WO2018153173A1

WO2018153173A1 - 一种终端标识的处理方法、装置及相关设备

Info

Publication number: WO2018153173A1
Application number: PCT/CN2018/072029
Authority: WO
Inventors: 谢振华
Original assignee: 中兴通讯股份有限公司
Priority date: 2017-02-27
Filing date: 2018-01-10
Publication date: 2018-08-30
Also published as: CN108513289A

Abstract

本发明涉及一种终端标识的处理方法，包括：第一网络功能实体依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。本发明同时还公开了一种终端标识的处理装置、网络功能实体及终端。

Description

一种终端标识的处理方法、装置及相关设备

技术领域

本公开涉及通信领域，尤其涉及一种终端标识的处理方法、装置及相关设备。

背景技术

在通信领域，终端标识用于识别对应的终端，即用于对终端进行认证。

为了保证终端的安全性，避免使用一个终端标识标识对应终端，第三代合作伙伴计划(3GPP，3rd Generation Partnership Project)提出了一种移动终端标识的变换方案。

在这种方案中，终端标识的认证操作流程比较麻烦，这影响了认证操作的信令效率。

发明内容

为解决相关技术中存在的技术问题，本公开实施例提供一种终端标识的处理方法、装置及相关设备。

本公开实施例提供了一种终端标识的处理方法，应用于第一网络功能实体，所述方法包括：依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。

上述方案中，所述依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示时，所述方法包括：当没有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。

上述方案中，所述依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示时，所述方法包括：当有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应的终端标识信息识别所述终端。

上述方案中，所述标识类型指示的表现形式为特定标识信息、或为非特定标识信息。

上述方案中，所述方法还包括：接收第二网络功能实体发送的所述终端的标识信息；接收的所述终端的标识信息用于所述第一网络功能实体与所述第二网络功能实体交互所述终端的相关信息。

本公开实施例还提供了一种终端标识的处理方法，应用于终端，所述方法包括：接收第一网络功能实体发送的标识类型指示；依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

上述方案中，所述方法还包括：当所述标识类型指示为第一类型指示时，在所述发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端；所述第一终端标识信息从所述第一网络功能实体接收。

上述方案中，所述方法还包括：当所述标识类型指示为第二类型指示时，在所述发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

上述方案中，所述方法还包括：依据与第二网络功能实体共享的信息，生成第二终端标识信息；所述第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

上述方案中，所述方法还包括：接收所述第一网络功能实体发送的计算参数；所述计算参数是第二网络功能实体下发的；依据与所述第二网络功能实体共享的信息及计算参数，生成第二终端标识信息；所述第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

本公开实施例又提供了一种终端标识的处理装置，包括：确定单元；发送单元，设置为依据所述确定单元确定的针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。

上述方案中，当没有针对所述终端的能够使用的认证向量时，所述发送单元向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。

上述方案中，当有针对所述终端的能够使用的认证向量时，所述发送单元向所述终端发送的标识类型为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应的终端标识信息识别所述终端。

本公开实施例还提供了一种终端标识的处理装置，包括：第二接收单元，设置为接收第一网络功能实体发送的标识类型指示；处理单元，设置为依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

上述方案中，当所述标识类型指示为第一类型指示时，所述处理单元在所述发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端；所述第一终端标识信息从所述第一网络功能实体接收。

上述方案中，当所述标识类型指示为第二类型指示时，所述处理单元在发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

本公开实施例又提供了一种网络功能实体，为第一网络功能实体，所述第一网络功能实体包括：第一处理器；第一通信接口，设置为依据所述第一处理器确定的针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。

上述方案中，当没有针对所述终端的能够使用的认证向量时，所述第一通信接口向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。

上述方案中，当有针对所述终端的能够使用的认证向量时，所述第一通信接口向所述终端发送的标识类型为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应的终端标识信息识别所述终端。

本公开实施例还提供了一种终端，包括：第二通信接口，设置为接收第一网络功能实体发送的标识类型指示；第二处理器，设置为依据所述标识类型指示，在通过所述第二通信接口向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

上述方案中，当所述标识类型指示为第一类型指示时，所述第二处理器在所述发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端；所述第一终端标识信息从所述第一网络功能实体接收。

上述方案中，当所述标识类型指示为第二类型指示时，所述第二处理器在发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

本公开实施例提供的终端标识的处理方法、装置及相关设备，第一网络功能实体依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述认证向量接收自第二网络功能实体；所述终端收到第一网络功能实体发送的标识类型指示后，依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息，由于向终端指示了标识类型，所以终端可以根据指示的类型在消息中携带对应的终端标识，以便后续可以由第一网络功能实体与所述终端直接进行认证操作，从而能够提高认证操作的信令效率。

附图说明

附图不一定是按比例绘制的，在附图中，相似的附图标记可在不同的视图中描述相似的部件。具有不同字母后缀的相似附图标记可表示相似部件的不同示例。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。

图1为相关技术中一种移动终端标识的变换流程示意图；

图2为本公开实施例一一种终端标识的处理的方法流程示意图；

图3为本公开实施例一另一种终端标识的处理的方法流程示意图；

图4为本公开实施例二终端标识变换的方法流程示意图；

图5为本公开实施例三终端标识变换的方法流程示意图；

图6为本公开实施例四终端标识变换的方法流程示意图；

图7为本公开实施例五一种终端标识的处理装置结构示意图；

图8为本公开实施例五另一种终端标识的处理装置结构示意图。

具体实施方式

下面结合附图及实施例对本公开再作进一步详细的描述。

如前所述，3GPP里提出了一种移动终端标识的变换方案，如图1所示，该方法的流程包括如下步骤。

在步骤101，终端(UE，User Equipment)向核心网网元发送附着请求，比如发送附着请求(Attach Request)消息，消息携带UE的标识ID1。

这里，核心网网元可以是移动网络功能实体(MME，Mobility Management Entity)或移动管理功能(MMF，Mobility Management Function)等。

ID1可以是国际移动台标识(IMSI，International Mobile Subscriber Identification Number)，或之前收到的标识等。

在步骤102，核心网网元向认证数据下发网元发送认证数据请求，携带收到的ID1。

这里，认证数据下发网元可以是归属签约用户服务器(HSS，Home Subscriber Server)或认证服务功能(AUSF，Authentication Server Function)等。

发送认证数据请求，可以是发送认证数据请求(Authentication Data Request)消息等。

在步骤103，认证数据下发网元为该UE生成新的标识ID2。

在步骤104，认证数据下发网元向核心网网元发送认证数据响应，携带一个认证向量，还携带加密的ID2和计算参数。

这里，发送认证数据响应，可以是发送认证数据响应(Authentication Data Response)消息等。

其中，计算参数用于UE验证ID2。

在步骤105，核心网网元向UE发送用户认证请求，携带收到的认证向量中的部分信息组成的认证参数，并携带加密的ID2和计算参数。

这里，发送用户认证请求，可以是发送User Authentication Request消息等。

认证参数可以包含随机数(RAND)和网络认证令牌(AUTN)等。

其中，AUTN用于UE验证网络，RAND用于网络验证UE的用户。

在步骤106，UE基于AUTN验证网络；并基于RAND计算出响应值RES，并向核心网网元发送用户认证响应，消息携带认证信息，即RES；核心网网元比对RES和该认证向量中的XRES；如果RES＝XRES则网络验证用户通过，执行步骤107。

这里，核心网网元可以是MME等。

发送用户认证响应，可以是发送User Authentication Response消息。

步骤107：核心网网元向认证数据下发网元发送标识确认消息，比如发送SYNC消息，携带验证码。

这里，验证码用于验证标识确认消息。

至此，UE解密ID2后，和认证数据下发网元可以使用ID2相互通讯，从而防止其他人通过跟踪ID1而导致UE位置信息的泄漏。

从上面的描述中可以看出，相关技术中，认证数据下发网元一次只能下发一个认证向量，后续认证操作必须通过归属网的认证数据下发网元执行，这影响了认证操作的信令效率。

基于此，在本公开的各种实施例中：第一网络功能实体依据针对终端的认证向量的有效性，相应向终端发送对应的标识类型指示；标识类型指示用于指示终端在发送后续消息时携带的终端标识信息；认证向量接收自第二网络功能实体；终端收到第一网络功能实体发送的标识类型指示后，依据标识类型指示，在向第一网络功能实体发送的消息中携带对应的终端标识信息。

实施例一

本公开实施例提供了一种终端标识的处理方法，应用于第一网络功能实体，如图2所示，该方法包括如下所述的步骤。

在步骤201，第一网络功能实体依据针对终端的认证向量的有效性，确定终端的标识类型对应的标识类型指示。

换句话说，第一网络功能实体依据针对终端的认证向量的使用情况(可用性)，确定终端的标识类型对应的标识类型指示。

这里，标识类型指示用于指示终端在发送后续消息时携带的终端标识信息。

当没有针对终端的能够使用的认证向量时，确定终端的标识类型对应标识类型指示为第一类型指示；第一类型指示表征第一网络功能实体能够根据对应的终端标识信息识别终端。

当有针对终端的能够使用的认证向量时，确定终端的标识类型对应标识类型指示为第二类型指示；第二类型指示表征第二网络功能实体能够根据对应终端标识信息识别终端。

其中，认证向量为第二网络功能实体下发的认证向量，即认证向量接收自第二网络功能实体。

从上面的描述中可以看出，认证向量的使用情况可以是有针对终端的能够使用的认证向量，或者可以是没有针对终端的能够使用的认证向量。简单地说，认证向量的使用情况可以分为有能使用的认证向量和没有能够使用的认证向量两种情况。

这里，认证向量用于终端与对应的网络进行相互认证。

实际应用时，第二网络功能实体可以根据需要下发至少一个认证向量。每个认证向量包含多个认证参数，这多个认证参数形成一个向量，即认证向量。

实际应用时，第一网络功能实体可以是接入网络的关键控制节点，比如核心网网元，可以是MME或MMF等。

实际应用时，第二网络功能实体可以是认证数据下发网元，即控制用户数据的节点，比如HSS或AUSF等。

在一实施例中，标识类型指示的表现形式可以为特定标识信息，也可以为非特定标识信息。

其中，当标识类型指示的表现形式为特定标识信息时，说明第一网络功能实体确定通过隐式的方式通知标识类型指示。比如，可以通过一种特定的终端标识信息，比如不是全零的标识信息，即指示了终端对应的终端标识信息，同时也指示了标识类型为第一类型还是第二类型，这样可以节约信令资源。

当标识类型指示的表现形式为特定标识信息时，说明第一网络功能实体确定通过显式的方式通知标识类型指示。比如，可以指示终端对应的终端标识信息，同时，再利用一个字段来指示标识类型为第一类型或是第二类型。

在一实施例中，该方法还可以包括：接收第二网络功能实体发送的终端的标识信息；接收的终端的标识信息用于第一网络功能实体与第二网络功能实体交互终端的相关信息。

这里，实际应用时，有一种情况是，第二网络功能实体并不会通过第一网络功能实体直接向终端下发第二类型的终端标识信息，此时终端会基于与第二网络功能实体共享的信息生成第二类型的终端标识信息，此时，第二网络功能实体会向第一网络功能实体发送终端的标识信息，以便第一网络功能实体与第二网络功能实体交互终端的相关信息。

其中，在生成终端的标识信息时，当第二网络功能实体通过第一网络功能实体向终端发送了计算参数时，终端会基于与第二网络功能实体共享的信息以及计算参数生成第二类型的终端标识信息。

在步骤202：第一网络功能实体依据确定的标识类型，向终端发送对应的标识类型指示。

当没有针对终端的能够使用的认证向量时，向终端发送的标识类型指示为第一类型指示。

当有针对终端的能够使用的认证向量时，向终端发送的标识类型指示为第二类型指示。

在一实施例中，向终端发送标识类型指示后，该方法还可以包括：第一网络功能实体接收终端发送的消息；当根据接收的消息中携带的终端标识信息不能识别终端时，第一网络功能实体向第二网络功能实体转发接收的消息中携带的终端标识信息，以对终端进行识别，以便由第二网络功能实体与终端基于对应的认证向量进行相互认证。

其中，当根据接收的消息中携带的终端标识信息能识别终端时，第一网络功能实体与终端基于对应的认证向量进行相互认证。

从上面的描述可以看出，本公开实施例中，第一网络功能实体依据针对终端的认证向量的有效性，相应向终端发送对应的标识类型指示；标识类型指示用于指示终端在发送后续消息时携带的终端标识信息；认证向量接收自第二网络功能实体。

另外，依据针对终端的认证向量的有效性，相应向终端发送对应的标识类型指示时，当没有针对终端的能够使用的认证向量时，当没有针对终端的能够使用的认证向量时，向终端发送的标识类型指示为第一类型指示；第一类型指示表征第一网络功能实体能够根据对应的终端标识信息识别终端。当有针对终端的能够使用的认证向量时，向终端发送的标识类型指示为第二类型指示；第二类型指示表征第二网络功能实体能够根据对应终端标识信息识别终端。

对应地，本公开实施例还提供了一种终端标识的处理方法，应用于终端，如图3所示，该方法包括如下所述的步骤。

在步骤301，终端接收第一网络功能实体发送的标识类型指示。

这里，标识类型指示用于指示终端发送消息时携带的终端标识信息。

在步骤302，依据标识类型指示，终端在向第一网络功能实体发送的消息中携带对应的终端标识信息。

其中，当接收的标识类型指示为第一类型指示时，在发送的消息中携带第一终端标识信息；第一类型指示表征第一网络功能实体能够根据第一终端标识信息识别终端，进而与终端基于对应的认证向量进行相互认证。

当接收的标识类型指示为第二类型指示时，在发送的消息中携带第二终端标识信息；第二类型指示表征第二网络功能实体能够根据第二终端标识信息识别终端，进而由第二网络功能实体与终端基于对应的认证向量进行相互认证。

其中，第一终端标识信息从第一网络功能实体接收，比如可以是终端从接收标识类型指示的消息中获取第一终端标识信息。

这里，实际应用时，有一种情况是，第二网络功能实体并不会通过第一网络功能实体直接向终端下发第二类型的终端标识信息，此时在执行步骤302之前，终端会基于与第二网络功能实体共享的信息生成第二终端标识信息，此时，第二网络功能实体会向第一网络功能实体发送终端的标识信息，以便第一网络功能实体与第二网络功能实体交互终端的相关信息。

另外，在一实施例中，该方法还可以包括：终端接收第一网络功能实体发送的计算参数；计算参数是第二网络功能实体下发的；当然，终端依据与第二网络功能实体共享的信息及计算参数，生成第二终端标识信息。

其中，从上面的描述可以看出，第二网络功能实体能够根据第二终端标识信息识别终端，进而由第二网络功能实体与终端基于对应的认证向量进行相互认证。

基于上述方法，本实施例还提供了一种终端标识的处理方法，包括以下步骤。

在步骤A，第一网络功能实体依据针对终端的认证向量的有效性，相应向终端发送对应的标识类型指示。

在步骤B，终端接收到第一网络功能实体发送的标识类型指示后，依据标识类型指示，在向第一网络功能实体发发送的消息中携带对应的终端标识信息。

需要说明的是，实际应用时，本公开实施例所描述的终端标识信息可以根据需要来选择，只要可以标识终端的信息即可，本公开实施例对此不做限定。

另外，第一网络功能实体和终端的处理过程已在上文详述，这里不再赘述。

本公开实施例提供的终端标识的处理方法，第一网络功能实体依据针对终端的认证向量的有效性，相应向终端发送对应的标识类型指示；认证向量接收自第二网络功能实体；终端收到第一网络功能实体发送的标识类型指示后，依据标识类型指示，在向第一网络功能实体发送的消息中携带对应的终端标识信息，由于向终端指示了标识类型，所以终端可以根据指示的类型在消息中携带对应的终端标识，以便后续可以由第一网络功能实体与终端直接进行认证操作，从而能够提高认证操作的信令效率。

当没有针对终端的能够使用的认证向量时，向终端发送标识类型指示为第一类型指示；第一类型指示表征第一网络功能实体能够根据对应的终端标识信息识别终端，以便由第一网络功能实体与终端直接进行认证操作，不需要第二网络功能实体的参与，从而提高了认证操作的信令效率。

实施例二

在实施例一的基础上，本实施例详细描述终端标识变换的过程。

本实施例终端标识变换的方法，如图4所示，包括以下步骤。

在步骤401，UE向核心网网元发送附着请求。

这里，实际应用时，核心网网元可以是MME或MMF等。

发送附着请求，可以是发送Attach Request消息。

发送的附着请求中携带UE的标识ID1。

其中，ID1可以是IMSI，或UE之前收到的标识等。

在步骤402，核心网网元收到附着请求后，向认证数据下发网元发送认证数据请求。

这里，实际应用时，认证数据下发网元可以是HSS或AUSF等。

发送认证数据请求，可以是发Authentication Data Request消息等。

发送的认证数据请求中携带ID1。

在步骤403，认证数据下发网元收到请求后，为UE生成新的标识ID2。

在步骤404，认证数据下发网元向核心网网元发送认证数据响应。

这里，实际应用时，发送认证数据响应，可以是发送Authentication Data Response消息等。

发送的认证数据响应中携带一组认证向量以及ID2。

在步骤405，核心网网元收到响应后，向UE发送用户认证请求。

这里，实际应用时，发送用户认证请求，可以是发送User Authentication Request消息等。

发送的用户认证请求中携带一组认证向量中的一个认证向量的部分信息组成的认证参数，比如RAND和AUTN，并携带ID2。

其中，AUTN用于UE验证网络，RAND用于网络验证UE的用户。

在步骤406，UE收到请求后，基于AUTN验证网络；基于RAND计算出响应值RES，并向核心网网元发送用户认证响应。

这里，实际应用时，发送用户认证响应，可以是发送User Authentication Response消息等。

用户响应中携带认证信息，即RES。

在步骤407，核心网网元收到响应后，将RES和对应认证向量中的XRES进行比对，如果RES＝XRES则网络验证用户通过，执行步骤408。

在步骤408：核心网网元向UE发送附着接受消息。

这里，实际应用时，发送附着接受消息，可以是发送附着接受(Attach Accept)消息等。

附着接受消息中携带核心网网元分配的临时标识TID1。

其中，TID1不是特定标识信息，比如不是全0的标识信息，因此UE可以视其为标识类型指示。

或者，也可以在附着接受消息中携带TID1及标识类型指示，比如携带id-type字段以指示UE使用TID1。

终端接收到附着接受消息后，后续过程中，终端使用临时标识TID1发送消息。

在步骤409，UE再次向核心网网元发送附着请求。

这里，附着请求中携带TID1。

在步骤410，核心网网元收到请求后，向UE发送用户认证请求。

用户认证请求中携带一个未被使用的针对该UE的认证向量中的部分信息组成的认证参数，比如RAND和AUTN。

在步骤411，UE收到用户认证请求后，基于AUTN验证网络；UE基于RAND计算出响应值RES，并向核心网网元发送用户认证响应。

用户响应中携带认证信息，即RES。

在步骤412，核心网网元收到响应后，将RES和对应认证向量中的XRES进行比对，如果RES＝XRES则网络验证用户通过，则执行步骤413。

在步骤413：核心网网元向终端发送附着接受消息。

这里，实际应用时，发送附着接受消息，可以是发送Attach Accept消息等。

其中，在发送附着接受消息之前，核心网网元会判断是否还有可以使用的针对该UE的认证向量，如果还有，则附着接受消息携带核心网网元分配的临时标识TID2。与TID1类似的，TID2不是特定标识信息，比如不是全0的标识信息，因此UE可以视其为标识类型指示，也可以在该消息中携带标识类型指示，比如携带id-type字段以指示终端使用TID2。如果没有可以使用的针对该UE的认证向量，则附着接受消息携带标识类型指示以及核心网分配的临时标识信息TID2，或消息要携带特定的临时标识作为标识信息，比如全0标识信息，以指示终端临时标识不可用，需使用ID2。

收到附着接受消息后，UE可以依据标识类型指示在发送的消息中携带相应的标识信息。当UE发送的消息中携带ID2时，由于核心网网元无法识别UE，所以核心网网元会将ID2转发给认证数据下发网元，由认证数据下发网元识别UE，并下发新的针对UE的认证向量组给核心网网元，以便核心网网元能够再次对UE进行识别。

需要说明的是：实际应用时，在步骤409中，UE还可以是向核心网网元发送业务请求，比如业务请求(Service Request)消息，后续处理过程与步骤410～413完全相同。

实施例三

在实施例一、二的基础上，本实施例详细描述终端标识变换的过程。

本实施例终端标识变换的方法，如图5所示，包括以下步骤。

在步骤501，UE向核心网网元发送附着请求。

这里，实际应用时，核心网网元可以是MME或MMF等。

发送附着请求，可以是发送Attach Request消息。

发送的附着请求中携带UE的标识ID1。

其中，ID1可以是IMSI，或UE之前收到的标识等。

在步骤502，核心网网元收到附着请求后，向认证数据下发网元发送认证数据请求。

这里，实际应用时，认证数据下发网元可以是HSS或AUSF等。

发送认证数据请求，可以是发Authentication Data Request消息等。

发送的认证数据请求中携带ID1。

在步骤503，认证数据下发网元收到请求后，根据与该UE共享的密钥Ki，ID1或该终端的初始标识ID0，生成新的标识ID2。

这里，实际应用时，生成新的标识ID2时，还可以根据与该UE共享的密钥Ki，ID1或该终端的初始标识ID0，以及计算参数(比如随机数或认证参数组中的其它数值等)，生成新的标识ID2。

其中，实际应用时，其它数值可以是认证参数组中变化的其它数值。

在步骤504，认证数据下发网元向核心网网元发送认证数据响应。

发送的认证数据响应中携带一组认证向量。当认证数据下发网元生成ID2时使用了计算参数时，发送的认证数据响应还可以进一步携带计算参数。

在步骤505，核心网网元收到响应后，向UE发送用户认证请求。

发送的用户认证请求中携带一组认证向量中的一个认证向量的部分信息组成的认证参数，比如RAND和AUTN。

相应地，当核心网网元收到的响应中携带了计算参数时，发送的用户认证请求还可以携带计算参数。

在步骤506，UE收到请求后，利用与认证数据下发网元相同的信息计算新的标识ID2。

当请求中未携带计算参数时，UE根据密钥Ki，ID1或该终端的初始标识ID0计算ID2；当请求中携带计算参数时，UE根据密钥Ki，ID1或该终端的初始标识ID0，以及计算参数计算ID2。

与认证数据下发网元相同的信息，可以认为是与认证数据下发网元共享的信息。

在步骤507，UE基于AUTN验证网络；UE基于RAND计算出响应值RES，并向核心网网元发送用户认证响应。

用户响应中携带认证信息，即RES。

在步骤508，核心网网元收到响应后，将RES和该认证向量中的XRES进行比对，如果RES＝XRES则网络验证用户通过，执行步骤509。

在步骤509，核心网网元向UE发送附着接受消息。

附着接受消息中携带核心网网元分配的临时标识TID1。

或者，也可以在附着接受消息中携带TID1及标识类型指示，比如携带id-type字段以指示终端使用TID1。

在步骤510，UE再次向核心网网元发送附着请求。

这里，附着请求中携带TID1。

在步骤511：核心网网元收到请求后，向UE发送用户认证请求。

在步骤512，UE收到用户认证请求后，基于AUTN验证网络；UE基于RAND计算出响应值RES，并向核心网网元发送用户认证响应。

用户响应中携带认证信息，即RES。

在步骤513，核心网网元收到响应后，将RES和对应认证向量中的XRES进行比对，如果RES＝XRES则网络验证用户通过，则执行步骤514；

在步骤514，核心网网元向终端发送附着接受消息。

收到附着接受消息后，UE可以依据标识类型指示在发送的消息中携带相应的标识信息。当UE发送的消息中携带ID2时，由于核心网网元无法识别UE，所以核心网网元会将ID2转发给认证数据下发网元，由认证数据下发网元识别UE，并下发新的针对UE的认证向量组给核心网网元。

需要说明的是：实际应用时，在步骤510中，UE还可以是向心网网元发送业务请求，比如Service Request消息，后续处理过程与步骤511～514完全相同。

实施例四

本实施例详细描述终端标识变换的过程。

本实施例终端标识变换的方法，如图6所示，包括以下步骤。

在步骤601，UE向核心网网元发送附着请求。

这里，实际应用时，核心网网元可以是MME或MMF等。

发送附着请求，可以是发送Attach Request消息。

发送的附着请求中携带UE的标识ID1。

其中，ID1可以是IMSI，或UE之前收到的标识等。

在步骤602，核心网网元收到附着请求后，向认证数据下发网元发送认证数据请求。

这里，实际应用时，认证数据下发网元可以是HSS或AUSF等。

发送认证数据请求，可以是发Authentication Data Request消息等。

发送的认证数据请求中携带ID1。

在步骤603，认证数据下发网元收到请求后，根据与该UE共享的密钥Ki，ID1或该终端的初始标识ID0，生成新的标识ID2。

在步骤604，认证数据下发网元向核心网网元发送认证数据响应。

发送的认证数据响应中携带一组认证向量和锚定标识AID1。

其中，AID1用于核心网网元与认证数据下发网元交互该UE的相关信息。

当认证数据下发网元生成ID2时使用了计算参数时，发送的认证数据响应还可以进一步携带计算参数。

在步骤605，核心网网元收到响应后，向UE发送用户认证请求。

在步骤606，UE收到请求后，利用与认证数据下发网元相同的信息计算新的标识ID2。

在步骤607，UE基于AUTN验证网络；UE基于RAND计算出响应值RES，并向核心网网元发送用户认证响应。

用户响应中携带认证信息，即RES。

在步骤608，核心网网元收到响应后，将RES和该认证向量中的XRES进行比对，如果RES＝XRES则网络验证用户通过，执行步骤609。

在步骤609：核心网网元向UE发送附着接受消息。

附着接受消息中携带核心网网元分配的临时标识TID1。

在步骤610，UE再次向核心网网元发送附着请求。

这里，附着请求中携带TID1。

在步骤611，核心网网元收到请求后，向UE发送用户认证请求。

在步骤612，UE收到用户认证请求后，基于AUTN验证网络；UE基于RAND计算出响应值RES，并向核心网网元发送用户认证响应。

用户响应中携带认证信息，即RES。

在步骤613，核心网网元收到响应后，将RES和对应认证向量中的XRES进行比对，如果RES＝XRES则网络验证用户通过，则执行步骤614。

在步骤614，核心网网元向终端发送附着接受消息。

需要说明的是：实际应用时，在步骤610中，UE还可以是向心网网元发送业务请求，比如Service Request消息，后续处理过程与步骤611～614完全相同。

从实施例二至四可以看出，本公开实施例提供的方案，使用两种终端标识信息：一种由核心网网元分配，另一种由认证数据下发网元分配，并由核心网网元通知终端使用哪种终端标识信息，认证数据下发网元可以一次下发多个认证向量，使得认证操作可以在拜访地的核心网网元执行，从而提高了认证操作的信令效率。

实施例五

为实现本公开实施例的方法，本实施例提供一种终端标识的处理装置，设置在第一网络功能实体，如图7所示，该装置包括：确定单元71和发送单元72。

发送单元72设置为依据确定单元71确定的针对终端的认证向量的有效性，相应向终端发送对应的标识类型指示；标识类型指示用于指示终端在发送后续消息时携带的终端标识信息。

也就是说，确定单元71依据针对终端的认证向量的有效性(也可以理解为使用情况)，确定终端的标识类型对应的标识类型指示；相应地，发送单元72依据确定的标识类型指示，向终端发送对应的标识类型指示。

当没有针对终端的能够使用的认证向量时，确定单元71确定终端的标识类型对应标识类型指示为第一类型指示；第一类型指示表征第一网络功能实体能够根据对应的终端标识信息识别终端。

当有针对终端的能够使用的认证向量时，第一确定单元71确定终端的标识类型对应标识类型指示为第二类型指示；第二类型指示表征第二网络功能实体能够根据对应终端标识信息识别终端。

相应地，对于发送单元72，当没有针对终端的能够使用的认证向量时，向终端发送的标识类型指示为第一类型指示；当有针对终端的能够使用的认证向量时，向终端发送的标识类型为第二类型指示；第二类型指示表征第二网络功能实体能够根据对应的终端标识信息识别终端。

这里，认证向量用于终端与对应的网络进行相互认证。

在一实施例中，该装置还可以包括：第一接收单元，设置为接收第二网络功能实体发送的终端的标识信息；接收的终端的标识信息用于第一网络功能实体与第二网络功能实体交互终端的相关信息。

在一实施例中，第一接收单元，设置为接收终端发送的消息。发送单元72，还设置为当根据接收的消息中携带的终端标识信息不能识别终端时，向第二网络功能实体转发接收的消息中携带的终端标识信息，以对终端进行识别，以便由第二网络功能实体与终端基于对应的认证向量进行相互认证。

实际应用时，确定单元71可由终端标识的处理装置中的处理器实现；发送单元72及第一接收单元可由终端标识的处理装置中的通信接口实现。

基于此，本公开实施例还提供了一种网络功能实体，为第一网络功能实体，第一网络功能实体包括：第一处理器和第一通信接口。

第一通信接口设置为依据第一处理器确定的针对终端的认证向量的有效性，相应向终端发送对应的标识类型指示；标识类型指示用于指示终端在发送后续消息时携带的终端标识信息；认证向量接收自第二网络功能实体。

其中，当没有针对终端的能够使用的认证向量时，第一通信接口向终端发送的标识类型指示为第一类型指示；第一类型指示表征第一网络功能实体能够根据对应的终端标识信息识别终端。

当有针对终端的能够使用的认证向量时，第一通信接口向终端发送的标识类型为第二类型指示；第二类型指示表征第二网络功能实体能够根据对应的终端标识信息识别终端。

第一处理器及第一通信接口的实现功能可参照前述方法和装置的相关描述而理解，这里不再赘述。

对应地，为实现本公开实施例终端侧的终端标识的处理方法，本公开实施例还提供了一种终端标识的处理装置，如图8所示，该装置包括：第二接收单元81和处理单元82。

第二接收单元81设置为接收第一网络功能实体发送的标识类型指示。

处理单元82设置为依据标识类型指示，在向第一网络功能实体发送的消息中携带对应的终端标识信息。

在一实施例中，对于处理单元82：当接收的标识类型指示为第一类型指示时，在发送的消息中携带第一终端标识信息；第一类型指示表征第一网络功能实体能够根据第一终端标识信息识别终端，进而与终端基于对应的认证向量进行相互认证；或者，当接收的标识类型指示为第二类型指示时，在发送的消息中携带第二终端标识信息；第二类型指示表征第二网络功能实体能够根据第二终端标识信息识别终端，进而由第二网络功能实体与终端基于对应的认证向量进行相互认证。

这里，实际应用时，有一种情况是，第二网络功能实体并不会通过第一网络功能实体直接向终端下发第二类型的终端标识信息，此时处理单元82会基于与第二网络功能实体共享的信息生成第二终端标识信息，此时，第二网络功能实体会向第一网络功能实体发送终端的标识信息，以便第一网络功能实体与第二网络功能实体交互终端的相关信息。

另外，在一实施例中，第二接收单元81，还用于接收第一网络功能实体发送的计算参数；计算参数是第二网络功能实体下发的；处理单元82，设置为：依据与第二网络功能实体共享的信息及计算参数，生成第二终端标识信息。

实际应用时，第二接收单元81可由终端标识的处理装置中的通信接口实现；处理单元82可由终端标识的处理装置中的处理器实现。

基于此，本公开实施例还提供了一种终端，包括：第二通信接口和第二处理器。

第二通信接口设置为接收第一网络功能实体发送的标识类型指示；第二处理器设置为依据标识类型指示，在通过第二通信接口向第一网络功能实体发送的消息中携带对应的终端标识信息。

其中，当标识类型指示为第一类型指示时，第二处理器在发送的消息中携带第一终端标识信息；第一类型指示表征第一网络功能实体能够根据第一终端标识信息识别终端；第一终端标识信息从第一网络功能实体接收。

当标识类型指示为第二类型指示时，第二处理器在发送的消息中携带第二终端标识信息；第二类型指示表征第二网络功能实体能够根据第二终端标识信息识别终端。

第二通信接口及第二处理器的实现功能可参照前述方法和装置的相关描述而理解，这里不再赘述。

基于上述装置，本公开实施例还提供了一种终端标识的处理系统，该系统包括：第一网络功能实体和终端。

第一网络功能实体设置为依据针对终端的认证向量的有效性，相应向终端发送对应的标识类型指示；终端设置为接收到第一网络功能实体发送的标识类型指示后，依据标识类型指示，在向第一网络功能实体发送的消息中携带对应的终端标识信息。

需要说明的是：实际应用时，本公开实施例所描述的终端标识信息可以根据需要来选择，只要可以标识终端的信息即可，本公开实施例不对此做限定。

本领域内的技术人员应明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本公开的较佳实施例而已，并非用于限定本公开的保护范围。

Claims

一种应用于第一网络功能实体的终端标识的处理方法，，所述方法包括：

依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。
根据权利要求1所述的方法，其中，所述依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示时，所述方法包括：

当没有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。
根据权利要求1所述的方法，其中，所述依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示时，所述方法包括：

当有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应的终端标识信息识别所述终端。
根据权利要求1-3中任一项所述的方法，其中，所述标识类型指示的表现形式为特定标识信息、或为非特定标识信息。
根据权利要求1-4中任一项所述的方法，还包括：

接收第二网络功能实体发送的所述终端的标识信息；接收的所述终端的标识信息用于所述第一网络功能实体与所述第二网络功能实体交互所述终端的相关信息。
一种应用于终端的终端标识的处理方法，，所述方法包括：

接收第一网络功能实体发送的标识类型指示；

依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息。
根据权利要求6所述的方法，其中，所述方法还包括：

当所述标识类型指示为第一类型指示时，在所述发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端；所述第一终端标识信息从所述第一网络功能实体接收。
根据权利要求6所述的方法，其中，所述方法还包括：

当所述标识类型指示为第二类型指示时，在所述发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端。
根据权利要求6-8中任一项所述的方法，还包括：

依据与第二网络功能实体共享的信息，生成第二终端标识信息；所述第二网络功能实体能够根据所述第二终端标识信息识别所述终端。
根据权利要求6-9中任一项所述的方法，还包括：

接收所述第一网络功能实体发送的计算参数；所述计算参数是第二网络功能实体下发的；

依据与所述第二网络功能实体共享的信息及计算参数，生成第二终端标识信息；所述第二网络功能实体能够根据所述第二终端标识信息识别所述终端。
根据权利要求6-10中任一项所述的方法，其中，所述标识类型指示的表现形式为特定标识信息、或为非特定标识信息。
一种终端标识的处理装置，所述装置包括：

确定单元；

发送单元，设置为依据所述确定单元确定的针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。
根据权利要求12所述的装置，其中，

当没有针对所述终端的能够使用的认证向量时，所述发送单元向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。
根据权利要求12所述的装置，其中，

当有针对所述终端的能够使用的认证向量时，所述发送单元向所述终端发送的标识类型为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应的终端标识信息识别所述终端。
一种终端标识的处理装置，所述装置包括：

第二接收单元，设置为接收第一网络功能实体发送的标识类型指示；

处理单元，设置为依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息。
根据权利要求15所述的装置，其中，

当所述标识类型指示为第一类型指示时，所述处理单元在所述发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端；所述第一终端标识信息从所述第一网络功能实体接收。
根据权利要求15所述的装置，其中，

当所述标识类型指示为第二类型指示时，所述处理单元在发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端。
一种网络功能实体，包括：

第一处理器；

第一通信接口，设置为依据所述第一处理器确定的针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自另一网络功能实体。
根据权利要求18所述的网络功能实体，其中，

当没有针对所述终端的能够使用的认证向量时，所述第一通信接口向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述网络功能实体能够根据对应的终端标识信息识别所述终端。
根据权利要求18所述的网络功能实体，其中，

当有针对所述终端的能够使用的认证向量时，所述第一通信接口向所述终端发送的标识类型为第二类型指示；所述第二类型指示表征所述另一网络功能实体能够根据对应的终端标识信息识别所述终端。
一种终端，包括：

第二通信接口，设置为接收第一网络功能实体发送的标识类型指示；

第二处理器，设置为依据所述标识类型指示，在通过所述第二通信接口向所述第一网络功能实体发送的消息中携带对应的终端标识信息。
根据权利要求21所述的终端，其中，

当所述标识类型指示为第一类型指示时，所述第二处理器在所述发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端；所述第一终端标识信息从所述第一网络功能实体接收。
根据权利要求21所述的终端，其中，

当所述标识类型指示为第二类型指示时，所述第二处理器在发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端。