WO2018176441A1 - 用户鉴权方法和装置 - Google Patents

Abstract

本申请提供一种用户鉴权方法和装置，在SMF实体为终端设备建立用于传输业务数据的会话之前，接收会话建立请求消息，根据会话建立请求消息，确定对使用终端设备的用户执行用户鉴权，并向UPF实体发送会话建立消息，该会话建立消息用于为终端设备建立第一会话，第一会话的会话属性为仅用于传输用户鉴权消息的会话，后续终端设备和AAA服务器通过第一会话传输用户鉴权消息，完成用户鉴权，避免非法用户使用终端设备进行通信，加强运营商对用户使用终端设备通信的安全性管理。

Description

用户鉴权方法和装置 技术领域

本申请涉及通信技术，尤其涉及一种用户鉴权方法和装置。

背景技术

鉴权是移动通信的基础，能够保证合法用户接入网络并使用网络资源，这里合法用户是指合法全球用户身份模块(Universal Subscriber Identity Module，简称USIM)卡。现有技术中，对合法用户的鉴权指的是对(SIM或USIM卡的)签约信息进行鉴权。例如，考虑到一次通信包括三个关键要素：一张有效的SIM卡或USIM卡，一部工作正常的终端设备(如手机)及一个用户，因此，要确保通信的安全不仅需要对SIM卡或USIM卡的签约信息进行鉴权，还需要对终端设备和用户进行鉴权。

现有技术中，已出现对终端设备和用户的鉴权，其中，对终端的鉴权通过设备标识寄存器(Equipment Identity Register，简称EIR)中的黑白名单实现，对用户的鉴权通常只存在于一些对安全性要求较高的第三方应用中，如手机银行等金融服务，这些服务通过各自的应用进行用户鉴权，且各应用之间相互独立。通常情况下，而运营商只对SIM卡或USIM卡的签约信息进行鉴权，并不对用户进行鉴权，这将导致终端设备存在被非法用户冒用的风险。

发明内容

本申请提供一种用户鉴权方法和装置，在为终端设备建立会话之前，进行用户鉴权，避免非法用户使用终端设备进行通信，加强运营商对用户使用终端设备通信的安全性管理。

本申请第一方面提供一种用户鉴权方法，包括：会话管理功能实体接收会话建立请求消息，所述会话建立请求用于请求为终端设备建立会话，根据所述会话建立请求消息，确定对使用所述终端设备的用户执行用户鉴权，向用户面功能实体发送会话建立消息，所述会话建立消息用于为所述终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话，并向所述终端设备发送指示消息，所述指示消息用于指示所述第一会话的会话属性。

SMF实体在为终端设备建立用于传输业务数据的会话之前，通过为终端设备建立仅用于传输用户鉴权消息的第一会话，后续终端设备和AAA服务器通过第一会话传输用户鉴权消息，完成用户鉴权，避免非法用户使用终端设备进行通信，从而加强运营商对用户使用终端设备通信的安全性管理。

可选的，所述方法还包括：所述会话管理功能实体获取所述用户鉴权的结果，当所述用户鉴权的结果指示所述用户鉴权成功时，所述会话管理功能实体删除所述第一会话，并为所述终端设备建立第二会话，其中，所述第二会话的会话属性为用于传输业务数据的会话。

可选的，所述方法还包括：所述会话管理功能实体获取所述用户鉴权的结果，当所述用户鉴权的结果指示所述用户鉴权成功时，所述会话管理功能实体将所述第一会话的会话属性修改为用于传输业务数据的会话。

可选的，所述会话管理功能实体获取所述用户鉴权的结果，具体为：所述会话管理功能实体接收认证授权计费AAA服务器发送的所述用户鉴权的结果，或者，所述会话管理功能实体接收所述终端设备发送的所述用户鉴权的结果。

当所述会话管理功能实体从所述终端设备接收所述用户鉴权的结果时，所述方法还包括：所述会话管理功能实体验证所述用户鉴权的结果有效。

本申请第二方面提供一种会话管理功能实体，包括：

接收模块，用于接收会话建立请求消息，所述会话建立请求用于请求为终端设备建立会话；

处理模块，用于根据所述会话建立请求消息，确定对使用所述终端设备的用户执行用户鉴权；

发送模块，用于向用户面功能实体发送会话建立消息，所述会话建立消息用于为所述终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话；

所述发送模块，还用于向所述终端设备发送指示消息，所述指示消息用于指示所述第一会话的会话属性。

可选的，所述接收模块，还用于获取所述用户鉴权的结果；

相应的，所述处理模块还用于：当所述用户鉴权的结果指示所述用户鉴权成功时，删除所述第一会话，并为所述终端设备建立第二会话；

其中，所述第二会话的会话属性为用于传输业务数据的会话。

可选的，所述接收模块，还用于获取所述用户鉴权的结果；

所述处理模块还用于：当所述用户鉴权的结果指示所述用户鉴权成功时，将所述第一会话的会话属性修改为用于传输业务数据的会话。

可选的，所述接收模块具体用于：接收认证授权计费AAA服务器发送的所述用户鉴权的结果，或者，接收所述终端设备发送的所述用户鉴权的结果；

当所述用户鉴权的结果由所述终端设备发送时，所述处理模块还用于：验证所述用户鉴权的结果有效。

本申请第三方面提供一种会话管理功能实体，包括：

接收器，用于接收会话建立请求消息，所述会话建立请求用于请求为终端设备建立会话；

处理器，用于根据所述会话建立请求消息，确定对使用所述终端设备的用户执行用户鉴权；

发送器，用于向用户面功能实体发送会话建立消息，所述会话建立消息用于为所述终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话；

所述发送器，还用于向所述终端设备发送指示消息，所述指示消息用于指示所述第一会话的会话属性。

可选的，所述接收器，还用于获取所述用户鉴权的结果。相应的，所述处理器还用于：当所述用户鉴权的结果指示所述用户鉴权成功时，删除所述第一会话，并为所述终端设备建立第二会话，其中，所述第二会话的会话属性为用于传输业务数据的会话。

可选的，所述接收器，还用于获取所述用户鉴权的结果。相应的，所述处理器还用于：当所述用户鉴权的结果指示所述用户鉴权成功时，将所述第一会话的会话属性修改为用于传输业务数据的会话。

可选的，所述接收器具体用于：接收认证授权计费AAA服务器发送的所述用户鉴权的结果，或者，接收所述终端设备发送的所述用户鉴权的结果。

当所述用户鉴权的结果有所述终端设备发送时，所述处理器还用于：验证所述用户鉴权的结果有效。

在本申请第一方面至第三方面中，可选的，所述会话建立请求消息中包括以下信息中的至少一种：用户鉴权请求标识、业务信息、签约信息、运营商鉴权指示信息和第三方鉴权指示信息。

在本申请第一方面至第三方面中，可选的，所述会话建立消息中包括所述第一会话的会话属性标识，所述会话属性标识用于指示所述第一会话的会话属性为仅用于传输用户鉴权消息的会话。

本申请第二方面和第三方面提供的会话管理功能实体，可用于执行本申请第一方面提供的方法，其实现方式和有益效果类似，这里不再赘述。

本申请第四方面提供一种用户鉴权方法，包括：终端设备从会话管理功能实体接收指示消息，所述指示消息用于指示第一会话的会话属性为仅用于传输用户鉴权消息的会话，所述终端设备通过所述第一会话发送或接收用户鉴权消息。

本申请第五方面提供一种终端设备，包括：

接收模块，用于从会话管理功能实体接收指示消息，所述指示消息用于指示第一会话的会话属性为仅用于传输用户鉴权消息的会话；

发送模块，用于通过所述第一会话发送用户鉴权消息；

所述接收模块，还用于通过所述第一会话接收用户鉴权消息。

本申请第六方面提供一种终端设备，包括：

接收器，用于从会话管理功能实体接收指示消息，所述指示消息用于指示第一会话的会话属性为仅用于传输用户鉴权消息的会话；

发送器，用于通过所述第一会话发送用户鉴权消息；

所述接收器，还用于通过所述第一会话接收用户鉴权消息。

在本申请第四方面至第六方面中，可选的，所述用户鉴权消息包含于数据包，所述数据包包括消息类型标识，所述消息类型标识用于指示所述数据包包含用户鉴权消息。

本申请第七方面提供一种用户鉴权方法，包括：用户面功能实体从会话管理功能实体接收会话建立消息，所述会话建立消息用于为终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话，所述用户面功能实体通过所述第一会话发送或接收所述终端设备的用户鉴权消息。

可选的，所述用户鉴权消息包含于数据包中，所述数据包包括消息类型标识，所述消息类型标识用于指示所述数据包包含用户鉴权消息。

相应的，所述用户面功能实体通过所述第一会话发送所述终端设备的用户鉴权消息，具体为：

所述用户面功能实体从认证授权计费AAA服务器接收所述终端设备的数据包；

若所述数据包包含所述终端设备的用户鉴权消息，则所述用户面功能实体通过所述第一会话发送所述数据包包含的所述用户鉴权消息。

本申请第八方面提供一种用户面功能实体，包括：

接收模块，用于从会话管理功能实体接收会话建立消息，所述会话建立消息用于为终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话；

发送模块，用于通过所述第一会话发送所述终端设备的用户鉴权消息；

所述接收模块，还用于通过所述第一会话接收所述终端设备的用户鉴权消息。

可选的，所述用户鉴权消息包含于数据包中，所述数据包包括消息类型标识，所述消息类型标识用于指示所述数据包包含用户鉴权消息。

相应的，所述接收模块具体用于：从认证授权计费AAA服务器接收所述终端设备的数据包；

所述发送模块具体用于：若所述数据包包含所述终端设备的用户鉴权消息，则所述用户面功能实体通过所述第一会话发送所述数据包包含的所述用户鉴权消息。

本申请第九方面提供一种用户面功能实体，包括：

接收器，用于从会话管理功能实体接收会话建立消息，所述会话建立消息用于为终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话；

发送器，用于通过所述第一会话发送所述终端设备的用户鉴权消息；

所述接收器，还用于通过所述第一会话接收所述终端设备的用户鉴权消息。

可选的，所述用户鉴权消息包含于数据包中，所述数据包包括消息类型标识，所述消息类型标识用于指示所述数据包包含用户鉴权消息。

相应的，所述接收器具体用于：从认证授权计费AAA服务器接收所述终端设备的数据包；

所述发送器具体用于：若所述数据包包含所述终端设备的用户鉴权消息，则所述用户面功能实体通过所述第一会话发送所述数据包包含的所述用户鉴权消息。

相较于现有技术，本申请提供的方案中，SMF实体在为终端设备建立用于传输业务数据的会话之前，为终端设备建立仅用于传输用户鉴权消息的第一会话，后续终端设备和AAA服务器通过第一会话传输用户鉴权消息，完成用户鉴权，避免非法用户使用终端设备进行通信，加强运营商对用户使用终端设备通信的安全性管理。

附图说明

图1示出了本申请的一种应用场景的示意性架构图；

图2为本申请实施例一提供的用户鉴权方法的信令流程图；

图3为本申请实施例二提供的用户鉴权方法的信令流程图；

图4为本申请实施例三提供的用户鉴权方法的信令流程图；

图5为实施例四提供的SMF实体的结构示意图；

图6为实施例五提供的终端设备的结构示意图；

图7为实施例六提供的UPF实体的结构示意图；

图8为实施例七提供的SMF实体的结构示意图；

图9为实施例八提供的终端设备的结构示意图；

图10为实施例九提供的UPF实体的结构示意图。

具体实施方式

本申请提供一种用户鉴权方法，可以应用于多种通信系统，该通信系统可以为全球移动通讯(Global System of Mobile communication，简称GSM)系统、码分多址(Code Division Multiple Access，简称CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access，简称WCDMA)系统、长期演进(Long Term Evolution，简称LTE)系统或第五代移动通信(5th-Generation，简称5G)系统。

图1示出了本申请的一种应用场景的示意性架构图。如图1所示，5G系统可以包括：终端设备、(无线)接入网((Radio)Access Network，简称(R)AN)、接入和移动性管理功能(Access and Mobility Management Function，简称AMF)实体、会话管理功能(Session Management Function，简称SMF)实体、用户面功能(User Plane Function，简称UPF)实体、鉴权服务器功能(Authentication Server Function，简称AUSF)实体/鉴权信任状存储和处理功能(Authentication Credential Repository and Processing Function，简称ARPF)实体、策略控制功能(Policy Control Function，简称PCF)实体和认证、授权和计费(Authentication,Authorization and Accounting，简称AAA)服务器。

其中，(R)AN负责终端设备的接入。AMF实体主要负责移动性管理、接入管理等服务，相当于LTE系统中移动管理实体(Mobility Management Entity，简称MME)除了会话管理功能外的功能。SMF实体主要负责建立会话、修改会话或释放会话。UPF相当于LTE系统中的分组数据网络网关(Packet Data Network Gateway，简称P-GW)，主要负责会话和承载管理、互联网协议(Internet Protocol，简称IP)地址分配等功能。PCF实体主要负责为网络提供策略。AAA服务器主要负责SIM卡的认证、授权SIM卡可以使用哪些服务以及记录SIM卡使用的网络资源。AAA服务器可以由运营商提供，也可以由第三提供。AUSF是鉴权请求消息的终结点并与ARPF实体交互获得UE的长期安全信任状(long-term security credential)。ARPF实体主要负责存储UE的长期安全信任状。

当本申请的方法应用在LTE系统时，AMF实体和SMF实体可以由MME代替，UPF实体可以由LTE系统中的P-GW和服务网关实体(Serving Gateway，简称S-GW)代替，AUSF实体和ARPF实体由归属网络服务器(Home Subscriber Server，简称为HSS)代替，HSS用于存储签约信息，该签约信息可以是SIM卡或USIM卡的签约信息。其中，MME是信令管理网元，负责非接入层(Non-Access Stratum，简写为“NAS”) 信令加密、为UE分配临时身份标识、选择SGW和PGW等核心网网元、提供漫游、跟踪、安全等功能；SGW是演进型基站(evolved Node B，简称eNB)之间切换的移动性锚点，并提供合法监听相关功能；PGW则负责IP地址分配、方案控制和计费规则的执行以及合法监听相关等功能。

本申请中涉及的终端设备可以是无线终端，无线终端可以是指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其它处理设备。无线终端可以经(R)AN与至少一个核心网进行通信。无线终端可以是移动终端，如移动电话(或称为“蜂窝”电话)和带有移动终端的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语音和/或数据。无线终端也可以称为用户单元(Subscriber Unit)、用户站(Subscriber Station)，移动站(Mobile Station)、移动台(Mobile Station)、远程站(Remote Station)、接入点(Access Point)、远程终端(Remote Terminal)、接入终端(Access Terminal)、用户终端(User Terminal)、用户设备(User Equipment，简称UE)、或用户代理(User Agent)，在此不作限定。

图2为本申请实施例一提供的用户鉴权方法的信令流程图，结合图1和图2，本实施例的方法主要包括以下步骤：

步骤S101、SMF实体接收会话建立请求消息，该会话建立请求用于请求为终端设备建立会话。

本实施例的方法应用在终端设备建立用于传输业务数据的会话之前，终端设备在建立该会话之前，先向AMF实体发送注册请求(registration request)消息，然后与AUSF/ARPF实体间进行双向鉴权，双向鉴权完成后，AMF实体向终端设备发送NAS安全模式命令(Security Mode Command，简称SMC)消息，终端设备向AMF实体发送NAS安全模式完成(Security Mode Complete，简称SMP)消息，AMF实体接收到NAS SMP消息后向终端设备发送注册接受(registration accept)消息。

终端设备注册完成后，向SMF实体发送该会话建立请求消息，通常该会话建立请求消息由AMF实体进行转发。

需明确的是，其中，该会话建立请求消息中可以携带终端设备的标识(ID)。该终端设备的ID可以为签约永久标识(Subscriber Permanent ID)或临时用户标识(Temporary User ID)。终端设备的ID可以用于指示SMF实体为哪个终端设备建立会话，如果该会话建立请求消息中没有携带终端设备的ID，则AMF实体也可以通过注册过程中为终端设备建立的承载来区分是哪个终端设备发来的消息。

可选的，该会话建立请求消息中还携带以下信息中的至少一种：用户鉴权请求标识、业务信息、签约信息、运营商鉴权指示信息和第三方鉴权指示信息。

其中，用户鉴权请求标识用于终端设备请求进行用户鉴权，例如，当该标识置为1时，表明终端设备请求对使用该终端设备的用户进行用户鉴权；当该标识置为0时，表明终端设备未请求对使用该终端设备的用户进行用户鉴权。再例如，当会话建立请求消息中携带该标识就表明终端设备请求对使用该终端设备的用户进行用户鉴权；当会话建立请求消息中未携带该标识就表明终端设备未请求对使用该终端设备的用户进行用户鉴权。

其中，运营商鉴权指示信息用于运营商指示是否执行用户鉴权，例如，运营商可以指定对某些用户执行用户鉴权，该运营商鉴权指示信息可以由运营商来设置。第三方鉴权指示信息用于第三方服务商指示是否执行用户鉴权，例如，第三方服务商根据自己提供的服务决定是否需要执行用户鉴权，该第三方鉴权指示信息可以由第三方服务商来设置。

其中，业务信息可以指的是用户通过上述终端设备发起或接收的业务的信息，具体可以包括以下信息中的一个或多个：服务类型(service type)，接入点名称(access point name，简称APN)，数据网络名称(data network name)，和网络切片选择辅助信息(network slice selection assistance information，简称NSSAI)等。

其中，签约信息可以指的是SIM或USIM卡的签约信息，例如，上述终端设备的SIM卡或USIM的签约信息，属于现有技术，不再赘述。

SMF实体根据业务信息确定是否进行用户鉴权，例如，SMF实体可以选择对某一种服务类型执行用户鉴权，或者，SMF实体选择对某一个APN接入的用户执行用户鉴权。当SMF实体为某个网络切片的SMF实体时，终端设备的会话类型可以由网络切片的类型确定，则会话建立请求消息中可以不需要携带业务信息。

步骤S102、SMF实体根据会话建立请求消息，确定对使用终端设备的用户执行用户鉴权。

其中，用户鉴权是用于验证使用终端设备的用户的合法性，不同于对终端设备或SIM(或USIM)卡的合法性进行鉴权。具体地，SMF实体可以根据会话建立请求消息中获取的用户鉴权请求标识、业务信息、签约信息、运营商鉴权指示信息和第三方鉴权指示信息中的一种或多种，确定是否对用户执行用户鉴权。在一种方式中，若会话建立请求消息中包括用户鉴权请求标识，则SMF实体确定对用户执行用户鉴权。

在另一种方式中，当SMF实体根据上述信息中的多种信息判断是否执行用户鉴权时，只要其中一个信息指示执行用户鉴权，则SMF实体确定执行用户鉴权。例如，当运营商鉴权指示信息指示执行用户鉴权，但是第三方鉴权指示信息指示不执行用户鉴权时，为了保证通信的安全性，SMF实体确定对用户执行用户鉴权。

在再一种方式中，对上述各个信息设置优先权，SMF实体根据优先权最高的信息指示的内容确定是否对用户执行用户鉴权。

以SMF实体根据业务信息确定是否对上述终端设备执行用户鉴权为例，SMF实体根据业务信息可以确定会话的安全性要求，如果会话对安全性要求极高，需要确保用户是终端设备的合法持有者(如公安集群通信或类似通信)，则SMF实体在建立会话前需要确认使用该终端设备的用户身份。如果会话对安全性要求不高，则可以不执行用户鉴权。

需要说明的是，即使会话建立请求消息中不包括用户鉴权请求标识、业务信息、签约信息、运营商鉴权指示信息和第三方鉴权指示信息中的任意一种，SMF实体也可以通过其他方式判断是否执行用户鉴权。例如，SMF实体从PCF实体、HSS、AUSF实体或ARPF实体获取签约信息，根据签约信息确定是否执行用户鉴权，用户可以根据需求开通或者购买某项业务，例如，运营商提供用户鉴权业务，那么用户可以根据需要开通用户鉴权业务，用户开通用户鉴权业务后，用户鉴权业务的相关信息会被存 储在签约信息中，SMF实体从签约信息中可以获知用户开通了用户鉴权业务，则确定执行用户鉴权。或者，SMF实体根据自身所属的网络切片类型确定会话类型，并预先定义了哪些会话类型需要执行用户鉴权，哪些会话类型不需要执行用户鉴权，SMF实体根据确定的会话类型判断是否执行用户鉴权。

如果SMF实体确定执行用户鉴权，则执行步骤S103，如果SMF实体确定不执行用户鉴权，则按照现有的会话建立流程建立用于传输业务数据的会话。

步骤S103、SMF实体向UPF实体发送会话建立消息，会话建立消息用于为终端设备建立第一会话，第一会话的会话属性为仅用于传输用户鉴权消息的会话。

该会话建立消息可以采用现有的会话建立消息，该会话建立消息也可以采用新定义的消息，该新定义的消息与现有的会话建立消息不同，终端设备根据该新定义的消息即可获知该新定义的消息用于建立第一会话。

此外，该会话建立消息中可以携带第一会话的会话属性标识，该会话属性标识用于指示第一会话的会话属性为仅用于传输用户鉴权消息的会话。

可选的，UPF实体收到该会话建立消息后可以将会话ID和会话属性标识进行绑定，后续根据会话ID可以确定会话属性标识，同理，根据会话属性标识也可以确定会话ID。

需要明确的是，本实施例以及下述实施例中，将仅用于传输用户鉴权消息的会话称为第一会话，将用于传输业务数据的会话称为第二会话，第一会话和第二会话可以为同一会话，区别仅在于作用不同，也可以为不同的会话，并不对此构成限制，当然也可以用其他名称区别两种会话。

步骤S104、SMF实体向终端设备发送指示消息，该指示消息用于指示第一会话的会话属性。

该指示消息可以为现有的会话建立完成消息，通过在会话建立完成消息中携带第一会话的会话属性标识显式的指示第一会话的会话属性。该指示消息还可以采用新定义的消息，该新定义的消息不需要携带第一会话的会话属性标识，该新定义的消息本身可以隐式的指示第一会话的会话属性。

相应地，终端设备从SMF实体接收上述指示消息。

步骤S105、终端设备通过第一会话发送或接收用户鉴权消息。

在第一会话建立完成后，终端设备可以通过第一会话向AAA服务器发送用户鉴权消息，或者，接收AAA服务器发送的用户鉴权消息，终端设备和AAA服务器之间传输的用户鉴权消息可以经过UPF实体转发。

需要说明是，终端设备和AAA服务器之间传输的用户鉴权消息可以为一条或多条，上述用户鉴权消息可以是用户鉴权过程中的一条消息，也可以是用户鉴权过程中传输的所有消息的统称。

其中，用户鉴权消息可以包含于数据包中，可选的，该数据包包括消息类型标识，该消息类型标识用于指示该数据包包含用户鉴权消息。UPF实体可以根据该消息类型标识识别该数据包并进行转发。

例如，在下行传输过程中，UPF实体从AAA服务器接收数据包，该数据包包括消息类型标识，UPF实体根据该消息类型标识确定该数据包包含用户鉴权消息，则 UPF实体通过第一会话发送该数据包包含的用户鉴权消息。

可选的，UPF实体也可以对于第一会话中需要转发的数据包的IP地址进行解析，如果数据包的IP地址不是AAA服务器，则UPF实体会将数据包丢弃，如果数据包的IP地址是AAA服务器，则UPF实体将该数据包转发给AAA服务器。

可选的，如果UPF实体在建立第一会话时将会话ID和会话属性标识进行了绑定，UPF实体在第一会话上接收到数据包，则可以获知数据包的会话ID，根据该绑定关系和会话ID，UPF实体可以确定第一会话的会话属性标识，进而根据第一会话的会话属性标识转发数据包，如果第一会话的会话属性标识指示第一会话的会话属性为仅用于传输用户鉴权消息的会话，则UPF实体将数据包转发给AAA服务器。

本实施例并不对用户鉴权方法进行限制，不同的用户鉴权方法的流程可能不同，用户鉴权消息中携带的鉴权数据也不同。例如，终端设备向AAA服务器发送用户鉴权请求，该用户鉴权请求通过第一会话传输，AAA服务器收到用户鉴权请求后将待签名数据携带在鉴权消息中发送给终端设备，同时需要在鉴权消息中携带AAA服务器的验证数据，AAA服务器的验证数据可以为AAA服务器根据终端设备的注册信息生成的哈希值，AAA服务器的验证数据用于终端设备验证AAA服务器的合法性。终端设备收到AAA服务器发送的鉴权消息后，先确认鉴权消息的合法性，比如鉴权消息中携带的哈希值是否与终端设备注册时的哈希值一致，如果鉴权消息中携带的哈希值与终端设备注册时的哈希值一致，则确定鉴权消息合法有效。在确定鉴权消息合法后，终端设备的用户向AAA服务器提供生物信息进行验证，该生物信息可以是用户的指纹、声音、虹膜等信息。在上述验证通过后，终端设备对待签名数据进行处理，比如用自己的私钥对待签名数据进行签名，然后发回给AAA服务器，从而完成用户鉴权。

另外，用户鉴权过程中传输的用户鉴权消息可以是通过用户面(User plane)传输，用户面传输需要建立安全传输通道以保证传输数据的安全性，该安全传输通道可以基于互联网协议安全(Internet Protocol Security，简称IPSec)。因此，即使UPF实体对用户鉴权消息进行转发，其也无法解析数据包的具体内容。当然，终端设备和AAA服务器也可以使用终端设备在注册期间由双方约定的密钥对鉴权数据进行加密，防止安全传输通道遭到破坏导致鉴权数据泄露。

可选地，上述方法还包括：

SMF实体获取用户鉴权的结果，当用户鉴权的结果指示用户鉴权成功时，SMF实体可以删除第一会话，并为终端设备建立第二会话，第二会话的会话属性为用于传输业务数据的会话。

进一步地，终端设备可以通过第二会话传输业务数据，在传输业务数据的过程中不再需要进行用户鉴权。

可选地，上述方法还包括：SMF实体获取用户鉴权的结果，当用户鉴权的结果指示用户鉴权成功时，SMF实体将第一会话的会话属性修改为用于传输业务数据的会话。

进一步地，终端设备可以通过修改后的第一会话传输业务数据。

本实施例中，SMF实体在为终端设备建立用于传输业务数据的会话之前，接收会话建立请求消息，根据会话建立请求消息，确定对使用终端设备的用户执行用户鉴权， 并向UPF实体发送会话建立消息，该会话建立消息用于为终端设备建立第一会话，第一会话的会话属性为仅用于传输用户鉴权消息的会话，后续终端设备和AAA服务器通过第一会话传输用户鉴权消息，完成用户鉴权，避免非法用户使用终端设备进行通信，加强运营商对用户使用终端设备通信的安全性管理。

在实施例一的基础上，图3为本申请实施例二提供的用户鉴权方法的信令流程图，如图3所示，本实施例的方法包括以下步骤：

步骤S201、终端设备向AMF实体发送注册请求消息。

步骤S202、终端设备和AUSF/ARPF实体进行双向鉴权。

步骤S203、AMF实体向终端设备发送NAS SMC消息。

步骤S204、终端设备向AMF实体发送NAS SMP消息。

步骤S205、AMF实体向终端设备发送注册接受消息。

步骤S201-S205为现有技术，这里不再赘述。

需要说明的是，S201-S205和S206以后的步骤仅表示双向鉴权(即签约信息鉴权)和用户鉴权的相对关系位置关系，即双向鉴权发生在用户鉴权之前，S205和S206之间可能有其他消息，这里不做限定。

步骤S206、终端设备向SMF实体发送第一会话建立请求消息，该第一会话建立请求消息用于请求为终端设备建立会话。

可选的，该第一会话建立请求消息中包括以下信息中的至少一种：用户鉴权请求标识、业务信息、签约信息、运营商鉴权指示信息和第三方鉴权指示信息。

步骤S207、SMF实体根据该第一会话建立请求消息，确定对使用终端设备的用户执行用户鉴权。

步骤S208、SMF实体向UPF实体发送第一会话建立消息，该第一会话建立消息用于为终端设备建立第一会话。

其中，第一会话的会话属性为仅用于传输用户鉴权消息的会话。该第一会话建立消息中包括终端设备的标识和/或会话ID，用于标识该第一会话为终端设备的会话。

可选的，该第一会话建立消息中包括第一会话的会话属性标识，该会话属性标识用于指示第一会话的会话属性为仅用于传输用户鉴权消息的会话。

步骤S209、UPF实体向SMF实体发送第一会话建立响应。

步骤S210、SMF实体向终端设备发送第一会话建立完成消息。

该第一会话建立完成消息可以用于指示终端设备第一会话建立完成，以及第一会话的会话属性。

可选的，该第一会话建立完成消息中包括第一会话的会话属性标识。

步骤S211、终端设备和AAA服务器通过第一会话传输用户鉴权消息，进行用户鉴权。

用户鉴权消息可以由UPF实体进行转发。

步骤S206和步骤S211的具体实现方式参照上述实施例一的相关描述，这里不再赘述。

步骤S212、AAA服务器向SMF实体发送用户鉴权的结果。

AAA服务器可以通过第一会话将用户鉴权的结果发送给SMF实体，在通过第一会话发送用户鉴权的结果时，携带用户鉴权的结果的消息可能由UPF实体进行转发。在用户鉴权过程中用户鉴权消息都进行了加密，UPF实体无法解析用户鉴权消息获取其携带的内容。本步骤中由于SMF实体需要根据用户鉴权的结果接受或拒绝终端设备的会话建立请求，SMF实体需要获取用户鉴权的结果，因此，携带用户鉴权的结果的消息必须是不加密的或SMF实体可识别的。当携带用户鉴权的结果的消息加密时，可以在数据包的包头位置携带鉴权成功的指示，SMF实体根据鉴权成功的指示确定用户鉴权成功。可选的，用户鉴权的结果也可以通过信令消息由AAA或UPF实体通知SMF实体。

步骤S213、当用户鉴权的结果指示用户鉴权成功时，SMF实体向终端设备发送会话删除重建请求。

该会话删除重建请求用于指示终端设备删除第一会话，并建立第二会话。可选的，该会话删除重建请求中可以携带第一会话的标识，第一会话的标识用于指示终端设备删除第一会话，并建立第二会话。当用户鉴权的结果指示用户鉴权失败时，则SMF实体向终端设备发送会话建立失败消息，拒绝终端设备建立会话。该消息起到的作用是删除当前会话，并重新建立一条新的会话，可以是上述会话删除重建请求消息，也可以是其他起到类似功能的消息，此处不做限制。

步骤S214、SMF实体向UPF实体发送会话删除消息。

该会话删除消息用于指示UPF实体删除第一会话，该会话删除消息中携带有终端设备的ID和/或会话ID，因此，UPF实体根据终端设备的ID和/或会话ID即可获知要删除的会话为该第一会话。

步骤S215、UPF实体向SMF实体发送会话删除响应。

步骤S216、终端设备向SMF实体发送第二会话建立请求消息，第二会话建立请求消息用于请求建立第二会话。

终端设备收到该会话删除重建请求后，根据该会话删除重建请求删除第一会话，并向SMF实体发送第二会话建立请求消息。

步骤S217、SMF实体向UPF实体发送第二会话建立消息，第二会话建立消息用于建立第二会话。

SMF实体收到第二会话建立请求消息后，获知终端设备请求建立第二会话，则向UPF实体发送第二会话建立消息。

步骤S218、UPF实体向SMF实体发送第二会话建立响应。

步骤S219、SMF实体向终端设备发送第二会话建立请求响应。

第二会话建立请求响应用于通知终端设备第二会话建立完成。

本实施例中，通过步骤S213至S219删除第一会话并为终端设备建立第二会话。需要说明的是，第二会话的建立流程并不限于上述流程，SMF实体也可以不执行步骤S213和S217，直接通知UPF实体删除第一会话，再删除第一会话后，为终端设备建立第二会话，第二会话建立完成后，通知终端设备删除第一会话，以及通知终端设备已建立了第二会话。这里，S213和S214的执行顺序也不做限定，可以先执行S213再执行S214，也可以先执行S214再执行S213。同理，S216和S214间的执行顺序也 不做限定。

在实施例一的基础上，图4为本申请实施例三提供的用户鉴权方法的信令流程图，如图4所示，本实施例的方法包括以下步骤：

步骤S301、终端设备向AMF实体发送注册请求消息。

步骤S302、终端设备和AUSF/ARPF实体进行双向鉴权。

步骤S303、AMF实体向终端设备发送NAS SMC消息。

步骤S304、终端设备向AMF实体发送NAS SMC消息。

步骤S305、AMF实体向终端设备发送注册接受消息。

步骤S306、终端设备向SMF发送第一会话建立请求消息，该第一会话建立请求消息用于请求为终端设备建立会话。

可选的，该第一会话建立请求消息中包括以下信息中的至少一种：用户鉴权请求标识、业务信息、签约信息、运营商鉴权指示信息和第三方鉴权指示信息。

步骤S307、SMF实体根据该第一会话建立请求消息，确定对使用终端设备的用户执行用户鉴权。

步骤S308、SMF实体向UPF实体发送第一会话建立消息，该第一会话建立消息用于为终端设备建立第一会话。

第一会话的会话属性为仅用于传输用户鉴权消息的会话。

步骤S309、UPF实体向SMF实体发送第一会话建立响应。

步骤S310、SMF实体向终端设备发送第一会话建立完成消息。

步骤S311、终端设备和AAA服务器通过第一会话传输用户鉴权消息，进行用户鉴权。

步骤S312、AAA服务器向SMF实体发送用户鉴权的结果。

步骤S313、当用户鉴权的结果指示用户鉴权成功时，SMF实体向终端设备发送会话删除重建请求。

其中，步骤S301-S313与实施例二中步骤S201-S213的实现方式相同，这里不再赘述。

步骤S314、终端设备向SMF实体发送第二会话建立请求消息，第二会话建立请求消息用于请求建立会话。

步骤S315、SMF实体向UPF实体发送会话修改消息。

该会话修改消息用于修改第一会话的属性，可选的，该会话修改消息中包括以下标识中的至少一个：终端设备的ID、会话ID和目标会话属性标识。目标会话属性标识用于表示第一会话为用于传输业务数据的会话，修改前的会话属性指示第一会话为仅用于传输用户鉴权消息的会话，修改后的会话属性指示第一会话为用于传输业务数据的会话。UPF实体根据终端设备的ID、会话ID和目标会话属性标识中的一个或多个修改会话属性。当该会话修改消息中不包括目标会话属性标识时，UPF实体收到会话修改消息后，默认将第一会话的会话属性修改为用于传输业务数据的会话。

步骤S316、UPF实体向SMF实体发送会话修改响应。

步骤S317、SMF实体向终端设备发送第二会话建立请求响应。

第二会话建立请求响应用于通知终端设备会话建立完成。

在实施例二和实施例三中，AAA服务器将用户鉴权的结果发送给SMF实体，SMF实体根据用户鉴权的结果能够获知鉴权是否成功，即用户鉴权的结果对SMF实体是可见的。

在其他可能的实现方式中，AAA服务器可以将用户鉴权的结果发送给终端设备，用户鉴权的结果对UPF实体和SMF实体是不可见的。终端设备接收到用户鉴权的结果后，可以向SMF实体发送用户鉴权完成消息，该用户鉴权完成消息中包括用户鉴权的结果，SMF实体验证用户鉴权的结果有效。例如，SMF实体向AAA服务器发送鉴权结果获取请求，该鉴权结果获取请求用于请求终端设备的用户鉴权的结果，该鉴权结果获取请求中包括终端设备的ID，AAA服务器根据终端设备的ID，将终端设备的ID对应的用户鉴权的结果发送给SMF实体，SMF实体比较终端设备发送的用户鉴权的结果与AAA服务器发送的用户鉴权的结果是否相同，当终端设备发送的用户鉴权的结果与AAA服务器发送的用户鉴权的结果相同时，确定用户鉴权的结果有效。在确定用户鉴权的结果有效后，SMF实体可以按照上述实施例中的方法删除第一会话，建立第二会话，或者修改第一会话的属性。

图5为实施例四提供的SMF实体的结构示意图，如图5所示，该SMF实体包括：

接收模块11，用于接收会话建立请求消息，所述会话建立请求用于请求为终端设备建立会话；

处理模块12，用于根据所述会话建立请求消息，确定对使用所述终端设备的用户执行用户鉴权；

发送模块13，用于向用户面功能实体发送会话建立消息，所述会话建立消息用于为所述终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话；

所述发送模块13，还用于向所述终端设备发送指示消息，所述指示消息用于指示所述第一会话的会话属性。

可选的，所述接收模块11，还用于获取所述用户鉴权的结果。相应的，所述处理模块12还用于：当所述用户鉴权的结果指示所述用户鉴权成功时，删除所述第一会话，并为所述终端设备建立第二会话，其中，所述第二会话的会话属性为用于传输业务数据的会话。或者，当所述用户鉴权的结果指示所述用户鉴权成功时，将所述第一会话的会话属性修改为用于传输业务数据的会话。

可选的，所述接收模块11具体用于：接收认证授权计费AAA服务器发送的所述用户鉴权的结果，或者，接收所述终端设备发送的所述用户鉴权的结果。

当所述用户鉴权的结果由所述终端设备发送时，所述处理模块12还用于：验证所述用户鉴权的结果有效。

本实施例的SMF实体可用于执行上述实施例一至实施例三中SMF实体执行的步骤，具体实现方式和技术效果类似，这里不再赘述。

图6为实施例五提供的终端设备的结构示意图，如图6所示，该终端设备包括：

接收模块21，用于从会话管理功能实体接收指示消息，所述指示消息用于指示第一会话的会话属性为仅用于传输用户鉴权消息的会话；

发送模块22，用于通过所述第一会话发送用户鉴权消息；

所述接收模块21，还用于通过所述第一会话接收用户鉴权消息。

可选的，所述用户鉴权消息包含于数据包，所述数据包包括消息类型标识，所述消息类型标识用于指示所述数据包包含用户鉴权消息。

本实施例的终端设备，可用于执行上述实施例一至实施例三中终端设备执行的步骤，具体实现方式和技术效果类似，这里不再赘述。

图7为实施例六提供的UPF实体的结构示意图，如图7所示，该UPF实体包括：

接收模块31，用于从会话管理功能实体接收会话建立消息，所述会话建立消息用于为终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话；

发送模块32，用于通过所述第一会话发送所述终端设备的用户鉴权消息；

所述接收模块31，还用于通过所述第一会话接收所述终端设备的用户鉴权消息。

可选的，所述用户鉴权消息包含于数据包中，所述数据包包括消息类型标识，所述消息类型标识用于指示所述数据包包含用户鉴权消息。

相应的，所述接收模块31具体用于：从认证授权计费AAA服务器接收所述终端设备的数据包，所述发送模块32具体用于：若所述数据包包含所述终端设备的用户鉴权消息，则所述用户面功能实体通过所述第一会话发送所述数据包包含的所述用户鉴权消息。

本实施例的UPF实体，可用于执行上述实施例一至实施例三中UPF实体执行的步骤，具体实现方式和技术效果类似，这里不再赘述。

图8为实施例七提供的SMF实体的结构示意图，如图8所示，该SMF实体包括：处理器41、存储器42、发送器43和接收器44，存储器42、发送器43和接收器44通过系统总线与处理器41连接并通信，存储器42用于存储计算机程序，发送器43用于向其他设备发送数据，接收器44用于接收其他设备发送的数据，处理器41用于运行存储器42中存储的程序，以使SMF实体执行上述实施例一至实施例三中UPF实体执行的步骤，具体实现方式和技术效果类似，这里不再赘述。

图9为实施例八提供的终端设备的结构示意图，如图9所示，该终端设备包括：处理器51、存储器52、发送器53和接收器54，存储器52、发送器53和接收器54通过系统总线与处理器51连接并通信，存储器52用于存储计算机程序，发送器53用于向其他设备发送数据，接收器54用于接收其他设备发送的数据，处理器51用于运行存储器52中存储的程序，以使终端设备执行上述实施例一至实施例三中终端设备执行的步骤，具体实现方式和技术效果类似，这里不再赘述。

图10为实施例九提供的UPF实体的结构示意图，如图10所示，该UPF实体包 括：处理器61、存储器62、发送器63和接收器64，存储器62、发送器63和接收器64通过系统总线与处理器61连接并通信，存储器62用于存储计算机程序，发送器63用于向其他设备发送数据，接收器64用于接收其他设备发送的数据，处理器61用于运行存储器62中存储的程序，以使UPF实体执行上述实施例一至实施例三中UPF实体执行的步骤，具体实现方式和技术效果类似，这里不再赘述。

可以理解，本申请提到的处理器可以是中央处理器(CPU)，通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)，现场可编程门阵列(FPGA)或者其他可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。其可以实现或执行结合申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。

本申请中提到的总线可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外部设备互连(Peripheral Component，PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，本申请附图中的总线并不限定仅有一根总线或一种类型的总线。

本申请中提到的通信接口可以包括单独的发送器和单独的接收器，也可以是发送器和接收器集成一体。通信接口可以在相应的处理器的指示下工作。可选的，发送器可以对应物理设备中发射机，接收器可以对应物理设备中的接收机。

另外，需要说明的是，应理解以上网络切片的管理装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

Claims (24)

1. 一种用户鉴权方法，其特征在于，包括：

   会话管理功能实体接收会话建立请求消息，所述会话建立请求用于请求为终端设备建立会话；

   所述会话管理功能实体根据所述会话建立请求消息，确定对使用所述终端设备的用户执行用户鉴权；

   所述会话管理功能实体向用户面功能实体发送会话建立消息，所述会话建立消息用于为所述终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话；

   所述会话管理功能实体向所述终端设备发送指示消息，所述指示消息用于指示所述第一会话的会话属性。
2. 根据权利要求1所述的方法，其特征在于，所述会话建立请求消息中包括以下信息中的至少一种：用户鉴权请求标识、业务信息、签约信息、运营商鉴权指示信息和第三方鉴权指示信息。
3. 根据权利要求1或2所述的方法，其特征在于，所述会话建立消息中包括所述第一会话的会话属性标识，所述会话属性标识用于指示所述第一会话的会话属性为仅用于传输用户鉴权消息的会话。
4. 根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

   所述会话管理功能实体获取所述用户鉴权的结果；

   当所述用户鉴权的结果指示所述用户鉴权成功时，所述会话管理功能实体删除所述第一会话，并为所述终端设备建立第二会话；

   其中，所述第二会话的会话属性为用于传输业务数据的会话。
5. 根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

   所述会话管理功能实体获取所述用户鉴权的结果；

   当所述用户鉴权的结果指示所述用户鉴权成功时，所述会话管理功能实体将所述第一会话的会话属性修改为用于传输业务数据的会话。
6. 根据权利要求4或5所述的方法，其特征在于，所述会话管理功能实体获取所述用户鉴权的结果，包括：

   所述会话管理功能实体接收认证授权计费AAA服务器发送的所述用户鉴权的结果。
7. 根据权利要求4或5所述的方法，其特征在于，所述会话管理功能实体获取所述用户鉴权的结果，包括：

   所述会话管理功能实体接收所述终端设备发送的所述用户鉴权的结果；

   在所述会话管理功能实体获取所述用户鉴权的结果之后，所述方法还包括：

   所述会话管理功能实体验证所述用户鉴权的结果有效。
8. 一种用户鉴权方法，其特征在于，包括：

   终端设备从会话管理功能实体接收指示消息，所述指示消息用于指示第一会话的会话属性为仅用于传输用户鉴权消息的会话；

   所述终端设备通过所述第一会话发送或接收用户鉴权消息。
9. 根据权利要求8所述的方法，其特征在于，所述用户鉴权消息包含于数据包，所述数据包包括消息类型标识，所述消息类型标识用于指示所述数据包包含用户鉴权消息。
10. 一种用户鉴权方法，其特征在于，包括：

    用户面功能实体从会话管理功能实体接收会话建立消息，所述会话建立消息用于为终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话；

    所述用户面功能实体通过所述第一会话发送或接收所述终端设备的用户鉴权消息。
11. 根据权利要求10所述的方法，其特征在于，所述用户鉴权消息包含于数据包中，所述数据包包括消息类型标识，所述消息类型标识用于指示所述数据包包含用户鉴权消息。
12. 根据权利要求11所述的方法，其特征在于，所述用户面功能实体通过所述第一会话发送所述终端设备的用户鉴权消息，包括：

    所述用户面功能实体从认证授权计费AAA服务器接收所述终端设备的数据包；

    若所述数据包包含所述终端设备的用户鉴权消息，则所述用户面功能实体通过所述第一会话发送所述数据包包含的所述用户鉴权消息。
13. 一种会话管理功能实体，其特征在于，包括：

    接收器，用于接收会话建立请求消息，所述会话建立请求用于请求为终端设备建立会话；

    处理器，用于根据所述会话建立请求消息，确定对使用所述终端设备的用户执行用户鉴权；

    发送器，用于向用户面功能实体发送会话建立消息，所述会话建立消息用于为所述终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话；

    所述发送器，还用于向所述终端设备发送指示消息，所述指示消息用于指示所述第一会话的会话属性。
14. 根据权利要求13所述的实体，其特征在于，所述会话建立请求消息中包括以下信息中的至少一种：用户鉴权请求标识、业务信息、签约信息、运营商鉴权指示信息和第三方鉴权指示信息。
15. 根据权利要求13或14所述的实体，其特征在于，所述会话建立消息中包括所述第一会话的会话属性标识，所述会话属性标识用于指示所述第一会话的会话属性为仅用于传输用户鉴权消息的会话。
16. 根据权利要求13-15任一项所述的实体，其特征在于，所述接收器，还用于获取所述用户鉴权的结果；

    所述处理器还用于：当所述用户鉴权的结果指示所述用户鉴权成功时，删除所述第一会话，并为所述终端设备建立第二会话；

    其中，所述第二会话的会话属性为用于传输业务数据的会话。
17. 根据权利要求13-15任一项所述的实体，其特征在于，所述接收器，还用于 获取所述用户鉴权的结果；

    所述处理器还用于：当所述用户鉴权的结果指示所述用户鉴权成功时，将所述第一会话的会话属性修改为用于传输业务数据的会话。
18. 根据权利要求16或17所述的实体，其特征在于，所述接收器具体用于：接收认证授权计费AAA服务器发送的所述用户鉴权的结果。
19. 根据权利要求16或17所述的实体，其特征在于，所述接收器具体用于：接收所述终端设备发送的所述用户鉴权的结果；

    所述处理器还用于：验证所述用户鉴权的结果有效。
20. 一种终端设备，其特征在于，包括：

    接收器，用于从会话管理功能实体接收指示消息，所述指示消息用于指示第一会话的会话属性为仅用于传输用户鉴权消息的会话；

    发送器，用于通过所述第一会话发送用户鉴权消息；

    所述接收器，还用于通过所述第一会话接收用户鉴权消息。
21. 根据权利要求20所述的终端设备，其特征在于，所述用户鉴权消息包含于数据包，所述数据包包括消息类型标识，所述消息类型标识用于指示所述数据包包含用户鉴权消息。
22. 一种用户面功能实体，其特征在于，包括：

    接收器，用于从会话管理功能实体接收会话建立消息，所述会话建立消息用于为终端设备建立第一会话，所述第一会话的会话属性为仅用于传输用户鉴权消息的会话；

    发送器，用于通过所述第一会话发送所述终端设备的用户鉴权消息；

    所述接收器，还用于通过所述第一会话接收所述终端设备的用户鉴权消息。
23. 根据权利要求22所述的实体，其特征在于，所述用户鉴权消息包含于数据包中，所述数据包包括消息类型标识，所述消息类型标识用于指示所述数据包包含用户鉴权消息。
24. 根据权利要求23所述的实体，其特征在于，所述接收器具体用于：

    从认证授权计费AAA服务器接收所述终端设备的数据包；

    所述发送器具体用于：若所述数据包包含所述终端设备的用户鉴权消息，则所述用户面功能实体通过所述第一会话发送所述数据包包含的所述用户鉴权消息。

Images