CN112867001A

CN112867001A - 鉴权方法、终端设备和网络设备

Info

Publication number: CN112867001A
Application number: CN201911176717.0A
Authority: CN
Inventors: 韩鲁峰
Original assignee: Vivo Mobile Communication Co Ltd
Current assignee: Vivo Mobile Communication Co Ltd
Priority date: 2019-11-26
Filing date: 2019-11-26
Publication date: 2021-05-28
Anticipated expiration: 2039-11-26
Also published as: CN112867001B

Abstract

本发明实施例公开了一种鉴权方法、终端设备和网络设备，用以解决鉴权过程中信令开销大的问题。上述方法可以由终端设备执行，包括：在鉴权失败的情况下，发送鉴权失败消息；其中，所述鉴权失败消息包括所述终端设备的身份标识，所述身份标识用于网络设备生成鉴权参数以发起新的鉴权过程。本发明实施例中，网络设备可以基于鉴权失败消息中携带的身份标识生成鉴权参数以发起新的鉴权过程，而无需发起身份识别过程，省略了身份识别过程中的信令开销。

Description

鉴权方法、终端设备和网络设备

技术领域

本发明实施例涉及通信领域，尤其涉及一种鉴权方法、终端设备和网络设备。

背景技术

3GPP网络接入安全机制包括AKA(Authentication and Key Agreement，鉴权和密钥协商)鉴权，AKA鉴权可实现终端设备和网络设备的相互认证，并建立新的加密密钥和完整性密钥，相关技术中的AKA鉴权(失败)过程如下：

1：网络设备向终端设备发送鉴权请求消息；

2：终端设备接收到鉴权请求消息后对网络设备进行鉴权，在鉴权失败的情况下向网络设备发送鉴权失败消息；

3：网络设备接收到鉴权失败消息后，判断是否需要从终端设备获取终端设备的身份标识；若需要，则进入步骤4；

4：网络设备向终端设备发送身份标识请求消息，触发身份识别过程，要求从终端设备获取身份标识；

5：终端设备接收到身份标识请求消息后，向网络设备提供身份标识，然后网络设备根据该身份标识重新生成鉴权参数，后续，网络设备重新发起新的鉴权过程。

上述AKA鉴权失败过程中需要获取终端设备的身份标识，终端设备和网络设备之间的交互次数过多，导致信令开销较大。

发明内容

本发明实施例的目的是提供一种鉴权方法、终端设备和网络设备，用以解决鉴权过程中信令开销大的问题。

第一方面，提供了一种鉴权方法，该方法由终端设备执行，包括：

在鉴权失败的情况下，发送鉴权失败消息；

其中，所述鉴权失败消息包括所述终端设备的身份标识，所述身份标识用于网络设备生成鉴权参数以发起新的鉴权过程。

第二方面，提供了一种鉴权方法，该方法由网络设备执行，包括：

接收鉴权失败消息，所述鉴权失败消息是终端设备在鉴权失败的情况下发送的；

在所述鉴权失败消息包括所述终端设备的身份标识的情况下，基于所述身份标识生成鉴权参数，所述鉴权参数用于发起新的鉴权过程。

第三方面，提供了一种终端设备，该终端设备包括：

发送模块，用于在鉴权失败的情况下，发送鉴权失败消息；

第四方面，提供了一种网络设备，该网络设备包括：

接收模块，用于接收鉴权失败消息，所述鉴权失败消息是终端设备在鉴权失败的情况下发送的；

鉴权模块，用于在所述鉴权失败消息包括所述终端设备的身份标识的情况下，基于所述身份标识生成鉴权参数，所述鉴权参数用于发起新的鉴权过程。

第五方面，提供了一种终端设备，该终端设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如第一方面所述的鉴权方法的步骤。

第六方面，提供了一种网络设备，该网络设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如第二方面所述的鉴权方法的步骤。

第七方面，提供了一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现如第一方面和第二方面所述的鉴权方法的步骤。

在本发明实施例中，在鉴权失败的情况下终端设备发送鉴权失败消息，该鉴权失败消息包括身份标识，这样，网络设备即可基于该身份标识生成鉴权参数以发起新的鉴权过程，而无需发起身份识别过程，省略了身份识别过程中的信令开销。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是根据本发明的一个实施例的鉴权方法的示意性流程图；

图2是根据本发明的另一个实施例的鉴权方法的示意性流程图；

图3是根据本发明的再一个实施例的鉴权方法的示意性流程图；

图4是根据本发明的一个实施例的终端设备的结构示意图；

图5是根据本发明的一个实施例的网络设备的结构示意图；

图6是根据本发明的另一个实施例的终端设备的结构示意图；

图7是根据本发明的另一个实施例的网络设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。本说明书各个实施例中的“和/或”表示前后两者的至少之一。

应理解，本发明实施例的技术方案可以应用于各种通信系统，例如：长期演进(Long Term Evolution，LTE)系统、LTE频分双工(Frequency DivisionDuplex，FDD)系统、LTE时分双工(Time Division Duplex，TDD)、通用移动通信系统(Universal MobileTelecommunication System，UMTS)或全球互联微波接入(Worldwide Interoperabilityfor Microwave Access，WiMAX)通信系统、5G系统，或者说新无线(New Radio，NR)系统，或者为后续演进通信系统。

在本发明实施例中，终端设备可以包括但不限于移动台(Mobile Station，MS)、移动终端(Mobile Terminal)、移动电话(Mobile Telephone)、用户设备(User Equipment，UE)、手机(handset)及便携设备(portable equipment)、车辆(vehicle)等，该终端设备可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，例如，终端设备可以是移动电话(或称为“蜂窝”电话)、具有无线通信功能的计算机等，终端设备还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置。

本发明实施例中，网络设备是一种部署在无线接入网中用以为终端设备提供无线通信功能的装置。所述网络设备可以为基站，所述基站可以包括各种形式的宏基站，微基站，中继站，接入点等。在采用不同的无线接入技术的系统中，具有基站功能的设备的名称可能会有所不同。例如在LTE网络中，称为演进的节点B(Evolved NodeB，eNB或eNodeB)，在第三代(3rd Generation，3G)网络中，称为节点B(Node B)，或者后续演进通信系统中的网络设备等等，然用词并不构成限制。

如图1所示，本发明的一个实施例提供一种鉴权方法100，该方法可以由终端设备执行，换言之，该方法可以由安装在终端设备的软件或硬件来执行，该方法包括如下步骤：

S102：在鉴权失败的情况下，发送鉴权失败消息，该鉴权失败消息包括终端设备的身份标识。

上述身份标识用于网络设备生成鉴权参数以发起新的鉴权过程。

在该实施例执行之前，网络设备可以向终端设备发送鉴权请求(AUTHENTICATION_REQUEST)消息，这样，终端设备即可基于上述鉴权请求消息对网络设备进行鉴权：

如果对网络设备鉴权失败，则执行S102的操作；

在其他的一些实施例中，如果对网络设备鉴权成功，终端设备还可以发送鉴权成功消息。

可选地，该实施例可以应用在5G通信系统中，上述鉴权失败的原因可以是MAC错误(MAC failure)或非-5G鉴权不接受(non-5G authenticationunacceptable)等。

可选地，所述鉴权失败消息包括原因值，所述原因值指示的原因包括下述之一：MAC错误；非-5G鉴权不接受。

该实施例应用在5G通信系统时，终端设备的身份标识可以是用户永久标识(Subscription Permanent Identifier，SUPI)；也可以是隐藏的用户标识(SubscriptionConcealed Identifier SUCI)。

SUCI是通过加密算法对SUPI加密后的结果，在终端设备的身份标识是SUCI的情况下，可以避免终端设备的用户信息(如位置信息)被泄露，提高通信的安全性。

可选地，该实施例可以应用在演进分组系统(Evolved Packet System，EPS)通信系统中，上述鉴权失败的原因可以是MAC错误或非-演EPS鉴权不接受(Non-EPSauthentication unacceptable)等。

可选地，所述鉴权失败消息包括原因值，所述原因值指示的原因包括下述之一：MAC错误；非-EPS鉴权不接受。

该实施例应用在EPS通信系统时，终端设备的身份标识可以是国际移动用户识别码(International Mobile Subscriber Identity，IMSI)。

本发明实施例提供的鉴权方法，在鉴权失败的情况下终端设备发送鉴权失败消息，该鉴权失败消息包括身份标识，这样，网络设备即可基于该身份标识生成鉴权参数以发起新的鉴权过程，而无需发起身份识别过程，省略了身份识别过程中的信令开销。

可选地，上述实施例100在鉴权失败的情况下，发送鉴权失败消息包括：在鉴权失败、且识别所述网络设备需要获取所述终端设备的身份标识的情况下，发送鉴权失败消息。

该实施例中，在网络设备需要获取终端设备的身份标识的情况下，网络设备随后可能发起身份识别过程，用于从终端设备处获取SUCI。

可选地，上述实施例100在发送鉴权失败消息之前，终端设备还可以识别网络是否需要获取终端设备的身份标识。具体例如，识别网络设备随后是否会发起身份识别过程，该身份识别过程用于获取终端设备的身份标识(SUCI)。这样，上述实施例100具体可以是在识别出网络设备需要获取终端设备的身份标识，例如，识别出网络设备随后会发起身份识别过程的情况下，在鉴权失败消息携带终端设备的身份标识。

当然，终端设备如果识别出网络设备不需要获取终端设备的身份标识，例如，识别出网络设备随后不会发起身份识别过程，终端设备还可以在鉴权失败消息不携带终端设备的身份标识，以节约信令开销。

上述提到的识别网络设备随后是否会发起身份识别过程包括：根据鉴权失败的原因，识别网络是否需要获取所述终端设备的身份标识，例如，识别网络设备随后是否会发起身份识别过程。

具体例如，在5G通信系统中，如果鉴权失败的原因是MAC错误或非-5G鉴权不接受，则确定网络需要获取终端设备的身份标识，例如，确定网络设备随后会发起身份识别过程；如果鉴权失败的原因是上述两者之外，则可以确定网络不需要获取终端设备的身份标识，例如，确定网络设备随后不会发起身份识别过程。

又例如，在EPS通信系统中，如果鉴权失败的原因是MAC错误或非-EPS鉴权不接受，则确定网络需要获取终端设备的身份标识，例如，确定网络设备随后会发起身份识别过程；如果鉴权失败的原因是上述两者之外，则可以确定网络不需要获取终端设备的身份标识，例如确定网络设备随后不会发起身份识别过程。

可选地，网络设备向终端设备发送鉴权请求消息之前，终端设备还可以向网络设备发送注册请求消息，该注册请求消息包括所述终端设备的5G-临时标识(GloballyUnique Temporary UE Identity，GUTI)。可以理解，在注册请求消息已经包括终端设备的SUCI或SUPI的情况下，终端设备还可以识别网络设备随后不会发起身份识别过程，因为网络设备已经获得了终端设备的身份标识；在注册请求消息包括5G-GUTI的情况下，终端设备还可以识别出网络设备随后会发起身份识别过程。

可选地，上述实施例100在发送鉴权失败消息之前，网络设备可以向终端设备发送鉴权请求消息，这样，终端设备还可以确定鉴权请求消息中是否包括指示信息；该指示信息用于指示所述终端设备在鉴权失败的情况下发送所述终端设备的身份标识。

这样，上述实施例100具体可以是在识别出鉴权请求消息包括指示信息的情况下，在鉴权失败消息携带终端设备的身份标识。

当然，终端设备如果识别出鉴权请求消息不包括上述指示信息，终端设备还可以在鉴权失败消息不携带终端设备的身份标识，以节约信令开销。

为详细说明本发明实施例提供的鉴权方法，以下将结合一个具体的实施例进行说明，如图2所示，该实施例200包括如下步骤：

S202：网络设备向终端设备发送鉴权请求(AUTHENTICATION_REQUEST)消息，发起鉴权请求。

该实施例可以应用在5G通信系统中，上述网络设备具体可以是接入和移动管理功能(Access and Mobility Management Function，AMF)。

该实施例还可以应用在EPS通信系统中，上述网络设备具体可以是移动管理节点功能(Mobility Management Entity function，MME)。

S204：终端设备接收到AUTHENTICATION_REQUEST消息后，发现MAC错误，或发现#26"non-5G authentication unacceptable"时，给网络设备响应鉴权失败(AUTHENTICATION FAILURE)消息，携带原因5GMM cause#20"MACfailure"，或#26"non-5Gauthentication unacceptable"，同时在该鉴权失败消息中携带终端设备的身份标识，例如，SUCI。

在鉴权失败的原因是MAC错误的情况下，可选地，在该实施例中，根据条款5.4.1.3.6的规定，终端设备向网络设备发送携带5GMM原因#20“MACFAILURE”的鉴权失败消息，并启动定时器T3520。此外，终端设备应停止正在运行的任何重传定时器(例如T3510、T3517或T3521)。在第一次从终端设备处接收到携带5GMM原因20“MAC失败”的鉴权失败消息时，根据条款5.4.3的规定，网络设备可能发起身份识别过程，以从终端设备处获取SUCI，该实施例后续步骤可以省略身份识别过程。

在鉴权失败的原因是非-5G鉴权不接受的情况下，可选地，在该实施例中，终端设备向网络设备发送携带5GMM原因#26“non-5G authenticationunacceptable”的鉴权失败消息，并启动定时器T3520。此外，终端设备应停止正在运行的任何重传定时器(例如T3510、T3517或T3521)。在第一次从终端设备处接收到携带5GMM原因20“MAC失败”的鉴权失败消息时，根据条款5.4.3的规定，网络设备可能发起身份识别过程，以从终端设备处获取SUCI，该实施例后续步骤可以省略身份识别过程。

S206：网络设备接收到AUTHENTICATION FAILURE消息后，判断是否需要获取终端设备的身份标识；

若需要，直接从该AUTHENTICATION FAILURE消息中检查是否携带了终端设备的身份标识，若携带了，则使用该身份标识生成新的鉴权参数；

S208-210：网络设备使用新的鉴权参数发起新的鉴权过程。

在实施例200的基础上，本发明另一实施例提供一种鉴权方法，该实施例的执行步骤与实施例200相同，更详细地，该实施例提供了鉴权失败消息的具体内容。

该实施例中，如果表1中的5G移动性管理原因信元(5GMM cause)在携带原因值#20"MAC failure"，或#26"non-5G authentication unacceptable"情况下，在鉴权失败消息中还包括移动身份信元(Mobile identity)，以携带终端的身份标识。

从表1可以看出，移动身份信元为可选项(即非必须携带项)，在5GMMcause没有携带原因值#20"MAC failure"，或#26"non-5G authenticationunacceptable"情况下，鉴权失败消息中还可以省略移动身份信元，以节约信令开销。

表1：鉴权失败消息内容

以上结合图1和图2详细描述了根据本发明实施例的鉴权方法。下面将结合图3详细描述根据本发明另一实施例的鉴权方法。可以理解的是，从网络设备侧描述的网络设备与终端设备的交互与图1所示的方法中的终端设备侧的描述相同，为避免重复，适当省略相关描述。

图3是本发明实施例的鉴权方法实现流程示意图，可以应用在网络设备侧。如图3所示，该方法300包括：

S302：接收鉴权失败消息。

该鉴权失败消息是终端设备在鉴权失败的情况下发送的。

S304：在鉴权失败消息包括终端设备的身份标识的情况下，基于该身份标识生成鉴权参数，该鉴权参数用于发起新的鉴权过程。

可选地，作为一个实施例，所述鉴权失败消息包括原因值，所述原因值指示的原因包括下述之一：

MAC错误；

非-5G鉴权不接受；

非-EPS鉴权不接受。

可选地，作为一个实施例，所述基于所述身份标识生成鉴权参数之前，所述方法300还包括：识别所述鉴权失败消息是否包括所述终端设备的身份标识。

可选地，作为一个实施例，所述基于所述身份标识生成鉴权参数之后，所述方法300还包括：基于所述鉴权参数发起新的鉴权过程。

可选地，作为一个实施例，所述接收鉴权失败消息之前，所述方法300还包括：发送鉴权请求消息；其中，所述鉴权请求消息中包括指示信息，所述指示信息用于指示所述终端设备在鉴权失败的情况下发送所述终端设备的身份标识。

可选地，作为一个实施例，所述发送鉴权请求消息之前，所述方法300还包括：接收注册请求消息；其中，所述注册请求消息包括所述终端设备的5G-GUTI。

可选地，作为一个实施例，所述身份标识包括下述之一：SUCI；IMSI；SUPI。

以上结合图1至图3详细描述了根据本发明实施例的鉴权方法。下面将结合图4详细描述根据本发明实施例的终端设备。

图4是根据本发明实施例的终端设备的结构示意图。如图4所示，终端设备400包括：

发送模块402，可以用于在鉴权失败的情况下，发送鉴权失败消息；

本发明实施例提供的终端设备，在鉴权失败的情况下终端设备发送鉴权失败消息，该鉴权失败消息包括身份标识，这样，网络设备即可基于该身份标识生成鉴权参数以发起新的鉴权过程，而无需发起身份识别过程，省略了身份识别过程中的信令开销。

MAC错误；

非-5G鉴权不接受；

非-EPS鉴权不接受。

可选地，作为一个实施例，发送模块402，可以用于在鉴权失败、且识别所述网络设备需要获取所述终端设备的身份标识的情况下，发送鉴权失败消息。

可选地，作为一个实施例，终端设备400还包括识别模块，可以用于：

根据所述鉴权失败的原因，识别所述网络设备是否需要获取所述终端设备的身份标识。

可选地，作为一个实施例，终端设备400还包括接收模块，可以用于：

接收鉴权请求消息；

确定所述鉴权请求消息中是否包括指示信息；

其中，所述指示信息用于指示所述终端设备在鉴权失败的情况下发送所述终端设备的身份标识。

可选地，作为一个实施例，发送模块402，还可以用于：发送注册请求消息；其中，所述注册请求消息包括所述终端设备的5G-GUTI。

根据本发明实施例的终端设备400可以参照对应本发明实施例的方法100的流程，并且，该终端设备400中的各个单元/模块和上述其他操作和/或功能分别为了实现方法100中的相应流程，并且能够达到相同或等同的技术效果，为了简洁，在此不再赘述。

图5是根据本发明实施例的网络设备的结构示意图。如图5所述，网络设备500包括：

接收模块502，可以用于接收鉴权失败消息，所述鉴权失败消息是终端设备在鉴权失败的情况下发送的；

鉴权模块504，可以用于在所述鉴权失败消息包括所述终端设备的身份标识的情况下，基于所述身份标识生成鉴权参数，所述鉴权参数用于发起新的鉴权过程。

本发明实施例提供的网络设备，在鉴权失败的情况下终端设备发送鉴权失败消息，该鉴权失败消息包括身份标识，这样，网络设备即可基于该身份标识生成鉴权参数以发起新的鉴权过程，而无需发起身份识别过程，省略了身份识别过程中的信令开销。

MAC错误；

非-5G鉴权不接受；

非-EPS鉴权不接受。

可选地，作为一个实施例，鉴权模块504，还可以用于：基于所述鉴权参数发起新的鉴权过程。

可选地，作为一个实施例，所述网络设备500还包括发送模块，可以用于：发送鉴权请求消息；其中，所述鉴权请求消息中包括指示信息，所述指示信息用于指示所述终端设备在鉴权失败的情况下发送所述终端设备的身份标识。

可选地，作为一个实施例，接收模块502，还可以用于：接收注册请求消息；其中，所述注册请求消息包括所述终端设备的5G-GUTI。

根据本发明实施例的网络设备500可以参照对应本发明实施例的方法300的流程，并且，该网络设备500中的各个单元/模块和上述其他操作和/或功能分别为了实现方法300中的相应流程，并且能够达到相同或等同的技术效果，为了简洁，在此不再赘述。

本说明书中的各个实施例采用递进的方式描述，每个实施例重点说明的通常是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于设备实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

图6是本发明另一个实施例的终端设备的框图。图6所示的终端设备600包括：至少一个处理器601、存储器602、至少一个网络接口604和用户接口603。终端设备600中的各个组件通过总线系统605耦合在一起。可理解，总线系统605用于实现这些组件之间的连接通信。总线系统605除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图6中将各种总线都标为总线系统605。

其中，用户接口603可以包括显示器、键盘、点击设备(例如，鼠标，轨迹球(trackball))、触感板或者触摸屏等。

可以理解，本发明实施例中的存储器602可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(ProgrammableROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，DRRAM)。本发明实施例描述的系统和方法的存储器602旨在包括但不限于这些和任意其它适合类型的存储器。

在一些实施方式中，存储器602存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集：操作系统6021和应用程序6022。

其中，操作系统6021，包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。应用程序6022，包含各种应用程序，例如媒体播放器(Media Player)、浏览器(Browser)等，用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序6022中。

在本发明实施例中，终端设备600还包括：存储在存储器上602并可在处理器601上运行的计算机程序，计算机程序被处理器601执行时实现如下方法实施例100的步骤。

上述本发明实施例揭示的方法可以应用于处理器601中，或者由处理器601实现。处理器601可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器601中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器601可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific IntegratedCircuit，ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的计算机可读存储介质中。该计算机可读存储介质位于存储器602，处理器601读取存储器602中的信息，结合其硬件完成上述方法的步骤。具体地，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器601执行时实现如上述方法实施例100的各步骤。

可以理解的是，本发明实施例描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits，ASIC)、数字信号处理器(Digital SignalProcessing，DSP)、数字信号处理设备(DSP Device，DSPD)、可编程逻辑设备(ProgrammableLogic Device，PLD)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。

对于软件实现，可通过执行本发明实施例所述功能的模块(例如过程、函数等)来实现本发明实施例所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。

终端设备600能够实现前述实施例中终端设备实现的各个过程，并且能够达到相同或等同的技术效果，为避免重复，这里不再赘述。

请参阅图7，图7是本发明实施例应用的网络设备的结构图，能够实现方法实施例300的细节，并达到相同的效果。如图7所示，网络设备700包括：处理器701、收发机702、存储器703和总线接口，其中：

在本发明实施例中，网络设备700还包括：存储在存储器上703并可在处理器701上运行的计算机程序，计算机程序被处理器701、执行时实现方法实施例300的步骤。

在图7中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器701代表的一个或多个处理器和存储器703代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机702可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。

处理器701负责管理总线架构和通常的处理，存储器703可以存储处理器701在执行操作时所使用的数据。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述方法实施例100和方法实施例300中任意一个方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。

Claims

1.一种鉴权方法，其特征在于，所述方法由终端设备执行，所述方法包括：

在鉴权失败的情况下，发送鉴权失败消息；

2.根据权利要求1所述的方法，其特征在于，所述鉴权失败消息包括原因值，所述原因值指示的原因包括下述之一：

MAC错误；

非-5G鉴权不接受；

非-演进分组系统EPS鉴权不接受。

3.根据权利要求1所述的方法，其特征在于，所述在鉴权失败的情况下，发送鉴权失败消息包括：

在鉴权失败、且识别所述网络设备需要获取所述终端设备的身份标识的情况下，发送鉴权失败消息。

4.根据权利要求3所述的方法，其特征在于，所述发送鉴权失败消息之前，所述方法还包括：

根据所述鉴权失败的原因，识别所述网络是否需要获取所述终端设备的身份标识。

5.根据权利要求1所述的方法，其特征在于，所述在鉴权失败的情况下，发送鉴权失败消息之前，所述方法还包括：

接收鉴权请求消息；

确定所述鉴权请求消息中是否包括指示信息；

6.根据权利要求5所述的方法，其特征在于，所述接收鉴权请求消息之前，所述方法还包括：

发送注册请求消息；

其中，所述注册请求消息包括所述终端设备的5G-临时标识GUTI。

7.根据权利要求1所述的方法，其特征在于，所述身份标识包括下述之一：

隐藏的用户标识SUCI；

国际移动用户识别码IMSI；

用户永久标识SUPI。

8.一种鉴权方法，其特征在于，所述方法由网络设备执行，所述方法包括：

9.根据权利要求8所述的方法，其特征在于，所述鉴权失败消息包括原因值，所述原因值指示的原因包括下述之一：

MAC错误；

非-5G鉴权不接受；

非-EPS鉴权不接受。

10.根据权利要求8所述的方法，其特征在于，所述基于所述身份标识生成鉴权参数之后，所述方法还包括：

基于所述鉴权参数发起新的鉴权过程。

11.根据权利要求8所述的方法，其特征在于，所述接收鉴权失败消息之前，所述方法还包括：

发送鉴权请求消息；

其中，所述鉴权请求消息中包括指示信息，所述指示信息用于指示所述终端设备在鉴权失败的情况下发送所述终端设备的身份标识。

12.根据权利要求11所述的方法，其特征在于，所述发送鉴权请求消息之前，所述方法还包括：

接收注册请求消息；

其中，所述注册请求消息包括所述终端设备的5G-GUTI。

13.根据权利要求8所述的方法，其特征在于，所述身份标识包括下述之一：

SUCI；

IMSI；

SUPI。

14.一种终端设备，其特征在于，包括：

发送模块，用于在鉴权失败的情况下，发送鉴权失败消息；

15.一种网络设备，其特征在于，包括：

16.一种终端设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的鉴权方法。

17.一种网络设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求8至13中任一项所述的鉴权方法。

18.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至13中任一项所述的鉴权方法。