WO2022001474A1

WO2022001474A1 - 网络切片连接管理方法、终端及计算机可读存储介质

Info

Publication number: WO2022001474A1
Application number: PCT/CN2021/095283
Authority: WO
Inventors: 屠丁元; 符兵
Original assignee: 中兴通讯股份有限公司
Priority date: 2020-06-28
Filing date: 2021-05-21
Publication date: 2022-01-06
Also published as: EP4092987A4; US20230143835A1; CN117118841A; CN113852483A; EP4092987A1; CN113852483B

Abstract

一种网络切片连接管理方法、终端及计算机可读存储介质。其中，网络切片连接管理方法包括：获取终端应用在发起网络切片连接请求的情况下所发出的连接请求信息(S100)；对发起网络切片连接请求的终端应用进行鉴权处理(S200)；当终端应用通过鉴权处理，根据连接请求信息使终端应用连接网络切片(S300)。

Description

网络切片连接管理方法、终端及计算机可读存储介质

相关申请的交叉引用

本申请基于申请号为202010600448.2、申请日为2020年06月28日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请实施例涉及但不限于通信技术领域，尤其涉及一种网络切片连接管理方法、终端及计算机可读存储介质。

背景技术

网络切片作为5G网络的重要技术，可以让运营商在一个硬件基础设施中划分出多个虚拟的端到端网络，每个网络切片在终端、接入网、传输网以及核心网方面实现逻辑隔离，能够适配各种类型服务并满足用户的不同需求。

网络切片功能的端到端的实施，需要5G终端和5G网络的共同参与，并且，5G终端和5G网络之间的网络切片的安全机制，是实现网络切片功能的至关重要的一点。然而，目前业界和标准规范里所聚焦的往往是网络切片在接入网、承载网和核心网中的隔离与安全，尚未考虑终端的上层应用在接入和使用网络切片时的安全保障，因此会存在其他不合规范的终端应用对网络切片的冒用，或者对网络切片的自身业务进行干扰的风险。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本申请实施例提供了一种网络切片连接管理方法、终端及计算机可读存储介质。

第一方面，本申请实施例提供了一种网络切片连接管理方法，包括：获取终端应用在发起网络切片连接请求的情况下所发出的连接请求信息；对发起网络切片连接请求的所述终端应用进行鉴权处理；当所述终端应用通过鉴权处理，根据所述连接请求信息使所述终端应用连接网络切片。

第二方面，本申请实施例还提供了一种终端，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上第一方面所述的网络切片连接管理方法。

第三方面，本申请实施例还提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行如上所述的网络切片连接管理方法。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本申请技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。

图1是本申请一个实施例提供的用于执行网络切片连接管理方法的系统架构的示意图；

图2是本申请一个实施例提供的网络切片连接管理方法的流程图；

图3是本申请另一实施例提供的网络切片连接管理方法的流程图；

图4是本申请另一实施例提供的网络切片连接管理方法的流程图；

图5是本申请另一实施例提供的网络切片连接管理方法的流程图；

图6是本申请另一实施例提供的网络切片连接管理方法的流程图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。

需要说明的是，虽然在装置示意图中进行了功能模块划分，在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于装置中的模块划分，或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

本申请实施例提供了一种网络切片连接管理方法、终端及计算机可读存储介质，在接收到由于终端应用发起网络切片连接请求而发出的连接请求信息时，首先对发起网络切片连接请求的该终端应用进行鉴权处理，只有在该终端应用通过鉴权处理的情况下，才根据该连接请求信息使该终端应用连接网络切片，因此，可以防止其他不合规范的终端应用对网络切片的冒用或者攻击，从而可以补全现有5G网络的安全机制所缺乏的关于终端的上层应用在接入和使用网络切片时的安全保障。

下面结合附图，对本申请实施例作进一步阐述。

如图1所示，图1是本申请一个实施例提供的用于执行网络切片连接管理方法的系统架构的示意图。在图1的示例中，该系统架构100包括相互连接的应用处理器110和基带处理器120。其中，应用处理器110中设置有应用管理认证模块111和切片业务处理模块112，此外，应用处理器110中还安装有各种终端应用；基带处理器120中设置有切片功能处理模块121。其中，每个终端应用均连接于应用管理认证模块111，应用管理认证模块111、切片业务处理模块112和切片功能处理模块121依次连接。

应用管理认证模块111用于对发起网络切片连接请求的终端应用进行判别，当发现对应的终端应用需要执行授权认证时，要求该终端应用向服务器发起认证操作或者执行本地的认证操作，只有认证成功后才允许将该终端应用发出的连接请求信息传递给切片业务处理模块112。切片业务处理模块112用于在接收到由应用管理认证模块111传递过来的连接请求信息之后，解析该连接请求信息中的请求参数，然后将该请求参数传递到切片功能处理模块121。切片功能处理模块121用于在接收到由切片业务处理模块112传递过来的请求参数之后，根据这些请求参数执行终端路由选择策略(UE Route Selection Policy，URSP)规则的匹配，选择出对应的网络切片标识(S-NSSAI)，然后利用该网络切片标识向网络侧申请建立对应的网络切片的协议数据单元(Protocol Data Unit，PDU)会话，如果当前网络切片的PDU会话已存在，则将由当前终端应用发出的连接请求信息绑定到对应的PDU会话上，以使得当前终端应用能够直接使用该PDU会话。值得注意的是，服务器由提供网络切片业务的运营商维护，主要用于执行终端应用的网络切片业务的授权认证和信息更新，针对需要授权认证的终端应用，只有在该终端应用成功执行和服务器之间的认证后，才允许受理该终端应用在终端上发起的网络切片连接请求。

本申请实施例描述的系统架构以及应用场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域技术人员可知，随着系统架构的演变和新应用场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本领域技术人员可以理解的是，图1中示出的系统架构100的结构并不构成对本申请实施例的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

在图1所示的系统架构100中，终端应用、应用管理认证模块111、切片业务处理模块112和切片功能处理模块121之间可以配合执行网络切片连接管理方法。

基于上述系统架构的结构，提出本申请的网络切片连接管理方法的各个实施例。

如图2所示，图2是本申请一个实施例提供的网络切片连接管理方法的流程图，该网络切片连接管理方法包括但不限于有步骤S100、步骤S200和步骤S300。

步骤S100，获取终端应用在发起网络切片连接请求的情况下所发出的连接请求信息。

在一实施例中，当用户在终端中启用终端应用时，如果该终端应用支持5G网络的网络切片业务，则该终端应用会发起网络切片连接请求，并同时发出连接请求信息，使得在后续步骤中当该连接请求信息被接受时，终端可以根据该连接请求信息向网络侧申请连接网络切片。

在一实施例中，终端应用在发起网络切片连接请求时所发出的连接请求信息，可以携带有与该终端应用对应的应用特征信息，其中，该应用特征信息包括用于选择网路切片的网络切片选择参数信息和用于验证该终端应用是否被授权使用对应网络切片的特征参数信息等，该网络切片选择参数信息包括但不限于有数据网络名称(Data Network Name，DNN)、全称域名(Full Qualified Domain Name，FQDN)、终端应用标识(Application ID)和IP三元组等参数信息。该特征参数信息包括但不限于有鉴权过程中的授权信息、应用名称和应用包名(Package Name)等。值得注意的是，网络切片选择参数信息也可以用于对终端应用进行鉴权处理。

步骤S200，对发起网络切片连接请求的终端应用进行鉴权处理。

在一实施例中，在终端应用发起网络切片连接请求的情况下，先对该终端应用进行鉴权处理，使得后续步骤能够仅为通过了鉴权处理的终端应用申请接入网络切片，从而能够防止其他不合规范的终端应用对网络切片的冒用或者攻击。

在一实施例中，对终端应用进行鉴权处理，可以有不同的实施方式，本实施例对此并不作具体限定。例如，终端中可以预先保存通过服务器的授权认证的终端应用列表，或者预先保存与通过服务器的授权认证的终端应用对应的特征信息列表，当终端应用匹配到该终端应用列表中的内容或者匹配到该特征信息列表中的内容，即可认为该终端应用通过了鉴权处理，反之，则认为该终端应用没有通过鉴权处理。又如，当需要对终端应用进行鉴权处理时，可以使该终端应用与服务器之间进行基于Token(令牌)的身份验证或数字签名等鉴权处理。再如，可以通过判断该终端应用是否携带有签名认证信息而对该终端应用进行鉴权认证。

步骤S300，当终端应用通过鉴权处理，根据连接请求信息使终端应用连接网络切片。

在一实施例中，当终端应用通过鉴权处理，则说明该终端应用属于合规范的终端应用，用户可以享受该终端应用连接网络切片的业务，因此，可以根据由该终端应用在发起网络切片连接请求时所发出的连接请求信息而使该终端应用连接至对应的网络切片。由于仅对通过鉴权处理的终端应用执行网络切片的接入，因此能够防止其他不合规范的终端应用对网络切片的冒用或者攻击。

在一实施例中，在根据连接请求信息使终端应用连接网络切片时，由于连接请求信息中携带有DNN、FQDN、终端应用名称和IP三元组等参数信息，因此可以利用这些参数信息执行网络切片的URSP规则匹配，从而可以选择出对应的网络切片标识，并且利用该网络切片标识向网络侧申请建立对应的网络切片的PDU会话，如果该网络切片的PDU会话已存在，则将由该终端应用发出的连接请求信息绑定到该PDU会话上，成功返回后，该终端应用即可使用该网络切片的PDU会话，从而实现该终端应用对网络切片的接入操作。

在一实施例中，当终端注册到网络后，根据终端和服务器之间所确定的默认业务，终端应用可以使用默认的网络切片与网络侧进行数据交互，此外，根据终端和服务器之间所确定的增值业务，终端应用还可以向网络侧申请特定的专用网络切片。针对上述情况，如果终端应用所发起的网络切片连接请求是针对默认网络切片的PDU会话请求，由于默认网络切片是根据终端和服务器之间所确定的默认业务而提供的，因此可以默认终端的终端应用均是通过了授权认证的，所以，可以直接根据由终端应用所发出的连接请求信息执行URSP规则匹配，如果URSP规则中将该针对默认网络切片的PDU会话请求匹配到默认网络切片的网络切片标识，则利用该网络切片标识向网络侧发起默认网络切片的PDU会话请求，或者把该连接请求信息绑定到已存在的默认网络切片的PDU会话上。值得注意的是，如果URSP规则中未能将该针对默认网络切片的PDU会话请求匹配到任何网络切片标识，则可以向网络侧发起普通的非网络切片的PDU会话建立请求，或者把该连接请求信息绑定到已存在的默认的非网络切片的普通PDU会话上。

在一实施例中，通过采用包括有上述步骤S100、步骤S200和步骤S300的网络切片连接管理方法，使得在接收到由于终端应用发起网络切片连接请求而发出的连接请求信息时，首先对发起网络切片连接请求的该终端应用进行鉴权处理，只有在该终端应用通过鉴权处理的情况下，才根据该连接请求信息使该终端应用连接网络切片，因此，可以防止其他不合规范的终端应用对网络切片的冒用或者攻击，从而可以补全现有5G网络的安全机制所缺乏的关于终端的上层应用在接入和使用网络切片时的安全保障，真正的保证了网络切片的端到端的安全连接。

另外，在一实施例中，参照图3，步骤S200可以包括但不限于有以下步骤：

步骤S210，当连接请求信息中的应用特征信息匹配到终端所保存的特征信息列表，确定终端应用通过鉴权处理；其中，特征信息列表包括与经过服务器授权的终端应用对应的授权应用特征信息。

在一实施例中，终端可以预先保存与通过服务器的授权认证的终端应用对应的特征信息列表，当连接请求信息中的应用特征信息能够匹配到该特征信息列表，即，在连接请求信息中的应用特征信息能够与该特征信息列表中的授权应用特征信息相匹配的情况下，即可认为该终端应用通过了鉴权处理，因此，可以在后续步骤中对该通过了鉴权处理的终端应用执行连接网络切片的处理时，防止其他不合规范的终端应用对网络切片的冒用或者攻击。

在一实施例中，终端中所保存的包括有授权应用特征信息的特征信息列表，可以在终端完成与网络的注册操作后，向服务器请求获得，或者与服务器协商获得。例如，终端可以向服务器发送终端所支持的所有终端应用或者某些特定的终端应用的应用信息更新请求信息，接着服务器从这些终端应用中确定经过授权的能够使用网络切片的终端应用，形成包括有授权应用特征信息的特征信息列表，并向终端发送该特征信息列表。此外，该特征信息列表还可以在终端应用发起网络切片连接请求之后，在执行连接网络切片的处理之前，向服务器请求获得，或者与服务器协商获得。针对包括有授权应用特征信息的特征信息列表的获取方式，本实施例并不作具体限定。

另外，在一实施例中，参照图4，该网络切片连接管理方法还可以包括但不限于有以下步骤：

步骤S400，向服务器发送已授权的目标终端应用的应用信息更新请求信息；

步骤S500，获取并保存由服务器根据应用信息更新请求信息发送的特征信息列表。

在一实施例中，目标终端应用可以为终端中的经过服务器授权的所有终端应用，也可以为终端中的经过服务器授权的某一个或某些终端应用，本实施例对此并不作具体限定。例如，如果终端在鉴权过程中无法确定某个终端应用在本地保存的应用特征信息是否正确，则可以向服务器查询并请求更新该终端应用的应用特征信息。

在一实施例中，终端中所保存的包括有授权应用特征信息的特征信息列表，可以在终端完成与网络的注册操作后，向服务器请求获得。

当目标终端应用为终端中的经过服务器授权的所有终端应用，那么，当终端成功注册5G网络之后，终端可以与对应的服务器进行交互，向服务器发送已经过授权的所有终端应用的应用信息更新请求信息，而服务器则可以根据该应用信息更新请求信息，确定对应的授权终端应用以及与该授权终端应用对应的授权应用特征信息，然后根据该授权终端应用和对应的授权应用特征信息形成特征信息列表，并向终端发送该特征信息列表，当终端接收到该特征信息列表后，终端可以保存该特征信息列表，以便于后续步骤中可以利用该特征信息列表对发起网络切片连接请求的终端应用进行鉴权处理。

当目标终端应用为终端中的经过服务器授权的某一个或某些终端应用，那么，当终端成功注册5G网络之后，终端可以与对应的服务器进行交互，向服务器发送已经过授权的某一个或某些终端应用的应用信息更新请求信息，而服务器则可以根据该应用信息更新请求信息，确定对应的授权终端应用以及与该授权终端应用对应的授权应用特征信息，然后根据该授权终端应用和对应的授权应用特征信息形成特征信息列表，并向终端发送该特征信息列表，当终端接收到该特征信息列表后，终端可以保存该特征信息列表，以便于后续步骤中可以利用该特征信息列表对发起网络切片连接请求的终端应用进行鉴权处理。

在一实施例中，特征信息列表中的授权应用特征信息，用于区分并认证授权使用对应网络切片的某一具体的终端应用，该授权应用特征信息包括但不限于有用于标记终端应用的属性的应用名称(APP ID)、应用包名(应用包名可以和终端的用户账号相对应)、应用允许使用的网络切片请求接入参数(例如DNN、FQDN、Application ID和IP三元组等参数信息)以及应用特征值。其中，特征信息列表中的授权应用特征信息的种类，可由服务端进行控制更改，并通知终端随时更新，而终端也可以在需要的时候请求服务端进行更新，本实施例对此并不作具体限定。值得注意的是，应用特征值为由服务器和终端应用预先协商的认证参数，服务器和终端可互相定期更新该应用特征值，也可在预先执行完终端应用的鉴权认证后，服务器和终端互相存储，只有当终端应用发出的连接请求信息中携带的应用特征信息和终端中保存的应用特征值相匹配时，才认为对应的终端应用是经过授权认证的。

另外，在一实施例中，参照图5，该网络切片连接管理方法还可以包括但不限于有以下步骤：

步骤S600，与服务器协商确定特征信息列表；

步骤S700，保存特征信息列表。

在一实施例中，终端中所保存的包括有授权应用特征信息的特征信息列表，还可以在终端完成与网络的注册操作后，与服务器协商获得。当终端成功注册5G网络之后，终端可以预先与服务器协商确定包括有授权应用特征信息的特征信息列表，并且终端预置有该特征信息列表，当终端无法从服务器中获取特征信息列表时，终端可以利用预置的特征信息列表对发起网络切片连接请求的终端应用进行鉴权处理，避免出现由于无法从服务器中获取特征信息列表而无法对终端应用进行鉴权处理的问题，从而能够保证用户对网络切片的使用需求，提高用户的使用体验。

另外，在一实施例中，参照图6，步骤S200还可以包括但不限于有以下步骤：

步骤S220，与服务器配合对终端应用进行第一次认证处理；

步骤S230，从服务器中获取服务器基于第一次认证处理得到的第一授权认证信息；

步骤S240，从终端应用中获取终端应用基于第一次认证处理得到的第二授权认证信息；

步骤S250，根据第一授权认证信息、第二授权认证信息和连接请求信息中的应用特征信息对终端应用进行鉴权处理。

值得注意的是，本实施例中的步骤S220至步骤S250，与如图3所示实施例中的步骤S210，属于并列的技术方案。

在一实施例中，当终端应用发起网络切片连接请求时，终端可以先挂起该网络切片连接请求，并先与服务器配合对该终端应用进行第一次认证处理，此时，该终端应用会先与对应的服务器进行交互，并完成终端应用与服务器之间的第一次认证处理，当完成第一次认证处理后，服务器会根据该第一次认证处理的结果得到第一授权认证信息，而终端应用也会根据该第一次认证处理的结果得到第二授权认证信息，此时，终端会分别从相互对应的服务器和终端应用中获取第一授权认证信息和第二授权认证信息，并根据第一授权认证信息、第二授权认证信息和连接请求信息中的应用特征信息对该终端应用进行鉴权处理。由于需要使用第一授权认证信息、第二授权认证信息和连接请求信息中的应用特征信息对终端应用进行鉴权处理，因此，即使其他不合规范的终端应用提前获得正规终端应用在请求连接网络切片时的参数信息，但由于该不合规范的终端应用缺乏根据第一次认证处理的结果而得到的第二授权认证信息，因此该不合规范的终端应用会被确定为不通过鉴权处理，所以，由该不合规范的终端应用所发起的网络切片连接请求并不会被接受，从而能够达到防止不合规范的终端应用对网络切片的冒用或者攻击的目的。

在一实施例中，与服务器配合对终端应用进行的第一次认证处理，可以包括数字签名或基于Token的身份验证等鉴权认证方式，此外，第一次认证处理的鉴权认证机制，还可以包括：向服务器发送由用户在购买网络切片服务后所得到的加密后的应用特征信息，由服务器对该应用特征信息进行确认而判断对应的终端应用是否通过鉴权处理。针对第一次认证处理的具体方式，本实施例并不作具体限定。

在一实施例中，与服务器配合对终端应用进行的第一次认证处理，还可以在终端注册到网络后，并在终端应用发起网络切片连接请求之前执行。当终端注册到网络后，终端可以通过默认的PDU会话与服务器率先触发并完成对终端应用的第一次认证处理，并且在完成该第一次认证处理后，预先保存与相应的终端应用对应的第一授权认证信息和第二授权认证信息，以便于当相应的终端应用发起网络切片连接请求时，可以直接从终端中获取对应的第一授权认证信息和第二授权认证信息进行鉴权处理，从而能够节省与服务器配合对该终端应用进行第一次认证处理的时间，提高终端应用连接网络切片的效率，从而提高用户的使用体验。

另外，在一实施例中，步骤S250可以包括但不限于有以下步骤：

当第一授权认证信息、第二授权认证信息和应用特征信息相匹配，确定终端应用通过鉴权处理。

在一实施例中，当终端与服务器配合对终端应用进行第一次认证处理而分别获得第一授权认证信息和第二授权认证信息后，会根据第一授权认证信息、第二授权认证信息和连接请求信息中的应用特征信息对终端应用进行鉴权处理，当第一授权认证信息、第二授权认证信息和应用特征信息相匹配，则可以确定该终端应用通过了鉴权处理，因此，可以在后续步骤中对该通过了鉴权处理的终端应用执行连接网络切片的处理时，防止其他不合规范的终端应用对网络切片的冒用或者攻击。值得注意的是，如果第一授权认证信息、第二授权认证信息和应用特征信息中，任何一个信息与其他信息不匹配，都可以认为该终端应用不通过鉴权处理，从而能够达到防止不合规范的终端应用对网络切片的冒用或者攻击的目的。

另外，在一实施例中，步骤S200还可以包括但不限于有以下步骤：

当终端应用携带有签名认证信息，确定终端应用通过鉴权处理。

值得注意的是，本实施例中的步骤，与如图3所示实施例中的步骤S210，以及如图6所示实施例中的步骤S220至步骤S250，均属于并列的技术方案。

在一实施例中，终端中的所有终端应用，均可以预先由终端进行特殊的应用签名，进行应用签名的机制可以采用一些情况中的现有机制，例如针对安卓系统平台的标准签名机制等，使得终端应用携带有签名认证信息。因此，当终端应用发起网络切片连接请求时，如果检测到该终端应用携带有签名认证信息，则可以确定该终端应用是预先已经通过了鉴权处理的，因此，可以在后续步骤中对该通过了鉴权处理的终端应用执行连接网络切片的处理时，防止其他不合规范的终端应用对网络切片的冒用或者攻击。

值得注意的是，在本实施例中，只有携带有签名认证信息的终端应用所发起的网络切片连接请求，才会被终端接受并执行连接网络切片的处理，对于由没有携带签名认证信息的终端应用所发起的网络切片连接请求，终端会直接返回请求失败信息。

另外，在一实施例中，该网络切片连接管理方法还可以包括但不限于有以下步骤：

当终端应用没有通过鉴权处理，终止终端应用当前发起的网络切片连接请求，或者使终端应用重新发起网络切片连接请求，或者使终端应用连接终端默认网络。

在一实施例中，在一些情况下，当终端应用没有通过鉴权处理，说明该终端应用可能是不合规范的终端应用，为了避免出现不合规范的终端应用对网络切片进行冒用或者攻击的情况，终端可以终止该终端应用当前发起的网络切片连接请求，以保障网络切片的使用安全。另外，在另一些情况下，终端应用没有通过鉴权处理，有可能是因为网络不稳定或者终端运行不稳定而导致鉴权处理失败，在这种情况下，并不能说明该终端应用为不合规范的终端应用，因此，终端可以通知该终端应用重新发起网络切片连接请求，从而可以重新对该终端应用进行鉴权处理，如果通过再次鉴权处理，则可以对该终端应用执行连接网络切片的处理，如果再次鉴权失败，则可以认为该终端应用为不合规范的终端应用。此外，在另一些情况下，终端应用没有通过鉴权处理，有可能是因为该终端应用的权限已经过期而导致鉴权处理失败，在这种情况下，并不能说明该终端应用为不合规范的终端应用，所以，终端可以把该终端应用连接到终端默认网络，以保证用户对该终端应用的正常使用。

当没有通过鉴权处理的终端应用在预设时间段内重新发起的网络切片连接请求的次数超过预设次数，禁止终端应用再次发起网络切片连接请求。

在一实施例中，如果出现由于网络不稳定或者终端运行不稳定而导致终端应用鉴权失败的情况，终端可以允许该终端应用重新发起网络切片连接请求，但是，为了防止不合规范的终端应用进行恶意攻击而干扰符合规范的终端应用的网络切片连接请求，终端可以限制同一终端应用在同一时间段内发起的网络切片连接请求的次数，当没有通过鉴权处理的终端应用在预设时间段内重新发起的网络切片连接请求的次数超过预设次数，则可以认为该终端应用为不合规范的终端应用，并且该终端应用正在进行恶意攻击，所以，终端可以禁止该终端应用再次发起网络切片连接请求，从而能够防止不合规范的终端应用进行恶意攻击而干扰符合规范的终端应用的网络切片连接请求，从而可以保障用户对符合规范的终端应用的正常使用。

另外，本申请的一个实施例还提供了一种终端，该终端包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序。

处理器和存储器可以通过总线或者其他方式连接。

存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器可能包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

需要说明的是，本实施例中的终端，可以包括有如图1所示实施例中的系统架构，本实施例中的终端和如图1所示实施例中的系统架构属于相同的发明构思，因此这些实施例具有相同的实现原理以及技术效果，此处不再详述。

实现上述实施例的网络切片连接管理方法所需的非暂态软件程序以及指令存储在存储器中，当被处理器执行时，执行上述实施例中的网络切片连接管理方法，例如，执行以上描述的图2中的方法步骤S100至S300、图3中的方法步骤S210、图4中的方法步骤S400至S500、图5中的方法步骤S600至S700、图6中的方法步骤S220至S250。

以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

此外，本申请的一个实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个处理器或控制器执行，例如，被上述终端实施例中的一个处理器执行，可使得上述处理器执行上述实施例中的网络切片连接管理方法，例如，执行以上描述的图2中的方法步骤S100至S300、图3中的方法步骤S210、图4中的方法步骤S400至S500、图5中的方法步骤S600至S700、图6中的方法步骤S220至S250。

本申请实施例包括：获取终端应用在发起网络切片连接请求的情况下所发出的连接请求信息；对发起网络切片连接请求的终端应用进行鉴权处理；当终端应用通过鉴权处理，根据连接请求信息使终端应用连接网络切片。根据本申请实施例提供的方案，在接收到由于终端应用发起网络切片连接请求而发出的连接请求信息时，首先对发起网络切片连接请求的该终端应用进行鉴权处理，只有在该终端应用通过鉴权处理的情况下，才根据该连接请求信息使该终端应用连接网络切片，从而可以防止其他不合规范的终端应用对网络切片的冒用或者攻击。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

以上是对本申请的一些实施进行了具体说明，但本申请并不局限于上述实施方式，熟悉本领域的技术人员在不违背本申请范围的前提下还可作出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

Claims

一种网络切片连接管理方法，包括：

获取终端应用在发起网络切片连接请求的情况下所发出的连接请求信息；

对发起网络切片连接请求的所述终端应用进行鉴权处理；

当所述终端应用通过鉴权处理，根据所述连接请求信息使所述终端应用连接网络切片。
根据权利要求1所述的方法，其中，所述连接请求信息包括与所述终端应用对应的应用特征信息，所述对发起网络切片连接请求的所述终端应用进行鉴权处理，包括：

当所述连接请求信息中的所述应用特征信息匹配到终端所保存的特征信息列表，确定所述终端应用通过鉴权处理；其中，所述特征信息列表包括与经过服务器授权的终端应用对应的授权应用特征信息。
根据权利要求2所述的方法，其中，还包括：

向服务器发送已授权的目标终端应用的应用信息更新请求信息；

获取并保存由服务器根据所述应用信息更新请求信息发送的所述特征信息列表。
根据权利要求2所述的方法，其中，还包括：

与服务器协商确定所述特征信息列表；

保存所述特征信息列表。
根据权利要求1所述的方法，其中，所述连接请求信息包括与所述终端应用对应的应用特征信息，所述对发起网络切片连接请求的所述终端应用进行鉴权处理，包括：

与服务器配合对所述终端应用进行第一次认证处理；

从服务器中获取服务器基于所述第一次认证处理得到的第一授权认证信息；

从所述终端应用中获取所述终端应用基于所述第一次认证处理得到的第二授权认证信息；

根据所述第一授权认证信息、所述第二授权认证信息和所述连接请求信息中的所述应用特征信息对所述终端应用进行鉴权处理。
根据权利要求5所述的方法，其中，所述根据所述第一授权认证信息、所述第二授权认证信息和所述连接请求信息中的所述应用特征信息对所述终端应用进行鉴权处理，包括：

当所述第一授权认证信息、所述第二授权认证信息和所述应用特征信息相匹配，确定所述终端应用通过鉴权处理。
根据权利要求1所述的方法，其中，所述对发起网络切片连接请求的所述终端应用进行鉴权处理，包括：

当所述终端应用携带有签名认证信息，确定所述终端应用通过鉴权处理。
根据权利要求1至7任意一项所述的方法，其中，还包括：

当所述终端应用没有通过鉴权处理，终止所述终端应用当前发起的网络切片连接请求，或者使所述终端应用重新发起网络切片连接请求，或者使所述终端应用连接终端默认网络。
根据权利要求8所述的方法，其中，还包括：

当没有通过鉴权处理的终端应用在预设时间段内重新发起的网络切片连接请求的次数超过预设次数，禁止所述终端应用再次发起网络切片连接请求。
一种终端，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述计算机程序时实现如权利要求1至9中任意一项所述的方法。
一种计算机可读存储介质，存储有计算机可执行指令，其中，所述计算机可执行指令用于执行权利要求1至9中任意一项所述的方法。