CN113498059B - 一种认证和授权结果通知及其处理方法、设备、装置及介质 - Google Patents
一种认证和授权结果通知及其处理方法、设备、装置及介质 Download PDFInfo
- Publication number
- CN113498059B CN113498059B CN202010264064.8A CN202010264064A CN113498059B CN 113498059 B CN113498059 B CN 113498059B CN 202010264064 A CN202010264064 A CN 202010264064A CN 113498059 B CN113498059 B CN 113498059B
- Authority
- CN
- China
- Prior art keywords
- authentication
- amf
- authorization
- network slice
- authorization result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 479
- 238000003672 processing method Methods 0.000 title claims description 10
- 238000000034 method Methods 0.000 claims abstract description 124
- 230000006870 function Effects 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims abstract description 13
- 230000008569 process Effects 0.000 claims description 42
- 238000004891 communication Methods 0.000 claims description 15
- 238000007726 management method Methods 0.000 claims description 12
- 230000008859 change Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 10
- 238000013523 data management Methods 0.000 claims description 5
- 230000001360 synchronised effect Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 34
- 101100055418 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) AMF1 gene Proteins 0.000 description 11
- 230000004044 response Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种认证和授权结果通知及其处理方法、设备、装置及介质,包括:获得网络切片的认证和授权结果;将所述认证和授权结果通知接入和移动管理功能。接入和移动管理功能接收网络切片的认证和授权结果通知;接入和移动管理功能更新本地存储的认证和授权结果。采用本发明,解决了无法在不同接入和移动管理功能之间同步网络切片特定的认证和授权状态/结果的问题。
Description
技术领域
本发明涉及无线通信技术领域,特别涉及一种认证和授权结果通知及其处理方法、设备、装置及介质。
背景技术
现有技术只支持UE(用户设备,User Equipment)通过3GPP接入和非3GPP接入注册到同一PLMN(公用陆地移动网络,Public Land Mobile Network)(即只有一个AMF(接入和移动管理功能,Access and Mobility Management Function)为UE提供服务)的场景,不支持UE通过不同接入注册到不同PLMN的场景,即不支持UE有2个AMF的场景,因此,现有技术的不足在于:现有技术不支持涉及到UE有2个AMF的场景下的应用。
发明内容
本发明提供了一种认证和授权结果通知及其处理方法、设备、装置及介质,用以解决在UE存在多个服务的AMF时,无法在不同AMF之间同步网络切片特定的认证和授权状态/结果的问题。
本发明实施例提供了一种认证和授权结果通知方法,包括:
获得网络切片的认证和授权结果;
将所述认证和授权结果通知AMF。
实施中,包括:
UDM从AMF或AAA服务器获得网络切片的认证和授权结果;
UDM将所述认证和授权结果通知其他AMF。
实施中,UDM是在根据UE的上下文确定为该UE提供服务的AMF大于一个时,将所述认证和授权结果通知其他AMF。
实施中,UDM在确定出现以下情况之一或者其组合时,将所述认证和授权结果通知其他AMF:
其他AMF为UE分配的Allowed NSSAI包括了S-NSSAI;或,
与其他AMF相关的S-NSSAI的认证和授权结果信息中包括了S-NSSAI的信息;或,
其他AMF订阅了S-NSSAI的认证和授权结果信息;或,
网络切片的认证和授权结果发生改变。
实施中,UDM从AMF获得的网络切片的认证和授权结果,是AMF在执行网络切片的认证和授权过程之后,向UDM通知的认证和授权状态/结果。
实施中,包括:
UE从AMF获得网络切片的认证和授权结果;
UE将所述认证和授权结果通知其他AMF。
实施中,UE是在通过AMF完成S-NSSAI的网络切片的认证和授权过程之后获得的网络切片的认证和授权结果。
实施中,UE是确定为该UE提供服务的AMF大于一个时,将所述认证和授权结果通知其他AMF。
实施中,UE在确定其他AMF分配的Allowed NSSAI包括S-NSSAI;和/或,在确定认证和授权结果发生变化时,将所述认证和授权结果通知其他AMF。
实施中,UE通过在向其他AMF发送的注册请求中携带所述认证和授权结果,来通知其他AMF所述认证和授权结果;或,
UE通过在向其他AMF发送的注册请求中按预设规则携带信息,来通知其他AMF所述认证和授权结果。
实施中,包括:
AUSF或AAA服务器获得网络切片的认证和授权结果;
AUSF或AAA服务器将所述认证和授权结果通知AMF。
实施中,AUSF或AAA服务器通知的其他AMF是AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时设定的需通知的AMF。
实施中,当针对某个S-NSSAI的认证和授权结果发生变化时,AUSF或AAA服务器将该变化后的认证和授权结果通知AMF。
本发明实施例提供了一种认证和授权结果通知处理方法,包括:
AMF接收网络切片的认证和授权结果通知;
AMF更新本地存储的认证和授权结果。
实施中,更新本地存储的认证和授权结果,包括:
更新UE的Allowed NSSAI和rejected S-NSSAI。
实施中,更新本地存储的认证和授权结果后,进一步包括:
释放UE已建立的与S-NSSAI1相关的PDU会话。
实施中,进一步包括:
AMF在执行网络切片特定的认证和授权过程之后,向UDM通知认证和授权结果。
实施中,进一步包括:
AMF在接收到UE通知的认证和授权结果后,通过AUSF请求AAA服务器验证UE提供的认证和授权结果的有效性。
实施中,在AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时,是由AUSF或AAA服务器通知AMF接收网络切片的认证和授权结果的。
本发明实施例提供了一种通信设备,包括:
处理器,用于读取存储器中的程序,执行下列过程:
获得网络切片的认证和授权结果;
将所述认证和授权结果通知AMF;
收发机,用于在处理器的控制下接收和发送数据。
实施中,通信设备位于UDM,其中:
从AMF或AAA服务器获得网络切片的认证和授权结果;
将所述认证和授权结果通知其他AMF。
实施中,在根据UE的上下文确定为该UE提供服务的AMF大于一个时,将所述认证和授权结果通知其他AMF。
实施中,在确定出现以下情况之一或者其组合时,将所述认证和授权结果通知其他AMF:
其他AMF为UE分配的Allowed NSSAI包括了S-NSSAI;或,
与其他AMF相关的S-NSSAI的认证和授权结果信息中包括了S-NSSAI的信息;或,
其他AMF订阅了S-NSSAI的认证和授权结果信息;或,
网络切片的认证和授权结果发生改变。
实施中,从AMF获得的网络切片的认证和授权结果,是AMF在执行网络切片的认证和授权过程之后,向UDM通知的认证和授权状态/结果。
实施中,通信设备位于UE,其中:
从AMF获得网络切片的认证和授权结果;
将所述认证和授权结果通知其他AMF。
实施中,在通过AMF完成S-NSSAI的网络切片的认证和授权过程之后获得的网络切片的认证和授权结果。
实施中,确定为该UE提供服务的AMF大于一个时,将所述认证和授权结果通知其他AMF。
实施中,在确定其他AMF分配的Allowed NSSAI包括S-NSSAI;和/或,在确定认证和授权结果发生变化时,将所述认证和授权结果通知其他AMF。
实施中,通过在向其他AMF发送的注册请求中携带所述认证和授权结果,来通知其他AMF所述认证和授权结果;或,
通过在向其他AMF发送的注册请求中按预设规则携带信息,来通知其他AMF所述认证和授权结果。
实施中,通信设备位于AUSF或AAA服务器,其中:
获得网络切片的认证和授权结果;
将所述认证和授权结果通知AMF。
实施中,通知的其他AMF是AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时设定的需通知的AMF。
实施中,当针对某个S-NSSAI的认证和授权结果发生变化时,将该变化后的认证和授权结果通知AMF。
本发明实施例提供了一种AMF,包括:
处理器,用于读取存储器中的程序,执行下列过程:
接收网络切片的认证和授权结果通知;
在所述认证和授权结果与本地存储的认证和授权结果不一致时,更新本地存储的认证和授权结果;
收发机,用于在处理器的控制下接收和发送数据。
实施中,更新本地存储的认证和授权结果,包括:
更新UE的Allowed NSSAI和rejected S-NSSAI。
实施中,更新本地存储的认证和授权结果后,进一步包括:
释放UE已建立的与S-NSSAI1相关的PDU会话。
实施中,进一步包括:
在执行网络切片特定的认证和授权过程之后,向UDM通知认证和授权结果。
实施中,进一步包括:
在接收到UE通知的认证和授权结果后,通过AUSF请求AAA服务器验证UE提供的认证和授权结果的有效性。
实施中,在AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时,是由AUSF或AAA服务器通知AMF接收网络切片的认证和授权结果的。
本发明实施例提供了一种认证和授权结果通知装置,包括:
获得模块,用于获得网络切片的认证和授权结果;
通知模块,用于将所述认证和授权结果通知AMF。
本发明实施例提供了一种认证和授权结果通知处理装置,包括:
接收模块,用于接收网络切片的认证和授权结果通知;
更新模块,用于更新本地存储的认证和授权结果。
本发明实施例提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行上述认证和授权结果通知方法和/或认证和授权结果通知处理方法的计算机程序。
本发明有益效果如下:
在本发明实施例提供的技术方案中,在获得网络切片的认证和授权结果后,会将所述认证和授权结果通知AMF。进一步的,可以由UDM或者UE、AUSF或AAA服务器来通知其他AMF,由于每个AMF都能获知其他AMF上的认证和授权结果,因此解决了无法在不同AMF之间同步网络切片特定的认证和授权状态/结果的问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例中网络切片的认证和授权过程示意图;
图2为本发明实施例中网络切片的重认证和重授权过程示意图;
图3为本发明实施例中网络切片的授权撤销过程示意图;
图4为本发明实施例中认证和授权结果通知方法实施流程示意图;
图5为本发明实施例中认证和授权结果通知处理方法实施流程示意图;
图6为本发明实施例一中的认证和授权结果通知实施流程示意图;
图7为本发明实施例一中AMF从UDM接收到UE已注册到其他AMF的指示示意图;
图8为本发明实施例一中UDM分别向AMF订阅S-NSSAI的网络切片特定的认证和授权状态/结果发生改变的事件示意图;
图9为本发明实施例二中的认证和授权结果通知实施流程示意图;
图10为本发明实施例二中的认证和授权结果状态/结果发生变化时UDM在不同AMF之间同步实施流程示意图;
图11为本发明实施例三中的认证和授权结果通知实施流程示意图;
图12为本发明实施例四中的认证和授权结果通知实施流程示意图;
图13为本发明实施例五中的UDM订阅认证和授权状态/结果实施流程示意图;
图14为本发明实施例五中的AMF订阅认证和授权状态/结果实施流程示意图;
图15为本发明实施例中通信设备结构示意图;
图16为本发明实施例中AMF结构示意图。
具体实施方式
发明人在发明过程中注意到:
当需要AAA(认证,授权和计费,Authentication,Authorization andAccounting)服务器对S-NSSAI(单一网络切片选择辅助信息,Single Network SliceSelection Assistance Information)进行认证和授权时,触发网络切片特定的认证和授权过程。AAA服务器可属于HPLMN(本地公用陆地移动网络,Home Public Land MobileNetwork)运营商或第三方,如果AAA服务器属于第三方,则HPLMN内需要部署AAA代理。
在注册过程中,如果AMF决定需要对Allowed NSSAI(许可网络切片选择辅助信息)中的S-NSSAI进行认证和授权,或者AAA服务器触发重新认证时,则AMF触发网络切片特定的认证和授权过程。在该过程中,AMF充当EAP(可扩展的身份验证协议,ExtensibleAuthentication Protocol)认证者的角色,并通过AUSF(鉴权服务器功能,AuthenticationServer Function)与AAA服务器通信。
下面对网络切片特定的认证和授权进行说明。
图1为网络切片的认证和授权过程示意图,如图所示,主要包括:
步骤101、trigger to perform Slice-Specific Authentication AndAuthorisation(用于执行特定于切片的身份验证和授权的触发器)。
根据签约信息或由于AAA-S(AAA服务器,AAA-Server)的触发,对于需要执行网络切片特定的认证和授权过程的S-NSSAI,AMF触发网络切片特定的认证和授权过程。
步骤102、NAS MM Transport(非接入层移动性管理传输)消息携带有EAP IDRequest、S-NSSAI。
AMF向UE发送NAS(非接入层,Non Access Stratum)移动性管理传输消息,消息中包括EAP标识请求和S-NSSAI。
步骤103、NAS MM Transport(EAP ID response,S-NSSAI)。
UE向AMF返回NAS移动性管理传输消息,消息中包括EAP标识回复和S-NSSAI。
步骤104、Nausf_NSSAA_Authenticate Req(Nausf_NSSAA_认证请求;NSSAA:网络切片特定的认证和授权,Network Slice-Specific Authentication and Authorization)携带有EAP ID Response(EAP ID响应)、GPSI(通用公共签约标识,Generic PublicSubscription Identifier)、S-NSSAI。
AMF向AUSF发送Nausf_NSSAA_Authenticate请求,携带EAP标识回复,AAA服务器地址,GPSI,S-NSSAI。
步骤105、AAA Protocol message(AAA协议消息)(EAP ID Response,GPSI,S-NSSAI)。
如果部署了AAA-P(AAA代理,AAA-Proxy),AUSF将EAP标识回复消息、GPSI和S-NSSAI发送给AAA代理,否则直接将消息发送给AUSF。AUSF使用AAA代理或AAA服务器支持的AAA协议消息封装EAP标识回复消息、GPSI和S-NSSAI,然后将AAA协议消息发送给AAA代理或AAA服务器。
步骤106、AAA Protocol message(EAP ID Response,GPSI,S-NSSAI)。
AAA代理根据AAA服务器地址,将EAP标识回复消息、GPSI和S-NSSAI发送给AAA服务器。AAA服务器存储GPSI,并创建GPSI和EAP标识回复消息中的EAP标识之间的关联,因此,AAA服务器可使用该关联撤销认证或触发重新认证。
步骤107、AAA Protocol message(EAP msg,GPSI,S-NSSAI)。
步骤108、AAA Protocol message(EAP msg,GPSI,S-NSSAI)。
步骤109、Nausf_NSSAA_Authenticate Resp(Nausf接口NSSAA认证响应)(EAPmsg,GPSI,S-NSSAI)。
步骤110、NAS MM Transport(EAP msg,S-NSSAI)。
步骤111、NAS MM Transport(EAP msg,S-NSSAI)。
步骤112、Nausf_NSSAA_Authenticate Request(EAP msg,GPSI,S-NSSAI)。
步骤113、AAA Protocol message(EAP msg,AAA-S Addr.,GPSI,S-NSSAI)。
步骤114、AAA Protocol message(EAP msg,GPSI,S-NSSAI)。
在步骤107-步骤114中,AAA服务器和UE之间交互EAP消息。
步骤115、AAA Protocol message(EAP success/failure(EAP成功/失败),GPSI,S-NSSAI)。
EAP认证完成。AAA服务器存储已被授权的S-NSSAI,AAA-S可根据本地策略决定触发重认证和授权。AAA服务器向AAA代理(如未部署,则直接向AUSF)发送EAP成功/失败消息、GPSI和S-NSSAI。
步骤116、AAA Protocol messager(EAP Success/failure,GPSI,S-NSSAI)。
如果使用了AAA代理,AAA代理向AUSF发送AAA协议消息(EAP成功/失败,S-NSSAI,GPSI)。
步骤117、Nausf_NSSAA_Authenticate Resp(EAP Success/failuremsg,GPSI,S-NSSAI)。
AUSF向AMF发送Nausf_NSSAA_Authenticate回复(EAP成功/失败,S-NSSAI,GPSI)。
步骤118、NAS MM Transport(EAP success/failure)。
AMF向UE发送NAS移动性管理传输消息(EAP成功/失败)。
步骤119、UE configuration update procedure(UE配置更新过程)。
如果需要更新Allowed NSSAI或rejected S-NSSAI(拒绝S-NSSAI),则AMF发起UE配置更新过程。
下面对AAA服务器触发的网络切片特定的重认证和重授权过程进行说明。
图2为网络切片的重认证和重授权过程示意图,如图所示,主要包括:
步骤201、AAA Protocol Re-Auth Request(AAA协议重认证请求)(GPSI,S-NSSAI)。
AAA服务器(AAA-S)发送AAA协议重认证请求,携带GPSI,S-NSSAI,请求对由GPSI标识的UE进行由S-NSSAI标识的网络切片的重新认证和授权。如果部署了AAA代理(AAA-P),该消息被发送至AAA代理,否则直接发送给AUSF。
步骤202、AAA Protocol Re-Auth Request(GPSI,S-NSSAI)。
如果部署了AAA代理,则AAA代理将消息中转给AUSF。
步骤203a、Nudm_UECM_Get Req(Nudm_UECM_获取请求;UECM:UE上下文管理,UEContext Management)(GPSI,AMF Registration(AMF注册))。
步骤203b、Nudm_UECM_Get Resp(AMF ID)。
在步骤203a-203b中,AUSF使用Nudm_UECM_Get从UDM(统一数据管理实体,UnifiedData Management)获得AMF ID。
步骤204、NAusf_NSSAA_Notify(NAusf接口NSSAA通知)(Re-Auth event(重新验证事件),GPSI,S-NSSAI)。
AUSF向AMF通知重认证事件,请求AMF为UE重新认证/授权S-NSSAI。AUSF向AMF发送Nausf_NSSAA_Notify(GPSI,S-NSSAI)。
步骤205、Network Slice-Specific Secondary Authentication AndAuthorisation(网络切片特定的二次认证和授权)。
AMF触发网络切片特定的认证和授权过程。
下面对AAA服务器触发的切片特定的授权撤销过程进行说明。
图3为网络切片的授权撤销过程示意图,如图所示,主要包括:
步骤301、AAA Protocol Revoke Auth Request(AAA协议撤销认证请求)(GPSI,S-NSSAI)。
AAA服务器(AAA-S)发送AAA协议撤销认证请求消息(GPSI,S-NSSAI),请求撤销由GPSI标识的UE的S-NSSAI授权。如果部署了AAA代理(AAA-P),则消息被发送至AAA代理。
步骤302、AAA Protocol Revoke Auth Request(GPSI,S-NSSAI)。
如果部署了AAA代理,AAA代理将消息中转至AUSF。
步骤303a、Nudm_UECM_Get Req(GPSI,AMF Registration)。
步骤303b、Nudm_UECM_Get Resp(AMF ID)。
在步骤303a-303b中,AUSF使用Nudm_UECM_Get从UDM获得AMF ID。
步骤304、NAusf_NSSAA_Notify(Revoke Auth event(撤销认证事件),GPSI,S-NSSAI)。
AUSF向AMF发送Nausf_NSSAA_Notify(GPSI,S-NSSAI),请求AMF为UE撤销S-NSSAI的授权。
步骤305、UE Configuration Update(UE配置更新)。
AMF从UE的Allowed NSSAI中撤销上述S-NSSAI,然后将更新后的Allowed NSSAI发送给UE。
可见,现有技术只支持UE通过3GPP接入和非3GPP接入注册到同一PLMN(即只有一个AMF为UE提供服务)的场景,不支持UE通过不同接入注册到不同PLMN的场景,即不支持UE有2个AMF的场景,因此,当存在2个以上的AMF时,每个AMF并不能获知在其他AMF上保存的对S-NSSAI进行认证和授权的状态/结果。
综上,目前的网络切片特定的认证和授权机制不支持UE通过3GPP接入和非3GPP接入连接到不同PLMN的场景。在该场景下,不同PLMN内有不同的AMF为UE提供服务,不同AMF分别为UE分配Allowed NSSAI。不同的Allowed NSSAI可能包括相同的S-NSSAI,当针对该S-NSSAI执行认证和授权时,只能通过一个AMF执行,因此另外一个AMF无法获得S-NSSAI最新的认证和授权状态/结果。基于此,本发明实施例中提供了一种认证和授权结果通知方案,用以解决多个AMF之间的对认证和授权状态/结果的同步。
下面结合附图对本发明的具体实施方式进行说明。
在说明过程中,将分别从UDM、UE、AUSF、AAA服务器与AMF等侧的实施进行说明,然后还将给出它们配合实施的实例以更好地理解本发明实施例中给出的方案的实施。这样的说明方式并不意味着它们必须配合实施、或者必须单独实施,实际上,当它们各自分开实施时,其也各自解决自身一侧的问题,而它们结合使用时,会获得更好的技术效果。
图4为认证和授权结果通知方法实施流程示意图,如图所示,可以包括:
步骤401、获得网络切片的认证和授权结果;
步骤402、将所述认证和授权结果通知AMF。
图5为认证和授权结果通知处理方法实施流程示意图,如图所示,包括:
步骤501、AMF接收网络切片的认证和授权结果通知;
步骤502、更新本地存储的认证和授权结果。
具体的,AMF可以是在所述认证和授权结果与本地存储的认证和授权结果不一致时,更新本地存储的认证和授权结果。
下面分别对在UDM、UE、AUSF或AAA服务器侧上的实施进行说明。
一、在UDM上的实施。
本方式下,UDM在多个AMF之间同步S-NSSAI的认证和授权结果。
实施中,该方案可以包括:
UDM从AMF或AAA服务器获得网络切片的认证和授权结果;
UDM将所述认证和授权结果通知其他AMF。
UDM从AMF或AAA服务器获得网络切片的认证和授权结果,并将认证和授权结果通知给其他AMF。
具体的,UDM可以是在根据UE的上下文确定为该UE提供服务的AMF大于一个时,将所述认证和授权结果通知其他AMF。
具体实施中,UDM在确定出现以下情况之一或者其组合时,将所述认证和授权结果通知其他AMF:
其他AMF为UE分配的Allowed NSSAI包括了S-NSSAI;或,
与其他AMF相关的S-NSSAI的认证和授权结果信息中包括了S-NSSAI的信息;或,
其他AMF订阅了S-NSSAI的认证和授权结果信息;或,
网络切片的认证和授权结果发生改变。
具体的,UDM在向其他AMF发送认证和授权结果之前可以进行下述判断:
在UE的上下文中是否包括多于1个AMF,如果多于1个,则表示有多个AMF为UE提供服务,因此需要同步认证和授权结果。
具体的,除此之外,UDM还可能进一步判断是否需要向其他AMF提供S-NSSAI1(例中,为示区别将该S-NSSAI编号为1,下同)的认证和授权结果,判断依据可以是其他AMF为UE分配的Allowed NSSAI包括S-NSSAI1,或者与其他AMF相关的S-NSSAI的认证和授权结果信息中包括S-NSSAI1的信息,或者,其他AMF订阅了S-NSSAI1的认证和授权结果信息。
如果上述判断结果均为是,则UDM将S-NSSAI1的认证和授权结果发送给其他AMF,比如AMF2。
对于AMF侧,实施中,更新本地存储的认证和授权结果,包括:
更新UE的Allowed NSSAI和rejected S-NSSAI。
具体实施中,更新本地存储的认证和授权结果后,进一步包括:
释放UE已建立的与S-NSSAI1相关的PDU会话。
具体的,AMF2接收到S-NSSAI1的认证和授权结果之后,如果结果未发生改变,则AMF2不执行任何操作,如果结果从成功变为失败,则AMF2更新UE的Allowed NSSAI和rejected S-NSSAI,并释放UE已建立的与S-NSSAI1相关的PDU会话。
对于AMF侧,实施中,进一步包括:
AMF在执行网络切片特定的认证和授权过程之后,向UDM通知认证和授权结果。
具体实施中,UDM从AMF获得的网络切片的认证和授权结果,是AMF在执行网络切片的认证和授权过程之后,向UDM通知的认证和授权状态/结果。
具体的,AMF可以在执行网络切片特定的认证和授权过程之后,向UDM通知认证和授权状态/结果。UDM也可从AAA服务器请求认证和授权状态/结果。
二、在UE上的实施。
本方式下,UE在多个AMF之间同步S-NSSAI的认证和授权结果。
实施中,可以包括:
UE从AMF获得网络切片的认证和授权结果;
UE将所述认证和授权结果通知其他AMF。
具体实施中,UE是在通过AMF完成S-NSSAI的网络切片的认证和授权过程之后获得的网络切片的认证和授权结果。
具体的,UE通过AMF1(为便于区别,将产生认证和授权结果的AMF编号为1,下同)完成S-NSSAI1的网络切片特定的认证和授权过程之后,UE将S-NSSAI1的认证和授权结果通知到其他AMF。
对于AMF侧,实施中,进一步包括:
AMF在接收到UE通知的认证和授权结果后,通过AUSF请求AAA服务器验证UE提供的认证和授权结果的有效性。
具体的,AMF通过AUSF请求AAA服务器验证UE提供信息的有效性。
实施中,UE是确定为该UE提供服务的AMF大于一个时,将所述认证和授权结果通知其他AMF。
实施中,UE在确定其他AMF分配的Allowed NSSAI包括S-NSSAI;和/或,在确定认证和授权结果发生变化时,将所述认证和授权结果通知其他AMF。
具体的,UE向其他AMF发送认证和授权结果之前可进行下述判断:
UE是否连接到多个AMF,如果多于1个,则表示有多个AMF为UE提供服务,因此需要同步认证和授权结果。
除此之外,UE还可能进一步判断是否需要向其他AMF提供S-NSSAI1的认证和授权结果,判断依据可以是其他AMF分配的Allowed NSSAI包括S-NSSAI1或者是认证和授权结果发生变化。
实施中,UE通过在向其他AMF发送的注册请求中携带所述认证和授权结果,来通知其他AMF所述认证和授权结果;或,
UE通过在向其他AMF发送的注册请求中按预设规则携带信息,来通知其他AMF所述认证和授权结果。
具体的,UE可以显式或隐式地向其他AMF通知S-NSSAI1的认证和授权结果。如果是显式通知,则UE向其他AMF发送注册请求,消息中包括S-NSSAI1最新的认证和授权结果;如果是隐式通知,则UE向其他AMF发送注册请求,请求消息中包括的Requested NSSAI不包括S-NSSAI1(如认证和授权结果为失败)或者包括S-NSSAI(如认证和授权结果为成功)。
三、在AUSF或AAA服务器上的实施。
本方式下,AUSF或AAA服务器在AMF之间同步S-NSSAI的认证和授权结果。
AUSF或AAA服务器获得网络切片的认证和授权结果;
AUSF或AAA服务器将所述认证和授权结果通知AMF。
实施中,AUSF或AAA服务器通知的其他AMF是AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时设定的需通知的AMF。
实施中,当针对某个S-NSSAI的认证和授权结果发生变化时,AUSF或AAA服务器将该变化后的认证和授权结果通知AMF。
对于AMF侧,实施中,在AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时,是由AUSF或AAA服务器通知AMF接收网络切片的认证和授权结果的。
具体的,AMF或UDM可向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果,当UDM订阅时,UDM将结果通知端点设置为AMF的信息。当针对某个S-NSSAI的认证和授权结果发生变化时,AAA服务器直接通知给AUSF,AUSF将结果通知给AMF。
下面以实例进行说明。
实施例一
本实施例中,通过订阅和通知机制实现UDM在不同AMF之间同步网络切片特定的认证和授权结果状态。
图6为实施例一中的认证和授权结果通知实施流程示意图,如图所示,可以包括:
步骤601、Nudm_EventExposure_Subscribe(Nudm_事件开放_订阅)携带UE ID,S-NSSAI,网络切片特定的认证和授权状态/结果。
具体的,AMF向UDM发送Nudm_EventExposure_Subscribe消息,参数包括UE ID,S-NSSAI,网络切片特定的认证和授权状态/结果。AMF通过该消息向UDM订阅UE的S-NSSAI的网络切片特定的认证和授权状态/结果。AMF可能提供多个S-NSSAI。
步骤602、Nudm_EventExposure_Notify(Nudm_事件开放_通知)携带网络切片特定的认证和授权状态/结果。
具体的,当UDM发现S-NSSAI的认证和授权状态/结果发生变化时,UDM向AMF发送Nudm_EventExposure_Notify消息,参数包括S-NSSAI的网络切片特定的认证和授权状态/结果。
实施中,AMF向UDM发送上图中的步骤601之前,可能从UDM接收到UE已注册到其他AMF的指示。AMF可能在注册过程中接收到上述指示,或通过订阅/通知机制从UDM接收到相关指示,或直接从UDM接收到通知信息。至少可能的实现方案可以如下:
图7为实施例一中AMF从UDM接收到UE已注册到其他AMF的指示示意图,如图所示,可以包含:
方式一:
步骤701、Nudm_UECM_Registration Request(Nudm_UECM_注册请求)。
步骤702、Nudm_UECM_Registration Response(Nudm_UECM_注册响应)携带多AMF注册指示。
具体的,在UE注册的过程中,AMF向UDM发送Nudm_UECM_Registration Request消息(携带UE ID,AMF ID),将AMF ID注册到UDM中。
在本方式中,如果UDM发现UE的上下文中已包括其他的AMF ID,则UDM向AMF返回Nudm_UECM_Registration Response消息时,UDM在回复消息中携带多AMF注册指示。AMF根据该指示信息可知存在其他为UE服务的AMF,则AMF向UDM订阅S-NSSAI的网络切片特定的认证和授权状态/结果。
方式二:
步骤703、Nudm_EventExposure_Subscribe,携带UE ID,AMF注册状态。
步骤704、Nudm_EventExposure_Notify,携带AMF注册状态。
具体的,AMF向UDM发送Nudm_EventExposure_Subscribe消息(携带UE ID,AMF注册状态)。
当UDM发现UE的AMF注册状态(即多AMF注册或单AMF注册)发生改变时,UDM向AMF发送Nudm_EventExposure_Subscribe(AMF注册状态)。如果AMF发现UE的AMF注册状态为多AMF注册,则AMF向UDM订阅S-NSSAI的网络切片特定的认证和授权状态/结果。
方式三:
步骤705、Nudm_UECM_Get Request。
步骤706、2.Nudm_UECM_Get Response。
具体的,AMF向UDM发送Nudm_UECM_Get请求消息,消息包括UE ID和AMF,UDM向AMF返回Nudm_UECM_Get回复消息,消息中包括此次UE注册的AMF的标识。如果UDM返回多个AMF标识,说明UE此时注册到多个AMF,则AMF向UDM订阅S-NSSAI的网络切片特定的认证和授权状态/结果。
方式四:
步骤707、第一通知消息。
具体的,当UDM发现UE的AMF注册状态发生改变时,UDM分别向UE注册的AMF发送第一通知消息(实施例中采用的第一、第二等,仅是为了区别于其他通知消息,并不是指采用“第一通知消息”的消息来实施,下同),消息参数为AMF注册状态,即多AMF注册或单AMF注册。如果是多AMF注册,则AMF向UDM订阅S-NSSAI的网络切片特定的认证和授权状态/结果。
需要说明的是,上述四种方式之间并无任何依从关系,均为可以独立实现的方案。
当UE注册到多个AMF时(即AMF注册状态为多AMF注册,此时UDM保存的UE上下文中包括多个AMF的信息),UDM分别向AMF订阅S-NSSAI的网络切片特定的认证和授权状态/结果发生改变的事件。
图8为实施例一中UDM分别向AMF订阅S-NSSAI的网络切片特定的认证和授权状态/结果发生改变的事件示意图,如图所示,可以包含:
对上图的描述如下:
步骤801、Namf_EventExposure_Subscribe,携带UE ID,网络切片特定的认证和授权状态/结果。
具体的,UDM向AMF发送Namf_EventExposure_Subscribe消息,参数包括UE ID,网络切片特定的认证和授权状态/结果。AMF通过该消息向UDM订阅UE的网络切片特定的认证和授权状态/结果。
步骤802、Namf_EventExposure_Notify,携带网络切片特定的认证和授权状态/结果。
具体的,当AMF发现UE的网络切片特定的认证和授权状态/结果发生变化时,AMF向UDM发送Namf_EventExposure_Notify消息,参数包括S-NSSAI和网络切片特定的认证和授权状态/结果。
实施例二
本实施例中,UDM存储S-NSSAI的网络切片特定的认证和授权状态/结果,并将信息同步到不同AMF。
图9为实施例二中的认证和授权结果通知实施流程示意图,如图所示,UDM获得网络切片特定的认证和授权状态/结果的具体过程可以包括:
步骤901、AMF向UDM发送第三请求消息,携带有UE ID。
具体的,AMF向UDM发送第三请求消息,消息包括UE标识,请求该UE的网络切片特定的认证和授权状态/结果。消息中还可能包括一个或多个S-NSSAI,表明请求这些S-NSSAI的认证和授权状态/结果,如果不提供S-NSSAI,则说明请求UE的所有签约S-NSSAI中需要执行认证和授权的S-NSSAI的状态/结果。
步骤902、UDM向AMF返回第三回复消息,携带网络切片特定的认证和授权状态/结果。
具体的,UDM向AMF返回第三回复消息,消息参数为网络切片特定的认证和授权状态/结果。
步骤903、网络切片特定的认证和授权过程。
具体的,如果UDM未返回任何信息,则AMF为Allowed NSSAI中需要执行认证和授权的所有S-NSSAI发起认证和授权过程。如果UDM返回部分S-NSSAI的认证和授权状态/结果为失败,则AMF将这些S-NSSAI从Allowed NSSAI中移除,将其放入rejected S-NSSAI中。
步骤904、AMF向UDM第二请求消息,携带UE ID,网络切片特定的认证和授权状态/结果。
具体的,AMF向UDM发送第二请求消息,参数为UE ID,网络切片特定的认证和授权状态/结果。第二请求消息可以是Nudm_UECM_Update消息或者是新定义的消息。
步骤905、UDM向AMF返回第二回复消息。
假设UE首先通过AMF1注册到网络,AMF1为UE决定的Allowed NSSAI中包括的S-NSSAI1、S-NSSAI2和S-NSSAI3需要执行认证和授权过程,则AMF1发起上述过程,请求UDM提供这3个S-NSSAI的认证和授权状态/结果。因为UDM中未存储这3个S-NSSAI相关的状态和结果,则UDM返回的回复消息中未包括认证和授权状态/结果。AMF1为这3个S-NSSAI分别发起网络切片特定的认证和授权过程,假设S-NSSAI1和S-NSSAI2的认证和授权状态/结果为成功,S-NSSAI3的认证和授权状态/结果为失败。AMF1通过上述过程的步骤904和步骤905将上述3个S-NSSAI的认证和授权状态/结果发送给UDM。
当UE再次通过AMF2注册到网络时,AMF2为UE决定Allowed NSSAI之后,发现Allowed NSSAI中的S-NSSAI2,S-NSSAI3和S-NSSAI4需要执行网络切片特定的认证和授权过程。AMF2向UDM请求S-NSSAI2,S-NSSAI3和S-NSSAI4的认证和授权状态/结果,UDM向其返回自身存储的信息。由于S-NSSAI2已认证成功,则AMF2跳过认证和授权过程;由于S-NSSAI3认证失败,则AMF2将其从Allowed NSSAI中移除,并将其包含在rejected S-NSSAI中;由于UDM未返回S-NSSAI4的认证和授权状态/结果,AMF2为其触发网络切片特定的认证和授权过程。AMF2将S-NSSAI的认证和授权状态/结果发送给UDM。
图10为实施例二中的认证和授权结果状态/结果发生变化时UDM在不同AMF之间同步实施流程示意图,如图所示,当网络切片特定的认证和授权状态/结果发生变化时,UDM在不同AMF之间同步状态的过程,可以包括:
步骤1001、AMF2向UDM发送第二请求消息,消息包括UE ID,网络切片特定的认证和授权状态/结果。
具体的,AMF2发现网络切片特定的认证和授权状态/结果发生变化,例如AAA服务器撤销S-NSSAI4的认证和授权,或AAA服务器触发的S-NSSAI2的重认证和重授权过程失败,AMF2向UDM发送第二请求消息,消息包括UE ID,网络切片特定的认证和授权状态/结果。
步骤1002、UDM向AMF2返回第二回复消息。
UDM更新本地信息。
步骤1003、UDM向AMF1发送第四通知消息,参数包括UE ID,网络切片特定的认证和授权状态/结果。
具体的,UDM发现需要更新AMF1中存储的S-NSSAI2的认证和授权状态/结果,则UDM向AMF1发送第四通知消息,参数包括UE ID,网络切片特定的认证和授权状态/结果。
步骤1004、AMF2向UDM返回第四回复消息。
为支持上述机制,UDM中可在UE上下文中存储下述信息:
1、<AMF1,Allowed NSSAI1>,<AMF2,Allowed NSSAI2>,S-NSSAI的认证和授权状态/结果;或者,
2、<S-NSSAI,认证和授权状态/结果,上报该S-NSSAI的认证和授权状态/结果的AMF的信息>;或者,
3、AMF1,S-NSSAI,认证和授权状态/结果。
根据UDM存储的信息不同,UDM内部处理逻辑不同。如果UDM中存储Allowed NSSAI,则AMF上报网络切片特定的认证和授权状态/结果时,还提供Allowed NSSAI。当AMF报告S-NSSAI的认证和授权状态时,UDM检查该S-NSSAI还位于哪些Allowed NSSAI中,并向与该Allowed NSSAI对应的AMF发送S-NSSAI的认证和授权状态。
实施例三
本实施例中,UDM从AAA服务器获得网络切片的认证和授权状态/结果。
图11为实施例三中的认证和授权结果通知实施流程示意图,如图所示,可以包括:
步骤1101、UDM向AUSF发送认证和授权状态/结果订阅,消息包括S-NSSAI;
步骤1102、AUSF将消息认证和授权状态/结果订阅,消息包括S-NSSAI转发给AAA服务器;
AUSF将消息转发给AAA服务器;
步骤1103、AAA服务器向AUSF发送认证和授权状态/结果通知,消息参数为S-NSSAI的认证和授权状态/结果。
AAA服务器发现S-NSSAI的认证和授权状态/结果发生变化时,AAA服务器向AUSF发送认证和授权状态/结果通知,消息参数为S-NSSAI的认证和授权状态/结果。
步骤1104、AUSF向UDM转发认证和授权状态/结果通知,消息参数为S-NSSAI的认证和授权状态/结果。
UDM获取上述信息之后,向订阅了S-NSSAI的认证和授权状态/结果的AMF发送事件通知。
实施例四
本实施例中,UE在AMF之间同步网络切片特定的认证和授权状态/结果。
图12为实施例四中的认证和授权结果通知实施流程示意图,如图所示,可以包括:
步骤1201、UE向AMF发送注册请求,消息包括S-NSSAI,网络切片特定的认证和授权状态/结果(可选参数)。
步骤1202、AMF向AUSF发送UE提供的信息,以检查UE提供信息的正确性。
步骤1203、AUSF将AMF的消息注册请求,消息包括S-NSSAI,网络切片特定的认证和授权状态/结果,中转给AAA服务器。
步骤1204、AAA服务器向AUSF返回S-NSSAI的网络切片特定的认证和授权状态/结果。
步骤1205、AUSF将消息网络切片特定的认证和授权状态/结果中转给AMF。
步骤1206、AMF箱UE返回注册接受消息。
对于Allowed NSSAI中包括,但未检查认证和授权状态/结果的S-NSSAI,AMF需要触发网络切片特定的认证和授权过程。
实施例五
本实施例中,AAA服务器在AMF之间同步认证和授权状态/结果的方案。
图13为实施例五中的UDM订阅认证和授权状态/结果实施流程示意图,如图所示,UDM订阅认证和授权状态/结果时可以包括:
步骤1301、UDM向AUSF发送认证和授权状态/结果订阅(UE ID,S-NSSAI,通知节点,AAA服务器地址)。
其中通知节点为AMF的信息,AAA服务器地址可以是预配置在UDM中,也可以是AMF提供的。当UDM发现UE的服务AMF有多个(UE的上下文中包括多个AMF),且不同服务AMF分配的Allowed NSSAI均包括同一需要执行认证和授权的S-NSSAI时,UDM可触发该过程。
步骤1302、AUSF根据消息中的AAA服务器地址,将认证和授权状态/结果订阅消息发送给AAA服务器。
步骤1303、AAA服务器发现S-NSSAI的认证和授权状态/结果发生变化,AAA服务器根据订阅消息中的通知节点的信息,将S-NSSAI的认证和授权状态/结果通知给AMF。
图14为实施例五中的AMF订阅认证和授权状态/结果实施流程示意图,如图所示,AMF订阅认证和授权状态/结果时可以包括:
步骤1401、AMF向AUSF发送认证和授权状态/结果订阅(UE ID,S-NSSAI,通知节点,AAA服务器地址)。
其中通知节点为AMF的信息。当AMF发现UE注册到多个AMF,且不同服务AMF分配的Allowed NSSAI均包括同一需要执行认证和授权的S-NSSAI时,AMF可触发该过程。UDM或UE可向AMF提供其他AMF分配的Allowed NSSAI的信息。
步骤1402、AUSF根据消息中的AAA服务器地址,将认证和授权状态/结果订阅消息发送给AAA服务器。
步骤1403、AAA服务器发现S-NSSAI的认证和授权状态/结果发生变化,AAA服务器根据订阅消息中的通知节点的信息,将S-NSSAI的认证和授权状态/结果通知给AMF。
基于同一发明构思,本发明实施例中还提供了一种通信设备、AMF、认证和授权结果通知装置、认证和授权结果通知处理装置、计算机可读存储介质,由于这些设备解决问题的原理与认证和授权结果通知方法、认证和授权结果通知处理方法相似,因此这些设备的实施可以参见方法的实施,重复之处不再赘述。
在实施本发明实施例提供的技术方案时,可以按如下方式实施。
图15为通信设备结构示意图,如图所示,包括:
处理器1500,用于读取存储器1520中的程序,执行下列过程:
获得网络切片的认证和授权结果;
将所述认证和授权结果通知AMF;
收发机1510,用于在处理器1500的控制下接收和发送数据。
实施中,通信设备位于UDM,其中:
从AMF或AAA服务器获得网络切片的认证和授权结果;
将所述认证和授权结果通知其他AMF。
实施中,在根据UE的上下文确定为该UE提供服务的AMF大于一个时,将所述认证和授权结果通知其他AMF。
实施中,在确定出现以下情况之一或者其组合时,将所述认证和授权结果通知其他AMF:
其他AMF为UE分配的Allowed NSSAI包括了S-NSSAI;或,
与其他AMF相关的S-NSSAI的认证和授权结果信息中包括了S-NSSAI的信息;或,
其他AMF订阅了S-NSSAI的认证和授权结果信息;或,
网络切片的认证和授权结果发生改变。
实施中,从AMF获得的网络切片的认证和授权结果,是AMF在执行网络切片的认证和授权过程之后,向UDM通知的认证和授权状态/结果。
实施中,通信设备位于UE,其中:
从AMF获得网络切片的认证和授权结果;
将所述认证和授权结果通知其他AMF。
实施中,在通过AMF完成S-NSSAI的网络切片的认证和授权过程之后获得的网络切片的认证和授权结果。
实施中,确定为该UE提供服务的AMF大于一个时,将所述认证和授权结果通知其他AMF。
实施中,在确定其他AMF分配的Allowed NSSAI包括S-NSSAI;和/或,在确定认证和授权结果发生变化时,将所述认证和授权结果通知其他AMF。
实施中,通过在向其他AMF发送的注册请求中携带所述认证和授权结果,来通知其他AMF所述认证和授权结果;或,
通过在向其他AMF发送的注册请求中按预设规则携带信息,来通知其他AMF所述认证和授权结果。
实施中,通信设备位于AUSF或AAA服务器,其中:
获得网络切片的认证和授权结果;
将所述认证和授权结果通知AMF。
实施中,通知的其他AMF是AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时设定的需通知的AMF。
实施中,当针对某个S-NSSAI的认证和授权结果发生变化时,将该变化后的认证和授权结果通知AMF。
其中,在图15中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1500代表的一个或多个处理器和存储器1520代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1510可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器1500负责管理总线架构和通常的处理,存储器1520可以存储处理器1500在执行操作时所使用的数据。
本发明实施例提供了一种认证和授权结果通知装置,包括:
获得模块,用于获得网络切片的认证和授权结果;
通知模块,用于将所述认证和授权结果通知AMF。
具体实施可以参见认证和授权结果通知方法的实施。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
图16为AMF结构示意图,如图所示,AMF包括:
处理器1600,用于读取存储器1620中的程序,执行下列过程:
接收网络切片的认证和授权结果通知;
更新本地存储的认证和授权结果;
收发机1610,用于在处理器1600的控制下接收和发送数据。
具体的,可以在所述认证和授权结果与本地存储的认证和授权结果不一致时,更新本地存储的认证和授权结果。
实施中,更新本地存储的认证和授权结果,包括:
更新UE的Allowed NSSAI和rejected S-NSSAI。
实施中,更新本地存储的认证和授权结果后,进一步包括:
释放UE已建立的与S-NSSAI1相关的PDU会话。
实施中,进一步包括:
在执行网络切片特定的认证和授权过程之后,向UDM通知认证和授权结果。
实施中,进一步包括:
在接收到UE通知的认证和授权结果后,通过AUSF请求AAA服务器验证UE提供的认证和授权结果的有效性。
实施中,在AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时,是由AUSF或AAA服务器通知AMF接收网络切片的认证和授权结果的。
其中,在图16中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1600代表的一个或多个处理器和存储器1620代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1610可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器1600负责管理总线架构和通常的处理,存储器1620可以存储处理器1600在执行操作时所使用的数据。
本发明实施例提供了一种认证和授权结果通知处理装置,包括:
接收模块,用于接收网络切片的认证和授权结果通知;
更新模块,用于更新本地存储的认证和授权结果。
具体实施可以参见认证和授权结果通知处理方法的实施。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
本发明实施例提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行上述认证和授权结果通知方法和/或认证和授权结果通知处理方法的计算机程序。
具体实施可以参见认证和授权结果通知方法和/或认证和授权结果通知处理方法的实施。
综上所述,在本发明实施例提供的技术方案中UDM或AAA服务器或UE在不同AMF之间同步网络切片的认证和授权状态/结果。具体的:
UDM从AMF或AAA服务器获得网络切片的认证和授权状态/结果,并将该信息发送给UE连接的其他AMF。进一步的UDM向AMF或AAA服务器订阅网络切片的认证和授权状态/结果。AMF向UDM订阅网络切片的认证和授权状态/结果。
UDM或AMF向AAA服务器订阅网络切片的认证和授权状态/结果。进一步的AAA服务器向UDM或AMF通知网络切片的认证和授权状态/结果。UDM向AMF通知网络切片的认证和授权状态/结果。
UE向AMF发送网络切片的认证和授权状态/结果。进一步的AMF接收到UE提供的信息之后,可通过AUSF向AAA服务器验证UE提供信息的有效性。
本发明实施例中提供的方案解决了无法在不同AMF之间同步网络切片特定的认证和授权状态/结果的问题。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (35)
1.一种认证和授权结果通知方法,其特征在于,包括:
从第一接入和移动管理功能AMF或认证、授权和计费AAA服务器获得网络切片的认证和授权结果;
将所述认证和授权结果通知第二AMF;
其中,所述网络切片的认证和授权结果是第一AMF在执行网络切片的认证和授权过程之后获得的认证和授权结果;所述第一AMF和所述第二AMF是UE同时通过不同接入类型连接到不同PLMN时分别注册的AMF。
2.如权利要求1所述的方法,其特征在于,包括:
统一数据管理实体UDM从第一AMF或认证、授权和计费AAA服务器获得网络切片的认证和授权结果;
UDM将所述认证和授权结果通知第二AMF。
3.如权利要求2所述的方法,其特征在于,UDM在确定出现以下情况之一或者其组合时,将所述认证和授权结果通知第二AMF:
第二AMF为UE分配的许可网络切片选择辅助信息Allowed NSSAI包括了单一网络切片选择辅助信息S-NSSAI;或,
与第二AMF相关的S-NSSAI的认证和授权结果信息中包括了S-NSSAI的信息;或,
第二AMF订阅了S-NSSAI的认证和授权结果信息;或,
网络切片的认证和授权结果发生改变。
4.如权利要求2所述的方法,其特征在于,UDM从第一AMF获得的网络切片的认证和授权结果,是第一AMF在执行网络切片的认证和授权过程之后,向UDM通知的认证和授权状态/结果。
5.如权利要求1所述的方法,其特征在于,包括:
UE从第一AMF获得网络切片的认证和授权结果;
UE将所述认证和授权结果通知第二AMF。
6.如权利要求5所述的方法,其特征在于,UE是在通过第一AMF完成S-NSSAI的网络切片的认证和授权过程之后获得的网络切片的认证和授权结果。
7.如权利要求5所述的方法,其特征在于,UE是确定为该UE提供服务的AMF大于一个时,将所述认证和授权结果通知第二AMF。
8.如权利要求7所述的方法,其特征在于,UE在确定第二AMF分配的Allowed NSSAI包括S-NSSAI;和/或,在确定认证和授权结果发生变化时,将所述认证和授权结果通知第二AMF。
9.如权利要求5所述的方法,其特征在于,UE通过在向第二AMF发送的注册请求中携带所述认证和授权结果,来通知第二AMF所述认证和授权结果;或,
UE通过在向第二AMF发送的注册请求中按预设规则携带信息,来通知第二AMF所述认证和授权结果。
10.如权利要求1所述的方法,其特征在于,包括:
鉴权服务功能AUSF或AAA服务器获得网络切片的认证和授权结果;
AUSF或AAA服务器将所述认证和授权结果通知第二AMF。
11.如权利要求10所述的方法,其特征在于,AUSF或AAA服务器通知的第二AMF是第二AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时设定的需通知的AMF。
12.如权利要求10所述的方法,其特征在于,当针对某个S-NSSAI的认证和授权结果发生变化时,AUSF或AAA服务器将该变化后的认证和授权结果通知第二AMF。
13.一种认证和授权结果通知处理方法,其特征在于,包括:
第二AMF接收统一数据管理实体UDM、UE、鉴权服务功能AUSF或认证、授权和计费AAA服务器获通知的网络切片的认证和授权结果通知;
第二AMF更新本地存储的认证和授权结果;
其中,所述网络切片的认证和授权结果是第一AMF在执行网络切片的认证和授权过程之后获得的认证和授权结果;所述第一AMF和所述第二AMF是UE同时通过不同接入类型连接到不同PLMN时分别注册的AMF。
14.如权利要求13所述的方法,其特征在于,进一步包括:
第二AMF在执行网络切片特定的认证和授权过程之后,向UDM通知认证和授权结果。
15.如权利要求13所述的方法,其特征在于,进一步包括:
第二AMF在接收到UE通知的认证和授权结果后,通过AUSF请求AAA服务器验证UE提供的认证和授权结果的有效性。
16.如权利要求13所述的方法,其特征在于,在第二AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时,是由AUSF或AAA服务器通知第二AMF接收网络切片的认证和授权结果的。
17.一种通信设备,其特征在于,包括:
处理器,用于读取存储器中的程序,执行下列过程:
从第一接入和移动管理功能AMF或认证、授权和计费AAA服务器获得网络切片的认证和授权结果;
将所述认证和授权结果通知第二AMF;
收发机,用于在处理器的控制下接收和发送数据;
其中,所述网络切片的认证和授权结果是第一AMF在执行网络切片的认证和授权过程之后获得的认证和授权结果;所述第一AMF和所述第二AMF是UE同时通过不同接入类型连接到不同PLMN时分别注册的AMF。
18.如权利要求17所述的设备,其特征在于,通信设备位于UDM,其中:
从第一AMF或AAA服务器获得网络切片的认证和授权结果;
将所述认证和授权结果通知第二AMF。
19.如权利要求18所述的设备,其特征在于,在确定出现以下情况之一或者其组合时,将所述认证和授权结果通知第二AMF:
第二AMF为UE分配的Allowed NSSAI包括了S-NSSAI;或,
与第二AMF相关的S-NSSAI的认证和授权结果信息中包括了S-NSSAI的信息;或,
第二AMF订阅了S-NSSAI的认证和授权结果信息;或,
网络切片的认证和授权结果发生改变。
20.如权利要求18所述的设备,其特征在于,从第一AMF获得的网络切片的认证和授权结果,是第一AMF在执行网络切片的认证和授权过程之后,向UDM通知的认证和授权状态/结果。
21.如权利要求17所述的设备,其特征在于,通信设备位于UE,其中:
从第一AMF获得网络切片的认证和授权结果;
将所述认证和授权结果通知第二AMF。
22.如权利要求21所述的设备,其特征在于,在通过第一AMF完成S-NSSAI的网络切片的认证和授权过程之后获得的网络切片的认证和授权结果。
23.如权利要求21所述的设备,其特征在于,确定为该UE提供服务的AMF大于一个时,将所述认证和授权结果通知第二AMF。
24.如权利要求23所述的设备,其特征在于,在确定第二AMF分配的Allowed NSSAI包括S-NSSAI;和/或,在确定认证和授权结果发生变化时,将所述认证和授权结果通知第二AMF。
25.如权利要求21所述的设备,其特征在于,通过在向第二AMF发送的注册请求中携带所述认证和授权结果,来通知第二AMF所述认证和授权结果;或,
通过在向第二AMF发送的注册请求中按预设规则携带信息,来通知第二AMF所述认证和授权结果。
26.如权利要求17所述的设备,其特征在于,通信设备位于AUSF或AAA服务器,其中:
获得网络切片的认证和授权结果;
将所述认证和授权结果通知第二AMF。
27.如权利要求26所述的设备,其特征在于,通知的第二AMF是第二AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时设定的需通知的AMF。
28.如权利要求26所述的设备,其特征在于,当针对某个S-NSSAI的认证和授权结果发生变化时,将该变化后的认证和授权结果通知第二AMF。
29.一种第二AMF,其特征在于,包括:
处理器,用于读取存储器中的程序,执行下列过程:
接收统一数据管理实体UDM、UE、鉴权服务功能AUSF或认证、授权和计费AAA服务器获通知的网络切片的认证和授权结果通知;
更新本地存储的认证和授权结果;
收发机,用于在处理器的控制下接收和发送数据;
其中,所述网络切片的认证和授权结果是第一AMF在执行网络切片的认证和授权过程之后获得的认证和授权结果;所述第一AMF和所述第二AMF是UE同时通过不同接入类型连接到不同PLMN时分别注册的AMF。
30.如权利要求29所述的第二AMF,其特征在于,进一步包括:
在执行网络切片特定的认证和授权过程之后,向UDM通知认证和授权结果。
31.如权利要求29所述的第二AMF,其特征在于,进一步包括:
在接收到UE通知的认证和授权结果后,通过AUSF请求AAA服务器验证UE提供的认证和授权结果的有效性。
32.如权利要求29所述的第二AMF,其特征在于,在第二AMF或UDM在向AUSF或AAA服务器订阅S-NSSAI的认证和授权结果时,是由AUSF或AAA服务器通知第二AMF接收网络切片的认证和授权结果的。
33.一种认证和授权结果通知装置,其特征在于,包括:
获得模块,用于从第一接入和移动管理功能AMF或认证、授权和计费AAA服务器获得网络切片的认证和授权结果;
通知模块,用于将所述认证和授权结果通知第二AMF;
其中,所述网络切片的认证和授权结果是第一AMF在执行网络切片的认证和授权过程之后获得的认证和授权结果;所述第一AMF和所述第二AMF是UE同时通过不同接入类型连接到不同PLMN时分别注册的AMF。
34.一种认证和授权结果通知处理装置,应用于第二AMF,其特征在于,包括:
接收模块,用于接收统一数据管理实体UDM、UE、鉴权服务功能AUSF或认证、授权和计费AAA服务器获通知的网络切片的认证和授权结果通知;
更新模块,用于在所述认证和授权结果与本地存储的认证和授权结果不一致时,更新本地存储的认证和授权结果;
其中,所述网络切片的认证和授权结果是第一AMF在执行网络切片的认证和授权过程之后获得的认证和授权结果;所述第一AMF和所述第二AMF是UE同时通过不同接入类型连接到不同PLMN时分别注册的AMF。
35.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至16任一所述方法的计算机程序。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010264064.8A CN113498059B (zh) | 2020-04-07 | 2020-04-07 | 一种认证和授权结果通知及其处理方法、设备、装置及介质 |
CN202310180184.3A CN116193430A (zh) | 2020-04-07 | 2020-04-07 | 一种认证和授权结果通知及其处理方法、设备、装置及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010264064.8A CN113498059B (zh) | 2020-04-07 | 2020-04-07 | 一种认证和授权结果通知及其处理方法、设备、装置及介质 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310180184.3A Division CN116193430A (zh) | 2020-04-07 | 2020-04-07 | 一种认证和授权结果通知及其处理方法、设备、装置及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113498059A CN113498059A (zh) | 2021-10-12 |
CN113498059B true CN113498059B (zh) | 2023-03-10 |
Family
ID=77995445
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010264064.8A Active CN113498059B (zh) | 2020-04-07 | 2020-04-07 | 一种认证和授权结果通知及其处理方法、设备、装置及介质 |
CN202310180184.3A Pending CN116193430A (zh) | 2020-04-07 | 2020-04-07 | 一种认证和授权结果通知及其处理方法、设备、装置及介质 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310180184.3A Pending CN116193430A (zh) | 2020-04-07 | 2020-04-07 | 一种认证和授权结果通知及其处理方法、设备、装置及介质 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN113498059B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019160069A1 (en) * | 2018-02-16 | 2019-08-22 | Nec Corporation | Method to select the right udm instance and ensure the udm instance security |
CN110167025A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及通信装置 |
WO2020056611A1 (zh) * | 2018-09-18 | 2020-03-26 | Oppo广东移动通信有限公司 | 用于网络切片鉴权的方法和设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3641424B1 (en) * | 2017-06-17 | 2022-05-04 | LG Electronics Inc. | Method for registering a user equipment with a network slice in a wireless communication system and user equipment therefor |
CN109429295B (zh) * | 2017-08-31 | 2021-11-23 | 中兴通讯股份有限公司 | 一种选择amf的方法、amf、系统及存储介质 |
KR102391819B1 (ko) * | 2018-04-09 | 2022-04-29 | 삼성전자주식회사 | 이동통신 시스템에서 네트워크 슬라이싱을 이용하는 방법 및 장치 |
US11388661B2 (en) * | 2018-04-14 | 2022-07-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Network slice configuration update |
-
2020
- 2020-04-07 CN CN202010264064.8A patent/CN113498059B/zh active Active
- 2020-04-07 CN CN202310180184.3A patent/CN116193430A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110167025A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及通信装置 |
WO2019160069A1 (en) * | 2018-02-16 | 2019-08-22 | Nec Corporation | Method to select the right udm instance and ensure the udm instance security |
WO2020056611A1 (zh) * | 2018-09-18 | 2020-03-26 | Oppo广东移动通信有限公司 | 用于网络切片鉴权的方法和设备 |
Non-Patent Citations (4)
Title |
---|
Huawei, HiSilicon.S3-194046 "Amendment to Clause X.X.3 of Slice specific authentication procedure".《3GPP tsg_sa\wg3_security》.2019, * |
S2-2002219,"Update NSSAA for two AMFs serving UE";Huawei,HiSilicon;《3GPP tsg_sa\wg2_arch》;20200218;全文 * |
S3-194046 "Amendment to Clause X.X.3 of Slice specific authentication procedure";Huawei, HiSilicon;《3GPP tsg_sa\wg3_security》;20191111;第x.x.3节 * |
S3-194537 "DraftCR – Proposed call flow for Network Slice Specific Authentication and Authorization";Ericsson, Huawei;《3GPP tsg_sa\wg3_security》;20191122;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113498059A (zh) | 2021-10-12 |
CN116193430A (zh) | 2023-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114785523B (zh) | 网络功能服务的身份校验方法及相关装置 | |
CN110881185B (zh) | 一种通信的方法及装置 | |
CN112449315B (zh) | 一种网络切片的管理方法及相关装置 | |
CN113438196B (zh) | 一种服务授权方法、装置及系统 | |
WO2018202284A1 (en) | Authorizing access to user data | |
US8621572B2 (en) | Method, apparatus and system for updating authentication, authorization and accounting session | |
US11895487B2 (en) | Method for determining a key for securing communication between a user apparatus and an application server | |
CN112105021B (zh) | 一种认证方法、装置及系统 | |
EP2466759B1 (en) | Method and system for changing a selected home operator of a machine to machine equipment | |
CN114270931A (zh) | 用于网络切片的授权方法 | |
CN113498060B (zh) | 一种控制网络切片认证的方法、装置、设备及存储介质 | |
CN113841429B (zh) | 用于发起切片特定的认证和授权的通信网络组件和方法 | |
WO2021095655A1 (en) | System and method to enable charging and policies for a ue with one or more user identities | |
JP2023519997A (ja) | 端末パラメータ更新を保護するための方法および通信装置 | |
US20230370840A1 (en) | Method, ue, and network entity for handling synchronization of security key in wireless network | |
CN116250289A (zh) | 用于网络切片认证授权状态的传递方法 | |
CN113498059B (zh) | 一种认证和授权结果通知及其处理方法、设备、装置及介质 | |
KR102127028B1 (ko) | 인터넷 프로토콜 멀티미디어 서브시스템 단말의 네트워크 액세스 방법 및 장치 | |
CN115396895A (zh) | 一种服务授权的方法及装置 | |
CN113286300A (zh) | 基于区块链的网络分片认证方法、系统、网元及存储介质 | |
CN111464324A (zh) | 一种安全通信方法、装置和系统 | |
WO2023004693A1 (en) | Method, device and computer program product for wireless communication | |
CN102056132B (zh) | 对不同网络间漫游的用户卡进行认证的方法、系统及装置 | |
CN116471590A (zh) | 终端接入方法、装置及鉴权服务功能网元 | |
CN115996377A (zh) | 切片认证和授权方法、装置、终端及网络设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |