用于发起切片特定的认证和授权的通信网络组件和方法

技术领域

本公开涉及用于发起切片特定的认证和授权的通信网络组件和方法。

背景技术

在移动通信网络中，在已经实施移动终端的(主要)认证和授权之后，其中，验证是否允许移动终端接入通常包括无线电接入网络和核心网络两者的移动通信网络，可以实施切片特定的(次级)认证和授权。在该次级的认证和授权中，验证移动终端可以访问移动终端已经请求的核心网络的特定核心网络切片。当针对核心网络切片的切片特定的认证和授权已经成功时，可以将对该事实的指示作为移动终端的上下文的一部分存储在核心网络的网络实体之一中，使得例如在移动终端切换之后重新注册的情况下，不需要再次针对该核心网络切片执行切片特定的认证和授权。

然而，存在期望再次执行针对核心网络切片的切片特定的认证和授权的用例，即，即使当移动终端被成功认证和授权用于接入网络切片时，也执行针对核心网络切片的次级的重新认证和重新授权。

因此，期望允许更灵活地执行次级认证和授权，特别是次级重新认证和重新授权的方法。

发明内容

根据一个实施例，描述了一种移动通信网络组件，其包括：存储器，其被设定为存储指示是否要对移动终端执行切片特定的重新认证和重新授权的信息；确定器，其被设定为基于所存储的信息，确定是否要对移动终端执行切片特定的重新认证和重新授权；和控制器，其被设定为如果确定器确定要执行切片特定的重新认证和重新授权，则发起切片特定的重新认证和重新授权。

根据另一实施例，提供了一种移动通信网络组件，其包括：存储器，其被设定为存储指示是否要对移动终端执行切片特定的认证和授权的信息，其中该信息可以指定是否要对移动终端执行切片特定的认证和授权对位置和/或时间的依赖性；确定器，其被设定为基于所存储的信息，来确定是否要对移动终端执行切片特定的认证和授权；和控制器，其被设定为如果确定器确定要执行切片特定的认证和授权，则发起切片特定的认证和授权。

根据进一步的实施例，提供了用于根据以上移动通信网络组件来发起切片特定的(重新)认证和(重新)授权的方法。

附图说明

在附图中，相同的附图标记在不同的视图中通常指代相同的部分。附图不一定按比例绘制，而是通常将重点放在说明本发明的原理上。在以下描述中，参照以下附图描述各个方面，其中：

图1示出了移动通信系统。

图2示出了说明移动终端从通信网络(PLMN)的第一注册区域到第二注册区域的移动性的切换或注册的通信布置。

图3示出了说明根据实施例的注册过程的消息流程图。

图4说明了根据实施例的移动终端的订阅信息中包含的信息。

图5示出了说明在注册过程期间由AMF(接入和移动性管理功能)进行的UE(用户设备)订阅检索的消息流程图。

图6示出了说明在具有AMF重新分配的注册过程期间由AMF进行的UE订阅检索的消息流程图。

图7示出了根据实施例的移动通信网络组件。

图8示出了根据另一实施例的移动通信网络组件。

图9示出了说明用于发起切片特定的重新认证和重新授权的方法的流程图。

图10示出了说明用于发起切片特定的认证和授权的方法的流程图。

具体实施方式

以下详细描述涉及附图，这些附图通过图示的方式示出了可在其中实践本发明的本公开的具体细节和方面。在不脱离本发明的范围的情况下，可以利用其它方面，并且可以进行结构、逻辑和电的改变。本公开的各个方面不一定是互斥的，因为本公开的一些方面可以与本公开的一个或多个其他方面组合以形成新的方面。

下面描述对应于本公开的各方面的各种示例：

示例1是一种移动通信网络组件，其包括：存储器，其被设定为存储指示是否要对移动终端执行切片特定的重新认证和重新授权的信息；确定器，其被设定为基于所存储的信息，确定是否要对移动终端执行切片特定的重新认证和重新授权；和控制器，其被设定为如果确定器确定要执行切片特定的重新认证和重新授权，则发起切片特定的重新认证和重新授权。例如，该信息可以由移动通信网络(移动通信网络组件所属)的运营商或第三方来重新设定。

示例2是示例1的移动通信网络组件，其包括被设定为从数据库，具体地从统一数据管理请求信息的发送器。

示例3是示例2的移动通信网络组件，其中数据库存储包括该信息的订阅信息。

示例4是示例2或示例3的移动通信网络组件，其中，发送器被设定为请求移动终端的订阅信息，并从订阅信息中提取信息。

示例5是示例1至4中任一个的移动通信网络组件，其被设定为实现移动通信网络的网络功能。

示例6是示例5的移动通信网络组件，其由通信网络的服务器计算机来实现，具体地，由接入和移动性管理功能、或认证和授权服务器、或认证和授权服务器功能来实现。

示例7是示例1至6中任一个的移动通信网络组件，其中是否要对移动终端执行切片特定的重新认证和重新授权的信息指定是否要根据位置来对移动终端执行切片特定的重新认证和重新授权。

示例8是示例1至7中任一个的移动通信网络组件，其中，该信息包括要对移动终端执行切片特定的重新认证和重新授权的位置的列表，和/或不对移动终端执行切片特定的重新认证和重新授权的位置的列表。

示例9是示例1至8中任一个的移动通信网络组件，其中，确定器被设定为基于移动终端的位置来确定是否要对移动终端执行切片特定的重新认证和重新授权。为此，移动通信网络组件可以借助于位置报告服务来获得移动终端的位置。例如，移动通信网络组件可以订阅位置报告服务，以获得移动终端的位置。

示例10是示例1至9中任一个的移动通信网络组件，其中，是否要对移动终端执行切片特定的重新认证和重新授权的信息指定是否要根据移动终端的移动性事件是否已经发生，来对移动终端执行切片特定的重新认证和重新授权。

示例11是示例1至10中任一个的移动通信网络组件，其中，确定器被设定为基于移动终端的移动性事件是否已经发生，来确定是否要对移动终端执行切片特定的重新认证和重新授权。

示例12是示例10或11的移动通信网络组件，其中，移动性事件是移动终端与移动通信网络的重新注册或者每个周期性或移动性注册过程。

示例13是示例1至12中任一个的移动通信网络组件，其中，是否要对移动终端执行切片特定的重新认证和重新授权的信息指定是否要根据时间来对移动终端执行切片特定的重新认证和重新授权。

示例14是示例1至13中任一个的移动通信网络组件，其中，确定器被设定为基于时间来确定是否要对移动终端执行切片特定的重新认证和重新授权。

示例15是示例1至14中任一个的移动通信网络组件，其中，切片特定的重新认证和重新授权是移动终端关于接入由移动终端请求的切片的权限的认证和授权。

示例16是示例1至15中任一个的移动通信网络组件，其中，移动通信网络组件是移动通信网络的一部分，其中移动终端具有根据针对移动通信网络的核心网络切片的切片特定的认证和授权而被认证的状态，并且其中切片特定的重新认证和重新授权是针对核心网络切片的重新认证和重新授权。

示例17是示例1至16中任一个的移动通信网络组件，其中，移动通信网络组件包括发送器，并且发起切片特定的重新认证和重新授权包括通过发送器向认证和授权服务器发送执行切片特定的认证和授权的请求消息。

示例18是用于发起切片特定的重新认证和重新授权的方法，包括存储指示是否要对移动终端执行切片特定的重新认证和重新授权的信息，基于存储的信息确定是否要对移动终端执行切片特定的重新认证和重新授权；以及如果已经确定要执行切片特定的重新认证和重新授权，则发起切片特定的重新认证和重新授权。例如，该信息可以由移动通信网络(移动通信网络组件所属)的运营商或第三方来重新设定。

示例19是示例18的方法，其包括从数据库，具体地从统一数据管理请求信息。

示例20是示例19的方法，其中数据库存储包括该信息的订阅信息。

示例21是示例19或示例20的方法，包括请求移动终端的订阅信息，并从订阅信息中提取信息。

示例22是示例18至20中任一个的方法，由实现移动通信网络的网络功能的通信网络组件执行。

示例23是示例21的方法，其由通信网络的服务器计算机来执行，具体地，由接入和移动性管理功能、或认证和授权服务器、或认证和授权服务器功能来执行。

示例24是示例18至23中任一个的方法，其中，是否要对移动终端执行切片特定的重新认证和重新授权的信息指定是否要根据位置来对移动终端执行切片特定的重新认证和重新授权。

示例25是示例18至24中任一个的方法，其中，该信息包括要对移动终端执行切片特定的重新认证和重新授权的位置的列表，和/或不对移动终端执行切片特定的重新认证和重新授权的位置的列表。

示例26是示例16至25中任一个的方法，包括基于移动终端的位置来确定是否要对移动终端执行切片特定的重新认证和重新授权。为此，该方法可以包括通过位置报告服务获取移动终端的位置。例如，该方法可以包括订阅位置报告服务以获得移动终端的位置。

示例27是示例18至26中任一个的方法，其中，是否要对移动终端执行切片特定的重新认证和重新授权的信息指定是否要根据移动终端的移动性事件是否已经发生，来对移动终端执行切片特定的重新认证和重新授权。

示例28是示例18至27中任一个的方法，包括基于移动终端的移动性事件是否已经发生，来确定是否要对移动终端执行切片特定的重新认证和重新授权。

示例29是示例27或28的方法，其中，移动性事件是移动终端与移动通信网络的重新注册或者每个周期性或移动性注册过程。

示例30是示例18至29中任一个的方法，其中是否要对移动终端执行切片特定的重新认证和重新授权的信息指定是否要根据时间来对移动终端执行切片特定的重新认证和重新授权。

示例31是示例18至30中任一个的方法，包括基于时间来确定是否要对移动终端执行切片特定的重新认证和重新授权。

示例32是示例18至31中任一个的方法，其中，切片特定的重新认证和重新授权是移动终端关于接入由移动终端请求的切片的权限的认证和授权。

示例33是示例18至32中任一个的方法，由作为移动通信网络一部分的移动通信网络组件执行，其中移动终端具有根据针对移动通信网络的核心网络切片的切片特定的认证和授权而被认证的状态，并且其中切片特定的重新认证和重新授权是针对核心网络切片的重新认证和重新授权。

示例34是示例18至33中任一个的方法，其中发起切片特定的重新认证重新授权包括向认证和授权服务器发送执行切片特定的认证和授权的请求消息。

示例35是一种移动通信网络组件，其包括：存储器，被设定为存储指示是否要对移动终端执行切片特定的认证和授权的信息，其中该信息指定是否要对移动终端执行切片特定的认证和授权对位置和/或时间的依赖性；确定器，被设定为基于所存储的信息来确定是否要对移动终端执行切片特定的认证和授权；和控制器，被设定为如果确定器确定要执行切片特定的认证和授权，则发起切片特定的认证和授权。例如，该信息可以由移动通信网络(移动通信网络组件所属)的运营商或第三方来重新设定。

示例36是示例35的移动通信网络组件，其包括被设定为从数据库，具体地从统一数据管理请求信息的发送器。

示例37是示例36的移动通信网络组件，其中数据库存储包括该信息的订阅信息。

示例38是示例36或示例37的移动通信网络组件，其中，发送器被设定为请求移动终端的订阅信息，并从订阅信息中提取信息。

示例39是示例35至38中任一个的移动通信网络组件，其被设定为实现移动通信网络的网络功能。

示例40是示例39的移动通信网络组件，其由通信网络的服务器计算机来实现，具体地，由接入和移动性管理功能、或认证和授权服务器、或认证和授权服务器功能来实现。

示例41是示例35至40中任一个的移动通信网络组件，其中，该信息包括要对移动终端执行切片特定的认证和授权的位置的列表，和/或不对移动终端执行切片特定的认证和授权的位置的列表。

示例42是示例35至41中任一个的移动通信网络组件，其中，确定器被设定为基于移动终端的位置来确定是否要对移动终端执行切片特定的认证和授权。为此，移动通信网络组件可以通过位置报告服务来获得移动终端的位置。例如，移动通信网络组件可以订阅位置报告服务以获得移动终端的位置。

示例43是示例35至42中任一个的移动通信网络组件，其中，是否要对移动终端执行切片特定的认证和授权的信息指定是否要根据移动终端的移动性事件是否已经发生，来对移动终端执行切片特定的认证和授权。

示例44是示例35至43中任一个的移动通信网络组件，其中，确定器被设定为基于移动终端的移动性事件是否已经发生，来确定是否要对移动终端执行切片特定的认证和授权。

示例45是示例43或44的移动通信网络组件，其中，移动性事件是移动终端与移动通信网络的重新注册或者每个周期性或移动性注册过程。

示例46是示例35至45中任一个的移动通信网络组件，其中，确定器被设定为基于时间来确定是否要对移动终端执行切片特定的认证和授权。

示例47是示例35至46中任一个的移动通信网络组件，其中，切片特定的认证和授权是移动终端关于接入由移动终端请求的切片的权限的认证和授权。

示例48是示例35至47中任一个的移动通信网络组件，其中，移动通信网络组件包括发送器，并且发起切片特定的认证和授权包括通过发送器向认证和授权服务器发送执行切片特定的认证和授权的请求消息。

示例49是一种用于发起切片特定认证和授权的方法，包括：存储指示是否要对移动终端执行切片特定的认证和授权的信息，其中该信息指定是否要对移动终端执行切片特定的认证和授权对位置和/或时间的依赖性；基于所存储的信息来确定是否要对移动终端执行切片特定的认证和授权；以及如果确定器确定要执行切片特定的认证和授权，则发起切片特定的认证和授权。例如，该信息可以由移动通信网络(移动通信网络组件所属)的运营商或第三方来重新设定。

示例50是示例49的方法，其包括从数据库，具体地从统一数据管理请求信息。

示例51是示例50的方法，其中数据库存储包括该信息的订阅信息。

示例52是示例50或示例51的方法，包括请求移动终端的订阅信息，并从订阅信息中提取信息。

示例53是示例49至52中任一个的方法，由实现移动通信网络的网络功能的通信网络组件执行。

示例54是示例53的方法，其由通信网络的服务器计算机来执行，具体地，由接入和移动性管理功能、或认证和授权服务器、或认证和授权服务器功能来执行。

示例55是示例49至54中任一个的方法，其中，信息包括要对移动终端执行切片特定的认证和授权的位置的列表，和/或不对移动终端执行切片特定的认证和授权的位置的列表。

示例56是示例49至55中任一个的方法，包括基于移动终端的位置来确定是否要对移动终端执行切片特定的认证和授权。为此，该方法可以包括通过位置报告服务获取移动终端的位置。例如，该方法可以包括订阅位置报告服务以获得移动终端的位置。

示例57是示例49至56中任一个的方法，其中，是否要对移动终端执行切片特定的认证和授权的信息指定是否要根据移动终端的移动性事件是否已经发生，来对移动终端执行切片特定的认证和授权。

示例58是示例49至57中任一个的方法，包括基于移动终端的移动性事件是否已经发生，来确定是否要对移动终端执行切片特定的认证和授权。

示例59是示例57或58的方法，其中，移动性事件是移动终端与移动通信网络的重新注册或者每个周期性或移动性注册过程。

示例60是示例49至59中任一个的方法，包括基于时间来确定是否要对移动终端执行切片特定的认证和授权。

示例61是示例49至60中任一个的方法，其中，切片特定的认证和授权是移动终端关于接入由移动终端请求的切片的权限的认证和授权。

示例62是示例49至61中任一个的方法，其中发起切片特定的认证授权包括向认证和授权服务器发送执行切片特定的认证和授权的请求消息。

应当注意，上述示例中的任一个的一个或多个特征可以与其他示例中的任一个组合。

在下文中，将更详细地描述各种示例。

图1示出了移动通信系统100。

移动通信系统100包括诸如UE(用户设备)、纳米设备(NE)等的移动无线电终端设备102。移动无线电终端设备102，也被称为订户终端，形成终端侧，而下文描述的移动通信系统100的其它组件是移动通信网络侧的一部分，即移动通信网络(例如，公共陆地移动网络-PLMN)的一部分。

此外，移动通信系统100包括无线电接入网络103，其可以包括多个无线电接入网络节点，即被设定为根据5G(第五代)无线电接入技术(5G新无线电)提供无线电接入的基站。应当注意的是，移动通信系统100也可以根据LTE(长期演进)或Wi-Fi(无线电无线局域联网)或另一移动通信标准来设定，但这里以5G为例。每个无线电接入网络节点可以通过空中接口提供与移动无线电终端设备102的无线电通信。应当注意，无线电接入网络103可以包括任意数量的无线电接入网络节点。

移动通信系统100还包括核心网络，该核心网络包括连接到RAN 103的接入和移动性管理功能(AMF)101、统一数据管理(UDM)104和网络切片选择功能(NSSF)105。在此和在以下示例中，UDM还可以由实际UE的订阅数据库组成，该订阅数据库例如被称为UDR(统一数据储存库)。核心网络还包括AUSF(认证和授权服务器功能)114和PCF(策略控制功能)115。

移动通信系统100的核心网络还包括网络储存库功能116，(至少)AMF101连接到网络储存库功能116。

移动通信系统100还可以包括连接到(至少)NRF 116的O&M(操作和维护)系统117。O&M系统117可以例如对应于包括例如服务管理功能(SerMF)和网络切片管理功能(NSMF)的OSS/BSS系统(操作支持系统/业务支持系统)。

核心网络可以具有多个(核心)网络切片106、107，并且对于每个网络切片106、107，运营商可以创建多个网络切片实例(NSI)108、109。在该示例中，核心网络包括具有用于提供增强移动宽带(eMBB)的三个核心网络切片实例(CNI)108的第一核心网络切片106，和具有用于提供车与万物互联(V2X)的三个核心网络切片实例(CNI)109的第二核心网络切片107。

通常，当部署网络切片时，网络功能(NF)被实例化，或者(如果已经实例化)被引用以形成网络切片实例(NSI)，并且属于网络切片实例的网络功能被设定有网络切片实例标识。

具体地，在该示例中，第一核心网络切片106的每个实例108包括第一会话管理功能(SMF)110和第一用户平面功能(UPF)111，并且第二核心网络切片107的每个实例109包括第二会话管理功能(SMF)112和第二用户平面功能(UPF)113。

S-NSSAI(单网络切片选择辅助信息)标识网络切片，并且包括：

-切片/服务类型(SST)，其涉及在特征和服务方面的预期的网络切片行为；

-切片差分器(SD)，其是补充(一个或多个)切片/服务类型的可选信息，以在相同切片/服务类型的多个网络切片之间进行区分。

NSSAI可以包括一个或多个S-NSSAI。

允许的NSSAI是例如在注册过程期间由服务PLMN(公共陆地移动网络)提供的NSSAI，其指示由网络允许的用于当前注册区域的服务PLMN中的UE的S-NSSAI值。

设定的NSSAI是已经在UE中提供的NSSAI。它可以适用于一个或多个PLMN。

所请求的NSSAI是UE在注册期间提供给网络的NSSAI。

移动终端102的用户通常具有对特定通信网络的订阅，即与通信网络(例如，对应于通信系统100的网络侧，即没有UE 102的通信系统100)的运营商的合同。该通信网络是他的归属网络，例如HPLMN(归属公共陆地移动网络)。

当在他的归属网络的覆盖区域之外时，用户可以使用不同运营商的通信网络，例如当他/她在与他/她的归属国家不同的另一个国家中时，该通信网络则充当用户的访问网络。或者在国家内，他/她连接到与订阅的PLMN不同的另一个PLMN。

当正由通信网络服务或正驻留在通信网络上的移动终端离开通信网络的覆盖区域或通信网络的注册区域时，可以执行移动终端向另一通信网络或同一网络的另一注册区域的移动性的切换或注册(重选)。

图2示出了说明移动终端201从通信网络(PLMN)的第一注册区域202到第二注册区域的移动性的切换或注册的通信布置。

第一注册区域202由第一RAN 204操作，并且第二注册区域203由第二RAN 205操作。

RAN 204、205连接到相同的AMF 206。AMF连接到核心网络切片213的AAA(认证和授权、授权和计费)服务器207。

应当注意，这里的示例是针对同一PLMN的注册区域之间的移动性的切换或注册。然而，下文也可应用于不同PLMN之间的移动性的切换或注册。这意味着RAN 204、205可以是不同的PLMN。在这种情况下，可以存在可以共享移动终端的上下文的不同PLMN的两个AMF。

在切换的情况下，移动终端201最初具有经由第一RAN 204的通信会话。这意味着移动终端201具有经由第一RAN 204的通信会话。在切换之后，移动终端201经由第二RAN205继续通信会话。这意味着在切换之后，移动终端201具有经由第二RAN 205的通信会话，该通信会话继续经由第一RAN204的先前的通信会话。

在针对移动性的注册的情况下，UE 201处于空闲模式，并且在针对移动性的注册之前，UE 201驻留在第一RAN 204上，并且在针对移动性的注册之后，UE 201驻留在第二RAN205上。

作为示例，假设当移动终端201处于第一注册区域202中时开启移动终端201。

在208中，移动终端201经由第一RAN 204执行向AMF 206的注册过程。这包括从移动终端201向AMF 206发送注册请求和从AMF 206向移动终端201发送注册接受。此外，这包括移动终端201的认证和授权，其也被称为移动终端201的主要认证和授权。其可以包括检查移动终端201是否具有接入第一RAN 204和PLMN的核心网络的权限。

3GPP(第三代合作伙伴计划)版本16 5GS(第五代系统)引入了由PLMN(包括注册区域202、203)托管、或由与PLMN的运营商具有业务关系的第三方(企业)托管的AAA服务器207执行的网络切片特定的认证和授权的概念。

为简单起见，切片特定的认证和授权也被称为切片特定的认证、或次级认证和授权、或仅是次级认证(以将其与上述208的主要认证和授权区分开)。切片特定的认证和授权可以包括检查移动终端201是否有权接入PLMN的核心网络的某一切片。

可以在移动终端的订阅信息中指示是否要对移动终端执行切片特定的认证和授权。例如，AMF 206(例如，对应于AMF 101)可以从PLMN的UDM(例如，对应于UDM 104)检索移动终端的订阅信息。

例如，对于每个S-NSSAI，移动终端的订阅信息可以包含S-NSSAI是否经受网络切片特定的次级认证和授权的指示。

假设将对移动终端201执行切片特定的次级认证和授权，则AMF 206可以在209中向UE 201指示将执行切片特定的次级认证和授权。然后，AMF 206针对需要它的每个S-NSSAI(包括在UE的所请求的NSSAI中)发起网络切片特定的次级认证和授权过程。在图2的示例中，其中假设对于核心网络切片213需要次级认证和授权(即，假设核心网络切片213的S-NSSAI被包括在UE 201的所请求的NSSAI中)，AMF 206具体地请求UE 201针对核心网络切片213执行UE 201的次级认证和授权。例如，AMF 206经由包括S-NSSAI的NAS MM传输消息请求用于针对S-NSSAI的EAP认证和授权的UE用户ID(EAP ID)。之后，UE 201经由AMF 206向AAA服务器207发送EAP ID，并且在UE 201和AAA服务器207之间有消息交换。一旦完成了网络切片特定的认证和授权，AAA服务器207经由AMF 206向UE 201发送认证和授权成功或认证和授权失败消息。应当注意，图2是简化的信令流。事实上，在AMF 206和AAA服务器207之间可能存在一个或多个可能需要的其他网络实体，例如AUSF或AAA代理。

AMF 206可以向UE 201通知次级认证和授权。例如，其可以在注册过程结束时(在208中执行)，在其向UE 201发送的注册接受消息中向UE 201发送“未决的切片特定的次级认证和授权”的通知。响应于注册接受消息，UE发送注册完成消息，UE 201可以通知AMF 206其是否支持次级认证和授权的特征。可替代地，UE可以已经在注册请求消息208中指示其对次级认证和授权的支持。如果是这种情况，则AMF 206在向UE发送注册接受之后执行次级认证和授权(基于UE的订阅)。

在次级认证和授权之后，AMF 206向UE 201提供新的允许NSSAI，该新的允许NSSAI还包含经受了网络切片特定的次级认证和授权、并且次级认证和授权已经成功的S-NSSAI。

次级认证和授权不成功的S-NSSAI不包括在允许的NSSAI中，而是包括在被拒绝的S-NSSAI的列表中。

在执行网络切片特定的次级认证和授权之后，只要UE在PLMN中保持注册(例如，“RM-REGISTERED”)，AMF 206中的UE上下文就保留UE 201针对相关的特定S-NSSAI的认证和授权状态，使得AMF不需要在与PLMN的每个周期性或移动性注册过程中执行针对UE的网络切片特定的次级认证和授权。UE通常在PLMN中保持注册，除非它被关闭(最短时间段)。

总之，UE在UDM中的订阅存储了特定切片是否需要次级认证和授权的信息。AMF206从UDM检索该信息，并执行次级认证和授权，并将结果传送给UE。重新执行次级认证和授权是非必要的，因为AMF将认证和授权状态(即，存在成功的次级认证和授权)存储在UE上下文中。

假设在210中，UE 201移动到第二注册区域203。

在211中，UE 201经由第二RAN 205执行注册过程。

如上所述，AMF 206现在可以使用现存的UE认证和授权上下文，并且因此可以不需要重新认证UE 201。

然而，在一些情况下，可能期望在新注册区域(在该示例中为第二注册区域203)中的重新认证和重新授权。例如，这可能是因为PLMN的运营商和第三方(其例如运营AAA服务器207)之间的服务水平协议。这意味着将期望AMF 206在212中触发类似于209的次级重新认证和重新授权。

例如，第三方可能有一个业务模型，其中每个订阅者都有特定的策略机制，使得次级重新认证和重新授权是期望的，就像切片提供的服务应该只在特定位置对特定UE可用。例如，低资费订户应该只能接入某个位置(例如城镇)内的服务，并且如果他移出这个位置，UE应该被断开连接。因此，当移出该位置时，应当需要重新认证和重新授权。此外，第三方可能不希望向移动运营商公开其业务模型。因此，可能期望断开连接的原因对PLMN的运营商来说是透明的(不可见的)。

应当注意的是，AAA服务器207也可以触发网络切片特定的次级重新认证和重新授权过程，其中AAA服务器207通过请求触发AMF 206执行次级重新认证和重新授权。

然而，如上所述，可能期望根据位置(例如，当用户离开城镇时)执行次级重新认证和重新授权。由于AAA服务器207通常不知道UE的位置，因此它不能基于位置触发次级重新认证和重新授权。具体地，AAA服务器207通常不知道UE 201正在移出UE 201之前已经对其执行了次级认证和授权的注册区域。

鉴于上述情况，在下文中，描述当UE移动到另一个注册区域时，允许再次执行次级认证和授权的方法。例如，根据PLMN的运营商和第三方(例如企业)之间的SLA，可以再次执行次级认证和授权。

具体地，根据各种实施例，支持基于考虑UE移动到的UE的新位置的重新认证和重新授权，对于该新位置期望(或需要)次级认证和授权。换言之，提供了基于位置的次级重新认证和重新授权。通常，可以提供基于位置的次级认证和授权。

术语“次级认证授权”应理解为包括开启移动终端之后的“第一”次级认证授权(即，在AMF中没有移动终端的上下文的情况下)，以及次级重新认证和重新授权(即，在第一次级认证和授权已经被执行时，在AMF中具有移动终端的上下文的情况下)。在图2的上下文中，第一次级认证和授权对应于209，并且次级重新认证和重新授权对应于212。可能有多于一个次级重新认证和重新授权，例如当UE 201不断移动到新的注册区域时(或者还当它返回到先前访问过的注册区域时)。

图3示出了说明根据实施例的注册过程的消息流程图300。

消息流300发生在UE 301(例如对应于UE 201)、RAN 302(例如对应于第二RAN205)、AMF 303(例如对应于AMF 206)以及RAN 302和AMF303所属的PLMN的UDM 304之间。

UE 301可以重新定位到RAN 302的覆盖区域(例如，通过参照图2描述的移动性的切换或注册)。可替代地，该注册可以是开启UE 301之后的注册。

在305中，UE 301向RAN 302发送注册请求，RAN 302在306中将注册请求转发给AMF303(例如，在执行AMF选择之后)。在图2的示例中，AMF 206用于RAN 204、205，但是AMF 303也可以是与在移动性切换或注册之前处理UE 301的AMF不同的AMF。如果UE 301已经重新定位并且AMF 303与在重新定位之前处理UE的AMF不同，则AMF 303可以从在移动性切换或注册之前处理UE 301的AMF获得UE的上下文。

在307中，AMF 303执行UE 201的主要认证和授权。

之后，实施与UE 301的注册相关的各种操作，为简单起见，在此未全部描述。

具体地，它们包括在308中AMF 303从UDM 304请求UE的订阅简档，在309中UDM 304提供该订阅简档。

基于UE的订阅简档，在310中AMF 303确定是否要对UE 301执行次级认证和授权。

在与注册相关的所有操作(成功)完成之后，在311中AMF 303向UE 301发送注册接受消息，在312中UE 301用注册完成消息响应该消息。

如果AMF 303已确定要对UE 301执行次级认证和授权，则AMF 303可以在注册接受消息中指示有待决的次级认证和授权。

UE 301可以在注册请求消息中指示其是否支持次级认证和授权。

如果AMF 303已经确定要对UE 301执行次级认证和授权，并且UE 301支持次级认证和授权，则在313中AMF触发对UE 301的次级认证和授权。

应当注意的是，次级认证和授权可以是“第一”次级认证和授权，或者次级重新认证和重新授权。

根据各种实施例，对于310中的确定，AMF使用其在308和309中从UDM 304检索的扩展订阅信息。

图4说明了移动终端的订阅信息中包含的信息400。

该信息例如是在UDM 304中针对UE 301存储的订阅信息的一部分。

信息400可以被看作是次级认证和授权决策信息，并且在图4中以表格的形式表示。在图4的示例中，它包括用于三个网络切片切片#1、切片#2、切片#3的信息，但这仅是简单的示例，移动终端的次级认证和授权决策信息可以包括用于更多网络切片的信息。

第一列401指示作为UE(或其用户)已经订阅的网络切片的网络切片切片#1、切片#2、切片#3。

在第二列402中，对于每个切片，指示是否要对相应的切片实施切片特定的认证和授权(即，次级认证和授权)。

在第三列403中，对于每个切片，指示是否要对相应的切片实施切片特定的重新认证和重新授权(即，次级重新认证和重新授权)。

在第四列404中，对于每个切片，指示是否要实施切片特定的认证和授权(根据第二列402)，要对哪些位置实施切片特定的认证和授权。

应该注意的是，该上下文中的列402和404指的是第一切片特定的认证和授权，即它们指示是否要实施第一切片特定的认证和授权(针对某个位置)。

在第五列405中，对于每个切片，指示是否要实施切片特定的重新认证和重新授权(根据第三列403)，要对哪些位置或者在那种环境(或者事件)下实施切片特定的重新认证和重新授权。

第五列405的第三行中的条目包括示出的两个替代方案。这意味着该条目或者可以是，例如，“RA1”，即当UE进入注册区域编号1时将执行重新验证和重新授权，或者它可以是“每次注册更新”，即对UE的每次注册更新都要执行重新认证和重新授权。

应当注意的是，第二列402、第三列403、第四列404和第五列405的信息不需要全部存在。也可以只提供这些列的子集，例如仅第三列403、或仅第二列402和第四列404、或仅第三列403和第五列405。

如可以看到的，信息400可以具体地包括用于触发(或防止)切片特定的重新认证和重新授权和/或基于位置的切片特定的(重新)认证和(重新)授权的参数，即指示。

应当注意的是，除了具有多个参数(例如，以类似于第二列402和第三列403中的标志的形式)之外，还可以使用可以具有来自更大值范围的值的参数，例如根据以下各项的参数：

·参数值＝1，指示只需要一次次级身份验证和授权。如果AMF 303已经具有对次级认证和授权的指示，则不需要再次执行次级认证和授权。

·参数值＝2，指示每当UE 301移动到新的注册区域并且正在接入UE先前已经针对其认证和授权的相应切片时，就需要次级认证和授权。

可以看出，该参数组合了第二列302和第三列303，并且可以为组合图4所示的多个参数的参数定义进一步的值。

如参考图3所描述的，当AMF 306例如经由Nudm_SDM_Get检索UE的订阅简档时，用于触发(或防止)切片特定的重新认证和重新授权和/或基于位置的切片/基于事件的特定(重新)认证和(重新)授权的参数中的一个或多个参数可以在注册过程期间被传送给AMF306。

图5示出了消息流程图500，其说明了在注册过程期间由AMF进行的UE订阅检索。

在消息流中涉及例如对应于图3的AMF 303的AMF 501，和例如对应于图3的UDM304的UDM 502。

AMF可以是注册过程中的初始AMF，即，被初始分配用于服务要注册的UE的AMF。

在503中，AMF 501向UDM 502发送Nudm_SDM_Get请求消息。请求503包括接入和移动性订阅数据类型以及UE的SUPI(订阅隐藏标识符)。

在504中，UDM 502以Nudm_SDM_Get响应504进行响应。

在Nudm_SDM_Get响应504中，UDM 502提供：

·订阅的S-NSSAI(对应于图4的第一列401)

·对每个订阅的S-NSSAI的切片特定的认证和授权的指示(对应于图4的第二列402)

·可选地，要对其执行切片特定的认证和授权的TAI(跟踪区域标识)列表(对应于图4的第四列404)

·对每个订阅的S-NSSAI的切片特定的重新认证和重新授权的指示(对应于图4的第三列403)

·可选地，要对其执行切片特定的重新认证和重新授权的TAI(跟踪区域标识)列表(对应于图4的第五的列405)。

应当注意的是，上述参数并不是Nudm_SDM_Get响应504中包括的参数的详尽列表，可以有更多的参数。

应当注意的是，503和504可以对应于308和309。

图6示出了消息流程图600，其说明了在具有AMF重新分配的注册过程中由AMF进行的UE订阅检索。

在消息流中涉及例如对应于图3的AMF 303的AMF 601，和例如对应于图3的UDM304的UDM 602。

AMF可以是注册过程中的初始AMF，即，被初始分配用于服务要注册的UE的AMF。在该示例中，假设要执行AMF重新分配，即另一个AMF应该为UE服务。

在603中，AMF601向UDM 602发送Nudm_SDM_Get请求消息。Nudm_SDM_Get请求消息包括切片选择订阅数据类型以及UE的SUPI(订阅隐藏标识符)。

在604中，UDM 602以Nudm_SDM_Get响应604进行响应。

在Nudm_SDM_Get响应604中，UDM 602提供：

·订阅的S-NSSAI(对应于图4的第一列401)

·对每个订阅的S-NSSAI的切片特定的认证和授权的指示(对应于图4的第二列402)

·可选地，要对其执行切片特定的认证和授权的TAI(跟踪区域标识)列表(对应于图4的第四列404)

·对每个订阅的S-NSSAI的切片特定的重新认证和重新授权的指示(对应于图4的第三列403)

·可选地，要对其执行切片特定的重新认证和重新授权的TAI(跟踪区域标识)列表(对应于图4的第五列405)

应当注意的是，上述参数并不是Nudm_SDM_Get响应504中包含的参数的详尽列表，可以有更多的参数。

应当注意的是，603和604可以对应于308和309。

作为从UDM检索次级认证和授权决策信息的替代方案，AMF可以存储指示对于UE是否需要重新认证和重新授权的本地设定和/或运营商的策略(例如经由OAM(操作、监管和管理)提供)，并且如果需要，可以针对整个PLMN、或针对某一位置(某一注册区域或跟踪)、或针对某一环境/事件(例如，每次注册移动性更新)来设定。此外，次级认证和授权决策信息可以指示将基于移动性事件来执行次级认证和授权，而不是指示将针对特定位置或特定环境/事件来执行次级认证和授权。例如，对于针对UE执行的每个移动性或周期性注册更新过程，将针对某一切片执行重新认证和重新授权。

根据各种实施例，次级认证和授权可以由AUSF 114或AAA服务器207触发。为此，AUSF或AAA服务器可以订阅AMF中的位置报告事件，使得AUSF或AAA服务器可以根据在AUSF或AAA服务器处可用的本地设定和/或策略来决定是否需要重新认证和重新授权。

AUSF或AAA服务器可以具有指示是否需要重新认证和重新授权的本地设定和/或运营商策略，并且如果需要，其可被设定为何时触发切片特定的(重新)认证和(重新)授权，例如，一天一次。

在一个实施例中，AAA服务器(被认为是应用功能AF)发送订阅NEF(网络暴露功能)中的事件的请求，NEF则进一步经由UDM订阅AMF中的UE的位置报告事件。通过这样做，AAA服务器可以经由UDM从AMF获得UE的位置信息，并且因此可以根据AAA服务器处可用的本地设定和/或策略来决定是否触发切片特定的重新认证和重新授权。

第三方(例如企业)可以请求运营商改变次级认证和授权决策信息，例如基于位置的切片特定(重新)认证和(重新)授权的设置，或者例如包括执行重新认证和重新授权的(一个或多个)位置的对重新认证和重新授权的指示。例如，第三方可以通过使用Nnef_ParameterProvision服务操作或使用OAM来这么做。

总之，根据各种实施例，提供了如图7和图8所示的通信网络组件。

图7示出了根据实施例的移动通信网络组件700。

移动通信网络组件700包括存储器701，其被设定为存储指示是否要对移动终端执行切片特定的重新认证和重新授权的信息。

移动通信网络组件700还包括确定器702，其被设定为基于存储的信息确定是否要对移动终端执行切片特定的重新认证和重新授权。

此外，移动通信网络组件700包括控制器703，其被设定为如果确定器确定要执行切片特定的重新认证和重新授权，则发起切片特定的重新认证和重新授权。

根据各种实施例，换言之，存储指示是否要对移动终端执行切片特定的重新认证和重新授权的信息(其可以或可以不依赖于位置和/或环境和/或时间)。

图8示出了根据另一实施例的移动通信网络组件800。

移动通信网络组件800包括存储器801，存储器801被设定为存储指示是否要对移动终端执行切片特定的认证和授权的信息，其中该信息指定是否要对移动终端执行切片特定的认证和授权对位置和/或环境和/或时间的依赖性。

移动通信网络组件800还包括确定器802，其被设定为根据存储的信息确定是否要对移动终端执行切片特定的认证和授权。

此外，移动通信网络组件800包括控制器803，其被设定为如果确定器确定要执行切片特定的认证和授权，则发起切片特定的认证和授权。

根据各种实施例，换言之，可以存储是否要对移动终端执行切片特定的认证和授权的信息，其中是否要执行切片特定的认证和授权是位置和/或时间相关的。基于位置和/或环境和/或时间相关的准则来确定是否进行切片特定的认证和授权。

通信网络组件700、800(例如，PLMN组件)可以例如是AMF，但也可以是AAA服务器、AUSF等。该指示可以例如由UDM存储，以供通信网络组件700、800检索。

应当注意的是，图7涉及次级重新认证和重新授权，而图8大体上涉及次级认证和授权(其可以是第一次级认证和授权或重新认证和重新授权)。为了指示(或强调)旨在包括第一次级认证和授权以及重新认证和重新授权两者，本文也使用术语“(重新)认证和(重新)授权”。

所存储的并用作是否执行图7和8的次级(重新)认证和(重新)授权的基础的信息可以被看作次级认证和授权决策信息(或次级认证和授权准则信息、次级认证和授权确定信息或次级认证和授权控制信息)。次级认证和授权决策信息不一定要永久存储在通信网络组件中，而是也可以在需要时检索(例如，从存储在UDM中的订阅简档中)并临时存储在通信网络组件中以执行该决策，即确定是否发起次级(重新)认证和(重新)授权。

应当注意的是，可以组合图7和图8的方法，即可以考虑与(第一)次级认证和授权有关的次级认证和授权决策信息，并且(另外)可以考虑与次级重新认证和重新授权有关的次级认证和授权决策信息，其中，与(第一)次级认证和授权(即，一般次级认证和授权)有关的次级认证和授权决策信息表示是否要执行次级认证和授权的位置和/或时间依赖性。

具体地，描述了通过考虑UE的位置和/或环境(或事件)和/或由UE的位置改变而触发的切片特定的重新认证和重新授权，例如，通过考虑运营商和第三方之间的SLA，来执行切片特定的认证和授权的方法，其也可以考虑UE的位置或时间。这为运营商和第三方提供了更大的灵活性，以设定在其网络中的何处需要切片特定的重新认证和重新授权。例如，运营商或第三方可以通过相应地改变(例如AMF或AAA服务器的)订阅信息或本地设定，来设置次级认证和授权决策信息(例如，以设定在其网络中的何处需要切片特定的(重新)认证和(重新)授权)。

通信网络组件700例如实施如图9所示的方法。

图9示出了说明用于发起切片特定的重新认证和重新授权的方法的流程图900。

在901中，存储指示是否要对移动终端执行切片特定的重新认证和重新授权的信息。

在902中，基于所存储的信息，确定是否要对移动终端执行切片特定的重新认证和重新授权。

在903中，如果已经确定要执行切片特定的重新认证和重新授权，则发起切片特定的重新认证和重新授权。

通信网络组件800例如实施如图10所示的方法。

图10示出了说明用于发起切片特定的认证和授权的方法的流程图100。

在1001中，存储指示是否要对移动终端执行切片特定的认证和授权的信息，其中该信息指定是否要对移动终端执行切片特定的认证和授权对位置和/或环境(事件)和/或时间的依赖性。

在1002中，基于所存储的信息，确定是否要对移动终端执行切片特定的认证和授权。

在1003中，如果已经确定要执行切片特定的认证和授权，则发起切片特定的认证和授权。

移动通信网络组件的部分(具体地是相应的存储器、相应的确定器和相应的控制器)可以例如由一个或多个电路来实现。“电路”可以被理解为任何种类的逻辑实现实体，其可以是执行存储在存储器、固件或其任意组合中的软件的专用电路或处理器。因此，“电路”可以是硬连线逻辑电路或可编程逻辑电路，例如可编程处理器，例如微处理器。“电路”也可以是执行软件(例如任何种类的计算机程序)的处理器。上述各个功能的任何其它种类的实现也可以被理解为“电路”。

根据各种实施例，提供了一种用于通信网络以通过AAA服务器执行切片特定的认证和授权的方法，其中该方法包括：

·UE请求接入一个或多个网络切片，

·(第一)网络功能(NF)存储UE订阅简档，其中UE的订阅简档包括：

oUE具有订阅的订阅网络切片列表；和

o对要执行的切片特定的认证和授权的指示；和

·NF(与第一NF或第二NF相同的NF)存储设定或策略，其包括(或订阅简档进一步包括)：

o需要切片特定的认证和授权的位置的列表(例如TA列表)；和/或

o要对每个注册过程执行切片特定的重新认证和重新授权的指示；和/或

o要执行切片特定的重新认证和重新授权的指示；和/或

o需要切片特定的重新认证和重新授权的位置的列表(例如，TAI列表)。

·NF(与第一NF或第二NF或第三NF相同的NF)基于UE订阅简档和/或设定和/或策略触发切片特定的认证和授权、或切片特定的(重新)认证和(重新)授权。

是否执行次级(重新)认证和(重新)授权的指示可以用不同的值编码，以允许执行切片特定的认证和授权的不同变型，例如，是否只执行一次、或每当UE由于UE位置的改变而发送注册请求时始终执行、或通过考虑对于UE的位置是否需要切片特定的(重新)认证和(重新)授权来执行次级(重新)认证和(重新)授权。

虽然已经描述了具体方面，但是本领域技术人员应当理解，在不脱离由所附权利要求限定的本公开的各方面的精神和范围的情况下，可以在形式和细节上进行各种改变。因此，该范围由所附权利要求书指示，并且因此旨在涵盖落入权利要求的等同的意义和范围内的所有改变。