WO2021253859A1

WO2021253859A1 - 切片认证方法及系统

Info

Publication number: WO2021253859A1
Application number: PCT/CN2021/077308
Authority: WO
Inventors: 邓娟; 何承东; 李飞
Original assignee: 华为技术有限公司
Priority date: 2020-06-20
Filing date: 2021-02-22
Publication date: 2021-12-23
Also published as: CN113904781A; CN113904781B

Abstract

本申请实施例提供一种切片认证方法及系统，该方法包括：接入和移动性管理功能AMF向特定网络切片的认证和授权功能NSSAAF发送认证请求；响应于所述认证请求，所述NSSAAF与统一数据管理网元UDM交互以确定终端设备在服务网络的第一认证结果；若所述第一认证结果为认证成功，则所述NSSAAF分别与服务器以及AMF交互以进行切片认证并获得切片认证结果，所述NSSAAF向所述AMF发送所述认证结果。通过实施本发明提供的技术方案，能够防止服务网络绕过主认证直接进行切片认证的攻击。

Description

切片认证方法及系统

技术领域

本申请涉及通信技术领域，尤其涉及一种切片认证方法及系统。

背景技术

终端设备在接入运营商网络之前，运营商网络需要与终端设备进行双向认证，双向认证成功之后，终端设备设备会被允许接入网络。进一步的，终端设备接入运营商网络之后，如果终端设备想要接入切片，是需要与切片进行双向认证的。那么，如何安全的进行切片认证是亟待解决的问题。

发明内容

本申请提供一种切片认证方法及系统，可安全的进行切片认证。

第一方面，本申请提供一种切片认证方法，所述方法包括：

接入和移动性管理功能(Access and Mobility Management Function，AMF)向特定网络切片的认证和授权(特定网络切片的认证和授权功能，NSSAAF)发送第一认证请求；响应于所述第一认证请求，所述NSSAAF向统一数据管理网元(Unified Data Management，UDM)发送第二认证请求；响应于所述第二认证请求，所述UDM向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果；若所述第一认证结果为认证成功，则所述NSSAAF向服务器发送第一协议信息；所述NSSAAF接收所述服务器发送的第二协议信息；响应于所述第二协议信息，所述NSSAAF向所述AMF发送第三认证请求；响应于所述第三认证请求，所述AMF向所述终端设备UE发送第一非接入层(non-access stratum，NAS)传输消息；所述AMF接收所述UE发送第二NAS传输消息；响应于所述第二NAS传输消息，所述AMF向所述NSSAAF发送第四认证请求；响应于所述第四认证请求，所述NSSAAF向所述服务器发送第三协议信息；所述NSSAAF接收所述服务器发送的第四协议信息；响应于所述第四协议信息，所述NSSAAF向所述AMF发送第二认证结果。

通过本发明提供的技术方案，UDM将该主认证的认证结果(终端设备在服务网络的认证结果)返回给NSSAAF，在认证结果为认证成功时，NSSAAF才会继续后续切片认证流程，从而可以防止恶意服务网绕过主认证直接进行切片认证的攻击。需要指出的是，如果服务网络绕过主认证直接向归属网络请求对终端设备进行切片认证，就会消耗归属网络资源，但最终切片认证不会成功，那么这个过程就可以理解为服务网络对归属网络的攻击。

其中，需要指出的是，主认证是指终端设备在接入网络过程中与网络侧进行的双向认证，举例来说，主认证可以是5G认证和密钥协商(5G authentication and key agreement，5G AKA)或可扩展认证协议的认证和密钥协商(Extensible Authentication Protocol authentication and key agreement，EAP AKA)认证等。其中，5G AKA和EAP AKA可参考标准协议3GPP TS 33.501。

可选的，在本发明的一种实现方式中，所述第一认证请求包括服务网络名称(serving network name，SNN)。所述NSSAAF向UDM发送第二认证请求之前，所述NSSAAF判断所述SNN和期望的SNN是否一致；所述NSSAAF向UDM发送第二认证请求，包括：如果所述SNN和所述期望的SNN一致，则所述NSSAAF向UDM发送第二认证请求。进一步的，所述方法还包括：如果所述SNN和所述期望的SNN不一致，则NSSAAF向所述AMF发送停止认证的指示。其中，需要指出的是，第一认证请求中还包括令牌token，该另外，该token是网络存储功能(network function repository function，NRF)生成的。该token包括期望的SNN。另外，还需要指出的是，Token里面也许不包括SNN，而是包括服务网络标识(serving network identity，SN ID)，那么NSSAAF就可以将所述token中SN ID与所述SNN中的SN ID进行匹配。可以理解的是，如果匹配成功，则所述NSSAAF向UDM发送第二认证请求；如果匹配不成功，则NSSAAF向所述AMF发送停止认证的指示。

另外，在本发明的一种实现方式中，在主认证过程中或主认证结束之后，UDM或者AUSF可以将主认证的认证结果发送给NSSAAF，NSSAAF会保存该认证结果。后续的，在NSSAAF收到第一认证请求之后，NSSAAF就可以直接根据该认证结果确定是否向服务器发送第一协议信息，而不用在与UDM交互以获取所述主认证的认证结果。

可选的，在本发明的另一种实现方式中，所述方法还包括：在主认证成功之后，AMF会将终端设备的安全上下文状态发送给UDM，UDM会保存该终端设备的安全上下文状态，其中，该终端设备的安全上下文状态包括所述AMF的实例标识(instance indentity)。具体的，所述第二认证请求包括所述AMF的标识；响应于所述第二认证请求，所述UDM判断所述AMF的标识是否与所述终端设备的安全上下文状态中的AMF的实例标识是否相同，如果相同，所述UDM向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果(该第一认证结果可以是主认证的认证结果)。通过上述技术方案，归属网络可以判断发起切片认证的AMF是否是合法的AMF，如果是合法的AMF就发送所述指示信息。如果不是合法的AMF就拒绝执行后续切片认证流程，从而可以防止浪费归属网络的资源。其中，需要指出的是，UDM以及NSSAF属于归属网络，AMF属于服务网络。

可选的，在本发明的另一种实现方式中，所述第二认证请求中携带所述AMF的服务网络名称；所述UDM向所述NSSAAF发送指示信息之前，所述方法还包括：所述UDM确定是否存在与所述服务网络名称匹配的认证结果。所述UDM向所述NSSAAF发送指示信息，包括：若存在与所述服务网络匹配的认证结果且所述认证结果为认证成功，则所述UDM向所述NSSAAF发送所述指示信息。可以理解的是，若存在与服务网络名称匹配的认证结果，说明UE已经通过了主认证，那么此时执行切片认证是合法的。通过上述判断流程，就可以排除潜在的风险，从而提高认证的安全性，防止浪费归属网络的信令资源。

可选的，在本发明的另一种实现方式中，所述方法还包括：若存在与所述服务网络名称相匹配的认证结果但是所述认证结果为认证失败，则所述UDM向所述NSSAAF发送用于指示停止认证的消息。可以理解的是，若所述认证结果为认证失败，说明UE尚未通过主认证，那么此时发起切片认证是不可能认证成功，因此，此时直接终止切片认证流程就可以防止浪费归属网络的信令资源。

可选的，在本发明的另一种实现方式中，所述方法还包括：若不存在与所述服务网络名称相匹配的认证结果，则所述UDM向所述NSSAAF发送用于指示停止认证的消息。

举例来说，认证成功可以用success来表示，认证失败可以用failure来表示。举例来说，认证成功可以用True来表示，认证失败可以用False来表示。另外，表征认证成功或认证失败或未进行认证的方法有很多，在此不一一列举，也不做限制。

可选的，在本发明的另一种实现方式中，所述第二认证请求中携带所述用户设备的第一标识；所述方法还包括：所述UDM根据所述第一标识获取所述用户设备的第二标识；所述UDM向所述NSSAAF发送所述第二标识。

可选的，在本发明的另一种实现方式中，所述方法还包括：所述NSSAAF接收所述第二标识，并保存所述第一标识与所述第二标识的映射关系。

举例来说，第一标识可以是用户永久标识(subscription permanent identifier，SUPI)，第二标识可以是通用公共用户标识符(Generic Public Subscription Identifier，GPSI)。

需要指出的是，保存SUPI和GPSI的映射关系之后，NSSAAF就可以利用GPSI与外部的服务器或数据网络进行交互从而防止SUPI泄露，当NSSAAF收到外部服务器发送的GPSI就可以获得与GPSI对应的SUPI，然后利用SUPI与核心网内部的网元进行交互，从而保证核心网内部网元之间的高效通信。

再比如，第一标识可以是GPSI，第二标识可以是GPSI*。可以理解的是GPSI*是GPSI通过预设函数进行计算获得的。

可选的，在本发明的另一种实现的方式中，NSSAAF完成终端设备的切片认证之后，会向UDM发送切片认证的状态(比如认证成功或失败)，UDM会保存所述切片认证的状态。需要指出的是，后续其他网络可与UDM交互以查询所述切片认证的状态。具体的，举例来说，所述方法还包括：所述NSSAAF向所述UDM发送认证结果确认消息，所述认证结果确认消息包括所述第二认证结果，所述UDM保存所述第二认证结果。可选的，所述认证结果确认消息还包括SUPI/GPSI，单一网络切片选择辅助信息(Single-Network Slice Selection Assistance Information，S-NSSAI)以及服务网络名称。响应的，UDM也会保存所述SUPI/GPSI，S-NSSAI，以及服务网络名称。

可选的，在本发明的一种实现方式中，上述的集中可选方案可以进行组合，比如，所述第一认证请求包括服务网络名称。所述NSSAAF向UDM发送第二认证请求之前，所述NSSAAF判断所述SNN和期望的SNN是否一致；所述NSSAAF向UDM发送第二认证请求，包括：如果所述SNN和所述期望的SNN一致，则所述NSSAAF向UDM发送第二认证请求；如果第二认证请求中包括所述AMF的服务网络名称，所述UDM确定是否存在与所述服务网络名称匹配的认证结果。若存在与所述服务网络匹配的认证结果且所述认证结果为认证成功，则所述UDM向所述NSSAAF发送所述指示信息。如果第二认证请求中包括包括所述AMF的标识，所述UDM判断所述AMF的标识是否与所述终端设备的安全上下文状态中的AMF的实例标识是否相同，如果相同，所述UDM向所述NSSAAF发送指示信息。类似的，如果第二认证请求中既包括所述AMF的服务网络名称也包括所述AMF的ID，那么UDM可以选择其中的一个进行验证，也可以对上述两个参数都进行验证。举例来说，如果需要对上述两个参数都进行验证，那么只有在两个参数都通过验证的情况下，才可以向所述NSSAAF发送所述指示信息。另外，需要指出的是，NSSAAF判断第一认证请求中的SNN和期望的SNN是否一致，可以防止AMF携带伪造的或者其他其他服务网络的名称来触发认证。UDM验证AMF ID，可以确认主认证是否已经成功。

第二方面，本申请提供了一种切片认证系统，该系统用于执行所述第一方面的切片认证的方法。具体的，所述系统包括：AMF，用于向NSSAAF发送第一认证请求；所述NSSAAF，用于响应于所述第一认证请求，向UDM发送第二认证请求；所述UDM，用于响应于所述第二认证请求，向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果；所述NSSAAF，用于若所述第一认证结果为认证成功，则向服务器发送第一协议信息；接收所述服务器发送的第二协议信息；响应于所述第二协议信息，向AMF发送第三认证请求；所述AMF，用于响应于所述第三认证请求，向所述终端设备发送第一NAS传输消息；接收所述UE发送第二NAS传输消息；响应于所述第二NAS传输消息，向所述NSSAAF发送第四认证请求；所述NSSAAF，还用于响应于所述第四认证请求，向服务器发送第三协议信息；接收所述服务器发送的第四协议信息；响应于所述第四协议信息，则向所述AMF发送第二认证结果。

可选的，在本发明的另一种实现方式中，所述第二认证请求中携带所述AMF的服务网络名称；所述UDM，还用于确定是否存在与所述服务网络名称匹配的认证结果。所述UDM，具体用于若存在与所述服务网络匹配的认证结果且所述认证结果为认证成功，则向所述NSSAAF发送所述指示信息。

可选的，在本发明的另一种实现方式中，所述UDM，还用于若不存在与所述服务网络名称相匹配的认证结果，则向所述NSSAAF发送用于指示停止认证的消息。

可选的，在本发明的另一种实现方式中，所述第二认证请求中携带所述用户设备的第一标识SUPI；所述UDM，还用于根据所述SUPI获取所述用户设备的第二标识GPSI；向所述NSSAAF发送所述GPSI。

可选的，在本发明的另一种实现方式中，所述NSSAAF，还用于接收所述GPSI，并保存所述SUPI与所述GPSI的映射关系。

第三方面，本申请提供一种通信装置，所通信装置为第二方面所述的系统中的AMF或NSSAAF或UDM。所述通信装置包括处理单元和收发单元，其中，所述处理单元，用于按照第一方面或第二方面描述的功能进行信息处理；所述收发单元，用于按照第一方面或第二方面描述的功能进行信息的发送和接收。

第四方面，本申请提供一种通信装置，所通信装置为第二方面所述的系统中的AMF或NSSAAF或UDM。所述通信装置包括处理器和收发器，其中，所述处理单元，用于按照第一方面或第二方面描述的功能进行信息处理；所述收发单元，用于按照第一方面或第二方面描述的功能进行信息的发送和接收。

第五方面，本申请提供一种通信装置，所通信装置为第二方面所述的系统中的AMF或NSSAAF或UDM。所述通信装置包括存储器、处理器和收发器，其中，当存储器中的程序代码或指令被执行时，所述处理单元按照第一方面或第二方面描述的功能进行信息处理；所述收发单元按照第一方面或第二方面描述的功能进行信息的发送和接收。

第六方面，本申请提供一种通信装置，所通信装置为第二方面所述的系统中的AMF或NSSAAF或UDM。所述通信装置包括处理器和接口电路，其中，所述处理器，用于按照第一方面或第二方面描述的功能进行信息处理；所述接口电路，用于按照第一方面或第二方面描述的功能进行信息的发送和接收。

第七方面，本申请提供一种计算机可读存储介质，该计算机可读存储介质用于存储计算机程序，当其在计算机上运行时，使得上述第一方面或第二方面中的AMF，UDM或NSSAFF的功能会被执行。

第八方面，本申请提供一种计算机程序产品，该计算机程序产品包括计算机程序或计算机代码，当其在计算机上运行时，使得上述第一方面或第二方面中的AMF，UDM或NSSAFF的功能会被执行。

。

附图说明

图1是本申请实施例提供的一种通信系统的架构示意图；

图2是本申请实施例提供的一种切片认证方法的流程示意图；

图3是本申请实施例提供的另一种切片认证方法的流程示意图；

图4是本申请实施例提供的另一种切片认证方法的流程示意图；

图5是本申请实施例提供的另一种切片认证方法的流程示意图；

图6是本申请实施例提供的一种通信装置的结构示意图；

图7是本申请实施例提供的一种通信装置的结构示意图；

图8是本申请实施例提供的一种通信装置的结构示意图；

图9是本申请实施例提供的一种无线通信系统的示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地描述。

本申请的说明书、权利要求书及附图中的术语“第一”和“第二”等仅用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备等，没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元等，或可选地还包括对于这些过程、方法、产品或设备等固有的其它步骤或单元。

在本文中提及的“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员可以显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

在本申请中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上，“至少两个(项)”是指两个或三个及三个以上，“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：只存在A，只存在B以及同时存在A和 B三种情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。

下面对本申请应用的通信系统进行介绍：

本申请提供的技术方案可以应用于各种通信系统。一个通信系统中，由运营者运营的部分可称为公共陆地移动网络(public land mobile network，PLMN)(也可以称为运营商网络等)。PLMN是由政府或其所批准的经营者，为公众提供陆地移动通信业务目的而建立和经营的网络，主要是移动网络运营商(mobile network operator，MNO)为用户提供移动宽带接入服务的公共网络。本申请中所描述的PLMN，具体可为符合第三代合作伙伴项目(3rd generation partnership project，3GPP)标准要求的网络，简称3GPP网络。3GPP网络通常包括但不限于第五代移动通信(5th-generation，5G)网络(简称5G网络)、第四代移动通信(4th-generation，4G)网络(简称4G网络)等。为了方便描述，本申请实施例中将以PLMN为例进行说明。或者，本申请提供的技术方案还可以应用于长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)通信系统或新无线(new radio，NR)以及未来的其他通信系统如6G、7G等。

随着移动带宽接入服务的扩展，移动网络也会随之发展以便更好地支持多样化的商业模式，满足更加多样化的应用业务以及更多行业的需求。例如，为了给更多的行业提供更好、更完善的服务，5G网络相对于4G网络做了网络架构调整。如5G网络将4G网络中的移动管理实体(mobility management entity，MME)进行拆分，拆分为包括接入与移动性管理功能(access and mobility management function，AMF)和会话管理功能(session management function，SMF)等多个网络功能。

图1是本申请实施例的一种网络架构示意图，它以3GPP标准化过程中定义的非漫游场景下基于服务化架构的5G网络架构为例。该网络架构可以包括三部分，分别是终端设备部分、PLMN和数据网络(data network，DN)。

终端设备部分可以包括终端设备110，该终端设备110也可以称为用户设备(user equipment，UE)。本申请中的终端设备110是一种具有无线收发功能的设备，可以经无线接入网(radio access network，RAN)140中的接入网设备(或者也可以称为接入设备)与一个或多个核心网(core network，CN)设备(或者也可以称为核心设备)进行通信。终端设备110也可称为接入终端、终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、用户代理或用户装置等。终端设备110可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。终端设备110可以是蜂窝电话(cellular phone)、无绳电话、会话启动协议(session initiation protocol，SIP)电话、智能电话(smart phone)、手机(mobile phone)、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant， PDA)等。或者，终端设备110还可以是具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它设备、车载设备、可穿戴设备、无人机设备或物联网、车联网中的终端、5G网络以及未来网络中的任意形态的终端、中继用户设备或者未来演进的PLMN中的终端等。其中，中继用户设备例如可以是5G家庭网关(residential gateway，RG)。例如终端设备110可以是虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。本申请实施例对终端设备的类型或种类等并不限定。

PLMN可以包括：特定网络切片的认证和授权功能(Network Slice-Specific Authentication and Authorization function，NSSAAF)131、网络存储功能(network function repository function，NRF)132、策略控制功能(policy control function，PCF)133、统一数据管理(unified data management，UDM)134、应用功能(application function，AF)135、认证服务器功能(authentication server function，AUSF)136、接入与移动性管理功能(access and mobility management function，AMF)137、会话管理功能(session management function，SMF)138、用户面功能(user plane function，UPF)139以及(无线)接入网((radio)access network，(R)AN)140等。上述PLMN中，除(无线)接入网140部分之外的部分可以称为核心网络(core network，CN)部分或核心网部分。

数据网络DN 120，也可以称为分组数据网络(packet data network，PDN)，通常是位于PLMN之外的网络，例如第三方网络。示例性的，PLMN可以接入多个数据网络DN 120，数据网络DN 120上可部署多种业务，从而为终端设备110提供数据和/或语音等服务。例如，数据网络DN 120可以是某智能工厂的私有网络，智能工厂安装在车间的传感器可为终端设备110，数据网络DN 120中部署了传感器的控制服务器，控制服务器可为传感器提供服务。传感器可与控制服务器通信，获取控制服务器的指令，根据指令将采集的传感器数据传送给控制服务器等。又例如，数据网络DN 120可以是某公司的内部办公网络，该公司员工的手机或者电脑可为终端设备110，员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。终端设备110可通过PLMN提供的接口(例如图1中的N1接口等)与PLMN建立连接，使用PLMN提供的数据和/或语音等服务。终端设备110还可通过PLMN访问数据网络DN 120，使用数据网络DN 120上部署的运营商业务，和/或第三方提供的业务。其中，上述第三方可为PLMN和终端设备110之外的服务方，可为终端设备110提供其他数据和/或语音等服务。其中，上述第三方的具体表现形式，具体可根据实际应用场景确定，在此不做限制。

示例性的，下面对PLMN中的网络功能进行简要介绍。

(R)AN 140是PLMN的子网络，是PLMN中业务节点(或网络功能)与终端设备110之间的实施系统。终端设备110要接入PLMN，首先是经过(R)AN 140，进而通过(R)AN 140与PLMN中的业务节点连接。本申请实施例中的接入网设备，是一种为终端设备110提供无线通信功能的设备，也可以称为接入设备、(R)AN设备或网络设备等。如该接入设备包括但不限于：5G系统中的下一代基站(next generation node basestation，gNB)、 LTE系统中的演进型基站(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(home evolved nodeB，或home node B，HNB)、基带单元(base band unit，BBU)、传输接收点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、小基站设备(pico)、移动交换中心，或者未来网络中的网络设备等。可理解，本申请对接入网设备的具体类型不作限定。采用不同无线接入技术的系统中，具备接入网设备功能的设备的名称可能会有所不同。

可选的，在接入设备的一些部署中，接入设备可以包括集中式单元(centralized unit，CU)和分布式单元(distributed unit，DU)等。在接入设备的另一些部署中，CU还可以划分为CU-控制面(control plane，CP)和CU-用户面(user plan，UP)等。在接入设备的又一些部署中，接入设备还可以是开放的无线接入网(open radio access network，ORAN)架构等，本申请对于接入设备的具体部署方式不作限定。

特定网络切片的认证和授权功能NSSAAF 131，用于对切片进行认证和授权。

网络存储功能NRF 132，可用于维护网络中所有网络功能服务的实时信息。

策略控制功能PCF 133是由运营商提供的控制面功能，用于向会话管理功能SMF 138提供协议数据单元(protocol data unit，PDU)会话的策略。策略可以包括计费相关策略、QoS相关策略和授权相关策略等。

统一数据管理UDM 134是由运营商提供的控制面功能，负责存储PLMN中签约用户的用户永久标识符(subscriber permanent identifier，SUPI)、安全上下文(security context)、签约数据等信息。上述PLMN的签约用户具体可为使用PLMN提供的业务的用户，例如使用中国电信的终端设备芯卡的用户，或者使用中国移动的终端设备芯卡的用户等。示例性的，签约用户的SUPI可为终端设备芯卡的号码等。上述安全上下文可以为存储在本地终端设备(例如手机)上的数据(cookie)或者令牌(token)等。上述签约用户的签约数据可以为该终端设备芯卡的配套业务，例如该手机芯卡的流量套餐等。

应用功能AF 135，用于进行应用影响的数据路由，接入网络开放功能，与策略框架交互进行策略控制等。

认证服务器功能AUSF 136是由运营商提供的控制面功能，通常用于一级认证，即终端设备110(签约用户)与PLMN之间的认证。

接入与移动性管理功能AMF 137是由PLMN提供的控制面网络功能，负责终端设备110接入PLMN的接入控制和移动性管理，例如包括移动状态管理，分配用户临时身份标识，认证和授权用户等功能。

会话管理功能SMF 138是由PLMN提供的控制面网络功能，负责管理终端设备110的协议数据单元(protocol data unit，PDU)会话。PDU会话是一个用于传输PDU的通道，终端设备需要通过PDU会话与DN 120互相传输PDU。PDU会话可以由SMF 138负责建立、维护和删除等。SMF 138包括会话管理(如会话建立、修改和释放，包含UPF 139和(R)AN 140之间的隧道维护等)、UPF 139的选择和控制、业务和会话连续性(service and session continuity，SSC)模式选择、漫游等会话相关的功能。

用户面功能UPF 139是由运营商提供的网关，是PLMN与DN 120通信的网关。UPF 139包括数据包路由和传输、包检测、业务用量上报、服务质量(quality of service，QoS)处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。

图1所示的PLMN中的网络功能还可以包括网络切片选择功能(network slice selection function，NSSF)(图1中未示出)，用于负责确定网络切片实例，选择AMF网络功能137等。图1所示的PLMN中的网络功能还可以包括统一数据存储(unified data repository，UDR)等，本申请实施例对于PLMN中包括的其他网络功能不作限定。

图1中Nnef、Nausf、Nnrf、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4，以及N6为接口序列号。示例性的，上述接口序列号的含义可参见3GPP标准协议中定义的含义，本申请对于上述接口序列号的含义不做限制。需要说明的是，图1中仅以终端设备110为UE作出了示例性说明，图1中的各个网络功能之间的接口名称也仅仅是一个示例，在具体实现中，该系统架构的接口名称还可能为其他名称，本申请对此不作限定。

本申请中的移动性管理网络功能可以是图1所示的AMF 137，也可以是未来通信系统中的具有上述接入与移动性管理功能AMF 137的其他网络功能。或者，本申请中的移动性管理网络功能还可以是LTE系统中的移动管理实体(mobility management entity，MME)等。

为方便说明，本申请实施例中将接入与移动性管理功能AMF 137简称为AMF，将统一数据管理UDM 134简称为UDM，将终端设备110称为UE，即本申请实施例中后文所描述的AMF均可替换为移动性管理网络功能，UDM均可替换为统一数据管理，UE均可替换为终端设备。可理解，其他未示出的网络功能同样适用该替换方法。

图1中示出的网络架构(例如5G网络架构)采用基于服务的架构和通用接口，传统网元功能基于网络功能虚拟化(network function virtualization，NFV)技术拆分成若干个自包含、自管理、可重用的网络功能服务模块。图1中示出的网络架构示意图可以理解为一种非漫游场景下基于服务的5G网络架构示意图。在该架构中，根据特定场景需求，将不同网络功能按需有序组合，可以实现网络的能力与服务的定制化，从而避免为不同业务部署专用的物理网络。网络切片技术可以使运营商能够更加灵活、快速地响应客户需求，支持网络资源的灵活分配。

以下对本申请涉及的切片和切片认证进行介绍。

切片简单理解就是将运营商的物理网络切割成多个虚拟的端到端的网络，每个虚拟网络之间(包括网络内的设备、接入网、传输网和核心网)是逻辑独立的，任何一个虚拟网络发生故障都不会影响到其它虚拟网络。为了满足多样性需求和切片间的隔离，需要业务间相对独立的管理和运维，并提供量身定做的业务功能和分析能力。不同业务类型的实例可以部署在不同的网络切片上，相同业务类型的不同实例也可部署在不同的网络切片上。切片可以由一组网络功能(network function，NF)和/或子网络等构成。比如，图1中的子网络(R)AN 140、AMF 137、SMF 138、UPF 139可以组成一个切片。可理解，图1中的每种网络功能只示意性地画出了一个，而在实际网络部署中，每种网络功能或子网络可以有多个、数十个或上百个。PLMN中可以部署很多切片，每个切片可以有不同的性能来满足不同应用、不同垂直行业的需求。运营商可以根据不同垂直行业客户的需求，“量身定做”一个切片。运营商也可以允许一些行业客户享有较大的自主权，参与切片的部分管理、控制功能。其中，切片级的认证就是由行业客户有限参与的一种网络控制功能，即对终端设备接入切片进行认证和授权，即“切片级认证”，也可称为“二级认证”、“二次认证”等，本申请简称为“切片认证”。

终端设备在被允许接入网络或切片之前，需要与网络和/或切片进行双向认证并得到该网络和/或切片的授权。一般的，网络需要对终端设备经过一次或者两次的认证与授权才能接入网络或切片。首先，PLMN要基于终端设备所使用的与PLMN签约的SUPI进行认证，这种认证被称为一级认证或主认证(primary authentication)，常见的主认证包括5G AKA或EAP AKA。其次，PLMN要基于终端设备所使用的与DN的签约标识进行认证，即切片认证或二级认证等。

如以图1为例，当核心网中部署了切片，UE 110需要接入到某个切片时，UE 110可以提供请求的切片给核心网。其中，UE 110请求的切片可以包括请求的网络切片选择辅助信息集合(requested network slice selection assistance information，requested NSSAI)。该NSSAI可以包括一个或多个单网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI)，一个S-NSSAI用于标识一个网络切片类型，也可以理解为，S-NSSAI用于标识切片，或者可以理解为S-NSSAI是切片的标识信息。可理解，本申请中切片还可以称为网络切片、网络切片实例或S-NSSAI等，本申请对于该切片的名称不作限定。为方便理解，在后文的描述中，本申请对切片或S-NSSAI等不做严格区分，二者可以同样适用。

进一步的，UE 110向网络发送注册请求后，核心网网络功能(如AMF网络功能137或NSSF网络功能)根据UE 110的签约数据、UE 110请求的网络切片、漫游协议以及本地配置等信息，为UE 110选择允许接入的网络切片集合。其中，允许接入的网络切片集合可以用允许的(allowed)NSSAI来表示，允许的NSSAI中包括的S-NSSAI可以为当前PLMN允许该UE 110接入的S-NSSAI。

举例说明一级认证和二级认证，示例性的，随着垂直行业和物联网的发展，PLMN之外的数据网络DN 120(如服务于垂直行业的DN)，对于接入到该DN 120的UE 110同样有认证与授权的需求。比如，某商业公司提供了游戏平台，通过PLMN为游戏玩家提供游戏服务。一方面，由于玩家使用的UE 110是通过PLMN接入游戏平台，因此PLMN需要对该UE 110的身份(SUPI)进行认证或授权等，即一级认证。游戏玩家是商业公司的客户，该商业公司也需要对游戏玩家的身份进行认证或授权。如对游戏玩家的身份进行认证或授权，这种认证可以是基于切片的认证，或者说认证是以切片为单位。该情况下，这种认证可以被称为切片认证(slice authentication)，或称为基于网络切片的认证(network slice-specific authentication and authorization，NSSAA)。

需要说明的是，切片认证的实际含义如可以是：终端设备与第三方网络(如DN或其认证服务器)之间执行的认证。切片认证结果将会决定PLMN是否授权终端设备接入该PLMN提供的切片。还应理解，本申请中应用于切片认证的方法也同样适用于基于会话的二次认证(secondary authentication)或基于切片的二次认证等场景，在此不再详述。

以下详细介绍本申请提供的切片认证方法。

图2是本申请实施例提供的一种切片认证方法的流程示意图，该方法可以应用于图1所示的网络。可理解，图2示出的是切片认证方法，对于UE与PLMN网络之间的一级认证方法，本申请实施例不作限定。图2中负责切片认证的服务器为认证、授权和计费服务器(authentication、authorization、accounting server，AAA-S)，该AAA-S可以部署于PLMN网络之内；或者，该AAA-S也可以部署于PLMN网络之外。在该AAA-S部署于网络之外时，UE可以通过PLMN网络之内部署的AAA代理(AAA-proxy，AAA-P)所提供的代理服务来转接AAA-S，实现UE与AAA-S之间的认证消息交互。图2中的网络切片认证与授权功能(network slice-specific authentication and authorization function，NSSAAF)是协助完成切片认证的网络功能。在另一种实现方式中，AUSF或其他NF等可以替代NSSAAF协助完成切片认证。因此，本申请实施例对于协助完成切片认证的网络功能(如NSSAAF、AUSF或其他NF)不作限定。进一步的，在一些部署方式中，AAA-P可以与NSSAAF分开部署；在另一些部署方式中，AAA-P可以与NSSAAF(或AUSF)部署在一起。因此，本申请实施例对于AAA-P和NSSAAF(或AUSF)的部署方式不作限定。

图2所示的是AAA-S部署于PLMN网络之外，即UE通过PLMN网络内部的AAA-P提供代理服务，转接AAA-S实现切片认证，同时该AAA-P和NSSAAF(或AUSF)是分开部署的。但是对于其他部署情况，本申请实施例同样适用。

如图2所示，该切片认证方法包括：

201、AMF向NSSAAF发送第一认证请求消息；

相应的，该NSSAAF接收该第一请求消息。

可理解，为便于描述，以下涉及切片的标识信息时，切片的标识信息以S-NSSAI表示。UE的标识信息可以以可公开使用的签约标识(generic public subscription identifier，GPSI)或SUPI表示，但是不应将其理解为对本申请实施例的限定。

可选的，该第一请求消息中携带EAP ID响应、S-NSSAI和UE的标识信息。

可选的，该第一请求消息中携带EAP ID响应、S-NSSAI、UE的标识信息和服务网络名称。

可选的，该第一请求消息中携带EAP ID响应、S-NSSAI、UE的标识信息和AMF ID。

可选的，该第一请求消息中携带EAP ID响应、S-NSSAI、UE的标识信息，服务网络名称和AMF ID。

举例来说，UE的标识信息可以是GPSI或SUPI。

202、响应于所述第一认证请求，所述NSSAAF向UDM发送第二认证请求；

举例来说，该第一认证请求可以是Nssaaf_NSSAA_Authenticate Req消息；该第二认证请求可以是Authentication info Req消息。

203、响应于所述第二认证请求，所述UDM向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果；

举例来说，所述指示信息可以是所述第一认证结果。

举例来说，该指示信息也可以是用于指示是否允许做切片认证。

举例来说，该指示信息还可以用于指示UE在该SN的注册状态。

举例来说，该指示信息还可以用于指示是否需要进行主认证。需要指出的是，主认证可以是5G AKA认证或EAP AKA认证，在此不一一列举。

204、若所述第一认证结果为认证成功，则所述NSSAAF向服务器发送第一协议信息；

举例来说，所述第一协议信息可以是AAA protocol message。

举例来说，该服务器可以是AAA-S服务器。

205、所述NSSAAF接收所述服务器发送的第二协议信息；

举例来说，所述第二协议信息也可以是AAA protocol message。

206、响应于所述第二协议信息，所述NSSAAF向所述AMF发送第三认证请求；

举例来说，该第三认证请求消息可以是Nssaaf_NSSAA_Authenticate Resp消息。

207、响应于所述第三认证请求，所述AMF向所述终端设备发送第一NAS传输消息；

208、所述AMF接收所述UE发送第二NAS传输消息；

209、响应于所述第二NAS传输消息，所述AMF向所述NSSAAF发送第四认证请求；

举例来说，该第四认证请求消息可以是Nssaaf_NSSAA_Authenticate Request消息。

210、响应于所述第四认证请求，所述NSSAAF向服务器发送第三协议信息；

举例来说，所述第三协议信息可以是AAA protocol message。

211、所述NSSAAF接收所述服务器发送的第四协议信息；

举例来说，所述第四协议信息可以是AAA protocol message。

举例来说，第四协议信息用于表征切片认证的成功或者失败。可以理解的是在收到第四协议信息之前，切片认证过程可能包括多轮类似步骤205-210的交互。

举例来说，所述第四协议信息中可能包括切片认证的结果，比如认证成功或认证失败。

212、响应于所述第四协议信息，所述NSSAAF向所述AMF发送第二认证结果。

举例来说，所述NSSAAF向所述AMF发送Nssaaf_NSSAA_Authenticate Resp消息。其中，所述第二认证结果可以携带在Nssaaf_NSSAA_Authenticate Resp消息中。

举例来说，如果第四协议信息携带的切片认证结果为认证成功，则所述NSSAAF向所述AMF发送的第二认证结果为认证成功(或切片认证成功)。可以理解的是，该第二认证结果用于表征切片认证的结果。表征的方式有很多，比如success表征认证成功，failure表征认证失败。True表征认证成功，false表征认证失败等等。

举例来说，如果第四协议信息携带的切片认证结果为认证失败，则所述NSSAAF向所述AMF发送的第二认证结果为认证失败(或切片认证失败)。

根据上述方案可知，AMF在触发切片认证流程之后，NSSAAF会与UDM交互以确定UE是否成功的进行了主认证，如果成功UE已经成功的进行了主认证，那么NSSAAF会继续后续的切片认证流程，否则将会拒绝进行切片认证。通过上述技术方案，可以防止AMF绕过主认证对归属网络进行攻击，从而保证了切片认证的安全性。需要指出的是，在UE没有通过主认证的情况下，如果AMF发起切片认证，那么后续会消耗很归属网络的信令资源，但是最终切片认证会失败。因此，在进行切片认证之前进行主认证的认证状态，可以提高切片认证的效率以及安全性。

在本发明的另一个实施例中，在步骤201之前，AMF可以从UDM中获取UE的标识为S-NSSAI的切片的签约信息。AMF可以根据UE待接入的切片的标识信息和/或该UE关于该切片的签约信息来确定是否需要执行对该切片的切片认证。如果需要执行对该切片的切片认证，AMF向UE发送用于切片认证的可扩展身份验证协议(extensible authentication protocol，EAP)ID请求(request)；相应的，该UE接收该用于切片认证的EAP ID请求， UE向AMF发送EAP ID响应(response)。如果不需要执行对该切片的切片认证，则该AMF可以向UE直接发送拒绝接入该切片的消息等。另外，如果该AMF记录(或存储)了UE已经完成过针对该切片的切片认证，则直接允许UE接入该切片。或者进一步的，如果该AMF记录(或存储)了UE已经完成过针对该切片的切片认证且认证的时间再有效期内，则直接允许UE接入该切片。

其中，需要指出的是，EAP是由国际标准组织-国际互联网工程任务组(internet engineering task force，IETF)制定。该EAP ID请求可以承载于3GPP网络中的非接入层(non access stratum，NAS)消息中，该NAS消息中还可以携带切片的标识信息如S-NSSAI，该S-NSSAI可以用于表示该EAP ID请求是针对该S-NSSAI的切片认证请求。

在本发明的另一个实施例中，如图3所示，图3是在图2基础上，优化了步骤201和202，以及增加了NSSAAF的判断步骤301。其中，步骤201，202以及301具体包括：

201、AMF向NSSAAF发送第一认证请求消息，其中，所述第一认证请求包括服务网络名称SNN；

可以理解的都是，第一认证请求消息也可以是缩写为第一认证请求。同理，后续的第二认证请求消息也可以缩写为第二认证请求，在此不一一列举。

可选的，该第一请求消息中还可以携带EAP ID响应、S-NSSAI和UE的标识信息。

可选的，该第一请求消息中还可以携带EAP ID响应、S-NSSAI、UE的标识信息和AMF ID。

举例来说，UE的标识信息可以是GPSI或SUPI。

301、所述NSSAAF判断所述SNN和期望的SNN是否一致；

其中，需要指出的是，所述第一认证请求消息中还包括令牌token。其中，该令牌token是NRF为所述AMF生成的。另外，可选的，该NSSAAF还可以根据所述AMF的ID从所述NRF获取与所述AMF ID对应的token。

举例来说，若所述token里面包括所述期望的SNN，则NSSAAF将所述token里面的SNN与所述第一认证请求中的SNN进行匹配。

举例来说，若所述token里面包括SN ID，则所述NSSAAF判断所述SNN和期望的SNN是否一致，包括：所述NSSAAF判断所述token里面的SN ID与所述第一认证请求中的SNN的SNID是否一致。可以理解的是SNN包括前缀码和SNID。比如前缀码可以是字符串“5G”，“5G AKA”或“5G EAP AKA”等。举例来说，SN ID可以是PLMN ID。

202、如果所述SNN和所述期望的SNN一致，则所述NSSAAF向UDM发送第二认证请求；

其中，需要指出的是，所述SNN和所述期望的SNN一致，包括：所述SNN和所述期望的SNN一致完全一致。当然，也包括：前N个bit位的字符串完全一致或者截取的相同位置的相同长度的字符串完全一致，其中，N为正整数。

可选的，所述方法还包括：如果所述SNN和所述期望的SNN不一致，则NSSAAF向所述AMF发送停止认证的指示。

另外，在本发明的一种实现方式中，在主认证过程中或主认证结束之后，UDM或者AUSF可以将认证结果发送给NSSAAF，NSSAAF会保存该认证结果。然后，在NSSAAF收到第一认证请求之后，NSSAAF就可以直接根据该认证结果确定是否向服务器发送第一协议信息，而不用在与UDM交互以获取所述认证结果。

通过上述技术方案可知，NSSAAF可以判断AMF所述使用的SNN是否合法，如果SNN不合法，则提前终止该切片认证的流程，从而防止信令资源的浪费。

在本发明的另一个实施例中，如图4所示，图5是在图2或图3基础上，优化了步骤202，步骤203，以及增加UDM的判断步骤401。其中，步骤202，203以及401具体包括：

202、响应于所述第一认证请求，所述NSSAAF向UDM发送第二认证请求，其中所述第二认证请求包括所述AMF ID；

401、所述UDM判断所述AMF的标识与终端设备的安全上下文状态中的AMF的实例标识是否相同；

其中，需要指出的是，如果在AMF触发切片认证之前，UE与核心网成功的进行了双向认证(主认证)，那么AMF会将终端设备的安全上下文状态发送给UDM，UDM会保存该终端设备的安全上下文状态，其中，该终端设备的安全上下文状态包括所述AMF的实例标识。

203、如果所述AMF的标识与终端设备的安全上下文状态中的AMF的实例标识相同，所述UDM向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果；

举例来说，所述指示信息可以是所述第一认证结果。第一认证结果可以是主认证的认证结果(即UE与核心网的双向认证的结果)。举例来说，该认证结果可以是成功或失败或未进行认证。比如success标识成功，failure标识失败或未认证。比如True标识成功，False标识失败或未认证。比如1标识成功，0标识失败或未认证。标识成功或者失败的方法有很多，在此不做限制也不一一例举。

举例来说，该指示信息还可以用于指示UE在该SN的注册状态。

通过上述技术方案，归属网络可以判断发起切片认证的AMF是否是合法的AMF，如果是合法的AMF就发送所述指示信息。如果不是合法的AMF就拒绝执行后续切片认证流程，从而可以防止浪费归属网络的资源。其中，需要指出的是，UDM以及NSSAF属于归属网络，AMF属于服务网络。

在本发明的另一个实施例中，如图5所示，图5是在图2至图4任一附图的基础上，优化了步骤202，步骤203，以及增加UDM的判断步骤501。其中，步骤202，203以及501具体包括：

202、响应于所述第一认证请求，所述NSSAAF向UDM发送第二认证请求，其中所述第二认证请求包括所述AMF的服务网络名称；

501、所述UDM确定是否存在与所述服务网络名称匹配的认证结果；

举例来说，UDM可以根据服务网络名称遍历数据库以确定搜索结果，若搜索结果为空，则证明没有雨服务网络名称匹配的认证结果；若搜索结果不为空，则存在与所述服务网络名称匹配的认证结果。

203、若存在与所述服务网络匹配的认证结果且所述认证结果为认证成功，所述UDM向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果；

举例来说，所述指示信息可以是所述第一认证结果(即与服务网络匹配的认证结果)。第一认证结果可以是主认证的认证结果(即UE与核心网的双向认证的结果)。举例来说，该认证结果可以是成功或失败或未进行认证。比如success标识成功，failure标识失败或未认证。比如True标识成功，False标识失败或未认证。比如1标识成功，0标识失败或未认证。标识成功或者失败的方法有很多，在此不做限制也不一一例举。

举例来说，该指示信息还可以用于指示UE在该SN的注册状态。

可以理解的是，若存在与服务网络名称匹配的认证结果，说明UE已经通过了主认证，那么此时执行切片认证是合法的。通过上述判断流程，就可以排除潜在的风险，从而提高认证的安全性，防止浪费归属网络的信令资源。

举例来说，认证成功可以用success来表示，认证失败可以用failure来表示。

举例来说，认证成功可以用True来表示，认证失败可以用False来表示。

举例来说，认证成功可以用于1来表示，认证失败可以有0来表示。

另外，需要指出的是，表征认证成功或认证失败的方法有很多，本发明再次不做限制也不一一列举。

另外，可选的，在附图2-5任一附图的基础上，还包括用户标识的隐私保护的方法。具体方法包括：所述第二认证请求中携带所述用户设备的第一标识；所述UDM接收到所述第二认证请求之后，所述UDM根据所述获取所述用户设备的第二标识；所述UDM向所述NSSAAF发送所述第二标识。可选的，在本发明的另一种实现方式中，所述方法还包括：所述NSSAAF接收所述第二百事，并保存所述第一标识与所述第二标识的映射关系。

需要指出的是，保存第一标识和第一标识的映射关系之后，NSSAAF就可以利用第二标识与外部的服务器或数据网络进行交互从而防止第一标识泄露，当NSSAAF收到外部服务器发送的第二标识，就可以获得与第二标识对应的第一标识，然后利用第一标识与核心网内部的网元进行交互，从而保证核心网内部网元之间的高效通信。举例来说，当第一标识是SUPI时，所述第二标识为GPSI；举例来说，当第一标识为GPSI时，第二标识为GPSI*。

另外，可选的，在附图2-5任一附图的基础上，还包括切片认证结果的存储方法。具体的，NSSAAF完成终端设备的切片认证之后，会向UDM发送切片认证的状态(比如认证成功或失败)，UDM会保存所述切片认证的状态。需要指出的是，后续其他网络可与UDM交互以查询所述切片认证的状态，然后根据切片认证的状态执行其他的流程或者发起其他的业务。具体的，举例来说，所述方法具体包括：所述NSSAAF向所述UDM发送认证结果确认消息，所述认证结果确认消息包括所述第二认证结果，所述UDM保存所述第二认证结果。可选的，所述认证结果确认消息还包括SUPI/GPSI，S-NSSAI，和或服务网络名称。相应地，UDM也会保存所述SUPI/GPSI，S-NSSAI，和或服务网络名称。

以下详细介绍本申请提供的通信装置。

图6是本申请实施例提供的一种通信装置的结构示意图，该通信装置可以是上述实施例中的AMF，也可以是UDM，还可以是NSSAAF。具体的，该通信装置包括收发单元601和处理单元602。其中所述处理单元602与所述收发单元601耦合，处理单元602可通过收发单元601进行数据的接收和发送。

示例性的，该通信装置可以用于执行图2至图5任一项由NSSAAF执行的操作。

处理单元602，用于接收AMF发送的第一认证请求；响应于所述第一认证请求，向UDM发送第二认证请求；接收所述UDM发送的指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果；若所述第一认证结果为认证成功，则向服务器发送第一协议信息；接收所述服务器发送的第二协议信息；响应于所述第二协议信息，向AMF发送第三认证请求；接收所述AMF发送的第四认证请求；响应于所述第四认证请求，向服务器发送第三协议信息；接收所述服务器发送的第四协议信息；响应于所述第四协议信息，向所述AMF发送第二认证结果。

可选的，所述第二认证请求中携带所述用户设备的第一标识；所述处理单元602，还用于接收所述UDM发送的第二标识；并保存所述第一标识与所述第二标识的映射关系。

可选的，所述第一认证请求包括服务网络名称SNN；所述处理单元602，还用于判断所述SNN和期望的SNN是否一致；如果所述SNN和所述期望的SNN一致，则所述NSSAAF向UDM发送第二认证请求。

示例性的，该通信装置可以用于执行图2至图5任一项由UDM执行的操作。

所述处理单元602，用于接收NSSAAF发送的第二认证请求；响应于所述第二认证请求，向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果。

可选的，所述第二认证请求中携带所述AMF的服务网络名称；所述处理单元602，还用于确定是否存在与所述服务网络名称匹配的认证结果；所述处理单元602，具体用于若存在与所述服务网络匹配的认证结果且所述认证结果为认证成功，则向所述NSSAAF发送所述指示信息。可选的，所述处理单元602，还用于若不存在与所述服务网络名称相匹配的认证结果，则向所述NSSAAF发送用于指示停止认证的消息。

可选的，所述第二认证请求中携带所述用户设备的第一标识SUPI；所述处理单元，还用于根据所述第一标识获取所述用户设备的第二标识；向所述NSSAAF发送所述第二标识。

可选的，所述第二认证请求包括所述AMF ID；所述处理单元602，还用于判断所述AMF的标识与终端设备的安全上下文状态中的AMF的实例标识是否相同；如果所述AMF的标识与终端设备的安全上下文状态中的AMF的实例标识相同，则向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果。

可选的，其中所述第二认证请求包括所述AMF的服务网络名称；所述处理单元602，还用于确定是否存在与所述服务网络名称匹配的认证结果；若存在与所述服务网络匹配的认证结果且所述认证结果为认证成功，则向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果。

如图7所示，需要理解的是，处理单元602可以是一个或多个处理器702，收发单元601可以是收发器701，或者收发单元601还可以是发送单元和接收单元，发送单元可以是发送器，接收单元可以是接收器，该发送单元和接收单元集成于一个器件，例如收发器。

如图8所示，当上述通信装置是电路系统如芯片时，处理单元602可以是一个或多个处理器，或者处理单元602可以是处理电路802等。收发单元601可以是输入输出接口，又或者称为通信接口，或者接口电路801，或接口等等。或者收发单元601还可以是发送单元和接收单元，发送单元可以是输出接口，接收单元可以是输入接口，该发送单元和接收单元集成于一个单元，例如输入输出接口。

举例来说，收发器可以包括接收机和发射机，该接收机用于执行接收的功能(或操作)，该发射机用于执行发射的功能(或操作)。以及收发器用于通过传输介质和其他设备/装置进行通信。处理器通过收发器收发数据和/或信令，并用于实现上述方法实施例中图2至图5所述的相应的方法等。

举例来说，通信装置还可以包括一个或多个存储器703，用于存储程序指令和/或数据。存储器703和处理器702耦合。

本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器702可能和存储器703协同操作。处理器702可能执行存储器703中存储的程序指令。可选的，上述一个或多个存储器中的至少一个可以包括于处理器中。

本申请实施例中不限定上述收发器701、处理器702以及存储器703之间的具体连接介质。本申请实施例在图7中以存储器703、处理器702以及收发器701之间通过总线704连接，总线在图7中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成等。

可理解，以上所示的处理器和收发器所执行的方法仅为示例，对于该处理器和收发器具体所执行的步骤可参照上文介绍的方法。

可理解，以上关于处理器、收发器和存储器之间连接关系的说明，以及该处理器或收发器的说明等，以下示出的核心设备均适用。例如，通信装置为AMF、UDM或NSSAAF中的任一种时，对于处理器、收发器和存储器之间连接关系的说明，以及该处理器或收发器的说明等，以下示出的各通信装置均适用。

在另一些实现方式中，上述通信装置可以为电路系统。该情况下，上述处理单元602可以用处理电路实现，收发单元701用接口电路实现。如图8所示，通信装置可以包括处理电路802和接口电路801。该处理电路802可以为芯片、逻辑电路、集成电路、处理电路或片上系统(system on chip，SoC)芯片等，接口电路801可以为通信接口、输入输出接口等。

可理解，对于处理电路和接口电路的具体实现方式，可参考图2至图5所示的方法。

在本申请实施例中，处理电路可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。可理解，对于处理电路的说明，以下示出的电路系统均适用。

可理解，以上所示的接口电路和处理电路所执行的方法仅为示例，对于该接口电路和处理电路具体所执行的步骤可参照上文介绍的方法。

图9是本申请实施例提供的一种无线通信系统的示意图，如图9所示，该无线通信系统可以包括AMF，NSSAAF和UDM。该系统可执行图2至图5所对应的方法，这里不再详述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例提供的方案的技术效果。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个可读存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括：U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

此外，本申请还提供一种计算机程序，该计算机程序用于实现本申请提供的图2至5中任一网元(AMF，NSSAAF或UDM)执行的操作和/或处理。

本申请还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机代码，当计算机代码在计算机上运行时，使得计算机执行图2至图5任一网元执行的操作和/或处理。

本申请还提供一种计算机程序产品，该计算机程序产品包括计算机代码或计算机程序，当该计算机代码或计算机程序在计算机上运行时，使得本申请中图2至图5任一网元所对应的方法被执行执行的操作和/或处理被执行。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种切片认证方法，其特征在于，所述方法包括：

接入和移动性管理功能AMF向特定网络切片的认证和授权功能NSSAAF发送第一认证请求；

响应于所述第一认证请求，所述NSSAAF向统一数据管理网元UDM发送第二认证请求；

响应于所述第二认证请求，所述UDM向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备在服务网络的第一认证结果；

若所述第一认证结果为认证成功，则所述NSSAAF向服务器发送第一协议信息；

所述NSSAAF接收所述服务器发送的第二协议信息；

响应于所述第二协议信息，所述NSSAAF向所述AMF发送第三认证请求；

响应于所述第三认证请求，所述AMF向所述终端设备UE发送第一非接入层NAS传输消息；

所述AMF接收所述UE发送第二NAS传输消息；

响应于所述第二NAS传输消息，所述AMF向所述NSSAAF发送第四认证请求；

响应于所述第四认证请求，所述NSSAAF向所述服务器发送第三协议信息；

所述NSSAAF接收所述服务器发送的第四协议信息；

响应于所述第四协议信息，所述NSSAAF向所述AMF发送第二认证结果。
根据权利要求1所述的方法，其特征在于，所述第二认证请求中携带所述AMF的服务网络名称；

所述UDM向所述NSSAAF发送指示信息之前，所述方法还包括：

所述UDM确定是否存在与所述服务网络名称匹配的认证结果。

所述UDM向所述NSSAAF发送指示信息，包括：

若存在与所述服务网络匹配的认证结果且所述认证结果为认证成功，则所述UDM向所述NSSAAF发送所述指示信息。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

若不存在与所述服务网络名称相匹配的认证结果，则所述UDM向所述NSSAAF发送用于指示停止认证的消息。
根据权利要求1至3任一所述的方法，其特征在于，所述第二认证请求中携带所述用户设备的第一标识；所述方法还包括：

所述UDM根据所述第一标识获取所述用户设备的第二标识；

所述UDM向所述NSSAAF发送所述第二标识。
根据权利要求4所述的方法，其特征在于，所述方法还包括：

所述NSSAAF接收所述第二标识，并保存所述第一标识与所述第二标识的映射关系。
一种切片认证系统，其特征在于，所述系统包括：

AMF，用于向NSSAAF发送第一认证请求；

所述NSSAAF，用于响应于所述第一认证请求，向UDM发送第二认证请求；

所述UDM，用于响应于所述第二认证请求，向所述NSSAAF发送指示信息，所述指示信息用于指示终端设备UE在服务网络的第一认证结果；

所述NSSAAF，用于若所述第一认证结果为认证成功，则向服务器发送第一协议信息；接收所述服务器发送的第二协议信息；响应于所述第二协议信息，向所述AMF发送第三认证请求；

所述AMF，用于响应于所述第三认证请求，向所述UE发送第一NAS传输消息；接收所述UE发送第二NAS传输消息；响应于所述第二NAS传输消息，向所述NSSAAF发送第四认证请求；

所述NSSAAF，还用于响应于所述第四认证请求，向所述服务器发送第三协议信息；接收所述服务器发送的第四协议信息；响应于所述第四协议信息，则向所述AMF发送第二认证结果。
根据权利要求6所述的系统，其特征在于，所述第二认证请求中携带所述AMF的服务网络名称；

所述UDM，还用于确定是否存在与所述服务网络名称匹配的认证结果。

所述UDM，具体用于若存在与所述服务网络匹配的认证结果且所述认证结果为认证成功，则向所述NSSAAF发送所述指示信息。
根据权利要求7所述的系统，其特征在于，所述UDM，还用于若不存在与所述服务网络名称相匹配的认证结果，则向所述NSSAAF发送用于指示停止认证的消息。
根据权利要求6至8任一所述的系统，其特征在于，所述第二认证请求中携带所述用户设备的第一标识；

所述UDM，还用于根据所述第一标识获取所述用户设备的第二标识；向所述NSSAAF发送所述第二标识。
根据权利要求9所述的方法，其特征在于，所述NSSAAF，还用于接收所述第二标识，并保存所述第一标识与所述第二标识的映射关系。