WO2024016954A1

WO2024016954A1 - 一种授权方法和通信装置

Info

Publication number: WO2024016954A1
Application number: PCT/CN2023/102685
Authority: WO
Inventors: 封召; 辛阳; 王远
Original assignee: 华为技术有限公司
Priority date: 2022-07-17
Filing date: 2023-06-27
Publication date: 2024-01-25
Also published as: CN117459939A

Abstract

本申请提供了一种授权方法和通信装置，在该方法中，网络设备通过第一网络数据的标识从数据存储网元获取第一授权信息，第一授权信息为被授权获取所述第一网络数据的终端的信息或者未被授权获取所述第一网络数据的终端的信息。这样，当多个终端同时请求第一网络数据时，只需要和数据存储网元进行一次信令交互就能确定多个终端针对第一网络数据的授权信息，从而有助于减少信令交互的数量。

Description

一种授权方法和通信装置

本申请要求于2022年07月17日提交中国国家知识产权局、申请号为202210854668.7、申请名称为“一种授权方法和通信装置”的中国专利申请、以及于2022年09月29日提交中国国家知识产权局、申请号为202211204791.0、申请名称为“一种授权方法和通信装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信领域，并且更具体地，涉及一种授权方法和通信装置。

背景技术

在实际中，终端可能需要从网络获取一些网络数据，例如，由事件标识(event ID)表征的网络事件和由分析标识(analytics ID)表征的网络数据分析等，用以辅助终端本地的操作，例如，人工智能(artificial intelligence，AI)或机器学习(machine learning，ML)操作等。但并不是所有网络数据都会开放给任一终端，换句话说，终端请求的网络数据需要得到网络的授权。当终端请求网络数据时，可以向网络设备(例如应用功能网元(application function，AF)等)发送请求消息，再由网络设备向数据存储网元获取授权。

发明内容

本申请提供了一种授权的方法和通信装置，能够在多个终端同时请求同一个网络数据时降低与数据存储网元之间的信令开销，从而提升信息开放授权的效率。

第一方面，提供了一种授权方法，所述方法可以由网络设备执行，也可以由网络设备中的模块或单元执行，为了描述方便，下文统一称为网络设备。

所述方法包括：网络设备向数据存储网元发送第一消息，所述第一消息包括第一网络数据的标识；所述网络设备接收来自所述数据存储网元的第二消息，所述第二消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息。

这里的网络设备可以为应用功能网元或网络开放功能网元。数据存储网元可以为核心网中具备数据存储功能的网元，例如，数据存储网元可以为统一数据存储库(unified data repository，UDR)或者统一数据管理(unified data management，UDM)。

可选地，所述第一消息用于获取所述第一授权信息。

在上述技术方案中，网络设备可以通过第一网络数据的标识从数据存储网元获取第一授权信息，而第一授权信息为被授权获取所述第一网络数据的终端的信息或者未被授权获取所述第一网络数据的终端的信息。这样，当多个终端同时请求第一网络数据时，只需要和数据存储网元进行一次信令交互就能确定这多个终端针对第一网络数据的授权信息，从而有助于减少信令交互的数量。

结合第一方面，在一种可能的实现方式中，所述第一网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

当第一网络数据的标识用于标识网络数据分析的子集或网络事件的子集时，网络设备可以从数据存储网元获取网络数据分析的子集粒度或网络事件的子集粒度的第一授权信息，可以实现精细化网络数据开放的效果。对于网络只开放某个分析标识对应的一组数据分析结果中的一部分或者某个事件标识对应的一组数据中的一部分给终端的情况，仍然可以实现相应的授权。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述被授权或未被授权获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

换句话说，数据存储网元中可以存储与第一网络数据的标识对应的一个或多个终端的标识，和/或，一个或多个终端组的标识，和/或，一个或多个终端类型。即该一个或多个终端、一个或多个终端组中的终端和一个或多个终端类型的终端被授权获取第一网络数据(白名单格式)，或者，该一个或多个终端、一个或多个终端组中的终端和一个或多个终端类型的终端未被授权获取第一网络数据(白名单格式)。

数据存储网元中存储第一网络数据的标识对应的终端组，相比于存储第一网络数据的标识对应的终端，有助于减少对数据存储网元存储区的占用以及消息中携带的数据量。同理，数据存储网元中存储第一网络数据的标识对应的终端类型，相比于存储第一网络数据的标识对应的终端，有助于减少对数据存储网元存储区的占用以及消息中携带的数据量。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为网络开放功能网元，所述方法还包括：所述网络开放功能网元接收来自应用功能网元的第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识；所述网络开放功能网元根据所述第一授权信息、以及所述请求获取所述第一网络数据的终端的信息，确定所述第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据；所述网络开放功能网元向所述应用功能网元发送第四消息，所述第四消息包括所述第二授权信息。

在上述技术方案中，由网络开放功能网元根据应用功能网元的请求的第一网络数据的标识，向数据存储网元获取第一授权信息，并根据应用功能网元提供的请求获取第一网络数据的终端的信息、以及第一授权信息，确定请求获取第一网络数据的终端是否被授权获取第一网络数据，并反馈给应用功能网元，可以实现第一网络数据粒度的授权。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为网络开放功能网元，在所述网络设备向数据存储网元发送第一消息之前，所述方法还包括：所述网络开放功能网元接收来自应用功能网元的第五消息，所述第五消息包括多个终端的标识、以及所述多个终端中每个终端请求获取的网络数据的标识；所述网络开放功能网元根据所述第五消息，确定所述多个终端中的多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识。

换句话说，当有多个终端同时请求网络数据时，网络开放功能网元可以将这多个终端的请求进行整合，对于请求相同网络数据的终端，网络开放功能网元通过该相同网络数据的标识向数据存储网元获取授权信息。这样只需要和数据存储网元进行一次信令交互就能确定请求相同网络数据的终端针对第一网络数据的授权信息，有助于减少信令交互的数量。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述网络开放功能网元根据所述第一授权信息、以及所述多个第一终端的标识，确定第三授权信息，所述第三授权信息用于指示所述多个第一终端中的每个第一终端是否被授权获取所述第一网络数据，所述第一网络数据包括一个或多个类型的网络数据；所述网络开放功能网元向所述应用功能网元发送第六消息，所述第六消息包括所述第三授权信息。

在上述技术方案中，由网络开放功能网元根据第一授权信息和多个第一终端的标识，确定每个第一终端是否被授权获取第一网络数据，并反馈给应用功能网元，可以实现开放网络数据的授权。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述第六消息还包括第四授权信息，所述方法还包括：所述网络开放功能网元根据所述第五消息，确定第二终端的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端；所述网络开放功能网元向所述数据存储网元发送第七消息，所述第七消息包括所述第二终端的标识；所述网络开放功能网元接收来自所述数据存储网元的第八消息，所述第八消息包括所述第四授权信息，所述第四授权信息包括所述第二终端被授权或未被授权获取的网络数据的标识。

换句话说，在本申请的技术方案中，对于请求相同网络数据的终端，通过网络数据的标识从数据存储网元获取授权信息，对于其他终端，通过终端的标识从数据存储网元获取授权信息，这样有助于提升授权效率。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述相同的网络数据包括的网络数据的类型的数量小于所述多个第一终端的数量。

当该相同的网络数据包括网络数据的类型的数量小于第一终端的个数时，相比于通过终端的标识向数据存储网元检索授权信息，通过网络数据的标识向数据存储网元检索授权信息可以减少与数据存储网元的信令数量，有助于减少信令开销。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为网络开放功能网元，所述方法还包括：所述网络设备接收来自应用功能网元的第九消息，所述第九消息包括所述第一网络数据的标识；所述网络设备向所述应用功能网元发送第十消息，所述第十消息包括所述第一授权信息。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述应用功能网元代替终端获取第一网络数据，所述网络设备保存有策略信息，所述策略信息用于指示所述应用功能网元是否被授权获取所述第一网络数据；所述网络设备向数据存储网元发送第一消息，包括：当所述策略信息指示所述应用功能网元被授权获取所述第一网络数据时，所述网络设备向所述数据存储网元发送所述第一消息。

换句话说，当策略信息指示应用功能网元被授权获取第一网络数据时，网络开放功能网元才向数据存储网元获取授权信息，有助于避免不必要的授权流程。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元，所述方法还包括：所述应用功能网元根据所述第一授权信息、以及请求获取所述第一网络数据的终端的信息，确定第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

在上述技术方案中，由应用功能网元向数据存储网元获取第一授权信息，并根据请求获取第一网络数据的终端的信息、以及第一授权信息，确定请求获取第一网络数据的终端是否被授权获取第一网络数据，可以实现第一网络数据粒度的授权。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元，所述方法还包括：所述应用功能网元根据多个终端中每个终端请求获取的网络数据的标识，确定所述多个终端中的多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识。

换句话说，当有多个终端同时请求网络数据时，应用功能网元可以将这多个终端的请求进行整合，对于请求相同网络数据的终端，应用功能网元通过该相同网络数据的标识向数据存储网元获取授权信息。这样只需要和数据存储网元进行一次信令交互就能确定请求相同网络数据的终端针对第一网络数据的授权信息，有助于减少信令交互的数量。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述应用功能网元根据所述第一授权信息、以及所述多个第一终端的标识，确定第三授权信息，所述第三授权信息用于指示所述多个第一终端中的每个第一终端是否被授权获取所述第一网络数据，所述第一网络数据包括一个或多个类型的网络数据。

在上述技术方案中，由应用功能网元根据第一授权信息和多个第一终端的标识，确定每个第一终端是否被授权获取第一网络数据，可以实现开放网络数据的授权。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述应用功能网元根据所述多个终端中每个终端请求获取的网络数据的标识，确定第二终端的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端；所述应用功能网元向所述数据存储网元发送第七消息，所述第七消息包括所述第二终端的标识；所述应用功能网元接收来自所述数据存储网元的第八消息，所述第八消息包括第四授权信息，所述第四授权信息包括所述第二终端被授权获取的网络数据的标识。

结合第一方面或其任意实现方式，在另一种可能的实现方式中，所述请求获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

当请求获取所述第一网络数据的终端的信息为终端组或终端类型时，方案有助于减少消息中携带的数据量。

“请求获取第一网络数据的终端的信息”与第一授权信息中的终端的信息的类型可以相同，也可以不同。例如，第一授权信息包括终端类型1至终端类型3，请求获取第一网络数据的终端的信息包括终端类型1和终端类型4。又例如，第一授权信息包括终端类型1至终端类型3，请求获取第一网络数据的终端的信息包括终端标识1至终端标识5。

第二方面，提供了一种授权方法，所述方法可以由数据存储网元执行，也可以由数据存储网元中的模块或单元执行，为了描述方便，下文统一称为数据存储网元。

所述方法包括：数据存储网元接收来自网络设备的第一消息，所述第一消息包括第一网络数据的标识；所述数据存储网元向所述网络设备发送第二消息，所述第二消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息。

这里的网络设备可以为应用功能网元或网络开放功能网元。数据存储网元可以为核心网中具备数据存储功能的网元，例如，数据存储网元可以为UDR或者UDM。

可选地，所述第一消息用于获取所述第一授权信息。

结合第二方面，在一种可能的实现方式中，所述方法还包括：所述数据存储网元根据所述第一网络数据的标识，检索得到所述第一授权信息。

结合第二方面或其任意实现方式，在另一种可能的实现方式中，所述第一网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第二方面或其任意实现方式，在另一种可能的实现方式中，所述被授权或未被授权获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

结合第二方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述数据存储网元接收来自所述网络设备的第七消息，所述第七消息包括第二终端的标识；所述数据存储网元向所述网络设备发送第八消息，所述第八消息包括第四授权信息，所述第四授权信息包括所述第二终端被授权获取的网络数据的标识。

结合第二方面或其任意实现方式，在另一种可能的实现方式中，所述第一授权信息和所述第四授权信息为预配置在所述数据存储网元中的。

结合第二方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元或网络开放功能网元。

第三方面，提供了一种授权方法，所述方法可以由网络设备执行，也可以由网络设备中的模块或单元执行，为了描述方便，下文统一称为网络设备。

所述方法包括：网络设备向数据存储网元发送第十一消息，所述第十一消息包括第一网络数据的标识和请求获取所述第一网络数据的终端的信息；所述网络设备接收来自所述数据存储网元的第十二消息，所述第十二消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

需要说明的是，可以将这里的第十一消息和第十二消息是为了与第一方面的第一消息和第二消息进行区分，实际上也可以称为第一消息和第二消息。

可选地，所述第十一消息用于获取所述第二授权信息。

在上述技术方案中，网络设备可以向数据存储网元提供第一网络数据的标识和请求获取所述第一网络数据的终端的信息，以便数据存储网元根据第一网络数据的标识和请求获取所述第一网络数据的终端的信息确定第二授权信息。这样，当多个终端同时请求第一网络数据时，只需要和数据存储网元进行一次信令交互就能确定这多个终端针对第一网络数据的授权信息，从而有助于减少信令交互的数量。

结合第三方面，在一种可能的实现方式中，所述第一网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第三方面或其任意实现方式，在另一种可能的实现方式中，所述请求获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

结合第三方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元或网络开放功能网元。

结合第三方面或其任意实现方式，在另一种可能的实现方式中，当所述网络设备为网络开放功能网元时，所述方法还包括：所述网络开放功能网元接收来自应用功能网元的第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识；所述网络开放功能网元向所述应用功能网元发送第四消息，所述第四消息包括所述第二授权信息。

结合第三方面或其任意实现方式，在另一种可能的实现方式中，所述应用功能网元代替终端获取第一网络数据，所述网络设备保存有策略信息，所述策略信息用于指示所述应用功能网元是否被授权获取所述第一网络数据；所述网络设备向数据存储网元发送第十一消息，包括：当所述策略信息指示所述应用功能网元被授权获取所述第一网络数据时，所述网络设备向所述数据存储网元发送所述第十一消息。

第四方面，提供了一种授权方法，所述方法可以由数据存储网元执行，也可以由数据存储网元中的模块或单元执行，为了描述方便，下文统一称为数据存储网元。

所述方法包括：数据存储网元接收来自网络设备的第十一消息，所述第十一消息包括第一网络数据的标识和请求获取所述第一网络数据的终端的信息；所述数据存储网元向所述网络设备发送第十二消息，所述第十二消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

需要说明的是，可以将这里的第十一消息和第十二消息是为了与第二方面的第一消息和第二消息进行区分，实际上也可以称为第一消息和第二消息。

可选地，所述第十一消息用于获取所述第二授权信息。

结合第四方面，在一种可能的实现方式中，所述第四网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第四方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述数据存储网元根据所述第一网络数据的标识和所述请求获取所述第一网络数据的终端的信息，确定所述第二授权信息。

结合第四方面或其任意实现方式，在另一种可能的实现方式中，所述请求获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

结合第四方面或其任意实现方式，在另一种可能的实现方式中，所述第一授权信息为预配置在所述数据存储网元中的。

结合第四方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元或网络开放功能网元。

第五方面，提供了一种授权方法，所述方法可以由应用功能网元执行，也可以由应用功能网元中的模块或单元执行，为了描述方便，下文统一称为应用功能网元。

所述方法包括：应用功能网元向网络开放功能网元发送第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识；所述应用功能网元接收来自所述网络开放功能网元的第四消息，所述第四消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

在上述技术方案中，应用功能网元向网络设备提供请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识，以便后续网络设备或数据存储网元通过第一网络数据的标识获取第一授权信息，进而根据第一授权信息和请求获取所述第一网络数据的终端的信息确定第二授权信息，并反馈给应用功能网元。这样，当多个终端同时请求第一网络数据时，只需要和数据存储网元进行一次信令交互就能确定这多个终端针对第一网络数据的授权信息，从而有助于减少信令交互的数量。

结合第五方面，在一种可能的实现方式中，所述第一网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第五方面或其任意实现方式，在另一种可能的实现方式中，所述请求获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

第六方面，提供了一种授权方法，所述方法可以由应用功能网元执行，也可以由应用功能网元中的模块或单元执行，为了描述方便，下文统一称为应用功能网元。

所述方法包括：应用功能网元向网络开放功能网元发送第五消息，所述第五消息包括多个终端的标识、以及所述多个终端中每个终端请求获取的网络数据的标识；所述应用功能网元接收来自所述网络开放功能网元的第六消息，所述第六消息包括第三授权信息和/或第四授权信息，其中，所述第三授权信息用于指示多个第一终端中的每个第一终端是否被授权获取第一网络数据，所述多个第一终端属于所述多个终端，所述多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识，所述第一网络数据包括一个或多个类型的网络数据；所述第四授权信息用于指示第二终端被授权获取的网络数据的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端。

结合第六方面，在一种可能的实现方式中，所述相同的网络数据包括的网络数据的类型的数量小于所述多个第一终端的数量。

第七方面，提供了一种授权方法，所述方法可以由应用功能网元执行，也可以由应用功能网元中的模块或单元执行，为了描述方便，下文统一称为应用功能网元。

所述方法包括：应用功能网元向网络开放功能网元发送第九消息，所述第九消息包括第一网络数据的标识；所述应用功能网元接收来自所述网络开放功能网元的第十消息，所述第十消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息；所述应用功能网元根据所述第一授权信息、以及请求获取所述第一网络数据的终端的信息，确定第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

在上述技术方案中，应用功能网元可以通过网络开放功能网元，以第一网络数据的标识从数据存储网元获取第一授权信息，而第一授权信息为被授权获取所述第一网络数据的终端的信息或者未被授权获取所述第一网络数据的终端的信息。这样，当多个终端同时请求第一网络数据时，只需要和数据存储网元进行一次信令交互就能确定这多个终端针对第一网络数据的授权信息，从而有助于减少信令交互的数量。

结合第七方面，在一种可能的实现方式中，所述第一网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第七方面或其任意实现方式，在另一种可能的实现方式中，所述被授权或未被授权获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

第八方面，提供了一种授权方法，所述方法可以由数据存储网元执行，也可以由数据存储网元中的模块或单元执行，为了描述方便，下文统一称为数据存储网元。

所述方法包括：数据存储网元接收来自网络设备的第十三消息，所述第十三消息用于获取可开放给任意终端(any UE)的网络数据的标识的集合；所述数据存储网元向网络设备发送第十四消息，所述第十四消息包括所述集合。

在上述技术方案中，数据存储网元中可以预配置有针对所有终端或任意终端的授权信息，也就是说，对于某个网络数据，它要么是可以开放给所有终端或任意终端的，要么就是不能开放给所有终端或任意终端的。在此情况下，网络设备可以从数据存储网元获取可开放给任意终端的网络数据的标识的集合，以便根据该集合对终端对于网络数据的请求进行授权。该方案同样可以减少与数据存储网元的信令交互。

结合第八方面，在一种可能的实现方式中，所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

当网络数据的标识用于标识网络数据分析的子集或网络事件的子集时，网络设备可以从数据存储网元获取网络数据分析的子集粒度或网络事件的子集粒度的集合，可以实现精细化网络数据开放的效果。对于网络只开放某个分析标识对应的一组数据分析结果中的一部分或者某个事件标识对应的一组数据中的一部分给终端的情况，仍然可以实现相应的授权。

结合第八方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元或网络开放功能网元。

第九方面，提供了一种授权方法，所述方法可以由网络设备执行，也可以由网络设备中的模块或单元执行，为了描述方便，下文统一称为网络设备。

所述方法包括：网络设备向数据存储功能网元发送第十三消息，所述第十三消息用于获取可开放给任意终端的网络数据的标识的集合；所述网络设备接收来自所述数据存储功能网元的第十四消息，所述第十四消息包括所述集合。

结合第九方面，在一种可能的实现方式中，所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第九方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元或网络开放功能网元。

结合第九方面或其任意实现方式，在另一种可能的实现方式中，当所述网络设备为网络开放功能网元时，所述方法还包括：所述网络设备接收来自应用功能网元的第十五消息，所述第十五消息用于获取所述集合；所述网络设备向所述应用功能网元发送第十六信息，所述第十六信息包括所述集合。

第十方面，提供了一种授权方法，所述方法可以由应用功能网元执行，也可以由应用功能网元中的模块或单元执行，为了描述方便，下文统一称为应用功能网元。

所述方法包括：应用功能网元向网络开放功能网元发送第十五消息，所述第十五消息用于获取可开放给任意终端的网络数据的标识的集合；所述应用功能网元接收来自所述网络开放功能网元的第十六消息，所述第十六消息包括所述集合。

在上述技术方案中，应用功能网元可以通过网络开放功能网元从数据存储网元获取可开放给任意终端的网络数据的标识的集合，以便根据该集合对终端对于网络数据的请求进行授权。该方案同样可以减少与数据存储网元的信令交互。

结合第十方面，在一种可能的实现方式中，所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

第十一方面，提供了一种授权方法，所述方法包括：网络设备向数据存储网元发送第一消息，所述第一消息包括第一网络数据的标识；所述数据存储网元向所述网络设备发送第二消息，所述第二消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息。

结合第十一方面，在一种可能的实现方式中，所述第一网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述被授权或未被授权获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述数据存储网元根据所述第一网络数据的标识，检索得到所述第一授权信息。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为网络开放功能网元，所述方法还包括：应用功能网元向所述网络开放功能网元发送第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识；所述网络开放功能网元根据所述第一授权信息、以及所述请求获取所述第一网络数据的终端的信息，确定所述第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据；所述网络开放功能网元向所述应用功能网元发送第四消息，所述第四消息包括所述第二授权信息。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为网络开放功能网元，在所述网络设备向数据存储网元发送第一消息之前，所述方法还包括：应用功能网元向所述网络开放功能网元发送第五消息，所述第五消息包括多个终端的标识、以及所述多个终端中每个终端请求获取的网络数据的标识；所述网络开放功能网元根据所述第五消息，确定所述多个终端中的多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述网络开放功能网元根据所述第一授权信息、以及所述多个第一终端的标识，确定第三授权信息，所述第三授权信息用于指示所述多个第一终端中的每个第一终端是否被授权获取所述第一网络数据，所述第一网络数据包括一个或多个类型的网络数据；所述网络开放功能网元向所述应用功能网元发送第六消息，所述第六消息包括所述第三授权信息。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述第六消息还包括第四授权信息，所述方法还包括：所述网络开放功能网元根据所述第五消息，确定第二终端的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端；所述网络开放功能网元向所述数据存储网元发送第七消息，所述第七消息包括所述第二终端的标识；所述数据存储网元向所述网络设备发送第八消息，所述第八消息包括所述第四授权信息，所述第四授权信息包括所述第二终端被授权或未被授权获取的网络数据的标识。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述第一授权信息和所述第四授权信息为预配置在所述数据存储网元中的。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述相同的网络数据包括的网络数据的类型的数量小于所述多个第一终端的数量。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为网络开放功能网元，所述方法还包括：应用功能网元向所述网络开放功能网元发送第九消息，所述第九消息包括所述第一网络数据的标识；所述网络设备向所述应用功能网元发送第十消息，所述第十消息包括所述第一授权信息；所述应用功能网元根据所述第一授权信息、以及请求获取所述第一网络数据的终端的信息，确定第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述应用功能网元代替终端获取第一网络数据，所述网络设备保存有策略信息，所述策略信息用于指示所述应用功能网元是否被授权获取所述第一网络数据；所述网络设备向数据存储网元发送第一消息，包括：当所述策略信息指示所述应用功能网元被授权获取所述第一网络数据时，所述网络设备向所述数据存储网元发送所述第一消息。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元，所述方法还包括：所述应用功能网元根据所述第一授权信息、以及请求获取所述第一网络数据的终端的信息，确定第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元，所述方法还包括：所述应用功能网元根据多个终端中每个终端请求获取的网络数据的标识，确定所述多个终端中的多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述应用功能网元根据所述第一授权信息、以及所述多个第一终端的标识，确定第三授权信息，所述第三授权信息用于指示所述多个第一终端中的每个第一终端是否被授权获取所述第一网络数据，所述第一网络数据包括一个或多个类型的网络数据。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述应用功能网元根据所述多个终端中每个终端请求获取的网络数据的标识，确定第二终端的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端；所述应用功能网元向所述数据存储网元发送第七消息，所述第七消息包括所述第二终端的标识；所述数据存储网元向所述应用功能网元发送的第八消息，所述第八消息包括第四授权信息，所述第四授权信息包括所述第二终端被授权获取的网络数据的标识。

结合第十一方面或其任意实现方式，在另一种可能的实现方式中，所述请求获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

上述第十一方面及其可能的实现方式所示方法的技术效果可参照第一方面、第二方面、第五方面、第六方面、第七方面、及其可能的实现方式，在此不再赘述。

第十二方面，提供了一种授权方法，所述方法包括：网络设备向数据存储网元发送第十一消息，所述第十一消息包括第一网络数据的标识和请求获取所述第一网络数据的终端的信息；所述数据存储网元向所述网络设备发送第十二消息，所述第十二消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

结合第十二方面，在一种可能的实现方式中，所述第一网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第十二方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述数据存储网元根据所述第一网络数据的标识和所述请求获取所述第一网络数据的终端的信息，确定所述第二授权信息。

结合第十二方面或其任意实现方式，在另一种可能的实现方式中，所述请求获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

结合第十二方面或其任意实现方式，在另一种可能的实现方式中，所述第一授权信息为预配置在所述数据存储网元中的。

结合第十二方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元或网络开放功能网元。

结合第十二方面或其任意实现方式，在另一种可能的实现方式中，当所述网络设备为网络开放功能网元时，所述方法还包括：应用功能网元向所述网络开放功能网元发送第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识；所述网络开放功能网元向所述应用功能网元发送第四消息，所述第四消息包括所述第二授权信息。

结合第十二方面或其任意实现方式，在另一种可能的实现方式中，所述应用功能网元代替终端获取第一网络数据，所述网络设备保存有策略信息，所述策略信息用于指示所述应用功能网元是否被授权获取所述第一网络数据；所述网络设备向数据存储网元发送第十一消息，包括：当所述策略信息指示所述应用功能网元被授权获取所述第一网络数据时，所述网络设备向所述数据存储网元发送所述第十一消息。

上述第十二方面及其可能的实现方式所示方法的技术效果可参照第三方面、第四方面、第五方面、及其可能的实现方式，在此不再赘述。

第十三方面，提供了一种授权方法，所述方法包括：网络设备向数据存储功能网元发送第十三消息，所述第十三消息用于获取可开放给任意终端的网络数据的标识的集合；所述数据存储网元向网络设备发送第十四消息，所述第十四消息包括所述集合。

结合第十三方面，在一种可能的实现方式中，所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第十三方面或其任意实现方式，在另一种可能的实现方式中，所述网络设备为应用功能网元或网络开放功能网元。

结合第十三方面或其任意实现方式，在另一种可能的实现方式中，当所述网络设备为网络开放功能网元时，所述方法还包括：应用功能网元向所述网络开放功能网元发送第十五消息，所述第十五消息用于获取所述集合；所述网络设备向所述应用功能网元发送第十六信息，所述第十六信息包括所述集合。

上述第十三方面及其可能的实现方式所示方法的技术效果可参照第八方面、第九方面、第十方面、及其可能的实现方式，在此不再赘述。

第十四方面，提供了一种授权方法，所述方法可以由第一网络设备执行，也可以由第一网络设备中的模块或单元执行，为了描述方便，下文统一称为第一网络设备。

所述方法包括：第一网络设备接收来自第二网络设备的消息A，所述消息A用于订阅至少一个终端A请求的网络数据，所述消息A包括第一指示信息，所述第一指示信息用于指示检查所述终端A是否被授权获取所述终端A请求的网络数据；所述第一网络设备根据所述第一指示信息，向数据存储网元发送消息B，所述消息B用获取第五授权信息；所述第一网络设备接收来自所述数据存储网元的消息C，所述消息C包括第五授权信息，所述第五授权信息用于确定是否授权所述终端A获取所述终端A请求的网络数据。

数据存储网元可以为核心网中具备数据存储功能的网元，例如，数据存储网元可以为UDR或者UDM。

当消息A用于订阅多个终端A请求的网络数据时，多个终端A请求的网络数据可以相同，也可以不同。并且，当消息A用于订阅多个终端A请求的网络数据时，“终端A是否被授权获取终端A请求的网络数据”应理解为：终端A是否被授权获取其请求的网络数据。例如，假设终端#1请求获取分析标识#1，终端#2请求获取分析标识#2，这样检查的是终端#1是否别授权获取分析标识#1、以及终端#2是否被授权获取分析标识#2。

在上述技术方案中，第一网络设备可以根据第二网络设备的消息A确定需要检查终端A是否被授权获取终端A请求的网络数据，从而向数据存储网元获取用于确定终端A是否被授权获取终端A请求的网络数据信息，从而实现网络授权检查。

结合第十四方面，在一种可能的实现方式中，所述消息B包括所述至少一个终端A的信息，所述第五授权信息包括所述至少一个终端A被授权获取的网络数据的标识；或者，所述消息B包括所述至少一个终端A请求的网络数据的标识，所述第五授权信息包括被授权或未被授权获取所述至少一个终端A请求的网络数据的标识的终端的信息；所述方法还包括：所述第一网络设备根据所述第五授权信息，确定是否授权所述终端A获取所述终端A请求的网络数据。

在上述技术方案中，第一网络设备以至少一个终端A的信息或至少一个终端A请求的网络数据的标识从数据存储网元检索网络授权信息，然后在得到相应的网络授权信息(即第五授权信息)后，检查是否授权终端A获取终端A请求的网络数据。这样，可以实现由第一网络设备进行网络授权检查。

结合第十四方面或其任意实现方式，在另一种可能的实现方式中，所述被授权或未被授权获取所述至少一个终端A请求的网络数据的标识的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。有益效果可以参考第一方面。

结合第十四方面或其任意实现方式，在另一种可能的实现方式中，所述消息B包括：所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及第二指示信息，所述第二指示信息用于指示检查是否授权所述终端A获取所述终端A请求的网络数据；所述第五授权信息用于指示是否授权所述终端A获取所述终端A请求的网络数据。

在上述技术方案中，第一网络设备向数据分析网元提供至少一个终端A的信息和至少一个终端A请求的网络数据的标识，并指示数据存储网元检查是否授权终端A获取终端A请求的网络数据。这样，可以实现由数据存储网元进行网络授权检查。

此外，当多个终端A同时请求同一网络数据时，在消息B包括至少一个终端A请求的网络数据的标识可以通过一次交互获得多个终端A的网络授权信息，有助于节省与数据存储网元之间的信令开销。

结合第十四方面或其任意实现方式，在另一种可能的实现方式中，所述至少一个终端A的信息包括以下信息中的至少一个：所述至少一个终端A的标识、所述至少一个终端A对应的终端组的标识、或所述至少一个终端A对应的终端类型。

在上述技术方案中，当消息B包括多个终端A的标识(即终端标识列表)、终端组的标识、终端类型时，可以通过一次交互获得多个终端A的网络授权信息，有助于节省与数据存储网元之间的信令开销。

结合第十四方面或其任意实现方式，在另一种可能的实现方式中，所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

其中，网络数据、以及网络数据的标识的描述可以参考上文第一网络数据的相关描述，在此不再赘述。

结合第十四方面或其任意实现方式，在另一种可能的实现方式中，所述消息A还包括用于确定在生成所述至少一个终端A请求的网络数据时的待分析终端的信息；所述方法还包括：所述第一网络设备确定终端B是否授权网络收集和使用所述终端B的网络信息，所述终端B为所述待分析终端中除所述至少一个终端A之外的终端。

当一个终端获取网络数据时，包含一种隐藏含义，即该终端允许网络为了生成该终端所需的网络数据而收集和使用该终端的网络信息。基于此，在上述技术方案中，第一网络设备可以不对至少一个终端A进行用户授权检查，即第一网络设备不确定至少一个终端A是否授权网络获取至少一个终端A的网络信息，从而可以节省用户授权检查的流程。

需要指出的是，待分析终端也可以与至少一个终端A相同，也可以与至少一个终端A对应于相同的参数。在此情况下，第一网络设备可以不执行用户授权检查。

结合第十四方面或其任意实现方式，在另一种可能的实现方式中，所述第一网络设备为数据分析网元，所述第二网络设备为应用功能网元或网络开放功能网元；或者，所述第一网络设备为网络开放功能网元，所述第二网络设备为应用功能网元。

结合第十四方面或其任意实现方式，在另一种可能的实现方式中，当所述第一网络设备为网络开放功能网元时，所述方法还包括：所述网络开放功能网元根据所述第五授权信息，向数据分析网元发送消息D，所述消息D用于订阅所述至少一个终端A被授权获取的网络数据，所述消息D包括第三指示信息，所述第三指示信息用于指示所述数据分析网元不检查所述终端A是否被授权获取所述终端A请求的网络数据。

在上述技术方案中，当由网络开放功能网元进行网络授权检查时，网络开放功能网元在向数据分析网元订阅网络数据时同时指示数据分析网元不执行网络授权检查，避免重复执行网络授权检查。

第十五方面，提供了一种授权方法，所述方法可以由第二网络设备执行，也可以由第二网络设备中的模块或单元执行，为了描述方便，下文统一称为第二网络设备。

所述方法包括：第二网络设备向第一网络设备发送消息A，所述消息A用于订阅至少一个终端A请求的网络数据，所述消息A包括第一指示信息，所述第一指示信息用于指示检查所述终端A是否被授权获取所述终端A请求的网络数据。

在上述技术方案中，第二网络设备可以在用于订阅网络数据的消息中携带第一指示信息，以指示检查终端A是否被授权获取终端A请求的网络数据，使得第一网络设备可以根据第二网络设备的消息A确定需要检查终端A是否被授权获取终端A请求的网络数据，从而向数据存储网元获取用于确定终端A是否被授权获取终端A请求的网络数据信息，从而实现网络授权检查。

结合第十五方面，在一种可能的实现方式中，所述消息A包括所述至少一个终端A的信息和所述至少一个终端A请求的网络数据的标识，所述至少一个终端A的信息包括以下信息中的至少一个：所述至少一个终端A的标识、所述至少一个终端A对应的终端组的标识、或所述至少一个终端A对应的终端类型。

在上述技术方案中，当消息A包括多个终端A的标识(即终端标识列表)、终端组的标识、终端类型时，有助于通过一次交互获得多个终端A的网络授权信息，有助于节省与数据存储网元之间的信令开销。

结合第十五方面或其任意实现方式，在另一种可能的实现方式中，所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第十五方面或其任意实现方式，在另一种可能的实现方式中，所述第一网络设备为数据分析网元，所述第二网络设备为应用功能网元或网络开放功能网元；或者，所述第一网络设备为网络开放功能网元，所述第二网络设备为应用功能网元。

第十六方面，提供了一种授权方法，所述方法可以由数据存储网元执行，也可以由数据存储网元中的模块或单元执行，为了描述方便，下文统一称为数据存储网元。

所述方法包括：数据存储网元接收来自第一网络设备的消息B，所述消息B用获取第五授权信息，所述消息B包括所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及第二指示信息，所述第二指示信息用于指示所述数据存储网元确定是否授权所述终端A获取所述终端A请求的网络数据；所述数据存储网元根据所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及所述第二指示信息，确定是否授权所述终端A获取所述终端A请求的网络数据；所述数据存储网元向第一所述网络设备发送消息C，所述消息C包括所述第五授权信息，所述第五授权信息用于指示是否授权所述终端A获取所述终端A请求的网络数据。

在上述技术方案中，第一网络设备可以向数据分析网元提供至少一个终端A的信息和至少一个终端A请求的网络数据的标识，并指示数据存储网元检查是否授权终端A获取终端A请求的网络数据，使得数据存储网元可以获知需要检查是否授权终端A获取终端A请求的网络数据，从而实现由数据存储网元进行网络授权检查。

结合第十六方面，在一种可能的实现方式中，所述至少一个终端A的信息包括以下信息中的至少一个：所述至少一个终端A的标识、所述至少一个终端A对应的终端组的标识、或所述至少一个终端A对应的终端类型。

在上述技术方案中，当消息B包括多个终端A的标识(即终端标识列表)、终端组的标识、终端类型时，有助于通过一次交互获得多个终端A的网络授权信息，有助于节省与数据存储网元之间的信令开销。

结合第十六方面或其任意实现方式，在另一种可能的实现方式中，所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

第十七方面，提供了一种授权方法，所述方法包括：第二网络设备向第一网络设备发送消息A，所述消息A用于订阅至少一个终端A请求的网络数据，所述消息A包括第一指示信息，所述第一指示信息用于指示检查所述终端A是否被授权获取所述终端A请求的网络数据；所述第一网络设备根据所述第一指示信息，向数据存储网元发送消息B，所述消息B用获取第五授权信息；所述数据存储网元向所述第一网络设备发送消息C，所述消息C包括第五授权信息，所述第五授权信息用于确定是否授权所述终端A获取所述终端A请求的网络数据。

结合第十七方面，在一种可能的实现方式中，所述消息A包括所述至少一个终端A的信息和所述至少一个终端A请求的网络数据的标识。

结合第十七方面，在一种可能的实现方式中，所述至少一个终端A的信息包括以下信息中的至少一个：所述至少一个终端A的标识、所述至少一个终端A对应的终端组的标识、或所述至少一个终端A对应的终端类型。

结合第十七方面或其任意实现方式，在另一种可能的实现方式中，所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

结合第十七方面或其任意实现方式，在另一种可能的实现方式中，所述第一网络设备为数据分析网元，所述第二网络设备为应用功能网元或网络开放功能网元；或者，所述第一网络设备为网络开放功能网元，所述第二网络设备为应用功能网元。

结合第十七方面，在一种可能的实现方式中，所述消息B包括所述至少一个终端A的信息，所述第五授权信息包括所述至少一个终端A被授权获取的网络数据的标识；或者，所述消息B包括所述至少一个终端A请求的网络数据的标识，所述第五授权信息包括被授权或未被授权获取所述至少一个终端A请求的网络数据的标识的终端的信息；所述方法还包括：所述第一网络设备根据所述第五授权信息，确定是否授权所述终端A获取所述终端A请求的网络数据。

结合第十七方面或其任意实现方式，在另一种可能的实现方式中，所述被授权或未被授权获取所述至少一个终端A请求的网络数据的标识的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

结合第十七方面或其任意实现方式，在另一种可能的实现方式中，所述消息B包括：所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及第二指示信息，所述第二指示信息用于指示检查是否授权所述终端A获取所述终端A请求的网络数据；所述第五授权信息用于指示是否授权所述终端A获取所述终端A请求的网络数据；所述方法还包括：所述数据存储网元根据所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及所述第二指示信息，确定是否授权所述终端A获取所述终端A请求的网络数据。

结合第十七方面或其任意实现方式，在另一种可能的实现方式中，所述消息A还包括用于确定在生成所述至少一个终端A请求的网络数据时的待分析终端的信息；所述方法还包括：所述第一网络设备确定终端B是否授权网络收集和使用所述终端B的网络信息，所述终端B为所述待分析终端中除所述至少一个终端A之外的终端。

结合第十七方面或其任意实现方式，在另一种可能的实现方式中，当所述第一网络设备为网络开放功能网元时，所述方法还包括：所述网络开放功能网元根据所述第五授权信息，向数据分析网元发送消息D，所述消息D用于订阅所述至少一个终端A被授权获取的网络数据，所述消息D包括第三指示信息，所述第三指示信息用于指示所述数据分析网元不检查所述终端A是否被授权获取所述终端A请求的网络数据。

第十八方面，提供了一种通信装置，该装置用于执行上述任意一方面或其实现方式提供的方法。具体地，该装置可以包括用于执行上述任意一方面或其实现方式提供的方法的单元和/或模块，如处理单元和/或通信单元。

在一种实现方式中，该装置为应用功能网元、网络开放功能网元或数据存储网元。当该装置为应用功能网元、网络开放功能网元或数据存储网元时，通信单元可以是收发器，或，输入/输出接口，或者通信接口；处理单元可以是至少一个处理器。可选地，收发器为收发电路。可选地，输入/输出接口为输入/输出电路。

在另一种实现方式中，该装置为用于应用功能网元、网络开放功能网元或数据存储网元中的芯片、芯片系统或电路。当该装置为用于应用功能网元、网络开放功能网元或数据存储网元中的芯片、芯片系统或电路时，通信单元可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等；处理单元可以是至少一个处理器、处理电路或逻辑电路等。

第十九方面，提供了一种通信装置，该装置包括：存储器，用于存储程序；至少一个处理器，用于执行存储器存储的计算机程序或指令，以执行上述任意一方面或其实现方式提供的方法。

在一种实现方式中，该装置为应用功能网元、网络开放功能网元或数据存储网元。

在另一种实现方式中，该装置为用于应用功能网元、网络开放功能网元或数据存储网元中的芯片、芯片系统或电路。

第二十方面，提供了一种通信装置，该装置包括：至少一个处理器和通信接口，该至少一个处理器用于通过该通信接口获取存储在存储器的计算机程序或指令，以执行上述任意一方面或其实现方式提供的方法。该通信接口可以由硬件或软件实现。

在一种实现方式中，该装置还包括该存储器。

第二十一方面，提供了一种处理器，用于执行上述各方面提供的方法。

对于处理器所涉及的发送和获取/接收等操作，如果没有特殊说明，或者，如果未与其在相关描述中的实际作用或者内在逻辑相抵触，那么可以理解为处理器输出和接收、输入等操作，也可以理解为由射频电路和天线所进行的发送和接收操作，本申请对此不做限定。

第二十二方面，提供了一种计算机可读存储介质，该计算机可读介质存储用于设备执行的程序代码，该程序代码包括用于执行上述任意一方面或其实现方式提供的方法。

第二十三方面，提供了一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述任意一方面或其实现方式提供的方法。

第二十四方面，提供了一种芯片，芯片包括处理器与通信接口，处理器通过通信接口读取存储器上存储的指令，执行上述任意一方面或其实现方式提供的方法。该通信接口可以由硬件或软件实现。

可选地，作为一种实现方式，芯片还包括存储器，存储器中存储有计算机程序或指令，处理器用于执行存储器上存储的计算机程序或指令，当计算机程序或指令被执行时，处理器用于执行上述任意一方面或其实现方式提供的方法。

第二十五方面，提供了一种通信系统，包括上文的应用功能网元、网络开放功能网元或数据存储网元中的至少一个。

附图说明

图1是可以应用本申请的技术方案的网络架构的一种示意图。

图2是NWDAF的网络数据分析的“请求-响应”或者“订阅-通知”的示意性流程图。

图3是UE获取网络数据的授权信息的用户面方案的示意图。

图4是UE获取网络数据的授权信息的控制面方案的示意图。

图5是本申请提供的授权方法500的示意性流程图。

图6是本申请提供的授权方法600的示意性流程图。

图7是本申请提供的授权方法700的示意性流程图。

图8是本申请提供的授权方法800的示意性流程图。

图9是本申请提供的授权方法900的示意性流程图。

图10是本申请提供的授权方法1000的示意性流程图。

图11是本申请提供的授权方法1100的示意性流程图。

图12是本申请提供的授权方法1200的示意性流程图。

图13是本申请提供的授权方法1300的示意性流程图。

图14是UE粒度的授权方法的示意性流程图。

图15是本申请提供的授权方法1500的示意性流程图。

图16是本申请提供的授权方法1600的示意性流程图。

图17是本申请提供的授权方法1700的示意性流程图。

图18是本申请提供的授权方法1800的示意性流程图。

图19是本申请的实施例提供的装置的一种结构示意图。

图20是本申请的实施例提供的装置的另一结构示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。

为便于理解本申请实施例，在介绍本申请的实施例之前，先做出以下几点说明。

在本申请中，“用于指示”或“指示”可以包括用于直接指示和用于间接指示，或者说“用于指示”或“指示”可以显式地和/或隐式地指示。例如，当描述某一信息用于指示信息I时，可以包括该信息直接指示I或间接指示I，而并不代表该信息中一定携带有I。又例如，隐式指示可以基于用于传输的位置和/或资源；显式指示可以基于一个或多个参数，和/或一个或多个索引，和/或一个或多个它所表示的位模式。

本申请对很多特性所列出的定义仅用于以举例方式来解释该特性的功能，其详细内容可以参考现有技术。

下文示出的实施例中，第一、第二、第三、第四以及各种编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围。例如，区分不同的字段、不同的信息等。

“预先定义”可以通过在设备中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现，本申请对于其具体的实现方式不做限定。其中，“保存”可以是指，保存在一个或者多个存储器中。存储器的类型可以是任意形式的存储介质，本申请并不对此限定。

本申请实施例中涉及的“协议”可以是指通信领域的标准协议，例如可以包括长期演进(long term evolution，LTE)协议、新无线(new radio，NR)协议以及应用于未来的通信系统中的相关协议，本申请对此不做限定。

本申请将围绕包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

在本申请实施例中，“示例的”、“例如”、“示例性地”、“作为(另)一个示例”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a、b和c中的至少一项(个)，可以表示：a，或，b，或，c，或，a和b，或，a和c，或，b和c，或，a、b和c。其中a、b和c分别可以是单个，也可以是多个。

在本申请实施例中，涉及网元A向网元B发送消息、信息或数据，以及网元B接收来自网元A的消息、信息或数据的相关描述，旨在说明该消息、信息或数据是要发给哪个网元，而并不限定它们之间是直接发送还是经由其他网元间接发送。

在本申请实施例中，“当……时”、“在……的情况下”、“若”以及“如果”等描述均指在某种客观情况下设备会做出相应的处理，并非是限定时间，且也不要求设备在实现时一定要有判断的动作，也不意味着存在其它限定。

本申请提供的技术方案可以应用于各种通信系统。例如，第五代(5th generation，5G)或NR系统、LTE系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)系统等。本申请提供的技术方案还还可以应用于卫星通信系统等非陆地通信网络(non-terrestrial network，NTN)通信系统。本申请提供的技术方案还可以应用于设备到设备(device to device，D2D)通信、车到万物(vehicle-to-everything，V2X)通信、机器到机器(machine to machine，M2M)通信、机器类型通信(machine type communication，MTC)、以及物联网(internet of things，IoT)通信系统或者其他通信系统。本申请提供的技术方案还可以应用于未来的通信系统，如第六代移动通信系统。

作为示例，图1示出了一种网络架构的示意图。

如图1所示，该网络架构以5G系统(the 5th generation system，5GS)为例。该网络架构中可包括三部分，分别是用户设备(user equipment，UE)部分、数据网络(data network，DN)部分和运营商网络部分。其中，运营商网络可包括以下网元中的一个或多个：(无线)接入网((radio)access network，(R)AN)设备、用户面功能(user plane function，UPF)网元、统一数据管理(unified data management，UDM)网元、运营、监管和管理(operations，administration and management，OAM)网元、接入和移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、网络开放功能(network exposure function，NEF)网元、网络功能库功能(network repository function，NRF)网元、网络数据分析功能(network data analytics function，NWDAF)网元、应用功能(application function，AF)网元、策略控制功能(policy control function，PCF)网元和统一数据存储库(unified data repository，UDR)网元。上述运营商网络中，除RAN部分之外的部分可以称为核心网部分。

在本申请中，将用户设备、(无线)接入网设备、UPF网元、UDM网元、OAM网元、AMF网元、SMF网元、NEF网元、NRF网元、NWDAF网元、AF网元、PCF网元、UDR网元分别简称为UE、(R)AN、UPF、UDM、OAM、AMF、SMF、NEF、NRF、NWDAF、AF、PCF、UDR。

下面对图1中涉及的各网元进行简单描述。

1、UE

本申请中的UE也可以称为终端、用户、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端设备、无线通信设备、用户代理或用户装置等，为了描述方便，下文统一称为终端。

终端是一种可以接入网络的设备。终端与(R)AN之间可以采用某种空口技术(如NR或LTE技术)相互通信。终端与终端之间也可以采用某种空口技术(如NR或LTE技术)相互通信。终端可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、卫星通信中的终端、接入回传一化链路(integrated access and backhaul，IAB)系统中的终端、WiFi通信系统中的终端、工业控制(industrial control)中的终端、无人驾驶(self driving)中的终端、远程医疗(remote medical)中的终端、智能电网(smart grid)中的终端、运输安全(transportation safety)中的终端、智慧城市(smart city)中的终端、智慧家庭(smart home)中的终端等。

本申请的实施例对UE所采用的具体技术和具体设备形态不做限定。

2、(R)AN

本申请中的(R)AN可以是用于与终端通信的设备，也可以是一种将终端接入到无线网络的设备。

(R)AN可以为无线接入网中的节点。(R)AN可以是基站(base station)、演进型基站(evolved NodeB，eNodeB)、发送接收点(transmission reception point，TRP)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、Wi-Fi接入点(access point，AP)、移动交换中心、5G移动通信系统中的下一代基站(next generation NodeB，gNB)、第六代(6th generation，6G)移动通信系统中的下一代基站、或未来移动通信系统中的基站等。网络设备还可以是完成基站部分功能的模块或单元，例如，可以是集中式单元(central unit，CU)、分布式单元(distributed unit，DU)、射频拉远单元(remote radio unit，RRU)或基带单元(baseband unit，BBU)等。(R)AN还可以是D2D通信系统、V2X通信系统、M2M通信系统以及IoT通信系统中承担基站功能的设备等。(R)AN还可以是NTN中的网络设备，即(R)AN可以部署于高空平台或者卫星。(R)AN可以是宏基站，也可以是微基站或室内站，还可以是中继节点或施主节点等。

本申请的实施例对(R)AN所采用的具体技术、设备形态以及名称不做限定。为了描述方便，下文将(R)AN统一称为接入网设备。

3、UPF

UPF主要功能使数据包路由和转发、移动性锚点、上行分类器来支持路由业务流到数据网络、分支点来支持多归属协议数据单元(protocol data unit，PDU)会话等。

4、DN

DN主要用于为终端提供数据服务的运营商网络。例如，因特网(Internet)、第三方的业务网络、或IP多媒体服务业务(IP multi-media service，IMS)网络等。

5、UDM

UDM主要负责终端的签约数据管理，包括终端标识的存储和管理、终端的接入授权等。

6、OAM

OAM主要用于完成对网络和其业务进行的分析、预测、规划和配置，以及为了完成对网络及其业务的测试和故障管理等进行的日常操作活动等。

7、AMF

AMF主要功能包含管理用户注册、可达性检测、SMF节点的选择、移动状态转换管理等。

8、SMF

SMF主要功能是控制会话的建立、修改和删除，用户面节点的选择等。

9、NEF

NEF主要用于安全地开放由第三代合作伙伴项目(the 3rd generation partnership project，3GPP)网络功能提供的服务和能力，支持3GPP网络和第三方应用安全的交互。

10、NRF

NRF主要负责对外提供网络的能力和事件的开放，以及接收相关的外部信息。

11、NWDAF

NWDAF具备数据收集、训练、分析、推理功能，可以用于收集来自网络网元、第三方业务服务器、终端设备或网管系统中的相关数据，基于相关数据做分析训练，并向网络网元、第三方业务服务器、终端设备或网管系统提供数据分析结果，该分析结果可协助网络选择业务的服务质量参数，或协助网络执行流量路由，或协助网络选择背景数据传输策略等。

12、AF

AF主要支持传递应用侧对网络侧的需求，例如，服务质量(quality of service，QoS)需求或用户状态事件订阅等。AF可是运营商网络自身部署的AF，也可以是第三方AF。

13、PCF

PCF主要负责策略控制的决策、提供控制平面功能的策略规则、以及基于流量的计费控制功能等。

14、UDR

UDR主要负责提供签约数据、策略数据及能力开放相关数据的存储能力。

在图1所示的架构中，N2为AMF与RAN之间的接口。N3为RAN与UPF之间的接口。N4为SMF与UPF之间的接口。N6为UPF与DN的接口。服务化的接口Nnef、Nnrf、Nnwdaf、Naf、Npcf、Nudr、Nudm、Namf、Nsmf分别为上述NEF、NRF、NWDAF、AF、PCF、UDR、UDM、AMF、SMF提供的服务化接口，用于调用相应的服务化操作。其中，N2、N3、N4以及N6为接口序列号，这些接口序列号的含义可参见3GPP标准协议中定义的含义，在此不做限制。

需要说明的是，在图1所示的网络架构中，各网元之间可以接口通信。各网元之间的接口可以是点对点接口，也可以是服务化接口，本申请不予限制。

应理解，上述所示的网络架构仅是示例性说明，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

还应理解，图1中所示的UPF、UDM、OAM、AMF、SMF、NEF、NRF、NWDAF、AF、PCF或UDR等功能或者网元，可以理解为用于实现不同功能的网元，例如可以按需组合成网络切片。这些网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，或者可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能，本申请对于上述网元的具体形态不作限定。

还应理解，上述命名仅为便于区分不同的功能而定义，不应对本申请构成任何限定。本申请并不排除在6G网络以及未来其它的网络中采用其他命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。

为了便于理解本申请的技术方案，下面结合图2至图4对网络数据的开放进行简单介绍。以5G网络为例。5G网络采用服务化架构的设计原则，将5G网络的业务功能，比如移动性管理、会话管理等，设计成独立的功能模块，基于开放应用程序接口(application programming interface，API)，以服务化方式通信。网络功能(network function，NF)是5G网络的最小部署粒度，不同的NF可以实现不同的功能、提供不同的服务。NF之间可以通过事件开放(event exposure)的方式向其他NF开放相关网络信息，其中，可以用事件标识(event ID)表征开放的网络事件(或者说事件类型)(例如PDU会话释放、UE移动出感兴趣区域等)。例如，AMF负责接入与移动性管理，它可以向其他NF开放与UE接入和移动性相关的信息，如事件标识＝“位置报告”(event ID＝“location report”)，表示AMF可以开放UE的位置报告信息，又如事件标识＝“连接状态变化”(event ID＝“connectivity state changes”)，表示AMF可以开放UE的连接状态(空闲态或连接态)变化信息。

由事件标识表征的网络事件为：网络中由终端或网元触发的动作或流程。例如，UE停止后台应用，则触发的流程包括PDU会话释放流程。PDU会话释放网络事件对应的网络信息包括PDU会话的标识、PDU会话释放的时间、释放的服务质量流(QoS flow)的数量等。

网络事件也可以称为事件信息、事件数据、网络事件数据、或网络事件信息等。为了描述方便，下文统一称为网络事件，且将网络事件的标识简称为事件标识。

在3GPP Rel-15阶段，5G网络引入了NWDAF，它可以接收NF消费者(consumer)(如核心网NF或OAM)的订阅请求，然后从网络中收集相应的数据，并对这些数据进行处理和分析，得到统计或预测的网络数据分析结果，最后将网络数据分析结果反馈给NF消费者。NWDAF支持提供多种不同类型的网络数据数据分析，这些不同类型的网络数据分析用分析标识(analytics ID)表征和区分。例如，分析标识＝“业务体验”(analytics ID＝“service experience”)，表示业务体验数据分析，业务体验分析包括NWDAF以统计或预测的形式提供给服务消费者(service consumer)的业务体验分析结果，例如服务平均意见分(mean opinion score，MoS)的平均值和/或方差等；分析标识＝“网络性能”(analytics ID＝“network performance”)，表示网络性能分析，网络性能分析包括NWDAF以统计或预测的形式提供给服务消费者(service consumer)的网络性能分析结果，例如感兴趣区域内gNB资源使用情况的统计或预测结果；分析标识＝“QoS可持续性分析”(analytics ID＝“QoS sustainability analytics”)，表示QoS可持续性分析，QoS可持续性分析包括NWDAF以统计或预测的形式提供给服务消费者(service consumer)的QoS可持续性分析结果，例如在过去某个时间段某个区域内异常释放的QoS flow数量是否超出某个阈值的信息。

由分析标识表征的网络数据分析为：NWDAF根据网络数据推导出的统计或者预测的分析结果。例如，NWDAF根据从AF获取的历史业务体验、从UPF获取的QoS flow的传输时延以及从OAM获取的参考信息接收质量(reference signal received quality，RSRQ)等网络数据推导得到统计的过去某段时间的业务体验或者预测的未来某段时间的业务体验。

网络数据分析也可以称为网络数据分析结果、数据分析、或网络数据分析等。为了描述方便，下文统一称为网络数据分析，且将网络数据分析的标识简称为分析标识。

本申请中的网络数据可以包括网络事件和网络数据分析。

下面以分析标识＝“QoS可持续性分析”为例，简要介绍NWDAF的网络数据分析的“请求-响应”或者“订阅-通知”流程。

步骤201，NWDAF接收来自NF消费者的分析信息请求消息或分析订阅消息。

其中，分析信息请求消息或分析订阅消息用于请求或订阅QoS可持续性分析，消息中携带QoS可持续性分析的标识，即分析标识＝“QoS可持续性分析”(“QoS sustainability analytics”)。

以NF消费者通过服务化接口向NWDAF请求/订阅QoS可持续性分析为例。一个完整的“服务”表示方法为：Nnf type(网元类型)_NF service(服务名称)_NF service operation(服务操作)。

例如，步骤201的服务由NWDAF提供，因此网元类型为NWDAF，服务名称为AnalyticsInfo(即分析信息)，服务操作为request(即请求)，因此完整的“服务”可以表示为”Nnwdaf_AnalyticsInfo_request”。

又例如，步骤201的服务由NWDAF提供，因此订阅服务的网元类型为NWDAF，服务名称为AnalyticsSubscription(即分析订阅)，服务操作为Subscribe(即订阅)，因此完整的“服务”可以表示为”Nnwdaf_AnalyticsSubscription_Subscribe”。

此外，在服务化框架中，NF消费者和NF生产者(producer)之间的通信主要有两种机制：

(1)“请求-响应”(“request-response”)：NF消费者向NF生产者请求一个立即响应的服务。其中，NF生产者可能触发了其他的“请求-响应”流程，但对于NF消费者来说响应仍然是迅速的，因此该响应可以看作“立即响应”。

(2)“订阅-通知”(“subscribe-notify”)：NF消费者订阅由NF生产者提供的一种服务。NF消费者发出订阅消息，其中包括订阅的事件、订阅的对象、通知的触发条件、通知的频率等。通知即对于订阅的响应，通知消息由NF生产者发出，根据NF消费者的订阅内容提供信息。根据订阅消息中参数设置的不同，通知可以是对订阅消息的立即响应，也可以是周期性响应，或者触发阈值响应等。

步骤202，NWDAF为了生成QoS可持续性分析结果，从OAM收集相应的数据。

表1示出了NWDAF从OAM收集的数据的一个示例，即QoS可持续性分析的输入数据。

表1

步骤203，NWDAF根据收集的数据推导QoS可持续性分析结果。

其中，QoS可持续性分析结果可以是统计的分析结果或者预测的分析结果。

表2示出了QoS可持续性分析结果的一个示例。

表2

步骤204，NWDAF向NF消费者发送分析信息响应消息或分析通知消息。

其中，分析信息响应消息或分析通知消息中携带有QoS可持续性分析结果。分析信息响应消息可以为Nnwdaf_AnalyticsInfo_Response。分析通知消息可以为Nnwdaf_AnalyticsSubscription_Notify。

以上内容描述了核心网NF可以开放一些网络数据网络信息(由事件标识(event ID)标识)给其他NF，以及NWDAF可以开放一些数据分析(由分析标识(analytics ID)标识)给其他NF，也就是说均是网络内部网元之间的信息开放。

实际中，UE可能也需要获取一些网络信息或者数据分析结果，用以辅助UE本地的操作。为了描述方便，以下将网络事件和数据分析结果统一称为网络数据。

例如：

(1)辅助UE决策是否可以加入人工智能(artificial intelligence，AI)/机器学习(machine learning，ML)操作，以及确定执行AI/ML操作的时间。

例如，UE可以获取NWDAF的QoS可持续性分析结果和用户数据拥塞分析结果(user data congestion analytics，分析结果中包含拥塞等级等信息)，以及从UPF获取UE的QoS监控结果(包括时延、丢包率、吞吐率等)；UE可以基于获取的网络数据确定当前网络条件是否适合加入应用层联邦学习(federated learning，FL)，以及可以确定加入联邦学习的时间窗。如UE根据QoS可持续性分析结果发现当前小区中异常释放的QoS流数超出一定阈值，或者UE根据用户数据拥塞分析结果发现当前网络的拥塞等级较高，或者UE根据QoS监控结果发现当前网络的时延/丢包率较高，则UE可以选择当前不加入FL，并且可以根据QoS可持续性分析结果和用户数据拥塞分析结果的预测结果，选择一个QoS可持续性以及网络拥塞等级可以满足业务要求的时间窗，并决定在该时间窗内执行FL操作(如FL模型训练、模型推理等)。

此外，存在多个UE同时向网络请求同一个网络数据(例如同一个分析标识或事件标识)的场景。例如，FL AF向某个感兴趣区域(area of interest，AoI)内的所有UE发起建立FL的请求，其中一部分UE会获取NWDAF的QoS可持续性分析结果，并根据网络条件决定是否加入FL，以及加入FL的时间。

(2)辅助UE在所需网络条件变化之前提前完成特定任务的传输。

例如，UE可以获取NWDAF的用户数据拥塞分析结果，UE根据用户数据拥塞分析发现即将发生网络拥塞，则UE可以决定在拥塞发生之前优先传输AI数据的重要部分。

又例如，UE可以获取NWDAF的QoS可持续性分析结果，UE根据该分析发现QoS KPI即将发生变化(变好或变坏)，则UE可以选择先执行需要当前QoS条件的特定任务(如当前网络条件较好，UE选择先执行对丢包率要求较高的模型训练任务)，以便在QoS条件变化之前完成这些任务。

(3)辅助UE执行实时的本地AI/ML推理操作。

例如，V2X等应用对实时性要求较高，UE可以从AF下载AI模型，在本地执行实时的AI推理操作，以降低获取到推理结果的时延。UE执行V2X AI模型推理可能需要网络数据作为输入，如UE可以获取NWDAF的QoS可持续性分析结果，并将QoS可持续性分析结果作为模型的输入，确定模型的输出，即UE App的应用参数(如调整车间距、视频编码参数等)。

由上述内容可知，UE可以获取一些网络数据辅助本地的AI/ML操作，但实际上不是所有网络数据都会开放给UE，UE请求的网络数据的内容需要经过网络的授权。

下面对网络数据开放给UE的授权方式进行介绍。

UE获取网络数据一般有两种路径。一种是用户面路径，即UE通过用户面将获取网络数据的需求发给应用层AF，由AF代替UE订阅所需的网络数据，并通过用户面发给UE；另一种是控制面路径，即UE通过控制面订阅网络数据，例如UE在向AMF的注册请求消息中携带订阅请求，或者向SMF的PDU会话建立消息中携带订阅请求，AMF/SMF根据请求订阅UE所需的网络数据，并通过控制面发给UE。

另外，UE获取网络数据还有两种路径。一种是UE通过用户面路径请求网络数据，网络数据通过控制面路径开放给UE，示例性地，UE通过用户面将获取网络数据的需求发给应用层AF，由AF代替UE向NWDAF订阅所需的网络数据，然后NWDAF将分析得到的网络数据先开放给AMF或SMF，再由AMF或SMF通过控制面开放给UE，例如AMF通过注册接受消息发给UE，或者SMF通过PDU会话修改消息发给UE。一种是UE通过控制面路径请求网络数据，网络数据通过用户面路径开放给UE，示例性地，UE通过AMF或SMF向NWDAF订阅所需的网络数据，然后NWDAF将分析得到的网络数据先开放给AF，再由AF通过用户面开放给UE。

因此，根据请求和通知方式的不同，UE获取网络数据的路径包括以下4种不同的路径，即：

路径1：用户面请求，用户面通知；

路径2：用户面请求，控制面通知；

路径3：控制面请求，用户面通知；

路径4：控制面请求，控制面通知。

图3是UE获取网络数据的授权信息的用户面方案的示意图。

在图3中，以UE获取网络数据分析的授权信息(即授权的分析标识)为例进行简要介绍，该方案同样可以适用于UE获取网络事件的授权信息(即授权的事件标识)。

步骤301，UE向AF发送应用层消息。

其中，应用层消息中携带UE请求的分析标识(requested analytics ID)，即UE请求获取的网络数据分析的分析标识。

步骤320，AF请求NEF进行授权检查(authorization check)。

即AF请求NEF检查UE是否被允许从网络获取UE请求的分析标识对应的网络数据分析。

步骤303，NEF从UDM检索UE签约的分析标识(subscribed analytics ID)，并根据本地策略以及UE签约的分析标识确定授权信息。

其中，NEF向UDM提供UE的标识，UDM根据UE的标识进行检索。

UE签约的分析标识即UE签约的可以从网络获取的网络数据分析的分析标识。

NEF的本地策略是指NEF本地保存的可以开放给AF的分析标识。当AF是第三方应用功能时，出于安全性考虑，AF和核心网NF以及OAM之间的交互均需要经过NEF，NEF会验证AF请求的合法性。NEF控制着AF标识和允许获取的网络数据之间的映射关系，以及相关的入站限制(即限制AF可以请求的网络数据)和出站限制(即限制可以向AF通知的网络数据)。

步骤304，NEF将授权信息发给AF。

通过上述步骤301-304，AF可以获知可为UE请求/订阅哪些分析标识，即AF可以获知可为UE请求/订阅哪些网络数据分析。

图4是UE获取网络数据的授权信息的控制面方案的示意图。

同样，在图4中，以UE获取网络数据分析的授权信息(即授权的分析标识)为例进行简要介绍，该方案同样可以适用于UE获取网络事件的授权信息(即授权的事件标识)。

步骤401，UE向AMF发送注册请求消息(registration request)。

其中，注册请求消息中携带UE请求的分析标识，即UE请求获取的网络数据分析的分析标识。

步骤402，在接收到UE的注册请求消息之后，AMF请求UDM进行授权检查(authorization check)。

即AF请求UDM检查UE是否被允许请求网络数据分析、以及UE能够请求哪些网络数据分析(即allowed analytics ID)。

运营商可以提前启用“网络开放接入(network exposure access)”权限，将UE能够请求的网络数据分析的分析标识存储到UDM，作为UE的签约信息的一部分。

其中，AMF向UDM提供UE的标识，UDM根据UE的标识进行检索。

步骤403，UDM将UE被允许请求的网络数据分析的分析标识，即allowed analytics ID发给AMF。

步骤404，AMF向UE发送注册接受消息(registration accept)。

其中，注册接受消息包括UE被允许请求的网络数据分析的分析标识。

通过上述步骤401-404，UE可以获知能够请求哪些网络数据分析。

上述网络数据开放的授权均为UE粒度的，即每当有UE请求获取网络数据时，UDM都需要根据UE的标识检索UE被允许获取的网络数据的标识。并且UDM中保存的UE的授权信息可能是键值对(key-value)形式，其中，键为UE的标识，值为该标识对应的UE可以请求的网络数据分析的分析标识，即对每个UE的标识(例如用户永久标识(subscription permanent identifier，SUPI))保存该UE可以获取的网络数据分析的分析标识。UDM根据UE的标识进行检索。

表3示出了UDM中保存的UE的授权信息的一个示例。

表3

由于UDM中存储的UE的授权信息以及授权信息的检索过程均是UE粒度的，并且不同的UE可能具有不同的授权信息(例如签约的分析标识等)，因此当大量UE同时请求获取网络数据时，与UDM会有大量的信令交互。

此外，某些特定网络数据的授权可能是针对某个类型的UE(a type of UEs)、某组UE(a group of UEs)、或任意UE(any UE)的。目前UE粒度的授权方案无法利用该特性提升信息开放授权的效率。

再者，网络可能只是不想开放某个分析标识对应的一组数据分析结果中的一部分给UE，但是其它部分的数据分析结果网络认为是可以开放给UE的。例如，考虑到网络隐私安全问题，核心网不会开放NF负载分析结果中的NF资源使用率给UE。表4示出了NWDAF的NF负载分析结果。

表4

针对上述问题以及特性，本申请提出了一种授权方法和通信装置，能够在多个UE同时请求同一个网络数据时降低与数据存储网元之间的信令开销，从而提升信息开放授权的效率。

下面对本申请提供的授权方法进行描述。

图5是本申请提供的授权方法500的示意性流程图。

方法500可以由网络设备1、网络设备2和数据存储网元执行，也可以由网络设备1、网络设备2和数据存储网元中的模块或单元执行，为了描述方便，下文均称为网络设备1、网络设备2和数据存储网元。

在本申请中，网络设备1可以为NEF或AF，网络设备2可以为AF。当网络设备1为AF时，图5可以不包括网络设备2。数据存储网元可以为核心网中具备数据存储功能的网元，例如，数据存储网元可以为UDR或者UDM。

步骤501，网络设备1向数据存储网元发送第一消息。

相应地，数据存储网元接收来自网络设备1的第一消息。其中，第一消息用于获取第一授权信息，第一消息包括第一网络数据的标识。

可选地，当数据存储网元为UDR时，第一消息可以为Nudr_DM_Subscribe。

一种可能的实现方式中，第一网络数据为网络数据分析。相应地，第一网络数据的标识为网络数据分析的标识(analytics ID)。即第一消息中携带网络数据分析的标识。

另一种可能的实现方式，第一网络数据为网络事件。相应地，第一网络数据的标识为网络事件的标识(event ID)。即第一消息中携带网络事件的标识。

又一种可能的实现方式，第一网络数据为网络数据分析的子集(analytics subset)。

网络数据分析可以包括一项或多项数据分析结果。网络数据分析的子集，可以理解为，网络数据分析的一部分，或者，网络数据分析的一项或多项。例如，结合上文的表4，当网络数据分析为NWDAF 的NF负载分析结果时，网络数据分析的子集可以为资源状态列表、NF类型、NF实例标识、NF状态、NF资源使用率、NF负载、NF峰值负载、和NF负载(每个感兴趣区域)中的一项或多项，如网络数据分析的子集可以为NF状态、NF负载、和NF峰值负载，又如网络数据分析的子集可以为资源状态列表、NF类型、NF实例标识、NF状态、NF负载、NF峰值负载、和NF负载(每个感兴趣区域)。

在此情况下，第一网络数据的标识可以为网络数据分析的标识和网络数据分析的子集的标识的组合(如，analytics ID+analytics subset)、网络数据分析的标识(如，analytics ID)、或者网络数据分析的子集的标识(如，analytics subset)。即第一消息中携带网络数据分析的标识和网络数据分析的子集的标识的组合、网络数据分析的标识、或网络数据分析的子集的标识。以Analytics ID＝NF负载分析为例，该分析的全集为：{“NF类型”，“NF实例标识”，“NF状态”，“NF资源使用率”，“NF负载”，“NF峰值负载”，“NF负载(每个感兴趣区域)”}，则对应的分析子集的形式可以是：分析子集＝{“NF类型”，“NF实例标识”，“NF负载”}，或者，分析子集＝[1,1,0,0,1,0,0]等。

例如，当多个终端同时请求同一网络数据分析、且该多个终端请求的网络数据分析的子集也相同时，第一网络数据的标识可以为网络数据分析的标识和网络数据分析的子集的标识的组合。

又例如，当多个终端同时请求同一网络数据分析、但该多个终端请求的网络数据分析的子集不完全相同时，第一网络数据的标识可以为网络数据分析的标识。在此情况下，可以认为第一网络数据为网络数据分析对应的全部子集。

又例如，当多个终端同时请求同一网络数据分析、但该多个终端请求的网络数据分析的子集不完全相同时，可以推导出该多个终端请求的网络数据分析的子集的并集的标识，第一网络数据的标识可以为网络数据分析的标识和网络数据分析的子集的并集的标识的组合，当该网络数据分析的子集的并集本身唯一时，第一网络数据也可以仅用网络数据分析的子集的并集的标识来表征。

再例如，当网络数据分析的子集本身唯一时，第一网络数据也可以仅用网络数据分析的子集的标识来表征。需要说明的是，当第一消息携带网络数据分析的标识时，数据存储网元向网络设备1返回的网络数据分析粒度的第一授权信息，还是网络数据分析的子集粒度的第一授权信息，取决于数据存储网元中存储的授权信息的粒度。

这样，网络设备1可以从数据存储网元获取网络数据分析的子集粒度的第一授权信息，可以实现精细化网络数据开放的效果。对于网络只是开放某个分析标识对应的一组数据分析结果中的一部分给UE的情况，仍然可以实现相应的授权。

再一种可能的实现方式，第一网络数据为网络事件的子集(event subset)。网络事件的子集，可以理解为，网络事件的一部分，或者，网络事件的一项或多项。

在此情况下，第一网络数据的标识可以为网络事件的标识和网络事件的子集的标识的组合(如，event ID+event subset)、网络事件的标识(如，event ID)、或者网络事件的子集的标识(如，event subset)。即第一消息中携带网络事件的标识和网络事件的子集的标识的组合、网络事件的标识、或网络事件的子集的标识。

例如，当多个终端同时请求同一网络事件、且该多个终端请求的网络事件的子集也相同时，第一网络数据的标识可以为网络事件的标识和网络事件的子集的标识的组合。

又例如，当多个终端同时请求同一网络事件、但该多个终端请求的子集不完全相同时，第一网络数据的标识可以为网络事件的标识。在此情况下，可以认为第一网络数据为网络事件对应的全部子集。

再例如，当网络事件的子集本身唯一时，第一网络数据也可以仅用网络事件的子集的标识来标识。

需要说明的是，当第一消息携带网络事件的标识时，数据存储网元向网络设备1返回的网络事件粒度的第一授权信息，还是网络事件的子集粒度的第一授权信息，可以取决于数据存储网元中存储的授权信息的粒度。

这样，网络设备1可以从数据存储网元获取网络事件的子集粒度的第一授权信息，可以实现精细化网络数据开放的效果。对于网络只是开放某个分析标识对应的一组数据分析结果中的一部分给UE的情况，仍然可以实现相应的授权。

步骤502，在接收到第一消息后，数据存储网元向网络设备1发送第二消息。

相应的，网络设备1接收来自数据存储网元的第二消息。其中，第二消息包括第一授权信息。第一授权信息为被授权获取第一网络数据的终端的信息，或者，第一授权信息为未被授权获取第一网络数据的终端的信息。

可选地，当数据存储网元为UDR时，第二消息可以为Nudr_DM_Notify。

一种可能的实现方式，数据存储网元中预配置有授权信息，当数据存储网元接收到第一消息后，数据存储网元可以根据第一消息中的携带的第一网络数据的标识，检索存储在数据存储网元的授权信息，得到与第一网络数据的标识对应的授权信息，并通过第二消息发送给网络设备1。

这里的“终端的信息”可以包括以下信息中的至少一项：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。换句话说，数据存储网元中可以存储与第一网络数据的标识对应的一个或多个终端的标识，和/或，一个或多个终端组的标识，和/或，一个或多个终端类型。即该一个或多个终端、一个或多个终端组中的终端和一个或多个终端类型的终端被授权获取第一网络数据(白名单格式)，或者，该一个或多个终端、一个或多个终端组中的终端和一个或多个终端类型的终端未被授权获取第一网络数据(黑名单格式)。

例如，当第一授权信息包括一个或多个终端的标识时，可以认为第一网络数据可以开放给该一个或多个终端(白名单格式)，或者，第一网络数据不可以开放给该一个或多个终端(黑名单格式)。

又例如，当第一授权信息包括一个或多个终端组的标识时，可以认为第一网络数据可以开放给该一个或多个终端组中的终端(白名单格式)，或者，第一网络数据不可以开放给该一个或多个终端组中的终端(黑名单格式)。数据存储网元中存储第一网络数据的标识对应的终端组，相比于存储第一网络数据的标识对应的终端，有助于减少对数据存储网元存储区的占用以及消息中携带的数据量。

再例如，当第一授权信息包括一个或多个终端类型时，可以认为第一网络数据可以开放给该一个或多个终端类型的终端(白名单格式)，或者，第一网络数据不可以开放给该一个或多个终端类型的终端(黑名单格式)。同理，数据存储网元中存储第一网络数据的标识对应的终端类型，相比于存储第一网络数据的标识对应的终端，有助于减少对数据存储网元存储区的占用以及消息中携带的数据量。

上文涉及的终端的标识(UE ID)、终端组的标识(UE group ID)和终端类型(UE type)的含义如下。

1、终端的标识：为任意可以唯一确定终端的标识。例如，用户永久标识(subscription permanent identifier，SUPI)、用户隐藏标识符(subscription concealed identifier，SUCI)、通用公共用户标识(generic public subscription identifier，GPSI)、或永久设备标识符(permanent equipment identifier，PEI)等。

2、终端组的标识：数据存储网元中终端的签约数据可能会将用户与终端组(UE group)关联，终端组可以由内部组标识(internal-group ID)标识。内部组标识来自给定网络的一组SUPI(例如MTC设备)，这些SUPI被分组在一起，用于一个特定的组相关服务。内部组标识可以由如下部分组成：

1)组服务标识：由4个八进制数组成，用于标识内部组标识有效的服务。

2)移动国家码(mobile country code，MCC)：由3个十进制数组成，MCC唯一标识移动用户的定居国家。

3)移动网络码(mobile network code，MNC)：由2-3个十进制数组成，MNC标识移动用户的归属PLMN。

4)本地组标识：由网络运营商分配，长度最多可以为10个八进制数。

3、终端类型：具体由类型分配码(type allocation code，TAC)表示，用于标识UE的产品型号。

在本申请中，数据存储网元中可以预配置有网络数据分析粒度、网络数据分析的子集粒度、网络事件粒度或网络事件的子集粒度的授权信息。

下面以网络数据分析粒度的授权信息和网络数据分析的子集粒度的授权信息为例进行说明。

数据存储网元中预配置的授权信息的格式与具体实现有关，本申请对于数据存储网元中的授权信息的格式不做具体限定，例如，可以是JSON格式(或称键值对格式)，也可以是CSV格式、Parquet格式、Avro格式等。下文以JSON格式为例进行说明。

表5至表9示出了数据存储网元中保存的网络数据分析粒度的授权信息的几种格式。

表5网络数据分析粒度的授权信息的第一种格式

如表5所示，网络数据分析粒度的授权信息的第一种格式中，每个分析标识对应的value的值为一个或多个终端组标识，则表示该分析标识对应的网络数据分析可以(或不能)开放给特定的终端组。当然，value的值也可以为“任意终端”，表示该分析标识可以(或不能)开放给所有终端；或者value的值也可以为空，表示该分析标识不能(或可以)开放给所有终端。例如，当第一消息携带分析标识1时，数据存储网元可以通过第二消息向网络设备1发送第一授权信息，第一授权信息为终端组标识1和终端组标识2。

表6网络数据分析粒度的授权信息的第二种格式

如表6所示，网络数据分析粒度的授权信息的第二种格式中，每个分析标识对应的value的值为一个或多个终端类型，则表示该分析标识可以(或不能)开放给特定的终端类型。当然，value的值也可以为“任意终端”，表示该分析标识可以(或不能)开放给所有终端；或者value的值也可以为空，表示该分析标识不能(或可以)开放给所有终端。例如，当第一消息携带分析标识1时，数据存储网元可以通过第二消息向网络设备1发送第一授权信息，第一授权信息为终端类型1和终端类型2。

表7网络数据分析粒度的授权信息的第三种格式

如表7所示，网络数据分析粒度的授权信息的第三种格式中，每个分析标识对应的value的值为一个或多个SUPI，则表示该分析标识可以(或不能)开放给特定的终端。当然，value的值也可以为“任意终端”，表示该分析标识可以(或不能)开放给所有终端；或者value的值也可以为空，表示该分析标识不能(或可以)开放给所有终端。例如，当第一消息携带分析标识1时，数据存储网元可以通过第二消息向网络设备1发送第一授权信息，第一授权信息为SUPI1、SUPI2和SUPI3。

表8网络数据分析粒度的授权信息的第四种格式

如表8所示，网络数据分析粒度的授权信息的第四种格式中，分析标识对应的value的值可以为表5至表7所示的三种格式中的任意一种格式。例如，对于分析标识1，它可以(或不能)开放给终端组标识1和终端组标识2标识的UE；对于分析标识2，它可以(或不能)开放给终端类型1和终端类型2标识的终端；对于分析标识3，它可以(或不能)开放给SUPI1、SUPI2和SUPI3；对于分析标识4，它可以(或不能)开放给所有终端；对于分析标识5，它不能(或可以)开放给所有终端。例如，当第一消息携带分析标识1时，数据存储网元可以通过第二消息向网络设备1发送第一授权信息，第一授权信息为终端组标识1和终端组标识2。又例如，当第一消息携带分析标识3时，数据存储网元可以通过第二消息向网络设备1发送第一授权信息，第一授权信息为SUPI1、SUPI2和SUPI3。

表9网络数据分析粒度的授权信息的第五种格式

如表9所示，网络数据分析粒度的授权信息的第五种格式中，分析标识对应的value的值可以为终端组标识、终端类型、和SUPI三者的各种组合。例如，对于分析标识1，它可以(或不能)开放给SUPI1、以及终端组标识1和终端类型1标识的终端；对于分析标识2，它可以(或不能)开放给SUPI2、以及终端组标识2标识的终端；对于分析标识3，它可以(或不能)开放给终端组标识2，终端组标识3和终端组标识4标识的终端；对于分析标识4，它可以(或不能)开放给所有终端；对于分析标识5，它不能(或可以)开放给所有终端。例如，当第一消息携带分析标识1时，数据存储网元可以通过第二消息向网络设备1发送第一授权信息，第一授权信息为终端组标识1、终端类型1和SUPI1。

表10示出了数据存储网元中保存的网络数据分析的子集粒度的授权信息的一种格式。其中的子集标识对应于网络数据分析的子集。

表10网络数据分析的子集粒度的授权信息的一种格式

网络数据分析的子集粒度的授权信息中每个子键对应的value的内容可以是终端组粒度的，或者是终端类型粒度的，或者是终端粒度的，或者是“任意终端”粒度的，实现方式与表5至表9类似，在此不再赘述。表10中每个子集标识可以用来表示分析标识对应的数据分析结果中的一项或多项，例如，当分析标识1＝NF负载分析时，子集标识11可以表示“NF资源使用率”，子集标识12可以表示“NF类型”、“NF负载”以及“NF峰值负载”。例如，当第一消息携带分析标识1+子集标识11时，数据存储网元可以通过第二消息向网络设备1发送第一授权信息，第一授权信息为终端组标识1和终端组标识2。又例如，当第一消息携带分析标识2时，数据存储网元可以通过第二消息向网络设备1发送第一授权信息，第一授权信息为子集标识21{终端类型1，终端类型2}、子集标识22{终端类型2，终端类型3}、子集标识23{“任意终端”}和子集标识24{}。

需要说明的是，网络数据分析的子集粒度的授权信息中每个键对应的多个子键对应的value的内容的粒度可以相同，也可以不同。

由上述表5至表10所示，数据存储网元中保存的授权信息可能是键值对(key-value)的形式，其中键(key)是不同的分析标识，子键(sub-key)是不同的子集标识，值(value)代表该分析标识可以开放给哪些终端(或者不能开放给哪些终端)的授权信息。数据存储网元根据网络设备1提供的标识(例如分析标识、或分析标识与子集标识的组合等)检索该分析标识对应的value的内容，并根据检索到的内容向网络设备1提供第一授权信息。需要注意的是，value的内容可以是“白名单”，也就是网络数据分析可以开放给哪些终端；也可以是“黑名单”，也就是网络数据分析不能开放给哪些终端。

网络事件粒度的授权信息与网络数据分析粒度的授权信息类似，网络事件的子集粒度的授权信息与网络数据分析的子集粒度的授权信息类似，可以参考网络数据分析粒度的授权信息和网络数据分析的子集粒度的授权信息，在此不再详述。

在接收到第二消息(即获取到第一授权信息)后，网络设备1可以根据第一授权信息进行授权检查，例如，当网络设备1为NEF或运营商网络自身部署的AF时，NEF或AF可以根据第一授权信息进行授权检查；或者，网络设备1可以将第一授权信息发送给其他网元，由其他网元根据第一授权信息进行授权检查，例如，当网络设备1为NEF时，NEF可以将第一授权信息发送给AF(例如第三方AF)，由第三方AF根据第一授权信息进行授权检查。下面结合具体的步骤进行详细描述。

情况1：网络设备1为NEF，且由NEF根据第一授权信息进行授权检查。

在此情况下，方法500可以由图5所示的网络设备2(即AF)、网络设备1(即NEF)、以及数据存储网元执行。

在步骤502之后，可以执行步骤503。为了与下文情况2中的步骤503进行区分，在情况1中称为步骤503a。

步骤503a，NEF根据第一授权信息进行授权检查。

1)第一种实现方式，NEF根据第一授权信息、以及请求获取第一网络数据的终端的信息进行授权检查，得到第二授权信息。其中，第二授权信息用于指示请求获取第一网络数据的终端是否被授权获取第一网络数据。

可选地，当AF代替终端获取第一网络数据时，NEF在确定第二授权信息时还可以考虑本地的策略信息，其中，策略信息用于指示所述应用功能网元是否被授权获取第一网络数据。当NEF根据第一授权信息确定请求获取第一网络数据的终端被授权获取第一网络数据、且策略信息指示AF被授权获取第一网络数据时，NEF确定第二授权信息。或者，另一种可替换的方式为：在发送第一消息之前，NEF根据策略信息判断AF是否被授权获取第一网络数据，当策略信息指示AF被授权获取第一网络数据时，NEF向数据存储网元发送第一消息，在此情况下，NEF在确定第二授权信息时不再考虑本地的策略信息。

例如，数据存储网元中的授权信息采用表5中定义的格式(且为白名单格式)，第一消息中携带分析标识1，请求获取第一网络数据的终端的信息包括终端组标识1、终端组标识2和终端组标识3。这样，在接收到第一授权信息(即终端组标识1、终端组标识2)后，NEF根据第一授权信息发现只允许终端组标识1和终端组标识2获取分析标识1对应的网络数据分析，并且根据本地的策略信息发现可以向AF开放分析标识1对应的网络数据分析，在此情况下，NEF确定第二授权信息为(终端组标识1＝yes，终端组标识2＝yes，终端组标识3＝no)。

又例如，数据存储网元中的授权信息采用表6中定义的格式(且为黑名单格式)，第一消息中携带分析标识2，请求获取第一网络数据的终端的信息包括终端类型3、终端类型4和终端类型5。这样，在接收到第一授权信息(即终端类型2、终端类型3)后，NEF根据第一授权信息发现不允许终端类型3获取分析标识2对应的网络数据分析，并且根据本地的策略信息发现可以向AF开放分析标识2对应的网络数据分析，在此情况下，NEF确定第二授权信息为(终端类型3＝no，终端类型4＝yes，终端类型5＝yes)。

又例如，数据存储网元中的授权信息采用表7中定义的格式(且为白名单格式)，第一消息中携带分析标识3，请求获取第一网络数据的终端的信息包括SUPI1、SUPI2和SUPI3。这样，在接收到第一授权信息(即任意终端)后，NEF根据第一授权信息发现允许任何终端获取分析标识3对应的网络数据分析，并且根据本地的策略信息发现可以向AF开放分析标识1对应的网络数据分析，在此情况下，NEF确定第二授权信息为(SUPI1＝yes，SUPI2＝yes，SUPI3＝yes)。

又例如，数据存储网元中的授权信息采用表8中定义的格式(且为黑名单格式)，第一消息中携带分析标识2，请求获取第一网络数据的终端的信息包括SUPI1、SUPI2和SUPI3。这样，在接收到第一授权信息(即终端类型1、终端类型2)后，NEF根据第一授权信息发现不允许终端类型1和终端类型2获取分析标识2对应的网络数据分析。此时，NEF可以根据SUPI1、SUPI2和SUPI3从UDM中检索SUPI1、SUPI2和SUPI3对应的终端类型，假设SUPI1→类型2、SUPI2→终端类型3、SUPI3→终端类型4，并且NEF根据本地的策略信息发现可以向AF开放分析标识2对应的网络数据分析，NEF确定第二授权信息为(SUPI1＝no，SUPI2＝yes，SUPI3＝yes)。

又例如，数据存储网元中的授权信息采用表9中定义的格式(且为白名单格式)，第一消息中携带分析标识1，请求获取第一网络数据的终端的信息包括SUPI1。这样，在接收到第一授权信息(即终端组标识1、终端类型1和SUPI1)后，NEF根据第一授权信息发现允许SUPI1获取分析标识1对应的网络数据分析，并且NEF根据本地的策略信息发现可以向AF开放分析标识1对应的网络数据分析，NEF确定第二授权信息为(SUPI1＝yes)。

又例如，数据存储网元中的授权信息采用表10中定义的格式(且为白名单格式)，第一消息中携带分析标识2和子集标识21，请求获取第一网络数据的终端的信息包括终端类型1。这样，在接收到第一授权信息(即终端类型1、终端类型2)后，NEF根据第一授权信息发现允许终端类型1获取分析标识2、子集标识为21的对应的网络数据分析，并且NEF根据本地的策略信息发现可以向AF开放分析标识2、子集标识为21对应的网络数据分析，NEF确定第二授权信息为(终端类型1＝yes)。

需要说明的是，这里的“请求获取第一网络数据的终端的信息”可以包括以下信息中的至少一项：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。需要说明的是，第一授权信息中的终端的信息与请求获取第一网络数据的终端的信息的类型可以相同，也可以不同。例如，第一授权信息包括终端类型1至终端类型3，请求获取第一网络数据的终端的信息包括终端类型1和终端类型4。又例如，第一授权信息包括终端类型1至终端类型3，请求获取第一网络数据的终端的信息包括SUPI1至SUPI5。

当第一授权信息中的终端的信息与请求获取第一网络数据的终端的信息的类型不同时，NEF可以将二者的类型转换为相同类型后再进行判断。例如，在第一授权信息包括终端类型，请求获取第一网络数据的终端的信息包括SUPI的情况下，NEF可以根据SUPI获取该SUPI对应的终端类型(例如从UDM查询)，然后根据得到的终端类型、以及第一授权信息进行授权检查。

在该实现方式中，方法500还可以包括步骤504和505。其中，步骤504可以在步骤501之前执行，步骤505可以在步骤503a之后执行。

步骤504，AF向NEF发送第三消息.

相应地，NEF接收来自AF的第三消息。其中，第三消息用于请求第二授权信息。第三消息包括第一网络数据的标识和请求获取第一网络数据的终端的信息。即由AF向NEF提供请求获取第一网络数据的终端的信息。

可选地，第三消息可以为Nnef_AuthorizationCheck_Subscribe。

步骤505，NEF向AF发送第四消息。

相应地，AF接收来自NEF的第四消息。其中，第四消息包括第二授权信息。

可选地，第四消息可以为Nnef_AuthorizationCheck_Notify。

也就是说，由AF向NEF提供请求获取第一网络数据的终端的信息、以及第一网络数据的标识，NEF在接收到这些信息后向数据存储网元检索得到第一授权信息，并根据第一授权信息和请求获取第一网络数据的终端的信息进行授权检查，得到第二授权信息，并将第二授权信息发送给AF。

在第一种实现方式中，AF可以接收多个终端的请求消息，并对接收到的请求消息进行整合，得到第一网络数据的标识和请求获取第一网络数据的终端的信息。例如，AF可以根据多个终端中每个终端请求获取的网络数据的标识，确定其中的多个第一终端请求一个或多个相同的网络数据的标识，该一个或多个相同的网络数据的标识包括第一网络数据的标识。又例如，AF可以根据多个终端中每个终端所属的终端组，确定请求获取第一网络数据的终端的信息，其中请求获取第一网络数据的终端的信息包括一个或多个终端组标识。又例如，AF可以根据多个终端中每个终端的类型，确定请求获取第一网络数据的终端的信息，其中请求获取第一网络数据的终端的信息包括一个或多个终端类型。

可选地，该一个或多个相同的网络数据的标识包括的标识的个数小于或者等于第一终端的个数。当该一个或多个相同的网络数据的标识包括的标识的个数小于第一终端的个数时，相比于通过终端的标识向数据存储网元检索授权信息，通过网络数据的标识向数据存储网元检索授权信息可以减少与数据存储网元的信令数量，有助于减少信令开销。

在本申请中，若第二授权信息指示的是一个或多个终端组和/或一个或多个终端类型是否被授权获取第一网络数据，则AF还可以进一步根据第二授权信息，确定多个终端中的每个终端是否被授权获取第一网络数据。

2)第二种实现方式，NEF根据第一授权信息、以及多个第一终端的标识进行授权检查，得到第三授权信息。其中，第三授权信息用于指示多个第一终端中的每个第一终端是否被授权获取第一网络数据。

其中，多个第一终端的标识可以是AF提供给NEF的，也可以是NEF确定的。

对于由NEF确定多个第一终端的标识的方案，方法500还可以包括步骤506和507。

步骤506，AF向NEF发送第五消息。

相应地，NEF接收来自AF的第五消息。其中，第五消息包括多个终端的标识、以及多个终端中每个终端请求的网络数据的标识。

可选地，第五消息可以为Nnef_AuthorizationCheck_Subscribe。

步骤507，NEF根据多个终端的标识、以及多个终端中每个终端请求的网络数据的标识，确定多个终端中的多个第一终端请求一个或多个相同的网络数据的标识，该一个或多个相同的网络数据的标识包括第一网络数据的标识。

例如，多个终端的标识、以及多个终端中每个终端请求的网络数据的标识如表11所示，NEF可以确定SUPI1、SUPI2和SUPI3请求相同的网络数据的标识，即分析标识1和分析标识2，此时SUPI1、SUPI2和SUPI3即为上文所述的多个第一终端，分析标识1和分析标识2即为上文所述的相同的网络数据的标识，第一网络数据的标识可以为分析标识1和/或分析标识2。

表11不同的UE可能同时请求获取的网络数据的标识

即NEF可以根据接收到的多个终端的标识、以及多个终端中每个终端请求的网络数据的标识进行整合，得到多个第一终端的标识和第一网络数据的标识。

需要说明的是，NEF可以确定多组第一终端，这里仅以其中一组为例进行说明。

此外，若NEF接收到的第一授权信息包括一个或多个终端组的标识，则NEF还可以根据多个终端的标识确定多个终端中每个终端所属的终端组，以便进行授权检查。若NEF接收到的第一授权信息包括一个或多个终端类型，则NEF还可以根据多个终端的标识确定多个终端中每个终端的类型，以便进行授权检查。

可选地，方法500还可以包括步骤509-511。

步骤509，NEF根据多个终端的标识、以及多个终端中每个终端请求的网络数据的标识，确定第二终端。

其中，第二终端为多个终端中除第一终端以外的终端。

例如，结合表11，第二终端可以是SUPI4。

需要说明的是，NEF可以确定一个或多个第二终端，这里仅以其中的一个为例进行说明。

步骤510，NEF向数据存储网元发送第七消息。

相应地，数据存储网元接收来自NEF的第七消息。其中，第七消息用于请求第四授权信息。第七消息包括第二终端的标识。

可选地，第七消息可以为Nudr_DM_Subscribe。

步骤511，数据存储网元向NEF发送第八消息。

相应地，NEF接收来自数据存储网元的第八消息。其中，第八消息包括第四授权信息。第四授权信息包括第二终端被授权获取的网络数据的标识，或者，第四授权信息包括第二终端未被授权获取的网络数据的标识。

可选地，第八消息可以为Nudr_DM__Notify。

可选地，数据存储网元在接收到第七消息后，根据第七消息中的第二终端的标识检索存储在数据存储网元中的授权信息，得到第四授权信息，并通过第八消息发送至NEF。

在第二种实现方式中，方法500还可以包括步骤508。步骤508可以在步骤503a后执行。

步骤508，NEF向AF发送第六消息。

相应地，AF接收来自NEF的第六消息。其中，第六消息包括第三授权信息。当执行了步骤509-511时，第六消息还可以包括第四授权信息。

可选地，第六消息可以为Nnef_AuthorizationCheck_Notify。

情况2：网络设备1为AF，且由AF根据第一授权信息进行授权检查。

在此情况下，方法500可以由图5所示网络设备1(即AF)以及数据存储网元执行。换句话说，图5可以不包括网络设备2。

在步骤502之后，可以执行步骤503。为了与上文情况1中的步骤503进行区分，在情况2中称为步骤503b。

步骤503b，AF根据第一授权信息进行授权检查。

一种实现方式，AF根据第一授权信息、以及请求获取第一网络数据的终端的信息进行授权检查，得到第二授权信息。其中，第二授权信息用于指示请求获取第一网络数据的终端是否被授权获取第一网络数据。

例如，数据存储网元中的授权信息采用表5中定义的格式(且为白名单格式)，第一消息中携带分析标识1，请求获取第一网络数据的终端的信息包括终端组标识1、终端组标识2和终端组标识3。这样，在接收到第一授权信息(即终端组标识1、终端组标识2)后，AF根据第一授权信息发现只允许终端组标识1和终端组标识2获取分析标识1对应的网络数据分析，在此情况下，AF确定第二授权信息为(终端组标识1＝yes，终端组标识2＝yes，终端组标识3＝no)。

更多举例可以参考上述第一种实现方式，与NEF不同的是，AF可以不考虑本地的策略信息。

同样，这里的“请求获取第一网络数据的终端的信息”可以包括以下信息中的至少一项：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。需要说明的是，第一授权信息中的终端的信息与请求获取第一网络数据的终端的信息的类型可以相同，也可以不同。例如，第一授权信息包括终端类型1至终端类型3，请求获取第一网络数据的终端的信息包括终端类型1和终端类型4。又例如，第一授权信息包括终端类型1至终端类型3，请求获取第一网络数据的终端的信息包括SUPI1至SUPI5。

当第一授权信息中的终端的信息与请求获取第一网络数据的终端的信息的类型不同时，AF可以将二者的类型转换为相同类型后再进行判断。例如，在第一授权信息包括终端类型，请求获取第一网络数据的终端的信息包括SUPI的情况下，AF可以根据SUPI确定该SUPI对应的终端类型，然后根据得到的终端类型、以及第一授权信息进行授权检查。

在第二种实现方式中，AF可以接收多个终端的请求消息，并对接收到的请求消息进行整合，得到第一网络数据的标识和请求获取第一网络数据的终端的信息。例如，AF可以根据多个终端中每个终端请求获取的网络数据的标识，确定其中的多个第一终端请求一个或多个相同的网络数据的标识，该一个或多个相同的网络数据的标识包括第一网络数据的标识。又例如，AF可以根据多个终端中每个终端所属的终端组，确定请求获取第一网络数据的终端的信息，其中请求获取第一网络数据的终端的信息包括一个或多个终端组标识。又例如，AF可以根据多个终端中每个终端的类型，确定请求获取第一网络数据的终端的信息，其中请求获取第一网络数据的终端的信息包括一个或多个终端类型。

可选地，在情况2下，方法500也可以包括步骤509-511。

步骤509，AF根据多个终端中每个终端请求的网络数据的标识，确定第二终端。

其中，第二终端为多个终端中除第一终端以外的终端。

步骤510，AF向数据存储网元发送第七消息。

相应地，数据存储网元接收来自AF的第七消息。其中，第七消息用于请求第四授权信息。第七消息包括第二终端的标识。

可选地，第七消息可以为Nudr_DM_Subscribe。

步骤511，数据存储网元向AF发送第八消息。

相应地，AF接收来自数据存储网元的第八消息。其中，第八消息包括第四授权信息。第四授权信息包括第二终端被授权获取的网络数据的标识，或者，第四授权信息包括第二终端未被授权获取的网络数据的标识。

可选地，第八消息可以为Nudr_DM__Notify。

可选地，数据存储网元在接收到第七消息后，根据第七消息中的第二终端的标识检索存储在数据存储网元中的授权信息，得到第四授权信息，并通过第八消息发送至AF。

情况3：网络设备1为NEF，且由AF根据第一授权信息进行授权检查。

在步骤501之前可以行步骤512，在步骤502之后可以执行步骤513和514。

步骤512，AF向NEF发送第九消息。

相应地，NEF接收来自AF的第九消息。其中，第九消息用于获取第一授权信息。第九消息包括第一网络数据的标识。

可选地，第九消息可以为Nnef_AuthorizationCheck_Subscribe。

步骤513，在接收到第二消息后，NEF向AF发送第十消息。

相应地，AF接收来自NEF的第十消息。其中，第十消息包括第一授权信息。

可选地，第十消息可以为Nnef_AuthorizationCheck_Notify。

步骤514，AF根据第一授权信息进行授权检查。

步骤514的具体实现可以参考情况2中的步骤503b，在此不再赘述。

可选地，在情况3下，在发送第一消息之前，NEF根据策略信息判断AF是否被授权获取第一网络数据，当策略信息指示AF被授权获取第一网络数据时，NEF向数据存储网元发送第一消息。

需要说明的是，方法500中的第一消息、第二消息、第七消息和第八消息为网络设备1与数据存储网元之间的消息，当网络设备1为不同网元(例如AF或NEF)时，消息的具体实现可能相同，也可能不同，但在方法500中称为第一消息、第二消息、第七消息和第八消息。

这样，在方法500中，在数据存储网元中预配置网络数据分析粒度或网络数据分析的子集粒度的授权信息，当有多个终端同时请求某个分析标识对应的网络数据分析时，AF或NEF可以将这多个终端的请求进行整合，并根据该分析标识从数据存储网元检索授权信息，这样只需要和数据存储网元进行一次信令交互就能确定这多个终端针对第一网络数据的授权信息，有助于减少信令交互的数量。

而且数据存储网元中保存的授权信息可以是针对终端组或者终端类型的，因此数据存储网元只需要向AF或NEF反馈若干个终端组标识或者终端类型就可以了，不用向AF或NEF反馈大量的终端标识，可以降低每条信令中要传输的数据量。

并且如果数据存储网元中保存的授权信息是黑名单格式的话，数据存储网元可能只需要向AF或NEF反馈少量几个不允许获取分析标识对应的数据分析结果的终端标识、终端组标识或终端类型就可以了，可以进一步降低每条信令中要传输的数据量。

此外，网络设备1可以从数据存储网元获取网络数据分析的子集粒度或网络事件的子集粒度的第一授权信息，可以实现精细化网络数据开放的效果。对于网络只开放某个分析标识对应的一组数据分析结果中的一部分或者某个事件标识对应的一组数据中的一部分给UE的情况，仍然可以实现相应的授权。

图6是本申请提供的授权方法600的示意性流程图。

方法600可以由网络设备1、网络设备2和数据存储网元执行，也可以由网络设备1、网络设备2和数据存储网元中的模块或单元执行，为了描述方便，下文均称为网络设备1、网络设备2和数据存储网元。

在本申请中，网络设备1可以为NEF或AF，网络设备2可以为AF。当网络设备1为AF时，图6可以不包括网络设备2。数据存储网元可以为核心网中具备数据存储功能的网元，例如，数据存储网元可以为UDR或者UDM。

步骤601，网络设备1向数据存储网元发送第一消息。

相应地，数据存储网元接收来自网络设备1的第一消息。其中，第一消息用于获取第二授权信息。第一消息包括请求获取第一网络数据的终端的信息和第一网络数据的标识。

为了与方法500中的第一消息进行区分，方法600中将第一消息称为第十一消息。

第一网络数据、第一网络数据的标识、请求获取第一网络数据的终端的信息的描述可以参考方法500的步骤501，在此不再赘述。

可选地，当数据存储网元为UDR时，第十一消息可以为Nudr_DM_Subscribe。

步骤602，数据存储网元向网络设备1发送第二消息。

相应地，网络设备1接收来自数据存储网元的第二消息。其中，第二消息包括第二授权信息。第二授权信息用于指示请求获取第一网络数据的终端是否被授权获取第一网络数据。

同样，为了与方法500中的第二消息进行区分，方法600中将第二消息称为第十二消息。

可选地，当数据存储网元为UDR时，第十二消息可以为Nudr_DM_Notify。

一种可能的实现方式，在接收到第十一消息后，数据存储网元根据第十一消息中的第一网络数据的标识和请求获取第一网络数据的终端的信息，确定第二授权信息，并通过第十二消息发送至网络设备1。作为一个示例，在接收到第十一消息后，数据存储网元根据第十一消息中的第一网络数据的标识检索得到第一授权信息，进一步根据第一授权信息和请求获取第一网络数据的终端的信息，确定第二授权信息，并通过第十二消息发送至网络设备1。

数据存储网元中存储的授权信息的描述可以参考方法500的步骤502，在此不再赘述。

当网络设备1为AF时，在发送第十一消息之前，AF可以接收多个终端的请求消息，并对接收到的请求消息进行整合，得到第一网络数据的标识和请求获取第一网络数据的终端的信息。更详细的描述可以参考方法500的步骤505，在此不再赘述。

可选地，AF还可以确定第二终端，并根据第二终端的标识向数据存储网元检索第四授权信息。更详细的描述可以参考方法500，在此不再赘述。

当网络设备1为NEF时，在步骤601之前还可以执行步骤603，在步骤602之后还可以执行步骤604。

步骤603，AF向NEF发送第三消息。

可选地，第三消息可以为Nnef_AuthorizationCheck_Subscribe。

步骤604，NEF向AF发送第四消息。

相应地，AF接收来自NEF的第四消息。

可选地，第四消息可以为Nnef_AuthorizationCheck_Notify。

其中，第四消息包括第二授权信息。也就是说，由AF向NEF提供请求获取第一网络数据的终端的信息、以及第一网络数据的标识，NEF在接收到这些信息后进一步提供给数据存储网元，由数据存储网元根据第一网络数据的终端的信息、以及第一网络数据的标识得到第二授权信息，并通过NEF发送至AF。

在步骤603之前，AF可以接收多个终端的请求消息，并对接收到的请求消息进行整合，得到第一网络数据的标识和请求获取第一网络数据的终端的信息。更详细的描述可以参考方法500的步骤505，在此不再赘述。

需要说明的是，NEF向数据存储网元提供的第一网络数据的终端的信息、以及第一网络数据的标识也可以是NEF根据多个终端请求的网络数据的标识确定的。此时，AF需要向NEF提供多个终端的标识、以及多个终端中每个终端请求的网络数据的标识。详细描述可以参考方法500的步骤506和507，在此不再赘述。

此外，在本申请中，若第二授权信息指示的是一个或多个终端组和/或一个或多个终端类型是否被授权获取第一网络数据，则AF还可以进一步根据第二授权信息，确定多个终端中的每个终端是否被授权获取第一网络数据。

需要说明的是，方法600中的第十一消息和第十二消息为网络设备1与数据存储网元之间的消息，当网络设备1为不同网元(例如AF或NEF)时，消息的具体实现可能相同，也可能不同，但在方法600中称为第十一消息和第十二消息。

这样，在方法600中，在数据存储网元中预配置网络数据分析粒度或网络数据分析的子集粒度的授权信息，当有多个终端同时请求某个分析标识对应的网络数据分析时，AF或NEF可以将这多个终端的请求进行整合，并根据该分析标识从数据存储网元检索授权信息，这样只需要和数据存储网元进行一次信令交互就能确定这多个终端针对第一网络数据的授权信息，有助于减少信令交互的数量。

此外，网络设备1可以从数据存储网元获取网络数据分析的子集粒度的第二授权信息，可以实现精细化网络数据开放的效果。对于网络只是开放某个分析标识对应的一组数据分析结果中的一部分给终端的情况，仍然可以实现相应的授权。

图7是本申请提供的授权方法700的示意性流程图。

方法700可以由网络设备1、网络设备2和数据存储网元执行，也可以由网络设备1、网络设备2和数据存储网元中的模块或单元执行，为了描述方便，下文均称为网络设备1、网络设备2和数据存储网元。

在本申请中，网络设备1可以为NEF或AF，网络设备2(即AF)。当网络设备1为AF时，图7可以不包括网络设备2。数据存储网元可以为核心网中具备数据存储功能的网元，例如，数据存储网元可以为UDR或者UDM。

在方法700中，数据存储网元中可以预配置有网络数据分析粒度、网络数据分析的子集粒度、网络事件粒度或网络事件的子集粒度的授权信息。与方法500和方法600中不同的是该授权信息是针对所有终端或任意终端的，也就是对于某个网络数据分析、网络数据分析的子集、网络事件或网络事件的子集来说，它要么是可以开放给所有终端或任意终端的，要么就是不能开放给所有终端或任意终端的。表12示出了采用该格式的授权信息的一个示例，表12以网络数据分析为例，其中的分析标识对应于网络数据分析的标识。

表12网络数据分析粒度的授权信息

如表12所示，分析标识1和分析标识4可以被开放给所有终端或任意终端，分析标识2和分析标识3不可以被开放给所有终端或任意终端。

基于此，方法700可以包括以下的步骤701-702，以及可选的步骤703-704。

步骤701，网络设备1向数据存储网元发送第十三消息。

相应地，数据存储网元接收来自网络设备1的第十三消息。其中，第十三消息用于获取可开放给任意终端的网络数据的标识的集合。

可选地，当数据存储网元为UDR时，第十三消息可以为Nudr_DM_Subscribe。

一种可能的实现方式，第十三消息携带第一信息，第一信息用于指示网络数据是要开放给所有终端或任意终端的。

步骤702，在接收到第十三消息后，数据存储网元向网络设备1发送第十四消息。

相应地，网络设备1接收来自数据存储网元的第十四消息。其中，第十四消息包括可开给所有终端或任意终端的网络数据的标识的集合。例如，结合表12，第十四消息可以包括分析标识1和分析标识4。

可选地，当数据存储网元为UDR时，第十四消息可以为Nudr_DM_Notify。

当网络设备1为NEF时，方法700还可以包括步骤703和704。步骤703可以在步骤701之前执行，步骤704可以在步骤702之后执行。

步骤703，AF向NEF发送第十五消息。

相应地，NEF接收来自AF的第十五消息。其中，第十五消息用于获取可开放给任意终端的网络数据的标识的集合，以便NEF进一步向数据存储网元获取相应集合。

可选地，第十五消息可以为Nnef_AuthorizationCheck_Subscribe。

一种可能的实现方式，第十五消息携带第一信息，第一信息用于指示网络数据是要开放给所有终端或任意终端的。

步骤704，在接收到第十四消息后，NEF向AF发送第十六消息。

相应地，AF接收来自NEF的第十六消息。其中，第十六消息包括可开给所有终端或任意终端的网络数据的标识的集合。例如，结合表12，第十六消息可以包括分析标识1和分析标识4。

可选地，第十六消息可以为Nnef_AuthorizationCheck_Notify。

在本申请中，AF或NEF在获取到可开给所有终端或任意终端的网络数据的标识的集合后，可以进一步确定请求获取某个网络数据的终端是否被授权获取该网络数据。例如，SUPI1请求获取分析标识1对应的网络数据分析，结合表12，AF或NEF在获取到分析标识1和分析标识4后，判断SUPI1请求的分析标识1在该集合中，则AF或NEF确定SUPI1被授权获取分析标识1对应的网络数据分析。

需要说明的是，AF或NEF还可以向数据存储网元获取不可开给所有终端或任意终端的网络数据的标识的集合，并在终端请求的网络数据的标识不在获取到的集合中时确定该终端被授权获取该网络数据。

还需要说明的是，方法700中的第十三消息和第十四消息为网络设备1与数据存储网元之间的消息，当网络设备1为不同网元(例如AF或NEF)时，消息的具体实现可能相同，也可能不同，但在方法700中称为第十三消息和第十四消息。

下面结合具体的示例对本申请的技术方案进行描述。在以下示例中，以数据存储网元为UDR为例。

需要说明的是，以下示例均以网络数据分析或网络数据分析的子集为例进行描述，但方案同样可以适用于网络事件或网络事件的子集。

示例1

在本示例中，提供了网络数据分析粒度的授权方案，并且由AF或NEF确定授权检查结果。

图8是本申请提供的授权方法800的示意性流程图。

在本示例中，UDR中预配置了网络数据分析粒度的授权信息。UDR中配置的授权信息的格式与具体实现有关，本申请对于UDR中的授权信息的格式不做具体限定，例如，可以是JSON格式，也就是本文举例中所用的键值对形式，也可以是CSV格式、Parquet格式、Avro格式等。本示例中以JSON格式为例进行说明，UDR中保存的网络数据分析粒度的授权信息的格式可以如上文的表5至9所示。

步骤801，当AF是第三方AF时，AF通过订阅消息#1向NEF发出授权检查(AuthorizationCheck)。

一种可能的实现方式，AF可以通过Nnef_AuthorizationCheck_Subscribe(Analytics ID,list of<UE ID or UE Group ID or UE Type>)服务操作向NEF发出授权检查，即订阅消息#1可以为Nnef_AuthorizationCheck_Subscribe，消息中可以携带如下参数：

1)分析标识：analytics ID，用于标识不同类型的网络数据分析。

2)UE标识列表、UE组标识列表或UE类型列表：list of<UE ID or UE Group ID or UE Type>，可选参数，表示请求该分析标识的一组UE、一组UE组、或者一组UE类型。

如果由NEF确定授权检查结果，那么订阅消息#1中需要携带分析标识，以及UE标识列表、UE组标识列表或UE类型列表。例如，订阅消息#1中携带了分析标识和<UE类型1，UE类型2，UE类型3>，NEF根据分析标识从UDR检索，发现只允许UE类型1和UE类型2获取该分析标识对应的网络数据分析，则NEF确定授权检查结果，如UE类型1＝yes，UE类型2＝yes，UE类型3＝no，NEF将该授权检查结果反馈给AF。

如果由AF确定授权检查结果，那么订阅消息#1中不用携带UE标识列表、UE组标识列表或UE类型列表，只携带分析标识，NEF将从UDR检索的网络数据分析粒度的授权信息发给AF，由AF根据授权信息进行授权检查，并确定授权检查结果。

当携带UE标识列表、UE组标识列表或UE类型列表时，订阅消息#1可以对应于上文的第三消息。当不携带UE标识列表、UE组标识列表或UE类型列表时，订阅消息#1可以对应于上文的第九消息。

需要说明的是，如果AF是非第三方AF，也就是网络内部的AF，则步骤801可以省略，AF可以直接向UDR发出订阅消息#2(例如，Nudr_DM_Subscribe(analytics ID))，而不通过NEF。

可选地，在步骤801之前，AF可以接收多个UE的用于请求网络数据分析的请求消息，多个UE请求相同的网络数据分析；AF可以对接收到的请求消息进行整合，确定使用该网络数据分析的分析标识从UDR检索授权信息。

步骤802，AF或NEF向UDR发送订阅消息#2。订阅消息#2可以对应于上文的第一消息。

一种可能的实现方式，AF或NEF可以通过Nudr_DM_Subscribe(Analytics ID)服务操作向UDR发出订阅消息#2，即订阅消息#2为Nudr_DM_Subscribe，消息中携带分析标识，用于UDR根据分析标识检索授权信息。

如果是NEF负责向UDR发送订阅消息#2，但是NEF根据本地策略发现不能向AF开放分析标识对应的网络数据分析，那么NEF不会向UDR发送订阅消息#2，而是直接拒绝AF的请求。其中，NEF的本地策略是指NEF本地保存的可以开放给AF的分析标识。

需要说明的是，图8以NEF向UDR发送订阅消息#2为例。

步骤803，UDR根据订阅消息#2中的分析标识检索存储在UDR中的授权信息，得到分析标识对应的授权信息。

分析标识对应的授权信息的内容与UDR中存储的授权信息的格式有关，UDR中存储的授权信息采用不同的格式，分析标识对应的授权信息的内容也有所不同。

步骤804，UDR通过通知消息#2向AF或NEF通知分析标识对应的授权信息。通知消息#2可以对应于上文的第二消息。

一种可能的实现方式，UDR通过Nudr_DM_Notify(Analytics ID granularity authorization information)服务操作向AF/NEF通知分析标识对应的授权信息，即通知消息#2为Nudr_DM_Notify，消息中携带网络数据分析粒度的授权信息。

需要说明的是，图8以UDR向NEF发送通知消息#2为例。

步骤805，AF或NEF根据从UDR获取的授权信息进行授权检查。

如果由NEF确定授权检查结果，则NEF结合本地策略、从UDR获取的网络数据分析粒度的授权信息、以及来自AF的UE标识列表、UE组标识列表或UE类型列表进行授权检查，确定这些UE是否被授权获取该分析标识对应的网络数据分析，并生成授权检查结果，如SUPI1＝no、SUPI2＝yes，或者UE组标识1＝no、UE组标识2＝yes，或者UE类型1＝no、UE类型2＝yes。

例如，UDR中的授权信息采用表5中定义的格式(且为白名单格式)，且步骤801中AF的订阅消息#1中携带了分析标识1以及<UE组标识1，UE组标识2，UE组标识3>，NEF根据分析标识1从UDR检索发现只允许UE组标识1和UE组标识2获取分析标识1对应的网络数据分析，并且NEF根据本地策略发现可以向AF开放分析标识1对应的网络数据分析，则NEF确定授权检查结果，即(UE 组标识1＝yes，UE组标识2＝yes，UE组标识3＝no)。

又例如，UDR中的授权信息采用表6中定义的格式(且为黑名单格式)，且步骤801中AF的订阅消息#1中携带了分析标识2以及<UE类型3，UE类型4，UE类型5>，NEF根据分析标识2从UDR检索发现不允许UE类型3获取分析标识2对应的网络数据分析，并且NEF根据本地策略发现可以向AF开放分析标识2对应的网络数据分析，则NEF确定授权检查结果，即(UE类型3＝no，UE类型4＝yes，UE类型5＝yes)。

又例如，UDR中的授权信息采用表7中定义的格式(且为白名单格式)，且步骤801中AF的订阅消息#1中携带了分析标识3以及<SUPI1，SUPI2，SUPI3>，NEF根据分析标识3从UDR检索发现允许任何UE获取分析标识3对应的网络数据分析，并且NEF根据本地策略发现可以向AF开放分析标识3对应的网络数据分析，则NEF确定授权检查结果，即(SUPI1＝yes，SUPI2＝yes，SUPI3＝yes)。

又例如，UDR中的授权信息采用表8中定义的格式(且为黑名单格式)，且步骤801中AF的订阅消息#1中携带了分析标识2以及<SUPI1，SUPI2，SUPI3>，NEF根据分析标识2从UDR检索发现不允许UE类型1和UE类型2获取分析标识2对应的网络数据分析。此时，NEF可以根据UE ID从UDM中检索UE ID对应的UE类型，例如检索结果为SUPI1→UE类型2、SUPI2→UE类型3、SUPI3→UE类型4，并且NEF根据本地策略发现可以向AF开放分析标识2对应的网络数据分析，则NEF确定授权检查结果，即(SUPI1＝no，SUPI2＝yes，SUPI3＝yes)。

步骤806，NEF向AF发送通知消息#1。

一种可能的实现方式，NEF通过Nnef_AuthorizationCheck_Notify服务操作向AF发送通知消息#1，即通知消息#1为Nnef_AuthorizationCheck_Notify。

如果由NEF确定授权检查结果，那么NEF在通知消息#1中携带授权检查结果，授权检查结果可以是授权指示信息(Authorization Instructions)的形式。例如，NEF通过Nnef_AuthorizationCheck_Notify(Authorization Instructions)服务操作向AF通知在步骤805中生成的授权检查结果。

如果由AF确定授权检查结果，那么NEF在通知消息#1中携带UDR检索得到的网络数据分析粒度的授权信息。例如，NEF通过Nnef_AuthorizationCheck_Notify(Analytics ID granularity authorization information)服务操作向AF转发UDR检索得到的网络数据分析粒度的授权信息，再由AF根据获取的网络数据分析粒度的授权信息进行授权检查，确定这些UE是否被授权获取该分析标识对应的网络数据分析，如SUPI1＝no，SUPI2＝yes，SUPI3＝yes。

当携带授权检查结果时，通知消息#1可以对应于上文的第四消息。当携带UDR检索得到的网络数据分析粒度的授权信息时，通知消息#1可以对应于上文的第十消息。

需要说明的是，如果AF是网络内部的AF，则步骤805和806可以省略，UDR在步骤804中直接将检索得到的网络数据分析粒度的授权信息发给AF，由AF确定授权检查结果。图8中以执行步骤805和806为例。

步骤807，对于被授权获取分析标识对应的网络数据分析的UE、UE组或UE类型，AF代替这些UE向NWDAF订阅相关网络数据分析。

如果由AF确定授权检查结果，那么AF还结合来自UDR的网络数据分析粒度的授权信息、以及UE标识列表、UE组标识列表或UE类型列表进行授权检查，确定这些UE是否被授权获取该分析标识对应的网络数据分析，并生成授权检查结果，如SUPI1＝no、SUPI2＝yes，或者UE组标识1＝no、UE组标识2＝yes，或者UE类型1＝no、UE类型2＝yes。

此外，UDR中保存的网络数据分析的授权信息是针对所有UE的，也就是对于某个分析标识来说，它要么是可以开放给所有UE，要么就是不能开放给所有UE。这种情况下，AF或NEF在向UDR的订阅消息中可以只携带一个指示信息(indication)，该指示信息用于指示网络数据分析是要开放给UE的；UDR根据该指示信息确定可以开放给UE的分析标识。例如，如果UDR中保存的授权信息格式和内容如表12所示，那么UDR根据指示信息确定可以开放分析标识1和分析标识4对应的网络数据分析给UE，UDR将该授权信息通知给AF或NEF。

这样，在本示例中，在UDR中预配置网络数据分析粒度的授权信息，当有多个UE同时请求某个分析标识对应的网络数据分析时，可以将这多个UE的请求进行整合，根据该分析标识从UDR检索授权信息，即该分析标识可以开放给哪些UE、UE组或UE类型的信息，也就是说只需要和UDR进行一次信令交互就能确定这多个UE的授权信息，有助于减少信令交互的数量。而且UDR中保存的网络数据分析粒度的授权信息可以是针对UE组或者UE类型的，因此UDR只需要向AF或NEF反馈若干个UE组标识或者UE类型就可以了，不用向AF或NEF反馈大量的UE标识，可以降低每条信令中要传输的数据量。并且如果UDR中保存的网络数据分析粒度的授权信息是黑名单格式的话，UDR可能只需要向AF或NEF反馈少量几个不允许获取分析标识对应的网络数据分析的UE标识、UE组标识或UE类型就可以了，可以进一步降低每条信令中要传输的数据量。

示例2

在本示例中，提供了网络数据分析粒度的授权方案，并且由UDR确定授权检查结果。

图9是本申请提供的授权方法900的示意性流程图。

在本示例中，UDR中预配置了网络数据分析粒度的授权信息。UDR中配置的授权信息的格式与具体实现有关，本申请对于UDR中的授权信息的格式不做具体限定，例如，可以是JSON格式，也就是本文举例中所用的键值对形式，也可以是CSV格式、Parquet格式、Avro格式等。更详细的描述可以参考图8，在此不再赘述。

步骤901，当AF是第三方AF时，AF通过订阅消息#1向NEF发出授权检查(AuthorizationCheck)。订阅消息#1可以对应于上文的第三消息。

需要说明的是，如果AF是非第三方AF，也就是网络内部的AF，则步骤901可以省略，AF可以直接向UDR发出订阅消息#2(例如，Nudr_DM_Subscribe(analytics ID))，而不通过NEF。

可选地，在步骤901之前，AF可以接收多个UE的用于请求网络数据分析的请求消息，多个UE请求相同的网络数据分析；AF可以对接收到的请求消息进行整合，确定使用该网络数据分析的分析标识从UDR检索授权信息。

步骤901更详细的描述可以参考步骤801。与步骤801不同的是，由于由UDR进行授权检查，因此UE标识列表、UE组标识列表或UE类型列表参数为必选项。

步骤902，AF或NEF向UDR发送订阅消息#2。订阅消息#2可以对应于上文的第十一消息。

一种可能的实现方式，AF或NEF可以通过Nudr_DM_Subscribe(Analytics ID，list of<UE ID or UE Group ID or UE Type>)服务操作向UDR发出订阅消息#2，即订阅消息#2为Nudr_DM_Subscribe，消息中携带UE标识列表、UE组标识列表或UE类型列表，以及分析标识。其中，分析标识用于UDR根据分析标识检索授权信息；UE标识列表、UE组标识列表或UE类型列表用于UDR进行授权检查、以及确定授权检查结果(或者说生成授权指示信息)。

需要说明的是，图9以NEF向UDR发送订阅消息#2为例。

步骤903，UDR根据订阅消息#2中的分析标识检索存储在UDR中的授权信息，得到分析标识对应的授权信息，并根据订阅消息#2中的UE标识列表、UE组标识列表或UE类型列表确定授权检查结果。

例如，SUPI1＝no，SUPI2＝yes；或者UE组标识1＝no，UE组标识2＝yes；或者UE类型1＝no，UE类型2＝yes。

UDR进行授权检查的方式可以参考步骤805或步骤807，在此不再赘述。

步骤904，UDR通过通知消息#2向AF或NEF通知授权检查结果。授权检查结果可以是授权指示信息(Authorization Instructions)的形式。通知消息#2可以对应于上文的第十二消息。

一种可能的实现方式，UDR通过Nudr_DM_Notify(Authorization Instructions)服务操作向AF或NEF通知授权检查结果，即通知消息#2为Nudr_DM_Notify，消息中携带授权检查结果。

需要说明的是，图9以UDR向NEF发送通知消息#2为例。

步骤905，NEF通过通知消息#1向AF通知授权检查结果。通知消息#1可以对应于上文的第四消息。

一种可能的实现方式，NEF通过Nnef_AuthorizationCheck_Notify(Authorization Instructions)服务操作向AF发送通知消息#1，即通知消息#1为Nnef_AuthorizationCheck_Notify，消息中携带授权检查结果。

需要说明的是，如果AF是网络内部的AF，则步骤905可以省略，UDR在步骤904中直接将授权检查结果发给AF。图9中以执行步骤905为例。

步骤906，对于被授权获取分析标识对应的网络数据分析的UE、UE组或UE类型，AF代替这些UE向NWDAF订阅相关网络数据分析。

这样，在本示例中，在UDR中预配置网络数据分析粒度的授权信息，当有多个UE同时请求某个分析标识对应的网络数据分析时，可以将这多个UE的请求进行整合，根据该分析标识从UDR检索授权信息，即该分析标识可以开放给哪些UE、UE组或UE类型的信息，也就是说只需要和UDR进行一次信令交互就能确定这多个UE的授权信息，有助于减少信令交互的数量。

示例3

在上述示例1和示例2中，阐述了网络数据分析粒度的授权方法，也就是说对于某个分析标识，它要么可以开放给一个或多个UE、一个或多个UE组、或者一个或多个UE类型，要么不能开放给一个或多个UE、一个或多个UE组、或者一个或多个UE类型，不存在只开放分析标识对应的数据分析结果中的部分给UE的情况。

但实际上，网络可能只是不想开放某个分析标识对应的一组数据分析结果中的一部分给UE，但是其它部分的数据分析结果网络认为是可以开放给UE的。例如，对于NWDAF的NF负载分析(analytics ID＝NF load analytics)，其对应的数据分析结果如上文的表4所示，网络可能只是不想开放其中的NF资源使用率给UE，对于剩余的部分，网络认为是可以开放给UE的，如NF类型、NF负载以及NF峰值负载等。这就代表着网络可以开放该分析标识对应的部分数据分析结果的子集(下文称之为网络数据分析的子集)给UE，而不用开放该分析标识对应的所有数据分析结果给UE。

但是，现有技术以及上述示例1和示例2均无法实现网络数据分析的子集粒度的信息开放授权，因此针对该问题，本示例提供了一种网络数据分析的子集粒度的授权方法900，以细化信息开放粒度，实现精细化信息开放。为了描述方便，下文将网络数据分析的子集简称为分析子集。

分析子集是分析标识对应的一组数据分析结果中的部分，可以通过“分析标识+分析子集的标识”的方式来标识一个分析子集。若分析子集本身是唯一的，则也可以不用添加分析标识，直接用分析子集的标识表示分析子集。在本示例中，以通过“分析标识+分析子集的标识”的方式来标识一个分析子集为例对本申请的技术方案进行说明。

在本示例中，提供了分析子集粒度的授权方案，并且由AF或NEF确定授权检查结果。

图10是本申请提供的授权方法1000的示意性流程图。

在本示例中，UDR中预配置了分析子集粒度的授权信息。UDR中配置的授权信息的格式与具体实现有关，本申请对于UDR中的授权信息的格式不做具体限定，例如，可以是JSON格式，也就是本文举例中所用的键值对形式，也可以是CSV格式、Parquet格式、Avro格式等。本示例中以JSON格式为例进行说明，UDR中保存的分析子集粒度的授权信息的格式可以如上文的表10所示。

步骤1001，当AF是第三方AF时，AF通过订阅消息#1向NEF发出授权检查(AuthorizationCheck)。

一种可能的实现方式，AF可以通过Nnef_AuthorizationCheck_Subscribe(Analytics ID，analytics subset，list of<UE ID or UE Group ID or UE Type>)服务操作向NEF发出授权检查，即订阅消息#1可以为Nnef_AuthorizationCheck_Subscribe，消息中可以携带如下参数：

2)分析子集的标识：analytics subset，用于标识不同的分析子集，可选参数。

当多个UE同时请求同一个分析标识对应的网络数据分析，并且请求的分析子集也一样时，订阅消息#1可以携带该分析子集的标识，此时，UDR可以返回该分析标识的该分析子集的标识对应的授权信息。当多个UE同时请求同一个分析标识对应的网络数据分析，但是不同UE请求的分析子集不完全相同时，订阅消息#1可以不携带每个UE请求的分析子集的标识，此时，UDR可以返回分析标识下全部分析子集对应的授权信息。当多个UE同时请求同一个分析标识对应的网络数据分析，但是不同UE请求的分析子集不完全相同时，可以推导出这多个UE请求的分析子集的并集的标识，订阅消息#1可以携带该分析子集的并集的标识，此时，UDR可以返回该分析标识的该分析子集的并集的标识对应的授权信息。

3)UE标识列表、UE组标识列表或UE类型列表：list of<UE ID or UE Group ID or UE Type>，可选参数，表示请求该分析标识的一组UE、一组UE组、或者一组UE类型。

如果由NEF确定授权检查结果，那么订阅消息#1中需要携带分析标识，可选的分析子集的标识，以及UE标识列表、UE组标识列表或UE类型列表。例如，订阅消息#1中携带了分析标识1、分析子集11的信息和<UE类型1，UE类型2，UE类型3>，NEF根据分析标识1和分析子集11的标识从UDR检索，发现只允许UE类型1和UE类型2获取该分析标识1的分析子集11集，则NEF确定授权检查结果，如UE类型1(分析子集11＝yes)，UE类型2(分析子集11＝yes)，UE类型3＝(分析子集11＝no)，NEF将该授权检查结果反馈给AF。

如果由AF确定授权检查结果，那么订阅消息#1中不用携带UE标识列表、UE组标识列表或UE类型列表，只携带分析标识+可选的分析子集的标识，NEF将从UDR检索的分析子集粒度的授权信息发给AF，由AF根据授权信息进行授权检查，并确定授权检查结果。

需要说明的是，如果AF是非第三方AF，也就是网络内部的AF，则步骤1001可以省略，AF可以直接向UDR发出订阅消息#2(例如，Nudr_DM_Subscribe(analytics ID))，而不通过NEF。

可选地，在步骤1001之前，AF可以接收多个UE的用于请求分析子集的请求消息，多个UE请求相同的分析子集；AF可以对接收到的请求消息进行整合，确定使用分析标识+可选的分析子集的标识从UDR检索授权信息。

步骤1002，AF或NEF向UDR发送订阅消息#2。订阅消息#2可以对应于上文的第一消息。

一种可能的实现方式，AF或NEF可以通过Nudr_DM_Subscribe(Analytics ID，[optional]Analytics subset)服务操作向UDR发出订阅消息#2，即订阅消息#2为Nudr_DM_Subscribe，消息中携带分析标识和可选的分析子集的标识，用于UDR根据分析标识和分析子集的标识检索授权信息。

需要说明的是，图10以NEF向UDR发送订阅消息#2为例。

步骤1003，UDR根据订阅消息#2中的分析标识和可选地分析子集的标识检索存储在UDR中的授权信息，得到对应的授权信息。

例如，当步骤1001中订阅消息#1携带仅分析标识1，则UDR根据分析标识1检索分析子集粒度的授权信息，如果UDR中保存的授权信息如表10所示，那么检索得到的授权信息包括分析子集11至分析子集14，以及分析子集11至分析子集14中每个分析子集对应的value。

又例如，当步骤1001中订阅消息#1携带分析标识1以及分析子集12的信息，则UDR根据分析标识1以及分析子集12的信息检索分析子集粒度的授权信息，如果UDR中保存的授权信息如表10所示，那么授权信息的内容包括分析子集12的信息及其对应的value，即{UE组标识2，UE组标识3}。

需要说明的是，检索得到的授权信息的内容与UDR中存储的授权信息的格式有关，UDR中存储的授权信息采用不同的格式，得到的授权信息的内容也有所不同。

步骤1004，UDR通过通知消息#2向AF或NEF通知检索得到的授权信息。通知消息#2可以对应于上文的第二消息。

一种可能的实现方式，UDR通过Nudr_DM_Notify(Analytics subset granularity authorization information)服务操作向AF/NEF通知检索得到的授权信息，即通知消息#2为Nudr_DM_Notify，消息中携带检索得到的授权信息。

需要说明的是，图10以UDR向NEF发送通知消息#2为例。

步骤1005，AF或NEF根据从UDR获取的授权信息进行授权检查。

如果由NEF确定授权检查结果，则NEF结合本地策略、从UDR获取的分析子集粒度的授权信息、以及来自AF的UE标识列表、UE组标识列表或UE类型列表进行授权检查，确定这些UE是否被授权获取该分析标识的该分析子集，并生成授权检查结果，如SUPI1(分析子集11的信息＝no，分析子集12的信息＝yes)，或者UE组标识1(分析子集21的信息＝no，分析子集22的信息＝yes)；或者 UE类型1(分析子集31的信息＝no，分析子集32的信息＝yes)。

步骤1006，NEF向AF发送通知消息#1。

如果由NEF确定授权检查结果，那么NEF在通知消息#1中携带授权检查结果，授权检查结果可以是授权指示信息(Authorization Instructions)的形式。例如，NEF通过Nnef_AuthorizationCheck_Notify(Authorization Instructions)服务操作向AF通知在步骤1005中生成的授权检查结果。

如果由AF确定授权检查结果，那么NEF在通知消息#1中携带UDR检索得到的分析子集粒度的授权信息。例如，NEF通过Nnef_AuthorizationCheck_Notify(Analytics subset granularity authorization information)服务操作向AF转发UDR检索得到的分析子集粒度的授权信息，再由AF根据获取的分析子集粒度的授权信息进行授权检查，确定这些UE是否被授权获取该分析标识的该分析子集，如SUPI1(分析子集11的信息＝no，分析子集12的信息＝yes)。

需要说明的是，如果AF是网络内部的AF，则步骤1005和1006可以省略，UDR在步骤1004中直接将检索得到的分析子集粒度的授权信息发给AF，由AF确定授权检查结果。图10中以执行步骤1005和1006为例。

步骤1007，对于被授权获取分析标识的分析子集的UE、UE组或UE类型，AF代替这些UE向NWDAF订阅相关分析子集。

如果由AF确定授权检查结果，那么AF还结合来自UDR的分析子集粒度的授权信息、以及UE标识列表、UE组标识列表或UE类型列表进行授权检查，确定这些UE是否被授权获取该分析标识的分析子集，并生成授权检查结果。

此外，如果不同分析标识的所有子键(分析子集)对应的value的内容均是“任意UE”粒度的，也就是说分析子集要么可以开放给所有UE，要么不能开放给所有UE，那么步骤1001的订阅消息#1中可以只携带一个指示信息(indication)，该指示信息用于指示网络数据是要开放给UE的，而不用携带分析标识和可选的分析子集的标识；UDR根据该指示信息确定可以开放给UE的分析子集。

这样，在本示例中，在UDR中预配置分析子集粒度的授权信息，当有多个UE同时请求某个分析标识或者某个分析标识的某个或某些分析子集时，可以将这多个UE的请求进行整合，根据分析标识和可选的分析子集地信息从UDR检索授权信息，也就是说只需要和UDR进行一次信令交互就能确定这多个UE的授权信息，有助于减少信令交互的数量。而且UDR中保存的分析子集粒度的授权信息可以是针对UE组或者UE类型的，因此UDR只需要向AF或NEF反馈若干个UE组标识或者UE类型就可以了，不用向AF或NEF反馈大量的UE标识，可以降低每条信令中要传输的数据量。并且如果UDR中保存的分析子集粒度的授权信息是黑名单格式的话，UDR可能只需要向AF或NEF反馈少量几个不允许获取分析标识或分析标识的分析子集对应的UE标识、UE组标识或UE类型就可以了，可以进一步降低每条信令中要传输的数据量。此外，本示例还可以细化信息开放粒度，达到精细化信息开放的效果。

示例4

在本示例中，提供了分析子集粒度的授权方案，并且由UDR确定授权检查结果。

图11是本申请提供的授权方法1100的示意性流程图。

步骤1101，当AF是第三方AF时，AF通过订阅消息#1向NEF发出授权检查(AuthorizationCheck)。订阅消息#1可以对应于上文的第三消息。

需要说明的是，如果AF是非第三方AF，也就是网络内部的AF，则步骤1101可以省略，AF可以直接向UDR发出订阅消息#2(例如，Nudr_DM_Subscribe(analytics ID，[optional]analytics subset))，而不通过NEF。

可选地，在步骤1101之前，AF可以接收多个UE的用于请求分析子集的请求消息，多个UE请求相同的分析子集；AF可以对接收到的请求消息进行整合，确定使用分析标识+可选的分析子集的标识从UDR检索授权信息。

步骤1101更详细的描述可以参考步骤901。与步骤901不同的是，由于由UDR进行授权检查，因此UE标识列表、UE组标识列表或UE类型列表参数为必选项。

步骤1102，AF或NEF向UDR发送订阅消息#2。订阅消息#2可以对应于上文的第十一消息。

一种可能的实现方式，AF或NEF可以通过Nudr_DM_Subscribe(Analytics ID，[optional]Analytics subset，list of<UE ID or UE Group ID or UE Type>)服务操作向UDR发出订阅消息#2，即订阅消息#2为Nudr_DM_Subscribe，消息中携带UE标识列表、UE组标识列表或UE类型列表，分析标识，以及可选的分析子集的标识。其中，分析标识和可选的分析子集的标识用于UDR检索授权信息；UE标识列表、UE组标识列表或UE类型列表用于UDR进行授权检查、以及确定授权检查结果(或者说生成授权指示信息)。

需要说明的是，图11以NEF向UDR发送订阅消息#2为例。

步骤1103，UDR根据订阅消息#2中的分析标识和可选的分析子集的标识检索存储在UDR中的授权信息，得到对应的授权信息，并根据订阅消息#2中的UE标识列表、UE组标识列表或UE类型列表确定授权检查结果。

例如，SUPI1(分析子集11的信息＝no，分析子集12的信息＝yes)，或者UE组标识1(分析子集21的信息＝no，分析子集22的信息＝yes)，或者UE类型1(分析子集31的信息＝no，分析子集32的信息＝yes)。

UDR进行授权检查的方式可以参考步骤1005或步骤1007，在此不再赘述。

步骤1104，UDR通过通知消息#2向AF或NEF通知授权检查结果。授权检查结果可以是授权指示信息(Authorization Instructions)的形式。通知消息#2可以对应于上文的第十二消息。

一种可能的实现方式，UDR通过Nudr_DM_Notify(Authorization Instructions)服务操作向AF/NEF通知检索得到的授权信息，即通知消息#2为Nudr_DM_Notify，消息中携带授权检查结果。

需要说明的是，图11以UDR向NEF发送通知消息#2为例。

步骤1105，NEF通过通知消息#1向AF通知授权检查结果。通知消息#1可以对应于上文的第四消息。

需要说明的是，如果AF是网络内部的AF，则步骤1105可以省略，UDR在步骤1104中直接将授权检查结果发给AF。图11中以执行步骤1105为例。

步骤1106，对于被授权获取分析标识的分析子集的UE、UE组或UE类型，AF代替这些UE向NWDAF订阅相关分析子集。

这样，在本示例中，在UDR中预配置分析子集粒度的授权信息，当有多个UE同时请求某个分析标识或者某个分析标识的某个或某些分析子集时，可以将这多个UE的请求进行整合，根据分析标识和可选的分析子集的标识从UDR检索授权信息，也就是说只需要和UDR进行一次信令交互就能确定这多个UE的授权信息，有助于减少信令交互的数量。此外，本示例还可以细化信息开放粒度，达到精细化信息开放的效果。

示例5

在上述示例1至示例4中，均假设多个UE同时请求同一个分析标识对应的网络数据分析或该网络数据分析的子集。但是实际上，不同的UE可能同时请求多个不同的分析标识对应的网络数据分析或该网络数据分析的子集，例如，如上文的表11所示，SUPI1、SUPI2、和SUPI3同时请求分析标识1 和分析标识2对应的网络数据分析，SUPI4同时请求分析标识2、分析标识3和分析标识4对应的网络数据分析。

在此该场景下，为了提升信息开放的授权效率，可以结合UE粒度和网络数据分析粒度(或者分析子集粒度)的授权方法。例如，在表11所示的场景下，AF或NEF可以以网络数据分析粒度(或者分析子集粒度)的授权方法获取SUPI1、SUPI2和SUPI3的授权信息，同时以UE粒度的授权方法获取SUPI4的授权信息。

基于上述内容，本示例提供了UE粒度和网络数据分析粒度(或者分析子集粒度)相结合的授权方案，在该方案中，由AF进行授权检查。

图12是本申请提供的授权方法1200的示意性流程图。

在本示例中，UDR中预配置了UE粒度的授权信息和网络数据分析粒度(或者分析子集粒度)的授权信息。UDR中配置的授权信息的格式与具体实现有关，本申请对于UDR中的授权信息的格式不做具体限定，只要可以同时实现UE粒度和网络数据分析粒度(或者分析子集粒度)的检索即可。UDR中的授权信息可以只有一种存储格式，或者可以有2种或多种数据存储格式。

步骤1201，当由AF进行授权检查时，AF识别第一类UE。

其中，第一类UE可以为请求相同的N个分析标识(或者分析子集)的M个UE，N和N为正整数。这里第一类UE可以为一组或多组。

可选地，N<＝M。

例如，在表11所示的场景下，当SUPI1、SUPI2、SUPI3和SUPI4分别向网络请求如表11所述分析标识时，AF根据SUPI1、SUPI2、SUPI3和SUPI4的请求，识别出第一类UE为{SUPI1，SUPI2，SUPI3}，AF对第一类UE的请求进行整合，并从UDR获取网络数据分析粒度的授权信息；对于SUPI4，因为其请求的网络数据的标识与SUPI1、SUPI2和SUPI3不同，无法划分为第一类UE，因此AF从UDR获取UE粒度的授权信息。

步骤1202，AF从UDR获取网络数据分析粒度(或者分析子集粒度)的授权信息和UE粒度的授权信息。

具体地，步骤1202可以包括步骤1202a和步骤1202b。

步骤1202a，对第一类UE，AF根据分析标识(或分析标识+分析子集的标识)从UDR检索获取网络数据分析粒度(或者分析子集粒度)的授权信息。

检索的具体实现方式可以参考示例1至示例4，这里不再详述。

例如，AF可以直接或通过NEF从UDR获取网络数据分析粒度(或分析子集粒度)的授权信息，并根据获取到的网络数据分析粒度(或分析子集粒度)的授权信息，确定第一类UE的授权检查结果。

需要说明的是，示例5的场景下，还可以由UDR确定授权检查结果。在此情况下，AF向UDR提供UE标识列表、UE组标识列表或UE类型列表，并从UDR获取授权检查结果。AF可以直接或通过NEF向UDR发送UE标识列表、UE组标识列表或UE类型列表，同理，AF可以直接或通过NEF从UDR获取授权检查结果。

步骤1202b，对于第一类UE以外的UE，AF根据UE标识从UDR检索获取UE粒度的授权信息。

检索的具体实现方式可以参考上文的图3或图4，这里不再详述。

步骤1203，AF根据获取到的网络数据分析粒度(或者分析子集粒度)的授权信息和UE粒度的授权信息，进行授权检查，得到授权检查结果。

授权检查的具体实现方式可以参考上文，在此不再详述。

步骤1204，对于被授权获取分析标识(或分析标识的分析子集)的UE、UE组或UE类型，AF代替这些UE向NWDAF订阅相关网络数据分析(或分析子集)。

这样，在本示例中，在UDR中预配置UE粒度的授权信息和网络数据分析粒度(或者分析子集粒度)的授权信息，当多个UE同时请求多个不同的分析标识(或不同分析子集)时，可以根据UE请求的分析标识(或分析子集)是否相同对UE的请求进行区分和整合，相比于只使用UE粒度的授权方法或者只使用网络数据分析粒度(或者分析子集粒度)的授权方法，信息开放授权效率均有提升。

示例6

针对示例5中涉及的场景，本示例提供了另一种UE粒度和网络数据分析粒度(或者分析子集粒度)相结合的授权方案，在该方案中，由NEF进行授权检查。

图13是本申请提供的授权方法1300的示意性流程图。

步骤1301，AF通过订阅消息#1向NEF发出授权检查(AuthorizationCheck)。订阅消息#1可以对应于上文的第五消息。

一种可能的实现方式，AF可以通过Nnef_AuthorizationCheck_Subscribe list of<UE ID,list of Analytics ID>)服务操作向NEF发出授权检查，即订阅消息#1可以为Nnef_AuthorizationCheck_Subscribe，消息中可以携带每个UE的标识、以及每个UE请求的数据分析结果的分析标识。

步骤1302，当由NEF进行授权检查时，NEF识别第一类UE。

可选地，N<＝M。

NEF识别第一类UE的方式与AF类似，可以参考步骤1201中的描述，在此不再详述。

步骤1303，NEF获取授权检查结果。

具体地，步骤1303可以包括步骤1303a和步骤1303b。

步骤1303a，对第一类UE，NEF采用网络数据分析粒度(或分析子集粒度)的授权方法获取授权。

网络数据分析粒度(或分析子集粒度)的授权方法可以参考示例1和示例3，这里不再详述。

步骤1303b，对于第一类UE以外的UE，NEF采用UE粒度的授权方法获取授权。

UE粒度的授权方法可以参考上文的图3或图4，这里不再详述。

步骤1304，NEF根据获取到的网络数据分析粒度(或者分析子集粒度)的授权信息和UE粒度的授权信息，进行授权检查，得到授权检查结果。

授权检查的具体实现方式可以参考上文，在此不再详述。

步骤1305，NEF通过通知消息#1向AF通知授权检查结果。通知消息#1可以对应于上文的第六消息。

步骤1306，对于被授权获取分析标识(或分析子集)的UE、UE组或UE类型，AF代替这些UE向NWDAF订阅相关分析标识(或分析子集)。

这样，在本示例中，在UDR中预配置UE粒度的授权信息和网络数据分析粒度(或者分析子集粒度)的授权信息，当多个UE同时请求多个不同的分析标识(或分析子集)时，可以根据UE请求的分析标识(或分析子集)是否相同对UE的请求进行区分和整合，相比于只使用UE粒度的授权方法或者只使用网络数据分析粒度(或者分析子集粒度)的授权方法，信息开放授权效率均有提升。

本申请还提供了另外一种授权方法，为了便于理解本申请的授权方法，首先对现有的UE粒度的授权方法进行介绍。

图14是UE粒度的授权方法的示意性流程图。图14所示的方法为用户面方案。该方法以UE获取网络数据分析为例，该方法同样可以适用于UE获取网络事件。

步骤1，UE通过应用层消息(如超文本传输协议(hyper text transfer protocol，HTTP)信令(HTTP signalling))向DCAF发出分析订阅请求。

需要指出的是，这里以数据收集AF(data collection AF，DCAF)为例，同样可以适用于其它AF。

步骤2-3：DCAF根据UE请求的分析标识，从NRF检索支持提供相应数据分析结果的NWDAF。

具体地，DCAF向NRF发送Nnrf_NFDiscovery_request，Nnrf_NFDiscovery_request中携带有UE请求的分析标识；NRF向DCAF发送Nnrf_NFDiscovery_response，Nnrf_NFDiscovery_response携带有支持提供相应数据分析结果的NWDAF的标识。

步骤4：DCAF根据UE的应用层IP地址检索UE ID，即GPSI或SUPI。

步骤5：DCAF将它的NF概要(NF profile)以及UE ID注册到NRF。

具体地，DCAF向NRF发送Nnrf_NFmanagement_NFRegister_request；NRF向DCAF发送Nnrf_NFmanagement_NFRegister_response。

步骤6a：DCAF向NWDAF订阅NWDAF的数据分析结果。

具体地，DCAF向NWDAF发送Nnwdaf_AnalyticsSubscription_Subscribe，其中，Nnwdaf_AnalyticsSubscription_Subscribe中包含一个或多个UE请求获取的分析标识；NWDAF接收到DCAF的Nnwdaf_AnalyticsSubscription_Subscribe后，根据UE ID从UDM检索网络授权(network consent)信息，即网络是否授权UE获取特定的分析标识的信息；NWDAF根据网络授权信息，确定是否生成相应的数据分析结果。

步骤6b：如果DCAF是网络不可信的第三方AF，那么DCAF通过NEF订阅NWDAF的数据分析结果；NEF接收到DCAF的订阅请求后，根据UE ID从UDM检索网络授权信息。对于网络允许UE获取的分析标识，NEF向NWDAF订阅相应的数据分析结果。

步骤7：NWDAF在收集UE数据之前，需要从UDM检索用户授权信息，即用户是否允许网络收集和使用他的网络信息或数据。

步骤8：NWDAF收集相应的网络数据(包括UE相关的网络数据和非UE相关的网络数据)，并推导数据分析结果。

步骤9a：对应步骤6a，NWDAF将数据分析结果发给DCAF。

步骤9b：对应步骤6b，NWDAF将数据分析结果通过NEF发给DCAF。

步骤10：DCAF将分析结果通过应用层消息(如HTTP信令)发给UE。

由图13可知，DCAF向NWDAF或者NEF发送订阅消息时使用的是现有服务操作，即Nnwdaf_AnalyticsSubscription_Subscribe或者Nnef_AnalyticsExposure_Subscribe，这些现有的服务操作是用于分析订阅的，并没有指示NWDAF或者NEF执行网络授权检查的作用，并且DCAF也没有在订阅消息中携带特殊的指示信息，NWDAF或者NEF实际上无法知道需要执行网络授权检查，因此实际上现有技术是无法正常执行网络授权检查流程的。

针对上述问题，本申请提供了一种授权方法，能够让第一网络设备(如NWDAF或NEF)或数据存储网元(如UDM或UDR)获知需要执行网络授权检查，从而完成网络授权检查流程。

图15是本申请提供的授权方法1500的示意性流程图。

需要说明的是，图15中的第十七消息、第十八消息、第十九消息、第二十消息、第三终端、第四终端分别可以对应于消息A、消息B、消息C、消息D、终端A、终端B。还需要说明的是，图15中各种数字编号仅为描述方便进行的区分，实际上第十七消息、第十八消息、第十九消息、第二十消息、第三终端、第四终端也可以编为第一消息、第二消息、第三消息、第四消息、第一终端、第二终端。

方法1500可以由第一网络设备、第二网络设备、数据分析网元和数据存储网元执行，也可以由第一网络设备、第二网络设备和数据存储网元中的模块或单元执行，为了描述方便，下文均称为第一网络设备、第二网络设备和数据存储网元。

在本申请中，第一网络设备可以为NWDAF，第二网络设备可以为AF(如AF是网络信任的AF时)或NEF；或者，第一网络设备可以为NEF，第二网络设备可以为AF。数据存储网元可以为核心网中具备数据存储功能的网元，例如，数据存储网元可以为UDR或者UDM。

方法1500包括以下内容的至少部分内容。

步骤1501，第二网络设备向第一网络设备发送第十七消息，或者说，第一网络设备接收来自第二网络设备的第十七消息。

可选地，当第一网络设备为NWDAF，第二网络设备为AF或NEF时，第十七消息可以为Nnwdaf_AnalyticsSubscription_Subscribe。

可选地，当第一网络设备为NEF，第二网络设备为AF时，第十七消息可以为Nnef_AnalyticsExposure_Subscribe。

其中，第十七消息用于订阅至少一个第三终端请求的网络数据，第十七消息包括至少一个第三终端请求的网络数据的标识。网络数据、以及网络数据的标识的描述可以参考上文第一网络数据的相关描述(如步骤501中的描述)，在此不再赘述。

需要说明的是，当第十七消息用于订阅多个第三终端请求的网络数据时，多个第三终端请求的网络数据可以相同，也可以不同。

在方法1500中，第十七消息还可以包括第一指示信息和/或至少一个第三终端的信息，用以指示检查第三终端是否被授权获取第三终端请求的网络数据。

作为一个示例，第十七消息携带第一指示信息，第一指示信息指示检查第三终端是否被授权获取第三终端请求的网络数据。即第二网络设备通过第一指示信息显示地指示检查第三终端是否被授权获取第三终端请求的网络数据。

可选地，第一指示信息可以为一个indicator或indication。

例如，第一指示信息为只有一个取值的1比特(bit)值。当第十七消息携带该比特时，表明需要检查第三终端是否被授权获取第三终端请求的网络数据；当第十七消息不携带该比特时，表明不需要检查第三终端是否被授权获取第三终端请求的网络数据。当然，另一种方式也可以是：当第十七消息携带该比特时，表明不需要检查第三终端是否被授权获取第三终端请求的网络数据；当第十七消息不携带该比特时，表明需要检查第三终端是否被授权获取第三终端请求的网络数据。

又例如，第一指示信息为可以取不同值的1bit值(如取值为“1”，或者取值为“0”)。当第十七消息不携带该比特时，或当第十七消息携带该比特且该比特取值为“0”时，表明不需要检查第三终端是否被授权获取第三终端请求的网络数据；当第十七消息携带该比特且该比特取值为“1”时，表明需要检查第三终端是否被授权获取第三终端请求的网络数据。当然，另一种方式也可以是：当第十七消息不携带该比特时，或当第十七消息携带该比特且该比特取值为“1”时，表明不需要检查第三终端是否被授权获取第三终端请求的网络数据；当第十七消息携带该比特且该比特取值为“0”时，表明需要检查第三终端是否被授权获取第三终端请求的网络数据。

作为另一个示例，第十七消息携带至少一个第三终端的信息，通过至少一个第三终端的信息间接指示检查第三终端是否被授权获取第三终端请求的网络数据。

例如，当第十七消息中携带至少一个第三终端的信息时，第一网络设备可以根据该至少一个第三终端的信息获知网络数据需要开放给终端，从而获知需要检查第三终端是否被授权获取第三终端请求的网络数据。当第十七消息中未携带至少一个第三终端的信息时，第一网络设备可以获知不需要检查第三终端是否被授权获取第三终端请求的网络数据。

上述至少一个第三终端的信息可以有多种形式，不予限制。

可选地，至少一个第三终端的信息可以包括以下信息中的至少一个：至少一个第三终端的标识、至少一个第三终端对应的终端组的标识、或至少一个第三终端对应的终端类型。

例如，当一个第三终端请求网络数据时，至少一个第三终端的信息可以为该第三终端的UE ID。

又例如，当多个第三终端同时请求某个网络数据时，至少一个第三终端的信息可以为该多个第三终端的UE ID(即UE ID列表)，也可以为该多个第三终端同属的终端组的标识，也可以为该多个第三终端同属的终端类型。

又例如，当多个第三终端同时请求网络数据，但不同第三终端请求不同的网络数据时，至少一个第三终端的信息可以为该多个第三终端的UE ID(即UE ID列表)。

作为又一个示例，第十七消息中携带第一指示信息和至少一个第三终端的信息，从而指示检查第三终端是否被授权获取第三终端请求的网络数据。

需要说明的是，当第十七消息用于订阅多个第三终端请求的网络数据时，“第三终端是否被授权获取第三终端请求的网络数据”应理解为：第三终端是否被授权获取其请求的网络数据。例如，假设终端#1请求获取分析标识#1，终端#2请求获取分析标识#2，这样检查的是终端#1是否别授权获取分析标识#1、以及终端#2是否被授权获取分析标识#2。

步骤1502，第一网络设备根据第十七消息，向数据存储网元发送第十八消息，或者说，数据存储网元接收来自第一网络设备的第十八消息。

可选地，当第一网络设备为NWDAF或NEF，数据存储网元为UDM时，第十八消息可以为Nudm_SDM_Subscribe。

可选地，当第一网络设备为NWDAF或NEF，数据存储网元为UDM时，第十八消息可以为 Nudr_DM_Subscribe。

其中，第十八消息用于获取第五授权信息，第五授权信息用于确定第三终端是否被授权获取第三终端请求的网络数据。

具体地，第一网络设备根据第十七消息中的第一指示信息和/或至少一个第三终端的信息，确定需要检查第三终端是否被授权获取第三终端请求的网络数据，从而向数据存储网元发送第十八消息。

在方法1500中，第十八消息可以携带至少一个第三终端的信息和/或至少一个第三终端请求的网络数据的标识。

当第十八消息可以携带至少一个第三终端的信息时，可以理解为第一网络设备以至少一个第三终端的信息从数据存储网元检索网络授权信息。例如，当第十八消息携带至少一个第三终端的标识时，第一网络设备以终端标识为粒度从数据存储网元检索网络授权信息。又例如，当第十八消息携带至少一个第三终端的标识对应的终端组的标识时，第一网络设备以终端组标识为粒度从数据存储网元检索网络授权信息。又例如，当第十八消息携带至少一个第三终端对应的终端类型时，第一网络设备以终端类型为粒度从数据存储网元检索网络授权信息。

当第十八消息可以携带至少一个第三终端请求的网络数据的标识，可以理解为第一网络设备以至少一个第三终端请求的网络数据的标识从数据存储网元检索网络授权信息。

当第十八消息可以携带至少一个第三终端的信息和至少一个第三终端请求的网络数据的标识，可以理解为由数据存储网元根据至少一个第三终端的信息和至少一个第三终端请求的网络数据的标识确定第三终端是否被授权获取第三终端请求的网络数据，即由数据存储网元进行网络授权检查。

在此情况下，可选地，第十八消息还可以携带第二指示信息，第二指示信息用于指示检查第三终端是否被授权获取第三终端请求的网络数据。第二指示信息的实现方式可以参考第一指示信息的实现方式，不再详述。

需要指出的是，第二指示信息与第一指示信息可以相同，也可以不同。

还需要指出的是，第十八消息中携带的至少一个第三终端的信息与第十七消息中携带的至少一个第三终端的信息可以相同，也可以不同。

例如，如果第十七消息携带了多个第三终端的标识、多个第三终端同属的终端组的标识、或多个第三终端同属的终端类型，那么第十八消息也可以携带多个第三终端的标识、多个第三终端同属的终端组的标识、或多个第三终端同属的终端类型。

又例如，如果第十七消息携带了多个第三终端的标识、多个第三终端同属的终端组的标识、或多个第三终端同属的终端类型，那么第一网络设备可以针对多个第三终端的标识、多个第三终端同属的终端组的标识、或多个第三终端同属的终端类型对应的每一个第三终端，以终端标识的方式从数据存储网元中检索网络授权信息，即如果有N个第三终端，那么第一网络设备可以向数据存储网元获取N次网络授权信息。

又例如，如果第十七消息携带了一个终端标识，没有携带终端组的标识或终端类型，那么第一网络设备可以以终端标识的方式从数据存储网元获取网络授权信息。

又例如，当第一网络设备接收到多个携带终端标识的第十七消息时，第一网络设备可以对这多个第十七消息中的终端标识进行整合，从而在十八消息中携带多个第三终端的标识、多个第三终端同属的终端组的标识、或多个第三终端同属的终端类型。

步骤1503，数据存储网元向第一网络设备发送第十九消息，或者说，第一网络设备接收来自数据存储网元的第十九消息。

可选地，当第一网络设备为NWDAF或NEF，数据存储网元为UDM时，第十九消息可以为Nudm_SDM_Notification。

可选地，当第一网络设备为NWDAF或NEF，数据存储网元为UDM时，第十九消息可以为Nudr_DM_Notify。

其中，第十九消息包括第五授权信息，第五授权信息用于确定第三终端是否被授权获取第三终端请求的网络数据。

具体地，在接收到第十八消息后，数据存储网元根据第十八消息中携带的至少一个第三终端的信息和/或至少一个第三终端请求的网络数据的标识，获取第五授权信息，并通过第十九消息向第一网络设备发送第五授权信息。

作为一个示例，当第十八消息携带至少一个第三终端的信息时，数据存储网元根据至少一个第三终端的信息，检索得到第五授权信息，并通过第十九消息向第一网络设备发送第五授权信息。例如，当第十八消息携带至少一个第三终端的标识时，数据存储网元针对至少一个第三终端的标识中的每个标识，检索得到第五授权信息，并通过第十九消息向第一网络设备发送第五授权信息，其中，第五授权信息包括至少一个第三终端中每个第三终端被授权或未被授权获取的网络数据的标识。又例如，当第十八消息携带至少一个第三终端的标识对应的终端组的标识时，数据存储网元针对该终端组的标识，检索得到第五授权信息，并通过第十九消息向第一网络设备发送第五授权信息，其中，第五授权信息包括该终端组被授权或未被授权获取的网络数据的标识。又例如，当第十八消息携带至少一个第三终端对应的终端类型时，数据存储网元以终端类型为粒度，检索得到第五授权信息，并通过第十九消息向第一网络设备发送第五授权信息，其中，第五授权信息包括该终端类型被授权或未被授权获取的网络数据的标识。

作为另一个示例，当第十八消息携带至少一个第三终端请求的网络数据的标识时，数据存储网元针对至少一个第三终端请求的网络数据的标识中的每个标识，检索得到第五授权信息，并通过第十九消息向第一网络设备发送第五授权信息，其中，第五授权信息包括被授权或未被授权获取至少一个第三终端请求的网络数据的标识的终端的信息。这里的终端的信息可以为终端标识、终端组标识或终端类型，不予限制。

作为又一个示例，当第十八消息携带至少一个第三终端的信息和至少一个第三终端请求的网络数据的标识时，数据存储网元根据至少一个第三终端的信息和至少一个第三终端请求的网络数据的标识，确定至少一个第三终端中的每个第三终端是否被授权获取其请求的网络数据，并通过第十九消息向第一网络设备发送第五授权信息，其中，第五授权信息用于指示第三终端是否被授权获取其请求的网络数据。

作为再一个示例，当第十八消息携带至少一个第三终端的信息、至少一个第三终端请求的网络数据的标识、以及第二指示信息时，数据存储网元根据第二指示信息获知需要检查第三终端是否被授权获取第三终端请求的网络数据，进而数据存储网元根据至少一个第三终端的信息和至少一个第三终端请求的网络数据的标识，确定至少一个第三终端中的每个第三终端是否被授权获取其请求的网络数据，并通过第十九消息向第一网络设备发送第五授权信息，其中，第五授权信息用于指示第三终端是否被授权获取其请求的网络数据。

需要说明的是，上述第一网络设备以至少一个第三终端请求的网络数据的标识从数据存储网元检索网络授权信息的具体实现方式可以参考上文图5中的网络设备1以第一网络数据的标识从数据存储网元检索授权信息的方式，上述由数据存储网元进行网络授权检查的具体实现方式可以参考上文图7中的数据存储网元进行网络授权检查的具体实现方式，在此不再赘述。

可选地，在本申请的上述实施例的另一种场景中，当第一网络设备为NWDAF，第二网络设备可以为AF或NEF时，在步骤1503之后，方法1500还包括：NWDAF根据第五授权信息，为被授权获取请求的网络数据的第三终端生成相应的网络数据。

可选地，在本申请的上述实施例的另一种场景中，当第一网络设备为NEF，第二网络设备可以为AF时，在步骤1503之后，方法1500还包括：NEF根据第五授权信息，向数据分析网元发送第二十消息，或者说，数据分析网元接收来自NEF的第二十消息，其中第二十消息用于订阅至少一个第三终端被授权获取的网络数据，且第二十消息包括第三指示信息，第三指示信息用于指示数据分析网元不检查第三终端是否被授权获取第三终端请求的网络数据。即当由NEF进行网络授权检查时，NEF在向数据分析网元订阅网络数据时同时指示数据分析网元不执行网络授权检查。

可选地，第二十消息可以为Nnwdaf_AnalyticsSubscription_Subscribe。

可选地，当第十八消息携带至少一个第三终端的信息或至少一个第三终端请求的网络数据的标识时，在NWDAF根据第五授权信息为被授权获取请求的网络数据的第三终端生成相应的网络数据之前，或者在NEF根据第五授权信息向数据分析网元发送第二十消息之前，方法1500还包括：第一网络设备根据第五授权信息，确定第三终端是否被授权获取第三终端请求的网络数据。换句话说，在第一网络设备接收到第五授权信息后，第一网络设备根据第五授权信息进行网络授权检查，即由第一网络设备进行网络授权检查。

可选地，在本申请的上述实施例的另一种场景中，当第一网络设备为NWDAF，第二网络设备可以为NEF时，在步骤1501之前，方法1500还包括：AF向NEF发送第二十一消息，或者说，NEF接收来自AF的第二十一消息，其中第二十一消息用于订阅至少一个第三终端请求的网络数据，第二十一消息包括至少一个第三终端请求的网络数据的标识和至少一个第三终端的信息；NEF根据第二十一消息中的至少一个第三终端的信息获知网络数据将开放给终端，从而确定需要检测第三终端是否被授权获取第三终端请求的网络数据，进而向NWDAF发送第十七消息。

可选地，第二十一消息可以为Nnef_AnalyticsExposure_Subscribe。

可选地，在本申请的上述实施例的另一种场景中，第十七消息还包括第二信息，第二信息用于确定在生成至少一个第三终端请求的网络数据时的待分析终端，方法1500还包括：第一网络设备确定第四终端是否授权网络收集和使用第四终端的网络信息，第四终端为待分析终端中除至少一个第三终端之外的终端。当一个终端获取网络数据时，包含一种隐藏含义，即该终端允许网络为了生成该终端所需的网络数据而收集和使用该终端的网络信息，基于此，在本申请实施例中，第一网络设备可以不对至少一个第三终端进行用户授权检查，即第一网络设备不确定至少一个第三终端是否授权网络获取至少一个第三终端的网络信息，从而可以节省用户授权检查的流程。

需要指出的是，在本申请中，可以由NEF或NWDAF执行用户授权检查。一种方式中，NEF和NWDAF根据本地策略确定是否执行用户授权检查，即确定是否确定第四终端是否授权网络收集和使用第四终端的网络信息。例如，NEF的本地策略被配置为总是执行用户授权检查，NWDAF的本地策略被配置为总是不执行用户授权检查，在此情况下，由NEF执行用户授权检查。又例如，NEF的本地策略被配置为总是不执行用户授权检查，NWDAF的本地策略被配置为总是执行用户授权检查，在此情况下，由NWDAF执行用户授权检查。

需要说明的是，当有多个第三终端同时请求网路数据时，可以由AF对多个第三终端的请求进行整合得到上述终端标识列表、终端组标识、或终端类型，也可以NEF对多个第三终端的请求进行整合得到上述终端标识列表、终端组标识、或终端类型，还可以是NWDAF对多个第三终端的请求进行整合得到上述终端标识列表、终端组标识、或终端类型，不予限制。

这样，在方法1500中，第一网络设备可以根据第二网络设备的第十七消息确定需要检查第三终端是否被授权获取第三终端请求的网络数据，从而向数据存储网元获取用于确定第三终端是否被授权获取第三终端请求的网络数据信息，从而实现网络授权检查。并且，第一网络设备可以不对至少一个第三终端进行用户授权检查，即第一网络设备不确定至少一个第三终端是否授权网络获取至少一个第三终端的网络信息，从而可以节省用户授权检查的流程。此外，当第一网络设备以终端组标识、终端标识列表、终端类型或网络数据的标识从数据存储网元检索网络授权信息时，可节省与数据存储网元之间的信令开销。

基于上述各实施例，AF与NWDAF、NEF与NWDAF、NWDAF与数据存储网元之间可以通过指示信息(如上文的第一指示信息、第二指示信息、第三指示信息)指示是否执行网络授权检查。在另一种方式中，NEF、NWDAF或数据存储网元根据本地策略确定是否执行用户授权检查。

下面结合具体的示例对方法1500进行详细描述。需要说明的是，以下示例均以网络数据为网络数据分析为例进行描述，但方案同样可以适用于网络数据分析的子集、网络事件或网络事件的子集。

示例7

图16是本申请提供的授权方法1600的示意性流程图。

步骤1601，UE通过应用层消息向AF发送请求消息#1，或者说，AF接收来自UE的请求消息#1。

其中，请求消息#1用于请求订阅NWDAF的分析结果。请求消息#1中可以携带一个或多个分析标识，也可以携带请求的分析信息或内容(如UE移动性分析(UE mobility analytics))。当请求消息#1携带请求的分析信息或内容时，可以由AF将UE请求的分析信息或内容映射为相应的分析标识，如Analytics ID＝UE mobility analytics。

一种可能的实现方式，请求消息#1可以为超文本传输协议(hyper text transfer protocol，HTTP)信令(HTTP signalling)。

步骤1602，AF检索能提供根据请求消息#1确定的分析标识对应的分析结果的NEDAF，即执行 NWDAF检索(NWDAF retrival)。

步骤1603，AF根据UE的应用层IP地址，检索UE ID，即执行UE ID检索(UE ID retrival)。

这里的UE ID可以为SUPI、SUCI、GPSI或PEI等。

步骤1604a，当AF是网络信任的AF(如运营商网络自身部署的AF)时，AF可以通过订阅消息#3向NWDAF订阅分析结果。

一种可能的实现方式，AF可以通过Nnwdaf_AnalyticsSubscription_Subscribe服务操作直接向NWDAF订阅分析结果，即订阅消息#3可以为Nnwdaf_AnalyticsSubscription_Subscribe。

订阅消息#3中可以包含以下参数的部分或全部：

1)分析标识(analytics ID(s))：一个或多个分析标识，用于标识不同类型的网络数据分析。这里的分析标识为根据请求消息#1确定的分析标识。

2)分析过滤信息(analytics filter information)：如AOI，表示数据分析结果是针对AOI指定的一个特定区域的。

3)分析报告的目标(target of analytics reporting)：NWDAF生成的数据分析结果主要针对UE。例如，分析报告的目标可以是一个单独的UE(a single UE(SUPI))，或者是一组UE(a group of UEs(an internal group ID))，或者是任意UE(“any UE”)。

例如，当analytics filter information＝AOI，且target of analytics reporting＝“any UE”时，表示NWDAF会收集AOI内所有UE的数据，并根据这些数据生成相应的数据分析结果。

4)网络授权指示(network authorization indication)#1：必选参数，NWDAF可以根据该指示执行网络授权检查(network consent check)。其中，通过网络授权检查可以获取网络是否授权UE获取特定的分析标识或者特定的分析子集的数据分析结果。

网络授权指示#1的具体实现有多种方式，例如可以为下面两种的其中之一。

A、网络授权指示#1为只有一个取值的1比特(bit)值(如取值为“1”)。

当AF携带该指示时，NWDAF会执行网络授权检查；当AF不携带该指示时，NWDAF不执行网络授权检查。或者，当AF携带该指示时，NWDAF不执行网络授权检查；当AF不携带该指示时，NWDAF执行网络授权检查。

B、网络授权指示#1为可以取不同值的1bit值(如取值为“1”，或者取值为“0”)。

当AF不携带该指示时，NWDAF不会执行网络授权检查。当AF携带该指示且该指示取值为“1”时，NWDAF会执行网络授权检查，当AF携带该指示且该指示取值为“0”时，NWDAF不会执行网络授权检查；或者当AF携带该指示且该指示取值为“1”时，NWDAF不会执行网络授权检查，当AF携带该指示且该指示取值为“0”时，NWDAF会执行网络授权检查。

5)UE标识(UE ID)、UE组标识(UE group ID)或UE标识列表(UE ID list)中的至少一个：用以指示分析标识对应的数据分析结果是开放给这些UE的。

例如，当某个UE请求分析标识时，AF可以为该UE发送订阅消息#3，订阅消息#3中携带该UE的UE ID，用以指示分析标识对应的数据分析结果最终是开放给该UE的。

又例如，当多个UE同时请求相同的分析标识时，AF可以在订阅消息#3中携带这多个UE的UE组标识和/或UE标识列表，用以指示分析标识对应的数据分析结果最终是开放给这多个UE的。当然，AF也可以针对这多个UE中的每一个分别发送订阅消息#3，订阅消息#3中携带相应的UE ID。

可以理解为UE ID为必选参数，UE组标识或UE标识列表为可选参数。

1605a，NWDAF根据订阅消息#3中的网络授权指示#1，确定在收集网络数据生成分析结果之前先执行网络授权检查，NWDAF通过订阅消息#4向UDM获取网络授权(nework consent)信息。

其中，订阅消息#4中可以包含UE ID、UE组标识或UE标识列表中的至少一个。

一种可能的实现方式，NWDAF使用Nudm_SDM_Subscribe服务操作向UDM订阅网络授权信息，即订阅消息#4为Nudm_SDM_Subscribe。

例如，如果步骤1604a中AF的订阅消息#3中包含了UE组标识和/或UE标识列表，那么NWDAF可以在发给UDM的订阅消息#4中携带UE组标识或UE标识列表。

又例如，如果步骤1604a中AF的订阅消息#3中包含了UE组标识或UE标识列表，那么NWDAF可以针对UE组标识或UE标识列表中的每一个UE，以UE ID的方式从UDM中检索网络授权信息(即如果有N个UE，NWDAF可以向UDM订阅N次)。

又例如，如果步骤1604a中AF的订阅消息#3中包含UE ID，没有包含UE组标识或UE标识列表，那么NWDAF可以以UE ID的方式从UDM中检索网络授权信息。

又例如，如果步骤1604a中AF的订阅消息#3中包含UE ID，没有包含UE组标识或UE标识列表，当NWDAF接收到AF的多个订阅消息#3时，NWDAF可以将这多个订阅消息#3中的UE ID整合为UE组标识或UE标识列表，然后NWDAF可以在发给UDM的订阅消息#4中携带UE组标识或UE标识列表，即用一条订阅消息#4同时订阅多个UE的网络授权信息。

可选地，上述网络授权信息为授权或未授权UE ID、UE组标识或UE标识列表对应的UE获取的分析标识。

步骤1606a，UDM根据来自NWDAF的订阅请求#4，检索网络授权信息，并将检索到的网络授权信息通过通知消息#4发送给NWDAF。

一种可能的实现方式，UDM使用Nudm_SDM_Notification服务操作向NWDAF通知检索到的网络授权信息，即通知消息#4为Nudm_SDM_Notification。

本申请对于UDM中保存的网络授权信息的格式不作限制，只要支持查找定于请求#4携带的UE ID、UE组标识或UE标识列表对应的网络授权信息即可。

例如，UDM中保存的网络授权信息的格式可以是表13所示的格式。

表13 UDM中保存的网络授权信息格式

如果来自NWDAF的订阅消息#4中携带的是UE ID，那么UDM根据UE ID检索该UE ID对应的网络授权信息，即该UE ID对应的UE被授权获取的分析标识。

如果来自NWDAF的订阅消息#4中携带的是UE组标识，那么UDM根据UE组标识检索网络授权信息，

如果来自NWDAF的订阅消息#4中携带的是UE标识列表，那么UDM依次根据UE标识列表中的每个UE ID检索该UE ID对应的网络授权信息。

这样，在NWDAF接收到通知消息#4后，NWDAF可以根据通知消息#4中的网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识，进而判断是否继续生成分析标识对应的数据分析结果。如果UE请求的分析标识没有被网络授权，则NWDAF不会为该UE生成该分析标识对应的数据分析结果。

在收集网络数据生成数据分析结果之前，NWDAF还需执行用户授权检查(user consent check)，即检查UE是否授权NWDAF收集和使用它的信息或数据。此时NWDAF可以执行步骤1607a。

步骤1607a，NWDAF确定待执行用户授权检查的UE。

其中，待执行用户授权检查的UE不包括步骤1604a中UE ID、UE组标识或UE标识列表对应的UE。

具体地，NWDAF可以根据步骤1604a中的网络授权指示#1和UE ID、UE组标识或UE标识列表，确定不需要对UE ID、UE组标识或UE标识列表对应的UE执行用户授权检查。因为UE ID、UE组标识或UE标识列表对应的UE是主动向NWDAF请求获取数据分析结果的，所以可以默认这些UE都允许NWDAF收集和使用它的信息或数据以生成相应的数据分析结果。即NWDAF只需要对分析报告的目标中除UE ID、UE组标识或UE标识列表对应的UE之外的其它UE执行用户授权检查即可。

在步骤1604a～1607a中，AF直接与向NWDAF订阅分析结果，并且由NWDAF从UDM获取网络授权信息，进而NWDAF根据网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识。

步骤1604b，当AF是网络不信任的AF(如第三方AF)时，AF向NEF发送订阅消息#5，或者说，NEF接收来自AF的订阅消息#5。

一种可能的实现方式，AF可以通过Nnef_AnalyticsExposure_Subscribe服务操作向NEF发送订阅消息#5，即订阅消息#5可以为Nnef_AnalyticsExposure_Subscribe。

订阅消息#5中可以包含以下参数的部分或全部：

1)分析标识；

2)分析过滤信息；

3)分析报告的目标；

4)UE标识、UE组标识或UE标识列表中的至少一个。

这些参数的含义与步骤1604a中相同，可以参考步骤1604a。

步骤1605b，在接收到AF的订阅消息#5之后，NEF向NWDAF发送订阅消息#6，或者说，NWDAF接收NEF的订阅消息#6。

其中，订阅消息#6用于向NWDAF订阅数据分析结果。

一种可能的实现方式，NEF可以使用Nnwdaf_AnalyticsSubscription_Subscribe服务操作向NWDAF订阅数据分析结果，即订阅消息#6可以为Nnwdaf_AnalyticsSubscription_Subscribe。

订阅消息#6包括的参数与步骤1604中的订阅消息#3中包括的参数相同，具体地，可以包括的部分或全部：

1)分析标识；

2)分析过滤信息；

3)分析报告的目标；

4)网络授权指示#1；

5)UE标识、UE组标识或UE标识列表中的至少一个。

这些参数的含义与步骤1604a中相同，可以参考步骤1604a。

对于其中的网络授权指示#1，NEF可以根据步骤1604b中订阅消息#5中的UE标识、UE组标识或UE标识列表，确定数据分析结果最后是发给UE的，因此在步骤1605b的订阅消息#6中携带网络授权指示#1，以指示NWDAF执行网络授权检查。

可选地，如果NEF根据本地策略确定需要执行用户授权检查，那么NEF还可以执行用户授权检查。例如，NEF根据订阅消息#5、以及订阅消息#5中的分析报告的目标参数，发现NWDAF需要收集和使用分析报告的目标中标识的UE的网络数据或信息，此时NEF确定要执行用户授权检查。

在执行用户授权检查时，NEF可以根据UE ID、UE组标识或UE标识列表确定数据分析结果最终是要开放给UE ID、UE组标识或UE标识列表对应UE的，因此可以默认这些UE都允许NWDAF收集和使用它的信息或数据以生成相应的数据分析结果。即NEF只需要对分析报告的目标中除UE ID、UE组标识或UE标识列表对应的UE之外的其它UE执行用户授权检查即可，而无需针对UE ID、UE组标识或UE标识列表对应的UE执行用户授权检查。

可选地，在NEF执行用户授权检查后，NEF可以向NWDAF提供通过授权检查的UE的信息，即授权NWDAF或网络获取数据或信息的UE的信息。例如，NEF可以通过订阅消息#6向NWDAF提供通过授权检查的UE的信息。

步骤1606b，根据订阅消息#6中的网络授权指示#1，确定在收集网络数据生成分析结果之前先执行网络授权检查，NWDAF通过订阅消息#4向UDM获取网络授权(nework consent)信息。

步骤1607b，UDM根据来自NWDAF的订阅请求#4，检索网络授权信息，并将检索到的网络授权信息通过通知消息#4发送给NWDAF。

步骤1606b和步骤1607b的详细描述可以参考步骤1605a和步骤1606a，在此不再赘述。

步骤1608b，NWDAF根据本地策略确定是否执行用户授权检查，并在确定执行用户授权检查时进一步确定待执行用户授权检查的UE。

作为一个示例，当NWDAF的本地策略被配置了总是执行用户授权检查时，NWDAF可以根据本地策略总是执行用户授权检查。同样，NWDAF可以根据UE ID、UE组标识或UE标识列表确定数据分析结果最终是要开放给UE ID、UE组标识或UE标识列表对应UE的，因此可以默认这些UE都允许NWDAF收集和使用它的信息或数据以生成相应的数据分析结果，这样NWDAF只需要对分析报告的目标中除UE ID、UE组标识或UE标识列表对应的UE之外的其它UE执行用户授权检查即可，而无需针对UE ID、UE组标识或UE标识列表对应的UE执行用户授权检查，即待执行用户授权检查的UE不包括UE ID、UE组标识或UE标识列表对应的UE。

作为另一个示例，当NWDAF的本地策略被配置了总是不执行用户授权检查时，NWDAF可以根据本地策略总是不执行用户授权检查，此时，若需要进行用户授权检查，则用户授权检查可以由NEF执行。例如，当NEF的本地策略被配置了总是执行用户授权检查时，NWDAF的本地策略可以被配置为总是不执行用户授权检查，NEF和NWDAF的本地策略由运营商统一做配置。

作为又一个示例，NWDAF可以根据来自NEF的订阅消息#6中是否携带某个或某些参数，确定是否执行用户授权检查。这里的某个或某些参数可以指示NWDAF具体获取哪些UE的网络信息或数据。

例如，如果NEF的订阅消息#6中有分析报告的目标参数，并且该参数中包含了一个或多个UE或者一组UE的信息，这时说明NEF已经针对这些UE执行了用户授权检查，那么NWDAF可以不执行用户授权检查。如果NEF的订阅消息#6中没有参数能够指示具体要获取哪些UE的网络信息或数据(如订阅消息#6中只包含了AOI和期望获取信息或数据的UE数量(目的是让NWDAF在AOI内检索一些UE))，这时说明NEF没有执行过用户授权检查，那么NWDAF执行用户授权检查，同理待执行用户授权检查的UE不包括UE ID、UE组标识或UE标识列表对应的UE。

在步骤1604b～步骤1608b中，AF通过NEF向NWDAF订阅分析结果，并且由NWDAF从UDM获取网络授权信息，进而NWDAF根据网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识。

步骤1604c，当AF是网络不信任的AF(如第三方AF)时，AF向NEF发送订阅消息#7，或者说，NEF接收来自AF的订阅消息#7。

一种可能的实现方式，AF可以通过Nnef_AnalyticsExposure_Subscribe服务操作向NEF发送订阅消息#7，即订阅消息#7可以为Nnef_AnalyticsExposure_Subscribe。

订阅消息#7中可以包含以下参数的部分或全部：

1)分析标识；

2)分析过滤信息；

3)分析报告的目标；

4)网络授权指示#1；

5)UE标识、UE组标识或UE标识列表中的至少一个。

这些参数的含义与步骤1604a中相同，可以参考步骤1604a。

与订阅消息#5不同的是，订阅消息#7中包括网络授权指示#1，以指示NEF执行网络授权检查。

步骤1605c，在接收到AF的订阅消息#7之后，NEF根据订阅消息#7中的网络授权指示#1，确定向NWDAF订阅数据分析结果之前先执行网络授权检查，NEF通过订阅消息#8向UDM获取网络授权信息。

其中，订阅消息#8中可以包含UE ID、UE组标识或UE标识列表中的至少一个。

一种可能的实现方式，NEF使用Nudm_SDM_Subscribe服务操作向UDM订阅网络授权信息，即订阅消息#8为Nudm_SDM_Subscribe。

步骤1605c与步骤1605a类似，可以参考步骤1605a，在此不再赘述。

步骤1606c，UDM根据来自NEF的订阅请求#8，检索网络授权信息，并将检索到的网络授权信息通过通知消息#8发送给NEF。

一种可能的实现方式，UDM使用Nudm_SDM_Notification服务操作向NEF通知检索到的网络授权信息，即通知消息#8为Nudm_SDM_Notification。

步骤1606c与步骤1606a类似，可以参考步骤1606a，在此不再赘述。

可选地，如果NEF根据本地策略确定需要执行用户授权检查，那么NEF还可以执行用户授权检查。例如，NEF根据订阅消息#7、以及订阅消息#7中的分析报告的目标参数，发现NWDAF需要收集和使用分析报告的目标中标识的UE的网络数据或信息，此时NEF确定要执行用户授权检查。

可选地，在NEF执行用户授权检查后，NEF可以向NWDAF提供通过授权检查的UE的信息，即授权NWDAF或网络获取数据或信息的UE的信息。例如，NEF可以通过订阅消息#9向NWDAF提供通过授权检查的UE的信息。

步骤1607c，在接收到UDM的网络授权信息之后，NEF根据网络授权信息确定每个UE被授权获取的分析标识(即进行授权检查)，然后向NWDAF发送订阅消息#9，或者说，NWDAF接收NEF的订阅消息#9。

其中，订阅消息#9用于向NWDAF订阅数据分析结果。

订阅消息#9可以包括以下参数的全部或部分：

1)分析标识；

2)分析过滤信息；

3)分析报告的目标；

4)网络授权指示#2；

5)UE标识、UE组标识或UE标识列表中的至少一个。

其中，网络授权指示#2为可选参数，用于指示NWDAF不执行网络授权检查。分析标识，分析过滤信息，分析报告的目标，以及UE标识、UE组标识或UE标识列表中的至少一个的含义与步骤1604a中相同，可以参考步骤1604a。

在接收到订阅消息#9后，根据订阅消息#9是否包含网络授权指示#2，NWDAF执行的操作包括以下两种情况。

情况1：如果NEF在订阅消息#9中没有携带网络授权指示#2，那么NWDAF可以根据本地策略决定是否执行网络授权检查。

作为一个示例，当NWDAF的本地策略被配置了总是执行网络授权检查时，NWDAF可以根据本地策略总是执行网络授权检查。

作为另一个示例，当NWDAF的本地策略被配置了总是执行网络授权检查时，NWDAF可以根据本地策略总是不执行网络授权检查。此时，若需要进行网络授权检查，则用户授权检查可以由NEF执行。

例如，当NEF被配置了总是执行网络授权检查时，NWDAF可以被配置为总是不执行网络授权检查，NEF和NWDAF的本地策略由运营商统一做配置。

作为又一个示例，NWDAF的本地策略指示NWDAF在接收到UE标识、UE组标识或UE标识列表中的至少一个时执行网络授权检查，否则就不执行网络授权检查。这时UE标识、UE组标识或UE标识列表均为可选参数。

情况2：如果NEF在订阅消息#9中携带了网络授权指示#2，那么NWDAF根据网络授权指示#2确定不执行网络授权检查。

步骤1608c，NWDAF根据本地策略确定是否执行用户授权检查，并在确定执行用户授权检查时进一步确定待执行用户授权检查的UE。

步骤1608c可以参考步骤1608b，在此不再赘述。

在步骤1604c～步骤1608c中，AF通过NEF向NWDAF订阅分析结果，并且由NEF从UDM获取网络授权信息，进而NEF根据网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识。

步骤1609，针对步骤1607a、1608b或1608c中确定的待执行用户授权检查的UE，NWDAF执行用户授权检查。

具体地，NWADF根据待执行用户授权检查的UE的UE ID、UE组标识或UE标识列表从UDM检索用户授权信息，其中用户授权信息用于指示UE ID、UE组标识或UE标识列表对应的UE是否授权NWDAF收集和使用它的信息或数据。

需要指出的是，若步骤1607a、1608b或1608c中NWDAF确定不需要执行用户授权检查，则可以跳过步骤1609。

步骤1610，NWDAF收集网络信息或数据并推导出数据分析结果。

步骤1611，NWDAF通过用户面路径或控制面路径向UE发送数据分析结果。

在现有的UE粒度的授权检查方法中，NWDAF或NEF不知道要执行网络授权检查，因此实际上现有技术是无法正常执行网络授权检查流程，方法1600通过在订阅分析结果的消息中加入网络授权中指示参数，能够让NWDAF或/NEF根据该指示判断是否需要做网络授权检查，完善了网络授权检查的流程。在方法1600中，NWDAF或NEF在从UDM检索网络授权信息时，可以携带UE组标识或者携带一组UE标识，因此可以通过一条消息得到多个UE的网络授权信息，相比于现有技术中每次只能检索一个UE的网络授权信息，可以减少与UDM的信令交互数量。在方法1600中，NEF或NWDAF不对请求分析标识的UE进行用户授权检查，可以避免NWDAF或NEF执行不必要的用户授权检查。此外，在图5～图13所示的方法中，网络授权检查过程(即获取授权信息的过程)和分析订阅过程是分离的，即AF先执行网络授权检查过程，判断出UE被授权获取哪些网络数据后，再向NWDAF订阅相应的网络数据，流程比较复杂。相较于图5～图13所示的方法，方法1600可以简化流程。

示例8

图17是本申请提供的授权方法1700的示意性流程图。

方法1700与方法1600类似，与方法1600不同的是在方法1700中，NEF或NWDAF根据分析标识从UDR获取针对分析标识的网络授权信息(或称分析标识粒度的授权信息)。

步骤1701a，当AF是网络信任的AF(如运营商网络自身部署的AF)时，AF可以通过订阅消息#3向NWDAF订阅分析结果。

步骤1701a的详细描述可以参考图16的步骤1604a，在此不再详述。

步骤1702a，NWDAF根据订阅消息#3中的网络授权指示#1，确定在收集网络数据生成分析结果之前先执行网络授权检查，NWDAF通过订阅消息#10向UDM获取网络授权信息。

其中，订阅消息#10中可以包含一个或多个分析标识。换句话说，NWDAF根据分析标识从UDR中检索分析标识粒度的网络授权信息。

一种可能的实现方式，NWDAF使用Nudr_DM_Subscribe服务操作向UDR订阅网络授权信息，即订阅消息#10为Nudr_DM_Subscribe。

可选地，上述网络授权信息为被授权或未被授权获取分析标识对应的数据分析结果的UE的信息，如UE ID、UE组标识、UE类型等。

步骤1703a，UDR根据来自NWDAF的订阅请求#10，根据分析标识检索网络授权信息，并将检索到的网络授权信息通过通知消息#10发送给NWDAF。

这里的网络授权信息为针对分析标识的网络授权信息。

一种可能的实现方式，UDR使用Nudr_DM_Notification服务操作向NWDAF通知检索到的网络授权信息，即通知消息#10为Nudr_DM_Notification。

NWDAF根据分析标识从UDR中检索分析标识粒度的网络授权信息地更详细的描述可以参考图5或图8中NEF或AF根据分析标识从UDR中检索分析标识粒度的网络授权信息的方式，例如步骤801～805等，在此不再详述。

这样，在NWDAF接收到通知消息#10后，NWDAF可以根据通知消息#10中的网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识，进而判断是否继续生成分析标识对应的数据分析结果。如果UE请求的分析标识没有被网络授权，则NWDAF不会为该UE生成该分析标识对应的数据分析结果。

在收集网络数据生成数据分析结果之前，NWDAF还需执行用户授权检查，即检查UE是否授权NWDAF收集和使用它的信息或数据。此时NWDAF可以执行步骤1704a。

步骤1704a，NWDAF确定待执行用户授权检查的UE。

步骤1704a的详细描述可以参考图16的步骤1607a，在此不再详述。

在步骤1701a～1704a中，AF直接与向NWDAF订阅分析结果，并且由NWDAF从UDM获取网络授权信息，进而NWDAF根据网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识。

步骤1701b，当AF是网络不信任的AF(如第三方AF)时，AF向NEF发送订阅消息#5，或者说，NEF接收来自AF的订阅消息#5。

步骤1702b，在接收到AF的订阅消息#5之后，NEF向NWDAF发送订阅消息#6，或者说，NWDAF接收NEF的订阅消息#6。

步骤1701b～1702b的详细描述可以参考图16的步骤1604b～1605b，在此不再详述。

步骤1703b，根据订阅消息#6中的网络授权指示#1，确定在收集网络数据生成分析结果之前先执行网络授权检查，NWDAF通过订阅消息#10向UDM获取网络授权信息。

步骤1704b，UDR根据来自NWDAF的订阅请求#10，根据分析标识检索网络授权信息，并将检索到的网络授权信息通过通知消息#10发送给NWDAF。

这里的网络授权信息为针对分析标识的网络授权信息。

步骤1705b，NWDAF根据本地策略确定是否执行用户授权检查，并在确定执行用户授权检查时进一步确定待执行用户授权检查的UE。

步骤1705b的详细描述可以参考图16的步骤1608b，在此不再详述。

在步骤1701b～1705b中，AF通过NEF向NWDAF订阅分析结果，并且由NWDAF从UDM获取网络授权信息，进而NWDAF根据网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识。

1701c，当AF是网络不信任的AF(如第三方AF)时，AF向NEF发送订阅消息#7，或者说，NEF接收来自AF的订阅消息#7。

步骤1701b的详细描述可以参考图16的步骤1604b，在此不再详述。

1702c，在接收到AF的订阅消息#7之后，NEF根据订阅消息#7中的网络授权指示#1，确定向NWDAF订阅数据分析结果之前先执行网络授权检查，NEF通过订阅消息#11向UDM获取网络授权信息。

其中，订阅消息#11中可以包含一个或多个分析标识。换句话说，NEF根据分析标识从UDR中检索分析标识粒度的网络授权信息。

一种可能的实现方式，NEF使用Nudr_DM_Subscribe服务操作向UDR订阅网络授权信息，即订阅消息#11为Nudr_DM_Subscribe。

步骤1703c，UDR根据来自NEF的订阅请求#11，根据分析标识检索网络授权信息，并将检索到的网络授权信息通过通知消息#11发送给NEF。

这里的网络授权信息为针对分析标识的网络授权信息。

一种可能的实现方式，UDR使用Nudr_DM_Notification服务操作向NEF通知检索到的网络授权信息，即通知消息#11为Nudr_DM_Notification。

NEF根据分析标识从UDR中检索分析标识粒度的网络授权信息地更详细的描述可以参考图5或图8中NEF或AF根据分析标识从UDR中检索分析标识粒度的网络授权信息的方式，例如步骤801～805等，在此不再详述。

步骤1704c，在接收到UDM的网络授权信息之后，NEF根据网络授权信息确定每个UE被授权获取的分析标识(即进行授权检查)，然后向NWDAF发送订阅消息#9，或者说，NWDAF接收NEF的订阅消息#9。

其中，订阅消息#9用于向NWDAF订阅数据分析结果。

步骤1704c的详细描述可以参考图16的步骤1607c，在此不再详述。

步骤1705c，NWDAF根据本地策略确定是否执行用户授权检查，并在确定执行用户授权检查时进一步确定待执行用户授权检查的UE。

步骤1705c可以参考步骤1608b，在此不再赘述。

在步骤1701c～步骤1705c中，AF通过NEF向NWDAF订阅分析结果，并且由NEF从UDM获取网络授权信息，进而NEF根据网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识。

步骤1706，针对步骤1704a、1705b或1705c中确定的待执行用户授权检查的UE，NWDAF执行用户授权检查。

步骤1706可以参考步骤1609，在此不再赘述。

步骤1707，NWDAF收集网络信息或数据并推导出数据分析结果。

步骤1708，NWDAF通过用户面路径或控制面路径向UE发送数据分析结果。

需要说明的是，在步骤1701a、1701b、1701c之前，方法1700也可以执行如步骤1601～1603所示的步骤。

在现有的UE粒度的授权检查方法中，NWDAF或NEF不知道要执行网络授权检查，因此实际上现有技术是无法正常执行网络授权检查流程，方法1700通过在订阅分析结果的消息中加入网络授权中指示参数，能够让NWDAF或/NEF根据该指示判断是否需要做网络授权检查，完善了网络授权检查的流程。在方法1700中，NWDAF或NEF可以根据分析标识在从UDM检索网络授权信息，因此可以通过一条消息得到多个UE的网络授权信息，相比于现有技术中每次只能检索一个UE的网络授权信息，可以减少与UDM的信令交互数量。在方法1700中，NEF或NWDAF不对请求分析标识的UE进行用户授权检查，可以避免NWDAF或NEF执行不必要的用户授权检查。此外，相较于图5～图13所示的方法，方法1700可以简化流程。

示例9

图18是本申请提供的授权方法1800的示意性流程图。

方法1800与方法1600类似，与方法1600不同的是在方法1800中，由UDR确定针对UE请求的分析标识的网络授权信息(或称分析标识粒度的授权信息)。

步骤1801a，当AF是网络信任的AF(如运营商网络自身部署的AF)时，AF可以通过订阅消息#3向NWDAF订阅分析结果。

步骤1801a的详细描述可以参考图16的步骤1604a，在此不再详述。

步骤1802a，NWDAF根据订阅消息#3中的网络授权指示#1，确定在收集网络数据生成分析结果之前先执行网络授权检查，NWDAF通过订阅消息#12向UDM获取授权检查结果。

上述授权检查结果用于指示请求分析标识的UE被授权获取其请求的分析标识。

一种可能的实现方式，NWDAF使用Nudr_DM_Subscribe服务操作向UDR订阅授权检查结果，即订阅消息#12为Nudr_DM_Subscribe。

订阅消息#12中可以包含以下参数中的部分或全部：

1)分析标识：一个或多个分析标识；

2)网络授权指示#3；

3)UE标识、UE组标识或UE标识列表中的至少一个。

其中，网络授权指示#3用于指示UDR进行网络授权检查。

步骤1803a，UDR根据来自NWDAF的订阅请求#12，进行授权检查。

具体地，UDR根据订阅请求#12中的UE标识、UE组标识或UE标识列表中的至少一个、以及分析标识，确定请求分析标识的UE被授权获取其请求的分析标识，即授权检查结果。

UDR根据分析标识进行授权检查的更详细的描述可以参考图6或图9中UDR根据分析标识进行授权检查的方式，例如步骤902～903等，在此不再详述。

换句话说，在需要执行网络授权检查的情况下，NWDAF将UE标识、UE组标识或UE标识列表中的至少一个、以及分析标识提供给UDR，并指示UDR根据UE标识、UE组标识或UE标识列表中的至少一个、以及分析标识，确定请求分析标识的UE被授权获取其请求的分析标识，即由UDR确定授权检查结果。

步骤1804a，UDR通过通知消息#12将授权检查结果发送给NWDAF。

一种可能的实现方式，UDR使用Nudr_DM_Notification服务操作向NWDAF通知授权检查结果，即通知消息#12为Nudr_DM_Notification。

这样，在NWDAF接收到通知消息#12后，NWDAF无需执行授权检查，即无需额外的操作判断UE被授权获取哪个或哪些分析标识，而是可以直接根据UER的授权检查结果判断是否继续生成分析标识对应的数据分析结果。如果UE请求的分析标识没有被网络授权，则NWDAF不会为该UE生成该分析标识对应的数据分析结果。

步骤1805a，NWDAF确定待执行用户授权检查的UE。

步骤1805a的详细描述可以参考图16的步骤1607a，在此不再详述。

在步骤18011a～1805a中，AF直接与向NWDAF订阅分析结果，并且由NWDAF从UDM获取网络授权信息，进而根据网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识。

步骤1801b，当AF是网络不信任的AF(如第三方AF)时，AF向NEF发送订阅消息#5，或者说，NEF接收来自AF的订阅消息#5。

步骤1802b，在接收到AF的订阅消息#5之后，NEF向NWDAF发送订阅消息#6，或者说，NWDAF接收NEF的订阅消息#6。

步骤1801b～1802b的详细描述可以参考图16的步骤1604b～1605b，在此不再详述。

步骤1803b，根据订阅消息#6中的网络授权指示#1，确定在收集网络数据生成分析结果之前先执行网络授权检查，NWDAF通过订阅消息#12向UDM获取授权检查结果。

步骤1804b，UDR根据来自NWDAF的订阅请求#12，进行授权检查。

步骤1805b，UDR通过通知消息#12将授权检查结果发送给NWDAF。

步骤1803b～1805b的详细描述可以参考步骤1802a～1804a，在此不再详述。

步骤1806b，NWDAF根据本地策略确定是否执行用户授权检查，并在确定执行用户授权检查时进一步确定待执行用户授权检查的UE。

步骤1806b的详细描述可以参考图16的步骤1608b，在此不再详述。

在步骤1801b～1806b中，AF通过NEF向NWDAF订阅分析结果，并且由NWDAF从UDM获取网络授权信息，进而NWDAF根据网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识。

1801c，当AF是网络不信任的AF(如第三方AF)时，AF向NEF发送订阅消息#7，或者说，NEF 接收来自AF的订阅消息#7。

步骤1801b的详细描述可以参考图16的步骤1604b，在此不再详述。

1802c，在接收到AF的订阅消息#7之后，NEF根据订阅消息#7中的网络授权指示#1，确定向NWDAF订阅数据分析结果之前先执行网络授权检查，NEF通过订阅消息#13向UDM获取授权检查结果。

一种可能的实现方式，NEF使用Nudr_DM_Subscribe服务操作向UDR订阅授权检查结果，即订阅消息#13为Nudr_DM_Subscribe。

订阅消息#13中可以包含以下参数中的部分或全部：

1)分析标识：一个或多个分析标识；

2)网络授权指示#3；

3)UE标识、UE组标识或UE标识列表中的至少一个。

其中，网络授权指示#3用于指示UDR进行网络授权检查。

具体地，UDR根据订阅请求#13中的UE标识、UE组标识或UE标识列表中的至少一个、以及分析标识，确定请求分析标识的UE被授权获取其请求的分析标识，即授权检查结果。

换句话说，在需要执行网络授权检查的情况下，NEF将UE标识、UE组标识或UE标识列表中的至少一个、以及分析标识提供给UDR，并指示UDR根据UE标识、UE组标识或UE标识列表中的至少一个、以及分析标识，确定请求分析标识的UE被授权获取其请求的分析标识，即由UDR确定授权检查结果。

步骤1804c，UDR通过通知消息#13将授权检查结果发送给NEF。

一种可能的实现方式，UDR使用Nudr_DM_Notification服务操作向NEF通知授权检查结果，即通知消息#13为Nudr_DM_Notification。

步骤1805c，在接收到UDM的授权检查结果之后，NEF根据授权检查结果向NWDAF发送订阅消息#9，或者说，NWDAF接收NEF的订阅消息#9。

其中，订阅消息#9用于向NWDAF订阅数据分析结果。

步骤1805c的详细描述可以参考图16的步骤1607c，在此不再详述。

步骤1806c，NWDAF根据本地策略确定是否执行用户授权检查，并在确定执行用户授权检查时进一步确定待执行用户授权检查的UE。

步骤1806c可以参考步骤1608b，在此不再赘述。

在步骤1801c～步骤1806c中，AF通过NEF向NWDAF订阅分析结果，并且由NEF从UDM获取网络授权信息，进而NEF根据网络授权信息进行授权检查，确定UE是否被授权获取其请求的分析标识。

步骤1807，针对步骤1805a、1806b或1806c中确定的待执行用户授权检查的UE，NWDAF执行用户授权检查。

步骤1808可以参考步骤1609，在此不再赘述。

步骤1809，NWDAF收集网络信息或数据并推导出数据分析结果。

步骤1810，NWDAF通过用户面路径或控制面路径向UE发送数据分析结果。

需要说明的是，在步骤1801a、1801b、1801c之前，方法1800也可以执行如步骤1601～1603所示的步骤。

在现有的UE粒度的授权检查方法中，NWDAF或NEF不知道要执行网络授权检查，因此实际上现有技术是无法正常执行网络授权检查流程，方法1800通过在订阅分析结果的消息中加入网络授权中指示参数，能够让NWDAF或/NEF根据该指示判断是否需要做网络授权检查，并在需要执行网络授权检查时指示UDR进行授权检查，完善了网络授权检查的流程。在方法1800中，NWDAF或NEF可以通过一条消息得到多个UE的授权检查结果，相比于现有技术中每次只能检索一个UE的网络授权信息，可以减少与UDM的信令交互数量。在方法1800中，NEF或NWDAF不对请求分析标识的UE进行用户授权检查，可以避免NWDAF或NEF执行不必要的用户授权检查。此外，相较于图5～图13所示的方法，方法1800可以简化流程。

上文结合图5至图18，详细描述了本申请提供的方法，下面将结合图19至图20，详细描述本申请的装置实施例。

可以理解的是，为了实现上述实施例中功能，图19或图20中的装置包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本申请中所公开的实施例描述的各示例的单元及方法步骤，本申请能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用场景和设计约束条件。

图19和图20为本申请的实施例提供的可能的装置的结构示意图。这些装置可以用于实现上述方法实施例中应用功能网元、网络开放功能网元或数据存储网元的功能，因此也能实现上述方法实施例所具备的有益效果。

如图19所示，装置1400包括发送单元1410、可选的接收单元1420和可选的处理单元1430。

在一些实现方式中，当装置1400用于实现上述方法实施例中网络设备的功能时，发送单元1410用于：向数据存储网元发送第一消息，所述第一消息包括第一网络数据的标识；接收单元1420用于：接收来自所述数据存储网元的第二消息，所述第二消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息。

可选地，所述第一网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

可选地，所述被授权或未被授权获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

可选地，所述网络设备为网络开放功能网元，接收单元1420还用于：接收来自应用功能网元的第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识。处理单元1430用于：根据所述第一授权信息、以及所述请求获取所述第一网络数据的终端的信息，确定所述第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。发送单元1410还用于：向所述应用功能网元发送第四消息，所述第四消息包括所述第二授权信息。

可选地，所述网络设备为网络开放功能网元，在所述网络设备向数据存储网元发送第一消息之前，接收单元1420还用于：接收来自应用功能网元的第五消息，所述第五消息包括多个终端的标识、以及所述多个终端中每个终端请求获取的网络数据的标识。处理单元1430用于：根据所述第五消息，确定所述多个终端中的多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识。

可选地，处理单元1430还用于：根据所述第一授权信息、以及所述多个第一终端的标识，确定第三授权信息，所述第三授权信息用于指示所述多个第一终端中的每个第一终端是否被授权获取所述第一网络数据，所述第一网络数据包括一个或多个类型的网络数据。发送单元1410还用于：向所述应用功能网元发送第六消息，所述第六消息包括所述第三授权信息。

可选地，所述第六消息还包括第四授权信息，处理单元1430还用于：根据所述第五消息，确定第二终端的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端。发送单元1410还用于：向所述数据存储网元发送第七消息，所述第七消息包括所述第二终端的标识。接收单元1420还用于：接收来自所述数据存储网元的第八消息，所述第八消息包括所述第四授权信息，所述第四授权信息包括所述第二终端被授权或未被授权获取的网络数据的标识。

可选地，所述相同的网络数据包括的网络数据的类型的数量小于所述多个第一终端的数量。

可选地，所述网络设备为网络开放功能网元，接收单元1420还用于：接收来自应用功能网元的第九消息，所述第九消息包括所述第一网络数据的标识；发送单元1410，还用于向所述应用功能网元发送第十消息，所述第十消息包括所述第一授权信息。

可选地，所述应用功能网元代替终端获取第一网络数据，所述网络设备保存有策略信息，所述策略信息用于指示所述应用功能网元是否被授权获取所述第一网络数据；发送单元1410具体用于：当所述策略信息指示所述应用功能网元被授权获取所述第一网络数据时，所述网络设备向所述数据存储网元发送所述第一消息。

可选地，所述网络设备为应用功能网元，处理单元1430用于：根据所述第一授权信息、以及请求获取所述第一网络数据的终端的信息，确定第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

可选地，所述网络设备为应用功能网元，处理单元1430用于：根据多个终端中每个终端请求获取的网络数据的标识，确定所述多个终端中的多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识。

可选地，处理单元1430还用于：根据所述第一授权信息、以及所述多个第一终端的标识，确定第三授权信息，所述第三授权信息用于指示所述多个第一终端中的每个第一终端是否被授权获取所述第一网络数据，所述第一网络数据包括一个或多个类型的网络数据。

可选地，处理单元1430还用于：根据所述多个终端中每个终端请求获取的网络数据的标识，确定第二终端的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端。发送单元1410还用于：向所述数据存储网元发送第七消息，所述第七消息包括所述第二终端的标识。接收单元1420，还用于：接收来自所述数据存储网元的第八消息，所述第八消息包括第四授权信息，所述第四授权信息包括所述第二终端被授权获取的网络数据的标识。

可选地，所述请求获取所述第一网络数据的终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。

在一些实现方式中，当装置1400用于实现上述方法实施例中数据存储网元的功能时，接收单元1420用于：接收来自网络设备的第一消息，所述第一消息包括第一网络数据的标识；发送单元1410用于：向所述网络设备发送第二消息，所述第二消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息。

可选地，所述第一消息用于获取所述第一授权信息。

可选地，处理单元1430用于：根据所述第一网络数据的标识，检索得到所述第一授权信息。

可选地，接收单元1420还用于：接收来自所述网络设备的第七消息，所述第七消息包括第二终端的标识；发送单元1410还用于：向所述网络设备发送第八消息，所述第八消息包括第四授权信息，所述第四授权信息包括所述第二终端被授权获取的网络数据的标识。

可选地，所述第一授权信息和所述第四授权信息为预配置在所述数据存储网元中的。

可选地，所述网络设备为应用功能网元或网络开放功能网元。

在另一些实现方式中，当装置1400用于实现上述方法实施例中网络设备的功能时，发送单元1410用于：向数据存储网元发送第十一消息，所述第十一消息包括第一网络数据的标识和请求获取所述第一网络数据的终端的信息；接收单元1420用于：接收来自所述数据存储网元的第十二消息，所述第十二消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

可选地，所述第十一消息用于获取所述第二授权信息。

可选地，当所述网络设备为网络开放功能网元时，接收单元1420还用于：接收来自应用功能网元的第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识；发送单元1410还用于：向所述应用功能网元发送第四消息，所述第四消息包括所述第二授权信息。

可选地，所述应用功能网元代替终端获取第一网络数据，所述网络设备保存有策略信息，所述策略信息用于指示所述应用功能网元是否被授权获取所述第一网络数据；发送单元1410具体用于：当所述策略信息指示所述应用功能网元被授权获取所述第一网络数据时，向所述数据存储网元发送所述第十一消息。

在另一些实现方式中，当装置1400用于实现上述方法实施例中数据存储网元的功能时，接收单元1420用于：接收来自网络设备的第十一消息，所述第十一消息包括第一网络数据的标识和请求获取所述第一网络数据的终端的信息；发送单元1410用于：向所述网络设备发送第十二消息，所述第十二消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

可选地，所述第十一消息用于获取所述第二授权信息。

可选地，所述第四网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

可选地，处理单元1430用于：根据所述第一网络数据的标识和所述请求获取所述第一网络数据的终端的信息，确定所述第二授权信息。

可选地，所述第一授权信息为预配置在所述数据存储网元中的。

在一些实现方式中，当装置1400用于实现上述方法实施例中应用功能网元的功能时，发送单元1410用于：向网络开放功能网元发送第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识；接收单元1420用于；接收来自所述网络开放功能网元的第四消息，所述第四消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

在另一些实现方式中，当装置1400用于实现上述方法实施例中应用功能网元的功能时，发送单元1410用于：向网络开放功能网元发送第五消息，所述第五消息包括多个终端的标识、以及所述多个终端中每个终端请求获取的网络数据的标识；接收单元1420用于：接收来自所述网络开放功能网元的第六消息，所述第六消息包括第三授权信息和/或第四授权信息，其中，所述第三授权信息用于指示多个第一终端中的每个第一终端是否被授权获取第一网络数据，所述多个第一终端属于所述多个终端，所述多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识，所述第一网络数据包括一个或多个类型的网络数据；所述第四授权信息用于指示第二终端被授权获取的网络数据的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端。

在另一些实现方式中，当装置1400用于实现上述方法实施例中应用功能网元的功能时，发送单元1410用于：向网络开放功能网元发送第九消息，所述第九消息包括第一网络数据的标识；接收单元1420用于：接收来自所述网络开放功能网元的第十消息，所述第十消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息。处理单元1420用于：根据所述第一授权信息、以及请求获取所述第一网络数据的终端的信息，确定第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。

在另一些实现方式中，当装置1400用于实现上述方法实施例中数据存储网元的功能时，接收单元 1420用于：接收来自网络设备的第十三消息，所述第十三消息用于获取可开放给任意终端的网络数据的标识的集合；发送单元1410用于：向网络设备发送第十四消息，所述第十四消息包括所述集合。

可选地，所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。

在另一些实现方式中，当装置1400用于实现上述方法实施例中网络设备的功能时，发送单元1410用于：向数据存储功能网元发送第十三消息，所述第十三消息用于获取可开放给任意终端的网络数据的标识的集合；接收单元1420用于：接收来自所述数据存储功能网元的第十四消息，所述第十四消息包括所述集合。

可选地，当所述网络设备为网络开放功能网元时，接收单元1420还用于：接收来自应用功能网元的第十五消息，所述第十五消息用于获取所述集合；发送单元1410还用于：向所述应用功能网元发送第十六信息，所述第十六信息包括所述集合。

在另一些实现方式中，当装置1400用于实现上述方法实施例中应用功能网元的功能时，发送单元1410用于：向网络开放功能网元发送第十五消息，所述第十五消息用于获取可开放给任意终端的网络数据的标识的集合；接收单元1420用于：接收来自所述网络开放功能网元的第十六消息，所述第十六消息包括所述集合。

在另一些实现方式中，当装置1400用于实现上述方法实施例中第一网络设备的功能时，接收单元1420用于：接收来自第二网络设备的消息A，所述消息A用于订阅至少一个终端A请求的网络数据，所述消息A包括第一指示信息，所述第一指示信息用于指示检查所述终端A是否被授权获取所述终端A请求的网络数据；发送单元1410用于：根据所述第一指示信息，向数据存储网元发送消息B，所述消息B用获取第五授权信息；接收单元1420还用于：接收来自所述数据存储网元的消息C，所述消息C包括第五授权信息，所述第五授权信息用于确定是否授权所述终端A获取所述终端A请求的网络数据。

可选地，所述消息B包括所述至少一个终端A的信息，所述第五授权信息包括所述至少一个终端A被授权获取的网络数据的标识；或者，所述消息B包括所述至少一个终端A请求的网络数据的标识，所述第五授权信息包括被授权或未被授权获取所述至少一个终端A请求的网络数据的标识的终端的信息；处理单元1430用于：根据所述第五授权信息，确定是否授权所述终端A获取所述终端A请求的网络数据。

可选地，所述消息B包括：所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及第二指示信息，所述第二指示信息用于指示检查是否授权所述终端A获取所述终端A请求的网络数据；所述第五授权信息用于指示是否授权所述终端A获取所述终端A请求的网络数据。

可选地，所述至少一个终端A的信息包括以下信息中的至少一个：所述至少一个终端A的标识、所述至少一个终端A对应的终端组的标识、或所述至少一个终端A对应的终端类型。

可选地，所述消息A还包括用于确定在生成所述至少一个终端A请求的网络数据时的待分析终端的信息；处理单元1430还用于：确定终端B是否授权网络收集和使用所述终端B的网络信息，所述终端B为所述待分析终端中除所述至少一个终端A之外的终端。

可选地，所述第一网络设备为数据分析网元，所述第二网络设备为应用功能网元或网络开放功能网元；或者，所述第一网络设备为网络开放功能网元，所述第二网络设备为应用功能网元。

可选地，当所述第一网络设备为网络开放功能网元时，发送单元1410还用于：根据所述第五授权信息，向数据分析网元发送消息D，所述消息D用于订阅所述至少一个终端A被授权获取的网络数据，所述消息D包括第三指示信息，所述第三指示信息用于指示所述数据分析网元不检查所述终端A是否被授权获取所述终端A请求的网络数据。

在另一些实现方式中，当装置1400用于实现上述方法实施例中第二网络设备的功能时，发送单元1410用于：向第一网络设备发送消息A，所述消息A用于订阅至少一个终端A请求的网络数据，所述消息A包括第一指示信息，所述第一指示信息用于指示检查所述终端A是否被授权获取所述终端A请求的网络数据。

可选地，所述消息A包括所述至少一个终端A的信息和所述至少一个终端A请求的网络数据的标识，所述至少一个终端A的信息包括以下信息中的至少一个：所述至少一个终端A的标识、所述至少一个终端A对应的终端组的标识、或所述至少一个终端A对应的终端类型。

在另一些实现方式中，当装置1400用于实现上述方法实施例中数据存储网元的功能时，接收单元1420用于：接收来自第一网络设备的消息B，所述消息B用获取第五授权信息，所述消息B包括所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及第二指示信息，所述第二指示信息用于指示所述数据存储网元确定是否授权所述终端A获取所述终端A请求的网络数据；处理单元1430用于：根据所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及所述第二指示信息，确定是否授权所述终端A获取所述终端A请求的网络数据；发送单元1410用于：向第一所述网络设备发送消息C，所述消息C包括所述第五授权信息，所述第五授权信息用于指示是否授权所述终端A获取所述终端A请求的网络数据。

关于上述发送单元1410、接收单元1420和处理单元1430更详细的描述，可参考上述方法实施例中的相关描述，在此不再说明。

如图20示，装置1500包括处理器1510。处理器1510与存储器1530耦合，存储器1530用于存储指令。当装置1500用于实现上文所述的方法时，处理器1510用于执行存储器1530中的指令，以实现上述处理单元1430的功能。

可选地，装置1500还包括存储器1530。

可选地，装置1500还包括接口电路1520。处理器1510和接口电路1520之间相互耦合。可以理解的是，接口电路1520可以为收发器或输入输出接口。当装置1500用于实现上文所述的方法时，处理器1510用于执行指令，以实现上述处理单元1430的功能，接口电路1520用于实现上述发送单元1410和/或接收单元1420的功能。

示例性地，当装置1500为应用于应用功能网元、网络开放功能网元或数据存储网元的芯片时，该芯片实现上述方法实施例中应用功能网元、网络开放功能网元或数据存储网元的功能。该芯片从应用功能网元、网络开放功能网元或数据存储网元中的其它模块(如射频模块或天线)接收信息，该信息是其他装置发送给应用功能网元、网络开放功能网元或数据存储网元的；或者，该芯片向应用功能网元、网络开放功能网元或数据存储网元中的其它模块(如射频模块或天线)发送信息，该信息是应用功能网元、网络开放功能网元或数据存储网元发送给其他装置的。

本申请还提供一种通信装置，包括处理器，该处理器与存储器耦合，存储器用于存储计算机程序或指令和/或数据，处理器用于执行存储器存储的计算机程序或指令，或读取存储器存储的数据，以执行上文各方法实施例中的方法。可选地，处理器为一个或多个。可选地，该通信装置包括存储器。可选地，存储器为一个或多个。可选地，该存储器与该处理器集成在一起，或者分离设置。

本申请还提供一种计算机可读存储介质，其上存储有用于实现上述各方法实施例中由应用功能网元、网络开放功能网元或数据存储网元执行的方法的计算机指令。

本申请还提供一种计算机程序产品，包含指令，该指令被计算机执行时以实现上述各方法实施例中由应用功能网元、网络开放功能网元或数据存储网元执行的方法。

本申请还提供一种通信系统，该通信系统包括上文各实施例中的应用功能网元、网络开放功能网元或数据存储网元中至少一个。

上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

可以理解的是，本申请的实施例中的处理器可以是中央处理单元(central processing unit，CPU)，还可以是其它通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现场可编程门阵列(field programmable gate array，FPGA)或者其它可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。通用处理器可以是微处理器，也可以是任何常规的处理器。

本申请的实施例中的方法步骤可以通过硬件的方式来实现，也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器、闪存、只读存储器、可编程只读存储器、可擦除可编程只读存储器、电可擦除可编程只读存储器、寄存器、硬盘、移动硬盘、只读光盘存储器(compact disc read-only memory，CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于应用功能网元、网络开放功能网元或数据存储网元中。当然，处理器和存储介质也可以作为分立组件存在于应用功能网元、网络开放功能网元或数据存储网元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行所述计算机程序或指令时，全部或部分地执行本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其它可编程装置。所述计算机程序或指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机程序或指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，例如，软盘、硬盘、磁带；也可以是光介质，例如，数字视频光盘；还可以是半导体介质，例如，固态硬盘。

在本申请的各个实施例中，如果没有特殊说明以及逻辑冲突，不同的实施例之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。

可以理解的是，在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定。

除非另有说明，本申请实施例所使用的所有技术和科学术语与本申请的技术领域的技术人员通常理解的含义相同。本申请中所使用的术语只是为了描述具体的实施例的目的，不是旨在限制本申请的范围。应理解，上述为举例说明，上文的例子仅仅是为了帮助本领域技术人员理解本申请实施例，而非要将申请实施例限制于所示例的具体数值或具体场景。本领域技术人员根据上文所给出的例子，显然可以进行各种等价的修改或变化，这样的修改和变化也落入本申请实施例的范围内。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种授权方法，其特征在于，所述方法包括：

网络设备向数据存储网元发送第一消息，所述第一消息包括第一网络数据的标识；

所述网络设备接收来自所述数据存储网元的第二消息，所述第二消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息。
根据权利要求1所述的方法，其特征在于，

所述第一网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。
根据权利要求1或2所述的方法，其特征在于，所述网络设备为网络开放功能网元，所述方法还包括：

所述网络开放功能网元接收来自应用功能网元的第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识；

所述网络开放功能网元根据所述第一授权信息、以及所述请求获取所述第一网络数据的终端的信息，确定所述第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据；

所述网络开放功能网元向所述应用功能网元发送第四消息，所述第四消息包括所述第二授权信息。
根据权利要求1或2所述的方法，其特征在于，所述网络设备为网络开放功能网元，所述方法还包括：

所述网络开放功能网元接收来自应用功能网元的第五消息，所述第五消息包括多个终端的标识、以及所述多个终端中每个终端请求获取的网络数据的标识；

所述网络开放功能网元根据所述第五消息，确定所述多个终端中的多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识。
根据权利要求4所述的方法，其特征在于，所述方法还包括：

所述网络开放功能网元根据所述第一授权信息、以及所述多个第一终端的标识，确定第三授权信息，所述第三授权信息用于指示所述多个第一终端中的每个第一终端是否被授权获取所述第一网络数据；

所述网络开放功能网元向所述应用功能网元发送第六消息，所述第六消息包括所述第三授权信息。
根据权利要求5所述的方法，其特征在于，所述第六消息还包括第四授权信息，所述方法还包括：

所述网络开放功能网元根据所述第五消息，确定第二终端的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端；

所述网络开放功能网元向所述数据存储网元发送第七消息，所述第七消息包括所述第二终端的标识；

所述网络开放功能网元接收来自所述数据存储网元的第八消息，所述第八消息包括所述第四授权信息，所述第四授权信息包括所述第二终端被授权或未被授权获取的网络数据的标识。
根据权利要求1或2所述的方法，其特征在于，所述网络设备为应用功能网元，所述方法还包括：

所述应用功能网元根据所述第一授权信息、以及请求获取所述第一网络数据的终端的信息，确定第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。
根据权利要求1或2所述的方法，其特征在于，所述网络设备为应用功能网元，所述方法还包括：

所述应用功能网元根据多个终端中每个终端请求获取的网络数据的标识，确定所述多个终端中的多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识。
根据权利要求8所述的方法，其特征在于，所述方法还包括：

所述应用功能网元根据所述第一授权信息、以及所述多个第一终端的标识，确定第三授权信息，所述第三授权信息用于指示所述多个第一终端中的每个第一终端是否被授权获取所述第一网络数据，所述第一网络数据包括一个或多个类型的网络数据。
根据权利要求8或9所述的方法，其特征在于，所述方法还包括：

所述应用功能网元根据所述多个终端中每个终端请求获取的网络数据的标识，确定第二终端的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端；

所述应用功能网元向所述数据存储网元发送第七消息，所述第七消息包括所述第二终端的标识；

所述应用功能网元接收来自所述数据存储网元的第八消息，所述第八消息包括第四授权信息，所述第四授权信息包括所述第二终端被授权获取的网络数据的标识。
根据权利要求1至10中任一项所述的方法，其特征在于，

所述终端的信息包括以下信息中的至少一个：一个或多个终端的标识、一个或多个终端组的标识、或一个或多个终端类型。
一种授权方法，其特征在于，所述方法包括：

数据存储网元接收来自网络设备的第一消息，所述第一消息包括第一网络数据的标识；

所述数据存储网元向所述网络设备发送第二消息，所述第二消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息。
根据权利要求12所述的方法，其特征在于，所述方法还包括：

所述数据存储网元根据所述第一网络数据的标识，检索得到所述第一授权信息。
根据权利要求12或13所述的方法，其特征在于，所述方法还包括：

所述数据存储网元接收来自所述网络设备的第七消息，所述第七消息包括第二终端的标识；

所述数据存储网元向所述网络设备发送第八消息，所述第八消息包括第四授权信息，所述第四授权信息包括所述第二终端被授权获取的网络数据的标识。
一种授权方法，其特征在于，所述方法包括：

网络设备向数据存储网元发送第一消息，所述第一消息包括第一网络数据的标识和请求获取所述第一网络数据的终端的信息；

所述网络设备接收来自所述数据存储网元的第二消息，所述第二消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。
根据权利要求15所述的方法，其特征在于，当所述网络设备为网络开放功能网元时，所述方法还包括：

所述网络开放功能网元接收来自应用功能网元的第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识；

所述网络开放功能网元向所述应用功能网元发送第四消息，所述第四消息包括所述第二授权信息。
一种授权方法，其特征在于，所述方法包括：

数据存储网元接收来自网络设备的第一消息，所述第一消息包括第一网络数据的标识和请求获取所述第一网络数据的终端的信息；

所述数据存储网元向所述网络设备发送第二消息，所述第二消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。
根据权利要求17所述的方法，其特征在于，所述方法还包括：

所述数据存储网元根据所述第一网络数据的标识和所述请求获取所述第一网络数据的终端的信息，确定所述第二授权信息。
一种授权方法，其特征在于，所述方法包括：

应用功能网元向网络开放功能网元发送第三消息，所述第三消息包括请求获取所述第一网络数据的终端的信息和所述第一网络数据的标识；

所述应用功能网元接收来自所述网络开放功能网元的第四消息，所述第四消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。
一种授权方法，其特征在于，所述方法包括：

应用功能网元向网络开放功能网元发送第五消息，所述第五消息包括多个终端的标识、以及所述多个终端中每个终端请求获取的网络数据的标识；

所述应用功能网元接收来自所述网络开放功能网元的第六消息，所述第六消息包括第三授权信息和/或第四授权信息，

其中，所述第三授权信息用于指示多个第一终端中的每个第一终端是否被授权获取第一网络数据，所述多个第一终端属于所述多个终端，所述多个第一终端请求一个或多个相同的网络数据的标识，所述一个或多个相同的网络数据的标识包括所述第一网络数据的标识，所述第一网络数据包括一个或多个类型的网络数据；所述第四授权信息用于指示第二终端被授权获取的网络数据的标识，所述第二终端属于所述多个终端中除所述第一终端以外的终端。
一种授权方法，其特征在于，所述方法包括：

应用功能网元向网络开放功能网元发送第九消息，所述第九消息包括第一网络数据的标识；

所述应用功能网元接收来自所述网络开放功能网元的第十消息，所述第十消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息；

所述应用功能网元根据所述第一授权信息、以及请求获取所述第一网络数据的终端的信息，确定第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。
一种通信装置，其特征在于，所述装置包括：

发送单元，用于向数据存储网元发送第一消息，所述第一消息包括第一网络数据的标识；

接收单元，用于接收来自所述数据存储网元的第二消息，所述第二消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息。
一种通信装置，其特征在于，所述装置包括：

接收单元，用于接收来自网络设备的第一消息，所述第一消息包括第一网络数据的标识；

发送单元，用于向所述网络设备发送第二消息，所述第二消息包括第一授权信息，所述第一授权信息为被授权或未被授权获取所述第一网络数据的终端的信息。
一种通信装置，其特征在于，所述装置包括：

发送单元，用于向数据存储网元发送第一消息，所述第一消息包括第一网络数据的标识和请求获取所述第一网络数据的终端的信息；

接收单元，用于接收来自所述数据存储网元的第二消息，所述第二消息包括第二授权信息，所述第二授权信息用于指示所述请求获取所述第一网络数据的终端是否被授权获取所述第一网络数据。
一种授权方法，其特征在于，所述方法包括：

第一网络设备接收来自第二网络设备的消息A，所述消息A用于订阅至少一个终端A请求的网络数据，所述消息A包括第一指示信息，所述第一指示信息用于指示检查所述终端A是否被授权获取所述终端A请求的网络数据；

所述第一网络设备根据所述第一指示信息，向数据存储网元发送消息B，所述消息B用获取第五授权信息；

所述第一网络设备接收来自所述数据存储网元的消息C，所述消息C包括第五授权信息，所述第五授权信息用于确定是否授权所述终端A获取所述终端A请求的网络数据。
根据权利要求25所述的方法，其特征在于，

所述消息B包括所述至少一个终端A的信息，所述第五授权信息包括所述至少一个终端A被授权获取的网络数据的标识；或者，所述消息B包括所述至少一个终端A请求的网络数据的标识，所述第五授权信息包括被授权或未被授权获取所述至少一个终端A请求的网络数据的标识的终端的信息；所述方法还包括：

所述第一网络设备根据所述第五授权信息，确定是否授权所述终端A获取所述终端A请求的网络数据。
根据权利要求26所述的方法，其特征在于，

所述消息B包括：所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及第二指示信息，所述第二指示信息用于指示检查是否授权所述终端A获取所述终端A请求的网络数据；所述第五授权信息用于指示是否授权所述终端A获取所述终端A请求的网络数据。
根据权利要求26或27所述的方法，其特征在于，

所述至少一个终端A的信息包括以下信息中的至少一个：

所述至少一个终端A的标识、所述至少一个终端A对应的终端组的标识、或所述至少一个终端A对应的终端类型。
根据权利要求26至28中任一项所述的方法，其特征在于，

所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。
根据权利要求25至29中任一项所述的方法，其特征在于，

所述消息A还包括用于确定在生成所述至少一个终端A请求的网络数据时的待分析终端的信息；

所述方法还包括：所述第一网络设备确定终端B是否授权网络收集和使用所述终端B的网络信息，所述终端B为所述待分析终端中除所述至少一个终端A之外的终端。
根据权利要求25至30中任一项所述的方法，其特征在于，

所述第一网络设备为数据分析网元，所述第二网络设备为应用功能网元或网络开放功能网元；或者，

所述第一网络设备为网络开放功能网元，所述第二网络设备为应用功能网元。
根据权利要求31所述的方法，其特征在于，当所述第一网络设备为网络开放功能网元时，所述方法还包括：

所述网络开放功能网元根据所述第五授权信息，向数据分析网元发送消息D，所述消息D用于订阅所述至少一个终端A被授权获取的网络数据，所述消息D包括第三指示信息，所述第三指示信息用于指示所述数据分析网元不检查所述终端A是否被授权获取所述终端A请求的网络数据。
一种授权方法，其特征在于，所述方法包括：

第二网络设备向第一网络设备发送第十七消息，所述消息A用于订阅至少一个终端A请求的网络数据，所述消息A包括第一指示信息，所述第一指示信息用于指示检查所述终端A是否被授权获取所述终端A请求的网络数据。
根据权利要求33所述的方法，其特征在于，

所述消息A包括所述至少一个终端A的信息和所述至少一个终端A请求的网络数据的标识，所述至少一个终端A的信息包括以下信息中的至少一个：

所述至少一个终端A的标识、所述至少一个终端A对应的终端组的标识、或所述至少一个终端A对应的终端类型。
根据权利要求34所述的方法，其特征在于，

所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。
根据权利要求33至35中任一项所述的方法，其特征在于，

所述第一网络设备为数据分析网元，所述第二网络设备为应用功能网元或网络开放功能网元；或者，

所述第一网络设备为网络开放功能网元，所述第二网络设备为应用功能网元。
一种授权方法，其特征在于，所述方法包括：

数据存储网元接收来自第一网络设备的消息B，所述消息B用获取第五授权信息，所述消息B包括所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及第二指示信息，所述第二指示信息用于指示所述数据存储网元确定是否授权所述终端A获取所述终端A请求的网络数据；

所述数据存储网元根据所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及所述第二指示信息，确定是否授权所述终端A获取所述终端A请求的网络数据；

所述数据存储网元向第一所述网络设备发送消息C，所述消息C包括所述第五授权信息，所述第五授权信息用于指示是否授权所述终端A获取所述终端A请求的网络数据。
根据权利要求37所述的方法，其特征在于，

所述至少一个终端A的信息包括以下信息中的至少一个：

所述至少一个终端A的标识、所述至少一个终端A对应的终端组的标识、或所述至少一个终端A对应的终端类型。
根据权利要求37或38所述的方法，其特征在于，

所述网络数据的标识为网络数据分析标识、网络数据分析标识和所述网络数据分析的子集的标识的组合、网络事件标识、或所述网络事件的标识和所述网络事件的子集的标识的组合。
一种通信装置，其特征在于，所述装置包括：

接收单元，用于接收来自第二网络设备的消息A，所述消息A用于订阅至少一个终端A请求的网络数据，所述消息A包括第一指示信息，所述第一指示信息用于指示检查所述终端A是否被授权获取所述终端A请求的网络数据；

发送单元，用于根据所述第一指示信息，向数据存储网元发送消息B，所述消息B用获取第五授权信息；

所述接收单元，还用于接收来自所述数据存储网元的消息C，所述消息C包括第五授权信息，所述第五授权信息用于确定是否授权所述终端A获取所述终端A请求的网络数据。
一种通信装置，其特征在于，所述装置包括：

发送单元，用于向第一网络设备发送消息A，所述消息A用于订阅至少一个终端A请求的网络数据，所述消息A包括第一指示信息，所述第一指示信息用于指示检查所述终端A是否被授权获取所述终端A请求的网络数据。
一种通信装置，其特征在于，所述装置包括：

接收单元，用于接收来自第一网络设备的消息B，所述消息B用获取第五授权信息，所述消息B包括所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及第二指示信息，所述第二指示信息用于指示所述数据存储网元确定是否授权所述终端A获取所述终端A请求的网络数据；

处理单元，用于根据所述至少一个终端A的信息、所述至少一个终端A请求的网络数据的标识、以及所述第二指示信息，确定是否授权所述终端A获取所述终端A请求的网络数据；

发送单元，用于向第一所述网络设备发送消息C，所述消息C包括所述第五授权信息，所述第五授权信息用于指示是否授权所述终端A获取所述终端A请求的网络数据。
一种通信装置，其特征在于，包括：

处理器，用于执行存储器中存储的计算机程序，以使得所述装置执行如权利要求1至21、25至39中任一项所述的方法。
根据权利要求43所述的装置，其特征在于，所述装置还包括所述存储器。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如权利要求1至21、25至39中任一项所述的方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括用于执行如权利要求1至21、25至39中任一项所述的方法的指令。
一种通信系统，其特征在于，包括：网络设备和数据存储网元；

所述网络设备用于执行如权利要求1至11中任一项所述的方法，所述数据存储网元用于执行如权利要求12至14中任一项所述的方法；或者，

所述网络设备用于执行如权利要求15或16所述的方法，所述数据存储网元用于执行如权利要求17或18所述的方法。
根据权利要求47所述的通信系统，其特征在于，当所述网络设备为网络开放功能网元时，所述通信系统还包括应用功能网元，所述应用功能网元用于执行如权利要求19至21中任一项所述的方法。
一种通信系统，其特征在于，包括以下设备中的至少一个：

用于执行如权利要求25至32中任一项所述的方法的第一网络设备；

用于执行如权利要求33至36中任一项所述的方法的第二网络设备；

用于执行如权利要求37至39中任一项所述的方法的数据存储网元。
一种芯片，其特征在于，所述芯片包括处理器与通信接口，所述处理器通过所述通信接口读取存储器上存储的指令，执行如权利要求1至21中任一项所述的方法，或者执行如权利要求25至39中任一项所述的方法。