WO2022062889A1

WO2022062889A1 - 一种切片管理方法、装置及通信设备

Info

Publication number: WO2022062889A1
Application number: PCT/CN2021/116792
Authority: WO
Inventors: 张艳平
Original assignee: 华为技术有限公司
Priority date: 2020-09-22
Filing date: 2021-09-06
Publication date: 2022-03-31
Also published as: CN114301788A; CN114301788B

Abstract

本申请涉及一种切片管理方法、装置及通信设备，涉及通信技术领域，用于提高对切片的管理效率，增强第三方对终端设备的切片控制能力。所述方法包括：移动性管理网元发起切片请求，所述切片请求包括终端设备的终端标识；所述移动性管理网元接收来自第三方应用服务器的第一S-NSSAI，所述第一S-NSSAI用于标识第三方应用服务器为所述终端设备授权的切片；所述移动性管理网元向所述终端设备发送所述第一S-NSSAI。

Description

一种切片管理方法、装置及通信设备

相关申请的交叉引用

本申请要求在2020年09月22日提交中国国家知识产权局、申请号为202011004194.4、申请名称为“一种切片管理方法、装置及通信设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种切片管理方法、装置及通信设备。

背景技术

目前，为更好的支持第三方的切片业务，运营商提出了新的场景需求：第三方业务可以向运营商定制终端设备发放给用户使用，并且向运营商租用了多种类型的切片，不同类型的切片为用户提供的业务体验不同。这些终端设备和运营商进行签约能够获得运营商提供的网络连接服务，但用户具体使用哪一个切片的签约并不在运营商网络管理控制，而是由第三方管理和控制，即用户接入移动网络后，由第三方授权确定用户具体使用哪个切片，后续某个时刻如果用户想要更改切片签约，比如获得更高的服务质量，则可以向第三方购买，然后第三方跟运营商的移动网络交互，以更新用户使用的切片。

由于运营商维护的统一数据管理(unified data management，UDM)网元上存储的数据是比较重要的，并且也是涉及到用户隐私，因此相关技术中是由第三方将用户签约的切片提交给运营商，再由运营商的工作人员更新运营商维护的UDM，以实现对用户的切片签约数据的更新管理。

然而，这种管理方式效率低下，可能并不能适应频繁动态更改用户切片签约的需求，也不利于第三方自身对切片业务进行控制，因此需要相应的解决方案。

发明内容

本申请实施例提供一种切片管理方法、装置及通信设备，用于提高切片管理效率，增强第三方对终端设备的切片控制能力。

第一方面，提供一种管理切片的方法，该方法中，移动性管理网元在发起切片请求后，可以接收来自第三方应用服务器的第一S-NSSAI，该第一S-NSSAI用于标识第三方应用服务器为终端设备授权的切片，进而再将第一S-NSSAI向终端设备发送。

在上述方案中，可以通过第三方应用服务器直接为终端设备分配经第三方直接授权的切片，也就是说，用户的签约数据可以直接存放在第三方应用服务器中，这样，注册分配切片时，可以直接从第三方应用服务器处获得用户在第三方中真正授权的切片，而无需再从运营商维护的UDM中去获取，这样可以减少从第三方到运营商进行更新的步骤，由第三方直接对切片进行管理，提高了切片管理效率，增强了第三方对终端设备的切片业务控制能力。

在一种可能的实现方式中，第三方应用服务器为认证网元，移动性管理网元发起切片认证请求，该切片认证请求包括第二S-NSSAI和终端设备的终端标识，该第二S-NSSAI用于标识在数据管理网元中为终端设备签约的切片；对应的，移动性管理网元接收来自认证网元的认证结果指示信息和第一S-NSSAI。

由于在数据管理网元(例如UDM)中为终端设备签约的切片与第三方实际为终端设备授权的切片并不相同，所以可以对从UDM中获取签约的切片(即第二S-NSSAI标识的切片)进行验证，最终返回第三方应用服务器实际为终端设备授权的S-NSSAI(即第一S-NSSAI)，这样，可以通过第三方应用服务器直接对切片进行管理。

在一种可能的实现方式中，移动性管理网元接收来自终端设备或数据管理网元的切片选择指示信息，该切片选择指示信息用于指示由第三方应用为终端设备确定切片。

在上述方案中，可以通过切片选择指示信息来指示移动性管理网元哪些终端设备的切片是需要由第三方应用直接确定的，便于移动性管理网元明确哪些终端设备的切片是需要从第三方获取，提高了切片分配的准确性。

第二方面，提供一种切片管理的方法，在该方法中，第三方应用服务器接收来自移动性管理网元的切片请求，该切片请求包括终端设备的终端标识；再根据所述终端标识确定第三方应用服务器为终端设备授权的切片；然后向移动性管理网元发送第一S-NSSAI，该第一S-NSSAI用于标识第三方应用服务器为所述终端设备授权的切片。

在一种可能的实现方式中，第三方应用服务器为认证网元，认证网元接收来自移动性管理网元的切片认证请求，该切片认证请求包括第二S-NSSAI和终端设备的终端标识，该第二S-NSSAI用于标识在数据管理网元中为终端设备签约的切片；进一步地，认证网元向移动性管理网元发送认证结果指示信息和第一S-NSSAI。

在上述方案中，移动性管理网元可以对在UDM中签约的第二S-NSSAI进行认证，最后接收来自第三方应用服务器发送的通过第三方应用服务器实际授权的第一S-NSSAI，这样，通过地方应用服务器可以实现对切片的直接管理，增强了第三方对终端设备的切片业务控制能力。

在上述第一方面和第二方面的各个方案中，认证结果指示信息用于指示认证成功。

在上述第一方面和第二方面的各个方案中，第二S-NSSAI与第一S-NSSAI相同，或者，第二S-NSSAI与第一S-NSSAI不同。

第三方面，提供一种切片管理方法，在该方法中，认证网元接收来自移动性管理网元发送的切片认证请求，该切片认证请求包括终端设备的EAP标识响应消息和第一S-NSSAI，该第一S-NSSAI用于标识在数据管理网元中为终端设备签约的至少两个切片中的一个切片；

再根据EAP标识响应消息是否通过认证且第一S-NSSAI标识的切片是否是第三方应用服务器允许终端设备接入的切片的判断结果，生成认证结果指示信息，该认证结果指示信息包括EAP成功消息或者EAP失败消息；进一步地，向移动性管理网元发送认证结果指示信息。

第四方面，提供一种切片管理方法，在该方法中，移动管理网元发起切片认证请求，该切片认证请求包括终端设备的EAP标识响应消息和第一S-NSSAI，第一S-NSSAI用于标识在数据管理网元中为终端设备签约的至少两个切片中的一个切片；移动管理网元再接收来自认证网元的认证结果指示信息，该认证结果指示信息是认证网元根据EAP标识响应消息是否通过认证且第一S-NSSAI标识的切片是否是第三方应用服务器允许终端设备接入的切片的判断结果生成的。

在第三方面和第四方面的方案中，在相关技术中的认证流程的基础上，AMF可以判断待验证的S-NSSAI标识的切片到底是否是第三方应用服务器实际允许终端设备接入的切片，这样通过二重验证的方式让第三方参与了切片的认证，这样得到的认证结果是考虑了第三方对待验证切片的实际授权情况，实现了第三方对切片的直接管理和控制。

第五方面，提供一种切片管理方法，在该方法中，第三方应用服务器确定允许终端设备接入的切片由第一切片变为第二切片；进而，第三方应用服务器向移动性管理网元发送切片更新信息，该切片更新信息包括第二S-NSSAI，该第二S-NSSAI用于标识第二切片。

在该方案中，可以由第三方应用服务器直接发起对终端设备的切片更新流程，也就是说，第三方应用服务器可以直接对切片进行更新控制，无需再通过与运营商维护的UDM进行交互才能实现切片更新，提高了切片更新效率，增强了第三方对切片的业务控制能力，提高了第三方和运营商业务合作的体验，有利于运营商拓展业务。

第六方面，提供一种切片管理方法，在该方法中，移动性管理网元接收来自第三方应用服务器的切片更新信息，该切片更新信息包括第二S-NSSAI，该第二S-NSSAI用于标识第二切片；进一步地，移动性管理网元向终端设备发送第二S-NSSAI。

第六方面的技术方案的技术效果可以参见第五方面的技术效果描述。

在一种可能的实现方式中，第三方应用服务器为认证网元，移动性管理网元还可以发起对第二S-NSSAI进行认证的流程；并在对第二S-NSSAI认证通过时，向终端设备发送配置更新信息，该配置更新信息用于更新终端设备允许接入的切片。

在上述方案中，还可以对更新的切片(即第二S-NSSAI所标识的切片)进行认证，这样可以提高终端设备接入切片的安全性和有效性。

在一种可能的实现方式中，切片更新信息为切片重认证消息，例如为相关技术中进行切片重认证过程中的重认证消息。

在该方案中，可以复用相关技术中的重认证流程来实现对第二S-NSSAI的认证。因为相关技术中的重认证流程是对之前已经进行过认证的S-NSSAI进行重认证，而本申请实施例中，通过复用相关技术的重认证流程可以实现对之前未认证过的S-NSSAI进行认证，提供了一种新的切片更新和切片认证方式，提高了切片管理的灵活性。

在一种可能的实现方式中，切片更新信息还包括用于标识第一切片的第一S-NSSAI，第一切片当前不允许终端设备接入。

在该方案中，可以将已经失效的切片也告知终端设备，这样在失效的切片对终端设备的允许接入的切片有影响时，可便于终端设备准确地更新允许接入的切片，以实现对切片的准确更新，提高切片更新的有效性。

第七方面，提供一种切片管理装置，该切片管理装置可以是移动性管理网元，或者是设置在移动性管理网元内部的芯片，该切片管理装置包括用于执行上述第一方面或第一方面任一种可能的实现方式中所述方法的模块。

第八方面，提供一种切片管理装置，该切片管理装置可以是认证网元或者是第三方应用服务器，或者是设置在认证网元或者是第三方应用服务器内部的芯片，该切片管理装置包括用于执行上述第二方面或第二方面任一种可能的实现方式中所述方法的模块。

第九方面，提供一种切片管理装置，该切片管理装置可以是认证网元或者是第三方应用服务器，或者是设置在认证网元或者是第三方应用服务器内部的芯片，该切片管理装置包括用于执行上述第三方面或第三方面任一种可能的实现方式中所述方法的模块。

第十方面，提供一种切片管理装置，该切片管理装置可以是移动性管理网元，或者是设置在移动性管理网元内部的芯片，该切片管理装置包括用于执行上述第四方面或第四方面任一种可能的实现方式中所述方法的模块。

第十一方面，提供一种切片管理装置，该切片管理装置可以是认证网元或者是第三方应用服务器，或者是设置在认证网元或者是第三方应用服务器内部的芯片，该切片管理装置包括用于执行上述第五方面或第五方面任一种可能的实现方式中所述方法的模块。

第十二方面，提供一种切片管理装置，该切片管理装置可以是移动性管理网元，或者是设置在移动性管理网元内部的芯片，该切片管理装置包括用于执行上述第六方面或第六方面任一种可能的实现方式中所述方法的模块。

第十三方面，提供一种通信设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的通信接口；所述至少一个处理器通过执行存储器存储的指令，使得所述通信装置通过所述通信接口执行如第一方面或第一方面任一种可能的实现方式中所述的方法。

第十四方面，提供一种通信设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的通信接口；所述至少一个处理器通过执行存储器存储的指令，使得所述通信装置通过所述通信接口执行如第二方面或第二方面任一种可能的实现方式中所述的方法。

第十五方面，提供一种通信设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的通信接口；所述至少一个处理器通过执行存储器存储的指令，使得所述通信装置通过所述通信接口执行如第三方面或第三方面任一种可能的实现方式中所述的方法。

第十六方面，提供一种通信设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的通信接口；所述至少一个处理器通过执行存储器存储的指令，使得所述通信装置通过所述通信接口执行如第四方面或第四方面任一种可能的实现方式中所述的方法。

第十七方面，提供一种通信设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的通信接口；所述至少一个处理器通过执行存储器存储的指令，使得所述通信装置通过所述通信接口执行如第五方面或第五方面任一种可能的实现方式中所述的方法。

第十八方面，提供一种通信设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的通信接口；所述至少一个处理器通过执行存储器存储的指令，使得所述通信装置通过所述通信接口执行如第六方面或第六方面任一种可能的实现方式中所述的方法。

第十九方面，提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得如第一方面或第一方面任一种可能的实现方式中所述的方法被执行。

第二十方面，提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得如第二方面或第二方面任一种可能的实现方式中所述的方法被执行。

第二十一方面，提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得如第三方面或第三方面任一种可能的实现方式中所述的方法被执行。

第二十二方面，提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得如第四方面或第四方面任一种可能的实现方式中所述的方法被执行。

第二十三方面，提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得如第五方面或第五方面任一种可能的实现方式中所述的方法被执行。

第二十四方面，提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得如第六方面或第六方面任一种可能的实现方式中所述的方法被执行。

第二十五方面，提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得第一方面或第一方面任一种可能的实现方式中所述的方法被执行。

第二十六方面，提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得第二方面或第二方面任一种可能的实现方式中所述的方法被执行。

第二十七方面，提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得第三方面或第三方面任一种可能的实现方式中所述的方法被执行。

第二十八方面，提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得第四方面或第四方面任一种可能的实现方式中所述的方法被执行。

第二十九方面，提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得第五方面或第五方面任一种可能的实现方式中所述的方法被执行。

第三十方面，提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得第六方面或第六方面任一种可能的实现方式中所述的方法被执行。

第三十一方面，提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得上述第一方面或第一方面任一种可能的实现方式中所述的方法被执行。

第三十二方面，提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得上述第二方面或第二方面任一种可能的实现方式中所述的方法被执行。

第三十三方面，提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得上述第三方面或第三方面任一种可能的实现方式中所述方法的被执行。

第三十四方面，提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得上述第四方面或第四方面任一种可能的实现方式中所述方法的被执行。

第三十五方面，提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得上述第五方面或第五方面任一种可能的实现方式中所述方法的被执行。

第三十六方面，提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得上述第六方面或第六方面任一种可能的实现方式中所述方法的被执行。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

图1为基于服务化架构的5G网络架构示意图；

图2为基于点对点接口的5G网络架构示意图；

图3为网络切片的一种示意图；

图4为终端设备的注册流程的示意图；

图5为确定是否要执行NSSAA流程的示意图；

图6为NSSAA流程所涉及的步骤的流程图；

图7为切片重认证流程所涉及的步骤的流程图；

图8为本申请实施例中的切片管理方法的交互流程图；

图9为本申请实施例中的切片管理方法的另一交互流程图；

图10为本申请实施例中的切片管理方法的另一交互流程图；

图11为本申请实施例中的切片管理方法的另一交互流程图；

图12为本申请实施例中的切片管理方法的另一交互流程图；

图13为本申请实施例中的切片管理装置的结构示意图；

图14为本申请实施例中的另一切片管理装置的结构示意图；

图15为本申请实施例中的另一切片管理装置的结构示意图；

图16为本申请实施例中的另一切片管理装置的结构示意图；

图17为本申请实施例中的另一切片管理装置的结构示意图；

图18为本申请实施例中的另一切片管理装置的结构示意图；

图19为本申请实施例中的通信设备的结构示意图；

图20为本申请实施例中的另一通信设备的结构示意图。

具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作进一步地详细描述。

以下，对本申请实施例中的部分用语进行解释说明，以便于本领域技术人员理解。

(1)终端设备，包括向用户提供语音和/或数据连通性的设备，例如可以包括具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端设备可以经无线接入网(radio access network，RAN)与核心网进行通信，与RAN交换语音和/或数据。该终端设备可以包括用户设备(user equipment，UE)、终端、无线终端设备、移动终端设备、设备到设备通信(device-to-device，D2D)终端设备、车到一切(vehicle-to-everything，V2X)终端设备、机器到机器/机器类通信(machine-to-machine/machine-type communications，M2M/MTC)终端设备、物联网(internet of things，IoT)终端设备、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、远程站(remote station)、接入点(access point，AP)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、或用户装备(user device)等。例如，可以包括移动电话(或称为“蜂窝”电话)，具有移动终端设备的计算机，便携式、袖珍式、手持式、计算机内置的移动装置等。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(session initiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、等设备。还包括受限设备，例如功耗较低的设备，或存储能力有限的设备，或计算能力有限的设备等。例如包括条码、射频识别(radio frequency identification，RFID)、传感器、全球定位系统(global positioning system，GPS)、激光扫描器等信息传感设备。

作为示例而非限定，在本申请实施例中，该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备或智能穿戴式设备等，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能头盔、智能首饰等。

而如上介绍的各种终端设备，如果位于车辆上(例如放置在车辆内或安装在车辆内)，都可以认为是车载终端设备，车载终端设备例如也称为车载单元(on-board unit，OBU)。

(2)本申请实施例中，“网络切片”和“切片”是同一概念，指的是同一内容，在不同的地方使用其中一种描述，二者可以互换。

(3)“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。

以及，除非有相反的说明，本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或者重要程度。例如，第一信息和第二信息，只是为了区分不同的信令，而并不是表示这两种信息的内容、优先级、发送顺序或者重要程度等的不同。

如上介绍了本申请实施例涉及的一些概念，下面介绍本申请实施例的技术特征。

请参考图1，为基于服务器架构的第五代(5th generation，5G)网络架构示意图，也是本申请实施例的一种应用场景的示意图。图1所示的5G网络架构可包括三部分，分别是终端设备部分、数据网络(data network，DN)部分和运营商网络部分。其中，运营商网络部分可包括以下网元中的一个或多个：鉴权服务器功能(authentication server function，AUSF)网元、网络开放功能(network exposure function，NEF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、统一数据库(Unified Data Repository，UDR)网元、NRF网元、应用功能(application function，AF)网元、AMF网元、SMF网元、无线接入网(radio access network，RAN)网元以及用户面功能(user plane function，UPF)网元等。上述运营商网络部分中，除无线接入网部分之外的部分可以称为核心网部分。

在该网络架构中，网络切片选择功能(network slice selection function，NSSF)网元、网络开放功能(network exposure function，NEF)网元、NRF网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、应用功能(application function，AF)网元、鉴权服务功能(authentication server function，AUSF)网元、AMF网元和SMF网元，这些网元两两之间，都可以基于服务的方法进行通信，当然，其中的两个网元要进行通信，需要一个网元向另一个网元开放了相应的服务方法。图1中，Nnssf可视为NSSF的服务接口，同理，Nnef为NEF的服务接口，Npcf为PCF的服务接口，Nudm为UDM的服务接口，Uudr为UDR的服务接口，Naf为AF的服务接口，Nausf为AUSF的服务接口，Namf为AMF的服务接口，Nsmf为SMF的服务接口。另外， AMF与终端设备可通过N1接口通信，AMF与RAN可通过N2接口通信，SMF与UPF可通过N4接口通信，终端设备与RAN之间进行空口通信，RAN和UPF可通过N3接口通信，UPF与DN可通过N6接口通信。

为了更易于理解，下面对图1所示的部分功能网元进行简单的介绍。

移动性管理功能网元，在第四代(4th generation，4G)系统中例如为移动性管理实体(mobility management entity，MME)网元，在5G系统中例如为AMF网元，当然本申请实施例不限于此，在其他通信系统中也可以通过其他网元实现，例如在未来通信系统中可以是具有上述AMF网元的功能的网元。以移动性管理功能网元是AMF网元为例，AMF网元主要负责与无线对接，终结RAN控制面(control plane，CP)接口，也就是N2接口，终结非接入层(non-access-stratum，NAS)及NAS加密和完整性保护，注册管理，连接管理，可达性管理，移动性管理，传递用户设备(user equipment，UE)和SMF间的会话管理(session management，SM)消息，或UE的移动性通知等功能。

存储功能网元，在5G系统中，例如为NRF网元，在其他通信系统中也可以通过其他网元实现，例如在未来通信系统中可以是具有上述NRF网元的功能的网元。以存储功能网元是NRF网元为例，NRF网元可负责网元的注册和发现功能，并维护网元的信息，例如，维护该网元的实例标识、类型、公共陆地移动网(public land mobile network，PLMN)、网络切片相关的标识、IP地址、该网元的能力、及支持的服务等。

网络切片相关的认证和授权功能网元NSSAAF，NSSAAF和AAA-S交互，在图1中并未画出。

认证授权计费功能网元，在5G系统中例如为验证、授权和记账服务器(authentication、authorization、accounting-service，AAA-S)，在其他通信系统中也可以通过其他网元实现，例如在未来通信系统中可以是具有上述AAA-S的功能的网元。以认证授权计费功能网元是AAA-S为例，AAA-S的主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，以及如何对正在使用网络资源的用户进行计费处理等。AAA-S在图1中并未画出，其中AAA-S可以与NSSAAF直接通信，或者AAA-S通过AAA-代理(proxy-P)与NSSAAF进行通信。AAA-S可以由运营商部署或者由第三方部署。在漫游场景中，AAA-S位于归属地PLMN(home PLMN，HPLMN)。

NSSF网元，负责确定网络切片实例，选择AMF网元等。

SMF网元，可以提供会话建立、修改或释放等会话管理功能，包含UPF网元和接入网(access network，AN)节点间的隧道维护功能、UE的互联网协议(internet protocol，IP)地址分配和管理、动态主机控制协议(dynamic host control protocol，DHCP)、选择和控制用户面(user plane，UP)功能、配置UPF路由功能、终结策略控制功能接口、计费、漫游功能、或策略控制相关等功能。

PCF网元，包含策略控制决策和基于流计费控制的功能，包含用户签约数据管理功能，策略控制功能，计费策略控制功能，服务质量(quality of service，QoS)控制等等；

UDM网元，负责管理签约数据，当签约数据有修改时，负责通知相应的网元。

UDR网元，存储和检索签约数据、策略数据和公共架构数据等，供UDM网元、PCF网元或NEF网元获取相关数据。UDR网元要能够针对不同类型的数据如签约数据、策略数据有不同的数据接入鉴权机制，以保证数据接入的安全性。UDR网元对于非法的服务化操作或者数据接入请求要能够返回携带合适原因值的失败响应。

AF网元，应用服务器，向终端设备提供某种应用层服务。AF网元在向终端设备提供服务时，对QoS策略(policy)和计费(charging)策略有一定要求，且需要通知网络。同时，AF网元也需要核心网反馈应用的相关信息。

NEF网元，主要支持网络能力开放功能，对外开放网络能力和服务。3GPP NF通过NEF网元向其他NF发布功能和事件。NEF网元开放的能力和事件可以安全地开放给第三方应用。NEF网元使用UDR的标准化接口(Nudr)将结构化数据进行存储/检索。将AF网元的交换信息与内部网络功能的交换信息进行翻译。例如，它将在AF-服务(Service)-标识符(Identifier)和内部5G核心信息(如数据网络名称(data network name，DNN)或S-NSSAI等)之间进行转换。

AUSF网元，负责鉴权功能以及负责执行网络切片鉴权授权流程。

UPF网元，是用户面数据转发的实体，作为数据网络互联的外部协议数据单元(protocol data unit，PDU)会话(session)，具有报文路由和转发、报文检测、用户面部分策略执行、合法监听、流量使用报告、或QoS处理等功能。

为使得行文更简洁，在后文中对于各个网元均使用简称，省掉“网元”两个字。例如，将AMF网元简称为AMF，NRF网元简称为NRF，接入网网元简称为RAN，SMF网元简称为SMF，等等。

另外，在介绍图1所示的网络架构时提到了服务方法的概念，具体的，在5G系统中，目前认为控制面的网元之间，可以通过基于服务的方法进行交互，用户面的网元之间，可以基于点对点的方法进行交互。例如在5G系统中，NRF作为控制面的网元，可以开放一些服务方法，其他设备可以通过这些服务方法来与NRF进行交互。

请再参考图2，为基于点对点接口的5G网络架构示意图，也是本申请实施例的另一种应用场景的示意图。图2中的各个网元的功能介绍等可以参考对于图1中对应的网元的介绍，不再赘述。图1与图2的主要区别在于，图2中的各个网元之间的接口是点对点的接口，而图1中的各个网元之间的接口是服务化的接口。

在5G时代，将有数以千亿计的物联网设备接入网络，不同类型的应用场景对网络的需求是差异化的，有的甚至是相互冲突的。通过单一网络同时为不同类型的应用场景提供服务，会导致网络架构异常复杂、网络管理效率和资源利用效率低下。为此提出了网络切片技术，5G网络切片技术通过在同一网络基础设施上虚拟独立逻辑网络的方式为不同的应用场景提供相互隔离的网络环境，使得不同应用场景可以按照各自的需求定制网络功能和特性，能够切实保障不同业务的QoS需求。5G网络切片要实现的目标是将终端设备、接入网资源、核心网资源以及网络运维和管理系统等进行有机组合，为不同商业场景或者业务类型提供能够独立运维的、相互隔离的完整网络。可参考图3，为网络切片的一种示意图。图3包括三个网络切片，分别为关键(critical)机器类通信(machine type of communication，MTC)切片、海量(massive)MTC切片以及移动宽带(mobile broadband，MBB)切片。在图3中，critical MTC切片对应的终端设备可以包括车辆等；massive MTC切片对应的终端设备可以包括一些测量表等，例如电表或燃气表；MBB切片对应的终端设备可以包括手机或个人计算机(personal computer，PC)等。

多种多样的场景对第三代合作伙伴计划(3rd generation partnership project，3GPP)生态系统提出了不同的需要：计费、策略、安全、移动性等。3GPP强调了网络切片之间不相互影响，例如突发的大量的抄表业务不应该影响正常的移动宽带业务。为了满足多样性需求和切片间的隔离，需要业务间相对独立的管理和运维，并提供量身定做的业务功能和分析能力。不同类型业务的实例部署在不同的网络切片上，相同业务类型的不同实例也可部署在不同的网络切片上。

当核心网部署了网络切片，在终端设备初始附着到网络时，就会触发网络切片的选择过程。网络切片的选择过程取决于用户的签约数据、本地配置信息、漫游协议、或运营商的策略等参数中的一种或多种，在网络切片的选择过程中，需要综合考虑以上参数，才能为终端设备选择最佳的切片类型。

当终端设备需要接入某个网络切片，终端设备可以提供请求(requested)网络切片选择辅助信息(network slice selection assistance information，NSSAI)给核心网设备，用于核心网设备为该终端设备选择网络切片实例。具体地，终端设备可以向核心网提供由一组参数组成的requested NSSAI，为该终端设备选择网络切片实例。这一组参数例如包括一个或多个S-NSSAI，其中的一个S-NSSAI就可以表示终端设备请求接入的一个网络切片。

在5G网络中，当终端设备需要使用网络服务，需要先向网络进行注册。终端设备可能会在如下几种场景中发起注册流程：

(1)终端设备初次注册到5G网络；

(2)当终端设备移动出原来注册的区域时，需要进行移动性注册更新；

(3)终端设备进行周期性注册更新。

在注册过程中，可能会触发一个或多个PDU会话的建立。例如在终端设备进行移动性注册更新的场景下，终端设备有上行数据需要发送，此时在注册流程中会创建PDU会话。下面请参考图4，为终端设备进行注册的流程。

S401、终端设备向RAN发送注册请求(registration request)消息，RAN接收来自终端设备的注册请求消息。

该注册请求消息例如通过AN消息(message)发送至RAN。

S402、RAN根据无线接入技术(radio access technology，RAT)和注册请求消息所请求的网络切片的标识选择AMF。

如果注册请求消息未携带5G全球唯一UE临时标识(globally unique temporary UE identity，GUTI)，或者虽然注册请求消息中携带了5G GUTI，但该5G GUTI不能指示一个合法的AMF，则RAN可以根据该终端设备支持的RAT和注册请求消息所请求的网络切片的标识选择AMF。或者，如果终端设备处于无线资源控制(radio resource control，RRC)连接(connected)态，则RAN可以根据已有的RRC连接，将该注册请求消息直接转发给对应的AMF，即，无需执行S402，而是可以执行S403。

网络切片的标识例如为S-NSSAI。注册请求消息可以携带一个或多个S-NSSAI，其中的一个S-NSSAI可以指示一个网络切片。这一个或多个S-NSSAI所指示的网络切片就是终端设备请求接入的网络切片。

S403、RAN将注册请求消息发送给AMF，AMF接收来自RAN的注册请求消息。

即，RAN将注册请求消息转发给AMF。注册请求消息例如为N2消息(message)。在N2消息中，可以包括N2参数、注册消息、该终端设备的接入信息、PDU会话信息以及该终端设备的上下文请求等信息。

S404、新侧AMF调用服务化操作Namf_通信(communication)_UE上下文(context)传输(Transfer)向旧侧AMF发送消息，旧侧AMF接收来自新侧AMF的该消息。在图4 中，将调用服务化操作Namf_Communication_UE Context Transfer传输的消息称为UE上下文传输消息。该消息用于获取该终端设备的上下文。

S404是可选的步骤，如果服务于该终端设备的AMF发生了改变，则可以执行S404。如果服务于该终端设备的AMF未发生改变，可以不必执行S404。

S405、旧侧AMF调用服务化操作Namf_Communication_UE Context Transfer响应(response)向新侧AMF发送消息，新侧AMF接收来自旧侧AMF的该消息。在图4中，将调用服务化操作Namf_Communication_UE Context Transferresponse传输的消息称为UE上下文传输响应消息。该消息包括该终端设备的上下文。

S404和S405是可选的步骤，如果服务于该终端设备的AMF发生了改变，则可以执行S404和S405。如果服务于该终端设备的AMF未发生改变，可以不必执行S404和S405。

S406、新侧AMF向终端设备发送身份请求(identity request)消息，终端设备接收来自新增AMF的身份请求消息。

如果终端设备未提供订阅隐藏标识(subscription concealed identifier，SUCI)，并且新侧AMF从旧侧AMF也未获取到SUCI，则新侧AMF可以向终端设备发送identity request消息，以从终端设备获取SUCI。

S407、终端设备向新侧AMF发送身份响应(identity response)消息，新侧AMF接收来自终端设备的identity response消息。该identity response消息包括SUCI。

S406和S407是可选的步骤。

S408、执行鉴权流程。该鉴权流程是UE永久标识的主鉴权流程。

例如，AMF根据SUPI或SUCI选择一个AUSF为终端设备进行鉴权。其中，在紧急注册时，AMF可跳过鉴权过程，即，S408也是可选的步骤。

S409、新侧AMF调用服务化操作Namf_Communication_注册完成通知(registration complete notify)向旧侧AMF发送消息，旧侧AMF接收来自新侧AMF的该消息。

该消息用于通知旧侧AMF，终端设备已经在新侧AMF上完成注册。在图4中，将调用服务化操作Namf_Communication_Registration Complete Notify传输的消息称为注册完成消息。

S410、新侧AMF向终端设备发送身份请求(identity request)消息，终端设备接收来自新侧AMF的identity request消息。以及，终端设备向新侧AMF发送身份响应(identity response)消息，新侧AMF接收来自终端设备的identity response消息。

其中，如果新侧AMF从终端设备的上下文和旧侧AMF中都未获取到永久设备标识(permanent equipment identifier，PEI)，则新侧AMF向终端设备发送identity request消息以请求获取PEI。终端设备向新侧AMF回复identity response消息，identity response消息可携带PEI。

S411、新侧AMF调用服务化操作N5g-eir_设备身份验证(equipment identity check)_获取(Get)向设备识别寄存器(equipment identity register，EIR)发送消息，EIR接收来自新侧AMF的该消息。该消息用于发起移动设备标识(mobile equipment identity，ME identity)的核查。在图4中将调用服务化操作N5g-eir_Equipment Identity Check_Get传输的消息称为设备身份验证获取消息。

S412、新侧AMF基于SUPI选择UDM。该UDM可以选择一个UDR实例。

其中，S409～S412均为可选的步骤。

S413a、新侧AMF调用服务化操作Nudm_UECM_Registration向UDM进行注册，例如新侧AMF调用服务化操作Nudm_UECM_Registration向UDM发送消息，UDM接收来自新侧AMF的该消息，该消息用于新侧AMF注册到UDM。之后UDM向新侧AMF发送注册响应消息，即S413a中由UDM指向新侧AMF的箭头所表示的消息。在图4中，将调用服务化操作Nudm_UECM_Registration传输的消息称为注册消息。

S413b、新侧AMF调用服务化操作Nudm_SDM_Get向UDM发送消息，UDM接收来自新侧AMF的该消息，该消息用于请求获得终端设备的签约数据。之后UDM向新侧AMF发送获取响应消息，即S413b中由UDM指向新侧AMF的箭头所表示的消息，获取响应消息可以包括终端设备的签约数据。在图4中，将调用服务化操作Nudm_SDM_Get传输的消息称为签约数据获取消息。

S413c、新侧AMF调用服务化操作Nudm_SDM_订阅(subscribe)向UDM发送消息，UDM接收来自AMF的该消息，该消息用于订阅签约数据变更通知的服务。在图4中，将调用服务化操作Nudm_SDM_Subscribe传输的消息称为签约数据变更订阅消息。之后，当订阅的签约数据发生变更时，UDM向新侧AMF发送订阅响应消息，即S413c中由UDM指向新侧AMF的箭头所表示的消息，订阅响应消息可以包括签约数据已变更的通知信息。

S413d、UDM调用服务化操作Nudm_UECM_去注册通知(deregistration notification)向旧侧AMF发送消息，旧侧AMF接收来自UDM的该消息，该消息可用于去注册。在图4中，将调用服务化操作Nudm_UECM_Deregistration Notification传输的消息称为去注册通知消息。

如果UDM存储了与旧侧AMF之间的联系，则UDM可以通过服务化操作Nudm_UECM_Deregistration Notification向旧侧AMF发送消息，以通知旧侧AMF删除该终端设备的上下文。旧侧AMF在接收该消息后，还可以向SMF发起服务化操作Nsmf_PDU Session_释放会话管理上下文(release SM context)，以通知SMF，该终端设备已经从网络中去注册。SMF收到该服务化操作Nsmf_PDU Session_Release SM Context的通知后，将释放PDU会话。

S413e、旧侧AMF调用服务化操作Nudm_SDM_去订阅(unsubscribe)向UDM发送消息，UDM接收来自旧侧AMF的该消息，该消息用去订阅，即，用于取消对该终端设备的签约数据的订阅。在图4中，将调用服务化操作Nudm_SDM_unsubscribe传输的消息称为去订阅消息。

其中，S413d和S413e是可选的步骤。

S414、新侧AMF选择PCF。

如果新侧AMF决定与PCF建立策略联系，例如当新侧AMF还没有获取到终端设备的接入和移动性策略，或者新侧AMF没有合法的接入和移动性策略等场景下，新侧AMF会选择PCF。此时，如果新侧AMF已从旧侧的AMF处获取了PCF身份号(ID)，则新侧AMF可以直接定位到该PCF，而无需执行S414。或者，如果新侧AMF已从旧侧的AMF处获取了PCF ID，但新侧AMF无法定位到该PCF ID所对应的PCF，或者新侧AMF没有从旧侧AMF获取到PCF ID，则新侧AMF会选择一个新PCF，即，执行S414。因此，S414是可选的步骤。

S415、新侧AMF与选择的PCF建立AM策略关联。

在选择PCF后，新侧AMF与该PCF建立AM策略关联。S415是可选的步骤。

S416、新侧AMF调用服务化操作Nsmf_PDU Session_更新会话管理上下文请求(update SM context request)向SMF发送消息，SMF接收来自新侧AMF的该消息。该消息可请求激活PDU会话的用户面连接。在图4中，将调用服务化操作Nsmf_PDU Session_Update SM Context Request传输的消息称为更新会话管理上下文请求消息。

若在注册请求消息中包含需要被激活的PDU会话，AMF通过服务化操作Nsmf_PDUSession_UpdateSMContext Request向SMF发送消息，该消息用于激活PDU会话的用户面连接。若PDU会话状态指示它在UE已经被释放，则AMF通知SMF释放PDU会话相关网络资源。若SMF订阅了UE相关的移动性事件通知，AMF根据需要向SMF发送通知。

S417、新侧AMF向(non-3GPP interworking function，N3IWF)发送N2AMF移动请求(N2 AMF mobility request)消息，N3IWF接收来自新侧AMF的N2 AMF mobility request消息。N2 AMF mobility request消息用于请求创建一个指向N3IWF的NG接口的UE连接。在图4中，将N2 AMF mobility request消息称为移动请求消息。

S418、N3IWF向新侧AMF发送N2AMF移动响应(N2 AMF mobility response)消息，新侧AMF接收来自N3IWF的N2 AMF mobility response消息。在图4中，将N2 AMF mobility response消息称为移动响应消息。

其中，如果旧侧AMF与N3IWF网元存在NG接口的UE连接，则新侧AMF会向N3IWF网元发送N2 AMF mobility request消息。而如果旧侧AMF与N3IWF网元不存在NG接口的UE连接，则新侧AMF不向N3IWF网元发送N2 AMF mobility request消息。因此，S417和S418是可选的步骤。

S419、旧侧AMF向PCF发送AMF-初始策略关联终止(initiated policy association termination)消息，PCF接收来自旧侧AMF的AMF-initiated policy association termination消息。AMF-initiated policy association termination消息用于删除旧侧AMF与PCF之间的连接。

其中，如果旧侧AMF之前发起了与PCF的策略联系，则旧侧AMF向PCF发送AMF-initiated policy association termination消息，而如果旧侧AMF之前未发起与PCF的策略联系，则旧侧AMF不必向PCF发送AMF-initiated policy association termination消息。因此S419为可选的步骤。

S420、新侧AMF向终端设备发送注册接受(registration accept)消息，终端设备接收来自新侧AMF的registration accept消息。registration accept消息用于通知终端设备，该终端设备的注册请求被接受。在Registration Accept消息中可包含局域数据网络(local area data network，LADN)信息以及仅移动初始化连接(mobile initiated connection only，MICO)模式等。

S421、终端设备向新侧AMF发送注册完成(registration complete)消息，新侧AMF接收来自终端设备的registration complete消息。

当registration accept消息包括网络切片订阅改变标识，终端设备成功更新该终端设备时，或者当registration accept消息包括新的5G-GUTI时，终端设备可向新侧AMF发送registration complete消息。

S422、新侧AMF调用服务化操作Nudm_SDM_Info向UDM发送消息，UDM接收来自新侧AMF的该消息。在图4中，将调用服务化操作Nudm_SDM_Info传输的消息称为 SDM信息消息。

如果在S413b中UDM发送给新侧AMF的签约数据中包含漫游信息标识，该标识是UDM所请求的收到UE信息的一个确认标识，则AMF向UDM发送Nudm_SDM_Info消息，以触发UDM进行相应操作。关于后续的步骤，可参考目前对于漫游场景的处理。

目前，当终端设备注册到网络中时，除了执行UE永久标识的主鉴权流程(即，图4中所示的流程中的S408所表示的鉴权过程，也称为一次鉴权流程)之外，可能还会根据终端设备请求的NSSAI(requested NSSAI)以及终端设备的签约数据判断是否需要执行网络切片特定的鉴权和授权流程(network slice specific authentication and authorization procedure，NSSAAF)，NSSAAF也可以称为网络切片的二次鉴权流程。

请参考图5，为NSSAAF流程示意图。该流程包括以下步骤。

S501、终端设备发起注册流程，例如S501表示为终端设备向AMF发送registration request消息，AMF接收来自终端设备的registration request消息。

Registration Request消息可以携带请求NSSAI(requested NSSAI)和UE 5G移动性管理核心网能力(5GS mobility management core network capability，5GMM Core Network Capability)，其中UE 5GMM Core Network Capability指示该终端设备是否支持NSSAA流程。

S502、AMF执行UE永久标识的主鉴权流程，该流程例如称为安全流程PLMN接入(security procedures PLMN access)。当该流程成功之后，AMF向UDM获取UE的签约数据。其中，签约数据包含了该终端设备签约的每一个S-NSSAI是否需要执行NSSAA流程的指示信息。在图5中将S502表示为安全流程PLMN接入(security procedures PLMN access)，其中AMF是认证方(authenticator)，NSSAAF可以理解为是认证服务器(auth server)。

例如终端设备签约的S-NSSAI可参考表1，即，UE的签约数据中的签约的S-NSSAI和对应的指示信息如表1所示：

表1

S503、AMF根据终端设备的签约数据判断需要执行NSSAAF流程的S-NSSAI是否包含在Requested NSSAI中。

需要注意的是，AMF确定请求的NSSAI中的S-NSSAI需要执行NSSAAF，可以有两种含义：

第一种：如果终端设备在Registration Request消息中指示支持NSSAAF，那么进一步地，AMF根据终端设备的签约数据判断需要执行NSSAA流程的S-NSSAI是否包含在requested NSSAI中。如果需要执行NSSAA流程的S-NSSAI包含在Requested NSSAI中(对应requested NSSAI中包含的是归属域网络的切片类型(HPLMN S-NSSAI))，那么AMF可以确定该终端设备在本次注册流程之后需要执行NSSAAF。如果需要执行NSSAA流程的S-NSSAI未包含在requested NSSAI中，那么AMF可以确定该终端设备在本次注册流程之后无需执行NSSAA流程。

举例1，例如registration request消息携带的requested NSSAI包括S-NSSAI-1和S-NSSAI-2，根据表1可知，S-NSSAI-1需要执行NSSAAF，S-NSSAI-2不需要执行NSSAAF，那么AMF可以确定该终端设备在本次注册流程之后针对S-NSSAI-1需要执行NSSAAF。

第二种：如果终端设备在registration request消息中指示支持NSSAAF，requested NSSAI中的某个S-NSSAI可以映射为签约的S-NSSAI，且该签约的S-NSSAI需要执行NSSAA，那么AMF确定请求的NSSAI中的S-NSSAI需要执行NSSAAF。

具体地，AMF根据终端设备的签约数据，判断requested NSSAI包含的某个S-NSSAI可以映射到HPLMN S-NSSAI，且该HPLMN S-NSSAI需要执行NSSAAF，则AMF确定终端设备在本次注册流程之后需要执行NSSAAF。

举例2，例如终端设备携带的requested NSSAI包括S-NSSAI-A和S-NSSAI-B，其中S-NSSAI-A与S-NSSAI-1映射，S-NSSAI-B与S-NSSAI-2映射，且S-NSSAI-1需要执行NSSAAF，S-NSSAI-2不需要执行NSSAA流程。则AMF确定终端设备在本次注册流程之后需要对S-NSSAI-1执行NSSAAF。

其中，上述的S-NSSAI-A与S-NSSAI-1映射，S-NSSAI-B与S-NSSAI-2映射，可以理解为，S-NSSAI-A与S-NSSAI-1存在映射关系，S-NSSAI-B与S-NSSAI-2存在映射关系；或者理解为，S-NSSAI-A所标识的网络切片与S-NSSAI-1所标识的网络切片存在映射关系，S-NSSAI-B所标识的网络切片与S-NSSAI-2所标识的网络切片存在映射关系。

具体地，以S-NSSAI-A为例说明。S-NSSAI-A可以是VPLMN S-NSSAI或者HPLMN S-NSSAI，本申请实施例不做限定。当S-NSSAI-A是VPLMN S-NSSAI时，表示S-NSSAI-A所标识的网络切片的类型属于拜访地PLMN(visit PLMN)，则S-NSSAI-A与S-NSSAI-1存在映射关系即为VPLMN S-NSSAI-A与HPLMN S-NSSAI-1存在映射关系，或者，VPLMN S-NSSAI-A所标识的网络切片与HPLMN S-NSSAI-1所标识的网络切片存在映射关系。当S-NSSAI-A是HPLMN S-NSSAI说明S-NSSAI-A所标识的网络切片的类型属于HPLMN网络，则S-NSSAI-A与S-NSSAI-1存在映射关系即为HPLMN S-NSSAI-A所标识的网络切片与HPLMN S-NSSAI-1所标识的网络切片存在映射关系。

S504、AMF向终端设备发送注册接受(registration accept)消息，终端设备接收来自AMF的registration accept消息。

Registration Accept消息可携带允许的NSSAI(allowed NSSAI)，其中allowed NSSAI包含不需要进行NSSAA流程的S-NSSAI。同时，AMF还向终端设备发送待定NSSAI(pending NSSAI)，终端设备接收来自AMF的pending NSSAI。pending NSSAI可包括一个或多个需要执行NSSAA流程的S-NSSAI，pending NSSAI用于指示终端设备，这些需要进行NSSAA流程的S-NSSAI处于pending状态。

也就是说，AMF向终端设备发送的注册接受消息携带允许的NSSAI(allowed NSSAI)、待定的NSSAI(pending NSSAI)以及待定原因值。其中，allowed NSSAI只包含不需要进行NSSAA的S-NSSAI，pending NSSAI包含需要进行NSSAA的S-NSSAI，待定原因值为等待NSSAA，该原因值用来指示UE：这些需要进行NSSAA的S-NSSAI是待定(pending)状态。

原因值：等待NSSAA。针对前面的例子中的举例2，Allowed NSSAI＝S-NSSAI-B， Pending NSSAI＝S-NSSAI-A，原因值：等待NSSAA。

需要说明的是，pending NSSAI也可以称为挂起的NSSAI。本申请实施例以pending NSSAI称为待定的NSSAI为例进行说明。

S505、在发送registration accept消息之后，AMF对处于pending状态的S-NSSAI执行NSSAAF。

例如，pending NSSAI包括S-NSSAI-1，那么AMF可以对S-NSSAI-1执行NSSAAF。关于NSSAAF的具体步骤，可参考接下来的图6即将介绍的流程。

需要注意的是，AMF对待定的NSSAI中的S-NSSAI执行NSSAA可以有两种含义：

第一种：待定的NSSAI中的某个S-NSSAI属于签约的S-NSSAI，且该签约的S-NSSAI需要执行NSSAA，那么AMF对该S-NSSAI执行NSSAA。

例如，接着上述示例中的举例1，pending NSSAI＝S-NSSAI-1，由于S-NSSAI-1是HPLMN S-NSSAI，则AMF对S-NSSAI-1执行NSSAA。

第二种：待定的NSSAI中的某个S-NSSAI与签约的S-NSSAI映射，且该签约的S-NSSAI需要执行NSSAA，那么AMF对该签约的S-NSSAI执行NSSAA。

接着上述示例中的举例2，pending NSSAI＝S-NSSAI-A，由于S-NSSAI-A与S-NSSAI-1映射，则AMF对S-NSSAI-1执行NSSAA流程。

该步骤505为可选步骤，当有需要执行NSSAA流程的S-NSSAI存在时，则执行步骤505，否则不执行步骤505。

需要注意的是，如果需要执行NSSAA流程的S-NSSAI存在多个，步骤505可以多次执行。

S506、当NSSAA流程执行完成之后，AMF根据NSSAA流程的鉴权结果更新allowed NSSAI。在图5中将S506表示为UE配置更新流程(UE configuration update procedure)，即，AMF可以为UE更新Allowed NSSAI。

如果对一个S-NSSAI执行NSSAA流程的鉴权结果为鉴权成功，且该S-NSSAI包含在Requested NSSAI里面，则该S-NSSAI会被添加到new allowed NSSAI中。或者，如果对一个S-NSSAI执行NSSAA流程的鉴权结果为鉴权失败，且该S-NSSAI包含在requested NSSAI里面，则该S-NSSAI会被添加到rejected NSSAI中，同时AMF无需更新终端设备的allowed NSSAI，也就是说，AMF不会生成new allowed NSSAI，也不必向终端设备发送new allowed NSSAI。

或者，如果对一个S-NSSAI执行NSSAA流程的鉴权结果为鉴权成功，且该S-NSSAI可以映射到requested NSSAI所包含的S-NSSAI，则requested NSSAI包含的该S-NSSAI会被添加到new allowed NSSAI中。或者，如果对一个S-NSSAI执行NSSAA流程的鉴权结果为鉴权失败，且该S-NSSAI可以映射到requested NSSAI包含的S-NSSAI，则requested NSSAI包含的该S-NSSAI会被添加到rejected NSSAI中，同时AMF无需更新终端设备的allowed NSSAI，也就是说，AMF不会生成new allowed NSSAI，也不必向终端设备发送new allowed NSSAI。

例如继续前述的示例，AMF对S-NSSAI-1执行了NSSAA流程。那么，如果S-NSSAI-1的NSSAA流程的鉴权结果为鉴权成功，或者说S-NSSAI-1的NSSAA流程执行成功，则AMF可以将S-NSSAI-1添加到allowed NSSAI中，得到新(new)allowed NSSAI，且AMF可以向终端设备发送new allowed NSSAI，new allowed NSSAI可包括S-NSSAI-1和 S-NSSAI-2。而如果S-NSSAI-1的NSSAA流程的鉴权结果为鉴权失败，或者说S-NSSAI-1的NSSAA流程执行失败，则AMF向终端设备发送rejected NSSAI，其中，rejected NSSAI包括S-NSSAI-1，同时AMF不会更新该终端设备的allowed NSSAI。

该步骤506为可选步骤，当执行上述步骤505且需要更新UE的Allowed NSSAI时，执行步骤506。

通过上述实施例，可以实现在UE的注册流程之后，如有需要，可对S-NSSAI执行NSSAA流程，并更新UE的allowed NSSAI。

接下来请参考图6，为NSSAA流程所涉及的步骤的流程图。主要思想是：当AMF决定触发NSSAA流程后，AMF会通过NSSAAF与AAA-S交互传递终端设备的鉴权信息。其中，如果AAA-S位于第三方，NSSAAF无法直接跟AAA-S交互，那么NSSAAF可以间接通过AAA-代理(proxy-P)与AAA-S交互。

S601、AMF对pending NSSAI中的S-NSSAI触发NSSAA流程。

需要注意的是，本申请实施例中，AMF对pending NSSAI包括的S-NSSAI执行NSSAA，可以有两种含义：

第一种：pending NSSAI中的某个S-NSSAI属于签约的S-NSSAI，且该签约的S-NSSAI需要执行NSSAA，那么AMF对该S-NSSAI执行NSSAA。

例如，继续上述的举例1，pending NSSAI＝S-NSSAI-1，由于S-NSSAI-1是HPLMN S-NSSAI，则AMF对S-NSSAI-1执行NSSAA流程。

第二种：pending NSSAI中的某个S-NSSAI与签约的S-NSSAI映射，且该签约的S-NSSAI需要执行NSSAA，那么AMF对该签约的S-NSSAI执行NSSAA。

继续上述的举例2，pending NSSAI＝S-NSSAI-A，由于S-NSSAI-A与S-NSSAI-1映射，则AMF对S-NSSAI-1执行NSSAA流程。

以下步骤S602至S617中涉及的S-NSSAI为终端设备签约的S-NSSAI，且该签约的S-NSSAI需要执行NSSAA流程。

S602、AMF向终端设备发送非接入层(non-access stratum，NAS)移动性管理(mobile management，MM)消息，终端设备接收来自AMF的NAS MM消息。

S602为可选的步骤。NAS MM消息可包括S-NSSAI，NAS MM消息用于向终端设备请求该终端设备的ID，以进行可扩展认证协议(extensible authentication protocol，EAP)认证。

S603、终端设备向AMF发送NAS MM消息，AMF接收来自终端设备的NAS MM消息。

该NAS MM消息包括EAP ID响应(response)以及S-NSSAI，其中的EAP ID Response可以理解为是EAP ID。其中，S603中的S-NSSAI与S602中的S-NSSAI是相同的。

S604、AMF向NSSAAF发送消息(图6中表示为EAP消息传输消息1)，NSSAAF接收来自AMF的该EAP消息传输消息1。该EAP消息传输消息1可包括EAP ID Response、AAA-S地址(address)、通用公共订阅标识(generic public subscription identifier，GPSI)以及S-NSSAI。

其中GPSI是终端设备的外部标识，例如为终端设备的手机号码或者电子邮箱等。AAA-S address是AAA-S的地址，该地址可以预先配置在AMF上或者AMF从UDM获取AAA-S的地址。S-NSSAI是本次执行NSSAA流程的网络切片的标识，且该S-NSSAI 是HPLMN S-NSSAI。

S605、NSSAAF向AAA-P发送EAP消息传输消息2，例如通过调用服务化操作Naaa_Communication_EAPmessageTranfser向AAA-P发送该EAP消息传输消息2，AAA-P接收来自NSSAAF的该EAP消息传输消息2。该EAP消息传输消息2包括EAP ID Response、AAA-S address、GPSI和S-NSSAI。

需要说明的是，如果AAA-S位于第三方网络中，NSSAAF需要通过AAA-P与AAA-S交互。否则，如果AAA-S位于运营商网络中，NSSAAF无需通过AAA-P而是可以直接与AAA-S交互。在图6中S605是以NSSAAF通过AAA-P与AAA-S通信为例，即以AAA-S位于第三方网络中为例进行说明。所以，在具体实施过程中，AAA-P并不是必须存在的，对应的S605也不是必须执行的步骤，所以在图6中是以虚线表示S605和AAA-P的。

S606、AAA-P根据AAA-S address，向AAA-S发送认证请求(auth request)消息，对应的，AAA-S接收来自AAA-P的auth request消息。auth request消息可包括EAP ID Response、GPSI和S-NSSAI。

S607～S614、终端设备与AAA-S之间传递EAP信息(EAP-message)，该过程可能需要交互多次。

其中，EAP-message可以包括EAP ID Response、GPSI和S-NSSAI等信息。传递EAP-message是为了对该终端设备进行EAP认证(authentication)。

S615、EAP认证结束，AAA-S向AAA-P发送认证响应(auth response)消息，AAA-P接收来自AAA-S的认证响应消息。认证响应消息可包括EAP-成功(success)/失败(failure)message、GPSI和S-NSSAI等信息。或者，如果AAA-S和NSSAAF能够直接交互，则AAA-S将EAP-Success/Failure message、GPSI和S-NSSAI发送给NSSAAF，NSSAAF接收来自AAA-S的EAP-Success/Failure message、GPSI和S-NSSAI。

如果NSSAA的鉴权结果为鉴权成功，即，AAA-S发送的是EAP-Success message，则AAA-S保存GSPI和鉴权成功的网络切片的S-NSSAI的对应关系。

S616、AAA-P向NSSAAF发送EAP信息传输消息3，如图6中的S616中所示的，EAP信息传输消息3可以包括EAP-Success/Failure message、S-NSSAI和GPSI等信息。

S617、NSSAAF向AMF发送EAP-Success/Failure message、S-NSSAI和GPSI等信息，AMF接收来自NSSAAF的EAP-Success/Failure message、S-NSSAI和GPSI等信息。

S618、AMF向终端设备发送NAS MM消息，终端设备接收来自AMF的该NAS MM消息。该NAS MM消息携带EAP-Success/Failure message(即EAP成功/失败消息)。

S619、AMF通过UE配置更新流程(UE configuration update procedure)向终端设备发送new allowed NSSAI，终端设备接收来自AMF的new allowed NSSAI。或者，AMF通过UE configuration update procedure向终端设备发送拒绝的NSSAI(rejected NSSAI)。

如果S-NSSAI执行NSSAA流程的鉴权结果为鉴权成功，且该S-NSSAI包含在requested NSSAI里面，则该S-NSSAI会添加到new allowed NSSAI中。或者，如果S-NSSAI执行的NSSAA流程的鉴权结果为鉴权失败，且该S-NSSAI包含在requested NSSAI里面，则该S-NSSAI会添加到rejected NSSAI中，同时AMF无需更新终端设备的allowed NSSAI，也就是说，AMF不会生成new allowed NSSAI，也不必向终端设备发送new allowed NSSAI。

如果S-NSSAI执行NSSAA流程的鉴权结果为鉴权成功，且该S-NSSAI可以映射到requested NSSAI包含的S-NSSAI，则requested NSSAI包含的该S-NSSAI会被添加到new allowed NSSAI中。或者，如果S-NSSAI执行NSSAA流程的鉴权结果为鉴权失败，且该S-NSSAI可以映射到requested NSSAI包含的S-NSSAI，则requested NSSAI包含的该S-NSSAI会被添加到rejected NSSAI中，同时AMF无需更新终端设备的allowed NSSAI，也就是说，AMF不会生成new allowed NSSAI，也不必向终端设备发送new allowed NSSAI。

如果AMF决定需要向终端设备发送new allowed NSSAI或rejected NSSAI，则AMF可通过UE configuration update procedure发送。

针对前述的举例1，如果S-NSSAI-1的NSSAA执行成功，AMF向终端设备发送new allowed NSSAI，其中new Allowed NSSAI包括S-NSSAI-1和S-NSSAI-2。或者，如果S-NSSAI-1的NSSAA执行失败，AMF向终端设备发送rejected NSSAI，其中，rejected NSSAI包括S-NSSAI-1，即AMF不会向终端设备更新allowed NSSAI，也不会向终端设备发送new allowed NSSAI。

针对前述的举例2，如果S-NSSAI-1的NSSAA执行成功，AMF向终端设备发送new allowed NSSAI，其中new Allowed NSSAI包括S-NSSAI-A和S-NSSAI-B。或者，如果S-NSSAI-1的NSSAA执行失败，AMF向终端设备发送rejected NSSAI，其中，rejected NSSAI包括S-NSSAI-A，即AMF不会向终端设备更新rllowed NSSAI，也不会向终端设备发送new allowed NSSAI。

需注意的是，在图4～图6中的任一个附图所示的流程中，用虚线表示的步骤均为可选的步骤。

在对某个切片进行鉴权之后，AAA-S在某个时刻还可能对终端设备之前已经认证成功的切片(slice)进行重认证，比如在认证时长超过预定时长时进行重认证，或者按照一定的周期进行重认证，也就是说，AAA-S可以发起重认证流程，请参见图7所示的切片重认证流程。

S701、AAA-S触发重认证流程，向AAA-P发送AAA协议重认证消息，对应的，AAA-P接收该AAA协议重认证消息。其中，AAA协议重认证消息中包括GPSI和需要重认证的切片对应的标识，即S-NSSAI。AAA协议重认证消息例如又可以称作切片重认证消息。

S702、AAA-P向NSSAAF发送AAA协议重认证消息，对应的，NSSAAF接收AAA-P发送的该AAA协议重认证消息。

S703、NSSAAF向UDM查询服务终端设备的AMF的地址(图7中未示出)，并向对应的AMF发送NSSAA通知消息(图7中表示的是AAA协议重认证消息)，该NAASS通知消息中包括GPSI和步骤1中的S-NSSAI。

S704、AMF发起针对AAA协议重认证消息中包括的待认证的S-NSSAI的重认证流程，具体的认证步骤可以参照图6中的认证过程。

S705、如果重认证过程导致终端设备的allowed NSSAI发生改变，AMF向终端设备发送配置更新消息，以触发终端设备进行配置更新流程，继而更新终端设备的Allowed NSSAI。

根据前文的介绍可知，终端设备可以接入哪些切片是由运营商管理控制的，具体表现在：①作为终端设备的签约数据存放在运营商维护的UDM中；②在AMF上配置。在此基础上，对用户已经签约的NSSAI，运营商支持第三方对终端设备使用切片进行鉴权和授权，即上述的NSSAA流程。只有当终端设备通过了AAA-S对切片相关的鉴权和授权，终端设备才被允许接入切片，即才被允许接入切片所提供的网络服务。

目前，为更好的支持第三方的切片业务，运营商提出了新的场景需求：第三方业务可以向运营商定制终端设备发放给用户使用，并且向运营商租用了多种类型的切片，不同类型的切片为用户提供的业务体验不同，比如租用金、银、铜三种类型切片，金牌用户可以获得专有的带宽，更低时延的网络服务等。这些终端设备和运营商进行签约能够获得运营商提供的网络连接服务，但用户具体使用哪一个切片的签约并不在运营商网络管理控制，而是由第三方管理和控制，即用户接入移动网络后，由第三方授权确定用户具体使用哪个切片，后续某个时刻如果用户想要更改切片签约，比如获得更高的服务质量，则可以向第三方购买，然后第三方跟运营商的移动网络交互，以更新用户使用的切片。由于运营商维护的UDM上存储的数据是比较重要的，并且也是涉及到用户隐私，因此相关技术中是由第三方将用户签约的切片提交给运营商，再由运营商的工作人员更新运营商维护的UDM，以实现对用户的切片签约数据的更新管理。然而，这种管理方式效率低下，可能并不能适应频繁动态更改用户切片签约的需求，也不利于第三方自身对切片业务进行控制，因此需要相应的解决方案。

鉴于此，本申请实施例提供一种切片管理方案，可以通过第三方直接对终端设备的切片进行管理和控制，可以将终端设备的切片签约数据直接存储在第三方，这样也就无需向运营商维护的UDM去请求终端设备的切片签约数据，所以在终端设备的切片签约发生改变时，第三方直接对终端设备的切片进行更新和管理，而无需再由运营商的运维人通过操作来更新UDM数据，这样可以减少用户操作，降低沟通成本，从而提高对切片的管理效率，并且也可以增强第三方对终端设备的业务控制能力，提高了第三方和运营商业务合作的体验，有利于运营商拓展业务。

本申请实施例的技术方案可以应用于各种通信系统，例如：第五代(5th generation，5G)通信系统、第六代(6th generation，6G)通信系统或未来的其他演进系统、或其他各种采用无线接入技术的无线通信系统等，只要该通信系统中存在网络切片的管理，则均可以采用本申请实施例的技术方案。

在下文的实施例介绍中，本申请实施例所述的移动性管理网元可以是图1所示的AMF网元，也可以是未来通信系统中的具有上述AMF网元的功能的网元。以及，本申请实施例所述的认证网元可以是前文所述的AAA-S或者NSSAAF，也可以是未来通信系统中的具有上述AAA-S的功能的网元或者具有上述NSSAAF的功能的网元。以及，本申请实施例所述的数据管理网元可以是前文中提到的UDM，也可以是未来通信系统中的具有上述UDM的功能的网元。

为便于理解，以下结合附图对本申请实施例中的切片管理方案进行说明。

请参见图8所示的本申请实施例提供的一种切片管理方法的流程交互图，图8所示的流程描述如下。

S801、移动性管理网元(图8中以AMF表示)获得切片选择指示信息。

该切片选择指示信息用于指示终端设备的切片签约数据保存在第三方应用服务器中，或者，该切片选择指示信息用于指示由第三方应用为终端设备确定切片，或者，该切片选择指示信息用于指示终端设备的切片由第三方应用确定。通过切片选择指示信息的指示，可以明确终端设备的切片需要由第三方确定。

在具体实施过程中，该切片选择指示信息可以携带在终端设备向AMF发送的注册请求消息中；或者，AMF可以向运营商维护的UDM请求终端设备的切片签约数据，而该切片选择指示信息可以携带在AMF向UDM请求的切片签约数据中，在该实施方式中，切片选择指示信息可以重用相关技术中的鉴权和授权指示信息，或者也可以是新的指示信息。

另外，AMF从终端设备接收的切片选择指示信息和从UDM获得的切片选择指示信息可以同时存在，或者也可以只存在一个，也就是说，AMF可以同时从终端设备和UDM处获得切片选择指示信息，或者也可以仅从终端设备处获得切片选择指示信息，或者也可以仅从UDM处获得切片选择指示信息。

其中的第三方应用服务器可以理解为是服务于第三方应用的服务器，第三方应用服务器提供独立于运营商而由第三方自己维护的服务，所以，第三方应用服务器是不同于运营商所维护的UDM的。在具体实现中，第三方应用服务器与认证网元(例如AAA-S)可以是同一网络结构(例如同一功能网元或者同一实体设备)，即此时的第三方应用服务器就是认证网元，又或者，第三方应用服务器与认证网元是不同的网络结构，此时的第三方应用服务器与认证网元是两个相互独立的功能网元或者是不同的实体设备。在图8中是将第三方应用服务器独立于AAA-S表示，所以是以认证网元与第三方应用服务器是不同的网络结构进行的图示说明。

步骤S801是可选的步骤，所以在图8中以虚线表示S801。也就是说，在具体实施过程中可能执行S801也可能并不执行S801，本申请实施例对此不作限制。

S802、移动性管理网元发起切片请求，具体地，可以向第三方应用服务器发送切片请求信息，该切片请求信息中包括用户标识，例如GPSI，对应的，第三方应用服务器接收到移动性管理网元发送的切片请求信息。

步骤S802仅作为示意的移动性管理网元和第三方应用服务器的交互过程。移动性管理网元可以直接和第三方应用服务器交互，也可以通过其他网元比如NEF同第三方应用服务器交互。

当第三方应用服务器网元为认证网元AAA-S时，AMF通过NSSAAF，AAA-P将切片请求信息发送到AAA-S，具体的：

NSSAAF将切片请求信息发送给AAA-P，对应的，AAA-P接收到NSSAAF发送的切片请求信息。进一步地，AAA-P将切片请求信息发送给认证网元(即AAA-S)，对应的，AAA-S接收到AAA-P发送的切片请求信息。

需要说明的是，在实际网络结构中可能并不包括AAA-P，此时NSSAAF与AAA-S之间可以直接通信，而当包括AAA-P时，NSSAAF与AAA-S之间通过AAA-P通信。

S803、第三方应用服务器根据切片请求信息中的用户标识(GPSI)确定为GPSI对应的终端设备所授权的切片，例如确定出的切片是第一切片，第三方应用服务器生成包括第一S-NSSAI的切片响应信息，并将切片响应信息发送给移动性管理网元，对应的，移动性管理网元接收第三方应用服务器发送的切片响应信息。其中的第一S-NSSAI是用于标识第一切片的S-NSSAI。

步骤S803仅作为示意移动性管理网元和第三方应用服务器的交互。移动性管理网元可以直接和第三方应用服务器交互，也可以通过其他网元比如NSSAAF或者NEF同第三方应用服务器交互。

当第三方应用服务器网元为认证网元AAA-S时，AMF网元通过NSSAAF，AAA-P与AAA-S进行信息交互。具体的：

AAA-S在从第三方业务服务器处获得第三方应用为终端设备授权的第一切片对应的第一S-NSSAI之后，生成包括第一S-NSSAI的切片响应信息，并将切片响应信息发送给 AAA-P，对应的，AAA-P接收到AAA-S发送的切片响应信息。

进一步地，AAA-P将切片响应信息发送给NSSAAF，对应的，NSSAAF接收到AAA-P发送的切片响应信息。

然后，NSSAAF将切片响应信息发送给AMF，对应的，AMF接收到NSSAAF发送的切片响应信息，进而可以得到切片响应信息中携带的第一S-NSSAI，即，AMF获得来自于第三方应用服务器的第一S-NSSAI。

因为目前为了更好的支持第三方的切片业务，可以由第三方自行对用户签约数据进行管理和控制，所以终端设备的切片签约数据可以预先保存在第三方应用服务器中，进而在为终端设备分配切片时，可以将已经由第三方真实授权的切片直接分配给终端设备，这样也就无需向运营商维护的UDM去请求终端设备的切片签约数据，所以在终端设备的切片签约发生改变时，第三方直接在自身维护的第三方应用服务器中进行更新和管理，而无需再由运营商的运维人通过操作来更新UDM数据，这样可以减少用户操作，降低沟通成本，从而提高对切片的管理效率，并且也可以增强第三方对终端设备的业务控制能力，提高了第三方和运营商业务合作的体验，有利于运营商拓展业务。

S804、可选的，AMF还可以发起对第一S-NSSAI的NSSAA流程，即对第一S-NSSAI进行NSSAA。

对第一S-NSSAI进行NSSAA的流程可以按照相关技术中的NSSAAF执行，此处就不再重复说明了。

另外，由于步骤S804是可选的步骤，所以在图8中以虚线表示S804。

S805、AMF将第一S-NSSAI发送给终端设备，对应的，终端设备接收到AMF发送的第一S-NSSAI。例如，在对第一S-NSSAI执行NSSAA流程的结果是认证成功时，AMF将第一S-NSSAI发送给终端设备。终端设备可以进行切片配置更新，即以接收到的第一S-NSSAI来更新终端设备允许接入的S-NSSAI。

也就是说，AMF发送给终端设备的第一S-NSSAI所指示的第一切片是在第三方应用服务器中授权给终端设备的切片，这样，可以直接由第三方对终端设备的切片签约数据进行管理，可以提高对切片的管理效率，并且也可以增强第三方对终端设备的业务控制能力。

本申请实施例中，通过第三方应用服务器直接为终端设备分配经第三方直接授权的切片，也就是说，用户的签约数据可以直接存放在第三方应用服务器中，这样，注册分配切片时，可以直接从第三方应用服务器处获得用户在第三方中真正授权的切片，而无需再从运营商维护的UDM中去获取，这样可以减少从第三方到运营商进行更新的步骤，由第三方直接对切片进行管理，提高了切片管理效率，增强了第三方对终端设备的业务控制能力。

在具体实施过程中，还可以按照图9所示的流程将第一S-NSSAI发送给终端设备，在图9中是将第三方应用服务器是认证网元(即认证网元和第三方应用服务器为同一网络结构)为例进行说明。图9所示的流程描述如下。

S901、AMF获得切片选择指示信息。

S901中的切片选择指示信息与S801中的切片选择指示信息的含义一样，步骤S901的实施可以参照步骤S801的实施例描述。

S902、AMF发起切片认证请求，具体地，可以先向NSSAAF发送切片认证请求。

AMF发送的切片认证请求包括终端设备的终端标识(例如GPSI)和第二S-NSSAI，第二S-NSSAI用于标识在数据管理网元(例如运营商维护的UDM)中为所述终端设备签约的切片，假设第二S-NSSAI标识第二切片，那么第二切片是在运营商维护的UDM中为终端设备签约的切片，在本申请实施例中，可以将第二S-NSSAI称作缺省的(default)S-NSSAI，由于第二S-NSSAI签约在UDM中，AMF可以预先向UDM请求终端设备的签约数据，进而从签约数据中获得第二S-NSSAI。

S903、NSSAAF将切片认证请求发送给AAA-P，对应的，AAA-P接收到NSSAAF发送的切片认证请求。

S904、AAAA-P将切片认证请求发送给AAA-S，对应的，AAA-S接收到AAA-P发送的切片认证请求。

S905、AAA-S在接收到切片认证请求之后，可以获得其中的终端标识和第二S-NSSAI。

如前所述的，第二S-NSSAI所对应的第二切片是在UDM中签约给终端设备的，但是其并不一定是第三方实际授权给终端设备的切片，本申请实施例通过预先为终端设备在UDM签约缺省的第二S-NSSAI来复用相关技术中的认证流程，如此，在获得第二S-NSSAI之后即可执行认证流程。

在UDM中为终端设备签约的第二S-NSSAI并不一定是第三方实际为终端设备授权的S-NSSAI，所以，在进行切片认证时，AMF可以先向第三方应用服务器查询是否将第二S-NSSAI授权给该终端设备，若第二S-NSSAI未在第三方应用服务器处为终端设备授权过，则从第三方应用服务器处查询已经为终端设备授权过的S-NSSAI，例如查询出的是为终端设备授权过第一S-NSSAI，则可以将第一S-NSSAI作为终端设备认证通过的S-NSSAI。或者，若第二S-NSSAI在第三方应用服务器处授权过，则可以直接将第二S-NSSAI确定为是在第三方应用服务器处经过授权的S-NSSAI，此时可以将从第三方应用服务器处查询到的为终端设备授权过的其它S-NSSAI(例如第一S-NSSAI)或者第二S-NSSAI作为终端设备认证通过的S-NSSAI。

为便于描述，将第三方应用服务器处通过授权认证的S-NSSAI称作第一S-NSSAI，那么第一S-NSSAI可能就是第二S-NSSAI，即第一S-NSSAI和第二S-NSSAI相同，或者，第一S-NSSAI和第二S-NSSAI是不同的S-NSSAI。

在认证过程中，可以先判断第三方应用服务器中是否有为终端设备已经授权过的S-NSSAI，若有，则可以确定认证通过，并且可以选择一个S-NSSAI(称作第一S-NSSAI)作为通过认证的S-NSSAI，也就是说，第一S-NSSAI对应的第一切片是第三方应用服务器为终端设备实际授权的切片。

S906、AAA-S获得由第三方应用服务器为终端设备实际授权的第一切片对应的第一S-NSSAI，也就是说，第一S-NSSAI所标识的第一切片是由第三方为终端设备授权的。

S907、在获得由第三方应用服务器为终端设备实际授权的第一切片对应的第一S-NSSAI之后，即表明认证成功，此时AAA-S可以生成认证结果指示信息，并将生成的认证结果指示信息和第一S-NSSAI发送给AAA-P。

在具体实施过程中，可以将认证结果指示信息和第一S-NSSAI同时携带在认证响应信息中一并发送给AAA-P，对应的，AAA-P接收到AAA-S发送的认证结果指示信息和第一S-NSSAI。

S908、AAA-P将认证结果指示信息和第一S-NSSAI发送给NSSAAF，对应的，NSSAAF接收到AAA-P发送的认证结果指示信息和第一S-NSSAI。

S909、NSSAAF将认证结果指示信息和第一S-NSSAI发送给AMF，对应的，AMF接收到NSSAAF发送的认证结果指示信息和第一S-NSSAI。

S910、AMF在接收到认证结果指示信息和第一S-NSSAI之后，可以确定认证成功，进而可以将第一S-NSSAI发送给终端设备，对应的，终端设备接收到AMF发送的第一S-NSSAI。

S911、终端设备在接收到第一S-NSSAI之后，可以确定第一S-NSSAI是由第三方授权的S-NSSAI，可以进行切片配置更新，即以接收到的第一S-NSSAI来更新终端设备允许接入的S-NSSAI。

在本申请实施例中，实现了第三方授权的切片，这样便于第三方直接管理和维护用户使用的切片，而无需再提交给运营商进行管理和维护，增强了第三方对终端设备的业务控制能力，提高了第三方和运营商业务合作的体验，有利于运营商拓展业务。

请参见图10所示的另一切片管理方法的流程交互图，图10所示的流程描述如下。

S1001、AMF发起切片认证请求，具体地，AMF可以向NSSAAF发送切片认证请求。

该切片认证请求包括终端设备的EAP标识响应消息和需要认证的第一S-NSSAI，该第一S-NSSAI用于标识在数据管理网元(即运营商维护的UDM)中为终端设备签约的至少两个切片中的一个切片。此外，切片认证请求中还可以包括终端设备对应的终端标识，例如终端设备的GPSI。其中的EAP标识响应消息例如是图6中S604中的EAP消息传输消息1，EAP标识响应消息包括EAP ID等信息。

也就是说，本申请实施例是对UDM签约的切片进行认证，第三方租用的运营商的所有切片都可以作为S-NSSAI为终端设备预先签约存放在UDM中，对于UDM中的每个S-NSSAI，都可以配置切片相关的鉴权和授权(slice-specific authentication and authorization)指示，即UDM中签约的每个S-NSSAI均需要进行授权认证。这样，对于UDM中的每个S-NSSAI，AMF都会发起认证流程。

S1002、NSSAAF将切片认证请求发送给AAA-P，对应的，AAA-P接收到NSSAAF发送的切片认证请求。

S1003、AAA-P将切片认证请求发送给AAA-S，对应的，AAA-S接收到AAA-P发送的切片认证请求。

在接收到切片认证请求之后，AAA-S获得其中包括的EAP标识响应消息和需要进行认证的第一S-NSSAI。

S1004、AMF发起对EAP标识响应消息的认证，即，判断EAP标识响应消息是否通过认证。

S1004可以按照相关技术中的认证流程对终端设备的EAP标识响应消息进行认证，例如判断EAP标识响应消息对应的用户凭证信息是否合法等，进而得到第一认证结果。

S1005、AMF确定第一S-NSSAI标识的切片是否是第三方应用服务器允许终端设备接入的切片，也就是说，可以判断第一S-NSSAI标识的切片是否是第三方实际授权的切片，进而得到第二认证结果。

也就是说，在S1004的基础上，还通过第三方是否对第二S-NSSAI实际授权进行了二重验证，这样可以通过双重验证的方式不仅可以确保验证的准确性，同时可以保证由第三方应用服务器参与了认证过程，这样在验证通过时表明是对应的第一S-NSSAI确实是由第三方预先授权的S-NSSAI，通过第三方对第一S-NSSAI的验证实现了对切片的管理和控制。

S1006、在第一认证结果和第二认证结果均为是时，即在EAP标识响应消息认证成功且第一S-NSSAI标识的切片是第三方应用服务器允许终端设备接入的切片时，即可以认为认证成功，而只要第一认证结果和第二认证结果中存在一个认证失败时，则可以认为最终认证失败。进而，可以根据最终的认证结果生成对应的认证结果指示信息，所以，认证结果指示信息有可能指示EAP认证成功，也有可能指示EAP认证失败。

S1007、AAA-S将生成的认证结果指示信息发送给AAA-P，对应的，AAA-P接收到AAA-S发送的认证结果指示信息。

S1008、AAA-P将认证结果指示信息发送给NSSAAF，对应的，NSSAAF接收到AAA-P发送的认证结果指示信息。

S1009、NSSAAF将认证结果指示信息发送给AMF，对应的，AMF接收到NSSAAF发送的认证结果指示信息。

S1010、AMF在接收到认证结果指示信息之后，根据认证结果指示信息的指示可以确认EAP认证成功或者EAP认证失败。在确定EAP认证成功时，可以向终端设备发送包括第一S-NSSAI的允许接入的S-NSSAI，以使终端设备根据允许接入的S-NSSAI来更新自身的切片配置。终端设备可以进行切片配置更新，即以接收到的第一S-NSSAI来更新终端设备的允许接入的S-NSSAI。

本申请实施例中，在相关技术中的认证流程的基础上，AMF可以判断待验证的S-NSSAI标识的切片到底是否是第三方应用服务器实际允许终端设备接入的切片，这样通过二重验证的方式让第三方参与了切片的认证，这样得到的认证结果是考虑了第三方对待验证切片的实际授权情况，实现了第三方对切片的直接管理和控制。

再请参见图11所示的另一切片管理方法的流程交互图，图11所示的流程描述如下。

S1101、第三方应用服务器确定终端设备接入的切片由第一切片变为第二切片。

在用户的切片签约发生改变时，例如，终端设备之前接入的第一切片是铜牌类型的切片，为了加速，用户付费购买了金牌类型的切片(例如称作第二切片)，则需要将终端设备接入的切片由第一切片切换为第二切片，在第三方应用服务器处可以更改用户签约的切片数据，即将第二切片配置为允许终端设备接入的切片，以及将第一切片配置为不允许终端设备接入的切片，可见，终端设备的切片签约数据可保存在第三方应用服务器中，可以由第三方应用直接管理，从而实现第三方对切片的直接管理。

假设，将第一切片对应的S-NSSAI称作第一S-NSSAI，将第二切片对应的S-NSSAI称作第二S-NSSAI。

S1102、第三方应用服务器向移动性管理网元(例如AMF)发送切片更新信息，对应的，AMF接收到第三方应用服务器发送的切片更新信息。

在满足切片切换触发条件时，例如上述的检测到需要将终端设备的切片由第一切片变为第二切片时，第三方应用服务器可以生成切片更新信息，该切片更新信息中包括需要切换的第二切片对应的第二S-NSSAI，通过切片更新信息可以指示需要对第二S-NSSAI进行认证。切片更新信息中还可以包括终端设备对应的终端标识，例如GPSI等信息。

在一种可选的实施方式中，切片更新信息中还可以包括第一S-NSSAI，也就是说，还可以在切片更新信息中携带已经失效的第二切片对应的S-NSSAI，其中的“已经失效”表示不再允许终端设备接入。该第二切片例如可以是图8～图10中经过授权认证的第一S-NSSAI对应的切片。

在生成切片更新信息之后，第三方应用服务器将其向移动性管理网元发送，以触发移动性管理网元进行切片更新。

步骤S1102仅作为示意性的移动性管理网元和第三方应用服务器之间的交互。移动性管理网元可以直接和第三方应用服务器交互，也可以通过其他网元比如NSSAAF或者NEF同第三方应用服务器交互。当第三方应用服务器网元为认证网元AAA-S时，第三方应用服务器(AAA-S)通过NSSAAF、AAA-P与移动性管理网元进行信息交互。具体的：

AAA-S向AAA-P发送切片更新信息，对应的，AAA-P接收到AAA-S发送的切片更新信息。然后，AAA-P向NSSAAF发送切片更新信息，对应的，NSSAAF接收到AAA-P发送的切片更新信息。进一步地，NSSAAF向AMF发送切片更新信息，对应的，AMF接收到NSSAAF发送的切片更新信息，从而，AMF接收来自第三方应用服务器的切片更新信息。

本申请实施例中，可以由第三方应用服务器直接发起对终端设备的切片更新流程，也就是说，第三方应用服务器可以直接对切片进行更新控制，无需再通过与运营商维护的UDM进行交互才能实现切片更新，提高了切片更新效率，增强了第三方对切片的业务控制能力，提高了第三方和运营商业务合作的体验，有利于运营商拓展业务。

S1103、可选的，AMF可以发起针对第二S-NSSAI进行认证的流程，即针对第二S-NSSAI进行NSSAA流程，以对第二S-NSSAI进行认证。

AMF在收到来自第三方应用服务器的切片更新信息之后，即可发起对第二S-NSSAI的认证流程。具体地，可以采用相关技术中的NSSAAF流程来对第二S-NSSAI进行鉴权和授权认证，例如采用前述图6中介绍的认证方式对第二S-NSSAI进行认证。

步骤S1103所对应的认证流程是可选的步骤。在另一种实施方式中，AMF也可以认为AAA-S传递切片已经经过认证授权，而选择跳过S1103而直接执行步骤S1104。

S1104、AMF向终端设备发送配置更新信息，对应的，终端设备接收到AMF发送的该配置更新信息。终端进行切片配置更新的方式可以按照相关技术中的配置更新流程执行。

例如若执行S1103的认证步骤的话，则可以在对第二S-NSSAI认证成功时向终端设备发送配置更新信息。

S1105、终端设备根据配置更新信息可以进行切片配置更新，即以接收到的第二S-NSSAI来更新终端设备的允许接入的S-NSSAI，从而完成切片认证，并更新本地保存的切片。

由于第一S-NSSAI是被切换的S-NSSAI以及第二S-NSSAI是需要切换的S-NSSAI，例如可以将第一S-NSSAI称作旧的S-NSSAI，以及将第二S-NSSAI称作新的S-NSSAI。若新的S-NSSAI会导致终端设备的允许接入的S-NSSAI发生改变，AMF则可以向终端设备发送配置更新信息，将新的S-NSSAI(即第二S-NSSAI)携带在配置更新信息中发送给终端设备，以使终端设备进行切片配置更新，在允许接入的S-NSSAI中添加上新的S-NSSAI。以及，若旧的S-NSSAI会导致终端设备的允许接入的S-NSSAI发生改变，AMF也可以向终端设备发送配置更新信息，在允许接入的S-NSSAI中删除旧的S-NSSAI。

也就是说，可以将已经失效的旧的切片也告知终端设备，这样在失效的切片对终端设备的允许接入的切片有影响时，可便于终端设备准确地更新允许接入的切片，以实现对切片的准确更新，提高切片更新的有效性。

在一种可能的实施方式中，切片更新信息例如可以是相关技术的重认证流程中的切片重认证消息，在该实施方式中，可以复用相关技术中的重认证流程来实现对第二S-NSSAI 的认证。为便于理解该实施方式，以下结合图12进行说明，在图12的描述中，以第三方应用服务器是认证网元(AAA-S)为例进行说明，图12所示的流程描述如下。

S1201、认证网元确定终端设备接入的切片由第一切片变化第二切片。

步骤S1201的实施可以参照步骤S1201的实施例理解，在此不重复说明了。

此外，本申请实施例中第二切片可以是未经授权认证的切片，即，之前未对第二切片对应的第二S-NSSAI进行过NSSAA，也就是说，终端设备需要切换的切片是未经过授权认证的切片。

S1202、认证网元生成切片重认证消息，并将该切片重认证消息发送给AAA-P，对应的，AAA-P接收认证网元发送的切片重认证消息。

对比图11理解，S1202中的切片重认证消息相当于是图11中的切片更新信息，认证网元之所以生成切片重认证消息，是为了复用相关技术中对切片进行重认证的流程来实现对第二S-NSSAI的认证。

与图11中的切片更新信息类似的，本申请实施例中的切片重认证消息中包括第二S-NSSAI。以及，在一种可选的实施方式中，切片重认证消息中还可以包括用于标识第一切片的旧的S-NSSAI，即第一S-NSSAI。

S1203、AAA-P将切片重认证消息发送给NSSAAF，对应的，NSSAAF接收到AAA-P发送的切片重认证消息。

S1204、NSSAAF将切片重认证消息发送给AMF，对应的，AMF接收到NSSAAF发送的切片重认证消息。

S1205、AMF在收到切片重认证消息后，获得其中的第二S-NSSAI。进一步地，可以针对第二S-NSSAI进行NSSAA，即对第二S-NSSAI进行授权认证，具体可以采用相关技术中的认证方式来对第二S-NSSAI进行认证，此处就不再重复说明了。

S1206、在对第二S-NSSAI认证成功时，AMF向终端设备发送配置更新信息，对应的，终端设备接收到AMF发送的第二S-NSSAI。

S1207、终端设备收到配置更新信息之后，可以进行切片配置更新即以接收到的第二S-NSSAI来更新终端设备的允许接入的S-NSSAI，从而完成切片认证。

步骤S1206～S1207的实施可以参照步骤S1104～S1105的实施例进行理解，此处就不再重复说明了。

因为相关技术中的重认证流程是对之前已经进行过认证的S-NSSAI进行重认证，而本申请实施例中，通过复用相关技术的重认证流程可以实现对之前未认证过的S-NSSAI进行认证，提供了一种新的切片更新和切片认证方式，提高了切片管理的灵活性。

基于同一技术构思，本申请实施例提供一种切片管理装置，该切片管理装置可以是移动性管理网元(例如AMF)或者设置在移动性管理网元内部的芯片。该切片管理装置具备实现上述图8～图9所示实施例中的移动性管理网元的功能，比如，该切片管理装置包括执行上述图8～图9所示实施例中的移动性管理网元所执行的步骤所对应的模块或单元或手段(means)，所述功能或单元或手段可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现。例如，参见图13所示，本申请实施例中的切片管理装置包括发起单元1301、接收单元1302和发送单元1303，其中：

发起单元1301，用于发起切片请求，切片请求包括终端设备的终端标识；

接收单元1302，用于接收来自第三方应用服务器的第一S-NSSAI，第一S-NSSAI用于标识第三方应用服务器为终端设备授权的切片；

发送单元1303，用于向终端设备发送第一S-NSSAI。

在一种可能的实施方式中，第三方应用服务器为认证网元，发起单元1301用于发起切片认证请求，切片认证请求包括第二S-NSSAI和终端标识，第二S-NSSAI用于标识在数据管理网元中为终端设备签约的切片；对应的，接收单元1302用于接收来自认证网元的认证结果指示信息和第一S-NSSAI。

在一种可能的实施方式中，接收单元1302还用于接收来自终端设备或数据管理网元的切片选择指示信息，切片选择指示信息用于指示由第三方应用为终端设备确定切片。

基于同一技术构思，本申请实施例提供一种切片管理装置，该切片管理装置可以是第三方应用服务器或者认证网元(例如AAA-S)，或者是设置在第三方应用服务器或者认证网元内部的芯片。该切片管理装置具备实现上述图8～图9所示实施例中的第三方应用服务器和认证网元的功能，比如，该切片管理装置包括执行上述图8～图9所示实施例中的第三方应用服务器和认证网元所执行的步骤所对应的模块或单元或手段(means)，所述功能或单元或手段可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现。例如，参见图14所示，本申请实施例中的切片管理装置包括接收单元1401、确定单元1402和发送单元1403，其中：

接收单元1401，用于接收来自移动性管理网元的切片请求，切片请求包括终端设备的终端标识；

确定单元1402，用于根据终端标识确定第三方应用服务器为终端设备授权的切片；

发送单元1403，用于向移动性管理网元发送第一S-NSSAI，第一S-NSSAI用于标识第三方应用服务器为终端设备授权的切片。

在一种可能的实施方式中，第三方应用服务器为认证网元，接收单元1401用于接收来自移动性管理网元的切片认证请求，切片认证请求包括第二S-NSSAI和终端标识，第二S-NSSAI用于标识在数据管理网元中为终端设备签约的切片；对应的，发送单元1403用于向移动性管理网元发送认证结果指示信息和第一S-NSSAI。

对于图13～图14所示的切片管理装置，在一种可能的实施方式中，认证结果指示信息用于指示认证成功。

对于图13～图14所示的切片管理装置，在一种可能的实施方式中，第二S-NSSAI与第一S-NSSAI相同，或者，第二S-NSSAI与第一S-NSSAI不同。

基于同一技术构思，本申请实施例提供一种切片管理装置，该切片管理装置可以是认证网元(例如AAA-S)，或者是设置在认证网元内部的芯片。该切片管理装置具备实现上述图10所示实施例中的认证网元的功能，比如，该切片管理装置包括执行上述图10所示实施例中的认证网元所执行的步骤所对应的模块或单元或手段(means)，所述功能或单元或手段可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现。例如，参见图15所示，本申请实施例中的切片管理装置包括接收单元1501、认证单元1502和发送单元1503，其中：

接收单元1501，用于接收来自移动性管理网元发送的切片认证请求，切片认证请求包括终端设备的EAP标识响应消息和第一S-NSSAI，第一S-NSSAI用于标识在数据管理网元中为终端设备签约的至少两个切片中的一个切片；

认证单元1502，用于根据EAP标识响应消息是否通过认证且第一S-NSSAI标识的切片是否是第三方应用服务器允许终端设备接入的切片的判断结果，生成认证结果指示信息，认证结果指示信息包括EAP成功消息或者EAP失败消息；

发送单元1503，用于向移动性管理网元发送认证结果指示信息。

基于同一技术构思，本申请实施例提供一种切片管理装置，该切片管理装置可以是移动性管理网元(例如AMF)，或者是设置在移动性管理网元内部的芯片。该切片管理装置具备实现上述图10所示实施例中的移动性管理网元的功能，比如，该切片管理装置包括执行上述图10所示实施例中的移动性管理网元所执行的步骤所对应的模块或单元或手段(means)，所述功能或单元或手段可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现。例如，参见图16所示，本申请实施例中的切片管理装置包括发起单元1601和接收单元1602，其中：

发起单元1601，用于发起切片认证请求，切片认证请求包括终端设备的EAP标识响应消息和第一息S-NSSAI，第一S-NSSAI用于标识在数据管理网元中为终端设备签约的至少两个切片中的一个切片；

接收单元1602，用于接收来自认证网元的认证结果指示信息，其中，认证结果指示信息是认证网元根据EAP标识响应消息是否通过认证且第一S-NSSAI标识的切片是否是第三方应用服务器允许终端设备接入的切片的判断结果生成的。

基于同一技术构思，本申请实施例提供一种切片管理装置，该切片管理装置可以是第三方应用服务器或者认证网元(例如AAA-S)，或者是设置在第三方应用服务器或者认证网元内部的芯片。该切片管理装置具备实现上述图11～图12所示实施例中的第三方应用服务器或者认证网元的功能，比如，该切片管理装置包括执行上述图11～图12所示实施例中的第三方应用服务器或者认证网元所执行的步骤所对应的模块或单元或手段(means)，所述功能或单元或手段可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现。例如，参见图17所示，本申请实施例中的切片管理装置包括确定单元1701和发送单元1702，其中：

确定单元1701，用于确定允许终端设备接入的切片由第一切片变为第二切片；

发送单元1702，用于向移动性管理网元发送切片更新信息，切片更新信息包括第二S-NSSAI，第二S-NSSAI用于标识第二切片。

基于同一技术构思，本申请实施例提供一种切片管理装置，该切片管理装置可以是移动性管理网元(例如AMF)，或者是设置在移动性管理网元内部的芯片。该切片管理装置具备实现上述图11～图12所示实施例中的移动性管理网元的功能，比如，该切片管理装置包括执行上述图11～图12所示实施例中的移动性管理网元所执行的步骤所对应的模块或单元或手段(means)，所述功能或单元或手段可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现。例如，参见图18所示，本申请实施例中的切片管理装置包括接收单元1801和发送单元1802，其中：

接收单元1801，用于接收来自第三方应用服务器的切片更新信息，切片更新信息包括第二S-NSSAI，第二S-NSSAI用于标识第二切片；

发送单元1802，用于向终端设备发送第二S-NSSAI。

在一种可能的实施方式中，第三方应用服务器为认证网元，第二切片为未经过授权认证的切片，本申请实施例中的切片管理装置还可以包括认证单元1803，用于发起对第二S-NSSAI进行认证的流程，并在对第二S-NSSAI认证通过时，向终端设备发送配置更新信息，配置更新信息用于更新终端设备允许接入的切片。

在一种可能的实施方式中，切片更新信息为切片重认证消息。

对于图17～图18所示的切片管理装置，在一种可能的实施方式中，切片更新信息还包括用于标识第一切片的第一S-NSSAI，第一切片当前不允许终端设备接入。

基于同一技术构思，参见图19所示，本申请实施例还提供一种通信设备，该通信设备例如是移动性管理网元(例如AMF)，该通信设备包括：

至少一个处理器1901；以及与至少一个处理器1901通信连接的通信接口1903；至少一个处理器1901通过执行存储器1902存储的指令，使得该通信设备通过通信接口1903执行上述图8～图11所示实施例中的移动性管理网元所执行的方法步骤。

可选的，存储器1902位于通信设备之外。

可选的，通信设备包括存储器1902，存储器1902与至少一个处理器1901相连，存储器1902存储有可被至少一个处理器1901执行的指令。图19中用虚线表示存储器1902对于通信设备是可选的。

其中，至少一个处理器1901和存储器1902可以通过接口电路耦合，也可以集成在一起，这里不做限制。

本申请实施例中不限定上述处理器1901、存储器1902以及通信接口1903之间的具体连接介质。本申请实施例在图19中以处理器1901、存储器1902以及通信接口1903之间通过总线1904连接，总线在图19中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图19中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

基于同一技术构思，参见图20所示，本申请实施例还提供一种通信设备，该通信设备例如是认证网元(例如AAA-S)或者第三方应用服务器，该通信设备包括：

至少一个处理器2001；以及与至少一个处理器2001通信连接的通信接口2003；至少一个处理器2001通过执行存储器2002存储的指令，使得该通信设备通过通信接口2003执行上述图8～图11所示实施例中的认证网元或第三方应用服务器所执行的方法步骤。

可选的，存储器2002位于通信设备之外。

可选的，通信设备包括存储器2002，存储器2002与至少一个处理器2001相连，存储器2002存储有可被至少一个处理器2001执行的指令。图20中用虚线表示存储器2002对于通信设备是可选的。

其中，至少一个处理器2001和存储器2002可以通过接口电路耦合，也可以集成在一起，这里不做限制。

本申请实施例中不限定上述处理器2001、存储器2002以及通信接口2003之间的具体连接介质。本申请实施例在图20中以处理器2001、存储器2002以及通信接口2003之间通过总线2004连接，总线在图20中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图20中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

应理解，本申请实施例中提及的处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

示例性的，处理器可以是中央处理单元(central processing unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic rAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Eate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

应注意，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

基于同一技术构思，本申请实施例还提供一种通信系统，该通信系统包括图13中的通信装置和图14中的通信装置，或者包括图15中的通信装置和图16中的通信装置，或者包括图17中的通信装置和图18中的通信装置，或者包括图19中的通信设备和图20中的通信设备。

基于同一技术构思，本申请实施例还提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得上述图8～图12所示实施例中的移动性管理网元(例如AMF)所执行的方法被执行。

基于同一技术构思，本申请实施例还提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得上述图8～图12所示实施例中的认证网元(例如AAA-S)所执行的方法被执行。

基于同一技术构思，本申请实施例还提供一种计算机可读存储介质，包括程序或指令，当所述程序或指令在计算机上运行时，使得上述图8～图12所示实施例中的第三方应用服务器所执行的方法被执行。

基于同一技术构思，本申请实施例还提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得上述图8～图12所示实施例中的移动性管理网元(例如AMF)所执行的方法被执行。

基于同一技术构思，本申请实施例还提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得上述图8～图12所示实施例中的认证网元(例如AAA-S)所执行的方法被执行。

基于同一技术构思，本申请实施例还提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，使得上述图8～图12所示实施例中的第三法应用服务器所执行的方法被执行。

基于同一技术构思，本申请实施例还提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得上述图8～图12所示实施例中的移动性管理网元(例如AMF)所执行的方法被执行。

基于同一技术构思，本申请实施例还提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得上述图8～图12所示实施例中的认证网元(例如AAA-S)所执行的方法被执行。

基于同一技术构思，本申请实施例还提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得上述图8～图12所示实施例中的第三方应用服务器所执行的方法被执行。

本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，数字通用光盘(digital versatile disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种切片管理方法，其特征在于，所述方法包括：

移动性管理网元发起切片请求，所述切片请求包括终端设备的终端标识；

所述移动性管理网元接收来自第三方应用服务器的第一单一网络切片选择辅助信息S-NSSAI，所述第一S-NSSAI用于标识所述第三方应用服务器为所述终端设备授权的切片；

所述移动性管理网元向所述终端设备发送所述第一S-NSSAI。
如权利要求1所述的方法，其特征在于，所述第三方应用服务器为认证网元，所述移动性管理网元发起切片请求，包括：

所述移动性管理网元发起切片认证请求，所述切片认证请求包括第二S-NSSAI和所述终端标识，所述第二S-NSSAI用于标识在数据管理网元中为所述终端设备签约的切片；

对应的，所述移动性管理网元接收来自第三方应用服务器的第一S-NSSAI，包括：

所述移动性管理网元接收来自所述认证网元的认证结果指示信息和所述第一S-NSSAI。
如权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述移动性管理网元接收来自所述终端设备或数据管理网元的切片选择指示信息，所述切片选择指示信息用于指示由第三方应用为所述终端设备确定切片。
一种切片管理方法，其特征在于，所述方法包括：

第三方应用服务器接收来自移动性管理网元的切片请求，所述切片请求包括终端设备的终端标识；

所述第三方应用服务器根据所述终端标识确定所述第三方应用服务器为所述终端设备授权的切片；

所述第三方应用服务器向所述移动性管理网元发送第一单一网络切片选择辅助信息S-NSSAI，所述第一S-NSSAI用于标识所述第三方应用服务器为所述终端设备授权的切片。
如权利要求4所述的方法，其特征在于，所述第三方应用服务器为认证网元，第三方应用服务器接收来自移动性管理网元的切片请求，包括：

所述认证网元接收来自所述移动性管理网元的切片认证请求，所述切片认证请求包括第二S-NSSAI和所述终端标识，所述第二S-NSSAI用于标识在数据管理网元中为所述终端设备签约的切片；

对应的，所述第三方应用服务器向所述移动性管理网元发送第一S-NSSAI，包括：

所述认证网元向所述移动性管理网元发送认证结果指示信息和所述第一S-NSSAI。
如权利要求2或5所述的方法，其特征在于，所述认证结果指示信息用于指示认证成功。
如权利要求2或5所述的方法，其特征在于，所述第二S-NSSAI与所述第一S-NSSAI相同，或者，所述第二S-NSSAI与所述第一S-NSSAI不同。
一种切片管理方法，其特征在于，所述方法包括：

认证网元接收来自移动性管理网元发送的切片认证请求，所述切片认证请求包括终端设备的可扩展认证协议EAP标识响应消息和第一单一网络切片选择辅助信息S-NSSAI，所述第一S-NSSAI用于标识在数据管理网元中为所述终端设备签约的至少两个切片中的一个切片；

所述认证网元根据所述EAP标识响应消息是否通过认证且所述第一S-NSSAI标识的切片是否是第三方应用服务器允许所述终端设备接入的切片的判断结果，生成认证结果指示信息，所述认证结果指示信息包括EAP成功消息或者EAP失败消息；

所述认证网元向所述移动性管理网元发送所述认证结果指示信息。
一种切片管理方法，其特征在于，所述方法包括：

移动管理网元发起切片认证请求，所述切片认证请求包括终端设备的可扩展认证协议EAP标识响应消息和第一单一网络切片选择辅助信息S-NSSAI，所述第一S-NSSAI用于标识在数据管理网元中为所述终端设备签约的至少两个切片中的一个切片；

所述移动管理网元接收来自认证网元的认证结果指示信息，其中，所述认证结果指示信息是所述认证网元根据所述EAP标识响应消息是否通过认证且所述第一S-NSSAI标识的切片是否是第三方应用服务器允许所述终端设备接入的切片的判断结果生成的。
一种切片管理方法，其特征在于，所述方法包括：

第三方应用服务器确定允许终端设备接入的切片由第一切片变为第二切片；

所述第三方应用服务器向移动性管理网元发送切片更新信息，所述切片更新信息包括第二单一网络切片选择辅助信息S-NSSAI，所述第二S-NSSAI用于标识所述第二切片。
一种切片管理方法，其特征在于，所述方法包括：

移动性管理网元接收来自第三方应用服务器的切片更新信息，所述切片更新信息包括第二单一网络切片选择辅助信息S-NSSAI，所述第二S-NSSAI用于标识第二切片；

所述移动性管理网元向终端设备发送所述第二S-NSSAI。
如权利要求11所述的方法，其特征在于，所述第三方应用服务器为认证网元，所述第二切片为未经过授权认证的切片，所述方法还包括：

所述移动性管理网元发起对所述第二S-NSSAI进行认证的流程；

在对所述第二S-NSSAI认证通过时，所述移动性管理网元向终端设备发送配置更新信息，所述配置更新信息用于更新所述终端设备允许接入的切片。
如权利要求12所述的方法，其特征在于，所述切片更新信息为切片重认证消息。
如权利要求10-13任一所述的方法，其特征在于，所述切片更新信息还包括用于标识所述第一切片的第一S-NSSAI，所述第一切片当前不允许所述终端设备接入。
一种切片管理装置，其特征在于，所述装置包括：

发起单元，用于发起切片请求，所述切片请求包括终端设备的终端标识；

接收单元，用于接收来自第三方应用服务器的第一单一网络切片选择辅助信息S-NSSAI，所述第一S-NSSAI用于标识所述第三方应用服务器为所述终端设备授权的切片；

发送单元，用于向所述终端设备发送所述第一S-NSSAI。
如权利要求15所述的装置，其特征在于，所述第三方应用服务器为认证网元，所述发起单元用于：

发起切片认证请求，所述切片认证请求包括第二S-NSSAI和所述终端标识，所述第二S-NSSAI用于标识在数据管理网元中为所述终端设备签约的切片；

对应的，所述接收单元用于：

接收来自所述认证网元的认证结果指示信息和所述第一S-NSSAI。
如权利要求15或16所述的装置，其特征在于，所述接收单元还用于：

接收来自所述终端设备或数据管理网元的切片选择指示信息，所述切片选择指示信息用于指示由第三方应用为所述终端设备确定切片。
一种切片管理装置，其特征在于，所述装置包括：

接收单元，用于接收来自移动性管理网元的切片请求，所述切片请求包括终端设备的终端标识；

确定单元，用于根据所述终端标识确定第三方应用服务器为所述终端设备授权的切片；

发送单元，用于向所述移动性管理网元发送第一单一网络切片选择辅助信息S-NSSAI，所述第一S-NSSAI用于标识所述第三方应用服务器为所述终端设备授权的切片。
如权利要求18所述的装置，其特征在于，所述第三方应用服务器为认证网元，所述接收单元用于：

接收来自所述移动性管理网元的切片认证请求，所述切片认证请求包括第二S-NSSAI和所述终端标识，所述第二S-NSSAI用于标识在数据管理网元中为所述终端设备签约的切片；

对应的，所述发送单元用于：

向所述移动性管理网元发送认证结果指示信息和所述第一S-NSSAI。
如权利要求16或19所述的装置，其特征在于，所述认证结果指示信息用于指示认证成功。
如权利要求16或19所述的装置，其特征在于，所述第二S-NSSAI与所述第一S-NSSAI相同，或者，所述第二S-NSSAI与所述第一S-NSSAI不同。
一种切片管理装置，其特征在于，所述装置包括：

接收单元，用于接收来自移动性管理网元发送的切片认证请求，所述切片认证请求包括终端设备的可扩展认证协议EAP标识响应消息和第一单一网络切片选择辅助信息S-NSSAI，所述第一S-NSSAI用于标识在数据管理网元中为所述终端设备签约的至少两个切片中的一个切片；

认证单元，用于根据所述EAP标识响应消息是否通过认证且所述第一S-NSSAI标识的切片是否是第三方应用服务器允许所述终端设备接入的切片的判断结果，生成认证结果指示信息，所述认证结果指示信息包括EAP成功消息或者EAP失败消息；

发送单元，用于向所述移动性管理网元发送所述认证结果指示信息。
一种切片管理装置，其特征在于，所述装置包括：

发起单元，用于发起切片认证请求，所述切片认证请求包括终端设备的可扩展认证协议EAP标识响应消息和第一单一网络切片选择辅助信息S-NSSAI，所述第一S-NSSAI用于标识在数据管理网元中为所述终端设备签约的至少两个切片中的一个切片；

接收单元，用于接收来自认证网元的认证结果指示信息，其中，所述认证结果指示信息是所述认证网元根据所述EAP标识响应消息是否通过认证且所述第一S-NSSAI标识的切片是否是第三方应用服务器允许所述终端设备接入的切片的判断结果生成的。
一种切片管理装置，其特征在于，所述装置包括：

确定单元，用于确定允许终端设备接入的切片由第一切片变为第二切片；

发送单元，用于向移动性管理网元发送切片更新信息，所述切片更新信息包括第二单一网络切片选择辅助信息S-NSSAI，所述第二S-NSSAI用于标识所述第二切片。
一种切片管理装置，其特征在于，所述装置包括：

接收单元，用于接收来自第三方应用服务器的切片更新信息，所述切片更新信息包括第二单一网络切片选择辅助信息S-NSSAI，所述第二S-NSSAI用于标识第二切片；

发送单元，用于向终端设备发送所述第二S-NSSAI。
如权利要求25所述的装置，其特征在于，所述第三方应用服务器为认证网元，所述第二切片为未经过授权认证的切片，所述装置还包括认证单元，用于：

发起对所述第二S-NSSAI进行认证的流程，并在对所述第二S-NSSAI认证通过时，向终端设备发送配置更新信息，所述配置更新信息用于更新所述终端设备允许接入的切片。
如权利要求26所述的装置，其特征在于，所述切片更新信息为切片重认证消息。
如权利要求24-27任一所述的装置，其特征在于，所述切片更新信息还包括用于标识所述第一切片的第一S-NSSAI，所述第一切片当前不允许所述终端设备接入。
一种通信设备，其特征在于，包括：

至少一个处理器；以及与所述至少一个处理器通信连接的存储器、通信接口；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，使得所述装置执行如权利要求1-14中任一项所述的方法。
一种计算机可读存储介质，其特征在于，包括程序或指令，当所述程序或指令在计算机上运行时，使得如权利要求1-14中任一项所述的方法被执行。