WO2018137713A1

WO2018137713A1 - 网络切片内鉴权方法、切片鉴权代理实体及会话管理实体

Info

Publication number: WO2018137713A1
Application number: PCT/CN2018/075604
Authority: WO
Inventors: 周巍
Original assignee: 电信科学技术研究院
Priority date: 2017-01-24
Filing date: 2018-02-07
Publication date: 2018-08-02
Also published as: CN108347729B; CN108347729A

Abstract

本公开提供了一种网络切片内鉴权的方法、网络切片鉴权代理实体及会话管理实体。网络切片内鉴权的方法包括：接收会话管理实体发送的网络切片内认证请求和切片安全策略；根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作。

Description

网络切片内鉴权方法、切片鉴权代理实体及会话管理实体

相关申请的交叉引用

本申请主张在2017年1月24日在中国提交的中国专利申请号No.201710055047.1的优先权，其全部内容通过引用包含于此。

技术领域

本公开涉及通信技术领域，特别是指一种网络切片内鉴权的方法、网络切片鉴权代理实体及会话管理实体。

背景技术

3GPP SA3(第三代合作伙伴项目安全组3)切片安全方面描述了网络切片安全的各种关键问题，包括网络切片鉴权。网络切片鉴权可分为网络切片外鉴权和网络切片内鉴权。至目前为止还没有关于如何实现网络切片内鉴权的具体技术方案，但是，为了保证高度的切片安全，网络切片内鉴权还是需要的。

发明内容

本公开的目的在于提供一种网络切片内鉴权的方法、网络切片鉴权代理实体及会话管理实体，解决相关技术中切片安全的鉴权方案不够完善的问题。

为了解决上述技术问题，本公开实施例提供一种网络切片内鉴权的方法，应用于网络切片鉴权代理实体，包括：接收会话管理实体发送的网络切片内认证请求和切片安全策略；根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作。

在一些可选的实施例中，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示代理方式时，所述进行网络切片内鉴权的操作的步骤包括：根据所述切片安全策略中的鉴权方地址向对应的鉴权实体发送认证向量请求；接收所述鉴权实体根据所述认证向量请求反馈的终端认证向量；利用所述终端认证向量与对应终端进行网络切片内鉴权。

在一些可选的实施例中，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示中继方式时，所述进行网络切片内鉴权的操作的步骤包括：根据所述切片安全策略中的鉴权方地址与对应的鉴权实体建立关联；通过所述关联转发对应终端与所述鉴权实体之间的鉴权信息，以进行网络切片内鉴权。

在一些可选的实施例中，所述鉴权实体为认证服务器或第三方鉴权实体。

在一些可选的实施例中，在网络切片内鉴权成功之后，所述方法还包括：产生切片主密钥；将所述切片主密钥发送给所述会话管理实体。

本公开一些实施例还提供了一种网络切片内鉴权的方法，应用于会话管理实体，包括：在接收到移动性管理实体发送的会话建立指令时，获取切片安全策略；在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略。

在一些可选的实施例中，所述获取切片安全策略的步骤包括：在本地获取切片安全策略；或者

从策略控制实体处获取切片安全策略。

在一些可选的实施例中，所述从策略控制实体处获取切片安全策略的步骤包括：向策略控制实体发送控制策略请求，所述控制策略请求中包括终端标识和切片标识；接收所述策略控制实体根据所述终端标识和所述切片标识反馈的控制策略，所述控制策略中包括切片安全策略。

在一些可选的实施例中，所述切片安全策略包括终端切片内鉴权标识，在所述向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略之前，所述方法还包括：在所述终端切片内鉴权标识指示进行切片内鉴权时，确认所述切片安全策略指示对所述终端进行网络切片内鉴权。

在一些可选的实施例中，在所述向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略之后，所述方法还包括：接收所述网络切片鉴权代理实体发送的、网络切片内鉴权成功后产生的切片主密钥；根据预设规则对原始切片主密钥和网络切片内鉴权成功后产生的切片主密钥进行分散操作。

本公开一些实施例还提供了一种网络切片鉴权代理实体，包括：第一接收模块，用于接收会话管理实体发送的网络切片内认证请求和切片安全策略；第一处理模块，用于根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作。

在一些可选的实施例中，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示代理方式时，所述第一处理模块包括：第一发送子模块，用于根据所述切片安全策略中的鉴权方地址向对应的鉴权实体发送认证向量请求；第一接收子模块，用于接收所述鉴权实体根据所述认证向量请求反馈的终端认证向量；第一处理子模块，用于利用所述终端认证向量与对应终端进行网络切片内鉴权。

在一些可选的实施例中，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示中继方式时，所述第一处理模块包括：第一建立子模块，用于根据所述切片安全策略中的鉴权方地址与对应的鉴权实体建立关联；第二处理子模块，用于通过所述关联转发对应终端与所述鉴权实体之间的鉴权信息，以进行网络切片内鉴权。

在一些可选的实施例中，所述网络切片鉴权代理实体还包括：第一产生模块，用于在网络切片内鉴权成功之后，产生切片主密钥；第一发送模块，用于将所述切片主密钥发送给所述会话管理实体。

本公开一些实施例还提供了一种会话管理实体，包括：第一获取模块，用于在接收到移动性管理实体发送的会话建立指令时，获取切片安全策略；第二发送模块，用于在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略。

在一些可选的实施例中，所述第一获取模块包括：第一获取子模块，用于在本地获取切片安全策略；或者从策略控制实体处获取切片安全策略。

在一些可选的实施例中，所述第一获取子模块包括：第一发送单元，用于向策略控制实体发送控制策略请求，所述控制策略请求中包括终端标识和切片标识；第一接收单元，用于接收所述策略控制实体根据所述终端标识和所述切片标识反馈的控制策略，所述控制策略中包括切片安全策略。

在一些可选的实施例中，所述切片安全策略包括终端切片内鉴权标识，所述会话管理实体还包括：第一确认模块，用于在所述向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略之前，在所述终端切片内鉴权标识指示进行切片内鉴权时，确认所述切片安全策略指示对所述终端进行网络切片内鉴权。

在一些可选的实施例中，所述会话管理实体还包括：第二接收模块，用于在所述向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略之后，接收所述网络切片鉴权代理实体发送的、网络切片内鉴权成功后产生的切片主密钥；第二处理模块，用于根据预设规则对原始切片主密钥和网络切片内鉴权成功后产生的切片主密钥进行分散操作。

本公开一些实施例还提供了一种网络切片鉴权代理实体，包括：处理器、存储器以及收发机，所述存储器用于存储所述处理器在执行操作时所使用的程序和数据，当处理器调用并执行所述存储器中所存储的程序和数据时，执行下列过程：通过收发机接收会话管理实体发送的网络切片内认证请求和切片安全策略；根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作，其中，收发机用于接收和发送数据。

本公开一些实施例还提供了一种会话管理实体，包括：处理器；存储器、收发机以及收发机，所述存储器用于存储所述处理器在执行操作时所使用的程序和数据，当处理器调用并执行所述存储器中所存储的程序和数据时，执行下列过程：在通过收发机接收到移动性管理实体发送的会话建立指令时，获取切片安全策略；在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，通过收发机向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略，其中，收发机用于接收和发送数据。

本公开的上述技术方案的有益效果如下：上述方案中，所述网络切片内鉴权的方法通过接收会话管理实体发送的网络切片内认证请求和切片安全策略，并根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作；能够完成网络切片内的鉴权，进一步保障切片安全，解决了相关技术中切片安全的鉴权方案不够完善的问题。

附图说明

图1为本公开一些可选的实施例中的网络切片内鉴权的方法流程示意图；

图2为本公开一些可选的实施例中的网络切片内鉴权的方法流程示意图；

图3为本公开一些可选的实施例的实现架构示意图；

图4为本公开一些可选的实施例的网络切片内鉴权的方法具体流程示意图；

图5为本公开一些可选的实施例的网络切片内鉴权的方法举例流程示意图；

图6为本公开一些可选的实施例中的网络切片鉴权代理实体结构示意图；

图7为本公开一些可选的实施例中的网络切片鉴权代理实体结构示意图；

图8为本公开一些可选的实施例中的会话管理实体结构示意图；

图9为本公开一些可选的实施例中的会话管理实体结构示意图。

具体实施方式

为使本公开要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本公开针对现有的技术中切片安全的鉴权方案不够完善的问题，提供了多种解决方案，具体如下：如图1所示，本公开一些可选的实施例中提供一种网络切片内鉴权的方法，可应用于网络切片鉴权代理实体，所述方法包括以下步骤。

步骤11：接收会话管理实体发送的网络切片内认证请求和切片安全策略；

步骤12：根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作。

本公开一些可选的实施例中提供的所述网络切片内鉴权的方法通过接收会话管理实体发送的网络切片内认证请求和切片安全策略，并根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作；能够完成网络切片内的鉴权，进一步保障切片安全，解决了相关技术中切片安全的鉴权方案不够完善的问题。

考虑到实际使用时，进行网络切片内鉴权的操作的具体实现方案可有多种，本实施例中，提供以下两种示例：

第一种示例，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示代理方式时，所述进行网络切片内鉴权的操作的步骤包括：根据所述切片安全策略中的鉴权方地址向对应的鉴权实体发送认证向量请求；接收所述鉴权实体根据所述认证向量请求反馈的终端认证向量；利用所述终端认证向量与对应终端进行网络切片内鉴权。

其中，终端认证向量包含有用于与终端进行认证所需要的信息，对应终端指的是向网络发送附着请求，促使移动性管理实体向会话管理实体发送会话建立指令，进而使得会话管理实体能够向网络切片鉴权代理实体发送网络切片内认证请求和切片安全策略(具体见图4所示的流程)的终端。

第二种示例，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示中继方式时，所述进行网络切片内鉴权的操作的步骤包括：根据所述切片安全策略中的鉴权方地址与对应的鉴权实体建立关联；通过所述关联转发对应终端与所述鉴权实体之间的鉴权信息，以进行网络切片内鉴权。

其中，所述关联可以为能够传递通讯信息的通道，对应终端指的是向网络发送附着请求，促使移动性管理实体向会话管理实体发送会话建立指令，进而使得会话管理实体能够向网络切片鉴权代理实体发送网络切片内认证请求和切片安全策略(具体见图4所示的流程)的终端。

具体的，所述鉴权实体为认证服务器或第三方鉴权实体。

由上可知，本实施例提供的所述网络切片内鉴权的方法很好的解决了相关技术中切片安全的鉴权方案不够完善的问题。

如图2所示，本公开一些可选的实施例中提供一种网络切片内鉴权的方法，可应用于会话管理实体，所述方法包括以下步骤。

步骤21：在接收到移动性管理实体发送的会话建立指令时，获取切片安全策略；

步骤22：在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略。

本公开一些可选的实施例中提供的所述网络切片内鉴权的方法通过在接收到移动性管理实体发送的会话建立指令时，获取切片安全策略，并在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略；使得网络切片鉴权代理实体能够根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作；完成网络切片内的鉴权，进一步保障切片安全，解决了相关技术中切片安全的鉴权方案不够完善的问题。

其中，所述获取切片安全策略的步骤包括：在本地获取切片安全策略；或者从策略控制实体处获取切片安全策略。

具体的，所述从策略控制实体处获取切片安全策略的步骤包括：向策略控制实体发送控制策略请求，所述控制策略请求中包括终端标识和切片标识；接收所述策略控制实体根据所述终端标识和所述切片标识反馈的控制策略，所述控制策略中包括切片安全策略。

下面结合网络切片鉴权代理实体和会话管理实体两侧对本公开实施例提供的网络切片内鉴权的方法进行进一步说明。

针对3GPP SA3(第三代合作伙伴项目安全组3)5G安全研究报告TR中尚无实现切片内鉴权的情况，本实施例提供了一种网络切片内鉴权的方法。实现本方案的一种可能的安全架构如图3所示。

其包括控制面接入网CP-AN，用户面接入网UP-AN，核心网-用户面功能CN-UPF，移动性功能管理功能MMF(对应移动性管理实体)，会话管理功能SMF(对应会话管理实体)，认证服务器功能AUSF和认证凭证存储和处理功能ARPF，安全上下文管理功能SCMF和安全锚功能SEAF，网络切片鉴权代理功能NSSPF(对应网络切片鉴权代理实体)，策略控制功能PCF，和第三方鉴权功能3 ^rd AAA；其中的UP-AN、SMF、NSSPF和CN-UPF属于切片Slice#n，#n代表的是切片标识。

具体的，部分安全功能实体介绍如下：认证凭证存储和处理功能(Authentication Credential Repository and Processing Function，ARPF)：此功能存储，在身份认证过程中使用的长期安全凭证，并执行任何使用长期安全凭证作为输入的加密算法。它还存储与安全相关的签约用户配置文件。ARPF通过与认证服务器功能AUSF交互完成相应的安全服务功能，例如密钥导出。

认证服务器功能(Authentication Server Function，AUSF)：此功能接收来自安全锚功能SEAF的认证请求，并执行认证功能。AUSF与ARPF可通过接口进行交互，并由后者提供认证过程所需的密钥。

安全锚功能(Security Anchor Function，SEAF)：核心网络中的认证功能，其与AUSF和终端UE交互，并从AUSF接收作为终端UE认证过程的结果而建立的中间密钥。在初始附着期间，SEAF还将与移动性管理(Mobility Management，MM)功能和安全上下文管理功能SCMF交互。SEAF应驻留在运营商网络中的安全环境中，并提供物理上的访问控制。在漫游情况下，SEAF驻留在访问网络中。

安全上下文管理功能(Security Context Management Function，SCMF)：SCMF从SEAF接收中间密钥，然后利用中间密钥进一步导出用于控制面和用户面安全的密钥。SCMF应驻留在运营商网络中的安全环境中，并提供物理上的访问控制。在漫游情况下，SCMF驻留在访问网络中。

策略控制功能(Policy Control Function，PCF)：为UE会话的建立提供控制策略。本实施例中假设描述实现切片安全的策略也存储在PCF中。切片安全策略描述指定的UE是否需要执行切片内鉴权过程以及执行切片内鉴权的方式和相关信息。

网络切片鉴权代理功能(Network Slice Authentication Proxy Function，NSAPF)：为网络切片内的安全锚点，负责与UE和可实现切片内鉴权功能的实体交互，完成UE在切片内的鉴权过程，并负责根据鉴权成功后获得的新的切片主密钥分散出用于实现切片安全的新的密钥体系，并将这些密钥分发给相应功能实体，从而实现所需的切片安全。

本实施例中，属于第三方的负责UE切片内鉴权的功能实体介绍如下：第三方鉴权功能(3 ^rd party Authentication,Authorization and Account function，AAA)：通过NSAPF与UE交互完成UE的切片内鉴权，并可在鉴权成功后生成新的切片安全主密钥，该主密钥将提供给NSAPF。

另外，为了达到鉴权的目的，本实施例中，切片安全策略中至少包含如下信息：

·UE切片内认证标识：用于判断指定UE是否需要进行切片内认证。

·鉴权方式标识：标识实现切片内鉴权的方式。基于认证方式标识，NSAPF可确定应使用何种技术方案实现UE的切片内鉴权，以及如何与UE和位于切片外部的鉴权实体进行交互。切片内的鉴权方式可以与切片外部采用的鉴权方式相同，也可以与切片外部采用的鉴权方式不同。可以是基于对称密钥的认证方法，也可以是基于非对称密钥的鉴权方法。可以是由NSAPF从切片外部鉴权实体获得认证向量，并代理该外部鉴权实体与UE完成鉴权过程，也可以是由切片外部鉴权实体直接与UE执行鉴权过程。

NSAPF能够支持2种基本的切片内鉴权方式：

-代理方式：NSAPF按切片安全策略中给出的“鉴权方地址”向位于切片外部的鉴权实体发送认证向量请求，并接收来自于该外部鉴权实体的认证向量。然后NSAPF使用获得的认证向量与UE执行切片内鉴权过程。

-中继方式：NSAPF按切片安全策略中给出的“鉴权方地址”向位于切片外部的鉴权实体建立安全关联，然后该外部鉴权实体通过NSAPF与UE执行切片内鉴权过程。

·鉴权方地址：提供位于切片外的能够提供认证向量或执行切片内鉴权功能的实体的地址。

基于上述实现架构，本实施例提供的网络切片内鉴权的方法如图4所示，包括：

步骤41：UE向网络发送附着请求Attach request。基于特定的网络功能选择规则，接入网(Access Network，AN)将附着请求路由至移动性管理功能(Mobility Management Function，MMF)。MMF进一步路由该请求至作为网络安全锚点的SEAF，并触发双向鉴权过程。

步骤42：认证和会话主钥导出-Authentication and session master key derivation。

在双向鉴权过程中UE通过SEAF与AUSF进行双向认证(SEAF向AUSF发送认证请求)。成功的认证将导致在UE和AUSF之间产生会话主密钥Kseaf。同时网络侧切片选择功能将该UE分配给合适的切片实例(ARPF将会话主密钥Kseaf导出)。

步骤43：产生会话主密钥[Kseaf]-Providing session master key[Kseaf]。

AUSF将生成的会话主密钥Kseaf提供给SEAF，SEAF将会话主密钥Kseaf传递给SCMF。

步骤44：控制面主密钥[Kcn-mm,Kns]-CP master key install[Kcn-mm,Kns]。

SCMF导出用于实现控制面安全的控制面主密钥Kcn-mm和用于实现切片安全的切片主密钥Kns，并将它们提供给MMF。

步骤45：控制面安全建立CP security establish。

MMF利用Kcn-mm进行必要的密钥分散，并将导出的密钥提供给相应的控制面功能实体，以实现控制面安全。

步骤46：创建会话，包括[Kns]-Session creation[Kns]。

MMF将会话建立指令发送给UE切片内的会话管理功能(Session Management Session，SMF)，指令中包含有切片主密钥Kns。

步骤47：切片安全策略检查请求(携带切片标识，终端标识)-Control policy check request[Slice ID,UE ID]。

SMF向策略控制功能(Policy Control Function，PCF)发送切片安全控制策略检查请求，其中包含有UE标识(UE ID)和切片标识(Slice ID)，以获得切片安全策略，该策略中包含有是否进行切片内鉴权及如何进行切片内鉴权的信息。

当然，SMF也可以从本地获得切片安全策略，这样就不需要步骤48了，其他步骤无变动。

步骤48：切片安全策略检查响应(携带切片安全策略)-Control policy check response[control policy]。

PCF依据切片标识和UE标识检索到适用于该UE的控制策略，并通过切片安全策略检查响应返回给SMF。

切片安全策略检查响应中包含控制策略。控制策略中与切片内认证相关的切片安全策略至少包含如下内容：

-UE切片内鉴权标识；

-鉴权方式标识；

-鉴权方地址。

步骤49：二次认证请求-Secondary authentication request，可携带切片安全策略。

若PCF提供的控制策略中的切片安全策略要求对该UE进行二次鉴权(网络切片内鉴权)，则SMF触发切片内认证(二次认证)过程，向NSAPF发送二次认证请求(网络切片内鉴权请求)和切片安全策略。

步骤410：二次认证+密钥导出-Secondary authentication and key derivation。

在切片内鉴权过程中UE通过NSAPF与AUSF和ARPF，或者通过NSAPF与属于第三方的3 ^rd AAA进行切片内认证(二次认证+密钥导出)。

NSAPF依据认证方式的设置进行如下操作：

·若认证方式为“代理方式”，则进行如下处理：

(1)NSAPF向切片安全策略中给出的“鉴权方地址”向对应的鉴权实体发送认证向量请求。请求中应至少包含“UE标识”，并可选地包含“切片标识”。

(2)鉴权实体利用“UE标识”和/或“切片标识”生成或检索适用的“UE认证向量”。

(3)鉴权实体将“UE认证向量”返回给NSAPF。

(4)NSAPF使用该认证向量与UE进行切片内鉴权。

·若认证方式为“中继方式”，则进行如下处理：

(1)NSAPF与切片安全策略中给出的“鉴权方地址”指定的鉴权实体建立安全关联。

(2)UE与鉴权实体通过NSAPF执行切片内鉴权过程，NSAPF实现中继转发功能。

步骤411：新的用户面主密钥-New UP master key install[Kns']。

认证成功后可导致产生新的切片主密钥(用户面主密钥)Kns'。若有新的切片主密钥Kns'产生，NSAPF将获得该密钥，并该密钥提供给SMF。

步骤412：用户面密钥[Kup]-UP key install[Kup]。

SMF向用户面功能UPF发送用户面密钥[Kup]。

也可以理解为，SMF依据规则进行必要的密钥分散过程，并将生成的密钥提供给切片内相应的功能实体，以实现切片安全。

步骤413：用户面安全建立-UP security established。

SMF，UE，UPF和AN通过相应的安全模式命令(Security Model Command，SMC)过程生成所需的安全上下文和密钥，并提供给相应的功能实体，从而建立起用户面安全。

下面结合上述内容对本公开实施例提供的网络切片内鉴权的方法进行举例说明。

举例一：

上述内容提供了一个包含切片外鉴权和由第三方参与的切片内鉴权的方案。此处假设第三方鉴权实体可提供认证向量。具体流程如图5所示，并描述如下：

步骤51至步骤59与上述步骤41至步骤49相同(Same as step 41–step49)。假设SMF从PCF获得的控制策略中要求对UE进行切片内认证，具体内容如下：

-UE切片内鉴权标识：“需要切片内鉴权”；

-鉴权方式标识：“代理方式”；

-鉴权方地址：“3 ^rd AAA地址”。

步骤510.1：认证向量请求(携带终端标识，切片标识)-authentication vector request[UE ID,Slice ID]。

NSAPF向3 ^rd AAA发送切片内认证向量请求，请求中包含“UE ID”和“切片ID”。

步骤510.2：认证向量响应(携带认证向量)-authentication vector response[authentication vector]。

3 ^rd AAA根据“UE ID”和“切片ID”信息向NSAPF提供认证向量。

步骤510.3：双向认证和密钥导出-Mutual authentication and key derivation。

NSAPF和UE执行切片内鉴权过程，并在认证成功后推导出新的用户面主密钥Kns'。

步骤511至步骤513与上述步骤411至步骤413相同(Same as step 411–step 413)。

举例二：

举例一中的鉴权方地址也可以是指向本地的AUSF或ARPF。具体流程与举例一相同。

举例三：

当举例一中的鉴权方式标识指示“中继方式”时，NSAPF充当UE与3 ^rd AAA之间通信的中继的角色。当鉴权成功时，3 ^rd AAA需要将新的用户面安全主密钥提供给NSAPF。

举例四：

当举例一中的鉴权方式标识指示“中继方式”时，步骤510.3也可以只进行双向认证，而不导出新的切片主密钥。在这种情况下切片内直接使用切片外SCMF提供的切片主密钥即可；也不再需要执行步骤511-步骤513。

此处说明，本实施例中的网络切片鉴权代理功能NSAPF：为网络切片内的安全锚点，负责与UE和可实现切片内鉴权功能的位于切片外部的鉴权实体交互，以完成UE在切片内的鉴权过程。成功的切片内鉴权可导致生成新的切片主密钥。NSAPF将新的切片主密钥提供给SMF，并由SMF进行必要的密钥分散，并将分散的密钥分发给相应的功能实体以实现所需的切片安全。

本实施例中切片内是否进行切片内认证由SMF根据切片安全策略确定。 SMF可以通过2种方式获得切片安全策略：

(1)SMF从策略控制功能(PCF)中获得；

(2)SMF从本地获得。

本实施例中切片内鉴权由NSAPF执行。切片内鉴权应支持2种基本的切片内鉴权方式：

-代理方式：NSAPF按切片安全策略中给出的“鉴权方地址”向位于切片外部的鉴权实体发送认证向量请求，并接收来自于外部认证实体的认证向量。然后NSAPF使用获得的认证向量与UE进行切片内鉴权过程。成功鉴权后，NSAPF和UE可分别获得新的切片主密钥。

-中继方式：NSAPF按切片安全策略中给出的“鉴权方地址”与切片外部的鉴权实体建立安全关联，然后UE通过NSAPF与位于切片外部的鉴权实体执行切片内鉴权过程。成功鉴权后外部的鉴权实体需要将生成的新切片主密钥提供给NSAPF。

本实施例中切片安全策略描述UE是否需要执行切片内鉴权过程和如何执行切片内鉴权。切片安全策略至少包含有：

-UE切片内认证标识：用于确定指定UE是否需要进行切片内鉴权；

-鉴权方式标识:用于确定应使用何种方法实现UE的切片内鉴权；

-鉴权方地址:用于描述应向哪个切片外部鉴权实体发送与鉴权相关的请求。

本实施例中SMF向PCF发送的切片安全策略请求中至少包含“UE标识”和“切片标识”。PCF依据“UE标识”和“切片标识”检索到适用于指定UE的切片安全策略，并返回给SMF。

本实施例中成功的切片内鉴权过程可导致生成新的切片主密钥，该密钥可替换由切片外部的SCMF提供的切片主密钥，并依据新的切片主密钥生成实现切片安全的新密钥体系。

如图6所示，本公开一些可选的实施例中提供一种网络切片鉴权代理实体，包括：

第一接收模块61，用于接收会话管理实体发送的网络切片内认证请求和切片安全策略；

第一处理模块62，用于根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作。

本公开一些可选的实施例中提供的所述网络切片鉴权代理实体通过接收会话管理实体发送的网络切片内认证请求和切片安全策略，并根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作；能够完成网络切片内的鉴权，进一步保障切片安全，解决了相关技术中切片安全的鉴权方案不够完善的问题。

考虑到实际使用时，第一处理模块的具体实现方案可有多种，本实施例中，提供以下两种示例：

第一种示例，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示代理方式时，所述第一处理模块包括：第一发送子模块，用于根据所述切片安全策略中的鉴权方地址向对应的鉴权实体发送认证向量请求；第一接收子模块，用于接收所述鉴权实体根据所述认证向量请求反馈的终端认证向量；第一处理子模块，用于利用所述终端认证向量与对应终端进行网络切片内鉴权。

第二种示例，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示中继方式时，所述第一处理模块包括：第一建立子模块，用于根据所述切片安全策略中的鉴权方地址与对应的鉴权实体建立关联；第二处理子模块，用于通过所述关联转发对应终端与所述鉴权实体之间的鉴权信息，以进行网络切片内鉴权。

具体的，所述鉴权实体为认证服务器或第三方鉴权实体。

由上可知，本实施例提供的所述网络切片鉴权代理实体很好的解决了相关技术中切片安全的鉴权方案不够完善的问题。

其中，上述涉及网络切片鉴权代理实体侧的网络切片内鉴权的方法的所述实现实施例均适用于该网络切片鉴权代理实体的实施例中，也能达到相同的技术效果。

如图7所示，本实施例提供一种网络切片鉴权代理实体，包括：处理器71；以及通过总线接口72与所述处理器71相连接的存储器73，所述存储器73用于存储所述处理器71在执行操作时所使用的程序和数据，当处理器71调用并执行所述存储器73中所存储的程序和数据时，执行下列过程：通过收发机74接收会话管理实体发送的网络切片内认证请求和切片安全策略；根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作。

其中，收发机74与总线接口72连接，用于在处理器71的控制下接收和发送数据。

需要说明的是，在图7中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器71代表的一个或多个处理器和存储器73代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机74可以是多个元件，即包括发送机和收发机，提供用于在传输介质上与各种其他装置通信的单元。处理器71负责管理总线架构和通常的处理，存储器73可以存储处理器71在执行操作时所使用的数据。

本领域技术人员可以理解，实现上述实施例的全部或者部分步骤可以通过硬件来完成，也可以通过计算机程序来指示相关的硬件来完成，所述计算机程序包括执行上述方法的部分或者全部步骤的指令；且该计算机程序可以存储于一可读存储介质中，存储介质可以是任何形式的存储介质。

如图8所示，本公开一些可选的实施例中提供一种会话管理实体，包括：第一获取模块81，用于在接收到移动性管理实体发送的会话建立指令时，获取切片安全策略；第二发送模块82，用于在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略。

本公开一些可选的实施例中提供的所述会话管理实体通过在接收到移动性管理实体发送的会话建立指令时，获取切片安全策略，并在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略；使得网络切片鉴权代理实体能够根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作；完成网络切片内的鉴权，进一步保障切片安全，解决了相关技术中切片安全的鉴权方案不够完善的问题。

其中，所述第一获取模块包括：第一获取子模块，用于在本地获取切片安全策略；或者从策略控制实体处获取切片安全策略。

具体的，所述第一获取子模块包括：第一发送单元，用于向策略控制实体发送控制策略请求，所述控制策略请求中包括终端标识和切片标识；第一接收单元，用于接收所述策略控制实体根据所述终端标识和所述切片标识反馈的控制策略，所述控制策略中包括切片安全策略。

由上可知，本实施例提供的所述会话管理实体很好的解决了相关技术中切片安全的鉴权方案不够完善的问题。

其中，上述涉及会话管理实体侧的网络切片内鉴权的方法的所述实现实施例均适用于该会话管理实体的实施例中，也能达到相同的技术效果。

如图9所示，本公开一些可选的实施例提供一种会话管理实体，包括：处理器91；以及通过总线接口92与所述处理器91相连接的存储器93，所述存储器93用于存储所述处理器91在执行操作时所使用的程序和数据，当处理器91调用并执行所述存储器93中所存储的程序和数据时，执行下列过程：在通过收发机94接收到移动性管理实体发送的会话建立指令时，获取切片安全策略；在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，通过收发机94向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略。

其中，收发机94与总线接口92连接，用于在处理器91的控制下接收和发送数据。

需要说明的是，在图9中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器91代表的一个或多个处理器和存储器93代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机94可以是多个元件，即包括发送机和收发机，提供用于在传输介质上与各种其他装置通信的单元。处理器91负责管理总线架构和通常的处理，存储器93可以存储处理器91在执行操作时所使用的数据。

其中，此说明书中所描述的许多功能部件都被称为模块/子模块/单元，以便更加特别地强调其实现方式的独立性。

本公开实施例中，模块/子模块/单元可以用软件实现，以便由各种类型的处理器执行。举例来说，一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块，举例来说，其可以被构建为对象、过程或函数。尽管如此，所标识模块的可执行代码无需物理地位于一起，而是可以包括存储在不同位里上的不同的指令，当这些指令逻辑上结合在一起时，其构成模块并且实现该模块的规定目的。

实际上，可执行代码模块可以是单条指令或者是许多条指令，并且甚至可以分布在多个不同的代码段上，分布在不同程序当中，以及跨越多个存储器设备分布。同样地，操作数据可以在模块内被识别，并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集，或者可以分布在不同位置上(包括在不同存储设备上)，并且至少部分地可以仅作为电子信号存在于系统或网络上。

在模块可以利用软件实现时，考虑到现有硬件工艺的水平，所以可以以软件实现的模块，在不考虑成本的情况下，本领域技术人员都可以搭建对应的硬件电路来实现对应的功能，所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。

以上所述的是本公开的优选实施方式，应当指出对于本技术领域的普通人员来说，在不脱离本公开所述原理前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本公开的保护范围。

Claims

一种网络切片内鉴权的方法，应用于网络切片鉴权代理实体，包括：

接收会话管理实体发送的网络切片内认证请求和切片安全策略；

根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作。
根据权利要求1所述的方法，其中，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示代理方式时，所述进行网络切片内鉴权的操作的步骤包括：

根据所述切片安全策略中的鉴权方地址向对应的鉴权实体发送认证向量请求；

接收所述鉴权实体根据所述认证向量请求反馈的终端认证向量；

利用所述终端认证向量与对应终端进行网络切片内鉴权。
根据权利要求1所述的方法，其中，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示中继方式时，所述进行网络切片内鉴权的操作的步骤包括：

根据所述切片安全策略中的鉴权方地址与对应的鉴权实体建立关联；

通过所述关联转发对应终端与所述鉴权实体之间的鉴权信息，以进行网络切片内鉴权。
根据权利要求2或3所述的方法，其中，所述鉴权实体为认证服务器或第三方鉴权实体。
根据权利要求1所述的方法，其中，在网络切片内鉴权成功之后，所述方法还包括：

产生切片主密钥；

将所述切片主密钥发送给所述会话管理实体。
一种网络切片内鉴权的方法，应用于会话管理实体，包括：

在接收到移动性管理实体发送的会话建立指令时，获取切片安全策略；

在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略。
根据权利要求6所述的方法，其中，所述获取切片安全策略的步骤包括：

在本地获取切片安全策略；或者

从策略控制实体处获取切片安全策略。
根据权利要求7所述的方法，其中，所述从策略控制实体处获取切片安全策略的步骤包括：

向策略控制实体发送控制策略请求，所述控制策略请求中包括终端标识和切片标识；

接收所述策略控制实体根据所述终端标识和所述切片标识反馈的控制策略，所述控制策略中包括切片安全策略。
根据权利要求6所述的方法，其中，所述切片安全策略包括终端切片内鉴权标识，在所述向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略之前，所述方法还包括：

在所述终端切片内鉴权标识指示进行切片内鉴权时，确认所述切片安全策略指示对所述终端进行网络切片内鉴权。
根据权利要求6所述的方法，其中，在所述向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略之后，所述方法还包括：

接收所述网络切片鉴权代理实体发送的、网络切片内鉴权成功后产生的切片主密钥；

根据预设规则对原始切片主密钥和网络切片内鉴权成功后产生的切片主密钥进行分散操作。
一种网络切片鉴权代理实体，包括：

第一接收模块，用于接收会话管理实体发送的网络切片内认证请求和切片安全策略；

第一处理模块，用于根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作。
根据权利要求11所述的网络切片鉴权代理实体，其中，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示代理方式时，所述第一处理模块包括：

第一发送子模块，用于根据所述切片安全策略中的鉴权方地址向对应的鉴权实体发送认证向量请求；

第一接收子模块，用于接收所述鉴权实体根据所述认证向量请求反馈的终端认证向量；

第一处理子模块，用于利用所述终端认证向量与对应终端进行网络切片内鉴权。
根据权利要求11所述的网络切片鉴权代理实体，其中，所述切片安全策略包括鉴权方式标识和鉴权方地址，在所述鉴权方式标识指示中继方式时，所述第一处理模块包括：

第一建立子模块，用于根据所述切片安全策略中的鉴权方地址与对应的鉴权实体建立关联；

第二处理子模块，用于通过所述关联转发对应终端与所述鉴权实体之间的鉴权信息，以进行网络切片内鉴权。
根据权利要求12或13所述的网络切片鉴权代理实体，其中，所述鉴权实体为认证服务器或第三方鉴权实体。
根据权利要求11所述的网络切片鉴权代理实体，其中，所述网络切片鉴权代理实体还包括：

第一产生模块，用于在网络切片内鉴权成功之后，产生切片主密钥；

第一发送模块，用于将所述切片主密钥发送给所述会话管理实体。
一种会话管理实体，包括：

第一获取模块，用于在接收到移动性管理实体发送的会话建立指令时，获取切片安全策略；

第二发送模块，用于在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略。
根据权利要求16所述的会话管理实体，其中，所述第一获取模块包括：

第一获取子模块，用于在本地获取切片安全策略；或者

从策略控制实体处获取切片安全策略。
根据权利要求17所述的会话管理实体，其中，所述第一获取子模块包括：

第一发送单元，用于向策略控制实体发送控制策略请求，所述控制策略请求中包括终端标识和切片标识；

第一接收单元，用于接收所述策略控制实体根据所述终端标识和所述切片标识反馈的控制策略，所述控制策略中包括切片安全策略。
根据权利要求16所述的会话管理实体，其中，所述切片安全策略包括终端切片内鉴权标识，所述会话管理实体还包括：

第一确认模块，用于在所述向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略之前，在所述终端切片内鉴权标识指示进行切片内鉴权时，确认所述切片安全策略指示对所述终端进行网络切片内鉴权。
根据权利要求16所述的会话管理实体，其中，所述会话管理实体还包括：

第二接收模块，用于在所述向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略之后，接收所述网络切片鉴权代理实体发送的、网络切片内鉴权成功后产生的切片主密钥；

第二处理模块，用于根据预设规则对原始切片主密钥和网络切片内鉴权成功后产生的切片主密钥进行分散操作。
一种网络切片鉴权代理实体，包括：处理器、存储器以及收发机，所述存储器用于存储所述处理器在执行操作时所使用的程序和数据，当处理器调用并执行所述存储器中所存储的程序和数据时，执行下列过程：

通过收发机接收会话管理实体发送的网络切片内认证请求和切片安全策略；

根据所述网络切片内认证请求和所述切片安全策略，进行网络切片内鉴权的操作，

其中，收发机用于接收和发送数据。
一种会话管理实体，包括：处理器；存储器、收发机以及收发机，所述存储器用于存储所述处理器在执行操作时所使用的程序和数据，当处理器调用并执行所述存储器中所存储的程序和数据时，执行下列过程：

在通过收发机接收到移动性管理实体发送的会话建立指令时，获取切片安全策略；

在所述切片安全策略指示对对应的终端进行网络切片内鉴权时，通过收发机向网络切片鉴权代理实体发送网络切片内认证请求和所述切片安全策略，

其中，收发机用于接收和发送数据。