终端设备的注册方法及装置转让专利
申请号 : CN201910160313.6
文献号 : CN111654862B
文献日 : 2021-12-03
发明人 : 雷中定
申请人 : 华为技术有限公司
摘要 :
权利要求 :
1.一种终端设备的注册方法,其特征在于,包括:终端设备向移动性管理网元发送第一注册请求消息,所述第一注册请求消息包括请求接入的切片的选择信息;
在所述终端设备完成一级认证和建立安全上下文后,所述终端设备接收来自所述移动性管理网元的第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信息、所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息和第一切片认证指示;其中,所述允许接入的切片的选择信息包括以下信息中的至少一个:所述请求接入的切片中已经完成二级认证的切片的选择信息、所述请求接入的切片中不需要进行二级认证的切片的选择信息、网络分配的不需要进行二级认证的切片的选择信息,所述第一切片认证指示用于指示存在未完成二级认证的切片;
在所述请求接入的切片中需要进行二级认证且未完成二级认证的第一切片二级认证通过后,所述终端设备接收来自所述移动性管理网元的更新的允许接入的切片的选择信息,所述更新的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选择信息对应的切片的选择信息,所述网络分配的与所述第一切片的选择信息对应的切片与所述第一切片具有类似特性,所述第一切片为所述请求接入的切片中需要进行二级认证且未完成二级认证的切片中的部分切片。
2.如权利要求1所述的方法,其特征在于,所述第一注册接受消息还包括以下信息中的至少一个:
所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证所需的预估时间、所述请求接入的切片中被拒绝接入的切片的选择信息、至少一个临时标识;
其中,一个临时标识对应完成二级认证的切片中的一个或多个切片的选择信息。
3.如权利要求2所述的方法,其特征在于,所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息携带于一个切片选择信息列表中,所述切片选择信息列表中的切片的选择信息的顺序指示了所述切片选择信息列表中的切片进行二级认证的优先级。
4.如权利要求1‑3任一所述的方法,其特征在于,还包括:所述终端设备向所述移动性管理网元发送第一消息,所述第一消息用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证;
所述终端设备接收来自所述移动性管理网元的更新的允许接入的切片的选择信息,包括:
所述终端设备接收来自所述移动性管理网元的第二消息,所述第二消息包括所述更新的允许接入的切片的选择信息。
5.如权利要求4所述的方法,其特征在于,所述第一消息包括所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息,和/或,第二切片认证指示;
所述第二切片认证指示用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证。
6.如权利要求5所述的方法,其特征在于,所述第一消息为第二注册请求消息,所述第二消息为第二注册接受消息;或者,所述第一消息为切片注册请求消息,所述第二消息为切片注册接受消息。
7.如权利要求1‑3任一所述的方法,其特征在于,所述终端设备接收来自所述移动性管理网元的更新的允许接入的切片的选择信息,包括:所述终端设备接收来自所述移动性管理网元的配置更新命令,所述配置更新命令包括所述更新的允许接入的切片的选择信息。
8.如权利要求7所述的方法,其特征在于,所述配置更新命令还包括以下信息中的至少一个:
所述请求接入的切片中需要进行二级认证且未完成二级认证的切片中被拒绝接入的切片的选择信息、更新后的所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息、至少一个临时标识;
其中,一个临时标识对应完成二级认证的切片中的一个或多个切片的选择信息。
9.一种终端设备的注册方法,其特征在于,包括:移动性管理网元接收来自终端设备的第一注册请求消息,所述第一注册请求消息包括请求接入的切片的选择信息;
在所述终端设备完成一级认证和建立安全上下文后,所述移动性管理网元判断所述请求接入的切片是否需要进行二级认证;
所述移动性管理网元向所述终端设备发送第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信息、所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息和第一切片认证指示;其中,所述允许接入的切片的选择信息包括以下信息中的至少一个:所述请求接入的切片中已经完成二级认证的切片的选择信息、所述请求接入的切片中不需要进行二级认证的切片的选择信息、网络分配的不需要进行二级认证的切片的选择信息,所述第一切片认证指示用于指示存在未完成二级认证的切片;
在所述请求接入的切片中需要进行二级认证且未完成二级认证的第一切片二级认证通过后,所述移动性管理网元向所述终端设备发送更新的允许接入的切片的选择信息,所述更新的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选择信息对应的切片的选择信息,所述网络分配的与所述第一切片的选择信息对应的切片与所述第一切片具有类似特性,所述第一切片为所述请求接入的切片中需要进行二级认证且未完成二级认证的切片中的部分切片。
10.如权利要求9所述的方法,其特征在于,所述第一注册接受消息还包括以下信息中的至少一个:
所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证所需的预估时间、所述请求接入的切片中不需要进行二级认证的切片的选择信息、所述请求接入的切片中被拒绝接入的切片的选择信息、至少一个临时标识;
其中,一个临时标识对应完成二级认证的一个或多个切片的选择信息。
11.如权利要求10所述的方法,其特征在于,所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息携带于一个切片选择信息列表中,所述切片选择信息列表中的切片的选择信息的顺序指示了所述切片选择信息列表中的切片进行二级认证的优先级。
12.如权利要求9‑11任一所述的方法,其特征在于,还包括:所述移动性管理网元接收来自所述终端设备的第一消息,所述第一消息用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证;
所述移动性管理网元向所述终端设备发送更新的允许接入的切片的选择信息,包括:所述移动性管理网元向所述终端设备发送第二消息,所述第二消息包括所述更新的允许接入的切片的选择信息。
13.如权利要求12所述的方法,其特征在于,所述第一消息包括所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息,和/或,第二切片认证指示;
所述第二切片认证指示用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证。
14.一种终端设备的注册方法,其特征在于,包括:终端设备向移动性管理网元发送第一注册请求消息,所述第一注册请求消息包括请求接入的切片的选择信息,所述请求接入的切片为不需要进行二级认证的切片;
在所述终端设备完成一级认证和建立安全上下文后,所述终端设备接收来自所述移动性管理网元的第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信息,所述允许接入的切片的选择信息包括所述请求接入的切片中的允许接入的切片的选择信息和/或网络分配的不需要进行二级认证的切片的选择信息;
所述终端设备向所述移动性管理网元发送第一消息,所述第一消息包括需要进行二级认证的切片的选择信息,所述第一消息用于请求对所述需要进行二级认证的切片进行切片认证;
在所述需要进行二级认证的切片中的第一切片二级认证通过后,所述终端设备接收来自所述移动性管理网元的第二消息,所述第二消息包括更新的允许接入的切片的选择信息,所述更新的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选择信息对应的切片的选择信息。
15.一种终端设备的注册方法,其特征在于,包括:移动性管理网元接收来自终端设备的第一注册请求消息,所述第一注册请求消息包括请求接入的切片的选择信息,所述请求接入的切片为不需要进行二级认证的切片;
在所述终端设备完成一级认证和建立安全上下文后,所述移动性管理网元向所述终端设备发送第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信息,所述允许接入的切片的选择信息包括所述请求接入的切片中的允许接入的切片的选择信息和/或网络分配的不需要进行二级认证的切片的选择信息;
所述移动性管理网元接收来自所述终端设备的第一消息,所述第一消息包括需要进行二级认证的切片的选择信息,所述第一消息用于请求对所述需要进行二级认证的切片进行切片认证;
在所述需要进行二级认证的切片中的第一切片二级认证通过后,所述移动性管理网元向所述终端设备发送第二消息,所述第二消息包括更新的允许接入的切片的选择信息,所述更新的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选择信息对应的切片的选择信息。
16.一种通信装置,其特征在于,包括发送单元和接收单元;
所述发送单元,用于向移动性管理网元发送第一注册请求消息,所述第一注册请求消息包括请求接入的切片的选择信息;
所述接收单元,用于在所述装置完成一级认证和建立安全上下文后,接收来自所述移动性管理网元的第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信息、所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息和第一切片认证指示;其中,所述允许接入的切片的选择信息包括以下信息中的至少一个:所述请求接入的切片中已经完成二级认证的切片的选择信息、所述请求接入的切片中不需要进行二级认证的切片的选择信息、网络分配的不需要进行二级认证的切片的选择信息,所述第一切片认证指示用于指示存在未完成二级认证的切片;
所述接收单元,还用于在所述请求接入的切片中需要进行二级认证且未完成二级认证的第一切片二级认证通过后,接收来自所述移动性管理网元的更新的允许接入的切片的选择信息,所述更新的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选择信息对应的切片的选择信息,所述网络分配的与所述第一切片的选择信息对应的切片与所述第一切片具有类似特性,所述第一切片为所述请求接入的切片中需要进行二级认证且未完成二级认证的切片中的部分切片。
17.如权利要求16所述的装置,其特征在于,所述第一注册接受消息还包括以下信息中的至少一个:
所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证所需的预估时间、所述请求接入的切片中被拒绝接入的切片的选择信息、至少一个临时标识;
其中,一个临时标识对应完成二级认证的切片中的一个或多个切片的选择信息。
18.如权利要求17所述的装置,其特征在于,所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息携带于一个切片选择信息列表中,所述切片选择信息列表中的切片的选择信息的顺序指示了所述切片选择信息列表中的切片进行二级认证的优先级。
19.如权利要求16‑18任一所述的装置,其特征在于,所述发送单元,还用于向所述移动性管理网元发送第一消息,所述第一消息用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证;
所述接收单元,具体用于接收来自所述移动性管理网元的第二消息,所述第二消息包括所述更新的允许接入的切片的选择信息。
20.如权利要求19所述的装置,其特征在于,所述第一消息包括所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息,和/或,第二切片认证指示;
所述第二切片认证指示用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证。
21.如权利要求20所述的装置,其特征在于,所述第一消息为第二注册请求消息,所述第二消息为第二注册接受消息;或者,所述第一消息为切片注册请求消息,所述第二消息为切片注册接受消息。
22.如权利要求16‑18任一所述的装置,其特征在于,所述接收单元,具体用于接收来自所述移动性管理网元的配置更新命令,所述配置更新命令包括所述更新的允许接入的切片的选择信息。
23.如权利要求22所述的装置,其特征在于,所述配置更新命令还包括以下信息中的至少一个:
所述请求接入的切片中需要进行二级认证且未完成二级认证的切片中被拒绝接入的切片的选择信息、更新后的所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息、至少一个临时标识;
其中,一个临时标识对应完成二级认证的切片中的一个或多个切片的选择信息。
24.一种通信装置,其特征在于,包括发送单元、接收单元和处理单元;
所述接收单元,用于接收来自终端设备的第一注册请求消息,所述第一注册请求消息包括请求接入的切片的选择信息;
处理单元,用于在所述终端设备完成一级认证和建立安全上下文后,判断所述请求接入的切片是否需要进行二级认证;
所述发送单元,用于向所述终端设备发送第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信息所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息和第一切片认证指示;其中,所述允许接入的切片的选择信息包括以下信息中的至少一个:所述请求接入的切片中已经完成二级认证的切片的选择信息、所述请求接入的切片中不需要进行二级认证的切片的选择信息、网络分配的不需要进行二级认证的切片的选择信息,所述第一切片认证指示用于指示存在未完成二级认证的切片;
所述发送单元,还用于在所述请求接入的切片中需要进行二级认证且未完成二级认证的第一切片二级认证通过后,向所述终端设备发送更新的允许接入的切片的选择信息,所述更新的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选择信息对应的切片的选择信息,所述网络分配的与所述第一切片的选择信息对应的切片与所述第一切片具有类似特性,所述第一切片为所述请求接入的切片中需要进行二级认证且未完成二级认证的切片中的部分切片。
25.如权利要求24所述的装置,其特征在于,所述第一注册接受消息还包括以下信息中的至少一个:
所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证所需的预估时间、所述请求接入的切片中被拒绝接入的切片的选择信息、至少一个临时标识;
其中,一个临时标识对应完成二级认证的一个或多个切片的选择信息。
26.如权利要求25所述的装置,其特征在于,所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息携带于一个切片选择信息列表中,所述切片选择信息列表中的切片的选择信息的顺序指示了所述切片选择信息列表中的切片进行二级认证的优先级。
27.如权利要求24‑26任一所述的装置,其特征在于,所述接收单元,还用于接收来自所述终端设备的第一消息,所述第一消息用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证;
所述发送单元,具体用于向所述终端设备发送第二消息,所述第二消息包括所述更新的允许接入的切片的选择信息。
28.如权利要求27所述的装置,其特征在于,所述第一消息包括所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息,和/或,第二切片认证指示;
所述第二切片认证指示用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证。
29.一种通信装置,其特征在于,包括发送单元和接收单元;
所述发送单元,用于向移动性管理网元发送第一注册请求消息,所述第一注册请求消息包括请求接入的切片的选择信息,所述请求接入的切片为不需要进行二级认证的切片;
所述接收单元,用于在所述装置完成一级认证和建立安全上下文后,接收来自所述移动性管理网元的第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信息,所述允许接入的切片的选择信息包括所述请求接入的切片中的允许接入的切片的选择信息和/或网络分配的不需要进行二级认证的切片的选择信息;
所述发送单元,还用于向所述移动性管理网元发送第一消息,所述第一消息包括需要进行二级认证的切片的选择信息,所述第一消息用于请求对所述需要进行二级认证的切片进行切片认证;
所述接收单元,还用于在所述需要进行二级认证的切片中的第一切片二级认证通过后,接收来自所述移动性管理网元的第二消息,所述第二消息包括更新的允许接入的切片的选择信息,所述更新的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选择信息对应的切片的选择信息。
30.一种通信装置,其特征在于,包括发送单元和接收单元;
所述接收单元,用于接收来自终端设备的第一注册请求消息,所述第一注册请求消息包括请求接入的切片的选择信息,所述请求接入的切片为不需要进行二级认证的切片;
所述发送单元,用于在所述终端设备完成一级认证和建立安全上下文后,向所述终端设备发送第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信息,所述允许接入的切片的选择信息包括所述请求接入的切片中的允许接入的切片的选择信息和/或网络分配的不需要进行二级认证的切片的选择信息;
所述接收单元,还用于接收来自所述终端设备的第一消息,所述第一消息包括需要进行二级认证的切片的选择信息,所述第一消息用于请求对所述需要进行二级认证的切片进行切片认证;
所述发送单元,还用于在所述需要进行二级认证的切片中的第一切片二级认证通过后,向所述终端设备发送第二消息,所述第二消息包括更新的允许接入的切片的选择信息,所述更新的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选择信息对应的切片的选择信息。
说明书 :
终端设备的注册方法及装置
技术领域
背景技术
为一级认证,终端设备和运营商网络之外的第三方网络之间的认证称为二级认证。
造成完成二级认证所需的时间长短有别。再进一步,一次注册流程可以支持嵌套多次的二
级认证,这将使得完成二级认证流程的时间大相径庭。然而,注册、认证流程在具体实现中,
会针对总体流程以及每个关键步骤事先设定计时器,每个计时的步骤或流程如果超时,就
会产生运行错误。另外,当进行二级认证时,网络也可以通过暂停、恢复注册流程的计时器
来缓解计时器设定问题,但这由引入了计时器管理复杂的新问题。总之,由于上述因素造成
的二级认证时间差异性,使得系统设定计时器问题变成了复杂而具有挑战的任务。
发明内容
和缩短初始注册流程的时长的目的。
后,所述终端设备接收来自所述移动性管理网元的第一注册接受消息,所述第一注册接受
消息包括允许接入的切片的选择信息,所述允许接入的切片的选择信息包括以下信息中的
至少一个:所述请求接入的切片中已经完成二级认证的切片的选择信息、所述请求接入的
切片中不需要进行二级认证的切片的选择信息、网络分配的不需要进行二级认证的切片的
选择信息;在所述请求接入的切片中需要进行二级认证且未完成二级认证的第一切片二级
认证通过后,所述终端设备接收来自所述移动性管理网元的更新的允许接入的切片的选择
信息,所述更新的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的
与所述第一切片的选择信息对应的切片的选择信息。
册接受消息(通过提前发送注册接受消息,初始注册流程可以尽早结束,不过这仅仅代表暂
时(Interim)结束,而不是完全结束,因为还有二级认证没完成),而现有技术是等到所有的
切片完成二级认证之后才发送注册接受消息,这样不仅可以解决嵌套式认证带来的问题,
终端设备也大大增加了接入的灵活性,并且使得注册时的定时器的设置或管理变得更为简
便。此时,终端设备可以根据网络反馈的二级认证信息,决定何时进行二级认证对终端设备
更方便。比如,终端设备可以根据已经成功认证的切片,接入该切片,建立会话,发送接收数
据服务。而在晚些时候空闲时,再请求接入其他切片。
请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证所需的预估
时间、第一切片认证指示、所述请求接入的切片中不需要进行二级认证的切片的选择信息、
所述请求接入的切片中被拒绝接入的切片的选择信息、至少一个临时标识;其中,所述第一
切片认证指示用于指示存在未完成二级认证的切片,一个临时标识对应完成二级认证的切
片中的一个或多个切片的选择信息。
片的选择信息的顺序指示了所述切片选择信息列表中的切片进行二级认证的优先级。
切片进行二级认证。所述终端设备接收更新的允许接入的切片的选择信息,包括:所述终端
设备接收来自所述移动性管理网元的第二消息,所述第二消息包括所述更新的允许接入的
切片的选择信息。
证指示用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进
行二级认证。
受消息。
新命令,所述配置更新命令包括所述更新的允许接入的切片的选择信息。
选择信息、更新后的所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的
选择信息、至少一个临时标识;其中,一个临时标识对应完成二级认证的切片中的一个或多
个切片的选择信息。
下文后,所述移动性管理网元判断所述请求接入的切片是否需要进行二级认证;所述移动
性管理网元向所述终端设备发送第一注册接受消息,所述第一注册接受消息包括允许接入
的切片的选择信息,所述允许接入的切片的选择信息包括以下信息中的至少一个:所述请
求接入的切片中已经完成二级认证的切片的选择信息、所述请求接入的切片中不需要进行
二级认证的切片的选择信息、网络分配的不需要进行二级认证的切片的选择信息;在所述
请求接入的切片中需要进行二级认证且未完成二级认证的第一切片二级认证通过后,所述
移动性管理网元向所述终端设备发送更新的允许接入的切片的选择信息,所述更新的允许
接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选
择信息对应的切片的选择信息。
册接受消息(通过提前发送注册接受消息,注册流程可以尽早结束,不过这仅仅代表暂时
(Interim)结束,而不是完全结束,因为还有二级认证没完成),而现有技术是等到所有的切
片完成二级认证之后才发送注册接受消息,这样不仅可以解决嵌套式认证带来的问题,终
端设备也大大增加了接入的灵活性,并且使得注册时的定时器的设置或管理变得更为简
便。此时,终端设备可以根据网络反馈的二级认证信息,决定何时进行二级认证对终端设备
更方便。比如,终端设备可以根据已经成功认证的切片,接入该切片,建立会话,发送接收数
据服务。而在晚些时候空闲时,再请求接入其他切片。
请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证所需的预估
时间、第一切片认证指示、所述请求接入的切片中不需要进行二级认证的切片的选择信息、
所述请求接入的切片中被拒绝接入的切片的选择信息、至少一个临时标识;其中,所述第一
切片认证指示用于指示存在未完成二级认证的切片,一个临时标识对应完成二级认证的一
个或多个切片的选择信息。
片的选择信息的顺序指示了所述切片选择信息列表中的切片进行二级认证的优先级。
的切片进行二级认证;所述移动性管理网元向所述终端设备发送更新的允许接入的切片的
选择信息,包括:所述移动性管理网元向所述终端设备发送第二消息,所述第二消息包括所
述更新的允许接入的切片的选择信息。
证指示用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进
行二级认证。
受消息。
述配置更新命令包括所述更新的允许接入的切片的选择信息。
选择信息、更新后的所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的
选择信息、至少一个临时标识;其中,一个临时标识对应完成二级认证的切片中的一个或多
个切片的选择信息。
的切片;在所述终端设备完成一级认证和建立安全上下文后,所述终端设备接收来自所述
移动性管理网元的第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择
信息,所述允许接入的切片的选择信息包括所述请求接入的切片中的允许接入的切片的选
择信息和/或网络分配的不需要进行二级认证的切片的选择信息;所述终端设备向所述移
动性管理网元发送第一消息,所述第一消息包括需要进行二级认证的切片的选择信息,所
述第一消息用于请求对所述需要进行二级认证的切片进行切片认证;在所述需要进行二级
认证的切片中的第一切片二级认证通过后,所述终端设备接收来自所述移动性管理网元的
第二消息,所述第二消息包括更新的允许接入的切片的选择信息,所述更新的允许接入的
切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选择信息
对应的切片的选择信息。
册接受消息(通过提前发送注册接受消息,注册流程可以尽早结束,不过这仅仅代表暂时
(Interim)结束,而不是完全结束,因为还有二级认证没完成),而现有技术是等到所有的切
片完成二级认证之后才发送注册接受消息,这样不仅可以解决嵌套式认证带来的问题,终
端设备也大大增加了接入的灵活性,并且使得注册时的定时器的设置或管理变得更为简
便。此时,终端设备可以根据网络反馈的二级认证信息,决定何时进行二级认证对终端设备
更方便。比如,终端设备可以根据已经成功认证的切片,接入该切片,建立会话,发送接收数
据服务。而在晚些时候空闲时,再请求接入其他切片。
选择信息列表中的切片进行二级认证的优先级。
受消息。
的切片;在所述终端设备完成一级认证和建立安全上下文后,所述移动性管理网元向所述
终端设备发送第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信
息,所述允许接入的切片的选择信息包括所述请求接入的切片中的允许接入的切片的选择
信息和/或网络分配的不需要进行二级认证的切片的选择信息;所述移动性管理网元接收
来自所述终端设备的第一消息,所述第一消息包括需要进行二级认证的切片的选择信息,
所述第一消息用于请求对所述需要进行二级认证的切片进行切片认证;在所述需要进行二
级认证的切片中的第一切片二级认证通过后,所述移动性管理网元向所述终端设备发送第
二消息,所述第二消息包括更新的允许接入的切片的选择信息,所述更新的允许接入的切
片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的选择信息对
应的切片的选择信息。
册接受消息(通过提前发送注册接受消息,注册流程可以尽早结束,不过这仅仅代表暂时
(Interim)结束,而不是完全结束,因为还有二级认证没完成),而现有技术是等到所有的切
片完成二级认证之后才发送注册接受消息,这样不仅可以解决嵌套式认证带来的问题,终
端设备也大大增加了接入的灵活性,并且使得注册时的定时器的设置或管理变得更为简
便。此时,终端设备可以根据网络反馈的二级认证信息,决定何时进行二级认证对终端设备
更方便。比如,终端设备可以根据已经成功认证的切片,接入该切片,建立会话,发送接收数
据服务。而在晚些时候空闲时,再请求接入其他切片。
选择信息列表中的切片进行二级认证的优先级。
受消息。
硬件或软件包括一个或多个与上述功能相对应的模块。
该装置执行如上述任意方面或任意方面中的实现方法。
多个。
位于该装置之内,也可以位于该装置之外。且该处理器包括一个或多个。
管理网元。
管理网元。
附图说明
具体实施方式
中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
network,DN)和运营商网络部分。
(policy control function,PCF)网元、统一数据管理(unified data management,UDM)网
元、应用功能(application function,AF)网元、认证服务器功能(authentication server
function,AUSF)网元、接入与移动性管理功能(access and mobility management
function,AMF)网元、会话管理功能(session management function,SMF)网元、(无线)接
入网((radio)access network,(R)AN)以及用户面功能(user plane function,UPF)网元
等。上述运营商网络中,除(无线)接入网部分之外部分,称为核心网络部分。为方便说明,后
续以(R)AN称为RAN为例进行说明。
(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端可以是手机
(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,
VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无
线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终
端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终
端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。
DN上部署的运营商业务,和/或第三方提供的业务。其中,上述第三方可为运营商网络和终
端设备之外的服务方,可为终端设备提供他数据和/或语音等服务。其中,上述第三方的具
体表现形式,具体可根据实际应用场景确定,在此不做限制。
连接。本申请中的RAN设备,是一种为终端设备提供无线通信功能的设备,接入网设备包括
但不限于:5G中的下一代基站(g nodeB,gNB)、演进型节点B(evolved node B,eNB)、无线网
络控制器(radio network controller,RNC)、节点B(node B,NB)、基站控制器(base
station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例
如,home evolved nodeB,或home node B,HNB)、基带单元(baseBand unit,BBU)、传输点
(transmitting and receiving point,TRP)、发射点(transmitting point,TP)、移动交换
中心等。
功能。
PDU会话与DN互相传送PDU。PDU会话由SMF网元负责建立、维护和删除等。SMF网元包括会话
管理(如会话建立、修改和释放,包含UPF和AN之间的隧道维护)、UPF网元的选择和控制、业
务和会话连续性(Service and Session Continuity,SSC)模式选择、漫游等会话相关的功
能。
监听、上行包检测、下行数据包存储等用户面相关的功能。
或语音等服务。例如,DN是某智能工厂的私有网络,智能工厂安装在车间的传感器可为终端
设备,DN中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制
服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。
又例如,DN是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备,员工的手
机或者电脑可以访问公司内部办公网络上的信息、数据资源等。
文(security context)、签约数据等信息。UDM网元所存储的这些信息可用于终端设备接入
运营商网络的认证和授权。其中,上述运营商网络的签约用户具体可为使用运营商网络提
供的业务的用户,例如使用中国电信的手机芯卡的用户,或者使用中国移动的手机芯卡的
用户等。上述签约用户的永久签约标识(Subscription Permanent Identifier,SUPI)可为
该手机芯卡的号码等。上述签约用户的信任状、安全上下文可为该手机芯卡的加密密钥或
者跟该手机芯卡加密相关的信息等存储的小文件,用于认证和/或授权。上述安全上下文可
为存储在用户本地终端(例如手机)上的数据(cookie)或者令牌(token)等。上述签约用户
的签约数据可为该手机芯卡的配套业务,例如该手机芯卡的流量套餐或者使用网络等。需
要说明的是,永久标识符、信任状、安全上下文、认证数据(cookie)、以及令牌等同认证、授
权相关的信息,在本发明本申请文件中,为了描述方便起见不做区分、限制。如果不做特殊
说明,本申请实施例将以用安全上下文为例进行来描述,但本申请实施例同样适用于其他
表述方式的认证、和/或授权信息。
网元中存储的认证信息和/或授权信息对签约用户进行认证和/或授权,或者通过UDM网元
生成签约用户的认证和/或授权信息。AUSF网元可向签约用户反馈认证信息和/或授权信
息。
的网元通信的中继。NEF网元作为中继时,可作为签约用户的标识信息的翻译,以及第三方
的网元的标识信息的翻译。比如,NEF将签约用户的SUPI从运营商网络发送到第三方时,可
以将SUPI翻译成其对应的外部身份标识(identity,ID)。反之,NEF网元将外部ID(第三方的
网元ID)发送到运营商网络时,可将其翻译成SUPI。
(longterm evolution,LTE)中的移动性管理实体(mobility management entity,MME)等。
理网元,UE均可替换为终端设备。
了网络切片之间不相互影响,例如突发的大量的抄表业务不应该影响正常的移动宽带业
务。为了满足多样性需求和切片间的隔离,需要业务间相对独立的管理和运维,并提供量身
定做的业务功能和分析能力。不同类型业务的实例部署在不同的网络切片上,相同业务类
型的不同实例也可部署在不同的网络切片上。
一个,而在实际网络部署中,每种网络功能或子网络可以有多个、数十个或上百个。运营商
网络中可以部署很多网络切片,每个切片可以有不同的性能来满足不同应用、不同垂直行
业的需求。运营商可以根据不同垂直行业客户的需求,“量身定做”一个切片。运营商也可以
允许一些行业客户享有较大的自主权,参与切片的部分管理、控制功能。其中,切片级的认
证就是由行业客户参与的一种网络控制功能,即对终端用户接入切片进行认证和授权。
的策略等等。在网络切片的选择过程中,需要综合考虑以上参数,才能为UE选择最佳的切片
类型。
示,或者也可以表示为请求的网络切片选择辅助信息(requested network slice
selection assistance information,requested NSSAI)。requested NSSAI是由一个或多
个单网络切片选择辅助信息(single network slice selection assistance
information,S‑NSSAI)来表示构成,每个S‑NSSAI用于标识一个网络切片类型,也可以理解
为,S‑NSSAI用于标识网络切片,或者可以理解为S‑NSSAI是网络切片的标识信息。为了简单
起见,在以下的描述中,对“网络切片”或是“S‑NSSAI”不做严格区分,可以同样适用。
集合。其中,允许接入的网络切片集合可以用允许的(allowed)NSSAI来表示,allowed
NSSAI包含的S‑NSSAI均为当前运营商网络允许接入的S‑NSSAI。
法被称为Primary Authentication(一级认证)。随着垂直行业和物联网的发展,可以预见,
运营商网络之外的DN(如服务于垂直行业的DN),对于接入到该DN的UE同样有认证与授权的
需求。比如,某商业公司提供了游戏平台,通过运营商网络,为游戏玩家提供游戏服务。一方
面,由于玩家使用的UE是通过运营商网络接入游戏平台,运营商网络需要对该UE进行认证
和授权,即一级认证。游戏玩家是商业公司的客户,该商业公司也需要对游戏玩家进行认
证、授权,这种认证如果是基于网络切片的,或者它的颗粒度(granularity)是以切片为单
位的,则该认证可以称为切片认证(slice authentication)或称为二级认证(secondary
authentication),或称为基于切片的二级认证(slice‑specific secondary
authentication)。
UE与运营商网络之间的认证,如在UE的注册流程中运营商网络对UE执行一级认证,若一级
认证通过则可以建立该UE的安全上下文。再比如,针对二级认证,指的是UE(或使用该UE的
用户)与运营商网络之外的网络(即第三方网络)之间的认证,第三方网络会将二级认证结
果通知运营商网络,以便运营商网络授权或拒绝该UE接入为为第三方网络服务的运营商网
络。
决定运营商网络是否授权UE接入该切片。
息,为UE选择适合的切片并由AMF把允许UE接入的切片的授权信息(即allowed NSSAI)发送
给UE。
请求‑>运营商网络的一级认证‑>第三方网络的二级认证‑>网络(运营商网络和第三方网
络)对UE接入的切片的授权(allowed NSSAI)‑>注册完成;2)二级认证被嵌套在一级认证和
网络授权过程中,即运营商网络的一级认证‑>第三方网络的二级认证‑>网络对UE接入的切
片的授权(allowed NSSAI)。
(Extensible Authentication Protocol)标准作为基本认证机制,并且支持多种EAP认证
方法(EAP method)。由于不同的EAP认证方法,所需的认证流程、计算资源不同,完成认证所
需的时间也有所不同。进一步,二级认证是UE(或使用UE的用户)同外部网络之间的认证,外
部网络负责认证的认证服务器计算资源可以大有不同,3GPP网络与具有不同网络资源的网
络之间信息交互的网络拥塞状况也会不同,这也会造成完成二级认证所需的时间长短有
别。再进一步,一级注册流程可以支持嵌套多次的二级认证(分别对应多个不同的S‑
NSSAI),综上因素,都可以使得完成二级认证流程的时间大相径庭。然而,注册、认证流程在
具体实现中,会针对总体流程以及每个关键步骤事先设定计时器,每个计时的步骤或流程
如果超时,就会产生运行错误。另外,当进行二级认证时,网络也可以以通过暂停、恢复注册
流程的计时器来缓解计时器设定问题,但这又会引入计时器管理复杂等新问题。总之,由于
上述因素造成的切片认证时间差异性,使得系统设定计时器问题变成了复杂而具有挑战的
任务。
认证成功,注册流程还需要等待外部网络的二级认证完成才可以被接入网络。
requested NSSAI={S‑NSSAI1、S‑NSSAI2、S‑NSSAI3、S‑NSSAI4、S‑NSSAI 5、S‑NSSAI 6},其
中,S‑NSSAI1对应切片1,S‑NSSAI2对应切片2,S‑NSSAI3对应切片3,S‑NSSAI4对应切片4,S‑
NSSAI5对应切片5,S‑NSSAI6对应切片6,即UE请求接入切片1、切片2、切片3、切片4、切片5和
切片6。
对应的切片3、S‑NSSAI4对应的切片4需要进行二级认证,S‑NSSAI5对应的切片5和S‑NSSAI6
对应的切片6不需要进行二级认证。
Stratum,AS)安全上文的建立。这里不做限定。需要进一步说明的是,这一点同样适用于本
申请中其他处的描述,这里做统一说明,后续不再一一重复说明。
切片的选择信息相对应的切片的选择信息中的)、且不需要进行二级认证的切片的选择信
息。
NSSAI3对应的切片3、S‑NSSAI4对应的切片4需要进行二级认证,S‑NSSAI5对应的切片5和S‑
NSSAI6对应的切片6不需要进行二级认证。
即为请求接入的切片中不需要进行二级认证的切片的选择信息。
第三方网络之间针对切片1成功完成了二级认证后,运营商网络允许对切片1通过授权,则
allowed NSSAI还可以包括S‑NSSAI1。这里的S‑NSSAI1即为请求接入的切片中已经完成二
级认证的切片的选择信息。
allowed NSSAI还可以包括S‑NSSAI7(对应切片7)。这里的S‑NSSAI7即为网络分配的不需要
进行二级认证的切片的选择信息。
进行二级认证的切片的选择信息(即S‑NSSAI5和S‑NSSAI6)、网络分配的不需要进行二级认
证的切片的选择信息(即S‑NSSAI7)。
级认证的切片的选择信息,那么网络也可以不用分配额外的切片的选择信息。相反,如果
allowed NSSAI中不包括任何请求接入的切片中已经完成二级认证的切片的选择信息,或
者不包括任何请求接入的切片中不需要进行二级认证的切片的选择信息,那么网络一定要
基于一级认证,分配一个不需要进行二级认证的切片的选择信息。在上述例子中,allowed
NSSAI包括了S‑NSSAI1,S‑NSSAI5和S‑NSSAI6,这时,网络可以不再分配S‑NSSAI7给UE。相
反,如果S‑NSSAI5和S‑NSSAI6也需要但还没进行切片认证,针对S‑NSSAI1的切片认证也没
完成,此时网络必须分配S‑NSSAI7给UE,保证通过一级认证的UE至少有一个S‑NSSAI在
allowed NSSAI中。
个项(IE),用于携带pending NSSAI。
证的切片的选择信息,若S‑NSSAI1对应的切片1已经完成了二级认证,则请求接入的切片中
需要进行二级认证且未完成二级认证的切片的选择信息为:S‑NSSAI2、S‑NSSAI3和S‑
NSSAI4,即pending NSSAI={S‑NSSAI2、S‑NSSAI3和S‑NSSAI4}。
选择信息列表(或切片选择信息S‑NSSAI列表)中的切片的选择信息的顺序指示了切片选择
信息列表(或切片选择信息S‑NSSAI列表)中的切片进行二级认证的优先级。(为了描述简
便,以下的“切片选择信息列表”,代表切片选择信息S‑NSSAI列表,不再赘述。比如,注册请
求消息包括切片选择信息列表A,该切片选择信息列表A={S‑NSSAI2、S‑NSSAI3、S‑
NSSAI4}。一方面,该切片选择信息列表A指示了请求接入的切片中需要进行二级认证且未
完成二级认证的切片的选择信息包括S‑NSSAI2、S‑NSSAI3和S‑NSSAI4;另一方面,该切片选
择信息列表A还指示了进行二级认证的优先顺序依次为:S‑NSSAI2、S‑NSSAI3、S‑NSSAI4。
级认证所需的预估时间较短的切片,则可以优先进行针对该切片的二级认证。UE也可以根
据预估时间只请求部分切片的二级认证,比如切片2的预估时间小于一个事先设定的值,UE
只把S‑NSSAI2放入requested NSSAI列表中,从而只对切片2(或对应的S‑NSSAI)进行切片
认证。
示。
最终版的,则此时该切片认证指示是可选的。
息,则non‑slice authentication NSSAI={S‑NSSAI5、S‑NSSAI6}。
某种原因被拒绝(如该S‑NSSAI同UE不匹配,或签约情况变化,或没有通过二级认证等),则
可以通过Rejected NSSAI携带被拒绝的S‑NSSAI。可选的,注册接受消息中还可以携带拒绝
的原因。
成2个或多个IE。
的切片的选择信息包括第一切片的选择信息或网络分配的与第一切片的选择信息对应的
切片的选择信息。
完成二级认证的切片中部分切片(如一个切片)。即,AMF可以是在需要进行二级认证且未完
成二级认证的切片中的所有切片均完成二级认证后,向UE发送更新的允许接入的切片的选
择信息,也可以是在需要进行二级认证且未完成二级认证的切片中的部分切片完成二级认
证后,向UE发送更新的允许接入的切片的选择信息。
authentication中的S‑NSSAI还可以指示二级认证的顺序,比如该requested NSSAI for
slice authentication指示了二级认证的顺序依次为:S‑NSSAI3、S‑NSSAI4。
注册接受消息中携带网络分配的allowed NSSAI,但无法在allowed NSSAI中包括并授权不
需要进行切片二级认证的S‑NSSAI。
描述。
认证建立的安全上下文已经失效或被删除等情况发生时,则确认可以重新进行一级认证并
重新建立安全上下文。一级认证和安全上下文的建立,类似于步骤202中关于一级认证和安
全上下文建立的描述。
authentication进行二级认证。
不同。
指示(本申请中也将该切片认证指示称为第二切片认证指示、或第二二级认证指示、或指示
信息)。
authentication可以隐式请求对requested NSSAI for slice authentication进行二级
认证。
for slice authentication。
上述示例,requested NSSAI for slice authentication={S‑NSSAI3、S‑NSSAI4},若S‑
NSSAI3、S‑NSSAI4均二级认证通过且授权,则new allowed NSSAI={S‑NSSAI3、S‑NSSAI4}。
allowed NSSAI={S‑NSSAI1、S‑NSSAI3、S‑NSSAI4、S‑NSSAI5、S‑NSSAI6、S‑NSSAI7}。
S‑NSSAI对应的S‑NSSAI。比如,requested NSSAI for slice authentication中的S‑
NSSAI3需要二级认证,在二级认证通过后,正常情况下,网络会反馈S‑NSSAI3授权,但有些
场景,网络不支持S‑NSSAI3,而是支持与S‑NSSAI3具有类似特性的S‑NSSAI3a,这时,网络发
送的授权的S‑NSSAI则可以是S‑NSSAI3a,即S‑NSSAI3a是与S‑NSSAI3对应的S‑NSSAI,同时
还可以通知UE:S‑NSSAI3与S‑NSSAI3a之间的对应关系。
实现方式:
NSSAI不包括S‑NSSAI3或步骤204不携带new allowed NSSAI。
allowed NSSAI不包括S‑NSSAI4或步骤204不携带new allowed NSSAI。
NSSAI不包括S‑NSSAI3或步骤204不携带new allowed NSSAI。
allowed NSSAI不包括S‑NSSAI4或步骤204不携带new allowed NSSAI。
或未授权,S‑NSSAI4二级认证通过且授权,则new allowed NSSAI包括S‑NSSAI4,但不包括
S‑NSSAI3。若S‑NSSAI4二级认证未通过、或未授权,S‑NSSAI3二级认证通过且授权,则new
allowed NSSAI包括S‑NSSAI3,但不包括S‑NSSAI4。若S‑NSSAI3和S‑NSSAI4二级认证均未通
过、或未授权,则new allowed NSSAI不包括S‑NSSAI3和S‑NSSAI4,或步骤204不携带new
allowed NSSAI。
第一注册接受消息)携带的信息不同。
发起对请求接入的切片中需要进行二级认证且未完成二级认证的切片(这里称为NSSAI
need for slice authentication)进行二级认证,如针对上述示例,网络在上述步骤203之
后主动发起针对S‑NSSAI3和S‑NSSAI4的二级认证流程,并通过配置更新命令向UE发送二级
认证的结果。
证通过且授权的NSSAI。比如针对上述示例,NSSAI need for slice authentication={S‑
NSSAI3、S‑NSSAI4},若S‑NSSAI3、S‑NSSAI4均二级认证通过且授权,则new allowed NSSAI
={S‑NSSAI3、S‑NSSAI4}。
newallowed NSSAI={S‑NSSAI1、S‑NSSAI3、S‑NSSAI4、S‑NSSAI5、S‑NSSAI6、S‑NSSAI7}。
NSSAI。比如,NSSAI need for slice authentication中的S‑NSSAI3需要二级认证,在二级
认证通过后,正常情况下,网络会反馈S‑NSSAI3授权,但有些场景,网络不支持S‑NSSAI3,而
是支持与S‑NSSAI3具有类似特性的S‑NSSAI3a,这时,网络发送的授权的S‑NSSAI则可以是
S‑NSSAI3a,即S‑NSSAI3a是与S‑NSSAI3对应的S‑NSSAI,同时还可以通知UE:S‑NSSAI3与S‑
NSSAI3a之间的对应关系。
令中携带rejected NSSAI,rejected NSSAI={S‑NSSAI3},可选的,还可以携带拒绝原因
(如该S‑NSSAI同UE不匹配,或签约情况变化,或没有通过二级认证等)。
for slice authentication,new NSSAI need for slice authentication={S‑NSSAI3}。
allowed NSSAI不包括S‑NSSAI3或步骤204不携带new allowed NSSAI。
allowed NSSAI不包括S‑NSSAI4或步骤204不携带new allowed NSSAI。
过、或未授权,S‑NSSAI4二级认证通过且授权,则new allowed NSSAI包括S‑NSSAI4,但不包
括S‑NSSAI3。若S‑NSSAI4二级认证未通过、或未授权,S‑NSSAI3二级认证通过且授权,则new
allowed NSSAI包括S‑NSSAI3,但不包括S‑NSSAI4。若S‑NSSAI3和S‑NSSAI4二级认证均未通
过、或未授权,则new allowed NSSAI不包括S‑NSSAI3和S‑NSSAI4,或步骤204不携带new
allowed NSSAI。
册接受消息(即第二注册接受消息)更换为一个定义的消息,这里称为切片注册接受消息,
从而得到该实现方法三。
认证和建立安全上下文之后就发送注册接受消息(通过提前发送注册接受消息,注册流程
可以尽早结束,不过这仅仅代表暂时(Interim)结束,而不是完全结束,因为还有二级认证
没完成),而现有技术是等到所有的切片完成二级认证之后才发送注册接受消息,这样不仅
可以解决嵌套式认证带来的问题,UE也大大增加了接入的灵活性,并且使得注册时的定时
器的设置变得更为简便。此时,UE可以根据网络反馈的二级认证信息,决定何时进行二级认
证对UE更方便。比如,UE可以根据已经成功认证的切片,接入该切片,建立会话,发送接收数
据服务。而在晚些时候空闲时,再请求接入其他切片。
通过优化注册请求消息中的参数来实现去嵌套的方法,而对网络协议不需要或者需要很小
的改动。该方法包括以下步骤:
证,哪些S‑NSSAI不需要二级认证。又例如,UE可以预先配置可接入的S‑NSSAI,并预先配置
哪些S‑NSSAI不需要二级认证,哪些需要二级认证。也可预先配置存储相关二级认证的特
征,如采用哪种EAP方法,预估的二级认证所需时间等。
在UE注册至网络后的后续流程中,可以针对该N个组中的每个组发起一次注册申请。更进一
步,也可以针对每个需要二级认证的S‑NSSAI发起一次注册申请(即每个S‑NSSAI是一个
组),同样的,发起注册申请的先后顺序,可以事先进行排序。
应的切片3、S‑NSSAI4对应的切片4需要进行二级认证,S‑NSSAI5对应的切片5和S‑NSSAI6对
应的切片6不需要进行二级认证。则该步骤301的requested NSSAI={S‑NSSAI5、S‑
NSSAI6}。
优先级不同。
通过后直接授权,则请求接入的切片中的允许接入的切片的选择信息即为{S‑NSSAI5,S‑
NSSAI6}。
还可以包括S‑NSSAI7。这里的S‑NSSAI7即为网络分配的已经完成一级认证、且不需要进行
二级认证的切片的选择信息。
行二级认证的切片的选择信息(即S‑NSSAI7)。
信息。相反,如果allowed NSSAI不包括任何请求接入的切片中的允许接入的切片的选择信
息,网络就一定要分配给通过一级认证的UE至少一个S‑NSSAI。在上述例子中,allowed
NSSAI包括了S‑NSSAI5和S‑NSSAI6,这时,网络可以不再分配S‑NSSAI7给UE。如果,S‑NSSAI5
和S‑NSSAI6也需要进行切片认证,网络才分配S‑NSSAI7给通过一级认证的UE,如此,可以保
证至少有一个S‑NSSAI在allowed NSSAI中。
如,针对上述示例,requested NSSAI for slice authentication例如包括S‑NSSAI1、S‑
NSSAI2、S‑NSSAI3、S‑NSSAI4。或者也可以多次发送第一消息,每次发起的第一消息中包括
需要进行二级认证的切片的一个分组。
的切片进行二级认证的优先级。比如,第一消息包括切片选择信息列表A,该切片选择信息
列表A={S‑NSSAI1、S‑NSSAI2、S‑NSSAI3、S‑NSSAI4}。一方面,该切片选择信息列表A指示了
请求接入的切片中需要进行二级认证且未完成二级认证的切片的选择信息包括S‑NSSAI1、
S‑NSSAI2、S‑NSSAI3和S‑NSSAI4;另一方面,该切片选择信息列表A还指示了进行二级认证
的顺序依次为:S‑NSSAI1、S‑NSSAI2、S‑NSSAI3、S‑NSSAI4。
的选择信息。
部分切片(如一个切片)。即,AMF可以是在requested NSSAI for slice authentication中
的所有切片均完成二级认证后,向UE发送new allowed NSSAI,也可以是在requested
NSSAI for slice authentication中的部分切片完成二级认证后,向UE发送new allowed
NSSAI。
NSSAI6},分组2={S‑NSSAI1、S‑NSSAI2、S‑NSSAI3、S‑NSSAI4},其中分组1包括不需要二级
认证的切片的选择信息,分组2包括需要二级认证的切片的选择信息。
authentication中的切片的选择信息对应的切片进行二级认证,比如对S‑NSSAI1、S‑
NSSAI2、S‑NSSAI3认证通过且授权,对S‑NSSAI4拒绝,则上述第二消息中的new allowed
NSSAI={S‑NSSAI1、S‑NSSAI2、S‑NSSAI3},或者,new allowed NSSAI中还可以包括上述步
骤302的allowed NSSAI中的S‑NSSAI,比如allowed NSSAI={S‑NSSAI5、S‑NSSAI7},则new
allowed NSSAI={S‑NSSAI1、S‑NSSAI2、S‑NSSAI3、S‑NSSAI5、S‑NSSAI7}。第二消息还可以
携带rejected NSSAI,该rejected NSSAI={S‑NSSAI 4},进一步地还可以携带拒绝接入的
原因,具体可参考前述描述的各拒绝接入的原因。
认证的顺序依次为:S‑NSSAI1、S‑NSSAI2、S‑NSSAI3、S‑NSSAI4。
册接受消息。
认证和建立安全上下文之后就发送注册接受消息(通过提前发送注册接受消息,注册流程
可以尽早结束,不过这仅仅代表暂时(Interim)结束,而不是完全结束,因为还有二级认证
没完成),而现有技术是等到所有的切片完成二级认证之后才发送注册接受消息,这样不仅
可以解决嵌套式认证带来的问题,UE也大大增加了接入的灵活性,并且使得注册时的定时
器的设置变得更为简便。此时,UE可以根据网络反馈的二级认证信息,决定何时进行二级认
证对UE更方便。比如,UE可以根据已经成功认证的切片,接入该切片,建立会话,发送接收数
据服务。而在晚些时候空闲时,再请求接入其他切片。
的或几个二级认证流程的长短,不会造成对一级认证以及其他二级认证造成显著影响,从
而解决上述嵌套式认证流程所引入的问题。
安全建立(即建立UE的安全上下文)。
络UDM中存储的签约数据(而不是二级认证的DN AAA是认证、授权和计费(Authentication、
Authorization、Accounting,AAA)服务器),一级认证之后,NAS安全中的密钥推衍和生成,
也不受NSSAI的制约(NSSAI不是密钥生成时所需参数)。也就是说,一级认证以及NAS和/或
AS安全建立过程是可以从其他流程中分离出来的。而2)和3)强相关,而且通常有一一对应
的关系。也就是说,一个切片的认证成功,会直接对应到一个S‑NSSAI的授权,这样2)和3)是
需要绑定的,但该绑定又是可以以一次(或一组)二级认证或一个(或一组)S‑NSSAI授权的
为单位(颗粒度)进行,而不需要把所有的二级认证和S‑NSSAI混在一起。
息,可以每次二级认证成功及时发送给用户,或者一次性发送多个S‑NSSAI的信息。与前述
嵌套式二级认证相对应,总体流程可以简要概括为(省略NAS安全建立流程):
知UE和DN进行二级认证,并转发UE和DN之间认证所需的各种交互信息。
NSSAI,和/或与待访问的不需要二级认证的切片相对应的S‑NSSAI。选定哪个切片或哪一组
二级认证,可以灵活配置、确定(根据UE注册请求信息、签约信息、DN信息等等)
如,方法2:定义新的专用消息及相应的流程。
证),根据一级认证结果、存储在网络(UDM、AMF等)的签约信息、AMF与其他网络功能(如
NSSF)交互的结果等信息,确定allowed NSSAI,并发送给UE。可选的方案二,网络可以在一
级认证之后,并且完成了一部分的二级认证之后,发送“registration accept”。需要说明
的是,方案二是一种局部的嵌套方案。
证方式和优先顺序,即二级认证是一个认证完成后通知UE还是一组二级认证完成后通知
UE。二级认证的认证顺序,可以根据所需时间长短排序。除了排序,也可以标示,每个二级认
证所需时间的估计值。
状态,在下次请求接入的时候,可以避免重复申请接入被拒绝的S‑NSSAI,或者进行其他操
作,比如UE可以根据被拒绝的原因,通知UE上的应用程序或用户进行进一步处理。如,长期
被拒绝,用户可以查询签约数据是否存在问题等。
“UEConfiguration Update Command”消息中,可以包括各种指示信息,触发UE来进行二级
认证的后续步骤。
拒绝的NSSAI信息,不需要二级认证的NSSAI信息。这些信息可以多此发送,首先是在二级认
证之前,之后是在每次二级认证之后,或是每组二级认证之后。
到哪些S‑NSSAI不需要二级认证,每种二级认证所需的时间,UE可以在注册请求中,直接通
知网络UE的选择,即,先进行单独一级认证和无需二级认证的注册申请,然后按顺序进行每
个二级认证或每组二级认证。
器(AAA‑proxy server),这里做统一说明。
下步骤:
NSSAI”、“rejected NSSAI”、“5G‑GUTI”。
也可以只包括当前认证所授权的S‑NSSAI。
下步骤:
S‑NSSAI,也可以只包括当前认证所授权的S‑NSSAI。
程,并将授权的S‑NSSAI通过步骤506发送给UE。再比如,每次完成NSSAI need for slice
authentication中的S‑NSSAI对应的切片中的多个切片的二级认证的流程,并将授权的S‑
NSSAI通过步骤506发送给UE。
下步骤:
NSSAI,也可以只包括当前认证所授权的S‑NSSAI。
也可以只包括当前认证所授权的S‑NSSAI。
件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的
单元及算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究
竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束
条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这
种实现不应认为超出本发明的范围。
为一种实现方式,该通信单元803可以包括接收单元和发送单元。处理单元802用于对通信
装置800的动作进行控制管理。通信单元803用于支持通信装置800与其他网络实体的通信。
通信装置800还可以包括存储单元801,用于存储通信装置800的程序代码和数据。
专用集成电路(application specific integrated circuits,ASIC),现场可编程门阵列
(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬
件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻
辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包括一个或多个微处
理器组合,DSP和微处理器的组合等等。存储单元801可以是存储器。通信单元803是一种该
装置的接口电路,用于从其它装置接收信号。例如,当该装置以芯片的方式实现时,该通信
单元803是该芯片用于从其它芯片或装置接收信号的接口电路,或者,是该芯片用于向其它
芯片或装置发送信号的接口电路。
803例如可以是收发器。可选的,该收发器可以包括射频电路,该存储单元例如可以是存储
器。例如,当通信装置800为用于终端设备的芯片时,该处理单元802例如可以是处理器,该
通信单元803例如可以是输入/输出接口、管脚或电路等。该处理单元802可执行存储单元存
储的计算机执行指令,可选地,该存储单元为该芯片内的存储单元,如寄存器、缓存等,该存
储单元还可以是该终端设备内的位于该芯片外部的存储单元,如只读存储器(read‑only
memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器
(random access memory,RAM)等。
包括请求接入的切片的选择信息;接收单元,用于在所述终端设备完成一级认证和建立安
全上下文后,接收来自所述移动性管理网元的第一注册接受消息,所述第一注册接受消息
包括允许接入的切片的选择信息,所述允许接入的切片的选择信息包括以下信息中的至少
一个:所述请求接入的切片中已经完成二级认证的切片的选择信息、所述请求接入的切片
中不需要进行二级认证的切片的选择信息、网络分配的不需要进行二级认证的切片的选择
信息;接收单元,还用于在所述请求接入的切片中需要进行二级认证且未完成二级认证的
第一切片二级认证通过后,接收来自所述移动性管理网元的更新的允许接入的切片的选择
信息,所述更新的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的
与所述第一切片的选择信息对应的切片的选择信息。
请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证所需的预估
时间、第一切片认证指示、所述请求接入的切片中不需要进行二级认证的切片、所述请求接
入的切片中被拒绝接入的切片的选择信息、至少一个临时标识;其中,所述第一切片认证指
示用于指示存在未完成二级认证的切片,一个临时标识对应完成二级认证的切片中的一个
或多个切片的选择信息。
片的选择信息的顺序指示了所述切片选择信息列表中的切片进行二级认证的优先级。
切片进行二级认证;接收单元,具体用于接收来自所述移动性管理网元的第二消息,所述第
二消息包括所述更新的允许接入的切片的选择信息。
证指示用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进
行二级认证。
受消息。
选择信息、更新后的所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的
选择信息、至少一个临时标识;其中,一个临时标识对应完成二级认证的切片中的一个或多
个切片的选择信息。
消息包括请求接入的切片的选择信息,所述请求接入的切片为不需要进行二级认证的切
片;接收单元,用于在所述终端设备完成一级认证和建立安全上下文后,接收来自所述移动
性管理网元的第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信
息,所述允许接入的切片的选择信息包括所述请求接入的切片中的允许接入的切片的选择
信息和/或网络分配的不需要进行二级认证的切片的选择信息;所述发送单元,还用于向所
述移动性管理网元发送第一消息,所述第一消息包括需要进行二级认证的切片的选择信
息,所述第一消息用于请求对所述需要进行二级认证的切片进行切片认证;所述接收单元
还用于在所述需要进行二级认证的切片中的第一切片二级认证通过后,接收来自所述移动
性管理网元的第二消息,所述第二消息包括更新的允许接入的切片的选择信息,所述更新
的允许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切
片的选择信息对应的切片的选择信息。
选择信息列表中的切片进行二级认证的优先级。
受消息。
为一种实现方式,该通信单元903可以包括接收单元和发送单元。处理单元902用于对通信
装置900的动作进行控制管理。通信单元903用于支持通信装置900与其他网络实体的通信。
通信装置900还可以包括存储单元901,用于存储通信装置900的程序代码和数据。
实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理
器也可以是实现计算功能的组合,例如包括一个或多个微处理器组合,DSP和微处理器的组
合等等。存储单元901可以是存储器。通信单元903是一种该装置的接口电路,用于从其它装
置接收信号。例如,当该装置以芯片的方式实现时,该通信单元903是该芯片用于从其它芯
片或装置接收信号的接口电路,或者,是该芯片用于向其它芯片或装置发送信号的接口电
路。
处理器,该通信单元903例如可以是收发器。可选的,该收发器可以包括射频电路,该存储单
元例如可以是存储器。例如,当通信装置900为用于移动性管理网元的芯片时,该处理单元
902例如可以是处理器,该通信单元903例如可以是输入/输出接口、管脚或电路等。该处理
单元902可执行存储单元存储的计算机执行指令,可选地,该存储单元为该芯片内的存储单
元,如寄存器、缓存等,该存储单元还可以是该移动性管理网元内的位于该芯片外部的存储
单元,如ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM等。
消息包括请求接入的切片的选择信息;处理单元,用于在所述终端设备完成一级认证和建
立安全上下文后,所述移动性管理网元判断所述请求接入的切片是否需要进行二级认证;
发送单元,用于向所述终端设备发送第一注册接受消息,所述第一注册接受消息包括允许
接入的切片的选择信息,所述允许接入的切片的选择信息包括以下信息中的至少一个:所
述请求接入的切片中已经完成二级认证的切片的选择信息、所述请求接入的切片中不需要
进行二级认证的切片的选择信息、网络分配的不需要进行二级认证的切片的选择信息;发
送单元,还用于在所述请求接入的切片中需要进行二级认证且未完成二级认证的第一切片
二级认证通过后,向所述终端设备发送更新的允许接入的切片的选择信息,所述更新的允
许接入的切片的选择信息包括所述第一切片的选择信息或网络分配的与所述第一切片的
选择信息对应的切片的选择信息。
请求接入的切片中需要进行二级认证且未完成二级认证的切片进行二级认证所需的预估
时间、第一切片认证指示、所述请求接入的切片中不需要进行二级认证的切片的选择信息、
所述请求接入的切片中被拒绝接入的切片的选择信息、至少一个临时标识;其中,所述第一
切片认证指示用于指示存在未完成二级认证的切片,一个临时标识对应完成二级认证的一
个或多个切片的选择信息。
片的选择信息的顺序指示了所述切片选择信息列表中的切片进行二级认证的优先级。
切片进行二级认证;发送单元,用于向所述终端设备发送第二消息,所述第二消息包括所述
更新的允许接入的切片的选择信息。
证指示用于请求对所述请求接入的切片中需要进行二级认证且未完成二级认证的切片进
行二级认证。
受消息。
选择信息、更新后的所述请求接入的切片中需要进行二级认证且未完成二级认证的切片的
选择信息、至少一个临时标识;其中,一个临时标识对应完成二级认证的切片中的一个或多
个切片的选择信息。
消息包括请求接入的切片的选择信息,所述请求接入的切片为不需要进行二级认证的切
片;发送单元,用于在所述终端设备完成一级认证和建立安全上下文后,向所述终端设备发
送第一注册接受消息,所述第一注册接受消息包括允许接入的切片的选择信息,所述允许
接入的切片的选择信息包括所述请求接入的切片中的允许接入的切片的选择信息和/或网
络分配的不需要进行二级认证的切片的选择信息;接收单元,还用于接收来自所述终端设
备的第一消息,所述第一消息包括需要进行二级认证的切片的选择信息,所述第一消息用
于请求对所述需要进行二级认证的切片进行切片认证;发送单元,还用于在所述需要进行
二级认证的切片中的第一切片二级认证通过后,向所述终端设备发送第二消息,所述第二
消息包括更新的允许接入的切片的选择信息,所述更新的允许接入的切片的选择信息包括
所述第一切片的选择信息或网络分配的与所述第一切片的选择信息对应的切片的选择信
息。
选择信息列表中的切片进行二级认证的优先级。
受消息。
可选的,通信装置1000还可以包括通信线路1004。其中,通信接口1003、处理器1002以及存
储器1001可以通过通信线路1004相互连接;通信线路1004可以是外设部件互连标准
(peripheral component interconnect,简称PCI)总线或扩展工业标准结构
(extendedindustry standard architecture,简称EISA)总线等。所述通信线路1004可以
分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示
仅有一根总线或一种类型的总线。
(electrically erasable programmable read‑only memory,EEPROM)、只读光盘(compact
disc read‑only memory,CD‑ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光
碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或
存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但
不限于此。存储器可以是独立存在,通过通信线路1004与处理器相连接。存储器也可以和处
理器集成在一起。
上述实施例提供的终端设备的注册方法。
关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时
存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“至
少一个”是指一个或者多个。至少两个是指两个或者多个。“至少一个”、“任意一个”或其类
似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,
或c中的至少一项(个、种),可以表示:a,b,c,a‑b,a‑c,b‑c,或a‑b‑c,其中a,b,c可以是单
个,也可以是多个。“多个”是指两个或两个以上,其它量词与之类似。此外,对于单数形式
“a”,“an”和“the”出现的元素(element),除非上下文另有明确规定,否则其不意味着“一个
或仅一个”,而是意味着“一个或多于一个”。例如,“a device”意味着对一个或多个这样的
device。
产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或
部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计
算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质
中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机
指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字
用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或
数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者
是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以
是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘
(Solid State Disk,SSD))等。
散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通
用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微
控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处
理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的
配置来实现。
器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD‑ROM或本领域中其它任意形式的存储媒介
中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并
可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可
以设置于ASIC中。
其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一
个方框或多个方框中指定的功能的步骤。
附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修
改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不
脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技
术的范围之内,则本申请也意图包括这些改动和变型在内。