CN115843028A - 网络验证的方法和装置 - Google Patents
网络验证的方法和装置 Download PDFInfo
- Publication number
- CN115843028A CN115843028A CN202111101898.8A CN202111101898A CN115843028A CN 115843028 A CN115843028 A CN 115843028A CN 202111101898 A CN202111101898 A CN 202111101898A CN 115843028 A CN115843028 A CN 115843028A
- Authority
- CN
- China
- Prior art keywords
- session
- slice
- network element
- network
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络验证的方法和装置,该方法可以包括:切片统计网元(40)接收来自会话管理网元(30)的切片会话统计请求消息(410),该切片会话统计请求消息(410)包括终端设备(10)的标识、第一网络切片的标识和第一会话的标识;响应于该注册请求消息,该切片统计网元(40)判断该终端设备是否占用了该第一网络切片的资源和/或建立了该第一会话;根据判断结果,该切片统计网元(40)确定是否将该第一会话计入接入该第一网络切片的会话统计。上述可以防止恶意的移动管理网元通过请求将该终端设备未在该网络切片上建立的会话计入该网络切片的会话统计,来发起拒绝服务攻击。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种网络验证的方法和装置。
背景技术
为了应对网络流量的爆炸性增长,第五代移动通信(the fifth generation,5G)网络需要能够同时支持多样化的服务需求,以满足不同服务对网络吞吐量、延迟、数量和可靠性等指标要求。5G网络需要具有高带宽以承载虚拟现实、超高清视频和其他服务。同时5G网络需要提供海量连接和超低时延以更好的服务车联网业务、工业制造等。
不同的应用场景对网络功能、系统性能、安全性、用户体验等有不同的要求。如果使用同一网络提供服务,网络势必会非常复杂、繁琐,而且还会造成高额的网络维护费用。相反,如果对不同服务需求的不同业务提供专有网络,而且专有网络仅包含此类业务所需的功能,则该业务的服务效率将大大提高,网络性能也会得保障。这将会保证应用程序方案所需的网络性能,网络的操作和维护也会变得简单。
5G网络切片将现有网络进行分割,形成独立的逻辑网络,为差异化业务提供定制服务。根据不同的服务质量要求,通过分配相应的网络功能和网络资源,实现5G架构的实例化。5G网络切片的逻辑网络是网络功能资源和这些网络功能配置的集合。这个逻辑网络包含满足特定业务需求的网络特征。
5G网络中,可以通过对网络切片上的PDU会话的数量的统计和限制实现对网络切片的准入控制。在UE通过SMF在网络切片上建立PDU会话时,SMF会通知NSACF更新网络切片上的PDU会话的数量,当网络切片上的PDU会话的数量达到最大值时,NSACF会阻止UE在该网络切片上建立PDU会话。然而,当SMF发生异常或被攻击者攻破后,SMF可能会恶意向NSACF请求更新一些网络切片上的PDU会话的数量,这会导致这些网络切片上的PDU会话数量很快达到满额,使得其他UE无法在该网络切片上建立PDU会话,从而引起网络切片的拒绝服务。因此,如何防止AMF通过每网络切片PDU会话数量可用性检查和更新流程发起DoS攻击,是当前亟待解决的问题。
发明内容
本申请提供了一种网络验证的方法和装置,以防止恶意的会话管理网元通过请求将会话计入该会话未占用的网络切片的会话统计,来发起拒绝服务攻击。
第一方面,提供了一种网络验证的方法,该方法包括:切片统计网元(40)接收来自会话管理网元(30)的切片会话统计请求消息(410),该切片会话统计请求消息(410)包括终端设备(10)的标识、第一网络切片的标识和第一会话的标识;响应于该会话统计请求消息,该切片统计网元(40)判断该终端设备是否占用了该第一网络切片的资源和/或建立了该第一会话;根据判断结果,该切片统计网元(40)确定是否将该第一会话计入接入该第一网络切片的会话统计。
应理解,该切片统计网元(40)判断该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话,还可以是,切片统计网元判断终端设备(10)是否建立了该第一会话,且该第一会话是否占用了该第一网络切片的资源,或者是,该切片统计网元(40)判断终端设备(10)判断该终端设备建立了第一网络切片上的第一会话。
基于上述技术方案,切片统计网元根据终端设备是否建立了网络切片上的会话,来确定是否将该会话计入接入该网络切片的会话统计,从而可以防止恶意的移动管理网元通过请求将该终端设备未在该网络切片上建立的会话计入该网络切片的会话统计,来发起拒绝服务攻击。
结合第一方面,在第一方面的某些实现方式中,该切片统计网元(40)判断该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话,包括:该切片统计网元(40)向存储网元(50)发送会话信息请求消息(428),该会话信息请求消息(428)包括该终端设备(10)的标识,该会话信息请求消息(428)用于请求获取该终端设备(10)建立的会话的会话信息;该切片统计网元(40)接收来自该存储网元(50)的该会话信息或未建立会话的指示信息(429),该会话信息包括第二网络切片的标识和第二会话的标识,该第二会话为该终端设备(10)建立的会话,该第二网络切片为该第二会话所占用的网络切片;该切片统计网元(40)根据该会话信息或该未建立会话的指示信息(429),判断该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话。
基于上述技术方案,切片统计网元通过存储网元获取终端设备建立的会话的会话信息,从而可以根据该会话信息来判断该终端设备是否在该网络切片上建立了会话,从而可以确定是否将该会话计入接入该网络切片的会话统计。
结合第一方面,在第一方面的某些实现方式中,该切片统计网元(40)根据该会话信息或该未建立会话的指示信息(429),判断该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话,包括:在该切片统计网元(40)接收到来自该存储网元(50)的未建立会话的指示信息的情况下,该切片统计网元(40)确定该终端设备(10)未建立该第一会话;在该切片统计网元(40)接收到来自该存储网元(50)的会话信息的情况下,该切片统计网元(40)验证该第一网络切片的标识和第二网络切片的标识是否相同,以及该第一会话的标识和该第二会话的标识是否相同;在该第一网络切片的标识和该第二网络切片的标识相同,且该第一会话的标识和该第二会话的标识相同的情况下,该切片统计网元(40)确定该终端设备(10)占用了该第一网络切片的资源,且建立了该第一会话。
基于上述技术方案,切片统计管理网元可以根据获取到的未建立会话的指示信息,或者会话信息的内容,灵活验证该终端设备是否在该网络切片上建立了会话,从而可以确定是否将该会话计入接入该网络切片的会话统计。
结合第一方面,在第一方面的某些实现方式中,该切片统计网元(40)根据该会话信息或该未建立会话的指示信息(429),判断该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话,包括:该切片统计网元(40)向存储网元(50)或移动管理网元(20)发送会话验证请求消息(421),该会话验证请求消息(421)包括该终端设备(10)的标识、该第一网络切片的标识和该第一会话的标识,该会话验证请求消息(421)用于请求验证该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话;该切片统计网元(40)接收来自该存储网元(50)或移动管理网元(20)的指示信息;该切片统计网元(40)根据该指示信息(426)确定该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话。
基于上述技术方案,切片统计网元可以请求存储网元或移动管理网元验证该终端设备是否在该网络切片上建立了会话,从而可以确定是否将该会话计入接入该网络切片的会话统计。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:该切片统计网元(30)验证该终端设备(10)处于连接态。
结合第一方面,在第一方面的某些实现方式中,该切片统计网元(30)验证该终端设备(10)是否处于连接态,包括:该切片统计网元(30)向存储网元(40)发送切片验证请求消息(421),该切片验证请求消息(421)包括该终端设备(10)的标识;该切片统计网元(30)接收来自该存储网元(40)的状态指示信息;该切片统计网元(30)根据该状态指示信息确定该终端设备(10)是否处于连接条。
在该切片统计网元(30)确定终端设备(10)没有处于连接态时,切片统计网元(30)判断该终端设备(10)没有建立该第一网络切片上的第一会话,或者,该切片统计网元(30)判断该移动管理网元发生了异常,或者,该切片统计网元(30)确定不将该第一会话计入接入该第一网络切片的会话统计,或者,该切片统计网元(30)拒绝或忽略来自移动管理网元(20)的切片会话统计请求消息。
结合第一方面,在第一方面的某些实现方式中,在该切片统计网元(30)判断该终端设备(10)是否占用了该第一网络切片的资源,和/或建立了该第一会话之前,该方法还包括:该切片统计网元(30)验证该终端设备(10)是否接入了该移动管理网元(20),或者说,该切片统计网元(30)验证该终端设备(10)是否与该移动管理网元(20)对应。
结合第一方面,在第一方面的某些实现方式中,该切片统计网元(30)验证该终端设备(10)是否接入了该移动管理网元(20),包括:该切片统计网元(30)向存储网元(40)发送切片验证请求消息(421),该切片验证请求消息(421)包括该移动管理网元(20)的标识;该切片统计网元(30)接收来自该存储网元(40)的指示信息;该切片统计网元(30)根据该指示信息确定该终端设备(10)是否接入了该移动管理网元(20)。
在该切片统计网元(30)确定终端设备(10)未接入该移动管理网元(20)时,切片统计网元(30)判断该终端设备(10)没有建立该第一网络切片上的会话,或者,该切片统计网元(30)判断该移动管理网元发生了异常,或者,该切片统计网元(30)确定不将第一会话计入接入该第一网络切片的会话统计,或者,该切片统计网元(30)拒绝或忽略来自移动管理网元(20)的切片会话统计请求消息。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:该切片统计网元(30)验证计入该网络切片的会话统计的一个或多个会话是否建立在该第一网络切片上,或者说,该切片统计网元(30)验证计入该网络切片的会话统计的一个或多个会话所对应的终端设备是否占用了该第一网络切片的资源。
结合第一方面,在第一方面的某些实现方式中,在该切片统计网元(30)验证计入该网络切片的会话统计的一个或多个会话是否建立在该第一网络切片上之后,该方法还包括:该切片统计网元设置并保存一个标识,该标识用于指示计入该第一网络切片的会话统计的会话已经进行了验证。
基于上述技术方案,当切片统计网元后续接收到某个会话管理网元的切片会话统计请求消息以请求对计入第一网络切片的会话统计进行更新,则在该标识的有效时间内,切片统计网元不需要再对这些计入该第一网络切片的会话进行验证,从而可以节省资源。
在该实现方式中,切片统计网元(30)可以在验证了终端设备(10)的同时,或者之后,验证计入该网络切片上的会话统计的其他会话是否建立在该第一网络切片上,当这些会话中的一个或多个没有建立在该第一网络切片上,或者说当这些会话中的一个或多个没有占用了该第一网络切片的资源,则切片统计网元(30)将该一个或多个会话从该第一网络切片的会话统计中删除,从而可以使得该网络切片上的会话统计更加准确。
结合第一方面,在第一方面的某些实现方式中,在该切片统计网元(40)判断该终端设备是否占用了该第一网络切片的资源和/或建立了该第一会话之前,该方法还包括:该切片统计网元(40)确定该终端设备(10)处于连接态。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:该切片统计网元(40)确定计入接入该第一网络切片上的会话统计的数量大于或等于阈值。
基于上述技术方案,接入该第一网络切片的会话统计的数量大于或等于设定的阈值的情况下,切片统计网元才去判断该终端设备是否占用了该第一网络切片的资源以及是否建立了该第一会话,而不是在任意情况都进行判断,从而可以节省资源。
结合第一方面,在第一方面的某些实现方式中,该根据判断结果,该切片统计网元(40)确定是否将该第一会话计入接入该第一网络切片的会话统计,包括:当该终端设备(10)占用了该第一网络切片的资源,且建立了该第一会话,该切片统计网元(40)将该第一会话计入接入该第一网络切片的会话统计;当该终端设备(10)没有占用该第一网络切片的资源,或没有建立该第一会话,该切片统计网元(40)不将该第一会话计入接入该第一网络切片的会话统计。
基于上述技术方案,切片统计网元可以根据判断结果确定是否将该第一会话计入接入该第一网络切片的会话统计,从而可以防止恶意的移动管理网元通过请求将该终端设备未建立的会话计入该网络切片的会话统计,来发起拒绝服务攻击。
结合第一方面,在第一方面的某些实现方式中,该切片会话统计请求消息(410)用于请求将该会话计入接入该网络切片上的会话统计的数量。
第二方面,提供了一种网络验证的方法,该方法包括:控制面网元接收来自切片统计网元(40)的会话验证请求消息(421),该会话验证请求消息(421)包括终端设备(10)的标识、第一网络切片的标识和第一会话的标识,该会话验证请求消息用于请求验证该终端设备(10)是否占用了该第一网络切片的资源,和/或建立了该第一会话;响应于该会话验证请求消息,该控制面网元获取该终端设备(10)的会话信息,该会话信息包括第二网络切片的标识和第二会话的标识,该第二会话为该终端设备(10)建立的会话,该第二网络切片为该第二会话占用的网络切片;该控制面网元网元根据该会话信息,验证该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话。
基于上述技术方案,存储网元根据会话验证请求消息,判断终端设备是否占用了网络切片的资源,和/或建立了该第一会话,从而可以向切片统计网元指示判断结果,以便切片统计网元可以确定是否将第一会话计入接入第一网络切片的会话统计,从而可以防止恶意的移动管理网元通过请求将该终端设备未建立的会话计入该第一网络切片的会话统计,来发起拒绝服务攻击。
结合第二方面,在第二方面的某些实现方式中,该控制面网元根据该会话信息,验证该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话,包括:该控制面网元验证该第一网络切片的标识和第二网络切片的标识是否相同,以及该第一会话的标识和该第二会话的标识是否相同;在该第一网络切片的标识和该第二网络切片的标识相同,且该第一会话的标识和该第二会话的标识相同的情况下,该控制面网元确定该终端设备(10)占用了该第一网络切片,且建立了该第一会话。
基于上述技术方案,存储网元可以根据获取到的会话信息的内容,灵活验证该终端设备是否占用了该网络切片的资源,和/或建立了该第一会话,以便切片管理网元可以确定是否将该第一会话计入接入该第一网络切片的会话统计。
结合第二方面,在第二方面的某些实现方式中,在该控制面网元为移动管理网元(20)的情形下,该控制面网元获取该终端设备(10)的会话信息,包括:该移动管理网元(20)根据该终端设备(10)的标识获取该终端设备(10)的上下文;该移动管理网元(20)从该终端设备(10)的上下文中获取该终端设备(10)的会话信息。
结合第二方面,在第二方面的某些实现方式中,该控制面网元为存储网元(50)的情形下,该控制面网元获取该终端设备(10)的会话信息,包括:该存储网元(50)根据该终端设备(10)的标识,在本地获取该会话信息。
结合第二方面,在第二方面的某些实现方式中,该控制面网元获取该终端设备(10)的会话信息,包括:在该存储网元(50)本地没有该会话信息时,该存储网元(50)向该终端设备(10)发送会话信息请求消息(423),该会话信息请求消息(423)用于请求获取该终端设备(10)的该会话信息;该存储网元(50)接收来自该终端设备(10)的受到了完整性保护的会话信息响应消息(424),该会话信息响应消息(424)包括该会话信息和完整性校验参数,该完整性校验参数用于验证该会话信息是否被篡改。
基于上述技术方案,存储网元可以从本地获取该终端设备建立的会话的会话信息,或者向终端设备请求该会话信息,从而可以根据该会话信息判断终端设备是否占用了该网络切片的资源,和/或建立了该第一会话,以便切片管理网元可以确定是否将该第一会话计入接入该第一网络切片的会话统计。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:存储网元(40)验证该终端设备(10)是否处于连接态;在终端设备(10)未处于连接态的情况下,该存储网元(40)向切片管理网元(30)发送状态指示信息,该状态指示信息用于指示终端设备(10)未处于连接态,或者,存储网元(40)向切片管理网元(30)发送验证失败的指示信息。
结合第二方面,在第二方面的某些实现方式中,该存储网元(40)验证该终端设备(10)是否处于连接态,包括:该存储网元(40)根据终端设备(10)的标识获取终端设备(10)的上下文;如果存储网元(40)获取到了该终端设备(10)的上下文,且该上下文中的状态参数指示终端设备(10)处于连接态,则存储网元(40)确定终端设备(10)处于连接态;如果存储网元(40)没有获取到该终端设备(10)的上下文,则存储网元(40)确定终端设备(10)未处于连接态,或者说处于非连接态。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:存储网元(40)验证第一网络切片是否属于该终端设备(10)的签约网络切片或默认网络切片;在该第一网络切片不属于该终端设备(10)的签约网络切片或默认网络切片的情况下,该存储网元(40)向切片管理网元(30)发送第一网络切片不属于终端设备(10)的签约网络切片或默认网络切片的指示信息,或者,存储网元(40)向切片管理网元(30)发送验证失败的指示信息。
结合第二方面,在第二方面的某些实现方式中,该存储网元(40)验证第一网络切片是否属于该终端设备(10)的签约网络切片或默认网络切片,包括:该存储网元(40)根据该终端设备(10)的标识获取该终端设备(10)的签约信息;该存储网元(40)根据该终端设备(10)的签约信息确定该第一网络切片是否属于该终端设备(10)的签约网络切片或默认网络切片。
结合第二方面,在第二方面的某些实现方式中,该切片验证请求消息(421)还包括移动管理网元(20)的标识,该方法还包括:存储网元(40)验证该终端设备(10)是否接入了该移动管理网元(20);在该终端设备(10)没有接入该移动管理网元(20)的情况下,该存储网元(40)向切片管理网元(30)发送指示信息,该指示信息用于指示该终端设备(10)没有接入该移动管理网元(20),或者,该存储网元(40)向切片管理网元(30)发送验证失败的指示信息。
结合第二方面,在第二方面的某些实现方式中,该存储网元(40)验证该终端设备(10)是否接入了该移动管理网元(20),包括:该存储网元(40)根据终端设备(10)的标识获取终端设备(10)的上下文;该存储网元(40)根据该终端设备(10)的上下文验证该终端设备(10)是否接入了该移动管理网元(20)。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:该存储网元(50)向验证网元(60)发送验证请求消息,该验证请求消息包括该会话信息和该完整性校验参数,该验证请求消息用于请求验证该会话信息是否被篡改;该存储网元(50)接收来自该验证网元(60)的完整性验证指示信息;该存储网元(50)根据该完整性验证指示信息确定该会话信息是否被篡改。
基于上述技术方案,存储网元可以根据完整性校验参数验证来自终端设备的会话信息的完整性,从而防止切片信息被篡改。
结合第二方面,在第二方面的某些实现方式中,在该控制面网元获取该终端设备(10)的会话信息之前,该方法还包括:该控制面网元确定该第一网络切片的标识属于该终端设备(10)的签约网络切片。
基于上述技术方案,存储网元在判断终端设备是否建立了第一网络切片上的第一会话之前,先判断网络切片的标识是否属于终端设备的签约网络切片,在该网络切片的标识不属于终端设备的签约网络切片的情况下,存储网元便不需要执行后续判断流程,从而可以节省资源开销。
结合第二方面,在第二方面的某些实现方式中,该会话验证请求消息(421)用于请求验证该终端设备(10)是否占用了该第一网络切片的资源,和/或建立了该第一会话。
第三方面,提供了一种网络验证的方法,其特征在于,包括:在接受到会话建立接受消息之后,终端设备(10)生成具有完整性保护的消息,该消息包括该终端设备(10)的会话信息,该会话信息包括该终端设备(10)建立的会话的标识,和该会话占用的网络切片的标识;该终端设备(10)将该消息发送给存储网元(50)。
结合第三方面,在第三方面的某些实现方式中,该会话建立接受消息包括可扩展认证协议成功指示信息。
结合第三方面,在第三方面的某些实现方式中,该方法还包括:该终端设备(10)利用完整性密钥和该会话信息生成完整性校验参数,该消息中还包括该完整性校验参数,该完整性校验参数用于验证该会话信息是否被篡改。
第四方面,提供了一种网络验证的装置,该装置包括:收发模块(11),用于接收来自会话管理网元(30)的切片会话统计请求消息(410),该切片会话统计请求消息(410)包括终端设备(10)的标识、第一网络切片的标识和第一会话的标识;处理模块(12),用于响应于该会话统计请求消息,判断该终端设备是否占用了该第一网络切片的资源和/或建立了该第一会话;该处理模块(12),还用于根据判断结果,确定是否将该第一会话计入接入该第一网络切片的会话统计。
结合第四方面,在第四方面的某些实现方式中,该收发模块(11)具体用于:向存储网元(50)发送会话信息请求消息(428),该会话信息请求消息(428)包括该终端设备(10)的标识,该会话信息请求消息(428)用于请求获取该终端设备(10)建立的会话的会话信息;接收来自该存储网元(50)的该会话信息或未建立会话的指示信息(429),该会话信息包括第二网络切片的标识和第二会话的标识,该第二会话为该终端设备(10)建立的会话,该第二网络切片为该第二会话所占用的网络切片;该处理模块(12)具体用于:该切片统计网元(40)根据该会话信息或该未建立会话的指示信息(429),判断该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话。
结合第四方面,在第四方面的某些实现方式中,该处理模块(12)具体用于:在该收发模块(11)接收到来自该存储网元(50)的未建立会话的指示信息的情况下,确定该终端设备(10)未建立该第一会话;在该收发模块(11)接收到来自该存储网元(50)的会话信息的情况下,验证该第一网络切片的标识和第二网络切片的标识是否相同,以及该第一会话的标识和该第二会话的标识是否相同;在该第一网络切片的标识和该第二网络切片的标识相同,且该第一会话的标识和该第二会话的标识相同的情况下,确定该终端设备(10)占用了该第一网络切片的资源,且建立了该第一会话。
结合第四方面,在第四方面的某些实现方式中,该收发模块(11)具体用于:向存储网元(50)或移动管理网元(20)发送会话验证请求消息(421),该会话验证请求消息(421)包括该终端设备(10)的标识、该第一网络切片的标识和该第一会话的标识,该会话验证请求消息(421)用于请求验证该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话;接收来自该存储网元(50)或移动管理网元(20)的指示信息;该处理模块(12)具体用于:根据该指示信息(426)确定该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话。
结合第四方面,在第四方面的某些实现方式中,该处理模块(12)具体用于:确定该终端设备(10)处于连接态。
结合第四方面,在第四方面的某些实现方式中,该处理模块(12)还用于:确定计入接入该第一网络切片上的会话统计的数量大于或等于阈值。
结合第四方面,在第四方面的某些实现方式中,该处理模块(12)具体用于:当该终端设备(10)占用了该第一网络切片的资源,且建立了该第一会话,将该第一会话计入接入该第一网络切片的会话统计;当该终端设备(10)没有占用该第一网络切片的资源,或没有建立该第一会话,不将该第一会话计入接入该第一网络切片的会话统计。
结合第四方面,在第四方面的某些实现方式中,该切片会话统计请求消息(410)用于请求将该会话计入接入该网络切片上的会话统计的数量。
第五方面,提供了一种网络验证的装置,其特征在于,包括:收发模块(11),用于接收来自切片统计网元(40)的会话验证请求消息(421),该会话验证请求消息(421)包括终端设备(10)的标识、第一网络切片的标识和第一会话的标识,该会话验证请求消息用于请求验证该终端设备(10)是否占用了该第一网络切片的资源,和/或建立了该第一会话;处理模块(12),用于响应于该会话验证请求消息,获取该终端设备(10)的会话信息,该会话信息包括第二网络切片的标识和第二会话的标识,该第二会话为该终端设备(10)建立的会话,该第二网络切片为该第二会话占用的网络切片;该处理模块(12),还用于根据该会话信息,验证该终端设备(10)是否占用了该第一网络切片的资源和/或建立了该第一会话。
结合第五方面,在第五方面的某些实现方式中,该处理模块(12)具体用于:验证该第一网络切片的标识和第二网络切片的标识是否相同,以及该第一会话的标识和该第二会话的标识是否相同;在该第一网络切片的标识和该第二网络切片的标识相同,且该第一会话的标识和该第二会话的标识相同的情况下,确定该终端设备(10)占用了该第一网络切片,且建立了该第一会话。
结合第五方面,在第五方面的某些实现方式中,在该装置为移动管理网元(20)的情形下,该处理模块(12)具体用于:根据该终端设备(10)的标识获取该终端设备(10)的上下文;从该终端设备(10)的上下文中获取该终端设备(10)的会话信息。
结合第五方面,在第五方面的某些实现方式中,在该装置为存储网元(50)的情形下,该处理模块(12)具体用于:根据该终端设备(10)的标识,在本地获取该会话信息。
结合第五方面,在第五方面的某些实现方式中,该收发模块(11)具体用于:在该装置本地没有该会话信息时,向该终端设备(10)发送会话信息请求消息(423),该会话信息请求消息(423)用于请求获取该终端设备(10)的该会话信息;接收来自该终端设备(10)的受到了完整性保护的会话信息响应消息(424),该会话信息响应消息(424)包括该会话信息和完整性校验参数,该完整性校验参数用于验证该会话信息是否被篡改。
结合第五方面,在第五方面的某些实现方式中,该收发模块(11)还用于:向验证网元(60)发送验证请求消息,该验证请求消息包括该会话信息和该完整性校验参数,该验证请求消息用于请求验证该会话信息是否被篡改;接收来自该验证网元(60)的完整性验证指示信息;该处理模块(12)还用于根据该完整性验证指示信息确定该会话信息是否被篡改。
结合第五方面,在第五方面的某些实现方式中,该处理模块(12)还用于:确定该第一网络切片的标识属于该终端设备(10)的签约网络切片。
结合第五方面,在第五方面的某些实现方式中,该会话验证请求消息(421)用于请求验证该终端设备(10)是否占用了该第一网络切片的资源,和/或建立了该第一会话。
第六方面,提供了一种网络验证的装置,该装置包括:收发模块(11),用于接收会话建立接受消息;处理模块(12),用于在该收发模块(11)接收到该会话建立接受消息之后,生成具有完整性保护的消息,该消息包括该终端设备(10)的会话信息,该会话信息包括该终端设备(10)建立的会话的标识,和该会话占用的网络切片的标识;收发模块(11),用于将该消息发送给存储网元(50)。
结合第六方面,在第六方面的某些实现方式中,该会话建立接受消息包括可扩展认证协议成功指示信息。
结合第六方面,在第六方面的某些实现方式中,该处理模块(12)还用于:该终端设备(10)利用完整性密钥和该会话信息生成完整性校验参数,该消息中还包括该完整性校验参数,该完整性校验参数用于验证该会话信息是否被篡改。
第七方面,提供一种通信装置,该装置用于执行上述第一方面至第三方面提供的方法。具体地,该装置可以包括用于执行第一方面至第三方面提供的方法的单元和/或模块,如处理单元和/或通信单元。
在一种实现方式中,该装置为网络设备,例如该装置为切片统计网元(40),或存储网元(50),或认证网元(50)。当该装置为网络设备时,通信单元可以是收发器,或,输入/输出接口;处理单元可以是处理器。
在另一种实现方式中,该装置为用于网络设备中的芯片、芯片系统或电路。当该装置为用于通信设备中的芯片、芯片系统或电路时,通信单元可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等;处理单元可以是处理器、处理电路或逻辑电路等。
一种可能情况,该装置为切片统计网元(40)或切片统计网元(40)中的芯片、芯片系统或电路。在该情况下,该装置可以包括用于执行第一方面提供的方法的单元和/或模块,如处理单元和/或通信单元。
又一种可能情况,该装置为存储网元(50)或存储网元(50)中的芯片、芯片系统或电路。在该情况下,该装置可以包括用于执行第二方面提供的方法的单元和/或模块,如处理单元和/或通信单元。
在另一种实现方式中,该装置为终端设备,例如该装置为终端设备(10)。当该装置为终端设备时,通信单元可以是收发器,或,输入/输出接口;处理单元可以是处理器。
一种可能情况,该装置为终端设备(10)或终端设备(10)中的芯片、芯片系统或电路。在该情况下,该装置可以包括用于执行第三方面至第五方面中任一方面提供的方法的单元和/或模块,如处理单元和/或通信单元。
可选地,上述收发器可以为收发电路。可选地,上述输入/输出接口可以为输入/输出电路。
第八方面,提供一种通信装置,该装置包括:存储器,用于存储程序;处理器,用于执行存储器存储的程序,当存储器存储的程序被执行时,处理器用于执行上述第一方面至第五方面提供的方法。
第九方面,本申请提供一种处理器,用于执行上述各方面提供的方法。在执行这些方法的过程中,上述方法中有关发送上述信息和获取/接收上述信息的过程,可以理解为由处理器输出上述信息的过程,以及处理器接收输入的上述信息的过程。在输出上述信息时,处理器将该上述信息输出给收发器,以便由收发器进行发射。该上述信息在由处理器输出之后,还可能需要进行其他的处理,然后才到达收发器。类似的,处理器接收输入的上述信息时,收发器获取/接收该上述信息,并将其输入处理器。更进一步的,在收发器收到该上述信息之后,该上述信息可能需要进行其他的处理,然后才输入处理器。
基于上述原理,举例来说,前述方法中提及的接收请求消息可以理解为处理器接收输入的信息。
对于处理器所涉及的发射、发送和获取/接收等操作,如果没有特殊说明,或者,如果未与其在相关描述中的实际作用或者内在逻辑相抵触,则均可以更加一般性的理解为处理器输出和接收、输入等操作,而不是直接由射频电路和天线所进行的发射、发送和接收操作。
在实现过程中,上述处理器可以是专门用于执行这些方法的处理器,也可以是执行存储器中的计算机指令来执行这些方法的处理器,例如通用处理器。上述存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
第十方面,提供一种计算机可读存储介质,该计算机可读介质存储用于设备执行的程序代码,该程序代码包括用于执行上述第一方面至第三方面提供的方法。
第十一方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面至第三方面提供的方法。
第十二方面,提供一种芯片,该芯片包括处理器与通信接口,该处理器通过该通信接口读取存储器上存储的指令,执行上述第一方面至第三方面提供的方法。
可选地,作为一种实现方式,该芯片还可以包括存储器,该存储器中存储有指令,该处理器用于执行该存储器上存储的指令,当该指令被执行时,该处理器用于执行上述第一方面至第三方面提供的方法。
附图说明
图1是一种适用于本申请实施例的网络结构的示意图。
图2是一种网络切片准入控制的方法的示意性流程图。
图3是另一种网络切片准入控制的方法的示意性流程图。
图4是本申请实施例提供的一种网络验证方法的示例性流程图。
图5是本申请实施例提供的另一种网络验证方法的示例性流程图。
图6是本申请实施例提供的又一种网络验证方法的示例性流程图。
图7是本申请实施例提供的又一种网络验证方法的示例性流程图。
图8是本申请一个实施例提供的网络验证的装置的示意性框图。
图9是本申请另一个实施例提供的网络验证的装置的示意性框图。
图10是本申请又一个实施例提供的网络验证的装置的示意性框图。
图11是本申请又一个实施例提供的网络验证的装置的示意性框图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图,对本申请中的技术方案进行描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
为了解决背景技术提及的问题,如图1的(a)所示,本申请提供了一种通信系统,该通信系统包括终端设备(10)、移动管理网元(20)、会话管理网元(30)、切片统计网元(40)和存储网元(50)。其中,该切片统计网元(40)用接收来自会话管理网元(30)的切片会话统计请求消息(410),该切片会话统计请求消息(410)包括终端设备(10)的标识、第一网络切片的标识和第一会话的标识;响应于该注册请求消息,判断该终端设备是否占用了该第一网络切片的资源和/或建立了该第一会话;根据判断结果,确定是否将该第一会话计入接入该第一网络切片的会话统计。
应理解,图1的(a)中各网元之间的具体交互过程可以参照图4中的方法流程,具体实现的方案见方法400中的详细说明。
本申请提供的技术方案可以应用于各种通信系统,例如:第五代(5thgeneration,5G)或新无线(new radio,NR)系统、长期演进(long term evolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time divisionduplex,TDD)系统等。本申请提供的技术方案还可以应用于未来的通信系统,如第六代移动通信系统。本申请提供的技术方案还可以应用于设备到设备(device to device,D2D)通信,车到万物(vehicle-to-everything,V2X)通信,机器到机器(machine to machine,M2M)通信,机器类型通信(machine type communication,MTC),以及物联网(internet ofthings,IoT)通信系统或者其他通信系统。
如图1的(b)所示,为基于服务化架构的第五代(5th generation,5G)网络架构示意图。应理解,图1的(a)中的移动管理网元(20)可以是图1的(b)中的AMF,图1的(a)中的会话管理网元(30)可以是图1的(b)中的SMF,图1的(a)中的存储网元(50)可以是图1的(b)中的UDM,图1的(a)中的认证网元(60)可以是图1的(b)中的AUSF,图1的(a)中的终端设备(10)可以是图1的(b)中的UE。图1的(a)中的切片管理网元(30)可以是NSACF。
图1的(b)所示的5G网络架构中可包括三部分,分别是终端设备部分、数据网络(data network,DN)和运营商网络部分。下面对其中的部分网元的功能进行简单介绍说明。
其中,运营商网络可包括以下网元中的一个或多个:鉴权服务器功能(authentication server function,AUSF)网元、网络开放功能(network exposurefunction,NEF)网元、策略控制功能(policy control function,PCF)网元、统一数据管理(unified data management,UDM)网元、统一数据库(unified data repository,UDR)、网络存储功能(network repository function,NRF)网元、应用功能(applicationfunction,AF)网元、接入与移动性管理功能(access and mobility managementfunction,AMF)网元、会话管理功能(session management function,SMF)网元、无线接入网(radioaccess network,RAN)以及用户面功能(user plane function,UPF)网元等。上述运营商网络中,除无线接入网部分之外的部分可以称为核心网络部分。
1、终端设备(terminal device):也可以成为用户设备(user equipment,UE),是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtualreality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrialcontrol)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remotemedical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportationsafety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。这里的终端设备,指的是第三代合作伙伴计划(3rd generation partnershipproject,3GPP)终端。为便于说明,本申请后续以UE代指终端设备为例进行说明。
上述终端设备可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接,使用运营商网络提供的数据和/或语音等服务。终端设备还可通过运营商网络访问DN,使用DN上部署的运营商业务,和/或第三方提供的业务。其中,上述第三方可为运营商网络和终端设备之外的服务方,可为终端设备提供他数据和/或语音等服务。其中,上述第三方的具体表现形式,具体可根据实际应用场景确定,在此不做限制。
2、无线接入网络(radio access network,RAN)网元:在下文中简称为RAN,对应接入网设备。
RAN是运营商网络的子网络,是运营商网络中业务节点与终端设备之间的实施系统。终端设备要接入运营商网络,首先是经过RAN,进而可通过RAN与运营商网络的业务节点连接。本申请中的RAN设备,是一种为终端设备提供无线通信功能的设备,RAN设备也称为接入网设备。本申请中的RAN设备包括但不限于:5G中的下一代基站(g nodeB,gNB)、演进型节点B(evolved node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(node B,NB)、基站控制器(base station controller,BSC)、基站收发台(basetransceiver station,BTS)、家庭基站(例如,home evolved nodeB,或home node B,HNB)、基带单元(baseBand unit,BBU)、传输点(transmitting and receiving point,TRP)、发射点(transmitting point,TP)、移动交换中心等。3、用户面功能(user plane function,UPF):用于分组路由和转发以及用户面数据的服务质量(quality of service,QoS)处理等。
在5G通信系统中,该用户面网元可以是用户面功能(user plane function,UPF)网元。在未来通信系统中,用户面网元仍可以是UPF网元,或者,还可以有其它的名称,本申请不做限定。
4、多播/广播用户面功能(multicast/broadcast-user plane function,MB-UPF)
MB-UPF主要负责将多播广播流传送到RAN(或者UPF),可以进行多播广播流的包过滤、分发,实现多播广播服务的QoS增强以及计数/上报等。本申请中的MB-UPF和UPF不做严格区分,使用(MB-)UPF表示MB-UPF或者UPF。
5、数据网络(data network,DN):用于提供传输数据的网络。
在5G通信系统中,该数据网络网元可以是数据网络网元。在未来通信系统中,数据网络网元仍可以是DN网元,或者,还可以有其它的名称,本申请不做限定。
6、接入和移动管理网元
接入和移动管理网元主要用于移动性管理和接入管理等,可以用于实现MME功能中除会话管理之外的其它功能,例如,合法监听以及接入授权/鉴权等功能。
在5G通信系统中,该接入和移动管理网元可以是接入和移动管理功能(accessand mobility management function,AMF)。在未来通信系统中,接入和移动管理设备仍可以是AMF,或者,还可以有其它的名称,本申请不做限定。
7、会话管理功能(session management function,SMF):主要用于会话管理、用户设备的网络互连协议(internet protocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。
在5G通信系统中,该会话管理网元可以是会话管理功能网元。在未来通信系统中,会话管理网元仍可以是SMF网元,或者,还可以有其它的名称,本申请不做限定。
8、多播/广播会话管理功能(multicast/broadcast-session managementfunction,MB-SMF)
MB-SMF主要负责多播广播会话管理,控制多播广播传输,根据PCF提供或本地配置的多播广播服务是策略规则对MB-UPF和RAN进行相应的配置,以完成多播广播流的传输。本申请中的MB-SMF和SMF不做严格区分,使用(MB-)SMF表示MB-SMF或者SMF。
9、策略控制功能(policy control function,PCF):用于指导网络行为的统一策略框架,为控制面功能网元(例如AMF,SMF等)提供策略规则信息等。
在4G通信系统中,该策略控制网元可以是策略和计费规则功能(policy andcharging rules function,PCRF)网元。在5G通信系统中,该策略控制网元可以是策略控制功能PCF网元。在未来通信系统中,策略控制网元仍可以是PCF网元,或者,还可以有其它的名称,本申请不做限定。
10、应用功能(application function,AF):用于进行应用影响的数据路由,无线接入网络开放功能网元,与策略框架交互进行策略控制等。
在5G通信系统中,该应用网元可以是应用功能网元。在未来通信系统中,应用网元仍可以是AF网元,或者,还可以有其它的名称,本申请不做限定。
11、统一数据管理(unified data management,UDM):用于处理UE标识,接入鉴权,注册以及移动性管理等。
在5G通信系统中,该数据管理网元可以是统一数据管理网元;在4G通信系统中,该数据管理网元可以是归属用户服务器(home subscriber server,HSS)网元在未来通信系统中,统一数据管理仍可以是UDM网元,或者,还可以有其它的名称,本申请不做限定。
12、统一数据存储(unified data repository,UDR):主要包括以下功能:签约数据、策略数据、应用数据等类型数据的存取功能。
13、认证服务器(authentication server function,AUSF):用于鉴权服务、产生密钥实现对用户设备的双向鉴权,支持统一的鉴权框架。
在5G通信系统中,该认证服务器可以是认证服务器功能网元。在未来通信系统中,认证服务器功能网元仍可以是AUSF网元,或者,还可以有其它的名称,本申请不做限定。
14、数据网络(data network,DN):DN是位于运营商网络之外的网络,运营商网络可以接入多个DN,DN上可部署多种业务,可为终端设备提供数据和/或语音等服务。例如,DN是某智能工厂的私有网络,智能工厂安装在车间的传感器可为终端设备,DN中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。又例如,DN是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备,员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。
图1的(b)中Nausf、Nnef、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4,以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义,在此不做限制。
在图1的(b)所示的网络架构中,各网元之间可以通过图中所示的接口通信。如图所示,UE和AMF之间可以通过N1接口进行交互,交互消息例如可以称为N1消息(N1Message)。RAN和AMF之间可以通过N2接口进行交互,N2接口可以用于非接入层(non-access stratum,NAS)消息的发送等。RAN和UPF之间可以通过N3接口进行交互,N3接口可以用于传输用户面的数据等。SMF和UPF之间可以通过N4接口进行交互,N4接口可以用于传输例如N3连接的隧道标识信息,数据缓存指示信息,以及下行数据通知消息等信息。UPF和DN之间可以通过N6接口进行交互,N6接口可以于传输用户面的数据等。其他接口与各网元之间的关系如图1中所示,为了简洁,这里不一一详述。
应理解,上述应用于本申请实施例的网络架构仅是举例说明的从服务化架构的角度描述的网络架构,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
还应理解,图1中所示的AMF、SMF、UPF、网络切片选择功能网元(network sliceselection function,NSSF)、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元,例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备,也可以集成于同一设备中实现不同的功能,本申请对于上述网元的具体形态不作限定。
还应理解,上述命名仅为便于区分不同的功能而定义,不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能采用其他名称等。图1中的各个网元之间的接口名称只是一个示例,具体实现中接口的名称可能为其他的名称,本申请对此不作具体限定。此外,上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例,对消息本身的功能不构成任何限定。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。为方便说明,本申请后续,以网络设备为接入和移动管理网元AMF,基站为无线接入网络RAN为例进行说明。
本申请中的终端设备(10)、移动管理网元(20)、会话管理网元(30)、切片统计网元(40)、存储网元(50)和认证网元(60)可以是5G系统中的UE、AMF、NSACF、UDM、AUSF,也可以是未来通信如第六代(6th generation,6G)网络中具有上述UE、AMF、NSACF、UDM、AUSF的功能的网元,本申请对此不限定。
应理解,上述应用于本申请实施例的网络架构仅是一种举例说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
例如,在某些网络架构中,AMF、SMF网元、PCF网元、BSF网元以及UDM网元等网络功能网元实体都称为网络功能(network function,NF)网元;或者,在另一些网络架构中,AMF,SMF网元,PCF网元,BSF网元,UDM网元等网元的集合都可以称为控制面功能网元。
本申请实施例的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatiledisc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasableprogrammable read-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
下面结合图2介绍一种网络切片准入控制方法200。方法200包括:
S201,SMF向NSACF发送每网络切片PDU会话数量可用性检查和更新请求(Nnsacf_PDUsPerSliceAvailabilityCheckAndUpdate_Request)消息。
在一个网络切片上建立PDU会话时,或者一个网络切片上的PDU会话成功释放之后,如果这个网络切片被要求进行网络切片准入控制(network slice admissioncontrol,NSAC),SMF会发起每网络切片PDU会话数量可用性检查和更新流程。
SMF确定发起每网络切片PDU会话数量可用性检查和更新流程后,向NSACF发送每网络切片PDU会话数量可用性检查和更新请求消息,该请求消息中包括S-NSSAI和更新标志,其中,该更新标志用于指示增加切片上的PDU会话数量(例如在PDU会话建立流程开始时),或减少切片上的PDU会话数量(例如在PDU会话释放流程完成后)。
S202,NSACF更新S-NSSAI上的PDU会话数量。
示例性地,NSACF接收来自SMF的每网络切片PDU会话数量可用性检查和更新请求消息之后,根据该请求消息中携带的更新标志,更新S-NSSAI上的PDU会话数量。
一示例,该每网络切片PDU会话数量可用性检查和更新请求消息中携带的更新标志指示增加S-NSSAI上的PDU会话数量,则NSACF检查S-NSSAI上的PDU会话数量是否已经达到了最大值,如果没有达到最大值,则NSACF增加该S-NSSAI上的PDU会话的数量。如果已经达到最大值,则NSACF向SMF返回一个结果参数,以指示该S-NSSAI上的PDU会话数量已经达到了最大值。
另一示例,该每网络切片PDU会话数量可用性检查和更新请求消息中携带的更新标志指示减少S-NSSAI上的PDU会话数量,则NSACF根据该更新标志减少该S-NSSAI上的PDU会话数量。
S203,NSACF向SMF发送每网络切片PDU会话数量可用性检查和更新响应(Nnsacf_PDUsPerSliceAvailabilityCheckAndUpdate_Response)消息。
示例性地,如果该S-NSSAI上的PDU会话数量达到了最大值,则该每网络切片PDU会话数量可用性检查和更新响应消息中包括结果参数,该结果参数用于指示该S-NSSAI上的PDU会话数量达到了最大值。在这种情况下,SMF拒绝在该S-NSSAI上建立PDU会话。
应理解,在PDU会话建立失败的情况下,则SMF触发另一个更新标志来请求减少该S-NSSAI上的PDU会话的数量,以便重新调整NSACF中的PDU会话计数器。
然而,当SMF发生异常或者被攻击者攻破时,SMF可能会通过每网络切片PDU会话数量可用性检查和更新流程来发起DoS攻击。例如,恶意的SMF在某个网络切片上没有新的PDU会话建立的情况下,向NSACF请求增加网络切片上的PDU会话的数量,这会导致网络切片上的PDU会话数量很快达到最大值,使其他UE无法在此网络切片上建立PDU会话,从而引起网络切片的拒绝服务。下面结合图3中的方法300介绍一种恶意SMF发起拒绝服务(denial ofservice,DoS)的方法流程。方法300包括:
S301,xSMF向NSACF发送每网络切片PDU会话数量可用性检查和更新请求消息。
示例性地,该xSMF为恶意的SMF(例如该SMF被攻击者攻破或发生系统异常),该每网络切片PDU会话数量可用性检查和更新请求消息中携带了S-NSSAI1,另外还携带了更新标识,该更新标识用于指示增加网络切片S-NSSAI1上的PDU会话数量。
S302,NSACF更新S-NSSAI1上的PDU会话的数量。
示例性地,NSACF根据每网络切片PDU会话数量可用性检查和更新请求消息中的更新标志,增加S-NSSAI上的PDU会话数量。
当xSMF多次重复上述流程后,S-NSSAI上的PDU会话数量很快会达到最大值,此时合法的SMF请求在该S-NSSAI上建立PDU会话时便会被拒绝。例如:
S303,SMF向NSACF发送每网络切片PDU会话数量可用性检查和更新请求消息,该请求消息中携带了S-NSSAI1,另外,该请求消息中还携带了更新标志,该更新标志用于指示增加S-NSSAI1上的PDU会话数量。
S304,NSACF确定S-NSSAI1上的PDU会话数量达到了最大值,则在S305,NSACF向SMF发送每网络切片PDU会话数量可用性检查和更新响应消息,该响应消息用于指示S-NSSAI1上的PDU会话数量已经达到了最大值。
S306,SMF拒绝在S-NSSAI上建立PDU会话。
鉴于此,本申请提供了一种网络验证的方法,可以防止恶意的SMF通过每网络切片PDU会话数量可用性检查和更新流程发起DoS攻击。
图4示出了本申请实施例提供的方法400的示例性流程图。该方法400包括:
410,会话管理网元(30)向切片统计网元(40)发送切片会话统计请求消息。
示例性地,该切片会话统计请求消息包括终端设备(10)的标识、第一网络切片的标识和第一会话的标识。
可选地,该切片会话统计请求消息可以用于请求将第一会话计入该第一网络切片上的会话统计。
应理解,在5G系统中,该会话管理网元(30)可以是SMF,该切片统计网元(40)可以是NSACF。
420,切片统计网元(40)判断终端设备(10)是否占用了第一网络切片的资源和/或建立了第一会话。
示例性地,响应于该切片会话统计请求消息,该切片统计网元(40)判断终端设备(10)是否占用了该第一网络切片的资源和/或建立了第一会话,或者说,该切片统计网元(40)判断终端设备(10)是否建立了第一会话,且第一会话是否建立在该第一网络切片上。
可选地,在420之前,切片统计网元(40)判断第一网络切片的会话数量是否达到了满额,即判断第一网络切片的会话数量是否达到了最大值。如果达到了满额,切片统计网元(40)向会话管理网元(30)发送第一网络切片已经满额的指示信息。如果没有满额,则可选的,切片统计网元先将第一会话计入第一网络切片的会话统计。在统计结束后,可选地,切片统计网元(40)判断计入该第一网络切片的会话统计的数量是否大于或等于设定的阈值。
在切片统计网元(40)确定计入第一网络切片的会话统计的数量大于或等于设定的阈值的情况下,切片统计网元(40)再进一步判断该终端设备(10)是否占用了该第一网络切片的资源和/或建立了第一会话。也就是说,在计入第一网络切片上的会话统计的数量小于设定的阈值的情况下,可以不必验证该终端设备(10)是否占用了该第一网络切片的资源和/或建立了第一会话,从而可以减少资源开销。
另一方面,可以验证计入该第一网络切片的会话统计的所有会话是否建立在该第一网络切片上,或者说还可以验证计入该第一网络切片的会话统计的其他会话所对应的终端设备是否占用了该第一网络切片的资源。
一种方式中,切片统计网元可以同时验证计入第一网络切片的会话统计的所有会话;另一种方式中,切片统计网元先对第一会话进行验证,如果验证失败,再验证其他会话。当计入第一网络切片的会话统计的一个或多个会话验证失败(即该一个或多个会话没有建立在该第一网络切片上,或者说,该一个或多个会话没有对应的终端设备,或者说,该一个或多个会话对应的终端设备没有注册到该第一网络切片上),则切片统计网元(40)将该一个或多个会话从计入该第一网络切片的会话统计中删除。
下面以终端设备(10)为例,介绍两种切片统计网元(40)判断终端设备(10)是否占用了该第一网络切片的资源和/或建立了第一会话的两种可能的实现方式。应理解,其他终端设备的验证方式类似,不再赘述。
一种可能的实现方式中(记为方案a),切片统计网元(40)请求存储网元(50)/移动管理网元(20)判断终端设备(10)是否占用了该第一网络切片的资源和/或建立了第一会话。示例性地:
421,切片统计网元(40)向存储网元(50)/移动管理网元(20)发送会话验证请求消息。
示例性的,该会话验证请求消息包括终端设备(10)的标识、第一网络切片的标识、第一会话的标识。
可选地,该会话验证请求消息可以用于请求存储网元(50)/移动管理网元(20)验证终端设备(10)是否占用了第一网络切片的资源,和/或建立了第一会话;或者说,该会话验证请求消息用于请求存储网元(50)/移动管理网元(20)验证终端设备(10)是否建立了第一会话,且该第一会话是否建立在第一网络切片上。一种示例中,在421,切片统计网元(40)向存储网元(50)发送该会话验证请求消息。对应地,存储网元(50)接收来自切片统计网元(40)的会话验证请求消息。
可选的,存储网元(50)验证终端设备(10)的状态。
示例性地,存储网元(50)在接收到来自切片统计网元(40)的会话验证请求消息之后,验证终端设备(10)是否处于连接态。例如,存储网元(50)从该会话验证请求消息中获取终端设备(10)的标识,并根据该终端设备(10)的标识获取终端设备(10)对应的上下文。如果存储网元(50)没有找到终端设备(10)的上下文,或者终端设备(10)的上下文中的状态参数指示终端设备(10)不处于连接态,则验证失败。在这种情况下,存储网元(50)向切片统计网元(40)发送验证失败的响应消息,并携带原因值;如果存储网元(50)找到了终端设备(10)的上下文,且该上下文中的状态参数指示终端设备(10)处于连接态,则存储网元(50)可以继续进行后续验证。
可选的,存储网元(50)验证第一网络切片是否在终端设备(10)的签约网络切片或默认网络切片中。
示例性地,存储网元(50)根据终端设备(10)的标识获取终端设备(10)的签约信息,并在该终端设备(10)的签约信息中确定终端设备(10)对应的签约网络切片和/或默认网络切片。如果第一网络切片不属于该终端设备(10)的签约网络切片或默认网络切片,则验证失败,在这种情况下,存储网元(50)向切片统计网元(40)发送验证失败的响应消息,并携带原因值;如果该第一网络切片属于该终端设备(10)的签约网络切片或默认网络切片,则存储网络(50)可以继续进行后续验证。
如果上述验证过程均通过,则存储网元(50)可以根据终端设备(10)的会话信息验证终端设备(10)是否占用了第一网络切片的资源,和/或建立了第一会话。示例性地:
响应于该会话验证请求消息,在422,存储网元(50)获取终端设备(10)的会话信息。
示例性地,存储网元(50)根据终端设备(10)的标识从本地获取该终端设备(10)的会话信息。如果存储网元(50)从本地获取终端设备(10)的会话信息失败,或者说,如果存储网元(50)本地没有保存终端设备(10)的会话信息,则存储网元(50)确定该终端设备(10)没有占用该第一网络切片的资源和/或建立了第一会话,或者,该存储网元(50)向终端设备(10)请求获取该终端设备(10)的会话信息,然后根据该会话信息判断终端设备(10)是否占用了该第一网络切片的资源和/或建立了第一会话。下面通过示例详细说明:
一种可能的实现方式中,在接收到会话建立接受消息之后,终端设备(10)生成具有完整性保护的消息,该消息中包括终端设备(10)建立的会话的的会话信息,该会话信息包括该终端设备(10)建立的会话的会话标识和该会话占用的网络切片的标识。然后终端设备(10)将该消息发送给存储网元(50),存储网元(50)接收到该会话信息之后,在本地保存该会话信息,该会话信息与该终端设备(10)的标识相关联。
可选地,该会话建立接受消息中包括可扩展认证协议成功指示信息。
在该实现方式中,如果配置了移动管理网元(20)在向存储网元(50)发送了来自终端设备(10)的会话信息之后,且该网络切片被要求进行网络切片准入控制,移动管理网元(20)才发起步骤410的切片会话统计请求消息,则在这种情况下,若存储网元(50)接收到来自切片统计网元(40)的会话验证请求消息后,在本地没有找到与终端设备(10)的标识相关联的会话信息,则存储网元可以确定终端设备(10)没有占用该第一网络切片的资源,和/或没有建立第一会话。
或者,若存储网元(50)接收到来自切片统计网元(40)的会话验证请求消息后,在本地没有找到与终端设备(10)的标识相关联的会话信息,则存储网元可以向终端设备(10)请求获取该会话信息。例如:
423,存储网元(50)向终端设备(10)发送会话信息请求消息。
示例性地,存储网元(50)通过移动管理网元(20)向终端设备(10)发送会话信息请求消息,该会话信息请求消息包括该终端设备(10)的标识。该会话信息请求消息用于请求获取该终端设备(10)建立的会话的会话信息。
S424,终端设备(10)向存储网元(50)发送会话信息响应消息,该会话信息响应消息包括该会话信息。
示例性地,终端设备(10)接收到来自存储网元(50)的会话信息请求消息之后,生成会话信息响应消息,该响应消息中包括终端设备(10)建立的会话的会话信息,该会话信息包括该终端设备(10)建立的会话的标识和该标识占用的网络切片的标识,记为第二会话的标识和第二网络切片的标识。
另一方面,终端设备(10)对该会话信息响应消息进行完整性保护。例如,终端设备(10)利用完整性密钥和该会话信息生成完整性校验参数,终端设备(10)在该会话信息响应消息中携带该完整性校验参数,该完整性校验参数用于验证该会话信息是否被篡改,该完整性密钥是终端设备(10)和认证网元(50)之间共同拥有的密钥,此密钥是在终端设备(10)主认证过程生成的。
另一种示例中,在421,切片统计网元(40)向移动管理网元(20)发送该会话验证请求消息。对应地,移动管理网元(20)接收来自切片统计网元(40)的会话验证请求消息。然后响应于该会话验证请求消息,在422,移动管理网元(20)获取终端设备(10)的会话信息。
示例性地,移动管理网元(20)根据该终端设备(10)的标识查找该终端设备(10)的上下文,从该终端设备(10)的上下文中获取该终端设备(10)的会话信息。
进一步地,存储网元(50)/移动管理网元(20)根据该会话信息判断该终端设备(10)是否占用了该第一网络切片的资源,和/或是否建立了第一会话。下面以存储网元(50)的判断过程为例进行说明,移动管理网元(20)的判断过程与之类似,不再重复说明。示例性地:
425,存储网元(50)根据该会话信息判断终端设备(10)是否占用了第一网络切片的资源,和/或建立了第一会话。
示例性地,存储网元(50)接收来自终端设备(10)的会话信息响应消息之后,获取该会话信息响应消息中的完整性校验参数和会话信息,并根据该完整性校验参数验证该会话信息是否被篡改。例如:存储网元(50)向认证网元(50)发送验证请求消息,该验证请求消息包括该完整性校验参数和该会话信息,该验证请求消息用于请求验证该会话信息是否篡改。对应地,认证网元(50)接收该验证请求消息,然后利用完整性密钥和该会话信息生成完整性校验参数,如果认证网元(50)生成的完整性校验参数和验证请求消息中携带的完整性校验参数相同,则验证通过,否则验证失败。然后认证网元(50)向存储网元(50)发送完整性验证指示信息,该完整性验证指示信息用于指示该会话信息是否被篡改。对应地,存储网元(50)接收该完整性验证指示信息,并根据该完整性验证指示信息确定会话信息是否被篡改。又例如,存储网元(50)向认证网元(50)发送验证请求消息,该验证请求消息用于请求获取终端设备(10)和认证网元之间共享的完整性密钥。认证网元(50)根据该验证请求消息,向存储网元(50)发送完整性密钥。存储网元(50)根据该完整性密钥和该会话信息生成完整性校验参数,如果存储网元(50)生成的完整性校验参数和验证请求消息中携带的完整性校验参数相同,则验证通过,否则验证失败。
根据验证结果,如果会话信息没有被篡改,则存储网元(50)根据该会话信息判断终端设备(10)是否占用了第一网络切片的资源,和/或建立了第一会话,或者说,该存储网元(50)根据该会话信息判断该终端设备(10)是否建立了第一会话,且该第一会话是否建立在该第一网络切片上。示例性地:
示例性地,存储网元(50)验证第二网络切片的标识和第一网络切片的标识是否相同,以及第二会话的标识和第一会话的标识是否相同。如果第二网络切片的标识和第一网络切片的标识相同,且第二会话的标识和第一会话的标识相同,则存储网元(50)确定终端设备(10)建立了第一会话,且第一会话占用了第一网络切片的资源。
可选地,该会话信息中可能包括多个网络切片的标识和多个会话的标识,在这种情况下,存储网元(50)的判断过程可以描述如下:
存储网元(50)验证会话信息中是否存在与第一网络切片的标识相同的网络切片的标识,如果不存在,则验证失败;如果存在,例如该会话信息中的第二网络切片的标识与第一网络切片的标识相同,则存储网元(50)验证该会话信息中是否存在与该第二网络切片的标识相对应的、且与第一会话的标识相同的会话的标识,如果存在,则验证成功,即存储网元(50)确定终端设备(10)建立了第一会话,且第一会话占用了第一网络切片的资源。
426,存储网元(50)向切片统计网元(40)发送指示信息。
可选地,该指示信息用于指示该终端设备(10)是否占用了该第一网络切片的资源和/或建立了第一会话,或者,该指示信息用于指示终端设备(10)是否建立了第一会话,且第一会话是否占用了第一网络切片的资源。
或者,另一种指示方式是,该指示信息用于指示所有没有通过验证的会话的标识,或者指示所有通过验证的会话,或者指示所有会话均通过验证,或者指示所有会话均没有通过验证。
对应的,切片统计网元(40)接收该指示信息,并在427,根据该指示信息确定该终端设备(10)是否占用了该网络切片的资源,和/或建立了第一会话。
应理解,切片统计网元(40)可以通过以上方式对计入第一网络切片的所有会话的进行验证,并将验证失败的会话从计入第一网络切片的会话统计中删除。
如果切片统计网元(40)对计入第一网络切片的所有会话均进行了验证,则在验证完成后,切片统计网元可以设置一个flag,以及和该flag对应的timer。该flag用于指示计入第一网络切片的所有会话均已经进行了验证,该timer用于指示该flag的有效时间。此时,如果后续有某个会话管理网元向该切片统计网元(40)发送切片会话统计请求消息,以请求对计入第一网络切片的会话统计进行更新,而该flag还在有效期内,切片统计网元(40)只需要验证该会话管理网元请求统计的会话,而不需要对已经计入该第一网络切片的其他会话进行验证。
另一种可能的实现方式中(记为方案b),切片统计网元(40)从存储网元(50)获取终端设备(10)占用的网络切片的会话信息,以判断终端设备(10)是否占用了网络切片的资源。示例性地:
428,切片统计管理网元(20)向存储网元(50)发送会话信息请求消息,该会话信息请求消息中包括终端设备(10)的标识,该会话信息请求消息用于请求获取该终端设备(10)建立的会话的会话信息。
对应地,存储网元(50)接收该会话信息请求消息。可选的,存储网元(50)验证终端设备(10)是否处于连接态,具体验证过程与方案a的步骤421中提供的方案类似,不再赘述。如果终端设备(10)处于连接态,可选的,存储网元(50)可以进一步验证第一网络切片是否在终端设备(10)的签约网络切片或默认网络切片中,具体验证过程与方案a的步骤421中提供的方案类似,不再赘述。如果上述验证过程均验证通过,则存储网元(50)获取该终端设备(10)占用的网络切片的会话信息。应理解,存储网元(10)获取终端设备(10)的会话信息的方式与422类似,这里不再赘述。
429,存储网元(50)向切片统计网元(40)发送该会话信息。
430,切片统计网元(40)根据会话信息判断终端设备(10)是否占用了网络切片的资源。
示例性地,切片统计网元(40)验证第二网络切片的标识和第一网络切片的标识是否相同,以及第二会话的标识和第一会话的标识是否相同。如果第二网络切片的标识和第一网络切片的标识相同,且第二会话的标识和第一会话的标识相同,则切片统计网元(40)确定终端设备(10)建立了第一会话,且第一会话占用了第一网络切片的资源。
440,根据判断结果,该切片统计管理网元(20)确定是否将终端设备(10)计入接入该网络切片的会话统计。
示例性地,当判断结果是终端设备(10)建立了第一会话且第一会话占用了第一网络切片的资源时,该切片统计网元(40)将该第一会话计入接入所述网络切片的会话统计;当判断结果是终端设备(10)没有建立第一会话,或者第一会话没有占用第一网络切片的资源时,该切片统计网元(40)不将该终端设备(10)计入接入该网络切片的会话统计。
基于上述技术方案,切片统计网元根据终端设备是否占用了网络切片的资源或建立了会话,来确定是否将会话计入接入网络切片的会话统计,从而可以防止恶意的会话管理网元通过请求将会话计入该终端设备未占用的网络切片的会话统计,来发起拒绝服务攻击。
图5示出了本申请实施例提供的方法500的示例性流程图。该方法500包括:
S501,UE向AMF发送PDU会话建立请求(PDU session establishment request)消息。
示例性地,UE向AMF发送PDU会话建立请求消息,该请求消息中包括PDU SessionID#1和S-NSSAI#1,该PDU会话建立请求消息用于请求在第一网络切片上建立PDU会话,该第一网络切片与该S-NSSAI#1对应,或者说,该第一网络切片是该S-NSSAI#1所标识的网络切片。
S502,UE和网络侧完成二次认证(Re-Authentication)流程。
S503,SMF向NSACF发送每网络切片PDU会话数量可用性检查和更新请求(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Request)消息
示例性地,在认证流程完成之后,或当SMF收到EAP success消息后,SMF向NSACF发送每网络切片PDU会话数量可用性检查和更新请求消息,该请求消息中包括UE ID(例如该UE的SUPI)、S-NSSAI#2、PDU Session ID#2、更新标志(flag),该更新标志用于指示增加第二网络切片上的PDU会话数量或减少第二网络切片上的PDU会话数量,该PDU Session ID#2与该第二网络切片对应。
S504,NSACF检查第二网络切片是否满额,以及是否已经统计了该PDU SessionID#2。
示例性地,NSACF接收来自SMF的每网络切片PDU会话数量可用性检查和更新请求消息,如果该请求消息中携带的更新标识用于指示增加第二网络切片上PDU会话数量,则NSACF检查该第二网络切片上的PDU会话数量是否已经满额,即检查该第二网络切片上的PDU会话数量是否已经达到最大值,或者说检查该第二网络切片上的PDU会话的数量是否已经达到设定的阈值(记为阈值#1)。
如果第二网络切片上的PDU会话数量已经满额,则NSACF向SMF发送第二网络切片已经满额的指示。
如果第二网络切片上的PDU会话数量没有满额,则NSACF还检查该PDU SessionID#2对应的PDU会话是否已经在第二网络切片上被统计,或者说该PDU Session ID#2是否已经在第二网络切片的PDU会话列表中。如果该PDU会话已经被统计,则NSACF向SMF发送对应的结果参数,该结果参数指示该PDU会话已被统计。
如果第二网络切片没有满额,且该PDU会话也没有在第二网络切片上被统计,可选地,NSACF先对此PDU会话进行统计,即NSACF根据更新标志(flag)对第二网络切片上的PDU会话数量进行增加或减少,并向SMF发送每网络切片PDU会话数量可用性检查和更新响应(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Response)消息,如S201-S203所示。
在统计结束后,可选的,NSACF判断第二网络切片上的PDU会话数量是否达到了设定的阈值(记为阈值#2)。如果达到了阈值#2,则NSAFC对网络切片上所有已被统计数量的PDU会话(包括该PDU会话)所对应的UE的状态、该PDU Session ID#2、该S-NSSAI#2进行验证。可选地,NSACF还可以对计入第二网络切片上的所有PDU会话所对应的UE(记为UEs)进行验证,该UEs包括S503中的UE ID所标识的UE。为了简洁,下面以该UE的验证过程为例进行说明,其他UE的验证过程与此类似,不再赘述。示例性地:
S507,NSACF向AMF发送验证请求消息。
示例性地,NSACF确定UE接入的AMF,并向该AMF发送验证请求消息,该验证请求消息包括UE ID、PDU Session ID#2、S-NSSAI#2。
下面对NSACF确定UE接入的AMF的具体方式作示例性说明:
一种情况下,NSACF本地保存了UE接入的AMF的信息。例如,AMF在发起每网络切片UE数量可用性检查和更新流程时,会将AMF ID发送给NSACF,如果此次更新流程成功,则NSACF会将AMF ID作为UE条目的一部分进行存储。在这种情况下,NSACF可以根据UE ID在本地存储中找到对应的AMF ID,从而确定UE接入的AMF。
另一种情况下,NSACF本地没有保存UE接入的AMF的信息,则NSACF可以通过UDM获取该UE接入的AMF的信息。例如:S505,NSACF向UDM发送UE接入信息请求消息,该请求消息用于请求UE接入的AMF的信息,或者说该请求消息用于请求UE接入的AMF的AMF ID,该请求消息中包括UE ID。UDM接收到该UE接入信息请求消息之后,根据该UE ID找到UE的上下文,从该UE的上下文中获取UE接入的AMF的信息,并在S506,向该NSACF发送UE接入信息响应消息,该响应消息中包括AMF ID和UE ID。NSACF根据该响应消息确定UE接入的AMF。
S508,AMF验证UE状态。
示例性地,AMF接收到来自NSACF的验证请求消息之后,验证UE的状态,即验证UE是否接入网络。例如,AMF从验证请求消息中获取UE ID,并根据该UE ID获取UE对应的UE上下文。如果没有找到UE的上下文或UE上下文中的UE状态参数指示UE不处于连接态,表示UE没有接入网络,则验证失败。在这种情况下,AMF向NSACF发送验证失败的响应消息,并携带原因值;如果找到了UE的上下文,并且UE上下文中的UE状态参数指示UE处于连接态,则进一步进行验证:
S509,AMF验证PDU Session ID#2和S-NSSAI#2与UE的会话信息是否匹配。
示例性地,AMF获取UE的上下文之后,验证该PDU Session ID#2和该S-NSSAI#2与UE的会话信息是否匹配。具体例如,AMF验证该PDU Session ID#2和该S-NSSAI#2是否在UE的上下文中,或者说,AMF验证该PDU Session ID#2和该S-NSSAI#2与UE上下文中的PDU会话的标识和网络切片的标识是否相同。具体例如,若S-NSSAI#2与UE上下文中的一个网络切片的标识相同,例如S-NSSAI#2与S-NSSAI#1相同,且PDU Session ID#2和PDU Session ID#1相同,则验证成功,AMF向NSACF发送验证成功的响应消息,该响应消息中包括UE ID。其中,PDU Session ID#1与S-NSSAI#1对应,且PDU Session ID#1存在于UE的上下文中;若UE上下文中没有网络切片的标识与S-NSSAI#2相同,则验证失败,AMF向NSACF发送验证失败的响应消息,并携带原因值;若S-NSSAI#2与S-NSSAI#1相同,但UE的上下文中没有与S-NSSAI#1对应的、且与PDU Session ID#2相同的PDU会话的标识,则验证失败,AMF向NSACF发送验证失败的响应消息,并携带原因值;若PDU Session ID#2与PDU Session ID#1相同,但PDUSession ID#1所对应的网络切片的标识与S-NSSAI#2不同,则验证失败,AMF向NSACF发送验证失败的响应消息,并携带原因值。
S510,AMF向NSACF发送验证结果。
示例性地,该验证结果中包括验证失败的PDU Session ID和对应失败原因值。如果所有PDU会话均验证成功,则返回所有PDU会话验证成功的指示。
如果某个SMF上建立的会话验证失败次数超过设定阈值,则NSACF拒绝接收来自此SMF的每网络切片PDU会话数量可用性检查和更新请求。
图6示出了本申请实施例提供的方法600的示例性流程图。该方法600包括:
S601,UE向AMF发送PDU会话建立请求(PDU session establishment request)消息。
示例性地,UE向AMF发送PDU会话建立请求消息,该请求消息中包括PDU SessionID#3和S-NSSAI#3,该PDU会话建立请求消息用于请求在第三网络切片上建立PDU会话,该PDU Session ID#3用于标识该PDU会话,该第三网络切片与该S-NSSAI#3对应,或者说,该第三网络切片是该S-NSSAI#3所标识的网络切片。
S602,UE和网络侧完成二次认证(Re-Authentication)流程。
S603,AMF向UE发送PDU会话建立接受消息、其中包含EAP成功指示信息。
示例性地,在二次认证成功之后,AMF向UE发送PDU会话建立接受消息,其中包含可扩展认证协议(extensible authentication protocol,EAP)成功(EAP-Success)指示信息。
S604,UE通过NAS消息向AMF发送此次建立会话的会话信息。
示例性地,UE可以在二次认证流程成功之后,或者说UE在接收到Re-Authentication Accep消息和EAP-Success指示信息之后,主动向AMF发送NAS消息。
一种示例,该NAS消息中包括UE ID、Message Type和此次建立会话的会话信息,该会话信息包括PDU Session ID#3、S-NSSAI#3,该Message Type用于指示该NSA消息用于上报会话信息的,该会话信息可以承载于PDU Session Container中。该PDU SessionContainer中还包括UE ID、会话信息、container type、消息认证码MAC-I,可选地该PDUSession Container中还可以包括新鲜性参数。其中,该container type用于指示PDUSession Container中包括UE ID对应的会话信息。
另一种示例,该NAS消息中包括UE ID、Message Type、PDU Session ID#3、S-NSSAI#3、消息认证码MAC-I,可选地还包括新鲜性参数。其中,该Message Type用于指示该NAS消息需要传输给该UE ID对应的UDM,且该Message Type还指示该NSA消息用于上报会话信息。该消息认证码MAC-I可以是根据该NAS消息中的所有参数生成的。
需要说明的是,消息认证码MAC-I用于验证PDU Session Container的完整性,即用于验证PDU Session Container内的信息是否被篡改。本申请对MAC-I的生成方式不作限定。一种示例,UE可以将主认证流程中生成的密钥Kausf和PDU Session Container中的UEID、会话信息、container type作为输入参数生成MAC-I。另一种示例,UE也可以使用Kausf、新鲜性参数、container type作为输入参数生成密钥Ks,再将Ks和PDU Session Container中的UE ID、会话信息、container type作为输入参数生成MAC-I。
S605,AMF向UDM发送会话信息。
示例性地,AMF接收到来自UE的NAS消息之后,根据该NAS消息中的message type将PDU Session Container发送给UDM。该PDU Session Container中包括会话信息、UE ID、container type、消息认证码MAC-I,可选地该PDU Session Container中还包括新鲜性参数。
S606,UDM通过AUSF验证消息的完整性。
示例性地,UDM接收到来自SMF的PDU Session Container后,根据container type确定PDU Session Container包括UE上报的会话信息,并根据UE ID和UE上下文中对应的AUSF找到储存有UE根密钥Kausf的AUSF,并向该AUSF请求验证该PDU Session Container的完整性。本申请对验证消息完整性的具体方式不作限定。下面给出两种具体示例:
一示例,UDM将生成MAC-I的参数发送给AUSF,其中包括UE ID、会话信息、container type,如果MAC-I是通过Ks生成的,则也应将新鲜性参数发送给AUSF。AUSF收到参数后将Kausf、UE ID、会话信息、container type作为输入参数生成MAC-I-AUSF,如果参数中包含新鲜性参数,则AUSF先将Kausf、新鲜性参数和container type作为输入参数生成密钥Ks,再将Ks、UE ID、会话信息、container type作为输入参数生成MAC-I-AUSF。AUSF将生成的MAC-I-AUSF返回给UDM,UDM将MAC-I-AUSF与MAC-I对比,如果值相同则验证成功,如果值不同则验证失败。
另一示例,UDM将PDU Session Container发送给AUSF,AUSF根据上述方式生成MAC-I-AUSF,然后将MAC-I-AUSF与MAC-I对比,如果值相同则验证成功,如果值不同则验证失败。AUSF将验证结果返回给UDM。
S607,UDM保存会话信息。
示例性地,如果S606中的消息完整性验证通过,则UDM将UE上报的会话信息作为UE上下文储存,该会话信息与UE ID对应。
S608,当二次认证完成后,或当SMF收到EAP success消息后,SMF向NSACF发送每网络切片PDU会话数量可用性检查和更新请求(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Request)消息。
示例性地,SMF确定发起每网络切片PDU会话数量可用性检查和更新流程后,向NSACF发送每网络切片PDU会话数量可用性检查和更新请求消息,该请求消息中包括UE ID、PDU Session ID#4、S-NSSAI#4和更新标志。该每网络切片PDU会话数量可用性检查和更新请求消息用于请求更新第四网络切片上的PDU会话数量,该第四网络切片与该S-NSSAI#4对应,或者说该第四网络切片是S-NSSAI#4所标识的网络切片。该更新标志用于指示增加第四网络切片上的PDU会话数量或减少第四网络切片上的PDU会话数量。
S609,NSACF检查第四网络切片是否满额,以及是否已经统计了该PDU会话。
示例性地,NSACF接收来自SMF的每网络切片PDU会话数量可用性检查和更新请求消息,如果该请求消息中携带的更新标识指示增加第四网络切片上PDU会话数量,则NSACF检查该第四网络切片上的PDU会话数量是否已经满额,即检查该第四网络切片上的PDU会话数量是否已经达到最大值,或者说检查该第四网络切片上的PDU会话的数量是否已经达到设定的阈值(记为阈值#3)。
如果第四网络切片上的PDU会话数量已经满额,则NSACF向SMF发送第四网络切片已经满额的指示。
如果第四网络切片上的PDU会话数量没有满额,则NSACF还检查该PDU SessionID#4对应的PDU会话是否已经在第四网络切片上被统计,或者说该PDU Session ID#4是否已经在第四网络切片的PDU会话列表中。如果该PDU会话已经被统计,则NSACF向SMF发送对应的结果参数,该结果参数指示该PDU会话已被统计。
如果第四网络切片没有满额,且该PDU会话也没有在第四网络切片上被统计,则可选地,NSACF先对此PDU会话进行统计,根据更新标志(flag)对第一网络切片上的PDU会话数量进行增加或减少,并向SMF发送每网络切片PDU会话数量可用性检查和更新响应(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Response)消息,如S201-S203所示。
在统计结束后,可选地,NSACF判断第四网络切片上的PDU会话数量是否达到了设定的阈值(记为阈值#4)。如果达到了阈值#4,则NSAFC对网络切片上所有已被统计数量的PDU会话(包括该PDU会话)所对应的UE的状态、PDU Session ID#4、S-NSSAI#4进行验证。可选地,NSACF还可以对计入第四网络切片上的所有PDU会话所对应的UE(记为UEs)进行验证,该UEs包括S608中的UE ID所标识的UE。为了简洁,下面以该UE的验证过程为例进行说明,其他UE的验证过程与此类似,不再赘述。示例性地:
一种可能的实现方案(记为方案1)中,NSACF请求UDM进行验证。示例性地:
S610,NSACF向UDM发送验证请求消息。
示例性地,NSACF根据UE ID找到对应的UDM,并向该UDM发送验证请求消息,该验证请求消息中包括UE ID、S-NSSAI#4、PDU Session ID#4。
S611,UDM验证UE状态。
示例性地,UDM接收到来自NSACF的验证请求消息之后,验证UE的状态,即验证UE是否处于连接态。例如,UDM从验证请求消息中获取UE ID,并根据该UE ID获取UE对应的UE上下文。如果没有找到UE的上下文或UE上下文中的UE状态参数指示UE不处于连接态,则验证失败。在这种情况下,UDM向NSACF发送验证失败的响应消息,并携带原因值;如果找到了UE的上下文且UE上下文中的UE状态参数指示UE处于连接态,则进一步进行验证:
可选地,S612,UDM检查S-NSSAI#4是否在签约NSSAI(Subscribed NSSAI)或默认NSSAI(Default NSSAI)中。如果S-NSSAI#4不在签约NSSAI(Subscribed NSSAI)或默认NSSAI(Default NSSAI)中,则验证失败,UDM向NSACF发送验证失败的响应消息,并携带原因值。
示例性地,UDM根据本地保存的UE签约信息获取UE对应的Subscribed NSSAI或Default NSSAI,然后检查验证请求消息中携带的S-NSSAI#4是否在该Subscribed NSSAI或Default NSSAI中,如果不在,则验证失败,UDM向NSACF发送验证失败的响应消息,并携带原因值。如果验证通过,则进一步验证S-NSSAI#4和PDU Session ID#4与该UE的会话信息是否匹配。
可选地,如果UDM没有收到UE上报的会话信息,或者说UDM没有存储与UE ID相关联的会话信息,则UDM通过AMF向UE请求UE的会话信息。例如:UDM通过AMF向UE发送会话信息请求消息,该会话信息请求消息用于请求UE此次建立的会话的会话信息,该会话信息请求消息中携带UE ID和Message type,其中,该Message type用于指示该请求消息用于请求会话信息。UDM在向AMF发送该会话信息请求消息之后可以设置定时器,如果定时器超时还未收到UE上报的会话信息的话,则UDM判断验证失败,并向NSACF发送验证失败的响应消息,并携带原因值。对应的,AMF接收到UDM发送的会话信息请求消息之后,AMF会将该会话信息请求消息发送给UE,UE在收到会话信息请求消息后,UE通过AMF向UDM上报此次建立的会话的会话信息。应理解,UE会对该会话信息进行完整性保护,以防止该会话信息被篡改。
S613,UDM验证S-NSSAI#4和PDU Session ID#4是否与会话信息相匹配。
示例性地,UDM接收UE上报的会话信息,或者UDM根据UE ID在本地存储中获取与该UE ID关联的会话信息。UMD验证该会话信息中是否存在与S-NSSAI#4相同的网络切片的标识,如果不存在,则验证失败,UDM向NSACF发送验证失败的响应消息,并携带失败的原因值。如果会话信息中存在与S-NSSAI#4相同的网络切片的标识,例如会话信息中的S-NSSAI#3与S-NSSAI#4相同,则UDM验证会话信息中是否存在与S-NSSAI#3对应的、且与PDU SessionID#3相同的PDU会话的标识,如果存在,则验证成功,UDM向NSACF发送验证成功的响应消息,否则验证失败,UDM向NSACF发送验证失败的响应消息,并携带失败的原因值。S614,UDM向NSACF发送验证结果。
示例性地,该验证结果中包括UE ID。如果该验证结果为验证失败,还可以携带失败原因值。
另一种可能的实现方案(记为方案2)中,NSACF从UDM获取验证信息,然后根据该验证信息进行验证。示例性地:
S615,NSACF向UDM发送会话信息请求消息。
示例性地,NSACF根据UE ID找到对应的UDM,并向该UDM发送会话信息请求消息,该会话信息请求消息用于请求获取UE本次建立会话的会话信息(或者说该会话请求消息用于请求获取与UE ID相关联的会话信息),该会话信息请求消息中包括UE ID。
对应地,UDM接收会话信息请求消息。
如果此时UDM没有收到UE上报的会话信息,或者说,UDM本地没有储存UE ID所对应的会话信息,则UDM通过AMF向UE请求UE的会话信息。例如:UDM通过AMF向UE发送会话信息请求消息。UE通过AMF向UDM上报会话信息(具体上报过程与S604~S605类似,不再赘述)。
S616,UDM向NSACF发送UE的会话信息。
示例性地,UDM将UE上报的会话信息发送给NSACF。
UDM还向NSACF发送UE状态指示信息,该UE状态指示信息用于指示UE是否处于连接态,或者说该UE状态指示信息用于指示UE是否接入网络。可选地UDM还向NSACF还发送UE的Subscribed NSSAI。
S617,NSACF验证S-NSSAI#2和PDU Session ID#2是否与会话信息相匹配。
示例性地,NSACF根据UE状态指示信息判断UE是否接入网络,如果没有接入网络,则验证失败。如果UE接入了网络,且NSACF从UDM接收到了UE的Subscribed NSSAI,则可选地,NSACF进一步验证S-NSSAI#2是否属于该Subscribed NSSAI,如果不属于,则验证失败。如果属于,则NSSAI进一步验证S-NSSAI#2和PDU Session ID#2是否与会话信息相匹配。
示例性地,NSACF验证该会话信息中是否存在与S-NSSAI#4相同的网络切片的标识,如果不存在,则验证失败。如果会话信息中存在与S-NSSAI#4相同的网络切片的标识,例如会话信息中的S-NSSAI#3与S-NSSAI#4相同,则NSACF验证会话信息中是否存在与S-NSSAI#3对应的、且与PDU Session ID#3相同的PDU会话的标识,如果存在,则验证成功,否则验证失败。S618,NSACF向SMF发送每网络切片PDU会话数量可用性检查和更新响应(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Response)消息。
示例性地,如果每网络切片PDU会话数量可用性检查和更新请求消息内携带的信息验证成功,则NSACF根据该请求消息更新第二网络切片上的PDU会话的数量,并向SMF返回每网络切片PDU会话数量可用性检查和更新响应消息,该响应消息用于指示第二网络切片上的PDU会话数量更新成功;如果每网络切片PDU会话数量可用性检查和更新请求消息内携带的信息验证失败,则NSACF向SMF返回每网络切片PDU会话数量可用性检查和更新响应消息,该响应消息用于指示验证失败,或者该响应消息用于拒绝每网络切片PDU会话数量可用性检查和更新请求消息。可选地,还可以携带失败或拒绝的原因。图7示出了本申请实施例提供的方法700的示例性流程图。该方法700包括:
S701,UE向AMF发送PDU会话建立请求(PDU session establishment request)消息。
示例性地,UE向AMF发送PDU会话建立请求消息,该请求消息中包括PDU SessionID#5和S-NSSAI#5,该PDU会话建立请求消息用于请求在第五网络切片上建立PDU会话,该PDU Session ID#5用于标识该PDU会话,该第五网络切片与该S-NSSAI#5对应,或者说,该第五网络切片是该S-NSSAI#5所标识的网络切片。
S702,UE和网络侧完成二次认证(Re-Authentication)流程。
S703,AMF向UE发送二次认证接受消息、EAP成功指示信息。
S704,SMF向NSACF发送每网络切片PDU会话数量可用性检查和更新请求(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Request)消息。
S705,NSACF检查第二网络切片是否满额,以及是否已经统计了该PDU会话。
应理解,S701~S705与方法600中的S601~S603、S608~S609类似,这里不再重复说明。
在S705中,如果第六网络切片没有满额,且该PDU会话也没有在第六网络切片上被统计,则可选地,NSACF判断第六网络切片上的PDU会话数量是否达到了设定的阈值,其中,该第六网络切片是与S-NSSAI#6对应的网络切片。如果达到了设定的阈值,则NSAFC对该UE的状态、该PDU Session ID#6、该S-NSSAI#6进行验证。示例性地:
一种可能的实现方案(记为方案3)中,NSACF请求UDM进行验证。示例性地:
S706,NSACF向UDM发送验证请求消息,该验证请求消息中包括UE ID、S-NSSAI#6、PDU Session ID#6。
S707,UDM验证UE状态。
可选地,S708,UDM检查S-NSSAI#6是否在签约NSSAI(Subscribed NSSAI)或默认NSSAI(Default NSSAI)中。
应理解,S705~S708与方法600中的S610~S612类似,这里不再赘述。
S709,UDM通过AMF向UE发送会话信息请求消息。
该会话信息请求消息用于请求UE的会话信息,该会话信息请求消息中携带UE ID和Message type,其中,该Message type用于指示该请求消息用于请求会话信息。UDM在向AMF发送该会话信息请求消息之后可以设置定时器,如果定时器超时还未收到UE上报的会话信息的话,则UDM判断验证失败,并向NSACF发送验证失败的响应消息,并携带原因值。对应的,AMF接收到UDM发送的会话信息请求消息之后,AMF会将该会话信息请求消息发送给UE。
S710,UE通过AMF向UDM上报会话信息或未建立会话的指示信息。
示例性地,UE在收到会话信息请求消息后,如果UE存在正在建立的PDU会话,则UE向UDM上报此次建立的会话的会话信息以及消息认证码MAC-I,该会话信息包括S-NSSAI#5和PDU Session ID#5,该PDU Session ID#5用于标识UE本次建立的PDU会话,S-NSSAI#5用于标识第五网络切片,第五网络切片是UE本次建立的会话的网络切片。该消息认证码用于对该会话信息进行完整性保护,以防止该会话信息被篡改。具体方式与方法600中S604里介绍的消息认证码的生成方式类似,不再重复说明。如果UE没有正在建立的PDU会话,则UE向UDM上报未建立会话的指示信息。
如果UDM接收到未建立会话的指示信息,则UDM确定验证失败,UDM向NSACF返回验证失败的响应消息,并携带原因值。如果UDM接收到UE上报的会话信息,则进一步地,在S711,UDM验证消息完整性。
S711中验证消息完整性的方法与方法600中的S606介绍的方案类似,不再重复说明。
S712,UDM验证S-NSSAI#6和PDU Session ID#6是否与会话信息相匹配。
示例性地,UDM接收UE上报的会话信息,并验证该会话信息中是否存在与S-NSSAI#6相同的网络切片的标识,如果不存在,则验证失败,UDM向NSACF发送验证失败的响应消息,并携带失败的原因值。如果会话信息中存在与S-NSSAI#6相同的网络切片的标识,例如会话信息中的S-NSSAI#5与S-NSSAI#6相同,则UDM验证会话信息中是否存在与S-NSSAI#5对应的、且与PDU Session ID#5相同的PDU会话的标识,如果存在,则验证成功,UDM向NSACF发送验证成功的响应消息,否则验证失败,UDM向NSACF发送验证失败的响应消息,并携带失败的原因值。
S713,UDM向NSACF发送验证结果。
示例性地,该验证结果中包括UE ID。如果该验证结果为验证失败,还可以携带失败原因值。
另一种可能的实现方案(记为方案4)中,NSACF从UDM获取验证信息,然后根据该验证信息进行验证。示例性地:
S714,NSACF向UDM发送会话信息请求消息。
示例性地,NSACF根据UE ID找到对应的UDM,并向该UDM发送会话信息请求消息,该会话信息请求消息用于请求获取UE本次建立会话的会话信息(或者说该会话请求消息用于请求获取与UE ID相关联的会话信息),该会话信息请求消息中包括UE ID。
S715,UDM通过AMF向UE发送会话信息请求消息。
S716,UE通过AMF向UDM上报会话信息。
S717,UDM验证消息完整性。
S715~S717与S709~S711类似,不再赘述。
S718,UDM向NSACF发送会话信息或未建立会话的指示信息。
示例性地,UDM将UE上报的会话信息发送给NSACF。
如果UE未建立会话,则UDM向NSACF发送未建立会话的指示信息。如果UE有正在建立的会话,则UDM将接收到的会话信息发送给NSACF。另外,UDM还向NSACF发送UE状态指示信息,该UE状态指示信息用于指示UE是否处于连接态,或者说该UE状态指示信息用于指示UE是否接入网络。可选地UDM还向NSACF还发送UE的Subscribed NSSAI。
如果NSACF接收到UE未建立会话的指示信息,则确定验证失败,如果NSACF接收到会话信息,则在S617,NSACF验证S-NSSAI#2和PDU Session ID#2是否与会话信息相匹配。
示例性地,NSACF根据UE状态指示信息判断UE是否接入网络,如果没有接入网络,则验证失败。如果UE接入了网络,且NSACF从UDM接收到了UE的Subscribed NSSAI,则可选地,NSACF进一步验证S-NSSAI#2是否属于该Subscribed NSSAI,如果不属于,则验证失败。如果属于,则NSSAI进一步验证S-NSSAI#2和PDU Session ID#2是否与会话信息相匹配。示例性地,NSACF验证该会话信息中是否存在与S-NSSAI#6相同的网络切片的标识,如果不存在,则验证失败。如果会话信息中存在与S-NSSAI#6相同的网络切片的标识,例如会话信息中的S-NSSAI#5与S-NSSAI#6相同,则NSACF验证会话信息中是否存在与S-NSSAI#5对应的、且与PDU Session ID#5相同的PDU会话的标识,如果存在,则验证成功,否则验证失败。
S719,NSACF向SMF发送每网络切片PDU会话数量可用性检查和更新响应(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Response)消息。
示例性地,如果每网络切片PDU会话数量可用性检查和更新请求消息内携带的信息验证成功,则NSACF根据该请求消息更新第二网络切片上的PDU会话的数量,并向SMF返回每网络切片PDU会话数量可用性检查和更新响应消息,该响应消息用于指示第二网络切片上的PDU会话数量更新成功;如果每网络切片PDU会话数量可用性检查和更新请求消息内携带的信息验证失败,则NSACF向SMF返回每网络切片PDU会话数量可用性检查和更新响应消息,该响应消息用于指示验证失败,或者该响应消息用于拒绝每网络切片PDU会话数量可用性检查和更新请求消息。可选地,还可以携带失败或拒绝的原因。
以上,结合图4至图7详细说明了本申请实施例提供的方法。以下,结合图8至图11详细说明本申请实施例提供的装置。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,这里不再赘述。
图8是本申请实施例提供的用于网络验证的装置10的示意性框图。该装置10包括收发模块11和处理模块12。收发模块11可以实现相应的通信功能,处理模块12用于进行数据处理。收发模块11还可以称为通信接口或通信单元。
在一种可能的设计中,该装置10可对应于上文方法实施例中的切片统计网元(20)(或者NSACF)。
示例性地,该装置10可对应于本申请实施例的方法400中的切片统计网元(20),或者方法500至方法700中的UDM。该装置10可以包括用于执行图4至图7中的切片统计网元(20)(或者NSACF)所执行的方法的模块。并且,该装置10中的各单元和上述其他操作和/或功能分别为了实现图4至图7所示方法的相应流程。
该装置10中的该收发模块11执行上述各方法实施例中的切片统计网元(20)(或者NSACF)所执行的接收和发送操作,该处理模块12则执行除了该接收和发送操作之外的操作。
在另一种可能的设计中,该装置10可对应于上文方法实施例中的终端设备(10)(或者UE)。
示例性地,该装置10可对应于本申请实施例的方法400中的终端设备(10),或者方法500至方法700中的UE。该装置10可以包括用于执行图4至图7中的终端设备(10)(或者UE)所执行的方法的模块。并且,该装置10中的各单元和上述其他操作和/或功能分别为了实现图4至图7所示方法的相应流程。
该装置10中的该收发模块11执行上述各方法实施例中的终端设备(10)(或者UE)所执行的接收和发送操作,该处理模块12则执行除了该接收和发送操作之外的操作。
在又一种可能的设计中,该装置10可对应于上文方法实施例中的存储网元(50)(或者UDM)。
示例性地,该通信装置10可对应于本申请实施例的方法400中的存储网元(50),或者方法500至方法700中的NSACF。该装置10可以包括用于执行图4至图7中的存储网元(50)(或者UDM)所执行的方法的模块。并且,该装置10中的各单元和上述其他操作和/或功能分别为了实现图4至图7所示方法的相应流程。
该装置10中的该收发模块11执行上述各方法实施例中的存储网元(50)(或者UDM)所执行的接收和发送操作,该处理模块12则执行除了该接收和发送操作之外的操作。
根据前述方法,图9为本申请实施例提供的用于网络验证的装置20的示意图。在一种可能的设计中,该装置20可对应于上文方法实施例中的切片统计网元(20)(或者NSACF);在另一种可能的设计中,该装置10可对应于上文方法实施例中的终端设备(10)(或者UE);在又一种可能的设计中,该装置10可对应于上文方法实施例中的存储网元(50)(或者UDM)。
该装置20可以包括处理器21(即,处理模块的一例)和存储器22。该存储器22用于存储指令,该处理器21用于执行该存储器22存储的指令,以使该装置20实现如图4至图6对应的方法中终端设备或网络设备执行的步骤。
进一步地,该装置20还可以包括输入口23(即,收发模块的一例)和输出口24(即,收发模块的另一例)。进一步地,该处理器21、存储器22、输入口23和输出口24可以通过内部连接通路互相通信,传递控制和/或数据信号。该存储器22用于存储计算机程序,该处理器21可以用于从该存储器22中调用并运行该计算机程序,以控制输入口23接收信号,控制输出口24发送信号,完成上述方法中终端设备或网络设备的步骤。该存储器22可以集成在处理器21中,也可以与处理器21分开设置。
可选地,若该通信装置20为通信设备,该输入口23为接收器,该输出口24为发送器。其中,接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时,可以统称为收发器。
可选地,若该通信装置20为芯片或电路,该输入口23为输入接口,该输出口24为输出接口。
作为一种实现方式,输入口23和输出口24的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器21可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。
作为另一种实现方式,可以考虑使用通用计算机的方式来实现本申请实施例提供的通信设备。即将实现处理器21、输入口23和输出口24功能的程序代码存储在存储器22中,通用处理器通过执行存储器22中的代码来实现处理器21、输入口23和输出口24的功能。
该装置20所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
图10示出了一种简化的网络设备30的结构示意图。网络设备包括31部分以及32部分。31部分主要用于射频信号的收发以及射频信号与基带信号的转换;32部分主要用于基带处理,对网络设备进行控制等。31部分通常可以称为收发模块、收发机、收发电路、或者收发器等。32部分通常是网络设备的控制中心,通常可以称为处理模块,用于控制网络设备执行上述方法实施例中网络设备侧的处理操作。
31部分的收发模块,也可以称为收发机或收发器等,其包括天线和射频电路,其中射频电路主要用于进行射频处理。例如,可以将31部分中用于实现接收功能的器件视为接收模块,将用于实现发送功能的器件视为发送模块,即31部分包括接收模块和发送模块。接收模块也可以称为接收机、接收器、或接收电路等,发送模块可以称为发射机、发射器或者发射电路等。
32部分可以包括一个或多个单板,每个单板可以包括一个或多个处理器和一个或多个存储器。处理器用于读取和执行存储器中的程序以实现基带处理功能以及对网络设备的控制。若存在多个单板,各个单板之间可以互联以增强处理能力。作为一种可选的实施方式,也可以是多个单板共用一个或多个处理器,或者是多个单板共用一个或多个存储器,或者是多个单板同时共用一个或多个处理器。
例如,在一种实现方式中,图10所示的网络设备可以是图4至图6所示的方法中所示的任意网络设备,例如移动管理网元(20)、切片统计网元(40)、存储网元(50)、认证网元(50)等。
31部分的收发模块用于执行图4至图6所示的方法中任意网络设备的收发相关的步骤;32部分用于执行图4至图6所示的方法中的任意网络设备的处理相关的步骤。
应理解,图10仅为示例而非限定,上述包括收发模块和处理模块的网络设备可以不依赖于图10所示的结构。
当该装置40为芯片时,该芯片包括收发模块和处理模块。其中,收发模块可以是输入输出电路、通信接口;处理模块为该芯片上集成的处理器或者微处理器或者集成电路。
图11为本申请提供的一种终端设备40的结构示意图。为了便于说明,图11仅示出了通信装置的主要部件。如图11所示,终端设备40包括处理器、存储器、控制电路、天线以及输入输出装置。
处理器主要用于对通信协议以及通信数据进行处理,以及对整个终端设备进行控制,执行软件程序,处理软件程序的数据,例如用于支持终端设备执行上述传输预编码矩阵的指示方法实施例中所描述的动作。存储器主要用于存储软件程序和数据,例如存储上述实施例中所描述的码本。控制电路主要用于基带信号与射频信号的转换以及对射频信号的处理。控制电路和天线一起也可以叫做收发器,主要用于收发电磁波形式的射频信号。输入输出装置,例如触摸屏、显示屏,键盘等主要用于接收用户输入的数据以及对用户输出数据。
当通信装置开机后,处理器可以读取存储单元中的软件程序,解释并执行软件程序的指令,处理软件程序的数据。当需要通过无线发送数据时,处理器对待发送的数据进行基带处理后,输出基带信号至射频电路,射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时,射频电路通过天线接收到射频信号,将射频信号转换为基带信号,并将基带信号输出至处理器,处理器将基带信号转换为数据并对该数据进行处理。
本领域技术人员可以理解,为了便于说明,图11仅示出了一个存储器和处理器。在实际的终端设备中,可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等,本申请实施例对此不做限制。
作为一种可选的实现方式,处理器可以包括基带处理器和中央处理器,基带处理器主要用于对通信协议以及通信数据进行处理,中央处理器主要用于对整个终端设备进行控制,执行软件程序,处理软件程序的数据。图11中的处理器集成了基带处理器和中央处理器的功能,本领域技术人员可以理解,基带处理器和中央处理器也可以是各自独立的处理器,通过总线等技术互联。本领域技术人员可以理解,终端设备可以包括多个基带处理器以适应不同的网络制式,终端设备可以包括多个中央处理器以增强其处理能力,终端设备的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中,也可以以软件程序的形式存储在存储单元中,由处理器执行软件程序以实现基带处理功能。
如图11所示,终端设备40包括收发单元41和处理单元42。收发单元也可以称为收发器、收发机、收发装置等。可选的,可以将收发单元41中用于实现接收功能的器件视为接收单元,将收发单元41中用于实现发送功能的器件视为发送单元,即收发单元41包括接收单元和发送单元。示例性的,接收单元也可以称为接收机、接收器、接收电路等,发送单元可以称为发射机、发射器或者发射电路等。
图11所示的终端设备可以执行图4至图7所示的方法中终端设所执行的各动作,这里,为了避免赘述,省略其详细说明。
本申请实施例还提供一种计算机可读存储介质,其上存储有用于实现上述方法实施例中由第网络设备执行的方法的计算机指令。
例如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法实施例中由网络设备执行的方法。
本申请实施例还提供一种包含指令的计算机程序产品,该指令被计算机执行时使得该计算机实现上述方法实施例中由第一设备执行的方法,或由第二设备执行的方法。
本申请实施例还提供一种通信系统,该通信系统包括上文实施例中的网络设备。
上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例,此处不再赘述。
在本申请实施例中,网络设备可以包括硬件层、运行在硬件层之上的操作系统层,以及运行在操作系统层上的应用层。其中,硬件层可以包括中央处理器(centralprocessing unit,CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。操作系统层的操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统,例如,Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。应用层可以包含浏览器、通讯录、文字处理软件、即时通信软件等应用。
本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定,只要能够通过运行记录有本申请实施例提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可。例如,本申请实施例提供的方法的执行主体可以是网络设备,或者,是网络设备中能够调用程序并执行程序的功能模块。
本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmableread-only memory,EPROM)、卡、棒或钥匙驱动器等)。
本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于:无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
应理解,本申请实施例中提及的处理器可以是中央处理单元(centralprocessing unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM)。例如,RAM可以用作外部高速缓存。作为示例而非限定,RAM可以包括如下多种形式:静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(doubledata rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
需要说明的是,当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时,存储器(存储模块)可以集成在处理器中。
还需要说明的是,本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的保护范围。
所属领域的技术人员可以清楚地了解到,为描述方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。此外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。
另外,在本申请各个实施例中的各功能单元可以集成在一个单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如,所述计算机可以是个人计算机,服务器,或者网络设备等。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,(SSD))等。例如,前述的可用介质可以包括但不限于:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求和说明书的保护范围为准。
Claims (23)
1.一种网络验证的方法,其特征在于,包括:
切片统计网元(40)接收来自会话管理网元(30)的切片会话统计请求消息(410),所述切片会话统计请求消息(410)包括终端设备(10)的标识、第一网络切片的标识和第一会话的标识;
响应于所述切片会话统计请求消息,所述切片统计网元(40)判断所述终端设备是否占用了所述第一网络切片的资源和/或建立了所述第一会话;
根据判断结果,所述切片统计网元(40)确定是否将所述第一会话计入接入所述第一网络切片的会话统计。
2.根据权利要求1所述的方法,其特征在于,所述切片统计网元(40)判断所述终端设备(10)是否占用了所述第一网络切片的资源和/或建立了所述第一会话,包括:
所述切片统计网元(40)向存储网元(50)发送会话信息请求消息(428),所述会话信息请求消息(428)包括所述终端设备(10)的标识,所述会话信息请求消息(428)用于请求获取所述终端设备(10)建立的会话的会话信息;
所述切片统计网元(40)接收来自所述存储网元(50)的所述会话信息或未建立会话的指示信息(429),所述会话信息包括第二网络切片的标识和第二会话的标识,所述第二会话为所述终端设备(10)建立的会话,所述第二网络切片为所述第二会话所占用的网络切片;
所述切片统计网元(40)根据所述会话信息或所述未建立会话的指示信息(429),判断所述终端设备(10)是否占用了所述第一网络切片的资源和/或建立了所述第一会话。
3.根据权利要求2所述的方法,其特征在于,所述切片统计网元(40)根据所述会话信息或所述未建立会话的指示信息(429),判断所述终端设备(10)是否占用了所述第一网络切片的资源和/或建立了所述第一会话,包括:
在所述切片统计网元(40)接收到来自所述存储网元(50)的未建立会话的指示信息的情况下,所述切片统计网元(40)确定所述终端设备(10)未建立所述第一会话;
在所述切片统计网元(40)接收到来自所述存储网元(50)的会话信息的情况下,所述切片统计网元(40)验证所述第一网络切片的标识和第二网络切片的标识是否相同,以及所述第一会话的标识和所述第二会话的标识是否相同;在所述第一网络切片的标识和所述第二网络切片的标识相同,且所述第一会话的标识和所述第二会话的标识相同的情况下,所述切片统计网元(40)确定所述终端设备(10)占用了所述第一网络切片的资源,且建立了所述第一会话。
4.根据权利要求1所述的方法,其特征在于,所述切片统计网元(40)根据所述会话信息或所述未建立会话的指示信息(429),判断所述终端设备(10)是否占用了所述第一网络切片的资源和/或建立了所述第一会话,包括:
所述切片统计网元(40)向存储网元(50)或移动管理网元(20)发送会话验证请求消息(421),所述会话验证请求消息(421)包括所述终端设备(10)的标识、所述第一网络切片的标识和所述第一会话的标识,所述会话验证请求消息(421)用于请求验证所述终端设备(10)是否占用了所述第一网络切片的资源和/或建立了所述第一会话;
所述切片统计网元(40)接收来自所述存储网元(50)或移动管理网元(20)的指示信息;
所述切片统计网元(40)根据所述指示信息(426)确定所述终端设备(10)是否占用了所述第一网络切片的资源和/或建立了所述第一会话。
5.根据权利要求1至4中任一项所述的方法,其特征在于,在所述切片统计网元(40)判断所述终端设备是否占用了所述第一网络切片的资源和/或建立了所述第一会话之前,所述方法还包括:
所述切片统计网元(40)确定所述终端设备(10)处于连接态。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
所述切片统计网元(40)确定计入接入所述第一网络切片上的会话统计的数量大于或等于阈值。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述根据判断结果,所述切片统计网元(40)确定是否将所述第一会话计入接入所述第一网络切片的会话统计,包括:
当所述终端设备(10)占用了所述第一网络切片的资源,且建立了所述第一会话,所述切片统计网元(40)将所述第一会话计入接入所述第一网络切片的会话统计;
当所述终端设备(10)没有占用所述第一网络切片的资源,或没有建立所述第一会话,所述切片统计网元(40)不将所述第一会话计入接入所述第一网络切片的会话统计。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述切片会话统计请求消息(410)用于请求将所述会话计入接入所述网络切片上的会话统计的数量。
9.一种网络验证的方法,其特征在于,包括:
核心网网元接收来自切片统计网元(40)的会话验证请求消息(421),所述会话验证请求消息(421)包括终端设备(10)的标识、第一网络切片的标识和第一会话的标识,所述会话验证请求消息用于请求验证所述终端设备(10)是否占用了所述第一网络切片的资源,和/或建立了所述第一会话;
响应于所述会话验证请求消息,所述核心网网元获取所述终端设备(10)的会话信息,所述会话信息包括第二网络切片的标识和第二会话的标识,所述第二会话为所述终端设备(10)建立的会话,所述第二网络切片为所述第二会话占用的网络切片;
所述核心网网元根据所述会话信息,验证所述终端设备(10)是否占用了所述第一网络切片的资源和/或建立了所述第一会话。
10.根据权利要求9所述的方法,其特征在于,所述核心网网元根据所述会话信息,验证所述终端设备(10)是否占用了所述第一网络切片的资源和/或建立了所述第一会话,包括:
所述核心网网元验证所述第一网络切片的标识和第二网络切片的标识是否相同,以及所述第一会话的标识和所述第二会话的标识是否相同;
在所述第一网络切片的标识和所述第二网络切片的标识相同,且所述第一会话的标识和所述第二会话的标识相同的情况下,所述核心网网元确定所述终端设备(10)占用了所述第一网络切片,且建立了所述第一会话。
11.根据权利要求9或10所述的方法,其特征在于,在所述核心网网元为移动管理网元(20)的情形下,所述核心网网元获取所述终端设备(10)的会话信息,包括:
所述移动管理网元(20)根据所述终端设备(10)的标识获取所述终端设备(10)的上下文;
所述移动管理网元(20)从所述终端设备(10)的上下文中获取所述终端设备(10)的会话信息。
12.根据权利要求9或10所述的方法,其特征在于,在所述核心网网元为存储网元(50)的情形下,所述核心网网元获取所述终端设备(10)的会话信息,包括:
所述存储网元(50)根据所述终端设备(10)的标识,在本地获取所述会话信息。
13.根据权利要求12所述的方法,其特征在于,所述核心网网元获取所述终端设备(10)的会话信息,包括:
在所述核心网网元(50)本地没有所述会话信息时,所述核心网网元(50)向所述终端设备(10)发送会话信息请求消息(423),所述会话信息请求消息(423)用于请求获取所述终端设备(10)的所述会话信息;
所述核心网网元(50)接收来自所述终端设备(10)的受到了完整性保护的会话信息响应消息(424),所述会话信息响应消息(424)包括所述会话信息和完整性校验参数,所述完整性校验参数用于验证所述会话信息是否被篡改。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
所述核心网网元(50)向验证网元(60)发送验证请求消息,所述验证请求消息包括所述会话信息和所述完整性校验参数,所述验证请求消息用于请求验证所述会话信息是否被篡改;
所述核心网网元(50)接收来自所述验证网元(60)的完整性验证指示信息;
所述核心网网元(50)根据所述完整性验证指示信息确定所述会话信息是否被篡改。
15.根据权利要求9至14中任一项所述的方法,其特征在于,在所述核心网网元获取所述终端设备(10)的会话信息之前,所述方法还包括:
所述控制面网元确定所述第一网络切片的标识属于所述终端设备(10)的签约网络切片。
16.根据权利要求9至14中任一项所述的方法,其特征在于,所述会话验证请求消息(421)用于请求验证所述终端设备(10)是否占用了所述第一网络切片的资源,和/或建立了所述第一会话。
17.一种网络验证的方法,其特征在于,包括:
在接收到会话建立接受消息之后,终端设备(10)生成具有完整性保护的消息,所述消息包括所述终端设备(10)建立的会话的会话信息,所述会话信息包括所述终端设备(10)建立的会话的标识,和所述会话占用的网络切片的标识;
所述终端设备(10)将所述消息发送给存储网元(50)。
18.根据权利要求17所述的方法,其特征在于,所述会话建立接受消息包括可扩展认证协议成功指示信息。
19.根据权利要求17或18所述的方法,其特征在于,所述方法还包括:
所述终端设备(10)利用完整性密钥和所述会话信息生成完整性校验参数,所述消息中还包括所述完整性校验参数,所述完整性校验参数用于验证所述会话信息是否被篡改。
20.一种网络验证的装置,其特征在于,该装置用于执行权利要求1至权利要求19中任一项所述的方法。
21.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,当所述计算机程序在计算机上运行时,使得计算机执行如权利要求1至19中任一项所述的方法。
22.一种计算机程序产品,其特征在于,包括计算机程序指令,所述计算机程序指令在计算机上运行时,使得计算机执行如权利要求1至19中任一项所述的方法。
23.一种通信装置,其特征在于,包括至少一个处理器,所述至少一个处理器用于执行存储在存储器中的计算机程序或指令,以执行如权利要求1至19中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111101898.8A CN115843028A (zh) | 2021-09-18 | 2021-09-18 | 网络验证的方法和装置 |
PCT/CN2022/119393 WO2023041056A1 (zh) | 2021-09-18 | 2022-09-16 | 网络验证的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111101898.8A CN115843028A (zh) | 2021-09-18 | 2021-09-18 | 网络验证的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115843028A true CN115843028A (zh) | 2023-03-24 |
Family
ID=85575203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111101898.8A Pending CN115843028A (zh) | 2021-09-18 | 2021-09-18 | 网络验证的方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN115843028A (zh) |
WO (1) | WO2023041056A1 (zh) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10411964B2 (en) * | 2016-09-09 | 2019-09-10 | Huawei Technologies Co., Ltd. | Method and apparatus for network slicing |
CN109474450B (zh) * | 2017-09-07 | 2021-11-30 | 华为技术有限公司 | 一种通信方法、相关设备和系统 |
CN110225474B (zh) * | 2018-03-02 | 2021-08-13 | 华为技术有限公司 | 一种多连接下的数据量上报方法 |
CN110621019A (zh) * | 2018-06-20 | 2019-12-27 | 华为技术有限公司 | 一种防止流量欺诈的方法及装置 |
CN111132271B (zh) * | 2018-11-01 | 2022-03-29 | 华为终端有限公司 | 一种pdu会话的动态调整方法、装置 |
WO2020114569A1 (en) * | 2018-12-03 | 2020-06-11 | Huawei Technologies Co., Ltd. | Methods and nodes for predicting qos of a ue session based on slice status |
-
2021
- 2021-09-18 CN CN202111101898.8A patent/CN115843028A/zh active Pending
-
2022
- 2022-09-16 WO PCT/CN2022/119393 patent/WO2023041056A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2023041056A1 (zh) | 2023-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10798578B2 (en) | Communication method and related apparatus | |
EP3493601B1 (en) | Selecting a network slice | |
EP3713372A1 (en) | Method and device for creating user group | |
US11140545B2 (en) | Method, apparatus, and system for protecting data | |
EP3771242A1 (en) | Key generation method and relevant apparatus | |
CN113132334B (zh) | 授权结果的确定方法及装置 | |
CN111818516B (zh) | 认证方法、装置及设备 | |
US20230147409A1 (en) | Apparatus and method for network automation in wireless communication system | |
WO2022247812A1 (zh) | 一种鉴权方法、通信装置和系统 | |
US20220272533A1 (en) | Identity authentication method and communications apparatus | |
US11722890B2 (en) | Methods and systems for deriving cu-up security keys for disaggregated gNB architecture | |
CN115701162A (zh) | 管理对网络切片的互斥访问 | |
CN116723507B (zh) | 针对边缘网络的终端安全方法及装置 | |
CN108702303B (zh) | 一种为无线承载进行安全配置方法和设备 | |
US20230132454A1 (en) | Method and apparatus for supporting edge computing service for roaming ue in wireless communication system | |
WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
CN117320002A (zh) | 通信方法及装置 | |
CN115996378A (zh) | 鉴权方法及装置 | |
CN115706997A (zh) | 授权验证的方法及装置 | |
CN115843028A (zh) | 网络验证的方法和装置 | |
CN113873492A (zh) | 一种通信方法以及相关装置 | |
WO2023041054A1 (zh) | 网络验证的方法和装置 | |
CN116528234B (zh) | 一种虚拟机的安全可信验证方法及装置 | |
US20240163670A1 (en) | Wireless communication method and apparatus | |
CN115915114A (zh) | 注册方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |