CN117812590A - 一种通信方法及装置、计算机可读存储介质和通信系统 - Google Patents

Abstract

一种通信方法及装置、计算可读存储介质和通信系统，该方法包括：第一网元接收来自第一终端设备的服务请求消息，所述服务请求消息包括第二终端设备的标识和凭证，第二终端设备通过第一终端设备请求服务，凭证由第三终端设备生成。第一网元确定凭证是否有效，在第一网元确定凭证有效的情况下，第一网元响应于所述服务请求消息。采用上述设计，由于第一网元需要验证凭证，而对于未携带凭证的服务请求消息，则第一网元可以将其识别为伪造的服务请求消息，因此能够提升网络安全性，有利于减少攻击场景。

Description

一种通信方法及装置、计算机可读存储介质和通信系统

技术领域

本申请实施例涉及无线通信领域，尤其涉及一种通信方法及装置、计算可读存储介质和通信系统。

背景技术

在物联网(internet of things，IoT)场景下，一些IoT设备不具备直接接入网络的能力，这些IoT设备需要通过其他终端设备接入网络侧，进而获得网络侧提供的服务。

当前，IoT设备有一个信任的终端设备(userequipment，UE)或者是为同一个用户提供服务的UE，该UE被称之为主UE(Host UE)。而IoT设备经常离线，可以通过客属终端设备(Guest UE)接入网络侧请求服务。但是Guest UE是不可信的，有可能发起攻击。例如，IoT设备和Host UE属于一个用户，Guest UE不属于该用户，则当IoT设备通过Guest UE请求网络侧服务时，若Guest UE为恶意设备，则Guest UE可能伪造IoT设备的请求发起攻击。

如图1所示，由于IoT设备无法直接连接网络侧，因此Guest UE可能存在以下攻击可能性：

(1)Guest UE可能伪造IoT设备的请求，向网络侧设备请求业务数据，例如，业务数据可以包括IoT设备对应的Host UE的位置信息或签约信息等。

(2)Guest UE可能伪造IoT设备的请求，触发网络侧设备向Host UE发送通知消息，对Host UE造成骚扰。

基于上述攻击场景，如何预防Guest UE发起攻击提升网络安全性是一个亟需解决的问题。

发明内容

本申请提供一种通信方法及装置、计算可读存储介质和通信系统，用以实现预防Guest UE发起攻击提升网络安全性。

第一方面，本申请提供一种通信方法，该方法包括：

第一网元接收来自第一终端设备的服务请求消息，所述服务请求消息包括第二终端设备的标识和凭证，所述第二终端设备通过所述第一终端设备请求服务，所述凭证由第三终端设备生成；所述第一网元确定所述凭证是否有效；在所述第一网元确定所述凭证有效的情况下，所述第一网元响应于所述服务请求消息；

采用上述设计，第二终端设备可以通过第一终端设备向第一网元请求服务，其中，服务请求消息包括第二终端设备的标识和凭证，第一网元可以验证凭证的有效性，并根据凭证是否有效决定是否响应服务请求消息。由于第一网元需要验证凭证，而对于未携带凭证的服务请求消息，则第一网元可以将其识别为伪造的服务请求消息，因此能够提升网络安全性，有利于减少攻击场景。

在一种可能的设计中，在所述第一网元确定所述凭证是否有效时，所述第一网元基于获取的所述凭证的标识与所述第三终端设备的标识的映射关系，确定所述凭证是否有效。

在一种可能的设计中，在所述第一网元确定所述凭证有效时，所述第一网元根据所述映射关系验证所述凭证的标识与所述第三终端设备的标识相匹配，则确定所述凭证有效。

采用上述设计，第一网元可以根据映射关系确定凭证有效，也即表明该凭证之前已注册，进而确定凭证有效。

在一种可能的设计中，在所述第一网元获取所述凭证的标识与第三终端设备的标识的映射关系时，所述第一网元存储所述凭证的标识和所述第三终端设备的标识的映射关系；或者，所述第一网元向第二网元发送查询消息，所述查询消息用于查询所述凭证的标识与所述第三终端设备的标识的映射关系；所述第一网元接收来自所述第二网元的查询响应消息，所述查询响应消息包括所述凭证的标识与所述第三终端设备的标识的映射关系。

采用上述设计，第一网元可以存储该映射关系，或者第一网元可以通过第二网元获得该映射关系。

在一种可能的设计中，在所述第一网元确定所述凭证有效时，还可以根据如下至少一项，确定所述凭证有效；所述至少一项包括：所述凭证的已使用次数小于所述凭证的最大使用次数；所述凭证的使用时间未超过所述凭证的过期时间戳；或所述第二终端设备的标识与所述凭证的标识相匹配。

采用上述设计可以有效减轻恶意的第一终端设备伪造服务请求发起攻击。

在一种可能的设计中，在所述第一网元确定所述凭证的已使用次数小于所述凭证的最大使用次数之后，所述第一网元向第二网元发送更新消息，所述更新消息用于更新所述凭证的已使用次数。

采用上述设计，第二网元可以保存并更新凭证的已使用次数。

在一种可能的设计中，所述第一网元接收来自所述第三终端设备的绑定信息，所述绑定信息用于指示所述凭证的标识和所述第二终端设备的标识具有绑定关系。

采用上述设计，第一网元可以提前获得所述凭证的标识和所述第二终端设备的标识具有绑定关系。

在一种可能的设计中，在第一网元接收来自第一终端设备的服务请求消息之前，所述第一网元接收来自所述第三终端设备的第一消息，所述第一消息包括所述第三终端设备的标识和所述凭证。第一网元存储所述凭证的标识与所述第三终端设备的标识的映射关系。

采用上述设计，第三终端设备可以生成凭证，并向第一网元注册，第一网元可以存储所述凭证的标识与所述第三终端设备的标识的映射关系，用于在接收到包括该凭证的服务请求消息时验证该凭证的有效性。

在一种可能的设计中，所述第一消息还包括所述凭证的业务类型、所述凭证的服务描述信息、所述凭证的标识中的至少一项。

在一种可能的设计中，在所述第一网元接收来自所述第三终端设备的第一消息后，所述第一网元执行如下至少一项：确定所述第三终端设备的身份验证通过；确定所述第三终端设备具有生成凭证的能力；确定在预设时长内所述第三终端设备已注册的凭证的数量加1未达到数量阈值。

可以理解的是，第三终端设备可以一次性注册多个凭证，或者第三终端设备可以分多次注册多个凭证，本申请对此不作限定。第一网元可以统计在预设时长内第三终端设备已注册的凭证的数量，即已注册的凭证总数。此外，第一网元可以预配置第三终端设备在预设时长内可注册的凭证的最大数量，即数量阈值。或者第一网元可以从第二网元或其他网元处获取该数量阈值。

当第一网元接收到第一消息之后，第一网元可以判断当前已注册的凭证的总数加1是否小于或等于该数量阈值，若是，第一网元可以存储所凭证的标识与所述第三终端设备的标识的映射关系或向第二网元发送指示信息，所述指示信息用于指示所述凭证的标识与所述第三终端设备的标识的映射关系，即该凭证注册成功，否则，第一网元可以拒绝注册该凭证，即该凭证注册失败。

采用上述设计，在第一网元接收来自第三终端设备的第一消息之后，第一网元可以对第三终端设备进行验证。

在一种可能的设计中，所述第一网元向第二网元发送请求消息，所述请求消息用于请求所述第一终端设备的配置信息；所述第一终端设备的配置信息用于指示所述第一终端设备是否具有生成凭证的能力，和/或所述数量阈值；所述第一网元接收来自所述第二网元的所述第一终端设备的配置信息。

采用上述设计，第一网元可以通过其他网元(例如第二网元)获取终端设备的配置信息，进而可以根据获得的配置信息对第三终端设备进行验证。

在一种可能的设计中，所述第一网元向所述第二网元发送指示信息，所述指示信息用于指示所述凭证的标识与所述第三终端设备的标识的映射关系。

采用上述设计，第一网元可以将凭证的标识与第三终端设备的标识的映射关系保存至其他网元。

在一种可能的设计中，所述指示信息还包括所述凭证的过期时间戳，和/或所述凭证的最大使用次数。

在一种可能的设计中，所述第一消息用于请求注册所述凭证；所述第二网元向第三终端设备发送第二消息，所述第二消息用于指示所述凭证注册成功。所述第二消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

在一种可能的设计中，在第一网元接收来自第一终端设备的服务请求消息之前，所述第一网元接收来自所述第三终端设备的第三消息，所述第三消息包括所述第一终端设备的标识，所述第三消息用于请求所述凭证；所述第一网元生成所述凭证；所述第一网元向所述第三终端设备发送第四消息，所述第四消息包括所述凭证。第一网元存储所述凭证的标识与所述第三终端设备的标识的映射关系。

采用上述设计，第一网元可以根据第三终端设备的请求生成凭证，并发送给第三终端设备，进一步可以存储凭证的标识与第三终端设备的标识的映射关系，用于在接收到包括该凭证的服务请求消息时验证该凭证的有效性。

在一种可能的设计中，所述第三消息还包括所述凭证的业务类型或者所述凭证的服务描述信息。

在一种可能的设计中，在所述第一网元向所述第三终端设备发送第四消息之前，所述第一网元执行如下至少一项：确定所述第三终端设备的身份验证通过；确定所述第三终端设备具有生成凭证的能力；确定在预设时长内所述第三终端设备已注册的凭证的数量加1未达到数量阈值。

在一种可能的设计中，所述第一网元向第二网元发送请求消息，所述请求消息用于请求所述第一终端设备的配置信息；所述第一终端设备的配置信息用于指示所述第一终端设备是否具有生成凭证的能力，和/或所述数量阈值；所述第一网元接收来自所述第二网元的所述第一终端设备的配置信息。

在一种可能的设计中，所述第四消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

在一种可能的设计中，在所述第一网元接收来自第一终端设备的服务请求消息之后，所述第一网元向所述第三终端设备发送第一通知消息，所述第一通知消息包括所述第一终端设备的位置信息。

采用上述设计，触发第一网元向第三终端设备发送消息也需要凭证有效作为前提，进而可以缓解不可信的第一终端设备对第三终端设备的骚扰行为。

在一种可能的设计中，所述服务请求消息指示解除所述第二终端设备与所述第三终端设备的绑定关系；在所述第一网元接收来自第一终端设备的服务请求消息之后，所述第一网元向所述第三终端设备发送第二通知消息，所述第二通知消息用于指示解除所述第二终端设备与所述第三终端设备的绑定关系。

采用上述设计，触发第一网元向第三终端设备发送消息也需要凭证有效作为前提，进而可以缓解不可信的第一终端设备对第三终端设备的骚扰行为。

在一种可能的设计中，所述第一网元根据所述服务请求消息修改所述第二终端设备的QoS参数。

在一种可能的设计中，在所述第一网元确定所述凭证无效的情况下，所述第一网元向所述第三终端设备发送第三通知消息，所述第三通知消息指示所述凭证无效的原因。

在一种可能的设计中，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

第二方面，本申请提供一种通信方法，方法包括：第一终端设备接收来自第二终端设备的服务请求消息，所述服务请求消息包括凭证和第二终端设备的标识，所述第二终端设备通过所述第一终端设备请求服务；所述第一终端设备向第一网元发送所述服务请求消息。

采用上述设计，第一终端设备可以接收第二终端设备的服务请求消息，发送至第一网元，以及接收来自第一网元的服务响应消息并发送至第二终端设备。

在一种可能的设计中，所述第一终端设备接收来自所述第一网元的服务响应消息；所述第一终端设备向所述第二终端设备发送所述服务响应消息。

在一种可能的设计中，在第一终端设备接收来自第二终端设备的服务请求消息之前，所述第一终端设备接收来自第三终端设备的广播消息，所述广播消息包括所述凭证或所述凭证的标识。

在一种可能的设计中，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

第三方面，本申请提供一种通信方法，该方法包括：第三终端设备生成凭证；所述第三终端设备向第一网元发送第一消息，所述第一消息包括所述第三终端设备的标识和所述凭证所述第三终端设备向第二终端设备发送所述凭证。

采用上述设计，第三终端设备可以生成凭证，并向第一网元注册，第三终端设备还可以向第二终端设备发送该凭证。可以理解的是，第三终端设备向第二终端设备发送该凭证可以在向第一网元发送第一消息之前或之后，本申请对此不作限定。

在一种可能的设计中，所述第二消息用于请求注册所述凭证；所述第三终端设备接收来自所述第一网元的第二消息，所述第二消息用于指示所述凭证注册成功。

可以理解的是，第三终端设备向第二终端设备发送该凭证也可以在第二消息之前或之后。

在一种可能的设计中，在所述第三终端设备向第二终端设备发送所述凭证之前，所述第三终端设备接收来自所述第二终端设备的注册请求消息或服务请求消息。

在一种可能的设计中，所述第一消息还包括所述凭证的业务类型、所述凭证的服务描述信息、所述凭证的标识中的至少一项。

在一种可能的设计中，所述第二消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

在一种可能的设计中，在所述第三终端设备接收来自所述第一网元的第一消息之后，所述第三终端设备广播所述凭证或所述凭证的标识。

采用上述设计，接收到该凭证或凭证的标识的终端设备(例如，第一终端设备)可以保存该凭证。

在一种可能的设计中，在所述第三终端设备向第二终端设备发送所述凭证之后，所述第三终端设备向所述第一网元发送绑定信息，所述绑定信息用于指示所述凭证的标识和所述第二终端设备的标识具有绑定关系。

在一种可能的设计中，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

第四方面，本申请提供一种通信方法，该方法包括：第三终端设备生成凭证；所述第三终端设备向第二终端设备发送所述凭证；所述第二终端设备根据接收到的所述凭证向第一终端设备发送服务请求消息，所述服务请求消息包括所述第二终端设备的标识和所述凭证，所述第二终端设备通过所述第一终端设备请求服务；所述第一终端设备向第一网元发送所述服务请求消息；所述第一网元确定所述凭证是否有效；在所述第一网元确定所述凭证有效的情况下，所述第一网元响应于所述服务请求消息。

第五方面，本申请提供一种通信方法，该方法包括：第三终端设备向第一网元发送第三消息，所述第三消息包括所述第三终端设备的标识，所述第三消息用于请求凭证；所述第一网元向所述第三终端设备发送第四消息，所述第四消息指示所述凭证；所述第三终端设备向第二终端设备发送所述凭证；所述第二终端设备根据接收到的所述凭证向第一终端设备发送服务请求消息，所述服务请求消息包括所述第二终端设备的标识和所述凭证的标识，所述第二终端设备通过所述第一终端设备请求服务；所述第一终端设备向所述第一网元发送所述服务请求消息；所述第一网元确定所述凭证是否有效；在所述第一网元确定所述凭证有效的情况下，所述第一网元响应于所述服务请求消息。

第六方面，本申请提供一种通信方法，该方法包括：第三终端设备向第一网元发送第三消息，所述第三消息包括所述第三终端设备的标识，所述第三消息用于请求凭证；所述第三终端设备接收来自所述第一网元的第四消息，所述第四消息指示所述凭证注册成功；所述第三终端设备向第二终端设备发送所述凭证。

采用上述设计，第三终端设备可以请求第一网元为其生成凭证。

在一种可能的设计中，在所述第三终端设备向第二终端设备发送所述凭证之前，所述第三终端设备接收来自所述第二终端设备的注册请求消息或服务请求消息。

在一种可能的设计中，所述第三消息还包括所述票据的业务类型或所述票据的服务描述信息。

在一种可能的设计中，所述第四消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

在一种可能的设计中，在所述第三终端设备接收来自所述第一网元的第二消息之后，所述第三终端设备广播所述凭证或所述凭证的标识。

在一种可能的设计中，在所述第三终端设备向第二终端设备发送所述凭证之后，所述第三终端设备向所述第一网元发送绑定信息，所述绑定信息用于指示所述凭证的标识和所述第二终端设备的标识具有绑定关系。

在一种可能的设计中，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

第七方面，本申请还提供一种装置。该装置可以执行上述方法设计。该装置可以是能够执行上述方法对应的功能的芯片或电路，或者是包括该芯片或电路的设备。

在一种可能的实现方式中，该装置包括：存储器，用于存储计算机可执行程序代码；以及处理器，处理器与存储器耦合。其中存储器所存储的程序代码包括指令，当处理器执行所述指令时，使该装置或者安装有该装置的设备执行上述任意一种可能的设计中的方法。

其中，该装置还可以包括通信接口，该通信接口可以是收发器，或者，如果该装置为芯片或电路，则通信接口可以是该芯片的输入/输出接口，例如输入/输出管脚等。

在一种可能的设计中，该装置包括相应的功能单元，分别用于实现以上方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的单元。

第八方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，当所述计算机程序在装置上运行时，执行上述任意一种可能的设计中的方法。

第九方面，本申请提供一种计算机程序产品，所述计算机程序产品包括计算机程序，当所述计算机程序在装置上运行时，执行上述任意一种可能的设计中的方法。

第十方面，本申请提供一种通信系统，所述系统包括第一终端设备、第二终端设备，第三终端设备和第一网元，所述第一网元用于实现上述第一方面中的任意一种可能的设计中的方法，所述第一终端设备用于实现上述第二方面中的任意一种可能的设计中的方法，所述第三终端设备用于实现上述第三方面或第六方面中的任意一种可能的设计中的方法。

附图说明

图1为本申请中Guest UE攻击场景示意图；

图2为本申请应用的移动通信系统的架构示意图；

图3为本申请中管理员身份验证和授权执行管理和编排功能的流程图；

图4为本申请中网络侧通过预先给IoT设备配置分配公私钥或者对称密钥与IoT设备通信的流程图；

图5为本申请提供的第二终端设备获得凭证的流程图之一；

图6为本申请提供的第二终端设备获得凭证的流程图之二；

图7为本申请提供的一种通信方法的概述流程图；

图8A为本申请提供的IoT设备通过Guest UE向网络侧请求服务的具体流程图之一；

图8B为本申请提供的IoT设备通过Guest UE向网络侧请求服务的具体流程图之一；

图9为本申请提供的IoT设备通过Guest UE向网络侧请求服务的具体流程图之二；

图10为本申请提供的IoT设备通过Guest UE向网络侧请求服务的具体流程图之三；

图11为本申请提供的一种通信装置的结构示意图之一；

图12为本申请提供的一种通信装置的结构示意图之二。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。本申请的说明书和权利要求书及上述附图中的术语“第一”、第二”以及相应术语标号等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。

在本申请的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本申请的描述中，“至少一项”是指一项或者多项，“多项”是指两项或两项以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

本申请实施例提供的技术方案可以应用于各种通信系统。例如：可以适用于4G系统或5G系统，也可以适用于其它面向未来的新系统等。本申请实施例对此不作具体限定。此外，术语“系统”可以和“网络”相互替换。

图2是本申请的实施例应用的移动通信系统的架构示意图。该通信系统包括终端设备(例如，用户设备(user equipment，UE))，网络设备(例如，接入网(access network，AN)设备或无线接入网(radio access network，AN)设备，以下以RAN为例进行说明)，核心网(Core network，CN)，数据网络(data network，DN)。在逻辑上，核心网的网元它们可以分为用户面和控制面两部分，控制面负责移动网络的管理，用户面负责业务数据的传输。

以下对图2中涉及的设备的功能进行简要说明。

其中，终端设备是移动用户与网络交互的入口，能够提供基本的计算能力，存储能力，向用户显示业务窗口，接收用户操作输入。下一代终端设备(NextGen UE)可以采用新空口技术，与RAN建立信号连接，数据连接，从而传输控制信号和业务数据到移动网络。终端设备可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备，以及各种形式的终端，移动台(mobile station，MS)，终端(terminal)，软终端等等，例如水表、电表、传感器等。

RAN：部署在靠近终端设备的位置，为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等确定不同质量的传输隧道来传输用户数据。RAN能够管理自身的资源，合理利用，按需为终端设备提供接入服务，并负责把控制信号和用户数据在终端设备和核心网之间转发。

核心网：负责维护移动网络的签约数据，管理移动网络的网元，为终端设备提供会话管理，移动性管理，策略管理，安全认证等功能。在终端设备附着的时候，为终端设备提供入网认证；在终端设备有业务请求时，为终端设备分配网络资源；在终端设备移动的时候，为终端设备更新网络资源；在终端设备空闲的时候，为终端设备提供快恢复机制；在终端设备去附着的时候，为终端设备释放网络资源；在终端设备有业务数据时，为终端设备提供数据路由功能，如转发上行数据到数据网络；或者从数据网络接收终端设备的下行数据，转发到RAN，从而由RAN发送给终端设备。

数据网络(data network，DN)：为用户提供业务服务的数据网络，一般客户端位于终端设备，服务端位于数据网络。数据网络可以是私有网络，如局域网，也可以是不受运营商管控的外部网络，例如互联网(Internet)，还可以是运营商共同部署的专有网络，例如提供IP多媒体网络子系统(IP multimedia core network subsystem，IMS)服务的网络。

其中，核心网用户面包括用户面功能(user plane function，UPF)；核心网控制面包括接入和移动性管理功能(access and mobility management function，AMF)，会话管理功能(session management function，SMF)，统一数据管理(unified data management，UDM)，策略控制功能(policy control function，PCF)，应用功能(application function，AF)，网络开放功能(network exposure function，NEF)、网络切片认证和授权网元(thenetwork slice specific authentication and authorization function，NSSAAF)，认证服务器功能(authentication server function，AUSF)，网络切片选择功能(networkslice selection function，NSSF)，网络功能仓储功能(NF repository function，NRF),网络切片选择功能(network slice selection function，NSSF)。

核心网控制面采用服务化架构，控制面网元之间的交互采用服务调用的方式，来替换传统架构中的点对点通信方式。在服务化架构中，控制面网元会向其他控制面网元开放服务，供其他控制面网元调用；在点对点通信中，控制面网元之间通信接口会存储一套特定的消息，只能由接口两端的控制面网元在通信时使用。

以下对核心网中的功能实体的功能进行简单介绍：

1、会话管理网元：主要用于会话管理、终端设备的IP地址分配和管理、选择可管理用户设备平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。在5G通信中，会话管理网元可以是SMF网元，在未来通信如6G通信中，会话管理功能网元仍可以是SMF网元，或者有其它名称，本申请对此不作限定。Nsmf是SMF提供的基于服务的接口，SMF可以通过Nsmf与其他的网络功能通信。

2、接入管理网元：主要用于移动性管理和接入管理等，例如可以是4G通信网络中的移动性管理实体(mobility management entity，MME)功能或者5G网络中的AMF网元。在未来通信如6G通信中，接入管理网元仍可以是AMF网元，或者有其它名称，本申请对此不作限定。Namf是AMF提供的基于服务的接口，AMF可以通过Namf与其他的网络功能通信。

3、策略控制网元：用于指导网络行为的统一策略框架，为控制平面功能网元(例如AMF，SMF等)提供策略规则信息等。在5G通信中，策略控制网元可以是PCF网元，在未来通信如6G通信中，策略控制网元仍可以是PCF网元，或者有其它名称，本申请对此不作限定。其中Npcf是PCF提供的基于服务的接口，PCF可以通过Npcf与其他的网络功能通信。

4、数据管理网元：用于处理用户标识、签约、接入鉴权、注册、或移动性管理等。在5G通信中，数据管理网元可以是UDM网元，在未来通信如6G通信中，数据管理网元仍可以是UDM网元，或者有其它名称，本申请对此不作限定。其中Nudm是UDM提供的基于服务的接口，UDM可以通过Nudm与其他的网络功能通信。

5、应用网元：用于进行应用影响的数据路由，接入网络开放功能，或与策略框架交互进行策略控制等。在5G通信中，应用网元可以是AF网元，在未来通信如6G通信中，应用网元仍可以是AF网元，或者有其它名称，本申请对此不作限定。Naf是AF提供的基于服务的接口，AF可以通过Naf与其他的网络功能通信。

6、用户面网元：用于分组路由和转发、或用户面数据的服务质量(quality ofservice，QoS)处理等。在5G通信中，用户面网元可以是用户面功能网元，在未来通信如6G通信中，用户面网元仍可以是UPF网元，或者有其它名称，本申请对此不作限定。

7、网络开放功能网元：用于安全地向外部开放由3GPP网络功能提供的业务和能力等。在5G通信中，网络能力开放网元可以是NEF网元，在未来通信如6G通信中，网络能力开放网元仍可以是NEF网元，或者有其它名称，本申请对此不作限定。其中Nnef是NEF提供的基于服务的接口，NEF可以通过Nnef与其他的网络功能通信。

8、网络切片认证和授权网元：用于网络切片的认证和授权，可以通过认证、授权和计费代理(authentication,authorization,and accounting proxy，AAA-P)与认证、授权和计费服务器(authentication,authorization,and accounting server，AAA-S)交互。在未来通信如6G通信中，网络切片认证和授权网元仍可以是NSSAAF网元，或者有其它名称，本申请对此不作限定。其中Nnssaaf是NSSAAF提供的基于服务的接口，NSSAAF可以通过Nnssaaf与其他的网络功能通信。

9、网络存储网元：用于提供服务注册、发现和授权，并维护可用的网络功能(network function，NF)实例信息，可以实现网络功能和服务的按需配置以及NF之间的互连。在5G通信中，网络存储网元可以是NRF网元，在未来通信如6G通信中，网络存储功能网元仍可以是NRF网元，或者有其它名称，本申请对此不作限定。Nnrf是NRF提供的基于服务的接口，NRF可以通过Nnrf与其他的网络功能通信。

10、认证服务网元：主要用于用户鉴权等。在5G通信中，认证服务网元可以是AUSF网元，在未来通信如6G通信中，认证服务网元仍可以是AUSF网元，或者有其它名称，本申请对此不作限定。Nausf是AUSF提供的基于服务的接口，AUSF可以通过Nausf与其他的网络功能通信。

11、网络切片选择功能网元：用于为终端设备选择网络切片，在5G通信中，网络切片选择功能网元可以是NSSF网元，在未来通信如6G通信中，网络切片选择功能网元仍可以是NSSF网元，或者有其它名称，本申请对此不作限定。Nnssf是NSSF提供的基于服务的接口，NSSF可以通过Nnssf与其他的网络功能通信。

可以理解的是，图2仅为举例，核心网还可以包括更多或更少的网元，本申请对此不作限定。

为便于理解本申请实施例，对本申请实施例中涉及的几个基本概念做简单说明。

1、基于票证的网络功能虚拟化(NetworkFunction Virtualization，NFV)管理员(admin)身份认证协议

基于票证的访问控制是一种访问控制方式，使用票证来验证客户端与服务器的连接，使用共享密钥加密技术在客户端、密钥分发中心(key distribution center，KDC)和服务器之间提供安全连接。

基于票证的NFV管理员访问控制在3GPP 33.848中被提出，用于对试图访问NFV(或虚拟化功能网元(virtualizednetwork function，VNF)或网络功能虚拟化基础设施(NFVinfrastructure，NFVI))资源的管理员进行身份验证，可以解决NFV管理员不可信的问题，在一次认证后，管理员需要消耗票证(Ticket)去执行管理操作，不能随意操作。上述流程可以参考图3所示。

如图3所示为管理员身份验证和授权执行管理和编排(management andorchestration，MANO)功能的流程图。

S301：管理员向KDC发送验证身份请求。

S302：在管理员身份认证成功后，KDC向管理员发送凭证。

示例性地，这里的凭证可以为票据授予票据(ticketgrantticket，TGT)。

S303：管理员向KDC发送凭证使用请求。

S304：在验证凭证后，KDC生成会话密钥，并向管理员发送会话密钥。

S305：管理员根据会话密钥与虚拟化层建立安全链接。

S306：虚拟化层与基于属性的访问控制(attribute based access control，ABAC)策略服务器确认授权管理员的MANO能力。

其中，ABAC服务器是每个虚拟化层(例如，NFV或VNF或NFVI)的策略服务器，用于授权管理员的MANO功能，管理员在身份验证和授权MANO能力之后才可以执行MANO功能。

S307：虚拟化层向管理员发送授权响应消息，授权响应消息用于授权管理员的MANO能力。

S308：管理员执行MANO的功能。

示例性地，管理员可以在凭证的使用时间内访问虚拟化层资源或与虚拟化层进行通信，在达到凭证的使用时间时，虚拟化层不再允许管理员执行MANO的功能。

2、中继(Relay)

一些设备或者网元具有中转能力，使得两个无法直接建立连接的节点建立通信连接。

在本申请中，一些低成本的IoT设备无法直接连接到网络侧(基站)，但是通过中继终端设备可以连接到网络侧。其中，中继终端设备与IoT设备之间可以不需要通过基站建立连接。

示例性地，IoT设备与中继终端设备建立连接的方式是现有技术，例如，两者可以使用3GPPTS 23.501规定的使用直连蜂窝通信协议(proximity communication-5，PC5)接口建立连接，或者，可以使用无线保真(wireless fidelity，WI-FI)技术建立连接，或者使用蓝牙网络(Bluetooth)技术建立连接，或者使用以上的两种或者两种以上的方式建立连接，可以理解的是，IoT设备与中继终端设备还有可能是通过其他方式建立连接，本申请不作限定。

当前，如果IoT设备无法通过空口直接接入到基站，而需要通过其他UE进行中继，那么网络侧需要通过预先给IoT设备配置分配公私钥或者对称密钥，以便网络侧通过密钥建立安全连接对并对IoT设备提供服务，具体可以参考如图4所示的相关内容。

S401：网络侧设备通过预配置的方式将IoT设备的信息预配置在网络侧设备，并通过协商密钥机制，分发公私钥或者对称密钥到IoT设备中。

S401：IoT设备确定服务请求消息，将服务请求消息使用私钥签名，或使用对称密钥加密。

S402：IoT设备向中继UE发送服务请求消息。

S403：中继UE向网络侧设备发送服务请求消息。

S404：网络侧设备根据服务请求消息与预配置的IoT设备的标识作比对，并验证签名是否有效，或用协商好的对称密钥解密。

S405：网络侧设备在确定验证成功时，通过中继UE向IoT设备发送服务响应消息。

由上述内容可知，通过预配置密钥或者协商密钥的方式，可以在每个IoT设备签约或者注册时为其配置密钥。但是，IoT设备的数量众多，大部分IoT设备只会临时获取少量的网络侧服务(例如，包括但是不限制于：载入用户的使用习惯模型、配对信息、开启丢失模式获得用户位置，更新用户面数据控制参数等)，不需要频繁获取网络侧服务。此外，一些IoT设备可能不需要获取网络侧服务。

在这种情况下，如果给每个IoT设备都配置密钥，需要对每个IoT设备对应的密钥进行更新、撤销和维护，导致网络侧极大的资源浪费。

以下对本申请主要涉及的设备进行说明：

1、IoT设备

IoT设备具有签约数据，但不具备直接连接网络侧的能力的设备(例如，无法通过3GPP的Uu口直接连接5G核心网的基站)，需要通过中继终端设备接入网络侧。

网络侧设备可以为IoT设备提供一些服务，例如：IoT设备请求指定主终端设备(Host UE)的位置，或签约用户的人工智能(artificial intelligence，AI)模型，或除HostUE之外的UE与IoT设备配对需要的上下文，或者在IoT设备和其他IoT设备建立会话时，需要通过网络侧请求其他IoT设备的可信凭据等。

其中，IoT设备请求服务是偶发行为，例如发生在初始化过程中发起服务请求，或每个月发起一次服务请求，或者在丢失模式下发起服务请求等。

示例性地，IoT设备包括但是不限制于：个人物联网设备网络-元件(personal IoTnetwork element，PINE)，个人穿戴设备，汽车，滑板车，工业控制元件，智能家居设备，子母手持电话等。

2、HostUE

其中，IoT设备有一个信任的UE或者是为同一个用户提供服务的UE，该UE被称之为Host UE。Host UE是IoT设备的管理方UE，一般来说在IoT设备初始注册或者授权服务时要通过Host UE接入网络侧。

示例性地，Host UE可以是普通的用户手持终端，或者专用的IoT管理设备，例如具有管理能力的个人物联网(personal IoT network elementwithmanagement capability，PEMC)等。

3、客属终端设备(Guest UE)

IoT设备经常离线，可以通过Guest UE接入网络侧请求服务。其中，Guest UE可能与Host UE同属于一个用户，例如，他们均是某家庭中的智能家居网关，或者，HostUE属于个人用户，Guest UE为公共网关，例如，Guest UE为某公共场合中的智能交通城市道路侧单元。但是Guest UE是不可信的，有可能发起攻击。

示例性地，Guest UE可以是其他人的手持终端，或者智能家居网关，或者具有网关能力的个人物联网设备网络元件(personal IoT network elementwith gatewaycapability，PEGC)等。

在一种可能的应用场景中，IoT设备、HostUE和Guest UE同属于一个用户，其中，IoT设备为智能家居设备，HostUE和Guest UE为智能家居网关。

在另一种可能的应用场景中，IoT设备、Host UE属于一个用户，其中，IoT设备为个人IoT设备如遥控无人机，Host UE为普通手机，Guest UE为路边公共使用的网关节点。

在另一种可能的工业应用场景中，IoT设备为工业控制设备，如标签(tag)，HostUE为初始化注册用的终端设备，Guest UE为传送带上的中继设备。

可以理解的是，上述场景仅为举例，不作为本申请的限定。

在下述方法中，第一网元可以为核心网网元或接入网设备，例如，第一网元为AF，或SMF等。本申请对此不作限定。第一终端设备和第三终端设备可以直接接入网络，第二终端设备不能直接接入网络，需要通过中继终端设备接入网络，例如，第二终端设备可以通过第一终端设备接入网络，或者第二终端设备可以通过第三终端设备接入网络。例如，第三终端设备相当于上述Host UE，第二终端设备相当于IoT设备，第一终端设备相当于Guest UE。

以下首先说明第二终端设备获得凭证的两种具体实现方式，如图5和图6所示。

方式1：如图5所示，第三终端设备生成凭证并发送给第二终端设备。具体可以包括以下步骤：

步骤500：第三终端设备生成凭证。

示例性地，凭证可以为票据，证书、令牌，或者预配置的散列值中的一种，例如，预配置的16进制散列值，本申请不作限定。

此外，第三终端设备还可以生成第三终端设备的签名，其中，第三终端设备的签名用于保护凭证的完整性，可以是对凭证整体进行签名，第三终端设备可以使用第三终端设备与网络侧协商的密钥生成签名，使得其他终端设备无法仿冒生成或者篡改该签名。

步骤510：第三终端设备向第一网元发送第一消息，第一消息包括第一终端设备的标识和凭证，第一消息用于请求注册凭证。

第一消息还包括凭证的业务类型、凭证的服务描述信息、凭证的标识、第三终端设备的签名中的至少一项。此外，如果第三终端设备已经和网络侧建立起安全连接，例如基于互联网安全协议(internet protocol security，IPSec)的安全连接，或基于数据包传输层安全性协议(datagram transport layer security，DTLS)的安全连接等，此时第一消息可以不包括第三终端设备的签名。

示例性地，第一消息用于请求注册凭证，还可以描述为，第一消息用于请求认证凭证，或者第一消息用于请求验证凭证。

步骤520：第一网元向第三终端设备发送第二消息，第二消息用于指示凭证注册成功。

示例性地，第二消息包括凭证的签名可信凭据，凭证的过期时间戳，凭证的最大使用次数，凭证的标识中的至少一项。需要说明的是，第三终端设备可以为该凭证生成凭证的标识，或者，第一网元为该凭证生成凭证的标识，本申请不作限定。

示例性地，凭证的签名可信凭据用于认可该凭证，代表该凭证已经被网络侧认证。凭证的签名可信凭据可以包括第一网元提供给该凭证的证书，或者第一网元使用密钥对该凭证的签名。需要说明的是，上述签名或证书可以是由第一网元生成的，也可以是第一网元通过其他网元生成的，本申请不作限定。又或者，在一种可能的场景中，第一网元可以根据第三终端设备与第一网元提前协商的结果，不对凭证进行签名，又可称为空签名。此时，签名可信凭据可以为空值。

此外，在一种可能的实现方式中，在第三终端设备向第一网元发送第一消息之后，或者在第一网元执行步骤520之前，第一网元还需执行如下至少一项：

选项(1)：确定第三终端设备的身份验证通过。

示例性地，若第一消息包括第三终端设备的签名，第一网元验证第三终端设备的签名。

选项(2)：确定第三终端设备是否具有生成凭证的能力。

选项(3)：确定在预设时长内第三终端设备已注册的凭证的数量加1是否达到数量阈值。

针对上述选项(2)和选项(3)，第一网元可以向第二网元发送查询消息，该查询消息用于请求查询第三终端设备的配置信息。第三终端设备的配置信息用于指示第三终端设备是否具有生成凭证的能力，和/或该数量阈值。其中，该数量阈值又可描述为在预设时长内第三终端设备可注册的凭证的最大数量。进一步地，第一网元可以根据获得的配置信息执行上述选项(2)和/或选项(3)。其中，第三终端设备的签约数据或者是第三终端设备的接入策略可以包括第三终端设备的配置信息。

示例性地，若第一网元可以为AF，第二网元为PCF或UDM，第一网元可以通过NEF向第二网元发送查询消息，第二网元可以通过NEF向第一网元发送第三终端设备的配置信息。

在一种可能的设计中，在第一网元执行步骤520之前或之后，第一网元可以存储第三终端设备的标识和凭证的标识的映射关系，第一网元还可以向第二网元发送指示信息，该指示信息用于指示存储第三终端设备的标识和凭证的标识的映射关系，凭证的过期时间戳，或者凭证的最大使用次数中的至少一项。

步骤530：第三终端设备向第二终端设备发送凭证。

示例性地，在第三终端设备向第二终端设备发送凭证之前，第二终端设备可以向第三终端设备发送注册请求消息或服务请求消息。其中，这里的注册请求消息用于第二终端设备请求注册到第三终端设备。这里的服务请求消息是第二终端设备在首次请求某种业务类型的服务时向第三终端设备发送的。

需要说明的是，若第三终端设备在接收到注册请求消息或服务请求消息之前已生成凭证并接收到第二消息，则第三终端设备可以向第二终端设备发送凭证。

若第三终端设备在接收到注册请求消息或服务请求消息之前还未生成凭证，则第三终端设备可以通过上述步骤500生成凭证，并向第二终端设备发送该凭证，在步骤520之后，第三终端设备可以通知第二终端设备凭证已注册成功。也就是说，步骤530可以在步骤500之后，步骤510之前。此外，第三终端设备还可以在接收到多个终端设备的注册请求消息或服务请求消息后，生成多个凭证，并向第一网元发送第一消息，此时，第一消息可以请求注册多个凭证。

或者，若第三终端设备在接收到注册请求消息或服务请求消息之前还未生成凭证，则第三终端设备可以通过上述步骤500生成凭证，并在步骤520之后，第三终端设备向第二终端设备发送凭证。

此外，第三终端设备还可以向第二终端设备发送凭证的签名可信凭据，凭证的业务类型凭证对应的服务描述信息、凭证的过期时间戳，凭证的最大使用次数，凭证的标识中的至少一项。

在一种可能的实现方式中，第三终端设备还可以广播凭证和/或凭证的标识，例如，若第三终端设备所在局域网为可信网络，第三终端设备可以向所在局域网内的其他终端设备发送凭证。例如，第一终端设备为局域网内的终端设备，第一终端设备可以保存该凭证，后续第二终端设备在通过第一终端设备向网络侧设备请求服务时，第二终端设备可以仅发送凭证的标识，第一终端设备能够根据凭证的标识确定相应的凭证，进而可以实现节省信令开销。

在一种可能的实现方式中，第三终端设备在向第二终端设备发送凭证之后，第三终端设备还可以第一网元发送绑定信息，绑定信息用于指示凭证的标识和第二终端设备的标识具有绑定关系，或者第三终端设备还可以第一网元发送绑定请求消息，绑定请求消息用于请求绑定凭证的标识和第二终端设备的标识的对应关系。通过上述过程，第一网元保存该绑定关系。进而，在第一网元接收到包括该凭证的服务请求消息时，第一网元可以验证第二终端设备的标识与凭证的标识是否具有绑定关系。

采用上述方法，第三终端设备生成凭证，并向第一网元注册。第三终端设备将凭证提供给需要请求服务的第二终端设备，对于不需要请求服务的第二终端设备可以无需获取凭证。因此，第二终端设备获取凭证的方式灵活高效，且能够节约网络侧的开销。

方式2：如图6所示，第三终端设备请求第一网元生成凭证并发送给第三终端设备，然后第三终端设备将凭证发送给第二终端设备。具体可以包括以下步骤：

步骤600：第三终端设备向第一网元发送第三消息，第三消息包括第三终端设备的标识，第三消息用于请求凭证。

此外，第三消息还包括凭证的业务类型、或者凭证对应的服务描述信息中的至少一项。此时的凭证的业务类型是指需要请求的凭证的业务类型。凭证对应的服务描述信息是指需要请求的凭证的服务描述信息。

步骤610：第一网元向第三终端设备发送第四消息，第四消息包括凭证。

此外，第四消息还可以包括凭证的签名可信凭据，凭证的过期时间戳，凭证的最大使用次数，凭证的标识中的至少一项。

可以理解的是，此时凭证的标识和凭证由第一网元生成。

其中，关于凭证和凭证的签名可信凭据可以参考上述图5所示实施例中的相关描述。

此外，在一种可能的实现方式中，在第一网元执行步骤610之前，第一网元还需执行如上述：选项(1)、选项(2)或选项(3)中的至少一项，具体可以参考上述相关描述。

步骤630：第三终端设备向第二终端设备发送凭证。

其中，步骤630可以参考上述步骤530的描述。

采用上述方法，第三终端设备从第一网元获取凭证，将凭证提供给需要请求服务的第二终端设备，对于不需要请求服务的第二终端设备可以无需获取凭证。因此，第二终端设备获取凭证的方式灵活高效，且能够节约网络侧的开销。

如图7所示，在第二终端设备获得凭证之后，第二终端设备可以通过如下步骤向网络侧请求服务：

步骤700：第二终端设备向第一终端设备发送服务请求消息。服务请求消息包括第二终端设备的标识和凭证，第二终端设备通过第一终端设备请求服务。

示例性地，服务请求消息还可以包括凭证的签名可信凭据。服务请求消息还可以指示请求服务的业务类型或服务描述信息。此外，凭证还可替换为凭证的标识。

步骤710：第一终端设备向第一网元发送服务请求消息。

示例性地，第一终端设备在接收到服务请求消息后，第一终端设备可以判断是否能为第二终端设备提供中继服务，例如验证凭证的网络参数，例如，公共陆地移动网标识(public land mobile networkID，PLMNID)或服务网络名称(Servingnetworkname，SNNAME)。此外，第一终端设备还可以对凭证的过期时间戳和/或凭证的最大使用次数进行验证。

其中，第一终端设备可以是独立验证第二终端设备及凭证，也可以是非独立验证第二终端设备及凭证，例如第一终端设备可以向网络侧发送请求信息，请求网络侧对凭据辅助验证，本申请对此不做限定。

步骤720：在第一网元确定凭证有效的情况下，第一网元响应于服务请求消息。

示例性地，第一网元首先获取的凭证的标识与第三终端设备的标识的映射关系，基于获取的映射关系确定凭证是否有效，第一网元验证凭证的标识与第三终端设备的标识相匹配，则确定该凭证有效。例如，若凭证或服务请求消息中还包括第三终端设备的标识，则第一网元可以基于获取的映射关系，验证凭证的标识和第三终端设备的标识是否相匹配，即是否与该映射关系一致。

示例性地，第一网元确定存在凭证的标识与第三终端设备的标识的映射关系，也即确定存在关于凭证的标识的映射关系，则表明已注册过该凭证，进而确定凭证有效。例如，若凭证或服务请求消息中不包括第三终端设备的标识，则第一网元仅需确定存在关于该凭证的标识的映射关系，则表明该凭证已注册过，进而确定凭证有效。

本申请不限定凭证或服务请求消息是否包括第三终端设备的标识。

在一种可能的实现方式中，第一网元获取的凭证的标识与第三终端设备的标识的映射关系可以采用但不限于如下方式：

(1)第一网元存储凭证的标识和第三终端设备的标识的映射关系；

此时，第一网元确定存在关于凭证的标识的映射关系，则确定该凭证有效。

(2)第一网元向第二网元发送查询消息，查询消息用于查询凭证的标识与第三终端设备的标识的映射关系；第一网元接收来自第二网元的查询响应消息，查询响应消息包括凭证的标识与第三终端设备的标识的映射关系。例如，第一网元向第二网元发送查询消息，查询消息包括凭证的标识，第一网元接收来自第二网元的查询响应消息，查询响应消息包括凭证的标识与第三终端设备的标识的映射关系。又例如，第一网元向第二网元发送查询消息，查询消息包括凭证的标识；第一网元接收来自第二网元的查询响应消息，查询响应消息指示存在关于凭证的标识的映射关系。

此外，在一种可能的设计中，第一网元除确定存在凭证的标识与第三终端设备的标识的映射关系之外，第一网元确定凭证有效还包括确定如下至少一项。

示例性地，第一网元还可以确定如下至少一项：

选项A：凭证的已使用次数小于凭证的最大使用次数；

示例性地，在第一网元确定凭证的已使用次数小于凭证的最大使用次数之后，第一网元向第二网元发送更新消息，更新消息用于更新凭证的已使用次数。

选项B：凭证的使用时间未超过凭证的过期时间戳；

可以理解的是，由于每个凭证具有相应的过期时间戳和/或最大使用次数，因此，即使第一终端设备不可信，或者第一终端设备为恶意终端设备，也能够实现减弱第一终端设备对网络侧的攻击，进而提升通信系统的安全性。

选项C：第二终端设备的标识与凭证的标识相匹配。

其中，所第二终端设备的标识与凭证的标识相匹配可以理解为第二终端设备的标识与凭证的标识存在映射关系，或对应关系，或绑定关系。示例性地，第一网元存储凭证的标识与第二终端设备的标识的绑定关系，或者第一网元向第二网元发送查询消息，查询消息用于查询是否存在凭证的标识与第二终端设备的标识的绑定关系；第一网元接收来自第二网元的查询响应消息，查询响应消息指示存在凭证的标识与第二终端设备的标识的绑定关系。

选项D：确定凭证的签名可信凭据验证通过。

可以理解的是，上述选项仅为举例，还可以包括其他选项。

在一种可能的实现方式中，在第一网元确定凭证无效的情况下，第一网元向第一终端设备发送第三通知消息，第三通知消息指示凭证无效的原因。示例性地，当第一网元确定上述任意一项未验证通过时，第一网元可以向第一终端设备发送第三通知消息，第三通知消息可以指示未验证通过的选项，例如，凭证已过期或凭证已达到最大使用次数。

此外，第三通知消息还可以指示第一终端设备不再响应第二终端设备的请求。示例性地，在第一网元确定该凭证无效的次数超过预设次数时，第一网元可以指示第一终端设备不再响应第二终端设备的服务请求消息。

示例性地，第一网元响应于服务请求消息，可以包括第一网元向第一终端设备发送服务响应消息，进而第一终端设备可以向第二终端设备发送服务响应消息，例如，服务响应消息可以包括业务数据等。

示例性地，根据服务请求消息请求的服务不同，服务请求消息还可能触发第一网元向第三终端设备发送消息。第一网元向第三终端设备发送消息也可以理解为第一网元响应于服务请求消息的一种实现方式。

一种可能的应用场景中，在第二终端设备丢失之后，第二终端设备自动开启了寻找模式，一方面要与第一终端建立连接，另一方面还要通知第三终端设备第二终端设备已被找到以及第二终端设备的位置。

示例性地，若服务请求消息指示第二终端设备处于寻找模式，即无法与第三终端设备进行通信。在第一网元接收来自第一终端设备的服务请求消息之后，第一网元还向第三终端设备发送第一通知消息，第一通知消息包括第一终端设备的位置信息。

在另一种可能的应用场景中，第三终端设备将第二终端设备过户并重新配对关联到第一终端设备上，那么网络侧会向信第一终端设备发送消息，以及通知第三终端设备绑定关系取消。

示例性地，若服务请求消息指示解除第二终端设备与第三终端设备的绑定关系，在第一网元接收来自第一终端设备的服务请求消息之后，第一网元还向第三终端设备发送第二通知消息，第二通知消息用于指示解除第二终端设备与第三终端设备的绑定关系。

因此，触发第一网元向第三终端设备发送消息也需要凭证有效作为前提，进而可以缓解不可信的第一终端设备对第三终端设备的骚扰行为。

示例性地，第一网元还可以根据服务请求消息修改第二终端设备的QoS参数。此外，第一网元根据服务请求消息修改第二终端设备的QoS参数也可以理解为第一网元响应于服务请求消息的一种实现方式。

在一示例中，第一网元根据服务请求消息指示的业务类型确定需要修改的QoS参数。例如，这里的业务类型可以为：“修改QoS优先级”，“修改传输内容重要性”等。

在另一示例中，第一网元根据隐含的服务请求消息确定需要修改的QoS参数，例如服务请求消息直接是：“修改第二终端设备传输QoS优先级请求，或“修改第二终端设备的用户面数据的QoS并发数量请求”。

此外，第一网元可以发起修改QoS参数的流程，请求其他网元(例如PCF)修改QoS参数。

示例性地，第一网元为AF，在AF接收到第一终端设备发送的服务请求消息之后，AF验证凭证有效性，在确定凭证有效之后，AF可以通过NEF向PCF发起针对第二终端设备的QoS参数的修改请求，该请求用于修改第二终端设备的QoS参数。PCF根据来自AF的请求修改第二终端设备的QoS参数。在第二终端设备的QoS参数修改完成之后，网络侧设备根据修改后的QoS参数与第二终端设备继续通信。

采用上述方法，第二终端设备可以通过第一终端设备向第一网元请求服务，其中，服务请求消息包括第二终端设备的标识和凭证，第一网元可以验证凭证的有效性，并根据凭证是否有效决定是否响应服务请求消息。因此，由于第一网元需要验证凭证，而对于未携带凭证的服务请求消息，则第一网元可以将其识别为伪造的服务请求消息，因此能够提升网络安全性。第一终端设备在接收第二终端设备的服务请求消息之前，由于第一终端设备未能获得凭证，因此不能伪造服务请求消息发起攻击，进而可以提升网络安全性，有利于减少攻击场景。

如图8A和图8B所示为IoT设备通过Guest UE向网络侧请求服务的具体流程之一，针对上述图5所示实施例的具体流程图，其中，示例性地，第三终端设备为Host UE，第二终端设备为Guest UE，第三终端设备为IoT设备，第一网元为NF。

步骤801：Host UE生成凭证。

示例性地，Host UE可以在生成凭证时，利用外部的认证机构(certificateauthority，CA)辅助进行签名，或者绑定外部CA的证书，用以确保凭证的有效性。其中，HostUE生成的凭证可以隐含或者附带外部CA的签名或证书。其中，外部CA可以是指非网络侧的CA，例如，公开机构的CA。或者，外部CA还可以是归属网络的CA，例如一个服务于拜访地公共陆地移动网络(visitedpublic land mobile network，VPLMN)的CA。

此外，Host UE还可以生成凭证的标识(即凭证ID)，凭证ID是凭证的唯一标识，可以是凭证本体。

其中，步骤801对应上述步骤500。

步骤802：Host UE向NF发送第一消息。

第一消息包括Host UE ID，凭证。

其中，NF是可以是接入网的基站、也可以是核心网的功能网元，本申请不作限定。

其中，Host UE ID指的是Host UE的身份标识，例如用户永久标识符(subscription permanent identifier，SUPI)或者全球唯一临时UE标识(globallyunique temporary UE identity，GUTI)或者其他可以标识Host UE的标识。

此外，第一请求消息还可以包括凭证ID，和/或凭证的业务类型或服务描述信息，Host UE的签名中的至少一项，其中，Host UE的签名是Host UE使用Host UE和网络侧的共享密钥生成的签名。

其中，步骤802对应上述步骤510。

可选的，步骤803：NF向UDM或PCF发送查询消息。

示例性地，该查询消息包括Host UE ID。该查询消息用于请求Host UE的配置信息。

其中，UDM或PCF保存Host UE的配置信息。Host UE的配置信息又可称为Host UE的凭证策略。其中，Host UE的配置信息可以由Host UE的签约数据或者是Host UE的接入策略携带。Host UE的配置信息可以指示Host UE是否具有生成凭证的能力，或者在预设时长内Host UE可注册的凭证的最大数量，即数量阈值。

此外，该查询消息还可以包括凭证的业务类型或服务描述信息。其中，凭证的业务类型或服务描述信息可以隐含携带或者显性携带，如果该查询消息携带凭证的业务类型或服务描述信息，则UDM或PCF向NF返回该业务类型或服务描述信息对应的Host UE的配置信息，例如，如果该查询消息携带凭证的业务类型为业务类型A，则UDM或PCF返回的在预设时长内针对业务类型A可注册的凭证的最大数量。否则，UDM或PCF向NF返回的Host UE的配置信息可以包括所有业务类型或服务描述信息对应的Host UE的配置信息。

可选的，步骤804：UDM或PCF向NF发送查询响应消息。

示例性地，该查询响应消息包括Host UE的配置信息。

此外，该查询响应消息还可以包括NF ID。其中，若NF为核心网的功能网，则NF ID可以是核心网的ID或者IP地址或者实例标识(instance ID)，若NF为接入网的基站，则NFID可以为基站的标识。

步骤805：NF验证Host UE。

示例性地，NF执行如下一项或多项：

A：如果步骤802携带Host UE的签名，验证Host UE的签名，例如，NF使用Host UE和NF的共享密钥验证Host UE的签名是否有效。

B：如果执行步骤803和步骤804，根据Host UE的配置信息判断Host UE是否具有生成凭证的能力，或者判断在预设时长内Host UE已注册的凭证数量加1是否达到数量阈值。

此外，当凭证策略指示UE具有生成业务类型A的凭证的能力，NF还可以进一步验证业务类型A是否与步骤802携带的业务类型一致。

C：如果凭证还隐含或者附带外部CA的签名或证书，验证外部CA的签名或证书。验证过程可以是与NF预配置的值是否吻合，或者是请求其他网元辅助认证，例如网管等。

需要说明的是，当上述任一项未验证通过时，NF确定凭证注册失败，NF向Host发送通知消息，通知消息可以包括凭证注册失败的原因。此外，上述验证内容仅为举例不作为本申请的限定。

可选的，步骤806：NF向UDM或PCF发送指示信息，该指示信息指示网络侧记录凭证ID与Host UE ID的映射关系。该指示信息包括凭证ID，Host UE ID。可选的，该指示信息还可以包括凭证的业务类型或服务描述信息，和/或凭证的过期时间戳或最大使用次数。

需要说明的是，此处仅以UDM或PCF为例进行说明，还可能是其他网元，本申请对此不作限定。

值得说明的是，这里的凭证ID可以是步骤802中携带的凭证ID，或者，当步骤802未携带凭证ID或者步骤802中携带的凭证ID不满足网络侧的需求时，NF可以生成一个凭证ID作为网络侧针对该凭证的标识。

其中，过期时间戳或最大使用次数，可以在后续使用该凭证的过程中作为判断该凭证是否有效的标准。例如，过期时间戳可以是某个时间点过期的标识，例如指示该凭证于xxxx年xx月xx日xx:xx:xx无效的时间戳。最大使用次数可以指示该凭证在使用K次后无效，K为正整数。

示例性地，NF可以采用但不限于以下方式确定凭证的过期时间戳或最大使用次数。

方式1，NF根据凭证的业务类型确定凭证的过期时间戳或最大使用次数。例如，当凭证的业务类型为IoT设备开启丢失模式时，NF确定凭证的最大使用次数为1次。

方式2，NF可以根据Host UE的签约数据确定凭证的过期时间戳或最大使用次数。例如，NF根据Host UE的签约数据中包括的计费套餐、用户签约类型等信息确定凭证的过期时间戳或最大使用次数。

可选的，步骤807：UDM或PCF向NF发送针对该指示信息的响应消息。

针对该指示信息的响应消息指示凭证注册成功，该响应消息包括NF ID，可选的，该响应消息还可以包括凭证ID，和/或Host UE ID。

步骤808：NF向Host UE发送第二消息。

其中，步骤808对应上述步骤520。

可选的，第二消息包括凭证的签名可信凭据、凭证的过期时间戳或最大使用次数，或凭证ID，或凭证的业务类型或服务描述信息中的至少一个。

可选的，步骤809：Host UE广播凭证或凭证ID。

可选的，Host UE还可以广播凭证的业务类型和服务描述信息，或者凭证的过期时间戳或最大使用次数。

示例性地，Host UE通过广播消息告知在同一个IoT网络中的其他Guest UE凭证或凭证ID。其中，IoT网络可以是一个由多个UE连接的网络，该网络包括Guest UE和Host UE，当凭证注册成功后(即接收到凭证的签名可信凭据后)，Host UE可以发送该凭证或凭证ID给该网络内的其他UE。

例如，Host UE在可信的IoT网络中，例如智能家居场景，可以广播凭证，进而，IoT设备可以在向Guest UE发送服务请求消息时，服务请求消息可以仅携带凭证ID，Guest UE可以根据凭证ID确定凭证ID对应的凭证，因此能够实现节省IoT设备的信令开销。

步骤810：当IoT设备需要发起初始注册，或者首次申请某些业务时，IoT设备向Host UE发送请求消息。

可选的，该请求消息可以包括IoT ID。

其中，IoT ID可以是与网络侧协商好的预配置的标识，也可以是设备制造商自主设置的标识。可以理解的是的，该请求消息中不一定携带数据。

本申请不限定步骤809的发起时间，与可以在上述步骤801至步骤809没有绝对的时间先后关系，例如，步骤810可以是在步骤801之前，或者步骤801至步骤809中的任意步骤之后。

步骤811：Host UE向IoT发送响应消息。

该响应消息包括凭证，凭证的签名可信凭据，可选的，该响应消息还可以包括凭证ID，凭证的业务类型和/或服务描述信息，凭证的过期时间戳和/或最大使用次数中的至少一项。

可以理解的是，以上参数可以隐含在凭证内部，也可以是凭证外额外传输，本申请不作限定。

其中，步骤811对应上述步骤530。

可选的，步骤812：Host UE向NF发送绑定请求消息。

该绑定请求消息用于请求绑定IoT ID与凭证ID的对应关系，该绑定请求消息可以包括IoT ID，Host UE ID，可选的，该绑定请求消息还可以包括IoT network ID,凭证ID中的至少一个。

其中，IoT Network ID是指IoT设备所处的IoT网络的标识。示例性地，NF可能预配置有IoT Network ID。因此，Host UE可以发送该IoT network ID指示该IoT设备处于哪个IoT网络中。此外，NF可以仅凭IoT Network ID和Host UE ID即可推断出所要绑定的凭证，此时，凭证ID也可以不携带。

示例性地，UDM或PCF可能记录了Host UE所在IoT网络(IoT Network)的标识，例如，IoT Network ID。若该IoT网络此前仅注册一个凭证，则根据IoT Network ID和Host UEID可以确定所要绑定的凭证。

可选的，步骤813：NF向Host UE发送绑定响应消息，绑定响应消息指示绑定成功。

此外，NF还可以进一步通知UDM或PCF存储该绑定关系。

需要说明的是，这里的NF可以与步骤802至步骤808中的NF相同或不同，本申请对此不作限定。例如，步骤802至步骤808中的NF可以是SMF1，但是步骤813中的NF是SMF2，又或者，步骤802至步骤808中的NF可以是AMF，但是步骤813中的NF是SMF。这里仅以两者相同为例进行说明。

步骤814：IoT设备向Guest UE发送服务请求消息。

示例性地，该服务请求消息包括凭证，IoT ID。可选的，该服务请求消息还可以包括请求凭证ID、凭证的签名可信凭据，服务的业务类型和/或服务描述信息中的至少一项。

其中，步骤814对应上述步骤700。

可选的，步骤815：Guest UE验证凭证。

示例性地，Guest UE可以验证凭证的最大使用次数或过期时间戳，例如，Guest UE可以查找IoT网络中Host UE的广播记录。或者，Guest UE可以根据凭证ID去网络侧查询凭证的最大使用次数或过期时间戳。

示例性地，Guest UE还可以验证IoT设备的网络属性参数，其中，IoT设备的网络属性参数可以包括IoT设备对应的SN name或PLMN ID，用以判断能否为IoT设备提供服务，其中，IoT设备的网络属性参数可以包含在凭证中，或者，Guest UE也可以向IoT设备请求IoT设备的网络属性参数。

此外，如果Guest UE在本地预配置凭证(通过上述步骤809)且服务请求消息包括凭证ID，则Guest UE验证接收到的凭证ID对应的凭证。

如果Guest UE在本地未预配置凭证但预配置凭证ID且服务请求消息包括凭证ID，则Guest UE可以根据凭证ID去网络侧查询凭证ID对应的凭证，或者请求IoT设备重新发送凭证ID对应的凭证。

步骤816：Guest UE向NF发送服务请求消息。

其中，步骤816对应上述步骤710。

步骤817：NF验证凭证的有效性。

NF验证凭证的有效性，进而决定是否响应服务请求消息请求的业务，以及计费。

示例性地，NF验证凭证的有效性具体可以包括但不限于如下至少一项：

(1)NF验证是否存在凭证的标识与Host UE的标识的映射关系。

例如，NF可以向UDM或PCF发送查询消息，查询消息用于查询是否存在与凭证的标识对应的UE的标识。

(2)若服务请求消息包括凭证的签名可信凭据，NF验证凭证的签名可信凭据是否有效；

(3)NF验证凭证的已使用次数是否到达最大使用次数或者验证凭证的使用时间是否超过过期时间戳指示的时间；

(4)NF验证服务请求消息请求的业务类型是否为凭证的业务类型；

(5)如果执行步骤812和步骤813，NF验证IoT ID是否与凭证ID对应的终端设备的标识一致。

步骤818：在确定凭证有效时，NF向Guest UE发送服务响应消息。

示例性地，NF根据凭证请求的业务类型确定业务数据，向Guest发送服务响应消息，服务响应消息包括业务数据。此外，可选的，服务响应消息还可以包括Guest UEID或IoTID。其中，IoT ID用于指示GuestUE接收到的服务响应消息是针对IoT ID对应的设备的。

其中，步骤818对应上述步骤720。

可选的，步骤819：NF向UDM或PCF发送更新请求消息。

示例性地，更新请求消息用于请求更新凭证的信息，例如，更新凭证的已使用次数，或在确定凭证为最后一次使用时删除凭证的信息。

可选的，步骤820：UDM或PCF向NF发送更新响应消息。

更新响应消息指示凭证的信息更新成功。

步骤821：Guest UE向IoT设备发送服务响应消息。

如图9所示为IoT设备通过Guest UE向网络侧请求服务的具体流程之二，针对上述图6所示实施例的具体流程图，其中，示例性地，第三终端设备为Host UE，第二终端设备为Guest UE，第三终端设备为IoT设备，第一网元为NF。

步骤901：Host UE向NF发送第三消息。

示例性地，第三消息用于请求凭证和凭证的签名可信凭据。其中，第三消息包括Host UEID,可选的，第三消息还包括Host UE的签名，需要请求的凭证的业务类型或服务描述信息。

此外，触发Host UE向NF发送第三消息可以包括但不限于如下场景：

场景1：Host UE可以在主认证流程完成之后，发送第三消息，作为未来有IoT设备申请时的储备。

场景2：IoT设备与Host UE建立连接之后，IoT设备向Host UE发送请求消息，具体可以参考上述步骤810。

场景3：Host UE根据预配置信息定期申请凭证和凭证的签名可信凭据。

可选的，步骤902：NF向UDM或PCF发送查询消息。

可选的，步骤903：UDM或PCF向NF发送查询响应消息。

上述步骤902和步骤903具体可以参考上述步骤803和步骤804，此处不再赘述。

步骤904：NF验证Host UE。

示例性地，NF执行如下一项或多项：

A：如果步骤901携带Host UE的签名，验证Host UE的签名，例如，NF使用Host UE和NF的共享密钥验证Host UE的签名是否有效。

B：如果执行步骤902和步骤903，根据Host UE的配置信息判断Host UE是否具有生成凭证的能力，或者判断在预设时长内Host UE已注册的凭证数量加1是否达到数量阈值。

需要说明的是，当上述任一项未验证通过时，NF确定凭证注册失败，NF向Host发送通知消息，通知消息可以包括凭证注册失败的原因。此外，上述验证内容仅为举例不作为本申请的限定。

步骤905：NF生成凭证。

此外，NF还可以生成凭证的签名可信凭据。

可选的，步骤906：NF向UDM或PCF发送指示信息，该指示信息指示UDM记录凭证ID与Host UE ID的映射关系。该指示信息包括凭证ID，Host UE ID，该指示信息用于注册该凭证。可选的，该指示信息还可以包括凭证的业务类型或服务描述信息，和/或凭证的过期时间戳或最大使用次数。

可选的，步骤907：UDM或PCF向NF发送针对该指示信息的响应消息。

针对该指示信息的响应消息指示凭证注册成功，针对该指示信息的响应消息包括NF ID，可选的，该响应消息还可以包括凭证ID，和/或Host UE ID。

步骤908：NF向Host UE发送第四消息，第四消息包括凭证。

可选的，第四消息还可以包括凭证的签名可信凭据，凭证的过期时间戳，凭证的最大使用次数，凭证ID，凭证的业务类型，凭证的服务描述信息中的至少一个。

后续步骤可以参考上述步骤809至步骤821，此处不再赘述。

如图10所示为IoT设备通过Guest UE向网络侧请求服务的具体流程之三。

在IoT获得凭证和凭证的签名可信凭据之后，执行如下步骤：

步骤1001：IoT设备向Guest UE发送服务请求消息。

示例性地，该服务请求消息包括Ticket或Ticket ID，IoT ID，可选的，该服务请求消息还包括业务类型或服务描述信息。

步骤1002：Guest UE验证凭证。

具体可以参考上述步骤815。

步骤1003：Guest UE向NF发送服务请求消息。

步骤1004：NF验证凭证的有效性。

具体可以参考上述步骤817。

步骤1005：在确定凭证有效时，NF向Guest UE发送服务响应消息。

可选的，步骤1006：NF向UDM或PCF发送更新请求消息。

示例性地，更新请求消息用于请求更新凭证的信息，例如，更新凭证的已使用次数，或在确定凭证为最后一次使用时删除凭证的信息。

可选的，步骤1007：UDM或PCF向NF发送更新响应消息。

更新响应消息指示凭证的信息更新成功。

步骤1008：NF向Host UE发送通知消息。

示例性地，通知消息可以包括Host UE ID，通知描述，可选的，该通知消息还可以包括业务信息。

示例性地，NF可以直接或者间接向Host UE发送通知消息。例如，若NF是基站，NF直接向Host UE发送通知消息。又例如，若NF是SMF，NF可以通过AMF、基站等多个网元向HostUE发送通知消息。

其中，通知描述可以隐含消息类型，例如发送信令的名称指示，或者直接附带通知内容。

例如，在服务请求消息还指示需要为Host UE提供Guest UE的定位信息或IoT设备处于丢失模式时，业务信息可以包括Guest UE的定位坐标等。例如，若NF是SMF，它请求定位管理功能(location management function，LMF)生成Guest UE的定位坐标，SMF将接收到的Guest UE的定位坐标发送给Host UE。

又例如，在服务请求消息还指示需要解除Host UE与IoT设备绑定关系时，业务信息可以包括用于指示解除Host UE与IoT设备绑定关系的信息，例如，业务信息可以包括解除绑定需要的用户一次性验证码等。

其中，业务信息可以是NF自己生成的，也可以是NF请求其他NF生成的。

图11示出了本申请实施例中所涉及的一种通信装置的可能的示例性框图，该装置1100包括：收发模块1120和处理模块1110，收发模块1120可以包括接收单元和发送单元。处理模块1110用于对装置1100的动作进行控制管理。收发模块1120用于支持装置1100与其他网络实体的通信。可选地，装置1100还可以包括存储单元，所述存储单元用于存储装置1100的程序代码和数据。

可选地，所述装置1100中各个模块可以是通过软件来实现。

可选地，处理模块1110可以是处理器或控制器，例如可以是通用中央处理器(central processing unit，CPU)，通用处理器，数字信号处理(digital signalprocessing，DSP)，专用集成电路(application specific integrated circuits，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请实施例公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。收发模块1120可以是通信接口、收发器或收发电路等，其中，该通信接口是统称，在具体实现中，该通信接口可以包括多个接口，存储单元可以是存储器。

当装置1100为第一网元或第一网元中的芯片时，装置1100中的处理模块1110可以支持装置1100执行上文中各方法示例中第一网元的动作。

收发模块1120可以支持装置1100与第一终端设备或第三终端设备进行通信，例如，收发模块1120可以支持装置1100执行图5中的步骤510，步骤520，图6中的步骤600，步骤610，图7中的步骤710和步骤720。

收发模块1120，用于接收来自第一终端设备的服务请求消息，所述服务请求消息包括凭证和第二终端设备的标识，所述第二终端设备通过所述第一终端设备请求服务；所述凭证由第三终端设备(HostUE)生成；

处理模块1110，用于确定所述凭证是否有效；

收发模块1120，用于在所述第一网元确定所述凭证有效的情况下，向所述第一终端设备发送服务响应消息；

在一种可能的设计中，处理模块1110，用于在确定所述凭证是否有效时，基于获取的所述凭证的标识与所述第三终端设备的标识的映射关系，确定所述凭证是否有效。

在一种可能的设计中，处理模块1110，用于在所述第一网元确定所述凭证有效时，所述第一网元根据所述映射关系验证所述凭证的标识与所述第三终端设备的标识相匹配，则确定所述凭证有效。

在一种可能的设计中，处理模块1110，用于在获取所述凭证的标识与第三终端设备的标识的映射关系时，存储所述凭证的标识和所述第三终端设备的标识的映射关系；

或者，通过收发模块1120向第二网元发送查询消息，所述查询消息用于查询所述凭证与所述第三终端设备的映射关系；通过收发模块1120接收来自所述第二网元的查询响应消息，所述查询响应消息包括所述凭证的标识与所述第三终端设备的标识的映射关系。

在一种可能的设计中，处理模块1110，用于在确定所述凭证有效时，根据如下至少一项，确定所述凭证有效；所述至少一项包括：所述凭证的已使用次数小于所述凭证的最大使用次数；所述凭证的使用时间未超过所述凭证的过期时间戳；所述第二终端设备的标识与所述凭证的标识相匹配。

在一种可能的设计中，收发模块1120，用于在确定所述凭证的已使用次数小于所述凭证的最大使用次数之后，向第二网元发送更新消息，所述更新消息用于更新所述凭证的已使用次数。

在一种可能的设计中，收发模块1120，用于接收来自所述第三终端设备绑定信息，所述绑定信息用于指示所述凭证的标识和所述第二终端设备的标识具有绑定关系。

在一种可能的设计中，收发模块1120，用于在接收来自第一终端设备的服务请求消息之前，接收来自所述第三终端设备的第一消息，所述第一消息包括所述第三终端设备的标识和所述凭证，处理模块1110，用于存储所述凭证的标识与所述第三终端设备的标识的映射关系。

在一种可能的设计中，所述第一消息还包括所述凭证的业务类型、所述凭证的服务描述信息、所述凭证的标识中的至少一项。

在一种可能的设计中，处理模块1110，用于在向所述第三终端设备发送第二消息之前，执行如下至少一项：确定所述第三终端设备的身份验证通过；确定所述第三终端设备具有生成凭证的能力；确定在预设时长内所述第三终端设备已注册的凭证的数量加1未达到数量阈值。

在一种可能的设计中，收发模块1120，用于向第二网元发送请求消息，所述请求消息用于请求所述第一终端设备的配置信息；所述第一终端设备的配置信息用于指示所述第一终端设备是否具有生成凭证的能力，和/或所述数量阈值；接收来自所述第二网元的所述第一终端设备的配置信息。

在一种可能的设计中，收发模块1120，用于向所述第二网元发送指示信息，所述指示信息用于指示存储所述凭证的标识与所述第三终端设备的标识的映射关系。

在一种可能的设计中，所述指示信息还包括所述凭证的过期时间戳，和/或所述凭证的最大使用次数。

在一种可能的设计中，所述第二消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

在一种可能的设计中，收发模块1120，用于接收来自第一终端设备的服务请求消息之后，向所述第三终端设备发送第一通知消息，所述第一通知消息包括所述第一终端设备的位置信息。

在一种可能的设计中，所述服务请求消息指示解除所述第二终端设备与所述第三终端设备的绑定关系；收发模块1120，用于在接收来自第一终端设备的服务请求消息之后，向所述第三终端设备发送第二通知消息，所述第二通知消息用于指示解除所述第二终端设备与所述第三终端设备的绑定关系。

在一种可能的设计中，处理模块1110，用于根据所述服务请求消息修改所述第二终端设备的QoS参数。

在一种可能的设计中，收发模块1120，用于在确定所述凭证无效的情况下，向所述第三终端设备发送第三通知消息，所述第三通知消息指示所述凭证无效的原因。

应理解，根据本申请实施例的装置1100可对应于前述方法实施例中第一网元，并且装置1100中的各个模块的操作和/或功能分别为了实现前述方法实施例中第一网元的方法的相应步骤，因此也可以实现前述方法实施例中的有益效果，为了简洁，这里不作赘述。

当装置1100为终端设备或第一终端设备中的芯片时，装置1100中的处理模块1110可以支持装置1100执行上文中各方法示例中第一终端设备的动作。

收发模块1120可以支持装置1100与第一网元或第二终端设备进行通信，例如，收发模块1120可以支持装置1100执行图7中的步骤700、步骤710。

例如，处理模块1110调用收发模块1120，执行：接收来自第二终端设备的服务请求消息，所述服务请求消息包括凭证的标识和第二终端设备的标识，所述第二终端设备通过所述第一终端设备请求服务；向第一网元发送所述服务请求消息；

在一种可能的设计中，收发模块1120，用于接收来自所述第一网元的服务响应消息；向所述第二终端设备发送所述服务响应消息。

在一种可能的设计中，收发模块1120，用于在接收来自第二终端设备的服务请求消息之前，接收来自第三终端设备的广播消息，所述广播消息包括所述凭证或所述凭证的标识。

应理解，根据本申请实施例的装置1100可对应于前述方法实施例中第一终端设备，并且装置1100中的各个模块的操作和/或功能分别为了实现前述方法实施例中第一终端设备的方法的相应步骤，因此也可以实现前述方法实施例中的有益效果，为了简洁，这里不作赘述。

当装置1100为第三终端设备或第三终端设备中的芯片时，装置1100中的处理模块1110可以支持装置1100执行上文中各方法示例中第三终端设备的动作，例如可以支持装置1100执行图5中的步骤500。

收发模块1120可以支持装置1100与第二终端设备或第一网元进行通信，例如，收发模块1120可以支持装置1100执行图5中的步骤510，步骤520和步骤530，图6中的步骤600，步骤610和步骤620。

处理模块1110，用于生成凭证；

收发模块1120，用于向第一网元发送第一消息，所述第一消息包括所述第三终端设备的标识和所述凭证，向第二终端设备发送所述凭证。

在一种可能的设计中，收发模块1120，用于接收来自所述第一网元的第二消息，所述第二消息用于指示所述凭证注册成功。所述第一消息用于请求注册所述凭证。

在一种可能的设计中，收发模块1120，用于在向第二终端设备发送所述凭证之前，还接收来自所述第二终端设备的注册请求消息或服务请求消息。

在一种可能的设计中，所述第一消息还包括所述凭证的业务类型、所述凭证的服务描述信息、所述凭证的标识中的至少一项。

在一种可能的设计中，所述第二消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

在一种可能的设计中，收发模块1120，用于在接收来自所述第一网元的第一消息之后，广播所述凭证或所述凭证的标识。

在一种可能的设计中，收发模块1120，用于在向第二终端设备发送所述凭证之后，向所述第一网元发送绑定信息，所述绑定信息用于指示所述凭证的标识和所述第二终端设备的标识具有绑定关系。

应理解，根据本申请实施例的装置1100可对应于前述方法实施例中第三终端设备，并且装置1100中的各个模块的操作和/或功能分别为了实现前述方法实施例中第三终端设备的方法的相应步骤，因此也可以实现前述方法实施例中的有益效果，为了简洁，这里不作赘述。

图12示出了根据本申请实施例的通信装置1200的示意性结构图。如图12所示，所述装置1200包括：处理器1201。

当装置1200为第一网元或第一网元中的芯片时，一种可能的实现方式中，当所述处理器1201用于调用接口执行以下动作：接收来自第一终端设备的服务请求消息，所述服务请求消息包括凭证和第二终端设备的标识，所述第二终端设备通过所述第一终端设备请求服务；所述凭证由第三终端设备生成；确定所述凭证是否有效；在所述第一网元确定所述凭证有效的情况下，向所述第一终端设备发送服务响应消息；

应理解，所述装置1200还可用于执行前文实施例中第一网元侧的其他步骤和/或操作，为了简洁，这里不作赘述。

当装置1200为第一终端设备或第一终端设备中的芯片时，一种可能的实现方式中，当所述处理器1201用于调用接口执行以下动作：

接收来自第二终端设备的服务请求消息，所述服务请求消息包括凭证的标识和第二终端设备的标识，所述第二终端设备通过所述第一终端设备请求服务；向第一网元发送所述服务请求消息。

应理解，所述装置1200还可用于执行前文实施例中第一终端设备侧的其他步骤和/或操作，为了简洁，这里不作赘述。

当装置1200为第三终端设备或第三终端设备中的芯片时，一种可能的实现方式中，当所述处理器1201用于调用接口执行以下动作：

生成凭证；向第一网元发送第一消息，所述第一消息包括所述第三终端设备的标识和所述凭证；向第二终端设备发送所述凭证。

应理解，所述装置1200还可用于执行前文实施例中第三终端设备侧的其他步骤和/或操作，为了简洁，这里不作赘述。

应理解，所述处理器1201可以调用接口执行上述收发动作，其中，调用的接口可以是逻辑接口或物理接口，对此不作限定。可选地，物理接口可以通过收发器实现。可选地，所述装置1200还包括收发器1203。

可选地，所述装置1200还包括存储器1202，存储器1202中可以存储上述方法实施例中的程序代码，以便于处理器1201调用。

具体地，若所述装置1200包括处理器1201、存储器1202和收发器1203，则处理器1201、存储器1202和收发器1203之间通过内部连接通路互相通信，传递控制和/或数据信号。在一个可能的设计中，处理器1201、存储器1202和收发器1203可以通过芯片实现，处理器1201、存储器1202和收发器1203可以是在同一个芯片中实现，也可能分别在不同的芯片实现，或者其中任意两个功能组合在一个芯片中实现。该存储器1202可以存储程序代码，处理器1201调用存储器1202存储的程序代码，以实现装置1200的相应功能。

上述本申请实施例揭示的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(fieldprogrammable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(centralprocessor unit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controllerunit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(directrambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，在本申请实施例中，编号“第一”、“第二”…仅仅为了区分不同的对象，比如为了区分不同的参数信息或者消息，并不对本申请实施例的范围构成限制，本申请实施例并不限于此。

还应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定。上述各个过程涉及的各种数字编号或序号仅为描述方便进行的区分，而不应对本申请实施例的实施过程构成任何限定。

还应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本申请中出现的类似于“项目包括如下中的一项或多项：A，B，以及C”表述的含义，如无特别说明，通常是指该项目可以为如下中任一个：A；B；C；A和B；A和C；B和C；A，B和C；A和A；A，A和A；A，A和B；A，A和C，A，B和B；A，C和C；B和B，B，B和B，B，B和C，C和C；C，C和C，以及其他A，B和C的组合。以上是以A，B和C共3个元素进行举例来说明该项目的可选用条目，当表达为“项目包括如下中至少一种：A，B，……，以及X”时，即表达中具有更多元素时，那么该项目可以适用的条目也可以按照前述规则获得。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器ROM、随机存取存储器RAM、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (34)

1.一种通信方法，其特征在于，该方法包括：

第一网元接收来自第一终端设备的服务请求消息，所述服务请求消息包括第二终端设备的标识和凭证，所述第二终端设备通过所述第一终端设备请求服务，所述凭证由第三终端设备生成；

所述第一网元确定所述凭证是否有效；

在所述第一网元确定所述凭证有效的情况下，所述第一网元响应于所述服务请求消息。

2.如权利要求1所述的方法，其特征在于，所述第一网元确定所述凭证是否有效，包括：

所述第一网元基于获取的所述凭证的标识与所述第三终端设备的标识的映射关系，确定所述凭证是否有效。

3.如权利要求1所述的方法，其特征在于，所述第一网元确定所述凭证有效，包括：

所述第一网元根据所述映射关系验证所述凭证的标识与所述第三终端设备的标识相匹配，则确定所述凭证有效。

4.如权利要求2或3所述的方法，其特征在于，所述第一网元获取所述凭证的标识与第三终端设备的标识的映射关系，包括：

所述第一网元存储所述凭证的标识和所述第三终端设备的标识的映射关系；

或者，所述第一网元向第二网元发送查询消息，所述查询消息用于查询所述凭证的标识与所述第三终端设备的标识的映射关系；所述第一网元接收来自所述第二网元的查询响应消息，所述查询响应消息包括所述凭证的标识与所述第三终端设备的标识的映射关系。

5.如权利要求1-4任一项所述的方法，其特征在于，所述第一网元确定所述凭证有效，还包括：

根据如下至少一项，确定所述凭证有效；

所述至少一项包括：

所述凭证的已使用次数小于所述凭证的最大使用次数；

所述凭证的使用时间未超过所述凭证的过期时间戳；或

所述第二终端设备的标识与所述凭证的标识相匹配。

6.如权利要求5所述的方法，其特征在于，还包括：

在所述第一网元确定所述凭证的已使用次数小于所述凭证的最大使用次数之后，所述第一网元向第二网元发送更新消息，所述更新消息用于更新所述凭证的已使用次数。

7.如权利要求5或6所述的方法，其特征在于，还包括：

所述第一网元接收来自所述第三终端设备的绑定信息，所述绑定信息用于指示所述凭证的标识和所述第二终端设备的标识具有绑定关系。

8.如权利要求1-7任一项所述的方法，其特征在于，在第一网元接收来自第一终端设备的服务请求消息之前，还包括：

所述第一网元接收来自所述第三终端设备的第一消息，所述第一消息包括所述第三终端设备的标识和所述凭证的标识；

所述第一网元存储所述凭证的标识与所述第三终端设备的标识的映射关系。

9.如权利要求8所述的方法，其特征在于，所述第一消息还包括所述凭证的业务类型、所述凭证的服务描述信息、所述凭证的标识中的至少一项。

10.如权利要求8或9所述的方法，其特征在于，在所述第一网元接收来自所述第三终端设备的第一消息后，还包括：

所述第一网元执行如下至少一项：

确定所述第三终端设备的身份验证通过；

确定所述第三终端设备具有生成所述凭证的能力；

确定在预设时长内所述第三终端设备已注册的凭证的数量未达到数量阈值。

11.如权利要求10所述的方法，其特征在于，还包括：

所述第一网元向第二网元发送请求消息，所述请求消息用于请求所述第一终端设备的配置信息；所述第一终端设备的配置信息用于指示所述第一终端设备是否具有生成所述凭证的能力，和/或所述数量阈值；

所述第一网元接收来自所述第二网元的所述第一终端设备的配置信息。

12.如权利要求8-11任一项所述的方法，其特征在于，还包括：

所述第一网元向所述第二网元发送指示信息，所述指示信息用于指示存储所述凭证的标识与所述第三终端设备的标识的映射关系。

13.如权利要求12所述的方法，其特征在于，所述指示信息还包括所述凭证的过期时间戳，和/或所述凭证的最大使用次数。

14.如权利要求1-13任一项所述的方法，其特征在于，还包括：

在所述第一网元接收来自第一终端设备的服务请求消息之后，所述第一网元向所述第三终端设备发送第一通知消息，所述第一通知消息包括所述第一终端设备的位置信息。

15.如权利要求1-13任一项所述的方法，其特征在于，所述服务请求消息指示解除所述第二终端设备与所述第三终端设备的绑定关系；

所述方法还包括：

在所述第一网元接收来自第一终端设备的服务请求消息之后，所述第一网元向所述第三终端设备发送第二通知消息，所述第二通知消息用于指示解除所述第二终端设备与所述第三终端设备的绑定关系。

16.如权利要求1-15任一项所述的方法，其特征在于，还包括：

所述第一网元根据所述服务请求消息修改所述第二终端设备的QoS参数。

17.如权利要求1-16任一项所述的方法，其特征在于，还包括：

在所述第一网元确定所述凭证无效的情况下，所述第一网元向所述第三终端设备发送第三通知消息，所述第三通知消息指示所述凭证无效的原因。

18.如权利要求1-17任一项所述的方法，其特征在于，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

19.一种通信方法，其特征在于，该方法包括：

第一终端设备接收来自第二终端设备的服务请求消息，所述服务请求消息包括凭证的标识和第二终端设备的标识，所述第二终端设备通过所述第一终端设备请求服务；

所述第一终端设备向第一网元发送所述服务请求消息。

20.如权利要求19所述的方法，其特征在于，在第一终端设备接收来自第二终端设备的服务请求消息之前，还包括：

所述第一终端设备接收来自第三终端设备的广播消息，所述广播消息包括所述凭证或所述凭证的标识。

21.如权利要求19或20所述的方法，其特征在于，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

22.一种通信方法，其特征在于，该方法包括：

第三终端设备生成凭证；

所述第三终端设备向第一网元发送第一消息，所述第一消息包括所述第三终端设备的标识和所述凭证；

所述第三终端设备向第二终端设备发送所述凭证。

23.如权利要求22所述的方法，其特征在于，所述第一消息用于请求注册所述凭证；

所述方法，还包括：

所述第三终端设备接收来自所述第一网元的第二消息，所述第二消息用于指示所述凭证注册成功。

24.如权利要求22或23所述的方法，其特征在于，在所述第三终端设备向第二终端设备发送所述凭证之前，还包括：

所述第三终端设备接收来自所述第二终端设备的注册请求消息或服务请求消息。

25.如权利要求22-24任一项所述的方法，其特征在于，所述第一消息还包括所述凭证的业务类型、所述凭证的服务描述信息、所述凭证的标识中的至少一项。

26.如权利要求22-25任一项所述的方法，其特征在于，所述第二消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

27.如权利要求25或26所述的方法，其特征在于，在所述第三终端设备接收来自所述第一网元的第一消息之后，还包括：

所述第三终端设备广播所述凭证或所述凭证的标识。

28.如权利要求25-27任一项所述的方法，其特征在于，在所述第三终端设备向第二终端设备发送所述凭证之后，还包括：

所述第三终端设备向所述第一网元发送绑定信息，所述绑定信息用于指示所述凭证的标识和所述第二终端设备的标识具有绑定关系。

29.如权利要求22-28任一项所述的方法，其特征在于，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

30.一种通信方法，其特征在于，该方法包括：

第三终端设备生成凭证；

所述第三终端设备向第二终端设备发送所述凭证；

所述第二终端设备根据接收到的所述凭证向第一终端设备发送服务请求消息，所述服务请求消息包括所述第二终端设备的标识和所述凭证，所述第二终端设备通过所述第一终端设备请求服务；

所述第一终端设备向第一网元发送所述服务请求消息；

所述第一网元确定所述凭证是否有效；

在所述第一网元确定所述凭证有效的情况下，所述第一网元响应于所述服务请求消息。

31.一种通信装置，其特征在于，包括用于执行如权利要求1至29中的任一项所述方法的模块。

32.一种通信装置，其特征在于，包括处理器和接口电路，所述接口电路用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置，所述处理器通过逻辑电路或执行代码指令用于实现如权利要求1至29中任一项所述的方法。

33.一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序或指令，当所述计算机程序或指令被通信装置执行时，实现如权利要求1至29中任一项所述的方法。

34.一种通信系统，其特征在于，所述系统包括第一终端设备、第二终端设备，第三终端设备和第一网元，所述第一网元用于实现如权利要求1至18中任一项所述的方法，所述第一终端设备用于实现如权利要求19至21中任一项所述的方法，所述第三终端设备用于实现如权利要求22至29中任一项所述的方法。