一种接入控制方法及装置与流程

1.本技术涉及无线通信领域，尤其涉及一种接入控制方法及装置。


背景技术：

2.用户设备(user equipment，ue)的注册可以包括以下流程：ue通过无线接入网络(radio access network，an)发送注册请求至接入与移动性管理功能网元(access and mobility management function，amf)，amf根据ue标识确定相应的统一数据管理(unified data management，udm)，并向其请求获取ue的签约数据，udm收到该请求后可以向统一数据仓库(unified data repository，udr)获取ue实际签约数据。此外，amf还可以向策略控制功能(policy control function，pcf)发起用户策略控制建立请求(uepolicycontrol_create)及接入管理策略控制建立请求(ampolicycontrol_create)，分别用于获取ue策略及接入控制策略。pcf在该过程中返回接入控制策略至amf，并经由amf向ue提供ue策略。
3.ue在注册完成后，可以请求建立分组数据单元(packet data unit，pdu)会话。pdu会话建立可以包括以下流程：ue通过ran向amf发送会话建立请求；amf为该会话选择smf为其提供服务，保存smf与pdu会话的对应关系，并将会话建立请求发送至会话管理功能(session management function，smf)；smf为ue选择相应的用户面功能(user plane function，upf)并建立用户面传输路径，并为建立的传输路径分配ip地址。在此过程中，smf还将向pcf发起策略控制会话建立请求，用于在smf和pcf间建立策略控制会话，在策略控制会话建立过程中，smf将保存策略控制会话与pdu会话间的对应关系。此外，应用功能网元(application function，af)还可与pcf间建立af会话，由pcf对af会话与策略控制会话进行绑定。
4.在pdu会话建立流程中，运营商可以以数据网络名称(data network name，dnn)/单个切片选择辅助信息(single-network slice selection assistance information，s-nssai)为粒度配置二次鉴权指示。然而，目前针对二次鉴权的技术方案还有待完善。


技术实现要素：

5.本技术提供一种接入控制方法及装置，用于解决终端接入园区dn失败则无法接续接入公网dn的问题。
6.第一方面，本技术提供一种接入控制方法，包括：会话管理功能网元smf接收终端发送的会话建立请求，所述smf根据所述请求确定向园区服务器发送鉴权请求；所述smf接收所述园区服务器发送的鉴权失败响应消息；在所述smf确定接受所述会话建立请求时，所述smf向策略控制功能网元pcf发送策略关联建立请求，并接收所述pcf发送的策略关联建立响应；所述smf根据所述策略关联建立响应中的非所述园区策略规则为所述终端的会话进行执行策略执行规则；所述smf向所述终端发送会话建立响应消息。
7.在一种可能的实现方式中，在smf接收鉴权服务器发送的鉴权失败响应消息之前，所述方法还包括：所述smf从统一数据管理网元udm获取所述终端设备的签约信息，所述签
约信息中包括错误处理指示信息，用于指示当所述终端鉴权失败时仍接受所述终端的会话建立请求；所述smf确定接受所述会话建立请求，包括：所述smf根据所述错误处理指示信息确定接受所述会话建立请求。
8.在一种可能的实现方式中，所述smf确定接受所述会话建立请求，包括：所述smf根据本地预配置信息确定接受所述会话建立请求。
9.在一种可能的实现方式中，所述策略关联建立请求中包括用于指示所述终端接入所述园区数据网络dn失败的指示信息，以使所述pcf发送的策略关联响应中不发送包括所述园区dn的策略信息规则。
10.在一种可能的实现方式中，所述策略关联建立响应中包括园区dn的策略信息规则；所述方法还包括：所述smf不执行所述园区dn的策略规则；所述smf向所述pcf发送园区dn策略规则执行失败的指示信息。
11.在一种可能的实现方式中，所述smf根据所述请求确定向园区服务器发送鉴权请求，包括：所述smf根据所述终端的位置信息、所述终端的签约信息或所述smf本地配置信息，确定向园区服务器发送鉴权请求：
12.第二方面，本技术提供一种接入控制方法，包括：策略控制功能网元pcf接收终端接入园区数据网络dn鉴权失败的指示信息；所述pcf根据所述指示信息向smf发送策略关联消息，所述策略关联消息中包括非所述园区dn策略规则，不包括所述园区dn的策略规则。
13.在一种可能的实现方式中，所述pcf接收终端接入园区dn鉴权失败的指示信息，包括：所述pcf接收会话管理功能网元smf发送的策略关联建立请求，所述策略关联建立请求中包括终端接入园区dn鉴权失败的指示信息；所述策略关联消息为所述策略关联建立请求的响应消息。
14.在一种可能的实现方式中，所述pcf接收终端接入园区dn鉴权失败的指示信息，包括：所述pcf接收园区服务器发送的策略授权请求消息，所述策略授权请求消息中包括终端接入园区dn鉴权失败的指示信息；所述策略关联消息为所述pcf向smf发送策略关联更新消息，以指示所述终端更新后的会话策略规则包括所述公网dn策略规则，不包括所述园区dn策略规则。
15.第三方面，本技术提供一种接入控制方法，包括：园区服务器接收来自会话管理功能网元smf发送的鉴权请求，所述鉴权请求中包括请求接入所述园区数据网络dn的终端的标识；所述园区服务器确定拒绝所述终端接入所述园区dn；所述园区服务器向所述smf发送鉴权响应，所述鉴权响应用于指示鉴权成功但拒绝所述终端接入所述园区dn。
16.在一种可能的实现方式中，所述鉴权响应中包括授权文件索引信息，以使所述smf将所述授权文件索引信息发送给策略控制功能网元pcf，所述授权文件索引信息用于指示拒绝所述终端接入所述园区dn。
17.第四方面，本技术提供一种通信装置，所述装置包括执行上述第一方面至第三方面以及任意一种可能实现方式的方法的模块/单元；这些模块/单元可以通过硬件实现，也可以通过硬件执行相应的软件实现。
18.第五方面，本技术实施例提供一种通信装置，包括：处理器，以及分别与所述处理器耦合的存储器和通信接口；所述通信接口，用于与其他设备进行通信；所述处理器，用于运行所述存储器内的指令或程序，通过所述通信接口执行如第一方面至第三方面以及任意
一种可能实现方式所述的接入控制方法。
19.第六方面，本技术实施例中提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可读指令，当所述计算机可读指令在计算机上运行时，使得如第一方面至第三方面以及任一种可能实现方式所述的方法被执行。
20.第七方面，本技术实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得如第一方面至第三方面及任一种可能的实现方式所述的方法被执行。
附图说明
21.图1为本技术实施例所能够适用的网络架构示意图；
22.图2为本技术实施例提供的二次鉴权流程示意图；
23.图3为本技术实施例提供的upf ul cl的分流架构示意图；
24.图4为本技术实施例提供的一种接入控制方法的流程示意图；
25.图5为本技术实施例提供的一种接入控制方法的流程示意图；
26.图6为本技术实施例提供的一种接入控制方法的流程示意图；
27.图7为本技术实施例提供的一种接入控制方法的流程示意图；
28.图8为本技术实施例提供的一种接入控制方法的流程示意图；
29.图9为本技术实施例提供的一种通信装置结构示意图；
30.图10为本技术实施例提供另一种通信装置结构示意图。
具体实施方式
31.本技术实施例提供的接入控制方法可以应用于无线通信系统中，例如5g通信系统或未来的通信系统。图1示例性的提供了一种本技术实施例所适用的无线通信系统架构示意图，该系统架构可以包括以下单元或设备：
32.终端设备，也可以称为终端、用户设备(user equipment，ue)、移动台、移动终端等。终端设备可以广泛应用于各种场景，例如，设备到设备(device-to-device，d2d)、车物(vehicle to everything，v2x)通信、机器类通信(machine-type communication，mtc)、物联网(internet of things，iot)、虚拟现实、增强现实、工业控制、自动驾驶、远程医疗、智能电网、智能家具、智能办公、智能穿戴、智能交通、智慧城市等。终端设备可以是手机、平板电脑、带无线收发功能的电脑、可穿戴设备、车辆、无人机、直升机、飞机、轮船、机器人、机械臂、智能家居设备等。本技术的实施例对终端设备所采用的具体技术和具体设备形态不做限定。
33.ran，用于实现无线有关的功能。无线接入网又可称为接入网设备或基站，用于将终端设备接入到无线网络。所述无线接入网可以是基站(base station)、lte系统或演进的lte系统(lte-advanced，lte-a)中的演进型基站(evolved nodeb，enodeb)、5g通信系统中的下一代基站(next generation nodeb，gnb)、发送接收点(transmission reception point，trp)、基带单元(base band unit，bbu)、wifi接入点(access point，ap)、未来移动通信系统中的基站或wifi系统中的接入节点等。无线接入网也可以是完成基站部分功能的模块或单元，例如，可以是集中式单元(central unit，cu)，或者分布式单元(distributed unit，du)。本技术实施例对无线接入网所采用的具体技术和具体设备形态不作限定。例如，
在一种网络结构中，无线接入网可以为cu节点、或du节点、或为包括cu节点和du节点的无线接入网。具体的，cu节点用于支持无线资源控制(radio resource control，rrc)、分组数据汇聚协议(packet data convergence protocol，pdcp)、业务数据适配协议(service data adaptation protocol，sdap)等协议；du节点用于支持无线链路控制(radio link control，rlc)层协议、媒体接入控制(medium access control，mac)层协议和物理层协议。
34.核心网可包括以下网元中的一个或多个：接入与移动性管理功能(access and mobility management function，amf)网元、会话管理功能网元(session management function，smf)网元、用户面功能(user plane function，upf)网元、应用功能(application function，af)网元、策略控制功能(policy control function，pcf)网元、统一数据管理(unified data management，udm)网元。需要说明的是，5g网络中包括并不限于以上提到的一个或多个网元。
35.amf：主要用于移动网络中的终端的附着和移动性管理，此外，还负责在ue与pcf间传递用户策略。
36.smf：主要用于移动网络中的会话管理，如会话建立、修改、释放；pcf下发控制策略的执行；选择提供报文转发功能的upf；为终端分配互联网协议(internet protocol，ip)地址等。
37.upf：主要负责对用户报文进行处理，如转发、计费、合法监听等。用户面网元也可以称为pdu会话锚点(pdu session anchor，psa)。
38.af：主要用于传递应用侧对网络侧的需求，例如，qos需求、计费策略需求、路由策略需求、用户状态事件订阅等。af可以是第三方功能实体，也可以是运营商部署的应用服务，如ims语音呼叫业务。对于第三方应用的应用功能实体，其与核心网进行交互时还可经由nef进行授权处理，例如af直接向nef发送请求消息，nef判断该af是否被允许发送该请求消息，若验证通过，则将转发该请求消息至对应pcf或udm。
39.pcf：主要负责针对会话、业务流级别进行计费、qos带宽保障及移动性管理、ue策略决策等策略控制功能。amf、smf所连接的pcf分别对应am pcf(pcf for access and mobility control)和sm pcf(pcf for session management)，在实际部署场景中，am pcf与sm pcf可以相同的pcf实体，也可以是不同的pcf实体。
40.udm：主要负责管理签约数据、用户接入授权等功能。
41.udr：统一数据仓库。主要负责签约数据、策略数据、应用数据等类型数据的存取功能。
42.dn：为终端提供数据传输服务，可以是公用数据网(public data network，pdn)网络，如因特网(internet)等，也可以是本地接入数据网络(local access data network，ladn)，如园区dn等。
43.以上“网元”也可以称为“实体”或“装置”，本技术并不做限制。在实际部署中，网元可以合设，当两个网元合设的时候，本技术实施例提供的这两个网元之间的交互就成为该合设网元的内部操作或者可以省略。
44.应当理解，图1以5g通信系统为例，示例性的提供了本技术实施例所能够适用的网络架构，实际应用的网络架构可以包括比图1所示更多或更少的网元。或者，本技术实施例也可以应用为未来的通信系统中。
45.pdu会话，是ue与dn之间实现pdu连通性的会话服务，由pdu会话id标识。当终端设备请求建立pdu会话时，运营商可以以dnn/s-nssai为粒度配置二次鉴权指示，用于触发smf在pdu会话建立过程中向数据网络认证、授权、计费服务器(dn-authentication、authorization、accounting，dn-aaa)发起鉴权流程，以验证是否允许ue接入该dnn/s-nssai。
46.具体的，二次鉴权的过程可以如图2所示，包括以下流程：
47.1、smf在接收到ue发送的pdu会话建立请求后，smf与upf之间执行会话建立(session establishment)流程。
48.2、smf根据本地配置信息或者udm发送的签约指示信息确定触发二次鉴权，通过upf向dn-aaa发送认证授权请求(authentication/authorization request)。
49.在二次鉴权过程中，dn需要经由upf、smf与ue之间进行可扩展的身份验证协议(extensible authentication protocol，eap)消息的交互，以获取二次鉴权所需信息。具体可以包括：
50.3a、dn-aaa通过upf向smf发送认证授权响应(authentication/authorization response)。
51.3b、smf与amf进行电文传输，以指示amf向ue指示上传二次鉴权所需信息。
52.3c、amf通过ran向ue发送认证消息(authentication message)。
53.3d、ue通过ran向amf回复认证消息，该认证消息中包含有二次鉴权所需的信息。
54.3e、amf向smf发送pdu会话上下文更新(pdusession_updatesmcontext)消息。
55.3f、smf通过upf向dn-aaa发送认证授权请求。
56.4、dn-aaa通过upf向smf返回认证授权响应，包含有认证通过或认证失败的指示信息。
57.5、若认证通过，则smf继续执行pdu会话建立流程。
58.6、可选的，smf通过upf向dn-aaa发送ip地址通知。
59.若dn-aaa返回认证授权响应指示认证失败，则smf将发送pdu会话建立失败消息至ue。
60.为了降低业务接入的时延，运营商可以在应用接入点附近部署upf，以使得用户可以就近接入应用服务。如图3所示，upf上行分类器(uplink classifier，ul cl)将本地业务(如园区内部使用的业务，或服务商部署的下沉业务)与正常的业务区分开来，并分别通过主锚点upf(upf pdu session anchors 1)、辅锚点upf(upf pdu session anchors 2)，送达给中心dn或园区dn。基于ul cl的分流方式，对于使用网络的用户而言，较大幅度提升了便捷性。在上述分流过程中，ue并不会有所感知，由smf基于ue所在位置、当前所发起的业务类型、园区业务匹配信息等确定是否接入园区dn。
61.终端接入园区dn可能需要执行二次鉴权流程。然而，目前的针对一个终端的二次鉴权流程仅被允许执行一次，这就使得终端在被拒绝接入园区dn时，则无法继续发起公网业务。例如，运营商对于校园网注册终端，可以通过上述ul cl upf架构允许终端在接入校园网的同时接入公网业务；smf在接收到终端a的会话建立请求后，可以基于终端a的位置信息、终端a的签约信息，或是本地配置信息等确定向校园网的鉴权服务器发起二次鉴权，若终端a并没有在校园网注册，或者由于其他原因导致终端a在校园网鉴权失败，将导致其被
拒绝接入校园网。但由于针对一个终端的二次鉴权流程仅被允许执行一次，因此，终端a所发起的pdu会话建立请求被拒绝后，也无法继续发起公网业务。
62.有鉴于此，本技术实施例提供一种接入控制方法，应用于二次鉴权过程中，以解决终端接入园区dn失败则无法接续接入公网dn的问题。
63.该方法可以应用于图1、图3所示的网络架构中，但本技术实施例并不限定与仅适用于5g通信系统中，本技术实施例还可以应用于4g通信系统或未来的通信系统。下面以5g通信系统进行举例说明。
64.参见图4，为本技术实施例提供的接入控制方法的流程示意图，如图所示，该方法可以包括以下步骤：
65.步骤401、smf接收来自终端发送的会话建立请求。
66.具体的，终端可以向amf发送会话建立请求，由amf选择smf，然后将终端的会话建立请求发送给smf。终端发送的会话建立请求可以为pdu会话建立请求，用于建立pdu会话。请求建立的pdu会话可以包括基于ip的pdu会话(例如ipv4、ipv6等)，也可以是以太类型的pdu会话，即用户地址对应的是mac地址，本发明对此不作限定。
67.终端发送的会话建立请求中，可能包含有其请求接入网的dnn或s-nssai的标识，那么smf可以根据会话建立请求中包含的dnn标识确定终端请求接入的dn。或者，终端发送的会话建立请求中，也可以不包含有dnn，即终端无需确定请求接入的dn，由smf确定。
68.smf在接收到会话建立请求之后，还可以向udm请求获取终端的签约数据。可选的，该签约数据中可以包含有需要对终端进行二次鉴权的指示信息，那么smf确定为终端发起二次鉴权。或者，smf也可以根据本地配置信息确定需要发起二次鉴权。
69.步骤402、smf根据会话建立请求确定向园区服务器发送鉴权请求。
70.所述园区服务器是用于对用户接入请求进行鉴权/授权的服务器，可以基于用户身份标识和/或认证信息决策允许或拒绝用户所发起的接入请求，即返回鉴权成功/失败响应至smf。
71.这里的园区服务器可以是园区dn-aaa。园区服务器可能在园区内部署，也可与运营商网络集中部署，本发明对此不做限定。
72.可选的，当smf接收到的会话建立请求中包含有dnn标识时，smf可以向dnn标识对应的园区服务器发送鉴权请求，即该dnn为园区业务所对应的dnn。当smf接收到的会话建立请求中不包含有dnn标识时，那么smf可以根据终端的位置信息、终端的签约信息或者根据smf本地配置信息确定终端请求接入园区dn，则向该园区dn对应的园区服务器发送鉴权请求；或者，smf也可以根据终端请求建立会话的业务信息，确定终端请求为园区业务建立会话，则smf也可以确定向园区服务器发送鉴权请求。
73.又或者，即使会话建立请求中包含的为公网dn的标识，smf也可以根据终端的位置信息、终端的签约信息、smf本地配置信息或会话请求的业务信息，确定向园区服务器发送鉴权请求。
74.具体的，smf向园区服务器发送鉴权请求时，可以通过upf转发，即smf将鉴权请求发送给upf，由upf将鉴权请求转发至相应的园区服务器。
75.步骤403、园区服务器确定终端是否被允许接入园区dn。
76.具体的，园区服务器可以获取终端的鉴权信息从而对终端进行鉴权，确定是否允
许其接入园区dn。例如，园区服务器可以通过upf、smf、amf与终端进行eap消息交互，如图2中的步骤3a至步骤3f所示，从而获取对终端进行鉴权所需的信息。
77.若园区服务器确定允许终端接入园区dn，则园区服务器向smf发送鉴权成功响应消息。可选的，该消息中可以包括园区dn授权文件索引(dn authorization profile index)，用于索引至smf或pcf上所配置的策略规则，还可以包含有园区dn授权会话聚合最大比特速率(dn authorized session ambr)参数等，以使smf依照已有的流程为终端建立会话，使得终端能够基于建立的会话获取园区业务服务。
78.当园区服务器确定终端不被允许接入园区dn时，则执行步骤404。
79.步骤404、园区服务器向smf发送鉴权失败响应消息。
80.园区服务器发送的鉴权失败响应消息，以指示拒绝该终端接入园区dn。可选的，鉴权失败响应消息中可以包含有鉴权失败的原因等信息。
81.步骤405、smf在确定接受终端的会话建立请求时，向pcf发送策略关联建立请求。
82.在一种可能的设计中，smf本地配置有终端的策略信息，指示即使二次鉴权失败仍允许为终端建立会话。
83.在另一种可能的设计，smf可以在上述步骤401之后从udm获取终端的签约数据，而获取到的签约数据中，包含有错误处理指示信息，该错误处理指示信息用于指示即使该终端二次鉴权失败也被允许建立会话。
84.smf基于本地配置的策略信息或获取到的签约数据，确定接受终端的会话建立请求，继续执行为终端建立会话的流程，向pcf发送策略关联建立请求，该请求中可以包含有终端会话的id，以请求获取终端会话的策略规则。
85.可选的，smf向pcf发送的策略关联建立请求中，可以包含有用于指示终端被拒绝接入园区dn的指示信息，以使pcf不要发送关于园区的策略规则。
86.步骤406、pcf向smf发送策略关联建立响应。
87.pcf向smf发送的策略关联建立响应中，包含有pcf为终端确定的会话策略规则，例如qos控制策略、门控策略、流转发策略、计费策略等。
88.如前所述，smf发送的策略关联建立请求中可以包含有终端被拒绝接入园区dn的指示信息，那么pcf则不向smf发送关于该园区dn的策略规则，可以发送公网的策略规则。
89.或者，若pcf接收到的策略关联建立请求中，未包含有终端被拒绝接入园区dn的指示信息，那么pcf可以将园区dn的策略规则以及公网dn的策略规则都发送给smf。
90.示例性的，园区dn的策略规则可以包括园区业务对应的数据网络接入点标识(data network access identifier，dnai)、园区业务对应的路由信息、园区业务对应的策略计费规则等。
91.步骤407、smf根据策略关联建立响应中的策略规则为终端的会话执行策略规则。
92.若smf在步骤405中将终端被拒绝接入园区dn的指示信息发送给pcf，那么smf接收到的策略关联建立响应中不包含有园区策略规则，那么smf可以直接基于策略关联建立响应中携带的策略规则对会话执行策略规则。
93.若smf没有将终端被拒绝接入园区dn的指示信息发送给pcf，那么pcf接收到的策略关联建立响应中则可能包含有园区dn的策略规则。在这种情况下，smf需要判断接收到的策略规则中，哪些是园区dn的策略规则，哪些是公网dn的策略规则，执行公网dn策略规则，
拒绝执行园区dn策略规则。具体地，smf可以基于策略规则中的流描述信息确定策略规则是否是园区dn策略规则，例如，流描述信息中的应用标识为园区应用，或者流描述信息中的ip五元组信息包含园区地址段等信息，则可以确定该策略规则为园区dn策略规则。可选地，smf也可基于策略规则中的dnai接入点信息确定该规则为园区策略规则，例如，若策略规则中包含园区业务所对应的dnai接入点，或是包含园区业务所对应的分流目的地址段等，则可以判断该策略规则为园区策略规则。
94.可选的，smf还可以向pcf发送园区dn策略执行失败的指示信息，或是，smf也可以向pcf发送策略执行响应消息，并在该消息中携带执行失败的原因值，以指示当前终端不支持接入园区业务。
95.步骤408、smf向终端发送会话建立响应消息。
96.smf在为终端的会话执行相应策略规则之后，可以向终端发送会话建立响应。具体的，smf可以通过amf将会话建立响应消息发送给终端。
97.在一种可能的实现方式中，本技术上述实施例中的接入控制方法，也可以应用于终端二次鉴权结果修改的过程中。
98.例如，终端原本是被允许接入园区dn的，则终端在先执行的二次鉴权过程的结果为鉴权成功；但是，园区服务器接收到了针对该终端的信息删除指示，那么园区服务器可以向smf发送鉴权结果失效的信息。smf可以根据鉴权结果失效的信息，向pcf发送策略关联更新请求，该更新请求中可以包括终端被拒绝接入园区dn的指示信息，进而从pcf获取到更新后的策略规则以使得终端无法继续接入园区业务；或者，smf也可以从已执行的策略规则中删除园区dn策略规则，以实现拒绝终端继续接入园区业务。
99.又例如，终端原本不被允许接入园区dn，则终端在先执行的二次鉴权过程的结果为鉴权失败；在上述步骤408之后，园区服务器接收到了针对该终端的合法身份认证信息，或是更新后的鉴权信息，园区服务器也可以主动向smf发送鉴权成功的信息，smf可以根据鉴权成功的信息向pcf发送策略关联更新请求，以获取园区dn的策略规则，然后smf可以为终端的会话执行园区dn的策略规则。
100.在传统的二次鉴权过程中，由于针对一个终端二次鉴权仅被执行一次时，若终端在二次鉴权过程中被拒绝接入园区dn则无法继续接入公网dn，发起公网业务。而在本技术上述方法实施例中，smf在为终端建立会话的过程中，虽然在二次鉴权时终端被园区dn拒绝接入，但smf仍允许终端继续建立会话，只是拒绝为终端关联园区dn相关的策略规则，但仍可以为终端执行公网dn的相关策略规则，从而使得终端被拒绝接入园区dn，不能发起园区业务，但仍能够发起公网业务，解决了终端接入数据网络的合法需求。
101.为了更加清楚理解本技术上述实施例的操作流程，下面结合附图5、附图6进行举例说明。
102.参见图5所示的具体实施例，接入控制方法可以包括以下步骤：
103.步骤501、终端发送会话建立请求至smf。
104.具体的，终端可以将会话建立请求先发送给amf，然后由amf将会话建立请求发送给smf。
105.步骤502、smf从udm获取终端的签约数据。
106.其中，获取到的签约数据中包括用于指示需要进行二次鉴权的指示信息
(secondary authentication indication)，以及错误处理指示(error handling indication)。错误处理指示表示即使终端二次鉴权失败也允许终端建立会话。
107.可选的，smf从udm中获取到的签约数据中也可以不包括错误处理指示，smf也可以本地配置有终端的错误处理指示信息。
108.步骤503、smf通过upf向园区dn发送认证授权请求(authentication/authorization request)。该认证授权请求即为前述实施例中的鉴权请求。
109.可选的，园区dn通过upf、smf与ue之间的eap消息交互，对终端进行二次鉴权。例如，二次鉴权的过程可以如图2中步骤3a至步骤3f所示。
110.步骤504、园区服务器确定终端二次鉴权失败，拒绝终端接入园区dn。
111.步骤505、园区服务器通过upf向smf发送认证授权响应(authentication/authorization response)。该认证授权响应指示鉴权失败，拒绝终端接入园区dn。该认证授权响应即为前述实施例中的鉴权失败响应消息。
112.步骤506、smf向pcf发送策略关联建立请求，该请求中包括终端被拒绝接入园区dn的指示信息。
113.步骤507、pcf基于终端被拒绝接入园区dn的指示信息，确定终端建立会话的策略规则。
114.步骤508、pcf向smf发送策略关联建立响应，该响应中包括步骤507中pcf确定出的策略规则。
115.步骤509、smf执行pcf发送的策略规则，向终端发送会话建立响应。
116.图6也实例性的提供了一种接入控制方法，如图6所示，该方法可以包括以下步骤：
117.步骤601～步骤605，与步骤501～步骤505类似，此处不再重复。
118.步骤606、smf向pcf发送策略关联建立请求。
119.与前述实施例中步骤506的区别在于，步骤506中需要携带用于指示终端被拒绝接入园区dn的指示信息，而步骤606中可以不携带用于指示终端被拒绝接入园区dn的指示信息。
120.步骤607、pcf向smf发送策略关联建立响应。
121.由于pcf没有获取到终端被拒绝接入园区dn的指示信息，因此pcf发送的策略关联建立响应中，会包含有园区dn的策略规则。
122.步骤608、smf执行非园区dn策略规则，不执行园区dn策略规则。
123.步骤609、smf向pcf发送园区dn策略执行失败的指示信息。
124.步骤610、smf向终端发送会话建立响应。
125.本技术实施例还提供了一种接入控制方法，该方法也能够解决终端接入园区dn失败则无法接续接入公网dn的问题。该方法与前述实施例的区别在于，当终端被拒绝接入园区dn时，前述实施例由smf根据获取到的签约信息或本地配置信息确定是否继续为终端建立会话，而该方法实施例可以由dn来确定。
126.参见图7，为本技术实施例提供的接入控制方法的流程示意图，如图所示，该方法可以包括以下流程：
127.步骤701、smf向园区服务器发送鉴权请求。
128.该鉴权请求中包括请求接入园区dn的终端的标识，以使园区服务器对该终端进行
鉴权。
129.步骤702、园区服务器确定拒绝该终端接入园区dn。
130.具体的，园区服务器可以获取终端的鉴权信息对终端进行鉴权，确定是否允许其接入园区dn。例如，园区服务器可以通过upf、smf、amf与终端进行eap消息交互，如图2中的步骤3a至步骤3f所示，从而获取对终端进行鉴权所需的信息。
131.园区服务器根据获取到的鉴权信息确定终端并非该园区dn的合法注册终端，或者由于其他原因导致鉴权失败，故拒绝该终端接入园区dn。
132.步骤703、园区服务器向smf发送鉴权响应，该鉴权响应用于指示鉴权成功但拒绝该终端接入园区dn。
133.园区服务器可以根据获取到的终端的鉴权信息，确定即使拒绝终端接入园区dn但仍允许该终端建立会话；或者，园区服务器也可以根据本地配置的信息，确定即使拒绝终端接入园区dn但仍允许该终端建立会话。
134.可选的，园区服务器发送的鉴权成功响应中，可以携带有授权文件索引(dn authorization profile index)，用于索引至smf或pcf上所配置的策略信息。当园区服务器拒绝终端接入园区dn时，那么该授权文件索引则不能索引至园区dn的策略规则，而应当索引至非园区dn的策略规则。因此，该授权文件索引，可以作为用于指示拒绝该终端接入园区dn的一种指示信息。或者，该授权文件索引，也可以直接用于指示拒绝终端接入园区dn。
135.或者，园区服务器也可以通过在鉴权响应中设置新的字段，以指示虽然鉴权成功但拒绝终端接入园区dn。
136.步骤704、smf根据接收到的鉴权响应，向pcf发送策略关联建立请求。
137.smf在接收到鉴权响应后，由于鉴权响应指示鉴权成功，smf则pcf发送策略关联建立请求，从而获取终端会话的策略规则。
138.可选的，smf可以将接收到的鉴权响应中的授权文件索引携带在向pcf发送的策略关联建立请求中。pcf根据该授权文件索引可以确定需要发送的策略规则，进一步的，pcf能够根据该授权文件索引没有索引至园区dn策略规则，从而指示pcf该终端被拒绝接入园区dn；或者，该授权文件索引也可以用于明确指示不允许终端接入园区dn，那么pcf根据该授时文件索引选择非园区dn策略规则。在该过程中，smf可以对终端被拒绝接入园区dn的事件不进行感知，由于smf接收到的为鉴权成功的响应消息，故smf与正常情况下为终端建立会话的流程一致，根据授权文件索引向pcf发送策略关联建立请求；而pcf根据授权文件索引发送的策略规则不包含园区dn的策略规则，故smf即使不知道终端被拒绝接入园区dn，也不会为该终端的会话执行园区dn策略规则。
139.或者，若dn通过其他指示信息指示拒绝终端接入园区dn，smf可以根据该指示信息确定终端被拒绝接入园区dn，那么smf可以参照图4所示实施例中的操作，由smf指示pcf终端被拒绝接入园区dn；或者，smf也可以不指示pcf终端被拒绝接入园区dn，smf在接收到策略规则后执行非园区dn的策略规则，不执行园区dn的策略规则。
140.步骤705、smf根据从pcf获取到的策略规则为终端建立会话。
141.在传统的二次鉴权过程中，由于针对一个终端二次鉴权仅被执行一次时，若终端在二次鉴权过程中被拒绝接入园区dn则无法继续接入公网dn，发起公网业务。而在本技术上述方法实施例中，园区服务器在对终端进行二次鉴权时，可以根据本地配置的信息或者
根据获取到的终端鉴权信息确定，即使拒绝终端接入园区dn但仍允许该终端建立会话，则向smf发送鉴权成功但拒绝终端接入园区dn的鉴权响应，从而使得smf、pcf能够为终端配置非园区dn的策略规则，使得终端仍可以为接入公网dn，发起公网业务，解决了终端接入数据网络的合法需求。
142.在另一种可能的实现方式中，园区服务器向smf发送的鉴权响应，也可以仅指示鉴权成功，不指示拒绝终端接入园区dn，然后园区服务器可以向pcf发送指示信息，以指示pcf不要为该终端提供园区dn策略规则。图8示例性的提供该实现方式下的流程示意图，如图所示，包括：
143.步骤801～步骤804，与步骤501～步骤504类似，此处不再赘述。
144.步骤805、园区服务器通过upf向smf发送认证授权响应，该响应指示鉴权成功。
145.步骤806、smf向pcf发送策略关联建立请求。
146.步骤807、pcf向smf发送策略关联建立响应。
147.步骤808、smf向终端发送会话建立响应。
148.步骤809、园区服务器向pcf发送策略授权请求消息(policy authorization create request)，该策略授权请求消息用于请求pcf停止为终端提供园区dn策略规则。
149.步骤810、pcf向smf发送策略关联更新消息，该消息中不携带园区dn策略规则。
150.步骤811、smf根据策略关联更新消息中的策略规则，为终端会话更新关联的策略规则。
151.图9为根据本技术实施例提供的一种通信装置的示意图。通信装置包括处理模块901、收发模块902。处理模块901用于实现通信装置对数据的处理。收发模块902用于执行上述方法实施例中的信息收发处理。应理解，本技术实施例中的处理模块901可以由处理器或处理器相关电路组件(或者，称为处理电路)实现，收发模块902可以由接收器或接收器相关电路组件、发送器或发送器相关电路组件实现。
152.示例性地，通信装置可以是通信装置设备，也可以是应用于通信装置设备中的芯片或者其他具有上述通信装置设备功能的组合器件、部件等。
153.当该通信装置为会话管理功能网元smf时，收发模块902用于接收终端发送的会话建立请求，处理模块901用于根据所述请求确定通过收发模块902向园区服务器发送鉴权请求；收发模块902还用于接收所述园区服务器发送的鉴权失败响应消息；处理模块901还用于在确定接受所述会话建立请求时，通过收发模块902向策略控制功能网元pcf发送策略关联建立请求，并接收所述pcf发送的策略关联建立响应；处理模块901还用于根据所述策略关联建立响应中的策略规则为所述终端的会话执行策略规则；收发模块902还用于向所述终端发送会话建立响应消息。
154.此外，上述各个模块还可以用于支持图4至图8所示实施例及其任一实现方式中smf所执行的其它过程。有益效果可参考前面的描述，此处不再赘述。
155.当该通信装置为策略控制功能网元pcf时，收发模块902用于接收终端接入园区数据网络dn鉴权失败的指示信息；处理模块901用于根据所述指示信息通过收发模块902向smf发送策略关联消息，所述策略关联消息中包括非所述园区dn策略规则，不包括所述园区dn的策略规则。
156.可选的，收发模块902在接收终端接入园区dn鉴权失败的指示信息时，具体用于：
接收会话管理功能网元smf发送的策略关联建立请求，所述策略关联建立请求中包括终端接入园区dn鉴权失败的指示信息；所述策略关联消息为所述策略关联建立请求的响应消息。
157.可选的，收发模块902在接收终端接入园区dn鉴权失败的指示信息时，具体用于：接收园区服务器发送的策略授权请求消息，所述策略授权请求消息中包括终端接入园区dn鉴权失败的指示信息；所述策略关联消息为向smf发送策略关联更新消息，以指示所述终端更新后的会话策略规则包括所述公网dn策略规则，不包括所述园区dn策略规则。
158.此外，上述各个模块还可以用于支持图4至图8所示实施例及其任一实现方式中pcf所执行的其它过程。有益效果可参考前面的描述，此处不再赘述。
159.当该通信装置为园区服务器时，收发模块902用于接收来自会话管理功能网元smf发送的鉴权请求，所述鉴权请求中包括请求接入所述园区数据网络dn的终端的标识；处理模块901用于确定拒绝所述终端接入所述园区dn；收发模块902还用于向所述smf发送鉴权响应，所述鉴权响应用于指示鉴权成功但拒绝所述终端接入所述园区dn。
160.此外，上述各个模块还可以用于支持图4至图8所示实施例及其任一实现方式中园区服务器所执行的其它过程。有益效果可参考前面的描述，此处不再赘述。
161.图10为根据本技术实施例提供的另一种通信装置的示意图。该通信装置包括如图10所示的处理器1001，以及与处理器1001连接的通信接口1002。
162.处理器1001可以是通用处理器，微处理器，特定集成电路(application specific integrated circuit，asic)，现场可编程门阵列(field programmable gate array，fpga)或者其他可编程逻辑器件，分立门或者晶体管逻辑器件，或一个或多个用于控制本技术方案程序执行的集成电路等。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
163.通信接口1002，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如ran等。
164.在本技术实施例中，处理器1001用于调用通信接口1002执行接收和/或发送的功能，并执行如前任一种可能实现方式所述的用户面功能容灾方法。
165.进一步的，该通信装置还可以包括存储器1003以及通信总线1004。
166.存储器1003，用于存储程序指令和/或数据，以使处理器1001调用存储器1003中存储的指令和/或数据，实现处理器1001的上述功能。存储器1003可以是只读存储器(read-only memory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，eeprom)或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1003可以是独立存在，例如片外存储器，通过通信总线1004与处理器1001相连接。存储器1003也可以和处理器1001集成在一起。
167.通信总线1004可包括一通路，在上述组件之间传送信息。
168.当该通信装置为会话管理功能网元smf时，处理器1001通过通信接口1002执行：接收终端发送的会话建立请求，根据所述请求确定向园区服务器发送鉴权请求；接收所述园
区服务器发送的鉴权失败响应消息；在确定接受所述会话建立请求时，向策略控制功能网元pcf发送策略关联建立请求，并接收所述pcf发送的策略关联建立响应；根据所述策略关联建立响应中的策略规则为所述终端的会话执行策略规则；向所述终端发送会话建立响应消息。
169.此外，上述各个模块还可以用于支持图4至图8所示实施例及其任一实现方式中smf所执行的其它过程。有益效果可参考前面的描述，此处不再赘述。
170.当该通信装置为策略控制功能网元pcf时，处理器1001通过通信接口1002执行：接收终端接入园区数据网络dn鉴权失败的指示信息；根据所述指示信息向smf发送策略关联消息，所述策略关联消息中包括非所述园区dn策略规则，不包括所述园区dn的策略规则。
171.可选的，处理器1001通过通信接口1002，在接收终端接入园区dn鉴权失败的指示信息时，具体用于：接收会话管理功能网元smf发送的策略关联建立请求，所述策略关联建立请求中包括终端接入园区dn鉴权失败的指示信息；所述策略关联消息为所述策略关联建立请求的响应消息。
172.可选的，处理器1001通过通信接口1002，在接收终端接入园区dn鉴权失败的指示信息时，具体用于：接收园区服务器发送的策略授权请求消息，所述策略授权请求消息中包括终端接入园区dn鉴权失败的指示信息；所述策略关联消息为所述pcf向smf发送策略关联更新消息，以指示所述终端更新后的会话策略规则包括所述公网dn策略规则，不包括所述园区dn策略规则。
173.此外，上述各个模块还可以用于支持图4至图8所示实施例及其任一实现方式中pcf所执行的其它过程。有益效果可参考前面的描述，此处不再赘述。
174.当该通信装置为园区服务器时，处理器1001通过通信接口1002执行：接收来自会话管理功能网元smf发送的鉴权请求，所述鉴权请求中包括请求接入所述园区数据网络dn的终端的标识；确定拒绝所述终端接入所述园区dn；向所述smf发送鉴权响应，所述鉴权响应用于指示鉴权成功但拒绝所述终端接入所述园区dn。
175.此外，上述各个模块还可以用于支持图4至图8所示实施例及其任一实现方式中园区服务器所执行的其它过程。有益效果可参考前面的描述，此处不再赘述。
176.基于相同的技术构思，本技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可读指令，当所述计算机可读指令在计算机上运行时，使得如前所述任一种可能的实现方式所述的接入控制方法被执行。
177.本技术实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得上述方法实施例被执行。
178.本技术实施例的描述中，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。本技术中所涉及的多个，是指两个或两个以上。
179.另外，需要理解的是，在本技术的描述中，“第一”、“第二”、“第三”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本技术的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实
施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。
180.本技术实施例提供了一种计算机可读存储介质，存储有计算机程序，该计算机程序包括用于执行上述方法实施例的指令。
181.本技术实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述方法实施例。
182.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
183.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
184.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
185.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
186.尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。
187.显然，本领域的技术人员可以对本技术实施例进行各种改动和变型而不脱离本技术实施例范围。这样，倘若本技术实施例的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：
1.一种接入控制方法，其特征在于，所述方法包括：会话管理功能网元smf接收终端发送的会话建立请求，所述smf根据所述请求确定向园区服务器发送鉴权请求；所述smf接收所述园区服务器发送的鉴权失败响应消息；在所述smf确定接受所述会话建立请求时，所述smf向策略控制功能网元pcf发送策略关联建立请求，并接收所述pcf发送的策略关联建立响应；所述smf根据所述策略关联建立响应中的策略规则为所述终端的会话执行策略规则；所述smf向所述终端发送会话建立响应消息。2.根据权利要求1所述的方法，其特征在于，在smf接收鉴权服务器发送的鉴权失败响应消息之前，所述方法还包括：所述smf从统一数据管理网元udm获取所述终端的签约信息，所述签约信息中包括错误处理指示信息，用于指示当所述终端鉴权失败时仍接受所述终端的会话建立请求；所述smf确定接受所述会话建立请求，包括：所述smf根据所述错误处理指示信息确定接受所述会话建立请求。3.根据权利要求1所述的方法，其特征在于，所述smf确定接受所述会话建立请求，包括：所述smf根据本地预配置信息确定接受所述会话建立请求。4.根据权利要求1-3任一项所述的方法，其特征在于，所述策略关联建立请求中包括用于指示所述终端接入所述园区数据网络dn失败的指示信息，以使所述pcf发送的策略关联响应中不包括所述园区dn的策略规则。5.根据权利要求1-3任一项所述的方法，其特征在于，所述策略关联建立响应中包括园区dn的策略规则；所述方法还包括：所述smf不执行所述园区dn的策略规则；所述smf向所述pcf发送园区dn策略规则执行失败的指示信息。6.根据权利要求1-5任一项所述的方法，其特征在于，所述smf根据所述请求确定向园区服务器发送鉴权请求，包括：所述smf根据所述终端的位置信息、所述终端的签约信息或所述smf本地配置信息，确定向园区服务器发送鉴权请求。7.一种接入控制方法，其特征在于，所述方法包括：策略控制功能网元pcf接收终端接入园区数据网络dn鉴权失败的指示信息；所述pcf根据所述指示信息向smf发送策略关联消息，所述策略关联消息中包括非所述园区dn策略规则，不包括所述园区dn的策略规则。8.根据权利要求7所述的方法，其特征在于，所述pcf接收终端接入园区dn鉴权失败的指示信息，包括：所述pcf接收会话管理功能网元smf发送的策略关联建立请求，所述策略关联建立请求中包括终端接入园区dn鉴权失败的指示信息；所述策略关联消息为所述策略关联建立请求的响应消息。9.根据权利要求7所述的方法，其特征在于，所述pcf接收终端接入园区dn鉴权失败的
指示信息，包括：所述pcf接收园区服务器发送的策略授权请求消息，所述策略授权请求消息中包括终端接入园区dn鉴权失败的指示信息；所述策略关联消息为所述pcf向smf发送策略关联更新消息，以指示所述终端更新后的会话策略规则包括所述公网dn策略规则，不包括所述园区dn策略规则。10.一种接入控制方法，其特征在于，所述方法包括：园区服务器接收来自会话管理功能网元smf发送的鉴权请求，所述鉴权请求中包括请求接入所述园区数据网络dn的终端的标识；所述园区服务器确定拒绝所述终端接入所述园区dn；所述园区服务器向所述smf发送鉴权响应，所述鉴权响应用于指示鉴权成功但拒绝所述终端接入所述园区dn。11.根据权利要求10所述的方法，其特征在于，所述鉴权响应中包括授权文件索引信息，以使所述smf将所述授权文件索引信息发送给策略控制功能网元pcf，所述授权文件索引信息用于指示拒绝所述终端接入所述园区dn。12.一种通信装置，其特征在于，所述通信装置包括：处理器，以及分别与所述处理器耦合的存储器和通信接口；所述通信接口，用于与其他设备进行通信；所述处理器，用于运行所述存储器内的指令或程序，通过所述通信接口执行如权利要求1-11中任一项所述的方法。13.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如权利要求1-11任一项所述的方法。

技术总结
本申请公开了一种接入控制方法及装置，可应用于二次鉴权过程中。该方法包括：SMF接收终端发送的会话建立请求，SMF根据所述请求确定向园区服务器发送鉴权请求；SMF接收园区服务器发送的鉴权失败响应消息；在SMF确定接受所述会话建立请求时，SMF向PCF发送策略关联建立请求，并接收PCF发送的策略关联建立响应；SMF根据策略关联建立响应中的策略规则为终端的会话进行策略执行；SMF向所述终端发送会话建立响应消息。虽然在二次鉴权时终端被拒绝接入园区DN，但仍允许终端继续建立会话，仍可以为终端执行公网DN的相关策略，使得终端不能发起园区业务，但仍能够发起公网业务，解决了终端接入数据网络的合法需求。接入数据网络的合法需求。接入数据网络的合法需求。


技术研发人员：马春燕 丁辉
受保护的技术使用者：华为技术有限公司
技术研发日：2022.03.17
技术公布日：2023/9/22