WO2020147663A1

WO2020147663A1 - 一种令牌处理方法及装置

Info

Publication number: WO2020147663A1
Application number: PCT/CN2020/071539
Authority: WO
Inventors: 李飞
Original assignee: 华为技术有限公司
Priority date: 2019-01-14
Filing date: 2020-01-10
Publication date: 2020-07-23
Also published as: CN111435932A; CN111435932B

Abstract

本申请实施例提供一种令牌处理方法及装置，涉及通信技术领域，使得同一网络功能类型的网络功能消费网元，能够使用同一令牌访问网络功能服务，从而可以降低网络存储功能网元的工作量。具体方案为：网络存储功能网元接收第一网络功能服务消费网元发送的第一令牌请求信息，所述第一令牌请求信息用于请求获取所述第一网络功能服务消费网元所属的第一网络功能类型的第一令牌，所述第一令牌用于访问第一网络功能服务；所述网络存储功能网元生成所述第一令牌，所述第一令牌包括所述第一网络功能类型；所述第一令牌适用于属于所述第一网络功能类型的网络功能服务消费网元；所述网络存储功能网元将所述第一令牌发送给所述第一网络功能服务消费网元。

Description

一种令牌处理方法及装置

本申请要求于2019年1月14日提交国家知识产权局、申请号为201910033422.1、申请名称为“一种令牌处理方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种令牌处理方法及装置。

背景技术

3GPP定义了服务化的网络架构，基于该架构，网络功能划分为若干个服务。网络功能(network function，NF)对外可呈现通用的服务化接口，可被授权的其他网络功能或服务调用。

在服务化网络架构中，网络功能服务消费网元(NF service consumer)在需要访问某项网络功能服务时，可以向网络存储功能网元申请一个令牌(token)；NRF网元为该网络功能服务消费网元生成一个用于访问该网络功能服务的令牌，并将令牌发送给该网络功能服务消费网元；该网络功能服务消费网元根据该令牌向网络功能服务提供网元(NF service producer)请求访问网络功能服务。

其中，由于网络功能服务消费网元的数量较多，网络功能服务消费网元会频繁地向网络存储功能网元申请令牌，从而导致网络存储功能网元的工作量较大，网络功能服务的效率较低。

发明内容

本申请实施例提供一种令牌处理方法及装置，使得同一网络功能类型的多个网络功能消费网元能够使用同一令牌访问网络功能服务，从而可以降低网络功能消费网元申请令牌的次数，降低网络存储功能网元的工作量，提高网络功能服务的效率。

为达到上述目的，本申请实施例采用如下技术方案：

一方面，本申请实施例提供了一种令牌处理方法，可以包括：第一网络功能服务消费网元向网络存储功能网元发送第一令牌请求信息。其中，该第一令牌请求信息用于请求获取第一网络功能服务消费网元所属的第一网络功能类型的第一令牌。并且，该第一令牌用于访问第一网络功能服务。而后，第一网络功能服务消费网元可以接收网络存储功能网元发送的第一令牌，第一令牌包括第一网络功能类型，该第一令牌适用于属于第一网络功能类型的网络功能服务消费网元。

在该方案中，第一网络功能服务消费网元可以从网络存储功能网元获取基于第一网络功能类型的第一令牌，该第一令牌可以适用于第一网络功能类型的服务消费网元，从而使得第一网络功能类型的多个服务消费网元，均可以通过该第一令牌访问第一网络功能服务，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量，提高网络功能服务的效率。

在一种可能的设计中，第一令牌还包括提供第一网络功能服务的网络功能服务提供网元的身份信息。该方法还包括：第一网络功能服务消费网元根据网络功能服务提供网元的身份信息，向网络功能服务提供网元发送第一服务请求信息，第一服务请求信息用于请求访问第一网络功能服务；第一服务请求信息包括第一令牌。第一网络功能服务消费网元接收网络功能服务提供网元发送的第一响应信息，第一响应信息用于表示接受第一网络功能服务的访问请求。

也就是说，第一网络功能服务消费网元可以根据从网络存储功能网元获取的基于第一网络功能类型的令牌，访问网络功能服务提供网元提供的第一网络功能服务。

在另一种可能的设计中，第一令牌请求信息包括通配符形式的客户标识client id字段。

这样，可以表明第一网络功能服务消费网元请求获取的是基于第一网络功能类型的第一令牌。

例如，该通配符可以包括字符“*”或字符“？”中的至少一种。

在另一种可能的设计中，第一令牌请求信息未包括客户标识client id字段。

在另一种可能的设计中，第一令牌的主体subject字段包括第一网络功能类型，且未包括网络功能服务消费网元的服务功能实例标识NF Instance Id of the NF Service consumer。

这样，可以表明第一令牌是基于第一网络功能类型的，该第一令牌可授权给第一网络功能类型的所有服务消费网元。

在另一种可能的设计中，第一令牌的主体subject字段包括通配符形式的网络功能服务消费网元的服务功能实例标识NF Instance Id of the NF Service consumer，且第一令牌的其他字段包括第一网络功能类型。

在另一种可能的设计中，在第一网络功能服务消费网元向网络存储功能网元发送第一令牌请求信息之前，该方法还包括：第一网络功能服务消费网元向网络存储功能网元发送注册请求信息，注册请求信息包括第一网络功能类型。第一网络功能服务消费网元接收网络存储功能网元发送的至少一个令牌，至少一个令牌包括第一网络功能类型，至少一个令牌用于访问至少一个网络功能服务。

这样，第一网络功能服务消费网元可以直接使用该至少一个令牌向网络功能服务提供网元提出请求，而不需要再向网络存储功能网元申请令牌，从而可以减少服务消费网元申请令牌的次数，降低网络存储功能网元的工作量。

在另一种可能的设计中，该方法还包括：第一网络功能服务消费网元向网络存储功能网元发送订阅请求信息，订阅请求信息用于请求订阅第一网络功能类型的令牌的请求事件。第一网络功能服务消费网元接收网络存储功能网元发送的第二令牌，第二令牌包括第一网络功能类型，第二令牌用于访问第二网络功能服务。

这样，第一网络功能服务消费网元可以根据其他服务消费网元申请的基于第一网络功能类型的令牌，访问其他网络功能服务，而不需要再向网络存储功能网元申请令牌，因而可以减少令牌申请次数，降低网络存储功能网元的工作量。

在另一种可能的设计中，在第一网络功能服务消费网元接收到网络存储功能网元发送的第一令牌之后，该方法还包括：第一网络功能服务消费网元接收其他网络设备发送的切换请求信息，切换请求信息用于请求切换第一网络功能服务消费网元。第一网络功能服务消费网元确定待切换的第二网络功能服务消费网元。第一网络功能服务消费网元向第二网络功能服务消费网元发送第一令牌。

这样，切换后的第二网络功能服务消费网元可以通过第一网络功能服务消费网元发送的第一令牌，请求访问第一网络功能服务，而不需要再向网络存储功能网元申请第一令牌，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量。

在另一种可能的设计中，在第一网络功能服务消费网元接收到网络存储功能网元发送的第一令牌之后，该方法还包括：第一网络功能服务消费网元接收第三网络功能服务消费网元发送的用户信息请求消息。第一网络功能服务消费网元向第三网络功能服务消费网元发送第一令牌。

这样，第三网络功能服务消费网元可以通过第一网络功能服务消费网元发送的第一令牌，请求访问第一网络功能服务，而不需要再向网络存储功能网元申请第一令牌，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量。

在另一种可能的设计中，在第一网络功能服务消费网元接收到网络存储功能网元发送的第一令牌之后，该方法还包括：第一网络功能服务消费网元将第一令牌存储在非结构化数据存储网络功能网元上。

这样，第一网络功能类型中的其他服务消费网元可以从非结构化数据存储网络功能网元上获取该第一令牌，从而可以通过该第一令牌请求访问第一网络功能服务，而不需要再向网络存储功能网元申请第一令牌，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量。

在另一种可能的设计中，该方法还包括：第一网络功能服务消费网元从非结构化数据存储网络功能网元获取第三令牌，第三令牌包括第一网络功能类型，第三令牌用于请求访问第三网络功能服务。

这样，第一网络功能服务消费网元可以从非结构化数据存储网络功能网元上获取其他服务消费网元存储的，基于第一网络功能类型的其他令牌(例如第三令牌)，从而可以通过该其他令牌请求访问其他的网络功能服务，而不需要再向网络存储功能网元申请令牌，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量。

在另一种可能设计中，第一令牌还包括范围信息，范围信息用于表示可以通过第一令牌访问第一网络功能服务，且属于第一网络功能类型的网络功能服务消费网元的范围。

其中，该范围具体可以是运营商根据预设策略设置的范围，也可以是基于网络功能类型的令牌中限定的范围。该范围内所限定的网元可以认为是安全的、合法的服务消费网元。该范围内所限定内的多个特定的网元，才可以通过基于网络功能类型的令牌访问对应的网络功能服务，从而可以在降低工作量的同时，还可以提高令牌和网络功能服务的安全性。

例如，该范围信息为网络切片标识，或者，该范围信息为地区region标识。

在另一种可能的设计中，网络功能类型可以包括接入与移动性管理功能类型，网络切片选择功能类型，网络开放功能类型，网络存储功能类型，策略控制功能类型，统一数据管理类型，应用功能类型，认证服务器功能类型，或会话管理功能类型等。

另一方面，本申请技术方案提供了一种令牌处理方法，该方法包括：网络存储功能网元接收第一网络功能服务消费网元发送的第一令牌请求信息，第一令牌请求信息用于请求获取第一网络功能服务消费网元所属的第一网络功能类型的第一令牌，第一令牌用于访问第一网络功能服务。网络存储功能网元生成第一令牌，第一令牌包括第一网络功能类型；第一令牌适用于属于第一网络功能类型的网络功能服务消费网元。网络存储功能网元将第一令牌发送给第一网络功能服务消费网元。

在该方案中，网络存储功能网元可以为第一网络功能服务消费网元提供基于第一网络功能类型的第一令牌，该第一令牌可以适用于第一网络功能类型的服务消费网元，从而使得第一网络功能类型的多个服务消费网元，均可以通过该第一令牌访问第一网络功能服务，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量，提高网络功能服务的效率。

在一种可能的设计中，第一令牌请求信息包括通配符形式的客户标识client id字段。

在另一种可能的设计中，第一令牌的主体subject字段包括通配符形式的网络功能服务消费网元的服务功能实例标识NF Instance Id of the NF Service consumer。

在另一种可能的设计中，在网络存储功能网元生成第一令牌之前，该方法还包括：网络存储功能网元确定提供第一网络功能服务的网络功能服务提供网元，第一令牌还包括网络功能服务提供网元的身份信息。

在另一种可能的设计中，在网络存储功能网元接收第一网络功能服务消费网元发送的第一令牌请求信息之前，该方法还包括：网络存储功能网元接收第一网络功能服务消费网元发送的注册请求信息，注册请求信息包括第一网络功能服务消费网元所属的第一网络功能类型。网络存储功能网元向第一网络功能服务消费网元发送至少一个令牌，至少一个令牌为第一网络功能服务消费网元以外的，属于第一网络功能类型的其他网络功能服务消费网元所申请的令牌。该至少一个令牌包括第一网络功能类型，至少一个令牌用于访问至少一个网络功能服务。

在另一种可能的设计中，该方法还包括：网络存储功能网元接收第一网络功能服务消费网元发送的订阅请求信息，订阅请求信息用于请求订阅第一网络功能类型的令牌的请求事件。网络存储功能网元接收第四网络功能服务消费网元发送的第二令牌请求信息，第二令牌请求信息用于请求获取第四网络功能服务消费网元所属的第一网络功能类型的第二令牌，第二令牌用于访问第二网络功能服务。网络存储功能网元生成第二令牌，第二令牌包括第一网络功能类型；第二令牌适用于属于第一网络功能类型的网络功能服务消费网元。网络存储功能网元将第二令牌发送给第四网络功能服务消费网元和第一网络功能服务消费网元。

另一方面，本申请实施例提供了一种服务提供方法，包括：网络功能服务提供网元接收第一网络功能服务消费网元发送的第一服务请求信息。该第一服务请求信息包括第一令牌，第一令牌包括第一网络功能服务类型，第一网络功能消费网元属于第一网络功能服务类型。若第一令牌验证成功，则网络功能服务提供网元向第一网络功能服务消费网元发送第一响应信息，第一响应信息用于表示接受第一网络功能服务的访问请求。

在该方案中，第一网络功能服务消费网元可以根据从网络存储功能网元获取的基于第一网络功能类型的令牌，访问网络功能服务提供网元提供的第一网络功能服务。

在一种可能的设计中，该方法还包括：网络功能服务提供网元接收第五网络功能服务消费网元发送的第二服务请求信息，第二服务请求信息包括第一令牌，第一令牌包括第一网络功能服务类型，第五网络功能消费网元属于第一网络功能服务类型。若第二令牌验证成功，则网络功能服务提供网元向第五网络功能服务消费网元发送第二响应信息，第二响应信息用于表示接受第二网络功能服务的访问请求。

也就是说，属于第一网络功能类型的其他服务消费网元，也可以通过基于第一网络功能类型的第一令牌请求访问第一网络功能服务。

另一方面，本申请实施例提供了一种通信装置用于实现上述各种方法。该通信装置可以为上述第一网络功能服务消费网元，或者包含上述第一网络功能服务消费网元的装置；或者，该通信装置可以为上述网络存储功能网元，或者包含上述网络存储功能网元的装置；或者，该通信装置可以为上述网络功能服务提供网元，或者包含上述网络功能服务提供网元的装置。通信装置包括实现上述方法相应的模块、单元、或手段(means),该模块、单元、或menas可以通过硬件实现，软件实现，或者通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块或单元。

在一种可能的设计中，当该通信装置为上述网络存储功能网元，或者包含上述网络存储功能网元的装置时，该通信装置可以包括接收单元、处理单元和发送单元。其中，接收单元，用于接收第一网络功能服务消费网元发送的第一令牌请求信息，该第一令牌请求信息用于请求获取第一网络功能服务消费网元所属的第一网络功能类型的第一令牌，第一令牌用于访问第一网络功能服务。处理单元，用于生成第一令牌，第一令牌包括第一网络功能类型；第一令牌适用于属于第一网络功能类型的网络功能服务消费网元。发送单元，用于将第一令牌发送给第一网络功能服务消费网元。

在另一种可能的设计中，处理单元还用于，在生成第一令牌之前，确定提供第一网络功能服务的网络功能服务提供网元。第一令牌还包括网络功能服务提供网元的身份信息。

在另一种可能的设计中，接收单元还用于，在接收第一网络功能服务消费网元发送的第一令牌请求信息之前，接收第一网络功能服务消费网元发送的注册请求信息，该注册请求信息包括第一网络功能服务消费网元所属的第一网络功能类型。发送单元还用于，向第一网络功能服务消费网元发送至少一个令牌，该至少一个令牌为第一网络功能类型的其他网络功能服务消费网元所申请的令牌；该至少一个令牌包括第一网络功能类型，该至少一个令牌用于访问至少一个网络功能服务。

在另一种可能的设计中，接收单元还用于，接收第一网络功能服务消费网元发送的订阅请求信息，该订阅请求信息用于请求订阅第一网络功能类型的令牌的请求事件。接收单元还用于，接收第四网络功能服务消费网元发送的第二令牌请求信息，第二令牌请求信息用于请求获取第四网络功能服务消费网元所属的第一网络功能类型的第二令牌，第二令牌用于访问第二网络功能服务。处理单元还用于，生成第二令牌，第二令牌包括第一网络功能类型。第二令牌适用于属于第一网络功能类型的网络功能服务消费网元。发送单元还用于，将第二令牌发送给第四网络功能服务消费网元和第一网络功能服务消费网元。

另一方面，本申请实施例提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机指令，当该处理器执行该指令时，以使该通信装置执行上述任一方面的方法。该通信装置可以为上述第一网络功能服务消费网元，或者包含上述第一网络功能服务消费网元的装置；或者，该通信装置可以为上述网络存储功能网元，或者包含上述网络存储功能网元的装置；或者，该通信装置可以为上述网络功能服务提供网元，或者包含上述网络功能服务提供网元的装置。

另一方面，本申请实施例提供了一种通信装置，包括：处理器；处理器用于与存储器耦合，并读取存储器中的指令之后，根据指令执行如上述任一方面的方法。该通信装置可以为上述第一网络功能服务消费网元，或者包含上述第一网络功能服务消费网元的装置；或者，该通信装置可以为上述网络存储功能网元，或者包含上述网络存储功能网元的装置；或者，该通信装置可以为上述网络功能服务提供网元，或者包含上述网络功能服务提供网元的装置。

另一方面，本申请实施例提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述任一方面及任一种可能的设计中的方法。

另一方面，本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述任一方面及任一种可能的设计中的方法。

另一方面，本申请实施例提供了一种通信装置(例如，该通信装置可以是芯片或芯片系统)，该通信装置包括处理器，用于实现上述任一方面及任一种可能的设计中所涉及的功能。在一种可能的设计中，该通信装置还包括存储器，该存储器，用于保存必要的程序指令和数据。该通信装置是芯片系统时，可以由芯片构成，也可以包含芯片和其他分立器件。

另一方面，本申请实施例提供了一种通信系统，该通信系统包括第一网络功能服务消费网元、网络存储功能网元和网络功能服务提供网元中的一个或多个，第一网络功能服务消费网元、网络存储功能网元和网络功能服务提供网元用于执行上述任一方面及任一种可能的设计中的方法。

可以理解的是，上述提供的通信装置或计算机可读存储介质或计算机程序产品或通信系统等均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考对应的方法中的有益效果，此处不再赘述。

本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。

附图说明

图1为本申请实施例提供的一种通信系统的架构示意图；

图2为本申请实施例提供的一种网络功能服务的访问流程图；

图3为本申请实施例提供的一种5G通信系统下的网络架构示意图；

图4为本申请实施例提供的一种通信装置的结构示意图；

图5A为本申请实施例提供的另一种网络功能服务的访问流程图；

图5B为本申请实施例提供的另一种网络功能服务的访问流程图；

图6为本申请实施例提供的一种另一种网络功能服务的访问流程图；

图7为本申请实施例提供的一种另一种网络功能服务的访问流程图；

图8为本申请实施例提供的一种令牌交互方法流程图；

图9为本申请实施例提供的另一种令牌交互方法流程图；

图10为本申请实施例提供的另一种令牌交互方法流程图；

图11为本申请实施例提供的另一种通信装置的结构示意图。

具体实施方式

为了便于理解，示例的给出了部分与本申请实施例相关概念的说明以供参考。如下所示：

网络功能服务(NF service)：服务化网络架构将网络功能NF划分为若干个服务，称为网络功能服务。例如可以有接入和移动性管理服务，会话创建、更新、释放服务，认证鉴权服务，以及用户数据管理服务等。

网络功能服务消费网元(NF service consumer)：请求访问网络功能服务的网元。为方便描述，以下统一将网络功能服务消费网元简称为服务消费网元。

网络功能服务提供网元(NF service producer)：请求提供网络功能服务的网元。为方便描述，以下统一将网络功能服务提供网元简称为服务提供网元。

需要注意的是，对于同一个网元来说，在请求访问其他网元提供的网络功能服务时，该网元可以是服务消费网元；在为其他网元提供网络功能服务时，该网元也可以是服务提供网元。

网络功能类型(NF type)：承载网络功能的网元所对应的网络功能的类型。例如，网络功能类型可以包括接入与移动性管理功能(access and mobility management function，AMF)类型，网络切片选择功能(network slice selection function，NSSF)类型，网络开放功能(network exposure function，NEF)类型，网络存储功能(network repository function，NRF)类型，策略控制功能(policy control function，PCF)类型，统一数据管理(unified data management，UDM)类型，应用功能(application function，AF)类型，认证服务器功能(authentication server function，AUSF)类型，以及会话管理功能(session management function，SMF)类型等。

网络功能实例：承载网络功能的具体网元。

网络切片(network slice)：用于支持特定网络能力与网络特性的逻辑隔离的网络，可以端到端(end to end，E2E)的包括整个网络，也可以部分网络功能在多个网络切片中共享。通常，不同网络切片的网络特征并不相同，且要求网络切片之间相互隔离，互不影响。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A，B可以是单数或者复数。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项”或其类似表达，是指的这些项中的任意组合，包括单项或复数项的任意组合。例如，a，b，或c中的至少一项，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

本申请实施例提供的令牌处理方法可以应用于如图1所示的通信系统100。该通信系统100可以包括服务消费网元101、网络存储功能网元102以及服务提供网元103。其中，服务消费网元101可以向网络存储功能网元102请求获取令牌(或称访问令牌(access token))，并根据该令牌向服务提供网元103请求访问网络功能服务。

目前，根据第三代合作伙伴计划(3rd generation partnership project，3GPP)TS33.501协议的规定，服务消费网元、网络存储功能网元以及服务提供网元之间定义的网络功能服务的访问授权机制基于OAuth 2.0。网络存储功能网元对应OAuth 2.0中的授权服务器(authorization server)，服务消费网元对应OAuth 2.0中的客户端(client)，服务提供网元对应OAuth 2.0中的资源服务器(resource server)。

参见图2，该访问授权流程主要可以包括：1、服务消费网元在网络存储功能网元上进行注册；2、服务提供网元在网络存储功能网元上进行注册；3、服务消费网元向网络存储功能网元发送令牌请求消息，以请求获取(或称申请)令牌；4、网络存储功能网元生成基于该服务消费网元的令牌；5、网络存储功能网元向服务消费网元发送令牌；6、服务消费网元根据令牌向服务提供网元请求访问网络功能服务；7、服务提供网元对服务消费网元发送的令牌进行完整性、数字签名等验证；8、服务提供网元在令牌验证成功后，向服务消费网元发送响应信息，以接受该服务访问请求。

在上述步骤3中，服务消费网元向网络存储功能网元发送的令牌请求消息中，携带有期望的服务名称(expected service name),消费网元网络功能类型(consumer NF type)，客户标识(client id)等信息。其中，客户标识用于表示请求令牌的服务消费网元的身份，例如可以是运营商给网元分配的序列号，比如客户标识为AMF_5438等。

在上述步骤4中，网络存储功能网元对服务消费网元认证完后，生成相应的令牌(token)。在令牌的声明(claim)字段中，发行者(issuer)字段包括网络存储功能网元的网络功能实例标识(NF Instance Id of NRF)，主体(subject)字段包括服务消费网元的网络功能实例标识(NF Instance Id of the NF Service consumer)(即请求该令牌的服务消费网元的标识)，读者(audience)字段包括提供网元的网络功能类型，范围(scope)字段包括期望的服务的名称(expected service name(s))，超期(expiration)字段包括超期期限(expiration time)。并将该令牌在响应消息中携带给NF service consumer。

也就是说，网络存储功能网元生成了基于某个具体的服务消费网元的令牌，令牌主体(subject)字段中NF Instance Id of the NF Service consumer所授权的服务消费网元，才可以使用该令牌向服务提供网元请求访问网络功能服务。

这样，由于生成的令牌是基于申请令牌的一个服务消费网元的，而服务消费网元的数量较多，从而导致服务消费网元频繁地向网络存储功能网元请求令牌。而且，在网络功能虚拟化(network function virtualization，NFV)以后，业务的切换和网元的动态上、下线也频繁发生。而业务的切换也经常会导致服务消费网元的切换，从而导致服务消费网元会频繁地向网络存储功能网元请求令牌。服务消费网元的动态上、下线的频繁发生，也会导致服务消费网元频繁地向网络存储功能网元请求令牌。从而，不仅降低了网络功能服务本身的效率，同时也使得网络存储功能网元的工作量也较大。

在本申请实施例提供的令牌处理方法中，网络存储功能网元可以生成基于网络功能类型的令牌，即生成的令牌可以授权给同一网络功能类型的多个服务消费网元，使得同一网络功能类型的多个服务消费网元均能够使用该网络功能类型的令牌访问网络功能服务，从而即便在业务的切换以及网元的动态上、下线都是频繁发生的情况下，也可以降低服务消费网元申请令牌的次数，降低网络存储功能网元的工作量，提高业务和网络功能服务获得授权的效率。

本申请实施例提供的令牌处理方法可适用于多种服务化的网络架构。如5G通信系统，未来演进系统或多种通信融合系统等的网络架构。本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

以5G通信系统为例，图3示出了本申请实施例适用的一种具体可能的网络架构示意图。该网络架构可以包括用户设备(user equipment，UE)、(无线)接入网((radio)access network，(R)AN)设备、数据网络(data network，DN)、接入与移动性管理功能AMF网元、用户面功能UPF网元、网络切片选择功能NSSF网元、网络开放功能NEF网元、网络存储功能NRF网元、策略控制功能PCF网元、统一数据管理UDM网元、应用功能AF网元、认证服务器功能AUSF网元、会话管理功能SMF网元等中的一个或多个，本申请实施例对此不作具体限定。

在图3所示的网络架构中，NSSF网元、NEF网元、NRF网元、PCF网元、UDM网元、AF网元、AUSF网元、AMF网元、SMF网元等承载的网络功能可以服务化，可以称为网络功能网元，每种网络功能网元都可以有一个或多个网元实例。其中，NSSF网元、NEF网元、PCF网元、UDM网元、AF网元、AUSF网元、AMF网元和SMF网元等既可以作为服务消费网元，也可以作为服务提供网元；这些网元通过向NRF网元申请令牌，可以相互之间调用对方提供的网络功能服务。例如，AMF网元可以调用SMF的会话创建、更新、释放等网络功能服务，AMF还可以调用AUSF的认证鉴权等网络功能服务，SMF也可以调用AMF的UE接入和移动性管理等网络功能服务，AUSF网元可以调用UDM网元提供的用户数据管理等网络功能服务。

在图3所示的网络架构中，UE是一种具有无线收发功能的设备，例如可以是接入终端、终端单元、终端站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等，UE可以是移动的，也可以是固定的。

(R)AN设备，是一种为终端提供无线通信功能的设备。接入网设备例如包括但不限于：5G中的下一代基站(gnodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(baseBand unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等。

AMF网元，可以用于移动网络中的移动性管理，如用户位置更新、用户注册网络、用户切换等。UPF网元，可以用于用户数据的转发。DN可以用于提供网络服务，如微信服务、QQ服务等。AF网元，可以用于应用服务的提供和调用。NSSF网元，用于为终端选择网络切片等。NEF网元，可以用于提供服务以使得3GPP网络能够安全地向网络设备提供网络业务能力。PCF网元，可以用于指导网络行为的统一策略框架，为控制平面功能网元(例如AMF网元等)提供策略规则信息等。UDM网元，可以用于处理用户标识、接入鉴权、注册、或移动性管理等。在一实施例中，UDM可以包括统一数据存储库(unified data repository，UDR)功能，UDR可以用于存储和查询结构化数据。SMF网元，可以用于提供会话创建，更新，释放等服务。AUSF网元，可以用于提供认证鉴权等服务。

可以理解的是，图3所示的网元并不构成对本申请可适用的网络架构的限定，该网络架构还可以包括其他网元，例如还可以包括非结构化数据存储功能(unstructured data storage network function，UDSF)。网络功能网元可以向UDSF存储和获取非结构化数据。一般的，同一网络功能类型的网络功能网元可以共享相同的UDSF。

其中，图3中的N1接口为终端与AMF网元之间的参考点；N2接口为(R)AN设备和AMF网元的参考点，用于非接入层(non-access stratum，NAS)消息和下一代应用协议(next generation application protocol，NGAP)消息的发送等；N3接口为(R)AN设备和UPF网元之间的参考点，用于传输用户面的数据等；N4接口为SMF网元和UPF网元之间的参考点，用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息；N6接口为UPF网元和DN之间的参考点，用于传输用户面的数据；N9接口为两个UPF之间的参考点。

此外，图3所示的AUSF网元、AMF网元、SMF网元、NSSF网元、NEF网元、PCF网元或者UDM网元等控制面网元也可以采用服务化接口进行交互。比如，AUSF网元对外提供的服务化接口可以为Nausf；AMF网元对外提供的服务化接口可以为Namf；SMF网元对外提供的服务化接口可以为Nsmf；PCF网元对外提供的服务化接口可以为Npcf；UDM网元对外提供的服务化接口可以为Nudm；NEF网元对外提供的服务化接口可以为Nnef；NSSF网元对外提供的服务化接口可以为Nnssf；NRF网元对外提供的服务化接口可以为Nnrf；AF网元对外提供的服务外接口可以为naf。相关描述可以参考23501标准中的5G系统架构(5G system architecture)图，在此不予赘述。

可以理解的是，上述网元或功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。上述网元或功能可划分出一个或多个服务，进一步，还可能会出现独立于网络功能存在的服务。在本申请中，上述功能的实例、或上述功能中包括的服务的实例、或独立于网络功能存在的服务实例均可称为服务实例。

例如，上述网元或功能可以通过图4中的通信设备(也可以称之为通信装置)来实现。图4所示为本申请实施例提供的通信设备的硬件结构示意图。该通信设备400 包括处理器401，通信线路402，存储器403以及至少一个通信接口(图4中仅是示例性的以包括通信接口404为例进行说明)。

处理器401可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

通信线路402可包括一通路，在上述组件之间传送信息。

通信接口404，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)等。

存储器403可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路402与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器403用于存储执行本申请方案的计算机执行指令，并由处理器401来控制执行。处理器401用于执行存储器403中存储的计算机执行指令，从而实现本申请下述实施例提供的令牌处理方法。

可选的，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。

在具体实现中，作为一种实施例，处理器401可以包括一个或多个CPU，例如图4中的CPU0和CPU1。

在具体实现中，作为一种实施例，通信设备400可以包括多个处理器，例如图4中的处理器401和处理器408。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，通信设备400还可以包括输出设备405和输入设备406。输出设备405和处理器401通信，可以以多种方式来显示信息。例如，输出设备405可以是液晶显示器(liquid crystal display，LCD)，发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备406和处理器401通信，可以以多种方式接收用户的输入。例如，输入设备406可以是鼠标、键盘、触摸屏设备或传感设备等。

上述的通信设备400可以是一个通用设备或者是一个专用设备。在具体实现中，通信设备400可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digital assistant，PDA)、移动手机、平板电脑、无线终端设备、嵌入式设备或有图4中类似结构的设备。本申请实施例不限定通信设备400的类型。

下面将结合图1至图4对本申请实施例提供的令牌处理方法进行具体阐述。

需要说明的是，本申请实施例并不限定于图3所示的5G网络架构，还可以应用于未来其他的通信系统，例如6G网络架构等。并且，本申请实施例所使用的各个网元的名称，在未来通信系统中，可能保持功能相同，但名称会改变。

本申请实施例提供了一种令牌处理方法，参见图5A，该方法可以包括：

501、服务消费网元1(即第一服务消费网元)向网络存储功能网元发送第一令牌请求信息；

其中，该第一令牌请求信息用于请求获取服务消费网元1所属的第一网络功能类型的第一令牌，第一令牌用于访问第一网络功能服务。

其中，第一网络功能类型的第一令牌是指，该第一令牌适用于第一网络功能类型的服务消费网元，该第一令牌可授权给第一网络功能类型的服务消费网元，第一网络功能类型的服务消费网元可以共享该第一令牌。即，第一网络功能类型的多个服务消费网元均可以使用该第一令牌，请求访问第一网络功能服务。

示例性的，服务消费网元1可以是图3中所示的AMF的一个网元实例，网络存储功能网元可以是图3中所示的NRF网元，服务提供网元可以是图3中所示的SMF的一个网元实例。第一网络功能类型可以为服务消费网元1所属的AMF类型。第一网络功能服务可以是创建会话的网络功能服务。

服务消费网元1可以通过第一令牌请求信息，请求获取用于访问创建会话这一网络功能服务且基于AMF类型的第一令牌。AMF类型的所有服务消费网元(例如AMF类型的服务消费网元1、服务消费网元2等)都可以使用第一令牌，请求访问第一网络功能服务。

在本申请实施例中，第一令牌请求信息还可以包括第一网络功能服务的描述信息，例如第一网络功能服务的名称或服务编号等，以使得网络存储功能网元能够根据该第一网络功能服务的描述信息，生成用于访问第一网络功能服务的第一令牌。

502、网络存储功能网元接收到服务消费网元1发送的第一令牌请求信息后，生成第一令牌，第一令牌包括第一网络功能类型，该第一令牌适用于属于第一网络功能类型的服务消费网元。

网络存储功能网元接收到服务消费网元1发送的第一令牌请求信息后，可以生成基于第一网络功能类型的第一令牌。其中，基于第一网络功能类型的第一令牌包括第一网络功能类型，可以表明该第一令牌可授权给第一网络功能类型的服务消费网元，第一网络功能类型的所有服务消费网元均可以使用该第一令牌请求访问第一网络功能服务。

例如，第一令牌的claim中包括第一网络功能类型。需要注意的是，本申请实施例对第一网络功能类型具体位于第一令牌中的哪个字段不作具体限定。

503、网络存储功能网元将第一令牌发送给服务消费网元1。

网络存储功能网元将基于第一网络功能类型的第一令牌发送给服务消费网元1，该第一令牌中包括第一网络功能类型，以使得属于第一网络功能类型的服务消费网元1，可以使用该第一令牌请求访问第一网络功能服务。

在步骤501-503描述的方案中，服务消费网元1向网络存储功能网元请求并获取到了基于第一网络功能类型的第一令牌，该第一令牌可以适用于第一网络功能类型的服务消费网元，从而使得第一网络功能类型的多个服务消费网元，均可以通过该第一令牌访问第一网络功能服务，而不需要像图2所示的那样每个服务消费网元都分别向网络存储功能网元申请一个基于服务消费网元的令牌，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量，提高网络功能服务的效率。

在本申请的实施例中，用于请求获取基于第一网络功能类型的方式可以有多种。

例如，在一实施例中，用于请求获取基于第一网络功能类型的第一令牌的第一令牌请求信息，可以包括通配符形式的客户标识client id字段。例如，该通配符可以包括字符“*”和/或字符“？”。

与图2所示的步骤3中令牌请求消息包括客户标识client id字段不同，在本申请的实施例中，第一令牌请求信息可以包括通配符形式的客户标识client id字段，以表明服务消费网元1请求获取基于第一网络功能类型的第一令牌。网络存储功能网元接收到包括通配符形式的客户标识client id字段后，获知服务消费网元1请求获取基于第一网络功能类型的第一令牌，从而生成相应的第一令牌。

在另一实施例中，用于请求获取基于第一网络功能类型的第一令牌的第一令牌请求信息，未包括客户标识client id字段。

与图2所示的步骤3中令牌请求消息包括客户标识client id字段不同，在本申请的实施例中，第一令牌请求信息可以不包括客户标识client id字段，以表明服务消费网元1请求获取基于第一网络功能类型的第一令牌。网络存储功能网元接收到未包括客户标识client id字段的第一令牌请求信息后，获知服务消费网元1请求获取基于第一网络功能类型的第一令牌，从而生成相应的第一令牌。

在本申请的实施例中，用于表示第一令牌为基于第一网络功能类型的令牌可以有多种。

例如，在一实施例中，第一令牌的主体subject字段包括第一网络功能类型，且未包括服务消费网元的服务功能实例标识NF Instance Id of the NF Service consumer。即在subject字段中，第一网络功能类型替换了NF Instance Id of the NF Service consumer。当第一令牌的主体subject字段包括第一网络功能类型时，可以表明该第一令牌可授权给第一网络功能类型的多个服务消费网元。

与图2所示的步骤5中，令牌的主体subject字段包括NF Instance Id of the NF Service consumer不同，在本申请的实施例中，第一令牌的主体subject字段包括第一网络功能类型，且未包括NF Instance Id of the NF Service consumer。这样，可以表明第一令牌为基于第一网络功能类型的，适用于第一网络功能类型的多个服务消费网元。

在另一实施例中，第一令牌的主体subject字段包括第一网络功能类型，以及通配符形式的NF Instance Id of the NF Service consumer。

在另一实施例中，第一令牌的主体subject字段包括通配符形式的NF Instance Id of the NF Service consumer，第一令牌的其他字段包括第一网络功能类型。

在另一实施例中，第一令牌的主体subject字段包括第一网络功能类型，第一令牌的其他字段包括通配符形式的NF Instance Id of the NF Service consumer。

在另一实施例中，第一令牌claim中的其他字段包括第一网络功能类型，以及通配符形式的NF Instance Id of the NF Service consumer。

需要说明的是，本申请实施例对第一网络功能类型以及通配符形式的NF Instance Id of the NF Service consumer具体位于第一令牌中的哪个字段不作具体限定。

这样，与图2所示的步骤5中的令牌不同，本申请实施例中的第一令牌为基于第一网络功能类型的，可以适用于第一网络功能类型的多个服务消费网元。

进一步地，服务消费网元1在获取到第一令牌后，可以使用第一令牌请求访问第一网络功能服务。

具体的，参见图5A，在步骤502之前，该方法还可以包括：

504、网络存储功能网元确定提供第一网络功能服务的服务提供网元。

在本申请实施例中，服务提供网元可以预先在网络存储功能网元上进行注册，网络存储网元可以包括服务提供网元与所提供的网络功能服务的对应关系。网络存储网元在接收到服务消费网元1发送的第一令牌请求信息后，可以根据第一令牌请求信息中第一网络功能服务描述信息，确定提供第一网络功能服务的服务提供网元。

基于步骤504，步骤502中生成的第一令牌还可以包括服务提供网元的身份信息。这样，在步骤503之后，服务消费网元1可以从第一令牌中获知服务提供网元的身份。

在步骤503之后，该方法还可以包括：

505、服务消费网元1根据服务提供网元的身份信息，向服务提供网元发送第一服务请求信息，该第一服务请求信息用于请求访问第一网络功能服务，该第一服务请求信息包括第一令牌。

服务消费网元1接收到网络存储功能网元发送的第一令牌后，可以根据第一令牌中服务提供网元的身份信息，向服务提供网元发送第一服务请求，以请求访问服务提供网元提供的第一网络功能服务。

506、服务提供网元在接收到服务消费网元1发送的第一服务请求信息之后，若第一令牌验证成功，则服务提供网元向服务消费网元1发送第一响应信息，第一响应信息用于表示接受第一网络功能服务的访问请求。

服务提供网元接收到服务消费网元1发送的第一服务请求信息后，对第一令牌进行验证。例如，可以对第一令牌中的签名进行验证(也称完整性验证)；以及对第一令牌的claim字段中，每个字段是否合法进行验证等。若第一令牌验证成功，则可以表明服务消费网元1是合法的，允许服务消费网元1访问第一网络功能服务。

在一实施例中，第一服务请求信息中还可以包括服务消费网元1所属的网络功能类型1。对第一令牌进行验证还包括，验证第一服务请求信息中的网络功能类型1与第一令牌中的第一网络功能类型是否一致。在第一服务请求信息中的网络功能类型1与第一令牌中的第一网络功能类型一致时，才允许服务消费网元1访问第一网络功能服务。

在步骤501-506描述的方案中，服务消费网元1可以根据从网络存储功能网元获取的基于第一网络功能类型的令牌，访问服务提供网元提供的第一网络功能服务。

进一步地，参见图5B，该方法还可以包括：

507、服务提供网元接收服务消费网元2(即第五服务消费网元)发送的第二服务请求信息，该第二服务请求信息包括第一令牌，该第一令牌包括第一网络功能服务类型，该服务消费网元2属于第一网络功能服务类型。

508、若第一令牌验证成功，则服务提供网元向服务消费网元2发送第二响应信息，该第二响应信息用于表示接受第二网络功能服务的访问请求。

也就是说，属于第一网络功能类型的服务消费网元2，也可以通过基于第一网络功能类型的第一令牌请求访问第一网络功能服务。即，第一网络功能类型的多个服务消费网元，均可以通过基于第一网络功能的第一令牌请求访问第一网络功能服务。

在一实施例中，服务消费网元1需要先在网络存储网元上进行注册，而后才可以向网络存储网元申请第一令牌。例如，在服务消费网元提供的网络功能服务上线时，服务消费网元1可以在网络存储网元上进行注册，网络存储功能网元可以将第一网络功能类型中的其他服务消费网元申请的基于第一网络功能类型的令牌，下发给服务消费网元1。

具体的，参见图6，在步骤501之前，该方法还可以包括：

601、服务消费网元1向网络存储功能网元发送注册请求信息，该注册请求信息包括第一网络功能类型。

这样，网络存储功能网元可以获知服务消费网元所属的网络功能类型。例如，注册请求信息中包括服务消费网元1的网络功能配置NF profile信息，该NF profile信息中包括服务消费网元1所属的第一网络功能类型。

602、网络存储功能网元在接收到服务消费网元1发送的注册请求信息之后，向服务消费网元1发送至少一个令牌，该至少一个令牌为服务消费网元1以外的，属于第一网络功能类型的其他服务消费网元所申请的令牌；该至少一个令牌包括第一网络功能类型，至少一个令牌用于访问至少一个网络功能服务。

在该步骤中，网络存储功能网元根据服务消费网元所属的第一网络功能类型，确定其他服务消费网元申请过的基于第一网络功能类型的至少一个令牌，并将这些令牌发送给服务消费网元1。例如，网络存储功能网元可以通过Nnrf_NFManagement_NF Register response消息，将该至少一个令牌发送给服务消费网元1。

这样，当服务消费网元1需要访问其他网络功能服务时，就可以直接使用这些令牌向服务提供网元提出请求，而不需要再向网络存储功能网元申请令牌，从而可以减少服务消费网元申请令牌的次数，降低网络存储功能网元的工作量。

在另一实施例中，服务消费网元1还可以向网络存储功能网元订阅第一网络功能类型的令牌的请求事件，从而从网络存储功能网元获取其他服务消费网元申请的，基于第一网络功能类型的令牌。

在以上实施例描述的方法的基础上，参见图7，该方法还可以包括：

701、服务消费网元1向网络存储功能网元发送订阅请求信息，该订阅请求信息用于请求订阅第一网络功能类型的令牌的请求事件。

702、网络存储功能网元接收服务消费网元3(即第四服务消费网元)发送的第二令牌请求信息，该第二令牌请求信息用于请求获取服务消费网元3所属的第一网络功能类型的第二令牌，第二令牌用于访问第二网络功能服务。

703、网络存储功能网元生成第二令牌，该第二令牌包括第一网络功能类型，该第二令牌适用于属于第一网络功能类型的服务消费网元。

704、网络存储功能网元将第二令牌发送给服务消费网元3和服务消费网元1。

在步骤701-704描述的方案中，网络存储功能网元在接收到服务消费网元1发送的订阅请求信息之后，若接收到其他服务消费网元(例如服务消费网元3)触发的令牌请求事件，则将其他服务消费网元申请的基于第一网络功能类型的令牌，也通知给已订阅该令牌请求事件的服务消费网元1。这样，服务消费网元1可以根据其他服务消费网元申请的基于第一网络功能类型的令牌，访问其他网络功能服务，而不需要再向网络存储功能网元申请令牌，因而可以减少令牌申请次数，降低网络存储功能网元的工作量。

在一种应用场景中，在网络部署时，可能多个网络功能NF同时上线，新上线的服务消费网元均未向网络存储功能网元申请令牌。此时，服务消费网元可以向网络存储功能网元订阅令牌请求事件。后续，在某个服务消费网元申请基于第一网络功能类型的令牌时，请求订阅令牌请求事件的其他服务消费网元也可以接收到网络存储功能网元推送的令牌，从而可以减少令牌申请次数，降低网络存储功能网元的工作量。

在另一实施例中，在以上实施例描述的方法的基础上，在业务发生变化或者在服务消费网元需要上、下线变化，从而需要切换服务消费网元的场景下，切换前的服务消费网元可以将基于网络类型的令牌发送给待切换的服务消费网元。

参见图8，在服务消费网元1接收到网络存储功能网元发送的第一令牌之后，该方法还可以包括：

801、服务消费网元1接收其他网络设备发送的切换请求信息，该切换请求信息用于请求切换服务消费网元1。

例如，发送切换请求信息的其他网络设备可以是接入网设备。示例性的，在N2切换场景中，即切换AMF网元实例的情况下，该切换请求信息可以是eNB发送给AMF类型的服务消费网元1的handover required消息。

802、服务消费网元1确定待切换的服务消费网元4(即第二服务消费网元)。

服务消费网元1可以根据用户位置信息更新或者用户服务更新等信息确定待切换的服务消费网元4。示例性的，在N2切换场景中，待切换的服务消费网元4可以为AMF类型的另一个服务消费网元。

803、服务消费网元1向服务消费网元4发送第一令牌。

示例性的，在N2切换场景中，AMF类型的服务消费网元1作为源网元，可以通过用户切换上下文传递Namf_Communication_CreateUEContextTransfer消息，向AMF类型的目的网元服务消费网元4(即待切换网元)发送第一令牌。

804、服务消费网元1切换为服务消费网元4。

这样，切换后的服务消费网元4可以通过服务消费网元1发送的第一令牌，请求访问第一网络功能服务，而不需要再向网络存储功能网元申请第一令牌，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量。

需要说明的是，步骤801-804仅是以服务消费网元1获取到了基于第一网络功能类型的第一令牌为例进行说明的，若服务消费网元1获取到了多个基于网络功能类型的令牌(例如SMF类型的令牌、UDM类型的令牌等)，则服务消费网元1可以将多个令牌都发送给服务消费网元4，以减少服务消费网元4申请令牌的次数。

在另一实施例中，在以上实施例描述的方法的基础上，在业务发生变化或者在服务消费网元需要上、下线变化，使得UE等网络设备注册到的服务消费网元发生变化时，UE等网络设备之前注册到的旧的服务消费网元可以将基于网络类型的令牌发送给新的服务消费网元。

参见图9，在服务消费网元1接收到网络存储功能网元发送的第一令牌之后，该方法还可以包括：

901、其他网络设备向服务消费网元5(即第三服务消费网元)发送注册请求信息，该注册请求信息用于请求注册到服务消费网元5。

例如，发送切换请求信息的其他网络设备可以是接入网设备，该注册请求信息用于请求将UE注册到服务消费网元5。

902、服务消费网元5向服务消费网元1发送用户信息请求消息。

举例来说，若UE原先注册在AMF类型的服务消费网元1上，服务消费网元1向UE发送全球唯一临时UE标识(globally unique temporary UE identity，GUTI)信息，该GUTI信息中包括服务消费网元1的标识信息。在UE需要注册到新的AMF类型的服务消费网元5时，接入网设备可以将服务消费网元1的标识信息发送给服务消费网元5，服务消费网元5可以根据该标识信息向服务消费网元1发送用户信息请求消息。示例性的，该用户信息请求消息可以为用户切换上下文传递Namf_Communication_UEContextTransfer消息。

903、服务消费网元1接收到用户信息请求消息后，向服务消费网元5发送第一令牌。

示例性的，AMF类型的服务消费网元1可以通过用户切换上下文传递响应Namf_Communication_UEContextTransfer response消息，将基于第一网络功能类型的第一令牌发送给AMF类型的服务消费网元5。

904、UE注册到服务消费网元5。

这样，服务消费网元5可以通过服务消费网元1发送的第一令牌，请求访问第一网络功能服务，而不需要再向网络存储功能网元申请第一令牌，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量。

需要说明的是，步骤901-904仅是以服务消费网元1获取到了基于第一网络功能类型的第一令牌为例进行说明的，若服务消费网元1获取到了多个基于网络功能类型的令牌例如SMF类型的令牌、UDM类型的令牌等)，则服务消费网元1可以将多个令牌都发送给服务消费网元5，以减少服务消费网元5申请令牌的次数。

在另一实施例中，在以上实施例描述的方法的基础上，参见图10，在服务消费网元1接收网络存储功能网元发送的第一令牌之后，该方法还可以包括：

1001、服务消费网元1将第一令牌存储在非结构化数据存储网络功能UDSF网元上。

1002、其他服务消费网元从UDSF网元上获取第一令牌。

这样，第一网络功能类型中的其他服务消费网元可以从UDSF网元上获取该第一令牌，从而可以通过该第一令牌请求访问第一网络功能服务，而不需要再向网络存储功能网元申请第一令牌，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量。

需要说明的是，步骤1001-1002仅是以服务消费网元1将基于第一网络功能类型的第一令牌存储到了UDSF网元上为例进行说明的，若服务消费网元1将多个基于第一网络功能类型的令牌存储到了UDSF网元上，则其他服务消费网元可以从UDSF上获取到多个令牌，从而可以减少其他服务消费网元申请令牌的次数。

在另一实施例中，在以上实施例描述的方法的基础上，参见图10，该方法还可以包括：

1003、服务消费网元1从非结构化数据存储网络功能网元获取第三令牌，该第三令牌包括第一网络功能类型，该第三令牌用于请求访问第三网络功能服务。

这样，服务消费网元1可以从UDSF网元上获取其他服务消费网元存储的，基于第一网络功能类型的其他令牌(例如第三令牌)，从而可以通过该其他令牌请求访问其他的网络功能服务，而不需要再向网络存储功能网元申请令牌，因而可以减少服务消费网元向网络存储功能网元申请令牌的次数，降低网络存储功能网元的工作量。

在本申请的其他实施例中，基于网络功能类型的令牌并不适用于该网络功能类型中的所有服务消费网元，而仅适用于该网络功能类型中指定范围内的服务消费网元。其中，该范围具体可以是运营商根据预设策略设置的范围，也可以是基于网络功能类型的令牌中限定的范围。该范围内所限定的网元可以认为是安全的、合法的服务消费网元。该范围内所限定内的多个特定的网元，才可以通过基于网络功能类型的令牌访问对应的网络功能服务，从而可以在降低工作量的同时，还可以提高令牌和网络功能服务的安全性。

举例来说，第一令牌可以包括范围信息，该范围信息用于表示可以通过第一令牌访问第一网络功能服务，且属于第一网络功能类型的服务消费网元的范围。示例性的，该范围信息为网络切片标识。再示例性的，该范围信息为地区region标识，该region标识可以为省区标识。

以上实施例主要描述了服务消费网元1向网络存储功能网元请求获取基于第一网络功能类型的第一令牌。需要说明的是，在本申请的实施例中，如图2所示，服务消费网元1还可以请求获取基于服务消费网元1的令牌。服务消费网元1具体可以根据运营商的预设的安全策略或部署策略，或者根据业务需求等因素，确定请求获取基于第一网络功能类型的第一令牌，还是请求获取基于服务消费网元1的令牌。

还需要说明的是，以上主要是以服务消费网元1、第一网络功能服务、第一网络功能类型为例进行说明的，对于其他服务消费网元，其他网络功能服务和其他网络功能类型，也可以采用上述方式进行网络功能服务访问，本申请实施例不再赘述。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，上述服务消费网元、网络存储功能网元、服务提供网元为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对服务消费网元、网络存储功能网元、服务提供网元进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

比如，以采用集成的方式划分各个功能模块的情况下，图11示出了一种通信装置1100的结构示意图。该通信装置可以为服务消费网元或者服务消费网元中的芯片或者片上系统，还可以为网络存储功能网元或者网络存储功能网元中的芯片或者片上系统；也可以为服务提供网元或者服务提供网元中的芯片或者片上系统，该通信装置可以用于执行上述实施例中涉及的网络设备的功能。作为一种可实现方式，图11所示通信装置1100可以包括：发送单元1101、接收单元1102和处理单元1103。

在一实施例中，该通信装置1100为服务消费网元或者服务消费网元中的芯片或者片上系统。发送单元1101可以用于，支持通信装置1100向网络存储功能网元发送第一令牌请求信息，第一令牌请求信息用于请求获取通信装置所属的第一网络功能类型的第一令牌，第一令牌用于访问第一网络功能服务。接收单元1102可以用于，支持通信装置1100接收网络存储功能网元发送的第一令牌，第一令牌包括第一网络功能类型；第一令牌适用于属于第一网络功能类型的服务消费网元。

例如，发送单元1101具体可以用于，支持通信装置1100执行图5A-图10中的步骤501、步骤505、步骤601、步骤701、步骤803等，和/或用于本文所描述的技术的其他过程。

接收单元1102具体可以用于，支持通信装置1100执行图5A-图10中的步骤503、步骤506、步骤602、步骤704、步骤801、步骤804、步骤902等，和/或用于本文所描述的技术的其他过程。

处理单元1103具体可以用于，支持通信装置1100执行图5A-图10中的步骤802、步骤1001、步骤1003等，和/或用于本文所描述的技术的其他过程。

在另一实施例中，该通信装置1100为网络存储功能网元或者网络存储功能网元中的芯片或者片上系统。接收单元1102可以用于，支持通信装置1100接收第一服务消费网元发送的第一令牌请求信息，第一令牌请求信息用于请求获取第一服务消费网元所属的第一网络功能类型的第一令牌，第一令牌用于访问第一网络功能服务。处理单元1103可以用于，支持通信装置1100生成第一令牌，第一令牌包括第一网络功能类型；第一令牌适用于属于第一网络功能类型的服务消费网元。发送单元1101可以用于，支持通信装置1100将第一令牌发送给第一服务消费网元。

例如，接收单元1102具体可以用于，支持通信装置1100执行图5A-图10中的步骤501、步骤601、步骤701、步骤702等，和/或用于本文所描述的技术的其他过程。

处理单元1103具体可以用于，支持通信装置1100执行图5A-图10中的步骤504、步骤502、步骤703等，和/或用于本文所描述的技术的其他过程。

发送单元1101具体可以用于，支持通信装置1100执行图5A-图10中的步骤503、步骤602、步骤704等，和/或用于本文所描述的技术的其他过程。

在另一实施例中，该通信装置1100为服务提供网元或者服务提供网元中的芯片或者片上系统。发送单元1101可以用于，支持通信装置1100向网络存储功能网元发送第一令牌请求信息，第一令牌请求信息用于请求获取通信装置所属的第一网络功能类型的第一令牌，第一令牌用于访问第一网络功能服务。接收单元1102可以用于，接收网络存储功能网元发送的第一令牌，第一令牌包括第一网络功能类型；第一令牌适用于属于第一网络功能类型的服务消费网元。支持通信装置1100执行图5A-图10中的步骤504、步骤502、步骤703等，和/或用于本文所描述的技术的其他过程。

例如，接收单元1102具体可以用于，支持通信装置1100执行图5A-图10中的步骤505、步骤507等，和/或用于本文所描述的技术的其他过程。

发送单元1101具体可以用于，支持通信装置1100执行图5A-图10中的步骤506、步骤508等，和/或用于本文所描述的技术的其他过程。

处理单元1103具体可以用于，支持通信装置1100控制发送单元1101和接收单元1102执行上述相应步骤。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在本实施例中，该通信装置1100以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到该通信装置1100可以采用图4所示的形式。

比如，图4中的处理器401可以通过调用存储器403中存储的计算机执行指令，使得通信装置1100执行上述方法实施例中的令牌处理方法。

具体的，图11中的发送单元1101、接收单元1102和处理单元1103的功能/实现过程可以通过图4中的处理器401调用存储器403中存储的计算机执行指令来实现。或者，图11中的处理单元1103的功能/实现过程可以通过图4中的处理器401调用存储器403中存储的计算机执行指令来实现，图11中的发送单元1101和接收单元1102的功能/实现过程可以通过图4中的通信接口404来实现。

由于本实施例提供的通信装置1100可执行上述令牌处理方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。

本申请的实施例还提供一种计算机存储介质，该计算机存储介质中存储有计算机指令，当该计算机指令在通信装置上运行时，使得通信装置执行上述相关方法步骤实现上述实施例中的令牌处理方法。

本申请的实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述相关步骤，以实现上述实施例中通信装置执行的令牌处理方法。

另外，本申请实施例还提供了一种装置(例如，该装置可以是芯片，组件或模块)，该装置包括处理器，用于支持通信装置实现上述令牌处理方法，例如获取基于网络功能类型的令牌。在一种可能的设计中，该装置还包括存储器。该存储器，用于保存通信装置必要的程序指令和数据。当然，存储器也可以不在该装置中。该装置是芯片系统时，可以由芯片构成，也可以包含芯片和其他分立器件，本申请实施例对此不作具体限定。

其中，本实施例提供的装置、计算机存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

本申请实施例还提供了一种通信系统，该通信系统可以包括上文中提供的服务消费网元、网络存储功能网元以及服务提供网元，可以用于执行以上实施例提供的令牌处理方法。

通过以上实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其他的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其他的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上内容，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims

一种令牌处理方法，其特征在于，包括：

网络存储功能网元接收第一网络功能服务消费网元发送的第一令牌请求信息；

所述网络存储功能网元生成第一令牌，所述第一令牌包括第一网络功能类型；所述第一令牌适用于属于所述第一网络功能类型的网络功能服务消费网元；

所述网络存储功能网元将所述第一令牌发送给所述第一网络功能服务消费网元。
根据权利要求1所述的方法，其特征在于，所述第一令牌请求信息包括通配符形式的客户标识client id字段。
根据权利要求1所述的方法，其特征在于，所述第一令牌请求信息未包括客户标识client id字段。
根据权利要求1-3任一项所述的方法，其特征在于，所述第一令牌的主体subject字段包括所述第一网络功能类型，且未包括网络功能服务消费网元的服务功能实例标识NF Instance Id of the NF Service consumer。
根据权利要求1-3任一项所述的方法，其特征在于，所述第一令牌的主体subject字段包括通配符形式的网络功能服务消费网元的服务功能实例标识NF Instance Id of the NF Service consumer。
根据权利要求1-5任一项所述的方法，其特征在于，在所述网络存储功能网元生成所述第一令牌之前，所述方法还包括：

所述网络存储功能网元确定提供所述第一网络功能服务的网络功能服务提供网元，所述第一令牌还包括所述网络功能服务提供网元的身份信息。
根据权利要求1-6任一项所述的方法，其特征在于，在所述网络存储功能网元接收第一网络功能服务消费网元发送的第一令牌请求信息之前，所述方法还包括：

所述网络存储功能网元接收所述第一网络功能服务消费网元发送的注册请求信息，所述注册请求信息包括所述第一网络功能服务消费网元所属的第一网络功能类型；

所述网络存储功能网元向所述第一网络功能服务消费网元发送至少一个令牌，所述至少一个令牌为所述第一网络功能类型的其他网络功能服务消费网元所申请的令牌；所述至少一个令牌包括所述第一网络功能类型，所述至少一个令牌用于访问至少一个网络功能服务。
根据权利要求1-7任一项所述的方法，其特征在于，所述方法还包括：

所述网络存储功能网元接收所述第一网络功能服务消费网元发送的订阅请求信息，所述订阅请求信息用于请求订阅所述第一网络功能类型的令牌的请求事件；

所述网络存储功能网元接收第四网络功能服务消费网元发送的第二令牌请求信息，所述第二令牌请求信息用于请求获取所述第四网络功能服务消费网元所属的第一网络功能类型的第二令牌，所述第二令牌用于访问第二网络功能服务；

所述网络存储功能网元生成所述第二令牌，所述第二令牌包括所述第一网络功能类型；所述第二令牌适用于属于所述第一网络功能类型的网络功能服务消费网元；

所述网络存储功能网元将所述第二令牌发送给所述第四网络功能服务消费网元和所述第一网络功能服务消费网元。
一种通信装置，其特征在于，所述通信装置为网络存储功能网元，或者所述通信装置为网络存储功能网元中的芯片或片上系统；所述通信装置包括：

接收单元，用于接收第一网络功能服务消费网元发送的第一令牌请求信息，所述第一令牌请求信息用于请求获取所述第一网络功能服务消费网元所属的第一网络功能类型的第一令牌，所述第一令牌用于访问第一网络功能服务；

处理单元，用于生成所述第一令牌，所述第一令牌包括所述第一网络功能类型；所述第一令牌适用于属于所述第一网络功能类型的网络功能服务消费网元；

发送单元，用于将所述第一令牌发送给所述第一网络功能服务消费网元。
根据权利要求9所述的通信装置，其特征在于，所述通信装置用于实现权利要求1-8中任一项所述的方法。