CN114095923B - 切片访问认证方法、upf、应用服务器、pcf及终端 - Google Patents
切片访问认证方法、upf、应用服务器、pcf及终端 Download PDFInfo
- Publication number
- CN114095923B CN114095923B CN202010657883.9A CN202010657883A CN114095923B CN 114095923 B CN114095923 B CN 114095923B CN 202010657883 A CN202010657883 A CN 202010657883A CN 114095923 B CN114095923 B CN 114095923B
- Authority
- CN
- China
- Prior art keywords
- slice
- terminal
- identifier
- mobile phone
- phone number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 109
- 230000006870 function Effects 0.000 claims description 93
- 230000001133 acceleration Effects 0.000 claims description 57
- 230000008569 process Effects 0.000 claims description 24
- 238000004891 communication Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 17
- 230000006399 behavior Effects 0.000 description 14
- 230000009286 beneficial effect Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 230000000977 initiatory effect Effects 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 230000006978 adaptation Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- OOXMVRVXLWBJKF-DUXPYHPUSA-N n-[3-[(e)-2-(5-nitrofuran-2-yl)ethenyl]-1,2,4-oxadiazol-5-yl]acetamide Chemical compound O1C(NC(=O)C)=NC(\C=C\C=2OC(=CC=2)[N+]([O-])=O)=N1 OOXMVRVXLWBJKF-DUXPYHPUSA-N 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供一种切片访问认证方法、UPF、应用服务器、PCF及终端,该方法包括:与SMF实体之间完成会话建立,接收SMF实体发送的第一切片的切片标识;本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
Description
技术领域
本发明涉及通信技术领域,尤其是指一种切片访问认证方法、UPF、应用服务器、PCF及终端。
背景技术
网络切片是提供特定网络能力的、端到端的逻辑专用网络,5G网络中的虚拟化“专网”。一个网络切片实例是由网络功能和所需的物理/虚拟资源的集合,具体可包括接入网、核心网、传输承载及应用。
CSMF(Communication Service Management Function,通信服务管理功能),完成用户业务通信服务的需求订购和处理,将通信服务需求转换为对NSMF的网络切片需求。
NSMF(Network Slice Management Function,网络切片管理功能),负责端到端网络切片全生命周期管理,接收从CSMF下发的网络切片部署请求,将网络切片的SLA需求分解为网络子切片的SLA(Service Level Agreement,服务等级协议)需求,向NSSMF下发网络子切片部署请求。
NSSMF(Network Slice Subnet Management Function,网络切片子网管理功能),负责网络切片子网生命周期管理,接收从NSMF下发的网络切片子网部署需求,将网络切片子网的SLA需求映射为网络服务的QoS(Quality of Service,服务质量)需求,向NFV(Network Functions Virtualization,网络功能虚拟化)域的NFVO系统下发网络服务的部署请求。
现有技术中并未对终端侧切片选择流程和机制进行定义,网络侧对终端认证方式为终端上报的S-NSSAI(Single-Network Slice Selection Assistance Information,单个网络切片选择辅助信息)和5G-GUTI(5G-Globally Unique Temporary UE Identity,5G全球唯一临时UE标识),其中5G-GUTI是通过SIM(Subscriber Identification Module,用户身份识别模块)卡获取。如图1所示,以游戏应用场景为例,现有技术存在以下问题:
问题1,游戏订购切片,为VIP会员用户加速。例如,用户A为游戏VIP会员,用户B不是会员。用户A和用户B均使用手机号登录,用户B使用用户A手机玩游戏仍可以使用切片加速服务,而该条通信链路是不应有的。
问题2,游戏订购切片,为VIP会员用户加速。例如,用户A为游戏VIP会员,用户B不是会员。用户A和用户B均使用手机号登录,因为用户B的加速通信链路不通,故用户A使用用户B手机无法使用切片加速服务。
综上,现有技术在应用时存在切片访问认证鉴权体系的漏洞。
发明内容
本发明实施例的目的在于提供一种切片访问认证方法、UPF、应用服务器、PCF及终端,以解决现有的切片访问认证鉴权体系的漏洞。
为了解决上述问题,本发明实施例提供一种切片访问认证方法,应用于用户面功能UPF实体,包括:
与会话管理功能SMF实体之间完成会话建立,接收SMF实体发送的第一切片的切片标识。
其中,所述方法还包括:
接收终端发送的第一上行数据包,所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
将所述第一上行数据包以及所述第一切片的切片标识转发至应用服务器,以由所述应用服务器根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
本发明实施例还提供一种切片访问认证方法,应用于应用服务器,包括:
接收用户面功能UPF实体转发的第一上行数据包和第一切片的切片标识;所述第一上行数据包由终端发送给UPF实体;所述第一切片的切片标识由会话管理功能SMF实体发送给UPF实体;所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
其中,所述根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务,包括:
若所述登录手机号码未订购所述目标应用的第二切片,拒绝为所述终端提供网络加速服务;
若所述登录手机号码订购了所述目标应用的第二切片,判断所述登录手机号码订购的第二切片的切片标识是否与所述第一切片的切片标识一致;
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识一致,为所述终端提供网络加速服务。
其中,所述方法还包括:
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识不一致,向策略控制功能PCF实体发送切片重定向请求,所述切片重定向请求携带所述登录手机号码订购的第二切片的切片标识。
其中,所述向策略控制功能PCF实体发送切片重定向请求之后,所述方法包括:
接收UPF实体转发的第二上行数据包和所述第二切片的切片标识;所述第二上行数据包由终端发送给UPF实体;所述第二切片的切片标识由SMF实体发送给UPF实体;所述第二上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
本发明实施例还提供一种切片访问认证方法,应用于策略控制功能PCF实体,包括:
接收应用服务器发送的切片重定向请求,所述切片重定向请求携带终端的目标应用的登录手机号码订购的第二切片的切片标识;
根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息;其中,所述重定向指示信息携带所述第二切片的切片标识。
其中,所述根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息,包括:
根据所述切片重定向请求,生成切片选择策略;所述切片选择策略用于触发终端发起网络注册流程;
将所述切片选择策略发送给所述终端,所述切片选择策略中包含所述重定向指示信息。
本发明实施例还提供一种切片访问认证方法,应用于终端,包括:
接收策略控制功能PCF实体发送的重定向指示信息,所述重定向指示信息用于指示所述终端重定向至所述第二切片;其中,所述重定向指示信息携带所述第二切片的切片标识;
根据所述重定向指示信息,重定向至所述第二切片。
其中,所述第二切片为终端的目标应用的登录手机号码订购的切片。
其中,所述接收策略控制功能PCF实体发送的重定向指示信息,包括:
接收PCF实体发送的切片选择策略,所述切片选择策略中包含所述重定向指示信息。
其中,根据所述重定向指示信息,重定向至所述第二切片,包括:
根据所述切片选择策略,生成重定向策略;其中,所述重定向策略包括:目标应用的标识与所述第二切片的绑定关系,和/或,应用服务器的IP地址与所述第二切片的绑定关系;
根据所述重定向策略,发起网络注册流程附着到接入和移动性管理功能AMF实体;所述网络注册流程中携带所述第二切片的切片标识;以由AMF实体将所述第二切片的切片标识发送给会话管理功能SMF实体。
本发明实施例还提供一种切片访问认证装置,应用于用户面功能UPF实体,包括:
第一接收模块,用于与会话管理功能SMF实体之间完成会话建立,接收SMF实体发送的第一切片的切片标识。
本发明实施例还提供一种用户面功能UPF实体,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
与会话管理功能SMF实体之间完成会话建立,接收SMF实体发送的第一切片的切片标识。
其中,所述处理器还用于执行以下操作:
接收终端发送的第一上行数据包,所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
将所述第一上行数据包以及所述第一切片的切片标识转发至应用服务器,以由所述应用服务器根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
本发明实施例还提供一种切片访问认证装置,应用于应用服务器,包括:
第二接收模块,用于接收用户面功能UPF实体转发的第一上行数据包和第一切片的切片标识;所述第一上行数据包由终端发送给UPF实体;所述第一切片的切片标识由会话管理功能SMF实体发送给UPF实体;所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
判断模块,用于根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
本发明实施例还提供一种应用服务器,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
接收用户面功能UPF实体转发的第一上行数据包和第一切片的切片标识;所述第一上行数据包由终端发送给UPF实体;所述第一切片的切片标识由会话管理功能SMF实体发送给UPF实体;所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
其中,所述处理器还用于执行以下操作:
若所述登录手机号码未订购所述目标应用的第二切片,拒绝为所述终端提供网络加速服务;
若所述登录手机号码订购了所述目标应用的第二切片,判断所述登录手机号码订购的第二切片的切片标识是否与所述第一切片的切片标识一致;
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识一致,为所述终端提供网络加速服务。
其中,所述处理器还用于执行以下操作:
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识不一致,向策略控制功能PCF实体发送切片重定向请求,所述切片重定向请求携带所述登录手机号码订购的第二切片的切片标识。
其中,所述处理器还用于执行以下操作:
接收UPF实体转发的第二上行数据包和所述第二切片的切片标识;所述第二上行数据包由终端发送给UPF实体;所述第二切片的切片标识由SMF实体发送给UPF实体;所述第二上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
本发明实施例还提供一种切片访问认证装置,应用于策略控制功能PCF实体,包括:
第三接收模块,用于接收应用服务器发送的切片重定向请求,所述切片重定向请求携带终端的目标应用的登录手机号码订购的第二切片的切片标识;
第一发送模块,用于根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息;其中,所述重定向指示信息携带所述第二切片的切片标识。
本发明实施例还提供一种策略控制功能PCF实体,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
接收应用服务器发送的切片重定向请求,所述切片重定向请求携带终端的目标应用的登录手机号码订购的第二切片的切片标识;
根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息;其中,所述重定向指示信息携带所述第二切片的切片标识。
其中,所述处理器还用于执行以下操作:
根据所述切片重定向请求,生成切片选择策略;所述切片选择策略用于触发终端发起网络注册流程;
将所述切片选择策略发送给所述终端,所述切片选择策略中包含所述重定向指示信息。
本发明实施例还提供一种切片访问认证装置,应用于终端,包括:
第四接收模块,用于接收策略控制功能PCF实体发送的重定向指示信息,所述重定向指示信息用于指示所述终端重定向至所述第二切片;其中,所述重定向指示信息携带所述第二切片的切片标识;
重定向模块,用于根据所述重定向指示信息,重定向至所述第二切片。
本发明实施例还提供一种终端,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
接收策略控制功能PCF实体发送的重定向指示信息,所述重定向指示信息用于指示所述终端重定向至所述第二切片;其中,所述重定向指示信息携带所述第二切片的切片标识;
根据所述重定向指示信息,重定向至所述第二切片。
其中,所述第二切片为终端的目标应用的登录手机号码订购的切片。
其中,所述处理器还用于执行以下操作:
接收PCF实体发送的切片选择策略,所述切片选择策略中包含所述重定向指示信息。
其中,所述处理器还用于执行以下操作:
根据所述切片选择策略,生成重定向策略;其中,所述重定向策略包括:目标应用的标识与所述第二切片的绑定关系,和/或,应用服务器的IP地址与所述第二切片的绑定关系;
根据所述重定向策略,发起网络注册流程附着到接入和移动性管理功能AMF实体;所述网络注册流程中携带所述第二切片的切片标识;以由AMF实体将所述第二切片的切片标识发送给会话管理功能SMF实体。
本发明实施例还提供一种通信设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序,所述处理器执行所述程序时实现如上所述的切片访问认证方法。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的切片访问认证方法中的步骤。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例的切片访问认证方法、UPF、应用服务器、PCF及终端中,通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
附图说明
图1表示现有技术中应用场景的示意图;
图2表示本发明实施例提供的5G核心网的网络结构;
图3表示本发明实施例提供的切片访问认证方法的步骤示意图之一;
图4表示本发明实施例提供的切片访问认证方法的步骤示意图之二;
图5表示本发明实施例提供的应用服务器的结构示意图;
图6表示本发明实施例提供的应用服务器的流程示意图;
图7表示本发明实施例提供的切片访问认证方法的步骤示意图之三;
图8表示本发明实施例提供的PCF实体的结构示意图;
图9表示本发明实施例提供的切片访问认证方法的步骤示意图之四;
图10表示本发明实施例提供的切片访问认证方法的完整交互示例图;
图11表示本发明实施例提供的切片访问认证装置的结构示意图之一;
图12表示本发明实施例提供的通信设备的结构示意图;
图13表示本发明实施例提供的切片访问认证装置的结构示意图之二;
图14表示本发明实施例提供的切片访问认证装置的结构示意图之三;
图15表示本发明实施例提供的切片访问认证装置的结构示意图之四。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明实施例提供的切片访问认证方法主要体现在网络会话建立阶段,5GC(5G核心网)网络结构如图2所示,参与到切片选择会话建立流程的网元及应用系统主要包括终端(UE)、AMF(接入和移动性管理功能)、SMF(会话管理功能)、PCF(策略控制功能)、UPF(用户面功能)、应用服务器。
在系统架构层面,本发明实施例对SMF和UPF之间接口(N4)、UPF和应用服务器之间接口(N6)进行改造;对应用服务器进行改造,增加网络服务认证机制;对PCF进行改造,新增策略生成及触发机制;对PCF和AMF之间接口(N15)、AMF和UE之间接口(N1)进行改造,增加网络切片重定向接口功能,终端需配合网络下发策略进行策略更新;对切片会话建立流程也进行了改造。
本发明实施例在切片选择流程中,用户面会话建立时,由UPF将当前会话的切片标识(即第一切片的切片标识)发送给应用服务器,应用服务器将收到数据包中的登录手机号码与收到的切片标识做签约关系比对,判断登录手机号码是否订购该切片。若未订购,则拒绝服务,若已订购但订购切片与当前会话切片不一致,则由应用服务器请求发起切片重定向;一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
如图3所示,本发明实施例提供一种切片访问认证方法,应用于用户面功能UPF实体,包括:
步骤31,与会话管理功能SMF实体之间完成会话建立,接收SMF实体发送的第一切片的切片标识。
本发明实施例对SMF和UPF之间的接口(N4)进行改造,通过N4接口向UPF传输终端选择的第一切片的切片标识。
本发明实施例中终端根据目标应用的信息(例如目标应用的ID,IP地址等)选择合适的第一切片的切片标识,若第一切片的切片标识为允许的切片标识,则终端向AMF发起PDU(协议数据单元)会话创建请求,携带会话ID,切片标识,5G-GUTI;AMF发起控制面切片选择信令流程,完成AMF选择SMF,并实现PDU会话鉴权认证。SMF根据切片标识、切片实例标识(NSI ID)、DNN(数据分组网络)等确定选择哪个UPF。SMF与选择的UPF之间完成会话建立,在会话建立过程中或会话建立完成后,SMF向UPF发送第一切片的切片标识。例如,SMF通过N4接口向UPF发送PFCP(包转发控制协议)会话建立请求消息以在UPF中建立新的PFCP会话上下文,并在该PFCP会话建立请求消息中新增“当前会话S-NSSAI”资源实现当前会话的切片标识的携带。UPF可以新增切片标识存储模块,UPF有了切片标识后,面向应用服务器开放业务能力,通过N6接口携带当前会话的切片标识给应用服务器。
该第一切片为终端选择的切片。该切片标识具体可以为S-NSSAI(单个网络切片选择辅助信息)。
可选地,SMF与UPF之间完成会话建立后,SMF还需要通过标准用户面会话创建流程,建立用户面会话,从而完成网络通道建立。网络通道建立完成之后,作为本发明的一个可选实施例,所述方法还包括:
接收终端发送的第一上行数据包,所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
将所述第一上行数据包以及所述第一切片的切片标识转发至应用服务器,以由所述应用服务器根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
本发明实施例还对UPF与应用服务器之间的接口(N6)进行改造,通过N6接口将第一上行数据包和第一切片的切片标识发送给应用服务器,即本发明实施例中网络侧辅助提供切片标识和登录手机号码,由应用服务器实现鉴权认证。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
如图4所示,本发明实施例还提供一种切片访问认证方法,应用于应用服务器,包括:
步骤41,接收用户面功能UPF实体转发的第一上行数据包和第一切片的切片标识;所述第一上行数据包由终端发送给UPF实体;所述第一切片的切片标识由会话管理功能SMF实体发送给UPF实体;所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
步骤42,根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
本发明实施例中,UPF将终端发送的第一上行数据包和第一切片的切片标识发送给应用服务器,应用服务器增加网络服务认证机制,从而由应用服务器实现鉴权认证。
由于5G引入切片技术使得不同的业务应用可以使用不同特征和性能的网络来提供服务,形成网-应用-用户三级服务体系,因此应用与不同网络之间的订购关系是5G时代应用系统需要管理的新功能,相应地对用户服务的认证也需要升级,除了认证用户的身份外,还要认证服务的网络是否匹配。本发明实施例在原有的应用服务器账户管理体系(用户账户管理模块、业务管理模块、用户与业务订购关系管理模块)的基础上,新增网业协同服务认证模块,该模块包含用户服务认证管理子模块和业务与网络订购关系管理子模块。
业务与网络订购关系管理子模块用于:用户向运营商订购网络切片之后,需要指定哪些业务使用该切片(例如腾讯订购切片后,指定旗下哪个或哪几个游戏使用该切片),并将该业务签约的卡用户迁移至该切片上。该模块负责存储并管理业务与网络的订购关系,包括订购关系的新增、变更、删除等。
用户服务认证管理子模块:负责存储认证处理机制,执行逻辑判断,即认证用户及网络服务,判断用户是否订购该应用、应用是否订购切片网络服务、用户当前使用的网络服务是否与该应用订购的网络切片匹配。
作为一个可选实施例,步骤42包括:
若所述登录手机号码未订购所述目标应用的第二切片,拒绝为所述终端提供网络加速服务;
若所述登录手机号码订购了所述目标应用的第二切片,判断所述登录手机号码订购的第二切片的切片标识是否与所述第一切片的切片标识一致;
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识一致,为所述终端提供网络加速服务。
例如,该第二切片为VIP切片,订购了VIP切片的应用能够享受网络加速服务。
可选地,所述方法还包括:
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识不一致,向策略控制功能PCF实体发送切片重定向请求,所述切片重定向请求携带所述登录手机号码订购的第二切片的切片标识。
进一步的,所述向策略控制功能PCF实体发送切片重定向请求之后,所述方法包括:
接收UPF实体转发的第二上行数据包和所述第二切片的切片标识;所述第二上行数据包由终端发送给UPF实体;所述第二切片的切片标识由SMF实体发送给UPF实体;所述第二上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
本发明实施例中,应用服务器向PCF发送切片重定向请求后,PCF由终端当前附着的AMF通知终端重定向至第二切片,携带第二切片的切片标识;终端侧更新切片选择策略,触发网络注册流程,判断AMF是否需要重选(基于第二切片是否包含当前AMF来判断AMF是否需要重选);终端向重选之后的AMF或之前的AMF发起PDU会话建立请求,该PDU会话建立请求携带第二切片的切片标识;AMF发起控制面切片选择信令流程,完成AMF选择SMF,并实现PDU会话鉴权认证。SMF根据第二切片的切片标识、切片实例标识(NSI ID)、DNN(数据分组网络)等确定选择哪个UPF。SMF与选择的UPF之间完成会话建立,在会话建立过程中或会话建立完成后,SMF向UPF发送第二切片的切片标识。
可选地,SMF与UPF之间完成会话建立后,SMF还需要通过标准用户面会话创建流程,建立用户面会话,从而完成网络通道建立。网络通道建立完成之后,作为本发明的一个可选实施例,所述方法还包括:
终端向UPF发送第二上行数据包,所述第二上行数据包中携带所述终端的目标应用的登录手机号码;
UPF将第二上行数据包和所述第二切片的切片标识转发至应用服务器;
应用服务器根据登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
如图6所示,应用服务器的处理流程包括:
步骤61、用户访问请求到达;
步骤62、用户与业务订购关系模块查询用户注册信息、业务订购信息(例如网络切片加速业务订购信息);
步骤63、用户服务认证管理子模块判断用户是否该应用注册用户,若是,进入步骤64,若否,拒绝服务,流程结束;
步骤64、用户服务认证管理子模块判断是否该应用注册用户判断用户是否订购网络切片加速业务;
步骤65、业务与网络订购关系管理子模块查询该网络切片加速业务的网络切片订购信息(例如查询该加速业务对应的切片标识S-NSSAI);
步骤6、用户服务认证管理子模块判断当前使用网络切片服务是否与订购信息匹配,若是,进入步骤67,若否,进入步骤68;
步骤67、返回用户访问认证成功响应;
步骤68、请求网络重定向,请求重定向至所订购切片上,若用户当前使用大网默认切片且订购了高级别切片加速服务,则重定向至高级别切片,若用户当前使用高级别切片网络但未订购高级别切片加速服务,则重定向至大网默认切片。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
如图7所示,本发明实施例还提供一种切片访问认证方法,应用于策略控制功能PCF实体,包括:
步骤71,接收应用服务器发送的切片重定向请求,所述切片重定向请求携带终端的目标应用的登录手机号码订购的第二切片的切片标识;例如,应用服务器通过N5接口发送切片重定向请求,携带第二切片的切片标识。
步骤72,根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息;其中,所述重定向指示信息携带所述第二切片的切片标识。
本发明实施例对PCF进行改造,新增策略生成及触发机制。如图8所示,本发明实施例在原有PCF的订购关系策略管理模块基础上,新增应用请求重定向策略管理模块,负责接收来自应用服务器对接入终端网络的重定向请求,生成重定向NSSP策略,并通过终端接入AMF下发给终端。
可选地,步骤72包括:
根据所述切片重定向请求,生成切片选择策略;所述切片选择策略用于触发终端发起网络注册流程;
将所述切片选择策略发送给所述终端,所述切片选择策略中包含所述重定向指示信息。
本发明实施例中,应用服务器向PCF发送切片重定向请求后,PCF由终端当前附着的AMF通知终端重定向至第二切片,携带第二切片的切片标识;终端侧更新切片选择策略,触发网络注册流程,判断AMF是否需要重选(基于第二切片是否包含当前AMF来判断AMF是否需要重选);终端向重选之后的AMF或之前的AMF发起PDU会话建立请求,该PDU会话建立请求携带第二切片的切片标识;AMF发起控制面切片选择信令流程,完成AMF选择SMF,并实现PDU会话鉴权认证。SMF根据第二切片的切片标识、切片实例标识(NSI ID)、DNN(数据分组网络)等确定选择哪个UPF。SMF与选择的UPF之间完成会话建立,在会话建立过程中或会话建立完成后,SMF向UPF发送第二切片的切片标识。
可选地,SMF与UPF之间完成会话建立后,SMF还需要通过标准用户面会话创建流程,建立用户面会话,从而完成网络通道建立。网络通道建立完成之后,作为本发明的一个可选实施例,所述方法还包括:
终端向UPF发送第二上行数据包,所述第二上行数据包中携带所述终端的目标应用的登录手机号码;
UPF将第二上行数据包和所述第二切片的切片标识转发至应用服务器;
应用服务器根据登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
如图9所示,本发明实施例还提供一种切片访问认证方法,应用于终端,包括:
步骤91,接收策略控制功能PCF实体发送的重定向指示信息,所述重定向指示信息用于指示所述终端重定向至所述第二切片;其中,所述重定向指示信息携带所述第二切片的切片标识;
步骤92,根据所述重定向指示信息,重定向至所述第二切片。
本发明实施例在原有终端的基础上,新增重定向策略更新模块,负责接收来自PCF的切片重定向指令,生成重定向NSSP策略,触发网络重定向注册流程。重定向NSSP策略包含APP ID/APP应用服务器IP地址与重定向网络切片标识的绑定关系。终端发起重定向注册流程携带第二切片的切片标识,重新附着AMF,终端发起PDU会话建立请求时,在重定向NSSP中查找对应的切片标识发送至网络侧。
可选地,本发明的上述实施例中,所述第二切片为终端的目标应用的登录手机号码订购的切片。
作为一个可选实施例,步骤91包括:
接收PCF实体发送的切片选择策略,所述切片选择策略中包含所述重定向指示信息。
相应的,步骤92包括:
根据所述切片选择策略,生成重定向策略;其中,所述重定向策略包括:目标应用的标识与所述第二切片的绑定关系,和/或,应用服务器的IP地址与所述第二切片的绑定关系;
根据所述重定向策略,发起网络注册流程附着到接入和移动性管理功能AMF实体;所述网络注册流程中携带所述第二切片的切片标识;以由AMF实体将所述第二切片的切片标识发送给会话管理功能SMF实体。
本发明实施例中,应用服务器向PCF发送切片重定向请求后,PCF由终端当前附着的AMF通知终端重定向至第二切片,携带第二切片的切片标识;终端侧更新切片选择策略,触发网络注册流程,判断AMF是否需要重选(基于第二切片是否包含当前AMF来判断AMF是否需要重选);终端向重选之后的AMF或之前的AMF发起PDU会话建立请求,该PDU会话建立请求携带第二切片的切片标识;AMF发起控制面切片选择信令流程,完成AMF选择SMF,并实现PDU会话鉴权认证。SMF根据第二切片的切片标识、切片实例标识(NSI ID)、DNN(数据分组网络)等确定选择哪个UPF。SMF与选择的UPF之间完成会话建立,在会话建立过程中或会话建立完成后,SMF向UPF发送第二切片的切片标识。
可选地,SMF与UPF之间完成会话建立后,SMF还需要通过标准用户面会话创建流程,建立用户面会话,从而完成网络通道建立。网络通道建立完成之后,作为本发明的一个可选实施例,所述方法还包括:
终端向UPF发送第二上行数据包,所述第二上行数据包中携带所述终端的目标应用的登录手机号码;
UPF将第二上行数据包和所述第二切片的切片标识转发至应用服务器;
应用服务器根据登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
如图10所示,为本发明实施例提供的切片访问认证方法的完整流程,具体包括:
0、终端根据APP信息(APP ID/目的IP地址)在NSSP中选择合适的S-NSSAI,并在允许的NSSAI中检测是否存在,若存在则进入下面流程;
步骤1、终端发起PDU会话创建请求,携带会话ID、切片标识S-NSSAI、5G-GUTI;
步骤2、网络侧发起控制面切片选择信令流程,完成AMF选择SMF;
步骤3、PDU会话鉴权认证;
步骤4、SMF根据切片标识S-NSSAI、切片实例标识NSI ID、DNN等判断选择哪个UPF;
步骤5、SMF与UPF完成会话建立,携带切片标识S-NSSAI;
步骤6、步骤7、步骤8、步骤9为标准用户面会话创建流程;
步骤10、网络通道建立,可以开始发送数据包;
步骤11、应用发送上行数据包,携带用于在APP侧登录应用的登录手机号码;
步骤12、UPF转发数据包至应用服务器,携带切片标识S-NSSAI;
步骤13、应用服务器判断该手机号码是否订购本应用VIP切片,若是,进入步骤14a,若否进入步骤14b;
步骤14a、继续判断该手机号码订购的切片标识是否与当前上送的切片标识一致,若是,进入步骤15a,若否,进入步骤15b;
步骤14b、应用服务器面向用户拒绝提供服务,终端侧APP提示网络加速服务中断或加速服务访问失败;
步骤15a、继续通信,发送下行数据包,终端用户继续使用网络加速服务;
步骤15b、将该手机号码订购的VIP切片标识通知PCF,请求切片重定向;
步骤16、PCF生成新的切片选择策略;
步骤17、PCF由当前终端附着的AMF通知UE终端重定向至目标切片,携带目标切片标识S-NSSAI;
步骤18、终端侧更新切片选择策略,触发网络注册流程;
步骤19、终端发起网络注册流程,判断AMF是否需要重选(因为新的切片不一定包含当前AMF网元);
步骤20、重新发起PDU会话建立流程,即进入步骤1,携带目标切片的切片标识。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
如图11所示,本发明实施例还提供一种切片访问认证装置,应用于用户面功能UPF实体,包括:
第一接收模块101,用于与会话管理功能SMF实体之间完成会话建立,接收SMF实体发送的第一切片的切片标识。
可选地,作为本发明的一个可选实施例,所述装置还包括:
第十一接收模块,用于接收终端发送的第一上行数据包,所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
第一转发模块,用于将所述第一上行数据包以及所述第一切片的切片标识转发至应用服务器,以由所述应用服务器根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
需要说明的是,本发明实施例提供的切片访问认证装置是能够执行上述切片访问认证方法的装置,则上述切片访问认证方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
如图12所示,本发明实施例还提供一种用户面功能UPF实体,包括处理器200和收发器210,所述收发器210在处理器200的控制下接收和发送数据,所述处理器200用于执行以下操作:
与会话管理功能SMF实体之间完成会话建立,接收SMF实体发送的第一切片的切片标识。
可选地,作为本发明的一个可选实施例,所述处理器200还用于执行以下操作:
接收终端发送的第一上行数据包,所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
将所述第一上行数据包以及所述第一切片的切片标识转发至应用服务器,以由所述应用服务器根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
需要说明的是,本发明实施例提供的UPF实体是能够执行上述切片访问认证方法的UPF,则上述切片访问认证方法的所有实施例均适用于该UPF实体,且均能达到相同或相似的有益效果。
如图13所示,本发明实施例还提供一种切片访问认证装置,应用于应用服务器,包括:
第二接收模块130,用于接收用户面功能UPF实体转发的第一上行数据包和第一切片的切片标识;所述第一上行数据包由终端发送给UPF实体;所述第一切片的切片标识由会话管理功能SMF实体发送给UPF实体;所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
判断模块131,用于根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
可选地,作为本发明的一个可选实施例,所述判断模块包括:
第一子模块,用于若所述登录手机号码未订购所述目标应用的第二切片,拒绝为所述终端提供网络加速服务;
第二子模块,用于若所述登录手机号码订购了所述目标应用的第二切片,判断所述登录手机号码订购的第二切片的切片标识是否与所述第一切片的切片标识一致;
第三子模块,用于若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识一致,为所述终端提供网络加速服务。
可选地,作为本发明的一个可选实施例,所述装置还包括:
第四子模块,用于若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识不一致,向策略控制功能PCF实体发送切片重定向请求,所述切片重定向请求携带所述登录手机号码订购的第二切片的切片标识。
可选地,作为本发明的一个可选实施例,所述装置包括:
第十二接收模块,用于接收UPF实体转发的第二上行数据包和所述第二切片的切片标识;所述第二上行数据包由终端发送给UPF实体;所述第二切片的切片标识由SMF实体发送给UPF实体;所述第二上行数据包中携带所述终端的目标应用的登录手机号码;
确定模块,用于根据所述登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
需要说明的是,本发明实施例提供的切片访问认证装置是能够执行上述切片访问认证方法的装置,则上述切片访问认证方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
如图12所示,本发明实施例还提供一种应用服务器,包括处理器200和收发器210,所述收发器210在处理器200的控制下接收和发送数据,所述处理器200用于执行以下操作:
接收用户面功能UPF实体转发的第一上行数据包和第一切片的切片标识;所述第一上行数据包由终端发送给UPF实体;所述第一切片的切片标识由会话管理功能SMF实体发送给UPF实体;所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
可选地,作为本发明的一个可选实施例,所述处理器还用于执行以下操作:
若所述登录手机号码未订购所述目标应用的第二切片,拒绝为所述终端提供网络加速服务;
若所述登录手机号码订购了所述目标应用的第二切片,判断所述登录手机号码订购的第二切片的切片标识是否与所述第一切片的切片标识一致;
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识一致,为所述终端提供网络加速服务。
可选地,作为本发明的一个可选实施例,所述处理器还用于执行以下操作:
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识不一致,向策略控制功能PCF实体发送切片重定向请求,所述切片重定向请求携带所述登录手机号码订购的第二切片的切片标识。
可选地,作为本发明的一个可选实施例,所述处理器还用于执行以下操作:
接收UPF实体转发的第二上行数据包和所述第二切片的切片标识;所述第二上行数据包由终端发送给UPF实体;所述第二切片的切片标识由SMF实体发送给UPF实体;所述第二上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
需要说明的是,本发明实施例提供的应用服务器是能够执行上述切片访问认证方法的应用服务器,则上述切片访问认证方法的所有实施例均适用于该应用服务器,且均能达到相同或相似的有益效果。
如图14所示,本发明实施例还提供一种切片访问认证装置,应用于策略控制功能PCF实体,包括:
第三接收模块140,用于接收应用服务器发送的切片重定向请求,所述切片重定向请求携带终端的目标应用的登录手机号码订购的第二切片的切片标识;
第一发送模块141,用于根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息;其中,所述重定向指示信息携带所述第二切片的切片标识。
可选地,作为本发明的一个可选实施例,所述第一发送模块包括:
生成子模块,用于根据所述切片重定向请求,生成切片选择策略;所述切片选择策略用于触发终端发起网络注册流程;
发送子模块,用于将所述切片选择策略发送给所述终端,所述切片选择策略中包含所述重定向指示信息。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
需要说明的是,本发明实施例提供的切片访问认证装置是能够执行上述切片访问认证方法的装置,则上述切片访问认证方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
如图12所示,本发明实施例还提供一种策略控制功能PCF实体,包括处理器200和收发器210,所述收发器210在处理器200的控制下接收和发送数据,所述处理器200用于执行以下操作:
接收应用服务器发送的切片重定向请求,所述切片重定向请求携带终端的目标应用的登录手机号码订购的第二切片的切片标识;
根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息;其中,所述重定向指示信息携带所述第二切片的切片标识。
可选地,作为本发明的一个可选实施例,所述处理器还用于执行以下操作:
根据所述切片重定向请求,生成切片选择策略;所述切片选择策略用于触发终端发起网络注册流程;
将所述切片选择策略发送给所述终端,所述切片选择策略中包含所述重定向指示信息。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
需要说明的是,本发明实施例提供的PCF实体是能够执行上述切片访问认证方法的PCF实体,则上述切片访问认证方法的所有实施例均适用于该PCF实体,且均能达到相同或相似的有益效果。
如图15所示,本发明实施例还提供一种切片访问认证装置,应用于终端,包括:
第四接收模块150,用于接收策略控制功能PCF实体发送的重定向指示信息,所述重定向指示信息用于指示所述终端重定向至所述第二切片;其中,所述重定向指示信息携带所述第二切片的切片标识;
重定向模块151,用于根据所述重定向指示信息,重定向至所述第二切片。
可选地,作为本发明的一个可选实施例,所述第二切片为终端的目标应用的登录手机号码订购的切片。
可选地,作为本发明的一个可选实施例,所述第四接收模块包括:
第六子模块,用于接收PCF实体发送的切片选择策略,所述切片选择策略中包含所述重定向指示信息。
可选地,作为本发明的一个可选实施例,所述重定向模块包括:
第七子模块,用于根据所述切片选择策略,生成重定向策略;其中,所述重定向策略包括:目标应用的标识与所述第二切片的绑定关系,和/或,应用服务器的IP地址与所述第二切片的绑定关系;
第八子模块,用于根据所述重定向策略,发起网络注册流程附着到接入和移动性管理功能AMF实体;所述网络注册流程中携带所述第二切片的切片标识;以由AMF实体将所述第二切片的切片标识发送给会话管理功能SMF实体。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
需要说明的是,本发明实施例提供的切片访问认证装置是能够执行上述切片访问认证方法的装置,则上述切片访问认证方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
如图12所示,本发明实施例还提供一种终端,包括处理器200和收发器210,所述收发器210在处理器200的控制下接收和发送数据,所述处理器200用于执行以下操作:
接收策略控制功能PCF实体发送的重定向指示信息,所述重定向指示信息用于指示所述终端重定向至所述第二切片;其中,所述重定向指示信息携带所述第二切片的切片标识;
根据所述重定向指示信息,重定向至所述第二切片。
可选地,作为本发明的一个可选实施例,所述第二切片为终端的目标应用的登录手机号码订购的切片。
可选地,作为本发明的一个可选实施例,所述处理器还用于执行以下操作:
接收PCF实体发送的切片选择策略,所述切片选择策略中包含所述重定向指示信息。
可选地,作为本发明的一个可选实施例,所述处理器还用于执行以下操作:
根据所述切片选择策略,生成重定向策略;其中,所述重定向策略包括:目标应用的标识与所述第二切片的绑定关系,和/或,应用服务器的IP地址与所述第二切片的绑定关系;
根据所述重定向策略,发起网络注册流程附着到接入和移动性管理功能AMF实体;所述网络注册流程中携带所述第二切片的切片标识;以由AMF实体将所述第二切片的切片标识发送给会话管理功能SMF实体。
综上,本发明实施例通过SMF与UPF之间的接口传输第一切片的切片标识,由UPF将终端发送的上行数据包和第一切片的切片标识转发给应用服务器,应用服务器根据接收到的数据包中的登录手机号码与接收到的第一切片的切片标识进行鉴权认证,一方面能够对应用的登录手机号码鉴权认证,判断是否提供服务,另一方面对该条链路接入网络也进行鉴权认证,保证已订购切片的APP应用提供方的权益,防止“蹭网”行为,也保护已订购切片用户的应有权益,使得VIP用户使用不同终端设备也能够享受到切片服务。
需要说明的是,本发明实施例提供的终端是能够执行上述切片访问认证方法的终端,则上述切片访问认证方法的所有实施例均适用于该终端,且均能达到相同或相似的有益效果。
本发明实施例还提供一种通信设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述的切片访问认证方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的切片访问认证方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储介质中,使得存储在该计算机可读存储介质中的指令产生包括指令装置的纸制品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他科编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (26)
1.一种切片访问认证方法,应用于用户面功能UPF实体,其特征在于,包括:
与会话管理功能SMF实体之间完成会话建立,接收SMF实体发送的第一切片的切片标识;
其中,所述方法还包括:
接收终端发送的第一上行数据包,所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
将所述第一上行数据包以及所述第一切片的切片标识转发至应用服务器,以由所述应用服务器根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
2.一种切片访问认证方法,应用于应用服务器,其特征在于,包括:
接收用户面功能UPF实体转发的第一上行数据包和第一切片的切片标识;所述第一上行数据包由终端发送给UPF实体;所述第一切片的切片标识由会话管理功能SMF实体发送给UPF实体;所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
3.根据权利要求2所述的方法,其特征在于,所述根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务,包括:
若所述登录手机号码未订购所述目标应用的第二切片,拒绝为所述终端提供网络加速服务;
若所述登录手机号码订购了所述目标应用的第二切片,判断所述登录手机号码订购的第二切片的切片标识是否与所述第一切片的切片标识一致;
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识一致,为所述终端提供网络加速服务。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识不一致,向策略控制功能PCF实体发送切片重定向请求,所述切片重定向请求携带所述登录手机号码订购的第二切片的切片标识。
5.根据权利要求4所述的方法,其特征在于,所述向策略控制功能PCF实体发送切片重定向请求之后,所述方法包括:
接收UPF实体转发的第二上行数据包和所述第二切片的切片标识;所述第二上行数据包由终端发送给UPF实体;所述第二切片的切片标识由SMF实体发送给UPF实体;所述第二上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
6.一种切片访问认证方法,应用于策略控制功能PCF实体,其特征在于,包括:
接收应用服务器发送的切片重定向请求,所述切片重定向请求携带终端的目标应用的登录手机号码订购的第二切片的切片标识;
根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息;其中,所述重定向指示信息携带所述第二切片的切片标识。
7.根据权利要求6所述的方法,其特征在于,所述根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息,包括:
根据所述切片重定向请求,生成切片选择策略;所述切片选择策略用于触发终端发起网络注册流程;
将所述切片选择策略发送给所述终端,所述切片选择策略中包含所述重定向指示信息。
8.一种切片访问认证方法,应用于终端,其特征在于,包括:
接收策略控制功能PCF实体发送的重定向指示信息,所述重定向指示信息用于指示所述终端重定向至第二切片;其中,所述重定向指示信息携带所述第二切片的切片标识;
根据所述重定向指示信息,重定向至所述第二切片;所述第二切片为终端的目标应用的登录手机号码订购的切片;以由应用服务器能够根据所述登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
9.根据权利要求8所述的方法,其特征在于,所述接收策略控制功能PCF实体发送的重定向指示信息,包括:
接收PCF实体发送的切片选择策略,所述切片选择策略中包含所述重定向指示信息。
10.根据权利要求9所述的方法,其特征在于,根据所述重定向指示信息,重定向至所述第二切片,包括:
根据所述切片选择策略,生成重定向策略;其中,所述重定向策略包括:目标应用的标识与所述第二切片的绑定关系,和/或,应用服务器的IP地址与所述第二切片的绑定关系;
根据所述重定向策略,发起网络注册流程附着到接入和移动性管理功能AMF实体;所述网络注册流程中携带所述第二切片的切片标识;以由AMF实体将所述第二切片的切片标识发送给会话管理功能SMF实体。
11.一种切片访问认证装置,应用于用户面功能UPF实体,其特征在于,包括:
第一接收模块,用于与会话管理功能SMF实体之间完成会话建立,接收SMF实体发送的第一切片的切片标识;
其中,所述装置还包括:
第十一接收模块,用于接收终端发送的第一上行数据包,所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
第一转发模块,用于将所述第一上行数据包以及所述第一切片的切片标识转发至应用服务器,以由所述应用服务器根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
12.一种用户面功能UPF实体,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
与会话管理功能SMF实体之间完成会话建立,接收SMF实体发送的第一切片的切片标识;
所述处理器还用于执行以下操作:
接收终端发送的第一上行数据包,所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
将所述第一上行数据包以及所述第一切片的切片标识转发至应用服务器,以由所述应用服务器根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
13.一种切片访问认证装置,应用于应用服务器,其特征在于,包括:
第二接收模块,用于接收用户面功能UPF实体转发的第一上行数据包和第一切片的切片标识;所述第一上行数据包由终端发送给UPF实体;所述第一切片的切片标识由会话管理功能SMF实体发送给UPF实体;所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
判断模块,用于根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
14.一种应用服务器,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
接收用户面功能UPF实体转发的第一上行数据包和第一切片的切片标识;所述第一上行数据包由终端发送给UPF实体;所述第一切片的切片标识由会话管理功能SMF实体发送给UPF实体;所述第一上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第一切片的切片标识判断是否为终端提供网络加速服务。
15.根据权利要求14所述的应用服务器,其特征在于,所述处理器还用于执行以下操作:
若所述登录手机号码未订购所述目标应用的第二切片,拒绝为所述终端提供网络加速服务;
若所述登录手机号码订购了所述目标应用的第二切片,判断所述登录手机号码订购的第二切片的切片标识是否与所述第一切片的切片标识一致;
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识一致,为所述终端提供网络加速服务。
16.根据权利要求15所述的应用服务器,其特征在于,所述处理器还用于执行以下操作:
若所述登录手机号码订购的第二切片的切片标识与所述第一切片的切片标识不一致,向策略控制功能PCF实体发送切片重定向请求,所述切片重定向请求携带所述登录手机号码订购的第二切片的切片标识。
17.根据权利要求16所述的应用服务器,其特征在于,所述处理器还用于执行以下操作:
接收UPF实体转发的第二上行数据包和所述第二切片的切片标识;所述第二上行数据包由终端发送给UPF实体;所述第二切片的切片标识由SMF实体发送给UPF实体;所述第二上行数据包中携带所述终端的目标应用的登录手机号码;
根据所述登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
18.一种切片访问认证装置,应用于策略控制功能PCF实体,其特征在于,包括:
第三接收模块,用于接收应用服务器发送的切片重定向请求,所述切片重定向请求携带终端的目标应用的登录手机号码订购的第二切片的切片标识;
第一发送模块,用于根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息;其中,所述重定向指示信息携带所述第二切片的切片标识。
19.一种策略控制功能PCF实体,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
接收应用服务器发送的切片重定向请求,所述切片重定向请求携带终端的目标应用的登录手机号码订购的第二切片的切片标识;
根据所述切片重定向请求,向所述终端发送用于指示所述终端重定向至所述第二切片的重定向指示信息;其中,所述重定向指示信息携带所述第二切片的切片标识。
20.根据权利要求19所述的PCF实体,其特征在于,所述处理器还用于执行以下操作:
根据所述切片重定向请求,生成切片选择策略;所述切片选择策略用于触发终端发起网络注册流程;
将所述切片选择策略发送给所述终端,所述切片选择策略中包含所述重定向指示信息。
21.一种切片访问认证装置,应用于终端,其特征在于,包括:
第四接收模块,用于接收策略控制功能PCF实体发送的重定向指示信息,所述重定向指示信息用于指示所述终端重定向至第二切片;其中,所述重定向指示信息携带所述第二切片的切片标识;
重定向模块,用于根据所述重定向指示信息,重定向至所述第二切片;所述第二切片为终端的目标应用的登录手机号码订购的切片;以由应用服务器能够根据所述登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
22.一种终端,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
接收策略控制功能PCF实体发送的重定向指示信息,所述重定向指示信息用于指示所述终端重定向至第二切片;其中,所述重定向指示信息携带所述第二切片的切片标识;
根据所述重定向指示信息,重定向至所述第二切片;所述第二切片为终端的目标应用的登录手机号码订购的切片;以由应用服务器能够根据所述登录手机号码以及所述第二切片的切片标识,确定为终端提供网络加速服务。
23.根据权利要求22所述的终端,其特征在于,所述处理器还用于执行以下操作:
接收PCF实体发送的切片选择策略,所述切片选择策略中包含所述重定向指示信息。
24.根据权利要求23所述的终端,其特征在于,所述处理器还用于执行以下操作:
根据所述切片选择策略,生成重定向策略;其中,所述重定向策略包括:目标应用的标识与所述第二切片的绑定关系,和/或,应用服务器的IP地址与所述第二切片的绑定关系;
根据所述重定向策略,发起网络注册流程附着到接入和移动性管理功能AMF实体;所述网络注册流程中携带所述第二切片的切片标识;以由AMF实体将所述第二切片的切片标识发送给会话管理功能SMF实体。
25.一种通信设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求1所述的切片访问认证方法;或者,所述处理器执行所述程序时实现如权利要求2-5任一项所述的切片访问认证方法;或者,所述处理器执行所述程序时实现如权利要求6或7所述的切片访问认证方法;或者,所述处理器执行所述程序时实现如权利要求8-10任一项所述的切片访问认证方法。
26.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1所述的切片访问认证方法中的步骤;或者,该程序被处理器执行时实现如权利要求2-5任一项所述的切片访问认证方法中的步骤;或者,该程序被处理器执行时实现如权利要求6或7所述的切片访问认证方法中的步骤;或者,该程序被处理器执行时实现如权利要求8-10任一项所述的切片访问认证方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010657883.9A CN114095923B (zh) | 2020-07-09 | 2020-07-09 | 切片访问认证方法、upf、应用服务器、pcf及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010657883.9A CN114095923B (zh) | 2020-07-09 | 2020-07-09 | 切片访问认证方法、upf、应用服务器、pcf及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114095923A CN114095923A (zh) | 2022-02-25 |
| CN114095923B true CN114095923B (zh) | 2025-01-21 |
Family
ID=80294777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010657883.9A Active CN114095923B (zh) | 2020-07-09 | 2020-07-09 | 切片访问认证方法、upf、应用服务器、pcf及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114095923B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111356207A (zh) * | 2020-02-18 | 2020-06-30 | 中国联合网络通信集团有限公司 | 一种业务的切片选择方法和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109845360B (zh) * | 2017-01-03 | 2020-10-16 | 华为技术有限公司 | 一种通信方法及设备 |
| CN109995721B (zh) * | 2017-12-29 | 2021-10-22 | 华为技术有限公司 | 业务请求处理方法、装置及通信系统 |
| CN111225420B (zh) * | 2018-11-27 | 2022-09-23 | 华为技术有限公司 | 一种用户接入控制方法、信息发送方法及装置 |
| CN110719571B (zh) * | 2019-09-29 | 2020-12-08 | 中国联合网络通信集团有限公司 | 5g网络通信管制方法及装置、平台及系统 |
-
2020
- 2020-07-09 CN CN202010657883.9A patent/CN114095923B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111356207A (zh) * | 2020-02-18 | 2020-06-30 | 中国联合网络通信集团有限公司 | 一种业务的切片选择方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114095923A (zh) | 2022-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112637922B (zh) | 用户平面路径选择或重选的系统和方法 | |
| US8819800B2 (en) | Protecting user information | |
| US11553411B2 (en) | End-to-end network slice selection and configuration | |
| KR101475349B1 (ko) | 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 | |
| CN110495214A (zh) | 用于处理pdu会话建立过程的方法和amf节点 | |
| CN110831243B (zh) | 一种用户面安全策略实现方法、装置及系统 | |
| CN109429272B (zh) | 一种漫游场景下的分流方法及相关设备 | |
| US20080072301A1 (en) | System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces | |
| CN111200859A (zh) | 一种网络切片的选择方法、网络设备及终端 | |
| CN112449315A (zh) | 一种网络切片的管理方法及相关装置 | |
| WO2010000185A1 (zh) | 一种网络认证的方法、装置、系统及服务器 | |
| US10959097B1 (en) | Method and system for accessing private network services | |
| EP2534889A1 (en) | Method and apparatus for redirecting data traffic | |
| CN114223232B (zh) | 通信方法和相关设备 | |
| WO2022127473A1 (zh) | 网络切片的选择方法、装置、设备及存储介质 | |
| WO2018064987A9 (zh) | 策略控制方法及装置 | |
| US12170953B2 (en) | Network slicing application access control | |
| CN109863772B (zh) | 一种安全策略的处理方法和相关设备 | |
| CN118402225A (zh) | Sba接入网络中的移动性 | |
| CN114095923B (zh) | 切片访问认证方法、upf、应用服务器、pcf及终端 | |
| CN116032573B (zh) | 多用户共享切片服务的方法、终端、平台、设备及介质 | |
| US20240114323A1 (en) | Apparatus and method for providing service function chaining service exposure in wireless communication system | |
| CN115103423B (zh) | 业务信息确定方法、装置、电子设备及存储介质 | |
| CN112752301B (zh) | 切换多运营场景的方法及系统、通信设备 | |
| CN114531256B (zh) | 数据通信方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |