一种控制网络切片认证的方法、装置、设备及存储介质与流程

1.本发明涉及通信技术领域，尤其涉及一种控制网络切片认证的方法、装置、设备及存储介质。


背景技术：

2.当需要aaa(authentication、authorization、accounting，验证、授权和记账)服务器对s-nssai(single network slice selection assistance information，单一网络切片选择辅助信息)进行认证和授权时，触发网络切片特定的认证和授权过程。aaa服务器可属于hplmn(home public land mobile network，本地公用陆地移动网络)运营商或第三方，如果aaa服务器属于第三方，则hplmn内需要部署aaa代理。
3.在注册过程中，如果amf(access and mobility management function，接入和移动管理功能)决定需要对allowed(允许的)nssai(network slice selection assistance information，网络切片选择辅助信息)中的s-nssai进行认证和授权，或者aaa服务器触发重新认证时，则amf触发网络切片特定的认证和授权过程。在该过程中，amf充当eap(extensible authentication protocol，可扩展的身份验证协议)认证者的角色，并通过ausf(authentication server function，鉴权服务功能)与aaa服务器通信。
4.目前的网络切片特定的认证和授权机制不支持ue(user equipment，用户设备)通过3gpp接入和非3gpp接入连接到不同plmn(public land mobile network，公用陆地移动网络)的场景。例如，amf1和amf2分别为ue通过不同的接入技术连接的amf(分别位于不同的plmn内)，amf1为ue分配了allowed nssai1，amf2为ue分配了allowed nssai2。这两个allowed nssai可包括不同的s-nssai。当ausf从aaa服务器接收到认证s-nssai1的请求时，根据现有技术的方案，ausf无法判断s-nssai1位于哪个allowed nssai内，因此无法判断向哪个amf发起认证过程。


技术实现要素：

5.本发明实施例提供一种控制网络切片认证的方法、装置、设备及存储介质，以解决现有的网络切片认证和授权机制不支持ue有多个服务管理功能实体的场景而导致的无法认证的问题。
6.第一方面，本发明实施例提供了一种控制网络切片认证的方法，应用于第一网元，所述第一网元包括ausf，包括：
7.从第二网元获取第三网元的标识信息；
8.根据所述标识信息，向所述第三网元发送认证和授权通知。
9.其中，所述标识信息包括allowed nssai和第三网元的id；
10.所述认证和授权通知中携带需要授权和认证的s-nssai；
11.所述根据所述标识信息，向所述第三网元发送认证和授权通知，包括：
12.确定第一目标第三网元，其中，所述需要授权和认证的s-nssai位于所述第一目标
第三网元的allowed nssai中；
13.向所述第一目标第三网元发送认证和授权通知。
14.其中，所述标识信息包括第三网元的id；在所述从第二网元获取第三网元的标识信息之前，所述方法还包括：
15.向所述第二网元发送第一目标s-nssai；
16.所述从第二网元获取第三网元的标识信息，包括：
17.从所述第二网元获取一个以上的第三网元的id，其中，第一目标s-nssai位于所述一个以上的第三网元的allowed nssai中；
18.所述根据所述标识信息，向所述第三网元发送认证和授权通知，包括：
19.根据所述id，向一个以上的第三网元中的至少一个第三网元发送认证和授权通知。
20.其中，所述标识信息包括第三网元的id；
21.所述根据所述标识信息，向所述第三网元发送认证和授权通知，包括：
22.向所述id标识的第三网元请求所述id标识的第三网元为终端分配的allowed nssai；
23.根据所述id标识的第三网元发送的allowed nssai，确定第二目标第三网元，其中，需授权需要授权和认证的s-nssai位于所述第二目标第三网元的allowed nssai中；
24.向所述第二目标第三网元发送认证和授权通知。
25.其中，当所述第三网元为两个以上时，在所述向所述第三网元发送认证和授权通知之后，所述方法还包括：
26.从两个以上的第三网元中的第三目标第三网元获取认证和授权结果，并向所述两个以上的第三网元中的其他第三网元发送所述认证和授权结果，所述第三目标第三网元为所述第三网元中的任一第三网元。
27.其中，当所述第三网元为两个以上时，所述根据所述标识信息，向所述第三网元发送认证和授权通知，包括：
28.根据所述标识信息，从两个以上的第三网元中选择第四目标第三网元；
29.向所述第四目标第三网元发送认证和授权通知。
30.其中，所述方法还包括：
31.接收第四网元的第一消息，所述第一消息中携带eap成功或者eap失败；
32.向所述第四目标第三网元发送第二消息，所述第二消息中携带eap成功或者eap失败；
33.向第五目标第三网元发送第三消息，所述第三消息中携带eap成功或者eap失败，所述第五目标第三网元为两个以上的第三网元中除所述第四目标第三网元之外的第三网元。
34.其中，所述第三网元为两个以上时，所述认证和授权通知中携带第一指示；
35.在所述向所述第三网元发送认证和授权通知之后，所述方法还包括：
36.接收两个以上的第三网元发送的第四消息，在所述第四消息中携带所述第一指示；
37.根据两个以上的第三网元中的一个第三网元的第四消息，向第四网元发送第五消
息，并忽略或丢弃两个以上的第三网元中其他第三网元的第四消息。
38.第二方面，本发明实施例提供了一种控制网络切片认证的方法，应用于第二网元，所述第二网元包括udm(unified data management，统一数据管理实体)，包括：
39.获取至少两个第三网元的标识信息；
40.向第一网元发送目标第三网元的标识信息，所述目标第三网元为所述至少两个第三网元中的一个以上的第三网元。
41.其中，所述标识信息包括第三网元的id；或者，所述标识信息包括allowed nssai和第三网元的id。
42.其中，所述方法还包括：
43.接收所述第一网元发送的第一目标s-nssai；
44.根据所述第一目标s-nssai，从两个以上的第三网元中选择所述目标第三网元，并向所述第一网元发送所述目标第三网元的id，所述第一目标s-nssai位于所述目标第三网元的allowed nssai中。
45.第三方面，本发明实施例提供了一种控制网络切片认证的方法，应用于第三网元，所述第三网元包括amf，包括：
46.接收第一网元发送的认证和授权通知，在所述认证和授权通知中携带第二目标s-nssai；
47.判断所述第二目标s-nssai是否属于终端的allowed nssai，得到判断结果；
48.根据所述判断结果进行处理。
49.其中，所述根据所述判断结果进行处理，包括：
50.如果所述判断结果表示所述第二目标s-nssai不属于终端的allowed nssai，则向所述第一网元发送拒绝消息；
51.如果所述判断结果表示所述第二目标s-nssai属于终端的allowed nssai，则执行以下任一过程：
52.执行网络切片特定的认证和授权过程；
53.向所述终端发送eap消息；
54.向所述第一网元发送eap消息。
55.其中，所述方法还包括：
56.接收所述第一网元发送的认证和授权结果。
57.其中，所述方法还包括：
58.接收第四网元发送的认证和授权结果。
59.其中，所述方法还包括：
60.接收所述第一网元发送的第二消息，所述第二消息中携带eap成功或者eap失败；
61.向所述终端发送第六消息，在所述第六消息中携带eap成功或者eap失败。
62.其中，所述方法还包括：
63.接收所述第一网元发送的第三消息，所述第三消息中携带eap成功或者eap失败；
64.根据所述第三消息，向所述终端发送配置更新过程。
65.其中，所述认证和授权通知中携带第一指示；所述方法还包括：
66.向所述终端发送第七消息，在所述第七消息中携带第一指示；
67.接收所述终端发送的第八消息，在所述第八消息中携带有所述第一指示；
68.根据所述第八消息，向所述第一网元发送第四消息，在所述第四消息中携带所述第一指示。
69.其中，所述方法还包括：
70.接收所述第一网元的请求；
71.根据所述请求，向所述第一网元发送allowed nssai。
72.第四方面，本发明实施例提供了一种控制网络切片认证的方法，应用于第四网元，所述第四网元包括aaa服务器，包括：
73.当第三网元触发网络切片特定的认证和授权过程时，如果存储了第三网元所请求的s-nssai的认证和授权结果，则直接返回所述认证和授权结果。
74.其中，所述方法还包括：
75.向第一网元发送第一消息，所述第一消息中携带eap成功或者eap失败；或者
76.接收所述第一网元发送的第五消息，其中，所述第五消息是所述第一网元在收到两个以上的第三网元发送的第一消息且所述第一消息携带第一指示时，根据两个以上的第三网元中的一个第三网元的第四消息发送的，所述第一网元忽略或丢弃了两个以上的第三网元中其他第三网元的第四消息。
77.第五方面，本发明实施例提供了一种控制网络切片认证的装置，应用于第一网元，所述第一网元包括ausf，包括：
78.第一获取模块，用于从第二网元获取第三网元的标识信息；
79.第一发送模块，用于根据所述标识信息，向所述第三网元发送认证和授权通知。
80.第六方面，本发明实施例提供了一种控制网络切片认证的装置，应用于第二网元，所述第二网元包括udm，包括：
81.第一获取模块，用于获取至少两个第三网元的标识信息；
82.第一发送模块，用于向第一网元发送目标第三网元的标识信息，所述目标第三网元为所述至少两个第三网元中的一个以上的第三网元。
83.第七方面，本发明实施例提供了一种控制网络切片认证的装置，应用于第三网元，所述第三网元包括amf，包括：
84.第一接收模块，用于接收第一网元发送的认证和授权通知，在所述认证和授权通知中携带第二目标s-nssai；
85.第一判断模块，用于判断所述第二目标s-nssai是否属于终端的allowed nssai，得到判断结果；
86.第一处理模块，用于根据所述判断结果进行处理。
87.第八方面，本发明实施例提供了一种控制网络切片认证的设备，应用于第一网元，所述第一网元包括ausf，包括：收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器用于读取存储器中的程序，执行下列过程：
88.从第二网元获取第三网元的标识信息；
89.根据所述标识信息，向所述第三网元发送认证和授权通知。
90.其中，所述标识信息包括allowed nssai和第三网元的id；
91.所述认证和授权通知中携带需要授权和认证的s-nssai；
92.所述处理器还用于读取存储器中的程序，执行下列过程：
93.确定第一目标第三网元，其中，所述需要授权和认证的s-nssai位于所述第一目标第三网元的allowed nssai中；
94.向所述第一目标第三网元发送认证和授权通知。
95.其中，所述标识信息包括第三网元的id；所述处理器还用于读取存储器中的程序，执行下列过程：
96.向所述第二网元发送第一目标s-nssai；
97.从所述第二网元获取一个以上的第三网元的id，其中，第一目标s-nssai位于所述一个以上的第三网元的allowed nssai中。
98.其中，所述标识信息包括第三网元的id；所述处理器还用于读取存储器中的程序，执行下列过程：
99.向所述id标识的第三网元请求所述id标识的第三网元为终端分配的allowed nssai；
100.根据所述id标识的第三网元发送的allowed nssai，确定第二目标第三网元，其中，需授权需要授权和认证的s-nssai位于所述第二目标第三网元的allowed nssai中；
101.向所述第二目标第三网元发送认证和授权通知。
102.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
103.当所述第三网元为两个以上时，从两个以上的第三网元中的第三目标第三网元获取认证和授权结果，并向所述两个以上的第三网元中的其他第三网元发送所述认证和授权结果，所述第三目标第三网元为所述第三网元中的任一第三网元。
104.其中，当所述第三网元为两个以上时，所述处理器还用于读取存储器中的程序，执行下列过程：
105.根据所述标识信息，从两个以上的第三网元中选择第四目标第三网元；
106.向所述第四目标第三网元发送认证和授权通知。
107.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
108.接收第四网元的第一消息，所述第一消息中携带eap成功或者eap失败；
109.向所述第四目标第三网元发送第二消息，所述第二消息中携带eap成功或者eap失败；
110.向第五目标第三网元发送第三消息，所述第三消息中携带eap成功或者eap失败，所述第五目标第三网元为两个以上的第三网元中除所述第四目标第三网元之外的第三网元。
111.其中，当所述第三网元为两个以上时，所述认证和授权通知中携带第一指示；所述处理器还用于读取存储器中的程序，执行下列过程：
112.接收两个以上的第三网元发送的第四消息，在所述第四消息中携带所述第一指示；
113.根据两个以上的第三网元中的一个第三网元的第四消息，向第四网元发送第五消息，并忽略或丢弃两个以上的第三网元中其他第三网元的第四消息。
114.第九方面，本发明实施例提供了一种控制网络切片认证的设备，应用于第二网元，所述第二网元包括udm，包括：收发机、存储器、处理器及存储在所述存储器上并可在所述处
理器上运行的程序；所述处理器用于读取存储器中的程序，执行下列过程：
115.获取至少两个第三网元的标识信息；
116.向第一网元发送目标第三网元的标识信息，所述目标第三网元为所述至少两个第三网元中的一个以上的第三网元。
117.其中，所述标识信息包括第三网元的id；或者，所述标识信息包括allowed nssai和第三网元的id。
118.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
119.接收所述第一网元发送的第一目标s-nssai；
120.根据所述第一目标s-nssai，从两个以上的第三网元中选择所述目标第三网元，并向所述第一网元发送所述目标第三网元的id，所述第一目标s-nssai位于所述目标第三网元的allowed nssai中。
121.第十方面，本发明实施例提供了一种控制网络切片认证的设备，应用于第三网元，所述第三网元包括amf，包括：收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器用于读取存储器中的程序，执行下列过程：
122.接收第一网元发送的认证和授权通知，在所述认证和授权通知中携带第二目标s-nssai；
123.判断所述第二目标s-nssai是否属于终端的allowed nssai，得到判断结果；
124.根据所述判断结果进行处理。
125.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
126.如果所述判断结果表示所述第二目标s-nssai不属于终端的allowed nssai，则向所述第一网元发送拒绝消息；
127.如果所述判断结果表示所述第二目标s-nssai属于终端的allowed nssai，则执行以下任一过程：
128.执行网络切片特定的认证和授权过程；
129.向所述终端发送eap消息；
130.向所述第一网元发送eap消息。
131.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
132.接收所述第一网元发送的认证和授权结果。
133.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
134.接收所述第一网元发送的第二消息，所述第二消息中携带eap成功或者eap失败；
135.向所述终端发送第六消息，在所述第六消息中携带eap成功或者eap失败。
136.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
137.接收所述第一网元发送的第三消息，所述第三消息中携带eap成功或者eap失败；
138.根据所述第三消息，向所述终端发送配置更新过程。
139.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
140.向所述终端发送第七消息，在所述第七消息中携带第一指示；
141.接收所述终端发送的第八消息，在所述第八消息中携带有所述第一指示；
142.根据所述第八消息，向所述第一网元发送第四消息，在所述第四消息中携带所述第一指示。
143.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
144.接收所述第一网元的请求；
145.根据所述请求，向所述第一网元发送allowed nssai。
146.第十一方面，本发明实施例提供了一种计算机可读存储介质，用于存储计算机程序，所述计算机程序被处理器执行时实现如第一方面的控制网络切片认证的方法中的步骤；或者，实现如第二方面的控制网络切片认证的方法中的步骤；或者，实现如第三方面的控制网络切片认证的方法中的步骤；或者，实现如第四方面的控制网络切片认证的方法中的步骤。
147.在本发明实施例中，第一网元可向一个以上的第三网元发送认证和授权通知。因此，利用本发明实施例的方案，当ue有多个服务管理功能实体的场景时，也可进行网络切片特定的认证和授权，保证了认证的顺利进行。
附图说明
148.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
149.图1是本发明实施例提供的控制网络切片认证的方法的流程图之一；
150.图2是本发明实施例提供的控制网络切片认证的方法的流程图之二；
151.图3是本发明实施例提供的控制网络切片认证的方法的流程图之三；
152.图4是本发明实施例提供的控制网络切片认证的方法的流程图之四；
153.图5是本发明实施例提供的amf触发认证和授权过程的示意图；
154.图6是本发明实施例提供的aaa服务器发起网络切片特定的认证和授权过程的示意图；
155.图7是本发明实施例提供的aaa服务器发起网络切片特定的认证和授权过程的示意图；
156.图8是本发明实施例提供的aaa服务器发起网络切片特定的认证和授权过程的示意图；
157.图9是本发明实施例提供的ausf向amf发送认证和授权结果的过程示意图；
158.图10是本发明实施例提供的aaa服务器发起网络切片特定的认证和授权过程的示意图；
159.图11是本发明实施例提供的aaa服务器发起网络切片特定的认证和授权过程的示意图；
160.图12是本发明实施例提供的ausf触发网络切片特定的认证和授权过程的示意图；
161.图13是本发明实施例提供的控制网络切片认证的装置的结构图之一；
162.图14是本发明实施例提供的控制网络切片认证的装置的结构图之二；
163.图15是本发明实施例提供的控制网络切片认证的装置的结构图之三；
164.图16是本发明实施例提供的控制网络切片认证的装置的结构图之四；
165.图17是本发明实施例提供的控制网络切片认证的设备的结构图。
具体实施方式
166.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
167.参见图1，图1是本发明实施例提供的控制网络切片认证的方法的流程图，应用于第一网元。其中，所述第一网元可以是ausf(authentication server function，鉴权服务功能)。如图1所示，包括以下步骤：
168.步骤101、从第二网元获取第三网元的标识信息。
169.其中，所述第二网元可以是udm(unified data management，统一数据管理实体)，第三网元可以是amf。所述标识信息包括第三网元的id(identification，标识)；或者，所述标识信息包括allowed nssai和第三网元的id。
170.其中。
171.步骤102、根据所述标识信息，向所述第三网元发送认证和授权通知。
172.在此步骤中，第一网元可向一个以上的第三网元发送认证和授权通知。
173.在本发明实施例中，第一网元可以向第二网元发送s-nssai，也可不发送s-nssai。
174.如果第一网元不发送s-nssai，那么，第二网元返回给第一网元的是一个以上的第三网元的allowed nssai和所述第三网元的id。其中，allowed nssai是s-nssai的集合，其中，allowed nssai可包括s-nssai1，s-nssai2，s-nssai3等。第三网元发送的认证和授权通知中携带需要授权和认证的s-nssai。此时，对于步骤102来说，第一网元确定第一目标第三网元，其中，所述需要授权和认证的s-nssai位于所述第一目标第三网元的allowed nssai中。然后，第一网元向所述第一目标第三网元发送认证和授权通知。也即，第一网元判断第二网元返回的allowed nssai是位于哪个第三网元的allowed nssai中，然后，向该第三网元发送认证和授权通知。
175.如果第一网元不发送s-nssai，那么，第二网元返回给第一网元的是一个以上的第三网元的id。此时，ausf向所述id标识的第三网元请求所述id标识的第三网元为终端分配的allowed nssai。之后，ausf根据所述id标识的第三网元发送的allowed nssai，确定第二目标第三网元，其中，需授权需要授权和认证的s-nssai位于所述第二目标第三网元的allowed nssai中，并向所述第二目标第三网元发送认证和授权通知。
176.例如，第二网元返回的id包括两个第三网元的id。那么，ausf可向这两个第三网元发送请求，以请求这两个第三网元的allowed nssai。然后，ausf再判断需授权需要授权和认证的s-nssai是位于哪个第三网元中。假设，ausf判断得出需要授权和认证的s-nssai位于其中的一个第三网元中，那么，ausf可向该第三网元发送认证和授权通知。
177.如果第一网元发送了s-nssai，那么，第二网元返回给第一网元的是一个以上的第三网元的id。具体的，在上述实施例的基础上，所述第一网元还可向所述第二网元发送第一目标s-nssai。其中，该第一目标s-nssai即为需要认证和授权的s-nssai。那么，在这种情况下，第一网元从所述第二网元获取一个以上的第三网元的id，其中，第一目标s-nssai位于所述一个以上的第三网元的allowed nssai中。此时，对于步骤102来说，第一网元可根据所述id，向一个以上的第三网元中的至少一个第三网元发送认证和授权通知。也即第一网元
可向一个第三网元发送认证和授权通知，也可向多个第三网元发送认证和授权通知。
178.例如，第二网元返回给第一网元的是两个第三网元的id。那么，第一网元可向这两个第三网元都发送认证和授权通知，也可只向其中一个第三网元发送认证和授权通知。
179.在本发明实施例中，如果第一网元获取的是一个第三网元的标识，那么，第一网元可直接向该第三网元发送认证和授权通知。
180.如果第一网元获取的是两个以上的第三网元的标识，那么，第一网元可向其中一个第三网元发送认证和授权通知，也可同时向两个以上的第三网元发送认证和授权通知。在这种情况下，第一网元有如下不同的处理方式：
181.(1)为保证认证的成功率，如果第一网元接收到第二目标第三网元的拒绝消息，则向所述第三网元中的其他第三网元发送认证和授权通知，所述第二目标第三网元为所述第三网元中的任一第三网元。
182.例如，第一网元向两个第三网元发送了认证和授权通知，如果接收到其中一个第三网元发送的拒绝消息，那么，第一网元向另一个第三网元发送认证和授权通知。
183.(2)为保证认证的成功率，当第一网元接收到两个以上的第三网元的eap(extensible authentication protocol,可扩展的身份验证协议)消息和s-nssai时，如果两个以上的第三网元提供的s-nssai相同，则第一网元从所述两个以上的第三网元中选择待发起认证过程的一个第三网元，并向所述两个以上的第三网元中的其他第三网元发送拒绝消息。
184.例如，第一网元向两个第三网元发送了同一s-nssai相关的认证和授权通知，如果接收到该两个第三网元发送的eap消息和s-nssai且两个第三网元的s-nssai相同，那么，第一网元从该两个第三网元中选择一个第三网元作为待发起认证过程的网元，而向另一个第三网元发送拒绝消息。
185.(3)第一网元接收第二目标第三网元发送的拒绝消息，所述拒绝消息用于表示终端与所述两个以上的第三网元中的其他第三网元正在执行认证和授权过程，所述第二目标第三网元为所述第三网元中的任一第三网元。
186.(4)第一网元从两个以上的第三网元中的第三目标第三网元获取认证和授权结果，并向所述两个以上的第三网元中的其他第三网元发送所述认证和授权结果，所述第三目标第三网元为所述第三网元中的任一第三网元。
187.也即，在这种情况下，第一网元可以将任一个第三网元的认证和授权结果发送给其他的第三网元。
188.在以上的实施例中，第一网元可根据获得的标识信息从两个以上的第三网元中选择第四目标第三网元，然后，向所述第四目标第三网元发送认证和授权通知。具体的，第一网元可任意选择一个网元作为第四目标第三网元，或者，第一网元可从所述第二网元获取所述终端的信息，并根据所述终端的信息从两个以上的第三网元中选择一个第三网元作为所述第四目标第三网元。其中，所述终端的信息例如可包括终端连接的接入网络，以及终端在不同接入网络内的连接状态等。
189.在本发明的一个实施例中，第一网元可在第四网元和第三网元之间中转消息。例如，第一网元可接收第四网元的第一消息，所述第一消息中携带eap成功或者eap失败，然后，向所述第四目标第三网元发送第二消息，所述第二消息中携带eap成功或者eap失败。之
后，第一网元向第五目标第三网元发送第三消息，所述第三消息中携带eap成功或者eap失败，所述第五目标第三网元为两个以上的第三网元中除所述第四目标第三网元之外的第三网元。第五目标第三网元根据接收到的第三消息，判断认证结果和当前存储的s-nssai的认证结果是否相同，如果相同，则不执行任何操作。如果不同，第五目标第三网元向终端发送终端配置更新过程，更新终端的allowed nssai。
190.在本发明的一个实施例中，如果第一网元向两个以上的第三网元发送认证和授权通知，第一网元可在所述认证和授权通知中携带第一指示，所述第一指示用于表示发送给不同第三网元的认证和授权通知是具有关联性的。那么，在所述向所述第三网元发送认证和授权通知之后，所述方法还包括：接收两个以上的第三网元发送的第四消息，在所述第四消息中携带所述第一指示，并根据两个以上的第三网元中的一个第三网元的第四消息，向第四网元发送第五消息，并忽略或丢弃两个以上的第三网元中其他第三网元的第四消息。
191.以第一网元向两个第三网元发送认证和授权通知并携带第一指示为例，如果第一网元接到了两个第三网元的第四消息，并分别在所述第四消息中携带所述第一指示，那么，第一网元可忽略或者丢弃一个第三网元的第四消息，而只根据其中一个第三网元的第四消息向第四网元发送第五消息。
192.在本发明实施例中，第一网元可向一个以上的第三网元发送认证和授权通知。因此，利用本发明实施例的方案，当ue有多个服务管理功能实体的场景时，也可进行网络切片特定的认证和授权，保证了认证的顺利进行。
193.参见图2，图2是本发明实施例提供的控制网络切片认证的方法的流程图，应用于第二网元。其中，所述第二网元可以是udm。如图2所示，包括以下步骤：
194.步骤201、获取至少两个第三网元的标识信息。
195.所述第二网元可从第三网元获取第三网元的标识信息。其中，所述标识信息包括第三网元的id；或者，所述标识信息包括allowed nssai和第三网元的id。
196.步骤202、向第一网元发送目标第三网元的标识信息，所述目标第三网元为所述至少两个第三网元中的一个以上的第三网元。
197.在本发明实施例中，第一网元可以向第二网元发送s-nssai，也可不发送s-nssai。
198.如果不发送s-nssai，那么，第二网元返回给第一网元的是一个以上的第三网元的allowed nssai和所述第三网元的id。其中，allowed nssai是s-nssai的集合，其中，allowed nssai可包括s-nssai1，s-nssai2，s-nssai3等。
199.如果发送s-nssai，那么，第二网元可接收所述第一网元发送的第一目标s-nssai，然后，根据所述第一目标s-nssai，从两个以上的第三网元中选择所述目标第三网元，并向所述第一网元发送所述目标第三网元的id，所述第一目标s-nssai位于所述目标第三网元的allowed nssai中。
200.在以上的实施例中，所述第二网元还可向第一网元发送终端的信息，以便于第一网元根据终端的信息选择要发送认证和授权通知的第三网元。其中，所述终端的信息例如可包括终端连接的接入网络，以及终端在不同接入网络内的连接状态等。
201.在本发明实施例中，第一网元可向一个以上的第三网元发送认证和授权通知。因此，利用本发明实施例的方案，当ue有多个服务管理功能实体的场景时，也可进行网络切片特定的认证和授权，保证了认证的顺利进行。
202.参见图3，图3是本发明实施例提供的控制网络切片认证的方法的流程图，应用于第三网元。其中，所述第三网元可以是amf。如图3所示，包括以下步骤：
203.步骤301、接收第一网元发送的认证和授权通知，在所述认证和授权通知中携带第二目标s-nssai。
204.步骤302、判断所述第二目标s-nssai是否属于终端的allowed nssai，得到判断结果。
205.步骤303、根据所述判断结果进行处理。
206.具体的，在此步骤中，如果所述判断结果表示所述第二目标s-nssai不属于终端的allowed nssai，则向所述第一网元发送拒绝消息；
207.如果所述判断结果表示所述第二目标s-nssai属于终端的allowed nssai，则执行以下任一过程：
208.(1)执行网络切片特定的认证和授权过程；
209.(2)向所述终端发送eap消息；
210.(3)向所述第一网元发送eap消息。
211.可选的，如果第三网元向所述终端发送eap消息，那么，在所述向所述终端发送eap消息之后，所述方法还包括：
212.接收所述终端发送的拒绝消息，并向所述第一网元发送所述拒绝消息。
213.可选的，为节约资源，所述第二网元还可接收所述第一网元发送的认证和授权结果。
214.可选的，第二网元还可接收第四网元发送的认证和授权结果。其中，第四网元可以是aaa(authentication、authorization、accounting，验证、授权和记账)服务器。
215.可选的，在一个实施例中，第三网元还可接收所述第一网元发送的第二消息，所述第二消息中携带eap成功或者eap失败，并向所述终端发送第六消息，在所述第六消息中携带eap成功或者eap失败。
216.可选的，在一个实施例中，第三网元还可接收所述第一网元发送的第三消息，所述第三消息中携带eap成功或者eap失败，然后，根据所述第三消息，向所述终端发送配置更新过程。具体的，如果根据所述第三消息确定的认证和授权结果和存储的认证和授权结果不同，则向所述终端发送配置更新过程；如果相同，则不作任何处理。
217.在一个实施例中，所述认证和授权通知中携带第一指示。在这种情况下，第三网元还可向所述终端发送第七消息，在所述第七消息中携带第一指示，并接收所述终端发送的第八消息，在所述第八消息中携带有所述第一指示。然后，根据所述第八消息，向所述第一网元发送第四消息，在所述第四消息中携带所述第一指示。
218.在实际应用中，如果终端接收到了两个以上的第七消息且都携带第一指示，那么，终端也可只处理其中一个第三网元的第七消息，而忽略或者丢弃其他的第七消息。同时，终端向该第三网元返回第八消息。
219.可选的，所述第二网元还可接收所述第一网元的请求，并根据所述请求，向所述第一网元发送allowed nssai。也即，第二网元根据所述请求向第一网元
220.在本发明实施例中，第一网元可向一个以上的第三网元发送认证和授权通知。因此，利用本发明实施例的方案，当ue有多个服务管理功能实体的场景时，也可进行网络切片
特定的认证和授权，保证了认证的顺利进行。
221.参见图4，图4是本发明实施例提供的控制网络切片认证的方法的流程图，应用于第四网元。其中，所述第四网元可以是aaa服务器。如图4所示，包括以下步骤：
222.步骤401、当第三网元触发网络切片特定的认证和授权过程时，如果存储了第三网元所请求的s-nssai的认证和授权结果，则直接返回所述认证和授权结果。
223.在本发明实施例中，当第四网元触发网络切片特定的认证和授权时，第四网元还可向第一网元发送第一消息，所述第一消息中携带eap成功或者eap失败；或者，接收所述第一网元发送的第五消息，其中，所述第五消息是所述第一网元在收到两个以上的第三网元发送的第一消息且所述第一消息携带第一指示时，根据两个以上的第三网元中的一个第三网元的第四消息发送的，所述第一网元忽略或丢弃了两个以上的第三网元中其他第三网元的第四消息。
224.在本发明实施例中，第一网元可向一个以上的第三网元发送认证和授权通知。因此，利用本发明实施例的方案，当ue有多个服务管理功能实体的场景时，也可进行网络切片特定的认证和授权，保证了认证的顺利进行。
225.参见图5，图5是本发明实施例提供的amf触发认证和授权过程的示意图。当amf触发网络切片特定的认证和授权过程时，如果aaa服务器存储了s-nssai的认证和授权结果，则aaa服务器直接返回认证和授权结果。如图5所示，包括以下步骤：
226.步骤501、amf1对s-nssai发起网络切片特定的认证和授权过程。过程结束之后，aaa服务器存储s-nssai的授权已被允许。
227.步骤502-503、amf2发起对s-nssai发起网络切片特定的认证和授权过程。具体如下：
228.amf2向ausf发送nausf_nssaa_authenticate请求(nausf_nssaa_authenticate req)，请求中可携带eap标识回复，aaa服务器地址，gpsi(generic public subscription identifier，一般公共签约标识)，s-nssai。
229.如果部署了aaa代理(aaa-p)，ausf将eap标识回复消息、gpsi和s-nssai发送给aaa代理，否则直接将消息发送给ausf。ausf使用aaa代理或aaa服务器支持的aaa协议消息(aaa protocol message)封装eap标识回复消息、gpsi和s-nssai，然后将aaa协议消息发送给aaa代理或aaa服务器。
230.步骤504、aaa服务器接收到认证和授权请求之后，查找本地存储的信息，发现s-nssai的授权已被允许，则aaa服务器向ausf发送aaa协议消息(aaa protocol message)，消息包括eap成功，gpsi和s-nssai。
231.步骤505、ausf向amf2发送nausf_nssaa_authenticate回复消息(nausf_nssaa_authenticate resp)，消息包括eap成功，gpsi和s-nssai。amf2存储s-nssai的认证和授权状态/结果。
232.步骤506、amf2可通过nas(non access stratum，非接入层)消息(nas mm transport)向ue返回eap成功。
233.参见图6，图6是本发明实施例提供的aaa服务器发起网络切片特定的认证和授权过程的示意图。在该过程中，udm向ausf返回两个amf id，ausf只向一个amf发送认证和授权通知。如图6所示，包括以下步骤：
request)，请求中可携带gpsi，s-nssai，请求对由gpsi标识的ue进行由s-nssai标识的网络切片的重新认证和授权。如果部署了aaa代理(aaa-p)，该请求被发送至aaa代理，否则直接发送给ausf。如果部署了aaa代理，则aaa代理将消息中转给ausf。
249.步骤702-步骤703、ausf使用nudm_uecm_get从udm获得amf id。因为udm中存储了两个amf的信息，所以，udm通过nudm_uecm_get resp向ausf返回两个amf id，即amf1和amf2。
250.在上述实施例中，如果ausf在步骤702提供了s-nssai，则udm在步骤步骤703返回的amf是其分配的allowed nssai包括s-nssai的amf。udm可从amf获取allowed nssai。
251.步骤704、ausf向amf1发送重新认证的事件。
252.具体的，ausf向amf1发送nausf_nssaa_notify，消息中携带re-auth event(重新认证的事件),gpsi,s-nssai。
253.步骤705、ausf向amf2发送重新认证的事件。
254.具体的，ausf向amf2发送nausf_nssaa_notify，消息中携带re-auth event(重新认证的事件),gpsi,s-nssai。
255.步骤706、amf1向ue发送eap消息。
256.具体的，amf1向ue发送nas mm transport，消息中携带eap id request,s-nssai。
257.步骤707、amf2向ue发送eap消息。
258.具体的，amf2向ue发送nas mm transport，消息中携带eap id request,s-nssai。
259.对于ue，如步骤706a所示，ue选择通过amf1对s-nssai执行网络切片特定的认证和授权过程，具体选择方式取决于实现，例如ue先从哪个amf接收到eap消息，ue选择该amf执行认证和授权过程。假设在此实施例中ue选择了amf1。
260.步骤708、ue向amf2返回拒绝eap消息，并返回拒绝原因，原因表明正在通过其他amf执行认证和授权过程。
261.具体的，ue向amf2发送nas mm transport，消息中携带eap id request,s-nssai,reject cause(决绝原因)。
262.步骤709、amf2向ausf通知重认证被拒绝，并向ausf发送拒绝原因，表明正在通过其他amf执行认证和授权过程。
263.具体的，amf2向ausf发送namf_nssaa_notify，消息中携带re-auth event reject,cause。
264.参见图8，图8是本发明实施例提供的aaa服务器发起网络切片特定的认证和授权过程的示意图。在该过程中，udm向ausf返回两个amf id，ausf同时向两个amf发送认证和授权通知。当amf接收到认证和授权通知时，如果amf不需要请求ue的标识，则如图8所示，过程如下：
265.步骤801、aaa服务器(aaa-s)发送aaa协议重认证请求(aaa protocol re-auth request)，请求中可携带gpsi，s-nssai，请求对由gpsi标识的ue进行由s-nssai标识的网络切片的重新认证和授权。如果部署了aaa代理(aaa-p)，该请求被发送至aaa代理，否则直接发送给ausf。如果部署了aaa代理，则aaa代理将消息中转给ausf。
266.步骤802-步骤803、ausf使用nudm_uecm_get从udm获得amf id。因为udm中存储了两个amf的信息，所以，udm通过nudm_uecm_get resp向ausf返回两个amf id，即amf1和
amf2。
267.在上述实施例中，如果ausf在步骤802提供了s-nssai，则udm在步骤步骤803返回的amf是其分配的allowed nssai包括s-nssai的amf。udm可从amf获取allowed nssai。
268.步骤804、ausf向amf1发送重新认证的事件。
269.具体的，ausf向amf1发送nausf_nssaa_notify，消息中携带re-auth event(重新认证的事件),gpsi,s-nssai。
270.步骤805、ausf向amf2发送重新认证的事件。
271.具体的，ausf向amf2发送nausf_nssaa_notify，消息中携带re-auth event(重新认证的事件),gpsi,s-nssai。
272.步骤804a和步骤805a、amf1和amf2分别向ausf发送nausf_nssaa_authenticate请求，消息中包括eap id回复，gpsi和s-nssai。ausf选择amf1继续执行认证和授权过程。
273.步骤806、ausf向amf2发送重认证拒绝的通知消息，并向amf2返回拒绝原因，提示正在通过其他amf执行认证和授权过程。
274.步骤807、通过amf1执行的认证和授权过程。
275.参见图9，图9是本发明实施例提供的ausf还从amf1获取认证和授权结果并通知给amf2的示意图。如图9所示，过程如下：
276.步骤901、ausf向amf1发送认证和授权结果请求，消息中携带gpsi，s-nssai，向amf1请求s-nssai的认证和授权结果。
277.步骤902、amf1向ausf发送认证和授权结果回复，返回s-nssai的认证和授权结果。
278.步骤903、ausf向amf2发送认真和授权结果通知，消息中携带gpsi，s-nssai以及认证和授权结果，将s-nssai的认证和授权结果发送给amf2。
279.参见图10，图10是本发明实施例提供的aaa服务器发起网络切片特定的认证和授权过程的示意图。在此实施例中，ausf从udm获得两个amf id，ausf从中选择一个amf向其发送认证和授权请求。ausf可随机选择一个amf，也可进一步从udm获得ue的信息(如ue使用的接入网络，在不同接入的连接状态等)，并基于该信息选择一个amf。
280.在执行认证和授权的过程中，ausf负责在amf和aaa-s/aaa-p之间中转eap消息，当ausf发现aaa-s/aaa-p发送的eap消息为eap success(eap成功)/eap failure(eap失败)时，ausf同时向两个amf发送eap success/eap failure消息。具体过程如图10所示。
281.步骤1001、aaa服务器(aaa-s)发送aaa协议重认证请求(aaa protocol re-auth request)，请求中可携带gpsi，s-nssai，请求对由gpsi标识的ue进行由s-nssai标识的网络切片的重新认证和授权。如果部署了aaa代理(aaa-p)，该请求被发送至aaa代理，否则直接发送给ausf。如果部署了aaa代理，则aaa代理将消息中转给ausf。
282.步骤1002-步骤1003、ausf使用nudm_uecm_get从udm获得amf id。因为udm中存储了两个amf的信息，所以，udm通过nudm_uecm_get resp向ausf返回两个amf的标识信息，即amf1和amf2。
283.步骤1004、ausf从amf1和amf2中选择一个amf(本实施例假设ausf选择了amf1)，并向其发送nausf_nssaa_notify，携带重认证事件，gpsi，s-nssai。
284.ausf可随机选择amf，或也可从udm获得ue连接的接入网络，以及ue在不同接入内的连接状态，并根据这些信息选择amf。
285.步骤1005、执行网络切片特定的认证和授权过程，具体可包括：
286.(1)amf1向ue发送nas移动性管理传输消息，消息中包括eap标识请求和s-nssai。
287.(2)ue向amf1返回nas移动性管理传输消息，消息中包括eap标识回复和s-nssai。
288.(3)amf1向ausf发送nausf_nssaa_authenticate请求(eap标识回复，aaa服务器地址，gpsi，s-nssai)。
289.(4)ausf使用aaa服务器支持的aaa协议消息封装eap标识回复消息、gpsi和s-nssai，然后将aaa协议消息发送给aaa服务器。
290.(5)aaa服务器存储gpsi，并创建gpsi和eap标识回复消息中的eap标识之间的关联，因此，aaa服务器可使用该关联撤销认证或触发重新认证。
291.aaa服务器向ausf发送aaa protocol message，消息中携带eap msg,gpsi,s-nssai。
292.(6)ausf向amf1发送nausf_nssaa_authenticate resp，携带eap msg,gpsi,s-nssai。
293.(7)amf1向ue发送nas mm transport(eap msg,s-nssai)；
294.(8)ue向amf1发送nas mm transport(eap msg,s-nssai)；
295.(9)amf1向ausf服务器发送nausf_nssaa_authenticate request(eap msg,gpsi,s-nssai)。
296.(10)ausf向aaa服务器发送aaa protocol message(eap msg,gpsi,s-nssai)。
297.(11)eap认证完成。aaa服务器存储已被授权的s-nssai，aaa-s可本地本地策略决定触发重认证和授权。aaa服务器向ausf发送eap成功/失败消息，gpsi和s-nssai。
298.步骤1006、aaa-s向ausf发送aaa协议消息，携带eap成功/失败，gpsi，s-nssai。
299.步骤1007、ausf向amf1发送nausf_nssaa_authenticate resp，携带eap成功/失败，gpsi，s-nssai。
300.步骤1008、ausf发现其在步骤1006接收到的eap消息为eap成功/失败消息，则ausf向amf2发送nausf_nssaa_authenticate resp，携带eap成功/失败，gpsi，s-nssai或nausf_nssaa_notify，携带eap成功/失败，gpsi，s-nssai。
301.步骤1009、amf1向ue发送nas mm传输消息，携带eap成功/失败。
302.步骤1010、amf2根据接收到的eap消息，判断认证结果和当前存储的s-nssai的认证结果是否相同。如果相同，则不执行任何操作。如果不同，amf2向ue发送ue配置更新过程，更新ue的allowed nssai。
303.参见图11，图11是本发明实施例提供的aaa服务器发起网络切片特定的认证和授权过程的示意图。在此实施例中，ausf从udm获得两个amf id，ausf同时向两个amf发送认证和授权请求。ausf在消息中携带关联指示，当ue接收到具有关联指示的消息时，ue分别处理两条消息，并返回回复；amf将ue的回复和关联指示发送给ausf，ausf接收到两条具有关联指示的消息，ausf丢弃/忽略一条，将另外一条消息发送给aaa-p或aaa-s。具体过程如图11所示。
304.步骤1101、aaa服务器(aaa-s)发送aaa协议重认证请求(aaa protocol re-auth request)，请求中可携带gpsi，s-nssai，请求对由gpsi标识的ue进行由s-nssai标识的网络切片的重新认证和授权。如果部署了aaa代理(aaa-p)，该请求被发送至aaa代理，否则直接
发送给ausf。如果部署了aaa代理，则aaa代理将消息中转给ausf。
305.步骤1102-步骤1103、ausf使用nudm_uecm_get从udm获得amf id。因为udm中存储了两个amf的信息，所以，udm通过nudm_uecm_get resp向ausf返回两个amf的标识信息，即amf1和amf2。
306.步骤1104、ausf向amf1和amf2发送nausf_nssaa_notify，携带重认证事件，gpsi，s-nssai，indication(关联指示)。
307.步骤1105、amf向ue发送nas移动性管理传输消息(nas mm transport(eap id request,s-nssai,indication))，消息中包括eap标识请求，s-nssai，indication。其中，图11中以amf1为例进行图示，amf2的处理方式和amf1的相同。
308.步骤1106、ue向amf返回nas移动性管理传输消息(nas mm transport(eap id response,s-nssai,indication))，消息中包括eap标识回复，s-nssai，indication。
309.当ue接收到具有关联指示的消息时，ue也可处理一条，丢弃/忽略另外一条。
310.步骤1107、amf1向ausf发送nausf_nssaa_authenticate请求，携带eap标识回复，aaa服务器地址，gpsi，s-nssai，indication。
311.步骤1108、对于收到的amf1和amf2的回复，ausf可根据其中一个amf的回复向aaa服务器发送消息，而忽略或丢弃其他amf的回复。
312.如果部署了aaa代理(aaa-p)，ausf将eap标识回复消息、gpsi和s-nssai发送给aaa代理，否则直接将消息发送给aaa服务器。ausf使用aaa代理或aaa服务器支持的aaa协议消息封装eap标识回复消息、gpsi和s-nssai，然后将aaa协议消息发送给aaa代理或aaa服务器。
313.步骤1109、aaa服务器存储gpsi，并创建gpsi和eap标识回复消息中的eap标识之间的关联，因此，aaa服务器可使用该关联撤销认证或触发重新认证。
314.aaa服务器向ausf发送aaa protocol message，消息中携带eap msg,gpsi,s-nssai。
315.步骤1110、ausf向amf1发送nausf_nssaa_authenticate resp，携带eap msg,gpsi,s-nssai。
316.步骤1111、amf1向ue发送nas mm transport(eap msg,s-nssai)；
317.步骤1112、ue向amf1发送nas mm transport(eap msg,s-nssai)；
318.步骤1113、amf1向ausf服务器发送nausf_nssaa_authenticate request(eap msg,gpsi,s-nssai)。
319.步骤1114、ausf向aaa服务器发送aaa protocol message(eap msg,gpsi,s-nssai)。
320.步骤1115、eap认证完成。aaa服务器存储已被授权的s-nssai，aaa-s可本地本地策略决定触发重认证和授权。aaa服务器向ausf发送eap成功/失败消息，gpsi和s-nssai。
321.步骤1116、ausf向amf发送nausf_nssaa_authenticate回复(eap成功/失败，s-nssai，gpsi)。
322.步骤1117、amf向ue发送nas移动性管理传输消息(eap成功/失败)。
323.步骤1118、如果需要更新allowed nssai或rejected s-nssai，则amf发起ue配置更新过程。
324.参见图12，图12是本发明实施例提供的aaa服务器发起网络切片特定的认证和授权过程的示意图。在此实施例中，ausf从amf获得allowed nssai的信息，然后触发网络切片特定的认证和授权的过程。
325.步骤1201、aaa服务器(aaa-s)发送aaa协议重认证请求(aaa protocol re-auth request)，请求中可携带gpsi，s-nssai，请求对由gpsi标识的ue进行由s-nssai标识的网络切片的重新认证和授权。如果部署了aaa代理(aaa-p)，该请求被发送至aaa代理，否则直接发送给ausf。如果部署了aaa代理，则aaa代理将消息中转给ausf。
326.步骤1202-步骤1203、ausf使用nudm_uecm_get从udm获得amf id。因为udm中存储了两个amf的信息，所以，udm通过nudm_uecm_get resp向ausf返回两个amf的标识信息，即amf1和amf2。
327.步骤1204-步骤1205、ausf从amf1获得amf1为ue分配的allowed nssai。
328.步骤1206-步骤1207、ausf从amf2获得amf2为ue分配的allowed nssai。
329.步骤1208、ausf发起授权和认证过程。
330.该步骤的具体过程可参照图11的步骤1101-步骤1118，或者，也可参照图7的步骤704-706a。
331.在本发明实施例中，ausf还可能从amf获得ue的接入类型，连接状态等信息。那么，相应的，ausf可根据allowed nssai，接入类型，连接状态等信息选择amf。
332.通过以上描述可以看出，利用本发明实施例的方案，可解决现有的网络切片认证和授权机制不支持ue有多个服务amf的问题，从而保证了认证的成功率。
333.本发明实施例还提供了一种控制网络切片认证的装置，应用于第一网元，所述第一网元包括ausf。参见图13，图13是本发明实施例提供的控制网络切片认证的装置的结构图。由于控制网络切片认证的装置解决问题的原理与本发明实施例中控制网络切片认证的方法相似，因此该控制网络切片认证的装置的实施可以参见方法的实施，重复之处不再赘述。
334.如图13所示，控制网络切片认证的装置1300包括：
335.第一获取模块1301，用于从第二网元获取第三网元的标识信息；第一发送模块1302，用于根据所述标识信息，向所述第三网元发送认证和授权通知。
336.可选的，所述标识信息包括allowed nssai和第三网元的id；所述认证和授权通知中携带需要授权和认证的s-nssai；所述第一发送模块1302可包括：第一确定子模块，用于确定第一目标第三网元，其中，所述需要授权和认证的s-nssai位于所述第一目标第三网元的allowed nssai中；第一发送子模块，用于向所述第一目标第三网元发送认证和授权通知。
337.可选的，所述标识信息包括第三网元的id；所述第一发送模块1302还可包括：第二发送子模块，用于向所述id标识的第三网元请求所述id标识的第三网元为终端分配的allowed nssai；第二确定子模块，用于根据所述id标识的第三网元发送的allowed nssai，确定第二目标第三网元，其中，需授权需要授权和认证的s-nssai位于所述第二目标第三网元的allowed nssai中；第三发送子模块，用于向所述第二目标第三网元发送认证和授权通知。
338.可选的，所述标识信息包括第三网元的id；所述装置还可包括：第二发送模块，用
于向所述第二网元发送第一目标s-nssai。所述第一获取模块1301可用于，从所述第二网元获取一个以上的第三网元的id，其中，第一目标s-nssai位于所述一个以上的第三网元的allowed nssai中，所述第一发送模块1302可用于，从所述第二网元获取一个以上的第三网元的id，其中，根据所述id，向一个以上的第三网元中的至少一个第三网元发送认证和授权通知。
339.可选的，所述装置还可包括：第三发送模块，用于当所述第三网元为两个以上时，如果接收到第二目标第三网元的拒绝消息，则向所述第三网元中的其他第三网元发送认证和授权通知，所述第二目标第三网元为所述第三网元中的任一第三网元。
340.可选的，所述装置还可包括：第四发送模块，用于当接收到两个以上的第三网元的eap消息和s-nssai时，如果两个以上的第三网元提供的s-nssai相同，则从所述两个以上的第三网元中选择待发起认证过程的一个第三网元，并向所述两个以上的第三网元中的其他第三网元发送拒绝消息。
341.可选的，所述装置还可包括：第一接收模块，用于当所述第三网元为两个以上时，接收第二目标第三网元发送的拒绝消息，所述拒绝消息用于表示终端与所述两个以上的第三网元中的其他第三网元正在执行认证和授权过程，所述第二目标第三网元为所述第三网元中的任一第三网元。
342.可选的，所述装置还可包括：第五发送模块，用于当所述第三网元为两个以上时，从两个以上的第三网元中的第三目标第三网元获取认证和授权结果，并向所述两个以上的第三网元中的其他第三网元发送所述认证和授权结果，所述第三目标第三网元为所述第三网元中的任一第三网元。
343.可选的，当所述第三网元为两个以上时，所述第一发送模块1302可包括：
344.第一选择子模块，用于根据所述标识信息，从两个以上的第三网元中选择第四目标第三网元；第一发送子模块，用于向所述第四目标第三网元发送认证和授权通知。
345.可选的，所述第一选择子模块具体用于，从两个以上的第三网元中任意选择一个第三网元作为所述第四目标第三网元；或者，从所述第二网元获取所述终端的信息，并根据所述终端的信息从两个以上的第三网元中选择一个第三网元作为所述第四目标第三网元。
346.可选的，所述装置还可包括：
347.第二接收模块，用于接收第四网元的第一消息，所述第一消息中携带eap成功或者eap失败；
348.第六发送模块，用于向所述第四目标第三网元发送第二消息，所述第二消息中携带eap成功或者eap失败；
349.第七发送模块，用于向第五目标第三网元发送第三消息，所述第三消息中携带eap成功或者eap失败，所述第五目标第三网元为两个以上的第三网元中除所述第四目标第三网元之外的第三网元。
350.可选的，当所述第三网元为两个以上时，所述认证和授权通知中携带第一指示；所述装置还可包括：
351.第三接收模块，用于接收两个以上的第三网元发送的第四消息，在所述第四消息中携带所述第一指示；
352.第八发送模块，用于根据两个以上的第三网元中的一个第三网元的第四消息，向
第四网元发送第五消息，并忽略或丢弃两个以上的第三网元中其他第三网元的第四消息。
353.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
354.本发明实施例还提供了一种控制网络切片认证的装置，应用于第二网元，所述第二网元包括udm。参见图14，图14是本发明实施例提供的控制网络切片认证的装置的结构图。由于控制网络切片认证的装置解决问题的原理与本发明实施例中控制网络切片认证的方法相似，因此该控制网络切片认证的装置的实施可以参见方法的实施，重复之处不再赘述。
355.如图14所示，控制网络切片认证的装置1400包括：第一获取模块1401，用于获取至少两个第三网元的标识信息；第一发送模块1402，用于向第一网元发送目标第三网元的标识信息，所述目标第三网元为所述至少两个第三网元中的一个以上的第三网元。
356.其中，所述标识信息包括第三网元的id；或者，所述标识信息包括allowed nssai和第三网元的id。
357.可选的，所述装置还可包括：第一接收模块，用于接收所述第一网元发送的第一目标s-nssai；第二发送模块，用于根据所述第一目标s-nssai，从两个以上的第三网元中选择所述目标第三网元，并向所述第一网元发送所述目标第三网元的id，所述第一目标s-nssai位于所述目标第三网元的allowed nssai中。
358.可选的，所述装置还可包括：第三发送模块，用于向所述第一网元发送终端的信息。
359.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
360.本发明实施例还提供了一种控制网络切片认证的装置，应用于第三网元。参见图15，图15是本发明实施例提供的控制网络切片认证的装置的结构图。由于控制网络切片认证的装置解决问题的原理与本发明实施例中控制网络切片认证的方法相似，因此该控制网络切片认证的装置的实施可以参见方法的实施，重复之处不再赘述。
361.如图15所示，控制网络切片认证的装置1500包括：
362.第一接收模块1501，用于接收第一网元发送的认证和授权通知，在所述认证和授权通知中携带第二目标s-nssai；第一判断模块1502，用于判断所述第二目标s-nssai是否属于终端的allowed nssai，得到判断结果；第一处理模块1503，用于根据所述判断结果进行处理。
363.可选的，所述第一处理模块1503可包括：
364.第一处理子模块，用于如果所述判断结果表示所述第二目标s-nssai不属于终端的allowed nssai，则向所述第一网元发送拒绝消息；
365.第二处理子模块，用于如果所述判断结果表示所述第二目标s-nssai属于终端的allowed nssai，则执行以下任一过程：
366.执行网络切片特定的认证和授权过程；
367.向所述终端发送eap消息；
368.向所述第一网元发送eap消息。
369.可选的，所述装置还可包括：
370.第二接收模块，用于接收所述终端发送的拒绝消息，并向所述第一网元发送所述拒绝消息。
371.可选的，所述装置还可包括：
372.第三接收模块，用于接收所述第一网元发送的认证和授权结果。
373.可选的，所述装置还可包括：
374.第四接收模块，用于接收第四网元发送的认证和授权结果。
375.可选的，所述装置还可包括：第五接收模块，用于接收所述第一网元发送的第二消息，所述第二消息中携带eap成功或者eap失败；第一发送模块，用于向所述终端发送第六消息，在所述第六消息中携带eap成功或者eap失败。
376.可选的，所述装置还可包括：第六接收模块，用于接收所述第一网元发送的第三消息，所述第三消息中携带eap成功或者eap失败；第二发送模块，用于根据所述第三消息，向所述终端发送配置更新过程。
377.可选的，所述认证和授权通知中携带第一指示；所述装置还可包括：
378.第三发送模块，用于向所述终端发送第七消息，在所述第七消息中携带第一指示；第七接收模块，用于接收所述终端发送的第八消息，在所述第八消息中携带有所述第一指示；第四发送模块，用于根据所述第八消息，向所述第一网元发送第四消息，在所述第四消息中携带所述第一指示。
379.可选的，所述装置还可包括：
380.第七接收模块，用于接收所述第一网元的请求；第八发送模块，用于根据所述请求，向所述第一网元发送allowed nssai。
381.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
382.本发明实施例还提供了一种控制网络切片认证的装置，应用于第四网元。参见图16，图16是本发明实施例提供的控制网络切片认证的装置的结构图。由于控制网络切片认证的装置解决问题的原理与本发明实施例中控制网络切片认证的方法相似，因此该控制网络切片认证的装置的实施可以参见方法的实施，重复之处不再赘述。
383.如图16所示，控制网络切片认证的装置1600包括：
384.第一发送模块1601，用于当第三网元触发网络切片特定的认证和授权过程时，如果存储了第三网元所请求的s-nssai的认证和授权结果，则直接返回所述认证和授权结果。
385.可选的，所述装置还可包括：
386.第二发送模块，用于向第一网元发送第一消息，所述第一消息中携带eap成功或者eap失败；或者
387.第一接收模块，用于接收所述第一网元发送的第五消息，其中，所述第五消息是所述第一网元在收到两个以上的第三网元发送的第一消息且所述第一消息携带第一指示时，根据两个以上的第三网元中的一个第三网元的第四消息发送的，所述第一网元忽略或丢弃了两个以上的第三网元中其他第三网元的第四消息。
388.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
389.如图17所示，本发明实施例的控制网络切片认证的设备，包括：处理器1700，用于
读取存储器1720中的程序，执行下列过程：
390.从第二网元获取第三网元的标识信息；
391.根据所述标识信息，向所述第三网元发送认证和授权通知。
392.收发机1710，用于在处理器1700的控制下接收和发送数据。
393.其中，在图17中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1700代表的一个或多个处理器和存储器1720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1710可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。处理器1700负责管理总线架构和通常的处理，存储器1720可以存储处理器1700在执行操作时所使用的数据。
394.处理器1700负责管理总线架构和通常的处理，存储器1720可以存储处理器1700在执行操作时所使用的数据。
395.所述标识信息包括allowed nssai和第三网元的id；所述认证和授权通知中携带需要授权和认证的s-nssai；处理器1700还用于读取所述程序，执行如下步骤：
396.确定第一目标第三网元，其中，所述需要授权和认证的s-nssai位于所述第一目标第三网元的allowed nssai中；
397.向所述第一目标第三网元发送认证和授权通知。
398.所述标识信息包括第三网元的id；处理器1700还用于读取所述程序，执行如下步骤：
399.向所述第二网元发送第一目标s-nssai；
400.从所述第二网元获取一个以上的第三网元的id，其中，第一目标s-nssai位于所述一个以上的第三网元的allowed nssai中；
401.根据所述id，向一个以上的第三网元中的至少一个第三网元发送认证和授权通知。
402.所述标识信息包括第三网元的id；处理器1700还用于读取所述程序，执行如下步骤：
403.向所述id标识的第三网元请求所述id标识的第三网元为终端分配的allowed nssai；
404.根据所述id标识的第三网元发送的allowed nssai，确定第二目标第三网元，其中，需授权需要授权和认证的s-nssai位于所述第二目标第三网元的allowed nssai中；
405.向所述第二目标第三网元发送认证和授权通知。
406.处理器1700还用于读取所述程序，执行如下步骤：
407.当所述第三网元为两个以上时，如果接收到第二目标第三网元的拒绝消息，则向所述第三网元中的其他第三网元发送认证和授权通知，所述第二目标第三网元为所述第三网元中的任一第三网元。
408.处理器1700还用于读取所述程序，执行如下步骤：
409.当所述第三网元为两个以上时，当接收到两个以上的第三网元的eap消息和s-nssai时，如果两个以上的第三网元提供的s-nssai相同，则从所述两个以上的第三网元中
选择待发起认证过程的一个第三网元，并向所述两个以上的第三网元中的其他第三网元发送拒绝消息。
410.处理器1700还用于读取所述程序，执行如下步骤：
411.当所述第三网元为两个以上时，接收第二目标第三网元发送的拒绝消息，所述拒绝消息用于表示终端与所述两个以上的第三网元中的其他第三网元正在执行认证和授权过程，所述第二目标第三网元为所述第三网元中的任一第三网元。
412.处理器1700还用于读取所述程序，执行如下步骤：
413.当所述第三网元为两个以上时，从两个以上的第三网元中的第三目标第三网元获取认证和授权结果，并向所述两个以上的第三网元中的其他第三网元发送所述认证和授权结果，所述第三目标第三网元为所述第三网元中的任一第三网元。
414.当所述第三网元为两个以上时，处理器1700还用于读取所述程序，执行如下步骤：
415.根据所述标识信息，从两个以上的第三网元中选择第四目标第三网元；
416.向所述第四目标第三网元发送认证和授权通知。
417.处理器1700还用于读取所述程序，执行如下步骤：
418.从两个以上的第三网元中任意选择一个第三网元作为所述第四目标第三网元；或者，
419.从所述第二网元获取所述终端的信息，并根据所述终端的信息从两个以上的第三网元中选择一个第三网元作为所述第四目标第三网元。
420.处理器1700还用于读取所述程序，执行如下步骤：
421.接收第四网元的第一消息，所述第一消息中携带eap成功或者eap失败；
422.向所述第四目标第三网元发送第二消息，所述第二消息中携带eap成功或者eap失败；
423.向第五目标第三网元发送第三消息，所述第三消息中携带eap成功或者eap失败，所述第五目标第三网元为两个以上的第三网元中除所述第四目标第三网元之外的第三网元。
424.当所述第三网元为两个以上时，所述认证和授权通知中携带第一指示；处理器1700还用于读取所述程序，执行如下步骤：
425.在所述向所述第三网元发送认证和授权通知之后，所述方法还包括：
426.接收两个以上的第三网元发送的第四消息，在所述第四消息中携带所述第一指示；
427.根据两个以上的第三网元中的一个第三网元的第四消息，向第四网元发送第五消息，并忽略或丢弃两个以上的第三网元中其他第三网元的第四消息。
428.上述设备可应用于第一网元，如ausf等。
429.本发明实施例提供的设备，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
430.再参见图17，本发明实施例的控制网络切片认证的设备，包括：处理器1700，用于读取存储器1720中的程序，执行下列过程：
431.获取至少两个第三网元的标识信息；
432.向第一网元发送目标第三网元的标识信息，所述目标第三网元为所述至少两个第
三网元中的一个以上的第三网元。
433.其中，所述标识信息包括第三网元的id；或者，所述标识信息包括allowed nssai和第三网元的id。
434.收发机1710，用于在处理器1700的控制下接收和发送数据。
435.其中，在图17中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1700代表的一个或多个处理器和存储器1720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1710可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。处理器1700负责管理总线架构和通常的处理，存储器1720可以存储处理器1700在执行操作时所使用的数据。
436.处理器1700负责管理总线架构和通常的处理，存储器1720可以存储处理器1700在执行操作时所使用的数据。
437.处理器1700还用于读取所述程序，执行如下步骤：
438.接收所述第一网元发送的第一目标s-nssai；
439.根据所述第一目标s-nssai，从两个以上的第三网元中选择所述目标第三网元，并向所述第一网元发送所述目标第三网元的id，所述第一目标s-nssai位于所述目标第三网元的allowed nssai中。
440.处理器1700还用于读取所述程序，执行如下步骤：
441.向所述第一网元发送终端的信息。
442.上述设备可应用于第二网元，如udm等。
443.本发明实施例提供的设备，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
444.再参见图17，本发明实施例的控制网络切片认证的设备，包括：处理器1700，用于读取存储器1720中的程序，执行下列过程：
445.接收第一网元发送的认证和授权通知，在所述认证和授权通知中携带第二目标s-nssai；
446.判断所述第二目标s-nssai是否属于终端的allowed nssai，得到判断结果；
447.根据所述判断结果进行处理。
448.收发机1710，用于在处理器1700的控制下接收和发送数据。
449.其中，在图17中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1700代表的一个或多个处理器和存储器1720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1710可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。处理器1700负责管理总线架构和通常的处理，存储器1720可以存储处理器1700在执行操作时所使用的数据。
450.处理器1700负责管理总线架构和通常的处理，存储器1720可以存储处理器1700在执行操作时所使用的数据。
451.处理器1700还用于读取所述程序，执行如下步骤：
452.如果所述判断结果表示所述第二目标s-nssai不属于终端的allowed nssai，则向所述第一网元发送拒绝消息；
453.如果所述判断结果表示所述第二目标s-nssai属于终端的allowed nssai，则执行以下任一过程：
454.执行网络切片特定的认证和授权过程；
455.向所述终端发送eap消息；
456.向所述第一网元发送eap消息。
457.处理器1700还用于读取所述程序，执行如下步骤：
458.接收所述终端发送的拒绝消息，并向所述第一网元发送所述拒绝消息。
459.处理器1700还用于读取所述程序，执行如下步骤：
460.接收所述第一网元发送的认证和授权结果。
461.处理器1700还用于读取所述程序，执行如下步骤：
462.接收所述第一网元发送的第二消息，所述第二消息中携带eap成功或者eap失败；
463.向所述终端发送第六消息，在所述第六消息中携带eap成功或者eap失败。
464.处理器1700还用于读取所述程序，执行如下步骤：
465.接收所述第一网元发送的第三消息，所述第三消息中携带eap成功或者eap失败；
466.根据所述第三消息，向所述终端发送配置更新过程。
467.所述认证和授权通知中携带第一指示；处理器1700还用于读取所述程序，执行如下步骤：
468.向所述终端发送第七消息，在所述第七消息中携带第一指示；
469.接收所述终端发送的第八消息，在所述第八消息中携带有所述第一指示；
470.根据所述第八消息，向所述第一网元发送第四消息，在所述第四消息中携带所述第一指示。
471.处理器1700还用于读取所述程序，执行如下步骤：
472.接收所述第一网元的请求；
473.根据所述请求，向所述第一网元发送allowed nssai。
474.上述设备可应用于第三网元，如amf等。
475.本发明实施例提供的设备，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
476.再参见图17，本发明实施例的控制网络切片认证的设备，包括：处理器1700，用于读取存储器1720中的程序，执行下列过程：
477.当第三网元触发网络切片特定的认证和授权过程时，如果存储了第三网元所请求的s-nssai的认证和授权结果，则直接返回所述认证和授权结果。
478.收发机1710，用于在处理器1700的控制下接收和发送数据。
479.其中，在图17中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1700代表的一个或多个处理器和存储器1720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机
1710可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。处理器1700负责管理总线架构和通常的处理，存储器1720可以存储处理器1700在执行操作时所使用的数据。
480.处理器1700负责管理总线架构和通常的处理，存储器1720可以存储处理器1700在执行操作时所使用的数据。
481.处理器1700还用于读取所述程序，执行如下步骤：
482.向第一网元发送第一消息，所述第一消息中携带eap成功或者eap失败；或者
483.接收所述第一网元发送的第五消息，其中，所述第五消息是所述第一网元在收到两个以上的第三网元发送的第一消息且所述第一消息携带第一指示时，根据两个以上的第三网元中的一个第三网元的第四消息发送的，所述第一网元忽略或丢弃了两个以上的第三网元中其他第三网元的第四消息。
484.上述设备可应用于第四网元，如aaa服务器等。
485.本发明实施例提供的设备，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
486.本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述控制网络切片认证的方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(read-only memory，简称rom)、随机存取存储器(random access memory，简称ram)、磁碟或者光盘等。
487.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
488.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。根据这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
489.上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。