WO2019029327A1

WO2019029327A1 - 网络功能服务的发现方法及设备

Info

Publication number: WO2019029327A1
Application number: PCT/CN2018/095974
Authority: WO
Inventors: 韩霆军
Original assignee: 华为技术有限公司
Priority date: 2017-08-08
Filing date: 2018-07-17
Publication date: 2019-02-14
Also published as: US20200177632A1; EP3648432B1; CN109391592B; CN109391592A; EP3648432A4; EP3648432A1; US11258822B2

Abstract

本申请提供一种网络功能服务的发现方法及设备。该方法包括：NRF与NF建立通信连接后，通过TLS或DTLS双向认证过程获取NF的数字证书，NF的数字证书中携带NF的服务名、NF所依赖的服务名列表和NF被依赖的服务名列表。NRF接收NF发送的查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名，NRF根据目标服务的服务名与NF的数字证书进行验证，验证通过时向NF发送目标服务的地址。从而实现了NF服务之间的发现，且NF和网络切片解耦，NF和服务安全机制解耦。

Description

网络功能服务的发现方法及设备

本申请要求于2017年8月8日提交中国专利局、申请号为201710671849.5、发明名称为“网络功能服务的发现方法及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种网络功能服务的发现方法及设备。

背景技术

随着第五代移动通信技术(5th-generation，简称：5G)的发展，在5G网络的核心网网络架构的演进过程中，提出了基于云和虚拟化技术、以网络功能(Network Function，NF)为中心的服务化网络架构，在该架构中，网络功能仓储功能(NF Repository Function，NRF)是一种为NF提供服务的注册和发现功能的网络功能，NF可以在NRF上注册一个或者多个服务的地址，注册的服务的地址有多种形式，可以是IP地址也可以是URL地址，服务的名称定义为<service name>.<NF name>.<PLMN>，比如：session-manager.SMF.<PLMN>。所有NF位于全互通的网络拓扑中，以实现具体服务之间物理部署位置解耦，因此这种服务化网络架构有利于快速部署新的NF实现网络业务的创新。

5G网络切片技术支持在一个物理网络上提供满足不同服务等级协议(Service-LevelAgreement，SLA)等级的多种业务，比如车联网、虚拟现实等，图1为一种公共陆地移动网络(Public Land Mobile Network，PLMN)的网络切片及不同网络切片的NF的分布示意图，如图1所示，用户设备通过无线接入网节点接入PLMN，PLMN被切分为三个网络切片，每个网络切片包含一组特定功能的NF，一个NF由至少一个服务组成，位于不同网络切片的NF1为同一种类型的NF(如网络切片A中的NF1和网络切片B中的NF1)，位于不同网络切片的NF2为同一种类型的NF。为满足所在切片的业务的SLA有不同的资源述求和性能指标，位于不同网络切片的NF之间是相互隔离的，即便它们是同一种类型的NF。因为实现上的约束，也存在需要在多个网络切片之间共享的NF(如图1中的NF3)。而且，网络切片根据客户的定购需求动态部署，即某个网络切片中的NF的生命周期是不确定的，因此不同网络切片中的NF在业务上也是隔离的，如图1中的网络切片A的NF1只能和网络切片A的NF2进行业务交互，而不能访问网络切片A外的同类型的NF2。

因此，在上述服务化网络架构中，位于不同网络切片的NF之间需要相互隔离，且不同网络切片之间的NF在业务上需要相互隔离，因此动态部署的NF之间要能够发现，即就是NF服务之间要能够发现，服务消费者要能够查询到服务提供者的地址，如何实现NF服务之间的发现，是一个亟需解决的问题。

发明内容

本申请提供一种网络功能服务的发现方法及设备，以实现NF服务之间的发现。

第一方面，本申请提供一种NF服务的发现方法，包括：网络功能仓储功能NRF与NF建立通信连接后，通过安全传输层协议TLS或数据安全传输层协议DTLS双向认证过程获取NF的数字证书，NF的数字证书中携带NF的服务名、NF所依赖的服务名列表和NF被依赖的服务名列表；NRF接收NF发送的查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名，目标服务的完整域名为目标服务的服务名和NF的管理域名组成的域名，或者，目标服务的完整域名为目标服务的服务名和NF查询到的目标服务所在的NF的管理域名组成的域名，NF的管理域名包含网络切片标识与网络切片所属的网络的标识；NRF根据目标服务的服务名与NF的数字证书进行验证，验证通过时向NF发送目标服务的地址。

通过第一方面提供的NF服务的发现方法，实现了NF服务之间的发现，而且，在NF服务的发现过程中，目标服务的服务名是NF已知的，若是网络切片内的服务发现，NF在发送查询请求时将目标服务的服务名和自身的管理域名组成目标服务的完整域名进行查询，若是不同网络切片之间的服务发现，NF在发送查询请求时将目标服务的服务名和NF查询到的目标服务所在的NF的管理域名组成目标服务的完整域名进行查询，NF的管理域名包含网络切片标识与网络切片所属的网络的标识，而网络切片标识通过管理网元管理，因此可实现NF和网络切片解耦，另一方面，将不同服务之间的依赖关系放置在服务的数字证书的扩展字段中，数字证书的扩展字段中只会涉及到NF的服务名，不会涉及到NF的管理域名，因此可保证不会因为有动态部署的切片导致所有服务的数字证书需要更新，实现NF和服务安全机制解耦，网络切片和服务安全机制可以兼容已有的TLS/DNS标准机制，现有NF无需改造即可接入系统，不论NF如何动态部署，现有的NF不受影响。

在一种可能的设计中，NRF根据目标服务的服务名与NF的数字证书进行验证，包括：NRF验证目标服务的服务名是否在NF的数字证书的扩展字段中携带的NF所依赖的服务名列表中，已注册保存的目标服务的完整域名对应的数字证书的扩展字段中携带的NF被依赖的服务名列表中是否包含NF的服务名。

在一种可能的设计中，NRF接收NF发送的查询目标服务的地址的查询请求之前，还包括：NRF接收NF发送的第一服务注册请求，第一服务注册请求中包括第一服务的完整域名和第一服务地址，第一服务的完整域名为NF的服务名和NF的管理域名组成的域名，NRF根据第一服务的完整域名和NF的数字证书的扩展字段中携带的NF的服务名进行服务注册。

通过该实施方式提供的方法，实现了NF服务的注册。

在一种可能的设计中，NRF根据第一服务的完整域名和NF的数字证书的扩展字段中携带的NF的服务名进行服务注册，包括：NRF验证第一服务的完整域名中的NF的服务名是否与数字证书的扩展字段中携带的NF的服务名相同，若是，则注册成功，并保存第一服务的完整域名、第一服务地址与数字证书的扩展字段中携带的NF所依赖的服务名列表、NF被依赖的服务名列表的对应关系。

在一种可能的设计中，NF的管理域名是管理网元请求平台即服务PaaS部署网络切片中的NF的过程中，管理网元根据网络切片标识动态生成，由PaaS在NF的镜像中注入的，NF的数字证书是管理网元请求PaaS部署网络切片中的NF的过程中在NF的镜像中注入的。

在一种可能的设计中，NF的管理域名和NF的数字证书是在NF启动之后配置的。

第二方面，本申请提供一种NF服务的发现方法，包括：NF获取NF的管理域名和NF的数字证书，NF的数字证书中携带NF的服务名、NF所依赖的服务名列表和NF被依赖的服务名列表，NF的管理域名包含网络切片标识与网络切片所属的网络的标识，NF与NRF建立通信连接，并通过安全传输层协议TLS或数据安全传输层协议DTLS双向认证过程向NRF发送NF的数字证书，NF向NRF发送查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名，目标服务的完整域名为目标服务的服务名和NF的管理域名组成的域名，或者，目标服务的完整域名为目标服务的服务名和NF查询到的目标服务所在的NF的管理域名组成的域名，用于NRF根据目标服务的服务名与NF的数字证书进行验证。

通过第二方面提供的NF服务的发现方法，实现了NF服务之间的发现，而且，在NF服务的发现过程中，目标服务的服务名是NF已知的，若是网络切片内的服务发现，NF在发送查询请求时将目标服务的服务名和自身的管理域名组成目标服务的完整域名进行查询，若是不同网络切片之间的服务发现，NF在发送查询请求时将目标服务的服务名和NF查询到的目标服务所在的NF的管理域名组成目标服务的完整域名进行查询，NF的管理域名包含网络切片标识与网络切片所属的网络的标识，而网络切片标识通过管理网元管理，因此可实现NF和网络切片解耦，另一方面，将不同服务之间的依赖关系放置在服务的数字证书的扩展字段中，数字证书的扩展字段中只会涉及到NF的服务名，不会涉及到NF的管理域名，因此可保证不会因为有动态部署的切片导致所有服务的数字证书需要更新，实现NF和服务安全机制解耦，网络切片和服务安全机制可以兼容已有的TLS/DNS标准机制，现有NF无需改造即可接入系统，不论NF如何动态部署，现有的NF不受影响。

在一种可能的设计中，NF向NRF发送查询目标服务的地址的查询请求之前，还包括：NF根据目标服务的服务名和NF的管理域名组成目标服务的完整域名。

在一种可能的设计中，NF向NRF发送查询目标服务的地址的查询请求之前，还包括：NF向管理网元发送查询目标服务所在的NF的管理域名的查询请求，查询请求中携带目标服务的服务名，NF接收到管理网元发送的目标服务所在的NF的管理域名后，根据目标服务的服务名和目标服务所在的NF的管理域名组成目标服务的完整域名。

在一种可能的设计中，还包括：NF接收NRF在验证通过时发送的目标服务的地址。

在一种可能的设计中，NF向NRF发送查询目标服务的地址的查询请求之前，还包括：NF根据NF的服务名和NF的管理域名组成第一服务的完整域名，并向NRF发送第一服务注册请求，第一服务注册请求中包括第一服务的完整域名和第一服务地址，用于NRF根据第一服务的完整域名和NF的数字证书的扩展字段中携带的NF的服务名进行服务注册。

通过该实施方式提供的方法，实现了NF服务的注册。

第三方面，本申请提供一种NRF，包括：获取模块，用于与NF建立通信连接后，通过安全传输层协议TLS或数据安全传输层协议DTLS双向认证过程获取NF的数字证书，NF的数字证书中携带NF的服务名、NF所依赖的服务名列表和NF被依赖的服务名列表；接收模块，用于接收NF发送的查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名，目标服务的完整域名为目标服务的服务名和NF的管理域名组成的域名，或者，目标服务的完整域名为目标服务的服务名和NF查询到的目标服务所在的NF的管理域名组成的域名，NF的管理域名包含网络切片标识与网络切片所属的网络的标识；验证模块，用于根据目标服务的服务名与NF的数字证书进行验证，验证通过时向NF发送目标服务的地址。

在一种可能的设计中，验证模块用于：验证目标服务的服务名是否在NF的数字证书的扩展字段中携带的NF所依赖的服务名列表中，已注册保存的目标服务的完整域名对应的数字证书的扩展字段中携带的NF被依赖的服务名列表中是否包含NF的服务名。

在一种可能的设计中，接收模块还用于：在接收NF发送的查询目标服务的地址的查询请求之前，接收NF发送的第一服务注册请求，第一服务注册请求中包括第一服务的完整域名和第一服务地址，第一服务的完整域名为NF的服务名和NF的管理域名组成的域名；NRF还包括：注册模块，用于根据第一服务的完整域名和NF的数字证书的扩展字段中携带的NF的服务名进行服务注册。

在一种可能的设计中，注册模块用于：验证第一服务的完整域名中的NF的服务名是否与数字证书的扩展字段中携带的NF的服务名相同，若是，则注册成功，并保存第一服务的完整域名、第一服务地址与数字证书的扩展字段中携带的NF所依赖的服务名列表、NF被依赖的服务名列表的对应关系。

上述第三方面以及上述第三方面的各可能的设计中所提供的NRF，其有益效果可以参见上述第一方面和第一方面的各可能的设计中所带来的有益效果，在此不再赘述。

第四方面，本申请提供一种NF，包括：获取模块，用于获取NF的管理域名和NF的数字证书，NF的数字证书中携带NF的服务名、NF所依赖的服务名列表和NF被依赖的服务名列表，NF的管理域名包含网络切片标识与网络切片所属的网络的标识；第一发送模块，用于与NRF建立通信连接，并通过安全传输层协议TLS或数据安全传输层协议DTLS双向认证过程向NRF发送NF的数字证书；查询模块，用于向NRF发送查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名，目标服务的完整域名为目标服务的服务名和NF的管理域名组成的域名，或者，目标服务的完整域名为目标服务的服务名和NF查询到的目标服务所在的NF的管理域名组成的域名，用于NRF根据目标服务的服务名与NF的数字证书进行验证。

在一种可能的设计中，查询模块还用于：向NRF发送查询目标服务的地址的查询请求之前，根据目标服务的服务名和NF的管理域名组成目标服务的完整域名。

在一种可能的设计中，查询模块还用于：向NRF发送查询目标服务的地址的查询请求之前，向管理网元发送查询目标服务所在的NF的管理域名的查询请求，查询请求中携带目标服务的服务名；接收到管理网元发送的目标服务所在的NF的管理域名后，根据目标服务的服务名和目标服务所在的NF的管理域名组成目标服务的完整域名。

在一种可能的设计中，还包括：接收模块，用于接收NRF在验证通过时发送的目标服务的地址。

在一种可能的设计中，查询模块还用于：向NRF发送查询目标服务的地址的查询请求之前，根据NF的服务名和NF的管理域名组成第一服务的完整域名，并向NRF发送第一服务注册请求，第一服务注册请求中包括第一服务的完整域名和第一服务地址，用于NRF根据第一服务的完整域名和NF的数字证书的扩展字段中携带的NF的服务名进行服务注册。

上述第四方面以及上述第四方面的各可能的设计中所提供的NRF，其有益效果可以参见上述第二方面和第二方面的各可能的设计中所带来的有益效果，在此不再赘述。

第五方面，本申请提供一种NRF，包括：存储器和处理器；

存储器用于存储程序指令；

处理器用于调用存储器中的程序指令执行第一方面及第一方面任一种可能的设计中的NF服务的发现方法。

第六方面，本申请提供一种NF，包括：存储器和处理器；

存储器用于存储程序指令；

处理器用于调用存储器中的程序指令执行第二方面及第二方面任一种可能的设计中的NF服务的发现方法。

第七方面，本申请提供一种可读存储介质，可读存储介质中存储有计算机程序，当NF服务的发现设备的至少一个处理器执行该计算机程序时，NF服务的发现设备执行第一方面及第一方面任一种可能的设计中的方法或者第二方面及第二方面任一种可能的设计中的NF服务的发现方法。

第八方面，本申请提供一种程序产品，该程序产品包括计算机程序，该计算机程序存储在可读存储介质中。NF服务的发现设备的至少一个处理器可以从可读存储介质读取该计算机程序，至少一个处理器执行该计算机程序使得NF服务的发现设备实施第一方面及第一方面任一种可能的设计中的方法或者第二方面及第二方面任一种可能的设计中的NF服务的发现方法。

附图说明

图1为一种PLMN的网络切片及不同网络切片的NF的分布示意图；

图2为本申请提供的一种可能的网络架构示意图；

图3为本申请提供的一种NF服务的发现方法实施例的流程图；

图4为客户订购切片、数字证书生成、网络切片中的NF部署及服务注册与服务发现的流程示意图；

图5为与图4对应的交互流程图；

图6为本申请提供的一种NF服务的注册方法实施例的流程图；

图7为本申请提供的一种NF服务的发现方法实施例的流程图；

图8为本申请提供的一种NF服务的发现方法实施例的流程图；

图9为本申请提供的一种NRF实施例的结构示意图；

图10为本申请提供的一种NRF实施例的结构示意图；

图11为本申请提供的一种NF实施例的结构示意图；

图12为本申请提供的一种NF实施例的结构示意图；

图13为本申请提供的一种NRF示意图；

图14为本申请提供的一种NF示意图。

具体实施方式

本申请描述的网络架构以及业务场景是为了更加清楚的说明本申请的技术方案，并不构成对本申请提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请提供的技术方案对于类似的技术问题，同样适用。

网络切片是指支持特定通信业务需求的逻辑网络功能实例的集合，主要借助软件定义网络(Software Defined Network，SDN)技术与网络功能虚拟化(Network Function Virtualization，NFV)技术。NFV技术可实现底层物理资源到虚拟化资源的映射、构建虚拟机和加载NF；SDN技术可实现虚拟机之间的逻辑连接、构建承载信令和数据流的通路。网路切片最终实现接入网(Residential Access Network，RAN)与核心网的NF实例之间的动态连接，配置端到端的业务链，实现灵活组网，从而实现网络可定制化的服务。运营商可以根据各个具体通信业务对容量、覆盖、速率、时延以及可靠性等关键性能指标的需求确定网络切片，网络切片包括NF实例集合和运行这些NF实例所需的网络资源，从而为用户提供所需的电信服务业务和网络能力服务，满足特定的市场场景以及需求。

需要说明的是，每个网络切片包含一组特定功能的NF，一个NF由至少一个服务组成，每个NF都是服务提供者，提供应用程序编程接口(Application Programming Interface，API)供其他NF调用；同时每个NF也都是服务消费者，它们也调用其他NF的API。每个服务提供者都需要在NRF上注册信息(包括服务的地址)，调用NRF注册接口的时候就是服务注册者，调用NRF服务发现接口时就是服务发现者。NF之间的发现，即就是服务消费者要能够查询到服务提供者的注册信息(如服务的地址)。

本申请提供的技术方案可以应用于5G通信系统或者LTE系统等移动通信系统，主要应用于以NF为中心的服务化网络架构下，位于不同网络切片或者同一网络切片的NF之间能够发现的场景。

图2为本申请提供的一种可能的网络架构示意图，如图2所示为核心网的网络架构，图2中的网络开放功能(Network Exposure Function，NEF)、策略控制功能(Policy Control Function，PCF)、统一数据管理(Unified Data Management，UDM)、应用功能(Application Function，AF)、鉴权服务器功能(Authentication Server Function，AUSF)、接入与移动性管理功能(Access and Mobility Management Function，AMF)、会话管理功能(Session Managent Function，SMF)、用户面功能(User Plan Function，UPF)均是不同的NF，NRF为所有的NF提供服务的注册和服务的发现功能，NF可以在NRF上注册一个或者多个服务的地址。所有NF位于全互通的网络拓扑中，以实现具体服务之间物理部署位置解耦。N1、N2、N3、N4和N6为各网元之间的接口。各个NF的API包括：AMF服务化接口(Service-based interface exhibited by AMF，Namf)、SMF服务化接口(Service-based interface exhibited by SMF，Nsmf)、NEF服务化接口(Service-based interface exhibited by NEF，Nnef)、NRF服务化接口(Service-based interface exhibited by NRF，Nnrf)、PCF服务化接口(Service-based interface exhibited by PCF，Npcf)、UDM服务化接口(Service-based interface exhibited by UDM，Nudm)、AUSF服务化接口(Service-based interface exhibited by AUSF，Nausf)、AF服务化接口(Service-based interface exhibited by AF，Naf)。

本申请提供一种NF服务的发现方法及设备，可实现位于不同网络切片或同一网络切片的NF服务之间能够发现，服务消费者能够查询到服务提供者的注册信息，如服务地址，本申请中，一方面，通过将网络切片标识嵌入服务的完整域名，服务的完整域名由NF的服务名和NF的管理域名组成，NF的管理域名包含网络切片标识与网络切片所属的网络的标识，管理网元管理NF的管理域名，即管理网元管理网络切片标识，可实现NF和网络切片解耦，所谓解耦就是NF不因为要部署新的网络切片都改变实现。另一方面，在服务化网络架构中，服务之间是一个扁平的、全互通的简化物理拓扑，服务之间的业务通信一定需要安全保障，服务安全机制是必须的，一般通过底层采用安全传输层协议(Transport Layer Security，TLS)或者数据安全传输层协议(Data Transport Layer Security，DTLS)的安全通道，NF与NRF建立通信连接后，NF与NRF之间通过TLS或DTLS双向认证过程进行认证以满足安全性的要求，在TLS双向认证过程中，NF会将自身的数字证书发送给NRF。本申请中，将NF服务发现的安全规则放置在服务的数字证书的扩展字段中，安全规则为不同服务之间的依赖关系，数字证书的扩展字段中只会涉及到NF的服务名(如<NF service>.<NF name>)，不会涉及到NF的管理域名(如<Slice id>.<PLMN>)，因此可保证不会因为有动态部署的切片导致所有服务的数字证书需要更新，实现NF和服务安全机制解耦，网络切片和服务安全机制可以兼容已有的TLS/域名系统(DomainNameSystem，DNS)标准机制，现有NF无需改造即可接入系统。下面结合附图详细说明本申请的技术方案。

图3为本申请提供的一种NF服务的发现方法实施例的流程图，如图3所示，本实施例的方法可以包括：

S101、NF获取所述NF的管理域名和所述NF的数字证书，NF的数字证书的扩展字段中携带所述NF的服务名、所述NF所依赖的服务名列表和所述NF被依赖的服务名列表，NF的管理域名包含网络切片标识与网络切片所属的网络的标识。

其中，NF的管理域名例如为<Slice id>.<PLMN>，Slice id为网络切片标识，PLMN为网络切片所属的网络的标识。具体地，NF获取自身的管理域名和自身的数字证书以及为该NF提供服务的注册和服务的发现功能的NRF的地址，一般地，一个NRF管理同一个网络切片中的NF，或者，一个NRF管理多个不同网络切片中的NF。其中，可选的，NF的管理域名、NF的数字证书和NRF的地址这三个信息可以是在部署网络切片中的NF的过程中镜像注入并存储在磁盘文件中的，具体地，NF的管理域名是管理网元请求平台即服务(Platform-as-a-Service，PaaS)部署网络切片中的NF的过程中，所述管理网元根据网络切片标识动态生成，由所述PaaS在NF的镜像中注入的，所述NF的数字证书和所述NRF的地址是所述管理网元请求PaaS部署网络切片中的NF的过程中在NF的镜像中注入的，此时NF可通过读取系统命名服务器(nameserver)配置文件(磁盘文件)获取这三个信息，其中的管理网元可以是网络切片管理功能(Network slice management function，NSMF)或者运维支撑系统(Operation Support Systems，OSS)。可选的，这三个信息还可以是在NF启动之后配置的，NF通过读取配置文件获取这三个信息。

其中，NF的数字证书和NF的类型一一对应，同一类型的NF的数字证书相同，同一类NF的多个实例使用的是同一个数字证书。所述NF所依赖的服务名列表可以包含一个服务名或多个服务名，所述NF被依赖的服务名列表可以包含一个服务名或多个服务名。

其中，NF所依赖的服务名列表是指此NF作为服务消费者需要通过NRF查询服务地址的目标服务名列表，NF被依赖的服务名列表是指此NF作为服务提供者注册到NRF的服务地址可以被服务消费者获取到的所有服务消费者的服务名列表。

S102、NF与NRF建立通信连接，并通过TLS或DTLS双向认证过程向NRF发送所述NF的数字证书。

其中，NF根据NRF的地址与NRF建立通信连接，TLS或DTLS双向认证过程可由NF或NRF任一方发起，以TLS双向认证过程中NF发起为例，NF向NRF发送TLS握手消息，NRF接收到TLS握手消息后，向NF发送TLS握手消息，指示进行客户端认证，接着NF向NRF发送自身的数字证书。TLS或DTLS双向认证过程为现有的安全认证过程，详细过程此处不再赘述。

S103、NF向NRF发送查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名，目标服务的完整域名为目标服务的服务名和所述NF的管理域名组成的域名，或者，目标服务的完整域名为目标服务的服务名和所述NF查询到的目标服务所在的NF的管理域名组成的域名。

可选的，在S103之前，还可以包括：NF根据目标服务的服务名和所述NF的管理域名组成目标服务的完整域名。

其中，目标服务的服务名例如为<NF service name>.<NF name>(目标服务所在的NF有多个服务)，目标服务的完整域名则为<NF service name>.<NF name>.<Slice id>.<PLMN>，或者目标服务的服务名例如为<NF name>(目标服务所在的NF只有目标服务一个服务)，目标服务的完整域名则为<NF name>.<Slice id>.<PLMN>。

其中，目标服务的完整域名为目标服务的服务名和NF的管理域名组成的域名，此时NF与目标服务所在的NF属于同一网络切片。目标服务的完整域名为目标服务的服务名和所述NF查询到的目标服务所在的NF的管理域名组成的域名，此时NF与目标服务所在的NF属于不同的网络切片。

NF与目标服务所在的NF属于不同的网络切片时，也就是不同网络切片之间的服务发现时，进一步地，S103之前，还可以包括：

NF向管理网元发送查询目标服务所在的NF的管理域名的查询请求，查询请求中携带目标服务的服务名。

其中，查询请求中可携带目标服务的服务名，如<NF service name>.<NF 1 name>，管理网元根据目标服务的服务名可以查询到目标服务所在的NF为NF1，可以查询到NF1所在的目标网络切片，就可以查询到目标服务所在的NF的管理域名。管理网元例如为NSMF。

NF接收到管理网元发送的目标服务所在的NF的管理域名后，根据目标服务的服务名和目标服务所在的NF的管理域名组成目标服务的完整域名。

S104、NRF根据目标服务的服务名与所述NF的数字证书进行验证，验证通过时向所述NF发送目标服务的地址。

进一步地，验证不通过时，NRF向所述NF发送查询失败的消息。

可选的，S104中NRF根据目标服务的服务名与所述NF的数字证书进行验证，具体可以包括：

NRF验证目标服务的服务名是否在所述NF的数字证书的扩展字段中携带的所述NF所依赖的服务名列表中，已注册保存的目标服务的完整域名对应的数字证书的扩展字段中携带的NF被依赖的服务名列表中是否包含所述NF的服务名，若是，则验证通过，若否，则验证不通过。

例如：NF1的数字证书的扩展字段中携带如下内容：NF的服务名＝*.NF1，NF1所依赖的服务名＝*.NF2，NF1被依赖的服务名＝*.NF3；NF2的数字证书的扩展字段中携带如下内容：NF的服务名＝*.NF2，NF2所依赖的服务名＝*.NF4，NF2被依赖的服务名＝*.NF1；NF3的数字证书的扩展字段中携带如下内容：NF的服务名＝*.NF3，NF3所依赖的服务名＝*.NF2，NF3被依赖的服务名＝*.NF4。

则NF1可以查询到NF2注册的服务地址；NF1查询NF3的服务地址的时候会被NRF拒绝，因为NF1的数字证书中所依赖的服务名并未包含NF3；NF3查询NF2的服务地址也会被NRF拒绝，因为NF2的数字证书中被依赖的服务名并未包含NF3。

上述过程为NF服务的发现过程，可以理解，在NF服务之间的发现之前，需要注册，NF可在NRF上注册一个或者多个服务的地址。在图3所示实施例的基础上，进一步地，在S103之前，还可以包括：

NF根据所述NF的服务名和所述NF的管理域名组成第一服务的完整域名，并向NRF发送第一服务注册请求，第一服务注册请求中包括第一服务的完整域名和第一服务地址。其中，第一服务地址可以是IP地址也可以是URL地址，

NRF接收到第一服务注册请求后，根据第一服务的完整域名和所述NF的数字证书的扩展字段中携带的所述NF的服务名进行服务注册。

具体地，NRF验证第一服务的完整域名中的所述NF的服务名是否与所述数字证书的扩展字段中携带的所述NF的服务名相同，若是，则注册成功，并保存第一服务的完整域名、第一服务地址与所述数字证书的扩展字段中携带的所述NF所依赖的服务名列表、所述NF被依赖的服务名列表的对应关系；若否，则注册失败。注册成功时，例如保存的对应关系如下表一所示：

表一

本实施例提供的NF服务的发现方法，通过NF获取自身的管理域名和自身的数字证书，接着与NRF建立通信连接，并通过TLS或DTLS双向认证过程向NRF发送所述NF的数字证书，NF向NRF发送查询目标服务的地址的查询请求，查询请求中携带由目标服务的服务名和NF的管理域名组成的目标服务的完整域名，最后NRF根据目标服务的服务名与所述NF的数字证书进行验证，验证通过时向所述NF发送目标服务的地址。从而实现了NF服务之间的发现，而且，在NF服务的发现过程中，目标服务的服务名是NF已知的，若是网络切片内的服务发现，NF在发送查询请求时将目标服务的服务名和自身的管理域名组成目标服务的完整域名进行查询，若是不同网络切片之间的服务发现，NF在发送查询请求时将目标服务的服务名和NF查询到的目标服务所在的NF的管理域名组成目标服务的完整域名进行查询，NF的管理域名包含网络切片标识与网络切片所属的网络的标识，而网络切片标识通过管理网元管理，因此可实现NF和网络切片解耦，另一方面，将不同服务之间的依赖关系放置在服务的数字证书的扩展字段中，数字证书的扩展字段中只会涉及到NF的服务名，不会涉及到NF的管理域名，因此可保证不会因为有动态部署的切片导致所有服务的数字证书需要更新，实现NF和服务安全机制解耦，网络切片和服务安全机制可以兼容已有的TLS/DNS标准机制，现有NF无需改造即可接入系统，不论NF如何动态部署，现有的NF不受影响。

下面采用几个具体的实施例，对图3所示方法实施例的技术方案进行详细说明。

下面以NF的管理域名、NF的数字证书和NRF的地址这三个信息是在部署网络切片中的NF的过程中镜像注入的为例进行说明，详细说明服务部署过程、服务注册过程和服务发现过程。图4为客户订购切片、数字证书生成、网络切片中的NF部署及服务注册与服务发现的流程示意图，如图4所示，包括：

S201、客户向NSMF发送订购网络切片的请求。

S202、NSMF接收到请求后，向数字证书签发机构(Certificate Authority，CA)申请数字证书。

S203、NSMF向PaaS发送部署请求。

S204、PaaS进行镜像注入过程，启动镜像。

S205、NF在NRF上进行服务注册与服务发现。

图5为与图4对应的交互流程图，如图5所示，包括：

S301、客户向NSMF发送订购网络切片请求。

S302、NSMF接收到请求后，根据网络切片标识(ID)生成动态的管理域名<Slice id>.<PLMN>。

S303、NSMF根据网络切片设计，获取该网络切片ID对应的网络切片内所有NF的镜像地址。

S304、向CA申请每类NF的数字证书。

其中，NF的数字证书和NF的类型一一对应，同一类型的NF的数字证书相同，同一类NF的多个实例使用的是同一个数字证书。

S305、NSMF在每个NF的镜像描述文件中定义需注入的内容，包括：动态生成的管理域名、NF的数字证书和NRF的IP地址。

S306、NSMF向PaaS发送部署请求，部署请求中携带NF的镜像地址和NF的镜像描述文件。

S307、PaaS根据NF的镜像地址获取镜像，根据NF的镜像描述文件申请虚拟资源，根据NF的镜像描述文件实施内容注入。

S308、PaaS启动镜像。

S309、NF进行业务处理，在NRF上进行服务注册与服务发现。

其中，镜像注入技术是所有云平台提供的基本功能，就是在启动镜像前就可以修改镜像中指定目录的文件内容，当然也可以在指定目录下增加某个文件。

接下来是服务注册过程，图6为本申请提供的一种NF服务的注册方法实施例的流程图，如图6所示，本实施例的方法包括：

S401、NF获取所述NF的管理域名、所述NF的数字证书和NRF的地址，NF的数字证书的扩展字段中携带所述NF的服务名、所述NF所依赖的服务名列表和所述NF被依赖的服务名列表，NF的管理域名包含网络切片标识与网络切片所属的网络的标识。

具体地，NF通过读取系统命名服务器(nameserver)配置文件(即就是NSMF镜像注入的文件)获取所述NF的管理域名、所述NF的数字证书和NRF的地址这三个信息。

S402、NF根据NRF的地址与NRF建立通信连接，并通过TLS或DTLS双向认证过程向NRF发送所述NF的数字证书。

S403、NF根据所述NF的服务名和所述NF的管理域名组成第一服务的完整域名。

S404、NF向NRF发送第一服务注册请求，第一服务注册请求中包括第一服务的完整域名和第一服务地址。

S405、NRF接收到第一服务注册请求后，根据第一服务的完整域名和所述NF的数字证书的扩展字段中携带的所述NF的服务名进行服务注册。

具体的注册过程可参见图3所示实施例中相同部分的描述，此处不再赘述。

接下来是服务发现过程，图7为本申请提供的一种NF服务的发现方法实施例的流程图，本实施例中以位于同一网络切片的NF服务之间的发现为例，如图7所示，本实施例的方法包括：

S501ˉS502的过程与图6所示的S401ˉS402的过程相同，此处不再赘述。

S503、NF向NRF发送查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名，目标服务的完整域名为目标服务的服务名和所述NF的管理域名组成的域名。

S504、NRF根据目标服务的服务名与所述NF的数字证书进行验证。

S505、NRF在验证通过时向NF发送目标服务的地址，验证不通过时向NF发送查询失败的消息。

具体地，NRF验证目标服务的服务名是否在所述NF的数字证书的扩展字段中携带的所述NF所依赖的服务名列表中，已注册保存的目标服务的完整域名对应的数字证书的扩展字段中携带的NF被依赖的服务名列表中是否包含所述NF的服务名，若是，则验证通过，若否，则验证不通过。

需要说明的是，因为NRF配置为NF的命名服务器(nameserver)地址，因此是支持通过DNS协议实现服务发现，为了安全要求基于TLS的DNS消息交互，对于非TLS的DNS消息，除非注册的服务端的数字证书中说明本服务提供者可以被任何服务消费者获取地址，否则返回查找失败。

本实施例中，通过NF获取自身的管理域名、自身的数字证书和为该NF提供服务的注册和服务的发现功能的NRF的地址，接着根据NRF的地址与NRF建立通信连接，并通过TLS或DTLS双向认证过程向NRF发送所述NF的数字证书，NF向NRF发送查询目标服务的地址的查询请求，查询请求中携带由目标服务的服务名和NF自身的管理域名组成的目标服务的完整域名，最后NRF根据目标服务的服务名与所述NF的数字证书进行验证，验证通过时向所述NF发送目标服务的地址。从而实现了位于同一网络切片的NF服务之间的发现，且NF和网络切片解耦，NF和服务安全机制解耦。

图8为本申请提供的一种NF服务的发现方法实施例的流程图，本实施例中以位于不同网络切片的NF服务之间的发现为例，管理网元为NSMF，如图8所示，本实施例的方法包括：

S601ˉS602的过程与图6所示的S401ˉS402的过程相同，此处不再赘述。

NF服务消费者是多网络切片共享的，需要发现多个网络切片的服务，则先通过管理渠道，例如从NSMF获取每个网络切片的管理域名，也就是上文所述的NF的管理域名，如<Slice id>.<PLMN>，然后和需要发现的服务的服务名组合为一个完整域名到NRF获取服务地址，如下S603ˉS604所执行的步骤。

S603、NF向NSMF发送查询目标服务所在的NF的管理域名的查询请求，查询请求中携带目标服务的服务名。

S604、NF接收到NSMF发送的目标服务所在的NF的管理域名后，根据目标服务的服务名和目标服务所在的NF的管理域名组成目标服务的完整域名。

S605、NF向NRF发送查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名。

一个NRF管理同一个网络切片中的NF时，也就是服务消费者和服务发现者可能位于不同的管理域，此时方法还包括：

S606、NRF查询目标服务所属的NRF的地址，向NF发送查询到的目标服务所属的NRF的地址。

需要说明的是，因为服务消费者和服务发现者可能位于不同的管理域，这两个管理域可能是一个NRF也有可能是两个不同的NRF，如果是两个不同的NRF，那么就和DNS的迭代查询流程类似，经过多次迭代查询，最终会和目标服务的管理域的NRF建立安全通道，进行服务发现。最终NF和其他管理域的NRF的发现过程同网络切片内的服务发现过程是一致的。

S607、NF根据目标服务所属的NRF的地址与目标服务所属的NRF建立通信连接，并通过TLS或DTLS双向认证过程向NRF发送所述NF的数字证书。

S608、目标服务所属的NRF根据目标服务的服务名与所述NF的数字证书进行验证。

S609、目标服务所属的NRF在验证通过时向所述NF发送目标服务的地址，验证不通过时向所述NF发送查询失败的消息。

具体地，NRF验证目标服务的服务名是否在所述NF的数字证书的扩展字段中携带的所述 NF所依赖的服务名列表中，已注册保存的目标服务的完整域名对应的数字证书的扩展字段中携带的NF被依赖的服务名列表中是否包含所述NF的服务名，若是，则验证通过，若否，则验证不通过。

本实施例中，通过NF获取自身的管理域名和自身的数字证书，接着与NRF建立通信连接，并通过TLS或DTLS双向认证过程向NRF发送所述NF的数字证书，NF向NSMF发送查询目标服务所在的NF的管理域名的查询请求，NF接收到NSMF发送的目标服务所在的NF的管理域名后，根据目标服务的服务名和目标服务所在的NF的管理域名组成目标服务的完整域名。NF向NRF发送查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名，最后NRF根据目标服务的服务名与所述NF的数字证书进行验证，验证通过时向所述NF发送目标服务的地址。从而实现了位于不同网络切片的NF服务之间的发现，且NF和网络切片解耦，NF和服务安全机制解耦。

本申请可以根据上述方法示例对NF服务的发现设备(NF或NRF)进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请各实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图9为本申请提供的一种NRF实施例的结构示意图，如图9所示，本实施例的NRF可以包括：获取模块11、接收模块12和验证模块13，其中，获取模块11用于与NF建立通信连接后，通过TLS或DTLS双向认证过程获取NF的数字证书，NF的数字证书中携带NF的服务名、NF所依赖的服务名列表和NF被依赖的服务名列表。接收模块12用于接收NF发送的查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名，目标服务的完整域名为目标服务的服务名和NF的管理域名组成的域名，或者，目标服务的完整域名为目标服务的服务名和NF查询到的目标服务所在的NF的管理域名组成的域名，NF的管理域名包含网络切片标识与网络切片所属的网络的标识。验证模块13用于根据目标服务的服务名与NF的数字证书进行验证，验证通过时向NF发送目标服务的地址。

可选的，验证模块13用于：验证目标服务的服务名是否在NF的数字证书的扩展字段中携带的NF所依赖的服务名列表中，已注册保存的目标服务的完整域名对应的数字证书的扩展字段中携带的NF被依赖的服务名列表中是否包含NF的服务名。

本实施例的装置，可以用于执行图3、图7或图8所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图10为本申请提供的一种NRF实施例的结构示意图，如图10所示，在图9所示NRF的基础上，进一步地，本实施例的NRF还可以包括：注册模块14，其中，接收模块12还用于：在接收NF发送的查询目标服务的地址的查询请求之前，接收NF发送的第一服务注册请求，第一服务注册请求中包括第一服务的完整域名和第一服务地址，第一服务的完整域名为NF的服务名和NF的管理域名组成的域名。注册模块14用于根据第一服务的完整域名和NF的数字证书的扩展字段中携带的NF的服务名进行服务注册。

可选的，注册模块14用于：验证第一服务的完整域名中的NF的服务名是否与数字证书的扩展字段中携带的NF的服务名相同，若是，则注册成功，并保存第一服务的完整域名、第一服务地址与数字证书的扩展字段中携带的NF所依赖的服务名列表、NF被依赖的服务名列表的对应关系。

其中，可选的，述NF的管理域名是管理网元请求平台即服务PaaS部署网络切片中的NF的过程中，管理网元根据网络切片标识动态生成，由PaaS在NF的镜像中注入的，NF的数字证书是管理网元请求PaaS部署网络切片中的NF的过程中在NF的镜像中注入的。

可选的，NF的管理域名和NF的数字证书是在NF启动之后配置的。

本实施例的装置，可以用于执行图6所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图11为本申请提供的一种NF实施例的结构示意图，如图11所示，本实施例的NF可以包括：获取模块21、第一发送模块22和查询模块23，获取模块21用于获取NF的管理域名和NF的数字证书，NF的数字证书中携带NF的服务名、NF所依赖的服务名列表和NF被依赖的服务名列表，NF的管理域名包含网络切片标识与网络切片所属的网络的标识。第一发送模块22用于与NRF建立通信连接，并通过安全传输层协议TLS或数据安全传输层协议DTLS双向认证过程向NRF发送NF的数字证书。查询模块23用于向NRF发送查询目标服务的地址的查询请求，查询请求中携带目标服务的完整域名，目标服务的完整域名为目标服务的服务名和NF的管理域名组成的域名，或者，目标服务的完整域名为目标服务的服务名和NF查询到的目标服务所在的NF的管理域名组成的域名，用于NRF根据目标服务的服务名与NF的数字证书进行验证。

可选的，查询模块23还用于：向NRF发送查询目标服务的地址的查询请求之前，根据目标服务的服务名和NF的管理域名组成目标服务的完整域名。

可选的，查询模块23还用于：向NRF发送查询目标服务的地址的查询请求之前，向管理网元发送查询目标服务所在的NF的管理域名的查询请求，查询请求中携带目标服务的服务名，接收到管理网元发送的目标服务所在的NF的管理域名后，根据目标服务的服务名和目标服务所在的NF的管理域名组成目标服务的完整域名。

图12为本申请提供的一种NF实施例的结构示意图，如图12所示，在图11所示NF的基础上，进一步地，本实施例的NF还可以包括：接收模块24，接收模块24用于接收NRF在验证通过时发送的目标服务的地址。

可选的，查询模块23还用于：向NRF发送查询目标服务的地址的查询请求之前，根据NF的服务名和NF的管理域名组成第一服务的完整域名，并向NRF发送第一服务注册请求，第一服务注册请求中包括第一服务的完整域名和第一服务地址，用于NRF根据第一服务的完整域名和NF的数字证书的扩展字段中携带的NF的服务名进行服务注册。

图13为本申请提供的一种NRF示意图，该NRF1100包括：

存储器1103，用于存储程序指令，该存储器还可以是flash(闪存)。

处理器1102，用于调用并执行存储器中的程序指令，以实现图3、图6、图7或图8所示的方法中的各个步骤。具体可以参见前面方法实施例中的相关描述。

可选地，存储器1103既可以是独立的，也可以跟处理器1102集成在一起。

当存储器1103是独立于处理器1102之外的器件时，装置1100还可以包括：

总线1104，用于连接存储器1103和处理器1102。

该装置可以用于执行上述方法实施例中NRF对应的各个步骤和/或流程。

图14为本申请提供的一种NF示意图，该NF1200包括：

存储器1203，用于存储程序指令，该存储器还可以是flash(闪存)。

处理器1202，用于调用并执行存储器中的程序指令，以实现图3、图6、图7或图8所示的方法中的各个步骤。具体可以参见前面方法实施例中的相关描述。

可选地，存储器1203既可以是独立的，也可以跟处理器1202集成在一起。

当存储器1203是独立于处理器1202之外的器件时，装置1200还可以包括：

总线1204，用于连接存储器1203和处理器1202。

该NF可以用于执行上述方法实施例中NF对应的各个步骤和/或流程。

本申请还提供一种可读存储介质，可读存储介质中存储有计算机程序，当NF服务的发现设备(NRF或NF)的至少一个处理器执行该计算机程序时，NF服务的发现设备执行上述的各种实施方式提供的NF服务的发现方法。

本申请还提供一种程序产品，该程序产品包括计算机程序，该计算机程序存储在可读存储介质中。NF服务的发现设备的至少一个处理器可以从可读存储介质读取该计算机程序，至少一个处理器执行该计算机程序使得NF服务的发现设备实施上述的各种实施方式提供的NF服务的发现方法。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

Claims

一种网络功能NF服务的发现方法，其特征在于，包括：

网络功能仓储功能NRF与NF建立通信连接后，通过安全传输层协议TLS或数据安全传输层协议DTLS双向认证过程获取所述NF的数字证书，所述NF的数字证书中携带所述NF的服务名、所述NF所依赖的服务名列表和所述NF被依赖的服务名列表；

所述NRF接收所述NF发送的查询目标服务的地址的查询请求，所述查询请求中携带目标服务的完整域名，所述目标服务的完整域名为所述目标服务的服务名和所述NF的管理域名组成的域名，或者，所述目标服务的完整域名为所述目标服务的服务名和所述NF查询到的目标服务所在的NF的管理域名组成的域名，所述NF的管理域名包含网络切片标识与网络切片所属的网络的标识；

所述NRF根据所述目标服务的服务名与所述NF的数字证书进行验证，验证通过时向所述NF发送所述目标服务的地址。
根据权利要求1所述的方法，其特征在于，所述NRF根据所述目标服务的服务名与所述NF的数字证书进行验证，包括：

所述NRF验证所述目标服务的服务名是否在所述NF的数字证书的扩展字段中携带的所述NF所依赖的服务名列表中，已注册保存的所述目标服务的完整域名对应的数字证书的扩展字段中携带的NF被依赖的服务名列表中是否包含所述NF的服务名。
根据权利要求1或2所述的方法，其特征在于，所述NRF接收所述NF发送的查询目标服务的地址的查询请求之前，还包括：

所述NRF接收所述NF发送的第一服务注册请求，所述第一服务注册请求中包括第一服务的完整域名和第一服务地址，所述第一服务的完整域名为所述NF的服务名和所述NF的管理域名组成的域名；

所述NRF根据所述第一服务的完整域名和所述NF的数字证书的扩展字段中携带的所述NF的服务名进行服务注册。
根据权利要求3所述的方法，其特征在于，所述NRF根据所述第一服务的完整域名和所述NF的数字证书的扩展字段中携带的所述NF的服务名进行服务注册，包括：

所述NRF验证所述第一服务的完整域名中的所述NF的服务名是否与所述数字证书的扩展字段中携带的所述NF的服务名相同，若是，则注册成功，并保存所述第一服务的完整域名、所述第一服务地址与所述数字证书的扩展字段中携带的所述NF所依赖的服务名列表、所述NF被依赖的服务名列表的对应关系。
根据权利要求1-4任一项所述的方法，其特征在于，所述NF的管理域名是管理网元请求平台即服务PaaS部署网络切片中的NF的过程中，所述管理网元根据网络切片标识动态生成，由所述PaaS在NF的镜像中注入的，所述NF的数字证书是所述管理网元请求PaaS部署网络切片中的NF的过程中在NF的镜像中注入的。
根据权利要求1-4任一项所述的方法，其特征在于，所述NF的管理域名和所述NF的数字证书是在所述NF启动之后配置的。
一种网络功能NF服务的发现方法，其特征在于，包括：

NF获取所述NF的管理域名和所述NF的数字证书，所述NF的数字证书中携带所述NF的服务名、所述NF所依赖的服务名列表和所述NF被依赖的服务名列表，所述NF的管理域名包含网络切片标识与网络切片所属的网络的标识；

所述NF与NRF建立通信连接，并通过安全传输层协议TLS或数据安全传输层协议DTLS双向认证过程向所述NRF发送所述NF的数字证书；

所述NF向所述NRF发送查询目标服务的地址的查询请求，所述查询请求中携带目标服务的完整域名，所述目标服务的完整域名为所述目标服务的服务名和所述NF的管理域名组成的域名，或者，所述目标服务的完整域名为所述目标服务的服务名和所述NF查询到的所述目标服务所在的NF的管理域名组成的域名，用于所述NRF根据所述目标服务的服务名与所述NF的数字证书进行验证。
根据权利要求7所述的方法，其特征在于，所述NF向所述NRF发送查询所述目标服务的地址的查询请求之前，还包括：

所述NF根据所述目标服务的服务名和所述NF的管理域名组成所述目标服务的完整域名。
根据权利要求7所述的方法，其特征在于，所述NF向所述NRF发送查询所述目标服务的地址的查询请求之前，还包括：

所述NF向管理网元发送查询所述目标服务所在的NF的管理域名的查询请求，所述查询请求中携带所述目标服务的服务名；

所述NF接收到所述管理网元发送的目标服务所在的NF的管理域名后，根据所述目标服务的服务名和所述目标服务所在的NF的管理域名组成所述目标服务的完整域名。
根据权利要求7-9任一项所述的方法，其特征在于，还包括：

所述NF接收所述NRF在验证通过时发送的所述目标服务的地址。
根据权利要求7-9任一项所述的方法，其特征在于，所述NF向所述NRF发送查询所述目标服务的地址的查询请求之前，还包括：

所述NF根据所述NF的服务名和所述NF的管理域名组成第一服务的完整域名，并向所述NRF发送第一服务注册请求，所述第一服务注册请求中包括所述第一服务的完整域名和第一服务地址，用于所述NRF根据所述第一服务的完整域名和所述NF的数字证书的扩展字段中携带的所述NF的服务名进行服务注册。
根据权利要求7所述的方法，其特征在于，所述NF的管理域名是管理网元请求平台即服务PaaS部署网络切片中的NF的过程中，所述管理网元根据网络切片标识动态生成，由所述PaaS在NF的镜像中注入的，所述NF的数字证书是所述管理网元请求PaaS部署网络切片中的NF的过程中在NF的镜像中注入的。
根据权利要求7所述的方法，其特征在于，所述NF的管理域名和所述NF的数字证书是在所述NF启动之后配置的。
一种网络功能仓储功能NRF，其特征在于，包括：

获取模块，用于与NF建立通信连接后，通过安全传输层协议TLS或数据安全传输层协议DTLS双向认证过程获取所述NF的数字证书，所述NF的数字证书中携带所述NF的服务名、所述NF所依赖的服务名列表和所述NF被依赖的服务名列表；

接收模块，用于接收所述NF发送的查询目标服务的地址的查询请求，所述查询请求中携带目标服务的完整域名，所述目标服务的完整域名为所述目标服务的服务名和所述NF的管理域名组成的域名，或者，所述目标服务的完整域名为所述目标服务的服务名和所述NF查询到的目标服务所在的NF的管理域名组成的域名，所述NF的管理域名包含网络切片标识与网络切片所属的网络的标识；

验证模块，用于根据所述目标服务的服务名与所述NF的数字证书进行验证，验证通过时向所述NF发送所述目标服务的地址。
根据权利要求14所述的NRF，其特征在于，所述验证模块用于：

验证所述目标服务的服务名是否在所述NF的数字证书的扩展字段中携带的所述NF所依赖的服务名列表中，已注册保存的所述目标服务的完整域名对应的数字证书的扩展字段中携带的NF被依赖的服务名列表中是否包含所述NF的服务名。
根据权利要求14或15所述的NRF，其特征在于，所述接收模块还用于：

在接收所述NF发送的查询目标服务的地址的查询请求之前，接收所述NF发送的第一服务注册请求，所述第一服务注册请求中包括第一服务的完整域名和第一服务地址，所述第一服务的完整域名为所述NF的服务名和所述NF的管理域名组成的域名；

所述NRF还包括：

注册模块，用于根据所述第一服务的完整域名和所述NF的数字证书的扩展字段中携带的所述NF的服务名进行服务注册。
根据权利要求16所述的NRF，其特征在于，所述注册模块用于：

验证所述第一服务的完整域名中的所述NF的服务名是否与所述数字证书的扩展字段中携带的所述NF的服务名相同，若是，则注册成功，并保存所述第一服务的完整域名、所述第一服务地址与所述数字证书的扩展字段中携带的所述NF所依赖的服务名列表、所述NF被依赖的服务名列表的对应关系。
根据权利要求14-17任一项所述的NRF，其特征在于，所述NF的管理域名是管理网元请求平台即服务PaaS部署网络切片中的NF的过程中，所述管理网元根据网络切片标识动态生成，由所述PaaS在NF的镜像中注入的，所述NF的数字证书是所述管理网元请求PaaS部署网络切片中的NF的过程中在NF的镜像中注入的。
根据权利要求14-17任一项所述的NRF，其特征在于，所述NF的管理域名和所述NF的数字证书是在所述NF启动之后配置的。
一种网络功能NF，其特征在于，包括：

获取模块，用于获取所述NF的管理域名和所述NF的数字证书，所述NF的数字证书中携带所述NF的服务名、所述NF所依赖的服务名列表和所述NF被依赖的服务名列表，所述NF的管理域名包含网络切片标识与网络切片所属的网络的标识；

第一发送模块，用于与NRF建立通信连接，并通过安全传输层协议TLS或数据安全传输层协议DTLS双向认证过程向所述NRF发送所述NF的数字证书；

查询模块，用于向所述NRF发送查询目标服务的地址的查询请求，所述查询请求中携带目标服务的完整域名，所述目标服务的完整域名为所述目标服务的服务名和所述NF的管理域名组成的域名，或者，所述目标服务的完整域名为所述目标服务的服务名和所述NF查询到的所述目标服务所在的NF的管理域名组成的域名，用于所述NRF根据所述目标服务的服务名与所述NF的数字证书进行验证。
根据权利要求20所述的NF，其特征在于，所述查询模块还用于：

向所述NRF发送查询所述目标服务的地址的查询请求之前，根据所述目标服务的服务名和所述NF的管理域名组成所述目标服务的完整域名。
根据权利要求20所述的NF，其特征在于，所述查询模块还用于：

向所述NRF发送查询所述目标服务的地址的查询请求之前，向管理网元发送查询所述目标服务所在的NF的管理域名的查询请求，所述查询请求中携带所述目标服务的服务名；

接收到所述管理网元发送的目标服务所在的NF的管理域名后，根据所述目标服务的服务名和所述目标服务所在的NF的管理域名组成所述目标服务的完整域名。
根据权利要求20-22任一项所述的NF，其特征在于，还包括：

接收模块，用于接收所述NRF在验证通过时发送的所述目标服务的地址。
根据权利要求20-22任一项所述的NF，其特征在于，所述查询模块还用于：

向所述NRF发送查询所述目标服务的地址的查询请求之前，根据所述NF的服务名和所述NF的管理域名组成第一服务的完整域名，并向所述NRF发送第一服务注册请求，所述第一服务注册请求中包括所述第一服务的完整域名和第一服务地址，用于所述NRF根据所述第一服务的完整域名和所述NF的数字证书的扩展字段中携带的所述NF的服务名进行服务注册。
根据权利要求20所述的NF，其特征在于，所述NF的管理域名是管理网元请求平台即服务PaaS部署网络切片中的NF的过程中，所述管理网元根据网络切片标识动态生成，由所述PaaS在NF的镜像中注入的，所述NF的数字证书是所述管理网元请求PaaS部署网络切片中的NF的过程中在NF的镜像中注入的。
根据权利要求20所述的NF，其特征在于，所述NF的管理域名和所述NF的数字证书是在所述NF启动之后配置的。
一种网络功能仓储功能，包括：处理器和存储器；所述存储器用于存储计算机执行指令，当所述网络功能仓储功能运行时，所述处理器执行所述存储器存储的该计算机执行指令，以使所述网络功能仓储功能执行如权利要求1-6任一项所述的网络功能服务的发现方法。
一种网络功能，包括：处理器和存储器；所述存储器用于存储计算机执行指令，当所述网络功能运行时，所述处理器执行所述存储器存储的该计算机执行指令，以使所述网络功能执行如权利要求7-13任一项所述的网络功能服务的发现方法。
一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行如权利要求1-6任一项所述的网络功能服务的发现方法。
一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行如权利要求7-13任一项所述的网络功能服务的发现方法。