CN113573297A - 一种通信方法及装置 - Google Patents
一种通信方法及装置 Download PDFInfo
- Publication number
- CN113573297A CN113573297A CN202010281144.4A CN202010281144A CN113573297A CN 113573297 A CN113573297 A CN 113573297A CN 202010281144 A CN202010281144 A CN 202010281144A CN 113573297 A CN113573297 A CN 113573297A
- Authority
- CN
- China
- Prior art keywords
- nssai
- network slice
- information
- authentication result
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种通信方法及装置,用以解决重复执行网络切片的鉴权流程导致的信令浪费的问题。终端设备从第二移动性管理网元获取网络切片的鉴权结果时,可以将网络切片的鉴权结果发送给第二移动性管理网元,进而第一移动性管理网元根据网络切片的鉴权结果跳过执行所述第一网络切片的鉴权流程。第一移动性管理网元不会再次重复执行NSSAA流程,减少信令的浪费。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种通信方法及装置。
背景技术
终端设备采用某种接入技术请求注册到通信网络的网络切片上时,可能需要执行网络切片鉴权授权(network slice specific authentication and authorization,NSSAA)流程。
目前允许终端设备可以通过不同的接入技术请求注册到不同的通信网络,比如第一通信网络和第二通信网络。在第一通信网络和第二通信网络所请求的网络切片可能相同,如果终端设备在第一通信网络的注册流程中,已经执行过该网络切片的NSSAA流程,而在第二通信网络的注册流程中重复执行该网络切片的NSSAA流程,造成信令浪费。
发明内容
本申请实施例提供一种通信方法及装置,用以解决重复执行网络切片的NSSAA流程导致的信令浪费的问题。
第一方面,本申请实施例提供一种通信方法,该方法可以由第一移动性管理网元或第一移动管理网元中的芯片来执行。以第一移动性管理网元为例。第一移动性管理网元从终端设备接收第一信息,第一信息用于指示第一网络切片的第一鉴权结果为成功;第一移动性管理网元根据第一信息跳过执行第一网络切片的鉴权流程。第一网络切片的第一鉴权结果,即第一网络切片的NSSAA流程的第一鉴权结果。
通过上述方案,终端设备将已经执行NSSAA鉴权的网络切片的鉴权结果(为便于与后面出现的鉴权结果进行区分,此处将终端设备发来的鉴权结果称为第一鉴权结果)(第一鉴权结果为成功)通过第一信息发送给第一移动性管理网元,从而第一移动性管理网元根据第一信息跳过该网络切片的鉴权流程,第一移动性管理网元不会再次重复执行NSSAA流程,减少信令的浪费。
在一种可能的设计中,第一移动性管理网元可以从终端设备接收注册请求消息,注册请求消息携带第一信息。或者,第一移动性管理网元可以通过注册接受消息接收终端设备发送的第一信息。
在一种可能的设计中,第一网络切片对应的第一信息包括第一单网络切片选择辅助信息(single-network slice selection assistance information,S-NSSAI)和第一网络切片的鉴权结果,第一S-NSSAI用于标识第一网络切片。
在一种可能的设计中,方法还包括:第一移动性管理网元根据第一信息向认证网元发送第一请求,第一请求用于获取第一网络切片的第二鉴权结果;为了与前述第一鉴权结果进行区分,此处将认证网元发来的鉴权结果称为第二鉴权结果。第一移动性管理网元接收来自认证网元的第一网络切片的第二鉴权结果;第一移动性管理网元根据第一信息跳过执行第一网络切片的鉴权流程时,可以在确定来自认证网元的第一网络切片的鉴权结果为成功时,跳过执行第一网络切片的鉴权流程。通过上述设计,第一移动性管理网元在接收到指示第一网络切片的第一鉴权结果为成功的第一信息后,可以向认证网元获取第一网络切片的第二鉴权结果,如果第二鉴权结果为成功,即从终端设备获取的第一鉴权结果与从认证网元获取的第二鉴权结果都为成功,则跳过执行第一网络切片的鉴权流程,提高鉴权结果的可靠性。
在一种可能的设计中,方法还包括:第一移动性管理网元根据第一信息向认证网元发送第一请求,第一请求携带第一信息;第一移动性管理网元接收来自认证网元的验证结果,验证结果为认证网元对第一网络切片的鉴权结果进行校验的结果,验证结果指示第一鉴权结果为成功;第一移动性管理网元根据验证结果跳过执行第一网络切片的鉴权流程。通过上述设计,第一移动性在接收到指示第一网络切片的鉴权结果为成功的第一信息后,可以向认证网元进行验证,即向认证网元获取第一网络切片的鉴权结果的验证结果,如果验证结果为通过,则跳过执行第一网络切片的鉴权流程,提高鉴权结果的可靠性。验证结果为通过,即认证网元确定认证网元存储的第一网络切片的鉴权结果与接收到的第一网络切片的鉴权结果相同,即都为成功,则验证通过,也就是说验证结果指示第一鉴权结果为成功。
在一种可能的设计中,第一信息包括第一S-NSSAI和第二信息,第二信息是第一鉴权结果经过加密后的信息;其中,第一请求中携带第一信息,第二鉴权结果是第二信息经过解密后得到的信息。第一移动性管理网元可以将第一信息发送给认证网元,从而认证网元对第一信息中的第二信息进行解密得到第二鉴权结果,并将解密后的第二鉴权结果发送给第一移动性管理网元。上述设计,通过对鉴权结果进行加密处理,可以提高鉴权结果的可靠性。
在一种可能的设计中,方法还包括:第一移动性管理网元根据第一信息允许终端设备接入第一网络切片。
第二方面,本申请实施例提供一种通信方法,该方法可以由认证网元或认证网元中的芯片来执行。以认证网元为例。认证网元接收来自第一移动性管理网元的第一请求;认证网元根据第一请求向第一移动性管理网元发送第一结果信息,第一结果信息包括第一网络切片的鉴权结果或第一验证结果或第二验证结果。第一结果信息用于第一移动性管理网元跳过执行第一网络切片的鉴权流程,第一网络切片的鉴权结果为成功。
通过上述方案,第一移动性管理网元从认证网元验证是否跳过执行第一网络切片的鉴权流程,认证网元向第一移动管理网元反馈结果信息(此处称为第一结果信息),从而第一移动性管理网元根据第一结果信息跳过执行第一网络切片的鉴权流程,第一移动性管理网元不会再次重复执行NSSAA流程,减少信令的浪费。并且,第一移动性管理网元从认证网元获取第一网络切片的鉴权结果,防止其他设备的篡改,可以提高鉴权结果的可靠性。
在一种可能的设计中,第一结果信息包括第一验证结果时,第一请求包括第一网络切片的鉴权结果,第一验证结果用于指示第一网络切片的鉴权结果为成功。第一移动性管理网元接收到终端设备发送的第一网络切片的鉴权结果后,为了确定终端设备发送的鉴权结果的准确度,向认证网元再获取该第一网络切片的鉴权结果,认证网元将第一网络切片的鉴权结果通过第一验证结果发送给第一移动性管理网元,从而第一移动性管理网元确定第一网络切片的鉴权结果确实为成功,则跳过执行第一网络切片的鉴权流程。
在一种可能的设计中,第一结果信息包括第二验证结果时,第一请求包括第一网络切片的鉴权结果经过加密后的第二信息。即第一移动性管理网元将包括加密的第一网络切片的鉴权结果的第二信息(鉴权结果为成功)发送给认证网元,从而认证网元接收到第二信息,根据第二信息确定第二验证结果,第二验证结果用于指示第一网络切片的鉴权结果为成功。上述设计,通过对鉴权结果进行加密处理,可以提高鉴权结果的可靠性。
在一种可能的设计中,认证网元根据第二信息确定第二验证结果时,可以通过如下方式实现:
一种方式中,认证网元对第二信息解密得到第二验证结果,所诉第二验证结果包括第一网络切片的鉴权结果为成功。
另一种方式中,认证网元对第二信息解密得到第一网络切片的鉴权结果,然后对第一网络切片的鉴权结果执行校验,来得到第二验证结果。上述设计,认证网元对解密得到的第一网络切片的鉴权结果进行校验,可以提高第一移动性管理网元获得的第一网络切片的鉴权结果的可靠性。
在一种可能的设计中,第一请求包括第一S-NSSAI,该第一S-NSSAI用于标识第一网络切片。
第三方面,本申请实施例还提供一种通信方法,该方法可以由终端设备或终端设备中的芯片来执行。以终端设备为例,终端设备从第二移动性管理网元接收第一网络切片的鉴权结果,第一网络切片的鉴权结果为成功;终端设备向第一移动性管理网元发送第一信息,第一信息用于指示第一网络切片的鉴权结果为成功,第二移动性管理网元与第一移动性管理网元所属的通信网络不同。
通过上述方案,终端设备从其它通信网络的第二移动性管理网元获取已经执行NSSAA鉴权的网络切片的鉴权结果(鉴权结果为成功),终端设备通过第一信息将该网络切片的鉴权结果发送给第一移动性管理网元,从而第一移动性管理网元根据第一信息跳过该网络切片的鉴权流程,第一移动性管理网元不会再次重复执行NSSAA流程,减少信令的浪费。
在一种可能的设计中,第一信息包括第一单网络切片选择辅助信息S-NSSAI和第一网络切片的鉴权结果,第一S-NSSAI用于标识第一网络切片。
在一种可能的设计中,终端设备从第二移动性管理网元接收到第一网络切片的鉴权结果后,可以对第一网络切片的鉴权结果进行加密处理后得到第二信息。第一信息包括第一S-NSSAI和第二信息,第一S-NSSAI用于标识第一网络切片。从而终端设备再将包括第二信息的第一信息发送给第一移动性管理网元。采用加密处理方式,防止通信过程中其它设备的篡改,可以提高鉴权结果的可靠性。
在一种可能的设计中,终端设备可以通过注册请求消息将第一信息发送给第一移动性管理网元。或者,终端设备可以通过注册完成消息将第一信息发送给第一移动性管理网元。
在一种可能的设计中,终端设备向第一移动性管理网元请求接入第一网络切片。比如,终端设备向第一移动性管理网元请求接入第一网络切片的情况下,终端设备可以向第一移动性管理网元发送第一信息。
在一种可能的设计中,终端设备从第一移动性管理网元接收第一指示信息,第一指示信息用于指示终端设备需要对第一网络切片执行鉴权流程。比如,终端设备可以从第一移动性管理网元接收第一指示信息之后,向第一移动性管理网元发送第一信息。
第四方面,本申请实施例提供一种通信方法,该方法可以由第一移动性管理网元或第一移动管理网元中的芯片来执行。以第一移动性管理网元为例。第一移动性管理网元接收来自终端设备的第一信息,第一信息用于指示终端设备正在执行第一网络切片的鉴权流程;第一移动性管理网元根据第一信息跳过对第一网络切片的鉴权流程;第一移动性管理网元从终端设备或者认证网元接收第一网络切片的鉴权结果。当终端设备分别注册到不同的通信网络,但是接入到同一网络切片的情况下,当该网络切片的签约数据发生变化,比如从不需要执行NSSAA流程改为需要执行NSSAA流程,通过上述方案,当终端设备在一个通信网络上正在执行该网络切片的鉴权流程,另一个通信网络的第一移动性管理网元无需再执行该网络切片的鉴权流程,从而无需重复执行网络切片的鉴权流程,减少信令的浪费。
在一种可能的设计中,第一移动性管理网元从认证网元接收第一网络切片的鉴权结果,包括;第一移动性管理网元向认证网元发送第一请求,第一请求用于请求第一网络切片的鉴权结果;第一移动性管理网元接收认证网元发送的第一网络切片的鉴权结果。
在一种的可能的设计中,当第一网络切片的鉴权结果为失败时,第一移动性管理网元拒绝终端设备接入第一网络切片。
比如,第一移动性管理网元将第一S-NSSAI从终端设备允许接入的NSSAI中删除,第一S-NSSAI用于标识第一网络切片。第一移动性管理网元可以将删除了第一S-NSSAI的允许接入的NSSAI发送给终端设备。
在一种的可能的设计中,当第一网络切片的鉴权结果为鉴权成功时,第一移动性管理网元允许终端设备接入第一网络切片。第一移动性管理网元可以不需要更新允许接入的NSSAI包括的第一S-NSSAI。第一移动性管理网元无需向终端设备更新允许接入的NSSAI。
在一种可能的设计中,第一移动性管理网元接收来自终端设备的第一信息之前,还包括:第一移动性管理网元向终端设备发送第二请求,第二请求用于触发终端设备执行第一网络切片的鉴权流程。即第一移动性管理网元接收到终端设备触发的执行第一网络切片的鉴权流程的情况下,终端设备向第一移动性管理网元发送第一信息,进而第一移动性管理网元接收来自终端设备的第一信息。
第五方面,本申请实施例还提供一种通信方法,该方法可以由终端设备或终端设备中的芯片来执行。以终端设备为例,终端设备从第二移动性管理网元接收第一请求,第一请求用于触发终端设备执行第一网络切片的鉴权流程;终端设备根据第一请求触发第一网络切片的鉴权流程后,终端设备接收第一移动性管理网元发送的第二请求,第二请求用于请求终端设备执行第一网络切片的鉴权流程;终端设备向第一移动性管理网元发送第一信息,第一信息用于指示终端设备正在执行第一网络切片的鉴权流程;终端设备接收来自第二移动性管理网元的第一网络切片的鉴权结果;终端设备向第一移动性管理网元发送第一网络切片的鉴权结果。当终端设备分别注册到不同的通信网络,但是接入到同一网络切片的情况下,当该网络切片的签约数据发生变化,比如从不需要执行NSSAA流程改为需要执行NSSAA流程,通过上述方案,当终端设备在一个通信网络上正在执行该网络切片的鉴权流程,另一个通信网络的第一移动性管理网元无需再执行该网络切片的鉴权流程,从而无需重复执行网络切片的鉴权流程,减少信令的浪费。
在一种可能的设计中,第一信息用于第一移动性管理网元跳过对第一网络切片的鉴权流程。从而第一移动性管理网元结合第一信息跳过对第一网络切片的鉴权流程,可以节省信令开销。
第六方面,本申请提供一种通信装置,用于移动性管理网元或移动性管理网元的芯片,比如移动性管理可以为AMF,包括用于执行前述第一方面或第一方面的任意可能的实现方式中的方法的单元或手段(means),或者包括用于执行前述第四方面或第四方面的任意可能的实现方式中的方法的单元或手段。
第七方面,本申请提供一种通信装置,用于认证网元或认证网元的芯片,包括用于执行前述第二方面或第二方面的任意可能的实现方式中的方法的单元或手段。
第八方面,本申请提供一种通信装置,用于终端设备或终端设备的芯片,包括用于执行前述第三方面或第三方面的任意可能的实现方式中的方法的单元或手段,或者包括用于执行前述第五方面中的方法的单元或手段。
第九方面,本申请提供一种通信装置,用于移动性管理网元或移动性管理网元的芯片,包括至少一个处理元件和至少一个存储元件,其中至少一个存储元件用于存储程序和数据,至少一个处理元件用于执行前述第一方面或第一方面的任意可能的实现方式中的方法,或者用于执行前述第四方面或第四方面的任意可能的实现方式中的方法。
第十方面,本申请提供一种通信装置,用于认证网元或认证网元的芯片,包括至少一个处理元件和至少一个存储元件,其中至少一个存储元件用于存储程序和数据,至少一个处理元件用于执行前述第二方面或第二方面的任意可能的实现方式中的方法。
第十方面,本申请提供一种通信装置,用于终端设备或终端设备的芯片,包括至少一个处理元件和至少一个存储元件,其中至少一个存储元件用于存储程序和数据,至少一个处理元件用于执行前述第三方面或第三方面的任意可能的实现方式中的方法,或者用于执行前述第五方面中的方法。
第十一方面,本申请提供一种通信装置,包括处理器和接口电路,接口电路用于接收来自通信装置之外的其它通信装置的信号并传输至处理器或将来自处理器的信号发送给通信装置之外的其它通信装置,处理器通过逻辑电路或执行代码指令用于实现前述第一方面或第一方面的任意可能的实现方式中的方法;或者,用于实现前述第四方面或第四方面的任意可能的实现方式中的方法。
第十二方面,本申请提供一种通信装置,包括处理器和接口电路,接口电路用于接收来自通信装置之外的其它通信装置的信号并传输至处理器或将来自处理器的信号发送给通信装置之外的其它通信装置,处理器通过逻辑电路或执行代码指令用于实现前述第二方面或第二方面的任意可能的实现方式中的方法。
第十三方面,本申请提供一种通信装置,包括处理器和接口电路,接口电路用于接收来自通信装置之外的其它通信装置的信号并传输至处理器或将来自处理器的信号发送给通信装置之外的其它通信装置,处理器通过逻辑电路或执行代码指令用于实现前述第三方面或第三方面的任意可能的实现方式中的方法;或者,用于实现前述第五方面中的方法。
第十四方面,本申请提供一种计算机程序产品,该计算机程序产品包括计算机指令,当该计算机指令被执行时,使得前述第一方面或第一方面的任意可能的实现方式中的方法被执行,或使得前述第四方面或第四方面的任意可能的实现方式中的方法被执行。
第十五方面,本申请提供一种计算机程序产品,该计算机程序产品包括计算机指令,当该计算机指令被执行时,使得前述第二方面或第二方面的任意可能的实现方式中的方法被执行。
第十六方面,本申请提供一种计算机程序产品,该计算机程序产品包括计算机指令,当该计算机指令被执行时,使得前述第三方面或第三方面的任意可能的实现方式中的方法被执行,或使得前述第五方面或第五方面的任意可能的实现方式中的方法被执行。
第十七方面,本申请提供了一种计算机可读存储介质,该计算机存储介质存储有计算机指令,当计算机指令被执行时,使得前述第一方面或第一方面的任意可能的实现方式中的方法被执行,或使得前述第四方面或第四方面的任意可能的实现方式中的方法被执行。
第十八方面,本申请提供了一种计算机可读存储介质,该计算机存储介质存储有计算机指令,当计算机指令被执行时,使得前述第二方面或第二方面的任意可能的实现方式中的方法被执行。
第十九方面,本申请提供了一种计算机可读存储介质,该计算机存储介质存储有计算机指令,当计算机指令被执行时,使得前述第三方面或第三方面的任意可能的实现方式中的方法被执行,或使得前述第五方面中的方法被执行。
关于上述第六方面-第十九方面的有益效果的介绍,可具体参见上述第一方面-第五方面的记载,此处不再赘述。
附图说明
图1为本申请实施例中一种可能的通信网络架构的示意图;
图2为本申请实施例中另一种可能的通信网络架构的示意图;
图3为本申请实施例中网络切片的示意图;
图4为本申请实施例中注册流程示意图;
图5为本申请实施例中判断是否执行网络切片的鉴权流程的示意图;
图6为本申请实施例中NSSAA流程示意图;
图7为本申请实施例中第一种通信方法流程示意图;
图8为本申请实施例中第二种通信方法流程示意图;
图9为本申请实施例中第三种通信方法流程示意图;
图10为本申请实施例中第四种通信方法流程示意图;
图11为本申请实施例中第五种通信方法流程示意图;
图12为本申请实施例中第六种通信方法流程示意图;
图13为本申请实施例中第七种通信方法流程示意图;
图14为本申请实施例中第八种通信方法流程示意图;
图15为本申请实施例中通信装置1500结构示意图;
图16为本申请实施例中通信装置1600结构示意图;
图17为本申请实施例中终端设备结构示意图。
具体实施方式
本申请实施例可以应用于第四代移动通信技术(the 4th Generation mobilecommunication technology,4G)网络架构,例如长期演进(long term evolution,LTE)系统,也可以应用于第五代移动通信技术(the 5th Generation mobile communicationtechnology,5G)网络架构中,例如NR系统,或者未来的第六代移动通信技术网络架构或其他类似的通信系统,具体的不做限制。
以下先对本申请实施例中涉及到的技术术语进行说明。
1)接入网(access network,AN)设备,也可以称为无线接入网(radio accessnetwork,RAN)设备,例如基站(例如,接入点),可以是指接入网中在空口通过一个或多个小区与无线终端设备通信的设备,或者例如,一种车到一切(vehicle-to-everything,V2X)技术中的网络设备为路侧单元(road side unit,RSU)。基站可用于将收到的空中帧与IP分组进行相互转换,作为终端设备与接入网的其余部分之间的路由器,其中接入网的其余部分可包括IP网络。RSU可以是支持V2X应用的固定基础设施实体,可以与支持V2X应用的其他实体交换消息。网络设备还可协调对空口的属性管理。例如,网络设备可以包括LTE系统或高级长期演进(long term evolution-advanced,LTE-A)中的演进型基站(NodeB或eNB或e-NodeB,evolutional Node B),或者也可以包括第五代移动通信技术(the 5thgeneration,5G)NR系统(也简称为NR系统)中的下一代节点B(next generation node B,gNB)或者也可以包括云接入网(cloud radio access network,Cloud RAN)系统中的集中式单元(centralized unit,CU)和分布式单元(distributed unit,DU),本申请实施例并不限定。
本申请实施例中,用于实现网络设备的功能的装置可以是网络设备,也可以是能够支持网络设备实现该功能的装置,例如芯片或者芯片系统,该装置可以被安装在网络设备中。在本申请实施例提供的技术方案中,以用于实现网络设备的功能的装置是网络设备为例,描述本申请实施例提供的技术方案。如果没有特殊说明,在本申请实施例中的网络设备是指接入网设备。
2)终端设备,包括向用户提供语音和/或数据连通性的设备,具体的,包括向用户提供语音的设备,或包括向用户提供数据连通性的设备,或包括向用户提供语音和数据连通性的设备。例如可以包括具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端设备可以经RAN与核心网进行通信,与RAN交换语音或数据,或与RAN交互语音和数据。该终端设备可以包括用户设备(user equipment,UE)、无线终端设备、移动终端设备、设备到设备通信(device-to-device,D2D)终端设备、车到一切(vehicle toeverything,V2X)终端设备、机器到机器/机器类通信(machine-to-machine/machine-typecommunications,M2M/MTC)终端设备、物联网(internet of things,IoT)终端设备、签约单元(subscriber unit)、签约站(subscriber station),移动站(mobile station)、远程站(remote station)、接入点(access point,AP)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、或用户装备(user device)等。例如,可以包括移动电话(或称为“蜂窝”电话),具有移动终端设备的计算机,便携式、袖珍式、手持式、计算机内置的移动装置等。例如,个人通信业务(personalcommunication service,PCS)电话、无绳电话、会话发起协议(session initiationprotocol,SIP)话机、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)、等设备。还包括受限设备,例如功耗较低的设备,或存储能力有限的设备,或计算能力有限的设备等。例如包括条码、射频识别(radiofrequency identification,RFID)、传感器、全球定位系统(global positioning system,GPS)、激光扫描器等信息传感设备。
作为示例而非限定,在本申请实施例中,该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备或智能穿戴式设备等,是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称,如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上,或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备,更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能,例如:智能手表或智能眼镜等,以及只专注于某一类应用功能,需要和其它设备如智能手机配合使用,如各类进行体征监测的智能手环、智能头盔、智能首饰等。
而如上介绍的各种终端设备,如果位于车辆上(例如放置在车辆内或安装在车辆内),都可以认为是车载终端设备,车载终端设备例如也称为车载单元(on-board unit,OBU)。
本申请实施例中,终端设备还可以包括中继(relay)。或者理解为,能够与基站进行数据通信的都可以看作终端设备。
本申请实施例中,用于实现终端设备的功能的装置可以是终端设备,也可以是能够支持终端设备实现该功能的装置,例如芯片或芯片系统,该装置可以被安装在终端设备中。本申请实施例中,芯片系统可以由芯片构成,也可以包括芯片和其他分立器件。本申请实施例提供的技术方案中,以用于实现终端的功能的装置是终端设备为例,描述本申请实施例提供的技术方案。
3)本申请实施例中涉及的“网元”也可以称为“设备”,本申请对此不作限定。网元可以是硬件,也可以是从功能上划分的软件或者以上二者结合后的结构。网元可以包括核心网网元,接入网网元(或者称为接入网设备)等。核心网网元,比如包括移动性管理网元、认证网元或数据管理网元等。
移动性管理网元可以包括是5G中的接入与移动性管理实体(access andmobility management function,AMF)、或者是4G中服务网关(serving gateway,SGW)的控制面功能(SGW-C)和移动性管理实体(mobility management entity,MME),或者是以上网元融合后形成的控制功能的全部或部分。移动性管理网元负责移动网络中终端设备的接入与移动性管理。在未来通信(例如6G或者其他的网络中),移动性管理网元仍可以是AMF网元,或有其它的名称,本申请不做限定。
数据管理网元用于帮助运营商实现对与用户相关的数据的统一管理。数据管理网元比如可以包括用户数据管理(subscriber data management,SDM)网元,或者统一数据管理(unified data management,UDM)网元或者归属签约用户服务器(home subscriberserver,HSS)网元。
认证网元,比如可以AAA服务器(AAA Service,AAA-S),或者是其它能够实现网络切片的鉴权的网元。AAA是指认证(Authentication)、授权(Authorization)和统计(Accounting)。AAA-S的主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,以及如何对正在使用网络资源的用户进行计费处理等。
4)本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。本申请涉及的术语“至少一个”,是指一个,或一个以上,即包括一个、两个、三个及以上;“多个”,是指两个,或两个以上,即包括两个、三个及以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。应理解,在本申请实施例中,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。以及,除非有相反的说明,本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。此外,本申请实施例和权利要求书及附图中的术语“包括”和“具有”不是排他的。例如,包括了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块,还可以包括没有列出的步骤或模块。
参见图1和图2所示,为本申请实施例中两种可能的通信网络架构的示意图。通信网络架构中可以包括三部分,分别为终端设备部分、数据网络(data network,DN)和运营商网络部分。下面对其中的部分网元的功能进行简单介绍说明。
运营商网络可包括以下网元中的一个或多个:鉴权服务器功能(authenticationserver function,AUSF)网元、网络开放功能(network exposure function,NEF)网元、策略控制功能(policy control function,PCF)网元、统一数据管理(unified datamanagement,UDM)网元、统一数据库(unified data repository,UDR)、网络存储功能(network repository function,NRF)网元、应用功能(application function,AF)网元、接入与移动性管理功能(access and mobility management function,AMF)网元、会话管理功能(session management function,SMF)网元、RAN网元以及用户面功能(user planefunction,UPF)网元、统一的数据存储库功能(unified data repository,UDR)网元等。上述运营商网络中,除无线接入网部分之外的部分也可以称为核心网部分。
下面针对上述各个网元的功能进行简要说明。
AMF网元,负责用户的移动性管理,包括移动状态管理,分配用户临时身份标识,认证和授权用户。
SMF网元,负责UPF网元选择,UPF网元重选,网络协议(Internet Protocol,IP)地址分配,负责承载的建立、修改和释放,QoS控制。
PCF网元,包含策略控制决策和基于流计费控制的功能,包含用户签约数据管理功能,策略控制功能,计费策略控制功能,QoS控制等等。
UDM网元,负责管理签约数据,当签约数据修改的时候,负责通知相应的网元。
UDR网元,负责存储和检索签约数据、策略数据和公共架构数据等;供UDM、PCF和NEF获取相关数据。UDR要能够针对不同类型的数据如签约数据、策略数据有不同的数据接入鉴权机制,以保证数据接入的安全性;UDR对于非法的服务化操作或者数据接入请求要能够返回携带合适原因值的失败响应。
AF网元,用于向UE提供某种应用层服务,AF在向UE提供服务时,对服务质量QoS策略(Policy)和计费(Charging)策略有要求,且需要通知网络。同时,AF也需要核心网其它网元反馈的应用相关的信息。
NEF网元,主要支持网络能力开放功能,对外开放网络能力和服务;第三代合作伙伴计划(3rd generation partnership project 3GPP)网络功能(network function,NF)通过NEF向其他NF发布功能和事件。NF开放的能力和事件可以安全地开放给第三方应用。NEF使用UDR的标准化接口(Nudr)将结构化数据进行存储/检索。将AF的交换信息与内部网络功能的交换信息进行翻译。例如,将在AF-服务(Service)-指示符(Identifier)和内部5G核心信息之间进行转换。内部5G核心信息,比如可以是数据网络名称(data network name,DNN)或者单网络切片选择辅助信息(single network slice selection assistanceinformation,S-NSSAI)。
UPF网元,支持以下全部或者部分功能:将协议数据单元(protocol data unit,PDU)会话与数据网络互连;分组路由和转发功能,例如,支持对流量进行下行分流(uplinkclassifier)后转发到数据网络,支持分支点(Branching point)功能以支持多宿主(multi-homed)PDU会话;数据包检测功能。
AUSF网元,负责鉴权功能以及负责执行网络切片鉴权授权(network slicespecific authentication and authorization,NSSAA)流程。
另外,为了描述更为简洁,在后续描述时,将各个功能网元中的“网元”去掉,比如AMF网元简称为AMF,UDM网元简称为UDM,其它网元类似,不再一一例举。
图1所示为基于服务化架构的通信网络架构示意图,图1中,NEF、NRF、PCF、UDM、AUSF、UDR、AMF以及SMF之间,任意两个网元之间通信可以采用服务化通信方式,比如NEF与AUSF之间通信采用的接口Nnef和Nausf均为服务化的接口,同理,接口Nnrf、Npcf、Nudm、Naf、Nudr、Namf以及Nsmf均为服务化的接口。另外,AMF与终端设备可通过N1接口通信,AMF与(R)AN可通过N2接口通信,RAN和UPF可通过N3接口通信,SMF与UPF可通过N4接口通信,终端设备与RAN之间进行空口通信,UPF与DN可通过N6接口通信。
图2为基于点对点接口的通信网络架构示意图;图1与图2的主要区别在于:图2中的各个网元之间的接口是点对点的接口,而不是服务化的接口。
下面在介绍本申请实施例提供的方案之间,先对本申请涉及到技术概念进行说明。
1)网络切片(network slice)相关技术。
5G时代将有数以千亿计的物联网设备接入网络,不同类型应用场景对网络的需求是差异化的,有的甚至是相互冲突的。通过单一网络同时为不同类型应用场景提供服务,会导致网络架构异常复杂、网络管理效率和资源利用效率低下。5G网络切片技术通过在同一网络基础设施上虚拟独立逻辑网络的方式为不同的应用场景提供相互隔离的网络环境,使得不同应用场景可以按照各自的需求定制网络功能和特性,能够切实保障不同业务的QoS需求。5G网络切片要实现的目标是将终端设备、接入网资源、核心网资源以及网络运维和管理系统等进行有机组合,为不同商业场景或者业务类型提供能够独立运维的、相互隔离的完整网络。如图3所示,网络中提供的网络切片的示意图。网络中可以包括一个或多个网络切片。例如,可包含关键机器类通信(critical machine type communication,criticalMTC)网络切片、大规模机器类通信(massive machine type communication,massive MTC)网络切片和移动宽带(mobile broad band,MBB))网络切片。
多种多样的场景对3GPP生态系统提出了不同的需要:计费、策略、安全、移动性等。3GPP强调了网络切片之间不相互影响,例如突发的大量的抄表业务不应该影响正常的移动宽带业务。为了满足多样性需求和切片间的隔离,需要业务间相对独立的管理和运维,并提供量身定做的业务功能和分析能力。不同类型业务的实例部署在不同的网络切片上,相同业务类型的不同实例也可部署在不同的网络切片上。
当核心网部署了网络切片,如果用户初始附着到网络时,就会触发网络切片的选择过程。网络切片的选择过程取决于用户的签约数据,本地配置信息,漫游协议,运营商的策略等等,在网络切片的选择过程中,需要综合考虑以上参数,才能为终端选择最佳的网络切片的切片类型。
当终端设备需要接入到某个网络切片时,终端设备可以提供请求的(Requested)网络切片选择辅助信息(network slice selection assistance information,NSSAI)给核心网,用于核心网为终端设备选择网络切片实例。具体地,终端设备可以向网络提供由一组参数组成的NSSAI,用于为终端设备选择网络切片。
在5G网络中,当终端设备需要使用网络服务,需要首先向网络进行注册。注册流程分为如下几种场景:
(1)初次注册到5G网络。
(2)当终端设备移动出了原来注册的区域时,进行移动性注册更新。
(3)周期性注册更新。
注册过程中可能会触发一个或者多个PDU会话的建立,例如在移动性注册更新的场景下,UE有上行数据需要发送,此时在注册流程中会创建该PDU会话。
2)如下针对注册流程进行说明。参见图4所示为注册流程的示意图。
S401,终端设备发送注册请求(Registration Request)消息给RAN。注册请求消息中携带请求的网络切片的标识。网络切片的标识,比如为NSSAI。
S402,如果AN消息中未携带5G GUTI,或者AN消息中携带5G全球唯一UE临时标识(globally unique temporary UE identity,GUTI)不能指示一个合法的AMF时,RAN根据RAT和请求的网络切片的标识选择AMF。
如果终端设备处于连接态时,RAN根据已有连接,将AN消息直接转发到对应的AMF上。则不再需要执行S402,执行S403。
S403,RAN将N2 Message转发给AMF。N2消息比如为注册请求(RegistrationRequest)消息。N2消息中包括N2参数、注册消息、终端设备的接入信息PDU会话信息或终端设备上下文请求等。RAN将接收到的来自终端设备的注册请求消息转发给AMF,从而AMF接收注册请求消息。
S404,如果AMF发生改变,新侧AMF会向老侧AMF发送上下文请求消息来获取用户上下文。上下文请求消息,比如可以是Namf_Communication_UEContextTransfer消息。上下文请求消息可以通过调用服务化接口Namf来实现。
如果AMF未发生改变,则不需再执行S404-S405。
S405,老侧AMF向新侧AMF回复上下文响应消息,上下文响应消息携带用户的上下文信息。
S406,新侧AMF向终端设备发送身份请求(Identity Request)消息,终端设备接收来自新侧AMF的身份请求消息。
如果终端设备未提供订阅隐藏标识符(subscription concealed identifier,SUCI),并且新侧AMF从老侧AMF也未获取到SUCI,新侧AMF可以向终端设备发送IdentityRequest消息,以从终端设备获取SUCI。
S407、终端设备向新侧AMF发送身份响应(Identity Response)消息,新侧AMF接收来自终端设备的Identity Response消息。该Identity Response消息携带SUCI。如果终端设备为新侧AMF提供了SUCI,则可以不再执行S406以及S407。
S408,新侧AMF根据SUCI选择一个AUSF为终端设备进行鉴权。
S409,执行鉴权过程。
需要说明的是,紧急注册时,AMF跳过鉴权过程。因此不需执行S408和S409。
S410,新侧AMF给老侧AMF回复注册完成通知消息,注册完成通知消息用于通知老侧AMF,终端设备已经在新的AMF上完成注册。
注册完成通知消息,比如可以是Namf_Communication_RegistrationCompleteNotify消息。
S411,新侧AMF给终端设备发送身份请求消息获取永久性设备标识(permanentequipment identifie,PEI),终端设备回复向新侧AMF回复身份响应消息,身份响应消息中携带PEI。如果新侧AMF从终端设备和老侧AMF的上下文中都没有获取到PEI,执行S411,如果新侧AMF获取到PEI,则不需要再执行S411。
S412,新侧AMF向设备身份寄存器(equipment identity register,EIR)发起设备标识核查请求消息,比如向EIR发送N5g-eir_EquipmentIdentityCheck_Get消息。N5g-eir_EquipmentIdentityCheck_Get消息用于发起移动设备标识(mobile equipment identity,ME identity)的核查。
S413,新侧AMF基于SUPI选择UDM,该UDM可以选择一个UDR实例。
S414a,若新侧AMF是初始注册的AMF或者AMF没有终端设备合法的上下文,新侧AMF通过连接管理注册消息向UDM进行注册。连接管理注册消息比如可以是Nudm_UECM_Registration消息。
S414b,新侧AMF通过签约数据获取消息向UDM获取签约数据。签约数据获取消息比如可以是Nudm_SDM_Get消息。
S414c,AMF向UDM发送签约数据订阅消息,签约数据订阅消息用于订阅签约数据变更通知服务,当订阅的签约数据发生变更时,AMF会收到UDM的变更通知。签约数据订阅消息,比如可以是Nudm_SDM_Subscribe消息。
S414d,如果UDM存储了与AMF之间的联系,UDM会发送去注册通知(比如,Nudm_UECM_DeregistrationNotification)消息给老侧AMF,通知老侧AMF删除终端设备上下文。并通过调用服务化操作Nsmf_PDUSession_ReleaseSMContext给SMF,用于通知SMF终端设备已经在老侧AMF上去注册。SMF收到Nsmf_PDUSession_ReleaseSMContext后,将释放PDU会话。
S414e,老侧AMF向UDM发起签约数据去订阅(比如,Nudm_SDM_unsubscribe)消息,Nudm_SDM_unsubscribe消息用于取消UDM签约数据的订阅。
S415,AMF选择PCF。
如果新侧AMF决定与PCF建立策略联系,例如当AMF还没有获取到终端设备的接入和移动性策略或者AMF没有合法的接入和移动性策略场景下,AMF会选择PCF。如果AMF从老侧的AMF中获取了PCF ID,则可以直接定位到PCF,则不再执行S415,也不再执行S416。如果定位不到或者没有获取到PCF ID,则AMF会选择一个新PCF。
S416,AMF选择PCF后,AMF与PCF建立移动管理(mobility management,AM)策略关联(AM Policy Association)。其中,S415和S416为可选地步骤。
S417,若新侧AMF接收到注册请求消息中包含需要被激活的PDU会话,AMF给SMF发送PDU会话上下文更新请求(Nsmf_PDUSession_UpdateSMContext Request)消息,PDU会话上下文更新请求用于激活PDU会话的用户面连接。若PDU会话状态指示该PDU会话在终端设备已经被释放,则新侧AMF通知SMF释放PDU会话相关网络资源。若SMF订阅了终端设备相关的移动性事件通知,AMF根据需要向SMF发送通知。
S418,如果老侧AMF与非3GPP互通功能(non-3GPP interworking function,N3IWF)存在NG接口的终端设备连接,则新的AMF也会给N3IWF发送移动性请求消息,移动性请求消息可以为N2 AMF Mobility Request消息。移动性请求消息用于请求创建一个指向与N3IWF的NG接口的终端设备连接。如果老侧AMF与N3IWF不存在NG接口的终端设备连接,则不需要再执行S418和S419。
S419,N3IWF回复移动性响应消息给AMF,移动性响应消息可以是N2 AMF MobilityResponse消息。
S420,老侧AMF之前发起了与PCF的策略联系,此时老侧AMF给PCF发送AMF策略关联终止(AMF-initiated policy association termination)消息,删除老侧AMF与PCF之间的连接。
S421,新侧AMF向终端设备发送注册接受(Registration Accept)消息,注册接受消息用于通知终端设备注册请求被接受。注册接受消息中包含局域数据网(local areadata network,LADN)信息以及只移动终端发起的连接(mobile initiated connectiononly,MICO)模式等。
S422,终端设备发送注册完成(registration complete)消息给AMF。
终端设备在收到一个网络切片订阅改变标识后,终端设备成功更新自己时,或者新的5G-GUTI被分配时,会执行S422。
S423,如果在S414b中UDM给AMF的签约数据中包含漫游信息标识,这个标识是UDM请求的收到终端设备信息的一个确认标识,AMF给UDM发送数据管理信息(Nudm_SDM_Info)消息。UDM根据Nudm_SDM_Info消息触发相应的操作。
5)网络切片的鉴权流程。
当终端设备注册到网络中时,除了执行UE的永久标识的主鉴权流程之外,可能还会根据终端设备请求的Requested NSSAI以及UE的签约数据判断是否需要执行NSSAA流程,该网络切片的NSSAA流程,即S-NSSAI标识的网络切片的NSSAA流程,也可以简单称为网络切片的鉴权流程(或者称为网络切片的二次鉴权流程),或者简称为S-NSSAI的鉴权流程。另外,网络切片的NSSAA流程的鉴权结果,即S-NSSAI标识的网络切片的NSSAA流程的鉴权结果,可以简称为S-NSSAI标识的网络切片的鉴权结果,或者简称为S-NSSAI的鉴权结果。
参见图5所示,为判断是否执行网络切片的鉴权流程的示意图。
S501,终端设备发起注册流程,即终端设备向AMF发送注册请求(RegistrationRequest)消息。从而AMF接收注册请求消息。注册请求消息中携带请求的NSSAI(RequestedNSSAI)。在注册请求消息中还可以携带用于指示终端设备是否支持NSSAA流程的能力的指示信息,例如该指示信息可以用UE 5GMM Core Network Capability表示,UE 5GMM CoreNetwork Capability指示该终端设备支持NSSAA流程。
S502,AMF执行终端设备的永久标识的主鉴权流程。终端设备的永久标识的主鉴权流程也可以称为终端设备的安全流程PLMN接入(security procedures PLMN access)。当该流程成功之后,AMF向UDM获取UE的签约数据。终端设备的永久标识的主鉴权流程可以参考图4中的相关说明。其中,签约数据包含了该终端设备签约的每一个S-NSSAI是否需要执行NSSAA流程的指示信息。图5中S502表示为security procedures PLMN access,其中AMF是认证方(authenticator),AUSF是认证服务器(auth server)。
例如,参考表1所示,终端设备签约的S-NSSAI可包括:
表1
S503,AMF根据UE的签约数据判断Requested NSSAI中是否包含需要执行网络切片的NSSAA流程的S-NSSAI。
一种可能的情况,AMF判断Requested NSSAI中包含需要执行NSSAA流程的S-NSSAI,AMF判断出终端设备在本次注册流程之后需要执行NSSAA流程。
另一种可能的情况,AMF判断Requested NSSAI中不包含需要执行NSSAA流程的S-NSSAI,AMF判断出终端设备在本次注册流程之后无需要执行NSSAA流程。
需要注意的是,AMF确定Requested NSSAI中包含需要执行NSSAA流程的S-NSSAI,可以有两种含义:
第一种:如果终端设备在Registration Request消息中指示支持NSSAA流程,那么进一步地,AMF根据终端设备的签约数据判断需要执行NSSAA流程的S-NSSAI是否包含在Requested NSSAI中。如果需要执行NSSAA流程的S-NSSAI包含在Requested NSSAI中(对应Requested NSSAI中包含的是归属域的网络切片类型),那么AMF可以确定该终端设备在本次注册流程之后需要执行NSSAA流程。如果需要执行NSSAA流程的S-NSSAI未包含在Requested NSSAI中,那么AMF可以确定该终端设备在本次注册流程之后无需执行NSSAA流程。归属域的网络切片类型,比如可以是归属地公共陆地移动网(home public landmobile network,HPLMN)S-NSSAI标识的网络切片类型。
举例1,例如Registration Request消息携带的Requested NSSAI包括S-NSSAI-1和S-NSSAI-2,根据表1可知,S-NSSAI-1需要执行NSSAA流程,S-NSSAI-2不需要执行NSSAA流程,那么AMF可以确定该终端设备在本次注册流程之后需要针对S-NSSAI-1执行NSSAA流程。
第二种:如果终端设备在Registration Request消息中指示支持NSSAA流程,Requested NSSAI中的某个S-NSSAI可以映射为签约的S-NSSAI,且该签约的S-NSSAI需要执行NSSAA,那么AMF确定请求的NSSAI中的S-NSSAI需要执行NSSAA。签约的S-NSSAI即为归属域的网络切片的标识,也可以称为HPLMN S-NSSAI。
具体地,AMF根据终端设备的签约数据,判断Requested NSSAI包含的某个S-NSSAI可以映射到HPLMN S-NSSAI,且该HPLMN S-NSSAI需要执行NSSAA流程,则AMF确定终端设备在本次注册流程之后需要执行NSSAA流程。
举例2,例如终端设备携带的Requested NSSAI包括S-NSSAI-A和S-NSSAI-B,其中S-NSSAI-A与S-NSSAI-1映射,S-NSSAI-B与S-NSSAI-2映射,且S-NSSAI-1需要执行NSSAA流程,S-NSSAI-2不需要执行NSSAA流程。则AMF确定终端设备在本次注册流程之后需要对S-NSSAI-1执行NSSAA流程。其中,上述的S-NSSAI-A与S-NSSAI-1映射,S-NSSAI-B与S-NSSAI-2映射,可以理解为,S-NSSAI-A与S-NSSAI-1存在映射关系,S-NSSAI-B与S-NSSAI-2存在映射关系;或者理解为,S-NSSAI-A所标识的网络切片与S-NSSAI-1所标识的网络切片存在映射关系,S-NSSAI-B所标识的网络切片与S-NSSAI-2所标识的网络切片存在映射关系。
具体地,以S-NSSAI-A为例说明。S-NSSAI-A可以是VPLMN S-NSSAI或者HPLMNS-NSSAI,本申请实施例不做限定。当S-NSSAI-A是VPLMN S-NSSAI时,表示S-NSSAI-A所标识的网络切片的类型属于拜访地PLMN(visit PLMN,VPLMN),则S-NSSAI-A与S-NSSAI-1存在映射关系即为VPLMN S-NSSAI-A与HPLMN S-NSSAI-1存在映射关系,或者,VPLMN S-NSSAI-A所标识的网络切片与HPLMN S-NSSAI-1所标识的网络切片存在映射关系。当S-NSSAI-A是HPLMNS-NSSAI说明S-NSSAI-A所标识的网络切片的类型属于HPLMN网络,则S-NSSAI-A与S-NSSAI-1存在映射关系即为HPLMN S-NSSAI-A所标识的网络切片与HPLMN S-NSSAI-1所标识的网络切片存在映射关系。
S504,AMF向终端设备发送的注册接受(Registration Accept)消息,注册接受消息中携带允许接入的NSSAI(Allowed NSSAI),其中Allowed NSSAI只包含不需要执行NSSAA流程的S-NSSAI,同时AMF向终端设备发送待定的NSSAI(Pending NSSAI)。Pending NSSAI可包括一个或多个需要执行NSSAA流程的S-NSSAI,Pending NSSAI用于指示终端设备,那些需要进行NSSAA流程的S-NSSAI是处于pending状态。
例如继续前述的示例,Registration Request消息携带的Requested NSSAI包括S-NSSAI-1和S-NSSAI-2,那么Allowed NSSAI可包括S-NSSAI-2,Pending NSSAI可包括S-NSSAI-1。Pending原因值为NSSAA流程。
S505,AMF发送注册接受消息之后,AMF对Pending NSSAI包括的S-NSSAI分别执行NSSAA流程。
例如,Pending NSSAI包括S-NSSAI-1,那么AMF可以对S-NSSAI-1执行NSSAA流程。
该NSSAA流程的具体实现可以参考图6的相关描述。
S506,完成NSSAA流程之后,AMF根据该NSSAA流程的鉴权结果更新Allowed NSSAI。后续描述中,将更新后的Allowed NSSAI称为新(new)Allowed NSSAI。
如果某S-NSSAI执行的NSSAA流程的鉴权结果为鉴权成功,且该S-NSSAI包含在Requested NSSAI里面,则该S-NSSAI会被添加到new Allowed NSSAI中。或者,如果S-NSSAI执行的NSSAA流程的鉴权结果为鉴权失败,且该S-NSSAI包含在Requested NSSAI里面,则该S-NSSAI会添加到拒绝的NSSAI(Rejected NSSAI)中,同时AMF无需更新终端设备的AllowedNSSAI,也就是说,AMF不会生成new Allowed NSSAI,也不必向终端设备发送new AllowedNSSAI。
如果某S-NSSAI执行的NSSAA流程的鉴权结果为鉴权成功,且该S-NSSAI可以映射到Requested NSSAI里面的S-NSSAI,则Requested NSSAI里面的该S-NSSAI会被添加到newAllowed NSSAI中。或者,如果某S-NSSAI执行的NSSAA流程的鉴权结果为鉴权失败,且该S-NSSAI可以映射到Requested NSSAI里面的S-NSSAI,则Requested NSSAI里面的该S-NSSAI会被添加到Rejected NSSAI中,同时AMF无需更新终端设备的Allowed NSSAI,也就是说,AMF不会生成new Allowed NSSAI,也不必向终端设备发送new Allowed NSSAI。
例如继续前述的示例,Registration Request消息携带的Requested NSSAI包括S-NSSAI-1和S-NSSAI-2,AMF对S-NSSAI-1执行了NSSAA流程。那么,如果S-NSSAI-1的NSSAA流程的鉴权结果为鉴权成功,或者说S-NSSAI-1的NSSAA流程执行成功,则AMF可以将S-NSSAI-1添加到Allowed NSSAI中,得到新(new)Allowed NSSAI,且AMF可以向终端设备发送new Allowed NSSAI,new Allowed NSSAI可包括S-NSSAI-1和S-NSSAI-2。而如果S-NSSAI-1的NSSAA流程的鉴权结果为鉴权失败,或者说S-NSSAI-1的NSSAA流程执行失败,则AMF向终端设备发送Rejected NSSAI,其中,Rejected NSSAI包括S-NSSAI-1,同时AMF不会更新该终端设备的Allowed NSSAI。
进一步地,对NSSAA所涉及实现步骤进行说明。参见图6所示,为NSSAA流程示意图。主要思想是:当AMF决定触发NSSAA流程后,AMF会通过AUSF与AAA-Server交互传递终端设备的鉴权信息。其中,如果AAA-Server位于第三方,AUSF无法直接跟AAA-S交互,那么AUSF可以间接通过AAA-代理(proxy)与AAA-Server交互。
S601,AMF根据终端设备的签约数据以及Pending NSSAI包括S-NSSAI触发NSSAA流程。
需要注意的是,本申请实施例中,AMF对Pending NSSAI包括的S-NSSAI执行NSSAA流程,可以有两种含义:
第一种:Pending NSSAI中的某个S-NSSAI属于签约的S-NSSAI,且该签约的S-NSSAI需要执行NSSAA流程,那么AMF对该S-NSSAI执行NSSAA流程。
例如,继续上述的举例1,Pending NSSAI=S-NSSAI-1,由于S-NSSAI-1是HPLMN S-NSSAI,则AMF对S-NSSAI-1执行NSSAA流程。
第二种:Pending NSSAI中的某个S-NSSAI与签约的S-NSSAI映射,且该签约的S-NSSAI需要执行NSSAA流程,那么AMF对该签约的S-NSSAI执行NSSAA流程。
继续上述的举例2,Pending NSSAI=S-NSSAI-A,由于S-NSSAI-A与S-NSSAI-1映射,则AMF对S-NSSAI-1执行NSSAA流程。
以下步骤S602至S617中涉及的S-NSSAI为签约的S-NSSAI,且该签约的S-NSSAI需要执行NSSAA流程。
S602,AMF向终端设备发送非接入层(non-access stratum,NAS)移动性管理(mobile management,MM)消息。NAS MM消息用于向终端设备请求终端设备的用户ID以进行可扩展认证协议(extensible authentication protocol,EAP)认证。
该NAS MM消息中携带需要执行NSSAA流程的S-NSSAI。
根据步骤601的描述,第一种场景下,AMF根据终端设备的签约数据确定PendingNSSAI包括的S-NSSAI是终端设备签约的S-NSSAI,则将该S-NSSAI携带在NAS MM消息中。第二种场景下,Pending NSSAI包括的S-NSSAI并非终端设备签约的S-NSSAI,AMF根据终端设备的签约数据确定Pending NSSAI包括的S-NSSAI与终端设备签约的S-NSSAI的映射关系,将终端设备签约的S-NSSAI携带在NAS MM消息中。
S603,终端设备向AMF发送EAP ID以及S-NSSAI。
S604、AMF向AUSF的发送EAP信息传输消息1。示例性地,EAP信息传输消息1可以为Nausf_Communication_EAPMessage_Transfer消息。EAP信息传输消息1包括EAP ID、AAA-S地址(address)、通用公共订阅标识(generic public subscription identifier,GPSI)以及S-NSSAI。
其中GPSI是终端设备的外部标识,例如为终端设备的用户的手机号码或者电子邮箱等。AAA-S address是AAA-S的地址,该地址可以预先配置在AMF上。S-NSSAI是本次执行NSSAA流程的网络切片的标识。
S605、如果AAA-S位于第三方网络中,AUSF需要通过AAA-P与AAA-S交互,AUSF向AAA-P发送EAP信息传输消息2,AAA-P接收来自AUSF的EAP信息传输消息2。EAP信息传输消息2可以为Naaa_Communication_EAPmessageTranfser消息。EAP信息传输消息2包括EAP IDResponse、AAA-S address、GPSI和S-NSSAI。
如果AAA-S位于运营商网络中,AUSF无需通过AAA-P而是可以直接与AAA-S交互,则AUSF向AAA-S发送EAP信息传输消息2,具体的调用服务化操作Naaa_Communication_EAPmessageTranfser将EAP ID Response、AAA-S address、GPSI和S-NSSAI发送给AAA-S。
S606、AAA-P根据AAA-S address,向AAA-S发送认证请求(Auth request)消息。Auth request消息可包括EAP ID、GPSI和S-NSSAI。
S607~S614、终端设备与AAA-S之间传递EAP信息(EAP-messages),该过程可能需要交互多次。
其中,EAP-message可以包括EAP ID响应(Response)、GPSI和S-NSSAI等信息。传递EAP-message是为了对该终端设备进行EAP认证(authentication)。
S615、EAP认证(authentication)结束,AAA-S向AAA-P发送认证响应(AuthResponse)消息。认证响应消息可包括EAP-成功(Success)/失败(Failure)message、GPSI和S-NSSAI等信息。或者,如果AAA-S和AUSF能够直接交互,则AAA-S将EAP-Success/Failuremessage、GPSI和S-NSSAI发送给AUSF。
S616、AAA-P向AUSF发送EAP信息传输消息3,EAP信息传输消息3包括EAP-Success/Failure message、S-NSSAI和GPSI等信息。EAP信息传输消息3可以通过调用服务化操作Nausf_Communication_EAPmessageTranfser实现。
S617、AUSF向AMF发送N1N2信息传输消息,N1N2信息传输消息可以通过调用AMF的服务化操作Namf_Communication_N1N2messageTranfser来实现。N1N2信息传输消息可包括EAP-Success/Failure message、S-NSSAI和GPSI等信息。
S618、AMF向终端设备发送NAS MM消息。NAS MM消息携带EAP-Success/Failuremessage。
S619、AMF通过UE配置更新流程(UE Configuration Update procedure)向终端设备发送new Allowed NSSAI。或者,AMF通过UE Configuration Update procedure向终端设备发送拒绝的NSSAI(Rejected NSSAI)。
如果S-NSSAI执行的NSSAA流程的鉴权结果为鉴权成功,且该S-NSSAI包含在Requested NSSAI里面,则AMF会将该S-NSSAI添加到new Allowed NSSAI中。或者,如果S-NSSAI执行的NSSAA流程的鉴权结果为鉴权失败,且该S-NSSAI包含在Requested NSSAI里面,则AMF会将该S-NSSAI添加到Rejected NSSAI中,同时AMF无需更新终端设备的AllowedNSSAI,也就是说,AMF不会生成new Allowed NSSAI,也不必向终端设备发送new AllowedNSSAI。
如果S-NSSAI执行的NSSAA流程的鉴权结果为鉴权成功,且该S-NSSAI可以映射到Requested NSSAI里面的S-NSSAI,则AMF会将Requested NSSAI里面的该S-NSSAI添加到newAllowed NSSAI中。或者,如果S-NSSAI执行的NSSAA流程的鉴权结果为鉴权失败,且该S-NSSAI可以映射到Requested NSSAI里面的S-NSSAI,则AMF会将Requested NSSAI里面的该S-NSSAI添加到Rejected NSSAI中,同时AMF无需更新终端设备的Allowed NSSAI,也就是说,AMF不会生成new Allowed NSSAI,也不必向终端设备发送new Allowed NSSAI。
如果AMF决定需要向终端设备发送new Allowed NSSAI或Rejected NSSAI,则AMF可通过UE Configuration Update procedure发送。
针对前述的举例1,如果S-NSSAI-1的NSSAA流程执行成功,AMF向终端设备发送newAllowed NSSAI,其中new Allowed NSSAI包括S-NSSAI-1和S-NSSAI-2。或者,如果S-NSSAI-1的NSSAA流程执行失败,AMF向终端设备发送Rejected NSSAI,其中,Rejected NSSAI包括S-NSSAI-1,即AMF不会向终端设备更新Allowed NSSAI,即,不会向终端设备发送newAllowed NSSAI。
针对前述的举例2,如果S-NSSAI-1的NSSAA流程执行成功,AMF向终端设备发送newAllowed NSSAI,其中new Allowed NSSAI包括S-NSSAI-A和S-NSSAI-B。或者,如果S-NSSAI-1的NSSAA流程执行失败,AMF向终端设备发送Rejected NSSAI,其中,Rejected NSSAI包括S-NSSAI-A,即AMF不会向终端设备更新Allowed NSSAI,即,不会向终端设备发送newAllowed NSSAI。
根据前文的描述可知,支持NSSAA流程的终端设备向核心网发起注册的流程中可能会触发网络切片的鉴权授权流程,也可以称为网络切片的二次鉴权流程。比如,当终端设备在PLMN-1通过第一个接入技术(例如3GPP接入技术(access type))注册到核心网的时候,在注册请求消息中携带Requested NSSAI以及用于指示该终端设备支持NSSAA流程的UE5GMM Core Network Capability。PLMN-1中的AMF-1为终端设备提供服务,AMF-1可根据终端设备的签约数据确定终端设备的Requested NSSAI是否包含了需要执行NSSAA流程的S-NSSAI。如果Requested NSSAI包含需要执行NSSAA流程的S-NSSAI,比如S-NSSAI-1,S-NSSAI-1用于标识第一网络切片。为了便于描述,本申请实施例均以S-NSSAI-1标识第一网络切片为例。S-NSSAI-1标识第一网络切片仅是一种示例,并构成限定。则AMF-1对S-NSSAI-1标识的第一网络切片执行NSSAA流程。第一网络切片的NSSAA流程的鉴权成功后,AMF1向终端设备发送针对第一接入技术的Allowed NSSAI(Allowed NSSAI for 3GPP accesstype)。Allowed NSSAI for 3GPP access type表示该终端设备的Allowed NSSAI中的每一个S-NSSAI只允许在3GPP access type下使用。Allowed NSSAI for 3GPP access type包括了执行NSSAA流程的鉴权成功的S-NSSAI,即包括S-NSSAI-1。
如果终端设备发现当前位置存在另一个PLMN-2,终端设备在PLMN-2通过第二个接入技术(例如非3GPP access type)向核心网发起注册流程。在注册请求消息中携带Requested NSSAI以及用于指示该终端设备支持NSSAA流程的UE 5GMM Core NetworkCapability PLMN-2中的第二移动性管理网元(比如AMF-2)为终端设备提供服务,PLMN-2中的AMF-2为终端设备提供服务,AMF-2向终端设备发送针对第二接入技术的Allowed NSSAI(Allowed NSSAI for non-3GPP access type),Allowed NSSAI for non-3GPP accesstype表示该UE的Allowed NSSAI中的每一个S-NSSAI只允许在non-3GPP access type下使用。
如果Allowed NSSAI for 3GPP access type与Allowed NSSAI for non-3GPPaccess type中包含了相同的S-NSSAI,这表示该S-NSSAI既可以在3GPP access type下使用,又可以在non-3GPP access type下使用。以S-NSSAI-1为例,如果AMF-2根据终端设备的签约数据确定终端设备的Requested NSSAI包含需要执行NSSAA流程的S-NSSAI,比如用于标识第一网络切片的S-NSSAI-1。按照目前的注册流程,则AMF-2也需要对S-NSSAI-1标识的第一网络切片执行NSSAA流程。
从上可知,支持NSSAA流程的终端设备先后分别通过不同的接入技术在PLMN-1和PLMN-2注册,在Requested NSSAI包含相同的、且需要NSSAA鉴权的S-NSSAI-1,而针对该S-NSSAI-1标识的第一网络切片已经在PLMN-1被执行过NSSAA流程,如果在PLMN-2重复执行NSSAA鉴权的话,由于NSSAA鉴权与接入技术无关,导致针对同一个S-NSSAI重复的鉴权,造成信令浪费。
另外,当终端设备分别注册到PLMN-1和PLMN-2,该终端设备分别获取到两个接入技术分别关联的Allowed NSSAI,比如Allowed NSSAI for 3GPP access type和AllowedNSSAI for non-3GPP access type,Allowed NSSAI for 3GPP access type和AllowedNSSAI for non-3GPP access type均包含了某个相同的S-NSSAI,比如S-NSSAI-1。如果当该S-NSSAI-1的签约数据发生变化:该S-NSSAI-1从不需要执行NSSAA流程改为需要执行NSSAA流程,那么UDM向两个AMF下发新的签约数据之后,两个不同AMF会针对同一个S-NSSAI-1标识的第一网络切片分别触发NSSAA流程,也会导致针对同一个S-NSSAI重复的鉴权,造成信令浪费。
基于此,本申请实施例提供一种通信方法及装置,用于解决由于重复执行NSSAA鉴权导致的信令浪费的问题。第一移动性管理网元获取指示第一网络切片的鉴权结果为成功的第一信息时,第一移动性管理网元可以根据该第一信息跳过执行所述第一网络切片的鉴权流程,进而能够避免重复执行第一网络切片的二次鉴权造成的信令浪费。
第一移动性管理网元获取第一信息,可以采用如下任一种获取方式。
获取方式一,终端设备在第一通信网络的注册过程中从第二移动性管理网元获得第一网络切片的鉴权结果,该第一网络切片的鉴权结果为成功;终端设备在第二通信网络的注册流程中可以向第一移动性管理网元发送所述第一网络切片对应的第一信息,该第一信息用于指示第一网络切片的鉴权结果为成功;从而该第一移动性管理网元从终端设备获取到第一网络切片对应的第一信息。所述第二移动性管理网元与第一移动性管理网元所属的通信网络不同。
获取方式二,在终端设备注册到第一通信网络的过程中,第二移动性管理网元获得第一网络切片的鉴权结果,可以将该第一网络切片的鉴权结果保存在数据管理网元中。在终端设备注册到第二通信网络的过程中,第一移动性管理网元可以从数据管理网元中获取第一信息,该第一信息指示第一网络切片的鉴权结果为成功。
如下结合第一移动性管理网元获取第一信息的方式,对本申请实施例提供的方案进行详细说明。为便于描述,本申请实施例后续描述时,都是以将本申请实施例提供的方案应用在5G系统为例,例如在后文中,以移动性管理网元为AMF,认证网元为AAA-S,数据管理网元为UDM为例进行说明。
首先,针对获取方式一,第一移动性管理网元从终端设备获取已经执行NSSAA流程的网络切片的鉴权结果进行详细说明。
参见图7所示,为本申请实施例提供第一种通信方法的流程示意图。在下文的介绍过程中,以该方法应用于图1或图2所示的网络架构为例。其中,图7所示的实施例所涉及的第一通信网络的AMF称为AMF-1或者称为第二移动性管理网元,将第二通信网络的AMF称为AMF-2或者称为第一移动性管理网元。第一通信网络也可以称为PLMN-1,第二通信网络可以称为PLMN-2。
S701、终端设备在PLMN-1发起注册流程(registration procedure)。
PLMN-1支持第一接入技术,终端设备在PLMN-1采用第一接入技术发起注册流程。例如,PLMN-1中的AMF-1为终端设备提供服务,终端设备向AMF-1发送注册请求消息,AMF-1接收来自终端设备的注册请求消息。为了与后续将要出现的其它注册请求消息相区分,将此处的注册请求消息称为第一注册请求消息。在第一注册请求消息中,可以携带该终端设备的Requested NSSAI,为了与后续出现的Requested NSSAI区分开,将此处的RequestedNSSAI称为第一Requested NSSAI。在第一注册请求消息中还可以携带用于指示终端设备是否支持NSSAA流程的能力指示信息,例如该指示信息用UE 5GMM Core Network Capability表示,UE 5GMM Core Network Capability指示该终端设备支持NSSAA流程。在注册过程中,AMF-1调用UDM的服务化操作Nudm_SDM_Get从UDM处获取该终端设备的签约数据,该终端设备的签约数据包括该终端设备的签约S-NSSAI。UDM通过服务化操作Nudm_SDM_Getresponse向AMF-1发送的该终端设备的签约S-NSSAI,从而AMF-1接收来自UDM通过服务化操作Nudm_SDM_Get response向AMF-1发送的该终端设备的签约S-NSSAI。其中,终端设备的签约S-NSSAI包含指示信息,用于指示该签约S-NSSAI是否需要执行NSSAA流程。
例如,终端设备的签约S-NSSAI可参考表2所示:
表2
S702,AMF-1可以根据该终端设备的签约数据确定第一Requested NSSAI中是否包括需要执行NSSAA流程的S-NSSAI。
其中,AMF-1确定第一Requested NSSAI中是否包括需要执行NSSAA流程的S-NSSAI,该步骤的具体描述可以参考S503,此处不再赘述。
例如,第一Requested NSSAI包括了需要执行NSSAA流程的S-NSSAI,执行S703。
S703,AMF-1针对需要执行NSSAA流程的S-NSSAI触发执行NSSAA流程。NSSAA流程的具体步骤可以参见图6所示,此处不再赘述。
S704,终端设备从AMF-1获取第一网络切片的NSSAA流程的鉴权结果为成功。
在NSSAA流程结束之后,AMF-1如果获知某个网络切片执行NSSAA流程的鉴权结果为鉴权成功,则允许终端设备接入该网络切片,AMF-1将该网络切片的NSSAA流程的鉴权结果发送给终端设备。比如,AMF-1为该终端设备生成new Allowed NSSAI,其中new AllowedNSSAI中包含了成功执行NSSAA流程的网络切片的S-NSSAI。AMF-1将new Allowed NSSAI发送给终端设备。同时,针对成功执行NSSAA流程的S-NSSAI,AAA-S保存该终端设备的标识和成功执行NSSAA流程的S-NSSAI的对应关系。终端设备的标识例如为GPSI等。
例如,终端设备在第一注册请求消息中携带的第一Requested NSSAI包括S-NSSAI为HPLMN S-NSSAI,比如S-NSSAI-1(用于标识第一网络切片)和S-NSSAI-3,其中终端设备的签约数据指示S-NSSAI-1需要执行NSSAA流程,S-NSSAI-3不需要执行NSSAA流程,AMF-1确定Allowed NSSAI包含S-NSSAI-3。后续AMF-1可针对S-NSSAI-1发起NSSAA流程。如果S-NSSAI-1的NSSAA流程执行成功,或者说S-NSSAI-1的NSSAA流程的鉴权结果为鉴权成功,则AMF向该终端设备发送new Allowed NSSAI,new Allowed NSSAI可包括S-NSSAI-1和S-NSSAI-3。即,new Allowed NSSAI包括的S-NSSAI-1标识第一网络切片。或者,如果S-NSSAI-1的NSSAA流程执行失败,或者说S-NSSAI-1的NSSAA流程的鉴权结果为鉴权失败,AMF向终端设备发送Rejected NSSAI,其中,Rejected NSSAI包括S-NSSAI-1,同时AMF不必向该终端设备发送new Allowed NSSAI。
再例如,终端设备在第一注册请求消息携带的第一Requested NSSAI包括的S-NSSAI为VPLMN S-NSSAI,比如S-NSSAI-X和S-NSSAI-Y。S-NSSAI-X在终端设备的签约数据中对应于签约的S-NSSAI-1(即HPLMN S-NSSAI-1),S-NSSAI-Y在终端设备的签约数据中对应于签约的S-NSSAI-3(即HPLMN S-NSSAI-3)。或者理解为,VPLMN的S-NSSAI-X与HPLMN的S-NSSAI-1存在映射关系,VPLMN S-NSSAI-Y与HPLMN S-NSSAI-3存在映射关系,其中,S-NSSAI-1需要执行NSSAA流程,S-NSSAI-3不需要执行NSSAA流程。AMF-1确定Allowed NSSAI包含S-NSSAI-Y,后续AMF-1可针对S-NSSAI-1发起NSSAA流程。如果S-NSSAI-1的NSSAA流程执行成功,则AMF向该终端设备发送new Allowed NSSAI,new Allowed NSSAI可包括S-NSSAI-X和S-NSSAI-Y。或者,如果S-NSSAI-1的NSSAA流程执行失败,或者说S-NSSAI-1的NSSAA流程的鉴权结果为鉴权失败,AMF向终端设备发送Rejected NSSAI,其中,RejectedNSSAI包括S-NSSAI-X,同时AMF不必向该终端设备发送new Allowed NSSAI。
终端设备在当前位置检测到PLMN-2,PLMN-1支持第一接入技术,终端设备在PLMN-2采用第二接入技术发起注册流程。PLMN-2中的AMF-2为终端设备提供服务。终端设备执行S705。
S705,终端设备向AMF-2发送第一信息,AMF-2接收来自终端设备的第一信息。其中,第一信息用于指示第一网络切片的第一鉴权结果为成功。
需要说明的是,本文中也可以将终端设备发送的第一网络切片的鉴权结果称为第一鉴权结果。后续描述时,可以将终端设备发送的第一网络切片的鉴权结果描述为第一鉴权结果来描述,也可以直接描述为来自终端设备的第一网络切片的鉴权结果或者从终端设备获取的第一网络片的鉴权结果。在后面出现的从AAA-S获知的第一网络切片的鉴权结果可以简称为第二鉴权结果。后续描述时,可以将从AAA-S获知的第一网络切片的鉴权结果描述为第二鉴权结果,也可以直接描述为从AAA-S获知的第一网络切片的鉴权结果或者来自AAA-S的第一网络片的鉴权结果或者AAA-S发送的第一网络片的鉴权结果。
例如,终端设备向AMF-2发送注册请求消息,AMF-2接收来自终端设备的注册请求消息。为了与前述第一注册请求消息相区分,将此处的注册请求消息称为第二注册请求消息。图7中以称为第二注册请求消息为例。第二注册请求中携带第一网络切片对应的第一信息。第一信息用于指示第一网络切片的鉴权结果为成功。示例性的,第一信息可以包括第一网络切片的鉴权结果,以及第一网络切片的标识,即第一网络切片对应的S-NSSAI。
可选的,在第二注册请求消息中还可以携带用于指示终端设备是否支持NSSAA流程的能力指示信息,例如该指示信息用UE 5GMM Core Network Capability表示,UE 5GMMCore Network Capability指示该终端设备支持NSSAA流程。
具体地,由于终端设备在PLMN-1已经对某个网络切片执行了NSSAA流程,如果终端设备在PLMN-2请求接入相同的网络切片,那么终端设备可以注册到PLMN-2时,在注册请求消息中携带该第一信息,第一信息指示该网络切片的NSSAA流程的鉴权结果为成功。
第一种示例中,第一Requested NSSAI包括HPLMN S-NSSAI,比如S-NSSAI-1,且S-NSSAI-1在PLMN-1成功执行NSSAA流程。第二注册请求消息中包括Requested NSSAI,为了与S701中描述的第一Requested NSSAI相区分,将此处的Requested NSSAI称为第二Requested NSSAI。比如,第二Requested NSSAI包括的S-NSSAI为HPLMN S-NSSAI,比如S-NSSAI-1,S-NSSAI-1标识第一网络切片。由于终端设备在PLMN-1已经对第一网络切片执行了NSSAA流程,并且执行NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的第二注册请求消息中还包括第一网络切片的鉴权结果。S-NSSAI-1和第一网络切片的鉴权结果构成第一网络切片对应的第一信息。
例如,参见表3所示第二注册请求消息包括的第一信息。
表3
第二Requested NSSAI | 鉴权结果 |
S-NSSAI-1 | 成功 |
第二种示例中,第二注册请求消息中包括第二Requested NSSAI。比如,第二Requested NSSAI包括HPLMN S-NSSAI,还以S-NSSAI-1为例,S-NSSAI-1标识第一网络切片。第二Requested NSSAI还包括S-NSSAI-3。由于终端设备在PLMN-1已经对第一网络切片执行了NSSAA流程,并且执行NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的第二注册请求消息中还包括第一网络切片的鉴权结果。而终端设备在PLMN-1并未对S-NSSAI-3执行NSSAA流程,因此,第二注册请求消息中不包括S-NSSAI-3对应的网络切片的鉴权结果。S-NSSAI-1和第一网络切片的鉴权结果构成第一网络切片对应的第一信息。可以理解为,由于终端设备在PLMN-1已经对S-NSSAI-1执行了NSSAA流程,并且执行NSSAA流程的鉴权结果为成功,因此终端设备可以根据本地保存的S-NSSAI-1对应的鉴权结果决定在第二注册请求消息中携带第一信息。由于终端设备在PLMN-1并未对S-NSSAI-3执行NSSAA流程,因此终端设备本地没有保存S-NSSAI-3对应的鉴权结果,因此第二注册请求消息中不包括S-NSSAI-3对应的网络切片的鉴权结果。
例如,参见表4所示第二注册请求消息包括的内容。
表4
第二Requested NSSAI | 鉴权结果 |
S-NSSAI-1 | 成功 |
S-NSSAI-3 | 未携带 |
第三种示例中,第二注册请求消息中包括第二Requested NSSAI。比如,第二Requested NSSAI包括HPLMN S-NSSAI,还以S-NSSAI-1为例,S-NSSAI-1标识第一网络切片。第二Requested NSSAI还包括S-NSSAI-2。由于终端设备在PLMN-1已经对第一网络切片执行了NSSAA流程,并且执行NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的第二注册请求消息中还包括第一网络切片的鉴权结果。而终端设备在PLMN-1并未对S-NSSAI-2执行过NSSAA流程,因此,第二注册请求消息中包括S-NSSAI-2对应的网络切片的鉴权结果且该鉴权结果为无。S-NSSAI-1和第一网络切片的鉴权结果构成第一网络切片对应的第一信息。可以理解为,由于终端设备在PLMN-1已经对S-NSSAI-1执行了NSSAA流程,并且执行NSSAA流程的鉴权结果为成功,因此终端设备可以根据本地保存的S-NSSAI-1对应的鉴权结果决定在第二注册请求消息中携带第一信息。由于终端设备在PLMN-1并未对S-NSSAI-2执行NSSAA流程,因此终端设备本地没有保存S-NSSAI-2对应的鉴权结果,因此第二注册请求消息中包括S-NSSAI-2对应的网络切片的鉴权结果为无。
例如,参见表5所示第二注册请求消息包括的内容。
表5
第二Requested NSSAI | 鉴权结果 |
S-NSSAI-1 | 成功 |
S-NSSAI-2 | 无 |
第四种示例中,第二Requested NSSAI携带的是VPLMN S-NSSAI,比如S-NSSAI-X。S-NSSAI-X,S-NSSAI-X在终端设备的签约数据中对应于签约的S-NSSAI-1(即HPLMN S-NSSAI-1),S-NSSAI-1为第一网络切片的标识。由于终端设备在PLMN-1已经对第一网络切片执行了NSSAA流程,并且执行NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的第二注册请求消息中还包括第一网络切片的鉴权结果。第二注册请求消息中还携带请求的NSSAI的映射关系(Mapping of Requested NSSAI)。Mapping of Requested NSSAI包含终端设备所请求的S-NSSAI和HPLMN S-NSSAI之间的映射关系。可以理解为,由于终端设备在PLMN-1已经对S-NSSAI-1执行了NSSAA流程,并且执行NSSAA流程的鉴权结果为成功,因此终端设备可以根据本地保存的S-NSSAI-1对应的鉴权结果决定在第二注册请求消息中携带第一信息。
例如,参见表6所示第二注册请求消息包括的内容。
表6
应理解的是,第二Requested NSSAI可以包括多个S-NSSAI,比如N个S-NSSAI。终端设备获知N个S-NSSAI中M个S-NSSAI已经执行过NSSAA流程,并且已知M个S-NSSAI的鉴权结果为成功。N为正整数,M为小于或者等于N的正整数。
一种方式中,比如N大于1,第二Requested NSSAI可以包括N个S-NSSAI分别对应的鉴权结果。由于终端设备并不知道剩余的N-M个S-NSSAI的鉴权结果,或者无法获知N-M个S-NSSAI是否需要执行NSSAA流程,第二Requested NSSAI中M个S-NSSAI分别对应的鉴权结果为成功,而N-M个S-NSSAI对应的鉴权结果为无。例如,表5所示的示例。
另一种方式中,比如,N大于1,第二Requested NSSAI可以仅包括M个S-NSSAI分别对应的鉴权结果。由于终端设备并不知道剩余的N-M个S-NSSAI的鉴权结果,也无法获知N-M个S-NSSAI是否需要执行NSSAA流程,因此,第二Requested NSSAI不会携带N-M个S-NSSAI的鉴权结果。比如,表4所示的示例。
本申请实施例中,第一网络切片是M个S-NSSAI标识的网络切片的任意一个。
S706,AMF-2根据第一信息跳过执行第一网络切片的NSSAA流程。
例如,AMF-2接收到第二注册请求之后,根据第一信息确定第二Requested NSSAI中包含的需要执行的NSSAA流程的S-NSSAI的鉴权结果为成功,则AMF-2可以跳过该S-NSSAI的NSSAA流程。AMF-2跳过该S-NSSAI的NSSAA流程,即AMF-2跳过该S-NSSAI标识的网络切片的NSSAA流程。其中,AMF-2跳过该S-NSSAI的NSSAA流程的含义可以理解为:AMF-2不执行该S-NSSAI的NSSAA流程。
具体地,AMF-2接收到第二注册请求之后,AMF-2获取终端设备的签约数据,该终端设备的签约数据包括该终端设备的签约S-NSSAI(HPLMN S-NSSAI)。AMF-2可以根据该终端设备的签约数据确定第二Requested NSSAI中是否包括需要执行NSSAA流程的S-NSSAI,进一步地,AMF-2根据第一信息确定第二Requested NSSAI中包含的需要执行的NSSAA流程的S-NSSAI的鉴权结果为成功,则AMF-2可以跳过该网络切片的NSSAA流程。
其中,AMF-2确定第二Requested NSSAI中是否包括需要执行NSSAA流程的S-NSSAI,该方法的具体描述可以参考S503。
示例性地,AMF-2可以调用UDM的服务化操作Nudm_SDM_Get从UDM处获取该终端设备的签约数据,该终端设备的签约数据包括该终端设备的签约S-NSSAI。UDM通过服务化操作Nudm_SDM_Get response向AMF-2发送的该终端设备的签约S-NSSAI,从而AMF-1接收来自UDM通过服务化操作Nudm_SDM_Get response向AMF-2发送的该终端设备的签约S-NSSAI。其中,终端设备的签约S-NSSAI包含指示信息,用于指示该签约S-NSSAI是否需要执行NSSAA流程。
比如,AMF-2获取终端设备的签约数据,以表2为例。
接着上述S705中第一种示例,根据终端设备的签约数据确定第二RequestedNSSAI包括的S-NSSAI-1标识的第一网络切片需要执行NSSAA流程。并且根据第一信息确定第一网络切片已经执行过NSSAA流程,并且NSSAA流程的鉴权结果为成功。基于此,AMF-2跳过第一网络切片的NSSAA流程。执行S707。
接着上述S705中第二种示例,根据终端设备的签约数据确定第二RequestedNSSAI包括的S-NSSAI-1标识的第一网络切片需要执行NSSAA流程,并且根据第一信息确定第一网络切片已经执行过NSSAA流程,并且NSSAA流程的鉴权结果为成功。基于此,AMF-2跳过第一网络切片的NSSAA流程。根据终端设备的签约数据确定第二Requested NSSAI包括的S-NSSAI-3不需要执行NSSAA流程,无需针对S-NSSAI-3执行NSSAA流程。执行S707。
接着上述S705中第三种示例,根据终端设备的签约数据确定第二RequestedNSSAI包括的S-NSSAI-1标识的第一网络切片需要执行NSSAA流程,并且根据第一信息确定第一网络切片已经执行过NSSAA流程,并且NSSAA流程的鉴权结果为成功。基于此,AMF-2跳过第一网络切片的NSSAA流程。根据终端设备的签约数据确定第二Requested NSSAI包括的S-NSSAI-2需要执行NSSAA流程,需要针对S-NSSAI-3执行NSSAA流程。具体的执行过程参见图6所示的流程步骤,此处不再赘述。
接着上述S705中第四种示例,根据终端设备的签约数据确定第二RequestedNSSAI包括的S-NSSAI-X映射的S-NSSAI-1标识的第一网络切片需要执行NSSAA流程,并且根据第一信息确定第一网络切片已经执行过NSSAA流程,并且NSSAA流程的鉴权结果为成功。AMF-2跳过第一网络切片的NSSAA流程。
上述步骤S704和S705描述的第一网络切片的鉴权结果均指来自终端设备的第一网络切片的鉴权结果。
S707,AMF-2可以向终端设备发送注册接受(Regstration Accept)消息。注册接受消息中包括Allowed S-NSSAI。
示例性地,AMF-2根据第一信息允许终端设备接入第一网络切片,即AMF-2向终端设备发送Allowed S-NSSAI,Allowed S-NSSAI中包括第一网络切片对应的S-NSSSAI-1。
该S707中,AMF-2为终端设备确定Allowed S-NSSAI,并将Allowed S-NSSAI携带在Regstration Accept消息中。具体地,AMF-2可以根据第一信息确定Allowed S-NSSAI,或者根据S711收到的来自AAS-S的鉴权结果(可以称为第二鉴权结果)确定Allowed S-NSSAI。
例如,接着上述S705中第一种示例,终端设备携带第二Requested NSSAI在PLMN-2通过第二个接入技术注册时,第二Requested NSSAI只包含S-NSSAI-1,且终端设备指示AMF-2,S-NSSAI-1已经成功执行NSSAA流程,即终端设备向AMF-2发送的第一信息指示S-NSSAI-1的NSSAA的鉴权结果为成功,或者AMF-2从AAA-S获知S-NSSAI-1的NSSAA的鉴权结果为成功,那么AMF-2可以根据第一信息为终端设备确定Allowed NSSAI=S-NSSAI-1。其中,AMF-2从AAA-S获知S-NSSAI-1的NSSAA的鉴权结果的相关步骤后续会描述,此处不作赘述。
又例如,接着上述S705中第二种示例,终端设备携带第二Requested NSSAI在PLMN-2通过第二个接入技术注册时,第二Requested NSSAI包含S-NSSAI-1和S-NSSAI-3,且终端设备指示AMF-2,S-NSSAI-1已经成功执行NSSAA流程,但没有指示S-NSSAI-3是否已经成功执行NSSAA流程,即终端设备向AMF-2发送的第一信息指示S-NSSAI-1的NSSAA的鉴权结果为成功,或者AMF-2从AAA-S获知S-NSSAI-1的NSSAA的鉴权结果为成功,如果AMF-2根据终端设备的签约数据确定S-NSSAI-3不需要执行NSSAA流程时,则AMF-2可以根据第一信息为终端设备确定Allowed NSSAI=S-NSSAI-1+S-NSSAI-3。
再例如,接着上述S705中第四种示例,终端设备携带第二Requested NSSAI在PLMN-2通过第二个接入技术注册时,第二Requested NSSAI包含S-NSSAI-X,且终端设备指示AMF-2,S-NSSAI-X对应的S-NSSAI-1已经成功执行NSSAA流程,即终端设备向AMF-2发送的第一信息指示S-NSSAI-1的NSSAA的鉴权结果为成功,或者AMF-2从AAA-S获知S-NSSAI-1的NSSAA的鉴权结果为成功,则AMF-2可以根据第一信息为终端设备确定Allowed NSSAI=S-NSSAI-X。
再例如,接着上述S705中第三种示例,终端设备携带的第二Requested NSSAI在PLMN-2通过第二个接入技术注册时,第二Requested NSSAI包含S-NSSAI-1和S-NSSAI-2,且终端设备指示AMF-2,S-NSSAI-1已经成功执行NSSAA流程,但没有指示S-NSSAI-2是否已经成功执行NSSAA流程,即终端设备向AMF-2发送的第一信息指示S-NSSAI-1的NSSAA的鉴权结果为成功,或者AMF-2从AAA-S获知S-NSSAI-1的NSSAA的鉴权结果为成功,如果AMF-2根据终端设备的签约数据确定S-NSSAI-2需要执行NSSAA流程时,那么AMF-2不需要对S-NSSAI-1发起NSSAA流程,即跳过S-NSSAI-1的NSSAA流程,AMF-2只需要单独对S-NSSAI-2发起NSSAA流程即可。而且,AMF-2可以根据第一信息为终端设备确定Allowed NSSAI可以包含S-NSSAI-1。如果S-NSSAI-2的NSSAA流程的鉴权结果为成功,则Allowed NSSAI还包含S-NSSAI-2。
在一种可能的实施方式中,为了提高AMF从终端设备获取到的网络切片的NSSAA流程的鉴权结果的准确度,AMF可以向AAA-S获取网络切片的NSSAA流程的鉴权结果进行验证。比如,AMF-2可以向AAA-S发送第一请求,然后AAA-S接收到第一请求时,可以根据第一请求向AMF-2发送第一结果信息,第一结果信息可以包括第一网络切片的鉴权结果或者第一验证结果。第一结果信息用于第一移动性管理网元跳过执行第一网络切片的鉴权流程。
一种方式中,以第一结果信息为第一网络切片的鉴权结果(也可以称为第二鉴权结果)为例。AMF-2执行S706之后,由AMF-2通过网络切片的标识向AAA-S获取网络切片的鉴权结果。S708-S711中,以获取S-NSSAI-1标识的第一网络切片的鉴权结果为例。如果需要获取多个网络切片的鉴权结果,可以针对每个网络切片均执行一次S708-S711。也可以仅执行一次S708-S711,该一次执行S708-S711的过程中获取多个网络切片的鉴权结果。
即根据终端设备的签约数据确定第二Requested NSSAI包括的S-NSSAI-1对应的第一网络切片需要执行NSSAA流程,且确定第一网络切片的NSSAA流程的鉴权结果为成功。AMF-2根据第一信息向AAA-S发送第一请求,第一请求可以用于请求获取第一网络切片的NSSAA流程的鉴权结果。然后AAA-S将第一网络切片的NSSAA流程的鉴权结果(可以称为第二鉴权结果)发送给AMF-2,从而AMF-2确定AAA-S发送的鉴权结果(可以称为第二鉴权结果)为成功时,AMF-2执行S707。
具体的,AMF-2可以通过AUSF向AAA-S获取第一网络切片的NSSAA流程的鉴权结果。AMF-2执行S706之后,执行S708。
S708,在PLMN-2的AMF-2向AUSF发送第一请求,第一请求比如可以是AUSF的服务化操作Nausf_NSSAA_Result_Get request,第一请求可以携带第一网络切片的标识,即S-NSSAI-1。第一请求还携带终端设备的标识,比如GPSI。进而AUSF接收到第一请求。
S709,AUSF向AAA-S发送第一请求。具体的,AUSF可以将AUSF的服务化操作Nausf_NSSAA_Result_Get reques转换为AAA服务器可以理解的协议消息,例如,直径(diameter)协议。在步骤S709中,协议消息称为鉴权结果获取请求。鉴权结果获取请求可以是AAAprotocol Get result request。比如,AAA protocol Get result request可以携带GPSI,S-NSSAI-1。
S710,AAA-S向AUSF发送第一网络切片的鉴权结果(可以称为第二鉴权结果)。
例如,AAA-S查询本地是否存储了该终端设备的上下文,并基于该终端设备的上下文查询该S-NSSAI-1的NSSAA流程的鉴权结果。AAA-S可以向AUSF发送鉴权结果获取响应。鉴权结果获取响应可以是AAA protocol Get result response。鉴权结果获取响应可以携带第一网络切片的鉴权结果(result),还可以携带GPSI,S-NSSAI-1。其中,result指示该S-NSSAI-1标识的第一网络切片的NSSAA流程的鉴权结果为成功。示例性地,AAA-S返回的第一网络切片的鉴权结果是终端设备在PLMN-1执行NSSAA流程的鉴权结果。
作为一种可选的实施例方式,AAA-S还可以根据配置的本地策略确定是否向AUSF反馈第一网络切片的鉴权结果。比如,AAA-S在首次获取第一网络切片的NSSAAI的鉴权结果时,可以启动定时器,定时器超时时,确定该第一网络切片的鉴权结果失效。在该情况下,可以向AUSF返回第一网络切片的鉴权结果为成功但已经失效,或者返回第一网络切片的鉴权结果为失败。当然AAA-S还可以配置其它的本地策略,本申请实施例对此不作限定。
S711,AUSF将收到的AAA-S发送的鉴权结果获取响应转换为服务化操作,比如转换为第一响应,并将第一响应发送给AMF-2。比如第一响应可以是服务化操作Nausf_NSSAA_Result_Get response。第一响应可以携带第一网络切片的鉴权结果,还可以携带终端设备的标识(比如,GPSI)、S-NSSAI-1。
AMF-2从AAA-S获知S-NSSAI-1的第一网络切片的NSSAA流程的鉴权结果为成功时,不需再执行NSSAA。比如执行S707。
需要说明的是,S708-S711为可选地步骤,在图7中通过虚线来表示。
另一种方式中,以第一结果信息为第一验证结果(也可以称为校验结果)为例。AMF-2执行S706之后,由AMF-2将网络切片的鉴权结果发送给AAA-S,由AAA-S的鉴权结果进行验证。
即根据终端设备的签约数据确定第二Requested NSSAI包括的S-NSSAI-1对应的第一网络切片需要执行NSSAA流程,且确定第一网络切片的NSSAA流程的鉴权结果为成功。AMF-2根据第一信息向AAA-S发送校验请求,校验请求用于请求校验第一网络切片的鉴权结果。然后AAA-S将第一网络切片的鉴权结果的校验结果发送给AMF-2,从而AMF-2确定AAA-S发送的校验结果为通过时,AMF-2执行S707。
具体的,AMF-2可以通过AUSF向AAA-S获取第一网络切片的NSSAA流程的鉴权结果。AMF-2执行S706之后,在PLMN-2的AMF-2向AUSF发送校验请求,校验请求比如可以是AUSF的服务化操作Nausf_NSSAA_Result_Get request,校验请求可以携带第一网络切片的标识,即S-NSSAI-1,还携带第一网络切片的鉴权结果。校验请求还携带终端设备的标识,比如GPSI。进而AUSF接收到校验请求。AUSF将校验请求转发给AAA-S。具体的,AUSF可以将AUSF的服务化操作Nausf_NSSAA_Result_Get reques转换为AAA服务器可以理解的协议消息,例如,AAA protocol Get result request。比如,AAAprotocol Get result request可以携带GPSI,S-NSSAI-1以及第一网络切片的鉴权结果。AAA-S查询本地是否存储了该终端设备的上下文,并基于该终端设备的上下文查询该S-NSSAI-1的NSSAA流程的鉴权结果。根据查询到S-NSSAI-1的NSSAA流程的鉴权结果对来自AUSF的第一网络切片的鉴权结果进行校验,在检验通过时,可以向AUSF发送AAA protocol Get result response。AAA protocol Getresult response可以携带校验结果,还可以携带GPSI,S-NSSAI-1。AUSF将收到的AAA-S发送的AAA protocol Get result response转换为校验响应,并将校验响应发送给AMF-2。比如校验响应可以是服务化操作Nausf_NSSAA_Result_Get response。校验响应可以携带校验结果,还可以携带GPSI,S-NSSAI-1。
其中,根据查询到S-NSSAI-1的NSSAA流程的鉴权结果对来自AUSF的第一网络切片的鉴权结果进行校验通过,可以指AUSF发送的第一网络切片的鉴权结果(由终端设备发来的,也可以称为第一鉴权结果)与查询到S-NSSAI-1的NSSAA流程的鉴权结果均为成功,即校验通过。
AMF-2从AAA-S获知S-NSSAI-1的第一网络切片的鉴权结果的校验通过时,则不需再执行NSSAA流程。执行S707。
通过上述方案,无论终端设备是否可信,AMF-2对来自终端设备的第一网络切片的鉴权结果,向AAA-S进行校验,而AAA-S作为可信设备,其发来的第一网络切片的鉴权结果或者第一验证结果是可信的,从而可以提高AMF-2获取到的网络切片的鉴权结果的可靠性。
为解决上述问题,本申请实施例还提供第二种通信方法。参见图8所示的通信方法流程示意图。图7中AMF-2获取第一信息时,是通过终端设备的注册请求消息获取第一信息。图8中描述的是,终端设备可以其它的流程将第一信息发送给AMF-2,即AMF-2通过其它的流程中获取第一信息。
S801-S804,参见S701-S704,此处不再赘述。
终端设备在当前位置检测到PLMN-2,PLMN-1支持第一接入技术,终端设备在PLMN-2采用第二接入技术发起注册流程。PLMN-2中的AMF-2为终端设备提供服务。终端设备执行S705。
S805,终端设备向AMF-2发送第二注册请求消息。第二注册请求可以携带请求的S-NSSAI(第二Request NSSAI)。
S806,AMF-2接收到第二注册请求之后,根据终端设备的签约数据确定第二Requested NSSAI包括的S-NSSAI是否需要执行NSSAA流程。具体的,AMF-2接收到第二注册请求之后,AMF-2获取终端设备的签约数据,该终端设备的签约数据包括该终端设备的签约S-NSSAI(HPLMN S-NSSAI)。然后,根据终端设备的签约数据判断第二Requested NSSAI包括的S-NSSAI是否需要执行NSSAA流程。
其中,AMF-2确定第二Requested NSSAI中是否包括需要执行NSSAA流程的S-NSSAI,该方法的具体描述可以参考S503,此处不再赘述。
示例性地,AMF-2可以调用UDM的服务化操作Nudm_SDM_Get从UDM处获取该终端设备的签约数据,该终端设备的签约数据包括该终端设备的签约S-NSSAI。UDM通过服务化操作Nudm_SDM_Get response向AMF-2发送的该终端设备的签约S-NSSAI,从而AMF-1接收来自UDM通过服务化操作Nudm_SDM_Get response向AMF-2发送的该终端设备的签约S-NSSAI。其中,终端设备的签约S-NSSAI包含指示信息,用于指示该签约S-NSSAI是否需要执行NSSAA流程。AMF-2根据UE的签约数据判断第二Requested NSSAI是否包括需要执行鉴权的S-NSSAI。如果Requested NSSAI中包含了需要执行NSSAA流程的S-NSSAI,AMF-2将需要执行NSSAA流程的S-NSSAI放在Pending NSSAI中。
S807,AMF-2向终端设备发送注册接受消息,注册接受消息中携带Pending NSSAI和Allowed NSSAI。其中Pending NSSAI包含的是需要执行NSSAA的S-NSSAI,Allowed NSSAI包含的是不需要执行NSSAA流程的S-NSSAI。
例如,S806中,终端设备在PLMN-2通过第二个接入技术注册时,第二RequestedNSSAI包含S-NSSAI-1和S-NSSAI-3,S-NSSAI-1和S-NSSAI-3为HPLMN S-NSSAI(签约的S-NSSAI)。AMF-2根据终端设备的签约数据确定S-NSSAI-1需要执行NSSAA,S-NSSAI-3不需要执行NSSAA流程。那么Pending NSSAI=S-NSSAI-1,Allowed NSSAI=S-NSSAI-3。
又例如,S806中,终端设备在PLMN-2通过第二个接入技术注册时,第二RequestedNSSAI包含S-NSSAI-1、S-NSSAI-2和S-NSSAI-3,S-NSSAI-1、S-NSSAI-2和S-NSSAI-3为HPLMNS-NSSAI(签约的S-NSSAI)。AMF-2根据终端设备的签约数据确定S-NSSAI-1和S-NSSAI-2需要执行NSSAA,S-NSSAI-3不需要执行NSSAA流程。那么Pending NSSAI=S-NSSAI-1+S-NSSAI-2,Allowed NSSAI=S-NSSAI-3。
再例如,第二Requested NSSAI携带的是VPLMN S-NSSAI,比如S-NSSAI-X和S-NSSAI-Y。S-NSSAI-X在终端设备的签约数据中对应于签约的S-NSSAI-1(即HPLMN S-NSSAI-1),S-NSSAI-Y在终端设备的签约数据中对应于签约的S-NSSAI-3(即HPLMN S-NSSAI-3),AMF-2根据终端设备的签约数据确定S-NSSAI-1需要执行NSSAA,S-NSSAI-3不需要执行NSSAA流程。那么Pending NSSAI=S-NSSAI-X,Allowed NSSAI=S-NSSAI-Y。
S808,终端设备向AMF-2发送第一信息,图8中以在注册完成消息中携带第一信息为例。即终端设备向AMF-2发送注册完成消息,注册完成消息中携带第一信息。
第一信息用于指示第一网络切片的鉴权结果,用于AMF-2跳过对第一网络切片的鉴权流程。
需要说明的是,第一信息所指示的第一网络切片的鉴权结果是来自终端设备,也可以称为第一鉴权结果。
终端设备接收到Pending NSSAI后,确定Pending NSSAI中包含的S-NSSAI已经成功执行过NSSAA。那么终端设备可以注册到PLMN-2时,在注册完成消息中携带该第一信息,第一信息指示该Pending NSSAI中包含的S-NSSAI标识的网络切片的NSSAA流程的鉴权结果为成功。第一信息中可以包括该S-NSSAI,和该S-NSSAI标识的网络切片的鉴权结果。
应理解的是,Pending NSSAI可以包括多个S-NSSAI,比如N个S-NSSAI。终端设备获知N个S-NSSAI中M个S-NSSAI已经执行过NSSAA流程,并且已知M个S-NSSAI的鉴权结果。N为正整数,M为小于或者等于N的正整数。
一种方式中,比如N大于1,注册完成消息可以包括N个S-NSSAI分别对应的鉴权结果为成功。由于终端设备并不知道剩余的N-M个S-NSSAI的鉴权结果,因此注册完成消息中M个S-NSSAI分别对应的鉴权结果为成功,即注册完成消息可以包括M个网络切片对应的第一信息,而N-M个S-NSSAI对应的鉴权结果为无。
另一种方式中,比如,N大于1,注册完成消息可以仅包括M个S-NSSAI分别对应的鉴权结果为成功,即注册完成消息可以包括M个网络切片对应的第一信息。由于终端设备并不知道剩余的N-M个S-NSSAI的鉴权结果,因此,注册完成消息不会携带N-M个S-NSSAI的鉴权结果。
本申请实施例中,第一网络切片是M个S-NSSAI标识的网络切片的任意一个。
第一种示例中,第一Requested NSSAI包括HPLMN S-NSSAI,比如S-NSSAI-1,且S-NSSAI-1在PLMN-1成功执行NSSAA流程。Pending NSSAI中包括S-NSSAI-1。由于终端设备在PLMN-1已经对S-NSSAI-1执行了NSSAA流程,并且NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的注册完成消息中包括S-NSSAI-1和第一网络切片的鉴权结果,即终端设备向AMF-2发送的第一信息指示S-NSSAI-1的NSSAA的鉴权结果为成功。AMF-2接收到注册完成消息后,根据注册完成消息中包括S-NSSAI-1和第一网络切片的鉴权结果,跳过S-NSSAI-1的鉴权流程。
第二种示例中,第一Requested NSSAI包括S-NSSAI-1,且S-NSSAI-1在PLMN-1成功执行NSSAA流程。Pending NSSAI中包括S-NSSAI-1和S-NSSAI-2。由于终端设备在PLMN-1已经对S-NSSAI-1执行了NSSAA流程,并且NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的注册完成消息中还包括第一网络切片的鉴权结果。而终端设备在PLMN-1并未对S-NSSAI-2执行NSSAA流程,因此,注册完成消息中不包括S-NSSAI-2对应的网络切片的鉴权结果,即终端设备向AMF-2发送的第一信息指示S-NSSAI-1的NSSAA的鉴权结果为成功。AMF-2接收到注册完成消息后,根据注册完成消息中包括S-NSSAI-1和第一网络切片的鉴权结果,跳过S-NSSAI-1的NSSAA流程。由于注册完成消息中不包括S-NSSAI-2对应的网络切片的鉴权结果,则AMF-2根据终端设备的签约数据确定执行S-NSSAI-2的NSSAA流程。
第三种示例中,Pending NSSAI中包括S-NSSAI-X。比如终端设备在PLMN-1已经对S-NSSAI-X对应的S-NSSAI-1执行了NSSAA流程,并且NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的注册完成消息中包括用于标识第一网络切片的S-NSSAI-1以及第一网络切片的鉴权结果,即终端设备向AMF-2发送的第一信息指示S-NSSAI-1的NSSAA的鉴权结果为成功。AMF-2接收到注册完成消息后,根据注册完成消息中包括S-NSSAI-1和第一网络切片的鉴权结果,跳过S-NSSAI-1的NSSAA流程。
在一种可能的实施方式中,为了提高AMF从终端设备获取到的网络切片的NSSAA流程的鉴权结果的准确度,AMF获取到网络切片的鉴权结果后,可以向AAA-S获取网络切片的NSSAA流程的鉴权结果进行验证。
AMF-2执行S808之后,由AMF-2通过网络切片的标识向AAA-S获取网络切片的鉴权结果。即根据终端设备的签约数据确定第二Requested NSSAI包括的S-NSSAI-1对应的第一网络切片需要执行NSSAA流程,且确定第一网络切片的NSSAA流程的鉴权结果为成功。AMF-2根据第一信息向AAA-S发送第一请求,第一请求用于请求获取第一网络切片的NSSAA流程的鉴权结果。然后AAA-S将第一网络切片的NSSAA流程的鉴权结果发送给AMF-2,从而AMF-2确定AAA-S发送的鉴权结果为成功时,允许终端设备接入第一网络切片。可以执行S809,AMF-2向终端设备发送更新后的allowed NSSAI(new allowed NSSAI)。new allowed NSSAI包括S-NSSAI-1。AMF-2向终端设备发送new allowed NSSAI,可以通过UE配置更新消息(可以简称为配置更新消息)将new allowed NSSAI发送给终端设备。如果AMF-2确定AAA-S发送的鉴权结果为失败时,不允许终端设备接入第一网络切片。
具体的,AMF-2可以通过AUSF向AAA-S获取第一网络切片的NSSAA流程的鉴权结果。AMF-2执行S808之后,执行S810-S813,参见S708-S711,此处不再赘述。
另一种方式中,AMF-2执行S808之后,由AMF-2将网络切片的鉴权结果发送给AAA-S,由AAA-S对网络切片的鉴权结果进行验证。具体可以图7实施例中的相关说明,此处不再赘述。
在上述图7和图8所示的方法中,AMF-2从终端设备接收第一信息(如步骤S705或步骤S808),该第一信息用于指示第一网络切片的第一鉴权结果为成功,然后AMF-2根据该第一信息跳过执行第一网络切片的鉴权流程。可选的,第一信息包括第一S-NSSAI和第一鉴权结果。可选的,AMF-2为了保证第一鉴权结果的可靠性,可以根据如下两种方式中的任一种方式对第一鉴权结果进行验证,如图7中步骤S706-S711或者图8中步骤S810-S813的描述。方式一:AMF-2根据第一信息向AAA-S发送第一请求,该第一请求用于获取第一网络切片的第二鉴权结果,然后AMF-2从AAA-S接收第二鉴权结果,第二鉴权结果为成功。方式二:可选的,AMF-2根据第一信息向AAA-S发送第一请求,第一请求中包括第一信息,AMF-2根据第一请求接收来自AAA-S的验证结果,验证结果用于指示第一鉴权结果为成功。
为解决上述问题,本申请实施例还提供第三种通信方法。参见图9所示的通信方法流程示意图。图9描述的AMF-2获取第一信息的方式与图7中的获取方式类似,但与图7不同的是,图9描述的第一信息中的第一网络切片的鉴权结果(可以称为第一鉴权结果)是经过加密后得到的。为了便于区分,将经过加密的第一网络切片的鉴权结果成为第二信息。
S901-S904,参见S701-S704,此处不再赘述。
终端设备在当前位置检测到PLMN-2,PLMN-1支持第一接入技术,终端设备在PLMN-2采用第二接入技术发起注册流程。PLMN-2中的AMF-2为终端设备提供服务。终端设备执行S905。
S905,终端设备向AMF-2发送第二注册请求消息。第二注册请求中携带第一网络切片对应的第一信息。第一信息用于指示第一网络切片的鉴权结果为成功。示例性的,第一信息包括第二信息和第一网络切片的标识。即第一网络切片的标识是第一网络切片的S-NSSAI。第二信息是终端设备对第一网络切片的鉴权结果加密后得到的。对第一网络切片的鉴权结果加密也可以称为对第一网络切片的鉴权结果的完整性保护。具体的,终端设备可以采用第一秘钥对第一网络切片的鉴权结果加密得到第二信息(即加密后的第一网络切片的鉴权结果)。第一秘钥可以是终端设备根据配置的算法生成的。或者,第一秘钥可以是终端设备从AAA-S服务器获取的,比如是AAA-S生成的公钥。例如,AAA-S可以在第一网络切片的NSSAA流程后,将第一网络切片的鉴权结果以及第一秘钥发送给AMF-2,AMF-2将第一网络切片的鉴权结果以及第一秘钥发送给终端设备。从而S904中,终端设备从AMF-1获取第一网络切片的NSSAA流程的鉴权结果为成功,以及第一秘钥。在第二注册请求消息中还可以携带用于指示终端设备是否支持NSSAA流程的能力指示信息,例如该指示信息用UE 5GMM CoreNetwork Capability表示,UE 5GMM Core Network Capability指示该终端设备支持NSSAA流程。
具体地,由于终端设备在PLMN-1已经对某个网络切片执行了NSSAA流程,如果终端设备在PLMN-2请求接入相同的网络切片,那么终端设备可以注册到PLMN-2时,在注册请求消息中携带该第一信息,第一信息指示该网络切片的NSSAA流程的鉴权结果为成功。
第一种示例中,第一Requested NSSAI包括HPLMN S-NSSAI,比如S-NSSAI-1,且S-NSSAI-1在PLMN-1成功执行NSSAA流程。第二注册请求消息中包括第二Requested NSSAI。比如,第二Requested NSSAI包括的S-NSSAI为HPLMN S-NSSAI,比如S-NSSAI-1,S-NSSAI-1标识第一网络切片。由于终端设备在PLMN-1已经对第一网络切片执行了NSSAA流程,并且执行NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的第二注册请求消息中还包括经过第一秘钥加密的第一网络切片的鉴权结果。S-NSSAI-1和加密后的第一网络切片的鉴权结果构成第一网络切片对应的第一信息。
第二种示例中,第二注册请求消息中包括第二Requested NSSAI。比如,第二Requested NSSAI包括HPLMN S-NSSAI,比如S-NSSAI-1,S-NSSAI-1标识第一网络切片。第二Requested NSSAI还包括S-NSSAI-3。由于终端设备在PLMN-1已经对第一网络切片执行了NSSAA流程,并且执行NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的第二注册请求消息中还包括经过第一秘钥加密的第一网络切片的鉴权结果。而终端设备在PLMN-1并未对S-NSSAI-3执行NSSAA流程,因此,第二注册请求消息中不包括S-NSSAI-3对应的网络切片的鉴权结果。S-NSSAI-1和第一网络切片的鉴权结果构成第一网络切片对应的第一信息。
第三种示例中,第二Requested NSSAI携带的是VPLMN S-NSSAI,比如S-NSSAI-X。S-NSSAI-X,S-NSSAI-X在终端设备的签约数据中对应于签约的S-NSSAI-1(即HPLMN S-NSSAI-1),S-NSSAI-1为第一网络切片的标识。由于终端设备在PLMN-1已经对第一网络切片执行了NSSAA流程,并且执行NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的第二注册请求消息中还包括经过第一秘钥加密的第一网络切片的鉴权结果。第二注册请求消息中还携带请求的NSSAI的映射关系(Mapping of Requested NSSAI)。Mapping ofRequested NSSAI包含终端设备所请求的S-NSSAI和HPLMN S-NSSAI之间的映射关系。
S906,AMF-2接收到第二注册请求消息之后,根据终端设备的签约数据确定第一网络切片需要执行NSSAA流程。后续步骤描述时,仅以S-NSSAI-1标识的第一网络切片为例。
AMF-2获取终端设备的签约数据,该终端设备的签约数据包括该终端设备的签约S-NSSAI(HPLMN S-NSSAI)。根据终端设备的签约数据确定第二Requested NSSAI包括的S-NSSAI-1是否需要执行NSSAA流程,如果S-NSSAI-1需要执行NSSAA流程,且确定第二注册请求消息还包括经过加密的S-NSSAI-1标识的第一网络切片的鉴权结果,则执行S907。
示例性地,AMF-2可以调用UDM的服务化操作Nudm_SDM_Get从UDM处获取该终端设备的签约数据,该终端设备的签约数据包括该终端设备的签约S-NSSAI。UDM通过服务化操作Nudm_SDM_Get response向AMF-2发送的该终端设备的签约S-NSSAI,从而AMF-1接收来自UDM通过服务化操作Nudm_SDM_Get response向AMF-2发送的该终端设备的签约S-NSSAI。其中,终端设备的签约S-NSSAI包含指示信息,用于指示该签约S-NSSAI是否需要执行NSSAA流程。
S907,在PLMN-2的AMF-2向AUSF发送第一请求,第一请求比如可以是AUSF的服务化操作Nausf_NSSAA_Result_Get request,第一请求可以携带第二信息以及第一网络切片的标识,即S-NSSAI-1(签约的S-NSSAI)。第一请求还携带终端设备的标识,比如GPSI。进而AUSF接收到第一请求。
S908,AUSF将第一请求转发给AAA-S。具体的,AUSF可以将AUSF的服务化操作Nausf_NSSAA_Result_Get reques转换为AAA服务器可以理解的协议消息,例如,直径(diameter)协议。在步骤S908中,协议消息称为鉴权结果获取请求。鉴权结果获取请求可以是AAAprotocol Get result request。比如,AAAprotocol Get result request可以携带GPSI,S-NSSAI-1以及加密后的第一网络切片的鉴权结果。
S909,AAA-S向AUSF发送解密后的第一网络切片的鉴权结果(可以称为第二鉴权结果)。
AAA-S从AUSF接收到第二信息后,对第二信息进行解密,即对第二信息进行完整性校验。比如采用第一秘钥对应的第二秘钥对第二信息进行解密得到解密后的第一网络切片的鉴权结果。第二秘钥可以是由AAA-S根据配置的算法生成的与第一秘钥对应的私钥。AAA-S可以将解密后的第一网络切片的鉴权结果发送给AUSF。为了提高安全性,AAA-S在得到解密后的第一网络切片的鉴权结果时,还可以对解密后的第一网络切片的鉴权结果进行校验。AAA-S查询本地是否存储了该终端设备的上下文,并基于该终端设备的上下文查询该第一网络切片的NSSAA流程的鉴权结果。确定查询到的该第一网络切片的鉴权结果与解密后的第一网络切片的鉴权结果是否相同,若相同,向AUSF发送解密后的第一网络切片的鉴权结果。
AAA-S可以向AUSF发送鉴权结果获取响应。鉴权结果获取响应可以是AAAprotocol Get result response。鉴权结果获取响应可以携带第一网络切片的鉴权结果(result),还可以携带GPSI,用于标识第一网络切片的S-NSSAI-1。其中,result指示解密后的第一网络切片的NSSAA流程的鉴权结果。
作为一种可选的实施例方式,AAA-S还可以根据配置的本地策略确定是否向AUSF反馈第一网络切片的鉴权结果。比如,AAA-S在首次获取第一网络切片的NSSAAI的鉴权结果时,可以启动定时器,定时器超时时,确定该第一网络切片的鉴权结果为成功但已经失效或者返回第一网络切片的鉴权结果为失败。在该情况下,可以向AUSF返回第一网络切片的鉴权结果失效。当然AAA-S还可以配置其它的本地策略,本申请实施例对此不作限定。
S910,AUSF将收到的AAA-S发送的鉴权结果获取响应转换为服务化操作,比如转换为第一响应,并将第一响应发送给AMF-2。比如第一响应可以是服务化操作Nausf_NSSAA_Result_Get response。第一响应可以携带第一网络切片的鉴权结果,还可以携带终端设备的标识(比如,GPSI)、S-NSSAI-1。
S911,AMF-2可以向终端设备发送注册接受(Regstration Accept)消息。注册接受消息中包括Allowed S-NSSAI。
该步骤中,AMF-2为终端设备确定Allowed S-NSSAI,具体地,AMF-2可以根据第一响应中包含的鉴权结果确定Allowed S-NSSAI。
例如,如果S905中,终端设备携带的第二Requested NSSAI在PLMN-2通过第二个接入技术注册时,第二Requested NSSAI只包含S-NSSAI-1,AMF-2接收到第一响应后,根据第一响应确定S-NSSAI-1的鉴权结果为成功,AMF-2将该S-NSSAI-1直接放入到Allowed NSSAI中。即Allowed NSSAI=S-NSSAI-1。
又例如,如果S905中,终端设备携带的第二Requested NSSAI在PLMN-2通过第二个接入技术注册时,第二Requested NSSAI包含S-NSSAI-1和S-NSSAI-3。在S906中,AMF-2根据终端设备的签约信息确定S-NSSAI-3不需要执行NSSAA流程。并且AMF-2根据第一响应确定S-NSSAI-1的鉴权结果为成功,AMF-2将该S-NSSAI-1和S-NSSAI-3放入到Allowed NSSAI中。即Allowed NSSAI=S-NSSAI-1+S-NSSAI-3。
再例如,如果S905中,终端设备携带的第二Requested NSSAI在PLMN-2通过第二个接入技术注册时,第二Requested NSSAI包含S-NSSAI-X,在S906中,AMF-2根据终端设备的签约信息确定S-NSSAI-X对应于S-NSSAI-1。并且AMF-2根据第一响应确定S-NSSAI-1的鉴权结果为成功,AMF-2将该S-NSSAI-X放入到Allowed NSSAI中。即Allowed NSSAI=S-NSSAI-X。
为解决上述问题,本申请实施例还提供第四种通信方法。参见图10所示的通信方法流程示意图。图10描述的AMF-2获取第一信息的方式与图8中的获取方式类似,但与图8不同的是,图10描述的第一信息中的第一网络切片的鉴权结果是经过加密后得到的。为了便于区分,将经过加密的第一网络切片的鉴权结果称为第二信息。本实施例中仅以S-NSSAI-1标识的第一网络切片对应的第一信息为例。
S1001-S1004,参见S701-S704,此处不再赘述。
S1005-S1007,参见S805-S807,此处不再赘述。
S1008,终端设备向AMF-2发送注册完成消息,注册完成消息中携带第一网络切片的第一信息。第一信息包括用于标识第一网络切片的S-NSSAI-1以及加密后的第一网络切片的鉴权结果。执行S1009。
终端设备接收到Pending NSSAI后,确定Pending NSSAI中包含的S-NSSAI已经成功执行过NSSAA。那么终端设备注册到PLMN-2时,将之前获取到的第一网络切片的鉴权结果进行加密,并将第一网络切片的鉴权结果以及第一网络切片的S-NSSAI通过注册完成消息发送给AMF-2。
第一种示例中,第一Requested NSSAI包括HPLMN S-NSSAI,比如S-NSSAI-1,且S-NSSAI-1在PLMN-1成功执行NSSAA流程。Pending NSSAI中包括S-NSSAI-1。由于终端设备在PLMN-1已经对S-NSSAI-1执行了NSSAA流程,并且NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的注册完成消息中包括S-NSSAI-1和加密的第一网络切片的鉴权结果。AMF-2接收到注册完成消息后,确定注册完成消息中包括S-NSSAI-1和加密的第一网络切片的鉴权结果,执行S1009。
第二种示例中,第一Requested NSSAI包括S-NSSAI-1,且S-NSSAI-1在PLMN-1成功执行NSSAA流程。Pending NSSAI中包括S-NSSAI-1和S-NSSAI-2。由于终端设备在PLMN-1已经对S-NSSAI-1执行了NSSAA流程,并且NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的注册完成消息中还包括加密后的第一网络切片的鉴权结果。而终端设备在PLMN-1并未对S-NSSAI-2执行NSSAA流程,因此,注册完成消息中不包括S-NSSAI-2对应的网络切片的鉴权结果。AMF-2接收到注册完成消息后,确定注册完成消息中包括S-NSSAI-1和加密的第一网络切片的鉴权结果,执行S1009。由于注册完成消息中不包括S-NSSAI-2对应的网络切片的鉴权结果,则AMF-2执行S-NSSAI-2的NSSAA流程。
第三种示例中,Pending NSSAI中包括S-NSSAI-X。比如终端设备在PLMN-1已经对S-NSSAI-X对应的S-NSSAI-1执行了NSSAA流程,并且NSSAA流程的鉴权结果为成功,从而终端设备向AMF-2发送的注册完成消息中包括用于标识第一网络切片的S-NSSAI-1以及经过加密的第一网络切片的鉴权结果。AMF-2接收到注册完成消息后,确定注册完成消息中包括S-NSSAI-1和加密的第一网络切片的鉴权结果,执行S1009。
S1009-S1012,参见S907-S910,不再赘述。
AMF-2确定AAA-S发送的第一网络切片的鉴权结果为成功时,允许终端设备接入第一网络切片。可以执行S1013,AMF-2向终端设备发送new allowed NSSAI。new allowedNSSAI包括S-NSSAI-1。AMF-2向终端设备发送new allowed NSSAI,可以通过UE配置更新消息将new allowed NSSAI发送给终端设备。如果AMF-2确定AAA-S发送的鉴权结果为失败时,不允许终端设备接入第一网络切片。
在图9和图10所示的方法中,AMF-2从终端设备接收第一信息(如步骤S905或步骤S1008),该第一信息用于指示第一网络切片的第一鉴权结果为成功,然后AMF-2根据该第一信息跳过执行第一网络切片的鉴权流程。可选的,第一信息包括第一S-NSSAI和经过对第一鉴权结果加密后得到的第二信息。可选的,AMF-2为了保证第一鉴权结果的可靠性,可以对第一鉴权结果进行验证,如图9中步骤S907-S910或者图10中步骤S1009-S1012的描述。AMF-2根据第一信息向AAA-S发送第一请求,第一请求包括对第一鉴权结果加密后得到的第二信息,AAA-S根据第二信息确定第二验证结果并向AMF-2发送该第二验证结果,该第二验证结果用于指示第一网络切片的鉴权结果为成功。
其次,针对获取方式二,第一移动性管理网元从数据管理网元中获取第一网络切片的鉴权结果为例进行详细说明。
参见图11所示,为本申请实施例提供第五种通信方法的流程示意图。在下文的介绍过程中,以该方法应用于图1或图2所示的网络架构为例。其中,图11所示的实施例所涉及的第一通信网络的AMF称为AMF-1或者称为第二移动性管理网元,将第二通信网络的AMF称为AMF-2或者称为第一移动性管理网元。第一通信网络也可以称为PLMN-1,第二通信网络可以称为PLMN-2。
S1101,终端设备在PLMN-1发起注册流程(registration procedure)。
PLMN-1支持第一接入技术,终端设备在PLMN-1采用第一接入技术发起注册流程。例如,PLMN-1中的AMF-1为终端设备提供服务,终端设备向AMF-1发送注册请求消息,AMF-1接收来自终端设备的注册请求消息。为了与后续将要出现的其它注册请求消息相区分,将此处的注册请求消息称为第一注册请求消息。在第一注册请求消息中,可以携带该终端设备的Requested NSSAI,为了与后续出现的Requested NSSAI区分开,将此处的RequestedNSSAI称为第一Requested NSSAI。在第一注册请求消息中还可以携带用于指示终端设备是否支持NSSAA流程的能力指示信息,例如该指示信息用UE 5GMM Core Network Capability表示,UE 5GMM Core Network Capability指示该终端设备支持NSSAA流程。
S1102,AMF-1向UDM发送签约数据获取请求1,签约数据获取请求1用于获取终端设备的签约数据。UDM接收来自AMF-1的签约数据获取请求1。比如,签约数据获取请求可以为UDM的服务化操作Nudm_SDM_Get。该终端设备的签约数据包括该终端设备的签约S-NSSAI。
S1103,UDM向AMF-1发送签约数据获取响应1,AMF-1接收来自UDM的签约数据获取响应1。
签约数据获取响应1,比如可以是服务化操作Nudm_SDM_Get response。UDM通过服务化操作Nudm_SDM_Get response向AMF-1发送该终端设备的签约S-NSSAI,从而AMF-1接收来自UDM通过服务化操作Nudm_SDM_Get response向AMF-1发送的该终端设备的签约S-NSSAI。其中,终端设备的签约S-NSSAI包含指示信息,用于指示该签约S-NSSAI是否需要执行NSSAA流程。
作为一种可能的实施方式,UDM确定某签约的S-NSSAI已经执行过NSSAA流程时,可以通过签约数据获取响应发送该签约的S-NSSAI对应的第一信息。第一信息用于指示该签约的S-NSSAI标识的某网络切片是否已经成功执行过NSSAA流程。例如表7所示。
表7
S1104,AMF-1根据终端设备的签约数据判断第一Requested NSSAI中是否包括需要执行NSSAA流程的S-NSSAI。
S1105,执行NSSAA流程。
如果第一Requested NSSAI中包含了需要执行NSSAA流程的S-NSSAI,针对每个需要执行NSSAA流程的S-NSSAI发起NSSAA流程。如果第一Requested NSSAI中包含需要执行NSSAA流程的S-NSSAI且该需要执行NSSAA流程的S-NSSAI未被执行过NSSAA流程,则针对需要执行NSSAA流程的S-NSSAI发起NSSAA流程。
例如,第一Requested NSSAI包括S-NSSAI-1,根据终端设备的签约数据确定该S-NSSAI-1需要执行NSSAA流程,但该S-NSSAI并未成功执行过NSSAA流程,则AMF-2针对S-NSSAI-1发起NSSAA流程。
S1106,AMF-1将已执行NSSAA流程的网络切片的鉴权结果保存在UDM中。例如,AMF-1通过调用UDM的服务化操作Nudm_UECM_Update将已执行NSSAA流程的网络切片的鉴权结果存储在UDM中。
示例性地,当第一Requested NSSAI中包括的需要执行NSSAA流程的S-NSSAI是多个时,一种可能的实现方法是,当每个S-NSSAI的NSSAA流程结束之后,AMF-1可以通过调用UDM的服务化操作Nudm_UECM_Update将该S-NSSAI的鉴权授权结果存储在UDM中,Nudm_UECM_Update携带执行了NSSAA流程的S-NSSAI以及对应的NSSAA流程的鉴权结果。
例如终端设备向AMF-1发送的Requested NSSAI中包括S-NSSAI-1和S-NSSAI-2,根据UDM发送的终端设备的签约数据,,例如以表7为例,确定S-NSSAI-1和S-NSSAI-2都需要执行NSSAA流程,当S-NSSAI-1的NSSAA流程成功完成之后,AMF-1可以通过调用UDM的服务化操作Nudm_UECM_Update将该S-NSSA-1的鉴权结果存储在UDM。Nudm_UECM_Update携带S-NSSAI-1以及对应的NSSAA流程的鉴权结果;当S-NSSAI-2的NSSAA流程成功完成之后,AMF-1再次通过调用UDM的服务化操作Nudm_UECM_Update将该S-NSSA-2的鉴权结果存储在UDM中。Nudm_UECM_Update携带S-NSSAI-2以及对应的NSSAA流程的鉴权结果。
另一种实现方法是,当多个S-NSSAI的NSSAA流程全部都成功结束之后,AMF-1只调用一次UDM的服务化操作Nudm_UECM_Update将该S-NSSA-1和S-NSSAI-2的NSSAA结果存储在UDM中:Nudm_UECM_Update携带S-NSSAI-1以及对应的NSSAA流程的鉴权结果和S-NSSAI-2以及对应的NSSAA流程的鉴权结果。
假设S-NSSA-1和S-NSSAI-2的鉴权结果分别为成功和失败,那么AMF-1只需要存储S-NSSA-1的NSSAA结果。经过S1106之后,UDM存储的终端设备的签约数据更新为表8所示的内容。
表8
S1107,终端设备在PLMN-2发起注册流程(registration procedure)。
PLMN-2支持第二接入技术,终端设备在PLMN-2采用第二接入技术发起注册流程。例如,PLMN-2中的AMF-2为终端设备提供服务,终端设备向AMF-2发送注册请求消息。为了与第一注册请求消息相区分,将此处的注册请求消息称为第二注册请求消息。在第二注册请求消息中,可以携带该终端设备的Requested NSSAI,为了与第一Requested NSSAI区分开,将此处的Requested NSSAI称为第二Requested NSSAI。在第二注册请求消息中还可以携带用于指示终端设备是否支持NSSAA流程的能力指示信息,例如该指示信息用UE5GMM CoreNetwork Capability表示,UE 5GMM Core Network Capability指示该终端设备支持NSSAA流程。
第二注册请求消息中还可以携带Mapping of Requested NSSAI。Mapping ofRequested NSSAI包含请求的S-NSSAI和HPLMN S-NSSAI之间的映射关系。
S1108,AMF-2向UDM发送签约数据获取请求2,签约数据获取请求2用于获取终端设备的签约数据。UDM接收来自AMF-2的签约数据获取请求2。比如,签约数据获取请求2可以为UDM的服务化操作Nudm_SDM_Get。该终端设备的签约数据包括该终端设备的签约S-NSSAI。
S1109,UDM向AMF-2发送签约数据获取响应2,AMF-2接收来自UDM的签约数据获取响应2。
签约数据获取响应2,比如可以是服务化操作Nudm_SDM_Get response。UDM通过服务化操作Nudm_SDM_Get response向AMF-2发送该终端设备的签约S-NSSAI,从而AMF-2接收来自UDM通过服务化操作Nudm_SDM_Get response向AMF-2发送的该终端设备的签约S-NSSAI。其中,终端设备的签约S-NSSAI包含指示信息,用于指示该签约S-NSSAI是否需要执行NSSAA流程。
作为一种示例,UDM确定终端设备签约的S-NSSAI中的某个S-NSSAI已经成功执行过NSSAA流程,还可以将该S-NSSAI的NSSAA流程的鉴权结果发送给AMF2。比如可以携带在签约数据获取响应2中发送给AMF-2。
作为另一种示例,AMF-2在向UDM发送签约数据获取请求2时,可以在签约数据获取请求2中携带需要确定是否已经成功执行NSSAA的S-NSSAI以及对应的鉴权结果。
例如,第二Requested NSSAI包括S-NSSAI-1,签约数据获取请求2可以携带S-NSSAI-1。从而UDM根据S-NSSAI-1查询到S-NSSAI-1已经成功执行过NSSAA流程,并且鉴权结果为成功,则可以在签约数据获取响应2中将终端设备的签约的S-NSSAI(包括S-NSSAI-1)以及S-NSSAI-1对应的鉴权结果发送给AMF-2。签约数据获取响应2中的S-NSSAI-1以及S-NSSAI-1对应的鉴权结果构成了S-NSSAI-1标识的第一网络切片对应的第一信息。
作为又一种示例,AMF-2在接收到UDM发送的签约数据获取响应2后,根据终端设备的签约数据确定第二Requested NSSAI包括S-NSSAI-1需要执行NSSAA流程,则可以向UDM发送查询请求,用于查询该S-NSSAI-1是否已经成功执行过NSSAA流程。UDM接收到查询请求后,确定S-NSSAI-1已经成功执行过NSSAA流程,向AMF-2发送第一信息,第一信息包括S-NSSAI-1以及S-NSSAI-1对应的鉴权结果。
AMF-2获取到的S-NSSAI-1的鉴权结果为成功,可以跳过S-NSSAI-1标识的第一网络切片的鉴权流程。比如可以执行S1110,AMF-2向终端设备发送注册接受消息,携带Allowed NSSAI for PLMN-2。Allowed NSSAI for PLMN-2包括该S-NSSAI-1。
在一种可能的实施方式中,为了提高AMF-2从UDM获取到的网络切片的NSSAA流程的鉴权结果的准确度,AMF-2可以向AAA-S获取网络切片的NSSAA流程的鉴权结果进行验证。
一种方式中,AMF-2执行S1109之后,由AMF-2通过S-NSSAI(以S-NSSAI-1为例)向AAA-S获取网络切片的鉴权结果。
AMF-2确定S-NSSAI-1标识的第一网络切片的NSSAA流程的鉴权结果为成功。AMF-2根据第一信息向AAA-S发送第一请求,第一请求用于请求获取第一网络切片的NSSAA流程的鉴权结果。然后AAA-S将第一网络切片的NSSAA流程的鉴权结果发送给AMF-2,从而AMF-2确定AAA-S发送的鉴权结果为成功时,AMF-2跳过S-NSSAI-1的NSSAA流程。
具体的,AMF-2可以通过AUSF向AAA-S获取第一网络切片的NSSAA流程的鉴权结果。AMF-2执行S1109之后,执行S1111,在PLMN-2的AMF-2向AUSF发送第一请求,第一请求比如可以是AUSF的服务化操作Nausf_NSSAA_Result_Get request,第一请求可以携带第一网络切片的标识,即S-NSSAI-1。第一请求还携带终端设备的标识,比如GPSI。进而AUSF接收到第一请求。
S1112,AUSF将第一请求转发给AAA-S。具体的,AUSF可以将AUSF的服务化操作Nausf_NSSAA_Result_Get reques转换为AAA服务器可以理解的协议消息,例如,直径(diameter)协议。在步骤S1112中,协议消息称为鉴权结果获取请求。鉴权结果获取请求可以是AAA protocol Get result request。比如,AAA protocol Get result request可以携带GPSI,S-NSSAI-1。
S1113,AAA-S向AUSF发送第一网络切片的鉴权结果。
AAA-S查询本地是否存储了该终端设备的上下文,并基于该终端设备的上下文查询该S-NSSAI-1的NSSAA流程的鉴权结果。AAA-S可以向AUSF发送鉴权结果获取响应。鉴权结果获取响应可以是AAA protocol Get result response。鉴权结果获取响应可以携带第一网络切片的鉴权结果(result),还可以携带GPSI,S-NSSAI-1。其中,result指示该S-NSSAI-1标识的第一网络切片的NSSAA流程的鉴权结果为成功。示例性地,AAA-S返回的第一网络切片的鉴权结果是终端设备在PLMN-1执行NSSAA流程的鉴权结果。
作为一种可选的实施例方式,AAA-S还可以根据配置的本地策略确定是否向AUSF反馈第一网络切片的鉴权结果。比如,AAA-S在首次获取第一网络切片的NSSAAI的鉴权结果时,可以启动定时器,定时器超时时,确定该第一网络切片的鉴权结果为成功但已经失效或者返回第一网络切片的鉴权结果为失败。在该情况下,可以向AUSF返回第一网络切片的鉴权结果失效。当然AAA-S还可以配置其它的本地策略,本申请实施例对此不作限定。
S1114,AUSF将收到的AAA-S发送的鉴权结果获取响应转换为服务化操作,比如转换为第一响应,并将第一响应发送给AMF-2。比如第一响应可以是服务化操作Nausf_NSSAA_Result_Get response。第一响应可以携带第一网络切片的鉴权结果,还可以携带终端设备的标识(比如,GPSI)、S-NSSAI-1。
AMF-2从AAA-S获知S-NSSAI-1的第一网络切片的NSSAA流程的鉴权结果为成功且不需再执行NSSAA,AMF-2将该S-NSSAI-1直接放入到Allowed NSSAI中。执行S1110。
需要说明的是,S1111-S1114为可选地步骤,在图11中通过虚线来表示。
另一种方式中,AMF-2执行S1109之后,由AMF-2将网络切片的鉴权结果发送给AAA-S,由AAA-S的鉴权结果进行验证。
具体的,AMF-2可以通过AUSF向AAA-S获取第一网络切片的NSSAA流程的鉴权结果。AMF-2执行S1109之后,在PLMN-2的AMF-2向AUSF发送校验请求,校验请求比如可以是AUSF的服务化操作Nausf_NSSAA_Result_Get request,校验请求可以携带第一网络切片的标识,即S-NSSAI-1,还携带第一网络切片的鉴权结果。校验请求还携带终端设备的标识,比如GPSI。进而AUSF接收到校验请求。AUSF将校验请求转发给AAA-S。具体的,AUSF可以将AUSF的服务化操作Nausf_NSSAA_Result_Get reques转换为AAA服务器可以理解的协议消息,例如,AAAprotocol Get result request。比如,AAAprotocol Get result request可以携带GPSI,S-NSSAI-1以及第一网络切片的鉴权结果。AAA-S查询本地是否存储了该终端设备的上下文,并基于该终端设备的上下文查询该S-NSSAI-1的NSSAA流程的鉴权结果。根据查询到S-NSSAI-1的NSSAA流程的鉴权结果对来自AUSF的第一网络切片的鉴权结果进行校验,在检验通过时,可以向AUSF发送AAA protocol Get result response。AAAprotocol Getresult response可以携带校验结果,还可以携带GPSI,S-NSSAI-1。AUSF将收到的AAA-S发送的AAA protocol Get result response转换为校验响应,并将校验响应发送给AMF-2。比如校验响应可以是服务化操作Nausf_NSSAA_Result_Get response。校验响应可以携带校验结果,还可以携带GPSI,S-NSSAI-1。AMF-2从AAA-S获知S-NSSAI-1的第一网络切片的鉴权结果的校验通过时且不需再执行NSSAA流程,AMF-2将该S-NSSAI-1直接放入到AllowedNSSAI中。执行S1110。
另外,当终端设备分别注册到PLMN-1和PLMN-2,该终端设备分别获取到两个接入技术分别关联的Allowed NSSAI包含某个相同的S-NSSAI,比如S-NSSAI-1。当某个S-NSSAI的签约数据发生变化的情况下,比如以S-NSSAI-1为例,该S-NSSAI-1从注册阶段的不需要执行NSSAA流程改为需要执行NSSAA流程,那么UDM向分别服务于PLMN-1和PLMN-2的两个AMF下发新的签约数据之后,两个不同AMF会针对同一个S-NSSAI-1标识的第一网络切片分别触发NSSAA流程,也会导致针对同一个S-NSSAI重复的鉴权,造成信令浪费。以服务于PLMN-1的AMF称为AMF-1,服务于PLMN-2的AMF称为AMF-2为例。本申请实施例中,终端设备先后接收到AMF-1和AMF-2触发的第一网络切片的NSSAA流程时,比如AMF-1先于AMF-2触发。终端设备启动执行第一网络切片的NSSAA流程后,可以向AMF-2发送第一信息,所述第一信息用于指示所述终端设备正在执行第一网络切片的NSSAA流程;从而AMF-2根据第一信息不再执行第一网络切片的NSSAA流程。AMF-2等待PLMN-1上所执行的第一网络切片的NSSAA流程的鉴权结果。
AMF-2在获取第一网络切片的NSSAA流程的鉴权结果时,可以通过如下任一方式获取:
第一方式,终端设备在从AMF-1接收到第一网络切片的鉴权结果时,可以将第一网络切片鉴权结果发送给AMF-2。
第二方式,AMF-2从AAA-S获取第一网络切片的鉴权结果。比如,AMF-2可以向AAA-S订阅第一网络切片的鉴权结果,再比如,AMF-2可以定时向AAA-S获取第一网络切片的鉴权结果。
下面针对第一方式进行说明,参见图12所示,为本申请实施例提供的第六种通信方法流程示意图。
S1201,支持NSSAA流程的终端设备在PLMN-1注册到第一网络切片,以及在PLMN-2注册到第一网络切片。PLMN-1支持第一接入技术,终端设备在PLMN-1采用第一接入技术发起注册流程。终端设备注册到PLMN-1的具体描述可以参考图7中的步骤S701。例如,PLMN-1中的AMF-1为终端设备提供服务。PLMN-2支持第二接入技术,该终端设备在PLMN-2采用第二接入技术发起注册流程。终端设备注册到PLMN-2的具体描述可以参考图7中的步骤S705。例如,PLMN-2中的AMF-2为终端设备提供服务。终端设备在PLMN-1注册到第一网络切片过程中,AMF-1向UDM发送注册信息,UDM存储AMF-1发送的注册信息,为了与后续出现的注册信息进行区分,此处称为第一注册信息。比如,第一注册信息包括终端设备的永久标识、AMF-1ID以及当前采用的第一接入技术的接入类型,比如为access type-1。同时,AMF-1向终端设备发送第一接入技术对应的Allowed NSSAI-1,Allowed NSSAI-1包括S-NSSAI-1。终端设备在PLMN-2注册到第一网络切片过程中,AMF-2向UDM发送注册信息,为了与前面出现的第一注册信息进行区分,此处称为第二注册信息。UDM存储第二注册信息,比如第二注册信息包括终端设备的永久标识、AMF-2ID以及当前采用的第二接入技术的接入类型,比如为accesstype-2。同时,AMF-2向终端设备发送第二接入技术对应的Allowed NSSAI-2,AllowedNSSAI-2包括S-NSSAI-1。
S1202,UDM确定终端设备的签约数据发生更新,UDM分别向AMF-1和AMF-2发送更新后的终端设备的签约数据。
结合S1202,UDM存储了两个不同的AMF标识(AMF1-1 ID和AMF-2ID),UDM确定终端设备的签约数据发生更新时,UDM向AMF-1发送签约数据变更通知1,以及向AMF-2发送签约数据变更通知2。签约数据变更通知1和签约数据变更通知2均可以通过调用UDM的服务化操作Nudm_SDM_Notification来实现。比如,UDM可以调用服务化操作Nudm_SDM_Notification分别向AMF-1和AMF-2发送更新后终端设备的签约数据。终端设备的签约数据包含了终端设备签约的S-NSSAI,以及该S-NSSAI是否需要执行NSSAA的指示信息。
S1203,执行S-NSSAI-1的NSSAA流程。
AMF-1接收UDM发送的更新后的终端设备的签约数据,并判断当前Allowed NSSAI-1包括需要执行NSSAA的S-NSSAI(以S-NSSAI-1为例),则AMF-1触发该S-NSSAI-1的NSSAA流程。AMF-1触发该S-NSSAI-1的NSSAA流程中,包括S1204a和S1204b。除S1204a和S1204b以外,其它流程的步骤参见图6所示,此处不再赘述。
S1204a,AMF-1向终端设备发送请求消息1。比如请求消息1携带EAP ID请求和S-NSSAI-1。请求消息1用于向终端设备请求终端设备的用户ID以进行EAP认证。请求消息1比如可以是NAS MM传输消息。请求消息1用于向AMF-1请求执行第一网络切片的鉴权流程。请求消息1也可以称为第一请求,还可以称为其它的消息名称,本申请对此不作限定。
S1205,AMF-2根据请求消息1触发该S-NSSAI-1的NSSAA流程。
在AMF-1发起的NSSAA流程结束之前,同时,AMF-2接收到更新后终端设备的签约数据,当前Allowed NSSAI-2包括需要执行NSSAA的S-NSSAI(以S-NSSAI-1为例),则AMF-2触发该S-NSSAI-1的NSSAA流程。则AMF-2触发对该S-NSSAI-1发起NSSAA流程.
需要注意的是,需要执行NSSAA流程的S-NSSAI-1同时包含在两个不同接入技术对应的Allowed NSSAI里面,即Allowed NSSAI-1和Allowed NSSAI-2。因此AMF-1与AMF-2会分别发起同一个S-NSSAI-1的NSSAA流程。
S1206,AMF-2向终端设备发送请求消息2。请求消息2携带EAP ID请求和S-NSSAI-1。
请求消息2用于向AMF-2请求执行第一网络切片的鉴权流程。请求消息2也可以称为第二请求,还可以称为其它的消息名称,本申请对此不作限定。
S1207,终端设备判断出S-NSSAI-1的NSSAA流程还没结束,则向AMF-2返回响应消息2,响应消息2携带第一信息,第一信息用于指示终端设备正在执行第一网络切片的NSSAA流程。第一信息中可以包括用于标识第一网络切片的S-NSSAI-1以及S-NSSAI-1对应的第一指示,第一指示用于指示终端设备正在执行S-NSSAI-1标识的第一网络切片的NSSAA流程。
S1208,AMF-2从终端设备接收到第一信息之后,AMF-2跳过第一网络切片的NSSAA流程。比如AMF-2中止第一网络切片的NSSAA流程,等待终端设备发送的第一网络切片的鉴权结果。其中,AMF-2中止第一网络切片的NSSAA流程可以理解为,AMF-2收到终端设备接收到第一信息之后不再继续执行第一网络切片的NSSAA流程。
S1209,终端设备从AMF-1接收第一网络切片的鉴权结果,并将第一网络切片的鉴权结果发送给AMF-2。
S1210,AMF-2确定第一网络切片的鉴权结果为成功时,允许终端设备接入第一网络切片;确定第一网络切片的鉴权结果为失败,不允许终端设备接入第一网络切片。
AMF-2允许终端设备接入第一网络切片,即AMF-2无需更新终端设备的Allowed如果确定第一网络切片的鉴权结果为失败,即在PLMN-2不允许终端设备接入第一网络切片,则AMF-2需将该S-NSSAI-1从终端设备的Allowed NSSAI-2中删除,即终端设备在PLMN-2不允许接入该第一网络切片。AMF-2通过配置更新流程向UE发送更新后的Allowed NSSAI-2(new Allowed NSSAI-2)。new Allowed NSSAI-2中不包括S-NSSAI-1。
在图12所示的方法中,AMF-2接收来自终端设备的第一信息(如步骤S1207),该第一信息用于指示终端设备正在执行第一网络切片的鉴权流程,然后AMF-2根据第一信息跳过对第一网络切片的鉴权流程(如步骤S1208),并从终端设备(如步骤S1209)接收第一网络切片的鉴权结果。
下面针对第二方式进行说明,参见图13所示,为本申请实施例提供的第七种通信方法流程示意图。图13中以AMF-2可以向AAA-S订阅第一网络切片的鉴权结果为例进行说明。
S1301-S1307,参见S1201-S1207,此处不再赘述。
S1308,AMF-2从终端设备接收到第一信息之后,AMF-2中止第一网络切片的NSSAA流程。其中,AMF-2中止第一网络切片的NSSAA流程可以理解为,AMF-2收到终端设备接收到第一信息之后不再继续执行第一网络切片的NSSAA流程。
AMF-2通过AUSF向AAA-S发起订阅请求。订阅请求用于向AAA-S订阅第一网络切片的鉴权结果的事件。具体的,执行S1309和S1310。
S1309,AMF-2向AUSF发送订阅请求1。比如,订阅请求1可以是AUSF的服务化操作Nausf_NSSAA_Result_Subscribe Request。订阅请求1携带S-NSSAI-1。订阅请求1还可以携带终端设备的标识(比如GPSI)和AMF-2ID。
S1310,AUSF向AAA-S发送订阅请求2。比如,AUSF可以将订阅请求1转换为AAA-S可识别的协议消息,即订阅请求2,订阅请求2中携带S-NSSAI-1。订阅请求2还可以携带终端设备的标识(比如GPSI)和AMF-2ID。
S1311,AAA-S等待该S-NSSAI-1的NSSAA流程结束之后,AAA-S基于订阅请求向AUSF发送订阅结果,订阅结果中包括第一网络切片的鉴权结果。比如,订阅结果中包括S-NSSAI-1以及S-NSSAI-1对应的鉴权结果。比如,AAA-S基于订阅请求向AUSF发送订阅响应2,订阅响应2中包括订阅结果,还可以包括终端设备的标识(比如GPSI)和AMF-2ID。需要注意的是,本实施例中第一网络切片的鉴权结果是终端设备在PLMN-1执行第一网络切片的NSSAA流程的鉴权结果。
S1312,AUSF向AMF-2发送订阅结果。比如AUSF向AMF-2发送订阅响应1,订阅响应1中携带订阅结果。订阅响应1可以是服务化操作Nausf_NSSAA_Result_Subscriberesponse。订阅响应1中携带订阅结果,还可以携带终端设备的标识(比如GPSI)和AMF-2ID。
S1313,AMF-2确定第一网络切片的鉴权结果为成功时,允许终端设备接入第一网络切片,如果确定第一网络切片的鉴权结果为失败,不允许终端设备接入第一网络切片。
AMF-2允许终端设备接入第一网络切片,即AMF-2无需更新终端设备的Allowed如果确定第一网络切片的鉴权结果为失败,即在PLMN-2不允许终端设备接入第一网络切片,则AMF-2需将该S-NSSAI-1从终端设备的Allowed NSSAI-2中删除,即终端设备在PLMN-2不允许接入该第一网络切片。AMF-2通过配置更新流程向UE发送更新后的Allowed NSSAI-2(new Allowed NSSAI-2)。new Allowed NSSAI-2中不包括S-NSSAI-1。
在图13所示的方法中,AMF-2接收来自终端设备的第一信息(如步骤S1307),该第一信息用于指示终端设备正在执行第一网络切片的鉴权流程,然后AMF-2根据第一信息跳过对第一网络切片的鉴权流程(如步骤S1308),并从AAA-S(如步骤S1309至1312)接收第一网络切片的鉴权结果。
参见图14所示,为本申请实施例提供的第八种通信方法流程示意图。图14中以AMF-2可以定时向AAA-S获取第一网络切片的鉴权结果为例进行说明。
S1401-S1407,参见S1201-S1207,此处不再赘述。
S1408,AMF-2从终端设备接收到第一信息之后,AMF-2中止第一网络切片的NSSAA流程,并启动鉴权结果定时器1。其中,AMF-2中止第一网络切片的NSSAA流程可以理解为,AMF-2收到终端设备接收到第一信息之后不再继续执行第一网络切片的NSSAA流程。
S1409,在鉴权结果定时器1超时时,AMF-2向AUSF发送结果获取请求1。
一种方式是,鉴权结果定时器1启动到超时的这段时间,可以是等待在PLMN-1执行第一网络切片的NSSAA流程的完成。因此,鉴权结果定时器1超时后,AMF-2向AUSF发送结果获取请求1。
另一种方式是,鉴权结果定时器1启动到超时的这段时间,可以是等待终端设备发送第一网络切片的鉴权结果。具体发送方式可以参见图12对应的实施例,此处不再赘述。如果鉴权结果定时器1超时时,AMF-2未从终端设备接收到第一网络切片的鉴权结果,AMF-2向AUSF发送结果获取请求1。
比如,结果获取请求1可以是AUSF的服务化操作Nausf_NSSAA_Result_Request。结果获取请求1携带S-NSSAI-1。结果获取请求1还可以携带终端设备的标识(比如GPSI)和AMF-2ID。结果获取请求1用于向AAA-S请求第一网络切片的鉴权结果。同时,AMF-2启动鉴权结果定时器2。
S1410,AUSF向AAA-S发送结果获取请求2。比如,AUSF可以将结果获取请求1转换为AAA-S可识别的协议消息,即结果获取请求2,结果获取请求2中携带S-NSSAI-1。订阅请求2还可以携带终端设备的标识(比如GPSI)和AMF-2ID。
S1411,AAA-S接收到结果获取请求2,并确定该S-NSSAI-1的NSSAA流程已结束,AAA-S向AUSF发送第一网络切片的鉴权结果。比如,AAA-S向AUSF发送结果获取响应2,结果获取响应2中携带S-NSSAI-1以及S-NSSAI-1对应的鉴权结果。结果获取请求2中还可以携带终端设备的标识(比如GPSI)和AMF-2ID。
另外,AAA-S接收到结果获取请求2,确定S-NSSAI-1的NSSAA流程未结束时,可以不执行任何操作。AMF-2在确定鉴权结果定时器2超时时,仍未从AAA-S接收到第一网络切片的鉴权结果,AMF-2再次启动鉴权结果定时器3,当鉴权结果定时器3再次超时时,还未接收到来自AAA-S返回的第一网络切片的鉴权结果,则再次向AUSF发送结果获取请求1。作为一种示例,AMF-2还可以限定发送结果获取请求1的最大次数,如果超过最大次数,还未获取到第一网络切片的鉴权结果,可以启动执行第一网络切片的NSSAA流程。
需要注意的是,AAA-S返回的第一网络切片的鉴权结果是终端设备在PLMN-1执行NSSAA流程的鉴权结果。
S1412,AUSF向AMF-2发送第一网络切片的鉴权结果。比如AUSF向AMF-2发送结果获取响应1,结果获取响应1中携带第一网络切片的鉴权结果。结果获取响应1可以是服务化操作Nausf_NSSAA_Result_response。结果获取响应1中携带S-NSSAI-1以及S-NSSAI-1对应的鉴权结果,还可以携带终端设备的标识(比如GPSI)和AMF-2ID。
S1413,参见S1313,此处不再赘述。
图15为本申请实施例提供的通信装置1500的示意性框图。通信装置1500包括处理模块1510和接收模块1530以及发送模块1520。一种示例中,发送模块1520可以是发射器,接收模块1530可以是接收器,发射器可以包括天线和射频电路等,接收器也可以包括天线和射频电路等,发射器和接收器可以属于一个功能模块,例如称为收发器,或者发射器和接收器也可以是彼此独立的功能模块;处理模块1510可以是处理器,例如基带处理器,基带处理器中可以包括一个或多个中央处理单元(central processing unit,CPU)。另一种示例中,发送模块1520和接收模块1530可以是射频单元,处理模块1510可以是处理器,例如基带处理器。又一种示例中,发送模块1520和接收模块1530可以是芯片(例如基带芯片)的输入输出接口(例如发送模块1520是输出接口,接收模块1530是输入接口,或者输入和输出是同一接口,则发送模块1520和接收模块1530均是该接口)、处理模块1510可以是芯片系统的处理器,可以包括一个或多个中央处理单元。应理解,本申请实施例中的处理模块1510可以由处理器或处理器相关电路组件实现,发送模块1520可以由发射器或发射器相关电路组件实现,接收模块1530可以由接收器或接收器相关电路组件实现。
发送模块1520和接收模块1530可以是一个功能模块,该功能模块可称为收发模块,收发模块既能完成发送操作也能完成接收操作;或者,发送模块1520和接收模块1530也可以是两个功能模块,收发模块可以视为这两个功能模块的统称,发送模块1520用于完成发送操作,接收模块1530用于完成接收操作。
一种应用场景中,通信装置1500应用于移动性管理网元(比如第一移动性管理网元、AMF-2、第二移动性管理网元、AMF-1),比如通信装置1500可以是移动性管理网元,也可以是应用于移动性管理网元中的芯片或者其他具有上述移动性管理网元功能的组合器件、部件等。
例如,处理模块1510可以用于执行图7-14所示的任一实施例中由第一移动性管理网元(或者称为AMF-2)所执行的除了收发操作之外的全部操作,例如图7中的S703、S706;例如图8中的S806;例如图9中的S906,例如图10中的S1006,例如图12中的S1208、S1210,例如图13中的S1308、S1313,例如图14中的S1408、S1413,和/或用于支持本文所描述的技术的其它过程。发送模块1520可以用于执行图7-14所示的任一实施例中由第一移动性管理网元(或者称为AMF-2)所执行的发送操作,例如图7中S708,例如图8中的807、S810;例如图9中的S907、S911,例如图10中的S1007、S1109、S1013,例如图11中的S1108、S1111、S1110,例如图12中的S1206,例如图13中的S1306、S1309,例如图14中的S1406、S1409,和/或用于支持本文所描述的技术的其它过程。接收模块1530可以用户执行图7-14所示的任一实施例中由第一移动性管理网元(或者称为AMF-2)所执行的接收操作,例如图7中S705,例如图8中的S805、S813;例如图9中的S905、S910,例如图10中的S1005、S1008、S1012,例如图11中的S1109、S1114,例如图12中的S1207、S1209,例如图13中的S1307、S1312,例如图14中的S1407、S1412,和/或用于支持本文所描述的技术的其它过程。另外,关于发送模块1520以及接收模块1530的实现方式,可参考对于发送模块1520以及接收模块1530的实现方式的介绍。
一种示例中,接收模块1530,用于从终端设备接收第一信息,所述第一信息用于指示第一网络切片的第一鉴权结果为成功;
处理模块1510,用于根据所述第一信息跳过执行所述第一网络切片的鉴权流程。
作为一种可能的实施方式,发送模块1520,用于根据所述第一信息向认证网元发送第一请求,所述第一请求用于获取所述第一网络切片的第二鉴权结果;
所述接收模块1530,还用于接收来自所述认证网元的所述第二鉴权结果,所述第二鉴权结果为成功。
作为一种可能的实施方式,发送模块1520,用于根据所述第一信息向认证网元发送第一请求,所述第一请求中包括所述第一信息;
所述接收模块1530,还用于根据所述第一请求接收来自所述认证网元的验证结果,所述验证结果用于指示所述第一鉴权结果为成功。
作为一种可能的实施方式,所述第一信息包括第一单网络切片选择辅助信息S-NSSAI和所述第一鉴权结果,所述第一S-NSSAI用于标识所述第一网络切片。
作为一种可能的实施方式,所述第一信息包括第一S-NSSAI和第二信息,所述第二信息是所述第一鉴权结果经过加密后的信息;
其中,所述第一请求中携带所述第一信息,所述第二鉴权结果是所述第二信息经过解密后得到的信息。
作为一种可能的实施方式,所述处理模块1510,还用于根据所述第一信息允许所述终端设备接入所述第一网络切片。
另一种示例中,接收模块1530,用于接收来自终端设备的第一信息,所述第一信息用于指示所述终端设备正在执行第一网络切片的鉴权流程;
处理模块1510,用于根据所述第一信息跳过对所述第一网络切片的鉴权流程;
所述接收模块1530,还用于从所述终端设备或者认证网元接收所述第一网络切片的鉴权结果。
作为一种可能的实施方式,发送模块1520,用于向认证网元发送第一请求,所述第一请求用于请求所述第一网络切片的鉴权结果;
所述接收模块1530,还用于接收认证网元发送的所述第一网络切片的鉴权结果。
作为一种可能的实施方式,所述处理模块1510,还用于当所述第一网络切片的鉴权结果为失败时,拒绝所述终端设备接入所述第一网络切片。
作为一种可能的实施方式,所述处理模块1510,具体用于将第一单网络切片选择辅助信息S-NSSAI从所述终端设备允许接入的NSSAI中删除,所述第一S-NSSAI用于标识所述第一网络切片。
作为一种可能的实施方式,所述处理模块1510,还用于当所述第一网络切片的鉴权结果为鉴权成功时,允许所述终端设备接入所述第一网络切片。
作为一种可能的实施方式,发送模块1520,用于在所述接收模块1530接收来自所述终端设备的所述第一信息之前,向所述终端设备发送第二请求,所述第二请求用于触发所述终端设备执行所述第一网络切片的鉴权流程。
另一种应用场景中,通信装置1500应用于认证网元(比如AAA-S),比如通信装置1500可以是认证网元,也可以是应用于认证网元中的芯片或者其他具有上述认证网元功能的组合器件、部件等。
例如,处理模块1510可以用于执行图7-14所示的任一实施例中由认证网元(或者称为AMF-2)所执行的除了收发操作之外的全部操作,例如鉴权处理、例如解密第一移动性管理网元发来的经过加密的鉴权结果,例如对鉴权结果进行校验,和/或用于支持本文所描述的技术的其它过程。发送模块1520可以用于执行图7-14所示的任一实施例中由认证网元(或者称为AMF-2)所执行的发送操作,例如图7中S710,例如图8中的S812;例如图9中的S909,例如图10中的S1011,例如图11中的S1113,例如图13中的S1311,例如图14中的S1411,和/或用于支持本文所描述的技术的其它过程。接收模块1530可以用户执行图7-14所示的任一实施例中由认证网元(或者称为AMF-2)所执行的接收操作,例如图7中S709,例如图8中的S811;例如图9中的S908,例如图10中的S1010,例如图11中的S1112,例如图13中的S1310,例如图14中的S1410,和/或用于支持本文所描述的技术的其它过程。另外,关于发送模块1520以及接收模块1530的实现方式,可参考对于发送模块1520以及接收模块1530的实现方式的介绍。
其中,接收模块1530,用于接收来自第一移动性管理网元的第一请求;
发送模块1520,用于根据所述第一请求向第一移动性管理网元发送第一结果信息,所述第一结果信息包括第一网络切片的鉴权结果或第一验证结果或第二验证结果,所述第一结果信息用于所述第一移动性管理网元跳过执行所述第一网络切片的鉴权流程,所述第一网络切片的鉴权结果为成功。
作为一种可能的实施方式,所述第一结果信息包括所述第一验证结果时,所述第一请求包括第一网络切片的鉴权结果,所述第一验证结果用于指示所述第一网络切片的鉴权结果为成功。
作为一种可能的实施方式,所述第一结果信息包括第二验证结果时,所述第一请求包括所述第一网络切片的鉴权结果经过加密后的第二信息。
所述装置还包括:
处理模块1510,用于根据所述第二信息确定所述第二验证结果,所述第二验证结果用于指示所述第一网络切片的鉴权结果为成功。
作为一种可能的实施方式,所述处理模块1510,具体用于对所述第二信息解密得到所述第一网络切片的鉴权结果;并对所述第一网络切片的鉴权结果执行校验,确定所述第二验证结果。
作为一种可能的实施方式,所述第一请求包括第一单网络切片选择辅助信息S-NSSAI,所述第一S-NSSAI用于标识所述第一网络切片。
又一种应用场景中,通信装置1500应用于终端设备,比如通信装置1500可以是终端设备,也可以是应用于终端设备的芯片或者其他具有上述终端设备功能的组合器件、部件等。
例如,处理模块1510可以用于执行图7-14所示的任一实施例中由终端设备所执行的除了收发操作之外的全部操作,例如图7中S704,图8中S804,图9中S904,图10中S1004,,和/或用于支持本文所描述的技术的其它过程。发送模块1520可以用于执行图7-14所示的任一实施例中由终端设备所执行的发送操作,例如图7中S705,例如图8中的S805;例如图9中的S905,例如图10中的S1005、S1008,例如图12中的S1204b、S1207、S1209,例如图13中的S1304b、S1307、S1309,例如图14中的S1404b、S1407、S1409,和/或用于支持本文所描述的技术的其它过程。接收模块1530可以用户执行图7-14所示的任一实施例中由终端设备所执行的接收操作,例如图7中S707,例如图8中的S807、S809;例如图9中的S911,例如图10中的S1007、S1013,例如图12中的S1204a、S1206,例如图13中的S1304a、S1306,例如图14中的S1404a、S1406,和/或用于支持本文所描述的技术的其它过程。另外,关于发送模块1520以及接收模块1530的实现方式,可参考对于发送模块1520以及接收模块1530的实现方式的介绍。
一种示例中:
接收模块1530,用于从第二移动性管理网元接收第一网络切片的鉴权结果,所述第一网络切片的鉴权结果为成功;
发送模块1520,用于向第一移动性管理网元发送第一信息,所述第一信息用于指示所述第一网络切片的鉴权结果为成功,所述第二移动性管理网元与第一移动性管理网元所属的通信网络不同。
作为一种可能的实施方式,所述第一信息包括第一单网络切片选择辅助信息S-NSSAI和所述第一网络切片的鉴权结果,所述第一S-NSSAI用于标识所述第一网络切片。
作为一种可能的实施方式,处理模块1510,用于对所述第一网络切片的鉴权结果加密后得到第二信息,所述第一信息包括第一S-NSSAI和所述第二信息,所述第一S-NSSAI用于标识所述第一网络切片。
作为一种可能的实施方式,所述发送模块1520,还用于向所述第一移动性管理网元请求接入所述第一网络切片。
作为一种可能的实施方式,所述接收模块1530,还用于从所述第一移动性管理网元接收第一指示信息,所述第一指示信息用于指示所述终端设备需要对所述第一网络切片执行鉴权流程。
另一种示例中:
接收模块1530,用于从第二移动性管理网元接收第一请求;
处理模块1510,用于根据所述第一请求执行所述第一网络切片的鉴权流程,所述终端设备接收第一移动性管理网元发送的第二请求,所述第二请求用于请求所述终端设备执行所述第一网络切片的鉴权流程;
发送模块1520,用于向所述第一移动性管理网元发送第一信息,所述第一信息用于指示所述终端设备正在执行第一网络切片的鉴权流程;
所述接收模块1530,还用于接收来自所述第二移动性管理网元的所述第一网络切片的鉴权结果;
所述发送模块1520,还用于向所述第一移动性管理网元发送所述第一网络切片的鉴权结果。
作为一种可能的实施方式,所述第一信息用于所述第一移动性管理网元跳过对所述第一网络切片的鉴权流程。
应理解,以上装置中单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且装置中的单元可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分单元以软件通过处理元件调用的形式实现,部分单元以硬件的形式实现。例如,各个单元可以为单独设立的处理元件,也可以集成在装置的某一个芯片中实现,此外,也可以以程序的形式存储于存储器中,由装置的某一个处理元件调用并执行该单元的功能。此外这些单元全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件又可以成为处理器,可以是一种具有信号的处理能力的集成电路。在实现过程中,上述方法的各步骤或以上各个单元可以通过处理器元件中的硬件的集成逻辑电路实现或者以软件通过处理元件调用的形式实现。
在一个例子中,以上任一装置中的单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(application specific integratedcircuit,ASIC),或,一个或多个微处理器(digital singnal processor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA),或这些集成电路形式中至少两种的组合。再如,当装置中的单元可以通过处理元件调度程序的形式实现时,该处理元件可以是通用处理器,例如CPU或其它可以调用程序的处理器。再如,这些单元可以集成在一起,以片上系统(system-on-a-chip,SOC)的形式实现。
以上用于接收的单元(例如接收模块)是一种该装置的接口电路,用于从其它装置接收信号。例如,当该装置以芯片的方式实现时,该接收单元是该芯片用于从其它芯片或装置接收信号的接口电路。以上用于发送的单元(例如发送模块)是一种该装置的接口电路,用于向其它装置发送信号。例如,当该装置以芯片的方式实现时,该发送单元是该芯片用于向其它芯片或装置发送信号的接口电路。
如图16所示,通信装置1600包括处理器1610和接口电路1620。处理器1610和接口电路1620之间相互耦合。可以理解的是,接口电路1620可以为收发器或输入输出接口。可选的,通信装置1600还可以包括存储器1630,用于存储处理器1610执行的指令或存储处理器1610运行指令所需要的输入数据或存储处理器1610运行指令后产生的数据。
当通信装置1600用于实现上述方法实施例中的方法时,处理器1610用于执行上述处理模块1510的功能,接口电路1620用于执行上述发送模块1520和接收模块1530的功能。
当上述通信装置为应用于终端设备的芯片时,该终端设备芯片实现上述方法实施例中终端设备的功能。该终端设备芯片从终端设备中的其它模块(如射频模块或天线)接收信息,该信息是移动性管理网元发送给终端设备的;或者,该终端设备芯片向终端设备中的其它模块(如射频模块或天线)发送信息,该信息是终端设备发送给移动性管理网元的。
当上述通信装置为应用于移动性管理网元的芯片时,该移动性管理网元芯片实现上述方法实施例中移动性管理网元的功能。该移动性管理网元芯片从移动性管理网元中的其它模块(如射频模块或天线)接收信息,该信息是终端设备或者认证网元发送给移动性管理网元的;或者,该移动性管理网元芯片向移动性管理网元中的其它模块(如射频模块或天线)发送信息,该信息是移动性管理网元发送给终端设备或者认证网元的。
如图17所示,本申请还提供了一种终端设备的结构示意图,该终端设备可用于实现上述方法实施例中终端设备的功能。为了便于说明,图17仅示出了终端设备的主要部件。如图17所示,终端设备1700可包括处理器1702、存储器、收发控制单元1701,可选的,还可以包括天线和/或输入输出装置。处理器可用于对通信协议以及通信数据进行处理,以及对用户设备进行控制,执行软件程序。存储器可以存储软件程序和/或数据。收发控制单元可用于基带信号与射频信号的转换以及对射频信号的处理。收发控制单元1701和天线一起也可以叫做收发器,可用于收发射频信号。输入输出装置,例如触摸屏、显示屏、键盘等,可用于接收用户输入的数据以及对用户输出数据。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(centralprocessing unit,CPU),还可以是其它通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field programmable gate array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中的方法步骤可以通过硬件的方式来实现,也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(random access memory,RAM)、闪存、只读存储器(Read-Only Memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于接入网设备或终端设备中。当然,处理器和存储介质也可以作为分立组件存在于接入网设备或终端设备中。
应理解,说明书通篇中提到的“一个实施例”、“一个实现方式”、“一个实施方式”或“一示例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”、“一个实现方式”、“一个实施方式”或“在一示例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。本申请涉及的术语“至少一个”,是指一个,或一个以上,即包括一个、两个、三个及以上;“多个”,是指两个,或两个以上,即包括两个、三个及以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。应理解,在本申请实施例中,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。以及,除非有相反的说明,本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。此外,本申请实施例和权利要求书及附图中的术语“包括”和“具有”不是排他的。例如,包括了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块,还可以包括没有列出的步骤或模块。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列(FPGA)或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于随机存取存储器(random accessmemory,RAM)、闪存、只读存储器(read-only memory,ROM)、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个或多个示例性的设计中,本申请实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电脑、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、数字通用光盘(digital versatile disc,DVD)、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本申请实施例的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请实施例的具体实施方式而已,并不用于限定本申请实施例的保护范围,凡在本申请实施例的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本申请实施例的保护范围之内。本申请说明书的上述描述可以使得本领域技术任何可以利用或实现本申请实施例的内容,任何基于所公开内容的修改都应该被认为是本领域显而易见的,本申请实施例所描述的基本原则可以应用到其它变形中而不偏离本申请的发明本质和范围。因此,本申请实施例所公开的内容不仅仅局限于所描述的实施例和设计,还可以扩展到与本申请原则和所公开的新特征一致的最大范围。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请实施例的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请实施例也意图包括这些改动和变型在内。
Claims (32)
1.一种通信方法,其特征在于,包括:
第一移动性管理网元从终端设备接收第一信息,所述第一信息用于指示第一网络切片的第一鉴权结果为成功;
所述第一移动性管理网元根据所述第一信息跳过执行所述第一网络切片的鉴权流程。
2.如权利要求1所述的方法,其特征在于,还包括:
所述第一移动性管理网元根据所述第一信息向认证网元发送第一请求,所述第一请求用于获取所述第一网络切片的第二鉴权结果;
所述第一移动性管理网元接收来自所述认证网元的所述第二鉴权结果,所述第二鉴权结果为成功。
3.如权利要求1所述的方法,其特征在于,还包括:
所述第一移动性管理网元根据所述第一信息向认证网元发送第一请求,所述第一请求中包括所述第一信息;
所述第一移动性管理网元根据所述第一请求接收来自所述认证网元的验证结果,所述验证结果用于指示所述第一鉴权结果为成功。
4.如权利要求1-3任一项所述的方法,其特征在于,所述第一信息包括第一单网络切片选择辅助信息S-NSSAI和所述第一鉴权结果,所述第一S-NSSAI用于标识所述第一网络切片。
5.如权利要求2所述的方法,其特征在于,所述第一信息包括第一S-NSSAI和第二信息,所述第二信息是所述第一鉴权结果经过加密后的信息;
其中,所述第一请求中携带所述第一信息,所述第二鉴权结果是所述第二信息经过解密后得到的信息。
6.如权利要求1-5任一项所述的方法,其特征在于,所述方法包括:
所述第一移动性管理网元根据所述第一信息允许所述终端设备接入所述第一网络切片。
7.一种通信方法,其特征在于,包括:
认证网元接收来自第一移动性管理网元的第一请求;
所述认证网元根据所述第一请求向第一移动性管理网元发送第一结果信息,所述第一结果信息包括第一网络切片的鉴权结果或第一验证结果或第二验证结果,所述第一结果信息用于所述第一移动性管理网元跳过执行所述第一网络切片的鉴权流程,所述第一网络切片的鉴权结果为成功。
8.如权利要求7所述的方法,其特征在于,所述第一结果信息包括所述第一验证结果时,所述第一请求包括第一网络切片的鉴权结果,所述第一验证结果用于指示所述第一网络切片的鉴权结果为成功。
9.如权利要求7所述的方法,其特征在于,所述第一结果信息包括第二验证结果时,所述第一请求包括所述第一网络切片的鉴权结果经过加密后的第二信息,
所述方法还包括:
所述认证网元根据所述第二信息确定所述第二验证结果,所述第二验证结果用于指示所述第一网络切片的鉴权结果为成功。
10.如权利要求9所述的方法,其特征在于,所述认证网元根据所述第二信息确定所述第二验证结果,包括:
所述认证网元对所述第二信息解密得到所述第一网络切片的鉴权结果;
所述认证网元对所述第一网络切片的鉴权结果执行校验,确定所述第二验证结果。
11.如权利要求7至10任一所述的方法,其特征在于,所述第一请求包括第一单网络切片选择辅助信息S-NSSAI,所述第一S-NSSAI用于标识所述第一网络切片。
12.一种通信方法,其特征在于,包括:
终端设备从第二移动性管理网元接收第一网络切片的鉴权结果,所述第一网络切片的鉴权结果为成功;
所述终端设备向第一移动性管理网元发送第一信息,所述第一信息用于指示所述第一网络切片的鉴权结果为成功,所述第二移动性管理网元与第一移动性管理网元所属的通信网络不同。
13.如权利要求12所述的方法,其特征在于,所述第一信息包括第一单网络切片选择辅助信息S-NSSAI和所述第一网络切片的鉴权结果,所述第一S-NSSAI用于标识所述第一网络切片。
14.如权利要求12所述的方法,其特征在于,还包括:
所述终端设备对所述第一网络切片的鉴权结果加密后得到第二信息,所述第一信息包括第一S-NSSAI和所述第二信息,所述第一S-NSSAI用于标识所述第一网络切片。
15.如权利要求12-14任一项所述的方法,其特征在于,还包括:
终端设备向所述第一移动性管理网元请求接入所述第一网络切片。
16.如权利要求12-15所述的方法,其特征在于,还包括:
终端设备从所述第一移动性管理网元接收第一指示信息,所述第一指示信息用于指示所述终端设备需要对所述第一网络切片执行鉴权流程。
17.一种通信装置,其特征在于,包括:
接收模块,用于从终端设备接收第一信息,所述第一信息用于指示第一网络切片的第一鉴权结果为成功;
处理模块,用于根据所述第一信息跳过执行所述第一网络切片的鉴权流程。
18.如权利要求17所述的装置,其特征在于,还包括:
发送模块,用于根据所述第一信息向认证网元发送第一请求,所述第一请求用于获取所述第一网络切片的第二鉴权结果;
所述接收模块,还用于接收来自所述认证网元的所述第二鉴权结果,所述第二鉴权结果为成功。
19.如权利要求17所述的装置,其特征在于,还包括:
发送模块,用于根据所述第一信息向认证网元发送第一请求,所述第一请求中包括所述第一信息;
所述接收模块,还用于根据所述第一请求接收来自所述认证网元的验证结果,所述验证结果用于指示所述第一鉴权结果为成功。
20.如权利要求17-19任一项所述的装置,其特征在于,所述第一信息包括第一单网络切片选择辅助信息S-NSSAI和所述第一鉴权结果,所述第一S-NSSAI用于标识所述第一网络切片。
21.如权利要求18所述的装置,其特征在于,所述第一信息包括第一S-NSSAI和第二信息,所述第二信息是所述第一鉴权结果经过加密后的信息;
其中,所述第一请求中携带所述第一信息,所述第二鉴权结果是所述第二信息经过解密后得到的信息。
22.如权利要求17-21任一项所述的装置,其特征在于,所述处理模块,还用于根据所述第一信息允许所述终端设备接入所述第一网络切片。
23.一种通信装置,其特征在于,包括:
接收模块,用于接收来自第一移动性管理网元的第一请求;
发送模块,用于根据所述第一请求向第一移动性管理网元发送第一结果信息,所述第一结果信息包括第一网络切片的鉴权结果或第一验证结果或第二验证结果,所述第一结果信息用于所述第一移动性管理网元跳过执行所述第一网络切片的鉴权流程,所述第一网络切片的鉴权结果为成功。
24.如权利要求23所述的装置,其特征在于,所述第一结果信息包括所述第一验证结果时,所述第一请求包括第一网络切片的鉴权结果,所述第一验证结果用于指示所述第一网络切片的鉴权结果为成功。
25.如权利要求23所述的装置,其特征在于,所述第一结果信息包括第二验证结果时,所述第一请求包括所述第一网络切片的鉴权结果经过加密后的第二信息,
所述装置还包括:
处理模块,用于根据所述第二信息确定所述第二验证结果,所述第二验证结果用于指示所述第一网络切片的鉴权结果为成功。
26.如权利要求25所述的装置,其特征在于,所述处理模块,具体用于对所述第二信息解密得到所述第一网络切片的鉴权结果;并对所述第一网络切片的鉴权结果执行校验,确定所述第二验证结果。
27.如权利要求23至26任一所述的装置,其特征在于,所述第一请求包括第一单网络切片选择辅助信息S-NSSAI,所述第一S-NSSAI用于标识所述第一网络切片。
28.一种通信装置,其特征在于,包括:
接收模块,用于从第二移动性管理网元接收第一网络切片的鉴权结果,所述第一网络切片的鉴权结果为成功;
发送模块,用于向第一移动性管理网元发送第一信息,所述第一信息用于指示所述第一网络切片的鉴权结果为成功,所述第二移动性管理网元与第一移动性管理网元所属的通信网络不同。
29.如权利要求28所述的装置,其特征在于,所述第一信息包括第一单网络切片选择辅助信息S-NSSAI和所述第一网络切片的鉴权结果,所述第一S-NSSAI用于标识所述第一网络切片。
30.如权利要求28所述的装置,其特征在于,还包括:
处理模块,用于对所述第一网络切片的鉴权结果加密后得到第二信息,所述第一信息包括第一S-NSSAI和所述第二信息,所述第一S-NSSAI用于标识所述第一网络切片。
31.如权利要求28-30任一项所述的装置,其特征在于,所述发送模块,还用于向所述第一移动性管理网元请求接入所述第一网络切片。
32.如权利要求28-31所述的装置,其特征在于,所述接收模块,还用于从所述第一移动性管理网元接收第一指示信息,所述第一指示信息用于指示所述终端设备需要对所述第一网络切片执行鉴权流程。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010281144.4A CN113573297B (zh) | 2020-04-10 | 2020-04-10 | 一种通信方法及装置 |
PCT/CN2021/085127 WO2021204065A1 (zh) | 2020-04-10 | 2021-04-01 | 一种通信方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010281144.4A CN113573297B (zh) | 2020-04-10 | 2020-04-10 | 一种通信方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113573297A true CN113573297A (zh) | 2021-10-29 |
CN113573297B CN113573297B (zh) | 2023-04-07 |
Family
ID=78023704
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010281144.4A Active CN113573297B (zh) | 2020-04-10 | 2020-04-10 | 一种通信方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113573297B (zh) |
WO (1) | WO2021204065A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024036462A1 (en) * | 2022-08-16 | 2024-02-22 | Nokia Shanghai Bell Co., Ltd. | Registration enhancement for multi-access |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109391940A (zh) * | 2017-08-02 | 2019-02-26 | 华为技术有限公司 | 一种接入网络的方法、设备及系统 |
CN109429214A (zh) * | 2017-07-17 | 2019-03-05 | 华为技术有限公司 | 业务会话建立方法、设备及系统 |
US20190364460A1 (en) * | 2018-05-23 | 2019-11-28 | Verizon Patent And Licensing Inc. | Adaptable radio access network |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10805973B2 (en) * | 2018-02-15 | 2020-10-13 | Apple Inc. | Apparatus, system, and method for performing GUTI reallocation |
CN111031538B (zh) * | 2018-10-09 | 2021-12-03 | 华为技术有限公司 | 一种鉴权的方法及装置 |
CN112291784B (zh) * | 2019-07-09 | 2022-04-05 | 华为技术有限公司 | 一种通信方法以及网元 |
-
2020
- 2020-04-10 CN CN202010281144.4A patent/CN113573297B/zh active Active
-
2021
- 2021-04-01 WO PCT/CN2021/085127 patent/WO2021204065A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109429214A (zh) * | 2017-07-17 | 2019-03-05 | 华为技术有限公司 | 业务会话建立方法、设备及系统 |
CN109391940A (zh) * | 2017-08-02 | 2019-02-26 | 华为技术有限公司 | 一种接入网络的方法、设备及系统 |
US20190364460A1 (en) * | 2018-05-23 | 2019-11-28 | Verizon Patent And Licensing Inc. | Adaptable radio access network |
Non-Patent Citations (2)
Title |
---|
HUAWEI: "EAP based slice-specific authentication", 《3GPP TSG-SA WG3 MEETING #96 S3-192726》 * |
NOKIA: "Draft for network slice specific authentication procedures", 《3GPP TSG-SA3 MEETING #97 S3-194541》 * |
Also Published As
Publication number | Publication date |
---|---|
WO2021204065A1 (zh) | 2021-10-14 |
CN113573297B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2018166306A1 (zh) | 核心网控制面设备选择方法和装置 | |
CN112637785B (zh) | 用于多播传输的方法和装置 | |
EP4224346A1 (en) | Service authorization method, communication apparatus, and system | |
CN113573298B (zh) | 一种通信方法及装置 | |
JP2023076602A (ja) | ネットワークノード、User Equipment、及びネットワークノードにより行われる方法 | |
CN112806042A (zh) | 核心网络装置、通信终端、通信系统、认证方法和通信方法 | |
CN113596831B (zh) | 一种切片认证中标识用户设备的通信方法和通信设备 | |
US20240080340A1 (en) | Security for Groupcast Message in D2D Communication | |
CN114301788B (zh) | 一种切片管理方法、装置及通信设备 | |
US20240098145A1 (en) | Packet transmission method and related apparatus | |
CN113573297B (zh) | 一种通信方法及装置 | |
US20230102021A1 (en) | Multiple SPID Configuration | |
US20220393877A1 (en) | Cryptographic Security Mechanism for Groupcast Communication | |
WO2023151420A1 (zh) | 通信方法和通信装置 | |
JP7428265B2 (ja) | 通信端末及びその方法 | |
US20220377547A1 (en) | Wireless communication method, terminal device and network element | |
WO2023143252A1 (zh) | 授时的方法及通信装置 | |
US20230292115A1 (en) | Registering a user equipment to a communication network | |
US20230337122A1 (en) | Core network node, user equipment, and methods therefor | |
WO2024066436A1 (zh) | 一种通信方法及装置 | |
WO2021180170A1 (en) | Method and apparatus for handover | |
CN116846445A (zh) | 小区信息的配置方法、装置、可读存储介质及芯片系统 | |
CN116846444A (zh) | 小区信息的配置方法、装置、可读存储介质及芯片系统 | |
WO2023055342A1 (en) | Enabling distributed non-access stratum terminations | |
CN114095925A (zh) | 一种切片鉴权方法及对应装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |