CN115567934A - 一种认证方法及通信装置 - Google Patents

Abstract

本申请提供一种认证方法及通信装置。该方法包括：确定认证指示，认证指示用于指示对通信设备进行认证；接收来自第一通信设备的第一报文，第一报文中包含第一通信设备的标识信息；当第一通信设备是未成功认证的通信设备，或者当第一通信设备是未成功认证的通信设备且第一集合中不包含第一通信设备的标识信息，向会话管理网元发送第一请求，第一请求中包含指示信息和第一通信设备的标识信息，该指示信息指示对第一通信设备进行认证；第一集合中包含免认证的通信设备的标识信息。该方案，当终端确定第一通信设备是未成功认证的通信设备，则向网络侧发起第一请求，用于请求网络侧对该第一通信设备进行认证，从而可以保证第一通信设备通信时的安全性。

Description

一种认证方法及通信装置

技术领域

本申请涉及无线通信技术领域，尤其涉及一种认证方法及通信装置。

背景技术

目前，终端在创建会话阶段，由会话管理网元决定是否对终端创建的会话发起二次认证流程。在二次认证流程中，会话管理网元与数据网络认证、授权和计费(datanetwork authentication,authorization and accounting，DN-AAA)服务器交互，对终端会话进行认证，DN-AAA服务器通过会话管理网元实现对终端会话的授权，其中授权的内容包括：对于以太类型的会话，DN-AAA服务器可授权会话允许通信的媒体接入控制(mediumaccess control，MAC)地址列表以及允许通信的虚拟局域网(virtual local areanetwork，VLAN)列表。DN-AAA服务器对终端会话的二次认证失败将导致会话管理网元拒绝终端的会话建立请求，最终导致终端会话创建失败。二次认证成功后，则会话管理网元可以接受终端的会话建立请求，从而终端可以完成创建会话。

在一些场景中，终端下还会接入其它的通信设备，终端创建会话之后，真正使用该会话发送数据报文的设备是接入到该终端的通信设备。然而这些通信设备是未经认证的，存在安全隐患。

发明内容

本申请提供一种认证方法及通信装置，用以实现对接入到终端的通信设备进行认证，以提升通信设备的通信安全。

第一方面，本申请实施例提供一种认证方法，该方法可以由终端或应用于终端中的模块(如芯片)来执行。该方法包括：确定认证指示，该认证指示用于指示对通信设备进行认证；接收来自第一通信设备的第一报文，该第一报文中包含第一通信设备的标识信息；当该第一通信设备是未成功认证的通信设备，或者当该第一通信设备是未成功认证的通信设备且第一集合中不包含该第一通信设备的标识信息，向会话管理网元发送第一请求，该第一请求中包含指示信息和该第一通信设备的标识信息，该指示信息指示对该第一通信设备进行认证；该第一集合中包含免认证的通信设备的标识信息。

其中，终端可以建立数据通道，该数据通道可以被接入到该终端的通信设备，如第一通信设备使用。比如，以PDU会话为例，在没有PDU会话之前，UE先建立PDU会话，在会话建立起来后，对应的数据通道就建立起来了。

根据上述方案，当终端确定第一通信设备是未成功认证的通信设备，则向网络侧发起第一请求，用于请求网络侧对该第一通信设备进行认证，从而可以保证第一通信设备通信时的安全性。

在一种可能的实现方法中，接收来自该会话管理网元的第一响应，该第一响应中包含该第一通信设备的标识信息、认证成功信息和第二集合，该第二集合中包含该第一通信设备对应的授权的VLAN的标识信息。

在一种可能的实现方法中，该第一报文中包含第一VLAN的标识信息；当该第二集合中包含该第一VLAN的标识信息，授权该第一通信设备在该第一VLAN通信；或者，当该第二集合中不包含该第一VLAN的标识信息，拒绝该第一通信设备的通信。

根据上述方案，终端可以授权第一通信设备的通信或拒绝第一通信设备的通信，实现对通信设备的认证，有助于提升通信安全。

在一种可能的实现方法中，从该第二集合中选择第二VLAN的标识信息；授权该第一通信设备在该第二VLAN通信。

在一种可能的实现方法中，在向该会话管理网元发送该第一请求之前，向该第一通信设备发送第二请求，该第二请求用于请求获取该第一通信设备的认证信息；接收来自该第一通信设备的该认证信息；其中，该第一请求中还包含该认证信息。

在一种可能的实现方法中，该认证信息包括用户名和/或密码。

在一种可能的实现方法中，该第一报文中包含第一VLAN的标识信息；确定第三集合，该第三集合中包含该第一通信设备对应的授权的VLAN的标识信息；当该第一通信设备是成功认证的通信设备且第三集合中包含该第一VLAN的标识信息，或者当该第一集合中不包含该第一通信设备的标识信息、该第一通信设备是成功认证的通信设备且第三集合中包含该第一VLAN的标识信息，授权该第一通信设备在该第一VLAN通信；或者，当该第一通信设备是成功认证的通信设备且第三集合中不包含该第一VLAN的标识信息，或者当该第一集合中不包含该第一通信设备的标识信息、该第一通信设备是成功认证的通信设备且第三集合中不包含该第一VLAN的标识信息，拒绝该第一通信设备的通信。

根据上述方案，终端可以授权第一通信设备的通信或拒绝第一通信设备的通信，实现对通信设备的认证，有助于提升通信安全。

在一种可能的实现方法中，确定第三集合，该第三集合中包含该第一通信设备对应的授权的VLAN的标识信息；当该第一通信设备是成功认证的通信设备，或者当该第一集合中不包含该第一通信设备的标识信息且该第一通信设备是成功认证的通信设备，从该第三集合中选择第三VLAN的标识信息；授权该第一通信设备在该第三VLAN通信。

根据上述方案，终端可以授权第一通信设备的通信或拒绝第一通信设备的通信，实现对通信设备的认证，有助于提升通信安全。

在一种可能的实现方法中，该第一报文中包含第一VLAN的标识信息；确定第四集合，该第四集合中包含该第一集合中的免认证的通信设备对应的免授权的VLAN；当该第四集合中包含该第一VLAN的标识信息，或者当该第一集合中包含该第一通信设备的标识信息且该第四集合中包含该第一VLAN的标识信息，授权该第一通信设备在该第一VLAN通信；或者，当该第四集合中不包含该第一VLAN的标识信息，或者当该第一集合中包含该第一通信设备的标识信息且该第四集合中不包含该第一VLAN的标识信息，拒绝该第一通信设备的通信。

根据上述方案，终端可以授权第一通信设备的通信或拒绝第一通信设备的通信，实现对通信设备的认证，有助于提升通信安全。

在一种可能的实现方法中，确定第四集合，该第四集合中包含该第一集合中的免认证的通信设备对应的免授权的VLAN；从该第四集合中选择第四VLAN的标识信息；或者，当该第一集合中包含该第一通信设备的标识信息，从该第四集合中选择第四VLAN的标识信息；授权该第一通信设备在该第四VLAN通信。

根据上述方案，终端可以授权第一通信设备的通信或拒绝第一通信设备的通信，实现对通信设备的认证，有助于提升通信安全。

在一种可能的实现方法中，接收来自该会话管理网元的会话配置信息，该会话配置信息中包含该认证指示。

在一种可能的实现方法中，该第一通信设备的标识信息包括MAC地址，或者包括MAC地址和IP地址。

第二方面，本申请实施例提供一种认证方法，该方法可以由会话管理网元或应用于会话管理网元中的模块(如芯片)来执行。该方法包括：确定认证指示，该认证指示用于指示对通信设备进行认证；向第一终端发送该认证指示；接收来自该第一终端的第一请求，该第一请求中包含指示信息和第一通信设备的标识信息，该指示信息指示对该第一通信设备进行认证；向该第一终端发送第一响应，该第一响应中包含对该第一通信设备的认证结果信息。

根据上述方案，当收到来自终端的第一请求，则发起对第一通信设备的认证，从而可以保证第一通信设备通信时的安全性。

在一种可能的实现方法中，向该第一终端发送第一响应之前，向认证服务器发送认证请求，该认证请求中包含该第一通信设备的标识信息和认证信息；接收来自该认证服务器的认证响应，该认证响应中包含该认证结果信息。

在一种可能的实现方法中，在该认证结果信息是认证成功信息的情况下，该认证响应中还包含第二集合，该第二集合中包含该第一通信设备对应的授权的VLAN的标识信息；则该第一响应中还包含该第二集合。

在一种可能的实现方法中，该第一请求中还包含该第一通信设备的认证信息。

在一种可能的实现方法中，向该第一终端发送第一响应之前，向该第一通信设备发送第三请求，该第三请求用于请求获取该第一通信设备的认证信息；接收来自该第一通信设备的该认证信息。

在一种可能的实现方法中，向认证服务器发送认证请求之前，确定第一集合，该第一集合中包含免认证的通信设备的标识信息；确定该第一集合中不包含该第一通信设备的标识信息。

在一种可能的实现方法中，该认证信息包括用户名和/或密码。

在一种可能的实现方法中，向该第一终端发送第一响应之前，确定第一集合和第四集合，该第一集合中包含免认证的通信设备的标识信息，该第四集合中包含该第一集合中的免认证的通信设备对应的免授权的VLAN；确定该第一集合中包含该第一通信设备的标识信息；则该第一响应中还包含该第四集合，且该认证结果信息是认证成功信息。

在一种可能的实现方法中，接收来自该第一终端的第一请求之前，确定第一集合和第四集合，该第一集合中包含免认证的通信设备的标识信息，该第四集合中包含该第一集合中的免认证的通信设备对应的免授权的VLAN；向该第一终端发送该第一集合和该第四集合。

在一种可能的实现方法中，向第二终端发送删除指示，该删除指示用于指示删除该第一通信设备对应的授权配置信息，该第二终端是该第一通信设备在接入该第一终端之前所接入的终端，该授权配置信息中包含授权的VLAN。

在一种可能的实现方法中，在该第一终端的会话建立流程中，获取该第一终端的签约信息，该签约信息中包含该认证指示。

在一种可能的实现方法中，向该第一终端发送会话配置信息，该会话配置信息中包含该认证指示。

在一种可能的实现方法中，该第一通信设备的标识信息包括MAC地址，或者包括MAC地址和IP地址。

第三方面，本申请实施例提供一种通信装置，该装置可以是终端，还可以是用于终端的芯片。该装置具有实现上述第一方面的任意实现方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第四方面，本申请实施例提供一种通信装置，该装置可以是会话管理网元，还可以是用于会话管理网元的芯片或模块。该装置具有实现上述第二方面的任意实现方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第五方面，本申请实施例提供一种通信装置，包括处理器和存储器；该存储器用于存储计算机指令，当该装置运行时，该处理器执行该存储器存储的计算机指令，以使该装置执行上述第一方面至第二方面中的任意实现方法。

第六方面，本申请实施例提供一种通信装置，包括用于执行上述第一方面至第二方面中的任意实现方法的各个步骤的单元或手段(means)。

第七方面，本申请实施例提供一种通信装置，包括处理器和接口电路，所述处理器用于通过接口电路与其它装置通信，并执行上述第一方面至第二方面中的任意实现方法。该处理器包括一个或多个。

第八方面，本申请实施例提供一种通信装置，包括与存储器耦合的处理器，该处理器用于调用所述存储器中存储的程序，以执行上述第一方面至第二方面中的任意实现方法。该存储器可以位于该装置之内，也可以位于该装置之外。且该处理器可以是一个或多个。

第九方面，本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在通信装置上运行时，使得上述第一方面至第二方面中的任意实现方法被执行。

第十方面，本申请实施例还提供一种计算机程序产品，该计算机程序产品包括计算机程序或指令，当计算机程序或指令被通信装置运行时，使得上述第一方面至第二方面中的任意实现方法被执行。

第十一方面，本申请实施例还提供一种芯片系统，包括：处理器，用于执行上述第一方面至第二方面中的任意实现方法。

附图说明

图1为5G网络架构示意图；

图2为同一个5G LAN组下的多个终端注册在同一个PSAUPF的用户面架构；

图3为同一个5G LAN组下的多个终端注册在多个PSAUPF的用户面架构；

图4为5G LAN架构示意图；

图5(a)为本申请实施例提供的一种认证方法示意图；

图5(b)为本申请实施例提供的一种认证方法示意图；

图6为本申请实施例提供的一种认证方法示意图；

图7为本申请实施例提供的一种认证方法示意图；

图8为本申请实施例提供的一种认证方法示意图；

图9为本申请实施例提供的一种认证方法示意图；

图10为本申请实施例提供的一种通信装置示意图；

图11为本申请实施例提供的一种通信装置示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。

图1为第五代(5th generation，5G)网络架构示意图。图1所示的5G网络架构中可包括三部分，分别是终端、数据网络(data network，DN)和运营商网络。下面对其中的部分网元的功能进行简单介绍说明。

其中，运营商网络可包括但不限于以下网元中的一个或多个：鉴权服务器功能(authentication server function，AUSF)网元、网络开放功能(network exposurefunction，NEF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、统一数据库(unified data repository，UDR)、网络存储功能(network repository function，NRF)网元、应用功能(applicationfunction，AF)网元、接入与移动性管理功能(access and mobility managementfunction，AMF)网元、会话管理功能(session management function，SMF)网元、无线接入网(radio access network，RAN)设备以及用户面功能(user plane function，UPF)网元、网络切片选择功能(network slice selection function，NSSF)网元(图中未示出)等。上述运营商网络中，除无线接入网设备之外的网元或设备可以称为核心网网元或核心网设备。

无线接入网设备可以是基站(base station)、演进型基站(evolved NodeB，eNodeB)、发送接收点(transmission reception point，TRP)、5G移动通信系统中的下一代基站(next generation NodeB，gNB)、第六代(6th generation，6G)移动通信系统中的下一代基站、未来移动通信系统中的基站或无线保真(wireless fidelity，WiFi)系统中的接入节点等；也可以是完成基站部分功能的模块或单元，例如，可以是集中式单元(centralunit，CU)，也可以是分布式单元(distributed unit，DU)。无线接入网设备可以是宏基站，也可以是微基站或室内站，还可以是中继节点或施主节点等。本申请的实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。在本申请的实施例中，以基站作为无线接入网设备的一个举例进行描述。

终端也可以称为终端设备、用户设备(user equipment，UE)、移动台、移动终端等。终端可以广泛应用于各种场景，例如，设备到设备(device-to-device，D2D)、车物(vehicleto everything，V2X)通信、机器类通信(machine-type communication，MTC)、物联网(internet of things，IOT)、虚拟现实、增强现实、工业控制、自动驾驶、远程医疗、智能电网、智能家具、智能办公、智能穿戴、智能交通、智慧城市等。终端可以是手机、平板电脑、带无线收发功能的电脑、可穿戴设备、车辆、无人机、直升机、飞机、轮船、机器人、机械臂、智能家居设备等。本申请的实施例对终端所采用的具体技术和具体设备形态不做限定，可以采用上述任意实现方式。

基站和终端可以是固定位置的，也可以是可移动的。基站和终端可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上；还可以部署在空中的飞机、气球和人造卫星上。本申请的实施例对基站和终端的应用场景不做限定。

AMF网元，执行移动性管理、接入鉴权/授权等功能。此外，还负责在终端与PCF间传递用户策略。

SMF网元，执行会话管理、PCF下发控制策略的执行、UPF的选择、终端的互联网协议(internet protocol，IP)地址分配等功能。

UPF网元，作为和数据网络的接口UPF，完成用户面数据转发、基于会话/流级的计费统计，带宽限制等功能。

DN，是位于运营商网络之外的网络，运营商网络可以接入多个DN，DN上可部署多种业务，可为终端提供数据和/或语音等服务。例如，DN是某智能工厂的私有网络，智能工厂安装在车间的传感器可为终端，DN中部署了传感器的控制服务器，控制服务器可为传感器提供服务。传感器可与控制服务器通信，获取控制服务器的指令，根据指令将采集的传感器数据传送给控制服务器等。又例如，DN是某公司的内部办公网络，该公司员工的手机或者电脑可为终端，员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。

可以理解的是，上述网元或者功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。可选的，上述网元或者功能可以由一个设备实现，也可以由多个设备共同实现，还可以是一个设备内的一个功能模块，本申请实施例对此不作具体限定。

本申请中的会话管理网元、用户面网元、移动性管理网元分别可以是图1(a)或图1(b)中的SMF、UPF、AMF，也可以是未来通信如第六代(6th generation，6G)网络中具有上述SMF、UPF、AMF的功能的网元，本申请对此不限定。在本申请的实施例中，以SMF、UPF、AMF分别作为会话管理网元、用户面网元、移动性管理网元的一个举例进行描述。

为便于理解本申请实施例方案，下面先对本申请实施例中涉及的名词或术语进行解释说明。

一、认证(authentication)

认证是指根据声明者所特有的识别信息，确认声明者的身份。最常见的认证实现方式是通过用户名和密码，但认证方式不限于此。为了确认用户的身份，防止伪造，在安全要求高的场合，经常会使用组合认证(或者叫多因素认证)，也就是同时使用多个认证方式对用户的身份进行校验。对于网络通信而言，认证主要是确认访问网络的用户的身份，判断访问者是否为合法的网络用户。

二、授权(authorization)

从网络通信的角度看，认证用于确认尝试接入网络的用户身份是否合法，而授权则用于指定身份合法的用户所能拥有的网络访问权限，即用户能够访问哪些资源。

三、局域网(local area network，LAN)与5GLAN

局域网是在一个局部的地理范围内(如一个学校、工厂和机关内)，将各种计算机，外部设备和数据库等互相联接起来组成的计算机通信网。随着新兴企业办公模式及智能居家模式的出现，有线局域网和无线局域网显现了其在部署复杂、灵活性、移动性、覆盖范围等方面的不足，这促使局域网技术再发展以适应未来应用对局域网的需求。利用5G移动网络其本身的广覆盖特点，直接提供局域网服务，称之为5G局域网(5G local area network，5GLAN)。

终端通过建立传统的PDU连接解决了终端与数据网络之间的数据交换问题。5GLAN在传统PDU连接的基础上，增加了组(group)的概念，即归属于同一个5G LAN组的终端既能与组对应的数据网络完成数据交换，又能通过UPF直接同组内的其它终端完成数据交换，属于不同group的终端之间相互隔离。通过5G LAN可实现虚拟专网通信。

图2为同一个5G LAN组下的多个终端注册在同一个协议数据单元锚点(PDUsession anchor，PSA)UPF的用户面架构。此场景下，由于终端1和终端2归属于同一个5GLAN组，因此PSAUPF除了为终端1、终端2完成与数据网络的数据交换之外，还作为5G LAN组的本地交换(localswitch)节点完成终端1与终端2之间的数据交换。其中，图2中的I-UPF指的是中间UPF(Intermediate UPF)。

图3为同一个5G LAN组下的多个终端注册在多个PSAUPF的用户面架构。此场景下PSAUPF之间增加了N19接口，归属于同一个5G LAN组的终端1、终端2在进行数据交换时，将由终端1、终端2分别对应的PSAUPF通过N19通道完成终端数据的传输。

移动网络内可同时支持多个5G LAN组，同一个组下的终端可相互通信。不同组之间终端相互隔离。

四、二次鉴权

二次鉴权是终端在建立PDU会话时的一个可选的流程，它的作用是在建立PDU会话时，由3GPP网络与DN-AAA服务器交互，对用户的身份进行认证和授权。以下将DN-AAA服务器简称为DN-AAA。其中，DN-AAA可以为数据网络(DN)内，也可以位于数据网络外。

目前，终端在创建会话阶段，由SMF决定是否对终端创建的会话发起二次认证流程，在二次认证流程中，SMF与DN-AAA交互，对终端会话进行认证，DN-AAA通过SMF实现对终端会话的授权，其中授权的内容包括：对于Ethernet类型的PDU会话，DN-AAA可授权PDU会话允许通信的MAC地址列表以及允许通信的VLAN列表。DN-AAA对终端会话的二次认证失败将导致SMF拒绝终端的会话建立请求，最终将可能导致终端会话创建失败。

目前的3GPP二次认证，认证的时机在终端会话创建阶段，认证的对象是终端，认证失败将导致终端会话创建失败。二次认证成功后，则会话管理网元可以接受终端的会话建立请求，从而终端可以完成创建会话。图4为5G LAN架构示意图。终端创建Ethernet类型的PDU会话，此时仅仅是建立Ethernet类型的PDU数据通道，真正使用该通道发送报文的设备是接入到该终端的通信设备(如通信设备1、通信设备2等)。具体是哪个通信设备会接入到终端下，不能在终端创建会话阶段确定，且同一个通信设备可能会切换其接入的终端。为保证网络安全，这些通信设备在通过终端发送业务数据报文之前，需要经过DN-AAA的认证授权，确定其访问网络资源的合法性。然而，现有的3GPP二次认证不能实现在终端完成会话创建后，对终端下的通信设备的认证授权。

为解决上述问题，本申请实施例提供相应的认证方法，可以实现对接入到终端的通信设备进行认证，从而保证只有经过认证的通信设备才可以通过终端，使用3GPP网络进行通信。具体的，在终端的会话建立完成之后，即建立了数据通道，比如该数据通道可以是前述的PDU数据通道，然后再对接入到该终端的通信设备进行认证，只有认证成功的通信设备才可以使用该数据通道进行数据收发。

本申请实施例中的通信设备可以是工业现场网中的设备，如机械臂、工业控制器等。

本申请实施例中的第一集合包含免认证的通信设备的标识信息，第二集合包含通信设备对应的授权的VLAN的标识信息，第三集合包含通信设备对应的授权的VLAN的标识信息，第四集合包含第一集合中的免认证的通信设备对应的免授权的VLAN。其中，第二集合与第三集合的区别是：第二集合用于表示本次认证请求之后的授权的VLAN的标识信息，第三集合用于表示历史的认证请求之后的授权的VLAN的标识信息，因此第三集合是可以存储在本地的。

下面结合图5(a)、图5(b)，介绍本申请实施例提供的认证方法。

图5(a)为本申请实施例提供的一种认证方法示意图。该方法包括以下步骤：

步骤501a，终端确定认证指示，该认证指示用于指示对通信设备进行认证。

作为一种实现方法，终端可以在终端建立会话过程中，接收来自SMF的会话配置信息，该会话配置信息中包含该认证指示。其中，SMF获取认证指示的方法，比如可以是：在该终端的会话建立流程中，获取该终端的签约信息，该签约信息中包含该认证指示。

作为另一种实现方法，终端还可以根据终端的本地配置，确定该认证指示。

步骤502a，第一通信设备向终端发送第一报文，相应地，终端接收第一报文。

该第一报文中包含第一通信设备的标识信息，该标识信息可以包括MAC地址，或者包括MAC地址和IP地址。

该第一报文可以是认证请求或数据报文。

可选的，该第一报文中包含第一VLAN。

步骤503a，终端判断该第一通信设备是否为成功认证的通信设备。

比如，终端本地记录有认证成功和/或认证失败的通信设备的相关信息，例如可以以表格的形式记录，从而可以判断第一通信设备是否为成功认证的通信设备。

其中，成功认证，指的是之前认证成功且认证结果仍然有效。

未成功认证，指的是之前没有认证过，或者之前认证过但认证结果为认证失败，或者之前认证成功但认证结果已经失效。

如果第一通信设备是未成功认证的通信设备，则在步骤503a之后执行以下步骤504a。

步骤504a，终端向SMF发送第一请求，相应地，SMF接收第一请求。

该第一请求中包含指示信息和第一通信设备的标识信息，该指示信息指示对第一通信设备进行认证。

根据上述方案，当终端确定第一通信设备是未成功认证的通信设备，则向网络侧发起第一请求，用于请求网络侧对该第一通信设备进行认证，从而可以保证通信设备的通信安全。

可选的，该上述步骤504a之后，还执行以下步骤505a。

步骤505a，SMF判断第一通信设备是否为免认证的通信设备。

具体的，如果第一通信设备的标识信息属于第一集合，则确定第一通信设备是免认证的通信设备，第一通信设备的标识信息不属于第一集合，则确定第一通信设备不是免认证的通信设备。

其中，SMF获取第一集合的方法，比如可以是：SMF从终端的签约信息中获取第一集合，或者是SMF从本地配置中获取第一集合。

其中，如果第一通信设备不是免认证的通信设备，则在步骤505a之后执行步骤506a至步骤509a。

如果第一通信设备是免认证的通信设备，则在步骤505a之后执行步骤510a至步骤511a。

步骤506a，SMF向认证服务器(以认证服务器为DN-AAA为例)发送认证请求，相应地，认证服务器接收认证请求。

该认证请求中包含第一通信设备的标识信息和认证信息。该认证信息可以包括用户名和/或密码。其中，用户名也称为用户账户。

其中，SMF获取到认证信息的方法包括但不限于以下方法一或方法二：

方法一，终端向第一通信设备发送第二请求，该第二请求用于请求获取第一通信设备的认证信息，终端接收来自第一通信设备的认证信息，然后终端在上述第一请求中携带该认证信息。

方法二，SMF向第一通信设备发送第三请求，该第三请求用于请求获取第一通信设备的认证信息，SMF接收来自第一通信设备的认证信息。

上述方法一是由终端主动从第一通信设备获取认证信息后发送给SMF，上述方法二是由SMF主动从第一通信设备获取认证信息。

DN-AAA收到认证请求后，对该第一通信设备进行认证，例如，DN-AAA可以根据扩展身份验证协议(extensible authentication protocol，EAP)，与第一通信设备交互EAP消息，完成对第一通信设备的认证流程。

DN-AAA完成对第一通信设备的认证之后，可以得到认证结果信息，该认证结果信息是认证成功信息或认证失败信息。

步骤507a，DN-AAA向SMF发送认证响应，相应地，SMF接收认证响应。

该认证响应中包含认证结果信息。

其中，在认证结果信息是认证成功信息的情况下，该认证响应中还包含第二集合，该第二集合是本次认证成功之后生成的与该第一通信设备对应的授权的VLAN的标识信息。

步骤508a，SMF向终端发送第一响应，相应地，终端接收第一响应。

该第一响应中包含对第一通信设备的认证结果信息。

其中，在认证结果信息是认证成功信息的情况下，该第一响应中还包含上述第二集合。

步骤509a，终端判断是否授权该第一通信设备的通信。

在第一响应中的认证结果信息是认证失败信息的情况下，终端拒绝第一通信设备的通信。

在第一响应中的认证结果信息是认证成功信息、且第一报文中包含第一VLAN的标识信息的情况下，如果第二集合中包含第一VLAN的标识信息，则终端授权第一通信设备在第一VLAN通信，如果第二集合中不包含第一VLAN的标识信息，则终端拒绝第一通信设备的通信。

在第一响应中的认证结果信息是认证成功信息、且第一报文中不包含第一VLAN的标识信息的情况下，则终端从第二集合中选择第二VLAN的标识信息，并授权第一通信设备在第二VLAN通信。

步骤510a，SMF向终端发送第一响应，该第一响应中包含认证结果信息和第四集合。相应的，终端接收第一响应。

该认证结果信息是认证成功信息。

其中，SMF获取第四集合的方法，比如可以是：SMF从终端的签约信息中获取第四集合，或者是SMF从本地配置中获取第四集合。

步骤511a，终端根据第四集合，判断是否授权第一通信设备的通信。

在第一报文中包含第一VLAN的标识信息的情况下，如果第四集合中包含该第一VLAN的标识信息，则终端授权第一通信设备在第一VLAN通信，如果第四集合中不包含该第一VLAN的标识信息，则终端拒绝第一通信设备的通信。

在第一报文中不包含第一VLAN的标识信息的情况下，则终端从第四集合中选择第四VLAN的标识信息，并授权第一通信设备在第四VLAN通信。

如果上述步骤503a中，终端确定第一通信设备是成功认证的通信设备，则在步骤503a之后执行以下步骤512a至步骤513a。

步骤512a，终端确定第三集合。

这里的第三集合是之前对该第一通信设备认证成功之后，从网络侧收到的与该第一通信设备对应的授权的VLAN的标识信息。该第三集合可以存储于终端中，或者存储于SMF中。

终端确定第三集合，可以是从本地获取第三集合，或者是从SMF获取第三集合。

步骤513a，终端根据第三集合，判断是否授权第一通信设备的通信。

在第一报文中包含第一VLAN的标识信息的情况下，如果第三集合中包含该第一VLAN的标识信息，则终端授权第一通信设备在第一VLAN通信，如果第三集合中不包含该第一VLAN的标识信息，则终端拒绝第一通信设备的通信。

在第一报文中不包含第一VLAN的标识信息的情况下，则终端从第三集合中选择第三VLAN的标识信息，并授权第一通信设备在第三VLAN通信。

可选的，在上述步骤509a之后，或者在步骤511a之后，或者在步骤513a之后，还包括以下步骤514a。

步骤514a，终端向第一通信设备发送通知信息。相应地，第一通信设备接收通知信息。

该通知信息用于指示该第一通信设备认证成功或认证失败。

根据上述方案，可以根据第一通信设备是否为成功认证的通信设备和/或是否为免认证的通信设备，对该通信设备授权通信或拒绝通信，从而有助于提升通信安全。

图5(b)为本申请实施例提供的一种认证方法示意图。该方法包括以下步骤：

步骤501b至步骤502b，同上述步骤501a至步骤502a，可参考前述描述。

步骤503b，终端根据第一集合，判断第一通信设备是否为免认证的通信设备。

其中，终端获取第一集合的方法比如可以是：在终端的会话建立流程中，接收来自SMF的会话配置信息，该会话配置信息中包含该第一集合。其中，SMF获取第一集合的方法，比如可以是：在该终端的会话建立流程中，获取该终端的签约信息，该签约信息中包含该第一集合，或者是SMF从本地配置中获取第一集合。

具体的，如果第一通信设备的标识信息属于第一集合，则确定第一通信设备是免认证的通信设备，第一通信设备的标识信息不属于第一集合，则确定第一通信设备不是免认证的通信设备。

其中，如果第一通信设备不是免认证的通信设备，则在步骤503b之后执行步骤504b。

步骤504b，终端判断该第一通信设备是否为成功认证的通信设备。

比如，终端本地记录有认证成功和/或认证失败的通信设备的相关信息，例如可以以表格的形式记录，从而可以判断第一通信设备是否为成功认证的通信设备。

其中，成功认证和未成功认证的含义，可以参考图5(a)的实施例中的描述。

如果第一通信设备是未成功认证的通信设备，则在步骤504b之后执行以下步骤505b。

步骤505b，同上述步骤504a。

根据上述方案，当终端确定第一通信设备不是免认证的通信设备、且是未成功认证的通信设备，则向网络侧发起第一请求，用于请求网络侧对该第一通信设备进行认证，从而可以保证通信安全。

可选的，该上述步骤505b之后，还执行以下步骤506b至步骤509b。

步骤506b至步骤509b，同上述步骤506a至步骤509a。

如果上述步骤504b中，终端确定第一通信设备是成功认证的通信设备，则在步骤504b之后执行以下步骤510b。

步骤510b，同步骤513a。

如果上述步骤503b中，确定第一通信设备是免认证的通信设备，则在步骤503b之后执行步骤511b至步骤512b。

步骤511b，终端确定第四集合。

其中，终端获取第四集合的方法与步骤503b中描述的终端获取第一集合的方法类似，可以参考前述描述。

步骤512b，同步骤511a。

可选的，在上述步骤509b之后，或者在步骤510b之后，或者在步骤512b之后，还包括以下步骤513b。

步骤513b，同步骤514a。

需要说明的是，作为另一种实现方法，如果在上述步骤503b中确定第一通信设备不是免认证的通信设备，则接着执行步骤505b至步骤509b，以及在步骤509b之后执行步骤513b。如果在上述步骤503b中确定第一通信设备是免认证的通信设备，则接着执行步骤511b至步骤512b，以及在步骤512b之后执行步骤513b。也即该方案是不需要执行上述步骤504b，即无需判断第一通信设备是否为成功认证的通信设备。

根据上述方案，可以根据第一通信设备是否为成功认证的通信设备和/或是否为免认证的通信设备，对该通信设备授权通信或拒绝通信，从而有助于提升通信安全。

该图5(b)的实施例与上述图5(a)的实施例的主要区别是：图5(a)的实施例中由SMF判断第一通信设备是否为免认证的通信设备，图5(b)的实施例中由终端判断第一通信设备是否为免认证的通信设备。

需要说明的是，本申请实施例还适用于通信设备切换接入的终端的场景。比如，第一通信设备从接入第二终端切换为接入第一终端。比如，上述图5(a)或图5(b)的实施例中的终端是第一终端，则该第二终端是第一通信设备接入该第一终端之前的终端。可选的，第一通信设备在接入到第一终端之后，SMF还可以向第二终端发送删除指示，该删除指示用于指示第二终端删除第二终端上的与第一通信设备对应的授权配置信息，该授权配置信息中包含授权的VLAN。

下面结合具体示例，对上述图5(a)和图5(b)的实施例进行具体说明。其中，以下图6和图7的实施例是上述图5(a)的实施例的具体示例。以下图8和图9的实施例是上述图5(b)的实施例的具体示例。

图6为本申请实施例提供的一种认证方法示意图。该方法实现由终端触发对通信设备的认证，且该方法中SMF可以感知通信设备的免认证信息，该免认证信息包括第一集合，第一集合中包含免认证的通信设备的标识信息。

该方法包括以下步骤：

步骤601，签约5G LAN，且终端加入5G LAN。

需要说明的是，这里以及后续实施例中仅以5G LAN作为示例进行说明。随着通信技术演变，该实施例也可以适用于6G LAN或其它网络。

在终端的签约信息中增加与通信设备有关的认证授权参数，比如认证指示，该认证指示用于指示对接入到该终端的通信设备进行认证，或者该认证指示信息用于指示终端在创建会话后对接入到该终端的通信设备进行认证。

可选的，在终端的签约信息或5G LAN的签约信息中还增加以下信息：免认证的通信设备的标识信息(即第一集合)、免认证的通信设备对应的免授权的VLAN(即第四集合)。

需要说明的是，如果是在5G LAN的签约信息中包含上述第一集合和第四集合，则该5G LAN的签约信息对加入该5G LAN的所有终端都适用，也即5G LAN的签约信息可以作为该5G LAN下的所有终端的签约信息中的一部分。如果是在终端的签约信息中包含上述第一集合和第四集合，则该第一集合和第四集合只适用于该终端，不适用于其它终端。

步骤602，终端注册至网络。

该过程中会触发网络和终端之间鉴权，网络侧的AMF为终端建立移动管理上下文。

步骤603，通信设备向终端发送第一报文，该第一报文是数据报文或认证请求。

该第一报文中包含通信设备的标识信息，可选的，该第一报文中还包含VLAN的标识信息。

可选的，该第一报文中包含单网络切片选择辅助信息(single network sliceselection assistance information，S-NSSAI)和DNN，该S-NSSAI和DNN用于指示承载该第一报文的会话。也即终端可以根据该S-NSSAI和DNN，确定与该S-NSSAI和DNN对应的一个会话，该会话承载通信设备发送的第一报文。该会话可以是PDU会话。

如果该第一报文中没有包含S-NSSAI和DNN，则终端可以根据通信设备接入终端的物理端口，确定承载通信设备发送的第一报文的会话。也即终端上的物理端口与终端的会话之间存在对应关系，当通信设备从终端的某个物理端口接入，则终端确定该物理端口对应的会话，作为承载通信设备发送的第一报文的会话。

或者，当通信设备接入的终端上只有一个会话，则确定该会话为承载通信设备发送的第一报文的会话。

当承载第一报文的会话不存在，则在步骤603之后执行以下步骤604至步骤610。

步骤604，终端发送会话创建请求，用于请求建立PDU会话。

步骤605，SMF从UDM获取终端的签约信息。

其中，终端的签约信息中包含上述认证指示、第一集合和第四集合。

SMF根据终端的签约信息，感知终端归属于5G LAN。若终端创建会话时，该终端归属的5G LAN组的会话没有创建，则触发SMF创建5G LAN组的会话，也即执行以下步骤606至步骤607。

步骤606，SMF从UDM获取5G LAN的签约信息。

可选的，5G LAN的签约信息中包含第一集合和第四集合。

步骤607，SMF与UPF交互，创建5G LAN组的会话。

步骤608，SMF根据终端的签约信息、本地配置以及终端发送的会话创建请求，判断是否对该终端发起二次鉴权。

如果需要对该终端发起二次鉴权，则可以对该终端发起二次鉴权。

步骤609，SMF与UPF交互，创建终端的会话。

步骤610，SMF向终端发送会话配置信息，其中包含认证指示。

SMF完成终端的会话创建后，向终端发送该会话配置信息，其中包含认证指示。其中，认证指示的含义可参考前述描述，不再赘述。

在完成终端的会话创建之后，终端可以获取到认证指示，而SMF可以在上述步骤605中，从终端的签约信息中获取第一集合和第四集合，或者是在上述步骤606中，从5G LAN的签约信息中获取第一集合和第四集合。

如果发送上述第一报文的通信设备是成功认证的通信设备，则终端确定不需要再对该通信设备进行认证。并且终端中存储有之前对该通信设备进行成功认证时网络侧所下发的第三集合，该第三集合中包含授权的VLAN的标识信息。该情形下，如果上述第一报文中包含VLAN的标识信息，则终端判断第三集合中是否包含第一报文中的VLAN，如果包含则授权该通信设备在该VLAN通信，如果不包含则拒绝该通信设备的通信。如果上述第一报文中不包含VLAN的标识信息，则终端从该第三集合中选择一个VLAN，然后授权该通信设备在该选择的VLAN通信。

如果发送上述第一报文的通信设备是未成功认证的通信设备，则触发终端对该通信设备进行认证。其中，终端对该通信设备进行认证的过程参考以下步骤611至步骤623。其中，未成功认证可以是未认证或认证失败。

步骤611，终端向SMF发送会话修改请求(session modification request)，其中包含会话标识，指示信息和通信设备的标识信息。

可选的，该会话修改请求可以是PDU会话修改请求。

其中，该指示信息用于指示对该通信设备进行认证。

步骤612，SMF判断该通信设备是否免认证。

具体的，当SMF上存储的第一集合中包含该通信设备的标识信息，则确定该通信设备是免认证的通信设备，从而执行以下步骤613a、步骤613b至步骤614。

当SMF上存储的第一集合中不包含该通信设备的标识信息，则确定该通信设备不是免认证的通信设备，从而执行以下步骤615至步骤623。

步骤613a，SMF向UPF发送N4会话修改请求，用于修改终端或5G LAN的N4会话，在终端或5G LAN的N4会话中添加通信设备转发规则，该转发规则允许该通信设备在第四集合对应的授权范围内通信。

步骤613b，SMF向终端发送会话修改响应，其中包含认证结果信息和第四集合。

该认证结果信息指的是对通信设备进行认证的认证结果信息。由于该通信设备是免认证的，因此该认证结果信息是认证成功信息。

该第四集合的定义参考前述描述。

步骤614，终端判断是否授权该通信设备的通信。

终端收到认证成功信息和第四集合后，判断是否授权该通信设备的通信。

具体的，如果上述第一报文中包含VLAN的标识信息，则终端判断该第四集合中是否包含第一报文中的VLAN，如果包含则授权该通信设备在该VLAN通信，如果不包含则拒绝该通信设备的通信。

如果上述第一报文中不包含VLAN的标识信息，则终端从该第四集合中选择一个VLAN，然后授权该通信设备在该选择的VLAN通信。

步骤615，SMF向通信设备发送EAP请求(request)消息，用于请求获取通信设备的认证信息。

该认证信息可以包括用户名和/或密码。

步骤616，通信设备向SMF发送EAP响应(response)消息，其中包含通信设备的认证信息。

可选的，上述EAP请求消息可以替换为EAP确认(identify)消息，以及上述EAP响应消息也替换为EAP确认消息。

步骤617，SMF向UPF发送N4会话建立请求。

由于在建立会话之后，已经打通了UPF与DN-AAA之间的通道，因此SMF在建立与UPF之间的N4会话之后，即可以打通SMF与DN-AAA之间的通道。具体实现细节可以参考3GPP33.501 11.1.2的描述。

步骤618，SMF向DN-AAA发送终端的通用公开签约标识(generic publicsubscription identity，GPSI)、通信设备的标识信息和通信设备的认证信息。

作为一种实现方法，SMF可以将终端的GPSI、通信设备的标识信息和从通信设备收到的EAP响应/确认消息通过N4会话发送给UPF，然后UPF将终端的GPSI、通信设备的标识信息和EAP响应/确认消息发送给DN-AAA，从而DN-AAA可以获取到终端的GPSI、通信设备的标识信息，以及从EAP响应/确认消息中获取通信设备的认证信息。

步骤619，根据EAP认证协议，完成对通信设备的认证流程。

具体的，DN-AAA根据EAP，与通信设备交互EAP消息，完成对通信设备的认证流程。

步骤620，DN-AAA向SMF发送对通信设备的认证结果信息。

该认证结果信息是认证成功信息或认证失败信息。

可选的，当该认证结果信息是认证成功信息，则DN-AAA还向SMF发送第二集合，该第二集合中包含该通信设备对应的授权的VLAN的标识信息。

步骤621a，SMF向UPF发送N4会话修改请求，用于修改终端或5G LAN的N4会话，在终端或5G LAN的N4会话中添加转发规则，该转发规则允许该通信设备在第二集合对应的授权范围内通信。

步骤621b，SMF向终端发送会话修改响应，其中包含认证结果信息。

可选的，当认证结果信息是认证成功信息，则该会话修改响应还包含上述第二集合。

步骤622，终端判断是否授权该通信设备的通信。

如果认证结果信息是认证成功信息，则终端判断是否授权通信设备的通信。

具体的，如果上述第一报文中包含VLAN的标识信息，则终端判断该第二集合中是否包含第一报文中的VLAN的标识信息，如果包含则授权该通信设备在该VLAN通信，如果不包含则拒绝该通信设备的通信。

如果上述第一报文中不包含VLAN的标识信息，则终端从该第二集合中选择一个VLAN的标识信息，然后授权该通信设备在该选择的VLAN通信。

步骤623，终端向通信设备发送通知信息。

该步骤可选。

如果第一报文中包含VLAN的标识信息，则该通知信息用于指示该通信设备认证成功或认证失败。

根据上述方案，可以实现在5G LAN下对通信设备进行认证授权。其中，当终端在接收到通信设备发起的第一报文时，可以向3GPP网络发起对通信设备的认证，3GPP网络与DN-AAA交互实现对终端下的通信设备进行认证。

图7为本申请实施例提供的一种认证方法示意图。该方法是在通信设备从接入终端1，切换为接入终端2的过程中，实现对该通信设备的认证。其中，通信设备接入到终端1的过程可以参考图6的实施例的描述。

该方法包括以下步骤：

步骤701，终端2注册至网络。

该过程中会触发网络和终端2之间鉴权，网络侧的AMF为终端2建立移动管理上下文。

步骤702，通信设备向终端2发送第一报文，该第一报文是数据报文或认证请求。

该步骤的具体实现过程，可以参考前述步骤603的描述。

步骤703，当承载通信设备发送的第一报文的会话不存在，则触发终端2创建会话。

该步骤的具体实现过程可以参考前述步骤604至步骤610的描述，不再赘述。

SMF完成终端2的会话创建后，向终端2发送该会话配置信息，其中包含认证指示。其中，认证指示的含义可参考前述描述，不再赘述。

在完成终端2的会话创建之后，终端2可以获取到认证指示，而SMF可以从终端2的签约信息中获取第一集合和第四集合，或者是从5G LAN的签约信息中获取第一集合和第四集合。

在上述步骤702中，通信设备向终端2发送第一报文，该第一报文中包含通信设备的标识信息，可选的，该第一报文中还包含VLAN的标识信息。

如果发送上述第一报文的通信设备是成功认证的通信设备，则终端2确定不需要再对该通信设备进行认证。后续终端2可以根据第三集合判断是否对该通信设备进行授权，具体可以参考图6的实施例中的相关描述。

如果发送上述第一报文的通信设备是未成功认证的通信设备，则触发终端2对该通信设备进行认证。其中，终端2对该通信设备进行认证的过程参考以下步骤704至步骤713。

步骤704，终端2向SMF发送会话修改请求(session modification request)，其中包含会话标识，指示信息和通信设备的标识信息。

可选的，该会话修改请求可以是PDU会话修改请求。

其中，该指示信息用于指示对该通信设备进行认证。

步骤705，SMF判断该通信设备是否免认证。

具体的，当SMF上存储的第一集合中包含该通信设备的标识信息，则确定该通信设备是免认证的通信设备，从而执行以下步骤706至步骤709。

当SMF上存储的第一集合中不包含该通信设备的标识信息，则确定该通信设备不是免认证的通信设备，从而执行以下步骤710至步骤713。

步骤706，SMF向终端1发送删除指示，用于指示终端1删除该通信设备对应的授权配置信息，以实现删除终端1对该通信设备的授权。

步骤707a，SMF向UPF发送N4会话修改请求，用于修改终端1或5G LAN的N4会话，删除通信设备在终端1或5G LAN的N4会话上的转发规则。

步骤707b，SMF向UPF发送N4会话修改请求，用于修改终端2或5G LAN的N4会话，在终端2或5G LAN的N4会话中添加转发规则，该转发规则允许该通信设备在第四集合对应的授权范围内通信。

步骤708，SMF向终端2发送会话修改响应，其中包含认证结果信息和第四集合。

该认证结果信息指的是对通信设备进行认证的认证结果信息。由于该通信设备是免认证的，因此该认证结果信息是认证成功信息。

该第四集合的定义参考前述描述。

步骤709，终端2判断是否授权该通信设备的通信。

终端2收到认证成功信息和第四集合后，判断是否授权该通信设备的通信。

具体的，如果上述第一报文中包含VLAN的标识信息，则终端2判断该第四集合中是否包含第一报文中的VLAN的标识信息，如果包含则授权该通信设备在该VLAN通信，如果不包含则拒绝该通信设备的通信。

如果上述第一报文中不包含VLAN的标识信息，则终端2从该第四集合中选择一个VLAN的标识信息，然后授权该通信设备在该选择的VLAN通信。

步骤710，SMF向终端1发送删除指示，用于指示终端1删除该通信设备对应的授权配置信息，以实现终端1删除对该通信设备的授权。

步骤711，SMF向UPF发送N4会话修改请求，用于修改终端1或5G LAN的N4会话，删除通信设备在终端1或5G LAN的N4会话上的转发规则。

步骤712，SMF与DN-AAA交互，通知DN-AAA：该通信设备的认证下线。

步骤713，SMF在终端2的会话上发起对该通信设备的认证流程。

该步骤713的具体实现过程可以参考前述步骤615至步骤623的描述，不再赘述。

根据上述方案，已经在终端1上完成认证的通信设备从终端1切换到终端2时，触发终端2对该通信设备重新认证。具体的，SMF收到终端2发起的认证，感知通信设备在终端1存在有效认证，则SMF指示删除终端1上的对该通信设备的授权配置信息，并完成终端2对该通信设备的认证流程。

图8为本申请实施例提供的一种认证方法示意图。该方法实现由终端触发对通信设备的认证，且该方法中终端可以感知通信设备的免认证信息，该免认证信息包括第一集合，第一集合中包含免认证的通信设备的标识信息。

该方法包括以下步骤：

步骤801至步骤809，同前述步骤601至步骤609。

步骤810，SMF向终端发送会话配置信息，其中包含认证指示、第一集合和第四集合。

SMF完成终端的会话创建后，向终端发送该会话配置信息，其中包含认证指示、第一集合和第四集合。其中，认证指示、第一集合和第四集合的含义可参考前述描述，不再赘述。

终端判断发送上述第一报文的通信设备是否属于第一集合，可选的，还判断该通信设备是否为成功认证的通信设备。

如果发送上述第一报文的通信设备属于该第一集合，则确定该通信设备是免认证的通信设备。该情形下，如果上述第一报文中包含VLAN的标识信息，则终端判断第四集合中是否包含第一报文中的VLAN的标识信息，如果包含则授权该通信设备在该VLAN通信，如果不包含则拒绝该通信设备的通信。如果上述第一报文中不包含VLAN的标识信息，则终端从该第四集合中选择一个VLAN的标识信息，然后授权该通信设备在该选择的VLAN通信。

如果发送上述第一报文的通信设备不属于该第一集合、且该通信设备是成功认证的通信设备，则终端确定不需要再对该通信设备进行认证。并且终端中存储有之前对该通信设备进行成功认证时网络侧所下发的第三集合，该第三集合中包含授权的VLAN的标识信息。该情形下，如果上述第一报文中包含VLAN的标识信息，则终端判断第三集合中是否包含第一报文中的VLAN的标识信息，如果包含则授权该通信设备在该VLAN通信，如果不包含则拒绝该通信设备的通信。如果上述第一报文中不包含VLAN的标识信息，则终端从该第三集合中选择一个VLAN的标识信息，然后授权该通信设备在该选择的VLAN通信。

如果发送上述第一报文的通信设备不属于该第一集合、且该通信设备是未成功认证的通信设备，则触发终端对该通信设备进行认证。其中，终端对该通信设备进行认证的过程参考以下步骤811至步骤822。其中，未成功认证可以是未认证或认证失败。

步骤811，终端向通信设备发送EAP请求消息，用于请求获取通信设备的认证信息。

步骤812，通信设备向终端发送EAP响应消息，其中包含通信设备的认证信息。

该认证信息可以包括用户名和/或密码。

上述步骤811和步骤812为可选步骤。

可选的，上述EAP请求消息可以替换为EAP确认(identify)消息，以及上述EAP响应消息也替换为EAP确认消息。

步骤813，终端向SMF发送会话修改请求，其中包含会话标识，指示信息和通信设备的标识信息。

可选的，如果执行上述步骤811和步骤812，则会话修改请求中还包含认证信息。

可选的，该会话修改请求可以是PDU会话修改请求。

其中，该指示信息用于指示对该通信设备进行认证。

步骤814，SMF向通信设备发送EAP请求消息，用于请求获取通信设备的认证信息。

步骤815，通信设备向SMF发送EAP响应消息，其中包含通信设备的认证信息。

该认证信息可以包括用户名和/或密码。

该步骤814和步骤815为可选步骤。当执行上述步骤811和步骤812，则不需要执行该步骤814和步骤815，当没有执行上述步骤811和步骤812，则执行该步骤814和步骤815。

可选的，上述步骤814的EAP请求消息可以替换为EAP确认(identify)消息，以及上述步骤815的EAP响应消息也替换为EAP确认消息。

步骤816至步骤822，同上述步骤617至步骤623，可参考前述描述。

根据上述方案，可以实现在5G LAN下对通信设备进行认证授权。其中，当终端在接收到通信设备发起的第一报文时，先由终端判断该通信设备是否免认证，如果不是免认证，则向3GPP网络发起对通信设备的认证，3GPP网络与DN-AAA交互实现对终端下的通信设备进行认证。

图9为本申请实施例提供的一种认证方法示意图。该方法是在通信设备从接入终端1，切换为接入终端2的过程中，实现对该通信设备的认证。其中，通信设备接入到终端1的过程可以参考图8的实施例的描述。

该方法包括以下步骤：

步骤901至步骤903，同上述步骤701至703。

在终端2创建会话过程中，SMF向终端2发送的会话配置信息中包含认证指示、第一集合和第四集合。其中，认证指示、第一集合和第四集合的含义可参考前述描述，不再赘述。

终端2判断发送上述第一报文的通信设备是否属于第一集合，可选的，还判断该通信设备是否为成功认证的通信设备。具体的，终端2在判断第一报文的通信设备是否属于第一集合，或者在判断第一报文的通信设备是否属于第一集合以及判断该通信设备是否为成功认证的通信设备之后执行的操作，可以参考图8的实施例中相关描述，不再赘述。

其中，如果发送上述第一报文的通信设备不属于该第一集合、且该通信设备是未成功认证的通信设备，则触发终端2对该通信设备进行认证。终端2对该通信设备进行认证的过程参考以下步骤904至步骤913。

步骤904，终端2向通信设备发送EAP请求消息，用于请求获取通信设备的认证信息。

步骤905，通信设备向终端2发送EAP响应消息，其中包含通信设备的认证信息。

该认证信息可以包括用户名和/或密码。

上述步骤904和步骤905为可选步骤。

可选的，上述EAP请求消息可以替换为EAP确认(identify)消息，以及上述EAP响应消息也替换为EAP确认消息。

步骤906，终端2向SMF发送会话修改请求，其中包含会话标识，指示信息和通信设备的标识信息。

可选的，如果执行上述步骤904和步骤905，则会话修改请求中还包含认证信息。

可选的，该会话修改请求可以是PDU会话修改请求。

其中，该指示信息用于指示对该通信设备进行认证。

步骤907，SMF向通信设备发送EAP请求消息，用于请求获取通信设备的认证信息。

步骤908，通信设备向SMF发送EAP响应消息，其中包含通信设备的认证信息。

该认证信息可以包括用户名和/或密码。

该步骤907和步骤908为可选步骤。当执行上述步骤904和步骤905，则不需要执行该步骤907和步骤908，当没有执行上述步骤904和步骤905，则执行该步骤907和步骤908。

可选的，上述步骤907的EAP请求消息可以替换为EAP确认(identify)消息，以及上述步骤908的EAP响应消息也替换为EAP确认消息。

步骤909至步骤912，同上述步骤710至步骤713，可参考前述描述。

根据上述方案，已经在终端1上完成认证的通信设备从终端1切换到终端2时，触发终端2对该通信设备重新认证。具体的，当终端2判断通信设备需要认证，则向SMF发起设备认证，SMF收到终端2发起的设备认证，感知通信设备在终端1存在有效认证，则SMF指示终端1删除终端1上的对该通信设备的授权配置信息，并由终端2完成对该通信设备的认证流程。

可以理解的是，为了实现上述实施例中功能，会话管理网元和终端包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本申请中所公开的实施例描述的各示例的单元及方法步骤，本申请能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用场景和设计约束条件。

图10和图11为本申请的实施例提供的可能的通信装置的结构示意图。这些通信装置可以用于实现上述方法实施例中会话管理网元(SMF)或终端的功能，因此也能实现上述方法实施例所具备的有益效果。在本申请的实施例中，该通信装置可以是会话管理网元和终端，也可以是应用于终端或会话管理网元的模块(如芯片)。

如图10所示，通信装置1000包括处理单元1010和收发单元1020。通信装置1000用于实现上述图5(a)、图5(b)、图6至图9中所示的方法实施例中会话管理网元或终端的功能。收发单元1020进行接收和/或发送，处理单元1010执行处理除了收发之外的操作。

比如，当通信装置1000用于实现图5(a)、图5(b)、图6至图9所示的方法实施例中终端的功能时：处理单元1010，用于确定认证指示，该认证指示用于指示对通信设备进行认证；接收来自第一通信设备的第一报文，该第一报文中包含第一通信设备的标识信息；收发单元1020，用于当该第一通信设备是未成功认证的通信设备，或者当该第一通信设备是未成功认证的通信设备且第一集合中不包含该第一通信设备的标识信息，向会话管理网元发送第一请求，该第一请求中包含指示信息和该第一通信设备的标识信息，该指示信息指示对该第一通信设备进行认证；该第一集合中包含免认证的通信设备的标识信息。

当通信装置1000用于实现图5(a)、图5(b)、图6至图9所示的方法实施例中会话管理网元的功能时：处理单元1010，用于确定认证指示，该认证指示用于指示对通信设备进行认证；向第一终端发送该认证指示；收发单元1020，用于接收来自该第一终端的第一请求，该第一请求中包含指示信息和第一通信设备的标识信息，该指示信息指示对该第一通信设备进行认证；向该第一终端发送第一响应，该第一响应中包含对该第一通信设备的认证结果信息。

有关上述处理单元1010和收发单元1020更详细的描述可以直接参考图5(a)、图5(b)、图6至图9所示的方法实施例中相关描述直接得到，这里不加赘述。

如图11所示，通信装置1100包括处理器1110和接口电路1120。处理器1110和接口电路1120之间相互耦合。可以理解的是，接口电路1120可以为收发器或输入输出接口。可选的，通信装置1100还可以包括存储器1130，用于存储处理器1110执行的指令或存储处理器1110运行指令所需要的输入数据或存储处理器1110运行指令后产生的数据。

当通信装置1100用于实现图5(a)、图5(b)、图6至图9所示的方法时，处理器1110用于实现上述处理单元1010的功能，接口电路1120用于实现上述收发单元1020的功能。

当上述通信装置为应用于终端的芯片时，该终端芯片实现上述方法实施例中终端的功能。该终端芯片从终端中的其它模块(如射频模块或天线)接收信息，该信息是基站发送给终端的；或者，该终端芯片向终端中的其它模块(如射频模块或天线)发送信息，该信息是终端发送给基站的。

可以理解的是，本申请的实施例中的处理器可以是中央处理单元(CentralProcessing Unit，CPU)，还可以是其它通用处理器、数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其它可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。通用处理器可以是微处理器，也可以是任何常规的处理器。

本申请的实施例中的方法步骤可以通过硬件的方式来实现，也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器、闪存、只读存储器、可编程只读存储器、可擦除可编程只读存储器、电可擦除可编程只读存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于基站或终端中。当然，处理器和存储介质也可以作为分立组件存在于基站或终端中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行所述计算机程序或指令时，全部或部分地执行本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、基站、用户设备或者其它可编程装置。所述计算机程序或指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机程序或指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，例如，软盘、硬盘、磁带；也可以是光介质，例如，数字视频光盘；还可以是半导体介质，例如，固态硬盘。该计算机可读存储介质可以是易失性或非易失性存储介质，或可包括易失性和非易失性两种类型的存储介质。

在本申请的各个实施例中，如果没有特殊说明以及逻辑冲突，不同的实施例之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。在本申请的文字描述中，字符“/”，一般表示前后关联对象是一种“或”的关系；在本申请的公式中，字符“/”，表示前后关联对象是一种“相除”的关系。

可以理解的是，在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定。

本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于随机存取存储器(Random AccessMemory，RAM)、闪存、只读存储器(Read-Only Memory，ROM)、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本申请的具体实施方式而已，并不用于限定本申请的保护范围，凡在本申请的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本申请的保护范围之内。本申请说明书的上述描述可以使得本领域技术任何可以利用或实现本申请的内容，任何基于所公开内容的修改都应该被认为是本领域显而易见的，本申请所描述的基本原则可以应用到其它变形中而不偏离本申请的发明本质和范围。因此，本申请所公开的内容不仅仅局限于所描述的实施例和设计，还可以扩展到与本申请原则和所公开的新特征一致的最大范围。

Claims (27)

1.一种认证方法，应用于终端，其特征在于，包括：

确定认证指示，所述认证指示用于指示对通信设备进行认证；

接收来自第一通信设备的第一报文，所述第一报文中包含第一通信设备的标识信息；

当所述第一通信设备是未成功认证的通信设备，或者当所述第一通信设备是未成功认证的通信设备且第一集合中不包含所述第一通信设备的标识信息，向会话管理网元发送第一请求，所述第一请求中包含指示信息和所述第一通信设备的标识信息，所述指示信息指示对所述第一通信设备进行认证；所述第一集合中包含免认证的通信设备的标识信息。

2.如权利要求1所述的方法，其特征在于，还包括：

接收来自所述会话管理网元的第一响应，所述第一响应中包含所述第一通信设备的标识信息、认证成功信息和第二集合，所述第二集合中包含所述第一通信设备对应的授权的虚拟局域网VLAN的标识信息。

3.如权利要求2所述的方法，其特征在于，所述第一报文中包含第一VLAN的标识信息；所述方法还包括：

当所述第二集合中包含所述第一VLAN的标识信息，授权所述第一通信设备在所述第一VLAN通信；或者，

当所述第二集合中不包含所述第一VLAN的标识信息，拒绝所述第一通信设备的通信。

4.如权利要求2所述的方法，其特征在于，所述方法还包括：

从所述第二集合中选择第二VLAN的标识信息；

授权所述第一通信设备在所述第二VLAN通信。

5.如权利要求1至4中任一项所述的方法，其特征在于，在向所述会话管理网元发送所述第一请求之前，还包括：

向所述第一通信设备发送第二请求，所述第二请求用于请求获取所述第一通信设备的认证信息；

接收来自所述第一通信设备的所述认证信息；

其中，所述第一请求中还包含所述认证信息。

6.如权利要求5所述的方法，其特征在于，

所述认证信息包括用户名和/或密码。

7.如权利要求1所述的方法，其特征在于，所述第一报文中包含第一VLAN的标识信息；所述方法还包括：

确定第三集合，所述第三集合中包含所述第一通信设备对应的授权的VLAN的标识信息；

当所述第一通信设备是成功认证的通信设备且第三集合中包含所述第一VLAN的标识信息，或者当所述第一集合中不包含所述第一通信设备的标识信息、所述第一通信设备是成功认证的通信设备且第三集合中包含所述第一VLAN的标识信息，授权所述第一通信设备在所述第一VLAN通信；或者，

当所述第一通信设备是成功认证的通信设备且第三集合中不包含所述第一VLAN的标识信息，或者当所述第一集合中不包含所述第一通信设备的标识信息、所述第一通信设备是成功认证的通信设备且第三集合中不包含所述第一VLAN的标识信息，拒绝所述第一通信设备的通信。

8.如权利要求1所述的方法，其特征在于，所述方法还包括：

确定第三集合，所述第三集合中包含所述第一通信设备对应的授权的VLAN的标识信息；

当所述第一通信设备是成功认证的通信设备，或者当所述第一集合中不包含所述第一通信设备的标识信息且所述第一通信设备是成功认证的通信设备，从所述第三集合中选择第三VLAN的标识信息；

授权所述第一通信设备在所述第三VLAN通信。

9.如权利要求1所述的方法，其特征在于，所述第一报文中包含第一VLAN的标识信息；

所述方法还包括：

确定第四集合，所述第四集合中包含所述第一集合中的免认证的通信设备对应的免授权的VLAN；

当所述第四集合中包含所述第一VLAN的标识信息，或者当所述第一集合中包含所述第一通信设备的标识信息且所述第四集合中包含所述第一VLAN的标识信息，授权所述第一通信设备在所述第一VLAN通信；或者，

当所述第四集合中不包含所述第一VLAN的标识信息，或者当所述第一集合中包含所述第一通信设备的标识信息且所述第四集合中不包含所述第一VLAN的标识信息，拒绝所述第一通信设备的通信。

10.如权利要求1所述的方法，其特征在于，所述方法还包括：

确定第四集合，所述第四集合中包含所述第一集合中的免认证的通信设备对应的免授权的VLAN；

从所述第四集合中选择第四VLAN的标识信息；或者，当所述第一集合中包含所述第一通信设备的标识信息，从所述第四集合中选择第四VLAN的标识信息；

授权所述第一通信设备在所述第四VLAN通信。

11.如权利要求1至10中任一项所述的方法，其特征在于，所述确定认证指示，包括：

接收来自所述会话管理网元的会话配置信息，所述会话配置信息中包含所述认证指示。

12.一种认证方法，应用于会话管理网元，其特征在于，包括：

确定认证指示，所述认证指示用于指示对通信设备进行认证；

向第一终端发送所述认证指示；

接收来自所述第一终端的第一请求，所述第一请求中包含指示信息和第一通信设备的标识信息，所述指示信息指示对所述第一通信设备进行认证；

向所述第一终端发送第一响应，所述第一响应中包含对所述第一通信设备的认证结果信息。

13.如权利要求12所述的方法，其特征在于，向所述第一终端发送第一响应之前，还包括：

向认证服务器发送认证请求，所述认证请求中包含所述第一通信设备的标识信息和认证信息；

接收来自所述认证服务器的认证响应，所述认证响应中包含所述认证结果信息。

14.如权利要求13所述的方法，其特征在于，

在所述认证结果信息是认证成功信息的情况下，所述认证响应中还包含第二集合，所述第二集合中包含所述第一通信设备对应的授权的虚拟局域网VLAN的标识信息；

则所述第一响应中还包含所述第二集合。

15.如权利要求13或14所述的方法，其特征在于，所述第一请求中还包含所述第一通信设备的认证信息。

16.如权利要求13或14所述的方法，其特征在于，向所述第一终端发送第一响应之前，还包括：

向所述第一通信设备发送第三请求，所述第三请求用于请求获取所述第一通信设备的认证信息；

接收来自所述第一通信设备的所述认证信息。

17.如权利要求13至16中任一项所述的方法，其特征在于，向认证服务器发送认证请求之前，还包括：

确定第一集合，所述第一集合中包含免认证的通信设备的标识信息；

确定所述第一集合中不包含所述第一通信设备的标识信息。

18.如权利要求13至17中任一项所述的方法，其特征在于，

所述认证信息包括用户名和/或密码。

19.如权利要求12所述的方法，其特征在于，向所述第一终端发送第一响应之前，还包括：

确定第一集合和第四集合，所述第一集合中包含免认证的通信设备的标识信息，所述第四集合中包含所述第一集合中的免认证的通信设备对应的免授权的VLAN；

确定所述第一集合中包含所述第一通信设备的标识信息；

则所述第一响应中还包含所述第四集合，且所述认证结果信息是认证成功信息。

20.如权利要求12所述的方法，其特征在于，接收来自所述第一终端的第一请求之前，还包括：

确定第一集合和第四集合，所述第一集合中包含免认证的通信设备的标识信息，所述第四集合中包含所述第一集合中的免认证的通信设备对应的免授权的虚拟局域网VLAN；

向所述第一终端发送所述第一集合和所述第四集合。

21.如权利要求12至20中任一项所述的方法，其特征在于，所述方法还包括：

向第二终端发送删除指示，所述删除指示用于指示删除所述第一通信设备对应的授权配置信息，所述第二终端是所述第一通信设备在接入所述第一终端之前所接入的终端，所述授权配置信息中包含授权的VLAN。

22.如权利要求12至21中任一项所述的方法，其特征在于，所述确定认证指示，包括：

在所述第一终端的会话建立流程中，获取所述第一终端的签约信息，所述签约信息中包含所述认证指示。

23.如权利要求12至22中任一项所述的方法，其特征在于，所述向第一终端发送所述认证指示，包括：

向所述第一终端发送会话配置信息，所述会话配置信息中包含所述认证指示。

24.一种通信装置，其特征在于，包括用于执行如权利要求1至11中任一项所述方法的模块，或用于执行如权利要求12至23中任一项所述方法的模块。

25.一种通信装置，其特征在于，包括处理器和接口电路，所述接口电路用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置，所述处理器通过逻辑电路或执行代码指令用于实现如权利要求1至11中任一项所述的方法，或用于实现如权利要求12至23中任一项所述的方法。

26.一种计算机程序产品，其特征在于，包括计算机程序，当所述计算机程序被通信装置执行时，实现如权利要求1至23中任一项所述的方法。

27.一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序或指令，当所述计算机程序或指令被通信装置执行时，实现如权利要求1至23中任一项所述的方法。

Images