WO2022237693A1 - Nswo业务的认证方法、设备和存储介质 - Google Patents

Abstract

本申请实施例适用于通信技术领域，提供了一种NSWO业务的认证方法、设备和存储介质，适用于5G网络。NSWO业务的认证方法包括：在UE确定进行NSWO业务后，向AN设备发送SUCI；AN设备向NSWO网元发送第二请求消息；NSWO网元确定进行针对NSWO业务的认证后，向AUSF发送第一认证请求消息。AUSF确定进行针对NSWO业务的认证后，向UDM发送第二认证请求消息。UDM确定采用EAP AKA'认证方式。之后，UDM、AUSF、NSWO网元、AN设备和UE依次完成基于EAP AKA'认证的认证流程，从而在5G网络中实现了针对NSWO业务的认证。

Description

NSWO业务的认证方法、设备和存储介质

本申请要求于2021年05月08日提交国家知识产权局、申请号为202110502550.3、申请名称为“NSWO业务的认证方法、设备和存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种NSWO业务的认证方法、设备和存储介质。

背景技术

在第四代通信系统(4G)网络中，第三代合作伙伴计划(3rd generation partnership project，3GPP)引入了有缝无线局域网分流业务(non-seamless WLAN offload，NSWO)。终端设备执行NSWO业务时，业务数据可以通过接入网(access network，AN)设备分流，直接接入因特网。

终端设备执行NSWO业务之前，AN设备、3GPP认证、授权和计费(authentication，authorization and accounting，AAA)服务器，以及归属签约用户服务器(home subscriber server，HSS)需要完成对终端设备的认证。可以理解为，AN设备借助运营商完成了对终端设备的认证。当运营商认证终端设备成功之后，AN设备才会为终端设备提供NSWO的业务。

随着通信技术的发展，第五代通信系统(5G)网络也将支持NSWO业务。5G网络和4G网络的设备可能不同，例如，5G网络可能没有3GPP AAA server。而且，5G网络和4G网络支持的认证算法也不同。因此，在5G网络中如何实现终端设备针对NSWO业务的认证，亟需解决。

发明内容

本申请实施例提供一种NSWO业务的认证方法、设备和存储介质，能够在5G等网络中实现终端设备针对NSWO业务的认证。

第一方面，提供了一种NSWO业务的认证方法，包括：在终端设备确定进行NSWO业务后，向接入网设备发送SUCI；接收NSWO网元通过接入网设备发送的第三认证请求消息，第三认证请求消息为EAP AKA'认证算法对应的认证请求消息；使用EAP AKA'认证算法对网络进行认证校验；在认证校验成功后，通过接入网设备向NSWO网元发送第四认证请求消息。

第一方面提供的NSWO业务的认证方法，可以应用于终端设备或UE。完整的NSWO业务认证流程涉及的网元包括UE、AN设备、NSWO网元、AUSF和UDM。UE确定进行NSWO业务后启动针对NSWO业务的认证流程。在认证过程中，确定采用EAP AKA’认证方式，避免了如果选择5G AKA认证方式而导致的认证失败，实现了在5G等网络中针对NSWO业务的认证。

一种可能的实现方式中，SUCI中包括的SUPI的类型用于指示进行针对NSWO业务的认证；和/或，SUCI包括业务指示信息，业务指示信息用于指示进行针对NSWO业务的认证。

在该实现方式中，AN设备、NSWO网元、AUSF或UDM可以根据SUCI直接确定执行针对NSWO业务的认证。

一种可能的实现方式中，接收NSWO网元通过接入网设备发送的第三认证请求消息之前，方法还包括：向接入网设备发送第一NSWO指示信息，第一NSWO指示信息用于指示进行针对NSWO业务的认证。

在该实现方式中，AN设备、NSWO网元、AUSF或UDM可以根据第一NSWO指示信息直接确定执行针对NSWO业务的认证。

一种可能的实现方式中，第一NSWO指示信息和SUCI在一条消息中。

在该实现方式中，将第一NSWO指示信息和SUCI携带在一条消息中，节省了空口消息数量。

一种可能的实现方式中，在认证校验成功后，还包括下列中的一项：计算密钥CK’和密钥IK’，之后删除密钥CK’和密钥IK’；计算密钥CK’和密钥IK’，且不根据密钥CK’和密钥IK’计算密钥K _AUSF，之后删除密钥CK’和密钥IK’；计算密钥CK’和密钥IK’，且根据密钥CK’和密钥IK’计算密钥K _AUSF，之后删除密钥CK’和密钥IK’，且删除密钥K _AUSF，或不对终端设备本地存储的密钥K _AUSF进行替换；或者，在认证校验成功后，不计算密钥CK’和密钥IK’。

在该实现方式中，UE在对网络进行认证校验成功后，可以不计算密钥CK’和密钥IK’，或者，将计算得到的密钥CK’和密钥IK’或密钥K _AUSF删除，或者，计算密钥K _AUSF后不将新生成的密钥K _AUSF替换本地已有的密钥K _AUSF，避免影响UE的现有密钥架构。

一种可能的实现方式中，在终端设备确定进行NSWO业务之前，方法还包括：接收接入网设备发送的第二NSWO指示信息，第二NSWO指示信息用于指示接入网设备支持NSWO业务；根据第二NSWO指示信息，确定进行基于5G密钥的认证，或进行基于SIM的认证，或进行基于用户首次认证的密钥进行认证。

在该实现方式中，AN设备通过向UE发送第二NSWO指示信息，向UE通知AN设备支持NSWO业务，可以实现针对NSWO业务的认证。

一种可能的实现方式中，向接入网设备发送SUCI，可以包括：向接入网设备发送连接建立请求消息，连接建立请求消息包括SUCI和第一NSWO指示信息。

在该实现方式中，UE确定进行NSWO业务后，接入AN建立连接。在连接建立请求消息中同时携带SUCI和第一NSWO指示信息，启动针对NSWO业务的认证流程，节省了空口消息数量。

一种可能的实现方式中，向接入网设备发送SUCI，可以包括：接收接入网设备发送的第一请求消息；向接入网设备发送第一响应消息，第一响应消息包括第一NSWO指示信息和SUCI。

在该实现方式中，AN设备向UE发送第一请求消息，触发UE进行EAP认证。UE确定进行NSWO业务之后接收到第一请求消息，确定执行EAP认证，且确定执行针对NSWO业务的认证。

第二方面，提供了一种NSWO业务的认证方法，包括：接收终端设备发送的SUCI；根据SUCI确定NSWO网元的地址；根据NSWO网元的地址向NSWO网元发送第二请求消息，第二请求消息包括SUCI；接收NSWO网元发送的第三认证请求消息，第三认证请求消息为EAP AKA’认证算法对应的认证请求消息；向终端设备发送第三认证请求消息；接收终端设备发送的第四认证请求消息；向NSWO网元发送第四认证请求消息。

第二方面提供的NSWO业务的认证方法，可以应用于AN设备。完整的NSWO业务认证流程涉及的网元包括UE、AN设备、NSWO网元、AUSF和UDM。在针对NSWO业务的认证流程中，确定采用EAP AKA’认证方式，避免了如果选择5G AKA认证方式而导致的认证失败，实现了在5G等网络中针对NSWO业务的认证。

一种可能的实现方式中，SUCI中包括的SUPI的类型用于指示进行针对NSWO业务的认证；和/或，SUCI包括业务指示信息，业务指示信息用于指示进行针对NSWO业务的认证。

一种可能的实现方式中，根据SUCI确定NSWO网元的地址之前，还包括：接收终端设备发送的第一NSWO指示信息，第一NSWO指示信息用于指示进行针对NSWO业务的认证。

一种可能的实现方式中，第一NSWO指示信息和SUCI在一条消息中。

一种可能的实现方式中，第二请求消息还包括第一NSWO指示信息。

在该实现方式中，NSWO网元、AUSF或UDM可以根据第一NSWO指示信息直接确定执行针对NSWO业务的认证。

一种可能的实现方式中，第二请求消息还包括第三NSWO指示信息，第三NSWO指示信息用于指示进行针对NSWO业务的认证。

在该实现方式中，NSWO网元、AUSF或UDM可以根据第三NSWO指示信息直接确定执行针对NSWO业务的认证。

一种可能的实现方式中，接收终端设备发送的SUCI之前，还包括：向终端设备发送第二NSWO指示信息，第二NSWO指示信息用于指示接入网设备支持NSWO业务。

一种可能的实现方式中，第二请求消息还包括接入网设备的接入网标识。

在该实现方式中，接入网标识可以用于NSWO网元向AUSF发送AN设备的第一标识信息，以便最终UDM计算EAP AKA’认证向量时使用。

一种可能的实现方式中，根据SUCI确定NSWO网元的地址，包括：从SUCI中获取目标网络标识和/或目标路由标识；根据网络标识和/或路由标识与NSWO网元地址之间的映射关系，获取目标网络标识和/或目标路由标识对应的NSWO网元的地址。

一种可能的实现方式中，根据SUCI确定NSWO网元的地址，包括：从SUCI中获取目标网络标识和/或目标路由标识；向第一地址管理网元发送目标网络标识和/或目标路由标识；接收第一地址管理网元发送的NSWO网元的地址。

一种可能的实现方式中，接收终端设备发送的SUCI，包括：接收终端设备发送的连接建立请求消息，连接建立请求消息包括SUCI和第一NSWO指示信息。

一种可能的实现方式中，接收终端设备发送的SUCI，包括：向终端设备发送第一请求消息，接收终端设备发送的第一响应消息，第一响应消息包括第一NSWO指示信息和SUCI。

第三方面，提供了一种NSWO业务的认证方法，包括：接收接入网设备发送的第二请求消息，第二请求消息包括终端设备的SUCI；根据第二请求消息确定进行针对NSWO业务的认证；向AUSF发送第一认证请求消息，第一认证请求消息包括SUCI；接收AUSF发送的第一认证响应消息，第一认证响应消息为EAP AKA’认证算法对应的认证响应消息；根据第一认证响应消息向接入网设备发送第三认证请求消息，第三认证请求消息为EAP AKA’认证算法对应的认证请求消息；接收接入网设备发送的第四认证请求消息；根据第四认证请求消息向AUSF发送第五认证请求消息。

第三方面提供的NSWO业务的认证方法，可以应用于NSWO网元。完整的NSWO业务认证流程涉及的网元包括UE、AN设备、NSWO网元、AUSF和UDM。在针对NSWO业务的认证流程中，确定采用EAP AKA’认证方式，避免了如果选择5G AKA认证方式而导致的认证失败，实现了在5G等网络中针对NSWO业务的认证。

一种可能的实现方式中，根据第二请求消息确定进行针对NSWO业务的认证，包括下列中的至少一种情况：根据第二请求消息中包括的NSWO指示信息，确定进行针对NSWO业务的认证；根据SUCI确定进行针对NSWO业务的认证；根据第二请求消息确定接入网设备的地址或接入网标识，在根据接入网设备的地址或接入网标识确定接入网设备支持NSWO业务后，确定进行针对NSWO业务的认证。

一种可能的实现方式中，SUCI中包括的SUPI的类型用于指示进行针对NSWO业务的认证；和/或，SUCI包括业务指示信息，业务指示信息用于指示进行针对NSWO业务的认证。

一种可能的实现方式中，第一认证请求消息还包括第四NSWO指示信息，第四NSWO指示信息用于指示进行针对NSWO业务的认证。

在该实现方式中，AUSF或UDM可以根据第四NSWO指示信息直接确定执行针对NSWO业务的认证。

一种可能的实现方式中，第一认证请求消息还包括下列中的一项：第二请求消息中携带的接入网设备的接入网标识；接入网设备的接入网标识对应的服务网络名称；根据接入网设备的相关信息确定的接入网标识；预设接入网标识，用于指示进行针对NSWO业务的认证；预设服务网络名称，用于指示进行针对NSWO业务的认证。

一种可能的实现方式中，第二认证请求消息还包括接入网设备的第二标识信息，接入网设备为终端设备连接的接入网设备；第二标识信息包括：第一信息或第一认证请求消息中携带的第一标识信息；若第一认证请求消息中携带的第一标识信息为接入网设备的接入网标识，则第一信息为接入网标识对应的服务网络名称；若第一认证请求消息中未携带第一标识信息，则第一信息为预设接入网标识或预设服务网络名称；预设接入网标识或预设服务网络名称均用于指示进行针对NSWO业务的认证。

一种可能的实现方式中，第一认证请求消息为UE认证的认证服务请求消息，第一认证响应消息为UE认证的认证服务响应消息。

一种可能的实现方式中，第一认证请求消息和第一认证响应消息均为新增AUSF服务对应的消息，新增AUSF服务用于指示执行针对NSWO业务的认证。

在该实现方式中，AUSF可以直接根据新增AUSF服务确定执行针对NSWO业务的认证。

第四方面，提供了一种NSWO业务的认证方法，包括：接收NSWO网元发送的第一认证请求消息，第一认证请求消息包括SUCI；根据第一认证请求消息确定进行针对NSWO业务的认证；向UDM发送第二认证请求消息，第二认证请求消息包括SUCI；接收UDM发送的第二认证响应消息，第二认证响应消息包括第二EAP AKA’认证向量；根据第二认证响应消息向NSWO网元发送第一认证响应消息，第一认证响应消息为EAP AKA’认证算法对应的认证响应消息；接收NSWO网元发送的第五认证请求消息；根据第五认证请求消息进行针对终端设备的认证。

第四方面提供的NSWO业务的认证方法，可以应用于AUSF。完整的NSWO业务认证流程涉及的网元包括UE、AN设备、NSWO网元、AUSF和UDM。在针对NSWO业务的认证流程中，确定采用EAP AKA’认证方式，避免了如果选择5G AKA认证方式而导致的认证失败，实现了在5G等网络中针对NSWO业务的认证。

一种可能的实现方式中，根据第一认证请求消息确定进行针对NSWO业务的认证，包括下列中的至少一种情况：根据第一认证请求消息中包括的NSWO指示信息，确定进行针对NSWO业务的认证；NSWO指示信息用于指示进行针对NSWO业务的认证；在确定第一认证请求消息为新增鉴权服务器功能AUSF服务对应的请求消息时，确定进行针对NSWO业务的认证，新增AUSF服务用于指示进行针对NSWO业务的认证；根据SUCI确定进行针对NSWO业务的认证；根据第一认证请求消息确定NSWO网元的类型或地址，在根据NSWO网元的类型或地址确定NSWO网元支持NSWO业务后，确定进行针对NSWO业务的认证。

一种可能的实现方式中，SUCI中包括的SUPI的类型用于指示进行针对NSWO业务的认证；和/或，SUCI包括业务指示信息，业务指示信息用于指示进行针对NSWO业务的认证。

一种可能的实现方式中，第二认证请求消息还包括第五NSWO指示信息，第五NSWO指示信息用于指示进行针对NSWO业务的认证。

在该实现方式中，通过在第二认证请求消息中携带第五NSWO指示信息，UDM可以直接确定执行针对NSWO业务的认证。

一种可能的实现方式中，根据第一认证请求消息确定进行针对NSWO业务的认证之后，还包括：确定采用EAP AKA’认证算法；相应的，第二认证请求消息还包括算法指示信息，算法指示信息用于指示进行EAP AKA’认证。

在该实现方式中，通过在第二认证请求消息中携带算法指示信息，UDM可以直接确定采用EAP AKA’认证算法，简化了UDM的处理。

一种可能的实现方式中，第一认证请求消息还包括接入网设备的第一标识信息，接入网设备为终端设备连接的接入网设备；第一标识信息包括下列中的一项：接入网设备的接入网标识；接入网设备的接入网标识对应的服务网络名称；预设接入网标识，用于指示进行针对NSWO业务的认证；预设服务网络名称，用于指示进行针对NSWO业务的认证。

在该实现方式中，第一标识信息可以用于AUSF向UDM发送AN设备的第二标识信息，以便最终UDM计算EAP AKA’认证向量时使用。

一种可能的实现方式中，第二认证请求消息还包括接入网设备的第二标识信息，接入网设备为终端设备连接的接入网设备；第二标识信息包括：第一信息或第一认证请求消息 中携带的第一标识信息；若第一认证请求消息中携带的第一标识信息为接入网设备的接入网标识，则第一信息为接入网标识对应的服务网络名称；若第一认证请求消息中未携带第一标识信息，则第一信息为预设接入网标识或预设服务网络名称；预设接入网标识或预设服务网络名称均用于指示进行针对NSWO业务的认证。

在该实现方式中，第二标识信息可以用于后续UDM计算EAP-AKA’认证向量时使用。

一种可能的实现方式中，第一认证请求消息为UE认证的认证服务请求消息，第一认证响应消息为UE认证的认证服务响应消息。

一种可能的实现方式中，第一认证请求消息和第一认证响应消息均为新增AUSF服务对应的消息，新增AUSF服务用于指示执行针对NSWO业务的认证。

一种可能的实现方式中，第二认证请求消息为UE认证的得到服务请求消息，第二认证响应消息为UE认证的得到服务响应消息。

一种可能的实现方式中，第二认证请求消息和第二认证响应消息均为新增UDM服务对应的消息，新增UDM服务用于指示执行针对NSWO业务的认证。

在该实现方式中，UDM可以直接根据新增UDM服务确定执行针对NSWO业务的认证。

一种可能的实现方式中，第二认证响应消息还包括终端设备的SUPI；方法还包括：根据第五认证请求消息进行针对终端设备的认证成功后，向UDM发送第一NSWO认证结果，第一NSWO认证结果包括SUPI，和/或接入网设备的接入网标识，和/或接入网标识对应的服务网络名称，接入网设备为终端设备连接的接入网设备。

在该实现方式中，在AUSF确定UE针对NSWO业务认证成功之后，可以向UDM通知认证成功的UE和/或认证成功UE接入的AN设备，从而，UDM可以对认证成功的UE和/或认证成功UE接入的AN设备进行记录，以便后续针对UE或AN设备完成计费。

一种可能的实现方式中，第一NSWO认证结果还包括认证指示信息，认证指示信息用于指示终端设备针对NSWO业务的认证成功。

一种可能的实现方式中，第一NSWO认证结果包含在UE认证结果确认消息中。

一种可能的实现方式中，第二EAP AKA’认证向量不包括密钥CK’和密钥IK’，第一认证响应消息包括第二EAP AKA’认证向量。

一种可能的实现方式中，第二EAP AKA’认证向量包括密钥CK’和密钥IK’，第一认证响应消息包括第二EAP AKA’认证向量。

一种可能的实现方式中，第二EAP AKA’认证向量包括密钥CK’和密钥IK’，根据第二认证响应消息向NSWO网元发送第一认证响应消息，包括：删除第二EAP AKA’认证向量中的密钥CK’和密钥IK’；向NSWO网元发送第一认证响应消息，第一认证响应消息包括删除密钥后的第二EAP AKA’认证向量。

在该实现方式中，AUSF删除第二EAP AKA’认证向量中的密钥CK’和密钥IK’，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响现有认证流程中已生成的相关密钥。

一种可能的实现方式中，在根据第五认证请求消息进行针对终端设备的认证之后，且在收到密钥CK’和密钥IK’后，还包括：不基于密钥CK’和密钥IK’计算密钥K _AUSF；或者，基于密钥CK’和密钥IK’计算密钥K _AUSF，且不对AUSF本地已存储的密钥K _AUSF进行替换。

在该实现方式中，AUSF不计算新密钥K _AUSF或者计算新密钥K _AUSF后不进行替换，不会导致新生成的密钥K _AUSF影响AUSF现有认证流程中生成的相关密钥。

一种可能的实现方式中，方法还包括：删除密钥CK’和密钥IK’；和/或删除密钥K _AUSF。

在该实现方式中，AUSF删除了针对NSWO业务进行认证过程中新生成的密钥，避免了新生成的密钥影响AUSF现有认证流程中生成的相关密钥。

一种可能的实现方式中，方法还包括：若根据第五认证请求消息进行针对终端设备的认证成功后，则向计费NF发送第二NSWO认证结果，第二NSWO认证结果包括终端设备的SUPI，和/或接入网设备的接入网标识，和/或接入网标识对应的服务网络名称，SUPI包括在第二认证响应消息中，接入网设备为终端设备连接的接入网设备。

在该实现方式中，在AUSF确定UE针对NSWO业务认证成功之后，可以向计费NF通知认证成功的UE和/或认证成功UE接入的AN设备，以便计费NF后续针对UE或AN设备完成计费。

第五方面，提供了一种NSWO业务的认证方法，包括：接收AUSF发送的第二认证请求消息，第二认证请求消息包括SUCI；根据SUCI计算得到SUPI；根据第二认证请求消息确定采用EAP AKA’认证方式；根据SUPI得到第一EAP AKA’认证向量；向AUSF发送第二认证响应消息，第二认证响应消息包括第二EAP AKA’认证向量。

第五方面提供的NSWO业务的认证方法，可以应用于UDM。完整的NSWO业务认证流程涉及的网元包括UE、AN设备、NSWO网元、AUSF和UDM。在针对NSWO业务的认证流程中，UDM确定采用EAP AKA’认证方式，避免了如果选择5G AKA认证方式而导致的认证失败，实现了在5G等网络中针对NSWO业务的认证。

一种可能的实现方式中，根据第二认证请求消息确定采用EAP AKA’认证方式，包括下列中的至少一种情况：在确定第二认证请求消息为新增UDM服务对应的请求消息时，确定进行针对NSWO业务的认证，新增UDM服务用于指示进行针对NSWO业务的认证；根据第二认证请求消息中的第二信息确定采用EAP AKA’认证方式，其中，第二信息包括下列中的至少一种：第二信息为NSWO指示信息，NSWO指示信息用于指示进行针对NSWO业务的认证；第二信息为SUCI，SUCI用于指示进行针对NSWO业务的认证；第二信息为算法指示信息，算法指示信息用于指示进行EAP AKA’认证。

一种可能的实现方式中，SUCI中包括的SUPI的类型用于指示进行针对NSWO业务的认证；和/或，SUCI包括业务指示信息，业务指示信息用于指示进行针对NSWO业务的认证。

一种可能的实现方式中，第二EAP AKA’认证向量不包括密钥CK’和密钥IK’。

在该实现方式中，通过将密钥CK’和密钥IK’移除，不发送给AUSF，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响现有认证流程中UE或AUSF已生成的相关密钥。

一种可能的实现方式中，第二认证请求消息还包括接入网设备的第二标识信息，接入网设备为终端设备连接的接入网设备；第二标识信息包括：第一信息或第一认证请求消息中携带的第一标识信息；第一认证请求消息为NSWO网元发送给AUSF的消息；若第一认证请求消息中携带的第一标识信息为接入网设备的接入网标识，则第一信息为接入网标识对应的服务网络名称；若第一认证请求消息中未携带第一标识信息，则第一信息为预设 接入网标识或预设服务网络名称；预设接入网标识或预设服务网络名称均用于指示进行针对NSWO业务的认证。

一种可能的实现方式中，第二认证请求消息为UE认证的得到服务请求消息，第二认证响应消息为UE认证的得到服务响应消息。

一种可能的实现方式中，第二认证请求消息和第二认证响应消息均为新增UDM服务对应的消息，新增UDM服务用于指示执行针对NSWO业务的认证。

在该实现方式中，UDM可以直接根据新增UDM服务确定执行针对NSWO业务的认证。

一种可能的实现方式中，方法还包括：接收AUSF发送的第一NSWO认证结果，第一NSWO认证结果包括SUPI，和/或接入网设备的接入网标识，和/或接入网标识对应的服务网络名称，接入网设备为终端设备连接的接入网设备，第一NSWO认证结果用于指示终端设备针对NSWO业务的认证成功。

一种可能的实现方式中，第一NSWO认证结果还包括认证指示信息，认证指示信息用于指示终端设备针对NSWO业务的认证成功。

一种可能的实现方式中，第一NSWO认证结果包含在UE认证结果确认消息中。

第六方面，提供一种装置，包括：用于执行以上任一方面中各个步骤的单元或手段(means)。

第七方面，提供一种通信装置，通信装置包括处理器、存储器和收发器；收发器用于和其他设备通信，处理器用于读取存储器中的指令并根据指令使得通信装置执行以上任一方面提供的方法。

第八方面，提供一种程序，该程序在被处理器执行时用于执行以上任一方面提供的方法。

第九方面，提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当指令在计算机或处理器上运行时，实现以上任一方面提供的方法。

第十方面，提供一种程序产品，所述程序产品包括计算机程序，所述计算机程序存储在可读存储介质中，设备的至少一个处理器可以从所述可读存储介质读取所述计算机程序，所述至少一个处理器执行所述计算机程序使得该设备实施以上任一方面提供的方法。

附图说明

图1为本申请实施例提供的4G网络的一种架构图；

图2为本申请实施例提供的5G网络的一种架构图；

图3为本申请实施例提供的NSWO业务的认证方法中涉及的消息示意图；

图4为本申请实施例提供的NSWO业务的认证方法的一种消息交互图；

图5为本申请实施例提供的NSWO业务的认证方法的另一种消息交互图；

图6为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图；

图7为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图；

图8为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图；

图9为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图；

图10为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图；

图11为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图；

图12为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图；

图13为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图；

图14为本申请实施例提供的通信装置的一种结构示意图；

图15为本申请实施例提供的通信设备的一种结构示意图。

具体实施方式

下面结合附图描述本申请实施例。

本申请实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。本申请实施例中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

本申请实施例提供的NSWO业务的认证方法，适用于5G网络中终端设备进行NSWO业务时的认证流程。首先，对NSWO业务、4G网络架构和5G网络构架进行说明。

3GPP组织为了实现3GPP网络和无线局域网(wireless local area network，WLAN)的互操作功能，定义了一系列标准文件和网络架构。在不改变现有3GPP网络和WLAN网络架构的前提下引入了3GPP AAA相关设备，实现了基于3GPP网络的接入控制和认证，从而，用户设备(user equipment，UE)可以通过WLAN网络访问分组交换域(packet switching domain，PS)业务。

示例性的，图1为本申请实施例提供的4G网络的一种架构图。如图1所示，4G网络包括：非3GPP网络(non-3GPP networks)、拜访公用陆地移动网(visited public land mobile network，VPLMN)和本地公用陆地移动网(home public land mobile network，HPLMN)。非3GPP网络包括：UE、可信非3GPP接入网(trusted non-3GPP access network)设备和非可信非3GPP接入网(untrusted non-3GPP access network)设备。VPLMN包括：3GPP AAA代理(3GPP AAA proxy)。HPLMN包括：3GPP AAA服务器和归属签约用户服务器(home subscriber server，HSS)。各个设备的功能描述参见表1。

表1

需要说明，本申请实施例对4G网络包括的其他设备不做限定。

4G网络支持NSWO业务。示例性的，如图1中的虚线所示，NSWO业务是指UE进行PS业务的数据可以通过AN设备分流，直接接入因特网(internet)。

AN设备在确定是否为UE执行NSWO业务之前，UE和网络侧需要完成针对NSWO业务的认证。如图1所示，可以通过可信非3GPP接入网设备、3GPP AAA代理、3GPP AAA服务器和HSS完成对UE的认证；或者，可以通过非可信非3GPP接入网设备、3GPP AAA代理、3GPP AAA服务器和HSS完成对UE的认证。如果对UE的认证成功，HSS和3GPP AAA server将用于指示认证成功的认证结果发送给AN设备，从而AN设备为UE执行NSWO业务。例如，AN设备为UE分配外网的网络之间互连协议(internet protocol，IP)地址，使得UE可以连接因特网。上述认证过程可以理解为：AN设备借助运营商完成了对于UE的认证。当运营商认证UE成功之后，确定UE为运营商的合法用户，AN设备才会为UE提供NSWO业务。

目前，在4G网络中，认证过程基于的密钥为UE在3GPP网络接入认证时使用的密钥，例如，全球用户标识模块(universal subscriber identity module，USIM)内保存的密钥。认证算法包括可扩展认证协议/认证和密钥协商(extensible authentication protocol-authentication and key agreement，EAP-AKA)认证算法和EAP-AKA’认证算法。

随着通信技术的发展，5G网络也将支持NSWO业务。示例性的，图2为本申请实施例提供的5G网络的一种架构图。

如图2所示，5G网络包括：UE、AN设备、NSWO网元、鉴权服务器功能(authentication server function，AUSF)和统一数据管理(unified data management，UDM)。各个设备的功能描述参见表2。

表2

需要说明，本申请实施例对5G网络包括的其他设备不做限定。

可见，5G网络和4G网络的设备可能不同。例如，如图1和图2所示，5G网络中可能没有3GPP AAA服务器。而且，5G网络和4G网络支持的认证算法也不同。4G网络支持EAP-AKA认证算法和EAP-AKA’认证算法，5G网络支持EAP-AKA’认证算法和5G AKA认证算法。5G AKA认证算法不适用于NSWO业务场景下现有AN设备的接入认证。因此，本申请实施例提供了一种适用于5G网络中UE进行NSWO业务时的认证流程。

本申请实施例提供的NSWO业务的认证方法，涉及的网元较多，网元间交互的消息较多。为了便于理解，对各个网元之间的交互消息进行简单说明。示例性的，图3为本申请实施例提供的NSWO业务的认证方法的一种消息交互图。需要说明，图3并不对交互消息的名称形成限定。如图3所示，涉及的消息包括：

1、UE启动认证阶段中的消息

在UE启动认证阶段，UE与AN设备需要确定相互支持NSWO业务。可选的，可以由UE启动针对NSWO业务的认证。例如，UE确定进行NSWO业务时，可以发起针对NSWO业务的认证。可选的，可以由AN设备触发UE启动针对NSWO业务的认证。

UE启动认证阶段的消息可以包括连接建立请求消息、第一请求消息、第一响应消息或广播消息中的至少一个。后续通过图6～图9进行详细说明。

2、第二请求消息

AN设备向NSWO网元发送的消息，用于请求针对NSWO业务的认证，其中包括UE的订阅隐藏标识符(subscription concealed identifier，SUCI)。

可选的，第二请求消息可以为AAA消息。

3、第一认证请求消息、第一认证响应消息

第一认证请求消息和第一认证响应消息为NSWO网元与AUSF之间的一对交互消息。第一认证请求消息和第一认证响应消息分别为AUSF服务对应的请求消息和响应消息。

可选的，AUSF服务为已有服务。例如，已有AUSF服务为UE认证的认证服务(Nausf_UEAuthentication_Authenticate)。第一认证请求消息为UE认证的认证服务请求消息(Nausf_UEAuthentication_Authenticate request)，第一认证响应消息为UE认证的认证服务响应消息(Nausf_UEAuthentication_Authenticate response)。

可选的，AUSF服务可以为新增服务，新增AUSF服务用于指示进行针对NSWO业务的认证。本申请实施例对新增AUSF服务的名称、新增AUSF服务中请求消息和响应消息的名称不做限定。例如，新增AUSF服务的名称可以为UE认证的NSWO认证服务(Nausf_UEAuthentication_NSWO_Authenticate)。第一认证请求消息可以称为UE认证的NSWO认证服务请求消息(Nausf_UEAuthentication_NSWO_Authenticate request)，第一认证响应消息可以称为UE认证的NSWO认证服务响应消息(Nausf_UEAuthentication_NSWO_Authenticate response)。

4、第二认证请求消息、第二认证响应消息

第二认证请求消息和第二认证响应消息为AUSF与UDM之间的一对交互消息。第二认证请求消息和第二认证响应消息分别为UDM服务对应的请求消息和响应消息。

可选的，UDM服务为已有服务。例如，已有UDM服务为UE认证的得到服务(Nudm_UEAuthentication_Get)。第二认证请求消息为UE认证的得到服务请求消息 (Nudm_UEAuthentication_Get request)，第二认证响应消息为UE认证的得到服务响应消息(Nudm_UEAuthentication_Get response)。

可选的，UDM服务可以为新增服务，新增UDM服务用于指示进行针对NSWO业务的认证。本申请实施例对新增UDM服务的名称、新增UDM服务中请求消息和响应消息的名称不做限定。例如，新增UDM服务的名称可以为UE认证的NSWO认证服务(Nudm_UEAuthentication_NSWO_Authenticate)。第二认证请求消息可以称为UE认证的NSWO认证服务请求消息(Nudm_UEAuthentication_NSWO_Authenticate request)，第二认证响应消息可以称为UE认证的NSWO得到服务认证消息(Nudm_UEAuthentication_NSWO_Authenticate response)。

5、第三认证请求消息、第四认证请求消息

第三认证请求消息和第四认证请求消息为UE与NSWO网元之间通过AN设备传输的认证相关消息，用于UE对网络进行认证校验。

6、第五认证请求消息

NSWO网元向AUSF发送的消息，用于AUSF对UE进行认证校验。

7、第一消息、第二消息

AUSF向NSWO网元发送第一消息，其中携带EAP认证结果。NSWO网元向AN设备发送第二消息，其中携带EAP认证结果。EAP认证结果用于向AN设备通知认证成功或者认证失败。

需要说明，本申请实施例对第一消息和第二消息包括的内容不做限定，对EAP认证结果的实现方式不做限定。可以为现有EAP-AKA’认证流程中的相关消息。

8、NSWO业务指示消息、拒绝消息

如果EAP认证结果指示认证成功，AN设备可以执行NSWO业务的操作。例如，为UE分配访问外网的IP地址。AN设备向UE发送NSWO业务指示消息。可选的，NSWO业务指示消息可以包括下列中的至少一项：IP地址、NSWO授权指示或认证成功指示。

如果EAP认证结果指示认证失败，AN设备向UE发送拒绝消息，用于指示拒绝UE使用NSWO业务的请求。

需要说明，本申请实施例对NSWO业务指示消息和拒绝消息包括的内容不做限定，可以为现有EAP-AKA’认证流程中的相关消息。

下面，对本申请实施例涉及的概念进行说明。

1、订阅永久标识符(subscription permanent identifier，SUPI)

在5G网络中，UE的真实身份可以称为SUPI，类似于国际移动用户标识(international mobile subscriber identity，IMSI)。通常，SUPI不会出现在空口上，空口是指UE与网络设备之间的无线接口。

2、SUCI

SUCI为UE采用密钥对SUPI加密并且封装后得到的密文，可以在空口传输。相应的，网络设备可以对SUCI进行解密获得SUPI，从而确定UE的身份。

可选的，SUCI为网络访问标识符(network access identifier，NAI)格式。

可选的，在一种实现方式中，SUCI可以为现有的根据SUPI生成的SUCI，例如，5G 网络中使用的SUCI。

可选的，在另一种实现方式中，SUCI用于指示进行针对NSWO业务的认证。在该实现方式中，AN设备、NSWO网元、AUSF或UDM可以根据SUCI确定执行针对NSWO业务的认证。

可选的，SUCI中包括的SUPI的类型用于指示进行针对NSWO业务的认证。

目前，SUPI的类型可以参见表3。SUPI的类型取值为4-7时为预留类型。在该实现方式中，针对NSWO业务可以定义一种新的SUPI类型，通过新定义的SUPI的类型指示进行针对NSWO业务的认证。可选的，新定义的SUPI的类型的取值可以为4到7中的任一数值。

表3

SUPI的类型	描述
0	IMSI
1	网络特定标识符(network specific identifier，NSI)
2	全局行标识符(global line identifier，GLI)
3	全局电缆标识符(global cable identifier，GCI)
4-7	预留

例如：定义typeX用来指示NSWO业务。一个NAI形式的SUCI的示例为：typoX.rid678.schid1.hnkey27.ecckey<ECC ephemeral public key>.cip<encryption of user17>.mac<MAC tag value>@example.com)。可选的，X的取值可以为4到7中的任一数值。

可选的，SUCI包括业务指示信息，业务指示信息用于指示进行针对NSWO业务的认证。

通过示例进行说明。例如，一个NAI形式的SUCI的示例为：type0.NSWO指示.rid678.schid1.hnkey27.ecckey<ECC ephemeral public key>.cip<encryption of user17>.mac<MAC tag value>@example.com)。其中，NSWO指示即为业务指示信息。

3、NSWO指示信息

NSWO指示信息用于指示进行针对NSWO业务的认证。可选的，NSWO指示信息可以携带在图3中下列至少一个消息中：UE启动认证阶段中的消息、第二请求消息、第一认证请求消息或第二认证请求消息。

在通信过程中，设备A接收到消息后，可以将该消息发送给设备B。可选的，设备A可以不对消息进行处理，将消息透传至设备B。可选的，设备A可以对消息进行处理，将处理后的消息发送至设备B。根据不同设备的处理方式，NSWO指示信息可以进一步细化，包括：

第一NSWO指示信息，在UE启动认证阶段由UE生成且发送给AN设备的NSWO指示信息。

第二NSWO指示信息，在UE启动认证阶段由AN设备生成且发送给UE的NSWO指示信息，用于向UE通知AN设备支持NSWO业务。

第三NSWO指示信息，AN设备在第二请求消息中添加的NSWO指示信息。

第四NSWO指示信息，NSWO网元在第一认证请求消息中添加的NSWO指示信息。

第五NSWO指示信息，AUSF在第二认证请求消息中添加的NSWO指示信息。

4、第一EAP AKA’认证向量和第二EAP AKA’认证向量

UDM接收第二认证请求消息后，如果确定采用EAP-AKA’认证算法，则计算EAP-AKA’认证向量，称为第一EAP AKA’认证向量(RAND,AUTN,XRES,CK’,IK’)。第一EAP AKA’认证向量包括密钥CK’和密钥IK’。

UDM向AUSF发送第二认证响应消息，第二认证响应消息包括第二EAP AKA’认证向量。可选的，第二EAP AKA’认证向量为第一EAP AKA’认证向量。可选的，第二EAP AKA’认证向量为第一EAP AKA’认证向量中删除密钥CK’和密钥IK’后的部分，即(RAND,AUTN,XRES)。

下面通过具体的实施例对本申请的技术方案进行详细说明。下面的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。

为了便于理解，本申请各实施例中相同的步骤采用相同的步骤编号。

需要说明，AN设备与AN具有相同含义。

需要说明，本申请各实施例中接入网标识(AN ID)与服务网络名称(serving network name)可以等同。

图4为本申请实施例提供的NSWO业务的认证方法的一种消息交互图。本实施例提供的NSWO业务的认证方法，执行主体涉及UE、AN设备、NSWO网元、AUSF和UDM。如图4所示，本实施例提供的NSWO业务的认证方法，可以包括：

步骤1、在UE确定进行NSWO业务后，UE向AN设备发送SUCI。相应的，AN设备接收UE发送的SUCI。

本步骤涉及图3中的UE启动认证阶段。其中，SUCI可以参见上面描述，此处不再赘述。UE向AN设备发送SUCI，启动了针对NSWO业务的认证流程。

可选的，UE还可以向AN设备发送第一NSWO指示信息，第一NSWO指示信息用于指示进行针对NSWO业务的认证。相应的，AN设备还可以接收UE发送的第一NSWO指示信息。

通过发送第一NSWO指示信息，使得AN设备根据第一NSWO指示信息确定需要进行针对NSWO业务的认证，便于区分不同的认证流程。

可选的，第一NSWO指示信息和SUCI可以分别在不同的消息中；或者，第一NSWO指示信息和SUCI可以在一条消息中。

通过一条消息同时发送第一NSWO指示信息和SUCI，或者通过不同的消息分别发送第一NSWO指示信息和SUCI，提高了消息流程的多样性。当通过一条消息同时发送第一NSWO指示信息和SUCI时，减少了空口消息数量。

需要说明，本实施例对携带SUCI和/或第一NSWO指示信息的消息类型和消息名称不做限定。例如，消息类型可以为EAP消息。

步骤2、AN设备根据SUCI确定NSWO网元的地址。

具体的，AN设备接收UE发送的SUCI后，若确定执行针对NSWO业务的认证，则根据SUCI确定NSWO网元的地址。

其中，AN设备确定执行针对NSWO业务的认证，可选的，在一种实现方式中，若AN设备默认支持NSWO业务，则接收UE发送的SUCI时确定需要执行针对NSWO业务的认证。可选的，在另一种实现方式中，若SUCI指示进行针对NSWO业务的认证，则确定执行针对NSWO业务的认证。可选的，在又一种实现方式中，若AN设备还接收到第一NSWO指示信息，则根据第一NSWO指示信息确定执行针对NSWO业务的认证。

可选的，AN设备根据SUCI确定NSWO网元的地址，在一种实现方式中，可以包括：

AN设备从SUCI中获取目标网络标识和/或目标路由标识。其中，目标网络标识为UE所在归属网络的标识，例如，移动国家码(mobile country code，MCC)和移动网络码(mobile network code，MNC)。目标路由标识(routing ID)用于进一步选择UE认证相关网元，例如AUSF和/或UDM的选择。

AN设备根据网络标识和/或路由标识与NSWO网元地址之间的映射关系，获取目标网络标识和/或目标路由标识对应的NSWO网元的地址。

在该实现方式中，AN设备本地可以存储网络标识和/或路由标识与NSWO网元地址之间的映射关系。可选的，网络标识和/或路由标识与NSWO网元地址之间的映射关系可以包括下列中至少一项：网络标识与NSWO网元地址之间的映射关系，路由标识与NSWO网元地址之间的映射关系，或者，网络标识、路由标识与NSWO网元地址三者之间的映射关系。实现简单。

可选的，AN设备根据SUCI确定NSWO网元的地址，在另一种实现方式中，可以包括：

AN设备从SUCI中获取目标网络标识和/或目标路由标识。

AN设备向第一地址管理网元发送目标网络标识和/或目标路由标识。

AN设备接收第一地址管理网元发送的NSWO网元的地址。

在该实现方式中，AN设备本地可以不用存储网络标识和/或路由标识与NSWO网元地址之间的映射关系。通过向第一地址管理网元发送目标网络标识和/或目标路由标识，从第一地址管理网元获取NSWO网元的地址。其中，本实施例对第一地址管理网元的名称不做限定。可选的，第一地址管理网元本地可以存储网络标识和/或路由标识与NSWO网元地址之间的映射关系。

步骤3、AN设备根据NSWO网元的地址向NSWO网元发送第二请求消息，第二请求消息包括SUCI。相应的，NSWO网元接收AN设备发送的第二请求消息。

可选的，第二请求消息还可以包括NSWO指示信息。可选的，NSWO指示信息可以包括下列至少一个：第一NSWO指示信息或第三NSWO指示信息。即，NSWO指示信息为第一NSWO指示信息；或者，NSWO指示信息为第三NSWO指示信息；或者，NSWO指示信息包括第一NSWO指示信息和第三NSWO指示信息。第一NSWO指示信息和第三NSWO指示信息可以参见本申请上面描述，此处不再赘述。例如，UE向AN设备发送EAP-RSP消息，其中携带SUCI。EAP-RSP消息中可以包括第一NSWO指示信息，也可以不包括第一NSWO指示信息。AN设备接收到EAP-RSP消息后，可以在EAP-RSP消息之外添加第三NSWO指示信息。

通过在第二请求消息中携带NSWO指示信息，使得NSWO网元根据NSWO指示信息确定需要进行针对NSWO业务的认证，便于区分不同的认证流程。

可选的，第二请求消息还可以包括AN设备的接入网标识(AN ID)。可选的，AN ID用于后续NSWO网元向AUSF发送AN设备的第一标识信息，详见步骤5。

步骤4、NSWO网元根据第二请求消息确定进行针对NSWO业务的认证。

可选的，在一种实现方式中，默认AN设备支持NSWO业务，当从AN设备接收第二请求消息时可以确定进行针对NSWO业务的认证。

可选的，在另一种实现方式中，默认NSWO网元支持NSWO业务，当从AN设备接收第二请求消息时可以确定进行针对NSWO业务的认证。

可选的，在又一种实现方式中，可以根据第二请求消息中包括的NSWO指示信息，确定进行针对NSWO业务的认证。其中，第二请求消息中包括的NSWO指示信息可以参见步骤3中的相关描述，此处不再赘述。

可选的，在又一种实现方式中，可以根据SUCI确定进行针对NSWO业务的认证。在该实现方式中，SUCI用于指示进行针对NSWO业务的认证。

可选的，在又一种实现方式中，可以根据第二请求消息确定AN设备的地址或接入网标识，在根据AN设备的地址或接入网标识确定AN设备支持NSWO业务后，确定进行针对NSWO业务的认证。

可选的，在又一种实现方式中，NSWO网元透传第二请求消息，当从AN设备接收第二请求消息时可以确定进行针对NSWO业务的认证。

步骤5、NSWO网元向AUSF发送第一认证请求消息，第一认证请求消息包括SUCI。相应的，AUSF接收NSWO网元发送的第一认证请求消息。

具体的，NSWO网元确定执行针对NSWO业务的认证后，可以根据SUCI确定AUSF的地址，NSWO网元根据AUSF的地址向AUSF发送第一认证请求消息。

可选的，NSWO网元根据SUCI确定AUSF的地址，在一种实现方式中，可以包括：

NSWO网元从SUCI中获取目标网络标识和/或目标路由标识。其中，目标网络标识可以参见步骤2中的相关描述。目标路由标识(routing ID)用于确定AUSF或UDM的地址。

NSWO网元根据网络标识和/或路由标识与AUSF地址之间的映射关系，获取目标网络标识和/或目标路由标识对应的AUSF的地址。

在该实现方式中，NSWO网元本地可以存储网络标识和/或路由标识与AUSF地址之间的映射关系。可选的，网络标识和/或路由标识与AUSF地址之间的映射关系可以包括下列中至少一项：网络标识与AUSF地址之间的映射关系，路由标识与AUSF地址之间的映射关系，或者，网络标识、路由标识与AUSF地址三者之间的映射关系。实现简单。

可选的，NSWO网元根据SUCI确定AUSF的地址，在另一种实现方式中，可以包括：

NSWO网元从SUCI中获取目标网络标识和/或目标路由标识。

NSWO网元向第二地址管理网元发送目标网络标识和/或目标路由标识。

NSWO网元接收第二地址管理网元发送的AUSF的地址。

在该实现方式中，NSWO网元本地可以不用存储网络标识和/或路由标识与AUSF地址之间的映射关系。通过向第二地址管理网元发送目标网络标识和/或目标路由标识，从第二地址管理网元获取AUSF的地址。其中，本实施例对第二地址管理网元的名称不做限定。可选的，第二地址管理网元本地可以存储网络标识和/或路由标识与AUSF地址之间的映射关系。

可选的，第一认证请求消息还可以包括NSWO指示信息。可选的，NSWO指示信息可以包括下列至少一个：第一NSWO指示信息或第四NSWO指示信息。即，NSWO指示信息为第一NSWO指示信息；或者，NSWO指示信息为第四NSWO指示信息；或者，NSWO指示信息包括第一NSWO指示信息和第四NSWO指示信息。第一NSWO指示信息和第四NSWO指示信息可以参见本申请上面描述，此处不再赘述。

通过在第一认证请求消息中携带NSWO指示信息，使得AUSF根据NSWO指示信息确定需要进行针对NSWO业务的认证，便于区分不同的认证流程。

可选的，第一认证请求消息还可以包括AN设备的第一标识信息。第一标识信息用于后续AUSF向UDM发送AN设备的第二标识信息，详见步骤7。

可选的，第一标识信息可以为下列中的一项：

(1)第二请求消息中携带的AN设备的接入网标识(AN ID)。在该实现方式中，NSWO网元将AN设备发送的AN ID发送给AUSF。

(2)AN设备的接入网标识对应的服务网络名称(serving network name)。在该实现方式中，NSWO网元可以将获得的AN ID转换为serving network name后发送给AUSF。

(3)根据AN设备的相关信息确定的接入网标识。在该实现方式中，NSWO网元本地存储有AN设备的相关信息，通过相关信息确定接入网标识后发送给AUSF。本实施例对相关信息的具体内容不做限定。

(4)预设接入网标识，用于指示进行针对NSWO业务的认证。

(5)预设服务网络名称，用于指示进行针对NSWO业务的认证。

可选的，第一认证请求消息可以为已有AUSF服务对应的请求消息，可以参见本申请上面描述，此处不再赘述。在该实现方式中，第一认证请求消息包括用于指示AUSF进行针对NSWO业务的认证的信息。可选的，该信息可以包括SUCI或NSWO指示信息中的至少一个。

可选的，第一认证请求消息可以为新增AUSF服务对应的请求消息，可以参见本申请上面描述，此处不再赘述。在该实现方式中，新增AUSF服务直接指示AUSF进行针对NSWO业务的认证。可选的，第一认证请求消息可以不包括用于指示AUSF进行针对NSWO业务的认证的信息。例如，第一认证请求消息不包括NSWO指示信息，且SUCI可以为现有5G网络中使用的SUCI。可选的，第一认证请求消息也可以包括用于指示AUSF进行针对NSWO业务的认证的信息。可选的，该信息可以包括SUCI或NSWO指示信息中的至少一个。

步骤6、AUSF根据第一认证请求消息确定进行针对NSWO业务的认证。

可选的，在一种实现方式中，默认NSWO网元支持NSWO业务，当从NSWO网元接收第一认证请求消息时可以确定进行针对NSWO业务的认证。

可选的，在另一种实现方式中，默认AUSF支持NSWO业务，当从NSWO网元接收第一认证请求消息时可以确定进行针对NSWO业务的认证。

可选的，在又一种实现方式中，可以根据第一认证请求消息中包括的NSWO指示信息，确定进行针对NSWO业务的认证。其中，第一认证请求消息中包括的NSWO指示信息可以参见步骤5中的相关描述，此处不再赘述。

可选的，在又一种实现方式中，可以根据SUCI确定进行针对NSWO业务的认证。在 该实现方式中，SUCI用于指示进行针对NSWO业务的认证。

可选的，在又一种实现方式中，在确定第一认证请求消息为新增AUSF服务对应的请求消息时，确定进行针对NSWO业务的认证，新增AUSF服务用于指示进行针对NSWO业务的认证。例如，第一认证请求消息为Nausf_UEAuthentication_NSWO_Authenticate request时，AUSF确定进行针对NSWO业务的认证。

可选的，在又一种实现方式中，可以根据第一认证请求消息确定NSWO网元的类型或地址，在根据NSWO网元的类型或地址确定NSWO网元支持NSWO业务后，确定进行针对NSWO业务的认证。

步骤7、AUSF向UDM发送第二认证请求消息，第二认证请求消息包括SUCI。相应的，UDM接收AUSF发送的第二认证请求消息。

具体的，AUSF确定执行针对NSWO业务的认证后，可以向UDM发送第二认证请求消息。

可选的，第二认证请求消息还可以包括NSWO指示信息。可选的，NSWO指示信息可以包括下列至少一个：第一NSWO指示信息或第五NSWO指示信息。即，NSWO指示信息为第一NSWO指示信息；或者，NSWO指示信息为第五NSWO指示信息；或者，NSWO指示信息包括第一NSWO指示信息和第五NSWO指示信息。第一NSWO指示信息和第五NSWO指示信息可以参见本申请上面描述，此处不再赘述。

通过在第二认证请求消息中携带NSWO指示信息，使得UDM根据NSWO指示信息确定需要进行针对NSWO业务的认证，便于区分不同的认证流程。

可选的，第二认证请求消息还可以包括AN设备的第二标识信息，该AN设备为UE连接的AN设备。第二标识信息可以用于后续UDM计算第一EAP-AKA’认证向量，详见步骤10。

可选的，第二标识信息可以为下列中的一项：

(1)第一认证请求消息中携带的第一标识信息。可以参见步骤5中的相关描述，此处不再赘述。在该实现方式中，AUSF将NSWO网元发送的第一标识信息直接发送给UDM。

(2)第一信息。

可选的，在一种实现方式中，若第一认证请求消息中携带的第一标识信息为AN设备的接入网标识，则第一信息为接入网标识对应的服务网络名称(serving network name)。在该实现方式中，NSWO网元发送给AUSF的第一标识信息为接入网标识(AN ID)，AUSF可以将获得的AN ID转换为serving network name后发送给UDM。

可选的，在另一种实现方式中，若第一认证请求消息中未携带第一标识信息，则第一信息为预设接入网标识或预设服务网络名称。预设接入网标识或预设服务网络名称均用于指示进行针对NSWO业务的认证。

可选的，第二认证请求消息可以为已有UDM服务对应的请求消息，可以参见本申请上面描述，此处不再赘述。在该实现方式中，第二认证请求消息包括用于指示UDM进行针对NSWO业务的认证的信息。可选的，该信息可以包括SUCI或NSWO指示信息中的至少一个。

可选的，第二认证请求消息可以为新增UDM服务对应的请求消息，可以参见本申请上面描述，此处不再赘述。在该实现方式中，新增UDM服务直接指示UDM进行针对NSWO 业务的认证。可选的，第二认证请求消息可以不包括用于指示UDM进行针对NSWO业务的认证的信息。例如，第二认证请求消息不包括NSWO指示信息，且SUCI可以为现有5G网络中使用的SUCI。可选的，第二认证请求消息也可以包括用于指示UDM进行针对NSWO业务的认证的信息。可选的，该信息可以包括SUCI或NSWO指示信息中的至少一个。

步骤8、UDM根据SUCI计算得到SUPI。

本步骤可以采用现有实现方式，不做具体说明。

步骤9、UDM根据第二认证请求消息确定采用EAP AKA’认证方式。

可选的，在一种实现方式中，默认AUSF支持NSWO业务，当从AUSF接收第二认证请求消息时可以确定进行针对NSWO业务的认证。

可选的，在另一种实现方式中，在确定第二认证请求消息为新增UDM服务对应的请求消息时，确定进行针对NSWO业务的认证，新增UDM服务用于指示进行针对NSWO业务的认证。例如，当第二认证请求消息为Nudm_UEAuthentication_NSWO_Authenticate request时，UDM确定进行针对NSWO业务的认证。

可选的，在又一种实现方式中，UDM可以根据第二认证请求消息中的第二信息确定采用EAP AKA’认证方式。其中，第二信息包括下列中的至少一种：

(1)第二信息为NSWO指示信息，NSWO指示信息用于指示进行针对NSWO业务的认证。其中，第二认证请求消息中包括的NSWO指示信息可以参见步骤7中的相关描述，此处不再赘述。

(2)第二信息为SUCI，SUCI用于指示进行针对NSWO业务的认证。

可见，在5G网络中对UE针对NSWO业务进行认证的场景中，由于AN设备支持EAP AKA认证方式和EAP AKA’认证方式，而5G网络支持EAP-AKA’认证方式和5G AKA认证方式，通过UDM确定采用EAP AKA’认证方式，避免了选择5G AKA认证方式时导致的认证失败，实现了5G网络中针对NSWO业务的认证流程。

可选的，UDM确定UE希望使用NSWO业务，UDM根据SUPI确定UE的订阅数据，根据订阅数据校验UE是否被允许使用NSWO业务。若允许，则继续执行；否则UDM发送拒绝消息至AUSF，再由AUSF发送拒绝消息至NSWO网元，之后NSWO网元发送拒绝消息至AN设备。拒绝消息携带指示，指示UE未被授权使用NSWO业务。根据此拒绝消息，AN设备拒绝UE的NSWO业务请求，或者通知UE不被允许使用NSWO业务，或者不被允许在此AN ID或serving network name对应的网络内使用NSWO业务。

可选的，UDM确定UE希望使用NSWO业务，UDM根据SUPI确定UE的订阅数据，根据订阅数据和AN ID或serving network name校验UE是否被允许在此AN ID或serving network name对应的网络内使用NSWO业务。若允许，则继续执行；否则UDM发送拒绝消息至AUSF，再由AUSF发送拒绝消息至NSWO网元，之后NSWO网元发送拒绝消息至AN设备。拒绝消息携带指示，指示UE未被授权在AN ID或serving network name对应的网络内使用NSWO业务。根据根据此拒绝消息，AN设备拒绝UE的NSWO业务请求，或者通知UE不被允许使用NSWO业务，或者不被允许在此AN ID或serving network name对应的网络内使用NSWO业务。

步骤10、UDM根据SUPI得到第一EAP AKA’认证向量(RAND,AUTN,XRES,CK',IK')。

具体的，UDM确定采用EAP AKA’认证方式后，可以根据SUPI和AN设备的标识信息得到EAP AKA’认证向量，称为第一EAP AKA’认证向量。AN设备具体为UE接入的AN设备。第一EAP AKA’认证向量包括密钥CK’和密钥IK’。

可选的，UDM计算第一EAP AKA’认证向量时使用的AN设备的标识信息，可以为下列中的一项：

(1)第二认证请求消息中携带的AN设备的第二标识信息，可以参见步骤7中的相关描述，此处不再赘述。

(2)若第二认证请求消息中未携带AN设备的第二标识信息，则为预设接入网标识或服务网络标识。预设接入网标识或预设服务网络标识用于指示进行针对NSWO业务的认证。

(3)若第二认证请求消息中未携带AN设备的第二标识信息，则为预设服务网络名称或预设服务网络名称。预设服务网络名称或预设服务网络名称用于指示进行针对NSWO业务的认证。

步骤11、UDM向AUSF发送第二认证响应消息，第二认证响应消息包括第二EAP AKA’认证向量。相应的，AUSF接收UDM发送的第二认证响应消息。

其中，第二EAP AKA’认证向量为第一EAP AKA’认证向量删除密钥CK’和密钥IK’后的部分(RAND,AUTN,XRES)。即，第二EAP AKA’认证向量不包括密钥CK’和密钥IK’。

具体的，UE进行NSWO业务时，需要进行针对NSWO业务的认证。UE进行非NSWO业务时，可以进行其他认证流程，例如，基于SIM卡的认证流程。通过将第一EAP AKA’认证向量中的密钥CK’和密钥IK’移除，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响现有认证流程中UE或AUSF已生成的相关密钥，确保了本实施例提供的认证流程适用于NSWO业务的认证。

其中，第二认证响应消息可以参见本申请上面描述，此处不再赘述。

可选的，第二认证响应消息还可以包括SUPI。

步骤12、AUSF根据第二认证响应消息向NSWO网元发送第一认证响应消息，第一认证响应消息为EAP AKA’认证算法对应的认证响应消息。相应的，NSWO网元接收AUSF发送的第一认证响应消息。

具体的，AUSF可以执行现有的EAP-AKA’认证流程，向NSWO网元发送第一认证响应消息，可以包括RAND,AUTN，本实施例不做具体说明。其中，第一认证响应消息不包括密钥CK’和密钥IK’。

可选的，第一认证响应消息可以包括可扩展认证协议/认证和密钥协商挑战(EAP/AKA-challenge)。

其中，第一认证响应消息可以参见本申请上面描述，此处不再赘述。

步骤13、NSWO网元根据第一认证响应消息通过AN设备向UE发送第三认证请求消息，第三认证请求消息为EAP AKA’认证算法对应的认证请求消息，可以包括RAND,AUTN。

相应的，UE通过AN设备接收NSWO网元发送的第三认证请求消息。

具体的，NSWO网元可以执行现有的EAP-AKA’认证流程，向UE发送第三认证请求消息，本实施例不做具体说明。

可选的，第三认证请求消息可以包括AUSF发送的EAP/AKA-challenge(RAND,AUTN)。

步骤14、UE使用EAP AKA'认证算法对网络进行认证校验。如基于RAND校验AUTN内MAC是否正确；如校验根据RAND和AUTN计算的SQN的新鲜性是否满足。对于RAND和AUTN的校验属于现有技术，不做限制。

具体的，UE可以执行现有的EAP-AKA’认证流程，使用EAP AKA'认证算法对网络进行认证校验。本实施例不做具体说明。

步骤15、UE在认证校验成功后，计算得到的RES，通过AN设备向NSWO网元发送第四认证请求消息，其中包括RES。相应的，NSWO网元通过AN设备接收UE发送的第四认证请求消息。

更进一步可选的实现方式包括：UE内分为USIM和ME两部分。ME可以理解为UE中不包括USIM的部分。其中USIM会执行RAND和AUTN的安全校验，当USIM校验成功后，USIM会计算得到CK，IK和RES，并且发送CK，IK和RES至ME。之后ME会执行针对CK、IK和RES对应的操作，如基于CK和IK计算CK’和IK’。

具体的，UE可以执行现有的EAP-AKA’认证流程，向NSWO网元发送第四认证请求消息，其中包括RES，本实施例不做具体说明。

可选的，第四认证请求消息可以包括EAP/AKA-challenge。

可选的，UE在步骤15中确认认证校验成功后，还可以包括下列中的一项：

(1)UE或ME计算密钥CK’和密钥IK’，之后删除密钥CK’和密钥IK’。在该实现方式中，UE虽然计算密钥CK’和密钥IK’，但之后删除，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响UE现有认证流程中生成的相关密钥，确保了本实施例提供的认证流程适用于NSWO业务的认证。

(2)UE或ME计算密钥CK’和密钥IK’，且不根据密钥CK’和密钥IK’计算密钥K _AUSF，之后删除密钥CK’和密钥IK’。在该实现方式中，UE虽然计算密钥CK’和密钥IK’，但没有计算密钥K _AUSF，而且删除了密钥CK’和密钥IK’，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响UE现有认证流程中生成的相关密钥。

(3)UE或ME计算密钥CK’和密钥IK’，且根据密钥CK’和密钥IK’计算密钥K _AUSF，之后删除密钥CK’和密钥IK’，且删除密钥K _AUSF。在该实现方式中，UE计算了密钥CK’、密钥IK’和密钥K _AUSF，但之后全部删除，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响UE现有认证流程中生成的相关密钥。

(4)UE或ME计算密钥CK’和密钥IK’，且根据密钥CK’和密钥IK’计算密钥K _AUSF，之后删除密钥CK’和密钥IK’，且不对UE本地存储的密钥K _AUSF进行替换。在该实现方式中，UE计算了密钥CK’、密钥IK’和密钥K _AUSF，但之后删除了密钥CK’和密钥IK’。虽然新生成了密钥K _AUSF，但并没有对UE本地已存储的密钥K _AUSF进行替换，可以理解为没有使用新生成的密钥K _AUSF，因此不会导致新生成的密钥影响UE现有认证流程中生成的相关密钥。

(5)UE或ME不计算密钥CK’和密钥IK’。在该实现方式中，UE不计算密钥CK’和密钥IK’，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响UE现有认证流程中生成的相关密钥。

可选的，ME发送K _AUSF至USIM，替换USIM卡内保存的旧K _AUSF。

(6)ME确定为NSWO业务的认证后，发送RAND和AUTN给USIM卡的同时还是 发送认证指示给USIM卡。认证指示可选的用来指示USIM卡在校验成功后，不需要发送CK和IK，或者指示USIM为仅认证的业务等。当USIM校验成功后，USIM根据此认证指示会仅计算RES，并发送RES至ME。或者USIM根据此认证指示不会计算CK和IK，或者即使计算了CK和IK，也不会发送CK和IK至ME。此时ME得不到CK和IK，也不会再根据CK和IK计算CK’和IK’。

(7)ME发送RAND和AUTN给USIM卡，USIM正常执行，并发送CK，IK和RES至ME。此时ME根据NSWO业务认证，可选的，ME可以将CK和IK丢弃，删除，或者不做额外的其他使用，例如基于CK和IK计算CK’和IK’。避免针对NSWO业务进行认证过程中新生成的密钥CK和密钥IK影响UE现有认证流程中生成的相关密钥，确保了本实施例提供的认证流程适用于NSWO业务的认证。

步骤16、NSWO网元根据第四认证请求消息向AUSF发送第五认证请求消息。相应的，AUSF接收NSWO网元发送的第五认证请求消息。

具体的，NSWO网元可以执行现有的EAP-AKA’认证流程，向AUSF发送第五认证请求消息，本实施例不做具体说明。

可选的，第五认证请求消息可以包括UE发送的EAP/AKA-challenge。

可选的，第五认证请求消息可以为Nausf_UEAuthentication_Authenticate request。

步骤17、AUSF根据第五认证请求消息进行针对UE的认证。如校验RES和XRES是否等同。如果等同，则校验成功；否则校验失败。

具体的，AUSF可以执行现有的EAP-AKA’认证流程，进行针对UE的认证，本实施例不做具体说明。

步骤18、AUSF在认证校验后，向NSWO网元发送第一消息。相应的，NSWO网元接收AUSF发送的第一消息。第一消息包括认证校验的结果。

步骤19、NSWO网元根据第一消息向AN设备发送第二消息。相应的，AN设备接收NSWO网元发送的第二消息。

步骤20、可选的，若认证校验成功，AN设备向UE发送NSWO业务指示消息。也可以为AN设备确认认证成功后，执行对应NSWO业务的操作。

步骤21、若认证校验失败，AN设备向UE发送拒绝消息。

其中，步骤17～步骤21为现有EAP-AKA’认证流程中的步骤，相关消息可以参见本申请上面描述，此处不再赘述。

可见，本实施例提供了一种适用于5G网络中UE进行NSWO业务时的认证流程，涉及的网元包括UE、AN设备、NSWO网元、AUSF和UDM。其中，UDM确定进行针对NSWO业务的认证后，确定采用EAP AKA’认证方式，避免了如果选择5G AKA认证方式而导致的认证失败。而且，UDM在采用EAP AKA’认证方式计算EAP AKA’认证向量后，将EAP AKA’认证向量中的密钥CK’和密钥IK’删除后再发送给AUSF，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响现有认证流程中UE或AUSF已生成的相关密钥，避免影响UE或AUSF的现有密钥架构。进一步的，UE在对网络进行认证校验成功后，可以不计算密钥CK’和密钥IK’，或者，将计算得到的密钥CK’和密钥IK’或密钥K _AUSF删除，或者，计算密钥K _AUSF后不将新生成的密钥K _AUSF替换本地已有的密钥K _AUSF，避免影响UE的现有密钥架构。

图5为本申请实施例提供的NSWO业务的认证方法的另一种消息交互图。本实施例提供的NSWO业务的认证方法，执行主体涉及UE、AN设备、NSWO网元、AUSF和UDM。本实施例与图4所示实施例的区别在于：UDM在采用EAP AKA’认证方式计算EAP AKA’认证向量后，将完整的EAP AKA’认证向量发送给AUSF。这样，AUSF或UE可以使用针对NSWO业务进行认证过程中新生成的密钥CK’、密钥IK’或密钥K _AUSF。当然，AUSF或UE也可以不使用新生成的密钥CK’、密钥IK’或密钥K _AUSF。

如图5所示，本实施例提供的NSWO业务的认证方法，可以包括：

步骤1、在UE确定进行NSWO业务后，UE向AN设备发送SUCI。相应的，AN设备接收UE发送的SUCI。

步骤2、AN设备根据SUCI确定NSWO网元的地址。

步骤3、AN设备根据NSWO网元的地址向NSWO网元发送第二请求消息，第二请求消息包括SUCI。相应的，NSWO网元接收AN设备发送的第二请求消息。

步骤4、NSWO网元根据第二请求消息确定进行针对NSWO业务的认证。

步骤5、NSWO网元向AUSF发送第一认证请求消息，第一认证请求消息包括SUCI。相应的，AUSF接收NSWO网元发送的第一认证请求消息。

步骤6、AUSF根据第一认证请求消息确定进行针对NSWO业务的认证。

其中，步骤1～步骤6可以参见图4所示实施例，此处不再赘述。

步骤107、AUSF向UDM发送第二认证请求消息，第二认证请求消息包括SUCI。相应的，UDM接收AUSF发送的第二认证请求消息。

具体的，AUSF确定执行针对NSWO业务的认证后，可以向UDM发送第二认证请求消息。

可选的，第二认证请求消息还可以包括NSWO指示信息。可选的，NSWO指示信息可以包括下列至少一个：第一NSWO指示信息或第五NSWO指示信息。即，NSWO指示信息为第一NSWO指示信息；或者，NSWO指示信息为第五NSWO指示信息；或者，NSWO指示信息包括第一NSWO指示信息和第五NSWO指示信息。第一NSWO指示信息和第五NSWO指示信息可以参见本申请上面描述，此处不再赘述。

通过在第二认证请求消息中携带NSWO指示信息，使得UDM根据NSWO指示信息确定需要进行针对NSWO业务的认证，便于区分不同的认证流程。

可选的，第二认证请求消息还可以包括AN设备的第二标识信息，该AN设备为UE连接的AN设备。第二标识信息可以用于后续UDM计算第一EAP-AKA’认证向量。

可选的，第二标识信息可以为下列中的一项：

(1)第一认证请求消息中携带的第一标识信息。可以参见步骤5中的相关描述，此处不再赘述。在该实现方式中，AUSF将NSWO网元发送的第一标识信息直接发送给UDM。

(2)第一信息。

可选的，在一种实现方式中，若第一认证请求消息中携带的第一标识信息为AN设备的接入网标识，则第一信息为接入网标识对应的服务网络名称(serving network name)。在该实现方式中，NSWO网元发送给AUSF的第一标识信息为接入网标识(AN ID)，AUSF可以将获得的AN ID转换为serving network name后发送给UDM。

可选的，在另一种实现方式中，若第一认证请求消息中未携带第一标识信息，则第一信息为预设接入网标识或预设服务网络名称。预设接入网标识或预设服务网络名称均用于指示进行针对NSWO业务的认证。

可选的，第二认证请求消息可以为已有UDM服务对应的请求消息，可以参见本申请上面描述，此处不再赘述。此时，可选的，在一种实现方式中，第二认证请求消息包括用于指示UDM进行针对NSWO业务的认证的信息。可选的，该信息可以包括SUCI或NSWO指示信息中的至少一个。

可选的，在另一种实现方式中，AUSF确定进行针对NSWO业务的认证之后，还确定采用EAP AKA’认证算法。相应的，第二认证请求消息还包括算法指示信息，用于指示进行EAP AKA’认证。通过携带算法指示信息，使得UDM可以直接确定采用EAP AKA’认证方式，简化了UDM在选择认证算法上的处理复杂度。

可选的，第二认证请求消息可以为新增UDM服务对应的请求消息，可以参见本申请上面描述，此处不再赘述。在该实现方式中，新增UDM服务直接指示UDM进行针对NSWO业务的认证。可选的，第二认证请求消息可以不包括用于指示UDM进行针对NSWO业务的认证的信息。例如，第二认证请求消息不包括NSWO指示信息，且SUCI可以为现有5G网络中使用的SUCI。可选的，第二认证请求消息也可以包括用于指示UDM进行针对NSWO业务的认证的信息。可选的，该信息可以包括SUCI或NSWO指示信息中的至少一个。

可选的，AUSF确定进行针对NSWO业务的认证之后，还确定采用EAP AKA’认证算法。第二认证请求消息可以包括算法指示信息，也可以不包括算法指示信息。

步骤8、UDM根据SUCI计算得到SUPI。

可以参见图4所示实施例，此处不再赘述。

步骤109、UDM根据第二认证请求消息确定采用EAP AKA’认证方式。

可选的，在一种实现方式中，默认AUSF支持NSWO业务，当从AUSF接收第二认证请求消息时可以确定进行针对NSWO业务的认证。

可选的，在另一种实现方式中，在确定第二认证请求消息为新增UDM服务对应的请求消息时，确定进行针对NSWO业务的认证，新增UDM服务用于指示进行针对NSWO业务的认证。例如，当第二认证请求消息为Nudm_UEAuthentication_NSWO_Authenticate request时，UDM确定进行针对NSWO业务的认证。

可选的，在又一种实现方式中，UDM可以根据第二认证请求消息中的第二信息确定采用EAP AKA’认证方式。其中，第二信息包括下列中的至少一种：

(1)第二信息为NSWO指示信息，NSWO指示信息用于指示进行针对NSWO业务的认证。其中，第二认证请求消息中包括的NSWO指示信息可以参见步骤7中的相关描述，此处不再赘述。

(2)第二信息为SUCI，SUCI用于指示进行针对NSWO业务的认证。

(3)第二信息为算法指示信息，算法指示信息用于指示进行EAP AKA’认证。

可见，在5G网络中对UE针对NSWO业务进行认证的场景中，由于AN设备支持EAP AKA认证方式和EAP AKA’认证方式，而5G网络支持EAP-AKA’认证方式和5G AKA认证方式，通过UDM确定采用EAP AKA’认证方式，避免了选择5G AKA认证方式时导致 的认证失败，实现了5G网络中针对NSWO业务的认证流程。

可选的，UDM确定UE希望使用NSWO业务，UDM根据SUPI确定UE的订阅数据，根据订阅数据校验UE是否被允许使用NSWO业务。若允许，则继续执行；否则UDM发送拒绝消息至AUSF，再由AUSF发送拒绝消息至NSWO网元，之后NSWO网元发送拒绝消息至AN设备。拒绝消息携带指示，指示UE未被授权使用NSWO业务。根据此拒绝消息，AN设备拒绝UE的NSWO业务请求，或者通知UE不被允许使用NSWO业务，或者不被允许在此AN ID或serving network name对应的网络内使用NSWO业务。

可选的，UDM确定UE希望使用NSWO业务，UDM根据SUPI确定UE的订阅数据，根据订阅数据和AN ID或serving network name校验UE是否被允许在此AN ID或serving network name对应的网络内使用NSWO业务。若允许，则继续执行；否则UDM发送拒绝消息至AUSF，再由AUSF发送拒绝消息至NSWO网元，之后NSWO网元发送拒绝消息至AN设备。拒绝消息携带指示，指示UE未被授权在AN ID或serving network name对应的网络内使用NSWO业务。根据根据此拒绝消息，AN设备拒绝UE的NSWO业务请求，或者通知UE不被允许使用NSWO业务，或者不被允许在此AN ID或serving network name对应的网络内使用NSWO业务。

步骤10、UDM根据SUPI得到第一EAP AKA’认证向量(RAND,AUTN,XRES,CK',IK')。

可以参见图4所示实施例，此处不再赘述。

步骤111、UDM向AUSF发送第二认证响应消息，第二认证响应消息包括第二EAP AKA’认证向量。相应的，AUSF接收UDM发送的第二认证响应消息。

其中，第二EAP AKA’认证向量为第一EAP AKA’认证向量，第二EAP AKA’认证向量包括密钥CK’和密钥IK’。

通过将完整的EAP AKA’认证向量携带在第二认证响应消息中发送给AUSF，使得AUSF可以使用针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’，提高了密钥使用方式的灵活性。

其中，第二认证响应消息可以参见本申请上面描述，此处不再赘述。

可选的，第二认证响应消息还可以包括SUPI。

步骤112、AUSF根据第二认证响应消息向NSWO网元发送第一认证响应消息，第一认证响应消息为EAP AKA’认证算法对应的认证响应消息。相应的，NSWO网元接收AUSF发送的第一认证响应消息。

具体的，AUSF可以执行现有的EAP-AKA’认证流程，向NSWO网元发送第一认证响应消息，本实施例不做具体说明。其中，AUSF接收到的第二认证响应消息中携带的第二EAP AKA’认证向量为完整的EAP AKA’认证向量，包括密钥CK’和密钥IK’。

可选的，在一种实现方式中，根据第二认证响应消息向NSWO网元发送第一认证响应消息，可以包括RAND,AUTN。

向NSWO网元发送第一认证响应消息，第一认证响应消息包括RAND,AUTN。

在该实现方式中，AUSF删除第二EAP AKA’认证向量中的密钥CK’和密钥IK’，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响现有认证流程中UE已生成的相关密钥。

可选的，第一认证响应消息可以包括EAP/AKA-challenge(RAND,AUTN)。

其中，第一认证响应消息可以参见本申请上面描述，此处不再赘述。

步骤13、NSWO网元根据第一认证响应消息通过AN设备向UE发送第三认证请求消息，第三认证请求消息为EAP AKA’认证算法对应的认证请求消息。相应的，UE通过AN设备接收NSWO网元发送的第三认证请求消息。

步骤14、UE使用EAP AKA'认证算法对网络进行认证校验。如基于RAND校验AUTN内MAC是否正确；如校验根据RAND和AUTN计算的SQN的新鲜性是否满足。对于RAND和AUTN的校验属于现有技术，不做限制。

步骤15、UE在认证校验成功后，计算得到的RES，通过AN设备向NSWO网元发送第四认证请求消息。其中包括RES，相应的，NSWO网元通过AN设备接收UE发送的第四认证请求消息。

更进一步可选的实现方式包括：UE内分为USIM和ME两部分。ME可以理解为UE中不包括USIM的部分。其中USIM会执行RAND和AUTN的安全校验，当USIM校验成功后，USIM会计算得到CK，IK和RES，并且发送CK，IK和RES至ME。之后ME会执行针对CK、IK和RES对应的操作，如基于CK和IK计算CK’和IK’。

其中，步骤13～步骤15可以参见图4所示实施例，此处不再赘述。

可选的，UE、USIM或ME在步骤15中确定认证校验成功后，还可以包括下列中的一项：

(1)UE或ME计算密钥CK’和密钥IK’，之后删除密钥CK’和密钥IK’。在该实现方式中，UE虽然计算密钥CK’和密钥IK’，但之后删除，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响UE现有认证流程中生成的相关密钥，确保了本实施例提供的认证流程适用于NSWO业务的认证。

(2)UE或ME计算密钥CK’和密钥IK’，且不根据密钥CK’和密钥IK’计算密钥K _AUSF，之后删除密钥CK’和密钥IK’。在该实现方式中，UE虽然计算密钥CK’和密钥IK’，但没有计算密钥K _AUSF，而且删除了密钥CK’和密钥IK’，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响UE现有认证流程中生成的相关密钥。

(3)UE或ME计算密钥CK’和密钥IK’，且根据密钥CK’和密钥IK’计算密钥K _AUSF，之后删除密钥CK’和密钥IK’，且删除密钥K _AUSF。在该实现方式中，UE计算了密钥CK’、密钥IK’和密钥K _AUSF，但之后全部删除，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响UE现有认证流程中生成的相关密钥。

(4)UE或ME计算密钥CK’和密钥IK’，且根据密钥CK’和密钥IK’计算密钥K _AUSF，之后删除密钥CK’和密钥IK’，且不对UE本地存储的密钥K _AUSF进行替换。在该实现方式中，UE计算了密钥CK’、密钥IK’和密钥K _AUSF，但之后删除了密钥CK’和密钥IK’。虽然新生成了密钥K _AUSF，但并没有对UE本地已存储的密钥K _AUSF进行替换，可以理解为没有使用新生成的密钥K _AUSF，因此不会导致新生成的密钥影响UE现有认证流程中生成的相关密钥。

(5)UE或ME不计算密钥CK’和密钥IK’。在该实现方式中，UE不计算密钥CK’和密钥IK’，避免了针对NSWO业务进行认证过程中新生成的密钥CK’和密钥IK’影响UE现有认证流程中生成的相关密钥。

(6)UE或ME计算密钥CK’和密钥IK’，且根据密钥CK’和密钥IK’计算密钥K _AUSF， 之后对UE本地存储的密钥K _AUSF进行替换。在该实现方式中，UE计算了密钥CK’、密钥IK’和密钥K _AUSF，并且对UE本地已存储的密钥K _AUSF进行替换，将本地已存储的密钥K _AUSF替换为新生成的密钥K _AUSF。后续，UE可以使用新生成的密钥K _AUSF。可选的，ME发送K _AUSF至USIM，替换USIM卡内保存的旧K _AUSF。

(7)ME确定为NSWO业务的认证后，发送RAND和AUTN给USIM卡的同时还是发送认证指示给USIM卡。认证指示可选的用来指示USIM卡在校验成功后，不需要发送CK和IK，或者指示USIM为仅认证的业务等。当USIM校验成功后，USIM根据此认证指示会仅计算RES，并发送RES至ME。或者USIM根据此认证指示不会计算CK和IK，或者即使计算了CK和IK，也不会发送CK和IK至ME。此时ME得不到CK和IK，也不会再根据CK和IK计算CK’和IK’。

(8)ME发送RAND和AUTN给USIM卡，USIM正常执行，并发送CK，IK和RES至ME。此时ME根据NSWO业务认证，可选的，ME可以将CK和IK丢弃，删除，或者不做额外的其他应用。避免针对NSWO业务进行认证过程中新生成的密钥CK和密钥IK影响UE现有认证流程中生成的相关密钥，确保了本实施例提供的认证流程适用于NSWO业务的认证。

步骤16、NSWO网元根据第四认证请求消息向AUSF发送第五认证请求消息。相应的，AUSF接收NSWO网元发送的第五认证请求消息。

步骤17、AUSF根据第五认证请求消息进行针对UE的认证。如校验RES和XRES是否等同。如果等同，则校验成功；否则校验失败。

步骤18、AUSF在认证校验后，向NSWO网元发送第一消息。相应的，NSWO网元接收AUSF发送的第一消息。第一消息包括认证校验的结果。

其中，步骤16～步骤18可以参见图4所示实施例，此处不再赘述。

可选的，若在步骤112中，第一认证响应消息包括第二认证响应消息中携带的第二EAP AKA’认证向量，即，AUSF没有删除从UDM接收到的密钥CK’和密钥IK’，AUSF在步骤18中确定认证校验成功后，还可以包括下列中的一项：

(1)AUSF不基于密钥CK’和密钥IK’计算密钥K _AUSF。在该实现方式中，AUSF没有根据新的密钥CK’和密钥IK’计算得到新的密钥K _AUSF，避免了针对NSWO业务进行认证过程中新生成的密钥K _AUSF影响AUSF现有认证流程中已生成的相关密钥。

(2)AUSF基于密钥CK’和密钥IK’计算密钥K _AUSF，且不对AUSF本地已存储的密钥K _AUSF进行替换。在该实现方式中，虽然AUSF根据新的密钥CK’和密钥IK’计算得到新的密钥K _AUSF，但并没有对AUSF本地已存储的密钥K _AUSF进行替换，可以理解为没有使用针对NSWO业务进行认证过程中新生成的密钥K _AUSF，因此不会导致新生成的密钥K _AUSF影响AUSF现有认证流程中生成的相关密钥。

可选的，还可以包括下列中的至少一项：

(1)AUSF删除密钥CK’和密钥IK’。在该实现方式中，AUSF删除了针对NSWO业务进行认证过程中接收到的密钥CK’和密钥IK’，避免了新生成的密钥CK’和密钥IK’影响AUSF现有认证流程中生成的相关密钥。

(2)AUSF删除生成的密钥K _AUSF。在该实现方式中，AUSF删除了针对NSWO业务进行认证过程中新生成的密钥K _AUSF，避免了新生成的密钥K _AUSF影响AUSF现有认证流 程中生成的相关密钥。

步骤19、NSWO网元根据第一消息向AN设备发送第二消息。相应的，AN设备接收NSWO网元发送的第二消息。

步骤20、可选的，若认证校验成功，AN设备向UE发送NSWO业务指示消息。也可以为AN确认认证成功后，执行对应NSWO业务的操作。

步骤21、若认证校验失败，AN设备向UE发送拒绝消息。

其中，步骤19～步骤21可以参见图4所示实施例，此处不再赘述。

可见，本实施例提供了一种适用于5G网络中UE进行NSWO业务时的认证流程，涉及的网元包括UE、AN设备、NSWO网元、AUSF和UDM。其中，UDM确定采用EAP AKA’认证方式，避免了如果选择5G AKA认证方式而导致的认证失败。而且，UDM在采用EAP AKA’认证方式计算EAP AKA’认证向量后，将完整的EAP AKA’认证向量发送给AUSF，减小了对UDM处理方式的改动，降低了对UDM的影响，而且为后续AUSF或UE使用针对NSWO业务进行认证过程中新生成的密钥CK’、密钥IK’或密钥K _AUSF提供了可能。进一步的，UE在对网络进行认证校验成功后，可以不计算密钥CK’和密钥IK’，或者，将计算得到的密钥CK’和密钥IK’或密钥Kausf删除，或者，计算密钥K _AUSF后不将新生成的密钥K _AUSF替换本地已有的密钥K _AUSF，避免影响UE的现有密钥架构。或者，UE在对网络进行认证校验成功后，计算密钥K _AUSF且替换本地已有的密钥K _AUSF，可以使用新的密钥K _AUSF。进一步的，AUSF从UDM接收到密钥CK’和密钥IK’后，可以将计算得到的密钥K _AUSF删除，或者，计算密钥Kausf后不将新生成的密钥K _AUSF替换本地已有的密钥K _AUSF，避免影响AUSF的现有密钥架构。或者，AUSF计算密钥K _AUSF且替换本地已有的密钥K _AUSF，可以使用新的密钥K _AUSF。

可选的，在上述实施例的基础上，本申请又一实施例提供了图3～图5中UE启动认证阶段的具体实现方式。

可选的，在一种实现方式中，图6为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图。如图6所示，上述步骤1中，UE向AN设备发送SUCI，可以包括：

S601、UE向AN设备发送第一连接建立请求消息，第一连接建立请求消息包括SUCI和第一NSWO指示信息。相应的，AN设备接收UE发送的第一连接建立请求消息。

可选的，第一连接建立请求消息可以为EAP消息。

可选的，SUCI可以为现有的根据SUPI生成的SUCI，例如，5G网络中使用的SUCI。

可选的，SUCI可以指示进行针对NSWO业务的认证。

可选的，第一NSWO指示信息可以在EAP消息中携带，也可以在EAP消息之外携带。

在该实现方式中，UE确定进行NSWO业务后，接入AN建立连接。在第一连接建立请求消息中同时携带SUCI和第一NSWO指示信息，启动针对NSWO业务的认证流程，节省了空口消息数量。

可选的，在另一种实现方式中，图7为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图。如图7所示，上述步骤1中，UE向AN设备发送SUCI，可以包括：

S701、AN设备向UE发送第一请求消息。相应的，UE接收AN设备发送的第一请求消息。

S702、UE向AN设备发送第一响应消息，第一响应消息包括第一NSWO指示信息和SUCI。相应的，AN设备接收UE发送的第一响应消息。

在该实现方式中，AN设备向UE发送第一请求消息，触发UE进行EAP认证。UE确定进行NSWO业务之后接收到第一请求消息，确定执行EAP认证，且确定执行针对NSWO业务的认证。

可选的，第一请求消息和第一响应消息可以为EAP消息。例如，第一请求消息为可扩展认证协议请求/身份验证消息(EAP-REQ/Identity)。第一响应消息为可扩展认证协议响应消息(EAP-RSP)。

可选的，SUCI可以为现有的根据SUPI生成的SUCI，例如，5G网络中使用的SUCI。

可选的，SUCI可以指示进行针对NSWO业务的认证。

可选的，第一NSWO指示信息可以在EAP消息中携带，也可以在EAP消息之外携带。

可选的，S701之前还可以包括：

S703、UE向AN设备发送第二连接建立请求消息。相应的，AN设备接收UE发送的第二连接建立请求消息。

可选的，第二连接建立请求消息可以为EAP消息。

可选的，第二连接建立请求消息可以包括第一NSWO指示信息。具体的，UE通过在第二连接建立请求消息中携带第一NSWO指示信息，使得AN设备确定需要执行针对NSWO业务的认证，从而，AN设备触发UE进行EAP认证。

可选的，在又一种实现方式中，图8为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图。如图8所示，上述步骤1中，UE向AN设备发送SUCI，可以包括：

S801、UE向AN设备发送第三连接建立请求消息，第三连接建立请求消息包括SUCI，SUCI用于指示进行针对NSWO业务的认证。相应的，AN设备接收UE发送的第三连接建立请求消息。

可选的，第三连接建立请求消息可以为EAP消息。

在该实现方式中，UE确定进行NSWO业务后，接入AN建立连接。在第三连接建立请求消息中携带用于指示进行针对NSWO业务的认证的SUCI，启动针对NSWO业务的认证流程，节省了空口消息数量。

可选的，图9为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图。如图9所示，本实施例提供的NSWO业务的认证方法，在上述步骤1之前还可以包括：

S901、AN设备向UE发送第二NSWO指示信息，第二NSWO指示信息用于指示AN设备支持NSWO业务。相应的，UE接收AN设备发送的第二NSWO指示信息。

S902、UE根据第二NSWO指示信息，确定进行基于5G密钥的认证，或进行基于SIM的认证，或进行基于用户首次认证的密钥进行认证。

在该实现方式中，AN设备通过向UE发送第二NSWO指示信息，向UE通知AN设备支持NSWO业务，可以实现针对NSWO业务的认证。

其中，第二NSWO指示信息可以携带在AN设备向UE发送的消息中，本实施例对该消息的类型和名称不做限定。可选的，该消息可以为AN设备发送的广播消息。可选的，该消息可以为上述S701中的第一请求消息。

可选的，在上述实施例的基础上，图10为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图。如图10所示，本实施例提供的NSWO业务的认证方法，在上述步骤21之后，还可以包括：

步骤22、AUSF根据第五认证请求消息进行针对UE的认证成功后，向UDM发送第一NSWO认证结果。

可选的，还可以同时发送SUPI，和/或接入网设备的接入网标识，和/或接入网标识对应的服务网络名称，SUPI包括在第二认证响应消息中，接入网设备为终端连接的接入网设备。

可选的，还可以不发送SUPI，但是发送关联ID或者URI等用来标识UE的信息。

相应的，UDM接收AUSF发送的第一NSWO认证结果。

步骤23、UDM确定并记录SUPI对应UE的针对NSWO业务的认证成功。

具体的，第一NSWO认证结果用于指示UE针对NSWO业务的认证成功。在UDM中，可以通过SUPI或者关联ID或者URI区分不同的UE，通过接入网设备的接入网标识或服务网络名称区分不同的接入网设备。在AUSF确定UE针对NSWO业务认证成功之后，可以向UDM发送第一NSWO认证结果，向UDM通知认证成功的UE和/或认证成功UE接入的AN设备。UDM对认证成功的UE和/或认证成功UE接入的AN设备进行记录，以便后续针对UE或AN设备完成计费。

可选的，第一NSWO认证结果还可以包括认证指示信息，认证指示信息用于指示终端针对NSWO业务的认证成功。

可见，通过认证指示信息，使得UDM可以明确确定SUPI对应UE的针对NSWO业务的认证成功。

可选的，第一NSWO认证结果可以携带在AUSF向UDM发送的消息中。本实施例对该消息的类型和名称不做限定。

可选的，该消息可以为新增UDM服务对应的消息，本实施例对新增UDM服务的名称和新增UDM服务对应的消息的名称不做限定。UDM可以根据该新增的UDM服务直接确定这是通知SUPI认证成功的服务，确定SUPI对应UE的针对NSWO业务的认证成功。

可选的，该消息可以为已有UDM服务对应的消息。例如，已有UDM服务对应的消息为UE认证结果确认消息(Nudm_UEAuthentication_ResultConfirmation)。

可选的，在上述实施例的基础上，图11为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图。如图11所示，本实施例提供的NSWO业务的认证方法，在上述步骤21之后，还可以包括：

步骤24、AUSF根据第五认证请求消息进行针对UE的认证成功后，向计费网络功能(network function，NF)发送第二NSWO认证结果。第二NSWO认证结果包括SUPI，和/或接入网设备的接入网标识，和/或接入网标识对应的服务网络名称，SUPI包括在第二认证响应消息中，接入网设备为终端连接的接入网设备。可选的，还可能不发送SUPI，但是发送关联ID或者URI等用来标识UE的信息。

相应的，计费NF接收AUSF发送的第二NSWO认证结果。

步骤25、计费NF确定并记录SUPI对应UE的针对NSWO业务的认证成功。

其中，第二NSWO认证结果与图10所示实施例中的第一NSWO认证结果原理相似，可以参考相关描述，此处不再赘述。

其中，本实施例与图10所示实施例的区别在于，AUSF向计费NF发送携带第二NSWO认证结果的消息可能不同，本实施例对携带第二NSWO认证结果的消息的类型和名称不做限定。

可选的，在图10所示实施例的基础上，本申请又一实施例提供了一种NSWO业务的认证方法。在本实施例中，AUSF和UE不会删除在针对NSWO业务的认证流程中新生成的密钥K _AUSF，可以使用新生成的密钥K _AUSF。AUSF信息有更新，相关网元(例如：UDM、AMF等)需要更新本地存储的AUSF信息，即，更新为NSWO业务相关认证对应的AUSF信息。

可选的，在一种实现方式中，图12为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图。如图12所示，本实施例提供的NSWO业务的认证方法，执行主体涉及UDM和AMF。在上述步骤23之后，还可以包括：

步骤26、UDM在确定EAP-AKA’认证成功后，更新AUSF信息。

可选的，AUSF信息可以包括AUSF组(AUSF group)信息或AUSF实例ID(AUSF instance ID)等用来标识AUSF的信息。

步骤27、UDM向AMF发送第一通知消息。第一通知消息包括AUSF信息和UE的标识信息。相应的，AMF接收UDM发送的第一通知消息。

步骤28、AMF根据UE的标识信息确定UE上下文(UE context)，并将UE上下文中的AUSF信息替换为第一通知消息中的AUSF信息。

其中，UE的标识信息用于唯一区分不同的UE。可选的，UE的标识信息可以包括下列中的一项：

SUPI；

SUPI对应的回调uri(callback uri)；

SUPI对应的相关标识(correlation id)。

可选的，第一通知消息为已有UDM服务对应的消息，本实施例对已有UDM服务的名称和已有UDM服务对应的消息的名称不做限定。例如，第一通知消息为SDM通知消息(Numd_SDM_notification)。

可见，在该实现方式中，通过UDM通知AMF更新本地存储的AUSF信息，从而完成AUSF信息的更新。

可选的，在另一种实现方式中，图13为本申请实施例提供的NSWO业务的认证方法的又一种消息交互图。如图13所示，本实施例提供的NSWO业务的认证方法，执行主体涉及AUSF和AMF。在上述步骤22之后，还可以包括：

步骤29、AUSF向AMF发送第二通知消息。第二通知消息包括AUSF信息和UE的标识信息。相应的，AMF接收AUSF发送的第二通知消息。

步骤30、AMF根据UE的标识信息确定UE上下文(UE context)，并将UE上下文中的AUSF信息替换为第二通知消息中的AUSF信息。

其中，UE的标识信息用于唯一区分不同的UE。可选的，UE的标识信息可以包括下 列中的一项：

SUPI；

SUPI对应的回调uri(callback uri)；

SUPI对应的相关标识(correlation id)；

SUPI对应的认证上下文标识(authentication context ID)；

SUPI对应的认证事件标识(authentication event ID)。

可选的，第二通知消息为已有AUSF服务对应的消息，本实施例对已有AUSF服务的名称和已有AUSF服务对应的消息的名称不做限定。例如，第二通知消息为SDM通知消息(Nausf_SDM_notification)。

可见，在该实现方式中，通过AUSF通知AMF更新本地存储的AUSF信息，从而完成AUSF信息的更新。

本申请实施例还提供了一种NSWO业务的认证方法，应用于当UE首次完成针对NSWO业务的认证后，需要再次进行针对NSWO业务的认证的场景中。例如，UE注册至5G网络后，UE与AUSF共享密钥后的场景。

可选的，在一种实现方式中，UE与AUSF共享密钥K _AUSF，NSWO业务的认证方法可以包括：

201.UE基于密钥K _AUSF计算消息鉴别码(message authentication code，MAC)＝HMAC-SHA256(密钥K _AUSF，新鲜参数，NSWO指示)。

其中，HMAC表示基于哈希算法的消息验证码(hashed-based message authentication)，HMAC-SHA256()表示一种加密函数。

其中，新鲜参数可以为计算器，或者序列号等用于体现消息新鲜性的参数。

其中，NSWO指示用于指示进行针对NSWO业务的认证。

202.UE向AN设备发送SUCI、NSWO指示、MAC和新鲜参数。

203.AN设备根据SUCI确定NSWO网元，并向NSWO网元发送SUCI、NSWO指示、MAC和新鲜参数。

204.NSWO网元根据SUCI确定UDM，并向UDM发送SUCI、NSWO指示、MAC和新鲜参数。

205.UDM解密SUCI得到SUPI，根据SUPI获取对应的AUSF信息和AUSF地址。UDM对MAC的正确性进行校验，获得校验结果。

可选的，在一种实现方式中，UDM对MAC的正确性进行校验，可以包括：

UDM向AUSF发送SUPI、NSWO指示、MAC和新鲜参数。

AUSF根据SUPI确定密钥K _AUSF，并采用密钥K _AUSF、NSWO指示和新鲜参数校验接收到的MAC是否正确。

若MAC校验正确，则向UDM发送成功指示。

可选的，在另一种实现方式中，UDM对MAC的正确性进行校验，可以包括：

UDM向AUSF发送SUPI、NSWO指示和新鲜参数。

AUSF采用相同的方式计算MAC’，并向UDM发送MAC’。

UDM校验MAC与MAC’是否等同。

若等同，则确定MAC校验成功。

206.UDM向NSWO网元发送校验结果。

可以参考本申请上述实施例中的步骤19～步骤21。

可选的，在另一种实现方式中，UE与AMF共享密钥Knasint，NSWO业务的认证方法可以包括：

301.UE基于密钥Knasint计算MAC＝HMAC-SHA256(Knasint，新鲜参数，NSWO指示)。

其中，MAC、HMAC-SHA256()、新鲜参数和NSWO指示的含义可以参见上述步骤201中的描述，此处不再赘述。

302.UE向AN设备发送SUCI、NSWO指示、MAC和新鲜参数。

可选的，还可能发送5G全局唯一的临时UE标识(5G globally unique temporary UE identity，5G-GUTI)。

303.AN设备根据SUCI确定NSWO网元，并向NSWO网元发送SUCI、NSWO指示、MAC和新鲜参数。

可选的，若AN设备还接收到5G-GUTI，并且AN可以通过5G-GUTI确定AMF，则跳转至步骤307。

304.NSWO网元根据SUCI确定UDM，并向UDM发送SUCI、NSWO指示、MAC和新鲜参数。

可选的，若NSWO网元还接收到5G-GUTI，并且NSWO网元可以通过5G-GUTI确定AMF，则跳转至步骤308。

305.UDM解密SUCI得到SUPI，根据SUPI获取对应的AMF信息和AMF地址。UDM对MAC的正确性进行校验，获得校验结果。

可选的，在一种实现方式中，UDM对MAC的正确性进行校验，可以包括：

UDM向AMF发送SUPI(或者，callback uri和/或correlation id)、NSWO指示、MAC和新鲜参数。

AMF根据SUPI(或者，callback uri和/或correlation id)确定Knasint，并采用Knasint、NSWO指示和新鲜参数校验接收到的MAC是否正确。

若MAC校验正确，则向UDM发送成功指示。

可选的，在另一种实现方式中，UDM对MAC的正确性进行校验，可以包括：

UDM向AMF发送SUPI(或者，callback uri和/或correlation id)、NSWO指示和新鲜参数。

AMF采用相同的方式计算MAC’，并向UDM发送MAC’。

UDM校验MAC与MAC’是否等同。

若等同，则确定校验成功。

306.UDM向NSWO网元发送校验结果。

之后的动作可以参考本申请上述实施例中的步骤19～步骤21。

307.AN设备向AMF发送5G-GUTI、NSWO指示、MAC和新鲜参数。

AMF根据SUPI(或者，callback uri和/或correlation id)确定Knasint，并采用Knasint、 NSWO指示和新鲜参数校验接收到的MAC是否正确。AMF发送校验结果至AN。之后AN的动作可以参考之前实施例。

308.NSWO网元向AMF发送5G-GUTI、NSWO指示、MAC和新鲜参数。

AMF根据SUPI(或者，callback uri和/或correlation id)确定Knasint，并采用Knasint、NSWO指示和新鲜参数校验接收到的MAC是否正确。AMF发送校验结果至NSWO网元。之后NSWO网元的动作可以参考之前实施例。

本申请实施例还提供了一种NSWO业务的认证方法，应用于5G网络包括UE、AN设备、AAA网元、AUSF和UDM的场景。

可选的，可以重用图4所示的实施例，UDM直接将CK’和IK’移除，发送移除CK’和IK’的认证向量给AUSF。AUSF再发送移除CK’和IK’的认证向量给AAA网元。之后，UE与AAA网元执行双向认证。后续AAA网元的动作与图4所示实施例中AUSF的操作一致。之后AAA网元发送认证结果至AN。后续AN的动作可以参考之前的实施例。

可选的，可以重用图5所示的实施例。其中，UDM发送完整的认证向量给AUSF。AUSF从UDM接收到完整的认证向量后，删除CK’和IK’之后再发送给AAA网元。之后，UE与AAA网元执行双向认证。后续AAA网元的动作与图5所示实施例中AUSF的操作一致。之后AAA网元发送认证结果至AN。后续AN的动作可以参考之前的实施例。

本申请实施例还提供了一种NSWO业务的认证方法，应用于5G网络包括UE、AN设备、AAA网元和UDM的场景。

此时，AN设备可以直接路由到AAA网元，或者，先路由到AAAproxy后再通过AAAproxy路由到AAA网元。之后，AAA网元可以从UDM获得认证向量。此时，NSWO网元和AUSF的功能都可以由AAA网元来实现。AAA网元可以从UDM获得不包括CK’和IK’的密钥，执行AUSF对应的操作；或者，获得CK’和IK’的密钥后将其删除等操作，具体的操作可以复用本申请上述实施例中AUSF对于密钥的处理动作。

需要说明，本申请实施例提供的NSWO业务的认证方法，不仅仅限于对NSWO业务的认证，同样适用于其他业务的认证。可以理解为本申请以NSWO业务为例进行了认证方式和流程的描述。在其他业务的认证流程中，NSWO网元可以替换为业务认证网元，业务认证网元参与执行对于UE的认证；若认证成功，业务认证网元从AUSF接收认证结果，并发送结果至AN。其中关于其他密钥的操作，与上述CK’，IK’或者K _AUSF等操作类似。另外，AN根据认证结果执行的操作也不做限制。

可以理解的是，本申请涉及的各个设备为了实现上述功能，其包含了执行各个功能相应的硬件和/或软件模块。结合本文中所公开的实施例描述的各示例的算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以结合实施例对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对各个设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。需要说明的是，本申请实施例中模块的名称是示意性的，实际实现时对模块的名称不做限定。

在采用对应各个功能划分各个功能模块的情况下，图14为本申请实施例提供的通信装置的一种结构示意图。如图14所示，通信装置可以包括：发送模块1402、接收模块1403和处理模块1401。

发送模块1402，用于发送数据。

接收模块1403，用于接收数据。

处理模块1401，用于执行其他步骤，以实现上述方法实施例提供的NSWO业务的认证方法。

图15为本申请实施例提供的通信设备的另一种结构示意图。可选的，通信设备可以为终端设备、AN设备、NSWO网元、AUSF或UDM。如图15所示，通信设备可以包括：处理器1501、接收器1502、发射器1503、存储器1504和总线1505。处理器1501包括一个或者多个处理核心，处理器1501通过运行软件程序以及模块，从而执行各种功能的应用以及信息处理。接收器1502和发射器1503可以实现为一个通信组件，该通信组件可以是一块基带芯片。存储器1504通过总线1505和处理器1501相连。存储器1504可用于存储至少一个程序指令，处理器1501用于执行至少一个程序指令，以实现上述实施例的技术方案。其实现原理和技术效果与上述方法相关实施例类似，此处不再赘述。

在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

本申请实施例提供一种计算机程序产品，当所述计算机程序产品在设备上运行时，使得所述设备执行上述实施例中的技术方案。其实现原理和技术效果与上述相关实施例类似，此处不再赘述。

本申请实施例提供一种计算机可读存储介质，其上存储有程序指令，所述程序指令被设备执行时，使得所述设备执行上述实施例的技术方案。其实现原理和技术效果与上述相关实施例类似，此处不再赘述。

综上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (65)

1. 一种有缝无线局域网分流NSWO业务的认证方法，其特征在于，包括：

   接收NSWO网元发送的第一认证请求消息，所述第一认证请求消息包括订阅隐藏标识符SUCI；

   根据所述第一认证请求消息确定进行针对NSWO业务的认证；

   向统一数据管理UDM发送第二认证请求消息，所述第二认证请求消息包括所述SUCI；

   接收所述UDM发送的第二认证响应消息，所述第二认证响应消息包括第二可扩展认证协议认证和密钥协商EAP AKA’认证向量；

   根据所述第二认证响应消息向所述NSWO网元发送第一认证响应消息，所述第一认证响应消息为EAP AKA’认证算法对应的认证响应消息；

   接收所述NSWO网元发送的第五认证请求消息；

   根据所述第五认证请求消息进行针对终端设备的认证。
2. 根据权利要求1所述的方法，其特征在于，所述根据所述第一认证请求消息确定进行针对NSWO业务的认证，包括下列中的至少一种情况：

   根据所述第一认证请求消息中包括的NSWO指示信息，确定进行针对所述NSWO业务的认证；所述NSWO指示信息用于指示进行针对所述NSWO业务的认证；

   在确定所述第一认证请求消息为新增鉴权服务器功能AUSF服务对应的请求消息时，确定进行针对所述NSWO业务的认证，所述新增AUSF服务用于指示进行针对所述NSWO业务的认证；

   根据所述SUCI确定进行针对所述NSWO业务的认证；

   根据所述第一认证请求消息确定所述NSWO网元的类型或地址，在根据所述NSWO网元的类型或地址确定所述NSWO网元支持所述NSWO业务后，确定进行针对NSWO业务的认证。
3. 根据权利要求1所述的方法，其特征在于，

   所述SUCI中包括的订阅永久标识符SUPI的类型用于指示进行针对所述NSWO业务的认证；和/或，

   所述SUCI包括业务指示信息，所述业务指示信息用于指示进行针对所述NSWO业务的认证。
4. 根据权利要求1-3中任一项所述的方法，其特征在于，所述第二认证请求消息还包括第五NSWO指示信息，所述第五NSWO指示信息用于指示进行针对所述NSWO业务的认证。
5. 根据权利要求1-3中任一项所述的方法，其特征在于，所述根据所述第一认证请求消息确定进行针对NSWO业务的认证之后，还包括：

   确定采用EAP AKA’认证算法；

   相应的，所述第二认证请求消息还包括算法指示信息，所述算法指示信息用于指示进行EAP AKA’认证。
6. 根据权利要求1-5中任一项所述的方法，其特征在于，所述第一认证请求消息还包括接入网设备的第一标识信息，所述接入网设备为所述终端设备连接的接入网设备；所述第一标识信息包括下列中的一项：

   所述接入网设备的接入网标识；

   所述接入网设备的接入网标识对应的服务网络名称；

   预设接入网标识，用于指示进行针对所述NSWO业务的认证；

   预设服务网络名称，用于指示进行针对所述NSWO业务的认证。
7. 根据权利要求1-6中任一项所述的方法，其特征在于，所述第二认证请求消息还包括接入网设备的第二标识信息，所述接入网设备为所述终端设备连接的接入网设备；所述第二标识信息包括：

   第一信息或所述第一认证请求消息中携带的第一标识信息；

   若所述第一认证请求消息中携带的第一标识信息为所述接入网设备的接入网标识，则所述第一信息为所述接入网标识对应的服务网络名称；

   若所述第一认证请求消息中未携带所述第一标识信息，则所述第一信息为预设接入网标识或预设服务网络名称；所述预设接入网标识或所述预设服务网络名称均用于指示进行针对所述NSWO业务的认证。
8. 根据权利要求1-7中任一项所述的方法，其特征在于，所述第一认证请求消息为用户设备UE认证的认证服务请求消息，所述第一认证响应消息为UE认证的认证服务响应消息。
9. 根据权利要求1-8中任一项所述的方法，其特征在于，所述第二认证请求消息为用户设备UE认证的得到服务请求消息，所述第二认证响应消息为UE认证的得到服务响应消息。
10. 根据权利要求1-9中任一项所述的方法，其特征在于，所述第二认证响应消息还包括所述终端设备的订阅永久标识符SUPI；所述方法还包括：

    根据所述第五认证请求消息进行针对终端设备的认证成功后，向所述UDM发送第一NSWO认证结果，所述第一NSWO认证结果包括所述SUPI，和/或接入网设备的接入网标识，和/或所述接入网标识对应的服务网络名称，所述接入网设备为所述终端设备连接的接入网设备。
11. 根据权利要求10所述的方法，其特征在于，所述第一NSWO认证结果包含在用户设备UE认证结果确认消息中。
12. 根据权利要求1-4、6-11中任一项所述的方法，其特征在于，所述第二EAP AKA’认证向量不包括密钥CK’和密钥IK’，所述第一认证响应消息包括所述第二EAP AKA’认证向量。
13. 根据权利要求1-11中任一项所述的方法，其特征在于，所述第二EAP AKA’认证向量包括密钥CK’和密钥IK’，所述根据所述第二认证响应消息向所述NSWO网元发送第一认证响应消息，包括：

    删除所述第二EAP AKA’认证向量中的所述密钥CK’和所述密钥IK’；

    向所述NSWO网元发送所述第一认证响应消息，所述第一认证响应消息包括删除密钥后的所述第二EAP AKA’认证向量。
14. 根据权利要求1-11中任一项所述的方法，其特征在于，在所述根据所述第五认证请求消息进行针对终端设备的认证之后，且在收到密钥CK’和密钥IK’后，还包括：

    不基于所述密钥CK’和所述密钥IK’计算密钥K _AUSF；

    或者，基于所述密钥CK’和所述密钥IK’计算所述密钥K _AUSF，且不对AUSF本地已存储的密钥K _AUSF进行替换。
15. 根据权利要求14所述的方法，其特征在于，所述方法还包括：

    删除所述密钥CK’和所述密钥IK’；和/或

    删除所述密钥K _AUSF。
16. 根据权利要求1-15中任一项所述的方法，其特征在于，所述方法还包括：

    若根据所述第五认证请求消息进行针对终端设备的认证成功后，则向计费网络功能NF发送第二NSWO认证结果，所述第二NSWO认证结果包括所述终端设备的订阅永久标识符SUPI，和/或接入网设备的接入网标识，和/或所述接入网标识对应的服务网络名称，所述SUPI包括在所述第二认证响应消息中，所述接入网设备为所述终端设备连接的接入网设备。
17. 一种有缝无线局域网分流NSWO业务的认证方法，其特征在于，包括：

    接收鉴权服务器功能AUSF发送的第二认证请求消息，所述第二认证请求消息包括订阅隐藏标识符SUCI；

    根据所述SUCI计算得到订阅永久标识符SUPI；

    根据所述第二认证请求消息确定采用可扩展认证协议认证和密钥协商EAP AKA’认证方式；

    根据所述SUPI得到第一EAP AKA’认证向量；

    向所述AUSF发送第二认证响应消息，所述第二认证响应消息包括第二EAP AKA’认证向量。
18. 根据权利要求17所述的方法，其特征在于，所述根据所述第二认证请求消息确定采用EAP AKA’认证方式，包括下列中的至少一种情况：

    在确定所述第二认证请求消息为新增统一数据管理UDM服务对应的请求消息时，确定进行针对所述NSWO业务的认证，所述新增UDM服务用于指示进行针对所述NSWO业务的认证；

    根据所述第二认证请求消息中的第二信息确定采用EAP AKA’认证方式，其中，所述第二信息包括下列中的至少一种：

    所述第二信息为NSWO指示信息，所述NSWO指示信息用于指示进行针对所述NSWO业务的认证；

    所述第二信息为所述SUCI，所述SUCI用于指示进行针对所述NSWO业务的认证；

    所述第二信息为算法指示信息，所述算法指示信息用于指示进行EAP AKA’认证。
19. 根据权利要求17或18所述的方法，其特征在于，

    所述SUCI中包括的所述SUPI的类型用于指示进行针对所述NSWO业务的认证；和/或，

    所述SUCI包括业务指示信息，所述业务指示信息用于指示进行针对所述NSWO业务的认证。
20. 根据权利要求17-19中任一项所述的方法，其特征在于，所述第二EAP AKA’认证向量不包括密钥CK’和密钥IK’。
21. 根据权利要求17-20中任一项所述的方法，其特征在于，所述第二认证请求消息还包括接入网设备的第二标识信息，所述接入网设备为终端设备连接的接入网设备；所述第二标识信息用于计算所述第一EAP AKA’认证向量；

    所述第二标识信息包括：

    第一信息或第一认证请求消息中携带的第一标识信息；所述第一认证请求消息为NSWO网元发送给所述AUSF的消息；

    若所述第一认证请求消息中携带的所述第一标识信息为所述NSWO网元预设的接入网标识，则所述第二标识信息为所述NSWO网元预设的接入网标识；

    若所述第一认证请求消息中未携带所述第一标识信息，则所述第一信息为预设接入网标识或预设服务网络名称；所述预设接入网标识或所述预设服务网络名称均用于指示进行针对所述NSWO业务的认证。
22. 根据权利要求17-21中任一项所述的方法，其特征在于，所述第二认证请求消息为用户设备UE认证的得到服务请求消息，所述第二认证响应消息为UE认证的得到服务响应消息。
23. 根据权利要求17-22中任一项所述的方法，其特征在于，所述方法还包括：

    接收所述AUSF发送的第一NSWO认证结果，所述第一NSWO认证结果包括所述SUPI，和/或接入网设备的接入网标识，和/或所述接入网标识对应的服务网络名称，所述接入网设备为终端设备连接的接入网设备，所述第一NSWO认证结果用于指示所述终端设备针对所述NSWO业务的认证成功。
24. 根据权利要求23所述的方法，其特征在于，所述第一NSWO认证结果包含在用户设备UE认证结果确认消息中。
25. 一种有缝无线局域网分流NSWO业务的认证方法，其特征在于，包括：

    在终端设备确定进行NSWO业务后，向接入网设备发送订阅隐藏标识符SUCI；

    接收NSWO网元通过所述接入网设备发送的第三认证请求消息，所述第三认证请求消息为可扩展认证协议认证和密钥协商EAP AKA'认证算法对应的认证请求消息；

    使用EAP AKA'认证算法对网络进行认证校验；

    在认证校验成功后，通过所述接入网设备向所述NSWO网元发送第四认证请求消息。
26. 根据权利要求25所述的方法，其特征在于，

    所述SUCI中包括的订阅永久标识符SUPI的类型用于指示进行针对所述NSWO业务的认证；和/或，

    所述SUCI包括业务指示信息，所述业务指示信息用于指示进行针对所述NSWO业务的认证。
27. 根据权利要求25或26所述的方法，其特征在于，在认证校验成功后，所述方法还包括下列中的一项：

    计算密钥CK’和密钥IK’；

    计算密钥CK’和密钥IK’，且不根据所述密钥CK’和所述密钥IK’计算密钥K _AUSF；

    计算密钥CK’和密钥IK’，且根据所述密钥CK’和所述密钥IK’计算密钥K _AUSF，之后删除所述密钥K _AUSF，或不对所述终端设备本地存储的密钥K _AUSF进行替换；

    或者，在认证校验成功后，不计算密钥CK’和密钥IK’。
28. 根据权利要求27所述的方法，其特征在于，在所述计算密钥CK’和密钥IK’之后，所述方法还包括：删除所述密钥CK’和所述密钥IK’。
29. 根据权利要求25-28中任一项所述的方法，其特征在于，在所述终端设备确定进行NSWO业务之前，所述方法还包括：

    接收所述接入网设备发送的第二NSWO指示信息，所述第二NSWO指示信息用于指示所述接入网设备支持所述NSWO业务；

    根据所述第二NSWO指示信息，确定进行基于5G密钥的认证，或进行基于用户识别卡SIM的认证，或进行基于用户首次认证的密钥进行认证。
30. 一种信息发送方法，其特征在于，包括：

    接入网设备从终端设备接收订阅隐藏标识符SUCI；所述SUCI包括有缝无线局域网分流NSWO指示，所述NSWO指示用于指示针对NSWO业务进行认证；

    所述接入网设备根据所述SUCI确定NSWO网元的地址；

    所述接入网设备根据所述NSWO网元的地址向所述NSWO网元发送请求消息，所述请求消息包括所述SUCI。
31. 根据权利要求30所述的方法，其特征在于，所述接入网设备根据所述SUCI确定NSWO网元的地址之前，还包括：

    所述接入网设备根据所述SUCI中的所述NSWO指示，确定执行针对所述NSWO业务的认证。
32. 一种鉴权服务器功能AUSF，其特征在于，包括：

    接收模块，用于接收有缝无线局域网分流NSWO网元发送的第一认证请求消息，所述第一认证请求消息包括订阅隐藏标识符SUCI；

    处理模块，用于根据所述第一认证请求消息确定进行针对NSWO业务的认证；

    发送模块，用于向统一数据管理UDM发送第二认证请求消息，所述第二认证请求消息包括所述SUCI；

    所述接收模块，还用于接收所述UDM发送的第二认证响应消息，所述第二认证响应消息包括第二可扩展认证协议认证和密钥协商EAP AKA’认证向量；

    所述发送模块，还用于根据所述第二认证响应消息向所述NSWO网元发送第一认证响应消息，所述第一认证响应消息为EAP AKA’认证算法对应的认证响应消息；

    所述接收模块，还用于接收所述NSWO网元发送的第五认证请求消息；

    所述处理模块，还用于根据所述第五认证请求消息进行针对终端设备的认证。
33. 根据权利要求32所述的AUSF，其特征在于，所述处理模块用于执行下列中的至少一项：

    根据所述第一认证请求消息中包括的NSWO指示信息，确定进行针对所述NSWO业务的认证；所述NSWO指示信息用于指示进行针对所述NSWO业务的认证；

    在确定所述第一认证请求消息为新增AUSF服务对应的请求消息时，确定进行针对所述NSWO业务的认证，所述新增AUSF服务用于指示进行针对所述NSWO业务的认证；

    根据所述SUCI确定进行针对所述NSWO业务的认证；

    根据所述第一认证请求消息确定所述NSWO网元的类型或地址，在根据所述NSWO网元的类型或地址确定所述NSWO网元支持所述NSWO业务后，确定进行针对NSWO业务的认证。
34. 根据权利要求32所述的AUSF，其特征在于，

    所述SUCI中包括的订阅永久标识符SUPI的类型用于指示进行针对所述NSWO业务的认证；和/或，

    所述SUCI包括业务指示信息，所述业务指示信息用于指示进行针对所述NSWO业务的认证。
35. 根据权利要求32-34中任一项所述的AUSF，其特征在于，所述第二认证请求消息还包括第五NSWO指示信息，所述第五NSWO指示信息用于指示进行针对所述NSWO业务的认证。
36. 根据权利要求32-34中任一项所述的AUSF，其特征在于，所述处理模块还用于：在根据所述第一认证请求消息确定进行针对NSWO业务的认证之后，确定采用EAP AKA’认证算法；

    相应的，所述第二认证请求消息还包括算法指示信息，所述算法指示信息用于指示进行EAP AKA’认证。
37. 根据权利要求32-36中任一项所述的AUSF，其特征在于，所述第一认证请求消息还包括接入网设备的第一标识信息，所述接入网设备为所述终端设备连接的接入网设备；所述第一标识信息包括下列中的一项：

    所述接入网设备的接入网标识；

    所述接入网设备的接入网标识对应的服务网络名称；

    预设接入网标识，用于指示进行针对所述NSWO业务的认证；

    预设服务网络名称，用于指示进行针对所述NSWO业务的认证。
38. 根据权利要求32-37中任一项所述的AUSF，其特征在于，所述第二认证请求消息还包括接入网设备的第二标识信息，所述接入网设备为所述终端设备连接的接入网设备；所述第二标识信息包括：

    第一信息或所述第一认证请求消息中携带的第一标识信息；

    若所述第一认证请求消息中携带的第一标识信息为所述接入网设备的接入网标识，则所述第一信息为所述接入网标识对应的服务网络名称；

    若所述第一认证请求消息中未携带所述第一标识信息，则所述第一信息为预设接入网标识或预设服务网络名称；所述预设接入网标识或所述预设服务网络名称均用于指示进行针对所述NSWO业务的认证。
39. 根据权利要求32-38中任一项所述的AUSF，其特征在于，所述第一认证请求消息为用户设备UE认证的认证服务请求消息，所述第一认证响应消息为UE认证的认证服务响应消息。
40. 根据权利要求32-39中任一项所述的AUSF，其特征在于，所述第二认证请求消息为用户设备UE认证的得到服务请求消息，所述第二认证响应消息为UE认证的得到服务响应消息。
41. 根据权利要求32-40中任一项所述的AUSF，其特征在于，所述第二认证响应消息还包括所述终端设备的订阅永久标识符SUPI；所述发送模块还用于：

    在所述处理模块根据所述第五认证请求消息进行针对终端设备的认证成功后，向所述UDM发送第一NSWO认证结果，所述第一NSWO认证结果包括所述SUPI，和/或接入网设备的接入网标识，和/或所述接入网标识对应的服务网络名称，所述接入网设备为所述终端设备连接的接入网设备。
42. 根据权利要求41所述的AUSF，其特征在于，所述第一NSWO认证结果包含在用户设备UE认证结果确认消息中。
43. 根据权利要求32-35、37-42中任一项所述的AUSF，其特征在于，所述第二EAP AKA’认证向量不包括密钥CK’和密钥IK’，所述第一认证响应消息包括所述第二EAP AKA’认证向量。
44. 根据权利要求32-42中任一项所述的AUSF，其特征在于，所述第二EAP AKA’认证向量包括密钥CK’和密钥IK’；

    所述处理模块，还用于删除所述第二EAP AKA’认证向量中的所述密钥CK’和所述密钥IK’；

    所述发送模块，用于向所述NSWO网元发送所述第一认证响应消息，所述第一认证响应消息包括删除密钥后的所述第二EAP AKA’认证向量。
45. 根据权利要求32-42中任一项所述的AUSF，其特征在于，所述处理模块还用于：

    在根据所述第五认证请求消息进行针对终端设备的认证之后，且在收到密钥CK’和密钥IK’后，不基于所述密钥CK’和所述密钥IK’计算密钥K _AUSF；或者，基于所述密钥CK’和所述密钥IK’计算所述密钥K _AUSF，且不对AUSF本地已存储的密钥K _AUSF进行替换。
46. 根据权利要求44所述的AUSF，其特征在于，所述处理模块还用于：

    删除所述密钥CK’和所述密钥IK’；和/或

    删除所述密钥K _AUSF。
47. 根据权利要求32-46中任一项所述的AUSF，其特征在于，所述发送模块还用于：

    若所述处理模块根据所述第五认证请求消息进行针对终端设备的认证成功后，则向计费网络功能NF发送第二NSWO认证结果，所述第二NSWO认证结果包括所述终端设备的订阅永久标识符SUPI，和/或接入网设备的接入网标识，和/或所述接入网标识对应的服务网络名称，所述SUPI包括在所述第二认证响应消息中，所述接入网设备为所述终端设备连接的接入网设备。
48. 一种统一数据管理UDM，其特征在于，包括：

    接收模块，用于接收鉴权服务器功能AUSF发送的第二认证请求消息，所述第二认证请求消息包括订阅隐藏标识符SUCI；

    处理模块，用于根据所述SUCI计算得到订阅永久标识符SUPI；根据所述第二认证请求消息确定采用可扩展认证协议认证和密钥协商EAP AKA’认证方式；根据所述SUPI得到第一EAP AKA’认证向量；

    发送模块，用于向所述AUSF发送第二认证响应消息，所述第二认证响应消息包括第二EAP AKA’认证向量。
49. 根据权利要求48所述的UDM，其特征在于，所述处理模块用于执行下列中的至少一项：

    在确定所述第二认证请求消息为新增UDM服务对应的请求消息时，确定进行针对有缝无线局域网分流NSWO业务的认证，所述新增UDM服务用于指示进行针对所述NSWO业务的认证；

    根据所述第二认证请求消息中的第二信息确定采用EAP AKA’认证方式，其中，所述第二信息包括下列中的至少一种：

    所述第二信息为NSWO指示信息，所述NSWO指示信息用于指示进行针对所述NSWO业务的认证；

    所述第二信息为所述SUCI，所述SUCI用于指示进行针对所述NSWO业务的认证；

    所述第二信息为算法指示信息，所述算法指示信息用于指示进行EAP AKA’认证。
50. 根据权利要求48或49所述的UDM，其特征在于，

    所述SUCI中包括的所述SUPI的类型用于指示进行针对NSWO业务的认证；和/或，

    所述SUCI包括业务指示信息，所述业务指示信息用于指示进行针对所述NSWO业务的认证。
51. 根据权利要求48-50中任一项所述的UDM，其特征在于，所述第二EAP AKA’认证向量不包括密钥CK’和密钥IK’。
52. 根据权利要求48-51中任一项所述的UDM，其特征在于，所述第二认证请求消息还包括接入网设备的第二标识信息，所述接入网设备为终端设备连接的接入网设备，所述第二标识信息用于计算所述第一EAP AKA’认证向量；

    所述第二标识信息包括：

    第一信息或第一认证请求消息中携带的第一标识信息；所述第一认证请求消息为NSWO网元发送给所述AUSF的消息；

    若所述第一认证请求消息中携带的所述第一标识信息为所述NSWO网元预设的接入网标识，则所述第二标识信息为所述NSWO网元预设的接入网标识；

    若所述第一认证请求消息中未携带所述第一标识信息，则所述第一信息为预设接入网标识或预设服务网络名称；所述预设接入网标识或所述预设服务网络名称均用于指示进行针对所述NSWO业务的认证。
53. 根据权利要求48-52中任一项所述的UDM，其特征在于，所述第二认证请求消息为用户设备UE认证的得到服务请求消息，所述第二认证响应消息为UE认证的得到服务响应消息。
54. 根据权利要求48-53中任一项所述的UDM，其特征在于，所述接收模块还用于：

    接收所述AUSF发送的第一NSWO认证结果，所述第一NSWO认证结果包括所述SUPI，和/或接入网设备的接入网标识，和/或所述接入网标识对应的服务网络名称，所述接入网设备为终端设备连接的接入网设备，所述第一NSWO认证结果用于指示所述终端设备针对所述NSWO业务的认证成功。
55. 根据权利要求54所述的UDM，其特征在于，所述第一NSWO认证结果包含在用户设备UE认证结果确认消息中。
56. 一种终端设备，其特征在于，包括：

    发送模块，用于在确定进行有缝无线局域网分流NSWO业务后，向接入网设备发送订阅隐藏标识符SUCI；

    接收模块，用于接收NSWO网元通过所述接入网设备发送的第三认证请求消息，所述第三认证请求消息为可扩展认证协议认证和密钥协商EAP AKA'认证算法对应的认证请求消息；

    处理模块，用于使用EAP AKA'认证算法对网络进行认证校验；

    所述发送模块，还用于在认证校验成功后，通过所述接入网设备向所述NSWO网元发送第四认证请求消息。
57. 根据权利要求56所述的终端设备，其特征在于，

    所述SUCI中包括的订阅永久标识符SUPI的类型用于指示进行针对所述NSWO业务的认证；和/或，

    所述SUCI包括业务指示信息，所述业务指示信息用于指示进行针对所述NSWO业务的认证。
58. 根据权利要求56或57所述的终端设备，其特征在于，在认证校验成功后，所述处理模块还用于执行下列中的一项：

    计算密钥CK’和密钥IK’；

    计算密钥CK’和密钥IK’，且不根据所述密钥CK’和所述密钥IK’计算密钥K _AUSF；

    计算密钥CK’和密钥IK’，且根据所述密钥CK’和所述密钥IK’计算密钥K _AUSF，之后删除所述密钥K _AUSF，或不对所述终端设备本地存储的密钥K _AUSF进行替换；

    或者，在认证校验成功后，不计算密钥CK’和密钥IK’。
59. 根据权利要求58所述的终端设备，其特征在于，所述处理模块还用于：

    在计算密钥CK’和密钥IK’之后，删除所述密钥CK’和所述密钥IK’。
60. 根据权利要求56-59中任一项所述的终端设备，其特征在于，

    所述接收模块，还用于在确定进行NSWO业务之前，接收所述接入网设备发送的第二NSWO指示信息，所述第二NSWO指示信息用于指示所述接入网设备支持所述NSWO业务；

    所述处理模块，还用于根据所述第二NSWO指示信息，确定进行基于5G密钥的认证，或进行基于用户识别卡SIM的认证，或进行基于用户首次认证的密钥进行认证。
61. 一种接入网设备，其特征在于，包括：

    接收模块，用于从终端设备接收订阅隐藏标识符SUCI；所述SUCI包括有缝无线局域网分流NSWO指示，所述NSWO指示用于指示针对NSWO业务进行认证；

    处理模块，用于根据所述SUCI确定NSWO网元的地址；

    发送模块，用于根据所述NSWO网元的地址向所述NSWO网元发送请求消息，所述请求消息包括所述SUCI。
62. 根据权利要求61所述的接入网设备，其特征在于，所述处理模块还用于：

    在根据所述SUCI确定NSWO网元的地址之前，根据所述SUCI中的所述NSWO指示，确定执行针对所述NSWO业务的认证。
63. 一种网络设备，其特征在于，包括处理器、存储器和收发器；所述收发器用于和其他设备通信，所述处理器用于读取所述存储器中的指令并根据所述指令使得所述网络设备执行如权利要求1-16中任一项所述的方法，或者执行如权利要求17-24中任一项所述的方法，或者执行如权利要求30或31所述的方法。
64. 一种终端设备，其特征在于，包括处理器、存储器和收发器；所述收发器用于和其他设备通信，所述处理器用于读取所述存储器中的指令并根据所述指令使得所述终端设备执行如权利要求25-29中任一项所述的方法。
65. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，当所述计算机指令在电子设备上运行时，使得所述电子设备执行如权利要求1-16中任一项所述的方法，或者执行如权利要求17-24中任一项所述的方法，或者执行如权利要求25-29中任一项所述的方法，或者执行如权利要求30或31所述的方法。

Images