WO2020207156A1

WO2020207156A1 - 认证方法、装置及设备

Info

Publication number: WO2020207156A1
Application number: PCT/CN2020/077791
Authority: WO
Inventors: 雷中定; 康鑫; 王海光
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2019-04-12
Filing date: 2020-03-04
Publication date: 2020-10-15
Anticipated expiration: 2021-10-12
Also published as: US11871223B2; US20220030429A1; EP3944649A4; CN111818516A; CN111818516B; EP3944649A1

Abstract

本申请实施例提供一种认证方法、装置及设备，该方法包括：核心网设备向数据网设备发送用户的认证请求消息，所述认证请求消息用于请求所述数据网设备对所述用户进行身份认证；所述核心网设备接收所述数据网设备发送的认证响应消息，所述认证响应消息包括第一信息，所述第一信息用于指示所述用户的用户身份信息。提高了用户隐私的安全性。

Description

认证方法、装置及设备

本申请要求于2019年04月12日提交中国专利局、申请号为2019102924399、申请名称为“认证方法、装置及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种认证方法、装置及设备。

背景技术

网络切片为虚拟的专用网络，在终端设备接入网络切片之前，需要由数据网设备对使用终端设备的用户的身份进行认证。数据网设备可以为第三方网络设备，例如，第三方网络设备可以为游戏平台等。

在现有技术中，终端设备可以通过核心网设备(运营商网络的设备)请求第三方网络设备对用户的身份进行认证。例如，终端设备可以向核心网设备发送用户的用户身份信息，核心网设备根据用户身份信息请求数据网设备对用户的身份进行认证。然而，用户身份信息为用户的隐私数据，在上述过程中，用户身份信息可能被泄露，导致用户隐私的安全性较差。

发明内容

本申请提供一种认证方法、装置及设备。提高了用户隐私的安全性。

第一方面，本申请实施例提供一种认证方法，核心网设备向数据网设备发送用户的认证请求消息，认证请求消息用于请求数据网设备对用户进行身份认证，核心网设备接收数据网设备发送的认证响应消息，认证响应消息包括第一信息，第一信息用于指示用户的用户身份信息。

在上述过程中，用户的DUI对其它设备(核心网设备和接入网设备，或者接入网设备)为不可见的，使得DUI不会泄露到这些设备，也不会使得DUI在传输的过程(例如，终端设备与接入网设备之间的传输、接入网设备与核心网设备之间的传输、核心网设备与数据网设备之间的传输)中发生泄漏，提高了用户隐私的安全性。

在一种可能的实施方式中，认证请求消息中包括第一信息。

在上述过程中，数据网设备可以根据认证请求消息终端的第一信息确定待认证的用户，进而对待认证的用户进行身份认证。认证请求消息中包括的内容较少，节省了信令开销。

在一种可能的实施方式中，认证请求消息还包括用户身份信息，用户身份信息位于认证请求消息的容器中，第一信息位于认证请求消息的容器之外。

在上述过程中，数据网设备在接收到认证请求消息之后，可以在容器中获取用户身份信息，并获取用户身份信息对应的第一信息，判断用户身份信息对应的第一信息与认证请求消息中包括的第一信息是否相同，在确定相同时，再对用户身份信息所指示的用户进行身份认证，避免了在数据传输过程中对认证请求消息中的信息被恶意更改时，对用户身份认证错误的问题，提高了认证的安全性。

在一种可能的实施方式中，核心网设备向数据网设备发送认证请求消息之前，核心网设备接收终端设备发送的注册请求消息，注册请求消息中包括第一信息和用户身份信息，用户身份信息位于注册请求消息的容器中，第一信息位于注册请求消息的容器之外。

在上述过程中，核心网设备可以通过注册请求消息获取得到第一信息和用户身份信息，无需通过额外的其它信令获取第一信息和用户身份信息，节省了信令开销。

在一种可能的实施方式中，核心网设备向数据网设备发送认证请求消息之前，核心网设备向终端设备发送用户身份请求消息；核心网设备接收终端设备发送的用户身份响应消息，用户身份响应消息包括第一信息和用户身份信息。

在一种可能的实施方式中，核心网设备获取终端设备的标识，并核心网设备存储终端设备的标识和第一信息之间的对应关系。这样，核心网设备可以确定得到用户与终端设备之间的对应关系，相应的，在核心网设备接收到认证响应消息之后，可以根据认证响应消息中的第一信息所指示的用户确定得到对应的终端设备，并对该终端设备执行相应的处理操作(例如发送注册响应消息等)。

在一种可能的实施方式中，终端设备的标识包括终端永久标识符SUPI和/或隐藏的终端签约标识符SUCI。

在一种可能的实施方式中，核心网设备向数据网设备发送用户的认证请求消息，包括：核心网设备获取第一信息；核心网设备根据第一信息，确定数据网设备的地址信息；核心网设备根据地址信息向数据网设备发送认证请求消息。

在上述过程中，核心网设备根据第一信息即可获取得到数据网设备的地址信息，使得核心网设备可以快速获取得到数据网设备的地址信息。

在一种可能的实施方式中，切片信息为网络切片选择辅助信息NSSAI。

在一种可能的实施方式中，核心网设备接收数据网设备发送的第一状态更新请求消息，第一状态更新请求消息包括第一信息；

核心网设备根据第一状态更新请求消息更新第一信息对应的用户的状态；

核心网设备向数据网设备发送第一状态更新响应消息，第一状态更新响应消息包括第一信息。

在上述过程中，在数据网设备对用户的状态进行更新之后，数据网设备向核心网设备发送第一状态更新请求消息，并在第一状态更新请求消息中携带第一信息，这样，核心网设备可以根据第一信息识别对应的用户，并对识别得到的用户的状态进行更新，在上述过程中，在与核心网设备通信的过程中，用户的DUI对核心网设备为不可见的，避免了DUI的泄露，保障了用户隐私。

在一种可能的实施方式中，核心网设备向数据网设备发送第二状态更新请求消息，第二状态更新请求消息包括第一信息；核心网设备接收数据网设备发送的第二状态更新响应消息，第二状态更新响应消息中包括第一信息。

在上述过程中，核心网设备可以请求数据网设备对用户的状态进行更新操作，数据网设备与核心网设备之间交互的信息中包括第一信息，这样，核心网设备可以根据第一信息识别对应的用户，以和数据网设备实现对用户的状态的更新操作，在上述过程中，在与核心网设备通信的过程中，用户的DUI对核心网设备、UE和数据网之间的传输中的其他设备为不可见的，避免了DUI的泄露，保障了用户的隐私。

在一种可能的实施方式中，核心网设备向终端设备发送通知消息，通知消息包括第一信息，通知消息用于指示第一信息对应的用户的状态发生更新。

第二方面，本申请实施例提供一种认证方法，数据网设备接收核心网设备发送的用户的认证请求消息；数据网设备根据认证请求消息对用户进行身份认证，并向核心网设备发送认证响应消息，认证响应消息包括第一信息，第一信息用于指示用户的数据网用户身份信息用户身份信息。

在一种可能的实施方式中，认证请求消息中包括第一信息。

在一种可能的实施方式中，认证请求消息包括第一信息；数据网设备可以根据第一信息确定用户身份信息；数据网设备根据用户身份信息，对用户进行身份认证。

在一种可能的实施方式中，认证请求消息包括第一信息；数据网设备可以根据第一信息对用户进行身份认证。

在一种可能的实施方式中，认证请求消息包括用户身份信息；数据网设备向核心网设备发送认证响应消息之前，数据网设备根据用户身份信息确定第一信息。

在一种可能的实施方式中，数据网设备向核心网设备发送第一状态更新请求消息，第一状态更新请求消息包括第一信息，第一状态更新请求消息用于请求核心网设备对第一信息所指示的用户的状态进行更新；数据网设备接收核心网设备发送的第一状态更新响应消息，第一状态更新响应消息包括第一信息。

在一种可能的实施方式中，数据网设备接收核心网设备发送的第二状态更新请求消息，第二状态更新请求消息包括第一信息；数据网设备根据第一信息确定用户身份信息，并根据用户身份信息更新用户的状态；数据网设备向核心网设备发送第二状态更新响应消息，第二状态更新响应消息中包括第一信息。

第三方面，本申请实施例提供一种认证装置，包括发送模块和接收模块，其中，

所述发送模块用于，向数据网设备发送用户的认证请求消息，所述认证请求消息用于请求所述数据网设备对所述用户进行身份认证；

所述接收模块用于，设备接收所述数据网设备发送的认证响应消息，所述认证响应消息包括第一信息，所述第一信息用于指示所述用户的用户身份信息。

在一种可能的实施方式中，所述认证请求消息中包括所述第一信息。

在一种可能的实施方式中，所述认证请求消息还包括所述用户身份信息，所述用户身份信息位于所述认证请求消息的容器中，所述第一信息位于所述认证请求消息的容器之外。

在一种可能的实施方式中，所述接收模块还用于，在所述发送模块向数据网设备发送认证请求消息之前，接收终端设备发送的注册请求消息，所述注册请求消息中包括所述第一信息和所述用户身份信息，所述用户身份信息位于所述注册请求消息的容器中，所述第一信息位于所述注册请求消息的容器之外。

在一种可能的实施方式中，所述发送模块还用于，在所述发送模块向数据网设备发送认证请求消息之前，向终端设备发送用户身份请求消息；

所述接收模块还用于，接收所述终端设备发送的用户身份响应消息，所述用户身份响应消息包括所述第一信息和所述用户身份信息。

在一种可能的实施方式中，所述装置还包括处理模块，其中，所述处理模块用于：

获取所述终端设备的标识；

存储所述终端设备的标识和所述第一信息之间的对应关系。

在一种可能的实施方式中，所述终端设备的标识包括终端永久标识符SUPI和/或隐藏的终端签约标识符SUCI。

在一种可能的实施方式中，所述处理模块还用于，获取所述第一信息，并根据所述第一信息，确定所述数据网设备的地址信息；

所述发送模块具体用于，根据所述地址信息向所述数据网设备发送所述认证请求消息。

在一种可能的实施方式中，所述切片信息为网络切片选择辅助信息NSSAI。

在一种可能的实施方式中，所述接收模块还用于，接收所述数据网设备发送的第一状态更新请求消息，所述第一状态更新请求消息包括所述第一信息；

所述处理模块还用于，根据所述第一状态更新请求消息更新所述第一信息对应的用户的状态；

所述发送模块还用于，向所述数据网设备发送第一状态更新响应消息，所述第一状态更新响应消息包括所述第一信息。

在一种可能的实施方式中，所述发送模块还用于，向所述数据网设备发送第二状态更新请求消息，所述第二状态更新请求消息包括所述第一信息；

所述接收模块还用于，接收所述数据网设备发送的第二状态更新响应消息，所述第二状态更新响应消息中包括所述第一信息。

在一种可能的实施方式中，所述发送模块还用于，向所述终端设备发送通知消息，所述通知消息包括所述第一信息，所述通知消息用于指示所述第一信息对应的用户的状态发生更新。

第三方面，本申请实施例提供一种认证方法，包括接收模块、处理模块和发送模块，其中，

所述接收模块用于，接收核心网设备发送的用户的认证请求消息；

所述处理模块用于，根据所述认证请求消息对所述用户进行身份认证；

所述发送模块用于，向所述核心网设备发送认证响应消息，所述认证响应消息包括第一信息，所述第一信息用于指示所述用户的数据网用户身份信息用户身份信息。

在另一种可能的实施方式中，所述认证请求消息还包括所述用户身份信息，所述用户身份信息位于所述认证请求消息的容器中，所述第一信息位于所述认证请求消息的容器之外。

在一种可能的实施方式中，所述认证请求消息包括所述第一信息；所述处理模块具体用于：

根据所述第一信息确定所述用户身份信息；

根据所述用户身份信息，对所述用户进行身份认证。

所述数据网设备根据所述第一信息对所述用户进行身份认证。

在一种可能的实施方式中，所述认证请求消息包括所述用户身份信息；所述处理模块还用于，在所述发送模块向所述核心网设备发送认证响应消息之前，根据所述用户身份信息确定所述第一信息。

在一种可能的实施方式中，所述发送模块还用于，向所述核心网设备发送第一状态更新请求消息，所述第一状态更新请求消息包括所述第一信息，所述第一状态更新请求消息用于请求所述核心网设备对所述第一信息所指示的用户的状态进行更新；

所述接收模块还用于，接收所述核心网设备发送的第一状态更新响应消息，所述第一状态更新响应消息包括所述第一信息。

在一种可能的实施方式中，所述接收模块还用于，接收所述核心网设备发送的第二状态更新请求消息，所述第二状态更新请求消息包括所述第一信息；

所述处理模块还用于，根据所述第一信息确定所述用户身份信息，并根据所述用户身份信息更新所述用户的状态；

所述发送模块还用于，向所述核心网设备发送第二状态更新响应消息，第二所述状态更新响应消息中包括所述第一信息。

第五方面，本申请实施例提供一种认证装置，包括存储器和处理器，所述处理器执行所述存储器中的程序指令，用于实现第一方面任一项所述的认证方法。

第六方面，本申请实施例提供一种认证装置，包括存储器和处理器，所述处理器执行所述存储器中的程序指令，用于实现第二方面任一项所述的认证方法。

第七方面，本申请实施例提供一种存储介质，所述存储介质用于存储计算机程序，所述计算机程序被计算机或处理器执行时用于实现第一方面任一项所述的认证方法。

第八方面，本申请实施例提供一种存储介质，所述存储介质用于存储计算机程序，所述计算机程序被计算机或处理器执行时用于实现第二方面任一项所述的认证方法。

本申请实施例提供的认证方法、装置及设备，当需要对用户进行身份认证(二级认证)时，核心网设备向数据网设备发送用户的认证请求消息，在数据网设备可以对用户的身份进行认证，并向核心网设备发送认证响应消息，认证响应消息中包括第一信息，该第一信息可以指示用户的DUI，使得核心网设备可以根据认证响应消息确定对用户的身份认证结果。在上述过程中，用户的DUI对其它设备(核心网设备和接入网设备，或者接入网设备)为不可见的，使得DUI不会泄露到这些设备，也不会使得DUI在传输的过程(例如，终端设备与接入网设备之间的传输、接入网设备与核心网设备之间的传输、核心网设备与数据网设备之间的传输)中发生泄漏，提高了用户隐私的安全性。

附图说明

图1A为本申请实施例提供的5G网络架构图；

图1B为本申请实施例提供的认证架构示意图；

图2为本申请实施例提供的认证方法的流程示意图；

图3为本申请实施例提供的另一种认证方法的流程示意图；

图4为本申请实施例提供的又一种认证方法的流程示意图；

图5为本申请实施例提供的再一种认证方法的流程示意图；

图6为本申请实施例提供的另一种认证方法的流程示意图；

图7为本申请实施例提供的又一种认证方法的流程示意图；

图8为本申请实施例提供的一种认证装置的结构示意图；

图9为本申请实施例提供的另一种认证装置的结构示意图；

图10为本申请实施例提供的又一种认证装置的结构示意图；

图11为本申请实施例提供的一种认证装置的硬件结构示意图；

图12为本申请实施例提供的另一种认证装置的硬件结构示意图。

具体实施方式

运营商网络也可称为移动通信网络，主要是移动网络运营商(mobile network operator， MNO)为用户提供移动宽带接入服务的网络。本申请实施例所描述的运营商网络具体可为符合第三代合作伙伴项目(3rd generation partnership project，3GPP)标准要求的网络，简称3GPP网络。通常3GPP网络由运营商来运营，包括但不限于5G网络、4G网络、第三代移动通信技术(3rd-Generation，3G)网络和第二代无线电话技术(2-Generation wireless telephone technology，2G)网络等。为了方便描述，后续描述将以运营商网络为例进行说明

随着移动带宽接入服务的扩展，MNO的网络也会随之发展以便更好地支持多样化的商业模式，满足更加多样化的应用业务以及更多行业的需求。为了给更多的行业提供更好、更完善的服务，下一代网络(即5G网络)相对于4G网络也做了网络架构调整。例如，5G网络将4G网络中的移动管理实体(mobility management entity，MME)进行拆分，拆分为包括接入与移动性管理功能(access and mobility management function，AMF)和会话管理功能(session management function，SMF)等多个网元。3GPP标准化过程中还定义了基于服务化架构的5G网络架构，如图1A所示。

图1A为本申请实施例提供的5G网络架构图。请参见图1A，5G网络架构中可以包括终端设备、数据网络(data network，DN)和运营商网络。

其中，运营商网络可包括网络开放功能(network exposure function，NEF)网元、网络存储功能(network function repository function，NRF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、应用功能(application function，AF)网元、认证服务器功能(authentication server function，AUSF)网元、接入与移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、(无线)接入网((radio)access network，(R)AN)以及用户面功能(user plane function，UPF)网元等。上述运营商网络中，除(无线)接入网部分之外部分，称为核心网络部分。为方便说明，后续以(R)AN称为RAN为例进行说明。

本申请实施例所示的终端设备(也可以称为用户设备(user equipment，UE))是一种具有无线收发功能的设备。终端设备可以部署在陆地上，包括室内或室外、手持或车载。终端设备也可以部署在水面上(如轮船等)，还可以部署在空中(例如飞机、气球和卫星上等)。所述终端可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。

上述终端设备可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接，使用运营商网络提供的数据和/或语音等服务。终端设备还可通过运营商网络访问DN，使用DN上部署的运营商业务，和/或第三方提供的业务。其中，上述第三方可为运营商网络和终端设备之外的服务方，可为终端设备提供他数据和/或语音等服务。其中，上述第三方的具体表现形式，具体可根据实际应用场景确定，在此不做限制。

RAN是运营商网络的子网络，是运营商网络中业务节点与终端设备之间的实施系统。终端设备要接入运营商网络，首先是经过RAN，进而可通过RAN与运营商网络的业务节点连接。本申请中的RAN设备，是一种为终端设备提供无线通信功能的设备，接入网设备包括但不限于：5G中的下一代基站(next generation nodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(baseband unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等。

AMF网元是由运营商网络提供的控制面网元，负责终端设备接入运营商网络的接入控制和移动性管理，例如包括移动状态管理，分配用户临时身份标识，认证和授权用户等功能。

SMF网元是由运营商网络提供的控制面网元，负责管理终端设备的协议数据单元(protocol data unit，PDU)会话。PDU会话是一个用于传输PDU的通道，终端设备需要通过PDU会话与DN互相传送PDU。PDU会话由SMF网元负责建立、维护和删除等。SMF网元包括会话管理(如会话建立、修改和释放，包含UPF和AN之间的隧道维护)、UPF网元的选择和控制、业务和会话连续性(service and session continuity，SSC)模式选择、漫游等会话相关的功能。

UPF网元是由运营商提供的网关，是运营商网络与DN通信的网关。UPF网元包括数据包路由和传输、包检测、业务用量上报、服务质量(quality of service，QoS)处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。

DN也可以称为分组数据网络(packet data network，PDN)，是位于运营商网络之外的网络，运营商网络可以接入多个DN，DN上可部署多种业务，可为终端设备提供数据和/或语音等服务。例如，DN是某智能工厂的私有网络，智能工厂安装在车间的传感器可为终端设备，DN中部署了传感器的控制服务器，控制服务器可为传感器提供服务。传感器可与控制服务器通信，获取控制服务器的指令，根据指令将采集的传感器数据传送给控制服务器等。又例如，DN是某公司的内部办公网络，该公司员工的手机或者电脑可为终端设备，员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。

UDM网元是由运营商提供的控制面网元，负责存储运营商网络中签约用户的用户永久标识符(SUbscriber Permanent Identifier，SUPI)、信任状(credential)、安全上下文(security context)、签约数据等信息。其中SUPI在传输过程中会先进行加密，加密后的SUPI被称为隐藏的用户签约标识符(SUbscription Concealed Identifier，SUCI)。UDM网元所存储的这些信息可用于终端设备接入运营商网络的认证和授权。其中，上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户，例如使用中国电信的手机芯卡的用户，或者使用中国移动的手机芯卡的用户等。上述签约用户的永久签约标识SUPI可为该手机芯卡的号码等。上述签约用户的信任状、安全上下文可为该手机芯卡的加密密钥或者跟该手机芯卡加密相关的信息等存储的小文件，用于认证和/或授权。上述安全上下文可为存储在用户本地终端(例如手机)上的数据(cookie)或者令牌(token)等。上述签约用户的签约数据可为该手机芯卡的配套业务，例如该手机芯卡的流量套餐或者使用网络等。需要说明的是，永久标识符、信任状、安全上下文、认证数据(cookie)、以及令牌等同认证、授权相关的信息，在本发明本申请文件中，为了描述方便起见不做区分、限制。如果不做特殊说明，本申请实施例将以用安全上下文为例进行来描述，但本申请实施例同样适用于其他表述方式的认证、和/或授权信息。

AUSF网元是由运营商提供的控制面网元，通常用于一级认证，即终端设备(签约用户)与运营商网络之间的认证。AUSF网元接收到签约用户发起的认证请求之后，可通过UDM网元中存储的认证信息和/或授权信息对签约用户进行认证和/或授权，或者通过UDM网元生成签约用户的认证和/或授权信息。AUSF网元可向签约用户反馈认证信息和/或授权信息。

NEF网元是由运营商提供控制面网元。NEF网元以安全的方式对第三方开放运营商网络的对外接口。在SMF网元需要与第三方的网元通信时，NEF网元可作为SMF网元与第三方的网元通信的中继。NEF网元作为中继时，可作为签约用户的标识信息的翻译，以及第三方的网元的标识信息的翻译。比如，NEF将签约用户的SUPI从运营商网络发送到第三方时，可以将SUPI翻译成其对应的外部身份标识(identity，ID)。反之，NEF网元将外部ID(第三方的网元ID)发送到运营商网络时，可将其翻译成SUPI。

PCF网元是由运营商提供的控制面功能，用于向SMF网元提供PDU会话的策略。策略可以包括计费相关策略、QoS相关策略和授权相关策略等。

网络切片选择功能(Network Slice Selection Function，NSSF)网元(图中未示出)，负责确定网络切片实例，选择AMF网元等。

图1A中Nnef、Nausf、Nnrf、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4，以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义，在此不做限制。

本申请中的移动性管理网元可以是图1A所示的AMF网元，也可以是未来通信系统中的具有上述AMF网元的功能的网元。或者，本申请中的移动性管理网元还可以是长期演进(long term evolution，LTE)中的移动性管理实体(mobility management entity，MME)等。

为方便说明，本申请后续，以移动性管理网元为AMF网元为例进行说明。进一步地，将AMF网元简称为AMF，将终端设备称为UE，即本申请后续所描述的AMF均可替换为移动性管理网元，UE均可替换为终端设备。

目前，多种多样的场景对3GPP生态系统提出了不同的需求，如计费、策略、安全、移动性等需求。3GPP强调了网络切片之间不相互影响，例如突发的大量的抄表业务不应该影响正常的移动宽带业务。为了满足多样性需求和切片间的隔离，需要业务间相对独立的管理和运维，并提供量身定做的业务功能和分析能力。不同类型业务的实例部署在不同的网络切片上，相同业务类型的不同实例也可部署在不同的网络切片上。其中，本申请中的“切片”也可以称为“网络切片”，或称为“网络切片实例”，三者具有相同的含义，这里统一说明，后续不再赘述。

5G网络中的切片是一个虚拟的专用网络，它是由一组网络功能、子网络所构成。比如，图1A中的RAN、AMF、SMF、UPF可以组成一个切片。图1A中的每种网络功能只示意性地画出了一个，而在实际网络部署中，每种网络功能或子网络可以有多个、数十个或上百个。运营商网络中可以部署很多网络切片，每个切片可以有不同的性能来满足不同应用、不同垂直行业的需求。运营商可以根据不同垂直行业客户的需求，“量身定做”一个切片。运营商也可以允许一些行业客户享有较大的自主权，参与切片的部分管理、控制功能。其中，切片级的认证就是由行业客户参与的一种网络控制功能，即对终端用户接入切片进行认证和授权。

当核心网部署了网络切片，用户初始附着(或称为注册)到网络时，会触发网络切片的选择过程。切片的选择过程取决于用户的签约数据，本地配置信息，漫游协议，运营商的策略等等。在网络切片的选择过程中，需要综合考虑以上参数，才能为UE选择最佳的切片类型。

当UE需要接入到某个网络切片时，UE可以提供请求的网络切片给核心网，用于核心网为UE选择网络切片实例。其中，UE请求的网络切片，可以用请求的网络切片集合来表示，或者也可以表示为请求的网络切片选择辅助信息(requested network slice selection assistance information，requested NSSAI)。requested NSSAI是由一个或多个单网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI)来表示构成，每个S-NSSAI用于标识一个网络切片类型，也可以理解为，S-NSSAI用于标识网络切片，或者可以理解为S-NSSAI是网络切片的标识信息。为了简单起见，在以下的描述中，对“网络切片”或是“S-NSSAI”不做严格区分，可以同样适用。

UE注册到网络之后，核心网网元(如AMF或NSSF)根据UE的签约数据、UE的requested NSSAI、漫游协议以及本地配置等信息综合判断，为UE选择允许接入的网络切片集合。其中，允许接入的网络切片集合可以用允许的(allowed)NSSAI来表示，allowed NSSAI包含的S-NSSAI均为当前运营商网络允许接入的S-NSSAI。

UE在接入网络或网络切片之前，需要同网络切片进行双向认证并得到网络的授权。目前，在5G标准中，网络对UE的认证与授权都是由运营商网络直接进行，这类认证授权方法被称为Primary Authentication(一级认证)。随着垂直行业和物联网的发展，可以预见，运营商网络之外的DN(如服务于垂直行业的DN)，对于接入到该DN的UE同样有认证与授权的需求。比如，某商业公司提供了游戏平台，通过运营商网络，为游戏玩家提供游戏服务。一方面，由于玩家使用的UE是通过运营商网络接入游戏平台，运营商网络需要对该UE进行认证和授权，即一级认证。游戏玩家是商业公司的客户，该商业公司也需要对游戏玩家进行认证、授权，这种认证如果是基于网络切片的，或者它的颗粒度(granularity)是以切片为单位的，则该认证可以称为切片认证(slice authentication)或称为二级认证(secondary authentication)，或称为基于切片的二级认证(slice-specific secondary authentication)。

需要说明的是，不管是上述一级认证，还是二级认证，都是针对UE(或使用该UE的某个用户)与网络(运营商网络或第三方网络)之间的认证。比如，针对一级认证，指的是UE与运营商网络之间的认证，如在UE的注册流程中运营商网络对UE执行一级认证，若一级认证通过则可以建立该UE的安全上下文。再比如，针对二级认证，指的是UE(或使用该UE的用户)与运营商网络之外的网络(即第三方网络)之间的认证，第三方网络会将二级认证结果通知运营商网络，以便运营商网络授权或拒绝该UE接入为第三方网络服务的运营商网络。

需要说明的是，本申请后续也可以将二级认证称为对切片的二级认证，或切片认证，或对用户(使用UE的用户)进行身份认证，其具有的含义实际是：UE(或使用该UE的用户)与第三方网络之间执行的二级认证，其认证结果，将会决定运营商网络是否授权UE接入该切片。

图1B为本申请实施例提供的认证架构示意图。请参见图1B，包括终端设备、核心网设备和数据网设备。终端设备通过核心网设备请求数据网设备进行二级认证(对用户进行身份认证)，其中，终端设备与核心网设备之间、以及核心网设备与数据网设备之间传输的消息中包括用于指示用户身份信息的信息为第一信息，第一信息中不包括用户身份信息中的隐私信息，例如，第一信息中不包括用户身份信息中的用户名，这样可以避免用户身份信息的泄露，提高了认证的安全性。

其中，本申请实施例所涉及的核心网设备可以为AMF、代理服务器或代理认证功能网等。数据网设备可以为认证、授权和计费(Authentication、Authorization、Accounting，AAA)服务器等。本申请实施例所涉及的用户身份信息用于标识用户的身份，本申请所涉及的用户与用户设备(UE)不同，用户可以是指使用用户设备(UE)的个体(例如人、或通过UE接入网络的其他设备)。用户身份信息可以为数据网用户身份信息(data network user identity，DUI)，下面，以用户身份信息为DUI为例进行说明。

下面，通过具体实施例对本申请所示的技术方案进行详细说明。需要说明的是，下面几个具体实施例可以相互结合，对于相同或相似的内容，在不同的实施例中不再重复说明。

图2为本申请实施例提供的认证方法的流程示意图。请参见图2，该方法可以包括：

S201、核心网设备向数据网设备发送用户的认证请求(slice authentication request)消息，认证请求消息用于请求数据网设备对用户进行身份认证。

其中，认证请求消息中可以包括如下信息中的至少一种：用户的第一信息或用户的DUI。

其中，第一信息可以指示DUI，即，第一信息和DUI之间具有对应关系。第一信息和DUI之间可以为一一对应的关系，也可以为一对多、多对一、多对多的关系。

可选的，第一信息可以为对DUI中的用户隐私信息进行了隐私保护处理(例如，随机化处理、编号处理、映射处理、加密处理等)后得到的信息，为了便于描述，将提供该种方式获取得到的第一信息称为隐藏的数据网用户身份信息(data network user conceived identity，DUC)。例如，DUI中的用户隐私信息可以为用户名。

可选的，当使用终端设备的用户的个数为一个时，第一信息还可以为终端设备的标识。终端设备的标识还可以称为终端识别符(或者UE的识别符)，例如，终端设备的标识可以为非保密的签约用户识别符(generic public subscription identifier，GPSI)。

可选的，DUI中包括路由信息，该路由信息用于指示数据网设备的地址。核心网设备可以根据路由信息将信息(例如，认证请求信息、或发给数据网设备的其它信息)转发给数据网设备。该路由信息有可能是隐私信息，也有可能不是隐私信息。若路由信息为隐私信息，则可以对路由信息进行隐私保护处理(例如、随机化处理、编号处理、映射处理、加密处理等)。在实际应用过程中，可以对DUI对应的第一信息进行更新。

当认证请求消息中包括DUI时，则DUI位于认证请求消息的容器(container)中，例如，容器可以为用于可扩展的认证协议(extensible authentication protocol，EAP)认证的EAP消息容器。其中，核心网设备可以仅对该容器中的信息进行透传，而不对容器中的信息进行处理，即，容器中的信息对核心网设备为不可见的。这样，对于信息透传的核心网设备，由于不对DUI解读，可以避免DUI泄露给核心网设备，也可以避免核心网设备传输DUI的过程中对DUI造成泄露。

当认证请求消息中包括第一信息时，则第一信息可以位于认证请求消息中的容器之内，也可以位于容器之外。由于第一信息经过了隐私保护处理，因此，即使第一信息对其他设备(例如，核心网设备、空口或核心网窃听设备)可见，也不会造成DUI隐私的泄露。

可选的，认证请求消息还可以包括UE的识别符，如SUPI或者GPSI，用于指示用户是通过哪个UE进行的用户认证。一方面可以通过UE识别用户，另一方面，也可以通过UE和用户的绑定关系来进行授权。

可选的，在S201之前，核心网设备可以接收终端设备发送的注册请求(registration request)消息，并根据注册请求消息判断需要对用户进行身份认证时，再执行图2所示的实施例。

S202、数据网设备根据认证请求消息对用户进行身份认证。

可选的，当认证请求消息中包括DUI时，数据网设备可以根据DUI对用户进行身份认证。

可选的，当认证请求消息中包括第一信息时，数据网设备可以根据第一信息和DUI的对应关系，确定第一信息对应的DUI，并根据确定得到的DUI对用户进行身份认证。

可选的，当认证请求消息中包括DUI和第一信息时，数据网设备可以根据第一信息和DUI的对应关系，确定第一信息对应的DUI，并判断确定得到的DUI和认证请求消息中的DUI是否相同，若是，则根据DUI对用户进行身份认证。这样，可以避免认证请求消息在传输的过程中被篡改而导致对用户进行身份认证有误的问题。

可选的，当认证请求消息中包括UE的识别符时，数据网设备还可以对UE的识别符与用户之间的对应关系进行认证。例如，如果认证策略仅允许用户使用特定UE接入，则当认证请求消息中包括的UE的识别符与DUI不对应时，则对用户的身份认证失败。

需要说明的是，根据DUI对用户进行身份认证的流程，会因为采用的具体认证协议的不同而不同。一般上，认证请求消息是认证流程的开始，接下来可以包括认证方法的协商、密钥算法协商、双向认证授权等步骤，每个步骤都需要UE、核心网、数据网设备之间进行相应的信息交互。具体流程可以参见现有的过程，此处不再进行赘述。

S203、数据网设备向核心网设备发送认证响应消息。

可选的，认证响应消息可以为认证成功响应消息或者认证失败响应消息。当数据网设备对用户的身份认证成功时，则数据网设备向核心网设备发送认证成功响应消息。当数据网设备对用户的身份认证失败时，则数据网设备向核心网设备发送认证失败响应消息。

可选的，认证响应消息包括第一信息。

可选的，认证响应消息还可以包括DUI。DUI可以位于认证响应消息的一个容器中，以避免DUI发生泄漏。

可选的，当第一信息为DUC时，在核心网设备接收到认证响应消息之后，核心网设备可以确定数据网设备对DUC所指示的用户的认证结果(例如，认证成功或者认证失败)。在该种情况下，由于核心网设备、接入网设备均无法获取得到DUI，使得DUI不会泄露至核心网设备、接入网设备，也不会使得DUI在传输的过程(例如，终端设备与接入网设备之间的传输、接入网设备与核心网设备之间的传输、核心网设备与数据网设备之间的传输)中发生泄漏。

可选的，当第一信息为终端设备的标识时，核心网设备可以根据终端设备的标识获取用户的DUI，并确定DUI所指示的用户的认证结果(例如，认证成功或者认证失败)。在该种情况下，由于接入网设备无法获取得到DUI，使得DUI不会泄露至接入网设备，也不会使得DUI在传输的过程(例如，终端设备与接入网设备之间的传输、接入网设备与核心网设备之间的传输、核心网设备与数据网设备之间的传输)中发生泄漏。

可选的，在核心网设备接收到认证响应消息之后，核心网设备可以根据认证响应消息中的第一信息，允许第一信息对应的用户(或者用户所使用的UE)接入对应的切片，或者拒绝第一信息对应的用户(或者用户所使用的UE)接入对应的切片。当认证响应消息为认证成功响应消息时，则核心网设备允许第一信息对应的用户(或者用户所使用的UE)接入对应的切片。当认证响应消息为认证失败响应消息时，则核心网设备拒绝第一信息对应的用户(或者用户所使用的UE)接入对应的切片。

本申请实施例提供的认证方法，当需要对用户进行身份认证(二级认证)时，核心网设备向数据网设备发送用户的认证请求消息，在数据网设备可以对用户的身份进行认证，并向核心网设备发送认证响应消息，认证响应消息中包括第一信息，该第一信息可以指示用户的DUI，使得核心网设备可以根据认证响应消息确定对用户的身份认证结果。在上述过程中，用户的DUI对其它设备(核心网设备和接入网设备，或者接入网设备)为不可见的，使得DUI不会泄露到这些设备，也不会使得DUI在传输的过程(例如，终端设备与接入网设备之间的传输、接入网设备与核心网设备之间的传输、核心网设备与数据网设备之间的传输)中发生泄漏，提高了用户隐私的安全性。

在上述任意一个实施例的基础上，下面，结合图3-图7，对认证方法进行详细说明。

图3为本申请实施例提供的另一种认证方法的流程示意图。请参见图3，该方法可以包括：

S301、终端设备向核心网设备发送注册请求消息。

其中，注册请求消息中包括第一信息和/或DUI。

当注册请求消息中包括DUI时，DUI位于注册请求消息的一个容器中。当注册请求消息中包括第一信息时，第一信息位于注册请求消息的容器之内或者之外。

可选的，注册请求消息中还可以包括终端设备的标识和切片信息。终端设备的标识可以包括SUPI和/或SUCI。切片信息可以为NSSAI。终端设备的标识和切片信息用于对终端设备进行一级认证。

可选的，注册请求消息中包括的内容(第一信息、DUI、终端设备的标识、切片信息中的一种或多种)可以为被处理过的信息。例如，注册请求消息中的内容可以为被加密处理过的，如注册请求消息为NAS(Non Access Stratum，非接入层)消息的一部分，由NAS密钥加密。

可选的，终端设备中可以存储第一信息和DUI的对应关系，相应的，终端设备可以根据DUI确定对应的第一信息，并在注册请求消息中携带第一信息。

S302、核心网设备对终端设备进行一级认证。

需要说明的是，S302为可选的步骤。即，在执行完S301之后，可以执行S302，也可以不执行S302。

可选的，核心网设备可以根据终端设备的标识和切片信息对终端设备进行一级认证，在核心网设备对终端设备一级认证通过之后，可以对终端设备授权。

S303、核心网设备在确定需要对用户进行二级认证时，核心网设备获取数据网设备的地址信息。

可选的，核心网设备可以通过如下可行的实现方式判断是否需要对用户进行二级认证：核心网设备获取用户(第一信息和/或DUI所指示的用户)和/或UE对应的签约数据，并根据签约数据判断该用户是否购买对应的服务(请求接入的切片所提供的服务)，若是，则确定需要对用户进行二级认证，若否，则确定不需要对用户进行二级认证。当注册请求消息中包括SUPI时，可以根据SUPI在数据库中获取SUPI对应的UE签约数据，该签约数据也可以包括用户对应的签约数据。

例如，若核心网设备执行S302，则在核心网设备对终端设备进行一级认证通过之后，再执行S303。若核心网设备对终端设备进行一级认证失败，则核心网设备可以不执行S303-S304。

需要说明的是，当核心网设备确定不需要对用户进行二级认证时，则不执行S303-S304。

可选的，核心网设备可以通过如下可行的实现方法获取数据网设备的地址信息：核心网设备获取第一信息、DUI或切片信息中的至少一种；核心网设备根据第一信息、DUI或切片信息中的至少一种，确定数据网设备的地址信息。数据网设备的地址信息可以为数据网设备的域名、互联网协议(internet protocol，IP)地址、媒体访问控制(media access control，MAC)地址等。

需要说明的是，若DUI对核心网设备为安全的，即，核心网设备获取DUI不会对DUI造成泄露，则核心网设备可以获取得到DUI，例如，可以使得核心网设备具备获取容器内的DUI的功能，以使得核心网设备可以根据DUI获取数据网设备的地址信息。若DUI对核心网设备为不安全的，即，核心网设备获取DUI可能会对DUI造成泄露，则核心网设备无法获取得到DUI，例如，可以使得核心网设备不具备获取容器内的DUI的功能，即，核心网设备无法获取容器中的DUI，进而使得DUI对核心网设备不可见。

第一信息中可以包括数据网设备的地址信息，相应的，核心网设备可以在第一信息中获取数据网设备的地址信息。或者，还可以存储第一信息与数据网设备之间的对应关系，相应的，可以根据第一信息和该对应关系获取数据网设备的地址信息。

DUI中可以包括数据网设备的地址信息，相应的，若核心网设备可以获取得到DUI，则核心网设备可以在DUI中获取数据网设备的地址信息。

切片信息和数据网设备之间具有预设的对应关系，相应的，可以根据切片信息和该对应关系获取数据网设备的地址信息。

可选的，当根据第一信息和/或DUI、以及切片信息获取地址信息时，可以将根据第一信息和/或DUI获取得到的地址信息与根据切片信息获取到的地址信息去交集，并将交集中的地址信息确定为数据网设备的地址信息。

可选的，若注册请求消息中包括第一信息和终端设备的标识，则核心网设备还可以存储第一信息和终端设备的标识之间的对应关系。例如，核心网设备可以存储第一信息和 SUPI之间的对应关系，或者存储第一信息和非保密的签约用户识别符(generic public subscription identifier，GPSI)之间的对应关系。这样，核心网设备可以根据第一信息确定得到对应的终端设备，也可以根据终端设备的标识确定得到第一信息。当然，若核心网设备可以获取得到DUI，核心网设备还可以存储DUI于终端设备的标识之间的对应关系。

S304、核心网设备根据数据网设备的地址信息，向数据网设备发送认证请求消息。

可选的，当终端设备向核心网设备发送的注册请求消息中包括容器，则核心网设备在发送认证请求消息时，将注册请求消息中的容器封装在认证请求消息中。

需要说明的是，S304的执行过程可以参见S201的执行过程，此处不再进行赘述。

S305、数据网设备在认证请求消息中获取用户的DUI。

其中，数据网设备中存储有DUI和第一信息的对应关系。

若认证请求消息的容器中包括DUI，则数据网设备在认证请求消息的容器中获取DUI。

若认证请求消息中包括第一信息，则数据网设备可以根据第一信息和DUI的对应关系，获取第一信息对应的DUI。

若认证请求消息中包括第一信息和DUI，则数据网设备可以根据第一信息和DUI的对应关系获取第一信息对应的DUI、以及在认证请求消息的容器中获取DUI，并判断第一信息对应的DUI和在认证请求消息中获取DUI是否相同，若是，将第一信息对应的DUI或者认证请求消息中的DUI确定为用户的DUI。

S306、数据网设备根据用户的DUI对用户进行身份认证。

例如，数据网设备可以根据用户的DUI确定对应的用户，并对确定得到的用户进行身份认证。

需要说明的是，S306的执行过程可以参见S202的执行过程，此处不再进行赘述。

S307、数据网设备向核心网设备发送认证响应消息。

其中，认证响应消息包括第一信息。

可选的，认证响应消息中还可以包括DUI。DUI可以位于认证响应消息的一个容器中，以避免DUI发生泄漏。

其中，当数据网设备对用户的身份认证成功时，则数据网设备向核心网设备发送认证成功响应消息。当数据网设备对用户的身份认证失败时，则数据网设备向核心网设备发送认证失败响应消息。

S308、核心网设备向终端设备发送注册响应消息。

可选的，当第一信息为终端设备的标识时，核心网设备可以根据终端设备的标识所指示的用户的认证结果(例如，认证成功或者认证失败)。在该种情况下，由于接入网设备无法获取得到DUI，使得DUI不会泄露至接入网设备，也不会使得DUI在传输的过程(例如，终端设备与接入网设备之间的传输、接入网设备与核心网设备之间的传输、核心网设备与数据网设备之间的传输)中发生泄漏。

可选的，当认证响应消息为认证成功响应消息时，则注册响应消息为注册成功响应消息。当认证响应消息为认证失败响应消息时，则注册响应消息为注册失败响应消息。

可选的，若注册请求消息中包括第一信息，则核心网设备在接收到注册请求消息之后，可以存储第一信息。相应的，在数据网设备接收到认证响应消息之后，可以判断存储的第一信息与认证响应消息中包括的第一信息是否相同，若是，核心网设备再向终端设备发送注册成功响应消息。

在图3所示的实施例中，在网络注册的过程中，当需要对用户进行身份认证(二级认证)时，核心网设备向数据网设备发送用户的认证请求消息，数据网设备可以对用户的身份进行认证，并向核心网设备发送认证响应消息，认证响应消息中包括第一信息，该第一信息可以指示用户的DUI，使得核心网设备可以根据认证响应消息确定对用户的身份认证结果。在上述过程中，用户的DUI对其它设备(核心网设备和接入网设备，或者接入网设备)为不可见的，使得DUI不会泄露这这些设备，也不会使得DUI在传输的过程(例如，终端设备与接入网设备之间的传输、接入网设备与核心网设备之间的传输、核心网设备与数据网设备之间的传输)中发生泄漏，提高了用户隐私的安全性。

图4为本申请实施例提供的又一种认证方法的流程示意图。请参见图4，该方法可以包括：

S401、终端设备向核心网设备发送注册请求消息。

其中，注册请求消息中包括终端设备的标识和切片信息。

可选的，终端设备的标识可以包括SUPI和/或SUCI。切片信息可以为NSSAI。终端设备的标识和切片信息用于对终端设备进行一级认证。

S402、核心网设备对终端设备进行一级认证。

需要说明的是，S402的执行过程可以参见S302的执行过程，此处不再进行赘述。

S403、核心网设备在确定需要对用户进行二级认证时，核心网设备向终端设备发送用户身份请求(ID request)消息。

其中，用户身份请求消息用于请求用户的身份信息。

S404、终端设备向核心网设备发送用户身份响应(ID response)消息。

其中，用户身份响应消息中包括第一信息和/或DUI。当用户身份响应消息中包括DUI时，则DUI位于用户身份响应消息的容器中。当用户身份响应消息中包括第一信息时，则第一信息位于用户身份响应消息的容器之内或之外。

可选的，用户身份响应消息中包括第一信息和/或DUI可以为被处理过的信息。例如，第一信息和/DUI可以为被加密处理过的。例如，第一信息和/或DUI可以为经过非接入层(non access stratum，NAS)秘钥加密处理过的。

可选的，终端设备中存储有第一信息和DUI之间的对应关系。

S405、核心网设备根据用户身份响应消息，获取数据网设备的地址信息。

需要说明的是，核心网设备获取数据网设备的地址信息的过程可以参见S303中获取数据网设备的地址信息的过程，此处不再进行赘述。

S406、核心网设备根据数据网设备的地址信息，向数据网设备发送认证请求消息。

其中，认证请求消息中可以包括如下信息中的至少一种：用户的第一信息或用户的DUI。可选的，还可以包括UE的识别符，如GPSI

S407、数据网设备在认证请求消息中获取用户的DUI。

S408、数据网设备根据用户的DUI对用户进行身份认证。

S409、数据网设备向核心网设备发送认证响应消息。

其中，认证响应消息包括第一信息。

可选的，认证响应消息还可以包括DUI。

S410、核心网设备向终端设备发送注册响应消息。

需要说明的是，S406-S410的执行过程可以参见S304-S308的执行过程，此处不再进行赘述。

在图4所示的实施例中，在网络注册的过程中，当需要对用户进行身份认证(二级认证)时，核心网设备向数据网设备发送用户的认证请求消息，数据网设备可以对用户的身份进行认证，并向核心网设备发送认证响应消息，认证响应消息中包括第一信息，该第一信息可以指示用户的DUI，使得核心网设备可以根据认证响应消息确定对用户的身份认证结果。在上述过程中，用户的DUI对其它设备(核心网设备和接入网设备，或者接入网设备)为不可见的，使得DUI不会泄露这这些设备，也不会使得DUI在传输的过程(例如，终端设备与接入网设备之间的传输、接入网设备与核心网设备之间的传输、核心网设备与数据网设备之间的传输)中发生泄漏，提高了用户隐私的安全性。

图5为本申请实施例提供的再一种认证方法的流程示意图。请参见图5，该方法可以包括：

S501、终端设备向核心网设备发送注册请求消息。

其中，注册请求消息中包括终端设备的标识和切片信息。

S502、核心网设备对终端设备进行一级认证。

S503、核心网设备在确定需要对用户进行二级认证时，核心网设备向终端设备发送用户身份请求(ID request)消息。

需要说明的是，S501-S503的执行过程可以参见S401-S403的执行过程，此处不再进行赘述。

S504、终端设备向核心网设备发送用户身份响应(ID response)消息。

其中，用户身份响应消息中包括第一信息。

可选的，用户身份响应消息中不包括容器。或者，用户身份响应消息中包括容器，第一信息位于容器之内或之外。

可选的，终端设备根据用户身份请求消息确定用户的DUI，并对DUI进行预设处理(例如随机化处理、映射处理等)，得到第一信息，并在用户身份响应消息中携带第一信息。

S505、核心网设备根据用户身份响应消息，获取数据网设备的地址信息。

需要说明的是，在图5所示的实施例中，还可以通过S301-S303所示的方式获取数据网设备的地址信息。即，S501-S505的过程还可以替换为S301-S303的过程。

S506、核心网设备根据数据网设备的地址信息，向数据网设备发送认证请求消息。

其中，认证请求消息中包括第一信息。

可选的，认证请求消息中不包括容器。或者，认证请求消息中包括容器，第一信息位于容器之内或之外。

可选的，核心网设备可以在用户身份响应消息中获取第一信息，并在认证请求消息中携带第一信息。

S507、数据网设备根据第一信息，对用户进行身份认证。

可选的，数据网设备中可以存储每个DUI对应的第一信息，相应的，数据网设备可以根据第一信息确定对应的用户，并对相应的用户进行身份认证。

例如，假设第一信息为对DUI进行随机化处理得到的，相应的，数据网设备中存储有对每个DUI进行随机化处理后得到的第一信息，或者数据网设备中可以进行随机化处理的逆操作，针对第一信息可以逆向获得每个DUI。

S508、数据网设备向核心网设备发送认证响应消息。

其中，认证响应消息包括第一信息。

S509、核心网设备向终端设备发送注册响应消息。

需要说明的是，S508-S509的执行过程可以参见S307-S308的执行过程，此处不再进行赘述。

在图5所示的实施例中，在网络注册的过程中，当需要对用户进行身份认证(二级认证)时，核心网设备向数据网设备发送用户的认证请求消息，在数据网设备对用户的身份进行完成时，数据网设备向核心网设备发送认证响应消息，认证响应消息中包括第一信息，该第一信息可以指示用户的DUI，使得核心网设备可以根据认证响应消息确定对用户的身份认证结果。在上述过程中，用户的DUI对其它设备(核心网设备和接入网设备，或者接入网设备)为不可见的，使得DUI不会泄露这这些设备，也不会使得DUI在传输的过程(例如，终端设备与接入网设备之间的传输、接入网设备与核心网设备之间的传输、核心网设备与数据网设备之间的传输)中发生泄漏，提高了用户隐私的安全性。进一步的，数据网设备和终端设备中无需存储DUI和第一信息的对应关系，减少了对存储空间的占用。

图6为本申请实施例提供的另一种认证方法的流程示意图。请参见图6，该方法可以包括：

S601、数据网设备向核心网设备发送第一状态更新请求消息。

其中，第一状态更新请求消息包括第一信息。第一状态更新请求消息用于请求对第一信息所指示的用户的状态进行更新。

可选的，第一状态更新请求消息可以用于请求对用户的权限进行更新操作(修改、吊销操作等)。当第一状态更新请求消息用于请求对用户的权限进行更新操作时，数据网设备可以先在数据网设备中对用户的权限进行更新操作，再请求核心网设备对用户的权限进行更新操作。

可选的，在数据网设备确定对用户的状态进行更新时，数据网设备先获取用户的DUI，并根据DUI和第一信息之间的对应关系，获取DUI对应的第一信息，并向核心网设备发送包括第一信息的第一状态更新请求消息。

可选的，第一状态更新请求消息中还可以包括终端设备的标识。例如，终端设备的标识可以为GPSI。

S602、核心网设备根据第一状态更新请求消息更新第一信息对应的用户的状态。

可选的，核心网设备可以根据第一状态更新请求消息中的第一信息识别对应的用户，并对用户的状态进行更新。

需要说明的是，在图2-图5所示的实施例中，核心网设备中存储了第一信息对应的用户的认证结果，认证结果中可以包括用户的状态。相应的，核心网设备可以根据第一状态更新请求消息中的第一信息识别对应的用户，并对对应的用户的状态进行更新。

S603、核心网设备向数据网设备发送第一状态更新响应消息。

其中，第一状态更新响应消息包括第一信息。

数据网设备可以根据第一状态更新响应消息确定第一信息所指示的用户的最新状态。

S604、核心网设备向终端设备发送通知消息。

其中，通知消息中包括第一信息。通知消息用于指示第一信息对应的用户的状态发生更新。

可选的，核心网设备可以在第一状态更新请求消息中获取终端设备的标识，并根据终端设备的标识向终端设备发送通知消息。

其中，终端设备中存储有DUI和第一信息的对应关系。一个终端设备可以对应一个或多个用户，因此，在终端设备接收到通知消息后，可以根据通知消息中的第一信息和该对应关系确定对应的用户。

在图6所示的实施例中，在数据网设备对用户的状态进行更新之后，数据网设备向核心网设备发送第一状态更新请求消息，并在第一状态更新请求消息中携带第一信息，这样，核心网设备可以根据第一信息识别对应的用户，并对识别得到的用户的状态进行更新，在上述过程中，在与核心网设备通信的过程中，用户的DUI对核心网设备为不可见的，避免了DUI的泄露，保障了用户隐私。

图7为本申请实施例提供的又一种认证方法的流程示意图。请参见图7，该方法可以包括：

S701、核心网设备向数据网设备发送第二状态更新请求消息，第二状态更新请求消息包括第一信息。

可选的，核心网设备可以对用户的状态进行检测，在核心网设备检测到用户的状态异常时，核心网设备可以向数据网设备发送第二状态更新请求消息。

例如，第二状态更新请求可以用于请求数据网设备对用户进行重新身份认证、对用户的权限进行更新操作(修改、吊销操作等)等。

S702、数据网设备根据第一信息确定DUI，并根据DUI更新用户的状态。

其中，数据网设备中存储有DUI和第一信息之间的对应关系，数据网设备可以根据第一信息和该对应关系，确定得到DUI。

例如，当第二状态更新请求消息用于请求数据网设备对用户进行重新身份认证时，则数据网设备对用户的身份进行重新认证，对用户的身份进行认证的过程可以参见图2-图5 所示的实施例，此处不再进行赘述。当第二状态更新请求消息用于请求对用户的权限进行更新时，则数据网设备核实该用户的权限，同意或拒绝对用户的权限进行更新操作。

S703、数据网设备向核心网设备发送第二状态更新响应消息。

其中，第二状态更新响应消息中包括第一信息。

核心网设备可以根据第二状态更新响应消息确定第一信息所指示的用户的最新状态。

S704、核心网设备向终端设备发送通知消息。

在图7所示的实施例中，核心网设备可以请求数据网设备对用户的状态进行更新操作，数据网设备与核心网设备之间交互的信息中包括第一信息，这样，核心网设备可以根据第一信息识别对应的用户，以和数据网设备实现对用户的状态的更新操作，在上述过程中，在与核心网设备通信的过程中，用户的DUI对核心网设备、UE和数据网之间的传输中的其他设备为不可见的，避免了DUI的泄露，保障了用户的隐私。

图8为本申请实施例提供的一种认证装置的结构示意图。该认证装置10可以应用于核心网设备10。请参见图8，该认证装置10可以包括发送模块11和接收模块12，其中，

所述发送模块11用于，向数据网设备发送用户的认证请求消息，所述认证请求消息用于请求所述数据网设备对所述用户进行身份认证；

所述接收模块12用于，设备接收所述数据网设备发送的认证响应消息，所述认证响应消息包括第一信息，所述第一信息用于指示所述用户的用户身份信息。

可选的，发送模块11可以执行上述方法实施例中与核心网设备的发送功能相关的步骤，例如，发送模块11可以执行图2实施例中的S201，图3实施例中的S304和S308，图4实施例中的S403、S406和S410，图5实施例中的S503、S506和S509，图6实施例中的S604，图7实施例中的S701和S704。

可选的，接收模块12可以执行上述方法实施例中与核心网设备的发送功能相关的步骤，例如，发送模块11可以执行图2实施例中的S203，图3实施例中的S301和S307，图4实施例中的S401、S404和S409，图5实施例中的S501、S504和S508，图6实施例中的S601和S603，图7实施例中的S703。

本申请实施例所示的认证装置10可以执行上述方法实施例所示的技术方案，其实现原理以及有益效果类似，此处不再进行赘述。

在一种可能的实施方式中，所述接收模块12还用于，在所述发送模块11向数据网设备发送认证请求消息之前，接收终端设备发送的注册请求消息，所述注册请求消息中包括所述第一信息和所述用户身份信息，所述用户身份信息位于所述注册请求消息的容器中，所述第一信息位于所述注册请求消息的容器之外。

在一种可能的实施方式中，所述发送模块11还用于，在所述发送模块11向数据网设备发送认证请求消息之前，向终端设备发送用户身份请求消息；

所述接收模块12还用于，接收所述终端设备发送的用户身份响应消息，所述用户身份响应消息包括所述第一信息和所述用户身份信息。

图9为本申请实施例提供的另一种认证装置的结构示意图。在图8所示实施例的基础上，请参见图9，认证装置10还可以包括处理模块13，其中，所述处理模块13用于：

获取所述终端设备的标识；

存储所述终端设备的标识和所述第一信息之间的对应关系。

在一种可能的实施方式中，所述处理模块13还用于，获取所述第一信息，并根据所述第一信息，确定所述数据网设备的地址信息；

所述发送模块11具体用于，根据所述地址信息向所述数据网设备发送所述认证请求消息。

在一种可能的实施方式中，所述接收模块12还用于，接收所述数据网设备发送的第一状态更新请求消息，所述第一状态更新请求消息包括所述第一信息；

所述处理模块13还用于，根据所述第一状态更新请求消息更新所述第一信息对应的用户的状态；

所述发送模块11还用于，向所述数据网设备发送第一状态更新响应消息，所述第一状态更新响应消息包括所述第一信息。

在一种可能的实施方式中，所述发送模块11还用于，向所述数据网设备发送第二状态更新请求消息，所述第二状态更新请求消息包括所述第一信息；

所述接收模块12还用于，接收所述数据网设备发送的第二状态更新响应消息，所述第二状态更新响应消息中包括所述第一信息。

在一种可能的实施方式中，所述发送模块11还用于，向所述终端设备发送通知消息，所述通知消息包括所述第一信息，所述通知消息用于指示所述第一信息对应的用户的状态发生更新。

图10为本申请实施例提供的又一种认证装置的结构示意图。该认证装置20可以应用于数据网设备。请参见图10，该认证装置20可以包括接收模块21、处理模块22和发送模块23，其中，

所述接收模块21用于，接收核心网设备发送的用户的认证请求消息；

所述处理模块22用于，根据所述认证请求消息对所述用户进行身份认证；

所述发送模块23用于，向所述核心网设备发送认证响应消息，所述认证响应消息包括第一信息，所述第一信息用于指示所述用户的数据网用户身份信息用户身份信息。

可选的，接收模块21可以执行上述方法实施例中与核心网设备的发送功能相关的步骤，例如，发送模块11可以执行图2实施例中的S201，图3实施例中的S304，图4实施例中的S406，图5实施例中的S506，图6实施例中的S604，图7实施例中的S704。

可选的，处理模块22可以执行上述方法实施例中与核心网设备的发送功能相关的步骤，例如，发送模块11可以执行图2实施例中的S202，图3实施例中的S305-S306，图4实施例中的S407-S408，图5实施例中的S507，图6实施例中的S602，图7实施例中的S702。

可选的，发送模块23可以执行上述方法实施例中与核心网设备的发送功能相关的步骤，例如，发送模块11可以执行图2实施例中的S203，图3实施例中的S307，图4实施例中的S409，图5实施例中的S508，图6实施例中的S601和S603，图7实施例中的S703。

本申请实施例所示的认证装置20可以执行上述方法实施例所示的技术方案，其实现原理以及有益效果类似，此处不再进行赘述。

在一种可能的实施方式中，所述认证请求消息包括所述第一信息；所述处理模块22具体用于：

根据所述第一信息确定所述用户身份信息；

根据所述用户身份信息，对所述用户进行身份认证。

在一种可能的实施方式中，所述认证请求消息包括所述用户身份信息；所述处理模块22还用于，在所述发送模块23向所述核心网设备发送认证响应消息之前，根据所述用户身份信息确定所述第一信息。

在一种可能的实施方式中，所述发送模块23还用于，向所述核心网设备发送第一状态更新请求消息，所述第一状态更新请求消息包括所述第一信息，所述第一状态更新请求消息用于请求所述核心网设备对所述第一信息所指示的用户的状态进行更新；

所述接收模块21还用于，接收所述核心网设备发送的第一状态更新响应消息，所述第一状态更新响应消息包括所述第一信息。

在一种可能的实施方式中，所述接收模块21还用于，接收所述核心网设备发送的第二状态更新请求消息，所述第二状态更新请求消息包括所述第一信息；

所述处理模块22还用于，根据所述第一信息确定所述用户身份信息，并根据所述用户身份信息更新所述用户的状态；

所述发送模块23还用于，向所述核心网设备发送第二状态更新响应消息，第二所述状态更新响应消息中包括所述第一信息。

图11为本申请实施例提供的一种认证装置的硬件结构示意图。请参见图11，该认证装置30包括：存储器31、处理器32、接收器33和发送器34，其中，存储器31和处理器32通信；示例性的，存储器31、处理器32、接收器33和发送器34可以通过通信总线35通信，所述存储器31用于存储计算机程序，所述处理器32执行所述计算机程序实现上述认证方法。

可选的，本申请所示处理器32可以实现图9实施例中处理模块13的功能，接收器33可以实现图8-9实施例中接收模块12的功能，发送器34可以实现图8-9实施例中发送模块11的功能，此处不再进行赘述。

可选的，上述处理器32可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请所公开的认证方法实施例中的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

图12为本申请实施例提供的另一种认证装置的硬件结构示意图。请参见图12，该认证装置40包括：存储器41、处理器42、接收器43和发送器44，其中，存储器41和处理器42通信；示例性的，存储器41、处理器42、接收器43和发送器44可以通过通信总线45通信，所述存储器41用于存储计算机程序，所述处理器42执行所述计算机程序实现上述认证方法。

可选的，本申请所示的处理器42可以实现图10实施例中的处理模块22的功能，接收器43可以实现图10实施例中接收模块21的功能，发送器44可以实现图10实施例中发送模块23的功能，此处不再进行赘述。

可选的，上述处理器可以是CPU，还可以是其他通用处理器、DSP、ASIC等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请所公开的认证方法实施例中的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

本申请提供一种存储介质，所述存储介质用于存储计算机程序，所述计算机程序用于实现上述实施例所述的认证方法。

实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一可读取存储器中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储器(存储介质)包括：只读存储器(英文：read-only memory，缩写：ROM)、RAM、快闪存储器、硬盘、固态硬盘、磁带(英文：magnetic tape)、软盘(英文：floppy disk)、光盘(英文：optical disc)及其任意组合。

本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理单元以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理单元执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

在本申请中，术语“包括”及其变形可以指非限制性的包括；术语“或”及其变形可以指“和/或”。本本申请中术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。本申请中，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

Claims

一种认证方法，其特征在于，包括：

核心网设备向数据网设备发送用户的认证请求消息，所述认证请求消息用于请求所述数据网设备对所述用户进行身份认证；

所述核心网设备接收所述数据网设备发送的认证响应消息，所述认证响应消息包括第一信息，所述第一信息用于指示所述用户的用户身份信息。
根据权利要求1所述的方法，其特征在于，所述认证请求消息中包括所述第一信息。
根据权利要求2所述的方法，其特征在于，所述认证请求消息还包括所述用户身份信息，所述用户身份信息位于所述认证请求消息的容器中，所述第一信息位于所述认证请求消息的容器之外。
根据权利要求3所述的方法，其特征在于，所述核心网设备向数据网设备发送认证请求消息之前，还包括：

所述核心网设备接收终端设备发送的注册请求消息，所述注册请求消息中包括所述第一信息和所述用户身份信息，所述用户身份信息位于所述注册请求消息的容器中，所述第一信息位于所述注册请求消息的容器之外。
根据权利要求3所述的方法，其特征在于，所述核心网设备向数据网设备发送认证请求消息之前，还包括：

所述核心网设备向终端设备发送用户身份请求消息；

所述核心网设备接收所述终端设备发送的用户身份响应消息，所述用户身份响应消息包括所述第一信息和所述用户身份信息。
根据权利要求1-5任一项所述的方法，其特征在于，所述方法还包括：

所述核心网设备获取终端设备的标识；

所述核心网设备存储所述终端设备的标识和所述第一信息之间的对应关系。
根据权利要求1-6任一项所述的方法，其特征在于，所述核心网设备向数据网设备发送用户的认证请求消息，包括：

所述核心网设备获取所述第一信息；

所述核心网设备根据所述第一信息，确定所述数据网设备的地址信息；

所述核心网设备根据所述地址信息向所述数据网设备发送所述认证请求消息。
一种认证装置，其特征在于，包括发送模块和接收模块，其中，

所述发送模块用于，向数据网设备发送用户的认证请求消息，所述认证请求消息用于请求所述数据网设备对所述用户进行身份认证；

所述接收模块用于，设备接收所述数据网设备发送的认证响应消息，所述认证响应消息包括第一信息，所述第一信息用于指示所述用户的用户身份信息。
根据权利要求8所述的装置，其特征在于，所述认证请求消息中包括所述第一信息。
根据权利要求9所述的装置，其特征在于，所述认证请求消息还包括所述用户身份信息，所述用户身份信息位于所述认证请求消息的容器中，所述第一信息位于所述认证请求消息的容器之外。
根据权利要求10所述的装置，其特征在于，

所述接收模块还用于，在所述发送模块向数据网设备发送认证请求消息之前，接收终端设备发送的注册请求消息，所述注册请求消息中包括所述第一信息和所述用户身份信息，所述用户身份信息位于所述注册请求消息的容器中，所述第一信息位于所述注册请求消息的容器之外。
根据权利要求10所述的装置，其特征在于，

所述发送模块还用于，在所述发送模块向数据网设备发送认证请求消息之前，向终端设备发送用户身份请求消息；

所述接收模块还用于，接收所述终端设备发送的用户身份响应消息，所述用户身份响应消息包括所述第一信息和所述用户身份信息。
根据权利要求8-12任一项所述的装置，其特征在于，所述装置还包括处理模块，其中，所述处理模块用于：

获取终端设备的标识；

存储所述终端设备的标识和所述第一信息之间的对应关系。
根据权利要求8-13任一项所述的装置，其特征在于，

处理模块还用于，获取所述第一信息，并根据所述第一信息，确定所述数据网设备的地址信息；

所述发送模块具体用于，根据所述地址信息向所述数据网设备发送所述认证请求消息。
一种认证装置，其特征在于，包括存储器和处理器，所述处理器执行所述存储器中的程序指令，用于实现权利要求1-7任一项所述的认证方法。
一种存储介质，其特征在于，所述存储介质用于存储计算机程序，所述计算机程序被计算机或处理器执行时用于实现权利要求1-7任一项所述的认证方法。