用于在无线通信系统中请求在终端和第三方服务器之间的认证的方法、用于所述方法的终端和网络切片实例管理设备与流程

本发明涉及终端、用于在终端与第三方服务器之间的认证请求的方法以及终端和网络切片管理设备；具体地，本发明涉及一种网络切片实例管理设备分配网络以用于终端和第三方服务器之间的认证的方法。

背景技术：

为满足自4g通信系统部署以来对无线数据业务的日益增长的需求，已经努力开发改进的5g或准5g(pre-5g)通信系统。因此，5g或pre-5g通信系统也称为“超4g网络”或“后lte系统”。为实现更高的数据速率，正在考虑在更高频率(mmwave)频带(例如60ghz频带)中实现5g通信系统。针对5g通信系统，为了减少无线电波的传播损耗并增加传输距离，正在讨论波束成形、大规模多输入多输出(mimo)、全维mimo(fd-mimo)、阵列天线、模拟波束成形和大规模天线技术。此外，在5g通信系统中，基于先进小小区、云无线接入网络(ran)、超密集网络、设备到设备(d2d)通信、无线回程、移动网络、协作通信、协作多点(comp)、接收端干扰消除等，正在进行系统网络改进的开发。在5g系统中，已开发了作为高级编码调制(acm)的混合fsk和qam调制(fqam)和滑动窗口叠加编码(swsc)和作为高级接入技术的滤波器组多载波(fbmc)、非正交多址(noma)和稀疏码多址访问(scma)。

作为其中人类生成和消费信息的以人为中心的连接网络的互联网现在正在演进为物联网(iot)，在该物联网中，诸如物件之类的分布式实体在没有人为干预的情况下交换和处理信息。已经出现作为通过与云服务器连接的物联网技术和大数据处理技术的结合的万物互联(ioe)。对于物联网实施，需要诸如“传感技术”、“有线/无线通信和网络基础设施”、“服务接口技术”和“安全技术”之类的技术要素，最近对传感器网络、机器-机器(m2m)通信、机器类型通信(mtc)等进行了研究。这样的iot环境可以提供智能互联网技术服务，其通过收集和分析在连接的物件之间产生的数据来为人类生活创造新的价值。通过现有信息技术(it)的融合和组合，iot可应用于包含智能家居、智能建筑、智能城市、智能汽车或联网汽车、智能电网、医疗保健、智能家电和先进医疗服务的各种领域以及各种工业应用。

根据这些发展，已经进行了各种尝试以将5g通信系统应用于iot网络。例如，诸如传感器网络、机器类型通信(mtc)和机器到机器(m2m)通信的技术可以通过波束成形、mimo和阵列天线来实现。云无线电接入网络(ran)作为上述大数据处理技术的应用也可以被认为是5g技术和iot技术之间的融合的示例。

最近的移动通信系统采用各种新技术来满足快速增加的数据流量和各种服务的要求。为了满足这些要求，正在讨论能够满足这些要求的下一代移动通信系统的5g标准。5g系统也称为新无线电接入技术(nr)系统。nr系统旨在以几gbps的数据速率提供数据服务，其超高带宽比传统lte和lte-a系统的100mhz更宽。

对于5g通信系统，新定义了下一代(ng)核心网络。

在ng核心网络中，引入了一种新的“网络功能”概念，用于虚拟化传统网络实体(ne)。此外，移动性管理实体(mme)的功能分为移动性管理功能和会话管理功能，终端移动性管理随终端使用类型而变化。

同时，5g通信系统必须支持各种类型的终端。例如，5g通信系统需要设计以支持增强型移动宽带(embb)、超可靠低延迟通信(urllc)和大规模机器类型通信(mmtc)服务。在这种情况下，对于ng核心网络对终端进行服务的要求可能随着要提供给终端的服务类型而变化。

例如，embb通信服务可能需要高数据速率，而urllc通信可能需要高可靠性和低延迟。

在这方面，正在讨论用于支持各种服务和终端的网络切片技术(networkslicingtechnology)。

网络切片技术虚拟化物理网络以生成多个逻辑网络。这里，作为基于相应网络切片生成的实例的网络切片实例(networksliceinstance,nsi)可以具有不同的服务特性。也就是说，nsi可以支持适合于各自服务特性的不同网络功能。

也就是说，5g通信系统能够通过向终端分配适合于终端所需的服务特性的nsi来有效地支持5g通信服务。

技术实现要素：

技术问题

在其中5g通信系统支持网络切片技术的情况下，网络运营商可将被切片的网络出租给移动虚拟网络运营商(mvno)或第三方服务(或内容)提供商以创造额外利润。在这种情况下，nsi在功能上彼此隔离以便作为独立网络运行。

第三方服务提供商可以使用租用的网络切片向订购其服务的用户提供改进的服务质量(qos)。在这种情况下，第三方服务提供商需要认证在尝试访问其服务的用户当中的订购其服务的用户的终端。

本发明的目的是提供一种能够认证终端以便所述终端的用户使用基于由第三方服务提供商租用的网络切片创建的nsi的方法和设备。

本发明的目的不限于上述，本领域技术人员从下面描述中将清楚地理解在本文中未描述的其它目的。

技术方案

根据本发明一方面，一种终端向第三方服务器请求认证的方法包括：发送包括由与第三方服务器关联的应用提供的租户标识符(id)和切片类型的服务请求消息到公共控制平面网络功能服务单元；如果基于服务请求消息而由公共控制平面网络功能服务单元选择的网络切片实例管理设备建立了用于该终端与第三方服务器之间的认证的受限(limited)数据会话(受限分组数据单元会话)，则从网络切片实例管理设备接收包含与所述受限数据会话有关的信息的服务响应消息；以及基于所述服务响应消息经所述受限数据会话发送请求对所述终端进行认证的认证请求消息到第三方服务器。

根据本发明另一方面，一种网络切片实例管理设备(网络切片实例单元)建立数据会话的方法包括：从终端接收服务请求消息；基于所接收的服务请求消息建立用于所述终端和第三方服务器之间的认证的受限数据会话(受限分组数据单元会话)；并且向所述终端发送包含与所述受限数据会话有关的信息的服务响应消息以在所述终端和所述第三方服务器之间分配所述受限数据会话。

根据本发明另一方面，一种请求第三方服务器进行认证的终端包括：通信单元，被配置为于与外部节点通信；存储单元，被配置为存储租户标识符(id)和切片类型；处理器，被配置为：控制通信单元将包括由与第三方服务器相关联的应用提供的租户标识符(id)和切片类型的服务请求消息发送到公共控制平面网络功能服务单元；如果基于所述服务请求消息而由所述公共控制平面网络功能服务单元选择的网络切片实例管理设备建立了用于所述终端与所述第三方服务器之间的认证的受限数据会话(受限分组数据单元会话)，则从所述网络切片实例管理设备接收包含与受限数据会话有关的信息的服务响应消息；以及基于所述服务响应消息经所述受限数据会话发送请求对所述终端进行认证的认证请求消息到所述第三方服务器。

根据本发明又一方面，用于建立数据会话的网络切片实例管理设备(网络切片实例单元)包括：通信单元，被配置为与外部节点通信；以及控制器，被配置为控制通信单元以从终端接收服务请求消息、基于所接收的服务请求消息建立用于所述终端与第三方服务器之间的认证的受限数据会话(受限分组数据单元会话)并且发送包括关于所述受限数据会话的信息的服务响应消息到所述终端以在所述终端和所述第三方服务器之间分配所述受限数据会话。

有益技术效果

根据本发明的使用网络切片的认证方法在简化终端和第三方服务器之间的认证过程方面是有利的。

本发明的有利之处在于：仅在终端上安装与第三方服务器相关联的应用使得有可能便于将所安装的应用的流量发送到第三方服务器。

本发明的有利之处还在于：第三方服务器能够根据传统用户认证方案认证终端的用户以使用网络切片。这使得可以简化无线通信网络部署方案并期望降低成本的效果。

可以在本发明的实施例的描述中明确地或隐含地公开其它效果。也就是说，在本发明的实施例的以下描述中，本发明所期望的各种效果将变得清楚。

附图说明

图1是说明根据本发明实施例的5g无线通信系统的图；

图2是示出根据本发明实施例的向第三方服务器请求认证的终端的配置的框图；

图3是示出根据本发明实施例的ue向第三方服务器请求认证以使用网络切片的过程的信号流程图；

图4是示出根据本发明实施例的无线通信系统中的ue的配置的框图；

图5是示出根据本发明实施例的无线通信系统的nsi单元的配置的框图；

图6是示出根据本发明实施例的在无线通信系统中ue向第三方服务器请求认证的过程的流程图；和

图7是示出根据本发明实施例的nsi单元在无线通信中建立数据会话的过程的流程图。

具体实施方式

参考附图详细描述本发明的示例性实施例。贯穿附图使用相同的附图标记表示相同或相似的部分；可以省略对这里包含的公知功能和结构的详细描述以避免模糊本发明的主题。此外，以下术语考虑到本发明中的功能来定义，并且可以根据用户或操作者的意图、使用等改变。因此，应该基于本说明书的整体内容来进行所述定义。

如本文所用，单数形式“一”、“一个”和“该”旨在也包括复数形式，除非上下文另有明确说明。

如本文所用，诸如“第一”、“第二”等的序数术语用于描述各种组件；但是，显然不应该用这些术语来限定所述组件。这些术语仅用于区分一个组件与另一个组件。例如，在不脱离本发明构思的教导的情况下，第一组件可以被称为第二组件，并且同样地，第二组件也可以被称为第一组件。此外，表达“和/或”被视为所列举事物的每个和任何组合的特定发明。

这里使用的术语仅用于描述特定实施例的目的，并不意图限制本发明。如本文所用，除非上下文另有明确说明，否则单数形式也旨在包括复数形式。应当理解，术语“包括”和/或“具有”在本说明书中使用时，指定所述特征、数量、步骤、操作、组件、元素或其组合的存在，但它们不排除存在或添加一个或多个其它特征、数字、步骤、操作、组件、元素或其组合。

与“与......相关联”和“与其相关联”的短语及其派生词可以意味着包括、包括在内、与…互连、包含、被包含…内、连接到或与…连接、耦合到或与…耦合、与…可通信、与…合作、交错、并置、接近、被绑定到或与…绑定、具有、具有…属性等。

当描述某个部分(功能上或可通信地)“连接到”或“耦合到”另一部分时，这可能意味着不仅包括“直接连接到”的情况而且还包括通过在其间插入另一设备而“间接连接到”。

当描述第一部分将数据发送到第二部分时，这可能意味着不仅包括直接从第一部分向第二部分递送数据的情况，而且还包括从第一部分经由另一部分(例如第三部分)递送数据到第二部分的情况。例如，如果表达终端将数据发送到核心网络，则这可能意味着包括终端经由基站或接入点(ap)将数据发送到核心网络的情况。

除非本文另有定义，否则本文使用的包括技术或科学术语的所有术语具有与本发明所属领域的技术人员通常理解的含义相同的含义。将进一步理解，诸如在常用词典中定义的那些术语应被解释为具有与其在说明书和相关领域的上下文中的含义一致的含义，并且不应被理想化或过于正式地解释，除非在此明确定义。

在下面对本发明进行详细描述之前，阐述整个说明书中使用的某些词和短语的定义可能是有利的。然而，应该注意，词语和短语不限于本文的示例性解释。

术语“基站”表示向终端分配资源以与其进行通信的实体，并且可以互换地称为bs、节点b(nb)、演进节点b(enb)、下一代无线电接入网络(ngran)、无线电接入单元、基站控制器和网络上的节点。

术语“终端(或通信终端)”可以表示与基站或另一终端通信的实体，并且可以可互换地称为节点、用户设备(ue)、下一代ue(ngue)、移动站(ms)、移动设备(me)和设备。

终端可以包括智能电话、平板个人计算机(pc)、移动电话、视频电话、电子书阅读器、台式pc、膝上型pc、上网本计算机、个人数字助理(pda)、便携式多媒体播放器(pmp)、mp3播放器、医疗设备、相机和可穿戴设备中至少之一。终端还可以包括电视(tv)、数字视频盘(dvd)播放器、音频播放器、冰箱、空调、清洁器、烤箱、微波炉、洗衣机、电视机、空气净化器、机顶盒、家庭自动化控制面板、安全控制面板、媒体盒(例如samsunghomesync^tm、appletv^tm或googletv^tm)、游戏台(例如xbox^tm和playstation^tm)、电子词典、电子钥匙、便携式摄像机和电子相框中至少之一。终端还可以包括医疗设备(诸如便携式医疗测量设备(包括血糖仪、心率监测器、血压监测器和体温温度计)、磁共振血管造影(mra)设备、磁共振成像(mri)设备、计算机断层扫描(ct)设备、便携式摄像机和微波扫描仪)、导航设备、全球导航卫星系统(gnss)、事件数据记录器(edr)、飞行数据记录仪(fdr)、汽车信息娱乐设备、船用电子设备(诸如船用导航系统和陀螺罗盘)、航空电子设备(航电设备)、安全设备、汽车主机、工业或家用机器人、无人机、自动柜员机(atm)、销售点(pos)终端和物联网(iot)设备(诸如电灯泡、传感器、喷水灭火系统、火灾报警系统、温度控制器、路灯、烤面包机、健身器材)、热水箱、加热器和锅炉)中至少之一。

终端还可以包括各种类型的具有通信功能的多媒体系统。

尽管本发明的实施例针对5g无线通信系统，但是本发明可应用于具有类似技术背景的其它通信系统。本领域技术人员还将理解：在不脱离本发明的精神和范围的情况下，本发明可以稍加修改而应用于其它通信系统。

图1是示出根据本发明的实施例的5g无线通信系统的图。

在图1中，ngue101表示由5g无线通信系统服务的终端，ngran103表示在5g无线通信系统中执行与ue的无线通信的基站。公共控制平面网络功能(ccnf)105与ngran103连接以处理用于管理ngue101的控制消息并管理ngue101的移动性。ccnf105可以具有网络控制功能中的网络功能集，该网络功能集包括基于网络切片110、120和130创建的nsi的可共用的网络功能。

例如，公共网络功能可以包括移动性管理网络功能mmnf、认证/授权nf、nsi选择器nf和非接入层路由nf(nas路由nf)。在它们当中，nsi选择器nf可以是用于选择提供ue101请求的服务的最佳nsi的网络功能。nas路由nf可以负责将来自ue101的nas信号路由到适当的nsi。

订户储存库107可以接收订户信息以认证ue101，并且包括用于提供qos策略的订购信息。

为使用各个网络切片110、120和130而创建的nsi可以包括各自的控制平面nf(cpnf)131a至131n和用户平面nf(upnf)。cpnf负责用于建立、修改和释放服务的会话的会话管理。upnf可以通过ip地址分配来管理到数据网络140的服务数据传输。

如图1所示，ue1010可连接到多个nsi。即，可能存在多个参考点。

例如，ng1接口151是在ue101和cpnf之间建立的接口，并且可在角色上类似于传统lte通信网络中的nas信令的接口。ng2接口152是在ran103和cpnf之间建立的接口，并且可在角色上类似于传统lte通信网络中的s1-mme信令的接口。ng3接口153是在ran103和upnf之间建立的接口，并且可在角色上类似于传统lte通信网络中的s1-u承载接口。

在这种情况下，ng1接口151和ng2接口152上的信令可以经由ccnf105访问pernsicpnf，并且ng3接口153可以提供从ran103到per-nsiupnf的直接连接。

在以下描述中，为便于说明，负责ccnf的设备被称为公共控制功能提供设备(ccnf单元)，负责nsi功能的设备被称为网络切片实例管理设备(nsi)，负责cpnf的设备被称为网络会话管理设备(cpnf单元)，以及负责upnf的设备被称为网络数据管理设备(upnf单元)的设备。

这里，术语“设备”可以是软件硬件、固件或其任何组合的单元；例如，术语“模块”可以与术语“单元”、“逻辑”、“逻辑块”、“组件”或“电路”互换使用。设备的至少一部分可以以具有命令的程序模块的形式实现，其中命令存储在计算机可读存储介质中。该设备还可以包括专用集成电路(asic)芯片、现场可编程门阵列(fpga)、以及为某些操作已知或将要开发的可编程逻辑器件。

可以将至少两个设备集成到一个设备中。在这种情况下，集成的设备可以实现为作为一个设备的部分的硬件、软件或固件模块。例如，nsi管理设备(nsi单元)可以包括实现作为nsi管理设备(nsi单元)的部分的软件模块的网络会话管理设备(cpnf单元)和网络数据管理设备(upnf单元)。

图2是示出根据本发明实施例的向第三方服务器请求认证的终端的配置的框图。

在图2中，可以在ngue200上安装与第三方服务器相关联的第三方应用201。可以安装与第三方服务器相关联的第三方应用201，以便使用由运营第三方服务器的第三方服务提供商租用的网络切片。

第三方应用201可由第三方服务提供商或与一个或多个第三方服务提供商合作的应用提供商提供。例如，如果由第三方服务提供商操作的第三方服务器是社交网络服务器(sns)服务器，则该应用可以是与sns服务器相关联的应用。

第三方应用201可以与租户标识符(id)和切片类型一起安装在ue200上，该租户标识符用于标识提供该应用的第三方服务提供商，该切片类型指定服务要求。切片类型可以包括关于数据的使用或类型的信息，作为示例，其指示数据是多媒体数据还是iot数据。

在这种情况下，如果第三方应用201与租户id和切片类型一起安装在ue200上，则这意味着在第三方应用201的安装期间、之后或自从安装开始一旦检测到预定事件，租户id和切片类型与该应用相关联地或绑定地存储在ue200中。

如果安装了第三方应用201，则可以经由应用处理器(ap)203将租户id和切片类型发送到通信处理器(cp)205，经由控制信令将租户id和切片类型发送到通信网络。

在这种情况下，第三方服务提供商可以具有每运营商的租户id和切片类型，租户id和切片类型基于由ue预订的运营商的公共陆地移动网络标识符(plmnid)来确定并发送给cp205。

在ue200上安装或执行第三方应用201或者生成触发第三方服务的事件(例如当用户选择无线通信连接ui时发生的事件)的情况下，cp可以向ccnf单元发送包含租户id和切片类型的服务请求消息。

接下来，如果ccnf单元基于租户id和切片类型选择了nsi单元，则ue200可以通过由nsi单元建立的数据会话向第三方服务器以发送第三方应用200的流量。

如上所述，ue能够仅利用安装与第三方服务器相关联的应用的操作而使用由第三方服务提供商租用的网络切片。也就是说，用户仅需要安装该应用，以便所安装的应用的流量通过网络切片而传输到第三方服务器。

根据各种实施例，可以从第三方服务器获取租户id和切片类型。例如，在安装了与第三方服务器相关联的应用的情况下，ue可以向第三方服务器请求租户id和切片类型。如果第三方服务器响应于来自ue的请求而发送租户id和切片类型，则ue可以基于所接收的租户id和切片类型而使用由第三方服务提供商租用的网络切片。

图3是示出根据本发明实施例的ue向第三方服务器请求认证以使用网络切片的过程的信号流程图。

在图3中，无线通信系统可以包括ue301、ran302、ccnf单元(服务ccnf单元或ccnf服务单元)303、nsi单元(由第三方租用的核心nsi)304、cpnf单元(切片cpnf单元)、upnf单元(切片upnf单元)和第三方服务器307。这里，第三方服务器307是用于提供第三方服务或执行提供第三方服务的用户认证的第三方服务相关服务器。

在这种情况下，ue301可以处于被预先附接到通信运营商网络的状态。ue301还可以处于被通过通信操作认证的状态并且被分配ueid。ue301还可以处于具有与安装的第三方服务器307相关联的应用以及与该应用一起的租户id和切片类型的状态。

在步骤311和312，ue301可以向通信网络301发送新的服务请求消息。例如，如果与第三方服务器相关联的应用被安装或执行或者生成触发第三方服务的事件，则ue301可以发送新的服务请求消息。如上所述，新服务请求消息可以包括租户id、切片类型和预先分配的ueid，这是因为第三方应用、租户id和切片类型彼此相关联。

详细地，ue301在步骤311向ran302发送新的服务请求消息，并且ran在步骤312将新的服务请求消息中继到ccnf单元303。

在步骤313，ccnf单元303可以借助nsi选择器nf选择适合于所接收的租户id和切片类型的nsi单元305。

在步骤314，ccnf单元303可将新的服务请求消息中继到nsi单元304。

nsi单元304可以基于新的服务请求消息而建立用于ue301和第三方服务器307之间的认证的受限数据会话，以发送用于认证的流量。受限数据会话可以是具有受限带宽和http重定向的数据会话。

也就是说，除通信运营商的认证过程外，ue301可能还需要通过第三方服务提供商的认证过程，以便使用由第三方服务提供商租用的nsi单元304。或者，如果第三方服务提供商尚未租用nsi单元304，则可不执行认证过程。

详细地，在步骤315，nsi单元304的cpnf单元305可以向upnf单元306发送会话创建请求消息。会话创建请求消息可以包括ueid、数据会话标识符(分组数据单元(pdu)会话id)以及为受限会话适当地预定义的策略和计费控制(pcc)规则。

这里，pcc规则可以包括受限带宽和http重定向信息。为了用于ue301的认证，可能需要将数据会话建立为受限分组数据单元会话。为此目的，数据会话在流量带宽上限于预定带宽(例如64kbps)，并且http重定向被配置得使所有流量都面向第三方服务器。也就是说，ue301可以仅仅通过数据会话(pdu会话)而被认证。

在步骤316，upnf单元306可以响应于会话创建请求消息而向cpnf单元305发送会话创建响应消息。会话创建响应消息可以包括ueid和ue因特网协议(ip)地址。

在步骤317，cpnf单元305可以响应于在步骤314发送的新的服务请求消息而向ue301发送包括与受限数据会话有关的信息的新服务响应消息，以便建立用于在ue301和第三方服务器307之间的认证的受限会话。向ue301发送新的服务响应消息的过程可以包括经由ran302向ue301发送新的服务响应消息。

例如，与受限数据会话相关的信息可以包括ueid、ueip地址、租户id、切片类型、数据会话标识符和预定qos简档。

结果，在步骤318，可以在ue301和第三方服务器307之间建立受限数据会话。

如果会话被建立，则ue301(安装在ue301上的第三方应用301-1)可连接到第三方服务器307以进行用户认证。在这种情况下，可以遵照预定义的认证方案来执行用户认证。例如，认证方案的示例可包括凭证认证方案、公钥/私钥对认证方案、证书认证方案、私有信息认证方案和id/口令认证方案。也就是说，第三方服务器307可以基于传统认证方案直接执行对ue的认证。

详细地，如果建立了受限数据会话，则第三方应用301-1可以在步骤319通过受限数据会话将第三方服务请求消息作为用于认证ue301的认证请求消息发送到第三方服务器307。第三方服务请求消息可以包括ue301的用户的标识符、口令和网络标识符(plmnid)。可以在步骤320基于第三方服务请求消息在ue301和第三方服务器307之间执行用户认证。

如果用户认证成功，则第三方服务器307可以在步骤321将服务响应消息作为认证响应消息发送到第三方应用301-1。服务响应消息可以包括令牌，该令牌包含待应用于ue301的作为更新规则的pcc规则和临时标识符。

在步骤322，第三方服务器307可以向cpnf单元305发送包括发送到ue301的令牌的服务认证服务器结果消息。

在步骤323，ue301可以将包括令牌的服务认证应用结果方法发送到cpnf单元305。

cpnf单元305可以基于从第三方服务器307接收的服务认证服务器结果消息和从ue301接收的服务认证应用结果消息来识别ue301使用nsi单元304的权利并根据第三方服务器提供的令牌中包含的pcc规则来更新临时建立的受限数据会话。

详细地，如果cpnf单元305在步骤324发送包括用于更新数据会话、数据会话标识符和ue标识符的pcc规则的消息到upnf单元306，则upnf单元306可以基于pcc规则更新先前建立的数据会话。

结果，在步骤325，在ue301和第三方服务器307之间分配更新的数据会话。

例如，如果在先前建立的数据会话期间在通信运营商网络中ue301的用户可用的流量带宽是50mbps，则可以在基于新的pcc规则更新的数据会话中将流量带宽更新为100mbps。

第三方应用301-1和cpnf单元305都可以存储从第三方服务器307接收的令牌。

令牌可以包括定时器。ue301可以使用先前认证的nsi单元304直到该定时器到期为止。在这种情况下，可以省略ue301和第三方服务器307之间的任何附加认证过程。

因为pcc规则存储在cpnf单元305中，所以可以基于pcc规则建立适合于使用第三方服务的新数据会话。

图4是示出根据本发明实施例的无线通信系统中的ue的配置的框图。

如图所示，ue包括射频(rf)处理器410、基带处理器420、存储单元440和控制器450。

rf处理器410具有通过无线电信道发送/接收信号的功能，例如频带转换和信号放大。也就是说，rf处理单元410将来自基带处理器420的基带信号上变频为rf频带信号并经由天线发送rf信号，以及将经由天线接收的rf信号下变频为基带信号。例如，rf处理器410可包括发送滤波器、接收滤波器、放大器、混频器、振荡器、数模转换器(dac)和模数转换器(adc)。尽管在附图中描绘了一个天线，但是ue可设置有多个天线。rf处理器410还可包括多个rf链。rf处理器410可执行波束成形。对于波束成形，rf处理器410可调整借助天线或天线元件发送/接收的信号的相位和大小。rf处理器410可以被配置为执行mimo操作，ue可通过该操作同时接收多个层。rf处理器410可通过适当地配置天线或天线元件来执行接收波束扫描操作，并且调整接收波束方向和宽度，使得接收波束与相应的发送波束对准。

基带处理器420具有根据系统的物理层标准的基带信号比特串转换功能。例如，在数据发送模式中，基带处理器420对传输比特串执行编码和调制以生成复符号。在数据接收模式中，基带处理器420对来自rf处理器410的基带信号执行解调和解码以恢复发送的比特串。在使用ofdm方案进行数据传输的情况下，基带处理器420对传输比特串执行编码和调制以生成复符号、将复符号映射到子载波、对符号执行快速傅里叶逆变换(ifft)以及将循环前缀(cp)插入符号中以生成ofdm符号。在数据接收模式中，基带处理器420将来自rf处理器410的基带信号分成ofdm符号、对ofdm符号执行快速傅里叶变换(fft)以恢复映射到子载波的信号并对信号执行解调和解码以恢复发送的比特串。

如上所述，基带处理器420和rf处理器410处理发送和接收信号。因此，基带处理器420和rf处理器410可被称为发送器、接收器、收发器或通信单元430。通信单元430可与外部节点通信。作为示例，外部节点可是本发明的ngran、ccnf单元、nsi单元或第三方服务器；如果通信单元430与外部节点通信，则这可包括通信单元430经由中间介质与外部节点通信。例如，如果通信单元430与ccnf单元通信，则这可包括通信单元430经由ngran与ccnf单元通信。或者，如果通信单元430与第三方服务器通信，则这可包括通信单元430经由ngran和nsi单元与第三方服务器通信。

基带处理器420和rf处理器410中的至少一个可以包括用于支持不同无线电接入技术的多个通信模块。基带处理器420和rf处理器410中的至少一个还可以包括多个通信模块，用于处理不同频带中的信号。例如，不同的无线电接入技术可以包括lte网络和nr网络。不同的频带可以包括超高频(shf)频带(例如2.5ghz和5ghz频带)和mmwave频带(例如60ghz)。

存储单元440可以存储诸如用于ue的操作的基本程序、应用程序和设置信息之类的数据。存储单元440可以响应于来自控制器450的请求而提供存储的数据。作为示例，存储单元440可以包括内部存储器和外部存储器。举例来说，内部存储器可以包括易失性存储器(例如dram、sram和sdram)，非易失性存储器(例如一次性可编程rom(otprom))、prom、eprom、eeprom、掩模rom、闪存rom、闪存、硬盘驱动器和固态驱动器(ssd)中至少之一。外部存储器可以包括闪存驱动器，例如紧凑型闪存(cf)、安全数字(sd)、micro-sd、mini-sd、极端数字(xd)、多媒体卡(mmc)和记忆棒。外部存储器可以通过各种接口在功能上或物理上连接到ue。

在本发明中，安装与第三方服务器相关联的应用，并且存储单元440可以存储与应用相关联的租户id和切片类型。

控制器450控制ue的整体操作。例如，控制器440控制通信单元430发送和接收信号。控制器450还向存储单元440写入数据和从存储单元440读取数据。为此目的，控制器450可以包括至少一个处理器。例如，控制器450可以包括用于控制通信的通信处理器(cp)和用于控制诸如应用的更高层程序的应用处理器(ap)。

根据各种实施例，控制器450可以控制通信单元430向ccnf单元发送包括由与第三方服务器相关联的应用提供的租户id和切片类型的服务请求消息。如果由ccnf单元选择的nsi单元建立了用于ue与第三方服务器之间的认证的受限数据会话，则控制器450可以控制通信单元430从nsi单元接收包括关于受限数据会话的信息的服务响应消息。控制器450还可以基于服务响应消息来控制通信单元430通过受限数据会话向第三方服务器发送用于请求对ue的认证的认证请求消息。

根据各种实施例，当应用被安装在ue中时，租户id和切片类型可以与应用相关联地存储在ue中。

根据各种实施例，在控制器450被配置为控制通信单元430发送服务请求消息的情况下，如果在ue上安装或执行第三方应用或者生成触发第三方服务的事件，则控制器控制通信单元经由ngran将服务请求消息发送到ccnf单元。

根据各种实施例，如果ue被认证，则控制器450可以控制通信单元430从第三方服务器接收包括令牌的认证响应消息。

根据各种实施例，控制器450可以控制通信单元430将包括令牌的服务认证结果消息发送到nsi单元，并且通过基于该服务认证结果消息而更新的数据会话将应用的流量转发到第三方服务器。

根据各种实施例，可以基于ue订阅的通信运营商的网络标识符(plmnid)来确定租户id和切片类型中的至少一个。

图5是示出根据本发明实施例的无线通信系统的nsi单元的配置的框图。

如图所示，nsi单元包括通信单元510和控制器520。

通信单元510可与外部节点通信。作为示例，外部节点可是本发明的ngran、ccnf单元、nsi单元或第三方服务器；如果通信单元510与外部节点通信，则这可包括通信单元430经由中间介质与外部节点通信。例如，如果通信单元510与ue通信，则这可包括通信单元510经由ngran与ue通信。

存储单元(未示出)存储诸如用于nsi单元的操作的基本程序、应用程序和设置信息的数据。存储单元(未示出)可以响应于来自控制器520的请求而提供存储的数据。作为示例，存储单元(未示出)可以包括内部存储器和外部存储器。内部存储器可以包括易失性存储器(例如dram、sram和sdram)、非易失性存储器(例如一次性可编程rom(otprom))、prom、eprom、eeprom、掩模rom，闪存rom、闪存、硬盘驱动器和固态驱动器(ssd)中至少之一。外部存储器可以包括闪存驱动器，例如紧凑型闪存(cf)、安全数字(sd)、micro-sd、mini-sd、极端数字(xd)、多媒体卡(mmc)和记忆棒。外部存储器可以通过各种接口在功能上或物理上连接到nsi单元。

控制器520控制nsi单元的整体操作。例如，控制器520控制通信单元510发送和接收信号。控制器520还向存储单元(未示出)写入数据和从存储单元读取数据。为此目的，控制器520可以包括至少一个处理器。例如，控制器520可以包括用于控制通信的通信处理器(cp)和用于控制诸如应用的更高层程序的应用处理器(ap)。

根据各种实施例，控制器520可以控制通信单元510从ue接收服务请求消息。控制器520可以基于所接收的服务请求消息建立用于ue与第三方服务器之间的认证的受限数据会话。控制器520还可控制通信单元510将包括关于受限数据会话的信息的服务响应消息发送到ue以用于分配受限数据会话。

根据各种实施例，如果通过受限数据会话在ue和第三方服务器之间实现认证，则控制器520可控制通信单元510从第三方服务器接收包括更新规则的服务认证结果消息。控制器520还可基于更新规则建立更新的数据会话。

根据各种实施例，如果控制器被配置为控制通信单元510从无线通信系统中的ue接收服务请求消息，则控制器可以控制通信单元510经由nsi选择的ccnf单元从ue接收服务请求消息。

根据各种实施例，如果控制器520被配置为建立用于在ue和第三方服务器之间的认证的会话，则它可以元基于服务请求消息来控制cpnf单元向upnf单元发送会话创建请求消息。控制器520还可以响应于会话创建请求消息而控制upnf单元向cpnf单元发送会话创建响应消息。

图6是示出根据本发明实施例的ue在无线通信系统中向第三方服务器请求认证的过程的流程图。

在步骤601，ue可以首先向ccnf单元发送包含由与第三方服务器相关联的应用提供的租户id和切片类型的服务请求消息。

这里，当应用正被安装到ue上时，租户id和切片类型可以与应用相关联地存储到ue中。可以基于ue先前订阅的通信运营商的网络id(plmnid)来确定租户id和切片类型中的至少一个。

在ue被配置为发送服务请求消息的情况下，如果在ue上安装或执行第三方应用或者生成触发第三方服务的事件，则ue可以经由gnran将服务请求消息发送到ccnf单元。

如果由ccnf单元选择的nsi单元建立了用于ue与第三方服务器之间的认证的受限数据会话，则在步骤603，ue可以从nsi单元接收包含与受限数据会话有关的信息的服务响应消息。

接下来，在步骤605，ue可以基于服务响应消息通过受限数据会话向第三方服务器发送对ue的认证的认证请求消息。

如果ue被认证，则它可从第三方服务器接收包含令牌的认证响应消息。

接下来，ue可以向nsi单元发送包含令牌的服务认证结果消息。然后，ue可以经由基于服务认证结果消息更新的数据会话向第三方服务器发送应用的流量。

图7是示出根据本发明实施例的nsi单元在无线通信中建立数据会话的过程的流程图。

在步骤701，nsi单元可以首先从ue接收服务请求消息。在这种情况下，nsi单元可以经由已经选择了nsi的ccnf从ue接收服务请求消息。

接下来，在步骤703，nsi单元可以建立用于在ue和第三方服务器之间的认证的受限数据会话。

例如，nsi单元的cpnf单元可以基于服务请求消息向nsi单元的upnf单元发送会话创建请求消息。响应于会话创建请求消息，upnf单元可以向cpnf单元发送包含与建立的数据会话有关的信息的会话创建响应消息。

接下来，在步骤705，nsi单元可向ue发送包含与受限数据会话有关的信息的服务响应消息，以用于在ue和第三方服务器之间分配受限数据会话。

如果通过受限数据会话获得了ue和第三方服务器之间的认证，则nsi单元可以从第三方服务器接收包含更新规则的服务认证结果消息。nsi单元可以基于更新的规则建立更新的数据会话。

结果，ue可以通过更新的数据会话向第三方服务器发送应用的流量。

根据本发明的实施例，无线通信系统或方法(例如操作)的组件(例如模块或其功能)中的至少一部分可以以存储在非暂时性计算机可读存储介质中的程序模块的形式来实现。在指令被处理器执行的情况下，所述处理器可以执行与所述指令对应的功能。

这里，根据本发明实施例，程序可以被存储到非暂时性计算机可读存储介质中并且可以被计算机读取和执行。

这里，非暂时性存储介质可以包括临时存储用于操作或传输的数据的易失性和非易失性存储器，诸如电阻器、高速缓存和缓冲器以及存储半持久性地由设备读取的数据的介质。然而，诸如信号和电流的临时传输介质不包括在非暂时性存储介质中。

具体地，上述程序可以在存储在诸如cd、dvd、硬盘、蓝光盘、usb、本发明的设备的内部存储器、存储卡、rom和ram的非暂时性计算机可读存储介质中的状态下被提供。

上述程序还可以存储在服务器的存储器中并且通过网络发送到连接到服务器的终端(例如本发明的设备)以供程序提供商(例如程序开发者和程序生产者)销售或转移或注册到服务器。

在将上述程序从服务器发送到终端以进行销售的情况下，可以在发送之前临时将至少部分程序加载到服务器的缓冲器上。在这种情况下，服务器的缓冲器可以是非暂时性存储介质。

根据实施例，非暂时性计算机可读存储介质可存储被终端执行的程序，其：发送包含由与第三方服务器相关联的应用提供的租户id和切片类型的服务请求消息到ccnf单元；如果基于所述服务请求消息由所述ccnf单元选择的nsi单元建立了用于所述终端和所述第三方服务器之间的认证的受限数据会话，则从所述nsi单元接收包含与所述受限数据会话有关的信息的服务响应消息；基于所述服务响应消息，通过所述受限数据会话向所述第三方服务器发送对于认证终端的认证请求消息。

根据实施例，非暂时性计算机可读存储介质可以存储由nsi单元执行的程序，其：从终端接收服务请求消息；基于所接收的服务请求消息建立用于所述终端和第三方服务器之间的认证的受限数据会话；并将包含与所述受限数据会话有关的信息的服务响应消息发送到所述终端以在所述终端和所述第三方服务器之间分配所述受限数据会话。

尽管已经参考特定实施例进行了描述，但是在不脱离本发明的范围的情况下，可以以各种修改来实现本发明。因此，本发明不限于所公开的特定实施例，并且将包括以下权利要求及其等同。