WO2023169206A1

WO2023169206A1 - 授权验证的方法和装置

Info

Publication number: WO2023169206A1
Application number: PCT/CN2023/077414
Authority: WO
Inventors: 李飞; 何承东; 张博
Original assignee: 华为技术有限公司
Priority date: 2022-03-11
Filing date: 2023-02-21
Publication date: 2023-09-14
Also published as: CN116782228A

Abstract

本申请实施例提供了一种授权验证的方法，该方法包括：第一网元接收来自第二网络功能NF的服务请求消息，该第二NF位于第二陆地公用移动通信网络PLMN，该服务请求消息用于请求位于第一PLMN的第一NF向该第二NF提供第一服务，该服务请求消息包括访问令牌、请求的目的和该第二PLMN的标识符，该访问令牌包括PLMN标识符和互联目的；该第一网元执行该第二NF使用该第一服务的授权，在该执行授权之前，确定该第二PLMN的标识符与该访问令牌中的PLMN标识符相同，以及该请求的目的与该互联目的相同。基于该方案，可以提高访问控制的安全性，进而保证服务消费者在互联场景中合法地获取服务。

Description

授权验证的方法和装置

本申请要求于2022年03月11日提交中国专利局、申请号为202210237627.3、申请名称为“授权验证的方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种授权验证的方法及装置。

背景技术

第五代(5th generation，5G)服务化系统架构中，基于服务化接口通信的双方分别称为服务消费者(service consumer)和服务提供者(service producer)。其中，请求服务的一方称为服务消费者(也可以称为服务请求网元)，提供服务的一方称为服务提供者(也可以称为服务提供网元)。网络功能(network function，NF)服务消费者向NF服务提供者请求服务时，NF服务提供者需要对NF服务消费者请求的服务进行授权检查

在互联场景中，不同运营商网络之间并不是直接相连的，在与其他运营商的网络连接处使用安全边缘保护代理(security edge protection proxies，SEPP)，以维护自身网络的安全性。例如，当运营商A的NF服务消费者向运营商B的NF服务提供者请求服务时，SEPP会验证运营商A和运营商B是否能够进行通信，但是关于访问控制的安全性有待进一步提高。

发明内容

本申请实施例提供一种授权验证的方法和装置，可以提高访问控制的安全性，保证NF服务消费者在互联场景中合法地获取服务。

第一方面，提供了一种授权验证的方法，该方法包括：第一网元接收来自第二网络功能(network function，NF)的服务请求消息，所述第二NF位于第二陆地公用移动通信网络(public land mobile network，PLMN)，所述服务请求消息用于请求位于第一PLMN的第一NF向所述第二NF提供第一服务，所述服务请求消息包括访问令牌、请求的目的(purpose of request)和所述第二PLMN的标识符，所述访问令牌包括PLMN标识符和互联目的(interconnect purpose)；所述第一网元执行所述第二NF使用所述第一服务的授权，在所述执行授权之前，确定所述第二PLMN的标识符与所述访问令牌中的PLMN标识符相同，以及所述请求的目的与所述互联目的相同。

其中，该第二NF可以是一种服务请求网元，该第一网元可以是位于第一PLMN的第一SEPP，也可以是位于第二PLMN的第二SEPP，还可以是一种服务提供网元。

基于上述方案，NF服务消费者向NF服务提供者请求第一服务的过程中，第一网元可以根据服务请求消息中携带的访问令牌中的PLMN的标识符和互联目的对NF服务消费者进行授权验证，即验证NF服务消费者是否被授权使用请求的服务。具体的，访问令牌中的PLMN标识符所指示的网络中的NF服务消费者能够以互联目的使用NF服务提供者的服务，其他网络中的NF服务消费者不能够以互联目的使用NF服务提供者的服务，进而保证NF服务消费者在互联场景中合法地获取服务。

同时，通过确定服务请求消息中的请求的目的与访问令牌中的互联目的相同，保证该访问令牌用于互联场景中，从而可以防止访问令牌的滥用。

另外，本申请提供的方案可以进行更细粒度的访问控制，例如，在一些情况下，两个PLMN之间可以进行通信，但是某个NF服务提供者不能在互联场景下为NF服务消费者提供服务，第一SEPP(或第二SEPP)可以拒绝该NF服务消费者请求的服务。也就是说，按照传统的方案，由于两个PLMN之间可以进行通信，NF服务消费者的服务请求消息应该被转发至NF服务提供者，但是本申请的方案还可以基于访问令牌中的PLMN标识符和互联目的对NF服务消费者进行授权验证，如果验证不通过，就可以拒绝转发该服务请求消息或者直接拒绝NF服务消费者的服务请求。

该第一网元执行该第二NF使用第一服务的授权的具体表现形式可以是：当第一网元为第二NF时，在授权所述第二NF使用该第一服务的情况下，所述第二NF向该第一NF提供所述第一服务；或者，当第一网元为位于第一PLMN的第一SEPP或位于第二PLMN的第二SEPP时，第一网元转发该服务请求消息。

该服务请求消息与第二NF相关联。例如，在一种可能的场景下，第一网元可以从第二NF直接接收该服务请求消息；在另一种可能的场景下，第一网元可以从第二SEPP元接收该服务请求消息，其中，该第二SEPP可以是从第二NF直接接收该服务请求消息；在又一种可能的场景下，第一网元可以从第一SEPP接收该服务请求消息，其中，该第一SEPP可以是从第二SEPP接收到的该服务请求消息，该第二SEPP可以是从第二NF直接接收该服务请求消息。

应理解，该访问令牌中的信息已经被授权，第一网元可以基于访问令牌内的信息验证该服务请求消息，执行该第二NF使用第一服务的授权或拒绝该第二NF使用第一服务。

应理解，该访问令牌受到了安全保护，例如完整性保护，从而可以避免恶意的NF服务消费者对该访问令牌内的信息进行篡改。

应理解，可以对访问令牌包括的全部信息进行验证，当访问令牌中的全部信息均验证通过时，可以授权服务请求网元使用服务提供网元的第一服务。

结合第一方面，在一种可能的实现方式中，所述服务请求消息进一步包括第二NF的信息，所述访问令牌进一步包括NF的信息；在所述执行授权之前，进一步包括：所述第一网元确定所述第二NF的信息与所述NF的信息相同。

访问令牌中的NF的信息可以指示该访问令牌在互联场景下适用的服务请求网元(NF服务消费者)的信息，例如，NF类型、NF实例ID等。访问令牌适用的服务请求网元具体可以是指适用的服务请求网元可能使用该访问令牌以获取服务，或者说不是所述适用的服务请求网元范围内的网元都不可以使用该访问令牌以获取服务。

基于上述技术方案，第二NF向第一NF请求第一服务的过程中，第一网元可以根据服务请求消息中携带的访问令牌中的PLMN的标识符、互联目的和NF的信息，对第二NF使用第一服务进行授权，保证第二NF为该访问令牌在互联场景中适用的服务请求网元，从而可以防止访问令牌的滥用，进而保证NF服务消费者在互联场景中合法地获取服务。

结合第一方面，在一种可能的实现方式中，所述服务请求消息进一步包括所述第一服务的信息，所述访问令牌包括服务的信息；在所述执行授权之前，进一步包括：所述第一网元确定所述第一服务的信息与所述服务的信息相同。

访问令牌中的服务的信息可以指示该访问令牌在互联场景下适用的服务，可以理解，当服务请求消息请求该适用的服务时，可以使用该访问令牌以获取服务。或者，当服务请求消息所请求的服务不属于该适用的服务时，不可以使用该访问令牌以获取服务。

基于上述技术方案，第二NF向第一NF请求第一服务的过程中，第一网元可以根据服务请求消息中携带的访问令牌中的PLMN的标识符、互联目的、NF的信息和服务的信息，对第二NF使用第一服务进行授权验证，进一步保证第二NF请求的服务为在互联场景下适用的服务，进而可以保证NF服务消费者在互联场景中合法地获取服务。

结合第一方面，在一种可能的实现方式中，所述第一网元拒绝所述第二NF使用所述第一服务，在所述拒绝之前，确定所述第二PLMN的标识符与所述访问令牌中的PLMN标识符不相同，和/或所述请求的目的与所述互联目的不相同。

基于上述技术方案，第二NF向第一NF请求第一服务的过程中，第一网元可以根据服务请求消息中携带的访问令牌中的PLMN的标识符、互联目的，拒绝第二NF使用第一服务，从而可以防止恶意的NF服务消费者在互联场景中不合法地获取服务。

结合第一方面，在一种可能的实现方式中，所述服务请求消息进一步包括第二NF的信息，所述访问令牌进一步包括NF的信息；所述方法进一步包括：所述第一网元拒绝所述第二NF使用所述第一服务，在所述拒绝之前，确定所述第二PLMN的标识符与所述访问令牌中的PLMN标识符不相同，和/或所述请求的目的与所述互联目的不相同，和/或所述第二NF的信息与所述NF的信息不相同。

基于上述技术方案，第二NF向第一NF请求第一服务的过程中，第一网元可以根据服务请求消息中携带的访问令牌中的PLMN的标识符、互联目的和NF的信息，对第二NF使用第一服务进行授权验证，从而可以防止恶意的NF服务消费者在互联场景中不合法地获取服务。

结合第一方面，在一种可能的实现方式中，所述服务请求消息进一步包括第二NF的信息以及所述第一服务的信息，所述访问令牌进一步包括NF的信息以及服务的信息；所述方法进一步包括：所述第一网元拒绝所述第二NF使用所述第一服务，在所述拒绝之前，确定所述第二PLMN的标识符与所述访问令牌中的PLMN标识符不相同，和/或所述请求的目的与所述互联目的不相同，和/或所述第二NF的信息与所述NF的信息不相同，和/或所述第一服务的信息与所述服务的信息不相同。

基于上述技术方案，第二NF向第一NF请求第一服务的过程中，第一网元可以根据服务请求消息中携带的访问令牌中的PLMN的标识符、互联目的、NF的信息和服务的信息，对第二NF使用第一服务进行授权，从而可以防止恶意的NF服务消费者在互联场景中不合法地获取服务。

结合第一方面，在一种可能的实现方式中，所述第一网元为：所述第一NF，所述第一PLMN的SEPP，或者，所述第二PLMN的SEPP。

第二方面，提供了一种发送访问令牌的方法，该方法包括：位于第一PLMN的第一网络存储功能(NF repository function，NRF)接收位于所述第一PLMN的第一NF的注册请求，所述注册请求包括互联目的下允许访问的PLMN列表，所述PLMN列表包括第二PLMN；所述第一NRF完成对所述第一NF的注册；所述第一NRF接收来自第二NF的第一请求消息，所述第二NF位于所述第二PLMN，所述第一请求消息用于请求访问令牌，所述访问令牌用于访问位于所述第一PLMN的第一NF的第一服务，所述第一请求消息包括所述第二PLMN的标识符和所述互联目的；响应于所述第一请求消息，所述第一NRF生成所述访问令牌，所述访问令牌包括所述第二PLMN的标识符和所述互联目的；所述第一NRF向所述第二NF发送所述访问令牌。

该第一NF可以是NF服务提供者，该第二NF可以是NF服务消费者。第一NF在为第二NF提供服务之前，在向第一NRF注册的过程中，针对互联场景，携带允许访问的PLMN的标识符。第二NF可以向第一NRF请求访问令牌，如果第二NF所在的PLMN的标识符属于该允许访问的PLMN的标识符，则第一NRF生成携带该第二PLMN的标识符以及互联目的的访问令牌，并发送给第二NF。

基于上述技术方案，第二NF向第一NRF请求访问令牌的过程中，可以根据第一NF在注册请求中携带的互联目的下允许访问的PLMN的标识符对第二NF进行授权。具体地，在确定第二PLMN的标识符属于该互联目的下允许访问的PLMN的标识符的情况下，第一NRF可以向第二NF发送访问令牌，该访问令牌可以用于在互联场景下访问第一NF的服务，从而可以保证NF服务消费者在互联场景中合法地获取服务。

结合第二方面，在一种可能的实现方式中，所述注册请求进一步包括：所述互联目的下允许访问所述第一NF的NF的信息；所述第一请求消息进一步包括：所述第二NF的信息；响应于所述第一请求消息，所述第一NRF生成所述访问令牌，包括：所述第一NRF确定所述互联目的下允许访问所述第一NF的NF的信息包括所述第二NF的信息；所述第一NRF生成所述访问令牌，所述访问令牌还包括所述第二NF的信息；或者，所述注册请求进一步包括：所述互联目的下允许访问所述第一NF的NF的信息，以及所述互联目的下允许被访问的服务的信息；所述第一请求消息进一步包括：所述第二NF的信息以及所述第一服务的信息；响应于所述第一请求消息，所述第一NRF生成所述访问令牌，包括：所述第一NRF确定所述互联目的下允许访问所述第一NF的NF的信息包括所述第二NF的信息，以及所述互联目的下允许被访问的服务的信息包括所述第一服务的信息；所述第一NRF生成所述访问令牌，所述访问令牌还包括所述第二NF的信息以及所述第一服务的信息。

基于上述技术方案，第二NF向第一NRF请求访问令牌的过程中，可以根据第一NF在注册请求中携带的互联目的下允许访问的PLMN的标识符和允许访问第一NF的NF的信息对第二NF进行授权。具体地，在确定第二PLMN的标识符属于该互联目的下允许访问的PLMN的标识符以及第二NF的信息与该允许访问第一NF的信息相同的情况下，第一NRF可以向第二NF发送访问令牌，该访问令牌可以用于在互联场景下访问第一NF的服务，从而可以保证NF服务消费者在互联场景中合法地获取服务。

或者，可以根据第一NF在注册请求中携带的互联目的下允许访问的PLMN的标识符、允许访问第一NF的NF的信息和允许被访问的服务的信息对第二NF进行授权。具体地，在确定第二PLMN的标识符属于该互联目的下允许访问的PLMN的标识符、第二NF的信息与该允许访问第一NF的信息相同、以及第一服务与该允许被访问的服务的信息相同的情况下，第一NRF可以向第二NF发送访问令牌，该访问令牌可以用于在互联场景下访问第一NF的服务，从而可以保证NF服务消费者在互联场景中合法地获取服务。

第三方面，提供了一种服务授权方法，该方法包括：安全边缘保护代理SEPP接收来自第二NF的服务请求消息，所述第二NF位于第二PLMN，所述服务请求消息用于请求位于第一PLMN的第一NF向所述第二NF提供第一服务；所述SEPP根据配置的参数执行所述第二NF使用所述第一服务的授权，所述配置的参数包括互联目的下允许访问所述第一NF的NF的信息，在所述执行授权之前，确定所述互联目的下允许访问所述第一NF的NF的信息包括所述第二NF的信息。

应理解，该SEPP可以是位于第一PLMN的第一SEPP，也可以是位于第二PLMN的第二SEPP。例如，图6所示实施例中的第一SEPP或第二SEPP。

基于上述方案，NF服务消费者可以向服务提供者发送服务请求消息，由SEPP配置参数列表，并对服务请求消息进行服务授权。这样，对SEPP配置的参数进行修改就可以支持互联场景的服务授权，并支持更细粒度的服务访问控制。在授权第二NF使用第一服务之前，SEPP需要确定第二NF的信息属于该互联目的下允许访问所述第一NF的NF的信息，从而可以防止恶意的NF服务消费者在互联场景中不合法地获取服务。

可选地，该配置的参数可以是预先配置的。

结合第三方面，在一种可能的实现方式中，所述SEPP位于所述第一PLMN，所述配置的参数还包括互联目的下允许访问所述第一PLMN的PLMN的列表，在所述执行授权之前，还包括：确定所述互联目的下允许访问所述第一PLMN的PLMN的列表包括所述第二PLMN；或者，所述SEPP位于所述第二PLMN，所述配置的参数还包括互联目的下允许所述第二PLMN访问的PLMN的列表，在所述执行授权之前，还包括：确定所述互联目的下允许所述第二PLMN访问的PLMN的列表包括所述第一PLMN。

结合第三方面，在一种可能的实现方式中，所述配置的参数还包括所述互联目的下允许被访问的服务的信息，在所述执行授权之前，还包括：确定所述互联目的下允许被访问的服务的信息包括所述服务请求消息中携带的第一服务的信息。

结合第三方面，在一种可能的实现方式中，其特征在于，所述方法进一步包括：所述SEPP拒绝所述第二NF使用所述第一服务，在所述拒绝之前，根据所述配置的参数确定所述互联目的下允许访问所述第一NF的NF的信息不包括所述第二NF的信息。

结合第三方面，在一种可能的实现方式中，所述安全边缘保护代理网元位于所述第一PLMN，所述配置的参数还包括互联目的下允许访问所述第一PLMN的PLMN的列表，所述方法进一步包括：所述安全边缘保护代理网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述互联目的下允许访问所述第一PLMN的PLMN的列表不包括所述第二PLMN；或者，所述SEPP位于所述第二PLMN，所述配置的参数还包括互联目的下允许所述第二PLMN访问的PLMN的列表，所述安全边缘保护代理网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，还包括：确定所述互联目的下允许所述第二PLMN访问的PLMN的列表不包括所述第一PLMN。

结合第三方面，在一种可能的实现方式中，其特征在于，所述配置的参数还包括所述互联目的下允许被访问的服务的信息，所述方法进一步包括：所述SEPP拒绝所述第二NF使用所述第一服务，在所述拒绝之前，确定所述允许被访问的服务的信息不包括所述第一服务的信息。

第四方面，提供了一种授权验证的装置，该装置包括：收发单元，用于接收来自第二NF的服务请求消息，所述第二NF位于第二PLMN，所述服务请求消息用于请求位于第一PLMN的第一NF向所述第二NF提供第一服务，所述服务请求消息包括访问令牌、请求的目的和所述第二PLMN的标识符，所述访问令牌包括PLMN标识符和互联目的；处理单元，用于执行所述第二NF使用所述第一服务的授权，在所述执行授权之前，确定所述第二PLMN的标识符与所述访问令牌中的PLMN标识符相同，以及所述请求的目的与所述互联目的相同。

第五方面，提供了一种发送令牌的装置，该装置包括：收发单元，用于接收位于所述第一PLMN的第一NF的注册请求，所述注册请求包括互联目的下允许访问的PLMN列表，所述PLMN列表包括第二PLMN；完成对所述第一NF的注册；接收来自第二NF的第一请求消息，所述第二NF位于所述第二PLMN，所述第一请求消息用于请求访问令牌，所述访问令牌用于访问位于所述第一PLMN的第一NF的第一服务，所述第一请求消息包括所述第二PLMN的标识符和所述互联目的；处理单元，用于响应于所述第一请求消息，生成所述访问令牌，所述访问令牌包括所述第二PLMN的标识符和所述互联目的；所述收发单元还用于：向所述第二NF发送所述访问令牌。

第六方面，提供了一种服务授权的装置，该装置包括：收发单元，用于接收来自第二NF的服务请求消息，所述第二NF位于第二PLMN，所述服务请求消息用于请求位于第一PLMN的第一NF向所述第二NF提供第一服务；处理单元，用于执行所述第二NF使用所述第一服务的授权，配置的参数包括互联目的下允许访问所述第一NF的NF的信息，在所述执行授权之前，根据所述配置的参数确定所述互联目的下允许访问所述第一NF的NF的信息包括所述第二NF的信息。

应理解，上述几种装置对应的具体实现方式以及有益效果在上述方法实施例中已经详细说明，具体可参考上述方法实施例，为了简洁，在此不再赘述。

第七方面，提供了一种授权验证的方法，该方法包括：第一网元接收来自第二NF的服务请求消息，所述第二NF位于第二PLMN，所述服务请求消息用于请求位于第一PLMN的第一NF向所述第二NF提供第一服务，所述服务请求消息包括访问令牌、请求的目的和所述第二PLMN的标识符，所述访问令牌包括PLMN标识符和互联目的；

基于上述方案，NF服务消费者向NF服务提供者请求服务的过程中，第一网元可以根据服务请求消息中携带的访问令牌中的PLMN的标识符和互联目的对NF服务消费者进行授权验证，即验证NF服务消费者是否被授权使用请求的服务。具体的，访问令牌中的PLMN标识符所指示的网络中的NF服务消费者能够以互联目的使用NF服务提供者的服务，其他网络中的NF服务消费者不能够以互联目的使用NF服务提供者的服务。

在所述第二PLMN的标识符与所述PLMN标识符不相同的情况下，或者在所述请求的目的与所述互联目的不相同的情况下，所述第一网元拒绝所述第二NF使用所述第一服务。

结合第七方面，在一种可能的实现方式下，所述服务请求消息进一步包括第二NF的信息，所述访问令牌进一步包括NF的信息，所述NF的信息指示所述访问令牌适用的服务请求网元，所述方法还包括：在所述第二NF的信息与所述NF的信息不相同的情况下，所述第一网元拒绝所述第二NF使用所述第一服务。

基于上述技术方案，第二NF向第一NF请求第一服务的过程中，第一网元可以根据服务请求消息中携带的访问令牌中的PLMN的标识符、互联目的和NF的信息，对第二NF使用第一服务进行授权，保证第二NF为在互联场景中适用的服务请求网元，从而可以防止访问令牌的滥用，进而防止恶意的服务消费者在互联场景中不合法地获取服务。

结合第七方面，在一中可能的实现方式下，所述服务请求消息进一步包括第一服务的信息，所述访问令牌进一步包括服务的信息，所述服务的信息指示所述访问令牌适用的服务，所述方法还包括：在所述第一服务的信息与所述服务的信息不相同的情况下，所述第一网元拒绝所述第二NF使用所述第一服务。

基于上述技术方案，第二NF向第一NF请求第一服务的过程中，第一网元可以根据服务请求消息中携带的访问令牌中的PLMN的标识符、互联目的、NF的信息和服务的信息，对第二NF使用第一服务进行授权验证，保证第二NF请求的服务为在互联场景下适用的服务，从而可以防止访问令牌的滥用，进而防止恶意的服务消费者在互联场景中不合法地获取服务。

第八方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，当所述计算机程序在计算机上运行时，使得计算机执行第一方面任一项所述的方法，或者使得计算机执行第二方面所述的方法被执行，或者使得计算机执行第三方面任一项所述的方法。

第九方面，提供了一种计算机程序产品，该计算机程序产品包括计算机程序指令，所述计算机程序指令在计算机上运行时，使得计算机执行第一方面中任一项所述的方法，或者使得计算机执行第二方面中任一项所述的方法被执行，或者使得计算机执行第三方面中任一项所述的方法。

第十方面，提供了一种通信装置，该装置包括至少一个处理器，所述至少一个处理器用于执行存储在存储器中的计算机程序或指令，以执行第一方面中任一项所述的方法，或者以执行第二方面中任一项所述的方法，或者以执行第三方面中任一项所述的方法。

第十一方面，提供一种通信系统，包括第四方面所示的授权验证的装置、第五方面所示的发送令牌的装置以及第六方面所示的服务授权的装置中的至少两种装置。

附图说明

图1是适用于本申请实施例的网络结构的示意图。

图2示出了一种互联场景下的通信模式的示意图。

图3示出了本申请实施例提供的一种授权验证的方法的示例性流程图。

图4示出了本申请实施例提供的一种发送访问令牌的方法的示例性流程图。

图5示出了本申请实施例提供的一种注册方法的示例性流程图。

图6示出了本申请实施例提供的一种发送访问令牌的方法的示例性流程图。

图7示出了本申请实施例提供的一种授权验证的方法的示例性流程图。

图8示出了本申请实施例提供的一种服务授权的方法的示例性流程图。

图9是本申请实施例提供的授权验证的装置的示意性框图。

图10是本申请实施例提供的授权验证的设备的结构示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)系统、通用移动通信系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、5G系统或新无线(new radio，NR)、第六代(6th generation，6G)系统或未来的通信系统等。本申请中所述的5G移动通信系统包括非独立组网(non-standalone，NSA)的5G移动通信系统或独立组网(standalone，SA)的5G移动通信系统。通信系统还可以是陆地公用移动通信网(public land mobile network，PLMN)网络、设备到设备(device-to-device，D2D)通信系统、机器到机器(machine to machine，M2M)通信系统、物联网(internet of Things，IoT)通信系统或者其他通信系统。

为便于理解本申请实施例，首先结合图1详细说明适用于本申请实施例的网络架构。

图1是适用于本申请实施例提供的方法的网络结构的示意图。如图1所示，该网络架构例如是第三代合作伙伴计划(3rd generation partnership project，3GPP)定义的5G系统(the 5h generation system，5GS)。该网络架构为一种服务化的系统架构，图1虚线框内的网元为基于服务化接口通信的网元，即网元之间的通信使用服务化的接口。该网络架构可以包括接入网(access network，AN)和核心网(core network，CN)，还可以包含用户设备(user equipment，UE)。

其中，核心网负责维护移动网络的签约数据，为UE提供会话管理、移动性管理、策略管理以及安全认证等功能。核心网可以包括如下网元：用户面功能(user plane function，UPF)、认证服务功能(authentication server function，AUSF)、接入和移动性管理功能(access and mobility management function，AMF)、会话管理功能(session management function，SMF)、网络切片选择功能(network slice selection function，NSSF)、网络开放功能(network exposure function，NEF)、网络功能存储功能(NF repository function，NRF)、策略控制功能(policy control function，PCF)、统一数据管理(unified data management，UDM)和应用功能(application function，AF)。

下面对图1中示出的各网元做简单介绍：

1、用户设备(user equipment，UE)：还可以称终端设备，终端设备可以是一种向用户提供语音/数据连通性的设备，例如，具有无线连接功能的手持式设备、车载设备等。

应理解，终端设备可以是任何可以接入网络的设备。终端设备与接入网设备之间可以采用某种空口技术相互通信。

2、接入网(access network，AN)：接入网可以为特定区域的授权用户提供入网功能，包含无线接入网(radio access network，RAN)设备和AN设备。RAN设备主要是3GPP网络无线网络设备，AN设备可以是non-3GPP定义的接入网设备。

接入网可以为小区提供服务。终端设备可以通过接入网设备分配的传输资源(例如，频域资源，或者说，频谱资源)与小区通信。

3、AMF网元：主要用于移动性管理和接入管理等，如用户位置更新、用户注册网络、用户切换等。AMF还可用于实现移动性管理实体(mobility management entity，MME)中除会话管理之外的其它功能。例如，合法监听、或接入授权(或鉴权)等功能。

4、SMF网元：主要用于会话管理、UE的网际协议(internet protocol，IP)地址分配和管理、选择可管理用户平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。在本申请实施例中，SMF主要用户负责移动网络中的会话管理，如会话建立、修改、释放等。具体功能例如可以包括为终端设备分配IP地址、选择提供报文转发功能的UPF等。

5、UPF网元：负责终端设备中用户数据的转发和接收。UPF网元可以从数据网络(data network，DN)接收用户数据，通过接入网设备传输给终端设备。UPF网元还可以通过接入网设备从终端设备接收用户数据，转发到数据网络。UPF网元中为终端设备提供服务的传输资源和调度功能由SMF网元管理控制的。

6、数据网络(DN)：用于为用户提供数据服务的服务网络，可以是私有网络，例如局域网；也可以是不受运营商管控的外部网络，例如互联网(Internet)；还可以是运营商共同部署的专有网络，例如提供IP多媒体子系统(IP multimedia subsystem，IMS)的网络。UE可通过建立的协议数据单元(protocol data unit，PDU)会话，来访问DN。

7、认证服务网元(authentication server function，AUSF)：主要用于用户的安全认证等。

8、网络开放功能(network exposure function，NEF)网元：主要用于支持能力和事件的开放，如用于安全地向外部开放由3GPP网络功能提供的业务和能力等。

9、网络存储网元(network repository function，NRF)：主要提供服务注册、发现和授权，并维护可用的网络功能(network function，NF)实例信息，可以实现网络功能和服务的按需配置以及NF之间的互连。其中，服务注册是指，NF网元需要在NRF网元进行注册登记后再提供服务。服务发现是指，NF网元需要其他NF网元为其提供服务时，需先通过NRF网元执行服务发现，以发现所期望的为其提供服务的NF网元。例如，NF网元1需要NF网元2为其提供服务时，需先通过NRF网元进行服务发现，以发现NF网元2。

10、PCF网元：用于指导网络行为的统一策略框架，为控制平面功能网元(例如AMF，SMF网元等)提供策略规则信息，负责获取与策略决策相关的用户签约信息等。

11、UDM网元：用于生成认证信任状，用户标识处理(如存储和管理用户永久身份等)，接入授权控制和签约数据管理等。

12、应用功能(application function，AF)网元：主要支持与3GPP核心网交互来提供服务，例如影响数据路由决策、与策略控制功能(PCF)交互、或者向网络侧提供第三方等。

13、服务通信代理(service communication proxy，SCP)：用于完成服务化接口信令的路由和转发。运营商可以根据需要部署SCP，SCP网元可为服务化接口信令的发送方提供路由和转发服务，服务化接口信令的发送方例如可为某NF网元。NF网元上可配置对应的SCP网元的信息，该SCP网元可为该NF网元提供转发消息的服务。在该NF网元需要使用SCP网元进行通信的情况下，该NF网元可向配置的SCP网元发送消息。

14、安全边缘保护代理(security edge protection proxy，SEPP)是5G漫游安全架构的重要组成部分，用于实现用户漫游，实现与其他运营商之间的通信互通，负责运营商之间控制平面接口上的消息过滤和策略管理，主要作为运营商核心网控制面之间的边界网关。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

还应理解，图1中所示的AMF、SMF、UPF、网络切片选择功能网元(network slice selection function，NSSF)、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对于上述网元的具体形态不作限定。

还应理解，上述命名仅为便于区分不同的功能而定义，不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。图1中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

为了便于理解本申请实施例提供的方案，首先对服务化网元之间的通信模式进行简单说明。

5G服务化的系统架构中，基于服务化接口通信的双方分别称为服务消费者(service consumer)和服务提供者(service producer)。其中请求服务的一方为service consumer，提供服务的一方叫service producer。服务消费者也可以称为消费者、消费网元、用户、请求端或请求者或服务消费网元等。服务提供者也可以称为提供网元、服务提供网元、提供者、生产者或响应者等，本申请不作限定。

为了便于理解本申请实施例提供的方案，首先对互联场景下的服务化网元之间的通信模式进行简单说明。

图2示出了一种互联场景下的通信模式的示意图。在图2所示的通信模式中，第一SEPP和NF服务提供者处于第一PLMN，第二SEPP和NF服务消费者处于第二PLMN。当NF服务消费者向NF服务提供者发送服务请求消息时，需要通过第一SEPP和第二SEPP进行转发。第一SEPP或第二SEPP可以验证第一PLMN和第二PLMN之间是否可以进行通信，从而判断该服务请求消息是否可以通过。

在本申请实施例中，互联场景是指服务消费者和服务提供者分别在各自的网络接入，但服务消费者需要访问服务提供者提供的服务。

示例性的，中国移动的UE1和中国电信的UE2之间发送短信，且UE1和UE2均在各自的网络接入。在这种情况下，中国移动的核心网需要与中国电信的核心网进行交互，以将短信进行转发，例如中国移动的短消息网关(short message service gateway mobile switching center，SMS-GMSC)访问中国电信的UDM，此时我们称中国移动的SMS-GMSC和中国电信的UDM之间的服务访问是互联访问，该场景为互联场景。

在该通信模式中，虽然SEPP可以验证两个PLMN之间是否可以进行通信，但是不能验证该NF服务消费者是否可以使用NF服务提供者提供的服务。例如，在一些情况下，某个NF服务提供者设定为不能在互联场景中为服务消费者提供服务，但是仍可以接收到其他网络中发送的服务请求消息，此时该服务提供者可能存在被非法访问的风险。

图3是本申请实施例提供的授权验证的方法300的示意性流程图。方法300包括：

S301，第一网元接收来自第二网络功能NF的服务请求消息。

该服务请求消息用于请求第一NF向第二NF提供第一服务，该服务请求消息包括访问令牌、请求的目的和第二PLMN的标识符，该访问令牌包括PLMN标识符和互联目的。其中，第一NF位于第一PLMN，第二NF位于第二PLMN。

其中，该第二NF可以是一种服务请求网元(服务消费者)，该第一网元可以是位于第一PLMN的第一安全边缘保护代理网元(第一SEPP)，也可以是位于第二PLMN的第二安全边缘保护代理网元(第二SEPP)，还可以是一种服务提供网元(服务提供者)。

该服务请求消息与第二NF相关联。例如，在一种可能的场景下，第一网元可以从第二NF直接接收该服务请求消息；在另一种可能的场景下，第一网元可以从第二安全边缘保护代理网元接收该服务请求消息，其中，该第二安全边缘保护代理网元可以是从第二NF直接接收该服务请求消息；在又一种可能的场景下，第一网元可以从第一安全边缘保护代理网元接收该服务请求消息，其中，该第一安全边缘保护代理网元可以是从第二安全边缘保护代理网元接收到的该服务请求消息，该第二安全边缘保护代理网元可以是从第二NF直接接收该服务请求消息。

可选地，第一网元可以从服务通信代理网元接收该服务请求消息，其中，该服务通信代理网元可以是直接从第二网元接收到的该服务请求消息，也可以是通过其他一个或多个服务通信代理网元从第二NF接收到的该服务请求消息。也就是说，第一网元可以通过一个或者多个服务通信网元与第二NF进行通信。

S302，第一网元执行第二NF使用第一服务的授权。

应理解，在第二NF请求使用第一NF的服务之前，可以向第一NF对应的分发访问令牌的网元(例如第一NRF，位于第一PLMN)请求访问令牌，以便于使用携带访问令牌的服务请求消息请求第一NF的服务。

应理解，服务请求消息中的访问令牌受到了安全保护，因此恶意的NF无法对访问令牌内的信息进行篡改。可以是由分发该访问令牌的网元对该访问令牌进行的安全保护。例如，第一NRF利用共享密钥对该访问令牌(或者是访问令牌内的参数)生成完整性保护参数(例如消息认证码MAC)，第二NF在服务请求消息中携带该完整性保护参数。第一网元可以根据该完整性保护参数验证访问令牌内的信息是否被篡改。又例如，第一NRF利用私钥对安全令牌内的信息进行签名，在授权验证的过程中，通过对签名进行验证来确定访问令牌内的信息是否被篡改。

还应理解，该访问令牌中的信息已经被授权，第一网元可以基于访问令牌内的信息验证该服务请求消息，执行该第二NF使用第一服务的授权或拒绝该第二NF使用第一服务。

该第一网元执行该第二NF使用第一服务的授权的具体表现形式可以是：在授权所述第二NF使用该第一服务的情况下，所述第二NF向该第一NF提供所述第一服务；或者，在授权所述第二NF使用该第一服务的情况下，第一安全边缘保护代理网元转发该服务请求消息；或者，在授权所述第二NF使用该第一服务的情况下，第二安全边缘保护代理网元转发该服务请求消息。

在本申请实施例中，访问令牌包括PLMN标识符和互联目的，服务请求消息包括请求的目的和第二PLMN的标识符。在授权第二NF使用第一服务之前，确定第二PLMN的标识符与访问令牌中的PLMN标识符相同，以及确定该请求的目的与互联目的相同。

也就是说，第一网元可以确定该访问令牌是在互联场景中使用的，并且确定该服务请求消息来源于访问令牌中的PLMN标识符指示的网络。

应理解，上述验证是授权第二NF使用第一服务的必要条件。也就是说，除了上述验证外，可能还需要进行其他的验证，当所有验证均通过时，授权第二NF使用第一服务。

应理解，应对访问令牌包括的全部信息进行验证，当访问令牌中的全部信息均验证通过时，授权服务请求网元使用服务提供网元的第一服务。

可选地，访问令牌中还可以包括服务提供网元的NF的信息。也就是说，该访问令牌可以用于请求该服务提供网元的服务。这样，服务提供网元可以指定哪些网络中的服务请求网元可以使用自己的服务。

在一些实施例中，访问令牌进一步包括NF的信息，服务请求消息进一步包括第二NF的信息，此时，在授权第二NF使用第一服务之前，还需要确定第二NF的信息与访问令牌中的NF的信息相同。

访问令牌中的NF的信息指示该访问令牌适用的服务请求网元(服务消费者)的信息，例如，NF类型、NF实例ID等。

可以理解，访问令牌适用的服务请求网元具体可以是指适用的服务请求网元可以使用该访问令牌以获取服务，或者说不是所述适用的服务请求网元范围内的网元不可以使用该访问令牌以获取服务。

在一些实施例中，访问令牌进一步包括服务的信息，服务请求消息进一步包括第一服务的信息，此时，在授权第二NF使用第一服务之前，还需要确定服务请求消息所请求的第一服务的信息与访问令牌中的服务的信息相同。

也就是说，该服务请求消息可以请求访问令牌中的服务的信息指示的服务。

该第二网元拒绝该第二NF使用第一服务的具体表现形式可以是：在拒绝第二NF使用第一服务的情况下，第一网元拒绝所述服务请求消息，以拒绝第二NF请求的所述第一服务。示例性的，该第一网元向该第二NF发送服务响应消息，该服务响应消息用于指示拒绝提供该第一服务，可选的，该服务响应消息中还包括拒绝的原因，例如，拒绝的原因可以是访问令牌验证不通过。

在一些实施例中，访问令牌包括PLMN标识符和互联目的，服务请求消息包括请求的目的和第二PLMN的标识符。第一网元拒绝第二NF使用第一服务，在拒绝第二NF使用第一服务之前，确定第二PLMN的标识符与访问令牌中的PLMN标识符不相同，和/或确定该请求的目的与互联目的不相同。

在一些实施例中，访问令牌进一步包括NF的信息，服务请求消息进一步包括第二NF的信息，第一网元拒绝第二NF使用第一服务，在拒绝第二NF使用第一服务之前，确定第二NF的信息与访问令牌中的NF的信息不相同。

在一些实施例中，访问令牌进一步包括服务的信息，服务请求消息进一步包括第一服务的信息，第一网元拒绝第二NF使用第一服务，在拒绝第二NF使用第一服务之前，确定服务请求消息所请求的第一服务的信息与访问令牌中的服务的信息相同。

应理解，如果服务请求消息中任意一个信息与访问令牌中的信息不相同(例如，第一服务的信息和访问令牌中的服务的信息不相同)，第一网元拒绝第二NF使用第一服务。

下面介绍一种发送访问令牌的方法400，如图4所示，该方法400包括：

S410，第一NF向第一NRF发送注册请求，相应的，第一NRF接收来自第一NF的注册请求。

需要说明的是，第一NF和第一NRF位于第一PLMN，第二NF位于第二PLMN。

具体地，注册请求中包括互联目的下允许访问的PLMN列表，该允许访问的PLMN列表包括第二PLMN。

也就是说，当第一NF注册到第一NRF时，可以对在互联目的下访问第一NF的NF所处的网络进行限制。例如，该互联目的下允许访问的PLMN列表中包括第二PLMN，表示第二PLMN中的NF能够以互联目的访问第一NF。

在一些实施例中，该注册请求进一步包括互联目的下允许访问所述第一网络功能的网络功能的信息。

也就是说，当第一NF注册到第一NRF时，可以对在互联目的下访问第一NF的NF进行限制。

在一些实施例中，该注册请求进一步包括互联目的下允许访问所述第一网络功能的网络功能的信息，以及互联目的下允许被访问的服务的信息。

也就是说，当第一NF注册到第一NRF时，可以对在互联目的下访问第一NF的NF以及被访问的服务进行限制。

S420，第一NRF完成对第一NF的注册。

具体地，第一NRF在接收到第一NF的注册请求后，存储注册请求中的互联目的下允许访问的PLMN列表。

在一些实施例中，第一NRF存储注册请求中的互联目的下允许访问所述第一网络功能的网络功能的信息。

在一些实施例中，第一NRF存储注册请求中的互联目的下允许访问所述第一网络功能的网络功能的信息，以及互联目的下允许被访问的服务的信息。

应理解，第一NRF完成对第一NF的注册后，第一NRF可以依据存储的互联目的下允许访问的PLMN列表，和/或互联目的下允许访问所述第一网络功能的网络功能的信息，和/或互联目的下允许被访问的服务的信息，对服务请求网元进行授权。

可选地，第一NRF向第一NF发送注册完成消息。

可选地，第一NRF向第一NF发送注册失败消息。

S430，第二NF向第一NRF发送第一请求消息。

该第一请求消息用于请求访问令牌，该访问令牌用于访问第一NF的第一服务，该第一请求消息包括第二PLMN的标识符和互联目的。

应理解，当第二NF向第一NRF发送第一请求消息以请求访问令牌时，需要携带第二NF所处的网络的标识符以及互联目的，表示将在互联目的下请求第一NF的服务。

在一些实施例中，第一请求消息进一步包括第二NF的信息。

应理解，当第二NF向第一NRF发送第一请求消息以请求访问令牌时，还需要携带第二NF的信息，表示该第二NF将在互联目的下请求第一NF的服务。

在一些实施例中，第一请求消息进一步包括第二NF的信息以及第一服务的信息。

应理解，当第二NF向第一NRF发送第一请求消息以请求访问令牌时，还需要携带第二NF的信息和第一服务的信息，表示该第二NF将在互联目的下请求第一NF的第一服务。

S440，响应于第一请求消息，第一NRF生成访问令牌。

该访问令牌包括第二PLMN的标识符和互联目的。

应理解，如果第一NRF确定可以授权以互联目的访问第一NF的服务，则将第一请求消息中的第二PLMN的标识符和互联目的写入访问令牌。

在一些实施例中，第一NRF确定所述互联目的下允许访问所述第一NF的NF的信息包括所述第二NF的信息，第一NRF生成访问令牌，该访问令牌进一步包括第二NF的信息。

应理解，如果第一NRF确定可以授权第二NF以互联目的访问第一NF的服务，则将第一请求消息中的第二NF的信息写入访问令牌。

在一些实施例中，所述第一NRF确定所述互联目的下允许访问所述第一NF的NF的信息包括所述第二NF的信息，以及所述互联目的下允许被访问的服务的信息包括所述第一服务的信息，第一NRF生成访问令牌，该访问令牌进一步包括第二NF的信息以及第一服务的信息。

应理解，如果第一NRF确定可以授权第二NF以互联目的访问第一NF的第一服务，则将第二NF的信息以及第一服务的信息写入访问令牌。

S450，第一NRF向第二NF发送访问令牌，相应的，第二NF接收来自第一NRF发送的访问令牌。

下面结合图5介绍一种注册方法500，该方法500是在NF注册到NRF的流程中执行的。从图5中可以看出，方法500包括：

S510，NF服务提供者向第一NRF发送NF注册消息。

在服务化的系统架构中，NF需要在NRF进行注册登记后可以为其他NF提供服务。当NF需要其他NF为其提供服务时，可以先通过NRF执行服务发现，以发现所期望的为其提供服务的NF。

当NF向NRF执行注册登记时，该NF注册消息可以携带NF配置文件(NF profile)。NF profile可以指示该NF可以为哪些PLMN中的NF提供服务，或者可以指示该NF可以为哪些NF提供服务，或者可以指示该NF可以提供哪些服务。

需要说明的是，该NF服务提供者可以是任意的NF，该第一NRF为该NF服务提供者所在网络中的NRF。这里为方便理解，以NF服务提供者和第一NRF为例进行说明。

例如，该NF profile可以包括互联目的下允许访问的PLMN列表(allowed interconnect PLMN)，该互联目的下允许访问的PLMN列表包括一个或多个PLMN。该列表中的PLMN可以在互联场景下访问该NF。

示例性的，NF服务提供者在注册消息中携带了互联目的下允许访问的PLMN列表(PLMN1，PLMN2)，那么处于PLMN1或PLMN2的服务消费者可以以互联目的使用该NF服务提供者提供的服务。如果NF服务消费者处于其他PLMN，则该NF服务消费者不可以使用该NF服务提供者提供的服务。

示例性的，第一NF向第一NRF发送注册消息，并在注册消息中携带了互联目的下允许访问的PLMN列表(PLMN1，PLMN2)，如果第二NF位于PLMN1或PLMN2，则第二NF可以以互联目的使用第一NF提供的服务，如果第二NF位于其他PLMN，例如PLMN3，则第二NF不可以使用第一NF提供的服务。

可选地，该互联目的下允许访问的PLMN列表可以表示为“互联目的：允许访问的PLMN列表”。即指示该允许访问的PLMN列表是在互联目的下使用的。

可选地，该NF profile还可以包括互联目的下允许访问的NF类型(allowed interconnect NF type)，该允许访问的NF类型包括一个或多个NF类型。该允许访问的NF类型中的NF类型可以在互联目的下访问该NF。

可选地，该互联目的下允许访问的NF类型可以表示为“互联目的：允许访问的NF type”。即指示该允许访问的NF type是在互联目的下使用的。

示例性的，NF服务提供者在注册消息中携带了allowed interconnect NF type：(NF type1，NF type 2)，那么NF type为NF type 1或NF type 2的NF服务消费者可以使用NF服务提供者提供的服务。如果NF服务消费者为其他NF type，则该NF服务消费者不可以使用该NF服务提供者提供的服务。该allowed interconnect NF type可以理解为允许访问该NF服务提供者的NF type。

示例性的，第一NF向第一NRF发送注册消息，并在注册消息中携带了allowed interconnect NF type：(NF type 1，NF type 2)，如果第二NF为NF type 1或NF type 2，则第二NF可以使用第一NF提供的服务，如果第二NF为其他NF type，例如NF type 3，则第二NF不可以使用第一NF提供的服务。

可选地，该NF profile还可以包括互联目的下允许被访问的服务(allowed interconnect service)，该允许被访问的服务包括一个或多个服务。该允许被访问的服务可以在互联目的下被其他NF访问。

可选地，该互联目的下允许被访问的服务可以表示为“互联目的：允许被访问的服务”。即指示该允许被访问的服务是在互联目的下使用的。

示例性的，NF服务提供者在注册消息中携带了allowed interconnectservice：(service 1，service 2)，则NF服务消费者可以使用NF服务提供者提供的service 1或service 2。如果NF服务消费者请求使用NF服务提供者的其他service，例如service 3，则该NF服务提供者可以拒绝NF服务消费者使用service 3。该allowed interconnectservice可以理解为互联目的下允许被访问的服务。

示例性的，第一NF向第一NRF发送注册消息，并在注册消息中携带了allowed interconnect service：(service 1，service 2)，如果第二NF请求使用第一NF提供的service1或service 2，则第一NF可以授权第二NF使用service 1或service 2。如果第二NF请求使用第一NF提供的其他服务，例如service 3，则第一NF可以拒绝第二NF使用service 3。

S520，第一NRF存储NF服务提供者的NFprofile。

第一NRF在接收到注册消息后，可以保存该NF服务提供者的NFprofile。在后续NF服务消费者向第一NRF请求访问令牌时，该NF profile可以用于验证是否授权该NF服务消费者请求的访问令牌。

S530，第一NRF向NF发送注册接受消息。

下面结合图6介绍一种发送访问令牌的方法600。从图6中可以看出，方法600包括：

S610，NF服务消费者向第二NRF发送访问令牌获取请求消息。

在服务化的系统架构中，NF服务消费者向NF服务提供者请求服务时，NF服务提供者需要对NF服务消费者请求的服务进行授权检查，即检查NF服务消费者是否被授权使用请求的服务，通过了授权检查，NF服务提供者可以向NF服务消费者提供相应的服务。

针对NF服务提供者对NF服务消费者请求的服务的授权验证，可以使用基于访问令牌(access token)的授权验证方案。在NF服务消费者向NF服务提供网元请求服务之前，NF服务消费者向授权服务网元发送访问令牌获取请求消息以请求获取访问令牌，为了方便，这里以NRF为授权服务网元为例进行说明。

需要说明的是，NF服务消费者是需要使用服务的NF，第二NRF为NF服务消费者所在网络的NRF，NF服务提供者是提供服务的NF，第一NRF为NF服务提供者所在网络的NRF。NF服务消费者和NF服务提供者可以互换身份，这取决于谁是提供服务的NF，谁是使用服务的NF。示例性的，NF服务消费者可以为其他NF提供服务，在这个过程中，该NF服务消费者可以被称为NF服务提供者。

在互联场景下，访问令牌获取请求消息包括互联目的(interconnect purpose)和NF服务消费者所在网络的PLMN标识符(customerPLMNID，cPLMN ID)。

可选地，访问令牌获取请求消息包括NF服务消费者的NFtype或期望的服务名称(expected service name)。

S620，第二NRF向第一NRF转发访问令牌获取请求消息。

S630，第一NRF验证NF服务消费者是否被授权。

第一NRF对访问令牌获取请求消息中的信息进行验证。具体地，第一NRF验证访问令牌获取请求消息中携带的信息是否与NF profile中相应的信息匹配。

需要说明的是，在S630之前，NF服务提供者已经注册到第一NRF中，并且在注册消息中携带NF profile。

可选地，第一NRF还可以预先配置NF服务提供者的NF profile。

应理解，针对网络中的每一个NF，NRF网元可以预先配置其对应的NF profile。

应理解，该NF profile包括该NF服务提供者的allowed interconnect PLMN。

应理解，当NF profile包括allowed interconnect PLMN时，如果NF服务消费者所位于的PLMN在该allowed interconnect PLMN中，该NF服务消费者可以被授权。如果NF 服务消费者所位于的PLMN不在该allowed interconnect PLMN中，该NF服务提供者拒绝授权该NF服务消费者。可以理解，allowed interconnect PLMN中的任意一个PLMN中的NF服务消费者都可以使用NF服务提供者提供的服务。

在本申请实施例中，第一NRF可以验证访问令牌获取请求消息中携带的cPLMN ID是否在allowed interconnect PLMN中。如果cPLMN ID在allowed interconnect PLMN中，则该请求消息可以被授权，如果cPLMN ID不在allowed interconnect PLMN中，则NF服务提供者拒绝授权。

可选地，该NF profile还可以包括该NF服务提供者的allowed interconnect NF type或allowed interconnect service。

应理解，当NF profile包括allowed interconnect NF type时，第一NRF需要验证访问令牌获取请求消息中携带的NF服务消费者的NF type是否在该allowed interconnect NF type中，如果NF服务消费者的NF type在allowed interconnect NF type中，则该请求消息可以被授权，如果NF服务消费者的NF type不在allowed interconnect NF type中，则NF服务提供者拒绝授权。

应理解，当NF profile包括allowed interconnect service时，第一NRF需要验证访问令牌获取请求消息中携带的expected service name是否在该allowed interconnect service中，如果NF服务消费者的expectedservice name在allowed interconnect service中，则该请求消息可以被授权，如果NF服务消费者的expectedservice name不在allowed interconnect service中，则NF服务提供者拒绝授权。

如果上述验证流程验证均通过，则第一NRF生成访问令牌(access token)，该access token中包括interconnect purpose和cPLMN ID。

应理解，访问令牌中的interconnect purpose和cPLMN ID可以表示该访问令牌可以用于NF服务消费者在互联目的下访问，并且该NF服务消费者位于cPLMN ID所指示的网络。

可选地，该access token还可以包括NF服务消费者的NF type或服务名称(service name)。

应理解，访问令牌中的NF type可以指示能够使用该访问令牌进行访问的NF服务消费者的NF type。

应理解，访问令牌中的service name为访问令牌获取请求消息中携带的expected service name。也就是说，NF服务消费者期望使用NF服务提供者的什么服务，如果第一NRF授权NF服务消费者使用该服务，则将该服务的名称写入访问令牌，该访问令牌可以用于使用NF服务提供者的该服务。

可选地，该access token还可以包括NF服务消费者的NF实例ID。S240，第一NRF向第二NRF发送访问令牌获取响应消息，该响应消息中包括访问令牌。

S650，第二NRF向NF服务消费者转发访问令牌获取响应消息，该响应消息中包括访问令牌。

应理解，S640和S650用于第一NRF向NF服务消费发送访问令牌获取响应消息。

示例性地，如果访问令牌获取请求消息中的信息均验证通过，则第一NRF通过访问令牌获取响应消息向NF服务消费者发送生成的access token。该访问令牌获取响应消息中还可以包括其他的信息，例如NRF的签名信息、access token的到期时间等。

对应地，NF服务消费者接收来自第一NRF的access token，并保存该access token，在有效期内，用于后续在互联场景下访问NF服务提供者的服务使用。

如果S630中的授权验证没有通过，则第一NRF向NF服务消费者发送错误响应或者拒绝响应。

可选地，如果S630中的授权验证没有通过，则第一NRF向NF服务消费者拒绝的原因，例如，NF服务消费者所位于的PLMN不合法或NF服务消费者的NF类型不合法等。

下面结合图7介绍一种授权验证的方法700，该方法700是请求NF服务提供者的服务的流程。从图7中可以看出，方法700包括：

S701，NF服务消费者向第二SEPP发送服务请求消息，该服务请求消息用于向NF服务提供者请求服务。该服务请求消息包括访问令牌。

在本申请实施例中，该服务请求消息包括cPLMN ID、请求的目的(purpose of request)和access token。

可选地，服务请求消息还可以包括NF服务消费者的NF type

可选地，服务请求消息还可以包括expected servicename。

应理解，access token包括已经得到授权的信息，例如，PLMN标识符、interconnect purpose。

可选地，access token还可以包括NF type。

可选地，access token还可以包括service name。

应理解，该服务请求消息是发送给NF服务提供者的，在消息传输过程中，第二SEPP起到中转的作用。

应理解，该访问令牌受到了安全保护，因此恶意的NF无法对访问令牌内的信息进行篡改。可以是由分发该访问令牌的网元(例如第一NRF)对该访问令牌进行的安全保护。例如，第一NRF利用共享密钥对该访问令牌(或者是访问令牌内的信息)生成完整性保护参数(例如消息认证码MAC)，第二NF在服务请求消息中携带该完整性保护参数。第一网元可以根据该完整性保护参数验证访问令牌内的信息是否被篡改。又例如，第一NRF利用私钥对安全令牌内的信息进行签名，在授权的过程中，可以通过对签名进行验证来确定访问令牌内的信息是否被篡改。

S702，第二SEPP验证服务请求消息是否被授权。

具体地，第二SEPP验证aceess token中的信息与服务请求消息中的信息是否相同。

第二SEPP验证服务请求消息中的request of purpose和access token中的interconnect purpose是否相同，并验证服务请求消息中的cPLMN ID和access token中的PLMN标识符是否相同。

可选地，如果acees token中包括NF type，则第二SEPP验证服务请求消息中的NF服务消费者的NF type是否与acees token中的NF type是否相同。

可选地，如果acees token中包括service name，则第二SEPP验证服务请求消息中的expectedservice是否与acees token中的service name是否相同。

此外，第二SEPP还可以access token中的到期时间与当前的时间比较以验证该access token是否过期。或者，第二SEPP还可以基于访问令牌中的完整性保护参数或者签名验证access token是否被篡改。

在上述验证流程中，如果aceess token中的信息与服务请求消息中的信息相同，则验证通过。如果不相同，则验证不通过。如果上述流程均验证通过，则在S703中第二SEPP向第一SEPP转发该服务请求消息。

如果上述任意一个流程验证没有通过，则向NF服务消费者发送错误响应或者拒绝响应。

S703，第二SEPP向第一SEPP转发服务请求消息。

S704，第一SEPP验证服务请求消息是否被授权。

S704与S702类似，具体可参考S702的相关描述。

应理解，S704为可选的步骤，如果在S702中已经对服务请求消息进行验证，则S704可以不对服务请求消息进行上述验证。

如果上述流程均验证通过，则在S705中第一SEPP向NF服务提供者转发该服务请求消息。

S705，第一SEPP向NF服务提供者转发服务请求消息。

S706，NF服务提供者验证服务请求消息是否被授权。

具体地，NF服务提供者验证aceess token中的信息与服务请求消息中的信息是否相同。

NF服务提供者验证服务请求消息中的request of purpose和access token中的interconnect purpose是否相同，并验证服务请求消息中的cPLMN ID和access token中的PLMN标识符是否相同。

可选地，如果acees token中包括NF type，则NF服务提供者验证服务请求消息中的NF服务消费者的NF type是否与acees token中的NF type是否相同。

可选地，如果acees token中包括service name，则NF服务提供者验证服务请求消息中的expectedservice是否与acees token中的service name是否相同。

此外，NF服务提供者还可以access token中的到期时间与当前的时间比较以验证该access token是否过期。NF服务提供者还可以验证access token中的NF服务提供者的NF实例ID或NF type与自己的id或type是否相同。

可选地，NF服务提供者还可以对access token进行完整性验证。

示例性地，NF服务提供者从服务请求消息中获取access token，并对该access token进行完整性验证。例如，该服务请求消息中携带了通过共享密钥对access token中的信息生成的MAC值(该共享密钥为NF服务提供者与NRF之间共享的密钥)，则NF服务提供者使用共享密钥验证该MAC值；又例如，NRF对该access token进行了签名，则NF服务提供者使用NRF的公钥验证该签名。

如果上述流程均验证通过，则NF服务提供者可以执行NF服务消费者请求的服务，并在S707，向NF服务消费者发送服务响应消息。如果上述任意一个流程验证没有通过，则向NF服务消费者发送错误响应或者拒绝响应。

可选地，也可以在服务请求消息中不携带请求的目的，而是以accesstoken中的interconnect purpose为准进行验证。即验证accesstoken是否允许访问即可。

S707，NF服务提供者向NF服务消费者发送服务响应消息。

应理解，在S707中，该服务响应消息可以通过第一SEPP、第二SEPP进行转发。

下面结合图8介绍一种服务授权方法800，该方法800是请求NF服务提供者的服务的流程。在方法800中，服务消费者可以向服务提供者发送服务请求消息，由SEPP配置参数列表，并对服务请求消息进行服务授权。这样，对SEPP配置的参数进行修改就可以支持互联场景的服务授权，并支持更细粒度的服务访问控制。

从图8中可以看出，方法800包括：

S810，第二SEPP和/或第一SEPP配置参数列表。

需要说明的是，第一SEPP和NF服务提供者位于第一PLMN，第二SEPP和NF服务消费者位于第二PLMN。

以第一SEPP为例进行说明，第一SEPP可以配置互联目的下允许访问NF服务提供者的NF的信息。

应理解，NF服务提供者可以有多个，每个NF服务提供者对应一个或多个NF的信息。该NF的信息可以是NF的类型，或者也可以是NF实例的ID。示例性的，第一NF服务提供者在互联目的下允许被NF type1或NF type2的NF服务消费者访问。

示例性的，第一SEPP配置的参数列表可以如表1所示。

表1

应理解，上述表1中的参数列表可以按需选取，不一定需要全部进行配置。

应理解，表1中允许访问的NF的信息(服务消费者)指示哪些服务消费者可以访问服务提供者，可以理解为针对每一个服务提供者，配置允许访问该每一个服务提供者的服务消费者；表1中允许被访问的NF的信息(服务提供者)指示哪些服务提供者可以被访问。

以第二SEPP为例进行说明，第二SEPP配置的参数列表可以如表2所示。

表2

S820，NF服务消费者向第二SEPP发送服务请求消息。

NF服务消费者向第二SEPP发送服务请求消息，该服务请求消息用于请求NF服务提供者向NF服务消费者提供服务，该请求消息携带purpose of request和NF服务消费者的NF的信息。

可选地，该服务请求消息携带第一PLMN的标识符。

可选地，该服务请求消息携带第二PLMN的标识符。

可选地，该服务请求消息携带NF服务提供者的NF的信息。

可选地，该服务请求消息携带expected service name。

S830，第二SEPP验证服务请求消息是否被授权。

在互联目的下，即该请求消息中的purpose of request为interconnect purpose的情况下，第二SEPP可以根据配置的参数列表验证服务请求消息，也就是说，第二SEPP可以根据配置的参数执行NF服务消费者使用NF服务提供者的服务的授权。

如果第二SEPP配置了允许访问的NF的信息，则验证NF服务消费者的NF信息是否属于该允许访问的NF的信息。如果是，则验证通过。否，则验证不通过。

如果第二SEPP配置了允许第二PLMN访问的PLMN的信息，则验证第一PLMN是否属于该允许第二PLMN访问的PLMN的信息。如果是，则验证通过。否，则验证不通过。

如果第二SEPP配置了允许被访问的NF的信息，则验证NF服务提供者的NF信息是否属于该允许被访问的NF的信息。如果是，则验证通过。否，则验证不通过。

如果第二SEPP配置了允许被访问的服务的信息，则验证expected service name是否属于该允许被访问的服务的信息。如果是，则验证通过。否，则验证不通过。

如果上述验证流程均通过，在S840中将该服务请求消息转发给第一SEPP。

S840，第二SEPP将服务请求消息转发给第一SEPP。

S850，第一SEPP验证服务请求消息是否被授权。

如果该请求消息中的purpose of request为interconnect purpose。第一SEPP可以基于配置的参数列表验证服务请求消息：

如果第一SEPP配置了允许访问的NF的信息，则验证NF服务消费者的NF信息是否属于该允许访问的NF的信息。如果是，则验证通过。否，则验证不通过。

如果第一SEPP配置了允许访问第一PLMN的PLMN的信息，则验证第二PLMN是否属于该允许访问第一PLMN的PLMN的信息。如果是，则验证通过。否，则验证不通过。

如果第一SEPP配置了允许被访问的NF的信息，则验证NF服务提供者的NF信息是否属于该允许被访问的NF的信息。如果是，则验证通过。否，则验证不通过。

如果第一SEPP配置了允许被访问的服务的信息，则验证expected service name是否属于该允许被访问的服务的信息。如果是，则验证通过。否，则验证不通过。

如果上述验证流程均通过，在S860中将该服务请求消息转发给NF服务提供者。

可选地，由第一SEPP和第二SEPP执行的验证流程可以由其中任意一个SEPP执行。

应理解，由第一SEPP和第二SEPP对服务请求消息进行的验证可以是初步的验证，也可以是完整的验证。在第一SEPP和第二SEPP进行验证后，NF服务提供者可以继续对该服务请求消息进行授权验证。

S860，第一SEPP将服务请求消息转发给NF服务提供者。

图9是本申请实施例提供的授权验证的装置的示意性框图。该装置900包括收发单元910和处理单元920。收发单元910可以实现相应的通信功能，处理单元920用于进行数据处理。收发单元910还可以称为通信接口或通信单元。

可选地，该装置900还可以包括存储单元，该存储单元可以用于存储指令和/或数据，处理单元920可以读取存储单元中的指令和/或数据，以使得通信装置实现前述方法实施例。

该装置900可以用于执行上文方法实施例中第一网元(例如，NF服务提供者，或第一SEPP，或第二SEPP)所执行的动作，这时，该装置900可以为第一网元或者可配置于第一网元的部件，收发单元910用于执行上文方法实施例中第一网元侧的收发相关的操作，处理单元920用于执行上文方法实施例中第一网元的处理相关的操作。

或者，该装置900可以用于执行上文方法实施例中NRF(第一NRF或第二NRF)所执行的动作，这时，该装置900可以为NRF或者可配置于NRF的部件，收发单元910用于执行上文方法实施例中NRF的收发相关的操作，处理单元920用于执行上文方法实施例中NRF的处理相关的操作。

该装置900可实现对应于根据本申请实施例的方法300中的第一网元执行的步骤或流程；或者，可实现对应于根据本申请实施例的方法700中的第一SEPP、第二SEPP或NF服务提供者执行的步骤或流程。该装置900可以包括用于执行图3中的方法300或图7中的方法700执行的方法的单元。并且，该装置900中的各单元和上述其他操作和/或功能分别为了实现方法300或方法700的相应流程。

其中，当该装置900用于执行图3中的方法300时，收发单元910可用于执行方法300中的步骤S301，处理单元920可用于执行方法500中的步骤S302。

当该装置900用于执行图7中的方法700时，收发单元910可用于执行方法700中的步骤S701、S703、S705、S707，处理单元920用于指示方法700中的S702、S704、S706。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

该装置900还可以实现对应于根据本申请实施例的方法800中的第一SEPP、第二SEPP执行的步骤或流程，该装置900可以包括用于执行图8中的方法800执行的方法的单元。并且，该装置900中的各单元和上述其他操作和/或功能分别为了实现方法800的相应流程。

当该装置900用于执行图8中的方法800时，收发单元910可用于执行方法800中的步骤S820、S840或S860，处理单元920可用于执行方法800中的步骤S830、S850。

该装置900还可以实现对应于根据本申请实施例的方法400、方法500或方法600中的第一NRF或第二NRF执行的步骤或流程，该装置900可以包括用于执行图4中的方法400或图5中的方法500或图6中的方法600执行的方法的单元。并且，该装置900中的各单元和上述其他操作和/或功能分别为了实现方法400或方法500或方法600的相应流程。

当该装置900用于执行图4中的方法400时，收发单元910可用于执行方法400中的步骤S410或S430或S450，处理单元920可用于执行方法400中的步骤S420或S440。当该装置900用于执行图5中的方法500时，收发单元910可用于执行方法500中的步骤S510或S530，处理单元920可用于执行方法500中的步骤S520。当该装置900用于执行图6中的方法600时，收发单元910可用于执行方法600中的步骤S610、S620、S640或S650，处理单元920可用于执行方法600中的步骤S630。

如图10所示，本申请实施例还提供一种设备1000。该设备1000包括处理器1010，处理器1010与存储器1020耦合，存储器1020用于存储计算机程序或指令和/或数据，处理器1010用于执行存储器1020存储的计算机程序或指令和/或数据，使得上文方法实施例中的方法被执行。

可选地，该设备1000包括的处理器1010为一个或多个。

可选地，如图10所示，该设备1000还可以包括存储器1020。

可选地，该设备1000包括的存储器1020可以为一个或多个。

可选地，该存储器1020可以与该处理器1010集成在一起，或者分离设置。

可选地，如图10所示，该设备1000还可以包括收发器1030，收发器1030用于信号的接收和/或发送。例如，处理器1010用于控制收发器1030进行信号的接收和/或发送。

作为一种方案，该设备1000用于实现上文方法实施例中由第一网元或者NF服务提供者或者安全边缘保护代理网元(第一SEPP或第二SEPP)执行的操作。

例如，处理器1010用于实现上文方法实施例中由第一网元或者NF服务提供者或者安全边缘保护代理网元(第一SEPP或第二SEPP)执行的处理相关的操作，收发器1030用于实现上文方法实施例中由第一网元或者NF服务提供者或者安全边缘保护代理网元(第一SEPP或第二SEPP)执行的收发相关的操作。

作为又一种方案，该设备1000用于实现上文方法实施例中由第一NRF或第二NRF执行的操作。

例如，处理器1010用于实现上文方法实施例中由第一NRF或第二NRF执行的处理相关的操作，收发器1030用于实现上文方法实施例中由第一NRF或第二NRF执行的收发相关的操作。

应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

本申请实施例还提供了一种处理装置，包括处理器和接口；该处理器用于执行上述任一方法实施例中的方法。

应理解，上述处理装置可以是一个或多个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由第一网元(NF服务提供者、第一SEPP或第二SEPP)或者NRF(第一NRF或第二NRF)执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由第一网元(NF服务提供者、第一SEPP或第二SEPP)或者NRF(第一NRF或第二NRF) 执行的方法。

本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得该计算机实现上述方法实施例中由第一网元(NF服务提供者、第一SEPP或第二SEPP)执行的方法，或由NRF(第一NRF或第二NRF)执行的方法。

本申请实施例还提供一种通信系统，该通信系统包括上文实施例中的第一网元、第一SEPP、第二SEPP、第一NRF、第二NRF中的至少两个。

所属领域的技术人员可以清楚地了解到，为描述方便和简洁，上述提供的任一种通信装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定，只要能够通过运行记录有本申请实施例提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可。例如，本申请实施例提供的方法的执行主体可以是终端设备或网络设备，或者，是终端设备或网络设备中能够调用程序并执行程序的功能模块。

本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。

其中，计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质(或者说计算机可读介质)例如可以包括但不限于：磁性介质或磁存储器件(例如，软盘、硬盘(如移动硬盘)、磁带)、光介质(例如，光盘、压缩盘(compact disc，CD)、数字通用盘(digital versatile disc，DVD)等)、智能卡和闪存器件(例如，可擦写可编程只读存储器(erasable programmable read-only memory，EPROM)、卡、棒或钥匙驱动器等)、或者半导体介质(例如固态硬盘(solid state disk，SSD)等、U盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)等各种可以存储程序代码的介质。

本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于：无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。例如，RAM可以用作外部高速缓存。作为示例而非限定，RAM可以包括如下多种形式：静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

还需要说明的是，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，上述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。此外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。

另外，在本申请各个实施例中的各功能单元可以集成在一个单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。

当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例该的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如，计算机可以是个人计算机，服务器，或者网络设备等。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。关于计算机可读存储介质，可以参考上文描述。

以上该，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求和说明书的保护范围为准。

Claims

一种授权验证的方法，其特征在于，包括：

第一网元接收来自第二网络功能的服务请求消息，所述第二网络功能位于第二陆地公用移动通信网络，所述服务请求消息用于请求位于第一陆地公用移动通信网络的第一网络功能向所述第二网络功能提供第一服务，所述服务请求消息包括访问令牌、请求的目的和所述第二陆地公用移动通信网络的标识符，所述访问令牌包括陆地公用移动通信网络标识符和互联目的；

所述第一网元执行所述第二网络功能使用所述第一服务的授权，在所述执行授权之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符相同，以及所述请求的目的与所述互联目的相同。
根据权利要求1所述的方法，其特征在于，所述服务请求消息进一步包括第二网络功能的信息，所述访问令牌进一步包括网络功能的信息；

在所述执行授权之前，进一步包括：所述第一网元确定所述第二网络功能的信息与所述网络功能的信息相同。
根据权利要求1或2所述的方法，其特征在于，所述服务请求消息进一步包括所述第一服务的信息，所述访问令牌包括服务的信息；

在所述执行授权之前，进一步包括：所述第一网元确定所述第一服务的信息与所述服务的信息相同。
根据权利要求1至3中任一项所述的方法，其特征在于，所述方法进一步包括：

所述第一网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符不相同，和/或所述请求的目的与所述互联目的不相同。
根据权利要求1至3中任一项所述的方法，其特征在于，所述服务请求消息进一步包括第二网络功能的信息，所述访问令牌进一步包括网络功能的信息；

所述方法进一步包括：

所述第一网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符不相同，和/或所述请求的目的与所述互联目的不相同，和/或所述第二网络功能的信息与所述网络功能的信息不相同。
根据权利要求1至3中任一项所述的方法，其特征在于，所述服务请求消息进一步包括第二网络功能的信息以及所述第一服务的信息，所述访问令牌进一步包括网络功能的信息以及服务的信息；

所述方法进一步包括：

所述第一网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符不相同，和/或所述请求的目的与所述互联目的不相同，和/或所述第二网络功能的信息与所述网络功能的信息不相同，和/或所述第一服务的信息与所述服务的信息不相同。
根据权利要求1至6中任一项所述的方法，其特征在于，

所述第一网元为：所述第一网络功能，所述第一陆地公用移动通信网络中的安全边缘保护代理网元，或者，所述第二陆地公用移动通信网络中的安全边缘保护代理网元。
一种发送访问令牌的方法，其特征在于，包括：

位于第一陆地公用移动通信网络的第一网络存储功能接收位于所述第一陆地公用移动通信网络的第一网络功能的注册请求，所述注册请求包括互联目的下允许访问的陆地公用移动通信网络列表，所述陆地公用移动通信网络列表包括第二陆地公用移动通信网络；

所述第一网络存储功能完成对所述第一网络功能的注册；

所述第一网络存储功能接收来自第二网络功能的第一请求消息，所述第二网络功能位于所述第二陆地公用移动通信网络，所述第一请求消息用于请求访问令牌，所述访问令牌用于访问位于所述第一陆地公用移动通信网络的第一网络功能的第一服务，所述第一请求消息包括所述第二陆地公用移动通信网络的标识符和所述互联目的；

响应于所述第一请求消息，所述第一网络存储功能生成所述访问令牌，所述访问令牌包括所述第二陆地公用移动通信网络的标识符和所述互联目的；

所述第一网络存储功能向所述第二网络功能发送所述访问令牌。
根据权利要求8所述的方法，其特征在于，

所述注册请求进一步包括：所述互联目的下允许访问所述第一网络功能的网络功能的信息；

所述第一请求消息进一步包括：所述第二网络功能的信息；

响应于所述第一请求消息，所述第一网络存储功能生成所述访问令牌，包括：

所述第一网络存储功能确定所述互联目的下允许访问所述第一网络功能的网络功能的信息包括所述第二网络功能的信息；

所述第一网络存储功能生成所述访问令牌，所述访问令牌还包括所述第二网络功能的信息；

或者，

所述注册请求进一步包括：所述互联目的下允许访问所述第一网络功能的网络功能的信息，以及所述互联目的下允许被访问的服务的信息；

所述第一请求消息进一步包括：所述第二网络功能的信息以及所述第一服务的信息；

响应于所述第一请求消息，所述第一网络存储功能生成所述访问令牌，包括：

所述第一网络存储功能确定所述互联目的下允许访问所述第一网络功能的网络功能的信息包括所述第二网络功能的信息，以及所述互联目的下允许被访问的服务的信息包括所述第一服务的信息；

所述第一网络存储功能生成所述访问令牌，所述访问令牌还包括所述第二网络功能的信息以及所述第一服务的信息。
一种服务授权方法，其特征在于，包括：

安全边缘保护代理网元接收来自第二网络功能的服务请求消息，所述第二网络功能位于第二陆地公用移动通信网络，所述服务请求消息用于请求位于第一陆地公用移动通信网络的第一网络功能向所述第二网络功能提供第一服务；

所述安全边缘保护代理网元根据配置的参数执行所述第二网络功能使用所述第一服务的授权，所述配置的参数包括互联目的下允许访问所述第一网络功能的网络功能的信息，在所述执行授权之前，确定所述互联目的下允许访问所述第一网络功能的网络功能的信息包括所述第二网络功能的信息。
根据权利要求10所述的方法，其特征在于，所述安全边缘保护代理网元位于所述第一陆地公用移动通信网络，所述配置的参数还包括互联目的下允许访问所述第一陆地公用移动通信网络的陆地公用移动通信网络的列表，

在所述执行授权之前，还包括：确定所述互联目的下允许访问所述第一陆地公用移动通信网络的陆地公用移动通信网络的列表包括所述第二陆地公用移动通信网络；

或者，所述安全边缘保护代理网元位于所述第二陆地公用移动通信网络，所述配置的参数还包括互联目的下允许所述第二陆地公用移动通信网络访问的陆地公用移动通信网络的列表，

在所述执行授权之前，还包括：确定所述互联目的下允许所述第二陆地公用移动通信网络访问的陆地公用移动通信网络的列表包括所述第一陆地公用移动通信网络。
根据权利要求10或11所述的方法，其特征在于，所述配置的参数还包括所述互联目的下允许被访问的服务的信息，

在所述执行授权之前，还包括：确定所述互联目的下允许被访问的服务的信息包括所述服务请求消息中携带的第一服务的信息。
根据权利要求10至12中任一项所述的方法，其特征在于，所述方法进一步包括：

所述安全边缘保护代理网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，根据所述配置的参数确定所述互联目的下允许访问所述第一网络功能的网络功能的信息不包括所述第二网络功能的信息。
根据权利要求10至12中任一项所述的方法，其特征在于，所述安全边缘保护代理网元位于所述第一陆地公用移动通信网络，所述配置的参数还包括互联目的下允许访问所述第一陆地公用移动通信网络的陆地公用移动通信网络的列表，

所述方法进一步包括：

所述安全边缘保护代理网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述互联目的下允许访问所述第一陆地公用移动通信网络的陆地公用移动通信网络的列表不包括所述第二陆地公用移动通信网络；

或者，所述安全边缘保护代理网元位于所述第二陆地公用移动通信网络，所述配置的参数还包括互联目的下允许所述第二陆地公用移动通信网络访问的陆地公用移动通信网络的列表，

所述安全边缘保护代理网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，还包括：确定所述互联目的下允许所述第二陆地公用移动通信网络访问的陆地公用移动通信网络的列表不包括所述第一陆地公用移动通信网络。
根据权利要求10至12任一项所述的方法，其特征在于，所述配置的参数还包括所述互联目的下允许被访问的服务的信息，

所述方法进一步包括：

所述安全边缘保护代理网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述允许被访问的服务的信息不包括所述第一服务的信息。
一种授权验证的装置，其特征在于，包括：

收发单元，用于接收来自第二网络功能的服务请求消息，所述第二网络功能位于第二陆地公用移动通信网络，所述服务请求消息用于请求位于第一陆地公用移动通信网络的第一网络功能向所述第二网络功能提供第一服务，所述服务请求消息包括访问令牌、请求的目的和所述第二陆地公用移动通信网络的标识符，所述访问令牌包括陆地公用移动通信网络标识符和互联目的；

处理单元，用于执行所述第二网络功能使用所述第一服务的授权，在所述执行授权之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符相同，以及所述请求的目的与所述互联目的相同。
根据权利要求16所述的装置，其特征在于，所述服务请求消息进一步包括第二网络功能的信息，所述访问令牌进一步包括网络功能的信息；

所述处理单元还用于：

在所述执行授权之前，确定所述第二网络功能的信息与所述网络功能的信息相同。
根据权利要求16或17所述的装置，其特征在于，所述服务请求消息进一步包括所述第一服务的信息，所述访问令牌包括服务的信息；

所述处理单元还用于：在所述执行授权之前，确定所述第一服务的信息与所述服务的信息相同。
根据权利要求16至18中任一项所述的装置，其特征在于，所述处理单元还用于：

拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符不相同，和/或所述请求的目的与所述互联目的不相同。
根据权利要求16至18中任一项所述的装置，其特征在于，所述服务请求消息进一步包括第二网络功能的信息，所述访问令牌进一步包括网络功能的信息；

所述处理单元还用于：

拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符不相同，和/或所述请求的目的与所述互联目的不相同，和/或所述第二网络功能的信息与所述网络功能的信息不相同。
根据权利要求16至18中任一项所述的装置，其特征在于，所述服务请求消息进一步包括第二网络功能的信息以及所述第一服务的信息，所述访问令牌进一步包括网络功能的信息以及服务的信息；

所述处理单元还用于：

拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符不相同，和/或所述请求的目的与所述互联目的不相同，和/或所述第二网络功能的信息与所述网络功能的信息不相同，和/或所述第一服务的信息与所述服务的信息不相同。
根据权利要求16至21中任一项所述的装置，其特征在于，所述装置为：所述第一网络功能，所述第一陆地公用移动通信网络的安全边缘保护代理网元，或者，所述第二陆地公用移动通信网络的安全边缘保护代理网元。
一种发送令牌的装置，其特征在于，包括：

收发单元，用于接收位于所述第一陆地公用移动通信网络的第一网络功能的注册请求，所述注册请求包括互联目的下允许访问的陆地公用移动通信网络列表，所述陆地公用移动通信网络列表包括第二陆地公用移动通信网络；

处理单元，用于完成对所述第一网络功能的注册；

所述收发单元，还用于接收来自第二网络功能的第一请求消息，所述第二网络功能位于所述第二陆地公用移动通信网络，所述第一请求消息用于请求访问令牌，所述访问令牌用于访问位于所述第一陆地公用移动通信网络的第一网络功能的第一服务，所述第一请求消息包括所述第二陆地公用移动通信网络的标识符和所述互联目的；

所述处理单元，还用于响应于所述第一请求消息，生成所述访问令牌，所述访问令牌包括所述第二陆地公用移动通信网络的标识符和所述互联目的；

所述收发单元还用于：向所述第二网络功能发送所述访问令牌。
根据权利要求23所述的装置，其特征在于，所述注册请求进一步包括：所述互联目的下允许访问所述第一网络功能的网络功能的信息；

所述第一请求消息进一步包括：所述第二网络功能的信息；

所述处理单元具体用于：确定所述互联目的下允许访问所述第一网络功能的网络功能的信息包括所述第二网络功能的信息；

所述第一网络存储功能生成所述访问令牌，所述访问令牌还包括所述第二网络功能的信息；

或者，

所述注册请求进一步包括：所述互联目的下允许访问所述第一网络功能的网络功能的信息，以及所述互联目的下允许被访问的服务的信息；

所述第一请求消息进一步包括：所述第二网络功能的信息以及所述第一服务的信息；

所述处理单元具体用于：确定所述网络功能的信息包括所述第二网络功能的信息，以及所述互联目的下允许被访问的服务的信息包括所述第一服务的信息；

生成所述访问令牌，所述访问令牌还包括所述第二网络功能的信息以及所述第一服务的信息。
一种服务授权的装置，其特征在于，包括：

收发单元，用于接收来自第二网络功能的服务请求消息，所述第二网络功能位于第二陆地公用移动通信网络，所述服务请求消息用于请求位于第一陆地公用移动通信网络的第一网络功能向所述第二网络功能提供第一服务；

处理单元，用于执行所述第二网络功能使用所述第一服务的授权，配置的参数包括互联目的下允许访问所述第一网络功能的网络功能的信息，在所述执行授权之前，根据所述配置的参数确定所述互联目的下允许访问所述第一网络功能的网络功能的信息包括所述第二网络功能的信息。
根据权利要求25所述的装置，其特征在于，所述装置位于所述第一陆地公用移动通信网络，所述配置的参数还包括互联目的下允许访问所述第一陆地公用移动通信网络的陆地公用移动通信网络的列表，

所述处理单元还用于：在所述执行授权之前，根据所述配置的参数确定所述互联目的下允许访问所述第一陆地公用移动通信网络的陆地公用移动通信网络的列表包括所述第二陆地公用移动通信网络；

或者，

所述处理单元还用于：在所述执行授权之前，根据所述配置的参数确定所述互联目的下允许所述第二陆地公用移动通信网络访问的陆地公用移动通信网络的列表包括所述第一陆地公用移动通信网络，所述装置位于所述第二陆地公用移动通信网络，所述配置的参数还包括互联目的下允许所述第二陆地公用移动通信网络访问的陆地公用移动通信网络的列表。
根据权利要求25或26所述的装置，其特征在于，所述配置的参数还包括所述互联目的下允许被访问的服务的信息，

所述处理单元还用于：在所述执行授权之前，根据所述配置的参数确定所述互联目的下允许被访问的服务的信息包括所述服务请求消息中携带的第一服务的信息。
根据权利要求25至27中任一项所述的装置，其特征在于，所述处理单元还用于：拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，根据所述配置的参数确定所述互联目的下允许访问所述第一网络功能的网络功能的信息不包括所述第二网络功能的信息。
根据权利要求25至27中任一项所述的装置，其特征在于，所述装置位于所述第一陆地公用移动通信网络，所述配置的参数还包括互联目的下允许访问所述第一陆地公用移动通信网络的陆地公用移动通信网络的列表，

所述处理单元还用于：拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，根据所述配置的参数确定所述互联目的下允许访问所述第一陆地公用移动通信网络的陆地公用移动通信网络的列表不包括所述第二陆地公用移动通信网络；

或者，所述装置位于所述第二陆地公用移动通信网络，所述配置的参数还包括互联目的下允许所述第二陆地公用移动通信网络访问的陆地公用移动通信网络的列表，

所述处理单元还用于：拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，根据所述配置的参数确定所述互联目的下允许所述第二陆地公用移动通信网络访问的陆地公用移动通信网络的列表不包括所述第一陆地公用移动通信网络。
根据权利要求25至27中任一项所述的装置，其特征在于，所述配置的参数还包括所述互联目的下允许被访问的服务的信息，

所述处理单元还用于：拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，根据所述配置的参数确定所述允许被访问的服务的信息不包括所述第一服务的信息。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，当所述计算机程序在计算机上运行时，使得计算机执行如权利要求1至7中任一项所述的方法，或者使得计算机执行如权利要求8或9所述的方法，或者使得计算机执行如权利要求10至15中任一项所述的方法。
一种计算机程序产品，其特征在于，包括计算机程序指令，所述计算机程序指令在计算机上运行时，使得计算机执行如权利要求1至7中任一项所述的方法，或者使得计算机执行如权利要求8或9所述的方法，或者使得计算机执行如权利要求10至15中任一项所述的方法。
一种通信装置，其特征在于，包括至少一个处理器，所述至少一个处理器用于执行存储在存储器中的计算机程序或指令，以执行如权利要求1至7中任一项所述的方法，或者以执行或如权利要求8或9所述的方法，或者以执行如权利要求10至15中任一项所述的方法。
一种授权验证的方法，其特征在于，所述方法所适用于的通信系统包括第一网元和第一网络存储功能，所述第一网络存储功能位于第一陆地公用移动通信网络，所述第一陆地公用移动通信网络包括第一网络功能，

所述第一网络存储功能接收所述第一网络功能的注册请求，所述注册请求包括互联目的下允许访问的陆地公用移动通信网络列表，所述陆地公用移动通信网络列表包括第二陆地公用移动通信网络；

所述第一网络存储功能完成对所述第一网络功能的注册；

所述第一网络存储功能接收来自第二网络功能的第一请求消息，所述第一请求消息用于请求访问令牌，所述访问令牌用于访问第一网络功能的第一服务，所述第一请求消息包括所述第二陆地公用移动通信网络的标识符和所述互联目的，所述第二网络功能位于第二陆地移动通信网络；

响应于所述第一请求消息，所述第一网络存储功能生成所述访问令牌，所述访问令牌包括所述第二陆地公用移动通信网络的标识符和所述互联目的；

所述第一网络存储功能向所述第二网络功能发送所述访问令牌；

所述第一网元接收来自所述第二网络功能的服务请求消息，所述服务请求消息用于请求第一网络功能向所述第二网络功能提供第一服务，所述服务请求消息包括访问令牌、请求的目的和所述第二陆地公用移动通信网络的标识符；

所述第一网元执行所述第二网络功能使用所述第一服务的授权，在所述执行授权之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符相同，以及所述请求的目的与所述互联目的相同。
根据权利要求34所述的方法，其特征在于，

所述注册请求进一步包括：所述互联目的下允许访问所述第一网络功能的网络功能的信息；

所述第一请求消息进一步包括：所述第二网络功能的信息；

响应于所述第一请求消息，所述第一网络存储功能生成所述访问令牌，包括：

所述第一网络存储功能确定所述互联目的下允许访问所述第一网络功能的网络功能的信息包括所述第二网络功能的信息；

所述第一网络存储功能生成所述访问令牌，所述访问令牌还包括所述第二网络功能的信息；

或者，

所述注册请求进一步包括：所述互联目的下允许访问所述第一网络功能的网络功能的信息，以及所述互联目的下允许被访问的服务的信息；

所述第一请求消息进一步包括：所述第二网络功能的信息以及所述第一服务的信息；

响应于所述第一请求消息，所述第一网络存储功能生成所述访问令牌，包括：

所述第一网络存储功能确定所述互联目的下允许访问所述第一网络功能的网络功能的信息包括所述第二网络功能的信息，以及所述互联目的下允许被访问的服务的信息包括所述第一服务的信息；

所述第一网络存储功能生成所述访问令牌，所述访问令牌还包括所述第二网络功能的信息以及所述第一服务的信息。
根据权利要求34或35所述的方法，其特征在于，所述服务请求消息进一步包括第二网络功能的信息，所述访问令牌进一步包括网络功能的信息；

在所述执行授权之前，进一步包括：所述第一网元确定所述第二网络功能的信息与所述网络功能的信息相同。
根据权利要求34至36中任一项所述的方法，其特征在于，所述服务请求消息进一步包括所述第一服务的信息，所述访问令牌包括服务的信息；

在所述执行授权之前，进一步包括：所述第一网元确定所述第一服务的信息与所述服务的信息相同。
根据权利要求34至37中任一项所述的方法，其特征在于，所述方法进一步包括：

所述第一网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符不相同，和/或所述请求的目的与所述互联目的不相同。
根据权利要求34至37中任一项所述的方法，其特征在于，所述服务请求消息进一步包括第二网络功能的信息，所述访问令牌进一步包括网络功能的信息；

所述方法进一步包括：

所述第一网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符不相同，和/或所述请求的目的与所述互联目的不相同，和/或所述第二网络功能的信息与所述网络功能的信息不相同。
根据权利要求34至37中任一项所述的方法，其特征在于，所述服务请求消息进一步包括第二网络功能的信息以及所述第一服务的信息，所述访问令牌进一步包括网络功能的信息以及服务的信息；

所述方法进一步包括：

所述第一网元拒绝所述第二网络功能使用所述第一服务，在所述拒绝之前，确定所述第二陆地公用移动通信网络的标识符与所述访问令牌中的陆地公用移动通信网络标识符不相同，和/或所述请求的目的与所述互联目的不相同，和/或所述第二网络功能的信息与所述网络功能的信息不相同，和/或所述第一服务的信息与所述服务的信息不相同。
根据权利要求34至40中任一项所述的方法，其特征在于，

所述第一网元为：所述第一网络功能，所述第一陆地公用移动通信网络中的安全边缘保护代理网元，或者，所述第二陆地公用移动通信网络中的安全边缘保护代理网元。
一种通信系统，其特征在于，所述通信系统包括如权利要求16-22中任一项所述的授权验证的装置和如权利要求23-24中任一项所述的发送令牌的装置。