本发明涉及通信,尤其是指一种网元选择方法、信息传输方法、装置及网元。
背景技术:
1、切片认证及授权:在运营商完成身份认证的基础上,还可允许行业客户对相关切片的接入权限进行灵活控制,以满足对切片安全性要求高的垂直行业接入控制需求。
2、该功能需要amf(access and mobility management function,接入及移动性管理功能)通过nssaaf(network slice-specific authentication and authorization,网络特定切片认证与授权功能)与aaa(authentication、authorization、accounting,验证、授权和记账)服务器进行交互,但是目前现网中amf只能基于本地配置或使用mcc(移动国家码)+mnc(移动网络码)去nrf(network repository function,网络存储功能)查询用户要用到的nssaaf,且nssaaf只能基于本地配置的s-nssai(single-network slice selectionassistance information,单一网络切片选择辅助信息)与aaa-s(服务aaa)/aaa-p(代理aaa)之间的对应关系选择aaa-s/aaa-p。
3、随着后续业务量的增加,nssaaf部署数量也会增加,单纯基于本地配置将使配置工作量大大增加,且当网元部署发生变更时也需要手动调整全网所有nssaaf上的相关映射关系,给维护带来极大困难;若采用nrf基于mcc+mnc的查询,由于mcc+mnc粒度过粗,因此需要在全网所有nssaaf上配置相关映射关系,配置量大,且不利于基于切片完成在逐个nssaaf网元上的业务配置与隔离。
4、另外,随着后续业务量的增加,单一客户部署的aaa-s/aaa-p也会增加,该客户内部的用户也可能存在不同级别,即两组用户(如金牌用户和普通用户),因此将不同的用户分流到不同的aaa-s/aaa-p选择也是需要实现的,这样一方面可降低aaa-s/aaa-p的业务配置量,另一方面也可以实现不同用户的业务隔离。但是上述需求在当前的现网机制也是无法支持的。
5、综上,基于本地配置或mcc+mnc选择nssaaf,和/或,基于s-nssai选择aaa-s/aaa-p,粒度过粗,业务配置过于繁杂,影响后续的切片认证。
技术实现思路
1、本发明实施例的目的在于提供一种网元选择方法、信息传输方法、装置及网元,以解决现有技术中网元选择粒度过粗影响切片认证的问题。
2、为了解决上述问题,本发明实施例提供一种网元选择方法,由第一网元执行,包括:
3、根据第一信息,选择网络特定切片认证与授权功能nssaaf网元;其中,所述第一信息包括下述至少一项:
4、网络切片的s-nssai;
5、用户永久标识符supi中的归属地网络标识符;
6、数据网络名称dnn;
7、用户设备的号段信息。
8、其中,根据第一信息,选择nssaaf网元,包括:
9、向第二网元发送第一请求消息,所述第一请求消息包括所述第一信息;
10、接收第二网元发送的第一响应消息,所述第一响应消息包括:一个或一组nssaaf的全限定域名fqdn和/或地址信息;
11、根据所述第一响应消息以及预设选择策略,选择nssaaf。
12、其中,所述用户设备的号段信息包括下述至少一项:
13、通用公共用户标识gpsi;
14、用户永久标识符supi;
15、用户隐藏标识符suci;
16、外部组id;
17、内部组id;
18、路由标识。
19、其中,根据第一信息,选择网络特定切片认证与授权功能nssaaf网元之前,所述方法还包括:
20、从第三网元获取用户设备的签约信息,所述签约信息中携带目标地址信息,所述目标地址信息为与网络切片对应的一个或一组aaa服务器的地址信息。
21、其中,选择网络特定切片认证与授权功能nssaaf网元之后,所述方法还包括:
22、向所选择的nssaaf网元发送授权请求消息,所述授权请求消息中包括所述目标地址信息。
23、其中,所述授权请求消息还包括下述至少一项:
24、gpsi;
25、网络切片的s-nssai;
26、可扩展身份认证协议eap信息。
27、本发明实施例还提供一种信息传输方法,由第二网元执行,包括:
28、接收第一网元发送的第一请求消息,所述第一请求消息包括所述第一信息;所述第一信息包括下述至少一项:
29、网络切片的s-nssai;
30、用户永久标识符supi中的归属地网络标识符;
31、数据网络名称dnn;
32、用户设备的号段信息;
33、根据所述第一请求消息,向所述第一网元发送第一响应消息;所述第一响应消息包括:一个或一组nssaaf的fqdn和/或地址信息。
34、其中,所述用户设备的号段信息包括下述至少一项:
35、通用公共用户标识gpsi;
36、用户永久标识符supi;
37、用户隐藏标识符suci;
38、外部组id;
39、内部组id;
40、路由标识。
41、本发明实施例还提供一种信息传输方法,由网络特定切片认证与授权功能nssaaf网元执行,包括:
42、接收第一网元发送的授权请求消息,所述授权请求消息中包括目标地址信息,所述目标地址信息为与用户设备请求的网络切片对应的一个或一组aaa服务器的地址信息。
43、其中,所述授权请求消息还包括下述至少一项:
44、gpsi;
45、网络切片的s-nssai;
46、可扩展身份认证协议eap信息。
47、其中,所述方法还包括:
48、根据所述目标地址信息,为用户设备选择对应的aaa服务器。
49、其中,在aaa服务器包括:第四网元和第五网元的情况下,所述方法还包括:
50、向所述第五网元发送aaa协议消息,由所述第五网元将所述aaa协议消息转发至第四网元;其中,所述aaa协议消息中携带所述目标地址信息。
51、其中,在aaa服务器包括第四网元的情况下,所述方法还包括:
52、向所述第四网元发送aaa协议消息,所述aaa协议消息中携带所述目标地址信息。
53、其中,所述aaa协议消息还包括下述至少一项:
54、gpsi;
55、网络切片的s-nssai;
56、可扩展身份认证协议eap信息。
57、其中,所述目标地址信息由所述第一网元从第三网元发送的用户设备的签约信息中获得。
58、本发明实施例还提供一种信息传输方法,由第一网元执行,包括:
59、向nssaaf网元发送授权请求消息,所述授权请求消息中包括目标地址信息,所述目标地址信息为与用户设备请求的网络切片对应的一个或一组aaa服务器的地址信息。
60、其中,所述授权请求消息还包括下述至少一项:
61、gpsi;
62、网络切片的s-nssai;
63、可扩展身份认证协议eap信息。
64、其中,向nssaaf网元发送授权请求消息之前,所述方法还包括:
65、从第三网元获取用户设备的签约信息,所述签约信息中携带目标地址信息,所述目标地址信息为与网络切片对应的一个或一组aaa服务器的地址信息。
66、本发明实施例还提供一种信息存储方法,由第三网元执行,包括:
67、存储用户设备的签约信息,所述签约信息中携带目标地址信息,所述目标地址信息为与网络切片对应的一个或一组aaa服务器的地址信息。
68、其中,所述方法还包括:
69、向第一网元发送所述用户设备的签约信息。
70、本发明实施例还提供一种网元选择装置,应用于第一网元,包括:
71、选择模块,用于根据第一信息,选择网络特定切片认证与授权功能nssaaf网元;其中,所述第一信息包括下述至少一项:
72、网络切片的s-nssai;
73、用户永久标识符supi中的归属地网络标识符;
74、数据网络名称dnn;
75、用户设备的号段信息。
76、本发明实施例还提供一种第一网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
77、根据第一信息,选择网络特定切片认证与授权功能nssaaf网元;其中,所述第一信息包括下述至少一项:
78、网络切片的s-nssai;
79、用户永久标识符supi中的归属地网络标识符;
80、数据网络名称dnn;
81、用户设备的号段信息。
82、本发明实施例还提供一种信息传输装置,应用于第二网元,包括:
83、第一接收模块,用于接收第一网元发送的第一请求消息,所述第一请求消息包括所述第一信息;所述第一信息包括下述至少一项:
84、网络切片的s-nssai;
85、用户永久标识符supi中的归属地网络标识符;
86、数据网络名称dnn;
87、用户设备的号段信息;
88、第一发送模块,用于根据所述第一请求消息,向所述第一网元发送第一响应消息;所述第一响应消息包括:一个或一组nssaaf的fqdn和/或地址信息。
89、本发明实施例还提供一种第二网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
90、接收第一网元发送的第一请求消息,所述第一请求消息包括所述第一信息;所述第一信息包括下述至少一项:
91、网络切片的s-nssai;
92、用户永久标识符supi中的归属地网络标识符;
93、数据网络名称dnn;
94、用户设备的号段信息;
95、根据所述第一请求消息,向所述第一网元发送第一响应消息;所述第一响应消息包括:一个或一组nssaaf的fqdn和/或地址信息。
96、本发明实施例还提供一种信息传输装置,应用于nssaaf网元,包括:
97、第二接收模块,用于接收第一网元发送的授权请求消息,所述授权请求消息中包括目标地址信息,所述目标地址信息为与用户设备请求的网络切片对应的一个或一组aaa服务器的地址信息。
98、本发明实施例还提供一种nssaaf网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
99、接收第一网元发送的授权请求消息,所述授权请求消息中包括目标地址信息,所述目标地址信息为与用户设备请求的网络切片对应的一个或一组aaa服务器的地址信息。
100、本发明实施例还提供一种信息传输装置,应用于第一网元,包括:
101、第二发送模块,用于向nssaaf网元发送授权请求消息,所述授权请求消息中包括目标地址信息,所述目标地址信息为与用户设备请求的网络切片对应的一个或一组aaa服务器的地址信息。
102、本发明实施例还提供一种第一网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
103、向nssaaf网元发送授权请求消息,所述授权请求消息中包括目标地址信息,所述目标地址信息为与用户设备请求的网络切片对应的一个或一组aaa服务器的地址信息。
104、本发明实施例还提供一种信息确定装置,应用于第三网元,包括:
105、存储模块,用于存储用户设备的签约信息,所述签约信息中携带目标地址信息,所述目标地址信息为与网络切片对应的一个或一组aaa服务器的地址信息。
106、本发明实施例还提供一种第三网元,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
107、存储用户设备的签约信息,所述签约信息中携带目标地址信息,所述目标地址信息为与网络切片对应的一个或一组aaa服务器的地址信息。
108、本发明实施例还提供一种网元,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序,所述处理器执行所述程序时实现如上所述的网元选择方法;或者所述处理器执行所述程序时实现如上所述的信息传输方法或信息确定方法。
109、本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的网元选择方法中的步骤;或者该程序被处理器执行时实现如上所述的信息传输方法或信息确定方法。
110、本发明的上述技术方案至少具有如下有益效果:
111、本发明实施例的网元选择方法、信息传输方法、装置及网元中,amf基于s-nssai、supi中的归属地网络标识符、dnn以及号段信息中的至少一项获取当前用户设备所要使用的nssaaf,细化了选择nssaaf的粒度,从而可以基于用户设备的切片完成在多个nssaaf网元上的业务隔离。