CN112672336B - 实现外部认证的方法、通信装置及通信系统 - Google Patents

Abstract

本申请提供实现外部认证的方法、通信装置及通信系统，用以实现对外部签约的终端的认证。该方法包括：移动管理网元获取外部认证指示信息；移动管理网元根据外部认证指示信息，向终端发送第一请求消息，第一请求消息用于请求外部认证；移动管理网元接收来自终端的第一非接入层NAS消息；移动管理网元根据第一NAS消息，向认证服务功能网元发送外部实体的相关信息，外部实体的相关信息用于寻址外部实体，外部实体用于对终端进行认证；移动管理网元接收来自认证服务功能网元的外部认证结果。

Description

实现外部认证的方法、通信装置及通信系统

技术领域

本申请涉及通信技术领域，尤其涉及实现外部认证的方法、通信装置及通信系统。

背景技术

非公共网络(non-public network,NPN)是一种非公用的第五代移动通信系统(5^thGeneration,5G)网络，区别于公共网络的为特定用户提供服务的网络。NPN可以和工业互联网进行很好的融合，可以为垂直行业提供专属接入网络，限制非垂直行业终端尝试接入专属基站或频段，保障垂直行业客户资源独享。同时NPN可以为局域网(local area network,LAN)服务提供支持，可以满足一些企业、住宅、学校等对于可靠且稳定的私有网络的需求。

NPN有以下两种类型：1、公网集成NPN(public network integrated NPN)，该网络依赖于公共陆地移动网络(public land mobile network，PLMN)提供的网络功能；2、独立NPN(Standalone NPN)，该网络不依赖于PLMN提供的网络功能。为保证NPN所服务的用户的签约数据独立于运营商，或者为使用NPN部署前的用户的签约数据，NPN支持外部签约的终端接入到网络，即终端的用户签约为独立于NPN的外部实体所有，NPN允许此类终端使用外部签约接入网络。

然而，如何在NPN中实现对外部签约的终端的认证，目前还没有相关的解决方案。

发明内容

本申请实施例提供实现外部认证的方法、通信装置及通信系统，用以实现对外部签约的终端的认证。

第一方面，本申请提供了一种实现外部认证的方法，该方法包括：移动管理网元获取外部认证指示信息；所述移动管理网元根据所述外部认证指示信息，向终端发送第一请求消息，所述第一请求消息用于请求外部认证；所述移动管理网元接收来自所述终端的第一非接入层NAS消息；所述移动管理网元根据所述第一NAS消息，向认证服务功能网元发送外部实体的相关信息，所述外部实体的相关信息用于寻址所述外部实体，所述外部实体用于对所述终端进行认证；所述移动管理网元接收来自所述认证服务功能网元的外部认证结果。

通过上述方法，移动管理网元根据获取的外部认证指示信息，启动外部认证，获取可信的第三方(即外部实体)的外部认证结果，从而实现移动管理网元所在网络对外部签约的终端的认证。

在第一方面的第一种可能的设计中，移动管理网元获取外部认证指示信息包括：所述移动管理网元接收来自所述终端的外部认证指示信息；或者所述移动管理网元接收来自所述认证服务功能网元的外部认证指示信息，或者所述移动管理网元接收来自数据管理网元的外部认证指示信息。

结合第一方面的第一种可能的设计，在第二种可能的设计中，移动管理网元获取来自所述终端的外部认证指示信息包括：所述移动管理网元接收来自所述终端的注册请求消息，所述注册请求消息包括所述外部认证指示信息。

结合第一方面的第一种可能的设计，在第三种可能的设计中，所述方法还包括：所述移动管理网元接收来自所述终端的注册请求消息；如果所述移动管理网元对所述注册请求消息的完整性保护认证失败，则所述移动管理网元获取来自所述终端的外部认证指示信息包括：所述移动管理网元向所述终端发送标识请求消息；所述移动管理网元接收来自所述终端的标识响应消息，所述标识响应消息包括所述外部认证指示信息。

结合第二种或第三种可能的设计，在第四种可能的设计中，移动管理网元向所述终端发送所述第一请求消息前，所述方法还包括：所述移动管理网元确定本地没有所述终端的有效安全上下文。

结合第一方面的第一种可能的设计，在第五种可能的设计中，所述方法还包括：所述移动管理网元接收来自所述终端的注册请求消息；如果所述移动管理网元确定本地没有所述终端的有效安全上下文，则所述移动管理网元获取来自所述认证服务功能网元的外部认证指示信息包括：所述移动管理网元向所述认证服务功能网元发送终端认证请求消息；所述移动管理网元接收来自所述认证服务功能网元终端认证响应消息，所述终端认证响应消息包括所述外部认证指示信息。

结合第二种至第五种中任一种可能的设计，在第六种可能的设计中，所述第一NAS消息包括第三方标识，所述第三方标识用于标识所述外部实体。

结合第六种可能的设计，在第七种可能的设计中，所述外部实体的相关信息包括所述外部实体的通信地址，或者所述第三方标识。

结合第七种可能的设计中，在第八种可能的设计中，如果所述外部实体的相关信息包括所述外部实体的通信地址，则所述方法还包括：所述移动管理网元根据所述第三方标识，确定所述外部实体的通信地址。

结合第二种至第八种中任一种可能的设计，在第九种可能的设计中，所述方法还包括：所述移动管理网元接收来自所述认证服务功能网元的锚点秘钥，所述锚点秘钥用于建立所述终端的安全上下文。

结合第一种可能的设计，在第十种可能的设计中，所述移动管理网元接收来自数据管理网元的外部认证指示信息包括：所述移动管理网元向数据管理网元发送签约获取请求消息；所述移动管理网元接收来自所述数据管理网元的签约获取响应消息，所述签约获取响应消息包括外部认证指示信息。

结合第十种可能的设计，在第十一种可能的设计中，所述方法还包括：所述移动管理网元还接收来自数据管理网元的第三方标识，所述第三方标识用于标识所述外部实体。

结合第十一种可能的设计，在第十二种可能的设计中，所述第一请求消息包括所述第三方标识。

结合第十二中可能的设计，在第十三种可能的设计中，所述第一NAS消息包括所述第三方标识。

结合第一方面或第一至第十三种中任一种可能的设计，在第十四种可能的设计中，所述第一NAS消息包括外部认证请求，所述外部认证请求用于请求所述外部实体对所述终端进行认证。

结合第一方面或第一至十四种中任一种可能的设计，在第十五种可能的设计中，所述外部认证结果为成功，所述移动管理网元为所述终端配置所述外部实体对应的第三方业务信息。

结合第一方面或第一至十五种中任一种可能的设计，在第十六种可能的设计中，所述外部认证指示信息用于指示执行外部认证，所述外部认证指示信息包括以下任意一项或多项：设为外部注册的注册类型值、用于指示终端支持外部认证的指示(UE能力的指示indication)、用于指示执行外部认证的信元、外部认证安全参数或设为特殊值的所述终端的标识。

结合第六至第八种中任一种，或第十一至第十三种中任一种可能的设计，在第十七种可能的设计中，所述第三方标识包括以下任意一项或多项：网络接入标识NAI、数据网络名称DNN、服务提供者标识SP-ID、或单个网络切片选择辅助信息S-NSSAI。

第二方面，本申请提供了一种实现外部认证的方法，该方法包括：终端向移动管理网元发送注册请求，所述注册请求包括外部认证指示信息，所述外部认证指示信息用于指示执行外部认证；所述终端接收来自移动管理网元的第一请求消息，所述第一请求消息用于请求外部认证；所述终端向所述移动管理网元发送第一非接入层NAS消息；所述终端接收来自移动管理网元的针对所述第一NAS消息的第二NAS消息，所述第二NAS消息包括外部认证结果。

通过上述方法，终端向移动管理网元发送外部认证指示信息，移动管理网元根据获取的外部认证指示信息，启动外部认证，获取可信的第三方(即外部实体)的外部认证结果，并提供给终端，使得终端获知能够接入移动管理网元所在的网络，并且实现移动管理网元所在网络对外部签约的终端的认证。

在第二方面的第一种可能的设计中，所述第一NAS消息包括第三方标识，所述第三方标识用于标识对所述终端进行认证的外部实体。

结合第一种可能的设计，在第二种可能的设计中，所述第三方标识包括以下任意一项或多项：网络接入标识NAI、数据网络名称DNN、或服务提供者标识SP-ID、或单个网络切片选择辅助信息S-NSSAI。

结合第二方面或第一至第三种中任一种可能的设计，在第四种可能的设计中，所述第一NAS消息包括外部认证请求，所述外部认证请求用于请求外部实体对所述终端进行认证。

结合第二方面或第一至第四种中任一种可能的设计，在第五种可能的设计中，所述方法还包括：所述终端接收来自所述移动管理网元的标识请求消息；所述终端向所述移动管理网元发送标识响应消息，所述标识响应消息包括所述外部认证指示信息。

结合第二方面或第一至第五种中任一种可能的设计，在第六种可能的设计中，所述外部认证指示信息包括以下任意一项或多项：设为外部注册的注册类型值、用于指示终端支持外部认证的指示(UE能力的指示indication)、用于指示执行外部认证的信元、外部认证安全参数或设为特殊值的所述终端的标识。

第三方面，本申请提供了一种实现外部认证的方法，该方法包括：数据管理网元获取终端的标识；所述数据管理网元根据所述终端的签约数据，确定需要对所述终端执行外部认证；所述数据管理网元向移动管理网元发送外部认证指示信息，所述外部认证指示信息用于指示对所述终端执行外部认证。

通过上述方法，数据管理网元向移动管理网元发送外部认证指示信息，移动管理网元根据获取的外部认证指示信息，启动外部认证，获取可信的第三方(即外部实体)的外部认证结果，从而实现移动管理网元所在网络对外部签约的终端的认证。

在第三方面的第一种可能的设计中，所述数据管理网元获取终端的标识包括：所述数据管理网元接收来自认证服务功能网元的终端的标识；或者所述数据管理网元接收来自所述移动管理网元的所述终端的标识。

结合第三方面或者第一种可能的设计，在第二种可能的设计中，所述数据管理网元根据所述终端的签约数据，确定需要对所述终端执行外部认证包括：所述数据管理网元根据所述终端的签约数据中的外部业务认证指示，确定需要对所述终端执行外部认证。

结合第三方面、第一种可能的设计或第二种可能的设计，在第三种可能的设计中，所述数据管理网元向所述移动管理网元发送所述外部认证指示信息包括：所述数据管理网元通过认证服务功能网元向所述移动管理网元发送所述外部认证指示信息。

结合第三方面或第一至第三种中任一种可能的设计，在第四种可能的设计中，所述数据管理网元还向所述移动管理网元发送第三方标识，所述第三方标识用于标识对所述终端进行认证的外部实体。

结合第四种可能的设计，在第五种可能的设计中，所述数据管理网元还向所述移动管理网元发送所述第三方标识包括：所述数据管理网元通过认证服务功能网元向所述移动管理网元发送所述外部认证指示信息。

结合第四种或第五种可能的设计，在第六种可能的设计中，所述第三方标识包括以下任意一项或多项：网络接入标识NAI、数据网络名称DNN、或服务提供者标识SP-ID、或单个网络切片选择辅助信息S-NSSAI。

结合第三方面或第一至第六种中任一种可能的设计，在第七种可能的设计中，所述外部认证指示信息包括用于指示执行外部认证的信元。

第四方面，本申请提供了一种移动管理网元，该移动管理网元具有实现上述第一方面中所述方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件和软件包括一个或多个与上述功能相对应的模块。

在第四方面的一种可能的设计中，移动管理网元的结构中包括处理器和收发器，所述处理器被配置为支持移动管理网元执行上述第一方面中所述的方法，所述收发器用于支持移动管理网元与其他设备之间的通信。该移动管理网元还可以包括存储器，所述存储器用于与处理器耦合，其保存该移动管理网元必要的程序指令和数据。

第五方面，本申请提供了一种终端，该终端具有实现上述第二方面中所述方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件和软件包括一个或多个与上述功能相对应的模块。

结合第五方面，在一种可能的设计中，终端的结构中包括处理器和收发器，所述处理器被配置为支持终端执行上述第二方面中所述的方法，所述收发器用于支持终端与其他设备之间的通信。该终端还可以包括存储器，所述存储器用于与处理器耦合，其保存该数据管理网元必要的程序指令和数据。

第六方面，本申请提供了一种数据管理网元，该数据管理网元具有实现上述第三方面中所述方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件和软件包括一个或多个与上述功能相对应的模块。

结合第六方面，在一种可能的设计中，数据管理网元的结构中包括处理器和收发器，所述处理器被配置为支持数据管理网元执行上述第三方面中所述的方法，所述收发器用于支持数据管理网元与其他设备之间的通信。该数据管理网元还可以包括存储器，所述存储器用于与处理器耦合，其保存该数据管理网元必要的程序指令和数据。

第七方面，本申请提供了一种装置(例如，该装置可以是芯片系统)，该装置包括处理器，可以执行上述第一方面至第三方面中所述的任意一种或多种方法。

结合第七方面，在一种可能的设计中，该装置还包括存储器，用于保存必要的程序指令和数据。

第八方面，本申请提供了一种计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面至第三方面中所述的任意一种或多种方法。

第九方面，本申请提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面至第三方面中中所述的任意一种或多种方法。

第十方面，本申请提供了一种通信系统，该系统包括上述第一方面所涉及的移动管理网元和第二方面所涉及的终端，或者上述第一方面所涉及的移动管理网元和第三方面所涉及的数据管理网元中。

结合第十方面，在一种可能的设计中，该系统还包括与第一方面所涉及的移动管理网元，或第二方面所涉及的终端，或第三方面所涉及的数据管理网元进行交互的其他设备，例如基站、认证服务功能网元等等。

附图说明

图1为本申请实施例提供的一种网络架构示意图；

图2为本申请实施例提供的一种5G网络架构示意图；

图3为本申请实施例提供的一种NPN架构示意图；

图4为本申请实施例提供的一种实现外部认证的方法的流程图；

图5为本申请实施例提供的又一种实现外部认证的方法的流程图；

图6为本申请实施例提供的又一种实现外部认证的方法的流程图；

图7为本申请实施例提供的又一种实现外部认证的方法的流程图；

图8为本申请实施例提供的一种通信设备的结构示意图；

图9为本申请实施例提供的一种移动管理网元的结构示意图；

图10为本申请实施例提供的一种终端的结构示意图；

图11为本申请实施例提供的一种数据管理网元的结构示意图；

图12为本申请实施例提供的另一种通信设备的结构示意图；

图13为本申请实施例提供的另一种终端设备的结构示意图。

具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合说明书附图以及具体的实施方式对本申请实施例中的技术方案进行详细的说明。

在本申请的描述中，“多个”是指两个或两个以上，鉴于此，本申请实施例中也可以将“多个”理解为“至少两个”。“至少一个”，可理解为一个或多个，例如理解为一个、两个或更多个。例如，包括至少一个，是指包括一个、两个或更多个，而且不限制包括的是哪几个，例如，包括A、B和C中的至少一个，那么包括的可以是A、B、C、A和B、A和C、B和C、或A和B和C。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。本申请实施例中的术语“系统”和“网络”可被互换使用。

除非有相反的说明，本申请实施例提及“第一”、“第二”等序数词用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或者重要程度。

参考图1，为本申请适用的通信系统的一种示例的网络架构图。该网络架构中的网元包括终端、接入网(access network，AN)、核心网(Core)以及数据网络(data network，DN)。其中，接入网可以为无线接入网(radio access network，RAN)。在该网络架构中，终端、AN和Core是构成该网络架构的主要部分。对于AN和Core中的网元来说，从逻辑上可以分为用户面和控制面两部分，控制面负责移动网络的管理，用户面负责业务数据的传输。例如，在图1所示的网络架构中，NG2参考点位于RAN控制面和Core控制面之间，NG3参考点位于RAN用户面和Core用户面之间，NG6参考点位于Core用户面和DN之间。

在图1所述的网络架构中，终端，又称之为终端设备(terminal equipment)、用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal，MT)等，终端是一种具有无线收发功能的设备，是移动用户与网络交互的入口，能够提供基本的计算能力，和存储能力，并向用户显示业务窗口、接收用户的输入操作。在5G通信系统中，终端会采用新空口技术与AN建立信号连接和数据连接，从而传输控制信号和业务数据到网络。

终端可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。例如，该终端可以包括移动电话(或称为“蜂窝”电话)，具有移动终端的计算机，便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，智能穿戴式设备等。例如，个人通信业务(personal communicationservice，PCS)电话、无绳电话、会话发起协议(session initiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digitalassistant，PDA)、等设备。

或者，终端还可以包括受限设备，例如功耗较低的设备，或存储能力有限的设备，或计算能力有限的设备等。例如包括条码、射频识别(radio frequency identification，RFID)、传感器、全球定位系统(global positioning system，GPS)、激光扫描器等信息传感设备。

作为示例而非限定，在本申请实施例中，智能穿戴式设备，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。智能穿戴式设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。智能穿戴式设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义智能穿戴式设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能头盔、智能首饰等。

或者，该终端还可以是虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(driverless)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。

在图1所示的网络架构中，AN类似于传统通信网络里面的(无线)接入网((radio)access network，(R)AN)设备，例如包括基站(例如，接入点)，部署在靠近终端的位置，为特定区域的授权用户提供入网功能，并能够根据用户的级别、业务的需求等确定不同质量的传输隧道来传输用户数据。AN能够管理并合理利用自身的资源，按需为终端提供接入服务，并负责把控制信号和业务数据在终端和Core之间转发。

在图1所示的网络架构中，Core负责维护移动网络的签约数据、管理移动网络的网元，并为终端提供会话管理、移动性管理、策略管理、安全认证等功能。例如，在终端附着的时候，为终端提供入网认证；在终端有业务请求时，为终端分配网络资源；在终端移动的时候，为终端更新网络资源；在终端空闲的时候，为终端提供快恢复机制；在终端去附着的时候，为终端释放网络资源；在终端有业务数据时，为终端提供数据路由功能，如转发上行数据到DN，或者从DN接收下行数据并转发到AN。

在图1所示的网络架构中，DN是为用户提供业务服务的数据网络。实际通信过程中，客户端通常位于终端，服务端通常位于DN。DN可以是私有局域网，也可以是不受运营商管控的外部网络，如Internet，还可以是运营商共同部署的专有网络，如提供IP多媒体网络子系统(IP multimedia core network subsystem，IMS)服务的网络。

参考图2，为本申请适用的一种具体的网络架构示意图。该网络架构为5G网络架构。该5G架构中的网元包括终端、RAN和DN，图2中以终端为UE为例。此外，该网络架构还包括核心网网元，核心网网元包括UPF网元和控制面功能网元。具体地，控制面功能网元包括但不限于接入和移动性管理功能(access and mobility management function，AMF)网元、SMF网元、认证服务器功能(authentication server function，AUSF)网元、应用功能(application function，AF)网元、统一数据管理(unified data management，UDM)网元、策略控制功能(policy control function，PCF)网元、网络开放功能网元(networkexposure function，NEF)网元、NF存储库功能(NF repository function，NRF)网元和网络切片选择功能(network slice selection function，NSSF)网元。

需要说明的是，在传统的核心网架构中，控制面功能网元之间采用点对点通信方式，即控制面功能网元之间的接口通信采用一套特定的消息，接口两端的控制面功能网元仅能使用这套特定的消息进行通信。而在5G核心网架构中，控制面采用服务化架构，即控制面功能网元之间的交互采用服务调用的方式，控制面功能网元会向其他控制面功能网元开放服务，供其他控制面功能网元调用。

下面对图2所示的网络架构中各网元的功能进行详细介绍。由于UE、(R)AN以及DN的功能在图1所示网络架构的相关描述中已经介绍过，下面重点介绍各个核心网网元的功能。

UPF网元是用户面的功能网元，主要负责连接外部网络，其包括了长期演进(longterm evolution，LTE)的服务网关(serving gateway，SGW)和分组数据网网关(packetdata networkgateway，PDN-GW)的相关功能。具体地，UPF可以根据SMF的路由规则执行用户数据包转发，如上行数据发送到DN或其他UPF；下行数据转发到其他UPF或者RAN。

AMF网元负责UE的接入管理和移动性管理，例如负责UE的状态维护、UE的可达性管理、非移动性管理接入层(mobility management non-access-stratum，MM NAS)消息的转发、会话管理(session management，SM)N2消息的转发。在实际应用中，AMF网元可实现LTE网络框架中MME里的移动性管理功能，还可实现接入管理功能。

SMF网元负责会话管理，为UE的会话分配资源、释放资源；其中资源包括会话服务质量(quality of service，QoS)、会话路径、路由规则等。

AUSF网元用于执行UE的的安全认证。

AF网元可以是第三方的应用控制平台，也可以是运营商部署的设备，所述AF网元可以为多个应用服务器提供服务。

UDM网元可存储UE的签约信息，UDM也可以通过用户数据库(user datarepository，UDR)存储UE的签约信息。

PCF网元用于进行用户策略管理，类似于LTE中的策略与计费规则功能(policyand charging rules function，PCRF)网元，主要负责策略授权、服务质量以及计费规则的生成，并将相应规则通过SMF网元生成路由规则，下发至UPF网元，完成相应策略及规则的安装。

NEF网元用于以北向应用程序编程接口(application programming interface，API)的方式向第三方开放网络功能。

NRF网元用于为其他网元提供网络功能实体信息的存储和选择功能。

NSSF网元用于为UE选择网络切片。

下面，介绍本申请的应用场景。本申请主要应用于NPN的场景中。

参考图3，为本申请所涉及的NPN架构的一种示意图。其中，UE、(R)AN、DN以及各个核心网网元的相关描述参见图2所示的网络架构。认证、授权、计费代理(authenticationauthorization accounting proxy，AAA-Proxy或AAA-P)为对外部签约终端进行鉴权所需的代理实体。AAA-P可以作为一个独立的网元部署，也可以作为NEF或者AUSF的部分，负责与认证、授权、计费服务器(authentication authorization accounting server，AAA-Server或AAA-S)交互。

需要说明的是，本申请所涉及的移动管理网元可以是LTE网络框架中的MME、5G网络框架中的AMF或者未来网络中负责移动性管理的网元。本申请所涉及的认证服务功能网元可以是5G网络结构中的AUSF或者未来网元中负责认证服务的网元，且本申请所涉及的认证服务功能网元可以替换为AAA-P，即AAA-P实施本申请中认证服务功能网元的动作。本申请所及的数据管理网元可以是LTE网络框架中的归属用户服务器(home subscriberserver，HSS)、5G网络框架中的UDM或者未来网络中负责数据管理的网元。

NPN支持UE使用外部签约接入到网络。对内部签约的UE的认证和对外部签约的UE的认证区别在于：对内部签约的UE使用通用的5G认证，对外部签约的UE使用外部认证。本申请所涉及的外部签约，是指终端的用户签约为独立于NPN的实体所有，也就是说保有终端用户签约的实体可以不在NPN的架构内。本申请所涉及的外部认证，在NPN中是指NPN通过可信第三方(本申请实施例中的第三方与外部实体可以互相替换)对终端的认证，确定终端能够接入NPN，或者确定终端能够使用第三方提供的服务，可信第三方(外部实体)不在NPN框架内。

需要说明的是，NPN是本申请所提供的方法的一个适用场景，本申请所提供的方法也可以应用到中继场景的远程终端(remote UE)，工企业设备，物联网(Internet ofThings，IOT)设备和增强移动宽带(Enhanced Mobile Broadband，eMBB)设备中，应理解，场景的不同不应构成对本申请的限定。

参考图4，为本申请实施例提供的一种实现外部认证的方法的流程图，该流程图的描述如下：

S101：移动管理网元获取外部认证指示信息。

外部认证指示信息用于指示执行外部认证，包括以下任意一项或多项：设为外部注册的注册类型值、用于指示终端支持外部认证的指示(indication)、用于指示执行外部认证的信元(information element，IE)、外部认证安全参数或设为特殊值/域的终端的标识。

终端的标识是任何能够唯一指示该终端的标识，例如可以是以下任意一项或多项：订阅永久标识符(subscription permanent identifier，SUPI)、用户隐藏标识(subscription concealed identifier，SUCI)、移动台国际ISDN号(mobile stationinternational ISDN number，MSISDN)、公共订阅标识符(generic public subscriptionidentifier，GPSI)、国际移动用户识别码(international mobile subscriber identity，IMSI)。

特殊值/域的终端的标识可以在UE的默认配置中，或者在UE的外部签约账户的配置中，或者是UE根据第三方所提供的信息构建的。

其中，移动管理网元通过以下方式获取外部认证指示信息：

1、接收来自终端的外部认证指示信息

具体的，移动管理网元接收来自终端的注册请求消息，该注册请求消息包括外部认证指示信息；或者

移动管理网元接收来自终端的注册请求消息，若移动管理网元对注册请求消息的完整性保护失败，则移动管理网元向终端发送标识请求消息(identity请求消息)，移动管理网元接收来自终端的identity响应消息，该identity响应消息包括外部认证指示信息。

2、接收来自认证服务功能网元的外部认证指示信息

具体的，移动管理网元向认证服务功能网元发送终端认证请求消息，移动管理网元接收来自认证服务功能网元的终端认证响应消息，终端认证响应消息包括外部认证指示信息。

3、接收来自数据管理网元的外部认证指示信息

具体的，移动管理网元向数据管理网元发送签约获取请求消息，移动管理网元接收来自数据管理网元的签约获取响应消息，签约获取响应消息包括外部认证指示信息。

可选的，移动管理网元还接收来自数据管理网元的第三方标识。第三方标识用于标识外部实体，第三方标识包括以下任意一项或多项：网络接入标识(network accessidentifier，NAI)、数据网络名称(data network name，DNN)、服务提供者标识(serviceprovider identifier，SP-ID)、或单个网络切片选择辅助信息(single network sliceselection assistance information，S-NSSAI)。外部实体例如可以是AAA-S，其可以位于DN，也可以位于PLMN(下述实施例中的外部实体可以和AAA-S相互替换)。需要注意的是，对终端进行认证的外部实体不一定保存终端的外部签约数据，即对终端进行认证的外部实体与保存终端外部签约数据的实体不一定是同一个。对终端进行认证的外部实体可以通过获取终端外部签约数据的实体对终端进行认证。

S102：可选的，移动管理网元确定本地没有终端的有效安全上下文。

其中，AMF确定本地没有终端的安全上下文，或者确定本地虽有安全上下文但已失效。

需要说明的是，S102与S101没有严格的执行顺序，S102可以在S101之前执行，或者在S102之后执行，本申请对此不作限定。

S103：移动管理网元根据外部认证指示信息，向终端发送第一请求消息，以使得终端接收来自移动管理网元的第一请求消息，第一请求消息用于请求外部认证。

可选的，第一请求消息包括第三方标识。

S104：终端向移动管理网元发送第一接入层NAS消息，以使得移动管理网元接收来自终端的第一NAS消息。

可选的，第一NAS消息包括第三方标识，和/或外部认证请求，外部认证请求用于请求外部实体对终端进行认证。

S105：移动管理网元根据第一NAS消息，向认证服务功能网元发送外部实体的相关信息，以使得认证服务功能网元接收来自移动管理网元的外部实体相关信息。外部实体的相关信息用于寻址对终端进行认证的外部实体，包括第三方标识或外部实体的通信地址。

外部实体的通信地址可以是任何能够寻址到外部实体的地址，例如可以是外部实体的互联网协议(Internet Protocol，IP)地址，或者全量域名(fully qualified domainname，FQDN)。

若移动管理网元向认证服务功能网元发送外部实体的通信地址，则S105之前，移动管理网元根据第三方标识，确定外部实体的通信地址；若移动管理网元向认证服务功能网元发送第三标识，则S105之后，认证服务功能网元根据第三方标识，确定外部实体的通信地址，选择目标外部实体。

可选的，移动管理网元还向认证服务功能网元发送外部认证请求。

S106：认证服务功能网元请求外部实体对终端进行认证，获取外部认证结果。

在一个示例中，认证服务功能网元向外部实体发送外部认证请求，接收来自外部实体的外部认证结果。

其中，外部认证结果可以为成功或者失败。

在一个示例中，若外部认证结果为成功，则外部实体还向认证服务功能网元发送锚点密钥，该锚点密钥用于建立安全上下文。

S107：认证服务功能网元向移动管理网元发送外部认证结果，以使得移动管理网元接收来自认证服务功能网元的外部认证结果。

在一个示例中，若外部认证结果为成功，则认证服务功能网元还向移动管理网元发送锚点密钥，可选的，移动管理网元为认证成功的终端配置外部实体对应的第三方业务信息，例如网络切片和/或DNN。

基于图4所提供的方法，移动管理网元获取外部认证指示信息，启动外部认证，获取可信的第三方的外部认证结果，根据第三方的认证结果实现对外部签约的终端的认证。

下面结合具体实施例图5-7，对图4所提供的方法进行详细说明，其中移动管理网元以AMF为例，认证服务功能网元以AUSF为例，数据管理网元以UDM为例。

在图4所示实施例的基础上，图5为本申请实施例提供的一种实现外部认证的方法。该方法中终端有外部签约，没有内部签约，注册过程中，终端明确指示或隐含指示AMF执行外部认证，AMF触发外部认证，获取外部认证结果，建立终端的安全上下文，该方法的流程描述如下：

S201：终端向RAN发送无线资源控制(radio resource control，RRC)消息，以使得RAN接收来自终端的RRC消息。

其中，该RRC消息包括注册请求和外部认证指示信息，或者该RRC消息包括注册请求，该注册请求包括外部认证指示信息。

外部认证指示信息的描述参见S101，此处不作赘述。

终端的标识的描述参见S101，此处不追赘述。

特殊值/域的终端的标识可以在UE的默认配置中，或者在UE的外部签约账户的配置中，或者是UE根据第三方所提供的信息构建的。

S202：可选的，RAN在RRC消息中获取外部认证指示信息，选择支持外部认证的AMF。

S203：RAN向AMF发送N2信息，以使得AMF接收来自RAN的N2信息。

若执行了S202，则RAN向所选择的AMF发送N2信息。

其中，该N2信息包括注册请求和外部认证指示信息，或者该N2信息包括注册请求，该注册请求包括外部认证指示信息。

S204：若AMF对注册消息的完整性保护认证失败，则AMF通过identity请求消息和identity响应消息获取外部认证指示信息。

其中，若外部认证指示信息为特殊值/域的终端的标识，则AMF通过标识请求消息和标识响应消息获取特殊值/域的终端的标识；若外部认证指示信息不为特殊值/域的终端的标识，则AMF可以通过标识请求消息和标识响应消息获取终端的标识和外部认证指示信息。

S205：AMF确定本地没有终端的有效安全上下文，根据外部认证指示信息，启用外部认证。

其中，AMF确定本地没有终端的安全上下文，或者确定本地虽有安全上下文但已失效。

S206：AMF向终端发送第一请求消息，以使得终端接收来自AMF的第一请求消息，第一请求消息用于请求外部认证。

S207：终端执行外部认证，具体的，终端向AMF发送第一NAS消息，以使得AMF接收来自终端第一NAS消息。

其中，第一NAS消息包括第三方标识，进一步包括外部认证请求。

第三方标识的描述参见S101，此处不作赘述。

外部认证请求用于请求外部实体对所述终端进行认证。

S208：AMF/AUSF/AAA-P根据第三方标识，确定外部实体的通讯地址。

其中，若是AUSF/AAA-P根据第三方标识，确定的外部实体通讯地址，则在S207之前，AMF向AUSF/AAA-P发送第三方标识；若是AMF根据第三方标识，确定的外部实体通信地址，则在S207之后，AMF向AUSF/AAA-P发送外部实体通信地址。

外部实体通信地址的描述参见S105，此处不作赘述。

S209：AMF向AUSF发送外部认证请求，以使得AUSF接收来自AMF的外部认证请求。

S210：AUSF根据外部实体通信地址，选择目标外部实体，发送外部认证请求，以使得外部实体接收来自AUSF的外部认证请求。

可选的，如果目标外部实体(AAA-S)位于DN中，AUSF可以向AAA-P发送外部认证请求，AAA-P根据外部实体通信地址，选择目标外部实体，发送外部认证请求，以使得外部实体接收来自AAA-P的外部认证请求。

S211：外部实体根据终端的外部签约数据进行认证。

其中，外部实体可以本地保存终端的签约数据，或者是通过获取其他实体所保存的终端签约数据，对终端进行认证。

S212：外部实体向AUSF返回外部认证结果，AUSF向AMF返回外部认证结果。

其中，外部认证结果可以为成功或者失败。若外部认证结果为成功，则外部实体还可以在同一条消息中向AUSF返回外部认证结果和锚点密钥，AUSF进一步向AMF返回外部认证结果和锚点密钥，该锚点密钥用于建立安全上下文。

可选的，如果目标外部实体(AAA-S)位于DN中，外部实体向AAA-P返回外部认证结果，AAA-P向AUSF返回外部认证结果，AUSF向AMF返回外部认证结果。

可选的，移动管理网元为认证成功的终端配置外部实体对应的第三方业务信息，例如网络切片和/或DNN。

S213：终端接收来自AMF的第二NAS消息，以使得终端接收来自AMF的第二NAS消息，第二NAS消息包括外部认证结果。

S214：继续执行注册流程，完成注册。

基于图5所提供的方法，AMF接收来自终端的外部认证指示信息，启动外部认证，获取可信的第三方的外部认证结果，根据第三方的认证结果接收或者拒绝终端的注册，从而实现对外部签约的终端的认证。

在图4和图5所示实施例的基础上，图6为本申请提供的一种实现外部认证的方法。该方法中终端既有内部签约，也有外部签约，在执行认证发触发和认证方式选择的步骤中，UDM选择外部认证，并反馈给AUSF和AMF，AMF根据外部认证指示信息启用外部认证，该方法的流程图描述如下：

S301：终端向RAN发送注册请求消息，以使得RAN接收来自终端的注册请求消息。

S302：RAN向AMF发送注册请求消息，以使得AMF接收来自RAN的注册请求消息。

S303：可选的，AMF通过identity请求消息和identity响应消息获取终端的标识，其中终端的标识例如是SUPI，或者SUCI。

S304：AMF确定本地没有终端的有效安全上下文，向AUSF发送终端认证请求消息，以使得AUSF接收来自AMF的终端认证请求消息。

其中，终端认证请求消息包括终端的标识，终端的标识例如是SUPI，或者SUCI。可选的，终端认证请求消息还包括服务网络名称(serving network name，SN name)。

S305：AUSF向UDM发送获取请求消息，以使得UDM接收来自AUSF的获取请求消息。

其中，获取请求消息包括终端的标识，终端的标识例如是SUPI，或者SUCI。可选的，获取请求消息还包括SN name。

S306：UDM根据终端的签约数据，确定需要对该终端执行外部认证。

在一个示例中，UDM根据终端签约数据中的外部业务认证指示，确定需要对终端执行外部认证。该外部业务认证指示用于指示该终端的认证方式为外部认证。根据该外部业务认证指示，在执行认证触发和认证方法选择的过程中，UDM选择外部认证方式。

可选的，最初终端可以只有内部签约，通过内部签约接入AMF所在网络，之后终端从第三方获取外部签约，在获取外部签约的过程中，内部签约的外部业务认证指示对终端是非激活的。完成外部签约的获取后，UDM更新内部签约的外部业务认证指示状态为激活。UDM更新内部签约的外部业务认证指示状态，具体可以通过以下方式：1、UDM初次使用5G认证后，自动更新外部业务认证指示状态；2、终端获取外部签约，触发去注册，指示AMF去注册的原因为“完成签约”，AMF通知UDM更新外部业务认证指示状态；3、第三方通过NEF更新网络中的内部签约的外部业务认证指示状态；4、第三方通过AAA-P/AUSF/AMF等网元触发UDM更新内部签约的外部业务认证指示状态。

S307：UDM向AUSF发送获取响应消息，以使得AUSF获取来自UDM的获取响应消息。

其中，获取响应消息包括外部认证指示信息，关于外部认证指示信息的描述参见S101，此处不作赘述。

S308：AUSF向AMF发送终端认证响应消息，以使得AMF接收来自AUSF的终端认证响应消息。

其中，终端认证响应消息包括外部认证指示信息，外部认证指示信息例如是用于指示执行外部认证的IE。

S309～S318参见S205～S214，本申请不作赘述。

基于图6所提供的方法，AMF接收来自AUSF的外部认证指示信息，启动外部认证，获取可信的第三方的外部认证结果，根据第三方的认证结果接收或者拒绝终端的注册，从而实现对外部签约的终端的认证。

在图4所示实施例的基础上，图7为本申请提供的一种实现外部认证的方法。该方法中，网络侧首先使用内部签约和5G认证方式为用户建立安全上下，之后UDM根据签约数据，指示AMF终端需要进一步执行外部认证，外部实体认证该终端，并将认证结果发送给AMF，该方法的流程图描述如下：

S401～S403参见S301～S303，本申请不作赘述。

S404：终端执行3GPP安全认证。

该步骤中，AMF获取了锚点密钥，建立了终端的安全上下文。

S405：AMF通过identity请求消息和identity响应消息，获取终端的永久设备标识(permanent equipment identifier，PEI)。

S406：AMF向UDM发送签约获取请求消息，以使得UDM接收来自AMF的签约获取请求消息。

其中，签约获取请求消息包括终端的标识例如SUPI，可选的还包括终端的PEI。

S407：UDM根据签约数据，确定需要对终端进一步执行外部认证。

可选的，最初终端可以只有内部签约，通过内部签约接入AMF所在网络，后终端从第三方获取外部签约，在获取外部签约后，内部签约的外部业务认证指示可能对终端是非激活的。完成外部签约的获取后，UDM更新内部签约的外部业务认证指示状态为激活。UDM更新内部签约的外部业务认证指示状态，具体可以通过多种方式，多种方式的描述参见S206，此处不作赘述。

需要说明的是，内部签约也可以为多个终端共享的内部签约，而非某一终端私有的内部签约。若内部签约是多个终端共享的，则AMF在更新内部签约的业务服务流程中携带PEI给UDM，让UDM激活关于此PEI的外部业务认证指示。即在S406中，AMF携带PEI给UDM，UDM根据PEI获取共享内部签约中此设备的外部业务认证指示。

S408：UDM向AMF发送签约获取响应消息，以使得AMF获取来自UDM的签约获取响应消息。

其中，签约获取响应消息包括外部认证指示信息，可选的还包括一个或多个第三方标识(多个第三方标识例如可以是第三方标识1和第三方标识2)，第三方标识用于标识对终端进行认证的外部实体。关于外部认证指示信息的描述参见S101，关于第三方标识的描述参见S106，此处不作赘述。

需要说明的是，UDM本地的业务服务签约可以包括该一个或多个第三方标识，UDM将该一个或多个第三方标识反馈给AMF，让AMF执行该一个或多个第三方标识指示的一个或多个外部实体的外部认证，例如第三方标识1指示外部实体1，第三方标识2指示外部实体2，UDM将第三标识1和第三标识2反馈给AMF，让AMF执行外部实体1和外部实体2的外部认证。若UDM未向AMF反馈第三方标识，则终端自动选择第三方标识进行认证。终端自动选择第三方标识进行认证的步骤参见S107～S113。

S409：AMF根据外部认证指示信息，启用外部认证。

S410：AMF向终端发送第一请求消息，以使得终端接收来自AMF的第一请求消息，第一请求消息用于请求外部认证。

可选地，第一请求消息包括一个或多个第三方标识，例如第一请求消息包括第三方标识1和第三方标识2，终端获知AMF所在网络(例如NPN)允许终端使用外部实体1对应的的第三方业务和外部实体2对应的第三方业务。

S411：终端执行外部认证，具体的，终端向AMF发送第一NAS消息，以使得AMF接收来自终端的第一NAS消息。

其中，第一NAS消息进一步可以包括外部认证请求。

若第一请求消息包括多个第三方标识例如第三方标识1和第三方标识2，且终端根据本地的外部签约的配置，确定本地配置中的相关凭证对应于外部实体1，不对应于外部实体2，则终端触发外部实体1的外部认证。相关凭证例如是用户证书、用户名密码、SP-ID中的一个或多个，其中，终端根据用户证书或用户密码或SP-ID或三者的任意组合确定对应于外部实体1。该场景下，第一NAS消息仅包括第三标识1，后续继续执行S107～S114。

若第一请求消息包括一个第三方标识，且终端确定本地的相关凭证对应于外部实体1，则终端触发该外部实体1的外部认证，第一NAS消息可以包括该第三方标识。

若第一NAS消息包括的第三方标识不属于第一请求消息中所包括的一个或多个第三方标识，即对终端进行认证的主体不是AMF指定的，则AMF可以拒绝终端的第一NAS消息。

S412～S415参见S208～S211，本申请不作赘述。

S416：外部实体向AUSF返回外部认证结果，AUSF向AMF返回外部认证结果。

其中，外部认证结果可以为成功或者失败。

若外部认证结果为成功，AMF根据外部认证结果，确定终端对特定第三方可信，允许终端使用对应的第三方服务。

可选地，移动管理网元为认证成功的终端配置外部实体对应的第三方业务信息，例如网络切片和/或DNN。

S417：AMF向终端发送第二NAS消息，以使得终端接收来自AMF的第二NAS消息，第二NAS消息包括外部认证结果。

若外部认证结果为成功，终端根据外部认证结果，确定能够使用第三方服务。

基于图7所提供的方法，AMF接收来自UDM的外部认证指示信息，启动外部认证，获取可信的第三方的外部认证结果，根据第三方的认证结果允许终端使用对应的第三方服务。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍，可以理解的是，上述移动管理网元、终端、数据管理网元、认证服务功能网元或外部实体为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应超过本申请的范围。

本申请实施例可以根据上述方法示例对移动管理网元、终端、数据管理网元、认证服务功能网元或外部实体进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中，上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

例如，上述网元或功能可以通过图8的通信设备实现。如图8所示，该通信设备800可以为移动管理网元、终端、数据管理网元、认证服务功能网元或外部实体等。该通信设备包括处理模块801、发送模块802和接收模块803，可选的，还包括存储模块804。其中，发送模块802和接收模块803可以为同一个模块，例如通信模块。

处理模块801用于对上述设备的动作进行控制，例如支持上述设备执行本申请实施例所提供的方法及步骤。发送模块802用于支持上述设备向其他网络实体发送信息，例如本申请实施例中，上述设备向其他网络实体发送信息的步骤。接收模块803用于支持上述设备接收其他网络实体发送的信息，例如本申请实施例中，上述设备接收其他网络实体发送的信息的步骤。存储模块803用于存储上述设备的数据和代码。

通信装置800可以为移动管理网元，图9示出了一种移动管理网元900的结构示意图，该移动管理网元包括处理模块901、发送模块902和接收模块903，可选的，还包括存储模块904。

在一个实施例中，移动管理网元900可以用于执行上述方法实施例中移动管理网元的操作，具体为：

处理模块901，用于获取外部认证指示信息。外部认证指示信息用于指示执行外部认证。具体可参考图4中的S101。

以及根据外部认证指示信息，通过发送模块向终端发送第一请求消息，第一请求消息用于请求外部认证。具体可参考图4中的S103。

接收模块903，用于接收来自终端的第一非接入层NAS消息。具体可参考图4中的S104。

处理模块901，还用于根据第一NAS消息，通过发送模块902向认证服务功能网元发送外部实体的相关信息，外部实体的相关信息用于寻址外部实体，外部实体用于对终端进行认证。具体可参考图4中的S105。

接收模块903，还用于接收来自认证服务功能网元的外部认证结果。具体可参考图4中的S107。

进一步地，移动管理网元900还可以用于执行图5、6或7中相应的步骤，具体可参考上述方法实施例中的描述。

通信装置800可以为终端，图10示出了一种终端1000的结构示意图。该终端包括发送模块1002和接收模块1003，可选的，还包括处理模块1001或存储模块1004。

在一个实施例中，终端1000可以用于执行上述方法实施例中终端的操作，具体为：

发送模块1002，用于向移动管理网元发送注册请求，注册请求包括外部认证指示信息，外部认证指示信息用于指示执行外部认证。具体可参考图4中的S101。

接收模块1003，用于接收来自移动管理网元的第一请求消息，第一请求消息用于请求外部认证。具体可参考图4中的S103。

发送模块1002，还用于向移动管理网元发送第一非接入层NAS消息。具体可参考图4中的S104。

接收模块1003，还用于接收来自移动管理网元的针对第一NAS消息的第二NAS消息，第二NAS消息包括外部认证结果。具体可参考图5中的S214。

进一步地，终端1000还可以用于执行图5、6或7中相应的步骤，具体可参考上述方法实施例中的描述。

通信装置800可以为数据管理网元，图11示出了一种数据管理网元1100的结构示意图。该数据管理网元包括处理模块1101和发送模块1102，可选的，还包括接收模块1103或存储模块1104。

在一个实施例中，数据管理网元1100可以用于执行上述方法实施例中数据管理网元的操作，具体为：

处理模块1101，用于获取终端的标识。具体可参考图6中的S305或图7中的S406。

以及根据终端的签约数据，确定需要对终端执行外部认证。具体可参考图6中的S306或图7中的S407。

发送模块1102，用于向移动管理网元发送外部认证指示信息，外部认证指示信息用于指示对终端执行外部认证。具体可参考图6中的S307和S308，或者或图7中的S408。

进一步地，数据管理网元1100还可以用于执行图4、5、6或7中相应的步骤，具体可参考上述方法实施例中的描述。

当上述的处理模块801、901、1001或1101为处理器，发送模块802、902、1002、1102和接收模块803、903、1003、1103为收发器，存储模块804、904、1004或1104为存储器时，本申请实施例涉及的移动管理网元、终端、数据管理网元可以为图12所示的结构。

图12示出的通信设备1200包括：处理器1201、收发器1202，可选的，可以包括存储器1203以及总线1204。处理器1201、收发器1202以及存储器1203通过总线1204连接。其中，处理器1201例如可以是中央处理器(central processing unit，CPU)，通用处理器，数字信号处理器(digital signal processor，DSP)，专用集成电路(application-specificintegrated circuit，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或其任意组合。其可以实现或执行结合本申请所描述的各个示例性的逻辑方框、模块和电路。处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，DSP和微处理器的组合等等。总线1204可以是外设部件互联标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

若图12所示的通信设备为终端1000，终端1000可以为图13所示结构，如图9所示，终端1000包括处理器1301和收发器1302。可选地，终端1000还包括存储器1303。其中，处理器1301、收发器1302和存储器1303之间可以通过总线互相通信，传递控制和/或数据信号。存储器1303用于存储计算机程序，处理器1301用于从存储器1303中调用并运行计算机程序，以控制收发器1302收发信号。

可选地，终端1000还可以包括天线1304，用于将收发器1302输出的信息或数据通过无线信号发送出去。

处理器1301和存储器1303可以合成一个处理装置，处理器1301用于执行存储器1303中存储的程序代码来实现上述功能。具体实现时，存储器1303也可以集成在处理器1301中，或者独立于处理器1301。

可选地，终端1000还可以包括电源1305，用于给终端设备中的各种器件或电路提供电源。

除此之外，为了使得终端设备的功能更加完善，终端1000还可以包括输入单元1306、显示单元1307、音频电路1308、摄像头1309和传感器1310等中的一个或多个。音频电路还可以包括扬声器13081、麦克风13082等。

本申请实施例还提供的一种芯片系统1400，包括至少一个处理器1401、接口电路1402，处理器1401和接口电路1402相连。

处理器1401可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1401中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1401可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

接口电路1402可以完成数据、指令或者信息的发送或者接收，处理器1401可以利用接口电路1402接收的数据、指令或者其它信息，进行加工，可以将加工完成信息通过接口电路1402发送出去。

可选的，芯片系统还包括存储器1403，存储器1403可以包括只读存储器和随机存取存储器，并向处理器提供操作指令和数据。存储器1403的一部分还可以包括非易失性随机存取存储器(NVRAM)。

可选的，存储器1403存储了可执行软软件模块或者数据结构，处理器1403可以通过调用存储器存储的操作指令(该操作指令可存储在操作系统中)，执行相应的操作。

可选的，芯片系统可以使用在本申请实施例涉及的移动管理网元、终端或数据管理网元中。可选的，接口电路1402用于执行图4至图7所示的实施例中移动管理网元、终端或数据管理网元等设备的接收和发送的步骤。处理器1401用于执行图4至图7所示的实施例中移动管理网元、终端或数据管理网元等设备的处理的步骤。存储器1403用于存储图4至图7所示的实施例中移动管理网元、终端或数据管理网元等设备的数据和指令。

本申请实施例还提供了一种计算机可读存储介质。上述方法实施例中描述的方法可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。如果在软件中实现，则功能可以作为一个或多个指令或代码存储在计算机可读介质上或者在计算机可读介质上传输。计算机可读介质可以包括计算机存储介质和通信介质，还可以包括任何可以将计算机程序从一个地方传送到另一个地方的介质。存储介质可以是可由计算机访问的任何可用介质。

作为一种可选的设计，计算机可读介质可以包括RAM，ROM，EEPROM，CD-ROM或其它光盘存储器，磁盘存储器或其它磁存储设备，或可用于承载的任何其它介质或以指令或数据结构的形式存储所需的程序代码，并且可由计算机访问。而且，任何连接被适当地称为计算机可读介质。例如，如果使用同轴电缆，光纤电缆，双绞线，数字用户线(DSL)或无线技术(如红外，无线电和微波)从网站，服务器或其它远程源传输软件，则同轴电缆，光纤电缆，双绞线，DSL或诸如红外，无线电和微波之类的无线技术包括在介质的定义中。如本文所使用的磁盘和光盘包括光盘(CD)，激光盘，光盘，数字通用光盘(DVD)，软盘和蓝光盘，其中磁盘通常以磁性方式再现数据，而光盘利用激光光学地再现数据。上述的组合也应包括在计算机可读介质的范围内。

本申请实施例还提供了一种计算机程序产品。上述方法实施例中描述的方法可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。如果在软件中实现，可以全部或者部分得通过计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行上述计算机程序指令时，全部或部分地产生按照上述方法实施例中描述的流程或功能。上述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其它可编程装置。

以上的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本申请的具体实施方式而已，并不用于限定本申请的保护范围，凡在本申请的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本申请的保护范围之内。

Claims (28)

1.一种实现外部认证的方法，其特征在于，所述方法包括：

移动管理网元接收来自认证服务功能网元的外部认证指示信息；或者所述移动管理网元接收来自数据管理网元的外部认证指示信息；

所述移动管理网元根据所述外部认证指示信息，向终端发送第一请求消息，所述第一请求消息用于请求外部认证；

所述移动管理网元接收来自所述终端的第一非接入层NAS消息；

所述移动管理网元根据所述第一NAS消息，向所述认证服务功能网元发送外部实体的相关信息，所述外部实体的相关信息用于寻址所述外部实体，所述外部实体用于对所述终端进行认证；

所述移动管理网元接收来自所述认证服务功能网元的外部认证结果。

2.如权利要求1所述的方法，其特征在于，所述移动管理网元获取来自所述终端的外部认证指示信息包括：

所述移动管理网元接收来自所述终端的注册请求消息，所述注册请求消息包括所述外部认证指示信息。

3.如权利要求2所述的方法，其特征在于，所述移动管理网元向所述终端发送所述第一请求消息前，所述方法还包括：

所述移动管理网元确定本地没有所述终端的有效安全上下文。

4.如权利要求1所述的方法，其特征在于，所述方法还包括：

所述移动管理网元接收来自所述终端的注册请求消息；

如果所述移动管理网元确定本地没有所述终端的有效安全上下文，则所述移动管理网元获取来自所述认证服务功能网元的外部认证指示信息包括：

所述移动管理网元向所述认证服务功能网元发送终端认证请求消息；

所述移动管理网元接收来自所述认证服务功能网元终端认证响应消息，所述终端认证响应消息包括所述外部认证指示信息。

5.如权利要求2-4任一项所述的方法，其特征在于，所述第一NAS消息包括第三方标识，所述第三方标识用于标识所述外部实体。

6.如权利要求5所述的方法，其特征在于，所述外部实体的相关信息包括所述外部实体的通信地址，或者所述第三方标识。

7.如权利要求2-6任一项所述的方法，其特征在于，所述方法还包括：

所述移动管理网元接收来自所述认证服务功能网元的锚点秘钥，所述锚点秘钥用于建立所述终端的安全上下文。

8.如权利要求1所述的方法，其特征在于，所述移动管理网元接收来自数据管理网元的外部认证指示信息包括：

所述移动管理网元向数据管理网元发送签约获取请求消息；

所述移动管理网元接收来自所述数据管理网元的签约获取响应消息，所述签约获取响应消息包括外部认证指示信息。

9.如权利要求8所述的方法，其特征在于，所述方法还包括：

所述移动管理网元还接收来自数据管理网元的第三方标识，所述第三方标识用于标识所述外部实体。

10.如权利要求9所述的方法，其特征在于，所述第一请求消息包括所述第三方标识。

11.一种实现外部认证的方法，其特征在于，包括：

数据管理网元获取终端的标识；

所述数据管理网元根据所述终端的签约数据，确定需要对所述终端执行外部认证；

所述数据管理网元向认证服务功能网元或移动管理网元发送外部认证指示信息，所述外部认证指示信息用于指示对所述终端执行外部认证，所述外部认证为认证、授权、计费服务器对所述终端进行的认证。

12.如权利要求11所述的方法，其特征在于，所述数据管理网元获取终端的标识包括：

所述数据管理网元接收来自所述认证服务功能网元的终端的标识；或者

所述数据管理网元接收来自所述移动管理网元的所述终端的标识。

13.如权利要求11或12所述的方法，其特征在于，所述数据管理网元根据所述终端的签约数据，确定需要对所述终端执行外部认证包括：

所述数据管理网元根据所述终端的签约数据中的外部业务认证指示，确定需要对所述终端执行外部认证。

14.如权利要求11-13任一项所述的方法，其特征在于，所述数据管理网元还向所述认证服务功能网元或所述移动管理网元发送第三方标识，所述第三方标识用于标识对所述终端进行认证的外部实体。

15.一种移动管理网元，其特征在于，包括处理模块、发送模块和接收模块；

所述接收模块用于接收来自认证服务功能网元的外部认证指示信息；或者接收来自数据管理网元的外部认证指示信息；

以及根据所述外部认证指示信息，通过所述发送模块向终端发送第一请求消息，所述第一请求消息用于请求外部认证；

所述接收模块，用于接收来自所述终端的第一非接入层NAS消息；

所述处理模块，还用于根据所述第一NAS消息，通过所述发送模块向所述认证服务功能网元发送外部实体的相关信息，所述外部实体的相关信息用于寻址所述外部实体，所述外部实体用于对所述终端进行认证；

所述接收模块，还用于接收来自所述认证服务功能网元的外部认证结果。

16.如权利要求15所述的移动管理网元，其特征在于，所述接收模块用于接收来自所述终端的注册请求消息，所述注册请求消息包括所述外部认证指示信息。

17.如权利要求16所述的移动管理网元，其特征在于，所述处理模块还用于确定本地没有所述终端的有效安全上下文。

18.如权利要求17所述的移动管理网元，其特征在于，

所述接收模块用于接收来自所述终端的注册请求消息；

如果所述处理模块确定本地没有所述终端的有效安全上下文，则所述发送模块用于向所述认证服务功能网元发送终端认证请求消息；

所述接收模块用于接收来自所述认证服务功能网元终端认证响应消息，所述终端认证响应消息包括所述外部认证指示信息。

19.如权利要求16-18任一项所述的移动管理网元，其特征在于，所述第一NAS消息包括第三方标识，所述第三方标识用于标识所述外部实体。

20.如权利要求19所述的移动管理网元，其特征在于，所述外部实体的相关信息包括所述外部实体的通信地址，或者所述第三方标识。

21.如权利要求16-20任一项所述的移动管理网元，其特征在于，所述接收模块还用于接收来自所述认证服务功能网元的锚点秘钥，所述锚点秘钥用于建立所述终端的安全上下文。

22.如权利要求15所述的移动管理网元，其特征在于，所述发送模块用于向数据管理网元发送签约获取请求消息；所述接收模块用于接收来自所述数据管理网元的签约获取响应消息，所述签约获取响应消息包括外部认证指示信息。

23.如权利要求22所述的移动管理网元，其特征在于，所述接收模块还用于接收来自数据管理网元的第三方标识，所述第三方标识用于标识所述外部实体。

24.一种通信系统，其特征在于，包括移动管理网元和数据管理网元；

所述移动管理网元，用于：

获取外部认证指示信息；

根据所述外部认证指示信息，向终端发送第一请求消息，所述第一请求消息用于请求外部认证；

接收来自所述终端的第一非接入层NAS消息；

根据所述第一NAS消息，向认证服务功能网元发送外部实体的相关信息，所述外部实体的相关信息用于寻址所述外部实体，所述外部实体用于对所述终端进行认证；

接收来自所述认证服务功能网元的外部认证结果；

所述数据管理网元，用于：

获取所述终端的标识；

根据所述终端的签约数据，确定需要对所述终端执行外部认证；

向所述认证服务功能网元或所述移动管理网元发送所述外部认证指示信息。

25.一种数据管理网元，其特征在于，包括处理模块和收发模块，

所述处理模块用于获取终端的标识；以及根据所述终端的签约数据，确定需要对所述终端执行外部认证；

所述收发模块用于向认证服务功能网元或移动管理网元发送外部认证指示信息，所述外部认证指示信息用于指示对所述终端执行外部认证，所述外部认证为认证、授权、计费服务器对所述终端进行的认证。

26.如权利要求25所述的数据管理网元，其特征在于，所述收发模块用于

接收来自所述认证服务功能网元的终端的标识；或者

接收来自所述移动管理网元的所述终端的标识。

27.如权利要求25或26所述的数据管理网元，其特征在于，所述处理模块具体用于根据所述终端的签约数据中的外部业务认证指示，确定需要对所述终端执行外部认证。

28.如权利要求25-27任一项所述的数据管理网元，其特征在于，所述收发模块还用于向所述认证服务功能网元或所述移动管理网元发送第三方标识，所述第三方标识用于标识对所述终端进行认证的外部实体。