF服务消费网元的配置信息或NF服务提供网元的配置信息中的一种或多种，生成第一访问令牌。

在一种实现方式中，令牌获取请求来自NF服务消费网元；令牌生成网元发送令牌获取响应的具体实施方式可以为：令牌生成网元向该NF服务消费网元发送令牌获取响应。

在该技术方案中，NF服务消费网元可直接向令牌生成网元请求获取第一访问令牌。

在一种实现方式中，令牌获取请求来自第一SCP网元；令牌生成网元发送令牌获取响应的具体实施方式可以为：令牌生成网元向该第一SCP网元发送令牌获取响应。

在该技术方案中，NF服务消费网元可通过第一SCP网元向令牌生成网元请求获取第一访问令牌。

在一种实现方式中，令牌生成网元生成第一访问令牌之前，该方法还可包括：令牌生成网元确定以下一个或多个条件成立：NF服务消费网元与第一SCP网元归属于同一服务域，第一SCP网元服务的服务域包括NF服务消费网元所属的服务域，第一SCP网元服务的NF集包括NF服务消费网元所属的NF集，第一SCP网元服务的切片包括NF服务消费网元所属的切片。

在一种实现方式中，该方法还包括：令牌生成网元生成第三访问令牌，第三访问令牌用于指示第一SCP网元具有通信代理的权限；令牌生成网元向第一SCP网元发送第三访问令牌。

在该技术方案中，通过第三访问令牌可以实现对第一SCP网元的授权检查，从而有利于提高服务授权的安全性。

在一种实现方式中，该方法还包括：令牌生成网元生成第二访问令牌，第二访问令牌用于指示NF服务消费网元具有访问第一SCP网元的权限。

在该技术方案中，通过第二访问令牌可以实现第一SCP网元对NF服务消费网元的授权检查，从而有利于提高服务授权的安全性。

在一种实现方式中，令牌获取响应还包括该第二访问令牌。

第四方面，本申请实施例提供了一种通信装置，该通信装置具有实现上述第一方面所述的方法示例中第一网元的部分或全部功能，比如通信装置的功能可具备本申请中的部分或全部实施例中的功能，也可以具备单独实施本申请中的任一个实施例的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种实现方式中，该通信装置的结构中可包括收发模块和处理模块。该处理模块被配置为支持通信装置执行上述方法中相应的功能。收发模块用于支持通信装置与其他设备之间的通信。该通信装置还可以包括存储模块，该存储模块用于与处理模块和收发模块耦合，其保存通信装置必要的计算机程序和数据。

在一种实现方式中，该通信装置包括：处理模块，用于通过收发模块从令牌生成网元获取第一访问令牌；其中，第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，该第一访问令牌包括NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息；收发模块，用于向第二网元发送针对该指定服务的第一服务请求，该第一服务请求包括该第一访问令牌。

作为示例，处理模块可以为处理器，收发模块可以为收发器，存储模块可以为存储器。

在一种实现方式中，所述通信装置包括：处理器，用于通过收发器从令牌生成网元获取第一访问令牌；其中，第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，该第一访问令牌包括NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息；收发器，还用于向第二网元发送针对该指定服务的第一服务请求，该第一服务请求包括该第一访问令牌。

第五方面，本申请实施例提供了另一种通信装置，该通信装置具有实现上述第二方面所述的方法示例中第二网元的部分或全部功能，比如通信装置的功能可具备本申请中的部分或全部实施例中的功能，也可以具备单独实施本申请中的任一个实施例的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种实现方式中，该通信装置的结构中可包括处理模块和收发模块。该处理模块被配置为支持通信装置执行上述方法中相应的功能。收发模块用于支持通信装置与其他设备之间的通信。该通信装置还可以包括存储模块，该存储模块用于与处理模块和收发模块耦合，其保存通信装置必要的计算机程序和数据。

在一种实现方式中，该通信装置包括：收发模块，用于接收第一服务请求，并发送第一服务响应；该第一服务响应用于响应该第一服务请求，第一服务请求包括第一访问令牌，该第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，该第一访问令牌包括该NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息。

在一种实现方式中，所述通信装置包括：收发器，用于接收第一服务请求，并发送第一服务响应；该第一服务响应用于响应该第一服务请求，第一服务请求包括第一访问令牌，该第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，该第一访问令牌包括该NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息。

第六方面，本申请实施例提供了又一种通信装置，该通信装置具有实现上述第三方面所述的方法示例中令牌生成网元的部分或全部功能，比如通信装置的功能可具备本申请中的部分或全部实施例中的功能，也可以具备单独实施本申请中的任一个实施例的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种实现方式中，该通信装置包括：收发模块，用于接收令牌获取请求，该令牌获取请求包括NF服务消费网元的标识和指定服务的标识；处理模块，用于响应于该令牌获取请求，生成第一访问令牌，第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，第一访问令牌包括该NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息；收发模块，还用于发送令牌获取响应，令牌获取响应包括第一访问令牌。

在一种实现方式中，所述通信装置包括：收发器，用于接收令牌获取请求，该令牌获取请求包括NF服务消费网元的标识和指定服务的标识；处理器，用于响应于该令牌获取请求，生成第一访问令牌，第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，第一访问令牌包括该NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息；收发器，还用于发送令牌获取响应，令牌获取响应包括第一访问令牌。

第七方面，本申请实施例提供一种服务授权系统，该系统包括如第四方面至第六方面中的一个或多个通信装置。

第八方面，本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被通信装置执行时使该通信装置执行上述第一方面的方法。

第九方面，本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被通信装置执行时使该通信装置执行上述第二方面的方法。

第十方面，本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被通信装置执行时使该通信装置执行上述第三方面的方法。

第十一方面，本申请还提供了一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

第十二方面，本申请还提供了一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法。

第十三方面，本申请还提供了一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第三方面所述的方法。

附图说明

图1a为5G服务化架构的示意图；

图1b为增强的5G服务化架构的示意图；

图2a为直接通信场景下的一种示意图；

图2b为直接通信场景下的另一种示意图；

图3a为间接通信场景下的一种示意图；

图3b为间接通信场景下的另一种示意图；

图4a为基于类型1的访问令牌的服务授权流程的示意图；

图4b为基于类型2或类型3的访问令牌的服务授权流程的示意图；

图5a为间接通信场景下的一种服务授权流程的示意图；

图5b为间接通信场景下的另一种服务授权流程的示意图；

图5c为间接通信场景下的又一种服务授权流程的示意图；

图6为应用本申请实施例的系统架构示意图；

图7为本申请实施例提供的一种服务授权方法的流程示意图；

图8为本申请实施例提供的另一种服务授权方法的流程示意图；

图9为本申请实施例提供的又一种服务授权方法的流程示意图；

图10为本申请实施例提供的又一种服务授权方法的流程示意图；

图11为本申请实施例提供的一种通信装置的结构示意图；

图12为本申请实施例提供的另一种通信装置的结构示意图。

具体实施方式

为了更好地理解本申请实施例提供的技术方案，首先对本申请实施例涉及的技术术语进行介绍。

(1)5G服务化架构和增强的5G服务化架构

可参见图1a所示的5G服务化架构，该架构可包括接入网和核心网，可选的，还可以包括用户设备(user equipment，UE)。

其中，UE是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持、穿戴或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。UE可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端、车载终端设备、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、可穿戴终端设备等等。UE有时也可以称为终端、终端设备、接入终端设备、车载终端、工业控制终端、UE单元、UE站、移动站、移动台、远方站、远程终端设备、移动设备、UE代理或UE装置等。UE也可以是固定的或者移动的。

其中，接入网用于实现接入有关的功能，可以为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等确定不同质量的传输隧道以传输用户数据。接入网在终端设备与核心网之间转发控制信号和用户数据。

接入网可以包括接入网络设备，接入网络设备可以是为终端设备提供接入的设备，可以包括无线接入网(radio access network，RAN)设备和AN设备。(R)AN设备，主要负责空口侧的无线资源管理、服务质量(quality of service，QoS)管理、数据压缩和加密等功能。RAN设备可以包括各种形式的基站，例如宏基站，微基站(也可称为小站)，中继站，接入点，气球站等。在采用不同的无线接入技术的系统中，具备基站功能的设备的名称可能会有所不同，例如，在5G系统中，称为RAN或者下一代基站(next-generation Node basestation，gNB)；在长期演进(long term evolution，LTE)系统中，称为演进的节点B(evolved NodeB，eNB或eNodeB)。

其中，核心网负责维护移动网络的签约数据，为UE提供会话管理、移动性管理、策略管理以及安全认证等功能。核心网可以包括如下网元：用户面功能(user plane function，UPF)、认证服务功能(authentication server function，AUSF)、接入和移动性管理功能(access and mobility management function，AMF)、会话管理功能(session management function，SMF)、网络切片选择功能(network slice selection function，NSSF)、网络开放功能(network exposure function，NEF)、网络功能仓储功能(NF repository function，NRF)、策略控制功能(policy control function，PCF)、统一数据管理(unified data management，UDM)和应用功能(application function，AF)。

AMF网元，主要负责移动网络中的移动性管理，例如用户位置更新、用户注册网络、用户切换等。SMF网元，主要负责移动网络中的会话管理，例如会话建立、修改、释放。具体功能例如为用户分配互联网协议(internet protocol，IP)地址，选择提供报文转发功能的UPF等。UPF网元，主要负责用户数据的转发和接收，可以从数据网络接收用户数据，通过接入网络设备传输给UE；还可以通过接入网络设备从UE接收用户数据，转发至数据网络。PCF网元，主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略，例如服务质量(quality of service，QoS)策略、切片选择策略等。AUSF网元，用于执行UE的安全认证。NSSF网元，用于为UE选择网络切片。NEF网元，主要用于支持能力和事件的开放。UDM网元，用于存储用户数据，例如签约数据、鉴权/授权数据等。AF网元，主要支持与3GPP核心网交互来提供服务，例如影响数据路由决策，策略控制功能或者向网络侧提供第三方的一些服务。

NRF网元，主要提供服务注册、发现和授权，并维护可用的网络功能(network function，NF)实例信息，可以实现网络功能和服务的按需配置以及NF之间的互连。其中，服务注册是指，NF网元需要在NRF网元进行注册登记后才能提供服务。服务发现是指，NF网元需要其他NF网元为其提供服务时，需先通过NRF网元执行服务发现，以发现所期望的为其提供服务的NF网元。例如，NF网元1需要NF网元2为其提供服务时，需先通过NRF网元进行服务发现，以发现NF网元2。

其中，数据网络(data network，DN)用于为用户提供业务服务，可以是私有网络，例如局域网；也可以是不受运营商管控的外部网络，例如互联网(Internet)；还可以是运营商共同部署的专有网络，例如提供IP多媒体子系统(IP multimedia subsystem，IMS)的网络。UE可通过建立的协议数据单元(protocol data unit，PDU)会话，来访问DN。

在图1a所示的架构中，虚线方框中的网元是服务化的NF网元，NF网元之间的接口为服务化接口，交互的消息为服务化的消息。

可参见图1b所示的增强的5G服务化架构，该架构在图1a的基础上增加SCP网元，SCP网元用于完成服务化接口信令的路由和转发。也可以理解为：SCP网元可为服务化接口信令的发送方提供路由和转发服务，服务化接口信令的发送方例如可为某NF网元。NF网元上可配置对应的SCP网元的信息，该SCP网元可为该NF网元提供转发消息的服务。在该NF网元需要使用SCP网元进行通信的情况下，该NF网元可向配置的SCP网元发送消息。图1b中SCP网元的数量用于举例，并不构成限定。

在增强的5G服务化架构中，引入SCP域(domain)。SCP域用于定义一个组，该组可以包括一个或多个SCP网元，还可以包括0个或多个NF实例。组内的SCP网元可以与组内的SCP网元直接交互，组内的SCP网元可以与组内的NF网元直接交互，无需经过中间的SCP网元。SCP域中的SCP网元可以是切片独享的(一个SCP网元可以仅属于一个网络切片)，即SCP网元服务的NF实例属于同一个网络切片。SCP域中的SCP网元也可以是切片共享的(一个SCP网元可以属于多个网络切片)，即一个SCP网元服务的NF实例可以包含不同网络切片的NF实例。

对于使用SCP网元通信的NF网元而言，该NF网元的配置信息(profile)中可以包括该NF网元所属的SCP域的信息。对于SCP网元而言，SCP网元的配置信息中可以包括该SCP网元所属的SCP域的信息，一个SCP网元可以属于多个SCP域。

(2)直接通信场景

在图1a中，虚线方框中的NF网元之间直接进行消息的交互，或NF服务之间直接进行消息的交互，这种交互方式即为直接通信。参与直接通信的双方中，请求服务的一方可以称为消费端(consumer)、消费网元、服务消费网元、消费者、用户、请求端或请求者等，提供服务的一方可以称为提供端(producer)、提供网元、服务提供网元、提供者、生产者或响应者等。

直接通信场景可以包括两种模式，一种模式无需NRF网元参与，可参见图2a所示；另一种模式基于NRF网元，可参见图2b所示。

图2a中，消费网元上配置有提供网元的信息，当消费网元需要通信时，根据本地的配置选择提供网元，并向选择的提供网元发送服务请求消息。

图2b中，消费网元通过查询NRF网元执行提供网元发现，以发现可用的提供网元的信息，并基于发现的结果选择提供网元，并向选择的提供网元发送服务请求消息。

(3)间接通信场景

在增强的5G服务化架构中，引入间接通信场景，即NF网元(或NF服务)之间通过一个或多个SCP网元进行消息的交互。间接通信场景也可以称为非直接通信场景。

间接通信场景可以包括两种模式，一种模式无需代理发现，即消费网元直接与NRF网元进行通信，以执行服务发现流程来选择对应的服务提供网元，所述服务发现流程无需SCP网元参与。该模式可以称为模式C，可参见图3a所示；另一种模式基于代理发现，即消费网元不直接与NRF网元进行通信，由SCP网元代理消费网元与NRF网元进行通信，以执行服务发现流程来选择对应的服务提供网元。该模式可以称为模式D，可参见图3b所示。

在图3a中，消费网元通过查询NRF网元发现可用的提供网元信息(即消费网元请求NRF网元执行关于“提供网元”的发现流程)，基于发现的结果，消费网元选择提供网元，并通过SCP网元向选择的提供网元请求服务。具体的，1)消费网元通过向NRF网元发送发现(discovery)指令，从NRF网元获取发现结果，发现结果包括一个或多个可用提供网元的NF配置信息(NF profiles)；2)消费网元根据可用提供网元的NF配置信息，选择NF集合(set)作为提供网元的一个集合，或选择一个特定NF set中的一个特定的NF实例作为提供网元；3)消费网元向SCP网元发送第一服务请求消息，该第一服务请求消息包括选择的提供网元的信息，该信息可用于指示一个NF set或者一个特定的NF实例；4)SCP网元接收到来自消费网元的第一服务请求消息，若选择的提供网元的信息指向NF set，那么SCP网元从该NF set中选择一个NF实例作为提供网元，并向该提供网元发送第二服务请求消息；若选择的提供网元的信息指向特定的NF实例，那么SCP网元向该NF实例发送第二服务请求消息；5)提供网元接收到第二服务请求消息，向SCP网元发送第二服务响应消息，SCP网元向消费网元发送第一服务响应消息。

可选的，SCP网元可以与NRF网元交互，以获取用于选择提供网元的参数(例如位置或容量)，SCP网元根据获取的参数，选择提供网元，将第二服务请求消息路由至选择的提供网元。

需要说明的是，图3a和图3b中，参与间接通信的SCP网元的数量仅用于举例，并不构成限定。还需要说明的是，在间接通信场景下，消费网元发送的服务请求消息(如图3a或图3b中的第一服务请求消息)可以非透传的方式传输至提供网元，提供网元发送的服务响应消息(如图3a或图3b中的第二服务响应消息)可以非透传的方式传输至消费网元。换言之，SCP网元可对接收到服务请求消息(如图3a或图3b中的第一服务请求消息)进行修改，如修改该服务请求消息的消息头和/或消息体，然后将更改后的服务请求消息(如图3a或图3b中的第二服务请求消息)路由至提供网元。

在图3b中，消费网元不查询NRF网元执行提供网元的发现和选择，而是直接向SCP网元发送第一服务请求消息。具体的，1)消费网元直接向SCP网元发送第一服务请求消息，该第一服务请求消息包括用于发现提供网元和选择提供网元的参数；2)SCP网元根据该参数，查询NRF网元以获得发现结果，并根据发现结果选择提供网元；3)SCP网元向选择的提供网元发送第二服务请求消息；4)提供网元接收到第二服务请求消息，向SCP网元发送第二服务响应消息，SCP网元向消费网元发送第一服务响应消息。

(4)服务授权

在服务化的架构中，NF网元向NRF网元请求NF网元发现，NF网元向NRF网元请求注册或者NF网元向NRF网元请求生成令牌(token)这三种情况下，NRF网元需要对该NF网元执行授权检查，检查该NF网元是否具有获取所请求的服务的权限，例如，NF网元向NRF网元请求生成某类型的令牌，NRF网元检查该NF网元是否具有获取该类型的令牌的权限。NF服务消费网元向NF服务提供网元请求服务时，NF服务提供网元需对NF服务消费网元进行授权检查，即检查NF服务消费网元是否具有获取请求的服务的权限。通过NRF网元执行的授权检查和NF服务提供网元执行的授权检查，可以保证NF服务消费网元获取的服务为授权的服务，防止越权或非法使用服务。在本申请中，将请求服务的一方称为NF服务消费网元，将提供服务的一方称为NF服务提供网元。例如，NF服务消费网元为AMF网元，NF服务提供网元为SMF网元，AMF网元向SMF网元请求获取协议数据单元(protocol data unit，PDU)会话服务。再例如，NF服务消费网元为SMF网元，NF服务提供网元为PCF网元，SMF网元向PCF网元请求会话管理(session management，SM)策略控制服务。

在一种可能的实现方式中，NF服务提供网元对NF服务消费网元请求的服务进行授权检查时，或，NRF网元对NF服务消费网元进行授权检查时，采用静态授权的方式。静态授权的方式是指：NRF网元或NF服务提供网元基于本地授权策略对NF服务消费网元进行授权。

在另一种可能的实现方式中，NF服务提供网元对NF服务消费网元请求的服务进行授权检查时，采用基于oAuth2.0的授权方式。基于oAuth2.0的授权方式是指：NF服务消费网元获取访问令牌(access token)，在服务请求中携带access token，NF服务提供网元根据access token对服务请求执行授权检查。

(5)访问令牌

根据访问令牌用于接入的服务的粒度，访问令牌可分为3种类型。类型1的访问令牌为基于NF类型粒度的访问令牌，类型2的访问令牌为基于NF服务提供网元实例粒度的访问令牌，类型3的访问令牌为基于NF服务提供网元服务实例粒度的访问令牌。其中，类型1的访问令牌，用于接入特定NF类型的NF服务提供网元的服务。类型2的访问令牌，用于接入特定NF服务提供网元实例的服务。类型3的访问令牌，用于接入特定NF服务提供网元服务实例的服务。访问令牌包含要求(claims)。

(5.1)基于类型1的访问令牌的服务授权流程：

示例性的，关于基于类型1的访问令牌的服务授权流程可参见图4a，该流程可以包括步骤401a至步骤406a，其中，步骤401a至步骤403a，可理解为NF服务消费网元从NRF网元获取访问令牌的过程。步骤404a至步骤406a，可理解为NF服务消费网元使用访问令牌，请求接入NF服务提供网元的服务的过程，NF服务提供网元基于访问令牌进行服务授权检查。

步骤401a，NF服务消费网元向NRF网元发送访问令牌获取请求。相应的，NRF网元接收来自NF服务消费网元的访问令牌获取请求。

访问令牌获取请求用于请求获取访问令牌，在图4a所示的流程中，访问令牌用于接入特定NF类型的NF服务提供网元的服务，例如用于接入SMF网元提供的会话服务等。

该访问令牌获取请求可以包括如下一个或者多个参数：NF服务消费网元的NF实例标识(identifier，ID)、期望的服务名称、NF服务消费网元的NF类型，以及请求的NF服务提供网元的NF类型。NF服务消费网元的NF实例ID用于标识NF服务消费网元实例。期望的服务名称，即excepted NF service name(s)，用于标识NF服务消费网元期望接入的服务，例如会话服务。其中，(s)表示访问令牌获取请求可以包括多个期望的服务名称。请求的NF服务提供网元的NF类型是指NF服务消费网元期望属于该NF类型的网元为其提供服务。

可选的，该访问令牌获取请求还可以包括附加范围(如请求的资源和/或请求的针对资源的操作)，针对相同的服务名称对应的服务，为了进一步隔离不同的NF服务消费网元对服务提供网元资源的访问和/或对资源的操作，可以在访问令牌获取请求中增加附加范围。例如，附加范围为接入与移动签约数据类型(subscription data type)，那么AMF网元(此处作为一个服务消费网元的示例)向UDM网元(此处作为一个服务提供网元的示例)请求用户签约服务时，AMF网元仅能从UDM网元获取接入与移动签约数据类型的用户签约数据。

可选的，该访问令牌获取请求还可以包括期望的NF服务提供网元实例的单网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI)列表或网络切片实例标识(network slice instance identifier，NSI ID)列表，期望的NF服务提供网元实例的NF集合(set)ID，以及NF服务消费网元的S-NSSAI列表。其中，S-NSSAI用于标识网络切片。NSI ID用于标识网络切片实例。NF集合ID用于标识NF集合。NF集合，表示一组可互换的、支持相同业务和相同网络切片的NF实例。属于同一个NF集合的NF实例可以在地理上分布式，但可以访问相同的上下文数据。属于同一个NF集合的NF实例在地理上分布式可以表示属于同一个NF集合的NF实例分布在不同的地理位置。访问令牌获取请求，例如可以是Nnrf_AccessToken_Get_Request。

NF服务消费网元与NRF网元可以属于同一个公共陆地移动网(public land mobility network，PLMN)。

步骤402a，NRF网元生成访问令牌。

可选的，NRF网元在生成访问令牌之前，可以先对NF服务消费网元执行授权检查，如果授权检查通过，则生成访问令牌；否则，拒绝为NF服务消费网元生成访问令牌。

可选的，NRF网元响应于该访问令牌获取请求，对NF服务消费网元执行授权检查。NRF网元对NF服务消费网元执行授权检查可包括：NRF网元对NF服务消费网元的身份进行验证，在身份验证通过的情况下，验证NF服务消费网元是否具有接入请求的服务的权限。在具有权限的情况生成访问令牌，有利于NF服务消费网元通过访问令牌获取的服务为授权的服务，防止越权使用服务。

NRF网元对NF服务消费网元的身份进行验证可包括：验证访问令牌获取请求携带的参数(例如NF服务消费网元的NF类型(type))是否与NF服务消费网元的公钥证书或NF配置信息匹配，若匹配则身份验证通过，不匹配则验证失败。具体的，例如NRF网元可以从NF服务消费网元获取对应的公钥证书，公钥证书中包含NF服务消费网元的信息，NRF网元将访问令牌获取请求中的参数(例如NF服务消费网元的NF type)与公钥证书中包含的信息进行比较，若信息一致则身份验证通过，否则身份验证失败。或者，又例如，NRF网元根据访问令牌获取请求中的NF服务消费网元的NF实例ID获取NRF网元本地存储的与该NF实例ID对应的NF配置信息(即NF服务消费网元的NF配置信息)，将访问令牌获取请求中的参数如NF服务消费网元的NF type与该NF配置信息中的NF type进行对比，如果一致，则身份验证通过，否则身份验证失败。

NRF网元验证NF服务消费网元是否具有接入请求的服务的权限可包括：NRF网元根据访问令牌获取请求中携带的服务相关参数(如期望的服务名称)、NF服务消费网元的NF类型和本地配置确定NF服务消费网元是否具有接入请求的服务的权限。例如NF服务消费网元是AMF网元，NF服务提供网元是UDM网元，期望的服务名称为签约信息获取，NRF网元根据本地配置确定AMF网元具有从UDM网元获取签约信息的权限，则授权检查为通过。再例如，NF服务消费网元是PCF网元，NF服务提供网元是UDM网元，期望的服务名称为签约信息获取，此时由于NRF网元根据本地配置确定PCF网元是不可以从UDM网元获取签约信息的，因此，授权检查失败。如果对NF服务消费网元的授权检查通过，那么NRF网元生成一个包含要求(claims)的访问令牌。

该访问令牌中的claims可包括：NRF网元的NF实例ID，NF服务消费网元的NF实例ID(NF Instance Id of the NF Service consumer)，NF服务提供网元的NF类型(NF type of the NF Service producer)，期望的服务名称(expected service name(s))，以及到期时间(expiration time(expiration))。可选的，claims还可以包括附加范围。可选的，claims还可以包括期望的NF服务提供网元实例的S-NSSAI列表或NSI ID列表，期望的NF服务提供网元实例的NF set ID。

NRF网元可对生成的访问令牌进行完整性保护。例如，使用与NF服务提供网元共享的密钥对访问令牌生成消息认证码(message authentication code，MAC)值，或使用私钥对生成的访问令牌进行签名。使用签名和MAC值的方式对访问令牌进行保护的具体方法见RFC 7515中的定义。

步骤403a，NRF网元向NF服务消费网元发送访问令牌获取响应。相应的，NF服务消费网元接收来自NRF网元的访问令牌获取响应。该访问令牌获取响应包括访问令牌。

在生成访问令牌后，NRF网元可向NF服务消费网元发送包括访问令牌的访问令牌获取响应。该访问令牌获取响应中的访问令牌被签名，或访问令牌获取响应包括访问令牌的MAC值。访问令牌获取响应，例如可以是Nnrf_AccessToken_Get_Response。访问令牌获取响应还可以包括其它参数，例如到期时间，允许的范围等。

NF服务消费网元在接收到访问令牌获取响应的情况下，可以存储接收到的访问令牌，在到期时间到达之前，用于在后续访问相同类型的服务时使用。访问相同类型的服务，例如可包括：后续期望访问的服务的服务名称与步骤401a中访问令牌获取请求中的期望的服务名称相同。或者，后续期望访问的服务的服务名称与步骤401a中访问令牌获取请求中的期望的服务名称相同，以及后续请求的NF服务提供网元的NF类型与步骤401a中访问令牌获取请求中的NF服务提供网元的NF类型相同。此时，NF服务消费网元可使用步骤403a中获取的访问令牌接入期望的服务。

在对NF服务消费网元的授权检查失败的情况下，访问令牌获取响应不携带访问令牌，并指示NF服务消费网元的授权检查失败。或者NRF网元向NF服务消费网元返回一个错误消息。

步骤404a，NF服务消费网元向NF服务提供网元发送NF服务请求。相应的，NF服务提供网元接收来自NF服务消费网元的NF服务请求。

在获取访问令牌后，NF服务消费网元可向NF服务提供网元发送用于请求接入服务的NF服务请求，该NF服务请求携带从NRF网元获取的访问令牌。

步骤405a，NF服务提供网元对访问令牌进行验证。

NF服务提供网元在接收到NF服务请求之后，响应于该NF服务请求，对访问令牌进行验证，以确定NF服务消费网元是否具有访问所请求的服务的权限，即确定自己是否能为NF服务请求网元提供请求的服务。

NF服务提供网元对访问令牌进行验证可包括：对访问令牌进行完整性校验，在完整性校验成功的情况下，对访问令牌中的claims进行验证。具体的完整性校验包括：若访问令牌被签名，则NF服务提供网元使用NRF网元的公钥验证签名，以验证访问令牌的完整性；若NF服务请求携带访问令牌的MAC值，则NF服务提供网元使用与NRF网元共享的密钥验证MAC值，以验证访问令牌的完整性。若签名验证成功或MAC值验证成功，表明完整性校验成功。

NF服务提供网元对访问令牌中的claims进行验证可包括但不限于：1)验证claims中的NF服务提供网元的NF类型是否与自己的类型匹配，例如，验证claims中的NF服务提供网元的NF类型是否与自己的类型相同。若相同，表示对claims中的NF服务提供网元的NF类型的验证成功，反之则验证失败。如果claims包括期望的NF服务提供网元实例的S-NSSAI列表或NSI ID列表，那么验证是否能够服务该S-NSSAI列表或NSI ID列表对应的网络切片，若能服务对应的网络切片，表示对claims中的S-NSSAI列表或NSI ID列表的验证成功，反之则验证失败；2)如果claims包括期望的NF服务提供网元实例的NF set ID，那么验证该NF set ID是否与自己所属的NF set ID匹配，例如，验证该NF set ID是否与自己所属的NF set ID相同，若相同，表示对claims中的NF set ID的验证成功，反之则验证失败；3)如果claims包括期望的服务名称，那么验证该服务名称是否匹配请求的服务操作，若匹配，表示对claims包括的期望的服务名称的验证成功，反之则验证失败；例如，AMF网元向SMF网元请求的是PDU会话创建请求服务，请求中包含访问令牌，访问令牌的claims中的期望的服务名称包含PDU会话服务，此时，PDU会话服务与AMF网元请求的PDU会话创建请求服务匹配，对claims包括的期望的服务名称的验证成功。4)如果claims包括附加范围，那么验证附加范围是否匹配请求的操作，若匹配，表示对claims中的附加范围的验证成功，反之则验证失败；5)将claims中的到期时间与当前系统时间进行比较，判断访问令牌是否过期，若未过期，表示对claims中的到期时间的验证成功，反之则验证失败。换言之，NF服务提供网元对访问令牌中的claims包括的每个参数进行验证。需要说明的是，对claims中的每个参数均验证成功，可表示claims验证成功；对claims中的任一个参数验证失败，可表示claims验证失败。

步骤406a，NF服务提供网元向NF服务消费网元发送NF服务响应。相应的，NF服务消费网元接收来自NF服务提供网元的NF服务响应。

在步骤405a验证成功的情况下，NF服务提供网元执行NF服务消费网元请求的服务，并向NF服务消费网元发送NF服务响应。在步骤405a验证失败的情况下，NF服务提供网元向NF服务消费网元发送错误响应。该错误响应可以携带原因值，该原因值可指示服务授权检查不通过，如访问令牌的完整性校验失败或claims验证失败。

(5.2)基于类型2或类型3的访问令牌的服务授权流程

示例性的，基于类型2(或类型3)的访问令牌的服务授权流程可参见图4b所示，该流程与图4a相同或类似的过程可参见图4a的描述，图4b所示流程可以包括如下步骤：

步骤401b，NF服务消费网元向NRF网元发送访问令牌获取请求。相应的，NRF网元接收来自NF服务消费网元的访问令牌获取请求。

在图4b所示的流程中，访问令牌用于接入特定NF服务提供网元实例的服务或用于接入特定NF服务提供网元的服务实例的服务，例如用于接入特定SMF网元实例的会话服务或用于接入特定SMF网元服务实例的会话服务等。

该访问令牌获取请求可以包括：NF服务提供网元的NF实例ID，NF服务消费网元的NF实例ID和期望的服务名称。可选的，访问令牌获取请求还可以包括附加范围。可选的，claims还可以包括期望的NF服务提供网元实例的S-NSSAI列表或NSI ID列表，期望的NF服务提供网元实例的NF set ID。

步骤402b，NRF网元对NF服务消费网元执行授权检查，如果授权检查通过，则生成访问令牌。

NRF网元响应于该访问令牌获取请求，对NF服务消费网元执行授权检查。NRF网元对NF服务消费网元执行授权检查的过程可参见步骤402a中的描述，此处不再赘述。

如果对NF服务消费网元的授权检查通过，NRF网元生成的访问令牌中的claims可包括：NRF网元的NF实例ID，NF服务消费网元的NF实例ID，NF服务提供网元的NF实例ID，期望的服务名称，以及到期时间。可选的，claims还可以包括附加范围。可选的，claims还可以包括期望的NF服务提供网元实例的S-NSSAI列表或NSI ID列表，期望的 NF服务提供网元实例的NF set ID。

NRF网元可对生成的访问令牌进行完整性保护，具体参见步骤402a中的描述。

步骤403b，NRF网元向NF服务消费网元发送访问令牌获取响应。相应的，NF服务消费网元接收来自NRF网元的访问令牌获取响应。该访问令牌获取响应包括访问令牌，该访问令牌被签名，或访问令牌获取响应包括访问令牌的MAC值。

步骤404b，NF服务消费网元向NF服务提供网元发送NF服务请求。相应的，NF服务提供网元接收来自NF服务消费网元的NF服务请求。NF服务请求中包含访问令牌。

步骤405b，NF服务提供网元对访问令牌进行验证。

具体的，可先验证访问令牌的完整性，在完整性校验成功的情况下，NF服务提供网元进一步验证访问令牌中的claims，具体的claims验证方法参见步骤405a。

步骤405b中，NF服务提供网元对claims进行验证的过程与步骤405a中对类型1的访问令牌的验证过程类似，区别在于：类型1的访问令牌包括NF服务提供网元的NF类型，因此，其验证过程包括对访问令牌中的NF服务提供网元的NF类型进行验证。类型2或类型3的访问令牌包括NF服务提供网元的NF实例ID，因此，其验证过程包括对访问令牌中的NF服务提供网元的NF实例ID进行验证。若NF服务提供网元的ID与访问令牌中的NF服务提供网元的NF实例ID相同，表示对claims中的NF服务提供网元的NF实例ID的验证成功，反之则验证失败。

步骤406b，NF服务提供网元向NF服务消费网元发送NF服务响应。相应的，NF服务消费网元接收来自NF服务提供网元的NF服务响应。在步骤405b验证成功的情况下，NF服务提供网元执行请求的服务，并向NF服务消费网元发送NF服务响应。

图4a和图4b所示的服务授权可以理解为直接通信场景下的服务授权，下面将对间接通信场景下的服务授权进行介绍，主要包括模式C下的服务授权(参见图5a和图5b)和模式D下的服务授权(参见图5c)。图5a与图5b所示服务授权流程的区别在于：NF服务消费网元获取访问令牌的方式不同，图5a中，NF服务消费网元直接向NRF网元请求获取访问令牌；图5b中，NF服务消费网元通过SCP网元向NRF网元请求获取访问令牌。

(6)间接通信场景下的服务授权

NF网元上配置有服务自己的一个或多个SCP网元的信息，当NF网元使用间接通信场景时，向服务自己的SCP网元发送消息。间接通信场景中，NF服务消费网元与NF服务提供网元之间可以经过一个或多个SCP网元。SCP网元与NF网元之间，SCP网元与SCP网元之间的授权基于本地策略进行授权，即采用静态授权方式进行授权。NF服务消费网元与NF服务提供网元之间，基于访问令牌的方式进行授权。

(6.1)模式C下的服务授权

如图5a所示，在模式C中，NF服务消费网元可直接向NRF网元请求获取访问令牌，该流程可包括如下步骤：

步骤501a，NF服务消费网元向NRF网元发送访问令牌获取请求。相应的，NRF网元接收来自NF服务消费网元的访问令牌获取请求。

访问令牌获取请求包括的参数可参见步骤401a或步骤401b，此处不再赘述。

步骤502a，NRF网元向NF服务消费网元发送访问令牌获取响应。相应的，NF服务消费网元接收来自NRF网元的访问令牌获取响应。该访问令牌获取响应包括访问令牌。

步骤501a至步骤502a，可以理解为NF服务消费网元从NRF网元获取访问令牌的过程，具体可参见图4a中步骤401a至步骤403a或步骤401b至步骤403b的描述。

步骤504a，NF服务消费网元向SCP网元发送第一服务请求。相应的，SCP网元接收来自NF服务消费网元的第一服务请求。第一服务请求包括从NRF网元获取的访问令牌。

在获取访问令牌后，NF服务消费网元可向NF服务提供网元发起服务请求。在间接通信场景下，NF服务消费网元向NF服务提供网元发起服务请求的方式可以为：NF服务消费网元向SCP网元发送第一服务请求，以触发该SCP网元向NF服务提供网元发送第二服务请求。

可选的，第一服务请求还包括客户凭证申明(client credentials assertion*，CCA)。CCA包含NF服务消费网元的NF实例ID、NF服务消费网元的NF类型、时间戳和到期时间。NF服务消费网元使用私钥对生成的CCA进行签名。时间戳例如可以是CCA的生效时间，到期时间例如可以是CCA的失效时间。签名的CCA包含公钥证书或证书链。或签名的CCA包含定位到公钥证书或证书链的统一资源定位符(uniform resource locator，URL)。CCA用于NF服务提供网元验证NF服务消费网元的身份。

需要说明的是，在本申请中，NF服务消费网元通过SCP网元向NF服务提供网元发送的服务请求可以非透传的方式传输至NF服务提供网元。例如，SCP网元可对接收到第一服务请求进行API修改，然后将更改后的第二服务请求路由至NF服务提供网元。通过非透传方式传输，第一服务请求和第二服务请求包括的参数全部相同或者部分相同。

在本申请实施例中，需要先查询NRF网元以获取可用的NF服务提供网元的信息，即发现可用的NF服务提供网元，才能向NF服务提供网元发起服务请求。因此，用于发现NF服务提供网元的发现流程需要在向该NF服务提供网元发起服务请求之前执行，即步骤504a之前需要执行发现NF服务提供网元的发现流程。

可选的，该发现流程可以在步骤501a之前执行，参见图5a中步骤500a。或者，该发现流程可以在步骤501a之后，步骤504a之前执行，例如参见图5a中步骤503a。

步骤505a，SCP网元向NF服务提供网元发送第二服务请求。相应的，NF服务提供网元接收来自SCP网元的第二服务请求。第二服务请求包括访问令牌。

SCP网元在接收到来自NF服务消费网元的第一服务请求时，选择一个NF服务提供网元实例，执行应用编程接口(application programming interface，API)修改，向选择的NF服务提供网元发送第二服务请求。若步骤504a中携带CCA，那么第二服务请求还包括CCA。

步骤506a，NF服务提供网元对访问令牌进行验证。

具体的，可先验证访问令牌的完整性，在完整性校验成功的情况下，NF服务提供网元进一步验证访问令牌中的claims，具体的claims验证方法参见步骤405a的描述，在此不再赘述。

若第二服务请求包括CCA，NF服务提供网元在成功验证访问令牌后还可以进一步验证CCA来认证NF服务消费网元。例如，NF服务提供网元使用NF服务消费网元的公钥对CCA进行签名验证。在签名验证成功的情况下，进一步的，NF服务消费网元验证CCA包含的信息是否与访问令牌中的claims信息匹配，若匹配，可表示成功认证NF服务消费网元，若不匹配则认证失败。进一步的，NF服务消费网元验证CCA包含的信息是否与访问令牌中的claims信息匹配可包括但不限于：1)验证CCA中的NF服务消费网元的NF实例ID与访问令牌中的NF服务消费网元的NF实例ID是否相同。2)验证CCA中的NF服务消费网元的NF类型与访问令牌中的NF服务消费网元的NF类型是否相同。3)将CCA中的到期时间与当前系统时间进行比较，判断CCA是否过期。若CCA中的NF服务消费网元的NF实例ID与访问令牌中NF服务消费网元的NF实例ID相同，CCA中NF服务消费网元的NF类型与访问令牌中NF服务消费网元的NF类型相同且CCA未过期，则可以表示成功认证NF服务消费网元。

在第二服务请求包含CCA的场景下，NF服务提供网元也可以根据CCA验证NF服务消费网元，然后再执行访问令牌的验证。具体的验证顺序，这里不限制。

步骤507a，NF服务提供网元向SCP网元发送第二服务响应。相应的，SCP网元接收来自NF服务提供网元的第二服务响应。

在NF服务消费网元通过授权检查，即步骤506a验证成功的情况下，NF服务提供网元执行NF服务消费网元请求的服务，并向SCP网元发送第二服务响应。在步骤506a验证失败的情况下，NF服务提供网元可通过SCP网元向NF服务消费网元发送错误响应。

步骤508a，SCP网元向NF服务消费网元发送第一服务响应。相应的，NF服务消费网元接收来自SCP网元的第一服务响应。

SCP网元在接收到来自NF服务提供网元的第二服务响应时，执行API修改，并向NF服务消费网元发送第一服务响应。

需要说明的是，在本申请中，NF服务提供网元通过SCP网元向NF服务消费网元发送的服务响应可以非透传的方式传输至NF服务提供网元。例如，SCP网元可对接收到的第二服务响应进行API修改，然后将第一服务响应路由至NF服务消费网元。通过非透传方式传输，第一服务响应和第二服务响应包括的参数全部相同或者部分相同。

在模式C中，NF服务消费网元可通过SCP网元向NRF网元请求获取访问令牌，该流程可参见图5b所示，该流程与图5a所示流程中NF服务消费网元获取访问令牌的方式不同，其余流程相同，具体可参见图5a的描述。图5b所示流程可以包括如下步骤：

步骤501b，NF服务消费网元向SCP网元发送第一访问令牌获取请求。相应的，SCP网元接收来自NF服务消费网元的第一访问令牌获取请求。

在间接通信场景下，NF服务消费网元通过SCP网元向NRF网元请求获取访问令牌的方式可以为：NF服务消费网元向SCP网元发送第一访问令牌获取请求，以触发该SCP网元向NF服务提供网元发送第二访问令牌获取请求。

其中，第一访问令牌获取请求携带的参数，可参考步骤401a或步骤401b中访问令牌获取请求携带的参数。可选的，第一访问令牌获取请求还包括CCA，用于NRF网元验证NF服务消费网元的身份。

步骤502b，SCP网元向NRF网元发送第二访问令牌获取请求。相应的，NRF网元接收来自SCP网元的第二访问令牌获取请求。

其中，第二访问令牌获取请求与第一访问令牌获取请求包括的参数相同。

需要说明的是，在本申请中，NF服务消费网元通过SCP网元向NRF网元发送的访问令牌获取请求(如步骤501b中的第一访问令牌获取请求)可以非透传的方式传输至NRF网元，NRF网元通过SCP网元向NF服务消费网元发送的访问令牌获取响应(如步骤504b中的第二访问令牌获取响应)可以非透传的方式传输至NF服务消费网元。换言之，SCP网元可对接收到访问令牌获取请求和访问令牌获取响应进行API修改，然后将更改后的访问令牌获取请求路由至NRF网元，将更改后的访问令牌获取响应路由至NF服务消费网元。

步骤503b，NRF网元生成访问令牌。可选的，NRF网元在生成访问令牌之前，可以先对NF服务消费网元执行授权检查，如果授权检查通过，则生成访问令牌；否则，拒绝为NF服务消费网元生成访问令牌。

可选的，若第二访问令牌获取请求中携带CCA，那么NRF网元根据CCA认证NF服务消费网元，若认证通过，进一步验证NF服务消费网元是否具有接入请求的服务的权限。其中，根据CCA认证NF服务消费网元的具体实现过程可参见步骤506a的具体描述，验证NF服务消费网元是否具有接入请求的服务的权限的具体实现过程可参见步骤402a的具体描述，此处不再赘述。

步骤504b，NRF网元向SCP网元发送第二访问令牌获取响应。相应的，SCP网元接收来自NRF网元的第二访问令牌获取响应。其中，第二访问令牌获取响应包括访问令牌。该访问令牌被签名，或第二访问令牌获取响应包括访问令牌的MAC值。

步骤505b，SCP网元向NF服务消费网元发送第一访问令牌获取响应。相应的，NF服务消费网元接收来自SCP网元的第一访问令牌获取响应。其中，第一访问令牌获取响应包括访问令牌。

步骤506b，NF服务消费网元向SCP网元发送第一服务请求。相应的，SCP网元接收来自NF服务消费网元的第一服务请求。第一服务请求包括访问令牌。

参见步骤504a中的描述，需要先查询NRF网元以发现可用的NF服务提供网元，才能向NF服务提供网元发起服务请求。因此，发现流程需要在向该NF服务提供网元发起服务请求之前执行。可选的，该发现流程可以在步骤501b之前执行，参见图5b中步骤500b(NF服务消费网元通过查询NRF网元，执行NF服务提供网元的发现流程，以发现可用的NF服务提供网元)。或者，该发现流程可以在步骤501b之后，步骤506b之前执行，图5b中未示出。

需要说明的是，步骤506b至步骤510b的具体实现过程可分别参见步骤504a至步骤508a的描述，此处不再赘述。

步骤507b，SCP网元向NF服务提供网元发送第二服务请求。相应的，NF服务提供网元接收来自SCP网元的第二服务请求。第二服务请求包括访问令牌。

步骤508b，NF服务提供网元对访问令牌进行验证。步骤508b的具体实现过程可参见步骤405a的描述，在此不再赘述。

步骤509b，NF服务提供网元向SCP网元发送第二服务响应。相应的，SCP网元接收来自NF服务端的第二服务响应。

步骤510b，SCP网元向NF服务消费网元发送第一服务响应。相应的，NF服务消费网元接收来自SCP网元的第一服务响应。

(6.2)模式D下的服务授权

如图5c所示，在模式D中，SCP网元根据NF服务消费网元发送的服务请求向NRF网元请求获取访问令牌，该流程与图5a、图5b所示流程中获取访问令牌的方式不同，其余流程相同，具体可参见图5a、图5b中的描述。图5c所示流程可包括如下步骤：

步骤501c，NF服务消费网元向SCP网元发送第一服务请求。相应的，SCP网元接收来自NF服务消费网元的第一服务请求。

其中，第一服务请求可包括CCA，用于NF服务提供网元验证NF服务消费网元的身份。可选的，第一服务请求还包括访问令牌，该访问令牌为在NF服务消费网元与SCP网元交互之前，从服务响应中接收的。若在NF服务消费网元与SCP网元交互之前获得的访问令牌过期，那么需要SCP网元从NRF网元获取访问令牌。此时，第一服务请求还可以包括用于SCP网元获取访问令牌的参数。若SCP网元需要查询NRF以发现可用的NF服务提供网元，第一服务请求还可以携带发现参数，用于发现NF服务提供网元。其中，用于获取访问令牌的参数(即访问令牌获取请求中的参数)和用于执行NF服务提供网元发现的参数可以相同，也可以不同，本实施例不做限制。

步骤503c，SCP网元向NRF网元发送访问令牌获取请求。相应的，NRF网元接收来自SCP网元的访问令牌获取请求。

SCP网元接收到第一服务请求后，若第一服务请求不包括访问令牌，或者访问令牌过期，或者该SCP网元上未存储可用的访问令牌，那么SCP网元可向NRF网元发送访问令牌获取请求，以请求获取访问令牌。访问令牌获取请求携带的参数，可参考步骤401a或步骤401b中访问令牌获取请求携带的参数。可选的，该访问令牌获取请求还可以包括CCA，用于NRF网元验证NF服务消费网元的身份。可选的，若第一服务请求还可以包括用于SCP网元获取访问令牌的参数，那么访问令牌获取请求还包括该参数。

步骤504c，NRF网元生成访问令牌。

步骤504c的具体实现过程可参见步骤503b的具体描述，在此不再赘述。

步骤505c，NRF网元向SCP网元发送访问令牌获取响应。相应的，SCP网元接收来自NRF网元的访问令牌获取响应。访问令牌获取响应包括访问令牌，该访问令牌被签名，或第二访问令牌获取响应包括访问令牌的MAC值。

步骤506c，NRF网元向NF服务提供网元发送第二服务请求。相应的，NF服务提供网元接收来自NRF网元的第二服务请求。其中，第二服务请求包括访问令牌。

SCP网元接收到访问令牌获取响应后，响应于前述第一服务请求，向NF服务提供网元发送第二服务请求。可选的，若第一服务请求包括CCA，第二服务请求还包括CCA。

参见步骤504a中的描述，发现NF服务提供网元的发现流程需要在向该NF服务提供网元发起服务请求之前执行。且在模式D中，发现流程由SCP触发。因此，该发现流程可以在SCP网元向NF服务提供网元发送第二服务请求(步骤506c)之前执行。可选的，该发现流程可以在步骤503c之前执行，参见图5c中步骤502c(SCP网元与NRF网元执行发现流程，以发现可用的NF服务提供网元)。或者，该发现流程可以在步骤501c之后，步骤506c之前执行，图5c中未示出。若第一服务请求还携带用于前述发现参数，那么SCP网元可以将该发现参数发送给NRF网元以发现NF服务提供网元。

需要说明的是，若步骤503c请求的不是针对特定NF服务提供网元的访问令牌，如步骤503c请求的是针对特定NF类型的访问令牌(即类型1的访问令牌)，那么访问令牌获取请求不包括特定NF服务提供网元的NF实例ID，因此，前述发现流程可以在步骤503c与步骤506c之间的任意时间执行。若步骤503c请求的是针对特定NF服务提供网元的访问令牌，即类型2或类型3的访问令牌，那么访问令牌获取请求包括该特定NF服务提供网元的NF实例ID，因此，前述发现流程需在SCP网元向NRF网元发送访问令牌获取请求(步骤503c)之前执行。若SCP网元上存储有可用的访问令牌，或步骤501c携带未过期的访问令牌，那么步骤503c至步骤505c可不执行，在步骤502c之后直接执行步骤506c。

步骤507c，NF服务提供网元对访问令牌进行验证。步骤507c的具体实现过程可参见步骤506a的描述，在此不再赘述。

步骤508c，NF服务提供网元向SCP网元发送第二服务响应。相应的，SCP网元接收来自NF服务端的第二服务响应。

在NF服务消费网元通过授权检查，即步骤507a验证成功的情况下，NF服务提供网元执行NF服务消费网元请求的服务，并向SCP网元发送第二服务响应。

步骤509c，SCP网元向NF服务消费网元发送第一服务响应。相应的，NF服务消费网元接收来自SCP网元的第一服务响应。

图5a至图5c所示的流程中，以一个SCP网元为例，实际应用中可经过多个SCP网元。

(7)服务、服务域、服务域信息

NF网元可用于提供服务，一个NF网元可以提供一种或多种服务。例如，SMF网元可用于提供会话建立服务和会话释放服务等。SCP网元也可以用于为其他网元(如NF网元、SCP网元)提供路由和转发的服务。

服务域，可用于限制服务访问范围。例如，某网元具有访问与该网元属于同一服务域的网元的服务的权限。或者，某网元具有访问属于服务域1或服务域3的网元的服务的权限，而不具有访问属于除服务域1和服务域3以外的其他服务域的网元的服务的权限。

服务域可从不同维度划分，例如，从安全维度划分，服务域可指安全域。从地理位置或通信组维度划分，服务域可指SCP域或归属区域。从安全和地址位置维度划分，或从安全和通信组维度划分，服务域可指SCP安全域。

不同安全域可以具有不同的安全等级，不同安全等级的安全域之间的访问控制策略有利于确保访问的安全性。例如，访问控制策略为归属于安全等级较低的安全域的网元不能访问归属于安全等级较高的安全域的网元。例如，若安全域1的安全等级低于安全域2的安全等级，那么属于安全域1的网元不能访问属于安全域2的网元。

SCP域的标识(归属区域的标识)可用于指示属于该域的网元的地理位置，例如，SCP域的标识指示的地理位置为华北地区、华南地区等。SCP域的标识不同，所指示的地理位置不同。在本申请实施例中，可配置不同SCP域之间的访问控制策略。例如，访问控制策略包括归属于SCP域1(指示的地理位置为华北地区)的网元可访问归属于SCP域2(指示的地理位置为华南地区)的网元，AMF网元1属于SCP域1，AMF网元1期望访问某 SMF网元以获取会话建立服务，若该AMF网元1向SMF网元1发送服务请求，且该SMF网元1属于SCP域3，那么该SMF网元1不能为该AMF网元1提供会话建立服务。若该SMF网元1属于SCP域2，那么该SMF网元1可为该AMF网元1提供会话建立服务。

SCP域的标识还可以用于指示能够通过一个或者多个SCP进行通信或交互的群组。

SCP安全域的标识可用于指示属于该域的网元的地理位置和安全等级，或用于指示属于该域的网元所属的通信群组和安全等级。需要说明的是，访问控制策略可配置，上述仅为举例，并不构成限定。

在本申请中，除NRF网元之外的网元(如NF网元、SCP网元)可被配置服务域信息。为某网元配置的服务域信息包括：该网元所属的服务域的信息，和/或，该网元能够服务的服务域的信息(即该网元能够为归属于该服务域的网元提供服务)。例如，为SMF网元配置的服务域信息包括服务域1的信息，可以表示该SMF网元归属于服务域1，或该SMF网元可为归属于服务域1的网元提供服务。若某AMF网元属于该服务域1，则该SMF网元可为该AMF网元提供服务。需要说明的是，在本申请中提及的“某网元(能够)服务某服务域”的含义为：该网元可为归属于该服务域的网元提供服务。为某网元配置的服务域信息可存储于该网元本地。

本申请实施例中提及的访问令牌(如前述access token、后文将提及的access token*、SCP access token*和SCP access token)中可包括服务域信息，该访问令牌中包括的服务域信息与该访问令牌对应的网元相关，或与该访问令牌是针对哪个网元生成的相关。例如，若访问令牌1是NRF网元针对网元1生成的，那么，访问令牌1对应的网元为网元1，访问令牌1中的服务域信息与该网元1相关。具体的，该访问令牌1中的服务域信息可包括：网元1所属的服务域的信息和/或该网元1允许接入的网元所属的服务域的信息。例如，针对AMF网元生成的访问令牌中的服务域信息可包括：该AMF网元所属的服务域的信息和/或该AMF网元允许接入的SMF网元所属的服务域的信息。再例如，若针对AMF网元生成的访问令牌中的服务域信息用于指示服务域1，则可以表示：该AMF网元所属的服务域为服务域1，和/或，该AMF网元具有访问归属于服务域1的网元(如SMF网元)提供的服务的权限。需要说明的是，前述“访问令牌1是NRF网元针对网元1生成的”其含义为：访问令牌1是NRF网元针对网元1请求的服务生成，可以理解为，访问令牌是针对某网元请求的某种服务生成的。

在本申请实施例中，一个NF网元可以属于一个或多个服务域，例如，SMF网元可以属于服务域1和服务域2。一个NF网元可为不同服务域中的网元服务，例如，SMF网元可以为归属于服务域1的AMF网元1服务，还可以为归属于服务域2中的AMF网元2服务。可选的，访问令牌中的服务域信息可用于指示一个或多个服务域。例如，若针对AMF网元生成的访问令牌中的服务域信息用于指示服务域1和服务域2，则可以表示：该AMF网元归属于服务域1和服务域2，和/或，该AMF网元具有访问归属于服务域1和/或服务域2的网元(如SMF网元)提供的服务的权限。可选的，本申请实施例中提及的访问令牌还可以包括前述claims中的一个或多个参数。可选的，服务域信息可以包括于访问令牌的claims中。需要说明的是，NRF网元可针对NF网元生成访问令牌，例如，针对需要发起服务请求的NF网元生成访问令牌。NRF网元还可针对SCP网元生成访问令牌。还需要说明的是，在本申请实施例中，某网元(如网元1)允许接入另一网元(如网元2)，还可以描述为：网元1具有接入网元2提供的服务的权限，网元1具有访问网元2的权限，网元1具有访问网元2提供的服务的权限，或，网元1授权访问网元2。若网元1为SCP网元，还可以描述为：网元1具有通信代理的权限，即对于网元2，网元1具有通信代理的权限。

服务域信息可以包括安全域信息，或SCP域信息或SCP安全域信息等用于限制服务访问范围的信息。例如服务域信息可以是SCP域信息，用于标识SCP域。或服务域信息可以是安全域信息，用于标识特定安全域或安全等级或安全级别等。

(8)访问令牌的种类：

直接通信场景下使用的访问令牌可包括：access token和access token*。其中，access token可用于指示NF服务消费网元具有访问NF服务提供网元提供的指定服务的权限。可选的，access token还可以包括服务域信息，用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限。包含服务域信息的访问令牌可称为access token*。此时服务域信息可以是安全域信息，或者特定地域的安全域信息或特定群组的安全域信息等。

间接通信场景下使用的访问令牌可包括：access token*、SCP access token*和SCP access token。

access token*(或称为第一访问令牌)，可用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限。第一访问令牌可包括：与该指定服务域关联的第一服务域信息、该NF服务消费网元的标识、该指定服务的标识。其中，NF服务消费网元的标识，用于标识NF服务消费网元，NF服务消费网元的标识例如可为NF服务消费网元的NF实例ID。指定服务的标识，用于标识NF服务消费网元请求的服务，指定服务的标识也可以描述为期望的服务名称。示例性的，NF服务消费网元的NF实例ID为AMF实例ID1，指定服务的标识为会话建立服务的标识。可选的，第一访问令牌还可以包括前述claims中的一个或多个参数。所述access token*内容被完整性保护。

第一服务域信息可以为NF服务消费网元的服务域信息或者NF服务提供网元的服务域信息。第一服务域信息为NF服务消费网元的服务域信息的含义为：第一服务域信息指示的服务域为发起服务请求的NF服务消费网元所属的服务域。第一服务域信息为NF服务提供网元的服务域信息的含义为：第一服务域信息指示的服务域为NF服务消费网元允许接入的NF服务提供网元所属的服务域的信息。例如，NF服务消费网元为AMF网元#1，NF服务提供网元为SMF网元#1，为AMF网元#1生成的第一访问令牌中的第一服务域信息指示的服务域为服务域a，若该第一服务域信息为AMF网元的服务域信息，则表示AMF网元#1所属的服务域为服务域a。若该第一服务域信息为SMF网元的服务域信息，则表示AMF网元#1允许接入的SMF网元所属的服务域为服务域a，或者，AMF网元#1具有访问归属于服务域a的SMF网元提供的服务的权限。

SCP access token*(或称为第二访问令牌)，可用于指示NF服务消费网元具有访问某SCP网元的权限，或者描述为：NF服务消费网元授权访问某SCP网元。例如，若NF服务消费网元向SCP网元1发送的消息中包括第二访问令牌，且SCP网元1对该第二访问令牌的授权验证通过，则表示该NF服务消费网元具有访问SCP网元1的权限。第二访问令牌可包括：NF服务消费网元的标识和令牌生成网元的标识(如NF实例ID)。第二访问令牌中的服务域信息可包括：NF服务消费网元所属的服务域的信息或NF服务消费网元允许接入的SCP网元所属的服务域的信息。可选的，第二访问令牌还可以包括前述claims中的一个或多个参数。所述SCP access token*内容被完整性保护。

SCP access token(包括第三访问令牌、第四访问令牌)，可用于指示某SCP网元具有通信代理的权限。具体的，第三访问令牌可用于指示SCP网元，某SCP网元具有通过该SCP网元转发消息的权限。例如，若SCP网元1向SCP网元2发送的消息中包括第三访问令牌，且SCP网元2对该第三访问令牌的授权验证通过，则表示SCP网元1具有通信代理的权限，即SCP网元1具有通过SCP网元2转发消息的权限。此时，该第三访问令牌包括的服务域信息为：SCP网元1所属的服务域信息或SCP网元1允许接入的SCP网元所属的服务域的信息，可选的，第三访问令牌还包含SCP网元1的实例标识。具体的，第四访问令牌可用于指示NF服务提供网元，某SCP网元具有通信代理的权限。若SCP网元2向NF服务提供网元发送的消息中包括第四访问令牌，且NF服务提供网元对该第四访问令牌的授权验证通过，则表示SCP网元2具有向NF服务提供网元转发该消息的权限。此时，该第四访问令牌包括的服务域信息为：SCP网元2所属的服务域的信息或SCP网元2允许接入的NF服务提供网元所属的服务域的信息，可选的，第四访问令牌还包含SCP网元2的实例标识。

参见前述，间接通信中引入SCP域，属于同一SCP域内的网元可直接交互，但是图4a和图4b，以及图5a至图5c所示的流程中，未考虑SCP域之间的访问控制和资源隔离，使得服务授权存在一定的安全隐患。

鉴于此，本申请提供一种服务授权方法及通信装置，可以提高服务授权的安全性。

请参见图6，为应用本申请实施例的系统架构示意图，该系统架构可包括NF服务消费网元601、NRF网元602和NF服务提供网元603。可选的，该系统架构还可以包括一个或多个SCP网元。系统架构中的SCP网元可用于向NRF网元602请求为该NF服务消费网元601生成访问令牌(access token*)的过程，用于NF服务消费网元601向NF服务提供网元603请求获取服务的过程(即为NF服务消费网元601转发服务请求)，和/或，用于向NRF网元602请求为该SCP生成访问令牌(SCP access token)。其中，NF服务消费网元601与NF服务提供网元603之间的交互可经过一个或多个SCP网元。图6中包括2个SCP网元为例，并不构成限定。

该系统架构不包括SCP网元可理解为直接通信场景下的系统架构。该系统架构包括SCP网元可以理解为间接通信场景下的系统架构，适用于模式C和模式D。

应用在本申请中，发起服务请求的网元可在服务请求中携带访问令牌，访问令牌可包括服务域信息；接收服务请求的网元可根据访问令牌对发起服务请求的网元进行授权检查，以判断发起服务请求的网元是否具有访问归属于与该服务域信息关联的服务域的网元提供的服务的权限。通过这种方式，可以实现基于服务域的访问控制，保证只有授权的用户才能获取对应的服务或者通过SCP获取对应的服务，从而实现资源的访问控制。另外，访问令牌包括服务域信息，还能防止访问令牌在非授权的服务域被使用，从而提高服务授权的安全性。

其中，发起服务请求的网元可以为NF服务消费网元601，NF服务消费网元601请求NF服务提供网元603为其提供服务。例如，NF服务提供网元603在接收到来自NF服务消费网元601的服务请求时，根据服务请求携带的服务域信息，对NF服务消费网元601进行授权检查。若访问令牌中的服务域信息用于指示NF服务消费网元601归属于服务域1，而NF服务提供网元603仅能为归属于服务域2的网元提供服务，那么NF服务提供网元603对NF服务消费网元601进行授权检查的结果为失败。通过这种方式，将服务域2的服务资源与服务域1的服务资源隔离开来，避免归属于服务域1的网元获取服务域2的服务资源，有利于提高安全性。再例如，SCP网元#1在接收到来自NF服务消费网元601的服务请求时，根据服务请求携带的服务域信息，对NF服务消费网元601进行授权检查。

发起服务请求的网元还可以为SCP网元，SCP网元请求下一跳网元为其提供服务。在图6中，SCP网元#1的下一跳网元为SCP网元#2，若SCP网元#1向SCP网元#2发送消息，可以认为SCP网元#1请求SCP网元#2为其提供通信代理的服务(或者请求SCP网元#2为其提供转发消息的服务)，此时，发起服务请求的网元为SCP网元#1。例如，SCP网元#2在接收到来自SCP网元#1的服务请求时，根据服务请求携带的服务域信息，对SCP网元#1进行授权检查。可选的，SCP网元#1向SCP网元#2发送的消息还可以携带NF服务消费网元601请求NF服务提供网元603为其提供服务的服务请求的信息，此时，SCP网元#2可以对SCP网元#1和/或NF服务消费网元601进行授权检查。再例如，NF服务提供网元603接收到来自SCP网元#2的消息时，根据该消息携带的服务域信息，对该SCP网元#2进行授权检查；若该消息还携带NF服务消费网元601请求NF服务提供网元603为其提供服务的服务请求的信息，那么NF服务提供网元603可以对SCP网元#2和/或NF服务消费网元601进行授权检查。换言之，接收服务请求的网元可对该服务请求经过的前一跳网元进行授权检查，和/或，发起该服务请求的网元进行授权检查。

若授权检查通过，接收服务请求的网元为发起服务请求的网元提供其所请求的服务，可选的，还可以向发起服务请求的网元发送服务响应。若授权检查失败，可以向发起服务请求的网元发送错误响应，并携带用于指示授权检查失败的原因值。

本申请实施例描述的技术可用于各种通信系统，例如5G通信系统，多种通信系统融合的系统，或者未来演进的通信系统。需要说明的是，NRF网元602用于生成访问令牌，在不同通信系统中，NRF网元602的名称可以不同。

可以理解的是，本申请实施例描述的通信系统是为了更加清楚的说明本申请实施例的技术方案，并不构成对本申请实施例提供的技术方案的限定，本领域技术人员可知，随着系统架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

下面将对本申请实施例提供的服务授权方法进行具体阐述。需要说明的是，本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例，具体实现中也可以是其他的名字，本申请实施例对此不作具体限定。还需要说明的是，在本申请实施例的附图中，各个实施例所示的步骤，以及步骤之间的先后顺序用于举例，并不构成对本申请实施例的限定。应理解，执行图示中的部分步骤或调整步骤的顺序进行具体实施，均落在本申请的保护范围内。

请参见图7，图7是本申请实施例提供的一种服务授权方法的流程示意图。以下以第一网元、第二网元、令牌生成网元为服务授权方法的执行主体为例进行说明。该方法可以包括但不限于如下步骤：

步骤701，第一网元向令牌生成网元发送令牌获取请求。相应的，令牌生成网元接收来自第一网元的令牌获取请求。该令牌获取请求包括NF服务消费网元的标识和指定服务的标识。

其中，NF服务消费网元的标识，用于标识NF服务消费网元，例如为NF服务消费网元的NF实例ID。指定服务的标识也可以描述为期望的服务名称，用于标识NF服务消费网元请求的服务。该令牌获取请求用于请求针对该NF服务消费网元请求获取的服务生成访问令牌。相应的，该访问令牌可用于对该NF服务消费网元请求的服务进行授权检查。可选的，第一网元与令牌生成网元可属于同一PLMN。

在一种实现方式中，该令牌获取请求可以用于请求获取类型1的访问令牌，或者，用于请求获取类型2或类型3的访问令牌。可选的，令牌获取请求还可以包括图4a或图4b中所述的访问令牌获取请求中的一个或多个参数。例如，令牌获取请求还可以包括以下参数中的一个或多个：NF服务提供网元的NF实例ID、附加范围、NF服务消费网元的NF类型、请求的NF服务提供网元的NF类型、请求的NF服务提供网元实例的S-NSSAI列表或NSI ID列表、请求的NF服务提供网元实例的NF set ID或NF服务消费网元的S-NSSAI列表、服务域信息。

其中，所述服务域信息用于指示NF消费网元所属的服务域，和/或用于指示NF提供网元所属的服务域。

图7所示服务授权方法可应用于直接通信场景或间接通信场景。当应用于直接通信场景时，第一网元为NF服务消费网元，第二网元为NF服务提供网元。当应用于直接通信场景时，第一网元直接向令牌生成网元发送令牌获取请求。

当应用于间接通信场景时，第一网元可以为NF服务消费网元或者SCP网元(如称为第二SCP网元)，例如，第一网元为图6中的NF服务消费网元，第二网元为图6中的SCP网元#1或者SCP网元#2；第一网元为图6中的SCP网元#1(即第二SCP网元)，第二网元可以为图6中的SCP网元#2或者NF服务提供网元。可见，当应用于间接通信场景时，第一网元可以为服务的发起方(即NF服务消费网元)，也可以是为服务请求提供路由和转发服务的第二SCP网元。

具体的，第一网元与第二网元之间进行直接通信的具体描述可以详见图8实施例中的描述。第一网元与第二网元之间进行间接通信的具体描述可以详见图9、图10实施例中的描述。

当应用于间接通信场景时，第一网元可以直接向令牌生成网元发送令牌获取请求，此时，第一网元可以为图6中的NF服务消费网元或者SCP网元#1。第一网元为SCP网元#1时，该第一网元可以在接收到来自NF服务消费网元的令牌获取请求1后，对令牌获取请求1进行API修改，进而向令牌生成网元发送令牌获取请求2，以请求令牌生成网元针对NF服务消费网元请求的服务生成访问令牌。当应用于间接通信场景时，第一网元也可以通过第一SCP网元向令牌生成网元发送令牌获取请求，例如，第一网元为图6中的NF服务消费网元，第一SCP网元为图6中的SCP网元#1。

步骤702，响应于该令牌获取请求，令牌生成网元生成第一访问令牌，该第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，该第一访问令牌包括NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息。

可选的，令牌生成网元在接收到令牌获取请求后，可根据令牌获取请求对NF服务消费网元进行授权检查，对NF服务消费网元进行授权检查可包括：对NF服务消费网元的身份进行验证，在身份验证通过的情况下，验证NF服务消费网元是否具有获取该指定服务的权限，若具有权限，则可以生成第一访问令牌，若不具有权限则不生成第一访问令牌。其具体执行过程可参见步骤402a中的描述，此处不再赘述。

在一种实现方式中，在对NF服务消费网元的授权检查通过的情况下，令牌生成网元还可以根据如下3种方式确定生成的第一访问令牌是否需要包含第一服务域信息。

方式1，令牌获取请求还可以包括指示信息，该指示信息用于指示NF服务消费网元是否请求获取包含第一服务域信息的令牌，进而令牌生成网元可以根据该指示信息确定是否生成包含第一服务域信息的第一访问令牌。例如，该指示信息通过1个比特进行指示，该比特的值为1时用于指示令牌生成网元生成携带第一服务域信息的第一访问令牌，该比特的值为0时用于指示令牌生成网元生成不携带第一服务域信息的访问令牌。再例如，令牌获取请求携带该指示信息时，令牌生成网元可生成携带第一服务域信息的第一访问令牌，不携带该指示信息时，生成不携带第一服务域信息的访问令牌。可选的，在直接通信场景下使用的访问令牌可以不包含服务域信息，在间接通信场景下使用的访问令牌包含服务域信息。此时，指示信息可以指示第一网元请求的授权信息(即访问令牌)用于间接通信，那么令牌生成网元可以根据该指示信息，生成携带第一服务域信息的第一访问令牌。若指示信息指示第一网元请求的授权信息用于直接通信，那么令牌生成网元根据该指示信息，生成不携带第一服务域信息的访问令牌。可选的，指示信息可以携带在消息体中，或消息头中。

可选的，令牌获取请求不携带新的指示信息，通过已有的信元指示令牌生成网元是否生成携带第一服务域信息的第一访问令牌。例如，通过令牌获取请求中已有的某个比特进行指示，该比特的值为1时用于指示令牌生成网元生成包含第一服务域信息的第一访问令牌，该比特的值为0时用于指示令牌生成网元生成不包含第一服务域信息的访问令牌。

可选的，令牌获取请求通过隐式方式指示令牌生成网元生成携带第一服务域信息的第一访问令牌。

方式2，令牌生成网元根据NF服务提供网元的NF类型、NF服务消费网元的NF类型、NF服务消费网元的配置信息、或NF服务提供网元的配置信息中的一种或多种，判断是否生成携带第一服务域信息的第一访问令牌。其中，NF服务消费网元的配置信息可由令牌生成网元根据访问令牌获取请求中携带的该NF服务消费网元的标识获取。NF服务提供网元的配置信息可由访问令牌获取请求中携带的NF服务提供网元的标识获取。示例性的，令牌生成网元可针对特定的NF类型的网元之间的间接通信生成第一访问令牌，例如AMF网元与SMF网元之间的间接通信。示例性的，NF服务消费网元的配置信息、NF服务提供网元的配置信息中可包括能够互通的SCP域的信息、隶属的SCP安全域的信息、或能接入的SCP安全域的信息中的一种或多种，例如，NF服务消费网元的配置信息中包含了能够互通的SCP域的信息，那么令牌生成网元生成携带服务域信息的访问令牌。又例如，NF服务消费网元的配置信息中包括隶属的SCP安全域，那么令牌生成网元生成携带服务域信息的访问令牌，即NF服务消费网元的配置信息中包含了能够互通的SCP域的信息，用于指示令牌生成网元生成携带服务域信息的访问令牌。

需要说明的是，在本申请实施例中，NF网元的配置信息还可以称为NF配置信息。

方式3，令牌生成网元根据本地策略确定是否生成第一访问令牌。若本地策略支持生成含有第一服务域信息的访问令牌的情况下，令牌生成网元可以生成第一访问令牌。若本地策略包括PLMN支持间接通信，那么令牌生成网元可以生成第一访问令牌。若本地策略包括NF服务消费网元所属的PLMN支持间接通信，那么令牌生成网元可以生成第一访问令牌。若本地策略还包括PLMN支持直接通信，那么令牌生成网元还可以生成access token。若本地策略还包括NF服务消费网元所属的PLMN支持直接通信，那么令牌生成网元还可以生成access token。

其中，第一服务域信息可以用于指示NF服务消费网元所属的服务域，或者，用于指示该NF服务消费网元允许接入的NF服务提供网元所属的服务域。在第一服务域信息用于指示NF服务消费网元允许接入的NF服务提供网元所属的服务域的情况下，指定服务域指NF服务消费网元允许接入的NF服务提供网元所属的服务域，即指定服务域为第一服务域信息指示的服务域。在第一服务域信息用于指示NF服务消费网元所属的服务域的情况下，指定服务域可以指：能够服务该NF服务消费网元所属的服务域的服务域，即指定服务域为能够服务第一服务域信息所指示的服务域的服务域。

在本申请实施例中，指定服务域可以为指定SCP域、指定安全域或指定SCP安全域。其定义可参见前文描述。

若令牌获取请求用于请求获取类型1的访问令牌，第一访问令牌还包括NF服务提供网元的类型。若令牌获取请求用于请求获取类型2或类型3的访问令牌，第一访问令牌还包括NF服务提供网元的标识。可选的，第一访问令牌还可以包括图4a或图4b中所述的claims中的一个或多个参数。

可选的，令牌生成网元还可对生成的访问令牌(如第一访问令牌，第二访问令牌、第三访问令牌和第四访问令牌)进行完整性保护，相应的，对该访问令牌进行验证的过程包括对其进行完整性校验，具体过程可参见步骤402a和步骤405a中的描述，此处不再赘述。

步骤703，令牌生成网元向第一网元发送令牌获取响应，令牌获取响应包括第一访问令牌。相应的，第一网元接收来自令牌生成网元的令牌获取响应。

令牌获取响应包括第一访问令牌，该第一访问令牌被签名，或令牌获取响应还包括第一访问令牌的MAC值。

步骤701-步骤703为第一网元向令牌生成网元请求获取第一访问令牌的过程。在一种实现方式中，该令牌生成网元可以为图6中的NRF网元，此时，令牌获取请求，例如可以是Nnrf_AccessToken_Get_Request。第一网元为NF服务消费网元时，第一网元通过直接通信方式向令牌生成网元请求获取第一访问令牌的过程(即步骤701至步骤703)可参见步骤401a至步骤403a、步骤401b至步骤403b、步骤501a至步骤502a中的具体描述。第一网元为SCP网元时，第一网元通过直接通信方式向令牌生成网元请求获取第一访问令牌的过程可参见步骤502b至步骤504b、步骤503c至步骤505c中的具体描述。第一网元为NF服务消费网元时，第一网元通过间接通信方式向令牌生成网元请求获取第一访问令牌的过程可参见步骤501b至步骤505b中的具体描述，此处不再赘述。

步骤704，第一网元向第二网元发送针对该指定服务的第一服务请求，该第一服务请求包括前述第一访问令牌。相应的，第二网元接收来自第一网元的第一服务请求。

若令牌生成网元为NRF网元，相应的，在步骤704之前第一网元还需要查询令牌生成网元(NRF网元)以发现可用的NF服务提供网元。若发现结果指示存在可用的NF服务提供网元，则第一网元向第二网元发送针对该指定服务的第一服务请求。需要说明的是，若第一网元并非该指定服务的发起方，那么该第一网元不为NF服务消费网元，第一网元为SCP网元，在步骤704之前，该第一网元还可以接收来自该NF服务消费网元的服务请求，第一网元响应于该服务请求，向第二网元发送该第一服务请求。可选的，来自该NF服务消费网元的服务请求可以携带第一访问令牌，其过程可参见步骤506b和步骤507b；若该服务请求不携带第一访问令牌，第一网元响应于该服务请求，执行步骤701(即第一网元向令牌生成网元发送令牌获取请求)，其过程可参见步骤501c和步骤506c。

可选的，第一服务请求还包括CCA，或签名的CCA。CCA用于NF服务提供网元验证NF服务消费网元的身份。

步骤705，第二网元向第一网元发送第一服务响应，第一服务响应用于响应该第一服务请求。相应的，第一网元接收来自第二网元的第一服务响应。

由NF服务提供网元对第一访问令牌进行验证，在NF服务提供网元对第一访问令牌验证成功的情况下，NF服务提供网元执行NF服务消费网元请求的指定服务。第一服务响应是在NF服务提供网元对第一访问令牌验证成功的情况下发送的。若第一网元为NF服务提供网元，该第一网元在成功验证第一访问令牌的情况下，发送第一服务响应。若第二网元不为NF服务提供网元，可以图6中的SCP网元#1或SCP网元#2。当第二网元为SCP网元#1时，第二网元在向第一网元发送第一服务响应之前，还可以接收到来自SCP网元#2的服务响应。当第二网元为SCP网元#2时，第二网元在向第一网元发送第一服务响应之前，还可以接收到来自NF服务提供网元的服务响应。NF服务提供网元对第一访问令牌进行验证的执行过程可参见步骤805中的具体描述。

在本申请实施例中，通过在第一访问令牌中携带第一服务域信息，使得NF服务提供网元根据第一服务域信息可以确定NF服务消费网元是否具有访问该NF服务提供网元提供的服务的权限，进而可以实现基于服务域的访问控制，从而有利于提高服务授权的安全性。

请参见图8，为本申请实施例提供的另一种服务授权方法的流程示意图，该方法描述了直接通信场景下的服务授权流程，即图6所示系统架构图中不包括SCP网元时的服务授权流程，具体描述了NF服务提供网元对NF服务消费网元的授权验证。其中，第一网元为NF服务消费网元，第二网元为NF服务提供网元。该方法可以包括但不限于如下步骤。其中，步骤801至步骤804、步骤806的执行过程可分别参见步骤701～步骤705的具体描述，此处不再赘述。

步骤801，第一网元向令牌生成网元发送令牌获取请求。相应的，令牌生成网元接收来自第一网元的令牌获取请求。该令牌获取请求包括NF服务消费网元的标识和指定服务的标识。

步骤802，响应于该令牌获取请求，令牌生成网元生成第一访问令牌，该第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，该第一访问令牌包括NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息。

步骤803，令牌生成网元向第一网元发送令牌获取响应，令牌获取响应包括第一访问令牌。相应的，第一网元接收来自令牌生成网元的令牌获取响应。

步骤804，第一网元向第二网元发送针对该指定服务的第一服务请求，该第一服务请求包括前述第一访问令牌。相应的，第二网元接收来自第一网元的第一服务请求。

步骤805，第二网元对第一访问令牌进行验证。

NF服务提供网元(即第二网元)对第一访问令牌进行验证，可包括：根据第一服务域信息确定NF服务消费网元是否具有访问该NF服务提供网元提供的服务的权限，和/或对第一访问令牌中的claims(除第一服务域信息以外)其他的内容进行验证，即对第一访问令牌进行验证包括对claims的所有参数进行验证。可选的，对第一访问令牌进行验证还可以包括验证访问令牌的完整性，完整性校验成功，表示claims的内容未被篡改，进一步对第一访问令牌中的claims进行授权验证，具体过程可参见步骤405a中的描述，此处不再赘述。可选的，若第一服务请求还包括CCA，NF服务提供网元在成功验证第一访问令牌后还可以进一步验证CCA来认证NF服务消费网元。NF服务提供网元对NF服务消费网元进行授权验证的过程，包括对第一访问令牌中的所有参数进行验证。

需要说明的是，NF服务提供网元根据第一服务域信息，可以确定该NF服务消费网元是否具有访问该NF服务提供网元提供的服务的权限。NF服务提供网元对第一访问令牌中的claims(除第一服务域信息以外)其他的内容进行验证包括：对claims中的指定服务的标识进行验证，以确定NF服务消费网元是否具有访问该指定服务的权限，即确定自己是否为NF服务消费网元提供该指定服务。例如，第一服务请求还携带用于指示所请求的服务的参数，若该参数与claims中的指定服务的标识匹配，则确定NF服务消费网元具有访问该指定服务的权限，若不匹配，确定NF服务消费网元不具有访问该指定服务的权限。

在一种实现方式中，若第一服务域信息用于指示NF服务消费网元(即第二网元)所属的服务域，NF服务提供网元可根据NF服务消费网元所属的服务域和本地配置的服务域信息，确定该NF服务消费网元是否具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限。其中，本地配置的服务域信息是配置在NF服务提供网元本地的服务域信息。为NF服务提供网元配置的服务域信息可以包括：该NF服务提供网元服务的服务域的信息(即该NF服务提供网元能够为归属于该服务域的网元提供服务)。若第一服务域信息指示的服务域与NF服务提供网元服务的服务域存在交集，即NF服务提供网元服务的服务域中至少存在一个域与第一服务域信息指示的服务域相同，则表示NF服务提供网元能够服务该NF服务消费网元所属的服务域，则可以确定该NF服务消费网元具有访问该NF服务提供网元提供的服务的权限。若第一服务域信息指示的服务域与NF服务提供网元服务的服务域不存在交集，则表示NF服务提供网元不能服务该NF服务消费网元所属的服务域，即该NF服务消费网元不具有访问该NF服务提供网元提供的服务的权限。

例如，NF服务消费网元为AMF网元#1，NF服务提供网元为SMF网元#1，为AMF网元#1生成的第一访问令牌中的第一服务域信息指示的服务域为服务域a，若该第一服务域信息为AMF网元的服务域信息，则表示AMF网元#1所属的服务域为服务域a。若SMF网元#1本地配置了该SMF网元#1为归属于服务域a的网元提供服务，那么SMF网元#1确定该AMF网元#1具有SMF网元#1提供的服务的权限。若SMF网元#1本地配置了该SMF网元#1为归属于服务域b的网元提供服务，即该SMF网元#1不能为归属于服务域a的网元提供服务，那么SMF网元#1确定该AMF网元#1不具有访问SMF网元#1提供的服务的权限。通过这种方式，可以限制不同服务域之间的资源访问。

可选的，若第一服务域信息指示的服务域与NF服务提供网元服务的服务域相同，则可以确定该NF服务消费网元具有该NF服务提供网元提供的服务的权限。若第一服务域信息指示的服务域与NF服务提供网元服务的服务域不相同，则可以确定该NF服务消费网元不具有访问该的NF服务提供网元提供的服务的权限。

在另一种实现方式中，第一服务域信息可用于指示NF服务消费网元允许接入的NF服务提供网元所属的服务域，NF服务提供网元可根据NF服务消费网元允许接入的NF服务提供网元所属的服务域和该NF服务提供网元所属的服务域，确定该NF服务消费网元是否具有访问该的NF服务提供网元提供的服务的权限。其中，NF服务提供网元可以已知自身所属的服务域，若NF服务提供网元所属的服务域与第一服务域信息指示的服务域存在交集，即NF服务提供网元所属的服务域中至少存在一个域与第一服务域信息指示的服务域相同，则可以确定该NF服务消费网元具有访问该NF服务提供网元提供的服务的权限。若NF服务提供网元所属的服务域与第一服务域信息指示的服务域不存在交集，则可以确定该NF服务消费网元不具有访问该NF服务提供网元提供的服务的权限。

例如，NF服务消费网元为AMF网元#1，NF服务提供网元为SMF网元#1，为AMF网元#1生成的第一访问令牌中的第一服务域信息指示的服务域为服务域a和b，若该第一服务域信息为SMF网元的服务域信息，则表示AMF网元#1允许接入的SMF网元所属的服务域包括服务域a、服务域b，或者，AMF网元#1具有访问归属于服务域a和/或服务域b的SMF网元提供的服务的权限。若SMF网元#1归属于服务域a，那么SMF网元#1确定该AMF网元#1具有访问SMF网元#1提供的服务的权限。若SMF网元#1归属于服务域c，那么SMF网元#1确定该AMF网元#1不具有访问SMF网元#1提供的服务的权限。

可选的，若NF服务提供网元所属的服务域与第一服务域信息指示的服务域相同，则可以确定该NF服务消费网元具有访问该NF服务提供网元提供的服务的权限。若NF服务提供网元所属的服务域与第一服务域信息指示的服务域不相同，则可以确定该NF服务消费网元不具有访问该NF服务提供网元提供的服务的权限。

步骤806，第一访问令牌验证通过，第二网元向第一网元发送第一服务响应，第一服务响应用于响应该第一服务请求。相应的，第一网元接收来自第二网元的第一服务响应。

在本申请实施例中，通过在第一访问令牌中携带第一服务域信息，使得NF服务提供网元根据第一服务域信息可以确定NF服务消费网元是否具有访问该NF服务提供网元提供的服务的权限，进而可以实现基于服务域的访问控制，从而有利于提高服务授权的安全性。另外，在访问令牌中携带服务域信息，可以限制不同服务域之间的资源访问。

请参见图9，为本申请实施例提供的又一种服务授权方法的流程示意图，该方法描述了一种间接通信场景下的服务授权流程，具体描述了SCP网元对NF服务消费网元的授权验证。其中，第一网元为NF服务消费网元，第二网元为NF服务提供网元，第一SCP网元为SCP网元#1。该方法可以包括但不限于如下步骤：

步骤901，第一网元向令牌生成网元发送令牌获取请求。相应的，令牌生成网元接收来自第一网元的令牌获取请求。该令牌获取请求包括NF服务消费网元的标识和指定服务的标识。

令牌获取请求用于请求获取第一访问令牌，令牌获取请求包括的参数可参见步骤701，此处不再赘述。

可选的，令牌获取请求还用于请求获取第二访问令牌，第二访问令牌用于指示NF服务消费网元具有访问第一SCP网元的权限，或者用于指示NF服务消费网元具有通过第一SCP网元向NF服务提供网元获取指定服务的权限。用于请求获取第二访问令牌的令牌获取请求，与用于请求获取第一访问令牌的令牌获取请求，可以是同一令牌获取请求，也可以是不同的令牌获取请求。

在图9实施例中，第一访问令牌用于间接通信场景下，NF服务提供网元对NF服务消费网元的授权验证。

可选的，令牌获取请求还用于请求获取直接通信场景下的访问令牌(access token)，access token可以不包括服务域信息，或者，access token可以包括服务域信息，关于该access token的内容可参见前文描述。

步骤902，响应于该令牌获取请求，令牌生成网元生成第一访问令牌，该第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，该第一访问令牌包括NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息。

可选的，令牌生成网元根据令牌获取请求对NF服务消费网元进行授权检查，令牌生成网元对NF服务消费网元进行授权检查以及生成第一访问令牌的执行过程可参见步骤702中的具体描述，此处不再赘述。

可选的，若令牌获取请求还用于请求获取第二访问令牌，令牌生成网元还生成第二访问令牌。第二访问令牌中的服务域信息可包括第一网元所属的服务域的信息或第一网元允许接入SCP网元所属的服务域的信息。第二访问令牌还包括令牌生成网元的NF实例ID和NF服务消费网元的NF实例ID。可选的，第二访问令牌还包括NF服务消费网元隶属的NF set ID或NF服务消费网元允许接入的SCP网元所属的NF set ID，NF服务消费网元的切片信息(如S-NSSAI和或NSI ID)或NF服务消费网元允许接入的SCP网元的切片信息。相应的，第一SCP网元(即第一网元向第二网元发送的服务请求经过的第一个SCP网元) 在对第二访问令牌进行授权验证的过程，也包括对第二访问令牌中的NF set ID、切片信息进行验证，具体过程可参见步骤405a。

步骤903，令牌生成网元向第一网元发送令牌获取响应，令牌获取响应包括第一访问令牌，可选的，还包括第二访问令牌。相应的，第一网元接收来自令牌生成网元的令牌获取响应。

第一网元在接收到第一访问令牌和第二访问令牌的情况下，可通过访问令牌携带的参数区分访问令牌。第一访问令牌携带的参数包括NF服务提供网元的NF类型，第二访问令牌携带的参数包括SCP网元的类型(SCP Type)。因此，通过访问令牌中携带的参数是NF服务提供网元的NF类型还是SCP网元的类型，可确定该访问令牌是第一访问令牌还是第二访问令牌。

步骤901至步骤903描述了第一网元直接向令牌生成网元请求获取第一访问令牌的过程。在一种实现方式中，第一网元还可以通过第一SCP网元或者其他SCP网元向令牌生成网元请求获取第一访问令牌。具体的，第一网元通过第一SCP网元向令牌生成网元发送令牌获取请求1，该令牌获取请求1包括NF服务消费网元的标识和指定服务的标识；响应于令牌获取请求1，令牌生成网元生成第一访问令牌。该第一网元通过该第一SCP网元接收来自令牌生成网元的令牌获取响应1，令牌获取响应1包括该第一访问令牌。需要说明的是，令牌获取请求1可以非透传的方式传输至令牌生成网元，令牌生成网元发送的令牌获取响应1可以非透传的方式传输至第一网元。

在一种实现方式中，令牌生成网元在生成第一访问令牌之前，还可以确定以下一个或多个条件成立：NF服务消费网元与第一SCP网元归属于同一服务域，第一SCP网元服务的服务域包含NF服务消费网元所属的服务域，第一SCP网元服务的NF集包括NF服务消费网元所属的NF集，或者，第一SCP网元服务的切片包括NF服务消费网元所属的切片。

其中，上述一个或多个条件成立可表示：NF服务消费网元可通过第一SCP网元向令牌生成网元请求获取访问令牌(如第一访问令牌、第二访问令牌)，或第一SCP网元可为NF服务消费网元代理获取访问令牌。第一SCP网元的配置信息可包括但不限于：第一SCP网元所属的服务域的信息、第一SCP网元服务的服务域的信息、第一SCP网元服务的NF集的信息和第一SCP网元服务的切片的信息。NF服务消费网元的配置信息可包括但不限于：NF服务消费网元所属的服务域的信息、NF服务消费网元所属的NF集的信息和NF服务消费网元所属的切片的信息。因此，通过NF服务消费网元的配置信息和第一SCP的配置信息可判断上述条件是否成立。具体的，令牌生成网元根据令牌获取请求中NF服务消费网元的标识获取NF服务消费网元的配置信息。令牌生成网元根据建立传输层安全性协议(transport layer security，TLS)的过程中获取的第一SCP的标识或者令牌获取请求中的第一SCP的标识获取第一SCP的配置信息。

步骤904，第一网元向第一SCP网元发送针对指定服务的第二服务请求，第二服务请求包括第一访问令牌，可选的，还包括第二访问令牌。相应的，第一SCP网元接收来自第一网元的第二服务请求。

NF网元(包括第一网元)上配置有服务自己的一个或多个SCP网元的信息。第一网元通过间接通信方式进行通信时，根据配置的SCP信息确定第一SCP网元，向该第一SCP 网元发送第一服务请求。需要说明的是，参与第一网元向令牌生成网元请求获取第一访问令牌的过程的SCP网元，与参与第一网元向第二网元请求获取指定服务的过程的SCP网元，可以相同也可以不同，本申请实施例对此不做限定。

可选的，第二服务请求还包括CCA，用于NF服务提供网元验证NF服务消费网元的身份。

可选的，第一SCP网元在接收到第二访问令牌的情况下，对第二访问令牌进行验证，验证NF服务消费网元是否具有访问第一SCP网元的权限，例如参见图9中步骤905。需要说明的是，第二访问令牌可以携带在第二服务请求中，即与第一访问令牌携带于同一消息中，也可以与第一访问令牌携带于不同消息中。

第一SCP网元对第二访问令牌进行验证，可包括：根据第二访问令牌中的服务域信息，确定NF服务消费网元是否具有访问第一SCP网元的权限，以及对第二访问令牌中的claims其他的内容进行验证。可选的，还可以包括验证第二访问令牌的完整性，完整性校验成功，表示claims的内容未被篡改，进一步根据第二访问令牌中的claims进行授权验证，具体过程可参见步骤405a中的描述，此处不再赘述。换言之，在本申请实施例中，对访问令牌的验证包括该访问令牌中的所有参数进行验证。

第一SCP网元对第二访问令牌中的服务域信息的验证，与NF服务提供网元对第一访问令牌中的第一服务域信息的验证的过程类似，可参见步骤805中的描述。在一种实现方式中，若第二访问令牌中的服务域信息包括NF服务消费网元所属的服务域的信息，第一SCP网元可根据NF服务消费网元所属的服务域的信息和第一SCP网元本地配置的服务域信息，确定该NF服务消费网元是否具有访问该第一SCP网元的权限。其中，第一SCP网元本地配置的服务域信息可以包括：第一SCP网元服务的服务域的信息(即该第一SCP网元能够为归属于该服务域的网元提供服务)。若第二访问令牌中的服务域信息指示的服务域与第一SCP网元服务的服务域存在交集或者相同，则表示第一SCP网元能够服务该NF服务消费网元所属的服务域，则可以确定该NF服务消费网元具有访问第一SCP网元的权限。若第二访问令牌中的服务域信息指示的服务域与第一SCP网元服务的服务域不存在交集或者不相同，则表示第一SCP网元不能服务该NF服务消费网元所属的服务域，即该NF服务消费网元不具有访问第一SCP网元的权限。

在一种实现方式中，若第二访问令牌中的服务域信息包括NF服务消费网元允许接入的SCP网元所属的服务域的信息，第一SCP网元可根据NF服务消费网元允许接入的SCP网元所属的服务域和该第一SCP网元所属的服务域，确定该NF服务消费网元是否具有访问第一SCP网元的权限。其中，第一SCP网元可以获知自身所属的服务域，若第一SCP网元所属的服务域与NF服务消费网元允许接入的SCP网元所属的服务域存在交集或者相同，则可以确定该NF服务消费网元具有访问第一SCP网元的权限。若第一SCP网元所属的服务域与NF服务消费网元允许接入的SCP网元所属的服务域不存在交集或者不相同，则可以确定该NF服务消费网元不具有访问第一SCP网元的权限。

步骤905a是第一SCP网元对NF服务消费网元进行授权检查的一种方式，在另一种方式中，第一SCP网元可根据第一访问令牌对NF服务消费网元进行授权检查，以确定NF服务消费网元是否具有访问第一SCP网元的权限。

步骤905，第一SCP网元向第二网元发送针对指定服务的第一服务请求，该第一服务请求包括第一访问令牌。相应的，第二网元接收来自第一SCP网元的第一服务请求。

可选的，若第一SCP网元接收到第二访问令牌，且对第二访问令牌的验证通过，第一SCP网元响应于第二服务请求，向第二网元发送针对指定服务的第一服务请求。可选的，第二服务请求包括CCA，第一服务请求还包括CCA。

可选的，第一服务请求还可以包括第三访问令牌，用于指示第一SCP网元具有通信代理的权限，以便第二网元对第一SCP网元进行授权检查。可选的，第一SCP网元可以向令牌获取网元请求获取第三访问令牌。用于获取第三访问令牌的令牌获取请求可以包括第一SCP网元的标识，还可以包括通信代理服务的名称，以指示令牌生成网元针对第一SCP网元期望获取的通信代理服务生成访问令牌(即第三访问令牌)。第三访问令牌可以携带在第一服务请求中，即与第一访问令牌携带于同一消息中，也可以与第一访问令牌携带于不同消息中。

步骤906，第二网元对第一访问令牌进行验证。步骤906的执行过程可参见步骤805的具体描述，此处不赘述。

第二网元在接收到第三访问令牌的情况下，根据该第三访问令牌，确定第一SCP网元是否具有向第二网元发送第一服务请求的权限，即确定第一SCP网元是否具有为待发送至第二网元的消息提供路由和转发功能的权限。也就是说，对第三访问令牌进行验证，确定第一SCP网元是否具有通信代理的权限。

第一SCP网元是否具有通信代理的权限也可以描述为：第一SCP网元是否具有向第二网元发送第一服务请求的权限。

第二网元对第三访问令牌进行验证，可包括：根据第三访问令牌中的服务域信息，确定第一SCP网元是否具有通信代理的权限，以及对第三访问令牌中的claims的其他内容进行验证。可选的，还可以包括验证第三访问令牌的完整性，完整性校验成功，表示claims的内容未被篡改，进一步根据第三访问令牌中的claims进行授权验证，具体过程可参见步骤405a中的描述，此处不再赘述。需要说明的是，第三访问令牌和第二访问令牌均是在相邻的两跳之间进行验证，区别在于，第二访问令牌用于验证NF服务消费网元，第三访问令牌用于验证SCP网元。对第二访问令牌的验证结果是：NF服务消费网元是否具有访问下一跳SCP网元的权限，对第三访问令牌的验证结果是：对于下一跳网元，SCP网元是否具有通信代理的权限。因此，对第三访问令牌的验证过程，与对第二访问令牌的验证过程类似，此处简要描述，具体可参见对第二访问令牌的验证过程。

第三访问令牌中的服务域信息可以包括：第一SCP网元所属的服务域的信息或第一SCP网元允许接入的SCP网元所属的服务域的信息。若第三访问令牌中的服务域信息包括第一SCP网元所属的服务域的信息，第三访问令牌中的服务域信息指示的服务域与第一SCP网元的下一跳网元(如称为第二SCP网元)本地配置的服务的服务域存在交集或相同，则表示第二SCP网元能够服务该第一SCP网元所属的服务域，则可以确定该第一SCP网元具有通信代理的权限。若第三访问令牌中的服务域信息包括第一SCP网元允许接入的SCP网元所属的服务域的信息，第三访问令牌中的服务域信息指示的服务域与第二SCP网元所属的服务域存在交集或者相同，表示该第一SCP网元具有通信代理的权限。

可选的，第三访问令牌还可以包括第一SCP网元所属的NF set ID或第一SCP网元允许接入的其他网元(如SCP网元或NF服务提供网元)所属的NF set ID，第一SCP网元的所属的切片的信息(如S-NSSAI和或NSI ID)或第一SCP网元允许接入的其他网元(如SCP网元或NF服务提供网元)所属的切片的信息。相应的，第一SCP网元的下一跳网元(如第二SCP网元或NF服务提供网元)在对第三访问令牌进行验证的过程，也包括对第三访问令牌中的NF set ID、切片信息进行验证，具体过程可参见前述。

需要说明的是，在图9实施例中，第二网元为NF服务提供网元仅用于举例。在其他实现方式中，第一SCP网元和第二网元之间还可以通过一个或多个SCP网元进行交互，其中，每个SCP网元均可以根据前一跳SCP网元从令牌生成网元获取的访问令牌，对该前一跳SCP网元进行验证，以验证该前一跳SCP网元是否具有通信代理的权限。

步骤907，第一访问令牌验证通过，第二网元向第一SCP网元发送第一服务响应，第一服务响应用于响应该第一服务请求。相应的，第一SCP网元接收来自第二网元的第一服务响应。

步骤908，第一SCP网元向第一网元发送第二服务响应，第二服务响应用于响应该第二服务请求。相应的，第一网元接收来自第一SCP网元的第二服务响应。

相较于直接通信场景，间接通信场景下服务授权过程中涉及的网元较多，安全性较差。通过第一访问令牌，NF服务提供网元可以对NF服务消费网元进行授权检查，实现对非直接通信的对端进行授权检查。另外，通过第二访问令牌、第三访问令牌，可以检查上一跳网元是否具有接入本网元的权限，或是否具有通信代理的权限。可以实现直接通信的两端之间的授权检查，从而有利于提高服务授权的安全性。

请参见图10，为本申请实施例提供的又一种服务授权方法的流程示意图，该方法描述了间接通信场景下的服务授权流程，具体描述了模式D下的服务授权流程，第一SCP网元对第二SCP网元的授权验证、NF服务提供网元对第二SCP网元的授权验证。其中，第一网元为第二SCP网元(例如为图6中SCP网元#1)，第一SCP网元例如为图6中SCP网元#2，第二网元为NF服务提供网元。该方法可以包括但不限于如下步骤：

步骤1000，NF服务消费网元向第一网元发送针对指定服务的服务请求。相应的，第一网元接收来自NF服务消费网元的服务请求。

该服务请求，用于请求向NF服务提供网元请求获取指定服务。其中，该服务请求可以包括NF服务消费网元的标识和指定服务的标识。可选的，该服务请求还包括用于获取第一访问令牌所需的参数。可选的，该服务请求还包括用于发现NF服务提供网元的参数。关于NF服务提供网元的发现流程可参见前文描述。需要说明的是，本申请实施例可采用前文提及的模式C和模式D等发现方式，具体过程可参见前文描述，此处不赘述。

可选的，该服务请求还包括CCA，用于NF服务提供网元验证NF服务消费网元的身份。

步骤1001，第一网元向令牌生成网元发送令牌获取请求。相应的，令牌生成网元接收来自第一网元的令牌获取请求。该令牌获取请求包括NF服务消费网元的标识和指定服务的标识。

第一网元接收到来自NF服务消费网元的服务请求，可以获知NF服务消费网元需要获取服务。进而，第一网元(即第二SCP网元)向令牌生成网元发送令牌获取请求，以获取第一访问令牌。令牌获取请求包括的参数可参见步骤701，此处不再赘述。

可选的，令牌获取请求还用于请求获取第三访问令牌，在图10实施例中，第三访问令牌用于指示第一网元(即第二SCP网元)具有通信代理的权限。可选的，令牌获取请求还用于请求获取第二访问令牌，在图10实施例中，第二访问令牌用于指示NF服务消费网元具有访问第一网元的权限。可选的，用于请求获取第二访问令牌的令牌获取请求，与用于请求获取第一访问令牌的令牌获取请求，与用于请求获取第三访问令牌的令牌获取请求，可以是同一令牌获取请求，也可以是不同的令牌获取请求。其中，第二访问令牌的相关内容可参见前文描述。第三访问令牌用于指示第一网元具有通信代理的权限，在图9和图10实施例中，第三访问令牌均用于指示SCP网元#1具有通信代理的权限，关于第三访问令牌的内容可参见前文描述。

步骤1002，响应于令牌获取请求，令牌生成网元生成第一访问令牌，该第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，该第一访问令牌包括NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息。

可选的，令牌生成网元还生成第三访问令牌，可选的，还生成第二访问令牌。

步骤1003，令牌生成网元向第一网元发送令牌获取响应，令牌获取响应包括第一访问令牌，可选的，还包括第三访问令牌，可选的，还包括第二访问令牌。相应的，第一网元接收来自令牌生成网元的令牌获取响应。

若第一网元(即第二SCP网元)获取到第二访问令牌，可通过第二访问令牌对NF服务消费网元进行验证。验证通过，可以向第一SCP网元发送针对指定服务的第二服务请求。对第二访问令牌进行验证的执行过程可参见步骤904中的描述，区别在于：步骤904中用于验证NF服务消费网元是否具有访问第一SCP网元的权限，步骤1003中用于验证NF服务消费网元是否具有访问第二SCP网元的权限。在图10中，第二SCP网元可理解为第一SCP网元的上一跳网元。

第一访问令牌、第二访问令牌和第三访问令牌可以携带同一令牌获取响应中，也可以携带于不同令牌获取响应中。

步骤1004，第一网元向第一SCP网元发送针对指定服务的第二服务请求，第二服务请求包括第一访问令牌，可选的，还包括第三访问令牌。相应的，第一SCP网元接收来自第一网元的第二服务请求。

可选的，若前述服务请求包括CCA，第二服务请求还包括CCA。

可选的，若第一SCP网元获取到第三访问令牌，可对第三访问令牌进行验证，例如参见图10中步骤1005a。对第三访问令牌进行验证的执行过程可参见步骤906中的描述，区别在于步骤906中用于验证第一SCP网元是否具有通信代理的权限，步骤1004中用于验证第二SCP网元是否具有通信代理的权限。

可选的，图10所示服务授权流程还可以包括获取第四访问令牌的流程，例如参见图10所示步骤1005b～1005d。其中，步骤1005b，第一SCP网元向令牌生成网元发送用于请求获取第四访问令牌的令牌获取请求，用于获取第四访问令牌的令牌获取请求可以包括第一SCP网元的标识，还可以包括通信代理服务的名称，以指示令牌生成网元针对第一SCP网元期望获取的通信代理服务生成第四访问令牌。第四访问令牌用于指示NF服务提供网元，第一SCP网元具有通信代理的权限。步骤1005c，响应于用于获取第四访问令牌的令牌获取请求，令牌生成网元生成第四访问令牌。步骤1005d，令牌生成网元向第一SCP网元发送令牌获取响应，该响应包括第四访问令牌。第四访问令牌与第三访问令牌类似，均用于对SCP网元进行验证，相关第四访问令牌的内容可参考第三访问令牌。

图10实施例以NF服务消费网元和NF服务提供网元之间通过两个网元(第一网元(即第二SCP网元)和第一SCP网元)进行交互为例，在服务授权过程中，对服务请求经过的每个中间网元均进行了验证。相应的，中间网元(即第二SCP网元和第一SCP网元)需要从令牌生成网元请求获取相应的访问令牌。通过这种方式有利于提高服务授权的安全性。

步骤1005，第一SCP网元向第二网元发送针对指定服务的第一服务请求，该第一服务请求包括第一访问令牌，可选的，包括第四访问令牌。相应的，第二网元接收来自第一SCP网元的第一服务请求。

可选的，若对第三访问令牌的验证通过(即第一SCP网元对第二SCP网元的授权检查通过)，第一SCP网元可以向第二网元发送针对指定服务的第一服务请求。可选的，若第二服务请求还包括CCA，第一服务请求还包括CCA。

步骤1006，第二网元对第一访问令牌进行验证。可选的，若第一服务请求包括第四访问令牌，还对第四访问令牌进行验证。

步骤1006的执行过程可参见步骤805的具体描述，此处不赘述。关于对第四访问令牌的验证过程，可参考对于第三访问令牌的验证过程。

可选的，第四访问令牌还可以包括第一SCP网元所属的NF set ID或第一SCP网元允许接入的NF服务提供网元所属的NF set ID，第一SCP网元所属的切片的信息(如S-NSSAI和或NSI ID)或第一SCP网元允许接入的NF服务提供网元所属的切片的信息。相应的，NF服务提供网元在对第四访问令牌进行验证的过程，也包括对第四访问令牌中的NF set ID、切片信息进行验证，具体过程可参见前述。

需要说明的是，在本申请实施例中，一个网元需要对两个及其以上的访问令牌进行验证时，对验证顺序的先后不做限定。

步骤1007，第一访问令牌验证通过，第二网元向第一SCP网元发送第一服务响应，第一服务响应用于响应该第一服务请求。相应的，第一SCP网元接收来自第二网元的第一服务响应。

步骤1008，第一SCP网元向第一网元发送第二服务响应，第二服务响应用于响应该第二服务请求。相应的，第一网元接收来自第一SCP网元的第二服务响应。

步骤1009，第一网元向NF服务消费网元发送服务响应，服务响应用于响应步骤1000中的服务请求。相应的，NF服务消费网元接收来自第一网元的服务响应。

可选的，服务响应可以携带第一访问令牌，可选的，服务响应还可以携带第二访问令牌，以便NF服务消费网元后续使用。

在本申请实施例中，在服务授权的过程中，服务请求经过的每一跳网元，均对服务请求经过的上一跳网元进行授权检查，有利于提高服务授权的安全性。

对应于上述方法实施例给出的方法，本申请实施例还提供了相应的装置，包括用于执行上述实施例相应的模块。所述模块可以是软件，也可以是硬件，或者是软件和硬件结合。

请参见图11，为本申请提供的一种通信装置的结构示意图。图11所示的通信装置1100包括收发模块1101和处理模块1102。

在一种设计中，装置1100为第一网元：

示例性的，处理模块1102，用于通过收发模块1101从令牌生成网元获取第一访问令牌；其中，第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，该第一访问令牌包括NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息；

收发模块1101，还用于向第二网元发送针对该指定服务的第一服务请求，该第一服务请求包括该第一访问令牌。

装置1100为第一网元时，用于实现图7～图10所示实施例中第一网元的功能。

在一种设计中，装置1100为第二网元：

示例性的，收发模块1101，用于接收第一服务请求，并发送第一服务响应；该第一服务响应用于响应该第一服务请求，第一服务请求包括第一访问令牌，该第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，该第一访问令牌包括该NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息。

装置1100为第二网元时，用于实现图7～图10所示实施例中第二网元的功能。

在一种设计中，装置1100为令牌生成网元：

示例性的，收发模块1101，用于接收令牌获取请求，该令牌获取请求包括NF服务消费网元的标识和指定服务的标识；

处理模块1102，用于响应于该令牌获取请求，生成第一访问令牌，第一访问令牌用于指示NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，第一访问令牌包括该NF服务消费网元的标识、指定服务的标识以及与指定服务域关联的第一服务域信息；

收发模块1101，还用于发送令牌获取响应，令牌获取响应包括第一访问令牌。

装置1100为令牌生成网元时，用于实现图7～图10所示实施例中令牌生成网元的功能。

请参见图12，为本申请提供的另一种通信装置的结构示意图。图12所示的通信装置1200包括至少一个处理器1201、存储器1202，可选的，还可包括收发器1203。本申请实施例中不限定上述处理器1201以及存储器1202之间的具体连接介质。图12中以存储器1202和处理器1201之间通过总线1204连接为例，总线1204在图中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。该总线1204可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器1201可以具有数据收发功能，能够与其他设备进行通信，在如图12所示的装置中，也可以设置独立的数据收发模块，例如收发器1203，用于收发数据；处理器1201在与其他设备进行通信时，可以通过收发器1203进行数据传输。

一种示例中，当第一网元采用图12所示的形式时，图12中的处理器1201可以通过调用存储器1202中存储的计算机执行指令，使得第一网元执行图7～图10任一实施例中的第一网元执行的方法。

一种示例中，当第二网元采用图12所示的形式时，图12中的处理器1201可以通过调用存储器1202中存储的计算机执行指令，使得第二网元执行图7～图10任一实施例中的第二网元执行的方法。

一种示例中，当令牌生成网元采用图12所示的形式时，图12中的处理器1201可以通过调用存储器1202中存储的计算机执行指令，使得令牌生成网元执行图7～图10实施例中的令牌生成网元执行的方法。

具体的，图7的处理模块和收发模块的功能/实现过程均可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现。或者，图7的处理模块的功能/实现过程可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现，图7的收发模块的功能/实现过程可以通过图12中的收发器1203来实现。

本申请实施例还提供一种服务授权系统，该系统可以包括图6～图10中的第一网元和第二网元。可选的，还可以包括图6～图10中的令牌生成网元。可选的，还可以包括图6～图10中的一个或多个SCP网元，例如该系统还包括第一SCP网元。

本申请所描述的方案可通过各种方式来实现。例如，这些技术可以用硬件、软件或者硬件结合的方式来实现。对于硬件实现，用于在通信装置(例如，基站，终端、网络实体、核心网网元或芯片)处执行这些技术的处理模块，可以实现在一个或多个通用处理器、数字信号处理器(digital signal processor，DSP)、数字信号处理器件、专用集成电路(application specific integrated circuit，ASIC)、可编程逻辑器件、现场可编程门阵列(field programmable gate array，FPGA)、或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合中。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器 (enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请还提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被计算机执行时实现上述任一方法实施例的功能。

本申请还提供了一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

可以理解的是，本申请实施例中的一些可选的特征，在某些场景下，可以不依赖于其他特征，比如其当前所基于的方案，而独立实施，解决相应的技术问题，达到相应的效果，也可以在某些场景下，依据需求与其他特征进行结合。相应的，本申请实施例中给出的装置也可以相应的实现这些特征或功能，在此不予赘述。

本领域技术人员还可以理解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员对于相应的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本申请实施例保护的范围。

可以理解，说明书通篇中提到的“实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各个实施例未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。可以理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

可以理解，在本申请中，“当…时”、“若”以及“如果”均指在某种客观情况下装置会做出相应的处理，并非是限定时间，且也不要求装置实现时一定要有判断的动作，也不意味着存在其它限定。

本申请中对于使用单数表示的元素旨在用于表示“一个或多个”，而并非表示“一个且仅一个”，除非有特别说明。本申请中，在没有特别说明的情况下，“至少一个”旨在用于表示“一个或者多个”，“多个”旨在用于表示“两个或两个以上”。

另外，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A可以是单数或者复数，B可以是单数或者复数。

本申请中的预定义可以理解为定义、预先定义、存储、预存储、预协商、预配置、固化、或预烧制。

本领域普通技术人员可以理解，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请中各个实施例之间相同或相似的部分可以互相参考。在本申请中各个实施例、以及各实施例中的各个实施方式/实施方法/实现方法中，如果没有特殊说明以及逻辑冲突，不同的实施例之间、以及各实施例中的各个实施方式/实施方法/实现方法之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例、以及各实施例中的各个实施方式/实施方法/实现方法中的技术特征根据其内在的逻辑关系可以组合形成新的实施例、实施方式、实施方法、或实现方法。以上所述的本申请实施方式并不构成对本申请保护范围的限定。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。

Claims

一种服务授权方法，其特征在于，所述方法包括：

第一网元从令牌生成网元获取第一访问令牌；其中，所述第一访问令牌用于指示网络功能NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，所述第一访问令牌包括所述NF服务消费网元的标识、所述指定服务的标识以及与所述指定服务域关联的第一服务域信息；

所述第一网元向第二网元发送针对所述指定服务的第一服务请求，所述第一服务请求包括所述第一访问令牌。
根据权利要求1所述的方法，其特征在于，所述第一服务域信息用于指示所述NF服务消费网元所属的服务域，或者，用于指示所述NF服务消费网元允许接入的NF服务提供网元所属的服务域。
根据权利要求1或2所述的方法，其特征在于，所述方法应用于间接通信场景；所述第一网元向第二网元发送针对所述指定服务的第一服务请求，包括：

所述第一网元通过第一服务通信代理SCP网元向第二网元发送针对所述指定服务的第一服务请求。
根据权利要求3所述的方法，其特征在于，所述第一网元从令牌生成网元获取第一访问令牌，包括：

所述第一网元通过所述第一SCP网元向所述令牌生成网元发送令牌获取请求，所述令牌获取请求包括所述NF服务消费网元的标识和所述指定服务的标识；

所述第一网元通过所述第一SCP网元接收来自所述令牌生成网元的令牌获取响应，所述令牌获取响应包括所述第一访问令牌。
根据权利要求3所述的方法，其特征在于，所述第一网元从令牌生成网元获取第一访问令牌，包括：

所述第一网元向所述令牌生成网元发送令牌获取请求；所述令牌获取请求包括所述NF服务消费网元的标识和所述指定服务的标识；

所述第一网元接收来自所述令牌生成网元的令牌获取响应，所述令牌获取响应包括所述第一访问令牌。
根据权利要求4或5所述的方法，其特征在于，所述令牌获取响应还包括第二访问令牌；其中，所述第二访问令牌用于指示所述NF服务消费网元具有访问所述第一SCP网元的权限。
根据权利要求6所述的方法，其特征在于，所述第一网元通过所述第一SCP网元向所述第二网元发送针对所述指定服务的第一服务请求，包括：

所述第一网元向所述第一SCP网元发送针对所述指定服务的第二服务请求，所述第二服务请求包括所述第一访问令牌和所述第二访问令牌；

所述第二访问令牌用于所述第一SCP网元确定所述NF服务消费网元具有访问所述第一SCP网元的权限，并响应于所述第二服务请求，向所述第二网元发送针对所述指定服务的第一服务请求。
根据权利要求7所述的方法，其特征在于，所述第一服务请求还包括第三访问令牌；所述第三访问令牌用于指示所述第一SCP网元具有通信代理的权限。
根据权利要求4-8任一所述的方法，其特征在于，所述令牌获取请求包括指示信息，所述指示信息用于指示所述NF服务消费网元请求获取含有所述第一服务域信息的令牌。
根据权利要求1-9任一所述的方法，其特征在于，所述第一网元为所述NF服务消费网元或第二SCP网元，所述第二网元为所述NF服务消费网元。
根据权利要求1-10任一所述的方法，其特征在于，所述令牌生成网元为网络功能仓储功能NRF网元。
根据权利要求1-11任一所述的方法，其特征在于，所述第一访问令牌还包括所述NF服务提供网元的标识或所述NF服务提供网元的类型。
根据权利要求1-12任一所述的方法，其特征在于，所述指定服务域为指定SCP域、指定安全域或指定SCP安全域。
根据权利要求1-13任一所述的方法，其特征在于，所述第一访问令牌还包括以下一个或者多个：

所述NF服务提供网元的NF类型，到期时间，所述NF服务提供网元实例的单网络切片选择辅助信息S-NSSAI列表或网络切片实例标识NSI ID列表或者所述NF服务提供网元所属的NF集合的标识。
一种服务授权方法，其特征在于，所述方法包括：

第二网元接收第一服务请求，所述第一服务请求包括第一访问令牌，所述第一访问令牌用于指示网络功能NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，所述第一访问令牌包括所述NF服务消费网元的标识、所述指定服务的标识以及与所述指定服务域关联的第一服务域信息；

所述第二网元发送第一服务响应，所述第一服务响应用于响应所述第一服务请求。
根据权利要求15所述的方法，其特征在于，所述第二网元为所述NF服务提供网元；所述方法还包括：

所述第二网元根据所述第一访问令牌，确定所述NF服务消费网元具有访问所述NF服务提供网元提供的服务的权限。
根据权利要求16所述的方法，其特征在于，所述第一服务域信息用于指示所述NF服务消费网元所属的服务域；

所述第二网元根据所述第一访问令牌，确定所述NF服务消费网元具有访问所述NF服务提供网元提供的服务的权限，包括：

所述第二网元根据所述NF服务消费网元所属的服务域和本地配置的服务域信息，确定所述NF服务消费网元具有访问所述NF服务提供网元提供的服务的权限。
根据权利要求16所述的方法，其特征在于，所述第一服务域信息用于指示所述NF服务消费网元允许接入的NF服务提供网元所属的服务域；

所述第二网元根据所述第一访问令牌，确定所述NF服务消费网元具有访问所述NF服务提供网元提供的服务的权限，包括：

所述第二网元根据所述NF服务提供网元所属的服务域和所述NF服务消费网元允许接入的NF服务提供网元所属的服务域，确定所述NF服务消费网元具有访问所述NF服务提供网元提供的服务的权限。
根据权利要求15-18任一所述的方法，其特征在于，所述方法应用于间接通信场景；所述第一服务请求来自第一服务通信代理SCP网元，所述第一服务请求还包括第三访问令牌，所述第三访问令牌用于指示所述第一SCP网元具有通信代理的权限；

所述方法还包括：

所述第二网元根据所述第三访问令牌，确定所述第一SCP网元具有向所述第二网元发送所述第一服务请求的权限。
根据权利要求15-19任一所述的方法，其特征在于，所述第一访问令牌还包括以下一个或者多个：

所述NF服务提供网元的NF类型，到期时间，所述NF服务提供网元实例的单网络切片选择辅助信息S-NSSAI列表或网络切片实例标识NSI ID列表或者所述NF服务提供网元所属的NF集合的标识。
一种服务授权方法，其特征在于，所述方法包括：

令牌生成网元接收令牌获取请求，所述令牌获取请求包括网络功能NF服务消费网元的标识和指定服务的标识；

响应于所述令牌获取请求，所述令牌生成网元生成第一访问牌，所述第一访问令牌用于指示所述NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的所述指定服务的权限，所述第一访问令牌包括所述NF服务消费网元的标识、所述指定服务的标识以及与所述指定服务域关联的第一服务域信息；

所述令牌生成网元发送令牌获取响应，所述令牌获取响应包括所述第一访问令牌。
根据权利要求21所述的方法，其特征在于，所述第一服务域信息用于指示所述NF服务消费网元所属的服务域，或者，用于指示所述NF服务消费网元允许接入的NF服务提供网元所属的服务域。
根据权利要求21或22所述的方法，其特征在于，所述令牌获取请求包括指示信息；所述指示信息用于指示所述NF服务消费网元请求获取含有所述第一服务域信息的令牌；

所述令牌生成网元生成第一访问令牌，包括：

所述令牌生成网元根据所述指示信息，生成所述第一访问令牌。
根据权利要求21或22所述的方法，其特征在于，所述令牌生成网元生成第一访问令牌，包括：

在所述令牌生成网元的本地策略支持生成含有所述第一服务域信息的令牌的情况下，所述令牌生成网元生成所述第一访问令牌。
根据权利要求21或22所述的方法，其特征在于，所述令牌生成网元生成第一访问令牌，包括：

所述令牌生成网元根据所述NF服务消费网元的NF类型、所述NF服务提供网元的NF类型、所述NF服务消费网元的配置信息或所述NF服务提供网元的配置信息中的一种或多种，生成所述第一访问令牌。
根据权利要求21-25任一项所述的方法，其特征在于，所述令牌获取请求来自所述 NF服务消费网元；

所述令牌生成网元发送令牌获取响应，包括：

所述令牌生成网元向所述NF服务消费网元发送令牌获取响应。
根据权利要求21-25任一项所述的方法，其特征在于，所述令牌获取请求来自第一服务通信代理SCP网元；

所述令牌生成网元发送令牌获取响应，包括：

所述令牌生成网元向所述第一SCP发送令牌获取响应。
根据权利要求27所述的方法，其特征在于，所述令牌生成网元生成第一访问令牌之前，所述方法还包括：

所述令牌生成网元确定以下一个或多个条件成立：所述NF服务消费网元与所述第一SCP网元归属于同一服务域，所述第一SCP网元服务的服务域包括所述NF服务消费网元所属的服务域，所述第一SCP网元服务的NF集包括所述NF服务消费网元所属的NF集，或者所述第一SCP网元服务的切片包括所述NF服务消费网元所属的切片。
根据权利要求27或28所述的方法，其特征在于，所述方法还包括：

所述令牌生成网元生成第三访问令牌，所述第三访问令牌用于指示所述第一SCP网元具有通信代理的权限；

所述令牌生成网元向所述第一SCP网元发送所述第三访问令牌。
根据权利要求27-29任一项所述的方法，其特征在于，所述方法还包括：

所述令牌生成网元生成第二访问令牌，所述第二访问令牌用于指示所述NF服务消费网元具有访问所述第一SCP网元的权限。
根据权利要求30所述的方法，其特征在于，所述令牌获取响应还包括所述第二访问令牌。
根据权利要求21-31任一所述的方法，其特征在于，所述令牌生成网元为网络功能仓储功能NRF网元。
根据权利要求21-32任一所述的方法，其特征在于，所述第一访问令牌还包括以下一个或者多个：

所述NF服务提供网元的NF类型，到期时间，所述NF服务提供网元实例的单网络切片选择辅助信息S-NSSAI列表或网络切片实例标识NSI ID列表或者所述NF服务提供网元所属的NF集合的标识。
一种服务授权系统，其特征在于，所述系统包括第一网元和第二网元；

所述第一网元，用于从令牌生成网元获取第一访问令牌；其中，所述第一访问令牌用于指示网络功能NF服务消费网元具有访问归属于指定服务域的NF服务提供网元提供的指定服务的权限，所述第一访问令牌包括所述NF服务消费网元的标识、所述指定服务的标识以及与所述指定服务域关联的第一服务域信息；向所述第二网元发送针对所述指定服务的第一服务请求，所述第一服务请求包括所述第一访问令牌；

所述第二网元，用于接收所述第一服务请求，发送第一服务响应，所述第一服务响应用于响应所述第一服务请求。
根据权利要求34所述的系统，其特征在于，所述第二网元为所述NF服务提供网元；

所述第二网元，还用于根据所述第一访问令牌，确定所述NF服务消费网元具有访问所述NF服务提供网元提供的服务的权限。
根据权利要求35所述的系统，其特征在于，所述第一服务域信息用于指示所述NF服务消费网元所属的服务域；

所述第二网元，具体用于根据所述NF服务消费网元所属的服务域和本地配置的服务域信息，确定所述NF服务消费网元具有访问所述NF服务提供网元提供的服务的权限。
根据权利要求35所述的系统，其特征在于，所述第一服务域信息用于指示所述NF服务消费网元允许接入的NF服务提供网元所属的服务域；

所述第二网元，具体用于根据所述NF服务提供网元所属的服务域和所述NF服务消费网元允许接入的NF服务提供网元所属的服务域，确定所述NF服务消费网元具有访问所述NF服务提供网元提供的服务的权限。
根据权利要求34-37任一项所述的系统，其特征在于，所述系统应用于间接通信场景，所述系统还包括第一服务通信代理SCP网元；

所述第一网元，具体用于通过所述第一SCP网元向所述第二网元发送所述第一服务请求。
根据权利要求38所述的系统，其特征在于，

所述第一网元，具体用于通过所述第一SCP网元向所述令牌生成网元发送令牌获取请求，并通过所述第一SCP网元接收来自所述令牌生成网元的令牌获取响应，所述令牌获取请求包括所述NF服务消费网元的标识和所述指定服务的标识，所述令牌获取响应包括所述第一访问令牌。
根据权利要求39所述的系统，其特征在于，所述令牌获取响应还包括第二访问令牌；其中，所述第二访问令牌用于指示所述NF服务消费网元具有访问所述第一SCP网元的权限。
根据权利要求40所述的系统，其特征在于，

所述第一网元，具体用于向所述第一SCP网元发送针对所述指定服务的第二服务请求，所述第二服务请求包括所述第一访问令牌和所述第二访问令牌；

所述第一SCP网元，用于根据所述第二访问令牌确定所述NF服务消费网元具有访问所述第一SCP网元的权限，并响应于所述第二服务请求，向所述第二网元发送所述第一服务请求。
根据权利要求39-41任一所述的系统，其特征在于，所述令牌获取请求包括指示信息；所述指示信息用于指示所述NF服务消费网元请求获取含有所述第一服务域信息的令牌。
根据权利要求34-42任一所述的系统，其特征在于，所述第一访问令牌还包括以下一个或者多个：

所述NF服务提供网元的NF类型，到期时间，所述NF服务提供网元实例的单网络切片选择辅助信息S-NSSAI列表或网络切片实例标识NSI ID列表或者所述NF服务提供网元所属的NF集合的标识。
根据权利要求34-43任一所述的系统，其特征在于，所述系统还包括所述令牌生成网元；

所述令牌生成网元用于接收令牌获取请求，响应于所述令牌获取请求，生成所述第一访问令牌，并发送令牌获取响应，所述令牌获取响应包括所述第一访问令牌；所述令牌获取请求包括所述NF服务消费网元的标识和所述指定服务的标识。
一种通信装置，其特征在于，所述装置包括处理模块和收发模块，所述处理模块和所述收发模块用于所述装置执行权利要求1～33中任一项所述的方法。
一种通信装置，其特征在于，所述装置包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序，当所述程序被所述处理器执行时，使得所述装置执行如权利要求1～33中任一项所述的方法。
一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被执行时使得计算机执行如权利要求1～33中任一项所述的方法。