CN118200914A - 一种通信方法及装置 - Google Patents

Abstract

本申请实施例提供了一种通信方法及装置。该方法包括：第一网元获取服务授权证书，其中，服务授权证书包括授权资源信息，服务授权证书用于第一网元访问授权资源信息所指示的授权资源；第一网元生成服务请求，并对服务请求进行签名；其中，服务请求用于请求访问第二网元的目标资源，目标资源包含在授权资源中；第二网元接收来自第一网元的服务授权证书和签名后的服务请求，并根据服务授权证书和签名后的服务请求确定服务响应，响应消息用于指示所述第二网元是否提供所述目标资源对应的访问服务。这样，第一网元可以根据服务授权证书实现服务资源的访问，提高服务授权的准确性。

Description

一种通信方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

第三代合作伙伴计划(3rd generation partnership project，3GPP)提出在第五代(the 5th Generation，5G)移动通信系统中采用服务化架构(service basedarchitecture，SBA)。在SBA中多个网络功能(network function，NF)网元(也称NF网元，以下简称为网元)之间的认证和服务授权是解耦的，也就是说，认证和服务授权使用不同的机制完成。在移动通信系统中，多个网元之间的服务授权关系为：拥有服务资源的网元可以为申请服务资源的网元提供服务。其中，被访问的网元(即拥有服务资源的网元)被称为网元服务生产者(NF Service producer)，申请服务资源的网元被称为网元服务消费者(NFService consumer)。网络存储库功能(network repository function，NRF)网元(也称NRF网元，以下简称NRF)可以负责对NF提供的服务进行注册登记、状态监测等，实现网元服务的自动化管理、选择和可扩展，同时允许每个网元发现其它网元提供的服务。

传统的服务授权过程包括：NF服务消费者向NRF申请拥有NF服务生产者的服务资源的授权的访问令牌(access token)，该访问令牌与该服务资源绑定。NRF生成访问令牌，并将该访问令牌发送给网元服务消费者。其中，访问令牌的使用时长依赖于该访问令牌中预先定义的有效期。网元服务消费者获得访问令牌之后，可以根据服务需求多次通过该访问令牌向网元服务生产者请求服务。

这样，网元服务生产者只能依赖访问令牌确定网元服务消费者拥有的授权和有效期，由于访问令牌只绑定网元服务消费者的某一次申请的服务资源，因此，当网元服务消费者需要访问其他服务资源时，就需要申请其他的令牌，通过访问令牌实现服务授权的灵活性较低；此外，由于访问令牌的有效期是固定的，因此即使网元服务生产者撤销对网元服务消费者的服务授权，在该访问令牌的有效期内，网元服务消费者仍然可以请求与该访问令牌绑定的服务资源对应的服务，通过访问令牌实现服务授权的准确性较低。

发明内容

本申请实施例提供一种通信方法及装置，用于通过服务授权证书实现服务资源的访问，提高服务授权的准确性。

第一方面，本申请实施例提供一种通信方法，该方法包括：第一网元获取服务授权证书，其中，服务授权证书包括授权资源信息，服务授权证书用于第一网元访问授权资源信息所指示的授权资源；第一网元生成服务请求，并对服务请求进行签名；其中，服务请求用于请求访问第二网元的目标资源，目标资源包含在授权资源中；第一网元向第二网元发送服务授权证书和签名后的服务请求；第一网元接收来自第二网元的服务响应，响应消息用于指示第二网元是否提供目标资源对应的访问服务。

采用这样的方法，通过服务授权证书实现服务资源的访问，提高了服务授权的准确性；此外，由于服务授权证书可以用于访问多种不同的授权资源信息，无需每次访问都重新获取服务授权证书，避免频繁申请新的服务授权证书，因此减少了资源浪费。

在一种可能的设计中，授权资源信息包括以下至少一项：授权访问的网元的标识、网元类型，网络切片的标识，服务类型，或资源类型。

采用这样的设计，授权资源信息包括多种类型，例如切片粒度、网元粒度、服务类型粒度等，因此本申请所示的方法可以实现不同粒度的授权资源信息的管理，从而提高服务授权证书的准确性。

在一种可能的设计中，该第一网元获取服务授权证书，包括：第一网元向证书颁发机构(certificate authority，CA)发送证书签发请求；第一网元接收来自CA的服务授权证书；其中，授权资源信息是根据至少一个第三网元的资源配置信息确定的，至少一个第三网元包括第二网元。

采用这样的设计，CA可以根据除第一网元之外的其他网元的资源配置信息确定第一网元的授权资源信息，从而确定第一网元的服务授权证书，提高服务授权证书的准确性。

在一种可能的设计中，该第一网元向证书认证机构CA发送证书签发请求，包括：第一网元通过NRF向CA发送证书签发请求，以使NRF根据至少一个第三网元的资源配置信息确定授权资源信息并向CA发送授权资源信息；该第一网元接收来自CA的服务授权证书，包括：第一网元通过NRF接收来自CA的服务授权证书。

采用这样的设计，第一网元可以通过NRF与CA交互，从而获取服务授权证书；也就是说，CA无需存储网元或网络切片的资源配置信息，即可获取网元的授权资源信息，提高服务授权证书颁发过程中的灵活性。

在一种可能的设计中，第一网元为网络切片中的网元，证书签发请求还包括网络切片的标识；其中，当第四网元的资源配置信息包括网络切片的标识时，授权资源信息中包括第四网元的标识，至少一个第三网元中包含第四网元。

采用这样的设计，当第一网元属于某个网络切片时，第一网元可以拥有该网络切片对应的授权资源，例如当第四网元可以为该网络切片提供服务时，第四网元还可以为第一网元提供服务，这样，CA可以根据第一网元所述的网络切片，确定第一网元的授权信息，从而提高服务授权证书的准确性。

在一种可能的设计中，该方法还包括：第一网元接收来自NRF的证书更新通知，其中，证书更新通知用于指示至少一个第五网元的资源配置信息已更新；第一网元根据证书更新通知确定证书更新请求，并对证书更新请求进行签名；第一网元向CA发送服务授权证书和签名后的证书更新请求；第一网元接收来自NRF的更新后的服务授权证书，以及更新服务授权证书；或者，第一网元接收来自CA的更新后的服务授权证书，以及更新服务授权证书；其中，更新后的服务授权证书用于第一网元访问至少一个第五网元的资源配置信息中的目标资源。

采用这样的设计，当网元或网络切片的资源配置信息发生变化时，相应的服务授权证书都可以进行同步更新，减少第一网元访问失败的概率，减少了不必要的信令开销。

第二方面，本申请实施例提供一种通信方法，该方法包括：第二网元接收来自第一网元的服务授权证书和签名后的服务请求；其中，服务授权证书包括授权资源信息，服务授权证书用于第一网元访问授权资源信息所指示的授权资源；服务请求用于请求访问第二网元的目标资源，目标资源包含在授权资源中；第二网元根据服务授权证书和签名后的服务请求，确定服务响应，响应消息用于指示第二网元是否提供目标资源对应的访问服务；第二网元向第一网元发送服务响应。

在一种可能的设计中，授权资源信息包括以下至少一项：授权访问的网元的标识、网元类型，网络切片的标识，服务类型，或资源类型。

在一种可能的设计中，该方法还包括：第二网元根据服务授权证书对服务请求的签名值进行校验，并确定校验通过。

第三方面，本申请实施例提供一种通信方法，该方法包括：CA接收来自第一网元的证书签发请求；CA确认服务授权证书，其中，服务授权证书包括授权资源信息；服务授权证书用于第一网元访问授权资源信息所指示的授权资源；CA向第一网元发送服务授权证书。

在一种可能的设计中，授权资源信息包括以下至少一项：授权访问的网元的标识、网元类型，网络切片的标识，服务类型，或资源类型。

在一种可能的设计中，该CA接收来自第一网元的证书签发请求，包括：CA通过NRF接收来自第一网元的证书签发请求；CA接收来自NRF的授权资源信息，授权资源信息是根据至少一个第三网元的资源配置信息确定的；该CA向第一网元发送服务授权证书，包括：CA通过NRF向第一网元发送服务授权证书。

在一种可能的设计中，该第一网元为网络切片中的网元，证书签发请求还包括网络切片的标识；其中，当第四网元的资源配置信息包括网络切片的标识时，CA确定授权资源信息中包括第四网元的标识，至少一个第三网元中包括第四网元。

在一种可能的设计中，该方法还包括：CA接收来自第一网元的服务授权证书和签名后的证书更新请求；CA根据服务授权证书和签名后的证书更新请求确定更新后的服务授权证书；CA向NRF发送更新后的服务授权证书；或者，CA向第一网元发送更新后的服务授权证书；其中，更新后的服务授权证书用于第一网元访问至少一个第五网元的资源配置信息中的目标资源。

在一种可能的设计中，该方法还包括：CA接收来自NRF的证书撤销通知；或者，CA接收来自网管设备的证书撤销通知；其中，证书撤销通知用于指示服务授权证书所指示的授权资源已撤销；CA撤销所述服务授权证书，撤销后的服务授权证书不再用于第一网元访问授权资源信息所指示的授权资源。

采用这样的设计，当服务授权证书对应的服务资源不存在，或者服务授权证书的访问主体不存在时，撤销该服务授权证书，避免网元使用旧的服务授权证书访问服务资源的问题，提高服务授权的准确性。

第四方面，本申请实施例提供一种通信方法，该方法包括：NRF接收来自第一网元的证书签发请求，证书签发请求用于请求获取服务授权证书，服务授权证书用于第一网元访问授权资源信息所指示的授权资源；NRF根据至少一个第三网元的资源配置信息确定授权资源信息；NRF向CA发送授权资源信息，服务授权证书包括授权资源信息。

在一种可能的设计中，授权资源信息包括以下至少一项：授权访问的网元的标识、网元类型，网络切片的标识，服务类型，或资源类型。

在一种可能的设计中，该方法还包括：NRF向第一网元发送证书更新通知，其中，证书更新通知用于指示至少一个第五网元的资源配置信息已更新；NRF向第一网元发送更新后的服务授权证书；其中，更新后的服务授权证书用于第一网元访问至少一个第五网元的资源配置信息中的目标资源。

在一种可能的设计中，该方法还包括：NRF向CA发送证书撤销通知；其中，证书撤销通知用于指示服务授权证书所指示的授权资源已撤销；撤销后的服务授权证书不再用于第一网元访问授权资源信息所指示的授权资源。

第五方面，本申请实施例提供了一种通信装置，包括用于执行以上第一方面中各个步骤的模块。可选的，通信装置包括通信模块和处理模块；其中，通信模块，用于接收和发送数据；处理模块，用于执行以上第一方面提供的方法。示例性的，通信装置可以应用于第一网元。

示例性的，通信模块，用于获取服务授权证书，其中，服务授权证书包括授权资源信息，服务授权证书用于第一网元访问授权资源信息所指示的授权资源；处理模块，用于生成服务请求，并对服务请求进行签名；其中，服务请求用于请求访问第二网元的目标资源，目标资源包含在授权资源中；通信模块还用于：向第二网元发送服务授权证书和签名后的服务请求；以及，接收来自第二网元的服务响应，响应消息用于指示第二网元是否提供目标资源对应的访问服务。

示例性的，通信模块，用于接收来自第一网元的服务授权证书和签名后的服务请求；其中，服务授权证书包括授权资源信息，服务授权证书用于第一网元访问授权资源信息所指示的授权资源；服务请求用于请求访问第二网元的目标资源，目标资源包含在授权资源中；处理模块，用于根据服务授权证书和签名后的服务请求，确定服务响应，响应消息用于指示第二网元是否提供目标资源对应的访问服务；通信模块还用于：向第一网元发送服务响应。

示例性的，通信模块，用于接收来自第一网元的证书签发请求；处理模块，用于确认服务授权证书，其中，服务授权证书包括授权资源信息；服务授权证书用于第一网元访问授权资源信息所指示的授权资源；通信模块还用于：向第一网元发送服务授权证书。

示例性的，通信模块，用于接收来自第一网元的证书签发请求，证书签发请求用于请求获取服务授权证书，服务授权证书用于第一网元访问授权资源信息所指示的授权资源；处理模块，用于根据至少一个第三网元的资源配置信息确定授权资源信息；通信模块还用于：向CA发送授权资源信息，服务授权证书包括授权资源信息。

第六方面，本申请实施例提供了一种通信设备，包括处理器，存储器和处理器；其中，通信接口，用于接收和发送数据；存储器，用于存储程序指令和数据；处理器，用于读取存储器中的程序指令和数据，实现以上第一方面提供的方法。示例性的，通信设备可以为第一网元、第二网元或CA。

第七方面，本申请实施例提供了一种通信设备，包括至少一个处理元件和至少一个存储元件，其中该至少一个存储元件用于存储程序和数据，该至少一个处理元件用于执行本申请以上第一方面提供的方法。示例性的，通信设备可以为第一网元、第二网元或CA。

第八方面，本申请实施例还提供了一种计算机程序，当计算机程序在计算机上运行时，使得计算机执行上述第一方面提供的方法。可选的，计算机可以为第一网元、第二网元或CA；或者为以上通信装置或通信设备。

第九方面，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，当计算机程序被计算机执行时，使得计算机执行上述第一方面提供的方法。可选的，计算机可以为基站；或者为以上通信装置或通信设备。

第十方面，本申请实施例还提供了一种芯片，芯片用于读取存储器中存储的计算机程序，执行上述第一方面提供的方法。可选的，芯片中可以包括处理器和存储器，处理器与存储器耦合，用于读取存储器中存储的计算机程序，实现以上第一方面提供的方法。

第十一方面，本申请实施例还提供了一种芯片系统，该芯片系统包括处理器，用于支持计算机装置实现上述第一方面提供的方法。在一种可能的设计中，芯片系统还包括存储器，存储器用于保存该计算机装置必要的程序和数据。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

上述第二方面至第十一方面中任一方面可以达到的技术效果可以参照上述第一方面中任一种可能设计可以达到的技术效果说明，重复之处不予论述。

附图说明

图1为本申请实施例提供的一种网络切片和网元的关系图；

图2为本申请实施例提供的一种通信系统的结构示意图；

图3为本申请实施例提供的一种通信方法的流程示意图；

图4为本申请实施例提供的另一种通信方法的流程示意图；

图5为本申请实施例提供的一种服务授权证书的颁发的示例图；

图6为本申请实施例提供的一种服务授权证书的使用的示例图；

图7为本申请实施例提供的一种服务授权证书的更新的示例图；

图8为本申请实施例提供的一种服务授权证书的撤销的示例图；

图9为本申请实施例提供的另一种网络切片的建立的示例图；

图10为本申请实施例提供的另一种服务授权证书的颁发的示例图；

图11为本申请实施例提供的另一种服务授权证书的更新的示例图；

图12为本申请实施例提供的另一种服务授权证书的撤销的示例图；

图13为本申请实施例提供的一种通信装置的结构示意图；

图14为本申请实施例提供的另一种通信装置的结构示意图。

具体实施方式

为了使本申请的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

以下，对本申请中的部分用语进行解释说明，以便于本领域技术人员理解。

(1)网元：网元是由3GPP使用或3GPP定义的具备网络处理功能的设备。网元可以是专用硬件上的网元(例如基站)、在专用硬件上运营的软件实例(例如在专用于NRF的硬件上实例化多个NRF实例)或者是在平台商实例化的虚拟化功能(例如在云基础设施上实例化出NRF和其他功能网元)。

不同网元之间可以存在服务授权关系。其中，被访问的网元(即拥有服务资源的网元)被称为网元服务生产者，申请访问的网元(申请服务资源的网元)被称为网元服务消费者。应理解，同一网元既可以是网元服务生产者，也可以是网元服务消费者。

(2)CA：CA能够负责管理证书的整个生命周期，包括发放证书、定义证书有效期和吊销证书。可选的，CA还可包括注册机构(registration authority，RA)。RA能够在获取并认证用户身份后向CA提出证书签发请求。应理解，RA可以是集成在CA的一项功能，也可以是单独部署的设备，本申请不做限定。本申请实施例中假设CA集成了RA的功能。

(3)NRF：NRF负责对网元提供的服务进行注册登记、状态监测等，从而实现网元的管理；同时，NRF允许每个网元发现其它网元提供的服务。相应的，在每个NF启动时，必须要到NRF进行注册登记才能提供服务，其中，登记的信息包括NF类型、地址、服务列表等。

(4)网管设备：特指运营商对其所运营的移动通信网络进行管理的系统，具备网元监控、网元编排、网元参数配置等相关的网络管理功能。

(5)网络切片(Network Slices)：是对网络进行虚拟切割，可以是特定服务或为用户提供完整的端到端连接。

在网络切片的场景中，同一个网络切片中可以包括多个网元，同一个网元可以属于不同的网络切片。同一网络切片内的各个网元之间可以为彼此提供服务。网络切片和网元之间可以存在以下服务授权关系：拥有服务资源的网元可以授权为网络切片提供服务。也就是说，被授权的网络切片中的任一网元均可以访问该拥有服务资源的网元。

进一步的，当前述网络切片的被撤销后，基于其他网络切片的网元之间的服务不会中断。然而，即使该网络切片中的网元仍然存活，由于网络切片已撤销，不再处于同一个网络切片内的网元之间不再为彼此提供服务；同时，网络切片外拥有服务资源的网元也不再为该存活的网元提供服务。下面结合图1进行说明：

如图1所示，网络切片1中包括网元1和网元2，网络切片2中包括网元2和网元3，网络切片3中包括网元3和网元4，网元5不属于任何网络切片。网元5为拥有资源的网元，网元5分别为网络切片1、网络切片2和网络切片3提供服务。当网络切片2被撤销时，由于网元2和网元3仍然处于其他切片中，因此网元2和网元3仍然存活，但是此时网元2和网元3之间不再互相提供服务，即网元3不能访问网元2提供的服务，但是此时网元1和网元5仍然可以访问网元2提供的服务。

需要理解的是，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。

下面将结合附图，对本申请实施例进行详细描述。

图2示出了本申请实施例提供的方法适用的通信系统的结构。参阅图2所示，在该通信系统中包括：至少一个网元和CA。

可选的，该通信系统中还可以包括NRF。NRF用于对网元提供的服务进行注册登记、状态监测等，从而实现网元的管理。同时，NRF还允许每个网元发现其它网元提供的服务。可选的，该通信系统中还可以包括网管设备。网管设备可以对通信网络中的网络切片和网元进行管理，例如网管设备可以建立新的网络切片。网管设备本地存储有网络切片和网元的资源配置信息。

其中，不同网元(或称常规网元)之间可以互相调用，例如网元可以作为服务消费者访问服务生产者的服务资源，也可以作为服务生产者为服务消费者提供服务。在网元服务生产者和网元服务消费者互相调用的过程中，需要验证是否存在授权，该过程可以由NRF实现。

图2所示的通信系统可以用在3GPP SBA中，以使网元之间相互提供服务，该过程需要完成身份认证和服务授权两部分工作。其中，身份认证部分使用数字证书(例如安全传输层协议(transport layer security，TLS)证书)机制完成，例如申请流程使用3GPP TR33.876中的证书初始注册流程来实现；服务授权可以使用开放授权协议(openauthorization，OAuth)2.0机制。

在图2所示的通信系统中，为了提高服务授权的准确性，本申请实施例提供了一种通信方法。该方法可以但不限于应用在3GPP 5G移动通信系统的SBA中网元之间的访问授权服务典型业务中。该方法不再使用OAuth 2.0机制，而是使用可以通过颁发、更新和撤销服务授权证书来实现服务资源的访问过程中的服务授权部分。

在本申请以核心网中网元之间使用服务授权证书建立连接(即实现服务授权)为例，但不限于此。例如，随着未来技术发展，本申请所示的通信方法还可以扩展到接入网设备与接入网设备之间、接入网设备与核心网之间、接入网设备和用户设备之间、用户设备与用户设备之间，用户设备和网元之间，本申请不做限定。其中，用户设备或者用户终端包含手机、智能终端、车载终端、车载设备、可穿戴设备、多媒体设备、流媒体设备等等；接入网设备可以是基站、中继站、接入点、车载设备以及网络侧设备等。

在图2所示的系统中，每生成一个网元，都可以在NRF中进行注册。该网元可以将该网元的资源配置信息发送给NRF，以及NRF可以和CA直接进行通信；或者，网管设备可以将该网元自身的资源配置信息发送给CA。在本申请提供的通信方法中，CA可以根据多个作为服务生产者的网元的资源配置信息为不同的作为服务消费者颁发服务授权证书。每个服务授权证书可以绑定一个或多个服务资源。进一步的，作为服务消费者的网元可以申请访问作为服务生产者的网元的服务资源；更进一步的，CA可以更新或者撤销任一服务授权证书，从而实现网元和服务授权证书的周期的同步。下面本申请实施例以第一网元作为服务消费者，第二网元作为服务生产者为例进行说明。

图3为本申请实施例提供的一种通信方法的流程示意图。下面参阅图3对申请实施例提供的方法进行说明，其中，图2所示的通信系统中的网元包括第一网元和第二网元，第一网元可以作为服务消费者，第二网元可以作为服务生产者。

S301：第一网元获取服务授权证书，其中，服务授权证书包括授权资源信息，服务授权证书用于第一网元访问授权资源信息所指示的授权资源。该服务授权证书可以用cert表示。

在本申请实施例中，所述第一网元可以但不限于通过以下方式，获取该服务授权证书：

方式一：可选的，第一网元可以从本地存储中获取服务授权证书。这样，由于本申请中服务授权证书可以在网元生成时获取并存储在该网元，因此，第一网元可以重复使用已存储的服务授权证书，无需频繁申请新的服务授权证书，节省了信令开销。

方式二：第一网元作为服务消费者时可以获取服务授权证书，该服务授权证书可以是通过CA获取的签名证书。其中，CA可以获取来自网管设备的至少一个第三网元的资源配置信息，并根据该资源配置信息确定授权资源信息。

可选的，本申请涉及的授权资源信息包括以下至少一项：授权访问的网元的标识、网元类型、网络切片的标识，服务类型，或资源类型。例如，授权访问的网元的标识可以表示为网元实例标识(NF instance ID)、授权访问的网元类型可以表示为NF type。

应注意，在如图2所示的通信系统中，第一网元可以获取一个服务授权证书，也可以获取多个服务授权证书。例如，当第一网元同时属于两个或两个以上的网络切片时，第一网元可以分别获取与每个网络切片相关的服务授权证书。

可选的，本申请涉及的服务授权证书的扩展选项可以包括用途标识，该用途标识用于指示服务授权证书用于服务授权。例如，CA可以将前述用途标识写入服务授权证书的密钥扩展用法(key extended usage)扩展选项。

可选的，前述服务授权证书的扩展选项还可以包括第一网元的授权资源信息。例如，CA可以将第一网元的授权资源信息写入服务授权证书的主体信息访问(subjectinformation access，SIA)扩展选项。

在一种可能的设计中，第一网元可以通过以下步骤来实现前述方式二中获取服务授权证书的动作。

步骤一：第一网元向证书认证机构CA发送证书签发请求。

可选的，第一网元通过NRF向CA发送证书签发请求，以使NRF根据至少一个第三网元的资源配置信息确定授权资源信息并向CA发送授权资源信息。其中，至少一个第三网元包括第二网元。

示例性的，第一网元生成第一公钥(pk)和第一私钥(sk)，第一网元在本地存储第一私钥和第一网元的标识等信息；第一网元按照证书管理协议(certificate managementprotocol version 2，cmpv2)规范，根据第一公钥和第一网元的标识等信息产生第一证书签发请求，该第一证书签发请求可以用csr 1表示；第一网元可以向NRF发送csr 1。

相应的，NRF可以根据至少一个第三网元的资源配置信息确定授权资源信息；NRF还可以根据csr 1和授权资源信息，确定第二证书签发请求，该第二证书签发请求可以用csr 2表示，其中，csr 2包括授权资源信息；NRF可以向CA发送csr 2。

进一步可选的，第一网元为网络切片中的网元，证书签发请求还包括网络切片的标识。可选的，第一网元可以是多个网络切片中的网元。可选的，当第一网元为网络切片中的网元时，授权资源信息中可以包括网络切片的标识的集合；也就是说，同一网络切片内的各个网元之间可以为彼此提供服务。其中，网络切片的标识的集合可以是单个(Single)网络切片选择辅助信息(network slice selection assistance identifier，NSI-ID)的集合，也可以是网络切片选择辅助信息(network slice selection assistanceinformation，NSSAI)。

示例性的，第一网元在向NRF发送csr 1之后，还可以向NRF发送一个或网络切片的标识。相应的，NRF可以根据至少一个第三网元的资源配置信息和该一个或多个网络切片的标识确定授权资源信息；NRF还可以根据csr 1和授权资源信息，确定第二证书签发请求，该第二证书签发请求可以用csr 2表示；NRF可以向CA发送csr 2。其中，csr 2包括授权资源信息。

步骤二：CA接收来自第一网元的证书签发请求；并确认服务授权证书。其中，服务授权证书包括授权资源信息，授权资源信息是根据至少一个第三网元的资源配置信息确定的，至少一个第三网元包括第二网元。其中，本领域技术人员应该理解，本申请中所表述的CA确认服务授权证书的过程包括CA签署该服务授权证书，其他位置不再赘述。

CA可以通过NRF接收来自第一网元的证书签发请求。

可选的，CA可以根据证书签发请求确定授权资源信息；进一步的，CA还可以根据授权资源信息，确定服务授权证书。

示例性的，CA可以接收来自NRF的csr 2；CA可以根据csr 2确定csr 1、授权资源信息和NSI-ID(或NSSAI)；CA可以将用途标识写入服务授权证书的key extended usage扩展选项；CA可以将第一网元的授权资源信息写入服务授权证书的SIA扩展选项。

在本申请实施例中，当第一网元为网络切片中的网元且第四网元的资源配置信息包括该网络切片的标识时，CA还可以但不限于通过以下方式确定服务授权证书：

CA确定授权资源信息中包括第四网元的标识，至少一个第三网元中包括第四网元。可选的，第四网元可以为网络切片中的网元。换句话说，当第四网元的资源配置信息指示可以为第一网元所属的任一个网络切片提供服务时，第四网元可以为第一网元提供服务，因此CA确定授权资源信息中包括第四网元的标识。示例性的，当第一网元属于网络切片，且第四网元的资源配置信息指示可以该网络切片提供服务时，第一网元的授权资源信息包括第四网元的标识。

在本申请实施例中，当第一网元为多个网络切片中的网元时，CA可以根据多个网络切片的标识，分别确定多个与网络切片相关的服务授权证书。示例性的，假设第一网元同时属于网络切片A、网络切片B和网络切片C，第一网元可以分别获取与网络切片A相关的服务授权证书、与网络切片B相关的服务授权证书和与网络切片C相关的服务授权证书；其中，与网络切片A相关的服务授权证书用于网络切片A中的任一网元访问该服务授权证书中授权资源信息所指示的授权资源。

步骤三：CA向第一网元发送服务授权证书。相应的，第一网元接收来自CA的服务授权证书。

可选的，CA可以通过NRF向第一网元发送服务授权证书；相应的，第一网元可以通过NRF接收来自CA的服务授权证书。示例性的，CA可以向NRF发送第一网元的服务授权证书。

进一步的，在NRF收到服务授权证书之后，NRF可以校验该服务授权证书的用途、有效性；NRF还可以抽取该服务授权证书的扩展选项中绑定的授权资源信息，并校验该授权资源信息是否符合NRF本地存储的第一网元的授权资源信息，即确定第一网元是否可以访问服务授权证书中授权资源信息所指示的授权资源。其中，服务授权证书的用途、有效性的校验包括但不限于以下几项：服务授权证书的用途是否为服务授权、服务授权证书是否在有效期内、服务授权证书签名是否合法和服务授权证书是否被撤销。进一步的，当前述校验均通过时，NRF将服务授权证书转发给第一网元；反之，NRF不进行转发操作，NRF还可以分别向第一网元和CA发送授权失败的响应消息。

进一步可选的，在第一网元收到服务授权证书之后，第一网元还可以校验该服务授权证书的用途、有效性；还可以校验该服务授权证书的扩展选项中是否包括绑定的授权资源信息。进一步的，当前述校验均通过时，第一网元可以分别向NRF和CA发送服务授权证书颁发成功的响应消息。

采用这样的设计，第一网元可以通过NRF与CA交互，从而获取服务授权证书；也就是说，CA无需存储网元或网络切片的资源配置信息，即可获取网元的授权资源信息，提高服务授权证书颁发过程中的灵活性。

S302：第一网元生成服务请求，并对服务请求进行签名；其中，服务请求用于请求访问第二网元的目标资源，目标资源包含在授权资源中。

示例性的，假设第一网元想要访问作为服务生产者的第二网元的目标资源，第一网元作为服务消费者可以根据需求生成服务请求，并根据第一私钥(sk)对服务请求进行签名。

S303：第一网元向第二网元发送服务授权证书和签名后的服务请求。相应的，第二网元接收来自第一网元的服务授权证书和签名后的服务请求。其中，签名后的服务请求包括服务请求和签名值。

S304：第二网元根据服务授权证书和签名后的服务请求，确定服务响应，响应消息用于指示第二网元是否提供目标资源对应的访问服务。

可选的，第二网元根据服务授权证书对服务请求的签名值进行校验，并确定校验通过。也就是说，当校验通过时，第二网元确定响应消息；反之，第二网元终止步骤S304，或者确定响应消息指示不提供目标资源对应的访问服务。

进一步可选的，第二网元在收到服务授权证书之后，还可以校验该服务授权证书的有效性；第二网元还可以抽取该服务授权证书的扩展选项中绑定的授权资源信息，并校验该授权资源信息是否包括服务请求中申请访问的目标资源，即确定第一网元是否可以访问服务请求所指示的目标资源；第二网元还可以通过服务授权证书校验服务申请的签名值是否正确，例如根据服务授权证书中的第一公钥对签名值中的第一私钥进行校验。其中，服务授权证书的用途、有效性的校验包括但不限于以下几项：服务授权证书的用途是否为服务授权、服务授权证书是否在有效期内、服务授权证书签名是否合法和服务授权证书是否被撤销。进一步的，当前述校验均通过时，第二网元确定响应消息指示可以提供目标资源对应的访问服务；反之，第二网元确定响应消息指示不提供目标资源对应的访问服务。

S305：第二网元向第一网元发送服务响应。相应的，第一网元接收来自第二网元的服务响应。

可选的，当服务响应指示第二网元可以为第一网元提供目标资源对应的访问服务时，第一网元可以访问第二网元的目标资源。

应理解，本申请中，如果第一网元可以获取并在本地存储服务授权证书，可以多次执行步骤S302至步骤S305中的动作，从而访问多个第二网元的服务资源，或者访问同一个第二网元的不同服务资源。换句话说，本申请中，服务授权证书可以用于访问多种不同的授权资源信息，无需每次访问都重新获取服务授权证书，避免频繁申请新的服务授权证书，因此减少了资源浪费。

为了提高服务授权证书的准确性和灵活性，基于本申请步骤S301至步骤S305的方案，本申请实施例还提供了以下设计，下面参阅图4对申请实施例提供的设计进行说明。

S401：第一网元接收来自NRF的证书更新通知，其中，证书更新通知用于指示至少一个第五网元的资源配置信息已更新。

应理解，在前述通信系统中，当服务生产者的资源配置信息发生变化时，该服务生产者会向NRF发起服务更新请求，使得NRF本地存储的资源配置信息同步更新。示例性的，当服务授权证书对应的任一个与第一网元相关的服务生产者的资源配置信息发生变化时，NRF向第一网元发送证书更新通知。

可选的，NRF还可以向第一网元发送更新后服务生产者的资源配置信息。应理解，由于此时第一网元与NRF之间已经建立安全通道(例如TLS信道或者互联网安全协议(internet protocol security，IPSec)通道)，因此资源配置信息的更新过程是加密传输的，传输过程的安全性较高。

在本申请实施例中，第一网元在接收到证书更新通知之后，第一网元可以生成第二公钥(pk’)和第二私钥(sk’)。

S402：第一网元根据证书更新通知确定证书更新请求，并对证书更新请求进行签名。

可选的，第一网元可以根据证书更新通知、更新后服务生产者的资源配置信息和第二公钥(pk’)，确定证书更新请求，并根据第一私钥(sk)对该证书更新请求进行签名。

S403：第一网元向CA发送服务授权证书和签名后的证书更新请求。相应的，CA接收来自第一网元的服务授权证书和签名后的证书更新请求。其中，签名后的证书更新请求包括证书更新请求和证书更新请求的签名值。

示例性的，第一网元可以向CA发送更新前的服务授权证书，即第一网元向CA发送cert。相应的，CA接收来自第一网元的cert。

S404：CA根据服务授权证书和签名后的证书更新请求确定更新后的服务授权证书。更新后的服务授权证书可以用cert’表示。

示例性的，CA在收到签名后的证书更新请求之后，可以根据cert确定该签名值是否通过校验。

进一步的，当校验通过时，CA根据证书更新请求确定cert’。

可选的，CA在确定更新后的服务授权证书之后，还可以撤销更新前的服务授权证书，即撤销cert。应理解，撤销后的服务授权证书不再用于第一网元访问授权资源信息所指示的授权资源。

S405：CA向第一网元发送更新后的服务授权证书；或者，CA向NRF发送更新后的服务授权证书。相应的，第一网元接收来自NRF的更新后的服务授权证书，以及更新服务授权证书；或者，第一网元接收来自NRF的更新后的服务授权证书，以及更新服务授权证书。其中，更新后的服务授权证书用于第一网元访问至少一个第五网元的资源配置信息中的目标资源。

其中，在NRF收到更新后的服务授权证书之后，可以校验cert’的用途、有效性；NRF还可以抽取cert’的扩展选项中授权资源信息，并校验该授权资源信息是否符合更新后NRF本地存储的第一网元的授权资源信息，即确定第一网元是否可以访问cert’中授权资源信息所指示的授权资源。其中，cert’的用途、有效性的校验包括但不限于以下几项：cert’的用途是否为服务授权、cert’是否在有效期内、cert’签名是否合法和cert’是否被撤销。进一步的，当前述校验均通过时，NRF将更新后的服务授权证书转发给第一网元；反之，NRF不进行转发操作，NRF还可以分别向第一网元和CA发送更新失败的响应消息。

进一步可选的，在第一网元收到更新后的服务授权证书之后，第一网元还可以校验cert’的用途、有效性；还可以校验cert’的扩展选项中是否包括授权资源信息。进一步的，当前述校验均通过时，第一网元可以分别向NRF和CA发送更新成功的响应消息。

可选的，在步骤S405之后，即服务授权证书的更新完成之后，第一网元可以采用前述步骤S302至步骤S305方案访问第二网元的目标资源。可选的，在步骤S302中可以使用第二私钥(sk’)对服务请求进行签名；同理，在步骤S305中第二网元可以根据更新后的服务授权证书中的第二公钥(pk’)对服务申请的签名值中的第二私钥(sk’)进行校验。

采用这样的设计，当网元或网络切片的资源配置信息发生变化时，相应的服务授权证书都可以进行同步更新，减少第一网元访问失败的概率，减少了不必要的信令开销。

在一种可能的设计中，CA接收来自NRF的证书撤销通知，其中，证书撤销通知用于指示服务授权证书所指示的授权资源已撤销。进一步的，CA撤销服务授权证书。应理解，撤销后的服务授权证书不再用于第一网元访问授权资源信息所指示的授权资源。

可选的，当与服务授权证书相关的部分或全部网元被注销时，NRF向CA发送证书撤销通知。

可选的，CA可以通过将该服务授权证书的序列号放入证书撤销列表(certificaterevocation list，CRL)，来实现服务授权证书的撤销；或者，CA可以通过在线证书状态协议(online certificate status protocol，OCSP)的服务器，来实现服务授权证书的撤销。

示例性的，当服务授权证书对应的全部服务生产者均被注销，或者服务授权证书对应的服务消费者被注销，NRF向CA发送证书撤销通知；CA收到该服务授权证书撤销通知之后，将该服务授权证书的序列号放入证书撤销列表，从而撤销该服务授权证书。

在一种可能的设计中，CA接收来自网管设备的证书撤销通知，其中，证书撤销通知用于指示与网络切片相关的服务授权证书所指示的授权资源已撤销。进一步的，CA撤销服务授权证书。应理解，撤销后的服务授权证书不再用于第一网元访问授权资源信息所指示的授权资源。

可选的，当与服务授权证书相关的部分或全部网络切片被撤销时，网管设备向CA发送证书撤销通知。示例性的，当授权资源信息中包括的网络切片的标识对应的网络切片均被撤销时，网管设备会向CA发送证书撤销通知，从而使得CA撤销该授权资源信息对应的服务授权证书。

可选的，当第一网元拥有多个与网络切片相关的服务授权证书时，网管设备向CA发送的证书撤销通知可以用于指示撤销该多个服务授权证书中的一个或多个。示例性的，假设第一网元同时属于网络切片A、网络切片B和网络切片C，第一网元可以分别获取与网络切片A相关的服务授权证书、与网络切片B相关的服务授权证书和与网络切片C相关的服务授权证书；网管设备可以向CA发送与网络切片B相关的服务授权证书的证书撤销通知。

可选的，CA可以通过将该服务授权证书的序列号放入证书撤销列表，来实现服务授权证书的撤销；或者，CA可以通过OCSP的服务器，来实现服务授权证书的撤销。

示例性的，当服务授权证书对应的全部服务生产者均被注销，或者服务授权证书对应的服务消费者被注销，或者与服务授权证书相关且作为服务消费者的网络切片被撤销时，网管设备向CA发送证书撤销通知；CA收到该服务授权证书撤销通知之后，将该服务授权证书的序列号放入证书撤销列表，从而撤销该服务授权证书。

采用这样的设计，当服务授权证书对应的服务资源不存在，或者服务授权证书的访问主体不存在时，撤销该服务授权证书，避免网元使用旧的服务授权证书访问服务资源的问题，提高服务授权的准确性。

通过以上方法和设计可知，本申请中服务授权证书可以在网元生成时获取，或者在网络切片初始建立时获取，且能够根据资源配置信息的变化而变化，因此能够实现服务授权证书的生命周期与网元的生命周期的同步，或者实现服务授权证书的生命周期与网元的生命周期的同步，提高网元访问服务的成功率，减少不必要的信令开销。

基于前述方法和设计，本申请提供以下两种可能的示例：

示例一：

在本示例中，每个网元有且仅有一个服务授权证书。本示例所提供的通信方法包括：至少一个服务生产者网元向NRF注册，该至少一个服务生产者可以为不同的服务消费者提供服务资源；任一服务消费者可以通过NRF的代理功能，获取来自CA的服务授权证书；任一服务消费者可以通过服务授权证书访问服务生产者中与该服务授权证书绑定的服务资源；当与该服务授权证书相关的授权资源信息更新时，NRF可以协助服务消费者与CA交互，从而更新服务授权证书；当服务授权证书对应的所有服务生产者均被注销，或者服务授权证书对应的服务消费者被注销时，CA可以撤销该服务授权证书，从而结束服务授权证书的生命周期。本示例中用NF 1表示任一服务消费者，用NF 2表示服务授权证书对应的任一服务生产者，例如NF 1可以执行如前述任一方法和设计中第一网元所执行的动作，NF2可以执行如前述任一方法和设计中第二网元所执行的动作，具体通信示例包括四个流程：

流程A(服务授权证书的颁发)：

在流程A开始之前，所有网元都已经被建立，且都完成了向NRF注册；网元向NRF注册的方法可以采用任何现有的技术方法，本申请不做限定。应理解，注册完成后，NRF已获得所有网元的资源配置信息，NRF可以根据所有网元的资源配置信息确定任一网元的授权资源信息，例如NRF可以根据多个作为服务生产者的网元的资源配置信息，确定作为服务消费者的网元可以访问的网元类型、网元标识、网络切片的标识，服务类型，或资源类型等。

该流程A可以包括前述步骤S301中的任一方法和设计，下面参阅图5对流程A的方法进行说明。

5-1.NF 1产生公私钥对(pk 1，sk 1)，并存储sk 1；NF 1使用pk 1及NF 1的标识(instance ID)等信息，按照cmpv2协议规范，产生证书申请csr。可选的，NF 1还可以将NF 1所属的网络切片的标识的集合(例如NSI-ID集合或者NSSAI)和csr发送给NRF。

5-2.NRF将NF 1的资源授权信息(包括NF 1可访问的NF type、NF instance ID、服务类型、资源类型等)与csr组合，生成证书申请csr’。可选的，csr’还可以包括相应的NSI-ID集合(或者NSSAI)。

5-3.NRF向CA发送用途标识(即申请授权证书的标识)和csr’。

5-4.CA通过对用途标识的识别，确定csr’为服务授权证书的申请；CA从csr’中提取csr、NF 1可访问的NF type、NF instance ID、服务类型和资源类型等；可选的，CA还可以从csr’中提取NSI-ID集合(或者NSSAI)；CA将提取的授权内容加入到服务授权证书的扩展选项(例如SIA扩展选项)中，同时，CA在服务授权证书的扩展选项(例如key extendedusage扩展选项)中写入服务授权证书的用途为服务授权。应理解，CA可以将前述信息写入服务授权证书的其他可支持的扩展选项中，本申请不做限定；CA签发该服务授权证书，该服务授权证书可以用cert表示。

5-5.CA向NRF颁发cert。

5-6.NRF在收到cert后，NRF校验cert的用途、有效性；NRF抽取cert的扩展选项中绑定的授权内容(例如包括NSI-ID集合(或者NSSAI)、NF 1可访问的NF type、NFinstanceID、服务类型或资源类型等)，并根据本地存储的配置资源信息校进行验，确定cert绑定的授权内容是NF 1可以访问的资源。

可选的，证书用途、有效性校验包括但不限于以下校验：证书的用途是否为服务授权的校验；证书是否在有效期内的校验；证书签名是否合法的校验；证书是否被撤销的校验。

5-7.如果NRF校验通过，NRF将cert颁发给NF 1。

5-8.NF 1收到cert后，校验cert的用途和有效性，并校验cert的扩展选项中是否绑定了其相应的授权内容。

5-9.如果NF 1校验通过，则NF 1向NRF返回确认字符(acknowledge character，ACK)，ACK用于指示服务授权证书颁发成功。

流程B(服务授权证书的使用)：

该流程B可以包括前述步骤S302至S305中的任一方法和设计，下面参阅图6对流程B的方法进行说明。

6-1.假设NF 1对应想要访问的NF 2，NF 1的授权服务证书为cert；NF 1可以产生对NF 2的服务请求(或称访问请求)，服务请求用于请求访问NF 2的目标资源；NF 1使用cert对应的私钥sk 1对该服务请求进行签名。

6-2.NF 1向NF2发送对NF 2的服务请求、对服务请求的签名值、cert及cert对应的证书链。可选的，该服务请求的签名值中可以包括时间戳或者随机数等信息，以防止其他设备对服务请求的签名的重放攻击。

6-3.NF 2校验证书cert的有效性；NF 2校验cert的授权资源中包含服务请求中的目标资源(例如cert的授权资源中包含服务请求对应的NSI-ID、NF-type、NF instance ID、服务类型和资源类型等)；NF 2使用cert校验服务请求的签名值，即根据pk 1验证sk 1的签名。当校验通过时，NF 2对NF 1的服务请求进行响应。

可选的，验证证书的有效性包括但不限于以下校验：证书的用途是否为服务授权的校验；证书是否在有效期内的校验；证书签名是否合法的校验；证书是否被撤销的校验。可选的，证书是否被撤销的校验可以通过CRL或者OCSP实现。应理解，步骤(3)中的校验动作可以通过cert对应的证书链来实现，具体实现方式可以参照任意本领域传统方式，本申请中不做限定。

6-4.NF 2向NF 1返回对该服务请求的响应消息。

流程C(服务授权证书的更新)：

当任一个网元的服务功能发生变更(相当于该网元的资源配置信息变更)时，该网元可以通过服务更新流程通知NRF，相应的，NRF存储变更后的资源配置信息，并通知将该网元作为服务生产者的网元主动变更服务授权证书。可选的，服务更新流程的方法可以采用任何现有的技术方法，本申请不做限定。也就是说，当任一个网元的资源配置信息变更时，触发流程C的相关动作。

该流程C可以包括前述步骤S401至S405中的任一方法和设计，下面参阅图7对流程C的方法进行说明。

7-1.任一NF 2执行服务更新流程后，NRF收到更新后的NF 2的资源配置信息；NRF可以根据更新后的NF 2的资源配置信息，推断出相关的一个或多个NF 1可以的访问授权资源发生变化，并向这些NF 1发送证书更新通知；NRF还可以向NF 1发送变更后的授权资源信息(例如包括NSI-ID集合(或者NSSAI)、更新后的可访问的NF-type、NF instanceID、服务类型或资源类型等)。也就是说，NF 2的资源配置信息的更新能够触发NF 1的服务授权证书的更新，使得服务生产者和服务消费者的服务关系保持同步，从而减少第一网元访问失败的概率。此外，由于在此过程中，NF 1已与NRF建立安全信道，因此相应的授权资源信息的更新是加密传输的，具备较高的安全性。

7-2.NF 1收到证书更新通知后，产生新的公私钥对(pk 2，sk 2)，将更新后的授权资源信息与更新后的证书签发请求绑定，产生证书更新请求；使用cret的私钥(即sk 1)对证书更新请求进行签名。

7-3.NF 1向CA发送证书更新请求、对证书更新申请的签名值和cert。

7-4.验证通过，CA使用证书更新请求，签发NF 1的更新后的服务授权证书，更新后的服务授权证书可以用cert’表示。

7-5.CA向NRF颁发cert’。

7-6.NRF收到来自CA的cert’后，NRF校验cert’的用途、有效性；NRF抽取cert’的扩展选项中绑定的授权内容(例如包括NSI-ID集合(或者NSSAI)、NF type、NF instance ID、服务类型和资源类型等)，并校验cert’中的授权资源是NF 1可以访问的资源。

可选的，验证证书的有效性包括但不限于以下校验：证书的用途是否为服务授权的校验；证书是否在有效期内的校验；证书签名是否合法的校验；证书是否被撤销的校验。可选的，证书是否被撤销的校验可以通过CRL或者OCSP实现。

7-7.如果NRF校验通过，NRF将cert’颁发给NF 1。

7-8.NF 1收到cert’后，校验cert’的用途和有效性，并校验cert’的扩展选项中是否绑定了其相应的授权内容。

7-9.如果NF 1校验通过，则NF 1向NRF返回ACK从而确认服务授权证书颁发成功。

7-10.在CA确定签发cert’之后，CA可以撤销cert。

流程D(服务授权证书的撤销)：

当任一网元的生命周期结束时，需要通过注销(去注册)流程通知NRF，从而NRF可以获知网元已注销的信息，此时可能会触发相应网元的授权证书撤销流程。可选的，注销(去注册)流程的方法可以采用任何现有的技术方法，本申请不做限定。当服务授权证书对应的全部服务生产者均被注销，或者服务授权证书对应的服务消费者被注销时，CA可以撤销该服务授权证书，即触发流程D的动作。

该流程D可以包括前述CA撤销服务授权证书的动作对应的任一方法和设计，下面参阅图8对流程D的方法进行说明。

8-1.NRF向CA发送撤销某个网元的服务授权证书的申请。其中，NRF和CA之间通过身份认证已建立了安全信道(例如TLS信道或者IPsec信道)。

8-2.CA将撤销相应网元的服务授权证书(例如，将该服务授权证书的序列号放入证书撤销列表或者通过OCSP的服务器实现服务授权证书的撤销)。

采用示例一所示的方法，能够实现服务授权证书的生命周期和网元的生命周期的同步，而不是依赖预设的有效期来决定生命周期，提高了服务授权的灵活性。此外，由于网元在建立时即可获取服务授权证书，且该服务授权证书可以用于不同的服务申请，因此无需网元在每一次服务申请时重新获取证书，避免频繁申请新的证书，减少资源浪费。当服务授权证书对应的服务生产者的服务功能发生变更时，服务授权证书可以同步更新；当存在一个或多个网元的注销时，相应的服务授权证书可以同步被撤销。显然，更新或撤销之后旧的服务授权证书不能用于访问服务生产者，因此能够避免旧的服务授权证书仍然可以使用的情况，提高了服务授权的准确性。由于服务授权证书的使用过程是通过对服务请求的签名和校验实现的，因此不需要其他加密保护，提高了数据传输的安全性，减少了单独加密保护带来的信令的消耗。

示例二：

在本示例中，每个网元属于n个网络切片，因此可以有n个服务授权证书，其中，n为正整数。本示例所提供的通信方法包括：每个网络切片在建立时均获取一个服务授权证书；网络切片中的网元可以获取该服务授权证书；网络切片中的网元可以作为服务消费者访问服务生产者中与该服务授权证书绑定的服务资源；当网络切片所对应的服务授权证书绑定的服务生产者(包括其他网络切片)的服务资源更新时，网络切片中的网元可以更新服务授权证书；当网络切片撤销时，CA可以撤销与该网络切片相关的服务授权证书，从而结束服务授权证书的生命周期。在以下示例中，NF 3属于网络切片1，NF 3可以执行如前述任一方法和设计中第一网元所执行的动作，NF 4可以执行如前述任一方法和设计中第二网元所执行的动作。具体通信示例包括五个流程：

流程A(网络切片的建立)：

网管设备在建立每个网络切片时，CA可以在本地存储每个网络切片的资源配置信息。此外，网管设备可以与CA交互，从而传输网络切片的资源配置信息。可选的，CA还可以通过NRF在本地存储每个网络切片的资源配置信息。

下面参阅图9对流程A的方法进行说明。

9-1.网络切片实例建立之后，网管设备提取该网络切片中的相关网元的资源配置信息。其中，在网元生成时，网元的资源配置信息即存储在网管设备中；或者，网元的资源配置信息存储在NRF中，详细存储的过程如示例一中所述的方法。

9-2.网管设备向CA发送该资源配置信息(该资源配置信息包括网络切片的标识NSI-ID和网络切片中的相关网元的资源配置信息)。可选的，前述网管设备的动作还可以由NRF替代，例如：NRF可以向CA发送该资源配置信息(网络切片的标识NSI-ID和网络切片中的相关网元的资源配置信息)，详细方法如示例一中所述的方法。

9-3.CA存储该资源配置信息(NSI-ID和相关网元的资源配置信息)。

流程B(服务授权证书的颁发)：

在流程B开始之前，CA已经存储多个网络切片的资源配置信息，因此CA可以确定某个网络切片(例如网络切片1)中的任一网元(例如NF 3)作为服务消费者时的授权资源信息，该授权资源信息包括NF 3可以访问的资源，例如可能是每个(per)NF type粒度的资源，也可能是每个NF instance ID粒度的资源。这样，授权资源信息的粒度可以是per服务级别的，能够提高服务授权的准确性。

该流程B可以包括前述步骤S301中的任一方法和设计，下面参阅图10对流程B的方法进行说明。

10-1.网络切片1中的NF 3产生公私钥对(pk 3，sk 3)，并存储sk 3；NF 3使用pk 3及NF 3的标识等信息，产生证书申请csr。

10-2.NF 3将相应的NSI-ID集合(或者NSSAI)和csr发送给CA。

10-3.CA将csr、NSI-ID集合(或者NSSAI)、NF 3可访问的NF type、NF instanceID、服务类型和资源类型等结合(例如，写入服务授权证书的SIA扩展选项)，从而签发NF 3的授权证书cert。

可选的，CA可以通过NRF获取NF 3的服务授权信息(包括NSI-ID集合(或者NSSAI)、NF 3可访问的NF type、NF instance ID、服务类型和资源类型等)。

可选的，CA可以通过NRF将csr、NSI-ID集合(或者NSSAI)、NF 3可访问的NF type、NF instance ID、服务类型和资源类型等结合，详细的结合过程如示例一中所述的方法。

10-4.CA将cert发给NF 3。

流程C(服务授权证书的使用)：

该流程C可以包括前述步骤S302至S305中的任一方法和设计，用于网络切片中的任一NF 3通过服务授权证书，申请并访问作为服务生产者的网元(例如NF 4)。本示例中流程C的具体方法可以与示例一中的流程B的方法相同或不同。

流程D(服务授权证书的更新)：

当任一个网络切片(例如网络切片2)的服务功能发生变更(相当于该网络切片的资源配置信息变更)时，该网络切片中的网元可以通过服务更新流程通知NRF，相应的，NRF存储变更后的资源配置信息，并通知将该网络切片作为服务生产者的网元(例如NF 3，其中NF 3可以属于网络切片2)主动更新服务授权证书。也就是说，当任一个网络切片的资源配置信息变更时，触发流程D的相关动作，从而更新相关的服务授权证书中的授权资源信息。由于只有网络切片粒度的变更才会触发流程D的相关动作，因此触发服务授权证书的更新的概率较低。

该流程D可以包括前述步骤S401至S405中的任一方法和设计，下面参阅图11对流程D的方法进行说明。

11-1.任一网络切片2执行服务更新流程之后，NRF收到更新后的网络切片2的资源配置信息；NRF可以根据更新后的网络切片2的资源配置信息，向相关的一个或多个NF 3发送证书更新通知和更新后的NSI-ID集合(或者NSSAI)；NRF还可以向NF 3发送更新后的可访问的NF-type、NF instance ID、服务类型或资源类型。此外，由于在此过程中，NF 3已与NRF建立安全信道，因此相应的资源配置信息的更新是加密传输的，具备较高的安全性。

11-2.NF 3收到证书更新通知后，产生新的公私钥对(pk 4，sk 4)，将更新后的资源配置信息(包括NS-ID集合(或者NSSAI)、可访问的NF-type、NF instance ID、服务类型或资源类型等)与更新后的证书签发请求绑定，产生证书更新请求；使用cret的私钥(即sk 1)对证书更新请求进行签名。

11-3.NF 3向CA发送证书更新请求、对证书更新申请的签名值和cert。

11-4.CA收到来自NF 3的证书更新请求之后，使用其cert验证证书更新请求的签名值，如果签名验证通过，NF 3使用证书更新请求中的资源配置信息(也称profile)，签发NF 3的更新后的服务授权证书，更新后的服务授权证书可以用cert’表示。

11-5.CA向NRF颁发cert’。

11-6.NRF收到来自CA的cert’后，NRF校验cert’的用途、有效性；NRF抽取cert’的扩展选项中绑定的授权内容(包括NSI-ID集合(或者NSSAI)、NF type、NF instance ID、服务类型和资源类型等)，并校验cert’中的授权资源是NF 3所在的网络切片可以访问的资源。

可选的，验证证书的有效性包括但不限于以下校验：证书的用途是否为服务授权的校验；证书是否在有效期内的校验；证书签名是否合法的校验；证书是否被撤销的校验。可选的，证书是否被撤销的校验可以通过CRL或者OCSP实现。

11-7.如果NRF校验通过，NRF将cert’颁发给NF 3。

11-8.NF 3收到cert’后，校验cert’的用途和有效性，并校验cert’的扩展选项中是否绑定了其相应的授权内容。

11-9.如果NF 3校验通过，则NF 3向NRF返回ACK从而确认服务授权证书颁发成功。

11-10.在CA确定签发cert’之后，CA可以撤销cert。

流程E(服务授权证书的撤销)：

当任一网络切片的生命周期结束时，网管设备会撤销该网络切片的服务功能，此时可能会触发相应网络切片的授权证书撤销流程。可选的，网络切片的撤销流程的方法可以采用任何现有的技术方法，本申请不做限定。当服务授权证书对应的全部服务生产者(例如网络切片2)所在的网络切片均被注销时，CA可以撤销该服务授权证书，即触发流程D的动作。

该流程E可以包括前述CA撤销服务授权证书的动作对应的任一方法和设计，下面参阅图12对流程E的方法进行说明。

12-1.网管设备向CA发送撤销网络切片2的服务授权证书的申请。可选的，前述网管设备的动作还可以由NRF替代，例如：NRF向CA发送撤销网络切片2的服务授权证书的申请，详细的过程如示例一中所述的方法。

12-2.CA撤销网络切片2对应的服务授权证书(例如，将该服务授权证书的序列号放入证书撤销列表或者通过OCSP的服务器实现服务授权证书的撤销)。

采用示例二所示的方法，能够实现服务授权证书的生命周期和网络切片的生命周期的同步，而不是依赖预设的有效期来决定生命周期，提高了服务授权的灵活性。此外，由于网络切片在建立时可以获取服务授权证书，且该服务授权证书可以用于网络切片中的网元进行不同的服务申请，因此无需网元在每一次服务申请时重新获取证书，避免频繁申请新的证书，减少资源浪费。当服务授权证书对应的服务生产者的服务功能发生变更时，服务授权证书可以同步更新；当存在一个或多个网络切片的注销时，相应的服务授权证书可以同步被撤销。显然，更新或撤销之后旧的服务授权证书不能用于访问服务生产者，因此能够避免旧的服务授权证书仍然可以使用的情况，提高了服务授权的准确性。由于服务授权证书的使用过程是通过对服务请求的签名和校验实现的，因此不需要其他加密保护，提高了数据传输的安全性，减少了单独加密保护带来的信令的消耗。

基于相同的技术构思，本申请还提供了一种通信装置，该通信装置可以应用于图2所示的通信系统中，用于实现以上实施例提供的通信方法。参阅图13所示，通信装置1300中包含通信模块1301和处理模块1302。

所述通信模块1301，用于接收和发送数据。可选的，所述通信模块1301中可以包含通信接口。

所述处理模块1302，用于执行以上各个实施例提供的通信方法中第一网元、第二网元或CA执行的步骤。所述处理模块1302的具体功能可以参考以上实施例中的相关描述，此处不再赘述。

在一种实施方式中，当通信装置用于实现前述第一网元的动作时，通信模块1301用于：获取服务授权证书，其中，服务授权证书包括授权资源信息，服务授权证书用于第一网元访问授权资源信息所指示的授权资源；处理模块1302用于：生成服务请求，并对服务请求进行签名；其中，服务请求用于请求访问第二网元的目标资源，目标资源包含在授权资源中；通信模块1301还用于：向第二网元发送服务授权证书和签名后的服务请求；接收来自第二网元的服务响应，响应消息用于指示第二网元是否提供目标资源对应的访问服务。

在一种实施方式中，当通信装置用于实现前述第二网元的动作时，通信模块1301用于：接收来自第一网元的服务授权证书和签名后的服务请求；其中，服务授权证书包括授权资源信息，服务授权证书用于第一网元访问授权资源信息所指示的授权资源；服务请求用于请求访问第二网元的目标资源，目标资源包含在授权资源中；处理模块1302用于：根据服务授权证书和签名后的服务请求，确定服务响应，响应消息用于指示第二网元是否提供目标资源对应的访问服务；通信模块1301还用于：向第一网元发送服务响应。

在一种实施方式中，当通信装置用于实现前述CA的动作时，通信模块1301用于：接收来自第一网元的证书签发请求；处理模块1302用于：确认服务授权证书，其中，服务授权证书包括授权资源信息；服务授权证书用于第一网元访问授权资源信息所指示的授权资源；通信模块1301还用于：向第一网元发送服务授权证书。

需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

基于相同的技术构思，本申请实施例还提供了另一种通信装置，所述通信装置1400可以实现以上实施例提供的通信方法，具有以上实施例提供的处理器的功能。参阅图14所示，所述通信装置1400包括：存储器1402、处理器1401。可选的，所述通信装置1400还包括通信接口1403。其中，所述通信接口1403、所述处理器1401以及所述存储器1402之间相互连接。

可选的，所述通信接口1403、所述处理器1401以及所述存储器1402之间通过总线1404相互连接。所述总线1404可以是外设部件互连标准(peripheral componentinterconnect，PCI)总线或扩展工业标准结构(extended industry standardarchitecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图14中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

所述通信接口1403，用于接收和发送数据，实现与通信装置以外的其他设备之间的通信。

所述处理器1401的功能可以参照以上实施例中的描述，此处不再赘述。其中，处理器1401可以是中央处理器(central processing unit，CPU)，网络处理器(networkprocessor，NP)或者CPU和NP的组合等等。处理器1401还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic，GAL)或其任意组合。处理器1401在实现上述功能时，可以通过硬件实现，当然也可以通过硬件执行相应的软件实现。

所述存储器1402，用于存放程序指令等。具体地，程序指令可以包括程序代码，该程序代码包括计算机操作指令。存储器1402可能包含随机存取存储器(random accessmemory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。处理器1401执行存储器1402所存放的程序指令，实现上述功能，从而实现上述实施例提供的方法。示例性的，存储器1402可以包括本申请实施例所示的第一网元、第二网元或CA。

基于相同的技术构思，本申请实施例还提供了一种计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行以上实施例提供的方法。

基于相同的技术构思，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行以上实施例提供的方法。

其中，存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。

基于以上实施例，本申请实施例还提供了一种芯片，所述芯片用于读取存储器中存储的计算机程序，实现以上实施例提供的方法。可选的，所述芯片中可以包括处理器和存储器，所述处理器与所述存储器耦合，用于读取所述存储器中存储的计算机程序，实现以上实施例提供的方法。

基于以上实施例，本申请实施例提供了一种芯片系统，该芯片系统包括处理器，用于支持计算机装置实现以上实施例中终端设备所涉及的功能。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器用于保存该计算机装置必要的程序和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (26)

1.一种通信方法，其特征在于，所述方法包括：

第一网元获取服务授权证书，其中，所述服务授权证书包括授权资源信息，所述服务授权证书用于所述第一网元访问所述授权资源信息所指示的授权资源；

所述第一网元生成服务请求，并对所述服务请求进行签名；其中，所述服务请求用于请求访问第二网元的目标资源，所述目标资源包含在所述授权资源中；

所述第一网元向所述第二网元发送所述服务授权证书和签名后的所述服务请求；

所述第一网元接收来自所述第二网元的服务响应，所述响应消息用于指示所述第二网元是否提供所述目标资源对应的访问服务。

2.如权利要求1所述的方法，其特征在于，所述授权资源信息包括以下至少一项：授权访问的网元的标识、网元类型，网络切片的标识，服务类型，或资源类型。

3.如权利要求1或2所述的方法，其特征在于，所述第一网元获取服务授权证书，包括：

所述第一网元向证书认证机构CA发送证书签发请求；

所述第一网元接收来自所述CA的所述服务授权证书；其中，所述授权资源信息是根据至少一个第三网元的资源配置信息确定的，所述至少一个第三网元包括所述第二网元。

4.如权利要求3所述的方法，其特征在于，所述第一网元向证书认证机构CA发送证书签发请求，包括：

所述第一网元通过网络存储库功能网元NRF向所述CA发送证书签发请求，以使所述NRF根据所述至少一个第三网元的资源配置信息确定所述授权资源信息并向所述CA发送所述授权资源信息；

所述第一网元接收来自所述CA的所述服务授权证书，包括：

所述第一网元通过所述NRF接收来自所述CA的所述服务授权证书。

5.如权利要求3或4所述的方法，其特征在于，所述第一网元为网络切片中的网元，所述证书签发请求还包括所述网络切片的标识；其中，当第四网元的资源配置信息包括所述网络切片的标识时，所述授权资源信息中包括所述第四网元的标识，所述至少一个第三网元中包含所述第四网元。

6.如权利要求1-4中任一项所述的方法，其特征在于，所述方法还包括：

所述第一网元接收来自NRF的证书更新通知，其中，所述证书更新通知用于指示至少一个第五网元的资源配置信息已更新；

所述第一网元根据所述证书更新通知确定证书更新请求，并对所述证书更新请求进行签名；

所述第一网元向所述CA发送所述服务授权证书和签名后的证书更新请求；

所述第一网元接收来自所述NRF的更新后的服务授权证书，以及更新所述服务授权证书；或者，所述第一网元接收来自所述CA的更新后的服务授权证书，以及更新所述服务授权证书；其中，所述更新后的服务授权证书用于所述第一网元访问所述至少一个第五网元的资源配置信息中的目标资源。

7.一种通信方法，其特征在于，所述方法包括：

第二网元接收来自第一网元的服务授权证书和签名后的服务请求；其中，所述服务授权证书包括授权资源信息，所述服务授权证书用于所述第一网元访问所述授权资源信息所指示的授权资源；所述服务请求用于请求访问所述第二网元的目标资源，所述目标资源包含在所述授权资源中；

所述第二网元根据所述服务授权证书和所述签名后的服务请求，确定服务响应，所述响应消息用于指示所述第二网元是否提供所述目标资源对应的访问服务；

所述第二网元向所述第一网元发送所述服务响应。

8.如权利要求7所述的方法，其特征在于，所述授权资源信息包括以下至少一项：授权访问的网元的标识、网元类型，网络切片的标识，服务类型，或资源类型。

9.如权利要求7或8所述的方法，其特征在于，所述第二网元接收来自第一网元的服务授权证书和签名后的服务请求之后，所述方法还包括：

所述第二网元根据所述服务授权证书对所述服务请求的签名值进行校验，并确定校验通过。

10.一种通信方法，其特征在于，所述方法包括：

证书认证机构CA接收来自第一网元的证书签发请求；

所述CA确认服务授权证书，其中，所述服务授权证书包括授权资源信息；所述服务授权证书用于所述第一网元访问所述授权资源信息所指示的授权资源；

所述CA向所述第一网元发送所述服务授权证书。

11.如权利要求10所述的方法，其特征在于，所述授权资源信息包括以下至少一项：授权访问的网元的标识、网元类型，网络切片的标识，服务类型，或资源类型。

12.如权利要求10或11所述的方法，其特征在于，所述CA接收来自第一网元的证书签发请求，包括：

所述CA通过网络存储库功能网元NRF接收来自所述第一网元的证书签发请求；

所述CA接收来自所述NRF的授权资源信息，所述授权资源信息是根据至少一个第三网元的资源配置信息确定的；

所述CA向所述第一网元发送所述服务授权证书，包括：

所述CA通过所述NRF向所述第一网元发送所述服务授权证书。

13.如权利要求10-12中任一项所述的方法，其特征在于，所述第一网元为网络切片中的网元，所述证书签发请求还包括所述网络切片的标识；其中，当第四网元的资源配置信息包括所述网络切片的标识时，所述CA确定所述授权资源信息中包括所述第四网元的标识，所述至少一个第三网元中包括所述第四网元。

14.如权利要求10-13中任一项所述的方法，其特征在于，所述方法还包括：

所述CA接收来自所述第一网元的服务授权证书和签名后的证书更新请求；

所述CA根据所述服务授权证书和所述签名后的证书更新请求确定更新后的服务授权证书；

所述CA向NRF发送所述更新后的服务授权证书；或者，所述CA向第一网元发送所述更新后的服务授权证书；其中，所述更新后的服务授权证书用于所述第一网元访问至少一个第五网元的资源配置信息中的目标资源。

15.如权利要求10-14中任一项所述的方法，其特征在于，所述方法还包括：

所述CA接收来自NRF的证书撤销通知；或者，所述CA接收来自网管设备的证书撤销通知；其中，所述证书撤销通知用于指示所述服务授权证书所指示的授权资源已撤销；

所述CA撤销所述服务授权证书，所述撤销后的服务授权证书不再用于所述第一网元访问所述授权资源信息所指示的授权资源。

16.一种通信方法，其特征在于，所述方法包括：

网络存储库网元NRF接收来自第一网元的证书签发请求，所述证书签发请求用于请求获取服务授权证书，所述服务授权证书用于第一网元访问所述授权资源信息所指示的授权资源；

所述NRF根据至少一个第三网元的资源配置信息确定授权资源信息；

所述NRF向所述CA发送所述授权资源信息，所述服务授权证书包括所述授权资源信息。

17.如权利要求16所述的方法，其特征在于，所述授权资源信息包括以下至少一项：授权访问的网元的标识、网元类型，网络切片的标识，服务类型，或资源类型。

18.如权利要求16或17所述的方法，其特征在于，所述方法还包括：

所述NRF向所述第一网元发送证书更新通知，其中，所述证书更新通知用于指示至少一个第五网元的资源配置信息已更新；

所述NRF向所述第一网元发送更新后的服务授权证书；其中，所述更新后的服务授权证书用于所述第一网元访问所述至少一个第五网元的资源配置信息中的目标资源。

19.如权利要求16-18中任一所述的方法，其特征在于，所述方法还包括：

所述NRF向所述CA发送证书撤销通知；其中，所述证书撤销通知用于指示所述服务授权证书所指示的授权资源已撤销；所述撤销后的服务授权证书不再用于所述第一网元访问所述授权资源信息所指示的授权资源。

20.一种通信装置，其特征在于，所述装置包括：

通信模块，用于获取服务授权证书，其中，所述服务授权证书包括授权资源信息，所述服务授权证书用于第一网元访问所述授权资源信息所指示的授权资源；

处理模块，用于生成服务请求，并对所述服务请求进行签名；其中，所述服务请求用于请求访问第二网元的目标资源，所述目标资源包含在所述授权资源中；

所述通信模块还用于：向所述第二网元发送所述服务授权证书和签名后的所述服务请求；以及，接收来自所述第二网元的服务响应，所述响应消息用于指示所述第二网元是否提供所述目标资源对应的访问服务。

21.一种通信装置，其特征在于，所述装置包括：

通信模块，用于接收来自第一网元的服务授权证书和签名后的服务请求；其中，所述服务授权证书包括授权资源信息，所述服务授权证书用于所述第一网元访问所述授权资源信息所指示的授权资源；所述服务请求用于请求访问所述第二网元的目标资源，所述目标资源包含在所述授权资源中；

处理模块，用于根据所述服务授权证书和所述签名后的服务请求，确定服务响应，所述响应消息用于指示所述第二网元是否提供所述目标资源对应的访问服务；

所述通信模块还用于：向所述第一网元发送所述服务响应。

22.一种通信装置，其特征在于，所述装置包括：

通信模块，用于接收来自第一网元的证书签发请求；

处理模块，用于确认服务授权证书，其中，所述服务授权证书包括授权资源信息；所述服务授权证书用于所述第一网元访问所述授权资源信息所指示的授权资源；

所述通信模块还用于：向所述第一网元发送所述服务授权证书。

23.一种通信装置，其特征在于，所述装置包括：

通信模块，用于接收来自证书认证机构CA的证书签发请求，所述证书签发请求用于请求获取服务授权证书，所述服务授权证书用于第一网元访问所述授权资源信息所指示的授权资源；

处理模块，用于根据至少一个第三网元的资源配置信息确定授权资源信息；

所述通信模块还用于：向所述CA发送所述授权资源信息，所述服务授权证书包括所述授权资源信息。

24.一种通信设备，其特征在于，包括：通信接口、存储器和处理器；其中，

所述通信接口，用于接收和发送数据；

所述存储器，用于存储程序指令和数据；

所述处理器，用于读取所述存储器中的程序指令和数据，实现权利要求1-15中任一项所述的方法。

25.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行权利要求1-15中任一项所述的方法。

26.一种芯片，其特征在于，所述芯片包括处理器和存储器；所述处理器与所述存储器耦合，用于读取所述存储器中存储的计算机程序，执行权利要求1-15中任一项所述的方法。