协议数据单元会话鉴权认证方法、系统和相关设备技术方案

本公开提出一种协议数据单元会话鉴权认证方法、系统和相关设备，涉及通信领域。针对路由策略对应同一PDU会话的多个应用中的任意一个应用，用户设备向SMF网元发送PDU会话建立请求，携带PDU会话的标识、应用的标识和鉴权认证的触发信息；用户设备响应SMF网元基于触发信息发送的认证请求，携带应用的标识，返回认证响应，携带应用相应的用户信息，使得SMF网元转发认证响应给认证服务器；用户设备响应认证服务器基于认证响应发送的凭证请求，返回凭证响应，携带应用相应的用户信息相应的凭证，使得认证服务器验证凭证；用户设备接收凭证的验证结果，如果凭证验证通过，该应用的业务流能够被路由至PDU会话。实现覆盖全部应用的PDU会话鉴权认证。鉴权认证。鉴权认证。

【技术实现步骤摘要】
协议数据单元会话鉴权认证方法、系统和相关设备


[0001]本公开涉及通信领域，特别涉及一种协议数据单元(Protocol Data Unit，PDU)会话鉴权认证方法、系统和相关设备。

技术介绍

[0002]为了满足PDU会话时对用户鉴权认证的需求，相关技术引入了PDU会话鉴权认证流程。
[0003]基于应用的用户设备路由选择策略(user equipment routing selection policy,URSP)，为各个应用提供PDU会话等路由选择。
[0004]当URSP将不同应用路由选择至相同PDU会话时，若这些应用中的第一个应用实现PDU会话鉴权认证并新建PDU会话后，后续这些应用中的其他应用直接使用已有的PDU会话，不会发起基于应用的PDU会话鉴权认证流程。可见，PDU会话鉴权认证流程和URSP结合使用时，无法满足已有PDU会话对应用的鉴权认证需求，会出现例如应用标识被盗用的安全问题。

技术实现思路

[0005]本公开实施例通过在PDU会话鉴权认证过程中引入应用标识，基于应用相应的用户信息及其凭证本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种协议数据单元会话鉴权认证方法，其特征在于，包括：针对路由策略对应同一协议数据单元PDU会话的多个应用中的任意一个应用，用户设备向会话管理功能SMF网元发送PDU会话建立请求，其中携带所述PDU会话的标识、所述应用的标识和鉴权认证的触发信息；所述用户设备响应所述SMF网元基于所述触发信息发送的认证请求，其中携带所述应用的标识，向所述SMF网元返回认证响应，其中携带所述应用的标识和所述应用相应的用户信息，以使得所述SMF网元转发所述认证响应给认证服务器；所述用户设备响应所述认证服务器基于所述认证响应发送的凭证请求，其中携带所述应用的标识和所述应用相应的用户信息，向所述认证服务器返回凭证响应，其中携带所述应用的标识、所述应用相应的用户信息和所述应用相应的用户信息相应的凭证，以使得所述认证服务器验证所述凭证；所述用户设备接收所述认证服务器返回的所述凭证的验证结果，如果所述凭证验证通过，所述应用的业务流能够被路由至所述PDU会话。2.根据权利要求1所述的方法，其特征在于，具体包括：针对路由策略对应同一PDU会话的多个应用中的第一应用，用户设备根据所述路由策略确定需要为所述第一应用新建PDU会话，向SMF网元发送PDU会话建立请求，其中携带欲新建的所述PDU会话的标识、所述第一应用的标识和鉴权认证的触发信息；所述用户设备响应所述SMF网元基于所述触发信息发送的认证请求，其中携带所述第一应用的标识，向所述SMF网元返回认证响应，其中携带所述第一应用的标识和所述第一应用相应的第一用户信息，以使得所述SMF网元转发所述认证响应给认证服务器；所述用户设备响应所述认证服务器基于所述认证响应发送的凭证请求，其中携带所述第一应用的标识和所述第一应用相应的第一用户信息，向所述认证服务器返回凭证响应，其中携带所述第一应用相应的第一用户信息相应的第一凭证，以使得所述认证服务器验证所述第一凭证；所述用户设备接收所述认证服务器返回的所述第一凭证的验证结果，如果所述第一凭证验证通过，所述PDU会话建立成功，以便将所述第一应用的业务流路由至所述PDU会话。3.根据权利要求1所述的方法，其特征在于，具体包括：针对路由策略对应同一PDU会话的多个应用中的第二应用，用户设备根据所述路由策略为所述第二应用选择已建立的所述PDU会话，向SMF网元发送PDU会话建立请求，其中携带已建立的所述PDU会话的标识、所述第二应用的标识和鉴权认证的触发信息；所述用户设备响应所述SMF网元基于所述触发信息发送的认证请求，其中携带所述第二应用的标识，向所述SMF网元返回认证响应，其中携带所述第二应用的标识和所述第二应用相应的第二用户信息，以使得所述SMF网元转发所述认证响应给认证服务器；所述用户设备响应所述认证服务器基于所述认证响应发送的凭证请求，其中携带所述第二应用的标识和所述第二应用相应的第二用户信息，向所述认证服务器返回凭证响应，其中携带所述第二应用相应的第二用户信息相应的第二凭证，以使得所述认证服务器验证所述第二凭证；所述用户设备接收所述认证服务器返回的所述第二凭证的验证结果，如果所述第二凭证验证通过，以便将所述第二应用的业务流路由至所述PDU会话。
4.根据权利要求1所述的方法，其特征在于，所述认证服务器与所述应用对应，不同的应用对应不同的或相同的认证服务器。5.根据权利要求1所述的方法，其特征在于，所述PDU会话建立请求还携带网络切片信息。6.一种协议数据单元会话鉴权认证方法，其特征在于，包括：会话管理功能SMF网元接收用户设备针对路由策略对应同一协议数据单元PDU会话的多个应用中的任意一个应用发送的PDU会话建立请求，其中携带所述PDU会话的标识、所述应用的标识和鉴权认证的触发信息；所述SMF网元基于所述触发信息向所述用户设备发送认证请求，其中携带所述应用的标识，以请求所述应用相应的用户信息；所述SMF网元接收所述用户设备返回的认证响应，其中携带所述应用的标识和所述应用相应的用户信息，并转发所述认证响应给认证服务器；所述SMF网元将所述认证服务器基于所述认证响应发送的凭证请求转发给所述用户设备，凭证请求中携带所述应用的标识和所述应用相应的用户信息；所述SMF网元将所述用户设备返回的凭证响应转发给所述认证服务器，凭证响应中携带所述应用的标识、所述应用相应的用户信息、和所述应用相应的用户信息相应的凭证；所述SMF网元将所述认证服务器返回的所述凭证的验证结果转发给所述用户设备，在所述凭证验证通过的情况下，所述应用的业务流能够被路由至所述PDU会话。...

【专利技术属性】
技术研发人员：陈淑珍，陈平辉，黄海，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：