WO2019017836A1

WO2019017836A1 - 一种会话处理方法及设备

Info

Publication number: WO2019017836A1
Application number: PCT/SG2017/050367
Authority: WO
Inventors: 李漓春; 雷中定; 张博
Original assignee: 华为国际有限公司
Priority date: 2017-07-20
Filing date: 2017-07-20
Publication date: 2019-01-24
Also published as: EP3565371A4; BR112020001139A2; US20200053165A1; JP2020527315A; CN110199513A; CN110199513B; JP6926317B2; EP4325988A1; US11425202B2; EP3565371A1

Abstract

摘要本发明实施例提供一种会话处理方法及设备，涉及通信领域， DN 可以根据监测到的异常情控制 PDU session 的删除和修改，实现有效的访问控制。包括：数据网络网元接收会话管理功能网元 SMF 发送的数据网络访问请求；数据网络访问请求包括用户设备 UE 的标识以及 UE 将使用的会话地址；数据网络网元向 SMF 发送响应消息，响应消息指示允许 UE 访问数据网络，以便 SMF 建立 UE 的会话；数据网络网元根据会话地址或 UE 的标识检测到需要处理 UE 的会话，生成会话处理请求，利用会话处理请求指示 SMF 处理 UE 的会话。

Description

一种会话处理方法及设备

技术领域

本申请涉及通信领域，尤其涉及一种会话处理方法及设备。

背景技术

用户设备如上文所述， UE ( u ser equipment , UE ) 在接入 5G 网络时，第三代合作伙伴计划 ( 3rd generation partnership project , 3 GPP ) 网络首先要对 UE进行首要认证。一个 UE通过了首要认证后，才可以接入 3 GPP 网络，进一步向 3 GPP 网络请求建立与数据网络（ data network , DN ) 之间的数据包 ( acket data unit , PDU ) 会话（ ses sion ) , 以访问 DN。另夕卜，在 UE 访问 DN 时， DN还可能需要对 UE 进行二次认证和 /或授权。 UE 只有通过了这一认证和 /或 4受权，才准许建立 PDU ses sion。

现有技术已经支持 DN对 UE进行认证和授权，但不支持 DN对 UE授权进行修改和取消，即不支持 DN触发 PDU session的删除和修改。如此， DN 如果检测到已经接入 DN 的某个 UE (即 3 GPP 网络已经为该 UE 建立了 PDU ses sion)为恶意或非法 UE , 但是 DN也无法终止这些 UE访问 DN ; 又如， UE 在 DN的签约取消或变更（或者 UE的信任度变化）后， DN无法相应地触发 UE 的 PDU session 的权限撤销和修改。可见， DN这一功能的缺失会带来安全风险和网络资源的滥用，无法实现有效的访问控制。

发明内容

本发明的实施例提供一种会话控制方法及设备， DN可以根据监测到的异常情控制 PDU ses sion的删除和修改，实现有效的访问控制。

为达到上述目的，本发明的实施例釆用如下技术方案：

第一方面，公开了一种会话处理方法，包括：

会话管理功能网元 S MF接收来自 UE 的会话建立请求，进而确定 UE 的会话将使用的会话地址；进一步， S MF 向 DN 中的数据网络网元发送数据网络访问请求，该请求包括上述会话地址以及 UE 的标识，可以指示数据网络网元对 UE进行认证和 /或授权。当数据网络网元对 UE认证和 /或授权后， SMF 可以接收数据网络网元发送的响应消息，该消息指示允许 UE访问数据网络，即 UE认证成功和 /或授权成功。那么， SMF可以建立 UE的会话。

本发明实施例提供的会话处理方法， S MF预先确定 UE 的会话地址，在 DN认证 UE或授权 UE时， SMF向数据网络网元提供该会话地址以及 UE 的标识，随后再根据该会话地址为 UE 建立会话。如此，当数据网络网元检测到需要处理 UE 的会话（如：该会话的流量发生变化）时，数据网络网元可以根据接收到的会话地址或用户的标识关联到 UE的会话，向 SMF或 PCF发送请求触发对该会话的处理。

结合第一方面，在第一方面的第一种可能的实现方式中， SMF 建立 UE 的会话之后，方法还包括： SMF接收由数据网络网元触发的会话处理请求，根据该会话处理请求处理 UE的会话。

现有技术 DN无法触发对会话的处理，而本发明实施例中， DN的数据网络可以通过上述方式触发对会话的处理，实现有效的访问控制。

结合第一方面以及第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，确定 UE 的会话将使用的会话地址具体包括：如果将要为 UE建立的会话类型是以太网类型，那么 UE会将自己的以太网地址增加到会话建立请求中，那么 S MF解析会话建立请求，可以获得会话建立请求中的 UE 的以太网地址，并将该以太网地址作为会话地址；当然， SMF 也可以为 UE分配会话地址，当将要为 UE建立的会话类型是 IP类型， SMF为 UE 分配 IP地址作为会话地址；或， S MF为 UE分配 IP前缀作为会话地址；当将要为 UE建立的会话类型是非结构化类型， SMF为用户面功能网元 UPF分配隧道 IP地址作为会话地址；或者， S MF为 UPF分配隧道 IP前缀作为会话地址。

如此， SMF可以确定 UE将要使用的会话地址，从而可以将该会话地址发送给数据网络网元后，数据网络网元可以对该会话进行监控。

结合第一方面以及以及以上第一方面的任意一种可能的实现方式，在第一方面的第三种可能的实现方式中，数据网络访问请求为认证请求，响应消息为认证响应消息，认证响应消息携带认证成功标识。

也就是说， SMF在为 UE建立会话之前，可以对 UE进行认证，在 UE的认证结果为成功时才为 UE建立会话。如此，可以保证 UE的合法性，避免为非法 UE建立会话，提高网络通信的安全性。

结合第一方面以及以及以上第一方面的任意一种可能的实现方式，在第一方面的第四种可能的实现方式中，数据网络访问请求为认证请求，响应消息为认证响应消息；认证请求携带授权请求标识，认证响应消息携带认证成功标识以及 4受权成功标识。

也就是说， S MF在为 UE 建立会话之前，可以对 UE 进行认证和授权，在 UE认证成功且授权成功时才为 UE建立会话。如此，可以保证 UE的合法性，避免为非法 UE建立会话，提高网络通信的安全性。

结合第一方面以及以及以上第一方面的任意一种可能的实现方式，在第一方面的第五种可能的实现方式中，数据网络访问请求为授权请求，响应消息为授权响应消息；授权响应消息携带授权成功标识。

也就是说， SMF在为 UE建立会话之前，可以对 UE进行授权，在 UE授权成功时才为 UE建立会话。如此，可以保证 UE 的合法性，避免为非法 UE 建立会话，提高网络通信的安全性。

结合第一方面以及以及以上第一方面的任意一种可能的实现方式，在第一方面的第六种可能的实现方式中， S MF接收由数据网络网元触发的会话处理请求具体包括：接收数据网络网元发送的第一会话处理请求；或，接收策略控制功能网元发送的第三会话处理请求，第三会话处理请求是策略控制功能网元接收数据网络网元发送的第二会话处理请求后向 SMF发送的。

也就是说，数据网络网元可以通过两种方式触发 SMF对 UE的会话进行处理，数据网络网元可以直接通知 SMF对 UE的会话进行处理，数据网络网元也可以通知策略控制功能网元 PCF , 由 PCF通知 S MF对 UE的会话进行处理。

结合第一方面以及以及以上第一方面的任意一种可能的实现方式，在第一方面的第六种可能的实现方式中，根据会话处理请求处理 UE的会话包括：删除 UE的会话或修改 UE的会话。

其中，删除 UE的会话即释放为 UE建立的会话，删除该会话的资源。修改 UE的会话，可以是修改该会话的权限，如：增加允许 UE通过该会话访问的网元。

第二方面，公开了一种会话处理方法，包括：

数据网络网元接收 SMF发送的数据网络访问请求，该请求包括 UE的标识以及 UE将使用的会话地址；进一步，数据网络网元可以对 UE进行认证和 /或授权，随后数据网络网元向 SMF 发送响应消息， S MF 根据响应消息获知允许 UE访问数据网络后，建立 UE的会话。当数据网络网元根据会话地址或 UE的标识检测到需要处理 UE的会话，生成会话处理请求，利用会话处理请求指示 SMF处理 UE的会话。

结合第二方面，在第二方面的第一种可能的实现方式中，数据网络访问请求为认证请求，响应消息为认证响应消息，认证响应消息携带认证成功标识。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第二种可能的实现方式中，数据网络访问请求为认证请求，响应消息为认证响应消息；认证请求携带授权请求标识，认证响应消息携带认证成功标识以及 4受权成功标识。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第三种可能的实现方式中，数据网络访问请求为授权请求，响应消息为授权响应消息；授权响应消息携带授权成功标识。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第四种可能的实现方式中，数据网络网元根据会话地址或 UE 的标识检测到需要处理 UE的会话具体包括：监测到 UE为异常接入状态，则确定需要处理 UE 的标识对应的会话；异常接入状态至少包括： UE 为非法 UE、 UE的签约情况发生变化以及 UE的信任度发生变化中的任意一种；或，监测到会话地址对应的流量发生变化，则确定需要处理会话地址对应的会话。

如此，数据网络网元可以根据接收到的会话地址或标识关联到一个会话，进而可以触发对该会话的处理。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第五种可能的实现方式中，数据网络网元检测到需要处理 UE 的会话之前，方法还包括：通过 UE的会话接收 UE发送的认证请求，对 UE进行认证。

也就是说，在为 UE建立会话之后，还可以对 UE进行认证，以确保 UE 的合法性。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第六种可能的实现方式中，数据网络网元根据 UE 的标识检测到需要处理 UE的会话具体包括：若对 UE进行认证的认证结果为认证成功，则确定需要修改 UE的标识对应的会话，提高 UE利用 UE的会话进行数据传输时的最大传输速率和 /或使得 UE 可以利用 UE 的会话访问除数据网络网元外的其他网元。

也就是说，数据网络网元可以根据认证结果确定具体对 UE 的会话进行何种处理，在此之前为 UE建立会话的权限是仅允许 UE访问该数据网络网元，当 UE认证成功， UE需要通过该会话访问其他网元，因此需要扩大该会话的权限，当然也可以提高该会话传输速率的门限。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第七种可能的实现方式中，数据网络网元根据 UE 的标识检测到需要处理 UE的会话具体包括：若对 UE进行认证的认证结果为认证失败，则确定需要删除 UE的标识对应的会话。

也就是说，数据网络网元可以根据认证结果确定具体对 UE 的会话进行何种处理，当 UE认证失败，说明该 UE可能是非法 UE , 那么为了避免网络资源的浪费，可以释放该 UE建立的会话。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第八种可能的实现方式中，数据网络网元根据 UE 的标识检测到需要处理 UE 的会话具体包括：数据网络网元在接收数据网络访问请求之后启动定时器，定时器确定的第一时间窗内未接收到 UE通过 UE的会话发送的数据包，则确定需要删除 UE的标识对应的会话；或，数据网络网元在向 S MF 发送响应消息之后启动定时器，在定时器确定的第二时间窗内未接收到 UE 通过 UE的会话发送的数据包，则确定需要删除 UE的标识对应的会话。虽然已经为 UE 建立了会话，但是 UE 并未使用该会话传输 PDU , 则可以释放为该 UE 建立的会话。具体地，预先启动定时器，当定时器超时时还未收到 UE通过该会话传输的 PDU , 则认为 UE并未使用该会话传输 PDU。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第九种可能的实现方式中，数据网络网元生成会话处理请求，利用会话处理请求指示 SMF处理 UE的会话具体包括：向 SMF发送第一会话处理请求指示 SMF处理 UE的会话。

在一些实施例中，数据网络可以直接通知 SMF处理 UE的会话。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第十种可能的实现方式中，数据网络网元生成会话处理请求，利用会话处理请求指示 SMF处理 UE的会话具体包括：向策略控制功能网元 PCF 发送第二会话处理请求指示 PCF 向 S MF发送第二会话处理请求以触发 SMF 处理 UE的会话。

在一些实施例中，数据网络网元也可以通知策略控制功能网元 PCF , 由 PCF通知 SMF对 UE的会话进行处理。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第十一种可能的实现方式中，第二会话处理请求携带会话地址。

当数据网络直接通知 SMF处理 UE的会话时，可以在第二会话请求中携带会话地址，告知 SMF要处理的会话的地址，以便 S MF对 UE的会话进行处理。

结合第二方面以及以及以上第二方面的任意一种可能的实现方式，在第二方面的第十二种可能的实现方式中，数据网络网元向 PCF发送第二会话处理请求之前，方法还包括：数据网络网元向 PCF发送上述会话地址。

在一些实施例中，数据网络网元也可以在发送第二会话处理请求之前告知 SMF要处理的会话的地址，以便 S MF对 UE的会话进行处理。

第三方面，公开了会话管理功能网元 S MF , 包括：接收单元，用于接收来自用户设备 UE的会话建立请求；确定单元，用于确定 UE的会话将使用的会话地址；发送单元，用于向数据网络网元发送数据网络访问请求；数据网络访问请求包括会话地址以及 UE 的标识；接收单元还用于，接收数据网络网元发送的响应消息，响应消息指示允许 UE 访问数据网络；建立单元，用于建立 UE的会话。

结合第三方面，在第三方面的第一种可能的实现方式中，还包括处理单元。接收单元还用于，在建立单元建立 UE 的会话之后，接收由数据网络网元触发的会话处理请求；处理单元用于，根据会话处理请求处理 UE的会话。

结合第三方面以及以上第三方面的任意一种可能的实现方式，在第三方面的第二种可能的实现方式中，确定单元具体用于，解析会话建立请求，获得会话建立请求中的 UE 的以太网地址作为会话地址；或，为 UE分配 IP地址作为会话地址；或，为 UE分配 IP前缀作为会话地址；或，为用户面功能网元 UPF分配隧道 IP地址作为会话地址；或，为 UPF分配隧道 IP前缀作为会话地址。

结合第三方面以及以上第三方面的任意一种可能的实现方式，在第三方面的第二种可能的实现方式中，数据网络访问请求为认证请求，响应消息为认证响应消息，认证响应消息携带认证成功标识。

结合第三方面以及以上第三方面的任意一种可能的实现方式，在第三方面的第三种可能的实现方式中，数据网络访问请求为认证请求，响应消息为认证响应消息；认证请求携带授权请求标识，认证响应消息携带认证成功标识以及 4受权成功标识。

结合第三方面以及以上第三方面的任意一种可能的实现方式，在第三方面的第四种可能的实现方式中，数据网络访问请求为授权请求，响应消息为授权响应消息；授权响应消息携带授权成功标识。

结合第三方面以及以上第三方面的任意一种可能的实现方式，在第三方面的第五种可能的实现方式中，接收单元具体用于，接收数据网络网元发送的第一会话处理请求；或，接收策略控制功能网元发送的第三会话处理请求，第三会话处理请求是策略控制功能网元接收数据网络网元发送的第二会话处理请求后向 S MF发送的。

结合第三方面以及以上第三方面的任意一种可能的实现方式，在第三方面的第六种可能的实现方式中，处理单元具体用于，删除 UE 的会话或修改 UE的会话。

第四方面，公开了一种数据网络网元，包括：接收单元，用于接收会话管理功能网元 S MF发送的数据网络访问请求；数据网络访问请求包括用户设备 UE 的标识以及 UE将使用的会话地址；发送单元，用于向 S MF发送响应消息，响应消息指示允许 UE访问数据网络，以便 S MF建立 UE 的会话；检测单元，用于根据会话地址或 UE的标识检测到需要处理 UE的会话；生成单元，用于当检测单元检测到需要处理 UE 的会话，则生成会话处理请求；发送单元，还用于利用生成单元生成的会话处理请求指示 SMF处理 UE的会话。

结合第四方面，在第四方面的第一种可能的实现方式中，数据网络访问请求为认证请求，响应消息为认证响应消息，认证响应消息携带认证成功标识。

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第二种可能的实现方式中，数据网络访问请求为认证请求，响应消息为认证响应消息；认证请求携带授权请求标识，认证响应消息携带认证成功标识以及 4受权成功标识。

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第三种可能的实现方式中，数据网络访问请求为授权请求，响应消息为授权响应消息；授权响应消息携带授权成功标识。

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第四种可能的实现方式中，检测单元具体用于，监测到 UE 为异常接入状态，则确定需要处理 UE 的标识对应的会话；异常接入状态至少包括： UE 为非法 UE、 UE 的签约情况发生变化以及 UE 的信任度发生变化中的任意一种；或，监测到会话地址对应的流量发生变化，则确定需要处理会话地址对应的会话。

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第五种可能的实现方式中，接收单元还用于，在检测单元检测到需要处理 UE的会话之前，通过 UE的会话接收 UE发送的认证请求，对 UE进行认证。

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第六种可能的实现方式中，检测单元具体用于，若对 UE 进行认证的认证结果为认证成功，则确定需要修改 UE 的标识对应的会话，提高 UE 利用 UE的会话进行数据传输时的最大传输速率和 /或使得 UE可以利用 UE的会话访问除数据网络网元外的其他网元。

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第七种可能的实现方式中，检测单元具体用于，若对 UE 进行认证的认证结果为认证失败，则确定需要删除 UE的标识对应的会话。

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第八种可能的实现方式中，检测单元具体用于，在接收数据网络访问请求之后的第一时间窗内接收单元未接收到 UE通过 UE的会话发送的数据包，则确定需要删除 UE的标识对应的会话；或，在向 S MF发送响应消息之后的第二时间窗内接收单元未接收到 UE通过 UE的会话发送的数据包，则确定需要删除 UE的标识对应的会话。

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第九种可能的实现方式中，发送单元具体用于，向 S MF发送第一会话处理请求指示 S MF处理 UE的会话

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第十种可能的实现方式中，发送单元具体用于，向策略控制功能网元 PCF 发送第二会话处理请求指示 PCF 向 S MF发送第二会话处理请求以触发 SMF 处理 UE的会话。

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第十一种可能的实现方式中，第二会话处理请求携带会话地址。

结合第四方面以及以上第四方面的任意一种可能的实现方式，在第四方面的第十三种可能的实现方式中，发送单元还用于，在向 PCF发送第二会话处理请求之前，向 PCF发送会话地址。

本申请实施例的第五方面，提供一种 S MF , 该 SMF可以包括：至少一个处理器，存储器、通信接口、通信总线；

至少一个处理器与存储器、通信接口通过通信总线连接，存储器用于存储计算机执行指令，当服务器运行时，处理器执行存储器存储的计算机执行指令，以使基站执行第一方面或第一方面的可能的实现方式中任一的会话处理方法。本申请实施例的第六方面，提供一种数据网络网元，该数据网络网元可以包括：至少一个处理器、存储器、收发器；

其中，至少一个处理器与存储器、通信接口通过通信总线连接，存储器用于存储计算机执行指令，当服务器运行时，处理器执行存储器存储的计算机执行指令，以使 UE 执行第二方面或第二方面的可能的实现方式中任一的发现信号的传输方法。

本申请实施例的第七方面，公开了一种计算机存储介质，用于存储上述 SMF 所用的计算机软件指令，该计算机软件指令包含用于执行上述会话处理方法所涉及的程序。

本申请实施例的第八方面，公开了另一种计算机存储介质，用于存储上述数据网络网元所用的计算机软件指令，该计算机软件指令包含用于执行上述会话处理方法所涉及的程序。

附图说明

图 1 为现有的 5 G 系统架构示意图；

图 2为本发明实施例提供的一种会话功能管理网元的组成示意图；图 3为本发明实施例提供的一种数据网络网元的组成示意图；

图 4为本发明实施例提供的会话处理方法的流程示意图；

图 5为本发明实施例提供的另一会话处理方法的流程示意图；

图 6为本发明实施例提供的另一会话处理方法的流程示意图；

图 7为本发明实施例提供的另一会话处理方法的流程示意图；

图 8为本发明实施例提供的另一会话处理方法的流程示意图；

图 9为本发明实施例提供的另一会话处理方法的流程示意图；

图 10为本发明实施例提供的会话功能管理网元的另一组成示意图；图 1 1 为本发明实施例提供的会话功能管理网元的另一组成示意图；图 12为本发明实施例提供的数据网络网元的另一组成示意图；

图 13为本发明实施例提供的数据网络网元的另一组成示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行详细地描述。

图 1 是 3 GPP 标注组织制定的 5G 系统架构示意图。其中，除 UE、 DN 之外的网元构成了 3 GPP 网络，所谓 3 GPP 网络即运营商运营的符合 3 GPP标准的网络， 3 GPP 网络不只局限于 3 GPP定义的 5G 网络，还可以包括 2G、 3 G、 4G 网络，甚至是 3 GPP未来可能定义的 6G 网络。以下对图 1 所示架构中，本申请实施例涉及的网元做以详细说明：

接入与移动' |·生管理功能网元 (acces s and mobility management function , AMF)是由运营商提供的控制面网元，可以在 UE接入运营商网络时进行接入控制，或者对 UE进行移动性管理。

会话管理功能网元 (ses sion management function , SMF)也是由运营商提供的控制面网元，负责建立和管理 UE的 PDU会话。数据网络（data network, DN), 也被称为 PDN(packet data network), 是位于 3GPP 网络之外的网络。 5G 系统架构中可以有多个 DN, DN上可部署运营商或第三方提供的业务。例如， DN可以是一个公司的内部办公网络，该公司员工的终端（即 UE ) 可以通过接入 3GPP 网络访问 DN, 查看公司内部的资源。 UE通过接入运营商网络来访问 DN, 使用 DN上的运营商或第三方提供的业务。

统一数据管理网元（unified data management, UDM)是由运营商提供的控制面网元，负责存储 3GPP 网络签约用户的数据，如用户的持久 ID (Subscriber Permanent Identifier, SUPI)、信任状（credential)、签约数据等。

认证月艮务器功能网元（authentication server function, AUSF)是由运营商提供的控制面网元， 3GPP 网络利用 AUSF对 3GPP网络签约用户进行认证，可以称为对 UE的首要认证。具体地，在 UE接入运营商 3GPP 网络时， AUSF 可以利用 UDM上存储的用户数据对 UE进行首要认证。

网络暴露功能网元（network exposure function, NEF)是由运营商提供的控制面网元。 NEF 以安全的方式对第三方暴露 3 GPP 网络的对外接口。如：在 SMF等网元需要与第三方网元通信时，可以将 NEF作为通信的中继，在通信过程中 NEF可以进行内外部标识的翻译。示例的，将 UE在 3GPP 网络内部的 ID从 3GPP 网络发送到第三方时， NEF可以将 UE的内部 ID翻译成其对应的夕卜部 ID。反之， NEF可以将外部 ID在发送到 3GPP 网络时，翻译成 UE的内部 ID。

用户面功能网元（user plane function, UPF)是由运营商提供的用户面网元，是 3GPP 网络与 DN进行通信的网关。

策略控制功能网元（policy control function, PCF)是由运营商提供的控制面网元，用于向 SMF提供 PDU session的策略。策略可以包括计费相关策略、服务盾量（ quality of service, QoS ) 相关策略、授权相关策略等。

另外，为方便理解本申请提供的方法，对本申请涉及的术语进行介绍：

1.数据包（ packet data unit, PDU )是 UE和 DN间传输数据的单元。 PDU 可以分为 IP类型的 PDU、以太网（Ethernet)类型的 PDU、非结构（unstructured) , 类型的 PDU等。进一步， IP类型的 PDU又可分为 IPv4类型的 PDU和 IPv6 类型的 PDU。

IP类型的 PDU可以筒称为 IPPDU , Ethernet类型的 PDU可以筒称为以太网 PDU, 也可称为以太网帧。需要说明的是， 3GPP 网络不感知非结构类型的 PDU, UE和 DN可以釆用任何自定义格式的非结构化 PDU进行通信。

2. PDU session (会话），是 UE和 DN之间一个用于传输 PDU 的通道， UE和 DN通过 PDU session互相发送 PDU以进行通信， PDU session的路径为 UE-(R)AN-UPF-DN。也就是说， 3GPP 网络可以通过 PDU session为 UE与 DN提供通信服务。

PDU session由 SMF负责建立和管理。另外，根据所传输的 PDU的类型， PDU session 同样可分为 IP类型、以太网类型和非结构化类型。同样， IP类型的 PDU ses sion 又可分为 IPv4 类型的 PDU ses sion 和 IPv6 类型的 PDU sss sio 。

如上文所述， UE在通过 3 GPP 网络访问 DN时，首先 3 GPP 网络要对 UE 进行首要认证。所谓首要认证是对 UE 提供的 SUPI 进行，验证 UE 的 SUPI 是否合法真实。一个 UE只有通过了首要认证后，才可以接入 3 GPP 网络，进一步地请求建立 PDU session , 以访问 DN。在 UE访问 DN时， DN还有可能需要对 UE 进行进一步认证（可称为次要认证）和 /或授权。只有通过这一认证和 /或 4受权的 UE ,才准许建立 PDU session。次要认证所校验的 UE的 ID(可称为次要 ID ) 通常不同于首要认证所校验的 SUPI和设备 ID。

进一步， SUPI的格式可以是 IMSI , 设备 ID可以是 IMEI。其中， 3 GPP 网络可以利用 UE的 IMEI对该 UE进行首要认证， DN也可以利用 UE的 IMEI 对该 UE进行次要认证。另外，次要 ID可以终端的其他标识，如： DN是一个公司的内部办公网络，该公司员工的终端（即 UE ) 可以通过接入 3 GPP 网络访问 DN , 次要 ID可以是员工在公司内的工号。

当 UE需要经过 DN的次要认证和 /或授权之后， 3 GPP 网络为 UE建立了 PDU session , 在一些场景下，还需要根据 UE最新的签约情况或流量情况对 UE的 PDU session进行处理。示例的，当 UE的签约被修改或取消，或者 UE 的信任度或信誉度发生变化，或者 UE的 PDU session的流量异常，都需要对 PDU ses sion进行处理，包括删除 PDU ses sion , 或修改 PDU ses sion (可以扩大或缩小该 ses sion的权限）。现有技术中，在上述场景下，通常是由 PCF触发 SMF进行对 PDU session的处理。可见，现有技术无法实现由 DN触发 PDU ses sion的处理，如：删除 PDU session和！ "改 PDU ses sion。

可见，现有技术已经支持 DN对 UE进行认证和授权，但不支持 DN触发对 PDU session的处理（如：删除和修改）。如， DN检测到已经接入 DN的某个 UE (即 3 GPP 网络已经为该 UE建立 PDU session)为恶意或非法 UE , 但是 DN也无法终止这些 UE访问 DN ; 又如， UE在 DN的签约取消或变更，或者 UE的信任度变化， DN无法相应地触发 UE的 PDU session的权限撤销和修改，无法去实现有效访问控制。总之， DN无法触发 PDU ses sion的处理这一功能缺失会带来安全风险和网络资源的滥用，无法实现有效的访问控制。

本申请的原理在于：在 DN认证 UE或授权 UE的 PDU session时， S MF 向数据网络网元（ DN中用于认证、授权的网元，如： AAA ) 提供 UE将使用的会话地址以及 UE的标识，随后再根据该会话地址为 UE建立 PDU ses sion。数据网络网元可以根据接收到的会话地址或者 UE 的标识关联到一个 PDU ses sion , 并对该 PDU ses sion 进行监控。当数据网络网元检测到需要处理该 PDU ses sion(如：该 PDU session的流量发生变化）时，则触发对该 PDU ses sion 的处理，向 S MF或 PCF发送 PDU ses sion释放或修改的请求。

在具体的实现中，图 2为本发明实施例提供的一种会话功能管理网元 SMF 的组成示意图，该会话功能管理网元可以是图 1 所示系统架构中的 SMF。如图 2 所示，该会话功能管理网元可以包括至少一个处理器 11 , 存储器 12 以及通信接口下面结合图 2对会话功能管理网元的各个构成部件进行具体的介绍：处理器 11是会话功能管理网元的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器 11是一个中央处理器（ central processing unit , CPU ), 也可以是特定集成电路 ( Application Specific Integrated Circuit , ASIC ), 或者是被配置成实施本发明实施例的一个或多个集成电路，例如：一个或多个微处理器（ digital signal processor , DSP ) ,或，一个或者多个现场可编程门阵列 ( Field Programmable Gate Array , FPGA )。

其中，处理器 11 可以通过运行或执行存储在存储器 12 内的软件程序，以及调用存储在存储器 12内的数据，执行会话功能管理网元的各种功能。

在具体的实现中，作为一种实施例，处理器 11可以包括一个或多个 CPU , 例如图 2中所示的 CPU0和 CPU1。

在具体实现中，作为一种实施例，会话功能管理网元可以包括多个处理器，例如图 2中所示的处理器 11和处理器 15。这些处理器中的每一个可以是一个单核处理器（ single-CPU ) , 也可以是一个多核处理器（ multi-CPU )。这里的处理器可以指一个或多个会话功能管理网元、电路、和 /或用于处理数据（例如计算机程序指令）的处理核。

存储器 12可以是只读存储器（read-only memory , ROM ) 或可存储静态信息和指令的其他类型的静态存储会话功能管理网元，随机存取存储器（random access memory , RAM ) 或者可存储信息和指令的其他类型的动态存储会话功能管理网元，也可以是电可擦可编程只读存储器（Electrically Erasable Programmable Read-Only Memory , EEPROM )、只读光盘（ Compact Disc Read-Only Memory , CD-ROM )或其他光盘存储、光碟存储（包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等）、磁盘存储介质或者其他磁存储会话功能管理网元、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器 12可以是独立存在，通过通信总线 14与处理器 11相连接。存储器 12也可以和处理器 11集成在一起。

其中，所述存储器 12用于存储执行本发明方案的软件程序，并由处理器 11 来控制执行。

通信接口 13 , 可以包括一个用于发送数据的发送接口和一个用于接收来自外部会话功能管理网元的数据的接收接口，即会话功能管理网元可以通过两个不同的通信接口分别实现数据的接收和数据的发送。当然，该通信接口 13可以将数据接收功能和数据发送功能集成在一个通信接口上，该通信接口具备数据接收功能和数据发送功能。

图 2 中示出的会话功能管理网元结构并不构成对会话功能管理网元的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

在具体的实现中，图 3 为本发明实施例提供的一种数据网络网元的组成示意图，该数据网络网元可以是图 1所示系统架构中的 DN中用于对 UE进行认证、 4受权的网元， AAA ( authentication authorization accounting ) 月艮务器，或 AAA 代理服务器。如图 3所示，该数据网络网元可以包括至少一个处理器 21 , 存储器 22 以及通信接口 23。

下面结合图 3对数据网络网元的各个构成部件进行具体的介绍：

处理器 21是数据网络网元的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器 21是一个中央处理器（ central processing unit , CPU ), 也可以是特定集成电路 ( Application Specific Integrated Circuit , ASIC ), 或者是被配置成实施本发明实施例的一个或多个集成电路，例如：一个或多个微处理器（ digital signal processor , DSP ) ,或，一个或者多个现场可编程门阵列 ( Field Programmable Gate Array , FPGA )。

其中，处理器 21 可以通过运行或执行存储在存储器 22 内的软件程序，以及调用存储在存储器 22内的数据，执行数据网络网元的各种功能。

在具体的实现中，作为一种实施例，处理器 21可以包括一个或多个 CPU , 例如图 3中所示的 CPU0和 CPU1。

在具体实现中，作为一种实施例，数据网络网元可以包括多个处理器，例如图 3 中所示的处理器 21 和处理器 25。这些处理器中的每一个可以是一个单核处理器 ( single-CPU ) , 也可以是一个多核处理器（ multi-CPU )。这里的处理器可以指一个或多个数据网络网元、电路、和 /或用于处理数据（例如计算机程序指令）的处理核。

存储器 22可以是只读存储器（read-only memory , ROM ) 或可存储静态信息和指令的其他类型的静态存储数据网络网元，随机存取存储器（ random access memory , RAM ) 或者可存储信息和指令的其他类型的动态存储数据网络网元，也可以是电可擦可编程只读存储器 ( Electrically Erasable Programmable Read-Only Memory , EEPROM )、只读光盘（ Compact Disc Read-Only Memory , CD-ROM ) 或其他光盘存储、光碟存储（包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等）、磁盘存储介质或者其他磁存储数据网络网元、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器 22可以是独立存在，通过通信总线 24与处理器 21相连接。存储器 22也可以和处理器 21集成在一起。

其中，所述存储器 22用于存储执行本发明方案的软件程序，并由处理器 21 来控制执行。

通信接口 23 , 可以包括一个用于发送数据的发送接口和一个用于接收来自外部数据网络网元的数据的接收接口，即数据网络网元可以通过两个不同的通信接口分别实现数据的接收和数据的发送。当然，该通信接口 23可以将数据接收功能和数据发送功能集成在一个通信接口上，该通信接口具备数据接收功能和数据发送功能。

图 3 中示出的数据网络网元结构并不构成对数据网络网元的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

本发明实施例提供一种会话处理方法，如图 4 所示，所述方法包括以下步骤：

101、 S MF接收来自 UE的会话建立请求。

具体实现中， UE先将会话建立请求发送给 AMF , 再由 AMF将 UE发送的会话建立请求转发给 S MF。

另外，如果 UE发送的 PDU的类型是以太网类型，那么需要给 UE建立以太网类的会话（即 PDU ses sio n ) , 进一步，将要为 UE建立的会话的地址为 UE 的以太网地址。那么， UE 会将自己的以太网地址携带在会话建立请求中发送给 AMF。需要说明的是，本发明实施例中为 UE建立的会话是 PDU会话，因此，本发明实施例中的 "会话" 特指 PDU会话。

102、 S MF确定 UE将使用的会话地址。

具体实现中，可以根据 UE的地址建立 UE的会话，因此 UE将使用的会话地址可以是 UE 的地址。通常，为建立的会话的类型取决于 UE 所传输的 PDU的类型， UE所传输的 PDU的类型包括 IP类型、以太网类型以及非结构化类型。如果 UE传输的 PDU为以太网类型，那么 UE会将自己的以太网地址携带在会话建立请求中发送给 AMF , SMF接收 AMF转发的会话建立请求，可以解析该请求获得其中包括的 UE 的以太网地址，该以太网地址即为上述会话地址。

如果 UE所传输的 PDU为 IP类型，那么 S MF为 UE分配地址。具体地，如果 UE传输的 PDU为 IPv4类型，那么 UE 的会话也是 IPv4类型， S MF则为 UE分配一个 IP地址作为 UE将使用的会话地址；如果 UE传输的 PDU 为 IPv6类型，那么 UE的会话也是 IPv6类型， S MF则为 UE分配一个 IP前缀作为 UE将使用的会话地址。

如果 UE所传输的 PDU为非结构化类型，那么 S MF同样为 UE分配地址。具体地， S MF为 UPF分配隧道 IP地址，将 UPF的隧道 IP地址作为 UE将使用的会话地址；或， S MF为 UPF分配隧道 IP前缀，将 UPF的隧道 IP前缀作为会话地址。

103、 S MF 向数据网络网元发送数据网络访问请求；该数据网络访问请求包括上述会话地址以及 UE的标识。

该数据网络网元可以是 DN中用于认证、授权的网元，如： AAA服务器或 AAA代理服务器等。

具体地，这个数据网络访问请求可以是认证请求，如： DER ( diameter EAP reque st ) 消息，请求数据网络网元对 UE 进行认证；进一步，认证请求还可以携带授权请求标识（ identity ) , 请求数据网络网元对 UE进行授权。

当然，数据网络访问请求也可以是授权请求，请求数据网络网元对 UE 进行授权。

另外， UE的标识是 UE的次要 ID , 数据网络网元可以利用 UE的标识对 UE进行认证。

104、数据网络网元向 S MF 发送响应消息，该响应消息指示允许该 UE 访问数据网络。

具体地，如果数据网络访问请求是认证请求，那么数据网络网元在步骤 103步骤 104之间对 UE进行认证，则，这里的响应消息是认证响应消息，并且该认证响应消息携带认证成功标识。如果数据网络访问请求为认证请求，且认证请求携带授权请求标识，那么数据网络网元在步骤 103 步骤 104 之间对 UE 进行认证、授权，所述响应消息为认证响应消息所述认证响应消息，且该消息携带认证成功标识以及授权成功标识。

如果数据网络访问请求为授权请求，那么数据网络网元在步骤 103 步骤 104之间对 UE进行授权，则，上述响应消息为授权响应消息，且该授权响应消息携带授权成功标识。

105、 SMF建立 UE的会话。

其中，该会话的地址为步骤 102 确定的会话地址。另外，由于步骤 104 数据网络网元向 S MF发送响应消息指示允许 UE访问数据网络，因此， SMF 会接着根据会话地址为 UE建立会话。

具体地， SMF 向 PCF发送将要为 UE 建立的会话的信息，至少包含会话地址。可选地，还可以发送 UE 的一个或多个 ID。随后， PCF将会话的授权范围发送给 S MF。

接着， SMF将会话的信息告知 UPF , 其中包含会话地址和会话的策略。 UPF保证 PDU session不会超越 PCF授权的范围。另外， UPF向 S MF回复响应。 SMF经过 AMF向 UE发送会话建立请求响应。至此，完成了 UE的会话的建立。需要说明的是，这里为 UE 建立的会话的权限是 "仅可访问该数据网络网元"。

106、数据网络网元检测到需要处理 UE的会话。

数据网络网元可以直接根据上述步骤 103 接收的会话地址确定一个会话，对该会话的流量进行监控。一旦检测到该会话的流量发生变化，则确定需要处理该会话。需要说明的是，数据网络网元根据对会话的流量进行监控作出的决策可以是 "删除 UE的会话" 或 "修改 UE的会话"，在此不作限定，数据网络网元可以根据会话流量具体的变化情况来决策如何处理 UE的会话。如：该会话的流量异常，则可能需要删除该会话。示例的， PDU ses sion的上行流量（即从 UE到 DN方向的流量）可以通过 PDU的源地址或源隧道地址识别，该 PDU ses sion的下行流量（即从 DN到 UE方向的流量）可以通过 PDU 的目的地址或目的隧道地址识别。如果 PDU类型为 IPv4 , 则上行 PDU 的源 IP地址、下行 PDU的目的 IP地址与该 UE的 IP地址（即会话地址）一致；如果 PDU类型为 IPv6 , 则上行 PDU的源 IP地址、下行 PDU的目的 IP地址与该 UE的 IP前缀匹配（即会话地址；)；如果 PDU类型为以太网，则上行 PDU 的源以太网地址、下行 PDU的目的以太网地址与该 UE的以太网地址（即会话地址）一致；如果 PDU 类型为非结构化，则上行 PDU 的源隧道地址、下行 PDU的目的隧道地址与 UPF的隧道 IP地址或隧道 IP前缀匹配（即会话地址）。

或者，数据网络以 UE的标识为索引查找到 UE的接入状态，对 UE的接入状态进行监测，一旦监测到 UE为非法 UE、 UE的签约情况发生变化、或， UE的信任度发生变化等任意一种情况则可确定 UE为异常接入状态，进而确定需要处理 UE的会话。进一步，数据网络网元还需要确定哪个会话是 UE的会话，具体可以通过以下两种方式确定 UE 的会话。第一、由于步骤 103 数据网络网元接收到了接收到了 UE 的标识和会话地址，因此数据网络网元可以根据 UE 的标识关联到一个会话地址，根据关联到的会话地址可以确定一个会话（即 UE 的标识对应的会话），也就是 UE 的会话，进而可以确定需要对这个会话进行处理。第二、在步骤 103 与步骤 104之间，数据网络网元为每个 PDU会话维护一个对应的 diameter会话，一个 diameter会话有相应的 ID , 也就是说可以用一个 diameter会话 ID来标识一个 PDU会话。因此，当监测到 UE为异常接入状态时，也可以根据 UE的标识关联到一个 diameter会话 ID , 根据关联到的 diameter会话 ID可以确定一个会话（即 UE的标识对应的会话），也就是 UE的会话，进而可以确定需要对这个会话进行处理。需要说明的是，数据网络网元根据 UE的接入状态作出的决策可以是 "删除 UE的会话，，或 "修改 UE 的会话"，在此不作限定，数据网络网元可以根据 UE 当前实际的接入来决策如何处理 UE的会话。如： UE为非法 UE , 则删除 UE的会话。

在一些实施例中，在步骤 105为 UE建立会话之后， UE还可以向数据网元网元发起认证，因此，在步骤 106 中数据网络网元还可以根据认证结果来判断是否需要处理 UE 的会话。具体地，如果认证结果为认证失败，则证明 UE 可能是非法 UE , 数据网络网元则确定需要删除 UE 的会话。如果认证结果为认证成功，则证明 UE可能是合法 UE , 数据网络网元则确定需要修改 UE 的会话，可以是修改该会话的权限，使得 UE 利用该会话可以访问除上述数据网络网元外的其他网元。进一步，数据网络网元还需要确定哪个会话是 UE 的会话，同样，数据网络网元可以通过上述两种方式确定 UE 的会话。具体地，根据 UE的标识关联到一个会话地址，那么该地址所匹配的会话就是 UE 的会话。或者，根据 UE 的标识关联到一个 diameter会话 ID , diameter会话 ID所匹配的会话就是 UE的会话。

在一些实施例中，数据网络网元还可以在步骤 103之后启动一个定时器，在步骤 105为 UE建立会话之后，定时器超时，数据网络网元没有接收到 UE 通过该会话发送的数据包（即 PDU ) , 数据网络网元则确定需要删除 UE的会话。同样，数据网络网元可以通过上述两种方式确定 UE 的会话。具体地，根据 UE的标识关联到一个会话地址，那么该地址所匹配的会话就是 UE的会话。或者，根据 UE的标识关联到一个 diameter会话 ID , diameter会话 ID所匹配的会话就是 UE的会话。

另外，数据网络网元还可以在步骤 104之后启动定时器，其余流程与在步骤 103之后启动定时器的处理流程相同，在此不做赘述。

需要说明的是，本发明实施例中的 "流量异常" 可以是流量偏离正常业务流量的特征，如：流量过大、访问的端口号不是本业务的、访问的地址过多、数据包大小分布与平常差别大、或流量中包含有攻击报文。

107、数据网络网元生成会话处理请求，利用该会话处理请求指示 SMF 处理 UE的会话。具体实现中，数据网络网元可以将该会话处理请求发送给 PCF , 请求使用 diameter协议的 STR消息或 AAR消息。 PCF收到该请求后触发 SMF处理 UE的会话。该请求包含会话地址，用于标识会话。如果数据网络网元之前已经向 PCF发送过这些信息，则不需要包含这些信息。

另外，数据网络网元也可以将该请求发送给 SMF , 请求使用 diameter协议的 ASR消息。需要说明的是，这时发送的会话处理请求不需要携带会话地址，也就是说，不需要给 S MF提供会话地址来标识会话。因为 S MF 和数据网络网元在步骤 103、 104为每个 PDU ses sion ( 即本发明实施例所述的会话）维护一个对应的 diameter会话， SMF 可以才艮据数据网络网元发送的 diameter 消息确定数据网络网元指示处理的是哪个 PDU session。或者，为各个 diameter 会话维护一个 diameter 会话 ID , 数据网络网元可以在会话处理请求中携带 diameter会话 ID , SMF 同样可以根据接收到的 diameter会话 ID得知数据网络网元请求处理的是哪个 PDU session。

本发明实施例提供的会话处理方法，在 DN认证 UE或授权 UE时， SMF 向数据网络网元提供会话地址以及 UE的标识，随后再根据该会话地址为 UE 建立会话。当数据网络网元检测到需要处理 UE 的会话（如：该会话的流量发生变化）时，数据网络网元可以根据接收到的会话地址或用户的标识关联到 UE的会话，向 S MF或 PCF发送请求触发对该会话的处理。

本发明实施例还提供一种会话处理方法，以数据网元为 AAA为例，介绍 AAA 对 PDU session的认证授权和授权取消，如图 5所示，所述方法包括以下步骤：

201、 UE发送 PDU session (会话）建立请求到 AMF。

如果 UE发送的 PDU的类型为以太网类型，那么将要为 UE建立的 PDU session 的类型也是以太网类型， UE则将自己的以太网地址连同该请求一起发送到 AMF。

202、 AMF将 UE的 PDU session建立请求以及 UE的 SUPI和 PEI发送给 SMF。这里的 PEI是 UE的持久设备标识（ permanent equipment identifier ), 常见的格式为 IMEI格式。具体地， AMF接收到 UE的 PDU session建立请求后，将 UE的 SUPI 和 PEI添加在 PDU session建立请求中，再向 SMF转发该请求。

可选地， 203、 SMF判断需要 AAA认证 UE或 4受权 UE的 PDU session。

具体实现中， SMF 可以根据本地预存的策略（例如，访问该 DN 都需要 AAA 认证和授权）判断是否需要 AAA认证 UE或授权 UE的 PDU session; 或，以 UE发送的 PDU session建立请求携带的相关指示为判断依据；或者， SMF步骤 202和 203 之间，从 UDM中读取 UE的签约信息，根据签约信息中的读取相关策略判断是否需要 AAA认证 UE或 4受权 UE的 PDU session。

204、 SMF为 UE分配会话地址。

需要说明的是，如果将要为 UE建立的 PDU session的类型是以太网类型，那么 SMF将步骤 203接收到的 UE的以太网地址作为 UE将使用的会话地址，可以跳过步骤 204直接执行步骤 205。

另外，将要为 UE建立的 PDU session的类型不是以太网类型，则需要执行步骤 204 , 具体地，如果 PDU session类型为 IPv4 , SMF为 UE分配 IP地址作为 UE将使用的会话地址；如果 PDU session类型为 IPv6 , SMF为 UE分配 IP前缀作为 UE将使用的会话地址；如果 PDU session类型为非结构化， SMF为 UE分配隧道 IP地址或隧道 IP前缀作为 UE将使用的会话地址。其中，隧道 IP地址或隧道 IP前缀是为 UPF分配的。

205、 SMF向 UE发送 EAP-identity request ( EAP身份请求；)。

206、 UE向 SMF发送 EAP-identity response ( EAP身份响应），其中携带 UE的次要 ID。

207 ^ SMF通过 DER消息将 UE的 EAP-identity response、会话地址转发给 AAA。其中， diameter协议的 DER消息即本发明实施例所述的数据网络访问请求，携带会话地址以及 UE的标识， UE的标识即本实施例所述的 UE的次要 ID。

需要说明的是，步骤 205、 206是可选步骤。如果执行了步骤 205、 206 , 那么 SMF在接收到 EAP-identity response消息后，生成包括 EAP-identity response消息以及会话地址的 diameter协议的 DER消息，随后将该 DER消息转发给 AAA。如果没有执行步骤 205、 206 ,那么， UE可以在步骤 201 中发送的消息中携带 UE的次要 ID , 步骤 202 中 AMF向 SMF转发的消息也携带 UE 的次要 ID。如此， SMF就获得了 UE 的次要 ID 和会话地址。进一步， SMF 生成携带 UE 的次要 ID 和会话地址的 diameter协议的 DER消息，并将生成的 diameter协议的 DER消息发送给 AAA。

可选地， SMF还可以从 UE的签约数据中获取到 UE的外部 ID、 SUPI和 PEI , 将 SUPI、 PEI或外部 ID也加入到 diameter协议的 DER消息中一起发送。其中，外部 ID 由 SUPI映射得到，当 3GPP网络不想对外暴露 SUPI时，可以对外提供 SUPI 对应的外部 ID。

208、 AAA使用 EAP协议认证 UE。

需要说明的是，该步骤可选， AAA也可以不对 UE进行认证。

209、 AAA向 SMF发送 diameter DEA消息，包含认证结果和授权结果。

其中，这里发送的 diameter DEA 消息即本发明实施例中数据网络网元向 SMF 发送的响应消息。

具体地，认证结果为 EAP-success消息，表明认证成功。授权结果为授权信息，代表将为 UE建立的 PDU session的权限。

需要说明的是， AAA向 SMF发送 diameter DEA消息也可以不包含授权信息， SMF可以从 PCF得到授权的策略（即上述授权信息）。

210、 SMF将 PDU session的信息告知 PCF , 其中包含 PDU session的地址。具体地， PDU session 的地址即上述会话地址，可以是 UE在步骤 201 发送给 AMF的以太网地址，也可以是 SMF在步骤 204为 UE分配的地址。

可选地，还可以包含 UE的一个或多个 ID , 如： UE的次要 ID , UE的外部 ID 等。

211、 PCF将 PDU session的策略发送给 SMF。

212、 SMF将 PDU session的信息告知 UPF,其中包含 PDU session的地址和 PDU session的策略。

另外， UPF通过执行 PDU session的策略，保证 PDU session不会超越授权的范围。

213、 UPF向 SMF回复应答。

214、 SMF向 AMF发送 PDU session建立应答以及表明认证成功的 EAP-success ( EAP成功标识；)。

215、 AMF将接收到的 PDU session建立应答以及 EAP-success转发给 UE。

216、 UE获得 PDU session的地址。

如果 UE发送的 PDU是以太网类型，那么 PDU session地址是 UE的以太网地址。在此不执行步骤 216 , 直接执行步骤 217。

如果 PDU类型不是以太网类型，如： IP类型或非结构类型， PDU session地址是由 SMF为 UE分配的， SMF通过另外的消息向 UE发送为 UE分配的地址，如釆用动态主机配置协议（ dynamic host configuration protocol, DHCP ) 的消息发送。另外，也可以在步骤 214-215中发送消息通知为 UE分配的地址。

217、 AAA检测到需要释放上述 PDU session。

需要说明的是，这里释放 PDU session即删除该 PDU session。

具体地，通过步骤 207获得的地址， DN 可以识别该 PDU session的流量，当 DN检测到该 PDU session的流量异常，则确定需要删除 UE的 PDU session。

具体的流量监测包括：该 PDU session的上行流量（即从 UE到 DN方向的流量）可以通过 PDU的源地址或源隧道地址识别，该的下行流量（即从 DN到 UE方向的流量）可以通过 PDU的目的地址或目的隧道地址识别。具体地，如果 PDU类型为 IPv4 , 则上行 PDU的源 IP地址、下行 PDU的目的 IP地址与步骤 207 中获得的 IP 地址（即会话地址，也是 PDU session的地址）一致；如果 PDU类型为 IPv6 , 则上行 PDU的源 IP地址、下行 PDU的目的 IP地址与步骤 207中获得的 IP前缀（即会话地址，也是 PDU session的地址）匹配；如果 PDU类型为以太网，则上行 PDU的源以太网地址、下行 PDU的目的以太网地址与步骤 207中获得的以太网地址（即会话地址，也是 PDU session的地址）一致；如果 PDU类型为非结构化，则上行 PDU 的源隧道地址、下行 PDU的目的隧道地址与步骤 207 中获得的隧道 IP地址或隧道 IP前缀（即会话地址，也是 PDU session的地址）匹配。

或者，当 AAA检测到该 UE在 DN的签约被取消，以 UE的次要 ID关联到一个会话地址， AAA则确定需要释放这个 UE地址所对应的 PDU session。需要说明的是，本实施例中的 "释放" 即 "删除"。

218、 AAA发送释放 PDU session的请求。

具体地， AAA可以使用 diameter协议的 ASR消息将该请求直接发送给 SMF(步骤 218a )。需要说明的是，在此 AAA发送的消息中不携带 PDU session, 即不需要给 SMF提供 PDU session的地址来标识 PDU session。因为 SMF和 AAA为每个 PDU session维护一个对应的 diameter会话，而图中 207、 209、 218a、 220a这 4条 diameter 消息都在同一 diameter会话中。 AAA在 PDU session对应的 diameter会话中请求释放或修改 PDU session, SMF可以得知请求操作的 PDU session为该会话对应的 PDU S6sskm。

或者， AAA使用 diameter协议的 STR消息或 diameter协议的 AAR消息，将该请求发送给 PCF (步骤 218M ), PCF向 SMF发送释放 PDU session的请求触发 SMF 释放 PDU session (步骤 218b2 )。 AAA发送的请求包含 PDU session的地址，用于标识 PDU session, 还可以包含 UE的一个或多个 ID用于辅助标识 PDU session。另夕卜，如果之前 AAA已经向 PCF发送过这些信息 (比如，之前 AAA已经通过 PCF发送过修改 PDU session的请求，请求中包含这些信息），则不需要包含这些信息。

219、 SMF释放 PDU session。

具体地， SMF通知 UPF释放该 PDU session 占用的资源，并停止转发该 PDU session的 PDU。 SMF通知（R)AN释放该 PDU session的资源，通知经由 AMF转发。随后，（R)AN释放该 PDU session占用的资源，并通知 UE。（R)AN通知 SMF该 PDU session 占用的资源已被释放，通知经过 AMF转发。最后， SMF通知 AMF删除该 PDU session的上下文信息， SMF通知 PCF删除该 PDU session的策略上下文信息。

220、 AAA收到 PDU session释放请求的应答。

对应于上述步骤 218a, SMF利用 diameter协议的 ASA消息将 PDU session释放请求的应答发送给 AAA (步骤 220a )。

对应上述步骤 218M和步骤 218b2 , SMF向 PCF发送 PDU session释放请求的应答（步骤 220b 1 ), PCF利用 diameter协议的 STA消息或 AAA消息向 AAA发送 PDU session释放请求的应答 (步骤 220b2 )。

上述步骤中 PDU session的地址是指：如果 PDU session类型为 IPv4 , PDU session 的地址（即上述会话地址）为 SMF为 UE分配的 IP地址；如果 PDU session类型为 IPv6 , PDU session的地址为 SMF为 UE分配的 IP前缀；如果 PDU session类型为非结构化， PDU session的地址为 SMF为 UE分配的隧道 IP地址或隧道 IP前缀；如果 PDU session类型为以太网， PDU session的地址为 UE的以太网地址。

本发明实施例中， SMF在步骤 202获得 UE的以太网地址，或者在步骤 204为 UE分配 UE使用的或隧道使用的 IP地址 /前缀。在步骤 207中， SMF将这些地址放在认证 /授权请求的 diameter消息中发送给 AAA,使得 AAA可以识别该 PDU session 的 PDU并通过对该 PDU session的 PDU进行检测是判断该 PDU session的 P流量否存在异常。一旦检测到该 PDU session的量存在异常 , AAA则通过 PCF来触发对该 PDU session 的修改或释放。使得 DN 可以根据监测到的异常情控制 PDU ses sion的删除和修改，实现有效的访问控制。

本发明实施例还提供一种会话处理方法，以数据网元为 AAA为例，建立 PDU session 的授权流程和授权修改流程，区别于上一实施例，本实施例中建立 PDU session之前， AAA仅做了授权，没有对 UR进行认证，且没有使用 EAP协议；另夕卜，本实施例 AAA触发 PDU session修改，而非触发 PDU session释放。本实施例和实施例一的 PDU session建立过程可以互换，而不影响后面的触发 PDU session修改 / 释放流程。如图 6所示，所述方法包括以下步骤：

301、 UE向 AMF发送请求建立 PDU session的消息以及 UE的次要 ID。

需要说明的是，如果 PDU session的类型是以太网， UE将自己的以太网地址连同该请求一起发送到 AMF。

302、 AMF将 UE的 PDU session建立请求、 UE的 SUPI、 UE的 PEI 以及 UE 的次要 ID发送给 SMF。

当然，如果 PDU session的类型是以太网， AMF会接收到 UE发送的以太网地址，在此也需要将 UE的以太网地址也一并发送给 SMF。

可选地， 303、 SMF确定需要 AAA认证 UE或 4受权 UE的 PDU session。

同样， SMF可以根据本地预存的策略（例如，访问该 DN都需要 AAA认证和授权）判断是否需要 AAA认证 UE或授权 UE的 PDU session;或，以 UE发送的 PDU session建立请求携带的相关指示为判断依据；或者， SMF步骤 302和 303之间，从 UDM 中读取 UE 的签约信息，根据签约信息中的读取相关策略判断是否需要 AAA 认证 UE或授权 UE的 PDU session。

304、 SMF为 UE分配会话地址。

需要说明的是，如果将要为 UE建立的 PDU session的类型是以太网类型，那么 SMF将步骤 303接收到的 UE的以太网地址作为 UE将使用的会话地址，可以跳过步骤 304直接执行步骤 305。

另外，将要为 UE建立的 PDU session的类型不是以太网类型，则需要执行步骤 304 , 具体地，如果 PDU session类型为 IPv4 , SMF为 UE分配 IP地址作为 UE将使用的会话地址；如果 PDU session类型为 IPv6 , SMF为 UE分配 IP前缀作为 UE将使用的会话地址；如果 PDU session类型为非结构化， SMF为 UE分配隧道 IP地址或隧道 IP前缀作为 UE将使用的会话地址。其中，隧道 IP地址或隧道 IP前缀是为 UPF分配的。

305、 SMF向 AAA发送 diameter协议的 AAR消息，该消息携带授权请求、会话地址和 UE的次要 ID。

可选地， SMF还可以从 UE的签约数据中找到 UE的外部 ID , 将 UE的 SUPI、 PEI或外部 ID也一起增加到 diameter协议的 AAR消息中发送给 AAA。

306、 AAA向 SMF发送 diameter协议的 AAA消息，包含 4受权结果。

其中，授权结果可以是授权信息，表明将为 UE建立的 PDU session的权限。

307、 SMF将 PDU session的信息告知 PCF, 其中包含 PDU session的地址（即上述会话地址）。

可选地， PDU session的信息还可以包含 UE的一个或多个 ID。

308、 PCF将 PDU session的策略发送给 SMF。

309、 SMF将 PDU session的信息告知 UPF,其中包含 PDU session的地址和 PDU session的处理规则。

需要说明的是，上述 PDU session的处理规则是 SMF根据接收到的 PDU session 的策略生成的， UPF通过执行 PDU session的处理规则保证 PDU session不会超越授权的范围。

310、 UPF向 SMF回复响应。

311、 SMF向 AMF发送 PDU session建立应答。

312、 AMF向 UE转发 PDU session建立应答。

313、 UE获得 PDU session的地址。

如果 UE发送的 PDU是以太网类型，那么 PDU session地址是 UE的以太网地址。如果 PDU类型不是以太网类型，如： IP类型或非结构类型， PDU session的地址是由 SMF为 UE分配的， SMF通过另外的消息向 UE发送为 UE分配的会话地址，如釆用 DHCP协议的消息发送。另外，也可以在步骤 314-315中发送消息通知为 UE 分配的会话地址。

314、 AAA检测到需要修改上述 PDU session。

具体地， AAA根据 UE的 ID (在步骤 307获得）检测到该 UE在 DN的签约被修改，或者是 DN检测到该 UE的信任度或信誉度发生变化，也可能是 DN检测到该 PDU session的流量异常，流量监控的具体方法参照上一实施例对步骤 217的相关解释，在此不做赘述。

315、 AAA发送修改 PDU session的请求。

具体实现中， AAA可以使用 diameter协议的 RAR消息向 SMF发送修改 PDU session的请求（步骤 315a ); 需要说明的是，在此 AAA发送的消息中不携带 PDU session, 即不需要给 SMF提供 PDU session的地址来标识 PDU session。因为 SMF 和 AAA为每个 PDU session维护一个对应的 diameter会话，而图中 305、 306、 315a、 317a这 4条 diameter消息都在同一 diameter会话中。 AAA在 PDU session对应的 diameter会话中请求释放或修改 PDU session , SMF可以得知请求操作的 PDU session 为该会话对应的 PDU session。

或者， AAA使用 diameter协议的 AAR消息向 PCF发送修改 PDU session的请求（步骤 315bl ), PCF进一步触发 SMF修改 PDU session (步骤 315b2 )。 AAA发送的请求包含 PDU session的地址, 用于标识 PDU session, 还可以包含 UE的一个或多个 ID用于辅助标识 PDU session。另外，如果之前 AAA 已经向 PCF发送过这些信息（比如，之前 AAA已经通过 PCF发送过修改 PDU session的请求，请求中包含这些信息），则不需要包含这些信息。

316、 SMF修改 PDU session。

具体地， SMF请求（R)AN修改 PDU session的配置，请求经过 AMF转发。接着， (R)AN通知 UE关于 PDU session的改，（R)AN通知 SMF该 PDU session的配置已修改，通知经过 AMF转发。随后， SMF请求 UPF修改 PDU session的配置，并得到响应。

317、 AAA收到 PDU session修改请求的应答。

相应于上述步骤 315a, SMF向 AAA发送，消息为 diameter协议的 RAA消息（步骤 317a )。

或者，相应于上述步骤 315M , PCF收到 SMF发送的 PDU session修改请求的应答（步骤 317M ), PCF利用 diameter协议的 AAA消息将 PDU session修改请求的应答发送给 AAA (步骤 317b2 )。

上述步骤中的地址是指：如果 PDU session类型为 IPv4 , 地址为 SMF为 UE分配的 IP地址；如果 PDU session类型为 IPv6 , 地址为 SMF为 UE分配的 IP前缀；如果 PDU session类型为非结构化，地址为 SMF为 UE分配的隧道 IP地址或隧道 IP 前缀；如果 PDU session类型为以太网，地址为 UE的以太网地址。

与现有技术相比， SMF在步骤 302获得 UE的以太网地址，或者在步骤 604为 UE分配会话使用的或隧道使用的 IP地址 /前缀。在步骤 305中， SMF将这些地址放在授权请求的 diameter消息中发送给 AAA ,使得 DN可以识别该 PDU session的 PDU 并检测是否存在异常或以此来评判 UE的信任度或信誉值，进而判断需要修改该 PDU session; 或者在 UE的签约条件发生变化时， AAA可以关联到该 PDU session, 确定对该 PDU session进行修改。进而， AAA通过 PCF来触发 PDU session的修改。

本发明实施例还提供一种会话处理方法，以数据网元为 AAA为例，介绍了 AAA 利用用 PDU session 的授权发放和授权修改或取消来实现在用户面的认证，如图 7 所示，所述方法包括以下步骤：

401、 UE向 AMF发送 PDU session建立请求以及 UE的次要 ID。

当然，如果 PDU session的类型是以太网类型， UE将自己的以太网地址连同该请求一起发送到 AMF。

402、 AMF将 UE的 PDU session建立请求以及 UE的 SUPI、 UE的 PEI以及 UE 的次要 ID一并发送给 SMF。

如果 PDU session的类型是以太网， UE的以太网地址也一并发送给 SMF。

可选地， 403、 SMF确定需要 AAA认证 UE或 4受权 UE的 PDU session。

具体实现中， SMF 可以根据本地预存的策略（例如，访问该 DN 都需要 AAA 认证和授权）判断是否需要 AAA认证 UE或授权 UE的 PDU session; 或，以 UE发送的 PDU session建立请求携带的相关指示为判断依据；或者， SMF步骤 402和 403 之间，从 UDM中读取 UE的签约信息，根据签约信息中的读取相关策略判断是否需要 AAA认证 UE或 4受权 UE的 PDU session。

404、 SMF为 UE分配会话地址。

需要说明的是，如果将要为 UE建立的 PDU session的类型是以太网类型，那么 SMF将步骤 403接收到的 UE的以太网地址作为 UE将使用的会话地址，即上述会话地址，那么可以跳过步骤 404直接执行步骤 405。

另外，将要为 UE建立的 PDU session的类型不是以太网类型，则需要执行步骤 404 , 具体地，如果 PDU session类型为 IPv4 , SMF为 UE分配 IP地址作为 UE将使用的会话地址；如果 PDU session类型为 IPv6 , SMF为 UE分配 IP前缀作为 UE将使用的会话地址；如果 PDU session类型为非结构化， SMF为 UE分配隧道 IP地址或隧道 IP前缀作为 UE将使用的会话地址。其中，隧道 IP地址或隧道 IP前缀是为 UPF分配的。

405、 SMF向 AAA发送授权请求，同时将会话地址和 UE的次要 ID也发送给 AAA。

可选地， SMF还可以向 AAA发送 UE的 SUPI、 UE的 PEI以及 UE的外部 ID 中的任意一个或多个。其中， SMF可以从 UE的签约数据中找到 UE的外部 ID。具体实现中， S MF可以将要发送的消息通过 diameter协议的 A AR消息发送给 AAA。

可选地， 406、 AAA检查 UE是否有权限访问 DN。若 UE无有权限访问 DN , 则返回授权失败。若 UE有权限访问 DN , 流程继续进行。

407、 AAA向 SMF发送 diameter协议的 AAA消息，包含 4受权结果。

其中，授权结果为授权信息，表明将为 UE建立的 PDU session的权限。可选地，授权信息表明，该 PDU session只允许访问 AAA , 进一步还可以可将 PDU session 的最大传输速率限定在一个较小值。

在一些实施例中，可选地，该 PDU session的权限为允许访问 AAA 以及 DNS 服务器和 /或 DHCP服务器。其中，允许该 PDU session访问 DHCP服务器，使得 UE 可以通过 DHCP获得 IP地址。允许该 PDU session访问 DNS服务器，使得 UE可以通过 DNS查询 AAA/AAA proxy的地址。

408、 SMF将 PDU session的信息告知 PCF, 其中包含 PDU session的地址（即上述会话地址）。

可选地， SMF还可以向 PCF发送 UE的一个或多个 ID。

409、 PCF将 PDU session的策略发送给 SMF。

可选地， PDU session的策略表明，该 PDU session只允许访问 AAA , 进一步，可表征了该 PDU session的最大传输速率的门限值，并且该门限值是个较小的传输速率。

需要说明的是，步骤 407 和步骤 409 这两个步骤中至少一个步骤表明该 PDU session只允许访问 AAA。

410、 SMF将 PDU session的信息告知 UPF , 其中包含 PDU session的地址和处理规则。

需要说明的是，上述 PDU session的处理规则是 SMF根据接收到的 PDU session 的策略生成的， UPF通过执行 PDU session的处理规则保证 PDU session不会超越授权的范围。具体地，处理规则可以表明该 PDU session只允许访问 AAA,并且该 PDU session的最大传输速率不能超过一个门限值。

411、 UPF向 SMF回复响应。

412、 SMF向 AMF发送 PDU session建立应答。

413、 AMF向 UE转发 PDU session建立应答。

414、 UE获得 PDU session的地址。

如果 UE发送的 PDU是以太网类型，那么 PDU session的地址是 UE的以太网地址。如果 PDU类型不是以太网类型，如： IP类型或非结构类型， PDU session地址是由 SMF为 UE分配的， SMF通过另外的消息向 UE发送为 UE分配的地址，如釆用 DHCP协议的消息发送。另外，也可以在步骤 414-415之间发送消息通知为 UE 分配的地址。

415、 AAA利用建立好的 PDU session对 UE进行认证。

具体地，认证消息通过 PDU传送。若 PDU类型为 IP , 则可以使用任何基于 IP 协议的认证协议，比如 SIP协议。若 PDU类型为以太网，则可以使用任何基于以太网的认证协议 , 比如 PPPoE协议和 EAPoL协议。

416、 AAA才艮据认证结果判断需要改或释放该 PDU session^

具体地，如果认证成功， AAA判断需要修改 PDU session, 使得 PDU session可以访问除 AAA 外的网元，和 /或，使得 UE 可以使用更大的传输速率通过该 PDU session访问除 AAA外的其他网元。如果认证成功， AAA判断需要释放 PDU session。

另外，可以通过 PDU session的地址确定认证结果和 PDU session的对应关系。示例的，携带认证结果的 PDU 的源地址或源隧道地址即为该认证结果对应的 PDU session的地址。

417、才艮据上述步骤 416的结果， AAA发送修改 PDU session的请求或释放 PDU session的请求。

417a 、该请求可发送给 SMF。若为修改 PDU session的请求，使用 diameter协议的 RAR消息。若为释放 PDU session的请求，使用 diameter协议的 ASR消息。

417bl、该请求也可发给 PCF; 若为修改 PDU session的请求，使用 diameter协议的 AAR消息；若为释放 PDU session的请求，使用 diameter协议的 AAR消息或 STR消息。 AAA发送的请求包含 PDU session的地址，用于标识 PDU session, 还可以包含 UE的一个或多个 ID用于辅助标识 PDU session。另外，如果之前 AAA已经向 PCF发送过这些信息 (比如，之前 AAA 已经通过 PCF发送过修改 PDU session 的请求，请求中包含这些信息），则不需要包含这些信息。

417b2、 PCF进一步触发 SMF修改或释放 PDU session。

418、 SMF 改或释放 PDU session。

419、 AAA收到修改 PDU session的应答或释放 PDU session的应答。

对应 419a,该应答可以由 SMF发送给 AAA(步骤 419a )。若为修改 PDU session 的应答，应答消息为 diameter协议的 RAA消息。若为释放 PDU session的应答，应答消息为 diameter协议的 ASA消息。

对应 417bl , PCF接收 SMF的应答（步骤 419bl ); 进一步， PCF向 AAA发送应答（步骤 419b2 )。若为修改 PDU session的应答， PCF发送的应答消息为 diameter 协议的 AAA消息（ diameter协议中的该消息名与标准中的 AAA网元同名）。若为释放 PDU session的应答，应答消息为 diameter协议的 AAA消息或 STA消息。

本实施例中， SMF获得 UE的以太网地址，或者为 UE分配 UE使用的或隧道使用的 IP地址 /前缀。 SMF将这些地址放在授权请求的 diameter消息中发送给 AAA, 使得 DN可以识别该 PDU session的 PDU , 从而当在建立该 PDU session后再次对 UE认证时，可以关联到认证结果对应的 PDU session, 进而在认证成功或失败时， AAA知道该触发哪个 PDU session的修改或释放。另一方面，本实施例利用 AAA触发 PDU session的修改和释放，实现了对多种认证协议的支持，而不需要 3GPP网络进行额外的改造。

本发明实施例还提供一种会话处理方法，以数据网元为 AAA的代理网元 AAA proxy为例，介绍了利用 PDU session的授权发放和授权修改 /取消来实现在用户面的认证流程，如图 8所示，所述方法包括以下步骤：

501、 UE向 AMF发送 PDU session建立请求以及 UE的次要 ID。

502、 AMF将 UE的 PDU session建立请求以及 UE的 SUPI、 UE的 PEI以及 UE 的次要 ID一并发送给 SMF。

可选地， 503、 SMF判断需要 AAA认证 UE或 4受权 UE的 PDU session。具体实现中， SMF 可以根据本地预存的策略（例如，访问该 DN 都需要 AAA 认证和授权）判断是否需要 AAA认证 UE或授权 UE的 PDU session; 或，以 UE发送的 PDU session建立请求携带的相关指示为判断依据；或者， SMF步骤 502和 503 之间，从 UDM中读取 UE的签约信息，根据签约信息中的读取相关策略判断是否需要 AAA认证 UE或 4受权 UE的 PDU session。

504、 SMF为 UE分配会话地址。

需要说明的是，如果将要为 UE建立的 PDU session的类型是以太网类型，那么 SMF将步骤 503接收到的 UE的以太网地址作为 UE将使用的会话地址，即上述会话地址，那么可以跳过步骤 504直接执行步骤 505。

另外，将要为 UE建立的 PDU session的类型不是以太网类型，则需要执行步骤 504 , 具体地，如果 PDU session类型为 IPv4 , SMF为 UE分配 IP地址作为 UE将使用的会话地址；如果 PDU session类型为 IPv6 , SMF为 UE分配 IP前缀作为 UE将使用的会话地址；如果 PDU session类型为非结构化， SMF为 UE分配隧道 IP地址或隧道 IP前缀作为 UE将使用的会话地址。其中，隧道 IP地址或隧道 IP前缀是为 UPF分配的。

505、 SMF向 AAA proxy发送授权请求，同时将会话地址和次要 ID也发送给 AAA proxy。

可选地， SMF还可以向 AAA proxy发送 UE的 SUPI、 UE的 PEI以及 UE的外部 ID中的任意一个或多个。其中， SMF可以从 UE的签约数据中找到 UE的外部 ID。具体实现中， SMF可以将要发送的消息通过 diameter协议的 AAR消息发送给 AAA proxy。

506、 AAA proxy向 AAA发送 4受权请求，请求包含 UE的次要 ID。

507、 AAA检查 UE是否有权限访问 DN。若有权限，返回授权成功，流程继续进行。

需要说明的是，步骤 506、 507是可选步骤。

508、 AAA proxy向 SMF发送 diameter协议的 AAA消息，包含 4受权结果。其中，授权结果为授权信息，表明将为 UE建立的 PDU session的权限。可选地，授权信息表明，该 PDU session 只允许访问 AAA proxy, 进一步还可以可将 PDU session的最大传输速率限定在一个较小值。

在一些实施例中，可选地，该 PDU session的权限为允许访问 AAA proxy以及 DNS服务器和 /或 DHCP服务器。其中，允许该 PDU session访问 DHCP服务器，使得 UE可以通过 DHCP获得 IP地址。允许该 PDU session访问 DNS服务器，使得 UE可以通过 DNS查询 AAA/AAA proxy的地址。

509、 SMF将 PDU session的信息告知 PCF , 其中包含 PDU session的地址。可选地， SMF还可以向 PCF发送 UE的一个或多个 ID。

510、 PCF将 PDU session的策略发送给 SMF。

可选地， PDU session的策略表明，该 PDU session只允许访问 AAA , 进一步，可表征了该 PDU session的最大传输速率的门限值，并且该门限值是个较小的传输速率。需要说明的是，步骤 508 和步骤 510 这两个步骤中至少一个步骤表明该 PDU session只允许访问 AAA proxy。

51 SMF将 PDU session的信息告知 UPF,其中包含 PDU session的地址和 PDU session的处理规则。

512、 UPF向 SMF回复响应。

513、 SMF向 AMF发送 PDU session建立应答。

514、 AMF向 UE转发 PDU session建立应答。

515、 UE获得 PDU session的地址。

如果 UE发送的 PDU是以太网类型，那么 PDU session的地址是 UE的以太网地址。如果 PDU类型不是以太网类型，如： IP类型或非结构类型， PDU session的地址是由 SMF为 UE分配的， SMF通过另外的消息向 UE发送为 UE分配的地址，如釆用 DHCP协议的消息发送。另外，也可以在步骤 515-516之间发送消息通知为 UE分配的地址。

516、 AAA利用建立好的 PDU session对 UE进行认证。

具体地，认证消息通过 PDU在 UE和 AAA proxy间传送， AAA proxy为 AAA 和 UE转发认证消息。

进一步，若 PDU类型为 IP , 则可以使用任何基于 IP协议的认证协议，比如 SIP 协议。若 PDU类型为以太网，则可以使用任何基于以太网的认证协议，比如 PPPoE 协议和 EAPoL协议。

517、 AAA proxy才艮据认证结果判断需要改或释放该 PDU session。

具体地，如果认证成功， AAA判断需要修改 PDU session, 使得 PDU session可以访问除 AAA 外的网元，和 /或，使得 UE 可以使用更大的传输速率通过该 PDU session 访问除 AAA proxy 外其他网元。如果认证成功， AAA 判断需要释放 PDU S6sskm。

另外，可以通过 PDU session的地址确定认证结果和 PDU session的对应关系。具体地，通过上行流量的 PDU的源地址或源隧道地址识别可以确定该认证对应上述 PDU session。示例的，携带认证结果的 PDU的源地址或源隧道地址即为该认证结果对应的 PDU session的地址。类似地，通过下行流量的 PDU的目的地址或目的隧道地址可以确定该认证对应上述 PDU session。如果 PDU类型为 IPv4 , 则上行 PDU的源 IP地址、下行 PDU的目的 IP地址与步骤 505 中获得的 IP地址一致；如果 PDU 类型为 IPv6 , 则上行 PDU的源 IP地址、下行 PDU的目的 IP地址与步骤 507 中获得的 IP前缀匹配；如果 PDU类型为以太网，则上行 PDU的源以太网地址、下行 PDU 的目的以太网地址与步骤 505中获得的以太网地址一致；如果 PDU类型为非结构化，则上行 PDU的源隧道地址、下行 PDU的目的隧道地址与步骤 505 中获得的隧道 IP 地址或隧道 IP前缀匹配。 518、根据步骤 517的结果， AAA proxy发送修改 PDU session的请求或释放 PDU session的请求。

518a 、该请求可发送给 SMF。若为修改 PDU session的请求，使用 diameter协议的 RAR消息。若为释放 PDU session的请求，使用 diameter协议的 ASR消息。

518bl、该请求也可发给 PCF; 若为修改 PDU session的请求，使用 diameter协议的 AAR消息；若为释放 PDU session的请求，使用 diameter协议的 AAR消息或 STR消息。 AAA发送的请求包含 PDU session的地址，用于标识 PDU session, 还可以包含 UE的一个或多个 ID用于辅助标识 PDU session。另外，如果之前 AAA已经向 PCF发送过这些信息（比如，之前 AAAproxy已经通过 PCF发送过修改 PDU session 的请求，请求中包含这些信息），则不需要包含这些信息。

518b2、 PCF进一步触发 SMF修改或释放 PDU session。

519、 SMF 改或释放 PDU session。

520、 AAA proxy收到改 PDU session的应答或释放 PDU session的应答。对应 518a, 该应答可以由 SMF发送给 AAA proxy (步骤 520a )。若为修改 PDU session的应答，应答消息为 diameter协议的 RAA消息。若为释放 PDU session的应答，应答消息为 diameter协议的 ASA消息。

对应 518bl , PCF接收 SMF的应答（步骤 520M ); 进一步， PCF向 AAA proxy 发送应答（步骤 520b2 )。若为修改 PDU session 的应答， PCF 发送的应答消息为 diameter协议的 AAA消息（ diameter协议中的该消息名与标准中的 AAA网元同名）。若为释放 PDU session的应答，应答消息为 diameter协议的 AAA消息或 STA消息。

需要说明的是，本实施例中相比于上一实施例的不同在于：增加了 AAA的代理网元 AAA proxy , 上一实施例中 AAA执行的大部分步骤转移到 AAA proxy。另外，本实施例中的 AAA 可以是 IP 多媒体子系统（IP multimedia subsystem, IMS)中的 S-CSCF网元， AAA proxy可以是 IMS中的 P-CSCF网元。

与现有技术相比， SMF获得 UE的以太网地址，或者为 UE分配 UE使用的或隧道使用的 IP地址 /前缀。 SMF将这些地址放在授权请求的 diameter消息中发送给 AAA proxy,使得 AAA proxy可以只另' J该 PDU session的 PDU ,从而当在建立该 PDU session 后再次对 UE认证时，可以关联到认证结果对应的 PDU session, 进而在认证成功或失败时， AAA proxy知道该触发哪个 PDU session的修改或释放。

本发明实施例还提供一种会话处理方法，以数据网元为 AAA的代理网元 AAA proxy为例，介绍了利用 PDU session的授权发放和授权修改 /取消来实现在用户面的认证流程，如图 9所示，所述方法包括以下步骤：

601、 UE向 AMF发送 PDU session建立请求以及 UE的次要 ID。

602、 AMF将 UE的 PDU session建立请求以及 UE的 SUPI、 UE的 PEI以及 UE 的次要 ID一并发送给 SMF。

可选地， 603、 SMF判断需要 AAA认证和 /或授权 UE的 PDU session。 SMF判断需要 AAA认证 UE或 4受权 UE的 PDU session。

具体实现中， SMF 可以根据本地预存的策略（例如，访问该 DN 都需要 AAA 认证和授权）判断是否需要 AAA认证 UE或授权 UE的 PDU session; 或，以 UE发送的 PDU session建立请求携带的相关指示为判断依据；或者， SMF步骤 602和 603 之间，从 UDM中读取 UE的签约信息，根据签约信息中的读取相关策略判断是否需要 AAA认证 UE或 4受权 UE的 PDU session。

604、 SMF为 UE分配会话地址。

需要说明的是，如果将要为 UE建立的 PDU session的类型是以太网类型，那么 SMF将步骤 603接收到的 UE的以太网地址作为 UE将使用的会话地址，即上述会话地址，可以跳过步骤 604直接执行步骤 605。

另外，将要为 UE建立的 PDU session的类型不是以太网类型，则需要执行步骤 604 , 具体地，如果 PDU session类型为 IPv4 , SMF为 UE分配 IP地址作为 UE将使用的会话地址；如果 PDU session类型为 IPv6 , SMF为 UE分配 IP前缀作为 UE将使用的会话地址；如果 PDU session类型为非结构化， SMF为 UE分配隧道 IP地址或隧道 IP前缀作为 UE将使用的会话地址。其中，隧道 IP地址或隧道 IP前缀是为 UPF分配的。

605、 SMF向 AAA或 AAA proxy发送授权请求，同时将会话地址和次要 ID也发送给 AAA或 AAA proxy。

可选地， SMF还可以向 AAA proxy或 AAA发送 UE的 SUPI、 UE的 PEI以及 UE 的外部 ID 中的任意一个或多个。其中， SMF可以从 UE 的签约数据中找到 UE 的外部 ID。具体实现中， SMF可以将要发送的消息通过 diameter协议的 AAR消息发送给 AAA proxy或 AAA 。

606、 AAA/AAA proxy启动定时器。

607、 AAA/ AAA proxy向 SMF发送 diameter协议的 AAA消息或 DEA消息，包含授权结果。

其中，授权结果为授权信息，表明将为 UE建立的 PDU session的权限。可选地，授权信息表明，该 PDU session只允许访问 AAA或 AAA proxy, 进一步还可以可将 PDU session的最大传输速率限定在一个较小值。

需要说明的是，步骤 606可以和步骤 607交换，也就是说， AAA/AAA proxy向 SMF发送 diameter协议的 AAA消息或 DEA消息之后，再启动定时器。

608、 SMF将 PDU session的信息告知 PCF , 其中包含 PDU session的地址。可选地， SMF还可以向 PCF发送 UE的一个或多个 ID。

609、 PCF将 PDU session的策略发送给 SMF。

需要说明的是，步骤 607 和步骤 609 这两个步骤中至少一个步骤表明该 PDU session只允许访问 AAA或 AAA proxy。

610、 SMF将 PDU session的信息告知 UPF,其中包含 PDU session的地址和 PDU session的处理规则。

需要说明的是，上述 PDU session的处理规则是 SMF根据接收到的 PDU session 的策略生成的， UPF通过执行 PDU session的处理规则保证 PDU session不会超越授权的范围。具体地，处理规则可以表明该 PDU session只允许访问 AAA或 AAA proxy , 并且该 PDU session的最大传输速率不能超过一个门限值。

611、 UPF向 SMF回复响应。

612、 SMF向 AMF发送 PDU session建立应答。

613、 AMF向 UE转发 PDU session建立应答。

614、 UE获得 PDU session地址。

如果 UE发送的 PDU是以太网类型，那么 PDU session地址是 UE的以太网地址。如果 PDU类型不是以太网类型，如： IP类型或非结构类型， PDU session地址是由 SMF为 UE分配的， SMF通过另外的消息向 UE发送为 UE分配的地址，如釆用 DHCP协议的消息发送。另外，也可以在步骤 614-615 之间发送消息通知为 UE 分配的地址。

615、定时器超时，而 AAA/ AAA proxy还未收到 UE发的该 PDU session的 PDU , 判断需要释放该 PDU session。

AAA/AAA proxy可以才艮据步骤 605获得的地址识别该 PDU session的 PDU , PDU 的源地址或源隧道地址识别可以确定 PDU是否对应上述 PDU session。示例的，如果 PDU类型为 IPv4 , 则 PDU的源 IP地址、与步骤 605 中获得的 IP地址一致；如果 PDU类型为 IPv6 , 则 PDU的源 IP地址与步骤 605 中获得的 IP前缀匹配；如果 PDU类型为以太网，则 PDU的源以太网地址与步骤 605中获得的以太网地址一致；如果 PDU类型为非结构化，则 PDU的源隧道地址与步骤 605中获得的隧道 IP地址或隧道 IP前缀匹配。

616、才艮据步骤 615的结果， AAA/AAA proxy发送释放 PDU session的请求。 616a、 AAA/AAA proxy可以将该请求发送给 SMF。释放 PDU session的请求，使用 diameter协议的 ASR消息。

616bl、 AAA/AAA proxy将该请求发给 PCF; 释放 PDU session的请求，使用 diameter协议的 AAR消息或 STR消息。 AAAproxy/AAA发送的请求包含 PDU session 的地址，用于标识 PDU session,还可以包含 UE的一个或多个 ID用于辅助标识 PDU session₀ 另夕卜，如果之前 AAAproxy/AAA 已经向 PCF发送过这些信息（比如，之前 AAAproxy/AAA已经通过 PCF发送过修改 PDU session的请求，请求中包含这些信息），则不需要包含这些信息。

616b2、 PCF进一步触发 SMF释放 PDU session。

617、 SMF释放 PDU session。

618、 AAA proxy/AAA收到释放 PDU session的应答。对应 616a,该应答可以由 SMF发送给 AAA proxy(步骤 618a )。释放 PDU session 的应答消息为 diameter协议的 ASA消息。

对应 616bl , PCF接收 SMF的应答（步骤 618bl ); 进一步， PCF向 AAA proxy 发送应答（步骤 618b2 )。释放 PDU session的应答消息为 diameter协议的 AAA消息或 STA消息。

与现有技术相比， SMF可以获得 UE的以太网地址，或者为 UE分配 UE使用的或隧道使用的 IP地址 /前缀。 SMF将这些地址放在授权请求的 diameter消息中发送给 AAA/AAA proxy, 使得 AAA/AAA proxy可以识别该 PDU session的 PDU ,从而在超时未收到过该 PDU session的用于认证的 PDU时， AA/AAA proxy判断要释放该 PDU session₀ 进而 AAA/AAA proxy通过 PCF来触发 PDU session的释放。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，各个网元，例如 SMF、数据网络网元为了实现上述功能，其包含了执行各个功能相应的硬件结构和 /或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对 SMF、数据网络网元进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以釆用硬件的形式实现，也可以釆用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在釆用对应各个功能划分各个功能模块的情况下，图 10示出了上述实施例中涉及的会话管理功能网元 SMF的一种可能的组成示意图，如图 10所示，该基站可以包括：接收单元 701、确定单元 702、发送单元 703以及建立单元 704。

其中，接收单元 701用于支持 SMF执行图 4所示的会话处理方法中的步骤 101。确定单元 702 , 用于支持 SMF执行图 4所示的会话处理方法中的步骤 102。发送单元 703 , 用于支持 SMF执行图 4所示的会话处理方法中的步骤 103。发送单元 704 , 用于支持 SMF执行图 4所示的会话处理方法中的步骤 104。需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

本申请实施例提供的 SMF, 用于执行上述发现信号的传输方法，因此可以达到与上述发现信号的传输方法相同的效果。

在釆用集成的单元的情况下，图 11 示出了上述实施例中所涉及的 SMF的另一种可能的组成示意图。如图 1所示，该 SMF包括：处理模块 801和通信模块 802。

处理模块 801 用于对服务器的动作进行控制管理，例如，处理模块 801 用于支持 SMF执行图 4 中的步骤 102、 105、和 /或用于本文所描述的技术的其它过程。通信模块 802用于支持 SMF与其他网络实体的通信，例如与图 1示出的 UPF之间的通信。 SMF还可以包括存储模块 803 , 用于存储服务器的程序代码和数据。其中，处理模块 801 可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合， DSP 和微处理器的组合等等。通信模块 802可以是收发器、收发电路或通信接口等。存储模块 803可以是存储器。

当处理模块 801 为处理器，通信模块 802为通信接口，存储模块 803为存储器时，本申请实施例所涉及的 SMF可以为图 2所示的会话管理功能网元。

在釆用对应各个功能划分各个功能模块的情况下，图 12示出了上述和实施例中涉及的数据网络网元的一种可能的组成示意图，如图 12所示，该数据网络网元可以包括：接收单元 901、发送单元 902、检测单元 903以及生成单元 904。该数据网络网元可以是图 1所示 DN中的网元。

其中，接收单元 901 , 用于支持数据网络网元执行图 4所示的会话处理方法中的步骤 103。

发送单元 902 , 用于支持数据网络网元执行图 4 所示的会话处理方法中的步骤 104 , 以及步骤 107 中 "利用所述生成单元生成的所述会话处理请求指示所述 SMF处理所述 UE的会话 " 的步骤

检测单元 903 , 用于支持数据网络网元执行图 4 所示的会话处理方法中的步骤

106。

生成单元 904 , 用于支持数据网络网元执行图 4 所示的会话处理方法中的步骤 107中 "生成会话处理请求" 的步骤。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

本申请实施例提供的数据网络网元，用于执行上述发现信号的传输方法，因此可以达到与上述发现信号的传输方法相同的效果。

在釆用集成的单元的情况下，图 13示出了上述实施例中所涉及的数据网络网元的另一种可能的组成示意图。如图 13 所示，该数据网络网元包括：处理模块 1001 和通信模块 1002。

处理模块 1001用于对数据网络网元的动作进行控制管理，例如，处理模块 1001 用于支持 SMF执行图 4 中的步骤 106、 107、和 /或用于本文所描述的技术的其它过程。。通信模块 1002用于支持数据网络网元与其他网络实体的通信，例如与 1 中示出的 UPF之间的通信。如图 13所示，数据网络网元还可以包括存储模块 1003 , 用于存储数据网络网元的程序代码和数据。

其中，处理模块 1001可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合， DSP 和微处理器的组合等等。通信模块 1002可以是收发器、收发电路或通信接口等。存储模块 1003可以是存储器。

当处理模块 1001为处理器，通信模块 502为收发器，存储模块 503为存储器时，本申请实施例所涉及的数据网络网元可以为图 3所示的数据网络网元。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和筒洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以釆用硬件的形式实现，也可以釆用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若千指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）或处理器执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：快闪存储器、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

权利要求书

1、一种会话处理方法，其特征在于，包括：

会话管理功能网元 SMF接收来自用户设备 UE的会话建立请求，确定所述 UE的会话将使用的会话地址；

所述 SMF 向数据网络网元发送数据网络访问请求；所述数据网络访问请求包括所述会话地址以及所述 UE的标识；

所述 SMF 接收所述数据网络网元发送的响应消息，所述响应消息指示允许所述 UE访问数据网络；

所述 SMF建立所述 UE的会话。

2、根据权利要求 1所述的方法，其特征在于，所述 SMF建立所述 UE的会话之后，所述方法还包括：

所述 SMF 接收由所述数据网络网元触发的会话处理请求，根据所述会话处理请求处理所述 UE的会话。

3、根据权利要求 1所述的方法，其特征在于，所述确定 UE的会话将使用的会话地址具体包括：

所述 SMF解析所述会话建立请求，获得所述会话建立请求中的所述 UE的以太网地址作为所述会话地址；或，

所述 SMF为所述 UE分配 IP地址作为所述会话地址；或，

所述 SMF为所述 UE分配 IP前缀作为所述会话地址；或，

所述 SMF为用户面功能网元 UPF分配隧道 IP地址作为所述会话地址；或，所述 SMF为 UPF分配隧道 IP前缀作为所述会话地址。

4、根据权利要求 1 -3 任一项所述的方法，其特征在于，所述数据网络访问请求为认证请求，所述响应消息为认证响应消息，所述认证响应消息携带认证成功标识。

5、根据权利要求 1 -3 任一项所述的方法，其特征在于，所述数据网络访问请求为认证请求，所述响应消息为认证响应消息；所述认证请求携带授权请求标识，所述认证响应消息携带认证成功标识以及授权成功标识。

6、根据权利要求 1 -3 任一项所述的方法，其特征在于，所述数据网络访问请求为授权请求，所述响应消息为授权响应消息；所述授权响应消息携带授权成功标识。

7、根据权利要求 2-6任一项所述的方法，其特征在于，所述 SMF接收由所述数据网络网元触发的会话处理请求具体包括：

接收所述数据网络网元发送的第一会话处理请求；

或，接收策略控制功能网元发送的第三会话处理请求，所述第三会话处理请求是所述策略控制功能网元接收所述数据网络网元发送的第二会话处理请求后向所述 SMF发送的。

8、根据权利要求 2-7 任一项所述的方法，其特征在于，所述根据所述会话处理请求处理所述 UE的会话包括：

删除所述 UE的会话或修改所述 UE的会话。

9、一种会话处理方法，其特征在于，包括：

数据网络网元接收会话管理功能网元 SMF 发送的数据网络访问请求；所述数据网络访问请求包括用户设备 UE的标识以及所述 UE将使用的会话地址；所述数据网络网元向所述 SMF 发送响应消息，所述响应消息指示允许所述 UE访问数据网络，以便所述 SMF建立所述 UE的会话；

所述数据网络网元根据所述会话地址或所述 UE的标识检测到需要处理所述 UE的会话，生成会话处理请求，利用所述会话处理请求指示所述 SMF处理所述 UE的会话。

10、根据权利要求 9所述的方法，其特征在于，所述数据网络访问请求为认证请求，所述响应消息为认证响应消息，所述认证响应消息携带认证成功标识。

1 1、根据权利要求 9所述的方法，其特征在于，所述数据网络访问请求为认证请求，所述响应消息为认证响应消息；所述认证请求携带授权请求标识，所述认证响应消息携带认证成功标识以及授权成功标识。

12、根据权利要求 9所述的方法，其特征在于，所述数据网络访问请求为授权请求，所述响应消息为授权响应消息；所述授权响应消息携带授权成功标识。

13、根据权利要求 9- 12 任一项所述的方法，其特征在于，所述数据网络网元根据所述会话地址或所述 UE 的标识检测到需要处理所述 UE 的会话具体包括：

监测到所述 UE为异常接入状态，则确定需要处理所述 UE 的标识对应的会话；所述异常接入状态至少包括：所述 UE为非法 UE、所述 UE的签约情况发生变化以及所述 UE的信任度发生变化中的任意一种；

或，监测到所述会话地址对应的流量发生变化，则确定需要处理所述会话地址对应的会话。

14、根据权利要求 9- 12 任一项所述的方法，其特征在于，所述数据网络网元检测到需要处理所述 UE的会话之前，所述方法还包括：

通过所述 UE的会话接收所述 UE发送的认证请求，对所述 UE进行认证。

15、根据权利要求 14 所述的方法，其特征在于，所述数据网络网元根据所述 UE的标识检测到需要处理所述 UE的会话具体包括：

若对所述 UE 进行认证的认证结果为认证成功，则确定需要修改所述 UE 的标识对应的会话，提高所述 UE 利用所述 UE 的会话进行数据传输时的最大传输速率和 /或使得所述 UE可以利用所述 UE的会话访问除所述数据网络网元外的其他网元。

16、根据权利要求 14 所述的方法，其特征在于，所述数据网络网元根据所述 UE的标识检测到需要处理所述 UE的会话具体包括：

若对所述 UE 进行认证的认证结果为认证失败，则确定需要删除所述 UE 的标识对应的会话。

17、根据权利要求 9- 12 任一项所述的方法，其特征在于，所述数据网络网元根据所述 UE的标识检测到需要处理所述 UE的会话具体包括：所述数据网络网元在接收所述数据网络访问请求之后的第一时间窗内未接收到所述 UE通过所述 UE的会话发送的数据包，则确定需要删除所述 UE的标识对应的会话；

或，所述数据网络网元在向所述 SMF 发送所述响应消息之后的第二时间窗内未接收到所述 UE通过所述 UE 的会话发送的数据包，则确定需要删除所述 UE的标识对应的会话。

18、根据权利要求 9- 17 任一项所述的方法，其特征在于，所述数据网络网元生成会话处理请求，利用所述会话处理请求指示所述 SMF处理所述 UE的会话具体包括：

向所述 SMF发送第一会话处理请求指示所述 SMF处理所述 UE的会话。

19、根据权利要求 9- 17 任一项所述的方法，其特征在于，所述数据网络网元生成会话处理请求，利用所述会话处理请求指示所述 SMF处理所述 UE的会话具体包括：

向策略控制功能网元 PCF 发送第二会话处理请求指示所述 PCF 向所述 SMF发送第二会话处理请求以触发所述 SMF处理所述 UE的会话。

20、根据权利要求 19 所述的方法，其特征在于，所述第二会话处理请求携带所述会话地址。

21、根据权利要求 19所述的方法，其特征在于，所述数据网络网元向 PCF 发送第二会话处理请求之前，所述方法还包括：

所述数据网络网元向所述 PCF发送所述会话地址。

22、一种会话管理功能网元 SMF , 其特征在于，包括：

接收单元，用于接收来自用户设备 UE的会话建立请求；

确定单元，用于确定所述 UE的会话将使用的会话地址；

发送单元，用于向数据网络网元发送数据网络访问请求；所述数据网络访问请求包括所述会话地址以及所述 UE的标识；

所述接收单元还用于，接收所述数据网络网元发送的响应消息，所述响应消息指示允许所述 UE访问数据网络；

建立单元，用于建立所述 UE的会话。

23、根据权利要求 22所述的 SMF , 其特征在于，还包括处理单元，所述接收单元还用于，在所述建立单元建立所述 UE的会话之后，接收由所述数据网络网元触发的会话处理请求；

所述处理单元用于，根据所述会话处理请求处理所述 UE的会话。

24、根据权利要求 22所述的 SMF , 其特征在于，

所述确定单元具体用于，解析所述会话建立请求，获得所述会话建立请求中的所述 UE的以太网地址作为所述会话地址；或，

为所述 UE分配 IP地址作为所述会话地址；或，

为所述 UE分配 IP前缀作为所述会话地址；或，

为用户面功能网元 UPF分配隧道 IP地址作为所述会话地址；或，为 UPF分配隧道 IP前缀作为所述会话地址。

25、根据权利要求 22-24任一项所述的 SMF , 其特征在于，所述数据网络访问请求为认证请求，所述响应消息为认证响应消息，所述认证响应消息携带认证成功标识。

26、根据权利要求 22-24任一项所述的 SMF , 其特征在于，所述数据网络访问请求为认证请求，所述响应消息为认证响应消息；所述认证请求携带授权请求标识，所述认证响应消息携带认证成功标识以及授权成功标识。

27、根据权利要求 22-24任一项所述的 SMF , 其特征在于，所述数据网络访问请求为授权请求，所述响应消息为授权响应消息；所述授权响应消息携带 4受权成功标识。

28、根据权利要求 23-27任一项所述的 SMF , 其特征在于，所述接收单元具体用于，接收所述数据网络网元发送的第一会话处理请求；

29、根据权利要求 23-28任一项所述的 SMF , 其特征在于，所述处理单元具体用于，删除所述 UE的会话或修改所述 UE的会话。

30、一种数据网络网元，其特征在于，包括：

接收单元，用于接收会话管理功能网元 SMF 发送的数据网络访问请求；所述数据网络访问请求包括用户设备 UE 的标识以及所述 UE将使用的会话地址；

发送单元，用于向所述 SMF 发送响应消息，所述响应消息指示允许所述 UE访问数据网络，以便所述 SMF建立所述 UE的会话；

检测单元，用于根据所述会话地址或所述 UE的标识检测到需要处理所述 UE的会话；

生成单元，用于当所述检测单元检测到需要处理所述 UE的会话，则生成会话处理请求；

所述发送单元，还用于利用所述生成单元生成的所述会话处理请求指示所述 SMF处理所述 UE的会话。

3 1、根据权利要求 30 所述的数据网络网元，其特征在于，所述数据网络访问请求为认证请求，所述响应消息为认证响应消息，所述认证响应消息携带认证成功标识。

32、根据权利要求 30 所述的数据网络网元，其特征在于，所述数据网络访问请求为认证请求，所述响应消息为认证响应消息；所述认证请求携带授权请求标识，所述认证响应消息携带认证成功标识以及授权成功标识。

33、根据权利要求 30 所述的数据网络网元，其特征在于，所述数据网络访问请求为授权请求，所述响应消息为授权响应消息；所述授权响应消息携带 4受权成功标识。

34、根据权利要求 30-33任一项所述的数据网络网元，其特征在于，所述检测单元具体用于，监测到所述 UE为异常接入状态，则确定需要处理所述 UE 的标识对应的会话；所述异常接入状态至少包括：所述 UE 为非法 UE、所述 UE的签约情况发生变化以及所述 UE的信任度发生变化中的任意一种；

35、根据权利要求 30-33任一项所述的数据网络网元，其特征在于，所述接收单元还用于，在所述检测单元检测到需要处理所述 UE 的会话之前，通过所述 UE的会话接收所述 UE发送的认证请求，对所述 UE进行认证。

36、根据权利要求 35 所述的数据网络网元，其特征在于，所述检测单元具体用于，若对所述 UE进行认证的认证结果为认证成功，则确定需要修改所述 UE的标识对应的会话，提高所述 UE利用所述 UE的会话进行数据传输时的最大传输速率和 /或使得所述 UE可以利用所述 UE的会话访问除所述数据网络网元夕卜的其他网元。

37、根据权利要求 35 所述的数据网络网元，其特征在于，所述检测单元具体用于，若对所述 UE进行认证的认证结果为认证失败，则确定需要删除所述 UE的标识对应的会话。

38、根据权利要求 30-33任一项所述的数据网络网元，其特征在于，所述检测单元具体用于，在接收所述数据网络访问请求之后的第一时间窗内所述接收单元未接收到所述 UE通过所述 UE 的会话发送的数据包，则确定需要删除所述 UE的标识对应的会话；

或，在向所述 SMF 发送所述响应消息之后的第二时间窗内所述接收单元未接收到所述 UE通过所述 UE的会话发送的数据包，则确定需要删除所述 UE 的标识对应的会话。

39、根据权利要求 30-38任一项所述的数据网络网元，其特征在于，所述发送单元具体用于，向所述 SMF发送第一会话处理请求指示所述 SMF处理所述 UE的会话

40、根据权利要求 30-38任一项所述的数据网络网元，其特征在于，所述发送单元具体用于，向策略控制功能网元 PCF发送第二会话处理请求指示所述 PCF向所述 SMF发送第二会话处理请求以触发所述 SMF处理所述 UE的会话。

41、根据权利要求 40 所述的数据网络网元，其特征在于，所述第二会话处理请求携带所述会话地址。

42、根据权利要求 40 所述的数据网络网元，其特征在于，所述发送单元还用于，在向 PCF发送第二会话处理请求之前，向所述 PCF发送所述会话地址。