CN113596831B - 一种切片认证中标识用户设备的通信方法和通信设备 - Google Patents
一种切片认证中标识用户设备的通信方法和通信设备 Download PDFInfo
- Publication number
- CN113596831B CN113596831B CN202010292224.XA CN202010292224A CN113596831B CN 113596831 B CN113596831 B CN 113596831B CN 202010292224 A CN202010292224 A CN 202010292224A CN 113596831 B CN113596831 B CN 113596831B
- Authority
- CN
- China
- Prior art keywords
- identity
- supi
- amf
- slice
- aaa
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例公开了一种切片认证中标识用户设备的通信方法和通信设备,该方法可以实现没有GPSI的UE,在切片认证中标识UE,继而进行切片认证。所述方法包括:接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带用户永久标识SUPI和单网络切片选择辅助信息S‑NSSAI,所述S‑NSSAI为用户设备UE需要进行认证的切片的标识;生成所述UE的第一身份标识;记录所述第一身份标识与所述SUPI的对应关系;发送认证授权和计费代理AAA协议消息,该AAA协议消息携带所述第一身份标识。
Description
技术领域
本申请涉及通信领域,并且更具体的,涉及一种切片认证中标识用户设备的通信方法和通信设备。
背景技术
随着无线通信技术的快速发展,5G移动通信网络中,为了满足不同客户(如业务提供商或者租户)的业务需求,提出了网络切片(network slice,ns)的概念。其中,ns是一个用于支持特定网络能力与网络特性的逻辑隔离的网络,可以提供端到端(end to end,e2e)的网络服务。
终端设备在接入核心网网络切片时,有可能需要对接入的网络切片进行验证,现有技术中接入与移动性管理功能(Access and Mobility Management Function,AMF)收到验证结果消息后,通过通用公共用户标识符(Generic Public Subscription Identifier,GPSI)可以找到终端设备(User Equipment,UE),向UE发送切片验证结果。对于没有GPSI的UE,AMF无法索引到该UE,现有切片认证流程无法进行。
发明内容
本申请提供一种切片认证中标识用户设备的通信方法和通信设备,该方法可以实现没有GPSI的UE,在切片认证中标识UE,继而进行切片认证。
第一方面,提供了一种切片认证中标识用户设备的通信方法,应用于网络功能NF,包括:接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带用户永久标识SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备UE需要进行认证的切片的标识;生成所述UE的第一身份标识;记录所述第一身份标识与所述 SUPI的对应关系;发送认证授权和计费代理AAA协议消息,该AAA协议消息携带所述第一身份标识。
因此,NF为UE生成第一身份标识,第一身份标识包括NSSAA ID(特定网络切片的认证和授权标识,Network Slice-Specific Authentication and AuthorizationIdentifier),该 NSSAA ID用于在核心网标识UE,该NSSAAID可以在核心网和其他网元如AAA-P或 AAA-S传输,实现了对于没有GPSI的UE,核心网可以索引到该UE,从而进行切片认证。
结合第一方面,在第一方面的某些实现方式中,所述生成所述UE的第一身份标识,包括:不同的S-NSSAI,生成不同的所述第一身份标识;或,不同的S-NSSAI,生成相同的所述第一身份标识。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:记录所述第一身份标识与所述S-NSSAI的对应关系。
结合第一方面,在第一方面的某些实现方式中,所述第一身份标识包含网络功能实体路由信息;和/或,所述第一身份标识包含所述AMF的路由信息。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:接收AAA协议消息,该AAA协议消息携带了所述第一身份标识;根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;向AMF发送切片认证响应,该响应携带了所述SUPI。
结合第一方面,在第一方面的某些实现方式中,所述网络功能实体NF是认证服务功能AUSF。
在本发明的另一种实现方式中,所述切片认证中标识用户设备的通信方法,包括:接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带用户永久标识SUPI;生成所述UE的第一身份标识;记录所述第一身份标识与所述SUPI的对应关系;向服务器发送所述第一身份标识。可选的,所述第一身份标识包含网络功能实体路由信息;和/或,所述第一身份标识包含所述AMF的路由信息。可选的,所述方法还包括:接收所述服务器发送的响应消息,所述响应消息中携带所述第一身份标识;根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;向AMF发送所述SUPI。
第二方面,提供了一种切片认证中标识用户设备的通信方法,应用于认证授权和计费代理服务器AAA-S,包括:接收认证授权和计费代理AAA协议消息,该AAA协议消息携带了可扩展认证协议标识EAP ID响应、第一身份标识;根据所述EAP ID响应确定用户设备的第二身份标识,记录所述第一身份标识与该用户设备的第二身份标识的对应关系;发送认证授权和计费代理AAA协议消息,该AAA协议消息携带所述第二身份标识。
结合第二方面,在第二方面的某些实现方式中,所述方法还包括:当所述第二身份标识对应第三身份标识时,在切片认证成功后,删除所述第三身份标识,所述第三身份标识为之前记录的用户设备的身份标识。
第三方面,提供了一种切片认证中标识用户设备的通信方法,应用于网络功能实体NF,包括:接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带可扩展认证协议标识EAP ID响应、用户永久标识SUPI和单网络切片选择辅助信息S-NSSAI,其中,所述S-NSSAI为用户设备UE需要进行认证的切片的标识;记录UE的关联信息与所述SUPI的对应关系,所述UE的关联信息包括所述EAP ID响应或认证授权和计费代理AAA协议消息;发送所述认证授权和计费代理AAA协议消息,该AAA协议消息携带了所述EAP ID响应和所述S-NSSAI。
结合第三方面,在第三方面的某些实现方式中,所述方法还包括:接收AAA协议消息,该AAA协议消息携带了所述第一身份标识和所述EAP ID响应;根据所述EAP ID响应与所述EAP ID响应与SUPI的对应关系,确定SUPI,并记录所述SUPI与所述第一身份标识的对应关系;向AMF发送切片认证响应,该响应携带了所述SUPI。
第四方面,提供了一种切片认证中标识用户设备的通信方法,应用于认证授权和计费代理服务器AAA-S,包括:接收认证授权和计费代理AAA协议消息,该AAA协议消息携带了可扩展认证协议标识EAP ID响应和单网络切片选择辅助信息S-NSSAI;生成用户设备 UE的第一身份标识;记录所述第一身份标识与第二身份标识的对应关系,所述第二身份标识是根据所述EAP ID响应确定的UE的第二身份标识;发送AAA协议消息,该AAA协议消息携带了所述第一身份标识和所述EAP ID响应。
结合第四方面,在第四方面的某些实现方式中,所述第一身份标识包含网络功能实体路由信息;和/或,所述第一身份标识包含所述AMF的路由信息。
第五方面,提供了一种切片认证中标识用户设备的通信方法,应用于接入与移动性管理功能AMF,包括:生成用户设备UE的第一身份标识;记录所述第一身份标识与用户永久标识SUPI的对应关系;向网络功能NF发送切片认证请求,所述切片认证请求携带所述第一身份标识、所述SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识。
第六方面,提供了一种切片认证中标识用户设备的通信方法,应用于网络功能NF,包括:接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带第一身份标识、用户永久标识SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识;记录所述第一身份标识与所述SUPI的对应关系;发送认证授权和计费代理AAA协议消息,该AAA协议消息携带了所述EAP ID响应、所述第一身份标识和所述S-NSSAI。
结合第六方面,在第六方面的某些实现方式中,所述第一身份标识包含所述AMF的路由信息。
结合第六方面,在第六方面的某些实现方式中,所述方法还包括:接收AAA协议消息,所述AAA协议消息携带了所述第一身份标识和所述S-NSSAI;根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;向AMF发送切片认证响应,该响应携带了所述SUPI。
结合第六方面,在第六方面的某些实现方式中,所述网络功能实体NF是认证服务功能AUSF。
第七方面,提供了一种切片认证中标识用户设备的通信方法,应用于认证授权和计费代理服务器AAA-S,包括:接收认证授权和计费代理AAA协议消息,该AAA协议消息携带了EAP ID响应、第一身份标识和单网络切片选择辅助信息S-NSSAI;根据EAP ID响应确定用户设备的第二身份标识,记录所述第一身份标识与所述第二身份标识的对应关系;发送AAA协议消息,该AAA协议消息携带了所述第一身份标识。
第八方面,提供了一种切片认证中标识用户设备的通信方法,应用于接收接入与移动性管理功能AMF,包括:记录用户设备的第一身份标识与用户永久标识SUPI的对应关系;调用AUSF提供的特定网络切片的认证和授权请求服务,该请求服务携带可扩展认证协议标识EAP ID响应、所述第一身份标识、所述SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识。
结合第八方面,在第八方面的某些实现方式中,所述第一身份标识在UE注册消息中携带,或所述第一身份标识所述用户设备发送的非接入层消息中携带。
第九方面,提供了一种切片认证中标识用户设备的通信方法,应用于鉴权服务器功能AUSF,包括:接收AMF调用AUSF提供的特定网络切片的认证和授权请求服务,所述请求服务携带可扩展认证协议标识EAP ID响应、用户永久标识SUPI、用户设备的第一身份标识和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识;记录所述第一身份标识与所述SUPI的对应关系;发送认证授权和计费代理AAA 协议消息,该AAA协议消息携带了所述EAP ID响应、所述第一身份标识和所述S-NSSAI。
第十方面,提供了一种切片认证中标识用户设备的通信方法,应用于接入与移动性管理功能AMF,包括:确定用户设备UE支持切片认证;调用统一数据管理UDM提供的签约数据管理服务请求,该请求包括用户永久标识SUPI和第一指示信息,所述第一指示信息用于指示所述用户设备支持切片认证。
结合第十方面,在第十方面的某些实现方式中,在所述确定用户设备UE支持切片认证之前,所述方法还包括:接收所述UE发送的注册请求;或者,接收UDM提供的签约数据管理服务响应。
第十一方面,提供了一种切片认证中标识用户设备的通信方法,应用于统一数据管理 UDM功能,包括:接收接入与移动性管理功能AMF调用的统一数据管理UDM提供的签约数据管理服务请求,该请求包括用户永久标识SUPI和第一指示信息,所述第一指示信息用于指示所述用户设备支持切片认证;确定用户设备UE没有GPSI,且所述UE签约信息有要求进行切片认证,所述第一指示信息指示所述UE支持切片认证,为所述UE生成第一身份标识;记录所述第一身份标识与SUPI的对应关系;调用UDM提供的签约数据管理服务响应,该服务响应携带所述第一身份标识。
第十二方面,提供了一种网络功能,包括:收发单元,用于接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带用户永久标识SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备UE需要进行认证的切片的标识;处理单元,用于生成所述UE的第一身份标识;所述处理单元还用于记录所述第一身份标识与所述 SUPI的对应关系;所述收发单元还用于发送认证授权和计费代理AAA协议消息,该AAA 协议消息携带所述第一身份标识。
结合第十二方面,在第十二方面的某些实现方式中,所述处理单元具体用于:不同的 S-NSSAI,生成不同的所述第一身份标识;或,不同的S-NSSAI,生成相同的所述第一身份标识。
结合第十二方面,在第十二方面的某些实现方式中,所述处理单元还用于:记录所述第一身份标识与所述S-NSSAI的对应关系。
结合第十二方面,在第十二方面的某些实现方式中,所述第一身份标识包含网络功能实体路由信息;和/或,所述第一身份标识包含所述AMF的路由信息。
结合第十二方面,在第十二方面的某些实现方式中,所述收发单元还用于:接收AAA 协议消息,该AAA协议消息携带了所述第一身份标识;根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;向AMF发送切片认证响应,该响应携带了所述SUPI。
结合第十二方面,在第十二方面的某些实现方式中,所述网络功能实体NF是认证服务功能AUSF。
第十三方面,提供了一种认证授权和计费代理服务器,包括:收发单元,用于接收认证授权和计费代理AAA协议消息,该AAA协议消息携带了可扩展认证协议标识EAP ID响应、第一身份标识;处理单元,用于根据所述EAP ID响应确定用户设备的第二身份标识,记录所述第一身份标识与该用户设备的第二身份标识的对应关系;所述收发单元还用于发送认证授权和计费代理AAA协议消息,该AAA协议消息携带所述第二身份标识。
结合第十三方面,在第十三方面的某些实现方式中,所述处理单元还用于:当所述第二身份标识对应第三身份标识时,在切片认证成功后,删除所述第三身份标识,所述第三身份标识为之前记录的用户设备的身份标识。
第十四方面,提供了一种网络功能实体,包括:收发单元,用于接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带可扩展认证协议标识EAP ID响应、用户永久标识SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备UE需要进行认证的切片的标识;处理单元,用于记录UE的关联信息与所述SUPI的对应关系,所述UE的关联信息包括所述EAP ID响应或认证授权和计费代理AAA协议消息;所述收发单元还用于发送所述认证授权和计费代理AAA协议消息,该AAA协议消息携带了所述EAP ID响应和所述S-NSSAI。
结合第十四方面,在第十四方面的某些实现方式中,所述收发单元还用于:接收AAA 协议消息,该AAA协议消息携带了所述第一身份标识和所述EAP ID响应;所述处理单元还用于根据所述EAP ID响应与所述EAP ID响应与SUPI的对应关系,确定SUPI,并记录所述SUPI与所述第一身份标识的对应关系;所述收发单元还用于向AMF发送切片认证响应,该响应携带了所述SUPI。
第十五方面,提供了一种认证授权和计费代理服务器,包括:收发单元,用于接收认证授权和计费代理AAA协议消息,该AAA协议消息携带了可扩展认证协议标识EAP ID响应和单网络切片选择辅助信息S-NSSAI;处理单元,用于生成用户设备UE的第一身份标识;所述处理单元还用于记录所述第一身份标识与第二身份标识的对应关系,所述第二身份标识是根据所述EAP ID响应确定的UE的第二身份标识;所述收发单元还用于发送AAA协议消息,该AAA协议消息携带了所述第一身份标识和所述EAP ID响应。
结合第十五方面,在第十五方面的某些实现方式中,所述第一身份标识包含网络功能实体路由信息;和/或,所述第一身份标识包含所述AMF的路由信息。
第十六方面,提供了一种接入与移动性管理功能,包括:处理单元,用于生成用户设备UE的第一身份标识;所述处理单元还用于记录所述第一身份标识与用户永久标识SUPI的对应关系;收发单元,用于向网络功能NF发送切片认证请求,所述切片认证请求携带所述第一身份标识、所述SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识。
第十七方面,提供了一种网络功能,包括:收发单元,用于接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带第一身份标识、用户永久标识SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识;处理单元,用于记录所述第一身份标识与所述SUPI的对应关系;所述收发单元还用于发送认证授权和计费代理AAA协议消息,该AAA协议消息携带了所述EAP ID响应、所述第一身份标识和所述S-NSSAI。
结合第十七方面,在第十七方面的某些实现方式中,所述第一身份标识包含所述AMF 的路由信息。
结合第十七方面,在第十七方面的某些实现方式中,所述收发单元还用于:接收AAA 协议消息,所述AAA协议消息携带了所述第一身份标识和所述S-NSSAI;所述处理单元还用于根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;所述收发单元还用于向AMF发送切片认证响应,该响应携带了所述SUPI。
结合第十七方面,在第十七方面的某些实现方式中,所述网络功能实体NF是认证服务功能AUSF。
第十八方面,提供了一种认证授权和计费代理服务器,包括:收发单元,用于接收认证授权和计费代理AAA协议消息,该AAA协议消息携带了EAP ID响应、第一身份标识和单网络切片选择辅助信息S-NSSAI;处理单元,用于根据EAP ID响应确定用户设备的第二身份标识,记录所述第一身份标识与所述第二身份标识的对应关系;所述收发单元还用于发送AAA协议消息,该AAA协议消息携带了所述第一身份标识。
第十九方面,提供了一种接收接入与移动性管理功能,包括:处理单元,用于记录用户设备的第一身份标识与用户永久标识SUPI的对应关系;收发单元,用于调用AUSF提供的特定网络切片的认证和授权请求服务,该请求服务携带可扩展认证协议标识EAP ID响应、所述第一身份标识、所述SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识。
结合第十九方面,在第十九方面的某些实现方式中,所述第一身份标识在UE注册消息中携带,或所述第一身份标识所述用户设备发送的非接入层消息中携带。
第二十方面,提供了一种鉴权服务器功能,包括:收发单元,用于接收AMF调用AUSF提供的特定网络切片的认证和授权请求服务,所述请求服务携带可扩展认证协议标识EAPID响应、用户永久标识SUPI、用户设备的第一身份标识和单网络切片选择辅助信息 S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识;处理单元,用于记录所述第一身份标识与所述SUPI的对应关系;所述收发单元还用于发送认证授权和计费代理 AAA协议消息,该AAA协议消息携带了所述EAP ID响应、所述第一身份标识和所述 S-NSSAI。
第二十一方面,提供了一种接入与移动性管理功能,包括:处理单元,用于确定用户设备UE支持切片认证;收发单元,用于调用统一数据管理UDM提供的签约数据管理服务请求,该请求包括用户永久标识SUPI和第一指示信息,所述第一指示信息用于指示所述用户设备支持切片认证。
结合第二十一方面,在第二十一方面的某些实现方式中,所述收发单元还用于:接收所述UE发送的注册请求;或者,接收UDM提供的签约数据管理服务响应。
第二十二方面,提供了一种统一数据管理功能,包括:收发单元,用于接收接入与移动性管理功能AMF调用的统一数据管理UDM提供的签约数据管理服务请求,该请求包括用户永久标识SUPI和第一指示信息,所述第一指示信息用于指示所述用户设备支持切片认证;处理单元,用于确定用户设备UE没有GPSI,且所述UE签约信息有要求进行切片认证,所述第一指示信息指示所述UE支持切片认证,为所述UE生成第一身份标识;所述处理单元还用于记录所述第一身份标识与SUPI的对应关系;所述收发单元还用于调用UDM提供的签约数据管理服务响应,该服务响应携带所述第一身份标识。
第二十三方面,提供了一种通信装置,包括处理器,该处理器与存储器相连,该存储器用于存储计算机程序,该处理器用于执行该存储器中存储的计算机程序,以使得该装置执行上述第一方面或第一方面的任意可能的实现方式中的方法,或者第二方面或第二方面的任意可能的实现方式中的方法,或者第三方面或第三方面的任意可能的实现方式中的方法,或者第四方面或第四方面的任意可能的实现方式中的方法,或者第五方面的方法,或者第六方面或第六方面的任意可能的实现方式中的方法,或者第七方面的方法,或者第八方面或第八方面的任意可能的实现方式中的方法,或者第九方面的方法,或者第十方面或第十方面的任意可能的实现方式中的方法,或者第十一方面的方法。
第二十四方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,当该计算机程序被运行时,实现上述第一方面或第一方面的任意可能的实现方式中的方法,或者第二方面或第二方面的任意可能的实现方式中的方法,或者第三方面或第三方面的任意可能的实现方式中的方法,或者第四方面或第四方面的任意可能的实现方式中的方法,或者第五方面的方法,或者第六方面或第六方面的任意可能的实现方式中的方法,或者第七方面的方法,或者第八方面或第八方面的任意可能的实现方式中的方法,或者第九方面的方法,或者第十方面或第十方面的任意可能的实现方式中的方法,或者第十一方面的方法。
第二十五方面,提供了一种芯片,其特征在于,包括处理器和接口;该处理器用于读取指令以执行上述第一方面或第一方面的任意可能的实现方式中的方法,或者第二方面或第二方面的任意可能的实现方式中的方法,或者第三方面或第三方面的任意可能的实现方式中的方法,或者第四方面或第四方面的任意可能的实现方式中的方法,或者第五方面的方法,或者第六方面或第六方面的任意可能的实现方式中的方法,或者第七方面的方法,或者第八方面或第八方面的任意可能的实现方式中的方法,或者第九方面的方法,或者第十方面或第十方面的任意可能的实现方式中的方法,或者第十一方面的方法。
可选地,该芯片还可以包括存储器,该存储器中存储有指令,处理器用于执行存储器中存储的指令或源于其他的指令。
第二十六方面,提供了一种通信系统,该系统包括具有实现上述第一方面的各方法及各种可能设计的功能的装置、具有实现上述第二方面的各方法及各种可能设计的功能的装置、具有实现上述第三方面的各方法及各种可能设计的功能的装置、具有实现上述第四方面的各方法及各种可能设计的功能的装置、上述第五方面的各方法及各种可能设计的功能的装置、具有实现上述第六方面的各方法及各种可能设计的功能的装置、具有实现上述第七方面的各方法及各种可能设计的功能的装置、具有实现上述第八方面的各方法及各种可能设计的功能的装置、上述第九方面的各方法及各种可能设计的功能的装置、具有实现上述第十方面的各方法及各种可能设计的功能的装置和具有实现上述第十一方面的各方法及各种可能设计的功能的装置。
第二十七方面,提供了一种切片认证中标识用户设备的通信方法,包括:接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带用户永久标识SUPI;生成所述UE的第一身份标识;记录所述第一身份标识与所述SUPI的对应关系;向服务器发送所述第一身份标识。
结合第二十七方面,在第二十七方面的某些实现方式中,所述第一身份标识包含网络功能实体路由信息;和/或,所述第一身份标识包含所述AMF的路由信息。
结合第二十七方面,在第二十七方面的某些实现方式中,所述方法还包括:接收所述服务器发送的响应消息,所述响应消息中携带所述第一身份标识;根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;向AMF发送所述SUPI。
第二十八方面,提供了一种切片认证中标识用户设备的通信方法,包括:移动性管理功能AMF生成用户设备UE的第一身份标识;所述AMF记录所述第一身份标识与用户永久标识SUPI的对应关系;所述AMF向网络功能NF发送切片认证请求,所述切片认证请求携带所述第一身份标识、所述SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识;所述NF接收所述AMF发送的切片认证请求;响应于所述切片认证请求,所述NF记录所述第一身份标识与所述SUPI的对应关系;以及所述NF 向服务器发送所述第一身份标识和所述S-NSSAI。
结合第二十八方面,在第二十八方面的某些实现方式中,所述第一身份标识包含所述 AMF的路由信息。
结合第二十八方面,在第二十八方面的某些实现方式中,所述NF接收所述服务器发送的所述第一身份标识和所述S-NSSAI;所述NF根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;以及所述NF向AMF发送所述SUPI。
第三十方面,提供了一种网络功能,包括:收发单元,用于接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带用户永久标识SUPI;处理单元,用于生成所述UE的第一身份标识;所述处理单元还用于记录所述第一身份标识与所述SUPI的对应关系;所述收发单元还用于向服务器发送所述第一身份标识。
结合第三十方面,在第三十方面的某些实现方式中,所述第一身份标识包含网络功能实体路由信息;和/或,所述第一身份标识包含所述AMF的路由信息。
结合第三十方面,在第三十方面的某些实现方式中,接收所述服务器发送的响应消息,所述响应消息中携带所述第一身份标识;所述处理单元还用于根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;所述收发单元还用于向AMF发送所述SUPI。
第三十一方面,提供了一种切片认证中标识用户设备的通信系统,所述通信系统包括移动性管理功能AMF、网络功能NF和服务器,包括:所述AMF生成用户设备UE的第一身份标识;所述AMF记录所述第一身份标识与用户永久标识SUPI的对应关系;所述AMF向网络功能NF发送切片认证请求,所述切片认证请求携带所述第一身份标识、所述SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识;所述NF接收所述AMF发送的切片认证请求;响应于所述切片认证请求,所述NF记录所述第一身份标识与所述SUPI的对应关系;以及所述NF向服务器发送所述第一身份标识和所述S-NSSAI。
结合第三十一方面,在第三十一方面的某些实现方式中,所述第一身份标识包含所述 AMF的路由信息。
结合第三十一方面,在第三十一方面的某些实现方式中,所述NF接收所述服务器发送的所述第一身份标识和所述S-NSSAI;所述NF根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;以及所述NF向AMF发送所述SUPI。
附图说明
图1示例性地示出了一种本申请应用的通信系统的示意图。
图2示出了现有技术中进行切片认证的示意性流程图。
图3是本申请实施例的一种切片验证中标识用户设备的方法的示意性流程图。
图4是本申请实施例的另一种切片验证中标识用户设备的方法的示意性流程图。
图5是本申请实施例的另一种切片验证中标识用户设备的方法的示意性流程图。
图6是本申请实施例的另一种切片验证中标识用户设备的方法的示意性流程图。
图7是本申请实施例的另一种切片验证中标识用户设备的方法的示意性流程图。
图8是本申请实施例的另一种切片重认证的方法的示意性流程图。
图9是本申请实施例的一种撤销切片授权的方法的示意性流程图
图10示出了本申请实施例的通信装置的示意性框图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
图1示例性地示出了一种本申请应用的通信系统100的示意图。如图1所示,该通信系统100主要包括终端设备(User Equipment,UE)101、接入网(Access Network,AN) 设备102、接入与移动性管理功能(Access and Mobility Management Function,AMF)实体103、会话管理功能(Session Management Function,SMF)实体104、用户面功能(User PlaneFunction,UPF)实体105、策略控制功能(Policy Control function,PCF)实体106、统一数据管理(Unified Data Management,UDM)实体107、数据网络(Data Network, DN)108、应用功能(Application Function,AF)实体109、鉴权服务器功能(Authentication ServerFunction,AUSF)实体110、网络切片选择功能(Network Slice Selection Function,NSSF)实体111。
在通信系统100中,UE 101通过Uu接口与AN设备102进行接入层连接,以交互接入层消息及无线数据传输,UE 101通过N1接口与AMF实体103进行非接入层(Non-AccessStratum,NAS)连接,以交互NAS消息;AN设备102通过N2接口与AMF实体103连接,以及AN设备102通过N3接口与UPF实体105连接;多个UPF实体105之间通过N9接口连接,UPF实体105通过N6接口与DN 108连接,同时,UPF实体105通过N4 接口与SMF实体104连接;SMF实体104通过N7接口与PCF实体106连接,SMF实体 104通过N10接口与UDM实体107连接,SMF实体104通过N4接口控制UPF实体105,同时,SMF实体104通过N11接口与AMF实体103连接;多个AMF实体103之间通过 N14接口连接,AMF实体103通过N8接口与UDM实体107连接,AMF实体103通过N12接口与AUSF实体110连接,AMF实体103通过N22接口与NSSF实体111连接,同时,AMF实体103通过N15接口与PCF实体106连接;PCF实体106通过N5接口与 AF实体109连接;AUSF实体110通过N13接口与UDM实体107连接。
在通信系统100中,UDM实体107是核心网中的签约数据库,存储用户在5G网络中的签约数据,负责用户的鉴权认证相关的功能,具体有:鉴权凭据处理、用户身份处理、签约信息管理、接入授权等。AMF实体103提供核心网中的移动性管理功能,主要负责接入和移动性控制,包括注册管理(registration management,RM)和连接管理(connectionmanagement,CM)、接入鉴权和接入授权、可达性管理和移动性管理等。SMF实体104 是核心网中的会话管理功能,AMF实体103在对UE 101进行移动性管理之外,还负责将从会话管理相关消息在UE 101和SMF实体104之间的转发。PCF实体106是核心网中的策略管理功能,负责制定对UE 101的移动性管理、会话管理、计费等相关的策略。UPF 实体105是核心网中的用户面功能,通过N6接口与外部数据网络进行数据传输,通过N3 接口与AN设备102进行数据传输,主要提供用户面支持,包括PDU会话和数据网络的连接点、数据包路由和转发、数据包检测和用户面策略执行、为用户面处理QoS、下行数据包缓存和下行数据通知的触发等。UE 101通过Uu口接入5G网络后,在SMF实体104 的控制下记录UE 101到UPF实体105的协议数据单元(Protocol Data Unit,PDU)会话数据连接,从而进行数据传输。AMF实体103和SMF实体104分别通过N8和N10接口从UDM实体107获取用户签约数据,通过N15和N7接口从PCF实体106获取策略数据。 AUSF110主要负责提供安全相关的功能,如:鉴权,认证等。
另外,通信系统100中还存在网络开放功能(Network Exposure Function,NEF)实体,用于与第三方应用服务器接口,在核心网节点与第三方应用之间进行信息传递。
应理解,本申请中的网元之间的接口名称仅是示例性的,网元之间的接口还可以是其他名称,本申请对接口的名称不予限。
应理解,图1仅为示例性架构图,除图1中所示功能单元之外,该网络架构还可以包括其他功能单元或功能网元,本申请实施例对此不进行限定。
还应理解,上述核心网的功能单元可以独立工作,也可以组合在一起实现某些控制功能,如:AMF、SMF和PCF可以组合在一起作为管理设备,用于完成终端设备的接入鉴权、安全加密、位置注册等接入控制和移动性管理功能,以及用户面传输路径的记录、释放和更改等会话管理功能,以及分析一些切片(slice)相关的数据(如拥塞)、终端设备相关的数据的功能,UPF作为网关设备主要完成用户面数据的路由转发等功能,如:负责对终端设备的数据报文过滤、数据传输/转发、速率控制、生成计费信息等。
本申请实施例的技术方案可以应用于各种通信系统,例如:全球移动通信(globalsystem for mobile communications,GSM)系统、码分多址(code division multipleaccess, CDMA)系统、宽带码分多址(wideband code division multiple access,WCDMA)系统、通用分组无线业务(general packet radio service,GPRS)、长期演进(long termevolution, LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobiletelecommunication system, UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX) 通信系统、第五代(5th generation,5G)系统或新无线(new radio,NR),此外,还可以适用于使用后续的演进系统,如第六代6G通信系统、甚至更高级的第七代7G通信系统等。
本申请实施例结合终端设备和核心网设备描述了各个实施例,其中:终端设备也可以称为用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。终端设备可以是WLAN 中的站点(STAION,ST),可以是蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol,SIP)电话、无线本地环路(Wireless Local Loop,WLL)站、个人数字处理(Personal Digital Assistant,PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备以及下一代通信系统,例如,NR网络中的终端设备或者未来演进的公共陆地移动网络(Public Land Mobile Network,PLMN) 网络中的终端设备等。
作为示例而非限定,在本申请实施例中,该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备,是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称,如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上,或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备,更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能,例如:智能手表或智能眼镜等,以及只专注于某一类应用功能,需要和其它设备如智能手机配合使用,如各类进行体征监测的智能手环、智能首饰等。
随着无线通信技术的快速发展,5G移动通信网络中,为了满足不同客户(如业务提供商或者租户)的业务需求,提出了网络切片(network slice,ns)的概念。其中,ns是一个用于支持特定网络能力与网络特性的逻辑隔离的网络,可以提供端到端(end to end,e2e)的网络服务。例如,终端可以向网络切片发送携带有终端的身份信息(如:用户永久标识(subscription permanent identifier,SUPI))的请求消息,请求网络切片中的网络功能(network function,NF)为终端记录承载在网络切片上的协议数据单元(Protocol DataUnit,PDU)会话 (session),使终端通过PDUsession接入数据网络(Data Network,DN)。
ns:是一个具备特定网络特性的逻辑网络,不同网络切片之间逻辑上是隔离的,它可以按照需求方的要求灵活地提供一种或者多种网络服务。一个网络切片由单网络切片选择辅助信息(Single-Network Slice Selection Assistance Information,S-NSSAI)来标识。
网络切片选择辅助信息(Network Slice Selectiona Ssistance Information,NSSAI):用于指示一个或者多个网络切片,NSSAI中包括多个单NSSAI(Single NSSAI,S-NSSAI)。 S-NSSAI由服务类型(slice/servicetype,sst)和切片区分器(slicedifferentiator,sd)等参数组成。其中,sst包括标准化和运营商自定义的类型;sd是补充sst的可选信息,以区分相同sst 的多个网络切片。需要说明的是,在本申请实施例中,可以将nssai简称为网络切片信息。
终端设备在接入核心网网络切片时,有可能需要对接入的网络切片进行验证,该切片认证触发原因可以是终端设备的签约信息指示当前接入的切片需要进行切片认证或认证授权和计费服务器(Authentication-Authorisation-Accounting,AAA-S)要求进行切片认证。图2示出了现有技术中进行切片认证的示意性流程图。
S201,AMF发起切片认证和授权,该切片认证触发原因可以AMF从UDM取回用户设备的签约数据,该用户设备的签约数据指明用户设备在接入某些切片时需要进行切片认证,或者该AAA-S服务器主动发起切片认证。
S202,AMF向UE发送非接入层移动管理Non-Access Stratum MobilityManagement, NAS MM)传输消息,该非接入层移动管理传输消息用于向UE请求可扩展认证协议 (Extensible Authentication Protocol Identity,EAP ID),该非接入层移动管理传输消息携带需要进行切片认证的切片标识单一网络切片选择辅助信息S-NSSAI。
其中,EAPID是用于在3A服务器标识UE的。
NAS协议处理UE和CN之间信息的传输,传输的内容可以是用户信息或控制信息(如业务的记录、释放或者移动性管理信息),控制平面的NAS消息有CM、MM、SM等。
S203,UE向AMF发送NAS MM transport消息,该NAS MM transport消息携带EAP ID响应Response和该S-NSSAI。
应理解,步骤S202和步骤S203为可选的步骤,当AMF上保存有该终端设备的EAP ID时,该AMF不需要向UE发送NAS MM transport消息来请求该EAP ID。例如,该EAP ID在UE注册时已记录。
S204,AMF调用AUSF提供的特定网络切片的认证和授权请求服务 Nausf_NSSAA_Authenticate Req,该请求服务携带EAP ID响应、AAA-S的地址信息、通用公共用户标识符(Generic Public Subscription Identifier,GPSI)以及S-NSSAI。
其中,GPSI用于在核心网标识UE,该GPSI保存在用户签约信息里。
S205,AUSF向(Authentication-Authorisation-Accounting,AAA-P)发送3A协议消息AAA protocol message,该3A协议消息携带了EAP ID响应、GPSI以及S-NSSAI。
S206,AAA-P向AAA-S发送3A协议消息AAA protocol message,该3A协议消息携带了EAP ID响应、GPSI以及S-NSSAI。
应理解,如果AAA-P存在,比如AAA-S属于第三方部署,则运营商会部署一个AAA-P和AAA-S对接。此时则AUSF会通过AAA-P和AAA-S进行交互。如果AAA-P不存在,此时则AUSF和AAA-S直接进行交互。
AAA-S收到3A协议消息后,会从EAP ID response中获取到EAP ID,然后保存GPSI,并记录GPSI与EAP ID的关联,进行当前切片验证,以及在后续AAA-S发起撤销授权或触发重认证的时候可以用GPSI来标识用户。
S207,AAA-S向AAA-P发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、GPSI以及S-NSSAI。
S208,AAA-P向AUSF发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、GPSI以及S-NSSAI。
S209,AUSF向AMF响应特定网络切片的认证和授权认证服务 Nausf_NSSAA_Authenticate Resq,该响应服务携带了EAP消息、GPSI以及S-NSSAI。
S210,AMF向UE发送NAS MM transport传输消息,该NAS MM transport消息携带EAP消息和S-NSSAI。
S211,UE向AMF发送NAS MM transport消息,该NAS MM transport消息携带EAP 消息和S-NSSAI。
S212,AMF调用AUSF提供的特定网络切片的认证和授权请求服务 Nausf_NSSAA_Authenticate Req,该请求服务携带了EAP消息、GPSI以及S-NSSAI。
S213,AUSF向AAA-P发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、AAA-S的地址信息、GPSI以及S-NSSAI。
S214,AAA-P向AAA-S发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、GPSI以及S-NSSAI。
应理解,步骤S207至步骤S214是EAP协议在UE和AAA-S之间交互,这些交互可以是多轮的。
S215,EAP认证完成,EAP认证结果为成功或失败。AAA-S向AAA-P发送3A协议消息AAA protocol message,该3A协议消息携带了EAP成功或失败、GPSI以及S-NSSAI。
S216,AAA-P向AUSF发送3A协议消息AAA protocol message,该3A协议消息携带了EAP成功或失败、GPSI以及S-NSSAI。
S217,AUSF向AMF响应特定网络切片的认证和授权认证服务 Nausf_NSSAA_Authenticate Resq,该响应服务携带了EAP成功或失败、GPSI以及S-NSSAI。
S218,AMF向UE发送NAS MM transport传输消息,该NAS MM transport消息携带EAP成功或失败。
在上述流程中,GPSI在核心网设备中标识UE,AAA-S在接收到3A协议消息后,会从EAP ID response中获取到EAP ID,根据EAP ID确定UE的身份,并保存GPSI,记录 GPSI与EAP ID的关联,在验证结果消息中携带EAP消息和GPSI,AMF收到验证结果消息后,通过GPSI可以找到UE,向UE发送切片验证结果。对于没有GPSI的UE,核心网中无法索引到该UE,上述切片认证流程无法进行。
有鉴于此,本申请提出了一种切片验证中标识终端设备的方法,可以实现没有GPSI 的UE,在切片认证中标识UE,继而进行切片认证。
下面结合图3详细说明本申请提供的一种切片验证中标识终端设备的方法,图3是本申请实施例的一种切片验证中标识终端设备的方法300的示意性流程图,该方法300可以应用在图1所示的场景中,当然也可以应用在其他通信场景中,本申请实施例在此不作限制。
还应理解,在本申请实施例中,以AMF、NF、AAA-P和AAA-S作为执行方法的执行主体为例,对方法进行说明。作为示例而非限定,执行方法的执行主体也可以是应用于 AMF、NF、AAA-P和AAA-S的芯片、芯片系统、或处理器等。
如图3所示,图3中示出的方法300可以包括S301至S309。下面结合图3详细说明方法300中的各个步骤。
S301,AMF向网络功能(Network Function,NF)发送切片认证请求,该切片认证请求携带EAP ID响应Response、用户永久标识(subscription permanent identifier,SUPI)和 S-NSSAI。
其中,SUPI为用户永久标识,用于在核心网标识用户,但不能外发,即不能再核心网以外的网元使用SUPI,该EAP ID响应中会携带所述用户设备在切片中的身份标识。
应理解,该AMF向NF发送的切片认证请求中,该切片认证请求也可以不携带S-NSSAI,例如,AAA-S只对一个切片进行验证时,该切片认证请求也可以不携带S-NSSAI。
S302,NF为UE生成特定网络切片的认证和授权标识(Network Slice-SpecificAuthentication and Authorization Identifier,NSSAA ID),并记录NSSAA ID与SUPI的对应关系。
应理解,特定网络切片的认证和授权标识NSSAA ID即是NF生成的UE的第一身份标识,但第一身份标识也可以是其他标识,后文以NSSAA ID进行描述。
应理解,NF可以为AUSF或其他新增NF,本申请对此不作限定。
可选的,NF为UE生成的NSSAAID可以分为两种情况,一种情况是不同的切片NF 为UE生成的不同的NSSAAID,如验证S-NSSAI1,NF为UE生成的NSSAAID1;验证 S-NSSAI2,NF为UE生成的NSSAAID2;另一种情况是不同的切片NF为UE生成的相同的NSSAAID,如验证S-NSSAI1,NF为UE生成的NSSAAID1;验证S-NSSAI2,NF 为UE生成的NSSAAID1,在第一种情况时,NF还需要记录NSSAA ID与S-NSSAI的对应关系。
可选的,NSSAA ID可以包含NF路由信息,比如NF ID或NF group ID,或Routingindicator(路由指示)用来进行NF的路由。
如果NSSAA ID包含了NF路由信息,可以在AAP向NF发消息时,方便AAA-P寻址NF,减少信令交互。
可选的,NSSAA ID还可以包含AMF路由信息,如AMF所在Serving network ID orname、AMF ID、AMF region ID、AMF set ID、AMF pointer等信息。此时步骤301中需携带上述AMF路由信息。
如果NSSAA ID包含了NF路由信息AMF路由信息,方便NF寻址AMF,减少信令交互。
S303,NF向AAA-P发送3A协议消息AAA protocol message,该3A协议消息携带了EAP ID响应、NSSAA ID以及S-NSSAI。
应理解,在本申请实施例中,各个网元之间发送的消息名称仅用于示例,各个网元之间还可能通过其他消息来发送本申请实施例中各个网元之间需要发送的信息,该消息名称并不对本申请实施例造成任何限定。
S304,AAA-P向AAA-S发送3A协议消息AAA protocol message,该3A协议消息携带了EAP ID响应、NSSAA ID以及S-NSSAI。
S305,AAA-S根据EAP ID响应确定用户设备的第二身份标识,记录该NSSAA ID与该第二身份标识的对应关系。
AAA-S根据EAP ID响应确定用户设备的第二身份标识,可以是EAP ID本身或EAPID响应消息中的EAP ID或EAP ID响应消息中解密或提取的ID,或通过EAP ID获取到的用户ID,比如通过EAP ID查找数据库索引到的用户ID。
若该用户设备已有其他NSSAA ID,则在当前已经记录的其他NSSAA ID与该用户设备的第二身份标识的对应关系中,增加当前NSSAA ID与该用户设备的第二身份标识的对应关系,并在认证成功后删除当前已经记录的NSSAA ID,若该用户设备没有其他NSSAA ID,则记录当前NSSAA ID与该用户设备的第二身份标识的对应关系。
可选的,在步骤S302中,NF还需要记录NSSAA ID与S-NSSAI的对应关系时,AAA-S也需要记录NSSAA ID与S-NSSAI的对应关系。
可选的,AAA-S可以只对一个切片进行验证,或者对多个切片进行验证,如果AAA-S只对一个切片进行验证,NF向AAA-P或者向AAA-S发送的3A协议消息可以不携带 S-NSSAI,如果AAA-S对多个切片进行验证,NF向AAA-P或者向AAA-S发送的3A协议消息需要携带S-NSSAI。
S306,AAA-S向AAA-P发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、NSSAA ID以及S-NSSAI。
S307,AAA-P向NF发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、NSSAA ID以及S-NSSAI。
S308,NF根据NSSAA ID和NSSAA ID与SUPI的对应关系,确定SUPI。
S309,NF向AMF发送切片认证响应,该响应携带了EAP消息、SUPI以及S-NSSAI。
此时,AMF可以根据SUPI确定用户设备,通过NAS MM传输消息与用户设备继续进行切片认证的交互。
在该方法中,如果UE没有GPSI标识,NF为UE生成NSSAA ID,该NSSAA ID用于在核心网标识UE,该NSSAAID可以在核心网和其他网元如AAA-P或AAA-S传输,实现了对于没有GPSI的UE,核心网可以索引到该UE,从而进行切片认证。
下面结合图4详细说明本申请提供的另一种切片验证中标识用户设备的方法,图4是本申请实施例的另一种切片验证中标识用户设备的方法400的示意性流程图,该方法400可以应用在图1所示的场景中,当然也可以应用在其他通信场景中,本申请实施例在此不作限制。
还应理解,在本申请实施例中,以AMF、NF、AAA-P和AAA-S作为执行方法的执行主体为例,对方法进行说明。作为示例而非限定,执行方法的执行主体也可以是应用于 AMF、NF、AAA-P和AAA-S的芯片、芯片系统、或处理器等。
如图4所示,图4中示出的方法400可以包括S401至S409。下面结合图4详细说明方法400中的各个步骤。
S401,AMF向NF发送切片认证请求,该切片认证请求携带EAP ID响应Response、SUPI和S-NSSAI。
S402,NF记录EAP ID响应Response与SUPI的对应关系。
其中,NF记录EAP ID响应Response与SUPI的对应关系也可以是记录EAP IDresponse中EAP ID与SUPI的对应关系(如果EAP ID在EAP ID response中未加密)。如果EAPID response中的EAP ID是加密的形式,则可以记录EAP ID Response与SUPI 的对应关系。
可选的,NF也可以记录SUPI和该会话的对应关系,即NF记录SUPI和AAA消息的对应关系,在AAA-P向NF发送3A协议消息AAA protocol message后,NF可以根据该SUPI和AAA消息的对应关系确定SUPI,然后记录SUPI和NSSAA ID的对应关系。 S403和S407为一个会话,该会话在底层可能有会话ID、IP等标识,因此可以记录SUPI 和该会话的对应关系。
S403,NF向AAA-P发送3A协议消息AAA protocol message,该3A协议消息携带了EAP ID响应以及S-NSSAI。
S404,AAA-P向AAA-S发送3A协议消息AAA protocol message,该3A协议消息携带了EAP ID响应以及S-NSSAI。
S405,AAA-S为UE生成NSSAA ID,并记录NSSAA ID与用户设备的第二身份标识的对应关系。
可选的,NSSAA ID可以包含NF路由信息,比如NF ID或NF group ID,或Routingindicator(路由指示)用来进行NF的路由。NSSAA ID可以包含NF路由信息,则在步骤 S403中,NF向AAA-P发送的3A协议消息AAA protocol message消息需携带上述NF的路由信息。如果NSSAA ID包含了NF路由信息,可以在AAP向NF发消息时,方便AAA-P 寻址NF,减少信令交互。
可选的,NSSAA ID还可以包含AMF路由信息,如AMF所在Serving network ID orname、AMF ID、AMF region ID、AMF set ID、AMF pointer等信息。此时步骤S401中需携带上述AMF路由信息。如果NSSAA ID包含了NF路由信息AMF路由信息,方便NF 寻址AMF,减少信令交互。
S406,AAA-S向AAA-P发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、NSSAA ID,S-NSSAI以及EAP ID Response。
S407,AAA-P向NF发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、NSSAA ID,S-NSSAI以及EAP ID Response。
可选的,如果NF记录SUPI和该会话的对应关系,即NF记录SUPI和AAA消息的对应关系,则上述步骤S406和S407中,发送的3A协议消息AAA protocol message不需要携带EAPID response。
S408,NF根据EAP ID Response与EAP ID响应Response与SUPI的对应关系,确定SUPI,并记录SUPI与NSSAA ID的对应关系。
S409,NF向AMF发送切片认证响应,该响应携带了EAP消息、SUPI以及S-NSSAI。
此时,AMF可以根据SUPI确定用户设备,通过NAS MM传输消息与用户设备继续进行切片认证的交互。
在该方法中,如果UE没有GPSI标识,AAA-S为UE生成NSSAA ID,该NSSAA ID 用于在核心网标识UE,该NSSAAID可以在核心网和其他网元如AAA-P或AAA-S传输,实现了对于没有GPSI的UE,核心网可以索引到该UE,从而进行切片认证。
下面结合图5详细说明本申请提供的另一种切片验证中标识用户设备的方法,图5是本申请实施例的另一种切片验证中标识用户设备的方法500的示意性流程图,该方法500可以应用在图1所示的场景中,当然也可以应用在其他通信场景中,本申请实施例在此不作限制。
还应理解,在本申请实施例中,以AMF、NF、AAA-P和AAA-S作为执行方法的执行主体为例,对方法进行说明。作为示例而非限定,执行方法的执行主体也可以是应用于 AMF、NF、AAA-P和AAA-S的芯片、芯片系统、或处理器等。
如图5所示,图5中示出的方法500可以包括S501至S510。下面结合图5详细说明方法500中的各个步骤。
S501,AMF为UE生成NSSAA ID,并记录NSSAA ID与SUPI的对应关系。
AMF针对UE需要认证的不同切片生成不同的NSSAA ID,不同的NSSAA ID独立维护;AMF针对UE需要认证的不同切片生成相同NSSAA ID,所有切片共用同一个NSSAA ID。
该NSSAA ID可以包含AMF的路由信息,如AMF所在serving network name or ID,AMF ID,AMF Region ID、AMF Set ID、AMF Pointer等信息,用来路由AMF,减少信令交互。
S502,AMF向NF发送切片认证请求,该切片认证请求携带EAP ID响应Response、NSSAA ID、SUPI和S-NSSAI。
S503,NF记录NSSAA ID与SUPI的对应关系。
S504,NF向AAA-P发送3A协议消息AAA protocol message,该3A协议消息携带了EAP ID响应、NSSAA ID以及S-NSSAI。
S505,AAA-P向AAA-S发送3A协议消息AAA protocol message,该3A协议消息携带了EAP ID响应、NSSAA ID以及S-NSSAI。
S506,AAA-S根据EAP ID响应确定用户设备的第二身份标识,记录NSSAA ID与该第二身份标识的对应关系。
若该用户设备已有其他NSSAA ID,则在当前已经记录的其他NSSAA ID与该用户设备的第二身份标识的对应关系中,增加当前NSSAA ID与该用户设备的第二身份标识的对应关系,并在认证成功后删除当前已经记录的NSSAA ID,若该用户设备没有其他NSSAA ID,则记录当前NSSAA ID与该用户设备的第二身份标识的对应关系。
可选的,在步骤S503中,NF还需要记录NSSAA ID与S-NSSAI的对应关系时,AAA-S也需要记录NSSAA ID与S-NSSAI的对应关系。
S507,AAA-S向AAA-P发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、NSSAA ID以及S-NSSAI。
S508,AAA-P向NF发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、NSSAA ID以及S-NSSAI。
S509,NF根据NSSAA ID和NSSAA ID与SUPI的对应关系,确定SUPI。
S510,NF向AMF发送切片认证响应,该响应携带了EAP消息、SUPI以及S-NSSAI。
此时,AMF可以根据SUPI确定用户设备,通过NAS MM传输消息与用户设备继续进行切片认证的交互。
可选的,在步骤S502中,如果发送了SUPI,则S503记录NSSAA ID与SUPI对应关系。S508需要根据NSSAA ID找到SUPI,然后S509发送SUPI。或者S508不进行索引,则S509直接发送NSSAA ID,由AMF在收到S509消息之后根据NSSAA ID找到SUPI。
可选的,在步骤S502中发送SUPI,S503和S508不存在,S509直接发送NSSAA ID,由AMF在收到S509消息之后根据NSSAA ID找到SUPI。
可选的,在步骤S502中不发送SUPI,第3步和第8步不存在,S509直接发送NSSAAID,由AMF在收到S509消息之后根据NSSAA ID找到SUPI。
在该方法中,如果UE没有GPSI标识,AMF为UE生成NSSAA ID,该NSSAA ID 用于在核心网标识UE,该NSSAAID可以在核心网和其他网元如AAA-P或AAA-S传输,实现了对于没有GPSI的UE,核心网可以索引到该UE,从而进行切片认证。
下面结合图6详细说明本申请提供的另一种切片验证中标识用户设备的方法,图6是本申请实施例的另一种切片验证中标识用户设备的方法600的示意性流程图,该方法600可以应用在图1所示的场景中,当然也可以应用在其他通信场景中,本申请实施例在此不作限制。
还应理解,在本申请实施例中,以UE、AMF、NF、AAA-P和AAA-S作为执行方法的执行主体为例,对方法进行说明。作为示例而非限定,执行方法的执行主体也可以是应用于UE、AMF、NF、AAA-P和AAA-S的芯片、芯片系统、或处理器等。
如图6所示,图6中示出的方法600可以包括S601至S611。下面结合图6详细说明方法600中的各个步骤。
S601,AMF发起切片认证。
S602,AMF向UE NAS MM传输消息,该非接入层移动管理传输消息携带EAPID请求和需要进行切片认证的切片标识S-NSSAI。
S603,UE向AMF发送NAS MM transport消息,该NAS MM transport消息携带EAP ID响应Response、该S-NSSAI和NSSAA ID。
可选的,该UE携带NSSAA ID,该NSSAA ID为UE MAC地址。
可选的,该NSSAA ID可以在UE注册消息中携带,或在第3步EAP响应中携带,或其他NAS消息携带,本申请对此不作限定。
可选的,AMF记录收到的NSSAA ID与SUPI的对应关系。
应理解,步骤S602和步骤S603为可选的步骤,该NSSAA ID可以在UE注册消息中携带时,该AMF不需要向UE发送NAS MM transport消息来请求该NSSAA ID。
S604,AMF记录NSSAA ID与SUPI的对应关系。
S605,AMF调用AUSF提供的特定网络切片的认证和授权请求服务 Nausf_NSSAA_Authenticate Req,该请求服务携带EAP ID响应、SUPI、NSSAA ID以及 S-NSSAI。
S606,AUSF记录NSSAA ID与SUPI的对应关系。
S607,AUSF向认证授权和计费代理(Authentication-Authorisation-Accounting,AAA-P) 发送3A协议消息AAA protocol message,该3A协议消息携带了EAP ID响应、NSSAA ID 以及S-NSSAI。
S608,AAA-P向AAA-S发送3A协议消息AAA protocol message,该3A协议消息携带了EAP ID响应、NSSAA ID以及S-NSSAI。
S609,AAA-S向AAA-P发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、NSSAA ID以及S-NSSAI。
S610,AAA-P向AUSF发送3A协议消息AAA protocol message,该3A协议消息携带了EAP消息、NSSAA ID以及S-NSSAI。
S611,AUSF向AMF响应特定网络切片的认证和授权认证服务 Nausf_NSSAA_Authenticate Resq,该响应服务携带了EAP消息、NSSAA ID以及S-NSSAI。
此时,AMF可以根据NSSAA ID确定SUPI,通过NAS MM传输消息与用户设备继续进行切片认证的交互。
在该方法中,通过UE的签约数据携带NSSAA ID,该NSSAA ID用于在核心网标识UE,该NSSAAID可以在核心网和其他网元如AAA-P或AAA-S传输,实现了对于没有GPSI 的UE,核心网可以索引到该UE,从而进行切片认证。
下面结合图7详细说明本申请提供的另一种切片验证中标识用户设备的方法,图7是本申请实施例的另一种切片验证中标识用户设备的方法700的示意性流程图,该方法700可以应用在图1所示的场景中,当然也可以应用在其他通信场景中,本申请实施例在此不作限制。
还应理解,在本申请实施例中,以UE、AMF和UDM作为执行方法的执行主体为例,对方法进行说明。作为示例而非限定,执行方法的执行主体也可以是应用于UE、AMF和 UDM的芯片、芯片系统、或处理器等。
如图7所示,图7中示出的方法700可以包括S701至S705。下面结合图7详细说明方法700中的各个步骤。
S701,UE向AMF发送注册请求,该UE支持切片认证,该注册请求中携带该UE支持切片认证的指示。
S702,AMF确定如果UE支持切片认证,则请求UDM为UE生成NSSAA ID。
S703,AMF调用UDM提供的签约数据管理服务请求,该请求包括SUPI和第一指示信息,所述第一指示信息用于指示该UE支持切片认证。
S704,UDM确定若该UE没有GPSI,且UE签约切片有要求进行切片认证,第一指示信息指示UE支持切片认证,则为UE生成NSSAA ID,记录NSSAA ID与SUPI的对应关系。
S705,UDM调用UDM提供的签约数据管理服务响应,Nudm_SDM_Response,该服务响应携带NSSAA ID。
该方法700的流程是在UE注册时发生的,上述方法300、方法400方法500和方法600的流程是在UE注册后,开始切片认证时发生的。
可选得,AMF也可以在S705之后,判断UE支持切片认证且用户请求的切片需要进行切片认证时向UDM请求NSSAA ID。
在该方法中,通过UDM为UE生成NSSAA ID,该NSSAA ID用于在核心网标识UE,该NSSAAID可以在核心网和其他网元如AAA-P或AAA-S传输,实现了对于没有GPSI 的UE,核心网可以索引到该UE,从而进行切片认证。
下面结合图8详细说明本申请提供的另一种切片重认证的方法,图8是本申请实施例的另一种切片重认证的方法800的示意性流程图,该方法800可以应用在图1所示的场景中,当然也可以应用在其他通信场景中,本申请实施例在此不作限制。
还应理解,在本申请实施例中,以UE、AMF、UDM、AUSF、AAA-P和AAA-S作为执行方法的执行主体为例,对方法进行说明。作为示例而非限定,执行方法的执行主体也可以是应用于UE、AMF、UDM、AUSF、AAA-P和AAA-S的芯片、芯片系统、或处理器等。
如图8所示,图8中示出的方法800可以包括S801至S805。下面结合图8详细说明方法800中的各个步骤。
S801,AAA-S向AAA-P发送3A协议重认证请求,该3A协议重认证请求携带了 NSSAAID以及S-NSSAI。
S802,AAA-P向AUSF发送3A协议重认证请求,该3A协议重认证请求携带了NSSAA ID以及S-NSSAI。
S803,AUSF根据NSSAA ID和NSSAA ID与SUPI的对应关系,确定SUPI。
S804,AUSF调用UDM提供的UE连接管理请求Nudm_UE CM_Get Req,该请求携带了SUPI以及AMF路由请求信息。
S805,UDM响应AUSF连接管理请求Nudm_UE CM_Get Resq,该请求携带了AMF 路由请求信息。
S806,AUSF调用AUSF提供的NSSAA通知,该通知携带了切片重认证时间、SUPI 以及S-NSSAI。
S807,核心网切片第二次认证和授权。
该流程为AAA-S发起重认证的时候,携带前述实施例中的NSSAA ID供核心网设备索引出对应的SUPI。需要说明的是,如果是NSSAA ID中有AMF路由信息,则AUSF 可以不进行步骤S804和步骤S805的索引,而是根据NSSAA ID找到AMF,并在S806 中携带:NSSAA ID,而不是SUPI。由AMF在收到S806消息之后根据NSSAA ID找到 SUPI。
若服务UE的AMF发生了变化,则UDM需主动向AUSF推送AMF信息。
或者AUSF仍采用图上流程,主动携带NSSAA ID或NSSAA ID中的AMF路由信息向UDM查找对应的AMF。
下面结合图9详细说明本申请提供的一种撤销切片授权的方法,图9是本申请实施例的一种撤销切片授权的方法900的示意性流程图,该方法900可以应用在图1所示的场景中,当然也可以应用在其他通信场景中,本申请实施例在此不作限制。
还应理解,在本申请实施例中,以UE、AMF、UDM、AUSF、AAA-P和AAA-S作为执行方法的执行主体为例,对方法进行说明。作为示例而非限定,执行方法的执行主体也可以是应用于UE、AMF、UDM、AUSF、AAA-P和AAA-S的芯片、芯片系统、或处理器等。
如图9所示,图9中示出的方法900可以包括S901至S905。下面结合图9详细说明方法900中的各个步骤。
S901,AAA-S向AAA-P发送3A协议撤销授权请求,该3A协议撤销授权请求携带了NSSAA ID以及S-NSSAI。
S902,AAA-P向AUSF发送3A协议撤销授权请求,该3A协议撤销授权请求携带了NSSAA ID以及S-NSSAI。
S903,AUSF根据NSSAA ID和NSSAA ID与SUPI的对应关系,确定SUPI。
S904,AUSF调用UDM提供的UE连接管理请求Nudm_UE CM_Get Req,该请求携带了SUPI以及AMF路由请求信息。
S905,UDM响应AUSF连接管理请求Nudm_UE CM_Get Resq,该请求携带了AMF 路由请求信息。
S906,AUSF调用AUSF提供的NSSAA通知,通知AMF切片撤销授权,该通知携带了切片撤销授权事件、SUPI以及S-NSSAI。
S907,UE更新配置。
该流程为AAA-S发起切片撤销授权的流程,携带前述实施例中的NSSAA ID供核心网设备索引出对应的SUPI。需要说明的是,如果是NSSAA ID中有AMF路由信息,则 AUSF可以不进行S904和S905的索引,而是根据NSSAA ID找到AMF,并在S906步中携带:NSSAA ID,而不是SUPI。由AMF在收到S906消息之后根据NSSAA ID找到SUPI。
若服务UE的AMF发生了变化,则UDM需主动向AUSF推送AMF信息。
或者AUSF仍采用图上流程,主动携带NSSAA ID或NSSAA ID中的AMF路由信息向UDM查找对应的AMF。
以上结合图1至图9对本申请实施例的多卡终端设备的通信参数测量方法做了详细说明。以下,结合图10对本申请实施例通信装置进行详细说明。
图10示出了本申请实施例的通信装置1000的示意性框图。
一些实施例中,该装置1000可以为网络功能,也可以为芯片或电路,比如可设置于网络功能的芯片或电路。
一些实施例中,该装置1000可以为认证授权和计费代理服务器,也可以为芯片或电路,比如可设置于认证授权和计费代理服务器的芯片或电路。
一些实施例中,该装置1000可以为接入与移动性管理功能,也可以为芯片或电路,比如可设置于接入与移动性管理功能的芯片或电路。
一些实施例中,该装置1000可以为鉴权服务器功能,也可以为芯片或电路,比如可设置于鉴权服务器功能的芯片或电路。
一些实施例中,该装置1000可以为统一数据管理功能,也可以为芯片或电路,比如可设置于统一数据管理功能的芯片或电路。
一种可能的方式中,该装置1000可以包括处理单元1010(即,处理器的一例)和收发单元1030。一些可能的实现方式中,处理单元1010还可以称为确定单元。一些可能的实现方式中,收发单元1030可以包括接收单元和发送单元。
在一种实现方式中,收发单元1030可以通过收发器或者收发器相关电路或者接口电路实现。
在一种实现方式中,该装置还可以包括存储单元1020。一种可能的方式中,该存储单元1020用于存储指令。在一种实现方式中,该存储单元也可以用于存储数据或者信息。存储单元1020可以通过存储器实现。
一些可能的设计中,该处理单元1010用于执行该存储单元1020存储的指令,以使装置1000实现如上述方法中终端设备执行的步骤。或者,该处理单元1010可以用于调用存储单元1020的数据,以使装置1000实现如上述方法中终端设备执行的步骤。
一些可能的设计中,该处理单元1010用于执行该存储单元1020存储的指令,以使装置1000实现如上述方法中接入网设备执行的步骤。或者,该处理单元1010可以用于调用存储单元1020的数据,以使装置1000实现如上述方法中接入网设备执行的步骤。
例如,该处理单元1010、存储单元1020、收发单元1030可以通过内部连接通路互相通信,传递控制和/或数据信号。例如,该存储单元1020用于存储计算机程序,该处理单元1010可以用于从该存储单元1020中调用并运行该计算计程序,以控制收发单元1030 接收信号和/或发送信号,完成上述方法中终端设备或接入网设备的步骤。该存储单元1020 可以集成在处理单元1010中,也可以与处理单元1010分开设置。
可选地,若该装置1000为通信设备(例如,终端设备,或接入网设备),该收发单元1030包括接收器和发送器。其中,接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时,可以统称为收发器。
可选地,若该装置1000为芯片或电路,该收发单元1030包括输入接口和输出接口。
作为一种实现方式,收发单元1030的功能可以考虑通过收发电路或者收发的专用芯片实现。处理单元1010可以考虑通过专用处理芯片、处理电路、处理单元或者通用芯片实现。
作为另一种实现方式,可以考虑使用通用计算机的方式来实现本申请实施例提供的通信设备(例如终端设备,或接入网设备)。即将实现处理单元1010、收发单元1030功能的程序代码存储在存储单元1020中,通用处理单元通过执行存储单元1020中的代码来实现处理单元1010、收发单元1030的功能。
一些实施例中,装置1000可以为网络功能,或设置于网络功能的芯片或电路。当该装置1000配置在或本身即为网络功能时,装置1000中各模块或单元可以用于执行上述方法中网络功能所执行的各动作或处理过程,这里,为了避免赘述,省略其详细说明。
一些实施例中,装置1000可以为认证授权和计费代理服务器,或设置于认证授权和计费代理服务器的芯片或电路。当该装置1000配置在或本身即为认证授权和计费代理服务器时,装置1000中各模块或单元可以用于执行上述方法中网络功能所执行的各动作或处理过程,这里,为了避免赘述,省略其详细说明。
一些实施例中,装置1000可以为接入与移动性管理功能,或设置于接入与移动性管理功能的芯片或电路。当该装置1000配置在或本身即为接入与移动性管理功能时,装置1000 中各模块或单元可以用于执行上述方法中网络功能所执行的各动作或处理过程,这里,为了避免赘述,省略其详细说明。
一些实施例中,装置1000可以为鉴权服务器功能,或设置于鉴权服务器功能的芯片或电路。当该装置1000配置在或本身即为鉴权服务器功能时,装置1000中各模块或单元可以用于执行上述方法中网络功能所执行的各动作或处理过程,这里,为了避免赘述,省略其详细说明。
一些实施例中,装置1000可以为统一数据管理功能,或设置于统一数据管理功能的芯片或电路。当该装置1000配置在或本身即为统一数据管理功能时,装置1000中各模块或单元可以用于执行上述方法中网络功能所执行的各动作或处理过程,这里,为了避免赘述,省略其详细说明。
该装置1000所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
应理解,本申请实施例中,该处理器可以为中央处理单元(central processingunit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM, EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的随机存取存储器(random accessmemory,RAM)可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM, DR RAM)。
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
本申请实施例还提供了一种计算机可读介质,其上存储有计算机程序,该计算机程序被计算机执行时实现上述任一实施例中的网络功能执行的步骤,或者认证授权和计费代理服务器执行的步骤,或者接入与移动性管理功能执行的步骤,或者鉴权服务器功能执行的步骤,统一数据管理功能统一数据管理功能执行的步骤。
本申请实施例还提供了一种计算机程序产品,该计算机程序产品被计算机执行时实现上述任一实施例中的网络功能执行的步骤,或者认证授权和计费代理服务器执行的步骤,或者接入与移动性管理功能执行的步骤,或者鉴权服务器功能执行的步骤,统一数据管理功能统一数据管理功能执行的步骤。
本申请实施例还提供了一种系统芯片,该系统芯片包括:通信单元和处理单元。该处理单元,例如可以是处理器。该通信单元例如可以是通信接口、输入/输出接口、管脚或电路等。该处理单元可执行计算机指令,以使该通信装置内的芯片执行上述本申请实施例提供的网络功能执行的步骤,或者认证授权和计费代理服务器执行的步骤,或者接入与移动性管理功能执行的步骤,或者鉴权服务器功能执行的步骤,统一数据管理功能统一数据管理功能执行的步骤。
可选地,该计算机指令被存储在存储单元中。
根据本申请实施例提供的方法,本申请实施例还提供一种通信系统,其包括前述的网络功能,认证授权和计费代理服务器,接入与移动性管理功能,鉴权服务器功能和统一数据管理功能。
本申请中的各个实施例可以独立的使用,也可以进行联合的使用,这里不做限定。
另外,本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmableread-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
应理解,“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“至少一个”是指一个或一个以上;“A和B中的至少一个”,类似于“A和/或B”,描述关联对象的关联关系,表示可以存在三种关系,例如, A和B中的至少一个,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
应理解,本申请实施例中网络/系统中具有通信功能的设备可称为通信设备。
应理解,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和 /或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种切片认证中标识用户设备的通信方法,其特征在于,包括:
接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带用户永久标识SUPI;
生成UE的第一身份标识;
记录所述第一身份标识与所述SUPI的对应关系;
向服务器发送所述第一身份标识。
2.根据权利要求1所述的方法,其特征在于,所述第一身份标识包含网络功能实体路由信息;和/或,
所述第一身份标识包含所述AMF的路由信息。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
接收所述服务器发送的响应消息,所述响应消息中携带所述第一身份标识;
根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;
向AMF发送所述SUPI。
4.一种切片认证中标识用户设备的通信方法,其特征在于,包括:
移动性管理功能AMF生成用户设备UE的第一身份标识;
所述AMF记录所述第一身份标识与用户永久标识SUPI的对应关系;
所述AMF向网络功能NF发送切片认证请求,所述切片认证请求携带所述第一身份标识、所述SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识;
所述NF接收所述AMF发送的切片认证请求;
响应于所述切片认证请求,所述NF记录所述第一身份标识与所述SUPI的对应关系;以及所述NF向服务器发送所述第一身份标识和所述S-NSSAI。
5.根据权利要求4所述的方法,其特征在于,所述第一身份标识包含所述AMF的路由信息。
6.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:
所述NF接收所述服务器发送的所述第一身份标识和所述S-NSSAI;
所述NF根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;以及所述NF向AMF发送所述SUPI。
7.一种网络功能设备,其特征在于,包括:
收发单元,用于接收接入与移动性管理功能AMF发送的切片认证请求,该切片认证请求携带用户永久标识SUPI;
处理单元,用于生成UE的第一身份标识;
所述处理单元还用于记录所述第一身份标识与所述SUPI的对应关系;
所述收发单元还用于向服务器发送所述第一身份标识。
8.根据权利要求7所述的网络功能设备,其特征在于,所述第一身份标识包含网络功能实体路由信息;和/或,
所述第一身份标识包含所述AMF的路由信息。
9.根据权利要求7或8所述的网络功能设备,其特征在于,所述收发单元还用于:
接收所述服务器发送的响应消息,所述响应消息中携带所述第一身份标识;
所述处理单元还用于根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;
所述收发单元还用于向AMF发送所述SUPI。
10.一种切片认证中标识用户设备的通信系统,所述通信系统包括移动性管理功能AMF、网络功能NF和服务器,其特征在于,包括:
所述AMF用于:生成用户设备UE的第一身份标识;记录所述第一身份标识与用户永久标识SUPI的对应关系;
向网络功能NF发送切片认证请求,所述切片认证请求携带所述第一身份标识、所述SUPI和单网络切片选择辅助信息S-NSSAI,所述S-NSSAI为用户设备需要进行认证的切片的标识;
所述NF用于:
接收所述AMF发送的切片认证请求;响应于所述切片认证请求,记录所述第一身份标识与所述SUPI的对应关系;以及发送所述第一身份标识和所述S-NSSAI。
11.根据权利要求10所述的通信系统,其特征在于,所述第一身份标识包含所述AMF的路由信息。
12.根据权利要求10或11所述的通信系统,其特征在于,
所述NF还用于:接收所述服务器发送的所述第一身份标识和所述S-NSSAI;
根据所述第一身份标识和所述第一身份标识与所述SUPI的对应关系,确定所述SUPI;以及
向AMF发送所述SUPI。
13.一种通信装置,包括处理器,所述处理器与存储器相连,所述存储器用于存储计算机程序,所述处理器用于执行所述存储器中存储的计算机程序,以使得所述装置执行如权利要求1至3中任一项所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,当所述计算机程序被运行时,实现如权利要求1至3中任一项所述的方法。
15.一种芯片,其特征在于,包括处理器和接口;
所述处理器用于读取指令以执行权利要求1至3中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010292224.XA CN113596831B (zh) | 2020-04-14 | 2020-04-14 | 一种切片认证中标识用户设备的通信方法和通信设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010292224.XA CN113596831B (zh) | 2020-04-14 | 2020-04-14 | 一种切片认证中标识用户设备的通信方法和通信设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113596831A CN113596831A (zh) | 2021-11-02 |
CN113596831B true CN113596831B (zh) | 2022-12-30 |
Family
ID=78236826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010292224.XA Active CN113596831B (zh) | 2020-04-14 | 2020-04-14 | 一种切片认证中标识用户设备的通信方法和通信设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113596831B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113449286B (zh) * | 2021-07-08 | 2024-03-26 | 深圳职业技术学院 | 安全校验ue发送的s-nssai的方法及系统、设备 |
CN113923716B (zh) * | 2021-12-13 | 2022-05-03 | 北京赋乐科技有限公司 | 一种用户信息获取方法、装置和电子设备 |
CN114302503B (zh) * | 2021-12-31 | 2023-06-06 | 广州爱浦路网络技术有限公司 | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109104726A (zh) * | 2017-06-20 | 2018-12-28 | 上海中兴软件有限责任公司 | 网络切片的认证方法及相应装置、系统和介质 |
CN110167013A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及装置 |
CN110476447A (zh) * | 2017-03-21 | 2019-11-19 | 诺基亚技术有限公司 | 在支持网络切片的移动系统中的增强的注册过程 |
CN110786034A (zh) * | 2017-06-23 | 2020-02-11 | 日本电气株式会社 | 网络切片选择的隐私考虑 |
CN110944325A (zh) * | 2019-11-28 | 2020-03-31 | 楚天龙股份有限公司 | 一种实现supi变换的方法及装置、识别卡、存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10660016B2 (en) * | 2017-11-08 | 2020-05-19 | Ofinno, Llc | Location based coexistence rules for network slices in a telecommunication network |
US11539699B2 (en) * | 2018-08-13 | 2022-12-27 | Lenovo (Singapore) Pte. Ltd. | Network slice authentication |
-
2020
- 2020-04-14 CN CN202010292224.XA patent/CN113596831B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110476447A (zh) * | 2017-03-21 | 2019-11-19 | 诺基亚技术有限公司 | 在支持网络切片的移动系统中的增强的注册过程 |
CN109104726A (zh) * | 2017-06-20 | 2018-12-28 | 上海中兴软件有限责任公司 | 网络切片的认证方法及相应装置、系统和介质 |
CN110786034A (zh) * | 2017-06-23 | 2020-02-11 | 日本电气株式会社 | 网络切片选择的隐私考虑 |
CN110167013A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及装置 |
CN110944325A (zh) * | 2019-11-28 | 2020-03-31 | 楚天龙股份有限公司 | 一种实现supi变换的方法及装置、识别卡、存储介质 |
Non-Patent Citations (1)
Title |
---|
Addessing EN on transmitting NSSAI to AAA;Huawei等;《3GPP TSG-SA3 Meeting #98e S3-200158》;20200306;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113596831A (zh) | 2021-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3752947B1 (en) | Protecting a message transmitted between core network domains | |
CN110798833B (zh) | 一种鉴权过程中验证用户设备标识的方法及装置 | |
CN113596831B (zh) | 一种切片认证中标识用户设备的通信方法和通信设备 | |
CN110786034B (zh) | 用于网络切片隐私考虑的方法、用户设备和功能节点 | |
EP2235977B1 (en) | Abstraction function for mobile handsets | |
EP3485624B1 (en) | Operation related to user equipment using secret identifier | |
WO2020177502A1 (zh) | 一种认证结果更新的方法和通信装置 | |
CN112449350B (zh) | 一种利用区块链为终端提供业务的方法、装置及系统 | |
EP3905612A1 (en) | Method and device for calling application program interface | |
CN109891921B (zh) | 下一代系统的认证的方法、装置和计算机可读存储介质 | |
CN111954208B (zh) | 一种安全通信方法和装置 | |
CN113055879B (zh) | 一种用户标识接入方法及通信装置 | |
CN113132908A (zh) | 一种业务管理方法及装置 | |
WO2021204065A1 (zh) | 一种通信方法及装置 | |
CN110972135A (zh) | 一种安全通信方法、加密信息确定方法及装置 | |
WO2021109436A1 (en) | Authentication server function selection in an authentication and key agreement | |
KR20190117136A (ko) | 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법 | |
CN111770488B (zh) | Ehplmn更新方法、相关设备及存储介质 | |
EP4027673A1 (en) | Communication method, apparatus and system | |
WO2023151420A1 (zh) | 通信方法和通信装置 | |
WO2024104246A1 (zh) | 通信方法和通信装置 | |
WO2023160390A1 (zh) | 通信方法与装置 | |
JP7513746B2 (ja) | 時刻同期パケット処理方法および装置 | |
WO2024066436A1 (zh) | 一种通信方法及装置 | |
WO2023142632A1 (zh) | 通信方法及通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |