网络切片鉴权认证方法、系统和相关设备与流程

1.本公开涉及通信领域，特别涉及一种网络切片鉴权认证方法、系统和相关设备。


背景技术：

2.为了满足网络切片使用时对用户鉴权认证的需求，相关技术引入了网络切片鉴权认证流程。
3.基于应用的用户设备路由选择策略(user equipment routing selection policy,ursp)，为各个应用提供网络切片等路由选择。
4.当ursp将不同应用路由选择至相同网络切片时，若这些应用中的第一个应用通过该网络切片的鉴权认证后，后续这些应用中的其他应用直接使用该网络切片，不会发起该网络切片的鉴权认证流程。可见，网络切片鉴权认证流程和ursp结合使用时，无法满足已通过鉴权的网络切片对应用的鉴权认证需求，会出现例如网络切片资源被盗用的安全问题。


技术实现要素：

5.本公开实施例通过在网络切片鉴权认证过程中引入应用标识，基于应用相应的用户信息及其凭证，完成覆盖全部应用的网络切片鉴权认证，即使对应同一网络切片的各个应用也会分别经过网络切片鉴权认证过程，避免网络切片资源被盗用。
6.本公开一些实施例提出一种网络切片鉴权认证方法，包括：
7.针对路由策略对应同一网络切片的多个应用中的任意一个应用，用户设备向认证管理功能amf网元发送注册请求，其中携带所述网络切片的标识、所述应用的标识；
8.所述用户设备响应所述amf网元发送的认证请求，其中携带所述应用的标识，向所述amf网元返回认证响应，其中携带所述应用的标识和所述应用相应的用户信息，以使得所述amf网元转发所述认证响应给认证服务器；
9.所述用户设备响应所述认证服务器基于所述认证响应发送的凭证请求，其中携带所述应用的标识和所述应用相应的用户信息，向所述认证服务器返回凭证响应，其中携带所述应用的标识、所述应用相应的用户信息和所述应用相应的用户信息相应的凭证，以使得所述认证服务器验证所述凭证；
10.所述用户设备接收所述认证服务器返回的所述凭证的验证结果，如果所述凭证验证通过，保存所述网络切片与所述应用的关联关系，以便所述应用使用所述网络切片。
11.在一些实施例中，网络切片鉴权认证方法具体包括：
12.针对路由策略对应同一网络切片的多个应用中的第一应用，用户设备根据所述路由策略确定需要为所述第一应用关联所述网络切片，且所述多个应用均未关联所述网络切片，向amf网元发送注册请求，其中携带欲关联的所述网络切片的标识、所述第一应用的标识；
13.所述用户设备响应所述amf网元发送的认证请求，其中携带所述第一应用的标识，向所述amf网元返回认证响应，其中携带所述第一应用的标识和所述第一应用相应的第一
用户信息，以使得所述amf网元转发所述认证响应给认证服务器；
14.所述用户设备响应所述认证服务器基于所述认证响应发送的凭证请求，其中携带所述第一应用的标识和所述第一应用相应的第一用户信息，向所述认证服务器返回凭证响应，其中携带所述第一应用相应的第一用户信息相应的第一凭证，以使得所述认证服务器验证所述第一凭证；
15.所述用户设备接收所述认证服务器返回的所述第一凭证的验证结果，如果所述第一凭证验证通过，保存所述网络切片与所述第一应用的关联关系，以便所述第一应用使用所述网络切片。
16.在一些实施例中，网络切片鉴权认证方法具体包括：
17.针对路由策略对应同一网络切片的多个应用中的第二应用，用户设备根据所述路由策略确定需要为所述第二应用关联所述网络切片，且所述多个应用中的部分应用已关联所述网络切片，向amf网元发送注册请求，其中携带欲关联的所述网络切片的标识、所述第二应用的标识；
18.所述用户设备响应所述amf网元发送的认证请求，其中携带所述第二应用的标识，向所述amf网元返回认证响应，其中携带所述第二应用的标识和所述第二应用相应的第二用户信息，以使得所述amf网元转发所述认证响应给认证服务器；
19.所述用户设备响应所述认证服务器基于所述认证响应发送的凭证请求，其中携带所述第二应用的标识和所述第二应用相应的第二用户信息，向所述认证服务器返回凭证响应，其中携带所述第二应用相应的第二用户信息相应的第二凭证，以使得所述认证服务器验证所述第二凭证；
20.所述用户设备接收所述认证服务器返回的所述第二凭证的验证结果，如果所述第二凭证验证通过，保存所述网络切片与所述第二应用的关联关系，以便所述第二应用使用所述网络切片。
21.在一些实施例中，所述认证服务器与所述应用对应，不同的应用对应不同的或相同的认证服务器。
22.在一些实施例中，所述多个应用根据路由策略对应同一协议数据单元pdu会话，还包括：
23.用户设备判断所述多个应用中的任意一个应用是否通过所述网络切片的鉴权认证，如果是，为所述应用新建所述pdu会话或选择已建立的所述pdu会话，如果否，拒绝为所述应用选择所述网络切片；
24.其中，为所述应用新建所述pdu会话或选择已建立的所述pdu会话包括：
25.用户设备向会话管理功能smf网元发送pdu会话建立请求，其中携带所述pdu会话的标识、所述应用的标识、鉴权认证的触发信息、所述网络切片的标识；
26.所述用户设备响应所述smf网元基于所述触发信息发送的认证请求，其中携带所述应用的标识，向所述smf网元返回认证响应，其中携带所述应用的标识和所述应用相应的用户信息，以使得所述smf网元转发所述认证响应给认证服务器；
27.所述用户设备响应所述认证服务器基于所述认证响应发送的凭证请求，其中携带所述应用的标识和所述应用相应的用户信息，向所述认证服务器返回凭证响应，其中携带所述应用的标识、所述应用相应的用户信息和所述应用相应的用户信息相应的凭证，以使
得所述认证服务器验证所述凭证；
28.所述用户设备接收所述认证服务器返回的所述凭证的验证结果，如果所述凭证验证通过，所述pdu会话建立成功，以便将所述应用的业务流路由至所述pdu会话。
29.本公开一些实施例提出一种网络切片鉴权认证方法，包括：
30.认证管理功能amf网元接收用户设备针对路由策略对应同一网络切片的多个应用中的任意一个应用发送的注册请求，其中携带所述网络切片的标识、所述应用的标识；
31.所述amf网元向所述用户设备发送认证请求，其中携带所述应用的标识，以请求所述应用相应的用户信息；
32.所述amf网元接收所述用户设备返回的认证响应，其中携带所述应用的标识和所述应用相应的用户信息，并转发所述认证响应给认证服务器；
33.所述amf网元将所述认证服务器基于所述认证响应发送的凭证请求转发给所述用户设备，凭证请求中携带所述应用的标识和所述应用相应的用户信息；
34.所述amf网元将所述用户设备返回的凭证响应转发给所述认证服务器，凭证响应中携带所述应用的标识、所述应用相应的用户信息、和所述应用相应的用户信息相应的凭证；
35.所述amf网元将所述认证服务器返回的所述凭证的验证结果转发给所述用户设备，在所述凭证验证通过的情况下，所述应用能够使用所述网络切片。
36.在一些实施例中，网络切片鉴权认证方法具体包括：
37.针对路由策略对应同一网络切片的多个应用、且所述多个应用均未关联所述网络切片，amf网元接收用户设备针对多个应用中的第一应用发送的注册请求，其中携带所述网络切片的标识、所述第一应用的标识；
38.所述amf网元向所述用户设备发送认证请求，其中携带所述第一应用的标识，以请求所述第一应用相应的第一用户信息；
39.所述amf网元接收所述用户设备返回的认证响应，其中携带所述第一应用的标识和所述第一应用相应的第一用户信息，并转发所述认证响应给认证服务器；
40.所述amf网元将所述认证服务器基于所述认证响应发送的凭证请求转发给所述用户设备，凭证请求中携带所述第一应用的标识和所述第一应用相应的第一用户信息；
41.所述amf网元将所述用户设备返回的凭证响应转发给所述认证服务器，凭证响应中携带所述第一应用的标识、所述第一应用相应的第一用户信息和所述第一应用相应的第一用户信息相应的第一凭证；
42.所述amf网元将所述认证服务器返回的所述第一凭证的验证结果转发给所述用户设备，在所述第一凭证验证通过的情况下，所述第一应用能够使用所述网络切片。
43.在一些实施例中，网络切片鉴权认证方法具体包括：
44.针对路由策略对应同一网络切片的多个应用、且所述多个应用中的部分应用已关联所述网络切片，amf网元接收用户设备针对多个应用中的第二应用发送的注册请求，其中携带所述网络切片的标识、所述第二应用的标识；
45.所述amf网元基于所述触发信息向所述用户设备发送认证请求，其中携带所述第二应用的标识，以请求所述第二应用相应的第二用户信息；
46.所述amf网元接收所述用户设备返回的认证响应，其中携带所述第二应用的标识
和所述第二应用相应的第二用户信息，并转发所述认证响应给认证服务器；
47.所述amf网元将所述认证服务器基于所述认证响应发送的凭证请求转发给所述用户设备，凭证请求中携带所述第二应用的标识和所述第二应用相应的第二用户信息；
48.所述amf网元将所述用户设备返回的凭证响应转发给所述认证服务器，凭证响应中携带所述第二应用的标识、所述第二应用相应的第二用户信息和所述第二应用相应的第二用户信息相应的第二凭证；
49.所述amf网元将所述认证服务器返回的所述第二凭证的验证结果转发给所述用户设备，在所述第二凭证验证通过的情况下，所述第二应用能够使用所述网络切片。
50.本公开一些实施例提出一种网络切片鉴权认证方法，包括：
51.认证服务器接收认证管理功能amf网元转发的用户设备的认证响应，其中携带路由策略对应同一网络切片的多个应用中的任意一个应用的标识和所述应用相应的用户信息；
52.所述认证服务器基于所述认证响应向所述用户设备发送凭证请求，其中携带所述应用的标识和所述应用相应的用户信息，以请求所述应用相应的用户信息相应的凭证，并接收所述用户设备返回的凭证响应，其中携带所述应用的标识、所述应用相应的用户信息和所述应用相应的用户信息相应的凭证；
53.所述认证服务器对所述凭证与所述应用相应的用户信息的匹配性进行验证，并将所述凭证的验证结果返回给所述用户设备。
54.在一些实施例中，认证服务器包括服务器代理和与多个应用分别对应的多个认证服务器。
55.本公开一些实施例提出一种用户设备，包括：
56.存储器；以及
57.耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行网络切片鉴权认证方法。
58.本公开一些实施例提出一种认证管理功能网元，包括：
59.存储器；以及
60.耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行网络切片鉴权认证方法。
61.本公开一些实施例提出一种认证服务器，包括：
62.存储器；以及
63.耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行网络切片鉴权认证方法。
64.本公开一些实施例提出一种网络切片鉴权认证系统，包括：用户设备；认证管理功能网元；以及认证服务器。
65.本公开一些实施例提出一种非瞬时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现网络切片鉴权认证方法的步骤。
附图说明
66.下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参
照附图的详细描述，可以更加清楚地理解本公开。
67.显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
68.图1示出本公开一些实施例的网络切片鉴权认证方法的流程示意图。
69.图2示出本公开一些实施例的网络切片鉴权认证方法的流程示意图。
70.图3示出本公开一些实施例的网络切片鉴权认证系统的示意图。
71.图4示出本公开一些实施例的用户设备的示意图。
72.图5示出本公开一些实施例的认证管理功能网元的示意图。
73.图6示出本公开一些实施例的认证服务器的示意图。
74.图7示出本公开一些实施例的基于网络切片的pdu会话建立方法的流程示意图。
75.图8示出本公开一些实施例的pdu会话鉴权认证方法的流程示意图。
具体实施方式
76.下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述。
77.除非特别说明，否则，本公开中的“第一”“第二”等描述用来区分不同的对象，并不用来表示大小或时序等含义。
78.图1示出本公开一些实施例的网络切片鉴权认证方法的流程示意图。
79.如图1所示，该实施例的方法包括：步骤110-180。
80.在步骤110，针对路由策略对应同一网络切片的多个应用中的任意一个应用，用户设备向认证管理功能(authentication management function，amf)网元发送注册请求，其中携带网络切片的标识、应用的标识。
81.其中，路由策略对应同一网络切片的多个应用，也即，按照路由策略，多个应用会被路由选择至同一网络切片。其中的路由策略例如为ursp。
82.在注册请求携带的信息中，应用的标识例如为app id，网络切片的标识例如为能够标识一个网络切片的s-nssai(single network slice selection assistance information，单一网络切片选择辅助信息)。
83.需要说明的是，通过注册请求可以对单个网络切片进行注册，也可以同时对多个网络切片进行注册。例如，单个网络切片注册时，注册请求包括网络切片1的标识和对应的应用1的标识；多个网络切片注册时，注册请求包括网络切片1的标识和对应的应用1的标识、网络切片2的标识和对应的应用2的标识、网络切片3的标识和对应的应用3的标识，但不限于所举示例。
84.在步骤120，amf网元接收用户设备发送的注册请求，判断出该应用需要触发网络切片鉴权认证，向用户设备发送认证请求，其中携带该应用的标识，以请求该应用相应的用户信息。
85.其中，该应用相应的用户信息例如是该应用的用户账户等信息，但不限于所举示例。
86.认证请求例如携带eap(extensible authentication protocol，可扩展的身份验证协议)请求，eap请求用于请求该应用相应的用户信息。
87.在步骤130，用户设备响应amf网元发送的认证请求，向amf网元返回认证响应，其中携带应用的标识和该应用相应的用户信息。
88.认证响应例如携带eap响应，eap响应携带该应用相应的用户信息。
89.在步骤140，amf网元接收用户设备发送的认证响应，并转发认证响应给认证服务器。
90.在一些实施例中，不同的应用可对应相同的认证服务器，由认证服务器对各个应用统一进行认证；在另一些实施例中，不同的应用可对应不同的认证服务器，由不同的认证服务器对相应的应用分别进行认证。认证服务器例如为aaa(验证、授权和记账，authentication、authorization、accounting)服务器。
91.当不同的应用对应不同的认证服务器时，还可以设置服务器代理。该服务器代理与amf网元和用户设备进行交互，并根据被鉴权认证的应用，将鉴权认证相关的消息转发至相应的认证服务器。
92.在步骤150，认证服务器接收amf网元转发的用户设备的认证响应，基于认证响应经由amf网元向用户设备发送凭证请求，其中携带应用的标识和该应用相应的用户信息，以请求该应用相应的用户信息相应的凭证。
93.认证服务器在接收到认证响应后，可以先行判断其中携带的该应用相应的用户信息是否存在，如果不存在，则判定鉴权失败，如果存在，再发送凭证请求进一步验证。
94.一个应用的各个用户信息分别对应各自的凭证，通常来说，一个应用的不同用户信息对应不同的凭证。
95.在步骤160，用户设备响应认证服务器发送的凭证请求，经由amf网元向认证服务器返回凭证响应，其中携带应用的标识、该应用相应的用户信息和该应用相应的用户信息相应的凭证。
96.在步骤170，认证服务器接收用户设备返回的凭证响应，验证其中的凭证，并经由amf网元返回凭证的验证结果。
97.例如，认证服务器对凭证响应中的凭证与该应用相应的用户信息的匹配性进行验证，如果匹配，验证成功，如果不匹配，验证失败。
98.在步骤180，用户设备接收凭证的验证结果，如果凭证验证通过，保存该网络切片与该应用的关联关系，以便该应用使用该网络切片。
99.上述实施例，通过在网络切片鉴权认证过程中引入应用标识，基于应用相应的用户信息及其凭证，完成覆盖全部应用的网络切片鉴权认证，即使对应同一网络切片的各个应用也会分别经过网络切片鉴权认证过程，避免网络切片资源被盗用。
100.图2示出本公开一些实施例的网络切片鉴权认证方法的流程示意图。
101.如图2所示，该实施例的方法包括：网络切片基于第一应用(app1)的第一次鉴权认证过程(步骤201-208)或/和该网络切片基于第二应用(app2)的第二次鉴权认证过程(步骤209-216)。其中，根据路由策略第一应用和第二应用对应该同一网络切片。
102.在步骤201，用户设备根据路由策略确定需要为第一应用关联网络切片，向amf网元发送注册请求，其中携带欲关联的网络切片的标识、第一应用的标识。
103.在步骤202，amf网元接收用户设备发送的注册请求，判断出第一应用需要触发网络切片鉴权认证，向用户设备发送认证请求，其中携带第一应用的标识，以请求第一应用相
应的第一用户信息。
104.在步骤203，用户设备响应amf网元发送的认证请求，向amf网元返回认证响应，其中携带第一应用的标识和第一应用相应的第一用户信息。
105.在步骤204，amf网元接收用户设备发送的认证响应，并转发认证响应给认证服务器。
106.在步骤205，认证服务器基于认证响应，经由amf网元向用户设备发送凭证请求，其中携带第一应用的标识和第一应用相应的第一用户信息，以请求第一应用相应的第一用户信息相应的第一凭证。
107.认证服务器在接收到认证响应后，可以先行判断其中携带的该应用相应的用户信息是否存在，如果不存在，则判定鉴权失败，如果存在，再发送凭证请求进一步验证。
108.在步骤206，用户设备响应认证服务器发送的凭证请求，经由amf网元向认证服务器返回凭证响应，其中携带第一应用的标识、第一应用相应的用户信息、第一应用相应的第一用户信息相应的第一凭证。
109.在步骤207，认证服务器接收凭证响应，验证其中的第一凭证，例如，对第一凭证与第一应用相应的第一用户信息的匹配性进行验证，如果匹配，验证成功，如果不匹配，验证失败，并经由amf网元返回第一凭证的验证结果。
110.在步骤208，用户设备经由amf网元接收第一凭证的验证结果，如果第一凭证验证通过，保存该网络切片与第一应用的关联关系，第一应用能够使用该网络切片。
111.至此，通过步骤201-208，网络切片基于第一应用(app1)的第一次鉴权认证过程完成。
112.在步骤209，用户设备根据路由策略确定需要为第二应用关联该网络切片，向amf网元发送注册请求，其中携带欲关联的该网络切片的标识、第二应用的标识。
113.在步骤210，amf网元判断出第二应用需要触发网络切片鉴权认证，向用户设备发送认证请求，其中携第二应用的标识，以请求第二应用相应的第二用户信息。
114.在步骤211，用户设备响应amf网元发送的认证请求，向amf网元返回认证响应，其中携带第二应用的标识和第二应用相应的第二用户信息。
115.在步骤212，amf网元接收用户设备返回的认证响应，其中携带第二应用相应的第二用户信息，并转发认证响应给认证服务器。
116.在步骤213，认证服务器基于认证响应经由amf网元向用户设备发送凭证请求，其中携带第二应用的标识和第二应用相应的第二用户信息，以请求第二应用相应的第二用户信息相应的第二凭证。
117.在步骤214，用户设备响应认证服务器发送的凭证请求，经由amf网元向认证服务器返回凭证响应，其中携带第二应用的标识、第二应用相应的第二用户信息和第二应用相应的第二用户信息相应的第二凭证。
118.在步骤215，认证服务器接收凭证响应，验证其中的第二凭证，例如，对第二凭证与第二应用相应的第二用户信息的匹配性进行验证，如果匹配，验证成功，如果不匹配，验证失败，经由amf网元返回第二凭证的验证结果。
119.在步骤216，用户设备经由amf网元接收第二凭证的验证结果，如果第二凭证验证通过，保存该网络切片与第二应用的关联关系，第二应用能够使用该网络切片。
120.至此，通过步骤209-216，该网络切片基于第二应用(app2)的第二次鉴权认证过程完成。
121.与图1实施例相同的一些名词的解释和一些步骤的具体实现，参见图1实施例的描述，这里不再赘述。
122.上述实施例，对应同一网络切片的不同应用需要分别经过网络切片鉴权认证过程，即使其中的一些应用已经通过网络切片的鉴权认证，其他应用也需要进行网络切片的鉴权认证，从而避免网络切片资源被盗用。
123.图7示出本公开一些实施例的基于网络切片的pdu会话建立方法的流程示意图。
124.如图7所示，该实施例的方法包括：步骤710-730。
125.在步骤710，针对根据路由策略对应同一协议数据单元(protocol data unit，pdu)会话的多个应用，用户设备判断多个应用中的任意一个应用是否通过网络切片的鉴权认证，如果是，执行步骤720a或720b，如果否，执行步骤730。
126.在步骤720a，针对新建pdu会话的应用(如第一应用app1)，按照例如步骤801-808，为该应用新建pdu会话。
127.在步骤720b，针对选择已建立的pdu会话的应用(如第二应用app2)，按照例如步骤809-816，为该应用选择已建立的pdu会话。
128.在步骤730，拒绝为该应用选择该网络切片。
129.从而，根据网络切片的鉴权认证结果，决定应用是否可以使用该网络切片，提高网络切片使用的安全性。
130.图8示出本公开一些实施例的pdu会话鉴权认证方法的流程示意图。
131.如图8所示，该实施例的方法包括：新建pdu会话的第一应用(app1)的鉴权认证过程(步骤801-808)或/和选择已有pdu会话的第二应用(app2)的鉴权认证过程(步骤809-816)。其中，根据路由策略第一应用和第二应用对应同一pdu会话。
132.在步骤801，用户设备根据路由策略确定需要为第一应用新建pdu会话，向smf网元发送pdu会话建立请求，其中携带欲新建的pdu会话的标识、第一应用的标识和鉴权认证的触发信息，此外，还可以携带网络切片信息等。
133.在pdu会话建立请求携带的信息中，pdu会话的标识例如为pdu session id，应用的标识例如为app id，网络切片信息例如为能够标识一个网络切片的s-nssai(single network slice selection assistance information，单一网络切片选择辅助信息)，鉴权认证的触发信息例如为sm pdu dn request container ie，其中，sm是会话管理(session management)的意思，dn是数据网络(data network)的意思，ie是信元(information element)的意思。如果pdu会话建立请求中携带sm pdu dn request container ie，smf网元就会触发pdu会话的鉴权认证过程。
134.在步骤802，smf网元接收用户设备发送的pdu会话建立请求，基于触发信息和第一应用的标识向用户设备发送认证请求，其中携带第一应用的标识，以请求第一应用相应的第一用户信息。
135.其中，第一应用相应的第一用户信息例如是第一应用的用户账户等信息，但不限于所举示例。
136.认证请求例如携带eap(extensible authentication protocol，可扩展的身份验
证协议)请求，eap请求用于请求应用相应的用户信息。
137.在步骤803，用户设备响应smf网元发送的认证请求，向smf网元返回认证响应，其中携带第一应用的标识和第一应用相应的第一用户信息。
138.认证响应例如携带eap响应，eap响应携带该应用相应的用户信息。
139.在步骤804，smf网元接收用户设备发送的认证响应，并转发认证响应给认证服务器。
140.在一些实施例中，不同的应用可对应相同的认证服务器，由认证服务器对各个应用统一进行认证；在另一些实施例中，不同的应用可对应不同的认证服务器，由不同的认证服务器对相应的应用分别进行认证。认证服务器例如为aaa(验证、授权和记账，authentication、authorization、accounting)服务器。
141.当不同的应用对应不同的认证服务器时，还可以设置服务器代理。该服务器代理与smf网元和用户设备进行交互，并根据被认证的应用，将认证相关的消息转发至相应的认证服务器。
142.在步骤805，认证服务器基于认证响应，经由smf网元向用户设备发送凭证请求，其中携带第一应用的标识和第一应用相应的第一用户信息，以请求第一应用相应的第一用户信息相应的第一凭证。
143.认证服务器在接收到认证响应后，可以先行判断其中携带的该应用相应的用户信息是否存在，如果不存在，则判定鉴权失败，如果存在，再发送凭证请求进一步验证。
144.一个应用的各个用户信息分别对应各自的凭证，通常来说，一个应用的不同用户信息对应不同的凭证。
145.在步骤806，用户设备响应认证服务器发送的凭证请求，经由smf网元向认证服务器返回凭证响应，其中携带第一应用的标识、第一应用相应的用户信息、第一应用相应的第一用户信息相应的第一凭证。
146.在步骤807，认证服务器接收凭证响应，验证其中的第一凭证，例如，对第一凭证与第一应用相应的第一用户信息的匹配性进行验证，如果匹配，验证成功，如果不匹配，验证失败，并经由smf网元返回第一凭证的验证结果。
147.在步骤808，用户设备经由smf网元接收第一凭证的验证结果，如果第一凭证验证通过，pdu会话建立成功，以便将第一应用的业务流路由至pdu会话。
148.至此，通过步骤801-808，新建pdu会话的第一应用的鉴权认证过程完成。
149.在步骤809，用户设备根据路由策略为第二应用选择已建立的pdu会话，向smf网元发送pdu会话建立请求，其中携带已建立的pdu会话的标识、第二应用的标识和鉴权认证的触发信息，此外，还可以携带网络切片信息等。
150.在步骤810，smf网元基于触发信息和第二应用的标识向用户设备发送认证请求，其中携第二应用的标识，以请求第二应用相应的第二用户信息。
151.在步骤811，用户设备响应smf网元基于触发信息发送的认证请求，向smf网元返回认证响应，其中携带第二应用的标识和第二应用相应的第二用户信息。
152.其中，第二应用相应的第二用户信息例如是第二应用的用户账户等信息，但不限于所举示例。
153.在步骤812，smf网元接收用户设备返回的认证响应，其中携带第二应用相应的第
二用户信息，并转发认证响应给认证服务器。
154.在步骤813，认证服务器基于认证响应经由smf网元向用户设备发送凭证请求，其中携带第二应用的标识和第二应用相应的第二用户信息，以请求第二应用相应的第二用户信息相应的第二凭证。
155.在步骤814，用户设备响应认证服务器发送的凭证请求，经由smf网元向认证服务器返回凭证响应，其中携带第二应用的标识、第二应用相应的第二用户信息和第二应用相应的第二用户信息相应的第二凭证。
156.在步骤815，认证服务器接收凭证响应，验证其中的第二凭证，例如，对第二凭证与第二应用相应的第二用户信息的匹配性进行验证，如果匹配，验证成功，如果不匹配，验证失败，经由smf网元返回第二凭证的验证结果。
157.在步骤816，用户设备经由smf网元接收第二凭证的验证结果，如果第二凭证验证通过，表明pdu会话已激活或已存在，以便将第二应用的业务流路由至pdu会话。
158.至此，通过步骤809-816，选择已有pdu会话的第二应用的鉴权认证过程完成。
159.上述实施例，新建pdu会话的第一应用和选择已有pdu会话的第二应用都会经过鉴权认证过程，避免pdu会话鉴权认证成功的应用的标识被盗用，确保网络切片等业务资源安全使用。
160.图3示出本公开一些实施例的网络切片鉴权认证系统的示意图。
161.如图3所示，该实施例的系统300包括用户设备400，认证管理功能网元500和认证服务器600。
162.图4示出本公开一些实施例的用户设备的示意图。
163.如图4所示，该实施例的用户设备400包括：存储器410以及耦接至该存储器410的处理器420，处理器420被配置为基于存储在存储器410中的指令，执行前述任意一些实施例中由用户设备执行的网络切片鉴权认证方法。
164.例如，针对路由策略对应同一网络切片的多个应用中的任意一个应用，用户设备向认证管理功能amf网元发送注册请求，其中携带网络切片的标识、应用的标识；用户设备响应amf网元发送的认证请求，其中携带应用的标识，向amf网元返回认证响应，其中携带应用的标识和应用相应的用户信息，以使得amf网元转发认证响应给认证服务器；用户设备响应认证服务器基于认证响应发送的凭证请求，其中携带应用的标识和应用相应的用户信息，向认证服务器返回凭证响应，其中携带应用的标识、应用相应的用户信息和应用相应的用户信息相应的凭证，以使得认证服务器验证凭证；用户设备接收认证服务器返回的凭证的验证结果，如果凭证验证通过，保存网络切片与应用的关联关系，以便应用使用网络切片。
165.图5示出本公开一些实施例的认证管理功能网元的示意图。
166.如图5所示，该实施例的认证管理功能网元500包括：存储器510以及耦接至该存储器510的处理器520，处理器520被配置为基于存储在存储器510中的指令，执行前述任意一些实施例中由认证管理功能网元执行的网络切片鉴权认证方法。
167.例如，amf网元接收用户设备针对路由策略对应同一网络切片的多个应用中的任意一个应用发送的注册请求，其中携带网络切片的标识、应用的标识；amf网元向用户设备发送认证请求，其中携带应用的标识，以请求应用相应的用户信息；amf网元接收用户设备
返回的认证响应，其中携带应用的标识和应用相应的用户信息，并转发认证响应给认证服务器；amf网元将认证服务器基于认证响应发送的凭证请求转发给用户设备，凭证请求中携带应用的标识和应用相应的用户信息；amf网元将用户设备返回的凭证响应转发给认证服务器，凭证响应中携带应用的标识、应用相应的用户信息、和应用相应的用户信息相应的凭证；amf网元将认证服务器返回的凭证的验证结果转发给用户设备，在凭证验证通过的情况下，应用能够使用网络切片。。
168.图6示出本公开一些实施例的认证服务器的示意图。
169.如图6所示，该实施例的认证服务器600包括：存储器610以及耦接至该存储器610的处理器620，处理器620被配置为基于存储在存储器610中的指令，执行前述任意一些实施例中由认证服务器执行的网络切片鉴权认证方法。
170.例如，认证服务器接收认证管理功能amf网元转发的用户设备的认证响应，其中携带路由策略对应同一网络切片的多个应用中的任意一个应用的标识和应用相应的用户信息；认证服务器基于认证响应向用户设备发送凭证请求，其中携带应用的标识和应用相应的用户信息，以请求应用相应的用户信息相应的凭证，并接收用户设备返回的凭证响应，其中携带应用的标识、应用相应的用户信息和应用相应的用户信息相应的凭证；认证服务器对凭证与应用相应的用户信息的匹配性进行验证，并将凭证的验证结果返回给用户设备。
171.认证服务器可以是一个独立的设备，或者，可以包括服务器代理和与多个应用分别对应的多个认证服务器。
172.其中，存储器410,510,610例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(boot loader)以及其他程序等。
173.本领域内的技术人员应当明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机程序代码的非瞬时性计算机可读存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
174.本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
175.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
176.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或
其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
177.以上所述仅为本公开的较佳实施例，并不用以限制本公开，凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。