WO2023066210A1 - 鉴权方法及装置 - Google Patents

Abstract

本申请提供一种鉴权方法及装置，能够解决APP信息容易被盗用或篡改的问题，从而提高网络安全性和运行效率，可应用于车联网、V2X、5G、6G等通信系统中。该方法包括：第一网元接收来自终端设备的应用信息，并向鉴权设备转发，然后接收来自鉴权设备的鉴权结果，从而完成基于应用信息的二次鉴权。其中，鉴权结果根据应用信息确定，用于生成检测规则，该检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作。

Description

鉴权方法及装置

本申请要求于2021年10月20日提交国家知识产权局、申请号为202111223393.9、申请名称为“鉴权方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，尤其涉及一种鉴权方法及装置。

背景技术

当与一个网络切片(network slice)关联的多个应用程序(application，APP)运行时，可以基于用户设备路由选择策略(user equipment route selection policy，URSP)规则，建立新的分组数据单元(packet data unit，PDU)会话(session)，或者选择现有的PDU会话与网络切片关联。例如，假定APP1和APP2均被允许(allowed)使用网络切片1，APP1已经通过网络切片鉴权(network slice-specific authentication and authorization，NSSAA)，且APP1可以通过新创建的PDU会话1与网络切片1相关联，则无需再对APP2进行任何鉴权操作，即可通过PDU会话1与网络切片1相关联。

在此情况下，APP的各种信息很容易被盗用或篡改，导致滥用网络切片资源/数据网络资源的问题，网络安全性差，且运行效率低下。

发明内容

本申请实施例提供一种鉴权方法及装置，能够解决APP信息容易被盗用或篡改的问题，从而提高网络安全性和运行效率。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种鉴权方法，应用于第一网元。该方法包括：接收来自终端设备的应用信息，并向鉴权设备发送应用信息，然后接收来自鉴权设备的鉴权结果。其中，鉴权结果根据应用信息确定，鉴权结果用于生成检测规则，检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作。

基于第一方面至下述第三方面所述的鉴权方法，鉴权设备可以根据应用信息，对任一应用信息对应的应用逐一进行鉴权操作。如此，第一网元可以基于该鉴权结果，为每个应用逐一定制检测规则，并指示数据传输路径上的各网络节点，基于定制的检测规则，对不同应用信息对应的各个应用的数据分别执行转发或丢弃操作，如转发鉴权成功的应用的数据、丢弃鉴权失败的应用的数据，以确保即使应用信息被盗用或篡改，也不会滥用网络资源，从而提高网络安全性和运行效率。

一种可能的设计方案中，应用信息包括应用识别信息，鉴权结果包括应用识别信息。其中，应用识别信息可以包括如下一项或多项：应用标识、互联网协议(internet protocol，IP)五元组、应用名称等，可以用于对应用执行鉴权操作，并基于鉴权结果为应用逐一定制检测规则，以便对不同应用的数据执行差异化的数据传输服务，如转发通过认证的应用的数据、或丢弃未通过鉴权的应用的数据，从而提高网络安全性和运行效率。

可选地，应用信息还包括应用鉴权信息。其中，应用鉴权信息可以包括如下一项或多项：用户名、密码、证书信息等，可以与应用识别信息一起，用于鉴权设备对应用执行鉴权操作，以提高鉴权结果的可靠性，从而进一步提高网络安全性和运行效率。

本申请中，可以隐式或显式地指示鉴权结果。下面举例说明。

示例性地，鉴权结果还包括鉴权指示信息，鉴权指示信息用于指示对应用信息对应 的应用的鉴权操作是否成功。

或者，鉴权结果不包括鉴权指示信息，而是包括应用识别信息。此时，鉴权结果中的应用识别信息可以理解为如下之一：所有应用识别信息各自对应的应用均默认为鉴权通过、所有应用识别信息各自对应的应用均默认为鉴权未通过、或一部分应用识别信息对应的应用默认为鉴权通过，且另一部分应用识别信息对应的应用默认为鉴权未通过。其中，该两部分应用识别信息可以承载于鉴权结果中的不同位置，如不同字段(field)或信元(information element，IE)，予以区分。

一种可能的设计方案中，第一网元可以为接入与移动性管理网元。相应地，第一方面所述的方法还可以包括：接入与移动性管理网元向会话管理网元发送鉴权结果，以便会话管理网元自行确定检测规则，也可以请求策略控制网元确定检测规则，从而实现对不同应用信息对应的应用提供差异化的数据传输服务。

另一种可能的设计方案中，第一网元可以为会话管理网元。相应地，第一方面所述的方法还可以包括：会话管理网元根据鉴权结果确定检测规则，并向用户面网元发送检测规则。

类似地，会话管理网元可以自行确定检测规则，也可以请求策略控制网元确定检测规则，从而实现对不同应用信息对应的应用提供差异化的数据传输服务。

可选地，会话管理网元根据鉴权结果确定检测规则，具体包括：会话管理网元向策略控制网元发送鉴权结果，并接收来自策略控制网元的检测规则，从而实现对不同应用信息对应的应用提供差异化的数据传输服务。

第二方面，提供一种鉴权方法，应用于鉴权设备。该方法包括：获取应用信息。其中，应用信息用于确定鉴权结果。向第一网元发送鉴权结果。其中，鉴权结果用于确定检测规则，检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作。

一种可能的设计方案中，应用信息包括应用识别信息，鉴权结果包括应用识别信息。

可选地，应用信息还包括应用鉴权信息。

可选地，鉴权结果还包括鉴权指示信息，鉴权指示信息用于指示对应用信息对应的应用的鉴权操作是否成功。

一种可能的设计方案中，获取应用信息，具体包括：接收来自第一网元的应用信息。

第三方面，提供一种鉴权方法，应用于终端设备。该方法包括：向第一网元发送应用信息。其中，应用信息用于确定鉴权结果，鉴权结果用于生成检测规则，检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作。

一种可能的设计方案中，应用信息包括应用识别信息，鉴权结果包括应用识别信息。

可选地，应用信息还包括应用鉴权信息。

可选地，鉴权结果还包括鉴权指示信息，鉴权指示信息用于指示对应用信息对应的应用的鉴权操作是否成功。

一种可能的设计方案中，第三方面所述的方法还包括：接收来自第一网元的鉴权结果。

此外，第二方面至第三方面所述的鉴权方法的技术效果可以参考第一方面所述的鉴权方法的技术效果，此处不再赘述。

第四方面，提供一种鉴权装置，该装置可应用于第一网元。该装置包括：接收模块和发送模块。其中，接收模块，用于接收来自终端设备的应用信息。发送模块，用于向鉴权设备发送应用信息。接收模块，还用于接收来自鉴权设备的鉴权结果。其中，鉴权结果根据应用信息确定，鉴权结果用于生成检测规则，检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作。

一种可能的设计方案中，应用信息包括应用识别信息，鉴权结果包括应用识别信息。

可选地，应用信息还包括应用鉴权信息。

可选地，鉴权结果还包括鉴权指示信息，鉴权指示信息用于指示对应用信息对应的应用的鉴权操作是否成功。

一种可能的设计方案中，第一网元可以为接入与移动性管理网元。相应地，发送模块，还用于向会话管理网元发送鉴权结果。

另一种可能的设计方案中，第一网元可以为会话管理网元。相应地，第四方面所述的装置还包括：处理模块。其中，处理模块，用于根据鉴权结果确定检测规则。发送模块，还用于向用户面网元发送检测规则。

可选地，发送模块，还用于向策略控制网元发送鉴权结果。接收模块，还用于接收来自策略控制网元的检测规则。

可选地，接收模块和发送模块也可以集成为一个模块，如收发模块。其中，收发模块用于实现第四方面所述的装置的收发功能。

可选地，第四方面所述的鉴权装置还可以包括存储模块，该存储模块存储有计算机程序或指令。当处理模块执行该计算机程序或指令时，使得该鉴权装置可以执行第一方面所述的鉴权方法。

可选地，第四方面所述的鉴权装置可以是第一网元，如接入与移动性管理网元、或会话管理网元，也可以是可设置于第一网元中的芯片(系统)或其他部件或组件，还可以是包含第一网元的装置或系统，本申请对此不做限定。

第五方面，提供一种鉴权装置，应用于鉴权设备。该装置包括：获取模块和发送模块。其中，获取模块，用于获取应用信息。其中，应用信息用于确定鉴权结果。发送模块，用于向第一网元发送鉴权结果。其中，鉴权结果用于确定检测规则，检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作。

一种可能的设计方案中，应用信息包括应用识别信息，鉴权结果包括应用识别信息。

可选地，应用信息还包括应用鉴权信息。

可选地，鉴权结果还包括鉴权指示信息，鉴权指示信息用于指示对应用信息对应的应用的鉴权操作是否成功。

一种可能的设计方案中，第五方面所述的装置还包括：接收模块。其中，接收模块，用于接收来自第一网元的应用信息。

可选地，获取模块可以具有接收功能，该接收功能和发送模块也可以集成为一个模块，如收发模块。其中，收发模块用于实现第五方面所述的装置的收发功能。

可选地，获取模块也可以具有处理功能，如访问本地存储空间，该处理功能也可以与第五方面所述的装置的其他处理功能集成为一个模块，如处理模块。其中，处理模块用于实现该装置的处理功能。

可选地，第五方面所述的鉴权装置还可以包括存储模块，该存储模块存储有计算机程序或指令。当处理模块执行该计算机程序或指令时，使得该鉴权装置可以执行第二方面所述的鉴权方法。

可选地，第五方面所述的鉴权装置可以是鉴权设备，也可以是可设置于鉴权设备中的芯片(系统)或其他部件或组件，还可以是包含鉴权设备的装置或系统，本申请对此不做限定。

第六方面，提供一种鉴权装置，可应用于终端设备。该装置包括：发送模块。其中，发送模块，用于向第一网元发送应用信息。其中，应用信息用于确定鉴权结果，鉴权结果用于 生成检测规则，检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作。

一种可能的设计方案中，应用信息包括应用识别信息，鉴权结果包括应用识别信息。

可选地，应用信息还包括应用鉴权信息。

可选地，鉴权结果还包括鉴权指示信息，鉴权指示信息用于指示对应用信息对应的应用的鉴权操作是否成功。

一种可能的设计方案中，第六方面所述的装置还包括：接收模块。其中，接收模块，用于接收来自第一网元的鉴权结果。

可选地，接收模块和发送模块也可以集成为一个模块，如收发模块。其中，收发模块用于实现第六方面所述的装置的收发功能。

可选地，第六方面所述的装置还可以包括处理模块。其中，处理模块用于实现该装置的处理功能。

可选地，第六方面所述的鉴权装置还可以包括存储模块，该存储模块存储有计算机程序或指令。当处理模块执行该计算机程序或指令时，使得该鉴权装置可以执行第三方面所述的鉴权方法。

可选地，第六方面所述的鉴权装置可以是终端设备，也可以是可设置于终端设备中的芯片(系统)或其他部件或组件，还可以是包含终端设备的装置或系统，本申请对此不做限定。

第七方面，提供一种鉴权装置。该鉴权装置用于执行第一方面至第三方面中任一方面所述的鉴权方法。

其中，第七方面所述的鉴权装置包括实现上述第一方面至第三方面中任一方面所述的鉴权方法相应的模块、单元、或手段(means)，该模块、单元、或手段可以通过硬件实现，软件实现，或者通过硬件执行相应的软件实现。该硬件或软件包括一个或多个用于执行上述鉴权方法所涉及的功能的模块或单元。

第八方面，提供一种鉴权装置。该鉴权装置包括：处理器，该处理器用于执行第一方面至第三方面中任一方面所述的鉴权方法。

在一种可能的设计方案中，第八方面所述的鉴权装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第八方面所述的鉴权装置与其他装置通信。

在一种可能的设计方案中，第八方面所述的鉴权装置还可以包括存储器。该存储器可以与处理器集成在一起，也可以分开设置。该存储器可以用于存储第一方面至第三方面中任一方面所述的鉴权方法所涉及的计算机程序和/或数据。

第九方面，提供一种鉴权装置。该鉴权装置包括：处理器，该处理器与存储器耦合，该处理器用于执行存储器中存储的计算机程序，以使得该鉴权装置执行第一方面至第三方面中任一方面所述的鉴权方法。

在一种可能的设计方案中，第九方面所述的鉴权装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第九方面所述的鉴权装置与其他装置通信。

在一种可能的设计方案中，第九方面所述的鉴权装置还可以包括存储器。该存储器可以与处理器集成在一起，也可以分开设置。该存储器可以用于存储第一方面至第三方面中任一方面所述的鉴权方法所涉及的计算机程序和/或数据。

第十方面，提供了一种鉴权装置，包括：处理器和存储器；该存储器用于存储计算机程序，当该处理器执行该计算机程序时，以使该鉴权装置执行第一方面至第三方面中的任一方面所述的鉴权方法。

可选地，该存储器可以与处理器集成在一起，也可以分开设置。该存储器可以用于存储 第一方面至第三方面中任一方面所述的鉴权方法所涉及的计算机程序和/或数据。

在一种可能的设计方案中，第十方面所述的鉴权装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十方面所述的鉴权装置与其他鉴权装置通信。

第十一方面，提供了一种鉴权装置，包括：处理器；所述处理器用于与存储器耦合，并在读取存储器中的计算机程序之后，根据该计算机程序执行如第一方面至第三方面中任一方面所述的鉴权方法。

可选地，该存储器可以与处理器集成在一起，也可以分开设置。该存储器可以用于存储第一方面至第三方面中任一方面所述的鉴权方法所涉及的计算机程序和/或数据。

在一种可能的设计方案中，第十一方面所述的鉴权装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十一方面所述的鉴权装置与其他装置通信。

可选地，上述第七方面至第十一方面所述的鉴权装置可以是上述第一网元或鉴权设备或终端设备，也可以是可设置于该第一网元或鉴权设备或终端设备中的芯片(系统)或其他部件或组件，还可以是包含该第一网元或鉴权设备或终端设备的装置或系统，本申请对此不做限定。

此外，上述第四方面至第十一方面所述的鉴权装置的技术效果，可以参考上述第一方面所述的鉴权方法的技术效果，此处不再赘述。

第十二方面，提供一种通信系统。该通信系统包括第一网元、鉴权设备和终端设备。

第十三方面，提供一种计算机可读存储介质，存储有计算机程序或指令；当该计算机程序或指令在计算机上运行时，使得该计算机执行第一方面至第三方面中任一方面所述的鉴权方法。

第十四方面，提供一种计算机程序产品，包括计算机程序或指令，当该计算机程序或指令在计算机上运行时，使得该计算机执行第一方面至第三方面中任一方面所述的鉴权方法。

附图说明

图1为现有的PDU会话选择示例图；

图2为现有的基于网络切片鉴权流程的二次鉴权的流程示意图一；

图3为现有的基于网络切片鉴权流程的二次鉴权的流程示意图二；

图4为现有的基于PDU会话流程的二次鉴权的流程示意图；

图5为本申请实施例提供的通信系统的架构示意图一；

图6为5G系统的架构示意图一；

图7为5G系统的架构示意图二；

图8为5G系统的架构示意图三；

图9为5G系统的架构示意图四；

图10为5G系统的架构示意图五；

图11为5G系统的架构示意图六；

图12为本申请实施例提供的鉴权方法的流程示意图一；

图13为本申请实施例提供的鉴权方法的流程示意图二；

图14为本申请实施例提供的鉴权方法的流程示意图三；

图15为本申请实施例提供的鉴权方法的流程示意图四；

图16为本申请实施例提供的鉴权方法的流程示意图五；

图17为本申请实施例提供的鉴权装置的结构示意图一；

图18为本申请实施例提供的鉴权装置的结构示意图二；

图19为本申请实施例提供的鉴权装置的结构示意图三；

图20为本申请实施例提供的鉴权装置的结构示意图四。

具体实施方式

首先介绍本申请实施例所涉及的技术术语。

1、URSP

在第五代(5th generation，5G)移动通信中，引入了用户设备(user equipment，UE)相关的策略信息，如用户路由选择策略(user equipment route selection policy，URSP)，由UE作为该策略的执行者，为业务流选择一个合适的PDU会话。换言之，某些业务对使用PDU会话的数据网络(data network，DN)，网络切片(network slice)，会话和服务连续模式(session and service continuity mode，SSC)等具有一定的要求，UE可使用此策略确定检测到的应用(application，APP)是否可以关联到已建立的PDU会话，是否可以卸载到PDU会话之外的非3GPP接入，或者是否可以触发新的PDU会话的建立等操作。

URSP通常基于如下路径下发给UE：PCF->AMF->UE。其中，PCF为策略控制功能(policy control function)网元，AMF为接入和移动性管理功能(access and mobility management function)网元。

具体地，PCF可以根据签约信息(切片/DNN是否需要二次鉴权，某个应用是否需要切片/DNN二次鉴权等等)，或者AMF、SMF上报的信息(切片/DNN是否需要二次鉴权，某个应用是否需要切片/DNN二次鉴权等等)，生成以上URSP规则，并下发给AMF。

URSP的执行：由UE来执行，可能会触发PDU会话的建立或修改。比如，没有符合要求的PDU会话时，UE会发起PDU会话建立过程；有符合要求的会话时，可能直接使用已经存在的PDU会话。

URSP包括一条或多条URSP规则。一条URSP规则主要包括流量描述符(traffic descriptor)和路由选择描述符(route selection descriptor)两部分。其中，流量描述符包括多个APP的名称或标识等，路由选择描述符包括每个APP对应的网络切片选择信息，以及通配的网络切片选择信息，如未包括在流量描述符的APP可以使用的网络切片选择信息等等。其中，URSP可以参阅表1所示，URSP规则可以参阅表2所示，路由选择描述符可以参阅表3所示。

表1

表2

表3

当检测到新的APP时，UE根据URSP确定该APP对应的路由选择描述信息(route selection descriptor，RSD)，并确定已建立的PDU会话中是否存在满足该路由选择描述信息的PDU会话。若是，则UE将检测到的新的APP关联到满足该路由选择描述信息的PDU会话上，通过该PDU会话传输所述新的APP的数据。若否，则UE建立一个满足该路由选择描述信息的PDU会话。

例如，图1为现有的PDU会话选择示例。如图1所示，UE为应用B建立PDU会话1，而为应用A、C、D、E、F选择现有的PDU会话，如为应用A选择PDU会话2。

2、二次鉴权

5G通信系统包括运营商网络。当UE访问运营商网络时，需要对该UE进行鉴权(运营商网络鉴权、第一级鉴权、一级鉴权、第一次鉴权、一次鉴权、主鉴权)，以确定该UE是否具备该运营商网络的访问权限，如该UE为该运营商网络的签约用户，或该UE签约的运营商与该UE想要访问的运营商网络的所有方(另一运营商)之间签署有漫游服务协议。

可选地，5G通信系统还可以包括提供商网络，即应用内容可以是由第三方应用提供商提供的。类似地，当UE通过运营商网络访问提供商网络时，除上述一次鉴权外，提供商网络也需要对该UE进行鉴权(提供商网络鉴权、第二级鉴权、二级鉴权、第二次鉴权、二次鉴权、辅鉴权)，以确定该UE是否具备该提供商网络的访问权限，如该UE为该提供商网络的签约用户。

需要说明的是，二次鉴权可以委托运营商网络进行，如下述由运营商网络执行的网络切片鉴权，也可以由提供商网络进行，如下述由提供商部署的数据网络(data network，DN)，如DN中的AAA-S，执行的PDU会话鉴权。

3、网络切片鉴权

网络切片是通过切片技术在一个通用硬件基础上虚拟出多个端到端网络，每个网络具有不同网络功能，以适配不同类型的服务需求。换言之，网络切片可以理解为基于物理网络的部分资源，以实现一种或多种特定功能的逻辑网络。例如，运营商部署物理资源后，可以针对大众上网业务，使用物理资源虚拟出一个增强型移动宽带业务(enhanced mobile broadband，eMBB)切片，也可以针对垂直行业中某些厂商的智能抄表需求，使用物理资源再虚拟出一个海量机器类通信(massive machine type of communication，mMTC)切片，还可以针对智能驾驶、无人驾驶等需求，使用物理资源再虚拟出一个超高可靠与低时延通信(ultra reliable low latency communication，uRLLC)切片。上述三个网络切片分别为不同业务场景提供不同类型的服务。

网络切片可以用单网络切片选择辅助信息(single network slice selection Assistance information，S-NSSAI)来标识。根据运营商的运营或部署需要，一个S-NSSAI可以关联一个或多个网络切片实例，一个网络切片实例可以关联一个或多个S-NSSAI。

S-NSSAI包括SST和SD两部分：切片/服务类型(slice/servicetype，SST)和切片差异(slice differentiator，SD)。其中，SST是指在特性和服务方面预期的网络切片行为。SST的标准取值范围为1、2、3，取值1表示eMBB、2表示URLLC、3表示大规模物联网(massive internet of things，MIoT)。SD是一个可选信息，用来补充SST以区分同一个切片/业务类型的多个网络切片。

SST和SD两部分结合起来表示切片类型及同一切片类型的多个切片。例如S-NSSAI取值为0x01000000、0x02000000、0x03000000分别表示eMBB类型切片、uRLLC类型切片、MIoT类型切片。而S-NSSAI取值为0x01000001、0x01000002则表示eMBB类型切片，分别 服务于用户群1和用户群2。

网络切片选择辅助信息(network slice selection Assistance information，NSSAI)是S-NSSAI的集合。5G网络中使用到的NSSAI有请求的NSSAI(requested NSSAI)、已授权的NSSAI(allowed NSSAI)、配置的NSSAI(configured NSSAI)，它们的具体定义如表4所示。

表4

网络切片选择策略(network slice selection policy，NSSP)，是由PCF将NSSP作为UE路由选择策略(UE route selection policy，URSP)规则的一部分，通过AMF发送给UE的，UE用来关联APP ID和S-NSSAI。关于网络切片选择的具体实现，可以参考现有方案，如在附着流程(attachment procedure)中实现网络切片选择。

虽然大众上网业务、垂直行业中各行各业对网络功能的需求多种多样，但是这些需求都可以解析成对网络带宽、连接数、时延、可靠性等网络功能的需求。5G标准也将不同业务对网络功能的需求特点归纳为三大典型场景，该三大典型场景对应的网络切片的类型分别是eMBB切片、mMTC切片、(ultra reliable low latency communication，uRLLC)切片。

eMBB场景：基于无线侧频谱利用率和频谱带宽技术的突破，5G可以提供比4G快10倍以上的传输速率。对于当下流行的AR/VR、高清视频直播，只有5G超高速率才能满足需求，而4G的传输速率是无法支持的。例如，使用VR看高清视频或者打大型交互游戏时，必须要拖着网线来获取数据，而在未来通过5G网络进行无线连接，VR/AR可以获得快捷的体验。

mMTC场景：通过多用户共享接入，超密集异构网络等技术，5G可以支持每平方公里接入100万个设备，是4G的10倍。近来智慧城市的快速发展，路灯，井盖，水表等公共设施都已经拥有了网络连接能力，可以进行远程管理，但是5G会有更大的革新。基于5G网络的强大连接能力，才可以把城市各个行业的公共设施都接入智能管理平台。这些公共设施通过5G网络协同工作，只需要少量的维护人员就可以统一管理，大大提升城市的运营效率。

uRRLC场景：在5G场景下最典型的应用就是自动驾驶，自动驾驶最常用的场景，如急刹车、车对车，车对人，车对基础设施等多路通信同时进行，需要瞬间进行大量的数据处理并决策。因此需要网络同时具有大带宽、低时延和高可靠性，5G网络具备应对这种场景的能力。

实际应用中，应用提供商，如各垂直行业可以通过购买运营商的网络切片服务，以实现通过运营商网络为用户提供网络服务。相应地，应用提供商可以委托运营商对用户进行网络切片鉴权。换言之，若用户通过网络切片鉴权，可以理解为用户有权限使用应用提供商提供的网络服务。

具体地，当UE注册到网络中时，除了执行UE永久标识的一次鉴权流程之外，可能还会根据UE请求的NSSAI以及UE的签约数据，判断是否需要执行网络切片粒度的鉴权和授权 流程(network slice specific authentication and authorization，NSSAA)，该流程也可以简单称为网络切片的二次鉴权流程，该流程的步骤如下述图2和图3所示。

示例性地，图2为现有的基于网络切片鉴权流程的二次鉴权的流程示意图一。如图2所示，该二次鉴权流程包括如下步骤：

S201，UE向AMF发送注册请求消息。

其中，注册请求(registration request)消息中携带有请求的NSSAI。换言之，UE可以在其发起的注册流程中，请求网络对特定NSSAI进行网络切片鉴权。

S202，AMF执行一次鉴权流程。

其中，鉴权服务功能(authentication server function，AUSF)用于对UE永久标识的一次鉴权。

在成功执行对UE永久标识的后，AMF从UDM获取UE的签约数据(subscription data)。其中，签约数据包含了该UE签约的每一个S-NSSAI是否需要执行二次鉴权的指示信息。

例如，UE签约的S-NSSAI如表5所示。

表5

S203，AMF确定需要执行二次鉴权的S-NSSAI。

具体地，AMF根据UE的签约数据判断，需要执行二次鉴权的S-NSSAI是否包含在请求的NSSAI中。若是，则AMF判断出UE在本次注册流程之后还需要执行二次鉴权流程。

示例1，若UE携带的请求的NSSAI包括表5中所示出的S-NSSAI-1和S-NSSAI-2，则S-NSSAI-1需要执行二次鉴权流程，S-NSSAI-2不需要执行二次鉴权流程。

S204，AMF向UE发送注册接受消息。

其中，注册接受(registration accept)消息中携带有授权的NSSAI，和/或，被拒绝的NSSAI及其拒绝原因值。其中，授权的NSSAI只包含不需要进行二次鉴权的S-NSSAI，而被拒绝的NSSAI的拒绝原因值通常为挂起(pending)状态，需要执行二次鉴权。

请继续参考上述示例1，授权的NSSAI包括S-NSSAI-2，被拒绝的S-NSSAI包括S-NSSAI-1，拒绝原因值为S-NSSAI-1处于挂起状态，则需要对S-NSSAI-1执行二次鉴权，即执行下述S205。

S205，AMF对处于挂起状态的S-NSSAI执行二次鉴权流程。

请继续参考上述示例1，AMF可以发起对S-NSSAI-1的二次鉴权流程，具体参考图3所示流程，此处不再赘述。

待图3中所示的二次鉴权完成之后，AMF可以基于该鉴权结果，执行下述S206。

S206，AMF根据二次鉴权结果更新授权的NSSAI。

具体地，如果鉴权成功，AMF会将该S-NSSAI添加到授权的NSSAI中，如果鉴权失败，则AMF无需更新授权的NSSAI。

请继续参考上述示例1，若S-NSSAI-1的二次鉴权成功，则AMF向UE发送指示信息，将授权的NSSAI更新为S-NSSAI-1和S-NSSAI-2，如果鉴权失败，AMF不会向UE发送更新授权的NSSAI的指示信息。

示例性地，图3为现有的基于网络切片鉴权流程的二次鉴权的流程示意图二。如图3所 示，该鉴权流程可以包括如下步骤：

S301，AMF触发执行网络切片的二次鉴权。

S302，AMF向UE发送第一NAS MM传输请求。

其中，第一非接入层(non-access stratum，NAS)移动性管理(mobility management，MM)传输(NAS MM Transport)请求携带有：可扩展的身份验证协议(extensible authentication protocol，EAP)标识(identifier，ID)请求(EAP ID R-equest)，以及单网络切片选择辅助信息(single network slice selection assistanceinformation，S-NSSAI)。EAP ID请求用于请求对S-NSSAI对应的网络切片执行二次鉴权。

S303，UE向AMF发送第一NAS MM传输响应。

其中，第一NAS MM传输响应携带有EAP ID响应(EAP ID response)、S-NSSAI和UE标识(UE Identifier，UE ID)。其中，UE ID用于识别该UE，如可以为该UE的通用公共用户标识(generic public subscription identifier，GPSI)，S-NSSAI是指为UE提供网络服务的网络切片的标识。

可选地，EAP ID响应和S302中的EAP ID请求的内容也可以承载于其他NAS消息中，此处不予限制。

S304，AMF向NSSAAF发送第一NSSAA鉴权请求。

其中，第一NSSAAF为网络切片和SNPN身份验证和授权功能(network slice&SNPN function)，NSSAA鉴权请求(Nnssaaf_NSSAA_Authenticate Req)携带有EAP ID响应、该UE的GPSI、S-NSSAI等信息。

S305，NSSAAF向AAA-P发送第一AAA协议请求。

S306，AAA-P向AAA-S发送第一AAA协议请求。

其中，AAA-P为认证、授权和计费代理服务器(authentication,authorization,and accounting proxy server)，第一AAA协议请求(AAA protocol request message)携带有上述EAP ID响应、UE的GPSI、S-NSSAI等信息。

具体地，如果部署有AAA-P，则NSSAAF可以向AAA-P发送第一AAA协议请求(S305)，然后再由AAA-P向AAA-S转发该第一AAA协议请求(S306)。例如，当AAA-S由第三方部署时，NSSAAF与AAA-S之间没有直接的通信链路，则NSSAAF可以通过AAA-P向AAA-S发送该AAA协议消息。

可选地，若NSSAAF与AAA-S之间可直接通信，则S305和S306也可以替换为如下步骤：NSSAAF向AAA-S发送第一AAA协议请求。

S307，AAA-S向AAA-P发送第一AAA协议请求。

S308，AAA-P向NSSAAF发送第一AAA协议响应。

其中，第一AAA协议响应携带有EAP消息、UE的GPSI、S-NSSAI等信息。其中，EAP消息的作用和内容与上述EAP ID请求和EAP ID响应类似，此处不再赘述。

可选地，若NSSAAF与AAA-S之间可直接通信，与S305-S306类似，则S307-S308也可以替换为如下步骤：AAA-S向NSSAAF发送AAA协议消息。

S309，NSSAAF向AMF发送第一NSSAA鉴权响应。

其中，第一NSSAA鉴权响应(Nnssaaf_NSSAA_Authenticate Resp)携带有EAP消息、该UE的GPSI、S-NSSAI等信息。

S310，AMF向UE发送第二NAS MM传输请求。

其中，第二NAS MM传输请求携带有：EAP消息和S-NSSAI等信息。

S311，UE向AMF发送第二NAS MM传输响应。

其中，第二NAS MM传输响应携带有：EAP消息和S-NSSAI等信息。

S312，AMF向NSSAAF发送第二NSSAA鉴权请求。

其中，第二NSSAA鉴权请求(Nnssaaf_NSSAA_Authenticate Resquest)携带有EAP消息、该UE的GPSI、S-NSSAI等信息。

S313，NSSAAF向AAA-P发送第二AAA协议请求。

S314，AAA-P向AAA-S发送第二AAA协议请求。

其中，第二AAA协议第二携带有EAP消息、AAA-S的地址、该UE的GPSI、S-NSSAI等信息。

可选地，若NSSAAF与AAA-S之间可直接通信，与S305-S306类似，则S313-S314也可以替换为如下步骤：NSSAAF向AAA-S发送第二AAA协议请求。

上述S307-S314用于执行EAP消息的交换，该流程可能执行一次，也可能执行多次，此处不予限制。

之后，AAA-S即可执行二次鉴权，并将鉴权结果返回给UE，即执行下述S315-S318。

S315，AAA-S向AAA-P发送第二AAA协议响应。

S316，AAA-P向NSSAAF发送第二AAA协议响应。

其中，第二AAA协议响应携带有EAP鉴权成功/失败(EAP success/failure)指示、该UE的GPSI、已授权的S-NSSAI等信息。

可选地，若NSSAAF与AAA-S之间可直接通信，与S307-S308类似，则S315-S316也可以替换为如下步骤：AAA-S向NSSAAF发送第二AAA协议响应。

S317，NSSAAF向AMF发送第二NSSAA鉴权响应。

其中，第二NSSAA鉴权响应携带有EAP鉴权成功/失败(success/failure)指示、该UE的GPSI、已授权的S-NSSAI等信息。

S318，AMF向UE发送第二NAS MM传输响应。

其中，第二NAS MM传输响应携带有EAP鉴权成功/失败(success/failure)指示。

AMF应存储执行S301-S317中NSSAA程序的每个S-NSSAI的EAP鉴权结果。之后，UE和网络可以根据二次鉴权结果，执行配置更新流程，即执行下述S319-S320。

S319，可选地，AMF触发UE配置更新流程。

具体地，当有新的已授权的(allowed)NSSAI，或者已拒绝的(rejected)NSSAI时，或者AMF需要返回一个新的AMF时，AMF可以发起UE配置更新(UE Configuration update，UCU)流程。类似地，当有PDU会话相关的S-NSSAI鉴权失败时，AMF要触发PDU会话的释放。

S320，可选地，AMF发起UE去注册流程。

具体地，当没有S-NSSAI鉴权通过且没有可用的默认S-NSSAI时，AMF发起去注册流程(network-initiated deregistration)。

4、PDU会话鉴权

在UE接入到运营商网络中，UE与运营商网络进行一次鉴权成功之后，若UE需要接入某一DN，则UE与DN中部署的鉴权服务器之间还需要进行二次鉴权。PDU会话的建立可由UE或者运营商网络的核心网(core network，CN)触发，在PDU会话建立过程中或建立之后，由运营商网络发起二次鉴权流程。具体的，UE向运营商网络发送鉴权请求，运营商网络将鉴权请求转发给DN中的鉴权服务器，以完成DN对UE的鉴权。其中，上述DN所对应 的UE服务器可为认证、授权、计费服务器(authentication，authorization,and accounting，AAA)Server，AAA-S)，该鉴权服务器对UE的认证和/或者授权的结果会发送给运营商网络，运营商网络基于二次鉴权结果来确认是否为UE建立相应的PDU会话。

示例性地，图4为现有的基于PDU会话流程的二次鉴权的流程示意图。如图4所示，该流程可包括如下步骤：

S401，UE向AMF发送注册请求。

S402，UE与运营商网络进行一次鉴权。

具体地，AMF接收到UE发送的注册请求之后，可触发AUSF执行UE与运营商网络之间的一次鉴权。

可选的，AUSF执行UE与运营商网络的一次鉴权的过程中，可从UDM中获取一次鉴权所需的鉴权信息，如该UE的签约数据，进而可根据UDM生成或者存储的鉴权信息，实现UE与运营商网络之间的一次鉴权。

S403，建立UE和AMF之间的NAS安全。

具体地，UE与运营商网络之间的一次鉴权通过之后，AMF可与UE建立NAS(non-access stratum，NAS)安全。NAS存在于通用移动通信系统(universal mobile telecommunications system，UMTS)的无线通信协议栈中，作为CN与UE之间的功能层。NAS支持在CN与UE两者之间的信令和/或数据传输。

S404，UE向AMF发送会话建立请求。

具体地，UE与AMF建立NAS安全之后，UE可向AMF发起会话建立请求，该会话建立请求携带有NAS消息。其中，上述会话建立请求具体可用于请求建立PDU会话。

S405，AMF向SMF发送会话建立请求。

具体地，AMF接收到UE发送的NAS消息之后，可解码NAS消息中的会话建立请求，并向SMF发送会话建立请求。其中，上述SMF为管理该会话建立请求所请求建立的PDU会话的SMF。

S406，SMF校验签约数据。

具体地，SMF接收到会话建立请求之后，SMF从UDM处获取签约数据，若签约数据指示需要执行二次鉴权，则执行下述S407。

S407，SMF启动EAP鉴权流程。

可选的，若会话建立请求中携带有二次鉴权所需信息，则可跳过下述S408和S409。

S408，SMF向UE发送EAP ID请求。

其中，EAP ID请求用于请求UE的身份信息，如UE的GPSI。

S409，UE向SMF发送EAP ID响应。

其中，EAP ID响应携带有UE的身份信息，如UE的GPSI。

S410，SMF向UPF发起N4会话建立流程。

具体地，若SMF与AAA-S之间没有用于传输消息的UPF，则SMF发起UPF选择流程，并建立SMF与选择出来的UPF之间的N4会话。

S411，SMF向AAA-S发送EAP ID响应和UE的身份信息。

其中，SMF可以通过UPF，向AAA-S发送EAP ID响应和UE的身份信息。具体地，SMF可以通过上述S410中建立的N4会话，向UPF发送EAP ID响应和UE的身份信息，然后UPF向AAA-S发送接收到的EAP ID响应以及UE的身份信息。

S412，对UE进行二次鉴权。

具体地，UE和AAA-S可以进行多次EAP消息交互，以完成AAA-S对UE的二次鉴权。

其中，上述UE与AAA-S之间进行交互的EAP消息的消息类型、交互方式等细节取决于具体使用的EAP认证方法，在此不做限制。

S413，AAA-S向SMF发送二次鉴权结果。

具体地，如果AAA-S对UE认证成功，AAA-S向UPF发送鉴权成功消息，然后由UPF通过N4会话向SMF发送鉴权成功消息。

可选地，AAA-S还可以提供授权信息，如DN授权文本的索引、允许的媒体接入控制(media control access，MAC)地址或者虚拟局域网标识(virtual local area network identifier，VID)、DN授权的会话的聚合最大比特速率(aggregate maximum bit rate，AMBR)等。

S414，SMF触发执行PDU会话建立流程的剩余步骤。

AAA-S对UE的EAP认证结束之后，SMF可继续发起PDU会话建立流程中的剩余步骤，如下述S415：

S415，SMF向UPF发起N4会话建立/修改流程。

S416，SMF向UE发送PDU会话建立成功消息。

具体地，SMF向AMF发送PDU会话建立成功消息，AMF接收PDU会话建立成功消息，并向UE发送。

然而，上述基于网络切片鉴权流程的二次鉴权和基于PDU会话的二次鉴权均存在安全性低下的问题。具体地，当与一个网络切片关联的两个或多个应用程序运行时，UE将根据URSP规则建立新的PDU会话，或选择现有的PDU会话与该网络切片关联。其中，URSP规则示例如下：

规则1：优先级＝1，APP ID＝APP1，网络切片选择＝S-NSSAI-a；

规则2：优先级＝2，APP ID＝APP2，网络切片选择＝S-NSSAI-a；

规则3：优先级＝3，APP ID＝APP3，网络切片选择＝S-NSSAI-b；

其中，APP1和APP2均可以使用网络切片S-NSSAI-a。

假设S-NSSAI-a包含在允许的NSSAI中，当APP1运行时，已成功为APP1执行二次鉴权，且为APP1建立了PDU会话1。然后，当APP2运行时，APP2将通过UE选择现有的PDU会话1的方式直接使用S-NSSAI-a，而无需再对APP2进行任何鉴权操作。在这种情况下，很容易在部署中篡改APP ID并滥用网络切片/数据网络资源，从而导致网络安全风险和运行效率低下。

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如无线保真(wireless fidelity，WiFi)系统，车到任意物体(vehicle to everything，V2X)通信系统、设备间(device-todevie，D2D)通信系统、车联网通信系统、第4代(4th generation，4G)移动通信系统，如长期演进(long term evolution，LTE)系统、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)移动通信系统，如新空口(new radio，NR)系统，以及未来的通信系统，如第六代(6th generation，6G)移动通信系统等。

本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

另外，在本申请实施例中，“示例地”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或 更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

本申请实施例中，“信息(information)”，“信号(signal)”，“消息(message)”，“信道(channel)”、“信令(singaling)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。“的(of)”，“相应的(corresponding，relevant)”和“对应的(corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例中，有时候下标如W ₁可能会笔误为非下标的形式如W1，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图5中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性地，图5为本申请实施例提供的鉴权方法所适用的通信系统的架构示意图一。

如图5所示，该通信系统包括终端设备、第一网元和鉴权设备。

其中，上述终端设备为可接入上述通信系统，且具有无线或有线收发功能的终端或可设置于该终端的芯片或芯片系统。该终端设备也可以称为用户设备、用户装置(user equipment，UE)、手持终端、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有终端功能的RSU、笔记本电脑、用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant，PDA)、电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptop computer)、无绳电话(cordless phone)或者无线本地环路(wireless local loop，WLL)台、机器类型通信(machine type communication，MTC)终端等。本申请的终端设备还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元，车辆通过内置的所述车载模块、车载模组、车载部件、车载芯片或者车载单元可以实施本申请提供的鉴权方法。

上述第一网元为二次鉴权的请求方，可以为运营商网络中的核心网网元，如下述图6-图11中所示出的AMF、SMF等。

上述鉴权设备为二次鉴权的响应方，可以为运营商或第三方内容提供商部署的鉴权服务器，如下述图6-图11中所示出的NSSAAF、DN中部署的AAA-S、AAA-P等。

可选地，图5中所示出的通信系统还可以包括接入网设备，该接入网设备为位于上述通信系统的网络侧，且具有无线收发功能的设备或可设置于该设备的芯片或芯片系统。该接入网设备包括但不限于：无线保真(wireless fidelity，WiFi)系统中的接入点(access point，AP)，如家庭网关、路由器、服务器、交换机、网桥等，演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base  station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、基带单元(baseband unit，BBU)，无线中继节点、无线回传节点、传输点(transmission and reception point，TRP或者transmission point，TP)等，还可以为5G，如，新空口(new radio，NR)系统中的gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)、具有基站功能的路边单元(road side unit，RSU)等。

下面以5G系统为例，详细说明本申请实施例提供的通信系统。

图6-图11为5G系统的示例一至示例六。其中，图6为基于服务化接口的非漫游架构，图7为基于参考点的非漫游架构，UE位于归属地公共陆地移动网络(home public land mobile network，HPLMN)中，业务的卸载由HPLMN完成，即UE和DN均位于HPLMN中。图8为基于服务化接口的本地疏导(local breakout，LBO)漫游架构，图9为基于参考点的本地疏导漫游架构，UE位于访问地公共陆地移动网络(visited public land mobile network，VPLMN)中，且业务也需要在VPLMN中卸载，即UE和DN均位于VPLMN中。图10为基于服务化接口的归属路由(home routed，HR)漫游架构，图11为基于参考点的归属路由漫游架构，UE位于VPLMN中，但业务需要在HPLMN卸载，即DN位于HPLMN中。

参考图6-图11，5G系统架构分为接入网和核心网两部分。接入网用于实现无线接入有关的功能。核心网主要包括以下几个关键网元：接入和移动管理网元(access and mobility management function，AMF)、会话管理网元(session management function，SMF)、用户面网元(user plane function，UPF)、策略控制网元(policy control function，PCF)、统一数据管理网元(unified data management，UDM)。

(R)AN设备：为终端设备提供接入的设备，包含无线接入网(radio access network，RAN)设备和接入网(access network，AN)设备。RAN设备主要是3GPP定义的无线网络设备，AN可以是non-3GPP定义的接入网设备。RAN设备：主要负责空口侧的无线资源管理、服务质量(quality of service，QoS)管理、数据压缩和加密等功能。所述RAN设备可以包括各种形式的基站，例如：宏基站，微基站(也称为小站)，中继站，接入点等。在采用不同的无线接入技术的系统中，具备基站功能的设备的名称可能会有所不同，例如，在第五代(5th generation，5G)系统中，称为RAN或者g节点(5G NodeB，gNB)；在LTE系统中，称为演进的节点B(evolved NodeB，eNB或者eNodeB)；在第三代(3rd generation，3G)系统中，称为节点B(Node B)等。

AN设备：允许终端设备和3GPP核心网之间采用非3GPP技术互连互通，其中，非3GPP技术例如：无线保真(wireless fidelity，Wi-Fi)、全球微波互联接入(worldwide interoperability for microwave access，WiMAX)、码分多址(code division multiple access，CDMA)网络等。

AMF：主要负责移动网络中的移动性管理，如用户位置更新、用户注册网络、用户切换等。

SMF：主要负责移动网络中的会话管理，如会话建立、修改、释放。具体功能如为用户分配IP地址、选择提供报文转发功能的UPF等。

UPF：负责终端设备中用户数据的转发和接收。可以从数据网络接收用户数据，通过接入网设备传输给终端设备；UPF还可以通过接入网设备从终端设备接收用户数据，转发到数据网络。UPF中为终端设备提供服务的传输资源和调度功能由SMF网元管理控制的。

PCF：主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能， 同时负责获取与策略决策相关的用户签约信息。

网络开放功能(network exposure function，NEF)：主要用于支持能力和事件的开放。

网络切片准入控制功能(network slice admission control function，NSACF)：主要用于支持如下功能：

支持监控和控制每个网络切片的注册用户数；

支持监控和控制每个网络切片建立的PDU会话数；

支持基于事件的网络切片状态通知并向其他NF报告。

应用功能(application function，AF)：主要支持与3GPP核心网交互来提供服务，例如影响数据路由决策，策略控制功能或者向网络侧提供第三方的一些服务。

统一数据管理(unified data management，UDM)：用于生成认证信任状，用户标识处理(如存储和管理用户永久身份等)，接入授权控制和签约数据管理等。

网络切片选择的认证和授权功能(network slice-specific authentication and authorization function，NSSAAF)主要用于执行网络切片和独立的非公共网络(stand-alone non-public networks，SNPN)身份验证和授权功能，具体包括：

支持使用认证、授权和计费(authentication,authorization,and accounting，AAA)服务器AAA-server，AAA-S)对指定的网络切片特定身份验证和授权。如果AAA-S属于第三方，NSSAAF可以通过AAA代理(AAA-proxy，AAA-P)联系AAA-S。

支持使用AAA-S的凭据访问SNPN。如果凭据持有者属于第三方，NSSAAF可以通过AAA-P联系AAA-S。

数据网络(data network,DN):指的是为用户提供数据传输服务的服务网络，如多媒体业务(IP multi-media service，IMS)、因特网(internet)等。具体地，UE通过UE到DN之间建立的分组数据单元(packet data unit，PDU)会话，来访问数据网络。

此外，本申请实施例涉及到AAA-P、DN-AAA，AAA-S，可以统一称为AAA服务器。AAA服务器和NSSAAF可以统称为鉴权设备/功能。

需要说明的是，图6-图11中的xx网元也可以称为xx功能或xx。例如，AMF网元也可以称为AMF或AMF功能，SMF网元也可以称为SMF或SMF功能，本申请实施例对此不做限制。

本申请实施例提供的鉴权方法，可以适用于图5-图11中任一项所示的通信系统中，实现对终端设备的二次鉴权，具体实现可以参考下述方法实施例，此处不再赘述。

应当指出的是，本申请实施例中的方案还可以应用于其他通信系统中，相应的名称也可以用其他通信系统中的对应功能的名称进行替代。

应理解，图5-图11仅为便于理解而示例的简化示意图，该通信系统中还可以包括其他网络设备，和/或，其他终端设备，图5-图11中未予以画出。

下面将结合图12-图16对本申请实施例提供的鉴权方法进行具体阐述。

示例性地，图12为本申请实施例提供的鉴权方法的流程示意图一。该鉴权方法可以适用于图1所示的通信系统中，对终端设备执行二次鉴权操作。

如图12所示，该鉴权方法包括如下步骤：

S1201，终端设备向第一网元发送应用信息。

一种可能的设计方案中，应用信息包括应用识别信息。其中，应用识别信息可以包括如下一项或多项：应用标识、互联网协议(internet protocol，IP)五元组、应用名称等，可以用于对应用执行二次鉴权操作，具体实现可以参考下述S1203，此处不再赘述。

可选地，应用信息还包括应用鉴权信息。其中，应用鉴权信息可以包括如下一项或多项：用户名、密码、证书信息等，可以与应用识别信息一起，用于鉴权设备对应用执行鉴权操作，具体实现可以参考下述S1203，此处不再赘述。

可选地，请参考图6-图11，第一网元可以为AMF。具体地，S1201可以具体实现为：终端设备通过接入网设备，向AMF网元发送应用信息。

或者，可选地，请参考图6-图11，第一网元可以为SMF。具体地，S1201可以具体实现为：终端设备通过接入网设备和AMF，向SMF网元发送应用信息。

S1202，第一网元向鉴权设备发送应用信息。

一种可能的设计方案中，请参考图6-图11，第一网元可以为AMF，鉴权设备可以为运营商部署的NSSAAF。相应地，AMF可以通过服务化接口或N58接口，向NSSAAF发送应用信息。

另一种可能的设计方案中，请参考图6-图11，第一网元可以为AMF，鉴权设备可以为运营商部署的NSSAAF。相应地，AMF可以通过服务化接口或N58接口，向NSSAAF发送应用信息。

又一种可能的设计方案中，请参考图6、图8、图10，第一网元可以为SMF，鉴权设备可以为运营商部署的NSSAAF。相应地，SMF可以通过服务化接口，向NSSAAF发送应用信息。

再一种可能的设计方案中，请参考图6、图8、图10，第一网元可以为SMF，鉴权设备可以为第三方应用提供商部署的AAA-S。相应地，AMF可以通过服务化接口，向NSSAAF发送应用信息，然后再由NSSAAF向AAA-S转发。

需要说明的是，倘若第三方应用提供商已授权运营商代为执行二次鉴权操作，则NSSAAF也可以不向AAA-S转发应用信息，而是根据授权自行完成二次鉴权操作。

S1203，鉴权设备根据应用信息确定鉴权结果。

一种可能的设计方案中，应用信息包括应用识别信息，鉴权结果包括应用识别信息。

具体地，鉴权设备可以将终端设备提供的应用信息，与鉴权设备本地存储的应用信息做比较，以确定二次鉴权是否成功。其中，鉴权设备本地存储的应用信息可以包括：已授权应用的应用信息，如白名单，和/或，被禁应用的应用信息，如黑名单。例如，若终端设备提供的应用信息存在于白名单中，则视为二次鉴权通过(鉴权成功)，否则视为二次鉴权未通过(鉴权失败)。又例如，若终端设备提供的应用信息存在于黑名单中，则视为二次鉴权未通过(鉴权失败)，否则视为二次鉴权通过(鉴权成功)。

此外，鉴权设备还可以结合应用鉴权信息，如用户名、密码、证书信息等确定鉴权结果。如此，可以实现应用信息和用户信息进行双重认证，以提高鉴权结果的可靠性，从而进一步提高网络安全性和运行效率。

本申请实施例中，可以隐式或显式地指示鉴权结果。下面举例说明。

示例性地，鉴权结果还包括鉴权指示信息，鉴权指示信息用于指示对应用信息对应的应用的鉴权操作是否成功。

或者，鉴权结果可以不包括鉴权指示信息，而是包括应用识别信息。此时，鉴权结果中的应用识别信息可以理解为如下之一：所有应用识别信息对应的应用均默认为鉴权通过、所有应用识别信息对应的应用均默认为鉴权未通过、或一部分应用识别信息对应的应用默认为鉴权通过，另一部分应用识别信息对应的应用默认为鉴权未通过。其中，该两部分应用识别信息可以承载于鉴权结果中的不同位置，如不同字段(field)或信元 (information element，IE)中予以区分。

S1204，鉴权设备向第一网元发送鉴权结果。

其中，鉴权结果根据应用信息确定，鉴权结果用于生成检测规则，检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作，如转发二次鉴权成功的应用的数据、丢弃二次鉴权失败的应用的数据。

一种可能的设计方案中，第一网元可以为接入与移动性管理网元，如AMF。相应地，图12中所示出的方法还可以包括如下步骤：接入与移动性管理网元向会话管理网元发送鉴权结果。具体地，请参考图6-图11，鉴权设备可以通过服务化接口或N58接口，向AMF发送鉴权结果。

之后，AMF可以向会话管理网元发送鉴权结果，以便会话管理网元确定检测规则。

另一种可能的设计方案中，第一网元可以为会话管理网元，如SMF。相应地，图12中所示出的方法还可以包括如下步骤：鉴权设备向会话管理网元发送鉴权结果。具体地，请参考图6、图8和图10，鉴权设备可以通过服务化接口向SMF发送鉴权结果。

在会话管理网元接收到鉴权结果之后，还可以执行如下步骤：会话管理网元根据鉴权结果确定检测规则，并向用户面网元发送，以便用户面网元根据检测规则，对二次鉴权成功的应用的数据执行转发操作，而对二次鉴权失败的应用的数据执行丢弃操作，从而实现对不同应用信息对应的应用提供差异化的数据传输服务。

可选地，会话管理网元可以根据鉴权结果自行确定检测规则，也可以向策略控制网元，如PCF发送鉴权结果，并接收来自策略控制网元根据鉴权结果确定的PCC规则，然后根据返回的PCC规则生成检测规则，本申请实施例对此不予限制。

示例性地，上述检测规则可以包括分组数据检测规则(packet detection rule，PDR)和转发行为规则(forwarding action rules，FAR)。

其中，检测规则可以是N4规则或N4规则的一部分，此处不予限制。

下面结合图13-图16中的几个示例，详细说明本申请实施例提供的鉴权方法。

图13为本申请实施例提供的鉴权方法的流程示意图二。该鉴权方法是基于网络切片鉴权流程实现的。其中，图12中的终端设备可以为图13中的UE，图12中的第一网元可以为图13中的AMF，图12中的鉴权设备可以为图13中的NSSAAF。此时，AMF可以基于网络切片鉴权流程，确定UE是否具有使用第三方应用提供商购买的网络切片的访问权限，从而完成了对UE的二次鉴权。

如图13所示，该鉴权方法可以包括如下步骤：

S1301，AMF在UE发起的注册流程中触发网络切片鉴权。

具体地，UE向AMF发送注册请求，AMF响应UE发起的注册请求，执行一次鉴权流程，即运营商网络鉴权流程。该注册请求中携带有UE请求的NSSAI，该请求的NSSAI可以包括一个或多个S-NSSAI。关于注册流程的具体实现，可以参考上述图2及其相关的文字说明，此处不再赘述。

对于一次鉴权成功的S-NSSAI，若AMF根据从UDM获取的签约数据判断需要执行二次鉴权，则可以继续执行下述S1302。

S1302，UE向AMF发送应用信息。

具体地，AMF可以向UE发送NAS MM传输请求，并接收来自UE的NAS MM传输响应。其中，NAS MM传输请求用于请求需要二次鉴权的网络切片对应的应用的应用信息，NAS MM传输响应携带有需要二次鉴权的网络切片对应的应用的应用信息。关于NAS MM传输请求和 NAS MM传输响应的具体实现，可以参考S302中的第一NAS MM传输请求和S303中的第一NAS MM传输响应，此处不再赘述。

其中，应用信息包含应用识别信息和应用鉴权信息。应用识别信息可以是IP五元组，应用标识等，应用鉴权信息可以是该应用的用户名，密码，证书信息等。

需要说明的是，若是UE在发起的注册请求中携带有请求的NSSAI对应的应用信息，则S1302也可以不执行，即此时S1302可以视为可选步骤。

S1303，AMF向NSSAAF发送应用信息。

具体地，AMF可以将应用信息承载于NSSAA鉴权请求中，向AMF发送，具体实现可以参考上述S304中的第一NSSAA鉴权请求和第二NSSAA鉴权请求，此处不再赘述。

S1304，NSSAAF通过AMF向UE发送鉴权结果。

具体地，NSSAAF可以视情况，请求AAA-S完成二次鉴权，或者自行完成二次鉴权。可选地，若第三方应用提供商与网络运营商已达成二次鉴权的委托协议，则NSSAAF可以自行完成二次鉴权。

或者，可选地，若第三方应用提供商没有委托网络运营商代为完成二次鉴权，则NSSAAF可以向AAA-S发送应用信息，并接收来自AAA-S的鉴权结果。其中，鉴权结果至少包括应用识别信息，如二次鉴权成功的S-NSSAI，可以采用容器(container)形式传输。可选地，鉴权结果还可以包括鉴权指示信息，该鉴权指示信息用于指示针对某个S-NSSAI的二次鉴权是否成功。

需要说明的是，AAA-S本地也可以预配置该UE可使用的应用信息，则上述S1301-S1303中也可以不需要UE上报应用信息。

S1305，UE通过AMF，向SMF发送PDU会话建立请求。

具体地，AMF接收来自UE的第一PDU会话建立请求，并向SMF发送第二PDU会话建立请求。其中，第一PDU会话建立请求可以包括被允许的NSSAI，第二PDU会话建立请求可以包括S-NSSAI和该S-NSSAI对应的应用信息的鉴权结果。

可选地，第二PDU会话建立请求还可以包括NSSAAF的标识、UE的标识和网络切片的标识。如此，SMF也可以直接从NSSAAF获取鉴权结果，而不需要AMF接收到鉴权结果之后，再向SMF转发。

另外一种实现方式可以是：PDU会话建立时，AMF将SMF的标识、UE的标识和网络切片的标识发送给NSSAAF，NSSAF将鉴权结果发送给SMF。

S1306，SMF向UPF发送检测规则。

具体地，SMF可以根据S-NSSAI和该S-NSSAI对应的应用信息的二次鉴权结果，自行确定或请求PCF确定N4规则，并通过N4会话向UPF发送N4规则。其中，N4规则包括检测规则，该检测规则用于指示UPF转发或丢弃该应用信息对应的应用的数据。关于检测规则的具体实现，可以参考上述S1204，此处不再赘述。

图14为本申请实施例提供的鉴权方法的流程示意图三。该鉴权方法是基于网络切片鉴权流程实现的。其中，图12中的终端设备可以为图14中的UE，图12中的第一网元可以为图14中的AMF，图12中的鉴权设备可以为图14中的NSSAAF。此时，AMF可以基于网络切片鉴权流程，确定UE是否具有使用第三方应用提供商购买的网络切片的访问权限，从而完成了对UE的二次鉴权。

如图14所示，该鉴权方法可以包括如下步骤：

S1401，AMF在UE发起的注册流程中触发网络切片鉴权。

S1402，UE向AMF发送应用信息。

S1403，AMF向NSSAAF发送应用信息。

S1404，NSSAAF通过AMF向UE发送鉴权结果。

上述S1401-S1404的具体实现，可以参考S1301-S1304，此处不再赘述。

S1405，UE通过AMF，向SMF发送PDU会话建立请求。

其中，PDU会话请求可以包括UE请求建立PDU会话的网络切片的标识，如S-NSSAI。此时，AMF可以仅执行PDU会话建立请求的转发操作。

S1405与S1305的不同之处在于：AMF向SMF发送第二PDU会话建立请求中可以不包括鉴权结果。此时，SMF可以在收到PDU会话建立请求后，再从AMF获取鉴权结果，即执行下述S1406-S1407。

S1406，SMF从AMF获取鉴权结果。

具体地，SMF可以向AMF发送鉴权结果获取请求，并接收来自AMF的鉴权结果。其中，鉴权结果获取请求可以包括PDU会话请求携带的网络切片的S-NSSAI。

可选地，SMF可以根据UDM中的签约数据，判断该S-NSSAI是否需要针对每个应用进行二次鉴权。若是，则从AMF获取鉴权结果。

或者，可选地，SMF也可以向AMF订阅鉴权通过的应用信息。这样一来，每当有应用鉴权结果更新(或称改变)时，SMF均可收到AMF的鉴权结果更新通知。

S1407，SMF向UPF发送检测规则。

关于S1407的具体实现，可以参考上述S1306，此处不再赘述。

图15为本申请实施例提供的鉴权方法的流程示意图四。该鉴权方法是基于PDU会话建立流程实现的。其中，图12中的终端设备可以为图15中的UE，图12中的第一网元可以为图15中的SMF，图12中的鉴权设备可以为图15中的DN-AAA，如DN中部署的AAA-S。此时，SMF可以基于网络切片鉴权流程，确定UE是否具有使用第三方应用提供商购买的网络切片的访问权限，从而完成了对UE的二次鉴权。

如图15所示，该鉴权方法可以包括如下步骤：

S1501，SMF向DN-AAA发送第一鉴权请求。

具体地，SMF可以在UE发起PDU会话建立流程中，通过UPF向DN-AAA发送第一鉴权请求，从而触发二次鉴权。

其中，第一鉴权请求用于请求DN-AAA启动二次鉴权。

S1502，SMF接收来自DN-AAA的第一鉴权响应。

其中，第一鉴权响应用于通知SMF：DN-AAA是否允许启动对UE的二次鉴权。若是，则执行下述S1503。

之后，SMF可以根据签约数据，判断该DN-AAA是否需要针对该应用进行二次鉴权。若是，则SMF可以向UE发送应用信息获取请求，并接收来自UE的应用信息，具体可以实现为如下S1503-S1504：

S1503，SMF向UE发送应用信息获取请求。

其中，应用信息获取请求携带有EAP ID请求和UE的身份信息，用于请求需要二次鉴权的应用信息。

S1504，SMF接收来自UE的应用信息获取响应。

其中，应用信息获取响应携带有应用信息、EAP ID响应和UE的身份信息。关于应用信息的内容可以参考S1201，此处不再赘述。

需要说明的是，若UE在S1501中发起的PDU会话建立请求中已携带有应用信息，则S1503-S1504也可以不执行，而是执行下述S1505，即此时S1503-S1504可以视为可选步骤。

S1505，SMF向DN-AAA发送第二鉴权请求。

其中，第二鉴权请求携带有S1504中获取的应用信息。

S1506，DN-AAA向SMF发送第二鉴权响应。

其中，第二鉴权响应携带有鉴权结果。关于鉴权结果的内容，请参考S1203-S1204，此处不再赘述。

S1507，执行PDU会话建立流程和二次鉴权流程中的剩余步骤。

S1508，SMF根据鉴权结果，确定N4规则。

S1509，SMF向UPF发送N4规则。

其中，N4规则包括检测规则，关于检测规则的具体实现，可以参考S1306，此处不再赘述。

需要说明的是，图15中所示出的鉴权方法可以单独实施，也可以与图13或图14中所示出的鉴权方法结合实施。例如，若UE发起建立的PDU会话的S-NSSAI和该PDU会话都需要鉴权，则SMF可以整合从AMF获取的鉴权结果中的应用信息，以及从AAA-S获取的鉴权结果中的应用信息，如上述两类应用信息的交集，生成检测规则。

图16为本申请实施例提供的鉴权方法的流程示意图五。该鉴权方法可以与图13-图15中任一项所示出的鉴权方法结合实施。其中，图12中的终端设备可以为图16中的UE，图12中的第一网元可以为图16中的AMF或SMF，图12中的鉴权设备可以为图16中的NSSAAF或AAA-S。此时，PCF可以基于从AMF，和/或，NSSAAF/AAA-S获取到的鉴权结果生成检测规则。

如图16所示，该鉴权方法可以包括如下步骤：

S1601，执行PDU会话建立流程和二次鉴权流程。

S1602，SMF接收来自AMF和/或NSSAAF的鉴权结果。

其中，鉴权结果中至少包括应用识别信息。

S1603，SMF向PCF发送鉴权结果。

S1604，PCF基于鉴权结果确定PCC规则。

S1605，PCF向SMF发送PCC规则。

S1606，SMF向UPF发送检测规则。

具体地，SMF可以根据PCC规则生成检测规则，如N4规则，并向UPF发送。之后，UPF即可根据检测规则，对应用标识信息对应的应用的数据实施定制的转发策略，如将鉴权通过的应用对应的PCC规则的门控定义为开，反之定义为关，从而实现转发二次鉴权成功的应用的数据，或丢弃二次鉴权失败的应用的数据。

需要说明的是，图16中所示出的鉴权方法与图13-图15中任一项所示出的鉴权方法之间的区别在于：在图13-图15中任一项所示出的鉴权方法中，PCC规则是由SMF确定的，而在图16中所示出的鉴权方法中，PCC规则是由PCF确定的。

本领域技术人员应当理解，上述图13-图15中所示出的各网元或设备均为示例，不得视为对本申请提供的技术方案的保护范围构成任何限制。以鉴权设备为例，在图13和图14中中为NSSAAF，在图15中为DN-AAA，在图16中为NSSAAF和AAA-S。实际应用中，用于执行二次鉴权功能的设备/网元可以不止一个，也可能不止一种，本申请实施例对于鉴权设备的种类和数量不做限制。

此外，在图13-图16中所示出的实施例中，PCF可以根据以下信息中的一个或多个生成URSP规则：签约信息(如切片/DNN是否需要二次鉴权，某个应用是否需要切片/DNN二次鉴权等等)、AMF或者SMF上报的鉴权需求信息(如切片/DNN是否需要二次鉴权，某个应用是否需要切片/DNN二次鉴权等等)、二次鉴权结果。

其中，URSP规则的路径选择描述符如下表6所示。

表6

与表3相比，表6有如下不同：新增了应用的切片二次鉴权通过、应用的DN二次鉴权通过这几条规则。值得注意的是表6中的名称只是示例，并不限制在实现时使用其他名称。

换言之，UE可以根据返回的鉴权结果判断要不要使用某个URSP(或路径选择描述符，RSD)。具体的，只有当应用的二次鉴权通过时，UE才认为该应用对应的DNN/S-NSSAI的 URSP规则(或RSD)是合法的。只有URSP规则或RSD合法时，UE才会去使用对应的URSP规则(RSD)，如基于对应的URSP规则发起PDU会话建立请求。

网络侧(如AMF或SMF)可以在(应用)二次鉴权(如以上实施例所述)之后，将鉴权结果发送给UE，UE可以根据鉴权结果判断上述路由选择验证标准是否符合。

另外，当PCF使用二次鉴权结果作为输入时，具体地，如表6所示，也可以使用验证标准(validation criteria)字段，如路由选择验证标准，直接传输鉴权结果，如在其中增加相应的指示信息。如此，UE可以直接进行判断，不必由AMF或SMF另外发送鉴权结果。

基于图12-图16中任一项所示出的鉴权方法，鉴权设备可以根据应用信息，对任一应用信息对应的应用逐一进行二次鉴权操作。如此，第一网元可以基于该鉴权结果，为每个应用逐一确定检测规则，并指示数据传输路径上的各网络节点，基于该检测规则，对不同应用信息对应的应用的数据分别执行转发或丢弃操作，如转发鉴权成功的应用的数据、丢弃鉴权失败的应用的数据，以确保即使应用信息被盗用或篡改，也不会滥用网络资源，从而提高网络安全性和运行效率。

以上结合图12-图16详细说明了本申请实施例提供的鉴权方法。以下结合图17-图20详细说明用于执行本申请实施例提供的鉴权方法的鉴权装置。

示例性地，图17是本申请实施例提供的鉴权装置的结构示意图一。如图17所示，鉴权装置1700包括：接收模块1701和发送模块1702。为了便于说明，图17仅示出了该鉴权装置的主要部件。

一些实施例中，鉴权装置1700可适用于图4中所示出的通信系统中，执行图12中所示出的鉴权方法中第一网元的功能，或者适用于图6-图11中任一项所示出的通信系统中，执行图13-图16中所示出的鉴权方法中AMF或SMF的功能。

其中，接收模块1701，用于接收来自终端设备的应用信息。

发送模块1702，用于向鉴权设备发送应用信息。

接收模块1701，还用于接收来自鉴权设备的鉴权结果。其中，鉴权结果根据应用信息确定，鉴权结果用于生成检测规则，检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作。

一种可能的设计方案中，应用信息包括应用识别信息，鉴权结果包括应用识别信息。

可选地，应用信息还包括应用鉴权信息。

可选地，鉴权结果还包括鉴权指示信息，鉴权指示信息用于指示对应用信息对应的应用的鉴权操作是否成功。

一种可能的设计方案中，发送模块1702，还用于向会话管理网元发送鉴权结果。

另一种可能的设计方案中，鉴权装置1700还包括：处理模块1703(图17中以虚线框示出)。其中，处理模块1703，用于根据鉴权结果确定检测规则。发送模块1702，还用于向用户面网元发送检测规则。

可选地，发送模块1702，还用于向策略控制网元发送鉴权结果。接收模块1701，还用于接收来自策略控制网元的检测规则。

可选地，接收模块1701和发送模块1702也可以集成为一个模块，如收发模块(图17中未示出)。其中，收发模块用于实现鉴权装置1700的收发功能。

可选地，鉴权装置1700还可以包括存储模块(图17中未示出)，该存储模块存储有计算机程序或指令。当处理模块1703执行该计算机程序或指令时，使得鉴权装置1700可以执行图12-图16中任一项所示出的鉴权方法。

可选地，鉴权装置1700可以是第一网元，如接入与移动性管理网元、或会话管理网元，也可以是可设置于第一网元中的芯片(系统)或其他部件或组件，还可以是包含第一网元的装置或系统，本申请对此不做限定。

应理解，鉴权装置1700中涉及的处理模块可以由处理器或处理器相关电路组件实现，可以为处理器或处理单元；收发模块可以由收发器或收发器相关电路组件实现，可以为收发器或收发单元。

示例性地，图18是本申请实施例提供的鉴权装置的结构示意图二。如图18所示，鉴权装置1800包括：获取模块1801和发送模块1802。为了便于说明，图18仅示出了该鉴权装置的主要部件。

一些实施例中，鉴权装置1800可适用于图4中所示出的通信系统中，执行图12中所示出的鉴权方法中鉴权设备的功能，或者适用于图6-图11中任一项所示出的通信系统中，执行图13-图16中所示出的鉴权方法中NSSAAF或DN-AAA的功能。

其中，获取模块1801，用于获取应用信息。其中，应用信息用于确定鉴权结果。

发送模块1802，用于向第一网元发送鉴权结果。其中，鉴权结果用于确定检测规则，检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作。

一种可能的设计方案中，应用信息包括应用识别信息，鉴权结果包括应用识别信息。

可选地，应用信息还包括应用鉴权信息。

可选地，鉴权结果还包括鉴权指示信息，鉴权指示信息用于指示对应用信息对应的应用的鉴权操作是否成功。

一种可能的设计方案中，鉴权装置1800还包括：接收模块1803。其中，接收模块1803，用于接收来自第一网元的应用信息。

可选地，接收模块1803和发送模块1802也可以集成为一个模块，如收发模块(图18中未示出)。其中，收发模块用于实现鉴权装置1800的收发功能。

可选地，获取模块1801可以与鉴权装置1800的其他处理功能集成为一个处理模块(图18中未示出)，该处理模块用于实现鉴权装置1800的处理功能。

可选地，鉴权装置1800还可以包括存储模块(图18中未示出)，该存储模块存储有计算机程序或指令。当处理模块执行该计算机程序或指令时，使得鉴权装置1800可以执行图12-图16中任一项所示出的鉴权方法。

可选地，鉴权装置1800可以是鉴权设备，如NSSAAF、AAA-S、AAA-P、DN-AAA等，也可以是可设置于鉴权设备中的芯片(系统)或其他部件或组件，还可以是包含鉴权设备的装置或系统，本申请实施例对此不做限定。

示例性地，图19是本申请实施例提供的鉴权装置的结构示意图三。如图19所示，鉴权装置1900包括：发送模块1901。为了便于说明，图19仅示出了该鉴权装置的主要部件。

一些实施例中，鉴权装置1900可适用于图4中所示出的通信系统中，执行图12中所示出的鉴权方法中终端设备的功能，或者适用于图6-图11中任一项所示出的通信系统中，执行图13-图16中所示出的鉴权方法中UE的功能。

其中，发送模块1901，用于向第一网元发送应用信息。其中，应用信息用于确定鉴权结果，鉴权结果用于生成检测规则，检测规则用于对应用信息对应的应用的数据执行转发或丢弃操作。

一种可能的设计方案中，应用信息包括应用识别信息，鉴权结果包括应用识别信息。

可选地，应用信息还包括应用鉴权信息。

可选地，鉴权结果还包括鉴权指示信息，鉴权指示信息用于指示对应用信息对应的应用的鉴权操作是否成功。

一种可能的设计方案中，鉴权装置1900还包括：接收模块1902。其中，接收模块1902，用于接收来自第一网元的鉴权结果。

可选地，发送模块1901接收模块1902和也可以集成为一个模块，如收发模块(图19中未示出)。其中，收发模块用于实现鉴权装置1900的收发功能。

可选地，鉴权装置1900还可以包括处理模块1903。其中，处理模块用于实现该装置的处理功能。

可选地，鉴权装置1900还可以包括存储模块(图19中未示出)，该存储模块存储有计算机程序或指令。当处理模块1903执行该计算机程序或指令时，使得鉴权装置1900可以执行图12-图16中任一项所示出的鉴权方法。

可选地，鉴权装置1900可以是终端设备，也可以是可设置于终端设备中的芯片(系统)或其他部件或组件，还可以是包含终端设备的装置或系统，本申请对此不做限定。

示例性地，图20为本申请实施例提供的鉴权装置的结构示意图四。该鉴权装置可以是终端设备或网络设备，也可以是可设置于终端设备或网络设备的芯片(系统)或其他部件或组件。如图20所示，鉴权装置2000可以包括处理器2001。可选地，鉴权装置2000还可以包括存储器2002和/或收发器2003。其中，处理器2001与存储器2002和收发器2003耦合，如可以通过通信总线连接。

下面结合图20对鉴权装置2000的各个构成部件进行具体的介绍：

其中，处理器2001是鉴权装置2000的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器2001是一个或多个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)。

可选地，处理器2001可以通过运行或执行存储在存储器2002内的软件程序，以及调用存储在存储器2002内的数据，执行鉴权装置2000的各种功能。

在具体的实现中，作为一种实施例，处理器2001可以包括一个或多个CPU，例如图20中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，鉴权装置2000也可以包括多个处理器，例如图20中所示的处理器2001和处理器2004。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

其中，所述存储器2002用于存储执行本申请方案的软件程序，并由处理器2001来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器2002可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器2002可以 和处理器2001集成在一起，也可以独立存在，并通过鉴权装置2000的接口电路(图20中未示出)与处理器2001耦合，本申请实施例对此不作具体限定。

收发器2003，用于与其他鉴权装置之间的通信。例如，鉴权装置2000为终端设备，收发器2003可以用于与网络设备通信，或者与另一个终端设备通信。又例如，鉴权装置2000为网络设备，收发器2003可以用于与终端设备通信，或者与另一个网络设备通信。

可选地，收发器2003可以包括接收器和发送器(图20中未单独示出)。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器2003可以和处理器2001集成在一起，也可以独立存在，并通过鉴权装置2000的接口电路(图20中未示出)与处理器2001耦合，本申请实施例对此不作具体限定。

需要说明的是，图20中示出的鉴权装置2000的结构并不构成对该鉴权装置的限定，实际的鉴权装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，图17-图20中任一项所示出的鉴权装置的技术效果可以参考上述方法实施例所述的鉴权方法的技术效果，此处不再赘述。

本申请实施例提供一种通信系统。该通信系统包括终端设备、第一网元和鉴权设备。

应理解，在本申请实施例中的处理器可以是中央处理单元(central processing unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random access memory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、 硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (29)

1. 一种鉴权方法，其特征在于，应用于第一网元，所述方法包括：

   接收来自终端设备的应用信息；

   向鉴权设备发送所述应用信息；

   接收来自所述鉴权设备的鉴权结果；所述鉴权结果根据所述应用信息确定，所述鉴权结果用于生成检测规则，所述检测规则用于对所述应用信息对应的应用的数据执行转发或丢弃操作。
2. 根据权利要求1所述的鉴权方法，其特征在于，所述应用信息包括应用识别信息，所述鉴权结果包括所述应用识别信息。
3. 根据权利要求2所述的鉴权方法，其特征在于，所述应用信息还包括应用鉴权信息。
4. 根据权利要求2或3所述的鉴权方法，其特征在于，所述鉴权结果还包括鉴权指示信息，所述鉴权指示信息用于指示对所述应用信息对应的应用的鉴权操作是否成功。
5. 根据权利要求1-4中任一项所述的鉴权方法，其特征在于，所述第一网元为接入与移动性管理网元；

   所述方法还包括：

   所述接入与移动性管理网元向会话管理网元发送所述鉴权结果。
6. 根据权利要求1-4中任一项所述的鉴权方法，其特征在于，所述第一网元为会话管理网元；

   所述方法还包括：

   所述会话管理网元根据所述鉴权结果确定所述检测规则；

   所述会话管理网元向用户面网元发送所述检测规则。
7. 根据权利要求6所述的鉴权方法，其特征在于，所述会话管理网元根据所述鉴权结果确定所述检测规则，具体包括：

   所述会话管理网元向策略控制网元发送所述鉴权结果；

   所述会话管理网元接收来自所述策略控制网元的检测规则。
8. 一种鉴权方法，其特征在于，应用于鉴权设备，所述方法包括：

   获取应用信息；所述应用信息用于确定所述鉴权结果；

   向第一网元发送所述鉴权结果；所述鉴权结果用于确定检测规则，所述检测规则用于对所述应用信息对应的应用的数据执行转发或丢弃操作。
9. 根据权利要求8所述的鉴权方法，其特征在于，所述应用信息包括应用识别信息，所述鉴权结果包括所述应用识别信息。
10. 根据权利要求9所述的鉴权方法，其特征在于，所述鉴权结果还包括鉴权指示信息，所述鉴权指示信息用于指示对所述应用信息对应的应用的鉴权操作是否成功。
11. 根据权利要求8-10中任一项所述的鉴权方法，其特征在于，所述获取应用信息，具体包括：

    接收来自所述第一网元的所述应用信息。
12. 一种鉴权方法，其特征在于，应用于终端设备，所述方法包括：

    向第一网元发送应用信息；所述应用信息用于确定鉴权结果，所述鉴权结果用于生成检测规则，所述检测规则用于对所述应用信息对应的应用的数据执行转发或丢弃操作。
13. 根据权利要求12所述的方法，其特征在于，所述方法还包括：

    接收来自所述第一网元的所述鉴权结果。
14. 一种鉴权装置，其特征在于，所述装置包括：接收模块和发送模块；其中，

    所述接收模块，用于接收来自终端设备的应用信息；

    所述发送模块，用于向鉴权设备发送所述应用信息；

    所述接收模块，还用于接收来自所述鉴权设备的鉴权结果；所述鉴权结果根据所述应用信息确定，所述鉴权结果用于生成检测规则，所述检测规则用于对所述应用信息对应的应用的数据执行转发或丢弃操作。
15. 根据权利要求14所述的鉴权装置，其特征在于，所述应用信息包括应用识别信息，所述鉴权结果包括所述应用识别信息。
16. 根据权利要求15所述的鉴权装置，其特征在于，所述应用信息还包括应用鉴权信息。
17. 根据权利要求15或16所述的鉴权装置，其特征在于，所述鉴权结果还包括鉴权指示信息，所述鉴权指示信息用于指示对所述应用信息对应的应用的鉴权操作是否成功。
18. 根据权利要求14-17中任一项所述的鉴权装置，其特征在于，

    所述发送模块，还用于向会话管理网元发送所述鉴权结果。
19. 根据权利要求14-17中任一项所述的鉴权装置，其特征在于，所述装置还包括：处理模块；其中，

    所述处理模块，用于根据所述鉴权结果确定所述检测规则；

    所述发送模块，还用于向用户面网元发送所述检测规则。
20. 根据权利要求19所述的鉴权装置，其特征在于，

    所述发送模块，还用于向策略控制网元发送所述鉴权结果；

    所述接收模块，还用于接收来自所述策略控制网元的检测规则。
21. 一种鉴权装置，其特征在于，所述装置包括：获取模块和发送模块；其中，

    所述获取模块，用于获取应用信息；所述应用信息用于确定所述鉴权结果；

    所述发送模块，用于向第一网元发送所述鉴权结果；所述鉴权结果用于确定检测规则，所述检测规则用于对所述应用信息对应的应用的数据执行转发或丢弃操作。
22. 根据权利要求21所述的鉴权装置，其特征在于，所述应用信息包括应用识别信息，所述鉴权结果包括所述应用识别信息。
23. 根据权利要求22所述的鉴权装置，其特征在于，所述鉴权结果还包括鉴权指示信息，所述鉴权指示信息用于指示对所述应用信息对应的应用的鉴权操作是否成功。
24. 根据权利要求21-23中任一项所述的鉴权装置，其特征在于，所述装置还包括：接收模块；其中，

    所述接收模块，用于接收来自所述第一网元的所述应用信息。
25. 一种鉴权装置，其特征在于，所述装置包括：发送模块；其中，

    所述发送模块，用于向第一网元发送应用信息；所述应用信息用于确定鉴权结果，所述鉴权结果用于生成检测规则，所述检测规则用于对所述应用信息对应的应用的数据执行转发或丢弃操作。
26. 根据权利要求25所述的装置，其特征在于，所述装置还包括：接收模块；其中，

    所述接收模块，用于接收来自所述第一网元的所述鉴权结果。
27. 一种鉴权装置，其特征在于，包括：处理器，所述处理器与存储器耦合；

    所述处理器，用于执行所述存储器中存储的计算机程序，以使得所述鉴权装置执行如权利要求1-13中任一项所述的鉴权方法。
28. 一种计算机可读存储介质，其特征在于，存储有计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求1-13中任一项所述的鉴权方法。
29. 一种计算机程序产品，其特征在于，包括：计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求1-13中任一项所述的鉴权方法。

Images