WO2022033491A1

WO2022033491A1 - 用于鉴权的方法和通信装置

Info

Publication number: WO2022033491A1
Application number: PCT/CN2021/111909
Authority: WO
Inventors: 李濛; 杨艳梅; 王亚鑫
Original assignee: 华为技术有限公司
Priority date: 2020-08-13
Filing date: 2021-08-10
Publication date: 2022-02-17
Also published as: CN114079872A

Abstract

本申请提供了用于鉴权的方法和通信装置，在本申请的技术方案中，第一SMF将第一用户标识信息和多播数据的识别信息发送给应用服务器，由应用服务器执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权，并且可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

Description

用于鉴权的方法和通信装置

本申请要求于2020年08月13日提交中国专利局、申请号为202010815001.7、申请名称为“用于鉴权的方法和通信装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，并且更具体地，涉及用于鉴权的方法和通信装置。

背景技术

目前，若第五代(5th generation，5G)系统的核心网需要向多个用户设备发送相同业务，可以建立一条多播用户面连接来发送数据，使得发给不同用户设备的相同内容的数据只选择一份发送，有利于提高空口侧资源和核心网资源的使用效率。

在多播场景中，当用户设备加入多播群组时，需要对用户设备的加入请求进行鉴权操作，以便保证多播业务的正确传输。基于此，如何实现对用户设备的加入请求进行鉴权成为亟需解决的问题。

发明内容

本申请提供了用于鉴权的方法和通信装置，可以实现对用户设备的加入请求进行鉴权。

第一方面，本申请提供了一种用于鉴权的方法，所述方法包括：第一会话管理功能网元SMF获取第一信息和多播数据的第一识别信息，所述第一信息用于确定所述用户设备的第一用户标识信息；所述第一SMF向应用服务器发送第一消息，所述第一消息用于请求对所述用户设备加入多播群组的请求进行鉴权，所述第一消息包括所述第一用户标识信息和多播数据的第二识别信息，所述第一识别信息和第二识别信息与所述多播群组对应；所述第一SMF接收应用服务器发送的第二消息，所述第二消息中包括鉴权结果信息。

第一用户标识信息为用于唯一标识用户设备且应用服务器可以识别的信息。

例如，第一用户标识信息可以为通用公共用户标识符(generic public subscription identifier，GPSI)。

第二用户标识信息可以为用于唯一标识用户设备，且核心网设备和接入网设备可以识别的信息。

例如，第二用户标识信息可以包括用户永久标识符(subscriber permanent ID，SUPI)、通用唯一临时标识符(globally unique temporary ID，GUTI)和用户隐藏标识符(subscription concealed identifier，SUCI)中的至少一个。

多播数据的第一识别信息、第二识别信息与用户设备请求加入的多播群组对应，可以包括多播数据对应的多播群组的临时移动组标识(temporary mobile group identifier， TMGI)、提供多播数据的应用服务器的IP地址、多播数据的业务标识(service identifier，service ID)、多播数据的分组过滤(packet filter)信息、多播数据的业务数据流(service data flow，SDF)识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息(Application ID)、多播数据的目标IP地址信息(IP multicast address)、以及多播群组对应的多播会话的上下文标识信息(Multicast Session Context ID)中的至少一个。

可选地，第一识别信息和第二识别信息可以相同。

可选地，第一识别信息和第二识别信息可以不同。具体地，第一SMF获取到第一识别信息后，可以根据第一识别信息确定第二识别信息，进而将第二识别信息发送给应用服务器。例如，第一SMF获取到的第一识别信息为多播群组的TMGI，第一SMF根据TMGI确定与该TMGI对应的PDU会话的ID，并将该PDU会话的ID通过第一消息发送给应用服务器。

在本申请实施例中，第一SMF将第一用户标识信息和第二识别信息发送给应用服务器，由应用服务器执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第一方面，在一种可能的实现方式中，所述方法还包括：所述第一SMF根据所述第一识别信息，确定需要所述应用服务器对所述用户设备加入所述多播群组的请求进行鉴权。

例如，第一SMF可以根据本地存储的策略确定是否需要应用服务器进行鉴权授权。该策略可以预配置在第一SMF中，也可以由其他网元(例如，PCF、UDM或UDR)提供。该策略用于指示第一SMF是否需要针对携带该识别信息的加入请求向发起应用服务器的鉴权授权流程。

又例如，第一SMF可以判断是否存储了第一识别信息对应的多播群组的成员列表信息，并且当该成员列表信息中包括第一用户标识时，第一SMF确认需要应用服务器进行鉴权授权；否则，第一SMF确定用户设备的加入请求不合法，向用户设备返回群组加入失败的指示。

结合第一方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一信息包括所述第一用户标识信息和/或所述用户设备的第二用户标识信息。

结合第一方面或其任意一种实现方式，在另一种可能的实现方式中，所述方法还包括：所述第一SMF根据所述第二用户标识信息，获取所述第一用户标识信息。

结合第一方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一SMF根据所述第二用户标识信息，获取所述第一用户标识信息，包括：所述第一SMF根据所述第二用户标识信息从第一网元获取所述第一用户标识信息，所述第一网元包括接入和移动管理功能网元AMF、统一数据管理网元UDM和统一数据存储库UDR。

结合第一方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一SMF获取第一信息和多播数据的第一识别信息，包括：所述第一SMF从第二SMF、接入和移动管理功能网元AMF或第二用户面功能网元UPF获取所述第一信息和所述第一识别信息。

结合第一方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一SMF向所述应用服务器发送第一消息，包括：所述第一SMF根据所述第一识别信息，确定所述应用服务器的标识信息；所述第一SMF直接向所述应用服务器发送所述第一消息，或者所述第一SMF通过第一UPF向所述应用服务器发送所述第一消息。

结合第一方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一SMF向所述应用服务器发送第一消息，包括：所述第一SMF通过网络开放功能网元NEF向所述应用服务器发送所述第一消息。

第二方面，本申请提供了一种用于鉴权的方法，所述方法包括：应用服务器接收来自会话管理功能网元SMF的第一消息，所述第一消息用于请求对用户设备加入多播群组的请求进行鉴权，所述第一消息包括第一用户标识信息和多播数据的第二识别信息，所述第二识别信息与所述多播群组对应，所述第一用户标识信息为所述用户设备的标识信息；所述应用服务器根据所述第一用户标识信息和所述第二识别信息，对所述用户设备加入所述多播群组的请求进行鉴权；所述应用服务器向所述SMF发送第二消息，所述第二消息中包括鉴权结果信息。

例如，第一用户标识信息可以为GPSI。

多播数据的第二识别信息与用户设备请求加入的多播群组对应，可以包括多播数据对应的多播群组的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的SDF识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。

在本申请实施例中，SMF将第一用户标识信息和第二识别信息发送给应用服务器，由应用服务器执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第二方面，在一种可能的实现方式中，所述应用服务器向所述SMF发送第二消息，包括：所述应用服务器直接向所述SMF发送所述第二消息，或者通过UPF或网络开放功能网元NEF向所述SMF发送所述二消息。

结合第二方面或其任意一种实现方式，在另一种可能的实现方式中，所述方法还包括：

所述应用服务器向第二核心网设备发送第二配置请求消息，所述第二配置请求消息包括所述第二识别信息和订阅信息，所述订阅信息用于订阅用户设备加入所述多播会话事件的通知；

所述应用服务器接收来自所述第二核心网设备发送的第二配置响应消息，所述第二配置响应消息用于指示所述第二识别信息和所述订阅信息已存储在统一数据存储库。

结合第二方面或其任意一种实现方式，在另一种可能的实现方式中，所述第二核心网设备为网络开放功能网元或多播广播业务功能网元。

结合第二方面或其任意一种实现方式，在另一种可能的实现方式中，所述SMF服务于单播，或者所述SMF服务于多播。

第三方面，本申请提供了一种用于鉴权的方法，所述方法包括：用户设备确定第三消息，所述第三消息用于请求加入多播群组，所述第三消息包括多播数据的第三识别信息，所述第三识别信息与所述多播群组对应；用户设备向第二用户面网元UPF发送所述第三消息。

多播数据的第三识别信息与用户设备请求加入的多播群组对应，可以包括多播数据对应的多播群组的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的SDF识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。

在上述技术方案中，用户设备可以通过用户面网元发起加入多播群组。

结合第三方面，在一种可能的实现方式中，所述第三消息还包括用户设备的第二用户标识信息和/或用于针对所述用户设备进行鉴权的信息。

结合第三方面或其任意一种实现方式，在另一种可能的实现方式中，所述第三消息包括网际群组管理协议(internet group management protocol，IGMP)消息和多播监听者报告(multicast listener report，MLR)消息。

第四方面，本申请提供了一种用于鉴权的方法，所述方法包括：网络设备接收多播数据的识别信息，所述识别信息与用户设备请求加入的多播群组对应；所述网络设备向第一会话管理功能网元SMF发送所述识别信息。

在上述技术方案中，网络设备将接收到的多播数据的识别信息发送给第一SMF，以便第一SMF进一步发送给应用服务器，从而由应用服务器执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，在核心网没有多播群组的成员信息的情况下，仍然可以实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第四方面，在一种可能的实现方式中，所述方法还包括：所述网络设备向所述第一SMF发送所述用户设备的第一用户识别信息和/或所述用户设备的第二用户识别信息。

例如，第一用户标识信息可以为GPSI。

例如，第二用户标识信息可以包括SUPI、GUTI和SUCI中的至少一个。

结合第四方面或其任意一种实现方式，在另一种可能的实现方式中，所述网络设备包括第二SMF、接入和移动管理功能网元AMF、统一数据管理网元UDM和统一数据存储库UDR和第二用户面功能网元UPF。

第五方面，本申请提供了一种用于鉴权的方法，所述方法包括：用户设备确定第四消息，所述第四消息包括多播数据的识别信息和第一安全信息，所述第一安全信息用于对所述用户设备加入多播群组的请求进行鉴权，所述识别信息与所述多播群组对应；所述用户设备向第一网络设备发送所述第四消息。

多播数据的识别信息与用户设备请求加入的多播群组对应，可以包括多播数据对应的多播群组的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的SDF识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。

这样，在本申请实施例中，用户设备向第一网络设备提供用于鉴权的第一安全信息和多播数据的识别信息，可以由第一网络设备根据安全信息执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第五方面，在一种可能的实现方式中，所述第一安全信息包括口令信息、安全算法的输入信息和安全算法中的至少一个。

结合第五方面或其任意一种实现方式，在另一种可能的实现方式中，所述方法还包括：所述用户设备从应用服务器获取所述第一安全信息。

结合第五方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一网络设备为接入网设备或核心网设备。

结合第五方面或其任意一种实现方式，在另一种可能的实现方式中，所述核心网设备包括第一会话管理功能网元SMF和统一数据管理网元UDM。

第六方面，本申请提供了一种用于鉴权的方法，所述方法包括：第一网络设备接收来自用户设备的第四消息，所述第四消息包括多播数据的识别信息和第一安全信息，所述第一安全信息用于对所述用户设备加入多播群组的请求进行鉴权，所述识别信息与所述多播群组对应；所述第一网络设备根据所述第一安全信息和第二安全信息，对所述用户设备加入所述多播群组的请求进行鉴权，所述第二安全信息用于对所述用户设备加入所述多播群组的请求进行鉴权，所述第二安全信息与所述多播群组对应。

这样，在本申请实施例中，应用服务器可以向用户设备和网络设备提供用于鉴权的安全信息，可以由网络设备根据安全信息执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第六方面，在一种可能的实现方式中，所述第一安全信息为口令信息，所述第二安全信息为口令信息；或者，所述第一安全信息为安全算法的输入信息；所述第二安全信息为所述安全算法；或者，所述第一安全信息为安全算法；所述第二安全信息为所述安全算法的输入信息。

结合第六方面或其任意一种实现方式，在另一种可能的实现方式中，所述方法还包括：所述第一网络设备从应用服务器获取所述第二安全信息。

结合第六方面或其任意一种实现方式，在另一种可能的实现方式中，当所述第一网络设备为第一会话管理功能网元SMF时，所述第一网络设备从应用服务器获取所述第二安全信息，包括：所述第一网络设备通过NEF和UDM从应用服务器获取所述第二安全信息。

结合第六方面或其任意一种实现方式，在另一种可能的实现方式中，当所述第一网络设备为统一数据管理网元UDM或统一数据存储库UDR时，所述第一网络设备从应用服务器获取所述第二安全信息，包括：所述第一网络设备通过NEF和第一SMF从应用服务器获取所述第二安全信息；或者，所述第一网络设备通过NEF从所述应用服务器获取所述第二安全信息。

结合第六方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一网络设备为接入网设备时，所述第一网络设备从应用服务器获取所述第二安全信息，包括：所述第一网络设备通过第一AMF、第一SMF、UDM和NEF从所述应用服务器获取所述第二安全信息。

结合第六方面或其任意一种实现方式，在另一种可能的实现方式中，当所述第一网络设备为第一会话管理功能网元SMF时，所述第一网络设备接收来自用户设备的第四消息，包括：所述第一网络设备通过第二SMF、接入和移动管理功能网元AMF或第二用户面功能网元UPF接收所述第四消息。

结合第六方面或其任意一种实现方式，在另一种可能的实现方式中，当所述第一网络设备为统一数据管理网元UDM或统一数据存储库UDR时，所述第一网络设备接收来自用户设备的第四消息，包括：所述第一网络设备通过第一SMF或第二SMF接收所述第四消息。

结合第六方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一网络设备为接入网设备时，所述第四消息为无线资源控制RRC消息。

第七方面，本申请提供了一种用于鉴权的方法，所述方法包括：第二网络设备接收第二安全信息，所述第二安全信息用于对用户设备加入多播群组的请求进行鉴权；所述第二网络设备发送所述第二安全信息。

在上述技术方案中，第二网络设备接收和发送第二安全信息，可以方便执行鉴权授权操作的第一网络设备获取第二安全信息，从而实现根据安全信息执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第七方面，在一种可能的实现方式中，所述第二安全信息包括口令信息、安全算法的输入信息和安全算法中的至少一个。

结合第七方面或其任意一种实现方式，在另一种可能的实现方式中，所述方法还包括：所述第二网络设备接收多播数据的识别信息，所述识别信息与所述多播群组对应。

结合第七方面或其任意一种实现方式，在另一种可能的实现方式中，所述第二网络设备包括UDM、UDR、NEF、第一SMF、以及接入和移动管理功能网元AMF。

第八方面，本申请提供了一种用于鉴权的方法，所述方法包括：应用服务器生成第一安全信息和第二安全信息，所述第一安全信息和所述第二安全信息用于对用户设备加入多播群组的请求进行鉴权；所述应用服务器向所述用户设备发送所述第一安全信息；所述应用服务器向第一网络设备发送所述第二安全信息。

在上述技术方案中，应用服务器生成第一安全信息和第二安全信息，并将第一安全信息发送给用户设备，将第二安全信息发送给第一网络设备，可以实现第一网络设备根据安全信息执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第八方面，在一种可能的实现方式中，所述第一安全信息为口令信息，所述第二安全信息为口令信息；或者，所述第一安全信息为安全算法的输入信息；所述第二安全信息为所述安全算法；或者，所述第一安全信息为安全算法；所述第二安全信息为所述安全算法的输入信息。

结合第八方面或其任意一种实现方式，在另一种可能的实现方式中，当所述第一网络设备为第一会话管理功能网元SMF时，所述应用服务器向第一网络设备发送所述第二安全信息，包括：所述应用服务器通过NEF、UDM向所述第一网络设备发送所述第二安全信息。

结合第八方面或其任意一种实现方式，在另一种可能的实现方式中，当所述第一网络设备为统一数据管理网元UDM或统一数据存储库UDR时，所述应用服务器向第一网络设备发送所述第二安全信息，包括：所述应用服务器通过NEF和第一SMF向所述第一网络设备发送所述第二安全信息；或者，所述应用服务器通过NEF向所述第一网络设备发送所述第二安全信息。

结合第八方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一网络设备为接入网设备时，所述应用服务器向第一网络设备发送所述第二安全信息，包括：所述应用服务器通过第一AMF、第一SMF、UDM和NEF向所述第一网络设备发送所述第二安全信息。

第九方面，本申请提供了一种通信装置，所述装置包括：

收发单元，用于获取第一信息和多播数据的第一识别信息，所述第一信息用于确定所述用户设备的第一用户标识信息；

所述收发单元，还用于向应用服务器发送第一消息，所述第一消息用于请求对所述用户设备加入多播群组的请求进行鉴权，所述第一消息包括所述第一用户标识信息和多播数据的第二识别信息，所述第一识别信息和第二识别信息与所述多播群组对应；

所述收发单元，还用于接收应用服务器发送的第二消息，所述第二消息中包括鉴权结果信息。

可选地，上述通信装置可以为SMF或SMF中的模块或单元。

例如，第一用户标识信息可以为GPSI。

多播数据的第一识别信息、第二识别信息与用户设备请求加入的多播群组对应，可以包括多播数据对应的多播群组的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的SDF识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。

可选地，第一识别信息和第二识别信息可以相同。

可选地，第一识别信息和第二识别信息可以不同。具体地，通信装置获取到第一识别信息后，可以根据第一识别信息确定第二识别信息，进而将第二识别信息发送给应用服务器。例如，通信装置获取到的第一识别信息为多播群组的TMGI，通信装置根据TMGI确定与该TMGI对应的PDU会话的ID，并将该PDU会话的ID通过第一消息发送给应用服务器。

在本申请实施例中，通信装置将第一用户标识信息和第二识别信息发送给应用服务器，由应用服务器执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第九方面，在一种可能的实现方式中，所述装置还包括：

处理单元，用于根据所述第一识别信息，确定需要所述应用服务器对所述用户设备加入所述多播群组的请求进行鉴权。

例如，通信装置可以根据本地存储的策略确定是否需要应用服务器进行鉴权授权。该策略可以预配置在通信装置中，也可以由其他网元(例如，PCF、UDM或UDR)提供。该策略用于指示通信装置是否需要针对携带该识别信息的加入请求向发起应用服务器的鉴权授权流程。

又例如，通信装置可以判断是否存储了第一识别信息对应的多播群组的成员列表信息，并且当该成员列表信息中包括第一用户标识时，通信装置确认需要应用服务器进行鉴权授权；否则，通信装置确定用户设备的加入请求不合法，向用户设备返回群组加入失败的指示。

结合第九方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一信息包括所述第一用户标识信息和/或所述用户设备的第二用户标识信息。

结合第九方面或其任意一种实现方式，在另一种可能的实现方式中，所述处理单元还用于根据所述第二用户标识信息，获取所述第一用户标识信息。

结合第九方面或其任意一种实现方式，在另一种可能的实现方式中，所述收发单元具体用于根据所述第二用户标识信息从第一网元获取所述第一用户标识信息，所述第一网元包括接入和移动管理功能网元AMF、统一数据管理网元UDM和统一数据存储库UDR。

结合第九方面或其任意一种实现方式，在另一种可能的实现方式中，所述收发单元具体用于从第二SMF、接入和移动管理功能网元AMF或第二用户面功能网元UPF获取所述第一信息和所述第一识别信息。

结合第九方面或其任意一种实现方式，在另一种可能的实现方式中，所述收发单元具体用于根据所述第一识别信息，确定所述应用服务器的标识信息；直接向所述应用服务器发送所述第一消息，或者通过第一UPF向所述应用服务器发送所述第一消息。

结合第九方面或其任意一种实现方式，在另一种可能的实现方式中，所述收发单元具体用于通过网络开放功能网元NEF向所述应用服务器发送所述第一消息。

第十方面，本申请提供了一种通信装置，所述装置包括：

收发单元，用于接收来自会话管理功能网元SMF的第一消息，所述第一消息用于请求对用户设备加入多播群组的请求进行鉴权，所述第一消息包括第一用户标识信息和多播数据的第二识别信息，所述第二识别信息与所述多播群组对应，所述第一用户标识信息为所述用户设备的标识信息；

处理单元，用于根据所述第一用户标识信息和所述第二识别信息，对所述用户设备加入所述多播群组的请求进行鉴权；

所述收发单元，还用于向所述SMF发送第二消息，所述第二消息中包括鉴权结果信息。

可选地，上述通信装置可以为应用服务器或应用服务器中的模块或单元。

例如，第一用户标识信息可以为GPSI。

在本申请实施例中，SMF将第一用户标识信息和第二识别信息发送给通信装置，由通信装置执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需通信装置向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第十方面，在一种可能的实现方式中，所述收发单元具体用于直接向所述SMF发送所述第二消息，或者通过UPF或网络开放功能网元NEF向所述SMF发送所述二消息。

结合第十方面或其任意一种实现方式，在另一种可能的实现方式中，所述方法还包括：

结合第十方面或其任意一种实现方式，在另一种可能的实现方式中，所述第二核心网设备为网络开放功能网元或多播广播业务功能网元。

结合第十方面或其任意一种实现方式，在另一种可能的实现方式中，所述SMF服务于单播，或者所述SMF服务于多播。

第十一方面，本申请提供了一种通信装置，所述装置包括：

处理单元，用于确定第三消息，所述第三消息用于请求加入多播群组，所述第三消息包括多播数据的第三识别信息，所述第三识别信息与所述多播群组对应；

收发单元，用于向第二用户面网元UPF发送所述第三消息。

可选地，上述通信装置可以为用户设备或用户设备中的模块或单元。

多播数据的第三识别信息与通信装置请求加入的多播群组对应，可以包括多播数据对应的多播群组的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的SDF识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。

在上述技术方案中，通信装置可以通过用户面网元发起加入多播群组。

结合第十一方面，在一种可能的实现方式中，所述第三消息还包括用户设备的第二用户标识信息和/或用于针对所述用户设备进行鉴权的信息。

结合第十一方面或其任意一种实现方式，在另一种可能的实现方式中，所述第三消息包括IGMP消息和MLR消息。

第十二方面，本申请提供了一种通信装置，所述装置包括：

收发单元，用于接收多播数据的识别信息，所述识别信息与用户设备请求加入的多播群组对应；

所述收发单元，还用于向第一会话管理功能网元SMF发送所述识别信息。

在上述技术方案中，通信装置将接收到的多播数据的识别信息发送给第一SMF，以便第一SMF进一步发送给应用服务器，从而由应用服务器执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，在核心网没有多播群组的成员信息的情况下，仍然可以实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第十二方面，在一种可能的实现方式中，所述收发单元还用于向所述第一SMF发送所述用户设备的第一用户识别信息和/或所述用户设备的第二用户识别信息。

例如，第一用户标识信息可以为GPSI。

结合第十二方面或其任意一种实现方式，在另一种可能的实现方式中，所述通信装置包括第二SMF、接入和移动管理功能网元AMF、统一数据管理网元UDM和统一数据存储库UDR和第二用户面功能网元UPF。

第十三方面，本申请提供了通信装置，所述装置包括：

处理单元，用于确定第四消息，所述第四消息包括多播数据的识别信息和第一安全信息，所述第一安全信息用于对所述用户设备加入多播群组的请求进行鉴权，所述识别信息与所述多播群组对应；

收发单元，用于向第一网络设备发送所述第四消息。

多播数据的识别信息与通信装置请求加入的多播群组对应，可以包括多播数据对应的多播群组的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的SDF识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。

这样，在本申请实施例中，通信装置向第一网络设备提供用于鉴权的第一安全信息和赌博数据的识别信息，可以由第一网络设备根据安全信息执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第十三方面，在一种可能的实现方式中，所述第一安全信息包括口令信息、安全算法的输入信息和安全算法中的至少一个。

结合第十三方面或其任意一种实现方式，在另一种可能的实现方式中，所述收发单元还用于从应用服务器获取所述第一安全信息。

结合第十三方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一网络设备为接入网设备或核心网设备。

结合第十三方面或其任意一种实现方式，在另一种可能的实现方式中，所述核心网设备包括第一会话管理功能网元SMF和统一数据管理网元UDM。

第十四方面，本申请提供了一种通信装置，所述装置包括：

收发单元，接收来自用户设备的第四消息，所述第四消息包括多播数据的识别信息和第一安全信息，所述第一安全信息用于对所述用户设备加入多播群组的请求进行鉴权，所述识别信息与所述多播群组对应；

处理单元，用于根据所述第一安全信息和第二安全信息，对所述用户设备加入所述多播群组的请求进行鉴权，所述第二安全信息用于对所述用户设备加入所述多播群组的请求进行鉴权，所述第二安全信息与所述多播群组对应。

这样，在本申请实施例中，应用服务器可以向用户设备和通信装置提供用于鉴权的安全信息，可以由通信装置根据安全信息执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第十四方面，在一种可能的实现方式中，所述第一安全信息为口令信息，所述第二安全信息为口令信息；或者，所述第一安全信息为安全算法的输入信息；所述第二安全信息为所述安全算法；或者，所述第一安全信息为安全算法；所述第二安全信息为所述安全算法的输入信息。

结合第十四方面或其任意一种实现方式，在另一种可能的实现方式中，所述方法还包括：所述第一网络设备从应用服务器获取所述第二安全信息。

结合第十四方面或其任意一种实现方式，在另一种可能的实现方式中，当所述通信装置为第一会话管理功能网元SMF时，所述收发单元具体用于通过NEF和UDM从应用服务器获取所述第二安全信息。

结合第十四方面或其任意一种实现方式，在另一种可能的实现方式中，当所述通信装置为统一数据管理网元UDM或统一数据存储库UDR时，所述收发单元具体用于通过NEF和第一SMF从应用服务器获取所述第二安全信息；或者，通过NEF从所述应用服务器获取所述第二安全信息。

结合第十四方面或其任意一种实现方式，在另一种可能的实现方式中，当所述通信装置为接入网设备时，所述收发单元具体用于通过第一AMF、第一SMF、UDM和NEF从所述应用服务器获取所述第二安全信息。

结合第十四方面或其任意一种实现方式，在另一种可能的实现方式中，当所述通信装置为第一会话管理功能网元SMF时，所述收发单元具体用于通过第二SMF、接入和移动管理功能网元AMF或第二用户面功能网元UPF接收所述第四消息。

结合第十四方面或其任意一种实现方式，在另一种可能的实现方式中，当所述通信装置为统一数据管理网元UDM或统一数据存储库UDR时，所述收发单元具体用于通过第一SMF或第二SMF接收所述第四消息。

结合第十四方面或其任意一种实现方式，在另一种可能的实现方式中，所述通信装置为接入网设备时，所述第四消息为无线资源控制RRC消息。

第十五方面，本申请提供了一种通信装置，所述装置包括：

收发单元，用于接收第二安全信息，所述第二安全信息用于对用户设备加入多播群组的请求进行鉴权；

所述收发单元，还用于发送所述第二安全信息。

在上述技术方案中，通信装置接收和发送第二安全信息，可以方便执行鉴权授权操作的第一网络设备获取第二安全信息，从而实现根据安全信息执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第十五方面，在一种可能的实现方式中，所述第二安全信息包括口令信息、安全算法的输入信息和安全算法中的至少一个。

结合第十五方面或其任意一种实现方式，在另一种可能的实现方式中，所述收发单元还用于接收多播数据的识别信息，所述识别信息与所述多播群组对应。

结合第十五方面或其任意一种实现方式，在另一种可能的实现方式中，所述通信装置包括UDM、UDR、NEF、第一SMF、以及接入和移动管理功能网元AMF。

第十六方面，本申请提供了一种通信装置，所述装置包括：

处理单元，用于生成第一安全信息和第二安全信息，所述第一安全信息和所述第二安全信息用于对用户设备加入多播群组的请求进行鉴权；

收发单元，用于向所述用户设备发送所述第一安全信息；

所述收发单元，还用于向第一网络设备发送所述第二安全信息。

在上述技术方案中，通信装置生成第一安全信息和第二安全信息，并将第一安全信息发送给用户设备，将第二安全信息发送给第一网络设备，可以实现第一网络设备根据安全信息执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需通信装置向核心网实时提供明确的多播群组的成员信息，这样，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第十六方面，在一种可能的实现方式中，所述第一安全信息为口令信息，所述第二安全信息为口令信息；或者，所述第一安全信息为安全算法的输入信息；所述第二安全信息为所述安全算法；或者，所述第一安全信息为安全算法；所述第二安全信息为所述安全算法的输入信息。

结合第十六方面或其任意一种实现方式，在另一种可能的实现方式中，当所述第一网络设备为第一会话管理功能网元SMF时，所述收发单元具体用于通过NEF、UDM向所述第一网络设备发送所述第二安全信息。

结合第十六方面或其任意一种实现方式，在另一种可能的实现方式中，当所述第一网络设备为统一数据管理网元UDM或统一数据存储库UDR时，所述收发单元具体用于通过NEF和第一SMF向所述第一网络设备发送所述第二安全信息；或者，所述应用服务器通过NEF向所述第一网络设备发送所述第二安全信息。

结合第十六方面或其任意一种实现方式，在另一种可能的实现方式中，所述第一网络设备为接入网设备时，所述收发单元具体用于通过第一AMF、第一SMF、UDM和NEF向所述第一网络设备发送所述第二安全信息。

第十七方面，本申请提供了一种用于鉴权的方法，所述方法包括：用户设备确定第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第四识别信息，所述第四识别信息与所述第一多播会话对应；用户设备向第二会话管理功能网元发送所述第一加入请求。

第二会话管理功能网元为用于服务单播的会话管理功能网元或者用于管理单播PDU会话的会话管理功能网元。

在上述技术方案中，用户设备可以通过控制面网元发起加入多播群组。

第十八方面，本申请提供了一种用于鉴权的方法，所述方法包括：第二会话管理功能网元接收来自用户设备的第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第四识别信息，所述第四识别信息与所述第一多播会话对应；所述第二会话管理功能网元向第一核心网设备发送第十消息，所述第十消息包括所述用户设备的第三用户标识信息和所述第四识别信息，所述第三用户标识信息和所述第四识别信息用于获取确定是否允许所述用户设备加入所述第一多播会话；所述第二会话管理功能网元接收来自所述第一核心网设备的第一指示信息，所述第一指示信息用于指示是否允许所述用户设备加入所述第一多播会话；当所述第一指示信息指示允许所述用户设备加入所述第一多播会话时，所述第二会话管理功能网元接受所述第一加入请求；或，当所述第一指示信息指示不允许所述用户设备加入所述第一多播会话时，所述第二会话管理功能网元拒绝所述第一加入请求。

其中，第三用户标识信息可以是通过第一加入请求获取的，例如第一加入请求包括所述第三用户标识信息，又例如第二SMF根据本地配置信息第一加入请求对应的第三用户标识信息。

在上述技术方案中，在接收到用户设备的加入请求后，第二SMF可以将第三用户标识信息和第四识别信息发送给第一核心网设备，以便第一核心网设备根据第三用户标识信息和第四识别信息进行鉴权，从而可以实现对用户设备的加入请求进行鉴权。

结合第十八方面，在一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

第十九方面，本申请提供了一种用于鉴权的方法，所述方法包括：第一核心网设备接收来自第二会话管理功能网元的第十消息，所述第十消息包括用户设备的第三用户标识信息和第四识别信息，所述第三用户标识信息和所述第四识别信息用于获取确定是否允许所述用户设备加入所述第一多播会话，所述第四识别信息与所述第一多播会话对应；所述第一核心网设备接收来自统一数据存储库的允许加入所述第一多播会话的用户设备的信息；所述第一核心网设备根据所述第十消息和所述允许加入所述第一多播会话的用户设备的信息，向所述第二会话管理功能网元发送第一指示信息，所述第一指示信息用于指示是否允许所述用户设备加入所述第一多播会话。

在上述技术方案中，可以将第四识别信息对应的多播会话可用的用户设备列表存储在统一数据存储库中，这样第一核心网设备在接收到第二会话管理功能网元的鉴权请求后可以向统一数据存储库查询相应多播会话可用的用户设备列表，进而根据统一数据存储库的反馈的信息确定鉴权结果并指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。

结合第十九方面，在一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

结合第十九方面或其任意实现方式，在另一种可能的实现方式中，当所述允许加入所述第一多播会话的用户设备的信息包括所述第三用户标识信息时，所述第一指示信息指示允许所述用户设备加入所述第一多播会话；或，当所述允许加入所述第一多播会话的用户设备的信息不包括所述第三用户标识信息时，所述第一指示信息指示不允许所述用户设备加入所述第一多播会话。

结合第十九方面或其任意实现方式，在另一种可能的实现方式中，所述方法还包括：所述第一核心网设备向所述统一数据存储库发送第一查询消息，所述第一查询消息用于查询所述允许加入所述第一多播会话的用户设备的信息；所述第一核心网设备接收来自统一数据存储库的允许加入所述第一多播会话的用户设备的信息，包括：所述第一核心网设备接收来自所述统一数据存储库的第一响应消息，所述第一响应消息包括所述允许加入所述第一多播会话的用户设备的信息。

第二十方面，本申请提供了一种用于鉴权的方法，所述方法包括：统一数据存储库接收来自第一核心网设备的第一查询消息，所述第一查询消息用于查询允许加入第一多播会话的用户设备的信息；所述统一数据存储库向所述第一核心网设备发送第一响应消息，所述第一响应消息包括所述允许加入第一多播会话的用户设备的信息。

在上述技术方案中，可以将第四识别信息对应的多播会话可用的用户设备列表存储在统一数据存储库中，使得第一核心网设备在接收到第二会话管理功能网元的鉴权请求后可以向统一数据存储库查询相应多播会话可用的用户设备列表，进而根据统一数据存储库的反馈的信息确定鉴权结果并指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。

结合第二十方面，在一种可能的实现方式中，所述方法还包括：所述统一数据存储库从应用功能网元或运营商获取所述允许加入第一多播会话的用户设备的信息。

在统一数据存储库从应用功能网元获取所述允许加入第一多播会话的用户设备的信息的情况下，可以实现应用功能网元根据业务情况实时更新统一数据存储库中存储的允许加入第一多播会话的用户设备的信息，方案更加灵活。

结合第二十方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

第二十一方面，本申请提供了一种用于鉴权的方法，所述方法包括：应用功能网元向第二核心网设备发送第一配置请求消息，所述第一配置请求消息包括第一用户设备列表和第四识别信息，所述第四识别信息与多播会话对应，所述第一用户设备列表为允许加入所述第四识别信息对应的多播会话的用户设备的列表；所述应用功能网元接收来自所述第二核心网设备发送的第一配置响应消息，所述第一配置响应消息用于指示所述第一用户设备列表和所述第四识别信息已存储在统一数据存储库。

在上述技术方案中，应用功能网元可以将第四识别信息对应的多播会话可用的用户设备列表存储在统一数据存储库中，使得第一核心网设备在接收到第二会话管理功能网元的鉴权请求后可以向统一数据存储库查询相应多播会话可用的用户设备列表，进而根据统一数据存储库的反馈的信息确定鉴权结果并指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。并且在统一数据存储库从应用功能网元获取所述第一用户设备列表和所述第四识别信息的情况下，可以实现应用功能网元根据业务情况实时更新统一数据存储库中存储的第一用户设备列表，方案更加灵活。

结合第二十一方面，在一种可能的实现方式中，所述第二核心网设备为网络开放功能网元或多播广播业务功能网元。

第二十二方面，本申请提供了一种用于鉴权的方法，所述方法包括：应用功能网元接收来自第二会话管理功能网元的第一消息，所述第一消息用于通知所述应用功能网元用户设备请求加入所述第一多播会话，所述第一消息包括所述第二识别信息和所述用户设备的第一用户标识信息，所述第二识别信息与所述第一多播会话对应；所述应用功能网元根据所述第一消息，确定所述是否允许所述用户设备加入所示第一多播会话；所述应用功能网元向所述第二会话管理功能网元发送第二指示信息，所述第二指示信息是否允许所述用户设备加入所述第一多播会话。

在上述技术方案中，应用功能网元可以向第二会话管理功能网元订阅用户设备加入事件的通知，这样第二会话管理功能网元在收到用户设备的加入请求时可以向应用功能网元通知对该用户设备请求加入多播会话，应用功能网元则可以对该用户设备的加入请求进行鉴权并将鉴权结果指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第二十二方面，在一种可能的实现方式中，所述方法还包括：应用功能网元向第二核心网设备发送第二配置请求消息，所述第二配置请求消息包括第二识别信息和订阅信息，所述第二识别信息与第一多播会话对应，所述订阅信息用于订阅用户设备加入所述第一多播会话的通知；所述应用功能网元接收来自所述第二核心网设备发送的第二配置响应消息，所述第二配置响应消息用于指示所述第二识别信息和所述订阅信息已存储在统一数据存储库。

结合第二十二方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述第二核心网设备为网络开放功能网元或多播广播业务功能网元。

结合第二十二方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述订阅信息包括第二识别信息和事件标识，所述第二识别信息对应于所述第一多播会话，所述事件标识用于标识用户设备加入多播会话事件。

第二十三方面，本申请提供了一种用于鉴权的方法，所述方法包括：统一数据存储库接收来自应用功能网元的订阅信息，所述订阅信息用于订阅用户设备加入第一多播会话的通知；所述统一数据存储库向第二会话管理功能网元发送所述订阅信息。

在上述技术方案中，应用功能网元可以将订阅信息存储统一数据存储库中，使得统一数据存储库可以向第二会话管理功能网元订阅用户设备加入多播会话的通知，这样第二会话管理功能网元在收到用户设备的加入请求时可以向应用功能网元通知对该用户设备请求加入多播会话，应用功能网元则可以对该用户设备的加入请求进行鉴权并将鉴权结果指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第二十三方面，在一种可能的实现方式中，所述订阅信息包括第二识别信息和事件标识，所述第二识别信息对应于所述第一多播会话，所述事件标识用于标识用户设备加入多播会话事件。

第二十四方面，本申请提供了一种用于鉴权的方法，所述方法包括：第二会话管理功能网元接收来自用户设备的第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第二识别信息，所述第二识别信息与所述第一多播会话对应；所述第二会话管理功能网元向应用功能网元发送第一消息，所述第一消息用于通知所述应用功能网元所述用户设备请求加入所述第一多播会话，所述第一消息包括所述第二识别信息和所述用户设备的第一用户标识信息；所述第二会话管理功能网元接收来自所述应用功能网元的第二指示信息，所述第二指示信息用于指示是否允许所述用户设备加入所述第一多播会话；当所述第二指示信息指示允许所述用户设备加入所述第一多播会话时，所述第二会话管理功能网元接受所述第一加入请求；或当所述第二指示信息指示不允许所述用户设备加入所述第一多播会话时，所述第二会话管理功能网元拒绝所述第一加入请求。

在上述技术方案中，第二会话管理功能网元在收到用户设备的加入请求时可以向应用功能网元通知对该用户设备请求加入多播会话，以便应用功能网元可以对该用户设备的加入请求进行鉴权并将鉴权结果指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第二十四方面，在一种可能的实现方式中，所述方法还包括：所述第二会话管理功能网元接收来自统一数据存储库的订阅信息，所述订阅信息用于订阅用户设备加入所述第一多播会话的通知。

在上述技术方案中，统一数据存储库可以向第二会话管理功能网元订阅用户设备加入事件的通知，这样第二会话管理功能网元在收到用户设备的加入请求时可以向应用功能网元通知对该用户设备请求加入多播会话。

结合第二十四方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述订阅信息包括第二识别信息和事件标识，所述第二识别信息对应于所述第一多播会话，所述事件标识用于标识用户设备加入多播会话事件。

第二十五方面，本申请提供了一种通信装置，所述装置包括：处理单元，用于确定第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第四识别信息，所述第四识别信息与所述第一多播会话对应；收发单元，用于向第二会话管理功能网元发送所述第一加入请求。

在上述技术方案中，通信装置可以通过控制面网元发起加入多播群组。

第二十六方面，本申请提供了一种通信装置，所述装置包括：收发单元，用于接收来自用户设备的第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第四识别信息，所述第四识别信息与所述第一多播会话对应；向第一核心网设备发送第十消息，所述第十消息包括所述用户设备的第三用户标识信息和所述第四识别信息，所述第三用户标识信息和所述第四识别信息用于获取确定是否允许所述用户设备加入所述第一多播会话；接收来自所述第一核心网设备的第一指示信息，所述第一指示信息用于指示是否允许所述用户设备加入所述第一多播会话。处理单元，用于当所述第一指示信息指示允许所述用户设备加入所述第一多播会话时，接受所述第一加入请求；或，当所述第一指示信息指示不允许所述用户设备加入所述第一多播会话时，拒绝所述第一加入请求。

在上述技术方案中，在接收到用户设备的加入请求后，通信装置可以将第三用户标识信息和第四识别信息发送给第一核心网设备，以便第一核心网设备根据第三用户标识信息和第四识别信息进行鉴权，从而可以实现对用户设备的加入请求进行鉴权。

结合第二十六方面，在一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

第二十七方面，本申请提供了一种通信装置，所述装置包括：收发单元，用于接收来自第二会话管理功能网元的第十消息，所述第十消息包括用户设备的第三用户标识信息和第四识别信息，所述第三用户标识信息和所述第四识别信息用于获取确定是否允许所述用户设备加入所述第一多播会话，所述第四识别信息与所述第一多播会话对应；接收来自统一数据存储库的允许加入所述第一多播会话的用户设备的信息；根据所述第十消息和所述允许加入所述第一多播会话的用户设备的信息，向所述第二会话管理功能网元发送第一指示信息，所述第一指示信息用于指示是否允许所述用户设备加入所述第一多播会话。

在上述技术方案中，可以将第四识别信息对应的多播会话可用的用户设备列表存储在统一数据存储库中，这样通信装置在接收到第二会话管理功能网元的鉴权请求后可以向统一数据存储库查询相应多播会话可用的用户设备列表，进而根据统一数据存储库的反馈的信息确定鉴权结果并指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。

结合第二十七方面，在一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

结合第二十七方面或其任意实现方式，在另一种可能的实现方式中，当所述允许加入所述第一多播会话的用户设备的信息包括所述第三用户标识信息时，所述第一指示信息指示允许所述用户设备加入所述第一多播会话；或，当所述允许加入所述第一多播会话的用户设备的信息不包括所述第三用户标识信息时，所述第一指示信息指示不允许所述用户设备加入所述第一多播会话。

结合第二十七方面或其任意实现方式，在另一种可能的实现方式中，所述收发单元还用于向所述统一数据存储库发送第一查询消息，所述第一查询消息用于查询所述允许加入所述第一多播会话的用户设备的信息；所述收发单元具体用于：接收来自所述统一数据存储库的第一响应消息，所述第一响应消息包括所述允许加入所述第一多播会话的用户设备的信息。

第二十八方面，本申请提供了一种通信装置，所述装置包括：收发单元，用于收来自第一核心网设备的第一查询消息，所述第一查询消息用于查询允许加入第一多播会话的用户设备的信息；向所述第一核心网设备发送第一响应消息，所述第一响应消息包括所述允许加入第一多播会话的用户设备的信息。

在上述技术方案中，可以将第四识别信息对应的多播会话可用的用户设备列表存储在通信装置中，使得第一核心网设备在接收到第二会话管理功能网元的鉴权请求后可以向通信装置查询相应多播会话可用的用户设备列表，进而根据通信装置的反馈的信息确定鉴权结果并指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。

结合第二十八方面，在一种可能的实现方式中，所述收发单元具体用于：从应用功能网元或运营商获取所述允许加入第一多播会话的用户设备的信息。

在通信装置从应用功能网元获取所述允许加入第一多播会话的用户设备的信息的情况下，可以实现应用功能网元根据业务情况实时更新通信装置中存储的允许加入第一多播会话的用户设备的信息，方案更加灵活。

结合第二十八方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

第二十九方面，本申请提供了一种通信装置，所述装置包括：收发单元，用于向第二核心网设备发送第一配置请求消息，所述第一配置请求消息包括第一用户设备列表和第四识别信息，所述第四识别信息与多播会话对应，所述第一用户设备列表为允许加入所述第四识别信息对应的多播会话的用户设备的列表；以及接收来自所述第二核心网设备发送的第一配置响应消息，所述第一配置响应消息用于指示所述第一用户设备列表和所述第四识别信息已存储在统一数据存储库。

在上述技术方案中，通信装置可以将第四识别信息对应的多播会话可用的用户设备列表存储在统一数据存储库中，使得第一核心网设备在接收到第二会话管理功能网元的鉴权请求后可以向统一数据存储库查询相应多播会话可用的用户设备列表，进而根据统一数据存储库的反馈的信息确定鉴权结果并指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。并且在统一数据存储库从通信装置获取所述第一用户设备列表和所述第四识别信息的情况下，可以实现通信装置根据业务情况实时更新统一数据存储库中存储的第一用户设备列表，方案更加灵活。

结合第二十九方面，在一种可能的实现方式中，所述第二核心网设备为网络开放功能网元或多播广播业务功能网元。

第三十方面，本申请提供了一种通信装置，所述装置包括：收发单元，用于接收来自第二会话管理功能网元的第一消息，所述第一消息用于通知所述应用功能网元用户设备请求加入所述第一多播会话，所述第一消息包括所述第二识别信息和所述用户设备的第一用户标识信息，所述第二识别信息与所述第一多播会话对应；处理单元，用于根据所述第一消息，确定所述是否允许所述用户设备加入所示第一多播会话；所述收发单元还用于向所述第二会话管理功能网元发送第二指示信息，所述第二指示信息是否允许所述用户设备加入所述第一多播会话。

在上述技术方案中，通信装置可以向第二会话管理功能网元订阅用户设备加入事件的通知，这样第二会话管理功能网元在收到用户设备的加入请求时可以向通信装置通知对该用户设备请求加入多播会话，通信装置则可以对该用户设备的加入请求进行鉴权并将鉴权结果指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第三十方面，在一种可能的实现方式中，所述收发单元还用于向第二核心网设备发送第二配置请求消息，所述第二配置请求消息包括第二识别信息和订阅信息，所述第二识别信息与第一多播会话对应，所述订阅信息用于订阅用户设备加入所述第一多播会话的通知；接收来自所述第二核心网设备发送的第二配置响应消息，所述第二配置响应消息用于指示所述第二识别信息和所述订阅信息已存储在统一数据存储库。

结合第三十方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述第二核心网设备为网络开放功能网元或多播广播业务功能网元。

结合第三十方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述订阅信息包括第二识别信息和事件标识，所述第二识别信息对应于所述第一多播会话，所述事件标识用于标识用户设备加入多播会话事件。

第三十一方面，本申请提供了一种通信装置，所述装置包括：收发单元，用于接收来自应用功能网元的订阅信息，所述订阅信息用于订阅用户设备加入第一多播会话的通知；向第二会话管理功能网元发送所述订阅信息。

在上述技术方案中，应用功能网元可以将订阅信息存储在通信装置中，使得通信装置可以向第二会话管理功能网元订阅用户设备加入多播会话的通知，这样第二会话管理功能网元在收到用户设备的加入请求时可以向应用功能网元通知对该用户设备请求加入多播会话，应用功能网元则可以对该用户设备的加入请求进行鉴权并将鉴权结果指示给第二会话管理功能网元，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第三十一方面，在一种可能的实现方式中，所述订阅信息包括第二识别信息和事件标识，所述第二识别信息对应于所述第一多播会话，所述事件标识用于标识用户设备加入多播会话事件。

第三十二方面，本申请提供了一种通信装置，所述装置包括：收发单元，用于接收来自用户设备的第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第二识别信息，所述第二识别信息与所述第一多播会话对应；向应用功能网元发送第一消息，所述第一消息用于通知所述应用功能网元所述用户设备请求加入所述第一多播会话，所述第一消息包括所述第二识别信息和所述用户设备的第一用户标识信息；接收来自所述应用功能网元的第二指示信息，所述第二指示信息用于指示是否允许所述用户设备加入所述第一多播会话。处理单元，用于当所述第二指示信息指示允许所述用户设备加入所述第一多播会话时，接受所述第一加入请求；或当所述第二指示信息指示不允许所述用户设备加入所述第一多播会话时，拒绝所述第一加入请求。

在上述技术方案中，通信装置在收到用户设备的加入请求时可以向应用功能网元通知对该用户设备请求加入多播会话，以便应用功能网元可以对该用户设备的加入请求进行鉴权并将鉴权结果指示给通信装置，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

结合第三十二方面，在一种可能的实现方式中，所述收发单元还用于：接收来自统一数据存储库的订阅信息，所述订阅信息用于订阅用户设备加入所述第一多播会话的通知。

在上述技术方案中，统一数据存储库可以向通信装置订阅用户设备加入事件的通知，这样通信装置在收到用户设备的加入请求时可以向应用功能网元通知对该用户设备请求加入多播会话。

结合第三十二方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述订阅信息包括第二识别信息和事件标识，所述第二识别信息对应于所述第一多播会话，所述事件标识用于标识用户设备加入多播会话事件。

第三十三方面，本申请提供了一种用于鉴权的方法，所述方法包括：统一数据存储库接收来自第一核心网设备的第三查询消息，所述第三查询消息包括第三用户标识信息，所述第三查询消息用于查询允许所述第三用户标识信息标识的用户设备加入的多播会话的信息；所述统一数据存储库向所述第一核心网设备发送第三响应消息，所述第三响应消息包括允许所述用户设备加入的多播会话的信息。

其中，第三查询消息用于查询允许所述第三用户标识信息标识的用户设备加入的多播会话的信息，也可以替换为，第三查询消息用于查询用户设备的会话相关信息，统一数据存储库在反馈给第一核心网设备的用户设备的会话相关信息中包括用于指示允许用户设备加入的多播会话的信息。

在上述技术方案中，将多播会话可用的用户设备列表存储在统一数据存储库中，这样会话管理功能网元在进行用户设备的单播会话的建立流程中，可以以用户设备的标识为索引向统一数据存储库请求允许用户设备加入的多播业务，进而根据统一数据存储库反馈的信息对用户设备的加入请求进行鉴权，从而可以实现对用户设备的加入请求进行鉴权。

结合第三十三方面，在一种可能的实现方式中，所述方法还包括：所述统一数据存储库从应用功能网元或运营商获取与多播会话对应的识别信息和用户设备列表，所述用户设备列表为允许加入所述多播会话的用户设备的列表；所述统一数据存储库根据所述第三查询消息、所述识别信息、以及用户设备列表，确定所述允许所述用户设备加入的多播会话的信息。

结合第三十三方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

第三十四方面，本申请提供了一种用于鉴权的方法，所述方法包括：第一核心网设备接收来自第二会话管理功能网元的第十四消息，所述第十四消息用于请求允许用户设备加入的多播会话的信息，所述第十四消息包括所述用户设备的第三用户标识信息；所述第一核心网设备根据所述第三用户标识信息获取允许所述用户设备加入的多播业务的信息；所述第一核心网设备向所述第二会话管理功能网元发送所述允许所述用户设备加入的多播业务的信息。

其中，第十四消息用于请求允许用户设备加入的多播会话的信息，也可以替换为，第十四消息用于查询用户设备的会话相关信息，第一核心网设备在反馈给第二会话管理功能网元的用户设备的会话相关信息中包括用于指示允许用户设备加入的多播业务的信息。

在上述技术方案中，第二会话管理功能网元将用户设备的标识信息发送给第一核心网设备，使得第一核心网设备可以根据用户的标识为索引获取允许用户设备加入的多播业务，并反馈给第二会话管理功能网元，这样第二会话管理功能网元在进行用户设备的单播会话的建立流程中对用户设备的加入请求进行鉴权，从而可以实现对用户设备的加入请求进行鉴权。

结合第三十四方面，在一种可能的实现方式中，所述第一核心网设备根据所述第三用户标识信息获取允许所述用户设备加入的多播业务的信息，包括：所述第一核心网设备向统一数据存储库发送第三查询消息，所述第三查询消息包括第三用户标识信息，用于查询允许所述用户设备加入的多播会话的信息；所述第一核心网设备接收来自所述统一数据存储库的第三响应消息，所述第三响应消息包括所述允许所述用户设备加入的多播会话的信息。

其中，第三查询消息用于查询允许用户设备加入的多播会话的信息，也可以替换为，第三查询消息用于查询用户设备的会话相关信息，统一数据存储库在反馈给第一核心网设备的用户设备的会话相关信息中包括用于指示允许用户设备加入的多播业务的信息。

在上述技术方案中，将多播会话可用的用户设备列表存储在统一数据存储库中，这样会话管理功能网元在进行用户设备的单播会话的建立流程中，可以以用户设备的标识为索引向统一数据存储库请求允许用户设备加入的多播业务，进而根据统一数据存储库反馈的信息对用户设备的加入请求进行鉴权，从而可以实现对用户设备的加入请求进行鉴权。结合第三十四方面或其任意一种可能的实现方式，在另一种可能的实现方式中，若应用功能网元可以与第一核心网设备进行信令交互，应用功能网元还可以将多播会话可用的用户设备列表存储在第一核心网设备中，当第一核心网设备在接收到第十四消息后，第一核心网设备可以根据第十四消息携带的用户设备的第三用户标识信息、以及多播会话可用的用户设备列表，确定允许该用户设备接入的多播会话。

结合第三十四方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

第三十五方面，本申请提供了一种用于鉴权的方法，所述方法包括：第二会话管理功能网元接收来自用户设备的第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第四识别信息，所述第四识别信息与所述第一多播会话对应；当所述第一多播会话属于允许所述用户设备加入的多播会话时，所述第二会话管理功能网元接受所述第一加入请求；或，当所述第一多播会话不属于允许所述用户设备加入的多播会话时，所述第二会话管理功能网元拒绝所述第一加入请求。

在上述技术方案中，第二会话管理功能网元可以根据用户设备请求加入的多播会话是否属于允许该用户设备加入的多播会话，确定是否接收用户设备的加入请求，从而可以实现对用户设备的加入请求进行鉴权。

结合第三十五方面，在一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

结合第三十五方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述方法还包括：所述第二会话管理功能网元向第一核心网设备发送第十四消息，所述第十四消息用于请求允许用户设备加入的多播会话的信息，所述第十四消息包括所述用户设备的第三用户标识信息；所述第二会话管理功能网元接收来自所述第一核心网设备的所述允许所述用户设备加入的多播业务的信息。

其中，第十四消息用于请求允许用户设备加入的多播业务，也可以替换为，第十四消息用于查询用户设备的会话相关信息，第一核心网设备在反馈给第二会话管理功能网元的用户设备的会话相关信息中包括用于指示允许用户设备加入的多播业务的信息。

第三十六方面，本申请提供了一种通信装置，所述装置包括：收发单元，用于接收来自第一核心网设备的第三查询消息，所述第三查询消息包括第三用户标识信息，所述第三查询消息用于查询允许所述第三用户标识信息标识的用户设备加入的多播会话的信息；向所述第一核心网设备发送第三响应消息，所述第三响应消息包括允许所述用户设备加入的多播会话的信息。

结合第三十六方面，在一种可能的实现方式中，所述收发单元还用于从应用功能网元或运营商获取与多播会话对应的识别信息和用户设备列表，所述用户设备列表为允许加入所述多播会话的用户设备的列表；处理单元还用于根据所述第三查询消息、所述识别信息、以及用户设备列表，确定所述允许所述用户设备加入的多播会话的信息。

结合第三十六方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

第三十七方面，本申请提供了一种通信装置，所述装置包括：收发单元，用于接收来自第二会话管理功能网元的第十四消息，所述第十四消息用于请求允许用户设备加入的多播会话的信息，所述第十四消息包括所述用户设备的第三用户标识信息；根据所述第三用户标识信息获取允许所述用户设备加入的多播业务的信息；向所述第二会话管理功能网元发送所述允许所述用户设备加入的多播业务的信息。

结合第三十七方面，在一种可能的实现方式中，所述收发单元具体用于：向统一数据存储库发送第三查询消息，所述第三查询消息包括第三用户标识信息，用于查询允许所述用户设备加入的多播会话的信息；接收来自所述统一数据存储库的第三响应消息，所述第三响应消息包括允许所述用户设备加入的多播会话的信息。

其中，第三查询消息用于查询允许所述用户设备加入的多播会话的信息，也可以替换为，第三查询消息用于查询用户设备的会话相关信息，统一数据存储库在反馈给第一核心网设备的用户设备的会话相关信息中包括用于指示允许用户设备加入的多播业务的信息。

结合第三十七方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

第三十八方面，本申请提供了一种通信装置，所述装置包括：收发单元，用于接收来自用户设备的第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第四识别信息，所述第四识别信息与所述第一多播会话对应；处理单元用于当所述第一多播会话属于允许所述用户设备加入的多播会话时，接受所述第一加入请求，或，当所述第一多播会话不属于允许所述用户设备加入的多播会话时，拒绝所述第一加入请求。

在上述技术方案中，通信装置可以根据用户设备请求加入的多播会话是否属于允许该用户设备加入的多播会话，确定是否接收用户设备的加入请求，从而可以实现对用户设备的加入请求进行鉴权。

结合第三十八方面，在一种可能的实现方式中，所述第一核心网设备为策略控制功能网元或统一数据管理网元。

结合第三十八方面或其任意一种可能的实现方式，在另一种可能的实现方式中，所述收发单元还用于向第一核心网设备发送第十四消息，所述第十四消息用于请求允许用户设备加入的多播会话的信息，所述第十四消息包括所述用户设备的第三用户标识信息；接收来自所述第一核心网设备的所述允许所述用户设备加入的多播业务的信息。

第三十九方面，本申请提供了一种通信装置，包括处理器、存储器和收发器。其中，存储器用于存储计算机程序，处理器用于调用并运行存储器中存储的计算机程序，并控制收发器收发信号，以使通信装置执行如上述任意一方面或其任意可能的实现方式中的方法。

第四十方面，本申请提供一种通信装置，包括处理器和通信接口，所述通信接口用于接收信号并将接收到的信号传输至所述处理器，所述处理器处理所述信号，使得如上述任意一方面或其任意可能的实现方式中的方法被执行。

可选地，上述通信接口可以为接口电路，处理器可以为处理电路。

第四十一方面，本申请提供了一种芯片，包括逻辑电路和通信接口，所述通信接口用于执行如上述任意一方面或其任意可能的实现方式中的发送、接收或获取操作，所述逻辑电路用于执行如上述任意一方面或其任意可能的实现方式中所述的确定处理。

可选地，所述通信接口可以包括输入接口和输出接口。所述输入接口用于执行获取或接收操作，所述输出接口用于执行发送操作。

第四十二方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机指令，当计算机指令在计算机上运行时，使得如上述任意一方面或其任意可能的实现方式中的方法被执行。

第四十三方面，本申请提供一种计算机程序产品，所述计算机程序产品包括计算机程序代码，当所述计算机程序代码在计算机上运行时，使得如上述任意一方面或其任意可能的实现方式中的方法被执行。

第四十四方面，本申请提供一种无线通信系统，包括如上述任意一方面或其任意可能的实现方式所述的通信装置中的任意一个或多个。

附图说明

图1是可以应用本申请实施例的网络架构的示意图。

图2为基于单播的组播的示意图。

图3是可以应用本申请实施例的单播/组播系统架构的示意图。

图4是本申请实施例提供的鉴权方法的示意性流程图。

图5是本申请实施例的另一鉴权方法的示意性流程图。

图6是本申请实施例的另一鉴权方法的示意性流程图。

图7是本申请实施例的另一鉴权方法的示意性流程图。

图8是本申请实施例的另一鉴权方法的示意性流程图。

图9是本申请另一实施例提供的鉴权方法的示意性流程图。

图10是本申请实施例的另一鉴权方法的示意性流程图。

图11是本申请实施例的另一鉴权方法的示意性流程图。

图12是本申请实施例的另一鉴权方法的示意性流程图。

图13是本申请实施例的另一鉴权方法的示意性流程图。

图14是本申请实施例的另一鉴权方法的示意性流程图。

图15是本申请实施例的另一鉴权方法的示意性流程图。

图16是本申请实施例的另一鉴权方法的示意性流程图。

图17是本申请实施例的另一鉴权方法的示意性流程图。

图18是本申请实施例的另一鉴权方法的示意性流程图。

图19是本申请实施例的另一鉴权方法的示意性流程图。

图20是本申请的实施例提供的可能的装置的结构示意图。

图21是本申请的实施例提供的可能的装置的另一结构示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)系统或新无线(new radio，NR)通信系统、卫星通信系统、以及未来的移动通信系统等。

图1是可以应用本申请实施例的网络架构的示意图。以5G网络架构为例，该网络架构包括：用户设备(user equipment，UE)101、无线接入网设备(radio access network，RAN)102、用户面功能(user plane function，UPF)网元103、数据网络(data network，DN)网元104、接入和移动管理功能(access and mobility management function，AMF)元105、会话管理功能(session management function，SMF)网元106、策略控制功能模块(policy control function，PCF)网元107、统一数据管理(unified data management，UDM)网元108、应用功能(application function，AF)网元109、统一数据存储库(unified data repository，UDR)网元110、和网络开放功能(network exposure function，NEF)网元111。下述将用户设备101、无线接入网设备102、UPF网元103、DN网元104、AMF网元105、SMF网元106、PCF网元107、UDM网元108、AF网元109、UDR网元110、NEF网元111分别简称为UE101、RAN102、UPF103、DN104、AMF105、SMF106、PCF107、UDM108、AF109、UDR110、NEF111。

其中，UE101，主要通过无线空口接入5G网络并获得服务，UE101通过空口和RAN102进行交互，通过非接入层信令(non-access stratum，NAS)和核心网的AMF105进行交互。

RAN102负责UE101接入网络的空口资源调度和空口的连接管理。

UPF103负责用户设备中用户数据的处理，例如，转发和计费等。例如，UPF103可以从DN104接收用户数据，并通过RAN102传输给UE101，还可以通过RAN102从UE101接收用户数据，转发到DN104。UPF103中为UE101提供服务的传输资源和调度功能由SMF106管理控制的。

DN104是为用户提供数据传输服务的运营商网络，例如，因特网协议(internet protocol，IP)多媒体业务(IP multi-media service，IMS)、Internet等。UE101通过建立UE101到RAN102到UPF103到DN104之间的协议数据单元(protocol data unit，PDU)会话(session)，来访问DN104。

AMF105主要负责移动网络中的移动性管理，例如，用户位置更新、用户注册网络、和用户切换等。

SMF106主要负责移动网络中的会话管理，例如，会话建立、修改和释放等。具体功能包括为用户分配IP地址、选择提供报文转发功能的UPF等。

PCF107负责向AMF105、SMF106提供策略，例如，服务质量(quality of service，QoS)策略、切片选择策略等。

UDM108用于存储用户数据，例如，签约信息、鉴权/授权信息等。

AF109负责向第三代合作伙伴项目(the 3rd generation partnership project，3GPP)网络提供业务，例如，影响业务路由、与PCF107之间交互以进行策略控制等。

UDR110负责存储和检索签约数据、策略数据和公共架构数据等。

NEF111用于运营商网络将网络中的数据开放给第三方应用服务器，或接收第三方应用服务器为网络提供的数据。

在该网络架构中，N1为UE101和AMF105之间的接口，N2为RAN102和AMF105的接口，用于NAS消息的发送等；N3为RAN102和UPF103之间的接口，用于传输用户面的数据等；N4为SMF106和UPF103之间的接口，用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息；N6接口为UPF103和DN104之间的接口，用于传输用户面的数据等。Nudr为UDR110展现的基于服务的接口，Namf为AMF105展现的基于服务的接口，Nsmf为SMF106展现的基于服务的接口，Nnef为NEF111展现的基于服务的接口，Npcf为PCF107展现的基于服务的接口，Nudm为UDM108展现的基于服务的接口，Naf为AF109展现的基于服务的接口。

需要说明的是，图1所示的各网元之间的接口还可以是点对点的接口，而不是服务化的接口。

本申请实施例中的用户设备也可以称为终端设备、用户、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。用户设备可以是蜂窝电话、智能手表、无线数据卡、手机、平板电脑、个人数字助理(personal digital assistant，PDA)电脑、无线调制解调器、手持设备、膝上型电脑、机器类型通信(machine type communication，MTC)终端、带无线收发功能的电脑、物联网终端、虚拟现实终端设备、增强现实终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程手术中的无线终端、智能电网中的无线终端、运输安全中的无线终端、智慧城市中的无线终端、智慧家庭中的无线终端、卫星通信中的无线终端(例如，卫星电话或卫星终端等)等等。本申请的实施例对用户设备所采用的具体技术和具体设备形态不做限定。

本申请实施例中的接入网设备可以是用于与用户设备通信的设备，主要负责空口侧的无线资源管理、服务质量管理、数据压缩和加密等功能。该接入网设备可以是全球移动通讯(global system of mobile communication，GSM)系统或码分多址(code division multiple access，CDMA)系统中的基站(base transceiver station，BTS)、宽带码分多址(wideband code division multiple access，WCDMA)系统中的基站(nodeB，NB)、LTE系统中的演进型基站(evolutional nodeB，eNB或eNodeB)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统中的基站、云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器、无线高保真(wireless fidelity)系统的中接入点、中继站、车载设备或者可穿戴设备等。或者接入网设备可以为D2D通信或机器通信中承担基站功能的终端。或者接入网设备可以为5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等。此外，接入网设备也可以是完成基站部分功能的模块或单元，例如，可以是集中式单元(central unit，CU)，也可以是分布式单元(distributed unit，DU)。本申请的实施例对接入网设备所采用的具体技术和具体设备形态不做限定。

应理解，图1所示的各个网元的命名仅是一个名字，名字对网元本身的功能不构成限定。在不同的网络中，上述各个网元也可以是其他的名字，本申请实施例对此不作具体限定。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能是其他命名，等等，在此进行统一说明，以下不再赘述。类似地，图1所示的网元之间的接口仅是一个示例，在5G网络以及未来其它的网络中，网元之间的接口也可以不是图中所示的接口，本申请对此不作限定。还应理解，本申请实施例并不限于图1所示的系统架构中。例如，可以应用本申请的通信系统可以包括更多或更少的网元或设备。图1中的设备或网元可以是硬件，也可以是从功能上划分的软件或者以上二者的结合。图1中的设备或网元之间可以通过其他设备或网元通信。

目前，若5GC网络需要向多个用户设备发送相同业务，可以建立一条多播用户面连接来发送数据，使得发给不同用户设备的相同内容的数据只选择一份发送，有利于提高空口侧资源和核心网资源的使用效率。一种实现方式为通过基于单播的组播技术实现。

图2为基于单播的组播的示意图。

基于单播的组播技术对于应用服务器(application server，AS)和UPF之间的数据传输不作具体限定。例如，如图2的(a)图和(c)图所示，AS可以仅向网络发送一份组播数据包。又例如，如图2的(b)图和(d)图所示，AS可以向组播组内的每一个UE发送一份组播数据包。

针对同一多播群组，对于UPF到接入网(access network，AN)再到UE、或AN到UE传输的数据包，其都是内容相同的组播数据包。

如图2的(a)图和(b)图所示，UPF将发送给不同UE(例如，图2中的UE1-UE4)的相同内容的数据选择一份发送到接入网(access network，AN)，AN将接收到的数据选择一份发送给UE1-UE4。例如，针对同一多播群组，UPF会将从应用服务器接收的组播数据包通过专用传输通道，或者通过组播群组中的某个UE的N3通道将数据发送到接入网，AN将接收到的数据发送给UE1-UE4。

如图2的(c)图和(d)图所示，UPF将发送给不同UE(例如，图2中的UE1-UE4)的相同内容的数据单播发送给AN，AN将接收到的数据选择一份发送给UE1-UE4。例如，针对同一多播群组，UPF会将从应用服务器接收的组播数据通过组播群组中的UE的N3通道将数据通过单播发送到接入网，AN将接收到的数据发送给UE1-UE4。

图3是可以应用本申请实施例的单播/组播系统架构的示意图。其中各网元的详细描述可以参见图1中的相关描述，在此不再赘述。需要说明的是，图3中的SMF为用于管理单播PDU会话的SMF网元，多播SMF(multicast SMF，M-SMF)为用于管理多播PDU会话的SMF网元，UPF为用于处理单播用户数据的UPF网元，多播UPF(multicast UPF，M-UPF)为用于处理多播用户数据的UPF网元。其中，第一UPF由第一SMF进行管理。

其中，M-SMF可以是某个单播SMF通过增强功能实现，也可以是一个管理多播业务的专用网元。M-UPF可以是某个单播UPF通过增强功能实现，也可以是一个管理多播业务的专用网元。

为了方便描述，下文将用于管理多播PDU会话的SMF网元统一称为第一SMF，将用于管理单播PDU会话的SMF网元统一称为第二SMF，将用于处理多播用户数据的UPF网元统一称为第一UPF，将用于处理单播用户数据的UPF网元统一称为第二UPF。还需要说明的是，在本申请实施例中对组播和多播不作区分，下文统一描述为多播。

需要说明的是，在某些实现场景中，本申请中的M-SMF或第一SMF的功能可能会由其他网元包含。例如，多播广播业务功能网元(multicast and broadcast service function，MBSF)实现，MBSF包含用于管理多播业务的相关功能，例如，多播会话管理功能、多播用户的鉴权功能、多播数据的控制功能(例如，针对多播数据加密、编码等功能的控制等)、以及多播策略的生成等。此时，M-SMF或第一SMF可以等价替换为这些其他网元(例如，MBSF)。

在上述多播场景，当UE加入多播群组时，需要对UE的加入进行鉴权操作，以便保证多播业务的正确传输。基于此，如何实现对用户设备的加入请求进行鉴权成为亟需解决的问题。

针对上述问题，本申请提供了鉴权方法和通信装置，能够实现UE加入多播群组时的鉴权操作。

图4是本申请实施例提供的鉴权方法的示意性流程图。图4所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

图4中的方法可以由第一SMF和应用服务器执行，也可以由第一SMF和应用服务器中的模块或单元(例如，电路、芯片或片上系统(system on chip，SOC)等)执行，图4中以执行主体为第一SMF和应用服务器为例。图4中的方法可以包括以下内容的至少部分内容。

在步骤410中，第一SMF获取用户设备的第一用户标识信息和多播数据的第一识别信息。

例如，第一用户标识信息可以为GPSI。

多播数据的第一识别信息与用户设备请求加入的多播群组对应，可以包括多播数据对应的多播群组的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的SDF识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。为了描述方便，下文将多播数据的第一识别信息简称为第一识别信息。

在本申请中，第一SMF获取第一用户标识信息和上述第一识别信息的方式有很多，将会在下文结合附图5到图8进行详细描述。

在步骤420中，第一SMF向应用服务器发送第一消息，请求应用服务器对用户设备的加入请求进行鉴权。相应地，应用服务器接收来自第一SMF的第一消息。其中，第一消息包括第一用户标识信息和多播数据的第二识别信息。

可选地，第一消息可以为鉴权授权请求消息。

多播数据的第二识别信息与用户设备请求加入的多播群组对应，可以包括多播数据对应的多播群组的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的SDF识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。为了描述方便，下文将多播数据的第二识别信息简称为第二识别信息。

在一些实现方式中，第一识别信息和第二识别信息可以相同。

在另一些实现方式中，第一识别信息和第二识别信息可以不同。具体地，第一SMF获取到第一识别信息后，可以根据第一识别信息确定第二识别信息，进而将第二识别信息发送给应用服务器。例如，第一SMF获取到的第一识别信息为多播群组的TMGI，第一SMF根据TMGI确定与该TMGI对应的PDU会话的ID，并将该PDU会话的ID通过第一消息发送给应用服务器。

在本申请中，第一SMF向应用服务器发送第一消息的方式有很多，同样将会在下文结合附图5到图8进行详细描述。

在步骤430中，应用服务器根据第一用户标识信息和第二识别信息进行鉴权。

在一些实现方式中，应用服务器可以根据第一用户标识信息和第二识别信息，查询数据库。若针对该第二识别信息，数据库中存在第一用户标识信息的签约信息，则应用服务器确定鉴权成功；反之，应用服务器确定鉴权失败。

在步骤440中，应用服务器向第一SMF发送结果信息。相应地，第一SMF接收来自应用服务器的结果信息。

其中，结果信息用于指示鉴权的结果。例如，结果信息指示鉴权成功。又例如，结果信息指示鉴权失败。

可选地，当应用服务器确定鉴权成功时，应用服务器还可以向第一SMF向发送用于多播传输的参数信息。该参数信息可以包括多播传输的QoS参数和多播会话的标识信息等。

在本申请中，应用服务器向第一SMF发送结果信息的方式有很多，将会在下文结合附图5到图8进行详细描述。

可选地，在一些实现方式中，在第一SMF向应用服务器发送第一消息的之前，第一SMF还可以判断是否需要应用服务器进行鉴权授权。当判断需要应用服务器进行鉴权授权时，第一SMF向应用服务器发送第一消息；当判断无需应用服务器进行鉴权授权时，第一SMF则不会向应用服务器发送第一消息。

下面结合图5至图8对本申请实施例进行详细说明。

图5是本申请实施例的另一鉴权方法的示意性流程图。图5所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

在本申请实施例中，第一SMF可以通过控制面信令获取第一用户标识信息和第一识别信息，换句话说，用户设备可以通过控制面信令请求加入多播群组。

具体地，通过步骤501-步骤503向第一SMF传输第一用户标识信息和识别信息。

在步骤501中，用户设备向AMF发送第三消息。相应地，AMF接收用户设备发送的第三消息。

在一些实现方式中，用户设备可以通过非接入层(non-access stratum，NAS)消息发送第三消息，第三消息中可以包含多播数据的第三识别信息。例如，NAS消息中可以包括N1SM容器(N1SM container)，N1SM容器可以包括PDU会话修改请求消息或PDU会话建立请求消息，进一步地，PDU会话修改请求消息或PDU会话建立请求消息中可以包括上述第三识别信息。

多播数据的第三识别信息与用户设备请求加入的多播群组对应，可以包括多播数据对应的多播群组的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的SDF识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。为了描述方便，下文将多播数据的第三识别信息简称为第三识别信息。

可选地，PDU会话修改请求消息或PDU会话建立请求消息中还可以包括DN的标识信息和/或用于鉴权授权的信息等。其中，DN的标识信息可以为DN的ID或DN的名称等。用于鉴权授权的信息基于应用层的实现可以有不同的形式，本申请实施例对此不作具体限定。

可选地，PDU会话修改请求消息或PDU会话建立请求消息中还可以包括第二用户标识信息。其中，第二用户标识信息可以为用于唯一标识用户设备，且核心网设备和接入网设备可以识别的信息。例如，第二用户标识信息可以包括SUPI和GUTI等。

在步骤502中，AMF向第二SMF发送第三识别信息。相应地，第二SMF接收来自AMF的第三识别信息。

在一些实现方式中，AMF向第二SMF发送从用户设备接收的第三消息，所述第三消息包括上述第三识别信息。

在另一些实现方式中，AMF还可以向第二SMF发送第一用户标识信息和/或第二用户标识信息。

可选地，若AMF本地有第二用户设备与第一用户设备的映射关系，AMF在接收到用户设备发送的第二识别信息后，可以根据该映射关系确定用户设备的第一用户标识信息。此时，AMF可以向第二SMF发送第一用户标识信息，或者向第二SMF发送第二用户标识信息，或者向第二SMF发送第一用户标识信息和第二用户标识信息。

可选地，AMF可以不针对第三识别信息进行处理，当AMF本地有可用的用户设备的第一用户标识信息时，AMF可以向第二SMF发送第一用户标识信息和第三识别信息。

可选地，AMF不确定第一用户标识信息，AMF可以向第二SMF发送第二用户标识信息。

需要说明的是，AMF向第二SMF发送的第二用户标识信息可以是由AMF提供的，或者是由用户设备提供的(即在步骤501中用户设备还向AMF发送第二用户标识信息)。

在步骤503中，第二SMF向第一SMF发送第一用户标识信息和/或第二用户标识信息、以及第一识别信息。相应地，第一SMF接收来自第二SMF的第一用户标识信息和/或第二用户标识信息、以及第一识别信息。

多播数据的第一识别信息与用户设备请求加入的多播群组对应，第一识别信息的具体描述可以参见上文，在此不再赘述。

在一些实现方式中，第一识别信息和第三识别信息可以相同。

在另一些实现方式中，第一识别信息和第三识别信息可以不同。具体地，第二SMF获取到第三识别信息后，可以根据第三识别信息确定第一识别信息，进而将第一识别信息发送给第一SMF。例如，第二SMF获取到的第三识别信息为多播群组的TMGI，第二SMF根据TMGI确定与该TMGI对应的PDU会话的ID，并将该PDU会话的ID通过第一消息发送给第一SMF。

可选地，第二SMF可以通过N16消息发送第一用户标识信息和/或第二用户标识信息、以及第一识别信息。其中，N16消息用于请求多播传输的参数信息以及请求进行加入多播群组的鉴权。

可选地，若AMF未向第二SMF发送第一用户标识信息，第二SMF需要从AMF获取第一用户标识信息，或者根据本地存储的信息以及第二用户标识信息确定第一用户标识信息，或者第二SMF需要从UDM获取第一用户标识信息。其中，上述本地存储的信息可以从AMF获取。

可选地，上述本地存储的信息可以为第二用户标识与第一用户标识信息的映射关系。

可选地，执行步骤503之前，第二SMF可以确定第一SMF。一种实现方式为第二SMF根据第三识别信息，通过查询用于集中存储的网元中存储的数据，确定第一SMF。其中，用于集中存储的网元可以为UDM、UDR或PCF等。另一种实现方式是，第二SMF之前预配置了第三识别信息与第一SMF网元之间的对应关系，此时第二SMF网元可以直接通过此对应关系确定第一SMF。

可选地，若第二SMF向第一SMF发送的是第二用户标识信息，而未向第一SMF发送第一用户标识信息，第一SMF需要根据第二用户标识信息从其他存储了第一用户标识信息和第二用户标识信息的映射关系网元获取第一用户标识信息。这些网元可以是第二SMF、AMF、UDM、UDR或PCF等网元。

以第一SMF从AMF获取第一用户标识信息为例。

1)首先，第一SMF向AMF发送消息，消息可以是N11消息，该消息用于请求AMF将第二用户标识信息对应的第一用户标识信息发送给第一SMF，该消息包括第二用户标识信息。可选地，该消息还可以包括第三识别信息。需要说明的是，该消息携带的第二用户标识信息可以是用户的永久标识信息或者用户的临时标识信息。还需要说明的是，第一SMF向AMF发送的第二用户标识信息与第二SMF或AMF向第一SMF发送的第二用户标识信息可能不同，第二SMF或AMF向第一SMF发送的第二用户标识信息可以是用户的永久标识信息、用户的临时标识信息或SM上下文信息标识(SM Context ID)，第一SMF向AMF发送的第二用户标识信息可以是用户的永久标识信息或用户的临时标识信息，两者无依赖关系。例如，第二SMF或AMF提供的是用户的临时标识信息，第一SMF根据用户的临时标识信息，确定对应的AMF并从AMF获取用户的永久标识信息，此后第一SMF通过向AMF发送用户的永久标识信息从AMF处获取第一用户标识信息。

2)之后，AMF向第一SMF发送消息，消息可以是N11消息，该消息用于向第一SMF返回第二用户标识信息对应的第一用户标识信息。可选地，该消息还可以包括第三识别信息。

在第一SMF获取到第一用户标识信息和第一识别信息后，可以向应用服务器发送第一消息，请求应用服务器执行鉴权授权操作。该第一消息包括第一用户标识信息和第二识别信息。

可选地，第一消息可以是鉴权授权请求消息。

多播数据的第二识别信息与用户设备请求加入的多播群组对应，第二识别信息的具体描述可以参见上文，在此不再赘述。

在一些实现方式中，可以采用用户面信令，通过用户面网元实现上述鉴权授权操作。

作为一个示例，可以通过图5中的方式1实现。

具体地，在步骤504中，第一SMF根据第一识别信息或第二识别信息，确定对应于识别信息的应用服务器。

例如，在第一SMF建立多播会话时，从PCF获取并存储的。

又例如，第一SMF向相关网元查询。相关网元可以为UDM、UDR或PCF等。

在步骤505中，第一SMF向应用服务器发送第一消息。相应地，应用服务器接收来自第一SMF的第一消息。其中，第一消息可以包括第一用户标识信息和第二识别信息。

可选地，当第一SMF与应用服务器之间具有直接接口时，第一SMF可以直接向应用服务器发送第一消息。

可选地，第一SMF可以通过第一UPF向应用服务器发送第一消息。

在步骤506中，应用服务器根据接收到的第一用户标识信息和第二识别信息，进行鉴权授权操作。

在一些实现方式中，应用服务器可以根据第一用户标识信息和识别信息，查询数据库。若针对该第二识别信息，数据库中存在第一用户标识信息的签约信息，则应用服务器确定鉴权成功；反之，应用服务器确定鉴权失败。

在步骤507中，应用服务器向第一SMF发送第二消息。相应地，第一SMF接收来自应用服务器的第二消息。

其中，第二消息可以包括结果信息，结果信息用于指示鉴权的结果。

例如，结果信息指示鉴权成功。

又例如，结果信息指示鉴权失败。

可选地，第二消息可以是鉴权授权响应消息。

可选地，当应用服务器确定鉴权成功时，第二消息中还可以包括用于多播传输的参数信息。该参数信息可以包括多播传输的QoS参数和多播会话的标识信息等。

可选地，第二消息中还可以包括第二识别信息。

在另一些实现方式中，还可以采用控制面信令，通过控制面网元实现上述鉴权授权操作。

作为一个示例，可以通过图5中的方式2实现。

具体地，在步骤508中，第一SMF向NEF发送第一消息。相应地，NEF接收来自第一SMF的第一消息。

可选地，第一消息可以是鉴权授权请求消息。

在步骤509中，NEF确定对应于第二识别信息的应用服务器。

例如，第一SMF在第一消息中携带应用服务器的地址，NEF从第一消息中获取应用服务器的地址。第一SMF获取应用服务器的地址的方式可以参见步骤504。

又例如，第一NEF根据第二识别信息向相关网元查询。相关网元可以为UDM、UDR或PCF等。

在步骤510中，NEF向应用服务器发送第一消息。相应地，应用服务器接收来自NEF的第一消息。

在步骤511中，应用服务器根据接收到的第一用户标识信息和第二识别信息，进行鉴权授权操作。步骤511与步骤506相似，可以参考步骤506的相关描述。

在步骤512中，应用服务器向NEF发送第二消息。相应地，NEF接收第二消息。

例如，结果信息指示鉴权成功。

又例如，结果信息指示鉴权失败。

可选地，第二消息可以为鉴权授权响应消息。

可选地，当应用服务器确定鉴权成功时，响应消息中还可以包括用于多播传输的参数信息。该参数信息可以包括多播传输的QoS参数和多播会话的标识信息等。

可选地，响应消息中还可以包括第二识别信息。

在步骤513中，NEF向第一SMF发送第二消息。相应地，第一SMF接收来自NEF的第二消息。

之后，在步骤514中，第一SMF向第二SMF发送第五消息。相应地，第二SMF接收第五消息。其中，第五消息可以包括第一用户标识信息和/或第二用户标识信息、识别信息、以及结果信息。这里的识别信息可以是上述的第一识别信息、第二识别信息或第三识别信息中的任意一个。

可选地，若鉴权成功，第五消息还可以包括用于多播传输的参数信息。该参数信息可以包括多播传输的QoS参数和多播会话的标识信息等。

在步骤515中，第二SMF根据第五消息，对PDU会话进行处理。

例如，如果鉴权成功，第二SMF根据多播传输的参数信息，生成对应的N2信息，用于此后发送给接入网设备，使得接入网设备进一步根据此信息向用户设备发送多播数据。

又例如，如果鉴权失败，第二SMF可以向用户设备返回NAS消息，用于通知用户设备加入群组失败。或者，第二SMF可以为用户设备建立单播的传输资源，此单播的传输资源用于传输多播的下行数据。

可选地，在本申请实施例中，在执行步骤504或步骤508之前，还可以执行步骤516，即第一SMF还可以判断是否需要应用服务器进行鉴权授权。步骤516与图4中的步骤450相同或类似，可以参见步骤450的相关描述，在此不再赘述。

图6是本申请实施例的另一鉴权方法的示意性流程图。图6所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

与图5不同的是，在本申请实施例中，第一SMF可以通过用户面信令获取第一用户标识信息和第一识别信息，换句话说，用户设备可以通过用户面信令请求加入多播群组。

在一些实现方式中，用户设备可以通过单播PDU会话的传输通道发送用户面数据，并且在用户面数据中增加多播数据的识别信息。可选地，该单播PDU会话对应的DN和/或切片信息与用户设备请求加入的多播PDU会话对应的DN和/或网络切片信息相同。

具体地，通过步骤601-603向第一SMF传输第一用户标识信息和多播数据的识别信息。

在步骤601中，用户设备向第二UPF发送三消息。相应地，第二UPF接收用户设备发送的第三消息。其中，第三消息可以为用于传输用户面数据的消息，第三消息包括第三识别信息。

可选地，第三消息可以是IGMP加入请求消息或MLR消息。

可选地，第三消息中还可以包括DN的标识信息和/或用于鉴权授权的信息等。其中，DN的标识信息可以为DN的ID或DN的名称等。用于鉴权授权的信息基于应用层的实现可以有不同的形式，本申请实施例对此不作具体限定。

可选地，第三消息中还可以包括第二用户标识信息。其中，第二用户标识信息可以为用于唯一标识用户设备，且核心网设备和接入网设备可以识别的信息。例如，第二标用户标识信息可以包括SUPI、GUTI和SUCI中的至少一个。

在一些实现方式中，用户设备可以通过接入网设备向第二UPF发送第三消息。

在另一些实现方式中，用户设备可以通过AMF向第二UPF发送第三消息。可选地，AMF在接收到用户设备发送的第三消息后，也可以确定用户设备的第一用户标识信息并发送给第二UPF。例如，AMF可以根据用户设备的第二用户标识与第一用户标识信息的映射关系，确定第一用户标识信息。

在步骤602中，第二UPF向第二SMF发送第三识别信息。相应地，第二SMF接收来自第二UPF发送的第三识别信息。

可选地，第二UPF可以向第二SMF发送第一用户标识信息和/或第二用户标识信息。其中第一用户标识信息和第二用户标识信息可以由用户设备或接入网设备提供。

可选地，第二UPF可以通过通知(notify)消息发送上述各信息。

可选地，若第二UPF未向第二SMF发送第一用户标识信息，第二SMF需要从AMF获取第一用户标识信息，或者根据本地存储的信息以及第二用户标识信息确定第一用户标识信息。其中，上述本地存储的信息可以从AMF获取。

在步骤603中，第二SMF向第一SMF发送第一用户标识信息和/或第二用户标识信息、以及第一识别信息。相应地，第一SMF接收第二SMF发送的信息。

可选地，执行步骤603之前，第二SMF可以确定第一SMF。一种实现方式为第二SMF根据第三识别信息或第一识别信息，通过查询用于集中存储的网元中存储的数据，确定第一SMF。其中，用于集中存储的网元可以为UDM、UDR或PCF等。

以第一SMF从AMF获取第一用户标识信息为例。

1)首先，第一SMF向AMF发送消息，消息可以是N11消息，该消息用于请求AMF将第二用户标识信息对应的第一用户标识信息发送给第一SMF，该消息包括第二用户标识信息。可选地，该消息还可以包括第一识别信息或第二识别信息。需要说明的是，该消息携带的第二用户标识信息可以是用户的永久标识信息或者用户的临时标识信息。还需要说明的是，第一SMF向AMF发送的第二用户标识信息与第二SMF或AMF向第一SMF发送的第二用户标识信息可能不同，第二SMF或AMF向第一SMF发送的第二用户标识信息可以是用户的永久标识信息或是用户的临时标识信息，第一SMF向AMF发送的第二用户标识信息可以是用户的永久标识信息或用户的临时标识信息，两者无依赖关系。例如，第二SMF或AMF提供的是用户的临时标识信息，第一SMF根据用户的临时标识信息，确定对应的AMF并从AMF获取用户的永久标识信息，此后第一SMF通过向AMF发送用户的永久标识信息从AMF处获取第一用户标识信息。

2)之后，AMF向第一SMF发送消息，消息可以是N11消息，该消息用于向第一SMF返回第二用户标识信息对应的第一用户标识信息。可选地，该消息还可以包括第一识别信息或第二识别信息。

步骤604-616与图5中的步骤504-516相同或类似，可以参考步骤504-516的相关描述，在此不再赘述。

需要说明的还是，图6中的第一识别信息、第二识别信息和第三识别信息的详细描述，可以参见图5中的相关描述，在此不再赘述。

图7是本申请实施例的另一鉴权方法的示意性流程图。图7所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

与图5不同的是，在本申请实施例中，用户设备不经过第二SMF直接向第一SMF发送第一用户标识信息和/或第二用户标识信息、以及第一识别信息。

具体地，在步骤701中，用户设备向AMF发送第三消息。相应地，AMF接收用户设备发送的第三消息。在一些实现方式中，第三消息中可以包含第三识别信息。步骤701与步骤501类似或相同，可以参考步骤501的相关描述，在此不再赘述。

在步骤702中，AMF可以根据接收到的第三识别信息，确定第一SMF，并向第一SMF发送第一识别信息。相应地，第一SMF接收来自第二SMF的第一识别信息。

在一些实现方式中，AMF向第一SMF发送从用户设备接收的第三消息，所述第三消息包括上述第一识别信息。由于AMF不对第三识别信息进行处理，因此第三识别信息与第一识别信息相同。

在另一些实现方式中，AMF还可以向第一SMF发送第一用户标识信息和/或第二用户标识信息。

可选地，若AMF本地有第二用户设备与第一用户设备的映射关系，AMF在接收到用户设备发送的第三识别信息后，可以根据该映射关系确定用户设备的第一用户标识信息。此时，AMF可以向第一SMF发送第一用户标识信息，或者向第一SMF发送第二用户标识信息，或者向第一SMF发送第一用户标识信息和第二用户标识信息。

可选地，AMF可以不针对第三识别信息进行处理，当AMF本地有可用的用户设备的第一用户标识信息时，AMF可以向第一SMF发送第一用户标识信息和第三识别信息。

可选地，AMF不确定第一用户标识信息，AMF可以向第一SMF发送第二用户标识信息。

需要说明的是，AMF向第一SMF发送的第二用户标识信息可以是由AMF提供的，或者是由用户设备提供的(即在步骤701中用户设备还向AMF发送第二用户标识信息)。

可选地，若AMF未向第一SMF发送第一用户标识信息，第一SMF需要根据第二用户标识信息从其他存储了第一用户标识信息和第二用户标识信息的映射关系网元获取第一用户标识信息。这些网元可以是第二SMF、AMF、UDM、UDR或PCF等网元。

以第一SMF从AMF获取第一用户标识信息为例。

1)首先，第一SMF向AMF发送消息，消息可以是N11消息，该消息用于请求AMF将第二用户标识信息对应的第一用户标识信息发送给第一SMF，该消息包括第二用户标识信息。可选地，该消息还可以包括第一识别信息或第二识别信息。需要说明的是，该消息携带的第二用户标识信息可以是用户的永久标识信息或者用户的临时标识信息。还需要说明的是，第一SMF向AMF发送的第二用户标识信息与AMF向第一SMF发送的第二用户标识信息可能不同，AMF向第一SMF发送的第二用户标识信息可以是用户的永久标识信息、用户的临时标识信息或SM上下文信息标识，第一SMF向AMF发送的第二用户标识信息可以是用户的永久标识信息或用户的临时标识信息，两者无依赖关系。例如，AMF提供的是用户的临时标识信息，第一SMF根据用户的临时标识信息，确定对应的AMF并从AMF获取用户的永久标识信息，此后第一SMF通过向AMF发送用户的永久标识信息从AMF处获取第一用户标识信息。

步骤704-716与图5中的步骤504-516相同或类似，可以参考步骤504-516的相关描述，在此不摘赘述。

需要说明的还是，图7中的第一识别信息、第二识别信息和第三识别信息的详细描述，可以参见图5中的相关描述，在此不再赘述。

图8是本申请实施例的另一鉴权方法的示意性流程图。图8所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

与图5不同的是，在本申请实施例中，用户设备向第一SMF发送第一用户标识信息和/或第二用户标识信息、以及第一识别信息时，可以不经过第二SMF。

具体地，通过步骤801-802向第一SMF传输第一用户标识信息和多播数据的识别信息。

在步骤801中，用户设备向第二UPF发送第三消息。相应地，第二UPF接收用户设备发送的第三消息。其中，第三消息为用于传输用户面数据的消息，第三消息包括第三识别信息。

可选地，第三消息可以为IGMP加入请求消息或MLR消息。

在步骤802中，第二UPF向第一SMF发送第一识别信息。相应地，第一SMF接收来自第二UPF的第一识别信息。

在一些实现方式中，第二UPF向第一SMF发送从用户设备接收的第三消息，所述第三消息包括上述识别信息。由于第二UPF不对第三识别信息进行处理，因此第三识别信息与第一识别信息相同。

在另一些实现方式中，第二UPF还可以向第一SMF发送第一用户标识信息和/或第二用户标识信息。

需要说明的是，第二UPF向第一SMF发送的第二用户标识信息可以是由AMF提供的，或者是由用户设备提供的(即在步骤801中用户设备还向AMF发送第二用户标识信息)。

可选地，执行步骤802之前，第二UPF可以确定第一SMF。

一种实现方式为：第二UPF根据第三识别信息，通过查询用于集中存储的网元中存储的数据，确定第一SMF。其中，用于集中存储的网元可以为UDM、UDR或PCF等。

另一种实现方式为：第二UPF本地存储了第三识别信息与第一SMF的映射关系，第二UPF根据接收到的第三识别信息以及该映射关系，确定第一SMF。

可选地，若第二UPF未向第一SMF发送第一用户标识信息，第一SMF需要根据第二用户标识信息从其他存储了第一用户标识信息和第二用户标识信息的映射关系网元获取第一用户标识信息。这些网元可以是第二SMF、AMF、UDM、UDR或PCF等网元。

以第一SMF从AMF获取第一用户标识信息为例。

1)首先，第一SMF向AMF发送消息，消息可以是N11消息，该消息用于请求AMF将第二用户标识信息对应的第一用户标识信息发送给第一SMF，该消息包括第二用户标识信息。可选地，该消息还可以包括第一识别信息或第二识别信息。需要说明的是，该消息携带的第二用户标识信息可以是用户的永久标识信息或者用户的临时标识信息。还需要说明的是，第一SMF向AMF发送的第二用户标识信息与第二UPF向第一SMF发送的第二用户标识信息可能不同，第二UPF向第一SMF发送的第二用户标识信息可以是用户的永久标识信息或是用户的临时标识信息，第一SMF向AMF发送的第二用户标识信息可以是用户的永久标识信息或用户的临时标识信息，两者无依赖关系。例如，第二UPF提供的是用户的临时标识信息，第一SMF根据用户的临时标识信息，确定对应的AMF并从AMF获取用户的永久标识信息，此后第一SMF通过向AMF发送用户的永久标识信息从AMF处获取第一用户标识信息。

在第一SMF获取到第一用户标识信息和第一识别信息后，可以向应用服务器发送第一消息，请求应用服务器执行鉴权授权操作。该第一消息包括第一用户标识信息和设备信息。

步骤804-816与图5中的步骤504-516相同或类似，可以参考步骤504-516的相关描述，在此不再赘述。

在上述各技术方案中，第一SMF将第一用户标识信息和多播数据的识别信息发送给应用服务器，由应用服务器执行用户设备加入群组时的鉴权操作，从而可以实现对用户设备的加入请求进行鉴权。此外，在本方案中无需应用服务器向核心网实时提供明确的多播群组的成员信息，可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

图9是本申请另一实施例提供的鉴权方法的示意性流程图。图9所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

图9中的方法可以由用户设备、网络设备和应用服务器执行，也可以由用户设备、网络设备和应用服务器中的模块或单元(例如，电路、芯片或SOC等)执行，图9中以执行主体为用户设备、网络设备和应用服务器为例。图9中的方法可以包括以下内容的至少部分内容。

在步骤901中，用户设备向网络设备发送第四消息，第四消息用于请求加入多播群组。第四消息包括多播数据的识别信息和第一安全信息。相应地，网络设备接收来自用户设备的第四消息。

多播数据的识别信息与用户设备请求加入的多播群组对应，可以包括多播数据对应的多播群组的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的SDF识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。为了描述方便，下文将多播数据的识别信息简称为识别信息。

第一安全信息用于对用户设备的加入请求进行鉴权授权操作。

可选地，第一安全信息可以为口令信息。例如，第一安全信息可以为某个具体的暗号。

可选地，第一安全信息可以为安全算法的输入信息。

可选地，第一安全信息可以是安全算法。

可选地，上述网络设备为核心网设备。例如，第一SMF、第二SMF、UDR、AMF、NEF或UDM等。

可选地，上述网络设备为接入网设备。

在步骤902中，网络设备根据第一安全信息和第二安全信息进行鉴权授权操作。

其中，第二安全信息用于对用户设备的加入请求进行鉴权授权操作。

可选地，第二安全信息同样可以为口令信息或安全算法。

可选地，第二安全信息可以保存在第一SMF本地。

在一些实现方式中，网络设备在接收到用户设备发送的第一安全信息和识别信息后，可以根据识别信息，确定第二安全信息，进一步地，根据第一安全信息和第二安全信息进行鉴权授权操作。

具体地，网络设备确定第一安全信息和第二安全信息是否匹配。若二者相匹配，则网络设备确定鉴权成功；否则网络设备确定鉴权失败。

在本申请实施例中，根据第一安全信息和第二安全信息的不同形式，网络设备确定二者是否匹配的方式也不同。

作为一个示例，若第一安全信息和第二安全信息为口令信息，当第一安全信息与第二安全信息相同时，网络设备确定第一安全信息和第二安全信息相匹配，否则二者不匹配。

作为另一个示例，若第一安全信息和第二安全信息为安全算法，当第一安全信息和第二安全信息生成正确结果时，网络设备确定第一安全信息和第二安全信息相匹配，否则二者不匹配。

本申请实施例对于用户设备获取第一安全信息的方式和网络设备获取第二安全信息的方式不作具体限定。

在一些实现方式中，用户设备和网络设备可以通过步骤903-905获取相应的安全信息。

具体地，在步骤903中，应用服务器生成第一安全信息和第二安全信息。

在步骤904中，应用服务器向用户设备发送第一安全信息。相应地，用户设备接收应用服务器发送的第一安全信息。

可选地，应用服务器可以通过应用层消息向用户设备发送第一安全信息。

在步骤905中，应用服务器向网络设备发送第二安全信息。相应地，网络设备接收应用服务器发送的第二安全信息。

可选地，应用服务器还可以向网络设备发送第一信息，第一信息用于确定与第二安全信息对应的识别信息。

例如，第一信息可以为上述的识别信息。

又例如，第一信息为用于获取识别信息的信息，例如该信息可以是一个数值，第一SMF可以根据该信息进一步获取识别信息。可选地，该数值可以为事务ID(transaction ID)等。

再例如，应用服务器可以向NEF网元提供第一信息，NEF网元可以根据第一信息，获取识别信息，识别信息的可能的形式在上文中已经描述，此处不予赘述。NEF网元可以进一步地，向网络设备发送识别信息。

可选地，网络设备在接收到第二安全信息后可以存储该第二安全信息。可选地，网络设备存储还可以对应地存储与第二安全信息对应的识别信息。

需要说明的是，若应用服务器分别针对多个多播群组中每个多播群组生成了第一安全信息和第二安全信息，应用服务器可以向用户设备发送该多个多播群组中的至少部分多播群组对应的第一安全信息，同样，可以向网络设备发送该多个多播群组中的至少部分多播群组对应的第二安全信息。当需要加入某个多播群组时，用户设备采用与该多播群组对应的第一安全信息。

下面结合图10-图13对本申请实施例进行详细描述。

1)网络设备为核心网设备

图10是本申请实施例的另一鉴权方法的示意性流程图。图10所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

在本申请实施例中，由第一SMF进行鉴权授权操作。

在步骤1001中，用户设备向第一SMF发送第四消息，第四消息用于请求加入多播群组。第四消息包括识别信息和第一安全信息，识别信息与用户设备请求加入的多播群组对应。相应地，第一SMF接收来自用户设备的第四消息。

其中，第一安全信息用于对用户设备的加入请求进行鉴权授权操作。

可选地，第一安全信息可以为安全算法的输入信息。

可选地，第一安全信息可以是安全算法。

在一些实施例中，用户设备可以通过控制面信令，并通过控制面网元向第一SMF发送第一请求消息。具体地，可以参见图5和图7中用户设备向第一SMF发送信息的方式，在此不再赘述。

在另一些实施例中，用户设备可以通过用户面信令，并通过用户面网元向第一SMF发送第一请求消息。具体地，可以参见图6和图8中用户设备向第一SMF发送信息的方式，同样在此不再赘述。

在步骤1002中，第一SMF根据第一安全信息和第二安全信息的匹配结果，处理用户设备的加入请求。

具体地，当第一安全信息和第二安全信息相匹配时，第一SMF继续处理用户设备的加入请求，并执行步骤1003，即完成用户设备加入多播群组的后续流程。当第一安全信息和第二安全信息不匹配时，第一SMF停止处理用户设备的加入请求，并向用户设备返回鉴权失败的指示。

另一种可能的实现方式是，当第一安全信息和第二安全信息相匹配时，第一SMF继续处理用户设备的加入请求，并执行步骤1003，即完成用户设备加入多播群组的后续流程。当第一安全信息和第二安全信息不匹配时，第一SMF通知第二SMF为用户设备建立单播的传输资源，此单播的传输资源用于传输多播的下行数据。

可选地，第二安全信息同样可以为口令信息或安全算法。

可选地，第二安全信息可以保存在第一SMF本地。

可选地，第二安全信息保存在UDM或UDR中，当第一SMF接收到用户设备的加入请求时，根据加入请求，从UDM或UDR获取第二安全信息。

在本申请实施例中，根据第一安全信息和第二安全信息的不同形式，第一SMF确定二者是否匹配的方式也不同。

作为一个示例，若第一安全信息和第二安全信息为口令信息，当第一安全信息与第二安全信息相同时，第一SMF确定第一安全信息和第二安全信息相匹配，否则二者不匹配。

作为另一个示例，若第一安全信息和第二安全信息为安全算法，当第一安全信息和第二安全信息生成正确结果时，第一SMF确定第一安全信息和第二安全信息相匹配，否则二者不匹配。

本申请实施例对于用户设备获取第一安全信息的方式和第一SMF获取第二安全信息的方式不作具体限定。

在一些实现方式中，用户设备和第一SMF可以通过步骤1004-1008获取相应的安全信息。

具体地，在步骤1004中，在与用户设备建立应用层连接后，应用服务器生成第一安全信息和第二安全信息。

在步骤1005中，应用服务器向用户设备发送第一安全信息。相应地，用户设备接收应用服务器发送的第一安全信息。

另一种可能的实现方式是，应用服务器可以向NEF发送第一安全信息，相应地，NEF接收应用服务器发送的第一安全信息。进一步地，NEF向UDR发送第一安全信息，相应地，UDR从NEF接收第一安全信息。UDR在接收到第一安全信息后，向PCF发送第一安全信息，相应地，PCF接收第一安全信息。此后，PCF将接收的第一安全信息通过非接入层(Non Access Stratum，NAS)消息，经过AMF发送给UE。

在步骤1006中，应用服务器向NEF发送第二安全信息。相应地，NEF接收应用服务器发送的第二安全信息。

可选地，应用服务器可以调用Nnef_ParameterProvisionCreate Request向NEF发送第二安全信息。

可选地，应用服务器还可以向NEF发送第一信息，第一信息用于确定与第二安全信息对应的识别信息。

例如，第一信息可以为上述的识别信息。

又例如，第一信息为用于获取识别信息的信息，例如该信息可以是一个数值，第一SMF可以根据该信息进一步获取识别信息。可选地，该数值可以为事务ID等。

在步骤1007中，NEF向UDM或UDR发送第二安全信息。相应地，UDM或UDR接收NEF发送的第二安全信息。

可选地，NEF还可以向UDM或UDR发送识别信息。

需要说明的是，第一信息为用于获取识别信息的信息时，NEF可以在在接收到第一信息后，根据第一信息获取识别信息。一种实现方式为，NEF根据用于获取识别信息的信息与识别信息的映射关系，获取识别信息。可选地，NEF可以在本地存储该映射关系。例如，通过预配置的方式为NEF配置该映射关系。又例如，NEF可以从具备数据存储功能的网元(例如，UDR或UDM)处获取该映射关系。

UDM或UDR在接收到NEF发送的第二安全信息后存储该第二安全信息。可选地，UDM存储还可以对应地存储与第二安全信息对应的识别信息。

可选地，在存储上述各信息之前，UDM或UDR还可以针对识别信息进行鉴权，判断是否可以存储上述各信息。例如，UDM或UDR根据本地是否存储了识别信息对应的授权信息，进行鉴权。又例如，如果是UDM网元从NEF接收第二安全信息，UDM可以进一步地从UDR获取用于进行鉴权信息，并进一步判断获取到的用于鉴权的信息中是否包含识别信息对应的授权信息。又例如，若果是UDR网元从NEF接收第二安全信息，UDM可以将识别信息发送给UDR，由UDR进行鉴权，UDM在从UDR获取鉴权的结果信息。

在步骤1008中，UDM向第一SMF发送第二安全信息。相应地，第一SMF接收UDM发送的第二安全信息。

可选地，UDM或UDR还可以向第一SMF发送与第二安全信息对应的识别信息。

可选地，UDM或UDR可以通过Nudm_SDM_Notification Notify消息或Nudr_DM_Notify消息发送上述各信息。

在接收到第二安全信息后，第一SMF存储第二安全信息，以便后续对用户设备的加入请求进行鉴权授权操作。

图11是本申请实施例的另一鉴权方法的示意性流程图。图11所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

在本申请实施例中，由UDM或UDR进行鉴权授权操作。

在步骤1101中，用户设备向第二SMF发送第四消息，第四消息用于请求加入多播群组。第四消息包括识别信息和第一安全信息，识别信息与用户设备请求加入的多播群组对应。相应地，第二SMF接收来自用户设备的第四消息。

可选地，第一安全信息可以为安全算法的输入信息。

可选地，第一安全信息可以是安全算法。

在一些实施例中，用户设备可以通过控制面信令，并通过控制面网元向第二SMF发送第四消息。具体地，可以参见图5中用户设备向第二SMF发送信息的方式，在此不再赘述。

在另一些实施例中，用户设备可以通过用户面信令，并通过用户面网元向第二SMF发送第四消息。具体地，可以参见图6中用户设备向第二SMF发送信息的方式，同样在此不再赘述。

在步骤1102中，第二SMF向UDM或UDR发送第四消息，相应地，UDM或UDR接收第四消息。第四消息包括第一安全信息和识别信息。

可选地，第二SMF可以在用于查询第一SMF的相关信息的消息中携带第一安全信息和识别信息。

在步骤1103中，UDM或UDR根据第一安全信息和第二安全信息进行鉴权授权。

可选地，第二安全信息同样可以为口令信息或安全算法。

可选地，第二安全信息可以保存在UDM或UDR本地。

可选地，UDM或UDR确定第一安全信息与第二安全信息是否匹配。若二者相匹配，则UDM或UDR确定鉴权成功；否者UDM或UDR确定鉴权失败。

在本申请实施例中，根据第一安全信息和第二安全信息的不同形式，UDM或UDR确定二者是否匹配的方式也不同。

作为一个示例，若第一安全信息和第二安全信息为口令信息，当第一安全信息与第二安全信息相同时，UDM或UDR确定第一安全信息和第二安全信息相匹配，否则二者不匹配。

作为另一个示例，若第一安全信息为安全算法的输入信息和第二安全信息为安全算法，当第一安全信息和第二安全信息生成正确结果时，UDM或UDR确定第一安全信息和第二安全信息相匹配，否则二者不匹配。

在步骤1104中，UDM或UDR向第二SMF返回鉴权操作的结果信息。相应地，第二SMF接收UDM发送的结果信息。

在一种实现方式中，若结果信息指示鉴权成功，则可以执行步骤1003，即完成用户设备加入多播群组的后续流程。若结果信息指示鉴权失败，则停止处理用户设备的加入请求，并向用户设备返回鉴权失败的指示。

在另一种实现方式中，若结果信息指示鉴权成功，则可以执行步骤1003，即完成用户设备加入多播群组的后续流程。若结果信息指示鉴权失败，则可以为用户设备建立单播的传输资源，此单播的传输资源用于传输多播的下行数据。

本申请实施例对于用户设备获取第一安全信息的方式和UDM或UDR获取第二安全信息的方式不作具体限定。

在一些实现方式中，用户设备和UDM或UDR可以通过步骤1106-1111获取相应的安全信息。

具体地，在步骤1106中，应用服务器生成第一安全信息和第二安全信息。

在步骤1107中，应用服务器向用户设备发送第一安全信息。相应地，用户设备接收应用服务器发送的第一安全信息。

在步骤1108中，应用服务器向PCF发送第二安全信息。相应地，PCF接收应用服务器发送的第二安全信息。

可选地，应用服务器可以通过N5消息或Rx消息向PCF发送第二安全信息。

可选地，应用服务器可以通过NEF向PCF发送第二安全信息。

可选地，应用服务器还可以向PCF发送第一信息，第一信息用于确定与第二安全信息对应的识别信息。

例如，第一信息为上述的识别信息。

可选地，应用服务器还可以向PCF发送应用服务器的数据网络接入标识(data network access identifier，DNAI)信息。DNAI信息用于指示数据产生的位置信息。

在步骤1109中，PCF向UDM或UDR发送第二安全信息，以便UDM或UDR存储第二安全信息。

可选地，PCF还可以向UDM或UDR发送识别信息。

可选地，步骤1109还可以替换为步骤1110-1112，即PCF通过第一SMF向UDM或UDR存储第二安全信息。

具体地，在步骤1110中，NEF或PCF确定第一SMF。

作为一个示例，NEF或PCF根据SMF的能力信息，选择支持多播功能的第一SMF。

作为另一个示例，NEF或PCF根据SMF当前的负载情况，选择支持多播功能的第一SMF。

作为又一个示例，NEF或PCF根据SMF所能管理的UPF的覆盖范围，并结合DNAI信息，选择支持多播功能的第一SMF。

需要说明的是，上述示例可以结合，比如，NEF或PCF根据SMF所能管理的UPF的覆盖范围，以及SMF当前的负载情况，以及SMF是否支持多播会话管理，选择支持多播功能的第一SMF。

在步骤1111中，NEF或PCF向第一SMF发送第二安全信息。相应地，第一SMF接收NEF或PCF发送的第二安全信息。

可选地，NEF或PCF可以通过用于请求建立多播上下文的消息发送第二安全信息。

可以理解地，NEF或PCF向第一SMF发送识别信息和应用服务器的标识信息的方式与发送第二安全信息的方式相同或类似，不再赘述。

需要说明的是，第一信息为用于获取识别信息的信息时，NEF或PCF可以在接收到第一信息后，根据第一信息获取识别信息。一种实现方式为，NEF或PCF根据用于获取识别信息的信息与识别信息的映射关系，获取识别信息。可选地，NEF或PCF可以在本地存储该映射关系。例如，通过预配置的方式为NEF或PCF配置该映射关系。又例如，NEF或PCF可以从具备数据存储功能的网元(例如，UDR或UDM)处获取该映射关系。

UDM或UDR在接收到PCF发送的第二安全信息后存储该第二安全信息。

可选地，UDM或UDR存储还可以对应地存储与第二安全信息对应的识别信息。

可选地，UDM或UDR存储还可以存储第一SMF的标识信息。

图12是本申请实施例的另一鉴权方法的示意性流程图。图12所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

在本申请实施例中，由第一SMF或UDM进行鉴权授权操作。

在步骤1201中，用户设备向第二SMF发送第四消息，第四消息用于请求加入多播群组。第四消息包括识别信息和第一安全信息，识别信息与用户设备请求加入的多播群组对应。相应地，第二SMF接收来自用户设备的第四消息。

可选地，第一安全信息可以为安全算法的输入信息。

可选地，第一安全信息可以是安全算法。

在步骤1202中，第二SMF向第一SMF发送第四消息，相应地，第一SMF接收第四消息。第四消息包括第一安全信息和识别信息。

可选地，执行步骤1102之前，第二SMF可以确定第一SMF。一种实现方式为第二SMF根据识别信息，通过查询用于集中存储的网元中存储的数据，确定第一SMF。其中，用于集中存储的网元可以为UDM、UDR或PCF等。例如，如图12中的步骤1203所示，第二SMF向UDM或UDR获取第一SMF的相关信息。

在步骤1204中，第一SMF根据第一安全信息和第二安全信息进行鉴权授权操作。

在一些实现方式中，若鉴权成功，则可以执行步骤1214，即完成用户设备加入多播群组的后续流程。若鉴权失败，则停止处理用户设备的加入请求，并向用户设备返回鉴权失败的指示。

在另一些实现方式中，若鉴权成功，则可以执行步骤1214，即完成用户设备加入多播群组的后续流程。若鉴权失败，则可以为用户设备建立单播的传输资源，此单播的传输资源用于传输多播的下行数据。

可选地，第二安全信息同样可以为口令信息或安全算法。

可选地，第二安全信息可以保存在第一SMF本地。

可选地，若第一SMF中没有第二安全信息或存储的第二安全信息已经失效，第一SMF可以从UDM或UDR获取最新的第二安全信息。

例如，如步骤1205和步骤1213所示，第一SMF向UDR或UDM发送识别信息，UDR或UDM根据识别信息确定第二安全信息并反馈给第一SMF。

可选地，第一SMF确定第一安全信息与第二安全信息是否匹配。若二者相匹配，则第一SMF确定鉴权成功；否者第一SMF确定鉴权失败。

作为另一个示例，若第一安全信息为安全算法的输入信息和第二安全信息为安全算法，当第一安全信息和第二安全信息生成正确结果时，第一SMF确定第一安全信息和第二安全信息相匹配，否则二者不匹配。

可以理解地，若在图12所示的鉴权方法的基础上将由第一SMF进行鉴权授权操作替换为由UDM或UDR进行鉴权授权操作，一种可能的方式为在步骤1205中第一SMF向UDM或UDR发送第一安全信息和识别信息，由UDM或UDR根据第一安全信息和第二安全信息进行鉴权授权操作，并在步骤1213中向第一SMF返回结果信息。

在本申请实施例中，用户设备获取第一安全信息的方式和UDM或UDR获取第二安全信息的方式与图11中相同或类似，因此关于步骤1206-1212的详细描述可以参考步骤1106-1112的相关描述，再此不再赘述。

2)网络设备为接入网设备

图13是本申请实施例的另一鉴权方法的示意性流程图。图13所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

在本申请实施例中，由接入网设备进行鉴权授权操作。

在步骤1301中，用户设备向接入网设备发送第四消息，第四消息用于请求加入多播群组。第四消息包括识别信息和第一安全信息，识别信息与用户设备请求加入的多播群组对应。相应地，第二SMF接收来自用户设备的第四消息。

可选地，第四消息为RRC消息。

在步骤1302中，接入网设备根据第一安全信息和第二安全信息进行鉴权授权操作。

可选地，接入网设备确定第一安全信息与第二安全信息是否匹配。若二者相匹配，则接入网设备确定鉴权成功，可以继续执行步骤1303，即完成用户设备加入多播群组的后续流程；否者接入网设备确定鉴权失败。

在本申请实施例中，根据第一安全信息和第二安全信息的不同形式，接入网设备确定二者是否匹配的方式也不同。

作为一个示例，若第一安全信息和第二安全信息为口令信息，当第一安全信息与第二安全信息相同时，接入网设备确定第一安全信息和第二安全信息相匹配，否则二者不匹配。

作为另一个示例，若第一安全信息为安全算法的输入信息和第二安全信息为安全算法，当第一安全信息和第二安全信息生成正确结果时，接入网设备确定第一安全信息和第二安全信息相匹配，否则二者不匹配。

可选地，鉴权授权操作之后，接入网设备可以向用户设备反馈鉴权的结果信息。例如，可以通过RRC消息反馈结果信息。

可选地，在步骤1302之前，接入网设备可以执行步骤1304，即接入网设备根据识别信息检查本地是否存在第二安全信息。若接入网设备本地存在第二安全信息，则可以执行步骤1302；若接入网设备本地未存储第二安全信息或第二安全信息已经失效，则接入网设备可以向核心网设备获取第二安全信息。

当接入网设备本地未存储第二安全信息或第二安全信息已经失效时，接入网设备执行步骤1305，即接入网设向第一AMF发送第六消息，向第一AMF通知用户设备请求加入多播群组。该第六消息中可以包括识别信息。其中，第一AMF为对多播群组中的用户设备进行移动性管理和接入控制的网元。

在步骤1306中，在接收到接入网设备发送的第六消息后，第一AMF可以根据识别信息检查本地是否存在第二安全信息。若第一AMF本地存在第二安全信息，则AMF可以向接入网设备返回第二安全信息；若第一AMF本地未存储第二安全信息或第二安全信息已经失效，则第一AMF可以向第一SMF、UDM或UDR获取第二安全信息。

在步骤1307中，第一AMF向第一SMF、UDM或UDR发送第七消息，第七消息包括用户设备请求加入多播群组的信息。一种可能的实现方式是，用户设备请求加入多播群组的信息可以是用户设备的标识信息(例如SUPI)和识别信息。

在步骤1308中，第一SMF、UDM或UDR根据识别信息确定与识别信息对应的第二安全信息，并返回给第一AMF。

在步骤1309中，第一AMF将获取到的第二安全信息返回给接入网设备，以便接入网设进行鉴权授权操作。

可选地，第一SMF、UDM或UDR在向第一AMF反馈第二安全信息之前，还可以根据第一安全信息确定是否需要向接入网设备发送第二安全信息。此时，在第六息和第七消息中需要携带第一安全信息。

在本申请实施例中，用户设备获取第一安全信息的方式和第一SMF获取第二安全信息的方式与图10-图12中相同或类似，因此关于步骤1311-1313的详细描述可以参考步骤图10-图12的相关描述，再此不再赘述。

下文将用于管理多播PDU会话的SMF网元统一称为第一SMF，将用于管理单播PDU会话的SMF网元统一称为第二SMF。

图14是本申请另一实施例提供的鉴权方法的示意性流程图。图14所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。图14所示的方法包括以下内容的至少部分内容。

步骤1401，用户设备向第二SMF发送第一加入请求。

其中，所述第一加入请求用于请求加入第一多播会话。所述第一加入请求包括第四识别信息，所述第四识别信息与所述第一多播会话对应。其中，所述第四识别信息可以包括多播数据对应的多播群组的临时移动组标识(temporary mobile group identifier，TMGI)、提供多播数据的应用服务器的IP地址、多播数据的业务标识(service identifier，service ID)、多播数据的分组过滤(packet filter)信息、多播数据的业务数据流(service data flow，SDF)识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息(Application ID)、多播数据的目标IP地址信息(例如，IP multicast address)、以及多播群组对应的多播会话的上下文标识信息(Multicast Session Context ID)中的至少一个。

步骤1402，第二SMF向第一核心网设备发送第十消息。

其中，所述第十消息包括所述用户设备的第三用户标识信息和所述第四识别信息，所述第三用户标识信息和所述第四识别信息用于获取确定是否允许所述用户设备加入所述第一多播会话。其中，第三用户标识信息可以是通过第一加入请求获取的，例如第一加入请求包括所述第三用户标识信息，又例如第二SMF根据本地配置信息第一加入请求对应的第三用户标识信息。

上述第一核心网设备可以是PCF或UDM。

步骤1403，第一核心网设备接收来自UDR的允许加入所述第一多播会话的用户设备的信息。

一种可能的实现方式，图14所示的方法还包括：所述第一核心网设备向所述UDR发送第一查询消息，所述第一查询消息用于查询所述允许加入所述第一多播会话的用户设备的信息；步骤1403包括：第一核心网设备接收来自所述UDR的第一响应消息，所述第一响应消息包括所述允许加入所述第一多播会话的用户设备的信息。

步骤1404，第一核心网设备向第二SMF发送第一指示信息。

其中，第一指示信息用于指示是否允许所述用户设备加入所述第一多播会话。

一种可能的实现方式，第一核心网设备根据所述第十消息和所述允许加入所述第一多播会话的用户设备的信息，向所述第二会话管理功能网元发送第一指示信息。具体地，当所述允许加入所述第一多播会话的用户设备的信息包括所述第三用户标识信息时，所述第一指示信息指示允许所述用户设备加入所述第一多播会话；或，当所述允许加入所述第一多播会话的用户设备的信息不包括所述第三用户标识信息时，所述第一指示信息指示不允许所述用户设备加入所述第一多播会话。

步骤1405，当所述第一指示信息指示允许所述用户设备加入所述第一多播会话时，所述第二SMF接受所述第一加入请求。

一种可能的实现方式，当所述第一指示信息指示允许所述用户设备加入所述第一多播会话时，所述第二SMF通过NRF选取第一SMF，并继续后续的加入流程。

步骤1406，当所述第一指示信息指示不允许所述用户设备加入所述第一多播会话时，所述第二SMF拒绝所述第一加入请求。

一种可能的实现方式，当所述第一指示信息指示不允许所述用户设备加入所述第一多播会话时，所述第二SMF向用户设备或AMF发送拒绝加入请求信息(reject join request)。

下面结合图15对图14所示的方法进行详细描述。图15是本申请另一实施例提供的鉴权方法的示意性流程图。图15所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

图15中的方法可以由用户设备、第一SMF、第二SMF、PCF/UDM、UDR、NEF/MBSF-C和AF执行，也可以由用户设备、第一SMF、第二SMF、PCF/UDM、UDR、NEF/MBSF-C和AF中的模块或单元(例如，电路、芯片或SOC等)执行，图15中以执行主体为用户设备、第一SMF、第二SMF、PCF/UDM、UDR、NEF/MBSF-C和AF为例。图15中的方法可以包括以下内容的至少部分内容。

步骤1501，AF向NEF或MBSF-C发送第一配置请求消息。相应地，NEF或MBSF-C接收来自AF的第一配置请求消息。

其中，第一配置请求消息用于为多播业务配置多播会话。第一配置请求消息包括多播会话的第四识别信息，该第四识别信息可以包括多播数据对应的多播群组的临时移动组标识(temporary mobile group identifier，TMGI)、提供多播数据的应用服务器的IP地址、多播数据的业务标识(service identifier，service ID)、多播数据的分组过滤(packet filter)信息、多播数据的业务数据流(service data flow，SDF)识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息(Application ID)、多播数据的目标IP地址信息(例如，IP multicast address)、以及多播群组对应的多播会话的上下文标识信息(Multicast Session Context ID)中的至少一个。为了描述方便，下文将多播数据的第四识别信息简称为第四识别信息。

可选地，第一配置请求消息还可以包括第一用户设备列表，该第一用户设备列表可以为允许使用该第四识别信息对应的多播业务的用户设备的列表。由于第一配置请求消息用于为多播业务配置多播会话，因此，第一用户设备列表也可以描述为允许加入该第四识别信息对应的多播会话的用户设备的列表。例如，第一用户设备列表为allowed UE list。

一种可能的实现方式，AF可以向NEF或MBSF-C发送MBS预配置请求消息(MBS preconfiguration request)。

步骤1502，NEF或MBSF-C将第一配置请求消息中的第四识别信息存储在UDR中。

可选地，若第一配置请求消息还包括第一用户设备列表，NEF或MBSF-C也将该第一用户设备列表存储在UDR中。

步骤1503，NEF或MBSF-C向AF发送第一配置响应消息。相应地，AF接收来自NEF或MBSF-C的第一配置响应消息。

一种可能的实现方式，NEF或MBSF-C可以向AF发送MBS预配置响应消息(MBS preconfiguration response)。

需要说明的是，步骤1501-1503为可选步骤，上述第四识别信息和/或第一用户设备列表也可以由运营商配置在UDR中。通过步骤1501-1503，AF可以根据业务情况及时存储、更新或移除UDR中存储的第一用户设备列表，方案更加灵活。

步骤1504，AF向用户设备发送第八消息。相应地，用户设备接收来自AF的第八消息。

其中，第八消息用于通知用户设备发起针对第四识别信息对应的多播会话的加入请求(join request)。第八消息中携带第四识别信息。AF可以通过应用层信令发送第八消息。

一种可能的实现方式，AF向用户设备发送业务声明消息(service announcement)。

步骤1505，用户设备向第二SMF发送第一加入请求。相应地，第二SMF接收来自用户设备的第一加入请求。

其中，第一加入请求用于请求加入第四识别信息对应的多播会话。第一加入请求携带第四识别信息。

例如，用户设备在检测到应用层发出的针对第四识别信息的IGMP加入消息等时向第二SMF发送第一加入请求。

可选地，第一加入请求可以为IGMP加入请求消息或MLR消息。

一种可能的实现方式，用户设备向第二SMF发送MBS会话加入请求消息(MBS session join request)。

步骤1506，第二SMF向PCF或UDM发送第十消息。相应地，PCF或UDM接收来自第二SMF的第十消息。

其中，第十消息用于请求对该用户设备的加入请求进行鉴权。第十消息携带第四识别信息和该用户设备的第三用户标识信息(下文简称第三用户标识信息)。

一种可能的实现方式，第二SMF向PCF或UDM发送MBS策略查询消息(MBS policy query)。

步骤1507，PCF或UDM向UDR发送第一查询消息。相应地，UDR接收来自PCF或UDM的第一查询消息。

其中，第一查询消息用于查询第四识别信息对应的存储信息。第一查询消息携带第四识别信息。

一种可能的实现方式，PCF或UDM向UDR发送Nudr_DM_Query。

步骤1508，UDR向PCF或UDM发送第一响应消息。相应地，PCF或UDM接收来自UDR的第一响应消息。

其中，第一响应消息包括第四识别信息对应的存储信息，该存储信息可以包括第一用户设备列表。例如，存储信息可以为第四识别信息对应的数据集，存储信息的索引可以为第四识别信息，存储信息可以包含用户设备列表、QoS需求等。

一种可能的实现方式，PCF或UDM接收来自UDR的Nudr_DM_Response。

步骤1509，PCF或UDM根据获取到的存储信息，确定第四识别信息对应的多播业务是否可用多播会话传输以及第三用户标识信息所标识的用户设备是否可以加入第四识别信息对应的多播会话。

一种可能的实现方式，当第三用户标识信息所标识的用户设备在第一用户设备列表中时，PCFF或UDM确定第三用户标识信息所标识的用户设备可以加入第四识别信息对应的多播会话。

若第四识别信息对应的多播业务可用多播会话传输且第三用户标识信息所标识的用户设备的可以加入第四识别信息对应的多播会话，PCF或UDM可以向第二SMF指示允许用户设备加入第四识别信息对应的多播会话，或者指示第四识别信息对应的多播会话可用(MBS session available)。

若第四识别信息对应的多播业务不可用多播会话传输和/或第三用户标识信息所标识的用户设备不可加入第四识别信息对应的多播会话，PCF或UDM可以向第二SMF指示不允许用户设备加入第四识别信息对应的多播会话，或者指示第四识别信息对应的多播会话不可用(MBS session unavailable)。

步骤1510，PCF或UDM向第二SMF发送第一指示信息。相应地，第二SMF接收来自PCF或UDM的第一指示信息。

其中，第一指示信息用于指示是否允许用户设备加入第四识别信息对应的多播会话，或者指示指示第四识别信息对应的多播会话是否可用。

一种可能的实现方式，PCF或UDM向第二SMF发送MBS策略响应消息(MBS policy response)。

若第一指示信息指示不允许用户设备加入第四识别信息对应的多播会话，第二SMF可以执行步骤1511。若第一指示信息指示允许用户设备加入第四识别信息对应的多播会话，第二SMF可以执行步骤1512-1515。

步骤1511，第二SMF拒绝该用户设备的第一加入请求。

后续第二SMF可能向用户设备或AMF指示拒绝该用户设备的第一加入请求。

步骤1512，第二SMF接受该用户设备的第一加入请求，并通过NRF选取第一SMF。

步骤1513，第二SMF向第一SMF发送第二查询消息。相应地，第一SMF接收来自第二SMF的第二查询消息。

其中，第二查询消息用于查询第四识别信息的信息。第二查询消息包括第四识别信息。

其中，第四识别信息的信息可以包括第四识别信息对应的多播业务的QoS相关的信息，用于建立和配置多播会话。

一种可能的实现方式，第二SMF向第一SMF发送Nmbsmf_information_request。

步骤1514，第一SMF向第二SMF发送第二响应消息。相应地，第二SMF接收来自第一SMF的第二响应消息。

其中，第二响应消息包括第四识别信息的信息。

一种可能的实现方式，第一SMF向第二SMF发送Nmbsmf_information_response。

步骤1515，用户设备加入多播群组的后续流程。

在图15所示的方法中，可以将第四识别信息对应的多播会话可用的用户设备列表(UE list)存储在UDR中，这样第二SMF在收到用户设备的加入请求时可以向PCF/UDM请求对该用户设备的加入请求进行鉴权，PCF/UDM则可以向UDR查询相应多播会话可用的用户设备列表，进而根据UDR的反馈的信息确定鉴权结果并指示给第二SMF，从而可以实现对用户设备的加入请求进行鉴权。

图16是本申请另一实施例提供的鉴权方法的示意性流程图。图16所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。图16所示的方法包括以下内容的至少部分内容。

步骤1601，第二SMF接收来自AF的订阅信息。

其中，订阅信息用于用于订阅用户设备加入第一多播会话的通知。

一种可能的实现方式，订阅信息包括第二识别信息和事件标识，所述第二识别信息对应于所述第一多播会话，所述事件标识用于标识用户设备加入多播会话事件。

一种可能的实现方式，第二SMF可以通过UDR接收来自AF的订阅信息。

另一种可能的实现方式，第二SMF可以通过PCF或UDM接收来自AF的订阅信息。

步骤1602，用户设备向第二SMF发送第一加入请求。

其中，所述第一加入请求用于请求加入第一多播会话。所述第一加入请求包括第二识别信息，所述第二识别信息与所述第一多播会话对应。其中，所述第四识别信息可以包括多播数据对应的多播群组的临时移动组标识(temporary mobile group identifier，TMGI)、提供多播数据的应用服务器的IP地址、多播数据的业务标识(service identifier，service ID)、多播数据的分组过滤(packet filter)信息、多播数据的业务数据流(service data flow，SDF)识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息(Application ID)、多播数据的目标IP地址信息(例如，IP multicast address)、以及多播群组对应的多播会话的上下文标识信息(Multicast Session Context ID)中的至少一个。

步骤1603，第二SMF向AF发送第一消息。

其中，所述第一消息用于通知所述AF用户设备请求加入所述第一多播会话，所述第一消息包括所述第二识别信息和所述用户设备的第一用户标识信息。

步骤1604，第二SMF接收来自所述AF的第二指示信息。

其中，所述第二指示信息用于指示是否允许所述用户设备加入所述第一多播会话。

步骤1605，当所述第二指示信息指示允许所述用户设备加入所述第一多播会话时，所述第二SMF接受所述第一加入请求。

一种可能的实现方式，当所述第二指示信息指示不允许所述用户设备加入所述第一多播会话时，所述第二SMF通过NRF选取第一SMF，并继续后续的加入流程。

步骤1606，当所述第二指示信息指示不允许所述用户设备加入所述第一多播会话时，所述第二SMF接受所述第一加入请求。一种可能的实现方式，当所述第一指示信息指示不允许所述用户设备加入所述第一多播会话时，所述第二SMF向用户设备或AMF发送拒绝加入请求信息(reject join request)。

下面结合图17对图16所示的方法进行详细描述。图17是本申请另一实施例提供的鉴权方法的示意性流程图。图17所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

图17中的方法可以由用户设备、第一SMF、第二SMF、PCF、UDR、NEF/MBSF-C和AF执行，也可以由用户设备、第一SMF、第二SMF、PCF、UDR、NEF/MBSF-C和AF中的模块或单元(例如，电路、芯片或SOC等)执行，图17中以执行主体为用户设备、第一SMF、第二SMF、PCF、UDR、NEF/MBSF-C和AF为例。图17中的方法可以包括以下内容的至少部分内容。

步骤1701，AF向NEF或MBSF-C发送第二配置请求消息。相应地，NEF或MBSF-C接收来自AF的第二配置请求消息。

其中，第二配置请求消息用于为多播业务配置多播会话。第二配置请求消息包括多播数据的第二识别信息，该第二识别信息可以包括，可以包括多播数据对应的多播群组的临时移动组标识(temporary mobile group identifier，TMGI)、提供多播数据的应用服务器的IP地址、多播数据的业务标识(service identifier，service ID)、多播数据的分组过滤(packet filter)信息、多播数据的业务数据流(service data flow，SDF)识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息(Application ID)、多播数据的目标IP地址信息(例如，IP multicast address)、以及多播群组对应的多播会话的上下文标识信息(Multicast Session Context ID)中的至少一个。为了描述方便，下文将多播数据的第二识别信息简称为第二识别信息。

第二配置请求消息还可以包括订阅信息。订阅信息用于订阅用户设备加入多播会话的通知。可选地，订阅信息包括第二识别信息和事件标识，事件标识用于标识用户设备加入多播会话事件

步骤1702，NEF或MBSF-C将第二配置请求消息中的订阅信息存储在UDR中。

步骤1703，NEF或MBSF-C向AF发送第二配置响应消息。相应地，AF接收来自NEF或MBSF-C的第二配置响应消息。

步骤1704，UDR向PCF发送第一通知消息。相应地，PCF接收来自UDR的第一通知消息。

其中，第一通知消息包括订阅信息。

一种可能的实现方式，UDR向PCF发送Nudr_DM_Notify。

步骤1705，PCF向第二SMF发送第十二消息。相应地，第二SMF接收来自PCF的第十二消息。

其中，第十二消息包括订阅信息。

一种可能的实现方式，PCF向第二SMF发送会话管理策略更新消息(SM policy update)。

步骤1706，AF向用户设备发送第八消息。相应地，用户设备接收来自AF的第八消息。

其中，第八消息用于通知用户设备发起针对第二识别信息对应的多播会话的加入请求(join request)。第八消息中携带第二识别信息。AF可以通过应用层信令发送第八消息。

步骤1707，用户设备向第二SMF发送第一加入请求。相应地，第二SMF接收来自用户设备的第一加入请求。

其中，第一加入请求用于请求加入第二识别信息对应的多播会话。第一加入请求携带第二识别信息。

例如，用户设备在检测到应用层发出的针对第二识别信息的IGMP加入消息等时向第二SMF发送第一加入请求。

可选地，第一加入请求可以为IGMP加入请求消息或MLR消息。

步骤1708，在检测到针对针对第二识别信息的加入请求后，第二SMF向AF发送第一消息。相应地，AF接收来自第二SMF的第一消息。

其中，第一消息用于通知AF用户设备请求加入多播会话，或者也可以描述为，第一消息用于请求对用户设备加入多播会话的请求进行鉴权、第一消息用于请求对用户设备加入多播业务的请求进行鉴权等。第一消息包括第二识别信息和第一用户标识信息。

一种可能的实现方式，第二SMF向AF发送UE join notification。

步骤1709，在接收到第一消息后，AF对第一用户标识信息所标识的用户设备的加入请求进行鉴权。

在一些实现方式中，AF可以根据第一用户标识信息和第二识别信息，查询数据库。若针对该第二识别信息，数据库中存在第一用户标识信息的签约信息，则AF确定鉴权通过，在完成多播会话的配置流程后，可以向第二SMF指示允许用户设备加入第二识别信息对应的多播会话，或者指示第二识别信息对应的多播会话可用(MBS session available)。若针对该第二识别信息，数据库中不存在第一用户标识信息的签约信息，AF确定鉴权失败，可以向第二SMF指示不允许用户设备加入第二识别信息对应的多播会话，或者指示第二识别信息对应的多播会话不可用(MBS session unavailable)。

步骤1710，AF向第二SMF发送第二指示信息。相应地，第二SMF接收来自AF的第二指示信息。

其中，第二指示信息用于指示鉴权结果。

一种可能的实现方式，AF向第二SMF发送UE join notification response。

若第二指示信息指示不允许用户设备加入第二识别信息对应的多播会话或第二识别信息对应的多播会话不可用，第二SMF可以执行步骤1711。若第二指示信息指示允许用户设备加入第二识别信息对应的多播会话或第二识别信息对应的多播会话可用，第二SMF可以继续执行用户设备加入多播群组的后续流程。

步骤1711，第二SMF拒绝该用户设备的第一加入请求。

后续第二SMF可能向用户设备或AMF指示拒绝该用户设备的加入请求。

步骤1712，第二SMF接受该用户设备的第一加入请求，继续执行用户设备加入多播群组的后续流程。

在图17所示的方法中，AF可以向第二SMF订阅用户设备加入事件的通知，这样第二SMF在收到用户设备的加入请求时可以向AF通知对该用户设备请求加入多播会话，AF则可以对该用户设备的加入请求进行鉴权并将鉴权结果指示给第二SMF，从而可以实现对用户设备的加入请求进行鉴权。并且该方案可以在核心网没有多播群组的成员信息的情况下实现针对用户设备加入群组时的鉴权操作，有助于避免产生公共安全问题。

图18是本申请另一实施例提供的鉴权方法的示意性流程图。图18所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。图18所示的方法包括以下内容的至少部分内容。

步骤1801，用户设备向第二SMF发送第一加入请求。

步骤1802，当所述第一多播会话属于允许所述用户设备加入的多播会话时，所述第二SMF接受所述第一加入请求。

步骤1803，当所述第一多播会话不属于允许所述用户设备加入的多播会话时，所述第二SMF拒绝所述第一加入请求。

在一些实现方式中，图18所示的方法还包括：所述第二SMF获取允许用户设备加入的多播会话的信息。

一种可能的实现方式，所述第二SMF获取允许用户设备加入的多播会话的信息，包括：所述SMF向第一核心网设备发送第十四消息，所述第十四消息用于请求允许用户设备加入的多播会话的信息，所述第十四消息包括所述用户设备的第三用户标识信息；所述第一核心网设备根据所述第三用户标识信息获取允许所述用户设备加入的多播业务的信息；所述第二会话管理功能网元接收来自所述第一核心网设备的所述允许所述用户设备加入的多播业务的信息。

一种可能的实现方式，所述第一核心网设备根据所述第三用户标识信息获取允许所述用户设备加入的多播业务的信息，包括：所述第一核心网设备向UDR发送第三查询消息，所述第三查询消息包括第三用户标识信息，用于查询允许所述用户设备加入的多播会话的信息；所述第一核心网设备接收来自所述UDR的第三响应消息，所述第三响应消息包括所述允许所述用户设备加入的多播会话的信息。

一种可能的实现方式，图18所示的方法还包括：所述UDR从应用功能网元或运营商获取与多播会话对应的识别信息和用户设备列表，所述用户设备列表为允许加入所述多播会话的用户设备的列表；所述UDR根据所述第三查询消息、所述识别信息、以及用户设备列表，确定所述允许所述用户设备加入的多播会话的信息。

在一些实现方式中，上述第一核心网设备为PCF或UDM。

下面结合图19对图18所示的方法进行详细描述。图19是本申请另一实施例提供的鉴权方法的示意性流程图。图19所示的方法可以应用于图1所示的系统架构，也可以应用于图3所示的系统架构，本申请实施例不限于此。

图19中的方法可以由用户设备、第一SMF、第二SMF、PCF/UDM、UDR、NEF/MBSF-C和AF执行，也可以由用户设备、第一SMF、第二SMF、PCF/UDM、UDR、NEF/MBSF-C和AF中的模块或单元(例如，电路、芯片或SOC等)执行，图19中以执行主体为用户设备、第一SMF、第二SMF、PCF/UDM、UDR、NEF/MBSF-C和AF为例。图19中的方法可以包括以下内容的至少部分内容。

步骤1901，AF向NEF、MBSF-C或第一SMF发送第一配置请求消息。相应地，NEF、MBSF-C或第一SMF接收来自AF的第一配置请求消息。

其中，第一配置请求消息用于为多播业务配置多播会话。第一配置请求消息包括多播会话的识别信息。为了描述方便，下文将多播数据的识别信息简称为识别信息。

可选地，第一配置请求消息还可以包括用户设备列表，该用户设备列表可以为允许使用该识别信息对应的多播业务的用户设备的列表。由于第一配置请求消息用于为多播业务配置多播会话，因此，用户设备列表也可以描述为允许加入该识别信息对应的多播会话的用户设备的列表。例如，用户设备列表为allowed UE list。

步骤1902，NEF、MBSF-C或第一SMF将第一配置请求消息中的识别信息存储在UDR中。

可选地，若第一配置请求消息还包括用户设备列表，NEF、MBSF-C或第一SMF也将该用户设备列表存储在UDR中。

步骤1903，NEF或MBSF-C向AF发送第一配置响应消息。相应地，AF接收来自NEF或MBSF-C的第一配置响应消息。

需要说明的是，识别信息可以包括一个或多个多播数据分别对应的识别信息，同理，用户设备列表也可以包括与该一个或多个识别信息一一对应的一个或多个用户设备列表。

需要说明的是，步骤1901-1903为可选步骤，上述识别信息和/或用户设备列表也可以由运营商配置在UDR中。通过步骤1901-1903，AF可以根据业务情况及时存储、更新或移除UDR中存储的用户设备列表，方案更加灵活。

步骤1904，用户设备与第二SMF进行单播的会话建立流程。

步骤1905，第二SMF向PCF或UDM发送第十四消息。相应地，PCF或UDM接收来自第二SMF的第十四消息。

其中，PCF或UDM可以为服务单播的PCF或UDM。第十四消息用于请求允许用户设备加入的多播会话的信息，第十四消息携带用户设备的第三用户标识信息(下文简称第三用户标识信息)。例如，第二SMF可以通过向PCF发送查询用户设备的会话管理策略信息的消息来实现请求允许用户设备加入的多播会话的信息。又例如，第二SMF可以通过向UDM发送查询用户设备的签约信息的消息来实现请求允许用户设备加入的多播会话的信息。

允许用户设备加入的多播会话，也可以替换为，允许用户设备加入的多播业务，允许用户设备使用的多播业务、或用户设备可以使用的多播业务等。

一种可能的实现方式，第二SMF可以向PCF或UDM发送会话管理策略查询消息(SM policy query)。

步骤1906，PCF、UDM或第一SMF向UDR发送第三查询消息。相应地，UDR接收来自PCF、UDM或第一SMF的第三查询消息。

其中，第三查询消息携带第三用户标识信息，用于查询用户设备的信息。

一种可能的实现方式，PCF、UDM或第一SMF向UDR发送Nudr_DM_Query。

步骤1907，UDR根据第三用户标识信息、存储的多播数据的识别信息以及与多播数据的识别信息对应的用户设备列表，确定允许用户设备加入的多播会话。

其中，允许用户设备加入的多播会话可以包括一个或多个多播会话。

步骤1908，UDR向PCF、UDM或第一SMF发送第三响应消息。相应地，PCF、UDM或第一SMF接收来自UDR的第三响应消息。

其中，第三响应消息包括允许用户设备加入的多播会话的信息。可选地，允许用户设备加入的多播会话的信息可以包括允许用户设备加入的多播业务的TMGI、提供多播数据的应用服务器的IP地址、多播数据的业务标识、多播数据的分组过滤信息、多播数据的业务数据流识别规则、用于传输多播数据的多播PDU会话的ID、应用的ID信息、多播数据的目标IP地址信息、以及多播群组对应的多播会话的上下文标识信息中的至少一个。

一种可能的实现方式，PCF、UDM或第一SMF接收来自UDR的Nudr_DM_Response。

步骤1909，PCF、UDM或第一SMF向第二SMF发送第十五消息。相应地，第二SMF接收PCF、UDM或第一SMF发送的第十五消息。

其中，第十五消息携带允许用户设备加入的多播会话的信息。

一种可能的实现方式，PCF、UDM或第一SMF向第二SMF发送会话管理策略响应消息(SM policy response)。

步骤1910，AF向用户设备发送第八消息。相应地，用户设备接收来自AF的第八消息。

步骤1911，用户设备向第二SMF发送第一加入请求。相应地，第二SMF接收来自用户设备的第一加入请求。

可选地，第一加入请求可以为IGMP加入请求消息或MLR消息。

步骤1912，第二SMF根据允许用户设备接入的多播业务以及第四识别信息，确定是否允许用户设备接入第四识别信息所对应的多播业务。

若第二SMF确定不允许用户设备加入第四识别信息所对应的多播会话，则第二SMF可以执行步骤1913。若第二SMF确定允许用户设备加入第四识别信息所对应的多播会话，则第二SMF可以执行步骤1914-1917。

步骤1913，第二SMF拒绝该用户设备的第一加入请求。

步骤1914，第二SMF接受该用户设备的第一加入请求，并通过NRF选取第一SMF。

步骤1915，第二SMF向第一SMF发送第二查询消息。相应地，第一SMF接收来自第二SMF的第二查询消息。

步骤1916，第一SMF向第二SMF发送第二响应消息。相应地，第二SMF接收来自第一SMF的第二响应消息。

步骤1917，用户设备加入多播群组的后续流程。

步骤1913-1917更详细的描述可以参考步骤1511-1515，在此不再赘述。

在图19所示的方法中，可以将多播会话可用的用户设备列表存储在UDR中，这样SMF在进行用户设备的单播会话的建立流程中，可以以用户设备的标识为索引通过PCF、UDM或第一SMF向UDR请求允许用户设备加入的多播业务，进而根据UDR反馈的信息对用户设备的加入请求进行鉴权，从而可以实现对用户设备的加入请求进行鉴权。

需要说明的是，上述各实施例可以单独实施，也可以恰当地结合在一起实施。

可以理解的是，为了实现上述实施例中功能，通信装置包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本申请中所公开的实施例描述的各示例的单元及方法步骤，本申请能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用场景和设计约束条件。

图20至图21为本申请的实施例提供的可能的装置的结构示意图。

这些装置可以用于实现上述方法实施例中用户设备、接入网设备、AMF、UPF、SMF、NEF、UDM、UDR、PCF、MBSF、AF或应用服务器的功能，因此也能实现上述方法实施例所具备的有益效果。在本申请的实施例中，该通信装置可以是用户设备、接入网设备、AMF、UPF、SMF、NEF、UDM、UDR、PCF、MBSF、AF或应用服务器，还可以是应用于用户设备、接入网设备、AMF、UPF、SMF、NEF、UDM、UDR、PCF、MBSF、AF或应用服务器的模块(如芯片)。

如图20所示，装置1400包括处理单元1410和收发单元1420。

当装置1400用于实现图4所示的方法实施例中第一SMF的功能时：处理单元1410可以执行方法侧实施例所示的步骤410和450，收发单元1420可以执行方法侧实施例所示的步骤420和440。当装置1400用于实现图4所示的方法实施例中应用服务器的功能时：处理单元可以执行方法侧实施例所示的步骤430，收发单元1420可以执行方法侧实施例所示的步骤420和440。

当装置1400用于实现图5所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤501。当装置1400用于实现图5所示的方法实施例中AMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤502。当装置1400用于实现图5所示的方法实施例中第二SMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤503。当装置1400用于实现图5所示的方法实施例中第一SMF的功能时：处理单元可以执行方法侧实施例所示的步骤516和504，收发单元1420可以执行方法侧实施例所示的步骤503、505、507、508、513和514。当装置1400用于实现图5所示的方法实施例中应用服务器的功能时：处理单元可以执行方法侧实施例所示的步骤506和511，收发单元1420可以执行方法侧实施例所示的步骤505、507、510和512。当装置1400用于实现图5所示的方法实施例中NEF的功能时：处理单元可以执行方法侧实施例所示的步骤509，收发单元1420可以执行方法侧实施例所示的步骤508、510、512和513。

当装置1400用于实现图6所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤601。当装置1400用于实现图6所示的方法实施例中第二UPF的功能时：收发单元1420可以执行方法侧实施例所示的步骤602。当装置1400用于实现图6所示的方法实施例中第二SMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤602和603。当装置1400用于实现图6所示的方法实施例中第一SMF的功能时：处理单元可以执行方法侧实施例所示的步骤616和604，收发单元1420可以执行方法侧实施例所示的步骤603、605、607、608、613和614。当装置1400用于实现图6所示的方法实施例中应用服务器的功能时：处理单元可以执行方法侧实施例所示的步骤606和611，收发单元1420可以执行方法侧实施例所示的步骤605、607、610和612。当装置1400用于实现图6所示的方法实施例中NEF的功能时：处理单元可以执行方法侧实施例所示的步骤609，收发单元1420可以执行方法侧实施例所示的步骤608、610、612和613。

当装置1400用于实现图7所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤701。当装置1400用于实现图7所示的方法实施例中AMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤602。当装置1400用于实现图7所示的方法实施例中第一SMF的功能时：处理单元可以执行方法侧实施例所示的步骤716和704，收发单元1420可以执行方法侧实施例所示的步骤705、707、708、713和714。当装置1400用于实现图7所示的方法实施例中应用服务器的功能时：处理单元可以执行方法侧实施例所示的步骤706和711，收发单元1420可以执行方法侧实施例所示的步骤705、707、710和712。当装置1400用于实现图7所示的方法实施例中NEF的功能时：处理单元可以执行方法侧实施例所示的步骤709，收发单元1420可以执行方法侧实施例所示的步骤708、710、712和713。

当装置1400用于实现图8所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤801。当装置1400用于实现图8所示的方法实施例中第二UPF的功能时：收发单元1420可以执行方法侧实施例所示的步骤802。当装置1400用于实现图8所示的方法实施例中第一SMF的功能时：处理单元可以执行方法侧实施例所示的步骤816和804，收发单元1420可以执行方法侧实施例所示的步骤805、807、808、813和814。当装置1400用于实现图8所示的方法实施例中应用服务器的功能时：处理单元可以执行方法侧实施例所示的步骤806和811，收发单元1420可以执行方法侧实施例所示的步骤805、807、810和812。当装置1400用于实现图8所示的方法实施例中NEF的功能时：处理单元可以执行方法侧实施例所示的步骤809，收发单元1420可以执行方法侧实施例所示的步骤808、810、812和813。

当装置1400用于实现图9所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤901和904。当装置1400用于实现图9所示的方法实施例中网络设备的功能时：处理单元可以执行方法侧实施例所示的步骤902，收发单元1420可以执行方法侧实施例所示的步骤901和905。当装置1400用于实现图9所示的方法实施例中应用服务器的功能时：处理单元可以执行方法侧实施例所示的步骤903，收发单元1420可以执行方法侧实施例所示的步骤903和904。

当装置1400用于实现图10所示的方法实施例中用户设备的功能时：处理单元1410可以执行方法侧实施例所示的步骤1003，收发单元1420可以执行方法侧实施例所示的步骤1001和1005。当装置1400用于实现图10所示的方法实施例中第一SMF的功能时：处理单元1410可以执行方法侧实施例所示的步骤1002和1003，收发单元1420可以执行方法侧实施例所示的步骤1001和1008。当装置1400用于实现图10所示的方法实施例中应用服务器的功能时：处理单元可以执行方法侧实施例所示的步骤1004，收发单元1420可以执行方法侧实施例所示的步骤1005和1006。当装置1400用于实现图10所示的方法实施例中NEF的功能时：收发单元1420可以执行方法侧实施例所示的步骤1006和1007。当装置1400用于实现图10所示的方法实施例中UDM或UDR的功能时：处理单元可以执行方法侧实施例所示的步骤1003，收发单元1420可以执行方法侧实施例所示的步骤1008和1007。

当装置1400用于实现图11所示的方法实施例中用户设备的功能时：处理单元1410可以执行方法侧实施例所示的步骤1105，收发单元1420可以执行方法侧实施例所示的步骤1101和1107。当装置1400用于实现图11所示的方法实施例中第二SMF的功能时：处理单元1410可以执行方法侧实施例所示的步骤1105，收发单元1420可以执行方法侧实施例所示的步骤1001、1102、1104和1112。当装置1400用于实现图11所示的方法实施例中第一SMF的功能时：处理单元1410可以执行方法侧实施例所示的步骤1105，收发单元1420可以执行方法侧实施例所示的步骤1112和1111。当装置1400用于实现图11所示的方法实施例中应用服务器的功能时：处理单元可以执行方法侧实施例所示的步骤1106，收发单元1420可以执行方法侧实施例所示的步骤1107和1108。当装置1400用于实现图11所示的方法实施例中NEF或PCF的功能时：处理单元可以执行方法侧实施例所示的步骤1110，收发单元1420可以执行方法侧实施例所示的步骤1108、1111和1109。当装置1400用于实现图11所示的方法实施例中UDM或UDR的功能时：处理单元可以执行方法侧实施例所示的步骤1103和1105，收发单元1420可以执行方法侧实施例所示的步骤1112、1109、1102和1104。

当装置1400用于实现图12所示的方法实施例中用户设备的功能时：处理单元1410可以执行方法侧实施例所示的步骤1214，收发单元1420可以执行方法侧实施例所示的步骤1201和1207。当装置1400用于实现图12所示的方法实施例中第二SMF的功能时：处理单元1410可以执行方法侧实施例所示的步骤1214，收发单元1420可以执行方法侧实施例所示的步骤1201-1203。当装置1400用于实现图12所示的方法实施例中第一SMF的功能时：处理单元1410可以执行方法侧实施例所示的步骤1204和1214，收发单元1420可以执行方法侧实施例所示的步骤1202、1205和1213。当装置1400用于实现图12所示的方法实施例中应用服务器的功能时：处理单元可以执行方法侧实施例所示的步骤1206，收发单元1420可以执行方法侧实施例所示的步骤1207和1208。当装置1400用于实现图12所示的方法实施例中NEF或PCF的功能时：处理单元可以执行方法侧实施例所示的步骤1210，收发单元1420可以执行方法侧实施例所示的步骤1208、1211和1209。当装置1400用于实现图12所示的方法实施例中UDM或UDR的功能时：处理单元可以执行方法侧实施例所示的步骤1214，收发单元1420可以执行方法侧实施例所示的步骤1212、1209、1203和1205。

当装置1400用于实现图13所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤1301和1312。当装置1400用于实现图13所示的方法实施例中接入网设备的功能时：处理单元1410可以执行方法侧实施例所示的步骤1302和1304，收发单元1420可以执行方法侧实施例所示的步骤1301、1305和1309。当装置1400用于实现图13所示的方法实施例中AMF的功能时：处理单元1410可以执行方法侧实施例所示的步骤1306和1303，收发单元1420可以执行方法侧实施例所示的步骤1305、1307-1309。当装置1400用于实现图13所示的方法实施例中第一SMF的功能时：处理单元1410可以执行方法侧实施例所示的步骤1310和1303，收发单元1420可以执行方法侧实施例所示的步骤1307、1308和1313。当装置1400用于实现图13所示的方法实施例中应用服务器的功能时：处理单元可以执行方法侧实施例所示的步骤1311，收发单元1420可以执行方法侧实施例所示的步骤1312和1313。当装置1400用于实现图13所示的方法实施例中NEF、UDM或UDR的功能时：收发单元1420可以执行方法侧实施例所示的步骤1313。

当装置1400用于实现图14所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤1401。当装置1400用于实现图14所示的方法实施例中第二SMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤1401、1402和1404，处理单元1410可以执行方法侧实施例所示的步骤1405和1406。当装置1400用于实现图14所示的方法实施例中第一核心网设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤1402-1403。当装置1400用于实现图14所示的方法实施例中UDR的功能时：收发单元1420可以执行方法侧实施例所示的步骤1403。

当装置1400用于实现图15所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤1504和1505，处理单元1410可以执行方法侧实施例所示的步骤1515。当装置1400用于实现图15所示的方法实施例中第二SMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤1505、1506、1510、1513和1514，处理单元1410可以执行方法侧实施例所示的步骤1511、1512和1515。当装置1400用于实现图15所示的方法实施例中PCF或UDM的功能时：收发单元1420可以执行方法侧实施例所示的步骤1506-1508和1510，处理单元1410可以执行方法侧实施例所示的步骤1509和1515。当装置1400用于实现图15所示的方法实施例中UDR的功能时：处理单元1410可以执行方法侧实施例所示的步骤1502和1515，收发单元1420可以执行方法侧实施例所示的步骤1507和1508。当装置1400用于实现图15所示的方法实施例中NEF或MBSF-C的功能时：收发单元1420可以执行方法侧实施例所示的步骤1501和1503，处理单元1410可以执行方法侧实施例所示的步骤1502和1515。当装置1400用于实现图15所示的方法实施例中AF的功能时：处理单元1410可以执行方法侧实施例所示的步骤1515，收发单元1420可以执行方法侧实施例所示的步骤1501和1503。

当装置1400用于实现图16所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤1602。当装置1400用于实现图16所示的方法实施例中第二SMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤1601-1604，处理单元1410可以执行方法侧实施例所示的步骤1605和1606。当装置1400用于实现图16所示的方法实施例中UDR的功能时：收发单元1420可以执行方法侧实施例所示的步骤1601。当装置1400用于实现图16所示的方法实施例中AF的功能时：收发单元1420可以执行方法侧实施例所示的步骤1601、1604和1603。

当装置1400用于实现图17所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤1706和1707，处理单元1410可以执行方法侧实施例所示的步骤1712。当装置1400用于实现图17所示的方法实施例中第二SMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤1705、1707、1708和1710，处理单元1410可以执行方法侧实施例所示的步骤1711和1712。当装置1400用于实现图17所示的方法实施例中PCF的功能时：收发单元1420可以执行方法侧实施例所示的步骤1704和1705，处理单元1410可以执行方法侧实施例所示的步骤1712。当装置1400用于实现图17所示的方法实施例中UDR的功能时：处理单元1410可以执行方法侧实施例所示的步骤1702和1712，收发单元1420可以执行方法侧实施例所示的步骤1704。当装置1400用于实现图17所示的方法实施例中NEF或MBSF-C的功能时：收发单元1420可以执行方法侧实施例所示的步骤1701和1703，处理单元1410可以执行方法侧实施例所示的步骤1702和1712。当装置1400用于实现图17所示的方法实施例中AF的功能时：处理单元1410可以执行方法侧实施例所示的步骤1709和1712，收发单元1420可以执行方法侧实施例所示的步骤1701、1703、1706、1708和1710。

当装置1400用于实现图18所示的方法实施例中用户设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤1801。当装置1400用于实现图1/8所示的方法实施例中第二SMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤1801、1804和1806，处理单元1410可以执行方法侧实施例所示的步骤1802和1803。当装置1400用于实现图18所示的方法实施例中第一核心网设备的功能时：收发单元1420可以执行方法侧实施例所示的步骤1804和1806，处理单元1410可以执行方法侧实施例所示的步骤1805。

当装置1400用于实现图19所示的方法实施例中用户设备的功能时：收发单元1420 可以执行方法侧实施例所示的步骤1910和1911，处理单元1410可以执行方法侧实施例所示的步骤1904和1917。当装置1400用于实现图19所示的方法实施例中第二SMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤1905、1909、1911、1915和1916，处理单元1410可以执行方法侧实施例所示的步骤1904、1912-1914和/1917。当装置1400用于实现图19所示的方法实施例中PCF或UDM的功能时：收发单元1420可以执行方法侧实施例所示的步骤1905、1906、1908和1909，处理单元1410可以执行方法侧实施例所示的步骤1917。当装置1400用于实现图19所示的方法实施例中UDR的功能时：处理单元1410可以执行方法侧实施例所示的步骤1902、1907和1917，收发单元1420可以执行方法侧实施例所示的步骤1906和1908。当装置1400用于实现图19所示的方法实施例中NEF、MBSF-C或第一SMF的功能时：收发单元1420可以执行方法侧实施例所示的步骤1901和1903，处理单元1410可以执行方法侧实施例所示的步骤1902和1917。当装置1400用于实现图19所示的方法实施例中AF的功能时：处理单元1410可以执行方法侧实施例所示的步骤1917，收发单元1420可以执行方法侧实施例所示的步骤1901和1903。

有关上述处理单元1410和收发单元1420更详细的描述可以直接参考图4-图19所示的方法实施例中相关描述直接得到，这里不加赘述。

如图21所示，装置1500包括处理器1510和接口电路1520。处理器1510和接口电路1520之间相互耦合。可以理解的是，接口电路1520可以为收发器或输入输出接口。可选地，装置1500还可以包括存储器1530，用于存储处理器1510执行的指令或存储处理器1510运行指令所需要的输入数据或存储处理器1510运行指令后产生的数据。

当装置1500用于实现图4-图19所示的方法时，处理器1510用于执行上述处理单元1410的功能，接口电路1520用于执行上述收发单元1420的功能。

当上述装置为应用于用户设备、接入网设备、AMF、UPF、SMF、NEF、UDM、UDR、PCF、MBSF、AF或应用服务器的芯片时，该芯片实现上述方法实施例中用户设备、接入网设备、AMF、UPF、SMF、NEF、UDM、UDR、PCF、MBSF、AF或应用服务器的功能。该芯片从用户设备、接入网设备、AMF、UPF、SMF、NEF、UDM、UDR或应用服务器中的其它模块(如射频模块或天线)接收信息，该信息是其他设备发送给用户设备、接入网设备、AMF、UPF、SMF、NEF、UDM、UDR、PCF、MBSF、AF或应用服务器的；或者，该芯片向用户设备、接入网设备、AMF、UPF、SMF、NEF、UDM、UDR、PCF、MBSF、AF或应用服务器中的其它模块(如射频模块或天线)发送信息，该信息是用户设备、接入网设备、AMF、UPF、SMF、NEF、UDM、UDR、PCF、MBSF、AF或应用服务器发送给其他设备的。

可以理解的是，本申请的实施例中的处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其它通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其它可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。通用处理器可以是微处理器，也可以是任何常规的处理器。

本申请的实施例中的方法步骤可以通过硬件的方式来实现，也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于用户设备、AMF、UPF、SMF、NEF、UDM、UDR或应用服务器中。当然，处理器和存储介质也可以作为分立组件存在于用户设备、AMF、UPF、SMF、NEF、UDM、UDR或应用服务器中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行所述计算机程序或指令时，全部或部分地执行本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其它可编程装置。所述计算机程序或指令可以存储在计算机可读存储介质中，或者通过所述计算机可读存储介质进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器等数据存储设备。所述可用介质可以是磁性介质，例如，软盘、硬盘、磁带；也可以是光介质，例如，DVD；还可以是半导体介质，例如，固态硬盘(solid state disk，SSD)。

在本申请的各个实施例中，如果没有特殊说明以及逻辑冲突，不同的实施例之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。在本申请的文字描述中，字符“/”，一般表示前后关联对象是一种“或”的关系；在本申请的公式中，字符“/”，表示前后关联对象是一种“相除”的关系。

可以理解的是，在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种用于鉴权的方法，其特征在于，所述方法包括：

第一会话管理功能网元SMF获取第一信息和多播数据的第一识别信息，所述第一信息用于确定所述用户设备的第一用户标识信息；

所述第一SMF向应用服务器发送第一消息，所述第一消息用于请求对所述用户设备加入多播群组的请求进行鉴权，所述第一消息包括所述第一用户标识信息和多播数据的第二识别信息，所述第一识别信息和第二识别信息与所述多播群组对应；

所述第一SMF接收应用服务器发送的第二消息，所述第二消息中包括鉴权结果信息。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一SMF根据所述第一识别信息，确定需要所述应用服务器对所述用户设备加入所述多播群组的请求进行鉴权。
根据权利要求1或2所述的方法，其特征在于，所述第一信息包括所述第一用户标识信息和/或所述用户设备的第二用户标识信息。
根据权利要求3所述的方法，其特征在于，当所述第一信息为所述第二用户标识信息时，所述方法还包括：

所述第一SMF根据所述第二用户标识信息，获取所述第一用户标识信息。
根据权利要求4所述的方法，其特征在于，所述第一SMF根据所述第二用户标识信息，获取所述第一用户标识信息，包括：

所述第一SMF根据所述第二用户标识信息从第一网元获取所述第一用户标识信息，所述第一网元包括接入和移动管理功能网元AMF、统一数据管理网元UDM和统一数据存储库UDR。
根据权利要求1至5中任一项所述的方法，其特征在于，所述第一SMF获取第一信息和多播数据的第一识别信息，包括：

所述第一SMF从第二SMF、接入和移动管理功能网元AMF或第二用户面功能网元UPF获取所述第一信息和所述第一识别信息。
根据权利要求1至6中任一项所述的方法，其特征在于，所述第一SMF向所述应用服务器发送第一消息，包括：

所述第一SMF根据所述第一识别信息，确定所述应用服务器的标识信息；

所述第一SMF直接向所述应用服务器发送所述第一消息，或者所述第一SMF通过第一UPF向所述应用服务器发送所述第一消息。
根据权利要求1至6中任一项所述的方法，其特征在于，所述第一SMF向所述应用服务器发送第一消息，包括：

所述第一SMF通过网络开放功能网元NEF向所述应用服务器发送所述第一消息。
根据权利要求1至8中任一项所述的方法，其特征在于，所述第一用户标识信息为通用公共用户标识符GPSI，所述第二用户标识信息包括用户永久标识符SUPI、通用唯一临时标识符GUTI和用户隐藏标识符SUCI中的至少一个。
一种用于鉴权的方法，其特征在于，所述方法包括：

应用服务器接收来自会话管理功能网元SMF的第一消息，所述第一消息用于请求对用户设备加入多播群组的请求进行鉴权，所述第一消息包括第一用户标识信息和多播数据的第二识别信息，所述第二识别信息与所述多播群组对应，所述第一用户标识信息为所述用户设备的标识信息；

所述应用服务器根据所述第一用户标识信息和所述第二识别信息，对所述用户设备加入所述多播群组的请求进行鉴权；

所述应用服务器向所述SMF发送第二消息，所述第二消息中包括鉴权结果信息。
根据权利要求10所述的方法，其特征在于，所述方法还包括：

所述应用服务器向第二核心网设备发送第二配置请求消息，所述第二配置请求消息包括所述第二识别信息和订阅信息，所述订阅信息用于订阅用户设备加入所述多播会话事件的通知；

所述应用服务器接收来自所述第二核心网设备发送的第二配置响应消息，所述第二配置响应消息用于指示所述第二识别信息和所述订阅信息已存储在统一数据存储库。
根据权利要求10或11所述的方法，其特征在于，所述第二核心网设备为网络开放功能网元或多播广播业务功能网元。
根据权利要求10至12中任一项所述的方法，其特征在于，所述应用服务器向所述SMF发送第二消息，包括：

所述应用服务器直接向所述SMF发送所述第二消息，或者通过UPF或网络开放功能网元NEF向所述SMF发送所述二消息。
根据权利要求10至13中任一项所述的方法，其特征在于，所述SMF服务于单播，或者所述SMF服务于多播。
根据权利要求10至14中任一项所述的方法，其特征在于，所述第一用户标识信息为通用公共用户标识符GPSI。
一种用于鉴权的方法，其特征在于，所述方法包括：

用户设备确定第三消息，所述第三消息用于请求加入多播群组，所述第三消息包括多播数据的第三识别信息，所述第三识别信息与所述多播群组对应；

用户设备向第二用户面网元UPF发送所述第三消息。
根据权利要求16所述的方法，其特征在于，所述第三消息还包括用户设备的第二用户标识信息和/或用于针对所述用户设备进行鉴权的信息。
根据权利要求16或17所述的方法，其特征在于，所述第三消息包括网际群组管理协议IGMP消息和多播监听者报告MLR消息。
一种用于鉴权的方法，其特征在于，所述方法包括：

第二会话管理功能网元接收来自用户设备的第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第四识别信息，所述第四识别信息与所述第一多播会话对应；

所述第二会话管理功能网元向第一核心网设备发送第十消息，所述第十消息包括所述用户设备的第三用户标识信息和所述第四识别信息，所述第三用户标识信息和所述第四识别信息用于获取确定是否允许所述用户设备加入所述第一多播会话；

所述第二会话管理功能网元接收来自所述第一核心网设备的第一指示信息，所述第一指示信息用于指示是否允许所述用户设备加入所述第一多播会话；

当所述第一指示信息指示允许所述用户设备加入所述第一多播会话时，所述第二会话管理功能网元接受所述第一加入请求；或，

当所述第一指示信息指示不允许所述用户设备加入所述第一多播会话时，所述第二会话管理功能网元拒绝所述第一加入请求。
根据权利要求19所述的方法，其特征在于，所述第一核心网设备为策略控制功能网元或统一数据管理网元。
一种用于鉴权的方法，其特征在于，所述方法包括：

第一核心网设备接收来自第二会话管理功能网元的第十消息，所述第十消息包括用户设备的第三用户标识信息和第四识别信息，所述第三用户标识信息和所述第四识别信息用于获取确定是否允许所述用户设备加入第一多播会话，所述第四识别信息与所述第一多播会话对应；

所述第一核心网设备接收来自统一数据存储库的允许加入所述第一多播会话的用户设备的信息；

所述第一核心网设备根据所述第十消息和所述允许加入所述第一多播会话的用户设备的信息，向所述第二会话管理功能网元发送第一指示信息，所述第一指示信息用于指示是否允许所述用户设备加入所述第一多播会话。
根据权利要求21所述的方法，其特征在于，

当所述允许加入所述第一多播会话的用户设备的信息包括所述第三用户标识信息时，所述第一指示信息指示允许所述用户设备加入所述第一多播会话；或，

当所述允许加入所述第一多播会话的用户设备的信息不包括所述第三用户标识信息时，所述第一指示信息指示不允许所述用户设备加入所述第一多播会话。
根据权利要求21或22所述的方法，其特征在于，所述方法还包括：

所述第一核心网设备向所述统一数据存储库发送第一查询消息，所述第一查询消息用于查询所述允许加入所述第一多播会话的用户设备的信息；

所述第一核心网设备接收来自统一数据存储库的允许加入所述第一多播会话的用户设备的信息，包括：

所述第一核心网设备接收来自所述统一数据存储库的第一响应消息，所述第一响应消息包括所述允许加入所述第一多播会话的用户设备的信息。
根据权利要求21至23中任一项所述的方法，其特征在于，所述第一核心网设备为策略控制功能网元或统一数据管理网元。
一种用于鉴权的方法，其特征在于，所述方法包括：

统一数据存储库接收来自第一核心网设备的第一查询消息，所述第一查询消息用于查询允许加入第一多播会话的用户设备的信息；

所述统一数据存储库向所述第一核心网设备发送第一响应消息，所述第一响应消息包括所述允许加入第一多播会话的用户设备的信息。
根据权利要求25所述的方法，其特征在于，所述方法还包括：

所述统一数据存储库从应用功能网元或运营商获取所述允许加入第一多播会话的用户设备的信息。
根据权利要求25或26所述的方法，其特征在于，所述第一核心网设备为策略控制功能网元或统一数据管理网元。
一种用于鉴权的方法，其特征在于，所述方法包括：

统一数据存储库接收来自应用功能网元的订阅信息，所述订阅信息用于订阅用户设备加入第一多播会话的通知；

所述统一数据存储库向第二会话管理功能网元发送所述订阅信息。
根据权利要求28所述的方法，其特征在于，所述订阅信息包括第二识别信息和事件标识，所述第二识别信息对应于所述第一多播会话，所述事件标识用于标识用户设备加入多播会话事件。
一种用于鉴权的方法，其特征在于，所述方法包括：

第二会话管理功能网元接收来自用户设备的第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第二识别信息，所述第二识别信息与所述第一多播会话对应；

所述第二会话管理功能网元向应用功能网元发送第一消息，所述第一消息用于通知所述应用功能网元所述用户设备请求加入所述第一多播会话，所述第一消息包括所述第二识别信息和所述用户设备的第一用户标识信息；

所述第二会话管理功能网元接收来自所述应用功能网元的第二指示信息，所述第二指示信息用于指示是否允许所述用户设备加入所述第一多播会话；

当所述第二指示信息指示允许所述用户设备加入所述第一多播会话时，所述第二会话管理功能网元接受所述第一加入请求；或

当所述第二指示信息指示不允许所述用户设备加入所述第一多播会话时，所述第二会话管理功能网元拒绝所述第一加入请求。
根据权利要求30所述的方法，其特征在于，所述方法还包括：

所述第二会话管理功能网元接收来自统一数据存储库的订阅信息，所述订阅信息用于订阅用户设备加入所述第一多播会话的通知。
根据权利要求31所述的方法，其特征在于，所述订阅信息包括第二识别信息和事件标识，所述第二识别信息对应于所述第一多播会话，所述事件标识用于标识用户设备加入多播会话事件。
一种用于鉴权的方法，其特征在于，所述方法包括：

统一数据存储库接收来自第一核心网设备的第三查询消息，所述第三查询消息包括第三用户标识信息，所述第三查询消息用于查询允许所述第三用户标识信息标识的用户设备加入的多播会话的信息；

所述统一数据存储库向所述第一核心网设备发送第三响应消息，所述第三响应消息包括允许所述用户设备加入的多播会话的信息。
根据权利要求33所述的方法，其特征在于，所述方法还包括：

所述统一数据存储库从应用功能网元或运营商获取与多播会话对应的识别信息和用户设备列表，所述用户设备列表为允许加入所述多播会话的用户设备的列表；

所述统一数据存储库根据所述第三查询消息、所述识别信息、以及用户设备列表，确定所述允许所述用户设备加入的多播会话的信息。
根据权利要求33或34所述的方法，其特征在于，所述第一核心网设备为策略控制功能网元或统一数据管理网元。
一种用于鉴权的方法，其特征在于，所述方法包括：

第一核心网设备接收来自第二会话管理功能网元的第十四消息，所述第十四消息用于请求允许用户设备加入的多播会话的信息，所述第十四消息包括所述用户设备的第三用户标识信息；

所述第一核心网设备根据所述第三用户标识信息获取允许所述用户设备加入的多播业务的信息；

所述第一核心网设备向所述第二会话管理功能网元发送所述允许所述用户设备加入的多播业务的信息。
根据权利要求36所述的方法，其特征在于，所述第一核心网设备根据所述第三用户标识信息获取允许所述用户设备加入的多播业务的信息，包括：

所述第一核心网设备向统一数据存储库发送第三查询消息，所述第三查询消息包括第三用户标识信息，用于查询允许所述用户设备加入的多播会话的信息；

所述第一核心网设备接收来自所述统一数据存储库的第三响应消息，所述第三响应消息包括所述允许所述用户设备加入的多播会话的信息。
根据权利要求36或37所述的方法，其特征在于，所述第一核心网设备为策略控制功能网元或统一数据管理网元。
一种用于鉴权的方法，其特征在于，所述方法包括：

第二会话管理功能网元接收来自用户设备的第一加入请求，所述第一加入请求用于请求加入第一多播会话，所述第一加入请求包括第四识别信息，所述第四识别信息与所述第一多播会话对应；

当所述第一多播会话属于允许所述用户设备加入的多播会话时，所述第二会话管理功能网元接受所述第一加入请求；或，

当所述第一多播会话不属于允许所述用户设备加入的多播会话时，所述第二会话管理功能网元拒绝所述第一加入请求。
根据权利要求39所述的方法，其特征在于，所述方法还包括：

所述第二会话管理功能网元向第一核心网设备发送第十四消息，所述第十四消息用于请求允许用户设备加入的多播会话的信息，所述第十四消息包括所述用户设备的第三用户标识信息；

所述第二会话管理功能网元接收来自所述第一核心网设备的所述允许所述用户设备加入的多播业务的信息。
根据权利要求40所述的方法，其特征在于，所述第一核心网设备为策略控制功能网元或统一数据管理网元。
一种通信装置，其特征在于，包括至少一个处理器，所述至少一个处理器与至少一个存储器耦合，所述至少一个处理器用于执行所述至少一个存储器中存储的计算机程序或指令，以使所述通信装置执行如权利要求1-41中任一项所述的方法。
一种芯片，其特征在于，包括逻辑电路和通信接口，所述通信接口，用于接收待处理的数据和/或信息，所述逻辑电路用于执行如权利要求1-41中任一项所述的数据和/ 或信息处理，以及，所述通信接口还用于输出经过所述逻辑电路处理后的所述数据和/或信息。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机指令，当计算机指令在计算机上运行时，如权利要求1-41中任一项所述的方法被实现。