CN114650532A

CN114650532A - 一种协议数据单元会话建立方法及装置

Info

Publication number: CN114650532A
Application number: CN202210278468.1A
Authority: CN
Inventors: 王鑫; 王书元
Original assignee: China United Network Communications Group Co Ltd
Current assignee: China United Network Communications Group Co Ltd
Priority date: 2022-03-21
Filing date: 2022-03-21
Publication date: 2022-06-21

Abstract

本申请公开了一种协议数据单元会话建立方法及装置，涉及通信领域，解决了现有非授权程序可以通过盗用授权程序的应用程序ID,冒用网络切片服务的问题。该方法包括：验证鉴权模块的合法性，鉴权模块用于在应用程序申请建立协议数据单元会话前对应用程序进行鉴权，协议数据单元会话用于使用目标切片的切片服务；在验证鉴权模块合法的情况下，向鉴权模块发送第一消息，第一消息包括切片使用标识，切片使用标识为应用程序开通目标切片的切片服务成功时获得的唯一性标识；当接收到鉴权模块发送的第二消息时，请求建立协议数据单元会话，第二消息表征鉴权模块对切片使用标识验证通过。

Description

一种协议数据单元会话建立方法及装置

技术领域

本发明涉及通信领域，尤其涉及一种协议数据单元会话建立方法及装置。

背景技术

5G切片技术是将一个物理网络切割成多个虚拟的端到端的网络，即网络切片，多个网络切片之间是逻辑独立的，任何一个网络切片发生故障都不会影响到其它虚拟网络。另外，不同网络切片可以具有不同的特性，例如低延迟、高吞吐量、高可靠性等。

应用程序需要使用切片服务时，需要先向运营商申请注册网络切片服务，注册成功后成为授权程序，便可以使用切片服务。在应用程序向运营商注册网络切片服务的过程中，会上报注册该网络切片服务的应用程序的ID，一般就是应用程序名称本身。在应用程序需要使用其已开通的切片服务时，需要使用应用程序ID向接入和移动管理功能(Accessand Mobility Management functio n，简称AMF)模块申请建立协议数据单元(ProtocolData Unit，简称PDU)会话，以使用切片流量。

根据上述应用程序向AMF申请建立PDU会话的过程可以看出，非授权程序可以通过盗用授权程序的应用程序ID,向AMF申请建立PDU会话，从而冒用网络切片服务。

发明内容

本发明提供了一种协议数据单元会话建立方法及装置，用于解决非授权程序盗用授权程序的应用程序ID,冒用网络切片服务的问题。

为达到上述目的，本发明采用如下技术方案：

第一方面，本发明提供了一种协议数据单元会话建立方法，应用于应用程序，包括：验证鉴权模块的合法性，鉴权模块用于在应用程序申请建立协议数据单元会话前对应用程序进行鉴权，协议数据单元会话用于使用目标切片的切片服务；在验证鉴权模块合法的情况下，向鉴权模块发送第一消息，第一消息包括切片使用标识，切片使用标识为应用程序开通目标切片的切片服务成功时获得的唯一性标识；当接收到鉴权模块发送的第二消息时，请求建立协议数据单元会话，第二消息表征鉴权模块对切片使用标识验证通过。

本申请的实施例提供的技术方案至少带来以下有益效果：非授权程序不能通过验证过程，也就是说不能冒用授权程序的切片服务。

在本申请的一些实施例中，第一消息还包括应用程序的信息和目标切片的标识信息；应用程序的信息和目标切片的标识信息用于使鉴权模块查找到预先存储的与应用程序的信息和目标切片的标识信息对应的切片使用标识，以根据查找到的切片使用标识对第一消息中的切片使用标识进行验证。

在本申请的一些实施例中，第一消息还包括辅助描述信息，辅助描述信息用于描述应用程序通过目标切片的切片服务所实现的通信过程所具有的一个或者多个特征；第二消息表征鉴权模块对切片使用标识和辅助描述信息验证通过。

在本申请的一些实施例中，验证鉴权模块的合法性，包括：向鉴权模块发送第三消息，第三消息至少包括使用预先获得的公钥对预设字段进行加密所得到的加密字段；接收鉴权模块发送的第四消息，第四消息包括鉴权模块根据公钥对应的私钥对加密字段进行解密所得到的解密字段；如果解密字段与预设字段一致，则确定鉴权模块合法。

在本申请的一些实施例中，预先获得的公钥是根据应用程序预先获得的公钥算子计算得到的，公钥对应的私钥是鉴权模块根据与公钥算子对应的私钥算子计算得到的。

在本申请的一些实施例中，预先获得的公钥是根据应用程序预先获得的公钥算子计算得到的多个公钥中的任意一个，或者，预先获得的公钥是根据预设规则从多个公钥中确定出的一个；公钥对应的私钥是鉴权模块根据与公钥算子对应的私钥算子计算得到的。

在本申请的一些实施例中，第三消息还包括应用程序的标识信息和目标切片的标识信息；公钥算子对应的私钥算子是鉴权模块从预设密钥信息中确定出与应用程序的标识信息和目标切片的标识信息对应的私钥算子。

在本申请的一些实施例中，验证鉴权模块的合法性之前，还包括：向鉴权模块发送第五消息，第五消息包括应用程序的信息和目标切片的标识信息；如果接收到鉴权模块发送的第六消息，则验证鉴权模块的合法性；第六消息是鉴权模块在根据应用程序的信息和目标切片的标识信息确定应用程序开通的切片服务包括目标切片的情况下发送的。

第二方面，本发明提供了一种协议数据单元会话建立方法，应用于鉴权模块，包括：接收应用程序在验证鉴权模块合法的情况下发送的第一消息，第一消息包括切片使用标识，切片使用标识为应用程序开通目标切片的切片服务成功时获得的唯一性标识；在对切片使用标识验证通过的情况下，向应用程序发送第二消息，以使应用程序请求建立协议数据单元会话，协议数据单元会话用于使用目标切片的切片服务。

在本申请的一些实施例中，第一消息还包括应用程序的信息和目标切片的标识信息；应用程序的信息和目标切片的标识信息用于查找到预先存储的与应用程序的信息和目标切片的标识信息对应的切片使用标识，以根据查找到的切片使用标识对第一消息中的切片使用标识进行验证。

在本申请的一些实施例中，第一消息还包括辅助描述信息，辅助描述信息用于描述应用程序通过目标切片的切片服务所实现的通信过程所具有的一个或者多个特征；在对切片使用标识验证通过的情况下，向应用程序发送第二消息，包括：在对切片使用标识和辅助描述信息验证通过的情况下，向应用程序发送第二消息。

在本申请的一些实施例中，接收应用程序在验证鉴权模块合法的情况下发送的第一消息之前，还包括：接收应用程序发送的第三消息，第三消息至少包括应用程序使用预先获得的公钥对预设字段进行加密所得到的加密字段；向应用程序发送第四消息，第四消息包括根据公钥对应的私钥对加密字段进行解密所得到的解密字段。

在本申请的一些实施例中，预先获得的公钥是应用程序根据预先获得的公钥算子计算得到的，公钥对应的私钥是根据与公钥算子对应的私钥算子计算得到。

在本申请的一些实施例中，预先获得的公钥是应用程序根据预先获得的公钥算子计算得到的多个公钥中的任意一个，或者，预先获得的公钥是应用程序根据预设规则从多个公钥中确定出的一个；公钥对应的私钥是根据与公钥算子对应的私钥算子计算得到的。

在本申请的一些实施例中，第三消息还包括应用程序的标识信息和目标切片的标识信息；与公钥算子对应的私钥算子是从预设密钥信息中确定出的与应用程序的标识信息和目标切片的标识信息对应的私钥算子。

在本申请的一些实施例中，接收应用程序发送的第三消息之前，还包括：接收应用程序发送的第五消息，第五消息包括应用程序的信息和目标切片的标识信息；在根据应用程序的信息和目标切片的标识信息确定应用程序开通的切片服务包括目标切片的情况下，向应用程序发送第六消息。

第三方面，本发明提供了一种协议数据单元会话建立装置，应用于应用程序，包括：验证单元，用于验证鉴权模块的合法性，鉴权模块用于在应用程序申请建立协议数据单元会话前对应用程序进行鉴权，协议数据单元会话用于使用目标切片的切片服务；发送单元，用于在验证鉴权模块合法的情况下，向鉴权模块发送第一消息，第一消息包括切片使用标识，切片使用标识为应用程序开通目标切片的切片服务成功时获得的唯一性标识；接收单元，用于接收鉴权模块发送的第二消息，第二消息表征鉴权模块对切片使用标识验证通过；

发送单元，还用于当接收到鉴权模块发送的第二消息时，请求建立协议数据单元会话。

第四方面，本发明提供了一种协议数据单元会话建立装置，应用于鉴权模块，包括：接收单元，用于接收应用程序在验证鉴权模块合法的情况下发送的第一消息，第一消息包括切片使用标识，切片使用标识为应用程序开通目标切片的切片服务成功时获得的唯一性标识；验证单元，用于对切片使用标识进行验证；发送单元，用于在对切片使用标识验证通过的情况下，向应用程序发送第二消息，以使应用程序请求建立协议数据单元会话，协议数据单元会话用于使用目标切片的切片服务。

第五方面，提供一种电子设备，包括一个或多个处理器和一个或多个存储器；一个或多个存储器与一个或多个处理器耦合，一个或多个存储器用于存储计算机程序代码，计算机程序代码包括计算机指令，当一个或多个处理器执行计算机指令时，电子设备执行如权利要求1至16任一项的协议数据单元会话建立方法。

第六方面，提供一种计算机存储介质，包括计算机指令，当计算机指令在电子设备上运行时，使得电子设备执行如权利要求1至16任一项的协议数据单元会话建立方法。

第七方面，本申请中第二方面到第六方面及其各种实现方式的具体描述，可以参考第一方面及其各种实现方式中的详细描述；并且，第二方面到第六方面及其各种实现方式的有益效果，可以参考第一方面及其各种实现方式中的有益效果分析，此处不再赘述。

本申请的这些方面或其他方面在以下的描述中会更加简明易懂。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一种5G的系统架构图；

图2为一种终端示意图；

图3为一种协议数据单元会话建立方法示意图一；

图4为一种协议数据单元会话建立方法中应用程序的主界面显示图；

图5为一种协议数据单元会话建立方法示意图二；

图6为一种协议数据单元会话建立装置示意图一；

图7为一种协议数据单元会话建立装置示意图二；

图8为一种协议数据单元会话建立装置示意图三；

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

本申请提供的技术方案可以应用于部署了网络切片的移动通信系统中。该移动通信系统可以包括：终端设备、接入网设备、核心网设备。

其中，接入网设备向其覆盖区域中提供接入网，核心网设备提供核心网作为数据传输的通道。终端设备接入前述接入网设备，进而通过接入网设备连接的核心网，以访问数据网络(data network，DN)，实现终端设备访问DN的数据实现业务数据传输。或者，终端设备接入前述接入网设备，进而通过接入网设备连接的核心网实现与其他终端设备的数据传输。

其中，上述移动通信网络可以为4G网络、5G网络或者其他制式的网络，本申请实施例对此不予限定。

示例性的，上述移动通信网络可以包括：终端设备、接入网网元、移动性管理网元、会话管理网元、用户面网元、策略控制网元、网络切片选择网元、网络数据分析网元、应用功能网元以及DN。

终端设备，又称之为用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal，MT)等，是一种向用户提供语音和/或数据连通性的设备。例如，终端包括具有无线连接功能的手持式设备、车载设备等。目前，终端可以是：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobileinternetdevice，MID)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmentedreality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端，或智慧家庭(smart home)中的无线终端等。

接入网(access network,AN)，负责终端的无线侧接入，包括gNB/NR-NB、传输接收点(transmission reception point，TRP)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base stationcontroller，BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如，homeevolved nodeB，或home node B，HNB)、基带单元(base bandunit，BBU)，或无线保真(wireless fidelity，Wifi)接入点(access point，AP)等。

移动性管理网元，可以是5G中的AMF；或者，可以是4G中服务网关(servinggateWay，SGW)的控制面功能(SGW-C)或移动性管理实体(mobility management entity，MME)；或者是以上网元融合后形成的控制功能的全部或部分。移动性管理网元负责移动网络中终端的接入与移动性管理。

会话管理网元，负责转发路径管理，如向用户面网元下发报文转发策略，指示用户面网元根据报文转发策略进行报文处理和转发。会话管理网元可以是5G中的会话管理功能(session management function，SMF)，负责会话管理，如会话创建/修改/删除，用户面网元选择以及用户面隧道信息的分配和管理等。会话管理网元还可以是4G中的服务网关的控制面功能(SGW-C)或分组数据网(packet data network，PDN)网关(gate way，GW)的控制面功能(PGW-C)，会话管理网元还可以是SMF和PGW-C网元融合后形成的控制功能的全部或部分。

用户面网元，可以是5G架构中的用户面功能(user plane function，UPF)。UPF负责报文处理与转发。用户面网元还可以是PGW的转发面功能(PGW-U)、SGW的转发面功能(SGW-U)、路由器、交换机等物理或虚拟的转发设备。

策略控制网元，可以是5G架构中的策略控制功能(policy control function，PCF)实体，可用于负责策略控制决策等功能。

网络切片选择网元(或网络切片选择功能/网络切片选择功能实体)，可以是5G架构中的网络切片选择功能(network slice selection function，NSSF)，用于为终端的业务选择合适的网络切片。

网络数据分析网元(或网络数据分析功能/网络数据分析功能实体)，可以是5G架构中的网络数据分析功能(network data analytics function，NWDAF)，用于为终端或者网络提供数据存储、分析等服务功能。

DN，为终端提供数据传输服务，可以是PDN网络，如因特网(internet)、IP多媒体业务(IP multi-media Service，IMS)等。

AF网元，该功能实体是提供应用业务网元，主要对IP-CAN用户面行为进行动态策略/计费控制。这些业务需要动态策略和计费控制。AF通过Rx参考点，传送PCRF需要的动态会话信息，接收IP连接接入网(IP-CAN)的特定信息和IP-CAN承载层事件的确认。

需要说明的是，本申请实施例中所述的网元还可以称为功能或功能实体，例如，移动性管理网元还可以称为移动性管理功能或移动性管理功能实体，会话管理网元还可以称为会话管理功能或会话管理功能实体，用户面网元还可以称为用户面功能或用户面功能实体、策略控制功能还可以称为策略控制功能实体或策略控制网元。

各个网元的名称在本申请中不做限定，本领域技术人员可以将上述网元的名称更换为其它名称而执行相同的功能，均属于本申请保护的范围。

示例性的，图1示意了5G的系统架构。

目前，第三代合作伙伴计划(3GPP)协议定义了网络切片，为不同应用需求提供定制化的虚拟网络。网络切片实例可以是一个包括终端、接入网、传输网、核心网和应用服务器的完整的端到端网络，能够提供完整的通信服务，具有一定网络能力。网络切片实例也可以是终端、接入网、传输网、核心网和应用服务器的任意组合。本申请实施例的描述中，网络切片实例和网络切片类型均用网络切片来表示，当描述到网络切片时，可以是指网络切片类型，或者是指网络切片实例。

首先，为了便于理解本申请实施例，对本申请实施例涉及的一些技术术语进行描述：

网络切片(network slice，NS)：是一个具备特定网络特性的逻辑网络，是满足3GPP提出的5G移动通信网络关于网络差异化需求的关键技术。不同网络切片之间逻辑上是隔离的，它可以按照需求方的要求灵活地提供一种或者多种网络服务。一个网络切片由单网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI)来标识。S-NSSAI由切片服务类型(slice service type，SST)和切片区分标识(slice differentiator，SD)组成。

PDU会话：用于在终端设备和数据网络之间传输数据，一条PDU会话只能在一个切片内建立。为了选择建立PDU会话的切片，本地公用陆地移动网络(Home Public LandMobile Network，HPLMN)向UE提供网络切片选择策略(network slice selection policy，NSSP)，该策略将一个应用关联至一个或多个HPLMN的单个网络切片选择辅助信息(SingleNetwork Slice Selection Assistance Information)中。

本申请中提到的应用程序可以在如图2所述的终端设备A中，鉴权模块可以在应用程序所在的终端设备A上，也可以在接入网中。该终端A已安装微信应用201、智能交通应用202、电话应用203、浏览器应用204。

本申请实施例提供一种协议数据单元会话建立方法，应用于应用程序，如图3，该方法包括：

S301、验证鉴权模块的合法性，鉴权模块用于在应用程序申请建立协议数据单元会话前对应用程序进行鉴权，协议数据单元会话用于使用目标切片的切片服务。

在本申请的一些实施例中，在验证鉴权模块的合法性之前，还包括：向鉴权模块发送第五消息，第五消息包括应用程序的信息和目标切片的标识信息。如果接收到鉴权模块发送的第六消息，则验证应用程序的使用权限。第六消息是鉴权模块在根据应用程序的信息和目标切片的标识信息确定应用程序开通的切片服务包括目标切片的情况下发送的。

示例性的，如果微信应用201开通的切片服务中包括视频流量服务。那么，微信向鉴权模块发送的第五消息可以包括微信的信息APP ID(com.tencent.m m)、OS ID(00330-80000-00000-AA895)和目标切片的标识信息(S-NSSAI 3)。鉴权模块收到第五消息后，判断com.tencent.mm+00330-80000-00000-AA895是否有使用S-NSSAI 3的权限。图4是给出的一种协议数据单元会话建立方法中应用程序的主界面显示图。如果有权限，应用程序接收来自鉴权模块的第六消息。如果没有权限，应用程序接收来自鉴权模块的鉴权失败消息，鉴权流程结束。应用程序收到鉴权失败的消息后，如图4所示，在屏幕上显示“页面走丢了…。”

在应用程序开通的切片服务包括目标切片的情况下，需要验证鉴权模块的合法性，才能确定鉴权模块不是盗版软件或者流氓软件。而在验证鉴权模块的合法性之前，还需要接收来自鉴权模块的公钥算子，确定公钥。

需要说明的是，应用程序预先获得的公钥算子是由鉴权模块分配的，与鉴权模块的私钥算子相对应。根据公钥算子可以得到公钥P，根据私钥算子得到私钥S。公钥算子与私钥算子相对应。

但是，根据公钥算子和私钥算子，可以得到的公钥和私钥可能不止一个。

示例性的，根据公钥算子，得到公钥P1、P2、P3，可以随机选取其中的P2作为公钥。

或者，如果根据公钥算子，得到公钥P1、P2、P3。假定预设规则为根据地理位置的变化，选取在当前地理位置下对应的公钥。比如：地理位置为公司，选择公钥P1；地理位置为家，选择公钥P2；地理位置为工厂，选择公钥P3。那么，假设当前的地理位置为公司，则选取其中的P1作为公钥。

又或者，如果根据公钥算子，得到公钥P1、P2、P3。假定预设规则为根据时间的变化，选择在当前时间段下对应的公钥。比如：在00:00-08:00的时间段内，选择P1作为公钥；在08:00-16:00的时间段内，选择P2作为公钥；在16:00-24:00的时间段内，选择P3作为公钥。那么，假设在09:00发起验证，则选取其中的P2作为公钥。

在获得公钥之后，可以使用公钥验证鉴权模块的合法性。

在本申请的一些实施例中，验证鉴权模块的合法性，包括：向鉴权模块发送第三消息，第三消息至少包括使用预先获得的公钥对预设字段进行加密所得到的加密字段。接收鉴权模块发送的第四消息，第四消息包括鉴权模块根据公钥对应的私钥对加密字段进行解密所得到的解密字段。如果解密字段与预设字段一致，则确定鉴权模块合法。

示例性的，假设预设字段为“561”，根据预先获得的公钥P加密后得到“5654”。则将“5654”发送给鉴权模块。鉴权模块收到“5654”后，根据私钥S对其进行解密，将解密后的结果发送给应用程序。如果应用程序收到的解密字段是“561”，则说明鉴权模块是合法的。如果应用程序收到的解密字段不是“561”，则说明鉴权模块不是合法的，则鉴权失败，鉴权流程结束。如图4所示，在终端设备A的屏幕上显示“页面走丢了…”。

示例性的，第三消息中还可以包括应用程序的信息APP ID(com.tencent.m m)、OSID(00330-80000-00000-AA895)和目标切片的标识信息(S-NSSAI 3)。根据下表1中的对应关系，找到对应的私钥算子S3。需要说明的是，此对应关系可以根据情景的变化进行更新，本申请对此不作任何限制。

表1

	S-NSSAI 1	S-NSSAI 2	S-NSSAI 3
				com.tencent.mm	S1	S2	S3
com.tencent.cn	S4	S5	S6

在验证鉴权模块合法的情况下，还需要证明应用程序的合法性。

S302、在验证鉴权模块合法的情况下，向鉴权模块发送第一消息，第一消息包括切片使用标识，切片使用标识为应用程序开通目标切片的切片服务成功时获得的唯一性标识。

其中，切片使用标识可以不止一个，也可以是两个或者多个。示例性的，第一消息中可能包括切片使用标识AAA。也可能包括切片使用标识AAA、切片使用标识DDD。

可以看出，第一消息包括切片使用标识SDS，还包括应用程序的信息APP ID(com.tencent.mm)、OS ID(00330-80000-00000-AA895)和目标切片的标识信息(S-NSSAI3)。鉴权模块收到第一消息后，根据下表2中的对应关系确定切片使用标识。再与第一消息中的切片使用标识进行对比。需要说明的是，该表格可能会随着情景的改变而发生变化，本申请对此不作任何限制。

表2

	S-NSSAI 1	S-NSSAI 2	S-NSSAI 3
				com.tencent.mm	AAA	SSS	SDS
com.tencent.cn	SED	F	SFF

示例性的，如果第一消息包括切片使用标识SDS，还包括应用程序的信息APP ID(com.tencent.mm)、OS ID(00330-80000-00000-AA895)和目标切片的标识信息(S-NSSAI3)。那么，根据表格，找到对应的切片使用标识是SDS。第一消息中的切片使用标识也是SDS，两者一致，可以确定第一消息中的切片使用标识是正确的。

或者，如果第一消息包括切片使用标识AAA，还包括应用程序的信息APP ID(com.tencent.mm)、OS ID(00330-80000-00000-AA895)和目标切片的标识信息(S-NSSAI3)。那么，根据表格，找到对应的切片使用标识是SDS。第一消息中的切片使用标识是AAA，两者不一致，可以确定第一消息中的切片使用标识是不正确的。

除了切片使用标识之外，还可以用其他的信息来对切片进行判断。

示例性的，假设智能交通应用202授权了切片使用标识SDS，用于使用行驶控制流量，那么，该辅助描述信息可以为“停车”、“加速”、“左拐”、“右拐”等。也就是说，第一消息中包括切片使用标识SDS和辅助描述信息“停车”。那么，为了安全考虑，在鉴权通过之后，会为该信令分配高可靠等级的信息传输策略。

或者，假设智能交通应用202授权了两个切片使用标识，分别是AAA、SDS。假定AAA用于使用视频流量，SDS用于使用行驶控制流量。如果第一消息中包括切片使用标识SDS和辅助描述信息“停车”。那么，为了安全考虑，在鉴权通过之后，会为该信令分配高可靠等级的传输。如果第一消息中包括切片使用标识AAA和辅助描述信息“停车”。那么，因为使用视频流量并不需要很高的精确性，所以会拒绝执行该信令。

发送第一消息后，鉴权模块对第一消息进行验证，如果验证通过，向应用程序发送第二消息。如果验证不通过，向应用程序发送鉴权失败消息，鉴权流程结束。应用程序收到鉴权失败的消息后，如图4所示，在屏幕上显示”页面走丢了...。”

S303、当接收到鉴权模块发送的第二消息时，请求建立协议数据单元会话，第二消息表征鉴权模块对切片使用标识验证通过。

需要说明的是，当接收到鉴权模块发送的第二消息时，已经验证过鉴权模块和应用程序的合法性。所以可以向AMF发送验证通过的确认消息。请求建立协议数据单元会话，也就是PDU会话。

以上是在建立协议数据单元会话过程中，应用程序端的步骤。如上所述，除了应用程序外，还需要鉴权模块的配合。

本申请实施例提供一种协议数据单元会话建立方法，应用于鉴权模块，如图5，该方法包括：

S501、接收应用程序在验证鉴权模块合法的情况下发送的第一消息，第一消息包括切片使用标识，切片使用标识为应用程序开通目标切片的切片服务成功时获得的唯一性标识。

其中，切片使用标识可以不止一个，也可以是两个或者多个。示例性的，接收到应用程序发送的第一消息可能包括切片使用标识AAA。也可能包括切片使用标识AAA、切片使用标识DDD。

在接收应用程序发送的第一消息前，需要对应用程序进行验证。

示例性的，如果接收到的第三消息为“5654”，根据公钥对其进行解密，将解密后的解密字段作为第四消息，发送给应用程序。

需要说明的是，上述的公钥算子是由鉴权模块发送给应用程序的，私钥算子保存在鉴权模块中。根据公钥算子可以得到公钥P，根据私钥算子得到私钥S。公钥算子与私钥算子相对应。

私钥算子产生的私钥可以解密上述用公钥加密过的加密字段。

示例性的，第三消息中还可以包括应用程序的信息APP ID(com.tencent.m m)、OSID(00330-80000-00000-AA895)和目标切片的标识信息(S-NSSAI 3)。根据上表2中的对应关系，可以找到对应的私钥算子S3。

示例性的，如果微信应用程序开通的切片服务中包括视频流量服务。那么，微信向鉴权模块发送的第五消息可以包括微信的信息APP ID(com.tencent.m m)、OS ID(00330-80000-00000-AA895)和目标切片的标识信息(S-NSSAI 3)。鉴权模块收到第五消息后，判断com.tencent.mm+00330-80000-00000-AA895是否有使用S-NSSAI 3的权限。如果有权限，向应用程序发送第六消息。如果没有权限，向应用程序发送鉴权失败消息，鉴权流程结束。应用程序收到鉴权失败的消息后，如图4所示，在屏幕上显示”页面走丢了...。”

在鉴权模块的鉴权通过之后，需要验证应用程序的合法性。

可以看出，第一消息包括切片使用标识SDS，还可以包括应用程序的信息APP ID(com.tencent.mm)、OS ID(00330-80000-00000-AA895)和目标切片的标识信息(S-NSSAI3)。鉴权模块收到第一消息后，根据上述表2中的对应关系确定切片使用标识。再与第一消息中的切片使用标识进行对比，具体的示例在上述应用程序部分已作出列举，此处不再赘述。

示例性的，假设智能交通应用202授权了切片使用标识SDS，用于使用行驶控制流量，那么，该辅助描述信息可以为“停车”、“加速”、“左拐”、“右拐”等。也就是说，第一消息中包括切片使用标识SDS和辅助描述信息“停车”。那么，鉴权模块收到第一消息后，对第一消息进行验证。假定切片使用标识的验证通过。因为切片使用标识SDS被授权用于使用行驶控制流量，“停车”属于行驶控制，所以该辅助描述信息的验证也通过。之后向应用程序发送第二消息。

S502、在对切片使用标识验证通过的情况下，向应用程序发送第二消息，以使应用程序请求建立协议数据单元会话，协议数据单元会话用于使用目标切片的切片服务。

PDU会话建立成功后，UE接入UE移动后该位置信息对应的网络切片。

上述主要从各个节点之间交互的角度对本申请提供的方案进行了介绍。可以理解的是，各个节点，例如装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本申请可以根据上述方法示例对装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图示出本申请实施例提供的一种协议数据单元会话建立装置，应用于应用程序。如图6所示，该装置包括：验证单元601、发送单元602和接收单元603。

其中，验证单元601，用于验证鉴权模块的合法性，鉴权模块用于在应用程序申请建立协议数据单元会话前对应用程序进行鉴权，协议数据单元会话用于使用目标切片的切片服务。例如，验证单元601可以用于执行图3中示意的过程S301。

发送单元602，用于在验证鉴权模块合法的情况下，向鉴权模块发送第一消息，第一消息包括切片使用标识，切片使用标识为应用程序开通目标切片的切片服务成功时获得的唯一性标识。还用于当接收到鉴权模块发送的第二消息时，请求建立协议数据单元会话。例如，发送单元602可以用于执行图3中示意的过程S302。

接收单元603，用于接收鉴权模块发送的第二消息，第二消息表征鉴权模块对切片使用标识验证通过。例如，接收单元603可以用于执行图3中示意的过程S303。

发送单元602，还用于向鉴权模块发送第三消息，所述第三消息至少包括使用预先获得的公钥对预设字段进行加密所得到的加密字段。

接收单元603，还用于接收所述鉴权模块发送的第四消息，所述第四消息包括所述鉴权模块根据所述公钥对应的私钥对所述加密字段进行解密所得到的解密字段。

发送单元602，还用于向所述鉴权模块发送第五消息，所述第五消息包括所述应用程序的信息和所述目标切片的标识信息。

接收单元603，还用于接收所述鉴权模块发送的第六消息。

可选的，如图7所示，协议数据单元会话建立装置还包括：存储单元704。

可选的，存储单元704，用于将对应关系存储于应用程序。

另外，图示出本申请实施例提供的一种协议数据单元会话建立装置，应用于鉴权模块。如图8所示，该装置包括：接收单元801、验证单元802和发送单元803。

其中，接收单元801，用于接收应用程序在验证鉴权模块合法的情况下发送的第一消息，第一消息包括切片使用标识，切片使用标识为应用程序开通目标切片的切片服务成功时获得的唯一性标识。例如，接收单元801可以用于执行图5中示意的过程S501。

验证单元802，用于对切片使用标识进行验证。

发送单元803，用于在对切片使用标识验证通过的情况下，向应用程序发送第二消息，以使应用程序请求建立协议数据单元会话，协议数据单元会话用于使用目标切片的切片服务。例如，发送单元803可以用于执行图5中示意的过程S502。

发送单元803，还用于在对所述切片使用标识和所述辅助描述信息验证通过的情况下，向所述应用程序发送所述第二消息。

接收单元801，还用于接收所述应用程序发送的第三消息，所述第三消息至少包括所述应用程序使用预先获得的公钥对预设字段进行加密所得到的加密字段。

发送单元803，还用于向应用程序发送第四消息，所述第四消息包括根据所述公钥对应的私钥对所述加密字段进行解密所得到的解密字段。

接收单元801，还用于接收所述应用程序发送的第五消息，所述第五消息包括所述应用程序的信息和所述目标切片的标识信息。

发送单元803，还用于在根据所述应用程序的信息和所述目标切片的标识信息确定所述应用程序开通的切片服务包括所述目标切片的情况下，向所述应用程序发送第六消息。

图6、图7和图8中的各个单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。存储计算机软件产品的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机执行指令。在计算机上加载和执行计算机执行指令时，全部或部分地产生按照本申请实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机执行指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机执行指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

本申请实施例还提供了一种计算机可读存储介质，包括计算机执行指令，当其在计算机上运行时，使得计算机执行上述任一方法。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看附图、公开内容、以及所附权利要求书，可理解并实现公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种协议数据单元会话建立方法，应用于应用程序，其特征在于，所述方法包括：

验证鉴权模块的合法性，所述鉴权模块用于在所述应用程序申请建立协议数据单元会话前对所述应用程序进行鉴权，所述协议数据单元会话用于使用目标切片的切片服务；

在验证所述鉴权模块合法的情况下，向所述鉴权模块发送第一消息，所述第一消息包括切片使用标识，所述切片使用标识为所述应用程序开通所述目标切片的切片服务成功时获得的唯一性标识；

当接收到所述鉴权模块发送的第二消息时，请求建立所述协议数据单元会话，所述第二消息表征所述鉴权模块对所述切片使用标识验证通过。

2.根据权利要求1所述的协议数据单元会话建立方法，其特征在于，所述第一消息还包括所述应用程序的信息和所述目标切片的标识信息；所述应用程序的信息和所述目标切片的标识信息用于使所述鉴权模块查找到预先存储的与所述应用程序的信息和所述目标切片的标识信息对应的切片使用标识，以根据查找到的切片使用标识对所述第一消息中的切片使用标识进行验证。

3.根据权利要求1所述的协议数据单元会话建立方法，其特征在于，所述第一消息还包括辅助描述信息，所述辅助描述信息用于描述所述应用程序通过所述目标切片的切片服务所实现的通信过程所具有的一个或者多个特征；所述第二消息表征所述鉴权模块对所述切片使用标识和所述辅助描述信息验证通过。

4.根据权利要求1所述的协议数据单元会话建立方法，其特征在于，所述验证鉴权模块的合法性，包括：

向鉴权模块发送第三消息，所述第三消息至少包括使用预先获得的公钥对预设字段进行加密所得到的加密字段；

接收所述鉴权模块发送的第四消息，所述第四消息包括所述鉴权模块根据所述公钥对应的私钥对所述加密字段进行解密所得到的解密字段；

如果所述解密字段与所述预设字段一致，则确定所述鉴权模块合法。

5.根据权利要求4所述的协议数据单元会话建立方法，其特征在于，所述预先获得的公钥是根据所述应用程序预先获得的公钥算子计算得到的，所述公钥对应的私钥是所述鉴权模块根据与所述公钥算子对应的私钥算子计算得到的。

6.根据权利要求4所述的协议数据单元会话建立方法，其特征在于，所述预先获得的公钥是根据所述应用程序预先获得的公钥算子计算得到的多个公钥中的任意一个，或者，所述预先获得的公钥是根据预设规则从所述多个公钥中确定出的一个；所述公钥对应的私钥是所述鉴权模块根据与所述公钥算子对应的私钥算子计算得到的。

7.根据权利要求5或6所述的协议数据单元会话建立方法，其特征在于，所述第三消息还包括所述应用程序的标识信息和所述目标切片的标识信息；所述公钥算子对应的私钥算子是所述鉴权模块从预设密钥信息中确定出与所述应用程序的标识信息和所述目标切片的标识信息对应的私钥算子。

8.根据权利要求1所述的协议数据单元会话建立方法，其特征在于，所述验证鉴权模块的合法性之前，还包括：

向所述鉴权模块发送第五消息，所述第五消息包括所述应用程序的信息和所述目标切片的标识信息；

如果接收到所述鉴权模块发送的第六消息，则验证所述鉴权模块的合法性；所述第六消息是所述鉴权模块在根据所述应用程序的信息和所述目标切片的标识信息确定所述应用程序开通的切片服务包括所述目标切片的情况下发送的。

9.一种协议数据单元会话建立方法，应用于鉴权模块，其特征在于，所述方法包括：

接收应用程序在验证所述鉴权模块合法的情况下发送的第一消息，所述第一消息包括切片使用标识，所述切片使用标识为所述应用程序开通所述目标切片的切片服务成功时获得的唯一性标识；

在对所述切片使用标识验证通过的情况下，向所述应用程序发送第二消息，以使所述应用程序请求建立协议数据单元会话，所述协议数据单元会话用于使用目标切片的切片服务。

10.根据权利要求9所述的协议数据单元会话建立方法，其特征在于，所述第一消息还包括所述应用程序的信息和所述目标切片的标识信息；所述应用程序的信息和所述目标切片的标识信息用于查找到预先存储的与所述应用程序的信息和所述目标切片的标识信息对应的切片使用标识，以根据查找到的切片使用标识对所述第一消息中的切片使用标识进行验证。

11.根据权利要求9所述的协议数据单元会话建立方法，其特征在于，所述第一消息还包括辅助描述信息，所述辅助描述信息用于描述所述应用程序通过所述目标切片的切片服务所实现的通信过程所具有的一个或者多个特征；

在对所述切片使用标识验证通过的情况下，向所述应用程序发送第二消息，包括：

在对所述切片使用标识和所述辅助描述信息验证通过的情况下，向所述应用程序发送所述第二消息。

12.根据权利要求10所述的协议数据单元会话建立方法，其特征在于，所述接收应用程序在验证所述鉴权模块合法的情况下发送的第一消息之前，还包括：

接收所述应用程序发送的第三消息，所述第三消息至少包括所述应用程序使用预先获得的公钥对预设字段进行加密所得到的加密字段；

向应用程序发送第四消息，所述第四消息包括根据所述公钥对应的私钥对所述加密字段进行解密所得到的解密字段。

13.根据权利要求12所述的协议数据单元会话建立方法，其特征在于，所述预先获得的公钥是所述应用程序根据预先获得的公钥算子计算得到的，所述公钥对应的私钥是根据与所述公钥算子对应的私钥算子计算得到。

14.根据权利要求12所述的协议数据单元会话建立方法，其特征在于，所述预先获得的公钥是所述应用程序根据预先获得的公钥算子计算得到的多个公钥中的任意一个，或者，所述预先获得的公钥是所述应用程序根据预设规则从所述多个公钥中确定出的一个；所述公钥对应的私钥是根据与所述公钥算子对应的私钥算子计算得到的。

15.根据权利要求13或14所述的协议数据单元会话建立方法，其特征在于，所述第三消息还包括所述应用程序的标识信息和所述目标切片的标识信息；与所述公钥算子对应的私钥算子是从预设密钥信息中确定出的与所述应用程序的标识信息和所述目标切片的标识信息对应的私钥算子。

16.根据权利要求12所述的协议数据单元会话建立方法，其特征在于，所述接收所述应用程序发送的第三消息之前，还包括：

接收所述应用程序发送的第五消息，所述第五消息包括所述应用程序的信息和所述目标切片的标识信息；

在根据所述应用程序的信息和所述目标切片的标识信息确定所述应用程序开通的切片服务包括所述目标切片的情况下，向所述应用程序发送第六消息。

17.一种协议数据单元会话建立装置，应用于应用程序，其特征在于，包括：

验证单元，用于验证鉴权模块的合法性，所述鉴权模块用于在所述应用程序申请建立协议数据单元会话前对所述应用程序进行鉴权，所述协议数据单元会话用于使用目标切片的切片服务；

发送单元，用于在验证所述鉴权模块合法的情况下，向所述鉴权模块发送第一消息，所述第一消息包括切片使用标识，所述切片使用标识为所述应用程序开通所述目标切片的切片服务成功时获得的唯一性标识；

接收单元，用于接收所述鉴权模块发送的第二消息，所述第二消息表征所述鉴权模块对所述切片使用标识验证通过；

发送单元，还用于当接收到所述鉴权模块发送的第二消息时，请求建立所述协议数据单元会话。

18.一种协议数据单元会话建立装置，应用于鉴权模块，其特征在于，包括：

接收单元，用于接收应用程序在验证所述鉴权模块合法的情况下发送的第一消息，所述第一消息包括切片使用标识，所述切片使用标识为所述应用程序开通所述目标切片的切片服务成功时获得的唯一性标识；

验证单元，用于对所述切片使用标识进行验证；

发送单元，用于在对所述切片使用标识验证通过的情况下，向所述应用程序发送第二消息，以使所述应用程序请求建立协议数据单元会话，所述协议数据单元会话用于使用目标切片的切片服务。

19.一种电子设备，其特征在于，包括一个或多个处理器和一个或多个存储器；

所述一个或多个存储器与所述一个或多个处理器耦合，所述一个或多个存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，当所述一个或多个处理器执行所述计算机指令时，所述电子设备执行如权利要求1至16任一项所述的协议数据单元会话建立方法。

20.一种计算机存储介质，其特征在于，包括计算机指令，当所述计算机指令在电子设备上运行时，使得所述电子设备执行如权利要求1至16任一项所述的协议数据单元会话建立方法。