CN114978556A - 切片认证方法、装置及*** - Google Patents
切片认证方法、装置及*** Download PDFInfo
- Publication number
- CN114978556A CN114978556A CN202110189438.9A CN202110189438A CN114978556A CN 114978556 A CN114978556 A CN 114978556A CN 202110189438 A CN202110189438 A CN 202110189438A CN 114978556 A CN114978556 A CN 114978556A
- Authority
- CN
- China
- Prior art keywords
- authentication
- network slice
- management function
- mobility management
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 157
- 238000013475 authorization Methods 0.000 claims abstract description 214
- 238000004891 communication Methods 0.000 claims abstract description 116
- 238000007726 management method Methods 0.000 claims description 272
- 238000012545 processing Methods 0.000 claims description 85
- 238000013523 data management Methods 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000006870 function Effects 0.000 description 389
- 238000013461 design Methods 0.000 description 100
- 230000015654 memory Effects 0.000 description 28
- 230000008569 process Effects 0.000 description 20
- 230000000694 effects Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供了一种切片认证方法、装置和***,涉及通信技术领域,能够改善5G通信***在不支持EAP认证时无法对终端设备进行认证和授权,或者采用PAP认证/CHAP认证的情况下,由于兼容性而无法对终端设备进行认证和授权的技术问题。该方法包括:移动性管理功能接收来自终端设备的网络切片的标识信息;并获取网络切片对应的认证方式和第一认证参数;认证方式包括PAP认证或CHAP认证;第一认证参数包括PAP认证参数或CHAP认证参数;移动性管理功能在获取认证方式后,将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能;接收来自网络切片认证授权功能的第一标识和认证结果,并将认证结果发送给终端设备。
Description
技术领域
本申请涉及通信技术领域,尤其是涉及一种切片认证方法、装置及***。
背景技术
现有通信***中,终端设备接入核心网时,核心网设备可以发起到身份验证,授权和记账(authentication,authorization and accounting,AAA)服务器的通信,以使AAA服务器对终端设备进行认证和授权。
其中,对于***(4th-generation,4G)通信***,AAA服务器可以采用点对点协议(point-to-point protocol,PPP)对终端设备进行认证和授权。其中,点对点协议可以包括密码认证协议(password authentication protocol,PAP)、挑战握手认证协议(challenge handshake authentication protocol,CHAP)等。
目前,第三代合作伙伴项目(3rd generation partnership project,3GPP)在定义第五代(5th-generation,5G)通信***时,定义AAA服务器可以基于可扩展认证协议(extensible authentication protocol,EAP)对终端设备进行认证和授权。但是,当AAA服务器不支持EAP时,会导致EAP在5G通信***中不能被端到端使用,从而使得AAA服务器无法对终端设备进行认证和授权。
另外,在AAA服务器不支持EAP的情况下,5G通信***需要采用PAP/CHAP对终端设备进行认证和授权,而终端设备可能是支持EAP的认证方式,因此存在当终端设备对应的认证方式与5G通信***对应的认证方式不同的情况,即会存在兼容性的问题,导致AAA服务器无法对终端设备进行认证和授权。
发明内容
有鉴于此,本申请实施例提供了一种切片认证方法、装置及***,能够改善5G通信***在不支持EAP认证时无法对终端设备进行认证和授权,或者采用PAP认证/CHAP认证的情况下,由于兼容性而无法对终端设备进行认证和授权的技术问题。
第一方面,本申请实施例提供了一种切片认证方法,该方法包括:移动性管理功能接收来自终端设备的网络切片的标识信息;并获取网络切片对应的认证方式和第一认证参数;其中,认证方式包括PAP认证或CHAP认证;第一认证参数包括PAP认证参数或CHAP认证参数;移动性管理功能在获取认证方式后,将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能,并接收来自网络切片认证授权功能的第一标识和认证结果,将认证结果发送给终端设备。
基于第一方面,移动性管理功能可以在网络切片的认证方式为PAP认证或CHAP认证的情况下,将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能,以使网络切片认证授权功能发起到认证授权服务器的通信,使用PAP认证或CHAP认证的方式完成对终端设备的认证和授权,从而使得5G通信***在认证授权服务器支持EAP认证时,可以按照5G现有认证流程对终端设备进行认证和授权,在认证授权服务器不支持EAP认证时,可以采用PAP认证或CHAP认证对终端设备进行认证和授权。该方法还可以避免终端设备对应的认证方式与5G通信***对应的认证方式不同导致的兼容性问题。比如,终端设备和对应的认证授权服务器采用的认证方式是PAP或CHAP,而5G通信***的核心网仍采用EAP认证方式,则会导致PAP/CHAP认证流程无法执行,进而认证失败。本申请的方案中,在终端设备和对应的认证授权服务器采用的认证方式是PAP或CHAP的情况下,核心网也能够采用PAP或CHAP认证方式,从而使得5G通信***能够使用PAP认证或CHAP认证对该终端设备进行认证,保证了认证方式的兼容性。
一种可能的设计中,移动性管理功能接收来自终端设备的携带第一认证参数的第一消息。
一种可能的设计中,第一消息为注册请求、安全模式完成消息或上行非接入层传输消息。
基于上述两种可能的设计,移动性管理功能可以根据如上所示的第一消息获取第一认证参数,为移动性管理功能获取第一认证参数提供了可行性方案。
一种可能的设计中,移动性管理功能向终端设备发送包括网络切片的标识信息的第一请求;并接收来自终端设备的第一认证参数。
基于该可能的设计,移动性管理功能还可以通过向终端设备发送第一请求,以获取第一认证参数,为移动性管理功能获取第一认证参数提供了又一种可行性方案。
一种可能的设计中,移动性管理功能接收来自终端设备的网络切片对应的认证方式。
一种可能的设计中,移动性管理功能向统一数据管理功能发送包括终端设备的第二标识的第二请求;并接收来自统一数据管理功能的包括网络切片对应的认证方式的签约信息。
一种可能的设计中,移动性管理功能根据预先配置的第一对应关系和网络切片的标识信息,确定网络切片对应的认证方式;其中,第一对应关系包括网络切片的标识信息和网络切片的标识信息对应的认证方式。
基于上述三种可能的设计,移动性管理功能可以接收终端设备发送的网络切片对应的认证方式;也可以根据终端设备的签约信息获取网络切片对应的认证方式;还可以根据第一对应关系获取网络切片对应的认证方式,不予限制。为移动性管理功能获取网络切片对应的认证方式提供了多种可行性方案。
一种可能的设计中,移动性管理功能根据下述一种或多种信息确定网络切片认证授权功能:网络切片的标识信息、网络切片对应的认证方式、或网络切片对应的数据网络名称。
基于该可能的设计,移动性管理功能可以根据上述一种或多种信息选择合适的网络切片认证授权功能,提高对终端设备进行认证和授权的成功率。
一种可能的设计中,当移动性管理功能支持网络切片的认证方式时,移动性管理功能获取网络切片对应的第一认证参数。
基于该可能的设计,移动性管理功能可以在支持网络切片的认证方式时,获取网络切片对应的第一认证参数,进而实现对终端设备的认证和授权,避免移动性管理功能在无法支持网络切片的认证方式时,仍继续执行对终端设备的认证和授权,提高对终端设备进行认证和授权的效率。
一种可能的设计中,当移动性管理功能不支持网络切片的认证方式时,移动性管理功能向终端设备发送注册拒绝消息;其中,注册拒绝消息用于指示移动性管理功能拒绝终端设备的注册请求。
一种可能的设计中,当移动性管理功能不支持网络切片对应的认证方式时,移动性管理功能向网络切片选择功能发送第三请求;其中,第三请求包括网络切片的标识信息和网络切片对应的认证方式;移动性管理功能接收网络切片选择功能返回的目标移动性管理功能的信息;移动性管理功能将网络切片的标识信息和网络切片对应的认证方式发送给目标移动性管理功能。
基于上述两种可能的设计,当移动性管理功能不支持网络切片对应的认证方式时,移动性管理功能可以向终端设备发送注册拒绝消息,还可以向网络切片选择功能发送第三请求,请求支持网络切片对应的认证方式的目标移动性管理功能,以使目标移动性管理功能继续执行对终端设备的认证和授权。
第二方面,本申请实施例提供了一种移动性管理功能,该移动性管理功能可以实现上述第一方面或者第一方面可能的设计中移动性管理功能所执行的功能,所述功能可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如,接收模块、处理模块和发送模块。接收模块,用于接收来自终端设备的网络切片的标识信息;处理模块,用于获取网络切片对应的认证方式和第一认证参数;认证方式包括PAP认证或CHAP认证;第一认证参数包括PAP认证参数或CHAP认证参数;处理模块,还用于在获取认证方式后,通过发送模块将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能;接收模块,还用于接收来自网络切片认证授权功能的第一标识和认证结果;发送模块,还用于将认证结果发送给终端设备。
一种可能的设计中,接收模块,具体用于接收来自终端设备的携带第一认证参数的第一消息。
一种可能的设计中,第一消息为注册请求、安全模式完成消息或上行非接入层传输消息。
一种可能的设计中,发送模块,还用于向终端设备发送网络切片的标识信息的第一请求;接收模块,还用于接收来自终端设备的第一认证参数。
一种可能的设计中,接收模块,具体用于接收来自终端设备的网络切片对应的认证方式。
一种可能的设计中,发送模块,还用于向统一数据管理功能发送包括终端设备的第二标识的第二请求;接收模块,还用于接收来自统一数据管理功能的包括网络切片对应的认证方式的签约信息。
一种可能的设计中,处理模块,还用于根据预先配置的第一对应关系和网络切片的标识信息,确定网络切片对应的认证方式;其中,第一对应关系包括网络切片的标识信息和网络切片的标识信息对应的认证方式。
一种可能的设计中,处理模块,还用于根据下述一种或多种信息确定网络切片认证授权功能:网络切片的标识信息、网络切片对应的认证方式、或网络切片对应的数据网络名称。
一种可能的设计中,处理模块,还用于当处理模块支持网络切片的认证方式时,获取网络切片对应的第一认证参数。
一种可能的设计中,处理模块,还用于当处理模块不支持网络切片的认证方式时,通过发送模块向终端设备发送注册拒绝消息;其中,注册拒绝消息用于指示处理模块拒绝终端设备的注册请求。
一种可能的设计中,处理模块,还用于当处理模块不支持网络切片对应的认证方式时,通过发送模块向网络切片选择功能发送第三请求;其中,第三请求包括网络切片的标识信息和网络切片对应的认证方式;接收模块,还用于接收网络切片选择功能返回的目标移动性管理功能的信息;发送模块,还用于将网络切片的标识信息和网络切片对应的认证方式发送给目标移动性管理功能。
需要说明的是,该移动性管理功能的具体实现方式还可参考第一方面或第一方面的任一种可能的设计提供的切片认证方法中移动性管理功能的行为功能,该移动性管理功能所带来的技术效果也可参见上述第一方面的任一种可能的设计所带来的技术效果,不予赘述。
第三方面,本申请实施例提供了一种移动性管理功能,该移动性管理功能可以为移动性管理功能或者移动性管理功能中的芯片或者片上***。该移动性管理功能可以实现上述各方面或者各可能的设计中移动性管理功能所执行的功能,所述功能可以通过硬件实现。一种可能的设计中,该移动性管理功能可以包括:收发器和处理器。收发器和处理器可以用于支持移动性管理功能实现上述第一方面或者第一方面的任一种可能的设计中所涉及的功能。例如:收发器可以用于接收来自终端设备的网络切片的标识信息;处理器可以用于获取网络切片对应的认证方式和第一认证参数;认证方式包括PAP认证或CHAP认证;第一认证参数包括PAP认证参数或CHAP认证参数;处理器还可以用于在获取认证方式后,通过收发器将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能;收发器还可以用于接收来自网络切片认证授权功能的第一标识和认证结果;并将认证结果发送给终端设备。在又一种可能的设计中,所述移动性管理功能还可以包括存储器,存储器,用于保存移动性管理功能必要的计算机执行指令和数据。当该移动性管理功能运行时,该收发器和处理器执行该存储器存储的该计算机执行指令,以使该移动性管理功能执行如上述第一方面或者第一方面的任一种可能的设计所述的切片认证方法。
其中,第三方面中移动性管理功能的具体实现方式可参考第一方面或第一方面的任一种可能的设计提供的切片认证中移动性管理功能的行为功能。
第四方面,本申请实施例提供了一种切片认证方法,该方法可以包括:终端设备生成网络切片对应的第一认证参数;并向移动性管理功能发送网络切片的标识信息和第一认证参数;终端设备还接收来自移动性管理功能的认证结果;其中,第一认证参数包括PAP认证参数或CHAP认证参数。
基于第四方面,终端设备可以通过向移动性管理功能发送网络切片的标识信息和第一认证参数,以使移动性管理功能可以在网络切片的认证方式为PAP认证或CHAP认证的情况下,将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能,进而使得网络切片认证授权功能发起到认证授权服务器的通信,使用PAP认证或CHAP认证的方式完成对终端设备的认证和授权,从而使得5G通信***在认证授权服务器支持EAP认证时,可以按照5G现有认证流程对终端设备进行认证和授权,在认证授权服务器不支持EAP认证时,可以采用PAP认证或CHAP认证对终端设备进行认证和授权,该方法还可以避免终端设备对应的认证方式与5G通信***对应的认证方式不同导致的兼容性问题。比如,终端设备和对应的认证授权服务器采用的认证方式是PAP或CHAP,而5G通信***的核心网仍采用EAP认证方式,则会导致PAP/CHAP认证流程无法执行,进而认证失败。本申请的方案中,在终端设备和对应的认证授权服务器采用的认证方式是PAP或CHAP的情况下,核心网也能够采用PAP或CHAP认证方式,从而使得5G通信***能够使用PAP认证或CHAP认证对该终端设备进行认证,保证了认证方式的兼容性。
一种可能的设计中,当第一认证参数为PAP认证参数时,第一认证参数包括终端设备的用户名和第一密码。
一种可能的设计中,当第一认证参数为CHAP认证参数时,第一认证参数包括终端设备的用户名、第二密码和随机码;终端设备生成随机码,并预置与认证授权服务器的共享密钥,使用随机码、共享密钥和终端设备的用户名生成第二密码。
基于上述两种可能的设计,当网络切片对应的认证方式为PAP认证时,第一认证参数可以是上述PAP认证参数,当网络切片对应的认证方式为CHAP认证时,第一认证参数可以是上述CHAP认证参数;为终端设备生成第一认证参数提供了可行性方案。
一种可能的设计中,终端设备向移动性管理功能发送携带第一认证参数的第一消息。
一种可能的设计中,第一消息为注册请求、安全模式完成消息或上行非接入层传输消息。
基于上述两种可能的设计,终端设备可以通过上述第一消息向移动性管理功能发送第一认证参数,为移动性管理功能获取第一认证参数提供了可行性方案。
一种可能的设计中,终端设备接收来自移动性管理功能的包括网络切片的标识信息的第一请求;并根据第一请求,向移动性管理功能发送第一认证参数。
基于该可能的设计,终端设备还可以根据第一请求向移动性管理功能发送第一认证参数,为移动性管理功能获取第一认证参数提供了又一种可行性方案。
一种可能的设计中,终端设备向移动性管理功能发送网络切片对应的认证方式;其中,认证方式包括PAP认证或CHAP认证。
第五方面,本申请实施例提供了一种终端设备,该终端设备可以实现上述第四方面或者第四方面可能的设计中终端设备所执行的功能,所述功能可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如,处理模块、接收模块和发送模块。处理模块,用于生成网络切片对应的第一认证参数;其中,第一认证参数包括PAP认证参数或CHAP认证参数;发送模块,用于向移动性管理功能发送网络切片的标识信息和第一认证参数;接收模块,用于接收来自移动性管理功能的认证结果。
一种可能的设计中,当第一认证参数为PAP认证参数时,第一认证参数包括终端设备的用户名和第一密码。
一种可能的设计中,当第一认证参数为CHAP认证参数时,第一认证参数包括终端设备的用户名、第二密码和随机码;处理模块,具体用于生成随机码,并预置与认证授权服务器的共享密钥,使用随机码、共享密钥和终端设备的用户名生成第二密码。
一种可能的设计中,发送模块,具体用于向移动性管理功能发送携带第一认证参数的第一消息。
一种可能的设计中,第一消息为注册请求、安全模式完成消息或上行非接入层传输消息。
一种可能的设计中,接收模块,还用于接收来自移动性管理功能的包括网络切片的标识信息的第一请求;处理模块,还用于根据第一请求,通过发送模块向移动性管理功能发送第一认证参数。
一种可能的设计中,发送模块,还用于向移动性管理功能发送网络切片对应的认证方式;其中,认证方式包括PAP认证或CHAP认证。
需要说明的是,该终端设备的具体实现方式还可参考第四方面或第四方面的任一种可能的设计提供的切片认证方法中终端设备的行为功能,该终端设备所带来的技术效果也可参见上述第四方面的任一种可能的设计所带来的技术效果,不予赘述。
第六方面,本申请实施例提供了一种终端设备,该终端设备可以为终端设备或者终端设备中的芯片或者片上***。该终端设备可以实现上述各方面或者各可能的设计中终端设备所执行的功能,所述功能可以通过硬件实现。一种可能的设计中,该终端设备可以包括:处理器和收发器。处理器和收发器可以用于支持终端设备实现上述第四方面或者第四方面的任一种可能的设计中所涉及的功能。例如:处理器可以用于生成网络切片对应的第一认证参数;其中,第一认证参数包括PAP认证参数或CHAP认证参数;收发器可以用于向移动性管理功能发送网络切片的标识信息和第一认证参数;收发器还可以用于接收来自移动性管理功能的认证结果。在又一种可能的设计中,所述终端设备还可以包括存储器,存储器,用于保存终端设备必要的计算机执行指令和数据。当该终端设备运行时,该收发器和处理器执行该存储器存储的该计算机执行指令,以使该终端设备执行如上述第四方面或者第四方面的任一种可能的设计所述的切片认证方法。
其中,第六方面中终端设备的具体实现方式可参考第四方面或第四方面的任一种可能的设计提供的切片认证中终端设备的行为功能。
第七方面,本申请实施例提供了一种切片认证方法,该方法可以包括:网络切片认证授权功能接收来自移动性管理功能的终端设备的第一标识、终端设备对应的网络切片的标识信息、网络切片对应的第一认证参数;其中,第一认证参数包括密码认证协议PAP认证参数或挑战握手认证协议CHAP认证参数;网络切片认证授权功能在接收到第一认证参数后,将第二认证参数发送给网络切片的标识信息对应的认证授权服务器;并接收来自认证授权服务器的认证结果,将认证结果、第一标识发送给移动性管理功能。
基于第七方面,网络切片认证授权功能可以根据移动性管理功能在网络切片的认证方式为PAP认证或CHAP认证的情况下发送的终端设备的第一标识、网络切片的标识信息和第一认证参数,发起到认证授权服务器的通信,使用PAP认证或CHAP认证的方式完成对终端设备的认证和授权,从而使得5G通信***在认证授权服务器支持EAP认证时,可以按照5G现有认证流程对终端设备进行认证和授权,在认证授权服务器不支持EAP认证时,可以采用PAP认证或CHAP认证对终端设备进行认证和授权,该方法还可以避免终端设备对应的认证方式与5G通信***对应的认证方式不同导致的兼容性问题。比如,终端设备和对应的认证授权服务器采用的认证方式是PAP或CHAP,而5G通信***的核心网仍采用EAP认证方式,则会导致PAP/CHAP认证流程无法执行,进而认证失败。本申请的方案中,在终端设备和对应的认证授权服务器采用的认证方式是PAP或CHAP的情况下,核心网也能够采用PAP或CHAP认证方式,从而使得5G通信***能够使用PAP认证或CHAP认证对该终端设备进行认证,保证了认证方式的兼容性。
一种可能的设计中,当第一认证参数包括CHAP认证参数时,第二认证参数为第一认证参数。
一种可能的设计中,第一认证参数包括终端设备的用户名;网络切片认证授权功能保存终端设备的用户名和终端设备的第一标识;网络切片认证授权功能接收来自认证授权服务器的携带终端设备的用户名的请求;网络切片认证授权功能根据终端设备的用户名获取终端设备的第一标识;网络切片认证授权功能向移动性管理功能发送携带终端设备的第一标识和网络切片的标识信息的请求;该请求用于请求移动性管理功能撤销终端设备在网络切片的授权。
基于该可能的设计,网络切片认证授权功能还可以基于接收到的携带终端设备的用户名的请求,向移动性管理功能发送携带终端设备的第一标识和网络切片的标识信息的请求,以撤销终端设备在网络切片的授权。
第八方面,本申请实施例提供了一种网络切片认证授权功能,该网络切片认证授权功能可以实现上述第七方面或者第七方面可能的设计中网络切片认证授权功能所执行的功能,所述功能可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如,接收模块、处理模块和发送模块。接收模块,用于接收来自移动性管理功能的终端设备的第一标识、终端设备对应的网络切片的标识信息、网络切片对应的第一认证参数;其中,第一认证参数包括PAP认证参数或CHAP认证参数;处理模块,用于在接收模块接收到第一认证参数后,通过发送模块将第二认证参数发送给网络切片的标识信息对应的认证授权服务器;接收模块,还用于接收来自认证授权服务器的认证结果;发送模块,还用于将认证结果、第一标识发送给移动性管理功能。
一种可能的设计中,当第一认证参数包括CHAP认证参数时,第二认证参数为第一认证参数。
一种可能的设计中,第一认证参数包括终端设备的用户名;处理模块,还用于保存终端设备的用户名和终端设备的第一标识;接收模块,还用于接收来自认证授权服务器的携带终端设备的用户名的请求;处理模块,还用于根据终端设备的用户名获取终端设备的第一标识;发送模块,还用于向移动性管理功能发送携带终端设备的第一标识和网络切片的标识信息的请求;该请求用于请求移动性管理功能撤销终端设备在网络切片的授权。
需要说明的是,该网络切片认证授权功能的具体实现方式还可参考第七方面或第七方面的任一种可能的设计提供的切片认证方法中网络切片认证授权功能的行为功能,该网络切片认证授权功能所带来的技术效果也可参见上述第七方面的任一种可能的设计所带来的技术效果,不予赘述。
第九方面,本申请实施例提供了一种网络切片认证授权功能,该网络切片认证授权功能可以为网络切片认证授权功能或者网络切片认证授权功能中的芯片或者片上***。该网络切片认证授权功能可以实现上述各方面或者各可能的设计中网络切片认证授权功能所执行的功能,所述功能可以通过硬件实现。一种可能的设计中,该网络切片认证授权功能可以包括:收发器和处理器。收发器和处理器可以用于支持网络切片认证授权功能实现上述第七方面或者第七方面的任一种可能的设计中所涉及的功能。例如:收发器可以用于接收来自移动性管理功能的终端设备的第一标识、终端设备对应的网络切片的标识信息、网络切片对应的第一认证参数;其中,第一认证参数包括PAP认证参数或CHAP认证参数;处理器可以用于在收发器接收到第一认证参数后,通过收发器将第二认证参数发送给网络切片的标识信息对应的认证授权服务器;收发器还可以用于接收来自认证授权服务器的认证结果;并将认证结果、第一标识发送给移动性管理功能。在又一种可能的设计中,所述网络切片认证授权功能还可以包括存储器,存储器,用于保存网络切片认证授权功能必要的计算机执行指令和数据。当该网络切片认证授权功能运行时,该收发器和处理器执行该存储器存储的该计算机执行指令,以使该网络切片认证授权功能执行如上述第七方面或者第七方面的任一种可能的设计所述的切片认证方法。
其中,第九方面中网络切片认证授权功能的具体实现方式可参考第七方面或第七方面的任一种可能的设计提供的切片认证中网络切片认证授权功能的行为功能。
第十方面,提供了一种通信装置,该通信装置包括一个或多个处理器以及一个或多个通信接口,一个或多个处理器,用于运行计算机程序或指令,一个或多个通信接口和一个或多个处理器耦合,当一个或多个处理器执行计算机指令或指令时,使得通信装置执行如第一方面或者第一方面的任一可能的设计所述的切片认证方法;或者执行如第四方面或者第四方面的任一可能的设计所述的切片认证方法;或者执行如第七方面或者第七方面的任一可能的设计所述的切片认证方法;一个或多个通信接口用于与通信装置之外的其它模块进行通信。
一种可能的设计中,该通信装置还包括一个或多个存储器,一个或多个存储器与一个或多个处理器耦合,一个或多个存储器用于存储上述计算机程序或指令。在一种可能的实现方式中,存储器位于所述通信装置之外。在另一种可能的实现方式中,存储器位于所述通信装置之内。本申请实施例中,处理器和存储器还可能集成于一个器件中,即处理器和存储器还可以被集成在一起。
第十一方面,提供了一种通信装置,该通信装置包括接口电路和逻辑电路;接口电路与逻辑电路耦合;逻辑电路用于执行如第一方面或者第一方面的任一可能的设计所述的切片认证方法;或者执行如第四方面或者第四方面的任一可能的设计所述的切片认证方法;或者执行如第七方面或者第七方面的任一可能的设计所述的切片认证方法;接口电路用于与通信装置之外的其它模块进行通信。
第十二方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机指令或程序,当计算机指令或程序在计算机上运行时,使得计算机执行如第一方面或者第一方面的任一可能的设计所述的切片认证方法,或者执行如第四方面或者第四方面的任一可能的设计所述的切片认证方法,或者执行如第七方面或者第七方面的任一可能的设计所述的切片认证方法。
第十三方面,提供了一种包含计算机指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如第一方面或者第一方面的任一可能的设计所述的切片认证方法,或者执行如第四方面或者第四方面的任一可能的设计所述的切片认证方法,或者执行如第七方面或者第七方面的任一可能的设计所述的切片认证方法。
第十四方面,本申请实施例提供一种计算机程序,当其在计算机上运行时,使得计算机执行如第一方面或者第一方面的任一可能的设计所述的切片认证方法,或者执行如第四方面或者第四方面的任一可能的设计所述的切片认证方法,或者执行如第七方面或者第七方面的任一可能的设计所述的切片认证方法。
其中,第十方面至第十四方面中任一种设计方式所带来的技术效果可参见上述第一方面的任一种可能的设计所带来的技术效果,或者参见上述第四方面的任一种可能的设计所带来的技术效果,或者参见上述第七方面的任一种可能的设计所带来的技术效果,不予赘述。
第十五方面,提供了一种通信***,该通信***包括如第二方面至第三方面的任一方面所述的移动性管理功能和第八方面至第九方面的任一方面所述的网络切片认证授权功能。
附图说明
图1a为本申请实施例提供的一种通信***的示意图;
图1b为本申请实施例提供的一种5G通信***的示意图;
图2为本申请实施例提供的一种通信装置的组成结构图;
图3为本申请实施例提供的一种切片认证方法的流程图;
图4为本申请实施例提供的一种撤销授权的方法的流程图;
图5为本申请实施例提供的一种移动性管理功能的组成示意图;
图6为本申请实施例提供的一种终端设备的组成示意图;
图7为本申请实施例提供的一种网络切片认证授权功能的组成示意图。
具体实施方式
在描述本申请实施例之前,对本申请实施例涉及的技术术语进行描述。
网络切片:指一个可以提供特定网络能力和网络特征的逻辑网络。
通信***中,基于运营商和第三方业务提供商之间的协议和配置需求,当终端设备请求接入网络切片时,核心网设备可以发起到身份验证,授权和记账(authentication,authorization and accounting,AAA)服务器的通信,以实现对该终端设备进行认证和授权。
其中,对于***(4th-generation,4G)通信***,AAA服务器可以采用密码认证协议(password authentication protocol,PAP)、挑战握手认证协议(challengehandshake authentication protocol,CHAP)等点对点协议(point-to-point protocol,PPP)对终端设备进行认证和授权。第三代合作伙伴项目(3rd generation partnershipproject,3GPP)在定义第五代(5th-generation,5G)通信***时,对于网络切片认证,只定义了可扩展认证协议(extensible authentication protocol,EAP)。
在5G通信***部署的初期,由于产业环境的因素,AAA服务器可能无法支持EAP认证,导致EAP认证在终端设备和AAA服务器之间不能使用,AAA服务器无法对终端设备进行认证和授权。
另外,在AAA服务器不支持EAP的情况下,5G通信***需要采用PAP/CHAP对终端设备进行认证和授权,而终端设备可能是支持EAP的认证方式,因此存在终端设备对应的认证方式与5G通信***对应的认证方式同时的情况,即会存在兼容性的问题,导致AAA服务器无法对终端设备进行认证和授权。
为解决该问题,本申请的实施例提供了一种切片认证方法、装置及***,其中,移动性管理功能可以接收来自终端设备的网络切片的标识信息,并获取网络切片对应的认证方式和第一认证参数,其中,认证方式包括PAP认证或CHAP认证;移动性管理功能可以根据网络切片的认证方式,将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能,并接收网络切片认证授权功能发送的第一标识和认证结果,将该认证结果发送给终端设备。
本申请实施例中,移动性管理功能可以在网络切片的认证方式为PAP认证或CHAP认证的情况下,将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能,以使网络切片认证授权功能发起到认证授权服务器的通信,使用PAP认证或CHAP认证的方式完成对终端设备的认证和授权,从而使得5G通信***在认证授权服务器支持EAP认证时,可以按照5G现有认证流程对终端设备进行认证和授权,在认证授权服务器不支持EAP认证时,可以采用PAP认证或CHAP认证对终端设备进行认证和授权。该方法还可以避免终端设备对应的认证方式与5G通信***对应的认证方式不同导致的兼容性问题。比如,终端设备和对应的认证授权服务器采用的认证方式是PAP或CHAP,而5G通信***的核心网仍采用EAP认证方式,则会导致PAP/CHAP认证流程无法执行,进而认证失败。本申请的方案中,在终端设备和对应的认证授权服务器采用的认证方式是PAP或CHAP的情况下,核心网也能够采用PAP或CHAP认证方式,从而使得5G通信***能够使用PAP认证或CHAP认证对该终端设备进行认证,保证了认证方式的兼容性。
下面结合说明书附图对本申请实施例的实施方式进行详细描述。
本申请实施例提供的通信方法可用于任一通信***,该通信***可以为第三代合作伙伴计划(third generation partnership project,3GPP)通信***,例如,长期演进(long term evolution,LTE)***,又可以为第五代(fifth generation,5G)移动通信***、新空口(new radio,NR)***、NR V2X***以及其他下一代通信***,也可以为非3GPP通信***,不予限制。
本申请实施例提供的通信方法可以应用于各种通信场景,例如可以应用于以下通信场景中的一种或多种:增强移动宽带(enhanced mobile broadband,eMBB)、超可靠低时延通信(ultra reliable low latency communication,URLLC)、机器类型通信(machinetype communication,MTC)、大规模机器类型通信(massive machine typecommunications,mMTC)、设备到设备(device to device,D2D)、车辆外联(vehicle toeverything,V2X)、车辆到车辆(vehicle to vehicle,V2V)、和物联网(internet ofthings,IoT)等。下面以图1a为例,对本申请实施例提供的通信方法进行描述。
图1a为本申请实施例提供的一种通信***的示意图,如图1a所示,该通信***可以包括终端设备、核心网设备和数据网络(data network,DN);其中,核心网设备可以包括移动性管理功能、网络切片认证授权功能、网络切片选择功能、统一数据管理功能、策略控制功能;数据网络可以包括认证授权服务器。
其中,图1a中的终端设备可以提供网络切片的认证方式。示例性的,终端设备可以通过特定接口与核心网设备进行通信,如:终端设备可以通过下一代网络(nextgeneration,N)1接口(简称N1)与核心网设备中的移动性管理功能进行通信。
图1a中的终端设备(terminal)还可以称为用户设备(user equipment,UE)或者移动台(mobile station,MS)或者移动终端(mobile terminal,MT)等。具体的,图1a中的终端设备可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑。终端设备还可以是虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有车对车(vehicle-to-vehicle,V2V)通信能力的车辆、智能网联车、有无人机对无人机(UAV to UAV,U2U)通信能力的无人机等等,不予限制。
图1a中的移动性管理功能,可以根据网络切片的认证方式进行相应认证流程,还可以负责终端设备的接入认证、移动性管理、各个功能间的信令交互等工作,如:对用户的注册状态、用户的连接状态、用户注册入网、跟踪区更新、小区切换用户认证和密钥安全等进行管理。
图1a中的网络切片认证授权功能,可以通过与数据网络中的认证授权服务器进行交互,完成对终端设备的网络切片认证。
图1a中的网络切片选择功能,可以选择为终端设备提供服务的网络切片,还可以选择网络切片对应的移动性管理功能。
图1a中的统一数据管理功能,可以保存终端设备的签约信息。
图1a中的策略控制功能,可以用于向移动性管理功能、会话管理功能、终端设备等提供策略,如:服务质量(quality of service)策略、UE路由选择策略(UE routeselection policy,URSP)等等。
图1a中的数据网络DN,可以为向用户提供数据传输服务的运营商网络,如:可以为向用户提供IP多媒体业务(IP multi-media service,IMS)的运营商网络等。DN中可以部署认证授权服务器,该认证授权服务器可以向用户提供认证授权服务。
需要说明的是,本申请实施例的终端设备、核心网设备、认证授权服务器都可以为一个或多个芯片,也可以为片上***(system on chip,SOC)等。图1a仅为示例性附图,其包括的设备数量不受限制。此外,除图1a所示设备之外,该通信***还可以包括其他设备。例如,除图1a所示功能外,图1a所示通信***还可以包括接入网功能、会话管理功能、用户面功能等,不予限制。图1a中各个设备的名称、各个链路的命名不受限制,除图1a所示名称之外,各个设备、各个链路还可以命名为其他名称,不予限制。
以图1a所示的通信***为5G通信***为例,如图1b所示,上述移动性管理功能对应的功能或者实体可以为5G通信***中的接入和移动性管理功能(access and mobilitymanagement function,AMF)、网络切片认证授权功能对应的功能或者实体可以为5G通信***中的网络切片特定的认证和授权功能(network slice specific authentication andauthorization function,NSSAAF)、网络切片选择功能对应的功能或实体可以为5G通信***中的网络切片选择功能(network slice selection function,NSSF)、统一数据管理功能对应的功能或者实体可以为5G通信***中的统一数据管理(unified data management,UDM)、策略控制功能可以为5G通信***中的策略控制功能(policy control function,PCF)等。
其中,如图1b所示,终端设备通过N1接口与AMF通信。核心网设备之间可以通过服务化接口相互通信,如:AMF可以通过Namf接口与其他核心网设备通信,NSSAAF可以通过Nnssaaf接口与其他核心网设备通信,NSSF可以通过Nnssf接口与其他核心网设备通信,UDM可以通过Nudm接口与其他核心网设备通信,PCF可以通过Npcf接口与其他核心网设备通信。
具体实现时,图1a所示,如:终端设备、核心网设备和认证授权服务器均可以采用图2所示的组成结构,或者包括图2所示的部件。图2为本申请实施例提供的一种通信装置200的组成示意图,该通信装置200可以为终端或者终端中的芯片或者片上***;也可以为接入网功能或者接入网功能中的芯片或者片上***;也可以为核心网设备或者核心网设备中的芯片或者片上***。如图2所示,该通信装置200包括处理器201,收发器202以及通信线路203。
进一步的,该通信装置200还可以包括存储器204。其中,处理器201,存储器204以及收发器202之间可以通过通信线路203连接。
其中,处理器201是中央处理器(central processing unit,CPU)、通用处理器网络处理器(network processor,NP)、数字信号处理器(digital signal processing,DSP)、微处理器、微控制器、可编程逻辑器件(programmable logic device,PLD)或它们的任意组合。处理器201还可以是其它具有处理功能的装置,例如电路、器件或软件模块,不予限制。
收发器202,用于与其他设备或其它通信网络进行通信。该其它通信网络可以为以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。收发器202可以是模块、电路、收发器或者任何能够实现通信的装置。
通信线路203,用于在通信装置200所包括的各部件之间传送信息。
存储器204,用于存储指令。其中,指令可以是计算机程序。
其中,存储器204可以是只读存储器(read-only memory,ROM)或可存储静态信息和/或指令的其他类型的静态存储设备,也可以是随机存取存储器(random accessmemory,RAM)或可存储信息和/或指令的其他类型的动态存储设备,还可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或其他磁存储设备等,不予限制。
需要指出的是,存储器204可以独立于处理器201存在,也可以和处理器201集成在一起。存储器204可以用于存储指令或者程序代码或者一些数据等。存储器204可以位于通信装置200内,也可以位于通信装置200外,不予限制。处理器201,用于执行存储器204中存储的指令,以实现本申请下述实施例提供的切片认证方法。
在一种示例中,处理器201可以包括一个或多个CPU,例如图2中的CPU0和CPU1。
作为一种可选的实现方式,通信装置200包括多个处理器,例如,除图2中的处理器201之外,还可以包括处理器207。
作为一种可选的实现方式,通信装置200还包括输出设备205和输入设备206。示例性地,输入设备206是键盘、鼠标、麦克风或操作杆等设备,输出设备205是显示屏、扬声器(speaker)等设备。
需要指出的是,通信装置200可以是台式机、便携式电脑、网络服务器、移动手机、平板电脑、无线终端、嵌入式设备、芯片***或有图2中类似结构的设备。此外,图2中示出的组成结构并不构成对该通信装置的限定,除图2所示部件之外,该通信装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本申请实施例中,芯片***可以由芯片构成,也可以包括芯片和其他分立器件。
此外,本申请的各实施例之间涉及的动作、术语等均可以相互参考,不予限制。本申请的实施例中各个设备之间交互的消息名称或消息中的参数名称等只是一个示例,具体实现中也可以采用其他的名称,不予限制。
下面结合图1a和图1b所示通信***,对本申请实施例提供的切片认证方法进行描述,其中,终端设备可以为通信***中的任一终端设备,移动性管理功能可以为通信***中任一移动性管理功能,网络切片认证授权功能可以为通信***中的任一网络切片认证授权功能。下述实施例所述的终端设备、移动性管理功能、网络切片认证授权功能、认证授权服务器可以具备图2所示部件。
图3为本申请实施例提供的一种切片认证方法的流程图,如图3所示,该方法可以包括:
步骤301、终端设备向移动性管理功能发送网络切片的标识信息。
其中,网络切片可以为终端设备待接入的网络切片。
具体的,当终端设备需通过网络切片进行通信时,终端设备可以将网络切片的标识信息发送给核心网中的移动性管理功能,以在包括移动性管理功能在内的核心网设备和认证授权服务器的作用下完成对终端设备的网络切片认证和授权,从而使得终端设备可以通过网络切片进行通信。
可选的,当终端设备对应的网络切片包括多个时,终端设备采用列表的方式向移动性管理功能发送终端设备对应的多个网络切片的标识信息。
可选的,终端设备将终端设备对应的网络切片的标识信息携带在注册请求中发送给移动性管理功能。
示例性的,网络切片的标识信息可以为单一网络切片选择辅助信息(singlenetwork slice selection assistance information,S-NSSAI)。
其中,S-NSSAI可以包括切片类型/服务类型(slice/service type,SST)信息,该SST信息用于描述预期的网络切片行为,如用于描述网络切片的切片类型/服务类型等,不予限制。
示例性的,网络切片的切片类型/服务类型(slice/service type,SST)可以包括:增强的移动宽带(enhanced mobile broadband,eMBB)、超可靠低时延通信(ultra-reliable low latency communications,URLLC)、海量物联网(massive Internet ofthings,MIoT)、车联网(vehicle to everything,V2X)等,不予限制。
可选的,S-NSSAI还包括切片区分器(slice differentiator,SD)信息,该SD信息是SST信息的补足信息,当SST信息指向多个网络切片时,SD信息可以辅助对应到唯一的一个网络切片。
步骤302、移动性管理功能获取网络切片对应的认证方式。
其中,认证方式可以包括PAP认证或CHAP认证。
一种可能的设计中,移动性管理功能接收终端设备发送的网络切片对应的认证方式。
其中,终端设备可以确定网络切片对应的认证方式,并将网络切片对应的认证方式发送给移动性管理功能。
具体的,终端设备可以将网络切片的标识信息和网络切片对应的认证方式均携带在注册请求中发送给移动性管理功能;也可以将网络切片的标识信息和网络切片对应的认证方式分别发送给移动性管理功能,不予限制。
示例性的,终端设备可以根据管理面功能预先下发的配置信息,确定网络切片对应的认证方式。
其中,配置信息可以包括网络切片对应的认证方式;管理面功能可以为操作管理维护(operation administration and maintenance,OAM)***。
又一种示例中,终端设备可以根据策略控制功能配置的URSP规则,确定网络切片对应的认证方式。
其中,URSP规则可以包括网络切片对应的认证方式。
需要说明的是,对URSP规则的具体描述可以参照现有通信协议对URSP规则的描述,不予赘述。
又一种示例中,终端设备可以根据统一数据管理功能发起的UE参数更新(UEparameter update,UPU)流程,确定网络切片对应的认证方式。
其中,对UPU流程的具体描述可以参照现有通信协议对UPU流程的描述,不予赘述。
又一种可能的设计中,移动性管理功能根据终端设备的签约信息,确定网络切片对应的认证方式。
示例性的,移动性管理功能可以向统一数据管理功能发送第二请求,并接收统一数据管理功能发送的终端设备的签约信息。
其中,第二请求可以包括终端设备的第二标识;终端设备的签约信息可以包括网络切片对应的认证方式。
可选的,终端设备的第二标识为用户永久标识符(subscription permanentidentifier,SUPI)。
又一种可能的设计中,移动性管理功能根据预先配置的第一对应关系和网络切片的标识信息,确定网络切片的认证方式。
其中,第一对应关系可以包括网络切片的标识信息和网络切片的标识信息对应的认证方式。
具体的,移动性管理功能可以基于终端设备发送的网络切片的标识信息,根据第一对应关系,确定网络切片对应的认证方式。
示例性的,第一对应关系可以为网络切片的标识信息和认证方式之间的对应关系,也可以为认证方式与网络切片的标识信息之间的对应关系。
例如,第一对应关系可以为下述表1所示的网络切片的标识信息和认证方式之间的对应关系。
表1
| S-NSSAI1 | PAP认证 |
| S-NSSAI2 | CHAP认证 |
| … | … |
| S-NSSAIn | PAP认证 |
又例如,第一对应关系也可以为下述表2所示的认证方式与网络切片的标识信息之间的对应关系。
表2
| PAP认证 | S-NSSAI1、S-NSSAI4、S-NSSAI5、... |
| CHAP认证 | S-NSSAI2、S-NSSAI3、S-NSSAI6、… |
可选的,移动性管理功能获取网络切片对应的认证方式后,根据预先配置的认证方式,确定移动性管理功能是否支持该网络切片对应的认证方式;如果支持,则继续对终端设备进行认证和授权。
示例性的,以预先配置给移动性管理功能的认证方式为PAP认证为例,当网络切片的认证方式为PAP认证时,确定移动性管理功能支持该网络切片的认证方式;否则,确定移动性管理功能不支持该网络切片的认证方式。
进一步的,当终端设备将网络切片的标识信息携带在注册请求中发送给移动性管理功能时,移动性管理功能可以获取该网络切片的认证方式,并确定是否支持网络切片的认证方式,如果支持,移动性管理功能可以向终端设备发送注册接受(registrationaccept)消息,以指示移动性管理功能接受终端设备的注册请求。
步骤303、终端设备生成网络切片对应的第一认证参数。
一种可能的设计中,当认证方式包括PAP认证时,第一认证参数包括终端设备的用户名和第一密码。
其中,终端设备的用户名可以用于指示终端设备,第一密码与用户名对应。
又一种可能的设计中,当认证方式包括CHAP认证时,第一认证参数包括终端设备的用户名、第二密码和随机码。
其中,终端设备的用户名可以用于指示终端设备;第二密码与终端设备的用户名对应;随机码可以是终端设备随机生成的。
可选的,随机码为终端设备随机生成的一个16字节的随机码。
示例性的,终端设备可以使用与认证授权服务器的共享密钥、以及终端设备生成的随机码,生成第二密码。
具体的,终端设备可以基于信息-摘要算法5(message-digest algorithm 5,MD5)对共享密钥和随机码进行加密,得到第二密码。
可选的,第二密码的大小为16字节。
需要说明的是,上述第一密码与第二密码可以相同,也可以不同,不予限制。
另外,终端设备在执行上述步骤301和步骤303时没有先后顺序的限定,终端设备可以先执行步骤301,然后执行步骤303;也可以先执行步骤303,然后执行步骤301;或者同时执行上述步骤301和步骤303,不予限制。
上述步骤302和步骤303的执行也没有先后顺序的限定,可以先执行步骤302,然后执行步骤303;也可以先执行步骤303,然后执行步骤302;或者同时执行上述步骤302和步骤303,不予限制。
步骤304、移动性管理功能获取网络切片对应的第一认证参数。
一种可能的设计中,移动性管理功能接收来自终端设备的携带第一认证参数的第一消息。
其中,第一消息可以为注册请求、安全模式完成(security mode complete)消息或上行非接入层传输(up-link non-access stratum transport,UL NAS transport)消息。
示例性的,终端设备可以在保存非接入层(non-access stratum,NAS)安全上下文时,将第一认证参数携带在注册请求中发送给移动性管理功能;或者,也可以描述为终端设备在注册请求有安全保护时,将第一认证参数携带在注册请求中发送给移动性管理功能。
又一种示例中,当终端设备没有保存NAS安全上下文,或者也可以描述为注册请求没有安全保护时,终端设备可以将第一认证参数携带在安全模式完成消息中发送给移动性管理功能。
又一种示例中,终端设备也可以在与移动性管理功能进行通信时,将第一认证参数携带在上行非接入层传输消息中发送给移动性管理功能。
又一种可能的设计中,移动性管理功能向终端设备发送第一请求,并接收来自终端设备的第一认证参数。
其中,所述第一请求可以包括网络切片的标识信息。
示例性的,移动性管理功能可以将第一请求携带在下行非接入层传输(down linknon-access stratum transport,DL NAS transport)消息中发送给终端设备。
其中,第一请求还可以包括用于指示获取网络切片对应的第一认证参数的指示信息,以使终端设备根据该指示信息将网络切片对应的第一认证参数发送给移动性管理功能。
又一种示例中,移动性管理功能也可以将第一请求携带在注册接受消息中发送给终端设备。
具体的,终端设备可以根据接收到的第一请求,将网络切片的标识信息和网络切片对应的第一认证参数携带在上行非接入层消息中发送给移动性管理功能。
步骤305、移动性管理功能在获取认证方式后,将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能。
其中,第一标识可以为通用公共用户标识(generic public subscriptionidentifier,GPSI)。
示例性的,移动性管理功能可以根据下述一种或多种信息确定网络切片认证授权功能:网络切片的标识信息、网络切片对应的认证方式、或网络切片对应的数据网络名称。
其中,移动性管理功能可以根据管理面功能预先配置的认证方式与支持该认证方式的网络切片认证授权功能之间的对应关系,确定网络切片认证授权功能。
例如,以管理面功能预先配置的网络切片的认证方式和支持该认证方式的网络切片认证授权功能之间的对应关系为下述表3所示为例,当移动性管理功能获取的网络切片对应的认证方式包括PAP认证时,移动性管理功能可以将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能1。
表3
| PAP认证 | 网络切片认证授权功能1 |
| CHAP认证 | 网络切片认证授权功能2 |
其中,移动性管理功能还可以根据管理面功能预先配置的网络切片的标识信息和网络切片认证授权功能之间的对应关系,确定接收到的网络切片的标识信息对应的网络切片认证授权功能。
例如,以管理面功能预先配置的网络切片的标识信息和网络切片认证授权功能之间的对应关系为下述表4所示为例,当移动性管理功能接收到的网络切片的标识信息为S-NSSAI1时,移动性管理功能可以将终端设备的第一标识、S-NSSAI1和第一认证参数发送给网络切片认证授权功能1。
表4
| 网络切片认证授权功能1 | S-NSSAI1、S-NSSAI3、S-NSSAI5 |
| 网络切片认证授权功能2 | S-NSSAI2、S-NSSAI4、S-NSSAI6 |
进一步的,移动性管理功能也可以根据管理面功能预先配置的数据网络名称(data network name,DNN)与网络切片认证授权功能之间的对应关系,确定网络切片认证授权功能。
例如,移动性管理功能可以根据网络切片的标识信息,确定网络切片对应的DNN,根据DNN与网络切片认证授权功能之间的对应关系,确定网络切片认证授权功能,并将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给该网络切片认证授权功能。
步骤306、网络切片认证授权功能在接收到第一认证参数后,将第二认证参数发送给网络切片的标识信息对应的认证授权服务器。
示例性的,当第一认证参数包括PAP认证参数时,参照上述步骤303,第一认证参数可以包括终端设备的用户名和第一密码;网络切片认证授权功能可以生成随机码,并预置与认证授权服务器的共享密钥;使用该共享密钥、随机码和第一密码生成第三密码;并将终端设备的用户名、随机码和第三密码作为第二认证参数发送给认证授权服务器。
其中,随机码可以为网络切片认证授权功能随机生成的16字节的随机码;共享密钥可以是认证授权服务器预先发送给网络切片认证授权功能的,也可以是认证授权服务器和网络切片认证授权功能预先协商的,不予限制。
具体的,网络切片认证授权功能可以采用下述公式,基于MD5算法对共享密钥、随机码和第一密码进行处理,得到第三密码:
第三密码=第一密码XOR MD5(随机码+共享密钥);
其中,XOR表示异或,MD5表示MD5算法。
又一种示例中,当第一认证参数包括CHAP认证参数时,第二认证参数可以为第一认证参数。
其中,参照上述步骤303,第二认证参数可以包括终端设备的用户名、第二密码和随机码。
可选的,网络切片认证授权功能保存第一认证参数中的终端设备的用户名和用户名对应的终端设备的第一标识。
步骤307、认证授权服务器根据第二认证参数对终端设备进行认证和授权,得到认证结果。
其中,认证授权服务器可以是AAA服务器。
示例性的,当第二认证参数包括终端设备的用户名、随机码和第三密码时,认证授权服务器可以根据终端设备的用户名从数据库中查找用户密码,使用用户密码、与网络切片认证授权功能的共享密钥、第二认证参数中的随机码,生成第四密码;并将第三密码与第四密码进行比较,若相同,则确定认证结果为认证成功;否则,确定认证结果为认证失败。
其中,认证授权服务器可以采用下述公式,基于MD5算法对用户密码、共享密钥、随机码进行处理,得到第四密码:
第四密码=用户密码XOR MD5(随机码+共享密钥);
其中,XOR表示异或,MD5表示MD5算法。
又一种示例中,当第二认证参数包括终端设备的用户名、第二密码和随机码时,认证授权服务器可以根据终端设备的用户名在数据库中查找与终端设备的共享密钥,使用共享密钥和第二认证参数中的随机码生成第五密码;并判断认证授权服务器生成的第五密码与第二认证参数中的第二密码是否相同,若相同,则确定认证结果为认证成功;否则,确定认证结果为认证失败。
其中,认证授权服务器可以基于MD5算法对共享密钥和随机码进行加密,得到第五密码。
步骤308、认证授权服务器将认证结果发送给网络切片认证授权功能。
可选的,认证授权服务器还将认证结果对应的终端设备的用户名发送给网络切片认证授权功能。
步骤309、网络切片认证授权功能将认证结果、终端设备的第一标识发送给移动性管理功能。
其中,网络切片认证授权功能可以根据预先保存的终端设备的用户名和用户名对应的终端设备的第一标识,确定接收到的认证结果对应的终端设备的第一标识,并将认证结果、以及认证结果对应的终端设备的第一标识发送给移动性管理功能。
步骤310、移动性管理功能将认证结果发送给终端设备。
其中,移动性管理功能可以根据接收到的认证结果、以及认证结果对应的终端设备的第一标识,将认证结果发送给终端设备,以使终端设备可以根据认证结果,通过网络切片进行通信。
基于上述图3所示的方法,移动性管理功能可以在网络切片的认证方式为PAP认证或CHAP认证的情况下,将终端设备的第一标识、网络切片的标识信息和第一认证参数发送给网络切片认证授权功能,以使网络切片认证授权功能发起到认证授权服务器的通信,使用PAP认证或CHAP认证的方式完成对终端设备的认证和授权,从而使得5G通信***在认证授权服务器支持EAP认证时,可以按照5G现有认证流程对终端设备进行认证和授权,在认证授权服务器不支持EAP认证时,可以采用PAP认证或CHAP认证对终端设备进行认证和授权。该方法还可以避免终端设备对应的认证方式与5G通信***对应的认证方式不同导致的兼容性问题。比如,终端设备和对应的认证授权服务器采用的认证方式是PAP或CHAP,而5G通信***的核心网仍采用EAP认证方式,则会导致PAP/CHAP认证流程无法执行,进而认证失败。本申请的方案中,在终端设备和对应的认证授权服务器采用的认证方式是PAP或CHAP的情况下,核心网也能够采用PAP或CHAP认证方式,从而使得5G通信***能够使用PAP认证或CHAP认证对该终端设备进行认证,保证了认证方式的兼容性。
进一步的,上述步骤302中,当终端设备将网络切片的标识信息携带在注册请求中发送给移动性管理功能时,移动性管理功能可以获取该网络切片的认证方式,并确定是否支持网络切片的认证方式,如果确定不支持网络切片对应的认证方式,移动性管理功能可以向终端设备发送注册拒绝(registration reject)消息,以指示移动性管理功能拒绝终端设备的注册请求。
可选的,当移动性管理功能不支持网络切片对应的认证方式时,移动性管理功能向网络切片选择功能发送第三请求,并接收网络切片选择功能返回的目标移动性管理功能的信息。
其中,第三请求可以包括网络切片的标识信息和网络切片对应的认证方式。
具体的,网络切片选择功能可以根据网络切片的标识信息和网络切片对应的认证方式,选择一个可以支持该网络切片的认证方式的移动性管理功能作为目标移动性管理功能,并将目标移动性管理功能的信息发送给移动性管理网元。
进一步的,移动性管理功能可以将网络切片的标识信息和网络切片对应的认证方式发送给目标移动性管理功能,以使目标移动性管理功能根据网络切片的标识信息和网络切片对应的认证方式,参照上述图3步骤304及以后的步骤中移动性管理功能执行的动作,完成对终端设备的认证和授权,提高对终端设备进行认证和授权的成功率。
基于上述对终端设备进行认证和授权的方法,如下述图4所示,认证授权服务器还可以在对终端设备认证和授权成功后,发起对终端设备的授权撤销流程,以撤销对终端设备的认证和授权。
图4为本申请实施例提供的一种授权撤销方法的流程图,如图4所示,该方法可以包括:
步骤401、认证授权服务器向网络切片认证授权功能发送第四请求。
其中,第四请求可以携带终端设备的用户名;或者,第四请求可以携带终端设备的第一标识。
可选的,第四请求还包括网络切片的标识信息。
具体的,认证授权服务器可以通过发送第四请求,请求撤销终端设备在该网络切片的授权。
步骤402、网络切片认证授权功能向移动性管理功能发送第五请求。
其中,第五请求可以携带终端设备的第一标识和网络切片的标识信息,第五请求可以用于请求移动性管理功能撤销终端设备在网络切片的授权。
示例性的,当第四请求携带终端设备的用户名时,网络切片认证授权功能可以根据第四请求中的用户名,从预先保存的终端设备的用户名和用户名对应的终端设备的第一标识中,获取第四请求中的终端设备的用户名对应的终端设备的第一标识。
示例性的,当第四请求携带终端设备的第一标识时,网络切片认证授权功能根据第四请求确定终端设备的第一标识。
可选的,网络切片认证授权功能向统一数据管理功能发送终端设备的第一标识,并接收统一数据管理功能发送的终端设备的签约信息,根据签约信息确定终端设备对应的移动性管理功能的标识,并向该移动性管理功能发送第五请求。
步骤403、移动性管理功能根据第五请求,更新终端设备对应的网络切片的标识信息。
步骤404、移动性管理功能将更新后的网络切片的标识信息发送给终端设备。
其中,移动性管理功能可以通过UE配置更新(UE configuration update,UCU)流程通知终端设备将第五请求指示的网络切片从授权的网络切片中移除。
示例性的,移动性管理功能可以采用如步骤403和步骤404所示的方法,由移动性管理功能根据第五请求,更新终端设备对应的网络切片的标识信息,并发送给终端设备。
例如,以终端设备对应的已授权的网络切片的标识信息包括S-NSSAI1、S-NSSAI2、S-NSSAI3和S-NSSAI4,假设移动性管理网元接收到的第五请求中包括S-NSSAI2,则移动性管理功能可以将终端设备对应的已授权的网络切片的标识信息更新为S-NSSAI1、S-NSSAI3和S-NSSAI4,并将S-NSSAI1、S-NSSAI3和S-NSSAI4发送给终端设备。
可替换的,上述步骤403和步骤404还可以替换成下述步骤405和步骤406。
步骤405、移动性管理功能将第五请求发送给终端设备。
步骤406、终端设备根据第五请求,更新网络切片的标识信息。
与上述步骤403和步骤404相对应的,移动性管理功能也可以直接将第五请求发送给终端设备,由终端设备根据第五请求,更新网络切片的标识信息。
例如,以终端设备对应的已授权的网络切片的标识信息包括S-NSSAI1、S-NSSAI2、S-NSSAI3和S-NSSAI4,假设终端设备接收到的第五请求中包括S-NSSAI2,则终端设备可以将自身对应的已授权的网络切片的标识信息更新为S-NSSAI1、S-NSSAI3和S-NSSAI4。
可替换的,上述步骤403和步骤404、或者步骤405和步骤406还可以替换成下述步骤407。
步骤407、移动性管理功能根据第五请求,向终端设备发起去注册流程,将终端设备下线。
基于上述步骤403至步骤407,移动性管理功能可以根据第五请求更新终端设备对应的网络切片的标识信息;也可以直接将第五请求发送给终端设备,由终端设备更新自身对应的网络切片的标识信息;还可以直接根据第五请求,向终端设备发起去注册流程,直接将终端设备下线,不予限制。
上述主要从设备之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,各个设备为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对各个功能进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图5示出了一种移动性管理功能,移动性管理功能50可以包括接收模块501、处理模块502和发送模块503。示例性地,移动性管理功能50可以是移动性管理功能,也可以是应用于移动性管理功能中的芯片或者其他具有上述移动性管理功能的组合器件、部件等。当移动性管理功能50是移动性管理功能时,接收模块501或发送模块503可以是收发器,收发器可以包括天线和射频电路等;处理模块502可以是处理器(或者,处理电路),例如基带处理器,基带处理器中可以包括一个或多个CPU。当移动性管理功能50是具有上述移动性管理功能的部件时,接收模块501或发送模块503可以是射频单元;处理模块502可以是处理器(或者,处理电路),例如基带处理器。当移动性管理功能50是芯片***时,接收模块501可以是芯片(例如基带芯片)的输入接口;发送模块503可以是芯片(例如基带芯片)的输出接口;处理模块502可以是芯片***的处理器(或者,处理电路),可以包括一个或多个中央处理单元。应理解,本申请实施例中的接收模块501或发送模块503可以由收发器或收发器相关电路组件实现;处理模块502可以由处理器或处理器相关电路组件(或者,称为处理电路)实现。
例如,接收模块501可以用于执行图3-图4所示的实施例中由移动性管理功能所执行的全部接收操作,和/或用于支持本文所描述的技术的其它过程;处理模块502可以用于执行图3-图4所示的实施例中由移动性管理功能所执行的除了接收操作、发送操作之外的全部操作,和/或用于支持本文所描述的技术的其它过程;发送模块503可以用于执行图3-图4所示的实施例中由移动性管理功能所执行的全部发送操作,和/或用于支持本文所描述的技术的其它过程。
作为又一种可实现方式,图5中的接收模块501或发送模块503可以由收发器代替,该收发器可以集成接收模块501或发送模块503的功能;处理模块502可以由处理器代替,该处理器可以集成处理模块502的功能。进一步的,图5所示移动性管理功能50还可以包括存储器。当接收模块501或发送模块503由收发器代替,处理模块502由处理器代替时,本申请实施例所涉及的移动性管理功能50可以为图2所示通信装置。
在采用对应各个功能划分各个功能模块的情况下,图6示出了一种终端设备,终端设备60可以包括处理模块601、发送模块602和接收模块603。示例性地,终端设备60可以是终端设备,也可以是应用于终端设备中的芯片或者其他具有上述终端设备功能的组合器件、部件等。当终端设备60是终端设备时,处理模块601可以是处理器(或者,处理电路),例如基带处理器,基带处理器中可以包括一个或多个CPU;发送模块602或接收模块603可以是收发器,收发器可以包括天线和射频电路等。当终端设备60是具有上述终端设备功能的部件时,处理模块601可以是处理器(或者,处理电路),例如基带处理器;发送模块602或接收模块603可以是射频单元。当终端设备60是芯片***时,处理模块601可以是芯片***的处理器(或者,处理电路),可以包括一个或多个中央处理单元;发送模块602可以是芯片(例如基带芯片)的输出接口;接收模块603可以是芯片(例如基带芯片)的输入接口。应理解,本申请实施例中的处理模块601可以由处理器或处理器相关电路组件(或者,称为处理电路)实现;发送模块602或接收模块603可以由收发器或收发器相关电路组件实现。
例如,处理模块601可以用于执行图3-图4所示的实施例中由终端设备所执行的除了接收操作、发送操作之外的全部操作,和/或用于支持本文所描述的技术的其它过程;发送模块602可以用于执行图3-图4所示的实施例中由终端设备所执行的全部发送操作,和/或用于支持本文所描述的技术的其它过程;接收模块603可以用于执行图3-图4所示的实施例中由终端设备所执行的全部接收操作,和/或用于支持本文所描述的技术的其它过程。
作为又一种可实现方式,图6中的接收模块601或发送模块602可以由收发器代替,该收发器可以集成接收模块601或发送模块602的功能;处理模块603可以由处理器代替,该处理器可以集成处理模块603的功能。进一步的,图6所示终端设备60还可以包括存储器。当接收模块601或发送模块602由收发器代替,处理模块603由处理器代替时,本申请实施例所涉及的终端设备60可以为图2所示通信装置。
在采用对应各个功能划分各个功能模块的情况下,图7示出了一种网络切片认证授权功能,网络切片认证授权功能70可以包括接收模块701、处理模块702和发送模块703。示例性地,网络切片认证授权功能70可以是网络切片认证授权功能,也可以是应用于网络切片认证授权功能中的芯片或者其他具有上述网络切片认证授权功能的组合器件、部件等。当网络切片认证授权功能70是网络切片认证授权功能时,接收模块701或发送模块703可以是收发器,收发器可以包括天线和射频电路等;处理模块702可以是处理器(或者,处理电路),例如基带处理器,基带处理器中可以包括一个或多个CPU。当网络切片认证授权功能70是具有上述网络切片认证授权功能的部件时,接收模块701或发送模块703可以是射频单元;处理模块702可以是处理器(或者,处理电路),例如基带处理器。当网络切片认证授权功能70是芯片***时,接收模块701可以是芯片(例如基带芯片)的输入接口;发送模块703可以是芯片(例如基带芯片)的输出接口;处理模块702可以是芯片***的处理器(或者,处理电路),可以包括一个或多个中央处理单元。应理解,本申请实施例中的接收模块701或发送模块703可以由收发器或收发器相关电路组件实现;处理模块702可以由处理器或处理器相关电路组件(或者,称为处理电路)实现。
例如,接收模块701可以用于执行图3-图4所示的实施例中由网络切片认证授权功能所执行的全部接收操作,和/或用于支持本文所描述的技术的其它过程;处理模块702可以用于执行图3-图4所示的实施例中由网络切片认证授权功能所执行的除了接收操作、发送操作之外的全部操作,和/或用于支持本文所描述的技术的其它过程;发送模块703可以用于执行图3-图4所示的实施例中由网络切片认证授权功能所执行的全部发送操作,和/或用于支持本文所描述的技术的其它过程。
作为又一种可实现方式,图7中的接收模块701或发送模块703可以由收发器代替,该收发器可以集成接收模块701或发送模块703的功能;处理模块702可以由处理器代替,该处理器可以集成处理模块702的功能。进一步的,图7所示网络切片认证授权功能70还可以包括存储器。当接收模块701或发送模块703由收发器代替,处理模块702由处理器代替时,本申请实施例所涉及的网络切片认证授权功能70可以为图2所示通信装置。
本申请实施例还提供了一种计算机可读存储介质。上述方法实施例中的全部或者部分流程可以由计算机程序来指令相关的硬件完成,该程序可存储于上述计算机可读存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。计算机可读存储介质可以是前述任一实施例的终端(包括数据发送端和/或数据接收端)的内部存储单元,例如终端的硬盘或内存。上述计算机可读存储介质也可以是上述终端的外部存储设备,例如上述终端上配备的插接式硬盘,智能存储卡(smart media card,SMC),安全数字(secure digital,SD)卡,闪存卡(flash card)等。进一步地,上述计算机可读存储介质还可以既包括上述终端的内部存储单元也包括外部存储设备。上述计算机可读存储介质用于存储上述计算机程序以及上述终端所需的其他程序和数据。上述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
需要说明的是,本申请的说明书、权利要求书及附图中的术语“第一”和“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上,“至少两个(项)”是指两个或三个及三个以上,“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (34)
1.一种切片认证方法,其特征在于,包括:
移动性管理功能接收来自终端设备的网络切片的标识信息;
所述移动性管理功能获取所述网络切片对应的认证方式;其中,所述认证方式包括密码认证协议PAP认证或挑战握手认证协议CHAP认证;
所述移动性管理功能获取所述网络切片对应的第一认证参数;其中,所述第一认证参数包括PAP认证参数或CHAP认证参数;
所述移动性管理功能在获取所述认证方式后,将所述终端设备的第一标识、所述网络切片的标识信息和所述第一认证参数发送给网络切片认证授权功能;
所述移动性管理功能接收来自所述网络切片认证授权功能的所述第一标识和认证结果,并将所述认证结果发送给所述终端设备。
2.根据权利要求1所述的方法,其特征在于,所述移动性管理功能获取所述网络切片对应的所述第一认证参数,包括:
所述移动性管理功能接收来自所述终端设备的第一消息;其中,所述第一消息携带所述第一认证参数;所述第一消息为注册请求、安全模式完成消息或上行非接入层传输消息。
3.根据权利要求1所述的方法,其特征在于,所述移动性管理功能获取所述网络切片对应的所述第一认证参数,包括:
所述移动性管理功能向所述终端设备发送第一请求;其中,所述第一请求包括所述网络切片的标识信息;
所述移动性管理功能接收来自所述终端设备的所述第一认证参数。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述移动性管理功能获取所述网络切片对应的认证方式,包括:
所述移动性管理功能接收来自所述终端设备的所述网络切片对应的认证方式。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述移动性管理功能获取所述网络切片对应的认证方式,包括:
所述移动性管理功能向统一数据管理功能发送第二请求;其中,所述第二请求包括所述终端设备的第二标识;
所述移动性管理功能接收来自所述统一数据管理功能的签约信息;其中,所述签约信息包括所述网络切片对应的认证方式。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述移动性管理功能获取所述网络切片对应的认证方式,包括:
所述移动性管理功能根据预先配置的第一对应关系和所述网络切片的标识信息,确定所述网络切片对应的认证方式;其中,所述第一对应关系包括网络切片的标识信息和网络切片的标识信息对应的认证方式。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
所述移动性管理功能根据下述一种或多种信息确定所述网络切片认证授权功能:所述网络切片的标识信息、所述网络切片对应的认证方式、或所述网络切片对应的数据网络名称。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述移动性管理功能获取所述网络切片对应的第一认证参数,包括:
当所述移动性管理功能支持所述网络切片的认证方式时,所述移动性管理功能获取所述网络切片对应的第一认证参数;
当所述移动性管理功能不支持所述网络切片的认证方式时,所述移动性管理功能向所述终端设备发送注册拒绝消息;其中,所述注册拒绝消息用于指示所述移动性管理功能拒绝所述终端设备的注册请求。
9.根据权利要求1-8任一项所述的方法,其特征在于,所述移动性管理功能获取所述网络切片对应的第一认证参数,包括:
当所述移动性管理功能支持所述网络切片的认证方式时,所述移动性管理功能获取所述网络切片对应的第一认证参数;
当所述移动性管理功能不支持所述网络切片对应的认证方式时,所述移动性管理功能向网络切片选择功能发送第三请求;其中,所述第三请求包括所述网络切片的标识信息和所述网络切片对应的认证方式;
所述移动性管理功能接收所述网络切片选择功能返回的目标移动性管理功能的信息;
所述移动性管理功能将所述网络切片的标识信息和所述网络切片对应的认证方式发送给所述目标移动性管理功能。
10.一种切片认证方法,其特征在于,包括:
终端设备生成网络切片对应的第一认证参数;其中,所述第一认证参数包括密码认证协议PAP认证参数或挑战握手认证协议CHAP认证参数;
所述终端设备向移动性管理功能发送所述网络切片的标识信息和所述第一认证参数;
所述终端设备接收来自所述移动性管理功能的认证结果。
11.根据权利要求10所述的方法,其特征在于,所述终端设备向所述移动性管理功能发送所述第一认证参数,包括:
所述终端设备向所述移动性管理功能发送第一消息;其中,所述第一消息携带所述第一认证参数;所述第一消息为注册请求、安全模式完成消息或上行非接入层传输消息。
12.根据权利要求10或11所述的方法,其特征在于,
所述终端设备接收来自所述移动性管理功能的第一请求;其中,所述第一请求包括所述网络切片的标识信息;
所述终端设备根据所述第一请求,向所述移动性管理功能发送所述第一认证参数。
13.根据权利要求10-12任一项所述的方法,其特征在于,所述方法还包括:
所述终端设备向所述移动性管理功能发送所述网络切片对应的认证方式;其中,所述认证方式包括PAP认证或CHAP认证。
14.一种切片认证方法,其特征在于,包括:
网络切片认证授权功能接收来自移动性管理功能的终端设备的第一标识、终端设备对应的网络切片的标识信息、所述网络切片对应的第一认证参数;其中,所述第一认证参数包括密码认证协议PAP认证参数或挑战握手认证协议CHAP认证参数;
所述网络切片认证授权功能在接收到所述第一认证参数后,将第二认证参数发送给所述网络切片的标识信息对应的认证授权服务器;
所述网络切片认证授权功能接收来自所述认证授权服务器的认证结果,并将所述认证结果、所述第一标识发送给所述移动性管理功能。
15.根据权利要求14所述的方法,其特征在于,
当所述第一认证参数包括所述CHAP认证参数时,所述第二认证参数为所述第一认证参数。
16.根据权利要求14或15所述的方法,其特征在于,所述第一认证参数包括所述终端设备的用户名;所述网络切片认证授权功能保存所述终端设备的用户名和所述终端设备的第一标识;所述方法还包括:
所述网络切片认证授权功能接收来自所述认证授权服务器的携带所述终端设备的用户名的请求;
所述网络切片认证授权功能根据所述终端设备的用户名获取所述终端设备的第一标识;
所述网络切片认证授权功能向所述移动性管理功能发送携带所述终端设备的第一标识和所述网络切片的标识信息的请求,所述请求用于请求所述移动性管理功能撤销所述终端设备在所述网络切片的授权。
17.一种移动性管理功能,其特征在于,包括:
接收模块,用于接收来自终端设备的网络切片的标识信息;
处理模块,用于获取所述网络切片对应的认证方式;其中,所述认证方式包括密码认证协议PAP认证或挑战握手认证协议CHAP认证;
所述处理模块,还用于获取所述网络切片对应的第一认证参数;其中,所述第一认证参数包括PAP认证参数或CHAP认证参数;
处理模块,还用于在获取所述认证方式后,通过发送模块将所述终端设备的第一标识、所述网络切片的标识信息和所述第一认证参数发送给网络切片认证授权功能;
所述接收模块,还用于接收来自所述网络切片认证授权功能的所述第一标识和认证结果;
所述发送模块,还用于将所述认证结果发送给所述终端设备。
18.根据权利要求17所述的移动性管理功能,其特征在于,
所述接收模块,具体用于接收来自所述终端设备的第一消息;其中,所述第一消息携带所述第一认证参数;所述第一消息为注册请求、安全模式完成消息或上行非接入层传输消息。
19.根据权利要求17所述的移动性管理功能,其特征在于,
所述发送模块,还用于向所述终端设备发送第一请求;其中,所述第一请求包括所述网络切片的标识信息;
所述接收模块,还用于接收来自所述终端设备的所述第一认证参数。
20.根据权利要求17-19任一项所述的移动性管理功能,其特征在于,
所述接收模块,具体用于接收来自所述终端设备的所述网络切片对应的认证方式。
21.根据权利要求17-19任一项所述的移动性管理功能,其特征在于,
所述发送模块,还用于向统一数据管理功能发送第二请求;其中,所述第二请求包括所述终端设备的第二标识;
所述接收模块,还用于接收来自所述统一数据管理功能的签约信息;其中,所述签约信息包括所述网络切片对应的认证方式。
22.根据权利要求17-19任一项所述的移动性管理功能,其特征在于,
所述处理模块,还用于根据预先配置的第一对应关系和所述网络切片的标识信息,确定所述网络切片对应的认证方式;其中,所述第一对应关系包括网络切片的标识信息和网络切片的标识信息对应的认证方式。
23.根据权利要求17-22任一项所述的移动性管理功能,其特征在于,
所述处理模块,还用于根据下述一种或多种信息确定所述网络切片认证授权功能:所述网络切片的标识信息、所述网络切片对应的认证方式、或所述网络切片对应的数据网络名称。
24.根据权利要求17-23任一项所述的移动性管理功能,其特征在于,
所述处理模块,还用于当所述处理模块支持所述网络切片的认证方式时,获取所述网络切片对应的第一认证参数;
所述处理模块,还用于当所述处理模块不支持所述网络切片的认证方式时,通过所述发送模块向所述终端设备发送注册拒绝消息;其中,所述注册拒绝消息用于指示所述处理模块拒绝所述终端设备的注册请求。
25.根据权利要求17-24任一项所述的移动性管理功能,其特征在于,
所述处理模块,还用于当所述处理模块支持所述网络切片的认证方式时,获取所述网络切片对应的第一认证参数;
所述处理模块,还用于当所述处理模块不支持所述网络切片对应的认证方式时,通过所述发送模块向网络切片选择功能发送第三请求;其中,所述第三请求包括所述网络切片的标识信息和所述网络切片对应的认证方式;
所述接收模块,还用于接收所述网络切片选择功能返回的目标移动性管理功能的信息;
所述发送模块,还用于将所述网络切片的标识信息和所述网络切片对应的认证方式发送给所述目标移动性管理功能。
26.一种终端设备,其特征在于,包括:
处理模块,用于生成网络切片对应的第一认证参数;其中,所述第一认证参数包括密码认证协议PAP认证参数或挑战握手认证协议CHAP认证参数;
发送模块,用于向移动性管理功能发送所述网络切片的标识信息和所述第一认证参数;
接收模块,用于接收来自所述移动性管理功能的认证结果。
27.根据权利要求26所述的终端设备,其特征在于,
所述发送模块,具体用于向所述移动性管理功能发送第一消息;其中,所述第一消息携带所述第一认证参数;所述第一消息为注册请求、安全模式完成消息或上行非接入层传输消息。
28.根据权利要求26或27所述的终端设备,其特征在于,
所述接收模块,还用于接收来自所述移动性管理功能的第一请求;其中,所述第一请求包括所述网络切片的标识信息;
所述处理模块,还用于根据所述第一请求,通过所述发送模块向所述移动性管理功能发送所述第一认证参数。
29.根据权利要求26-28任一项所述的终端设备,其特征在于,
所述发送模块,还用于向所述移动性管理功能发送所述网络切片对应的认证方式;其中,所述认证方式包括PAP认证或CHAP认证。
30.一种网络切片认证授权功能,其特征在于,包括:
接收模块,用于接收来自移动性管理功能的终端设备的第一标识、终端设备对应的网络切片的标识信息、所述网络切片对应的第一认证参数;其中,所述第一认证参数包括密码认证协议PAP认证参数或挑战握手认证协议CHAP认证参数;
处理模块,用于在所述接收模块接收到所述第一认证参数后,通过发送模块将第二认证参数发送给所述网络切片的标识信息对应的认证授权服务器;
所述接收模块,还用于接收来自所述认证授权服务器的认证结果;
所述发送模块,还用于将所述认证结果、所述第一标识发送给所述移动性管理功能。
31.根据权利要求30所述的网络切片认证授权功能,其特征在于,
当所述第一认证参数包括所述CHAP认证参数时,所述第二认证参数为所述第一认证参数。
32.根据权利要求30或31所述的网络切片认证授权功能,其特征在于,所述第一认证参数包括所述终端设备的用户名;所述处理模块,还用于保存所述终端设备的用户名和所述终端设备的第一标识;
所述接收模块,还用于接收来自所述认证授权服务器的携带所述终端设备的用户名的请求;
所述处理模块,还用于根据所述终端设备的用户名获取所述终端设备的第一标识;
所述发送模块,还用于向所述移动性管理功能发送携带所述终端设备的第一标识和所述网络切片的标识信息的请求;所述请求用于请求所述移动性管理功能撤销所述终端设备在所述网络切片的授权。
33.一种计算机可读存储介质,其特征在于,计算机可读存储介质存储有计算机指令或程序,当计算机指令或程序在计算机上运行时,使得计算机执行如权利要求1-16任一项所述的切片认证方法。
34.一种通信***,其特征在于,所述通信***包括如权利要求17-25任一项所述的移动性管理功能和如权利要求30-32任一项所述的网络切片认证授权功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110189438.9A CN114978556A (zh) | 2021-02-19 | 2021-02-19 | 切片认证方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110189438.9A CN114978556A (zh) | 2021-02-19 | 2021-02-19 | 切片认证方法、装置及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114978556A true CN114978556A (zh) | 2022-08-30 |
Family
ID=82954233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110189438.9A Pending CN114978556A (zh) | 2021-02-19 | 2021-02-19 | 切片认证方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978556A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024067165A1 (zh) * | 2022-09-26 | 2024-04-04 | 中国电信股份有限公司 | 用于认证能力的处理方法、终端、***和存储介质 |
-
2021
- 2021-02-19 CN CN202110189438.9A patent/CN114978556A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024067165A1 (zh) * | 2022-09-26 | 2024-04-04 | 中国电信股份有限公司 | 用于认证能力的处理方法、终端、***和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12022571B2 (en) | Profile between devices in wireless communication system | |
| US11451950B2 (en) | Indirect registration method and apparatus | |
| US11496320B2 (en) | Registration method and apparatus based on service-based architecture | |
| CN111669276B (zh) | 一种网络验证方法、装置及*** | |
| CN110474875B (zh) | 基于服务化架构的发现方法及装置 | |
| US11496883B2 (en) | Apparatus and method for access control on eSIM | |
| EP3334084B1 (en) | Security authentication method, configuration method and related device | |
| US11778458B2 (en) | Network access authentication method and device | |
| CN112105021B (zh) | 一种认证方法、装置及*** | |
| CN110808942B (zh) | 一种签约信息配置方法、网络设备和终端设备 | |
| CN112512045B (zh) | 一种通信***、方法及装置 | |
| US11956626B2 (en) | Cryptographic key generation for mobile communications device | |
| US11871227B2 (en) | Device changing method and apparatus of wireless communication system | |
| EP2993933A1 (en) | Wireless terminal configuration method, apparatus and wireless terminal | |
| EP3854115B1 (en) | Method and apparatus for handling remote profile management exception | |
| WO2022028259A1 (zh) | 用户签约数据的获取方法及装置 | |
| CN114978556A (zh) | 切片认证方法、装置及*** | |
| WO2022252658A1 (zh) | 一种漫游接入方法及装置 | |
| EP3968590B1 (en) | Communication network component and method | |
| US20240080666A1 (en) | Wireless communication network authentication for a wireless user device that has a circuitry identifier | |
| US20230276231A1 (en) | Authentication Between Wireless Devices and Edge Servers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |