一种通信方法及装置与流程

1.本技术涉及无线通信技术领域，尤其涉及一种通信方法及装置。


背景技术：

2.接入与移动性管理功能(access and mobility management function，amf)可以向网络切片准入控制功能(network slice admission control function，nsacf)发送可用性查询及终端数量更新(availability check and update，acu)请求，nsacf根据acu请求，对标识为单网络切片选择辅助信息(single network slice selection assistance information，s-nssai)的网络切片中注册的终端设备数量进行更新。在该网络切片中的终端数量的准入配额已满时，nsacf向amf进行相应的通知，amf可以因此拒绝终端设备的接入请求。
3.或者会话管理功能(session management function，smf)可以向nsacf发送acu请求，nsacf根据acu请求，对标识为s-nssai的网络切片中建立的协议数据单元(protocol data unit，pdu)会话数量进行更新。在该网络切片中pdu会话数量的准入配额已满时，nsacf向smf进行相应的通知，smf可以因此拒绝终端设备的建立会话请求。
4.但是在网络中在某个nf被攻击后，该nf可能向nsacf发送虚假acu请求，造成nsacf错误更新网络切片中已经注册的终端设备或已经建立的pdu会话的数量，导致其他终端设备无法正常接入或终端设备无法正常建立新的pdu会话，网络切片服务降级或者无法正常提供服务。


技术实现要素：

5.本技术提供一种通信方法及装置，用以降低因虚假消息造成的网络切片配置的错误更新，提高网络切片提供服务的稳定性。
6.第一方面，提供一种通信方法，包括如下过程：准入控制网络功能接收第一消息，第一消息包括用于更新第一网络切片内的终端设备或会话的数量的第一参数信息；准入控制网络功能对第一参数信息的真实性进行校验，若第一参数信息为真，对第一网络切片内的终端设备或会话的数量进行更新。
7.其中第一参数信息可以包括以下一种或多种信息：终端设备标识、第一网络切片的标识、接入管理网络功能标识、请求注册或去注册的第一指示信息、请求建立会话或释放会话的第二指示信息、终端设备的接入类型、会话标识、数据网络标识、会话管理网络功能标识、会话的状态。
8.示例的，如果第一参数信息用于更新第一网络切片内的终端设备的数量，第一参数信息可以包括以下一种或多种信息：终端设备标识、第一网络切片的标识、接入管理网络功能标识、请求注册或去注册的第一指示信息、终端设备的接入类型。
9.又一示例的，如果第一参数信息用于更新第一网络切片内的会话的数量，第一参数信息可以包括以下一种或多种信息：终端设备标识、第一网络切片的标识、请求建立会话
或释放会话的第二指示信息、会话标识、数据网络标识、会话管理网络功能标识、会话的状态。
10.准入控制网络功能可以为nsacf。
11.准入控制网络功能在对第一参数信息的真实性进行校验时，准入控制网络功能可以自身对第一参数信息的真实性进行校验，或者准入控制网络功能可以请求其它网络功能对第一参数信息的真实性进行校验。
12.在该方法中，准入控制网络功能接收到第一参数信息，第一参数信息用于更新第一网络切片内的终端设备或会话的数量，准入控制网络功能可以对第一参数信息的真伪进行校验，第一参数信息为真时，可以对第一网络切片内的终端设备或会话的数量进行更新，第一参数信息为假时，表示第一参数信息为伪造的错误的信息，不对第一网络切片内的终端设备或会话的数量进行更新，从而可以降低因虚假消息造成的网络切片配置的错误更新，保证终端设备可以正常接入网络切片或可以正常建立pdu会话，并且提高网络切片提供服务的稳定性。
13.在一种可能的实现中，准入控制网络功能对第一参数信息的真实性进行校验时，可以采用以下方式中的一种或多种：
14.准入控制网络功能校验终端设备标识对应的终端设备是否签约了第一网络切片所属的网络的服务或者签约了与第一网络切片相对应的归属网络的服务；
15.准入控制网络功能校验终端设备是否签约了第一网络切片的服务或者签约了与第一网络切片相对应的归属网络的网络切片的服务；
16.准入控制网络功能校验终端设备是否注册了第一网络切片所属的网络；
17.准入控制网络功能校验终端设备是否接入了第一网络切片；
18.准入控制网络功能校验终端设备是否通过接入管理网络功能标识对应的接入管理网络功能注册了网络；
19.准入控制网络功能校验终端设备是否通过接入管理网络功能接入了第一网络切片；
20.准入控制网络功能校验终端设备是否通过接入类型接入了网络；
21.准入控制网络功能校验第一指示信息指示的注册或去注册的请求是否与保存的终端设备的注册状态匹配；
22.准入控制网络功能校验第二指示信息指示的建立会话或释放会话的请求是否与保存的终端设备的会话状态匹配；
23.准入控制网络功能校验会话标识或该会话标识对应的会话是否存在；
24.准入控制网络功能校验会话标识或该会话标识对应的会话是否属于终端设备；
25.准入控制网络功能校验会话标识或该会话标识对应的会话是否属于第一网络切片；
26.准入控制网络功能校验会话标识对应的会话是否属于会话管理网络功能标识对应的会话管理网络功能管理；
27.准入控制网络功能校验会话的状态是否与会话当前的状态一致；
28.准入控制网络功能校验第一网络切片是否匹配数据网络标识对应的数据网络。
29.在该实现中，准入控制网络功能可以自身对第一参数信息的真实性进行校验。用
于对第一参数信息的真实性进行校验的第二参数信息，可以预先保存在准入控制网络功能中，或者可以是准入控制网络功能从其他网络功能中获取到。
30.在一种可能的实现中，准入控制网络功能对第一参数信息的真实性进行校验之前，可以向数据管理网络功能发送第五消息，第五消息用于请求第二参数信息，该第二参数信息用于对第一参数信息的真实性进行校验；以及接收来自数据管理网络功能的第六消息，第六消息包括第二参数信息。这样，准入控制网络功能对第一参数信息的真实性进行校验时，可以根据第六消息中的第二参数信息，对第一参数信息的真实性进行校验。在该实现中，准入控制网络功能可以未保存有真实的第二参数信息。
31.在一种可能的实现中，准入控制网络功能对第一参数信息的真实性进行校验时，可以向数据管理网络功能发送第二消息，第二消息用于请求对第一参数信息进行校验；以及接收第三消息，第三消息包括第一参数信息的校验结果，该验证结果用于指示第一参数信息为真或假。在该实现中，准入控制网络功能可以请求其它网络功能(如数据管理网络功能)对第一参数信息的真实性进行校验。
32.在一种可能的实现中，第二消息包括以下一种或多种信息：终端设备标识、对终端设备的签约状态进行校验的指示信息、对终端设备的接入状态进行校验的指示信息、第一网络切片的标识、第一网络切片对应的归属网络的切片标识、接入管理网络功能标识、请求注册或去注册的第一指示信息、请求建立会话或释放会话的第二指示信息、终端设备的接入类型、会话标识、数据网络标识、会话管理网络功能标识、会话的状态。
33.在一种可能的实现中，准入控制网络功能对第一参数信息的真实性进行校验之前，还可以确定满足第一条件。其中满足第一条件包括以下一种或多种：计时器的时长达到第一时长、接收到第一消息的次数达到第一次数阈值、接入的终端设备或会话的数量达到第一数量阈值、接收到触发校验的指示信息。在该实现中，通过设置具体的第一条件，在满足第一条件时确定触发校验，这样可以避免对同时或在短时间内接收到的大量第一参数信息进行校验，增加准入控制网络功能的处理负担，降低准入控制网络功能的处理效率。
34.在一种可能的实现中，第一消息为先执行准入控制模式为未激活状态，且请求接入第一网络切片的终端设备的数量达到第二数量阈值时发送。先执行准入控制模式为未激活状态时，接入管理网络功能可以先授权终端设备接入第一网络切片，然后再执行acu流程。在该实现中，通过设置第二数量阈值，可以避免接入管理网络功能同时或在短时间内授权大量的终端设备接入，导致的终端设备的数量超过第一网络切片的配置的风险，从而进一步提高网络切片提供服务的稳定性。
35.第二方面，提供一种通信方法，包括如下过程：数据管理网络功能接收第二消息，第二消息用于请求对第一参数信息进行校验，第一参数信息用于更新第一网络切片内的终端设备或会话的数量。数据管理网络功能可以根据获取到的终端设备或会话的第二参数信息，对第一参数信息进行校验。数据管理网络功能向准入控制网络功能发送第三消息，第三消息包括第一参数信息的校验结果，校验结果包括第一参数信息为真或假。
36.数据管理网络功能可以为统一数据管理(udm)和/或统一数据存储(udr)。
37.在该方法中，数据管理网络功能可以对准入控制网络功能接收到第一参数信息的真实性进行校验，从而可以降低因虚假消息造成的网络切片配置的错误更新，提高网络切片提供服务的稳定性。
38.在一种可能的实现中，第二消息包括以下一种或多种信息：终端设备标识、对终端设备的签约状态进行校验的指示信息、对终端设备的接入状态进行校验的指示信息、第一网络切片的标识、第一网络切片对应的归属网络的切片标识、接入管理网络功能标识、请求注册或去注册的第一指示信息、请求建立会话或释放会话的第二指示信息、终端设备的接入类型、会话标识、数据网络标识、会话管理网络功能标识，会话的状态。
39.在一种可能的实现中，数据管理网络功能根据获取到的终端设备或会话的第二参数信息，对第一参数信息进行校验，可以采用以下方式中一种或多种：
40.准入控制网络功能对第一参数信息的真实性进行校验时，可以采用以下方式中的一种或多种：
41.数据管理网络功能根据对终端设备的签约状态进行校验的指示信息，对终端设备的签约状态进行校验；
42.数据管理网络功能校验终端设备标识对应的终端设备是否签约了第一网络切片所属的网络的服务或者签约了与第一网络切片相对应的归属网络的网络的服务；
43.数据管理网络功能校验终端设备是否签约了第一网络切片的服务或者签约了与第一网络切片相对应的归属网络的网络切片的服务；
44.数据管理网络功能根据对终端设备的接入状态进行校验的指示信息，对终端设备的接入状态进行校验；
45.数据管理网络功能校验终端设备是否注册了第一网络切片所属的网络；
46.数据管理网络功能校验终端设备是否接入了第一网络切片；
47.数据管理网络功能校验终端设备是否通过接入管理网络功能标识对应的接入管理网络功能注册了网络；
48.数据管理网络功能校验终端设备是否通过接入管理网络功能接入了第一网络切片；
49.数据管理网络功能校验终端设备是否通过接入类型接入了网络；
50.数据管理网络功能校验第一指示信息指示的注册或去注册的请求是否与保存的终端设备的注册状态匹配；
51.数据管理网络功能校验第二指示信息指示的建立会话或释放会话的请求是否与保存的终端设备的会话状态匹配；
52.数据管理网络功能校验会话标识或会话标识对应的会话是否存在；
53.数据管理网络功能校验会话标识或会话标识对应的会话是否属于终端设备；
54.数据管理网络功能校验会话标识或会话标识对应的会话是否属于第一网络切片；
55.数据管理网络功能校验会话标识对应的会话是否属于会话管理网络功能标识对应的会话管理网络功能管理；
56.数据管理网络功能校验会话的状态是否与会话当前的状态一致；
57.数据管理网络功能校验第一网络切片是否匹配数据网络标识对应的数据网络。
58.第三方面，提供一种通信方法，包括如下过程：在先执行准入控制模式为未激活状态时，接入管理网络功能确定请求接入第一网络切片的终端设备的数量。如果请求接入第一网络切片的终端设备的数量达到第二数量阈值，接入管理网络功能向准入控制网络功能发送第一消息，第一消息包括用于更新第一网络切片内的终端设备的数量。
59.先执行准入控制模式为未激活状态时，接入管理网络功能可以先授权终端设备接入第一网络切片，然后再执行acu流程，但是可能存在同时或在短时间内授权大量的终端设备接入的风险，导致接入的终端设备的数量超过第一网络切片的配置，因此通过设置第二数量阈值，可以保证接入的终端设备的数量在第一网络切片可以稳定提供服务的数量范围内，提高网络切片提供服务的稳定性。
60.其中接入管理网络功能可以为amf。
61.在一种可能的实现中，接入管理网络功能还可以接收准入控制网络功能发送的第四消息，第四消息用于将先执行准入控制模式修改为未激活状态。接入管理网络功能可以对第四消息进行校验，若校验通过，接入管理网络功能确定先执行准入控制模式为未激活状态。
62.在该实现中，接入管理网络功能可以对第四消息的真伪进行校验，当第四消息为真时，可以对先执行准入控制模式修改为未激活状态，当第四消息为假时，表示第四消息为伪造的错误的消息，不对先执行准入控制模式进行修改，从而可以降低先执行准入控制模式被恶意篡改的风险，进一步提高网络切片提供服务的稳定性。
63.在一种可能的实现中，第四消息可以包括以下一种或多种信息：准入控制网络功能标识、准入控制网络功能所在运营商网络的标识、第一网络切片的标识。
64.接入管理网络功能对第四消息进行校验时，可以对准入控制网络功能标识、准入控制网络功能所在运营商网络的标识、第一网络切片的标识中的一种或多种，进行校验。
65.第四方面，提供一种通信装置，该通信装置可以为上述准入控制网络功能或数据管理网络功能或接入管理网络功能，或者为设置在准入控制网络功能或数据管理网络功能或接入管理网络功能或会话管理网络功能中的芯片。该通信装置可以实现上述第一方面或第二方面或第三方面中的任一项设计所提供的方法。
66.通信装置包括实现上述方法相应的模块、单元、或手段(means)，该模块、单元、或means可以通过硬件实现，软件实现，或者通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块或单元。
67.第五方面，提供一种通信装置，包括收发单元。可选的，该通信装置还包括处理单元。该通信装置可以实现第一方面或第二方面或第三方面中的任一项设计所提供的方法。
68.第六方面，提供一种通信装置，包括处理器。该处理器可用于执行上述第一方面或第二方面或第三方面中的任一项设计所提供的方法。可选地，该装置还包括存储器，该处理器与存储器耦合，存储器中用于存储计算机程序或指令，处理器可以执行存储器中的程序或指令，以使得该装置可以执行上述第一方面或第二方面或第三方面中的任一项设计所提供的方法。
69.第七方面，提供一种通信装置，该装置包括接口电路和逻辑电路，逻辑电路与接口电路耦合。该接口电路可以为代码/数据读写接口电路，或通信接口，该接口电路用于接收计算机执行指令(计算机执行指令存储在存储器中，可能直接从存储器读取，或可能经过其他器件)并传输至该逻辑电路，以使该逻辑电路运行计算机执行指令以执行上述第一方面或第二方面或第三方面中的任一项设计所提供的方法。
70.在一些可能的设计中，该通信装置可以为芯片或芯片系统。
71.第八方面，提供一种通信装置，包括处理器和存储器。该处理器用于读取存储器中
存储的指令，并可通过接收器接收信号，通过发射器发射信号，以执行上述第一方面或第二方面或第三方面中的任一项设计所提供的方法。
72.可选地，该处理器可以为一个或多个，该存储器也可以为一个或多个。可选地，该存储器可以与该处理器集成在一起，或者该存储器与处理器分离设置。
73.在具体实现过程中，存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，rom)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本技术对存储器的类型以及存储器与处理器的设置方式不做限定。
74.该通信装置可以是一个芯片，该处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于该处理器之外，独立存在。
75.第九方面，提供一种处理器，包括：输入电路、输出电路和处理电路。该处理电路用于通过该输入电路接收信号，并通过该输出电路发射信号，使得该处理器执行上述第一方面或第二方面或第三方面中的任一项设计所提供的方法。
76.在具体实现过程中，上述处理器可以为芯片，输入电路可以为输入管脚，输出电路可以为输出管脚，处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的，输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的，且输入电路和输出电路可以是同一电路，该电路在不同的时刻分别用作输入电路和输出电路。本技术对处理器及各种电路的具体实现方式不做限定。
77.第十方面，提供一种通信装置，包括：逻辑电路和输入输出接口，该输入输出接口用于与该通信装置之外的模块通信；该逻辑电路用于运行计算机程序或指令以执行上述任一方面的任一项设计所提供的方法。该通信装置可以为上述第一方面或第二方面或第三方面中的准入控制网络功能或数据管理网络功能或接入管理网络功能或会话管理功能，或者包含上述准入控制网络功能或数据管理网络功能或接入管理网络功能或会话管理功能的装置，或者上述准入控制网络功能或数据管理网络功能或接入管理网络功能或会话管理功能中包含的装置，比如芯片。
78.或者，该输入输出接口可以为代码/数据读写接口电路，或通信接口，该输入输出接口用于接收计算机程序或指令(计算机程序或指令存储在存储器中，可能直接从存储器读取，或可能经过其他器件)并传输至该输入输出接口，以使该输入输出接口运行计算机程序或指令以执行上述任一方面的方法。
79.可选的，该通信装置可以为芯片。
80.第十一方面，提供一种计算机程序产品，该计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当该计算机程序被运行时，使得计算机执行上述第一方面或第二方面或第三方面中的任一项设计所提供的方法。
81.第十二方面，提供一种计算机可读介质，该计算机可读介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得计算机执行上述第一方面或第二方面或第三方面中的任一项设计所提供的方法。
82.第十三方面，提供一种芯片系统，该芯片系统包括处理器和接口，用于支持通信装
置实现上述第一方面或第二方面或第三方面中任一项设计所提供的功能。在一种可能的设计中，芯片系统还包括存储器，用于保存前述通信装置的必要的信息和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。
83.第十四方面，提供一种芯片装置，该芯片装置包括输入接口和/或输出接口。该输入接口可以实现上述第一方面或第二方面或第三方面中任一项设计所提供的接收功能，该输出接口可以实现上述第一方面或第二方面或第三方面中任一项设计所提供的发送功能。
84.第十五方面，提供一种功能实体，该功能实体用于实现上述第一方面至第三方面中的任一项设计所提供的方法。
85.第十六方面，提供一种通信系统，包括上述第一方面或第二方面或第三方面的准入控制网络功能或数据管理网络功能或接入管理网络功能或会话管理功能。
86.其中，第二方面至第十六方面中任一种设计方式所带来的技术效果可参见上述第一方面所带来的技术效果，此处不再赘述。
附图说明
87.图1为本技术实施例适用的一种可能的网络架构示意图；
88.图2为一种acu流程示意图；
89.图3为一种acu流程示意图；
90.图4为本技术实施例适用的一种通信过程示意图；
91.图5为本技术实施例适用的一种通信过程示意图；
92.图6为一种先执行准入控制流程示意图；
93.图7为一种先执行准入控制流程示意图；
94.图8为本技术实施例适用的一种通信过程示意图；
95.图9为本技术实施例适用的一种通信装置示意图；
96.图10为本技术实施例适用的一种通信装置示意图；
97.图11为本技术实施例适用的一种通信装置示意图。
具体实施方式
98.下面将结合附图对本技术作进一步地详细描述。
99.本技术将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。
100.另外，在本技术实施例中，“示例的”一词用于表示作例子、例证或说明。本技术中被描述为“示例的”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例的”一词旨在以具体方式呈现概念。
101.本技术实施例描述的网络架构以及业务场景是为了更加清楚的说明本技术实施例的技术方案，并不构成对于本技术实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本技术实施例提供的技术方案对于类似的技术问题，同样适用。
102.以下对本技术实施例的部分用语进行解释说明，以便于本领域技术人员理解。
103.1)用户设备(user equipment，ue)，也称终端设备，是一种具有无线收发功能的设备，可以经无线接入网(radio access network，ran)中的接入网设备与一个或多个核心网(core network，cn)设备进行通信。
104.用户设备也可称为接入终端、终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、用户代理或用户装置等。用户设备可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。用户设备可以是蜂窝电话(cellular phone)、无绳电话、会话启动协议(session initiation protocol，sip)电话、智能电话(smart phone)、手机(mobile phone)、无线本地环路(wireless local loop，wll)站、个人数字处理(personal digital assistant，pda)等。或者，用户设备还可以是具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它设备、车载设备、可穿戴设备、无人机设备或物联网、车联网中的终端、第五代移动通信(5th-generation，5g)网络以及未来网络中的任意形态的终端、中继用户设备或者未来演进的公共移动陆地网络(public land mobile network，plmn)中的终端等。其中，中继用户设备例如可以是5g家庭网关(residential gateway，rg)。例如用户设备可以是虚拟现实(virtual reality，vr)终端、增强现实(augmented reality，ar)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。本技术实施例对终端设备的类型或种类等并不限定。
105.2)网络设备，指可以为终端提供无线接入功能的设备。其中，网络设备可以支持至少一种无线通信技术，例如长期演进(long term evolution，lte)、新无线(new radio，nr)等。
106.例如网络设备可以包括接入网设备。示例的，网络设备包括但不限于：5g网络中的下一代基站或下一代节点b(generation nodeb，gnb)、演进型节点b(evolved node b，enb)、无线网络控制器(radio network controller，rnc)、节点b(node b，nb)、基站控制器(base station controller，bsc)、基站收发台(base transceiver station，bts)、家庭基站(例如，home evolved node b、或home node b，hnb)、基带单元(baseband unit，bbu)、收发点(transmitting and receiving point，trp)、发射点(transmitting point，tp)、移动交换中心、小站、微型站等。网络设备还可以是云无线接入网络(cloud radio access network，cran)场景下的无线控制器、集中单元(centralized unit，cu)、和/或分布单元(distributed unit，du)，或者网络设备可以为中继站、接入点、车载设备、终端、可穿戴设备以及未来移动通信中的网络设备或者未来演进的plmn中的网络设备等。
107.又如，网络设备可以包括核心网(cn)设备，核心网设备例如amf、smf等。
108.本技术中的“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
109.本技术中所涉及的至少一个是指一个或多个，多个是指两个或两个以上。
110.另外，需要理解的是，在本技术的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。
111.本技术实施例的技术方案可以应用于各种通信系统。一个通信系统中，由运营者运营的部分可称为plmn(也可以称为运营商网络等)。plmn是由政府或其所批准的经营者，为公众提供陆地移动通信业务目的而建立和经营的网络，主要是移动网络运营商(mobile network operator，mno)为用户提供移动宽带接入服务的公共网络。本技术实施例中所描述的plmn，具体可为符合第三代移动通信伙伴项目(3rd generation partnership project，3gpp)标准要求的网络，简称3gpp网络。3gpp网络通常包括但不限于5g、第四代移动通信(4th-generation，4g)网络以及未来的其他通信系统如6g等。
112.随着移动带宽接入服务的扩展，移动网络也会随之发展以便更好地支持多样化的商业模式，满足更加多样化的应用业务以及更多行业的需求。为了给更多的行业提供更好、更完善的服务，5g网络相对于4g网络也做了网络架构调整。例如，5g网络将4g网络中的移动管理实体(mobility management entity，mme)进行拆分，拆分为包括amf和smf等多个网络功能。
113.为了便于理解本技术实施例，以图1所示的5g网络架构为例对本技术使用的应用场景进行说明。图1为一种5g网络架构的示意图，网络架构中可以包括：用户设备110部分、plmn部分和数据网络(data network，dn)150部分。
114.plmn可以包括：网络开放功能(network exposure function，nef)131、网络存储功能(network function repository function，nrf)132、策略控制功能(policy control function，pcf)133、统一数据管理(unified data management，udm)134、统一数据存储(unified data repository，udr)135、网络数据分析功能(network data analytics function，nwdaf)136、网络切片选择功能(network slice selection function，nssf)137、认证服务器功能(authentication server function，ausf)138、amf139、会话管理功能(session management function，smf)140、网络切片认证授权功能(network slice specific authentication and authorization function，nssaaf)141、网络切片准入控制功能(nsacf)142、用户面功能(user plane function，upf)130、接入网(access network，an)120等。上述plmn中，除接入网120部分之外的部分可以称为核心网部分。
115.数据网络dn 150，也可以称为分组数据网络(packet data network，pdn)，可以部署在plmn之内，也可以部署在plmn之外(例如第三方网络)。
116.示例性的，下面对plmn中的网络功能进行简要介绍。
117.an 120，也称无线(radio)an，是plmn的子网络，是plmn中业务节点(或网络功能)与ue110之间的实施系统。ue110要接入plmn，首先是经过an 120，进而通过an 120与plmn中的业务节点连接。本技术实施例中的an 120，可以指代接入网本身，也可以指接入网设备，此处不作区分。接入网设备是一种为ue110提供无线通信功能的设备，也可以称为接入设备、(r)an设备或网络设备等。可理解，本技术对接入网设备的具体类型不作限定。采用不同无线接入技术的系统中，具备接入网设备功能的设备的名称可能会有所不同。
118.可选的，在接入设备的一些部署中，接入设备可以包括cu和du等。在接入设备的另一些部署中，cu还可以划分为cu-控制面(control plane，cp)和cu-用户面(user plan，up)等。在接入设备的又一些部署中，接入设备还可以是开放的无线接入网(open radio access network，o-ran或open ran)架构等，本技术对于接入设备的具体部署方式不作限定。
119.网络开放功能nef(也可以称为网络开放功能实体)131是由运营商提供的控制面功能，用于使能第三方使用网络提供的服务。
120.网络存储功能nrf 132，是由运营商提供的控制面功能，可用于维护网络中所有网络功能服务的实时信息。
121.策略控制功能pcf 133是由运营商提供的控制面功能，它支持统一的策略框架来治理网络行为、向其他控制功能提供策略规则、策略决策相关的签约信息等。
122.统一数据管理udm 134是由运营商提供的控制面功能，负责存储plmn中签约用户的supi、安全上下文(security context)、签约数据等信息。
123.统一数据存储udr135是由plmn提供的控制面网络功能，用于支持存储和提取udm的签约数据、pcf的策略数据、用于开放的结构性数据、应用数据等。
124.网络数据分析功能nwdaf136，是由plmn提供的控制面网络功能，用于支持网络运营相关的网络功能(network function，nf)、应用功能(application function，af)、网管数据搜集、数据开放、分析、机器学习模型训练等。
125.网络切片选择功能nssf137，是由plmn提供的控制面网络功能，用于负责确定网络切片实例，选择amf等。
126.认证服务器功能ausf 138是由运营商提供的控制面功能，通常用于一级认证，即ue110(签约用户)与plmn之间的网络认证。
127.接入与移动性管理功能amf 139是由plmn提供的控制面网络功能，负责ue110接入plmn的接入控制和移动性管理，例如包括移动状态管理，分配用户临时身份标识，认证和授权用户等功能。
128.会话管理功能smf 140是由plmn提供的控制面网络功能，负责管理ue110的pdu会话。pdu会话是一个用于传输pdu的通道，终端设备需要通过pdu会话与dn 150互相传输数据。pdu会话可以由smf 140负责建立、维护和删除等。smf 140包括会话管理(如会话建立、修改和释放，包含upf 130和an 120之间的隧道维护等)、upf 130的选择和控制、业务和会话连续性(service and session continuity，ssc)模式选择、漫游等会话相关的功能。
129.网络切片认证授权功能nssaaf141，是由plmn提供的控制面网络功能，用于支持ue110与dn进行的切片认证。
130.网络切片准入控制功能nsacf142是plmn用来监测并控制注册在网络切片上的ue数量的网络功能。通常nsacf上配置了每个受其监测和控制的网络切片中，最多可以服务的ue的数量。
131.用户面功能upf 130是由运营商提供的网关，是plmn与dn 150通信的网关。upf 130包括数据包路由和传输、包检测、业务用量上报、服务质量(quality of service，qos)处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。
132.图1所示的plmn中的网络功能还可以包括其他网络功能(图中未示出)，本技术实施例对于plmn中包括的其他网络功能不作限定。
133.图1中nnef、nnrf、npcf、nudm、nudr、nnwdaf、nnssf、nausf、namf、nsmf、nnssaaf、nnsacf、n1、n2、n3、n4，以及n6为接口序列号。示例性的，上述接口序列号的含义可参见3gpp标准协议中定义的含义，本技术对于上述接口序列号的含义不做限制。需要说明的是，图1中的各个网络功能之间的接口名称也仅仅是一个示例，在具体实现中，该系统架构的接口
名称还可能为其他名称，本技术对此不作限定。
134.本技术中的移动性管理网络功能可以是图1所示的amf 139，也可以是未来通信系统中的具有上述接入与移动性管理功能amf 139的其他网络功能。或者，本技术中的移动性管理网络功能还可以是lte系统中的移动管理实体(mobility management entity，mme)等。可理解，其他网络功能同样适用。
135.图1中示出的网络架构示意图可以理解为一种非漫游场景下基于服务的5g网络架构示意图。在该架构中，根据特定场景需求，将不同网络功能按需有序组合，可以实现网络的能力与服务的定制化，从而为不同业务部署专用网络，实现5g网络切片(network slicing)。网络切片技术可以使运营商能够更加灵活、快速地响应客户需求，支持网络资源的灵活分配。
136.首先对网络设备中的切片进行说明。
137.切片(slice)即网络切片，简单理解就是将运营商的物理网络切割成多个虚拟的端到端的网络，每个虚拟网络之间(包括网络内的设备、接入网、传输网和核心网)是逻辑独立的，任何一个虚拟网络发生故障都不会影响到其它虚拟网络。为了满足多样性需求和切片间的隔离，需要业务间相对独立的管理和运维，并提供量身定做的业务功能和分析能力。不同业务类型的实例可以部署在不同的网络切片上，相同业务类型的不同实例(instance)也可部署在不同的网络切片上。切片可以由一组网络功能(network function，nf)和/或子网络构成。比如，图1中的子网络(r)an 120、amf 139、smf 140、upf 130可以组成一个切片。可理解，图1中的每种网络功能只示意性地画出了一个，而在实际网络部署中，每种网络功能或子网络可以有多个、数十个。plmn中可以部署很多切片，每个切片可以有不同的性能来满足不同应用、不同垂直行业的需求。运营商可以根据不同垂直行业客户的需求，“量身定做”一个切片。
138.当ue需要接入到网络中的某个切片时，ue可以在上行消息中提供或指示核心网ue想要接入的切片。上行消息即ue发给网络侧的消息，如注册请求(registration request)，服务请求(service request)，周期注册更新(periodic registration update)等。为了描述方便，下面描述这些上行消息为“请求消息”。通常，想要接入的切片的指示信息被称为请求的(requested)“网络切片选择辅助信息集合”(network slice selection assistance information，nssai)。该nssai实际上是一个列表或集合，其中包括了一个或多个s-nssai，一个s-nssai用于标识一个网络切片(也可以是一种网络切片类型)，也可以理解为，s-nssai是切片的标识信息。
139.另外，在标准中还定义了网络切片实例标识符(network slice instance identifier/identity，nsi-id)的概念，一个s-nssai所标识的切片还可以实例化成一个或多个切片实例(slice instance)，每个nsi-id对应一个切片实例。也可以说，nsi-id也可以称为切片的标识信息，一个s-nssai又可以对应于多个nsi-id。本技术以s-nssai为例进行描述，对s-nssai和nsi-id不作严格区分、限定，对s-nssai的描述，同样也可以适用于nsi-id。
140.运营商在运营商网络(plmn)中部署切片时，也可以允许一些切片客户享有较大的自主权，参与切片的部分管理、控制功能。其中，切片级的认证就是由切片客户有限参与的一种网络控制功能，即对终端设备接入切片进行认证和授权，即“切片级认证”，也可称为“二级认证”、“二次认证”等，本技术简称为“切片认证”。
141.终端设备在被允许接入网络切片之前，首先需要与plmn网络进行一次“网络级认证”，即plmn要基于终端设备所使用的与plmn签约的签约识别信息进行认证，这种认证通常被称为一级认证(primary authentication)。其次，plmn要基于终端设备所使用的与dn的签约标识进行的认证，即“切片认证”。
142.上文中涉及的nsacf是plmn用来监测并控制注册在网络切片上的终端设备数量(或pdu会话数量)的网络功能。plmn可以在一个或多个nsacf上先配置nsacf所监控的每个网络切片中最多可以服务的终端设备(或pdu会话)的数量，或称为配额(quota)。当网络准备授权新的终端设备接入某个切片时(或者允许新的pdu会话在某个切片中建立时)，nsacf先根据该切片的终端(或pdu会话)配额使用状况，确定网络切片是否还可以接纳该终端设备的接入请求(或该终端设备的pdu会话建立请求)，并实时存储、更新切片中已经准入的终端数量(或已经建立的pdu会话数量)。需要说明的是，这里的网络切片，是指需要进行准入控制(admission control)(或pdu会话数量控制)的网络切片。在以下的描述中，如无特别说明，所有网络切片均属此类需要进行准入(或pdu会话数量)控制的切片。
143.下面以amf发起用于终端设备数量更新(或终端设备接入控制)为例，对网络切片的可用性查询及更新(availability check and update，acu)的基本流程进行说明，以下简称为acu流程。需要说明的是，该acu流程也同样适用于smf发起的pdu会话数量更新的流程。当acu流程是由smf发起并用于pdu会话数量更新时，需要将amf替换为smf，并将终端设备的数量/接入控制/接入请求等描述相应地替换为pdu会话的数量/会话建立控制/会话建立请求等。对于需要进行终端设备准入控制的切片，由amf触发并向nsacf发送acu请求。结合图2进行说明，包括以下步骤：
144.s201：amf触发acu流程。
145.amf在为终端设备进行注册、去注册、配置更新(ue configuration update，ucu)、切片认证服务器发起的重认证和授权吊销等流程时，会触发该流程。需要说明的是，本技术实施例中涉及的“时”可以表示执行该流程之前、该流程过程中或该流程之后，在此统一说明，下文不进行赘述。
146.amf决定触发acu流程时，首先会验证标识为s-nssai的切片是plmn允许该终端设备接入的切片，即amf验证该s-nssai在(该终端设备对应的)“允许接入的nssai列表”(allowed nssai)之中。验证成功后，amf会向nsacf发送针对该s-nssai的acu请求，即执行s202。
147.s202：amf向nsacf发送acu请求。
148.nsacf接收acu请求。
149.acu请求可以包括ue标识、s-nssai、接入类型(access type)以及更新标识(flag)。更新标识flag用于指示ue有关s-nssai的请求，该请求用于请求“数量增加”(如ue注册切片s-nssai时)或者请求“数量减少”(如ue去注册切片s-nssai时)。需要说明的是，当ue处于漫游场景时，s-nssai可以是指拜访网络(即visited plmn)所提供的网络切片的s-nssai，也可以是指拜访网络的网络切片所对应的ue的归属网络(home plmn)的s-nssai，即映射的s-nssai(mapped s-nssai)，也可以是同时包括上述两种s-nssai，即拜访网络的s-nssai和归属网络的mapped s-nssai。
150.s203：nsacf根据当前已经准入的终端设备的数量，响应acu请求。
151.nsacf可以对注册在标识为s-nssai的切片上的终端数量进行更新。
152.如果acu请求中包括“数量增加”的更新标识flag，nsacf检查ue标识对应的ue是否已经计入了准入的ue列表。如果是，准入的ue计数器保持不变。如果否，nsacf继续检查当前准入的ue数量是否少于切片s-nssai的准入配额，如果配额足够(即接入该切片的终端数量还未达到切片准入终端的最大值)，nsacf将该ue计入准入的ue列表，并将准入的ue计数器的计数值增加1。如果配额已满，计数器保持不变，向amf响应该切片配额已满。
153.如果acu请求中包括“数量减少”的更新标识flag，nsacf在准入的ue列表中删除该ue标识，并将准入该ue的所有切片s-nssai的计数器的计数值减少1。
154.s204：nsacf向amf发送acu响应。
155.如果确定ue准入或删除，nsacf在acu响应包括数量更新的信息。如果确定配额已满，nsacf在acu响应包括切片配额已满的信息。
156.amf可以根据接收到的acu响应，进行相应的处理。例如，在切片配额已满时，amf可以拒绝ue接入切片s-nssai的请求，并通知ue切片配额已满的拒绝原因。可选的，amf还可以通知ue等待一段时间(并发送等待时间)后重新请求接入。
157.上述acu流程中，即使网络中各nf都经过了认证，属于合法nf，仍然存在遭受攻击的潜在风险。例如可能存在nf发送虚假消息(或错误消息)欺骗nsacf，造成切片无法正常提供服务或者服务降级。以图3为例，amfx表示已经受到恶意控制的nf，或者被内部人(insider)控制，从而发送虚假消息，该虚假消息可以造成nsacf错误更新网络切片中注册的终端设备或pdu会话的数量。例如nsacf错误认为切片配额已满，造成amf发送acu请求时，由于切片没有配额，而被nsacf拒绝ue接入或拒绝建立pdu会话，导致终端设备无法正常接入或无法正常建立pdu会话，网络切片服务降级或者无法正常提供服务。
158.基于此，本技术实施例提供一种通信方法。在该方法中，准入控制网络功能接收第一消息，第一消息包括用于更新第一网络切片内的终端设备或会话的数量的第一参数信息，准入控制网络功能对第一参数信息的真实性进行校验，若第一参数信息为真，准入控制网络功能可以对第一网络切片内的终端设备或会话的数量进行更新，这里通过对接收到的第一参数的真实性进行校验，可以降低因虚假消息造成的网络切片配置的错误更新，保证终端设备可以正常接入网络切片或可以正常建立pdu会话，提高网络切片提供服务的稳定性，以及提高网络的安全性。
159.本技术实施例提供的通信方法可以应用于图1所示的通信系统。图4为一种可能的通信方法，包括以下步骤：
160.s401：准入控制网络功能接收第一消息。
161.准入控制网络功能可以为5g中的nsacf。
162.该第一消息包括用于更新第一网络切片内的终端设备或会话的数量的第一参数信息。可选的，第一消息可以为acu请求消息。
163.第一参数信息可以包括但不限于以下一种或多种信息：终端设备标识、第一网络切片的标识、接入管理网络功能标识、请求注册或去注册的第一指示信息、请求建立会话或释放会话的第二指示信息、终端设备的接入类型、会话标识、数据网络标识、会话管理网络功能标识、会话的状态。需要说明的是，在第一消息为虚假消息或错误消息时，第一参数信
息中的一种或多种信息可能为虚假的参数信息或错误的参数信息，例如此时第一参数信息中的第一网络切片的标识与网络中真实的第一网络切片的标识不同。
164.一种可能的场景中，接入管理网络功能(如amf)向准入控制网络功能发送第一消息，第一参数信息用于对第一网络切片内的终端设备的数量进行更新。
165.另一种可能的场景中，会话管理网络功能(如smf)向准入控制网络功能发送第一消息，第一参数信息用于对第一网络切片内的会话的数量进行更新。
166.可选的，第一消息为先执行准入控制模式为未激活状态，且请求接入第一网络切片的终端设备的数量达到第二数量阈值时发送。第二数量阈值可以为任意正整数，在此不做限制。
167.s402：准入控制网络功能对第一参数信息的真实性进行校验。
168.对第一参数信息的真实性进行验证的过程，可以是将网络中保存的真实参数信息(下文称为第二参数信息)与第一参数信息进行匹配，或者一致性进行校验。
169.在一些可能的情况下，虚假消息中可能包括以下虚假参数，因此在进行校验时可以针对这些可能产生虚假参数的参数信息进行校验：
170.虚假参数一：使用非授权的终端设备标识。
171.例如使用假的终端设备标识，该假的终端设备标识可以是任意方式生成的终端设备标识。
172.又如使用amfx窃听到的真实的终端设备标识，但该真实的终端设备标识没有签约第一网络切片。
173.又如使用签约了网络切片的终端设备标识，但该终端设备标识所在的服务网络(serving network)与发送第一消息的nf所属的服务网络不匹配。
174.当发送终端设备标识的nf(如受攻击者控制的amfx或smfx)和其它nf(如受害者的amf或smf)共同服务某个网络切片时，发送终端设备标识的nf可以通过虚假消息(虚假参数一)，虚报终端设备或会话的数量，使得准入控制网络功能误认为网络切片的配额已满，拒绝ue从其他nf接入网络切片或建立会话，造成终端设备遭受被拒绝服务(denial of service，dos)攻击。
175.因此准入控制网络功能可以对终端设备标识的真实性进行校验。其中终端设备标识可以为ue id，和/或ue的因特网协议(internet protocol，ip)地址。
176.虚假参数二：使用非终端设备签约的网络切片。
177.例如使用发送第一消息的nf不服务的网络切片。
178.发送第一消息的nf可以通过发送虚假参数二攻击其他nf服务的网络切片。
179.因此准入控制网络功能可以对网络切片标识的真实性进行校验。其中网络切片标识可以为s-nssai。
180.虚假参数三：使用错误的指示信息。
181.例如使用真实的终端设备标识和网络切片标识，但使用错误的指示信息，将用于请求增加数量的指示信息篡改为用于请求减少数量的指示信息，或者将用于请求减少数量的指示信息篡改为用于请求增加数量的指示信息。其中用于请求增加数量的指示信息可以是终端设备请求注册的指示信息或请求创建会话的指示信息，用于请求减少数量的指示信息可以是终端设备请求去注册或请求释放会话的指示信息。
182.发送第一消息的nf通过窃听其他nf发送的消息，直接篡改其它nf的消息中的指示信息，从而使得nsacf保存的终端设备数量或会话数量与真实情况不符，造成终端设备无法接入网络切片或无法建立会话或者造成网络过载中止服务。
183.因此准入控制网络功能可以对指示信息的真实性进行校验，其中指示信息可以为请求注册或去注册的第一指示信息(如更新标识flag1)，和/或指示信息可以为请求创建会话或释放会话的第二指示信息(如更新标识flag2)。
184.虚假参数四：使用错误的接入类型(access type)。
185.例如使用真实的终端设备标识和网络切片标识，但使用错误的服务类型，使接入网络切片的终端设备或会话的数量加倍。在同一个接入类型下，一个终端设备反复接入仅占用一个数量的配额，而在多个接入类型下，终端设备使用不同类型反复接入时会占用多个数量的配额，也就是说对终端设备来说，每种接入类型会占用一个数量的配额。
186.发送第一消息的nf通过窃听其他nf发送的消息，直接篡改其它nf的消息中的接入类型，可以虚报终端设备数量，当配额达到最大数量时，造成其他合法终端设备无法接入。
187.因此准入控制网络功能可以接入类型的真实性进行校验。
188.可以理解，上述几种虚假参数仅为示例，而对实际校验的参数信息不构成限定。
189.在一个示例中，准入控制网络功能可以自身对第一参数信息的真实性进行校验。在该示例中，准入控制网络功能可以保存有真实的第二参数信息。
190.可选的，准入控制网络功能对第一参数信息的真实性进行校验时，可以采用以下一种或多种方式：
191.准入控制网络功能校验终端设备标识对应的终端设备是否签约了第一网络切片所属的网络的服务。如果终端设备标识对应的终端设备签约了第一网络切片所属的网络的服务，可以确定终端设备标识和/或第一网络切片的标识为真，如果终端设备标识对应的终端设备未签约第一网络切片所属的网络的服务，可以确定终端设备标识和/或第一网络切片的标识为假。
192.准入控制网络功能校验终端设备标识对应的终端设备是否签约了与第一网络切片相对应的归属网络的服务。这可以是针对终端设备漫游到拜访网络且第一网络切片是拜访网络所提供时的场景。该漫游终端设备的签约网络为归属网络，签约的网络切片的标识为mapped s-nssai，该标识与第一网络切片的标识s-nssai有映射关系。所以在该漫游场景，准入控制网络功能可以校验该终端设备是否签约了该归属网络。如果终端设备标识对应的终端设备签约了第一网络切片所对应的归属网络的服务，可以确定终端设备标识和/或第一网络切片的标识为真，如果终端设备标识对应的终端设备未签约第一网络切片所对应的归属网络的服务，可以确定终端设备标识和/或第一网络切片的标识为假。
193.准入控制网络功能校验终端设备是否签约了第一网络切片的服务。如果终端设备签约了第一网络切片的服务，可以确定终端设备标识和/或第一网络切片的标识为真，如果终端设备未签约第一网络切片的服务，可以确定终端设备标识和/或第一网络切片的标识为假。
194.准入控制网络功能校验终端设备是否签约了与第一网络切片相对应的归属网络中的网络切片的服务。如果终端设备签约了与第一网络切片相对应的归属网络的网络切片的服务，可以确定终端设备标识和/或第一网络切片的标识为真，如果终端设备未签约与第
一网络切片相对应的归属网络的网络切片的服务，可以确定终端设备标识和/或第一网络切片的标识为假。
195.准入控制网络功能校验终端设备是否注册了第一网络切片所属的网络。如果终端设备注册了第一网络切片所属的网络，可以确定终端设备标识和/或第一网络切片的标识为真，如果终端设备未注册第一网络切片所属的网络，可以确定终端设备标识和/或第一网络切片的标识为假。
196.准入控制网络功能校验终端设备是否接入了第一网络切片。终端设备接入第一网络切片可以是指终端设备收到了网络发送的允许接入第一网络切片的授权信息，比如第一网络切片的标识s-nssai在终端设备的allowed nssai列表中。如果终端设备接入了第一网络切片，可以确定终端设备标识和/或第一网络切片的标识为真，如果终端设备接入了第一网络切片，可以确定终端设备标识和/或第一网络切片的标识为假。
197.准入控制网络功能校验终端设备是否通过接入管理网络功能标识对应的接入管理网络功能注册了网络。如果终端设备通过接入管理网络功能标识对应的接入管理网络功能注册了网络，可以确定终端设备标识和/或接入管理网络功能标识为真。如果终端设备通过接入管理网络功能标识对应的接入管理网络功能未注册网络，可以确定终端设备标识和/或接入管理网络功能标识为假。
198.准入控制网络功能校验终端设备是否通过会话管理网络功能标识对应的会话管理网络功能建立了会话。如果终端设备通过会话管理网络功能标识对应的会话管理网络功能建立了会话，可以确定终端设备标识和/或会话管理网络功能标识为真。如果终端设备通过接入管理网络功能标识对应的会话管理网络功能未建立会话，可以确定终端设备标识和/或会话管理网络功能标识为假。
199.准入控制网络功能校验终端设备是否通过接入管理网络功能接入了第一网络切片。如果终端设备通过接入管理网络功能接入第一网络切片，可以确定终端设备标识、接入管理网络功能标识、第一网络切片的标识中的一个或多个参数信息为真，如果终端设备未通过接入管理网络功能接入第一网络切片，或者如果终端设备通过接入管理网络功能未接入第一网络切片，可以确定终端设备标识、接入管理网络功能标识、第一网络切片的标识中的一个或多个参数信息为假。
200.准入控制网络功能校验终端设备是否通过会话管理网络功能建立了第一网络切片的会话。如果终端设备通过会话管理网络功能在第一网络切片建立了会话，可以确定终端设备标识、会话管理网络功能标识、第一网络切片的标识中的一个或多个参数信息为真，如果终端设备未通过会话管理网络功能在第一网络切片中建立会话，可以确定终端设备标识、会话管理网络功能标识、第一网络切片的标识中的一个或多个参数信息为假。
201.准入控制网络功能校验终端设备是否通过接入类型接入了网络。如果终端设备通过该接入类型接入了网络，可以确定终端设备标识和/或接入类型为真，如果终端设备未通过该接入类型接入网络，可以确定终端设备标识和/或接类型为假。其中接入类型可以包括通过3gpp网络接入，和/或通过非3gpp网络接入。通过非3gpp网络接入可以包括通过局域网(如无线保真(wireless fidelity，wi-fi))接入，和/或通过固定网络(如光纤网络(fiber-optic network))接入等等。
202.准入控制网络功能校验第一指示信息指示的注册或去注册的请求是否与保存的
终端设备的注册状态匹配。如果匹配，可以确定第一指示信息为真，如果不匹配，可以确定第一指示信息为假。例如第一指示信息用于请求去注册，但是网络中保存的终端设备的实际注册状态为未注册，此时可以认为第一指示信息指示的去注册请求与保存的终端设备的注册状态不匹配，第一指示信息为假。而对于第一指示信息用于请求注册，但是网络中保存的终端设备的实际注册状态为已注册，由于目前标准中允许终端设备重新注册，终端设备仅占用一个数量的配额，准入终端设备的计数器保持不变，因此这种情况可以认为第一指示信息指示的注册请求与保存的终端设备的注册状态匹配，第一指示信息为真。又如第一指示信息用于请求去注册，网络中保存的终端设备的实际注册状态为注册，以及第一指示信息用于请求注册，网络中保存的终端设备的实际注册状态为未注册，可以认为第一指示信息指示的注册或去注册的请求与保存的终端设备的注册状态匹配，第一指示信息为真。
203.准入控制网络功能校验第二指示信息指示建立会话或释放会话的请求是否与保存的终端设备的会话状态匹配。如果匹配，可以确定第二指示信息为真，如果不匹配，可以确定第二指示信息为假。例如第二指示信息用于请求释放会话，但是网络中保存的终端设备的实际会话状态为未创建，此时可以认为第二指示信息指示的释放会话请求与保存的实际会话状态不匹配，第二指示信息为假。而对于第二指示信息用于请求建立会话，但是网络中保存的实际会话状态为已创建，由于目前标准中允许建立多个会话，但是多个会话对应同一会话标识，会话仅占用一个数量的配额，会话的计数器保持不变，因此这种情况可以认为第二指示信息指示建立会话请求与保存的会话状态匹配，第二指示信息为真。又如第二指示信息用于请求释放会话，网络中保存的实际会话状态为已创建，以及第二指示信息用于请求建立会话，网络中保存的实际会话状态为未创建，可以认为第二指示信息指示的建立会话或释放会话的请求与保存的会话状态匹配，第二指示信息为真。
204.准入控制网络功能校验会话标识(或会话标识对应的会话)是否存在。如果会话标识(或会话标识对应的会话)存在，可以确定会话标识为真，如果会话标识(或会话标识对应的会话)不存在，可以确定会话标识为假。其中会话标识可以为pdu session id。
205.准入控制网络功能校验会话标识(或会话标识对应的会话)是否属于终端设备。如果会话标识(或会话)属于该终端设备，可以确定会话标识和/或终端设备标识为真，如果会话标识(或会话)不属于该终端设备，可以确定会话标识和/或终端设备标识为假。
206.准入控制网络功能校验会话标识(或会话标识对应的会话)是否属于第一网络切片。如果会话标识或会话属于第一网络切片，可以确定会话标识和/或第一网络切片的标识为真，如果会话标识或会话不属于第一网络切片，可以确定会话标识和/或第一网络切片的标识为假。
207.准入控制网络功能校验会话标识对应的会话是否属于会话管理网络功能标识对应的会话管理网络功能管理。如果会话标识对应的会话属于会话管理网络功能标识对应的会话管理网络功能管理，可以确定会话标识和/或会话管理网络功能标识为真，如果会话标识对应的会话不属于会话管理网络功能标识对应的会话管理网络功能管理，可以确定会话标识和/或会话管理网络功能标识为假。
208.准入控制网络功能校验会话的状态是否与会话当前的状态一致。如果会话的状态与会话当前的状态一致，可以确定会话的状态为真，如果会话的状态与会话当前的状态不一致，可以确定会话的状态为假。
209.准入控制网络功能校验第一网络切片是否匹配数据网络标识对应的数据网络。如果第一网络切片与数据网络标识对应的数据网络匹配，可以确定第一网络切片的标识和/或数据网络标识为真，如果第一网络切片与数据网络标识对应的数据网络不匹配，可以确定第一网络切片的标识和/或数据网络标识为假。其中数据网络标识可以为数据网络名称(data network name，dnn)和/或数据网络接入标识符(data network access identifier，dnai)。
210.在一种可能的实现中，准入控制网络功能对第一参数信息的真实性进行校验之前，可以向数据管理网络功能(如udm和/或udr)发送第二消息，第二消息用于请求第二参数信息，第二参数信息用于对第一参数信息的真实性进行校验；以及接收第三消息，第三消息包括校验第二参数信息。在该实现中，准入控制网络功能可以未保存有真实的第二参数信息。
211.另一个示例中，准入控制网络功能可以请求其它网络功能对第一参数信息的真实性进行校验。例如其它网络功能可以为数据管理网络功能(如udm和/或udr)，准入控制网络功能可以向数据管理网络功能发送第二消息，第二消息用于请求对第一参数信息进行校验，数据管理网络功能向准入控制网络功能发送第三消息，第三消息包括第一参数信息的校验结果，校验结果包括第一参数信息为真或假。在该示例中，准入控制网络功能可以未保存有真实的第二参数信息。
212.数据管理网络功能根据获取到的终端设备或会话的第二参数信息，对第一参数信息进行校验。
213.第二消息可以包括以下一种或多种信息：终端设备标识、对终端设备的签约状态进行校验的指示信息、对终端设备的接入状态进行校验的指示信息、第一网络切片的标识、第一网络切片对应的归属网络的切片标识、接入管理网络功能标识、请求注册或去注册的第一指示信息、请求建立会话或释放会话的第二指示信息、终端设备的接入类型、会话标识、数据网络标识、会话管理网络功能标识，会话的状态。
214.可选的，数据管理网络功能根据获取到的终端设备或会话的第二参数信息，对第一参数信息进行校验时，可以采用以下一种或多种方式：
215.数据管理网络功能根据对终端设备的签约状态进行校验的指示信息，对终端设备的签约状态进行校验。其中终端设备的签约状态可以是终端设备是否签约了第一网络切片所属的网络的服务的状态，或者可以是终端设备是否签约了第一网络切片所对应的归属网络的服务的状态，或者可以是终端设备是否签约了第一网络切片的服务，或者可以是终端设备是否签约了第一网络切片对应的归属网络的网络切片的服务。
216.数据管理网络功能校验终端设备标识对应的终端设备是否签约了第一网络切片所属的网络的服务。如果终端设备标识对应的终端设备签约了第一网络切片所属的网络的服务，可以确定终端设备标识和/或第一网络切片的标识为真，如果终端设备标识对应的终端设备未签约第一网络切片所属的网络的服务，可以确定终端设备标识和/或第一网络切片的标识为假。
217.数据管理网络功能校验终端设备是否签约了第一网络切片的服务。如果终端设备签约了第一网络切片的服务，可以确定终端设备标识和/或第一网络切片的标识为真，如果终端设备未签约第一网络切片的服务，可以确定终端设备标识和/或第一网络切片的标识
为假。
218.数据管理网络功能校验终端设备是否签约了与第一网络切片相对应的归属网络中的网络切片的服务。如果终端设备签约了与第一网络切片相对应的归属网络的网络切片的服务，可以确定终端设备标识和/或第一网络切片的标识为真，如果终端设备未签约与第一网络切片相对应的归属网络的网络切片的服务，可以确定终端设备标识和/或第一网络切片的标识为假。
219.数据管理网络功能根据对终端设备的接入状态进行校验的指示信息，对终端设备的接入状态进行校验。其中终端设备的接入状态可以是终端设备是否注册了第一网络切片所属的网络，可以是终端设备是否接入了第一网络切片。
220.数据管理网络功能校验终端设备是否注册了第一网络切片所属的网络。如果终端设备注册了第一网络切片所属的网络，可以确定终端设备标识、第一网络切片的标识、第一网络切片对应的归属网络的切片标识中的一个或多个参数信息为真，如果终端设备未注册第一网络切片所属的网络，可以确定终端设备标识、第一网络切片的标识、第一网络切片对应的归属网络的切片标识中的一个或多个参数信息为假。
221.数据管理网络功能校验终端设备是否接入了第一网络切片。如果终端设备接入了第一网络切片，可以确定终端设备标识和/或第一网络切片的标识为真，如果终端设备接入了第一网络切片，可以确定终端设备标识和/或第一网络切片的标识为假。
222.数据管理网络功能校验终端设备是否通过接入管理网络功能标识对应的接入管理网络功能注册了网络。如果终端设备通过接入管理网络功能标识对应的接入管理网络功能注册了网络，可以确定终端设备标识和/或接入管理网络功能标识为真。如果终端设备通过接入管理网络功能标识对应的接入管理网络功能未注册网络，可以确定终端设备标识和/或接入管理网络功能标识为假。
223.数据管理网络功能校验终端设备是否通过会话管理网络功能标识对应的会话管理网络功能建立了会话。如果终端设备通过会话管理网络功能标识对应的会话管理网络功能建立了会话，可以确定终端设备标识和/或会话管理网络功能标识为真。如果终端设备通过会话管理网络功能标识对应的会话管理网络功能未建立会话，可以确定终端设备标识和/或会话管理网络功能标识为假。
224.数据管理网络功能校验终端设备是否通过接入管理网络功能接入了第一网络切片。如果终端设备通过接入管理网络功能接入第一网络切片，可以确定终端设备标识、接入管理网络功能标识、第一网络切片的标识中的一个或多个参数信息为真，如果终端设备未通过接入管理网络功能接入第一网络切片，或者如果终端设备通过接入管理网络功能未接入第一网络切片，可以确定终端设备标识、接入管理网络功能标识、第一网络切片的标识中的一个或多个参数信息为假。
225.数据管理网络功能校验终端设备是否通过会话管理网络功能建立了第一网络切片的会话。如果终端设备通过会话管理网络功能在第一网络切片建立了会话，可以确定终端设备标识、会话管理网络功能标识、第一网络切片的标识中的一个或多个参数信息为真，如果终端设备未通过会话管理网络功能在第一网络切片中建立会话，可以确定终端设备标识、会话管理网络功能标识、第一网络切片的标识中的一个或多个参数信息为假。
226.数据管理网络功能校验终端设备是否通过接入类型接入了网络。如果终端设备通
过该接入类型接入了网络，可以确定终端设备标识和/或接入类型为真，如果终端设备未通过该接入类型接入网络，可以确定终端设备标识和/或接类型为假。
227.数据管理网络功能校验第一指示信息指示的注册或去注册的请求是否与保存的终端设备的注册状态匹配。如果匹配，可以确定第一指示信息为真，如果不匹配，可以确定第一指示信息为假。
228.数据管理网络功能校验第二指示信息指示的建立会话或释放会话的请求是否与保存的终端设备的会话状态匹配。如果匹配，可以确定第二指示信息为真，如果不匹配，可以确定第二指示信息为假。
229.数据管理网络功能校验会话标识(或会话标识对应的会话)是否存在。如果会话标识存在，可以确定会话标识为真，如果会话标识不存在，可以确定会话标识为假。
230.数据管理网络功能校验会话标识(或会话标识对应的会话)是否属于终端设备。如果会话标识(或会话标识对应的会话)属于该终端设备，可以确定会话标识和/或终端设备标识为真，如果会话标识(或会话标识对应的会话)不属于该终端设备，可以确定会话标识和/或终端设备标识为假。
231.数据管理网络功能校验会话标识(或会话标识对应的会话)是否属于第一网络切片。如果会话标识(或会话标识对应的会话)属于第一网络切片，可以确定会话标识和/或第一网络切片的标识为真，如果会话标识(或会话标识对应的会话)不属于第一网络切片，可以确定会话标识和/或第一网络切片的标识为假。
232.数据管理网络功能校验会话标识对应的会话是否属于会话管理网络功能标识对应的会话管理网络功能管理。如果会话标识对应的会话属于会话管理网络功能标识对应的会话管理网络功能管理，可以确定会话标识和/或会话管理网络功能标识为真，如果会话标识对应的会话不属于会话管理网络功能标识对应的会话管理网络功能管理，可以确定会话标识和/或会话管理网络功能标识为假。
233.数据管理网络功能校验会话的状态是否与会话当前的状态一致。如果会话的状态与会话当前的状态一致，可以确定会话的状态为真，如果会话的状态与会话当前的状态一致，可以确定会话的状态为假。
234.数据管理网络功能校验第一网络切片是否匹配数据网络标识对应的数据网络。如果第一网络切片与数据网络标识对应的数据网络匹配，可以确定第一网络切片的标识和/或数据网络标识为真，如果第一网络切片与数据网络标识对应的数据网络不匹配，可以确定第一网络切片的标识和/或数据网络标识为假。
235.如果第一参数信息包括一种或多种信息，则可以在任一种信息为真时，确定第一参数信息为真。如果存在一种信息为假，可以确定第一参数信息为假。
236.可选的，准入控制网络功能确定满足第一条件时，执行该s402，避免由于对同时或在短时间内接收到的大量第一参数信息频繁进行校验，增大nf的处理负担，影响nf的处理效率。满足第一条件包括以下一种或多种：计时器的时长达到第一时长、接收到第一消息的次数达到第一次数阈值、接入的终端设备或会话的数量达到第一数量阈值、接收到触发校验的指示信息(如第三指示信息)。例如通过时间触发时，准入控制网络功能中可以预先设置有计时器，计时器按照设定的时间间隔触发对接收到的第一参数信息进行校验，即计时器计时的时长达到第一时长。又如通过次数触发，准入控制网络功能中可以预先设置有计
数器，对接收到第一消息进行计数，按照设定的次数间隔对第一参数信息进行校验，即接收到第一消息的次数达到第一次数阈值。又如通过准入的终端设备或会话的数量，准入控制网络功能中的计数器对准入的终端设备或会话的数量进行计数，每准入一定数量的终端设备或会话，对第一参数信息进行校验，即接入的终端设备或会话的数量达到第一数量阈值。又如准入控制网络功能接收到来自其他nf的触发校验的指示信息时，对接收到第一参数信息进行校验。该其他nf可以为nwdaf或业务行政管理网络功能(operations administration and management，oam)。第一时长的取值任意正数，在此不做限制。第一次数阈值可以为任意正整数，在此不做限制。第一数量阈值可以为任意正整数，在此不做限制，第一数量阈值和第二数量阈值可以相同，或者可以不同。可以理解，本技术实施例中所涉及的计数器可以为正计数或者可以为倒计数，计时器可以为正计时或者可以为倒计时。
237.s403：若第一参数信息为真，准入控制网络功能对第一网络切片内的终端设备或会话的数量进行更新。
238.若第一参数信息为假，准入控制网络功能按照第一网络切片配额不足进行处理。可选的准入控制网络功能可以通知oam存在异常事件等。
239.下面以第一参数信息用于更新第一网络切片内的终端设备的数量为例进行说明，参见图5，包括如下步骤：
240.s501：amf向nsacf发送acu请求。
241.acu请求包括终端设备标识ue id，第一网络切片的标识s-nssai，第一指示信息flag和接入类型access type等参数信息。
242.可选地，amf和nsacf可以基于服务化接口(service based interface，sbi)进行交互。amf在acu消息中还可以包括令牌(token)供nsacf验证amf身份，该令牌中还可以包括amf id。
243.可选地，第一网络切片的标识s-nssai可以是终端设备的归属网络的第一网络切片的标识，也可以是终端设备的拜访网络的网络切片的切片标识。可选地，第一网络切片的标识也可以包括两个第一网络切片的标识，一个是拜访网络的切片标识s-nssai，另一个是与之相对应的归属网络的切片标识，即mapped s-nssai。
244.s502：nsacf向udm发送验证请求消息。
245.可选地，nsacf和udm之间可以先基于sbi通过nrf进行认证和授权，nsacf和udm认证和授权可以进行交互。
246.该签约验证请求消息用于请求udm对第一参数信息的真实性进行校验，判断第一参数信息是否存在参数造假。
247.签约验证请求消息可以包括ue id。可选地，签约验证请求消息还可以包括以下一种或多种：对ue的签约状态进行校验的指示信息、对ue的接入状态进行校验的指示信息、一个或多个s-nssai、amf id等。需要说明的是，本技术中“一个或多个s-nssai”可以包括一个或多个拜访网络的s-nssai、或者一个或多个归属网络的s-nssai、或者包括一个或多个拜访网络的s-nssai和一个或多个归属网络的s-nssai、或者包括一个或多个拜访网络的s-nssai以及对应的归属网络的mapped s-nssai。本技术中对上述情况不作特别限定。在下面的描述中同样适用，不再赘述。
248.amf id是指步骤s501中向nsacf发送acu请求消息的amf。可选地，nsacf可以从acu
请求消息中的令牌中获取。需要说明的是，本技术对nsacf如何获取amf的id不做限制。
249.如果签约验证请求消息包括对ue的签约状态进行校验的指示信息，该签约验证请求消息还可以至少包括ue id。可选地，该签约验证请求消息还可以包括一个或多个s-nssai。
250.如果签约验证请求消息包括对ue的接入状态进行校验的指示信息，该签约验证请求消息还可以至少包括ue id。可选地，该签约验证请求消息还可以包括以下一种或多种：一个或多个s-nssai、amf id、ue的接入类型。
251.如果签约验证请求消息中不包括对ue的签约状态进行校验的指示信息或/和对ue的接入状态进行校验的指示信息，udm可以默认指示该一种或两种状态的校验，或者udm可以预先的规定或配置默认执行其中一种状态的校验。
252.udm也可以根据签约验证请求消息中包括的第一参数信息，确定需要校验的第一参数信息。例如签约验证请求消息包括接入类型和amf id，udm确定需要对接入类型和终端接入的状态(从哪个amf或网络接入)进行校验。
253.一种可能的情况下，udm中存储有ue的签约数据，未存储ue的接入状态，这时，udm可以请求udr对ue的接入状态进行校验，执行s503。可以理解，udm可以对ue的签约状态和/或接入状态进行校验，udr也可以对ue的签约状态和/或接入状态进行校验。
254.可选地s503：udm向udr发送接入状态验证请求消息。
255.可选地s504：udr向udm发送接入状态验证结果。
256.可以理解，udm发送的接入状态验证请求消息可以用于在udr获取接入状态，对应的，接入状态验证结果中包括udr中存储的接入状态。或者udm发送的接入状态验证请求可以用于请求udr验证接入状态，对应的，接入状态验证结果中包括udr确定的接入状态的验证结果。
257.在不执行s503和s504时，udm可以执行如下操作：udm如果确定对ue的签约状态进行校验，udm可以从nsacf中(如步骤502的消息中)获取ue id，查询udm中存储ue的签约数据。该签约数据包括与网络已经签约的ue，根据ue id，udm可以确定ue id对应的待查询ue是否为签约用户，即udm可以校验ue id是否为真实的ue id，即ue id是否属于已签约的ue，或者属于合法的ue。
258.可选地udm中存储的签约数据中还可以包括ue所签约的切片信息，例如ue所签约的切片信息可以包括在udm的“subscribed s-nssais”信息元(information element，ie)。示例的，如果ue已经签约了两个切片，udm中会列出对应ue签约的切片标识s-nssai列表，包括s-nssai-1和s-nssai-2。如果udm收到的nsacf的签约验证请求消息中包括了s-nssai-1和s-nssai-3，则udm可以确定s-nssai-1校验通过(ue已签约该切片)、s-nssai-3校验不通过(ue未签约该切片)。可选地，在ue漫游到拜访网络时，udm是指ue的归属网络中的udm。
259.在执行s503和s504时，udm不一定存储ue所有状态信息，这种情况下，udm可以执行如下操作：
260.如果需要校验ue接入的服务网络与签约的ue接入的服务网络是否一致：如果nsacf在签约验证请求消息中包括了需要校验的amf id，udm可以根据amf id确定该amf所属的网络(即所属的plmn id)，例如plmn id为plmn-4。而udm可以根据ue签约的切片标识s-nssai，确定s-nssai属于哪个plmn网络。例如ue签约的s-nssai-1属于plmn-1，以及ue签约
的s-nssai-2属于plmn-2。udm通过比较plmn id，确定plmn-4分别与plmn-1和plmn-2不同，由此可以确定amf与ue签约的切片信息不一致，校验不通过。
261.如果需要验证签约验证请求消息中的amf与ue接入的amf是否一致：ue在接入切片之前通过接入的服务网络(服务网络是指ue在漫游时接入的拜访网络、或者是ue在非漫游时接入的归属网络)的amf进行主认证并生成相关的密钥，amf id会保存在udm或udr中。因此udm可以将存储的服务该ue的(通过该amf进行主认证的)amf id与签约验证请求消息中的amf id相比较，如果一致即校验通过，否则校验不通过。类似地，也可以通过比较udm中存储的该ue当前的(或通过主认证的)plmn id与签约验证请求消息中的amf所对应的plmn id是否相同来校验plmn id。需要说明的是，如果udm中未存储相关信息，udm可以通过udr来获取，即通过执行s503，向udr发送接入状态验证请求消息。udr中有多个ie存储了plmn id的信息，例如ie“ue当前的plmn”(“ue current plmn”)中包括当前plmn id，又如ie“ue漫游状态”(“ue roaming status”)中包括ue当前漫游到的服务网络plmn id，该网络是否为归属网络(home plmn)。本实施例不限制通过udr中哪一个ie获取当前plmn或amf的信息。
262.如果需要验证签约验证请求消息中的接入类型与签约的ue的接入类型是否一致：udr中存储ue当前的接入类型(3gpp接入或者是非3gpp接入)，如果签约验证请求消息包括终端设备的接入类型，表示要求验证接入类型，udm可以通过s503，向udr接入状态验证请求消息，如果udr中存储的接入类型与签约验证请求消息中的接入类型是否一致，如果一致则确定校验通过，否则校验不通过。
263.如果需要验证签约验证请求消息中的flag与签约的ue的注册状态是否一致：udr中存储ue当前的注册状态，可以被用来校验签约验证请求消息中的flag指示的注册状态的真假。例如udr中还保存了有关ue接入的“注册状态”ie(“ue registration state”)，该ie显示ue的当前状态是“已注册”(“registered”)还是“去注册”(“deregistered”)。当ue处于“去注册”状态时，意味着ue没有接入任何切片，没有占用任何切片的准入配额。如果此时签约验证请求消息中flag＝
“‑“
(即减少准入配额，与该ue当前的注册状态不符合。因此如果udm从udr获取了该ue注册状态后，即可验证签约验证请求消息中的
“‑”
flag信息验证不通过。
264.s505：udm向nsacf发送验证结果。
265.s506：当所有参数信息验证通过时，nsacf更新存储的网络切片的准入配额。
266.如果参数信息验证不通过时，可选地，nsacf按照网络切片没有准入配额进行处理，或者通知网络管理功能或实体oam，例如通知存在异常事件。
267.s507：nsacf向amf发送acu响应。
268.该s507可以参见上述s204。
269.值得说明的是，对参数信息验证的全部或部分过程可以由nsacf实现，或者可以由udm实现，或者可以由udr实现。例如，当参数信息的验证过程由nsacf实现时，s505中udm向nsacf发送的不是验证结果，而是第二参数信息，该第二参数信息用于对第一参数信息验证真假。在该实现中，准入控制网络功能可以未保存有真实的第二参数信息。又例如，当ue状态信息的验证过程由udm实现时，s504中udr向udm发送的不是验证结果，而是第二参数信息，该信息用于验证ue的状态。
270.需要说明的是，上述实施例以amf为例子与nsacf交互用来控制切片内的ue数量。
同样方法也适用于smf与nsacf交互的acu流程，该流程是控制切片内pdu的数量。当用来控制pdu数量的时候，udm、udr中存储了相关pdu会话的参数可以用来校验，即上述校验的第一参数信息需要替换为相关pdu会话的第一参数信息。例如，udm中存储了ue已经建立的pdu会话、pdu会话标识(pdu session id)、dn名称(dnn)、smf id(如smf ip address或smf nf id)。又例如udr中存储了ue已经建立的pdu会话、ue ip地址(ue ip address)、pdu会话状态(pdu session status)、dn接入id(dn access identifier，dnai)等，可以进行类似校验，即作为步骤502中的第一参数信息进行一一校验，这里不再赘述。
271.在该方法中，准入控制网络功能接收第一消息，第一消息包括用于更新第一网络切片内的终端设备或会话的数量的第一参数信息，准入控制网络功能对第一参数信息的真实性进行校验，若第一参数信息为真，准入控制网络功能可以对第一网络切片内的终端设备或会话的数量进行更新，若第一参数信息为假，表示第一参数信息为伪造的错误的信息，准入控制网络功能不对第一网络切片内的终端设备或会话的数量进行更新。这里通过对接收到的第一参数的真实性进行校验，可以降低因虚假消息造成的切片配置的错误更新，保证终端设备可以正常接入网络切片或可以正常建立pdu会话，提高网络切片提供服务的稳定性，以及提高网络安全性。
272.下面对先执行准入控制(early admission control，eac)模式的基本流程进行说明。eac模式用于指示执行acu流程的时间点。当eac模式被激活(active)时，amf在授权ue接入网络切片之前，要先执行acu流程，以便确认网络切片的配额未满，允许ue接入。当eac模式没有被激活(inactive)时，amf可以在授权ue接入网络切片之后，再去执行acu流程，通常情况下网络切片有充足的配额，不急于更新网络切片接入的终端设备或会话的数量，可以优先执行ue的其他流程。结合图6进行说明，包括以下步骤：
273.s601：nsacf触发eac配置更新流程。
274.例如当网络切片中接入的终端设备的数量达到一定数量(如终端设备的数量高于或低于预设的数量阈值)时，nsacf触发eac配置更新流程。
275.s602：nsacf向amf发送eac模式更新消息，eac模式更新消息用于激活或去激活网络切片的eac模式。
276.例如当网络切片中接入的终端设备的数量低于预设的数量阈值(如低于50％的配额)时，nsacf去激活网络切片的eac模式，不必在授权ue之前发起acu流程。当网络切片中接入的终端设备的数量高于预设的数量阈值(如高于75％的配额)时，nsacf激活网络切片的eac模式，需要在授权ue之前发起acu流程，以便于保证网络切片有足够配额接入ue。
277.s603：amf更新eac模式。
278.amf还可以根据配置，在授权ue之前或之后发起acu流程。
279.即使网络中各nf都经过了认证，属于合法nf，仍然存在遭受攻击的潜在风险。例如在eac未被激活时，amf不需要在ue被授权接入网络切片之前发起acu流程。如果此时允许amf同时或在短时间内授权大量ue，会造成ue数量突然大量增加，可能导致ue数量超过网络切片配置的风险，在多个amf服务于同一个网络切片时该风险会更严重。以图7为例，nsacfx表示已经受到恶意攻击的nf或被insider控制，从而发送虚假消息，该虚假消息可能篡改eac模式，如将eac flag设置为deactived或inactive，使上述风险更易发生。
280.基于此，本技术实施例提供另一种通信方法。在该方法中，在先执行准入控制模式
为未激活状态时，如果请求接入第一网络切片的终端设备的数量达到第二数量阈值，接入管理网络功能向准入控制网络功能发送第一消息，用于更新第一网络切片内的终端设备的数量，从而可以降低先执行准入控制模式在未激活状态下，授权终端设备接入网络切片过多的风险，可以提高网络切片提供服务的稳定性。
281.本技术实施例提供的通信方法可以应用于图1所示的通信系统。图8为一种可能的通信方法，包括以下步骤：
282.s801：在先执行准入控制模式为未激活状态时，接入管理网络功能确定请求接入第一网络切片的终端设备的数量。
283.amf预先设置有计数器，可以在发起acu流程之后，在接收到终端设备请求接入第一网络切片时，对计数器的计数值进行更新，例如对计数值增加设定值，该设定值为任意整数，在本技术实施例中不做限制，例如该设定值可以为1。
284.s802：如果请求接入第一网络切片的终端设备的数量达到第二数量阈值，接入管理网络功能向准入控制网络功能发送第一消息。
285.对应的，准入控制网络功能接收第一消息。
286.终端设备中可以设置有第二数量阈值，该第二数量阈值可以为任意整数，在本技术实施例不做限制，第一数量阈值和第二数量阈值可以相同，或者可以不同。该第二数量阈值可以为系统中预设设置的值，或者可以是通过先执行准入控制配置更新流程更新得到的值，或者可以是由接入管理网络功能确定的值。如果通过先执行准入控制配置更新流程更新得到第二数量阈值，准入控制网络功能在发送先执行准入控制模式更新消息时，可以在先执行准入控制模式更新消息中增加第二数量阈值的指示信息。如果接入管理网络功能确定第二数量阈值，接入管理网络功能可以根据网络切片剩余的准入配额和/或接入管理网络功能的数量，确定第二数量阈值。当然，本技术实施例对第二数量阈值的其他确定方式不做限定。
287.该第二数量阈值可以为接入管理网络功能在两次acu流程之间，最多准入的终端设备的数量上限。如果请求接入第一网络切片的终端设备的数量达到第二数量阈值，则需要先执行acu流程，向准入控制网络功能发送第一消息。该第一消息包括用于更新第一网络切片内的终端设备的数量，或者拒绝请求接入第一网络切片的终端设备。可以理解为在先执行准入控制模式为未激活状态下，接入管理网络功能中额外增加了一个触发acu流程的条件。
288.可选地，准入控制网络功能还可以发送第四消息，接入管理网络功能接收第四消息，该第四消息用于将先执行准入控制模式修改为未激活状态，接入管理网络功能对第四消息进行校验；若校验通过，接入管理网络功能确定先执行准入控制模式为未激活状态。通过该验证过程，在第四消息校验通过时，接入管理网络功能可以确定先执行准入控制模式不存在恶意修改，在第四消息校验不通过时，接入管理网络功能可以确定先执行准入控制模式存在恶意修改，识别出攻击风险。
289.第四消息可以包括但不限于以下一种或多种：准入控制网络功能标识、准入控制网络功能所在运营商网络的标识、第一网络切片的标识。在接入管理网络功能对第四消息进行校验时，接入管理网络功能可以对准入控制网络功能标识(nsacf id)、准入控制网络功能所在运营商网络的标识(plmn id)、第一网络切片的标识(s-nssai)中的一种或多种，
进行校验。需要说明的是，第四消息中的上述标识，通常是包含在token中，如包含在token的声明项(claim)中。token中的信息是经过了完整性保护的信息，攻击者如果篡改其中的信息，会造成验证不通过。
290.需要说明的是，如果在ue漫游时，第四消息中(如token中)的s-nssai可以采用服务网络(即拜访网络)plmn的s-nssai，也可以采用映射的网络切片标识(mapped s-nssai)，即归属网络中的s-nssai。plmn id(即拜访网络的id)和mapped s-nssai(归属网络的s-nssai)可以更准确的确定准入控制网络功能。由于一个归属网络的s-nssai(mapped s-nssai)可以被映射到不同的plmn里的s-nssai，因此仅仅包括mapped s-nssai信息仍存在被冒用的风险，这样通过对plmn和网络切片标识(serving s-nssai和/或mapped s-nssai)进行校验，可以减弱该风险。
291.可选地，对第四消息进行校验的过程可以在s602之后执行，如果验证通过，再执行s603。
292.在该方法中，在先执行准入控制模式为未激活状态时，如果请求接入第一网络切片的终端设备的数量达到第二数量阈值，接入管理网络功能向准入控制网络功能发送第一消息，用于更新第一网络切片内的终端设备的数量，从而可以降低先执行准入控制模式在未激活状态下，授权终端设备接入网络切片过多的风险，可以提高网络切片提供服务的稳定性，以及提高网络的安全性。
293.需要说明的是，图7、图8所述步骤同样适用于对会话的数量的控制，其中接入控制网络功能amf需要替换为会话管理功能smf。相应的token中的信息可以相应地增加或者替换为相关会话的信息，这里不再赘述。
294.在本技术的各个实施例中，如果没有特殊说明以及逻辑冲突，不同的实施例之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
295.并且，本技术的各个实施例，也可以适用于基于sbi的其它nf之间交互时的信息校验场景，其它nf和待校验的信息可能与上述实施例中的nf和第一参数信息不同，校验过程类似，这里不做赘述。
296.基于与上述通信方法的同一技术构思，本技术实施例还提供一种通信装置，如图9所示，通信装置900包括处理单元901和收发单元902，通信装置900可以用于实现上述方法实施例中描述的方法。装置900可以应用于准入控制网络功能或数据管理网络功能或接入管理网络功能，或者位于准入控制网络功能或数据管理网络功能或接入管理网络功能中。可选的收发单元902所实现的功能可以由通信接口完成。
297.在一个可能的实施例中，装置900为准入控制网络功能时，收发单元902，用于接收第一消息，第一消息包括用于更新第一网络切片内的终端设备或会话的数量的第一参数信息；处理单元901，用于对第一参数信息的真实性进行校验；若第一参数信息为真，对第一网络切片内的终端设备或会话的数量进行更新。
298.第一参数信息包括以下一种或多种信息：终端设备标识、第一网络切片的标识、接入管理网络功能标识、请求注册或去注册的第一指示信息、请求建立会话或释放会话的第二指示信息、终端设备的接入类型、会话标识、数据网络标识、会话管理网络功能标识、会话的状态。
299.在一个实现方式中，处理单元901，具体用于采用以下一种或多种方式对第一参数信息的真实性进行校验：校验终端设备标识对应的终端设备是否签约了第一网络切片所属的网络的服务或者签约了与第一网络切片相对应的归属网络的服务；校验终端设备是否签约了第一网络切片的服务或者签约了与第一网络切片相对应的归属网络的网络切片的服务；校验终端设备是否注册了第一网络切片所属的网络；校验终端设备是否接入了第一网络切片；校验终端设备是否通过接入管理网络功能标识对应的接入管理网络功能注册了网络；校验终端设备是否通过接入管理网络功能接入了第一网络切片；校验终端设备是否通过接入类型接入了网络；校验第一指示信息指示的注册或去注册的请求是否与保存的终端设备的注册状态匹配；校验第二指示信息指示的建立会话或释放会话的请求是否与保存的终端设备的会话状态匹配；校验会话标识或会话标识对应的会话是否存在；校验会话标识或会话标识对应的会话是否属于终端设备；校验会话标识或会话标识对应的会话是否属于第一网络切片；校验会话标识对应的会话是否属于会话管理网络功能标识对应的会话管理网络功能管理；校验会话的状态是否与会话当前的状态一致；校验第一网络切片是否匹配数据网络标识对应的数据网络。
300.在一个实现方式中，处理单元901，具体用于通过收发单元902用于向数据管理网络功能发送第二消息，第二消息用于请求对第一参数信息进行校验；接收第三消息，第三消息包括第一参数信息的校验结果。
301.在一个实现方式中，第二消息包括以下一种或多种信息：终端设备标识、对终端设备的签约状态进行校验的指示信息、对终端设备的接入状态进行校验的指示信息、第一网络切片的标识、第一网络切片对应的归属网络的切片标识、接入管理网络功能标识、请求注册或去注册的第一指示信息、请求建立会话或释放会话的第二指示信息、终端设备的接入类型、会话标识、数据网络标识、会话管理网络功能标识、会话的状态。
302.在一个实现方式中，处理单元901还用于确定满足第一条件。
303.满足第一条件包括以下一种或多种：计时器的时长达到第一时长、接收到第一消息的次数达到第一次数阈值、接入的终端设备或会话的数量达到第一数量阈值、接收到触发校验的指示信息。
304.在一个实现方式中，第一消息为先执行准入控制模式为未激活状态，且请求接入第一网络切片的终端设备的数量达到第二数量阈值时发送。
305.在另一个可能的实施例中，装置900为数据管理网络功能时，收发单元902，用于接收第二消息，第二消息用于请求对第一参数信息进行校验，第一参数信息用于更新第一网络切片内的终端设备或会话的数量；处理单元901，用于根据获取到的终端设备或会话的第二参数信息，对第一参数信息进行校验；收发单元901，用于向准入控制网络功能发送第三消息，第三消息包括第一参数信息的校验结果，校验结果包括第一参数信息为真或假。
306.在一个实现方式中，第二消息包括以下一种或多种信息：终端设备标识、对终端设备的签约状态进行校验的指示信息、对终端设备的接入状态进行校验的指示信息、第一网络切片的标识、第一网络切片对应的归属网络的切片标识、接入管理网络功能标识、请求注册或去注册的第一指示信息、请求建立会话或释放会话的第二指示信息、终端设备的接入类型、会话标识、数据网络标识、会话管理网络功能标识、会话的状态。
307.在一个实现方式中，处理单元901，具体用于采用以下一种或多种方式根据获取到
的终端设备或会话的第二参数信息，对第一参数信息进行校验：根据对终端设备的签约状态进行校验的指示信息，对终端设备的签约状态进行校验；校验终端设备标识对应的终端设备是否签约了第一网络切片所属的网络的服务或者签约了与第一网络切片相对应的归属网络的网络的服务；校验终端设备是否签约了第一网络切片的服务或者签约了与第一网络切片相对应的归属网络的网络切片的服务；根据对终端设备的接入状态进行校验的指示信息，对终端设备的接入状态进行校验；校验终端设备是否注册了第一网络切片所属的网络；校验终端设备是否接入了第一网络切片；校验终端设备是否通过接入管理网络功能标识对应的接入管理网络功能注册了网络；校验终端设备是否通过接入管理网络功能接入了第一网络切片；校验终端设备是否通过接入类型接入了网络；校验第一指示信息指示的注册或去注册的请求是否与保存的终端设备的注册状态匹配；校验第二指示信息指示的建立会话或释放会话的请求是否与保存的终端设备的会话状态匹配；校验会话标识或会话标识对应的会话是否存在；校验会话标识或会话标识对应的会话是否属于终端设备；校验会话标识或会话标识对应的会话是否属于第一网络切片；校验会话标识对应的会话是否属于会话管理网络功能标识对应的会话管理网络功能管理；校验会话的状态是否与会话当前的状态一致；校验第一网络切片是否匹配数据网络标识对应的数据网络。
308.在又一个可能的实施例中，装置900为接入管理网络功能时，处理单元901，用于在先执行准入控制模式为未激活状态时，确定请求接入第一网络切片的终端设备的数量；收发单元902，用于如果请求接入第一网络切片的终端设备的数量达到第二数量阈值，向准入控制网络功能发送第一消息，第一消息包括用于更新第一网络切片内的终端设备的数量。
309.在一个实现方式中，收发单元902，还用于接收准入控制网络功能发送的第四消息，第四消息用于将先执行准入控制模式修改为未激活状态。
310.处理单元901，还用于可以对第四消息进行校验，若校验通过，确定先执行准入控制模式为未激活状态。
311.在一个实现方式中，处理单元901，具体用于对准入控制网络功能标识、准入控制网络功能所在运营商网络的标识、第一网络切片的标识中的一种或多种，进行校验。
312.需要说明的是，本技术实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。例如收发单元可以包括接收单元和/或发送单元。
313.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，该集成的单元可以作为计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本技术各个实施例方法的全部或部分步骤。
314.如图10所示，本技术实施例还提供了一种通信装置1000的结构示意图。装置1000可用于实现上述方法实施例中描述的方法，可以参见上述方法实施例中的说明。
315.装置1000包括一个或多个处理器1001。处理器1001可以是通用处理器或者专用处理器等。例如可以是基带处理器、或中央处理器。基带处理器可以用于对通信协议以及通信
dram，sldram)和直接内存总线随机存取存储器(direct rambus ram，dr ram)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。存储器可以是独立存在，通过通信线路与处理器相连接。存储器也可以和处理器集成在一起。
324.本技术实施例还提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被计算机执行时实现上述任一方法实施例的通信方法。
325.本技术实施例还提供了一种计算机程序产品，包括计算机程序，该计算机程序被计算机执行时实现上述任一方法实施例的通信方法。
326.本技术实施例还提供了一种通信系统，包括准入控制网络功能，还可以包括接入管理网络功能和/或会话管理网络功能。可选的，通信系统还可以包括数据管理网络功能。各网络功能可以实现上述任一方法实施例。
327.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机指令时，全部或部分地产生按照本技术实施例的流程或功能。计算机可以是上述通信装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。计算机可读存储介质可以是上述存储介质或上述存储器。
328.在一种可能的设计中，当上述通信装置是芯片，如网络设备中的芯片时，或者，如终端设备中的芯片时，确定单元或者处理器1001可以是一个或多个逻辑电路，发送单元或者接收单元或者收发器1005可以是输入输出接口，又或者称为通信接口，或者接口电路，或接口等等。或者收发器1005还可以是发送单元和接收单元，发送单元可以是输出接口，接收单元可以是输入接口，该发送单元和接收单元集成于一个单元，例如输入输出接口。如图11所示，图11所示的通信装置包括逻辑电路1101和接口电路1102。即上述确定单元或者处理器1001可以用逻辑电路1101实现，发送单元或者接收单元或者收发器1005可以用接口电路1102实现。其中，该逻辑电路1101可以为芯片、处理电路、集成电路或片上系统(system on chip，soc)芯片等，接口电路1102可以为通信接口、输入输出接口等。本技术实施例中，逻辑电路和接口电路还可以相互耦合。对于逻辑电路和接口电路的具体连接方式，本技术实施例不作限定。
329.在本技术的一些实施例中，该逻辑电路1101和接口电路1102可用于执行上述终端设备或策略控制网络功能或接入管理网络功能执行的功能或操作等。接口电路可以用于接收来自通信装置之外的其它通信装置的信号并传输至逻辑电路或将来自逻辑电路的信号发送给通信装置之外的其它通信装置。逻辑电路可以通过执行代码指令用于实现上述任一方法实施例。接口电路1102可以用于接收来自通信装置1100之外的其它通信装置的信号并传输至逻辑电路1101或将来自逻辑电路1101的信号发送给通信装置1100之外的其它通信装置。逻辑电路1101可以通过执行代码指令用于实现上述任一方法实施例。
330.示例性地，接口电路1102用于接收第一消息，第一消息包括用于更新第一网络切片内的终端设备或会话的数量的第一参数信息。逻辑电路1101用于对第一参数信息的真实性进行校验，若第一参数信息为真，对第一网络切片内的终端设备或会话的数量进行更新。网络设备或终端设备执行的功能或操作可以参照前述方法实施例，在此不再赘述。
331.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单
元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
332.所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
333.在本技术所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。
334.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本技术实施例方案的目的。
335.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
336.通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本技术可以用硬件实现，或固件实现，或它们的组合方式来实现。当使用软件实现时，可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。
337.总之，以上仅为本技术技术方案的实施例而已，并非用于限定本技术的保护范围。凡在本技术的原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。