CN111757311B - 一种鉴权方法及通信装置 - Google Patents

Abstract

本发明实施例提供了一种鉴权方法及通信装置，该方法包括：数据管理网元向归属用户服务器发送鉴权向量获取请求，鉴权向量获取请求包括鉴权类型信息，归属用户服务器根据鉴权类型信息生成鉴权向量，将鉴权向量发送至数据管理网元。如此，数据管理网元可通过鉴权向量获取请求中的鉴权类型信息直接或间接地指示当前请求的鉴权向量的类型，例如可以是5G鉴权向量，以便归属用户服务器对其提供5G鉴权向量，支持数据管理网元完成5G鉴权，解决UDM与HSS分离部署，但鉴权数据保存在HSS，在对终端设备进行鉴权过程中，UDM和HSS的计算参数不一致的问题。同时也可以避免需要对HSS进行服务化改造才能支持UDM进行5G鉴权的问题。

Description

一种鉴权方法及通信装置

技术领域

本申请涉及通信技术领域，尤其涉及一种鉴权方法及通信装置。

背景技术

在4G网络向5G网络的过渡过程中，可能会分离部署统一数据管理(unified datamanagement，UDM)和归属用户服务器(home subscriber server，HSS)，并由HSS实现用户的密钥存储和鉴权向量计算。在应用场景中，移动性管理实体(mobility managemententity，MME)和UDM分别会向HSS请求4G鉴权向量和5G鉴权向量，但目前的HSS无法区分请求的是哪种鉴权向量。HSS可能默认提供4G鉴权向量，这会导致UDM从HSS处获得4G鉴权向量，进而无法完成5G鉴权。

现有技术中采用服务化的方式来解决这一问题，要求对HSS进行服务化改造，以使HSS支持通过服务化接口与UDM通信，但对HSS的改动较大，复杂度高。

发明内容

本申请实施例提供一种鉴权方法及通信装置，用以解决在UDM与HSS分离部署的场景下，UDM无法完成5G鉴权的技术问题。

第一方面，本申请实施例提供一种鉴权方法，该方法可应用于数据管理网元，例如可以是UDM，相应的，归属用户服务器可以是HSS。该方法包括：数据管理网元向归属用户服务器发送鉴权向量获取请求，该鉴权向量获取请求包括鉴权类型信息，该鉴权类型信息用于指示请求的鉴权向量的类型；数据管理网元接收归属用户服务器发送的鉴权向量，鉴权向量是归属用户服务器根据鉴权类型信息生成的。

采用本申请实施例中的技术方案，数据管理网元可通过鉴权向量获取请求中的鉴权类型信息直接或间接地指示出当前请求的鉴权向量的类型，例如可以是5G鉴权向量，以便归属用户服务器对其提供5G鉴权向量，支持数据管理网元完成5G鉴权，解决UDM与HSS分离部署，但鉴权数据保存在HSS，在对终端设备进行鉴权过程中，UDM和HSS的计算参数不一致的问题。同时也可以避免需要对HSS进行服务化改造才能支持UDM进行5G鉴权的问题。

结合第一方面，在第一方面的第一种可能的设计中，鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND。这样，HSS生成的5G鉴权向量能够支持UDM以5G AKA的方式完成5G鉴权，从而提高鉴权方法的适用性。

结合第一方面，在第一方面的第二种可能的设计中，鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第一加密秘钥CK、第一完整性秘钥IK和随机数RAND，该第二AUTN的鉴权管理域AMF指示位为设定值，例如可以被设置为1；此外，数据管理网元还可根据CK和IK，确定第二加密秘钥CK’和第二完整性秘钥IK’。可选的，数据管理网元可在接收到鉴权向量之后，确定CK’和IK’。这样，HSS生成的5G鉴权向量能够支持UDM以EAP-AKA’的方式完成5G鉴权，避免HSS生成5G鉴权向量的计算量过大，以及对HSS改动较大的问题，提高鉴权方法的适用性。

结合第一方面及第一方面的第一种或第二种可能的设计，在第一方面第三种可能的设计中，鉴权向量获取请求包括终端设备的国际移动用户识别码IMSI，IMSI用于指示归属用户服务器提供终端设备对应的鉴权向量，该IMSI是数据管理网元根据终端设备的用户永久标识SUPI获得的。这样，UDM可携带终端设备的IMSI信息向HSS请求鉴权向量，从而避免因UDM处的用户标识为SUPI，HSS处的用户标识为IMSI，两处所使用的用户标识不一致，而导致HSS不知道请求的是哪个终端设备的鉴权向量的问题。

结合第一方面及第一方面的第一至第三种可能的设计中的任一种可能的设计，在第一方面的第四种可能的设计中，鉴权类型信息可以包括接入方式类型信息、服务网络类型信息、鉴权向量类型信息、鉴权网元类型信息中的任一种类型信息。这样，鉴权类型信息指示需要的鉴权向量的类型可具有多种可能的实现方式，可以利用鉴权向量获取请求中的已有的信元指示，也可以利用鉴权向量获取中新增的信元指示，可有效提高鉴权方法的适用性。

第二方面，本申请实施例提供另一种鉴权方法，该方法可应用于归属用户服务器，例如可以是HSS，相应的，数据管理网元可以是UDM。该方法包括：归属用户服务器接收数据管理网元发送的鉴权向量获取请求，该鉴权向量获取请求包括鉴权类型信息，该鉴权类型信息用于指示请求的鉴权向量的类型；归属用户服务器根据鉴权类型信息，生成鉴权向量，并将鉴权向量发送至数据管理网元。

采用本申请实施例中的技术方案，数据管理网元发送的鉴权向量获取请求中包括鉴权类型信息，归属用户服务器可根据该鉴权类型信息识别出数据管理网元请求的鉴权向量的类型，例如可以是5G鉴权向量，从而支持UDM完成5G鉴权，解决UDM与HSS分离部署，但鉴权数据保存在HSS，在对终端设备鉴权过程中，UDM和HSS的计算参数不一致的问题。同时也可以避免需要对HSS进行服务化改造才能支持UDM进行5G鉴权的问题。

结合第二方面，在第二方面的第一种可能的设计中，鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND。这样，HSS生成的5G鉴权向量能够支持UDM以5G AKA的方式完成5G鉴权，从而提高鉴权方法的适用性。

结合第二方面，在第二方面的第二种可能的设计中，鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第一加密秘钥CK、第一完整性秘钥IK和随机数RAND，该第二AUTN的鉴权管理域AMF指示位为设定值，例如可以被设置为1，CK和IK用于数据管理网元确定第二加密秘钥CK’和第二完整性秘钥IK’。可选的，数据管理网元可在接收到归属用户服务器发送的鉴权向量后，根据CK和IK，确定CK’和IK’。这样，HSS生成的5G鉴权向量能够支持UDM以EAP-AKA’的方式完成5G鉴权，从而避免HSS生成5G鉴权向量的计算量过大，以及对HSS改动较大的问题，提高鉴权方法的适用性。

结合第二方面及第二方面的第一种或第二种可能的设计，在第二方面的第三种可能的设计中，鉴权向量获取请求可包括终端设备的国际移动用户识别码IMSI，IMSI用于指示归属用户服务器提供终端设备对应的鉴权向量，IMSI是数据管理网元根据终端设备的用户永久标识SUPI获取到的。这样，UDM可携带终端设备的IMSI信息向HSS请求鉴权向量，可有效避免因UDM处的用户标识为SUPI，HSS处的用户标识为IMSI，两处所使用的用户标识不一致，而导致HSS不知道请求的是哪个终端设备的鉴权向量的问题。

结合第二方面及第二方面的第一种至第三种可能的设计中的任一种可能的设计，在第二方面的第四种可能的设计中，鉴权类型信息可以包括接入方式类型信息、服务网络类型信息、鉴权向量类型信息、鉴权网元类型信息中的任一种类型信息。这样，鉴权类型信息指示需要的鉴权向量的类型可具有多种可能的实现方式，可以利用鉴权向量获取请求中的已有的信元指示，也可以利用鉴权向量获取中新增的信元指示，可有效提高鉴权方法的适用性。

第三方面，本申请实施例提供一种通信装置。该通信装置可具有实现上述第一方面或第一方面的任一种可能的设计中数据管理网元的功能，该通信装置可以为数据管理网元，例如UDM，也可以为数据管理网元中包含的芯片，也可以为用于实现数据管理网元功能的其他通信装置。或者，该通信装置也可具有实现上述第二方面或第二方面的任一种可能的设计中归属用户服务器的功能，该通信装置可为归属用户服务器，也可以为归属用户服务器中包含的芯片，也可以为用于实现归属用户服务器功能的其他通信装置。上述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现，所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，该通信装置的结构中包括处理模块和收发模块，其中，处理模块被配置为支持该通信装置执行上述第一方面或第一方面的任一种设计中相应的功能、或执行上述第二方面或第二方面的任一种设计中相应的功能。收发模块用于支持该通信装置与其他通信设备之间的通信，例如，通信装置为数据管理网元时，收发模块向归属用户服务器发送鉴权向量获取请求，通信装置为归属用户服务器时，收发模块向数据管理网元发送鉴权向量。该通信装置还可以包括存储模块，存储模块与处理模块耦合，其保存有通信装置必要的程序指令和数据。作为一种示例，处理模块可以为处理器，通信模块可以为收发器，存储模块可以为存储器，存储器可以和处理器集成在一起，也可以和处理器分离设置，本申请并不限定。

在另一种可能的设计中，该通信装置的结构中包括处理器和存储器，处理器与存储器耦合，可用于执行存储器中存储的计算机程序指令，以使通信装置执行上述第一方面或第一方面的任一种可能的设计中的方法，或使通信装置执行上述第二方面或第二方面的任一种可能的设计中的方法。可选地，该通信装置还包括通信接口，处理器与通信接口耦合。当通信装置为第一网络设备时，该通信接口可以是收发器或输入/输出接口；当该通信装置为第一网络设备中包含的芯片时，该通信接口可以是芯片的输入/输出接口。可选地，收发器可以为收发电路，输入/输出接口可以是输入/输出电路。

第四方面，本申请实施例提供一种芯片系统，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得该芯片系统实现上述第一方面的任一种可能的设计中的方法、或实现上述第二方面的任一种可能的设计中的方法。

可选地，该芯片系统中的处理器可以为一个或多个。该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

可选地，该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起，也可以和处理器分离设置，本申请并不限定。示例性的，存储器可以是非瞬时性处理器，例如只读存储器ROM，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请对存储器的类型，以及存储器与处理器的设置方式不作具体限定。

第五方面，本申请实施例提供一种计算机可读存储介质，所述计算机存储介质中存储有计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得计算机执行上述第一方面的任一种可能的设计中的方法、或实现上述第二方面的任一种可能的设计中的方法。

第六方面，本申请实施例提供一种计算机程序产品，当计算机读取并执行所述计算机程序产品时，使得计算机执行上述第一方面的任一种可能的设计中的方法、或执行上述第二方面的任一种可能的设计中的方法。

第七方面，本申请实施例提供一种通信系统，该通信系统包括上述方面所述的数据管理网元和归属用户服务器中的一个或多个网元。

附图说明

图1为本申请实施例适用的一种通信系统的网络架构示意图；

图2为本申请实施例提供的一种鉴权方法的流程示意图；

图3a和图3b为本申请实施例提供的一种鉴权方法的另一流程示意图；

图4为本申请实施例提供的一种通信装置的结构示意图；

图5为本申请实施例提供的一种通信装置的另一结构示意图。

具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作进一步地详细描述。

本申请实施例提供的技术方案可以应用于长期演进(long term evolution，LTE)系统、先进的长期演进(advanced long term evolution，LTE-A)系统、通用移动通信系统(universal mobile telecommunication system，UMTS)、演进的长期演进(evolved longterm evolution，eLTE)系统、5G系统，或未来演进的其它移动通信系统等通信系统。

请参阅图1，为本申请实施例适用的一种通信系统的网络架构图，该通信系统以5G通信系统作为示例，包括：认证服务器功能(authentication server function，AUSF)网元、统一数据管理(unified data management，UDM)网元、接入和移动性管理功能(accessand mobility management function，AMF)网元、会话管理功能(session managementfunction，SMF)网元、策略控制功能(policy control function，PCF)网元、应用功能(application function，AF)网元、用户面功能(user plane function，UPF)网元、数据网络(data network，DN)、(无线)接入网((radio)access network，(R)AN)和终端设备(userequipment，UE)。

这些网元通过服务化接口实现逻辑上的两两互联。如图1所示，终端设备与AMF之间通过N1接口实现互联，(R)AN与AMF之间通过N2接口实现互联，(R)AN与UPF之间通过N3接口实现互联，UPF与SMF之间通过N4接口实现互联，PCF与AF之间通过N5接口实现互联，UPF与DN之间通过N6接口实现互联，SMF与PCF之间通过N7接口实现互联，AMF与UDM之间通过N8接口实现互联，UPF与UPF之间通过N9接口实现互联，UDM与SMF之间通过N10接口实现互联，SMF与AMF之间通过N11接口实现互联，AMF与AUSF之间通过N12接口实现互联，AUSF与UDM之间通过N13接口实现互联，AMF与AMF之间通过N14接口实现互联，AMF与PCF通过N15接口实现互联。

本申请实施例提供的通信系统中还可包括在4G网络向5G网络演进过程中保留的归属用户服务器(home subscriber server，HSS)，HSS用于保存4G网络的用户签约数据和移动终端的位置信息，并用于生成鉴权向量。HSS可通过不同的协议接口与5G网络中的UDM、4G网络中的移动性管理实体(mobility management entity，MME)通信。

本申请实施例提供的鉴权方法主要涉及上述网络架构中的AMF、AUSF、UDM，以及HSS。其中，AMF，用于负责终端设备的接入管理和移动性管理，例如，对终端设备在接入授权/鉴权方面的管理。当终端设备注册到服务网络时，服务网络的AMF会调用归属网络AUSF提供的UE认证请求服务，并接收归属网络AUSF返回的作为UE认证请求服务的响应的鉴权向量，例如可以是5G鉴权向量，完成对终端设备在服务网络的鉴权。当终端设备在服务网络的鉴权通过后，AMF可发起注册流程，到UDM中获取用户签约数据。

AUSF，用于进行鉴权认证。归属网络AUSF提供的UE认证请求服务被调用后，AUSF可进一步调用UDM提供的UE认证获取请求服务，申请获取鉴权向量，例如可以是5G鉴权向量。

UDM，用于进行统一数据管理，例如管理5G网络的用户签约数据等。AUSF调用UDM提供的UE认证获取请求服务后，UDM可进一步地向HSS发送鉴权向量获取请求消息，并接收HSS返回的鉴权向量。

请参阅图2，为本申请实施例提供的一种鉴权方法的流程示意图，该方法包括如下的步骤S201至步骤S202：

步骤S201：数据管理网元向归属用户服务器发送鉴权向量获取请求，该鉴权向量获取请求包括鉴权类型信息，该鉴权类型信息用于指示请求的鉴权向量的类型。

本申请实施例中，数据管理网元可以是UDM，归属用户服务器可以是HSS。UDM向HSS发送的鉴权向量获取请求中可包括鉴权类型信息，该鉴权类型信息用于指示UDM所请求的鉴权向量的类型，即请求的是5G鉴权向量，或者该鉴权向量获取请求与5G鉴权相关。鉴权向量是指一组用于鉴权的参数。

鉴权类型信息可以是鉴权向量获取请求中已有的字段或信元，也可以是在鉴权向量获取请求中新增的字段或信元，本申请并不限定。鉴权类型信息可具有多种可能的实现方式，例如，该鉴权类型信息可以是接入方式类型信息、服务网络类型信息、鉴权向量类型信息、鉴权网元类型信息等信息，从而能够有效提高本申请实施例提供的鉴权方法的适用性。

示例性地，若鉴权类型信息为接入方式类型信息，UDM可通过该接入方式类型信息指示出当前的接入方式为5G接入，以便HSS获知其请求的是5G鉴权向量。若鉴权类型信息为服务网络类型信息，UDM可通过该服务网络类型信息指示出当前的服务网络为5G网络，以便HSS获知其请求的是5G鉴权向量。若鉴权类型信息为鉴权向量类型信息，UDM可通过该鉴权向量类型信息指示出需要获取5G鉴权向量，以便HSS后续提供5G鉴权向量。若鉴权类型信息为鉴权网元类型信息，UDM可通过该鉴权网元类型信息指示自己是UDM，或者指示该鉴权向量获取请求是由UDM发送的，由于UDM是属于5G网络中的网元，因此，HSS在接收到该鉴权向量获取请求后，会向UDM提供5G鉴权向量。

如此，UDM可通过鉴权向量获取请求中的鉴权类型信息直接或间接地指示出当前请求的是5G鉴权向量，以便HSS提供对应的5G鉴权向量，支持UDM完成5G鉴权，有效避免需要对HSS进行服务化改造才能支持UDM进行5G鉴权的问题。

在一种可能的设计中，该鉴权向量获取请求中还可包括终端设备的国际移动用户识别码(international mobile subscriber identity，IMSI)，该IMSI是UDM根据终端设备的用户永久标识(subscription permanent identfier，SUPI)获得的，用于指示HSS提供该终端设备的鉴权向量。示例性地，UDM可将SUPI中的类型type去掉，提取出该IMSI。如此，UDM可携带终端设备的IMSI信息向HSS请求5G鉴权向量，可有效避免因UDM处的用户标识为SUPI，HSS处的用户标识为IMSI，两处所使用的用户标识不一致，而导致HSS不知道请求的是哪个终端设备的鉴权向量的问题。

如图3a、图3b所示，在UDM发送鉴权向量获取请求之前，AMF可调用AUSF提供的UE认证请求服务。然后，AUSF可调用UDM提供的UE认证获取请求服务，进而触发UDM向HSS发送鉴权向量获取请求，该鉴权向量获取请求还可以称为鉴权向量获取请求消息，或者也可以具有其他名称，本申请并不限定。

步骤S202：归属用户服务器根据鉴权类型信息，生成鉴权向量，并将鉴权向量发送至数据管理网元。

本申请实施例中，HSS接收到鉴权向量获取请求，根据鉴权向量获取请求中的鉴权类型信息，可确定当前请求的是5G鉴权向量。之后，HSS可根据鉴权类型信息，生成5G鉴权向量，并发送给UDM。可选的，HSS可根据鉴权向量获取请求中的终端设备的IMSI，和鉴权类型信息，生成该终端设备的5G鉴权向量。

在一种可能的实现方式中，可采用5G认证和秘钥协商(5G-authentication andkey agreement，5G AKA)的方式进行鉴权。在该方式中，HSS下发的5G鉴权向量可包括，第一期望响应(expected response，XRES*)、第一认证令牌(authentication vector，AUTN)、认证服务秘钥Kausf和随机数RAND。

其中，XRES*是HSS以CK||IK为Key，以SN||RAND||XRES为S，根据秘钥生成函数(keyderivation functions，KDF)计算得到的，是期望的UE鉴权响应参数，用于与UE返回的响应RES*比较以决定鉴权是否成功。AUTN为网络提供给UE，使用来对网络进行鉴权的参数。Kausf是UDM以CK||IK为Key，

为S，根据秘钥生成函数KDF计算得到的。RAND为网络提供给UE的不可预知的随机数。CK为加密密钥，IK为完整性密钥，SN为服务网络名称(serving network name，SN)，SQN为序列号(sequence number，SQN)，AK为匿名秘钥(anonymity key，AK)，符号||表示串接，

表示异或运算。KDF的具体表达式为：KDF＝HMAC-SHA-256(Key,S)，HMAC为基于哈希算法的消息认证码(hash-based messageauthentication code，HMAC)，SHA为安全哈希算法(secure hash algorithms，SHA)。

在另一种可能的实现方式中，可采用扩展认证协议认证和秘钥协商(extensibleauthentication protocol-authentication and key agreement，EAP-AKA’)的方式进行鉴权。在该方式中，HSS下发的5G鉴权向量可为包括第二期望响应XRES(expectedresponse，XRES)、第二认证令牌AUTN、第一加密秘钥CK(cipher key，CK)、第一完整性秘钥IK(integrity key，IK)和随机数RAND的五元组，该五元组中的第二AUTN的鉴权管理域(authentication management field，AMF)指示位为设定值，如可以置为1。UDM在接收到该五元组后，再计算其它鉴权参数，如第二加密秘钥CK’和第二完整性秘钥IK’。

如此，本申请实施例提供中HSS可针对不同的鉴权方式，提供不同的5G鉴权向量。在实际应用场景中，HSS可根据配置选择生成哪种5G鉴权向量，从而使得本申请提供的鉴权方法更加灵活。

步骤S203：数据管理网元接收归属用户服务器发送的鉴权向量。

本申请实施例中，在采用5G AKA的鉴权方式下，UDM在接收到该5G鉴权向量(包括XRES*、AUTN、Kausf和RAND)后，如图3a所示，UDM可向AUSF发送UE认证获取请求服务的响应，该响应中包括上述5G鉴权向量，触发后续的鉴权过程。

示例性的，后续的鉴权过程可包括：AUSF接收到上述5G鉴权向量后，暂时保存XRES*和Kausf，并根据XRES*计算HXRES*。AUSF向AMF发送UE认证请求服务的响应，在该响应中携带AUTN、HXRES*和RAND。随后，AMF向UE发送鉴权请求消息，该鉴权请求消息中包括AUTN和RAND。UE通过验证AUTN是否可被接受来确认鉴权向量的新鲜度，若AUTN能够被接受，UE计算鉴权响应RES*，并向AMF发送鉴权请求响应，该鉴权请求响应中包括该RES*。AMF可根据接收到的RES*计算对应的HRES*，并将该HRES*与存储的HXRES*相比较，若HRES*与HXRES*一致，则认为UE在访问网络中鉴权成功。之后，AMF可向AUSF发送鉴权请求消息，该鉴权请求消息中包括AMF从UE处接收到的RES*。AUSF接收到该鉴权请求消息后，判断鉴权向量是否过期，若过期了则认为UE在归属网络的角度上鉴权失败，否则将RES*与保存的XRES*比较，如果RES*与保存的XRES*一致，则认为UE在归属网络中鉴权成功。AUSF可向AMF发送鉴权请求响应，该响应中包括UE在归属网络的鉴权结果。

在采用EAP-AKA的鉴权方式下，UDM在接收到该5G鉴权向量(即包括XRES、AUTN、CK、IK和RAND的五元组)之后，还可根据五元组中的CK和IK，确定第二加密秘钥CK’和第二完整性秘钥IK’，并以CK’和IK’替换该鉴权向量中原有的CK和IK，得到转换后的5G鉴权向量。之后，如图3b所示，UDM可向AUSF发送UE认证获取请求服务的响应，该响应中包括转换后的5G鉴权向量，即为包括XRES、AUTN、CK、IK和RAND的五元组，进而触发后续的鉴权过程。

示例性的，后续的鉴权过程可包括：AUSF可向AMF发送UE认证请求服务的响应，该响应中包括AUTN和RAND。随后，AMF向UE发送向UE发送鉴权请求消息，通过该鉴权请求消息将得到的RAND和AUTN转发给UE。UE接收到鉴权请求消息后，首先通过检查AUTN是否可被接收来验证鉴权向量的新鲜度，如果AUTN能够接受，表示UE对网络鉴权成功，UE计算鉴权响应RES。随后，UE向AMF发送鉴权请求响应，该鉴权请求响应中包括RES。AMF接收到该鉴权请求响应后，向AUSF发送鉴权请求消息，该鉴权请求消息中包括UE返回的RES，AUSF验证该RES与保存的XRES是否一致，若一致，则认为UE鉴权成功。AUSF还可根据CK’和IK’，计算认证服务秘钥Kausf，以及向UDM通知UE的鉴权结果。

如此，由UDM根据HSS发送的五元组，计算第二加密秘钥CK’和第二完整性秘钥IK’，可有效减少HSS生成5G鉴权向量过程中的计算量，对HSS的改动也较小。

本申请实施例还提供一种通信装置，请参阅图4，为本申请实施例提供的一种通信装置的结构示意图，该通信装置包括：收发模块410和处理模块420。该通信装置可以作为数据管理网元，用于实现上述任一方法实施例中涉及数据管理网元的功能，该通信装置也可以作为归属用户服务器，用于实现上述任一方法实施例中涉及归属用户服务器的功能。

当该通信装置作为数据管理网元，执行图2中所示的方法实施例时，收发模块410，用于执行向归属用户服务器发送鉴权向量获取请求，接收归属用户服务器发送的鉴权向量的操作；处理模块420用于执行生成鉴权向量获取请求的操作。

当该通信装置作为归属用户服务器，执行图2中所示的方法实施例时，收发模块410，用于执行接收数据管理网元发送的鉴权向量获取请求，将生成的鉴权向量发送至数据管理网元的操作；处理模块420用于执行根据鉴权类型信息，生成鉴权向量的操作。

应理解，本申请实施例中提供的通信装置中涉及的处理模块420可以由处理器或处理器相关电路组件实现，收发模块410可以由收发器或收发器相关电路组件实现。

需要说明的是，本申请实施例提供的通信装置400可对应于执行本申请实施例提供的数据传输方法S201至S203中的数据管理网元、或对应于执行本申请实施例提供的数据传输方法S201至S203中的归属用户服务器，该通信装置中的各个模块的操作和/或功能分别为了实现图2中所示方法的相应流程，为了简洁，在此不再赘述。

请参阅图5，为本申请实施例中提供的通信装置的另一结构示意图。如图5所示，该网络设备500包括处理器510，存储器520、和通信接口530。可选地，该通信装置500还包括输入设备540、输出设备550和总线560。其中，处理器510、存储器520、通信接口530以及输入设备540、输出设备560通过总线550相互连接。存储器520中存储指令或程序，处理器510用于执行存储器520中存储的指令或程序。存储器520中存储的指令或程序被执行时，该处理器510用于执行上述方法实施例中处理模块420执行的操作，通信接口530用于执行上述实施例中收发模块410执行的操作。

需要说明的是，本申请实施例提供的通信装置500可对应于执行本发明实施例提供的鉴权方法S201至S203的数据管理网元或归属用户服务器，并且该通信装置500中的各个模块的操作和/或功能分别为了实现图2或图3a、图3b中所示方法的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供一种芯片系统，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得该芯片系统实现上述任一方法实施例中的方法。

可选地，该芯片系统中的处理器可以为一个或多个。该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

可选地，该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起，也可以和处理器分离设置，本申请并不限定。示例性的，存储器可以是非瞬时性处理器，例如只读存储器ROM，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请对存储器的类型，以及存储器与处理器的设置方式不作具体限定。

示例性的，该芯片系统可以是现场可编程门阵列(field programmable gatearray，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processorunit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

应理解，上述方法实施例中的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

本申请实施例还提供一种计算机可读存储介质，所述计算机存储介质中存储有计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得计算机执行上述任一方法实施例中的方法。

本申请实施例还提供一种计算机程序产品，当计算机读取并执行所述计算机程序产品时，使得计算机执行上述任一方法实施例中的方法。

本申请实施例还提供一种通信系统，该通信系统包括上述各方法实施例中所述的数据管理网元和归属用户服务器中的一个或多个网元。

应理解，本申请实施例中提及的处理器可以是中央处理单元(centralprocessing unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signalprocessor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double datarate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)集成在处理器中。

应注意，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims (20)

1.一种鉴权方法，其特征在于，所述方法包括：

数据管理网元向归属用户服务器发送5G鉴权向量获取请求，所述5G鉴权向量获取请求包括终端设备的国际移动用户识别码IMSI以及鉴权类型信息，所述鉴权类型信息用于指示请求的鉴权向量的类型；

所述数据管理网元接收所述归属用户服务器发送的5G鉴权向量，所述5G鉴权向量是所述归属用户服务器根据所述IMSI以及所述鉴权类型信息采用5G认证和秘钥协商AKA或扩展认证协议EAP AKA生成的。

2.根据权利要求1所述的方法，其特征在于，所述5G鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND。

3.根据权利要求1所述的方法，其特征在于，所述5G鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第一加密秘钥CK、第一完整性秘钥IK和随机数RAND，所述第二AUTN的鉴权管理域AMF指示位为设定值；

所述方法还包括：

所述数据管理网元根据所述CK和所述IK，确定第二加密秘钥CK’和第二完整性秘钥IK’。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述IMSI用于指示所述归属用户服务器提供所述终端设备对应的鉴权向量，所述IMSI是所述数据管理网元根据所述终端设备的用户永久标识SUPI获得的。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述鉴权类型信息包括下列的任一种类型信息：

接入方式类型信息、服务网络类型信息、鉴权向量类型信息、鉴权网元类型信息。

6.一种鉴权方法，其特征在于，所述方法包括：

归属用户服务器接收数据管理网元发送的5G鉴权向量获取请求，所述5G鉴权向量获取请求包括终端设备的国际移动用户识别码IMSI以及鉴权类型信息，所述鉴权类型信息用于指示请求的鉴权向量的类型；

所述归属用户服务器根据所述IMSI以及所述鉴权类型信息采用5G认证和秘钥协商AKA或扩展认证协议EAP AKA生成5G鉴权向量，并将所述5G鉴权向量发送至所述数据管理网元。

7.根据权利要求6所述的方法，其特征在于，所述5G鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND。

8.根据权利要求6所述的方法，其特征在于，所述5G鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第一加密秘钥CK、第一完整性秘钥IK和随机数RAND，所述第二AUTN的鉴权管理域AMF指示位为设定值，所述CK和IK用于所述数据管理网元确定第二加密秘钥CK’和第二完整性秘钥IK’。

9.根据权利要求6至8中任一项所述的方法，其特征在于，所述IMSI用于指示所述归属用户服务器提供所述终端设备对应的鉴权向量，所述IMSI是所述数据管理网元根据所述终端设备的用户永久标识SUPI获得的。

10.根据权利要求6至9中任一项所述的方法，其特征在于，所述鉴权类型信息包括下列的任一种类型信息：

接入方式类型信息、服务网络类型信息、鉴权向量类型信息、鉴权网元类型信息。

11.一种通信装置，其特征在于，包括：

处理模块，用于生成5G鉴权向量获取请求；

收发模块，用于向归属用户服务器发送所述5G鉴权向量获取请求，所述5G鉴权向量获取请求包括终端设备的国际移动用户识别码IMSI以及鉴权类型信息，所述鉴权类型信息用于指示请求的鉴权向量的类型；

所述收发模块，还用于接收所述归属用户服务器发送的5G鉴权向量，所述5G鉴权向量是所述归属用户服务器根据所述IMSI以及所述鉴权类型信息采用5G认证和秘钥协商AKA或扩展认证协议EAP AKA生成的。

12.根据权利要求11所述的通信装置，其特征在于，所述5G鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND。

13.根据权利要求11所述的通信装置，其特征在于，所述5G鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第一加密秘钥CK、第一完整性秘钥IK和随机数RAND，所述第二AUTN的鉴权管理域AMF指示位为设定值；

所述处理模块还用于：

根据所述CK和所述IK，确定第二加密秘钥CK’和第二完整性秘钥IK’。

14.根据权利要求11至13中任一项所述的通信装置，其特征在于，所述IMSI用于指示所述归属用户服务器提供所述终端设备对应的鉴权向量，所述IMSI是所述处理模块根据所述终端设备的用户永久标识SUPI获得的。

15.根据权利要求11至14中任一项所述的通信装置，其特征在于，所述鉴权类型信息包括下列的任一种类型信息：

接入方式类型信息、服务网络类型信息、鉴权向量类型信息、鉴权网元类型信息。

16.一种通信装置，其特征在于，所述通信装置包括：

收发模块，用于接收数据管理网元发送的5G鉴权向量获取请求，所述5G鉴权向量获取请求包括终端设备的国际移动用户识别码IMSI以及鉴权类型信息，所述鉴权类型信息用于指示请求的鉴权向量的类型；

处理模块，用于根据所述IMSI以及所述鉴权类型信息采用5G认证和秘钥协商AKA或扩展认证协议EAP AKA生成5G鉴权向量，并通过所述收发模块将所述5G鉴权向量发送至所述数据管理网元。

17.根据权利要求16所述的通信装置，其特征在于，所述5G鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND。

18.根据权利要求16所述的通信装置，其特征在于，所述5G鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第一加密秘钥CK、第一完整性秘钥IK和随机数RAND，所述第二AUTN的鉴权管理域AMF指示位为设定值，所述CK和IK用于所述数据管理网元确定第二加密秘钥CK’和第二完整性秘钥IK’。

19.根据权利要求16至18中任一项所述的通信装置，其特征在于，所述IMSI用于指示所述通信装置提供所述终端设备对应的鉴权向量，所述IMSI是所述数据管理网元根据所述终端设备的用户永久标识SUPI获得的。

20.根据权利要求16至19中任一项所述的通信装置，其特征在于，所述鉴权类型信息包括下列的任一种类型信息：

接入方式类型信息、服务网络类型信息、鉴权向量类型信息、鉴权网元类型信息。

Images