WO2020147854A1

WO2020147854A1 - 认证方法、装置、系统以及存储介质

Info

Publication number: WO2020147854A1
Application number: PCT/CN2020/072947
Authority: WO
Inventors: 谢振华
Original assignee: 中兴通讯股份有限公司
Priority date: 2019-01-18
Filing date: 2020-01-19
Publication date: 2020-07-23
Also published as: CN110536291A

Abstract

本发明实施例公开了一种认证方法、装置、系统以及存储介质，所述认证方法包括：接收第一节点的第一消息；其中，所述第一消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下之一：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一节点的第一消息。

Description

认证方法、装置、系统以及存储介质

本申请要求在2019年01月18日提交中国专利局、申请号为201910049495.X的中国专利申请的优先权，该申请的全部内容通过引用结合在本申请中。

技术领域

本发明实施例涉及通信领域，例如涉及一种认证方法、装置、系统以及存储介质。

背景技术

第三代合作伙伴计划(3GPP，3rd Generation Partnership Project)制定了用户标识隐藏的规范。即终端预先通过其他方式获取归属网的公钥(比如预先写进全球用户识别模块(USIM，Universal Subscriber Identity Module)卡中)，终端使用归属网的公钥对用户标识进行加密后传递给归属网，归属网使用与该公钥对应的私钥解密后获得明文的用户标识，再基于明文的用户标识查询用户相关的信息。

基于相关的用户标识隐藏技术，产生的密文用户标识可能会尺寸非常大，攻击者可以规模产生巨大尺寸的假密文用户标识发送给网络，使得归属网的相关接口处的数据流量非常大，从而降低相关接口的数据转发效率，影响归属网对正常用户的认证处理能力。

发明内容

本发明实施例提供了一种认证方法、装置、系统以及存储介质，能够提高归属网对正常用户的认证处理能力。

本发明实施例提供了一种认证方法，包括：

接收第一节点的第一消息；其中，所述第一消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下任意一个：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；

根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一节点的第一消息。

本发明实施例提供了一种认证方法，包括以下任意一个：

接收第二消息；发送第三消息；其中，所述第三消息包括部分或全部用户标识配置信息；

接收并转发第二消息；接收并转发第三消息；其中，所述第三消息包括部分或全部用户标识配置信息；

接收第二节点的第四消息；其中，所述第四消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下任意一个：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；发送第五消息，所述第五消息包括部分或全部所述用户标识配置信息。

本发明实施例提供了一种认证装置，包括：

第一接收模块，用于接收第一节点的第一消息；其中，所述第一消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下任意一个：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；

确定模块，用于根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一节点的第一消息。

本发明实施例提供了一种认证装置，包括：

第二接收模块，用于执行以下任意一个：

接收第二消息；

接收第三消息；其中，所述第三消息包括部分或全部用户标识配置信息；

接收第二节点的第四消息；其中，所述第四消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下任意一个：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；

发送模块，用于执行以下任意一个：

发送第三消息；其中，第三消息包括部分或全部用户标识配置信息；

转发第三消息；其中，所述第三消息包括部分或全部用户标识配置信息；

发送第五消息，所述第五消息包括部分或全部所述用户标识配置信息；

发送第六消息，所述第六消息包括部分或全部用户标识配置信息。

本发明实施例提供了一种认证装置，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令被所述处理器执行时，实现上述任一种认证方法。

本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一种认证方法。

本发明实施例提供了一种认证系统，包括：

第一网络功能，用于接收第一节点的第一消息；其中，所述第一消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下任意一个：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一节点的第一消息。

本发明实施例包括：接收第一节点的第一消息；其中，所述第一消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下任意一个：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一节点的第一消息。本发明实施例基于用户标识配置信息确定是否转发第一消息，提高了归属网对正常用户的认证处理能力。

附图说明

图1为本发明一个实施例提出的认证方法的流程图；

图2为本发明实施例示例1提出的认证方法的流程图；

图3为本发明实施例示例2提出的认证方法的流程图；

图4为本发明实施例示例3提出的认证方法的流程图；

图5为本发明实施例示例4提出的认证方法的流程图；

图6为本发明另一个实施例提出的认证装置的结构组成示意图；

图7为本发明另一个实施例提出的认证装置的结构组成示意图。

具体实施方式

下文中将结合附图对本发明实施例进行详细说明。需要说明的是，在不冲突的情况下，本发明实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

参见图1，本发明一个实施例提出了一种认证方法，包括：

步骤100、接收第一节点的第一消息；其中，所述第一消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下任意一个：明文的加密模式标识；明文的加密模式标识和明文的密钥标识。

在本发明实施例中，第一消息可以是注册请求消息。

在本发明实施例中，加密信息是对明文的用户标识的部分或全部信息进行加密得到。

步骤101、根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一节点的第一消息。

在本发明实施例中，用户标识配置信息包括以下至少之一：用户标识加密模式标识列表；用户标识加密密钥标识列表；最大尺寸信息；每一个加密模式标识对应的最大尺寸信息。

在本发明实施例中，根据隐藏的用户标识和用户标识配置信息确定是否转发第一消息包括：

当满足以下条件至少之一时，拒绝所述第一消息：所述加密模式标识不在所述用户标识加密模式标识列表中；所述密钥标识不在所述用户标识加密密钥标识列表中；部分或全部所述隐藏的用户标识的尺寸大于所述最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息；部分或全部所述隐藏的用户标识的尺寸大于所述加密模式标识对应的最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息。

当满足以下条件至少之一时，转发所述第一消息：所述加密模式标识在所述用户标识加密模式标识列表中；所述密钥标识在所述用户标识加密密钥标识列表中；部分或全部所述隐藏的用户标识的尺寸小于或等于所述最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息；部分或全部所述隐藏的用户标识的尺寸小于或等于所述加密模式标识对应的最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息。

在本发明另一个实施例中，接收第一消息之前，该方法还包括：

获取部分或全部所述用户标识配置信息。

也可以通过预先配置的方式配置部分或全部所述用户标识配置信息。

其中，所述获取部分或全部用户标识配置信息包括以下任意一种：

发送第二消息；接收第三消息；其中，所述第三消息包括部分或全部所述用户标识配置信息。

接收并转发第二节点的第四消息；接收第五消息，向所述第二节点发送所述第五消息，所述第五消息包括部分或全部所述用户标识配置信息。

接收第三节点的第六消息，所述第六消息包括部分或全部所述用户标识配置信息。

在本发明实施例中，第二消息为用户标识配置信息获取请求(如用户标识配置请求(Identifier Configuration Request)消息)，所述第三消息为用户标识配置信息获取响应(如用户标识配置响应(Identifier Configuration Response)消息)，所述第四消息为注册请求(如注册请求(Registration Request)消息)，所述第五消息为注册响应(如注册响应(Authentication Request)消息)，第六消息可以是任意消息，如注册请求(如注册请求消息)。

本发明实施例基于用户标识配置信息确定是否转发第一消息，提高了归属网对正常用户的认证处理能力。

本发明另一个实施例提出了一种认证方法，包括以下任意一个：

接收第二消息；发送第三消息；其中，所述第三消息包括部分或全部用户标识配置信息。

接收并转发第二消息；接收并转发第三消息；其中，所述第三消息包括部分或全部用户标识配置信息。

接收第二节点的第一消息；其中，所述第一消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下任意一个：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；发送第一响应，所述第一响应包括部分或全部所述用户标识配置信息。

下面通过具体示例说明上述方法的具体实现过程，所列举的例子不用于限定本发明实施例的认证方法的保护范围。

示例1

参见图2，该流程包括：

步骤201、拜访网的安全边界保护代理(SEPP，Security Edge Protection Proxy)1(SEPP1)向归属网的安全边界保护代理2(SEPP2)发送用户标识配置信息获取请求，比如发送Identifier Configuration Request消息。

步骤202、SEPP2向签约数据管理功能(比如授权服务功能(AUSF，Authentication Server Function)或统一数据管理(UDM，Unified Data Management))转发用户标识配置信息获取请求。

步骤203、签约用户数据管理功能向SEPP2发送用户标识配置信息获取响应，比如发送Identifier Configuration Response消息。

本步骤中，用户标识配置信息获取响应包括用户标识配置信息，用户标识配置信息包括以下至少之一：用户标识加密模式标识列表；用户标识加密密钥标识列表；最大尺寸信息；每一个加密模式标识对应的最大尺寸信息。

步骤204、SEPP2转发用户标识配置信息获取响应给SEPP1。

步骤205、SEPP1所在的拜访网中的移动终端发起注册请求，比如发送Registration Request消息，该注册请求会被转发往归属网，该实施例中，此移动终端的归属网为SEPP2所在的网络，注册请求消息会通过SEPP1到达SEPP2。

本步骤中，注册请求携带隐藏的用户标识，隐藏的用户标识中包含加密信息和明文的加密模式标识，可能包含密钥标识。加密信息对明文用户标识的部分信息进行加密得到。

步骤206、SEPP1根据所述隐藏的用户标识和用户标识配置信息确定是否转发移动终端的注册请求。

本步骤中，当满足以下条件至少之一时，拒绝所述注册请求：所述加密模式标识不在所述用户标识加密模式标识列表中；所述密钥标识不在所述用户标识加密密钥标识列表中；部分或全部所述隐藏的用户标识的尺寸大于所述最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息；部分或全部所述隐藏的用户标识尺寸大于所述加密模式标识对应的最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息。

当满足以下条件至少之一时，转发所述注册请求：所述加密模式标识在所述用户标识加密模式标识列表中；所述密钥标识在所述用户标识加密密钥标识列表中；部分或全部所述隐藏的用户标识的尺寸小于或等于所述最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息；部分或全部所述隐藏的用户标识尺寸小于或等于所述加密模式标识对应的最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息。

示例2

参见图3，该流程包括：

步骤301、拜访网的安全边界保护代理(SEPP，Security Edge Protection Proxy)1(SEPP1)向归属网的安全边界保护代理2(SEPP2)发送用户标识配置信息获取请求，比如发送Identifier Configuration Request消息。

步骤302、SEPP2向SEPP1发送用户标识配置信息获取响应。

步骤303、SEPP1所在的拜访网中的移动终端发起注册请求，比如发送Registration Request消息，该注册请求会被转发往归属网，该实施例中，此移动终端的归属网为SEPP2所在的网络，注册请求消息会通过SEPP1到达SEPP2。

步骤304、SEPP1根据所述隐藏的用户标识和用户标识配置信息确定是否转发移动终端的注册请求。

当满足以下条件至少之一时，转发所述注册请求：所述加密模式标识在所述用户标识加密模式标识列表中；所述密钥标识在所述用户标识加密密钥标识列表中；部分或全部所述隐藏的用户标识的尺寸小于或等于所述最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识包含所述加密信息；部分或全部所述隐藏的用户标识尺寸小于或等于所述加密模式标识对应的最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识包含所述加密信息。

示例3

参见图4，该流程包括：

步骤401、SEPP2向签约数据管理功能(比如AUSF或UDM)转发用户标识配置信息获取请求。

步骤402、签约用户数据管理功能向SEPP2发送用户标识配置信息获取响应，比如发送Identifier Configuration Response消息。

步骤403、SEPP1所在的拜访网中的移动终端发起注册请求，比如发送Registration Request消息，该注册请求会被转发往归属网，该实施例中，此移动终端的归属网为SEPP2所在的网络，注册请求消息会通过SEPP1到达SEPP2。

步骤404、SEPP2根据所述隐藏的用户标识和用户标识配置信息确定是否转发移动终端的注册请求。

示例4

参见图5，该流程包括：

以下步骤501～504为可选步骤。

步骤501、核心网控制功能(比如接入管理功能(AMF，Access Management))所在的拜访网中的移动终端1发起注册请求，比如发送Registration Request消息，该注册请求会被转发往归属网，该实施例中，此移动终端1的归属网为签约数据管理功能(比如AUSF或UDM)所在的网络，注册请求消息会到达核心网控制功能。

步骤502、核心网控制功能转发注册请求给签约数据管理功能。

步骤503、签约数据管理功能发送注册响应给核心网控制功能，比如发送Authentication Request消息。

本步骤中，注册响应包括用户标识配置信息，用户标识配置信息包括以下至少之一：用户标识加密模式标识列表；用户标识加密密钥标识列表；最大尺寸信息；每一个加密模式标识对应的最大尺寸信息。

步骤504、核心网控制功能发送注册响应消息给移动终端1，不携带用户标识配置信息，完成此移动终端1的网络接入过程。

步骤505、核心网控制功能(比如AMF)通过步骤501～504获得了用户标识配置信息，或者通过网管服务器的推送(即网管服务器将用户标识配置信息发送给核心网控制功能)获得了用户标识配置信息。核心网控制功能(比如AMF)所在的拜访网中的移动终端2发起注册请求，比如发送Registration Request消息，该注册请求会被转发往归属网，该实施例中，此移动终端2的归属网为签约数据管理功能(比如AUSF或UDM)所在的网络，注册请求消息会到达核心网控制功能。

步骤506、核心网控制功能根据所述隐藏的用户标识和用户标识配置信息确定是否转发移动终端2的注册请求。

参见图6，本发明另一个实施例提出了一种认证装置(例如，拜访网的安全边界保护代理1、或归属网的安全边界保护代理2、或核心网控制功能等)，包括：第一接收模块601，用于接收第一节点的第一消息；其中，所述第一消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下任意一个：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；确定模块602，用于根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一节点的第一消息。

在本发明实施例中，确定模块602具体用于：

当满足以下条件至少之一时，拒绝所述第一消息：所述加密模式标识不在所述用户标识加密模式标识列表中；所述密钥标识不在所述用户标识加密密钥标识列表中；部分或全部所述隐藏的用户标识的尺寸大于所述最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息；部分或全部所述隐藏的用户标识尺寸大于所述加密模式标识对应的最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息。

在本发明实施例中，确定模块602具体用于：

当满足以下条件至少之一时，转发所述第一消息：所述加密模式标识在所述用户标识加密模式标识列表中；所述密钥标识在所述用户标识加密密钥标识列表中；部分或全部所述隐藏的用户标识的尺寸小于或等于所述最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息；部分或全部所述隐藏的用户标识尺寸小于或等于所述加密模式标识对应的最大尺寸信息，其中，所述部分或全部所述隐藏的用户标识至少包含所述加密信息。

在本发明另一个实施例中，还包括：

获取模块603，用于获取部分或全部所述用户标识配置信息。

参见图7，本发明另一个实施例提出了一种认证装置(例如，归属网的安全边界保护代理2、或签约数据管理功能)，包括：

第二接收模块701，用于执行以下任意一个：

接收第二消息。

接收第三消息；其中，所述第三消息包括：部分或全部用户标识配置信息。

接收第二节点的第四消息；其中，所述第四消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下任意一个：明文的加密模式标识；明文的加密模式标识和明文的密钥标识。

发送模块702，用于执行以下任意一个：

发送所述第三消息；其中，所述第三消息包括：部分或全部用户标识配置信息。

转发所述第三消息；其中，所述第三消息包括：部分或全部用户标识配置信息。

发送第五消息，所述第五消息包括部分或全部所述用户标识配置信息。

本发明另一个实施例提出了一种认证装置，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令被所述处理器执行时，实现上述任一种认证方法。

本发明另一个实施例提出了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一种认证方法的步骤。

本发明另一个实施例提出了一种认证系统，包括：

在本发明实施例中，所述第一网络功能还用于：

获取部分或全部所述用户标识配置信息。

在本发明实施例中，所述第一网络功能具体用于采用以下任意一种方式实现所述获取部分或全部用户标识配置信息：

所述认证系统还包括：第二网络功能；或者第二网络功能和第三网络功能；或第三节点；其中，所述第二网络功能，用于执行以下任意一个：

接收第二消息；发送所述第三消息；其中，所述第三消息包括部分或全部用户标识配置信息。

接收第二节点的第四消息；发送第五消息，所述第五消息包括部分或全部所述用户标识配置信息。

所述第三网络功能，用于接收并转发第二消息；接收并转发所述第三消息；其中，所述第三消息包括部分或全部用户标识配置信息。

所述第三节点，用于发送第六消息，所述第六消息包括部分或全部用户标识配置信息。

其中，所述用户标识配置信息包括以下至少之一：用户标识加密模式标识列表；用户标识加密密钥标识列表；最大尺寸信息；每一个加密模式标识对应的最大尺寸信息。

其中，所述第一网络功能具体用于采用以下方式实现所述根据隐藏的用户标识和用户标识配置信息确定是否转发第一消息：

在本发明实施例中，第一网络功能即虚拟化网元，例如以下任意一个：拜访网的安全边界保护代理1、归属网的安全边界保护代理2、核心网控制功能、网管服务器。

第二网络功能即虚拟化网元，例如签约数据管理功能，第三网络功能即虚拟化网元，例如归属网的安全边界保护代理2。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、带电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、闪存或其他存储器技术、光盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、数字多功能盘(Digital Video Disc，DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

Claims

一种认证方法，包括：

接收第一节点的第一消息；其中，所述第一消息包括隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下之一：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；

根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一节点的第一消息。
根据权利要求1所述的认证方法，在所述接收第一节点的第一消息之前，还包括：

获取部分或全部用户标识配置信息。
根据权利要求2所述的认证方法，其中，所述获取部分或全部用户标识配置信息包括以下之一：

发送第二消息；接收第三消息；其中，所述第三消息包括所述部分或全部用户标识配置信息；

接收并转发第二节点的第四消息；接收第五消息，向所述第二节点发送所述第五消息，其中，所述第五消息包括所述部分或全部用户标识配置信息；

接收第三节点的第六消息，其中，所述第六消息包括所述部分或全部用户标识配置信息。
根据权利要求3所述的认证方法，其中，所述第二消息为用户标识配置信息获取请求消息，所述第三消息为用户标识配置信息获取响应消息，所述第四消息为注册请求消息，所述第五消息为注册响应消息。
根据权利要求1所述的认证方法，其中，所述用户标识配置信息包括以下至少之一：

用户标识加密模式标识列表；

用户标识加密密钥标识列表；

最大尺寸信息；

每一个加密模式标识对应的最大尺寸信息。
根据权利要求5所述的认证方法，其中，所述根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一消息包括：

在满足以下条件中的至少之一的情况下，拒绝所述第一消息：

所述明文的加密模式标识不在所述用户标识加密模式标识列表中；

所述明文的密钥标识不在所述用户标识加密密钥标识列表中；

部分或全部隐藏的用户标识的尺寸大于所述最大尺寸信息，其中，所述部分或全部隐藏的用户标识至少包含所述加密信息；

部分或全部隐藏的用户标识的尺寸大于所述明文的加密模式标识对应的最大尺寸信息，其中，所述部分或全部隐藏的用户标识至少包含所述加密信息。
根据权利要求5所述的认证方法，其中，所述根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一消息包括：

在满足以下条件中的至少之一的情况下，转发所述第一消息：

所述明文的加密模式标识在所述用户标识加密模式标识列表中；

所述明文的密钥标识在所述用户标识加密密钥标识列表中；

部分或全部隐藏的用户标识的尺寸小于或等于所述最大尺寸信息，其中，所述部分或全部隐藏的用户标识至少包含所述加密信息；

部分或全部隐藏的用户标识的尺寸小于或等于所述加密模式标识对应的最大尺寸信息，其中，所述部分或全部隐藏的用户标识至少包含所述加密信息。
一种认证方法，包括以下之一：

接收第二消息；发送第三消息；其中，所述第三消息包括部分或全部用户标识配置信息；

接收并转发第二消息；接收并转发第三消息；其中，所述第三消息包括部分或全部用户标识配置信息；

接收第二节点的第四消息；其中，所述第四消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下之一：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；发送第五消息，其中，所述第五消息包括部分或全部用户标识配置信息；

发送第六消息，其中，所述第六消息包括部分或全部用户标识配置信息。
一种认证装置，包括：

第一接收模块，设置为接收第一节点的第一消息；其中，所述第一消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下之一：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；

确定模块，设置为根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一节点的第一消息。
一种认证装置，包括：

第二接收模块，设置为执行以下之一：

接收第二消息；

接收第三消息；其中，所述第三消息包括：部分或全部用户标识配置信息；

接收第二节点的第四消息；其中，所述第四消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下之一：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；

发送模块，设置为执行以下之一：

转发所述第二消息；

发送所述第三消息；

转发所述第三消息；

发送第五消息，其中，所述第五消息包括部分或全部用户标识配置信息；

发送第六消息，其中，所述第六消息包括部分或全部用户标识配置信息。
一种认证装置，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令被所述处理器执行时，实现如权利要求1～8任一项所述的认证方法。
一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1～8任一项所述的认证方法。
一种认证系统，包括：

第一网络功能，设置为接收第一节点的第一消息；其中，所述第一消息包括：隐藏的用户标识，所述隐藏的用户标识包括加密信息和以下之一：明文的加密模式标识；明文的加密模式标识和明文的密钥标识；根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一节点的第一消息。
根据权利要求13所述的认证系统，其中，所述第一网络功能还设置为：

获取部分用户标识配置信息或全部用户标识配置信息。
根据权利要求14所述的认证系统，其中，所述第一网络功能是设置为通过以下方式之一获取部分或全部用户标识配置信息：

发送第二消息；接收第三消息；其中，所述第三消息包括所述部分或全部用户标识配置信息；

接收并转发第二节点的第四消息；接收第五消息，向所述第二节点发送所述第五消息，其中，所述第五消息包括所述部分或全部用户标识配置信息；

接收第三节点的第六消息，其中，所述第六消息包括所述部分或全部用户标识配置信息；

所述认证系统还包括：第二网络功能；或者第二网络功能和第三网络功能；或者第三节点；其中，所述第二网络功能，设置为执行以下之一：

接收所述第二消息；发送所述第三消息；

接收所述第二节点的所述第四消息；发送所述第五消息；

所述第三网络功能，设置为接收并转发所述第二消息；接收并转发所述第三消息；

所述第三节点，设置为发送所述第六消息。
根据权利要求13所述的认证系统，其中，所述用户标识配置信息包括以下至少之一：

用户标识加密模式标识列表；

用户标识加密密钥标识列表；

最大尺寸信息；

每一个加密模式标识对应的最大尺寸信息。
根据权利要求16所述的认证系统，其中，所述第一网络功能是设置为通过以下方式根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一消息：

在满足以下条件中的至少之一的情况下，拒绝所述第一消息：

所述明文的加密模式标识不在所述用户标识加密模式标识列表中；

所述明文的密钥标识不在所述用户标识加密密钥标识列表中；

部分或全部隐藏的用户标识的尺寸大于所述最大尺寸信息，其中，所述部分或全部隐藏的用户标识至少包含所述加密信息；

部分或全部隐藏的用户标识尺寸大于所述明文的加密模式标识对应的最大尺寸信息，其中，所述部分或全部隐藏的用户标识至少包含所述加密信息。
根据权利要求16所述的认证系统，其中，所述第一网络功能是设置为通过以下方式根据所述隐藏的用户标识和用户标识配置信息确定是否转发所述第一消息：

在满足以下条件中的至少之一的情况下，转发所述第一消息：

所述明文的加密模式标识在所述用户标识加密模式标识列表中；

所述明文的密钥标识在所述用户标识加密密钥标识列表中；

部分或全部隐藏的用户标识的尺寸小于或等于所述最大尺寸信息，其中，所述部分或全部隐藏的用户标识至少包含所述加密信息；

部分或全部隐藏的用户标识尺寸小于或等于所述明文的加密模式标识对应的最大尺寸信息，其中，所述部分或全部隐藏的用户标识至少包含所述加密信息。