WO2019157909A1 - 一种通信方法及通信装置 - Google Patents

一种通信方法及通信装置 Download PDF

Info

Publication number
WO2019157909A1
WO2019157909A1 PCT/CN2019/072529 CN2019072529W WO2019157909A1 WO 2019157909 A1 WO2019157909 A1 WO 2019157909A1 CN 2019072529 W CN2019072529 W CN 2019072529W WO 2019157909 A1 WO2019157909 A1 WO 2019157909A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
network element
authentication
request message
mobility management
Prior art date
Application number
PCT/CN2019/072529
Other languages
English (en)
French (fr)
Inventor
应江威
谭仕勇
杨艳梅
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Priority to EP19753947.1A priority Critical patent/EP3745757A4/en
Publication of WO2019157909A1 publication Critical patent/WO2019157909A1/zh
Priority to US16/988,241 priority patent/US20200374698A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • H04L12/1407Policy-and-charging control [PCC] architecture
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/66Policy and charging system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Abstract

本申请实施例提供一种通信方法及通信装置,用于实现终端在未进行本地认证的情况下也可以进行正常通信的目的。本申请实施例中该方法包括:移动性管理网元接收来自终端的用于请求接入网络的请求消息,当所述移动性管理网元根据所述请求消息确定对所述终端进行第三方认证时,所述移动性管理网元触发第三方认证,如此,终端与第三方之间认证之后,即使未进行本地认证,终端在经过第三方认证之后也可接入网络以进行通信。

Description

一种通信方法及通信装置
本申请要求在2018年2月13日提交中华人民共和国知识产权局、申请号为201810150774.0、发明名称为“一种通信方法及通信装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信领域,尤其涉及一种通信方法及通信装置。
背景技术
移动通信系统中,为了保证系统的安全性,终端可以通过安全凭证与网络侧设备之间进行网络层的相互认证,并在认证成功后,终端与网络侧设备进行业务通信。在4G通信网络中,安全凭证可以是安装在终端上的通用集成电路卡(Universal Integrated Circuit Card,UICC)卡,终端可以基于UICC卡中的USIM与网络侧设备进行安全认证,例如,演进的分组系统(Evolved Packet System,EPS)认证和密钥协商(authentication and key agreement,AKA)安全认证。该安全认证可以称为本地认证,也可以称为网络层认证。
随着通信技术的发展,出现一些创新应用场景,例如,机器类通信(machine type communication,MTC)、工业控制、和智能交通系统(intelligent transportation system,ITS)等。相应地,在这些场景下,出现了一些成本较低、构造简单的终端,比如,无需安装UICC卡的IoT设备,上述基于网络层的安全认证无法满足需求。
发明内容
本申请实施例提供一种通信方法及通信装置,用于实现终端在未进行本地认证的情况下也可以进行正常通信的目的。
第一方面,提供了一种通信方法,该方法中移动性管理网元接收来自终端的请求消息,请求消息用于请求接入网络,当移动性管理网元根据请求消息确定对终端进行第三方认证时,移动性管理网元触发第三方认证。网络可以指运营商网络,具体可以包括无线接入网和核心网。如此,终端与第三方之间认证之后,即使未进行本地认证,终端在经过第三方认证之后也可接入网络以进行通信。
结合第一方面,在第一方面的第一种实施方式中,为了提供方案的灵活性,可以提供多种方式使移动性管理网元确定对终端进行第三方认证,比如,当请求消息中包括用于指示对终端进行第三方认证的指示信息时,移动性管理网元确定对终端进行第三方认证。再比如,当请求消息中包括应用标识时,移动性管理网元确定对终端进行第三方认证。再比如,当请求消息中包括终端的标识,且与终端的标识对应的认证方式为对终端进行第三方认证时,移动性管理网元确定对终端进行第三方认证。
结合第一方面的第一种实施方式,在第一方面的第二种实施方式中,所述请求消息还包括用户标识;或者,所述请求消息还包括用户标识和应用容器,应用容器用于对终端进行第三方认证。例如,通过请求消息中携带应用容器的方式将应用容器传输给应用服务器,一方面,可以避免应用服务器向终端请求应用容器,进而减少应用服务器与终端的信令交 互,另一方面,移动性管理网元可以将该应用容器发送给应用服务器,使得应用服务器可以基于该应用容器对终端进行第三方认证。
结合第一方面的第一种实施方式,在第一方面的第三种实施方式中,方法还包括:移动性管理网元根据请求消息向终端发送响应消息,响应消息包括用于指示终端通过控制面发送信息的指示信息。进一步地,移动性管理网元通过控制面接收用户标识。如此,终端可以通过控制面发送用户标识,从而可以避免终端发送失败。
结合第一方面的第三种实施方式,在第一方面的第四种实施方式中,方法还包括:移动性管理网元通过控制面接收应用容器,应用容器用于对终端进行第三方认证。如此,终端可以通过控制面发送应用容器,从而可以避免终端发送失败。
结合第一方面,在第一方面的第五种实施方式中,所述移动性管理网元根据所述请求消息确定对所述终端进行第三方认证,包括:当请求消息中包括用户标识时,移动性管理网元确定对终端进行第三方认证。如此,移动性管理网元可以通过简单的方式确定对终端进行第三方认证。
结合第一方面的第五种实施方式,在第一方面的第六种实施方式中,请求消息还包括应用容器,应用容器用于对终端进行第三方认证。例如,通过请求消息中携带应用容器的方式将应用容器传输给应用服务器,一方面,可以避免应用服务器向终端请求应用容器,进而减少应用服务器与终端的信令交互,另一方面,移动性管理网元可以将该应用容器发送给应用服务器,使得应用服务器可以基于该应用容器对终端进行第三方认证。
结合第一方面的第二种实施方式至第一方面的第六中实施方中的任一种实施方式,在第一方面的第七种实施方式中,为了提高方案的灵活性,移动性管理网元可以通过AUSF网元或NEF网元向应用服务器发送用户标识。
第二方面,提供了一种通信方法,包括:终端向移动性管理网元发送请求消息,请求消息中包括认证参考信息,认证参考信息用于移动性管理网元确定是否对终端进行第三方认证,终端接收来自移动性管理网元对请求消息的响应消息。该方法提供了一种新的认证方式,使得终端在第三方认证成功后即可接入网络,解决了终端在未进行本地认证的情况下无法接入网络的问题。
结合第二方面,在第二方面的第一种实施方式中,认证参考信息包括:用于指示对终端进行第三方认证的指示信息或应用标识,基于该指示信息或应用标识,移动性管理网元可以确定对终端进行第三方认证。如此,可以提高方案的灵活性。
结合第二方面的第一种实施方式,在第二方面的第二种实施方式中,请求消息还包括用户标识,使得应用服务器可以基于该用户标识对终端进行认证。
结合第二方面,在第二方面的第三种实施方式中,认证参考信息包括:用户标识。如此,移动性管理网元可以基于该用户标识确定对终端进行第三方认证。
结合第二方面的第二种实施方式或第二方面的第三种实施方式,在第二方面的第四种实施方式中,请求消息还包括应用容器,应用容器用于对终端进行第三方认证。例如,通过请求消息中携带应用容器的方式将应用容器传输给应用服务器,一方面,可以避免应用服务器向终端请求应用容器,减少应用服务器与终端的信令交互,另一方面,可以使得应用服务器基于该应用容器对终端进行认证。
结合第二方面的第一种实施方式,在第二方面的第五种实施方式中,响应消息包括用于指示终端通过控制面发送信息的指示信息,该方法还包括:终端通过控制面向移动性管 理网元发送用户标识。如此,终端可以通过控制面发送用户标识,从而可以避免终端发送失败。
结合第二方面的第五种实施方式,在第二方面的第六种实施方式中,方法还包括:终端通过控制面向移动性管理网元发送应用容器;其中,应用容器用于对终端进行第三方认证。进一步,移动性管理网元可以把应用容器传输给应用服务器,以使得应用服务器可以基于应用容器对终端进行第三方认证。
第三方面,提供了一种通信方法,该方法中,AUSF网元接收来自移动性管理网元的用户标识;AUSF网元向应用服务器请求用户标识对应的认证参数;AUSF网元接收来自应用服务器的认证参数,认证参数用于对终端进行认证,例如,认证参数用于对终端进行本地认证,也可以用于对终端进行第三方认证。可见,为了兼容现有技术,AUSF网元仍然具备对终端进行认证的功能,但是在这种情况下,AUSF网元可以向应用服务器请求用户标识对应的认证参数,以便实现对终端的认证,提高了方案的灵活性。
结合第三方面,在第三方面的第一种实施方式中,方法还包括:AUSF网元向应用服务器发送应用容器,应用容器用于应用服务器对终端进行第三方认证。如此,可以使应用服务器基于应用容器对终端进行认证,从而可以避免应用服务器再次向终端请求应用容器,从而可以减少应用服务器与终端的信令交互。
结合第三方面或第三方面的第一种实施方式,在第三方面的第二种实施方式中,为了兼容现有技术,方法还包括:AUSF网元根据认证参数对终端进行认证,从而可以进一步提高了网络的安全性。
第四方面,提供了一种通信方法,该方法中,PCF网元接收SMF网元发送的策略控制和计费(Policy Control and Charging,PCC)策略建立请求消息,PCC策略建立请求消息包括用户标识;PCF网元根据用户标识,获得用户标识对应的PCC策略;PCF网元向SMF网元发送PCC策略。如此,可以获得更细粒度的PCC策略,例如,应用级别的粒度或用户级别的粒度,提高了PCC策略的灵活性。
结合第四方面,在第四方面的第一种实施方式中,所述PCC策略还包括收费信息。如此,可以为第三方为终端提供付费服务,或者为用户制定个性化收费标准奠定基础。
第五方面,提供了一种通信方法,该方法中,SMF网元向PCF网元发送PCC策略建立请求消息,PCC策略建立请求消息包括用户标识;SMF网元接收来自PCF网元的用户标识对应的PCC策略。在一种可选地实施方式中,PCC策略建立请求消息中还包括应用标识。如此,可以获得更细粒度的PCC策略,比如可以将PCC策略制定为应用级别的粒度或用户级别的粒度,举个例子,为不同的应用设置不同的PCC策略,或者为同一个应用对应的不同的用户设置不同的PCC策略,可见,该方法可提高PCC策略设置的灵活性。
结合第五方面,在第五方面的第一种实施方式中,方法还包括:SMF网元接收应用服务器发送的根密钥;SMF网元根据根密钥与终端进行密钥协商。如此,在终端未进行本地认证的情况下,应用服务器可以为SMF网元分配根密钥,以便实现SMF网元与终端之间的安全保护。
第六方面,提供了一种通信装置,包括处理器,处理器与存储器耦合,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第一方面的方法。该通信装置可以是移动性管理网元,也可以是至少一个处理元件或芯片。
第七方面,提供了一种通信装置,包括处理器,处理器与存储器耦合,存储器用于存 储程序,处理器调用存储器存储的程序,以执行以上第二方面的方法。该通信装置可以是终端,也可以是至少一个处理元件或芯片。
第八方面,提供了一种通信装置,包括处理器,处理器与存储器耦合,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第三方面的方法。该通信装置可以是AUSF网元,也可以是至少一个处理元件或芯片。
第九方面,提供了一种通信装置,包括处理器,处理器与存储器耦合,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第四方面的方法。该通信装置可以是PCF网元,也可以是至少一个处理元件或芯片。
第十方面,提供了一种通信装置,包括处理器,处理器与存储器耦合,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第五方面的方法。该通信装置可以是SMF网元,也可以是至少一个处理元件或芯片。
第十一方面,提供了一种通信装置,包括用于执行以上第一方面的方法中各个步骤的单元或者手段(means)。该通信装置可以是移动性管理网元,也可以是至少一个处理元件或芯片。
第十二方面,提供了一种通信装置,包括用于执行以上第二方面的方法中各个步骤的单元或者手段(means)。该通信装置可以是终端,也可以是至少一个处理元件或芯片。
第十三方面,提供了一种通信装置,包括用于执行以上第三方面的方法中各个步骤的单元或者手段(means)。该通信装置可以是AUSF网元,也可以是至少一个处理元件或芯片。
第十四方面,提供了一种通信装置,包括用于执行以上第四方面的方法中各个步骤的单元或者手段(means)。该通信装置可以是PCF网元,也可以是至少一个处理元件或芯片。
第十五方面,提供了一种通信装置,包括用于执行以上第五方面的方法中各个步骤的单元或者手段(means)。该通信装置可以是SMF网元,也可以是至少一个处理元件或芯片。
第十六方面,本申请实施例提供一种通信系统,该通信系统包括移动性管理网元和终端,分别用于实现以上第一方面或第二方面提供的方法中的步骤。
结合第十六方面,在第十六方面的第一种实施方式中,该通信系统还可以包括AUSF网元、PCF网元和SMF网元中的任一个或任多个,分别用于实现以上方法中相应的步骤。
第十七方面,提供了一种程序,该程序在被处理器执行时用于执行以上第一方面至第五方面中的任一方面或任一方面的任一种实施方式中的方法。
第十八方面,提供了一种计算机可读存储介质,包括第十七方面的程序。
附图说明
图1为本申请实施例适用的一种通信系统结构示意图;
图2为本申请实施例提供的一种通信方法流程示意图;
图3为本申请实施例提供的另一种通信方法流程示意图;
图4为本申请实施例提供的另一种通信方法流程示意图;
图5为本申请实施例提供的另一种通信方法流程示意图;
图6为本申请实施例提供的另一种通信方法流程示意图;
图7为本申请实施例提供的另一种通信方法流程示意图;
图8为本申请实施例提供的另一种通信方法流程示意图;
图9为本申请实施例提供的一种移动性管理网元的结构示意图;
图10为本申请实施例提供的一种终端的结构示意图;
图11为本申请实施例提供的一种通信装置的结构示意图;
图12为本申请实施例提供的一种通信装置的结构示意图;
图13为本申请实施例提供的一种通信装置的结构示意图;
图14为本申请实施例提供的另一种通信装置的结构示意图;
图15为本申请实施例提供的另一种通信装置的结构示意图;
图16为本申请实施例提供的另一种通信装置的结构示意图;
图17为本申请实施例提供的另一种通信装置的结构示意图;
图18为本申请实施例提供的另一种通信装置的结构示意图;
图19为本申请实施例提供的一种通信系统结构示意图。
具体实施方式
图1示例性示出了本申请实施例适用的一种5G通信系统结构示意图,该通信系统结构可以应用于下一代通信系统。下面对该图1中所示的各个组成部分进行简单介绍。
终端:可以包括各种具有通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,以及各种形式的终端,例如,移动台(mobile station,MS),终端(terminal),用户设备(user equipment,UE),软终端等等,举例来说有水表、电表、传感器、手机和ipad等。
无线接入网(radio access network,RAN):可以由5G-RAN节点组成的网络,实现无线物理层功能、资源调度和无线资源管理、无线接入控制以及移动性管理功能。例如,5G-RAN通过用户面接口N3和UPF网元相连,用于传送终端的数据;5G-RAN通过控制面接口N2和接入和移动性管理功能(Access and Mobility Management Function,AMF)网元建立控制面信令连接,用于实现无线接入承载控制等功能。
认证服务功能(authentication server function,AUSF)网元:用于负责保证终端和网络之间的安全认证。
AMF网元:负责移动性管理和接入管理等,用于实现4G系统中移动性管理实体(mobility management entity,MME)功能中除会话管理之外的其它功能。例如,负责维护和管理终端的状态信息,负责终端的认证,选择网络切片,或选择会话管理功能(session management function,SMF)网元。
SMF网元:为终端建立会话,分配会话的IP地址,管理或终止会话;选择用户面功能(User plane function,UPF)网元;选择网络开放功能(network exposure function,NEF)网元。
NEF网元:负责连接SMF网元与外部DN网络,可以包括第三方认证网元。
UPF网元:提供会话和承载管理,IP地址分配等功能;例如,负责对终端的数据报文过滤、数据传输/转发、速率控制、生成计费信息等。
统一数据管理功能(unified data management,UDM)网元:为网络网元分配参考信息,例如,为SMF网元或NEF网元分配参考信息。
策略控制功能(Policy Control Function,PCF)网元:为网络网元分配参考信息,例如, 为SMF网元或NEF网元分配参考信息。
第三方认证网元:外部数据网络的安全认证和授权功能网元,可以用于对终端进行安全认证和授权检查。例如,第三方认证网元可以为DN设备,DN设备可以为DN-AAA服务器,AF,AF-AAA,应用服务器(Application-Server),Application-Server-AAA的任意一种。举个例子,比如第三方认证网元可以是腾讯、阿里巴巴或支付宝等应用厂商。
需要指出的是,本申请各实施例中以第三方认证网元为应用服务器为例进行描述,涉及的应用服务器均可以替换为第三方认证网元,不予限制。
上述图1所示的各个组成部分可以通过下一代网路架构下的各个接口进行通信,例如,终端与AMF网元可以通过N1接口进行通信。
本申请实施例所提供的方案可以适用于如图1所示的5G通信系统,也可以适用于4G通信系统,还可以适用于5G的下一代通信系统,本申请实施例中的网元(比如移动性管理网元、AMF网元、SMF网元、NEF网元、AUSF网元和UPF网元等中的任一个网元)可以是一个物理设备上的功能模块,也可以是一个单独的物理设备。
需要指出的是,本申请中提及的“网络”可以指运营商网络,也可以指的是无线通信网络,具体可以包括无线接入网和核心网,其中,核心网可以是由运营商部署的设备中除无线接入网部分,例如,AMF网元,SMF网元,以及UPF网元等,不予限制。
本申请中提及的移动性管理网元为具有移动性管理功能的网元,例如,AMF网元或MME网元。
此外,本申请的各实施例以第三方认证网元为应用服务器为例进行描述,所涉及的应用服务器均可以替换为第三方认证网元。
如图2所示,本申请实施例提供了一种通信方法,该方法包括:
步骤201,终端向移动性管理网元发送请求消息。
相应地,移动性管理网元接收来自终端的请求消息。
其中,请求消息可以用于请求接入网络,该请求消息可以是注册请求(attach request)消息。
步骤202,当移动性管理网元根据请求消息确定对终端进行第三方认证时,移动性管理网元触发第三方认证。
具体的,上述步骤202中的第三方认证可以是第三方认证网元对用户标识和密钥进行认证,若第三方认证网元对用户标识认证成功,则确定第三方认证网元对终端进行第三方认证成功,若第三方认证网元对用户标识认证失败,则确定第三方认证网元对终端进行第三方认证失败。
可选地,步骤202中移动性管理网元根据请求消息确定对终端进行第三方认证可以替换为:移动性管理网元根据请求消息确定跳过对终端进行本地认证,或者,根据指示信息确定不对终端进行本地认证,其实现方式可以参见下述第一种实施场景中的描述,不予限制。
通过上述实施例提供的方案,在终端未进行网络认证的情况下,也可以使终端进行通信,如此,不仅可以解决背景技术中提到的无安全凭证的终端的认证问题,也可以解决终端由于停机等原因不能进行本地认证的场景下的认证问题等场景下无法接入网络的问题。
需要说明的是,在对终端进行第三方认证的情况下,可以对该终端进行本地认证,也可以不对该终端进行本地认证。比如,为了提高安全性,在对终端进行本地认证成功后, 再对终端进行第三方认证。对终端的双重认证,可以大大提高了网络的安全性。再比如,仅对终端进行第三方认证,并在第三方认证成功后终端即可接入网络,能够提高了终端认证的灵活性,不但解决了背景技术中提及的场景下终端无法接入网络的问题,还能够解决未开通漫游的场景下终端无法接入网络的问题。
可选地,在上述实施例的第一种实施场景下,步骤202中移动性管理网元根据请求消息确定对终端进行第三方认证可以包括如下实现方式:
方式一、当所述请求消息中包括用于指示对所述终端进行第三方认证的指示信息时,所述移动性管理网元确定对所述终端进行第三方认证。
其中,请求消息中可以包括用于指示对终端进行第三方认证的指示信息。该指示信息可以称为受限服务指示(limited service indication)或者第三方认证指示(third party authentication indication)。
具体的,请求消息中可以包括认证参考信息,其中,认证参考信息可用于所述移动性管理网元确定是否对所述终端进行第三方认证。认证参考信息可以包括用于指示对终端进行第三方认证的指示信息。如此,移动性管理网元可以通过较为简单的方式确定出对终端进行第三方认证。
示例性地,终端可以在确定终端进行第三方认证时,将用于指示对终端进行第三方认证的指示信息携带于请求消息中。
其中,终端确定进行第三方认证的方式可以有多种方法,比如,可以预先设置该终端的认证方式为第三方认证方式;再比如,该终端在未检测到可用的VPLMN时(即终端无法正常接入VPLMN网络),确定该终端进行第三方认证;还比如,VPLMN的广播消息中指示VPLMN支持终端受限接入(支持终端受限接入的意思是指支持终端进行第三方认证)或第三方认证时,确定该终端进行第三方认证;再比如,该终端在未检测到可用的VPLMN时(即终端没有开通在VPLMN的漫游,无法正常接入VPLMN网络),且VPLMN的广播消息中指示VPLMN支持UE受限接入或第三方认证时,确定该终端进行第三方认证。
方式二、当所述请求消息中包括应用标识时,所述移动性管理网元确定对所述终端进行第三方认证。
示例性地,可以在终端中预先设置进行第三方认证的应用标识(例如,预先设置一个或多个应用标识),终端可以从预先设置的进行第三方认证的应用标识中选取一个应用标识,并将该选取的应用标识通过请求消息发送给移动性管理网元,通过移动性管理网元触发该应用标识对应的应用服务器对终端进行第三方认证。
具体的,请求消息中可以包括认证参考信息,其中,认证参考信息可用于所述移动性管理网元确定是否对所述终端进行第三方认证。认证参考信息可以包括应用标识。如此,移动性管理网元可以通过较为简单的方式确定出对终端进行第三方认证。
其中,应用标识可以用于标识进行第三方认证的应用。
方式三、当所述请求消息中包括所述终端的标识,且与所述终端的标识对应的认证方式为对所述终端进行第三方认证时,所述移动性管理网元确定对所述终端进行第三方认证。
具体的,请求消息中可以包括认证参考信息,其中,认证参考信息可用于所述移动性管理网元确定是否对所述终端进行第三方认证。认证参考信息可以包括终端的标识。
其中,终端的标识可以用于标识终端,可以为全球唯一临时标识(global unique  temporary identity,GUTI),国际移动用户识别码(International Mobile Subscriber Identification,IMSI),或临时识别码(Temporary Mobile Subscriber Identity,TMSI)等。
示例性地,终端可以预先存储终端的标识和认证方式的对应关系,认证方式可以包括本地认证和第三方认证。一个终端的标识可以对应至少一种认证方式,一个终端的标识可以对应本地认证,或者一个终端的标识对应第三方认证,或者一个终端的标识对应本地认证和第三方认证。举个例子,终端为一个智能水表,该智能水表进行第三方认证,则终端的标识和认证方式的对应关系中可以包括:该智能水表的标识和第三方认证的对应关系。移动性管理网元可以根据终端的标识和认证方式的对应关系,确定出该终端是否进行第三方认证。
示例性地,移动性管理网元可以存储有终端类型与认证方式的对应关系,移动性管理网元先根据终端的标识确定出终端的类型,之后根据该终端的类型与认证方式之间的对应关系,确定该终端的认证方式为第三方认证。如此,移动性管理网元可以通过较为简单的方式确定出对终端进行第三方认证。
其中,终端的标识还可以是能够指示出终端类型的终端的标识或移动设备(mobile equipment,ME)标识。判断终端的类型具体可能有多种实现形式,比如判断该终端是否属于IoT类型,或者判断该终端是否属于预设的厂商,或者判断该终端是否属于预设的应用企业等等。
方式四、当所述请求消息中包括用户标识时,所述移动性管理网元确定对所述终端进行第三方认证。
具体的,请求消息中可以包括认证参考信息,其中,认证参考信息可用于所述移动性管理网元确定是否对所述终端进行第三方认证。认证参考信息可以包括用户的标识。
其中,用户标识也可以称为应用用户标识(Application User ID)。用户标识可以由进行第三方认证的应用服务器所分配的。用户标识与进行第三方认证的应用服务器相对应或相关联。
可选地,上述方式一、方式二、方式三和方式四中确定对终端进行第三方认证的方式可以单独使用,也可以组合使用。当请求消息中包括终端的标识、用于指示对终端进行第三方认证的指示信息、应用标识和用户标识中的任多个时,可以为上述方式一、方式二、方式三和方式四中的各个用于确定是否对终端进行第三方认证的方式设置优先级,之后根据优先级确定根据哪个信息确定对终端进行第三方认证。
需要说明的是,上述请求消息可以包括用户标识,也可以不包括用户标识。
进一步地,上述请求消息还可以包括应用容器(application container)。其中,应用容器可以用于应用服务器对终端进行第三方认证。可选地,应用容器也可以称为应用安全容器(application security container)或安全容器(security container)。应用容器中可以包括用于第三方认证的一些参数,比如,密钥相关信息(例如,安全挑战值)等。密钥相关信息可以是使用密钥生成的一个的安全挑战值。一种可选地实施方式中,若应用服务器成功验证了用户标识所对应的安全挑战值,则可以确认该用户标识对应的终端第三方认证成功,相对应地,若应用服务器对用户标识所对应的安全挑战值验证失败,则可以确认该用户标识对应的终端第三方认证失败。
可选地,移动性管理网元可以通过NEF网元或AUSF网元或SMF网元向应用服务器发送应用容器。通过请求消息中携带应用容器的方式将应用容器传输给应用服务器,一方 面,可以避免应用服务器向终端请求应用容器,进而减少应用服务器与终端的信令交互,另一方面,移动性管理网元可以将该应用容器发送给应用服务器,使得应用服务器可以基于该应用容器对终端进行第三方认证。
在第一个示例中,假设上述请求消息不包括用户标识,也不包括应用容器,那么上述方法还可以包括:移动性管理网元根据请求消息向终端发送响应消息,该响应消息包括用于指示所述终端通过控制面发送信息的指示信息;终端根据指示信息,通过控制面向移动性管理网元发送用户标识;相应地,移动性管理网元通过控制面接收该用户标识。例如,终端通过非接入层(Non-access Stratum,NAS)消息向移动性管理网元发送用户标识。
进一步地,还可以包括:终端根据指示信息,通过控制面向移动性管理网元发送应用容器;相应地,移动性管理网元通过控制面接收该应用容器。例如,终端通过NAS消息向移动性管理网元发送应用容器。其中,用户标识与应用容器可以携带在同一个NAS消息中,也可以携带在不同的NAS消息中,不予限制。
需要指出的是,终端通过控制面发送信息,可以避免终端发送失败,可以参见下述内容中图5所示实施例中的相关内容。
在第二个示例中,假设上述请求消息包括用户标识,不包括应用容器,那么上述方法还可以包括:移动性管理网元根据请求消息向终端发送响应消息,该响应消息包括用于指示所述终端通过控制面发送信息的指示信息;终端根据指示信息,通过控制面向移动性管理网元发送应用容器;相应地,移动性管理网元通过控制面接收应用容器。例如,终端通过NAS消息向移动性管理网元发送应用容器。
需要指出的是,终端通过控制面发送信息,可以避免终端发送失败,可以参见下述内容中图5所示实施例中的相关内容。
在第三个示例中,假设上述请求消息不包括用户标识,也不包括应用容器,那么上述方法还可以包括:移动性管理网元根据请求消息向终端发送响应消息;终端向移动性管理网元通过NAS消息发送用户标识。例如,用户标识可以携带在分组数据单元(Packet Data Unit,PDU)会话建立请求中,该PDU会话建立请求携带在该NAS消息中。再例如,NAS消息包括用户标识和PDU会话建立请求。
进一步地,还可以包括:终端向移动性管理网元通过NAS消息发送应用容器。例如,应用容器可以携带在PDU会话建立请求中,该PDU会话建立请求携带在该NAS消息中。再例如,NAS消息包括应用容器和PDU会话建立请求。
需要指出的是,终端通过NAS消息发送信息,可以更好的现有技术兼容,可以参见下述内容中图6和图7所示实施例中的相关内容。
在第四个示例中,假设上述请求消息包括用户标识,不包括应用容器,那么上述方法还可以包括:移动性管理网元根据请求消息向终端发送响应消息;终端向移动性管理网元通过NASSM消息发送应用容器。例如,应用容器可以携带在PDU会话建立请求中,该PDU会话建立请求携带在该NAS消息中。再例如,NAS消息包括用户标识和PDU会话建立请求。
需要指出的是,终端通过NAS消息发送应用容器,可以更好地与现有技术兼容,可以参见下述内容中图6和图7所示实施例中的相关内容。
其中,当上述请求消息为注册请求,且移动性管理网元对终端注册成功时,上述各示例中的响应消息可以是注册接受消息;当上述请求消息为注册请求,且移动性管理网元对 终端注册失败时,上述响应消息可以是注册失败消息。
需要指出的是,当响应消息为注册失败消息时,该响应消息可以不包括上述指示信息,不予限制。
进一步可选地,上述方法还包括:移动性管理网元通过AUSF网元或NEF网元向应用服务器发送用户标识。
可选地,在上述实施例的第二种实施场景下,步骤202中移动性管理网元触发第三方认证可以采用如下方式实现。
方式A、移动性管理网元向NEF网元发送第一信息,使得NEF网元向应用服务器发送第二信息,以使得该应用服务器基于第二信息对终端进行第三方认证。该方案可以参见图3和图5所示实施例中的相关描述。
其中,上述第一信息可以是用户标识,或应用容器,还可以是信令或消息,也可以是数据包,不予限制。第二信息可以是用户标识,或应用容器,还可以是信令或消息,也可以是数据包,上述第二信息与第一信息可以相同,也可以不同,不予限制。
在第一个示例中,移动性管理网元将从终端接收到的应用标识发送给NEF网元;NEF网元根据该应用标识获得该应用标识对应的应用服务器的地址信息,并向该应用服务器发送信令,使得该应用服务器对终端进行第三方认证。例如,NEF网元根据应用标识进行域名服务器(Domain Name Server,DNS)查询,获取应用服务器的地址信息。再例如,NEF网元存储有应用标识与应用服务器的地址信息之间的对应关系,NEF网元根据该应用标识查询出该应用标识对应的应用服务器的地址信息。如此可以使NEF网元确定出应用服务器,从而使应用服务器对终端进行第三方认证。
在第二个示例中,移动性管理网元向NEF网元发送用户标识,NEF网元根据用户标识获得应用标识。其中,该用户标识可以指示应用标识,或者,NEF网元根据用户标识的格式可以确定出应用标识。比如,用户标识是完全合格域名(Fully Qualified Domain Name,FQDN)格式的标识,则可以根据FQDN格式的用户标识获取应用标识;又比如,用户标识是腾讯的邮箱地址,则可根据该应用标识确定应用服务器为腾讯。然后,NEF网元可以根据该应用标识获得该应用标识对应的应用服务器的地址信息,并向该应用服务器发送信令,相关描述可以参见第一个示例,不再赘述。如此可以使NEF网元确定出应用服务器,从而使应用服务器对终端进行第三方认证。
在第三个示例中,移动性管理网元向NEF网元发送终端的标识,NEF网元根据终端的标识确定出应用标识。例如,NEF网元可以存储有终端的标识和应用标识的对应关系,NEF网元可以根据该对应关系,确定出该终端的标识对应的应用标识。然后,NEF网元可以根据该应用标识获得该应用标识对应的应用服务器的地址信息,并向该应用服务器发送信令,相关描述可以参见第一个示例,不再赘述。如此可以使NEF网元确定出应用服务器,从而使应用服务器对终端进行第三方认证。
在第四个示例中,移动性管理网元根据终端的标识确定出应用标识,并将应用标识发送给NEF网元,然后,NEF网元可以根据该应用标识获得该应用标识对应的应用服务器的地址信息,并向该应用服务器发送信令,相关描述可以参见第一个示例,不再赘述。如此可以使NEF网元确定出应用服务器,从而使应用服务器对终端进行第三方认证。
方式B、移动性管理网元向AUSF网元发送第一信息,使得AUSF网元向应用服务器发送第二信息,以使得该应用服务器基于第二信息对终端进行第三方认证。如此,可以更 好的兼容现有技术。该方案可以参见图4所示实施例中的相关描述。
其中,上述第一信息和第二信息可以参见方式A中的描述,不予限制。
示例性地,移动性管理网元将接收到的用户标识发送给AUSF网元,AUSF网元通过NEF网元将用户标识发送给应用服务器,从而使应用服务器基于该用户标识对终端进行第三方认证。
进一步地,移动性管理网元可以将接收到的应用容器发送给AUSF网元,AUSF网元通过NEF网元将应用容器发送给应用服务器,从而使应用服务器基于该应用容器对用户标识对应的终端进行第三方认证。
该方式B中,NEF网元确定出应用标识的方式与上述方式A中的第一个示例至第四个示例类似,在此不再赘述。
方式C、移动性管理网元向SMF网元发送第一信息,使得SMF网元向应用服务器发送第二信息,以使得该应用服务器基于第二信息对终端进行第三方认证。如此,可以更好的兼容现有技术。该方案可以参见图6或7所示实施例中的相关描述。
其中,上述第一信息和第二信息可以参见方式A中的描述,不予限制。
在一个示例中,移动性管理网元在确定对终端进行第三方认证之后,向终端发送请求消息的响应,以使得终端发送NAS消息,该NAS消息携带用户标识。移动性管理网元接收到终端发送的携带用户标识的NAS消息,并将NAS消息传输给SMF网元,以使得SMF网元通过NEF网元将NAS消息中的用户标识发送给应用服务器,从而使应用服务器基于该用户标识对终端进行第三方认证。
进一步地,上述NAS消息还可以携带应用容器,SMF网元通过NEF网元将NAS消息中的应用容器发送给应用服务器,从而使应用服务器基于该用户标识对终端进行第三方认证。
此外,上述示例中,NEF网元可以采用上述第二种实施场景的方式A中的第一个示例至第四个示例中的方法确定出应用服务器,在此不再赘述。
在另一个示例中以第三方认证网元为数据网络为例介绍,移动性管理网元在向终端发送对请求消息的响应之后,接收到终端发送的携带用户标识的NAS消息,移动性管理网元将NAS消息传输给SMF网元,SMF网元通过UPF网元将NAS消息中的用户标识发送给数据网络,从而使数据网络基于该用户标识对终端进行第三方认证。
进一步地,上述NAS消息还可以携带应用容器,SMF网元通过UPF网元将NAS消息中的应用容器发送给数据网络,从而使应用服务器基于该用户标识对终端进行第三方认证。
需要注意的是,上述第一种实施场景下的方式一、方式二、方式三或方式四中的任一种方式可以与上述第二种实施场景下的方式A、方式B或方式C中的任一种方式结合使用。例如:当移动性管理网元采用上述第一种实施场景下的方式一、方式二、方式三或方式四中任一种方式确定对终端进行第三方认证时,移动性管理网元可以采用上述第二种实施场景下的方式A或方式B中的任一种方式结合使用。再例如,当移动性管理网元采用上述第一种实施场景下的方式一、方式二或方式三中任一种方式确定对终端进行第三方认证时,移动性管理网元可以采用上述第二种实施场景下的方式C结合使用。
图3提供了另一种通信方法流程示意图,如图3所示,该实施例中以移动性管理网元 为AMF网元,以请求消息为注册请求为例进行介绍,移动性管理网元可以通过NEF网元与应用服务器交互。该方法包括:
步骤301,终端向AMF网元发送注册请求(registration request)。
其中,注册请求可以包括用户标识和用于指示对终端进行第三方认证的指示信息。
步骤302,AMF网元根据注册请求中的指示信息,确定对终端进行第三方认证。
可选地,步骤302替换为AMF网元根据指示信息确定跳过对终端的本地认证或确定不对终端进行本地认证。
步骤303,AMF网元向NEF网元发送用户标识。
示例性地,AMF网元可以调用NEF网元的消息传递服务来实现向NEF网元发送用户标识的目的,消息传递服务例如可以是NEF通信消息传输,(NEF_communication_message transfer),调用消息传递服务具体可以是AMF网元向NEF网元发送消息传递请求,消息传递请求例如可以是NEF通信消息传输请求(NEF_communication_message transfer request),其中,消息传递请求中包括用户标识。
可选地,步骤303还包括:NEF网元向AMF网元发送消息传递响应,例如,NEF通信消息传输响应(NEF_communication_message transfer response)。
步骤304,NEF网元向应用服务器发送该用户标识。
步骤305,应用服务器对用户标识对应的终端进行第三方认证。
具体地,应用服务器可以基于应用容器对该终端进行第三方认证,应用服务器可以通过下面两种方式获得该应用容器。
一种可选地实施方式中,在步骤301的注册请求中携带应用容器,从而通过NEF网元发送至应用服务器;另一种可选地实施方式中,在步骤301的注册请求中不携带应用容器,在步骤304之后,应用服务器从终端上获取应用容器,例如,应用服务器发送请求消息给终端,以获取应用容器。
步骤306,应用服务器向NEF网元发送认证结果。
其中,认证结果可以包括认证成功或认证失败。
其中,认证成功可以表明允许终端进行常规数据传输(normal data transmission authorized)。
步骤307,NEF网元向AMF网元发送认证结果。
示例性地,NEF网元调用NEF网元提供的消息通知服务,例如,NEF通信消息通知(NEF_communication_message notify),即NEF网元发送消息通知,例如,NEF消息通信消息通知(NEF_communication_message notify)给AMF网元,其中包括认证结果。
步骤308,当认证结果为认证成功时,AMF网元向终端发送注册接受(registration accept)。
图3示出的方案中,AMF网元确定对终端进行第三方认证,并通过NEF网元实现触发应用服务器对终端进行第三方认证,实现了在终端未进行网络认证的情况下,也可以使终端进行通信,如此,不仅可以解决背景技术中提到的无安全凭证的终端的认证问题,也可以解决终端由于停机等原因不能进行本地认证的场景下的认证问题等场景下无法接入网络的问题。
图4提供了另一种通信方法流程示意图,图4所示的通信方法中可以基于AUSF网元 来实现对终端的第三方认证。如图4所示,该实施例中以移动性管理网元为AMF网元,以请求消息为注册请求为例进行介绍,移动性管理网元通过AUSF网元与应用服务器交互。该方法包括:
步骤401,终端向AMF网元发送注册请求。
其中,注册请求中可以包括用户标识、应用容器和用于指示对终端进行第三方认证的指示信息。
步骤402,AMF网元根据注册请求中的指示信息,确定对终端进行第三方认证。
步骤403,AMF网元向AUSF网元发送终端认证请求。
其中,终端认证请求中可以包括用户标识、应用容器和用于指示对终端进行第三方认证的指示信息。
例如,AMF网元可以调用AUSF网元提供的终端认证服务,实现向AUSF网元发送终端认证请求的目的。
步骤404,AUSF网元根据终端认证请求中的指示信息确定对该终端进行三方认证。
可替换地,步骤401中注册请求可以包括应用标识,或终端的标识,或用户标识,相应地,终端认证请求包括应用标识,或终端的标识,或用户标识,进一步地,步骤404可以替换为下述方式一至方式三种中的任一种方式:
方式一、当终端认证请求中包括应用标识时,AUSF网元确定对终端进行第三方认证。
方式二、当终端认证请求中包括终端的标识,且与终端的标识对应的认证方式为对终端进行第三方认证时,AUSF网元确定对所述终端进行第三方认证。
方式三、当终端认证请求中包括用户标识时,AUSF网元确定对终端进行第三方认证。
该方式一至方式三种的涉及到的相关方案与上述第一种实施场景中的方式二至方式四类似,在此不再赘述。
步骤405,AUSF网元向NEF网元发送用户标识。
步骤405可以借鉴上述步骤303中AMF网元向NEF网元发送用户标识的内容,在此不再赘述。
步骤406,NEF网元向应用服务器发送该用户标识。
其中,NEF网元可以采用图2所示实施例中提供的方案来确定出应用服务器,在此不再赘述。
步骤407,应用服务器对用户标识对应的终端进行第三方认证。
具体地,在步骤407中,应用服务器可以基于应用容器对该终端进行第三方认证,应用服务器可以通过下面两种方式获得该应用容器。
一种可选地实施方式中,步骤401的注册请求中携带应用容器,从而AUSF网元和NEF网元发送至应用服务器;另一种可选地实施方式中,在步骤401的注册请求中不携带应用容器,在步骤406之后,应用服务器从终端获取应用容器。
步骤408,应用服务器向NEF网元发送认证结果和用户标识对应的认证参数。
示例性的,认证参数可以是5G认证向量,也可以是5G认证向量(credential)中的参数,5G认证向量可以是EPS-AKA*对应的认证向量,也可以是EAP-AKA’对应的认证向量,可以基于应用层的参数生成,例如用户标识,用户标识对应的密钥等。
步骤409,NEF网元向AUSF网元发送认证结果和将用户标识对应的认证参数。
在步骤409中,NEF网元向AUSF网元发送信息的方式可以参见上述步骤307,在此 步骤赘述。
可选地,在步骤409之后,AUSF网元将认证结果发送给AMF网元。
步骤410,AUSF网元基于认证参数对终端进行本地认证。
上述步骤410中可以包括:AUSF网元、AMF网元和终端之间基于认证参数进行安全流程、进行空口安全协商、进行安全认证、进行网络层的认证或者进行本地认证等等,属于现有技术,不再赘述。
步骤411,在认证结果为认证成功,且AUSF网元对终端的本地认证认证成功时,AMF网元向终端发送注册接受。
在步骤411中,AUSF网元在对终端的本地认证认证成功时,向AMF网元发送用于指示本地认证认证成功的指示信息。
相应地,AMF网元根据该指示信息确定对终端的本地认证成功。
在上述步骤408中,应用服务器也可以不对终端进行第三方认证,则在步骤408和步骤409中仅向AUSF网元发送认证参数即可,这种情况下,在步骤411中,AMF网元可以在确认AUSF网元对终端认证成功之后,向终端发送注册接受。
图4所提供的方案中,AMF网元确定对终端进行第三方认证,并触发应用服务器向AUSF网元发送认证参数,用于AUSF网元进行本地认证,解决背景技术中提到的无安全凭证的终端的认证问题,保证了网络的安全性;此外,通过AUSF网元认证可以兼容现有技术。进一步地,AMF网元确定对终端进行第三方认证,还可以触发应用服务器对终端进行第三方认证,双重认证,大大提高网络的安全性。另外,图4提供的方案还可以解决终端由于停机等原因不能进行本地认证的场景下的认证问题等场景下无法接入网络的问题。
图5提供了另一种通信方法流程示意图,如图5所示,该实施例中以移动性管理网元为AMF网元,以请求消息为注册请求为例进行介绍,移动性管理网元通过NEF网元与应用服务器交互。该方法包括:
步骤501,终端向AMF网元发送注册请求。
其中,注册请求中可以包括用于指示对终端进行第三方认证的指示信息。
步骤502,AMF网元根据注册请求中的指示信息确定对终端进行第三方认证。
可替换地,步骤501中注册请求可以包括用户标识,或终端的标识,或应用标识,相应地,步骤502可以替换为图2所示实施例中步骤202中与注册请求相应的实现方式来确定对终端进行第三方认证,不再赘述。
步骤503,AMF网元对终端进行注册,向终端发送注册接受。
可选地,步骤503的注册过程与现有技术中的对终端进行注册的过程相比,并未包含对终端的本地认证的进程。注册接受即为请求消息对应的响应消息,该注册接受可以包括用于指示终端通过控制面发送信息的指示信息(Control Plane Only Indicator),该指示信息可以用于指示终端使用控制面传输信息,例如,消息或数据。
步骤504,终端通过控制面向AMF网元发送用户标识。
示例性的,终端可以通过控制面发送携带用户标识的消息,例如,非接入层(Non-access Stratum,NAS)消息(message)。
需要指出的是,步骤504为可选步骤,当请求消息中包括用户标识时,可以不执行步骤504,步骤505中的用户标识为请求消息中包括用户标识。
步骤505,AMF网元向NEF网元发送用户标识。
步骤505可以借鉴上述步骤303中的相关描述。
步骤506,NEF网元向应用服务器发送用户标识。
步骤507,应用服务器对用户标识对应的终端进行第三方认证。
具体地,应用服务器可以基于应用容器对该终端进行第三方认证,应用服务器可以通过下面两种方式获得该应用容器。
一种可选地实施方式中,在步骤504中终端通过控制面向AMF网元发送应用容器,从而通过NEF网元发送至应用服务器;另一种可选地实施方式中,在步骤506之后,应用服务器从终端获取应用容器。
步骤508,应用服务器向NEF网元发送认证结果。
步骤508可以借鉴上述步骤306。
步骤509,NEF网元向AMF网元发送认证结果。
步骤509可以借鉴上述步骤307。
步骤510,当认证结果为认证成功时,AMF网元向终端发送响应。
其中,在步骤510中的响应可以为终端通过控制面发送信息的消息对应的响应。
图5所提供的方案中,AMF网元确定对终端进行第三方认证,并触发应用服务器对终端进行第三方认证,解决背景技术中提到的无安全凭证的终端的认证问题,提高了网络的安全性;此外,AMF网元指示终端通过控制面发送信息,可以避免终端发送信息失败的情况。另外,图5提供的方案还可以解决终端由于停机等原因不能进行本地认证的场景下的认证问题等场景下无法接入网络的问题。
图6提供了另一种通信方法流程示意图,如图6所示,该实施例中以移动性管理网元为AMF网元,以请求消息为注册请求为例进行介绍。该方法包括:
步骤601,终端向AMF网元发送注册请求。
其中,注册请求中可以包括用于指示对终端进行第三方认证的指示信息。
步骤602,AMF网元根据注册请求中的指示信息确定对终端进行第三方认证。
可替换地,步骤601中注册请求可以包括用户标识,或终端的标识,或应用标识,相应地,步骤602可以替换为图2所示实施例中步骤202中与注册请求相应的实现方式来确定对终端进行第三方认证,不再赘述。
步骤603,AMF网元对终端进行注册,并向终端发送注册接受。
可选地,步骤603可以借鉴上述步骤503。
步骤604,终端向AMF网元发送用户标识。
可选地,用户标识携带在NAS消息中,例如,NAS消息携带有PDU会话建立请求(PDU session establishment request),该PDU会话建立请求携带有用户标识。再例如,NAS消息携带有PDU会话建立请求和用户标识。
具体来说,该NAS消息中还可以包括:会话管理-网络切片选择辅助信息(session management-network slice selection assistance information,S-NSSAI),PDU会话标识(PDU session ID)和N1 SM container中的任一项或任多项。其中,PDU会话建立请求也可以携带在N1 SM container中。
需要指出的是,步骤604为可选步骤,当请求消息中包括用户标识时,可以不执行步 骤604,步骤605中的用户标识为请求消息中包括用户标识。
步骤605,AMF网元向SMF网元发送用户标识和用于指示对终端进行第三方认证的指示信息。
其中,用户标识和用于指示对终端进行第三方认证的指示信息可以携带在PDU会话建立请求中,也可以不携带在PDU会话建立请求中。
在上述步骤605中,AMF网元还可以将终端的标识,数据网络名(data network name,DNN)和PDU session ID中的任一项或任多项随同PDU会话建立请求一起发送给SMF网元。
其中,步骤604还可以包括:终端向AMF网元发送应用容器,那么,步骤605中还可以包括AMF网元向SMF网元应用容器。
其中,应用容器可以携带在NAS消息中,例如,NAS消息携带有PDU会话建立请求(PDU session establishment request),该PDU会话建立请求携带有应用容器。再例如,NAS消息携带有PDU会话建立请求和应用容器。
步骤606,SMF网元向NEF网元发送用户标识。
步骤606可以借鉴上述步骤303中AMF网元向NEF网元发送用户标识的相关描述。
步骤607,NEF网元向应用服务器发送该用户标识。
步骤608,应用服务器对用户标识对应的终端进行第三方认证。
具体地,应用服务器可以基于应用容器对该终端进行第三方认证,应用服务器可以通过下面两种方式获得该应用容器。
一种可选地实施方式中,在步骤604中终端向AMF网元发送应用容器,从而通过NEF网元发送至应用服务器;另一种可选地实施方式中,在步骤607之后,应用服务器从终端获取应用容器。
步骤609,应用服务器向NEF网元发送认证结果。
步骤609可以借鉴上述步骤306。
步骤610,NEF网元向SMF网元发送认证结果。
步骤610可以借鉴上述步骤307。在步骤610之后可以进行PDU会话建立的其它进程。
图6所示的方法中,AMF网元确定对终端进行第三方认证,并通过终端,SMF网元等触发应用服务器对终端进行第三方认证,解决背景技术中提到的无安全凭证的终端的认证问题,提高了网络的安全性;此外,可以在PDU会话建立请求中进行终端的第三方认证,可以更好的兼容现有技术。另外,图6提供的方案还可以解决终端由于停机等原因不能进行本地认证的场景下的认证问题等场景下无法接入网络的问题。
图7提供了另一种通信方法流程示意图,如图7所示,该实施例中以移动性管理网元为AMF网元,以请求消息为注册请求为例进行介绍。该实施例中,应用服务器可以是数据网络(data network,DN)。该方法包括:
先执行上述图6中的步骤601至步骤605,并在步骤605之后执行步骤706。
步骤706,SMF网元将用户标识发送给UPF网元。
示例性的,SMF网元可以向UPF网元发送认证/授权请求(authentication/authorization request),其中包括用户标识。
步骤707,UPF网元将用户标识发送给DN。
示例性的,UPF网元可以根据认证/授权请求的目的地址信息将数据传输消息路由至DN,其中,可选的,目的地址信息为DN设备的IP地址信息。
步骤708,DN对用户标识对应的终端进行第三方认证。
可选地,DN对用户标识对应的终端进行第三方认证的方式可以参见上述第一种实施场景下应用服务器进行第三方认证的方式,在此不再赘述。
步骤709,DN通过UPF网元向SMF网元发送认证结果。
示例性的,DN可以通过UPF网元向SMF网元发送认证/授权响应(authentication/authorization response),其中包括认证结果,认证结果包括认证成功或认证失败。在步骤709之后可以进行PDU会话建立的其它进程。
图7所示的方法中,AMF网元确定对终端进行第三方认证,并触发DN对终端进行第三方认证,解决了背景技术中提到的无安全凭证的终端的认证问题,提高了网络的安全性;此外,可以在PDU会话建立请求中进行终端的第三方认证,可以更好的兼容现有技术。另外,图7提供的方案还可以解决终端由于停机等原因不能进行本地认证的场景下的认证问题等场景下无法接入网络的问题。
基于上述内容,本申请实施例还提供一种通信方法,图8提供了另一种通信方法的流程示意图,如图8所示,该方法包括:
步骤801,SMF网元向PCF网元发送PCC策略建立请求消息。
在步骤801中,PCC策略建立请求消息也可以称为PCF提供的会话管理策略控制的获取请求(Npcf_SMPolicyControl_Get request)。
相应地,PCF网元接收SMF网元发送的PCC策略建立请求消息。
其中,PCC策略建立请求消息可以包括用户标识。
可选地,PCC策略建立请求中还包括终端的标识,PDU会话标识,DNN,终端的用户永久标识(subscriber permanent identifier,SUPI),应用标识和用于指示对终端进行第三方认证的指示信息中的任一项或任多项等。
步骤802,PCF网元根据用户标识,获得用户标识对应的PCC策略。
示例性地,PCF网元可以预先存储用户标识和PCC策略的对应关系,PCF网元根据该对应关系,获得该用户标识对应的PCC策略;或者,PCF网元可以预先存储应用标识和PCC策略的对应关系,PCF网元可以根据该用户标识,获得其对应的应用标识,再根据该对应关系,获得该应用标识对应的PCC策略,并将该策略作为该用户标识对应的PCC策略。
在一种示例中,PCC策略可以由应用服务器预先部署在PCF网元上。
具体来说,应用服务器可以为一个应用部署一套PCC策略,也可以为一个应用部署多套PCC策略,其中,一个应用对应的多个用户标识可以对应同一个PCC策略,也可以对应不同的PCC测量。如此,可以根据应用的特性,制定每个应用专属的PCC策略,也可以根据用户等级,为每个用户制定专属的PCC策略。
在另一种示例中,PCC策略也可以由PCF网元基于用户标识对应的PCC规则信息生成。其中,用户标识对应的PCC规则信息中,上述用于生成PCC规则的信息中可以包括收费信息,该收费信息中可以包括用于指示应用服务器愿意为终端提供费用赞助(sponsor token)的指示信息。可选地,收费信息中还包括愿意为终端提供的赞助费用的额度。如此, 提供了一种新的计费模式,简化了数据交换方式,可以为应用服务器负责签约和管理终端奠定基础。
其中,PCC策略可以包括业务质量(Quality of Service,QoS)参数(parameters)。应用服务器预先部署的PCC策略中也可以不包括QoS参数,这种情况下,PCF网元可以获取用户标识对应的QoS参数,比如从应用服务器请求到用户标识对应的QoS参数。
其中,QoS参数可以包括5G QoS标识(5G QoS identifier,5QI),分配和保留优先级(allocation and retention priority,ARP),受保障流比特率(Guaranteed Flow Bit Rate,GFBR),或最大流比特率(Maximum Flow Bit Rate,MFBR),等。
步骤803,PCF网元向SMF网元发送PCC策略。
相对应地,SMF网元接收来自PCF网元的用户标识对应的PCC策略。
举个例子,比如,PCC策略中可以只允许终端传输应用标识所对应的数据。再比如,PCC策略中规定采用特殊的计费,应用按用户量或集团用户模式付费,这种场景下不需要SMF网元/UPF网元统计终端使用的数据流量。
图8所提供的方法中,可以生成应用级别的粒度或用户级别的粒度的PCC策略,可以提高PCC策略的灵活性。
需要注意的是,前述的实施例中也可以采用上述步骤802中的方案,相类似的,上述图3至图7中也还可以包括PCF网元接收到收费信息,可以在上述图3的步骤306中由应用服务器向NEF发送收费信息,之后由NEF网元将收费信息发送给PCF网元,或者在上述图4的步骤408中由应用服务器向NEF发送收费信息,之后由NEF网元将收费信息发送给PCF网元,或者在上述图5的步骤508中由应用服务器向NEF发送收费信息,之后由NEF网元将收费信息发送给PCF网元,或者在上述图6的步骤609中由应用服务器向NEF发送收费信息,之后由NEF网元将收费信息发送给PCF网元。可选地,若是应用到图7的场景下,则DN可以在上述图7的步骤709中将收费信息发送给UPF网元,之后由UPF网元向PCF网元发送收费信息。
需要注意的是,前述的实施例中也可以采用上述步骤801至步骤803中的方案,相类似的,上述步骤801至步骤803可以发生在终端发起PDU会话建立请求之后,比如在图3的步骤308之后、在图4的步骤411之后和图5的步骤501之后,终端可以发起PDU会话建立进程,在PDU会话建立进程发起之后,SMF网元可以执行上述步骤801,向PCF网元发送PCC策略建立请求消息,之后执行步骤802和步骤803。可选地,若是应用到图6和图7的场景下,上述步骤801至步骤803还可以发生在图6的步骤610之后,或图7的步骤709之后。
在前述图2至图8所示的任意实施例中,可选地,当应用服务器对终端进行第三方认证成功之后,应用服务器可以向SMF网元发送根密钥,相对应地,SMF网元接收应用服务器发送的根密钥,SMF网元根据根密钥与终端进行密钥协商。可选地,该根密钥可以用于进一步生成密钥,用于终端和SMF网元/UPF网元之间的安全保护,从而可以提高控制面信令/用户面数据的安全性,其中,“/”可以表示和/或的意思。
示例性的,前述的实施例中采用上述方案时,可以在上述图3的步骤306中由应用服务器向NEF发送根密钥,之后由NEF网元将根密钥发送给SMF网元,或者在上述图4的步骤408中由应用服务器向NEF发送根密钥,之后由NEF网元将根密钥发送给SMF网元, 或者在上述图5的步骤508中由应用服务器向NEF发送根密钥,之后由NEF网元将根密钥发送给SMF网元,或者在上述图6的步骤609中由应用服务器向NEF发送根密钥,之后由NEF网元将根密钥发送给SMF网元。可选地,若是应用到图7的场景下,则DN可以在上述图7的步骤709中将根密钥发送给UPF网元,之后由UPF网元向SMF网元发送根密钥。
基于上述内容和相同构思,本申请提供一种通信装置,用于执行上述图2至图8所示方法中的移动性管理网元侧的任一个方案。图9提供了一种通信装置的结构示意图,如图9所示,通信装置901包括处理器903、发送器902、接收器907、存储器905和通信接口904;其中,处理器903、发送器902、接收器907、存储器905和通信接口904通过总线906相互连接。可选地,收发器可以包括发送器902和接收器907。该实施例中的通信装置901可以是上述内容中的移动性管理网元、MME网元或AMF网元。
可选地,存储器905还可以用于存储程序指令,处理器903调用该存储器905中存储的程序指令,可以执行上述方案中所示实施例中的一个或多个步骤,或其中可选地实施方式,使得通信装置901实现上述方法中移动性管理网元的功能。
处理器903用于根据执行存储器存储的指令,并控制发送器902进行信号的发送,以及控制接收器907进行信号接收,当处理器903执行存储器存储的指令时,通信装置901中的接收器907,用于接收来自终端的请求消息,请求消息用于请求接入网络;处理器903,用于当根据请求消息确定对终端进行第三方认证时,触发第三方认证。
在一种可选地设计中,处理器903,用于:当请求消息中包括用于指示对终端进行第三方认证的指示信息时,确定对终端进行第三方认证;或者,当请求消息中包括应用标识时,确定对终端进行第三方认证;或者,当请求消息中包括终端的标识,且与终端的标识对应的认证方式为对终端进行第三方认证时,确定对终端进行第三方认证。
在一种可选地设计中,请求消息还包括用户标识;或者;请求消息还包括用户标识和应用容器,应用容器用于应用服务器对终端进行第三方认证。
在一种可选地设计中,发送器902,还用于:根据请求消息向终端发送响应消息,响应消息包括用于指示终端通过控制面发送信息的指示信息;接收器907,还用于:通过控制面接收用户标识。
在一种可选地设计中,接收器907,还用于:通过控制面接收应用容器,应用容器用于应用服务器对终端进行第三方认证。
在一种可选地设计中,处理器903,用于:当请求消息中包括用户标识时,确定对终端进行第三方认证。
在一种可选地设计中,请求消息还包括应用容器,应用容器用于应用服务器对终端进行第三方认证。
在一种可选地设计中,发送器902,用于:通过认证服务器功能AUSF网元或网络开放功能NEF网元向应用服务器发送用户标识。
基于上述内容和相同构思,本申请提供一种通信装置,用于执行上述图2至图8所示方法中的终端侧的任一个方案。图10提供了另一种通信装置的结构示意图,如图10所示,通信装置1001包括处理器1003、发送器1002、接收器1007、存储器1005和通信接口1004;其中,处理器1003、发送器1002、接收器1007、存储器1005和通信接口1004通过总线 1006相互连接。可选地,收发器可以包括发送器1002和接收器1007。
可选地,存储器1005还可以用于存储程序指令,处理器1003调用该存储器1005中存储的程序指令,可以执行上述方案中所示实施例中的一个或多个步骤,或其中可选地实施方式,使得通信装置1001实现上述方法中终端的功能。
处理器1003用于根据执行存储器存储的指令,并控制发送器1002进行信号的发送,以及控制接收器1007进行信号接收,当处理器1003执行存储器存储的指令时,通信装置1001中的发送器1002,用于向移动性管理网元发送请求消息,请求消息中包括认证参考信息,认证参考信息用于移动性管理网元确定是否对终端进行第三方认证;接收器1007,用于接收来自移动性管理网元对请求消息的响应消息。
在一种可选地设计中,认证参考信息包括:用于指示对终端进行第三方认证的指示信息或应用标识。在一种可选地设计中,请求消息还包括用户标识。在一种可选地设计中,认证参考信息包括:用户标识。在一种可选地设计中,请求消息还包括应用容器,应用容器用于应用服务器对终端进行第三方认证。
在一种可选地设计中,响应消息包括用于指示终端通过控制面发送信息的指示信息,发送器1002,还用于:通过控制面向移动性管理网元发送用户标识。
在一种可选地设计中,发送器1002,还用于:通过控制面向移动性管理网元发送应用容器;其中,应用容器用于应用服务器对终端进行第三方认证。
基于上述内容和相同构思,本申请提供一种通信装置,用于执行上述图2至图8所示方法中的AUSF网元侧的任一个方案。图11提供了另一种通信装置的结构示意图,如图11所示,通信装置1101包括处理器1103、发送器1102、接收器1107、存储器1105和通信接口1104;其中,处理器1103、发送器1102、接收器1107、存储器1105和通信接口1104通过总线1106相互连接。可选地,收发器可以包括发送器1102和接收器1107。
可选地,存储器1105还可以用于存储程序指令,处理器1103调用该存储器1105中存储的程序指令,可以执行上述方案中所示实施例中的一个或多个步骤,或其中可选地实施方式,使得通信装置1101实现上述方法中AUSF网元的功能。
处理器1103用于根据执行存储器存储的指令,并控制发送器1102进行信号的发送,以及控制接收器1107进行信号接收,当处理器1103执行存储器存储的指令时,通信装置1101中的接收器1107,用于接收来自移动性管理网元的用户标识,接收来自应用服务器的认证参数;处理器1103,用于向应用服务器请求用户标识对应的认证参数。
在一种可选地设计中,发送器1102,还用于:向应用服务器发送应用容器,应用容器用于应用服务器对终端进行第三方认证。
在一种可选地设计中,处理器1103,还用于:根据认证参数对终端进行认证。
基于上述内容和相同构思,本申请提供一种通信装置,用于执行上述图2至图8所示方法中的PCF网元侧的任一个方案。图12提供了另一种通信装置的结构示意图,如图12所示,通信装置1201包括处理器1203、发送器1202、接收器1207、存储器1205和通信接口1204;其中,处理器1203、发送器1202、接收器1207、存储器1205和通信接口1204通过总线1206相互连接。可选地,收发器可以包括发送器1202和接收器1207。
可选地,存储器1205还可以用于存储程序指令,处理器1203调用该存储器1205中存储的程序指令,可以执行上述方案中所示实施例中的一个或多个步骤,或其中可选地实施方式,使得通信装置1201实现上述方法中PCF网元的功能。
处理器1203用于根据执行存储器存储的指令,并控制发送器1202进行信号的发送,以及控制接收器1207进行信号接收,当处理器1203执行存储器存储的指令时,通信装置1201中的接收器1207用于接收SMF网元发送的PCC策略建立请求消息,PCC策略建立请求消息包括用户标识;处理器1203用于根据预设PCC策略,获得用户标识对应的PCC策略;发送器1202用于向SMF网元发送PCC策略。如此,可以获得更细粒度的PCC策略,提高了PCC策略的灵活性。
在一种可选地实施方式中,PCC策略建立请求消息中还包括应用标识。可选地,处理器1203用于根据预设PCC策略,获得与用户标识以及应用标识对应的PCC策略。在一种可选地实施方式中,预设PCC策略中至少存在两个第一PCC策略,两个第一PCC策略对应两个不同的应用标识;当应用标识对应的至少两个PCC策略时,至少两个PCC策略中至少存在两个第二PCC策略,两个第二PCC策略对应两个不同的用户标识。如此,可以将PCC策略制定为应用级别的粒度或用户级别的粒度,比如为不同的应用设置不同的PCC策略,或者为同一个应用对应的不同的用户设置不同的PCC策略,提高了PCC策略设置的灵活性。
在一种可选地实施方式中,预设PCC策略还包括收费信息。如此,可以为应用服务器为终端提供付费服务,或者为用户制定个性化收费标准奠定基础。
基于上述内容和相同构思,本申请提供一种通信装置,用于执行上述图2至图8所示方法中的SMF网元侧的任一个方案。图13提供了另一种通信装置的结构示意图,如图13所示,通信装置1301包括处理器1303、发送器1302、接收器1307、存储器1305和通信接口1304;其中,处理器1303、发送器1302、接收器1307、存储器1305和通信接口1304通过总线1306相互连接。可选地,收发器可以包括发送器1302和接收器1307。
可选地,存储器1305还可以用于存储程序指令,处理器1303调用该存储器1305中存储的程序指令,可以执行上述方案中所示实施例中的一个或多个步骤,或其中可选地实施方式,使得通信装置1301实现上述方法中SMF网元的功能。
处理器1303用于根据执行存储器存储的指令,并控制发送器1302进行信号的发送,以及控制接收器1307进行信号接收,当处理器1303执行存储器存储的指令时,通信装置1301中的发送器1302用于向PCF网元发送PCC策略建立请求消息,PCC策略建立请求消息包括用户标识;接收器1307用于接收来自PCF网元的用户标识对应的PCC策略。在一种可选地实施方式中,PCC策略建立请求消息中还包括应用标识。如此,可以获得更细粒度的PCC策略,比如可以将PCC策略制定为应用级别的粒度或用户级别的粒度,举个例子,为不同的应用设置不同的PCC策略,或者为同一个应用对应的不同的用户设置不同的PCC策略,可见,该方法可提高PCC策略设置的灵活性。
在一种可选地实施方式中,接收器1307还用于接收应用服务器发送的根密钥;SMF网元根据根密钥与终端进行密钥协商。如此,在终端未进行本地认证的情况下,应用服务器可以为SMF网元分配根密钥,以便实现SMF网元与终端之间的安全保护。
在上述图9、图10、图11、图12和图13中,总线906、总线1006、总线1106、总线1206和总线1306中的任一个总线可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9、图10、图11、图12和图13中均仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在上述图9、图10、图11、图12和图13中,存储器905、存储器1005、存储器1105、存储器1205和存储器1305中的任一个存储器可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器也可以包括非易失性存储器(non-volatile memory),例如快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器还可以包括上述种类的存储器的组合。
在上述图9、图10、图11、图12和图13中,通信接口904、通信接口1004、通信接口1104、通信接口1204和通信接口1304中的任一个通信接口可以为有线通信接入口,无线通信接口或其组合,其中,有线通信接口例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线通信接口可以为WLAN接口。
在上述图9、图10、图11、图12和图13中,处理器903、处理器1003、处理器1103、处理器1203、处理器1303中的任一个处理器可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。
基于相同构思,本申请实施例提供一种通信装置,用于执行上述方法流程中的移动性管理网元侧的任一个方案。图14提供了另一种通信装置的结构示意图,如图14所示,通信装置1401包括发送单元1402、处理单元1403和接收单元1404。该实施例中的通信装置1401可以是上述的移动性管理网元,AMF网元,或MME,可以执行上述图2至图8对应的方案。
接收单元1404,用于接收来自终端的请求消息,请求消息用于请求接入网络;处理单元1403,用于当根据请求消息确定对终端进行第三方认证时,触发第三方认证。
应理解,以上网络设备的单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。本申请实施例中,图14中发送单元1402可以由上述图9的发送器902实现,图14中接收单元1404可以由上述图9的接收器907实现,图14中处理单元1403可以由上述图9的处理器903实现。也就是说,本申请实施例中发送单元1402可以执行上述图9的发送器902所执行的方案,本申请实施例中接收单元1404可以执行上述图9的接收器907所执行的方案,本申请实施例中处理单元1403可以执行上述图9的处理器903所执行的方案,其余内容可以参见上述内容,在此不再赘述。如上述图9所示,通信装置901包括的存储器905中可以用于存储该通信装置901包括的处理器903执行方案时的代码,该代码可为通信装置901出厂时预装的程序/代码。
基于相同构思,本申请实施例提供一种通信装置,用于执行上述方法流程中的终端侧的任一个方案。图15提供了另一种通信装置的结构示意图,如图15所示,通信装置1501包括发送单元1502、处理单元1503和接收单元1504。该实施例中的通信装置1501可以执行上述图2至图8对应的方案。
发送单元1502,用于向移动性管理网元发送请求消息,请求消息中包括认证参考信息,认证参考信息用于移动性管理网元确定是否对终端进行第三方认证;接收单元1504,用于 接收来自移动性管理网元对请求消息的响应消息。
应理解,以上网络设备的单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。本申请实施例中,图15中发送单元1502可以由上述图10的发送器1002实现,图15中接收单元1504可以由上述图10的接收器1007实现,图15中处理单元1503可以由上述图10的处理器1003实现。也就是说,本申请实施例中发送单元1502可以执行上述图10的发送器1002所执行的方案,本申请实施例中接收单元1504可以执行上述图10的接收器1007所执行的方案,本申请实施例中处理单元1503可以执行上述图10的处理器1003所执行的方案,其余内容可以参见上述内容,在此不再赘述。如上述图10所示,通信装置1001包括的存储器1005中可以用于存储该通信装置1001包括的处理器1003执行方案时的代码,该代码可为通信装置1001出厂时预装的程序/代码。
基于相同构思,本申请实施例提供一种通信装置,用于执行上述方法流程中的AUSF网元侧的任一个方案。图16提供了另一种通信装置的结构示意图,如图16所示,通信装置1601包括发送单元1602、处理单元1603和接收单元1604。该实施例中的通信装置1601可以执行上述图2至图8对应的方案。
接收单元1604,用于接收来自移动性管理网元的用户标识,接收来自应用服务单元的认证参数;处理单元1603,用于向应用服务单元请求用户标识对应的认证参数。
应理解,以上网络设备的单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。本申请实施例中,图16中发送单元1602可以由上述图11的发送器1102实现,图16中接收单元1604可以由上述图11的接收器1107实现,图16中处理单元1603可以由上述图11的处理器1103实现。也就是说,本申请实施例中发送单元1602可以执行上述图11的发送器1102所执行的方案,本申请实施例中接收单元1604可以执行上述图11的接收器1107所执行的方案,本申请实施例中处理单元1603可以执行上述图11的处理器1103所执行的方案,其余内容可以参见上述内容,在此不再赘述。如上述图11所示,通信装置1101包括的存储器1105中可以用于存储该通信装置1101包括的处理器1103执行方案时的代码,该代码可为通信装置1101出厂时预装的程序/代码。
基于相同构思,本申请实施例提供一种通信装置,用于执行上述方法流程中的PCF网元侧的任一个方案。图17提供了另一种通信装置的结构示意图,如图17所示,通信装置1701包括发送单元1702、处理单元1703和接收单元1704。该实施例中的通信装置1701可以执行上述图2至图8对应的方案。
接收单元1704用于接收SMF网元发送的PCC策略建立请求消息,PCC策略建立请求消息包括用户标识;处理单元1703用于根据预设PCC策略,获得用户标识对应的PCC策略;发送单元1702用于向SMF网元发送PCC策略。
应理解,以上网络设备的单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。本申请实施例中,图17中发送单元1702可以由上述图12的发送器1202实现,图17中接收单元1704可以由上述图12的接收器1207实现,图17中处理单元1703可以由上述图12的处理器1203实现。也就是说,本申请实施例中发送单元1702可以执行上述图12的发送器1202所执行的方案,本申请实施例中接收单元1704可以执行上述图12的接收器1207所执行的方案,本申请实 施例中处理单元1703可以执行上述图12的处理器1203所执行的方案,其余内容可以参见上述内容,在此不再赘述。如上述图12所示,通信装置1201包括的存储器1205中可以用于存储该通信装置1201包括的处理器1203执行方案时的代码,该代码可为通信装置1201出厂时预装的程序/代码。
基于相同构思,本申请实施例提供一种通信装置,用于执行上述方法流程中的SMF网元侧的任一个方案。图18提供了另一种通信装置的结构示意图,如图18所示,通信装置1801包括发送单元1802、处理单元1803和接收单元1804。该实施例中的通信装置1801可以执行上述图2至图8对应的方案。
发送单元1802用于向PCF网元发送PCC策略建立请求消息,PCC策略建立请求消息包括用户标识;接收单元1804用于接收来自PCF网元的用户标识对应的PCC策略。
应理解,以上网络设备的单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。本申请实施例中,图18中发送单元1802可以由上述图13的发送器1302实现,图18中接收单元1804可以由上述图13的接收器1307实现,图18中处理单元1803可以由上述图13的处理器1303实现。也就是说,本申请实施例中发送单元1802可以执行上述图13的发送器1302所执行的方案,本申请实施例中接收单元1804可以执行上述图13的接收器1307所执行的方案,本申请实施例中处理单元1803可以执行上述图13的处理器1303所执行的方案,其余内容可以参见上述内容,在此不再赘述。如上述图13所示,通信装置1301包括的存储器1305中可以用于存储该通信装置1301包括的处理器1303执行方案时的代码,该代码可为通信装置1301出厂时预装的程序/代码。
基于相同构思,本申请实施例提供一种通信系统,用于执行上述方法流程中的方案。图19示例性示出了本申请实施例提供的一种通信系统的结构示意图,如图19所示,该通信系统1900可以包括移动性管理网元1901和终端1902。可选地,该通信系统还可以包括AUSF网元1903、PCF网元1904和SMF网元1905中的任一个或任多个,分别用于实现以上图2至图8的方法中相应的步骤。
终端1902,用于向移动性管理网元1901发送请求消息,所述请求消息中包括认证参考信息,所述认证参考信息用于所述移动性管理网元确定是否对所述终端进行第三方认证;所述终端接收来自所述移动性管理网元对所述请求消息的响应消息。移动性管理网元1901接收来自终端1902的请求消息,所述请求消息用于请求接入网络;当所述移动性管理网元根据所述请求消息确定对所述终端进行第三方认证时,所述移动性管理网元触发第三方认证。
应理解,该通信系统1900中的移动性管理网元1901可以执行上述图14的通信装置1401所执行的方案,也可以执行上述图9的通信装置901所执行的方案,可选地,也可以是上述图1中的AMF网元,也可以是MME网元。该通信系统1900中的移动性管理网元1901可以执行上述图14的通信装置1401所执行的方案,也可以执行上述图9的通信装置901所执行的方案,可选地,也可以是上述图1中的AMF网元,也可以是MME网元。该通信系统1900中的终端1902可以执行上述图15的通信装置1501所执行的方案,也可以执行上述图10的通信装置1001所执行的方案,可选地,也可以是上述图1中的终端。该通信系统1900中的AUSF网元1903可以执行上述图16的通信装置1601所执行的方案,也可以执行上述图11的通信装置1101行的方案,可选地,也可以是上述图1中的AUSF 网元。该通信系统1900中的PCF网元1904可以执行上述图17的通信装置1701所执行的方案,也可以执行上述图12的通信装置1201所执行的方案,可选地,也可以是上述图1中的PCF网元。该通信系统1900中的SMF网元1905可以执行上述图18的通信装置1801所执行的方案,也可以执行上述图13的通信装置1301所执行的方案,可选地,也可以是上述图1中的SMF网元。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现、当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。指令可以存储在计算机存储介质中,或者从一个计算机存储介质向另一个计算机存储介质传输,例如,指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带、磁光盘(MO)等)、光介质(例如,CD、DVD、BD、HVD等)、或者半导体介质(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(Solid State Disk,SSD))等。
本领域内的技术人员应明白,本申请实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (30)

  1. 一种通信方法,其特征在于,包括:
    移动性管理网元接收来自终端的请求消息,所述请求消息用于请求接入网络;
    当所述移动性管理网元根据所述请求消息确定对所述终端进行第三方认证时,所述移动性管理网元触发第三方认证。
  2. 如权利要求1所述的方法,其特征在于,所述移动性管理网元根据所述请求消息确定对所述终端进行第三方认证,包括:
    当所述请求消息中包括用于指示对所述终端进行第三方认证的指示信息时,所述移动性管理网元确定对所述终端进行第三方认证;或者,
    当所述请求消息中包括应用标识时,所述移动性管理网元确定对所述终端进行第三方认证;或者,
    当所述请求消息中包括所述终端的标识,且与所述终端的标识对应的认证方式为对所述终端进行第三方认证时,所述移动性管理网元确定对所述终端进行第三方认证。
  3. 如权利要求2所述的方法,其特征在于,所述请求消息还包括用户标识;或者;
    所述请求消息还包括用户标识和应用容器,所述应用容器用于对所述终端进行第三方认证。
  4. 如权利要求2所述的方法,其特征在于,所述方法还包括:
    所述移动性管理网元根据所述请求消息向所述终端发送响应消息,所述响应消息包括用于指示所述终端通过控制面发送信息的指示信息;
    所述移动性管理网元通过控制面接收所述用户标识。
  5. 如权利要求4所述的方法,其特征在于,所述方法还包括:
    所述移动性管理网元通过所述控制面接收应用容器,所述应用容器用于对所述终端进行第三方认证。
  6. 如权利要求1所述的方法,其特征在于,所述移动性管理网元根据所述请求消息确定对所述终端进行第三方认证,包括:
    当所述请求消息中包括用户标识时,所述移动性管理网元确定对所述终端进行第三方认证。
  7. 如权利要求6所述的方法,其特征在于,所述请求消息还包括应用容器,所述应用容器用于对所述终端进行第三方认证。
  8. 一种通信方法,其特征在于,包括:
    终端向移动性管理网元发送请求消息,所述请求消息中包括认证参考信息,所述认证参考信息用于所述移动性管理网元确定是否对所述终端进行第三方认证;
    所述终端接收来自所述移动性管理网元对所述请求消息的响应消息。
  9. 如权利要求8所述的方法,其特征在于,所述认证参考信息包括:用于指示对所述终端进行第三方认证的指示信息或应用标识。
  10. 如权利要求9所述的方法,其特征在于,所述请求消息还包括用户标识。
  11. 如权利要求8所述的方法,其特征在于,所述认证参考信息包括:用户标识。
  12. 如权利要求10或11所述的方法,其特征在于,所述请求消息还包括应用容器,所述应用容器用于对所述终端进行第三方认证。
  13. 如权利要求9所述的方法,其特征在于,所述响应消息包括用于指示所述终端通过控制面发送信息的指示信息,所述方法还包括:
    所述终端通过控制面向所述移动性管理网元发送所述用户标识。
  14. 一种通信方法,其特征在于,包括:
    认证服务器功能AUSF网元接收来自移动性管理网元的用户标识;
    所述AUSF网元向应用服务器请求所述用户标识对应的认证参数;
    所述AUSF网元接收来自所述应用服务器的所述认证参数,所述认证参数用于对终端进行认证。
  15. 如权利要求14所述的方法,其特征在于,所述方法还包括:
    所述AUSF网元向所述应用服务器发送应用容器,所述应用容器用于所述应用服务器对所述终端进行第三方认证。
  16. 一种通信装置,其特征在于,包括:
    接收器,用于接收来自终端的请求消息,所述请求消息用于请求接入网络;
    处理器,用于当根据所述请求消息确定对所述终端进行第三方认证时,触发第三方认证。
  17. 如权利要求16所述的通信装置,其特征在于,所述处理器还用于:
    当所述请求消息中包括用于指示对所述终端进行第三方认证的指示信息时,确定对所述终端进行第三方认证;或者,
    当所述请求消息中包括应用标识时,确定对所述终端进行第三方认证;或者,
    当所述请求消息中包括所述终端的标识,且与所述终端的标识对应的认证方式为对所述终端进行第三方认证时,确定对所述终端进行第三方认证。
  18. 如权利要求17所述的通信装置,其特征在于,所述请求消息还包括用户标识;或者;
    所述请求消息还包括用户标识和应用容器,所述应用容器用于对所述终端进行第三方认证。
  19. 如权利要求17所述的通信装置,其特征在于,所述通信装置还包括发送器;
    所述发送器,用于根据所述请求消息向所述终端发送响应消息,所述响应消息包括用于指示所述终端通过控制面发送信息的指示信息;
    所述接收器,还用于通过控制面接收所述用户标识。
  20. 如权利要求19所述的通信装置,其特征在于,所述接收器还用于:
    通过所述控制面接收应用容器,所述应用容器用于对所述终端进行第三方认证。
  21. 如权利要求16所述的通信装置,其特征在于,所述处理器还用于:
    当所述请求消息中包括用户标识时,确定对所述终端进行第三方认证。
  22. 如权利要求21所述的通信装置,其特征在于,所述请求消息还包括应用容器,所述应用容器用于对所述终端进行第三方认证。
  23. 一种通信装置,其特征在于,包括:
    发送器,用于向移动性管理网元发送请求消息,所述请求消息中包括认证参考信息,所述认证参考信息用于所述移动性管理网元确定是否对终端进行第三方认证;
    接收器,用于接收来自所述移动性管理网元对所述请求消息的响应消息。
  24. 如权利要求23所述的通信装置,其特征在于,所述认证参考信息包括:用于指 示对所述终端进行第三方认证的指示信息或应用标识。
  25. 如权利要求24所述的通信装置,其特征在于,所述请求消息还包括用户标识。
  26. 如权利要求23所述的通信装置,其特征在于,所述认证参考信息包括:用户标识。
  27. 如权利要求25或26所述的通信装置,其特征在于,所述请求消息还包括应用容器,所述应用容器用于对所述终端进行第三方认证。
  28. 如权利要求24所述的通信装置,其特征在于,所述响应消息包括用于指示所述终端通过控制面发送信息的指示信息,所述发送器,还用于:
    通过控制面向所述移动性管理网元发送所述用户标识。
  29. 一种通信装置,其特征在于,包括:
    接收器,用于接收来自移动性管理网元的用户标识;
    处理器,用于向应用服务器请求所述用户标识对应的认证参数;
    所述接收器,还用于接收来自所述应用服务器的认证参数,所述认证参数用于对终端进行认证。
  30. 如权利要求29所述的通信装置,其特征在于,所述发送器,还用于:
    向所述应用服务器发送应用容器,所述应用容器用于所述应用服务器对所述终端进行第三方认证。
PCT/CN2019/072529 2018-02-13 2019-01-21 一种通信方法及通信装置 WO2019157909A1 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP19753947.1A EP3745757A4 (en) 2018-02-13 2019-01-21 COMMUNICATION METHOD AND COMMUNICATION DEVICE
US16/988,241 US20200374698A1 (en) 2018-02-13 2020-08-07 Communication method and communications apparatus

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201810150774.0A CN110167025B (zh) 2018-02-13 2018-02-13 一种通信方法及通信装置
CN201810150774.0 2018-02-13

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US16/988,241 Continuation US20200374698A1 (en) 2018-02-13 2020-08-07 Communication method and communications apparatus

Publications (1)

Publication Number Publication Date
WO2019157909A1 true WO2019157909A1 (zh) 2019-08-22

Family

ID=67619099

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2019/072529 WO2019157909A1 (zh) 2018-02-13 2019-01-21 一种通信方法及通信装置

Country Status (4)

Country Link
US (1) US20200374698A1 (zh)
EP (1) EP3745757A4 (zh)
CN (1) CN110167025B (zh)
WO (1) WO2019157909A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4088512A4 (en) * 2020-01-07 2023-09-27 Lenovo (Beijing) Limited METHOD AND APPARATUS FOR SELECTING A USER LEVEL FUNCTION

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112672336B (zh) * 2019-09-30 2024-04-30 华为技术有限公司 实现外部认证的方法、通信装置及通信系统
EP4007326A4 (en) * 2019-10-04 2022-10-05 Samsung Electronics Co., Ltd. METHOD AND DEVICE FOR ACTIVATING A 5G USER
CN113498060B (zh) * 2020-04-07 2023-02-17 大唐移动通信设备有限公司 一种控制网络切片认证的方法、装置、设备及存储介质
CN116193430A (zh) * 2020-04-07 2023-05-30 大唐移动通信设备有限公司 一种认证和授权结果通知及其处理方法、设备、装置及介质
CN111638997A (zh) * 2020-05-28 2020-09-08 中国联合网络通信集团有限公司 数据恢复方法、装置及网络设备
US11836225B1 (en) * 2020-08-26 2023-12-05 T-Mobile Innovations Llc System and methods for preventing unauthorized replay of a software container
WO2022148469A1 (zh) * 2021-01-11 2022-07-14 华为技术有限公司 一种安全保护方法、装置和系统
US11452007B1 (en) * 2021-03-16 2022-09-20 Sprint Communications Company L.P. Wireless communication handovers for non-third generation partnership project (non-3GPP) access nodes
CN115884177A (zh) * 2021-09-26 2023-03-31 华为技术有限公司 一种通信方法、装置及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104267958A (zh) * 2014-09-29 2015-01-07 北京网秦天下科技有限公司 移动应用容器及其管理方法
CN106912047A (zh) * 2015-12-22 2017-06-30 中兴通讯股份有限公司 终端认证方法、装置及系统
CN107579948A (zh) * 2016-07-05 2018-01-12 华为技术有限公司 一种网络安全的管理系统、方法及装置
CN107637019A (zh) * 2015-06-02 2018-01-26 华为技术有限公司 使用第三方提供的基础设施或网络连接服务的方法和设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI493952B (zh) * 2006-12-27 2015-07-21 Signal Trust For Wireless Innovation 基地台自行配置方法及裝置
CN101772020B (zh) * 2009-01-05 2011-12-28 华为技术有限公司 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备
CN101931955B (zh) * 2010-09-03 2015-01-28 中兴通讯股份有限公司 认证方法、装置及系统
US8929862B2 (en) * 2011-07-08 2015-01-06 Motorola Solutions, Inc. Method and apparatus for attaching a wireless device to a foreign 3GPP wireless domain using alternative authentication mechanisms
CN103702328B (zh) * 2012-09-28 2017-11-21 中国电信股份有限公司 Uim卡接入epc网络的认证方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104267958A (zh) * 2014-09-29 2015-01-07 北京网秦天下科技有限公司 移动应用容器及其管理方法
CN107637019A (zh) * 2015-06-02 2018-01-26 华为技术有限公司 使用第三方提供的基础设施或网络连接服务的方法和设备
CN106912047A (zh) * 2015-12-22 2017-06-30 中兴通讯股份有限公司 终端认证方法、装置及系统
CN107579948A (zh) * 2016-07-05 2018-01-12 华为技术有限公司 一种网络安全的管理系统、方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
NOKIA: "Network Slice access subscription management by a third party", SA WG2 MEETING #122BIS S2-175693, 25 August 2017 (2017-08-25), XP051325542 *
See also references of EP3745757A4

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4088512A4 (en) * 2020-01-07 2023-09-27 Lenovo (Beijing) Limited METHOD AND APPARATUS FOR SELECTING A USER LEVEL FUNCTION

Also Published As

Publication number Publication date
US20200374698A1 (en) 2020-11-26
CN110167025A (zh) 2019-08-23
CN110167025B (zh) 2021-01-29
EP3745757A4 (en) 2021-06-02
EP3745757A1 (en) 2020-12-02

Similar Documents

Publication Publication Date Title
WO2019157909A1 (zh) 一种通信方法及通信装置
EP3627793B1 (en) Session processing method and device
WO2020220865A1 (zh) 网络功能服务的身份校验方法及相关装置
WO2018201506A1 (zh) 一种通信方法及相关装置
CN108886674B (zh) 通过通信网络中继数据的系统和方法
US11140545B2 (en) Method, apparatus, and system for protecting data
CN112105021B (zh) 一种认证方法、装置及系统
CN111818516B (zh) 认证方法、装置及设备
WO2022159725A1 (en) Federated identity management in fifth generation (5g) system
CN113498217A (zh) 一种通信方法和通信装置
WO2018058365A1 (zh) 一种网络接入授权方法、相关设备及系统
US9397899B2 (en) Techniques for fractional wireless broadband usage
WO2022247812A1 (zh) 一种鉴权方法、通信装置和系统
CN113543121A (zh) 一种终端参数更新的保护方法和通信装置
US20240022952A1 (en) Resource Allocation in Non-Public Network
JP2023519997A (ja) 端末パラメータ更新を保護するための方法および通信装置
CN113055342B (zh) 一种信息处理方法及通信装置
WO2023011630A1 (zh) 授权验证的方法及装置
WO2019071472A1 (zh) 一种业务策略创建方法及装置
JP2020505845A (ja) 緊急アクセス中のパラメータ交換のための方法およびデバイス
WO2023072275A1 (zh) 通信方法、装置及系统
WO2022027529A1 (zh) 一种切片认证的方法及装置
WO2023169206A1 (zh) 授权验证的方法和装置
WO2024037215A1 (zh) 通信方法及装置
CN116782224A (zh) 通信方法和装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19753947

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2019753947

Country of ref document: EP

Effective date: 20200826