WO2023071836A1

WO2023071836A1 - 一种通信方法及装置

Info

Publication number: WO2023071836A1
Application number: PCT/CN2022/125486
Authority: WO
Inventors: 李飞; 邓娟
Original assignee: 华为技术有限公司
Priority date: 2021-10-29
Filing date: 2022-10-14
Publication date: 2023-05-04
Also published as: CN116074821A

Abstract

一种通信方法及装置，该方法包括：第一UDM接收来自于第二UDM的UE的第一标识、随机数、认证令牌和第一密钥。第一UDM接收来自于AMF的携带UE的第二标识的UE认证请求后，根据第二标识确定第一标识对应的随机数、认证令牌和第一密钥，并向AMF发送随机数和认证令牌，从而，对于UE接入的基站与第二网络的连接出现故障或者在第二网络与第一网络之间的连接故障的场景，能够支持UE通过本地网络访问业务，即通过本地网络访问业务来保证业务不会中断，从而提高业务可靠性。同时，该方法能够保证UE的长期密钥不被泄漏到本地网络，提升用户长期密钥的安全性。

Description

一种通信方法及装置

相关申请的交叉引用

本申请要求在2021年10月29日提交中国专利局、申请号为202111269553.3、申请名称为“一种通信方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

在第五代通信系统中，引入了专网架构。专网架构包括中心大网和小网，其中，小网例如是靠近业务服务器部署的网络，小网中至少部署用户面功能(user plane function，UPF)，小网中的UPF部署在客户服务器附近，中心大网可对应于多个小网，即支持通过多个小网中的UPF建立会话。中心大网可以是公共网络，例如，中心大网可以是运营商集中部署的中心网络(如核心网)。小网可以是部署在客户附近的本地网络，用户设备(UE)可通过基站接入专网架构的中心网络，由中心网络建立途经本地网络中的UPF的会话，用于传输该用户设备的用户面数据，使得用户设备能够通过本地网络中的UPF获得客户服务器中的业务数据，用于本地网络中的UPF部署在客户服务器附近，因此能够降低用户设备与客户服务器之间业务数据的传输时延。

在一种专网网络架构中，在本地网络中部署本地控制面网络功能，本地控制面网络功能包括接入与移动性管理功能(access and mobility management function，AMF)、会话管理功能(session management function，SMF)和统一数据管理(unified data management，UDM)，分别称为本地AMF、本地SMF和本地UDM。该架构中，中心大网中可部署AMF、SMF、PCF和UDM等中心控制面网络功能，分别称为中心AMF、中心SMF、中心PCF、中心UDM。

该架构中，UE通过基站注册到中心大网的过程仍然依赖于中心控制面网络功能，也就是通过中心AMF实现UE注册。在UE完成注册后，UE与中心大网进行通信。当基站和中心AMF之间的N2连接故障之后或者基站与中心大网之间出现其他连接故障之后，基站可能需要选择为该UE接入本地网络。在这种情况下，UE如果能够接入本地网络，则可以保证业务不被中断。也就是说，本地网络可以为UE提供高可靠性的保障。

但是，在UE使用本地网络进行通信之前，UE需要注册到本地网络。而在以上架构中，出于安全考虑，UE的长期密钥存储在中心UDM，且本地UDM无法获知UE的长期密钥，因此本地网络无法通过使用长期密钥对UE实现认证。本地网络无法实现对UE的认证，会导致UE到本地网络的注册失败，因此无法为UE建立在本地网络中的用户面数据传输路径，导致UE无法获得用户面数据，造成业务可靠性降低。

发明内容

本申请实施方式的目的在于提供一种通信方法及装置，用以提供UE在本地网络的认证方法，提高业务可靠性。

第一方面，本申请实施例提供一种通信方法。该方法可由部署在第一网络(或称本地网络)中的第一UDM执行。该方法包括：第一UDM接收来自于第二UDM的UE的第一标识、随机数(RAND)、认证令牌(AUTN)和第一密钥。其中，该第一密钥对应UDM的长期密钥和第一服务网络名称。第一服务网络名称对应第一网络的标识。该第一UDM部署于该第一网络，第二统一数据管理功能部署于第二网络。第一UDM还可接收来自于AMF的UE认证请求，UE认证请求包括该UE的第二标识，第二标识对应第一标识，或者第二标识与第一标识相同。该AMF部署于第一网络。第一UDM根据第二标识确定第一标识对应的随机数、认证令牌和第一密钥。第一UDM向该AMF发送该随机数和该认证令牌。第一UDM还可向AMF发送第一密钥对应的第二密钥。

基于该方法，部署在第一网络的第一UDM可从第二网络中的第二UDM获取用户设备的随机数、认证令牌和第一密钥，第一UDM还可向第一网络中的AMF发送随机数和认证令牌以实现UE的认证，从而，对于UE接入的基站与第二网络的连接出现故障或者在第二网络与第一网络之间的连接故障的场景，能够支持UE通过本地网络访问业务，即通过本地网络访问业务来保证业务不会中断，从而提高业务可靠性。同时，该方法能够保证UE的长期密钥不被泄漏到本地网络，提升用户长期密钥的安全性。

在一种可能的设计中，第一标识可包括UE的签约永久标识(subscription permanent identifier，SUPI)，第二标识可包括UE的SUPI或根据该SUPI确定的第一签约隐藏标识(subscription concealed identifier，SUCI)。或者，第一标识可包括UE的隐藏的SUPI(本申请中为方便说明，通过SUPI*表示隐藏的SUPI)，第二标识包括根据该SUPI*确定的第二SUCI，UE的SUPI*对应于UE的SUPI，或者说，UE的SUPI*是根据UE的SUPI确定的。采用该设计，可根据UE的不同标识，灵活实现UE的认证。其中，如果第一标识包括SUPI*，则可以避免UE的真实SUPI泄露到第一网络，从而可提高通信安全。

在一种可能的设计中，如果第一标识包括UE的SUPI*，且第二标识包括根据UE的SUPI*确定的第二SUCI，则第一UDM可根据第一私钥解密第二SUCI获得SUPI*；如果第一标识包括UE的SUPI，且第二标识包括根据SUPI确定的第一SUCI，则第一UDM还可根据第二私钥解密第一SUCI以获得SUPI，其中，第一私钥和第二私钥不同。采用该设计，当第一UDM配置有第一私钥而未配置第二私钥时，第一UDM所在的本地网络仅支持根据UE的SUPI*实现UE的认证，即便此时UE错误地将第一SUCI发送至第一UDM，第一UDM也是无法根据第一私钥解密第一SUCI而获得SUPI的，因此可以进一步避免UE真实的SUPI被泄露至本地网络，从而进一步提高安全性。

在一种可能的设计中，第一私钥对应于第一UDM，第二私钥对应于第二UDM。因此，不同的UDM通过自身对应的私钥对SUCI进行解密，避免SUPI在不同网络之间互通，以进一步提高安全性。

在一种可能的设计中，当第一网络支持的认证方式为5G AKA认证时，第二UDM可向第一UDM发送第一认证向量，其中包括随机数、认证令牌、期望响应XRES*和密钥Kausf，所述密钥Kausf对应所述用户设备的长期密钥和第一服务网络名称。其中，密钥Kausf为第一密钥。第一UDM可向AMF发送第二认证向量，其中包括随机数、认证令牌和期望响应HXRES*。

在一种可能的设计中，当第一网络支持的认证方式为EAP-AKA’认证时，第二UDM可向第一UDM发送第一认证向量，其中包括随机数、认证令牌、期望响应XRES、机密性密钥CK’和完整性密钥IK’，所述机密性密钥CK’和完整性密钥IK’根据所述长期密钥和所述第一服务网络名称确定。其中，机密性密钥CK’和完整性密钥IK’为第一密钥。第一UDM可向AMF发送第二认证向量，其中包括随机数和认证令牌。

第二方面，提供一种通信方法。该方法可由部署在第二网络(或称中心网络)中的第二UDM执行。该方法包括：第二UDM确定随机数、认证令牌和第一密钥，该第一密钥对应UE的长期密钥和第一服务网络名称，该第一服务网络名称对应第一网络的标识。其中，该第一UDM部署于第一网络，第二UDM部署于第二网络。第二UDM还可向第一UDM发送该UE的第一标识、该随机数、该认证令牌和该第一密钥。

在一种可能的设计中，第一标识包括UE的SUPI或UE的SUPI*，UE的SUPI*对应于UE的SUPI。

以上第二方面及其任一可能的设计的有益效果可参见第一方面及其可能的设计中的说明。

第三方面，提供一种通信方法。该方法可由部署在第一网络中的AMF(或称本地AMF)执行。该方法包括：AMF接收来自于UE的第一SUCI，第一SUCI对应UE的SUPI；或者，AMF接收来自于UE的全球唯一临时UE标识(globally unique temporary UE identity，GUTI)，该GUTI对应于用户设备的SUPI*，SUPI*对应UE的SUPI，AMF确定未存储该GUTI与该SUPI*之间的对应关系。AMF还可向UE发送第一指示信息，并从UE接收注册请求，该注册请求包括第二SUCI，第二SUCI对应SUPI*。可选的，AMF还可向UE发送随机数和认证令牌。该随机数和认证令牌用于UE进行认证。

根据该方法，可由AMF指示UE发送第二SUCI，使得第一UDM根据UE的SUPI*进行UE的认证，以避免UE的真实SUPI泄露到第一网络，从而可提高通信安全。

在一种可能的设计中，第一指示信息可用于指示以下中的至少一项：第二网络与该第一网络之间的连接故障，所述第二网络为UE所在的公共网络；或者，UE注册到第一网络；或者，UE接入该第一网络。其中，该AMF部署于第一网络；或者，使用UE的隐藏标识。采用该设计，可灵活设置第一指示信息，使得UE根据第一指示信息向AMF发送第二SUCI。

第四方面，本申请实施例提供一种通信方法，该方法可由UE执行。该方法包括：UE接收第一指示信息，UE根据UE的SUPI*确定第二SUCI，该SUPI*对应于UE的SUPI。UE还可向AMF发送注册请求，该注册请求中包括该第二SUCI。UE还可接收来自于AMF的随机数和认证令牌。该随机数和认证令牌用于UE进行认证。

在一种可能的设计中，第一指示信息可用于指示以下中的至少一项：第二网络与该第一网络之间的连接故障，所述第二网络为UE所在的公共网络；或者，UE注册到第一网络；或者，UE接入该第一网络。其中，该AMF部署于第一网络；或者，使用UE的隐藏标识。

在一种可能的设计中，UE可接收来自于AMF或基站的第一指示信息。

在一种可能的设计中，第一指示信息承载于广播消息。

第五方面，本申请实施例提供一种通信装置，所述通信装置包括处理器，所述处理器与存储器耦合，其中：存储器用于存储指令；处理器用于根据执行存储器存储的指令，以执行上述第一方面至第四方面或以上方面中任一种可能的设计中的方法。可选的，所述通信装置还可以包括所述存储器。可选的，所述通信装置还可以包括收发器，用于支持所述通信装置进行上述方法中的信息发送和/或接收。可选的，该通信装置可以是终端设备，也可以是终端设备中的装置，如芯片或者芯片系统，其中所述芯片系统包含至少一个芯片，所述芯片系统还可以包括其他电路结构和/或分立器件。

第六方面，本申请实施例提供一种通信装置，用于实现上述第一方面至第四方面或以上方面中任一种可能的设计中的方法，包括相应的功能模块，例如包括处理单元、通信单元等，分别用于实现以上方法中的步骤。

第七方面，本申请实施例提供一种计算机可读存储介质，所述计算机存储介质中存储有计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得通信装置执行第一方面至第三方面或以上方面中任一种可能的设计中的方法。

第八方面，本申请实施例提供一种计算机程序产品，当计算机读取并执行所述计算机程序产品时，使得通信装置执行第一方面至第三方面或以上方面中任一种可能的设计中的方法。

第九方面，本申请实施例提供一种芯片，所述芯片与存储器相连，用于读取并执行所述存储器中存储的软件程序，以执行第一方面至第三方面或以上方面中任一种可能的设计中的方法。

第十方面，本申请实施例提供一种通信装置，包括处理器，所述处理器用于与收发器耦合，读取并执行所述存储器中的指令，以执行第一方面至第三方面或以上方面中任一种可能的设计中的方法。

第十一方面，本申请实施例提供一种通信方法，该通信方法可由部署在第一网络(或称本地网络)中的第一UDM和AMF执行。该方法包括：第一UDM接收来自于第二UDM的UE的第一标识、随机数、认证令牌和第一密钥。其中，该第一密钥对应UDM的长期密钥和第一服务网络名称。第一服务网络名称对应第一网络的标识。该第一UDM部署于该第一网络，第二统一数据管理功能部署于第二网络。AMF可用于向第一UDM发送UE认证请求，该，UE认证请求包括该UE的第二标识，第二标识对应第一标识，或者第二标识与第一标识相同。该AMF部署于第一网络。第一UDM根据第二标识确定第一标识对应的随机数、认证令牌和第一密钥。第一UDM向该AMF发送该随机数和该认证令牌。AMF向UE发送该随机数和该认证令牌。AMF向第一UDM发送UE通过认证的指示。第一UDM还可用于向AMF发送第一密钥对应的第二密钥。

在一种可能的设计中，第一UDM还可用于执行第一方面所示任意可能的设计中的方法，AMF还可用于执行第二方面所示任意可能的设计中的方法。

第十二方面，本申请实施例提供一种通信系统，包括用于执行第一方面或第一方面中任一种可能的设计中的方法的装置和用于执行第二方面或第二方面中任一种可能的设计中的方法的装置，或包括用于执行第一方面或第一方面中任一种可能的设计中的方法的装置和用于执行第三方面或第三方面中任一种可能的设计中的方法的装置，或包括用于执行第十一方面所示方法的AMF和第一UDM。

以上第二方面至第十二方面的有益效果可以参照第一方面中有益效果的描述。

附图说明

图1为本申请实施例提供的一种通信系统的架构示意图；

图2为本申请实施例提供的另一种通信系统的架构示意图；

图3为本申请实施例提供的另一种通信系统的架构示意图；

图4为本申请实施例提供的另一种通信系统的架构示意图；

图5为本申请实施例提供的一种通信方法的流程示意图；

图6为本申请实施例提供的另一种通信方法的流程示意图；

图7为本申请实施例提供的另一种通信方法的流程示意图；

图8为本申请实施例提供的一种通信装置的结构示意图；

图9为本申请实施例提供的另一种通信装置的结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。

下面对本申请涉及术语进行解释：

至少一个，是指一个，或一个以上，即包括一个、两个、三个及以上。

多个，是指两个，或两个以上，即包括两个、三个及以上。

携带，可以是指某消息用于承载某信息或数据，也可以是指某消息由某信息构成。

耦合是指装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。

本申请实施例中，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一(项)个”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a、b或c中的至少一项(个)，可以表示：a，b，c，a和b，a和c，b和c，或a、b和c，其中a、b、c可以是单个，也可以是多个。

下面，结合附图对本申请实施例进行详细说明。首先，介绍本申请实施例提供的无线通信系统，本申请提供的中的通信方法可应用于该系统，然后介绍本申请实施例提供的通信方法，最后介绍本申请实施例提供的通信装置。

如图1所示，本申请实施例提供的无线通信系统100可包括终端设备101以及网络设备102。

应理解，本申请实施例提供的无线通信系统100，既可适用于低频场景(sub 6G)，也适用于高频场景(above6G)。本申请实施例提供的无线通信系统100的应用场景包括但不限于宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代系统或新无线(new radio，NR)通信系统等。

以上所示终端设备101可以是用户设备、终端(terminal)、移动台(mobile station，MS)、移动终端(mobile terminal)等设备，该终端设备101能够与一个或多个通信系统的一个或多个网络设备进行通信，并接受网络设备提供的网络服务，这里的网络设备包括但不限于图示网络设备102。举例来说，本申请实施例中的终端设备101可以是移动电话(或称为“蜂窝”电话)、具有移动终端的计算机等，终端设备101还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置。终端设备101也可以是具有通信模块的通信芯片。

以上所示网络设备102可包括本申请所述的接入网设备(或称接入网站点)。具体的，网络设备102可包括接入网设备。在本申请中，接入网设备是指有提供网络接入功能的设备，如无线接入网(radio access network，RAN)基站等等。网络设备102具体可包括基站(base station，BS)，或包括基站以及用于控制基站的无线资源管理设备等，该网络设备102可以为中继站(中继设备)、接入点、车载设备、可穿戴设备以及未来5G等网络中的基站、未来演进的公共陆地移动网络(public land mobile network，PLMN)网络中的基站或者NR基站等，本申请实施例并不限定。网络设备102也可以是具有通信模块的通信芯片。

在本申请所述方法的执行过程中，网络设备102可作为RAN基站向终端设备101提供无线网络连接，例如，网络设备102可作为4G接入网——演进的通用移动通信系统(universal mobile telecommunications system，UMTS)陆地无线接入网(evolved UMTSterrestrial radio access network，E-UTRAN)中的接入网基站，或者，网络设备102可作为5G接入网——5G RAN中的接入网基站，或者，网络设备102可作为未来无线通信系统中的接入网基站。

如图2所示，5G网络架构可包括三部分，分别是UE、数据网络(data network，DN)和运营商网络。

其中，运营商网络可包括网络切片选择(network slice selection function，NSSF)、网络开放功能(network exposure function，NEF)、网络存储功能(network function repository function，NRF)、策略控制功能(policy control function，PCF)、UDM、应用功能(application function，AF)、网络切片特定鉴权和授权功能(network slice specific authentication and authorization function，NSSAAF)、鉴权服务器功能(authentication server function，AUSF)、接入与移动性管理功能(access and mobility management function，AMF)、会话管理功能(session management function，SMF)、(无线)接入网((radio)access network，(R)AN)以及UPF等网元或网络功能(network function，NF)。上述运营商网络中，除(无线)接入网部分之外的部分可以称为核心网络(CN)部分。为方便说明，后续以(R)AN称为RAN为例进行说明。

本申请中，用户设备可以包括图2所示的UE。UE可以是一种具有无线收发功能的设备，其可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述UE可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。UE还可以是图1所示终端设备 101。

上述UE可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接，使用运营商网络提供的数据和/或语音等服务。UE还可通过运营商网络访问DN，使用DN上部署的运营商业务(如访问DN中部署的客户服务器)，和/或第三方提供的业务。其中，上述第三方可为运营商网络和UE之外的服务方，可为UE提供他数据和/或语音等服务。其中，上述第三方的具体表现形式，具体可根据实际应用场景确定，在此不做限制。

此外，本申请中的统一数据管理功能，可包括图2所示UDM，在未来通信如6G中，统一数据管理功能仍可以是UDM，或有其它的名称，本申请不做限定。接入与移动性管理功能可包括图2所示AMF，在未来通信如6G中，接入与移动性管理功能仍可以是AMF，或有其它的名称，本申请不做限定。用户面功能可包括图2所示UPF，在未来通信如6G中，统一数据管理功能仍可以是UPF，或有其它的名称，本申请不做限定。

图2中Nnssf、Nnef、Nausf、Nnrf、Npcf、Nudm、Naf、Namf、Nssaaf、Nsmf、Nhse、N1、N2、N3、N4、N6、BEST-C、BEST-U、EAS-C，以及EAS-U分别为接口序号。这些接口序号的含义和用途可参见3GPP标准协议中定义的含义，在此不做限制。

此外，如图2所示的数据网络可包括客户服务器，用于向用户设备提供业务数据。UE与客户服务器之间可通过会话(session)进行数据的传输。图2所示SMF可用于执行的管理，如执行会话建立。

目前的一种专网架构如图3所示。图3中，中心网络可部署AMF、SMF、PCF、UDM和UPF等网络功能，为方便说明，将中心网络中部署的以上网络功能分别称为中心AMF、中心SMF、中心PCF、中心UDM和中心UPF。另外如图3所示，本地网络中可部署UPF，称为本地UPF。本申请中，本地网络可以包括园区场景中部署在园区附近的网络功能，比如，UPF可以部署在园区附近，此时园区内的UE可优先通过园区附近的RAN接入网络，并通过本地UPF就近获取业务服务，可降低业务时延。如图3中虚线箭头所示，UE与客户服务器之间业务数据的传输路径为：UE—RAN—本地UPF—客户服务器。

在该架构下，如果中心网络与本地网络之间的连接(如N4连接)出现故障，或者基站与中心网络的AMF之间的N2接口连接发生故障，则导致以下问题：1)在发生故障之后，UE无法注册到中心网络，从而无法建立使用客户业务的传输通道，导致业务被中断；2)针对在故障发生之前已经注册到中心网络并且通过建立了途经本地UPF的用于与客户服务器进行数据传输的会话的UE，该会话的维护和管理需要中心SMF执行，在故障发生后，中心SMF无法对该会话进行维护和管理，业务也可能被中断。

图4所示专网架构是为了解决以上问题所提出的另一种架构。基于图4所示专网架构，UE通过中心AMF实现注册，当基站和中心AMF之间的N2连接故障之后或者中心网络与本地网络之间的连接故障时，基站可能需要选择为该UE接入本地网络，使得UE通过本地网络访问业务。此时UE的业务不被中断。

然而在UE通过本地网络获取业务之前，UE需要注册到本地网络。具体来说，需要由本地网络中的本地AMF进行UE注册，之后由本地网络建立UE的会话，该会话可通过图4中虚线箭头表示。但在图4所示架构中，出于安全考虑，UE的长期密钥存储在中心UDM，且本地UDM无法获知UE的长期密钥，因此本地网络无法通过使用长期密钥对UE实现认证。本地网络无法实现对UE的认证，会导致UE到本地网络的注册失败，因此无法为UE建立在本地网络中的用户面数据传输路径，导致UE无法获得用户面数据，造成业务可靠性降低。

本申请实施例提供一种通信方法，用以令本地网络实现对UE的认证，以提高业务可靠性。以5G通信系统为例，该通信方法可由第一UDM和第二UDM实施，其中，第一UDM部署在第一网络，第二UDM部署在第二网络，该第一网络还可部署AMF。以图4所示架构为例，第一UDM可包括本地UDM，第二UDM可包括中心UDM，第一网络可包括本地为例，第二网络可包括中心网络，第一网络中部署的AMF可包括本地AMF。此外，如果该方法应用在图4以外的其他专网架构中，也可以由其他网络功能或网元执行第一UDM的动作，例如，如果第一网络中未部署UDM，且第一网络中部署了AUSF，则可由AUSF执行本申请中由第一UDM执行的动作。

如图5所示，该方法可包括以下步骤：

S501：第二UDM确定随机数、认证令牌和第一密钥。

其中，第一密钥对应UE的长期密钥和第一服务网络名称，或者说，第一密钥根据UE的长期密钥和第一服务网络名称确定。第一服务网络名称对应第一网络的标识，或者说，第一服务网络名称根据第一网络的标识确定。

具体的，第二UDM可确定UE的第一认证向量，第一认证向量包括随机数、认证令牌和第一密钥。

一种可能的示例中，当第一网络支持的认证方式为5G认证和秘钥协商(5Gauthentication and key agreement，AKA)时，第一认证向量包括随机数、认证令牌、期望响应XRES*和密钥Kausf。其中，密钥Kausf为第一密钥。密钥Kausf对应UE的长期密钥和第一服务网络名称(serving network name，SN name)，也就是说，密钥Kausf根据UE的长期密钥和第一服务网络名称确定。第一服务网络名称对应于第一网络的标识，例如，第一服务网络名称根据第一网络的标识确定。

另一种可能的示例中，当第一网络支持的认证方式为扩展认证协议’认证和秘钥协商(extensible authentication protocol-authentication and key agreement，EAP-AKA’)时，第一认证向量包括随机数、认证令牌、期望响应XRES、机密性密钥CK’和完整性密钥IK’。其中，机密性密钥CK’和完整性密钥IK’为第一密钥。机密性密钥CK’和完整性密钥IK’根据UE的长期密钥和第一服务网络名称确定，第一服务网络名称对应于第一网络的标识。

可选的，S501中，第二UDM可以在确定满足条件时，确定UE的随机数、认证令牌和第一密钥。其中，该条件例如：根据时间间隔确定随机数、认证令牌和第一密钥，或者，在满足一定的触发条件后，执行UE的随机数、认证令牌和第一密钥的确定，触发条件例如管理员触发第二UDM确定随机数、认证令牌和第一密钥，或者，第一UDM请求第二UDM确定随机数、认证令牌和第一密钥。

根据时间间隔确定随机数、认证令牌和第一密钥时，第二UDM可以在距离上一次确定UE的随机数、认证令牌和第一密钥经过了一定的时间间隔后，确定UE的随机数、认证令牌和第一密钥，或者，在距离上一次发送UE的第一标识和随机数、认证令牌和第一密钥经过了一定的时间间隔后，确定UE的随机数、认证令牌和第一密钥。其中，时间间隔例如是一个月。

作为一种示例，如果按照设定的时间间隔确定UE的第一认证向量，第一认证向量指示包括随机数、认证令牌和第一密钥，则第二UDM可以在每次确定认证令牌时，使用前一次确定第一认证向量时使用的序列号(sequence number，SQN)和时间T(比如1个月)确定新的SQN，并根据确定的新的SQN计算新的第一认证向量，也就是将前一次使用的SQN和时间T(比如1个月对应的秒数)的累加值作为新的SQN，用于确定新的第一认证向量。

实施中，第二UDM可确定UE的多个第一认证向量，并发送至第一UDM，第二UDM可根据前一次确定第一认证向量所使用的SQN与时间X的和SQN1作为新的SQN，确定第一个第一认证向量，例如距离前一次确定第一认证向量经过的时间间隔为1个月，或者距离前一次发送UE的第一标识和第一认证向量经过的时间间隔为1个月，X可以取1个月对应的秒数。第二UDM还可根据SQN1和一天对应的时间T1确定SQN2，根据SQN2确定第二个第一认证向量，以及，根据SQN2和一天对应的时间T1确定SQN3，根据SQN3确定第三个第一认证向量，以此类推，第二UDM可确定10个第一认证向量，并将该10个第一认证向量和UE的第一标识分别发送至第一UDM。由于基站和中心AMF之间的N2连接故障和中心网络与本地网络之间的连接故障的修复时间一般不超过7天，第一UDM可按照SQN由小到大的顺序每天采用该10个第一认证向量中的一个，以满足连接故障的修复期间本地网络对于UE认证过程的认证向量的需求。

S502：第二UDM向第一UDM发送UE的第一标识、随机数、认证令牌和第一密钥。

本申请中，第一标识可以是UE的SUPI，或者是根据UE的SUPI确定的SUPI*。应理解，本申请中的SUPI*是在SUPI基础上根据新引入的参数或根据SUPI按照特定的算法确定的标识，目的是避免UE携带真实SUPI入网，以进一步提高网络的通信安全。根据SUPI确定SUPI*的方式可参见本申请实施例中的说明，这里暂不展开介绍。第一网络可支持根据SUPI或SUPI*进行UE的认证，如果第一网络支持根据SUPI进行UE的认证，则第一标识为SUPI；如果第一网络支持根据SUP I*进行UE的认证，则第一标识为SUP I*。如果第一标识包括SUPI*，则第一网络通过UE的SUPI*实现UE的认证，可以避免UE的真实SUPI泄露到第一网络，从而可提高通信安全。

其中，第二UDM可向第一UDM发送UE的第一标识和第一认证向量。其中，第一认证向量可参见S501中的说明。

相应地，第一UDM接收UE的第一标识、随机数、认证令牌和第一密钥。第一UDM可在接收到第一标识、随机数、认证令牌和第一密钥之后，存储第一标识与随机数、认证令牌和第一密钥之间的对应关系。

可选的，在第一网络与第二网络之间的连接故障的场景中，S501和S502所示的步骤发生在第一网络与第二网络的连接出现故障之前。

S503：第一UDM接收来自于AMF的UE认证请求，该UE认证请求中包括UE的第二标识，第二标识对应于第一标识，或者，第二标识与第一标识相同。

其中，UE认证请求可以是AMF接收来自于UE的注册请求(registration request，RR)后发送的，注册请求可用于发起UE的注册。该注册请求中可携带UE的标识，具体的，该注册请求中携带的UE的标识可以是UE的SUCI或GUTI。

本申请中，UE的SUCI可以是根据UE的SUPI或SUPI*确定的。本申请中为区分根据SUPI确定的SUCI和根据SUPI*确定的SUCI，将根据SUPI确定的SUCI称为第一SUCI，以及将根据SUPI*确定的SUCI称为第二SUCI。其中，根据SUPI确定第一SUCI的方式，与根据SUPI*确定第二SUCI的方式可以相同或不同，本申请不具体限定。

下面分别根据注册请求中UE的标识的不同类型对认证请求中UE的第二标识进行说明。

如果注册请求中携带的是UE的GUTI，并且AMF未存储与该GUTI对应的第一标识，由于第一UDM从第二UDM获得的只有UE的第一标识和随机数、认证令牌和第一密钥，而没有获得UE的GUTI与随机数、认证令牌和第一密钥之间的对应关系，第一UDM因此无法根据该GUTI查找到对应的随机数、认证令牌和第一密钥，第一网络也就无法对UE进行认证，此时AMF可要求UE上报SUCI。具体的，AMF向UE发送第一指示信息，第一指示信息可用于指示UE向AMF发送SUCI。第一指示信息具体可用于指示第二网络与所述第一网络之间的连接故障、UE注册到第一网络、UE接入到第一网络，或指示使用UE的隐藏标识。可选的，第一指示信息可携带在标识请求(identity request)中。UE在接收到第一指示信息后，可确定并向AMF发送UE的SUCI，例如，UE可再次发送UE认证请求，在UE认证请求中携带SUCI，或者，如果第一指示信息携带在标识请求中，则UE可以在标识请求的响应消息中携带SUCI。AMF在收到UE的SUCI后，可以将SUCI携带在UE认证请求中，并将UE认证请求发送给第一UDM，此时UE认证请求中携带的第二标识为UE的SUCI。其中，如果第一网络支持根据SUPI进行UE的认证(或者说UE的第一标识是UE的SUPI)，则该第二标识为UE的第一SUCI；如果第一网络支持根据SUPI*进行UE的认证(或者说UE的第一标识是UE的SUPI*)，则该第二标识为UE的第二SUCI。

如果注册请求中携带的是UE的GUTI，并且AMF存储有与该GUTI对应的第一标识，比如，UE此前在第一网络中注册过，AMF在此前的注册过程中存储了该UE的GUTI与第一标识的对应关系，则AMF可在UE认证请求中携带UE的第一标识，并将UE认证请求发送至第一UDM。其中，第一标识可以是UE的SUPI或SUPI*。

如果注册请求中携带的是UE的第一SUCI，且第一网络支持根据SUPI进行UE的认证(或者说UE的第一标识是UE的SUPI)，则AMF可将第一SUCI携带在UE认证请求中并将UE认证请求发送给第一UDM，用于第一UDM确定该SUPI对应的随机数、认证令牌和第一密钥，此时UE认证请求中携带的第二标识为UE的第一SUCI。

如果注册请求中携带的是UE的第一SUCI，且第一网络支持根据SUPI*进行UE的认证(或者说UE的第一标识是UE的SUPI*)，此时AMF可要求UE上报第二SUCI。具体的，AMF可向UE发送第一指示信息，第一指示信息可用于指示UE向AMF发送第二SUCI。第一指示信息具体可用于指示第二网络与所述第一网络之间的连接故障、UE注册到第一网络、UE接入到第一网络，或指示使用UE的隐藏标识。可选的，第一指示信息可携带在标识请求中。UE在接收到第一指示信息后，可确定SUPI*，并向AMF发送SUPI*对应的第二SUCI，例如，UE可再次发送UE认证请求，在UE认证请求中携带第二SUCI，或者，如果第一指示信息携带在标识请求中，则UE可以在标识请求的响应消息中携带第二SUCI。AMF在收到UE的第二SUCI后，可以将第二SUCI携带在UE认证请求中，并将UE认证请求发送给第一UDM，此时UE认证请求中携带的第二标识为UE的第二SUCI。

如果注册请求中携带的是UE的第二SUCI，且第一网络支持根据SUPI*进行UE的认证(或者说UE的第一标识是UE的SUPI*)，则AMF可将UE的第二SUCI携带在UE认证请求中，并向第一UDM发送UE认证请求。其中，UE可接收来自于基站的广播消息或其他消息，该消息可指示UE接入的RAN与第一网络之间的连接发生故障，或者指示第一网络与第二网络之间的连接发生故障，则UE可在接收到该消息后确定SUPI*并进一步确定第二SUCI，之后在注册请求中携带第二SUCI。

此外，AMF还可在S503所示的UE认证请求中携带第一服务网络名称。

S504：第一UDM根据第二标识确定第一标识对应的随机数、认证令牌和第一密钥。

本申请中，第一标识可以是UE的SUPI，则第二标识可以是SUPI或者是根据SUPI确定的第一SUCI。此外，第一标识还可以是根据UE的SUPI确定的SUPI*，则此时第二标识可以是根据SUPI*确定的SUCI。

示例性的，在接收到UE的第二标识后，如果第一UDM确定第二标识对应于第一标识，或者第二标识与第一标识相同，则第一UDM可查询第一标识、随机数、认证令牌和第一密钥之间的对应关系，以确定该第一标识对应的随机数、认证令牌和第一密钥。

S505：第一UDM向AMF发送随机数和认证令牌。

可选的，第一UDM可向AMF发送第二认证向量，第二认证向量中包括随机数和认证令牌。

此外，当用户设备的认证方式为5G AKA时，第二认证向量还可包括期望响应HXRES*，其中期望响应HXRES*是根据期望响应XRES*计算所得的。

其中，随机数和认证令牌用于UE的认证。例如，AMF将随机数和认证令牌发送至UE，在UE根据随机数和认证令牌确定通过认证后向AMF发送UE通过认证的指示，以及由AMF向第一UDM发送UE通过认证的指示。

S506：第一UDM向AMF发送第一密钥对应的第二密钥。

例如，第一UDM在接收到来自于AMF的UE通过认证的指示后，向AMF发送第二密钥，用于根据第二密钥进行UE的安全保护。第二密钥例如是密钥Kseaf。当认证方式为5G AKA时，第一UDM可根据该Kausf推导出Kseaf，并将Kseaf发送至AMF；当认证方式为EAP-AKA’时，第一UDM可根据机密性密钥CK’和完整性密钥IK’推导出Kausf，再根据Kausf推导出Kseaf，之后将Kseaf发送至AMF。

采用图5所示流程，以第一网络是本地网络，第二网络是中心网络为例，部署在第一网络的第一UDM可从第二网络中的第二UDM获取用户设备的随机数、认证令牌和第一密钥，第一UDM还可向第一网络中的AMF发送随机数和认证令牌以实现UE的认证，从而，对于基站与中心网络的连接出现故障或者在中心网络与本地网络之间的连接故障的场景，能够支持UE通过本地网络访问业务，即通过本地网络访问业务来保证业务不会中断，从而提高业务可靠性。同时，该方法能够保证UE的长期密钥不被泄漏到本地网络，提升用户长期密钥的安全性。

下面结合示例对本申请中的SUPI*的确定方式进行说明。

方式1，针对每个UE引入用于确定SUPI*的参数，如一个随机数，并根据该参数和UE的SUPI，确定SUPI*。例如，可根据该参数和UE的SUPI通过基于哈希的消息验证码(hash-based message authentication code，HMAC)算法确定SUPI*。

其中，对于已注册至第二网络的UE，第二UDM可将该参数通过用户参数更新(UEparameters update，UPU)流程配置给UE。对于未注册至第二网络的UE，该参数可以由UE确定，比如UE通过预定义、预配置等方式确定该参数。

方式2，针对每个本地网络引入参数，如本地网络标识或本地网络对应的园区标识等，根据UE的SUPI和该参数确定SUPI*。例如，可根据该参数和UE的SUPI通过HMAC算法确定SUPI*。该参数可通过RAN广播的方式发送。

方式3，可以不引入新的参数，使用UE的SUPI通过固定算法和已有参数生成SUPI*。

应理解，本申请中，第二UDM和UE可以通过同一种方式确定UE的SUPI*，比如，UE和第二UDM都是根据一个随机数和UE的SUPI确定SUPI*。除了以上示例的方式，还可以通过其他方式确定SUPI*，本申请不做具体限定。比如，UE和第二UDM也可协商确定一个用于确定SUPI*的参数，并根据该参数确定SUPI*。

如果第一网络支持根据SUPI*进行UE的认证，第一网络可获取UE的第二SUCI，并根据第二SUCI确定UE的SUPI*，进一步根据UE的SUPI*实现UE认证。

其中，第一网络中的AMF可以在确定来自于UE的注册请求中未携带第二SUCI后，由AMF要求UE上报携带UE的第二SUCI，或者，可以由UE主动上报携带UE的第二SUCI的注册请求，下面分别结合图6和图7进行说明。

例如图6所示，如果由AMF要求UE上报携带UE的第二SUCI的注册请求，一种可能的UE认证过程可包括以下步骤：

S601：位于第二网络的第二UDM确定UE的SUPI*，并存储UE的SUPI和SUPI*之间的对应关系。第一网络可以是本地网络，第二网络可以是中心网络。

其中，该UE中配置有用于确定SUPI*的信息，以支持UE采用与第二UDM相同的方式确定SUPI*。

可选的，该UE还配置有第一公钥，该第一公钥用于根据UE的SUPI*确定UE的第二SUCI。该第一公钥与第一私钥相对应，第一私钥可用于根据UE的第二SUCI确定UE的SUPI*。

进一步可选的，该UE中还可配置由第二公钥，该第二公钥用于根据UE的SUPI确定UE的第一SUCI。第二公钥可对应于第二私钥，第二私钥用于根据UE的第一SUCI确定UE的SUPI，第二公钥与第一公钥不同，且第二私钥与第一私钥不同。可选的，该第二私钥可存储在第二UDM中。据此，当第一UDM配置有第一私钥而未配置第二私钥时，第一UDM所在的本地网络仅支持根据UE的SUPI*实现UE的认证，即便此时UE错误地将第一SUCI发送至第一UDM，第一UDM也是无法根据第一私钥解密第一SUCI而获得SUPI的，因此可以进一步避免UE真实的SUPI被泄露至本地网络，从而进一步提高安全性。

S602：第二UDM向第一UDM发送UE的SUPI*和UE的签约数据。

该第一UDM部署在第一网络中，且该第一UDM中配置有第一私钥。

S602中，UE的签约数据可包括UE签约的网络切片的信息。

其中，S602在第一网络与第二网络之间的网络未出现故障时执行。

相应地，第一UDM接收UE的SUPI*和UE的签约数据。

可选的，第一UDM还可接收UE的，例如，接收UE的SUPI*与第一认证向量之间的对应关系。该第一认证向量可包括随机数、认证令牌和第一密钥。第一认证向量具体可参见图5所示S501中的说明。

可选的，第一UDM在接收到UE的SUPI*和签约数据后，可存储UE的标识与签约数据对应关系表。该表格中可包括至少一个UE的SUPI*与签约数据之间的对应关系。

S603：UE向AMF发送注册请求，注册请求中携带UE的标识。

可选的，S603中，在UE接入的基站与第二网络之间的连接出现故障或在第一网络与第二网络之间的连接出现故障的情况下执行。

S603中，注册请求中携带的UE的标识可以是UE的第一SUCI、第二SUCI或GUTI。如果注册请求中携带的是UE的第一SUCI，或者，如果注册请求中携带的是UE的GUTI，该GUTI对应于UE的SUPI*，但AMF未存储该GUTI与SUPI*之间的对应关系，则执行S604。如果注册请求中携带的UE的标识是UE的第二SUCI，则执行S606。

相应地，AMF接收该注册请求。

S604：AMF向UE发送第一指示信息。

第一指示信息用于指示UE向AMF发送UE的第二SUCI。第一指示信息可参见本申请中的说明，这里不再展开。

可选的，第一指示信息可携带在标识请求中。

相应地，UE接收该第一指示信息。

S605：UE向AMF发送UE的第二SUCI。

可选的，UE在接收到S604所示的指示信息后，根据用于确定SUPI*的信息确定SUPI*，并根据第一公钥和SUPI*确定第二SUCI。

相应地，AMF接收标识请求对应的响应消息。

S606：AMF向第一UDM发送UE认证请求，UE认证请求中携带UE的第二SUCI。

可选的，UE认证请求中还可包括第一服务网络名称。

相应地，第一UDM接收UE认证请求。

S607：第一UDM根据UE的第二SUCI和第一私钥确定UE的SUPI*。

S608：第一UDM确定该SUPI*对应的签约数据。

可选的，第一UDM可查询UE的标识与签约数据对应关系表，获得UE的SUPI*对应的签约数据。

S609：第一UDM向AMF发送UE认证响应。

可选的，UE认证响应中可携带随机数和认证令牌。具体的，UE认证响应中可携带第二认证向量。该第二认证向量可包括随机数和认证令牌。第二认证向量具体可参见图5所示S505中的说明。

应理解，如果第一网络中部署有AUSF，则S606可替换为：AMF向AUSF发送UE认证请求，AUSF向第一UDM发送UE认证获取请求，UE认证获取请求中携带UE的第二SUCI。相应地，第一UDM接收UE认证获取请求。此外，如果第一网络中部署有AUSF，则S609可替换为，第一UDM向AUSF发送UE认证获取响应，AUSF向AMF发送UE认证响应。此时UE认证获取响应中可携带随机数和认证令牌。

S610：AMF向UE发送认证请求。

可选的，认证请求可包括随机数和认证令牌，如果认证方式是5G AKA，则认证请求中还可包括期望响应HXRES*，用于UE的认证。具体的，认证请求中可携带第二认证向量。

相应地，UE接收认证请求。UE可根据认证请求中携带的RAND和认证令牌进行认证。

可选的，如果UE根据认证请求中携带的RAND和认证令牌确定通过认证，则UE还可向AMF发送认证响应，表示UE认证通过。

采用图6所示方式，以第一网络是本地网络且第二网络是中心网络为例，本地网络中的第一UDM可以根据UE的SUPI*查询UE的签约信息，以及根据UE的SUPI*实现UE的认证，因此避免了本地网络根据UE的真实SUPI进行认证，能够提高通信安全性。

如图7所示，如果由UE主动上报携带有第二SUCI的注册请求，本申请实施例提供的另一种通过SUPI*进行UE认证的过程包括S701-S710所示的以下步骤：

其中，S701-S702可参照S601-S602实施，这里不再赘述。

S703：UE接收来自于基站的广播消息，该广播消息可指示UE接入的RAN与第一网络之间的连接发生故障，或者指示第一网络与第二网络之间的连接发生故障。

S704：UE确定UE的SUPI*，并根据UE的SUPI*确定UE的第二SUCI。

S704可参照S605实施。

S705：UE向AMF发送注册请求，注册请求中携带UE的第二SUCI。

相应地，AMF接收注册请求。

S706-S710可参照S606-S610，不再展开赘述。

与图6所示流程同理，图7所示流程能够避免本地网络根据UE的真实SUPI进行认证，能够提高通信安全性。并且，图7所示流程中可由UE获取断网信息，然后主动生成SUPI*，并以SUPI*请求注册，相比于图6所示认证方式可提高认证效率。

与上述构思相同，如图8所示，本申请实施例还提供一种装置800用于实现上述方法。例如，该装置可以为软件模块或者芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。该装置800可以包括：处理单元801和通信单元802。

应理解，该装置可包括以上方法实施例中所示的第一UDM、第二UDM、AMF或UE，或者包括具备以上方法实施例中所示的第一UDM、第二UDM、AMF或UE的功能的装置。

本申请实施例中，通信单元也可以称为收发单元，可以包括发送单元和/或接收单元，分别用于执行上文方法实施例中第一UDM、第二UDM、AMF或UE的发送和接收的步骤。

以下，结合图8至图9详细说明本申请实施例提供的通信装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

通信单元802也可以称为收发器、收发机、收发装置等。处理单元801也可以称为处理器，处理单板，处理模块、处理装置等。可选的，可以将通信单元802中用于实现接收功能的器件视为接收单元，将通信单元802中用于实现发送功能的器件视为发送单元，即通信单元802包括接收单元和发送单元。通信单元802有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。

举例来说，如果该装置800是第一UDM，则通信单元802可用于接收来自第二UDM的UE的第一标识、随机数、认证令牌和第一密钥，以及，接收来自于AMF的用户设备认证请求。处理单元801可用于根据所述第二标识确定所述第一标识对应的所述随机数、所述认证令牌和所述第一密钥。通信单元802还可用于向所述AMF发送所述随机数和所述认证令牌，以及向所述AMF发送所述第一密钥对应的第二密钥。

可选的，通信单元和处理单元还可以执行其他操作，例如通信单元802用于执行上述图5至图7所示的方法实施例中第一UDM的发送操作和接收操作，处理单元801用于执行上述图5至图7所示的方法实施例中第一UDM除了收发操作之外的其他操作，具体可以参考前面的描述，在此不再赘述。

又如，如果该装置800是第二UDM，则处理单元801可用于确定UE的随机数、认证令牌和第一密钥。通信单元802可用于向第一UDM发送UE的第一标识、随机数、认证令牌和第一密钥。

可选的，通信单元和处理单元还可以执行其他操作，例如通信单元802用于执行上述图5至图7所示的方法实施例中第二UDM的发送操作和接收操作，处理单元801用于执行上述图5至图7所示的方法实施例中第二UDM除了收发操作之外的其他操作，具体可以参考前面的描述，在此不再赘述。

又如，如果该装置800是部署于第一网络的AMF，则处理单元801可用于接收来自于UE的第一SUCI，或者，用于接收来自于所述用户设备的GUTI。通信单元802还可用于向UE发送第一指示信息，以及用于从所述用户设备接收注册请求，所述注册请求包括所述第二SUCI，所述第二SUCI对应SUPI*。

可选的，通信单元和处理单元还可以执行其他操作，例如通信单元802用于执行上述图5至图7所示的方法实施例中AMF的发送操作和接收操作，处理单元801用于执行上述图5至图7所示的方法实施例中AMF除了收发操作之外的其他操作，具体可以参考前面的描述，在此不再赘述。

又如，如果该装置800是UE，则通信单元802可用于接收第一指示信息。处理单元801可用于根据UE的SUPI*确定第二SUCI，SUPI*对应所述用户设备的SUPI。通信单元802可用于向AMF发送注册请求，注册请求包括所述第二SUCI。通信单元802还可用于接收来自于AMF的认证请求。可选的，认证请求中可携带随机数和认证令牌。

可选的，通信单元和处理单元还可以执行其他操作，例如通信单元802用于执行上述图5至图7所示的方法实施例中UE的发送操作和接收操作，处理单元801用于执行上述图5至图7所示的方法实施例中UE除了收发操作之外的其他操作，具体可以参考前面的描述，在此不再赘述。

如图9所示为本申请实施例提供的另一种通信装置，图9所示的装置可以为图8所示的装置的一种硬件电路的实现方式。该通信装置可适用于前面所示出的流程图中，执行上述方法实施例中第一UDM、第二UDM、AMF或UE的功能，例如，通信接口可对应于通信单元802，处理器920可对应于处理单元801。为了便于说明，图9仅示出了该通信装置的主要部件。

装置900还可以包括至少一个存储器930，用于存储程序指令和/或数据。存储器930和处理器920耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器920可能和存储器930协同操作。处理器920可能执行存储器930中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。

图9所示的装置900包括至少一个处理器920以及通信接口910，处理器920用于执行存储器930中存储的指令或程序。存储器930中存储的指令或程序被执行时，该处理器920用于执行上述实施例中处理单元801执行的操作，通信接口910用于执行上述实施例中通信单元802执行的操作。

在本申请实施例中，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。在本申请实施例中，通信接口为收发器时，收发器可以包括独立的接收器、独立的发射器；也可以集成收发功能的收发器、或者是通信接口。

装置900还可以包括通信线路940。其中，通信接口910、处理器920以及存储器930可以通过通信线路940相互连接；通信线路940可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。所述通信线路940可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本申请提还提供了一种通信系统，用于执行上面任一流程中提供的方法，如执行图5至图7中任一流程。该通信系统可包括图4所示架构。

本申请提还提供了一种计算机可读存储介质，用于存储计算机程序，该计算机程序包括用于执行上面任一流程中提供的方法的指令。

本申请提还提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行上面任一流程中提供的方法。

本申请提还提供一种芯片，包括处理器，所述处理器与存储器耦合，用于执行所述存储器中存储的计算机程序或指令，当所述处理器执行所述计算机程序或指令时，使得上面任一流程中提供的方法被实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的保护范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种通信方法，其特征在于，包括：

第一统一数据管理功能接收来自于第二统一数据管理功能的用户设备的第一标识、随机数、认证令牌和第一密钥，所述第一密钥对应所述用户设备的长期密钥和第一服务网络名称，所述第一服务网络名称对应第一网络的标识；所述第一统一数据管理功能部署于所述第一网络，所述第二统一数据管理功能部署于第二网络；

所述第一统一数据管理功能接收来自于接入与移动性管理功能的用户设备认证请求，所述用户设备认证请求包括所述用户设备的第二标识，所述第二标识对应所述第一标识，或者所述第二标识与第一标识相同，所述接入与移动性管理功能部署于所述第一网络；

所述第一统一数据管理功能根据所述第二标识确定所述第一标识对应的所述随机数、所述认证令牌和所述第一密钥；

所述第一统一数据管理功能向所述接入与移动性管理功能发送所述随机数和所述认证令牌；

所述第一统一数据管理功能向所述接入与移动性管理功能发送所述第一密钥对应的第二密钥。
一种通信方法，其特征在于，包括：

第一统一数据管理功能接收来自于第二统一数据管理功能的用户设备的第一标识、随机数、认证令牌和第一密钥，所述第一密钥对应所述用户设备的长期密钥和第一服务网络名称，所述第一服务网络名称对应第一网络的标识；所述第一统一数据管理功能部署于所述第一网络，所述第二统一数据管理功能部署于第二网络；

接入与移动性管理功能向所述第一统一数据管理功能发送用户设备认证请求，所述用户设备认证请求包括所述用户设备的第二标识，所述第二标识对应所述第一标识，或者所述第二标识与第一标识相同，所述接入与移动性管理功能部署于所述第一网络；

所述第一统一数据管理功能接收来自于接入与移动性管理功能的所述用户设备认证请求；

所述第一统一数据管理功能根据所述第二标识确定所述第一标识对应的所述随机数、所述认证令牌和所述第一密钥；

所述第一统一数据管理功能向所述接入与移动性管理功能发送所述随机数和所述认证令牌；

所述接入与移动性管理功能向所述用户设备发送所述随机数和所述认证令牌；

所述接入与移动性管理功能向所述第一统一数据管理功能发送所述用户设备通过认证的指示；

所述第一统一数据管理功能向所述接入与移动性管理功能发送所述第一密钥对应的第二密钥。
如权利要求1或2所述的方法，其特征在于，所述第一标识包括所述用户设备的签约永久标识，所述第二标识包括所述签约永久标识或根据所述签约永久标识确定的第一签约隐藏标识；或者，

所述第一标识包括所述用户设备的隐藏的签约永久标识，所述第二标识包括根据所述隐藏的签约永久标识确定的第二签约隐藏标识，所述用户设备的隐藏的签约永久标识对应于所述用户设备的签约永久标识。
如权利要求3所述的方法，其特征在于，

所述第一标识包括所述隐藏的签约永久标识，所述第二标识包括根据所述隐藏的签约永久标识确定的第二签约隐藏标识，所述方法还包括：

所述第一统一数据管理功能根据第一私钥解密所述第二签约隐藏标识获得所述隐藏的签约永久标识；或者，

所述第一标识包括所述用户设备的签约永久标识，所述第二标识包括根据所述签约永久标识确定的第一签约隐藏标识，所述方法还包括：

所述第一统一数据管理功能根据第二私钥解密所述第一签约隐藏标识获得所述签约永久标识；

其中，所述第一私钥和所述第二私钥不同。
如权利要求4所述的方法，其特征在于，所述第一私钥对应于所述第一统一数据管理功能，所述第二私钥对应于所述第二统一数据管理功能。
一种通信方法，其特征在于，包括：

第二统一数据管理功能确定随机数、认证令牌和第一密钥，所述第一密钥对应用户设备的长期密钥和第一服务网络名称，所述第一服务网络名称对应第一网络的标识，所述第二统一数据管理功能部署于第二网络；

所述第二统一数据管理功能向第一统一数据管理功能发送所述用户设备的第一标识、所述随机数、所述认证令牌和所述第一密钥，所述第一统一数据管理功能部署于所述第一网络。
如权利要求6所述的方法，其特征在于，所述第一标识包括所述用户设备的签约永久标识或所述用户设备的隐藏的签约永久标识，所述用户设备的隐藏的签约永久标识对应于所述用户设备的签约永久标识。
一种通信装置，其特征在于，包括：

通信模块，用于接收来自于第二统一数据管理功能的用户设备的第一标识、随机数、认证令牌和第一密钥，所述第一密钥对应所述用户设备的长期密钥和第一服务网络名称，所述第一服务网络名称对应第一网络的标识；所述通信装置部署于所述第一网络，所述第二统一数据管理功能部署于第二网络；

所述通信模块，还用于接收来自于接入与移动性管理功能的用户设备认证请求，所述用户设备认证请求包括所述用户设备的第二标识，所述第二标识对应所述第一标识，或者所述第二标识与第一标识相同，所述接入与移动性管理功能部署于所述第一网络；

处理模块，用于根据所述第二标识确定所述第一标识对应的所述随机数、所述认证令牌和所述第一密钥；

所述通信模块，还用于向所述接入与移动性管理功能发送所述随机数和所述认证令牌；

所述通信模块，还用于向所述接入与移动性管理功能发送所述第一密钥对应的第二密钥。
如权利要求8所述的装置，其特征在于，所述第一标识包括所述用户设备的签约永久标识，所述第二标识包括所述签约永久标识或根据所述签约永久标识确定的第一签约隐藏标识；或者，

所述第一标识包括所述用户设备的隐藏的签约永久标识，所述第二标识包括根据所述隐藏的签约永久标识确定的第二签约隐藏标识，所述用户设备的隐藏的签约永久标识对应于所述用户设备的签约永久标识。
如权利要求9所述的装置，其特征在于，

所述第一标识包括所述隐藏的签约永久标识，所述第二标识包括根据所述隐藏的签约永久标识确定的第二签约隐藏标识，所述处理模块还用于：

根据第一私钥解密所述第二签约隐藏标识获得所述隐藏的签约永久标识；或者，

所述第一标识包括所述用户设备的签约永久标识，所述第二标识包括根据所述签约永久标识确定的第一签约隐藏标识，所述处理模块还用于：

根据第二私钥解密所述第一签约隐藏标识获得所述签约永久标识；

其中，所述第一私钥和所述第二私钥不同。
如权利要求10所述的装置，其特征在于，所述第一私钥对应于所述第二统一数据管理功能，所述第二私钥对应于所述第一统一数据管理功能。
一种通信装置，其特征在于，包括：

处理模块，用于确定随机数、认证令牌和第一密钥，所述第一密钥对应用户设备的长期密钥和第一服务网络名称，所述第一服务网络名称对应第一网络的标识；

通信模块，用于向第一统一数据管理功能发送所述用户设备的第一标识、所述随机数、所述认证令牌和所述第一密钥，所述第一统一数据管理功能部署于所述第一网络，所述通信装置部署于第二网络。
如权利要求12所述的装置，其特征在于，所述第一标识包括签约永久标识或所述用户设备的隐藏的签约永久标识，所述用户设备的隐藏的签约永久标识对应于所述用户设备的签约永久标识。
一种通信系统，其特征在于，包括第一统一数据管理功能和接入与移动性管理功能：

所述第一统一数据管理功能，用于接收来自于第二统一数据管理功能的用户设备的第一标识、随机数、认证令牌和第一密钥，所述第一密钥对应所述用户设备的长期密钥和第一服务网络名称，所述第一服务网络名称对应第一网络的标识；所述第一统一数据管理功能部署于所述第一网络，所述第二统一数据管理功能部署于第二网络；

所述接入与移动性管理功能，用于预约向所述第一统一数据管理功能发送用户设备认证请求，所述用户设备认证请求包括所述用户设备的第二标识，所述第二标识对应所述第一标识，或者所述第二标识与第一标识相同，所述接入与移动性管理功能部署于所述第一网络；

所述第一统一数据管理功能，还用于接收来自于接入与移动性管理功能的所述用户设备认证请求；

所述第一统一数据管理功能，还用于根据所述第二标识确定所述第一标识对应的所述随机数、所述认证令牌和所述第一密钥；

所述第一统一数据管理功能，还用于向所述接入与移动性管理功能发送所述随机数和所述认证令牌；

所述接入与移动性管理功能，还用于向所述用户设备发送所述随机数和所述认证令牌；

所述接入与移动性管理功能，还用于向所述第一统一数据管理功能发送所述用户设备通过认证的指示；

所述第一统一数据管理功能，还用于向所述接入与移动性管理功能发送所述第一密钥对应的第二密钥。
如权利要求14所述的通信系统，其特征在于，所述第一标识包括所述用户设备的签约永久标识，所述第二标识包括所述签约永久标识或根据所述签约永久标识确定的第一签约隐藏标识；或者，

所述第一标识包括所述用户设备的隐藏的签约永久标识，所述第二标识包括根据所述隐藏的签约永久标识确定的第二签约隐藏标识，所述用户设备的隐藏的签约永久标识对应于所述用户设备的签约永久标识。
如权利要求15所述的通信系统，其特征在于，

所述第一标识包括所述隐藏的签约永久标识，所述第二标识包括根据所述隐藏的签约永久标识确定的第二签约隐藏标识，所述第一统一数据管理功能还用于：

根据第一私钥解密所述第二签约隐藏标识获得所述隐藏的签约永久标识；或者，

所述第一标识包括所述用户设备的签约永久标识，所述第二标识包括根据所述签约永久标识确定的第一签约隐藏标识，所述第一统一数据管理功能还用于：

根据第二私钥解密所述第一签约隐藏标识获得所述签约永久标识；

其中，所述第一私钥和所述第二私钥不同。
如权利要求16所述的通信系统，其特征在于，所述第一私钥对应于所述第一统一数据管理功能，所述第二私钥对应于所述第二统一数据管理功能。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序或指令，当所述计算机程序或指令被计算设备执行时，以使得所述计算设备执行如权利要求1，以及3至7中任一项所述的方法。