CN115996377A - 切片认证和授权方法、装置、终端及网络设备 - Google Patents
切片认证和授权方法、装置、终端及网络设备 Download PDFInfo
- Publication number
- CN115996377A CN115996377A CN202111213875.6A CN202111213875A CN115996377A CN 115996377 A CN115996377 A CN 115996377A CN 202111213875 A CN202111213875 A CN 202111213875A CN 115996377 A CN115996377 A CN 115996377A
- Authority
- CN
- China
- Prior art keywords
- slice
- authentication
- authorization
- terminal
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种切片认证和授权方法、装置、终端及网络设备,涉及通信技术领域,所述方法包括:若检测到第一切片的用户身份证明更新,则向网络设备发送对所述第一切片进行切片认证和授权的请求信息;其中,所述第一切片是已获得切片认证和授权结果的切片。本发明的方案解决了目前的切片认证和授权过程中,在切片认证失败或者切片的用户身份证明发生更新时,导致切片服务不可用,而影响网络服务性能的问题。
Description
技术领域
本发明涉及通信技术领域,特别是指一种切片认证和授权方法、装置、终端及网络设备。
背景技术
网络切片是5G独立组网(Standalone,SA)定义的新能力,是基于统一网络设施提供端到端逻辑“专用网络”,通过将网络资源灵活分配、网络能力灵活组合,基于一张网络虚拟多个具备不同特性的逻辑子网络,提供面向不同应用场景的按需定制的网络服务。
网络切片认证和授权(Network slice-specific authentication andauthorization)是面向切片服务的一种安全认证方式,验证终端是否具备使用某项切片服务的资质,该认证方式主要面向对外服务(如使用运营商切片服务的应用业务提供方)。目前的切片认证和授权过程中,当某个切片在切片认证和授权过程中认证失败,则该切片服务不可用;或者,当切片的用户身份证明发生更新时,终端需要在网络设备主动发起切片认证和授权,并在认证成功之后才可以继续使用该项切片服务,影响网络服务性能。
发明内容
本发明的目的是提供一种切片认证和授权方法、装置、终端及网络设备,以解决目前的切片认证和授权过程中,在切片认证失败或者切片的用户身份证明发生更新时,导致切片服务不可用,而影响网络服务性能的问题。
为达到上述目的,本发明实施例提供一种切片认证和授权方法,应用于终端,所述方法包括:
若检测到第一切片的用户身份证明更新,则向网络设备发送对所述第一切片进行切片认证和授权的请求信息;
其中,所述第一切片是已获得切片认证和授权结果的切片。
可选地,所述向网络设备发送对所述第一切片进行切片认证和授权的请求信息,包括:
向所述网络设备发送第一上行信令;其中,所述第一上行信令中携带请求进行切片认证和授权的第二切片的标识,且所述第二切片的标识中包含部分或全部所述第一切片的标识。
可选地,所述向所述网络设备发送第一上行信令之后,还包括:
接收所述网络设备发送的第一下行信令;其中,所述第一下行信令用于指示第三切片的切片认证和授权结果;其中,所述第三切片包括部分或全部所述第二切片。
可选地,所述向所述网络设备发送第一上行信令之后,所述接收所述网络设备发送的第一下行信令之前,还包括:
接收所述网络设备发送的第二下行信令;其中,所述第二下行信令中携带所述第三切片的标识;所述第三切片的标识中包含部分或全部所述第二切片的标识;
根据所述第二下行信令,向所述网络设备发送第一响应消息;其中,所述第一下行信令是所述网络设备基于所述第一响应消息发送的,所述第一响应消息携带更新后的第一切片的用户身份证明的相关信息。
可选地,所述接收所述网络设备发送的第一下行信令之后,还包括:
若已存储的切片标识中存在第一目标切片标识,则对已存储的所述第一目标切片标识对应的切片认证和授权结果进行更新;其中,所述第一目标切片标识为部分或全部所述第三切片的标识;
若已存储的切片标识中不存在第二目标切片标识,则存储所述第二目标切片标识对应的切片认证和授权结果;其中,所述第二目标切片标识为部分或全部所述第三切片的标识。
可选地,所述切片认证和授权结果包括:切片认证和授权成功,或切片认证和授权失败。
可选地,所述第一切片的用户身份证明更新包括:所述终端的软件更新、所述终端所连接的硬件更新、信息写入、信息更新和用户输入指示中的至少一项。
为达到上述目的,本发明实施例提供一种切片认证和授权方法,应用于网络设备,所述方法包括:
接收终端发送的对第一切片进行切片认证和授权的请求信息;其中,所述请求信息是所述终端在检测到所述第一切片的用户身份证明更新时发送的,所述第一切片是已获得切片认证和授权结果的切片;
根据所述请求信息,执行切片认证和授权的相关处理。
可选地,所述接收终端发送的对第一切片进行切片认证和授权的请求信息,包括:
接收所述终端发送的第一上行信令;其中,所述第一上行信令中携带请求进行切片认证和授权的第二切片的标识,且所述第二切片的标识中包含部分或全部所述第一切片的标识。
可选地,所述根据所述请求信息,执行切片认证和授权的相关处理,包括:
向所述终端发送第一下行信令;其中,所述第一下行信令用于指示第三切片的切片认证和授权结果;其中,所述第三切片包括部分或全部所述第二切片。
可选地,所述根据所述请求信息,执行切片认证和授权的相关处理,还包括:
在向所述终端发送第一下行信令之前,向所述终端发送第二下行信令;其中,所述第二下行信令中携带所述第三切片的标识;所述第三切片的标识中包含部分或全部所述第二切片的标识;
接收所述终端根据所述第二下行信令发送的第一响应消息;其中,所述第一下行信令是所述网络设备基于所述第一响应消息发送的,所述第一响应消息携带更新后的第一切片的用户身份证明的相关信息。
可选地,所述切片认证和授权结果包括:切片认证和授权成功,或切片认证和授权失败。
为达到上述目的,本发明实施例提供一种切片认证和授权装置,应用于终端,所述装置包括:
第一发送模块,用于若检测到第一切片的用户身份证明更新,则向网络设备发送对所述第一切片进行切片认证和授权的请求信息;
其中,所述第一切片是已获得切片认证和授权结果的切片。
为达到上述目的,本发明实施例提供一种终端,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;所述处理器执行所述程序或指令时实现如上所述的切片认证和授权方法中的步骤。
为达到上述目的,本发明实施例提供一种切片认证和授权装置,应用于网络设备,所述装置包括:
接收模块,用于接收终端发送的对第一切片进行切片认证和授权的请求信息;其中,所述请求信息是所述终端在检测到所述第一切片的用户身份证明更新时发送的,所述第一切片是已获得切片认证和授权结果的切片;
处理模块,用于根据所述请求信息,执行切片认证和授权的相关处理。
为达到上述目的,本发明实施例提供一种网络设备,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;其特征在于,所述处理器执行所述程序或指令时实现如上所述的切片认证和授权方法中的步骤。
为达到上述目的,本发明实施例提供一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现如上所述的切片认证和授权方法中的步骤。
本发明的上述技术方案的有益效果如下:
本发明实施例中,针对已获得切片认证和授权结果(如包括切片认证和授权成功或失败)的第一切片,在终端检测到其发生用户身份证明更新时,可以主动向网络设备发起对该第一切片进行切片认证或授权的请求,以使得网络设备能够针对该更新用户身份证明后的第一切片重新进行切片认证和授权,避免当某个切片在切片认证和授权过程中认证失败的情况下,网络设备无法感知该切片的用户身份证明更新,而导致切片服务不可用的问题,从而提高了切片服务性能。
附图说明
图1为本发明实施例的终端侧的切片认证和授权方法的流程图;
图2为本发明实施例的切片鉴权空口信令流程图;
图3为本发明实施例的终端侧的切片认证和授权装置的框图;
图4为本发明实施例的终端的框图;
图5为本发明实施例的网络设备侧的切片认证和授权方法的流程图;
图6为本发明实施例的网络设备侧的切片认证和授权装置的框图;
图7为本发明实施例的网络设备的框图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常可互换使用。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
如图1所示,本发明实施例的一种切片认证和授权方法,应用于终端,所述方法包括:
步骤11:若检测到第一切片的用户身份证明更新,则向网络设备发送对所述第一切片进行切片认证和授权的请求信息;其中,所述第一切片是已获得切片认证和授权结果的切片。
可选地,对于上述步骤11中的第一切片,其已获得切片认证和授权结果可以是认证失败的切片,也可以是认证成功的切片。对于该认证失败的切片标识或是认证成功的切片标识,终端对该切片的用户身份证明进行检测。若终端检测到该切片的用户身份证明发生变化后,则主动向网络设备发送切片认证和授权请求,也即是终端主动发送针对该切片的切片认证和授权请求,应针对在前一次切片认证和授权中认证失败或者认证成功的切片,且终端检测到该切片的用户身份证明发生变化。
当然,终端向网络设备主动发起切片认证和授权请求时,还可以同时请求除前一次切片认证和授权中认证失败或者认证成功的切片之外的其他切片(也即终端向网络设备主动发起切片认证和授权请求时,还可以同时请求除所述第一切片之外的其他切片进行切片认证和失败请求),本发明实施例不以此为限。
例如:终端在切片认证失败后,则该切片服务不可用。当该认证失败的切片发生用户身份证明更新的情况下,如果通过重新进行切片认证和授权成功,则该切片服务可用,此时通过终端在已完成主认证和初始注册的情况下,针对认证失败的切片在检测到其发生用户身份证明更新时,可以主动发起切片认证和授权请求,以使得网络设备针对该切片进行切片认证和授权,避免当某个切片在切片认证和授权过程中认证失败的情况下,网络设备无法感知该切片的用户身份证明更新,而导致切片服务不可用的问题。
又例如:针对认证成功的切片,在发生用户身份证明更新的情况下,也可能导致该切片服务不可以,此时通过终端在已完成主认证和初始注册的情况下,针对认证失败的切片在检测到其发生用户身份证明更新时,可以主动发起切片认证和授权请求,以使得网络设备针对该切片进行切片认证和授权,避免当某个切片在切片认证和授权过程中认证失败的情况下,网络设备无法感知该切片的用户身份证明更新,而导致切片服务不可用的问题。
本发明的上述方案,针对已获得切片认证和授权结果(如包括切片认证和授权成功或失败)的第一切片,在终端检测到其发生用户身份证明更新时,可以主动向网络设备发起对该第一切片进行切片认证和授权的请求,以使得网络设备能够针对该更新用户身份证明后的第一切片重新进行切片认证和授权,避免当某个切片在切片认证和授权过程中认证失败的情况下,网络设备无法感知该切片的用户身份证明更新,而导致切片服务不可用的问题,从而提高了切片服务性能。
可选地,在上述步骤11之前,终端可以接收网络设备发送的用于指示第一切片的切片认证和授权结果的下行信令,从而终端可以获得该第一切片的切片认证和授权结果。
例如:该下行信令可以是在终端完成主认证和初始注册后,由网络设备发送给终端的。或者,该下行信令也可以是在终端主动向网络设备请求对第一切片进行切片认证和授权之后,由网络设备发送给终端的。
可选地,所述切片认证和授权结果包括:切片认证和授权成功,或切片认证和授权失败。
可选地,所述终端接收网络设备发送的用于指示第一切片的切片认证和授权结果的下行信令之后,还可以包括:根据所述下行信令,存储所述第一切片的标识。
具体的,终端在完成主认证和初始注册后,按照网络设备下发的切片认证和授权要求信令,通过信令回复终端侧切片认证和授权信息,终端根据网络设备下发的切片认证和授权结果信令中的指示,存储认证成功的切片标识和认证失败的切片标识。
例如:切片认证和授权使用的前提是终端已经初始注册的主认证,即主认证和密钥协商(Primary authentication and key agreement),且终端完成初始注册流程。在终端完成主认证和初始注册后,可以由网络设备触发切片认证和授权,如网络设备侧的接入和移动性管理(Access and Mobility Management Function,AMF)网元或授权认证和会计服务器(Authentication,Authorization,and Accounting Server,AAA-S)触发切片认证和授权;例如:触发条件包括:注册过程中AAA-S检测到终端请求的某些切片需要进行切片鉴权,或AMF检测到用户签约信息变化,或AAA-S要求重新进行切片鉴权等。其中,切片鉴权空口信令流程,如图2所示。
网络设备触发切片认证和授权后,终端回复可扩展身份验证协议(ExtensibleAuthentication Protocol,EAP)响应消息(即EAP-response消息),该EAP-response消息中应携带证明用户可使用该切片的身份证明(即用户身份证明)。切片认证和授权的结果可以由AAA-S基于终端回复的EAP-response消息进行判定,根据判定结果回复EAP认证成功(EAP-success)或EAP认证失败(EAP-failure),即切片认证和授权结果。如结果为失败,则网络设备将认证过失败的切片标识,如单网络切片选择辅助信息(Single Network SliceSelection Assistance Information,S-NSSAI)或S-NSSAIs,通过AMF下发的信令告知终端,放入相应信令的拒绝NSSAI(Rejected NSSAI)列表中,同时指示由于网络切片认证与授权失败或撤销,S-NSSAI不可用(S-NSSAI not available due to the failed or revokednetwork slice-specific authentication and authorization)。
可选地,所述第一切片的用户身份证明更新包括:所述终端的软件更新、所述终端所连接的硬件更新、信息写入、信息更新和用户输入指示中的至少一项。
例如:信息写入或更新可以是指SIM卡相关信息的写入或更新(如插拔卡后清除相应的信息)或除此之外的其他信息写入或更新等;用户输入指示可以是用户输入用户名、密码等信息,或者除此之外的其他用户输入,本发明实施例不以此为限。
可选地,所述向所述网络设备发送对所述第一切片进行切片认证和授权的请求信息,包括:
向所述网络设备发送第一上行信令;其中,所述第一上行信令中携带请求进行切片认证和授权的第二切片的标识,且所述第二切片的标识中包含部分或全部所述第一切片的标识。
例如:终端发送的对所述第一切片进行切片认证和授权的请求信息可以被携带在独立的上行信令中,即独立的第一上行信令。该第一上行信令可以携带请求进行切片认证和授权的一个或者多个第二切片的标识,该第二切片的标识可以包含全部或部分前一次切片认证和授权过程中认证失败或者认证成功的切片(即第一切片)的标识,还可以包含除此之外的其他切片的标识等,本发明实施例不以此为限。
可选地,所述向所述网络设备发送第一上行信令之后,还包括:
接收所述网络设备发送的第一下行信令;其中,所述第一下行信令用于指示第三切片的切片认证和授权结果;其中,所述第三切片包括部分或全部所述第二切片。
例如:在终端向所述网络设备发送携带请求进行切片认证和授权的第二切片的标识的第一上行信令之后,网络设备根据该第一上行信令执行切片认证和授权的相关处理,并向所述网络设备发送用于指示第三切片的切片认证和授权结果的第一下行信令(其中,该第一下行信令可以称为结果信令,用于指示切片认证和授权结果),由于该第三切片包括部分或全部所述第二切片,也即该第三切片可以包含部分或全部所述第一切片,当然该第三切片还可以包括除所述第二切片之外的其他切片,本发明实施例不以此为限。
可选地,所述向所述网络设备发送第一上行信令之后,所述接收所述网络设备发送的第一下行信令之前,还包括:
接收所述网络设备发送的第二下行信令;其中,所述第二下行信令中携带所述第三切片的标识;所述第三切片的标识中包含部分或全部所述第二切片的标识;
根据所述第二下行信令,向所述网络设备发送第一响应消息;其中,所述第一下行信令是所述网络设备基于所述第一响应消息发送的,所述第一响应消息携带更新后的第一切片的用户身份证明的相关信息。
其中,所述第二下行信令可以是切片认证和授权要求信令;其中,所述切片认证和授权要求信令中可以携带第三切片的标识(该第三切片可以是待进行切片认证和授权的切片),此外该切片认证和授权要求信令中还可以携带进行切片认证和授权相关的信息等,本发明实施例不以此为限。
具体的,在终端主动请求进行切片认证和授权之后,网络设备根据该请求向终端下发第二下行信令(如切片认证和授权要求信令),该第二下行信令中携带待认证和授权的第三切片的标识(或者还可以携带该网络设备侧进行切片认证和授权相关的信息),且该三切片的标识中应包含该第一上行信令中的一个或者多个请求切片认证和授权的第二切片的标识。
终端根据更新后的用户身份证明,生成新的认证和授权响应消息(或称为回复信息),即第一响应消息,并基于网络设备发送的切片认证和授权要求信令,向网络设备反馈所生成的新的认证和授权响应消息(如通过上行信令发送),该上行信令中可以携带更新后的第一切片的用户身份证明的相关信息(如待进行认证和授权的切片的标识信息、更新后的第一切片的用户身份证明等),以及切片标识对应的上述新的认证和授权响应消息等。其中,该上行信令中携带的待认证和授权的切片的标识应和上述网络设备下发的下行信令中携带的第三切片的标识信息保持一致。
网络设备基于终端回复的EAP-response消息进行切片认证和授权的结果的判定,根据判定结果回复第一下行信令(如认证成功或认证失败的切片认证和授权结果信令),从而终端可以根据该第一下行信令,确定针对更新后的切片重新进行切片认证和授权的结果。
可选地,所述接收所述网络设备发送的第一下行信令之后,还包括:
若已存储的切片标识中存在第一目标切片标识,则对已存储的所述第一目标切片标识对应的切片认证和授权结果进行更新;其中,所述第一目标切片标识为部分或全部所述第三切片的标识;
若已存储的切片标识中不存在第二目标切片标识,则存储所述第二目标切片标识对应的切片认证和授权结果;其中,所述第二目标切片标识为部分或全部所述第三切片的标识。
具体的,终端对于以获得切片认证和授权的切片,可以存储相应的切片标识和对应的切片认证和授权结果。这样,在终端完成主动发起的切片认证和授权流程后,针对第一下行信令(即切片认证和授权结果信令)中明确指示的切片(如已存储的切片标识中存在的第一目标切片标识),则更新其对应的切片认证信息。另外,终端完成主动发起的切片认证和授权流程后,对所存储的切片标识中该第一下行信令所未涉及的切片标识的认证结果,保持存储的认证结果不变,以及针对第一下行信令中涉及的切片标识并未在终端中存储过的(即第二目标切片标识),执行存储操作,即存储其切片标识和对应的切片认证和授权结果。也就是说,终端更新存储的认证成功的切片标识以及认证失败的切片标识的认证结果时,该更新仅针对网络设备下发的切片认证和授权结果信令中明确指示的切片,而对于该信令中未涉及的切片,终端存储的认证结果保持不变。
需要说明的是,本发明实施例中的上述切片认证和授权方法的过程可以有多个并行,如终端主动发送多次重新进行切片认证和授权的请求信息,或者终端主动发送一次重新进行切片认证和授权的请求信息之后,且未完成该次切片认证和授权过程时,终端又主动发送了一次或多次重新进行切片认证和授权的请求信息等,本发明实施例不以此为限。
以上实施例就本发明实施例的切片认证和授权方法进行了说明,以下结合附图对其对应的装置和终端进行说明。
如图3所示,本发明实施例的一种切片认证和授权装置300,应用于终端,所述装置包括:
第一发送模块310,用于若检测到第一切片的用户身份证明更新,则向网络设备发送对所述第一切片进行切片认证和授权的请求信息;
其中,所述第一切片是已获得切片认证和授权结果的切片。
可选地,所述切片认证和授权结果包括:切片认证和授权成功,或切片认证和授权失败。
可选地,所述第一切片的用户身份证明更新包括:所述终端的软件更新、所述终端所连接的硬件更新、信息写入、信息更新和用户输入指示中的至少一项。
可选地,所述第一发送模块320,包括:
发送单元,用于向所述网络设备发送第一上行信令;其中,所述第一上行信令中携带请求进行切片认证和授权的第二切片的标识,且所述第二切片的标识中包含部分或全部所述第一切片的标识。
可选地,所述装置300还包括:
第一接收模块,用于接收所述网络设备发送的第一下行信令;其中,所述第一下行信令用于指示第三切片的切片认证和授权结果;其中,所述第三切片包括部分或全部所述第二切片。
可选地,所述装置300还包括:
第二接收模块,用于接收所述网络设备发送的第二下行信令;其中,所述第二下行信令中携带所述第三切片的标识;所述第三切片的标识中包含部分或全部所述第二切片的标识;
第二发送模块,用于根据所述第二下行信令,向所述网络设备发送第一响应消息;其中,所述第一下行信令是所述网络设备基于所述第一响应消息发送的,所述第一响应消息携带更新后的第一切片的用户身份证明的相关信息。
可选地,所述装置300还包括:
更新模块,用于若已存储的切片标识中存在第一目标切片标识,则对已存储的所述第一目标切片标识对应的切片认证和授权结果进行更新;其中,所述第一目标切片标识为部分或全部所述第三切片的标识;
存储模块,用于若已存储的切片标识中不存在第二目标切片标识,则存储所述第二目标切片标识对应的切片认证和授权结果;其中,所述第二目标切片标识为部分或全部所述第三切片的标识。
该实施例的装置300中,针对已获得切片认证和授权结果(如包括切片认证和授权成功或失败)的第一切片,在终端检测到其发生用户身份证明更新时,可以主动向网络设备发起对该第一切片进行切片认证或授权的请求,以使得网络设备能够针对该更新用户身份证明后的第一切片重新进行切片认证和授权,避免当某个切片在切片认证和授权过程中认证失败的情况下,网络设备无法感知该切片的用户身份证明更新,而导致切片服务不可用的问题,从而提高了切片服务性能。
本发明实施例还提供一种终端400,如图4所示,包括收发器410、处理器400、存储器420及存储在所述存储器420上并可在所述处理器400上运行的程序或指令;所述处理器400执行所述程序或指令时实现上述应用于终端侧的切片认证和授权方法中的步骤。
所述收发器410,用于在处理器400的控制下接收和发送数据。
其中,在图4中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器400代表的一个或多个处理器和存储器420代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器410可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口430还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器400负责管理总线架构和通常的处理,存储器420可以存储处理器400在执行操作时所使用的数据。
以上实施例就终端侧的切片认证和授权方法进行了说明,以下结合附图对网络设备侧的切片认证和授权方法进行说明:
如图5所示,本发明实施例提供一种切片认证和授权方法,应用于网络设备,所述方法包括:
步骤51:接收终端发送的对第一切片进行切片认证和授权的请求信息;其中,所述请求信息是所述终端在检测到所述第一切片的用户身份证明更新时发送的,所述第一切片是已获得切片认证和授权结果的切片。
可选地,对于该第一切片,其已获得切片认证和授权结果可以是认证失败的切片,也可以是认证成功的切片;对于该认证失败的切片标识或是认证成功的切片标识,终端对该切片的用户身份证明进行检测。若终端检测到该切片的用户身份证明发生变化后,则主动向网络设备发送切片认证和授权请求,也即是终端主动发送针对该切片的切片认证和授权请求,应针对在前一次切片认证和授权中认证失败或者认证成功的切片,且终端检测到该切片的用户身份证明发生变化。
当然,终端向网络设备主动发起切片认证和授权请求时,还可以同时请求除前一次切片认证和授权中认证失败或者认证成功的切片之外的其他切片(也即终端向网络设备主动发起切片认证和授权请求时,还可以同时请求除所述第一切片之外的其他切片进行切片认证和失败请求),本发明实施例不以此为限。
例如:终端在切片认证失败后,则该切片服务不可用。当该认证失败的切片发生用户身份证明更新的情况下,如果通过重新进行切片认证和授权成功,则该切片服务可用,此时通过终端在已完成主认证和初始注册的情况下,针对认证失败的切片在检测到其发生用户身份证明更新时,可以主动发起切片认证和授权请求。或者,针对认证成功的切片,在发生用户身份证明更新的情况下,也可能导致该切片服务不可以,此时通过终端在已完成主认证和初始注册的情况下,针对认证失败的切片在检测到其发生用户身份证明更新时,可以主动发起切片认证和授权请求。
可选地,所述第一切片的用户身份证明更新包括:所述终端的软件更新、所述终端所连接的硬件更新、信息写入、信息更新和用户输入指示中的至少一项。
例如:信息写入或更新可以是指SIM卡相关信息的写入或更新(如插拔卡后清除相应的信息)或除此之外的其他信息写入或更新等;用户输入指示可以是用户输入用户名、密码等信息,或者除此之外的其他用户输入,本发明实施例不以此为限。
步骤52:根据所述请求信息,执行切片认证和授权的相关处理。
上述方案中,针对已获得切片认证和授权结果(如包括切片认证和授权成功或失败)的第一切片,在终端检测到其发生用户身份证明更新时,可以主动发起该对该第一切片进行切片认证和授权的请求,以使得网络设备能够针对该更新后的切片重新进行切片认证和授权,避免当某个切片在切片认证和授权过程中认证失败的情况下,网络设备无法感知该切片的用户身份证明更新,而导致切片服务不可用的问题,从而提高了切片服务性能。
可选地,在上述步骤51之前,网络设备可以向所述终端发送用于指示第一切片的切片认证和授权结果的下行信令,从而使得该终端可以获得该第一切片的切片认证和授权结果。
例如:该下行信令可以是在终端完成主认证和初始注册后,由网络设备发送给终端的。或者,该下行信令也可以是在终端主动向网络设备请求对第一切片进行切片认证和授权之后,由网络设备发送给终端的。
可选地,所述切片认证和授权结果包括:切片认证和授权成功,或切片认证和授权失败。
例如:切片认证和授权使用的前提是终端已经初始注册的主认证,且终端完成初始注册流程。在终端完成主认证和初始注册后,可以由网络设备触发切片认证和授权,如AMF网元或AAA-S触发切片认证和授权;例如:触发条件包括:注册过程中AAA-S检测到终端请求的某些切片需要进行切片鉴权,或AMF检测到用户签约信息变化,或AAA-S要求重新进行切片鉴权等。
网络设备触发切片认证和授权后,终端回复EAP-response消息,该EAP-response消息中应携带证明用户可使用该切片的身份证明(即用户身份证明)。切片认证和授权的结果可以由AAA-S基于终端回复的EAP-response消息进行判定,根据判定结果回复EAP认证成功(EAP-success)或EAP认证失败(EAP-failure),即切片认证和授权结果。
可选地,所述接收终端发送的对第一切片进行切片认证和授权的请求信息,包括:
接收所述终端发送的第一上行信令;其中,所述第一上行信令中携带请求进行切片认证和授权的第二切片的标识,且所述第二切片的标识中包含部分或全部所述第一切片的标识。
例如:终端发送的对所述第一切片进行切片认证和授权的请求信息可以被携带在独立的上行信令中,即独立的第一上行信令。该第一上行信令可以携带请求进行切片认证和授权的一个或者多个第二切片的标识,该第二切片的标识可以包含部分或全部前一次切片认证和授权过程中认证失败或者认证成功的切片(即第一切片)的标识,还可以包含除此之外的其他切片的标识等,本发明实施例不以此为限。
可选地,所述根据所述请求信息,执行切片认证和授权的相关处理,包括:
向所述终端发送第一下行信令;其中,所述第一下行信令用于指示第三切片的切片认证和授权结果;其中,所述第三切片包括部分或全部所述第二切片。
例如:在终端向所述网络设备发送携带请求进行切片认证和授权的第二切片的标识的第一上行信令之后,网络设备根据该第一上行信令执行切片认证和授权的相关处理,并向所述网络设备发送用于指示第三切片的切片认证和授权结果的第一下行信令(其中,该第一下行信令可以称为结果信令,用于指示切片认证和授权结果),由于该第三切片包括部分或全部所述第二切片,也即该第三切片可以包含部分或全部所述第一切片,当然该第三切片还可以包括除所述第二切片之外的其他切片,本发明实施例不以此为限。
可选地,所述根据所述请求信息,执行切片认证和授权的相关处理,还包括:
在向所述终端发送第一下行信令之前,向所述终端发送第二下行信令;其中,所述第二下行信令中携带所述第三切片的标识;所述第三切片的标识中包含部分或全部所述第二切片的标识;
接收所述终端根据所述第二下行信令发送的第一响应消息;其中,所述第一下行信令是所述网络设备基于所述第一响应消息发送的,所述第一响应消息携带更新后的第一切片的用户身份证明的相关信息。
其中,所述第二下行信令可以是切片认证和授权要求信令;其中,所述切片认证和授权要求信令中可以携带第三切片的标识(该第三切片可以是待进行切片认证和授权的切片),此外该切片认证和授权要求信令中还可以携带进行切片认证和授权相关的信息等,本发明实施例不以此为限。
具体的,在终端主动请求进行切片认证和授权之后,网络设备根据该请求向终端下发第二下行信令(如切片认证和授权要求信令),该第二下行信令中携带待认证和授权的第三切片的标识(或者还可以携带该网络设备侧进行切片认证和授权相关的信息),且该三切片的标识中应包含该第一上行信令中的一个或者多个请求切片认证和授权的第二切片的标识。
终端根据更新后的用户身份证明,生成新的认证和授权响应消息(或称为回复信息),即第一响应消息,并基于网络设备发送的切片认证和授权要求信令,向网络设备反馈所生成的新的认证和授权响应消息(如通过上行信令发送),该上行信令中可以携带更新后的第一切片的用户身份证明的相关信息(如待进行认证和授权的切片的标识信息、更新后的第一切片的用户身份证明等),以及切片标识对应的上述新的认证和授权响应消息等。其中,该上行信令中携带的待认证和授权的切片的标识应和上述网络设备下发的下行信令中携带的第三切片的标识信息保持一致。
网络设备基于终端回复的EAP-response消息进行切片认证和授权的结果的判定,根据判定结果回复第一下行信令(如认证成功或认证失败的切片认证和授权结果信令),从而终端可以根据该第一下行信令,确定针对更新后的切片重新进行切片认证和授权的结果。
以上实施例就本发明实施例的切片认证和授权方法进行了说明,以下结合附图对其对应的装置和网络设备进行说明。
如图6所示,本发明实施例提供一种切片认证和授权装置600,应用于网络设备,所述装置600包括:
接收模块610,用于接收终端发送的对第一切片进行切片认证和授权的请求信息;其中,所述请求信息是所述终端在检测到所述第一切片的用户身份证明更新时发送的,所述第一切片是已获得切片认证和授权结果的切片;
处理模块620,用于根据所述请求信息,执行切片认证和授权的相关处理。
可选地,所述接收模块610包括:
第一接收单元,用于接收所述终端发送第一上行信令;其中,所述第一上行信令中携带请求进行切片认证和授权的第二切片的标识,且所述第二切片的标识中包含部分或全部所述第一切片的标识。
可选地,所述处理模块620包括:
第一发送单元,用于向所述终端发送第一下行信令;其中,所述第一下行信令用于指示第三切片的切片认证和授权结果;其中,所述第三切片包括部分或全部所述第二切片。
可选地,所述处理模块620包括:
第二发送单元,用于在向所述终端发送第一下行信令之前,向所述终端发送第二下行信令;其中,所述第二下行信令中携带所述第三切片的标识;所述第三切片的标识中包含部分或全部所述第二切片的标识;
第二接收单元,用于接收所述终端根据所述第二下行信令发送的第一响应消息;其中,所述第一下行信令是所述网络设备基于所述第一响应消息发送的,所述第一响应消息携带更新后的第一切片的用户身份证明的相关信息。
可选地,所述切片认证和授权结果包括:切片认证和授权成功,或切片认证和授权失败。
本发明实施例中的装置600,针对已获得切片认证和授权结果(如包括切片认证和授权成功或失败)的第一切片,在终端检测到其发生用户身份证明更新时,可以主动向网络设备发起对该第一切片进行切片认证或授权的请求,以使得网络设备能够针对该更新用户身份证明后的第一切片重新进行切片认证和授权,避免当某个切片在切片认证和授权过程中认证失败的情况下,网络设备无法感知该切片的用户身份证明更新,而导致切片服务不可用的问题,从而提高了切片服务性能。
本发明实施例的一种网络设备700,如图7所示,包括收发器710、处理器700、存储器720及存储在所述存储器720上并可在所述处理器700上运行的程序或指令;所述处理器700执行所述程序或指令时实现上述应用于网络设备侧的切片认证和授权方法中的步骤。
所述收发器710,用于在处理器700的控制下接收和发送数据。
其中,在图7中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器700代表的一个或多个处理器和存储器720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器710可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器700负责管理总线架构和通常的处理,存储器720可以存储处理器700在执行操作时所使用的数据。
本发明实施例的一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现如上所述的切片认证和授权方法中的步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述处理器为上述实施例中所述的终端或网络设备中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
进一步需要说明的是,此说明书中所描述的终端包括但不限于智能手机、平板电脑等,且所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。
本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同位里上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
上述范例性实施例是参考该些附图来描述的,许多不同的形式和实施例是可行而不偏离本发明精神及教示,因此,本发明不应被建构成为在此所提出范例性实施例的限制。更确切地说,这些范例性实施例被提供以使得本发明会是完善又完整,且会将本发明范围传达给那些熟知此项技术的人士。在该些图式中,组件尺寸及相对尺寸也许基于清晰起见而被夸大。在此所使用的术语只是基于描述特定范例性实施例目的,并无意成为限制用。如在此所使用地,除非该内文清楚地另有所指,否则该单数形式“一”、“一个”和“该”是意欲将该些多个形式也纳入。会进一步了解到该些术语“包含”及/或“包括”在使用于本说明书时,表示所述特征、整数、步骤、操作、构件及/或组件的存在,但不排除一或更多其它特征、整数、步骤、操作、构件、组件及/或其族群的存在或增加。除非另有所示,陈述时,一值范围包含该范围的上下限及其间的任何子范围。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (17)
1.一种切片认证和授权方法,应用于终端,其特征在于,所述方法包括:
若检测到第一切片的用户身份证明更新,则向网络设备发送对所述第一切片进行切片认证和授权的请求信息;
其中,所述第一切片是已获得切片认证和授权结果的切片。
2.根据权利要求1所述的方法,其特征在于,所述向网络设备发送对所述第一切片进行切片认证和授权的请求信息,包括:
向所述网络设备发送第一上行信令;其中,所述第一上行信令中携带请求进行切片认证和授权的第二切片的标识,且所述第二切片的标识中包含部分或全部所述第一切片的标识。
3.根据权利要求2所述的方法,其特征在于,所述向所述网络设备发送第一上行信令之后,还包括:
接收所述网络设备发送的第一下行信令;其中,所述第一下行信令用于指示第三切片的切片认证和授权结果;其中,所述第三切片包括部分或全部所述第二切片。
4.根据权利要求3所述的方法,其特征在于,所述向所述网络设备发送第一上行信令之后,所述接收所述网络设备发送的第一下行信令之前,还包括:
接收所述网络设备发送的第二下行信令;其中,所述第二下行信令中携带所述第三切片的标识;所述第三切片的标识中包含部分或全部所述第二切片的标识;
根据所述第二下行信令,向所述网络设备发送第一响应消息;其中,所述第一下行信令是所述网络设备基于所述第一响应消息发送的,所述第一响应消息携带更新后的第一切片的用户身份证明的相关信息。
5.根据权利要求3所述的方法,其特征在于,所述接收所述网络设备发送的第一下行信令之后,还包括:
若已存储的切片标识中存在第一目标切片标识,则对已存储的所述第一目标切片标识对应的切片认证和授权结果进行更新;其中,所述第一目标切片标识为部分或全部所述第三切片的标识;
若已存储的切片标识中不存在第二目标切片标识,则存储所述第二目标切片标识对应的切片认证和授权结果;其中,所述第二目标切片标识为部分或全部所述第三切片的标识。
6.根据权利要求1所述的方法,其特征在于,所述切片认证和授权结果包括:切片认证和授权成功,或切片认证和授权失败。
7.根据权利要求1所述的方法,其特征在于,所述第一切片的用户身份证明更新包括:所述终端的软件更新、所述终端所连接的硬件更新、信息写入、信息更新和用户输入指示中的至少一项。
8.一种切片认证和授权方法,应用于网络设备,其特征在于,所述方法包括:
接收终端发送的对第一切片进行切片认证和授权的请求信息;其中,所述请求信息是所述终端在检测到所述第一切片的用户身份证明更新时发送的,所述第一切片是已获得切片认证和授权结果的切片;
根据所述请求信息,执行切片认证和授权的相关处理。
9.根据权利要求8所述的方法,其特征在于,所述接收终端发送的对第一切片进行切片认证和授权的请求信息,包括:
接收所述终端发送的第一上行信令;其中,所述第一上行信令中携带请求进行切片认证和授权的第二切片的标识,且所述第二切片的标识中包含部分或全部所述第一切片的标识。
10.根据权利要求9所述的方法,其特征在于,所述根据所述请求信息,执行切片认证和授权的相关处理,包括:
向所述终端发送第一下行信令;其中,所述第一下行信令用于指示第三切片的切片认证和授权结果;其中,所述第三切片包括部分或全部所述第二切片。
11.根据权利要求10所述的方法,其特征在于,所述根据所述请求信息,执行切片认证和授权的相关处理,还包括:
在向所述终端发送第一下行信令之前,向所述终端发送第二下行信令;其中,所述第二下行信令中携带所述第三切片的标识;所述第三切片的标识中包含部分或全部所述第二切片的标识;
接收所述终端根据所述第二下行信令发送的第一响应消息;其中,所述第一下行信令是所述网络设备基于所述第一响应消息发送的,所述第一响应消息携带更新后的第一切片的用户身份证明的相关信息。
12.根据权利要求8所述的方法,其特征在于,所述切片认证和授权结果包括:切片认证和授权成功,或切片认证和授权失败。
13.一种切片认证和授权装置,应用于终端,其特征在于,所述装置包括:
第一发送模块,用于若检测到第一切片的用户身份证明更新,则向网络设备发送对所述第一切片进行切片认证和授权的请求信息;
其中,所述第一切片是已获得切片认证和授权结果的切片。
14.一种终端,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;其特征在于,所述处理器执行所述程序或指令时实现如权利要求1至7中任一项所述的切片认证和授权方法中的步骤。
15.一种切片认证和授权装置,应用于网络设备,其特征在于,所述装置包括:
接收模块,用于接收终端发送的对第一切片进行切片认证和授权的请求信息;其中,所述请求信息是所述终端在检测到所述第一切片的用户身份证明更新时发送的,所述第一切片是已获得切片认证和授权结果的切片;
处理模块,用于根据所述请求信息,执行切片认证和授权的相关处理。
16.一种网络设备,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;其特征在于,所述处理器执行所述程序或指令时实现如权利要求8至12中任一项所述的切片认证和授权方法中的步骤。
17.一种可读存储介质,其上存储有程序或指令,其特征在于,所述程序或指令被处理器执行时实现如权利要求1至12中任一项所述的切片认证和授权方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111213875.6A CN115996377A (zh) | 2021-10-19 | 2021-10-19 | 切片认证和授权方法、装置、终端及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111213875.6A CN115996377A (zh) | 2021-10-19 | 2021-10-19 | 切片认证和授权方法、装置、终端及网络设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115996377A true CN115996377A (zh) | 2023-04-21 |
Family
ID=85989077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111213875.6A Pending CN115996377A (zh) | 2021-10-19 | 2021-10-19 | 切片认证和授权方法、装置、终端及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115996377A (zh) |
-
2021
- 2021-10-19 CN CN202111213875.6A patent/CN115996377A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9479477B2 (en) | Method and apparatus for registering terminal | |
| EP3726379B1 (en) | Method and device for authorization withdrawal | |
| US10645568B2 (en) | Carrier configuration processing method, device and system, and computer storage medium | |
| CN111478955B (zh) | 微服务注册方法、系统、装置和计算机可读存储介质 | |
| US10581619B2 (en) | Certificate management method, device, and system | |
| US20130160094A1 (en) | OTA Bootstrap Method and System | |
| US11989284B2 (en) | Service API invoking method and related apparatus | |
| US20230319734A1 (en) | Method for computing power sharing and related devices | |
| CN110049031B (zh) | 一种接口安全认证方法及服务器、认证中心服务器 | |
| EP3185598B1 (en) | Application registration method and apparatus | |
| US20220377556A1 (en) | Internet-of-things device registration method and apparatus, device, and storage medium | |
| JP2023519997A (ja) | 端末パラメータ更新を保護するための方法および通信装置 | |
| CN114389890B (zh) | 一种用户请求的代理方法、服务器及存储介质 | |
| CN115996377A (zh) | 切片认证和授权方法、装置、终端及网络设备 | |
| US20220394029A1 (en) | Technique for communication between an application implementing a service and a server | |
| CN110995756B (zh) | 调用服务的方法和装置 | |
| GB2520938A (en) | Mobile device location | |
| CN111163466B (zh) | 5g用户终端接入区块链的方法、用户终端设备及介质 | |
| US20230010440A1 (en) | System and Method for Performing Identity Management | |
| CN114024693A (zh) | 一种认证方法、装置、会话管理功能实体、服务器及终端 | |
| CN111464324A (zh) | 一种安全通信方法、装置和系统 | |
| EP2244497A1 (en) | Radio communication system and authentication processing unit selecting method | |
| CN113498059B (zh) | 一种认证和授权结果通知及其处理方法、设备、装置及介质 | |
| CN113330766A (zh) | 用户标识管理 | |
| US20240223390A1 (en) | Blockchain system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |