CN116686314A

CN116686314A - 一种鉴权方法及通信装置

Info

Publication number: CN116686314A
Application number: CN202180086463.2A
Authority: CN
Inventors: 朱浩仁; 徐艺珊; 诸华林
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2020-12-31
Filing date: 2021-09-06
Publication date: 2023-09-01
Also published as: WO2022141600A1; EP4258718A1; KR20230125301A; WO2022142446A1; US20230345243A1

Abstract

本申请实施例公开了一种鉴权方法及通信装置，涉及通信领域，支持多种标签进行统一网络管理的同时，提供统一的认证流程对标签设备进行安全认证，降低了融合管理的复杂性。所述方法包括：接入网设备获取标签设备的标识，根据标签设备的标识确定第三代合作伙伴计划3GPP网络用户标识；接入网设备还可以向接入移动管理网元发送第一消息，第一消息包括3GPP网络用户标识，3GPP网络用户标识用于认证标签设备。其中，标签设备可以是RFID标签、UWB标签以及蓝牙设备等。

Description

一种鉴权方法及通信装置

本申请要求于2020年12月31日提交国家知识产权局、申请号为PCT/CN2020/142560、申请名称为“一种鉴权方法及通信装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉通信领域，尤其涉及一种鉴权方法及通信装置。

背景技术

随着通信技术的演进发展，标签设备(tag)被越来越多的企业、个人所使用，利用标签设备可以实现设备之间近距离、非接触式的通信。

标签设备包括射频识别(radio frequency identification，RFID)标签、无源物联网(passive internet of things，passive IoT)设备、低功耗设备、超宽带(ultrawideband，UWB)标签、无源终端设备、半无源终端设备、有源终端设备、低能力(reduced capability，Redcap)终端、其他物联网设备以及蓝牙设备等。无源终端设备是从射频信号获取能量的终端设备；半无源终端设备是从射频信号或者太阳能或者风能等获取能量的终端设备；有源终端设备是依靠自身电池提供能量的设备。目前，各个厂商对标签设备的安全认证流程差异巨大，当企业使用多种标签设备时，大大增加了企业对标签管理的复杂性。

发明内容

本申请实施例提供一种鉴权方法及通信装置，支持多种标签进行统一网络管理的同时，提供统一的认证流程对标签设备进行安全认证，降低了融合管理的复杂性。

第一方面，提供一种鉴权方法，包括：接入网设备获取标签设备的标识，根据标签设备的标识确定第三代合作伙伴计划3GPP网络用户标识；接入网设备还可以向接入移动管理网元发送第一消息，第一消息包括3GPP网络用户标识，3GPP网络用户标识用于认证标签设备。接入网设备还可以通过所述接入移动管理网元接收所述标签设备的鉴权结果。标签设备的标识可以是与3GPP网络用户标识相同的标识或者不同的标识。

目前缺乏统一的认证流程对融合场景下标签设备进行安全认证，各个厂商对标签设备的安全认证流程差异巨大，大大增加了融合管理的复杂性。本申请实施例提供一种鉴权方法，接入网设备可以获取标签设备的标识，根据标签设备的标识确定第三代合作伙伴计划3GPP网络用户标识，向接入移动管理网元发送第一消息，第一消息包括3GPP网络用户标识，用于认证标签设备。通过本申请实施例提供的鉴权方法可以实现对不同标签设备的鉴权认证，支持多种标签进行统一网络管理的同时，提供统一的认证流程对标签设备进行安全认证，降低了融合管理的复杂性。

结合第一方面，在第一方面的第一种可能的实现方式中，第一消息还包括类型信息，类型信息用于指示标签设备的类型。

本申请实施例中，接入网设备还可以通过第一消息向认证设备通知标签设备的类型，以便认证设备选择与标签设备匹配的认证方法和认证参数。

结合第一方面或以上第一方面的任意一种可能的实现方式，在第一方面的第二种可能的实现方式中，第一消息为非接入层NAS注册请求，NAS注册请求包括3GPP网络用户标识。

本申请实施例中，接入网设备可以通过NAS注册请求向接入移动管理网元发送3GPP网络用户标识。

结合第一方面或以上第一方面的任意一种可能的实现方式，在第一方面的第三种可能的实现方式中，接入网设备通过盘存过程或者标签访问过程获取标签设备的标识，盘存过程是获取标签标识的过程，标签访问过程是对标签设备进行读操作或者写操作的过程。

本申请实施例中，接入网设备可以通过盘存过程或者标签访问过程获取标签设备的标识，为接入网设备获取标签设备的标识提供了多种可行性方案。

结合第一方面或以上第一方面的任意一种可能的实现方式，在第一方面的第四种可能的实现方式中，所述方法还包括：从接入移动管理网元接收第二消息，第二消息包括以下至少一项：协议参数、通信参数或接入参数；其中，协议参数用于指示接入网设备与标签设备之间的通信协议和/或接入网设备与标签汇聚网元之间的通信协议；通信参数用于支持接入网设备配置与标签设备之间进行通信所用的数据传输速率和/或解码方式；接入参数用于接入网设备配置标签设备接入事件的规则；标签设备接入事件的规则包括以下至少一项：标签设备接入事件的触发时间、标签设备接入事件的周期或标签设备接入事件对应的标签设备数量。标签设备接入事件是对标签进行读操作，或者写操作，或者失效操作，或者对标签进行盘存操作。读操作可以读取标签设备存储的信息，例如传感器信息等，盘存操作指的是获取标签标识的操作，标签设备接入，也可以称为标签设备访问。

本申请实施例中，还可以向接入网设备发送与标签设备相关的配置参数，以支持接入网设备、标签设备以及核心网的通信，例如，认证过程中的信令交互。

结合第一方面或以上第一方面的任意一种可能的实现方式中，在第一方面的第五种可能的实现方式中，所述方法还包括：根据第二消息确定接入网设备与标签设备之间的通信协议和/或接入网设备与标签汇聚网元之间的通信协议；和/或，配置与标签设备之间进行通信所用的数据传输速率和/或解码方式；和/或，配置标签设备接入事件的规则。

本申请实施例中，接入网设备可以根据核心网下发的配置参数完成本地配置，以便与标签设备以及核心网进行通信，例如，认证过程中的信令交互。

结合第一方面或以上第一方面的任意一种可能的实现方式，在第一方面的第六种可能的实现方式中，所述方法还包括：从标签汇聚网元接收操作指令；操作指令用于指示接入网设备执行与标签设备之间的通信操作。根据操作指令执行与标签设备之间的通信操作。

本申请实施例提供的方法，将标签设备的解读器融合在核心网，即本申请实施例所述的标签汇聚网元。本申请实施例还支持标签汇聚网元与标签设备之间通过3GPP网络进行通信，例如，向标签设备发送操作指令，指示标签设备执行具体的接入操作，例如，读操作或写操作等。标签汇聚网元可以是独立的核心网网元，或者是与用户面功能网元UPF或者接入移动管理网元AMF或者会话管理网元SMF或者网络开放网元NEF或者服务器或者物联网平台共同部署的网元。

结合第一方面或以上第一方面的任意一种可能的实现方式，在第一方面的第七种可能的实现方式中，标签设备的标识包括标签设备的无线访问控制MAC地址或标签设备的秘密标识SID或标签设备的电子产品码EPC。

本申请实施例提供了标签设备的标识的具体实现，以便根据标签设备的标签确定标签设备的3GPP网络用户标识。

结合第一方面或以上第一方面的任意一种可能的实现方式，在第一方面的第八种可能的实现方式中，接入网设备包括：标签接入功能模块以及标签代理功能模块；接入网设备根据标签设备的标识确定3GPP网络用户标识，包括：标签接入功能模块获取标签设备的标识，标签接入功能模块向标签代理功能模块发送标签设备的标识；标签代理功能模块根据标签设备的标识确定3GPP网络用户标识。

本申请实施例提供了一种可能的融合场景，在接入网设备增加标签接入功能模块以及标签代理功能模块，标签汇聚网元为核心网侧支持与标签设备通信的网元。标签接入功能模块支持RAN与标签设备进行通信，标签代理功能模块支持标签设备与核心网网元或高层的标签汇聚网元进行通信。

结合第一方面或以上第一方面的任意一种可能的实现方式，在第一方面的的第九种可能的实现方式中，所述方法还包括：标签代理功能模块生成第一信息，第一信息用于指示标签设备的标识、标签接入功能模块的标识以及3GPP网络用户标识之间的对应关系；标签代理功能模块根据第一信息寻址标签接入功能模块。

本申请实施例中，标签代理功能模块可以维护、管理多个标签接入功能模块，基于第一信息标签代理功能模块可以在接收到下行信令时寻址到相应的标签接入功能模块，以便将下行信令传输给相应的标签设备。

结合第一方面或以上第一方面的任意一种可能的实现方式，在第一方面的的第十种可能的实现方式中，3GPP网络用户标识包括标签设备的用户隐藏标识SUCI或用户永久标识SUPI。

本申请实施例提供了3GPP网络用户标识的一种可能的实现。

需要说明的是，第一方面提供的鉴权方法也可以适用于读写器设备，即由读写器设备执行上述接入网设备所设置执行的功能。该读写器设备可以部署在接入网设备或终端设备中，当读写器设备部署在接入网设备中时，读写器设备也可以描述为接入网设备，当读写器设备部署在终端设备中时，读写器设备也可以描述为终端设备。接入网设备也可以直接作为读写器设备，或者终端设备也可以直接作为读写器设备。

第二方面，提供一种鉴权方法，所述方法包括：接入移动管理网元从接入网设备接收第一消息，第一消息包括标签设备的第三代合作伙伴计划3GPP网络用户标识；移动管理网元向认证设备发送3GPP网络用户标识，3GPP网络用户标识用于认证标签设备。接入移动管理网元还可以从认证设备接收该标签设备的鉴权结果，向接入网设备发送该鉴权结果。标签设备的标识可以是与3GPP网络用户标识相同的标识或者不同的标识。

结合第二方面的第一种可能的实现方式，在第二方面的第一种可能的实现方式中，第一消息还包括类型信息，类型信息用于指示标签设备的类型。

结合第二方面或以上第二方面的任意一种可能的实现方式，在第二方面的第二种可能的实现方式中，第一消息为非接入层NAS注册请求，NAS注册请求包括3GPP网络用户标识。

结合第二方面或以上第二方面的任意一种可能的实现方式，在第二方面的第三种可能的实现方式中，所述方法还包括：从标签汇聚网元接收以下至少一项：协议参数、通信参数以及接入参数；其中，协议参数用于指示接入网设备与标签设备之间的通信协议和/或接入网设备与标签汇聚网元之间的通信协议；通信参数用于支持接入网设备配置与标签设备之间进行通信所用的数据传输速率和/或解码方式；接入参数用于接入网设备配置标签设备接入事件的规则；标签设备接入事件的规则包括以下至少一项：标签设备接入事件的触发时间、标签设备接入事件的周期或标签设备接入事件对应的标签设备数量；向接入网设备发送第二消息，第二消息包括通信协议参数、设备运行参数以及接入参数中的至少一项。标签设备接入事件是对标签进行读操作，或者写操作，或者失效操作，或者对标签进行盘存操作。盘存操作指的是获取标签标识的操作。读操作可以读取标签存储的信息，例如传感器信息等，标签设备接入也可以称为标签设备访问。

本申请实施例中，还可以通过接入移动管理网元向接入网设备发送与标签设备相关的配置参数，以支持接入网设备、标签设备以及核心网的通信，例如，认证过程中的信令交互。

结合第二方面或以上第二方面的任意一种可能的实现方式，在第二方面的第四种可能的实现方式中，所述方法还包括：从标签汇聚网元接收第三消息，第三消息用于标签汇聚网元向接入移动管理网元订阅与标签设备相关的消息。

本申请实施例中，标签汇聚网元还可以向接入移动管理网元订阅标签设备相关的消息，以便接入移动管理网元可以准确地将与标签设备相关的消息路由至标签汇聚网元进行处理。标签汇聚网元可以是独立的核心网网元，或者是与用户面功能网元UPF或者接入移动管理网元AMF或者会话管理网元SMF或者网络开放网元NEF或者服务器或者物联网平台共同部署的网元。

结合第二方面或以上第二方面的任意一种可能的实现方式，在第二方面的第五种可能的实现方式中，所述第三消息包括消息类型，消息类型指示与标签设备相关的消息。

本申请实施例中，提供标签汇聚网元订阅消息的一种具体实现，具体地，标签汇聚网元可以利用消息类型向接入移动管理网元订阅标签设备相关的消息。

结合第二方面或以上第二方面的任意一种可能的实现方式，在第二方面的第六种可能的实现方式中，3GPP网络用户标识包括标签设备的用户隐藏标识SUCI或用户永久标识SUPI。

本申请实施例提供了3GPP网络用户标识的一种可能的实现。

第三方面，提供一种鉴权方法，所述方法包括：标签汇聚网元判断标签设备是否通过安全认证；标签汇聚网元确定标签设备通过安全认证，向接入网设备发送操作指令；操作指令用于指示接入网设备执行与标签设备之间的通信操作。标签汇聚网元可以是独立的核心网网元，或者是与用户面功能网元UPF或者接入移动管理网元AMF或者会话管理网元SMF或者网络开放网元NEF或者服务器或者物联网平台共同部署的网元。

本申请实施例提供的鉴权方法支持标签融合场景下标签设备的安全接入，提供统一的接入流程对不同的标签设备进行统一网络管理，降低了融合管理的复杂性。

结合第三方面，在第三方面的第一种可能的实现方式中，标签汇聚网元判断标签设备是否通过安全认证，包括：若根据标签设备的标识从认证设备获取标签设备的标识对应的第三代合作伙伴计划3GPP网络用户标识，则确定标签设备通过安全认证。

本申请实施例提供了标签汇聚网元判断标签设备通过安全认证的一种具体实现。

结合第三方面或以上第三方面的任意一种可能的实现，在第三方面的第二种可能的实现方式中，标签汇聚网元确定标签设备通过安全认证之前，方法还包括：标签汇聚网元向接入移动管理网元发送以下至少一项：协议参数、通信参数以及接入参数；其中，其中，协议参数用于指示接入网设备与标签设备之间的通信协议和/或接入网设备与标签汇聚网元之间的通信协议；通信参数用于支持接入网设备配置与标签设备之间进行通信所用的数据传输速率和/或解码方式；接入参数用于接入网设备配置标签设备接入事件的规则；标签设备接入事件的规则包括以下至少一项：标签设备接入事件的触发时间、标签设备接入事件的周期或标签设备接入事件对应的标签设备数量。

本申请实施例中，在标签设备进行安全接入之前，标签汇聚网元还可以通过入移动管理网元向接入网设备发送与标签设备相关的配置参数，以支持接入网设备、标签设备以及核心网的通信，例如，认证过程中的信令交互。

结合第三方面或以上第三方面的任意一种可能的实现，在第三方面的第三种可能的实现方式中，所述方法还包括：向接入移动管理网元发送第三消息，第三消息用于向接入移动管理网元订阅与标签设备相关的消息。

本申请实施例中，在标签设备进行安全接入之前，标签汇聚网元还可以向接入移动管理网元订阅标签设备相关的消息，以便接入移动管理网元可以准确地将与标签设备相关的消息路由至标签汇聚网元进行处理。

结合第三方面或以上第三方面的任意一种可能的实现，在第三方面的第四种可能的实现方式中，第三消息包括消息类型，消息类型指示与标签设备相关的消息。

结合第三方面或以上第三方面的任意一种可能的实现，在第三方面的第五种可能的实现方式中，标签汇聚网元判断标签设备是否通过安全认证，包括：若根据标签设备的标识从认证设备未获取标签设备的标识对应的第三代合作伙伴计划3GPP网络用户标识，则确定标签设备未通过安全认证。

本申请实施例提供了标签汇聚网元判断标签设备未通过安全认证的一种具体实现。

结合第三方面或以上第三方面的任意一种可能的实现，在第三方面的第六种可能的实现方式中，确定标签设备未通过安全认证之后，所述方法还包括：标签汇聚网元向接入移动管理网元发送以下至少一项：通信协议参数、设备运行参数以及接入参数；其中，通信协议参数用于指示接入网设备与标签设备之间的通信协议和/或接入网设备与标签汇聚网元之间的通信协议；设备运行参数用于支持接入网设备配置与标签设备相关的功能；接入参数用于支持接入网设备配置标签设备接入接入网设备的规则。

结合第三方面或以上第三方面的任意一种可能的实现，在第三方面的第七种可能的实现方式中，所述方法还包括：向接入移动管理网元发送第三消息，第三消息用于向接入移动管理网元订阅与标签设备相关的消息。

结合第三方面或以上第三方面的任意一种可能的实现，在第三方面的第七种可能的实现方式中，第三消息包括消息类型，消息类型指示与标签设备相关的消息。

结合第三方面或以上第三方面的任意一种可能的实现，在第三方面的第八种可能的实现方式中，标签设备的标识包括标签设备的无线访问控制MAC地址或标签设备的秘密标识SID或标签设备的电子产品码EPC。

结合第三方面或以上第三方面的任意一种可能的实现，在第三方面的第九种可能的实现方式中，3GPP网络用户标识包括标签设备的用户隐藏标识SUCI或用户永久标识SUPI。

第四方面，提供了一种通信方法，所述方法包括：标签设备在接收标签触发信号后，发送核心网交互消息；核心网交互消息用于标签设备与核心网网元进行消息交互。

其中，当标签设备是无源设备时，需要标签触发信号对标签设备进行激励，使得标签设备可以发送核心网交消息，以与核心网网元进行交互；或者，当标签设备处于休眠状态时，需要标签触发信号对标签设备进行唤醒，使得标签设备可以发送核心网交互消息，以与核心网网元进行交互。

本申请实施例提供的鉴权方法中，标签设备可以在接收到标签触发信号后与核心网网元进行消息交互，为标签设备与核心网网元交互提供了一种可行性方案。

结合第四方面，在第四方面的第一种可能的实现方式中，核心网交互消息可以包括以下任意一项：注册消息；或者，去注册消息；或者，会话建立请求消息；或者，会话修改请求消息；或者，会话删除请求消息；或者，服务请求消息；或者，标签数据发送消息；注册消息用于在核心网注册标签；去注册消息用于在核心网去注册标签；会话建立请求消息用于为标签建立会话；会话修改请求消息用于为标签修改会话；会话删除请求消息用于为标签删除会话；服务请求消息用于为标签请求服务；标签数据发送消息用于发送标签数据。标签数据可以是传感器数据或者预置数据等。

结合第四方面或以上第四方面的任意一种可能的实现，在第四方面的第二种可能的实现方式中，标签触发信号用于触发盘存过程；或者，标签触发信号用于触发标签访问过程；或者，标签触发信号用于触发标签认证过程；或者，标签触发信号用于触发标签锁定过程；或者，标签触发信号用于触发标签失效过程；或者，标签触发信号用于唤醒标签设备；盘存过程是获取标签标识的过程；标签访问过程是对标签设备进行读操作或者写操作的过程；标签认证过程是对标签设备进行认证的过程；标签锁定过程是对标签设备进行锁定的过程；标签失效过程是使标签设备失效的过程；唤醒标签设备是唤醒标签设备的过程。

结合第四方面或以上第四方面的任意一种可能的实现，在第四方面的第三种可能的实现方式中，标签设备接收过滤信息；如果标签设备匹配过滤信息，标签设备发送核心网交互消息。

结合第四方面或以上第四方面的任意一种可能的实现，在第四方面的第四种可能的实现方式中，核心网交互消息携带标签标识或者会话标识；标签标识或者会话标识由盘存过程或者标签访问过程获得；盘存过程是获取标签标识的过程；标签访问过程是对标签设备进行读操作或者写操作的过程。

结合第四方面或以上第四方面的任意一种可能的实现，在第四方面的第五种可能的实现方式中，标签触发信号为以下任意一项：选择Select命令、挑战Challenge命令、查询Query命令、读Read命令、写Write命令、失效Kill命令、锁定Lock命令、唤醒命令。

结合第四方面或以上第四方面的任意一种可能的实现，在第四方面的第六种可能的实现方式中，核心网交互消息是非接入层NAS消息。

第五方面，提供了一种通信装置，该通信装置可以是接入网设备或者接入网设备中的部件。该装置包括：处理单元，用于获取标签设备的标识，根据标签设备的标识确定第三代合作伙伴计划3GPP网络用户标识；通信单元，用于向接入移动管理网元发送第一消息，第一消息包括3GPP网络用户标识，3GPP网络用户标识用于认证标签设备。通信单元还用于，通过所述接入移动管理网元接收所述标签设备的鉴权结果。标签设备的标识可以是与3GPP网络用户标识相同的标识或者不同的标识。

结合第五方面，在第五方面的第一种可能的实现方式中，第一消息还包括类型信息，类型信息用于指示标签设备的类型。

结合第五方面或以上第五方面的任意一种可能的实现方式，在第五方面的第二种可能的实现方式中，第一消息为非接入层NAS注册请求，NAS注册请求包括3GPP网络用户标识。

结合第五方面或以上第五方面的任意一种可能的实现方式，在第五方面的第三种可能的实现方式中，接入网设备通过盘存过程或者标签访问过程获取标签设备的标识，盘存过程是获取标签标识的过程，标签访问过程是对标签设备进行读操作或者写操作的过程。

结合第五方面或以上第五方面的任意一种可能的实现方式中，在第五方面的第四种可能的实现方式中，通信单元还用于，从接入移动管理网元接收第二消息，第二消息包括以下至少一项：协议参数、通信参数或接入参数；其中，协议参数用于指示接入网设备与标签设备之间的通信协议和/或接入网设备与标签汇聚网元之间的通信协议；通信参数用于支持接入网设备配置与标签设备之间进行通信所用的数据传输速率和/或解码方式；接入参数用于接入网设备配置标签设备接入事件的规则；标签设备接入事件的规则包括以下至少一项：标签设备接入事件的触发时间、标签设备接入事件的周期或标签设备接入事件对应的标签设备数量。标签设备接入事件是对标签进行读操作，或者写操作，或者失效操作，或者对标签进行盘存操作。读操作可以读取标签设备存储的信息，例如传感器信息等，盘存操作指的是获取标签标识的操作，标签设备接入，也可以称为标签设备访问。

结合第五方面或以上第五方面的任意一种可能的实现方式中，在第五方面的第五种可能的实现方式中，处理单元具体用于，根据第二消息确定接入网设备与标签设备之间的通信协议和/或接入网设备与标签汇聚网元之间的通信协议；和/或，配置与标签设备之间进行通信所用的数据传输速率和/或解码方式；和/或，配置标签设备接入事件的规则。

结合第五方面或以上第五方面的任意一种可能的实现方式中，在第五方面的第六种可能的实现方式中，通信单元还用于，从标签汇聚网元接收操作指令；操作指令用于指示接入网设备执行与标签设备之间的通信操作；处理单元还用于，根据操作指令执行与标签设备之间的通信操作。标签汇聚网元可以是独立的核心网网元，或者是与用户面功能网元UPF或者接入移动管理网元AMF或者会话管理网元SMF或者网络开放网元NEF或者服务器或者物联网平台共同部署的网元。

结合第五方面或以上第五方面的任意一种可能的实现方式中，在第五方面的第七种可能的实现方式中，标签设备的标识包括标签设备的无线访问控制MAC地址或标签设备的秘密标识SID或标签设备的电子产品码EPC。

结合第五方面或以上第五方面的任意一种可能的实现方式中，在第五方面的第八种可能的实现方式中，处理单元包括标签接入功能模块以及标签代理功能模块，标签接入功能模块，用于获取标签设备的标识，标签接入功能模块向标签代理功能模块发送标签设备的标识；标签代理功能模块，用于根据标签设备的标识确定3GPP网络用户标识。

结合第五方面或以上第五方面的任意一种可能的实现方式中，在第五方面的第九种可能的实现方式中，标签代理功能模块还用于，生成第一信息，第一信息用于指示标签设备的标识、标签接入功能模块的标识以及3GPP网络用户标识之间的对应关系；根据第一信息寻址标签接入功能模块。

结合第五方面或以上第五方面的任意一种可能的实现方式中，在第五方面的第十种可能的实现方式中，3GPP网络用户标识包括标签设备的用户隐藏标识SUCI或用户永久标识SUPI。

需要说明的是，第五方面提供的通信装置也可以是读写器设备或者读写器设备中的部件，该读写器设备可以部署在接入网设备或终端设备中，当读写器设备部署在接入网设备中时，该通信装置可以是上述接入网设备或者接入网设备中的部件，当读写器设备部署在终端设备中时，该通信装置还可以是终端设备或者终端设备中的部件。接入网设备也可以直接作为读写器设备，或者终端设备也可以直接作为读写器设备；当接入网设备直接作为读写器设备时，该通信装置可以是上述接入网设备或者接入网设备中的部件，当终端设备直接作为读写器设备时，该通信装置可以是终端设备或者终端设备中的部件。

第六方面，提供一种通信装置，该装置可以是接入移动管理网元或接入移动管理网元中的部件。该装置包括：处理单元，用于通信单元从接入网设备接收第一消息，第一消息包括标签设备的第三代合作伙伴计划3GPP网络用户标识；处理单元还用于，通过通信单元向移动管理网元向认证设备发送3GPP网络用户标识，3GPP网络用户标识用于认证标签设备。处理单元还用于，通过通信单元从认证设备接收该标签设备的鉴权结果，通过通信单元想接入网设备发送该标签设备的鉴权结果。标签设备的标识可以是与3GPP网络用户标识相同的标识或者不同的标识。

结合第六方面，在第六方面的第一种可能的实现方式中，第一消息还包括类型信息，类型信息用于指示标签设备的类型。

结合第六方面或以上第六方面的任意一种可能的实现方式，在第六方面的第二种可能的实现方式中，第一消息为非接入层NAS注册请求，NAS注册请求包括3GPP网络用户标识。

结合第六方面或以上第六方面的任意一种可能的实现方式，在第六方面的第三种可能的实现方式中，处理单元还用于，通过通信单元从标签汇聚网元接收以下至少一项：协议参数、通信参数以及接入参数；其中，协议参数用于指示接入网设备与标签设备之间的通信协议和/或接入网设备与标签汇聚网元之间的通信协议；通信参数用于支持接入网设备配置与标签设备之间进行通信所用的数据传输速率和/或解码方式；接入参数用于接入网设备配置标签设备接入事件的规则；标签设备接入事件的规则包括以下至少一项：标签设备接入事件的触发时间、标签设备接入事件的周期或标签设备接入事件对应的标签设备数量；处理单元还用于，通过通信单元向接入网设备发送第二消息，第二消息包括通信协议参数、设备运行参数以及接入参数中的至少一项。标签设备接入事件是对标签进行读操作，或者写操作，或者失效操作，或者对标签进行盘存操作。读操作可以读取标签设备存储的信息，例如传感器信息等，盘存操作指的是获取标签标识的操作，标签设备接入，也可以称为标签设备访问。

结合第六方面或以上第六方面的任意一种可能的实现方式，在第六方面的第四种可能的实现方式中，处理器还用于，通过通信单元从标签汇聚网元接收第三消息，第三消息用于标签汇聚网元向接入移动管理网元订阅与标签设备相关的消息。标签汇聚网元可以是独立的核心网网元，或者是与用户面功能网元UPF或者接入移动管理网元AMF或者会话管理网元SMF或者网络开放网元NEF或者服务器或者物联网平台共同部署的网元。

结合第六方面或以上第六方面的任意一种可能的实现方式，在第六方面的第五种可能的实现方式中，第三消息包括消息类型，消息类型指示与标签设备相关的消息。

结合第六方面或以上第六方面的任意一种可能的实现方式，在第六方面的第六种可能的实现方式中，3GPP网络用户标识包括标签设备的用户隐藏标识SUCI或用户永久标识SUPI。

第七方面，提供了一种通信装置，该通信装置可以是标签汇聚网元或标签汇聚网元中的部件。该装置包括：处理单元，用于判断标签设备是否通过安全认证；通信单元，用于在处理单元确定标签设备通过安全认证后，向接入网设备发送操作指令；操作指令用于指示接入网设备执行与标签设备之间的通信操作。标签汇聚网元可以是独立的核心网网元，或者是与用户面功能网元UPF或者接入移动管理网元AMF或者会话管理网元SMF或者网络开放网元NEF或者服务器或者物联网平台共同部署的网元。

结合第七方面，在第七方面的第一种可能的实现方式中，处理单元具体用于，若根据标签设备的标识从认证设备获取标签设备的标识对应的第三代合作伙伴计划3GPP网络用户标识，则确定标签设备通过安全认证。

结合第七方面或以上第七方面的任意一种可能的实现方式，在第七方面的第二种可能的实现方式中，通信单元还用于，在处理单元确定标签设备通过安全认证之前，向接入移动管理网元发送以下至少一项：协议参数、通信参数以及接入参数；其中，协议参数用于指示接入网设备与标签设备之间的通信协议和/或接入网设备与标签汇聚网元之间的通信协议；通信参数用于支持接入网设备配置与标签设备之间进行通信所用的数据传输速率和/或解码方式；接入参数用于接入网设备配置标签设备接入事件的规则；标签设备接入事件的规则包括以下至少一项：标签设备接入事件的触发时间、标签设备接入事件的周期或标签设备接入事件对应的标签设备数量。

结合第七方面或以上第七方面的任意一种可能的实现方式，在第七方面的第三种可能的实现方式中，通信单元还用于，向接入移动管理网元发送第三消息，第三消息用于向接入移动管理网元订阅与标签设备相关的消息。

结合第七方面或以上第七方面的任意一种可能的实现方式，在第七方面的第四种可能的实现方式中，第三消息包括消息类型，消息类型指示与标签设备相关的消息。

结合第七方面或以上第七方面的任意一种可能的实现方式，在第七方面的第五种可能的实现方式中，处理单元具体用于，若根据标签设备的标识从认证设备未获取标签设备的标识对应的第三代合作伙伴计划3GPP网络用户标识，则确定标签设备未通过安全认证。

结合第七方面或以上第七方面的任意一种可能的实现方式，在第七方面的第六种可能的实现方式中，通信单元还用于，在处理单元确定标签设备未通过安全认证之后，向接入移动管理网元发送以下至少一项：通信协议参数、设备运行参数以及接入参数；其中，通信协议参数用于指示接入网设备与标签设备之间的通信协议和/或接入网设备与标签汇聚网元之间的通信协议；设备运行参数用于支持接入网设备配置与标签设备相关的功能；接入参数用于支持接入网设备配置标签设备接入接入网设备的规则。

结合第七方面或以上第七方面的任意一种可能的实现方式，在第七方面的第七种可能的实现方式中，通信单元还用于，向接入移动管理网元发送第三消息，第三消息用于向接入移动管理网元订阅与标签设备相关的消息。

结合第七方面或以上第七方面的任意一种可能的实现方式，在第七方面的第八种可能的实现方式中，第三消息包括消息类型，消息类型指示与标签设备相关的消息。

结合第七方面或以上第七方面的任意一种可能的实现方式，在第七方面的第九种可能的实现方式中，标签设备的标识包括标签设备的无线访问控制MAC地址或标签设备的秘密标识SID或标签设备的电子产品码EPC。

结合第七方面或以上第七方面的任意一种可能的实现方式，在第七方面的第十种可能的实现方式中，3GPP网络用户标识包括标签设备的用户隐藏标识SUCI或用户永久标识SUPI。

第八方面，提供了一种通信装置，该通信装置可以是标签设备或标签设备中的部件。该装置包括：通信单元，用于在接收标签触发信号后，发送核心网交互消息；核心网交互消息用于标签设备与核心网网元进行消息交互。

结合第八方面，在第八方面的第一种可能的实现方式中，核心网交互消息可以包括以下任意一项：注册消息；或者，去注册消息；或者，会话建立请求消息；或者，会话修改请求消息；或者，会话删除请求消息；或者，服务请求消息；或者，标签数据发送消息；注册消息用于在核心网注册标签；去注册消息用于在核心网去注册标签；会话建立请求消息用于为标签建立会话；会话修改请求消息用于为标签修改会话；会话删除请求消息用于为标签删除会话；服务请求消息用于为标签请求服务；标签数据发送消息用于发送标签数据，标签数据可以是传感器数据或者预置数据等。

结合第八方面或以上第八方面的任意一种可能的实现，在第八方面的第二种可能的实现方式中，标签触发信号用于触发盘存过程；或者，标签触发信号用于触发标签访问过程；或者，标签触发信号用于触发标签认证过程；或者，标签触发信号用于触发标签锁定过程；或者，标签触发信号用于触发标签失效过程；或者，标签触发信号用于唤醒标签设备；盘存过程是获取标签标识的过程；标签访问过程是对标签设备进行读操作或者写操作的过程；标签认证过程是对标签设备进行认证的过程；标签锁定过程是对标签设备进行锁定的过程；标签失效过程是使标签设备失效的过程；唤醒标签设备是唤醒标签设备的过程。

结合第八方面或以上第八方面的任意一种可能的实现，在第八方面的第三种可能的实现方式中，通信单元，还用于接收过滤信息；如果匹配过滤信息，发送核心网交互消息。

结合第八方面或以上第八方面的任意一种可能的实现，在第八方面的第四种可能的实现方式中，核心网交互消息携带标签标识或者会话标识；标签标识或者会话标识由盘存过程或者标签访问过程获得；盘存过程是获取标签标识的过程；标签访问过程是对标签设备进行读操作或者写操作的过程。

结合第八方面或以上第八方面的任意一种可能的实现，在第八方面的第五种可能的实现方式中，标签触发信号为以下任意一项：选择Select命令、挑战Challenge命令、查询Query命令、读Read命令、写Write命令、失效Kill命令、锁定Lock命令、唤醒命令。

结合第八方面或以上第八方面的任意一种可能的实现，在第八方面的第六种可能的实现方式中，核心网交互消息是非接入层NAS消息。

第九方面，提供了一种通信装置，包括至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合；所述存储器，用于存储计算机程序；

所述至少一个处理器，用于执行所述存储器中存储的计算机程序，以使得所述装置执行如上述第一方面以及第一方面任意一种实现方式所述的方法。

第十方面，提供了一种通信装置，包括至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合；所述存储器，用于存储计算机程序；

所述至少一个处理器，用于执行所述存储器中存储的计算机程序，以使得所述装置执行如上述第二方面以及第二方面任意一种实现方式所述的方法。

第十一方面，提供了一种通信装置，包括至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合；所述存储器，用于存储计算机程序；

所述至少一个处理器，用于执行所述存储器中存储的计算机程序，以使得所述装置执行如上述第三方面以及第三方面任意一种实现方式所述的方法。

第十二方面，提供了一种通信装置，包括至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合；所述存储器，用于存储计算机程序；

所述至少一个处理器，用于执行所述存储器中存储的计算机程序，以使得所述装置执行如上述第四方面以及第四方面任意一种实现方式所述的方法。

第十三方面，提供了一种计算机可读存储介质，包括：计算机可读存储介质中存储有指令；当计算机可读存储介质在上述第五方面以及第五方面任意一种实现方式所述的通信装置上运行时，使得通信装置执行如上述第一方面以及第一方面任意一种实现方式所述的鉴权方法。

或，当计算机可读存储介质在上述第六方面以及第六方面任意一种实现方式所述的通信装置上运行时，使得通信装置执行如上述第二方面以及第二方面任意一种实现方式所述的鉴权方法。

或，当计算机可读存储介质在上述第七方面以及第七方面任意一种实现方式所述的通信装置上运行时，使得通信装置执行如上述第三方面以及第三方面任意一种实现方式所述的鉴权方法。

或，当计算机可读存储介质在上述第八方面以及第八方面任意一种实现方式所述的通信装置上运行时，使得通信装置执行如上述第四方面以及第四方面任意一种实现方式所述的方法。

第十四方面，提供了一种无线通信装置，该通信装置包括处理器，例如，应用于通信装置中，用于实现上述第一方面以及第一方面任意一种实现方式所述的方法，或，上述第二方面以及第二方面任意一种实现方式所述的方法，或上述第三方面以及第三方面任意一种实现方式所述的方法，或上述第四方面以及第四方面任意一种实现方式所述的方法。该通信装置例如可以是芯片系统。在一种可行的实现方式中，所述芯片系统还包括存储器，所述存储器，用于保存实现上述第一方面或第二方面或第三方面或第四方面所述方法的功能必要的程序指令和数据。

上述方面中的芯片系统可以是片上系统(system on chip，SOC)，也可以是基带芯片等，其中基带芯片可以包括处理器、信道编码器、数字信号处理器、调制解调器和接口模块等。

第十五方面，提供了一种通信系统，所述通信系统包括上述任意一种实现方式所述的接入网设备、上述任意一种实现方式所述的标签汇聚网元、上述任意一种实现方式所述的接入移动管理网元以及上述任意一种实现方式所述的标签设备。

附图说明

图1为本申请实施例提供的通信系统的架构图；

图2为本申请实施例提供的RFID系统的架构图；

图3为本申请实施例提供的UWB系统的架构图；

图4为本申请实施例提供的标签和解读器的交互流程示意图；

图5为本申请实施例提供的另一种通信系统架构图；

图6为本申请实施例提供的通信系统适用的协议栈示意图；

图7a为本申请实施例提供的通信装置的结构框图；

图7b为本申请实施例提供的通信装置的另一结构框图；

图8a为本申请实施例提供的鉴权方法的流程示意图；

图8b为本申请实施例提供的鉴权方法的另一流程示意图；

图9为本申请实施例提供的RFID tag安全认证的流程示意图；

图10为本申请实施例提供的UWB tag安全认证的流程示意图；

图11为本申请实施例提供的通信方法的流程示意图；

图12～图13为本申请实施例提供的通信装置的另一结构框图。

具体实施方式

第三代合作伙伴计划(3rd generation partnership project，3GPP)通信系统支持标签设备(tag)和3GPP核心网之间采用非3GPP技术互连互通。参考图1，相对于3GPP的系统架构新增安全网元，通过新增的安全网元对标签设备进行安全认证。认证通过后，该网元允许标签设备和3GPP核心网之间采用非3GPP技术互连互通。其中，非3GPP技术可以是无线保真(wireless fidelity，Wi-Fi)、全球微波互联接入(worldwide interoperability for microwave access，WiMAX)、码分多址(code division multiple access，CDMA)网络等。

图1所示的通信系统架构包含的网络功能和实体主要有：终端设备、接入网设备、用户面功能网元、数据网络、接入和移动性管理功能网元、会话管理功能网元、策略控制功能网元、应用功能网元、认证服务功能网元和统一数据库功能网元。图中展示了网络功能实体之间的交互关系以及对应的接口，例如，UE(终端设备)和AMF(接入和移动性管理功能网元)之间可以通过N1接口进行交互，其他网络功能实体之间的交互类似，不再赘述。

终端设备：终端设备可以通过3GPP接入技术或非3GPP接入技术接入3GPP核心网。在此场景下，终端设备可以为用户设备(user equipment，UE)、手持终端、笔记本电脑、用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant，PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptop computer)、无绳电话(cordless phone)或者无线本地环路(wireless local loop，WLL)台、机器类型通信(machine type communication，MTC)终端或是其他可以接入网络的设备。终端设备与接入网设备之间采用某种空口技术相互通信。

接入网(radio access network，RAN)设备：主要负责空口侧的无线资源管理、服务质量(quality of service，QoS)管理、数据压缩和加密等功能。所述接入网设备可以包括各种形式的基站，例如：宏基站，微基站(也称为小站)，中继站，接入点等。在采用不同的无线接入技术的系统中，具备基站功能的设备的名称可能会有所不同，例如，在第五代(5th generation，5G)系统中，称为gNB；在LTE系统中，称为演进的节点B(evolved NodeB，eNB或者eNodeB)；在第三代(3rd generation，3G)系统中，称为节点B(Node B)等。

接入和移动性管理功能(access and mobility management function，AMF)网元：属于核心网网元，主要负责信令处理部分，例如：接入控制、移动性管理、附着与去附着以及网关选择等功能。AMF网元为终端设备中的会话提供服务的情况下，会为该会话提供控制面的存储资源，以及存储会话标识、与会话标识关联的SMF网元标识等。

非3GPP接入互通功能(non-3GPP access interworking function)：该网元允许终端设备和3GPP核心网之间采用非3GPP技术互连互通，其中非3GPP技术例如：无线保真(wirelessfidelity，Wi-Fi)、全球微波互联接入(worldwide interoperability for microwave access，WiMAX)、码分多址(code division multiple access，CDMA)网络等，相对于可信的非3GPP接入网设备可以直接接入3GPP核心网，该网元需要通过安全网关建立的安全隧道来与3GPP核心网互连互通，其中安全网关例如：演进型分组数据网关(evolved packet data gateway，ePDG)、受信任的非3GPP网关功能(trusted Non-3GPP gateway function，TNGF)或者非3GPP互通功能(Non-3GPP interworking function，N3IWF)。

会话管理功能(session management function，SMF)网元：负责用户面网元选择，用户面网元重定向，因特网协议(internet protocol，IP)地址分配，承载的建立、修改和释放以及QoS控制。

用户面功能(user plane function，UPF)网元：负责终端设备中用户数据的转发和接收。可以从数据网络接收用户数据，通过接入网设备传输给终端设备；UPF网元还可以通过接入网设备从终端设备接收用户数据，转发到数据网络。UPF网元中为终端设备提供服务的传输资源和调度功能由SMF网元管理控制的。

策略控制功能(policy control function，PCF)网元：主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略相关的用户签约信息。

认证服务功能(authentication server function，AUSF)网元：主要提供认证功能，支持3GPP接入和Non-3GPP接入的认证，具体可参考3GPP TS 33.501。

网络开放功能(Network Exposure Function，NEF)网元：主要支持3GPP网络和第三方应用安全的交互，NEF能够安全的向第三方暴露网络能力和事件，用于加强或者改善应用服务质量，3GPP网络同样可以安全的从第三方获取相关数据，用以增强网络的智能决策；同时该网元支持从统一数据库恢复结构化数据或者向统一数据库中存储结构化数据。

统一数据库功能(unified data repository，UDR)网元/统一数据管理(unified data management/UDM)网元：主要负责存储结构化数据，存储的内容包括签约数据和策略数据、对外暴露的结构化数据和应用相关的数据。

应用功能(application function，AF)网元：主要支持与3GPP核心网交互来提供服务，例如影响数据路由决策，策略控制功能或者向网络侧提供第三方的一些服务。

应理解，上述网元或者功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。可选的，上述网元或者功能可以由一个设备实现，也可以由多个设备共同实现，还可以是一个设备内的一个功能模块，本申请实施例对此不作具体限定。尽管未示出，图1所示系统还可以包括其他功能网元，本申请实施例对此不做限制。

以下结合附图介绍两种标签设备：RFID标签和UWB标签。

(1)RFID标签还可以称为感应式电子晶片、近接卡、感应卡、非接触卡、电子标签或电子条码等。参考图2，RFID系统主要包含：RFID Tag、Reader(解读器)、中间件以及其他后端应用系统。RFID Tag进入磁场后，接收Reader发出的射频信号，RFID Tag发送RFID Tag芯片中的产品信息，Reader读取信息并解码后，送至中央信息系统或后台应用系统进行数据处理。这种RFID Tag可以称为Passive Tag(无源标签或被动标签)。

或者，RFID Tag主动发送特定频率的信号，Reader读取信号并解码后，送至中央信息系统或后台应用系统进行数据处理。这种RFID Tag称为Active Tag(有源标签或主动标签)。

(2)参考图3，UWB系统主要包含：UWB标签(或UWB终端)、UWB基站以及定位服务器，其中，UWB标签可以称为tag，UWB基站可以称为reader。UWB是一种无载波通信技术，利用纳秒至微微秒级的非正弦波窄脉冲传输数据。可以在较宽的频谱上传送极低功率的信号，例如，UWB基站和UWB标签之间可以在10米左右的范围内实现数百Mbit/s至数Gbit/s的数据传输速率。

图4为Tag(标签)和Reader(解读器)的交互流程示意图，具体包括：

S1、Reader先向RFID Tag发送激励信号，使得Tag获取能量。

S2、Reader使用Select(选择)命令选中符合条件的标签，

S3、Tag和Reader之间使用Inventory(盘存)系列命令协商本次通信(盘存)的通信参数。

其中，Inventory系列命令包括Query(查询)、QueryRep(查询响应)、确认应答(acknowledgement，ACK)和否定应答(negative acknowledgement，NACK)等，通信参数可以是数据传输速率、编码方式等。

S4、Tag和Reader之间使用Access(接入)系列命令进行安全认证以及具体的读写操作。

其中，Access系列命令包括Authenticate(认证)命令、AuthComm命令、SecureComm命令、KeyUpdate命令、Read命令和Wirte命令等。具体地，Authenticate用于Tag和Reader之间的双向认证，完成安全认证流程后，利用KeyUpdate、Read和Wirte等指令执行具体的读写操作。

为了实现对多种标签的统一网络管理，可以将Reader融合在网络侧，通过网络侧融合的与Reader功能一致的功能模块或网元与标签设备进行通信交互。一种可能的实现方式中，在接入网设备部署标签接入功能模块以及标签融合功能模块，在核心网侧部署标签汇聚功能模块(或标签汇聚网元)。其中，标签接入功能模块负责与标签设备进行交互；标签代理功能模块用于为标签设备代建设备粒度的非接入层(non-access stratum，NAS)连接，以便在后续的安全认证流程中通过NAS消息传递相关的认证信息。

或者也可以将Reader部署在终端设备中，本申请实施例中，是以Reader部署在接入网设备中为例进行说明，应理解，当Reader部署在终端设备中时，可以由终端设备执行本申请实施例中接入网设备所执行的功能。Reader可以称为读写器，也可以称为读写器设备。

或者接入网设备也可以直接作为读写器设备，或者终端设备也可以直接作为读写器设备。

图5是本申请实施例提供的另一种通信系统架构图。其中，标签设备可以通过3GPP接入技术接入核心网。例如，标签设备通过RAN接入核心网，RAN包括标签接入功能模块和标签代理功能模块。标签设备也可以通过非3GPP接入技术接入核心网。例如，图5所示的架构中，标签设备可以采用非3GPP接入技术通过N3IWF或TNGF接入核心网。N3IWF或TNGF也可以包括标签接入功能模块和标签代理功能模块。示例性的，通过N3IWF网元接入核心网时，可以建立安全隧道，通过TNGF网元接入核心网时，可以不建立安全隧道。上述非3GPP技术可以是无线保真(wireless fidelity，Wi-Fi)技术、全球微波互联接入(worldwide interoperability for microwave access，WiMAX)技术、码分多址(code division multiple access，CDMA)网络技术等。

需要说明的是，标签接入功能模块可以和标签设备进行通信，还可以与标签代理功能模块进行通信；标签代理功能模块可以和标签汇聚网元(还可以称为标签汇聚功能模块)进行通信。

图5以RAN节点包括微型射频拉远模块(pico remote radio unit，pRRU)和基带单元(baseband Unit，BBU)为例。示例性的，RFID Reader的射频模块与pRRU共部署，或者直接融合到pRRU上。RFID Reader的上层功能模块RFID-L和RFID-H分别部署到BBU和核心网中。UWB基站的射频模块与pRRU共部署，或者直接融合到pRRU上。UWB基站的上层功能模块UWB-L和UWB-H分别部署到BBU和核心网中。其中，RFID-L、UWB-L可以称为标签接入功能模块，RFID-H、UWB-H可以称为标签汇聚网元。此外，标签代理功能模块可以称为uni-AGF。上述模块的具体功能说明如下：

(1)RFID-L：包括介质访问控制(media access control，MAC)协议层，负责与RFID标签进行交互；RFID-L还可以包括底层读写器协议(low level reader protocol，LLRP)协议层，负责接收RFID-H的高层命令，并转换成相应的空口操作。

(2)RFID-H：包括协议适配层(protocol adaptation layer，PAL)，负责和RFID-L进行交互，具体可以使用LLRP协议；还可以包括应用层事件(application level events ALE)协议层，负责接收后端服务器的服务调用，并转换成具体的高层命令，通过LLRP协议发送给RFID-L。

(3)UWB-L：包括MAC协议层，负责与UWB标签进行交互；还可以包括PAL协议层，负责接收UWB-H的高层命令，并转换成相应的空口操作。

(4)UWB-H：包括PAL协议层，负责与UWB-L进行交互；UWB-H还负责网络配置和消息路由等高层功能。

需要说明的是，因为UWB/RFID标签并不具备完整的UE协议栈，所以BBU使用统一接入网关功能模块(unified access gateway function，Uni-AGF)为标签设备代建标签粒度的NAS连接。UWB应用服务器或RFID应用服务器部署于企业数据中心或者私有云中。

前文仅以RFID、UWB作为示例介绍各个功能模块的部署，图5所示的架构适用于其他标签设备的融合管理，本申请实施例对此不作限制。其中，RFID-L、UWB-L可以认为是本申请实施例所述的标签接入功能模块；RFID-H、UWB-H可以认为是本申请实施例所述的标签汇聚网元(或称为标签汇聚功能模块)；Uni-AGF可以认为是本申请实施例所述的标签代理功能模块。

图6是图5所示通信系统适用的协议栈。其中Uni-AGF负责为每个标签设备(例如，RFID标签或UWB标签)代建NAS连接，构建的控制面通道为“Tag<-->RFID-L<-->Uni-AGF<-->AMF”，或者，Tag<-->UWB-L<-->Uni-AGF<-->AMF。另外RFID-H与RFID-L(或者UWB-H与UWB-L)进行设备级通讯时，如完成基本设备配置，可以跳过Uni-AGF。图6以RFID标签、UWB标签为例，介绍了标签设备(tag)、标签接入功能模块、标签代理功能模块、AMF、标签汇聚网元以及应用服务器之间进行通信的协议栈。其中，在RFID中，标签设备为RFID tag，标签接入功能模块为RFID-L，标签代理功能模块为Uni-AGF，标签汇聚网元为RFID-H。在UWB中，标签设备为UWB tag，标签接入功能模块为UWB-L，标签代理功能模块为Uni-AGF，标签汇聚网元为UWB-H。

需要说明的是，RFID-H可以独立部署，也集成在其他核心网网元中。当RFID-H集成在AMF上时，RFID-H与AMF之间通过内部接口进行消息交互。UWB-H可以独立部署，也集成在其他核心网网元中。当UWB-H集成在AMF上时，UWB-H与AMF之间通过内部接口进行消息交互。

目前缺乏统一的认证流程对融合场景下标签设备进行安全认证，各个厂商对标签设备的安全认证流程差异巨大，大大增加了融合管理的复杂性。本申请实施例提供一种鉴权方法，接入网设备可以获取标签设备的标识，根据所述标签设备的标识确定第三代合作伙伴计划3GPP网络用户标识，向接入移动管理网元发送第一消息，所述第一消息包括所述3GPP网络用户标识，用于认证所述标签设备。通过本申请实施例提供的鉴权方法可以实现对不同标签设备的鉴权认证，支持多种标签进行统一网络管理的同时，提供统一的认证流程对标签设备进行安全认证，降低了融合管理的复杂性。

本申请实施例所述的网元，可以通过图7a中的通信装置710来实现。图7a所示为本申请实施例提供的通信装置710的硬件结构示意图。该通信装置710包括处理器7101以及至少一个通信接口(图7a中仅是示例性的以包括通信接口7103为例进行说明)，可选的，还包括存储器7102。其中，处理器7101、存储器7102以及通信接口7103之间互相连接。

处理器7101可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

通信接口7103，使用任何收发器一类的装置，用于与其他设备或通信网络进行通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)等。

存储器7102可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，也可以与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器7102用于存储执行本申请方案的计算机执行指令，并由处理器7101来控制执行。处理器7101用于执行存储器7102中存储的计算机执行指令，从而实现本申请下述实施例提供的意图处理方法。

可选的，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。

在具体实现中，作为一种实施例，处理器7101可以包括一个或多个CPU，例如图7a中的CPU0和CPU1。

在具体实现中，作为一种实施例，通信装置710可以包括多个处理器，例如图7a中的处理器7101和处理器7106。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，通信装置710还可以包括输出设备7104和输入设备7105。输出设备7104和处理器7101通信，可以以多种方式来显示信息。例如，输出设备7104可以是液晶显示器(liquid crystal display，LCD)，发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备7105和处理器7101通信，可以以多种方式接收用户的输入。例如，输入设备7105可以是鼠标、键盘、触摸屏设备或传感设备等。

上述的通信装置710可以是一个通用设备或者是一个专用设备。在具体实现中，通信装置710可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digital assistant，PDA)、移动手机、平板电脑、无线终端装置、嵌入式设备或有图7a中类似结构的设备。本申请实施例不限定通信装置710的类型。

需要说明的是，通信装置710可以是终端整机，也可以是实现终端上的功能部件或组件，也可以是通信芯片，例如基带芯片等。通信装置710是终端整机时，通信接口可以是射频模块。当通信装置710为通信芯片，通信接口7103可以是该芯片的输入输出接口电路，输入输出接口电路用于读入和输出基带信号。

本申请实施例所述的网元还可以通过图7b所示的通信装置来实现。参考图7b，通信装置包括至少一个处理器7201、至少一个收发器7203、至少一个网络接口7204和一个或多个天线7205。可选的，还包括至少一个存储器7202。处理器7201、存储器7202、收发器7203和网络接口7204相连，例如通过总线相连。天线7205与收发器7203相连。网络接口7204用于通信装置通过通信链路与其它通信装置相连，例如通信装置通过S1接口与核心网网元相连。在本申请实施例中，所述连接可包括各类接口、传输线或总线等，本实施例对此不做限定。

本申请实施例中的处理器，例如处理器7201，可以包括如下至少一种类型：通用中央处理器(central processing unit，CPU)、数字信号处理器(digital signal processor，DSP)、微处理器、特定应用集成电路专用集成电路(application-specific integrated circuit，ASIC)、微控制器(microcontroller unit，MCU)、现场可编程门阵列(field programmable gate array，FPGA)、或者用于实现逻辑运算的集成电路。例如，处理器7201可以是一个单核(single-CPU)处理器或多核(multi-CPU)处理器。至少一个处理器7201可以是集成在一个芯片中或位于多个不同的芯片上。

本申请实施例中的存储器，例如存储器7202，可以包括如下至少一种类型：只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是EEPROM。在某些场景下，存储器还可以是只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

存储器7202可以是独立存在，与处理器7201相连。可选的，存储器7202也可以和处理器7201集成在一起，例如集成在一个芯片之内。其中，存储器7202能够存储执行本申请实施例的技术方案的程序代码，并由处理器7201来控制执行，被执行的各类计算机程序代码也可被视为是处理器7201的驱动程序。例如，处理器7201用于执行存储器7202中存储的计算机程序代码，从而实现本申请实施例中的技术方案。

收发器7203可以用于支持通信装置与其他网元之间射频信号的接收或者发送，收发器7203可以与天线7205相连。具体地，一个或多个天线7205可以接收射频信号，该收发器7203可以用于从天线接收所述射频信号，并将射频信号转换为数字基带信号或数字中频信号，并将该数字基带信号或数字中频信号提供给所述处理器7201，以便处理器7201对该数字基带信号或数字中频信号做进一步的处理，例如解调处理和译码处理。此外，收发器7203可以用于从处理器7201接收经过调制的数字基带信号或数字中频信号，并将该经过调制的数字基带信号或数字中频信号转换为射频信号，并通过一个或多个天线7205发送所述射频信号。具体地，收发器7203可以选择性地对射频信号进行一级或多级下混频处理和模数转换处理以得到数字基带信号或数字中频信号，所述下混频处理和模数转换处理的先后顺序是可调整的。收发器7203可以选择性地对经过调制的数字基带信号或数字中频信号时进行一级或多级上混频处理和数模转换处理以得到射频信号，所述上混频处理和数模转换处理的先后顺序是可调整的。数字基带信号和数字中频信号可以统称为数字信号。收发器可以称为收发电路、收发单元、收发器件、发送电路、发送单元或者发送器件等等。

需要说明的是，通信装置720可以是通信装置整机，也可以是实现通信装置功能的部件或组件，也可以是通信芯片。当通信装置720为通信芯片，收发器7203可以是该芯片的接口电路，该接口电路用于读入和输出基带信号。

本申请实施例提供一种鉴权方法，如图8a所示，所述方法包括以下步骤：

801、接入网设备获取标签设备的标识，根据所述标签设备的标识确定第三代合作伙伴计划3GPP网络用户标识。

其中，标签设备是一种新类型的终端设备，标签设备可以通过无线的方式接入接入网设备。例如，标签设备可以通过Wi-Fi、WiMAX、CDMA网络、EPC Gen2超高频(ultra high frequency，UHF)等非3GPP技术接入接入网设备；或者，标签设备通过与接入网设备之间的NR空口模拟非3GPP接入技术链路接入接入网设备；或者标签设备通过NR空口接入接入网设备。需要说明的是，标签设备并不限制设备形态是标签，可以是任意形态的终端设备。

示例性的，接入网设备向标签设备发送消息，请求标签设备发送标签设备的标识。或者，接入网设备接收标签设备主动上报的标识。

其中，标签设备的标识可以是与3GPP网络用户标识相同的标识，也可以是与3GPP网络用户标识不同的标识。

以标签设备的标识是与3GPP网络用户标识不同的标识为例，所述标签设备的标识包括所述标签设备的MAC地址或所述标签设备的秘密标识(secret identifier，SID)或所述标签设备的电子产品码(electronic product code，EPC)。例如，当标签设备为RFID tag，标签设备的标识可以是SID或EPC，当标签设备为UWB tag，标签设备的标识可以是MAC地址。

一种可能的实现方式中，标签设备的3GPP网络用户标识包括所述标签设备的用户隐藏标识(subscription concealed identifier，SUCI)。接入网设备可以根据标签设备的标识确定SUCI，或者，根据标签设备的标识确定(Subscription Permanent Identifier，SUPI)，根据SUPI确定SUCI，后续可以利用SUCI对所述标签设备进行安全认证。

另一种可能的实现方式中，标签设备的3GPP网络用户标识包括SUPI。示例性的，接入网设备根据标签设备的标识确定SUPI，后续可以将SUPI上报给接入移动管理网元，以便基于SUPI对标签设备进行安全认证。在这种实现方式中，标签设备的3GPP网络用户标识可以为SUPI。

以标签设备的标识是与3GPP网络用户标识相同的标识为例，标签设备的标识可以包括SUCI或SUPI。

示例性的，接入网设备可以通过盘存过程或者标签访问过程获取标签设备的标识。

其中，盘存过程可以是获取标签标识的过程，标签访问过程可以是对标签设备进行读操作或者写操作的过程。

具体实现中，所述接入网设备可以包括：标签接入功能模块以及标签代理功能模块。

所述标签接入功能模块可以获取所述标签设备的标识，并向所述标签代理功能模块发送所述标签设备的标识。所述标签代理功能模块从根据所述标签设备的标识确定所述3GPP 网络用户标识。

802、所述接入网设备向接入移动管理网元发送第一消息，所述第一消息包括所述3GPP网络用户标识，所述3GPP网络用户标识用于认证所述标签设备。

其中，接入移动管理网元可以是前文所述的接入和移动性管理功能。例如，可以是前文所述的AMF。接入网设备根据标签设备的标识确定3GPP网络用户标识后，通过第一消息向接入移动管理网元发送所述标签设备的3GPP网络用户标识，用于对所述标签设备进行安全认证。

示例性的，所述第一消息用于请求为所述标签设备建立NAS连接，后续通过NAS消息传输与所述标签设备的安全认证相关的信息，例如，所述标签设备的3GPP网络用户标识。一种可能的实现方式中，所述第一消息初始UE消息(initial UE message)。

一种可能的实现方式中，所述第一消息还包括类型信息，所述类型信息用于指示所述标签设备的类型。示例的，所述第一消息包括“RFID indicator”，指示核心网为RFID标签建立NAS连接。

一种可能的实现方式中，在所述接入网设备包括标签接入功能模块以及标签代理功能模块的场景中，标签代理功能模块确定所述标签设备的3GPP网络用户标识后，向所述接入移动管理网元发送所述第一消息。

803、接入移动管理网元从接入网设备接收第一消息，向认证设备发送所述3GPP网络用户标识，所述3GPP网络用户标识用于认证所述标签设备。

示例性的，接入移动管理网元从第一消息中获取所述标签设备的3GPP网络用户标识，选择认证设备对所述标签设备进行安全认证(或鉴权)。例如，向所述认证设备发送所述标签设备的3GPP网络用户标识，以便认证设备根据标签设备的3GPP网络用户标识对该标签设备进行鉴权。

804、认证设备可以根据所述标签设备的3GPP网络用户标识对所述标签设备进行鉴权。

接入移动管理网元选择认证设备后，就建立了“标签设备<->接入网设备<->接入移动管理网元<->认证设备”的通路。后续可以利用上述通路完成认证相关信令的交互，实现对标签设备的安全认证。其中，认证设备可以是前文所述的AUSF或UDM。认证设备可以根据标签设备的3GPP网络用户标识对标签设备进行认证，认证通过后，认证设备还可以存储标签设备的3GPP网络用户标识。一种可能的实现方式中，认证设备包括AUSF和UDM，AUSF和UDM协作完成对标签设备的认证。或者，认证设备包括AUSF和第三方的认证、授权和计费功能(authentication,authorization,and accounting，AAA)服务器，AUSF和AAA服务器协作完成对标签设备的认证。

一种可能的实现方式中，认证设备还可以从第一消息中获取所述标签设备的类型信息，可以根据所述标签设备的类型信息选择与所述标签设备相匹配的认证方法对所述标签设备进行安全认证。

示例的，所述第一消息包括的类型信息为“RFID indicator”，则认证设备可以选择RFID标准化或者厂商自定义的认证方法。

805、认证设备通过接入移动管理网元向接入网设备发送标签设备的鉴权结果。相应的，接入网设备通过接入移动管理网元接收标签设备的鉴权结果。

其中，鉴权结果用于指示该标签设备是否通过安全认证或鉴权，鉴权结果还可以称为安全认证结果、认证结果等，本申请实施例对此不做限制。

需要说明的是，步骤801～805提供了统一的认证流程对不同标签进行安全认证。在进行安全认证之前，网络侧还可以向接入网设备配置与标签设备相关的参数。示例性的，网络侧部署的标签汇聚网元向接入移动管理网元发送与标签设备相关的参数，与标签设备相关的参数具体包括以下至少一项：协议参数、通信参数或接入参数。

其中，所述协议参数用于指示所述接入网设备与所述标签设备之间的通信协议和/或所述接入网设备与标签汇聚网元之间的通信协议；示例的，协议参数可以包括协议版本信息，例如，可以是标签汇聚网元支持的协议版本。

所述通信参数用于支持所述接入网设备配置与所述标签设备之间进行通信所用的数据传输速率和/或解码方式；可以理解的是，通过所述通信参数指示接入网设备配置与标签设备相关的运行参数，支持接入网设备与标签设备、标签汇聚网元之间进行通信。

所述接入参数用于所述接入网设备配置标签设备接入事件的规则；所述标签设备接入事件的规则包括以下至少一项：所述标签设备接入事件的触发时间、所述标签设备接入事件的周期或所述标签设备接入事件对应的标签设备数量。

其中，标签设备接入事件可以是指对标签进行读操作，或者写操作，或者失效操作，或者对标签进行盘存操作。

其中，读操作可以读取标签设备存储的信息，例如传感器信息等，失效操作指的是设置标签临时不能使用或者永久不能使用的操作；盘存操作指的是获取标签标识的操作，标签设备接入，也可以称为标签设备访问。

接入移动管理网元从标签汇聚网元接收与标签设备相关的参数后，根据接收到的参数封装第二消息，向接入网设备发送第二消息。

接入网设备从接入移动管理网元接收第二消息后，还可以根据第二消息中的参数完成本地配置。例如，根据所述第二消息中的协议参数确定接入网设备与所述标签设备之间的通信协议，和/或，根据所述第二消息中的协议参数确定所述接入网设备与所述标签汇聚网元之间的通信协议。

接入网设备还可以根据所述第二消息中的通信参数配置与所述标签设备之间进行通信所用的数据传输速率和/或解码方式。

接入网设备还可以根据所述第二消息中的接入参数配置所述标签设备接入事件的规则。

需要说明的是，在所述接入网设备包括标签接入功能模块以及标签代理功能模块的场景中，标签接入功能模块从接入移动管理网元接收第二消息，并根据第二消息中的参数完成配置。

一种可能的实现方式中，网络侧向接入网设备配置与标签设备相关的参数之前，标签汇聚网元还可以向所述接入移动管理网元订阅与标签设备相关的消息。所述接入移动管理网元接收到其他网元发送的消息后，可以根据标签汇聚网元的订阅将与标签设备相关的消息路由至标签汇聚网元，或者，将与某一种或几种类型标签设备相关的消息路由至标签汇聚网元。

图8a所示的方法中，接入网设备可以在获取标签设备的信息后确定标签设备的3GPP 网络用户标识，还可以向接入移动管理网元发送标签设备的3GPP网络用户标识，以便接入移动管理网元将标签设备的3GPP网络用户标识发送给认证设备对标签设备进行认证，可以利用统一的认证流程对不同的标签设备进行认证。支持多种标签进行统一网络管理的同时，提供统一的认证流程对标签设备进行安全认证，降低了融合管理的复杂性。

示例的，参考图8b，本申请实施例提供的鉴权方法还包括步骤800：

800、接入移动管理网元从标签汇聚网元接收第三消息，所述第三消息用于所述标签汇聚网元向所述接入移动管理网元订阅与标签设备相关的消息。

其中，标签汇聚网元可以是独立部署的核心网网元，也可以集成在其他网元中。例如，集成在用户面功能网元、或者接入移动管理网元、或者会话管理网元、或者网络开放网元、或者服务器、或者物联网平台。当标签汇聚网元集成在用户面功能网元、或者接入移动管理网元、或者会话管理网元、或者网络开放网元、或者服务器、或者物联网平台上时，标签汇聚网元可以与其集成的网元之间通过内部接口进行消息交互。

一种可能的实现方式中，所述第三消息包括消息类型，所述消息类型指示所述与标签设备相关的消息。示例的，所述第三消息包括消息类型“RFID”，指示所述接入移动管理网元将与RFID标签相关的消息路由至标签汇聚网元。或者，所述第三消息包括消息类型“UWB”，指示所述接入移动管理网元将与UWB标签相关的消息路由至标签汇聚网元。

当接入网设备(或接入网设备包括的标签接入网元)根据接收到的第二消息完成配置，可以向所述接入移动管理网元发送响应消息。所述接入移动管理网元接收所述响应消息，判断响应消息是与标签设备相关的消息，则将响应消息路由至标签汇聚网元。

一种可能的实现方式中，当根据步骤801～805完成标签设备的安全认证后，标签设备和接入网设备之间可以进行安全的通信操作。

示例的，标签汇聚网元首先判断标签设备是否通过安全认证；若确定所述标签设备通过安全认证，所述标签汇聚网元则向接入网设备发送操作指令；所述操作指令用于指示所述接入网设备执行与标签设备之间的通信操作。

例如，标签汇聚网元可以通过接入移动管理网元向接入网设备发送操作指令。所述操作指令可以是图4所示流程中，Tag和Reader之间的Access系列命令。示例的，可以是Access系列命令中的“KeyUpdate”命令、“Read”命令或“Write”等命令。

一种可能的实现方式中，所述标签汇聚网元判断标签设备是否通过安全认证，包括：若根据所述标签设备的标识从认证设备获取所述标签设备的标识对应的3GPP网络用户标识，则确定所述标签设备通过安全认证。

示例性的，标签汇聚网元从AF获取标签设备的标识，根据标签设备的标识向认证设备查询与标签设备的标识对应的3GPP网络用户标识。若认证设备中存储有标签设备的标识对应的3GPP网络用户标识，则表明标签设备已通过安全认证。其中，标签设备的标识对应的3GPP网络用户标识即根据标签设备的标识确定的3GPP网络用户标识，例如，根据标签设备的SID确定的SUPI。

在接入网设备包括标签接入功能模块和标签代理功能模块的场景下，标签代理功能模块通过接入移动管理网元接收标签汇聚网元发送的操作指令。标签代理功能模块还可以通过与标签接入功能模块之间的内部接口向标签接入功能模块发送操作指令，由标签接入功能模块触发与标签设备之间的通信操作。例如，标签接入功能模块向标签设备发送 “KeyUpdate”命令，指示标签设备更新密钥。“KeyUpdate”命令可以是图4所示流程中，Tag和Reader之间使用Access系列命令中的“KeyUpdate”命令。

一种可能的实现方式中，标签代理功能模块还可以维护标签接入功能模块的标识、标签设备的以及所述标签设备的3GPP网络用户标识之间的对应关系。当标签代理功能模块对应多个标签接入功能模块，可以根据维护的对应关系将接收到的操作指令路由至相应的标签接入功能模块。

示例性的，所述标签代理功能模块生成第一信息，所述第一信息用于指示所述标签设备的标识、所述标签接入功能模块的标识以及所述3GPP网络用户标识之间的对应关系。

所述标签代理功能模块还可以根据所述第一信息寻址所述标签接入功能模块。例如，所述标签代理功能模块从标签融合网元接收操作指令，根据所述第一信息寻址到相应的标签接入功能模块，将操作指令路由至该标签接入功能模块。示例的，标签代理功能网元接收承载操作指令的NAS消息后，根据NAS连接和SUPI/SUCI的对应关系，确定SUPI/SUCI。还可以根据SUPI/SUCI以及第一信息指示的对应关系，确定对应的标签接入功能模块，将操作指令发送给该标签接入功能模块，从而可以由该标签接入功能模块将操作指令下发给相应的标签设备。

一种可能的实现方式中，若标签融合网元根据所述标签设备的标识从认证设备未获取所述标签设备的标识对应的第三代合作伙伴计划3GPP网络用户标识，则确定所述标签设备未通过安全认证。则进入步骤801～805，对标签设备进行安全认证。在对标签设备进行安全认证之前，标签汇聚网元还可以向接入网设备配置与标签设备相关的参数。具体认证过程以及参数配置过程参考前文所述，在此不做赘述。

需要说明的是，本申请实施例中与标签设备相关的流程可以分为参数配置阶段、安全认证阶段以及接入阶段。其中，参数配置阶段即标签汇聚网元还可以向接入网设备配置与标签设备相关的参数。安全认证阶段即前文所述的步骤801～805。接入阶段即标签汇聚网元向接入网设备发送操作指令，标签设备和接入网设备根据操作指令执行相应的通信操作，例如，读、写操作。

本申请实施例对上述三个阶段的执行顺序不做限制，一种可能的实现方式中执行的先后顺序是参数配置阶段、安全认证阶段以及接入阶段。另外，上述三个阶段可以择一执行，三个阶段并非缺一不可。

以下结合附图详细介绍本申请实施例提供的鉴权方法，该方法适用于图5所示的系统，可以对RFID tag进行安全认证。其中，标签设备为RFID tag，接入网设备(RAN)包括标签接入功能模块以及标签代理功能模块，其中，标签接入功能模块为RFID-L，标签代理功能模块为Uni-AGF。标签汇聚网元为RFID-H，认证设备为AUSF/UDM。接入移动管理网元为AMF。如图9所示，所述方法包括以下步骤：

900、RFID-H向AMF订阅与RFID tag相关的消息。

示例性的，RFID-H可以与RAN进行设备级通讯，即RFID-H与RAN交互的消息不是针对特定UE的。RFID-H可以通过AMF与RAN交互RFID类型的消息。示例性的，RFID-H向AMF发送服务化消息Namf_Communication_NonUeMessageTransfer，该消息包括N2消息以及表示该N2消息的类型的字段“N2inforType”，该字段“N2inforType”取值为“RFID”，表明RFID-H发送的是“RFID”类型的消息。AMF向RAN发送接收到的 N2消息。可选的，AMF还可以向RAN发送“N2inforType”字段，指示RFID-H发送“RFID”类型的消息。

RFID-H还可以通过订阅/通知的方式指示AMF将接收到的上行“RFID”类型的N2消息转发给RFID-H网元。示例性的，RFID-H网元可以通过Namf_Communication_

NonUeInfoSubscribe消息向AMF订阅“RFID”类型的消息。当AMF接收RAN侧发送的“RFID”类型的消息后，可以向RFID-H发送Namf_Communication_NonUe

InfoNotify消息，该消息包括RAN侧发送的“RFID”类型的消息。RFID-H接收该消息可以获取到RAN侧发送的“RFID”类型的消息。

示例性的，“RFID”类型的消息可以为LLRP协议的消息，即RFID-L与RFID-H之间采用LLRP协议(或者其他适配协议)进行交互。RFID-H可以通过服务化消息Namf_Communication_NonUeMessageTransfer将下行的LLRP协议消息发送给AMF，AMF再将LLRP协议消息发送给RAN(具体可以是RAN侧的RFID-L)。

需要说明的是，当RFID-H是核心网的网元，即可以明确RFID-H安全性，RFID-H可以直接与核心网的其他网元进行通信。当RFID-H作为第三方的应用，不是核心网的网元，RFID-H的安全性不确定，RFID-H网元不能直接和核心网的其他网元进行通信，需要通过网络开放功能(network exposure function，NEF)间接通讯，RFID-H发送的消息需要通过NEF网元转发至核心网的其他网元。

901、RFID-H向AMF发送RFID配置信息。

其中，RFID配置信息即前文所述的与标签设备相关的参数，包括协议参数、通信参数以及接入参数中的至少一项。协议参数、通信参数以及接入参数的说明参考前文，在此不做赘述。

示例性的，RFID-H通过服务化消息Namf_Communication_NonUeMessageTransfer向AMF传输RFID配置信息。示例性的，RFID-H可以将RFID配置信息包含在N2消息容器中发送给AMF，由AMF通过N2消息转发给RAN。

一种可能的实现方式中，RFID配置信息可以包含以下三项：

能力协商消息(即前文所述的协议参数)，用于与RFID-L协商支持的协议版本，并指示RFID-L使用协商后的协议版本。

设备配置消息(即前文所述的通信参数)，用于配置RFID-L基本的运行参数，例如，可以是数据传输速率、编码方式等。

接入参数，可以是标签接入(或盘存)操作设置信息或标签接入(或盘存)操作更新信息。可选地，接入参数用于配置RFID-L中的标签接入(或盘存)事件，以及事件的触发时间、事件的周期、触发事件的标签数量和触发事件后的报告内容。

902、AMF向RFID-L发送RFID配置信息。

示例性的，AMF接收RFID-H发送的RFID配置信息后，构建专用的N2消息“DOWNLINKNON UE ASSOCIATED RFID TRANSPORT”，向RAN发送构建的消息。RAN节点接收后将RFID配置信息转发给RFID-L。

903、RFID-L根据RFID配置信息完成配置。

示例性的，RFID-L根据接收到的RFID配置信息，完成能力协商、设备配置以及标签接入(盘存)操作的设置或更新。

904、RFID-L向AMF发送确认信息/新的RFID配置信息。

当RFID-L使用步骤902下发的RFID配置信息，则执行步骤903完成配置，在步骤904可以向AMF发送确认信息。

可选的，当RFID-L不认可步骤902下发的RFID配置信息，则可以跳过步骤903，在步骤904与RFID-H进一步协商RFID配置信息。示例性的，RFID-L构建新的RFID配置信息，向AMF发送新的RFID配置信息。例如，通过AMF转发给RFID-H专用的上行N2消息进行协商，专用的上行N2消息包含新的RFID配置信息。

905、AMF根据RFID-H的订阅向RFID-H发送确认信息/新的RFID配置信息。

如步骤900所述，RFID-H已经通过Namf_Communication_NonUeInfoSubscribe向AMF订阅RFID类型的N2消息。AMF接收到新的RFID配置信息后，对新的RFID配置信息进行封装后发送给RFID-H网元。示例性的，AMF使用Namf_Communication_

NonUeInfoNotify封装RFID配置信息后转发给RFID-H网元。

需要说明的是，若RFID-H与RAN(RFID-L)之间可以多次进行上下行信令的交互，即步骤901-905可能执行多次。另外下行信令和上行信令没有必然的对应关系，例如，步骤903中可以根据RFID配置信息完成部分配置，一次或者多次执行步骤904与RFID-H协商其他参数。

906、RFID-L获取RFID tag的SID。

需要说明的是，RFID tag和RFID-L之间可以采用SID或EPC码作为RFID tag的标识。当RFID-L通过标签识别过程(Tag Identification)获取RFID tag的SID后，触发进一步的相互认证流程，对RFID tag进行安全认证。

在相互认证流程中，RFID-L需要从核心网或者第三方获取用于相互认证的安全参数，例如，加密秘钥和/或完整保护密钥。

907、RFID-L向Uni-AGF发送RFID tag的SID。

示例性的，RFID-L通过与Uni-AGF之间的内部接口与Uni-AGF交互，触发Uni-AGF为当前认证的RFID tag建立NAS连接，用于与核心网交互对RFID tag进行安全认证。

需要说明的是，在交互过程中，Uni-AGF可以获取RFID-L的标识，RFID-L将RFID tag的SID发送给Uni-AGF。

908、Uni-AGF根据RFID tag的SID构建3GPP用户标识。该3GPP用户标识可以包括SUCI或SUPI。

一种可能的实现方式中，基于SUCI对RFID tag进行安全认证。示例性的，Uni-AGF基于RFC 7542定义的网络访问标识(network access identifier，NAI)格式使用SID构建SUPI，后续将SUPI转换成SUCI。其中，SUCI包含加密的SUPI。一种可能的实现方式中，Uni-AGF也可以直接根据SID确定SUCI。或者，可以根据EPC码构建SUCI。

另一种可能的实现方式中，基于SUPI对RFID tag进行安全认证。示例性的，在步骤906中，Uni-AGF根据RFID tag上报的标识(例如，SID或EPC码)确定SUPI，并将SUPI上报给AMF，后续可以根据SUPI对RFID tag进行安全认证。在这种实现方式中，RFID tag的3GPP网络用户标识可以为SUPI。步骤908中，AMF接收RFID-L发送的SID或EPC码，根据SID或EPC码构建SUPI。

示例性的，Uni-AGF尝试为RFID tag建立NAS连接。可选的，Uni-AGF还可以保存 RFID-L的标识、RFID tag的SID、RFID tag的SUPI(或SUCI)之间的对应关系。当前，Uni-AGF可以负责多个RFID-L，Uni-AGF可以根据保存的对应关系寻址Uni-AGF负责的一个RFID-L。

909、Uni-AGF向AMF发送NAS注册请求，NAS注册请求包括上述SUCI或SUPI。

Uni-AGF向AMF发送NAS注册请求，尝试为RFID tag建立NAS连接。后续的相互认证消息均由Uni-AGF代为转发。NAS注册请求可以是本申请实施例所述的第一消息。

需要说明的是，NAS注册请求包括所述SUCI，以便网络侧根据所述SUCI对RFID tag进行安全认证。NAS注册请求中除了携带SUCI外，还可以携带RFID tag的类型信息“RFID Indicator”。RFID Indicator用于指示被Uni-AGF代建NAS连接的设备的类型。

“RFID Indicator”可能也会影响认证流程，例如，认证设备可以根据设备的类型选择不同的认证方法、参数。以ISO 29167-19中定义的认证方法为例，RFID-L需要从数据库中(例如，UDM)获取RFID tag对应的加密秘钥和消息认证秘钥，UDM还可以根据RFID Indicator指示执行相应的认证方法。以3GPP中定义的认证方法为例，UDM中保存根秘钥，中间网元(如AMF)根据根秘钥进行衍生，并将衍生信息发送给RAN侧(RFID-L)、标签设备(RFID tag)。

910、AMF选择合适的AUSF。

AMF选择AUSF的原则同TS 23.501中的6.3.4小节。AMF选择完AUSF后，就建立了“标签<->RFID-L<->AMF<->AUSF<->UDM”之间的通路。

911、RFID tag和AUSF进行双向认证。

示例性的，AUSF和RFID tag可以基于上述通路交互认证相关的信令，完成双向认证。AUSF可以根据AMF发送的该RFID tag的3GPP用户标识(即SUCI或SUPI)对该RFID tag进行认证。

可以理解的是，设备类型不同，设备所述支持的认证方法不同，认证的流程有所不同。例如，可以使用RFID标准化或者厂商自定义的认证方法，上述通道用于传输RFID标准化或者厂商自定义的认证信令。

或者，可以使用5G网络支持的可扩展身份验证协议(extensible authentication protocol，EAP)认证方法，此时直接复用TS 33.501中定义的流程。

需要说明的是，AUSF也可以从第三方的AAA-S中获取安全参数(秘钥等)，AUSF和AAS-S使用AAA接口或者间接通过AAA-P网元进行交互。此时建立的安全认证信令交互通道为：标签<->RFIDL<->AMF<->AUSF<->AAAS，或者标签<->RFIDL<->AMF

<->AUSF<->AAAP<->AAAS。由于相关安全参数保存在第三方网元，减少了对运营商的依赖，有利于跨运营商的认证。

可选的，AUSF还可以通过AMF向RFID-L发送RFID tag的认证结果。

912、AMF将RFID tag注册到AUSF。

在此过程中，AUSF可以存储RFID tag的SID对应的SUPI。

913、AMF向Uni-AGF发送通知消息，指示RFID tag完成注册。

需要说明的是，如果上述认证过程失败或注册过程失败，则Uni-AGF结束注册流程。示例性的，如果步骤911中认证失败，RFID-L通知Uni-AGF认证结果，Uni-AGF则结束注册流程。或者，步骤913中Uni-AGF接收到AMF送的注册失败消息，Uni-AGF结束注册流程。例如，Uni-AGF可以停止NAS定时器以结束注册流程。

步骤913为可选步骤，Uni-AGF还可以通过其它方式获取RFID tag完成注册的信息。例如，Uni-AGF可以从RFID-L获取RFID tag注册成功的信息。示例性的，在步骤911中RFID-L通过AMF接收到AUSF发送的认证结果后，可以向Uni-AGF通知RFID tag是否认证成功，若认证成功则认为注册成功。

914、RFID-H生成LLRP消息，包括操作指令。

其中，LLRP消息包含接入命令，接入指令即本申请实施例所述的操作指令。操作指令是针对目标Tag要执行的接入操作，例如，可以是图4所示流程中Tag和Reader之间使用的Access系列命令。示例的，操作指令可以是指示所述RFID tag执行的“Read”命令、“Write”命令或“KeyUpdate”命令。

915、RFID-H判断RFID tag是否完成安全认证，若完成执行步骤916～步骤919，若未完成安全认证则执行步骤900～913。

示例性的，若RFID-H可以在AUSF(或UDM)中查询到RFID tag的SID对应的SUPI，则表明RFID tag已经完成安全认证。RFID-H可以通过NAS消息向RFID tag所在的RFID-L发送LLRP消息，以指示RFID tag执行接入命令，例如，“Read”命令或“Write”命令。

否则，RFID-L则触发认证流程，支持步骤900～913。可选的，步骤901中可以上报接入请求，并且在RFID tag和AUSF的相互认证完成后，自行触发接入操作，指示RFID tag执行接入命令。

可选的，RFID-H可以从第三方应用服务器(例如，AF)获取操作指令，然后通过下行信令通知RFID-L、RFID tag执行操作指令。或者，RFID-H生成操作指令，然后通过下行信令通知RFID-L、RFID tag执行操作指令。

916、RFID-H向AMF发送操作指令。

示例性的，RFID-H通过服务化消息Namf_Communicaiton_N1N2MessageTransfer将包含操作指令的LLRP消息传输给AMF。

917、AMF向Uni-AGF发送操作指令。

示例性的，AMF通过NAS消息将操作指令转发给Uni-AGF。

918、Uni-AGF向对应的RFID-L发送操作指令。

示例性的，Uni-AGF根据保存的对应关系将下行LLRP消息路由至RFID tag对应的RFID-L。

919、RFID-L执行所述操作指令指示的通信操作。

示例性的，RFID-L解析操作指令后并执行相应的通信操作，例如，指示RFID tag执行KeyUpdate命令，或指示RFID tag执行Read命令。

需要说明的是，如果步骤915中在AUSF或UDM中未查询到SID对应的SUPI信息，则表明RFID tag还未执行相互认证流程，则需要重新执行步骤900-905。如果步骤900已经完成订阅，则可跳过步骤900。

另外步骤901中可以携带操作指令，以触发RFID-L进行盘存(接入)，获取到RFID tag的SID之后触发相互认证流程，即执行步骤906-913。后续认证完成后RFID tag直接执行步骤901中携带的操作指令。

图9所示流程中，步骤900～905可以称为参数配置流程，步骤906～913可以称为双向认证流程，步骤914～919可以称为安全接入流程。本申请实施例对图9所示方法中的这三个流程的执行顺序不做限制，一种可能的实现方式中执行的先后顺序是参数配置流程、双向认证流程以及安全接入流程。另外，上述三个流程可以择一执行，三个流程并非缺一不可。

需要说明的是，RFID-H可以独立部署，也集成在其他核心网网元中。当RFID-H集成在AMF上时，RFID-H与AMF之间的消息交互可以省略或者视为通过内部接口进行。当Uni-AGF和RFID-L均部署在RAN上时，Uni-AGF和RFID-L之间的消息交互也可以省略或视为通过内部接口进行。

图9所示的方法中，基于一种可能的标签融合架构，实现RFID tag的安全认证流程。示例性的，将RFID Reader和部分高层组件功能融合入3GPP网络，通过Uni-AGF代建NAS连接的方式实现设备粒度的双向认证流程。图9所示的方法也可以用于RFID tag通过非3GPP接入核心网的架构，此时RFID-L和Uni-AGF由非3GPP互通功能(例如图所示的N3IWF或TNGF)实现；或者，图9所示的方法中的RAN由非3GPP互通功能替代。

本申请实施例还提供一种鉴权方法，该方法适用于图5所示的系统，可以对UWB tag进行安全认证。其中，标签设备为UWB tag，接入网设备包括标签接入功能模块以及标签代理功能模块，其中，标签接入功能模块为UWB-L，标签代理功能模块为Uni-AGF。标签汇聚网元为UWB-H，认证设备为AUSF/UDM。接入移动管理网元为AMF。如图10所示，所述方法包括以下步骤：

1000、UWB-H向AMF订阅与UWB tag相关的消息。

示例性的，UWB-H可以与RAN进行设备级通讯，即UWB-H与RAN交互的消息不是针对特定UE的。UWB-H可以通过AMF与RAN交互UWB类型的消息。示例性的，UWB-H向AMF发送服务化消息Namf_Communication_NonUeMessageTransfer，该消息包括N2消息以及表示该N2消息的类型的字段“N2inforType”，该字段“N2inforType”取值为“UWB”，表明UWB-H发送的是“UWB”类型的消息。AMF向RAN发送接收到的N2消息。可选的，AMF还可以向RAN发送“N2inforType”字段，指示UWB-H发送“UWB”类型的消息。

UWB-H还可以通过订阅/通知的方式指示AMF将接收到的上行“UWB”类型的N2消息转发给UWB-H网元。示例性的，UWB-H网元可以通过Namf_Communication_

NonUeInfoSubscribe消息向AMF订阅“UWB”类型的消息。当AMF接收RAN侧发送的“UWB”类型的消息后，可以向UWB-H发送Namf_Communication_NonUe

InfoNotify消息，该消息包括RAN侧发送的“UWB”类型的消息。UWB-H接收该消息可以获取到RAN侧发送的“UWB”类型的消息。

示例性的，“UWB”类型的消息可以为UWB应用层信息，即UWB-L与UWB-H之间采用UWB协议(或者其他适配协议)进行交互。UWB-H可以通过服务化消息Namf_Communication_NonUeMessageTransfer将下行的UWB应用层信息发送给AMF，AMF再将UWB应用层信息发送给RAN(具体可以是RAN侧的UWB-L)。

需要说明的是，当UWB-H是核心网的网元，即可以明确UWB-H安全性，UWB-H可以直接与核心网的其他网元进行通信。当UWB-H作为第三方的应用，不是核心网的网元，UWB-H的安全性不确定，UWB-H网元不能直接和核心网的其他网元进行通信，需要通过网络开放功能(network exposure function，NEF)间接通讯，UWB-H发送的消息需要通过NEF网元转发至核心网的其他网元。

1001、UWB-H向AMF发送UWB配置信息。

其中，UWB配置信息即前文所述的与标签设备相关的参数，包括协议参数、通信参数以及接入参数中的至少一项。协议参数、通信参数以及接入参数的说明参考前文，在此不做赘述。在图10所示实施例中，UWB配置信息也可以不包括接入参数，本申请实施例在此不做限制。

示例性的，UWB-H通过服务化消息Namf_Communication_NonUeMessageTransfer向AMF发送UWB配置信息。示例性的，UWB-H可以将UWB配置信息包含在N2消息容器中发送给AMF，由AMF通过N2消息转发给RAN。

一种可能的实现方式中，UWB配置信息可以包含以下两项：

能力协商消息(即前文所述的协议参数)，用于与UWB-L协商支持的协议版本，并指示UWB-L使用协商后的协议版本。

设备配置消息(即前文所述的通信参数)，用于配置UWB-L基本的运行参数，例如，可以是数据传输速率、编码方式等。

1002、AMF向UWB-L发送UWB配置信息。

示例性的，AMF接收UWB-H发送的UWB配置信息后，构建专用的N2消息“DOWNLINKNON UE ASSOCIATED UWB TRANSPORT”，向RAN发送构建的消息。RAN节点接收后将UWB配置信息转发给UWB-L。

1003、UWB-L根据UWB配置信息完成配置。

示例性的，UWB-L根据接收到的UWB配置信息，完成能力协商、设备配置以及标签接入(盘存)操作的设置或更新。

1004、UWB-L向AMF发送确认信息/新的UWB配置信息。

当UWB-L使用步骤902下发的UWB配置信息，则执行步骤903完成配置，在步骤904可以向AMF发送确认信息。

可选的，当UWB-L不认可步骤1002下发的UWB配置信息，则可以跳过步骤1003，在步骤1004与UWB-H进一步协商UWB配置信息。示例性的，UWB-L构建新的UWB配置信息，向AMF发送新的UWB配置信息。例如，通过AMF转发给UWB-H专用的上行N2消息，专用的上行N2消息包含新的UWB配置信息。

1005、AMF根据UWB-H的订阅向UWB-H发送确认信息/新的UWB配置信息。

如步骤1000所述，UWB-H已经通过Namf_Communication_NonUeInfoSubscribe向AMF订阅UWB类型的N2消息。AMF接收到新的UWB配置信息后，对新的UWB配置信息进行封装后发送给UWB-H网元。示例性的，AMF使用Namf_Communication_

NonUeInfoNotify封装UWB配置信息后转发给UWB-H网元。

需要说明的是，若UWB-H与RAN(UWB-L)之间可以多次进行上下行信令的交互，即步骤1001-1005可能执行多次。另外下行信令和上行信令没有必然的对应关系，例如，步骤1003中可以根据UWB配置信息完成部分配置，一次或者多次执行步骤1004与UWB-H协商其他参数。

1006、UWB-L获取UWB tag的MAC标识。

需要说明的是，UWB tag和UWB-L之间可以采用MAC标识作为UWB tag的唯一标识。当UWB-L通过标签识别过程(Tag Identification)获取UWB tag的MAC标识后，触发进一步的相互认证流程，对UWB tag进行安全认证。

在相互认证流程中，UWB-L需要从核心网或者第三方获取用于相互认证的安全参数，例如，加密秘钥和/或完整保护密钥。

1007、UWB-L向Uni-AGF发送UWB tag的MAC标识。

示例性的，UWB-L通过与Uni-AGF之间的内部接口与Uni-AGF交互，触发Uni-AGF为当前认证的UWB tag建立NAS连接，用于与核心网交互对UWB tag进行安全认证。

需要说明的是，在交互过程中，Uni-AGF可以获取UWB-L的标识，UWB-L将UWB tag的MAC标识发送给Uni-AGF。

1008、Uni-AGF根据UWB tag的MAC标识构建3GPP用户标识。该3GPP用户标识可以包括SUCI或SUPI。

一种可能的实现方式中，基于SUCI对UWB tag进行安全认证。示例性的，Uni-AGF基于RFC 7542定义的网络访问标识(network access identifier，NAI)格式使用MAC标识构建SUPI，后续将SUPI转换成SUCI。其中，SUCI包含加密的SUPI。一种可能的实现方式中，Uni-AGF也可以直接根据MAC标识确定SUCI。

另一种可能的实现方式中，基于SUPI对UWB tag进行安全认证。示例性的，步骤1006中，Uni-AGF根据UWB tag上报的标识确定SUPI，并将SUPI上报给AMF，后续可以根据SUPI对UWB tag进行安全认证。在这种实现方式中，UWB tag的3GPP网络用户标识可以为SUPI。步骤1008中，AMF接收UWB-L发送的MAC标识，根据MAC标识构建SUPI。

示例性的，Uni-AGF尝试为UWB tag建立NAS连接。可选的，Uni-AGF还可以保存UWB-L的标识、UWB tag的MAC标识、UWB tag的SUPI(或SUCI)之间的对应关系。当前，Uni-AGF可以负责多个UWB-L，Uni-AGF可以根据保存的对应关系寻址Uni-AGF负责的一个UWB-L。

1009、Uni-AGF向AMF发送NAS注册请求，NAS注册请求包括上述SUCI或SUPI。

Uni-AGF向AMF发送NAS注册请求，尝试为UWB tag建立NAS连接，后续的相互认证消息均由Uni-AGF代为转发。NAS注册请求可以是本申请实施例所述的第一消息。

需要说明的是，NAS注册请求包括所述SUCI，以便网络侧根据所述SUCI对UWB tag进行安全认证。NAS注册请求中除了携带SUCI外，还可以携带UWB tag的类型信息“UWB Indicator”。UWB Indicator用于指示被Uni-AGF代建NAS连接的设备的类型。

“UWB Indicator”可能也会影响认证流程，例如，认证设备可以根据设备的类型选择不同的认证方法、参数。以ISO 21167-19中定义的认证方法为例，UWB-L需要从数据库中(例如，UDM)获取UWB tag对应的加密秘钥和消息认证秘钥，UDM还可以根据UWB Indicator指示执行相应的认证方法。以3GPP中定义的认证方法为例，UDM中保存根秘钥，中间网元(如AMF)根据根秘钥进行衍生，并将衍生信息发送给RAN侧(UWB-L)、标签设备(UWB tag)。

1010、AMF选择合适的AUSF。

AMF选择AUSF的原则同TS 23.501中的6.3.4小节。AMF选择完AUSF后，就建立了“标签<->UWB-L<->AMF<->AUSF<->UDM”之间的通路。

1011、UWB tag和AUSF进行双向认证。

示例性的，AUSF和UWB tag可以基于上述通路交互认证相关的信令，完成双向认证。AUSF可以根据AMF发送的该UWB tag的3GPP用户标识(即SUCI或SUPI)对该UWB tag进行认证。

可以理解的是，设备类型不同，设备所述支持的认证方法不同，认证的流程有所不同。例如，可以使用UWB标准化或者厂商自定义的认证方法，上述通道用于传输UWB标准化或者厂商自定义的认证信令。

或者，可以使用5G网络支持的EAP认证方法，此时直接复用TS 33.501中定义的流程。

需要说明的是，AUSF也可以从第三方的AAA-S中获取安全参数(秘钥等)，AUSF和AAS-S使用AAA接口或者间接通过AAA-P网元进行交互。此时建立的安全认证信令交互通道为：标签<->UWBL<->AMF<->AUSF<->AAAS，或者标签<->UWBL<->AMF

可选的，AUSF还可以通过AMF向UWB-L发送UWB tag的认证结果。

1012、AMF将UWB tag注册到AUSF。

在此过程中，AUSF可以存储UWB tag的MAC标识对应的SUPI。

1013、AMF向Uni-AGF发送通知消息，指示完成注册。

需要说明的是，如果上述认证过程失败或注册过程失败，则Uni-AGF结束注册流程。示例性的，如果步骤1011中认证失败，UWB-L通知Uni-AGF认证结果，Uni-AGF则结束注册流程。或者，步骤1013中Uni-AGF接收到AMF送的注册失败消息，Uni-AGF结束注册流程。例如，Uni-AGF可以停止NAS定时器以结束注册流程。

步骤1013为可选步骤，Uni-AGF还可以通过其它方式获取UWB tag完成注册的信息。例如，Uni-AGF可以从UWB-L获取UWB tag注册成功的信息。示例性的，在步骤1011中UWB-L通过AMF接收到认证结果后，可以向Uni-AGF通知UWB tag是否认证成功，若认证成功则认为注册成功。

1014、UWB-H生成UWB应用层信息，包括操作指令。

其中，UWB应用层信息包含接入命令，接入指令即本申请实施例所述的操作指令。操作指令是针对目标Tag要执行的接入操作，例如，UWB应用层信息可以是类似与图4所示流程中Tag和Reader之间使用的Access系列命令。示例的，操作指令可以是指示所述UWB tag执行的“Read”命令或“Write”命令。

1015、UWB-H判断UWB tag是否完成安全认证，若完成执行步骤1016～步骤1019，若未完成安全认证则执行步骤1000～1013。

示例性的，若UWB-H可以在AUSF(或UDM)中查询到UWB tag的MAC标识对应的SUPI，则表明UWB tag已经完成安全认证。UWB-H可以通过NAS消息向UWB tag所在的UWB-L发送UWB应用层信息，以指示UWB tag执行接入命令，例如，“Read”命令或“Write”命令。

否则，UWB-L则触发认证流程，支持步骤1000～1013。可选的，步骤1001中可以上报接入请求，并且在UWB tag和AUSF的相互认证完成后，自行触发接入操作，指示UWB tag执行接入命令。

可选的，UWB-H可以从第三方应用服务器(例如，AF)获取操作指令，然后通过下行信令通知UWB-L、UWB tag执行操作指令。或者，UWB-H生成操作指令，然后通过下行信令通知UWB-L、UWB tag执行操作指令。

1016、UWB-H向AMF发送操作指令。

示例性的，UWB-H通过服务化消息Namf_Communicaiton_N1N2MessageTransfer将包含操作指令的UWB应用层信息传输给AMF。

1017、AMF向Uni-AGF发送操作指令。

示例性的，AMF通过NAS消息将操作指令转发给Uni-AGF。

1018、Uni-AGF向对应的UWB-L发送操作指令。

示例性的，Uni-AGF根据保存的对应关系将下行UWB应用层信息路由至UWB tag对应的UWB-L。

1019、UWB-L执行所述操作指令指示的通信操作。

示例性的，UWB-L解析操作指令后并执行相应的通信操作，例如，指示UWB tag执行KeyUpdate命令，或指示UWB tag执行Read命令。

需要说明的是，如果步骤1015中在AUSF或UDM中未查询到MAC标识对应的SUPI信息，则表明UWB tag还未执行相互认证流程，则需要重新执行步骤1000-1005。如果步骤1000已经完成订阅，则可跳过步骤1000。

另外步骤1001中可以携带操作指令，以触发UWB-L进行盘存(接入)，获取到UWB tag的MAC标识之后触发相互认证流程，即执行步骤1006-1013。后续认证完成后UWB tag直接执行步骤1001中携带的操作指令。

具体实现中，UWB-H可以独立部署，也集成在其他核心网网元中。当UWB-H集成在AMF上时，UWB-H与AMF之间的消息交互可以省略或者视为通过内部接口进行。当Uni-AGF和UWB-L均部署在RAN上时，Uni-AGF和UWB-L之间的消息交互也可以可以省略或者视为通过内部接口进行。

图10所示流程中，步骤1000～1005可以称为参数配置流程，步骤1006～1013可以称为双向认证流程，步骤1014～1019可以称为安全接入流程。本申请实施例对图10所示方法中的这三个流程的执行顺序不做限制，一种可能的实现方式中执行的先后顺序是参数配置流程、双向认证流程以及安全接入流程。另外，上述三个流程可以择一执行，三个流程并非缺一不可。

图10所示的方法中，基于一种可能的标签融合架构，实现UWB tag的安全认证流程。具体地，将UWB Reader和部分高层组件功能融合入3GPP网络，通过Uni-AGF代建NAS连接的方式实现设备粒度的双向认证流程。图10所示的方法也可以用于UWB tag通过非3GPP接入核心网的架构，此时UWB-L和Uni-AGF由非3GPP互通功能(例如图所示的N3IWF或TNGF)实现；或者，图9所示的方法中的RAN由非3GPP互通功能替代。

基于上述鉴权方法，标签设备、读写器设备和核心网网元可以基于盘存过程、标签访问过程、认证过程或注册过程等过程完成对不同标签设备的鉴权认证，如图11所示，本申请实施例还提供了一种通信方法，以使标签设备可以基于图11所示的通信方法执行盘存过程、标签访问过程、认证过程或注册过程等过程，便于读写器设备和核心网网元实现上述鉴权方法，降低融合管理的复杂性。同时，标签设备还可以通过下述图11所示的通信方法实现与核心网的交互。

图11为本申请实施例提供的一种通信方法，如图11所示，该方法可以包括：

1101、标签设备接收标签触发信号。

其中，标签设备可以接收读写器设备发送的标签触发信号，该读写器设备可以部署在接入网设备或终端设备中，或者接入网设备直接作为读写器设备，或者，终端设备直接作为读写器设备。

示例性的，标签触发信号可以用于触发盘存过程；或者，标签触发信号可以用于触发标签访问过程；或者，标签触发信号可以用于触发标签认证过程；或者，标签触发信号可以用于触发标签锁定过程；或者，标签触发信号可以用于触发标签失效过程；或者，标签触发信号可以用于唤醒标签设备。

其中，盘存过程是获取标签标识的过程；标签访问过程是对标签设备进行读操作或者写操作的过程；标签认证过程是对标签设备进行认证的过程；标签锁定过程是对标签设备进行锁定的过程；标签失效过程是使标签失效的过程；唤醒标签设备是唤醒标签设备的过程。通过标签锁定过程，可以让标签设备存储的全部或者部分内容不可修改。

可选的，标签触发信号为以下任意一项：选择Select命令、挑战Challenge命令、查询Query命令、读Read命令、写Write命令、失效Kill命令、锁定Lock命令、唤醒命令。

其中，当标签触发信号为选择Select命令或者查询Query命令时，标签触发信号可以用于触发盘存过程。当标签触发信号为Read命令或者写Write命令时，标签触发信号可以用于触发标签访问过程。当标签触发信号为挑战Challenge命令时，标签触发信号可以用于触发标签认证过程。当标签触发信号为失效Kill命令时，标签触发信号可以用于触发标签失效过程。当标签触发信号为锁定Lock命令时，标签触发信号可以用于触发标签锁定过程；当标签触发信号为唤醒命令时，标签触发信号可以用于唤醒标签设备。

1102、标签设备发送核心网交互消息。

其中，标签设备可以向接入移动管理网元发送核心网交互消息。

示例性的，核心网交互消息可以包括以下任意一项：注册消息；或者，去注册消息；或者，会话建立请求消息；或者，会话修改请求消息；或者，会话删除请求消息；或者，服务请求消息；或者，标签数据发送消息。

其中，注册消息用于在核心网注册标签；去注册消息用于在核心网去注册标签；会话建立请求消息用于为标签建立会话；会话修改请求消息用于为标签修改会话；会话删除请求消息用于为标签删除会话；服务请求消息用于为标签请求服务；标签数据发送消息用于发送标签数据，标签数据可以是传感器数据或者预置数据等。

其中，若标签触发信号用于触发盘存过程，核心网交互消息可以包括注册消息、或者会话建立请求消息、或者会话修改请求消息、或者服务请求消息、或者标签数据发送消息。

若标签触发信号用于触发标签访问过程，核心网交互消息可以包括注册消息、或者会话建立请求消息、或者会话修改请求消息、或者服务请求消息、或者标签数据发送消息。

若标签触发信号用于触发标签认证过程，核心网交互消息可以包括注册消息、或者会话建立请求消息、或者会话修改请求消息、或者服务请求消息、或者标签数据发送消息。

若标签触发信号用于触发标签锁定过程，核心网交互消息可以包括注册消息、或者会话建立请求消息、或者会话修改请求消息、或者服务请求消息、或者标签数据发送消息。

若标签触发信号用于触发标签失效过程，核心网交互消息可以包括注册消息、或者去注册消息、或者会话删除请求消息、或者会话修改请求消息、或者服务请求消息。

若标签触发信号用于唤醒标签设备，核心网交互消息可以包括注册消息、或者会话建立请求消息、或者会话修改请求消息、或者服务请求消息、或者标签数据发送消息。

可选的，核心网交互消息还携带标签标识或者会话标识。

其中，标签标识或者会话标识可以由盘存过程或者标签访问过程获得。

可选的，核心网交互消息是非接入层NAS消息。

其中，当核心网交互消息包括注册消息时，核心网交互消息可以为NAS注册消息。当核心网交互消息包括去注册消息时，核心网交互消息可以为NAS去注册消息。当核心网交互消息包括会话建立请求消息时，核心网交互消息可以为NAS会话建立请求消息。当核心网交互消息包括会话修改请求消息时，核心网交互消息可以为NAS会话修改请求消息。当核心网交互消息包括会话删除请求消息时，核心网交互消息可以为NAS会话删除请求消息。当核心网交互消息包括服务请求消息时，核心网交互消息可以为NAS服务请求消息。当核心网交互消息包括标签数据发送消息时，核心网交互消息可以为NAS标签数据发送消息。

可选的，标签设备接收过滤信息，如果标签设备匹配过滤信息，标签设备发送核心网交互消息。

其中，标签触发信号可以包括过滤信息。

其中，过滤信息可以包括标签标识，也可以包括根据标签设备存储的内容设置的过滤信息，标签设备存储的内容可以包括传感器信息等。

可选的，标签设备可以在接收到读写器设备发送的标签触发信号后，直接执行上述1102；也可以先执行下述1101a，再执行上述1102；或者先执行下述1101b，再执行上述1102。

1101a、标签设备执行下述任一过程：盘存过程、或者标签访问过程、或者标签认证过程、或者标签锁定过程、或者标签失效过程、或者唤醒标签设备。

其中，标签设备可以在与读写器设备的交互过程中基于相应的标签触发信号执行上述流程。

1101b、标签设备执行读写器设备资源建立或者修改过程。

其中，标签设备还可以在与读写器设备的交互过程中执行读写器设备资源建立或者修改过程，以根据建立的资源或者修改后的资源与读写器设备进行通信。

在采用对应各个功能划分各个功能模块的情况下，图12示出上述实施例中所涉及的通信装置的一种可能的结构示意图。图12所示的通信装置可以是本申请实施例所述的接入网设备，也可以是接入网设备中实现上述方法的部件，或者，也可以是应用于接入网设备中的芯片。图12所示的通信装置也可以是本申请实施例所述的标签汇聚网元，也可以是标签汇聚网元中实现上述方法的部件，或者，也可以是应用于标签汇聚网元中的芯片。图12所示的通信装置也可以是本申请实施例所述的接入移动管理网元，也可以是接入移动管理网元中实现上述方法的部件，或者，也可以是应用于接入移动管理网元中的芯片。

其中，所述芯片可以是片上系统(System-On-a-Chip，SOC)或者是具备通信功能的基带芯片等。如图12所示，通信装置包括处理单元1201以及通信单元1202。处理单元可以是一个或多个处理器，通信单元可以是收发器或者通信接口。

处理单元1201，可用于支持通信装置执行上述方法实施例中的处理动作，具体的，可以执行图8a、图8b、图9、图10或图11中由接入移动管理网元执行的处理动作，或者，可以执行图8a、图8b、图9、图10或图11中由接入网设备执行的处理动作，或者，可以执行图8a、图8b、图9、图10或图11中由标签汇聚网元执行的处理动作，或者，可以执行图8a、图8b、图9、图10或图11中由标签设备执行的处理动作，和/或用于本文所描述的技术的其它过程。

通信单元1202，用于支持通信装置与其他通信装置或设备之间的通信，具体可以执行图8a、图8b、图9、图10或图11中由接入移动管理网元执行的发送和/或接收的动作，或者，可以执行图8a、图8b、图9、图10或图11中由接入网设备执行的发送和/或接收的动作，或者，可以执行图8a、图8b、图9、图10或图11中由标签汇聚网元执行的发送和/或接收的动作，或者，可以执行图8a、图8b、图9、图10或图11中由标签设备执行的发送和/或接收的动作，和/或用于本文所描述的技术的其它过程。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

如图13所示，通信装置还可以包括存储单元1203，存储单元1203用于存储通信装置的程序代码和/或数据。

处理单元1201可以包括至少一个处理器，通信单元1202可以为收发器或者通信接口，存储单元1203可以包括存储器。

本申请实施例提供一种计算机可读存储介质，计算机可读存储介质中存储有指令；指令用于执行如图8a、图8b、图9、图10或图11所示的方法。

本申请实施例提供一种包括指令的计算机程序产品，当其在通信装置上运行时，使得通信装置执行如图8a、图8b、图9、图10或图11所示的方法。

本申请实施例提供一种无线通信装置，包括：无线通信装置中存储有指令；当无线通信装置在图7a、图7b、图12至图13所示的通信装置上运行时，使得通信装置执行如图8a、图8b、图9、图10或图11所示的方法。该无线通信装置可以为芯片。

本申请实施例提供一种通信系统，包括：前述接入网设备、标签汇聚网元和接入移动管理网元。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将通信装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

本申请实施例中的处理器，可以包括但不限于以下至少一种：中央处理单元(central processing unit，CPU)、微处理器、数字信号处理器(DSP)、微控制器(microcontroller unit，MCU)、或人工智能处理器等各类运行软件的计算设备，每种计算设备可包括一个或多个用于执行软件指令以进行运算或处理的核。该处理器可以是个单独的半导体芯片，也可以跟其他电路一起集成为一个半导体芯片，例如，可以跟其他电路(如编解码电路、硬件加速电路或各种总线和接口电路)构成一个SoC(片上系统)，或者也可以作为一个ASIC的内置处理器集成在所述ASIC当中，该集成了处理器的ASIC可以单独封装或者也可以跟其他电路封装在一起。该处理器除了包括用于执行软件指令以进行运算或处理的核外，还可进一步包括必要的硬件加速器，如现场可编程门阵列(field programmable gate array，FPGA)、PLD(可编程逻辑器件)、或者实现专用逻辑运算的逻辑电路。

本申请实施例中的存储器，可以包括如下至少一种类型：只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmabler-only memory，EEPROM)。在某些场景下，存储器还可以是只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

本申请中，“至少一个”是指一个或者多个。“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

在本申请所提供的几个实施例中，应该理解到，所揭露的数据库访问装置和方法，可以通过其它的方式实现。例如，以上所描述的数据库访问装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，数据库访问装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种鉴权方法，其特征在于，包括：

读写器设备获取标签设备的标识，根据所述标签设备的标识确定第三代合作伙伴计划3GPP网络用户标识；

所述读写器设备向接入移动管理网元发送第一消息，所述第一消息包括所述3GPP网络用户标识，所述3GPP网络用户标识用于认证所述标签设备。
根据权利要求1所述的方法，其特征在于，所述第一消息还包括类型信息，所述类型信息用于指示所述标签设备的类型。
根据权利要求1或2所述的方法，其特征在于，所述第一消息为非接入层NAS注册请求，NAS注册请求包括所述3GPP网络用户标识。
根据权利要求1-3任一项所述的方法，其特征在于，所述读写器设备获取所述标签设备的标识，包括：

所述读写器设备通过盘存过程或者标签访问过程获取所述标签设备的标识，所述盘存过程是获取标签标识的过程，所述标签访问过程是对所述标签设备进行读操作或者写操作的过程。
根据权利要求1-4任一项所述的方法，其特征在于，所述方法还包括：

从所述接入移动管理网元接收第二消息，所述第二消息包括以下至少一项：协议参数、通信参数或接入参数；

其中，所述协议参数用于指示所述读写器设备与所述标签设备之间的通信协议和/或所述读写器设备与标签汇聚网元之间的通信协议；所述通信参数用于支持所述读写器设备配置与所述标签设备之间进行通信所用的数据传输速率和/或解码方式；所述接入参数用于所述读写器设备配置标签设备接入事件的规则；所述标签设备接入事件的规则包括以下至少一项：所述标签设备接入事件的触发时间、所述标签设备接入事件的周期或所述标签设备接入事件对应的标签设备数量。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

根据所述第二消息确定所述读写器设备与所述标签设备之间的通信协议和/或所述读写器设备与所述标签汇聚网元之间的通信协议；和/或，

配置与所述标签设备之间进行通信所用的数据传输速率和/或解码方式；和/或，

配置所述标签设备接入事件的规则。
根据权要求1-6任一项所述的方法，其特征在于，所述方法还包括：

从标签汇聚网元接收操作指令；所述操作指令用于指示所述读写器设备执行与所述标签设备之间的通信操作；

根据所述操作指令执行与所述标签设备之间的通信操作。
根据权利要求1-7任一项所述的方法，其特征在于，所述标签设备的标识包括所述标签设备的无线访问控制MAC地址或所述标签设备的秘密标识SID或所述标签设备的电子产品码EPC。
根据权利要求1-8任一项所述的方法，其特征在于，所述读写器设备包括：

标签接入功能模块以及标签代理功能模块；

所述读写器设备根据所述标签设备的标识确定3GPP网络用户标识，包括：

所述标签接入功能模块获取所述标签设备的标识，所述标签接入功能模块向所述标签代理功能模块发送所述标签设备的标识；

所述标签代理功能模块根据所述标签设备的标识确定所述3GPP网络用户标识。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

所述标签代理功能模块生成第一信息，所述第一信息用于指示所述标签设备的标识、所述标签接入功能模块的标识以及所述3GPP网络用户标识之间的对应关系；

所述标签代理功能模块根据所述第一信息寻址所述标签接入功能模块。
根据权利要求1-10任一项所述的方法，其特征在于，所述3GPP网络用户标识包括所述标签设备的用户隐藏标识SUCI或用户永久标识SUPI。
一种鉴权方法，其特征在于，包括：

接入移动管理网元从读写器设备接收第一消息，所述第一消息包括标签设备的第三代合作伙伴计划3GPP网络用户标识；

所述移动管理网元向认证设备发送所述3GPP网络用户标识，所述3GPP网络用户标识用于认证所述标签设备。
根据权利要求12所述的方法，其特征在于，所述第一消息还包括类型信息，所述类型信息用于指示所述标签设备的类型。
根据权利要求12或13所述的方法，其特征在于，所述第一消息为非接入层NAS注册请求，NAS注册请求包括所述3GPP网络用户标识。
根据权利要求12-13任一项所述的方法，其特征在于，所述方法还包括：

从标签汇聚网元接收以下至少一项：协议参数、通信参数以及接入参数；其中，所述协议参数用于指示所述读写器设备与所述标签设备之间的通信协议和/或所述读写器设备与标签汇聚网元之间的通信协议；所述通信参数用于支持所述读写器设备配置与所述标签设备之间进行通信所用的数据传输速率和/或解码方式；所述接入参数用于所述读写器设备配置标签设备接入事件的规则；所述标签设备接入事件的规则包括以下至少一项：所述标签设备接入事件的触发时间、所述标签设备接入事件的周期或所述标签设备接入事件对应的标签设备数量；

向所述读写器设备发送第二消息，所述第二消息包括所述通信协议参数、所述设备运行参数以及所述接入参数中的至少一项。
根据权利要求12-15任一项所述的方法，其特征在于，所述方法还包括：

从标签汇聚网元接收第三消息，所述第三消息用于所述标签汇聚网元向所述接入移动管理网元订阅与标签设备相关的消息。
根据权利要求16所述的方法，其特征在于，所述第三消息包括消息类型，所述消息类型指示所述与标签设备相关的消息。
根据权利要求12-17任一项所述的方法，其特征在于，所述3GPP网络用户标识包括所述标签设备的用户隐藏标识SUCI或用户永久标识SUPI。
一种鉴权方法，其特征在于，包括：

标签汇聚网元判断标签设备是否通过安全认证；

所述标签汇聚网元确定所述标签设备通过安全认证，向读写器设备发送操作指令；所述操作指令用于指示所述读写器设备执行与标签设备之间的通信操作。
根据权利要求19所述的方法，其特征在于，所述标签汇聚网元判断标签设备是否通过安全认证，包括：

若根据所述标签设备的标识从认证设备获取所述标签设备的标识对应的第三代合作伙伴计划3GPP网络用户标识，则确定所述标签设备通过安全认证。
根据权利要求20所述的方法，其特征在于，所述标签汇聚网元确定所述标签设备通过安全认证之前，所述方法还包括：

所述标签汇聚网元向接入移动管理网元发送以下至少一项：协议参数、通信参数以及接入参数；

其中，所述协议参数用于指示所述读写器设备与所述标签设备之间的通信协议和/或所述读写器设备与标签汇聚网元之间的通信协议；所述通信参数用于支持所述读写器设备配置与所述标签设备之间进行通信所用的数据传输速率和/或解码方式；所述接入参数用于所述读写器设备配置标签设备接入事件的规则；所述标签设备接入事件的规则包括以下至少一项：所述标签设备接入事件的触发时间、所述标签设备接入事件的周期或所述标签设备接入事件对应的标签设备数量。
根据权利要求21所述的方法，其特征在于，所述方法还包括：

向接入移动管理网元发送第三消息，所述第三消息用于向所述接入移动管理网元订阅与标签设备相关的消息。
根据权利要求22所述的方法，其特征在于，所述第三消息包括消息类型，所述消息类型指示所述与标签设备相关的消息。
根据权利要求19所述的方法，其特征在于，所述标签汇聚网元判断标签设备是否通过安全认证，包括：

若根据所述标签设备的标识从认证设备未获取所述标签设备的标识对应的3GPP网络用户标识，则确定所述标签设备未通过安全认证。
根据权利要求24所述的方法，其特征在于，所述确定所述标签设备未通过安全认证之后，所述方法还包括：

所述标签汇聚网元向接入移动管理网元发送以下至少一项：通信协议参数、设备运行参数以及接入参数；

其中，所述通信协议参数用于指示所述读写器设备与所述标签设备之间的通信协议和/或所述读写器设备与所述标签汇聚网元之间的通信协议；所述设备运行参数用于支持所述读写器设备配置与所述标签设备相关的功能；所述接入参数用于支持所述读写器设备配置所述标签设备接入所述读写器设备的规则。
根据权利要求24或25所述的方法，其特征在于，所述方法还包括：

向接入移动管理网元发送第三消息，所述第三消息用于向所述接入移动管理网元订阅与标签设备相关的消息。
根据权利要求26所述的方法，其特征在于，所述第三消息包括消息类型，所述消息类型指示所述与标签设备相关的消息。
根据权利要求19-27任一项所述的方法，其特征在于，所述标签设备的标识包括所述标签设备的无线访问控制MAC地址或所述标签设备的秘密标识SID或所述标签设备的电子产品码EPC。
根据权利要求19-28任一项所述的方法，其特征在于，所述3GPP网络用户标识包括所述标签设备的用户隐藏标识SUCI或用户永久标识SUPI。
一种通信方法，其特征在于，包括：

标签设备在接收标签触发信号后，发送核心网交互消息；所述核心网交互消息用于标签设备与核心网网元进行消息交互。
根据权利要求30所述的方法，其特征在于，所述核心网交互消息包括以下任意一项：

注册消息；或者，

去注册消息；或者，

会话建立请求消息；或者，

会话修改请求消息；或者，

会话删除请求消息；或者，

服务请求消息；或者，

标签数据发送消息；

所述注册消息用于在核心网注册标签；所述去注册消息用于在核心网去注册标签；所述会话建立请求消息用于为标签建立会话；所述会话修改请求消息用于为标签修改会话；所述会话删除请求消息用于为标签删除会话；所述服务请求消息用于为标签请求服务；所述标签数据发送消息用于发送标签数据。
根据权利要求30或31所述的方法，其特征在于，

所述标签触发信号用于触发盘存过程；或者，

所述标签触发信号用于触发标签访问过程；或者，

所述标签触发信号用于触发标签认证过程；或者，

所述标签触发信号用于触发标签锁定过程；或者，

所述标签触发信号用于触发标签失效过程；或者，

所述标签触发信号用于唤醒标签设备；

所述盘存过程是获取标签标识的过程；所述标签访问过程是对所述标签设备进行读操作或者写操作的过程；所述标签认证过程是对所述标签设备进行认证的过程；所述标签锁定过程是对所述标签设备进行锁定的过程；所述标签失效过程是使所述标签设备失效的过程；所述唤醒标签设备是唤醒所述标签设备的过程。
根据权利要求30-32任一项所述的方法，其特征在于，所述标签设备发送所述核心网交互消息，包括：

所述标签设备接收过滤信息；

如果所述标签设备匹配所述过滤信息，所述标签设备发送所述核心网交互消息。
根据权利要求30-33任一项所述的方法，其特征在于，所述核心网交互消息携带标签标识或者会话标识；所述标签标识或者所述会话标识由盘存过程或者标签访问过程获得；所述盘存过程是获取所述标签标识的过程；所述标签访问过程是对所述标签设备进行读操作或者写操作的过程。
根据权利要求30-34任一项所述的方法，其特征在于，所述标签触发信号为以下任意一项：选择Select命令、挑战Challenge命令、查询Query命令、读Read命令、写Write 命令、失效Kill命令、锁定Lock命令、唤醒命令。
根据权利要求30-35任一项所述的方法，其特征在于，所述核心网交互消息是非接入层NAS消息。
一种通信装置，其特征在于，包括：

处理单元，用于获取标签设备的标识，根据所述标签设备的标识确定第三代合作伙伴计划3GPP网络用户标识；

通信单元，用于向接入移动管理网元发送第一消息，所述第一消息包括所述3GPP网络用户标识，所述3GPP网络用户标识用于认证所述标签设备。
根据权利要求37所述的装置，其特征在于，所述第一消息还包括类型信息，所述类型信息用于指示所述标签设备的类型。
根据权利要求37或38所述的装置，其特征在于，所述第一消息为非接入层NAS注册请求，NAS注册请求包括所述3GPP网络用户标识。
根据权利要求37-39任一项所述的装置，其特征在于，所述处理单元，还用于通过盘存过程或者标签访问过程获取所述标签设备的标识，所述盘存过程是获取标签标识的过程，所述标签访问过程是对所述标签设备进行读操作或者写操作的过程。
根据权利要求37-40任一项所述的装置，其特征在于，所述通信单元还用于，从所述接入移动管理网元接收第二消息，所述第二消息包括以下至少一项：协议参数、通信参数或接入参数；

其中，所述协议参数用于指示读写器设备与所述标签设备之间的通信协议和/或读写器设备与标签汇聚网元之间的通信协议；所述通信参数用于支持所述读写器设备配置与所述标签设备之间进行通信所用的数据传输速率和/或解码方式；所述接入参数用于所述读写器设备配置标签设备接入事件的规则；所述标签设备接入事件的规则包括以下至少一项：所述标签设备接入事件的触发时间、所述标签设备接入事件的周期或所述标签设备接入事件对应的标签设备数量。
根据权利要求41所述的装置，其特征在于，

所述处理单元具体用于，根据所述第二消息确定所述读写器设备与所述标签设备之间的通信协议和/或所述读写器设备与所述标签汇聚网元之间的通信协议；和/或，

配置与所述标签设备之间进行通信所用的数据传输速率和/或解码方式；和/或，

配置所述标签设备接入事件的规则。
根据权利要求37-42任一项所述的装置，其特征在于，

所述通信单元还用于，从标签汇聚网元接收操作指令；所述操作指令用于指示所述读写器设备执行与所述标签设备之间的通信操作；

所述处理单元还用于，根据所述操作指令执行与所述标签设备之间的通信操作。
根据权利要求37-43任一项所述的装置，其特征在于，所述标签设备的标识包括所述标签设备的无线访问控制MAC地址或所述标签设备的秘密标识SID或所述标签设备的电子产品码EPC。
根据权利要求37-44任一项所述的装置，其特征在于，所述处理单元包括标签接入功能模块以及标签代理功能模块，

所述标签接入功能模块，用于获取所述标签设备的标识，所述标签接入功能模块向所述标签代理功能模块发送所述标签设备的标识；

所述标签代理功能模块，用于根据所述标签设备的标识确定所述3GPP网络用户标识。
根据权利要求45所述的装置，其特征在于，所述标签代理功能模块还用于，生成第一信息，所述第一信息用于指示所述标签设备的标识、所述标签接入功能模块的标识以及所述3GPP网络用户标识之间的对应关系；

根据所述第一信息寻址所述标签接入功能模块。
根据权利要求37-46任一项所述的装置，其特征在于，所述3GPP网络用户标识包括所述标签设备的用户隐藏标识SUCI或用户永久标识SUPI。
一种通信装置，其特征在于，包括：

处理单元，用于通信单元从读写器设备接收第一消息，所述第一消息包括标签设备的第三代合作伙伴计划3GPP网络用户标识；

所述处理单元还用于，通过所述通信单元向认证设备发送所述3GPP网络用户标识，所述3GPP网络用户标识用于认证所述标签设备。
根据权利要求48所述的装置，其特征在于，所述第一消息还包括类型信息，所述类型信息用于指示所述标签设备的类型。
根据权利要求48或49所述的装置，其特征在于，所述第一消息为非接入层NAS注册请求，NAS注册请求包括所述3GPP网络用户标识。
根据权利要求48-50任一项所述的装置，其特征在于，

所述处理单元还用于，通过所述通信单元从标签汇聚网元接收以下至少一项：协议参数、通信参数以及接入参数；其中，所述协议参数用于指示所述读写器设备与所述标签设备之间的通信协议和/或所述读写器设备与标签汇聚网元之间的通信协议；所述通信参数用于支持所述读写器设备配置与所述标签设备之间进行通信所用的数据传输速率和/或解码方式；所述接入参数用于所述读写器设备配置标签设备接入事件的规则；所述标签设备接入事件的规则包括以下至少一项：所述标签设备接入事件的触发时间、所述标签设备接入事件的周期或所述标签设备接入事件对应的标签设备数量；

所述处理单元还用于，通过所述通信单元向所述读写器设备发送第二消息，所述第二消息包括所述通信协议参数、所述设备运行参数以及所述接入参数中的至少一项。
根据权利要求48-51任一项所述的装置，其特征在于，所述处理器还用于，通过所述通信单元从标签汇聚网元接收第三消息，所述第三消息用于所述标签汇聚网元向所述接入移动管理网元订阅与标签设备相关的消息。
根据权利要求52所述的装置，其特征在于，所述第三消息包括消息类型，所述消息类型指示所述与标签设备相关的消息。
根据权利要求48-53任一项所述的装置，其特征在于，所述3GPP网络用户标识包括所述标签设备的用户隐藏标识SUCI或用户永久标识SUPI。
一种通信装置，其特征在于，包括：

处理单元，用于判断标签设备是否通过安全认证；

通信单元，用于在所述处理单元确定所述标签设备通过安全认证后，向读写器设备发送操作指令；所述操作指令用于指示所述读写器设备执行与标签设备之间的通信操作。
根据权利要求55所述的装置，其特征在于，所述处理单元具体用于，若根据所述标签设备的标识从认证设备获取所述标签设备的标识对应的第三代合作伙伴计划3GPP网络用户标识，则确定所述标签设备通过安全认证。
根据权利要求56所述的装置，其特征在于，所述通信单元还用于，在所述处理单元确定所述标签设备通过安全认证之前，向接入移动管理网元发送以下至少一项：协议参数、通信参数以及接入参数；

其中，所述协议参数用于指示所述读写器设备与所述标签设备之间的通信协议和/或所述读写器设备与标签汇聚网元之间的通信协议；所述通信参数用于支持所述读写器设备配置与所述标签设备之间进行通信所用的数据传输速率和/或解码方式；所述接入参数用于所述读写器设备配置标签设备接入事件的规则；所述标签设备接入事件的规则包括以下至少一项：所述标签设备接入事件的触发时间、所述标签设备接入事件的周期或所述标签设备接入事件对应的标签设备数量。
根据权利要求57所述的装置，其特征在于，所述通信单元还用于，向所述接入移动管理网元发送第三消息，所述第三消息用于向所述接入移动管理网元订阅与标签设备相关的消息。
根据权利要求58所述的装置，其特征在于，所述第三消息包括消息类型，所述消息类型指示所述与标签设备相关的消息。
根据权利要求55所述的装置，其特征在于，所述处理单元具体用于，若根据所述标签设备的标识从认证设备未获取所述标签设备的标识对应的3GPP网络用户标识，则确定所述标签设备未通过安全认证。
根据权利要求60所述的装置，其特征在于，所述通信单元还用于，在所述处理单元确定所述标签设备未通过安全认证之后，向接入移动管理网元发送以下至少一项：通信协议参数、设备运行参数以及接入参数；

其中，所述通信协议参数用于指示所述读写器设备与所述标签设备之间的通信协议和/或所述读写器设备与所述标签汇聚网元之间的通信协议；所述设备运行参数用于支持所述读写器设备配置与所述标签设备相关的功能；所述接入参数用于支持所述读写器设备配置所述标签设备接入所述读写器设备的规则。
根据权利要求60或61所述的装置，其特征在于，所述通信单元还用于，向所述接入移动管理网元发送第三消息，所述第三消息用于向所述接入移动管理网元订阅与标签设备相关的消息。
根据权利要求62所述的装置，其特征在于，所述第三消息包括消息类型，所述消息类型指示所述与标签设备相关的消息。
根据权利要求55-63任一项所述的装置，其特征在于，所述标签设备的标识包括所述标签设备的无线访问控制MAC地址或所述标签设备的秘密标识SID或所述标签设备的电子产品码EPC。
根据权利要求55-64任一项所述的装置，其特征在于，所述3GPP网络用户标识包括所述标签设备的用户隐藏标识SUCI或用户永久标识SUPI。
一种通信装置，其特征在于，包括：

通信单元，用于在接收标签触发信号后，发送核心网交互消息；所述核心网交互消息用于标签设备与核心网网元进行消息交互。
根据权利要求66所述的装置，其特征在于，所述核心网交互消息包括以下任意一项：

注册消息；或者，

去注册消息；或者，

会话建立请求消息；或者，

会话修改请求消息；或者，

会话删除请求消息；或者，

服务请求消息；或者，

标签数据发送消息；

所述注册消息用于在核心网注册标签；所述去注册消息用于在核心网去注册标签；所述会话建立请求消息用于为标签建立会话；所述会话修改请求消息用于为标签修改会话；所述会话删除请求消息用于为标签删除会话；所述服务请求消息用于为标签请求服务；所述标签数据发送消息用于发送标签数据。
根据权利要求66或67所述的装置，其特征在于，

所述标签触发信号用于触发盘存过程；或者，

所述标签触发信号用于触发标签访问过程；或者，

所述标签触发信号用于触发标签认证过程；或者，

所述标签触发信号用于触发标签锁定过程；或者，

所述标签触发信号用于触发标签失效过程；或者，

所述标签触发信号用于唤醒标签设备；

所述盘存过程是获取标签标识的过程；所述标签访问过程是对所述标签设备进行读操作或者写操作的过程；所述标签认证过程是对所述标签设备进行认证的过程；所述标签锁定过程是对所述标签设备进行锁定的过程；所述标签失效过程是使所述标签设备失效的过程；所述唤醒标签设备是唤醒所述标签设备的过程。
根据权利要求66-68任一项所述的装置，其特征在于，所述通信单元，还用于接收过滤信息，如果匹配所述过滤信息，发送所述核心网交互消息。
根据权利要求66-69任一项所述的装置，其特征在于，所述核心网交互消息携带标签标识或者会话标识；所述标签标识或者所述会话标识由盘存过程或者标签访问过程获得；所述盘存过程是获取所述标签标识的过程；所述标签访问过程是对所述标签设备进行读操作或者写操作的过程。
根据权利要求66-70任一项所述的装置，其特征在于，所述标签触发信号为以下任意一项：选择Select命令、挑战Challenge命令、查询Query命令、读Read命令、写Write命令、失效Kill命令、锁定Lock命令、唤醒命令。
根据权利要求66-71任一项所述的装置，其特征在于，所述核心网交互消息是非接入层NAS消息。
一种通信装置，其特征在于，包括处理器，所述处理器与存储器耦合；

存储器，用于存储计算机程序；

处理器，用于执行所述存储器中存储的计算机程序，以使得所述装置执行如权利要求1至36中任一项所述的方法。
一种计算机可读存储介质，包括程序或指令，当所述程序或指令被处理器运行时，如权利要求1至36中任意一项所述的方法被执行。
一种计算机程序产品，其特征在于，所述计算机程序产品包括指令，当所述指令被运行时，使得如权利要求1至36任一项所述的方法被执行。
一种芯片，其特征在于，所述芯片包括处理器和接口电路，所述接口电路和所述处理器耦合，所述处理器用于运行计算机程序或指令，使得如权利要求1至36任一项所述的方法被执行。
一种通信系统，其特征在于，包括如权利要求37-47中任一所述的通信装置，如权利要求48-54中任一所述的通信装置，如权利要求55-65中任一所述的通信装置，和如权利要求66-72中任一所述的通信装置。