CN113676904A - 切片认证方法及装置 - Google Patents
切片认证方法及装置 Download PDFInfo
- Publication number
- CN113676904A CN113676904A CN202010368192.7A CN202010368192A CN113676904A CN 113676904 A CN113676904 A CN 113676904A CN 202010368192 A CN202010368192 A CN 202010368192A CN 113676904 A CN113676904 A CN 113676904A
- Authority
- CN
- China
- Prior art keywords
- slice
- authentication
- network
- identification information
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种切片认证方法及装置,该方法包括:第一NF向认证服务器发送第一网络的标识信息、切片的标识信息和终端设备的标识信息,该第一NF为第一网络中的NF。接着第一NF发起终端设备与认证服务器之间关于该切片的切片认证,认证服务器便可以根据上述切片的标识信息和终端设备的标识信息对该切片进行切片认证。然后第一NF接收来自认证服务器对该切片的切片认证结果、切片的标识信息和终端设备的标识信息。本申请提供的技术方案通过对不同网络发起的针对同一个切片的切片认证进行区分,避免了认证服务器混淆不同网络发起的针对同一个切片的切片认证结果。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种切片认证方法及装置。
背景技术
终端设备在被允许接入切片之前,需要与切片进行双向认证。一般的,网络需要对终端设备经过一次或者两次的认证才能接入该切片。首先,公共陆地移动网络(publicland mobile network,PLMN)要基于终端设备所使用的与PLMN签约的用户永久标识符(subscriber permanent identifier,SUPI)进行认证,这种认证被称为一级认证(primaryauthentication)。其次,PLMN要基于终端设备所使用的与数据网络(data network,DN)的签约标识进行认证,即切片认证或二级认证等。
在进行切片认证时,终端设备可以通过网络中的网络功能(network function,NF)发起与认证服务器之间的切片认证。终端设备在同一个网络中通过不同接入方式接入同一个切片时,发起切片认证的NF一般是同一个NF。例如,当终端设备通过一种接入方式接入切片后,该终端设备又需要通过另一种接入方式接入该切片,这时,该终端设备可以不再对该切片进行切片认证,就可以通过该另一种接入方式接入该切片。
因此终端设备如何通过不同网络或不同网络中的NF发起切片认证是本领域技术人员正在研究的问题。
发明内容
本申请提供一种切片认证方法及装置,可有效提高切片认证的效率。
第一方面,本申请提供一种切片认证方法,所述方法包括:
第一网络功能(network function,NF)发起终端设备和认证服务器之间关于切片的切片认证;所述第一NF向所述认证服务器发送第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息,所述第一NF为所述第一网络中的NF;所述第一NF接收来自所述认证服务器的所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
本申请实施例中,在切片认证过程中,通过携带第一网络的标识信息,一方面,认证服务器可以对不同PLMN发起的针对同一个S-NSSAI的切片认证进行区分;另一方面,避免了认证服务器混淆不同PLMN发起的针对同一个S-NSSAI的切片认证。通过确定不同PLMN发起的针对同一个S-NSSAI的切片认证,可使得相关NF(如第一NF)确定是否重新发起对该S-NSSAI的切片认证等,提高了切片认证效率。同时,通过区分不同PLMN发起的针对同一个S-NSSAI的切片认证,该还可以对不同PLMN(或AMF)生成的密钥进行区分,避免了该认证服务器错误更新密钥的情况。
在一种可能的实现方式中,所述第一网络功能NF向认证服务器发送第一网络的标识信息、切片的标识信息和终端设备的标识信息,包括:所述第一NF通过第二NF向所述认证服务器发送所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息;所述第一NF接收来自所述认证服务器的所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息,包括:所述第一NF接收所述认证服务器通过所述第二NF发送的所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
在一种可能的实现方式中,所述方法还包括:所述第二NF存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息包括:所述切片的切片认证结果、所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息。
在一种可能的实现方式中,所述方法还包括:所述第二NF向第三NF发送所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息;所述第三NF接收所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,以及存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
在一种可能的实现方式中,所述方法还包括:所述第四NF向所述第二NF或所述第三NF发送请求消息,所述请求消息用于请求所述终端设备针对所述切片的认证状态信息,所述终端设备针对所述切片的认证状态信息包括所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,所述第四NF为第二网络中的NF;响应于所述请求消息,所述第二NF或所述第三NF向所述第四NF发送响应消息。
在一种可能的实现方式中,所述方法还包括:所述第一NF向所述第二NF或所述第三NF发送请求消息,所述请求消息用于请求所述终端设备针对所述切片的认证状态信息,所述终端设备针对所述切片的认证状态信息包括所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息;响应于所述请求消息,所述第二NF或所述第三NF向所述第一NF发送响应消息。
在一种可能的实现方式中,所述响应消息包括以下任一项或多项:指示信息,所述指示信息用于指示所述第四NF是否对所述终端设备发起切片认证;或者,所述指示信息用于指示所述终端设备是否已完成针对所述切片的切片认证;所述终端设备针对所述切片的切片认证结果;所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
第二方面,本申请提供一种切片认证方法,所述方法包括:认证服务器接收来自第一网络功能NF的第一网络的标识信息、切片的标识信息和终端设备的标识信息,所述第一NF为所述第一网络中的NF;所述认证服务器根据所述切片的标识信息和所述终端设备的标识信息对所述切片进行切片认证;所述认证服务器向所述第一NF发送所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
在一种可能的实现方式中,所述方法还包括:所述认证服务器存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息包括:所述切片的切片认证结果、所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息。
在一种可能的实现方式中,所述方法还包括:所述认证服务器根据所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,确定是否对所述终端设备发起针对所述切片的切片认证。
在一种可能的实现方式中,所述方法还包括:所述认证服务器接收来自所述第一NF或所述第四NF的请求消息,所述请求消息用于请求所述终端设备针对所述切片的认证状态信息;响应于所述请求消息,所述认证服务器向所述第一NF或所述第四NF发送响应消息。
在一种可能的实现方式中,所述响应消息包括以下任一项或多项:指示信息,所述指示信息用于指示所述第四NF是否对所述终端设备发起切片认证;或者,所述指示信息用于指示所述终端设备是否已完成针对所述切片的切片认证;所述终端设备针对所述切片的切片认证结果;所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
第三方面,本申请提供一种通信装置,所述通信装置包括处理单元和收发单元,其中,所述处理单元,用于发起终端设备和认证服务器之间关于切片的切片认证;所述收发单元,用于向所述认证服务器发送第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息,所述通信装置为第一网络中的NF;所述收发单元,还用于接收来自所述认证服务器的所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
在一种可能的实现方式中,所述收发单元,具体用于通过第二NF向所述认证服务器发送所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息;以及接收所述认证服务器通过所述第二NF发送的所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
在一种可能的实现方式中,所述收发单元,还用于向所述第二NF或所述第三NF发送请求消息,所述请求消息用于请求所述终端设备针对所述切片的认证状态信息,所述终端设备针对所述切片的认证状态信息包括:所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息;以及接收来自所述第二NF或所述第三NF的响应消息。
示例性的,第一NF可以根据上述响应消息确定不发起终端设备针对切片的切片认证等,本申请实施例对此不作限定。
可选的,上述通信装置可以包括第一NF。
第四方面,本申请提供一种通信装置,所述通信装置包括处理单元和收发单元,其中,所述收发单元,用于接收来自所述第一NF的所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息;所述处理单元,用于存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。或者,所述处理单元,用于控制存储单元(如存储器等)存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
在一种可能的实现方式中,所述收发单元,还用于接收来自第四NF(或第一NF)的请求消息,所述请求消息用于请求所述终端设备针对所述切片的认证状态信息,所述终端设备针对所述切片的认证状态信息包括:所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,所述第四NF为第二网络中的NF;以及向所述第四NF(或所述第一NF)发送响应消息。
在一种可能的实现方式中,当上述通信装置为第二NF时,所述收发单元,还用于向第三NF发送所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
可选的,上述通信装置可以包括第二NF或第三NF。
第五方面,本申请提供一种通信装置,所述通信装置包括收发单元和处理单元,其中,所述收发单元,用于收发信号;所述处理单元,用于通过所述收发单元执行:向所述第二NF或所述第三NF发送请求消息,所述请求消息用于请求所述终端设备针对所述切片的认证状态信息,所述终端设备针对所述切片的认证状态信息包括所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,所述通信装置为第二网络中的NF;以及接收来自所述第二NF或所述第三NF的响应消息。
在一种可能的实现方式中,所述响应消息包括以下任一项或多项:指示信息,所述指示信息用于指示所述第四NF是否对所述终端设备发起切片认证;或者,所述指示信息用于指示所述终端设备是否已完成针对所述切片的切片认证;所述终端设备针对所述切片的切片认证结果;所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
可选的,上述通信装置可以包括第四NF。
第六方面,本申请提供一种通信装置,所述通信装置包括收发单元和处理单元,其中,所述收发单元,用于接收来自第一网络功能NF的第一网络的标识信息、切片的标识信息和终端设备的标识信息;所述处理单元,用于根据所述切片的标识信息和所述终端设备的标识信息对所述切片进行切片认证;所述收发单元,还用于向所述第一NF发送所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
在一种可能的实现方式中,所述处理单元,用于存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。或者,所述处理单元控制存储单元存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。其中,所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息包括:所述切片的切片认证结果、所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息。
在一种可能的实现方式中,所述处理单元,还用于根据所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,确定是否对所述终端设备发起针对所述切片的切片认证。
可选的,上述通信装置包括认证服务器。
第七方面,本申请提供一种通信装置,所述通信装置包括处理器,用于执行存储器中存储的程序,当该程序被执行时,使得该通信装置执行如上述第一方面或第一方面的任意可能的实现方式中由第一NF所示的方法。或者,当该程序被执行时,使得该通信装置执行如上述第三方面或第三方面的任意可能的实现方式中所示的步骤或功能。
在一种可能的实现方式中,存储器位于上述通信装置之外。
在一种可能的实现方式中,存储器位于上述通信装置之内。
在一种可能的实现方式中,通信装置还包括收发器,该收发器,用于接收信号或发送信号。
第八方面,本申请提供一种通信装置,所述通信装置包括处理器,用于执行存储器中存储的程序,当该程序被执行时,使得该通信装置执行如上述第一方面或第一方面的任意可能的实现方式中由第二NF或第三NF所示的方法。或者,当该程序被执行时,使得该通信装置执行如上述第四方面或第四方面的任意可能的实现方式中所示的步骤或功能。
在一种可能的实现方式中,存储器位于上述通信装置之外。
在一种可能的实现方式中,存储器位于上述通信装置之内。
在一种可能的实现方式中,通信装置还包括收发器,该收发器,用于接收信号或发送信号。
本申请实施例中,通信装置可以包括第二NF或第三NF。
第九方面,本申请提供一种通信装置,所述通信装置包括处理器,用于执行存储器中存储的程序,当该程序被执行时,使得该通信装置执行如上述第一方面或第一方面的任意可能的实现方式中由第四NF所示的方法。或者,当该程序被执行时,使得该通信装置执行如上述第五方面或第五方面的任意可能的实现方式中所示的步骤或功能。
在一种可能的实现方式中,存储器位于上述通信装置之外。
在一种可能的实现方式中,存储器位于上述通信装置之内。
在一种可能的实现方式中,通信装置还包括收发器,该收发器,用于接收信号或发送信号。
第十方面,本申请提供一种通信装置,所述通信装置包括处理器,用于执行存储器中存储的程序,当该程序被执行时,使得该通信装置执行如上述第二方面或第二方面的任意可能的实现方式中所示的方法。或者,当该程序被执行时,使得该通信装置执行如上述第六方面或第六方面的任意可能的实现方式中所示的步骤或功能。
在一种可能的实现方式中,存储器位于上述通信装置之外。
在一种可能的实现方式中,存储器位于上述通信装置之内。
在一种可能的实现方式中,通信装置还包括收发器,该收发器,用于接收信号或发送信号。
第十一方面,本申请提供一种通信装置,该通信装置包括处理器和接口电路,接口电路,用于接收计算机代码并传输至处理器;处理器运行计算机代码以执行如上述第一方面或第一方面的任意可能的实现方式所示的相应的方法。示例性的,处理器运行计算机代码以执行如上述第一NF所示的步骤或功能。示例性的,处理器运行计算机代码以执行如上述第二NF所示的步骤或功能。示例性的,处理器运行计算机代码以执行如上述第三NF所示的步骤或功能。示例性的,处理器运行计算机代码以执行如上述第四NF所示的步骤或功能。
第十二方面,本申请提供一种通信装置,该通信装置包括处理器和接口电路,接口电路用于接收计算机代码并传输至处理器;处理器运行计算机代码以执行如上述第二方面或第二方面的任意可能的实现方式所示的相应的方法。
第十三方面,本申请提供一种计算机可读存储介质,该计算机可读存储介质用于存储计算机程序,当其在计算机上运行时,使得上述第一方面或第一方面的任意可能的实现方式所示的方法被执行。示例性的,当其在计算机上运行时,使得上述第一方面或第一方面的任意可能的实现方式所示的方法中由第一NF所示的方法被执行。示例性的,当其在计算机上运行时,使得上述第一方面或第一方面的任意可能的实现方式所示的方法中由第二NF所示的方法被执行。示例性的,当其在计算机上运行时,使得上述第一方面或第一方面的任意可能的实现方式所示的方法中由第三NF所示的方法被执行。示例性的,当其在计算机上运行时,使得上述第一方面或第一方面的任意可能的实现方式所示的方法中由第四NF所示的方法被执行。
第十四方面,本申请提供一种计算机可读存储介质,该计算机可读存储介质用于存储计算机程序,当其在计算机上运行时,使得上述第二方面或第二方面的任意可能的实现方式所示的方法被执行。
第十五方面,本申请提供一种计算机程序产品,该计算机程序产品包括计算机程序或计算机代码,当其在计算机上运行时,使得上述第一方面或第一方面的任意可能的实现方式所示的方法被执行。示例性的,当其在计算机上运行时,使得上述第一方面或第一方面的任意可能的实现方式所示的方法中由第一NF所示的方法被执行。示例性的,当其在计算机上运行时,使得上述第一方面或第一方面的任意可能的实现方式所示的方法中由第二NF所示的方法被执行。示例性的,当其在计算机上运行时,使得上述第一方面或第一方面的任意可能的实现方式所示的方法中由第三NF所示的方法被执行。示例性的,当其在计算机上运行时,使得上述第一方面或第一方面的任意可能的实现方式所示的方法中由第四NF所示的方法被执行。
第十六方面,本申请提供一种计算机程序产品,该计算机程序产品包括计算机程序或计算机代码,当其在计算机上运行时,使得上述第二方面或第二方面的任意可能的实现方式所示的方法被执行。
第十七方面,本申请提供一种计算机程序,该计算机程序在计算机上运行时,上述第一方面或第一方面的任意可能的实现方式所示的方法被执行。示例性的,该计算机程序在计算机上运行时,上述第一方面或第一方面的任意可能的实现方式所示的方法中由第一NF所示的方法被执行。示例性的,该计算机程序在计算机上运行时,上述第一方面或第一方面的任意可能的实现方式所示的方法中由第二NF所示的方法被执行。示例性的,该计算机程序在计算机上运行时,上述第一方面或第一方面的任意可能的实现方式所示的方法中由第三NF所示的方法被执行。示例性的,该计算机程序在计算机上运行时,上述第一方面或第一方面的任意可能的实现方式所示的方法中由第四NF所示的方法被执行。
第十八方面,本申请提供一种计算机程序,该计算机程序在计算机上运行时,上述第二方面或第二方面的任意可能的实现方式所示的方法被执行。
第十九方面,本申请提供一种无线通信系统,该无线通信系统包括第一NF和认证服务器。可选的,该无线通信系统还包括第二NF。可选的,该无线通信系统还可以包括第三NF。可选的,该无线通信系统还可以包括第四NF。
附图说明
图1是本申请实施例提供的一种通信系统的架构示意图;
图2是本申请实施例提供的一种切片认证方法的流程示意图;
图3a是本申请实施例提供的一种网络架构示意图;
图3b是本申请实施例提供的一种网络架构示意图;
图4是本申请实施例提供的一种切片认证方法的流程示意图;
图5是本申请实施例提供的一种切片认证方法的流程示意图;
图6是本申请实施例提供的一种切片认证方法的流程示意图;
图7是本申请实施例提供的一种切片认证方法的流程示意图;
图8是本申请实施例提供的一种切片认证方法的流程示意图;
图9是本申请实施例提供的一种通信装置的结构示意图;
图10是本申请实施例提供的一种通信装置的结构示意图;
图11是本申请实施例提供的一种通信装置的结构示意图;
图12是本申请实施例提供的一种无线通信系统的示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地描述。
本申请的说明书、权利要求书及附图中的术语“第一”和“第二”等仅用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备等,没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元等,或可选地还包括对于这些过程、方法、产品或设备等固有的其它步骤或单元。
在本文中提及的“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员可以显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上,“至少两个(项)”是指两个或三个及三个以上,“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
下面对本申请应用的通信系统进行介绍:
本申请提供的技术方案可以应用于各种通信系统。一个通信系统中,由运营者运营的部分可称为公共陆地移动网络(public land mobile network,PLMN)(也可以称为运营商网络等)。PLMN是由政府或其所批准的经营者,为公众提供陆地移动通信业务目的而建立和经营的网络,主要是移动网络运营商(mobile network operator,MNO)为用户提供移动宽带接入服务的公共网络。本申请中所描述的PLMN,具体可为符合第三代合作伙伴项目(3rd generation partnership project,3GPP)标准要求的网络,简称3GPP网络。3GPP网络通常包括但不限于第五代移动通信(5th-generation,5G)网络(简称5G网络)、第四代移动通信(4th-generation,4G)网络(简称4G网络)等。为了方便描述,本申请实施例中将以PLMN为例进行说明。或者,本申请提供的技术方案还可以应用于长期演进(long termevolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信系统、第五代(5th generation,5G)通信系统或新无线(new radio,NR)以及未来的其他通信系统如6G等。
随着移动带宽接入服务的扩展,移动网络也会随之发展以便更好地支持多样化的商业模式,满足更加多样化的应用业务以及更多行业的需求。例如,为了给更多的行业提供更好、更完善的服务,5G网络相对于4G网络做了网络架构调整。如5G网络将4G网络中的移动管理实体(mobility management entity,MME)进行拆分,拆分为包括接入与移动性管理功能(access and mobility management function,AMF)和会话管理功能(sessionmanagement function,SMF)等多个网络功能。
图1是本申请实施例的一种网络架构示意图,它以3GPP标准化过程中定义的非漫游场景下基于服务化架构的5G网络架构为例。该网络架构可以包括三部分,分别是终端设备部分、PLMN和数据网络(data network,DN)。
终端设备部分可以包括终端设备110,该终端设备110也可以称为用户设备(userequipment,UE)。本申请中的终端设备110是一种具有无线收发功能的设备,可以经无线接入网(radioaccess network,RAN)140中的接入网设备(或者也可以称为接入设备)与一个或多个核心网(core network,CN)设备(或者也可以称为核心设备)进行通信。终端设备110也可称为接入终端、终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、用户代理或用户装置等。终端设备110可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。终端设备110可以是蜂窝电话(cellular phone)、无绳电话、会话启动协议(sessioninitiation protocol,SIP)电话、智能电话(smart phone)、手机(mobile phone)、无线本地环路(wireless localloop,WLL)站、个人数字处理(personal digital assistant,PDA)等。或者,终端设备110还可以是具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它设备、车载设备、可穿戴设备、无人机设备或物联网、车联网中的终端、5G网络以及未来网络中的任意形态的终端、中继用户设备或者未来演进的PLMN中的终端等。其中,中继用户设备例如可以是5G家庭网关(residential gateway,RG)。例如终端设备110可以是虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。本申请实施例对终端设备的类型或种类等并不限定。
PLMN可以包括:网络开放功能(network exposure function,NEF)131、网络存储功能(network function repository function,NRF)132、策略控制功能(policy controlfunction,PCF)133、统一数据管理(unified data management,UDM)134、应用功能(application function,AF)135、认证服务器功能(authentication server function,AUSF)136、接入与移动性管理功能(access and mobility management function,AMF)137、会话管理功能(session management function,SMF)138、用户面功能(user planefunction,UPF)139以及(无线)接入网((radio)access network,(R)AN)140等。上述PLMN中,除(无线)接入网140部分之外的部分可以称为核心网络(core network,CN)部分或核心网部分。
数据网络DN 120,也可以称为分组数据网络(packet data network,PDN),通常是位于PLMN之外的网络,例如第三方网络。示例性的,PLMN可以接入多个数据网络DN 120,数据网络DN 120上可部署多种业务,从而为终端设备110提供数据和/或语音等服务。例如,数据网络DN 120可以是某智能工厂的私有网络,智能工厂安装在车间的传感器可为终端设备110,数据网络DN 120中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。又例如,数据网络DN 120可以是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备110,员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。终端设备110可通过PLMN提供的接口(例如图1中的N1接口等)与PLMN建立连接,使用PLMN提供的数据和/或语音等服务。终端设备110还可通过PLMN访问数据网络DN 120,使用数据网络DN 120上部署的运营商业务,和/或第三方提供的业务。其中,上述第三方可为PLMN和终端设备110之外的服务方,可为终端设备110提供其他数据和/或语音等服务。其中,上述第三方的具体表现形式,具体可根据实际应用场景确定,在此不做限制。
示例性的,下面对PLMN中的网络功能进行简要介绍。
(R)AN140是PLMN的子网络,是PLMN中业务节点(或网络功能)与终端设备110之间的实施系统。终端设备110要接入PLMN,首先是经过(R)AN140,进而通过(R)AN140与PLMN中的业务节点连接。本申请实施例中的接入网设备,是一种为终端设备110提供无线通信功能的设备,也可以称为接入设备、(R)AN设备或网络设备等。如该接入设备包括但不限于:5G系统中的下一代基站(next generation node basestation,gNB)、LTE系统中的演进型基站(evolved node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(nodeB,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiverstation,BTS)、家庭基站(home evolved nodeB,或home node B,HNB)、基带单元(baseband unit,BBU)、传输接收点(transmitting and receiving point,TRP)、发射点(transmitting point,TP)、小基站设备(pico)、移动交换中心,或者未来网络中的网络设备等。可理解,本申请对接入网设备的具体类型不作限定。采用不同无线接入技术的系统中,具备接入网设备功能的设备的名称可能会有所不同。
可选的,在接入设备的一些部署中,接入设备可以包括集中式单元(centralizedunit,CU)和分布式单元(distributed unit,DU)等。在接入设备的另一些部署中,CU还可以划分为CU-控制面(control plane,CP)和CU-用户面(user plan,UP)等。在接入设备的又一些部署中,接入设备还可以是开放的无线接入网(openradioaccessnetwork,ORAN)架构等,本申请对于接入设备的具体部署方式不作限定。
网络开放功能NEF(也可以称为NEF网络功能或NEF网络功能实体)131是由运营商提供控制面功能。NEF网络功能131以安全的方式对第三方开放PLMN的对外接口。在SMF网络功能138需要与第三方的网络功能通信时,NEF网络功能131可作为SMF网络功能138与第三方的网络实体通信的中继。NEF网络功能131作为中继时,可作为签约用户的标识信息的翻译,以及第三方的网络功能的标识信息的翻译。比如,NEF网络功能131将签约用户的用户永久标识符(subscriber permanent identifier,SUPI)从PLMN发送到第三方时,可以将SUPI翻译成其对应的外部身份标识(identity,ID)。反之,NEF网络功能131将外部ID(第三方的网络实体ID)发送到PLMN时,可将其翻译成SUPI。
网络存储功能NRF132,可用于维护网络中所有网络功能服务的实时信息。
策略控制功能PCF133是由运营商提供的控制面功能,用于向会话管理功能SMF138提供协议数据单元(protocol data unit,PDU)会话的策略。策略可以包括计费相关策略、QoS相关策略和授权相关策略等。
统一数据管理UDM134是由运营商提供的控制面功能,负责存储PLMN中签约用户的用户永久标识符(subscriber permanent identifier,SUPI)、安全上下文(securitycontext)、签约数据等信息。上述PLMN的签约用户具体可为使用PLMN提供的业务的用户,例如使用中国电信的终端设备芯卡的用户,或者使用中国移动的终端设备芯卡的用户等。示例性的,签约用户的SUPI可为终端设备芯卡的号码等。上述安全上下文可以为存储在本地终端设备(例如手机)上的数据(cookie)或者令牌(token)等。上述签约用户的签约数据可以为该终端设备芯卡的配套业务,例如该手机芯卡的流量套餐等。
应用功能AF135,用于进行应用影响的数据路由,接入网络开放功能,与策略框架交互进行策略控制等。
认证服务器功能AUSF136是由运营商提供的控制面功能,通常用于一级认证,即终端设备110(签约用户)与PLMN之间的认证。
接入与移动性管理功能AMF137是由PLMN提供的控制面网络功能,负责终端设备110接入PLMN的接入控制和移动性管理,例如包括移动状态管理,分配用户临时身份标识,认证和授权用户等功能。
会话管理功能SMF138是由PLMN提供的控制面网络功能,负责管理终端设备110的协议数据单元(protocol data unit,PDU)会话。PDU会话是一个用于传输PDU的通道,终端设备需要通过PDU会话与DN 120互相传输PDU。PDU会话可以由SMF138负责建立、维护和删除等。SMF138包括会话管理(如会话建立、修改和释放,包含UPF 139和(R)AN140之间的隧道维护等)、UPF139的选择和控制、业务和会话连续性(service and session continuity,SSC)模式选择、漫游等会话相关的功能。
用户面功能UPF139是由运营商提供的网关,是PLMN与DN 120通信的网关。UPF139包括数据包路由和传输、包检测、业务用量上报、服务质量(quality of service,QoS)处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。
图1所示的PLMN中的网络功能还可以包括网络切片选择功能(network sliceselection function,NSSF)(图1中未示出),用于负责确定网络切片实例,选择AMF网络功能137等。图1所示的PLMN中的网络功能还可以包括统一数据存储(unified datarepository,UDR)等,本申请实施例对于PLMN中包括的其他网络功能不作限定。
图1中Nnef、Nausf、Nnrf、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4,以及N6为接口序列号。示例性的,上述接口序列号的含义可参见3GPP标准协议中定义的含义,本申请对于上述接口序列号的含义不做限制。需要说明的是,图1中仅以终端设备110为UE作出了示例性说明,图1中的各个网络功能之间的接口名称也仅仅是一个示例,在具体实现中,该系统架构的接口名称还可能为其他名称,本申请对此不作限定。
本申请中的移动性管理网络功能可以是图1所示的AMF137,也可以是未来通信系统中的具有上述接入与移动性管理功能AMF137的其他网络功能。或者,本申请中的移动性管理网络功能还可以是LTE系统中的移动管理实体(mobility management entity,MME)等。
为方便说明,本申请实施例中将接入与移动性管理功能AMF137简称为AMF,将统一数据管理UDM 134简称为UDM,将终端设备110称为UE,即本申请实施例中后文所描述的AMF均可替换为移动性管理网络功能,UDM均可替换为统一数据管理,UE均可替换为终端设备。可理解,其他未示出的网络功能同样适用该替换方法。
图1中示出的网络架构(例如5G网络架构)采用基于服务的架构和通用接口,传统网元功能基于网络功能虚拟化(network function virtualization,NFV)技术拆分成若干个自包含、自管理、可重用的网络功能服务模块。图1中示出的网络架构示意图可以理解为一种非漫游场景下基于服务的5G网络架构示意图。在该架构中,根据特定场景需求,将不同网络功能按需有序组合,可以实现网络的能力与服务的定制化,从而避免为不同业务部署专用的物理网络。网络切片技术可以使运营商能够更加灵活、快速地响应客户需求,支持网络资源的灵活分配。
以下对本申请涉及的切片和切片认证进行介绍。
切片简单理解就是将运营商的物理网络切割成多个虚拟的端到端的网络,每个虚拟网络之间(包括网络内的设备、接入网、传输网和核心网)是逻辑独立的,任何一个虚拟网络发生故障都不会影响到其它虚拟网络。为了满足多样性需求和切片间的隔离,需要业务间相对独立的管理和运维,并提供量身定做的业务功能和分析能力。不同业务类型的实例可以部署在不同的网络切片上,相同业务类型的不同实例也可部署在不同的网络切片上。切片可以由一组网络功能(network function,NF)和/或子网络等构成。比如,图1中的子网络(R)AN140、AMF137、SMF138、UPF139可以组成一个切片。可理解,图1中的每种网络功能只示意性地画出了一个,而在实际网络部署中,每种网络功能或子网络可以有多个、数十个或上百个。PLMN中可以部署很多切片,每个切片可以有不同的性能来满足不同应用、不同垂直行业的需求。运营商可以根据不同垂直行业客户的需求,“量身定做”一个切片。运营商也可以允许一些行业客户享有较大的自主权,参与切片的部分管理、控制功能。其中,切片级的认证就是由行业客户有限参与的一种网络控制功能,即对终端设备接入切片进行认证和授权,即“切片级认证”,也可称为“二级认证”、“二次认证”等,本申请简称为“切片认证”。
终端设备在被允许接入网络或切片之前,需要与网络和/或切片进行双向认证并得到该网络和/或切片的授权。一般的,网络需要对终端设备经过一次或者两次的认证与授权才能接入网络或切片。首先,PLMN要基于终端设备所使用的与PLMN签约的SUPI进行认证,这种认证被称为一级认证(primary authentication)。其次,PLMN要基于终端设备所使用的与DN的签约标识进行认证,即切片认证或二级认证等。
如以图1为例,当核心网中部署了切片,UE 110需要接入到某个切片时,UE 110可以提供请求的切片给核心网。其中,UE 110请求的切片可以包括请求的网络切片选择辅助信息集合(requested network slice selection assistance information,requestedNSSAI)。该NSSAI可以包括一个或多个单网络切片选择辅助信息(single network sliceselection assistance information,S-NSSAI),一个S-NSSAI用于标识一个网络切片类型,也可以理解为,S-NSSAI用于标识切片,或者可以理解为S-NSSAI是切片的标识信息。可理解,本申请中切片还可以称为网络切片、网络切片实例或S-NSSAI等,本申请对于该切片的名称不作限定。为方便理解,在后文的描述中,本申请对切片或S-NSSAI等不做严格区分,二者可以同样适用。
进一步的,UE 110向网络发送注册请求后,核心网网络功能(如AMF网络功能137或NSSF网络功能)根据UE 110的签约数据、UE 110请求的网络切片、漫游协议以及本地配置等信息,为UE 110选择允许接入的网络切片集合。其中,允许接入的网络切片集合可以用允许的(allowed)NSSAI来表示,允许的NSSAI中包括的S-NSSAI可以为当前PLMN允许该UE 110接入的S-NSSAI。
举例说明一级认证和二级认证,示例性的,随着垂直行业和物联网的发展,PLMN之外的数据网络DN 120(如服务于垂直行业的DN),对于接入到该DN 120的UE 110同样有认证与授权的需求。比如,某商业公司提供了游戏平台,通过PLMN为游戏玩家提供游戏服务。一方面,由于玩家使用的UE 110是通过PLMN接入游戏平台,因此PLMN需要对该UE 110的身份(SUPI)进行认证或授权等,即一级认证。游戏玩家是商业公司的客户,该商业公司也需要对游戏玩家的身份进行认证或授权。如对游戏玩家的身份进行认证或授权,这种认证可以是基于切片的认证,或者说认证是以切片为单位。该情况下,这种认证可以被称为切片认证(slice authentication),或称为基于网络切片的认证(network slice-specificauthentication and authorization,NSSAA)。
需要说明的是,切片认证的实际含义如可以是:终端设备与第三方网络(如DN或其认证服务器)之间执行的认证。切片认证结果将会决定PLMN是否授权终端设备接入该PLMN提供的切片。还应理解,本申请中应用于切片认证的方法也同样适用于基于会话的二次认证(secondary authentication)或基于切片的二次认证等场景,在此不再详述。
以下详细介绍本申请提供的切片认证方法。
图2是本申请实施例提供的一种切片认证方法的流程示意图,该方法可以应用于图1所示的网络。可理解,图2示出的是切片认证方法,对于UE与PLMN网络之间的一级认证方法,本申请实施例不作限定。图2中负责切片认证的服务器为认证、授权和计费服务器(authentication、authorization、accounting server,AAA-S),该AAA-S可以部署于PLMN网络之内;或者,该AAA-S也可以部署于PLMN网络之外。在该AAA-S部署于网络之外时,UE可以通过PLMN网络之内部署的AAA代理(AAA-proxy,AAA-P)所提供的代理服务来转接AAA-S,实现UE与AAA-S之间的认证消息交互。图2中的网络切片认证与授权功能(network slice-specific authentication and authorization function,NSSAAF)是协助完成切片认证的网络功能。在另一种实现方式中,AUSF或其他NF等可以替代NSSAAF协助完成切片认证。因此,本申请实施例对于协助完成切片认证的网络功能(如NSSAAF、AUSF或其他NF)不作限定。进一步的,在一些部署方式中,AAA-P可以与NSSAAF分开部署;在另一些部署方式中,AAA-P可以与NSSAAF(或AUSF)部署在一起。因此,本申请实施例对于AAA-P和NSSAAF(或AUSF)的部署方式不作限定。
图2所示的是AAA-S部署于PLMN网络之外,即UE通过PLMN网络内部的AAA-P提供代理服务,转接AAA-S实现切片认证,同时该AAA-P和NSSAAF(或AUSF)是分开部署的。但是对于其他部署情况,本申请实施例同样适用。
如图2所示,该切片认证方法包括:
201、UE向AMF发送注册请求消息,该注册请求消息携带切片的标识信息和UE的标识信息;相应的,该AMF接收该注册请求消息。
例如,该切片的标识信息可以包括切片的S-NSSAI。该UE的标识信息可以包括该UE的加密的签约标识(subscription concealed identifier,SUCI)或全球唯一临时UE标识(globally unique temporary UE identity,GUTI)等,本申请实施例对于切片的标识信息或该UE的标识信息不作限定。
202、AMF根据切片的标识信息和该UE关于该切片的签约信息,确定是否需要对该UE针对该切片进行切片认证。
本申请实施例中,UE关于标识为S-NSSAI的切片的签约信息可以由AMF从UDM中获取。UE关于该切片(标识为S-NSSAI)的签约信息可以用于指示网络是否需要对该UE针对该切片进行切片认证。
也就是说,AMF可以根据UE待接入的切片的标识信息、该UE关于该切片的签约信息来确定是否需要执行或发起对该UE该切片的切片认证。另外,如果该AMF记录(或存储)了UE已经完成过(如通过其他接入方式,认证成功或被拒绝)针对该切片的切片认证,则该UE不需要再一次进行针对该切片的切片认证。
如果需要进行切片认证,则执行以下流程;如果不需要,则该AMF可以向UE直接发送允许接入(或拒绝接入)该切片的消息等,本申请实施例对此不作限定。
在一种可能的实现方式中,图2所示的方法可以包括步骤203和步骤204。
203、AMF向UE发送用于切片认证的可扩展身份验证协议(extensibleauthentication protocol,EAP)ID请求(request);相应的,该UE接收该用于切片认证的EAP ID请求。
其中,EAP是由国际标准组织-国际互联网工程任务组(internet engineeringtask force,IETF)制定。该EAP ID请求可以承载于3GPP网络中的非接入层(non accessstratum,NAS)消息中,该NAS消息中还可以携带切片的标识信息如S-NSSAI,该S-NSSAI可以用于表示该EAP ID请求是针对该S-NSSAI的切片认证请求。EAPID请求和S-NSSAI也可以承载在其他类型的(非NAS)消息中,本申请对承载消息不作限定。
204、UE向AMF发送EAP ID响应(response),该EAP ID响应仍可以携带于NAS消息中,该NAS消息中还可以携带S-NSSAI。
可理解,为便于描述,以下涉及切片的标识信息时,切片的标识信息以S-NSSAI表示。UE的标识信息可以以可公开使用的签约标识(generic public subscriptionidentifier,GPSI)或SUPI表示,但是不应将其理解为对本申请实施例的限定。EAPIDresponse和S-NSSAI也可以承载在其他类型的(非NAS)消息中,本申请对承载消息不作限定。
205、AMF向AAA-S发送第一请求消息,该第一请求消息中携带EAP ID响应、S-NSSAI和GPSI或SUPI。相应的,该AAA-S接收该第一请求消息。
本申请实施例中,由于AUSF或NSSAAF与AAA-S没有部署在一起,因此AMF需要先向AUSF或NSSAAF发送该第一请求消息。同时,如果AAA-S部署于PLMN网络之外,则该AUSF或NSSAAF需要将该第一请求消息发送给AAA-P,然后该AAA-P向AAA-S发送该第一请求消息。示例性的,如AMF可以向AUSF或NSSAAF发送该第一请求消息,AUSF或NSSAAF接收该第一请求消息。该AUSF或NSSAAF向AAA-P发送第一请求消息;相应的,该AAA-P接收该第一请求消息。以及AAA-P向AAA-S发送第一请求消息;相应的,该AAA-S接收该第一请求消息。若AUSF或NSSAAF和AAA-P部署在一起,则该AMF可以向AUSF或NSSAAF发送该第一请求消息,AUSF或NSSAAF接收该第一请求消息。该AUSF或NSSAAF向AAA-S发送第一请求消息;相应的,该AAA-S接收该第一请求消息。可理解,对于该说明,下文同样适用。
可理解,上述步骤中的第一请求消息还可以为其他名称、或承载在其他协议的消息中,本申请实施例对此不作限定。以及不同NF转发第一请求消息时,经过不同NF时该第一请求消息还可以为其他名称或承载在其他协议的消息中,本申请对此不作限定。例如,在AAA-P向AAA-S发送该第一请求消息时,该第一请求消息还可能被承载在AAA协议消息中。
206、AAA-S向AMF发送第一响应消息,该第一响应消息携带EAP消息、S-NSSAI和GPSI(或SUPI)。相应的,该AMF接收该第一响应消息。
可理解,AAA-S向AAA-P发送该第一响应消息时,该第一响应消息还可以被承载在AAA协议消息中,本申请实施例对此不作限定。本申请对于该EAP消息的具体类型不作限定,例如,对于不同的EAP认证方法,该EAP消息可能有不同名称或类型等。
207、AMF向UE发送NAS消息,该NAS消息中携带EAP消息和S-NSSAI;相应的,该UE接收该NAS消息。EAP消息和S-NSSAI也可以承载在其他类型的(非NAS)消息中,本申请对承载消息不作限定。
208、UE向AMF发送NAS消息,该NAS消息携带EAP消息和S-NSSAI;相应的,该AMF接收该NAS消息。EAP消息和S-NSSAI也可以承载在其他类型的(非NAS)消息中,本申请对承载消息不作限定。
209、AMF向AAA-S发送第二请求消息,该第二请求消息携带EAP消息、S-NSSAI和GPSI(或SUPI);相应的,该AAA-S接收该第二请求消息。
可理解,图2中的步骤206至步骤209可以被多次执行,如对于不同的EAP方法,该步骤206至步骤209被执行的次数可以不相同。经过步骤206至步骤209,AAA-S和UE之间完成了EAP认证流程。因此UE执行步骤208第二请求消息到达AAA-S时,该AAA-S便可以向UE发送EAP认证结果。
可理解,本申请实施例中,该EAP认证结果也可以用于指示切片认证结果。例如,该EAP认证结果可以包括EAP认证成功的结果或EAP认证失败的结果。相应的,切片认证结果可以包括切片认证成功的结果或切片认证失败的结果。
为便于描述,本申请实施例对于EAP认证结果和切片认证结果不作区分。也就是说,本申请实施例中的EAP认证结果也可以替换为切片认证结果,同样的,切片认证结果也可以替换为EAP认证结果等。本申请实施例对于EAP认证和切片认证也不作区分。如本申请实施例中的EAP认证也可以替换为切片认证,以及切片认证也可以替换为EAP认证等。对于该说明,本申请中的其他实施例同样适用。
210、AAA-S向AMF发送第二响应消息,该第二响应消息携带EAP认证结果、S-NSSAI和GPSI(或SUPI);相应的,该AMF接收该第二响应消息。
该S-NSSAI和该GPSI(或SUPI)可以用于表示该EAP认证结果是针对该UE和该S-NSSAI的认证结果。
211、AMF向UE发送NAS消息,该NAS消息携带EAP认证结果;相应的,该UE接收该NAS消息。EAP认证结果也可以承载在其他类型的(非NAS)消息中,本申请对承载消息不作限定。
以上是本申请实施例提供的一种切片认证方法,同时,在5G通信系统中,一个UE可以通过不同类型的接入方式接入网络。示例性的,不同类型的接入方式可以包括3GPP接入(3GPP access,如通过5G新空口接入)和非3GPP接入(non-3GPP access,N3GPP)(如Wi-Fi、固定网络等)。非3GPP接入还可细分为可信的(trusted)N3GPP接入和不可信的(untrusted)N3GPP接入。在3GPP标准定义的符合Release16的5G通信系统中,当一个UE在同一个PLMN网络中通过不同接入方式接入同一个网络切片时,该UE使用的AMF是同一个。如图3a所示,该UE通过3GPP接入和非3GPP接入时,都使用了同一个AMF。图3a中的N3IWF可以为非3GPP接入的互通功能(non-3GPP inter working function)。
一般的,如果UE需要进行切片认证,则该UE只需要通过任意一种接入方式进行切片认证。认证成功后,如果该UE再通过其他接入方式接入时,UE不必再重复进行同一切片(S-NSSAI)的切片认证,即不同接入方式的切片认证结果可以共享,该切片认证结果可以保存于AMF中。
然而,在漫游场景中,UE离开其归属网络(home PLMN,HPLMN),来到拜访网络(visiting PLMN,VPLMN)时,处理UE的接入切片请求或发起切片认证的网络功能为VPLMN里的AMF,而实际上与UE进行认证的AAA-S仍位于HPLMN中;或者该UE需要通过HPLMN发起与AAA-S之间的切片认证。
进一步的,当漫游的UE通过不同接入方式与HPLMN中的AAA-S进行切片认证时,由于不同接入方式的网络有可能隶属于不同的VPLMN,从而使得发起切片认证的AMF也不同。如图3b所示,例如,UE漫游到PLMN1(3GPP接入),并尝试接入切片1(如S-NSSAI1)时,UE可以通过PLMN1中的AMF1发起对该UE针对该S-NSSAI1的切片认证,即该UE可以通过AMF1进行与AAA-S的切片认证。同时,当UE又需要以另一种接入方式接入(如Wi-Fi网络)该切片时,此时该Wi-Fi网络隶属的PLMN2(非3GPP接入)中的AMF2也会尝试发起UE与AAA-S进行切片认证。也就是说,在图3b所示的场景中,会出现属于2个不同PLMN(PLMN1,PLMN2)的AMF(AMF1,AMF2)尝试为UE发起或执行切片认证。
也就是说,图3b所示的场景中,AAA-S不区分不同PLMN发起的切片认证,默认只有一个PLMN。从图2可以看出,AAA-S接收到的消息中,如GPSI(或SUPI)、S-NSSAI等对于不同PLMN来说是一样的信息,因此该AAA-S无法分辨该AAA-S收到的切片认证请求,是PLMN2发起的切片认证请求(或重认证)还是PLMN1发起的切片认证请求(或重认证)。
示例性的,如果PLMN1、PLMN2的切片认证结果不同(如PLMN1发起的切片认证成功,而PLMN2由于链路拥塞造成了认证失败),AAA-S会混淆该切片认证结果,无法确定该UE的切片认证是成功了还是切片认证失败了(由于PLMN1和PLMN2的链路独立,发起时间独立,切片认证结果出来的先后顺序也不固定,因此也不能简单根据先后顺序来硬性规定规则确定认证成功与否)。
示例性的,如果UE从PLMN1发起的切片认证成功后,PLMN2发起的切片认证也成功了,则AAA-S可能会误以为切片认证发起者仍然是PLMN1(即以为第二次认证是PLMN1的重认证)。因此认证成功记录会被刷新,即PLMN1的切片认证的有效期可能会被更新或延长(如计数器重新开始等)。
示例性的,对于需要生成密钥的EAP认证方法来说,不区分PLMN还会造成前一次认证的密钥失效。例如PLMN1发起了切片认证成功并生成密钥,该密钥被下发给该PLMN1中的AMF1。当PLMN2也发起切片认证并成功生成密钥后,该密钥会被下发给PLMN2中的AMF2。由此AAA-S和UE也会更新密钥,即AMF2中保存的是新密钥,而AMF1保存的是旧密钥,AMF1使用旧密钥无法与UE和AAA-S交互。
鉴于此,本申请提供了一种切片认证方法,该切片认证方法不仅可以应用于漫游场景下,还可以应用于UE通过不同PLMN发起的切片认证的情况。
图4是本申请实施例提供的一种切片认证方法的流程示意图,该切片认证方法可以应用于第一NF、第二NF和认证服务器。示例性的,该第一NF可以包括VPLMN中的AMF;第二NF可以包括HPLMN中的NSSAAF或AUSF,或者,该第二NF还可以包括HPLMN中的NSSAAF和AAA-P或AUSF和AAA-P。换句话说,该第二NF可以为NSSAAF(或AUSF)和AAA-P部署在一起时的NF,该第二NF还可以为NSSAAF(或AUSF)和AAA-P分开部署时的NSSAAF或AAA-P等。认证服务器可以包括AAA-S,且该AAA-S可以部署于HPLMN之内或部署于HPLMN之外。可选的,该切片认证方法还可以应用于第三NF,该第三NF可以为具有网络存储功能的NF,如该第三NF可以包括UDM或UDR。可选的,该切片认证方法还可以应用于第四NF,该第四NF可以包括VPLMN中的AMF。但是,该第四NF和第一NF可以位于不同的VPLMN中,即该第四NF和该第一NF可以具有相同功能,但是属于不同的VPLMN。
如图4所示,该切片认证方法包括:
401、第一NF发起终端设备和认证服务器之间关于(或针对)切片(即S-NSSAI对应的切片)的切片认证。
对于第一NF如何发起终端设备与认证服务器之间进行切片认证,可参考本申请中的其他实施例,这里不再详述。示例性的,该切片认证流程可以如图2所示,或如图5至图8所示的任一方法。
402、第一NF向认证服务器发送第一网络的标识信息、切片的标识信息和终端设备的标识信息,第一NF为第一网络中的NF;相应的,该认证服务器接收该第一网络的标识信息、切片的标识信息和终端设备的标识信息。
本申请实施例中,第一NF发送的第一网络的标识信息还可以替换为第一网络中的网络功能的标识信息。示例性的,该第一网络的标识信息可以包括PLMN的标识和/或服务网络的标识。该PLMN的标识可以包括PLMN的ID,该服务网络的标识可以包括服务网络(serving network)的ID(SN-ID)、服务网络的名称(serving network name,SNN),或网络识别符(network identifier,NID)等。该第一网络中的网络功能的标识信息可以包括该第一NF的标识。该第一NF的标识可以包括AMF的ID、AMF的名称或AMF的全球唯一标识符(globally unique AMF identifier,GUAMI)等。或者,上述第一NF还可以既向认证服务器发送第一网络的标识信息,又可以发送第一网络中的NF的标识信息。
为方便描述,本申请对于“第一网络的标识信息”和“第一网络中的NF的标识信息”不做区分,将他们统称为“第一网络的标识信息”。
示例性的,切片的标识信息可以包括切片的S-NSSAI或切片实例ID等。UE的标识信息可以包括该UE的GPSI或SUPI)等,本申请实施例对于切片的标识信息或该UE的标识信息不作限定。
可选的,第一NF可以通过第二NF向认证服务器发送第一网络的标识信息、切片的标识信息和终端设备的标识信息。
可理解,该第一网络的标识信息、切片的标识信息和终端设备的标识信息可以承载于请求消息中,如本申请其他实施例中的第三请求消息或第四请求消息等中。或者,该第一网络的标识信息、切片的标识信息和终端设备的标识信息也可以承载于其他协议的消息中等,本申请实施例对此不作限定。
403、认证服务器向第一NF发送针对该切片的切片认证结果、切片的标识信息和终端设备的标识信息。
可选的,第一NF还可以接收认证服务器通过第二NF发送的切片认证结果、切片的标识信息和终端设备的标识信息。
本申请实施例中,在认证服务器对切片进行切片认证的过程中,通过携带第一网络的标识信息,一方面,认证服务器可以对不同PLMN发起的针对同一个S-NSSAI的切片认证进行区分;另一方面,避免了认证服务器混淆不同PLMN发起的针对同一个S-NSSAI的切片认证。同时,通过区分不同PLMN发起的针对同一个S-NSSAI的切片认证,该认证服务器还可以对不同PLMN(或AMF)生成的密钥进行区分,避免了该认证服务器错误更新密钥的情况。
在一种可能的实现方式中,图4所示的方法还可以包括步骤404。
404、第二NF存储终端设备的由第一网络发起的针对切片的认证状态信息。
其中,该终端设备的由第一网络发起的针对切片的认证状态信息包括该切片的切片认证结果、该第一网络的标识信息、该切片的标识信息和该终端设备的标识信息。换句话说,该第二NF可以存储切片的切片认证结果、第一网络的标识信息、切片的标识信息和终端设备的标识信息。可理解,对于该终端设备的由第一网络发起的针对切片的认证状态信息的说明,本申请实施例中的其他地方同样适用。
本申请实施例中,第二NF通过存储终端设备的由第一网络发起的针对切片的认证状态信息,可以为后续切片认证提供有益信息。对于该方法,可参考步骤407和步骤408;或者,也可以参考图6所示的相关方法;或者也可以参考图5、图7和图8所示的方法等,这里先不详述。
在一种可能的实现方式中,图4所示的方法还可以包括步骤405和步骤406。
405、第二NF向第三NF发送终端设备的由第一网络发起的针对切片的认证状态信息;相应的,该第三NF接收该终端设备的由第一网络发起的针对切片的认证状态信息。
406、第三NF存储终端设备的由第一网络发起的针对切片的认证状态信息。
可理解,若第二NF与第三NF之间没有接口,则也可以通过第一NF向第三NF发送该终端设备的由第一网络发起的针对切片的认证状态信息。
本申请实施例中,第三NF通过存储终端设备的由第一网络发起的针对切片的认证状态信息,可以为后续切片认证提供有益信息。对于该方法,可参考步骤407和步骤408;或者,也可以参考图8所示的相关方法,这里先不详述。
407、第四NF向第二NF或第三NF发送请求消息,请求消息用于请求终端设备的针对切片的认证状态信息,第四NF为第二网络中的NF;相应的,该第二NF或第三NF接收该请求消息。
408、第二NF或第三NF向第一NF发送响应消息;相应的,该第一NF接收该第一响应消息。
可理解,如果上述终端设备的由第一网络发起的针对切片的认证状态信息存储于第二NF,当该第四NF向第二NF发送请求消息时,就可以从响应消息中获取到相关该第一网络发起的切片认证的指示信息等。该请求消息如可以包括终端设备的标识信息、切片的标识信息和第二网络的标识信息等。对于上述各个标识信息可参考步骤401的介绍,这里不再详述。示例性的,请求消息可以为下文所示的第六请求消息等。
如果上述终端设备的由第一网络发起的针对切片的认证状态信息存储于第三NF,该第四NF便可以向第三NF发送请求消息。示例性的,该请求消息可以为图8所示的第五请求消息等。
可选的,响应消息包括以下任一项或多项:
指示信息,指示信息用于指示第四NF是否需要对终端设备发起针对该切片的切片认证;或者,指示信息用于指示终端设备是否已完成针对该切片的切片认证;
终端设备针对该切片的切片认证结果;
终端设备的由第一网络发起的针对该切片的认证状态信息。
在一些实现方式中,指示信息可以用于指示是否需要对终端设备发起切片认证。例如,该指示信息可以用于指示第四NF继续进行或发起切片认证。在另一些实现方式中,上述响应消息中可以携带终端设备的由第一网络(和/或其他网络)发起的针对该切片的认证状态信息。例如,该响应消息中可以携带S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID)(如第一网络的ID)和切片认证结果。又例如,该响应消息还可携带该S-NSSAI的切片认证结果是失败的原因等信息。可选的,上述响应消息中可以携带第二NF或第三NF中最近一次(或最新)存储的UE的由第一网络发起的针对S-NSSAI的切片认证结果(如携带S-NSSAI、PLMN-ID(或AMF-ID)、GPSI(或SUPI)和切片认证结果);或者,也可以携带第二NF或第三NF中存储的关于该终端设备的由所有PLMN网络发起的针对S-NSSAI的认证状态信息。
对于上述请求消息和/或响应消息的具体描述,可参考下文,这里先不详述。
在一种可能的实现方式中,图4所示的方法还可以包括步骤409。
409、认证服务器存储终端设备的由第一网络发起的针对切片的认证状态信息。
对于认证服务器存储终端设备的由第一网络发起的针对切片的认证状态信息的具体描述可参考图5至图8所示的方法。示例性的,可以参考图5所示的步骤515,图6所示的步骤615等。
可选的,认证服务器还可以根据终端设备的由第一网络发起的针对切片的认证状态信息,确定是否对终端设备发起针对切片的切片认证。可选的,第四NF向认证服务器发送请求消息时,该认证服务器可以根据终端设备的由第一网络发起的针对切片的认证状态信息,确定是否通过第二网络(即第四NF所在的网络)对终端设备发起针对切片的切片认证。该请求消息携带终端设备的标识信息、切片的标识信息和第二网络的标识信息。
换句话说,当上述终端设备的由第一网络发起的针对切片的上述认证状态信息有可能存储于认证服务器中时,该第四NF还可以向认证服务器发送请求消息。示例性的,该请求消息的具体描述可参考图6所示的方法,这里先不详述。
可理解,对于图4所示的具体方法,可参考下文示出的各个实施例。
为更形象理解图4所示的方法,本申请还提供了一种切片认证方法,如图5至图8所示。
可理解,以下示出的各个实施例中,是以AAA-P和NSSAAF(或AUSF)部署在一起示出的,但是本申请不限于此。对于AAA-S部署于PLMN网络之内还是之外,本申请也不限定。
图5是本申请实施例提供的一种切片认证方法的流程示意图,如图5所示,该方法包括:
501、UE向AMF发送注册请求消息,该注册请求消息携带切片的标识信息和UE的标识信息;相应的,该AMF接收该注册请求消息。
502、AMF根据切片的标识信息和该切片的签约信息,确定对该切片进行切片认证。
以下将以该切片需要进行切片认证来说明,但是对于其他情况(可参考图2的介绍),本申请同样适用。
503、AMF向UE发送用于切片认证的EAP ID请求;相应的,该UE接收该用于切片认证的EAP ID请求。
504、UE向AMF发送EAP ID响应,该EAP ID响应仍可以携带于NAS消息中,该NAS消息中还可以携带S-NSSAI。
可理解,对于步骤501至步骤504的具体描述,可参考图2中关于步骤201至步骤204的介绍,这里不再详述。
505、AMF向NSSAAF(或AUSF)发送第三请求消息,该第三请求消息携带EAP ID响应、切片的标识信息、UE的标识信息和网络的标识信息或网络功能的标识信息;相应的,该NSSAAF接收该第三请求消息。
本申请实施例中,切片的标识信息可以参考上文描述,如该切片的标识信息可以包括S-NSSAI,该UE的标识信息可以包括GPSI或SUPI等。该网络的标识信息可以包括该PLMN的ID(称为PLMN-ID)、服务网络(servingnetwork)的ID(SN-ID)、服务网络的名称(servingnetworkname,SNN),或网络识别符(networkidentifier,NID)等。该网络功能的标识信息可以包括AMF的ID(称为AMF-ID)、AMF的名称(AMFname),或AMF的全球唯一标识符(globally unique AMF identifier,GUAMI)等。在本申请中,网络的标识信息仅以PLMN-ID为例,网络功能的标识信息仅以AMF-ID为例进行说明,但是不应理解为对本申请实施例的限定。
为方便描述,本申请对于“网络标识信息”(如PLMN-ID)和“网络功能的标识信息”(如AMF-ID)不做区分,将他们统称为“网络的标识信息”。
示例性的,该PLMN-ID可以理解为图3b中的PLMN1的ID,该AMF-ID可以理解为图3b中的AMF1的ID。
可理解,在使用AMF-ID作为网络的标识信息时,可能会引入额外的操作等。比如,一个PLMN中可以有许多AMF,为UE提供服务的AMF有可能会变动(PLMN不改变)。这样,每次AMF的变动,需要通知所有相关NF或网元(如AAA-S,NSSAAF/AUSF等),以保持同步。
可选的,上述第三请求消息中还可以不携带网络的标识信息。该情况下,图5所示的方法还可以包括步骤506。
506、NSSAAF(或AUSF)根据接收到的第三请求消息,确定网络的标识信息(如PLMN-ID或AMF-ID)。
一般的,从AMF发出去的消息,为了保证该消息的真实性,该消息中会包括用于验证该AMF的令牌(token),该令牌可以用于表示该消息的来源,即该令牌可以表示发送该消息的AMF的ID,并进一步获得PLMN的ID。也就是说,NSSAAF(或AUSF)接收到第三请求消息后,可以根据该第三请求消息中包括的令牌确定网络的标识信息。
可理解,关于步骤505和步骤506的说明,以下各个实施例中同样适用。
507、NSSAAF(或AUSF)向AAA-S发送第三请求消息,该第三请求消息携带EAP ID响应、S-NSSAI、GPSI(或SUPI)和PLMN-ID(或AMF-ID);相应的,该AAA-S接收该第三请求消息。
508、AAA-S向NSSAAF(或AUSF)发送第三响应消息,该第三响应消息携带EAP消息、S-NSSAI、GPSI(或SUPI)和PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第三响应消息。
509、NSSAAF(或AUSF)向AMF发送第三响应消息,该第三响应消息携带EAP消息、S-NSSAI、GPSI(或SUPI);相应的,该AMF接收该第三响应消息。
510、AMF向UE发送NAS消息,该NAS消息携带EAP消息和S-NSSAI;相应的,该UE接收该NAS消息。
511、UE向AMF发送NAS消息,该NAS消息携带EAP消息和S-NSSAI;相应的,该AMF接收该NAS消息。
512、AMF向NSSAAF(或AUSF)发送第四请求消息,该第四请求消息携带EAP消息、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第四请求消息。
可选的,上述第四请求消息中还可以不携带PLMN-ID(或AMF-ID)。该情况下,图5所示的方法还可以包括步骤513。
513、NSSAAF(或AUSF)根据接收到的第四请求消息,确定PLMN-ID(或AMF-ID)。
可理解,关于步骤512和步骤513的具体描述还可以参照步骤505和步骤506的介绍,以及对于该步骤512和步骤513的说明,以下各个实施例中同样适用。
514、NSSAAF(或AUSF)向AAA-S发送第四请求消息,该第四请求消息携带EAP消息、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第四请求消息。
可理解,图5中的步骤508至步骤514还可以被多次执行,对于该实现方式,可参考图2的介绍,这里不再详述。
515、AAA-S存储EAP认证结果、EAP-ID、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI)。
本申请实施例中,该AAA-S存储的是该UE(GPSI/SUPI和EAP-ID)通过该PLMN(或该AMF)发起的关于该S-NSSAI的切片认证结果。AAA-S通过存储该S-NSSAI的认证状态信息,可使得当后续其他PLMN(或AMF)发起针对该S-NSSAI的切片认证时,AAA-S能够确定出针对该S-NSSAI的切片认证是通过哪一个PLMN(或AMF)发起的,是该PLMN(或AMF)进行过切片认证后再度发起的切片认证,还是其他PLMN(或AMF)第一次发起的切片认证。AAA-S能够根据该AAA-S存储的针对S-NSSAI的认证状态信息,获知该PLMN(或AMF)发起的切片认证是该PLMN(或AMF)针对S-NSSAI进行的是第一次切片认证还是再一次切片认证等。
示例性的,上述AMF(图5所示的AMF)可以理解为图3b中的AMF1,而上述其他AMF可以理解为图3b中的AMF2。或者,该AMF也可以理解为图3b中的AMF2,而其他AMF可以理解为图3b中的AMF1。示例性的,上述该PLMN可以理解为图3b中的PLMN1,而其他PLMN可以理解为图3b中的PLMN2等。为便于描述,下文将以该AMF理解为图3b中的AMF1,其他AMF理解为图3b中的AMF2为例进行说明。以及将该PLMN理解为图3b中的PLMN1,其他PLMN可理解为图3b中的PLMN2。可理解,以上示出的PLMN1和PLMN2均属于VPLMN。
换句话说,AAA-S中通过存储切片的认证状态信息,使得该AAA-S能够分别其接收到的切片认证请求(如第三请求消息或第四请求消息等)是PLMN1发起的认证还是PLMN2发起的认证。同时,避免了该AAA-S错误地刷新其他PLMN的切片认证的有效期,以及避免了不区分PLMN,导致密钥失效的情况。
可理解,本申请涉及的认证状态信息也可以称为认证相关信息等,本申请对其名称不作限定。该切片认证状态信息可以包括切片认证结果、EAP-ID、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI)的对应关系(或也可以称为关联关系等)。也就是说,认证状态信息可以包括终端设备的由第一网络发起的针对切片的认证状态信息和/或切片在第二网络中的认证状态信息等。
516、AAA-S向NSSAAF(或AUSF)发送第四响应消息,该第四响应消息携带EAP认证结果、GPSI(或SUPI)、S-NSSAI和PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第四响应消息。
517、NSSAAF(或AUSF)向AMF发送第四响应消息,该第四响应消息携带EAP认证结果、GPSI(或SUPI)和S-NSSAI;相应的,该AMF接收该第四响应消息。
518、AMF向UE发送NAS消息,该NAS消息携带EAP认证结果;相应的,该UE接收该NAS消息。
可选的,AMF还可以向UE发送注册更新消息(或配置更新消息),该注册更新消息携带S-NSSAI等。可理解,本申请实施例对于该注册请求消息的响应消息不作限定,对于该注册请求消息的响应消息可以参考相关协议或标准等。
可选的,图5所示的方法中,发送给AAA-S的消息中可以有一条消息携带PLMN-ID或AMF-ID等(如步骤514中的第四请求消息),而其他的消息(如步骤507中的第三请求消息)中可以不携带该PLMN-ID或AMF-ID。这是因为,发送给该AAA-S的消息(不论是EAP消息还是AAA协议消息)中均会携带同一个会话标识(session ID),因此,AAA-S可以根据如步骤514中的第四请求消息携带的会话标识关联到步骤507中的第三请求消息,由此可获知该第三请求消息中的PLMN-ID或AMF-ID。或者,第三请求消息中携带PLMN-ID或AMF-ID,而第四请求消息中不携带PLMN-ID或AMF-ID。
可选的,图5所示的方法中,AAA-S发送给NSSAAF(或AUSF)的消息(如步骤508中的第三响应消息和步骤516的第四响应消息),也可以不携带PLMN-ID(或AMF-ID)。即HPLMN中的网络功能(如NSSAAF或AUSF、UDM等)可以不存储切片的认证状态信息。以及当HPLMN中的网络功能(如NSSAAF或AUSF、UDM等)需要存储切片的认证状态信息时,上述AAA-S发送给NSSAAF(或AUSF)的消息中便可以携带PLMN-ID(或AMF-ID)。
可理解,关于第三请求消息和/或第四请求消息未详尽的描述等,可参考图2中的第一请求消息和/或第二请求消息的介绍,这里不再详述。
本申请实施例中,第三请求消息和/或第四请求消息中通过携带网络的标识信息,一方面,AAA-S可以对不同PLMN发起的针对同一个S-NSSAI的切片认证进行区分;另一方面,避免了AAA-S混淆不同PLMN发起的针对同一个S-NSSAI的切片认证。同时,通过区分不同PLMN发起的针对同一个S-NSSAI的切片认证,AAA-S可以对不同PLMN(或AMF)使用的密钥进行区分,避免了某些AMF无法使用密钥的情况。
进一步的,AAA-S中通过存储同一个S-NSSAI通过不同网络进行的切片认证的认证状态信息,该AAA-S可以为后续切片认证提供有益信息。对于该方式的具体步骤,参考图6所示的方法。如图6所示,本申请还提供了一种切片认证方法的流程示意图。可理解,在一些实现方式中,图5和图6所示的方法可以结合;在另一些实现方式中,图5和图6还可以分别被单独执行等,本申请对此不作限定。如图6所示,该切片认证方法包括:
601、UE向AMF发送注册请求消息,该注册请求消息携带切片的标识信息和UE的标识信息;相应的,该AMF接收该注册请求消息。
602、AMF根据切片的标识信息和UE针对该切片的签约信息,确定对该切片进行切片认证。另外,如果该AMF存储了UE已经成功完成过(如通过其他接入方式)针对该切片的切片认证,则该UE不需要再一次进行针对该切片的切片认证。
603、AMF向UE发送用于切片认证的EAP ID请求;相应的,该UE接收该用于切片认证的EAP ID请求。
604、UE向AMF发送EAP ID响应,该EAP ID响应仍可以携带于NAS消息中,该NAS消息中还可以携带S-NSSAI。
605、AMF向NSSAAF(或AUSF)发送第七请求消息,该第七请求消息携带EAP ID响应、切片的标识信息、UE的标识信息和网络的标识信息;相应的,该NSSAAF接收该第七请求消息。
可选的,上述第七请求消息中还可以不携带网络的标识信息。该情况下,图6所示的方法还可以包括步骤606。
606、NSSAAF(或AUSF)根据接收到的第七请求消息,确定网络的标识信息(如PLMN-ID或AMF-ID)。NSSAAF(或AUSF)确定网络标识信息的方法可以参照步骤506的描述,这里不再赘述。
607、NSSAAF(或AUSF)向AAA-S发送第七请求消息,该第七请求消息携带EAP ID响应、S-NSSAI、GPSI(或SUPI)和PLMN-ID(或AMF-ID);相应的,该AAA-S接收该第七请求消息。
631、AAA-S确定是否继续进行切片认证;如果AAA-S确定继续进行切片认证,则图6所示的方法还可以包括步骤608至步骤618;如果AAA-S确定不继续进行切片认证,则图6所示的方法还可以包括步骤632至步骤634。
在一些实现方式中,若图5所示的VPLMN(或AMF)和图6所示的VPLMN(或AMF)不是同一个VPLMN(或AMF)。示例性的,图5所示的VPLMN(或AMF)为图3b中的PLMN1(或AMF1),图6所示的VPLMN(或AMF)为图3b中的PLMN2(或AMF2)。AAA-S根据图5所示的步骤515存储UE通过AMF1(或PLMN1)发起的对S-NSSAI的认证状态信息(即AAA-S存储该S-NSSAI的认证状态信息)。该情况下,在AMF2发起对该S-NSSAI的切片认证时,该AAA-S通过接收第七请求消息,可以获知是UE通过PLMN2或AMF2请求(或发起)的针对该S-NSSAI的切片认证,由此该AAA-S可以根据其存储的EAP认证结果(例如认证成功)、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI),以及其策略(或称为本地策略)确定该AMF2是否需要继续对该S-NSSAI进行切片认证。一种实现方式,AAA-S允许不同PLMN共享切片认证结果,则AAA-S可以确定不继续认证流程(即不进行切片认证),执行步骤632至步骤634。另一种实现方式,AAA-S不允许PLMN2与其他PLMN共享切片认证结果,则AAA-S可以确定PLMN2发起的切片认证流程需要继续执行(即进行切片认证),即执行步骤608至步骤618。
以上示出的两种实现方式,是结合图5和图6所示的方法示出的。换句话说,AAA-S可以根据存储的同一UE(GPSI、EAP ID)的切片(S-NSSAI)认证结果,以及AAA-S的策略,判断是否还要继续切片认证。例如,该UE已经通过其他PLMN成功完成认证,AAA-S可以免去再认证,直接认可该PLMN发起的认证请求,并记录。然而,当图5和图6所示的方法被单独执行时,即AAA-S中还未存储UE通过AMF发起对S-NSSAI的切片认证结果时,该AAA-S也可以确定该AMF可以继续执行切片认证。
632、AAA-S向NSSAAF(或AUSF)发送第七响应消息,该第七响应消息携带EAP认证结果、S-NSSAI和GPSI(或SUPI);相应的,该NSSAAF(或AUSF)接收该第七响应消息。
633、NSSAAF(或AUSF)向AMF发送第七响应消息,该第七响应消息携带EAP认证结果、S-NSSAI和GPSI(或SUPI);相应的,该AMF接收该第七响应消息。
634、AMF向UE发送NAS消息,该NAS消息携带EAP认证结果;相应的,该UE接收该NAS消息。
可理解,对于步骤632至步骤634的具体描述,可参考步骤616至步骤618,这里不再详述。
608、AAA-S向NSSAAF(或AUSF)发送第七响应消息,该第七响应消息携带EAP消息、S-NSSAI、GPSI(或SUPI)和PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第七响应消息。
609、NSSAAF(或AUSF)向AMF发送第七响应消息,该第七响应消息携带EAP消息、S-NSSAI和GPSI(或SUPI);相应的,该AMF接收该第七响应消息。
610、AMF向UE发送NAS消息,该NAS消息携带EAP消息和S-NSSAI;相应的,该UE接收该NAS消息。
611、UE向AMF发送NAS消息,该NAS消息携带EAP消息和S-NSSAI;相应的,该AMF接收该NAS消息。
612、AMF向NSSAAF(或AUSF)发送第八请求消息,该第八请求消息携带EAP消息、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第八请求消息。
可选的,上述第八请求消息中还可以不携带网络的标识信息PLMN-ID(或AMF-ID)。该情况下,图6所示的方法还可以包括步骤613。
613、NSSAAF(或AUSF)根据接收到的第八请求消息,确定PLMN-ID(或AMF-ID)。
614、NSSAAF(或AUSF)向AAA-S发送第八请求消息,该第八请求消息携带EAP消息、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第八请求消息。
615、AAA-S存储EAP认证结果、EAP-ID、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI)。
616、AAA-S向NSSAAF(或AUSF)发送第八响应消息,该第八响应消息携带EAP认证结果、GPSI(或SUPI)、S-NSSAI和PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第八响应消息。
617、NSSAAF(或AUSF)向AMF发送第八响应消息,该第八响应消息携带EAP认证结果、GPSI(或SUPI)和S-NSSAI;相应的,该AMF接收该第八响应消息。
618、AMF向UE发送NAS消息,该NAS消息携带EAP认证结果;相应的,该UE接收该NAS消息。
可理解,本申请实施例中步骤601至步骤618可以参考图5所示的方法,这里不再详述。示例性的,第七请求消息可以参考第三请求消息,第七响应消息可以参考第三响应消息,第八请求消息可以参考第四请求消息,第八响应消息可以参考第四响应消息等。
图5和图6中示出的是AAA-S存储EAP认证结果、EAP-ID、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI)。
在一些实现方式中,图5所示的方法中,第三请求消息、第三响应消息、第四请求消息或第四响应消息中的任一项或多项还可以不携带网络的标识信息(如PLMN-ID或AMF-ID)。该情况下,NSSAAF(或AUSF)可以通过步骤506和/或步骤513获得该网络的标识信息。同时,在步骤506和/或步骤513,NSSAAF(或AUSF)可以从第三请求消息或第四请求消息中的EAP消息或AAA协议消息中,提取其中的会话(session)ID,并存储与该会话ID相对应的UE的身份信息GPSI、S-NSSAI和网络的标识信息(如AMF-ID)。
进一步,在步骤516,NSSAAF(或AUSF)根据从接收到的消息中查找具有相同会话ID的消息,该消息中所包含的EAP认证结果,就是该UE(GPSI/EAP-ID)、从该PLMN/AMF发起的、针对该S-NSSAI的切片认证结果。即NSSAAF(或AUSF)根据该会话ID来关联步骤516的第四响应消息中的认证结果,从而该NSSAAF(或AUSF)中可以存储EAP认证结果、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI)。
可选地,AMF在执行步骤502之前,该AMF可以向NSSAAF(或AUSF)发送第六请求消息,该第六请求消息可以用于请求UE针对该S-NSSAI的切片认证结果等。对于该第六请求消息可以参考图8所示的第五请求消息,这里不详述。同时,该NSSAAF(或AUSF)还可以向该AMF发送第六响应消息,该第六响应消息可以参考图8所示的第五响应消息,这里也不详述。
进一步的,NSSAAF(或AUSF)还可以向UDM发送该EAP认证结果、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI),如图7中的步骤531至步骤533。
在另一些实现方式中,本申请还提供了一种切片认证方法,该方法中,EAP认证结果、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI)可以存储于UDM中。如以图5所示的方法为例,本申请实施例提供的切片认证方法如图7所示,图7中的步骤501至步骤518的具体描述,可参考图5,这里不再详述。
可理解,图7中AAA-S可以存储EAP认证结果、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI);或者,该AAA-S也可以不存储EAP认证结果、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI),本申请实施例对此不作限定。
如图7所示,步骤516之后,图7所示的方法还包括:
531、NSSAAF(或AUSF)存储切片认证结果、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID)。
换句话说,该NSSAAF(或AUSF)可以存储UE(GPSI或SUPI)通过该AMF(AMF-ID)发起的关于该切片(S-NSSAI)的认证结果。或者,该NSSAAF(或AUSF)可以存储该UE的标识信息(如GPSI或SUPI)、网络的标识信息(如AMF-ID)和该切片(如S-NSSAI)的认证结果(如EAP认证结果)的关联关系。关于存储关联关系的说明,本申请的其他实施例同样适用。
可理解,该NSSAAF(或AUSF)可以存储以上信息;或者,也可以不存储以上信息,本申请实施例对此不作限定。
532、NSSAAF(或AUSF)向UDM发送切片认证结果、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID)。
533、UDM存储切片认证结果、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID)。
可理解,本申请实施例对于步骤517和步骤531的先后顺序不作限定。
本申请实施例中,UDM通过存储以上信息,可协助AAA-S发起重认证或吊销操作等。当AAA-S发起重认证或吊销操作的请求时,NSSAAF(或AUSF)或UDM可以索引到所有的相关AMF,将相应的重认证/吊销操作的EAP请求消息转发送给AMF。
举例说明重认证和吊销流程,但是不应理解为对本申请实施例的限定。
示例性的,AAA-S发起的重认证的流程如下所示:
1)、AAA-S向NSSAAF或AUSF发送重认证请求消息,该重认证请求消息中携带S-NSSAI和GPSI(或SUPI)。可选的,该重认证请求消息中还可以携带PLMN-ID(或AMF-ID),用来指示该重认证是针对哪个PLMN发起的原切片认证的重认证。
2)、NSSAAF确定相应的AMF(如可以为上述图7所示的AMF),该AMF用于处理该UE针对该S-NSSAI的重认证。例如,NSSAAF可以向UDM发送请求消息,请求UDM确定所需AMF。该请求消息携带UE的GPSI(或SUPI)。可选的,重认证请求消息中还可以携带NSSAAF存储的或者从AAA-S接收到的PLMN-ID。UDM根据存储的该UE针对该S-NSSAI的切片认证对应的AMF-ID和接收到的PLMN-ID,确定相应的PLMN和AMF。可选的,如果确定的AMF-ID无法服务该UE,UDM可以用其他AMF来替换,如同一PLMN里同一AMF组(AMF set)里的其他AMF或PLMN里默认的AMF等来处理该UE的重认证。
3)、NSSAAF向所确定的AMF发送重认证请求消息,该重认证请求消息携带UE的GPSI(或SUPI)和该S-NSSAI。
4)、AMF接收到重认证请求消息后发起UE和AAA-S之间的重认证。
示例性的,AAA-S发起的吊销流程如下所示:
1)、AAA-S向NSSAAF或AUSF发起对UE的吊销请求消息,该吊销请求消息中携带S-NSSAI和GPSI(或SUPI)。可选的,该吊销请求消息中还可以携带PLMN-ID。
2)、NSSAAF确定相应的AMF(如可以为上述图7所示的AMF),该AMF用于处理该UE针对该S-NSSAI的吊销。例如,NSSAAF可以向UDM发送请求消息,请求UDM确定所需AMF。该请求消息携带UE的GPSI(或SUPI)。可选的,如果只是吊销某个PLMN发起的切片认证结果,该请求消息中还可以携带NSSAAF存储的或从AAA-S接收到的PLMN-ID。UDM根据存储的该UE通过该PLMN发起的针对该S-NSSAI的切片认证对应的AMF-ID,确定相应的AMF。可选的,如果确定的AMF-ID无法服务该UE,UDM可以替换同一AMF组(AMF set)里的其他AMF或同一PLMN里的默认AMF等来处理该UE的吊销流程。
3)、NSSAAF向所确定的AMF发送吊销请求消息,该吊销请求消息携带UE的GPSI和该S-NSSAI。
4)、AMF接收到该吊销请求消息后向UE发起针对该S-NSSAI的吊销流程。
可理解,以上仅为示例,不应将其理解为对本申请实施例的限定。
需要进一步说明的是,在步骤532中,NSSAAF(或AUSF)获取了切片认证结果等信息并转发给了UDM。如果NSSAAF(或AUSF)与UDM之间没有接口,则可以通过AMF向UDM发送该切片认证结果等信息。例如,在步骤517中AMF接收到第四响应消息后,该AMF可以直接通过AMF与UDM的接口,向UDM发送切片认证结果等信息。可理解,对于UDM与NSSAAF(或AUSF)之间没有接口时的说明,本申请其他实施例同样适用。
UDM通过存储EAP认证结果、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID)可为后续其他AMF发起切片认证提供有益信息,参考图8。
801、UE向AMF发送注册请求消息,该注册请求消息携带切片的标识信息和UE的标识信息;相应的,该AMF接收该注册请求消息。
根据图7所示的方法,UDM中可以存储切片的认证状态信息,因此,图8所示的方法还包括步骤841至步骤843。
841、AMF向UDM发送第五请求消息,该第五请求消息携带S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID);相应的,该UDM接收该第五请求消息。
其中,第五请求消息可以用于请求获取该UE通过其他PLMN(或AMF)发起的关于S-NSSAI的切片认证结果。
可选的,该第五请求消息中也可以不携带该AMF-ID,而由UDM根据该第五请求消息中的令牌来确定或获取该AMF的AMF-ID。
一般的,AMF向UDM发送与切片相关的请求消息时,该AMF仅限于获取UE关于切片的签约信息,即UDM中并不存储UE通过哪个AMF发起了针对该S-NSSAI的切片认证。但是本申请实施例中UDM可以存储UE关于切片的认证状态信息,因此AMF可以向UDM请求获取UE的关于该切片的认证状态信息。同时,UDM中可以存储UE的切片认证结果、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID)等,且每次切片认证完成后,上述信息均可以被更新。
可理解,AMF也可以在第五请求消息中请求关于多个S-NSSAI的切片认证结果等,本申请实施例对此不作限定。
842、UDM根据存储的UE的信息,包括如UE的GPSI(或SUPI)、UE签约的切片的S-NSSAI、UE针对该S-NSSAI的切片认证结果、该切片认证结果对应的发起网络的PLMN-ID(或AMF-ID),确定是否针对该S-NSSAI进行切片认证。即图8中示出的UDM可以根据其存储的S-NSSAI、该S-NSSAI的切片认证结果、GPSI(或SUPI)、PLMN-ID(或AMF-ID)确定是否针对该S-NSSAI进行切片认证。
换句话说,UDM可以根据UE(通过其他PLMN,其他AMF发起的)关于该S-NSSAI的切片认证结果来确定该UE需要通过当前AMF(即上述第五请求消息中的AMF-ID)发起切片认证。或者,该UDM可以根据存储的该UE关于该S-NSSAI的切片认证结果确定该UE不需要通过当前AMF(即上述第五请求消息中的AMF-ID)发起切片认证。
可选的,步骤842所示的方法还可以只是查询、获取该UE针对该切片S-NSSAI的认证状态,而不必确定当前AMF(即上述第五请求消息中的AMF-ID)是否需要对该S-NSSAI进行切片认证。确定是否需要进行切片认证,由当前AMF根据收到响应(步骤843)之后自行判断。具体判断方法也可参照本实施例有关步骤842中UDM判断的方法。
在一些实现方式中,若图7所示的AMF和图8所示的AMF不是同一个AMF。示例性的,图7所示的AMF为图3b中的AMF1,图8所示的AMF为图3b中的AMF2。即UDM中已经存储了UE通过AMF1发起的针对S-NSSAI的认证状态信息。该情况下,由于步骤841由AMF2发起切片认证,因此该UDM可以根据其策略(或本地策略等)确定对该S-NSSAI进行切片认证。或者,由于AMF2发起的对S-NSSAI的切片认证已通过AMF1执行,因此该UDM还可以确定不需对该S-NSSAI进行切片认证(即相当于直接允许或拒绝UE接入切片的请求)。
示例性的,例如,UE通过AMF1已经完成S-NSSAI的切片认证,并将该S-NSSAI的切片认证结果(如通过AMF1或PLMN1完成的切片认证)存储于UDM中。当AMF2请求该S-NSSAI的切片认证结果时,UDM可以根据该UE已经成功通过AMF1/PLMN1完成了该S-NSSAI的切片认证,确定该UE无需再次认证。
又例如,UE通过AMF1已经完成S-NSSAI的切片认证,同时UDM中存储了该S-NSSAI的切片认证结果为认证不成功(被拒绝接入)。当AMF2请求该S-NSSAI的切片认证状态时,UDM可以根据该S-NSSAI的切片认证结果,确定UE不必再发起认证(即使发起,仍然会不成功或被拒绝)。另一种可能实现方式中,UDM确定UE还可以尝试,重新发起该S-NSSAI的切片认证。
又例如,该UE没有通过任何网络进行S-NSSAI的切片认证。当AMF2请求该S-NSSAI的切片认证状态时,UDM可以确定该UE需要发起认证。
需要说明的是,图7和图8所示的方法可以结合,或者,图7和图8所示的方法还可以被单独执行等,本申请实施例对此不作限定。
843、UDM向AMF发送第五响应消息,该AMF接收该第五响应消息。
可选地,在一些实现方式中,该第五响应消息中可以携带指示信息,该指示信息可以用于指示是否通过AMF(即上述第五请求消息中的AMF-ID,或者如以上示出的AMF2)发起切片认证。例如,该指示信息可以用于指示AMF对切片进行切片认证。可选的,在另一些实现方式中,该第五响应消息中还可以携带该切片通过其他网络的切片认证结果。例如,该第五响应消息中可以携带S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID)(如AMF1或PLMN1)和该PLMN-ID(或AMF-ID)发起的切片认证结果。又例如,该第五响应消息还可携带该S-NSSAI的切片认证结果失败的原因等信息。可选的,UDM可以发送最近一次(或最新)存储的UE通过PLMN(或AMF)发起的针对S-NSSAI的切片认证结果;或者,也可以发送有效的UE通过所有PLMN(或AMF)发起的针对S-NSSAI的切片认证结果。
需要说明的是,在步骤842中,UDM还可以根据其他信息确定是否对S-NSSAI进行切片认证。例如,UDM可以根据PLMN之间的约定、信任关系、PLMN的可信度、存储的PLMN的黑/白名单、与网络的大数据网元获取的信息等进行辅助判断。例如,UDM(属于HPLMN)存储了PLMN1和PLMN2之间的信任关系(相互有协议、或相互之间可以共享对方发起的切片认证结果),当PLMN2请求切片认证结果时,UDM存储了UE在PLMN1完成了切片认证(成功),于是UDM根据PLMN2和PLMN1之间的信任关系,指示PLMN2不必再发起切片认证。
又例如,如果上述例子中的PLMN1和PLMN2之间没有约定,UDM知道PLMN1的安全性/可信度比较高(或低),则UDM可以通知PLMN2不必(或需要)发起切片认证。
又例如,如果上述例子中PLMN1和PLMN2在可以共享切片认证结果的白名单里/不可共享切片认证结果的黑名单里,则UDM可以按照黑/白名单的指示,通知PLMN2是否发起切片认证。例如,PLMN1和PLMN2在可以共享认证的白名单里,则UDM可以指示PLMN2发起切片认证。又例如,PLMN1和PLMN2在不可共享切片认证结果的黑名单里,则UDM可以指示PLMN2不发起切片认证。
可选的,在另一种实现方式中,上述AMF获取其他PLMN的认证状态信息也可以在步骤802之后。即图8所示的方法也可以不包括步骤841至步骤843,但是在步骤805之后,图8所示的方法还可以包括NSSAAF(或AUSF)确定根据其存储的S-NSSAI、针对该S-NSSAI的切片认证结果、GPSI(或SUPI)、PLMN-ID(或AMF-ID)确定是否对该S-NSSAI进行切片认证。若该NSSAAF(或AUSF)确定进行切片认证,则执行步骤807。若确定不进行切片认证,则向AMF发送用于指示不进行切片认证的消息。
可理解,对于该NSSAAF(或AUSF)确定是否进行切片认证的方法可参考上述UDM的方法,这里不再详述。
对于UDM根据存储的S-NSSAI、该S-NSSAI的切片认证结果、GPSI(或SUPI)、PLMN-ID(或AMF-ID)确定对该S-NSSAI进行切片认证的方法可参考以下介绍。
802、AMF根据第五响应消息确定是否对S-NSSAI进行切片认证,如果确定需要进行切片认证,则继续步骤803。
如果确定,不需要进行切片认证,则可以发送消息给UE,通知是否允许接入该切片,相当于直接跳转到步骤818之后,对于步骤818之后所示的方法,本申请实施例不作限定。
803、AMF向UE发送用于切片认证的EAP ID请求;相应的,该UE接收该用于切片认证的EAP ID请求。
804、UE向AMF发送EAP ID响应,该EAP ID响应仍可以携带于NAS消息中,该NAS消息中还可以携带S-NSSAI。
805、AMF向NSSAAF(或AUSF)发送第九请求消息,该第九请求消息携带EAP ID响应、切片的标识信息、UE的标识信息和网络的标识信息;相应的,该NSSAAF接收该第九请求消息。
806、NSSAAF(或AUSF)根据接收到的第九请求消息,确定网络的标识信息(如PLMN-ID或AMF-ID)。
807、NSSAAF(或AUSF)向AAA-S发送第九请求消息,该第九请求消息携带EAP ID响应、S-NSSAI、GPSI(或SUPI)和PLMN-ID(或AMF-ID);相应的,该AAA-S接收该第九请求消息。
808、AAA-S向NSSAAF(或AUSF)发送第九响应消息,该第九响应消息携带EAP消息、S-NSSAI、GPSI(或SUPI)和PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第九响应消息。
809、NSSAAF(或AUSF)向AMF发送第九响应消息,该第九响应消息携带EAP消息、S-NSSAI和GPSI(或SUPI);相应的,该AMF接收该第九响应消息。
810、AMF向UE发送NAS消息,该NAS消息携带EAP消息和S-NSSAI;相应的,该UE接收该NAS消息。
811、UE向AMF发送NAS消息,该NAS消息携带EAP消息和S-NSSAI;相应的,该AMF接收该NAS消息。
812、AMF向NSSAAF(或AUSF)发送第十请求消息,该第十请求消息携带EAP消息、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第十请求消息。
813、NSSAAF(或AUSF)根据接收到的第十请求消息,确定PLMN-ID(或AMF-ID)。
814、NSSAAF(或AUSF)向AAA-S发送第十请求消息,该第十请求消息携带EAP消息、S-NSSAI、GPSI(或SUPI)、PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第十请求消息。
815、AAA-S存储EAP认证结果、EAP-ID、PLMN-ID(或AMF-ID)、S-NSSAI和GPSI(或SUPI)。
816、AAA-S向NSSAAF(或AUSF)发送第十响应消息,该第十响应消息携带EAP认证结果、GPSI(或SUPI)、S-NSSAI和PLMN-ID(或AMF-ID);相应的,该NSSAAF(或AUSF)接收该第十响应消息。
817、NSSAAF(或AUSF)向AMF发送第十响应消息,该第十响应消息携带EAP认证结果、GPSI(或SUPI)和S-NSSAI;相应的,该AMF接收该第十响应消息。
818、AMF向UE发送NAS消息,该NAS消息携带EAP认证结果;相应的,该UE接收该NAS消息。
可选的,图8所示的方法还可以包括步骤831至步骤833,对于步骤831至步骤833的具体描述,可参考图7中的步骤531至步骤533,这里不再详述。
需要说明的是,附图说明中关于图8所示的步骤802至步骤816未示出,对于未示出的具体流程可参考图5。
本申请提供的技术方案可以提升切片认证的安全性:认证服务器和/或NSSAAF(或AUSF等)可以区分不同PLMN发起的切片认证状态,避免了由于PLMN-ID不同,造成相同EAP-ID的切片认证的错误更新、终止、延长认证时效等。同时可以改进切片认证的效率,即在保证安全的前提下,避免不必要的切片认证,节省网络资源。
可理解,以上示出的实施例各种侧重,其中一个实施例中未详尽描述的实现方式,可以参考其他实施例,这里不再详述。
以下详细介绍本申请提供的通信装置。
图9是本申请实施例提供的一种通信装置的结构示意图,该通信装置可用于执行上述方法实施例中由第一NF执行的操作。示例性的,该通信装置可用于执行图4所示的方法中由第一NF执行的操作。示例性的,该通信装置还可以用于执行图5至图8任一项或多项所述的方法中由AMF执行的操作。
如图9所示,该通信装置包括收发单元901和处理单元902。
处理单元902,用于发起终端设备和认证服务器之间关于切片的切片认证;
收发单元901,用于向认证服务器发送第一网络的标识信息、切片的标识信息和终端设备的标识信息,上述通信装置为第一网络中的NF;或者,用于输出第一网络的标识信息、切片的标识信息和终端设备的标识信息;
收发单元901,还用于接收来自认证服务器的切片的切片认证结果、切片的标识信息和终端设备的标识信息。
在一种可能的实现方式中,收发单元901,具体用于通过第二NF向认证服务器发送第一网络的标识信息、切片的标识信息和终端设备的标识信息;以及接收认证服务器通过第二NF发送的该切片的切片认证结果、该切片的标识信息和该终端设备的标识信息。或者,收发单元901,具体用于输出第一网络的标识信息、切片的标识信息和终端设备的标识信息,以及获取该切片的切片认证结果、该切片的标识信息和该终端设备的标识信息。
在一种可能的实现方式中,收发单元901,还用于向第二NF或第三NF发送请求消息,请求消息用于请求终端设备针对切片的认证状态信息,该终端设备针对切片的认证状态信息包括该终端设备的由第一网络发起的针对切片的认证状态信息;以及接收来自第二NF或第三NF的响应消息。或者,收发单元901,还用于输出请求消息,以及获取响应消息。
可理解,对于以上所示的终端设备针对切片的认证状态信息、请求消息和响应消息等,可以参考图5至图8所示的方法,这里不再详述。示例性的,响应消息中可以包括指示信息,该指示信息用于指示第四NF是否对终端设备发起切片认证;或者,指示信息用于指示终端设备是否已完成针对切片的切片认证;终端设备针对切片的切片认证结果;终端设备的由第一网络发起的针对切片的认证状态信息。
例如,收发单元901还可以用于接收图5至图8所示的注册请求消息。又例如,收发单元901还可以用于发送图5至图8所示的NAS消息、第三请求消息、第四请求消息、第五请求消息或第七请求消息、第八请求消息等。又例如,收发单元901,还可以用于接收图5至图8所示的NAS消息、第三响应消息、第四响应消息、第五响应消息等。又例如,处理单元902还可以用于执行图5至图8所示的步骤502或步骤802等。对于该收发单元和处理单元的具体实施方式,可参考图4至图8所示的第一NF或AMF,这里不再详述。
需要理解的是,当上述通信装置是第一NF或第一NF(如网络功能、核心设备或网元等)中实现上述功能的部件时,处理单元902可以是一个或多个处理器,收发单元901可以是收发器,或者收发单元901还可以是发送单元和接收单元,发送单元可以是发送器,接收单元可以是接收器,该发送单元和接收单元集成于一个器件,例如收发器。
当上述通信装置是电路系统如芯片时,处理单元902可以是一个或多个处理器,或者处理单元902可以是处理电路等。收发单元901可以是输入输出接口,又或者称为通信接口,或者接口电路,或接口等等。或者收发单元901还可以是发送单元和接收单元,发送单元可以是输出接口,接收单元可以是输入接口,该发送单元和接收单元集成于一个单元,例如输入输出接口。可理解,通信装置为第二NF、第三NF、第四NF或认证服务器中的任一种时,对于该处理单元和收发单元的说明,以下示出的各通信装置均适用。
本申请实施例的通信装置可执行上述方法实施例中由第一NF所执行的任意功能,具体可执行的步骤和/或功能可以参考上述方法实施例中的详细描述,此处仅简要概述,不再赘述。
在一些实现方式中,上述通信装置可以为上述各个方法实施例中的第一NF,该第一NF可以为核心设备。该情况下,上述收发单元901可以用收发器实现,上述处理单元902可以用处理器实现。如图10所示,该通信装置100包括一个或多个处理器1020和收发器1010。该处理器和收发器可以用于执行上述第一NF所执行的功能或操作等。
处理器1020,用于发起终端设备和认证服务器之间关于切片的切片认证;
收发器1010,用于向认证服务器发送第一网络的标识信息、切片的标识信息和终端设备的标识信息,上述通信装置为第一网络中的NF;
收发器1010,还用于接收来自认证服务器的切片的切片认证结果、切片的标识信息和终端设备的标识信息。
在一种可能的实现方式中,收发器1010,具体用于通过第二NF向认证服务器发送第一网络的标识信息、切片的标识信息和终端设备的标识信息;以及接收认证服务器通过第二NF发送的该切片的切片认证结果、该切片的标识信息和该终端设备的标识信息。
在一种可能的实现方式中,收发器1010,还用于向第二NF或第三NF发送请求消息,请求消息用于请求终端设备针对切片的认证状态信息,该终端设备针对切片的认证状态信息包括该终端设备的由第一网络发起的针对切片的认证状态信息;以及接收来自第二NF或第三NF的响应消息。
对于处理器和收发器的具体实现方式,可参考图4至图8所示的方法,或者,也可以参考图9所示的步骤和/或功能等。
在图10所示的通信装置的各个实现方式中,收发器可以包括接收机和发射机,该接收机用于执行接收的功能(或操作),该发射机用于执行发射的功能(或操作)。以及收发器用于通过传输介质和其他设备/装置进行通信。处理器1020通过收发器1010收发数据和/或信令,并用于实现上述方法实施例中图4至图8所述的相应的方法等。
可选的,通信装置100还可以包括一个或多个存储器1030,用于存储程序指令和/或数据。存储器1030和处理器1020耦合。示例性的,存储器1030可以用于存储根密钥、接入层密钥或非接入层密钥等。
本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。处理器1020可能和存储器1030协同操作。处理器1020可能执行存储器1030中存储的程序指令。可选的,上述一个或多个存储器中的至少一个可以包括于处理器中。
本申请实施例中不限定上述收发器1010、处理器1020以及存储器1030之间的具体连接介质。本申请实施例在图10中以存储器1030、处理器1020以及收发器1010之间通过总线1040连接,总线在图10中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在本申请实施例中,处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成等。
可理解,在图10所示的通信装置为第一NF时,第一NF还可以具有比图10更多的元器件等,本申请实施例对此不作限定。
可理解,以上所示的处理器和收发器所执行的方法仅为示例,对于该处理器和收发器具体所执行的步骤可参照上文介绍的方法。
可理解,以上关于处理器、收发器和存储器之间连接关系的说明,以及该处理器或收发器的说明等,以下示出的核心设备均适用。例如,通信装置为第二NF、第三NF、第四NF或认证服务器中的任一种时,对于处理器、收发器和存储器之间连接关系的说明,以及该处理器或收发器的说明等,以下示出的各通信装置均适用。
在另一些实现方式中,上述通信装置可以为第一NF中的电路系统。该情况下,上述处理单元902可以用处理电路实现,收发单元901用接口电路实现。如图11所示,通信装置可以包括处理电路1102和接口电路1101。该处理电路1102可以为芯片、逻辑电路、集成电路、处理电路或片上系统(system on chip,SoC)芯片等,接口电路1101可以为通信接口、输入输出接口等。
处理电路1102,用于发起终端设备和认证服务器之间关于切片的切片认证;
接口电路1101,用于输出第一网络的标识信息、切片的标识信息和终端设备的标识信息;
接口电路1101,还用于获取切片的切片认证结果、切片的标识信息和终端设备的标识信息。
在一种可能的实现方式中,接口电路1101,还用于输出请求消息,请求消息用于请求终端设备针对切片的认证状态信息,该终端设备针对切片的认证状态信息包括该终端设备的由第一网络发起的针对切片的认证状态信息;以及获取响应消息。
可理解,对于处理电路和接口电路的具体实现方式,可参考图4至图8所示的方法,或者,也可以参考图9所示的步骤和/或功能等。
在本申请实施例中,处理电路可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。可理解,对于处理电路的说明,以下示出的电路系统均适用。
可理解,以上所示的接口电路和处理电路所执行的方法仅为示例,对于该接口电路和处理电路具体所执行的步骤可参照上文介绍的方法。
复用图9,该通信装置可以用于执行上述方法实施例中由第二NF执行的操作。或者,该通信装置可以用于执行上述方法实施例中(如图5至图8中任一项或多项)由AUSF或NSSAAF(AAAP-)执行的方法。
复用图9,该通信装置可以用于执行上述方法实施例中由第三NF执行的操作。或者,该通信装置可以用于执行上述方法实施例中(如图7和/或图8)由UDM执行的方法。
示例性的,收发单元901,用于接收来自第一NF的终端设备的由第一网络发起的针对切片的认证状态信息;
处理单元902,用于存储终端设备的由第一网络发起的针对切片的认证状态信息。
或者,处理单元902,用于控制存储单元(如存储器等)存储终端设备的由第一网络发起的针对切片的认证状态信息。
在一种可能的实现方式中,收发单元,还用于接收来自第四NF(或第一NF)的请求消息,请求消息用于请求终端设备针对切片的认证状态信息,终端设备针对切片的认证状态信息包括终端设备的由第一网络发起的针对切片的认证状态信息,第四NF为第二网络中的NF;以及向第四NF(或第一NF)发送响应消息。
在一种可能的实现方式中,当上述通信装置为第二NF时,收发单元901,还用于向第三NF发送终端设备的由第一网络发起的针对切片的认证状态信息。
可理解,对于处理单元和收发单元的具体实现方式,可参考图4至图8所示的方法,这里不再详述。
在一些实现方式中,上述通信装置可以为上述各个方法实施例中的第二NF,该第二NF可以为核心设备。该情况下,上述收发单元901可以用收发器实现,上述处理单元902可以用处理器实现。如图10所示,该通信装置100包括一个或多个处理器1020和收发器1010。
例如,收发器1010,用于接收来自第一NF的终端设备的由第一网络发起的针对切片的认证状态信息。处理器1020,用于存储终端设备的由第一网络发起的针对切片的认证状态信息。或者,处理器1020,用于控制存储器(如存储器1030等)存储终端设备的由第一网络发起的针对切片的认证状态信息。
又例如,收发器1010,还用于接收来自第四NF(或第一NF)的请求消息,请求消息用于请求终端设备针对切片的认证状态信息,终端设备针对切片的认证状态信息包括终端设备的由第一网络发起的针对切片的认证状态信息,第四NF为第二网络中的NF;以及向第四NF(或第一NF)发送响应消息。
又例如,收发器1010,还用于向第三NF发送终端设备的由第一网络发起的针对切片的认证状态信息。
可理解,以上所示的处理器和收发器所执行的方法仅为示例,对于该处理器和收发器具体所执行的步骤可参照上文介绍的方法等。
在另一些实现方式中,上述通信装置可以为第二NF中的电路系统。该情况下,上述处理单元902可以用处理电路实现,收发单元901用接口电路实现。如图11所示,通信装置可以包括处理电路1102和接口电路1101。
例如,接口电路,用于获取终端设备的由第一网络发起的针对切片的认证状态信息;处理电路,用于存储终端设备的由第一网络发起的针对切片的认证状态信息。或者,处理电路,用于控制位于电路系统之外的存储器存储终端设备的由第一网络发起的针对切片的认证状态信息。
又例如,接口电路,还用于获取请求消息,以及输出响应消息等。又例如,接口电路,还用于输出终端设备的由第一网络发起的针对切片的认证状态信息。
可理解,以上所示的处理电路和接口电路所执行的方法仅为示例,对于该处理电路和接口电路具体所执行的步骤可参照上文介绍的方法等。
可理解,通信装置为图4中的第三NF、图7或图8中的UDM时的具体实现方式,可参考第二NF或上述方法实施例等,这里不再详述。
复用图9,该通信装置可以用于执行上述方法实施例中由第四NF执行的操作。或者,该通信装置可以用于执行上述方法实施例中(如图5至图8中任一项或多项)由AMF执行的方法。
示例性的,收发单元901,用于收发信号;处理单元902,用于通过收发单元执行:向第二NF或第三NF发送请求消息,请求消息用于请求终端设备针对切片的认证状态信息,终端设备针对切片的认证状态信息包括终端设备的由第一网络发起的针对切片的认证状态信息,通信装置为第二网络中的NF;以及接收来自第二NF或第三NF的响应消息。
在一种可能的实现方式中,响应消息包括以下任一项或多项:指示信息,指示信息用于指示第四NF是否对终端设备发起切片认证;或者,指示信息用于指示终端设备是否已完成针对切片的切片认证;终端设备针对切片的切片认证结果;终端设备的由第一网络发起的针对切片的认证状态信息。
可理解,对于该第四NF的具体实现方式,可参考方法实施例中与AMF相关的介绍,这里不再详述。
在一些实现方式中,上述通信装置可以为上述各个方法实施例中的第四NF,该第四NF可以为核心设备。该情况下,上述收发单元901可以用收发器实现,上述处理单元902可以用处理器实现。
在另一些实现方式中,上述通信装置可以为第四NF中的电路系统。该情况下,上述处理单元902可以用处理电路实现,收发单元901用接口电路实现。
可理解,对于收发器和处理器的具体实现方式,以及处理电路和接口电路的具体实现方式,可以参考上述方法实施例或上述通信装置包括处理单元和收发单元的具体描述,这里不再一一详述。
复用图9,该通信装置可以用于执行上述方法实施例中由认证服务器执行的操作。或者,该通信装置可以用于执行上述方法实施例中(如图5至图8中任一项或多项)由AAA-S执行的方法。
收发单元901,用于接收来自第一网络功能NF的第一网络的标识信息、切片的标识信息和终端设备的标识信息;
处理单元902,用于根据切片的标识信息和终端设备的标识信息对切片进行切片认证;
收发单元901,还用于向第一NF发送切片的切片认证结果、切片的标识信息和终端设备的标识信息。
在一种可能的实现方式中,处理单元902,用于存储终端设备的由第一网络发起的针对切片的认证状态信息。或者,处理单元902控制存储单元存储终端设备的由第一网络发起的针对切片的认证状态信息。
在一种可能的实现方式中,处理单,902,还用于根据终端设备的由第一网络发起的针对切片的认证状态信息,确定是否对终端设备发起针对切片的切片认证。
在一些实现方式中,上述通信装置可以为上述各个方法实施例中的认证服务器。该情况下,上述收发单元901可以用收发器实现,上述处理单元902可以用处理器实现。
在另一些实现方式中,上述通信装置可以为认证服务器中的电路系统。该情况下,上述处理单元902可以用处理电路实现,收发单元901用接口电路实现。
可理解,对于收发器和处理器的具体实现方式,以及处理电路和接口电路的具体实现方式,可以参考上述方法实施例或上述通信装置包括处理单元和收发单元的具体描述,这里不再一一详述。例如,可以参考图4所示的由认证服务器执行的方法;又例如,可以参考图5至图8所示的由AAA-S执行的方法。
图12是本申请实施例提供的一种无线通信系统的示意图,如图12所示,该无线通信系统可以包括第一NF和认证服务器。该第一NF可以执行图4所示的第一NF执行的方法;和/或,执行图5至图8任一项或多项所示的由AMF执行的方法。该认证服务器可以执行图4所示的由认证服务器执行的方法;和/或,执行图5至图8任一项或多项所述的由AAA-S执行的方法。
进一步的,该无线通信系统还可以包括第二NF。该第二NF可以执行图4所示的由第二NF执行的方法,和/或,执行图5至图8任一项或多项所示的由AUSF或NSSAAF(AAA-P)执行的方法。
进一步的,该无线通信系统还可以包括第三NF。该第三NF可以执行图4所示的由第三NF执行的方法,和/或,执行图7或图8任一项或多项所示的由UDM执行的方法。
进一步的,该无线通信系统还可以包括第四NF(图12中未示出),该第四NF也可以执行图4所示的第一NF执行的方法;和/或,执行图5至图8任一项或多项所示的由AMF执行的方法。对于各个NF执行的步骤或功能,可参考前述实施例,这里不再详述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例提供的方案的技术效果。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
此外,本申请还提供一种计算机程序,该计算机程序用于实现本申请提供的安全通信方法中由第一NF和/或图5至图8所示的AMF执行的操作和/或处理。
本申请还提供一种计算机程序,该计算机程序用于实现本申请提供的安全通信方法中由第二NF和/或图5至图8所示的AUSF或NSSAAF(AAA-P)执行的操作和/或处理。
本申请还提供一种计算机程序,该计算机程序用于实现本申请提供的安全通信方法中由第三NF和/或图5至图8所示的UDM执行的操作和/或处理。
本申请还提供一种计算机程序,该计算机程序用于实现本申请提供的安全通信方法中由认证服务器和/或图5至图8所示的AAA-S执行的操作和/或处理。
本申请还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机代码,当计算机代码在计算机上运行时,使得计算机执行本申请提供的安全通信方法中由第一NF和/或图5至图8所示的AMF执行的操作和/或处理。
本申请还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机代码,当计算机代码在计算机上运行时,使得计算机执行本申请提供的安全通信方法中由第二NF和/或图5至图8所示的AUSF或NSSAAF(AAA-P)执行的操作和/或处理。
本申请还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机代码,当计算机代码在计算机上运行时,使得计算机执行本申请提供的安全通信方法中由第三NF和/或图5至图8所示的UDM执行的操作和/或处理。
本申请还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机代码,当计算机代码在计算机上运行时,使得计算机执行本申请提供的安全通信方法中由认证服务器和/或图5至图8所示的AAA-S执行的操作和/或处理。
本申请还提供一种计算机程序产品,该计算机程序产品包括计算机代码或计算机程序,当该计算机代码或计算机程序在计算机上运行时,使得本申请提供的安全通信方法中由第一NF和/或图5至图8所示的AMF执行的操作和/或处理被执行。
本申请还提供一种计算机程序产品,该计算机程序产品包括计算机代码或计算机程序,当该计算机代码或计算机程序在计算机上运行时,使得本申请提供的安全通信方法中由第二NF和/或图5至图8所示的AUSF或NSSAAF(AAA-P)执行的操作和/或处理被执行。
本申请还提供一种计算机程序产品,该计算机程序产品包括计算机代码或计算机程序,当该计算机代码或计算机程序在计算机上运行时,使得本申请提供的安全通信方法中由第三NF和/或图5至图8所示的UDM执行的操作和/或处理被执行。
本申请还提供一种计算机程序产品,该计算机程序产品包括计算机代码或计算机程序,当该计算机代码或计算机程序在计算机上运行时,使得本申请提供的安全通信方法中由认证服务器和/或图5至图8所示的AAA-S执行的操作和/或处理被执行。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (18)
1.一种切片认证方法,其特征在于,所述方法包括:
第一网络功能NF发起终端设备和认证服务器之间关于切片的切片认证;
所述第一NF向所述认证服务器发送第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息,所述第一NF为所述第一网络中的NF;
所述第一NF接收来自所述认证服务器的所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
2.根据权利要求1所述的方法,其特征在于,所述第一网络功能NF向认证服务器发送第一网络的标识信息、切片的标识信息和终端设备的标识信息,包括:
所述第一NF通过第二NF向所述认证服务器发送所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息;
所述第一NF接收来自所述认证服务器的所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息,包括:
所述第一NF接收所述认证服务器通过所述第二NF发送的所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述第二NF存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息包括:所述切片的切片认证结果、所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
所述第二NF向第三NF发送所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息;
所述第三NF接收所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,以及存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
5.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
所述第四NF向所述第二NF或所述第三NF发送请求消息,所述请求消息用于请求所述终端设备针对所述切片的认证状态信息,所述终端设备针对所述切片的认证状态信息包括所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,所述第四NF为第二网络中的NF;
响应于所述请求消息,所述第二NF或所述第三NF向所述第四NF发送响应消息。
6.根据权利要求5所述的方法,其特征在于,所述响应消息包括以下任一项或多项:
指示信息,所述指示信息用于指示所述第四NF是否对所述终端设备发起切片认证;或者,所述指示信息用于指示所述终端设备是否已完成针对所述切片的切片认证;
所述终端设备针对所述切片的切片认证结果;
所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
7.一种切片认证方法,其特征在于,所述方法包括:
认证服务器接收来自第一网络功能NF的第一网络的标识信息、切片的标识信息和终端设备的标识信息,所述第一NF为所述第一网络中的NF;
所述认证服务器根据所述切片的标识信息和所述终端设备的标识信息对所述切片进行切片认证;
所述认证服务器向所述第一NF发送所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述认证服务器存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息包括:所述切片的切片认证结果、所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息。
9.根据权利要求7或8所述的方法,其特征在于,所述方法还包括:
所述认证服务器根据所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,确定是否对所述终端设备发起针对所述切片的切片认证。
10.一种无线通信系统,其特征在于,所述系统包括:
第一NF,用于发起终端设备和认证服务器之间关于切片的切片认证;
所述第一NF,还用于向所述认证服务器发送第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息,所述第一NF为所述第一网络中的NF;
所述第一NF,还用于接收来自所述认证服务器的所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
11.根据权利要求10所述的系统,其特征在于,
所述第一NF,具体用于通过第二NF向所述认证服务器发送所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息;
以及所述第一NF,具体用于接收所述认证服务器通过所述第二NF发送的所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
12.根据权利要求11所述的系统,其特征在于,所述系统还包括:
第二NF,用于存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息包括:所述切片的切片认证结果、所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息。
13.根据权利要求11或12所述的系统,其特征在于,
所述第二NF,还用于向第三NF发送所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息;
所述系统还包括:
所述第三NF,用于接收所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,以及存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
14.根据权利要求12或13所述的系统,其特征在于,所述系统还包括:
第四NF,用于向所述第二NF或所述第三NF发送请求消息,所述请求消息用于请求所述终端设备针对所述切片的认证状态信息,所述终端设备针对所述切片的认证状态信息包括所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,所述第四NF为第二网络中的NF;
响应于所述请求消息,所述第二NF或所述第三NF,还用于向所述第四NF发送响应消息。
15.根据权利要求14所述的系统,其特征在于,所述响应消息包括以下任一项或多项:
指示信息,所述指示信息用于指示所述第四NF是否对所述终端设备发起切片认证;或者,所述指示信息用于指示所述终端设备是否已完成针对所述切片的切片认证;
所述终端设备针对所述切片的切片认证结果;
所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
16.根据权利要求10-15任一项所述的系统,其特征在于,所述系统还包括:
所述认证服务器,用于接收来自所述第一NF的所述第一网络的标识信息、所述切片的标识信息和所述终端设备的标识信息;
所述认证服务器,还用于根据所述切片的标识信息和所述终端设备的标识信息对所述切片进行切片认证;
所述认证服务器,还用于向所述第一NF发送所述切片的切片认证结果、所述切片的标识信息和所述终端设备的标识信息。
17.根据权利要求16所述的系统,其特征在于,
所述认证服务器,还用于存储所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息。
18.根据权利要求16或17所述的系统,其特征在于,
所述认证服务器,还用于根据所述终端设备的由所述第一网络发起的针对所述切片的认证状态信息,确定是否对所述终端设备发起针对所述切片的切片认证。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310200612.4A CN116193431A (zh) | 2020-04-30 | 2020-04-30 | 切片认证方法及装置 |
| CN202010368192.7A CN113676904B (zh) | 2020-04-30 | 2020-04-30 | 切片认证方法及装置 |
| EP21796386.7A EP4135379A4 (en) | 2020-04-30 | 2021-04-25 | SLICE AUTHENTICATION METHOD AND APPARATUS |
| PCT/CN2021/089747 WO2021218878A1 (zh) | 2020-04-30 | 2021-04-25 | 切片认证方法及装置 |
| US17/975,365 US20230048066A1 (en) | 2020-04-30 | 2022-10-27 | Slice authentication method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010368192.7A CN113676904B (zh) | 2020-04-30 | 2020-04-30 | 切片认证方法及装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310200612.4A Division CN116193431A (zh) | 2020-04-30 | 2020-04-30 | 切片认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113676904A true CN113676904A (zh) | 2021-11-19 |
| CN113676904B CN113676904B (zh) | 2023-02-03 |
Family
ID=78331764
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010368192.7A Active CN113676904B (zh) | 2020-04-30 | 2020-04-30 | 切片认证方法及装置 |
| CN202310200612.4A Pending CN116193431A (zh) | 2020-04-30 | 2020-04-30 | 切片认证方法及装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310200612.4A Pending CN116193431A (zh) | 2020-04-30 | 2020-04-30 | 切片认证方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230048066A1 (zh) |
| EP (1) | EP4135379A4 (zh) |
| CN (2) | CN113676904B (zh) |
| WO (1) | WO2021218878A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024027212A1 (zh) * | 2022-08-01 | 2024-02-08 | 华为技术有限公司 | 一种网络切片的管理方法、通信装置及通信系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3111512A1 (fr) * | 2020-06-18 | 2021-12-17 | Orange | Procédé de configuration d’un dispositif terminal |
| US11910299B2 (en) * | 2021-10-05 | 2024-02-20 | Cisco Technology, Inc. | Providing slice attribute information to user equipment in a mobile network environment |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018202274A1 (en) * | 2017-05-02 | 2018-11-08 | Huawei Technologies Co., Ltd. | Devices, systems and methods for accessing and providing network slices in a mobile communication network |
| US20190053104A1 (en) * | 2017-08-11 | 2019-02-14 | Comcast Cable Communications, Llc | Application-Initiated Network Slices in a Wireless Network |
| US20200053083A1 (en) * | 2018-08-13 | 2020-02-13 | Lenovo (Singapore) Pte. Ltd. | Network slice authentication |
| WO2020074542A1 (en) * | 2018-10-09 | 2020-04-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Configured nssai for other plmns |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417563A (zh) * | 2018-04-26 | 2019-11-05 | 中兴通讯股份有限公司 | 一种网络切片接入的方法、装置和系统 |
| US10673618B2 (en) * | 2018-06-08 | 2020-06-02 | Cisco Technology, Inc. | Provisioning network resources in a wireless network using a native blockchain platform |
-
2020
- 2020-04-30 CN CN202010368192.7A patent/CN113676904B/zh active Active
- 2020-04-30 CN CN202310200612.4A patent/CN116193431A/zh active Pending
-
2021
- 2021-04-25 WO PCT/CN2021/089747 patent/WO2021218878A1/zh unknown
- 2021-04-25 EP EP21796386.7A patent/EP4135379A4/en active Pending
-
2022
- 2022-10-27 US US17/975,365 patent/US20230048066A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018202274A1 (en) * | 2017-05-02 | 2018-11-08 | Huawei Technologies Co., Ltd. | Devices, systems and methods for accessing and providing network slices in a mobile communication network |
| US20190053104A1 (en) * | 2017-08-11 | 2019-02-14 | Comcast Cable Communications, Llc | Application-Initiated Network Slices in a Wireless Network |
| US20200053083A1 (en) * | 2018-08-13 | 2020-02-13 | Lenovo (Singapore) Pte. Ltd. | Network slice authentication |
| WO2020074542A1 (en) * | 2018-10-09 | 2020-04-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Configured nssai for other plmns |
Non-Patent Citations (3)
| Title |
|---|
| ""S3-190948 Enhanced Network slicing TR 33813-030-cl"", 《3GPP INBOX\SA3》 * |
| ""S3-194541-clean"", 《3GPP TSG_SA\WG3_SECURITY》 * |
| QUALCOMM INCORPORATED: "S2-170181 "23.501: Proposal for 5G System Identities"", 《3GPP TSG_SA\WG2_ARCH》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024027212A1 (zh) * | 2022-08-01 | 2024-02-08 | 华为技术有限公司 | 一种网络切片的管理方法、通信装置及通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4135379A1 (en) | 2023-02-15 |
| US20230048066A1 (en) | 2023-02-16 |
| EP4135379A4 (en) | 2023-09-20 |
| WO2021218878A1 (zh) | 2021-11-04 |
| CN113676904B (zh) | 2023-02-03 |
| CN116193431A (zh) | 2023-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8549293B2 (en) | Method of establishing fast security association for handover between heterogeneous radio access networks | |
| US20240064514A1 (en) | Delegated data connection | |
| CN110999356A (zh) | 网络安全管理的方法及装置 | |
| CN113676904B (zh) | 切片认证方法及装置 | |
| US11871223B2 (en) | Authentication method and apparatus and device | |
| CN113498217A (zh) | 一种通信方法和通信装置 | |
| TWI799064B (zh) | 一種金鑰標識的生成方法以及相關裝置 | |
| US20220086145A1 (en) | Secondary Authentication Method And Apparatus | |
| WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
| CN114600487B (zh) | 身份认证方法及通信装置 | |
| CN115706997A (zh) | 授权验证的方法及装置 | |
| KR102103320B1 (ko) | 이동 단말기, 네트워크 노드 서버, 방법 및 컴퓨터 프로그램 | |
| CN113904781B (zh) | 切片认证方法及系统 | |
| EP4156741A1 (en) | Slice service verification method and apparatus | |
| US20230336992A1 (en) | Method and apparatus for authenticating user equipment in wireless communication system | |
| WO2024067619A1 (zh) | 通信方法和通信装置 | |
| US20240179519A1 (en) | Communication method and related apparatus | |
| CN116233953A (zh) | 数据传输方法、装置、设备及存储介质 | |
| CN117880808A (zh) | 认证授权的方法与通信装置 | |
| CN117641311A (zh) | 通信方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |