WO2020056611A1

WO2020056611A1 - 用于网络切片鉴权的方法和设备

Info

Publication number: WO2020056611A1
Application number: PCT/CN2018/106341
Authority: WO
Inventors: 唐海
Original assignee: Oppo广东移动通信有限公司
Priority date: 2018-09-18
Filing date: 2018-09-18
Publication date: 2020-03-26
Also published as: CN112740732A; US20220095106A1; US11665542B2; EP3840442A1; US11223949B2; EP3840442C0; CN113316148B; EP3840442B1; JP2022511327A; KR102569538B1; JP7261872B2; CN113316148A; EP3840442A4; KR20210059743A; US20210204126A1

Abstract

本申请实施例提供一种用于网络切片鉴权的方法和设备，有利于实现第三方服务器对终端设备的鉴权。该方法包括：终端设备获取第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对所述终端设备进行鉴权。

Description

用于网络切片鉴权的方法和设备

技术领域

本申请实施例涉及通信技术领域，具体涉及一种用于网络切片鉴权的方法和设备。

背景技术

网络切片可以根据不同业务场景的不同需求，向终端设备提供不同的专有网络，特定的网络切片可以只包含该场景所需的功能。当终端设备需要使用某个网络切片的功能时，终端设备可以通过注册到该网络切片来使用该网络切片。

为了使注册到网络切片的终端设备是授权的终端设备，该网络切片对应的第三方服务器需要对该终端设备进行鉴权，以保障第三方应用提供商的利益。因此，如何对终端设备进行鉴权成为亟需解决的问题。

发明内容

本申请实施例提供一种用于网络切片鉴权的方法和设备，有利于实现第三方服务器对终端设备的鉴权。

第一方面，提供了一种用于网络切片鉴权的方法，包括：终端设备获取第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对所述终端设备进行鉴权。

第二方面，提供了一种用于网络切片鉴权的方法，包括：网络设备为终端设备配置第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对所述终端设备进行鉴权。

第三方面，提供了一种终端设备，用于执行上述第一方面或其各实现方式中的方法。

具体地，该终端设备包括用于执行上述第一方面或其各实现方式中的方法的功能模块。

第四方面，提供了一种网络设备，用于执行上述第二方面或其各实现方式中的方法。

具体地，该终端设备包括用于执行上述第二方面或其各实现方式中的方法的功能模块。

第五方面，提供了一种通信设备，用于执行上述第一方面至第二方面中的方法。

具体地，该通信设备包括用于执行上述第一方面至第二方面中的方法的功能模块。

第六方面，提供了一种通信设备，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述第一方面至第二方面中的方法。

第七方面，提供了一种芯片，用于实现上述第一方面至第二方面中的方法。

具体地，该芯片包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有该芯片的设备执行如上述第一方面至第二方面中的方法。

第八方面，提供了一种计算机可读存储介质，用于存储计算机程序，该计算机程序使得计算机执行上述第一方面至第二方面中的方法。

第九方面，提供了一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行上述第一方面至第二方面中的方法。

第十方面，提供了一种计算机程序，当其在计算机上运行时，使得计算机执行上述第一方面至第二方面中的方法。

通过上述技术方案，本申请提供的技术方案，终端设备可以根据第一指示信息来确定哪些网络切片需要进行二次鉴权，哪些网络切片不需要进行二次鉴权。这样终端设备在注册到网络切片时，根据不同的网络切片的鉴权情况，向网络设备发送不同的请求消息来进行网络切片的注册，有利于实现第三方服务器对终端设备的二次鉴权。

附图说明

图1是本申请实施例提供的一种通信系统架构的示意性图。

图2是本申请实施例提供的一种用于网络切片鉴权方法的示意性图。

图3是本申请实施例提供的另一种用于网络切片鉴权方法的示意性图。

图4是本申请实施例提供的一种网络切片的鉴权方法的示意性图。

图5是本申请实施例提供的一种终端设备的示意性框图。

图6是本申请实施例提供的一种网络设备的示意性框图。

图7是本申请实施例提供的一种通信设备的示意性框图。

图8是本申请实施例提供的一种芯片的示意性框图。

图9是本申请实施例提供的一种通信系统的示意性框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通讯(Global System of Mobile communication，GSM)系统、码分多址(Code Division Multiple Access，CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access，WCDMA)系统、通用分组无线业务(General Packet Radio Service，GPRS)、长期演进(Long Term Evolution，LTE)系统、LTE频分双工(Frequency Division Duplex，FDD)系统、LTE时分双工(Time Division Duplex，TDD)、通用移动通信系统(Universal Mobile Telecommunication System， UMTS)、全球互联微波接入(Worldwide Interoperability for Microwave Access，WiMAX)通信系统或5G系统等。

示例性的，本申请实施例应用的通信系统100如图1所示。该通信系统100可以包括网络设备110，网络设备110可以是与终端设备120(或称为通信终端、终端)通信的设备。网络设备110可以为特定的地理区域提供通信覆盖，并且可以与位于该覆盖区域内的终端设备进行通信。可选地，该网络设备110可以是GSM系统或CDMA系统中的基站(Base Transceiver Station，BTS)，也可以是WCDMA系统中的基站(NodeB，NB)，还可以是LTE系统中的演进型基站(Evolutional Node B，eNB或eNodeB)，或者是云无线接入网络(Cloud Radio Access Network，CRAN)中的无线控制器，或者该网络设备可以为移动交换中心、中继站、接入点、车载设备、可穿戴设备、集线器、交换机、网桥、路由器、5G网络中的网络侧设备或者未来演进的公共陆地移动网络(Public Land Mobile Network，PLMN)中的网络设备等。

该通信系统100还包括位于网络设备110覆盖范围内的至少一个终端设备120。作为在此使用的“终端设备”包括但不限于经由有线线路连接，如经由公共交换电话网络(Public Switched Telephone Networks，PSTN)、数字用户线路(Digital Subscriber Line，DSL)、数字电缆、直接电缆连接；和/或另一数据连接/网络；和/或经由无线接口，如，针对蜂窝网络、无线局域网(Wireless Local Area Network，WLAN)、诸如DVB-H网络的数字电视网络、卫星网络、AM-FM广播发送器；和/或另一终端设备的被设置成接收/发送通信信号的装置；和/或物联网(Internet of Things，IoT)设备。被设置成通过无线接口通信的终端设备可以被称为“无线通信终端”、“无线终端”或“移动终端”。移动终端的示例包括但不限于卫星或蜂窝电话；可以组合蜂窝无线电电话与数据处理、传真以及数据通信能力的个人通信系统(Personal Communications System，PCS)终端；可以包括无线电电话、寻呼机、因特网/内联网接入、Web浏览器、记事簿、日历以及/或全球定位系统(Global Positioning System，GPS)接收器的PDA；以及常规膝上型和/或掌上型接收器或包括无线电电话收发器的其它电子装置。终端设备可以指接入终端、用户设备(User Equipment，UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol，SIP)电话、无线本地环路(Wireless Local Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端设备或者未来演进的PLMN中的终端设备等。

可选地，终端设备120之间可以进行终端直连(Device to Device，D2D)通信。

可选地，5G系统或5G网络还可以称为新无线(New Radio，NR)系统或NR网络。

图1示例性地示出了一个网络设备和两个终端设备，可选地，该通信系统100可以包括多个网络设备并且每个网络设备的覆盖范围内可以包括其它数量的终端设备，本申请实施例对此不做限定。

可选地，该通信系统100还可以包括网络控制器、移动管理实体等其他网络实体，本申请实施例对此不作限定。

应理解，本申请实施例中网络/系统中具有通信功能的设备可称为通信设备。以图1示出的通信系统100为例，通信设备可包括具有通信功能的网络设备110和终端设备120，网络设备110和终端设备120可以为上文所述的具体设备，此处不再赘述；通信设备还可包括通信系统100中的其他设备，例如网络控制器、移动管理实体等其他网络实体，本申请实施例中对此不做限定。

应理解，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

不同的应用场景在网络功能、系统性能、安全、用户体验等方方面面都有着非常不同的需求，如果使用一个网络提供服务，势必会导致这个网络十分复杂、笨重，并且无法达到应用所需要的极限性能要求，同时也导致网络运维变得相当的复杂，增加网络运营的成本。相反地，如果按照不同业务场景的不同需求，为其部署专有的网络来提供服务，这个网络只包含这个类型的应用场景所需的功能，那么服务的效率将大大提高，应用场景所需要的网络性能也能够得到保障，网络的运维变得简单，投资及运维成本均可降低。这个专有的网络可以理解为网络切片。

当终端设备需要使用某个网络切片的功能时，终端设备可以注册到该网络切片。

终端设备在注册到某个网络切片时，网络设备例如：接入和移动性管理功能(access and mobility management function，AMF)实体、网络切片选择功能(network slice selection function，NSSF)实体需要对该终端设备进行鉴权，以确定该终端设备是否签约到该网络切片，该过程可以称为一次鉴权。

在某些情况下，为了进一步地保障运营商和第三方应用提供商的利益，使得接入到网络切片的终端设备为授权的终端设备，需要网络切片对应的第三方服务器对终端设备进行鉴权。因此，如何实现对终端设备的鉴权成为亟需解决的问题。

需要说明的是，本申请实施例中，第三方服务器对终端设备进行的鉴权也可以称为二次鉴权。

图2是本申请实施例提供的一种用于网络切片的鉴权的方法，图2的方法包括步骤210。

在步骤210中，终端设备获取第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对终端设备进行鉴权。

本申请实施例对第一指示信息的形式不做具体限定。

可选地，第一指示信息中可以包括多个指示信息。该多个指示信息中的每个指示信息可以用于指示一个网络切片是否需要进行二次鉴权。或者，该多个指示信息中的每个指示信息可以用于指示多个网络切片是否需要进行二次鉴权。

例如，第一指示信息中可以包括指示信息A和指示信息B，其中，指示信息A用于指示需要进行二次鉴权的网络切片，指示信息B用于指示不需要进行二次鉴权的网络切片。

可选地，对于不需要进行二次鉴权的网络切片，也可以采用不指示的方式。例如，当终端设备获得的某个网络切片没有对应的指示信息时，表示该网络切片不需要进行二次鉴权。

本申请提供的技术方案，终端设备可以根据第一指示信息来确定哪些网络切片需要进行二次鉴权，哪些网络切片不需要进行二次鉴权。这样有利于终端设备在注册到网络切片时，根据不同的网络切片的鉴权情况，向网络设备发送不同的请求消息来进行网络切片的注册。

终端设备获取第一指示信息的方式有多种，本申请实施例对此不做具体限定。

作为一个示例，第一指示信息可以是预配置在终端设备中的。例如，终端设备在出厂前，终端制造商和运营商可以将需要进行二次鉴权的网络切片的指示信息设置在终端设备中。

作为另一个示例，第一指示信息可以是终端设备从应用程序中获得的。该第一指示信息可以用于指示该应用程序使用的网络切片是否需要第三方服务器对终端设备进行鉴权。

例如，第一指示信息可以设置在应用程序的安装包中，当终端设备安装该应用程序后，该应用程序即可获得该第一指示信息。该应用程序可以将该第一指示信息发送给终端设备的操作系统和/或芯片。

又例如，在终端设备安装应用程序后，该应用程序可以从应用服务器获得该第一指示信息，并将该指示信息发送给终端设备的操作系统和/或芯片。

本申请实施例中，终端设备的芯片例如可以是终端设备的处理器。

作为又一示例，第一指示信息也可以是网络设备配置给终端设备的。

下面结合图3，对本申请实施例中网络设备给终端设备配置第一指示信息的方式进行详细描述。图3的方法包括步骤310。

在步骤310中，网络设备为终端设备配置第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对所述终端设备进行鉴权。

本申请实施例提供了一种终端设备获取第一指示信息的方式。上述方案中，网络设备可以为终端设备配置哪些网络切片需要进行二次鉴权，哪些网络切片不需要进行二次鉴权的指示信息，这样有利于终端设备基于该指示信息，向网络设备发送不同的请求消息来进行网络切片的注册。

网络设备给终端设备配置第一指示信息的方式有多种。例如，网络设备可以通过信令的方式将第一指示信息发送给终端设备。又例如，网络设备可以通过开放移动联盟(open mobile alliance，OMA)的方式将第一指示信息发送给终端设备。

可选地，网络设备可以将第一指示信息配置在UE策略(policy)或者配置(configured)的网络切片选择辅助信息(network slice selection assistance information，NSSAI)中，终端设备可以从UE policy或者configured NSSAI中获取第一指示信息。UE policy用于指示终端设备中至少一个应用对应的网络切片、数据网络(data network name，DNN)等信息。Configured NSSAI用于指示终端设备可以使用的至少一个网络切片。

可选地，网络设备也可以在终端设备发送第一注册请求消息后，向终端设备发送承载第一指示信息的信令。

例如，终端设备可以向网络设备发送第一注册请求消息，网络设备可以在向终端设备发送第一注册响应消息时，将第一指示信息承载在该第一注册响应消息中。

又例如，网络设备没有在第一注册响应消息中携带第一指示信息，而是在发送第一注册响应消息后，再向终端设备发送一个单独的信令，如非接入层(non-access stratum，NAS)信令来承载第一指示信息。

本申请实施例中的第一注册请求消息可以指不携带鉴权信息的请求消息，网络设备可以仅对终端设备进行简单的注册。网络设备可以基于终端设备的签约信息，对终端设备进行简单的注册。例如，判断终端设备是否签约到该网络切片。

可选地，本申请实施例中的网络设备可以是核心网设备，例如AMF，也可以是应用层网络设备。

可选地，当终端设备需要使用某个网络切片时，终端设备可以基于该第一指示信息，判断该网络切片是否需要进行二次鉴权。如果该网络切片需要进行二次鉴权，则终端设备可以向网络设备发送包含鉴权信息的请求消息。如果该网络切片不需要进行二次鉴权，则终端设备可以向网络设备发送不包含鉴权信息的请求消息。

这样，终端设备可以主动判断哪些网络切片需要进行二次鉴权，并在请求消息中携带鉴权信息。避免了终端设备在每次使用某个需要进行二次鉴权的网络切片时，都需要网络设备发送请求获取鉴权信息的消息后，再向网络设备发送鉴权信息的情况。该方案能够节省信令开销，降低传输时延。

当终端设备判断第一网络切片需要进行二次鉴权时，终端设备可以向网络设备发送请求消息，该请求消息中携带鉴权信息，该鉴权信息用于第一网络切片对应的第三方服务器对终端设备进行鉴权。

可选地，该请求消息可以是第二注册请求消息，或者也可以是协议数据单元(protocol data unit，PDU)会话建立请求消息。

例如，终端设备可以向网络设备发送第二注册请求消息，该第二注册请求消息中包括第一网络切片的标识信息，以及鉴权信息。网络设备接收到该第二注册请求消息后，可以将该鉴权信息发送给第一网络切片对应的第三方服务器，以便于第三方服务器对终端设备进行鉴权。

或者，终端设备也可以向网络设备发送NAS消息，该NAS消息中包含PDU会话建立请求消息和第一网络切片的标识信息，该PDU会话建立请求消息中包括鉴权信息。网络设备接收到该PDU会话建立请求消息后，可以将该鉴权信息发送给第一网络切片对应的第三方服务器，以便于第三方服务器对终端设备进行鉴权。

第三方服务器可以将鉴权结果发送给网络设备，网络设备基于该鉴权结果，向终端设备发送响应消息。该响应消息可以是第二注册响应消息，或者可是PDU会话建立响应消息。

可选地，该响应消息中可以包括第三方服务器对终端设备的鉴权是否通过的消息。

本申请实施例中的第一网络切片可以是一个网络切片，也可以是多个网络切片。

作为一个示例，终端设备可以在一个注册请求消息中向网络设备发送请求注册到多个网络切片的消息。例如，一个注册请求消息中可以包括多个网络切片的标识信息以及分别针对该多个网络切片的鉴权信息。

网络切片的标识信息可以用单一网络切片选择辅助信息(single NSSAI，S-NSSAI)进行描述。一个S-NSSAI可以标识一个网络切片。

终端设备在向网络设备发送请求的NSSAI时，可以将一个或多个S-NSSAI作为请求的NSSAI，表示该终端设备希望注册到该多个S-NSSAI对应的网络切片。

当该多个S-NSSAI对应的网络切片都需要第三方服务器对终端设备进行二次鉴权时，终端设备可以在注册请求消息中携带分别针对该多个S-NSSAI对应的鉴权信息，以便于该多个S-NSSAI对应的第三方服务器对终端设备进行二次鉴权。

可以理解，该多个S-NSSAI中，可以仅有一部分S-NSSAI对应的网络切片需要进行二次鉴权，而另一部分S-NSSAI对应的网络切片不需要进行二次鉴权。此时，终端设备发送的注册请求消息中可以仅携带需要进行二次鉴权的网络切片的鉴权信息。

可选地，终端设备还可以获取针对第三方服务器的鉴权信息。终端设备获取鉴权信息的方式可以与终端设备获取第一指示信息的方式类似。

例如，该鉴权信息可以通过网络设备配置给终端设备，或者该鉴权信息也可以是预配置在终端设备中的，或者该鉴权信息也可以是终端设备从应用程序中获得的。

可选地，终端设备可以获取针对一个第三方服务器的多个鉴权信息。当其中一个鉴权信息为鉴权不通过时，终端设备可以选择其他的鉴权信息用于第三方服务器对终端设备进行鉴权。

可选地，该鉴权信息可以是针对网络切片和/或DNN的鉴权信息。该鉴权信息可以是仅针对网络切片的鉴权信息，也可以是同时针对网络切片和DNN的鉴权信息。

例如，终端设备获得的多个鉴权信息中一部分鉴权信息是与网络切片相关的，另一部分鉴权信息不仅网络切片相关，而且还与DNN相关。

可选地，该鉴权信息例如可以是用域名和密码的形式，也可以是其他的形式。

可选地，网络设备在向终端设备发送响应消息时，可以是根据第三方服务器对终端设备的鉴权结果，向终端设备发送响应消息。或者，网络设备也可以基于第三方服务器对终端设备的鉴权结果，以及终端设备签约的网络切片，向终端设备发送响应消息。

下面以第一网络切片为例，对网络设备向终端设备发送响应消息的情况进行描述。

为方便描述，可以将第一网络切片对应的第三方服务器称为第三方服务器A。

对于网络设备仅考虑第三方服务器对终端设备的鉴权结果的情况，当第三方服务器A对终端设备的鉴权结果为鉴权通过时，网络设备可以向终端设备发送注册成功的注册响应消息。当第三方服务器A对终端设备的鉴权结果为鉴权不通过时，网络设备可以向终端设备发送注册不成功的注册响应消息。

对于网络设备不仅考虑第三方服务器对终端设备的鉴权结果，而且还会考虑终端设备签约的网络切片的情况，当第三方服务器A对终端设备的鉴权结果为鉴权通过，且终端设备已签约到该第一网络切片，则网络设备可以向终端设备发送注册成功的注册响应消息。当第三方服务器A对终端设备的鉴权结果为鉴权不通过，和/或终端设备未签约到该第一网络切片时，则网络设备可以向终端设备发送注册不成功的注册响应消息。

不同的网络切片可以对应不同的第三方服务器，终端设备注册到不同的网络切片需要不同的第三方服务器进行鉴权。

可选地，第三方服务器可以位于第三代合作计划(the 3rd generation partner project，3GPP)网络内部，也可以位于3GPP网络外部，本申请实施例对此不做具体限定。

下面结合图4，对本申请实施例提供的网络切片的鉴权方法进行详细描述。

S410、UE获得第一指示信息。UE可以获得一个或多个S-NSSAI，以及该一个或多个S-NSSAI对应的指示是否需要进行二次鉴权的指示信息。

S420、UE基于该第一指示信息，判断注册到第一S-NSSAI对应的网络切片需要进行二次鉴权。

其中，该第一S-NSSAI可以包括一个S-NSSAI，也可以包括多个S-NSSAI。

S430、UE向AMF发送注册请求消息。该注册请求消息中可以包括UE ID，请求的第一S-NSSAI，及该第一S-NSSAI对应的鉴权信息。

该鉴权信息可以是与第一S-NSSAI相关的鉴权信息，也可以是同时与第一S-NSSAI和DNN相关的鉴权信息。

S440，AMF可以基于UE身份(identity，ID)，从统一数据管理(unified date management，UDM)实体中获得该UE签约的网络切片。

S450，AMF向第一S-NSSAI对应的第三方服务器发送鉴权信息，以便于该第三方服务器对该UE进行鉴权。

其中，AMF可以根据本地配置确定该第一S-NSSAI对应的第三方服务器。例如，AMF可以根据第一S-NSSAI，以及本地存储的第一S-NSSAI与第三方服务器的对应关系，确定第一S-NSSAI对应的第三方服务器。

或者，AMF可以基于鉴权信息来确定第一S-NSSAI对应的第三方服务器。在某些情况下，鉴权信息中可以携带关于第三方服务器的信息。例如，对于第三方服务器是邮箱服务器的情况，鉴权信息包括的用户名中可以携带邮箱的后缀，AMF可以根据该邮箱后缀，确定该鉴权信息对应的邮箱服务器。

S460，第三方服务器可以将第一S-NSSAI的鉴权结果发送给AMF。

S470，AMF将鉴权通过的S-NSSAI和UE签约的S-NSSAI发送给NSSF。

S480，NSSF将鉴权通过的S-NSSAI和UE签约的S-NSSAI取交集，得到允许(allowed)的NSSAI，并将allowed NSSAI发送给AMF。

S490，AMF向UE发送注册响应消息。该注册响应消息中包括allowed NSSAI和被拒绝(rejected)的NSSAI。

如果某个S-NSSAI被拒绝是由于第三方服务器对UE的鉴权不通过造成的。AMF也可以将该原因一起发送给UE。也就是说，响应消息中可以携带第三方服务器对UE的鉴权结果。

如果UE根据该注册响应消息可以得到rejected NSSAI，当UE确定某个S-NSSAI被拒绝是由于第三方服务器对UE的鉴权结果不通过造成的，则UE可以选择其他的鉴权信息向AMF重新发起注册请求。

例如，如果UE第一次选择的鉴权信息是与网络切片和DNN相关的鉴权信息，当该鉴权信息为鉴权不通过时，UE可以选择仅与网络切片相关的鉴权信息，并将该鉴权信息携带在注册请求消息中，重新向AMF发送注册请求消息。

可选地，对于S470、S480，如果AMF可以执行取交集这个过程，可以不执行S470、S480。AMF可以自己对鉴权通过的S-NSSAI和UE签约的S-NSSAI取交集，得到allowed NSSAI，然后执行S490将allowed NSSAI发送给UE。

上文中详细描述了本申请实施例的用于网络切片鉴权的方法，下面将结合图5至图9，描述根据本申请实施例的装置，方法实施例所描述的技术特征适用于以下装置实施例。

图5是本申请实施例提供的一种终端设备的示意性框图。如图5所示，该终端设备500包括获取单元510。

获取单元510，用于获取第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对所述终端设备进行鉴权。

可选地，所述第一指示信息是网络设备配置给所述终端设备的。

可选地，所述第一指示信息是网络设备通过信令或通过开放移动联盟OMA方式发送给所述终端设备的。

可选地，获取单元510，具体用于接收网络设备发送的第一注册响应消息，所述第一注册响应消息中包括所述第一指示信息，所述第一注册响应消息是针对所述终端设备向所述网络设备发送的第一注册请求消息的响应消息。

可选地，所述第一指示信息是所述终端设备从应用程序中获取的。

可选地，所述第一指示信息是预配置在所述终端设备中的。

可选地，终端设备500还包括通信单元，用于基于所述第一指示信息，向网络设备发送第一网络切片的鉴权信息，所述鉴权信息用于所述第一网络切片对应的第三方服务器对所述终端设备进行鉴权。

可选地，所述第一网络切片的鉴权信息承载在第二注册请求消息中。

可选地，所述第一网络切片的鉴权信息承载在协议数据单元PDU会话建立请求消息中。

可选地，终端设备500还包括通信单元，用于接收所述网络设备发送的响应消息，所述响应消息中包括所述第一网络切片对应的第三方服务器对所述终端设备的鉴权是否通过的信息。

可选地，所述鉴权信息是针对所述第一网络切片和/或数据网络名称DNN的鉴权信息。

图6是本申请实施例提供的一种网络设备的示意性框图。如图6所示，该终端设备600包括配置单元610。

配置单元610，用于为终端设备配置第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对所述终端设备进行鉴权。

可选地，所述第一指示信息是网络设备通过信令或开放移动联盟OMA的方式发送给所述终端设备的。

可选地，所述配置单元610，具体用于接收终端设备发送的第一注册请求消息；向所述终端设备发送第一注册响应消息，所述第一注册响应消息中包括所述第一指示信息。

可选地，所述网络设备600还包括通信单元，用于接收终端设备发送的第二注册请求消息或PDU会话建立请求消息，所述第二注册请求消息或PDU会话建立请求消息中包括第一网络切片的鉴权信息；向第一网络切片对应的第三方服务器发送所述鉴权信息，以便于所述第一网络切片对应的第三方服务器对所述终端设备进行鉴权。

可选地，通信单元还用于：接收所述第一网络切片对应的第三方服务器发送的鉴权结果；基于所述鉴权结果，向所述终端设备发送所述第二注册请求消息或PDU会话建立请求消息的响应消息，所述响应消息中包括所述第一网络切片对应的第三方服务器对所述终端设备的鉴权是否通过的消息。

图7是本申请实施例提供的一种通信设备700示意性结构图。图7所示的通信设备700包括处理器710，处理器710可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图7所示，通信设备700还可以包括存储器720。其中，处理器710可以从存储器720中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器720可以是独立于处理器710的一个单独的器件，也可以集成在处理器710中。

可选地，如图7所示，通信设备700还可以包括收发器730，处理器710可以控制该收发器730与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。

其中，收发器730可以包括发射机和接收机。收发器730还可以进一步包括天线，天线的数量可以为一个或多个。

可选地，该通信设备700具体可为本申请实施例的网络设备，并且该通信设备700可以实现本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该通信设备700具体可为本申请实施例的终端设备，并且该通信设备700可以实现本申请实施例的各个方法中由终端设备实现的相应流程，为了简洁，在此不再赘述。

图8是本申请实施例的芯片的示意性结构图。图8所示的芯片800包括处理器810，处理器810可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图8所示，芯片800还可以包括存储器820。其中，处理器810可以从存储器820中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器820可以是独立于处理器810的一个单独的器件，也可以集成在处理器810中。

可选地，该芯片800还可以包括输入接口830。其中，处理器810可以控制该输入接口830与其他设备或芯片进行通信，具体地，可以获取其他设备或芯片发送的信息或数据。

可选地，该芯片800还可以包括输出接口840。其中，处理器810可以控制该输出接口840与其他设备或芯片进行通信，具体地，可以向其他设备或芯片输出信息或数据。

可选地，该芯片可应用于本申请实施例中的终端设备，并且该芯片可以实现本申请实施例的各个方法中由终端设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该芯片可应用于本申请实施例中的网络设备，并且该芯片可以实现本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片，系统芯片，芯片系统或片上系统芯片等。

应理解，本申请实施例的处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，上述存储器为示例性但不是限制性说明，例如，本申请实施例中的存储器还可以是静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)等等。也就是说，本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

图9是本申请实施例提供的一种通信系统900的示意性框图。如图9所示，该通信系统900包括终端设备910和网络设备920。

其中，该终端设备910可以用于实现上述方法中由终端设备实现的相应的功能，以及该网络设备920可以用于实现上述方法中由网络设备实现的相应的功能为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机可读存储介质，用于存储计算机程序。

可选地，该计算机可读存储介质可应用于本申请实施例中的终端设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由终端设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机可读存储介质可应用于本申请实施例中的网络设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序产品，包括计算机程序指令。

可选地，该计算机程序产品可应用于本申请实施例中的终端设备，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由终端设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序产品可应用于本申请实施例中的网络设备，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序。

可选地，该计算机程序可应用于本申请实施例中的终端设备，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由终端设备实现的相应流程，为了简洁，在此不再赘述。

可选的，该计算机程序可应用于本申请实施例中的网络设备，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，)ROM、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims

一种用于网络切片鉴权的方法，其特征在于，包括：

终端设备获取第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对所述终端设备进行鉴权。
根据权利要求1所述的方法，其特征在于，所述第一指示信息是网络设备配置给所述终端设备的。
根据权利要求1或2所述的方法，其特征在于，所述第一指示信息是网络设备通过信令或通过开放移动联盟OMA方式发送给所述终端设备的。
根据权利要求1-3中任一项所述的方法，其特征在于，终端设备获取第一指示信息，包括：

所述终端设备接收网络设备发送的第一注册响应消息，所述第一注册响应消息中包括所述第一指示信息，所述第一注册响应消息是针对所述终端设备向所述网络设备发送的第一注册请求消息的响应消息。
根据权利要求1所述的方法，其特征在于，所述第一指示信息是所述终端设备从应用程序中获取的。
根据权利要求1所述的方法，其特征在于，所述第一指示信息是预配置在所述终端设备中的。
根据权利要求1-6中任一项所述的方法，其特征在于，所述方法还包括：

所述终端设备基于所述第一指示信息，向网络设备发送第一网络切片的鉴权信息，所述鉴权信息用于所述第一网络切片对应的第三方服务器对所述终端设备进行鉴权。
根据权利要求7所述的方法，其特征在于，所述第一网络切片的鉴权信息承载在第二注册请求消息中。
根据权利要求7所述的方法，其特征在于，所述第一网络切片的鉴权信息承载在协议数据单元PDU会话建立请求消息中。
根据权利要求7-9中任一项所述的方法，其特征在于，所述方法还包括：

所述终端设备接收所述网络设备发送的响应消息，所述响应消息中包括所述第一网络切片对应的第三方服务器对所述终端设备的鉴权是否通过的信息。
根据权利要求7-10中任一项所述的方法，其特征在于，所述鉴权信息是针对所述第一网络切片和/或数据网络名称DNN的鉴权信息。
一种用于网络切片鉴权的方法，其特征在于，包括：

网络设备为终端设备配置第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对所述终端设备进行鉴权。
根据权利要求12所述的方法，其特征在于，所述第一指示信息是网络设备通过信令或开放移动联盟OMA的方式发送给所述终端设备的。
根据权利要求12或13所述的方法，其特征在于，所述网络设备为终端设备配置第一指示信息，包括：

所述网络设备接收所述终端设备发送的第一注册请求消息；

所述网络设备向所述终端设备发送第一注册响应消息，所述第一注册响应消息中包括所述第一指示信息。
根据权利要求12-14中任一项所述的方法，其特征在于，所述方法还包括：

所述网络设备接收所述终端设备发送的第二注册请求消息或协议数据单元PDU会话建立请求消息，所述第二注册请求消息或PDU会话建立请求消息中包括第一网络切片的鉴权信息；

所述网络设备向所述第一网络切片对应的第三方服务器发送所述鉴权信息，以便于所述第一网络切片对应的第三方服务器对所述终端设备进行鉴权。
根据权利要求15所述的方法，其特征在于，所述方法还包括：

所述网络设备接收所述第一网络切片对应的第三方服务器发送的鉴权结果；

所述网络设备基于所述鉴权结果，向所述终端设备发送的第二注册响应消息或PDU会话建立响应消息，所述第二注册响应消息或PDU会话建立响应消息中包括所述第一网络切片对应的第三方服务器对所述终端设备的鉴权是否通过的消息。
根据权利要求15或16所述的方法，其特征在于，所述鉴权信息是针对所述第一网络切片和/或数据网络名称DNN的鉴权信息。
一种终端设备，其特征在于，包括：

获取单元，用于获取第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对所述终端设备进行鉴权。
根据权利要求18所述的终端设备，其特征在于，所述第一指示信息是网络设备配置给所述终端设备的。
根据权利要求18或19所述的终端设备，其特征在于，所述第一指示信息是网络设备通过信令或通过开放移动联盟OMA方式发送给所述终端设备的。
根据权利要求18-20中任一项所述的终端设备，其特征在于，所述获取单元具体用于：

接收网络设备发送的第一注册响应消息，所述第一注册响应消息中包括所述第一指示信息，所述第一注册响应消息是针对所述终端设备向所述网络设备发送的第一注册请求消息的响应消息。
根据权利要求18所述的终端设备，其特征在于，所述第一指示信息是所述终端设备从应用程序中获取的。
根据权利要求18所述的终端设备，其特征在于，所述第一指示信息是预配置在所述终端设备中的。
根据权利要求18-23中任一项所述的终端设备，其特征在于，所述终端设备还包括通信单元，用于：

基于所述第一指示信息，向网络设备发送第一网络切片的鉴权信息，所述鉴权信息用于所述第一网络切片对应的第三方服务器对所述终端设备进行鉴权。
根据权利要求24所述的终端设备，其特征在于，所述第一网络切片的鉴权信息承载在第二注册请求消息中。
根据权利要求24所述的终端设备，其特征在于，所述第一网络切片的鉴权信息承载在协议数据单元PDU会话建立请求消息中。
根据权利要求24-26中任一项所述的终端设备，其特征在于，所述终端设备还包括通信单元，用于：

接收所述网络设备发送的响应消息，所述响应消息中包括所述第一网络切片对应的第三方服务器对所述终端设备的鉴权是否通过的信息。
根据权利要求24-27中任一项所述的终端设备，其特征在于，所述鉴权信息是针对所述第一网络切片和/或数据网络名称DNN的鉴权信息。
一种网络设备，其特征在于，包括：

配置单元，用于为终端设备配置第一指示信息，所述第一指示信息用于指示至少一个网络切片对应的第三方服务器是否需要对所述终端设备进行鉴权。
根据权利要求29所述的网络设备，其特征在于，所述第一指示信息是网络设备通过信令或开放移动联盟OMA的方式发送给所述终端设备的。
根据权利要求29或30所述的网络设备，其特征在于，所述配置单元具体用于：

接收所述终端设备发送的第一注册请求消息；

向所述终端设备发送第一注册响应消息，所述第一注册响应消息中包括所述第一指示信息。
根据权利要求29-31中任一项所述的网络设备，其特征在于，所述网络设备还包括通信单元，用于：

接收所述终端设备发送的第二注册请求消息或协议数据单元PDU会话建立请求消息，所述第二注册请求消息或PDU会话建立请求消息中包括第一网络切片的鉴权信息；

向所述第一网络切片对应的第三方服务器发送所述鉴权信息，以便于所述第一网络切片对应的第三方服务器对所述终端设备进行鉴权。
根据权利要求32所述的网络设备，其特征在于，所述网络设备还包括通信单元，用于：

接收所述第一网络切片对应的第三方服务器发送的鉴权结果；

基于所述鉴权结果，向所述终端设备发送的第二注册响应消息或PDU会话建立响应消息，所述第二注册响应消息或PDU会话建立响应消息中包括所述第一网络切片对应的第三方服务器对所述终端设备的鉴权是否通过的消息。
根据权利要求32或33所述的网络设备，其特征在于，所述鉴权信息是针对所述第一网络切片和/或数据网络名称DNN的鉴权信息。
一种终端设备，其特征在于，包括：处理器和存储器，所述存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求1至11中任一项所述的方法。
一种网络设备，其特征在于，包括：处理器和存储器，所述存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求12至17所述的方法。
一种芯片，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求1至11中任一项所述的方法。
一种芯片，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求12至17中任一项所述的方法。
一种计算机可读存储介质，其特征在于，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求1至11中任一项所述的方法。
一种计算机可读存储介质，其特征在于，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求12至17中任一项所述的方法。
一种计算机程序产品，其特征在于，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求1至11中任一项所述的方法。
一种计算机程序产品，其特征在于，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求12至17中任一项所述的方法。
一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求1至11中任一项所述的方法。
一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求12至17中任一项所述的方法。