WO2021082558A1

WO2021082558A1 - 网络切片的访问控制方法、装置及存储介质

Info

Publication number: WO2021082558A1
Application number: PCT/CN2020/104856
Authority: WO
Inventors: 欧锻灏
Original assignee: 华为技术有限公司
Priority date: 2019-10-31
Filing date: 2020-07-27
Publication date: 2021-05-06
Also published as: CN112752265B; CN112752265A

Abstract

本申请实施例提供一种网络切片的访问控制方法、装置及存储介质，该方法包括：第一网元根据网络切片请求消息中所携带的终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥；进一步地，该第一网元根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片请求消息中所请求访问的该网络切片。本申请实施例中该第一网元需要根据该终端对应的第一访问子密钥以及CN对应的第二访问子密钥进行访问验证,由于在获取到这两个访问子密钥才能进行通过验证，从而提高了访问验证的安全性。

Description

网络切片的访问控制方法、装置及存储介质

本申请要求于2019年10月31日提交中国专利局、申请号为201911054670.0、申请名称为“网络切片的访问控制方法、装置及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络技术领域，尤其涉及一种网络切片的访问控制方法、装置及存储介质。

背景技术

网络切片是第五代移动通信技术(5th generation mobile networks，5G)系统的重要资源，不能被随意访问，否则，会造成网络切片资源的滥用，从而影响用户业务的正常运行。例如，在车联网场景中，联网的车辆需要通过低时延高可靠的网络切片进行通信，但如果通信的网络切片被篡改成大链接型的网络切片，则将直接影响联网车辆的行驶安全，甚至会酿成交通事故。

相关技术中，当终端的身份鉴权通过后，终端通过向核心网中的接入移动管理功能(access and mobility management function，AMF)网元发送网络切片请求消息，其中，网络切片请求消息中包括：终端的用户永久标识(subscription permanent identifier，SUPI)和网络切片的标识。AMF在接收到网络切片请求消息后，根据SUPI和网络切片的标识判断访问控制列表中是否包含有对应的密文校验字段。若访问控制列表中包含有与SUPI和网络切片的标识对应的密文校验字段，则AMF根据核心网的完整性加密密钥对SUPI、网络切片的标识和该密文校验字段进行加密，得到加密字段，并判断加密字段与访问控制列表中的该密文校验字段是否一致；若加密字段与访问控制列表中的该密文校验字段一致，则AMF确定终端有权访问网络切片；若加密字段与访问控制列表中的该密文校验字段不一致，则AMF确定终端无权访问网络切片。另外，若上述访问控制列表中不包含与SUPI和网络切片的标识对应的密文校验字段，则AMF也确定终端无权访问网络切片。

相关技术中，如果核心网的完整性加密密钥一旦被窃取，则攻击者可以任意地篡改每个终端的访问权限，从而会影响网络安全。

发明内容

本申请实施例提供一种网络切片的访问控制方法、装置及存储介质，解决了相关技术中如果核心网的完整性加密密钥一旦被窃取，则攻击者可以任意地篡改每个终端的访问权限而影响网络安全的技术问题。

第一方面，本申请实施例提供一种网络切片的访问控制方法，包括：

第一网元接收网络切片请求消息，其中，该网络切片请求消息中携带有终端的标识和网络切片的标识；

该第一网元根据该终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥；

该第一网元根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片。

本申请实施例中，该第一网元根据网络切片请求消息中所携带的终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥；进一步地，该第一网元根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片请求消息中所请求访问的该网络切片。可见，相对于相关技术中AMF根据核心网的完整性加密密钥进行访问验证的方式，本申请实施例中该第一网元需要根据该终端对应的第一访问子密钥以及CN对应的第二访问子密钥进行访问验证，即只有同时获取到这两个访问子密钥才能进行验证，提高了访问验证的安全性。

在一种可能的实现方式中，该第一网元根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片，包括：

该第一网元根据该第一访问子密钥和该第二访问子密钥，生成完整性访问密钥；

该第一网元根据该完整性访问密钥验证该终端是否有权访问该网络切片。

在一种可能的实现方式中，该第一网元根据该完整性访问密钥验证该终端是否有权访问该网络切片，包括：

该第一网元根据该完整性访问密钥对访问控制信息中所包含的与该终端的标识对应的密文字段进行解密，得到解密后的网络切片访问关系信息，其中，该解密后的网络切片访问关系信息中包括：解密后的终端标识、解密后的网络切片标识；

该第一网元判断该解密后的终端标识和解密后的网络切片标识，是否与该终端的标识和网络切片的标识相匹配；

若该解密后的终端标识和解密后的网络切片标识，与该终端的标识和网络切片的标识相匹配，则该第一网元确定该终端有权访问该网络切片；或者，若该解密后的终端标识和解密后的网络切片标识，与该终端的标识和网络切片的标识不匹配，则该第一网元确定该终端无权访问该网络切片。

在一种可能的实现方式中，若该解密后的网络切片访问关系信息中还包括：解密后的终端标识所对应的签约信息，则该第一网元判断该解密后的终端标识和解密后的网络切片标识，是否与该终端的标识和网络切片的标识相匹配之前，该方法还包括：

该第一网元确定该解密后的终端标识所对应的签约信息属于有效信息。

需要说明的是，如果该第一网元确定该解密后的终端标识所对应的签约信息不属于有效信息，则该第一网元可以直接确定该终端无权访问该网络切片请求消息中所请求访问的网络切片，从而可以避免攻击者通过无效或过期的签约信息覆盖新签约信息，进一步提高了访问验证的安全性。

在一种可能的实现方式中，该解密后的终端标识所对应的签约信息包括：签约时间和签约双方的标识。

在一种可能的实现方式中，该第一网元根据该终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥之前，该方法还包括：

该第一网元确定访问控制信息中包含有与该终端的标识对应的密文字段。

需要说明的是，如果该第一网元确定上述访问控制信息中未包含与该终端的标识对应的密文字段，则该第一网元可以直接确定该终端无权访问该网络切片请求消息中所请求访问的网络切片。

在一种可能的实现方式中，该方法还包括：

该第一网元从第二网元获取该终端的标识对应的网络切片访问关系信息，其中，该网络切片访问关系信息中包括：该终端的标识、该网络切片的标识和该终端的标识所对应的签约信息；

该第一网元根据该第一访问子密钥和该第二访问子密钥对该网络切片访问关系信息进行加密，得到该终端的标识所对应的密文字段；

该第一网元将该终端的标识以及该终端的标识所对应的密文字段关联存储到访问控制信息。

本实现方式中，该第一网元根据该第一访问子密钥和该第二访问子密钥对该终端的标识对应的网络切片访问关系信息进行加密，得到该终端的标识所对应的密文字段，并将该终端的标识以及该终端的标识所对应的密文字段关联存储到该访问控制信息，以便于该第一网元在接收到该终端发送的网络切片请求消息时验证该终端是否有权访问该网络切片请求消息中所请求访问的网络切片。另外，由于本申请实施例中的该访问控制信息中包括该终端的标识以及该终端的标识所对应的密文字段，因此，可以降低该终端可以请求访问的各网络切片的信息和该终端的标识所对应的签约信息的泄露风险，有利于提高访问验证的安全性。

在一种可能的实现方式中，该根据该第一访问子密钥和该第二访问子密钥对该网络切片访问关系信息进行加密，得到该终端的标识所对应的密文字段，包括：

该第一网元根据该完整性访问密钥对该网络切片访问关系信息进行加密，得到该终端的标识所对应的密文字段。

在一种可能的实现方式中，该方法还包括：

该第一网元接收该第二网元发送的更新后的网络切片访问关系信息，其中，该更新后的网络切片访问关系信息中包括：该终端的标识、该网络切片的标识和该终端的标识所对应的更新后的签约信息；

该第一网元根据该第一访问子密钥和该第二访问子密钥对该更新后的网络切片访问关系信息进行加密，得到该终端的标识所对应的更新后的密文字段；

该第一网元将该终端的标识以及该更新后的密文字段关联存储到该访问控制信息。

本实现方式中，该第一网元根据该第一访问子密钥和该第二访问子密钥对该更新后的网络切片访问关系信息进行加密，得到该终端的标识所对应的更新后的密文字段，并将该终端的标识以及该更新后的密文字段关联存储到该访问控制信息，使得该访问控制信息中存储的信息为准确有效的，以便于该第一网元在接收到该终端发送的网络切片请求消息时可以准确地验证该终端是否有权访问该网络切片请求消息中所请求访问的网络切片。

在一种可能的实现方式中，该第一网元将该终端的标识以及该更新后的密文字段关联存储到该访问控制信息之前，该方法还包括：

该第一网元将该终端的标识和该终端的标识所对应的密文字段从该访问控制信息中删除，使得该访问控制信息中存储的信息均为准确有效的。

在一种可能的实现方式中，该终端的标识所对应的签约信息包括：签约时间和签约双方的标识。

在一种可能的实现方式中，该终端对应的第一访问子密钥与该终端在身份鉴权时的认证密钥相同，则该终端可以复用认证密钥进行访问验证，无需在存储认证密钥的同时还额外存储第一访问子密钥或用于生成对应的第一访问子密钥的主密钥。

在一种可能的实现方式中，该终端对应的第一访问子密钥与其它终端对应的访问子密钥不相同，可以避免在其它任一终端对应的访问子密钥和CN对应的第二访问子密钥同时泄露时影响该终端的访问安全，进一步提高了访问验证的安全性。

第二方面，本申请实施例提供一种网元，该网元为第一网元，该第一网元包括：

第一接收模块，接收网络切片请求消息，其中，该网络切片请求消息中携带有终端的标识和网络切片的标识；

第一获取模块，用于根据该终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥；

验证模块，用于根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片。

在一种可能的实现方式中，该验证模块，包括：

生成单元，用于根据该第一访问子密钥和该第二访问子密钥，生成完整性访问密钥；

验证单元，用于根据该完整性访问密钥验证该终端是否有权访问该网络切片。

在一种可能的实现方式中，该验证单元具体用于：

根据该完整性访问密钥对访问控制信息中所包含的与该终端的标识对应的密文字段进行解密，得到解密后的网络切片访问关系信息，其中，该解密后的网络切片访问关系信息中包括：解密后的终端标识、解密后的网络切片标识；

判断该解密后的终端标识和解密后的网络切片标识，是否与该终端的标识和网络切片的标识相匹配；

若该解密后的终端标识和解密后的网络切片标识，与该终端的标识和网络切片的标识相匹配，则确定该终端有权访问该网络切片；或者，若该解密后的终端标识和解密后的网络切片标识，与该终端的标识和网络切片的标识不匹配，则确定该终端无权访问该网络切片。

在一种可能的实现方式中，若该解密后的网络切片访问关系信息中还包括：解密后的终端标识所对应的签约信息，则该验证单元还用于：

确定该解密后的终端标识所对应的签约信息属于有效信息。

在一种可能的实现方式中，该第一网元还包括：

确定模块，用于确定访问控制信息中包含有与该终端的标识对应的密文字段。

在一种可能的实现方式中，该第一网元还包括：

第二获取模块，用于从第二网元获取该终端的标识对应的网络切片访问关系信息，其中，该网络切片访问关系信息中包括：该终端的标识、该网络切片的标识和该终端的标识所对应的签约信息；

第一加密模块，用于根据该第一访问子密钥和该第二访问子密钥对该网络切片访问关系信息进行加密，得到该终端的标识所对应的密文字段；

第一存储模块，用于将该终端的标识以及该终端的标识所对应的密文字段关联存储到访问控制信息。

在一种可能的实现方式中，该加密模块包括：

加密单元，用于根据该完整性访问密钥对该网络切片访问关系信息进行加密，得到该终端的标识所对应的密文字段。

在一种可能的实现方式中，该第一网元还包括：

第二接收模块，用于接收该第二网元发送的更新后的网络切片访问关系信息，其中，该更新后的网络切片访问关系信息中包括：该终端的标识、该网络切片的标识和该终端的标识所对应的更新后的签约信息；

第二加密模块，用于根据该第一访问子密钥和该第二访问子密钥对该更新后的网络切片访问关系信息进行加密，得到该终端的标识所对应的更新后的密文字段；

第二存储模块，用于将该终端的标识以及该更新后的密文字段关联存储到该访问控制信息。

在一种可能的实现方式中，该第一网元还包括：

删除模块，用于将该终端的标识和该终端的标识所对应的密文字段从该访问控制信息中删除。

在一种可能的实现方式中，该终端对应的第一访问子密钥与该终端在身份鉴权时的认证密钥相同。

在一种可能的实现方式中，该终端对应的第一访问子密钥与其它终端对应的访问子密钥不相同。

第三方面，本申请实施例提供一种网元，该网元为第一网元，该第一网元包括：处理器和存储器；

其中，该存储器，用于存储程序指令；

该处理器，用于调用并执行该存储器中存储的程序指令，当该处理器执行该存储器存储的程序指令时，该第一网元用于执行上述第一方面的任意实现方式所述的方法。

第四方面，本申请实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当该指令在计算机上运行时，使得计算机执行上述第一方面的任意实现方式所述的方法。

第五方面，本申请实施例提供一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现上述第一方面的任意实现方式所述的方法。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

第六方面，本申请实施例提供一种程序，该程序在被处理器执行时用于执行上述第一方面的任意实现方式所述的方法。

第七方面，本申请实施例提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面的任意实现方式所述的方法。

附图说明

图1为本申请实施例提供的应用场景的示意图；

图2为本申请一实施例提供的网络切片的访问控制方法的流程示意图；

图3为本申请另一实施例提供的网络切片的访问控制方法的流程示意图；

图4为本申请另一实施例提供的网络切片的访问控制方法的流程示意图；

图5为本申请另一实施例提供的网络切片的访问控制方法的流程示意图；

图6为本申请另一实施例提供的网络切片的访问控制方法的流程示意；

图7为本申请另一实施例提供的网络切片的访问控制方法的流程示意；

图8为本申请另一实施例提供的网络切片的访问控制方法的流程示意图；

图9为本申请一实施例提供的网元的结构示意图；

图10为本申请另一实施例提供的网元的结构示意图。

具体实施方式

首先，对本申请实施例所涉及的应用场景和部分词汇进行解释说明。

图1为本申请实施例提供的应用场景的示意图。如图1所示，本申请实施例可以应用于终端请求网络切片服务时的应用场景，需要涉及到的网元可以包括但不限于：AMF、统一数据管理(unified data management，UDM)和网络切片选择功能(network slice Selection function，NSSF)。其中，AMF在终端注册入网时，可以根据终端的标识从UDM获取与该终端的标识对应的网络切片访问关系信息，并加密存储到访问控制信息，以便于该终端在鉴权通过后继续请求网络切片服务时，验证该终端是否有权访问网络切片。当AMF验证该终端有权访问网络切片时，AMF通知NSSF为该终端分配满足策略和签约的网络切片用于通信。

本申请实施例中，AMF在验证该终端是否有权访问网络切片时，需要根据该终端对应的第一访问子密钥、核心网(core network，CN)对应的第二访问子密钥以及预设的访问控制信息进行验证，可见只有同时获取两个访问子密钥才能进行验证，提高了访问验证的安全性，从而解决了相关技术中如果核心网的完整性加密密钥一旦被窃取，则攻击者可以任意地篡改每个终端的访问权限而影响网络安全的技术问题。

本申请涉及的终端，或者可以称为终端设备。终端可以是无线终端也可以是有线终端，无线终端可以是指向用户提供语音和/或其他业务数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入网(radio access network，RAN)与一个或多个核心网进行通信，无线终端可以是移动终端，如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(session initiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)等设备。无线终端也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、用户设备(user device or user equipment，UE)，在此不作限定。

本申请所涉及的终端可以包括硬件层、运行在硬件层之上的操作系统层，以及运行在操作系统层上的应用层。该硬件层包括中央处理器(dentral processing unit，CPU)、内存管理单元(memory management unit，MMU)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统，例如，Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

下面以具体地实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。

图2为本申请一实施例提供的网络切片的访问控制方法的流程示意图。如图2所示，本申请实施例的方法可以包括：

步骤S201、第一网元接收网络切片请求消息。

示例性地，本申请实施例中涉及的第一网元可以是指CN侧的AMF，当然，该第一网元也可以是具有AMF功能的其它网元。

本步骤中，该第一网元可以接收终端在鉴权通过后发送的网络切片请求消息，其中，该网络切片请求消息中携带有该终端的标识和该终端所请求访问的网络切片的标识。示例性地，该终端的标识可以包括但不限于：该终端的SUPI。

需要说明的是，该终端中预存储有该终端的标识以及该终端可以请求访问的各网络切片的标识。

步骤S202、该第一网元根据该终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥。

本申请实施例中，该终端中预设有对应的第一访问子密钥，或者用于生成对应的第一访问子密钥的主密钥。

示例性地，该终端对应的第一访问子密钥可以与该终端在身份鉴权时的认证密钥相同，也可以不相同。需要说明的是，如果该终端对应的第一访问子密钥与该终端在身份鉴权时的认证密钥不相同，则该终端在存储认证密钥的同时，需要额外存储第一访问子密钥或用于生成对应的第一访问子密钥的主密钥；如果该终端对应的第一访问子密钥与该终端在身份鉴权时的认证密钥相同，则该终端可以复用认证密钥进行访问验证，无需在存储认证密钥的同时还额外存储第一访问子密钥或用于生成对应的第一访问子密钥的主密钥。

示例性地，该终端对应的第一访问子密钥与其它终端对应的访问子密钥可以相同，也可以不相同。需要说明的是，该终端对应的第一访问子密钥与其它终端对应的访问子密钥不相同，可以避免在其它任一终端对应的访问子密钥和CN对应的第二访问子密钥同时泄露时影响该终端的访问安全，进一步提高了访问验证的安全性。

本申请实施例中，该第一网元可以根据该终端的标识从该终端获取该第一访问子密钥，或者可以从内存中获取该第一访问子密钥。例如，该第一网元可以根据该终端的标识从内存中搜索是否包含有对应的第一访问子密钥。若内存中包含有该终端的标识对应的第一访问子密钥，则该第一网元可以直接从内存中获取该终端对应的第一访问子密钥。或者，若内存中未包含有该终端的标识对应的第一访问子密钥，则该第一网元可以根据该终端的标识向该终端获取对应的第一访问子密钥。需要说明的是，该第一网元的内存中所包含的该终端对应的第一访问子密钥可以是该第一网元对该终端进行历史访问验证时存储的。

当然，该第一网元还可以通过其它方式获取该终端对应的第一访问子密钥，本申请实施例中对此不再一一说明。

本申请实施例中，该第一网元可以从第二网元获取核心网CN对应的第二访问子密钥，或者可以从内存中获取该第二访问子密钥。例如，该第一网元可以从内存中搜索是否包含有该第二访问子密钥。若内存中包含有该第二访问子密钥，则该第一网元可以直接从内存中获取该第二访问子密钥。或者，若内存中未包含有该第二访问子密钥，则该第一网元可以向该第二网元获取该第二访问子密钥。需要说明的是，该第一网元的内存中所包含的该第二访问子密钥可以是该第一网元向该第二网元历史请求获取时存储的。

示例性地，本申请实施例中涉及的该第二网元可以是指CN侧的UDM，当然，该第二网元也可以是具有UDM功能的其它网元。

当然，该第一网元还可以通过其它方式获取该CN对应的第二访问子密钥，本申请实施例中对此不再一一说明。

步骤S203、该第一网元根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片。

本步骤中，该第一网元根据该第一访问子密钥、该第二访问子密钥以及预设的访问控制信息中与该终端的标识对应的密文字段，验证该终端是否有权访问该网络切片请求消息中所请求访问的网络切片，即该网络切片请求消息中所携带的网络切片的标识所对应的网络切片。进一步地，若确定该终端有权访问该网络切片，则该第一网元可以通知第三网元为该终端分配该网络切片请求消息中所请求访问的网络切片，其中，该第三网元可以是指CN侧的NSSF，当然，该第三网元也可以是具有NSSF功能的其它网元；若确定该终端无权访问该网络切片，则该第一网元拒绝该网络切片请求消息。

可见，相对于相关技术中AMF根据核心网的完整性加密密钥进行访问验证的方式，本申请实施例中该第一网元需要根据该终端对应的第一访问子密钥以及CN对应的第二访问子密钥进行访问验证，即只有同时获取到这两个访问子密钥才能进行验证，提高了访问验证的安全性，从而解决了相关技术中如果核心网的完整性加密密钥一旦被窃取，则攻击者可以任意地篡改每个终端的访问权限而影响网络安全的技术问题。

本申请实施例中，该第一网元中预设有访问控制信息，该访问控制信息中包括有至少一个终端的标识以及每个终端的标识分别对应的密文字段。例如，该访问控制信息中包括：终端的标识1以及对应的密文字段1、终端的标识2以及对应的密文字段2、终端的标识3 以及对应的密文字段3。应理解，该访问控制信息可以列表形式存储，当然还可以其它形式存储。

示例性地，该访问控制信息中的任意终端的标识以及对应的密文字段，可以为该第一网元在该任意终端注册入网时从该第二网元获取到与该任意终端的标识对应的网络切片访问关系信息后加密存储的。

可选地，本步骤中该第一网元可以根据该第一访问子密钥和该第二访问子密钥按照预设密钥导出算法，生成完整性访问密钥，其中，该预设密钥导出算法可以包括但不限于基于密码的密钥派生功能2(password-based key derivation function 2，PBKDF2)；或者，该第一网元可以根据该第一访问子密钥和该第二访问子密钥进行异或操作，生成完整性访问密钥。需要说明的是，本申请实施例中，该第一网元根据该第一访问子密钥和该第二访问子密钥还可以通过其它方式生成上述完整性访问密钥。

进一步地，该第一网元可以根据所生成的该完整性访问密钥以及预设的访问控制信息中与该终端的标识对应的密文字段，验证该终端是否有权访问该网络切片请求消息中所请求访问的该网络切片。

可选地，在上述步骤S202之前，本申请实施例还可以包括：该第一网元确定上述访问控制信息中包含有与该终端的标识对应的密文字段。需要说明的是，如果该第一网元确定上述访问控制信息中未包含与该终端的标识对应的密文字段，则该第一网元可以直接确定该终端无权访问该网络切片请求消息中所请求访问的网络切片。

图3为本申请另一实施例提供的网络切片的访问控制方法的流程示意图。在上述实施例的基础上，本申请实施例中对上述“第一网元根据完整性访问密钥验证该终端是否有权访问网络切片”的可实现方式进行介绍。如图2所示，本申请实施例的方法可以包括：

步骤S301、该第一网元根据该完整性访问密钥对访问控制信息中所包含的与该终端的标识对应的密文字段进行解密，得到解密后的网络切片访问关系信息。

本步骤中，该第一网元根据所生成的该完整性访问密钥按照预设加解密算法，对预设的访问控制信息中所包含的与该终端的标识对应的密文字段进行可逆解密，得到解密后的网络切片访问关系信息，其中，该解密后的网络切片访问关系信息中可以包括但不限于：解密后的终端标识、解密后的网络切片标识。

示例性地，该预设加解密算法可以包括但不限于：高级加密标准(advanced encryption standard，AES)-伽罗瓦/计数器模式(galois/counter mode，GCM)、AES-密码块链接(cipher block chaining，CBC)、三重数据加密算法(triple data encryption algorithm，TDEA)。

应理解，本申请实施例中，解密阶段所采用的算法与加密阶段所采用的算法相对应。例如，如果加密阶段所采用的预设加解密算法为AES-GCM，则解密阶段所采用的预设加解密算法也为AES-GCM；如果加密阶段所采用的预设加解密算法为AES-CBC，则解密阶段所采用的预设加解密算法也为AES-CBC。

需要说明的是，如果该第一网元根据该完整性访问密钥对访问控制信息中所包含的与该终端的标识对应的密文字段进行解密失败，则该第一网元可以直接确定该终端无权访问该网络切片请求消息中所请求访问的网络切片。

步骤S302、该第一网元判断该解密后的终端标识和解密后的网络切片标识，是否与该终端的标识和网络切片的标识相匹配。

本步骤中，该第一网元判断该解密后的终端标识和解密后的网络切片标识，是否与该网络切片请求消息中所携带的该终端的标识和网络切片的标识相匹配。例如，该第一网元判断该解密后的终端标识是否与该网络切片请求消息中所携带的该终端的标识一致，以及该解密后的网络切片标识是否与该网络切片请求消息中所携带的网络切片的标识一致；若该解密后的终端标识与该网络切片请求消息中所携带的该终端的标识一致，以及该解密后的网络切片标识与该网络切片请求消息中所携带的网络切片的标识一致，则该第一网元确定该解密后的终端标识和解密后的网络切片标识，与该网络切片请求消息中所携带的该终端的标识和网络切片的标识相匹配；若该解密后的终端标识与该网络切片请求消息中所携带的该终端的标识不一致，和/或，该解密后的网络切片标识与该网络切片请求消息中所携带的网络切片的标识不一致，则该第一网元确定该解密后的终端标识和解密后的网络切片标识，与该网络切片请求消息中所携带的该终端的标识和网络切片的标识不匹配。

若确定该解密后的终端标识和解密后的网络切片标识，与该网络切片请求消息中所携带的该终端的标识和网络切片的标识相匹配，则执行步骤S303；若确定该解密后的终端标识和解密后的网络切片标识，与该网络切片请求消息中所携带的该终端的标识和网络切片的标识不匹配，则执行步骤S304。

步骤S303、该第一网元确定该终端有权访问该网络切片。

本申请实施例中，若确定该解密后的终端标识和解密后的网络切片标识，与该网络切片请求消息中所携带的该终端的标识和网络切片的标识相匹配，则该第一网元确定该终端有权访问该网络切片请求消息中所请求访问的网络切片，即该网络切片请求消息中所携带的网络切片的标识所对应的网络切片。

步骤S304、该第一网元确定该终端无权访问该网络切片。

本申请实施例中，若确定该解密后的终端标识和解密后的网络切片标识，与该网络切片请求消息中所携带的该终端的标识和网络切片的标识不匹配，则该第一网元确定该终端无权访问该网络切片请求消息中所请求访问的网络切片。

可选地，若上述解密后的网络切片访问关系信息中还包括：解密后的终端标识所对应的签约信息，在上述步骤S302之前，本申请实施例还可以包括：该第一网元确定该解密后的终端标识所对应的签约信息属于有效信息。

本申请实施例中的该解密后的终端标识所对应的签约信息可以包括但不限于：签约时间和签约双方的标识；其中，签约时间用于指示签约信息的有效时间；签约双方的标识用于指示该签约信息对应的签约对象的标识。

示例性地，若该解密后的终端标识所对应的签约信息中的签约时间未过期，且该签约双方的标识中包括该终端的标识，则该第一网元确定该解密后的终端标识所对应的签约信息属于有效信息；若该解密后的终端标识所对应的签约信息中的签约时间已过期，和/或，该签约双方的标识中不包括该终端的标识，则该第一网元确定该解密后的终端标识所对应的签约信息不属于有效信息。

图4为本申请另一实施例提供的网络切片的访问控制方法的流程示意图。在上述实施例的基础上，本申请实施例对该第一网元验证该终端是否有权访问网络切片的可实现方式进行介绍。如图4所示，本申请实施例的方法可以包括：

步骤S401、第一网元判断预设的访问控制信息中是否包含有与该终端的标识对应的密文字段。

若该访问控制信息中包含有与该终端的标识对应的密文字段，则执行步骤S402；若该访问控制信息中未包含有与该终端的标识对应的密文字段，则执行步骤S408。

步骤S402、该第一网元根据该终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥。

步骤S403、该第一网元根据该第一访问子密钥和该第二访问子密钥，生成完整性访问密钥。

步骤S404、该第一网元根据该完整性访问密钥对访问控制信息中所包含的与该终端的标识对应的密文字段进行解密，得到解密后的网络切片访问关系信息。

示例性地，该解密后的网络切片访问关系信息中可以包括但不限于：解密后的终端标识、解密后的网络切片标识、解密后的终端标识所对应的签约信息。

步骤S405、该第一网元判断该解密后的终端标识所对应的签约信息是否属于有效信息。

若该解密后的终端标识所对应的签约信息属于有效信息，则执行步骤S406；若该解密后的终端标识所对应的签约信息不属于有效信息，则执行步骤S408。

步骤S406、该第一网元判断该解密后的终端标识和解密后的网络切片标识，是否与该网络切片请求消息中所携带的该终端的标识和网络切片的标识相匹配。

若该解密后的终端标识和解密后的网络切片标识，与该网络切片请求消息中所携带的该终端的标识和网络切片的标识相匹配，则执行步骤S407；若该解密后的终端标识和解密后的网络切片标识，与该网络切片请求消息中所携带的该终端的标识和网络切片的标识不匹配，则执行步骤S408。

步骤S407、该第一网元确定该终端有权访问该网络切片请求消息中所请求访问的网络切片。

步骤S408、该第一网元确定该终端无权访问上述网络切片请求消息中所请求访问的网络切片。

本申请实施例中的各步骤的具体实现方式，可以参考本申请上述各实施例中的相关内容，此处不再赘述。

综上所述，本申请实施例中，该第一网元需要根据该终端对应的第一访问子密钥以及CN对应的第二访问子密钥进行访问验证，即只有同时获取到这两个访问子密钥才能进行验证，提高了访问验证的安全性。另外，该解密后的网络切片访问关系信息中还包括解密后的终端标识所对应的签约信息，该第一网元通过判断该解密后的终端标识所对应的签约信息是否属于有效信息的方式，还可以避免攻击者通过无效或过期的签约信息覆盖新签约信息，进一步提高了访问验证的安全性。

图5为本申请另一实施例提供的网络切片的访问控制方法的流程示意图。在上述实施例的基础上，本申请实施例中结合上述终端、上述第一网元、上述第二网元和上述第三网元，对上述网络切片的访问控制方法进行介绍。如图5所示，本申请实施例的方法可以包括：

步骤S501、该终端向该第一网元发送网络切片请求消息。

其中，该网络切片请求消息中携带有该终端的标识和该终端所请求访问的网络切片的标识。

步骤S502、该第一网元判断预设的访问控制信息中是否包含有与该终端的标识对应的密文字段。

若上述访问控制信息中包含有与该终端的标识对应的密文字段，则执行步骤S503，其中，步骤S503中包括步骤S503A和步骤S503B(二者的执行顺序不限)；若上述访问控制信息中未包含有与该终端的标识对应的密文字段，则该第一网元确定该终端无权访问该网络切片请求消息中所请求访问的网络切片，并执行步骤S509。

步骤S503A、该第一网元根据该终端的标识获取该终端对应的第一访问子密钥。

步骤S503B、该第一网元从该第二网元获取核心网CN对应的第二访问子密钥。

步骤S504、该第一网元根据该第一访问子密钥和该第二访问子密钥，生成完整性访问密钥。

步骤S505、该第一网元根据该完整性访问密钥对访问控制信息中所包含的与该终端的标识对应的密文字段进行解密，得到解密后的网络切片访问关系信息。

步骤S506、该第一网元判断该解密后的终端标识所对应的签约信息是否属于有效信息。

若该解密后的终端标识所对应的签约信息属于有效信息，则执行步骤S507；若该解密后的终端标识所对应的签约信息不属于有效信息，则该第一网元确定该终端无权访问该网络切片请求消息中所请求访问的网络切片，并执行步骤S509。

步骤S507、该第一网元判断该解密后的终端标识和解密后的网络切片标识，是否与该网络切片请求消息中所携带的该终端的标识和网络切片的标识相匹配。

若该解密后的终端标识和解密后的网络切片标识，与该网络切片请求消息中所携带的该终端的标识和网络切片的标识相匹配，则该第一网元确定该终端有权访问该网络切片请求消息中所请求访问的网络切片，并执行步骤S508；若该解密后的终端标识和解密后的网络切片标识，与该网络切片请求消息中所携带的该终端的标识和网络切片的标识不匹配，则该第一网元确定该终端无权访问该网络切片请求消息中所请求访问的网络切片，并执行步骤S509。

步骤S508、该第一网元通知该第三网元为该终端分配该网络切片请求消息中所请求访问的网络切片。

步骤S509、该第一网元拒绝该网络切片请求消息。

本申请实施例中，该第一网元根据该终端发送的网络切片请求消息中所携带的终端的标识获取该终端对应的第一访问子密钥、获取核心网CN对应的第二访问子密钥，并根据该第一访问子密钥和该第二访问子密钥生成完整性访问密钥；进一步地，该第一网元根据该完整性访问密钥对预设的访问控制信息进行解密得到解密后的网络切片访问关系信息，并通过该解密后的网络切片访问关系信息验证该终端是否有权访问该网络切片请求消息中所请求访问的该网络切片，其中，该解密后的网络切片访问关系信息中还包括解密后的终端标识所对应的签约信息。可见，本申请实施例中该第一网元需要根据该终端对应的第一访问子密钥以及CN对应的第二访问子密钥进行访问验证，即只有同时获取到这两个访问子密钥才能进行验证，并且通过判断该解密后的终端标识所对应的签约信息是否属于有效信息的方式，还可以避免攻击者通过无效或过期的签约信息覆盖新签约信息，从而大大提高了访问验证的安全性。

图6为本申请另一实施例提供的网络切片的访问控制方法的流程示意。在上述实施例的基础上，本申请实施例中对“上述第一网元在终端注册入网时，根据终端的标识从第二网元获取与该终端的标识对应的网络切片访问关系信息，并加密存储到访问控制信息以对该网络切片访问关系信息进行保护”的可实现方式进行介绍。如图6所示，本申请实施例的方法可以包括：

步骤S601、该第一网元从该第二网元获取该终端的标识对应的网络切片访问关系信息。

本申请实施例中，该终端在注册入网时的鉴权通过后可以向该第一网元发送网络切片信息获取请求，其中，该网络切片信息获取请求用于请求获取该终端可以请求访问的各网络切片的信息(例如，各网络切片的标识)，该网络切片信息的获取请求中可以包括但不限于该终端的标识。

对应地，该第一网元可以在接收到该网络切片信息获取请求后，向该第二网元转发该网络切片信息获取请求，以便该第二网元查询该终端的标识所对应的签约信息，并根据该终端的标识所对应的签约信息和预设的切片限制策略确定该终端可以请求访问的各网络切片的信息(例如，各网络切片的标识)，然后将该终端对应的网络切片访问关系信息返回给该第一网元；其中，该网络切片访问关系信息中可以包括但不限于：该终端的标识、该终端可以请求访问的各网络切片的信息(其中，至少包括上述网络切片请求消息中所请求访问的网络切片对应的标识)和该终端的标识所对应的签约信息。

示例性地，本申请实施例中的终端的标识所对应的签约信息可以包括但不限于：签约时间和签约双方的标识，以便于该第一网元在接收到该终端发送的网络切片请求消息时，还可以通过判断解密后的终端标识所对应的签约信息是否属于有效信息的方式，以避免攻击者通过无效或过期的签约信息覆盖新签约信息，从而可以提高访问验证的安全性。

步骤S602、该第一网元根据上述第一访问子密钥和上述第二访问子密钥对该网络切片访问关系信息进行加密，得到该终端的标识所对应的密文字段。

本步骤中的该第一访问子密钥和该第二访问子密钥的相关内容，可以参考本申请上述实施例中关于步骤S202的相关内容，此处不再赘述。

可选地，该第一网元可以根据该第一访问子密钥和该第二访问子密钥按照上述预设密钥导出算法，生成上述完整性访问密钥；或者，该第一网元可以根据该第一访问子密钥和该第二访问子密钥进行异或操作，生成上述完整性访问密钥。进一步地，该第一网元可以根据所生成的该完整性访问密钥按照上述预设加解密算法，对该网络切片访问关系信息进行加密，得到该终端的标识所对应的密文字段。

步骤S603、该第一网元将该终端的标识以及该终端的标识所对应的密文字段关联存储到该访问控制信息。

本步骤中，该第一网元将该终端的标识以及该终端的标识所对应的密文字段关联存储到该访问控制信息，以便于该第一网元在接收到该终端发送的网络切片请求消息时验证该终端是否有权访问该网络切片请求消息中所请求访问的网络切片。另外，由于本申请实施例中的该访问控制信息中包括该终端的标识以及该终端的标识所对应的密文字段，因此，可以降低该终端可以请求访问的各网络切片的信息和该终端的标识所对应的签约信息的泄露风险，有利于提高访问验证的安全性。

图7为本申请另一实施例提供的网络切片的访问控制方法的流程示意。在上述实施例的基础上，本申请实施例中对“当该终端的标识所对应的签约信息发生改变时，第一网元更新访问控制信息中与该终端的标识所对应的密文字段”的可实现方式进行介绍。如图7所示，本申请实施例的方法可以包括：

步骤S701、该第一网元接收该第二网元发送的更新后的网络切片访问关系信息。

本申请实施例中，当该第二网元中的该终端的标识对应的签约信息发生改变时，该第二网元将该终端对应的更新后的网络切片访问关系信息发送给该第一网元；其中，该更新后的网络切片访问关系信息中可以包括但不限于：该终端的标识、该终端可以请求访问的各网络切片的信息(其中，至少包括上述网络切片请求消息中所请求访问的网络切片对应的标识)和该终端的标识所对应的更新后的签约信息。对应地，该第一网元接收该第二网元发送的该更新后的网络切片访问关系信息。

步骤S702、该第一网元根据上述第一访问子密钥和上述第二访问子密钥对该更新后的网络切片访问关系信息进行加密，得到该终端的标识所对应的更新后的密文字段。

可选地，该第一网元可以根据该第一访问子密钥和该第二访问子密钥按照上述预设密钥导出算法，生成上述完整性访问密钥；或者，该第一网元可以根据该第一访问子密钥和该第二访问子密钥进行异或操作，生成上述完整性访问密钥。进一步地，该第一网元可以根据所生成的该完整性访问密钥按照上述预设加解密算法，对该更新后的网络切片访问关系信息进行加密，得到该终端的标识所对应的更新后的密文字段。

步骤S703、该第一网元将该终端的标识以及该更新后的密文字段关联存储到上述访问控制信息。

本步骤中，该第一网元将该终端的标识以及该更新后的密文字段关联存储到该访问控制信息，使得该访问控制信息中存储的信息为准确有效的，以便于该第一网元在接收到该终端发送的网络切片请求消息时可以准确地验证该终端是否有权访问该网络切片请求消息中所请求访问的网络切片。

需要说明的是，上述步骤S703之前，本申请实施例的方法还可以包括：该第一网元将该终端的标识和该终端的标识所对应的密文字段从上述访问控制信息中删除，使得该访问控制信息中存储的信息均为准确有效的。

图8为本申请另一实施例提供的网络切片的访问控制方法的流程示意图。在上述实施例的基础上，本申请实施例中结合终端、第一网元和第二网元，对生成以及更新访问控制信息中与该终端的标识所对应的密文字段的可实现方式进行介绍。如图8所示，本申请实施例的方法可以包括：

步骤S801、该终端向该第一网元发送网络切片信息获取请求。

其中，该网络切片信息获取请求用于请求获取该终端可以请求访问的各网络切片的信息(例如，各网络切片的标识)，该网络切片信息的获取请求中可以包括但不限于该终端的标识。

步骤S802、该第一网元向该第二网元转发该网络切片信息获取请求。

步骤S803、该第二网元根据该网络切片信息获取请求确定该终端对应的网络切片访问关系信息。

示例性地，该第二网元查询该终端的标识所对应的签约信息，并根据该终端的标识所对应的签约信息和预设的切片限制策略确定该终端可以请求访问的各网络切片的信息(例如，各网络切片的标识)，从而得到该终端对应的网络切片访问关系信息；其中，该网络切片访问关系信息中可以包括但不限于：该终端的标识、该终端可以请求访问的各网络切片的信息(其中，至少包括上述网络切片请求消息中所请求访问的网络切片对应的标识)和该终端的标识所对应的签约信息。

步骤S804、该第二网元将该终端对应的网络切片访问关系信息返回给该第一网元。

步骤S805A、该第一网元根据该终端的标识获取该终端对应的第一访问子密钥。

步骤S805B、该第一网元从该第二网元获取核心网CN对应的第二访问子密钥。

步骤S806、该第一网元根据该第一访问子密钥和该第二访问子密钥，生成完整性访问密钥。

步骤S807、该第一网元根据该完整性访问密钥对该网络切片访问关系信息进行加密，得到该终端的标识所对应的密文字段。

步骤S808、该第一网元将该终端的标识以及该终端的标识所对应的密文字段关联存储到该访问控制信息。

步骤S809、该第一网元将该终端的标识和该终端可以请求访问的各网络切片的信息发送给该终端。

步骤S810、当该第二网元中的该终端的标识对应的签约信息发生改变时，该第二网元将该终端对应的更新后的网络切片访问关系信息发送给该第一网元。

步骤S811、该第一网元将该终端的标识和该终端的标识所对应的密文字段从该访问控制信息中删除。

步骤S812、该第一网元根据该终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥。

步骤S813、该第一网元根据该第一访问子密钥和该第二访问子密钥，生成完整性访问密钥。

步骤S814、该第一网元根据该完整性访问密钥对该更新后的网络切片访问关系信息进行加密，得到该终端的标识所对应的更新后的密文字段。

步骤S815、该第一网元将该终端的标识以及该更新后的密文字段关联存储到上述访问控制信息。

本申请实施例中，该第一网元在从该第二网元获取到该终端对应的网络切片访问关系信息后，根据该终端对应的第一访问子密钥和核心网CN对应的第二访问子密钥对该终端对应的网络切片访问关系信息进行加密存储。由于本申请实施例中的该访问控制信息中包括该终端的标识以及该终端的标识所对应的密文字段，因此，可以降低该终端可以请求访问的各网络切片的信息和该终端的标识所对应的签约信息的泄露风险，有利于提高访问验证的安全性。进一步地，当该终端对应的签约信息发生改变时，该第一网元可以将该终端的标识以及该终端对应的更新后的密文字段更新存储到上述访问控制信息，使得该访问控制信息中存储的信息为准确有效的，以便于该第一网元在接收到该终端发送的网络切片请求消息时可以准确地验证该终端是否有权访问该网络切片请求消息中所请求访问的网络切片。

需要说明的是，本领域普通技术人员可以理解，在本申请的上述各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

图9为本申请一实施例提供的网元的结构示意图。可选地，本申请实施例提供的网元可以为第一网元。如图9所示，本申请实施例的第一网元90可以包括：第一接收模块901、第一获取模块902以及验证模块903。

其中，第一接收模块901，接收网络切片请求消息，其中，该网络切片请求消息中携带有终端的标识和网络切片的标识；

第一获取模块902，用于根据该终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥；

验证模块903，用于根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片。

在一种可能的实现方式中，该验证模块903，包括：

在一种可能的实现方式中，该验证单元具体用于：

确定该解密后的终端标识所对应的签约信息属于有效信息。

在一种可能的实现方式中，该第一网元90还包括：

在一种可能的实现方式中，该加密模块包括：

在一种可能的实现方式中，该第一网元90还包括：

本申请实施例提供的第一网元90，可以用于执行本申请上述网络切片的访问控制方法实施例中关于第一网元的技术方案，其实现原理和技术效果类似，此处不再赘述。

图10为本申请另一实施例提供的网元的结构示意图。可选地，本申请实施例提供的网元可以为第一网元。如图10所示，本实施例的第一网元100可以包括：处理器1001和存储器1002。可选地，该第一网元100还可以包括用于收发信息和/或消息的收发器1003。其中，该存储器1002用于存储程序指令；该处理器1001用于调用并执行该存储器1002中存储的程序指令，当该处理器1001执行该存储器1002存储的程序指令时，该第一网元100用于执行本申请上述网络切片的访问控制方法实施例中关于第一网元的技术方案，其实现原理和技术效果类似，此处不再赘述。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在计算机上运行时，使得计算机执行本申请上述网络切片的访问控制方法实施例中关于第一网元的技术方案，其实现原理和技术效果类似，此处不再赘述。

本申请实施例还提供一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现本申请上述网络切片的访问控制方法实施例中关于第一网元的技术方案，其实现原理和技术效果类似，此处不再赘述。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

本申请实施例还提供一种程序，该程序在被处理器执行时用于执行本申请上述网络切片的访问控制方法实施例中关于第一网元的技术方案，其实现原理和技术效果类似，此处不再赘述。

本申请实施例还提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行本申请上述网络切片的访问控制方法实施例中关于第一网元的技术方案，其实现原理和技术效果类似，此处不再赘述。

本申请实施例中涉及的处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

本申请实施例中涉及的存储器可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

在上述各实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘)等。

Claims

一种网络切片的访问控制方法，其特征在于，包括：

第一网元接收网络切片请求消息，其中，所述网络切片请求消息中携带有终端的标识和网络切片的标识；

所述第一网元根据所述终端的标识获取所述终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥；

所述第一网元根据所述第一访问子密钥和所述第二访问子密钥，验证所述终端是否有权访问所述网络切片。
根据权利要求1所述的方法，其特征在于，所述第一网元根据所述第一访问子密钥和所述第二访问子密钥，验证所述终端是否有权访问所述网络切片，包括：

所述第一网元根据所述第一访问子密钥和所述第二访问子密钥，生成完整性访问密钥；

所述第一网元根据所述完整性访问密钥验证所述终端是否有权访问所述网络切片。
根据权利要求2所述的方法，其特征在于，所述第一网元根据所述完整性访问密钥验证所述终端是否有权访问所述网络切片，包括：

所述第一网元根据所述完整性访问密钥对访问控制信息中所包含的与所述终端的标识对应的密文字段进行解密，得到解密后的网络切片访问关系信息，其中，所述解密后的网络切片访问关系信息中包括：解密后的终端标识、解密后的网络切片标识；

所述第一网元判断所述解密后的终端标识和解密后的网络切片标识，是否与所述终端的标识和网络切片的标识相匹配；

若所述解密后的终端标识和解密后的网络切片标识，与所述终端的标识和网络切片的标识相匹配，则所述第一网元确定所述终端有权访问所述网络切片；或者，若所述解密后的终端标识和解密后的网络切片标识，与所述终端的标识和网络切片的标识不匹配，则所述第一网元确定所述终端无权访问所述网络切片。
根据权利要求3所述的方法，其特征在于，若所述解密后的网络切片访问关系信息中还包括：解密后的终端标识所对应的签约信息，则所述第一网元判断所述解密后的终端标识和解密后的网络切片标识，是否与所述终端的标识和网络切片的标识相匹配之前，所述方法还包括：

所述第一网元确定所述解密后的终端标识所对应的签约信息属于有效信息。
根据权利要求4所述的方法，其特征在于，所述解密后的终端标识所对应的签约信息包括：签约时间和签约双方的标识。
根据权利要求1-5中任一项所述的方法，其特征在于，所述第一网元根据所述终端的标识获取所述终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥之前，所述方法还包括：

所述第一网元确定访问控制信息中包含有与所述终端的标识对应的密文字段。
根据权利要求1-6中任一项所述的方法，其特征在于，所述方法还包括：

所述第一网元从第二网元获取所述终端的标识对应的网络切片访问关系信息，其中，所述网络切片访问关系信息中包括：所述终端的标识、所述网络切片的标识和所述终端的标识所对应的签约信息；

所述第一网元根据所述第一访问子密钥和所述第二访问子密钥对所述网络切片访问关系信息进行加密，得到所述终端的标识所对应的密文字段；

所述第一网元将所述终端的标识以及所述终端的标识所对应的密文字段关联存储到访问控制信息。
根据权利要求7所述的方法，其特征在于，所述根据所述第一访问子密钥和所述第二访问子密钥对所述网络切片访问关系信息进行加密，得到所述终端的标识所对应的密文字段，包括：

所述第一网元根据所述第一访问子密钥和所述第二访问子密钥，生成完整性访问密钥；

所述第一网元根据所述完整性访问密钥对所述网络切片访问关系信息进行加密，得到所述终端的标识所对应的密文字段。
根据权利要求7或8所述的方法，其特征在于，所述方法还包括：

所述第一网元接收所述第二网元发送的更新后的网络切片访问关系信息，其中，所述更新后的网络切片访问关系信息中包括：所述终端的标识、所述网络切片的标识和所述终端的标识所对应的更新后的签约信息；

所述第一网元根据所述第一访问子密钥和所述第二访问子密钥对所述更新后的网络切片访问关系信息进行加密，得到所述终端的标识所对应的更新后的密文字段；

所述第一网元将所述终端的标识以及所述更新后的密文字段关联存储到所述访问控制信息。
根据权利要求9所述的方法，其特征在于，所述第一网元将所述终端的标识以及所述更新后的密文字段关联存储到所述访问控制信息之前，所述方法还包括：

所述第一网元将所述终端的标识和所述终端的标识所对应的密文字段从所述访问控制信息中删除。
根据权利要求7-10中任一项所述的方法，其特征在于，所述终端的标识所对应的签约信息包括：签约时间和签约双方的标识。
根据权利要求1-11中任一项所述的方法，其特征在于，所述终端对应的第一访问子密钥与所述终端在身份鉴权时的认证密钥相同。
根据权利要求1-12中任一项所述的方法，其特征在于，所述终端对应的第一访问子密钥与其它终端对应的访问子密钥不相同。
一种网元，其特征在于，所述网元为第一网元，所述第一网元包括：

第一接收模块，接收网络切片请求消息，其中，所述网络切片请求消息中携带有终端的标识和网络切片的标识；

第一获取模块，用于根据所述终端的标识获取所述终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥；

验证模块，用于根据所述第一访问子密钥和所述第二访问子密钥，验证所述终端是否有权访问所述网络切片。
根据权利要求14所述的第一网元，其特征在于，所述验证模块，包括：

生成单元，用于根据所述第一访问子密钥和所述第二访问子密钥，生成完整性访问密钥；

验证单元，用于根据所述完整性访问密钥验证所述终端是否有权访问所述网络切片。
根据权利要求15所述的第一网元，其特征在于，所述验证单元具体用于：

根据所述完整性访问密钥对访问控制信息中所包含的与所述终端的标识对应的密文字段进行解密，得到解密后的网络切片访问关系信息，其中，所述解密后的网络切片访问关系信息中包括：解密后的终端标识、解密后的网络切片标识；

判断所述解密后的终端标识和解密后的网络切片标识，是否与所述终端的标识和网络切片的标识相匹配；

若所述解密后的终端标识和解密后的网络切片标识，与所述终端的标识和网络切片的标识相匹配，则确定所述终端有权访问所述网络切片；或者，若所述解密后的终端标识和解密后的网络切片标识，与所述终端的标识和网络切片的标识不匹配，则确定所述终端无权访问所述网络切片。
根据权利要求16所述的第一网元，其特征在于，若所述解密后的网络切片访问关系信息中还包括：解密后的终端标识所对应的签约信息，则所述验证单元还用于：

确定所述解密后的终端标识所对应的签约信息属于有效信息。
根据权利要求17所述的第一网元，其特征在于，所述解密后的终端标识所对应的签约信息包括：签约时间和签约双方的标识。
根据权利要求14-18中任一项所述的第一网元，其特征在于，所述第一网元还包括：

确定模块，用于确定访问控制信息中包含有与所述终端的标识对应的密文字段。
根据权利要求14-19中任一项所述的第一网元，其特征在于，所述第一网元还包括：

第二获取模块，用于从第二网元获取所述终端的标识对应的网络切片访问关系信息，其中，所述网络切片访问关系信息中包括：所述终端的标识、所述网络切片的标识和所述终端的标识所对应的签约信息；

第一加密模块，用于根据所述第一访问子密钥和所述第二访问子密钥对所述网络切片访问关系信息进行加密，得到所述终端的标识所对应的密文字段；

第一存储模块，用于将所述终端的标识以及所述终端的标识所对应的密文字段关联存储到访问控制信息。
根据权利要求20所述的第一网元，其特征在于，所述加密模块包括：

生成单元，用于根据所述第一访问子密钥和所述第二访问子密钥，生成完整性访问密钥；

加密单元，用于根据所述完整性访问密钥对所述网络切片访问关系信息进行加密，得到所述终端的标识所对应的密文字段。
根据权利要求20或21所述的第一网元，其特征在于，所述第一网元还包括：

第二接收模块，用于接收所述第二网元发送的更新后的网络切片访问关系信息，其中，所述更新后的网络切片访问关系信息中包括：所述终端的标识、所述网络切片的标识和所述终端的标识所对应的更新后的签约信息；

第二加密模块，用于根据所述第一访问子密钥和所述第二访问子密钥对所述更新后的网络切片访问关系信息进行加密，得到所述终端的标识所对应的更新后的密文字段；

第二存储模块，用于将所述终端的标识以及所述更新后的密文字段关联存储到所述访问控制信息。
根据权利要求22所述的第一网元，其特征在于，所述第一网元还包括：

删除模块，用于将所述终端的标识和所述终端的标识所对应的密文字段从所述访问控制信息中删除。
根据权利要求20-23中任一项所述的第一网元，其特征在于，所述终端的标识所对应的签约信息包括：签约时间和签约双方的标识。
根据权利要求14-24中任一项所述的第一网元，其特征在于，所述终端对应的第一访问子密钥与所述终端在身份鉴权时的认证密钥相同。
根据权利要求14-25中任一项所述的第一网元，其特征在于，所述终端对应的第一访问子密钥与其它终端对应的访问子密钥不相同。
一种网元，其特征在于，所述网元为第一网元，所述第一网元包括：处理器和存储器；

其中，所述存储器，用于存储程序指令；

所述处理器，用于调用并执行所述存储器中存储的程序指令，当所述处理器执行所述存储器存储的程序指令时，所述第一网元用于执行如权利要求1至13中任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当所述指令在计算机上运行时，使得计算机执行如权利要求1至13中任一项所述的方法。