CN117296373A - 跨网络的切换认证方法和装置 - Google Patents

Abstract

本公开实施例公开了一种跨网络的切换认证方法和装置，该方法包括：AMF在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求；接收终端设备发送的认证响应，其中，认证响应包括终端设备的标识；调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成安全秘钥和/或用户订阅数据。由此，在认证过程中，生成能够支持后续流程中对发给终端设备的信息进行安全保护的安全秘钥和/或用户订阅数据，支持在后续流程中对发给终端设备的信息进行安全保护，保障终端设备与网络侧之间的通信安全。

Description

跨网络的切换认证方法和装置 技术领域

本公开涉及通信技术领域，尤其涉及一种跨网络的切换认证方法和装置。

背景技术

在未来第五代(the fifth generation，5G)通信系统的网络建设中，将存在多个网络系统之间互通的网络架构。例如，该互通的网络架构可以包括5G系统与演进的分组系统(Evolved Packet System，EPS)，并且5G系统与EPS系统之间存在通信接口，通过通信接口可以执行EPS系统到5G系统，或者5G系统到EPS系统的互通过程。

相关技术中，在成功完成互通过程后，缺少在后续流程中对发给终端设备的信息进行安全保护的相关信息，导致影响终端设备与网络侧之间的安全通信，这是亟需解决的问题。

发明内容

本公开实施例提供一种跨网络的切换认证方法和装置，在认证过程中，生成能够支持后续流程中对发给终端设备的信息进行安全保护的安全秘钥和/或用户订阅数据，支持在后续流程中对发给终端设备的信息进行安全保护，保障终端设备与网络侧之间的通信安全。

第一方面，本公开实施例提供一种跨网络的切换认证方法，由接入和移动性管理功能AMF执行，包括：在终端设备切换到5G网络且需要进行5G网络中的认证时，向所述终端设备发送认证请求；接收所述终端设备发送的认证响应，其中，所述认证响应包括所述终端设备的标识；调用鉴权服务器功能AUSF，根据所述终端设备的标识对所述终端设备进行鉴权，以生成所述终端设备在所述5G网络下的安全秘钥和/或用户订阅数据。

在该技术方案中，在终端设备切换到5G网络且需要进行5G网络中的认证时，向所述终端设备发送认证请求；接收所述终端设备发送的认证响应，其中，所述认证响应包括所述终端设备的标识；调用鉴权服务器功能AUSF，根据所述终端设备的标识对所述终端设备进行鉴权，以生成所述终端设备在所述5G网络下的安全秘钥和/或用户订阅数据。由此，在认证过程中，生成能够支持后续流程中对发给终端设备的信息进行安全保护的安全秘钥和/或用户订阅数据，支持在后续流程中对发给终端设备的信息进行安全保护，保障终端设备与网络侧之间的通信安全。

第二方面，本公开实施例提供另一种跨网络的切换认证方法，由终端设备执行，包括：接收接入和移动性管理功能AMF发送的认证请求；向所述AMF发送认证响应，其中，所述认证响应包括所述终端设备的标识，以根据所述终端设备的标识通过所述AMF调用鉴权服务器功能AUSF，对所述终端设备进行鉴权，以生成所述终端设备在所述5G网络下的安全秘钥和/或用户订阅数据。

第三方面，本公开实施例提供一种通信装置，该通信装置具有实现上述第一方面所述的方法中AMF的部分或全部功能，比如通信装置的功能可具备本公开中的部分或全部实施例中的功能，也可以具备单独实施本公开中的任一个实施例的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种实现方式中，该通信装置的结构中可包括收发模块和处理模块，所述处理模块被配置为支持通信装置执行上述方法中相应的功能。所述收发模块用于支持通信装置与其他设备之间的通信。所述通信装置还可以包括存储模块，所述存储模块用于与收发模块和处理模块耦合，其保存通信装置必要的计算机程序和数据。

作为示例，处理模块可以为处理器，收发模块可以为收发器或通信接口，存储模块可以为存储器。

在一种实现方式中，所述通信装置包括：收发模块，用于在终端设备切换到5G网络且需要进行5G网络中的认证时，向所述终端设备发送认证请求；接收所述终端设备发送的认证响应，其中，所述认证响应包括所述终端设备的标识；处理模块，用于调用鉴权服务器功能AUSF，根据所述终端设备的标识对所述终端设备进行鉴权，以生成所述终端设备在所述5G网络下的安全秘钥和/或用户订阅数据。

第四方面，本公开实施例提供另一种通信装置，该通信装置具有实现上述第二方面所述的方法示例中终端设备的部分或全部功能，比如通信装置的功能可具备本公开中的部分或全部实施例中的功能，也可以具备单独实施本公开中的任一个实施例的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种实现方式中，该通信装置的结构中可包括收发模块和处理模块，该处理模块被配置为支持通信装置执行上述方法中相应的功能。收发模块用于支持通信装置与其他设备之间的通信。所述通信装置还可以包括存储模块，所述存储模块用于与收发模块和处理模块耦合，其保存通信装置必要的计算机程序和数据。

在一种实现方式中，所述通信装置包括：收发模块，用于接收接入和移动性管理功能AMF发送的认证请求；向所述AMF发送认证响应，其中，所述认证响应包括所述终端设备的标识，以根据所述终端设备的标识通过所述AMF调用鉴权服务器功能AUSF，对所述终端设备进行鉴权，以生成所述终端设备在所述5G网络下的安全秘钥和/或用户订阅数据。

第五方面，本公开实施例提供一种通信装置，该通信装置包括处理器，当该处理器调用存储器中的计算机程序时，执行上述第一方面所述的方法。

第六方面，本公开实施例提供一种通信装置，该通信装置包括处理器，当该处理器调用存储器中的计算机程序时，执行上述第二方面所述的方法。

第七方面，本公开实施例提供一种通信装置，该通信装置包括处理器和存储器，该存储器中存储有计算机程序；所述处理器执行该存储器所存储的计算机程序，以使该通信装置执行上述第一方面所述的方法。

第八方面，本公开实施例提供一种通信装置，该通信装置包括处理器和存储器，该存储器中存储有计算机程序；所述处理器执行该存储器所存储的计算机程序，以使该通信装置执行上述第二方面所述的方法。

第九方面，本公开实施例提供一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第一方面所述的方法。

第十方面，本公开实施例提供一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第二方面所述的方法。

第十一方面，本公开实施例提供一种通信系统，该系统包括第三方面所述的通信装置以及第四方面 所述的通信装置，或者，该系统包括第五方面所述的通信装置以及第六方面所述的通信装置，或者，该系统包括第七方面所述的通信装置以及第八方面所述的通信装置，或者，该系统包括第九方面所述的通信装置以及第十方面所述的通信装置。

第十二方面，本发明实施例提供一种计算机可读存储介质，用于储存为上述终端设备所用的指令，当所述指令被执行时，使所述终端设备执行上述第一方面所述的方法。

第十三方面，本发明实施例提供一种可读存储介质，用于储存为上述接入网设备所用的指令，当所述指令被执行时，使所述接入网设备执行上述第二方面所述的方法。

第十四方面，本公开还提供一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

第十五方面，本公开还提供一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法。

第十六方面，本公开提供一种芯片系统，该芯片系统包括至少一个处理器和接口，用于支持终端设备实现第一方面所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存终端设备必要的计算机程序和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十七方面，本公开提供一种芯片系统，该芯片系统包括至少一个处理器和接口，用于支持接入网设备实现第二方面所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存接入网设备必要的计算机程序和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十八方面，本公开提供一种计算机程序，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

第十九方面，本公开提供一种计算机程序，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法。

附图说明

为了更清楚地说明本公开实施例或背景技术中的技术方案，下面将对本公开实施例或背景技术中所需要使用的附图进行说明。

图1是本公开实施例提供的一种通信系统的架构图；

图2是本公开实施例提供的一种跨网络的切换认证方法的流程图；

图3是本公开实施例提供的另一种跨网络的切换认证方法的流程图；

图4是本公开实施例提供的又一种跨网络的切换认证方法的流程图；

图5是本公开实施例提供的又一种跨网络的切换认证方法的流程图；

图6是本公开实施例提供的又一种跨网络的切换认证方法的流程图；

图7是本公开实施例提供的又一种跨网络的切换认证方法的流程图；

图8是本公开实施例提供的一种通信装置的结构图；

图9是本公开实施例提供的另一种通信装置的结构图；

图10是本公开实施例提供的一种芯片的结构图。

具体实施方式

为了更好的理解本公开实施例公开的一种跨网络的切换认证方法，下面首先对本公开实施例适用的通信系统进行描述。

以下将以图1为例介绍本公开实施例所涉及的术语。

图1是本公开实施例提供的一种通信系统的架构图，图1中所涉及的各个部分如下所示：

终端设备10，也可称为用户设备(user equipment，UE)、终端等。终端设备是一种具有无线收发功能的设备，可以经(无线)接入网络((radio)access network，(R)AN)20中的接入网设备与一个或多个核心网(core network，CN)进行通信。可以部署在陆地上，包括室内或室外、手持、穿戴或车载；也可以部署在水面上，如轮船上等；还可以部署在空中，例如部署在飞机、气球或卫星上等。终端设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmentedreality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端等等。

(无线)接入网络((radio)access network，(R)AN)20，用于为特定区域的授权用户设备提供入网功能，并能够根据用户设备的级别，业务的需求等使用不同质量的传输隧道。如(R)AN可管理无线资源，为用户设备提供接入服务，进而完成控制信息和/或数据信息在用户设备和核心网(core network，CN)之间的转发。本公开实施例中的接入网设备是一种为终端设备提供无线通信功能的设备，也可称为网络设备。如该接入网设备可以包括：5G系统中的下一代基站节点(next generation node basestation，gNB)、长期演进(longterm evolution，LTE)中的演进型节点B(evolved node B，eNB)、无线网络控制器(radionetwork controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolvednodeB，或home node B，HNB)、基带单元(base band unit，BBU)、传输点(transmitting andreceiving point，TRP)、发射点(transmitting point，TP)、小基站设备(pico)、移动交换中心，或者未来网络中的网络设备等。可理解，本公开实施例对接入网设备的具体类型不作限定。在不同无线接入技术的系统中，具备接入网设备功能的设备的名称可能会有所不同。

接入和移动性管理(access and mobility management function，AMF)网络功能30，主要用于移动性管理和接入管理等，可以用于实现移动性管理实体(mobility managemententity，MME)功能中除会话管理之外的其它功能，例如，合法监听以及接入授权/鉴权等功能。可理解，以下简称AMF网络功能为AMF。本公开实施例中，AMF可包括初始AMF(initialAMF)，原AMF(oldAMF)和目标AMF(targetAMF)。例如，该初始AMF可理解为该次注册中第一个处理UE注册请求的AMF，该初始AMF由(R)AN选择，但是该初始AMF不一定能为该UE服务，原AMF可理解为UE上一次注册到网络时服务UE的AMF，目标AMF可理解为UE重新注册后，为该UE服务的AMF。

认证服务器功能(authentication server function，AUSF)40，用于鉴权服务、产生密钥实现对用户设备的双向鉴权，支持统一的鉴权框架。

统一数据管理(unified data management，UDM)网络功能50，可用于处理用户设备标识，接入鉴权，注册以及移动性管理等。可理解，以下简称UDM网络功能为UDM。

本公开实施例中的接入和移动性管理功能可以是图1所示的AMF网络功能20，也可以是未来通信系统中的具有上述AMF网络功能20的其他网络功能。或者，本公开中的接入和移动性管理功能还可以是长期演进(long term evolution，LTE)中的移动性管理实体(mobility management entity，MME)等。

可以理解的是，以上说介绍的术语在不同的领域或不同的标准中，可能有不同的名称，因此不应将以上所示的名称理解为对本公开实施例的限定。上述网络功能或者功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。

需要说明的是，本公开实施例中所涉及的功能设备还可以称为网元或功能或功能实体，例如，接入和移动性管理功能还可以称为接入和移动性管理功能设备或者接入和移动性管理功能实体或者接入和移动性管理功能网元。各个功能设备的名称在本公开中不做限定，本领域技术人员可以将上述功能设备的名称更换为其它名称而执行相同的功能，均属于本公开保护的范围。上述功能设备既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。

可以理解的是，本公开实施例描述的通信系统是为了更加清楚的说明本公开实施例的技术方案，并不构成对于本公开实施例提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本公开实施例提供的技术方案对于类似的技术问题，同样适用。

下面结合附图对本公开所提供的跨网络的切换认证方法和装置进行详细地介绍。

请参见图2，图2是本公开实施例提供的一种跨网络的切换认证方法的流程图。

如图2所示，该方法由接入和移动性管理功能AMF执行，该方法可以包括但不限于如下步骤：

S21：在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求。

本公开实施例中，终端设备切换至5G网络可以为终端设备从EPS系统的例如：4G网络覆盖范围移动至5G系统的5G网络的覆盖范围。终端设备切换至5G网络，可以为终端设备首次从EPS系统的例如：4G网络覆盖范围移动至5G系统的5G网络的覆盖范围。

可以理解的是，SoR(steering of roaming，漫游处理)服务流程和UPU(UE parameters update，终端参数更新)服务流程中发给终端设备的信息，通过计算消息认证码MAC值由安全秘钥保护，例如安全秘钥为中间秘钥K _AUSF，中间秘钥K _AUSF在AUSF网元中，而服务终端设备的用户订阅数据为UDM(unified datamanagement，统一数据管理)提供的。

在安全机制中，存储在AUSF中的中间秘钥K _AUSF和存储在UDM中的用户订阅数据需要在认证过程生成。本公开实施例中，在终端设备成功切换到5G网络，AUSF中未生成并存储中间秘钥K _AUSF，UDM中未存储用户订阅数据的情况下，则AMF可以主动向终端设备发送认证请求。

基于此，本公开实施例中，AMF在终端设备切换到5G网络，或者，在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求。其中，AMF向终端设备发送认证请求，可以向终端设备发送HN-triggered Re-Authentication Request消息。

在一些实施例中，AMF向终端设备发送的认证请求中包括接入类型，以识别终端设备接入网络的目的和身份。

S22：接收终端设备发送的认证响应，其中，认证响应包括终端设备的标识。

本公开实施例中，终端设备接收到AMF发送的认证请求之后，可以向AMF发送认证响应，其中，认证响应中包括终端设备的标识。

其中，终端设备发送的认证响应，可以发送HN-triggered Re-Authentication Response，HN-triggered Re-Authentication Response消息中包括终端设备的标识。

在一些实施例中，AMF在终端设备切换至5G网络后，生成映射非接入层NAS安全上下文；通过映射NAS安全上下文来检查或保护认证请求，和/或通过映射NAS安全上下文来检查或保护认证响应。

本公开实施例中，AMF向终端设备发送的认证请求可以受AMF和终端设备之间的映射NAS(Non Access Stratum，非接入层)安全上下文来检查或保护，以检查或保护发送的认证请求的完整性和机密性。

本公开实施例中，终端设备向AMF发送的认证响应可以受AMF和终端设备之间的映射NAS安全上下文来检查或保护，以检查或保护发送的认证响应的完整性和机密性。

其中，AMF和终端设备之间的映射NAS安全上下文为从4G网络侧安全上下文进行映射得到的。

在一些实施例中，认证响应中的终端设备的标识包括以下至少一个：

用户永久标识符SUCI(subscription concealed identifier，用户隐藏标识符)；

用户永久标识SUPI(subscription concealed identifier，用户永久标识)；

全球唯一临时UE标识5G-GUTI(5G globally uniquetemporary ue identity，全球唯一临时UE标识)。

S23：调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据。

本公开实施例中，AMF向终端设备发送认证请求，在接收到终端设备根据认证请求发送的认证响应的情况下，调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据。

在一些实施例中，AMF调用AUSF根据终端设备的标识对终端设备进行鉴权，包括：通过安全锚功能SEAF(security anchorfunction，安全锚点功能)向AUSF发送鉴权认证请求消息，其中，鉴权认证请求消息包括终端设备的标识以及服务网络名称。

其中，鉴权认证请求消息可以为Nausf_UEAuthentication_Authenticate Request消息，其中，Nausf_UEAuthentication_Authenticate Request消息包括终端设备的标识以及服务网络名称。

其中，AMF可以向AUSF发送Nausf_UEAuthentication_Authenticate Request消息来调用Nausf_UEAuthentication服务。Nausf_UEAuthentication_Authenticate Request消息中包括终端设备的标识，用户隐藏标识符(subscription concealed identifier，SUCI)、用户永久标识(subscription permanent identifier，SUPI)，以及服务网络名称等。

本公开实施例中，AUSF可以向UDM发送Nudm_UEAuthentication_Get请求，其中，Nudm_UEAuthentication_Get请求包括SUCI或SUPI和服务网络名称。基于SUPI，UDM/ARPF(authentication credential repository and processing function，认证凭证库以及处理功能)选择对应的认证方法。

其中，终端设备、AMF和AUSF基于UDM的决定选择的认证方法，执行EAP-AKA'(extensible authenticationprotocol-authentication and key agreement’，扩展认证协议-认证和秘钥协商’)或5G AKA(5Gauthentication and key agreement，5G认证和秘钥协商)过程。

本公开实施例中，AUSF存储终端设备认证过程中产生的新的K _AUSF，并且向UDM和终端设备发送认证过程的结果和/或时间，其中，AUSF使用Nudm_UEAuthentication_ResultConfirmation Request向UDM和终端设备发送认证过程的结果和/或时间。

其中，AUSF中存储新的K _AUSF之后，会重置SoR计数器(CounterSoR)和/或UPU计数器(CounterUPU)。

本公开实施例中，UDM接收到AUSF发送的认证过程的结果和/或时间，发送的Nudm_UEAuthentication_ResultConfirmation Request消息，UDM存储终端设备的认证状态，包括：SUPI、认证结果、时间戳和服务网络名称等之后，可以向AUSF发送响应消息，其中，向AUSF发送Nudm_UEAuthentication_ResultConfirmation Response消息。

在一些实施例中，本公开实施例提供的跨网络的切换认证方法，还包括：生成终端设备的原生5G网络安全上下文(native 5G security context)，包括：生成针对终端设备的原生5G网络NAS安全上下文。

本公开实施例中，为从EPS系统移动到5G系统的终端设备生成原生5G网络安全上下文，生成原生5G网络NAS安全上下文，在UDM中为终端设备从EPS系统移动到5G系统生成用户订阅数据，在AUSF中生成并存储安全秘钥，例如中间秘钥K _AUSF，保证安全秘钥的可用性和安全性，生成能够支持后续流程中对发给终端设备的信息进行安全保护的相关信息，从而保障终端设备与网络侧之间的通信安全。

通过实施本公开实施例，AMF响应于终端设备切换到5G网络，向终端设备发送认证请求；接收终端设备发送的认证响应，其中，认证响应包括终端设备的标识；调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据。由此，在认证过程中，生成能够支持后续流程中对发给终端设备的信息进行安全保护的安全秘钥和/或用户订阅数据，支持在后续流程中对发给终端设备的信息进行安全保护，保障终端设备与网络侧之间的通信安全。

请参见图3，图3是本公开实施例提供的另一种跨网络的切换认证方法的流程图。

如图3所示，该方法由接入和移动性管理功能AMF执行，该方法可以包括但不限于如下步骤：

S31：在未收到由终端设备发送的注册请求的情况下，在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求。

本公开实施例中，终端设备可以主动发起注册请求，其中，在未收到由终端设备发送的注册请求的情况下，在终端设备切换到5G网络且需要进行5G网络中的认证时，AFM可以主动向终端设备发送认证请求。

其中，在AMF在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求之前，若AMF接收到终端设备发送的注册请求的情况下，则AMF执行基于终端设备发送注册请求触发的认证过程。

在一些实施例中，AMF向终端设备发送的认证请求中包括接入类型，以识别终端设备接入网络的 目的和身份。

需要说明的是，本公开实施例中，AMF在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求的过程可以参见上述实施例中的相关描述，相同的内容此处不再赘述。

S32：接收终端设备发送的认证响应，其中，认证响应包括终端设备的标识。

在一些实施例中，AMF在终端设备切换至5G网络后，生成映射非接入层NAS安全上下文；通过映射NAS安全上下文来检查或保护认证请求，和/或通过映射NAS安全上下文来检查或保护认证响应。

在一些实施例中，认证响应中的终端设备的标识包括以下至少一个：

用户永久标识符SUCI；

用户永久标识SUPI；

全球唯一临时UE标识5G-GUTI。

S33：调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据。

在一些实施例中，AMF调用AUSF根据终端设备的标识对终端设备进行鉴权，包括：通过安全锚功能SEAF(security anchorfunction，安全锚点功能)向AUSF发送鉴权认证请求消息，其中，鉴权认证请求消息包括终端设备的标识以及服务网络名称。

其中，鉴权认证请求消息可以为Nausf_UEAuthentication_Authenticate Request消息，其中，Nausf_UEAuthentication_Authenticate Request消息包括终端设备的标识以及服务网络名称。

需要说明的是，本公开实施例中，AMF接收终端设备发送的认证响应，以及调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据的相关描述可以参见上述实施例中的相关描述，相同的内容此处不再赘述。

请参见图4，图4是本公开实施例提供的又一种跨网络的切换认证方法的流程图。

如图4所示，该方法由接入和移动性管理功能AMF执行，该方法可以包括但不限于如下步骤：

S41：在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求。

S42：接收终端设备发送的注册请求。

S43：丢弃注册请求。

本公开实施例中，终端设备可以主动发起注册请求，其中，在AMF向终端设备发送认证请求之后，若接收到由终端设备发送的注册请求，此时丢弃终端设备发送的注册请求，继续执行由AMF发起的认证请求过程，从而，避免重复认证，节省终端设备的能耗。

在一些实施例中，AMF向终端设备发送的认证请求中包括接入类型，以识别终端设备接入网络的目的和身份。

需要说明的是，本公开实施例中，AMF在终端设备切换到5G网络，向终端设备发送认证请求的过程可以参见上述实施例中的相关描述，相同的内容此处不再赘述。

S44：接收终端设备发送的认证响应，其中，认证响应包括终端设备的标识。

在一些实施例中，AMF在终端设备切换至5G网络后，生成映射非接入层NAS安全上下文；通过映射NAS安全上下文来检查或保护认证请求，和/或通过映射NAS安全上下文来检查或保护认证响应。

在一些实施例中，认证响应中的终端设备的标识包括以下至少一个：

用户永久标识符SUCI(subscription concealed identifier，用户隐藏标识符)；

用户永久标识SUPI(subscription concealed identifier，用户永久标识)；

全球唯一临时UE标识5G-GUTI(5G globally uniquetemporary ue identity，全球唯一临时UE标识)。

S45：调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据。

在一些实施例中，AMF调用AUSF根据终端设备的标识对终端设备进行鉴权，包括：通过安全锚功能SEAF(security anchorfunction，安全锚点功能)向AUSF发送鉴权认证请求消息，其中，鉴权认证请求消息包括终端设备的标识以及服务网络名称。

其中，鉴权认证请求消息可以为Nausf_UEAuthentication_Authenticate Request消息，其中，Nausf_UEAuthentication_Authenticate Request消息包括终端设备的标识以及服务网络名称。

需要说明的是，本公开实施例中，AMF接收终端设备发送的认证响应，以及调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据的相关描述可以参见上述实施例中的相关描述，相同的内容此处不再赘述。

请参见图5，图5是本公开实施例提供的又一种跨网络的切换认证方法的流程图。

如图5所示，该方法由接入和移动性管理功能AMF执行，该方法可以包括但不限于如下步骤：

S51：在未收到由终端设备发送的注册请求的情况下，在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求。

S52：接收终端设备发送的注册请求.

S53：丢弃注册请求。

本公开实施例中，终端设备可以主动发起注册请求，其中，在未收到由终端设备发送的注册请求的情况下，在终端设备切换到5G网络且需要进行5G网络中的认证时，AFM可以主动向终端设备发送认证请求。

本公开实施例中，终端设备可以主动发起注册请求，其中，在AMF在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求之前，若AMF未接收到终端设备发送的注册请求，AFM可以主动向终端设备发送认证请求。在AFM向终端设备发送认证请求之后，若接收到由终端设备发送的注册请求，此时丢弃终端设备发送的注册请求，继续执行由AMF发起的认证请求过程，从而，避免重复认证，节省终端设备的能耗。

在一些实施例中，AMF向终端设备发送的认证请求中包括接入类型，以识别终端设备接入网络的目的和身份。

需要说明的是，本公开实施例中，AMF在未收到由终端设备发送的注册请求的情况下，在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求的过程可以参见上述实施例中的相关描述，相同的内容此处不再赘述。

S54：接收终端设备发送的认证响应，其中，认证响应包括终端设备的标识。

在一些实施例中，AMF在终端设备切换至5G网络后，生成映射非接入层NAS安全上下文；通过映射NAS安全上下文来检查或保护认证请求，和/或通过映射NAS安全上下文来检查或保护认证响应。

在一些实施例中，认证响应中的终端设备的标识包括以下至少一个：

用户永久标识符SUCI；

用户永久标识SUPI；

全球唯一临时UE标识5G-GUTI。

S55：调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据。

在一些实施例中，AMF调用AUSF根据终端设备的标识对终端设备进行鉴权，包括：通过安全锚功能SEAF(security anchorfunction，安全锚点功能)向AUSF发送鉴权认证请求消息，其中，鉴权认证请求消息包括终端设备的标识以及服务网络名称。

其中，鉴权认证请求消息可以为Nausf_UEAuthentication_Authenticate Request消息，其中，Nausf_UEAuthentication_Authenticate Request消息包括终端设备的标识以及服务网络名称。

需要说明的是，本公开实施例中，AMF接收终端设备发送的认证响应，以及调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据的相关描述可以参见上述实施例中的相关描述，相同的内容此处不再赘述。

请参见图6，图6是本公开实施例提供的又一种跨网络的切换认证方法的流程图。

如图6所示，该方法由终端设备执行，该方法可以包括但不限于如下步骤：

S61：接收接入和移动性管理功能AMF发送的认证请求。

本公开实施例中，终端设备切换至5G网络可以为终端设备从EPS系统的例如：4G网络覆盖范围移动至5G系统的5G网络的覆盖范围。终端设备切换至5G网络，可以为终端设备首次从EPS系统的例如：4G网络覆盖范围移动至5G系统的5G网络的覆盖范围。

可以理解的是，SoR(steering of roaming，漫游处理)服务流程和UPU(UE parameters update，终端参数更新)服务流程中发给终端设备的信息，通过计算消息认证码MAC值由安全秘钥保护，例如安全秘钥为中间秘钥K _AUSF，中间秘钥K _AUSF在AUSF网元中，而服务终端设备的用户订阅数据为UDM(unified datamanagement，统一数据管理)提供的。

在安全机制中，存储在AUSF中的中间秘钥K _AUSF和存储在UDM中的用户订阅数据需要在认证过程生成。本公开实施例中，在终端设备成功切换到5G网络，AUSF中未生成并存储中间秘钥K _AUSF，UDM中未存储用户订阅数据的情况下，则AMF可以主动向终端设备发送认证请求。

基于此，本公开实施例中，AMF在终端设备切换到5G网络，或者，在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求。其中，AMF向终端设备发送认证请求，可以向终端设备发送HN-triggered Re-Authentication Request消息。

在一些实施例中，AMF向终端设备发送的认证请求中包括接入类型，以识别终端设备接入网络的目的和身份。

S62：向AMF发送认证响应，其中，认证响应包括终端设备的标识，以根据终端设备的标识通过AMF调用鉴权服务器功能AUSF，对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据。

本公开实施例中，终端设备接收到AMF发送的认证请求之后，可以向AMF发送认证响应，其中，认证响应中包括终端设备的标识。

其中，终端设备发送的认证响应，可以发送HN-triggered Re-Authentication Response，HN-triggered Re-Authentication Response消息中包括终端设备的标识。

在一些实施例中，AMF在终端设备切换至5G网络后，生成映射非接入层NAS安全上下文；通过映射NAS安全上下文来检查或保护认证请求，和/或通过映射NAS安全上下文来检查或保护认证响应。

本公开实施例中，AMF向终端设备发送的认证请求可以受AMF和终端设备之间的映射NAS(Non Access Stratum，非接入层)安全上下文来检查或保护，以检查或保护发送的认证请求的完整性和机密性。

本公开实施例中，终端设备向AMF发送的认证响应可以受AMF和终端设备之间的映射NAS安全上下文来检查或保护，以检查或保护发送的认证响应的完整性和机密性。

其中，AMF和终端设备之间的映射NAS安全上下文为从4G网络侧安全上下文进行映射得到的。

在一些实施例中，认证响应中的终端设备的标识包括以下至少一个：

用户永久标识符SUCI(subscription concealed identifier，用户隐藏标识符)；

用户永久标识SUPI(subscription concealed identifier，用户永久标识)；

全球唯一临时UE标识5G-GUTI(5G globally uniquetemporary ue identity，全球唯一临时UE标识)。

本公开实施例中，AMF向终端设备发送认证请求，在接收到终端设备根据认证请求发送的认证响应的情况下，调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据。

在一些实施例中，AMF调用AUSF根据终端设备的标识对终端设备进行鉴权，包括：通过安全锚功能SEAF(security anchorfunction，安全锚点功能)向AUSF发送鉴权认证请求消息，其中，鉴权认证请求消息包括终端设备的标识以及服务网络名称。

其中，鉴权认证请求消息可以为Nausf_UEAuthentication_Authenticate Request消息，其中，Nausf_UEAuthentication_Authenticate Request消息包括终端设备的标识以及服务网络名称。

其中，AMF可以向AUSF发送Nausf_UEAuthentication_Authenticate Request消息来调用Nausf_UEAuthentication服务。Nausf_UEAuthentication_Authenticate Request消息中包括终端设备的标识，用户隐藏标识符(subscription concealed identifier，SUCI)、用户永久标识(subscription permanent identifier，SUPI)，以及服务网络名称等。

本公开实施例中，AUSF可以向UDM发送Nudm_UEAuthentication_Get请求，其中，Nudm_UEAuthentication_Get请求包括SUCI或SUPI和服务网络名称。基于SUPI，UDM/ARPF(authentication credential repository and processing function，认证凭证库以及处理功能)选择对应的认证方法。

其中，终端设备、AMF和AUSF基于UDM的决定选择的认证方法，执行EAP-AKA'(extensible authenticationprotocol-authentication and key agreement’，扩展认证协议-认证和秘钥协商’)或5G AKA(5Gauthentication and key agreement，5G认证和秘钥协商)过程。

本公开实施例中，AUSF存储终端设备认证过程中产生的新的K _AUSF，并且向UDM和终端设备发送认证过程的结果和/或时间，其中，AUSF使用Nudm_UEAuthentication_ResultConfirmation Request向UDM和终端设备发送认证过程的结果和/或时间。

其中，AUSF中存储新的K _AUSF之后，会重置SoR计数器(CounterSoR)和/或UPU计数器(CounterUPU)。

本公开实施例中，UDM接收到AUSF发送的认证过程的结果和/或时间，发送的Nudm_UEAuthentication_ResultConfirmation Request消息，UDM存储终端设备的认证状态，包括：SUPI、认证结果、时间戳和服务网络名称等之后，可以向AUSF发送响应消息，其中，向AUSF发送Nudm_UEAuthentication_ResultConfirmation Response消息。

在一些实施例中，本公开实施例提供的跨网络的切换认证方法，还包括：生成终端设备的原生5G网络安全上下文，包括：生成针对终端设备的原生5G网络NAS安全上下文。

本公开实施例中，为从EPS系统移动到5G系统的终端设备生成原生5G网络安全上下文，生成原生5G网络NAS安全上下文，在UDM中为终端设备从EPS系统移动到5G系统生成用户订阅数据，在AUSF中生成并存储安全秘钥，例如中间秘钥K _AUSF，保证安全秘钥的可用性和安全性，生成能够支持后续流程中对发给终端设备的信息进行安全保护的相关信息，从而保障终端设备与网络侧之间的通信安全。

请参见图7，图7是本公开实施例提供的又一种跨网络的切换认证方法的流程图。

如图7所示，该方法由终端设备执行，该方法可以包括但不限于如下步骤：

S71：向AMF发送注册请求。

S72：接收接入和移动性管理功能AMF发送的认证请求。

本公开实施例中，终端设备可以主动发起注册请求，其中，在未收到由终端设备发送的注册请求的情况下，在终端设备切换到5G网络且需要进行5G网络中的认证时，AFM可以主动向终端设备发送认证请求。

其中，在AMF在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求之前，若AMF接收到终端设备发送的注册请求的情况下，则AMF执行基于终端设备发送注册请求触发的认证过程。

可以理解的是，AMF执行基于终端设备发送注册请求触发的认证过程，可以生成新的AMF和终端设备之间原生5G网络NAS安全上下文、终端设备在5G网络下的安全秘钥和/或用户订阅数据，生成能够支持后续流程中对发给终端设备的信息进行安全保护的相关信息，保障终端设备与网络侧之间的通信安全。

需要说明的是，本公开实施例中，AMF发送认证请求的过程可以参见上述实施例中的相关描述，相同的内容此处不再赘述。

上述本公开提供的实施例中，分别从终端设备、AMF的角度对本公开实施例提供的方法进行了介绍。为了实现上述本公开实施例提供的方法中的各功能，AMF和终端设备可以包括硬件结构、软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能可以以硬件结构、软件模块、或者硬件结构加软件模块的方式来执行。

请参见图8，为本申请实施例提供的一种通信装置1的结构示意图。图8所示的通信装置1可包括收发模块11和处理模块12。收发模块11可包括发送模块和/或接收模块，发送模块用于实现发送功能，接收模块用于实现接收功能，收发模块11可以实现发送功能和/或接收功能。

通信装置1可以是终端设备，也可以是终端设备中的装置，还可以是能够与终端设备匹配使用的装置。或者，通信装置1可以是AMF，也可以是AMF中的装置，还可以是能够与AMF匹配使用的装置。

通信装置1，设置于AMF侧：包括：收发模块11和处理模块12。

收发模块11，被配置为收发模块，被配置为在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求。

收发模块11，还被配置为接收终端设备发送的认证响应，其中，认证响应包括终端设备的标识。

处理模块12，被配置为调用鉴权服务器功能AUSF，根据终端设备的标识对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据。

在一些实施例中，处理模块12，还被配置为生成映射非接入层NAS安全上下文；

通过映射NAS安全上下文来检查或保护认证请求，和/或

通过映射NAS安全上下文来检查或保护认证响应。

在一些实施例中，处理模块12，还被配置为生成终端设备的原生5G网络安全上下文。

在一些实施例中，处理模块12，还被配置为生成针对终端设备的原生5G网络非接入层NAS安全上下文。

在一些实施例中，认证请求之中包括接入类型。

在一些实施例中，收发模块11，具体被配置为在未收到由终端设备发送的注册请求的情况下，在终端设备切换到5G网络且需要进行5G网络中的认证时，向终端设备发送认证请求。

在一些实施例中，收发模块11，具体被配置为响应于在向终端设备发送认证请求之后，接收到终端设备发送的注册请求，丢弃注册请求。

在一些实施例中，终端设备的标识包括以下至少一个：

用户隐藏标识符SUCI；

用户永久标识SUPI；

全球唯一临时UE标识5G-GUTI。

在一些实施例中，处理模块12，还被配置为通过安全锚功能SEAF向AUSF发送鉴权认证请求消息，调用AUSF根据终端设备的标识对终端设备进行鉴权，其中，鉴权认证请求消息包括终端设备的标识以及服务网络名称。

通信装置1，设置于终端设备侧：包括：收发模块11和处理模块12。

收发模块11，被配置为接收接入和移动性管理功能AMF发送的认证请求。

收发模块11，被配置为向AMF发送认证响应，其中，认证响应包括终端设备的标识，以根据终端设备的标识通过AMF调用鉴权服务器功能AUSF，对终端设备进行鉴权，以生成终端设备在5G网络下的安全秘钥和/或用户订阅数据。

在一些实施例中，处理模块12，被配置为生成映射非接入层NAS安全上下文；

通过映射NAS安全上下文来检查或保护认证请求，和/或

通过映射NAS安全上下文来检查或保护认证响应。

在一些实施例中，处理模块12，被配置为生成终端设备的原生5G网络安全上下文。

在一些实施例中，处理模块12，还被配置为生成终端设备的原生5G网络非接入层NAS安全上下 文。

在一些实施例中，认证请求之中包括接入类型。

在一些实施例中，终端设备的标识包括以下至少一个：

用户隐藏标识符SUCI；

用户永久标识SUPI；

全球唯一临时UE标识5G-GUTI。

关于上述实施例中的通信装置1，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本公开上述实施例中提供的通信装置1，与上面一些实施例中提供的通信方法取得相同或相似的有益效果，此处不再赘述。

请参见图9，图9是本公开实施例提供的另一种通信装置1000的结构示意图。通信装置1000可以是AMF，也可以是终端设备，也可以是支持终端设备实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

通信装置1000可以包括一个或多个处理器1001。处理器1001可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对通信装置(如，基站、基带芯片，终端设备、终端设备芯片，DU或CU等)进行控制，执行计算机程序，处理计算机程序的数据。

可选的，通信装置1000中还可以包括一个或多个存储器1002，其上可以存有计算机程序1004，存储器1002执行所述计算机程序1004，以使得通信装置1000执行上述方法实施例中描述的方法。可选的，所述存储器1002中还可以存储有数据。通信装置1000和存储器1002可以单独设置，也可以集成在一起。

可选的，通信装置1000还可以包括收发器1005、天线1006。收发器1005可以称为收发单元、收发机、或收发电路等，用于实现收发功能。收发器1005可以包括接收器和发送器，接收器可以称为接收机或接收电路等，用于实现接收功能；发送器可以称为发送机或发送电路等，用于实现发送功能。

可选的，通信装置1000中还可以包括一个或多个接口电路1007。接口电路1007用于接收代码指令并传输至处理器1001。处理器1001运行所述代码指令以使通信装置1000执行上述方法实施例中描述的方法。

通信装置1000为AMF：收发器1005用于执行图2中的S21和S22；图3中的S31和S32；图4中的S41、S42和S44；图5中的S51、S52和S54。处理器1001用于执行图2中的S23；；图3中的S33；图4中的S43和S45；图5中的S53和S55。

通信装置1000为终端设备：收发器1005用于执行图6中的S61和S62；图7中的S71和S72。

在一种实现方式中，处理器1001中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路，或者是接口，或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在一种实现方式中，处理器1001可以存有计算机程序1003，计算机程序1003在处理器1001上运 行，可使得通信装置1000执行上述方法实施例中描述的方法。计算机程序1003可能固化在处理器1001中，该种情况下，处理器1001可能由硬件实现。

在一种实现方式中，通信装置1000可以包括电路，所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本公开中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor，CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor，PMOS)、双极结型晶体管(bipolar junction transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的通信装置可以是终端设备，但本公开中描述的通信装置的范围并不限于此，而且通信装置的结构可以不受图9的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置可以是：

(1)独立的集成电路IC，或芯片，或，芯片系统或子系统；

(2)具有一个或多个IC的集合，可选的，该IC集合也可以包括用于存储数据，计算机程序的存储部件；

(3)ASIC，例如调制解调器(Modem)；

(4)可嵌入在其他设备内的模块；

(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等；

(6)其他等等。

对于通信装置可以是芯片或芯片系统的情况，请参见图10，为本公开实施例中提供的一种芯片的结构图。

如图11所示，芯片1100包括处理器1101和接口1103。其中，处理器1101的数量可以是一个或多个，接口1103的数量可以是多个。

对于芯片用于实现本公开实施例中AMF的功能的情况：

接口1103，用于接收代码指令并传输至所述处理器。

处理器1101，用于运行代码指令以执行如上面一些实施例所述的跨网络的切换认证方法。

对于芯片用于实现本公开实施例中终端设备的功能的情况：

接口1103，用于接收代码指令并传输至所述处理器。

处理器1101，用于运行代码指令以执行如上面一些实施例所述的跨网络的切换认证方法。

可选的，芯片1100还包括存储器1102，存储器1102用于存储必要的计算机程序和数据。

本领域技术人员还可以了解到本公开实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本公开实施例保护的范围。

本公开还提供一种可读存储介质，其上存储有指令，该指令被计算机执行时实现上述任一方法实施例的功能。

本公开还提供一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时，全部或部分地产生按照本公开实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

除非上下文另有要求，否则，在整个说明书和权利要求书中，术语“包括(comprise)”及其其他形式例如第三人称单数形式“包括(comprises)”和现在分词形式“包括(comprising)”被解释为开放、包含的意思，即为“包含，但不限于”。在说明书的描述中，术语“一些实施例(some embodiments)”、“示例性实施例(exemplary embodiments)”等旨在表明与该实施例或示例相关的特定特征、结构、材料或特性包括在本公开的至少一个实施例或示例中。上述术语的示意性表示不一定是指同一实施例或示例。此外，所述的特定特征、结构、材料或特点可以以任何适当方式包括在任何一个或多个实施例或示例中。

本领域普通技术人员可以理解：本公开中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本公开实施例的范围，也表示先后顺序。

本公开中的至少一个还可以描述为一个或多个，多个可以是两个、三个、四个或者更多个，本公开不做限制。在本公开实施例中，对于一种技术特征，通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征，该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。“A和/或B”，包括以下三种组合：仅A，仅B，及A和B的组合。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本公开的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以所述权利要求的保护范围为准。

Claims (20)

1. 一种跨网络的切换认证方法，其特征在于，所述方法由接入和移动性管理功能AMF执行，包括：

   在终端设备切换到5G网络且需要进行5G网络中的认证时，向所述终端设备发送认证请求；

   接收所述终端设备发送的认证响应，其中，所述认证响应包括所述终端设备的标识；

   调用鉴权服务器功能AUSF，根据所述终端设备的标识对所述终端设备进行鉴权，以生成所述终端设备在所述5G网络下的安全秘钥和/或用户订阅数据。
2. 如权利要求1所述的方法，其特征在于，还包括：

   生成映射非接入层NAS安全上下文；

   通过所述映射NAS安全上下文来检查或保护所述认证请求，和/或

   通过所述映射NAS安全上下文来检查或保护所述认证响应。
3. 如权利要求1或2所述的方法，其特征在于，还包括：

   生成所述终端设备的原生5G网络安全上下文。
4. 如权利要求3所述的方法，其特征在于，所述生成所述终端设备的原生5G网络安全上下文，包括：

   生成针对所述终端设备的原生5G网络非接入层NAS安全上下文。
5. 如权利要求1至4中任一项所述的方法，其特征在于，所述认证请求之中包括接入类型。
6. 如权利要求1至5中任一项所述的方法，其特征在于，所述在终端设备切换到5G网络且需要进行5G网络中的认证时，向所述终端设备发送认证请求，包括：

   在未收到由所述终端设备发送的注册请求的情况下，在终端设备切换到5G网络且需要进行5G网络中的认证时，向所述终端设备发送认证请求。
7. 如权利要求1至6中任一项所述的方法，其特征在于，还包括：

   响应于在所述向所述终端设备发送认证请求之后，接收到所述终端设备发送的注册请求，丢弃所述注册请求。
8. 如权利要求1至7中任一项所述的方法，其特征在于，所述终端设备的标识包括以下至少一个：

   用户隐藏标识符SUCI；

   用户永久标识SUPI；

   全球唯一临时UE标识5G-GUTI。
9. 如权利要求1至8中任一项所述的方法，其特征在于，所述调用AUSF根据所述终端设备的标识对所述终端设备进行鉴权，包括：

   通过安全锚功能SEAF向所述AUSF发送鉴权认证请求消息，调用所述AUSF根据所述终端设备的标识对所述终端设备进行鉴权，其中，所述鉴权认证请求消息包括所述终端设备的标识以及服务网络名称。
10. 一种跨网络的切换认证方法，其特征在于，所述方法由终端设备执行，包括：

    接收接入和移动性管理功能AMF发送的认证请求；

    向所述AMF发送认证响应，其中，所述认证响应包括所述终端设备的标识，以根据所述终端设备的标识通过所述AMF调用鉴权服务器功能AUSF，对所述终端设备进行鉴权，以生成所述终端设备在所述5G网络下的安全秘钥和/或用户订阅数据。
11. 如权利要求10所述的方法，其特征在于，还包括：

    生成映射非接入层NAS安全上下文；

    通过所述映射NAS安全上下文来检查或保护所述认证请求，和/或

    通过所述映射NAS安全上下文来检查或保护所述认证响应。
12. 如权利要求10或11所述的方法，其特征在于，还包括：

    生成所述终端设备的原生5G网络安全上下文。
13. 如权利要求12所述的方法，其特征在于，所述生成所述终端设备的原生5G网络安全上下文，包括：

    生成所述终端设备的原生5G网络非接入层NAS安全上下文。
14. 如权利要求9至13中任一项所述的方法，其特征在于，所述认证请求之中包括接入类型。
15. 如权利要求9至14中任一项所述的方法，其特征在于，所述终端设备的标识包括以下至少一个：

    用户隐藏标识符SUCI；

    用户永久标识SUPI；

    全球唯一临时UE标识5G-GUTI。
16. 一种通信装置，设置于AMF侧，其特征在于，包括：

    收发模块，被配置为在终端设备切换到5G网络且需要进行5G网络中的认证时，向所述终端设备发送认证请求；

    所述收发模块，还被配置为接收所述终端设备发送的认证响应，其中，所述认证响应包括所述终端设备的标识；

    处理模块，被配置为调用鉴权服务器功能AUSF，根据所述终端设备的标识对所述终端设备进行鉴权，以生成所述终端设备在所述5G网络下的安全秘钥和/或用户订阅数据。
17. 一种通信装置，设置于终端设备侧，其特征在于，包括：

    收发模块，被配置为接收接入和移动性管理功能AMF发送的认证请求；

    所述收发模块，被配置为向所述AMF发送认证响应，其中，所述认证响应包括所述终端设备的标识，以根据所述终端设备的标识通过所述AMF调用鉴权服务器功能AUSF，对所述终端设备进行鉴权，以生成所述终端设备在所述5G网络下的安全秘钥和/或用户订阅数据。
18. 一种通信装置，其特征在于，所述装置，包括：处理器和存储器，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求1至9中任一项所述的方法；或所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求10至15中任一项所述的方法。
19. 一种通信装置，其特征在于，包括：处理器和接口电路；

    所述接口电路，用于接收代码指令并传输至所述处理器；

    所述处理器，用于运行所述代码指令以执行如权利要求1至9中任一项所述的方法；或运行所述代码指令以执行如权利要求10至15中任一项所述的方法。
20. 一种计算机可读存储介质，用于存储有指令，当所述指令被执行时，使如权利要求1至9中任一项所述的方法被实现；或当所述指令被执行时，使如权利要求10至15中任一项所述的方法被实现。