WO2023226051A1

WO2023226051A1 - 为个人物联网设备选择认证机制的方法及装置、ue、网络功能及存储介质

Info

Publication number: WO2023226051A1
Application number: PCT/CN2022/095773
Authority: WO
Inventors: 梁浩然; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-05-27
Filing date: 2022-05-27
Publication date: 2023-11-30
Also published as: CN117480796A

Abstract

本公开是关于一种为个人物联网设备选择认证机制的方法及装置、UE、网络功能及存储介质，所述方法包括：接收个人物联网PIN基元发送的以下信息的至少之一：PIN基元支持的认证方法名称、PIN基元标识符、PIN基元认证指示符。向第一网络功能发送第一消息，以向所述第一网络功能指示PIN基元认证过程；其中，所述第一消息中携带有以下信息的至少之一：PIN基元认证指示符、PIN基元支持的认证方法名称、PIN基元网关的订阅隐藏标识符SUCI或5G全球唯一临时标识5G-GUTI、PIN基元标识符。本公开实现了5G核心网对PIN基元的身份认证，提升了PIN的通信安全。

Description

为个人物联网设备选择认证机制的方法及装置、UE、网络功能及存储介质

技术领域

本公开涉及一种个人物联网网络(Personal IoT Network，PIN)中的身份认证技术，尤其涉及一种为个人物联网设备选择认证机制的方法及装置、用户设备(User Equipment，UE)、网络功能及存储介质。

背景技术

个人物联网网络(Personal IoT Network，PIN)由使用PIN直接连接或直接网络连接进行通信的PIN基元组成，并使用具有管理能力的PIN基元(Personal IoT Network Element，PINE)进行本地管理。PIN的示例包括可穿戴设备网络和智能家居、智能办公设备。通过具有网关功能的PIN基元，PIN基元可以访问5G网络服务，并且可以与不在范围内的PIN基元进行通信以使用PIN直接连接。PIN包括至少一个具有网关功能的PIN基元(PIN Element with Gateway Capability，PEGC)和至少一个具有管理能力的PIN基元(PIN Element with Management Capability，PEMC)。PEGC和PEMC也可以是直接接入5GS的UE。PEMC能够通过PEGC访问5GS。

目前，尚未有针对PIN基元启动身份认证的技术方案可供参考。

发明内容

有鉴于此，本公开实施例提供了一种为个人物联网设备选择认证机制的方法及装置、UE、网络功能及存储介质。

根据本公开的第一方面，提供一种为个人物联网设备选择认证机制的方法，应用于UE，包括：

接收个人物联网PIN基元发送的以下信息的至少之一：PIN基元支持的认证方法名称、PIN基元标识符、PIN基元认证指示符。

在一些示例性实施例中，所述方法还包括：

向第一网络功能发送第一消息，以向所述第一网络功能指示PIN基元认证过程；其中，所述第一消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元支持的认证方法名称、PIN基元网关(PIN element with gateway capability)的订阅隐藏标识符(Subscription Concealed Identifier，SUCI)或5G全球唯一临时标识(5G Globally Unique Temporary Identifier，5G-GUTI)、PIN基元标识符。

在一些示例性实施例中，所述向第一网络功能发送第一消息，包括：

响应于接收PIN基元的第二消息，向所述第一网络功能发送所述第一消息。

将所述第一消息封装为非接入层NAS消息，向所述第一网络功能发送。

在一些示例性实施例中，所述UE作为PIN基元网关使能。

根据本公开的第二方面，提供一种为个人物联网设备选择认证机制的方法，应用于第二网络功能，所述方法包括：

针对PIN基元网关的认证请求进行授权，并为PIN基元认证选择认证方式。

在一些示例性实施例中，所述认证请求中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN基元支持的认证方法名称、服务网络标识如服务网络(Serving Network，SN)名称。

在一些示例性实施例中，所述PIN基元标识符为受保护的信息或不受保护的信息；其中，所述PIN基元标识符的受保护方式包括以下至少之一：加密、匿名化；

所述对PIN基元网关的认证请求进行授权，包括：

在所述PIN基元标识符为受保护的信息的情况下，对所述PIN基元标识符进行去保护化后，对PIN基元网关的认证请求进行授权。

在一些示例性实施例中，所述对PIN基元网关的认证请求进行授权，包括：

根据所述PIN基元网关的订阅隐藏标识符SUCI和/或用户永久标识符SUPI、PIN基元标识符、PIN基元网关的订阅信息，确定所述PIN基元网关为合法网关，且为所述PIN基元的网关。

若所述PIN基元网关的标识信息为SUCI，将SUCI转换为SUPI，再对所述PIN基元网关的认证请求进行授权。

在一些示例性实施例中，所述方法还包括：

为所述PIN基元选择PIN基元支持的认证方法。

在一些示例性实施例中，所述为PIN基元选择PIN基元支持的认证方法，包括：

基于所述PIN基元发送的PIN基元标识符和PIN基元支持的认证方法名称为所述PIN基元选择认证方法。

在一些示例性实施例中，所述方法还包括：

所述第二网络功能能辨识所述PIN基元认证指示符。

根据本公开的第三方面，提供一种为个人物联网设备选择认证机制的方法，应用于第一网络功能，所述方法包括：

接收PIN基元网关发送的第三消息；

其中，所述第三消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元支持的认证方法名称、PIN基元网关的订阅隐藏标识符SUCI、5G全球唯一临时标识5G-GUTI、PIN基元标识符。

在一些示例性实施例中，所述方法还包括：

向第三网络功能发送第四消息，以指示PIN基元认证过程；

其中，所述第四消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN基元支持的认证方法名称、服务网络标识。

在一些示例性实施例中，所述方法还包括：

所述第一网络功能能辨识所述PIN基元认证指示符。

根据本公开的第四方面，提供一种为个人物联网设备选择认证机制的方法，应用于第三网络功能，所述方法包括：

接收第一网络功能发送的第五消息；

其中，所述第五消息中携带有以下信息的至少之一：

在一些示例性实施例中，所述方法还包括：

向第四网络功能发送第六消息；

其中，所述第六消息中携带有以下信息的至少之一：

在一些示例性实施例中，所述方法还包括：

所述第三网络功能能辨识所述PIN基元认证指示符。

根据本公开的第五方面，提供一种为个人物联网设备选择认证机制的方法，应用于第四网络功能，所述方法包括：

接收第三网络功能发送的第七消息；

其中，所述第七消息中携带有以下信息的至少之一：

在一些示例性实施例中，所述方法还包括：

向第二网络功能发送第八消息；

其中，所述第八消息中携带有以下信息的至少之一：

在一些示例性实施例中，所述方法还包括：

所述第四网络功能能辨识所述PIN基元认证指示符。

根据本公开的第六方面，提供一种为个人物联网设备选择认证机制的装置，包括：

接收单元，配置为接收个人物联网PIN基元发送的以下信息的至少之一：PIN基元支持的认证方法名称、PIN基元标识符、PIN基元认证指示符。

在一些示例性实施例中，所述装置还包括：

发送单元，配置为向第一网络功能发送第一消息，以向所述第一网络功能指示PIN基元认证过程；

其中，所述第一消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元支持的认证方法名称、PIN基元网关的订阅隐藏标识符SUCI或5G全球唯一临时标识5G-GUTI、PIN基元标识符。

根据本公开的第七方面，提供一种为个人物联网设备选择认证机制的装置，所述装置包括：

授权单元，配置为对PIN基元网关的认证请求进行授权；其中，所述PIN基元网关允许基于PIN基元网关的标识信息和PIN基元标识符对PIN基元执行认证过程。

在一些示例性实施例中，所述装置还包括：

选择单元，配置为为所述PIN基元选择PIN基元支持的认证方法。

在一些示例性实施例中，所述选择单元，还配置为：

基于所述PIN基元发送的PIN基元标识符和PIN基元支持的认证方法名称为所述PIN基元选择认证方式。

根据本公开的第八方面，提供一种为个人物联网设备选择认证机制的装置，所述装置包括：

接收单元，配置为接收PIN基元网关发送的第三消息；

其中，所述第三消息中携带有以下信息的至少之一：

在一些示例性实施例中，所述装置还包括：

发送单元，配置为向第三网络功能发送第四消息，以指示PIN基元认证过程；

其中，所述第四消息中携带有以下信息的至少之一：

根据本公开的第九方面，提供一种为个人物联网设备选择认证机制的装置，所述装置包括：

接收单元，配置为接收第一网络功能发送的第五消息；

其中，所述第五消息中携带有以下信息的至少之一：

在一些示例性实施例中，所述装置还包括：

发送单元，配置为向第四网络功能发送第六消息；

其中，所述第六消息中携带有以下信息的至少之一：

根据本公开的第十方面，提供一种为个人物联网设备选择认证机制的装置，所述装置包括：

接收单元，配置为接收第三网络功能发送的第七消息；

其中，所述第七消息中携带有以下信息的至少之一：

在一些示例性实施例中，所述装置还包括：

发送单元，配置为向第二网络功能发送第八消息；

其中，所述第八消息中携带有以下信息的至少之一：

根据本公开的第十一方面，提供一种用户设备，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行第一方面所述的为个人物联网设备选择认证机制的方法的步骤。

根据本公开的第十二方面，提供一种网络功能，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行第二方面所述的为个人物联网设备选择认证机制的方法的步骤。

根据本公开的第十三方面，提供一种网络功能，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行第三方面所述的为个人物联网设备选择认证机制的方法的步骤。

根据本公开的第十四方面，提供一种网络功能，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行第四方面所述的为个人物联网设备选择认证机制的方法的步骤。

根据本公开的第十五方面，提供一种网络功能，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行第五方面所述的为个人物联网设备选择认证机制的方法的步骤。

根据本公开的第十六方面，提供一种存储介质，其上存储有可执行程序，所述可执行程序被处理器执行时实现所述的为个人物联网设备选择认证机制的方法的步骤。

本公开实施例的技术方案，PIN基元通过网关接入PIN的情况下，网络需要对该PIN基元进行认证，PIN基元与PEGC之间建立安全的非3GPP链接，并协商相应的身份认证方式并发起认证。本公开实施例实现了5G核心网对PIN基元的身份认证，提升了PIN的通信安全。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明实施例，并与说明书一起用于解释本发明实施例的原理。

图1是根据一示例性实施例示出的无线通信系统的结构示意图；

图2是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图；

图3是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图；

图4是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图；

图5是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图；

图6是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图；

图7是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图；

图8是根据一示例性实施例示出的为个人物联网设备选择认证机制的装置的组成结构示意图；

图9是根据一示例性实施例示出的为个人物联网设备选择认证机制的装置的组成结构示意图；

图10是根据一示例性实施例示出的为个人物联网设备选择认证机制的装置的组成结构示意图；

图11是根据一示例性实施例示出的为个人物联网设备选择认证机制的装置的组成结构示意图；

图12是根据一示例性实施例示出的为个人物联网设备选择认证机制的装置的组成结构示意图；

图13是根据一示例性实施例示出的一种用户设备的组成结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于蜂窝移动通信技术的通信系统，该无线通信系统可以包括：若干个终端11以及若干个基站12。

其中，终端11可以是指向用户提供语音和/或数据连通性的设备。终端11可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，终端11可以是物联网终端，如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网终端的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程终端(remote terminal)、接入终端(access terminal)、用户装置(user terminal)、用户代理(user agent)、终端(user device)、或用户终端(user equipment，UE)。或者，终端11也可以是无人飞行器的设备。或者，终端11也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线通信设备。或者，终端11也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

基站12可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口(new radio，NR)系统或5G NR系统。或者，该无线通信系统也可以是任一代系统。其中，5G系统中的接入网可以称为新一代无线接入网(New Generation-Radio Access Network，NG-RAN)。或者，MTC系统。

其中，基站12可以是4G系统中采用的演进型基站(eNB)。或者，基站12也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站12采用集中分布式架构时，通常包括集中单元(Central Unit，CU)和至少两个分布单元(Distributed Unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体访问控制(Media Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对基站12的具体实现方式不加以限定。

基站12和终端11之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

在一些实施例中，终端11之间还可以建立端到端(End to End，E2E)连接。比如车联网通信(vehicle to everything，V2X)中的V2V(vehicle to vehicle，车对车)通信、车对路边设备(vehicle to Infrastructure，V2I)通信和车对人(vehicle to Pedestrian，V2P)通信等场景。

在一些实施例中，上述无线通信系统还可以包含网络管理设备13。

本公开实施例涉及的执行主体包括但不限于：蜂窝移动通信系统中的终端(UE，User Equipment)，以及蜂窝移动通信的基站等。

图2是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图，如图2所示，本公开实施例的为个人物联网设备选择认证机制的方法应用于UE，所述为个人物联网设备选择认证机制的方法包括以下处理步骤：

步骤201，接收个人物联网PIN基元发送的以下信息的至少之一：PIN基元支持的认证方法名称、PIN基元标识符、PIN基元认证指示符。

本公开实施例中，UE可以作为PIN基元(PIN element)的接入网关，即可以作为私有物联网网关如PEGC使能。PIN基元可以通过UE接入5G移动网中。

作为PEGC的UE可以与PIN基元之间协商如何建立安全的非3GPP链接，并协商相应的PIN基元身份认证方式等。

步骤202，向第一网络功能发送第一消息，以向所述第一网络功能指示PIN基元认证过程。

其中，在UE接收到PIN基元发送的第二消息的情况下，向所述第一网络功能发送所述第一消息。这里，第二消息可以是触发消息，该第二消息中可以携带PIN基元支持的认证方法名称、PIN基元标识符等信息。

所述第一消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元支持的认证方法名称、PIN基元网关的订阅隐藏标识符SUCI或5G全球唯一临时标识5G-GUTI、PIN基元标识符。这里，为了保证网络功能之间消息传输的安全性，可以将所述第一消息封装为非接入层(Non-Access-Stratum，NAS)消息，再向所述第一网络功能发送。本领域技术人员应当理解，采用NAS消息仅为处于安全性考虑，也可以采用其他类型的消息实现上述信息的传输。

第一网络功能可以包括接入及移动性管理功能AMF。本领域技术人员应当理解，当核心网的其他网络功能实现AMF的功能的情况下，也可以作为第一网络功能使能。或者，核心网的其他网络功能配置了本公开实施例的第一网络功能的相应功能的情况下，也可以作为第一网络功能使能。

图3是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图，如图3所示，本公开实施例的为个人物联网设备选择认证机制的方法应用于第二网络功能，所述第二网络功能可以包括统一数据管理功能(Unified Data Management，UDM)或地址解析协议功能(Address Resolution Protocol Function，ARPF)。本领域技术人员应当理解，当核心网的其他网络功能配置了本公开实施例的第二网络功能的相应功能的情况下，也可以作为第二网络功能使能。所述为个人物联网设备选择认证机制的方法包括以下处理步骤：

步骤301，针对PIN基元网关的认证请求进行授权。

本公开实施例中，对PIN基元网关的认证请求进行授权，包括：第二网络功能需要根据PIN基元网关(PIN element with gateway capability)的SUCI或者SUPI、PIN基元标识符、以及相应的PIN基元网关的订阅信息，判断PEGC是否是合法的网关，以及是否是PIN基元(PINE)的网关。第二网络功能还需要为PINE选择相应的认证方式。其中，若所述PIN基元网关的标识信息为SUCI，将SUCI转换为SUPI，再对所述PIN基元网关的认证请求进行授权。

本公开实施例中，所述认证请求中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN基元支持的认证方法名称、服务网络标识。服务网络标识包括但不限于服务网络名称(Serving Network Name)等。

步骤302，为PIN基元认证选择认证方式。

本公开实施例中，第二网络功能基于所述PIN基元发送的PIN基元标识符和PIN基元支持的认证方法名称为所述PIN基元选择认证方式。

本公开实施例中，所述PIN基元标识符为受保护的信息或不受保护的信息；其中，所述PIN基元标识符的受保护方式包括以下至少之一：加密、匿名化；这里的加密算法可以是MD5算法、SHA1算法、HMAC算法、AES/DES算法等。在所述PIN基元标识符为受保护的信息的情况下，需要对所述PIN基元标识符进行去保护化后，对PIN基元网关的认证请求进行授权。

本公开实施例中，所述第二网络功能能辨识所述PIN基元认证指示符。

图4是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图，如图4所示，本公开实施例的为个人物联网设备选择认证机制的方法应用于第一网络功能，所述为个人物联网设备选择认证机制的方法包括以下处理步骤：

步骤401，接收PIN基元网关发送的第三消息。

其中，所述第三消息中携带有以下信息的至少之一：

本公开实施例中，这里，第三消息可以是NAS消息。本领域技术人员应当理解，采用NAS消息仅为处于安全性考虑，也可以采用其他类型的消息实现上述信息的传输。

作为一种实现方式，第一网络功能接收PIN基元网关发送的第三消息，可以是由PIN基元通过PEGC向第一网络功能发送该消息。本领域技术人员应当理解，不同网络功能之间传输相关信息的情况下，需要根据不同的网络接口进行相应的消息封装，这里不限定具体的消息格式，只要能进行信息的传输即可。

作为一种示例，第一网络功能可以包括接入及移动性管理功能AMF。本领域技术人员应当理解，当核心网的其他网络功能实现AMF的功能的情况下，也可以作为第一网络功能使能。或者，核心网的其他网络功能配置了本公开实施例的第一网络功能的相应功能的情况下，也可以作为第一网络功能使能。

步骤402，向第三网络功能发送第四消息，以指示PIN基元认证过程。

本公开实施例中，第三网络功能可以包括安全锚定功能(SEcurity Anchor Function，SEAF)。本领域技术人员应当理解，当核心网的其他网络功能实现SEAF的功能的情况下，也可以作为第三网络功能使能。或者，核心网的其他网络功能配置了本公开实施例的第三网络功能的相应功能的情况下，也可以作为第三网络功能使能。

AUSF在接收到第四消息后，通过将服务网络名称与预期的服务网络名称进行比较来检查服务网络中的请求AMF是否有权使用第四消息中的服务网络名称。如果服务网络未被授权使用服务网络名称，则AUSF向AMF发送拒绝消息。如果服务网络授权使用服务网络名，则AUSF向UDM发送相应的请求消息。

本公开实施例中，所述第四消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN基元支持的认证方法名称、服务网络标识。这里，PIN基元认证指示符的基本作用是：指示本条消息的目的是进行PINE的认证。

作为一种实现方式，第四消息是支持AMF和SEAF之间通信协议的消息，能够实现在AMF和SEAF之间进行信息传输。

本公开实施例中，第一网络功能能辨识所述PIN基元认证指示符。

图5是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图，如图5所示，本公开实施例的为个人物联网设备选择认证机制的方法应用于第三网络功能，本公开实施例中，第三网络功能可以包括安全锚定功能(SEcurity Anchor Function，SEAF)。本领域技术人员应当理解，当核心网的其他网络功能实现SEAF的功能的情况下，也可以作为第三网络功能使能。或者，核心网的其他网络功能配置了本公开实施例的第三网络功能的相应功能的情况下，也可以作为第三网络功能使能。所述为个人物联网设备选择认证机制的方法包括以下处理步骤：

步骤501，接收第一网络功能发送的第五消息。

其中，所述第五消息中携带有以下信息的至少之一：

在本实施例中，第一网络功能可以包括接入及移动性管理功能AMF。本领域技术人员应当理解，当核心网的其他网络功能实现AMF的功能的情况下，也可以作为第一网络功能使能。或者，核心网的其他网络功能配置了本公开实施例的第一网络功能的相应功能的情况下，也可以作为第一网络功能使能。

本公开实施例中，第五消息是支持AMF和SEAF之间通信协议的消息，能够实现在AMF和SEAF之间进行信息传输。

步骤502，向第四网络功能发送第六消息。

其中，所述第六消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN 基元支持的认证方法名称、服务网络标识。

本公开实施例中，第四网络功能可以包括AUSF。本领域技术人员应当理解，当核心网的其他网络功能实现AUSF的功能的情况下，也可以作为第四网络功能使能。或者，核心网的其他网络功能配置了本公开实施例的第四网络功能的相应功能的情况下，也可以作为第四网络功能使能。

本公开实施例中，第六消息是支持鉴权服务功能(Authentication Service Function，AUSF)和SEAF之间通信协议的消息，能够实现在AUSF和SEAF之间进行信息传输。

本公开实施例中，所述第三网络功能能辨识所述PIN基元认证指示符。本公开实施例中，第三网络功能可以包括安全锚定功能(SEcurity Anchor Function，SEAF)。本领域技术人员应当理解，当核心网的其他网络功能实现SEAF的功能的情况下，也可以作为第三网络功能使能。或者，核心网的其他网络功能配置了本公开实施例的第三网络功能的相应功能的情况下，也可以作为第三网络功能使能。

图6是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图，如图6所示，本公开实施例的为个人物联网设备选择认证机制的方法应用于第四网络功能，本公开实施例中，第四网络功能可以包括AUSF。本领域技术人员应当理解，当核心网的其他网络功能实现AUSF的功能的情况下，也可以作为第四网络功能使能。或者，核心网的其他网络功能配置了本公开实施例的第四网络功能的相应功能的情况下，也可以作为第四网络功能使能。所述为个人物联网设备选择认证机制的方法包括以下处理步骤：

步骤601，接收第三网络功能发送的第七消息。

其中，所述第七消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN 基元支持的认证方法名称、服务网络标识。本公开实施例中，第三网络功能可以包括安全锚定功能(SEcurity Anchor Function，SEAF)。本领域技术人员应当理解，当核心网的其他网络功能实现SEAF的功能的情况下，也可以作为第三网络功能使能。或者，核心网的其他网络功能配置了本公开实施例的第三网络功能的相应功能的情况下，也可以作为第三网络功能使能。

本公开实施例中，第七消息是支持AUSF和SEAF之间通信协议的消息，能够实现在AUSF和SEAF之间进行信息传输。

步骤602，向第二网络功能发送第八消息。

其中，所述第八消息中携带有以下信息的至少之一：

本公开实施例中，第七消息是支持AUSF和UDM/ARPF之间通信协议的消息，能够实现在AUSF和UDM/ARPF之间进行信息传输。

本公开实施例中，所述第四网络功能能辨识所述PIN基元认证指示符。所述第二网络功能可以包括统一数据管理功能(Unified Data Management，UDM)或地址解析协议功能(Address Resolution Protocol Function，ARPF)。本领域技术人员应当理解，当核心网的其他网络功能配置了本公开实施例的第二网络功能的相应功能的情况下，也可以作为第二网络功能使能。

以下通过具体示例，进一步阐明本公开实施例的技术方案的本质。

目前，随着物联网技术及设备的不断发展，有一些类型的物联网设备可以放置于人的身体周围，如可以置放于可穿戴设备如相机、耳机、手表、耳机、健康监视器等中，也可以分散在家里如置放于智能灯、摄像头、恒温器、门传感器、语音助手、扬声器、冰箱、洗衣机、割草机、机器人等中，或置放于小型企业的办公室如打印机、仪表、传感器中。一些物联网设备在尺寸方面有非常具体的要求例如设置于耳塞中的情况下，一些物联网设备在重量方面有非常具体的要求例如设置于穿戴设备如眼镜中的情况下。此外，一些物联网设备在多个方面如尺寸、重量和功耗等均有非常具体的要求。随着物联网设备数量的急剧增加，用户需要使用这些物联网设备创建相应的网络，以实现对物联网设备的管理和访问等。

用户创建的网络由构成个人物联网网络(PIN)的设备组成。PIN中一般包含三种设备(PIN Element)：具有网关能力的设备(PIN Element with Gateway Capability，PEGC)、具有管理能力的设备(PIN Element with Management Capability，PEMC)和没有网关和管理功能的设备。PEGC和PEMC也可以是直接接入5GS的UE。PEMC能够通过PEGC访问5GS。

本公开实施例即提供一种由5GC启动针对PIN基元的身份认证过程，并为其选择相应的身份认证方式。

本公开实施例中，假设PIN基元标识符已与PEGC的订阅信息相关联。假设PEGC已经注册到5GC。PEGC和AMF之间的连接受NAS安全性保护。AMF和SEAF并置。当然，也AMF和SEAF也可以分开设置，这里仅作为一示例如图7进行解释。

图7是根据一示例性实施例示出的为个人物联网设备选择认证机制的方法的流程示意图，如图7所示，本公开实施例的为个人物联网设备选择认证机制的方法以下处理步骤：

步骤1，PIN基元与PEGC之间协商安全的非3GPP连接。PIN基元向PEGC发送PIN基元认证指示符、PIN基元支持的认证方法名称、PIN基元标识符等信息。

具体地，PIN基元将其标识符发送给PEGC。PIN基元可以通过安全的非3GPP连接支持身份认证。如何在PIN元件和PEGC之间建立安全连接超出了3GPP的范围。

步骤2，PEGC向AMF发送NAS消息，该NAS消息中携带有PIN基元认证指示符、PIN基元标识符、PIN基元支持的认证方法名称、PEGC的SUCI或5G-GUTI等信息。

步骤3，当AMF希望启动身份认证的情况下，AMF通过向AUSF发送Nausf_UEAuthentication_Authenticate Request消息来调用Nausf_UEAuthentication服务。其中，Nausf_UEAuthentication_Authenticate Request消息可以包含PIN基元认证指示符、PIN基元标识符、PIN基元支持的认证方法名称、PEGC的SUPI或SUCI，以及服务网络标识等信息。

步骤4，AUSF在接收到Nausf_UEAuthentication_Authenticate Request消息后，AUSF通过将服务网络名称与预期的服务网络名称进行比较来检查服务网络中的请求AMF是否有权使用Nausf_UEAuthentication_Authenticate请求中的服务网络名称。AUSF将临时存储接收到的服务网络名称。如果服务网络未被授权使用服务网络名称，则AUSF可以在Nausf_UEAuthentication_Authenticate响应消息中以“服务网络未授权”，向AMF进行响应。如果服务网络被授权使用服务网络名称，则AUSF向UDM发送Nudm_UEAuthentication_Get Request消息，该发送至UDM的Nudm_UEAuthentication_Get Request消息可以包括PIN基元认证指示符、PIN基元标识符、PEGC的SUPI或SUCI、PIN基元支持的认证方法名称、服务网络标识。

步骤5，UDM在接收到Nudm_UEAuthentication_Get Request消息后，如果接收到PEGC的SUCI，则UDM将调用订阅标识符去隐藏功能(Subscription Identifier De-concealing Function，SIDF)，以将PEGC的SUCI解密为PEGC的SUPI。若UDM接收到的PIN基元标识符为受保护的信息如经过加密或匿名化方式处理的信息，则UDM将调用订阅标识符去隐藏功能(Subscription Identifier De-concealing Function，SIDF)，即对受保护的 PIN基元标识符进行解密或去匿名化处理等，在对所述PIN基元标识符进行去保护化后，对PIN基元网关的认证请求进行授权。这里，可以选用MD5算法、SHA1算法、HMAC算法、AES/DES算法等对所述PIN基元标识符进行保护化处理。DM确定接收到PEGC的SUCI的情况下，将PEGC的SUCI转换为SUPI，再为PIN基元选择相应的认证方法。

步骤6，UDM/ARPF根据PEGC的SUPI和PIN基元标识符，根据PEGC的订阅认证允许PEGC执行PIN基元的认证过程，然后基于PIN基元发送的PIN基元标识符和PIN基元支持的认证方法名称，为PIN基元的认证选择认证方式。

本公开实施例实现了5G核心网对PIN基元的身份认证，提升了PIN的通信安全。

图8是根据一示例性实施例示出的为个人物联网设备选择认证机制的装置的组成结构示意图，如图8所示，本公开实施例的为个人物联网设备选择认证机制的装置可以应用于UE中，所述装置包括：

接收单元80，配置为接收个人物联网PIN基元发送的以下信息的至少之一：PIN基元支持的认证方法名称、PIN基元标识符、PIN基元认证指示符。

在图8所示的为个人物联网设备选择认证机制的装置的基础上，所述装置还包括：

发送单元(图8中未示出)，配置为向第一网络功能发送第一消息，以向所述第一网络功能指示PIN基元认证过程；

其中，所述第一消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元支持的认证方法名称、PIN基元网关的订阅隐藏标识符SUCI或5G全球唯一临时标识5G-GUTI、PIN基元标识符。这里，所述发送单元响应于接收单元80接收PIN基元的第三消息，向所述第一网络功能发送所述第一消息。为了保证网络功能之间消息传输的安全性，可以将所述第一消息封装为非接入层(Non-Access-Stratum，NAS)消息，再向所述第一网络功能发送。

本公开实施例的UE可以作为PEGC而使能。

在示例性实施例中，接收单元80、发送单元等可以被一个或多个中央处理器(CPU，Central Processing Unit)、图形处理器(GPU，Graphics Processing Unit)、基带处理器(BP，Base Processor)、应用专用集成电路(ASIC，Application Specific Integrated Circuit)、数字信号处理器(Digital Signal Processor，DSP)、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、现场可编程门阵列(FPGA，Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU，Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现，也可以结合一个或多个射频(RF，Radio Frequency)天线实现，用于执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

在本公开实施例中，图8示出的装置中各个单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图9是根据一示例性实施例示出的为个人物联网设备选择认证机制的装置的组成结构示意图，如图9所示，本公开实施例的为个人物联网设备选择认证机制的装置可以应用于第二网络功能如UDM/ARPF中，所述装置包括：

授权单元90，配置为对PIN基元网关的认证请求进行授权；其中，所述PIN基元网关允许基于PIN基元网关的标识信息和PIN基元标识符对PIN基元执行认证过程。

所述认证请求中携带有以下信息的至少之一：

在图9所示的为个人物联网设备选择认证机制的装置的基础上，所述装置还包括：

选择单元(图9中未示出)，配置为为所述PIN基元选择PIN基元支持的认证方法。

所述选择单元，还配置为：

这里，第二网络功能能够识别PIN基元认证指示符。

在示例性实施例中，授权单元90、选择单元等可以被一个或多个中央处理器(CPU，Central Processing Unit)、图形处理器(GPU，Graphics Processing Unit)、基带处理器(BP，Base Processor)、应用专用集成电路(ASIC，Application Specific Integrated Circuit)、数字信号处理器(Digital Signal Processor，DSP)、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、现场可编程门阵列(FPGA，Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU，Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现，也可以结合一个或多个射频(RF，Radio Frequency)天线实现，用于执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

在本公开实施例中，图9示出的装置中各个单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图10是根据一示例性实施例示出的为个人物联网设备选择认证机制的装置的组成结构示意图，如图10所示，本公开实施例的为个人物联网设备选择认证机制的装置可以应用于第一网络功能如AMF中，所述装置包括：

接收单元100，配置为接收PIN基元网关发送的第三消息；

其中，所述第三消息中携带有以下信息的至少之一：

在图10所示的为个人物联网设备选择认证机制的装置的基础上，所述装置还包括：

发送单元(图10中未示出)，配置为向第三网络功能发送第四消息，以指示PIN基元认证过程；

其中，所述第四消息中携带有以下信息的至少之一：

这里，第一网络功能能够识别PIN基元认证指示符。

在示例性实施例中，接收单元100、发送单元等可以被一个或多个中央处理器(CPU，Central Processing Unit)、图形处理器(GPU，Graphics Processing Unit)、基带处理器(BP，Base Processor)、应用专用集成电路(ASIC，Application Specific Integrated Circuit)、数字信号处理器(Digital Signal Processor，DSP)、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、现场可编程门阵列(FPGA，Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU，Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现，也可以结合一个或多个射频(RF，Radio Frequency)天线实现，用于执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

在本公开实施例中，图10示出的装置中各个单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图11是根据一示例性实施例示出的为个人物联网设备选择认证机制的装置的组成结构示意图，如图11所示，本公开实施例的为个人物联网设备选择认证机制的装置可以应用于第三网络功能如SEAF中，所述装置包括：

接收单元110，配置为接收第一网络功能发送的第五消息；

其中，所述第五消息中携带有以下信息的至少之一：

在图11所示的为个人物联网设备选择认证机制的装置的基础上，所述装置还包括：

发送单元(图11中未示出)，配置为向第四网络功能发送第六消息；

其中，所述第六消息中携带有以下信息的至少之一：

这里，第三网络功能能够识别PIN基元认证指示符。

在示例性实施例中，接收单元110、发送单元等可以被一个或多个中央处理器(CPU，Central Processing Unit)、图形处理器(GPU，Graphics Processing Unit)、基带处理器(BP，Base Processor)、应用专用集成电路(ASIC，Application Specific Integrated Circuit)、数字信号处理器(Digital Signal Processor，DSP)、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、现场可编程门阵列(FPGA，Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU，Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现，也可以结合一个或多个射频(RF， Radio Frequency)天线实现，用于执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

在本公开实施例中，图11示出的装置中各个单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图12是根据一示例性实施例示出的为个人物联网设备选择认证机制的装置的组成结构示意图，如图12所示，本公开实施例的为个人物联网设备选择认证机制的装置可以应用于第四网络功能如AUSF中，所述装置包括：

接收单元120，配置为接收第三网络功能发送的第七消息；

其中，所述第七消息中携带有以下信息的至少之一：

在图12所示的为个人物联网设备选择认证机制的装置的基础上，所述装置还包括：

发送单元(图12中未示出)，配置为向第二网络功能发送第八消息；

其中，所述第八消息中携带有以下信息的至少之一：

这里，第四网络功能能够识别PIN基元认证指示符。

在示例性实施例中，接收单元120、发送单元等可以被一个或多个中央处理器(CPU，Central Processing Unit)、图形处理器(GPU，Graphics Processing Unit)、基带处理器(BP，Base Processor)、应用专用集成电路(ASIC，Application Specific Integrated Circuit)、数字信号处理器(Digital Signal Processor，DSP)、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、现场可编程门阵列(FPGA，Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU，Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现，也可以结合一个或多个射频(RF，Radio Frequency)天线实现，用于执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

在本公开实施例中，图12示出的装置中各个单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图13是根据一示例性实施例示出的一种用户设备8000的框图。例如，用户设备8000可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图13，用户设备8000可以包括以下一个或多个基元：处理基元8002，存储器8004，电源基元8006，多媒体基元8008，音频基元8010，输入/输出(I/O)的接口8012，传感器基元8014，以及通信基元8016。

处理基元8002通常控制用户设备8000的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理基元8002可以包括一个或多个处理器8020来执行指令，以完成上述的为个人物联网设备选择认证机制的方法的全部或部分步骤。此外，处理基元8002可以包括一个或多个模块，便于处理基元8002和其他基元之间的交互。例如，处理基元8002可以包括多媒体模块，以方便多媒体基元8008和处理基元8002之间的交互。

存储器8004被配置为存储各种类型的数据以支持在设备8000的操作。这些数据的示例包括用于在用户设备8000上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器8004可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器 (ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源基元8006为用户设备8000的各种基元提供电力。电源基元8006可以包括电源管理系统，一个或多个电源，及其他与为用户设备8000生成、管理和分配电力相关联的基元。

多媒体基元8008包括在用户设备8000和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体基元8008包括一个前置摄像头和/或后置摄像头。当设备8000处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频基元8010被配置为输出和/或输入音频信号。例如，音频基元8010包括一个麦克风(MIC)，当用户设备8000处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器8004或经由通信基元8016发送。在一些实施例中，音频基元8010还包括一个扬声器，用于输出音频信号。

I/O接口8012为处理基元8002和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器基元8014包括一个或多个传感器，用于为用户设备8000提供各个方面的状态评估。例如，传感器基元8014可以检测到设备8000的打开/关闭状态，基元的相对定位，例如基元为用户设备8000的显示器和小键盘，传感器基元8014还可以检测用户设备8000或用户设备8000中一个基元的位置改变，用户与用户设备8000接触的存在或不存在，用户设备8000方位或加速/减速和用户设备8000的温度变化。传感器基元8014可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器基元8014还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器基元8014还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信基元8016被配置为便于用户设备8000和其他设备之间有线或无线方式的通信。用户设备8000可以接入基于通信标准的无线网络，如Wi-Fi，2G或3G，或它们的组合。在一个示例性实施例中，通信基元8016经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信基元8016还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，用户设备8000可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述为个人物联网设备选择认证机制的方法的步骤。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器8004，上述指令可由用户设备8000的处理器8020执行以完成上述为个人物联网设备选择认证机制的方法的步骤。例如，非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

本公开实施例还记载了一种第一网络功能，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

本公开实施例还记载了一种第二网络功能，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

本公开实施例还记载了一种第三网络功能，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

本公开实施例还记载了一种第四网络功能，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

本公开实施例还记载了一种用户设备，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

本公开实施例还记载了一种存储介质，其上存储有可执行程序，所述可执行程序被处理器执行前述实施例的为个人物联网设备选择认证机制的方法的步骤。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明实施例的其它实施方案。本申请旨在涵盖本发明实施例的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明实施例的一般性原理并包括本公开实施例未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明实施例的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明实施例并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明实施例的范围仅由所附的权利要求来限制。

Claims

一种为个人物联网设备选择认证机制的方法，应用于用户设备UE，所述方法包括：

接收个人物联网PIN基元发送的以下信息的至少之一：PIN基元支持的认证方法名称、PIN基元标识符、PIN基元认证指示符。
根据权利要求1所述的方法，其中，所述方法还包括：

向第一网络功能发送第一消息，以向所述第一网络功能指示PIN基元认证过程；其中，所述第一消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元支持的认证方法名称、PIN基元网关的订阅隐藏标识符SUCI或5G全球唯一临时标识5G-GUTI、PIN基元标识符。
根据权利要求2所述的方法，其中，所述向第一网络功能发送第一消息，包括：

响应于接收PIN基元的第二消息，向所述第一网络功能发送所述第一消息。
根据权利要求2所述的方法，其中，所述向第一网络功能发送第一消息，包括：

将所述第一消息封装为非接入层NAS消息，向所述第一网络功能发送。
根据权利要求1至4任一项所述的方法，其中，所述UE作为PIN基元网关使能。
一种为个人物联网设备选择认证机制的方法，应用于第二网络功能，所述方法包括：

针对PIN基元网关的认证请求进行授权并为PIN基元认证选择认证方式方法。
根据权利要求6所述的方法，其中，所述认证请求中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN基元支持的认证方法名称、服务网络标识。
根据权利要求7所述的方法，其中，所述PIN基元标识符为受保护的信息或不受保护的信息；其中，所述PIN基元标识符的受保护方式包括以下至少之一：加密、匿名化；

所述对PIN基元网关的认证请求进行授权，包括：

在所述PIN基元标识符为受保护的信息的情况下，对所述PIN基元标识符进行去保护化后，对PIN基元网关的认证请求进行授权。
根据权利要求7所述的方法，其中，所述对PIN基元网关的认证请求进行授权，包括：

根据所述PIN基元网关的订阅隐藏标识符SUCI和/或用户永久标识符SUPI、PIN基元标识符、PIN基元网关的订阅信息，确定所述PIN基元网关为合法网关，且为所述PIN基元的网关。
根据权利要求9所述的方法，其中，所述对PIN基元网关的认证请求进行授权，包括：

若所述PIN基元网关的标识信息为SUCI，将SUCI转换为SUPI，再对所述PIN基元网关的认证请求进行授权。
根据权利要求6至10任一项所述的方法，其中，所述方法还包括：

为所述PIN基元选择PIN基元支持的认证方法。
根据权利要求11所述的方法，其中，所述为PIN基元选择PIN基元支持的认证方法，包括：

基于所述PIN基元发送的PIN基元标识符和PIN基元支持的认证方法名称为所述PIN基元选择认证方式。
一种为个人物联网设备选择认证机制的方法，应用于第一网络功能，所述方法包括：

接收PIN基元网关发送的第三消息；

其中，所述第三消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元支持的认证方法名称、PIN基元网关的订阅隐藏标识符SUCI、5G全球唯一临时标识5G-GUTI、PIN基元标识符。
根据权利要求13所述的方法，其中，所述方法还包括：

向第三网络功能发送第四消息，以指示PIN基元认证过程；

其中，所述第四消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN基元支持的认证方法名称、服务网络标识。
一种为个人物联网设备选择认证机制的方法，应用于第三网络功能，所述方法包括：

接收第一网络功能发送的第五消息；

其中，所述第五消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、认证方式、服务网络标识。
根据权利要求15所述的方法，其中，所述方法还包括：

向第四网络功能发送第六消息；

其中，所述第六消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN基元支持的认证方法名称、服务网络标识。
一种为个人物联网设备选择认证机制的方法，应用于第四网络功能，所述方法包括：

接收第三网络功能发送的第七消息；

其中，所述第七消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN 基元支持的认证方法名称、服务网络标识。
根据权利要求17所述的方法，其中，所述方法还包括：

向第二网络功能发送第八消息；

其中，所述第八消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN基元支持的认证方法名称、服务网络标识。
一种为个人物联网设备选择认证机制的装置，所述装置包括：

接收单元，配置为接收个人物联网PIN基元发送的以下信息的至少之一：PIN基元支持的认证方法名称、PIN基元标识符、PIN基元认证指示符。
一种为个人物联网设备选择认证机制的装置，所述装置包括：

授权单元，配置为对PIN基元网关的认证请求进行授权；其中，所述PIN基元网关允许基于PIN基元网关的标识信息和PIN基元标识符对PIN基元执行授权过程。
一种为个人物联网设备选择认证机制的装置，所述装置包括：

接收单元，配置为接收PIN基元网关发送的第三消息；

其中，所述第三消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元支持的认证方法名称、PIN基元网关的订阅隐藏标识符SUCI、5G全球唯一临时标识5G-GUTI、PIN基元标识符。
一种为个人物联网设备选择认证机制的装置，所述装置包括：

接收单元，配置为接收第一网络功能发送的第五消息；

其中，所述第五消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN基元支持的认证方法名称、服务网络标识。
一种为个人物联网设备选择认证机制的装置，所述装置包括：

接收单元，配置为接收第三网络功能发送的第七消息；

其中，所述第七消息中携带有以下信息的至少之一：

PIN基元认证指示符、PIN基元标识符、PIN基元网关的标识信息、PIN基元支持的认证方法名称、服务网络标识。
一种用户设备，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行如权利要求1至5任一项所述的为个人物联网设备选择认证机制的方法的步骤。
一种网络功能，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行如权利要求6至12或13至14或15至16或17至18中任一项所述的为个人物联网设备选择认证机制的方法的步骤。
一种存储介质，其上存储有可执行程序，所述可执行程序被处理器执行时实现如权利要求1至18任一项所述的为个人物联网设备选择认证机制的方法的步骤。