接入被拒绝的网络资源

技术领域

本文公开的主题总体上涉及无线通信，并且更具体地涉及接入被拒绝的网络资源，例如处置由于失败的切片认证或撤销的认证/授权而回绝S-NSSAI的情况。

背景技术

在此定义以下缩写，在以下描述中引用其中至少一些缩写：第三代合作伙伴计划(“3GPP”)，第五代核心网(“5CG”)，第五代系统(“5GS”)，认证、授权和计费(“AAA”)，接入和移动性管理功能(“AMF”)，访问受限本地运营商服务(“ARLOS”)，肯定应答(“ACK”)，应用编程接口(“API”)，接入层(“AS”)，基站(“BS”)，连接模式(“CM”，这是5GS中的NAS状态)，核心网(“CN”)，控制平面(“CP”)，数据无线电承载(“DRB”)，下行链路控制信息(“DCI”)，下行链路(“DL”)，增强型移动宽带(“eMBB”)，演进型节点B(“eNB”)，演进型分组核心(“EPC”)，演进的分组系统(“EPS”)，EPS移动性管理(“EMM”，这是EPS中的NAS状态)，演进的UMTS地面无线电接入(“E-UTRA”)，演进的UMTS地面无线电接入网(“E-UTRAN”)，通用分组无线电业务(“GPRS”)，通用公共服务标识符(“GPSI”)，全球移动通信系统(“GSM”)，全球唯一临时UE标识符(“GUTI”)，混合自动重发请求(“HARQ”)，归属订户服务器(“HSS”)，归属公共陆地移动网络(“HPLMN”)，信息元素(“IE”)，物联网(“IoT”)，国际移动订户标识(“IMSI”)，长期演进(“LTE”)，多址接入(“MA”)，移动性管理(“MM”)，移动性管理实体(“MME”)，机器类型通信(“MTC”)，移动台国际订户目录号(“MSISDN”)，窄带(“NB”)，否定应答(“NACK”)或(“NAK”)，新一代(5G)节点B(“gNB”)，新一代无线电接入网(“NG-RAN”，用于5GS网络的RAN)，新无线电(“NR”，一种5G无线电接入技术；也称为“5GNR”)，非接入层(“NAS”)，网络暴露功能(“NEF”)，网络切片选择辅助信息(“NSSAI”)，分组数据单元(“PDU”，与“PDU会话”相结合使用)，公共陆地移动网络(“PLMN”)，无线电接入网(“RAN”)，无线电接入技术(“RAT”)，无线电资源控制(“RRC”)，随机接入信道(“RACH”)，随机接入响应(“RAR”)，无线电网络临时标识符(“RNTI”)，参考信号(“RS”)，注册区域(“RA”，类似于LTE/EPC中使用的跟踪区域列表)，注册管理(“RM”，指NAS层过程和状态)，接收(“RX”)，会话管理(“SM”)，会话管理功能(“SMF”)，服务提供商(“SP”)，单个网络切片选择辅助信息(“S-NSSAI”)，传输块(“TB”)，传输块大小(“TBS”)，发送(“TX”)，统一数据管理(“UDM”)，用户数据存储库(“UDR”)，上行链路控制信息(“UCI”)，用户实体/设备(移动终端)(“UE”)，UE配置更新(“UCU”)，UE路由选择策略(“URSP”)，上行链路(“UL”)，用户平面(“UP”)，通用移动电信系统(“UMTS”)，UMTS订户识别模块(“USIM”)，UMTS地面无线电接入(“UTRA”)，UMTS地面无线电接入网(“UTRAN”)，超可靠性和低延迟通信(“URLLC”)，访问的公共陆地移动网络(“VPLMN”)和微波接入的全球互操作性(“WiMAX”)。如本文所使用的，“HARQ-ACK”可以共同表示肯定应答(“ACK”)和否定应答(“NACK”)。ACK意指已正确接收到TB，而NACK(或NAK)则意指错误地接收了TB。

在5GC Rel-15中，核心网(“CN”)可以包括多个网络切片。每个网络切片都包括专用网络功能以提供特定服务。可以针对诸如eMBB、URLLC、mMTC等的特定类型的数据业务来优化每个网络切片。例如，除了PLMN接入所需的主要认证/授权之外，某些网络切片可能还需要(辅助)服务认证/授权。但是，当前没有用于处置网络切片特定的认证/授权(“NSSAA”)失败或NSSAA撤销的机制。

发明内容

公开了用于接入被拒绝的网络资源的方法。装置和系统也执行方法的功能。所述方法还可体现在包括计算机可读存储介质的一个或多个计算机程序产品中，所述计算机可读存储介质存储可执行代码，所述可执行代码在由处理器执行时执行所述方法的步骤。

UE用于接入被拒绝的网络资源的一种方法包括：在UE处接收第一消息，该第一消息指示对移动通信网络中的网络资源的接入由于特定于网络资源的授权而被拒绝。在此，网络资源由以下中的至少一项识别：网络切片标识符(例如，S-NSSAI)和数据网络名称(“DNN”)。第一方法包括：监视在发起用于建立对被拒绝的网络资源的接入的新请求之前要满足的条件；以及响应于条件被满足，向网络发起信令以建立对被拒绝的网络资源的接入。

用于接入被拒绝的网络资源的网络功能(例如，AMF)的一种方法包括：在网络功能处(例如，从AAA服务器)接收指示移动通信网络中的服务资源的不可用的第一消息(例如，由于特定于网络资源的认证或授权，UE接入被拒绝)。该方法包括：确定允许UE再次请求网络资源的条件，该网络资源与服务资源相对应；以及，向UE发送第二消息，该第二消息指示响应于第一消息拒绝对网络资源的接入并指示允许UE再次请求网络资源的条件。该方法包括维护被回绝的服务资源(例如，DNN和/或S-NSSAI)的列表。

附图说明

将通过参考在附图中示出的特定实施例来呈现对以上简要描述的实施例的更具体的描述。理解这些附图仅描绘了一些实施例，因此不应认为是对范围的限制，将通过使用附图以附加的具体和细节来描述和解释实施例，在附图中：

图1是示出用于接入被拒绝的网络资源的无线通信系统的一个实施例的示意框图；

图2是示出用于处置由于失败的切片认证或撤销的认证/授权而回绝S-NSSAI的情况的网络过程的示图；

图3A是示出用于在网络中更新(禁用和启用)网络切片认证/授权状况的信令流的一个实施例的示图；

图3B是图3A的延续；

图4A是图示用于禁用和启用朝向DN的PDU会话建立的信令流的另一实施例的示图；

图4B是图4A的延续；

图5是示出可以用于接入被拒绝的网络资源的用户设备装置的一个实施例的示意框图；

图6是示出可用于接入被拒绝的网络资源的用户设备装置的一个实施例的示意框图；

图7是示出用于接入被拒绝的网络资源的方法的一个实施例的框图；以及

图8是说明用于接入被拒绝的网络资源的另一种方法的一个实施例的框图。

具体实施方式

如本领域技术人员将理解的，实施例的各方面可以体现为系统、装置、方法或程序产品。因此，实施例可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)或结合了软件和硬件方面的实施例的形式，这些软件和硬件方面在本文中通常都被称为“电路”、“模块”或“系统”。此外，实施例可以采取在存储机器可读代码、计算机可读代码和/或程序代码(以下称为代码)的一个或多个计算机可读存储设备中体现的程序产品的形式。存储设备可以是有形的、非暂时性的和/或非传输性的。存储设备可能没有体现信号。在某些实施例中，存储设备仅采用信号来访问代码。

可以利用一个或多个计算机可读介质的任何组合。所述计算机可读介质可以是计算机可读存储介质。所述计算机可读存储介质可以是存储代码的存储设备。存储设备可以是例如但不限于电子、磁性、光学、电磁、红外、全息、微机械或半导体系统、装置或设备或前述的任何合适的组合。

存储设备的更具体的示例(非详尽列表)将包括以下内容：具有一个或多个电线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦可编程只读存储器(“EPROM”或闪存)、便携式光盘只读存储器(“CD-ROM”)、光学存储设备、磁性存储设备或上述的任何合适的组合。在本文的上下文中，计算机可读存储介质可以是可以包含或存储供指令执行系统、装置或设备使用或与其结合使用的程序的任何有形介质。

用于实施实施例的操作的代码可以是任何数目的行，并且可以以一种或多种编程语言的任何组合来编写，所述编程语言包括诸如Python、Ruby、Java、Smalltalk、C++等的面向对象编程语言或诸如“C”编程语言的常规过程编程语言和/或诸如汇编语言之类的机器语言。该代码可以完全在用户计算机上，部分在用户计算机上，作为独立软件包，部分在用户计算机上并且部分在远程计算机上或完全在远程计算机或服务器上执行。在后一种情况下，远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户计算机，或者可以与外部计算机(例如，通过使用互联网服务提供商的互联网)建立连接。

在整个说明书中对“一个实施例”、“实施例”或类似语言的引用意味着结合该实施例描述的特定特征、结构或特性包括在至少一个实施例中。因此，贯穿本说明书的短语“在一个实施例中”、“在实施例中”和类似的语言的出现可以但并非必须全部指代相同的实施例，而是指“一个或多个但不是所有实施例”，除非另有明确说明。除非另外明确指出，否则术语“包括”、“包含”、“具有”及其变体意指“包括但不限于”。枚举的项目清单并不意味着任何或所有项目都是互斥的，除非另有明确说明。除非另外明确指出，否则术语“一个”、“一”和“该”也指“一个或多个”。

如本文所使用的，具有连词“和/或”的列表包括列表中的任何单个项目或列表中的项目的组合。例如，A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所使用的，使用术语“中的一个或多个”的列表包括列表中的任何单个项目或列表中的项目的组合。例如，A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合C。如本文中所使用的，使用术语“之一”的列表包括列表中的任何单个项目中的一个且仅一个。例如，“A、B和C之一”包括仅A、仅B或仅C，并且排除A、B和C的组合。如本文所用，“选自A、B和C组成的组的成员”表示包含A、B或C中的一个并且仅一个，不包括A、B和C的组合。”如本文所用，“选自A、B和C及其组合组成的组的成员”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。

此外，实施例的描述的特征、结构或特性可以任何合适的方式组合。在以下描述中，提供了许多具体细节，诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例，以提供实施例的透彻理解。然而，相关领域的技术人员将认识到，可以在没有一个或多个特定细节的情况下，或者在具有其他方法、组件、材料等的情况下实践实施例。在其他情况下，未详细示出或描述公知的结构、材料或操作，以避免使实施例的各方面不清楚。

根据实施例下面参考方法、装置、系统和程序产品的示意性流程图和/或示意性框图来描述实施例的各方面。将理解的是，可以通过代码来实现示意性流程图和/或示意性框图的每个框以及示意性流程图和/或示意性框图中的框的组合。可以将代码提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器，使得经由计算机或其他可编程数据处理装置的处理器执行的指令，创建用于实现在示意流程图和/或一个或多个示意框图框中指定的功能/动作的装置。

该代码也可以存储在存储设备中，该存储设备可以指导计算机、其他可编程数据处理装置或其他设备以特定方式运行，使得存储在该存储设备中的指令产生包括指令的制品，所述指令实现在示意性流程图和/或一个或多个示意性框图框中指定的功能/动作的指令。

该代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上，以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤，以产生计算机实现的过程，使得在计算机或其他可编程装置上执行的代码提供了用于实现流程图和/或一个或多个框图框中指定的功能/动作的过程。

附图中的示意性流程图和/或示意性框图图示了根据各种实施例的装置、系统、方法和程序产品的可能实施方式的架构、功能和操作。就这一点而言，示意性流程图和/或示意性框图中的每个框可以代表代码的模块、段或部分，其包括用于实现指定的逻辑功能的代码的一个或多个可执行指令。

还应注意，在一些替代实施方式中，方框中指出的功能可以不按图中指出的顺序发生。例如，取决于所涉及的功能，实际上可以基本上同时执行连续示出的两个框，或者有时可以以相反的顺序执行这些框。可以设想在功能、逻辑或效果上与所图示的附图的一个或多个框或其部分等效的其他步骤和方法。

尽管在流程图和/或框图中可以采用各种箭头类型和线条类型，但是应理解它们不限制相应实施例的范围。实际上，一些箭头或其他连接器可以用于仅指示所描绘的实施例的逻辑流程。例如，箭头可以指示所描绘的实施例的枚举步骤之间的未指定持续时间的等待或监视时段。还应注意，框图和/或流程图的每个框以及框图和/或流程图中的框的组合可以由执行指定功能或动作的基于专用硬件的系统或专用硬件和代码的组合来实现。

每个附图中的元素的描述可以参考过程附图的元素。在所有附图中，相似的数字表示相似的元件，包括相似元件的替代实施例。

总体上，本公开描述了用于处置由于失败的切片认证或撤销的认证/授权而回绝S-NSSAI的情况的系统、方法和装置。预期3GPP Rel-16将提供网络切片特定的网络切片接入认证和授权(称为“网络切片特定认证/授权”或“NSSAA”)，其使用与3GPP SUPI不同的用户标识和凭证，并且在UE和5GS之间仍然需要用于PLMN接入授权和认证的主要认证之后发生。在一些实施例中，网络切片接入认证和授权可能涉及位于运营商域外部的第三方AAA服务器(“AAA-S”)和充当AAA代理的运营商域内的AAA功能(“AAA-F”)。在某些实施例中，AAA-F可以是运营商域中的NEF或AUSF(认证服务器功能)。在某些实施例中，网络切片接入认证可以基于EAP传输。此外，运营商域中的AMF可以充当认证器。AMF可以向UE发送EAP ID请求，以创建针对AAA-S的EAP认证响应。

如上所述，在认证/授权撤销的情况下，AAA-S可以基于AAA-S内部触发(例如，达到服务使用限制、可用服务时间到期等)来发起重新认证或撤销。假定AAA-S知道UE的GPSI，因为在对网络切片的初始认证期间已将GPSI发送到AAA-S。此外，如果发生认证/授权失败，则AMF应回绝对应的S-NSSAI。

然而，根据当前的技术水平尚不清楚如何处置由于失败的NSSAA或撤销的NSSAA而回绝S-NSSAI的情况。另外，从当前的技术水平还不清楚何时以及如何允许UE删除被回绝的S-NSSAI和/或将其包括在所请求的NSSAI中。在PDU会话的失败/撤销的辅助认证的情况下，存在类似的问题。一旦PDU会话的辅助认证失败，从当前的技术水平尚不清楚UE行为将是什么以及何时/如何允许UE再次向同一DN发起PDU会话建立。

本文描述的解决方案适用于由于失败的NSSAA或撤销的aNSSAA而回绝S-NSSAI的情况。另外，本文描述的解决方案可以适用于失败/撤销的辅助认证的情况。

在第一解决方案中，在网络切片认证(也称为切片特定辅助认证和授权或NSSAA)期间，如果NSSAA失败(或NSSAA已被撤销)，则AMF需要不允许UE使用针对其NSSAA失败/被撤销的对应S-NSSAI。AMF将包括对应的S-NSSAI作为回绝的S-NSSAI的NAS MM消息(例如，在注册过程期间的注册接受消息或在UE配置更新过程期间的UE配置更新命令)发送给UE。

针对失败/撤销的切片认证/授权引入了针对被回绝的S-NSSAI的新的回绝起因。可选地，可以包括不允许进一步注册S-NSSAI的不可用时间(例如，一种退避时间)。AAA-S或AMF均可确定和以信号发送不可用计时器，在所述不可用计时器期间UE不会重新尝试向回绝的S-NSSAI注册。AAA-S可以——通过删除网络中(例如，在AMF中)的不可用计时器或通过以信号向AMF显式发送启用起因——启用(即，允许)先前失败的UE进行进一步的认证/授权尝试。

在第二解决方案中，在辅助认证或授权失败或撤销时，SMF将失败或撤销通知给AMF，并且AMF将状况存储在UE的上下文中。需要被回绝的PDU会话的新识别：例如，使用参数[S-NSSAI，DNN，PDU类型，SSC模式]中的至少一个的组合。第二解决方案适用于PDU会话的辅助认证和辅助NSSAA两者。

图1描绘了根据本公开的各种实施例的用于接入被拒绝的网络资源的无线通信系统100的实施例。在一个实施例中，无线通信系统100包括远程单元105、基站单元110和通信链路115。即使在图1中描绘了特定数量的远程单元105、基站单元110和通信链路115，本领域技术人员也将认识到，无线通信系统100中可以包括任何数量的远程单元105、基站单元110和通信链路115。

在一种实现中，无线通信系统100符合3GPP规范中指定的NR系统和/或3GPP中指定的LTE系统。然而，更一般地，无线通信系统100可以除其他网络外实现一些其他开放或专有通信网络，例如WiMAX。本公开不旨在限于任何特定的无线通信系统架构或协议的实现。

在一个实施例中，远程单元105可以包括计算设备，诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如，连接到互联网的电视)、智能电器(例如，连接到互联网的电器)、机顶盒、游戏机、安全系统(包括安全相机)、车载计算机、网络设备(例如，路由器、交换机、调制解调器)等。在一些实施例中，远程单元105包括可穿戴设备，诸如智能手表、健身带、光学头戴式显示器等。此外，远程单元105可以被称为订户单元、移动设备、移动台、用户、终端、移动终端、固定终端、订户台、UE、用户终端、设备或本领域中使用的其他术语。远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与基站单元110中的一个或多个直接通信。此外，可以在通信链路115上承载UL和DL通信信号。

在一些实施例中，远程单元105可以决定经由移动核心网130与数据网络150中的应用服务器(“AS”)151建立数据连接(例如，PDU会话)。在此，可以在移动核心网130支持的多个网络切片之一上建立PDU会话的数据路径。PDU会话使用的特定网络切片可以由PDU会话的S-NSSAI属性来确定。在此，可以向远程单元105配备网络切片选择策略(“NSSP”)规则，所述远程单元105使用所述网络切片选择策略(“NSSP”)规则确定如何路由所请求的PDU会话。

基站单元110可以分布在地理区域上。在某些实施例中，基站单元110也可以被称为RAN节点、接入终端、基础站、基站、节点B、eNB、gNB、归属节点B、中继节点、毫微微小区、接入点、设备或本领域中使用的任何其他术语。基站单元110通常是接入网120的一部分，诸如无线电接入网(“RAN”)，其可以包括可通信地耦合到一个或多个对应基站单元110的一个或多个控制器。接入网120的这些和其他元件未示出，但是对于本领域普通技术人员来说是众所周知的。基站单元110经由接入网120连接到移动核心网130。接入网120和移动核心网130在本文中可以被统称为“移动网络”或“移动通信网络”。

基站单元110可以经由无线通信链路为服务区域(例如，小区或小区扇区)内的多个远程单元105服务。基站单元110可以经由通信信号与单元105中的一个或多个远程直接通信。通常，基站单元110在时域、频域和/或空间域中发送下行链路(“DL”)通信信号以服务于远程单元105。此外，可以在通信链路115上承载DL通信信号。通信链路115可以是授权的或未授权的无线电频谱中的任何合适的载波。通信链路115促进在远程单元105中的一个或多个和/或基站单元110中的一个或多个之间的通信。

在一个实施例中，移动核心网130是5G核心(“5GC”)，其可以耦合到除其他数据网络之外如互联网和专用数据网络之类的数据网络150。在一些实施例中，远程单元105经由与移动核心网130的网络连接与(在移动核心网130外部的)应用服务器(“AS”)151通信。每个移动核心网130属于单个公共陆地移动网络(“PLMN”)。本公开不旨在限于任何特定的无线通信系统架构或协议的实现。例如，移动核心网130的其他实施例包括如宽带论坛(“BBF”)所描述的增强分组核心(“EPC”)或多服务核心。

移动核心网130包括几个网络功能(“NF”)。如图所示，移动核心网130包括一个或多个用户平面功能(“UPF”)131。移动核心网130还包括多个控制平面功能，包括但不限于接入和移动性管理功能(“AMF”)133，其服务于接入网120、会话管理功能(“SMF”)135、网络暴露功能(“NEF”)137、统一数据管理和统一数据存储库功能(“UDM/UDR”)138、以及认证服务器功能(“AUSF”)139。控制平面网络功能提供诸如UE注册、UE连接管理、UE移动性管理、会话管理等的服务。相反，UPF向远程单元105提供数据传输服务。在某些实施例中，移动核心网130还可以包括策略控制功能(“PCF”)、网络存储库功能(“NRF”)(由各种NF使用以通过应用编程接口(“API”)相互发现并彼此通信)或为5GC定义的其他NF。

NEF 137支持能力和事件的暴露、从外部应用向3GPP网络的信息的安全配备、内部/外部信息的转变。如上所述，NEF 137可以充当AAA功能或AAA代理以认证远程单元105(例如，用于网络切片接入认证和授权和/或用于辅助认证/授权)。可替代地，AUSF 139可以充当AAA代理。UDM/UDR 138包括统一数据管理(“UDM”)及其内部组件用户数据存储库(“UDR”)。UDR保存包括策略数据的订用数据。具体地，由UDM/UDR 138存储的策略数据包括NSSP。

尽管在图1中描绘了特定数量和类型的网络功能，但是本领域的技术人员将认识到，在移动核心网130中可以包括任何数量和类型的网络功能。而且，在移动核心网130是EPC时，所描绘的网络功能可以被诸如MME、SGW、PGW、HSS等的适当EPC实体代替。在某些实施例中，移动核心网130可以包括认证、授权和计费(“AAA”)服务器。

在各个实施例中，移动核心网130支持不同类型的移动数据连接和不同类型的网络切片，其中，每个移动数据连接利用特定的网络切片。在此，“网络切片”指的是针对某种业务类型或通信服务而优化的移动核心网130的一部分。在某些实施例中，各种网络切片可以包括网络功能的单独实例，诸如SMF 135和UPF 131。在一些实施例中，不同的网络切片可以共享一些共同的网络功能，诸如AMF 133。为了便于说明，图1中未显示不同的网络切片，但是假定它们的支持。

网络切片是移动核心网130内的逻辑网络。在某些实施例中，网络切片是移动核心网130的资源和/或服务的分区。不同的网络切片可用于满足不同的服务需求(例如延迟、可靠性和容量)。不同类型的网络切片的示例包括增强型移动宽带(“eMBB”)、大规模机器类型通信(“mMTC”)以及超可靠性和低延迟通信(“URLLC”)。移动核心网130可以包括相同网络切片类型的多个网络切片实例。可以通过与实例相关联的切片“租户”(也称为“切片区分符”)来区分相同类型的不同网络切片实例。

本文公开的第一解决方案处理由于失败/撤销的认证或授权而导致回绝S-NSSAI(或PDU会话建立)的情况。在网络切片认证(例如，NSSAA)期间，如果NSSAA失败(或NSSAA已经被撤消)，则AMF133需要不允许远程单元105使用针对其认证/授权失败或被撤消的对应S-NSSAI。在各种实施例中，AMF 133将包括对应S-NSSAI作为被回绝的S-NSSAI的NAS MM消息(例如，在注册过程期间的注册接受消息或在UE配置更新过程期间的UE配置更新命令)发送到远程单元105。

如果由于无效的凭证而已经回绝了S-NSSAI，则在服务变得不可用(例如，已经回绝了S-NSSAI)之后的任何时间，可以用新的凭证(或密码)来更新远程单元105中的应用。如果由于服务授权撤销而已经回绝了S-NSSAI，则远程单元105中的服务/应用用户可以例如在服务变得不可用(例如，S-NSSAI已被回绝)后的任何时间购买新的凭单(voucher)或支付或进一步服务。因此，远程单元105可以触发注册过程以重新尝试向被回绝的S-NSSAI进行注册(即，将被回绝的S-NSSAI包括在所请求的NSSAI中)。

本文描述的机制暂时不允许在远程单元105中使用S-NSSAI，直到服务(或S-NSSAI)变为可再次使用为止。请注意，出于概括的目的，网络切片资源(例如，由S-NSSAI识别)或PDU会话资源在本文中被称为“网络资源”或“服务资源”。

为了处置暂时不可用的网络资源，针对失败/被撤销的切片认证/授权引入了针对被回绝的S-NSSAI的新的回绝起因。可选地，可以包括不允许进一步注册S-NSSAI的不可用时间(例如，一种退避时间)。AAA-S 153或AMF 133中的任何一个都可以确定和以信号发送不可用计时器，在所述不可用计时器期间远程单元105将不重新尝试注册到被拒绝的S-NSSAI。

AAA-S 153可以——通过删除网络中(例如，在AMF133中)不可用计时器或通过以信号向AMF 133显式发送启用起因——启用(即，允许)先前失败的远程单元105进行进一步的NSSAA尝试。

假设网络暴露了北向接口(NBI，例如N33接口)API，从而允许AAA-S 153或其他类似的应用功能来在网络中(例如，在AMF 133中)独立地针对特定服务资源(网络切片或PDU会话)管理或更新UE(例如，远程单元105)的认证状况或授权状况。UE的认证状况和授权状况的AAA-S管理意味着例如：1)撤销现有的认证或授权；或2)如果认证或授权失败或已被撤销，则不允许或允许对远程单元105进行进一步的新认证或授权尝试。

AMF 133可以向远程单元105执行UE配置更新过程，以删除不可用计时器或删除先前被回绝/拒绝的网络资源(S-NSSAI或PDU会话)，从而远程单元105可以触发NAS注册过程以请求S-NSSAI。下面参考图3A-3B更详细地描述第一解决方案。

本文公开的第二解决方案解决了针对PDU会话的(辅助)认证的情况。注意，在PDU会话建立期间的辅助认证/授权可以可选地用于NSSAA。因此，与第二解决方案相关联的过程可以应用于1)PDU会话的辅助认证和2)辅助NSSAA两者。

在第二解决方案中，在认证或授权的失败或撤销时，SMF 135将失败或撤销通知给AMF 133，并且AMF 133将状况存储在UE的上下文中。需要对回绝的PDU会话的新识别：例如，使用参数[S-NSSAI、DNN、PDU类型、SSC模式]中的至少一个的组合。下面参考图4A-4B更详细地描述第二解决方案。

图2描绘了根据本公开实施例的、用于接入被拒绝的网络资源的网络过程200。网络过程200涉及UE 205、AMF 210、AUSF 215、AAA-F220和AAA-S 225。这里，UE 205可以是远程单元105的一个实施例，AMF 210可以是AMF 133的一个实施例，AUSF 215可以是AUSF 139的一个实施例，而AAA-S 225可以是AAA-S 153的一个实施例。AAA-F220充当5GC内的AAA代理，其中AAA-S 225是外部服务器。在一个实施例中，AAA-F 220是NEF 137。在其他实施例中，AUSF 215可以充当5G核心网内的AAA代理。因此，在这样的实施例中，在AUSF215和AAA-F220之间的信令可以是在AUSF 215内部的，或者可以在不需要时被消除。

在步骤1中，UE 205发送注册请求(请参阅消息传递231)。该注册请求包括UE 205请求的NSSAI。

在步骤2中，UE 205、AMF 210和AUSF 215实施PLMN接入的安全过程(例如，执行主要认证/授权，请参阅框233)。在此，AMF 210充当认证器，而AUSF 215充当认证服务器。

在步骤3中，AMF 210检查订用数据，以确定是否对某个S-NSSAI应用额外级别的认证和/或授权(例如，NSSAA)(请参阅框235)。在此，假定AMF 210确定需要额外级别的认证/授权。

在步骤4中，AMF 210以NSSAA待定的指示向UE发送注册接受。此外，如果UE请求的所有S-NSSAI或订用的默认S-NSSAI是要执行的NSSAA的对象(即，在AMF中UE的上下文中没有存储的NSSAA结果)，则AMF可以不包括允许的NSSAI参数或包括空的允许的NSSAI参数(请参阅消息237)。在一个实施例中，“待定”指示是UE 205将等待来自AMF 210的附加指示以允许使用S-NSSAI的信号。

在步骤5中，至少UE 205、AMF 210和AAA-S 225执行辅助认证和授权(例如，NSSAA)以接入由S-NSSAI识别的网络切片(请参阅框239)。请注意，NSSAA可能是基于EAP的交换。在此，假设NSSAA失败。

在步骤6中，AMF 210向UE 205指示注册失败(请参阅消息传递241)。在各种实施例中，AMF 210包括指示注册失败的原因的起因值。具体而言，起因值可以指示：1)网络资源(例如，一个或多个请求的S-NSSAI)不可用；以及2)原因是由于失败的NSSAA。此外，起因值可以指示在UE 205再次尝试建立对网络资源的接入之前要满足的条件。如果AMF 210确定在允许的NSSAI中没有S-NSSAI能够向UE 205提供，则AMF 210可以提供回绝的S-NSSAI的列表，所述回绝的S-NSSAI中的每一个具有适当的回绝起因值。

图3A-3B描绘了用于更新(例如，禁用和/或启用)网络中的网络切片认证/授权状况的网络过程300的信令流。如图所示，过程300涉及UE 205、AMF 210、UDM/UDR 305、AAA-F220)以及服务提供商认证功能(“SP-AF”，AAA服务器225)。在此，UDM/UDR 305可以是UDM/UDR 138的一个实施例。请注意，AAA-F 220可以是AUSF 139和/或AUSF 215。替代地，AAA-F220可以是NEF 137。

当UE 205向PLMN发起注册过程时，网络过程300开始于步骤1(参阅框311)。这里，PLMN包括AMF 210、UDM/UDR 305和AAA-F220。这里注意，UE 205可以在注册请求中包括请求的NSSAI。

在步骤2中，网络(例如AMF 210)确定需要(例如，请求的NSSAI的)特定S-NSSAI的网络切片认证或授权，并且网络执行针对AAA-S225的NSSAA的过程(参阅框313)。在一个实施例中，可以作为NAS注册过程的一部分来执行NSSAA。在另一个实施例中，可以在稍后的时间而不是作为注册过程的一部分触发NSSAA。注意，NSSAA过程可以例如作为基于EAP的交换来执行，并且可以包括在UE 205和AAA-S 225之间的信令交换，例如EAP质询/响应消息。

在某些实施例中，NSSAA是不成功的，并且步骤2X被触发(参阅消息传递315)。在步骤2X，如果AAA-S 225未能认证UE 205，则在认证/授权过程结束时，AAA-S 225向认证器，即向AMF 210，指示认证或授权失败。选用地，AAA-S 225可以将关于认证/授权尝试(或失败)的次数(例如上限)通知给认证器(例如，AMF 210)。AMF 210可以存储认证/授权尝试的上限。如果已经达到该上限(例如3次尝试)，则对于该网络切片，AMF 210可以停止向AAA-S225发送进一步的认证/授权信令。另外，如步骤3中进一步描述的，AAA-S 225可以向AMF210指示在失败时要采取的另一“动作”。

在某些实施例中，NSSAA是成功的，但是稍后被撤销，并且步骤3被触发(请参阅消息传递317)。在步骤3，AAA-S 225基于AAA-S225内部触发(例如，已达到服务使用限制、可用服务时间到期、密钥更新等)，发起对认证/授权的撤销。AAA-S 225从用于网络切片的初始认证中知道GPSI。AAA-S 225包括适当的失败起因，以使AMF 210能够采取对应的动作。

例如，AAA-S 225可以发送消息认证/授权撤销请求(GPSI、起因‘无接入’、指示‘动作’、不可用时间)。失败时的指示‘动作’(可能出现在步骤2X和3中)是针对认证器(例如AMF210)的，并且可以实现为现有参数(例如，在失败起因之内)或新参数。失败时的指示‘动作’可以具有各种含义或值，例如，以下中的至少之一：要求重新认证/授权；不再准许任何认证/授权请求；不再准许任何认证/授权请求，但保持UE对于更新可达(例如，因为UE凭证已到期)；不再准许任何认证/授权请求，并且将通过来自AAA-S或AF的显式信令来触发重新认证；以及/或者在下一个“不可用时间”内不再准许任何认证/授权请求。在计时器到期后，可能会触发(重新)认证/授权。

如针对失败时的指示‘动作’所描述的，AAA-S 225可以请求认证器(例如，AMF210)不重新发起认证，直到来自AAA-S 225的进一步显示指示或直到特定(授权)不可用时间到期。

响应于步骤2X或步骤3的消息，在AMF 210处执行步骤4(参阅框319)。在此，AMF210在UE的上下文中(本地)存储失败的认证或被撤销的授权的状况。AMF 210将用于认证/授权失败的特定信令交换与特定的S-NSSAI(称为“S-NSSAI#x”)或通常与参数[DNN，S-NSSAI]的特定组合进行匹配。虽然在本文中被描述为“[DNN，S-NSSAI]”，但是在其他实施例中可以改变参数的顺序，例如提供为[S-NSSAI，DNN]。

如果对S-NSSAI#x的认证/授权已经失败(例如，在预定义的认证尝试次数之后)，则AMF 210确定失败的S-NSSAI#x作为“回绝的S-NSSAI”将要被发送到UE 205，并对应地确定允许的NSSAI(排除失败的S-NSSAI#x)。请注意，如果S-NSSAI是允许的NSSAI的一部分，则并不意味着已建立与S-NSSAI识别的网络切片的连接。而是，UE已经获得接入并且可以建立到S-NSSAI的连接。

如果已经使用的对S-NSSAI#x的认证/授权被撤销，则AMF 210触发动作以释放关联的PDU会话(如果存在/可用)，并通知UE 205关于新的允许的NSSAI(例如，不包括撤销/失败的S-NSSAI#x)。AMF 210向UE 205提供新的被回绝的NSSAI，包括已被撤销针对其的授权的S-NSSAI。如果撤销后在允许的NSSAI中没有剩余S-NSSAI用于接入，并且存在默认NSSAI，该默认NSSAI不需要网络切片特定认证，或者在此接入上针对其的网络切片特定认证先前未失败，则AMF210可以向UE 205提供包含默认NSSAI的新的允许的NSSAI。但是，如果撤销后在允许的NSSAI中没有剩余S-NSSAI用于接入，并且没有默认NSSAI在允许的NSSAI中向UE205提供，或者先前的网络切片特定认证在此接入上对于默认NSSAI失败，则AMF 210可以针对接入发起网络发起的注销过程，并在显式的注销请求消息中向UE 205发送被回绝的S-NSSAI的列表，所述被回绝的S-NSSAI中的每一个都具有适当的回绝起因值。

另外，AMF 210可以确定所需的UE行为，例如，UE 205在接收到不允许/回绝指示时将采取的动作。一个示例是使用不可用时间(也称为“禁止时间”)来重新尝试(重新)认证或(重新)授权。将在步骤5更详细讨论不可用时间。

如果步骤2X或3中的失败起因或指示‘动作’指示需要重新认证或重新授权，则AMF210触发向UE 205的认证/授权请求以按照步骤2执行信令。在(重新)认证/授权过程正在运行时，AMF 210不会释放关联的PDU会话(如果可用)。在(重新)认证/授权之后，AMF 210根据结果执行以下过程之一：A)如果(重新)认证/授权失败，则AMF210发起信令以释放关联的PDU会话，如果可用，则随后如步骤5中向UE 205发起NAS MM信令；B)如果(重新)认证/授权成功，则AMF 210将结果存储在UE的上下文中，并且不执行附加信令。

在一种选择中，AMF 210可以不将不可用时间发送给UE 205，而是将时间本地存储在AMF 210中。在时间到期之后，AMF 210可以向UE 205发送信令以删除被回绝的S-NSSAI#X，如下面的步骤11所述。

在步骤5，AMF 210d向UE 205发送NAS MM消息以便以适当回绝起因回绝S-NSSAI(例如S-NSSAI#x)(请参阅消息传递321)。可以使用现有的回绝起因，或者可以使用新的回绝起因来向UE 205指示由于例如‘认证失败’或‘撤销授权’或其他适当起因而不允许使用S-NSSAI。另外，或者作为回绝起因的一部分，AMF 210可以包括关于UE 205如何针对该被回绝的S-NSSAI表现的相关联的‘(回绝)动作’。

例如，指示‘(回绝)动作’是根据在步骤2X或3中接收到的失败时的指示‘动作’或基于AMF 210中的配置在AMF 210中确定的。在一个实施例中，指示‘(回绝)动作’指示UE205将等待来自网络(例如，AMF 210)的附加指示，以允许对该S-NSSAI#x进行使用或重新请求注册。在另一个实施例中，指示‘(回绝)动作’指示不可用时间，对于该不可用时间，UE205不被允许针对被回绝的S-NSSAI#x发起注册(该退避时间可以在AMF 210内部确定，或者基于来自AAA-S 225的信令确定)。在另一实施例中，指示‘(回绝)动作’指示如果(UE 205中)应用层向NAS层指示新的凭证，则NAS层(UE 205中)可以重新尝试向该S-NSSAI#x注册(例如，通过在请求的NSSAI中包含S-NSSAI#x)。

NAS MM消息可以是注册接受或注册回绝消息(例如，如在步骤2X中的认证失败的情况下)或UE配置更新命令消息(例如，如步骤3X中的认证撤销的情况下)，其包含被回绝的S-NSSAI(例如，S-NSSAI#x)、起因值(例如，‘认证失败’或‘授权被撤消’或‘无法接入此S-NSSAI’等)，并可能包含如上所述的‘(回绝)动作”的指示。

如果在步骤1中UE 205已将S-NSSAI包括在注册请求消息中的请求NSSAI中，并且对所有请求S-NSSAI的认证或授权失败(例如，按照步骤2X)，或者如果UE 205没有包括任何请求的NSSAI，但是所有(默认)订用的S-NSSAI被标记为要求认证，并且认证/授权失败，则AMF 210至少可以进行以下方式之一(例如基于网络配置和/或基于从AAA-S 225接收到的在失败时的指示‘动作’)。

如果在AMF 210中的UE上下文中没有更多的订用S-NSSAI(例如，最简单的用例是具有单个订用S-NSSAI的UE 205)，则AMF 210将注册回绝消息发送给UE 205，其指示由于失败的网络切片认证或授权而导致的失败起因，以及可选的不可用时间。UE 205将保持在RM注销状态。UE 205可以在某个时间(例如，不可用时间)到期之后重新尝试注册过程。

如果UE 205具有多个未标记为默认S-NSSAI的订用S-NSSAI，则AMF 210可以向UE205发送注册回绝消息，其指示对于请求的S-NSSAI#x由于失败的网络切片认证或授权而导致的失败起因，并可选地指示可以向其他S-NSSAI注册。UE 205将保持在RM注销状态。UE205可以重新尝试包括与先前回绝的S-NSSAI#x不同的S-NSSAI的注册过程。注意，AMF 210可以在回绝消息中包括被回绝的S-NSSAI的列表，每个被回绝的S-NSSAI具有适当的回绝起因值。

除了以上任何情况之外，当AMF 210将注册回绝消息发送给UE205时，AMF 210还可以包括对本地运营商服务(例如ARLOS)的受限接入是可能的指示。ARLOS指示可以使UE 205能够具有受限的用户平面(例如，IP)接入，以便允许UE 205进行某些特定的服务，例如，需要为UE 205配备新的凭证，以用于基于网络切片的认证或授权。UE 205将保持在RM注册状态。替代地，ARLOS指示可以允许SMS服务，其也可以用于向UE 205配备用于基于网络切片的认证或授权的新凭证。

替代地，AMF 210可以发送包括以下指示中的至少一种的注册接受消息：1)作为被回绝的S-NSSAI的请求的S-NSSAI#x；2)没有允许的NSSAI参数，或者空的允许的NSSAI参数(即，允许的NSSAI参数内没有S-NSSAI；这可以在认证/授权待定时发送，但由于网络拥塞、等待用户输入等等而延迟)；3)与SMS相关的配置；以及/或者4)指示注册不允许任何PDU会话建立的指示。在此，UE 205将处于RM注册状态。注意，由于基于切片的认证/授权失败，但是成功的网络接入认证，UE 205将处于一种受限的服务状态。在没有接收到/接收到空的允许的NSSAI时，UE 205可以确定可以使用控制平面服务服务，例如SMS或位置服务，但不能建立PDU会话。UE 205将能够使用紧急服务。网络将能够经由控制平面来向UE 205配备例如新的URSP或已配置的NSSAI或安全凭证或其他信息。网络可以随时触发基于网络切片的(重新)认证/授权。

如果UE 205具有标记为默认的附加的订用的S-NSSAI，则AMF210可以发送包括具有默认S-NSSAI的值的允许的NSSAI的注册接受消息。AMF 210包括所请求的S-NSSAI#x作为回绝的S-NSSAI。备选地，如果对于允许的NSSAI中的所有S-NSSAI，NSSAA失败，则AMF210可以发起网络发起的注销过程，并且向UE 205发送包括被回绝的S-NSSAI的列表的显式注销请求消息，每一个被回绝的S-NSSAI都有适当的回绝起因值。

在步骤6中，UE 205避免进一步尝试注册与被回绝的S-NSSAI#x相关联的网络/服务资源(参阅框323)。UE 205将被回绝的S-NSSAI#x连同相关联的回绝起因一起存储在被回绝的S-NSSAI的列表中。如果不可用时间被包括在来自AMF 210的NAS消息中，则UE 205以不可用时间的值启动计时器。在计时器到期之后，UE 205可以从被回绝的S-NSSAI的列表中自主地删除相关联的被回绝的S-NSSAI#x，并且UE 205可以例如根据来自上层的请求发起注册过程以将S-NSSAI#x包括在请求的NSSAI中。

如果UE 205由于对所请求的S-NSSAI#x的切片认证/授权失败而已经接收到注册回绝，则UE 205确定回绝不是由于主要网络接入认证/授权引起的。因此，UE 205被允许向包括与被回绝的S-NSSAI#x不同的S-NSSAI的相同网络发起另一注册过程。UE 205还可在发起另一注册过程而无需包括任何请求的NSSAI。如果订用的S-NSSAI包括与S-NSSAI#x不同的另一个(些)S-NSSAI，则这将允许网络成功注册UE 205。

在可选步骤7，在UE的应用和服务提供商的应用服务器之间交换应用级别的信令(请参阅框325)。例如，该信令可以用于在服务提供商处购买新的信用(credit)或向服务提供商获取新的凭证。该信令可以从服务提供商向UE 205发起，或者从UE 205向服务提供商发起(例如，经由另一现有的PDU会话或经由控制平面信令(例如，经由NEF137))。

继续图3B，在步骤8a中，AAA-S 225可以基于服务提供商触发(例如基于步骤7信令交换，请参阅消息传递327)来更新网络中的状况(例如，为AMF 210中的特定UE 205启用网络切片认证或授权)。AAA-S 225发送服务更新请求消息以启用针对特定UE 205的切片认证或授权，对于该UE，先前的认证或授权已失败或已被撤销。服务更新请求可以包括以下至少之一：UE ID(例如，GPSI)、AF ID、服务ID、请求指示(例如，启用认证)。

在步骤8b，GPSI可以被来自AAA-S 225的信令用作UE标识符，并且AAA-F 220可以通过与UDM/UDR 305的交互来发现服务AMF210。AF ID识别AAA-S 225。在认证器(例如AMF210或SMF)中使用“请求指示”来确定请求的动作，例如启用认证或删除不可用时间等。例如，AAA-S 225可以使用对AAA-F 220的服务操作Nnef_ParameterProvision_Update请求。AAA-S 225也可以使用此信令来触发AMF 210发起重新认证过程。

在步骤8b中，AAA-F 220可能需要确定UE的当前服务AMF。AAA-F 220使用GPSI作为参考标识符，通过UDM/UDR执行UE位置检索(请参阅消息传递329)。

在步骤8c，AAA-F 220将服务更新请求消息发送到AMF 210(请参阅消息传递331)。服务请求消息包括来自AAA-S 225的关于针对特定网络/服务资源针对UE 205的认证或授权的启用的信息。AMF 210可以将服务ID(或服务描述符，源自AAA-S)解析为在服务PLMN中有效并且是UE的订用S-NSSAI的一部分的S-NSSAI。或者，可以将服务ID解析为AAA-F 220中的S-NSSAI。

可选地，如虚线所示，如果在AMF 210和AAA-F 220之间没有直接信令，则步骤8c中的服务更新请求可以来自UDM/UDR 305。在这种情况下，UDM/UDR 305经由Nudm_SDM_Notification通知服务操作将更新后的订户数据通知给订用的网络功能(例如，AMF 210)。

在步骤9，AMF 210处理接收到的服务请求消息，以启用针对对应的服务资源(例如，S-NSSAI或PDU会话，请参阅框333)的UE 205的认证或授权。AMF 210基于接收到的服务请求(例如，基于服务ID或AAA-SID或AF ID)来识别相关联的S-NSSAI。如果AMF 210已经在UE的上下文中存储了相关联的S-NSSAI作为被回绝的S-NSSAI，并且如果存储了不可用时间，则AMF 210从被回绝的S-NSSAI的列表中移除S-NSSAI并删除不可用时间。

在步骤10，AMF 210将服务响应发送到AAA-S 225，以通知AAA-S225服务请求是否已被成功处理(例如，存储用于处理)(请参阅消息传递335)。例如，如果UE 205不再在网络中注册，则网络不能更新UE 205。在处理服务请求消息失败的情况下，AMF 210指示适当的失败起因。注意，UE 205到注销状态的转换意味着UE 205将删除被回绝的S-NSSAI，从而在下一个注册过程中，UE 205将在请求的NSSAI中包括来自所配置的NSSAI的可能所有S-NSSAI。这意味着，如果UE 205已经注销并且对于AMF 210是不可到达的，则网络切片认证将在下一个注册过程期间工作。

在步骤11处，AMF 210使用NAS过程更新UE 205，以便启用对网络/服务资源的注册的发起(例如，对先前回绝的S-NSSAI#x的网络切片认证或授权(或PDU会话建立)，请参阅消息传递337)。例如，AMF 210可以发送包括被回绝的S-NSSAI的新列表的NAS MM UE配置更新命令消息，该新列表不包括相关联的S-NSSAI#X。如果UE205处于CM-IDLE状态(或仅终端发起的连接(MICO)模式，即，当前对于终端终止的服务是不可到达的)，则AMF 210等待直到UE205移动到CM连接状态以触发UE更新。当从AMF 210接收到NAS消息时，UE 205从回绝的S-NSSAI的列表中移除S-NSSAI，并且，如果对应的不可用计时器正在运行，则UE 205删除该计时器。

在步骤12，基于上层触发(例如，应用层更新EAP客户端)，EAP客户端或UE 205中的应用可以请求NAS层重新尝试向被回绝的S-NSSAI进行注册(参阅方框339)。NAS层发起包含请求的NSSAI的NAS注册过程，该请求的NSSAI包括由AMF 210在步骤11中启用的S-NSSAI#x。

请注意，在步骤2X或3中，AAA-S 225与认证器(例如AMF 210或SMF)之间存在关联(例如DIAMETER或RADIUS协议连接)。但是，在步骤8a、8b、8c中，AAA-S 225与认证器之间没有现有的关联。因此，AAA-S 225可以在与网络的信令交换中包括服务ID(除了UE ID(例如GPSI)和AF ID之外)，以识别服务并允许网络解析由S-NSSAI所识别的相关联的网络切片。服务ID可以具有各种格式，并且一种可能的格式可以是一种服务描述符(其可以另外包括原发者标识符)，例如，“SmallData_infrequent_IP_ReportingService”或“frequent_non-IP_TrackingService”或“NonPeriodic_IP_TelementryService”等。

图4A-4B描绘了用于更新(例如，禁用和/或启用)网络中的网络切片认证/授权状况的网络过程400的信令流。如图所示，网络过程400涉及UE 205、AMF 210、SMF 405、UPF410、AAA-F 220(可以是充当AAA代理的NEF或AUSF)和数据网络(“DN”)415中的服务提供商认证功能(例如AAA-S 225)。这里，SMF 405UPF 410可以分别是SMF 135和UPF 131的实施例。

当UE 205利用5GC执行PDU会话建立时，网络过程400开始于步骤1(参阅框421)。在一个实施例中，UE请求的PDU会话建立的过程可以如3GPP TS 23.502的条款4.3.2.2.1中所描述的，其通过引用并入本文。

例如，根据TS23.502中的条款4.3.2.3(其通过引用并入本文)，对PDU会话执行辅助认证(参阅框425)。PDU会话建立认证/授权可选地由SMF 405在PDU会话建立期间触发，并经由UPF 410透明地执行，或者如果DN-AAA服务器位于5GC中并直接可达，直接使用DN-AAA服务器执行而不涉及UPF 410。

在步骤2处，SMF 405经由UPF 410发起与DN-AAA的认证过程，以认证UE 205提供的DN特定标识，例如，如TS 29.561中所指定的(请参阅消息传递423)。当可用时，SMF 405在与DN-AAA服务器交换的信令中提供GPSI。UPF 410透明地将从SMF 405接收到的消息中继到DN-AAA服务器。注意，DN-AAA服务器可以是AAA-S 153和/或AAA-S 225的一个实施例。

在步骤3a，DN-AAA服务器向SMF 405发送认证/授权消息(参阅消息427)。该消息经由UPF 410承载。在步骤3b，从DN-AAA接收的DN请求容器信息被向UE 205传送(参阅消息传递429)。在非漫游和LBO情况下，SMF 405可以在AMF 210上调用Namf_Communication_N1N2MessageTransfer服务操作，以在向UE 205发送的N1 SM信息内传送DN请求容器信息。在归属路由漫游的情况下，H-SMF可以发起Nsmf_PDUSession_Update服务操作以请求V-SMF将DN请求容器传送到UE 205，并且V-SMF调用AMF 210上的Namf_Communication_N1N2MessageTransfer服务操作以在发送给UE205的N1 SM信息内传送DN请求容器信息。在Nsmf_PDUSession_Update请求中，H-SMF还包括H-SMF SM上下文ID。

在步骤3c，AMF 210向UE 205发送包含认证消息的N1 NAS消息，并且UE 205针对DN-AAA向AMF 210传送DN请求容器信息(参阅消息431)。在步骤3e，当UE 205以包含DN请求容器信息的N1 NAS消息响应时，AMF 210例如通过调用Nsmf_PDUSession_UpdateSMContext服务操作来通知SMF 405(参阅消息传递433)。SMF 405发出Nsmf_PDUSession_UpdateSMContext响应。在归属路由(“HR”)漫游的情况下，V-SMF使用在步骤3b中接收到的PDU会话的信息通过Nsmf_PDUSession_Update服务操作将N1 SM信息中继到H-SMF。

在步骤3f，SMF 405(在HR情况下为H-SMF)通过UPF 410将DN请求容器信息(认证消息)的内容发送给DN-AAA服务器(请参阅消息传递435)。

在步骤4a中，PDU会话的辅助认证不成功，因此DN 415发送认证/授权响应消息，该认证/授权响应消息包括失败起因并可以选用地包括不可用时间(请参阅消息437)。不可用时间指示网络不应重新尝试向DN 415的认证/授权的时间。

在步骤4b，DN 415可以可选地撤销朝着DN 415的现有连接(请参阅消息传递439)。DN 415(例如DN-AAA服务器)可能由于到期的使用允许或任何其他原因而触发撤销。DN 415(或DN-AAA服务器)从上面的步骤3中知道使用的UE的GPSI。认证/授权撤销消息包括使AMF210能够采取对应动作的适当的失败起因以及可选地包括不可用时间。

继续图4B，在步骤4c中，SMF 405向AMF 210通知针对该UE 205的PDU会话的失败/撤消的接入(请参阅消息传递441)。例如，SMF405可以使用Nsmf_PDUSession_CreateSMContext响应服务操作，包括例如失败/回绝起因、禁用PDU会话ID(至AMF)、N1 SM容器(PDU会话回绝(起因‘动作’，不可用计时器))。

在N11信令内从SMF 405发送到AMF 210的失败起因或回绝起因可以类似于在Error！Reference source not found.A中的步骤3中描述的失败时的指示‘动作’。N1 SM容器将朝向UE 205被透明地携带到AMF 210。PDU会话回绝消息可能包含起因‘动作’和不可用时间。根据步骤4e，在UE 205中使用不可用时间。

在步骤4d中，AMF 210经由RAN发送包括N1 SM容器(起因‘动作’，不可用计时器)的NAS下行链路(DL)传输消息(请参阅消息传递443，未描绘RAN)。N1 SM容器是如从SMF 405接收的。在各种实施例中，AMF 210和SMF 405可以删除此UE 205的现有N11关联。

在步骤4e，如果UE 205接收到SMF原发的NAS SM信令消息中(或替代地AMF原发的MM信令中)包括的由于认证/授权失败或撤销而导致的PDU会话建立回绝(或释放)，则UE205存储由至少参数[DNN，S-NSSAI]的组合识别的回绝的PDU会话(参阅框445)。在某些实施例中，UE 205可以维护至少由参数[DNN，S-NSSAI]的组合识别的回绝的PDU会话的列表。UE205可以存储由至少参数[DNN，S-NSSAI]的组合识别的回绝的PDU会话，直到UE 205转换到RM注销状态为止。

如果认证/授权失败是网络切片特定的，则UE 205可以类似于Error！Referencesource not found.A中的步骤5另外接收‘(回绝)动作’指示，并且UE 205将相应地表现。如果认证/授权失败是针对PDU会话建立的，则UE 205基于回绝/失败起因值来确定如何表现。例如，UE 205将不发起对该PDU会话，例如参数[DNN，S-NSSAI]的组合，的任何进一步的PDU会话建立过程。注意，UE 205不具有与参数[DNN，S-NSSAI]相关联的SM上下文，并且UE 205而是在内部标记为暂时不允许向与[DNN，S-NSSAI]的连接的请求。

如果已经建立了PDU会话，并且这是认证/授权撤销，则UE 205将释放现有的PDU会话资源，并且UE 205将不向该PDU会话，例如参数[DNN，S-NSSAI]的组合，发起任何PDU会话建立过程。当UE 205在空闲或连接模式移动到EPS时，UE 205将不针对对应的APN发起任何PDN连接过程。

如果提供了不可用计时器，则UE 205将在不可用计时器正在运行期间不发起向该PDU会话的信令。在计时器到期之后，UE 205可以重新尝试PDU会话建立。如果UE 205具有失败的单个订用的[DNN，S-NSSAI]中的至少一个，或者如果所有订用的[DNN，S-NSSAI]都需要失败的辅助认证/授权，则不允许UE 205来建立任何PDU会话，然而，UE 205仍然处于RM注册状态。注意，由于失败的PDU会话(或基于切片的)认证/授权，但是成功的网络接入认证，UE205将处于一种受限的服务状态。

在步骤4f，AMF 210在UE的上下文中存储对应的信息：由组合[DNN，S-NSSAI]识别的PDU会话已经被回绝，并且不允许使用相关联的回绝标准建立(参阅框447)。一个可能的回绝标准是“回绝直到来自DN的进一步指示”415(例如DN-AAA)。另一个可能的标准是不可用计时器。如果在步骤4d中已将不可用时间发送给UE 205，则AMF 210也存储不可用时间。

不可用时间被存储在AMF 210中，以便在不可用时间尚未到期的时段期间回绝从UE 205发送的潜在PDU会话建立请求。注意，“回绝的PDU会话状态”不是由PDU会话ID(由UE205生成)识别的，而是由至少参数[DNN，S-NSSAI]的组合来标识的。用于PDU会话识别的其他参数可以是PDU类型，例如以太网、IPv4、IPv6等。

例如，AMF 210可以通过发送携带UE的SM消息的NAS UL传输消息的NAS传输错误消息，来回绝来自UE 205朝向参数[DNN，S-NSSAI]的组合的另外的N1 SM消息。NAS传输错误消息可能还包括不可用时间和参数[DNN，S-NSSAI]的关联组合。

在可选步骤5处，可以发生UE与DN 415中的应用服务器(AS)或应用功能(例如AF)之间的应用层信令(参阅框449)。这类似于Error！Reference source not found.A中的步骤7。

在步骤6，DN 415中的应用功能(AF)可以随时发送服务更新请求消息，以启用先前被撤销的服务(例如，被撤销的授权或失败的认证，请参阅消息传递451)。这样的消息传递类似于来自Error！Reference source not found.B的步骤8a、8b、8c。AMF 210可以应答接收到服务更新请求消息，并且向DN 415(例如，AF或AAA-S)指示服务更新请求消息的处理的成功或失败。

在某些实施例中，可以在AF知道UE的GPSI并且AF被授权使用由NEF暴露的北向接口(“NBI”)API的假设下经由NEF执行步骤6。NEF或AMF 210都可以将来自AF的请求转变为PDU会话的识别，即，转变为参数[DNN，S-NSSAI]的组合。在一个示例中，AF ID可以被转变为参数[DNN，S-NSSAI]的组合。在另一示例中，服务更新请求可以包括参数服务ID，并且AMF210或NEF能够将服务ID映射到参数[DNN，S-NSSAI]的组合。

替代地，AF可以使用N5接口并请求针对其PDU会话认证/授权先前已经失败或被撤销的UE 205的服务启用。在这种情况下，SMF 405需要知道UE 205当前向哪个AMF 210注册，以便SMF 405(或PCF)可以请求AMF 210启用针对参数[DNN，S-NSSAI]的组合的PDU会话的建立。

在步骤7处，AMF 210发起NAS级别的过程(例如，NAS MM过程)以允许建立PDU会话，该PDU会话先前已被回绝(例如，由参数[DNN，S-NSSAI]的组合识别的PDU会话，请参阅消息传递453)。例如，AMF 210可以在UE的上下文中删除不允许向具有参数[DNN，S-NSSAI]的组合的PDU会话的PDU建立的条目。如果AMF 210已经按照步骤4f存储了不可用时间，则AMF210删除不可用时间。

例如，AMF 210可以通过发送向UE 205指示移除由参数[DNN，S-NSSAI]识别的先前回绝的PDU会话的条目的UE配置更新命令来发起NAS UE配置更新过程。备选地，AMF 210可以使用另一NAS MM过程(例如，NAS传输过程或注册过程)来通知UE 205。

在步骤8处，UE 205可以尝试UE请求的PDU会话建立，例如如步骤1中(参阅框455)。在此，UE 205可以再次请求接入先前不可用的S-NSSAI。

图5描绘了根据本公开的实施例的可以用于接入被拒绝的网络资源的用户设备装置500。在各个实施例中，用户设备装置500用于实现上述的第一解决方案和/或第二解决方案。用户设备装置500可以是如上所述的远程单元105或UE的一个实施例。此外，用户设备装置500可以包括处理器505、存储器510、输入设备515、输出设备520和收发器525。在一些实施例中，输入设备515和输出设备520被组合为单个设备，例如触摸屏。在某些实施例中，用户设备装置500可以不包括任何输入设备515和/或输出设备520。在各个实施例中，用户设备装置500可以包括以下中的一个或多个：处理器505、存储器510和收发器525，并且可能不包括输入设备515和/或输出设备520。

在一个实施例中，处理器505可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如，处理器505可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似的可编程控制器。在一些实施例中，处理器505执行存储在存储器510中的指令以执行本文描述的方法和例程。处理器505通信地耦合到存储器510、输入设备515、输出设备520和收发器525。

在各个实施例中，用户设备装置500容纳(例如，经由收发器525)收发器，该收发器接收第一消息，该第一消息指示对移动通信网络中的网络资源的接入由于特定于网络资源的授权而被拒绝(例如，临时地)。在这里，网络资源可以由以下中的至少一项来识别：网络切片标识符(例如，S-NSSAI)和DNN。处理器505监视在发起用于建立对被拒绝的网络资源的接入的新请求之前要满足的条件，并且响应于满足条件而向网络发起信令以建立对被拒绝的网络资源的接入。

在一些实施例中，第一消息包括指示对网络资源的接入的拒绝原因的起因值，其中，该起因值指示由于以下中的一项而拒绝了对移动通信网络中的网络资源的接入：UE的失败认证、撤销的授权以及不完整(例如，待定)的认证。

在一些实施例中，第一消息还指示在发起信令以建立对接入被拒绝的网络资源的接入之前要满足的条件。在一些实施例中，第一消息还包括要被接入的允许的网络资源的空集。例如，在待定认证的情况下，UE可以接收切片标识符，例如S-NSSAI，的空列表，其中，被拒绝的网络资源由切片标识符识别。

在一些实施例中，第一消息指示回绝对网络的注册。在这样的实施例中，拒绝对所有请求的网络资源的接入。这样的第一消息的一个示例是注销请求消息。例如，第一消息可以是显式的注销请求，其包括回绝的S-NSSAI的列表，所述回绝的S-NSSAI中的每一个具有适当的回绝起因值。在某些实施例中，要满足的条件可以包括从网络(例如，从AMF 133或AMF 210)接收撤销对被拒绝的网络资源的指示的第二消息或网络资源不可用计时器到期，其中，第一消息包含网络资源不可用计时器的值。

在一些实施例中，处理器505维护被拒绝的网络资源标识(例如，S-NSSAI或参数[DNN，S-NSSAI])的列表。在这样的实施例中，在发生从包括下述的集合中选择的一个或多个事件的发生时，可以删除来自被拒绝的网络资源标识的列表中的条目：UE转换到注销状态、UE处的UICC移除、URSP策略更新、来自上层的触发以及网络资源不可用计时器的到期。

在一个实施例中，存储器510是计算机可读存储介质。在一些实施例中，存储器510包括易失性计算机存储介质。例如，存储器510可以包括RAM，RAM包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中，存储器510包括非易失性计算机存储介质。例如，存储器510可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中，存储器510包括易失性和非易失性计算机存储介质两者。

在一些实施例中，存储器510存储与接入被拒绝的网络资源有关的数据。例如，存储器510可以存储被回绝/被拒绝的网络资源的列表或不可用时间等。在某些实施例中，存储器510还存储程序代码和相关数据，诸如在远程单元105上运行的操作系统或其他控制器算法。

在一个实施例中，输入设备515可以包括任何已知的计算机输入设备，包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中，输入设备515可以与输出设备520集成在一起，例如作为触摸屏或类似的触敏显示器。在一些实施例中，输入设备515包括触摸屏，使得可以使用在触摸屏上显示的虚拟键盘和/或通过在触摸屏上的手写输入文本。在一些实施例中，输入设备515包括两个或更多个不同的设备，诸如键盘和触摸面板。

在一个实施例中，输出设备520被设计为输出视觉、听觉和/或触觉信号。在一些实施例中，输出设备520包括能够将视觉数据输出给用户的电子可控显示器或显示设备。例如，输出设备520可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像或文本等的类似显示设备。作为另一个非限制性示例，输出设备520可以包括可穿戴式显示器，所述可穿戴式显示器与用户设备装置500的剩余部分分开但可通信耦合到所述剩余部分，所述可穿戴式显示器诸如智能手表、智能眼镜、平视显示器或类似。此外，输出设备520可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机或车辆仪表板等的组件。

在某些实施例中，输出设备520包括一个或多个用于产生声音的扬声器。例如，输出设备520可以产生听觉警报或通知(例如，蜂鸣声或提示音)。在一些实施例中，输出设备520包括一个或多个用于产生振动、运动或其他触觉反馈的触觉设备。在一些实施例中，输出设备520的全部或部分可以与输入设备515集成。例如，输入设备515和输出设备520可以形成触摸屏或类似的触敏显示器。在其他实施例中，输出设备520可以位于输入设备515附近。

如上所述，收发器525经由一个或多个接入网与移动通信网络的一个或多个网络功能进行通信。收发器525在处理器505的控制下操作以发送消息、数据和其他信号，并且还接收消息、数据和其他信号。例如，处理器505可以在特定时间选择性地激活收发器525(或其部分)，以便发送和接收消息。

收发器525可以包括一个或多个发射器530和一个或多个接收器535。尽管仅示出了一个发射器530和一个接收器535，但是用户设备装置500可以具有任何合适数量的发射器530和接收器535。此外，发射器530和接收器535可以是任何合适类型的发射器和接收器。另外，收发器525可以支持至少一个网络接口540。这里，至少一个网络接口540例如使用“Uu”接口来促进与诸如eNB或gNB的RAN节点的通信。另外，至少一个网络接口540可以包括用于与移动核心网中的一个或多个网络功能(诸如UPF、AMF和/或SMF)进行通信的接口。

在一个实施例中，收发器525包括用于在授权无线电频谱上与移动通信网络进行通信的第一发射器/接收器对，以及用于在未授权无线电频谱上与移动通信网络进行通信的第二发射器/接收器对。在某些实施例中，可以将用于通过授权无线电频谱与移动通信网络进行通信的第一发射器/接收器对和用于通过未授权的无线电频谱与移动通信网络进行通信的第二发射器/接收器对组合为单个收发器单元，例如，执行用于授权的和未授权的无线电频谱的功能的单芯片。在一些实施例中，第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如，某些收发器525、发射器530和接收器535可以被实现为访问共享的硬件资源和/或软件资源(诸如例如，网络接口540)的物理上分离的组件。

在各种实施例中，可以将一个或多个发射器530和/或一个或多个接收器535实现和/或集成到单个硬件组件中，诸如多收发器芯片、片上系统、专用集成电路(“ASIC”)或其他类型的硬件组件。在某些实施例中，一个或多个发射器530和/或一个或多个接收器535可以被实现和/或集成到多芯片模块中。在一些实施例中，诸如网络接口540或其他硬件组件/电路的其他组件可以与任何数量的发射器530和/或接收器535集成到单个芯片中。在这样的实施例中，发射器530和接收器535可以在逻辑上被配置为使用又一个常见的控制信号的收发器525，或者被配置为在相同硬件芯片或多芯片模块中实现的模块化发射器530和接收器535。

图6描绘了根据本公开的实施例的可用于接入被拒绝的网络资源的网络设备装置600。在各种实施例中，网络设备装置600用于实现如上所述的第一解决方案和/或第二解决方案。网络设备装置600可以是如上所述的远程单元105或UE的一个实施例。此外，网络设备装置600可以包括处理器605、存储器610、输入设备615、输出设备620和收发器625。在一些实施例中，输入设备615和输出设备620被组合为单个设备，例如触摸屏。在某些实施例中，网络设备装置600可以不包括任何输入设备615和/或输出设备620。在各种实施例中，网络设备装置600可以包括处理器605、存储器610和收发器625中的一个或多个，并且可能不包括输入设备615和/或输出设备620。

在一个实施例中，处理器605可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如，处理器605可以是微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似的可编程控制器。在一些实施例中，处理器605执行存储在存储器610中的指令以执行本文描述的方法和例程。处理器605通信地耦合到存储器610、输入设备615、输出设备620和收发器625。

在各种实施例中，网络设备装置600接收(例如，经由收发器625)在网络功能处(例如，从AAA服务器)接收指示移动通信网络中的服务资源不可用(例如，由于特定于网络资源的认证或授权，UE接入被拒绝)的第一消息。处理器605确定允许UE再次请求网络资源的条件，所述网络资源与服务资源相对应，并且向UE发送第二消息，该第二消息指示响应于第一消息而拒绝对网络资源的接入并指示允许UE再次请求网络资源的条件。处理器605还维护被回绝的服务资源(例如，DNN和/或S-NSSAI)的列表。

在一些实施例中，服务资源是S-NSSAI或DNN，其中，允许UE请求服务资源的条件包括以下至少一项：从网络接收到撤消被拒绝的网络资源的指示的第二消息和网络资源不可用计时器到期，其中第一消息包含网络资源不可用计时器的值。

在一些实施例中，收发器625接收第三消息，该第三消息指示对服务资源的接入是可用的，并且向UE发送第四消息以启用对与该服务相关联的服务资源的接入。在这样的实施例中，网络功能响应于第三消息从维护列表中移除服务资源。

在一些实施例中，由于以下之一第一消息指示服务资源不可用：UE的失败的NSSAA、UE的撤销的授权以及UE的不完整(例如，待定)的NSSAA。在一些实施例中，第一消息包括不允许来自UE的进一步接入请求的请求。在这样的实施例中，可以从以下至少一个接收第一消息：会话管理功能(例如，对于由于失败的辅助认证而导致的PDU会话回绝的情况)和认证服务器功能(例如，AAA代理)。

在一些实施例中，处理器605维护用于不可用服务资源的服务不可用计时器(例如，以便回绝来自UE的对该服务的进一步请求)。在这样的实施例中，第二消息可以向UE指示不可用计时器值，其中，UE在不可用计时器到期之前不再次请求接入网络资源。

在一个实施例中，存储器610是计算机可读存储介质。在一些实施例中，存储器610包括易失性计算机存储介质。例如，存储器610可以包括RAM，RAM包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中，存储器610包括非易失性计算机存储介质。例如，存储器610可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中，存储器610包括易失性和非易失性计算机存储介质。

在一些实施例中，存储器610存储与接入被拒绝的网络资源有关的数据。例如，存储器610可以存储被回绝的服务资源的列表、被拒绝的网络资源的列表和不可用时间等。在某些实施例中，存储器610还存储程序代码和相关数据，诸如在远程单元105上运行的操作系统或其他控制器算法。

在一个实施例中，输入设备615可以包括任何已知的计算机输入设备，包括触摸面板、按钮、键盘、手写笔或麦克风等。在一些实施例中，输入设备615可以与输出设备620集成在一起，例如，作为触摸屏或类似的触敏显示器。在一些实施例中，输入设备615包括触摸屏，使得可以使用在触摸屏上显示的虚拟键盘和/或通过在触摸屏上的手写输入文本。在一些实施例中，输入设备615包括两个或更多个不同的设备，诸如键盘和触摸面板。

在一个实施例中，输出设备620被设计为输出视觉、听觉和/或触觉信号。在一些实施例中，输出设备620包括能够向用户输出视觉数据的电子可控制的显示器或显示设备。例如，输出设备620可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一个非限制性示例，输出设备620可以包括可穿戴显示器，该可穿戴显示器与网络设备装置600的其余部分分开并且通信地耦合，所述可穿戴显示器诸如智能手表、智能眼镜或平视显示器等。此外，输出设备620可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机或车辆仪表板等的组件。

在某些实施例中，输出设备620包括一个或多个用于产生声音的扬声器。例如，输出设备620可以产生听觉警报或通知(例如，蜂鸣声或提示音)。在一些实施例中，输出设备620包括一个或多个用于产生振动、运动或其他触觉反馈的触觉设备。在一些实施例中，输出设备620的全部或部分可以与输入设备615集成。例如，输入设备615和输出设备620可以形成触摸屏或类似的触敏显示器。在其他实施例中，输出设备620可以位于输入设备615附近。

收发器625包括至少发射器630和至少一个接收器635。如本文所述，一个或多个发射器630可以用于与UE通信，如在此所述。类似地，一个或多个接收器635可以用于与PLMN中的其他网络功能进行通信，如本文所述。尽管仅示出了一个发射器630和一个接收器635，但是网络设备装置600可以具有任何合适数量的发射器630和接收器635。此外，发射器625和接收器630可以是任何合适类型的发射器和接收器。

图7描绘了根据本公开的实施例的用于接入被拒绝的网络资源的方法700的一个实施例。在各种实施例中，方法700由如上所述的远程单元105、UE 205和/或用户设备装置500执行。在一些实施例中，方法700由诸如微控制器、微处理器、中央处理单元(CPU)、图形处理单元(GPU)、辅助处理单元或FPGA等的处理器执行。

方法700开始并接收705第一消息，该第一消息指示对移动通信网络中的网络资源的接入由于特定于网络资源的授权而被拒绝(例如，临时地)。这里，网络资源由以下中的至少一个识别：网络切片标识符(例如，S-NSSAI)和DNN。方法700包括监视710在发起用于建立对被拒绝的网络资源的接入的新请求之前要满足的条件。方法700包括响应于满足条件而向网络发起715信令以建立对被拒绝的网络资源的接入。方法700结束。

图8描绘了根据本公开的实施例的用于接入被拒绝的网络资源的方法800的一个实施例。在各种实施例中，方法800由如上所述的网络功能(诸如AMF133、AMF 210和/或网络设备装置600)执行。在一些实施例中，方法800由诸如微控制器、微处理器、中央处理单元(CPU)、图形处理单元(GPU)、辅助处理单元、FPGA等的处理器执行。

方法800开始并接收805(例如，从AAA服务器)指示移动通信网络中的服务资源的不可用的第一消息(例如，由于特定于网络资源的认证或授权而拒绝UE接入)。方法800包括确定810允许UE再次请求网络资源的条件，网络资源与服务资源相对应；以及向UE发送815第二消息，该第二消息指示响应于第一消息拒绝对网络资源的接入，并指示允许UE再次请求网络资源的条件。第二方法包括维护820被回绝的服务资源(例如，DNN和/或S-NSSAI)的列表。方法800结束。

根据本公开的实施例，本文公开了一种用于接入被拒绝的网络资源的第一装置。可以由诸如远程单元105、UE 205和/或用户设备装置500之类的UE来实现第一装置。第一装置包括处理器和收发器，该收发器接收第一消息，其指示对在移动通信网络中的网络资源的接入由于特定于网络资源的授权而被拒绝(例如，临时地)。在此，网络资源由以下中的至少一项识别：网络切片标识符(例如，S-NSSAI)和数据网络名称(“DNN”)。处理器监视在发起用于建立对被拒绝的网络资源的接入的新请求之前要满足的条件，并且响应于满足条件而向网络发起信令以建立对被拒绝的网络资源的接入。

在一些实施例中，第一消息包括指示拒绝对网络资源的接入的原因的起因值，其中该起因值指示由于以下中的一项而拒绝了对移动通信网络中的网络资源的接入：UE的失败的认证，撤销的授权以及不完整(例如，待定)的认证。

在一些实施例中，第一消息还指示在发起信令以建立对接入被拒绝的网络资源的接入之前要满足的条件。在一些实施例中，第一消息还包括要接入的允许的网络资源的空集。例如，在待定认证的情况下，UE可以接收切片标识符，例如S-NSSAI，的空列表，其中被拒绝的网络资源由切片标识符识别。

在一些实施例中，第一消息指示回绝向网络的注册。在这样的实施例中，拒绝接入所有请求的网络资源。这样的第一消息的一个示例是注销请求消息。在某些实施例中，要满足的条件可以包括从网络接收撤销被拒绝的网络资源的指示的第二消息或网络资源不可用计时器的到期，其中第一消息包含网络资源不可用计时器的值。

在一些实施例中，处理器维护被拒绝的网络资源标识(例如，S-NSSAI或参数[DNN，S-NSSAI])的列表。在这样的实施例中，在发生从集合选择的事件时，可以从被拒绝的网络资源标识的列表中删除条目，该集合包括：UE转换到注销状态、UE处的UICC移除、URSP策略更新、来自上层的触发以及网络资源不可用计时器到期。

本文公开了根据本公开的实施例的用于接入被拒绝的网络资源的第一方法。可以由诸如远程单元105、UE 205和/或用户设备装置500之类的UE来执行第一方法。第一方法包括在UE处接收第一消息，该第一消息指示对在移动通信网络中的网络资源的接入由于特定于网络资源的授权而被拒绝(例如，临时地)。在此，网络资源由以下中的至少一项识别：网络切片标识符(例如，S-NSSAI)和数据网络名称(“DNN”)。第一方法包括：监视在发起用于建立对被拒绝的网络资源的接入的新请求之前要满足的条件；以及响应于满足条件，向网络发起信令以建立对被拒绝的网络资源的接入。

在一些实施例中，第一消息包括指示拒绝接入网络资源的原因的起因值，其中该起因值指示由于以下中的一项而拒绝对移动通信网络中的网络资源的接入：UE的失败的认证、撤销的授权以及不完整(例如，待定)的认证。

在一些实施例中，第一消息还指示在发起信令以建立对接入被拒绝的网络资源的接入之前要满足的条件。在一些实施例中，第一消息还包括要被接入的允许的网络资源的空集。例如，在待定认证的情况下，UE可以接收切片标识符，例如S-NSSAI，的空列表，其中被拒绝的网络资源由切片标识符识别。

在一些实施例中，第一消息指示回绝向网络的注册。在这样的实施例中，拒绝接入所有请求的网络资源。这样的第一消息的一个示例是注销请求消息。在某些实施例中，要满足的条件可以包括从网络接收撤销被拒绝的网络资源的指示的第二消息或网络资源不可用计时器的到期，其中第一消息包含网络资源不可用计时器的值。

在一些实施例中，UE维护被拒绝的网络资源标识(例如，S-NSSAI或参数[DNN，S-NSSAI])的列表。在这样的实施例中，在发生从集合选择的事件时，可以从被拒绝的网络资源标识的列表中删除条目，该集合包括：UE转换到注销状态、UE处的UICC移除、URSP策略更新、从上层的触发以及网络资源不可用计时器到期。

本文公开了根据本公开的实施例的用于接入被拒绝的网络资源的第二装置。第二装置可以由诸如AMF133、AMF 210和/或网络设备装置600之类的网络功能来实现。第二装置包括处理器和收发器，所述收发器在网络功能处(例如，从AAA服务器)接收指示在移动通信网络中服务资源的不可用(例如，由于特定于网络资源的认证或授权而拒绝了UE接入)的第一消息。处理器确定允许UE再次请求网络资源的条件，网络资源与服务资源相对应，并向UE发送第二消息，该第二消息指示响应于第一消息拒绝对网络资源的接入并指示允许UE再次请求网络资源的条件。处理器还维护被回绝的服务资源(例如，DNN和/或S-NSSAI)的列表。

在一些实施例中，服务资源是S-NSSAI或数据网络名称(“DNN”)，其中允许UE请求服务资源的条件包括以下中的至少一项：从网络接收撤销被拒绝的网络资源的指示的第二消息和网络资源不可用计时器到期，其中第一消息包含网络资源不可用计时器的值。

在一些实施例中，收发器接收第三消息，该第三消息指示对服务资源的接入是可用的，并且向UE发送第四消息以启用对与该服务相关联的服务资源的接入。在这样的实施例中，网络功能响应于第三消息从维护列表中移除服务资源。

在一些实施例中，第一消息指示由于以下之一导致服务资源不可用：UE的失败的网络切片特定认证和授权(“NSSAA”)、UE的撤销的授权以及UE的不完整(例如，待定)的NSSAA。在一些实施例中，第一消息包括不允许来自UE的进一步接入请求的请求。在这样的实施例中，可以从以下中的至少一个接收第一消息：会话管理功能(例如，对于由于失败的辅助认证而导致的PDU会话拒绝的情况)和认证服务器功能(例如，AAA代理)。

在一些实施例中，处理器维护用于不可用服务资源的服务不可用计时器(例如，以便回绝来自UE的对该服务的进一步请求)。在这样的实施例中，第二消息可以向UE指示不可用计时器值，其中UE在不可用计时器到期之前将不再次请求接入网络资源。

本文公开了根据本公开的实施例的用于接入被拒绝的网络资源的第二方法。第二方法可以由诸如远程单元105、AMF 133、AMF 210和/或网络设备装置600之类的网络功能来执行。第二方法包括在网络功能处(例如，从AAA服务器)接收指示移动通信网络中服务资源不可用(例如，由于特定于网络资源的认证或授权而拒绝了UE接入)的第一消息。第二方法包括：确定允许UE再次请求网络资源的条件，该网络资源与服务资源相对应；以及，向UE发送第二消息，该第二消息指示响应于第一消息拒绝接入网络资源并且指示允许UE再次请求网络资源的条件。第二方法包括维护被回绝的服务资源(例如，DNN和/或S-NSSAI)的列表。

在一些实施例中，服务资源是S-NSSAI或数据网络名称(“DNN”)，其中允许UE请求服务资源的条件包括以下中的至少一项：从网络接收撤销被拒绝的网络资源的指示的第二消息和网络资源不可用计时器到期，其中第一消息包含网络资源不可用计时器的值。

在一些实施例中，该方法包括在网络功能处接收指示对服务资源的接入可用的第三消息，以及向UE发送第四消息以启用对与该服务相关联的服务资源的接入。在这样的实施例中，网络功能响应于第三消息从维护列表中移除服务资源。

在一些实施例中，第一消息指示由于以下之一导致服务资源不可用：UE的失败的网络切片特定认证和授权(“NSSAA”)、UE的撤销的授权以及UE的不完整(例如，待定)NSSAA。在一些实施例中，第一消息包括不允许来自UE的进一步接入请求的请求。在这样的实施例中，可以从以下中的至少一个接收第一消息：会话管理功能(例如，对于由于失败的辅助认证而导致的PDU会话回绝的情况)和认证服务器功能(例如，AAA代理)。

在一些实施例中，第二方法包括维护用于不可用服务资源的服务不可用计时器(例如，以便回绝来自UE的对该服务的进一步请求)。在这样的实施例中，第二消息可以向UE指示不可用计时器值，其中UE在不可用计时器到期之前将不再次请求接入网络资源。

实施例可以以其他特定形式来实践。所描述的实施例在所有方面仅应被认为是说明性的而非限制性的。因此，本发明的范围由所附权利要求书而不是前面的描述指示。落入权利要求的等同物的含义和范围内的所有改变均应包含在其范围之内。