本申请涉及通信技术,尤其涉及一种会话处理方法和设备。
背景技术
随着通信技术的不断发展,第五代移动通信技术(5th-generation,5g)已经开始研究及标准化工作。在5g网络中,数据网络(datanetwork,dn)可以包含多种不同的应用,当终端设备需要接入dn网络时,终端设备会发起该dn的协议数据单元会话建立(protocoldataunitsessionestablishment)流程,以建立终端设备到dn网络的数据传输通道。
然而,在安全风险和信息隐私面临越来越多的问题时,网络信息安全显得尤为重要。现有技术的pdu会话建立流程的过程中,终端设备与dn网络的第三方认证实体之间不会进行认证,从而会造成非法用户接入dn网络的问题,对dn网络的安全性造成影响。
技术实现要素:
本申请实施例提供一种会话处理方法和设备,能够提高dn网络的安全性,节省网络资源。
第一方面,提供了一种会话处理方法,包括:会话管理功能smf实体接收协议数据单元pdu会话建立请求,所述pdu会话建立请求用于请求为终端设备建立pdu会话;所述smf实体根据参考信息,确定对所述pdu会话进行认证;所述smf实体通过网络开放功能nef实体向第三方认证实体发送认证请求。提供了一种基于控制面的pdu会话认证的方式,可以要求终端设备与dn网络的第三方认证实体进行相互认证,可以拒绝非法用户的接入,提高了dn网络的安全性;同时,节省了络资源。
结合第一方面,在第一方面的第一种实施方式中,所述参考信息包括以下的至少一种:数据网络名dnn,会话管理-网络切片选择辅助信息s-nssai,应用标识。
结合第一方面或第一方面的第一种实现方式,在第一方面的第二种实施方式中,所述pdu会话建立请求携带在第一信令中;
所述smf实体根据参考信息,确定对所述pdu会话进行认证,包括:
所述参考信息包括dnn,所述第一信令还包括所述pdu会话对应的dnn,当所述参考信息包括所述pdu会话对应的dnn时,所述smf实体确定对所述pdu会话进行认证;
或者,
所述参考信息包括应用标识,所述第一信令还包括所述pdu会话对应的应用标识,当所述参考信息包括所述pdu会话对应的应用标识时,所述smf实体确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和应用标识,所述第一信令还包括所述pdu会话对应的dnn和应用标识,当所述参考信息包括所述pdu会话对应的dnn和应用标识时,所述smf实体确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和s-nssai,所述第一信令还包括所述pdu会话对应的dnn和s-nssai,当所述参考信息包括所述pdu会话对应的dnn和s-nssai时,所述smf实体确定对所述pdu会话进行认证。
结合第一方面或第一方面的第二种实现方式,在第一方面的第三种实施方式中,所述smf实体通过nef实体向第三方认证实体发送认证请求,包括:
所述smf实体根据对应关系以及所述第一信令,获得所述第三方认证实体的标识;
所述smf实体通过所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
结合第一方面或第一方面的第三种实现方式,在第一方面的第四种实施方式中,所述smf实体根据对应关系以及所述第一信令,获得所述第三方认证实体的标识,包括:
当所述第一信令包括所述pdu会话对应的dnn时,所述smf实体根据所述对应关系以及所述pdu会话对应的dnn,获得所述第三方认证实体的标识,所述对应关系为dnn与第三方认证实体的标识之间的对应关系;
或者,
当所述第一信令包括所述pdu会话对应的应用标识时,所述smf实体根据所述对应关系以及所述pdu会话对应的应用标识,获得所述第三方认证实体的标识,所述对应关系为应用标识与第三方认证实体的标识之间的对应关系;
或者,
当所述第一信令包括所述pdu会话对应的dnn和应用标识时,所述smf实体根据所述对应关系,以及所述pdu会话对应的dnn和应用标识,获得所述第三方认证实体的标识,所述对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系;
或者,
当所述第一信令包括所述pdu会话对应的dnn和s-nssai时,所述smf实体根据所述对应关系,以及所述pdu会话对应的dnn和s-nssai,获得所述第三方认证实体的标识,所述对应关系为dnn,s-nssai以及第三方认证实体的标识三者之间的对应关系。
结合第一方面或第一方面的第一种实现方式或第二种实现方式,在第一方面的第五种实施方式中,所述pdu会话建立请求携带在第一信令中;
所述smf实体通过nef实体向第三方认证实体发送认证请求,包括:
所述第一信令还包括用户标识,所述smf实体根据所述用户标识,获得所述第三方认证实体的标识;
所述smf实体通过所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
结合第一方面或第一方面的任一种实现方式,在第一方面的第六种实施方式中,在所述smf实体通过nef实体向第三方认证实体发送认证请求之后,还包括:
所述smf实体接收所述第三方认证实体通过所述nef实体发送的认证消息,其中,所述认证消息用于请求所述终端设备发送认证参数;
所述smf实体向所述终端设备发送所述认证消息;
所述smf实体接收所述认证参数,并将所述认证参数通过所述nef实体发送给所述第三方认证实体;
所述smf实体接收所述第三方认证实体通过所述nef实体发送的认证结果;
当所述认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,所述smf实体继续执行pdu会话建立流程。
结合第一方面或第一方面的任一种实现方式,在第一方面的第七种实施方式中,所述pdu会话建立请求携带在第一信令中,所述第一信令还包括认证参数;
在所述smf实体通过nef实体向第三方认证实体发送认证请求之后,还包括:
所述smf实体接收所述第三方认证实体通过所述nef实体发送的认证结果;
当所述认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,所述smf实体继续执行pdu会话建立流程。
结合第一方面或第一方面的第六种实现方式或第七中实现方式,在第一方面的第八种实施方式中,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数;
所述方法还包括:
所述smf实体向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。
结合第一方面或第一方面的第六种实现方式或第七种实现方式或第八种实现方式,在第一方面的第九种实施方式中,所述认证参数包括以下的至少一种:
所述终端设备的证书、所述终端设备的用户名或密码、身份验证参数、安全密钥参数;
其中,所述身份验证参数用于所述第三方认证实体验证所述终端设备的身份;所述安全密钥参数用于生成所述终端设备与所述第三方认证实体之间的共享密钥。
结合第一方面或第一方面的任一种实现方式,在第一方面的第十种实施方式中,所述认证请求携带在第二信令中,所述第二信令还包括第一参数;
其中,所述第一参数包括以下的至少一种:所述pdu会话对应的dnn、所述pdu会话对应的s-nssai、所述pdu会话对应的应用标识、所述第三方认证实体的标识。
结合第一方面或第一方面的任一种实现方式,在第一方面的第十一种实施方式中,在所述smf实体根据参考信息,确定对所述pdu会话进行认证之前,还包括:
所述smf实体在所述smf实体上配置所述参考信息;
或者,
所述smf实体从统一数据管理功能udm实体上、或策略控制功能pcf实体上、或所述nef实体上获取所述参考信息。
第二方面,提供了一种会话处理方法,包括:终端设备根据参考信息,确定对协议数据单元pdu会话进行认证;所述终端设备发送信令消息,所述信令消息包括pdu会话建立请求和用户标识,所述pdu会话建立请求用于请求为所述终端设备建立所述pdu会话。提供了一种基于控制面的pdu会话认证的方式,可以要求终端设备与dn网络的第三方认证实体进行相互认证,可以拒绝非法用户的接入,提高了dn网络的安全性;同时,节省了络资源。
结合第二方面,在第二方面的第一种实施方式中,所述参考信息包括以下的至少一种:数据网络名dnn,会话管理-网络切片选择辅助信息s-nssai,应用标识。
结合第二方面或第二方面的第一种实现方式,在第二方面的第二种实施方式中,所述终端设备根据参考信息,确定对pdu会话进行认证,包括:
所述参考信息包括dnn,当所述参考信息包括所述pdu会话对应的dnn时,所述终端设备确定对所述pdu会话进行认证;
或者,
所述参考信息包括应用标识,当所述参考信息包括所述pdu会话对应的应用标识时,所述终端设备确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和应用标识,当所述参考信息包括所述pdu会话对应的dnn和应用标识时,所述终端设备确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和s-nssai,当所述参考信息包括所述pdu会话对应的dnn和s-nssai时,所述终端设备确定对所述pdu会话进行认证。
结合第二方面或第二方面的任一种实现方式,在第二方面的第三种实施方式中,所述pdu会话对应的应用标识,认证参数。
结合第二方面或第二方面的任一种实现方式,在第二方面的第四种实施方式中,在所述终端设备发送第一信令之后,还包括:
所述终端设备接收会话管理功能smf实体发送的密钥生成参数,其中,所述密钥生成参数用于所述终端设备的应用层安全建立。
第三方面,提供了一种会话处理方法,包括:选择网络开放功能nef实体从会话管理功能smf实体接收认证请求和第一参数,所述认证请求用于请求对协议数据单元pdu会话进行认证;所述nef实体根据所述第一参数,将所述认证请求发送给第三方认证实体。提供了一种基于控制面的pdu会话认证的方式,可以要求终端设备与dn网络的第三方认证实体进行相互认证,可以拒绝非法用户的接入,提高了dn网络的安全性;同时,节省了络资源。
结合第三方面,在第三方面的第一种实施方式中,所述第一参数包括以下的至少一种:所述pdu会话对应的数据网络名dnn、所述pdu会话对应的会话管理-网络切片选择辅助信息s-nssai、所述pdu会话对应的应用标识、所述第三方认证实体的标识。
结合第三方面或第三方面的第一种实现方式,在第三方面的第二种实施方式中,所述nef实体根据所述第一参数,将所述认证请求发送给第三方认证实体,包括:
所述nef实体根据所述第一参数,获得所述第三方认证实体的标识;
所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
结合第三方面或第三方面的第二种实现方式,在第三方面的第三种实施方式中,所述nef实体根据所述第一参数,获得所述第三方认证实体的标识,包括:
所述第一参数包括所述pdu会话对应的dnn,所述nef实体根据第一对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第一对应关系为dnn与第三方认证实体的标识之间的对应关系;
或者,
所述第一参数包括所述pdu会话对应的应用标识,所述nef实体根据第二对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第二对应关系为应用标识与第三方认证实体的标识之间的对应关系;
或者,
所述第一参数包括所述pdu会话对应的dnn和所述应用标识,所述nef实体根据第三对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第三对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系;
或者,
当所述第一参数包括所述pdu会话对应的dnn和s-nssai时,所述nef实体根据第五对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第五对应关系为dnn,s-nssai以及第三方认证实体的标识三者之间的对应关系。
结合第三方面或第三方面的第一种实现方式或第三方面的第二种实现方式或第三方面的第三种实现方式,在第三方面的第四种实施方式中,在所述nef实体根据所述第一参数,将所述认证请求发送给第三方认证实体之前,还包括:
所述nef实体根据参考信息,确定对所述pdu会话进行认证,所述参考信息包括以下的至少一种:dnn,s-nssai,应用标识。
结合第三方面或第三方面的第四种实现方式,在第三方面的第五种实施方式中,所述nef实体根据参考信息,确定对pdu会话进行认证,包括:
所述参考信息包括dnn,当所述参考信息包括所述第一参数中的dnn时,所述nef实体确定对所述pdu会话进行认证;
或者,
所述参考信息包括应用标识,当所述参考信息包括所述第一参数中所述应用标识时,所述nef实体确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和应用标识,当所述参考信息包括所述第一参数中dnn和应用标识时,所述nef实体确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和s-nssai,当所述参考信息包括所述第一参数中dnn和s-nssai时,所述nef实体确定对所述pdu会话进行认证。
结合第三方面或第三方面的任一种实现方式,在第三方面的第六种实施方式中,所述认证请求和所述第一参数携带在第一信令中,所述第一信令还包括所述smf实体的标识;
所述nef实体将所述认证请求发送给第三方认证实体,包括:
所述nef实体将所述认证请求和所述smf实体的标识发送给所述第三方认证实体;
或者,
所述nef实体将所述smf实体的标识转换为所述smf实体的外部标识,并将所述认证请求和所述外部标识发送给所述第三方认证实体。
结合第三方面或第三方面的任一种实现方式,在第三方面的第七种实施方式中,在所述nef实体从smf实体接收认证请求和第一参数之前,还包括:
所述nef实体接收所述第三方认证实体发送的业务注册请求,其中,所述业务注册请求用于请求所述nef实体完成与所述第三方认证实体之间的业务注册流程;
当所述业务注册流程成功时,所述nef实体生成参考信息,并向所述smf实体或策略控制功能pcf实体发送参考信息;或者,当所述业务注册流程成功时,所述nef实体向所述pcf实体发送第一消息,所述第一消息用于所述pcf实体生成参考信息和/或动态策略控制和计费pcc策略。
结合第三方面或第三方面的任一种实现方式,在第三方面的第八种实施方式中,在所述nef实体根据所述第一参数,将所述认证请求发送给第三方认证实体之前,还包括:
所述nef实体建立所述smf实体与所述第三方认证实体之间的绑定关系。
第四方面,提供了一种会话处理装置,包括:第一接收单元,用于接收协议数据单元pdu会话建立请求,所述pdu会话建立请求用于请求为终端设备建立pdu会话;确定单元,用于根据参考信息,确定对所述pdu会话进行认证;第一发送单元,用于通过网络开放功能nef实体向第三方认证实体发送认证请求。提供了一种基于控制面的pdu会话认证的方式,可以要求终端设备与dn网络的第三方认证实体进行相互认证,可以拒绝非法用户的接入,提高了dn网络的安全性;同时,节省了络资源。
结合第四方面,在第四方面的第一种实施方式中,所述参考信息包括以下的至少一种:数据网络名dnn,会话管理-网络切片选择辅助信息s-nssai,应用标识。
结合第四方面或第四方面的第一种实现方式,在第四方面的第二种实施方式中,所述pdu会话建立请求携带在第一信令中;
所述确定单元,具体用于:
所述参考信息包括dnn,所述第一信令还包括所述pdu会话对应的dnn,当所述参考信息包括所述pdu会话对应的dnn时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括应用标识,所述第一信令还包括所述pdu会话对应的应用标识,当所述参考信息包括所述pdu会话对应的应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和应用标识,所述第一信令还包括所述pdu会话对应的dnn和应用标识,当所述参考信息包括所述pdu会话对应的dnn和应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和s-nssai,所述第一信令还包括所述pdu会话对应的dnn和s-nssai,当所述参考信息包括所述pdu会话对应的dnn和s-nssai时,确定对所述pdu会话进行认证。
结合第四方面或第四方面的第二种实现方式,在第四方面的第三种实施方式中,所述第一发送单元,包括:
获取子单元,用于根据对应关系以及所述第一信令,获得所述第三方认证实体的标识;
发送子单元,用于通过所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
结合第四方面或第四方面的第三种实现方式,在第四方面的第四种实施方式中,所述获取子单元,具体用于:
当所述第一信令包括所述pdu会话对应的dnn时,根据所述对应关系以及所述pdu会话对应的dnn,获得所述第三方认证实体的标识,所述对应关系为dnn与第三方认证实体的标识之间的对应关系;
或者,
当所述第一信令包括所述pdu会话对应的应用标识时,根据所述对应关系以及所述pdu会话对应的应用标识,获得所述第三方认证实体的标识,所述对应关系为应用标识与第三方认证实体的标识之间的对应关系;
或者,
当所述第一信令包括所述pdu会话对应的dnn和应用标识时,根据所述对应关系,以及所述pdu会话对应的dnn和应用标识,获得所述第三方认证实体的标识,所述对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系;
或者,
当所述第一信令包括所述pdu会话对应的dnn和s-nssai时,所述smf实体根据所述对应关系,以及所述pdu会话对应的dnn和s-nssai,获得所述第三方认证实体的标识,所述对应关系为dnn,s-nssai以及第三方认证实体的标识三者之间的对应关系。
结合第四方面或第四方面的以上任一种实现方式,在第四方面的第五种实施方式中,所述pdu会话建立请求携带在第一信令中;
所述第一发送单元,具体用于:
所述第一信令还包括用户标识,根据所述用户标识,获得所述第三方认证实体的标识;
通过所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
结合第四方面或第四方面的以上任一种实现方式,在第四方面的第六种实施方式中,所述装置,还包括:
第二接收单元,用于在所述第一发送单元通过nef实体向第三方认证实体发送认证请求之后,接收所述第三方认证实体通过所述nef实体发送的认证消息,其中,所述认证消息用于请求所述终端设备发送认证参数;
第二发送单元,用于向所述终端设备发送所述认证消息;
第三接收单元,用于接收所述认证参数,并将所述认证参数通过所述nef实体发送给所述第三方认证实体;
第四接收单元,用于接收所述第三方认证实体通过所述nef实体发送的认证结果;
第一确认单元,用于当所述认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,继续执行pdu会话建立流程。
结合第四方面或第四方面的以上任一种实现方式,在第四方面的第七种实施方式中,所述pdu会话建立请求携带在第一信令中,所述第一信令还包括认证参数;
所述装置,还包括:
第五接收单元,在所述第一发送单元通过nef实体向第三方认证实体发送认证请求之后,接收所述第三方认证实体通过所述nef实体发送的认证结果;
第二确认单元,用于当所述认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,继续执行pdu会话建立流程。
结合第四方面或第四方面的第六种实现方式或第四方面的第七种实现方式,在第四方面的第八种实施方式中,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数;
所述装置还包括:
第三发送单元,用于向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。
结合第四方面或第四方面的第六种实现方式或第四方面的第七种实现方式或第四方面的第八种实现方式,在第四方面的第九种实施方式中,所述认证参数包括以下的至少一种:
所述终端设备的证书、所述终端设备的用户名或密码、身份验证参数、安全密钥参数;
其中,所述身份验证参数用于所述第三方认证实体验证所述终端设备的身份;所述安全密钥参数用于生成所述终端设备与所述第三方认证实体之间的共享密钥。
结合第四方面或第四方面的任一种实现方式,在第四方面的第十种实施方式中,所述认证请求携带在第二信令中,所述第二信令还包括第一参数;
其中,所述第一参数包括以下的至少一种:所述pdu会话对应的dnn、所述pdu会话对应的s-nssai、所述pdu会话对应的应用标识、所述第三方认证实体的标识。
结合第四方面或第四方面的任一种实现方式,在第四方面的第十一种实施方式中,所述装置,还包括:
配置单元,用于在所述确定单元根据参考信息,确定对所述pdu会话进行认证之前,配置所述参考信息;
或者,所述装置,还包括:
获取单元,用于在所述确定单元根据参考信息,确定对所述pdu会话进行认证之前,从统一数据管理功能udm实体上、或策略控制功能pcf实体上、或所述nef实体上获取所述参考信息。
第五方面,提供了一种会话处理装置,包括:确定单元,用于根据参考信息,确定对协议数据单元pdu会话进行认证;发送单元,用于发送信令消息,所述信令消息包括pdu会话建立请求和用户标识,所述pdu会话建立请求用于请求为终端设备建立所述pdu会话。提供了一种基于控制面的pdu会话认证的方式,可以要求终端设备与dn网络的第三方认证实体进行相互认证,可以拒绝非法用户的接入,提高了dn网络的安全性;同时,节省了络资源。
结合第五方面,在第五方面的第一种实施方式中,所述参考信息包括以下的至少一种:数据网络名dnn,会话管理-网络切片选择辅助信息s-nssai,应用标识。
结合第五方面或第五方面的第一种实现方式,在第五方面的第二种实施方式中,所述确定单元,具体用于:
所述参考信息包括dnn,当所述参考信息包括所述pdu会话对应的dnn时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括应用标识,当所述参考信息包括所述pdu会话对应的应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和应用标识,当所述参考信息包括所述pdu会话对应的dnn和应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和s-nssai,当所述参考信息包括所述pdu会话对应的dnn和s-nssai时,确定对所述pdu会话进行认证。
结合第五方面或第五方面的以上任一种实现方式,在第五方面的第三种实施方式中,所述第一信令还包括以下的至少一种:所述pdu会话对应的应用标识,认证参数。
结合第五方面或第五方面的以上任一种实现方式,在第五方面的第四种实施方式中,所述装置,还包括:
接收单元,用于在所述发送单元发送第一信令之后,接收会话管理功能smf实体发送的密钥生成参数,其中,所述密钥生成参数用于所述终端设备的应用层安全建立。
第六方面,提供了一种会话处理装置,包括:第一接收单元,用于从会话管理功能smf实体接收认证请求和第一参数,所述认证请求用于请求对协议数据单元pdu会话进行认证;第一发送单元,用于根据所述第一参数,将所述认证请求发送给第三方认证实体。提供了一种基于控制面的pdu会话认证的方式,可以要求终端设备与dn网络的第三方认证实体进行相互认证,可以拒绝非法用户的接入,提高了dn网络的安全性;同时,节省了络资源。
结合第六方面,在第六方面的第一种实施方式中,所述第一参数包括以下的至少一种:所述pdu会话对应的数据网络名dnn、所述pdu会话对应的会话管理-网络切片选择辅助信息s-nssai、所述pdu会话对应的应用标识、所述第三方认证实体的标识。
结合第六方面或第六方面的第一种实现方式,在第六方面的第二种实施方式中,所述第一发送单元,包括:
获取子单元,用于根据所述第一参数,获得所述第三方认证实体的标识;
发送子单元,用于向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
结合第六方面或第六方面的第二种实现方式,在第六方面的第三种实施方式中,所述获取子单元,具体用于:
所述第一参数包括所述pdu会话对应的dnn,根据第一对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第一对应关系为dnn与第三方认证实体的标识之间的对应关系;
或者,
所述第一参数包括所述pdu会话对应的应用标识,根据第二对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第二对应关系为应用标识与第三方认证实体的标识之间的对应关系;
或者,
所述第一参数包括所述pdu会话对应的dnn和所述应用标识,根据第三对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第三对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系;
或者
当所述第一参数包括所述pdu会话对应的dnn和s-nssai时,所述nef实体根据第五对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第五对应关系为dnn,s-nssai以及第三方认证实体的标识三者之间的对应关系。
结合第六方面或第六方面的以上任一种实现方式,在第六方面的第四种实施方式中,所述装置,还包括:
确定单元,用于在所述第一发送单元根据所述第一参数,将所述认证请求发送给第三方认证实体之前,根据参考信息,确定对所述pdu会话进行认证,所述参考信息包括以下的至少一种:dnn,s-nssai,应用标识。
结合第六方面或第六方面的以上第四种实现方式,在第六方面的第五种实施方式中,所述确定单元,具体用于:
所述参考信息包括dnn,当所述参考信息包括所述第一参数中的dnn时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括应用标识,当所述参考信息包括所述第一参数中所述应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和应用标识,当所述参考信息包括所述第一参数中dnn和应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和s-nssai,当所述参考信息包括所述第一参数中dnn和s-nssai时,确定对所述pdu会话进行认证。
结合第六方面或第六方面的以上任一实现方式,在第六方面的第六种实施方式中,所述认证请求和所述第一参数携带在第一信令中,所述第一信令还包括所述smf实体的标识;
所述第一发送单元,具体用于:
将所述认证请求和所述smf实体的标识发送给所述第三方认证实体;
或者,
将所述smf实体的标识转换为所述smf实体的外部标识,并将所述认证请求和所述外部标识发送给所述第三方认证实体。
结合第六方面或第六方面的以上任一实现方式,在第六方面的第七种实施方式中,所述装置,还包括:
第二接收单元,用于在所述第一接收单元从smf实体接收认证请求和第一参数之前,接收所述第三方认证实体发送的业务注册请求,其中,所述业务注册请求用于请求所述nef实体完成与所述第三方认证实体之间的业务注册流程;
第二发送单元,用于当所述业务注册流程成功时,生成参考信息,并向所述smf实体或策略控制功能pcf实体发送参考信息;或者,当所述业务注册流程成功时,向所述pcf实体发送第一消息,所述第一消息用于所述pcf实体生成参考信息和/或动态策略控制和计费pcc策略。
结合第六方面或第六方面的以上任一实现方式,在第六方面的第八种实施方式中,所述装置,还包括:
建立单元,用于在所述第一发送单元根据所述第一参数,将所述认证请求发送给第三方认证实体之前,建立所述smf实体与所述第三方认证实体之间的绑定关系。
第七方面,提供了一种smf实体,包括用于执行以上第一方面的任一方法各个步骤的单元或者手段(means)。
第八方面,提供了一种smf实体,包括处理器和存储器,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第一方面的任一方法。
第九方面,提供了一种smf实体,包括用于执行以上第一方面的任一方法的至少一个处理元件或芯片。
第十方面,提供了一种程序,该程序在被处理器执行时用于执行以上第一方面的任一方法。
第十一方面,提供了一种计算机可读存储介质,包括第十方面的程序。
第十二方面,提供了一种终端设备,包括用于执行以上第二方面的任一方法各个步骤的单元或者手段(means)。
第十三方面,提供了一种终端设备,包括处理器和存储器,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第二方面的任一方法。
第十四方面,提供了一种终端设备,包括用于执行以上第二方面的任一方法的至少一个处理元件或芯片。
第十五方面,提供了一种程序,该程序在被处理器执行时用于执行以上第二方面的任一方法。
第十六方面,提供了一种计算机可读存储介质,包括第十五方面的程序。
第十七方面,提供了一种nef实体,包括用于执行以上第三方面的任一方法各个步骤的单元或者手段(means)。
第十八方面,提供了一种nef实体,包括处理器和存储器,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第三方面的任一方法。
第十九方面,提供了一种nef实体,包括用于执行以上第三方面的任一方法的至少一个处理元件或芯片。
第二十方面,提供了一种程序,该程序在被处理器执行时用于执行以上第三方面的任一方法。
第二十一方面,提供了一种计算机可读存储介质,包括第二十方面的程序。
附图说明
为了更清楚地说明在一个示例中的技术方案,下面将对实施例描述中所需要使用的附图进行简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为一种网络结构图;
图2为本发明实施例提供的一种会话处理方法的流程图;
图3为本发明实施例提供的又一种会话处理方法的流程图;
图4为本发明实施例提供的另一种会话处理方法的流程图;
图5为本发明实施例提供的再一种会话处理方法的信令图;
图6为本发明实施例提供的还一种会话处理方法的信令图;
图7为本发明实施例提供的其他一种会话处理方法的信令图,
图8为本发明实施例提供的又其他一种会话处理方法的信令图;
图9为本发明实施例提供的另外的其他一种会话处理方法的信令图;
图10为本发明实施例提供的又有的其他一种会话处理方法的信令图;
图11为本发明实施例提供的一种会话处理装置的结构示意图;
图12为本发明实施例提供的又一种会话处理装置的结构示意图;
图13为本发明实施例提供的另一种会话处理装置的结构示意图;
图14为本发明实施例提供的sfm实体的结构示意图;
图15为本发明实施例提供的终端设备的结构示意图;
图16为本发明实施例提供的nef实体的结构示意图。
具体实施方式
下面将结合在一个示例中的附图,对在一个示例中的技术方案进行描述。图1提供了一种网络结构,该网络结构可以应用于下一代通信系统。下面对该网络结构中的各个组成部分进行简单介绍如下:
移动通信技术的更新换代,5g技术已经开始研究及标准化工作,5g技术可以被用于移动宽带、多媒体、机器类通信(machinetypecommunication,mtc)、工业控制、和智能交通系统(intelligenttransportationsystem,its)等领域中。为了满足广泛变化的业务需求,5g网络需要以灵活的方式被构建。其中,一种灵活的构建5g的方式为,进行网络功能分离,即将控制面(controlplane,cp)和用户面(userplane,up)功能分离,将cp中的移动性管理(mobilitymanagement,mm)和会话管理(sessionmanagement,sm)功能分离。可以采用网络切片(networkslice)技术,实现网络功能分离。
网络切片技术可以将一个物理网络切割成多个虚拟的端到端的虚拟网络;其中,分割出的每个虚拟网络之间,包括虚拟网络内的设备、接入技术、传输路径和核心网等是逻辑独立的。每个网络切片由一个独立的网络功能或功能组合实例化构成,每个网络切片具备不同的功能特点,面向不同的需求和服务。每个网络切片相互之间的分离,可以使得不同用户或用户组可以根据不同应用场景和需求,去灵活的、动态的定制网络能力。
一个网络切片包括控制面功能(controlplanefunction,cpf)实体和用户面功能(userplanefunction,upf)实体。其中,cpf实体包括接入和移动管理功能(accessandmobilitymanagementfunction,amf)实体,以及会话管理功能(sessionmanagementfunction,smf)实体。cpf实体主要完成终端设备的接入鉴权、安全加密、位置注册等功能,完成用户面传输路径的建立、释放和更改等功能;upf实体主要完成用户面数据的路由转发等功能。
终端设备:可以包括各种具有通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,以及各种形式的终端,例如,移动台(mobilestation,ms),终端(terminal),用户设备(userequipment,ue),软终端等等,举例来说有水表、电表、传感器等。
无线接入网(radioaccessnetwork,ran):由多个5g-ran节点组成的网络,实现无线物理层功能、资源调度和无线资源管理、无线接入控制以及移动性管理功能。例如,5g-ran通过用户面接口n3和upf相连,用于传送终端设备的数据;5g-ran通过控制面接口n2和amf建立控制面信令连接,用于实现无线接入承载控制等功能。
认证服务功能(authenticationserverfunction,ausf)实体:用于负责保证终端设备和5g网络之间的安全认证。
amf实体:负责移动性管理和接入管理等,用于实现移动性管理实体(mobilitymanagemententity,mme)功能中除会话管理之外的其它功能。例如,负责维护和管理终端的状态信息,负责终端设备的认证,选择网络切片,选择smf实体。
smf实体:为终端设备建立会话,分配会话标识(identity,id),管理或终止会话;选择用户面功能(userplanefunction,upf)实体;选择网络开放功能(networkexposurefunction,nef)实体。
nef实体:负责连接smf实体与外部dn网络,可以包括第三方认证实体。
upf实体:提供会话和承载管理,ip地址分配等功能;例如,负责对终端设备的数据报文过滤、数据传输/转发、速率控制、生成计费信息等。
统一数据管理功能(unifieddatamanagement,udm)实体:为网络实体分配参考信息,例如,为smf实体或nef实体分配参考信息。
策略控制功能(policycontrolfunction,pcf)实体:为网络实体分配参考信息,例如,为smf实体或nef实体分配参考信息。
数据网络(datanetwork,dn):提供外部数据网络服务。
第三方认证实体:外部数据网络的安全认证和授权功能实体,可以用于对用户进行安全认证和授权检查。例如,第三方认证实体可以为dn设备,dn设备可以为dn-aaa服务器,af,af-aaa,应用服务器(application-server),application-server-aaa的任意一种。
如图1所示,上述各个组成部分通过下一代网路架构下的各个接口进行通信,例如,终端设备与amf实体可以通过n1接口进行通信。当终端设备需要接入网络时,终端设备会发起pdu会话建立请求,去进行pdu会话建立流程;在终端设备会发起pdu会话建立请求之后,在建立pdu会话时,可以实施本申请的各方案。
需要指出的是,本申请实施例中涉及的名词或术语可以相互参考,不再赘述
如图2所示,本发明实施例提供的一种会话处理方法,该方法由smf实体来执行,该方法具体如下所述。
201、smf实体接收pdu会话建立请求,所述pdu会话建立请求用于请求为终端设备建立pdu会话。
其中,所述pdu会话建立请求携带在第一信令中。
示例性地,终端设备向amf实体发送第一信令,第一信令中携带有上述pdu会话建立请求,amf实体将第一信令中的pdu会话建立请求发送给smf实体。具体地,amf实体在接收到pdu会话建立请求之后,amf实体采用现有技术的方式选择一个合适的smf实体,即步骤201中的smf实体;然后,amf实体向选择的smf实体发送该pdu会话建立请求,例如,amf实体可以通过n11接口向选择出的smf实体发送第一信令。
其中,该第一信令还可以包括pdu会话对应的dnn、pdu会话对应的会话管理-网络切片选择辅助信息(sessionmanagement-networksliceselectionassistanceinformation,s-nssai)、pdu会话标识(pdusessionid)、应用标识。pdu会话对应的dnn指的是该pdu会话用于传输dnn所指示的dn的数据。pdu会话对应的s-nssai,指的是该pdu会话所对应的切片的信息,即该会话是通过该切片的资源建立的。其中,切片可以是基于云计算、虚拟化、软件定义网络、分布式云架构等几大技术群,通过上层统一的编排让网络具备管理、协同的能力,从而实现基于一个通用的物理网络基础架构平台,能够同时支持多个逻辑网络的功能。一个切片可以提供相同的业务类型,或,提供给一个租户(tenant)使用,例如,车联网是一个dn,可以将一个或多个切片分配给该车联网,为该车联网提供服务。运营商网络为每一个切片分配一个s-nssai。
其中,pdu会话建立请求用于请求为该终端设备建立pdu会话,可以携带pdu类型(pdutype)、业务和会话连续性模式(serviceandsessioncontinuitymode,sscmode)。该pdu类型可以用于指示pdu会话是网际协议版本4(internetprotocolversion4,ipv4)还是网际协议版本6(internetprotocolversion4,ipv6);该业务和会话连续性模式可以用于指示pdu会话的业务和会话连续性模式;例如,sscmode1用于指示ip地址的锚点不变,支持业务连续性;sscmode2用于指示ip地址的锚点可变,可以先释放旧的会话,然后通知终端设备建立一个新的会话;sscmode3用于指示为终端设备建立一个新的会话之后,然后释放旧的会话。
202、所述smf实体根据参考信息,确定对所述pdu会话进行认证。
其中,参考信息可以包括以下的至少一种:dnn,s-nssai,应用标识,至少一个终端设备的标识。
需要说明的是,步骤202中涉及的对pdu会话进行认证可以是对pdu会话进行第三方认证,其中,第三方认证指的是终端设备与第三方认证实体之间的认证。一个示例中,smf实体根据参考信息,确定对pdu会话进行第三方认证,其中,第三方认证指的是终端设备与第三方认证实体之间的认证。可选地,第三方认证指的是终端设备用户与第三方认证实体之间的认证。
例如,应用标识为某一个服务的标识,例如服务a的标识。
203、所述smf实体通过nef实体向第三方认证实体发送认证请求。
在一个示例中,smf实体向nef实体发送认证请求,然后nef实体向第三方认证实体发送该认证请求。
其中,步骤202可以采用如下方式实现:
方式一、所述参考信息包括dnn,所述第一信令还包括所述pdu会话对应的dnn,当所述参考信息包括所述pdu会话对应的dnn时,所述smf实体确定对所述pdu会话进行认证。
例如,假设amf实体向smf实体发送第一信令,且该第一信令中携带有pdu会话建立请求,以及pdu会话对应的dnn(例如,dnn2);参考信息包括了至少一个dnn(例如,dnn1、dnn2、和dnn3),那么smf实体判断参考信息中是否包含第一信令中携带pdu会话对应的dnn,若是,则smf实体确定对pdu会话进行认证。smf实体还可以确定第一信令中dnn对应的第三方认证实体是当前要与终端设备进行认证的第三方认证实体。
方式二、所述参考信息包括应用标识,所述第一信令还包括所述pdu会话对应的应用标识,当所述参考信息包括所述pdu会话对应的应用标识时,所述smf实体确定对所述pdu会话进行认证。
例如,amf实体向smf实体发送第一信令,第一信令携带有pdu会话建立请求,以及pdu会话对应的应用标识(例如,应用标识1);在参考信息中包括了至少一个应用标识(例如,应用标识1、应用标识2、和应用标识3),然后smf实体判断参考信息是否包含第一信令中携带的应用标识,若参考信息包含第一信令中的应用标识,则smf实体确定对pdu会话进行认证,进一步地,smf实体还可以确定第一信令中应用标识对应的第三方认证实体是与终端设备进行认证的第三方认证实体。
方式三、所述参考信息包括dnn和应用标识,所述第一信令还包括所述pdu会话对应的dnn和应用标识,当所述参考信息包括所述pdu会话对应的dnn和应用标识时,所述smf实体确定对所述pdu会话进行认证。
例如,amf实体向smf实体发送第一信令,第一信令携带有pdu会话建立请求,以及pdu会话对应的dnn和应用标识(例如,dnn1和应用标识1);参考信息包括多个标识组合,每一个标识组合包括一个dnn和一个应用标识(例如,dnn1和应用标识1的组合,dnn2和应用标识2的组合);然后,smf实体判断参考信息的标识组合中,是否包含第一信令中携带的dnn和应用标识,若参考信息的标识组合包含第一信令中携带的dnn和应用标识,则smf实体确定对pdu会话进行认证,进一步地,smf实体还可以确定第一信令中dnn和应用标识对应的第三方认证实体是与终端设备进行认证的第三方认证实体。
方式四、所述参考信息包括dnn和s-nssai,所述第一信令还包括所述pdu会话对应的dnn和s-nssai,当所述参考信息包括所述pdu会话对应的dnn和s-nssai时,所述smf实体确定对所述pdu会话进行认证。
例如,amf实体向smf实体发送第一信令,第一信令携带有pdu会话建立请求,以及pdu会话对应的dnn和s-nssai(例如,dnn1和s-nssai1);参考信息中包括多个标识组合,每一个标识组合包括一个dnn和一个s-nssai(例如,dnn1和s-nssai1的组合,dnn2和s-nssai2的组合);然后,smf实体判断参考信息的标识组合是否包含第一信令携带的dnn和s-nssai,若参考信息的标识组合包含第一信令携带的dnn和s-nssaismf实体,则smf实体确定对pdu会话进行认证,进一步地,smf实体可以确定第一信令中dnn和s-nssai对应的第三方认证实体是与终端设备进行认证的第三方认证实体。
方式五、所述参考信息包括至少一个终端设备的标识,所述第一信令还包括所述终端设备的标识,当所述参考信息包括所述终端设备的标识时,所述smf实体确定对所述pdu会话进行认证。即所述参考信息是终端设备的sm上下文或者sm策略的一部分。
例如,参考信息包括至少一个终端设备的标识,这些终端设备是smf实体确定进行pdu会话认证的终端设备;第一信令携带有pdu会话建立请求,以及发送该pdu会话建立请求的终端设备的标识;然后,smf实体判断参考信息中是否包含第一信令中的终端设备的标识,若是,则smf实体确定对pdu会话进行认证。
此外,步骤202不限于上述五种实现方式,例如,还可以仅根据s-nssai或应用标识来实现,实现方式与上述类似。
例如,amf实体向smf实体发送第一信令,第一信令携带有pdu会话建立请求,以及pdu会话对应的s-nssai(例如,s-nssai1);在参考信息中包括了至少一个s-nssai(例如,s-nssai1和s-nssai2),然后,smf实体判断参考信息中是否包含第一信令中携带的s-nssai,若参考信息中包含第一信令中的dnn,则smf实体确定对pdu会话进行认证,进一步还可以确定第一信令中s-nssai对应的第三方认证实体是与终端设备进行认证的第三方认证实体。
再例如,amf实体向smf实体发送第一信令,第一信令携带有pdu会话建立请求,以及pdu会话对应的s-nssai和应用标识(例如,s-nssai1和应用标识1的组合);参考信息中包括多个标识组合,每一个标识组合包括一个s-nssai和一个应用标识(例如,s-nssai1和应用标识1的组合,s-nssai2和应用标识2的组合);然后,smf实体判断参考信息的标识组合是否包含第一信令中携带的s-nssai和应用标识对应的标识组合,若是,则smf实体确定对pdu会话进行认证,进一步地,smf实体还可以确定第一信令中s-nssai和应用标识对应的第三方认证实体是与终端设备进行认证的第三方认证实体。
再例如,amf实体向smf实体发送第一信令,第一信令携带有pdu会话建立请求,以及pdu会话对应的三个标识,这三个标识分别为dnn、s-nssai和应用标识(例如,dd1、s-nssai1和应用标识1);参考信息包括多个标识组合,每一个标识组合包括一个dnn、一个s-nssai和一个应用标识(例如,dnn1、s-nssai1和应用标识1的三者组合,dd2、s-nssai2和应用标识2的三者组合);然后,smf实体判断参考信息中的标识组合是否包含第一信令中携带的三个标识对应的标识组合,若是,则smf实体确定对pdu会话进行认证,进一步地,smf实体还可以确定第一信令中的三方标识对应的第三方认证实体是与终端设备进行认证的第三方认证实体。
再例如,参考信息包括dnn、s-nssai和应用标识中的至少一种,并且参考信息还包括至少一个终端设备的标识;对应的,第一信令除了携带有pdu会话建立请求之外,还需要携带pdu会话对应的dnn、s-nssai和应用标识中的至少一种,还携带发送pdu会话建立请求的终端设备的标识。具体可以参考上述类似的方式实现,不再赘述。
其中,步骤203可以采用两种不同的方式实现:
步骤203的方式一,步骤203包括2031和2032。
2031、所述smf实体根据对应关系以及所述第一信令,获得所述第三方认证实体的标识。
一个示例中,在smf实体向nef实体发送认证请求之前,smf实体确定接收该认证请求的第三方认证实体的标识。
其中,第三方认证实体的标识可以为第三方认证实体的名字,或者第三方认证实体的id,或者第三方认证实体的地址信息,例如,ip地址。
其中,步骤2031可以采用如下方式实现:
步骤2031的方式一、当所述第一信令包括所述第三方认证实体pdu会话对应的dnn时,所述smf实体根据所述对应关系以及所述pdu会话第三方认证实体对应的dnn,获得所述第三方认证实体的标识。
其中,所述对应关系为dnn与第三方认证实体的标识之间的对应关系。例如,dnn与第三方认证实体的标识之间的对应关系可以为:dnn1与第三方认证实体1对应,dnn2与第三方认证实体2对应。
在一个示例中,amf实体向smf实体发送第一信令,该第一信令携带有pdu会话建立请求,以及pdu会话对应的dnn;smf实体接收该第一信令后,根据dnn与第三方认证实体的标识之间的对应关系,以及该第一信令中的dnn,可以获得该第三方认证实体的标识。
步骤2031的方式二、当所述第一信令包括所述pdu会话对应的应用标识时,所述smf实体根据所述对应关系以及所述pdu会话对应的应用标识,获得所述第三方认证实体的标识。
其中,所述对应关系为应用标识与第三方认证实体的标识之间的对应关系。例如,应用标识与第三方认证实体的标识之间的对应关系可以为:应用标识1与第三方认证实体1对应,应用标识2与第三方认证实体2对应。
在一个示例中,amf实体向smf实体发送第一信令,在该第一信令中携带有pdu会话建立请求,以及pdu会话对应的应用标识;smf实体接收该第一信令,然后,smf实体根据应用标识与第三方认证实体的标识之间的对应关系,以及第一信令中的应用标识,获得该第三方认证实体的标识。
步骤2031的方式三、当所述第一信令包括所述pdu会话对应的dnn和应用标识时,所述smf实体根据所述对应关系,以及所述pdu会话对应的dnn和应用标识,获得所述第三方认证实体的标识。
其中,所述对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系。例如,dnn,应用标识以及第三方认证实体的标识三者之间的对应关系可以为:dnn1+应用标识1,与第三方认证实体1对应;dnn1+应用标识2,与第三方认证实体2对应;dnn2+应用标识1,与第三方认证实体2对应。
例如,amf实体向smf实体发送第一信令,在第一信令中携带有pdu会话建立请求,以及pdu会话对应的dnn和应用标识;smf实体接收该第一信令,然后,smf实体根据dnn、应用标识以及第三方认证实体的标识三者之间的对应关系,以及第一信令中的dnn和应用标识,获得该第三方认证实体的标识。
步骤2031的方式四、当所述第一信令包括所述pdu会话对应的dnn和s-nssai时,所述smf实体根据所述对应关系,以及所述pdu会话对应的dnn和s-nssai,获得所述第三方认证实体的标识,所述对应关系为dnn,s-nssai以及第三方认证实体的标识三者之间的对应关系。
2032、所述smf实体通过所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
在一个示例中,smf实体将第三方认证实体的标识和认证请求发送给nef实体,nef实体向第三方认证实体的标识所指示的第三方认证实体发送该认证请求。
步骤203的方式二、所述第一信令还包括用户标识,所述smf实体根据所述用户标识,获得所述第三方认证实体的标识;所述smf实体通过所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
一个示例中,用户标识的域名,为第三方认证实体的标识。
在一个示例中,在执行步骤203的时候,可以以本方式提供的方法进行实施。amf实体向smf实体发送第一信令,在该第一信令中携带有pdu会话建立请求,以及用户标识。然后smf实体可以根据用户标识,获得第三方认证实体的标识。然后,smf实体将第三方认证实体的标识和认证请求发送给nef实体,nef实体向第三方认证实体的标识所指示的第三方认证实体发送该认证请求。
采用上述实施例提供的方法,smf实体接收pdu会话建立请求,pdu会话建立请求用于请求为终端设备建立pdu会话;smf实体根据参考信息确定对pdu会话进行认证之后,通过nef实体向第三方认证实体发送认证请求。
采用上述实施例提供的方法,smf实体接收pdu会话建立请求,pdu会话建立请求用于请求为终端设备建立pdu会话;smf实体根据参考信息确定对pdu会话进行认证之后,通过nef实体向第三方认证实体发送认证请求。提供了一种基于控制面的pdu会话认证的方式,可以在smf实体上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn网络的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,数据网络(datanetwork,dn)可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
可选地,在上述实施例的第一种实施场景下,上述方法在步骤203之后,还包括步骤204。
204、smf实体向终端设备发送用于获取用户标识请求的消息;smf实体接收用户标识。
在一个示例中,在步骤203之后,smf实体通过amf实体向终端设备发送用于获取用户标识请求的消息;终端设备接收到用于获取用户标识请求的消息之后,通过amf实体向smf实体发送用户标识。
可选地,在上述实施例的第一种实施场景或第二种实施场景下,上述方法在步骤203之后,还包括步骤205至步骤2010。
205、所述smf实体接收所述第三方认证实体通过所述nef实体发送的认证消息,其中,所述认证消息用于请求所述终端设备发送认证参数。
所述认证参数包括以下的至少一种:所述终端设备的证书、所述终端设备的用户名或密码、身份验证参数、安全密钥参数;其中,所述身份验证参数用于所述第三方认证实体验证所述终端设备的身份;所述安全密钥参数用于生成所述终端设备与所述第三方认证实体之间的共享密钥。
在一个示例中,在步骤203的nef实体向第三方认证实体发送认证请求之后,第三方认证时实体接收到认证请求之后,第三方认证实体会生成认证消息,该认证消息用于请求终端设备提供认证参数;然后,第三方认证实体将该认证消息发送给nef实体;然后,由nef实体将该认证消息发送给smf实体。
206、所述smf实体向所述终端设备发送所述认证消息。
在一个示例中,在步骤205之后,smf实体将接收到的认证消息,发送给amf实体;然后,amf实体将认证消息发送给终端设备。终端设备在接收到认证消息之后,终端设备通过amf实体向smf实体返回认证参数。
207、所述smf实体接收所述认证参数,并将所述认证参数通过所述nef实体发送给所述第三方认证实体。
在一个示例中,在步骤206之后,终端设备将认证参数发送给amf实体;amf实体将认证参数发送给smf实体;然后smf实体接收到该认证参数之后,smf实体将该认证参数发送给nef实体;由nef实体将该认证参数发送给第三方认证实体。
然后,第三方认证实体会根据该认证参数,对终端设备进行认证,生成认证结果;认证结果指示终端设备与第三方认证实体之间的认证是否成功。
然后,第三方认证实体会将生成的认证结果发送给nef实体,nef实体将认证结果发送给smf实体。可选的,第三方认证实体会向nef实体发送认证反馈消息,上述认证结果携带在该认证反馈消息中,该认证反馈消息还包括了密钥生成参数;然后nef实体上述认证反馈消息发送给smf实体;其中,密钥生成参数用于终端设备与第三方认证实体之间的应用层安全建立。
208、所述smf实体接收所述第三方认证实体通过所述nef实体发送的认证结果。其中,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数。
在一个示例中,在步骤207之后,smf实体会接收到第三方认证实体生成的上述认证结果。可选的,smf实体接收到上述认证反馈消息。
209、当所述认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,所述smf实体继续执行pdu会话建立流程。
在一个示例中,在步骤208之后,smf实体接收到认证结果之后,smf实体若确定该认证结果指示了终端设备与第三方认证实体之间的认证成功时,那么smf实体就继续执行pdu会话建立流程。
在步骤208之后,还可以包括步骤2010:
2010、所述smf实体向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。
在一个示例中,在步骤208之后,在smf实体接收到上述认证反馈消息时,其中,上述认证反馈消息携带了认证结果和密钥生成参数,smf实体可以向amf实体发送该密钥生成参数;然后amf实体向终端设备发送该密钥生成参数。其中,步骤209和步骤2010可以同时进行,也可以不同时进行,本申请不做限定。
可选的,smf实体可以将上述认证结果和上述密钥生成参数一起发送给amf实体,然后amf实体向终端设备发送上述认证结果和上述密钥生成参数。其中,只有在认证结果指示出终端设备与第三方认证实体之间的认证成功的时候,终端设备才会根据上述密钥生成参数去进行应用层安全建立。
在一个示例中,上述密钥生成参数可以用于终端设备与第三方认证实体之间的传输层安全(transportlayersecurity,tls)通道的建立。
在一个示例中,终端设备可以直接采用上述密钥生成参数,进行终端设备与第三方认证实体之间的应用层安全建立;或者,终端设备也可以根据上述密钥生成参数,获取到另一个密钥生成参数,终端设备采用该另一个密钥生成参数进行终端设备与第三方认证实体之间的应用层安全建立。
可选地,在上述实施例的第一种实施场景或第二种实施场景下,所述pdu会话建立请求包括认证参数,上述方法在步骤203之后,还包括步骤2011至步骤2013。
2011、所述smf实体接收所述第三方认证实体通过所述nef实体发送的认证结果。
所述认证参数包括以下的至少一种:
所述终端设备的证书、所述终端设备的用户名或密码、身份验证参数、安全密钥参数;
其中,所述身份验证参数用于所述第三方认证实体验证所述终端设备的身份;所述安全密钥参数用于生成所述终端设备与所述第三方认证实体之间的共享密钥。
在一个示例中,在步骤201中,终端设备向amf实体发送信令,在这个信令中携带有pdu会话建立请求,在这个信令中还包括认证参数。一个示例中,终端设备向amf实体发送信令,在这个信令中携带有pdu会话建立请求和认证参数。或者,一个示例中,终端设备向amf实体发送信令,在这个信令中携带有pdu会话建立请求,该pdu会话建立请求包括了认证参数。
然后,amf实体向smf实体发送一个第一信令,在这个第一信令中,携带有pdu会话建立请求,在这个信令中还包括认证参数。一个示例中,amf实体发出的第一信令中包括pdu会话建立请求和认证参数。或者,一个示例中,amf实体发出的第一信令中包括pdu会话建立请求,该pdu会话建立请求包括了认证参数。
然后,smf实体向nef实体发送认证请求,此时,该认证请求中包括上述认证参数;nef实体将包括了上述认证参数的认证请求发送给第三方认证实体。那么在步骤203之后,第三方认证实体就可以根据认证请求中的认证参数,对终端设备进行认证,生成认证结果;认证结果指示终端设备与第三方认证实体之间的认证是否成功。
然后,第三方认证实体会将生成的认证结果发送给nef实体,nef实体将认证结果发送给smf实体。可选的,第三方认证实体会向nef实体发送认证反馈消息,上述认证结果携带在该认证反馈消息中,该认证反馈消息还包括了密钥生成参数;然后,nef实体上述认证反馈消息发送给smf实体;其中,密钥生成参数用于终端设备与第三方认证实体之间的应用层安全建立。
2012、当所述认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,所述smf实体继续执行pdu会话建立流程。
在一个示例中,在步骤2011之后,smf实体若确定该认证结果指示了终端设备与第三方认证实体之间的认证成功时,那么smf实体就继续执行pdu会话建立流程。
在步骤2011之后,还可以包括步骤2013:
2013、所述smf实体向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。
在一个示例中,在步骤208之后,在smf实体接收到上述认证反馈消息时,其中,上述认证反馈消息携带了认证结果和密钥生成参数,smf实体可以向amf实体发送该密钥生成参数;然后amf实体向终端设备发送该密钥生成参数。其中,步骤2012和步骤2013可以同时进行,也可以不同时进行,本申请不做限定。
可选的,smf实体可以将上述认证结果和上述密钥生成参数一起发送给amf实体,然后amf实体向终端设备发送上述认证结果和上述密钥生成参数。其中,只有在认证结果指示出终端设备与第三方认证实体之间的认证成功的时候,终端设备才会根据上述密钥生成参数去进行应用层安全建立。
可选地,结合上述第一种实施场景或上述第二种实施场景或上述第三种实施场景或上述第四种实施场景,在步骤202之前,还包括步骤2014。
2014、所述smf实体在所述smf实体上配置所述参考信息;或者,所述smf实体从udm实体上、或pcf实体上、或所述nef实体上获取所述参考信息。
在一个示例中,参考信息可以被smf实体在smf实体上进行配置,或者,参考信息可以被配置在udm实体、或pcf实体上、或nef实体上。
可选地,结合上述第一种实施场景或上述第二种实施场景或上述第三种实施场景或上述第四种场景或第五种实施场景,所述认证请求携带在第二信令中,所述第二信令还包括第一参数;
其中,所述第一参数包括以下的至少一种:所述pdu会话对应的dnn、所述pdu会话对应的s-nssai、所述pdu会话对应的应用标识、所述第三方认证实体的标识。
在一个示例中,smf实体向nef实体发送第二信令,第二信令中包括了上述认证请求和上述第一参数。可选的,第二信令中还可以包括上述smf实体的标识。
可选地,在上述实施例的第三种实施场景或第四种实施场景下,在步骤208之后或在步骤2010之后,还包括如下步骤。
201a、在smf实体接收到的认证结果指示终端设备与第三方认证实体之间的认证成功时,smf实体选择一个pcf实体。
在一个示例中,在认证结果指示终端设备与第三方认证实体之间的认证成功时,若smf实体中部署了动态策略控制和计费(policycontrolandcharging,pcc)策略,则smf实体选择一个合适的pcf实体。在一个示例中,smf实体根据s-nssai选择一个pcf实体。smf实体向该pcf实体发送pdu-控制器局域网络(controllerareanetwork,can)会话建立请求(pdu-cansessionestablishment),从而获取该pdu会话对应的pcc规则。
201b、smf实体选择一个upf实体。
在一个示例中,smf实体选择一个合适的upf实体。例如,smf实体根据终端设备的位置信息、upf的负载信息以及dnn等信息,选择出一个upf实体。
若201a中smf实体没有向pcf实体发送pdu-can会话建立请求,则执行步骤201c。
201c、smf实体向pcf实体发送pdu-can会话建立请求。
在一个示例中,若201a中smf实体没有向pcf实体发送pdu-can会话建立请求,则本步骤中smf实体向pcf实体发送pdu-can会话建立请求。并且,如果动态pcc策略中包含的pdu类型是ipv4还是ipv6,此时,smf实体向pcf实体发送pdu-can会话变更请求(pdu-cansessionmodification),并且smf实体把已经分配的终设备设备的ip地址或者ip前缀发送给pcf实体。
201d、smf实体向upf实体发送n4会话建立请求(sessionestablishmentrequest)、du会话的执行规则(enforcementrules)、核心网侧的隧道信息。
在一个示例中,核心网侧的隧道信息指的是pdu会话的n3隧道的上行数据隧道标识,该核心网侧的隧道信息用于对终端设备的pdu会话的数据进行唯一标识。
201e、upf实体向smf实体发送会话建立响应消息(sessionestablishmentresponse)。
201f、smf实体向amf实体发送n2sm信息、pdu会话建立接受消息(pdusessionestablishmentaccept)。
在一个示例中,n2sm信息包括pdu会话的标识、服务质量配置(qualityofservice,qosprofile(s),)、cn隧道信息(cntunnelinfo);pdu会话建立接受消息包括授权qos规则、sscmode、s-nssai、ipv4地址。
n2sm信息用于将pdu会话的一些参数发送给ran(例如,ran节点或基站),使得ran为该pdu会话建立相应的空口连接。cn隧道信息用于为pdu会话建立ran和upf实体之间的数据传输通道。pdu会话建立接受消息用于通知终端设备pdu会话建立成功,并将该pdu会话的一些相应参数返回给终端设备。
201g、amf实体将步骤201f中的n2sm信息和pdu会话建立接受消息发送给ran。
201h、ran和终端设备进行接入网(accessnetwork,an)信令交互。
在一个示例中,一个示例中,rrc连接重配置流程,为pdu会话提供相应的无线资源。同时,ran将pdu会话建立接受消息发送给终端设备。
201i、ran通过amf实体将n2sm信息发送给smf实体。
在一个示例中,这个时候的n2sm信息包括了pdu会话的标识、ran隧道信息((r)antunnelinfo)、被授权的qos配置列表(listofaccepted/rejectedqosprofile(s))。其中,ran隧道信息用于建立ran和upf实体之间的数据传输通道。
201j、amf实体将n2sm信息发送给smf实体。
201k、smf实体发起n4会话修改流程。
在一个示例中,smf实体发起到upf实体的n4会话修改流程,在这个过程中,smf实体将会将ran隧道信息发送给upf实体。
201l、smf实体向amf实体返回一个应答消息。
201m、smf实体通过upf实体向终端设备发送ipv6类型的ip地址信息。
201n、smf发起释放源接入网侧资源的流程。
在一个示例中,如果pdu会话的建立流程是由于第三代合作伙伴计划3rd(generationpartnershipproject,3gpp)和n-3gpp之间的切换导致的,则smf实体发起释放源接入网侧资源的流程。
201o、smf实体向udm发送注册请求。
在一个示例中,smf实体向udm发送注册请求,即smf实体注册到udm实体上。然后smf实体通知udm实体,是哪个smf实体为当前终端设备的pdu会话提供服务。并且,udm实体可以存储smf实体的标识、smf实体的地址和dnn三者之间的对应关系。
如图3所示,本发明实施例提供的又一种会话处理方法,该方法由终端设备执行,具体如下所述。
301、终端设备根据参考信息,确定对pdu会话进行认证。
其中,参考信息包括以下的至少一种:dnn,s-nssai,应用标识,可以参看图2所示实施例中的相关描述。
例如,步骤301可以采用如下方式实现:
步骤301的方式一、所述参考信息包括dnn,当所述参考信息包括所述pdu会话对应的dnn时,所述终端设备确定对所述pdu会话进行认证。
步骤301的方式二、所述参考信息包括应用标识,当所述参考信息包括所述pdu会话对应的应用标识时,所述终端设备确定对所述pdu会话进行认证。
步骤301的方式三、所述参考信息包括dnn和应用标识,当所述参考信息包括所述pdu会话对应的dnn和应用标识时,所述终端设备确定对所述pdu会话进行认证。
步骤301的方式四、所述参考信息包括dnn和s-nssai,当所述参考信息包括所述pdu会话对应的dnn和s-nssai时,所述终端设备确定对所述pdu会话进行认证。
在一个示例中,在终端设备需要与第三方认证实体进行pdu会话之前,首先终端设备要进行pdu会话建立的流程,在进行终端设备要进行pdu会话建立的流程之前,终端设备要根据参考信息,确定对该pdu会话进行认证。
具体来说,参考信息包括dnn,终端设备确定参考信息包括该pdu会话对应的dnn的时候,所述终端设备确定对该pdu会话进行认证。
或者是,参考信息包括应用标识,终端设备确定参考信息包括该pdu会话对应的应用标识的时候,所述终端设备确定对该pdu会话进行认证。
或者是,参考信息包括s-nssai,终端设备确定参考信息包括该pdu会话对应的s-nssai的时候,所述终端设备确定对该pdu会话进行认证。
或者是,参考信息包括多个标识组合,每一个标识组合中包括一个dnn和一个应用标识;终端设备确定参考信息的某一个标识组合中,包括该pdu会话对应的dnn和应用标识的时候,所述终端设备确定对该pdu会话进行认证。
或者是,参考信息包括多个标识组合,每一个标识组合中包括一个dnn和一个s-nssai;终端设备确定参考信息的某一个标识组合中,包括该pdu会话对应的dnn和s-nssai的时候,所述终端设备确定对该pdu会话进行认证。
或者是,参考信息包括多个标识组合,每一个标识组合中包括一个应用标识和一个s-nssai;终端设备确定参考信息的某一标识组合中,包括该pdu会话对应的应用标识和s-nssai的时候,所述终端设备确定对该pdu会话进行认证。
或者是,参考信息包括多个标识组合,每一个标识组合中包括一个dnn、一个应用标识和一个s-nssai;终端设备确定参考信息的某一标识组合中,包括该pdu会话对应的dnn、应用标识和s-nssai的时候,所述终端设备确定对该pdu会话进行认证。
需要指出的是,步骤301的实现方式可以参考步骤202的实现方式,执行主体不同,执行动作类似。此外,本实施例涉及的名词也可以参见图2所示实施例中的相关描述,不再赘述。
302、所述终端设备发送信令消息,所述信令消息包括pdu会话建立请求和用户标识,所述pdu会话建立请求用于请求为所述终端设备建立所述pdu会话。
在一个示例中,在一个示例中,终端设备向amf实体发送信令,在这个信令中包括了pdu会话建立请求和用户标识。在另一示例中,终端设备向amf实体发送信令,该信令中包括pdu会话建立请求,该pdu会话建立请求包括用户标识。
然后amf实体会向smf实体发送一个第一信令,该第一信令包括了上述pdu会话建立请求和上述用户标识。
采用上述实施例提供的方法,终端设备根据参考信息,确定对pdu会话进行认证;终端设备发送第一信令,第一信令包括pdu会话建立请求,第一信令还包括用户标识。提供了一种基于控制面的pdu会话认证的方式,可以在终端设备上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn网络的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
可选地,在上述实施例的第一种实施场景下,在步骤302中,所述第一信令还包括以下的至少一种:所述pdu会话对应的应用标识,认证参数。
在一个示例中,在步骤302中,终端设备向amf实体发送信令,在这个信令中包括了pdu会话建立请求,且这个信令中还包括了认证参数。一个示例中,终端设备向amf实体发送信令,在这个信令中携带有pdu会话建立请求和认证参数。或者,一个示例中,终端设备向amf实体发送信令,在这个信令中携带有pdu会话建立请求,该pdu会话建立请求包括了认证参数。
然后,amf实体向smf实体发送一个第一信令,在这个第一信令中,携带有pdu会话建立请求,在这个信令中还包括上述认证参数。一个示例中,amf实体发出的第一信令中包括pdu会话建立请求和认证参数。或者,一个示例中,amf实体发出的第一信令中包括pdu会话建立请求,该pdu会话建立请求包括了认证参数。
然后,smf实体接收到pdu会话建立请求之后,smf实体向nef实体发送认证请求,此时,该认证请求中包括上述认证参数;nef实体将包括了上述认证参数的认证请求发送给第三方认证实体。第三方认证实体就可以根据认证请求中的认证参数,对终端设备进行认证,生成认证结果;认证结果指示终端设备与第三方认证实体之间的认证是否成功。
然后,第三方认证实体会将生成的认证结果发送给nef实体,nef实体将认证结果发送给smf实体。可选的,第三方认证实体会向nef实体发送认证反馈消息,上述认证结果携带在该认证反馈消息中,该认证反馈消息还包括了密钥生成参数;然后,nef实体上述认证反馈消息发送给smf实体;其中,密钥生成参数用于终端设备与第三方认证实体之间的应用层安全建立。本步骤可以参见图2的步骤2011和2012。
可选地,在上述实施例的任意一种实施场景下,在步骤302之后,还包括步骤303。
步骤303、所述终端设备接收所述smf实体发送的密钥生成参数,其中,所述密钥生成参数用于所述终端设备的应用层安全建立。
在一个示例中,在步骤302之后,在smf实体接收到上述认证反馈消息时,其中,上述认证反馈消息携带了认证结果和密钥生成参数,smf实体可以向amf实体发送该密钥生成参数;然后amf实体向终端设备发送该密钥生成参数。本步骤可以参见图2的步骤2013。
可选地,在上述实施例的任意一种实施场景下,上述方法在步骤302之后,还包括步骤304。
304、终端设备接收用户标识请求,并发送用户标识。
在一个示例中,在步骤302之后,smf实体通过amf实体向终端设备发送用于获取用户标识请求的消息;终端设备接收到用于获取用户标识请求的消息之后,通过amf实体向smf实体发送用户标识。
如图4所示,本发明实施例提供的另一种会话处理方法,该方法由nef实体执行,该方法包括:
401、nef实体从smf实体接收认证请求和第一参数,所述认证请求用于请求对pdu会话进行认证。
其中,所述第一参数包括以下的至少一种:所述pdu会话对应的dnn、所述pdu会话对应的s-nssai、所述pdu会话对应的应用标识、所述第三方认证实体的标识。
在一个示例中,在终端设备向amf实体发送信令,在该信令中携带有pdu会话建立请求。然后,amf实体接收到pdu会话建立请求之后,向选择出的smf实体发送信令,该信令携带有该pdu会话建立请求。
然后,smf实体向nef实体发送认证请求和第一参数。可选的,smf实体向nef实体发送信令,该信令包括了认证请求和第一参数。
402、所述nef实体根据所述第一参数,将所述认证请求发送给第三方认证实体。
在一个示例中,nef实体根据第一参数,确定出要将上述认证请求发送给哪一个第三方认证实体。然后nef实体才可以将认证请求发送给确定出的第三方认证实体。
其中,步骤402可以包括步骤4021和步骤4022。
4021、所述nef实体根据所述第一参数,获得所述第三方认证实体的标识。
例如,步骤4021可以采用如下方式实现:
步骤4021的方式一,所述第一参数包括所述pdu会话对应的dnn,所述nef实体根据第一对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第一对应关系为dnn与第三方认证实体的标识之间的对应关系;
步骤4021的方式二,所述第一参数包括所述pdu会话对应的应用标识,所述nef实体根据第二对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第二对应关系为应用标识与第三方认证实体的标识之间的对应关系;
步骤4021的方式三,所述第一参数包括所述pdu会话对应的dnn和所述应用标识,所述nef实体根据第三对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第三对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系。
步骤4021的方式四,所述第一参数包括所述pdu会话对应的dnn和s-nssai,所述nef实体根据第五对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第五对应关系为dnn,s-nssai以及第三方认证实体的标识三者之间的对应关系。
在一个示例中,nef实体根据第一参数,获取到第三方认证实体的标识。具体来说,第一参数包括pdu会话对应的dnn,nef实体根据dnn与第三方认证实体的标识之间的第一对应关系,获取到第一参数中的dnn对应的第三方认证实体的标识。一个示例中,第一对应关系可以为dnn1与第三方认证实体1对应,dnn2与第三方认证实体2对应。
或者是,第一参数包括pdu会话对应的应用标识,nef实体根据应用标识与第三方认证实体的标识之间的第二对应关系,获取到第一参数中的应用标识对应的第三方认证实体的标识。一个示例中,第二对应关系可以为应用标识1与第三方认证实体1对应,应用标识2与第三方认证实体2对应。
或者是,第一参数包括pdu会话对应的dnn和应用标识,nef实体根据dnn、应用标识以及第三方认证实体的标识三者之间的第三对应关系,获取到第三方认证实体的标识。一个示例中,第三对应关系可以为dnn1+应用标识1,与第三方认证实体1对应;dnn1+应用标识2,与第三方认证实体2对应;dnn2+应用标识1,与第三方认证实体2对应。
或者是,第一参数包括pdu会话对应的s-nssai,nef实体根据s-nssai与第三方认证实体的标识之间的第四对应关系,获取到第一参数中的s-nssai对应的第三方认证实体的标识。一个示例中,第四对应关系可以为s-nssai1与第三方认证实体1对应,s-nssai2与第三方认证实体2对应。
或者是,第一参数包括pdu会话对应的dnn和s-nssai,nef实体根据dnn、s-nssai以及第三方认证实体的标识三者之间的第五对应关系,获取到第三方认证实体的标识。一个示例中,第五对应关系可以为dnn1+s-nssai1,与第三方认证实体1对应;dnn1+s-nssai2,与第三方认证实体2对应;dnn2+s-nssai1,与第三方认证实体2对应。
或者是,第一参数包括pdu会话对应的应用标识和s-nssai,nef实体根据应用标识、s-nssai以及第三方认证实体的标识三者之间的第六对应关系,获取到第三方认证实体的标识。一个示例中,第六对应关系可以为应用标识1+s-nssai1,与第三方认证实体1对应;应用标识1+s-nssai2,与第三方认证实体2对应;应用标识2+s-nssai1,与第三方认证实体2对应。
或者是,第一参数包括pdu会话对应的dnn、应用标识和s-nssai,nef实体根据dnn、应用标识、s-nssai以及第三方认证实体的标识三者之间的第七对应关系,获取到第三方认证实体的标识。一个示例中,第七对应关系可以为dnn1+应用标识1+s-nssai1,与第三方认证实体1对应;dnn1+应用标识2+s-nssai2,与第三方认证实体2对应;dnn3+应用标识2+s-nssai1,与第三方认证实体1对应。
一个示例中,第三方认证实体的标识可以为第三方认证实体的名字、或第三方认证实体的id、或第三方认证实体的地址信息。
4022、所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
在一个示例中,nef实体在确定出第三方认证实体的标识之后,nef实体就可以直接向第三方认证实体的标识所指示的第三方认证实体发送上述认证请求。
采用上述实施例提供的方法,nef实体从smf实体接收认证请求和第一参数,然后nef实体根据第一参数,将认证请求发送给第三方认证实体。提供了一种基于控制面的pdu会话认证的方式,可以在nef实体上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn网络的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
可选地,在上述实施例的第一种实施场景下,在不实施步骤4021和4022的时候,在401之前,可以由smf实体根据参考信息,确定对所述pdu会话进行认证。可以参见图2的步骤202,不再赘述。
可选地,在上述实施例的第一种实施场景下,在步骤402之前,还可以包括步骤403。
403、所述nef实体根据参考信息,确定对pdu会话进行认证,所述参考信息包括以下的至少一种:dnn,s-nssai,应用标识。
例如,步骤403可以采用如下几种实现方式。
步骤403的方式一、所述参考信息包括dnn,当所述参考信息包括所述第一参数中的dnn时,所述nef实体确定对所述pdu会话进行认证;
步骤403的方式二、所述参考信息包括应用标识,当所述参考信息包括所述第一参数中所述应用标识时,所述nef实体确定对所述pdu会话进行认证;
步骤403的方式三、所述参考信息包括dnn和应用标识,当所述参考信息包括所述第一参数中dnn和应用标识时,所述nef实体确定对所述pdu会话进行认证;
步骤403的方式四、所述参考信息包括dnn和s-nssai,当所述参考信息包括所述第一参数中dnn和s-nssai时,所述nef实体确定对所述pdu会话进行认证。
在一个示例中,具体来说,参考信息中包括至少一个dnn,第一参数包括pdu会话对应的dnn,nef实体确定参考信息包括第一参数中dnn时,nef实体确定对所述pdu会话进行认证。
或者是,参考信息中包括至少一个应用标识,第一参数包括pdu会话对应的应用标识,nef实体确定参考信息包括该第一参数中的应用标识时,nef实体确定对所述pdu会话进行认证。
或者是,参考信息中包括至少一个s-nssai,第一参数包括pdu会话对应的s-nssai,nef实体确定参考信息包括该第一参数中的s-nssai时,nef实体确定对所述pdu会话进行认证。
或者是,参考信息中包括多个标识组合,每一个标识组合包括了一个dnn和一个应用标识,第一参数包括pdu会话对应的dnn和应用标识,nef实体确定参考信息中某一组的标识组合中包括该第一参数中的dnn和应用标识时,nef实体确定对所述pdu会话进行认证。
或者是,参考信息中包括多个标识组合,每一个标识组合包括了一个dnn和一个s-nssai,第一参数包括pdu会话对应的dnn和s-nssai,nef实体确定参考信息中某一组的标识组合中包括该第一参数中的dnn和s-nssai时,nef实体确定对所述pdu会话进行认证。
或者是,参考信息中包括多个标识组合,每一个标识组合包括了一个应用标识和一个s-nssai,第一参数包括pdu会话对应的应用标识和s-nssai,nef实体确定参考信息中某一组的标识组合中包括该第一参数中的应用标识和s-nssai时,nef实体确定对所述pdu会话进行认证。
或者是,参考信息中包括多个标识组合,每一个标识组合包括了一个dnn、一个应用标识、和一个s-nssai,第一参数包括pdu会话对应的dnn、应用标识和s-nssai,nef实体确定参考信息中某一组的标识组合中包括该第一参数中的dnn、应用标识和s-nssai时,nef实体确定对所述pdu会话进行认证。
可选地,在上述实施例的第一种实施场景或第二种实施场景或第三种实施场景下,在步骤401之前,上述方法还包括步骤404或者步骤405中任意一个。
404、所述nef实体在nef实体上配置参考信息,并向所述smf实体发送所述参考信息;或者,所述nef实体从udm实体上、或pcf实体上获取所述参考信息,并向所述smf实体发送所述参考信息。
在一个示例中,在步骤401之前,nef实体在nef实体上配置参考信息,然后将参考信息发送给smf实体。
或者是,udm实体上、或pcf实体上具有参考信息,nef实体可以向udm实体或pcf实体发送请求,去获得该参考信息;在nef实体获得该参考信息之后,可以将该参考信息发送给smf实体。
405、所述nef实体接收所述第三方认证实体发送的业务注册请求,其中,所述业务注册请求用于请求所述nef实体完成与所述第三方认证实体之间的业务注册流程;
当所述业务注册流程成功时,所述nef实体生成所述参考信息,并向所述smf实体或pcf实体发送所述参考信息;或者,当所述业务注册流程成功时,所述nef实体向所述pcf实体发送第一消息,所述第一消息用于所述pcf实体生成所述参考信息。
在一个示例中,在步骤401之前,第三方认证实体可以向nef实体发送业务注册请求,业务注册请求用于请求nef实体完成与第三方认证实体之间的业务注册流程,然后nef实体完成业务注册;这之后,nef实体就可以根据第三方认证实体发送的业务注册请求等,获得第三方认证实体的一些信息,例如,nef实体获得dnn、应用标识等等。当所述业务注册流程成功时,所述nef实体生成所述参考信息,并向所述smf实体或pcf实体发送所述参考信息。
或者是,当所述业务注册流程成功时,所述nef实体向所述pcf实体发送第一消息,在第一消息中携带了dnn、s-nssai、应用标识中的至少一种;然后,pcf实体根据该第一消息生成参考信息,或者生成pcc策略,或者生成参考信息和pcc策略。
可选地,在上述实施例的任意一种实施场景下,所述认证请求和所述第一参数携带在信令中,所述信令还包括所述smf实体的标识;步骤402可以包括:
所述nef实体将所述认证请求和所述smf实体的标识发送给所述第三方认证实体;或者,所述nef实体将所述smf实体的标识转换为所述smf实体的外部标识;所述nef实体将所述认证请求和所述外部标识发送给所述第三方认证实体。
在一个示例中,可以参见步骤401中,smf实体向nef实体发送信令,该信令包括了认证请求、第一参数、和该smf实体的标识。
实施步骤402的时候,nef实体可以将smf实体的标识转换为smf实体的外部标识;然后nef实体将该外部标识放到发送给第三方认证实体的消息中,具体来说,nef实体可以向第三方认证实体发送信令,该信令包括认证请求和外部标识;将smf实体的标识转换为smf实体的外部标识的方式,可以对smf实体的标识进行隐藏。或者,在实施骤402的时候,nef实体可以将向第三方认证实体发送一个,在该信令中包括了认证请求和smf实体的标识。
可选地,在上述实施例的任意一种实施场景下,步骤402可以采用另外一种实现方式进行实现。
402的另一种实现方式、所述认证请求包括用户标识;所述nef实体根据所述用户标识,确定所述第三方认证实体的标识;所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
在一个示例中,smf实体向nef实体发送信令,该信令包括了认证请求和第一参数,在认证请求中包括了用户标识。nef实体接收到认证请求之后,nef实体根据认证请求中的用户标识,确定出第三方认证实体的标识,其中,第三方认证实体的标识可以为第三方认证实体的名字、第三方认证实体的id、第三方认证实体的地址信息。然后,nef实体就可以直接向第三方认证实体的标识所指示的第三方认证实体,发送认证请求。
可选地,在上述实施例的任意一种实施场景下,上述方法在步骤402之前还包括步骤405。
405、所述nef实体建立所述smf实体与所述第三方认证实体之间的绑定关系。
在一个示例中,步骤402之前,nef实体可以将smf实体与第三方认证实体进行绑定。一个示例中,nef实体接收到smf实体发送的信令,该信令包括第一参数和smf实体的标识,其中,第一参数包括第三方认证实体的标识,然后nef实体就可以将建立起smf实体的标识与第三方认证实体的标识之间的绑定关系,进而将smf实体与第三方认证实体进行绑定。
如图5所示,本发明实施例提供的再一种会话处理方法,该方法具体如下所述。
501、终端设备向amf实体发送信令,在该信令中包括pdu会话建立请求,其中,pdu会话建立请求用于请求为终端设备建立pdu会话。
在一个示例中,本步骤可以参见图2的步骤201,不再赘述。
502、amf实体向smf实体发送一个第一信令,在该第一信令中包括步骤501中的pdu会话建立请求。
在一个示例中,本步骤可以参见图2的步骤201,不再赘述。
503、smf实体根据参考信息,确定对pdu会话进行认证。
其中,所述参考信息包括以下的至少一种:dnn,会话管理-网络切片选择辅助信息(ssessionmanagement-networksliceselectionassistanceinformation,s-nssai),应用标识,至少一个终端设备的标识。
在一个示例中,本步骤可以参见图2的步骤202,不再赘述。
504、smf实体通过amf实体向终端设备发送用于获取用户标识请求的消息。
505、终端设备通过amf实体向smf实体发送用户标识。
在一个示例中,本步骤可以参见图2的步骤202,不再赘述。
506、smf实体根据对应关系以及所述第一信令,获得所述第三方认证实体的标识。
可替换地,步骤506可以替换为所述第一信令还包括用户标识,所述smf实体根据所述用户标识,获得所述第三方认证实体的标识。
其中,smf实体根据对应关系以及所述第一信令,获得所述第三方认证实体的标识,包括了如下几种实现方式:
方式一、当所述第一信令包括所述pdu会话对应的dnn时,所述smf实体根据所述对应关系以及所述pdu会话对应的dnn,获得所述第三方认证实体的标识,所述对应关系为dnn与第三方认证实体的标识之间的对应关系。
方式二、当所述第一信令包括所述pdu会话对应的应用标识时,所述smf实体根据所述对应关系以及所述pdu会话对应的应用标识,获得所述第三方认证实体的标识,所述对应关系为应用标识与第三方认证实体的标识之间的对应关系。
方式三、当所述第一信令包括所述pdu会话对应的dnn和应用标识时,所述smf实体根据所述对应关系,以及所述pdu会话对应的dnn和应用标识,获得所述第三方认证实体的标识,所述对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系。
在一个示例中,本步骤可以参见图2的步骤203的方式一以及步骤203的方式二的描述,不再赘述。
507、smf实体向nef实体发送第三方认证实体的标识和认证请求。
在一个示例中,smf实体向nef实体发送第二信令,该第二信令包括认证请求和第一参数,第一参数包括上述第三方认证实体的标识。
508、nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
在一个示例中,本步骤可以参见图2的步骤203的方式一以及步骤203的方式二的描述,不再赘述。
509、第三方认证实体生成认证消息,该认证消息用于请求终端设备提供认证参数。
5010、第三方认证实体通过nef实体向smf实体发送上述认证消息。
在一个示例中,步骤509和步骤5010可以参见步骤205,不再赘述。
5011、smf实体通过amf实体向终端设备发送上述认证消息。
在一个示例中,本步骤可以参见步骤206,不再赘述。
5012、终端设备通过amf实体向smf实体发送认证参数。
在一个示例中,本步骤可以参见步骤207,不再赘述。
5013、smf实体通过nef实体向第三方认证实体发送上述认证参数。
在一个示例中,本步骤可以参见步骤207,不再赘述。
5014、第三方认证实体会根据该认证参数对终端设备进行认证,生成认证结果,认证结果指示终端设备与第三方认证实体之间的认证是否成功。
5015、第三方认证实体通过nef实体向smf实体发送认证结果。其中,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数。
在一个示例中,步骤5014和步骤5015可以参见步骤208,不再赘述。
5016、smf实体确定认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,所述smf实体继续执行pdu会话建立流程。
在一个示例中,本步骤可以参见步骤209,不再赘述。
在步骤5015之后,还包括:
5017、smf实体向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。其中步骤5016和步骤5017可以同时进行,也可以不同时进行。
在一个示例中,本步骤可以参见步骤2010,不再赘述。
采用上述实施例提供的方法,smf实体接收pdu会话建立请求,pdu会话建立请求用于请求为终端设备建立pdu会话;smf实体根据参考信息确定对pdu会话进行认证之后,通过nef实体向第三方认证实体发送认证请求。提供了一种基于控制面的pdu会话认证的方式,可以在smf实体上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
可选地,在上述实施例的第一种实施场景下,在步骤503之前,还可以执行一个步骤:所述smf实体在所述smf实体上配置所述参考信息;或者,所述smf实体从udm实体实体上、或pcf实体上、或所述nef实体上获取所述参考信息。可以参见步骤2014的描述,不再赘述。
如图6所示,本发明实施例提供的还一种会话处理方法,该方法具体如下所述。
601、终端设备向amf实体发送信令,在该信令中包括pdu会话建立请求和认证参数,其中,pdu会话建立请求用于请求为终端设备建立pdu会话。
在一个示例中,本步骤可以参见图2的步骤201,与步骤201不同之处在于,在601的信令包括了认证参数。
602、amf实体向smf实体发送一个第一信令,在该第一信令中包括步骤601中的pdu会话建立请求和认证参数。
在一个示例中,本步骤可以参见图2的步骤201,与步骤201不同之处在于,在602的第一信令包括了认证参数。
603、smf实体根据参考信息,确定对pdu会话进行认证。
其中,所述参考信息包括以下的至少一种:dnn,s-nssai,应用标识,至少一个终端设备的标识。
在一个示例中,本步骤可以参见图2的步骤202,不再赘述。
604、smf实体通过amf实体向终端设备发送用于获取用户标识请求的消息。
605、终端设备通过amf实体向smf实体发送用户标识。
在一个示例中,本步骤可以参见图2的步骤202,不再赘述。
606、smf实体根据对应关系以及所述第一信令,获得所述第三方认证实体的标识。或者,所述第一信令还包括用户标识,所述smf实体根据所述用户标识,获得所述第三方认证实体的标识。
在一个示例中,本步骤可以参见图2的步骤203的方式一以及步骤203的方式二的描述,不再赘述。
607、smf实体向nef实体发送第三方认证实体的标识和认证请求,其中,认证请求中包括认证参数。
在一个示例中,smf实体向nef实体发送第二信令,该第二信令包括认证请求和第一参数,第一参数包括上述第三方认证实体的标识。
608、nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
在一个示例中,本步骤可以参见图2的步骤203的方式一以及步骤203的方式二的描述,与步骤203的不同之处在于,认证请求中包括上述认证参数。
609、第三方认证实体会根据认证参数对终端设备进行认证,生成认证结果,认证结果指示终端设备与第三方认证实体之间的认证是否成功。
6010、第三方认证实体通过nef实体向smf实体发送认证结果。其中,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数。
在一个示例中,步骤609和步骤6010可以参见步骤2011,不再赘述。
6011、smf实体确定认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,所述smf实体继续执行所述终端设备与所述第三方认证实体之间的pdu会话建立流程。
在一个示例中,本步骤可以参见步骤2012,不再赘述。
在步骤6010之后,还包括:
6012、smf实体向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。
在一个示例中,本步骤可以参见步骤2013,不再赘述。
采用上述实施例提供的方法,smf实体接收pdu会话建立请求,pdu会话建立请求用于请求为终端设备建立pdu会话;smf实体根据参考信息确定对pdu会话进行认证之后,通过nef实体向第三方认证实体发送认证请求。提供了一种基于控制面的pdu会话认证的方式,可以在smf实体上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
可选地,在上述实施例的第一种实施场景下,在步骤603之前,还可以执行一个步骤:所述smf实体在所述smf实体上配置所述参考信息;或者,所述smf实体从udm实体上、或pcf实体上、或所述nef实体上获取所述参考信息。可以参见步骤2014的描述,不再赘述。
如图7所示,本发明实施例提供的其他一种会话处理方法,该方法具体如下所述。
701、终端设备根据参考信息,确定对pdu会话进行认证。
其中,所述参考信息包括以下的至少一种:dnn,s-nssai,应用标识。
在一个示例中,本步骤可以参见步骤301,不再赘述。
702、所述终端设备向amf实体发送信令,该信令包括pdu会话建立请求和用户标识。
703、amf实体向smf实体发送信令,该信令包括上述pdu会话建立请求和用户标识。
在一个示例中,步骤702和703可以参见步骤302,不再赘述。
704、smf实体通过amf实体向终端设备发送用于获取用户标识请求的消息。
705、终端设备通过amf实体向smf实体发送用户标识。
706、smf实体根据对应关系以及步骤703中的信令,获得所述第三方认证实体的标识。或者,smf实体根据705中的用户标识,获得所述第三方认证实体的标识。
在一个示例中,pdu会话为当前的终端设备与第三方认证实体之间的pdu会话。pdu会话对应的dnn,为pdu会话对应的dnn;pdu会话对应的应用标识,为pdu会话对应的应用标识;pdu会话对应的s-nssai,为pdu会话对应的s-nssai;
其中,smf实体根据对应关系以及步骤703中的信令,获得所述第三方认证实体的标识,包括了如下几种实现方式:
方式一、当步骤703中的信令包括所述pdu会话对应的dnn时,所述smf实体根据所述对应关系以及所述pdu会话对应的dnn,获得所述第三方认证实体的标识,所述对应关系为dnn与第三方认证实体的标识之间的对应关系。
方式二、当步骤703中的信令包括所述pdu会话对应的应用标识时,所述smf实体根据所述对应关系以及所述pdu会话对应的应用标识,获得所述第三方认证实体的标识,所述对应关系为应用标识与第三方认证实体的标识之间的对应关系。
方式三、当步骤703中的信令包括所述pdu会话对应的dnn和应用标识时,所述smf实体根据所述对应关系,以及所述pdu会话对应的dnn和应用标识,获得所述第三方认证实体的标识,所述对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系。
707、smf实体向nef实体发送第三方认证实体的标识和认证请求。
在一个示例中,smf实体向nef实体发送信令,该信令包括认证请求和第一参数,第一参数包括上述第三方认证实体的标识。
708、nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
709、第三方认证实体生成认证消息,该认证消息用于请求终端设备提供认证参数。
7010、第三方认证实体通过nef实体向smf实体发送上述认证消息。
在一个示例中,步骤709和步骤7010可以参见步骤205的描述,不再赘述。
7011、smf实体通过amf实体向终端设备发送上述认证消息。
在一个示例中,本步骤可以参见步骤206的描述,不再赘述。
7012、终端设备通过amf实体向smf实体发送认证参数。
在一个示例中,本步骤可以参见步骤207的描述,不再赘述。
7013、smf实体通过nef实体向第三方认证实体发送上述认证参数。
在一个示例中,本步骤可以参见步骤207的描述,不再赘述。
7014、第三方认证实体会根据该认证参数对终端设备进行认证,生成认证结果,认证结果指示终端设备与第三方认证实体之间的认证是否成功。
7015、第三方认证实体通过nef实体向smf实体发送认证结果。其中,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数。
在一个示例中,步骤7014和步骤7015可以参见步骤208的描述,不再赘述。
7016、smf实体确定认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,所述smf实体继续执行所述终端设备与所述第三方认证实体之间的pdu会话建立流程。
在一个示例中,本步骤可以参见步骤209的描述,不再赘述。
在步骤7015之后,还包括:
7017、smf实体向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。
在一个示例中,本步骤可以参见步骤2010的描述,不再赘述。其中步骤7016和步骤7017可以同时进行,也可以不同时进行。
采用上述实施例提供的方法,终端设备根据参考信息,确定对pdu会话进行认证;终端设备发送第一信令,第一信令包括pdu会话建立请求,第一信令还包括用户标识。提供了一种基于控制面的pdu会话认证的方式,可以在终端设备上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
可选地,在上述实施例的第一种实施场景下,步骤704和705可以不执行,这个时候,步骤702中终端设备向amf实体发送的信令中包括pdu会话建立请求和用户标识。例如,终端设备向amf实体发送pdu会话建立请求和用户标识,pdu会话建立请求和用户标识同时携带在了信令中;或者是,终端设备向amf实体发送信令,该信令中包括pdu会话建立请求,该pdu会话建立请求包括用户标识。然后步骤703中,amf实体向smf实体发送信令,该信令包括上述pdu会话建立请求和上述用户标识。
如图8所示,本发明实施例提供的又其他一种会话处理方法,该方法具体如下所述。
801、终端设备根据参考信息,确定对pdu会话进行认证。
其中,所述参考信息包括以下的至少一种:dnn,s-nssai,应用标识。
在一个示例中,本步骤可以参见步骤301,不再赘述。
802、所述终端设备向amf实体发送信令,该信令包括pdu会话建立请求和认证参数。
803、amf实体向smf实体发送信令,该信令包括上述pdu会话建立请求、用户标识和认证参数。
在一个示例中,步骤802和803可以参见步骤302,不再赘述。
804、smf实体通过amf实体向终端设备发送用于获取用户标识请求的消息。
805、终端设备通过amf实体向smf实体发送用户标识。
806、smf实体根据对应关系以及步骤803中的信令,获得所述第三方认证实体的标识。可替换地,步骤806可以替换为:smf实体根据805中的用户标识,获得所述第三方认证实体的标识。
在一个示例中,pdu会话为当前的终端设备与第三方认证实体之间的pdu会话。pdu会话对应的dnn,为pdu会话对应的dnn;pdu会话对应的应用标识,为pdu会话对应的应用标识;pdu会话对应的s-nssai,为pdu会话对应的s-nssai;
807、smf实体向nef实体发送第三方认证实体的标识和认证请求,该认证请求中包括上述认证参数。
在一个示例中,smf实体向nef实体发送信令,该信令包括认证请求和第一参数,第一参数包括上述第三方认证实体的标识;该认证请求中包括上述认证参数。
808、nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
在一个示例中,步骤808中的认证请求中包括上述认证参数。
809、第三方认证实体会根据该认证参数对终端设备进行认证,生成认证结果,认证结果指示终端设备与第三方认证实体之间的认证是否成功。
8010、第三方认证实体通过nef实体向smf实体发送认证结果。其中,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数。
在一个示例中,第三方认证实体会将生成的认证结果发送给nef实体,nef实体将认证结果发送给smf实体。可选的,第三方认证实体会向nef实体发送认证反馈消息,上述认证结果携带在该认证反馈消息中,该认证反馈消息还包括了密钥生成参数;然后,nef实体上述认证反馈消息发送给smf实体;其中,密钥生成参数用于终端设备与第三方认证实体之间的应用层安全建立。
8011、smf实体确定认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,所述smf实体继续执行所述终端设备与所述第三方认证实体之间的pdu会话建立流程。
在一个示例中,本步骤可以参见步骤209的描述,不再赘述。
在步骤8010之后,还包括:
8012、smf实体向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。
在一个示例中,本步骤可以参见步骤2010的描述,不再赘述。其中步骤8011和步骤8012可以同时进行,也可以不同时进行。
采用上述实施例提供的方法,终端设备根据参考信息,确定对pdu会话进行认证;终端设备发送第一信令,第一信令包括pdu会话建立请求,第一信令还包括用户标识。提供了一种基于控制面的pdu会话认证的方式,可以在终端设备上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
可选地,在上述实施例的第一种实施场景下,步骤804和805可以不执行,这个时候,步骤802中终端设备向amf实体发送的信令中包括pdu会话建立请求和用户标识。例如,终端设备向amf实体发送pdu会话建立请求和用户标识,pdu会话建立请求和用户标识同时携带在了信令中;或者是,终端设备向amf实体发送信令,该信令中包括pdu会话建立请求,该pdu会话建立请求包括用户标识。然后步骤803中,amf实体向smf实体发送信令,该信令包括上述pdu会话建立请求和上述用户标识。
如图9所示,本发明实施例提供的另外的其他一种会话处理方法,该方法具体如下所述。
901、终端设备向amf实体发送信令,该信令包括pdu会话建立请求。
902、amf实体向smf实体发送信令,该信令包括上述pdu会话建立请求。
903、smf实体向nef实体发送认证请求和第一参数。
在一个示例中,步骤901至步骤903可以参见步骤401,不再赘述。
904、所述nef实体根据所述第一参数,获得所述第三方认证实体的标识。
其中,所述第一参数包括以下的至少一种:所述pdu会话对应的dnn、所述pdu会话对应的s-nssai、所述pdu会话对应的应用标识、所述第三方认证实体的标识。
例如,步骤904可以采用如下方式实现:
步骤904的方式一,所述第一参数包括所述dnn,所述nef实体根据第一对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第一对应关系为dnn与第三方认证实体的标识之间的对应关系;
步骤904的方式二,所述第一参数包括所述应用标识,所述nef实体根据第二对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第二对应关系为应用标识与第三方认证实体的标识之间的对应关系;
步骤904的方式三,所述第一参数包括所述dnn和所述应用标识,所述nef实体根据第三对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第三对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系。
在一个示例中,本步骤可以参见步骤4021,不再赘述。
905、所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送上述认证请求。
在一个示例中,本步骤可以参见步骤4022,不再赘述。
906、第三方认证实体生成认证消息,该认证消息用于请求终端设备提供认证参数。
907、第三方认证实体通过nef实体向smf实体发送上述认证消息。
在一个示例中,步骤906和步骤907可以参见步骤205的描述,不再赘述。
908、smf实体通过amf实体向终端设备发送上述认证消息。
在一个示例中,本步骤可以参见步骤206的描述,不再赘述。
909、终端设备通过amf实体向smf实体发送认证参数。
在一个示例中,本步骤可以参见步骤207的描述,不再赘述。
9010、smf实体通过nef实体向第三方认证实体发送上述认证参数。
在一个示例中,本步骤可以参见步骤207的描述,不再赘述。
9011、第三方认证实体会根据该认证参数对终端设备进行认证,生成认证结果,认证结果指示终端设备与第三方认证实体之间的认证是否成功。
9012、第三方认证实体通过nef实体向smf实体发送认证结果。其中,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数。
在一个示例中,步骤9011和步骤9012可以参见步骤208的描述,不再赘述。
9013、smf实体确定认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,所述smf实体继续执行所述终端设备与所述第三方认证实体之间的pdu会话建立流程。
在一个示例中,本步骤可以参见步骤209的描述,不再赘述。
在步骤9012之后,还包括:
9014、smf实体向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。
在一个示例中,本步骤可以参见步骤2010的描述,不再赘述。其中步骤9013和步骤9014可以同时进行,也可以不同时进行。
采用上述实施例提供的方法,nef实体从smf实体接收认证请求和第一参数,然后nef实体根据第一参数,将认证请求发送给第三方认证实体。提供了一种基于控制面的pdu会话认证的方式,可以在nef实体上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
可选的,在上述实施例的第一种实施场景下,在901中的信令中还包括了认证参数时,上述认证请求中包括上述认证参数。步骤906-9012不用实施,可以采用步骤9015和步骤9016实施。步骤9014在步骤9016之后进行。
9015、第三方认证实体会根据认证参数对终端设备进行认证,生成认证结果,认证结果指示终端设备与第三方认证实体之间的认证是否成功。
9016、第三方认证实体通过nef实体向smf实体发送认证结果。其中,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数。
可选的,在上述实施例的第一种实施场景或第二种实施场景下,在步骤903中,所述认证请求和所述第一参数携带在第一信令中,所述第一信令还包括所述smf实体的标识;这时,在步骤905中,步骤905可以采用如下实现方式:所述nef实体将所述认证请求和所述smf实体的标识发送给所述第三方认证实体;或者,所述nef实体将所述smf实体的标识转换为所述smf实体的外部标识,并将所述认证请求和所述外部标识发送给所述第三方认证实体。
可选的,在上述实施例的第一种实施场景或第二种实施场景或第三种实施场景下,在步骤903之前,还可以包括步骤9017和9018。
9017、所述nef实体接收所述第三方认证实体发送的业务注册请求,其中,所述业务注册请求用于请求所述nef实体完成与所述第三方认证实体之间的业务注册流程;
9018、当所述业务注册流程成功时,所述nef实体生成参考信息,并向所述smf实体或策略控制功能pcf实体发送参考信息;或者,当所述业务注册流程成功时,所述nef实体向所述pcf实体发送第一消息,所述第一消息用于所述pcf实体生成参考信息和/或动态策略控制和计费pcc策略。
可选的,在上述实施例的任意一种实施场景下,在步骤905之前,还可以包括步骤9019、所述nef实体建立所述smf实体与所述第三方认证实体之间的绑定关系。
如图10所示,本发明实施例提供的又有的其他一种会话处理方法,该方法具体如下所述。
1001、终端设备向amf实体发送信令,该信令包括pdu会话建立请求。
1002、amf实体向smf实体发送信令,该信令包括上述pdu会话建立请求。
1003、smf实体向nef实体发送认证请求和第一参数。
在一个示例中,步骤1001至步骤1003可以参见步骤401,不再赘述。
1004、所述nef实体根据参考信息,确定对所述pdu会话进行认证,所述参考信息包括以下的至少一种:dnn,s-nssai,应用标识。
例如,步骤1004可以采用如下几种实现方式。
步骤1004的方式一、所述参考信息包括dnn,当所述参考信息包括所述第一参数中的dnn时,所述nef实体确定对所述pdu会话进行认证;
步骤1004的方式二、所述参考信息包括应用标识,当所述参考信息包括所述第一参数中所述应用标识时,所述nef实体确定对所述pdu会话进行认证;
步骤1004的方式三、所述参考信息包括dnn和应用标识,当所述参考信息包括所述第一参数中dnn和应用标识时,所述nef实体确定对所述pdu会话进行认证;
步骤1004的方式四、所述参考信息包括dnn和s-nssai,当所述参考信息包括所述第一参数中dnn和s-nssai时,所述nef实体确定对所述pdu会话进行认证。
1005、所述nef实体根据所述第一参数,获得所述第三方认证实体的标识。
其中,所述第一参数包括以下的至少一种:所述pdu会话对应的dnn、所述pdu会话对应的s-nssai、所述pdu会话对应的应用标识、所述第三方认证实体的标识。
例如,步骤1005可以采用如下方式实现:
步骤1005的方式一,所述第一参数包括所述dnn,所述nef实体根据第一对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第一对应关系为dnn与第三方认证实体的标识之间的对应关系;
步骤1005的方式二,所述第一参数包括所述应用标识,所述nef实体根据第二对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第二对应关系为应用标识与第三方认证实体的标识之间的对应关系;
步骤1005的方式三,所述第一参数包括所述dnn和所述应用标识,所述nef实体根据第三对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第三对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系。
在一个示例中,本步骤可以参见步骤4021,不再赘述。
1006、所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送上述认证请求。
在一个示例中,本步骤可以参见步骤4022,不再赘述。
1007、第三方认证实体生成认证消息,该认证消息用于请求终端设备提供认证参数。
1008、第三方认证实体通过nef实体向smf实体发送上述认证消息。
在一个示例中,步骤1007和步骤1008可以参见步骤205的描述,不再赘述。
1009、smf实体通过amf实体向终端设备发送上述认证消息。
在一个示例中,本步骤可以参见步骤206的描述,不再赘述。
10010、终端设备通过amf实体向smf实体发送认证参数。
在一个示例中,本步骤可以参见步骤207的描述,不再赘述。
10011、smf实体通过nef实体向第三方认证实体发送上述认证参数。
在一个示例中,本步骤可以参见步骤207的描述,不再赘述。
10012、第三方认证实体会根据该认证参数对终端设备进行认证,生成认证结果,认证结果指示终端设备与第三方认证实体之间的认证是否成功。
10013、第三方认证实体通过nef实体向smf实体发送认证结果。其中,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数。
在一个示例中,步骤10012和步骤10013可以参见步骤208的描述,不再赘述。
10014、smf实体确定认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,所述smf实体继续执行所述终端设备与所述第三方认证实体之间的pdu会话建立流程。
在一个示例中,本步骤可以参见步骤209的描述,不再赘述。
在步骤10013之后,还包括:
10015、smf实体向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。
在一个示例中,本步骤可以参见步骤2010的描述,不再赘述。其中步骤10014和步骤10015可以同时进行,也可以不同时进行。
采用上述实施例提供的方法,nef实体从smf实体接收认证请求和第一参数,然后nef实体根据第一参数,将认证请求发送给第三方认证实体。提供了一种基于控制面的pdu会话认证的方式,可以在nef实体上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与数据网络(datanetwork,dn)的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
如图11所示,本发明实施例提供了一种会话处理装置,该会话处理装置可以为smf节点,可以用于执行图2所示实施例中smf实体的动作或步骤,还可以用于执行图5-6所示实施例中smf实体的动作或步骤。该会话处理装置可以包括:第一接收单元111、确定单元112和第一发送单元113。
第一接收单元111,用于接收pdu会话建立请求,所述pdu会话建立请求用于请求为终端设备建立pdu会话;
确定单元112,用于根据参考信息,确定对所述pdu会话进行认证;
第一发送单元113,用于通过nef实体向第三方认证实体发送认证请求。
进一步地,所述参考信息包括以下的至少一种:数据网络名dnn,会话管理-网络切片选择辅助信息s-nssai,应用标识。
进一步地,所述pdu会话建立请求携带在第一信令中;所述确定单元112,具体用于:
所述参考信息包括dnn,所述第一信令还包括所述pdu会话对应的dnn,当所述参考信息包括所述pdu会话对应的dnn时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括应用标识,所述第一信令还包括所述pdu会话对应的应用标识,当所述参考信息包括所述pdu会话对应的应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和应用标识,所述第一信令还包括所述pdu会话对应的dnn和应用标识,当所述参考信息包括所述pdu会话对应的dnn和应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和s-nssai,所述第一信令还包括所述pdu会话对应的dnn和s-nssai,当所述参考信息包括所述pdu会话对应的dnn和s-nssai时,确定对所述pdu会话进行认证。
进一步地,所述第一发送单元113,包括:
获取子单元1131,用于根据对应关系以及所述第一信令,获得所述第三方认证实体的标识;
发送子单元1132,用于通过所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
进一步地,所述获取子单元1131,具体用于:
当所述第一信令包括所述pdu会话对应的dnn时,根据所述对应关系以及所述pdu会话对应的dnn,获得所述第三方认证实体的标识,所述对应关系为dnn与第三方认证实体的标识之间的对应关系;
或者,
当所述第一信令包括所述pdu会话对应的应用标识时,根据所述对应关系以及所述pdu会话对应的应用标识,获得所述第三方认证实体的标识,所述对应关系为应用标识与第三方认证实体的标识之间的对应关系;
或者,
当所述第一信令包括所述pdu会话对应的dnn和应用标识时,根据所述对应关系,以及所述pdu会话对应的dnn和应用标识,获得所述第三方认证实体的标识,所述对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系。
进一步地,所述pdu会话建立请求携带在第一信令中;
所述第一发送单元113,具体用于:
所述第一信令还包括用户标识,根据所述用户标识,获得所述第三方认证实体的标识;
通过所述nef实体向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
进一步地,所述装置,还包括:
第二接收单元114,用于在所述第一发送单元113通过nef实体向第三方认证实体发送认证请求之后,接收所述第三方认证实体通过所述nef实体发送的认证消息,其中,所述认证消息用于请求所述终端设备发送认证参数;
第二发送单元115,用于向所述终端设备发送所述认证消息;
第三接收单元116,用于接收所述认证参数,并将所述认证参数通过所述nef实体发送给所述第三方认证实体;
第四接收单元117,用于接收所述第三方认证实体通过所述nef实体发送的认证结果;
第一确认单元118,用于当所述认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,继续执行pdu会话建立流程。
或者,所述pdu会话建立请求携带在第一信令中,所述第一信令还包括认证参数;所述装置,还包括:
第五接收单元119,在所述第一发送单元通过nef实体向第三方认证实体发送认证请求之后,接收所述第三方认证实体通过所述nef实体发送的认证结果;
第二确认单元1110,用于当所述认证结果指示所述终端设备与所述第三方认证实体之间的认证成功时,继续执行pdu会话建立流程。
进一步地,所述认证结果携带在认证反馈消息中,所述认证反馈消息还包括密钥生成参数;所述装置还包括:
第三发送单元1111,用于向所述终端设备发送所述密钥生成参数,其中,所述密钥生成参数用于所述终端设备与所述第三方认证实体之间的应用层安全建立。
进一步地,所述认证参数包括以下的至少一种:所述终端设备的证书、所述终端设备的用户名或密码、身份验证参数、安全密钥参数;
其中,所述身份验证参数用于所述第三方认证实体验证所述终端设备的身份;所述安全密钥参数用于生成所述终端设备与所述第三方认证实体之间的共享密钥。
进一步地,所述认证请求携带在第二信令中,所述第二信令还包括第一参数;
其中,所述第一参数包括以下的至少一种:所述pdu会话对应的dnn、所述pdu会话对应的s-nssai、所述pdu会话对应的应用标识、所述第三方认证实体的标识。
进一步地,所述装置,还包括:配置单元1112或者获取单元1113。
配置单元1112,用于在所述确定单元112根据参考信息,确定对所述pdu会话进行认证之前,配置所述参考信息;
获取单元1113,用于在所述确定单元112根据参考信息,确定对所述pdu会话进行认证之前,从统一数据管理功能udm实体上、或策略控制功能pcf实体上、或所述nef实体上获取所述参考信息。
本实施例提供的smf实体,通过smf实体接收pdu会话建立请求,pdu会话建立请求用于请求为终端设备建立pdu会话;smf实体根据参考信息确定对pdu会话进行认证之后,通过nef实体向第三方认证实体发送认证请求。提供了一种基于控制面的pdu会话认证的方式,可以在smf实体上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn网络的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
如图12所示,本发明实施例提供了又一种会话处理装置,该会话处理装置可以为终端设备,可以用于执行图3所示实施例中smf实体的动作或步骤,还可以用于执行图7-8所示实施例中终端设备的动作或步骤。该会话处理装置可以包括:确定单元121和发送单元122。
确定单元121,用于根据参考信息,确定对pdu会话进行认证;
发送单元122,用于发送信令消息,所述信令消息包括pdu会话建立请求和用户标识,所述pdu会话建立请求用于请求为终端设备建立所述pdu会话。
进一步地,所述参考信息包括以下的至少一种:dnn,s-nssai,应用标识。
进一步地,所述确定单元121,具体用于:
所述参考信息包括dnn,当所述参考信息包括所述pdu会话对应的dnn时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括应用标识,当所述参考信息包括所述pdu会话对应的应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和应用标识,当所述参考信息包括所述pdu会话对应的dnn和应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和s-nssai,当所述参考信息包括所述pdu会话对应的dnn和s-nssai时,确定对所述pdu会话进行认证。
进一步地,所述第一信令还包括以下的至少一种:所述pdu会话对应的应用标识,认证参数。
进一步地,所述装置,还包括:
接收单元123,用于在所述发送单元122发送第一信令之后,接收会话管理功能smf实体发送的密钥生成参数,其中,所述密钥生成参数用于所述终端设备的应用层安全建立。
本实施例提供的终端设备,通过终端设备根据参考信息,确定对pdu会话进行认证;终端设备发送第一信令,第一信令包括pdu会话建立请求,第一信令还包括用户标识。提供了一种基于控制面的pdu会话认证的方式,可以在终端设备上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn网络的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
如图13所示,本发明实施例提供了另一种会话处理装置,该会话处理装置可以为nef实体,可以用于执行图4所示实施例中nef实体的动作或步骤,还可以用于执行图9-10所示实施例中nef实体的动作或步骤。该会话处理装置可以包括:第一接收单元131和第一发送单元132。
第一接收单元131,用于从smf实体接收认证请求和第一参数,所述认证请求用于请求对pdu会话进行认证;
第一发送单元132,用于根据所述第一参数,将所述认证请求发送给第三方认证实体。
进一步地,所述第一参数包括以下的至少一种:所述pdu会话对应的dnn、所述pdu会话对应的s-nssai、所述pdu会话对应的应用标识、所述第三方认证实体的标识。
进一步地,所述第一发送单元132,包括:
获取子单元1321,用于根据所述第一参数,获得所述第三方认证实体的标识;
发送子单元1322,用于向所述第三方认证实体的标识所指示的第三方认证实体发送所述认证请求。
进一步地,所述获取子单元1321,具体用于:
所述第一参数包括所述pdu会话对应的dnn,根据第一对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第一对应关系为dnn与第三方认证实体的标识之间的对应关系;
或者,
所述第一参数包括所述pdu会话对应的应用标识,根据第二对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第二对应关系为应用标识与第三方认证实体的标识之间的对应关系;
或者,
所述第一参数包括所述pdu会话对应的dnn和所述应用标识,根据第三对应关系以及所述第一参数,获得所述第三方认证实体的标识,所述第三对应关系为dnn,应用标识以及第三方认证实体的标识三者之间的对应关系。
进一步地,所述装置,还包括:
确定单元133,用于在所述第一发送单元132根据所述第一参数,将所述认证请求发送给第三方认证实体之前,根据参考信息,确定对所述pdu会话进行认证,所述参考信息包括以下的至少一种:dnn,s-nssai,应用标识。
进一步地,所述确定单元133,具体用于:
所述参考信息包括dnn,当所述参考信息包括所述第一参数中的dnn时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括应用标识,当所述参考信息包括所述第一参数中所述应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和应用标识,当所述参考信息包括所述第一参数中dnn和应用标识时,确定对所述pdu会话进行认证;
或者,
所述参考信息包括dnn和s-nssai,当所述参考信息包括所述第一参数中dnn和s-nssai时,确定对所述pdu会话进行认证。
进一步地,所述认证请求和所述第一参数携带在第一信令中,所述第一信令还包括所述smf实体的标识;
所述第一发送单元132,具体用于:
将所述认证请求和所述smf实体的标识发送给所述第三方认证实体;
或者,
将所述smf实体的标识转换为所述smf实体的外部标识,并将所述认证请求和所述外部标识发送给所述第三方认证实体。
进一步地,所述装置,还包括:
第二接收单元134,用于在所述第一接收单元132从smf实体接收认证请求和第一参数之前,接收所述第三方认证实体发送的业务注册请求,其中,所述业务注册请求用于请求所述nef实体完成与所述第三方认证实体之间的业务注册流程;
第二发送单元134,用于当所述业务注册流程成功时,生成参考信息,并向所述smf实体或策略控制功能pcf实体发送参考信息;或者,当所述业务注册流程成功时,向所述pcf实体发送第一消息,所述第一消息用于所述pcf实体生成参考信息和/或动态策略控制和计费pcc策略。
进一步地,所述装置,还包括:
建立单元135,用于在所述第一发送单元132根据所述第一参数,将所述认证请求发送给第三方认证实体之前,建立所述smf实体与所述第三方认证实体之间的绑定关系。
本实施例提供的nef实体,通过nef实体从smf实体接收认证请求和第一参数,然后nef实体根据第一参数,将认证请求发送给第三方认证实体。提供了一种基于控制面的pdu会话认证的方式,可以在nef实体上对第三方认证实体进行认证;并且,smf实体通过与smf实体连接的nef实体,向第三方认证实体发送认证请求,使得第三方认证实体可以对终端设备进行认证;进而要求终端设备与dn网络的第三方认证实体进行相互认证,只有当认证通过,才会建立pdu会话。进而通过以上的pdu会话建立的认证,dn网络可以接受合法用户的接入,并且拒绝非法用户的接入,提高了dn网络的安全性;同时,第三方认证实体可以将认证结果通知给5g网络,5g网络可以拒绝为非法用户建立pdu会话,进而节省了网络资源。
如图14所示,本发明实施例提供了一种smf实体,可以用于执行图2所示实施例中smf实体动作或步骤,还可以用于执行图5-6所示实施例中smf节点的动作或步骤,具体包括:处理器1401,存储器1402和通信接口1403。
存储器1402,用于存储程序;
处理器1401,用于执行存储器1402中存储的程序,以实现图2所示实施例中smf实体的动作,或图5-6所示实施例中smf实体的动作,不再赘述。
在本发明实施例中,上述各实施例之间可以相互参考和借鉴,相同或相似的步骤以及名词均不再一一赘述。
如图15所示,本发明实施例提供了一种终端设备,可以用于执行图3所示实施例中终端设备动作或步骤,还可以用于执行图7-8所示实施例中smf节点的动作或步骤,具体包括:处理器1501,存储器1502和通信接口1503。
存储器1502,用于存储程序;
处理器1501,用于执行存储器1502中存储的程序,以实现图3所示实施例中终端设备的动作,或图7-8所示实施例中终端设备的动作,不再赘述。
通信接口1503具体可以是收发器。
在本发明实施例中,上述各实施例之间可以相互参考和借鉴,相同或相似的步骤以及名词均不再一一赘述。
如图16所示,本发明实施例提供了一种nef实体,可以用于执行图4所示实施例中nef实体动作或步骤,还可以用于执行图9-10所示实施例中nef节点的动作或步骤,具体包括:处理器1601,存储器1602和通信接口1603。
存储器1602,用于存储程序;
处理器1601,用于执行存储器1602中存储的程序,以实现图4所示实施例中nef实体的动作,或图9-10所示实施例中nef实体的动作,不再赘述。
在本发明实施例中,上述各实施例之间可以相互参考和借鉴,相同或相似的步骤以及名词均不再一一赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。