CN117997541A - 通信方法和通信装置 - Google Patents

Abstract

通信方法和通信装置。一种通信方法，包括：证书申请网元在向证书颁发网元发送证书申请消息代第一网元申请证书之前，证书申请网元和证书颁发网元之间建立初始的信任，具体地，证书申请网元和证书颁发网元之间建立初始的信任需要管理网元协助完成。以使得在证书颁发网元确定证书申请网元为可信任的网元的前提下为第一网元颁发证书，保证证书颁发过程的安全性。

Description

通信方法和通信装置

技术领域

本申请涉及通信领域，并且更具体地，涉及一种通信方法和通信装置。

背景技术

第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)中证书管理相关课题定义了一种证书申请管理框架(Certificate Enrolment and MAnagementFramework，CEMAF)，该CEMAF中包括证书管理网元(Certificate management Function，CeMF)、证书颁发网元(Certificate enrolment Function，CeEF)和需要请求业务证书的功能网元(network function，NF)。具体地，NF和CeEF之间的通信接口用于注册与证书调配和更新相关的程序；NF和CeMF之间的通信接口用于证书状态检查。

但是目前针对CeEF和CeMF构成的证书管理框架，尚没有定论如何基于此架构设置一个安全的证书申请协议。

发明内容

本申请提供一种通信方法，针对CeEF和CeMF构成的证书管理框架提出初始的信任建立流程，以实现证书颁发的安全保护。

第一方面，提供了一种通信方法，包括：证书申请网元向证书颁发网元发送第一请求消息，所述第一请求消息用于请求认证所述证书申请网元，所述第一请求消息中包括所述证书申请网元的标识和第一信息，所述第一信息用于对所述证书申请网元进行认证；所述证书颁发网元向管理网元发送第二请求消息，所述第二请求消息用于请求验证所述第一信息，所述第二请求消息中包括所述第一信息；所述管理网元根据所述管理网元本地记录的第二信息对所述第一信息进行验证，所述第二信息为所述证书申请网元相关的信息；所述管理网元向所述证书颁发网元发送第一指示信息，所述第一指示信息用于指示所述第一信息是否通过验证；所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元。

基于上述方案，证书颁发网元通过管理网元对证书申请网元进行校验，确定证书申请网元是否为可信任的网元。从而证书颁发网元可以在证书申请网元验证通过(如，为可信任的网元)的情况下，同意证书申请网元的证书颁发申请，为需要颁发证书的网元颁发证书，也即是说在颁发证书之前建立证书颁发网元和证书申请网元之间的信任，从而可以实现证书颁发的安全保护。

另外，需要说明的是，上述方案中证书颁发网元是请求管理网元协助完成证书申请网元的校验，而管理网元可以通过本地记录的证书申请网元相关的信息(如，证书申请网元的初始化信息、证书申请网元的配置信息、或证书申请网元的管理信息等)完成校验，从而无需进行额外的信息配置即可完成校验。

结合第一方面，在第一方面的某些实现方式中，所述第一信息包括以下信息中的至少一项：网元标识列表、域标识、或初始化证书列表，所述网元标识列表用于指示所述证书申请网元管理的至少一个网元，所述域标识用于指示所述证书申请网元所位于的域，所述初始化证书列表用于指示所述证书申请网元管理的至少一个网元被配置的至少一个初始化证书。

基于上述方案，证书申请网元在请求对其进行校验的消息中携带的用于协助校验的信息可以有多种可能，提高方案的灵活性。

结合第一方面，在第一方面的某些实现方式中，所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元，包括：在所述第一指示信息指示所述第一信息通过验证的情况下，所述证书颁发网元确定所述证书申请网元为可信的网元；或者，在所述第一指示信息指示所述第一信息未通过验证的情况下，所述证书颁发网元确定所述证书申请网元为不可信的网元。

结合第一方面，在第一方面的某些实现方式中，所述第一指示信息中还包括管理网元的签名，所述管理网元的签名用于验证所述第一指示信息是否可信。

基于上述方案，管理网元向证书颁发网元发送的第一指示信息中可以携带管理网元的签名，以使得证书颁发网元可以基于该管理网元的签名验证所述第一指示信息是否可信，提高信息传输的安全性。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述证书颁发网元向所述证书申请网元发送第一响应消息，所述第一响应消息用于指示所述证书申请网元是否为所述证书颁发网元可信的网元。

基于上述方案，证书颁发网元可以通过第一响应消息通知证书申请网元校验的结果，以避免证书申请网元无法及时获知校验结果而导致重复申请校验，造成资源浪费。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：第一网元向所述证书申请网元发送业务证书请求消息，所述业务证书请求消息用于请求所述证书申请网元代所述第一网元申请业务证书；所述证书申请网元根据规则判断是否响应所述第一网元申请业务证书的请求。

基于上述方案，证书申请网元在接收到第一网元的业务证书请求消息之后，可以根据本地预配置的规则确定是否需要代第一网元向证书颁发网元申请证书，以避免在第一网元的申请不合理的情况下(如，申请的证书类型不合理)，证书申请网元仍然代第一网元向证书颁发网元申请证书，导致资源浪费。

结合第一方面，在第一方面的某些实现方式中，所述业务证书请求消息中包括所述第一网元的标识和以下信息中的至少一项：所述第一网元对应的公钥、所述第一网元对应的私钥、所述第一网元被配置的初始化证书、或业务类型指示信息。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述证书申请网元向所述第一网元发送失败指示，所述失败指示用于指示所述第一网元申请业务证书的请求无效；或者，所述证书申请网元向所述证书颁发网元发送业务证书申请消息，所述业务证书申请消息用于请求所述证书颁发网元颁发业务证书。

结合第一方面，在第一方面的某些实现方式中在所述业务证书请求消息请求的业务证书的类型为第一类型的情况下，所述证书申请网元根据规则判断是否响应所述第一网元申请业务证书的请求包括：所述证书申请网元根据规则验证所述第一网元是否可以申请第一类型的业务证书；在验证失败时，所述证书申请网元向所述第一网元发送所述失败指示。元向所述第一网元发送所述失败指示。

结合第一方面，在第一方面的某些实现方式中，所述业务证书申请消息中包括所述证书申请网元的标识和以下信息中的至少一项：所述第一网元对应的公钥、所述第一网元对应的私钥、所述第一网元被配置的初始化证书、所述第一网元的标识、或所述证书申请网元的签名。

结合第一方面，在第一方面的某些实现方式中，在所述第一信息为所述网元标识列表，且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元的标识构成所述网元标识列表时，所述管理网元确定所述第一信息通过验证；或者，在所述第一信息为所述初始化证书列表，且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元对应的初始化证书构成所述初始化证书列表，所述初始化证书列表中的初始化证书均有效时，所述管理网元确定所述第一信息通过验证；或者，在所述第一信息为所述域标识，且所述管理网元本地记录的所述证书申请网元所属的域的标识为所述域标识时，所述管理网元确定所述第一信息通过验证。

基于上述方案，管理网元可以通过不同的方式对证书申请网元的信息进行校验，提高方案的灵活性。

第二方面，提供了一种通信方法，该方法可以由证书颁发网元执行，或者，也可以由配置于证书颁发网元中的芯片或电路执行，本申请对此不作限定。为了方便，以下以证书颁发网元执行为例进行说明。

该通信方法包括：证书颁发网元接收来自证书申请网元的第一请求消息，所述第一请求消息用于请求认证所述证书申请网元，所述第一请求消息中包括所述证书申请网元的标识和第一信息，所述第一信息用于对所述证书申请网元进行认证；所述证书颁发网元向管理网元发送第二请求消息，所述第二请求消息用于请求验证所述第一信息，所述第二请求消息中包括所述第一信息；所述证书颁发网元接收来自所述管理网元的第一指示信息，所述第一指示信息用于指示所述第一信息是否通过验证；所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元。

结合第二方面，在第二方面的某些实现方式中，所述第一信息包括以下信息中的至少一项：网元标识列表、域标识、或初始化证书列表，所述网元标识列表用于指示所述证书申请网元管理的至少一个网元，所述域标识用于指示所述证书申请网元所位于的域，所述初始化证书列表用于指示所述证书申请网元管理的至少一个网元被配置的至少一个初始化证书。

结合第二方面，在第二方面的某些实现方式中，所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元，包括：在所述第一指示信息指示所述第一信息通过验证的情况下，所述证书颁发网元确定所述证书申请网元为可信的网元；或者，在所述第一指示信息指示所述第一信息未通过验证的情况下，所述证书颁发网元确定所述证书申请网元为不可信的网元。

结合第二方面，在第二方面的某些实现方式中，所述第一指示信息中还包括管理网元的签名，所述管理网元的签名用于验证所述第一指示信息是否可信。

结合第二方面，在第二方面的某些实现方式中，所述方法还包括：所述证书颁发网元向所述证书申请网元发送第一响应消息，所述第一响应消息用于指示所述证书申请网元是否为所述证书颁发网元可信的网元。

以上第二方面及其可能的设计所示方法的技术效果可参照第一方面及其可能的设计中的技术效果。

第三方面，提供了一种通信方法，该方法可以由证书申请网元执行，或者，也可以由配置于证书申请网元中的芯片或电路执行，本申请对此不作限定。为了方便，以下以证书申请网元执行为例进行说明。

该通信方法包括：证书申请网元向证书颁发网元发送第一请求消息，所述第一请求消息用于请求认证所述证书申请网元，所述第一请求消息中包括所述证书申请网元的标识和第一信息，所述第一信息用于对所述证书申请网元进行认证；所述证书申请网元接收来自所述证书颁发网元的第一响应消息，所述第一响应消息用于指示所述证书申请网元是否为可信的网元，其中，所述证书颁发网元是基于第一指示信息确定所述证书申请网元是否为可信的网元的，且所述第一指示信息是所述证书颁发网元请求管理网元对第一信息进行校验的反馈信息。

结合第三方面，在第三方面的某些实现方式中，所述第一信息包括以下信息中的至少一项：网元标识列表、域标识、或初始化证书列表，所述网元标识列表用于指示所述证书申请网元管理的至少一个网元，所述域标识用于指示所述证书申请网元所位于的域，所述初始化证书列表用于指示所述证书申请网元管理的至少一个网元被配置的至少一个初始化证书。

结合第三方面，在第三方面的某些实现方式中，所述方法还包括：所述证书申请网元接收来自第一网元的业务证书请求消息，所述业务证书请求消息用于请求所述证书申请网元代所述第一网元申请业务证书；所述证书申请网元根据规则判断是否响应所述第一网元申请业务证书的请求。

结合第三方面，在第三方面的某些实现方式中，所述业务证书请求消息中包括所述第一网元的标识和以下信息中的至少一项：所述第一网元对应的公钥、所述第一网元对应的私钥、所述第一网元被配置的初始化证书、或业务类型指示信息。

结合第三方面，在第三方面的某些实现方式中，所述方法还包括：所述证书申请网元向所述第一网元发送失败指示，所述失败指示用于指示所述第一网元申请业务证书的请求无效；或者，所述证书申请网元向所述证书颁发网元发送业务证书申请消息，所述业务证书申请消息用于请求所述证书颁发网元颁发业务证书。

结合第三方面，在第三方面的某些实现方式中，所述业务证书申请消息中包括所述证书申请网元的标识和以下信息中的至少一项：所述第一网元对应的公钥、所述第一网元对应的私钥、所述第一网元被配置的初始化证书、所述第一网元的标识、或所述证书申请网元的签名。

以上第三方面及其可能的设计所示方法的技术效果可参照第一方面及其可能的设计中的技术效果。

第四方面，提供了一种通信方法，该方法可以由管理网元执行，或者，也可以由配置于管理网元中的芯片或电路执行，本申请对此不作限定。为了方便，以下以管理网元执行为例进行说明。

该通信方法包括：管理网元接收来自证书颁发网元的第二请求消息，所述第二请求消息用于请求验证所述第一信息，所述第二请求消息中包括所述第一信息；所述管理网元根据所述管理网元本地记录的第二信息对所述第一信息进行验证，所述第二信息为所述证书申请网元相关的信息；所述管理网元向所述证书颁发网元发送第一指示信息，所述第一指示信息用于指示所述第一信息是否通过验证。

结合第四方面，在第四方面的某些实现方式中，所述第一信息包括以下信息中的至少一项：网元标识列表、域标识、或初始化证书列表，所述网元标识列表用于指示所述证书申请网元管理的至少一个网元，所述域标识用于指示所述证书申请网元所位于的域，所述初始化证书列表用于指示所述证书申请网元管理的至少一个网元被配置的至少一个初始化证书。

结合第四方面，在第四方面的某些实现方式中，在所述第一信息为所述网元标识列表，且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元的标识构成所述网元标识列表时，所述管理网元确定所述第一信息通过验证；或者，在所述第一信息为所述初始化证书列表，且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元对应的初始化证书构成所述初始化证书列表，所述初始化证书列表中的初始化证书均有效时，所述管理网元确定所述第一信息通过验证；或者，在所述第一信息为所述域标识，且所述管理网元本地记录的所述证书申请网元所属的域的标识为所述域标识时，所述管理网元确定所述第一信息通过验证。

结合第四方面，在第四方面的某些实现方式中，所述第一指示信息中还包括管理网元的签名，所述管理网元的签名用于验证所述第一指示信息是否可信。

以上第四方面及其可能的设计所示方法的技术效果可参照第一方面及其可能的设计中的技术效果。

第五方面，提供了一种通信方法，包括：证书申请网元接收来自第一网元的业务证书请求消息，所述业务证书请求消息用于请求证书申请网元代所述第一网元申请业务证书；所述证书申请网元向管理网元发送第三请求消息，所述第三请求消息用于请求所述管理网元验证所述证书申请网元能否代所述第一网元申请业务证书；所述管理网元根据所述管理网元本地记录的第二信息，验证所述证书申请网元能否代所述第一网元申请业务证书，所述第二信息为所述证书申请网元相关的信息；所述管理网元向所述证书申请网元发送第二指示信息，所述第二指示信息用于指示所述证书申请网元能否代所述第一网元申请业务证书，所述第二指示信息中包括所述管理网元的签名和事件标识，其中，所述管理网元的签名为基于事件标识的签名，所述事件标识用于标识所述证书申请网元代所述第一网元申请业务证书。

基于上述方案，证书申请网元在接收到第一网元的业务证书请求消息之后，可以通过管理网元验证是否可以代第一网元向证书颁发网元申请业务证书，也就是说该技术方案中证书申请网元在向证书颁发网元请求颁发证书之前，通过管理网元确定是否可以进行证书颁发申请，避免在第一网元没有权限申请某种类型的网元证书的情况下发起业务证书颁发的申请，从而可以实现证书颁发的安全保护。

结合第五方面，在第五方面的某些实现方式中，所述方法还包括：所述证书申请网元向证书颁发网元发送业务证书申请消息，所述业务证书申请消息用于请求所述证书颁发网元为所述第一网元颁发业务证书，所述业务证书申请消息中包括所述证书申请网元的标识和所述管理网元的签名。

结合第五方面，在第五方面的某些实现方式中，所述方法还包括：所述证书颁发网元向所述管理网元发送查询消息，所述查询消息用于查询所述证书申请网元能否代第一网元申请业务证书，所述查询消息中包括所述证书申请网元的标识和所述事件标识；所述证书颁发网元接收来自所述管理网元发送查询响应消息，所述查询响应消息用于指示所述证书申请网元能否代第一网元申请业务证书。

基于上述方案，证书颁发网元在颁发证书之前可以通过查询消息向管理网元查询证书申请网元能否代第一网元申请业务证书，从而避免在第一网元没有权限申请某种类型的网元证书的情况下颁发证书。

结合第五方面，在第五方面的某些实现方式中，所述方法还包括：在所述第三请求消息包括所述第一网元的标识的情况下，所述管理网元验证所述证书申请网元能否代所述第一网元申请业务证书，包括：所述管理网元本地记录的所述证书申请网元管理的一个或多个网元的标识包括所述第一网元的标识时，所述管理网元确定所述证书申请网元能代所述第一网元申请业务证书；或者，在所述第二请求消息包括所述第一网元对应的初始化证书的情况下，所述管理网元验证所述证书申请网元能否代所述第一网元申请业务证书，包括：所述管理网元本地记录的所述证书申请网元管理的一个或多个网元对应的初始化证书包括所述第一网元的对应的初始化证书时，所述管理网元确定所述证书申请网元能代所述第一网元申请业务证书。

基于上述方案，管理网元可以通过不同的验证方式验证证书申请网元能否代第一网元申请业务证书，提高方案的灵活性。

第六方面，提供了一种通信方法，该方法可以由证书颁发网元执行，或者，也可以由配置于证书颁发网元中的芯片或电路执行，本申请对此不作限定。为了方便，以下以证书颁发网元执行为例进行说明。

该通信方法包括：证书颁发网元接收来自证书申请网元的业务证书申请消息，所述业务证书申请消息用于请求所述证书颁发网元颁发业务证书，所述业务证书申请消息中包括所述证书申请网元的标识和管理网元的签名；所述证书颁发网元向第一网元颁发业务证书；其中，所述管理网元的签名为基于事件标识的签名，所述事件标识用于标识所述证书申请网元请求为所述第一网元申请业务证书。

结合第六方面，在第六方面的某些实现方式中，所述方法还包括：所述证书颁发网元向所述管理网元发送查询消息，所述查询消息用于查询所述证书申请网元能否代第一网元申请业务证书，所述查询消息中包括所述证书申请网元的标识和所述事件标识；所述证书颁发网元接收来自所述管理网元发送查询响应消息，所述查询响应消息用于指示所述证书申请网元能否代第一网元申请业务证书。

以上第六方面及其可能的设计所示方法的技术效果可参照第五方面及其可能的设计中的技术效果。

第七方面，提供了一种通信方法，该方法可以由证书申请网元执行，或者，也可以由配置于证书申请网元中的芯片或电路执行，本申请对此不作限定。为了方便，以下以证书申请网元执行为例进行说明。

该通信方法包括：证书申请网元接收来自第一网元的业务证书请求消息，所述业务证书请求消息用于请求证书申请网元代所述第一网元申请业务证书；所述证书申请网元向管理网元发送第三请求消息，所述第三请求消息用于请求所述管理网元验证所述证书申请网元能否代所述第一网元申请业务证书；所述证书申请网元接收来自所述管理网元的第二指示信息，所述第二指示信息用于指示所述证书申请网元能否待所述第一网元申请业务证书，所述第二指示信息中包括所述管理网元的签名和事件标识，其中，所述管理网元的签名为基于事件标识的签名，所述事件标识用于标识所述证书申请网元请求代所述第一网元申请业务证书。

结合第七方面，在第七方面的某些实现方式中，所述方法还包括：所述证书申请网元向证书颁发网元发送业务证书申请消息，所述业务证书申请消息用于请求所述证书颁发网元为所述第一网元颁发业务证书，所述业务证书申请消息中包括所述证书申请网元的标识和所述管理网元的签名。

以上第七方面及其可能的设计所示方法的技术效果可参照第五方面及其可能的设计中的技术效果。

第八方面，提供了一种通信方法，该方法可以由管理网元执行，或者，也可以由配置于管理网元中的芯片或电路执行，本申请对此不作限定。为了方便，以下以管理网元执行为例进行说明。

该通信方法包括：管理网元接收来自证书申请网元的第三请求消息，所述第三请求消息用于请求所述管理网元验证所述证书申请网元能否代所述第一网元申请业务证书；所述管理网元根据所述管理网元本地记录的第二信息，验证所述证书申请网元能否代所述第一网元申请业务证书，所述第二信息为所述证书申请网元相关的信息；所述管理网元向所述证书颁发网元发送第二指示信息，所述第二指示信息用于指示所述证书申请网元能否待所述第一网元申请业务证书，所述第二指示信息中包括所述管理网元的签名和事件标识，其中，所述管理网元的签名为基于事件标识的签名，所述事件标识用于标识所述证书申请网元请求代所述第一网元申请业务证书。

结合第八方面，在第八方面的某些实现方式中，在所述第三请求消息包括所述第一网元的标识的情况下，所述管理网元验证所述证书申请网元能否代所述第一网元申请业务证书，包括：所述管理网元本地记录的所述证书申请网元管理的一个或多个网元的标识包括所述第一网元的标识时，所述管理网元确定所述证书申请网元能代所述第一网元申请业务证书；或者，在所述第二请求消息包括所述第一网元对应的初始化证书的情况下，所述管理网元验证所述证书申请网元能否代所述第一网元申请业务证书，包括：所述管理网元本地记录的所述证书申请网元管理的一个或多个网元对应的初始化证书包括所述第一网元的对应的初始化证书时，所述管理网元确定所述证书申请网元能代所述第一网元申请业务证书。

结合第八方面，在第八方面的某些实现方式中，所述方法还包括：所述管理网元接收来自证书颁发网元的查询消息，所述查询消息用于查询所述证书申请网元能否代第一网元申请颁发业务证书，所述查询消息中包括所述证书申请网元的标识和所述事件标识；所述管理网元向所述证书颁发网元发送查询响应消息，所述查询响应消息用于指示所述证书申请网元能否代第一网元申请颁发业务证书。

以上第八方面及其可能的设计所示方法的技术效果可参照第五方面及其可能的设计中的技术效果。

第九方面，提供了一种通信方法，该方法可以由证书颁发网元执行，或者，也可以由配置于证书颁发网元中的芯片或电路执行，本申请对此不作限定。为了方便，以下以证书颁发网元执行为例进行说明。

该通信方法包括：证书颁发网元接收来自管理网元的第一消息，所述第一消息中包括所述管理网元本地记录的至少一个证书申请网元相关的信息；所述证书颁发网元接收来自证书申请网元的业务证书申请消息，所述业务证书申请消息用于请求所述证书颁发网元颁发业务证书；所述证书颁发网元根据所述第一消息确定是否颁发业务证书。

基于上述方案，证书颁发网元从管理网元接收到至少一个证书申请网元相关的信息，从而在接收到某个证书颁发网元的业务证书申请消息之后，可以根据本地保存的该证书颁发网元的初始化信息和该证书颁发网元通过业务证书申请消息提供的信息确定是否同意该证书颁发网元的请求颁发证书，从而可以实现证书颁发的安全保护。

另外，证书颁发网元可以在颁发证书时在本地参照管理网元发送的信息实现针对证书申请网元的校验，无需额外信令，降低信令开销。

结合第九方面，在第九方面的某些实现方式中，所述第一消息中包括证书申请网元的标识和以下至少一种信息的对应关系：网元的标识、域标识、初始化证书标识、或网元类型。

第十方面，提供了一种通信装置，用于实现上述第二方面所示的方法。该装置包括：收发模块，用于接收来自证书申请网元的第一请求消息，所述第一请求消息用于请求认证所述证书申请网元，所述第一请求消息中包括所述证书申请网元的标识和第一信息，所述第一信息用于对所述证书申请网元进行认证；所述收发模块，还用于向管理网元发送第二请求消息，所述第二请求消息用于请求验证所述第一信息，所述第二请求消息中包括所述第一信息；所述收发模块，还用于接收来自所述管理网元的第一指示信息，所述第一指示信息用于指示所述第一信息是否通过验证；处理模块，用于根据所述第一指示信息确定所述证书申请网元是否为可信的网元。

结合第十方面，在第十方面的某些实现方式中，所述第一信息包括以下信息中的至少一项：网元标识列表、域标识、或初始化证书列表，所述网元标识列表用于指示所述证书申请网元管理的至少一个网元，所述域标识用于指示所述证书申请网元所位于的域，所述初始化证书列表用于指示所述证书申请网元管理的至少一个网元被配置的至少一个初始化证书。

结合第十方面，在第十方面的某些实现方式中，所述处理模块根据所述第一指示信息确定所述证书申请网元是否为可信的网元，包括：在所述第一指示信息指示所述第一信息通过验证的情况下，所述处理模块确定所述证书申请网元为可信的网元；或者，在所述第一指示信息指示所述第一信息未通过验证的情况下，所述处理模块确定所述证书申请网元为不可信的网元。

结合第十方面，在第十方面的某些实现方式中，所述第一指示信息中还包括管理网元的签名，所述管理网元的签名用于验证所述第一指示信息是否可信。

结合第十方面，在第十方面的某些实现方式中，所述收发模块，还用于向所述证书申请网元发送第一响应消息，所述第一响应消息用于指示所述证书申请网元是否为所述证书颁发网元可信的网元。

以上第十方面及其可能的设计所示方法的技术效果可参照第二方面及其可能的设计中的技术效果。

第十一方面，提供了一种通信装置，用于实现上述第三方面所示的方法。该装置包括：

收发模块，用于向证书颁发网元发送第一请求消息，所述第一请求消息用于请求认证所述通信装置，所述第一请求消息中包括所述通信装置的标识和第一信息，所述第一信息用于对所述通信装置进行认证；所述收发模块，还用于接收来自所述证书颁发网元的第一响应消息，所述第一响应消息用于指示所述通信装置是否为可信的网元，其中，所述证书颁发网元是基于第一指示信息确定所述通信装置是否为可信的网元的，且所述第一指示信息是所述证书颁发网元请求管理网元对第一信息进行校验的反馈信息。

结合第十一方面，在第十一方面的某些实现方式中，所述第一信息包括以下信息中的至少一项：网元标识列表、域标识、或初始化证书列表，所述网元标识列表用于指示所述通信装置管理的至少一个网元，所述域标识用于指示所述通信装置所位于的域，所述初始化证书列表用于指示所述通信装置管理的至少一个网元被配置的至少一个初始化证书。

结合第十一方面，在第十一方面的某些实现方式中，所述收发模块，还用于接收来自第一网元的业务证书请求消息，所述业务证书请求消息用于请求所述通信装置代所述第一网元申请业务证书；处理模块，用于根据规则判断是否响应所述第一网元申请业务证书的请求。

结合第十一方面，在第十一方面的某些实现方式中，所述业务证书请求消息中包括所述第一网元的标识和以下信息中的至少一项：所述第一网元对应的公钥、所述第一网元对应的私钥、所述第一网元被配置的初始化证书、或业务类型指示信息。

结合第十一方面，在第十一方面的某些实现方式中，所述收发模块，还用于向所述第一网元发送失败指示，所述失败指示用于指示所述第一网元申请业务证书的请求无效；或者，所述收发模块，还用于向所述证书颁发网元发送业务证书申请消息，所述业务证书申请消息用于请求所述证书颁发网元颁发业务证书。

结合第十一方面，在第十一方面的某些实现方式中，所述业务证书申请消息中包括所述通信装置的标识和以下信息中的至少一项：所述第一网元对应的公钥、所述第一网元对应的私钥、所述第一网元被配置的初始化证书、所述第一网元的标识、或所述通信装置的签名。

以上第十一方面及其可能的设计所示方法的技术效果可参照第三方面及其可能的设计中的技术效果。

第十二方面，提供了一种通信装置，用于实现上述第四方面所示的方法。该装置包括：收发模块，用于接收来自证书颁发网元的第二请求消息，所述第二请求消息用于请求验证所述第一信息，所述第二请求消息中包括所述第一信息；处理模块，用于根据所述通信装置本地记录的第二信息对所述第一信息进行验证，所述第二信息为所述证书申请网元相关的信息；所述收发模块，还用于向所述证书颁发网元发送第一指示信息，所述第一指示信息用于指示所述第一信息是否通过验证。

结合第十二方面，在第十二方面的某些实现方式中，所述第一信息包括以下信息中的至少一项：网元标识列表、域标识、或初始化证书列表，所述网元标识列表用于指示所述证书申请网元管理的至少一个网元，所述域标识用于指示所述证书申请网元所位于的域，所述初始化证书列表用于指示所述证书申请网元管理的至少一个网元被配置的至少一个初始化证书。

结合第十二方面，在第十二方面的某些实现方式中，在所述第一信息为所述网元标识列表，且所述通信装置本地记录的所述证书申请网元管理的一个或多个网元的标识构成所述网元标识列表时，所述处理模块确定所述第一信息通过验证；或者，在所述第一信息为所述初始化证书列表，且所述通信装置本地记录的所述证书申请网元管理的一个或多个网元对应的初始化证书构成所述初始化证书列表时，所述处理模块确定所述第一信息通过验证；或者，在所述第一信息为所述域标识，且所述通信装置本地记录的所述证书申请网元所属的域的标识为所述域标识时，所述处理模块确定所述第一信息通过验证。

结合第十二方面，在第十二方面的某些实现方式中，所述第一指示信息中还包括通信装置的签名，所述通信装置的签名用于验证所述第一指示信息是否可信。

以上第十二方面及其可能的设计所示方法的技术效果可参照第四方面及其可能的设计中的技术效果。

第十三方面，提供了一种通信装置，用于实现上述第六方面所示的方法。该装置包括：收发模块，用于接收来自证书申请网元的业务证书申请消息，所述业务证书申请消息用于请求所述通信装置颁发业务证书，所述业务证书申请消息中包括所述证书申请网元的标识和管理网元的签名；所述收发模块，还用于向第一网元颁发业务证书；其中，所述管理网元的签名为基于事件标识的签名，所述事件标识用于标识所述证书申请网元请求为所述第一网元申请业务证书。

结合第十三方面，在第十三方面的某些实现方式中，所述收发模块，还用于向所述管理网元发送查询消息，所述查询消息用于查询所述证书申请网元能否代第一网元申请业务证书，所述查询消息中包括所述证书申请网元的标识和所述事件标识；所述收发模块，还用于接收来自所述管理网元发送查询响应消息，所述查询响应消息用于指示所述证书申请网元能否代第一网元申请业务证书。

以上第十三方面及其可能的设计所示方法的技术效果可参照第六方面及其可能的设计中的技术效果。

第十四方面，提供了一种通信装置，用于实现上述第七方面所示的方法。该装置包括：收发模块，用于接收来自第一网元的业务证书请求消息，所述业务证书请求消息用于请求通信装置代所述第一网元申请业务证书；所述收发模块，还用于向管理网元发送第三请求消息，所述第三请求消息用于请求所述管理网元验证所述通信装置能否代所述第一网元申请业务证书；所述收发模块，还用于接收来自所述管理网元的第二指示信息，所述第二指示信息用于指示所述通信装置能否待所述第一网元申请业务证书，所述第二指示信息中包括所述管理网元的签名和事件标识，其中，所述管理网元的签名为基于事件标识的签名，所述事件标识用于标识所述通信装置请求代所述第一网元申请业务证书。

结合第十四方面，在第十四方面的某些实现方式中，所述收发模块，还用于向证书颁发网元发送业务证书申请消息，所述业务证书申请消息用于请求所述证书颁发网元为所述第一网元颁发业务证书，所述业务证书申请消息中包括所述通信装置的标识和所述管理网元的签名。

以上第十四方面及其可能的设计所示方法的技术效果可参照第七方面及其可能的设计中的技术效果。

第十五方面，提供了一种通信装置，用于实现上述第八方面所示的方法。该装置包括：收发模块，用于接收来自证书申请网元的第三请求消息，所述第三请求消息用于请求所述通信装置验证所述证书申请网元能否代所述第一网元申请业务证书；处理模块，用于根据所述管理网元本地记录的第二信息，验证所述证书申请网元能否代所述第一网元申请业务证书，所述第二信息为所述证书申请网元相关的信息；所述收发模块，还用于向所述证书颁发网元发送第二指示信息，所述第二指示信息用于指示所述证书申请网元能否待所述第一网元申请业务证书，所述第二指示信息中包括所述通信装置的签名和事件标识，其中，所述通信装置的签名为基于事件标识的签名，所述事件标识用于标识所述证书申请网元请求代所述第一网元申请业务证书。

结合第十五方面，在第十五方面的某些实现方式中，在所述第三请求消息包括所述第一网元的标识的情况下，所述处理模块验证所述证书申请网元能否代所述第一网元申请业务证书，包括：所述通信装置本地记录的所述证书申请网元管理的一个或多个网元的标识包括所述第一网元的标识时，所述处理模块确定所述证书申请网元能代所述第一网元申请业务证书；或者，在所述第二请求消息包括所述第一网元对应的初始化证书的情况下，所述处理模块验证所述证书申请网元能否代所述第一网元申请业务证书，包括：所述通信装置本地记录的所述证书申请网元管理的一个或多个网元对应的初始化证书包括所述第一网元的对应的初始化证书时，所述处理模块确定所述证书申请网元能代所述第一网元申请业务证书。

结合第十五方面，在第十五方面的某些实现方式中，所述收发模块，还用于接收来自证书颁发网元的查询消息，所述查询消息用于查询所述证书申请网元能否代第一网元申请颁发业务证书，所述查询消息中包括所述证书申请网元的标识和所述事件标识；所述收发模块，还用于向所述证书颁发网元发送查询响应消息，所述查询响应消息用于指示所述证书申请网元能否代第一网元申请颁发业务证书。

以上第十五方面及其可能的设计所示方法的技术效果可参照第八方面及其可能的设计中的技术效果。

第十六方面，提供了一种通信装置，用于实现上述第九方面所示的方法。该装置包括：收发模块，用于接收来自管理网元的第一消息，所述第一消息中包括所述管理网元本地记录的至少一个证书申请网元相关的信息；所述收发模块，还用于接收来自证书申请网元的业务证书申请消息，所述业务证书申请消息用于请求所述通信装置颁发业务证书；所述处理模块，用于根据所述第一消息确定是否颁发业务证书。

结合第十六方面，在第十六方面的某些实现方式中，所述第一消息中包括证书申请网元的标识和以下至少一种信息的对应关系：网元的标识、域标识、初始化证书标识、或网元类型。

以上第十六方面及其可能的设计所示方法的技术效果可参照第九方面及其可能的设计中的技术效果。

第十七方面，提供了一种通信系统，包括证书申请网元、证书颁发网元和管理网元，其中，证书颁发网元用于执行上述第二方面所示的方法，所述证书申请网元执行上述第三方面所示的方法，所述管理网元用于执行上述第十方面所示的方法。

第十八方面，提供了一种通信系统，包括证书申请网元、证书颁发网元和管理网元，其中，证书颁发网元用于执行上述第六方面所示的方法，所述证书申请网元执行上述第七方面所示的方法，所述管理网元用于执行上述第八方面所示的方法。

第十九方面，提供一种通信装置，该装置包括：存储器，用于存储程序；处理器，用于执行存储器存储的程序，当存储器存储的程序被执行时，处理器用于执行上述各方面提供的方法。

第二十方面，本申请提供一种处理器，用于执行上述各方面提供的方法。在执行这些方法的过程中，上述方法中有关发送上述信息和获取/接收上述信息的过程，可以理解为由处理器输出上述信息的过程，以及处理器接收输入的上述信息的过程。在输出上述信息时，处理器将该上述信息输出给收发器，以便由收发器进行发射。该上述信息在由处理器输出之后，还可能需要进行其他的处理，然后再到达收发器。类似的，处理器接收输入的上述信息时，收发器获取/接收该上述信息，并将其输入处理器。更进一步的，在收发器收到该上述信息之后，该上述信息可能需要进行其他的处理，然后再输入处理器。

基于上述原理，举例来说，前述方法中提及的接收请求消息可以理解为处理器接收输入的信息。

对于处理器所涉及的发射、发送和获取/接收等操作，如果没有特殊说明，或者，如果未与其在相关描述中的实际作用或者内在逻辑相抵触，则均可以更加一般性的理解为处理器输出和接收、输入等操作，而不是直接由射频电路和天线所进行的发射、发送和接收操作。

在实现过程中，上述处理器可以是专门用于执行这些方法的处理器，也可以是执行存储器中的计算机指令来执行这些方法的处理器，例如通用处理器。上述存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

第二十一方面，提供一种计算机可读存储介质，该计算机可读介质存储用于设备执行的程序代码，该程序代码包括用于执行上述各方面提供的方法。

第二十二方面，提供一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机用于执行上述各方面提供的方法。

第二十三方面，提供一种芯片，该芯片包括处理器与通信接口，该处理器通过该通信接口读取存储器上存储的指令，用于执行上述各方面提供的方法。

可选地，作为一种实现方式，该芯片还可以包括存储器，该存储器中存储有指令，该处理器用于执行该存储器上存储的指令，当该指令被执行时，该处理器用于执行上述各方面提供的方法。

附图说明

图1是本申请提供的网络架构100的示意图。

图2是一种CEMAF示意图。

图3是本申请提供的一种通信方法的示意性流程图。

图4是本申请提供的另一种通信方法的示意性流程图。

图5是本申请提供的又一种通信方法的示意性流程图。

图6是本申请实施例提供的通信装置10的示意性框图。

图7是本申请实施例提供另一种通信装置20的示意图。

图8是本申请实施例提供一种芯片系统30的示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请提供的技术方案可以应用于各种通信系统，例如：新无线(new radio，NR)系统、长期演进(long term evolution，LTE)系统、LTE频分双工(frequency divisionduplex，FDD)系统、LTE时分双工(time division duplex，TDD)系统等。本申请提供的技术方案还可以应用于设备到设备(device to device，D2D)通信，车到万物(vehicle-to-everything，V2X)通信，机器到机器(machine to machine，M2M)通信，机器类型通信(machine type communication，MTC)，以及物联网(internet of things，IoT)通信系统或者其他通信系统。

在通信系统中，由运营者运营的部分可称为公共陆地移动网络(public landmobile network，PLMN)，也可以称为运营商网络等。PLMN是由政府或其所批准的经营者为公众提供陆地移动通信业务目的而建立和经营的网络，主要是移动网络运营商(mobilenetwork operator，MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的PLMN，具体可为符合3GPP标准要求的网络，简称3GPP网络。3GPP网络通常包括但不限于5G网络、第四代移动通信(4th-generation，4G)网络，以及未来的其他通信系统，例如(6th-generation，6G)网络等。

为了方便描述，本申请实施例中将以PLMN或5G网络为例进行说明。

图1是本申请提供的网络架构100的示意图，以3GPP标准化过程中定义的非漫游场景下，基于服务化架构SBA的5G网络架构为例。如图所示，该网络架构可以包括三部分，分别是终端设备部分、DN和运营商网络PLMN部分。下面对各部分的网元的功能进行简单说明。

终端设备部分可以包括终端设备110，该终端设备110也可以称为用户设备(userequipment，UE)。本申请中的终端设备110是一种具有无线收发功能的设备，可以经无线接入网(radio access network，RAN)140中的接入网设备(或者也可以称为接入设备)与一个或多个核心网(core network，CN)设备进行通信。终端设备110也可称为接入终端、终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、用户代理或用户装置等。终端设备110可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(例如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。终端设备110可以是蜂窝电话(cellular phone)、无绳电话、会话启动协议(session initiation protocol，SIP)电话、智能电话(smart phone)、手机(mobile phone)、无线本地环路(wireless localloop，WLL)站、个人数字处理(personal digital assistant，PDA)等。或者，终端设备110还可以是具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它设备、车载设备、可穿戴设备、无人机设备或物联网、车联网中的终端、5G网络以及未来网络中的任意形态的终端、中继用户设备或者未来演进的6G网络中的终端等。其中，中继用户设备例如可以是5G家庭网关(residential gateway，RG)。例如终端设备110可以是虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。这里的终端设备指的是3GPP终端。本申请实施例对终端设备的类型或种类等并不限定。为便于说明，本申请后续以UE代指终端设备为例进行说明。

运营商网络PLMN部分可以包括但不限于(无线)接入网((radio)access network，(R)AN)120和核心网(core network，CN)部分。

(R)AN 120可以看作是运营商网络的子网络，是运营商网络中业务节点与终端设备110之间的实施系统。终端设备110要接入运营商网络，首先是经过(R)AN 120，进而可通过(R)AN 120与运营商网络的业务节点连接。本申请实施例中的接入网设备(RAN设备)，是一种为终端设备110提供无线通信功能的设备，也可以称为网络设备，RAN设备包括但不限于：5G系统中的下一代基站节点(next generation node base station，gNB)、长期演进(long term evolution，LTE)中的演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base stationcontroller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，homeevolved nodeB，或home node B，HNB)、基带单元(base band unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、小基站设备(pico)、移动交换中心，或者未来网络中的网络设备等。采用不同无线接入技术的系统中，具备接入网设备功能的设备的名称可能会有所不同。为方便描述，本申请所有实施例中，上述为终端设备110提供无线通信功能的装置统称为接入网设备或简称为RAN或AN。应理解，本文对接入网设备的具体类型不作限定。

CN部分可以包括但不限于如下NF：用户面功能(user plane function，UPF)130、网络开放功能(network exposure function，NEF)131、网络功能存储库功能(networkfunction repository function，NRF)132、策略控制功能(policy control function，PCF)133、统一数据管理功能(unified data management，UDM)134、统一数据存储库功能(unified data repository，UDR)135、网络数据分析功能(network data analyticsfunction，NWDAF)136、认证服务器功能(authentication server function，AUSF)137、接入与移动性管理功能(access and mobility management function，AMF)138、会话管理功能(session management function，SMF)139。

数据网络DN 140，也可以称为分组数据网络(packet data network，PDN)，通常是位于运营商网络之外的网络，例如第三方网络。当然，在一些实现方式中，DN也可以由运营商进行部署，即DN属于PLMN中的一部分。本申请对DN是否属于PLMN不作限制。运营商网络PLMN可以接入多个数据网络DN 140，数据网络DN 140上可部署多种业务，可为终端设备110提供数据和/或语音等服务。例如，数据网络DN 140可以是某智能工厂的私有网络，智能工厂安装在车间的传感器可以是终端设备110，数据网络DN 140中部署了传感器的控制服务器，控制服务器可为传感器提供服务。传感器可与控制服务器通信，获取控制服务器的指令，根据指令将采集的传感器数据传送给控制服务器等。又例如，数据网络DN 140可以是某公司的内部办公网络，该公司员工的手机或者电脑可为终端设备110，员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。终端设备110可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接，使用运营商网络提供的数据和/或语音等服务。终端设备110还可通过运营商网络访问数据网络DN 140，使用数据网络DN 140上部署的运营商业务，和/或第三方提供的业务。

下面对CN包含的NF功能进行进一步简要说明。

1、UPF 130是由运营商提供的网关，是运营商网络与数据网络DN 140通信的网关。UPF网络功能130包括数据包路由和传输、数据包检测、业务用量上报、服务质量(qualityof service，QoS)处理、合法监听、上行数据包检测、下行数据包存储等用户面相关的功能。

2、NEF 131是由运营商提供的控制面功能，主要使能第三方使用网络提供的服务，支持网络开放其能力、事件及数据分析、从外部应用给PLMN安全配备信息、PLMN内外交互信息的转换，提供运营商网络对外开放的API接口，提供给外部服务端与内部运营商网络的交互等。

3、NRF 132是由运营商提供的控制面功能，可用于维护网络中网络功能、服务的实时信息。例如支持网络服务发现、维护NF实例的NF配置数据(NF profile)支持的服务、支持通信代理(service communication proxy，SCP)的服务发现、维护SCP实例的SCP配置数据(SCP profile)、发送有关新注册、去注册、更新的NF和SCP的通知、维护NF和SCP运行的健康状态等。

4、PCF 133是由运营商提供的控制面功能，它支持统一的策略框架来治理网络行为、向其他控制功能提供策略规则、策略决策相关的签约信息等。

5、UDM 134是由运营商提供的控制面功能，负责存储运营商网络中签约用户的用户永久标识符(subscriber permanent identifier，SUPI)、签约用户的公开使用的签约标识(generic public subscription identifier，GPSI)，信任状(credential)等信息。其中SUPI在传输过程中会先进行加密，加密后的SUPI被称为隐藏的用户签约标识符(subscription concealed identifier，SUCI)。UDM网络功能134所存储的这些信息可用于终端设备110接入运营商网络的认证和授权。其中，上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户，例如使用中国电信的手机芯卡(subscriber identitymodule，SIM)卡的用户，或者使用中国移动的手机芯卡的用户等。上述签约用户的信任状可以是手机芯卡中存储的长期密钥或者跟手机芯卡加密相关的信息等存储的小文件，用于认证和/或授权。需要说明的是，永久标识符、信任状、安全上下文、认证数据(cookie)、以及令牌等同验证/认证、授权相关的信息，在本申请实施例中，为了描述方便起见不做区分、限制。

6、UDR 135是由运营商提供的控制面功能，为UDM提供存储和获取签约数据的功能、为PCF提供存储和获取策略数据、存储和获取用户的NF群组ID(group ID)信息等。

7、NWDAF 136是由运营商提供的控制面功能，其主要功能是从NF、外部应用功能AF以及运维管理(operations，administration and maintenance，OAM)系统等处收集数据，对NF和AF提供NWDAF业务注册、数据开放和分析数据等。

8、AUSF 137是由运营商提供的控制面功能，通常用于一级认证，即终端设备110(签约用户)与运营商网络之间的认证。AUSF网络功能137接收到签约用户发起的认证请求之后，可通过UDM网络功能134中存储的认证信息和/或授权信息对签约用户进行认证和/或授权，或者通过UDM网络功能134生成签约用户的认证和/或授权信息。AUSF网络功能137可向签约用户反馈认证信息和/或授权信息。

9、AMF 138是由运营商网络提供的控制面网络功能，负责终端设备110接入运营商网络的接入控制和移动性管理，例如包括移动状态管理，分配用户临时身份标识，认证和授权用户等功能。

AMF 138用于与UE进行NAS连接，拥有与UE相同的5G NAS安全上下文。5G NAS安全上下文包括KAMF、NAS层级密钥与其相同的密钥标识信息、UE安全能力，以及上下行NASCOUNT值。NAS层级密钥包括NAS加密密钥和NAS完整性保护密钥，分别用于NAS消息的机密性保护和完整性保护。

10、SMF 139是由运营商网络提供的控制面网络功能，负责管理终端设备110的PDU会话。PDU会话是一个用于传输PDU的通道，终端设备需要通过PDU会话与数据网络DN 140互相传送PDU。PDU会话由SMF网络功能139负责建立、维护和删除等。SMF网络功能139包括会话管理(例如会话建立、修改和释放，包含用户面功能UPF 130和(R)AN 120之间的隧道维护)、UPF网络功能130的选择和控制、业务和会话连续性(service and session continuity，SSC)模式选择、漫游等会话相关的功能。

11、AF 141是由运营商网络提供的控制面网络功能，用于提供应用层信息，可以通过网络开放功能网元，与策略框架交互或直接与策略框架交互进行策略决策请求等。可以位于运营商网络内，或位于运营商网络外。

可以理解的是，上述网元或者功能既可以是硬件设备中的物理实体，也可以是在专用硬件上运行的软件实例，或者是共享平台(例如，云平台)上实例化的虚拟化功能。简单来说，一个NF可以由硬件来实现，也可以由软件来实现。

图1中Nnef、Nnrf、Npcf、Nudm、Nudr、Nnwdaf、Nausf、Namf、Nsmf、N1、N2、N3、N4，以及N6为接口序列号。示例性的，上述接口序列号的含义可参见3GPP标准协议中定义的含义，本申请对于上述接口序列号的含义不做限制。需要说明的是，图中的各个网络功能之间的接口名称仅仅是一个示例，在具体实现中，该系统架构的接口名称还可能为其他名称，本申请对此不作限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

为方便说明，本申请实施例中将网络功能(如NEF 131…SMF139)统称/简称为NF，即本申请实施例中后文所描述的NF可替换为任一个网络功能。另外，图1仅示意性地描述了部分网络功能，后文所描述的NF不局限于图1中示出的网络功能。

应理解，上述应用于本申请实施例的网络架构仅是从服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

还应理解，图中所示的AMF、SMF、UPF、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对于上述网元的具体形态不作限定。

还应理解，上述命名仅为便于区分不同的功能而定义，不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。

为便于理解本申请实施例，对本申请涉及的一些基本概念做简要说明。应理解，下文所介绍的基本概念是以NR协议中规定的基本概念为例进行说明，但并不限定本申请实施例只能够应用于NR系统。因此，以NR系统为例描述时出现的标准名称，都是功能性描述，具体名称并不限定，仅表示设备的功能，可以对应扩展到未来的其它系统。

1、证书颁发机构(Certification Authority，CA)：负责管理公钥的整个生命周期，包括发放证书、定义证书有效期和吊销证书。需要说明的是，CA还可包括注册机构(registration authority，RA)，RA用于获取并认证用户身份后向CA提出证书签发请求。其中，RA可以是集成在CA的一项功能，也可单独部署，本申请中假设CA集成了RA的功能。下文中涉及的证书颁发网元(Certificate enrolment Function，CeEF)可能是CA或RA中的部分交互功能模块。

2、公钥基础设施证书管理协议(Certificate management protocol，CMP)：是一个互联网协议，用于在公钥基础设施(Public Key Infrastructure，PKI)体系中获取符合X.509标准的数字证书。具体地，CMP提供PKI组件之间的在线交互，包括CA和客户端系统之间的交互，协议消息定义用于证书创建和管理。CMP中的术语“证书”是指X509中定义的X.509v3证书。现有技术文档中(如，IETF RFC4210)对其进行了详细的描述，本申请中对此不做详细介绍。

3、X.509证书：X.509标准规定了证书可以包含什么信息，并说明了记录信息的方法(数据格式)，现有技术文档中(如，RFC5280)中对相关的证书profile进行了定义。X.509证书中包括如下表1中所列举的信息：

表1：X509的证书格式

/>

4、证书申请管理框架(Certificate Enrolment and MAnagement Framework，CEMAF)：

具体地，第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)中证书管理相关课题定义的证书管理框架如图2所示，图2是一种CEMAF示意图。

从图2中可以看出，CEMAF中包括证书管理网元(Certificate managementFunction，CeMF)和CeEF，其中，CeEF为运营商的网元，用于颁发证书在本申请中CeEF的功能可以参考前文所示的CA的功能；CeMF为信任域中的网元，用于管理和申请证书CEMAF中CeMF可以有多个(如图2中所示的CeMF#1、CeMF#2、…、CeMF#n)，不同的CeMF可以位于不同的信任域，也可以位于相同的信任域。

具体地，NF和CeEF之间的通信接口(如图2中所示的ce1接口)用于注册与证书调配和更新相关的程序；NF和CeMF之间的通信接口(如图2中所示的ce2接口)用于证书状态检查。

也就是说，CEMAF中相应的功能已被划分为两个网元(如，CeEF和CeMF)。其中CEMAF的注册功能网元(CeEF)用于颁发证书。CEMAF的管理网元(CeMF)用于管理和申请证书。

应理解，CeEF和CeMF具体的部署形态比较自由，例如，可以是网络中的网元，或者也可以是CA中的功能。还例如，CeEF也可能是专门负责和CA(或RA)联络的专用网元，在运营商网络中部署(即CeEF不包含在CA中)。又例如，CeEF和CeMF可以部署在证书网络管理实体中。这里不再一一举例说明。

5、业务证书：是指NF需要进行用户面或信令面用户传输所需要的证书，也可以称为正式证书或者实际证书等。例如，NF之间建立安全连接所需要的传输层安全(TransportLayer Security，TLS)证书，或者是建立网际协议安全(Internet Protocol Security，IPSEC)通道所需要的证书，本申请对此不做限制。

6、初始信任：为了实现基于服务的架构(Service-Based Architecture，SBA)中NF的自动化证书管理，NF和运营商CA之间需要建立初始信任，这是进行业务证书注册程序的先决条件。

此外，为了便于理解本申请实施例，做出以下几点说明。

第一，在本申请中，“用于指示”可以包括用于直接指示和用于间接指示。当描述某一指示信息用于指示A时，可以包括该指示信息直接指示A或间接指示A，而并不代表该指示信息中一定包括有A。

将指示信息所指示的信息称为待指示信息，则具体实现过程中，对待指示信息进行指示的方式有很多种。待指示信息可以作为一个整体一起发送，也可以分成多个子信息分开发送，而且这些子信息的发送周期和/或发送时机可以相同，也可以不同。具体发送方法本申请不进行限定。其中，这些子信息的发送周期和/或发送时机可以是预先定义的，例如根据协议预先定义的，也可以是发射端设备通过向接收端设备发送配置信息来配置的。

第二，在本申请中示出的“至少一个”是指一个或者多个，“多个”是指两个或两个以上。另外，在本申请的实施例中，“第一”、“第二”以及各种数字编号(例如，“#1”、“#2”等)只是为了描述方便进行的区分，并不用来限制本申请实施例的范围。下文各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定，应该理解这样描述的对象在适当情况下可以互换，以便能够描述本申请的实施例以外的方案。此外，在本申请实施例中，“510”、“520”等字样仅为了描述方便作出的标识，并不是对执行步骤的次序进行限定。

第三，在本申请中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

第四，本申请实施例中涉及的“保存”，可以是指的保存在一个或者多个存储器中。所述一个或者多个存储器，可以是单独的设置，也可以是集成在编码器或者译码器，处理器、或通信装置中。所述一个或者多个存储器，也可以是一部分单独设置，一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质，本申请并不对此限定。

第五，本申请实施例中涉及的“协议”可以是指通信领域的标准协议，例如可以包括LTE协议、NR协议以及应用于未来的通信系统中的相关协议，本申请对此不做限定。

第六，在本申请实施例中，“在…情况下”、“当…时”、“若…”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

第七，在本申请实施例中，各术语及英文缩略语，如无线资源控制(RRC)等，均为方便描述而给出的示例性举例，不应对本申请构成任何限定。本申请并不排除在已有或未来的协议中定义其它能够实现相同或相似功能的术语的可能。

第八，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

上文结合图1简单介绍了本申请实施例提供的通信方法能够应用的场景，以及介绍了本申请实施例中可能涉及到的基本概念，并在基本概念中介绍了初始信任的概念，一种NF和运营商CA建立初始信任的方案是：通过私有(Private)CA为NF颁发的初始证书，实现NF向运营商CA注册业务证书过程的安全保护，该方案使用由NF同一安全域(securitydomain)(或者说信任域(trust domain))中的PrivateCA颁发的初始证书。此Private CA充当初始注册中NF的初始信任锚。Private CA的根证书应配置为运营商PKI中CA中的信任锚点。具体地，该方案中建立NF与运营商CA之间的初始信任的前提条件是创建private CA并部署在5GC SBA中NF的同一网络安全(信任)域内，并且Private CA的根证书需要预配置在运营商PKI中CA中。

上述的建立NF与运营商CA之间的初始信任所需的NF的初始证书方案中，必须通过Private CA建立初始信任，因此无法在没有Private CA的场景中使用该方法。另外，通过Private CA建立初始信任的方案需要将Private CA的根证书需要预配置在运营商PKI中CA中，需要预配置过程。

本申请提供一种通信方法，可以应用在图2所示的CeEF和CeMF构成的证书管理框架中，由CeMF给NF申请证书，并且在验证CeMF授权通过的时候CeEF会通过CeMF返回有效的NF证书给NF。可以无需通过Private CA建立初始信任。

应理解，本申请实施例提供的通信方法可以应用于5G系统中，例如，图1中所示的通信系统。

还应理解，下文示出的实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定，只要能够通过运行记录有本申请实施例的提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可。例如，本申请实施例提供的方法的执行主体可以是网元，或者，是网元中能够调用程序并执行程序的功能模块。

图3是本申请提供的一种通信方法的示意性流程图。包括以下步骤：

S410，证书申请网元向证书颁发网元发送第一请求消息，或者说，证书颁发网元接收来自证书申请网元的第一请求消息。

该第一请求消息用于请求认证该证书申请网元是否为可信任的网元。可选地，证书申请网元向证书颁发网元发送第一请求消息可以理解为：证书申请网元请求建立初始信任，即证书申请网元通过第一请求消息请求证书颁发网元对证书申请网元进行验证，如果证书颁发网元验证证书申请网元为可信任的网元，说明证书颁发网元信任该证书申请网元可以同意该证书申请网元发送的证书申请。该实施例中第一请求消息也可以称为建立初始信任请求消息。

示例性地，证书申请网元可以是前文图2中所示的CeMF,证书颁发网元可以是前文图2中所示的CeEF。应理解，该实施例中对于证书申请网元的名称不做限定，能够用于为功能网元(如，NF)申请业务证书的网元均可以认为是该实施例中涉及的证书申请网元；同理，该实施例中对于证书颁发网元的名称不做限定，能够用于为功能网元(如，NF)颁发业务证书的网元均可以认为是该实施例中涉及的证书颁发网元。为了便于描述，下文中以证书申请网元为CeMF，证书颁发网元为CeEF为例进行说明。

具体地，该第一请求消息中包括该CeMF的标识(identify，ID)。

作为一种可能的实现方式，CeMF ID可以是CeMF的IP地址。

作为另一种可能的实现方式，CeMF ID可以是CeMF的实例(instance)ID。

应理解，上述CeMF的IP地址、CeMF的instance ID等只是举例说明CeMF ID可能的形式，对本申请的保护范围不构成任何的限定，CeMF ID还可以其他能够用于标识CeMF的信息，例如，可以是CeMF的类型信息；还例如，可以是CeMF的位置信息等，这里不再一一举例说明。

具体地，上述的第一请求消息中还可以包括第一信息，该第一信息用于对CeMF进行认证，该第一信息包括以下信息中的至少一项：网元标识列表(NF ID list)、域标识(Domain ID)、初始化证书列表。

其中，NF ID list是CeMF管理的一个或多个NF的名单，NF ID为NF的标识信息，包括但不限于NF的IP地址、NF的instance ID等用于标识NF的信息。CeMF和该NF ID list所指示的一个或多个NF由同一个厂商提供，CeMF可以为NF ID list所指示的NF提供代理服务(如，代为请求业务证书)。例如，CeMF和NF#1、NF#2以及NF#3由同一个厂商提供，NF#1、NF#2以及NF#3的标识分别为“#1”、“#2”和“#3”，CeMF可以为NF#1、NF#2和NF#3提供代理服务，则NF ID list信息为指示“#1”、“#2”和“#3”的信息。

Domain ID用于指示CeMF位于的域，如，CeMF位于某个信任域中Domain ID为该信任域标识。Domain ID可以是某个区域的ID，包括但不限于：虚拟局域网(Virtual LocalArea Network，VLAN)ID；Domain ID可以是特定的设备商的ID，包括但不限于：供应商(Vendor)ID；Domain ID可以是运营商某个区域的标识，包括但不限于：陆上公用移动通信网(Public Land Mobile Network，PLMN)ID。

初始化证书列表是CeMF管理的NF对应的初始化证书。其中，初始化证书列表可以是预配置在CeMF中的，或者还可以是CeMF管理的NF发送给CeMF的(如，NF向CeMF发送请求消息#1，该请求消息#1用于请求获取业务证书，且该请求消息#1中携带NF的初始化证书)。上述的初始化证书列表信息可以是初始化证书列表中包括的初始化证书的标识信息。例如，CeMF管理的NF包括NF#1、NF#2和NF#3，且NF#1、NF#2和NF#3分别对应的初始化证书为初始化证书#1、初始化证书#2和初始化证书#3，则初始化证书列表信息为用于标识初始化证书#1、初始化证书#2和初始化证书#3的信息。

进一步地，该实施例中CeEF接收到CeMF发送的第一请求消息之后，可以向管理网元发送第二请求消息，该第二请求消息用于请求管理网元验证该CeMF发送的第一信息。需要说明的是，该实施例中CeEF接收到CeMF发送的第一请求消息之后可以不发送第二请求消息，而是由其他的网元向管理网元发送第二请求消息，请求管理网元验证第一信息，例如，CeEF通过其他网元发送第二请求消息；还例如，其他设备获知第一信息，请求管理网元验证第一信息。也就是说该实施例中重点在于管理网元验证第一信息，对于如何触发管理网元验证第一信息不做限定，可以由CeEF触发，也可以由其他网元触发，为了便于描述，下面以CeEF触发管理网元验证第一信息为例进行说明。

图3所示的方法流程还包括：

S420，CeEF向管理网元发送第二请求消息，或者说管理网元接收来自CeEF的第二请求消息。

具体地，该实施例中管理网元为网管系统的统称，例如，管理网元可以是EMS、网络管理站(Network Management System，NMS)、MANO或者是OSS/BSS的一部分，或者一个或者几个。为了便于描述，下文中将管理网元称为MnF，需要说明的是，下文中管理网元称为MnF是不固定的，管理网元也可以称为OAM。

另外，需要说明的是，本申请中涉及的管理网元包括但不限于以下功能：网络设备(网元)初始化管理、网络配置管理、网络性能管理、网络故障管理、网络优化管理、或网络路由管理。例如，管理网元可以记录网元初始化信息。

可选地，CeEF向管理网元发送第二请求消息可以理解为CeEF请求管理网元对CeMF发送的信息进行验证，即CeEF通过第二请求消息请求管理网元验证CeMF发送的第一信息，该实施例中第二请求消息也可以称为验证请求消息。

第二请求消息中包括CeMF ID和CeEF ID，其中，CeMF ID用于标识CeMF，在上述步骤S410中关于第一请求消息中携带的CeMF ID已经对CeMF ID进行了说明，这里不再赘述；CeEF ID用于标识CeEF，CeEF ID包括但不限于CeEF的IP地址、CeEF的instance ID等用于标识CeEF的信息。

具体地，第二请求消息中还包括第一信息，如，包括以下信息中的至少一项：NF IDlist、Domain ID、初始化证书列表。

其中，NF ID list、Domain ID、初始化证书列表等在上述步骤S410中关于第一请求消息中携带的信息部分已经进行了说明，这里不再赘述。

应理解，在第一请求消息中携带第一信息的情况下，第二请求消息中也携带该第一信息，第一信息可以是NF ID list信息、Domain ID信息、初始化证书列表信息中的至少一项。也就是说该实施例中CeEF可以将CeMF发送的第一信息透传给MnF，由MnF对CeMF发送的第一信息进行验证。

MnF接收到CeEF的第二请求消息之后，可以执行验证，图3所示的方法流程还包括：

S430，MnF执行验证。

需要说明的是，该实施例中MnF在NF初始化过程中，会记录并分配CeMF与NF的关系。具体地，MnF本地记录NF ID，可选地，如果该NF中预配置有初始化证书，则MnF本地记录NF的初始化证书。

作为一种可能的实现方式，NF的初始化证书为MnF预配置并在MnF中记录。例如NF初始化的时候，设备域的MANO配置了初始化证书到NF的实现层中(如，虚拟化网络功能(Virtualized Network Function，VNF)实例中)并记录在了MnF中。

作为另一种可能的实现方式，NF的初始化证书为设备商/运营商专属的PrivateCA通过私有接口颁发。

应理解，上述的两种实现方式，只是举例说明配置NF的初始化证书可能的方式，对本申请的保护范围不构成任何的限定，该实施例中对于是否配置NF的初始化证书不做限定，以及对于NF的初始化证书的配置方式也不做限定。

该实施例中MnF可以通过不同的验证方式对CeMF发送的信息进行验证，例如，包括但不限于：

作为一种可能的实现方式，当第二请求消息中携带Domain ID信息的情况下，MnF可以根据第二请求消息中携带的CeMF ID确定该CeMF初始化配置过程中所配置到的Domain的Domain ID#1，通过比较第二请求消息中携带的Domain ID和确定得到的Domain ID#1得到验证结果。

例如，当CeMF网元所属的设备层或者虚拟化层初始化(或者说启动、拉起等)，网管MnF会将CeMF初始化到哪个设备初始化信任域中做标识，即标识Domain ID与CeMF ID的关联关系。MnF可以根据第二请求消息中携带的CeMF ID确定该CeMF初始化配置过程中所配置到的Domain ID#1，若第二请求消息中携带Domain ID为Domain ID#1，则MnF确定CeMF发送的信息通过验证，否则确定CeMF发送的信息未通过验证。

作为另一种可能的实现方式，当第二请求消息中携带初始化证书列表信息的情况下，MnF可以根据第二请求消息中携带的CeMF ID确定该CeMF初始化配置过程中所配置的管理的NF对应的初始化证书列表#1，通过比较第二请求消息中携带的初始化证书列表和确定得到的初始化证书列表#1得到验证结果。

例如，MnF在当NF的设备层或者虚拟化层初始化时，会记录NF配置的初始化证书，初始化证书可以是设备商配置的或者是运营商配置的。相关的证书信息和NF ID的关联关系被预配置在MnF中。MnF可以根据第二请求消息中携带的CeMF ID确定该CeMF初始化配置过程中所配置的管理的NF对应的初始化证书列表#1，若第二请求消息中携带初始化证书列表为初始化证书列表#1，则MnF确定CeMF发送的信息通过验证，否则确定CeMF发送的信息未通过验证。

作为又一种可能的实现方式，当第二请求消息中携带初始化证书列表信息的情况下，MnF首先通过本地的配置文档确定CeMFID对应的厂商(Vendor1)，然后MnF校验每个证书的签名，是否由Vendor1签名。并校验签名有效性，如果MnF判断90％的证书都是校验成功的，基于预配置值规则(校验成功率>85％)确定CeMF发送的信息通过验证。作为又一种可能的实现方式，当第二请求消息中携带NF ID list信息的情况下，MnF可以根据第二请求消息中携带的CeMF ID确定该CeMF初始化配置过程中所配置的管理的NF对应的NF ID list#1，通过比较第二请求消息中携带的NF ID list和确定得到的NF ID list#1得到验证结果。

例如，MnF在当NF层设备层或者虚拟化层初始化时，会记录NF ID。MnF可以根据第二请求消息中携带的CeMF ID确定该CeMF初始化配置过程中所配置的管理的NF对应NF IDlist#1，若第二请求消息中携带NF ID list为NF ID list#1，则MnF确定CeMF发送的信息通过验证，

或者，若第二请求消息中携带NF ID list为NF ID list#2，且NF ID list#1和NFID list#2中包括的部分NF ID不同，MnF确定验证结果为NF ID list#1和NF ID list#2中NF ID不同的个数。

作为又一种可能的实现方式，当第二请求消息中携带初始化证书列表信息的情况下，MnF查询Private CA的在线证书状态协议(Online Certificate Status Protocol，OCSP)服务器，查询初始化证书列表中所包括的初始化证书是否为吊销的初始化证书，若为吊销的初始化证书确定CeMF发送的信息为未通过验证。

应理解，上述的几种实现方式只是举例说明MnF验证的方式，对本申请的保护范围不构成任何的限定，还可以通过其他方式验证CeMF发送的信息，这里不再一一举例说明。

具体地，由上述的MnF执行验证过程可知，该实施例中利用MnF本地记录的信息(如，证书申请网元的初始化信息、证书申请网元的配置信息、或证书申请网元的管理信息等)协助对CeMF校验的过程，相比于前文介绍的Private CA建立初始信任的方案来说该实施例中不需要在执行预配置信息(如，Private CA的根证书预配置在运营商PKI中CA中)的流程，直接利用MnF记录的信息即可。

进一步地，MnF验证之后，可以通过第一指示信息通知CeEF，图3所示的方法流程还包括：

S440，MnF向CeEF发送第一指示信息，或者说CeEF接收来自MnF的第一指示信息。

该第一指示信息用于指示第二请求消息中携带的第一信息是否通过验证。

作为一种可能的实现方式，第一指示信息直接指示第一信息是否通过验证。

例如，第一指示信息为1比特，取值为“1”表示第一信息通过验证；取值为“0”表示第一信息未通过验证。

作为另一种可能的实现方式，第一指示信息间接指示第一信息是否通过验证。如，第一指示信息通过指示第二请求消息中携带的第一信息和MnF本地记录的第二信息是否相同，指示第一信息是否通过验证。若第一指示信息指示第一信息和第二信息不同，理解为第一信息未通过验证；或者，若第一指示信息指示第一信息和第二信息相同，理解为第一信息通过验证；或者，若第一指示信息指示第一信息和第二信息不同但是不相同的程度满足阈值要求，理解为第一信息通过验证。

在该实现方式下，若第二请求消息中携带的第一信息和MnF本地记录的第二信息不同，第一指示信息中还可以携带指示信息#1，指示信息#1用于指示第一信息和第二信息的不相同的程度。

例如，第二请求消息中携带的第一信息为Domain ID#1，MnF本地记录的CeMF所属的Domain的ID为Domain ID#1，则MnF通过第一指示信息指示第一信息通过验证。

还例如，第二请求消息中携带的第一信息为NF ID list#1，MnF本地记录的CeMF管理的一个或多个NF的ID为NF ID list#2，则MnF通过第一指示信息指示第一信息未通过验证。

可选地，该示例中MnF还可以通过在第一指示信息中携带指示信息#1，指示NF IDlist#1和NF ID list#2区别。如，NF ID list#1中包括NF ID#1、NF ID#2和NF ID#3，而NFID list#2中包括NF ID#1和NF ID#2，则指示信息#1可以指示NF ID list#1和NF ID list#2的区别为存在一个不同的NF ID。

又例如，第二请求消息中携带的第一信息为初始化证书列表，MnF对初始化证书列表中的初始化证书进行校验，若校验结果为通过校验，则MnF通过第一指示信息指示第一信息通过验证。

可选地，第一指示信息中还可以携带MnF的签名。例如，当CeEF预配置了MnF的公钥，或者是证书，那么可以携带MnF的签名辅助CeEF校验第一指示信息是否可信。

应理解，该实施例中CeEF可以根据接收到第一指示信息确定CeMF是否为可信的，图3所示的方法流程还包括：

S450，CeEF确定CeMF是否可信。

作为一种可能的方式，在第一指示信息指示第一信息未通过验证的情况下，CeEF确定CeMF不可信。

作为另一种可能的方式，在第一指示信息指示第一信息通过验证的情况下，CeEF确定CeMF可信。

作为又一种可能的方式，在第一指示信息通过指示第一信息和第二信息是否相同指示第一信息是否通过验证的情况下，且第一指示信息指示第二请求消息中携带的一信息和MnF本地记录的第二信息不同，但是一信息和第二信息的不同程度小于预设阈值的情况下，CeEF确定CeMF可信。

可选地，该实施例中CeEF还可以通过如下方式确定管理网元发送的第一指示信息是否可信：

作为一种可能的方式，第一指示信息是通过安全连接(如SSL)传输的，CeEF确保第一指示信息可信。在该实现方式下，CeEF可以根据第一指示信息的类型(如，第一指示信息为Success_response)判断第一指示信息是否可信。

作为另一种可能的方式，CeEF和MnF之间没有直接的安全通道，可以在第一指示信息中携带MnF的签名，若CeEF预配置了MnF的公钥，或者是证书，那么CeEF可以通过第一指示信息中携带的MnF的签名校验第一指示信息是否可信。

应理解，上述的实现方式只是举例说明CeEF如何确定接收到的第一指示信息为可信的消息，对本申请的保护范围不构成任何的限定，CeEF还可以通过其他方式确定接收到的第一指示信息是否为可信的消息，例如，CeEF本地维护可信任设备列表，且确定MnF为可信任的设备。这里不再一一举例说明。

进一步地，CeEF确定CeMF是否可信任之后，可以通过第一响应消息通知CeMF，图3所示的方法流程还包括：

S460，CeEF向CeMF发送第一响应消息，或者说CeMF接收来自CeEF的第一响应消息。

具体地，第一响应消息中携带CeEF ID，第一响应消息用于指示CeEF是否信任CeMF。

作为一种可能的实现方式，该第一响应消息用于指示CeMF与CeEF之间成功建立初始信任，或者说第一响应消息指示CeEF信任CeMF。

作为另一种可能的实现方式，该第一响应消息用于指示CeMF与CeEF之间建立初始信任失败，或者说第一响应消息指示CeEF不信任CeMF。

上述的步骤S410至S460详细介绍了CeEF和CeMF之间建立初始信任的过程。

可选地，图3所示的方法流程还可以包括请求颁发业务证书的流程。具体地，图3所示的方法流程还可以包括：

S411，第一NF向CeMF发送业务证书请求消息，或者说CeMF接收来自第一NF的业务证书请求消息。

具体地，该业务证书请求消息用于请求获取业务证书。第一NF和CeMF为相同信任域中的网元，可以理解为：第一NF通过CeMF代为申请业务证书。

业务证书请求消息中携带第一NFID，第一NF ID指的是第一NF申请业务证书时用的ID，可以是第一NF的instance ID可以是业务证书请求消息中的发送者身份字段(senderKID)或者任何用于标识第一NF的信息。

可选地，业务证书请求消息中还可以携带以下信息中的至少一项：公钥、私钥、初始化证书、或业务类型等。

其中，公钥、私钥为第一NF在请求业务证书时生成的，由第一NF在业务证书请求消息中携带。例如，第一NF在请求业务证书时，生成了公钥和私钥(或者称为公私钥对pk/sk)对，则第一NF可以在请求业务证书的业务证书请求消息中携带该第一NF对应的公钥和私钥；或者，还例如，第一NF在请求业务证书时，生成了公钥，则第一NF可以在请求业务证书的业务证书请求消息中携带该第一NF对应的公钥。

初始化证书是第一NF中预配置的证书，若第一NF在初始化过程中被配置有初始化证书，则第一NF在业务证书请求消息中可以携带该初始化证书。例如，第一NF的初始化证书为初始化过程中MnF预配置在第一NF中的；还例如，第一NF的初始化证书为设备商/运营商专属的Private CA通过私有接口颁发。

业务类型显性或者隐式指示了请求的业务证书的类型，CeMF或者CeEF可以根据业务类型判断申请的业务证书的类型。应理解，业务证书请求消息中未携带业务类型的情况下，CeMF或者CeEF可以根据其他信息(如，历史请求信息等)确定业务证书的类型，这里不再赘述。

作为一种可能的实现方式，步骤S411可以是在步骤S410之前执行的，可以理解为CeMF在接收到第一NF的业务证书请求之后才发起初始信任建立请求。

作为另一种可能的实现方式，步骤S411可以是在步骤S410之后执行的，如可以是在步骤S460之后执行的，可以理解为CeMF和CeEF之间完成初始信任建立之后，第一NF才发起业务证书请求。

应理解，上述两种实现方式只是举例说明第一NF发起业务证书请求的时机，对本申请的保护范围不构成任何的限定，该实施例中第一NF可以在任何时机发起业务证书请求，这里不再一一举例说明。

进一步地，CeMF在接收到第一NF的业务证书请求消息之后，可以根据规则判断是否响应所述第一网元申请业务证书的请求，图3所示的方法流程还可以包括：

S412，CeMF确定是否响应第一NF申请业务证书的请求。

具体地，CeMF可以根据预配置的规则，对第一NF申请业务证书的请求做判断，确定是否响应第一NF申请业务证书的请求。

示例性地，第一NF申请的业务证书的类型为第一类型，CeMF根据预配置的规则验证第一NF是否可以申请第一类型的业务证书。

例如，第一NF不可以申请第一类型的业务证书，如果业务证书请求消息请求申请第一类型的业务证书，则CeMF确定拒绝第一NF的业务证书申请。

示例性地，第一NF的类型为第二类型，CeMF根据预配置的规则验证第一NF是否可以申请业务证书。

例如，第一NF为SMF时，可以具有IPSec证书，如果第一NF ID或者初始化证书指示第一NF不是SMF，则CeMF确定拒绝第一NF的业务证书申请。

还例如，如果第一NFID或者初始化证书指示第一NF是SMF，则CeMF确定代第一NF申请业务证书。

应理解，上述CeMF根据预配置的规则对第一NF申请业务证书的请求做判断包括但不限于：

CeMF直接根据预配置的规则对第一NF申请业务证书的请求做判断，确定是否响应第一NF申请业务证书的请求；或者，

在CeMF根据预配置的规则无法对第一NF申请业务证书的请求做判断时，CeMF也可以根据预配置的规则通过其他网元或网管辅助校验第一NF的证书申请请求是否有效。例如，CeMF可以请求CeEF辅助校验第一NF的证书申请请求是否有效，具体地流程可参考S410-S440步骤(如，将第一请求消息的功能定义为校验第一NF的证书申请请求是否有效即可)，这里不再赘述。

作为一种可能的实现方式，CeMF确定拒绝第一NF的业务证书申请(如，CeMF确定第一NF证书请求无效或不合理的情况下)，CeMF向第一NF发送失败指示，该失败指示用于指示所述第一NF申请业务证书的请求无效。

可选地，失败指示还可以指示请求业务证书失败失败的原因，如，失败指示中携带原因值，该原因值指示第一NF申请的业务证书不可使用或原因值指示业务证书类型与第一NF类型不匹配。

作为另一种可能的实现方式，在CeMF确定同意第一NF的业务证书申请的情况下，CeMF可以根据请求的业务证书类型确定一个CeEF给第一NF颁发业务证书。因为CeMF可能与多个CeEF建立关联关系，而每个CeEF可能只会颁发特定的证书。

下面主要介绍CeMF确定同意第一NF申请业务证书的情况，图3所示的方法流程还可以包括：

S413，CeMF向CeEF发送业务证书申请消息，或者说CeEF接收来自CeMF的业务证书申请消息。

具体地，该证书申请请求中携带CeMF ID。

可选地，证书申请请求中还包括以下信息中的至少一项：

公钥、私钥、第一NF ID、初始化证书、CeMF签名。

其中，第一NF ID或初始化证书用于防止重复申请业务证书，或者防止利用多个CeMF重复申请业务证书。

CeMF签名用于防止第三方篡改业务证书申请。应理解，当CeEF预置了CeMF的公钥或者证书时可以不携带CeMF签名，或者当CeMF与CeEF之间有安全连接时可以不携带CeMF签名。

公钥和私钥对是业务证书申请时的参数，可以是第一NF在业务证书请求消息中携带的，也可以是CeMF代第一NF生成的。例如，如果业务证书请求消息中没有携带公钥，CeMF也可以代第一NF生成第一NF对应的公钥和/或私钥，用于证书申请，本申请对此不作限定。

进一步地，CeEF接收到CeMF的业务证书申请消息之后，由于该实施例中步骤S410至S460所示的流程中CeEF和CeMF之间建立了初始信任(建立失败的情况这里不进行说明)，CeEF可以响应CeMF的请求，图3所示的方法流程还包括：

S414，CeEF向第一NF颁发业务证书。

具体地，CeEF响应CeMF的业务证书申请请求给第一NF颁发业务证书。

作为一种可能的实现方式，CeEF可以直接给第一NF发送业务证书。

作为另一种可能的实现方式，CeEF可以间接给第一NF发送业务证书。例如，通过其他设备将业务证书转发给第一NF。

可选地，携带业务证书的消息中还可以携带CeMF ID。

图3所示的方法流程中，在颁发证书之前CeEF与CeMF建立初始信任，通过MnF进行辅助校验，可以在没有Private CA的场景下完成业务证书颁发。

本申请还提供了一种通信方法，CeEF可以检验MnF或预置MnF证书的情况下，可以实现离线校验CeMF，为了便于理解，下面结合图4详细介绍该通信方法。

图4是本申请提供的另一种通信方法的示意性流程图。包括以下步骤：

S510，第一NF向CeMF发送业务证书请求消息，或者说CeMF接收来自第一NF的业务证书请求消息。

参考图3中的步骤S411的描述，这里不再赘述。

进一步地，该实施例中，CeMF在接收到NF的业务证书请求消息之后，可以请求MnF对业务证书请求进行验证。图4所示的方法流程还包括：

S520，CeMF向MnF发送第三请求消息，或者说MnF接收来自CeMF的第三请求消息。

该第三请求消息用于请求MnF对第一NF发起业务证书请求进行验证。第三请求消息可以理解为验证请求消息。

具体地，第三请求消息中包括CeMF ID和第一NF ID。

可选地，第三请求消息中还包括Domain ID和/或第一NF对应的初始化证书。

应理解，图4所示的实施例中CeMF向MnF发送第三请求消息中携带的信息相比于图3所示的实施例中CeMF向CeEF发送的第一请求消息中携带的信息不同点在于：携带是请求业务证书的NF的NF ID，而不是NF ID list；同理，第三请求消息中携带的是请求业务证书的第一NF对应的初始化证书，而不是初始化证书list。原因在于，图4所示的实施例中CeMF是根据NF的业务证书请求触发请求MnF做辅助校验。也就是说图4所示的实施例中CeMF请求MnF做校验针对的是某个NF发起的，而不是针对CeMF进行校验的，如果针对CeMF进行校验，该CeMF可能管理一个或者多个NF，所以携带的是NF ID list或初始化证书list。

还应理解，图4所示的实施例中涉及的MnF和图3所示的实施例中涉及的MnF相同，可以记录NF初始化过程中相关的配置信息。具体描述可以参考图3中步骤S430中关于MnF的描述，这里不再赘述。

作为一种可能的实现方式，该实施例中CeMF向MnF发送第三请求消息之前，CeEF与CeMF之间可以执行交互。

例如，CeMF接收到NF发送的业务证书请求消息之后，直接向CeEF发送业务证书申请消息，CeEF接收到CeMF发送的业务证书申请消息之后，CeEF会通过请求消息#1请求CeMF做校验辅助，请求消息#1中包括MnF ID。可选地，该请求消息#1中还可以包括新鲜值，该新鲜值用于保证传达信息的实时性。

进一步地，MnF接收到第三请求消息之后，执行验证，图4所示的方法流程还包括：

S530，MnF执行验证。

MnF执行验证的过程可以参考图3中步骤S430中关于MnF执行验证的描述，不同点在于该实施例中MnF执行验证的过程基于的是第三请求消息中携带的初始化证书或第一NFID，而不是初始化证书列表或NF ID list。

例如，第三请求消息中携带的初始化证书为初始化证书#1，MnF可以根据第三请求消息中携带的第一NF的第一NF ID确定该第一NF初始化过程中被配置的初始化证书#2，若是初始化证书#1和初始化证书#2为同一个初始化证书，MnF确定CeMF可以代第一NF申请业务证书。

还例如，第三请求消息中携带的第一NF ID为NF ID#1，MnF可以根据第三请求消息中携带的CeMF ID确定该CeMF管理的一个或者多个NF分别对应的ID，若NF ID#1属于该一个或者多个NF分别对应的ID，MnF确定CeMF发送的信息可以代第一NF申请业务证书。

又例如，第三请求消息中携带的初始化证书为初始化证书#1，MnF查询Private CA的OCSP服务器，查询初始化证书#1是否为吊销的初始化证书，若为吊销的初始化证书确定CeMF不可以代第一NF申请业务证书。

进一步地，MnF执行验证之后，可以通过第二指示信息通知CeMF该验证结果，图4所示的方法流程还包括：

S540，MnF向CeMF发送第二指示信息，或者说CeMF接收来自MnF的第二指示信息。

作为一种可能的实现方式，MnF确定CeMF发送的信息不可以代第一NF申请业务证书，第二指示信息用于通知验证失败。

作为另一种可能的实现方式，MnF确定CeMF可以代第一NF申请业务证书，可以理解为验证成功，MnF通过第二指示信息给CeMF返回验证可信凭据为MnF的签名，同时指示验证成功。

具体地，在该实现方式下，第二指示信息中包括CeMF ID、MnF签名和事件ID。

可选地，MnF可以在MnF本地缓存该验证事件，有利于CeEF进行后续校验。

进一步地，CeMF接收到MnF的第二指示信息之后，可以向CeEF发送业务证书申请消息，图4所示的方法流程还包括：

S550，CeMF向CeEF发送业务证书申请消息，或者说CeEF接收来自CeMF的业务证书申请消息。

具体地，业务证书申请消息中携带指示验证可信凭据，若CeMF向MnF发送第三请求行消息之后已经和CeEF完成交互，CeMF接收到MnF的第二指示信息之后将验证可信凭据发送给CeEF即可。

业务证书申请消息携带CeMF ID，pk/sk，MnF签名(事件ID)。

具体地，CeEF接收到业务证书申请消息之后可以响应并颁发业务证书，图4所示的方法流程还包括：

S560，CeEF向第一NF颁发业务证书。

可以参考图3中步骤S414的描述，这里不再赘述。

另外，在该实施例中，CeEF可以请求MnF验证是否可以向第一NF颁发业务证书。

图4所示的方法流程还可以包括：

S570，CeEF向MnF发送查询消息，或者说MnF接收来自CeEF的查询消息。

该查询消息用于请求MnF验证CeMF能否代第一NF申请业务证书。

S580，MnF向CeEF发送查询响应消息，或者说CeEF接收来自MnF的查询响应消息。

该查询响应消息用于指示验证通过或失败。

例如，CeEF在接收到业务证书请求消息之后向MnF发送查询消息，该查询消息中携带事件ID和CeMF ID，用于查询CeMF ID所指示的CeMF是否可以执行事件ID所指示的事件。如，CeMF ID所指示的CeMF代第一NF申请业务证书，MnF本地缓存的验证事件指示为CeMF可以代第一NF申请业务证书，则通过查询响应通知CeEF该事件可执行，则CeEF可以向第一NF颁发业务证书。

该实施例中由于MnF验证某个事件是在CeEF确定是否颁发业务证书之前，所以改实施例中CeEF可以针对多个事件请求MnF验证是否可以向多个NF分别颁发业务证书。

例如，CeEF在接收到请求向NF#1颁发业务证书的业务证书请求消息#1和请求向NF#2颁发业务证书的业务证书请求消息#2之后，向MnF发送查询消息，该查询消息中携带事件ID#1、CeMF ID#1、事件ID#2、CeMF ID#2，其中，事件ID#1和CeMF ID#1表示CeMF ID#1所指示的CeMF#1请求向NF#1颁发业务证书，事件ID#2和CeMF ID#2表示CeMF ID#2所指示的CeMF#2请求向NF#2颁发业务证书。若MnF根据本地缓存的验证事件指示为CeMF#1可以为NF#1申请业务证书，则通过查询响应消息通知CeEF该事件ID#1所指示的事件#1可执行，CeEF可以向NF#1颁发业务证书；若MnF根据本地缓存的验证事件指示为CeMF#2不可以为NF#2申请业务证书，则通过查询响应消息通知CeEF该事件ID#2所指示的事件#2不可执行，CeEF可以不向NF#2颁发业务证书。

本申请还提供了一种通信方法，可以通过在CeMF中预配置相关信息实现校验CeMF，为了便于理解，下面结合图5详细介绍该通信方法。

图5是本申请提供的又一种通信方法的示意性流程图。包括以下步骤：

S610，MnF向CeEF发送第一消息。

该第一消息中包括CeMF ID和CeMF ID对应的信息，具体地，CeMF ID对应的信息包括以下信息中的至少一项：

NF ID list、初始化证书list、domain ID或NF type。

该实施例中CeEF接收并存储MnF发送第一消息。也就是说在CeEF预配置CeMF和NF所在的信任域映射信息。

例如，CeEF本地维护CeMF和NF所在的信任域映射信息如下表1所示：

S620，第一NF向CeMF发送业务证书请求消息，或者说CeMF接收来自第一NF的业务证书请求消息。

参考图3中的步骤S411的描述，这里不再赘述。

S630，CeMF向CeEF发送业务证书申请消息，或者说CeEF接收来自CeMF的业务证书申请消息。

S640，CeEF进行信息匹配。

CeEF接收到CeMF的业务证书申请消息之后，匹配表格中的信息，与CeMF发送的业务证书申请消息中携带的信息是否为一致，如果一致则颁发业务证书。

例如，业务证书申请消息中携带的CeMF ID指示请求颁发业务证书的CeMF为CeMF1，且业务证书申请消息中携带NF ID为1000001。CeEF根据本地缓存的映射关系(如，表1所示)确定NF ID为1000001的NF属于CeMF1管理，则给第一NF颁发业务证书。

应理解，该实施例中CeEF本地配置的信息可以配置NF Type，表明CeEF可以根据type判断该第一NF是否具备申请该证书的条件。

例如，CeMF在步骤S630中发送的业务证书申请消息中携带了NF ID，并要请求IPSec证书，但是CeEF根据本地表格，判断该NF ID对应的Type为AMF，而根据预配置的规则，该Type不需要IPSec证书，这种情况下，可以发送失败响应，指示第一NF证书申请请求申请了错误的证书。

示例性地，在CeEF进行信息匹配成功确定可以给第一NF颁发业务证书的情况下，图5所示的方法流程还包括：

S650，CeEF向第一NF颁发业务证书。

可以参考图3中步骤S414的描述，这里不再赘述。

应理解，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

还应理解，在本申请的各个实施例中，如果没有特殊说明以及逻辑冲突，不同的实施例之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。

还应理解，在上述一些实施例中，主要以现有的网络架构中的设备为例进行了示例性说明(如NF，MnF等)，应理解，对于设备的具体形式本申请实施例不作限定。例如，在未来可以实现同样功能的设备都适用于本申请实施例。

可以理解的是，上述各个方法实施例中，由设备(如NF，MnF)实现的方法和操作，也可以由设备的部件(例如芯片或者电路)实现。

以上，结合图3至图5详细说明了本申请实施例提供的通信方法。上述通信方法主要从终端设备各个协议层之间交互的角度进行了介绍。可以理解的是，终端设备为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。

本领域技术人员应该可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

以下结合图6至图8详细说明本申请提供的通信装置。应理解，装置实施例的描述与方法实施例的描述相互对应。因此，未详细描述的内容可以参见上文方法实施例，为了简洁，部分内容不再赘述。

本申请实施例可以根据上述方法示例对发射端设备或者接收端设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。下面以采用对应各个功能划分各个功能模块为例进行说明。

图6是本申请实施例提供的通信装置10的示意性框图。该装置10包括收发模块11和处理模块12。收发模块11可以实现相应的通信功能，处理模块12用于进行数据处理，或者说该收发模块11用于执行接收和发送相关的操作，该处理模块12用于执行除了接收和发送以外的其他操作。收发模块11还可以称为通信接口或通信单元。

可选地，该装置10还可以包括存储模块13，该存储模块13可以用于存储指令和/或数据，处理模块12可以读取存储模块中的指令和/或数据，以使得装置实现前述各个方法实施例中设备的动作。

在一种设计中，该装置10可对应于上文方法实施例中的CeEF，或者是CeEF的组成部件(如芯片)。

该装置10可实现对应于上文方法实施例中的CeEF执行的步骤或者流程，其中，收发模块11可用于执行上文方法实施例中CeEF的收发相关的操作，处理模块12可用于执行上文方法实施例中CeEF的处理相关的操作。

在一种可能的实现方式，收发模块11，用于接收来自证书申请网元的第一请求消息，所述第一请求消息用于请求认证所述证书申请网元，所述第一请求消息中包括所述证书申请网元的标识和第一信息，所述第一信息用于对所述证书申请网元进行认证；所述收发模块11，还用于向管理网元发送第二请求消息，所述第二请求消息用于请求验证所述第一信息，所述第二请求消息中包括所述第一信息；所述收发模块11，还用于接收来自所述管理网元的第一指示信息，所述第一指示信息用于指示所述第一信息是否通过验证；处理模块12，用于根据所述第一指示信息确定所述证书申请网元是否为可信的网元。

在另一种可能的实现方式，收发模块11，用于接收来自证书申请网元的业务证书申请消息，所述业务证书申请消息用于请求所述通信装置颁发业务证书，所述业务证书申请消息中包括所述证书申请网元的标识和管理网元的签名；所述收发模块11，还用于向第一网元颁发业务证书；其中，所述管理网元的签名为基于事件标识的签名，所述事件标识用于标识所述证书申请网元请求为所述第一网元申请业务证书。

在又一种可能的实现方式，收发模块11，用于接收来自管理网元的第一消息，所述第一消息中包括所述管理网元本地记录的至少一个证书申请网元相关的信息；所述收发模块11，还用于接收来自证书申请网元的业务证书申请消息，所述业务证书申请消息用于请求所述通信装置颁发业务证书；所述处理模块12，用于根据所述第一消息确定是否颁发业务证书。

其中，当该装置10用于执行图3中的方法时，收发模块11可用于执行方法中的收发信息的步骤，如步骤S410、S420、S460、S413和S414；处理模块12可用于执行方法中的处理步骤，如步骤S450。

当该装置10用于执行图4中的方法时，收发模块11可用于执行方法中的收发信息的步骤，如步骤S550、S560、S570和S580；处理模块12可用于执行方法中的处理步骤。

当该装置10用于执行图5中的方法时，收发模块11可用于执行方法中的收发信息的步骤，如步骤S610和S630；处理模块12可用于执行方法中的处理步骤，如步骤S640。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种设计中，该装置10可对应于上文方法实施例中的CeMF，或者是CeMF的组成部件(如芯片)。

该装置10可实现对应于上文方法实施例中的CeMF执行的步骤或者流程，其中，收发模块11可用于执行上文方法实施例中CeMF的收发相关的操作，处理模块12可用于执行上文方法实施例中CeMF的处理相关的操作。

在一种可能的实现方式，收发模块11，用于向证书颁发网元发送第一请求消息，所述第一请求消息用于请求认证所述通信装置，所述第一请求消息中包括所述通信装置的标识和第一信息，所述第一信息用于对所述通信装置进行认证；所述收发模块11，还用于接收来自所述证书颁发网元的第一响应消息，所述第一响应消息用于指示所述通信装置是否为可信的网元，其中，所述证书颁发网元是基于第一指示信息确定所述通信装置是否为可信的网元的，且所述第一指示信息是所述证书颁发网元请求管理网元对第一信息进行校验的反馈信息。

在另一种可能的实现方式，收发模块11，用于接收来自第一网元的业务证书请求消息，所述业务证书请求消息用于请求通信装置代所述第一网元申请业务证书；所述收发模块11，还用于向管理网元发送第三请求消息，所述第三请求消息用于请求所述管理网元验证所述通信装置能否代所述第一网元申请业务证书；所述收发模块11，还用于接收来自所述管理网元的第二指示信息，所述第二指示信息用于指示所述通信装置能否待所述第一网元申请业务证书，所述第二指示信息中包括所述管理网元的签名和事件标识，其中，所述管理网元的签名为基于事件标识的签名，所述事件标识用于标识所述通信装置请求代所述第一网元申请业务证书。

其中，当该装置10用于执行图3中的方法时，收发模块11可用于执行方法中的收发信息的步骤，如步骤S410、S460、S411、S413和S414；处理模块12可用于执行方法中的处理步骤，如步骤S412。

当该装置10用于执行图4中的方法时，收发模块11可用于执行方法中的收发信息的步骤，如步骤S510、S520、S540和S550；处理模块12可用于执行方法中的处理步骤。

当该装置10用于执行图5中的方法时，收发模块11可用于执行方法中的收发信息的步骤，如步骤S620和S630；处理模块12可用于执行方法中的处理步骤。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在又一种设计中，该装置10可对应于上文方法实施例中的MnF，或者是MnF的组成部件(如芯片)。

该装置10可实现对应于上文方法实施例中的MnF执行的步骤或者流程，其中，收发模块11可用于执行上文方法实施例中MnF的收发相关的操作，处理模块12可用于执行上文方法实施例中MnF的处理相关的操作。

在一种可能的实现方式，收发模块11，用于接收来自证书颁发网元的第二请求消息，所述第二请求消息用于请求验证所述第一信息，所述第二请求消息中包括所述第一信息；处理模块12，用于根据所述通信装置本地记录的第二信息对所述第一信息进行验证，所述第二信息为所述证书申请网元相关的信息；所述收发模块11，还用于向所述证书颁发网元发送第一指示信息，所述第一指示信息用于指示所述第一信息是否通过验证。

在另一种可能的实现方式，收发模块11，用于接收来自证书申请网元的第三请求消息，所述第三请求消息用于请求所述通信装置验证所述证书申请网元能否代所述第一网元申请业务证书；处理模块12，用于根据所述管理网元本地记录的第二信息，验证所述证书申请网元能否代所述第一网元申请业务证书，所述第二信息为所述证书申请网元相关的信息；所述收发模块11，还用于向所述证书颁发网元发送第二指示信息，所述第二指示信息用于指示所述证书申请网元能否待所述第一网元申请业务证书，所述第二指示信息中包括所述通信装置的签名和事件标识，其中，所述通信装置的签名为基于事件标识的签名，所述事件标识用于标识所述证书申请网元请求代所述第一网元申请业务证书。

其中，当该装置10用于执行图3中的方法时，收发模块11可用于执行方法中的收发信息的步骤，如步骤S420和S440；处理模块12可用于执行方法中的处理步骤，如步骤S430。

当该装置10用于执行图4中的方法时，收发模块11可用于执行方法中的收发信息的步骤，如步骤S520、S540、S570和S580；处理模块12可用于执行方法中的处理步骤，如步骤S530。

当该装置10用于执行图5中的方法时，收发模块11可用于执行方法中的收发信息的步骤，如步骤S610；处理模块12可用于执行方法中的处理步骤。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，这里的装置10以功能模块的形式体现。这里的术语“模块”可以指应用特有集成电路(application specific integrated circuit，ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中，本领域技术人员可以理解，装置10可以具体为上述实施例中的移动管理网元，可以用于执行上述各方法实施例中与移动管理网元对应的各个流程和/或步骤；或者，装置10可以具体为上述实施例中的终端设备，可以用于执行上述各方法实施例中与终端设备对应的各个流程和/或步骤，为避免重复，在此不再赘述。

上述各个方案的装置10具有实现上述方法中的设备(如终端设备、网络设备)所执行的相应步骤的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块；例如收发模块可以由收发机替代(例如，收发模块中的发送单元可以由发送机替代，收发模块中的接收单元可以由接收机替代)，其它单元，如处理模块等可以由处理器替代，分别执行各个方法实施例中的收发操作以及相关的处理操作。

此外，上述收发模块11还可以是收发电路(例如可以包括接收电路和发送电路)，处理模块可以是处理电路。

图7是本申请实施例提供另一种通信装置20的示意图。该装置20包括处理器21，处理器21用于执行存储器22存储的计算机程序或指令，或读取存储器22存储的数据/信令，以执行上文各方法实施例中的方法。可选地，处理器21为一个或多个。

可选地，如图7所示，该装置20还包括存储器22，存储器22用于存储计算机程序或指令和/或数据。该存储器22可以与处理器21集成在一起，或者也可以分离设置。可选地，存储器22为一个或多个。

可选地，如图7所示，该装置20还包括收发器23，收发器23用于信号的接收和/或发送。例如，处理器21用于控制收发器23进行信号的接收和/或发送。

作为一种方案，该装置20用于实现上文各个方法实施例中由CeEF执行的操作。

作为另一种方案，该装置20用于实现上文各个方法实施例中由CeMF执行的操作。

作为又一种方案，该装置20用于实现上文各个方法实施例中由MnF执行的操作。

应理解，本申请实施例中提及的处理器可以是中央处理单元(centralprocessing unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signalprocessor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中提及的存储器可以是易失性存储器和/或非易失性存储器。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。例如，RAM可以用作外部高速缓存。作为示例而非限定，RAM包括如下多种形式：静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlinkDRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

还需要说明的是，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

图8是本申请实施例提供一种芯片系统30的示意图。该芯片系统30(或者也可以称为处理系统)包括逻辑电路31以及输入/输出接口(input/output interface)32。

其中，逻辑电路31可以为芯片系统30中的处理电路。逻辑电路31可以耦合连接存储单元，调用存储单元中的指令，使得芯片系统30可以实现本申请各实施例的方法和功能。输入/输出接口32，可以为芯片系统30中的输入输出电路，将芯片系统30处理好的信息输出，或将待处理的数据或信令信息输入芯片系统30进行处理。

作为一种方案，该芯片系统30用于实现上文各个方法实施例中由CeEF、CeMF、或MnF执行的操作。

例如，逻辑电路31用于实现上文方法实施例中由CeEF、CeMF、或MnF执行的处理相关的操作；输入/输出接口32用于实现上文方法实施例中由CeEF、CeMF、或MnF执行的发送和/或接收相关的操作。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述各方法实施例中由CeEF、CeMF、或MnF执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法各实施例中由CeEF、CeMF、或MnF执行的方法。

本申请实施例还提供一种计算机程序产品，包含指令，该指令被计算机执行时以实现上述各方法实施例中由CeEF、CeMF、或MnF执行的方法。

本申请实施例还提供了一种通信系统，包括前述的CeEF、CeMF和MnF。

上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。此外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如，所述计算机可以是个人计算机，服务器，或者网络设备等。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD)等。例如，前述的可用介质包括但不限于：U盘、移动硬盘、只读存储器(read-onlymemory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (25)

1.一种通信方法，其特征在于，包括：

证书申请网元向证书颁发网元发送第一请求消息，所述第一请求消息用于请求认证所述证书申请网元，所述第一请求消息中包括所述证书申请网元的标识和第一信息，所述第一信息用于对所述证书申请网元进行认证；

所述证书颁发网元向管理网元发送第二请求消息，所述第二请求消息用于请求验证所述第一信息，所述第二请求消息中包括所述第一信息；

所述管理网元根据所述管理网元本地记录的第二信息对所述第一信息进行验证，所述第二信息为所述证书申请网元相关的信息；

所述管理网元向所述证书颁发网元发送第一指示信息，所述第一指示信息用于指示所述第一信息是否通过验证；

所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元。

2.根据权利要求1所述的方法，其特征在于，所述第一信息包括以下信息中的至少一项：

网元标识列表、域标识、或初始化证书列表，所述网元标识列表用于指示所述证书申请网元管理的至少一个网元，所述域标识用于指示所述证书申请网元所位于的域，所述初始化证书列表用于指示所述证书申请网元管理的至少一个网元被配置的至少一个初始化证书。

3.根据权利要求1或2所述的方法，其特征在于，所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元，包括：

在所述第一指示信息指示所述第一信息通过验证的情况下，所述证书颁发网元确定所述证书申请网元为可信的网元；或者，

在所述第一指示信息指示所述第一信息未通过验证的情况下，所述证书颁发网元确定所述证书申请网元为不可信的网元。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述第一指示信息中还包括管理网元的签名，所述管理网元的签名用于验证所述第一指示信息是否可信。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

所述证书颁发网元向所述证书申请网元发送第一响应消息，所述第一响应消息用于指示所述证书申请网元是否为可信的网元。

6.根据权利要求1至5中任一项所述的方法，其特征在于，所述方法还包括：

第一网元向所述证书申请网元发送业务证书请求消息，所述业务证书请求消息用于请求所述证书申请网元代所述第一网元申请业务证书；

所述证书申请网元根据规则判断是否响应所述第一网元申请业务证书的请求。

7.根据权利要求6所述的方法，其特征在于，所述业务证书请求消息中包括所述第一网元的标识和以下信息中的至少一项：

所述第一网元对应的公钥、所述第一网元对应的私钥、所述第一网元被配置的初始化证书、或业务类型指示信息。

8.根据权利要求6或7所述的方法，其特征在于，在所述业务证书请求消息请求的业务证书的类型为第一类型的情况下，所述证书申请网元根据规则判断是否响应所述第一网元申请业务证书的请求包括：

所述证书申请网元根据规则验证所述第一网元是否可以申请第一类型的业务证书；

在验证失败时，所述方法还包括：

所述证书申请网元向所述第一网元发送失败指示，所述失败指示用于指示所述第一网元申请业务证书的请求无效。

9.根据权利要求1至8中任一项所述的方法，其特征在于，在所述第一信息为所述网元标识列表，且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元的标识构成所述网元标识列表时，所述管理网元确定所述第一信息通过验证；或者，

在所述第一信息为所述初始化证书列表，且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元对应的初始化证书构成所述初始化证书列表，所述初始化证书列表中的初始化证书均有效时，所述管理网元确定所述第一信息通过验证；或者，

在所述第一信息为所述域标识，且所述管理网元本地记录的所述证书申请网元所属的域的标识为所述域标识时，所述管理网元确定所述第一信息通过验证。

10.根据权利要求1至9中任一项所述的方法，其特征在于，所述第二信息包括以下信息中的至少一种：

所述证书申请网元的初始化信息、所述证书申请网元的配置信息、或所述证书申请网元的管理信息。

11.一种通信方法，其特征在于，包括：

证书颁发网元接收来自证书申请网元的第一请求消息，所述第一请求消息用于请求认证所述证书申请网元，所述第一请求消息中包括所述证书申请网元的标识和第一信息，所述第一信息用于对所述证书申请网元进行认证；

所述证书颁发网元向管理网元发送第二请求消息，所述第二请求消息用于请求验证所述第一信息，所述第二请求消息中包括所述第一信息；

所述证书颁发网元接收来自所述管理网元的第一指示信息，所述第一指示信息用于指示所述第一信息是否通过验证；

所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元。

12.根据权利要求11所述的方法，其特征在于，所述第一信息包括以下信息中的至少一项：

网元标识列表、域标识、或初始化证书列表，所述网元标识列表用于指示所述证书申请网元管理的至少一个网元，所述域标识用于指示所述证书申请网元所位于的域，所述初始化证书列表用于指示所述证书申请网元管理的至少一个网元被配置的至少一个初始化证书。

13.根据权利要求11或12所述的方法，其特征在于，所述证书颁发网元根据所述第一指示信息确定所述证书申请网元是否为可信的网元，包括：

在所述第一指示信息指示所述第一信息通过验证的情况下，所述证书颁发网元确定所述证书申请网元为可信的网元；或者，

在所述第一指示信息指示所述第一信息未通过验证的情况下，所述证书颁发网元确定所述证书申请网元为不可信的网元。

14.根据权利要求11至13中任一项所述的方法，其特征在于，所述第一指示信息中还包括管理网元的签名，所述管理网元的签名用于验证所述第一指示信息是否可信。

15.根据权利要求11至14中任一项所述的方法，其特征在于，所述方法还包括：

所述证书颁发网元向所述证书申请网元发送第一响应消息，所述第一响应消息用于指示所述证书申请网元是否为所述证书颁发网元可信的网元。

16.一种通信系统，包括证书申请网元、证书颁发网元和管理网元，其特征在于：

所述证书申请网元用于向证书颁发网元发送第一请求消息，所述第一请求消息用于请求认证所述证书申请网元，所述第一请求消息中包括所述证书申请网元的标识和第一信息，所述第一信息用于对所述证书申请网元进行认证；

所述证书颁发网元用于向管理网元发送第二请求消息，所述第二请求消息用于请求验证所述第一信息，所述第二请求消息中包括所述第一信息；

所述管理网元用于根据所述管理网元本地记录的第二信息对所述第一信息进行验证，所述第二信息为所述证书申请网元相关的信息；

所述管理网元还用于向所述证书颁发网元发送第一指示信息，所述第一指示信息用于指示所述第一信息是否通过验证；

所述证书颁发网元还用于根据所述第一指示信息确定所述证书申请网元是否为可信的网元。

17.根据权利要求16所述的通信系统，其特征在于，所述证书颁发网元用于根据所述第一指示信息确定所述证书申请网元是否为可信的网元，包括：

在所述第一指示信息指示所述第一信息通过验证的情况下，所述证书颁发网元确定所述证书申请网元为可信的网元；或者，

在所述第一指示信息指示所述第一信息未通过验证的情况下，所述证书颁发网元确定所述证书申请网元为不可信的网元。

18.根据权利要求16或17所述的通信系统，其特征在于，所述证书颁发网元还用于向所述证书申请网元发送第一响应消息，所述第一响应消息用于指示所述证书申请网元是否为所述证书颁发网元可信的网元。

19.根据权利要求16至18中任一项所述的通信系统，其特征在于，所述通信系统还包括第一网元：

所述第一网元用于向所述证书申请网元发送业务证书请求消息，所述业务证书请求消息用于请求所述证书申请网元代所述第一网元申请业务证书；

所述证书申请网元还用于根据规则判断是否响应所述第一网元申请业务证书的请求。

20.根据权利要求19所述的通信系统，其特征在于，在所述业务证书请求消息请求的业务证书的类型为第一类型的情况下，所述证书申请网元用于根据规则判断是否响应所述第一网元申请业务证书的请求包括：

所述证书申请网元用于根据规则验证所述第一网元是否可以申请第一类型的业务证书；

在验证失败时，所述证书申请网元还用于向所述第一网元发送失败指示，所述失败指示用于指示所述第一网元申请业务证书的请求无效。

21.根据权利要求16至20中任一项所述的通信系统，其特征在于，在所述第一信息为所述网元标识列表，且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元的标识构成所述网元标识列表时，所述管理网元确定所述第一信息通过验证；或者，

在所述第一信息为所述初始化证书列表，且所述管理网元本地记录的所述证书申请网元管理的一个或多个网元对应的初始化证书构成所述初始化证书列表，所述初始化证书列表中的初始化证书均有效时，所述管理网元确定所述第一信息通过验证；或者，

在所述第一信息为所述域标识，且所述管理网元本地记录的所述证书申请网元所属的域的标识为所述域标识时，所述管理网元确定所述第一信息通过验证。

22.一种通信装置，其特征在于，所述装置包括：用于执行如权利要求1至10中任一项所述的方法的模块，或者用于执行如权利要求11至15中任一项所述的方法的模块。

23.一种通信装置，其特征在于，包括：

处理器，用于执行存储器中存储的计算机程序，以使得所述装置执行如权利要求1至10中任一项所述的方法，或者以使得所述装置执行如权利要求11至15中任一项所述的方法。

24.一种计算机程序产品，其特征在于，所述计算机程序产品包括用于执行如权利要求1至10中任一项所述的方法的指令，或者，所述计算机程序产品包括用于执行如权利要求11至15中任一项所述的方法的指令。

25.一种计算机可读存储介质，其特征在于，包括：所述计算机可读存储介质存储有计算机程序；所述计算机程序在计算机上运行时，使得所述计算机执行如权利要求1至10中任一项所述的方法，或者使得所述计算机执行如权利要求11至15中任一项所述的方法。