WO2021103693A1

WO2021103693A1 - 授权方法及装置

Info

Publication number: WO2021103693A1
Application number: PCT/CN2020/111408
Authority: WO
Inventors: 赵绪文
Original assignee: 华为技术有限公司
Priority date: 2019-11-30
Filing date: 2020-08-26
Publication date: 2021-06-03
Also published as: EP4054141A4; EP4054141A1; CN112887260A; US20220286464A1

Abstract

本申请实施例公开了一种授权方法及装置，该授权方法包括：第一网络设备向第二网络设备发送服务请求，该服务请求包括令牌，该令牌用于校验该第一网络设备是否有权限访问该第二网络设备，该令牌包括第一信息和/或第二信息，该第一信息用于标识该第一网络设备，该第二信息用于标识该第二网络设备允许访问的网络设备；该第一网络设备接收该第二网络设备发送的服务响应。

Description

授权方法及装置

本申请要求于2019年11月30日提交中国专利局、申请号201911209163.X以及2020年02月12日提交中国专利局、申请号为202010088956.7，申请名称为“授权方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种授权方法及装置。

背景技术

目前，在讨论统一数据存储(unified data repository，UDR)和统一数据管理(unified data management，UDM)分设场景下的安全问题时，一些国家或者运营商可能会在同一公共陆地移动网络(public land mobile network，PLMN)内部署多个UDM和UDR。

一般的，UDM需要请求UDR的服务时，该UDR需要对该UDM进行校验。

由此，UDR如何校验UDM是需要解决的问题。

发明内容

本申请提供一种授权方法及装置，可使得位于授权区域内的UDM可以访问UDR的数据或服务。

第一方面，本申请提供一种授权方法，包括：

第一网络设备向第二网络设备发送服务请求，所述服务请求包括令牌，所述令牌用于校验所述第一网络设备是否有权限访问所述第二网络设备，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述第二网络设备允许访问的网络设备；所述第一网络设备接收所述第二网络设备发送的服务响应。

举例来说，在所述第二网络设备校验通过所述令牌的情况下，所述第一网络设备接收所述第二网络设备发送的服务响应，所述服务响应用于响应所述服务请求。

本申请实施例中，第一信息用于标识第一网络设备，第二信息用于标识第二网络设备允许访问的网络设备。通过在令牌中包括第一信息和/或第二信息，可使得第二网络设备根据该第一信息和/或该第二信息校验第一网络设备是否位于第二网络设备所允许访问的区域。从而避免未经授权的第一网络设备访问第二网络设备，提高第一网络设备与第二网络设备之间信息交互的安全性。

在一种可能的实现方式中，所述第一信息包括所述第一网络设备的域，所述第二信息包括所述第二网络设备允许的域；或者，所述第一信息包括所述第一网络设备的路由指示，所述第二信息包括路由指示列表；或者，所述第一信息包括所述第一网络设备的组标识，所述第二信息包括组标识列表。

在一种可能的实现方式中，所述第一网络设备向第二网络设备发送服务请求之前，所述方法还包括：所述第一网络设备向第三网络设备发送令牌请求，所述令牌请求用于请求下发所述令牌；所述第一网络设备接收所述第三网络设备发送的包括所述令牌的令牌响应。

在一种可能的实现方式中，所述令牌请求包括所述第一信息。

在一种可能的实现方式中，所述第一网络设备向第三网络设备发送令牌请求之前，所述方法还包括：所述第一网络设备向所述第三网络设备发送第一注册请求，所述第一注册请求包括所述第一信息。

第二方面，本申请提供一种授权方法，包括：

第二网络设备接收来自第一网络设备的服务请求，所述服务请求包括令牌，所述令牌用于校验所述第一网络设备是否有权限访问所述第二网络设备，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述第二网络设备允许访问的网络设备；所述第二网络设备根据所述令牌确定所述第一网络设备是否有权限访问所述第二网络设备；若所述第一网络设备有权限访问所述第二网络设备，则所述第二网络设备向所述第一网络设备发送服务响应。

可以理解的是，所述服务响应用于响应所述服务请求。

本申请实施例中，第二网络设备接收到包括令牌的服务请求后，可根据该令牌中所包括的信息(第一信息和/或第二信息)确定第一网络设备是否有权限访问第二网络设备。如果第一网络设备有权限访问，则第二网络设备便可向第一网络设备发送服务响应。第一网络设备位于第二网络设备所允许访问的区域，便可访问第二网络设备，可提高信息交互的安全性。

在一种可能的实现方式中，所述第二网络设备接收来自第一网络设备的服务请求之前，所述方法还包括：所述第二网络设备向第三网络设备发送第二注册请求，所述第二注册请求包括所述第二信息。

第三方面，本申请提供一种授权方法，包括：

第三网络设备接收第一网络设备发送的令牌请求，所述令牌请求用于请求下发令牌；所述第三网络设备根据所述令牌请求确定所述第一网络设备是否有权限访问第二网络设备；若所述第一网络设备有权限访问所述第二网络设备，则所述第三网络设备向所述第一网络设备发送包括所述令牌的令牌响应，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述第二网络设备允许访问的网络设备。

在一种可能的实现方式中，所述第三网络设备接收第一网络设备发送的令牌请求之前，所述方法还包括：所述第三网络设备接收来自所述第一网络设备的第一注册请求，所述第一注册请求包括所述第一信息；以及所述第三网络设备接收来自所述第二网络设备的第二注册请求，所述第二注册请求包括所述第二信息。

第四方面，本申请提供一种通信装置，包括：

发送单元，用于向第二网络设备发送服务请求，所述服务请求包括令牌，所述令牌用于校验所述通信装置是否有权限访问所述第二网络设备，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述通信装置，所述第二信息用于标识所述第二网络设备允许访问的网络设备；接收单元，用于接收所述第二网络设备发送的服务响应。

本申请实施例中，通信装置可为第一网络设备。可选的，该第一网络设备可以包括服务请求者。

在一种可能的实现方式中，所述第一信息包括所述通信装置的域，所述第二信息包括所述第二网络设备允许的域；或者，所述第一信息包括所述通信装置的路由指示，所述第二信息包括路由指示列表；或者，所述第一信息包括所述通信装置的组标识，所述第二信息包括组标识列表。

在一种可能的实现方式中，所述发送单元，还用于向第三网络设备发送令牌请求，所述令牌请求用于请求下发所述令牌；所述接收单元，还用于接收所述第三网络设备发送的包括所述令牌的令牌响应。

在一种可能的实现方式中，所述发送单元，还用于向所述第三网络设备发送第一注册请求，所述第一注册请求包括所述第一信息。

第五方面，本申请提供一种通信装置，包括：

接收单元，用于接收来自第一网络设备的服务请求，所述服务请求包括令牌，所述令牌用于校验所述第一网络设备是否有权限访问所述通信装置，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述通信装置允许访问的网络设备；处理单元，用于根据所述令牌确定所述第一网络设备是否有权限访问所述通信装置；发送单元，用于若所述第一网络设备有权限访问所述通信装置，则向所述第一网络设备发送服务响应。

可以理解的是，所述服务响应用于响应所述服务请求。

在一种可能的实现方式中，所述发送单元，还用于向第三网络设备发送第二注册请求，所述第二注册请求包括所述第二信息。

在一种可能的实现方式中，所述第一信息包括所述第一网络设备的域，所述第二信息包括所述通信装置允许的域；或者，所述第一信息包括所述第一网络设备的路由指示，所述第二信息包括路由指示列表；或者，所述第一信息包括所述第一网络设备的组标识，所述第二信息包括组标识列表。

本申请实施例中，通信装置可为第二网络设备。可选的，该第二网络设备可以包括服务提供者。

第六方面，本申请提供一种通信装置，包括：

接收单元，用于接收第一网络设备发送的令牌请求，所述令牌请求用于请求下发令牌；处理单元，用于根据所述令牌请求确定所述第一网络设备是否有权限访问第二网络设备；发送单元，用于若所述第一网络设备有权限访问所述第二网络设备，则向所述第一网络设备发送包括所述令牌的令牌响应，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述第二网络设备允许访问的网络设备。

在一种可能的实现方式中，所述接收单元，还用于接收来自所述第一网络设备的第一注册请求，所述第一注册请求包括所述第一信息；所述接收单元，还用于接收来自所述第二网络设备的第二注册请求，所述第二注册请求包括所述第二信息。

本申请实施例中，通信装置可为第三网络设备。

第七方面，本申请实施例提供一种通信装置，所述通信装置包括处理器、存储器和收发器，所述收发器，用于接收信号或者发送信号；所述存储器，用于存储程序代码；所述处理器，用于调用所述程序代码执行如第一方面所述的方法；或者，所述处理器，用于调用所述程序代码执行如第二方面所述的方法；或者，所述处理器，用于调用所述程序代码执行如第三方面所述的方法。

第八方面，本申请实施例提供一种通信装置，所述通信装置包括处理器和接口电路，所述接口电路，用于接收代码指令并传输至所述处理器；所述处理器运行所述代码指令以执行如第一方面所示的方法；或者，所述处理器运行所述代码指令以执行如第二方面所示的方法；或者，所述处理器运行所述代码指令以执行如第三方面所示的方法。

第九方面，本申请提供一种通信系统，所述通信系统包括：第一网络设备、第二网络设备和第三网络设备；

所述第一网络设备，用于向所述第三网络设备发送第一注册请求，所述第一注册请求包括第一信息；所述第二网络设备，用于向所述第三网络设备发送第二注册请求，所述第二注册请求包括第二信息；所述第三网络设备，用于接收所述第一注册请求和所述第二注册请求；

所述第一网络设备，还用于向所述第三网络设备发送令牌请求，所述第三网络设备，还用于接收所述令牌请求，以及向所述第一网络设备发送包括令牌的令牌响应；所述第一网络设备，还用于接收包括所述令牌的令牌响应；

所述第一网络设备，还用于向所述第二网络设备发送服务请求，所述服务请求包括所述令牌，所述令牌用于校验所述第一网络设备是否有权限访问所述第二网络设备，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述第二网络设备允许访问的网络设备；所述第二网络设备，还用于接收所述服务请求，以及确定所述第一网络设备是否有权限访问所述第二网络设备，在所述第一网络设备有权限访问所述第二网络设备的情况下，所述第二网络设备向所述第一网络设备发送服务响应；所述第一网络设备，还用于接收所述服务响应。

第十方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质用于存储指令，当所述指令被执行时，使得第一方面所述的方法被实现；或者，当所述指令被执行时，使得第二方面所述的方法被实现；或者，当所述指令被执行时，使得第三方面所述的方法被实现。

第十一方面，本申请实施例提供一种计算机程序产品，所述计算机程序产品包括指令，当所述指令被执行时，使得第一方面所述的方法被实现；或者，当所述指令被执行时，使得第二方面所述的方法被实现；或者，当所述指令被执行时，使得第三方面所述的方法被实现。

附图说明

图1是本申请实施例提供的一种支持服务化接口的IP多媒体系统(IP multimedia subsystem，IMS)网络架构示意图；

图2是本申请实施例提供的一种服务化接口的网络架构示意图；

图3是本申请实施例提供的一种授权方法的流程示意图；

图4是本申请实施例提供的一种授权方法的流程示意图；

图5是本申请实施例提供的一种通信装置的结构示意图；

图6是本申请实施例提供的一种通信装置的结构示意图；

图7是本申请实施例提供的一种授权方法的流程示意图。

具体实施方式

以下分别进行详细说明。

本申请的说明书和权利要求书及所述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

在本申请中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上，“至少两个(项)”是指两个或三个及三个以上，“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：只存在A，只存在B以及同时存在A和B三种情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。

下面结合附图对本申请的实施例进行描述。

首先，介绍本申请实施例所涉及的网络架构。

请参阅图1，图1是本申请实施例提供的一种支持服务化接口的IMS网络架构示意图，如图1所示，

略控制网络功能，如策略控制功能(policy control function，PCF)，用于指导网络行为的统一策略框架，为控制面功能(例如AMF，SMF网络功能等)提供策略规则信息等。

归属签约用户服务器(home subscriber server，HSS)，用于存储和管理用户签约数据，执行认证和鉴权向量计算等功能。

代理小区会话控制功能(proxy-call session control function，P-CSCF)，IP多媒体核心网内的首个网络节点，其功能类似于代理，即接收UE的请求消息并向网络内部(如核心网)转发。

询问代理小区会话控制功能(Interrogating-call session control function，I-CSCF)，运营商网络内所有发往该网络运营商用户或当前位于该网络运营商服务区域内的漫游用户的连接节点。

服务小区会话控制功能(serving-call session control function，S-CSCF)，为用户设备UE执行会话控制服务，维护网络运营商所需的服务会话状态。在运营商网络内，不同的S-CSCF可能具有不同的功能。

应用服务器(application server，AS)，作为应用程序的服务器，为IMS网络提供应用服务，可部署在归属网络或者第三方网络(如应用服务器或归属网络之外的网络)内。

请参阅图2，图2是本申请实施例提供的一种服务化接口的网络架构示意图，如图2所示，

网络存储网络功能，如包括网络存储功能(network repository function，NRF)，可用于维护网络中所有网络功能服务的实时信息。本申请实施例中，NRF可完成网络功能(network function，NF)的注册和网络功能的发现，以及保存同一PLMN内各NF的注册信息，作为授权服务器完成授权并生成token，也具备校验token的功能。作为示例，核心网内的各网络功能之间是服务化接口，相互间的通信方式可采用服务调用的方式。根据服务请求和服务提供方的不同，NF可分为服务请求者(NF service consumer)和服务提供者(NF service producer)。作为示例，服务请求者可包括统一数据管理(unified data management，UDM)网络功能，服务提供者可包括统一数据存储(unified data repository，UDF)网络功能。作为示例，服务请求者还可包括CSCF或AS，服务提供者还可包括HSS。可理解，本申请实施例中的服务请求者不止包括以上示例，以及服务提供者不止包括以上示例，对于其他类型的服务请求者和服务提供者，本申请实施例不作限定。

统一数据管理(unified data management，UDM)网络功能，可用于处理用户设备标识，接入鉴权，注册以及移动性管理等。可理解，以下简称UDM网络功能为UDM。

统一数据存储(unified data repository，UDR)网络功能，可用于存储和管理用户签约数据等等，其他网络功能NF可以获取或者更新该UDR的数据。

应理解，图1和图2示出的网络架构采用基于服务化架构，传统网元功能(或网络功能)基于网络功能虚拟化(network function virtualization，NFV)技术拆分成若干个自包含、自管理、可重用的网络功能服务模块，通过灵活定义服务模块集合，可以实现定制化的网络功能重构，对外通过统一的服务调用接口组成业务流程。图1或图2示出的网络架构示意图可以理解为一种非漫游场景下基于服务的网络架构示意图。对于漫游场景，本申请实施例同样适用。

可理解，以上所介绍的术语在不同的领域或不同的标准中，可能有不同的名称，因此不应将以上所示的名称理解为对本申请实施例的限定。上述网络功能或者功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。

进一步的，在服务请求者(如UDM)调用服务提供者(如UDR)的服务时，服务提供者往往无法确定服务请求者是否位于具有访问权限的区域内。例如，图2中UDM3访问UDR2时，UDR2往往无法确定UDM3是否有权限访问UDR2。因此，本申请提出一种区域相关的授权方法，可在一个PLMN内存在多个UDM和UDR(如图2)，或者存在多个CSCF、AS和HSS(如图1)的场景下，对访问UDR或HSS的NF进行区域相关的授权，防止UDR或HSS被位于未经授权区域的NF访问。

本申请主要应用于同一PLMN内部署多个UDM和UDR的5G网络，或者同一PLMN内部署有多个CSCF、AS和HSS的支持服务化接口的IMS网络，或者其他对NF之间访问有区域限制的网络，例如，位于区域a的UDR，仅允许区域b和区域c的UDM访问。本申请实施例中，NF基于服务化架构，各NF之间使用服务化接口调用服务的方式进行通信，NRF为其管理的NF提供注册、服务发现和授权等服务，本申请实施例对于具体的网络架构或NF不作限定。只要通信系统中包括服务提供者、服务请求者以及提供注册授权等服务的NF(如NRF)，均可应用本申请所提供的方法。

以下将以服务请求者(NF service consumer)为UDM和服务提供者(NF service producer)为UDR为例，详细介绍本申请提供的授权方法。

请参阅图3，图3是本申请实施例提供的一种授权方法的流程示意图，该方法可应用于图2所示的网络架构。如图3所示，该方法包括：

301、UDM向NRF发送第一注册请求，该第一注册请求包括第一信息，该第一信息用于标识UDM。相应的，该NRF接收该第一注册请求。

本申请实施例中，第一信息用于标识UDM，例如，该第一信息可包括该UDM的域(NF domain)，该UDM的域可以表示该UDM所处的区域，或者某一特定的范围，或者某一特定的集合。又例如，该第一信息可包括该UDM的路由指示(routing indicator，RI)信息，该路由指示信息可以用于其他NF发现一个或者多个UDM，即该路由指示信息可以用于指示一个或者多个UDM的集合。又例如，该第一信息可包括该UDM的组标识(group ID)信息，该组标识信息可以用于指示由一个或者多个UDM构成的组。

除了上述第一信息，该第一注册请求还可包括UDM的简况(NF profile)参数，该UDM的简况参数可包括UDM的网络功能实例ID(NF instance ID)、UDM的网络功能类型(NF type)、UDM的组标识(group ID)、UDM的签约永久标识范围(range(s)of(subscriber permanent identifier，SUPI)s)等等参数。可理解，本申请实施例对于该UDM的简况参数具体有哪些参数不作限定。

本申请实施例中，该第一注册请求用于将UDM的相关信息参数(例如，网络功能简况，NF profile)注册到NRF中，以便于NRF执行服务发现和授权。

302、UDR向NRF发送第二注册请求，该第二注册请求包括第二信息，该第二信息用于标识UDR所允许访问的UDM。相应的，该NRF接收该第二注册请求。

本申请实施例中，第二信息用于标识UDR所允许访问的UDM，也就是说，该第二信息可用于指示一个或多个UDM，该第二信息所指示的一个或多个UDM为该UDR所允许访问的UDM。可理解，该UDR所允许访问的UDM可与该UDR位于同一个区域，从而可减少UDM访问UDR的时延，提高访问效率。或者，该UDR所允许访问的UDM可与该UDR不属于同一个区域等等，本申请实施例对于UDR与相应的UDM是否位于同一区域不作限定。

例如，该第二信息可为UDR允许的域(allowed NF domains)。又例如，该第二信息可为路由指示列表(RI list)，该路由指示列表可包含该UDR所允许访问的一个或多个UDM的路由指示。又例如，该第二信息可为路由指示集合，该路由指示集合包括该UDR所允许访问的一个或多个UDM的路由指示。例如，RI列表中的每一个RI可用于标识特定区域的UDM(可为一个UDM，也可为多个UDM)。又例如，该第二信息可为组标识列表(group ID列表)，或者，该第二信息可为组标识集合等等。例如，组标识列表中的每一个组标识可用于标识特定的UDM组(可包含一个UDM，也可包含多个UDM)。

作为示例，第一信息包括NF domain时，第二信息可包括allowed NF domains；第一信息包括RI时，第二信息包括RI list；第一信息包括组标识时，第二信息包括组标识列表。

可选的，在第二信息包括路由指示列表、路由指示集合、组标识列表或组标识集合中的任一项时，在上述302之前，运营商还可为UDR配置第二信息等等，本申请实施例对于如何为UDR配置第二信息不作限定。

除了上述第二信息，该第二注册请求还可包括UDR的简况(profile)参数，该第二NF简况参数可包括UDR的网络功能实例ID(NF instance ID)、UDR的网络功能类型(NF type)、UDR的组标识(group ID)、UDR的签约永久标识范围(range(s)of(subscriber permanent identifier，SUPI)s)等等参数。可理解，本申请实施例对于该UDR的简况参数具体有哪些参数不作限定。

本申请实施例中，该第二注册请求用于将UDR的相关信息参数(例如，网络功能简况，NF profile)注册到NRF中，以便于NRF执行服务发现和授权。

303、UDM向NRF发送令牌请求(token request)，该令牌请求用于请求下发令牌(token)。相应的，该NRF接收该令牌请求。

本申请实施例中，该令牌请求可包括UDM的简况参数中的一项或多项参数，对于该UDM的简况参数所包括的参数类型可参考前述描述，这里不再详述。

可选的，该令牌请求还可包括第一信息，对于该第一信息可参考前述描述，这里不再详述。

可理解，在具体实现中，上述301和302不一定每一次都执行，即UDM向NRF发送了第一注册请求以及UDR向NRF发送了第二注册请求之后，在一定的有效期内，本申请实施例所提供的授权方法还可只包括303-306。

304、NRF根据令牌请求确定UDM是否有权限访问UDR；若有，则向该UDM发送令牌响应(token response)。相应的，该UDM接收该令牌响应。

可选的，在令牌请求不包括第一信息的情况下，该令牌请求还可包括指示信息，该指示信息用于指示NRF需要判断UDM是否有权限访问UDR，或者该指示信息用于指示NRF需要判断UDM是否位于UDR允许访问的区域，或者该指示信息用于指示NRF执行区域相关授权操作。也就是说，NRF确定UDM是否有权限访问UDR之前，该NRF还可以判断是否需要确定UDM是否有权限访问UDR。

可选的，在令牌请求包括第一信息的情况下，该NRF可根据该第一信息来确定需要判断UDM是否有权限访问UDR。

可选的，令牌请求中不包括第一信息时，NRF可根据令牌请求包括的UDM的简况参数中的一项或多项参数来确定该UDM是否有权限访问UDR。例如，NRF可根据令牌请求中的UDM的简况参数得到该UDM的第一信息。可理解，该UDM的简况参数与该UDM的域具有关联关系，即NRF可根据UDM的简况参数来得到该UDM的第一信息。例如，NRF可根据UDM的简况参数中的一项或多项参数，比如UDM的实例标识，查询NRF保存的UDM相关参数，得到该UDM的第一信息。或者，该NRF还可根据该UDM的第一信息得到该UDM的简况参数等等。

可选的，令牌请求中包括第一信息时，NRF可根据该第一信息确定UDM是否有权限访问UDR。可理解，对于NRF确定UDM是否有权限访问UDR的方法可参考以下方式一、方式二和方式三的描述，这里先不详述。

可理解，该令牌请求中可包括UDR的标识信息，该UDR的标识信息可用于指示UDM需要访问的UDR。即NRF可通过该UDR的标识信息得知UDM需要访问哪个UDR。例如，如图2，UDM1需要访问同一个区域的UDR1，则令牌请求中可包括UDR1的标识信息。又例如，UDM1需要访问不属于同一个区域的UDR2，则令牌请求中可包括UDR2的标识信息。可理解，以下所示的方式一、方式二和方式三中令牌请求均可包括UDR的标识信息。

本申请实施例中，根据令牌请求所包括的第一信息的不同，NRF确定UDM是否有权限访问UDR的方法可如下所示：

方式一、

令牌请求中包括UDM的NF domain，则NRF可根据令牌请求中包含的UDR的标识信息获取UDR的allowed NF domain，并确定UDR的allowed NF domain中是否包括UDM的NF domain。若UDR的allowed NF domain中包括该UDM的NF domain，则该NRF生成/产生令牌。若UDR的allowed NF domain中不包括该NF domain，则该NRF不生成令牌，从而不向该UDM返回令牌响应。或者，该NRF可以向该UDM返回令牌响应，该令牌响应中可包括失败原因值和/或异常信息等等，该失败原因值用于表示该UDM无法访问UDR的原因。或者，该NRF可以向该UDM返回拒绝消息。

可选的，令牌中可包括UDM的NF domain；或者，令牌中包括UDR的allowed NF domain；或者，令牌中包括UDM的NF domain和UDR的allowed NF domain。

作为示例，对于令牌的具体格式可参考表1。

表1

该令牌中所包括的UDM的NF domain和/或UDR的allowed NF domain可位于以上所示的任一Claim。例如，NF domain和allowed NF domain可位于同一claim，或者，NF domain和allowed NF domain可位于不同的claim等。

方式二、

令牌请求中包括UDM的RI，则NRF可确定该UDM的RI是否包含在UDR的RI列表中；若包含在UDR的RI列表中，则该NRF生成令牌。若UDR的RI列表中不包括该UDM的RI，则该NRF不生成令牌，从而不向该UDM返回令牌响应。或者，该NRF可以向该UDM返回令牌响应，该令牌响应中可包括失败原因值和/或异常信息等等。或者，该NRF可以向该UDM返回拒绝消息。

可选的，令牌中可包括UDM的RI；或者，令牌中包括UDR的RI列表；或者，令牌中包括该UDM的RI和该UDR的RI列表。

对于该RI或该RI列表的具体位置，可参考表1的相关描述。

方式三、

令牌请求中包括UDM的组标识，则NRF确定该UDM的组标识是否包含在UDR的UDM组标识列表，其中UDR的UDM组标识列表包含一个或者多个UDM组的标识，每一个UDM组的标识指代一个被允许访问该UDR的UDM组；若包含在该UDR的UDM组标识列表中，则该NRF生成令牌。若UDR的UDM组标识列表中不包括该UDM的组标识，则该NRF可不向该UDM返回令牌响应。或者，该NRF可以向该UDM返回令牌响应，该令牌响应中可包括失败原因值和/或异常信息等等。或者，该NRF可以向该UDM返回拒绝消息。

可选的，令牌中可包括UDM的组标识；或者，令牌中包括UDR的UDM组标识列表；或者，令牌中包括该UDM的组标识和该UDR的UDM组标识列表。

对于该组标识和该组标识列表的具体位置，可参考表1的相关描述。

可理解，NRF还可对该令牌进行完整性保护，即NRF可根据令牌请求中包括的UDR的标识信息生成令牌，即该NRF可使用与该令牌请求中包括的UDR的标识信息所指示的UDR之间的共享秘钥、或者使用私钥对该令牌进行完整性保护等等。

305、UDM向UDR发送服务请求，该服务请求包括令牌，该令牌用于校验该UDM是否有权限访问该UDR，且该令牌包括第一信息和/或第二信息。相应的，该UDR接收该服务请求。

306、UDR根据服务请求中的令牌确定UDM是否有权限访问该UDR；若有，则向该UDM发送服务响应。相应的，该UDM接收该服务响应。

本申请实施例中，UDR可根据令牌中包括的第一信息和/或第二信息来确定UDM是否有权限访问该UDR。例如，UDR可根据令牌中的UDM的NF domain来确定该UDM的NF domain是否属于UDR的allowed NF domain范围内，如果属于该UDR的allowed NF domain范围内，则该UDM有权限访问该UDR。或者，该UDR还可根据令牌中的UDR的allowed NF domain来确定该UDR的allowed NF domain是否与该UDF本身的allowed NF domain相同，如果相同，则确定UDM有权限访问该UDR。又例如，UDR可根据令牌中的UDM的RI来确定该UDM的RI是否属于该UDR的RI列表中，如果属于该UDR的RI列表中，则该UDM有权限访问该UDR。或者，该UDR还可根据令牌中的UDR的RI列表来确定该UDR的RI列表与该UDR本身的RI列表是否相同，如果相同，则确定该UDM有权限访问该UDR。又例如，UDR可根据令牌中的UDM的组标识确定该UDM的组标识是否属于该UDR的UDM组标识列表中；或者，该UDR还可对比令牌中包括的UDR的UDM组标识列表与该UDR本身的UDM组标识列表是否相同，从而确定该UDM是否有权限访问该UDR。若UDR确定UDM有权限访问该UDR，则向UDM返回服务响应。

可理解，UDR接收到包括令牌的服务请求后，还可对该令牌进行完整性校验，如果校验通过，则向该UDM返回服务响应。例如，该UDR可使用与NRF之间的共享秘钥，或者使用NRF的公钥对令牌进行完整性校验，校验通过后UDR向UDM响应服务请求所请求的相关服务。可理解，该UDR可先对令牌进行完整性校验；然后再校验UDM是否有权限访问该UDR。或者，该UDR也可先校验该UDM是否有权限访问该UDR，再对令牌进行完整性校验等等，本申请实施例不作限定。

可理解，在具体实现中，上述303和304不一定每一次都执行，即UDM向NRF请求了令牌后，在该令牌的有效期内，本申请实施例所提供的授权方法还可只包括305和306。

本申请实施例中，例如，服务请求可用于请求查询用户签约数据，从而UDR返回用户签约数据；又例如，服务请求可用于请求更新策略数据，从而UDR更新策略数据后向UDM返回更新情况(更新成功或者失败)等等，本申请实施例对于服务请求所请求的内容不作限定。

可理解，对于图3所示的方法同样适用于图1所示的网络架构，例如，UDM可替换为CSCF(例如图1中P-CSCF、S-CSCF或I-CSCF等等)或AS；UDR可替换为HSS。例如，第一信息用于标识CSCF，第二信息用于标识HSS所允许的CSCF。又例如，第一信息可包括CSCF的域，第二信息可包括HSS所允许的域。又例如，第一信息可包括CSCF的路由指示，第二信息可包括HSS的路由指示列表等等。对于具体的实现方式可参考图3所示的方法，这里不再一一详述。

本申请实施例中，第一信息用于标识第一网络设备(如UDM)，第二信息用于标识第二网络设备(如UDR)允许访问的网络设备。通过在令牌中包括第一信息和/或第二信息，可使得第二网络设备根据该第一信息和/或该第二信息校验第一网络设备是否位于第二网络设备所允许访问的区域。从而避免未经授权的第一网络设备访问第二网络设备，提高第一网络设备与第二网络设备之间信息交互的安全性。进一步的，通过授权同一区域的第一网络设备访问该同区域的第二网络设备，还可减少第一网络设备访问第二网络设备的时延，提高效率。

请参阅图4，图4是本申请实施例提供的一种授权方法的流程示意图，该方法可应用于图2所示的网络架构。如图4所示，该方法包括：

401、UDM向NRF发送第一注册请求，该第一注册请求包括该UDM的简况参数。相应的，该NRF接收该第一注册请求。

该UDM的简况参数包括该UDM的用户标识范围，该UDM的用户标识范围表示该UDM所管理或服务的SUPI的范围，其中SUPI为用户的签约永久标识。

可选的，NRF还可保存该UDM的用户标识范围。

402、UDR向NRF发送第二注册请求，该第二注册请求包括UDR的简况参数。相应的，该NRF接收该第二注册请求。

该UDR的简况参数包括该UDR的用户标识范围，该UDR的用户标识范围表示该UDR所管理或服务的SUPI的范围。

403、UDM向NRF发送令牌请求(token request)，该令牌请求用于请求下发令牌(token)。相应的，该NRF接收该令牌请求。

可选的，该令牌请求可包括UDM的简况参数中的一项或多项，对于该UDM的简况参数所包括的参数类型可参考前述描述，这里不再详述。

可选的，该令牌请求可包括UDM的用户标识范围(range(s)of SUPIs)。

可理解，该令牌请求中在包括UDM的简况参数中的一项或多项时，该令牌请求中可不包括该UDM的用户标识范围，该情况下NRF可根据该令牌请求中的信息(如UDM的网络功能实例ID等等)查询UDM的简况参数得到该UDM的用户标识范围。以及，该令牌请求中包括该UDM的用户标识范围时，对于该令牌请求中是否包括该UDM的简况参数中的一项或多项参数不作限定。

可理解，在具体实现中，上述401和402不一定每一次都执行，即UDM向NRF发送了第一注册请求以及UDR向NRF发送了第二注册请求之后，在一定的有效期内，本申请实施例所提供的授权方法还可只包括403-406。

404、NRF根据令牌请求确定UDM是否有权限访问UDR；若有，则向该UDM发送令牌响应(token response)。相应的，该UDM接收该令牌响应。

可选的，该令牌请求中在包括UDM的简况参数中的一项或多项时，该令牌请求中可不包括该UDM的用户标识范围，该情况下该令牌请求还可包括指示信息，该指示信息用于指示NRF需要判断UDM是否有权限访问UDR，或者指示NRF需要判断UDM是否位于UDR允许访问的区域，或者指示NRF当前为区域相关的授权。也就是说，NRF确定UDM是否有权限访问UDR之前，该NRF还需要判断是否确定UDM是否有权限访问UDR。

可选的，在令牌请求中包括UDM的用户标识范围时，该NRF可根据令牌请求包括的UDM的用户标识范围判断需要确定UDM是否有权限访问UDR。

可理解，该令牌请求中可包括UDR的标识信息，该UDR的标识信息可用于指示UDM需要访问的UDR。即NRF可通过该UDR的标识信息得知UDM需要访问哪个UDR。例如，如图2，UDM1需要访问同一个区域的UDR1，则令牌请求中可包括UDR1的标识信息。又例如，UDM1需要访问不属于同一个区域的UDR2，则令牌请求中可包括UDR2的标识信息。

NRF可根据请求中包含的UDR的标识信息获取UDR的用户标识范围内，并确定该UDM的用户标识范围是否属于UDR的用户标识范围内；如果是，则生成令牌，该令牌中包括UDM的用户标识范围；或者，该令牌中包括UDR的用户标识范围；或者，该令牌中包括UDM的用户标识范围和UDR的用户标识范围。若UDM的用户标识范围不属于UDR的用户标识范围内，则该NRF不生成令牌，从而不向该UDM返回令牌响应。或者，该NRF可以向该UDM返回令牌响应，该令牌响应中可包括失败原因值和/或异常信息等等，该失败原因值用于表示该UDM无法访问UDR的原因。或者，该NRF可以向该UDM返回拒绝消息。

该令牌中所包括的UDM的用户标识范围和/或UDR的用户标识范围的具体位置，可参考表1的相关描述。

405、UDM向UDR发送服务请求，该服务请求包括令牌，该令牌用于校验该UDM是否有权限访问该UDR，且该令牌包括UDM的用户标识范围和/或UDR的用户标识范围。相应的，该UDR接收该服务请求。

406、UDR根据服务请求中的令牌确定UDM是否有权限访问该UDR；若有，则向该UDM发送服务响应。相应的，该UDM接收该服务响应。

UDR可校验令牌中的UDM用户标识范围是否属于该UDR的用户标识范围内，如果属于该UDR的用户标识范围内，则该UDM有权限访问该UDR；或者，UDR可校验令牌中包括的UDR的用户标识范围是否与自身的用户标识范围相同，如果相同，则确定UDM有权限访问该UDR。若UDR确定UDM有权限访问该UDR，则向UDM返回服务响应。

可选的，该UDR还可对令牌进行完整性校验。

可理解，该UDR可先对令牌进行完整性校验；然后再校验UDM是否有权限访问该UDR。或者，该UDR也可先校验该UDM是否有权限访问该UDR，再对令牌进行完整性校验等等，本申请实施例不作限定。

可理解，在具体实现中，上述403和404不一定每一次都执行，即UDM向NRF请求了令牌后，在该令牌的有效期内，本申请实施例所提供的授权方法还可只包括405和406。

可理解，对于图4所示的方法同样适用于图1所示的网络架构。例如，UDM可替换为CSCF或AS；UDR可替换为HSS。例如，用户标识范围可替换为(range(s)of IMPI(IP multimedia private identity，IMPI)/(IMS public user identity，IMPU))等等。对于具体的实现方式可参考图3和图4所示的方法，这里不再一一详述。

实施本申请实施例，可避免未经授权的第一网络设备访问第二网络设备，提高第一网络设备与第二网络设备之间信息交互的安全性。进一步的，通过授权同一区域的第一网络设备访问该同区域的第二网络设备，还可减少第一网络设备访问第二网络设备的时延，提高效率。

可理解，图3和图4所示的方法各有侧重，其中一个实施例中未详尽描述的实现方式可参考另一个实施例。

请参阅图7，图7是本申请实施例提供的又一种授权方法的流程示意图，该方法可应用于图2所示的网络架构。如图7所示，该方法包括：

701、服务请求者(例如，UDM，PCF，NEF等)向NRF发送第一注册请求，相应的，该NRF接收该第一注册请求。

本申请实施例中，该第一注册请求可以包括服务请求者的简况(NF profile)参数，该服务请求者的简况参数可包括服务请求者的网络功能实例ID(NF instance ID)、服务请求者的网络功能类型(NF type)、服务请求者的组标识(group ID)、服务请求者的签约永久标识范围(range(s)of(subscriber permanent identifier，SUPI)s)等等参数。可理解，本申请实施例对于该服务请求者的简况参数具体有哪些参数不作限定。

本申请实施例中，该第一注册请求用于将服务请求者的相关信息参数(例如，网络功能简况，NF profile)注册到NRF中，以便于NRF执行服务发现和授权。

702、服务提供者(例如，UDR)向NRF发送第二注册请求。相应的，该NRF接收该第二注册请求。

本申请实施例中，该第二注册请求可以包括服务提供者的简况(profile)参数，该第二NF简况参数可包括服务提供者的网络功能实例ID(NF instance ID)、服务提供者的网络功能类型(NF type)、服务提供者的组标识(group ID)、服务提供者的签约永久标识范围(range(s)of(subscriber permanent identifier，SUPI)s)等等参数。可理解，本申请实施例对于该服务提供者的简况参数具体有哪些参数不作限定。

可选的，该第二注册请求可以包括可访问该服务提供者的服务请求者的NF type与该服务请求者可访问数据类型的对应关系。具体的，服务请求者的NF type与该服务请求者可访问数据类型的对应关系，可以是服务提供者NF type与数据类型标识的匹配列表，或者可以是服务提供者NF type与数据类型标识的映射列表。其中，数据类型标识用于标识服务提供者中保存的数据的类型，具体的，数据类型标识可以包括数据集合标识(Data Set Identifier)，和/或数据子集合标识(Data Subset Identifier)，和/或数据秘钥(Data Key)，和/或数据子秘钥(Data Sub Key)等。其中，数据集合标识用于标识服务请求者需要请求的数据集合，数据集合可以表示为数据类型，例如，数据集合可以是签约数据(Subscription Data)，或者应用数据(Application data)，或者策略数据(Policy Data)，或者开放数据(Exposure Data)；数据子集合标识用于标识服务请求者需要请求的数据子集合，数据子集合是数据集合的下一层级，可以表示为更具体的数据类型，例如，数据子集合可以是接入与移动签约数据(Access and MobilitySubscription Data)，或者数据包流说明(Packet Flow Descriptions)，或者UE上下文策略控制数据(UE context policy control data)，或者接入与移动信息(Access and Mobility Information)等。

本申请实施例中，该第二注册请求用于将服务提供者的相关信息参数(例如，网络功能简况，NF profile)注册到NRF中，以便于NRF执行服务发现和授权。

703、服务请求者向NRF发送令牌请求(token request)，该令牌请求用于请求下发令牌(token)。相应的，该NRF接收该令牌请求。

本申请实施例中，该令牌请求可包括服务请求者的简况参数中的一项或多项参数，对于该服务请求者的简况参数所包括的参数类型可参考前述描述，这里不再详述。

可选的，该令牌请求中还可以包含服务请求者要访问服务提供者中保存数据的数据类型标识(例如，Data Set Identifier，和/或Data Subset Identifier，和/或Data Key，和/或Data Sub Key等)。

可理解，在具体实现中，上述701和702不一定每一次都执行，即服务请求者向NRF发送了第一注册请求以及服务提供者向NRF发送了第二注册请求之后，在一定的有效期内，本申请实施例所提供的授权方法还可只包括703-706。

704、NRF根据令牌请求确定服务请求者是否被授权访问服务提供者的服务，例如，NRF根据令牌请求确定服务请求者是否有权限访问服务提供者提供的服务。若确定服务请求者被授权访问服务提供者的服务，则向该服务请求者发送令牌响应(token response)，令牌响应中包含令牌。相应的，该服务请求者接收该令牌响应。

具体的，NRF可根据令牌请求包括的服务请求者的简况参数中的一项或多项参数，结合本地配置或者本地策略信息来确定该服务请求者是否被授权访问服务提供者提供的服务。

可选的，若NRF确定服务请求者被授权访问服务提供者提供的服务，则NRF可以进一步的根据令牌请求中的服务请求者的网络功能类型(NF type of the NF producer)，和/或服务请求中的数据类型标识(例如，Data Set Identifier，和/或Data Subset Identifier，和/或Data Key，和/或Data Sub Key等)，和/或服务请求者的NF type与该服务请求者可访问数据类型的对应关系，和/或本地配置或者本地策略信息确定服务请求者是否被授权访问该数据类型的数据，例如，NRF确定服务请求者是否有权限访问该数据类型的数据。若确定服务请求者被授权访问该数据类型的数据，则服务提供者向该服务请求者发送服务响应，该服务响应中包含前述类型的数据。

可理解，该令牌请求中可包括服务提供者的标识信息，该服务提供者的标识信息可用于指示服务请求者需要访问的服务提供者。即NRF可通过该服务提供者的标识信息得知服务请求者需要访问哪个服务提供者。

可理解，NRF还可对该令牌进行完整性保护，即NRF可根据令牌请求中包括的服务提供者的标识信息生成令牌，即该NRF可使用与该令牌请求中包括的服务提供者的标识信息所指示的服务提供者之间的共享秘钥、或者使用私钥对该令牌进行完整性保护等等。

705、服务请求者向服务提供者发送服务请求；

可选的，该服务请求包括令牌。服务提供者使用该校验该服务请求者是否有权限访问该服务提供者。

可选的，该服务请求中还可以包括数据类型标识(例如，Data Set Identifier，和/或Data Subset Identifier，和/或Data Key，和/或Data Sub Key等)。相应的，该服务提供者接收该服务请求。

706、服务提供者根据服务请求中的令牌确定服务请求者是否被授权访问该服务提供者；若确定服务请求者被授权访问该服务提供者，则服务提供者继续根据令牌中的服务请求者的网络功能类型(NF type)，以及服务请求中的数据类型标识，确定服务请求者是否被授权访问该类型的数据，若确定服务请求者被授权访问该类型的数据，则服务提供者向该服务请求者发送服务响应，该服务响应中包含前述类型的数据。相应的，该服务请求者接收该服务响应。

本申请实施例中，服务提供者可根据令牌中包括的服务请求者的网络功能类型，以及服务请求中的数据类型标识，确定服务请求者是否被授权访问该类型的数据。例如，服务提供者为UDR，服务提供者可根据令牌中的服务请求者的网络功能类型来确定该服务请求者为UDM；可选的，服务提供者可根据服务请求中的数据集合标识来确定该服务请求者要访问的数据类型为签约数据，和/或根据服务请求中的数据子集合标识进一步确定该服务请求者要访问的数据子类型为接入和移动签约数据，随后服务提供者根据本地配置或者本地策略，确定该类型的服务请求者(即，UDM)可以请求该类型的数据(即，签约数据，和/或接入和移动签约数据)，即UDM可以请求UDR中的签约数据，和/或接入和移动签约数据。又例如，服务提供者为UDR，服务请求者的网络功能类型为PCF/NEF，数据集合标识表示数据类型为签约数据，则服务提供者根据本地配置或者本地策略，确定该类型的服务请求者(即，PCF/NEF)不可以请求该类型的数据(即，签约数据)，即PCF/NEF不可以请求UDR中的签约数据。又例如，服务提供者为UDR，数据集合标识表示数据类型为策略数据，若服务请求者的网络功能类型为PCF，则服务提供者确定该类型的服务请求者(即，PCF)可以请求该类型的数据(即，签约数据)；若服务请求者的网络功能类型为UDM/NEF，则服务提供者确定该类型的服务请求者(即，UDM/NEF)不可以请求该类型的数据(即，签约数据)，即仅有PCF可以请求UDR中的策略数据，UDM/NEF则不可以请求UDR中的策略数据。若服务提供者确定服务请求者有权限请求访问该类型的数据，则服务提供者向服务请求者返回服务响应，该服务响应中包含前述类型的数据。

可理解，服务提供者确定可以根据服务提供者的NF type和服务请求中的数据类型标识，结合本地配置或者本地策略，确定该类型的服务请求者是否被授权请求/访问该类型的数据。可选的，服务提供者也可以根据服务提供者的NF type和服务请求中的数据类型标识，结合服务请求者的NF type与该服务请求者可访问数据类型的对应关系，确定该类型的服务请求者是否被授权请求/访问该类型的数据。

可选的，服务提供者还可以校验令牌中包含的数据类型标识与服务请求中的数据类型标识是否一致，若一致，则确定服务提供者被授权访问该类型的数据。

可选的，服务提供者还可以校验令牌中包含的数据类型标识与本地保存的数据类型标识是否一致，若一致，则确定服务提供者被授权访问该类型的数据。

可选的，服务提供者也可以根据令牌中的服务提供者的NF type和数据类型标识，结合服务请求者的NF type与该服务请求者可访问数据类型的对应关系，和/或结合本地配置或者本地策略，确定该类型的服务请求者是否被授权请求/访问该类型的数据。

可理解，服务提供者接收到包括令牌的服务请求后，还可对该令牌进行完整性校验，如果校验通过，则向该服务请求者返回服务响应。例如，该服务提供者可使用与NRF之间的共享秘钥，或者使用NRF的公钥对令牌进行完整性校验，校验通过后服务提供者向服务请求者响应服务请求所请求的相关服务。可理解，该服务提供者可先对令牌进行完整性校验；然后再校验服务请求者是否被授权访问该服务提供者。或者，该服务提供者也可先校验该服务请求者是否有权限访问该服务提供者，再对令牌进行完整性校验等等，本申请实施例不作限定。

可理解，在具体实现中，上述703和704不一定每一次都执行，即服务请求者向NRF请求了令牌后，在该令牌的有效期内，本申请实施例所提供的授权方法还可只包括705和706。

本申请实施例中，例如，服务请求可用于请求查询用户签约数据，从而服务提供者返回用户签约数据；又例如，服务请求可用于请求更新策略数据，从而服务提供者更新策略数据后向服务请求者返回更新情况(更新成功或者失败)等等，本申请实施例对于服务请求所请求的内容不作限定。

本申请实施例中，在确认服务请求者有权限访问服务提供者后，可以进一步的根据服务请求者的网络功能类型(NF type)，以及数据类型标识，确定服务请求者是否被授权访问该类型的数据，从而可以在数据类型粒度完成授权，防止未被授权类型的NF访问服务提供者内保存的敏感数据，进一步的提升安全性。

以下将详细描述本申请实施例涉及的装置。

请参阅图5，图5是本申请实施例提供的一种通信装置的结构示意图，该通信装置可用于执行图3、图4和图7中的第一网络设备所实现的功能。如图5所示，该通信装置包括：

发送单元501，用于向第二网络设备发送服务请求，该服务请求包括令牌，该令牌用于校验该通信装置是否有权限访问该第二网络设备，该令牌包括第一信息和/或第二信息，该第一信息用于标识该通信装置，该第二信息用于标识该第二网络设备允许访问的网络设备；

接收单元502，用于在该第二网络设备校验通过该令牌的情况下，接收该第二网络设备发送的服务响应，该服务响应用于响应该服务请求。

在一种可能的实现方式中，该第一信息包括该通信装置的域，该第二信息包括该第二网络设备允许的域；

或者，该第一信息包括该通信装置的路由指示，该第二信息包括路由指示列表；

或者，该第一信息包括该通信装置的组标识，该第二信息包括组标识列表。

在一种可能的实现方式中，该发送单元501，还用于向第三网络设备发送令牌请求，该令牌请求用于请求下发该令牌；

该接收单元502，还用于接收该第三网络设备发送的包括该令牌的令牌响应。

在一种可能的实现方式中，该令牌请求包括该第一信息。

在一种可能的实现方式中，该发送单元501，还用于向该第三网络设备发送第一注册请求，该第一注册请求包括该第一信息。

需要理解的是，当上述通信装置是第一网络设备或第一网络设备中实现上述功能的部件时，该通信装置还可包括处理单元503。其中，处理单元503可以是一个或多个处理器，发送单501可以是发送器，接收单元502可以是接收器，或者发送单元501和接收单元502集成于一个器件，例如收发器。

当上述通信装置是芯片时，处理单元503可以是一个或多个处理器，发送单元501可以是输出接口，接收单元502可以是输入接口，或者发送单元501和接收单元502集成于一个单元，例如输入输出接口，又或者称为通信接口，或者接口电路，或接口等等。

可理解，对于图5所示的各个单元的实现可以参考前述实施例的相应描述。

请参阅图5，图5是本申请实施例提供的一种通信装置的结构示意图，该通信装置可用于执行图3、图4和图7中的第二网络设备所实现的功能。如图5所示，该通信装置包括：

接收单元502，用于接收来自第一网络设备的服务请求，该服务请求包括令牌，该令牌用于校验该第一网络设备是否有权限访问该通信装置，该令牌包括第一信息和/或第二信息，该第一信息用于标识该第一网络设备，该第二信息用于标识该通信装置允许访问的网络设备；

处理单元503，用于根据该令牌确定该第一网络设备是否有权限访问该通信装置；

发送单元501，用于若该第一网络设备有权限访问该通信装置，则向该第一网络设备发送服务响应，该服务响应用于响应该服务请求。

在一种可能的实现方式中，所述发送单元501，还用于向第三网络设备发送第二注册请求，所述第二注册请求包括所述第二信息。

在一种可能的实现方式中，该第一信息包括该第一网络设备的域，该第二信息包括该通信装置允许的域；

或者，该第一信息包括该第一网络设备的路由指示，该第二信息包括路由指示列表；

或者，该第一信息包括该第一网络设备的组标识，该第二信息包括组标识列表。

需要理解的是，当上述通信装置是第二网络设备或第二网络设备中实现上述功能的部件时，该通信装置还可包括处理单元503。其中，处理单元503可以是一个或多个处理器，发送单元501可以是发送器，接收单元502可以是接收器，或者发送单元501和接收单元502集成于一个器件，例如收发器。

请参阅图5，图5是本申请实施例提供的一种通信装置的结构示意图，该通信装置可用于执行图3、图4和图7中的第三网络设备(如NRF)所实现的功能。如图5所示，该通信装置包括：

接收单元502，用于接收第一网络设备发送的令牌请求，该令牌请求用于请求下发令牌；

处理单元503，用于根据该令牌请求确定该第一网络设备是否有权限访问第二网络设备；

发送单元501，用于若该第一网络设备有权限访问该第二网络设备，则向该第一网络设备发送包括该令牌的令牌响应，该令牌包括第一信息和/或第二信息，该第一信息用于标识该第一网络设备，该第二信息用于标识该第二网络设备允许访问的网络设备。

在一种可能的实现方式中，该接收单元502，还用于接收来自该第一网络设备的第一注册请求，该第一注册请求包括该第一信息；

该接收单元502，还用于接收来自该第二网络设备的第二注册请求，该第二注册请求包括该第二信息。

在一种可能的实现方式中，该第一信息包括该第一网络设备的域，该第二信息包括该第二网络设备允许的域；

需要理解的是，当上述通信装置是第三网络设备或第三网络设备中实现上述功能的部件时，该通信装置还可包括处理单元503。其中，处理单元503可以是一个或多个处理器，发送单501可以是发送器，接收单元502可以是接收器，或者发送单元501和接收单元502集成于一个器件，例如收发器。

请参阅图6，图6是本申请实施例提供的一种通信装置的结构示意图，用于实现上述方法中第一网络设备、第二网络设备和第三网络设备中的任一功能。当实现第一网络设备的功能时，该装置可以是第一网络设备，也可以是第一网络设备中的装置，或者是能够和第一网络设备匹配使用的装置。当实现第二网络设备的功能时，该装置可以是第二网络设备，也可以是第二网络设备中的装置，或者是能够和第二网络设备匹配使用的装置。当实现第三网络设备的功能时，该装置可以是第三网络设备，也可以是第三网络设备中的装置，或者是能够和第三网络设备匹配使用的装置。作为示例，该通信装置还可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。通信装置包括至少一个处理器620，用于实现本申请实施例提供的方法中第一网络设备、第二网络设备和第三网络设备中的任一功能。通信装置还可以包括通信接口610。在本申请实施例中，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口，用于通过传输介质和其它设备进行通信。例如，通信接口610用于通信装置中的装置可以和其它设备进行通信。处理器620利用通信接口610收发数据，并用于实现上述方法实施例所述的方法。

通信装置还可以包括至少一个存储器630，用于存储程序指令和/或数据。存储器630和处理器620耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器620可能和存储器630协同操作。处理器620可能执行存储器630中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。

本申请实施例中不限定上述通信接口610、处理器620以及存储器630之间的具体连接介质。本申请实施例在图6中以存储器630、处理器620以及通信接口610之间通过总线640连接，总线在图6中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信装置具体是芯片或者芯片系统时，通信接口610所输出或接收的可以是基带信号。通信装置具体是设备时，通信接口610所输出或接收的可以是射频信号。在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行图3、图4或图7所示实施例中的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行图3、图4或图7所示实施例中的方法。

根据本申请实施例提供的方法，本申请还提供一种系统，其包括前述的第一网络设备、第二网络设备和第三网络设备。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disc，SSD))等。

在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如，部件可以是但不限于，在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示，在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中，部件可位于一个计算机上和/或分布在两个或更多个计算机之间。此外，这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据，例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和步骤(step)，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种授权方法，其特征在于，所述方法包括：

第一网络设备向第二网络设备发送服务请求，所述服务请求包括令牌，所述令牌用于校验所述第一网络设备是否有权限访问所述第二网络设备，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述第二网络设备允许访问的网络设备；

所述第一网络设备接收所述第二网络设备发送的服务响应。
根据权利要求1所述的方法，其特征在于，所述第一信息包括所述第一网络设备的域，所述第二信息包括所述第二网络设备允许的域；

或者，所述第一信息包括所述第一网络设备的路由指示，所述第二信息包括路由指示列表；

或者，所述第一信息包括所述第一网络设备的组标识，所述第二信息包括组标识列表。
根据权利要求1或2所述的方法，其特征在于，所述第一网络设备向第二网络设备发送服务请求之前，所述方法还包括：

所述第一网络设备向第三网络设备发送令牌请求，所述令牌请求用于请求下发所述令牌；

所述第一网络设备接收所述第三网络设备发送的包括所述令牌的令牌响应。
根据权利要求3所述的方法，其特征在于，所述令牌请求包括所述第一信息。
根据权利要求3或4所述的方法，其特征在于，所述第一网络设备向第三网络设备发送令牌请求之前，所述方法还包括：

所述第一网络设备向所述第三网络设备发送第一注册请求，所述第一注册请求包括所述第一信息。
一种授权方法，其特征在于，所述方法包括：

第二网络设备接收来自第一网络设备的服务请求，所述服务请求包括令牌，所述令牌用于校验所述第一网络设备是否有权限访问所述第二网络设备，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述第二网络设备允许访问的网络设备；

所述第二网络设备根据所述令牌确定所述第一网络设备是否有权限访问所述第二网络设备；

若所述第一网络设备有权限访问所述第二网络设备，则所述第二网络设备向所述第一网络设备发送服务响应。
根据权利要求6所述的方法，其特征在于，所述第二网络设备接收来自第一网络设备的服务请求之前，所述方法还包括：

所述第二网络设备向第三网络设备发送第二注册请求，所述第二注册请求包括所述第二信息。
根据权利要求6或7所述的方法，其特征在于，所述第一信息包括所述第一网络设备的域，所述第二信息包括所述第二网络设备允许的域；

或者，所述第一信息包括所述第一网络设备的路由指示，所述第二信息包括路由指示列表；

或者，所述第一信息包括所述第一网络设备的组标识，所述第二信息包括组标识列表。
一种授权方法，其特征在于，所述方法包括：

第三网络设备接收第一网络设备发送的令牌请求，所述令牌请求用于请求下发令牌；

所述第三网络设备根据所述令牌请求确定所述第一网络设备是否有权限访问第二网络设备；

若所述第一网络设备有权限访问所述第二网络设备，则所述第三网络设备向所述第一网络设备发送包括所述令牌的令牌响应，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述第二网络设备允许访问的网络设备。
根据权利要求9所述的方法，其特征在于，所述第三网络设备接收第一网络设备发送的令牌请求之前，所述方法还包括：

所述第三网络设备接收来自所述第一网络设备的第一注册请求，所述第一注册请求包括所述第一信息；

以及所述第三网络设备接收来自所述第二网络设备的第二注册请求，所述第二注册请求包括所述第二信息。
根据权利要求9或10所述的方法，其特征在于，所述第一信息包括所述第一网络设备的域，所述第二信息包括所述第二网络设备允许的域；

或者，所述第一信息包括所述第一网络设备的路由指示，所述第二信息包括路由指示列表；

或者，所述第一信息包括所述第一网络设备的组标识，所述第二信息包括组标识列表。
一种通信装置，其特征在于，所述装置包括：

发送单元，用于向第二网络设备发送服务请求，所述服务请求包括令牌，所述令牌用于校验所述通信装置是否有权限访问所述第二网络设备，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述通信装置，所述第二信息用于标识所述第二网络设备允许访问的网络设备；

接收单元，用于接收所述第二网络设备发送的服务响应。
根据权利要求12所述的装置，其特征在于，所述第一信息包括所述通信装置的域，所述第二信息包括所述第二网络设备允许的域；

或者，所述第一信息包括所述通信装置的路由指示，所述第二信息包括路由指示列表；

或者，所述第一信息包括所述通信装置的组标识，所述第二信息包括组标识列表。
根据权利要求12或13所述的装置，其特征在于，

所述发送单元，还用于向第三网络设备发送令牌请求，所述令牌请求用于请求下发所述令牌；

所述接收单元，还用于接收所述第三网络设备发送的包括所述令牌的令牌响应。
根据权利要求14所述的装置，其特征在于，所述令牌请求包括所述第一信息。
根据权利要求14或15所述的装置，其特征在于，

所述发送单元，还用于向所述第三网络设备发送第一注册请求，所述第一注册请求包括所述第一信息。
一种通信装置，其特征在于，所述装置包括：

接收单元，用于接收来自第一网络设备的服务请求，所述服务请求包括令牌，所述令牌用于校验所述第一网络设备是否有权限访问所述通信装置，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述通信装置允许访问的网络设备；

处理单元，用于根据所述令牌确定所述第一网络设备是否有权限访问所述通信装置；

发送单元，用于若所述第一网络设备有权限访问所述通信装置，则向所述第一网络设备发送服务响应。
根据权利要求17所述的装置，其特征在于，

所述发送单元，还用于向第三网络设备发送第二注册请求，所述第二注册请求包括所述第二信息。
根据权利要求17或18所述的装置，其特征在于，所述第一信息包括所述第一网络设备的域，所述第二信息包括所述通信装置允许的域；

或者，所述第一信息包括所述第一网络设备的路由指示，所述第二信息包括路由指示列表；

或者，所述第一信息包括所述第一网络设备的组标识，所述第二信息包括组标识列表。
一种通信装置，其特征在于，所述装置包括：

接收单元，用于接收第一网络设备发送的令牌请求，所述令牌请求用于请求下发令牌；

处理单元，用于根据所述令牌请求确定所述第一网络设备是否有权限访问第二网络设备；

发送单元，用于若所述第一网络设备有权限访问所述第二网络设备，则向所述第一网络设备发送包括所述令牌的令牌响应，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述第二网络设备允许访问的网络设备。
根据权利要求20所述的装置，其特征在于，

所述接收单元，还用于接收来自所述第一网络设备的第一注册请求，所述第一注册请求包括所述第一信息；

所述接收单元，还用于接收来自所述第二网络设备的第二注册请求，所述第二注册请求包括所述第二信息。
根据权利要求20或21所述的装置，其特征在于，所述第一信息包括所述第一网络设备的域，所述第二信息包括所述第二网络设备允许的域；

或者，所述第一信息包括所述第一网络设备的路由指示，所述第二信息包括路由指示列表；

或者，所述第一信息包括所述第一网络设备的组标识，所述第二信息包括组标识列表。
一种通信装置，其特征在于，包括处理器、存储器和收发器；

所述收发器，用于接收信号或者发送信号；

所述存储器，用于存储程序代码；

所述处理器，用于执行所述程序代码，以使所述通信装置执行如权利要求1-11任一项所述的方法。
一种通信装置，其特征在于，包括处理器和接口电路；

所述接口电路，用于接收代码指令并传输至所述处理器；所述处理器运行所述代码指令以执行如权利要求1-11任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储指令，当所述指令被执行时，使如权利要求1-11任一项所述的方法被实现。
一种计算机程序产品，其特征在于，所述计算机程序产品包括指令，当所述指令被执行时，使如权利要求1-11任一项所述的方法被实现。
一种通信系统，其特征在于，所述通信系统包括：第一网络设备、第二网络设备和第三网络设备；其中，

所述第一网络设备，用于向所述第三网络设备发送第一注册请求，所述第一注册请求包括第一信息；

所述第二网络设备，用于向所述第三网络设备发送第二注册请求，所述第二注册请求包括第二信息；

所述第三网络设备，用于接收所述第一注册请求和所述第二注册请求；

所述第一网络设备，还用于向所述第三网络设备发送令牌请求；

所述第三网络设备，还用于接收所述令牌请求，以及向所述第一网络设备发送包括令牌的令牌响应；

所述第一网络设备，还用于接收包括所述令牌的令牌响应；

所述第一网络设备，还用于向所述第二网络设备发送服务请求，所述服务请求包括所述令牌，所述令牌用于校验所述第一网络设备是否有权限访问所述第二网络设备，所述令牌包括第一信息和/或第二信息，所述第一信息用于标识所述第一网络设备，所述第二信息用于标识所述第二网络设备允许访问的网络设备；

所述第二网络设备，还用于接收所述服务请求，以及确定所述第一网络设备是否有权限访问所述第二网络设备，在所述第一网络设备有权限访问所述第二网络设备的情况下，所述第二网络设备向所述第一网络设备发送服务响应；

所述第一网络设备，还用于接收所述服务响应。