CN117098111A - 用户设备的注册方法、装置、计算机可读介质及电子设备 - Google Patents

Abstract

本申请涉及移动通信领域，揭示了一种用户设备的注册方法、装置、计算机可读介质及电子设备。该方法由AUSF网元执行，包括：生成包括订阅隐藏标识符和切片指示信息的认证信息获取请求；向UDM网元发送认证信息获取请求，UDM网元生成归属环境认证向量，根据切片指示信息确定订阅隐藏标识符对应的切片策略信息；从UDM网元接收认证信息获取响应，存储第二预期响应和切片策略信息，根据K_AUSF密钥生成K_SEAF密钥；向用户设备发送随机数和认证令牌；获取用户设备生成的第二响应和加密后网络切片选择辅助信息，用K_SEAF密钥解密得到网络切片选择辅助信息；若第二响应与第二预期响应一致且根据切片策略信息判定能够允许接入切片，则注册成功。此方法保证了切片信息的安全。

Description

用户设备的注册方法、装置、计算机可读介质及电子设备

技术领域

本申请涉及移动通信技术领域，特别涉及一种用户设备的注册方法、装置、计算机可读介质及电子设备。

背景技术

5G网络定义了各种各样的切片能力，用户设备想要接入哪些切片，需要通知5G网络。

在现有5G标准中，用户设备会在向网络发送的注册请求消息中以明文的形式携带切片标识信息。由此可见，在现有方案下，攻击者可以通过明文形式的切片标识信息掌握用户设备想要接入哪个切片业务，进而可以进一步进行其他攻击。因此，现有方案不能实现对切片的隐私保护，威胁了网络安全。

发明内容

在移动通信技术领域，为了解决上述技术问题，本申请的目的在于提供一种用户设备的注册方法、装置、计算机可读介质及电子设备。

根据本申请实施例的一个方面，提供了一种用户设备的注册方法，所述方法由AUSF网元执行，所述方法包括：

当接收到终端认证请求，根据所述终端认证请求中由目标用户设备提供的订阅隐藏标识符和切片指示信息，生成包括所述订阅隐藏标识符和所述切片指示信息的认证信息获取请求，所述切片指示信息用于指示所述目标用户设备是否要接入切片；

向UDM网元发送所述认证信息获取请求，以使所述UDM网元生成归属环境认证向量，并根据所述切片指示信息指示所述目标用户设备要接入切片而确定与所述订阅隐藏标识符对应的切片策略信息，所述归属环境认证向量包括随机数、认证令牌、根据第一预期响应生成的第二预期响应和K_AUSF密钥；

接收所述UDM网元返回的包括所述归属环境认证向量和所述切片策略信息的认证信息获取响应，存储所述认证信息获取响应中的所述第二预期响应和所述切片策略信息，并根据所述K_AUSF密钥生成K_SEAF密钥；

向所述目标用户设备发送所述归属环境认证向量中的所述随机数和所述认证令牌，以便所述目标用户设备根据所述随机数计算出第二响应，根据所述认证令牌计算出K_SEAF密钥，并利用所述K_SEAF密钥对网络切片选择辅助信息进行加密得到加密后网络切片选择辅助信息；

获取由所述目标用户设备生成的所述第二响应和所述加密后网络切片选择辅助信息，并利用所述K_SEAF密钥对所述加密后网络切片选择辅助信息进行解密得到所述网络切片选择辅助信息；

若所述第二响应与所述第二预期响应一致且根据所述切片策略信息判定能够允许接入所述网络切片选择辅助信息指示的切片，则注册成功。

根据本申请实施例的一个方面，提供了一种用户设备的注册装置，所述装置位于AUSF网元中，所述装置包括：

生成模块，用于当接收到终端认证请求，根据所述终端认证请求中由目标用户设备提供的订阅隐藏标识符和切片指示信息，生成包括所述订阅隐藏标识符和所述切片指示信息的认证信息获取请求，所述切片指示信息用于指示所述目标用户设备是否要接入切片；

第一发送模块，用于向UDM网元发送所述认证信息获取请求，以使所述UDM网元生成归属环境认证向量，并根据所述切片指示信息指示所述目标用户设备要接入切片而确定与所述订阅隐藏标识符对应的切片策略信息，所述归属环境认证向量包括随机数、认证令牌、根据第一预期响应生成的第二预期响应和K_AUSF密钥；

接收和存储模块，用于接收所述UDM网元返回的包括所述归属环境认证向量和所述切片策略信息的认证信息获取响应，存储所述认证信息获取响应中的所述第二预期响应和所述切片策略信息，并根据所述K_AUSF密钥生成K_SEAF密钥；

第二发送模块，用于向所述目标用户设备发送所述归属环境认证向量中的所述随机数和所述认证令牌，以便所述目标用户设备根据所述随机数计算出第二响应，根据所述认证令牌计算出K_SEAF密钥，并利用所述K_SEAF密钥对网络切片选择辅助信息进行加密得到加密后网络切片选择辅助信息；

获取模块，用于获取由所述目标用户设备生成的所述第二响应和所述加密后网络切片选择辅助信息，并利用所述K_SEAF密钥对所述加密后网络切片选择辅助信息进行解密得到所述网络切片选择辅助信息；

鉴权模块，用于若所述第二响应与所述第二预期响应一致且根据所述切片策略信息判定能够允许接入所述网络切片选择辅助信息指示的切片，则注册成功。

根据本申请实施例的一个方面，提供了一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述实施例中所述的方法。

根据本申请实施例的一个方面，提供了一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上述实施例中所述的方法。

本申请的实施例提供的技术方案可以包括以下有益效果：

本申请实施例所提供的用户设备的注册方法由AUSF网元执行执行，包括如下步骤：当接收到终端认证请求，根据所述终端认证请求中由目标用户设备提供的订阅隐藏标识符和切片指示信息，生成包括所述订阅隐藏标识符和所述切片指示信息的认证信息获取请求，所述切片指示信息用于指示所述目标用户设备是否要接入切片；向UDM网元发送所述认证信息获取请求，以使所述UDM网元生成归属环境认证向量，并根据所述切片指示信息指示所述目标用户设备要接入切片而确定与所述订阅隐藏标识符对应的切片策略信息，所述归属环境认证向量包括随机数、认证令牌、根据第一预期响应生成的第二预期响应和K_AUSF密钥；接收所述UDM网元返回的包括所述归属环境认证向量和所述切片策略信息的认证信息获取响应，存储所述认证信息获取响应中的所述第二预期响应和所述切片策略信息，并根据所述K_AUSF密钥生成K_SEAF密钥；向所述目标用户设备发送所述归属环境认证向量中的所述随机数和所述认证令牌，以便所述目标用户设备根据所述随机数计算出第二响应，根据所述认证令牌计算出K_SEAF密钥，并利用所述K_SEAF密钥对网络切片选择辅助信息进行加密得到加密后网络切片选择辅助信息；获取由所述目标用户设备生成的所述第二响应和所述加密后网络切片选择辅助信息，并利用所述K_SEAF密钥对所述加密后网络切片选择辅助信息进行解密得到所述网络切片选择辅助信息；若所述第二响应与所述第二预期响应一致且根据所述切片策略信息判定能够允许接入所述网络切片选择辅助信息指示的切片，则注册成功。

此方法下，由于用户设备在向网络注册时，使用了K_SEAF密钥对网络切片选择辅助信息进行了加密保护，因此实现了对切片的隐私保护，大大提高了网络安全；同时，由于网络切片选择辅助信息是在用户设备注册的过程中附带传输的，进行了切片鉴权，并未额外增加信令流程，在保证隐私安全的同时，显著提高了用户设备接入网络切片的效率，可以使用户设备更快速地建立切片连接。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1是相关技术中的系统流程示意图；

图2是根据本申请一示例性实施例示出的系统流程示意图；

图3是根据本申请一示例性实施例示出的用户设备的注册方法的流程图；

图4是根据本申请一示例性实施例示出的图3中步骤330之后步骤以及步骤350和步骤360的细节的流程图；

图5是根据本申请一示例性实施例示出的系统框架示意图；

图6是根据本申请一示例性实施例示出的系统流程图；

图7是根据本申请一示例性实施例示出的UE的注册流程示意图；

图8是根据一示例性实施例示出的一种用户设备的注册装置的框图；

图9示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

此外，附图仅为本申请的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。

在相关技术中，终端接入网络切片主要有如下两种方法：

方法一：如图1所示，在目前的5G标准中，用户设备通过基站(gNB)向5G核心网发送的注册请求中携带明文的切片标识(NSSAI/S-NSSAI)，指示用户设备想要接入的切片。该方式中切片标识以明文的方式存在，因此存在安全隐患。

方法二：建立NAS(Non Access Stratum，非接入层)机密性完整性安全后，用户设备在通过空口侧的加密保护向网络申请接入网络切片，这种方式不仅效率较低，而且会影响用户设备使用切片业务的连续性。

为此，本申请首先提供了一种用户设备的注册方法。通过该方法可以克服以上缺陷，不仅能够提高切片信息的安全性，还不会影响切片业务的连续性，能够保证用户设备建立切片连接的效率。

图2是根据本申请一示例性实施例示出的系统流程示意图。请参见图2所示，在3GPP标准的注册认证流程中携带了切片标识信息，以进行切片鉴权；同时，采用主认证过程中产生的中间密钥对切片标识信息进行加密。因此，既可以保护切片标识信息的隐私安全，由于未增加新的信令流程，可以使用户设备快速建立切片连接。

本申请实施例的实施终端可以是移动通信网络的核心网中的AUSF(认证服务功能，Authentication Server Function)网元。

本申请实施例的方案可以应用于5G网络或者采用其他通信标准的移动通信网络中，本申请实施例对此不作任何限定，本申请的保护范围也不应因此而受到任何限制。

图3是根据本申请一示例性实施例示出的用户设备的注册方法的流程图，该方法可以由移动通信网络(如5G核心网络)中的AUSF网元执行。如图3所示，该方法可以包括以下步骤：

步骤310，当接收到终端认证请求，根据终端认证请求中由目标用户设备提供的订阅隐藏标识符和切片指示信息，生成包括订阅隐藏标识符和切片指示信息的认证信息获取请求，切片指示信息用于指示目标用户设备是否要接入切片。

目标用户设备即UE，目标用户设备可以是智能手机、平板电脑、物联网设备等各种能够接入移动通信网络的设备。目标用户设备中可以包括USIM(Universal SubscriberIdentity Module，全球用户识别)卡或SIM(Subscriber Identity Module，用户识别)卡。订阅隐藏标识符即SUCI(Subscription Concealed Identifier)。

切片指示信息可以是任何能够用于指示目标用户设备是否要接入切片的信息。比如，切片指示信息的值可以为0或1，当切片指示信息的值为0时，可以指示目标用户设备不接入切片；当切片指示信息的值为1时，可以指示目标用户设备需要接入切片。

在本申请的一个实施例中，终端认证请求是由AMF(Access and MobilityManagement Function，接入和移动管理功能)网元在接收到目标用户设备发送的携带有订阅隐藏标识符和切片指示信息的注册请求之后，根据订阅隐藏标识符和切片指示信息生成的。

AMF网元接收到UE发送的携带有订阅隐藏标识符和切片指示信息的注册请求之后，将SUCI和切片指示信息打包为终端认证请求，并将终端认证请求发送给AUSF网元。

步骤320，向UDM网元发送认证信息获取请求，以使UDM网元生成归属环境认证向量，并根据切片指示信息指示目标用户设备要接入切片而确定与订阅隐藏标识符对应的切片策略信息，归属环境认证向量包括随机数、认证令牌、根据第一预期响应生成的第二预期响应和K_AUSF密钥。

在本申请的一个实施例中，归属环境认证向量是在UDM网元接收到认证信息获取请求之后根据计算出的认证向量生成的。

UDM(统一数据管理功能，Unified Data Management)网元在接收到认证信息获取请求之后，会生成AV(Authentication Vector，认证向量)。AV包括RAND(随机数)、AUTN(认证令牌，AUthentication TokeN)、第一预期响应(eXpected RESponse，XRES)、CK(CipherKey，加密密钥)和IK(完整性密钥，Integrity Key)。然后，UDM网元根据CK和IK计算出K_AUSF，并根据第一预期响应XRES计算出第二预期响应XRES*。接下来，UDM网元基于RAND、AUTN、第二预期响应XRES*和K_AUSF创建5G HE AV(5G Home Environment Authentication Vector，5G归属环境认证向量)，5G HE AV包括RAND(随机数)、AUTN(认证令牌，AUthenticationTokeN)、第二预期响应XRES*和K_AUSF。

在本申请的一个实施例中，切片策略信息是由UDM网元基于订阅永久标识符获取得到的，订阅永久标识符是由UDM网元对订阅隐藏标识符解密得到的。

在本申请的一个实施例中，UDM网元生成归属环境认证向量是在UDM网元选择认证方式为5G AKA(Authentication and Key Agreement，认证和密钥协商)之后执行的。

具体地，UDM网元通过对SUCI进行解密，得到SUPI(Subscription PermanentIdentifier，订阅永久标识符)，然后，UDM网元可以在5G AKA和EAP-AKA'(ExtensibleAuthentication Protocol-Authentication and Key Agreement，扩展认证协议-认证和密钥协商)这两种认证方式中选择一种，并可以在选择认证方式为5G AKA之后继续进行本申请实施例的方案。UDM网元在得到SUPI之后可以利用SUPI找到对应的切片策略信息。

切片策略信息指示了允许接入的切片和拒绝接入的切片。

在本申请的一个实施例中，该用户设备的注册方法还包括：如果切片指示信息指示目标用户设备不接入切片，则继续进行标准的注册流程。

当目标用户设备不需要接入切片时，便不需要进行切片信息的保护，所以可以继续执行标准的注册流程。

在5G网络中，这里的标准的注册流程即5G网络标准下的注册流程。

步骤330，接收UDM网元返回的包括归属环境认证向量和切片策略信息的认证信息获取响应，存储认证信息获取响应中的第二预期响应和切片策略信息，并根据K_AUSF密钥生成K_SEAF密钥。

图4是根据本申请一示例性实施例示出的图3中步骤330之后步骤以及步骤350和步骤360的细节的流程图。

请参见图4所示，在步骤330之后可以包括以下步骤：

步骤340，根据归属环境认证向量中的第二预期响应生成第二哈希预期响应。

具体地，UDM网元会将携带有5G HE AV和切片策略信息的认证信息获取响应发送至AUSF网元，AUSF网元会存储5G HE AV中的第二预期响应XRES*和切片策略信息，并根据第二预期响应XRES*通过哈希运算计算出第二哈希预期响应HXRES*，还会根据5G HE AV中的K_AUSF密钥生成K_SEAF密钥。

在本申请的一个实施例中，认证信息获取响应还包括订阅永久标识符，存储认证信息获取响应中的第二预期响应和切片策略信息，包括：将第二预期响应、切片策略信息和订阅永久标识符对应存储。

本申请实施例通过将第二预期响应、切片策略信息和订阅永久标识符对应存储，可以在后续步骤中根据订阅永久标识符找到相应的第二预期响应和切片策略信息，进而便于进行鉴权。

步骤350，向目标用户设备发送归属环境认证向量中的随机数和认证令牌，以便目标用户设备根据随机数计算出第二响应，根据认证令牌计算出K_SEAF密钥，并利用K_SEAF密钥对网络切片选择辅助信息进行加密得到加密后网络切片选择辅助信息。

请继续参见图4，步骤350中向目标用户设备发送归属环境认证向量中的随机数和认证令牌具体可以包括以下步骤：

步骤350'，生成包括随机数和认证令牌的服务环境认证向量，并将服务环境认证向量发送至AMF网元，以便AMF网元将服务环境认证向量中的随机数和认证令牌发送至目标用户设备。

具体地，AUSF网元会生成5G SE AV(5G Serving Environment AuthenticationVector，5G服务环境认证向量)，并将5G SE AV发送至AMF网元。5G SE AV包括RAND(随机数)、AUTN(认证令牌)和第二哈希预期响应HXRES*。

易于理解，AMF网元中可以包括SEAF(SEcurity Anchor Function，安全锚功能)。

在本申请的一个实施例中，目标用户设备是在消息认证码认证通过的情况下计算第二响应和K_SEAF密钥的。

具体地，AMF网元在接收到5G SE AV之后，会生成携带有RAND、AUTN、ngKSI(KeySet Identifier，密钥集标识)和ABBA(架构之间反向竞标，Anti-Bidding downBetweenArchitectures)参数的认证请求，并将该认证请求发送给目标用户设备。目标用户设备在收到该认证请求之后，会进行MAC(Message Authentication Code，消息认证码)认证，并在MAC认证成功后计算出第一响应RES(RESponse)，并在第一响应RES的基础上根据随机数计算出第二响应RES*；目标用户设备还会根据AUTN计算出K_AUSF密钥，并基于K_AUSF密钥进一步派生出中间密钥K_SEAF。目标用户设备会利用K_SEAF密钥对NSSAI(Network SliceSelection Assistance Information，网络切片选择辅助信息)加密，得到加密后的NSSAI。

步骤360，获取由目标用户设备生成的第二响应和加密后网络切片选择辅助信息，并利用K_SEAF密钥对加密后网络切片选择辅助信息进行解密得到网络切片选择辅助信息。

请继续参见图4，步骤360中获取由目标用户设备生成的第二响应和加密后网络切片选择辅助信息具体可以包括以下步骤：

步骤360'，获取来自AMF网元的第二响应和加密后网络切片选择辅助信息，其中，第二响应和加密后网络切片选择辅助信息是AMF网元在第二哈希响应和第二哈希预期响应一致的情况下向AUSF网元发送的，第二哈希响应是AMF网元根据从目标用户设备获取的第二响应生成的。

具体地，目标用户设备会将携带有第二响应RES*和加密后的NSSAI的认证响应发送至AMF网元，AMF网元会根据第二响应RES*计算出第二哈希响应HRES*，并将第二哈希响应HRES*与之前接收到的5G SE AV中的第二哈希预期响应HXRES*进行比较，若两者一致，则AMF网元向AUSF网元发送携带有第二响应RES*和加密后的NSSAI的终端认证请求。AUSF网元在接收到终端认证请求之后，会对加密后的NSSAI进行解密，得到NSSAI。

步骤370，若第二响应与第二预期响应一致且根据切片策略信息判定能够允许接入网络切片选择辅助信息指示的切片，则注册成功。

在本申请的一个实施例中，若第二响应与第二预期响应一致且根据切片策略信息判定能够允许接入网络切片选择辅助信息指示的切片，则注册成功，包括：若第二响应与第二预期响应一致且根据切片策略信息判定能够允许接入网络切片选择辅助信息指示的切片，则将网络切片选择辅助信息发送至AMF网元，以便AMF网元在判定能够为网络切片选择辅助信息指示的切片提供服务的情况下，向目标用户设备返回注册接受信息。

具体地，如果AUSF网元判断第二响应RES*与已存储的第二预期响应XRES*是否一致，并根据切片策略信息判断是否允许接入NSSAI指示的切片。如果第二响应RES*与第二预期响应XRES*一致且允许接入NSSAI指示的切片，AUSF网元会向AMF网元返回携带有认证结果、SUPI、K_SEAF以及NSSAI的终端认证请求响应；AMF网元会判断是否能够为NSSAI指示的切片提供服务，如果是，则AMF网元向目标用户设备返回注册接受信息，否则，AMF网元会重路由至目标AMF网元，由目标AMF网元向目标用户设备返回注册接受信息。

下面，结合图5-图7来进一步介绍本申请实施例的方案。图5是根据本申请一示例性实施例示出的系统框架示意图。请参见图5所示，该系统框架应用于UE向5G核心网的注册流程中，5G核心网包括AMF网元、AUSF网元以及UDM网元，在UE中新增了加密模块，在AUSF网元中新增了解密模块和鉴权模块，在UDM网元中新增了切片指示识别模块和切片策略查询模块。图5中具体包括以下流程：

在步骤1中，UE向AMF网元发送NAS消息，该NAS消息为携带有SUCI和切片指示的注册请求，其中，若UE要接入切片，则切片指示为1；若UE不接入切片，切片指示为0。

在步骤2中，AMF网元将SUCI和切片指示发送至AUSF网元。

在步骤3中，AUSF网元将SUCI和切片指示发送至UDM网元。

在步骤4中，UDM网元中的切片指示识别模块将切片指示识别为1，则基于SUCI通过切片策略查询模块查询切片策略，并生成认证鉴权向量。

在步骤5中，UDM网元将认证鉴权向量和切片策略发送至AUSF网元。

在步骤6中，AUSF网元经由AMF网元向UE返回携带有相关参数的认证请求响应。

在步骤7中，UE通过MAC认证模块进行MAC认证，并在MAC认证成功后，通过加密模块用认证过程中间密钥K_SEAF加密NSSAI，还会生成第二响应RES*。

在步骤8中，UE通过AMF网元向AUSF网元发送认证请求，认证请求携带有第二响应RES*和加密的NSSAI。

在步骤9中，AUSF网元会派生出K_SEAF密钥，并用K_SEAF对加密的NSSAI进行解密，得到NSSAI。

在步骤10中，当第二响应RES*与第二预期响应XRES*相同，AUSF网元确定鉴权成功；在鉴权成功后，AUSF网元基于切片策略判断NSSAI是否允许接入，若允许接入，则注册成功。

图6是根据本申请一示例性实施例示出的系统流程图。请参见图6所示，包括以下流程：

首先，UE向核心网发送携带有切片指示的注册请求。

接着，通过UDM网元中的切片指示识别模块获取切片指示，并判断该切片指示的值；若该切片指示的值为0，则执行标准的注册和认证流程；若该切片指示的值为1，则通过UDM网元中的切片策略查询模块进行切片策略查询，并将查询的到的切片策略发送给AUSF网元。

然后，AUSF网元生成认证向量和中间密钥K_SEAF，并将认证向量中的信息发送给UE。

接下来，UE进行MAC认证，并通过加密模块生成第二响应RES*和K_SEAF，UE还将利用K_SEAF密钥生成的加密的NSSAI和第二响应RES*发送给AUSF网元。

然后，AUSF网元通过解密模块，利用K_SEAF对加密的NSSAI解密。

接着，AUSF网元鉴权模块基于接收到的第二响应RES*对UE进行认证，同时基于切片策略判断是否允许接入NSSAI指示的切片。

最后，若认证成功且允许接入NSSAI指示的切片，则向UE发送注册接受消息。

图7是根据本申请一示例性实施例示出的UE的注册流程示意图。该注册流程主要涉及UE，AMF网元，AUSF网元以及UDM网元之间的交互，AMF网元包括SEAF，UDM网元承载有ARPF(Authentication Credential Repository and Processing Function，认证凭证存储库和处理功能)。请参见图7所示，该注册流程如下：

1、UE向AMF发送初始注册请求，初始注册请求携带有SUCI和切片指示。

2、SEAF向AUSF转发终端认证请求，其携带有SUCI和切片指示；

3、AUSF向UDM转发终端认证请求，其携带有SUCI和切片指示；

4、UDM将SUCI解密成SUPI；

5、UDM基于SUPI在5G AKA和EAP-AKA'这两种认证方式中选择一种认证方式，并在选择5G AKA之后，执行后续步骤。

6、UDM计算认证向量AV，认证向量AV包括RAND，AUTN，XRES，CK和IK；

7、UDM根据XRES计算出XRES*，并基于CK和IK计算出K_AUSF；

8、UDM生成5G HE AV，5G HE AV包括RAND，AUTN，XRES*和K_AUSF；

9、UDM基于SUPI获取UE的切片策略；

10、UDM向AUSF发送终端认证请求响应，携带有5G HE AV和切片策略；

11、AUSF存储XRES*，基于XRES*执行杂凑功能计算出HXRES*，并根据K_AUSF推导出K_SEAF密钥；

12、AUSF生成5G SE AV，5G SE AV包括RAND，AUTN和HXRES*；

13、AUSF存储UE对应的切片策略；

14、AUSF向SEAF发送终端认证请求响应，携带有5G SE AV；

15、SEAF向UE发送认证请求,其携带有RAND，AUTN，ngKSI，ABBA参数；

16、UE执行MAC认证，若认证通过，则继续执行如下步骤；

17、UE计算RES*，K_AUSF，K_SEAF；

18、UE用K_SEAF对申请接入的切片标识NSSAI进行加密；

19、UE向网络发送认证响应，携带RES*和加密的NSSAI；

20、SEAF基于RES*计算出HRES*，并将HRES*与HXRES*比较，若二者相同则执行如下步骤；

21、SEAF向AUSF发送终端认证请求，携带RES*和加密的NSSAI；

22、AUSF将RES*与XRES*进行比较，以进行验证；

23、AUSF用K_SEAF对加密的NSSAI解密得到NSSAI，并基于切片策略判断是否允许NSSAI的接入；

24、AUSF向SEAF发送携带有认证结果、SUPI、K_SEAF和NSSAI的终端认证请求响应；

25、AMF判断能否为NSSAI指示的切片提供服务，以判断是否重路由；其中，当AMF判断其不能为NSSAI指示的切片提供服务时，需要重路由至其他AMF；当AMF判断其能为NSSAI指示的切片提供服务时，不需要重路由。

26、AMF向UE发送注册接受消息。

综上所述，本申请实施例提出了一种用户设备的注册方案，一方面，终端进行网络注册时，在空口侧对网络切片标识NSSAI/S-NSSAI进行了加密保护，保证了切片标识的隐私，可以防止切片标识NSSAI泄漏带来的拒绝服务等攻击；另一方面，由于在终端注册过程中附带了切片相关信息，并进行了切片鉴权，未增加新的流程，极大地提高了终端接入网络切片的效率，实现了终端快速建立切片连接。

根据本申请的第二方面，本申请还提供了一种用户设备的注册装置，该装置可以位于AUSF网元中。以下是本申请的装置实施例。

图8是根据一示例性实施例示出的一种用户设备的注册装置的框图。如图8所示，用户设备的注册装置800包括：

生成模块810，用于当接收到终端认证请求，根据所述终端认证请求中由目标用户设备提供的订阅隐藏标识符和切片指示信息，生成包括所述订阅隐藏标识符和所述切片指示信息的认证信息获取请求，所述切片指示信息用于指示所述目标用户设备是否要接入切片；

第一发送模块820，用于向UDM网元发送所述认证信息获取请求，以使所述UDM网元生成归属环境认证向量，并根据所述切片指示信息指示所述目标用户设备要接入切片而确定与所述订阅隐藏标识符对应的切片策略信息，所述归属环境认证向量包括随机数、认证令牌、根据第一预期响应生成的第二预期响应和K_AUSF密钥；

接收和存储模块830，用于接收所述UDM网元返回的包括所述归属环境认证向量和所述切片策略信息的认证信息获取响应，存储所述认证信息获取响应中的所述第二预期响应和所述切片策略信息，并根据所述K_AUSF密钥生成K_SEAF密钥；

第二发送模块840，用于向所述目标用户设备发送所述归属环境认证向量中的所述随机数和所述认证令牌，以便所述目标用户设备根据所述随机数计算出第二响应，根据所述认证令牌计算出K_SEAF密钥，并利用所述K_SEAF密钥对网络切片选择辅助信息进行加密得到加密后网络切片选择辅助信息；

获取模块850，用于获取由所述目标用户设备生成的所述第二响应和所述加密后网络切片选择辅助信息，并利用所述K_SEAF密钥对所述加密后网络切片选择辅助信息进行解密得到所述网络切片选择辅助信息；

鉴权模块860，用于若所述第二响应与所述第二预期响应一致且根据所述切片策略信息判定能够允许接入所述网络切片选择辅助信息指示的切片，则注册成功。

根据本申请的另一方面，还提供了一种能够实现上述方法的电子设备。

所属技术领域的技术人员能够理解，本申请的各个方面可以实现为系统、方法或程序产品。因此，本申请的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

图9示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

需要说明的是，图9示出的电子设备的计算机系统900仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图9所示，计算机系统900包括中央处理单元(Central Processing Unit，CPU)901，其可以根据存储在只读存储器(Read-Only Memory，ROM)902中的程序或者从存储部分908加载到随机访问存储器(Random Access Memory，RAM)903中的程序而执行各种适当的动作和处理，例如执行上述实施例中所述的方法。在RAM 903中，还存储有系统操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(Input/Output，I/O)接口905也连接至总线904。

以下部件连接至I/O接口905：包括键盘、鼠标等的输入部分906；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分907；包括硬盘等的存储部分908；以及包括诸如LAN(Local Area Network，局域网)卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器910上，以便于从其上读出的计算机程序根据需要被安装入存储部分908。

特别地，根据本申请的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分909从网络上被下载和安装，和/或从可拆卸介质911被安装。在该计算机程序被中央处理单元(CPU)901执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现上述实施例中所述的方法。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本申请实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的实施方式后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (10)

1.一种用户设备的注册方法，其特征在于，所述方法由AUSF网元执行，所述方法包括：

当接收到终端认证请求，根据所述终端认证请求中由目标用户设备提供的订阅隐藏标识符和切片指示信息，生成包括所述订阅隐藏标识符和所述切片指示信息的认证信息获取请求，所述切片指示信息用于指示所述目标用户设备是否要接入切片；

向UDM网元发送所述认证信息获取请求，以使所述UDM网元生成归属环境认证向量，并根据所述切片指示信息指示所述目标用户设备要接入切片而确定与所述订阅隐藏标识符对应的切片策略信息，所述归属环境认证向量包括随机数、认证令牌、根据第一预期响应生成的第二预期响应和K_AUSF密钥；

接收所述UDM网元返回的包括所述归属环境认证向量和所述切片策略信息的认证信息获取响应，存储所述认证信息获取响应中的所述第二预期响应和所述切片策略信息，并根据所述K_AUSF密钥生成K_SEAF密钥；

向所述目标用户设备发送所述归属环境认证向量中的所述随机数和所述认证令牌，以便所述目标用户设备根据所述随机数计算出第二响应，根据所述认证令牌计算出K_SEAF密钥，并利用所述K_SEAF密钥对网络切片选择辅助信息进行加密得到加密后网络切片选择辅助信息；

获取由所述目标用户设备生成的所述第二响应和所述加密后网络切片选择辅助信息，并利用所述K_SEAF密钥对所述加密后网络切片选择辅助信息进行解密得到所述网络切片选择辅助信息；

若所述第二响应与所述第二预期响应一致且根据所述切片策略信息判定能够允许接入所述网络切片选择辅助信息指示的切片，则注册成功。

2.根据权利要求1所述的用户设备的注册方法，其特征在于，在接收所述UDM网元返回的包括所述归属环境认证向量和所述切片策略信息的认证信息获取响应之后，所述方法还包括：

根据所述归属环境认证向量中的所述第二预期响应生成第二哈希预期响应；

所述向所述目标用户设备发送所述归属环境认证向量中的所述随机数和所述认证令牌，包括：

生成包括所述随机数和所述认证令牌的服务环境认证向量，并将所述服务环境认证向量发送至AMF网元，以便所述AMF网元将所述服务环境认证向量中的所述随机数和所述认证令牌发送至所述目标用户设备；

所述获取由所述目标用户设备生成的所述第二响应和所述加密后网络切片选择辅助信息，包括：

获取来自所述AMF网元的所述第二响应和所述加密后网络切片选择辅助信息，其中，所述第二响应和所述加密后网络切片选择辅助信息是所述AMF网元在第二哈希响应和第二哈希预期响应一致的情况下向所述AUSF网元发送的，所述第二哈希响应是所述AMF网元根据从所述目标用户设备获取的所述第二响应生成的。

3.根据权利要求2所述的用户设备的注册方法，其特征在于，所述若所述第二响应与所述第二预期响应一致且根据所述切片策略信息判定能够允许接入所述网络切片选择辅助信息指示的切片，则注册成功，包括：

若所述第二响应与所述第二预期响应一致且根据所述切片策略信息判定能够允许接入所述网络切片选择辅助信息指示的切片，则将所述网络切片选择辅助信息发送至AMF网元，以便所述AMF网元在判定能够为所述网络切片选择辅助信息指示的切片提供服务的情况下，向所述目标用户设备返回注册接受信息。

4.根据权利要求1所述的用户设备的注册方法，其特征在于，所述切片策略信息是由所述UDM网元基于订阅永久标识符获取得到的，所述订阅永久标识符是由所述UDM网元对所述订阅隐藏标识符解密得到的。

5.根据权利要求4所述的用户设备的注册方法，其特征在于，所述认证信息获取响应还包括所述订阅永久标识符，所述存储所述认证信息获取响应中的所述第二预期响应和所述切片策略信息，包括：

将所述第二预期响应、所述切片策略信息和所述订阅永久标识符对应存储。

6.根据权利要求1-5任意一项所述的用户设备的注册方法，其特征在于，所述归属环境认证向量是在所述UDM网元接收到所述认证信息获取请求之后根据计算出的认证向量生成的。

7.根据权利要求1-5任意一项所述的用户设备的注册方法，其特征在于，所述目标用户设备是在消息认证码认证通过的情况下计算所述第二响应和所述K_SEAF密钥的。

8.一种用户设备的注册装置，其特征在于，所述装置位于AUSF网元中，所述装置包括：

生成模块，用于当接收到终端认证请求，根据所述终端认证请求中由目标用户设备提供的订阅隐藏标识符和切片指示信息，生成包括所述订阅隐藏标识符和所述切片指示信息的认证信息获取请求，所述切片指示信息用于指示所述目标用户设备是否要接入切片；

第一发送模块，用于向UDM网元发送所述认证信息获取请求，以使所述UDM网元生成归属环境认证向量，并根据所述切片指示信息指示所述目标用户设备要接入切片而确定与所述订阅隐藏标识符对应的切片策略信息，所述归属环境认证向量包括随机数、认证令牌、根据第一预期响应生成的第二预期响应和K_AUSF密钥；

接收和存储模块，用于接收所述UDM网元返回的包括所述归属环境认证向量和所述切片策略信息的认证信息获取响应，存储所述认证信息获取响应中的所述第二预期响应和所述切片策略信息，并根据所述K_AUSF密钥生成K_SEAF密钥；

第二发送模块，用于向所述目标用户设备发送所述归属环境认证向量中的所述随机数和所述认证令牌，以便所述目标用户设备根据所述随机数计算出第二响应，根据所述认证令牌计算出K_SEAF密钥，并利用所述K_SEAF密钥对网络切片选择辅助信息进行加密得到加密后网络切片选择辅助信息；

获取模块，用于获取由所述目标用户设备生成的所述第二响应和所述加密后网络切片选择辅助信息，并利用所述K_SEAF密钥对所述加密后网络切片选择辅助信息进行解密得到所述网络切片选择辅助信息；

鉴权模块，用于若所述第二响应与所述第二预期响应一致且根据所述切片策略信息判定能够允许接入所述网络切片选择辅助信息指示的切片，则注册成功。

9.一种计算机可读介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的方法。

10.一种电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求1至7中任一项所述的方法。