WO2024007325A1

WO2024007325A1 - Eap认证方法、装置、通信设备及存储介质

Info

Publication number: WO2024007325A1
Application number: PCT/CN2022/104718
Authority: WO
Inventors: 梁浩然; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-07-08
Filing date: 2022-07-08
Publication date: 2024-01-11
Also published as: CN117678254A

Abstract

本公开实施例提供一种EAP认证处理方法、装置、通信设备及存储介质；EAP认证处理方法由SMF执行，包括：发送EAP响应消息，其中，EAP响应消息用于DN-AAA服务器启动基于EAP的认证。

Description

EAP认证方法、装置、通信设备及存储介质

技术领域

本公开涉及但不限于无线通信技术领域，尤其涉及一种EAP认证方法、装置、通信设备及存储介质。

背景技术

目前无线通信中规定的可扩展的认证协议(Extensible Authentication Protocol，EAP)框架将用于用户设备(User Equipment，UE)和外部数据网络中认证授权计费(data network-(authentication、authorization、accounting)，DN-AAA)服务器之间的认证。会话管理功能(Session Management Function，SMF)将扮演认证者的角色。根据目前无线通信，只有在服务器发送EAP请求或者身份信息后，DN-AAA服务器才会收到EAP响应或者身份信息。然而，目前SMF无法向DN-AAA服务器发送EAP响应或者身份信息等。

发明内容

本公开实施例提供一种EAP认证处理方法、装置、通信设备及存储介质。

根据本公开的第一方面，提供一种EAP认证处理方法，由SMF执行，包括：

发送EAP响应消息，其中，EAP响应消息用于DN-AAA服务器启动基于EAP的认证。

在一些实施例中，EAP响应消息，包括：UE的身份信息；EAP响应消息用于DN-AAA服务器启动基于EAP的身份信息的认证。

在一些实施例中，发送EAP响应消息，包括：基于接收到UE的身份信息，向DN-AAA服务器发送EAP响应消息。

在一些实施例中，方法包括：向UE发送EAP请求消息，其中，EAP请求消息，用于请求UE的身份信息。

在一些实施例中，发送EAP响应消息，包括：响应于SMF支持Diameter协议，向DN-AAA服务器发送DER消息，其中，DER消息包括EAP响应消息。

在一些实施例中，发送EAP响应消息，包括：响应于SMF支持RADIUS协议，向DN-AAA服务器发送第一访问请求包，其中，第一访问请求包，包括：EAP响应消息。

在一些实施例中，第一访问请求包，包括EAP消息属性；EAP消息属性包括EAP响应消息。

在一些实施例中，方法包括：向DN-AAA服务器发送第二访问请求包；其中，第二访问请求包，用于触发DN-AAA服务器请求EAP响应消息；

向DN-AAA服务器发送第一访问请求包，包括：

若接收到基于第二访问请求确定的第一访问挑战包，向DN-AAA服务器发送第一访问请求包；其中，第一访问挑战包，用于请求EAP响应消息。

在一些实施例中，第二访问请求包，包括指示EAP开始消息的EAP消息属性，其中，EAP开始消息用于触发DN-AAA服务器请求EAP响应消息。

在一些实施例中，方法包括：接收EAP成功消息，其中，EAP成功消息是DN-AAA服务器确定与UE的EAP认证成功后发送的。

在一些实施例中，接收EAP成功消息，包括：

接收DN-AAA发送的DEA消息，其中，DEA消息包括EAP成功消息；和/或，

接收DN-AAA发送的第二访问挑战包，其中，第二访问挑战包，包括EAP成功消息。

在一些实施例中，方法还包括：

存储EAP成功认证的UE的身份信息；或者，

将EAP成功认证的UE的身份信息发送给UDM，其中，UE的身份信息用于存储在UDM中。

在一些实施例中，发送EAP响应消息，包括：通过用户面功能(User Plane Function，UPF)向DN-AAA服务器发送EAP响应消息；

和/或，接收EAP成功消息，包括：通过UPF接收DN-AAA服务器发送的EAP成功消息。

在一些实施例中，SMF包括归属会话功能实体(Home Session Management Function，H-SMF)；

方法包括：通过拜访地移动会话功能实体(Visited Session Management Function，V-SMF)接收UE发送的UE的身份信息。

根据本公开的第二方面，提供一种EAP认证处理方法，由DN-AAA服务器执行，包括：

接收EAP响应消息；

基于EAP响应消息，启动基于EAP的认证。

在一些实施例中，EAP响应消息，包括：UE的身份信息；

基于EAP响应消息，启动EAP认证，包括：基于EAP响应消息，启动基于EAP的身份信息的认证。

在一些实施例中，接收EAP响应消息，包括：接SMF发送的DER消息，其中，DER消息包括EAP响应消息。

在一些实施例中，接收EAP响应消息，包括：接收SMF发送的第一访问请求包，其中，第一访问请求包，包括：EAP响应消息。

在一些实施例中，接收SMF发送的第一访问请求包之前，包括：

接收SMF发送的第二访问请求包；其中，第二访问请求包，用于触发DN-AAA服务器请求EAP响应消息；

向SMF发送第一访问挑战包，其中，第一访问挑战包，用于请求EAP响应消息。

在一些实施例中，方法包括：

响应于确定与UE的EAP认证成功，发送EAP成功消息。

在一些实施例中，发送EAP成功消息，包括：

向SMF发送的DEA消息，其中，DEA消息包括EAP成功消息；或者，

向SMF发送的第二访问挑战包，其中，第二访问挑战包，包括EAP成功消息。

在一些实施例中，接收EAP响应消息，包括：

通过UPF接收SMF发送的EAP响应消息；和/或，

发送EAP成功消息，包括：

通过UPF向SMF发送EAP成功消息。

根据本公开的第三方面，提供一种EAP认证处理装置，包括：

第一发送模块，被配置为发送EAP响应消息，其中，EAP响应消息用于DN-AAA服务器启动基于EAP的认证。

在一些实施例中，第一发送模块，被配置为基于接收到UE的身份信息，向DN-AAA服务器发送EAP响应消息。

在一些实施例中，第一发送模块，被配置为向UE发送EAP请求消息，其中，EAP请求消息，用于请求UE的身份信息。

在一些实施例中，第一发送模块，被配置为响应于SMF支持Diameter协议，向DN-AAA服务器发送DER消息，其中，DER消息包括EAP响应消息。

在一些实施例中，第一发送模块，被配置为响应于SMF支持RADIUS协议，向DN-AAA服务器发送第一访问请求包，其中，第一访问请求包，包括：EAP响应消息。

在一些实施例中，第一发送模块，被配置为向DN-AAA服务器发送第二访问请求包；其中，第二访问请求包，用于触发DN-AAA服务器请求EAP响应消息；

第一发送模块，被配置为若接收到基于第二访问请求确定的第一访问挑战包，向DN-AAA服务器发送第一访问请求包；其中，第一访问挑战包，用于请求EAP响应消息。

在一些实施例中，装置包括：第一接收模块，被配置为接收EAP成功消息，其中，EAP成功消息是DN-AAA服务器确定与UE的EAP认证成功后发送的。

在一些实施例中，第一接收模块，被配置为接收DN-AAA发送的DEA消息，其中，DEA消息包括EAP成功消息；和/或

第一接收模块，被配置为接收DN-AAA发送的第二访问挑战包，其中，第二访问挑战包，包括EAP成功消息。

在一些实施例中，装置还包括：

第一处理模块，被配置为存储EAP成功认证的UE的身份信息；或者，

第一处理模块，被配置为将EAP成功认证的UE的身份信息发送给UDM，其中，UE的身份信息用于存储在UDM中。

在一些实施例中，第一发送模块，被配置为通过UPF向DN-AAA服务器发送EAP响应消息；

和/或，

第一接收模块，被配置为通过UPF接收DN-AAA服务器发送的EAP成功消息。

在一些实施例中，SMF包括H-SMF；

第一接收模块，被配置为通过V-SMF接收UE发送的UE的身份信息。

根据本公开的第二方面，提供一种EAP认证处理装置，由DN-AAA服务器执行，包括：

第二接收模块，被配置为接收EAP响应消息；

第二处理模块，被配置为基于EAP响应消息，启动基于EAP的认证。

在一些实施例中，EAP响应消息，包括：UE的身份信息；

第二处理模块，被配置为基于EAP响应消息，启动基于EAP的身份信息的认证。

在一些实施例中，第二接收模块，被配置为接SMF发送的DER消息，其中，DER消息包括EAP响应消息。

在一些实施例中，第二接收模块，被配置为接收SMF发送的第一访问请求包，其中，第一访问请求包，包括：EAP响应消息。

在一些实施例中，第二接收模块，被配置为接收SMF发送的第二访问请求包；其中，第二访问请求包，用于触发DN-AAA服务器请求EAP响应消息；

第二发送模块，被配置为向SMF发送第一访问挑战包，其中，第一访问挑战包，用于请求EAP响应消息。

在一些实施例中，第二发送模块，被配置为响应于确定与UE的EAP认证成功，发送EAP成功消息。

在一些实施例中，第二发送模块，被配置为向SMF发送的DEA消息，其中，DEA消息包括EAP成功消息；或者，

第二发送模块，被配置为向SMF发送的第二访问挑战包，其中，第二访问挑战包，包括EAP成功消息。

在一些实施例中，第二接收模块，被配置为通过UPF接收SMF发送的EAP响应消息；和/或，

第二发送模块，被配置为通过UPF向SMF发送EAP成功消息。

根据本公开的第五方面，提供一种通信设备，通信设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，处理器被配置为：用于运行可执行指令时，实现本公开任意实施例的EAP认证处理方法。

根据本公开的第六方面，提供一种计算机存储介质，计算机存储介质存储有计算机可执行程序，可执行程序被处理器执行时实现本公开任意实施例的EAP认证处理方法。

本公开实施例提供的技术方案可以包括以下有益效果：

在本公开实施例中，SMF向DN-AAA服务器发送EAP响应消息，其中，EAP响应消息用于DN-AAA服务器启动基于EAP的认证。如此，可以无需在接收到DN-AAA服务器的EAP请求时，就可以通过SMF向DN-AAA服务发送EAP响应消息，进而有利于实现基于EAP的认证。。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开实施例。

附图说明

图1是根据一示例性实施例示出的一种无线通信系统的结构示意图。

图2是根据一示例性实施例示出的一种EAP认证处理方法的示意图。

图3是根据一示例性实施例示出的一种EAP认证处理方法的示意图。

图4是根据一示例性实施例示出的一种EAP认证处理方法的示意图。

图5是根据一示例性实施例示出的一种EAP认证处理方法的示意图。

图6是根据一示例性实施例示出的一种EAP认证处理方法的示意图。

图7是根据一示例性实施例示出的一种EAP认证处理方法的示意图。

图8是根据一示例性实施例示出的一种EAP认证处理装置的框图。

图9是根据一示例性实施例示出的一种EAP认证处理装置的框图。

图10是根据一示例性实施例示出的一种UE的框图。

图11是根据一示例性实施例示出的一种基站的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于蜂窝移动通信技术的通信系统，该无线通信系统可以包括：若干个用户设备110以及若干个基站120。

其中，用户设备110可以是指向用户提供语音和/或数据连通性的设备。用户设备110可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，用户设备110可以是物联网用户设备，如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网用户设备的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、用户设备(user device)、或用户设备(user equipment)。或者，用户设备110也可以是无人飞行器的设备。或者，用户设备110也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线用户设备。或者，用户设备110也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

基站120可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口系统或5G NR系统。或者，该无线通信系统也可以是5G系统的再下一代系统。其中，5G系统中的接入网可以称为新一代无线接入网(New Generation-Radio Access Network，NG-RAN)。

其中，基站120可以是4G系统中采用的演进型基站(eNB)。或者，基站120也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站120采用集中分布式架构时，通常包括集中单元(central unit，CU)和至少两个分布单元(distributed unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体接入控制(Medium Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对基站120的具体实现方式不加以限定。

基站120和用户设备110之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

在一些实施例中，用户设备110之间还可以建立E2E(End to End，端到端)连接。比如车联网通信(vehicle to everything，V2X)中的车对车(vehicle to vehicle，V2V)通信、车对路边设备(vehicle to Infrastructure，V2I)通信和车对人(vehicle to pedestrian，V2P)通信等场景。

这里，上述用户设备可认为是下面实施例的终端设备。

在一些实施例中，上述无线通信系统还可以包含网络管理设备130。

若干个基站120分别与网络管理设备130相连。其中，网络管理设备130可以是无线通信系统中的核心网设备，比如，该网络管理设备130可以是演进的数据分组核心网(Evolved Packet Core，EPC)中的移动性管理实体(Mobility Management Entity，MME)。或者，该网络管理设备也可以是其它的核心网设备，比如服务网关(Serving GateWay，SGW)、公用数据网网关(Public Data Network GateWay，PGW)、策略与计费规则功能单元(Policy and Charging Rules Function，PCRF)或者归属签约用户服务器(Home Subscriber Server，HSS)等。对于网络管理设备130的实现形态，本公开实施例不做限定。

为了便于本领域内技术人员理解，本公开实施例列举了多个实施方式以对本公开实施例的技术方案进行清晰地说明。当然，本领域内技术人员可以理解，本公开实施例提供的多个实施例，可以被单独执行，也可以与本公开实施例中其他实施例的方法结合后一起被执行，还可以单独或结合后与其他相关技术中的一些方法一起被执行；本公开实施例并不对此作出限定。

需要说明的是，本公开实施例中涉及到多个执行主体时，当一个执行主体向另一个执行主体发送某一传输时，可以是指一个执行主体直接向另一个执行主体发送传输，也可以是指一个执行主体通过其他任意设备向另一个执行主体发送传输；本公开实施例中并不对此进行限定。

如图2所示，本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：

步骤S21：发送EAP响应消息，其中，EAP响应消息用于DN-AAA服务器启动基于EAP的认证。

在一个实施例中，步骤S21可以是：接收UE发送的EAP响应消息。

这里，UE可以是各种移动终端或固定终端。例如，该UE可以是但不限于是手机、计算机、服务器、可穿戴设备、车载终端、路侧单元(RSU，Road Side Unit)、游戏控制平台或多媒体设备等。

这里，SMF、DN-AAA服务器及以下涉及的UPF等均可以是通信网络中灵活部署的逻辑节点或者功能等。例如，SMF、DN-AAA服务器及UPF均可以是核心网侧的逻辑节点或者功能；又如，DN-AAA服务器是与核心网连接的数据网络中的逻辑节点或者功能。

在一个实施例中，EAP响应消息可以是EAP response-identity消息或者EAP response/identity消息。这里，该EAP response-identity消息或者EAP response/identity消息是一种封装格式的消息。

在一个实施例中，若UE处于非漫游情况下或者本地分流(Local Breakout，LBO)漫游情况下，SMF为单个SMF。

在另一个实施例中，若UE处于归属地路由(home-routed roaming，HR)漫游情况下，SMF包括：拜访地会话管理功能(V-SMF)及归属地会话管理功能(H-SMF)；其中，H-SMF向DN-AAA服务器发送EAP响应消息。

在一个实施例中，步骤S21中发送EAP响应消息，包括：通过UPF向DN-AAA服务器发送EAP响应消息。

本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：通过UPF向DN-AAA服务器发送EAP响应消息。

在本公开实施例中，SMF向DN-AAA服务器发送EAP响应消息，该EAP响应消息用于DN-AAA服务器启动基于EAP的认证；如此，可以无需在接收到DN-AAA服务器的EAP请求时，就可以通过SMF向DN-AAA服务发送EAP响应消息，进而有利于实现基于EAP的认证。

并且，可以通过UPF转发SMF发送的EAP响应消息给DN-AAA服务器，实现了成功将EAP响应消息发送给DN-AAA服务器。

本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：发送EAP响应消息，其中，EAP响应消息包括UE的身份信息；EAP响应消息用于DN-AAA服务器启动基于EAP的身份信息的认证。

这里，UE的身份信息，可以用于唯一标识UE。

示例性的，UE的身份信息可以是UE的标识信息。例如，UE的标识信息可以是但不限于是签约用户永久标识(Subscriber Permanent Identifier，SUPI)、通用公共订阅标识(Generic Public Subscription Identifier，GPSI)及用户隐藏标识(Subscription Concealed Identifier，SUCI)等的其中之一。又如，UE的标识信息可以是网络设备与UE协商的或者通信协议规定的编号或者索引等。

这里，SMF可以获取UE的身份信息。例如，可以接收接入与移动性管理功能(Access and Mobility Management Function，AMF)发送的UE的身份信息。

如此，在本公开实施例中，可以直接通过SMF发送携带UE的身份信息的EAP响应消息，从而有利于实现对基于EAP对UE的身份信息的认证。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

在一些实施例中，步骤S21中发送EAP响应消息，包括：基于接收到UE的身份信息，向DN-AAA 服务器发送EAP响应消息。

如图3所示，本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：

步骤S31：基于接收到UE的身份信息，向DN-AAA服务器发送EAP响应消息。

在本公开的一些实施例中，EAP响应消息可以是步骤S21中EAP响应消息；UE的身份信息可以是上述实施例中UE的身份信息。

在本公开的一些实施例中，SMF可以为上述实施例中SMF；例如SMF可以为单个SMF；又如，SMF可以为V-SMF及H-SMF。

本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：接收AMF发送的UE的身份信息；其中，UE的身份信息是AMF从UE中获取的。

在一些实施例中，步骤S31，包括：基于接收到EAP响应消息，向DN-AAA服务器发送EAP响应消息，其中，EAP响应消息包括UE的身份信息。

如此，在本公开实施例中，SMF可以获取UE主动发送给SMF的UE的身份信息，就可以向DN-AAA服务器发送的EAP响应消息以触发基于EAP的认证。

在一些实施例中，SMF包括H-SMF；

方法包括：通过V-SMF接收UE发送的UE的身份信息。

本公开实施例提供一种EAP认证处理方法，由H-SMF执行，包括：通过V-SMF接收UE发送的UE的身份信息。这里，V-SMF可以从AMF中获取UE的身份信息。

如此，在HR漫游的情况下时，可以H-SMF可以基于V-SMF获取UE发送的UE的身份信息。

在一些实施例中，步骤S21之前，包括：向UE发送EAP请求消息，其中，EAP请求消息，用于请求UE的身份信息。

本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：

向UE发送EAP请求消息，其中，EAP请求消息，用于请求UE的身份信息；

基于接收到UE的身份信息，向DN-AAA服务器发送EAP响应消息。

在一个实施例中，EAP请求消息可以是EAP Request-Identity消息或者EAP Request/Identity消息。这里，EAP Request-Identity消息或者EAP Request/Identity消息是一种分装格式的消息。

这里，SMF向UE发送EAP请求消息后，也可以是：接收到UE发送的EAP响应消息，其中，EAP响应消息包括UE的身份信息。

这里，SMF向UE发送EAP请求消息可以是：SMF向AMF发送EAP请求消息，AMF将EAP请求消息发送给UE。SMF接收UE发送的UE的身份信息可以是：AMF接收UE发送的UE的身份信息，并将UE的身份信息转发给SMF。这里，SMF与UE之间的交互可以通过AMF实现。

如此，在本公开实施例中，SMF可以通过主动向UE发送EAP请求消息，以请求UE发送的UE的身份信息或者包括UE的身份信息的EAP请求消息。

在一些实施例中，步骤S21中发送EAP响应消息，包括：响应于SMF支持Diameter协议，向DN-AAA服务器发送DER消息，其中，DER消息包括EAP响应消息。

如图4所示，本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：

步骤S41：响应于SMF支持Diameter协议，向DN-AAA服务器发送DER消息，其中，DER消息包括EAP响应消息。

在本公开的一些实施例中，SMF可以为上述实施例中SMF；例如SMF可以为单个SMF；又如，SMF可以为V-SMF及H-SMF的其中至少之一。

在一个实施例中，DER消息可以是Diameter-EAP-Request消息。

在一个实施例中，DER消息的EAP有效载荷(via EAP payload)携带EAP响应消息；EAP响应消息包括身份信息。

在一个实施例中，UPF支持的协议可与SMF支持的协议保持一致。示例性的，若SMF支持Diameter协议，则UPF支持Diameter协议。

在另一个实施例中，UPF支持的协议也可与SMF支持的协议不保持一致。示例性的，若SMF支持Diameter协议，UPF也可以不支持Diameter协议；这里，UPF可用于转发消息。

如此，在本公开实施例中，当SMF支持Diameter协议时，可以通过Diameter协议承载该EAP响应消息，从而使得DN-AAA服务器能够读懂EAP响应消息。例如读懂EAP响应消息中包括的UE的身份信息等。

并且，在本公开实施例中，可以直接通过SMF给DN-AAA服务器发送EAP响应消息，以触发UE与DN-AAA服务器基于EAP的UE的身份信息的验证；如此可以减少信令的交互。

在一些实施例中，步骤S21中发送EAP响应消息，包括：响应于SMF支持RADIUS协议，向DN-AAA服务器发送第一访问请求包，其中，第一访问请求包，包括：EAP响应消息。

如图5所示，本公实施例提供一种EAP认证处理方法，由SMF执行，包括：

步骤S51：响应于SMF支持RADIUS协议，向DN-AAA服务器发送第一访问请求包，其中，第一访问请求包，包括：EAP响应消息。

这里，第一访问请求包可以是Access-Request packet；EAP消息属性可以是EAP-Message attribute。

步骤S51中向DN-AAA服务器发送第一访问请求包，包括：若接收到基于第二访问请求确定的第一访问挑战包，向DN-AAA服务器发送第一访问请求包；其中，第一访问挑战包，用于请求EAP响应消息。

本公实施例提供一种EAP认证处理方法，由SMF执行，包括：

向DN-AAA服务器发送第二访问请求包；其中，第二访问请求包，用于触发DN-AAA服务器请求EAP响应消息；

这里，第二访问请求包可以是Access-Request packet；EAP开始消息可以是EAP-Start消息。

这里，第一访问挑战包可以是Access-Challenge packet。这里，第一访问挑战包，可用于请求UE的身份信息。

示例性的，SMF向DN-AAA服务器发送第二访问请求包(Access-Request packet)，该第二访问请求包，包括指示EAP开始(EAP-Start)消息的EAP消息属性(EAP-Message attribute(s))；该第二访问请求包用于触发DN-AAA服务器请求UE的身份信息。DN-AAA服务器接收到SMF发送第二访问请求包后，向SMF发送第一访问挑战包(Access-Challenge packet)，其中，第一访问挑战包括分装了EAP请求消息的EAP消息属性，且第一访问挑战包用于请求EAP响应消息。SMF接收到到该第一访问挑战包后，向DN-AAA服务器发送第一访问请求包(Access-Request packet)，该第一访问请求包，包括EAP消息属性；EAP消息属性包括EAP响应消息(EAP Response/Identity message)。这里，EAP响应消息包括UE的身份信息。

当然，在其它实施例中，第一访问请求包和第二访问请求包均可以是其它任意可实现格式的请求包；第一访问挑战包及第二访问挑战包均可以是其它任意可实现格式挑战包；在此不对第一访问请求包、第二访问请求包、第一访问挑战包及第二访问挑战包作限制。

在其它的实施例中，EAP响应消息也可以封装在第一访问请求包中的任意单元中，在此不对EAP响应消息被携带在第一访问请包的具体形式作限制。

在一个实施例中，UPF支持的协议可与SMF支持的协议保持一致。示例性的，若SMF支持Radius协议，则UPF支持Radius协议。

在另一个实施例中，UPF支持的协议也可与SMF支持的协议不保持一致。示例性的，若SMF支持Radius协议，UPF也可以不支持Radius协议；这里，UPF可用于转发消息。

如此，在本公开实施例中，当SMF支持RADIUS协议时，可以通过RADIUS协议承载该EAP响应消息，从而使得DN-AAA服务器能够读懂EAP响应消息。例如读懂EAP响应消息中包括的UE的身份信息等。

并且，在通常情况下是不允许UE触发基于EAP的UE的身份信息的认证；但由于本公开实施例中可使用RADIUS协议，从而可以使得该RADIUS协议可以通过发送EAP-Start消息以触发DN-AAA服务器请求EAP响应消息。如此可以通过EAP-Start消息触发基于EAP的认证，进而实现了UE主动触发基于EAP的UE的身份信息的认证。

本公实施例提供一种EAP认证处理方法，由SMF执行，包括：接收EAP成功消息，其中，EAP成功消息是DN-AAA服务器确定与UE的EAP认证成功后发送的。

在一些实施例中，接收EAP成功消息，包括：

这里，EAP成功消息，用于指示基于EAP的UE的身份信息认证成功。这里，DN-AAA服务器与UE的EAP认证成功是指：DN-AAA服务器基于EAP的UE的身份信息认证成功。这里，UE的身份信息是被授权的身份信息。

在一个实施例中，DEA消息可以是Diameter-EAP-Answer消息。

在一个实施例中，DEA消息的有效载荷(via EAP payload)携带EAP成功消息。

在一个实施例中，第二访问挑战包可以是Access-Challenge packet。

在一个实施例中，第二访问挑战包的EAP消息属性携带EAP成功消息。

示例性的，SMF若支持Diameter协议，SMF接收DN-AAA服务器发送的DEA消息，该DEA消息包括EAP成功消息；SMF基于该EAP成功消息确定基于EAP的UE的身份信息认证成功。

示例性的，SMF若支持RADIUS协议，SMF接收DN-AAA服务器发送的第二访问挑战包，该第二访问挑战包的EAP消息属性包括EAP成功消息；SMF基于该EAP成功消息确定基于EAP的UE的身份信息认证成功。

如此，在本公开实施例中，SMF若支持Diameter协议和/或RADIUS协议时，可以通过接收Diameter协议分装的DEA消息和/或RADIUS协议分装第二访问包，从而确定获得并读懂DEA消息和/或第二访问挑战包中的内容。

在一些实施例中，接收EAP成功消息，包括：通过UPF接收DN-AAA服务器发送的EAP成功消息。

本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：通过UPF接收DN-AAA服务器发送的EAP成功消息。

本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：通过UPF接收DN-AAA发送的DEA消息，其中，DEA消息包括EAP成功消息；和/或，接收DN-AAA发送的第二访问挑战包，其中，第二访问挑战包，包括EAP成功消息。

在本公开实施例中，可以通过UPF转发DN-AAA服务器发送的EAP成功消息给SMF，以使得SMF可以成功接收到该EAP成功消息。

本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：存储EAP成功认证的UE的身份信息。

这里，SMF还可以存储以下至少之一：

EAP成功认证的UE的身份信息及对应的数据网络(DN)的标识信息；

EAP成功认证的UE的身份信息及对应的DN-AAA服务器的标识信息。

如此，本公开实施例可以通过存储EAP成功认证的UE的身份信息，以利于后续基于UE的身份信息的相关操作。

本公开实施例提供一种EAP认证处理方法，由SMF执行，包括：将EAP成功认证的UE的身份信息发送给UDM，其中，UE的身份信息用于存储在UDM中。

示例性的，SMF可以将EAP成功认证的UE的身份信息发送给UDM；UDM接收到UE的身份信息后将该UE的身份信息存储在授权信息中。若SMF还发送与UE的身份信息对应的DN的标识信息及DN-AAA服务器的标识信息等给UDM，UDM也可以将DN的标识信息和/或DN-AAA服务器的标识信息与UE的身份信息对应存储。

在本公开实施例中，SMF可以将EAP成功认证的UE的身份信息及与UE的身份信息相关的DN标识信息和/或DN-AAA服务器的标识信息等发送给UDM，以使得UDM可以存储该些信息；如此有利于后续基于UE的身份信息的相关操作。

以下一种基于EAP认证处理方法，是由DN-AAA服务器执行的，与上述由SMF执行的EAP认证处理方法的描述是类似的；且，对于由DN-AAA服务器执行的EAP认证处理方法实施例中未披露的技术细节，请参照由SMF执行的EAP认证处理方法示例的描述，在此不做详细描述说明。

如图6所示，本公开实施例提供一种EAP认证处理方法，由DN-AAA服务器执行，包括：

步骤S61：接收EAP响应消息；

步骤S62：基于EAP响应消息，启动基于EAP的认证。

在本公开的一些实施例中，EAP响应消息可以为步骤S21中EAP响应消息；UE的身份信息可以是上述实施例中UE的身份信息。

示例性的，EAP响应消息可以是EAP response-identity消息或者EAP response/identity消息。

示例性的，UE的身份信息可以是UE的标识信息。例如，UE的标识信息可以是但不限于是SUPI、GPSI及SUCI等的其中之一。又如，UE的标识信息可以是网络设备与UE协商的或者通信协议规定的编号或者索引等。

在一个实施例中，S61可以是接收SMF发送的EAP响应信息。

在本公开的一些实施例中，SMF可以是上述实施例中SMF。示例性的，SMF可以为单个SMF。示例性的，SMF可以为V-SMF及H-SMF的其中至少之一。

在一些实施例中，EAP响应消息，包括：UE的身份信息；

步骤S62，包括：基于EAP响应消息，启动基于EAP的身份信息的认证。

本公开实施例提供一种EAP认证处理方法，由DN-AAA服务器执行，包括：基于EAP响应消息，启动基于EAP的身份信息的认证。

在一些实施例中，步骤S61，包括：接SMF发送的DER消息，其中，DER消息包括EAP响应消息。

本公开实施例提供一种EAP认证处理方法，由DN-AAA服务器执行，包括：接SMF发送的DER消息，其中，DER消息包括EAP响应消息。

在本公开的一些实施例中，DER消息可以是上述实施例中DER消息。示例性的，DER消息可以是Diameter-EAP-Request消息。示例性的，DER消息的EAP有效载荷(via EAP payload)携带EAP响应消息；EAP响应消息包括身份信息。

在一些实施例中，步骤S61，包括：接收SMF发送的第一访问请求包，其中，第一访问请求包，包括：EAP响应消息。

本公开实施例提供一种EAP认证处理方法，由DN-AAA服务器执行，包括：接收SMF发送的第一访问请求包，其中，第一访问请求包，包括：EAP响应消息。

在本公开的一些实施例中，第一访问请求包、第二访问请求包分别可以是上述实施例中第一请求包、第二访问请求包；EAP消息属性可以是上述实施例中EAP消息属性。示例性的，第一访问请求包、第二访问请求包均可以是Access-Request packet。示例性的，EAP消息属性可以是EAP-Message attribute。

本公开实施例提供一种EAP认证处理方法，由DN-AAA服务器执行，包括：

在本公开的一些实施例中，第一访问挑战包、第二访问挑战包分别可以是上述实施例中第一访问挑战包、第二访问挑战包；EAP开始消息可以是上述实施例中EAP开始消息。示例性的，第一访问挑战包、第二访问挑战包均可以是Access-Challenge packet。示例性的EAP开始消息可以是EAP-Start消息。

本公开实施例提供一种EAP认证处理方法，由DN-AAA服务器执行，包括：响应于确定与UE 的EAP认证成功，发送EAP成功消息。

在一些实施例中，发送EAP成功消息，包括：

向SMF发送的DEA消息，其中，DEA消息包括EAP成功消息；或者，向SMF发送的第二访问挑战包，其中，第二访问挑战包，包括EAP成功消息。

本公开实施例提供一种EAP认证处理方法，由DN-AAA服务器执行，包括：向SMF发送的DEA消息，其中，DEA消息包括EAP成功消息；或者，向SMF发送的第二访问挑战包，其中，第二访问挑战包，包括EAP成功消息。

在一些实施例中，接收EAP响应消息，包括：通过UPF接收SMF发送的EAP响应消息。

本公开实施例提供一种EAP认证处理方法，由DN-AAA服务器执行，包括：通过UPF接收SMF发送的EAP响应消息。

在一些实施例中，发送EAP成功消息，包括：通过UPF向SMF发送EAP成功消息。

本公开实施例提供一种EAP认证处理方法，由DN-AAA服务器执行，包括：通过UPF向SMF发送EAP成功消息。

以上实施方式，具体可以参见第一UE侧的表述，在此不再赘述。

为了进一步解释本公开任意实施例，以下提供一个具体实施例。

在一些应用场景中，基于DN-AAA服务器的二次认证，可以是除了5G的初次认证，5G网络还支持由外部DN-AAA服务器进行基于EAP的二次认证。基于DN-AAA服务器的二次认证的过程涉及漫游和非漫游两种情况；在非漫游情况下，不涉及V-SMF；在归属地路由(HR)漫游情况下，V-SMF将代理VPLMN中AFM和HPLMN中H-SMF之间的信令；在本地分流(LBO)漫游情况下，只涉及VPLMN的一个SMF。注意：以下实施例中步骤S701至步骤S706可参见协议中4.2.2.2.2和4.3.2.2.1TS 23.502[3]。

以下实施例中涉及的H-SMF与H-UPF之间的交互，可通过N4消息来实现；和/或，以下涉及的UE或者UE客户端与AMF之间的交互，可通过N1消息来实现；和/或，以下涉及的AMF与SMF之间的交互，可通过N11消息来实现；和/或，以下涉及的H-UPF与DN-AAA服务器之间的交互，可通过N6消息来实现。当然，在本公开的其它实施例中，各网元或者逻辑节点或者功能，与其它网络或者逻辑节点或者功能之间的交互可以通过任意可实现的消息或者信令等交互，在此不作限制。

如图7所示，本公开实施例提供一种EAP认证处理方法，由通信设备执行，通信设备包括：SMF、DN-AAA服务器、AMF、V-SMF、H-SMF、归属地用户面功能(H-UPF)、及认证服务器功能(authentication server function，AUSF)的其中至少之一；方法包括以下步骤：

步骤S701：发送注册请求；

在一个可选实施例中，UE(EAP客户端)向AMF发送注册请求。

这里，UE(EAP客户端)可以是指UE或者UE对应的EAP客户端。

步骤S702：初次认证；

在一个可选实施例中，UE(EAP客户端)与AUSF执行初级认证(或者主认证)。

步骤S703：建立NAS安全模式；

在一个可选实施例中，UE(EAP客户端)与AMF建立非接入层(NAS)安全上下文。

步骤S704：发送PDU会话建立请求；

在一个可选实施例中，UE(EAP客户端)向AMF发送NAS消息，其中，NAS消息用于发起新的会话协议数据单元(Protocol Data Unit，PDU)会话的建立；该NAS消息包括N1_SM容器内的PDU会话建立请求、切片信息、PDU会话ID及PDN的其中至少之一。这里，切片信息可以由单网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI)标识确定；PDN为UE想要连接的分组数据网络(packet data network，PDN)，且PDN由数据网络名(Data Network Name，DNN)标识确定。这里，N1_SM容器为一个荷载。

这里，PDU会话请求可包括SM_PDU DN请求容器IE，SM_PDU DN请求容器IE包括外部DN对PDU会话授权的信息。

步骤S705a：发送Nsmf_PDUSession_CreateSMCContext请求；

在一个可选实施例中，AMF确定一个V-SMF，并将Nsmf PDUSession CreateSMContext请求或Nsmf PDUSession UpdateSMContext请求发送给V-SMF。

步骤S705b：接收Nsmf_PDUSession_CreateSMCContext响应；

在一个可选实施例中，AMF接收V-SMF发送的Nsmf PDUSession CreateSMContext响应或Nsmf PDUSession UpdateSMContext响应。

这里，在单个SMF参与PDU会话建立的情况下，例如在非漫游或者LBO漫游时，单个SMF担当V-SMV和H-SMF情况。在这里情况下，跳过步骤S706或者步骤S717。

在步骤S705b后，还包括：继续PDU会话建立请求流程(cf.4.3.2.2.2 TS 23.502)；

步骤S706：发送Nsmf_PDUSession_Create请求；

在一个可选实施例中，V-SMF向H-SMF发送Nsmf_PDUSession_Create请求。

步骤S707：SMF从UDM获取订阅信息，并验证UE的请求是否合规；

在一个可选实施例中，对于步骤S705中从AMF获得的给定SUPI，H-SMF从UDM获得订阅数据。SMF检测订阅数据是否需要二次认证，以及根据用户订阅和本地策略是否允许UE请求。如果不允许，H-SMF将通过SM–NAS信令拒绝UE的请求，并跳过该步骤的剩余步骤。如果需要二次验证，则SMF还可已检测UE是否已经被相对DN认证和/或授权；例如，被步骤S705中DNN所指示，或者在先前的PDU会话建立中被相同的AAA服务器认证和/或授权；若是，SMF可跳过步骤S708至S715。

在一个可选实施例中，UE和SMF局之间成功认证和/或授权的信息可以保存在SMF和/或UDM。

步骤S708：启动EAP身份验证；

在一个可选实施例中，H-SMF将触发EAP的认证以从DN-AAA服务器获得授权信息。如果不存在的现有的NA4会话，H-SMF选择一个UPF与之建立N4会话。H-SMF向DN-AAA服务器通知GPSI；且若PDU会话是IP_PDU类型，则通知分配该PDU会话的UE的IP地址；或者若PDU会话是以太网PDU类型，则通知分配该PDU会话的MAC地址。

步骤S709：发送EAP-请求/认证；

这里，EAP-请求/认证，可以为上述实施例中EAP请求消息。

在一个可选实施例中，H-SMF向UE发送EAP-请求/认证(EAP Request/Identity)。

步骤S710：接收EAP-响应/认证；

这里，EAP-响应/认证，可以为上述实施例中EAP响应消息；

在一可选实施例中，UE(EAP客户端)H-SMF接收UE发送的EAP-响应/认证(EAP Response/Identit)。

这里，特定DN的身份应符合网络接入标识符(NAI)格式。

这里，为了避免步骤S709和步骤S710的额外往返，可在步骤S704中由UE发送次级认证DN特定身份。在这种情况下，H-SMF形成包含身份信息的EAP响应消息(EAP Response/Identity message)。

步骤S711：N4会话建立；

在一个可选实施例中，若不存在现有的N4会话，H-SMF选择一个UPF，并与该UPF建立N4会话。这里，H-SMF选择的UPF可以为H-UPF。这里，H-SMF与H-UPF之间的交互可通过N4会话来传输。

在一个可选实施例中，若H-SMF支持Diameter协议，则H-UPF至少支持Diameter协议；和/或，若H-SMF支持Radius协议，则H-UPF至少支持Radius协议。

在另一个可选实施例中，若H-SMF支持Diameter协议和/或Radius协议，则H-UPF可不支持Diameter协议和/或Radius协议。这里，H-UPF可用于转发消息，例如转发DER消息或者访问包等。

这里，步骤S712包括步骤S712a；或者，步骤S712包括步骤S712b至步骤S712d。

步骤S712a：N4传输DER消息，其中，DER消息包括EAP响应消息；

在一个可选实施例中，若UE的身份信息由UE提供，UE的身份信息(DN特定身份)被转发到UPF。H-SMF基于UE提供的身份信息和本地配置来识别DN-AAA服务器。若H-SMF支持Diameter协议，通过H-UPF向DN-AAA服务器发送DER(Diameter-EAP-Request)消息；其中，DER消息的EAP有效载荷(via EAP payload)携带EAP响应消息；EAP响应消息包括身份信息。这里，H-SMF支持Diameter协议，可以是：Diameter协议可应用在EAP中且EAP响应消息可被H-SMF(或者SMF)接收。这里，可跳过步骤S712b至S712c。

这里，H-SMF通过H-UPF向DN-AAA服务器发送DER消息，包括：H-SMF向H-UPF发送DER消息，H-UPF向DN-AAA服务器发送DER消息。

步骤S712b：发送第二访问请求包，其中，第二访问请求包，包括指示EAP开始消息的EAP消息属性；

在一个可选实施例中，若H-SMF支持RADIUS协议，通过H-UPF向DN-AAA服务器发送第二访问请求包(Access-Request packet)；第二访问请求包，包括指示EAP开始(EAP-Start)消息的EAP消息属性(EAP-Message attribute)；EAP-Start消息用于触发DN-AAA服务器请求EAP响应消息。

这里，H-SMF通过H-UPF向DN-AAA服务器发送第二访问请求包，包括：H-SMF向H-UPF发送第二访问请求包，H-UPF向DN-AAA服务器发送第二访问请求包。

步骤S712c：接收第一访问挑战包，其中，第一访问挑战包，用于请求EAP响应消息；

在一个可选实施例中，H-SMF通过H-UPF接收DN-AAA服务器发送的第一访问挑战包(Access-Challenge packet)；第一访问挑战包括封装了EAP请求消息的EAP消息属性；EAP请求消息包用于请求EAP响应消息。

这里，H-SMF通过H-UPF接收DN-AAA服务器发送的第一访问挑战包，可以是：H-UPF接收DN-AAA服务器的第一访问挑战包，并将第一访问挑战包发送给H-SMF。

步骤S712d：发送第一访问请求包，其中，第一访问请求包，包括EAP响应消息；

在一个可选实施例中，H-SMF通过H-UPF向DN-AAA服务器发送第一访问请求包(Access-Request packet)，其中，第一访问请求包，包括EAP消息属性；EAP消息属性包括EAP响应信息，EAP响应信息包括UE的身份信息。

这里，H-SMF通过H-UPF向DN-AAA服务器发送第一访问请求包，可以是：H-SMF向H-UPF发送第一访问请求包，H-UPF向DN-AAA服务器发送第一访问请求包。

步骤S713：通过N4和/或NAS交互EAP请求消息或者EAP响应消息；

在一个可选实施例中，UE与DN-AAA服务器之间可通过N4和/或NAS交互EAP消息，其中，EAP消息包括EAP请求消息或者EAP响应消息。这里，UE与DN-AAA服务器之间还可交互协议的条款5.6.6中定义的附加授权信息。

这里，步骤S714包括步骤S714a或者步骤S714b。

步骤S714a：接收DEA消息，其中，DEA消息包括EAP成功消息；

在一个可选实施例中，若H-SMF支持Diameter协议，通过H-UPF接收DEA(Diameter-EAP-Answer)消息；其中，DEA消息的有效载荷携带EAP成功消息；EAP成功消息用于指示EAP认证成功。

这里，H-SMF通过H-UPF接收DEA消息，可以是：H-UPF接收DEA消息，并将DEA消息发送给H-SMF。

步骤S714b：接收第二访问挑战包，其中，第二访问挑战包，包括EAP成功消息；

在一个可选实施例中，若H-SMF支持RADIUS协议，通过H-UPF接收第二访问挑战包；其中，第二访问挑战包，包括EAP成功消息；EAP成功消息用于指示EAP认证成功。

这里，H-SMF通过H-UPF接收第二访问挑战包，可以是：H-UPF接收第二访问挑战包，并将第二访问挑战包发送给H-SMF。

步骤S715：EAP身份验证结束；

在一个可选实施例中，H-SMF确定基于EAP的认证结束。H-SMF将UE的身份信息、DNN、DN及DN-AAA服务器的标识信息的其中之一存储在H-SMF中，以用于UE与H-SMF之间的成功认证或者授权。或者，H-SMF还可以将UE的身份信息、DNN、DN及DN-AAA服务器的标识信息的其中之一发送给UDM，以供UDM进行存储。

这里，H-SMF可以是上述实施例中SMF。

在步骤S715后，还包括：继续PDU会话建立请求流程(cf.4.3.2.2.2 TS 23.502)。

这里，H-SMF确定UE的身份信息授权成功后，确定继续PDU会话建立请求流程。

步骤S716a：发送N4会话修改请求；

在一个可选实施例中，H-SMF向H-UPF发送N4会话修改请求，以请求发起与H-UPF的N4会话修改过程。

步骤S716b：接收N4会话修改响应；

在一个可选实施例中，H-SMF接收H-UPF发送的N4会话修改响应，以确定发起与H-UPF的N4会话修改过程。

步骤S717：发送Nsmf_PDUSession_Create响应，Nsmf_PDUSession_Create响应携带EAP成功消息；

在一个可选实施例中，H-SMF向V-SMF发送Nsmf_PDUSession_Create响应，Nsmf_PDUSession_Create响应携带EAP成功消息。

步骤S718：发送Namf_Communication_N1N2消息，Namf_Communication_N1N2消息携带EAP成功消息；

在一个可选实施例中，V-SMF向AMF发送Namf_Communication_N1N2消息，Namf_Communication_N1N2消息携带EAP成功消息。

步骤S719：PDU建立接受，EAP成功；

在一个可选实施例中，AMF向UE(客户端)发送NAS_SM_PDU会话建立接受消息，该NAS_SM_PDU会话建立接受消息包括EAP成功消息。

在一个可选实施例中，步骤S719之后，包括：执行如Figure 4.3.2.2.2-1 of TS 23.502的步骤。

如图8所示，本公开实施例提供一种EAP认证处理装置，包括：

第一发送模块51，被配置为发送EAP响应消息，其中，EAP响应消息用于DN-AAA服务器启动基于EAP的认证。

本公开实施例提供的EAP认证处理装置，可应用于SMF中。

本公开实施例提供一种EAP认证处理装置，包括：第一发送模块51，被配置为发送EAP响应消息，包括：UE的身份信息；其中，EAP响应消息用于DN-AAA服务器启动基于EAP的身份信息的认证。

本公开实施例提供一种EAP认证处理装置，包括：第一发送模块51，被配置为基于接收到UE的身份信息，向DN-AAA服务器发送EAP响应消息。

本公开实施例提供一种EAP认证处理装置，包括：第一发送模块51，被配置为向UE发送EAP请求消息，其中，EAP请求消息，用于请求UE的身份信息；

本公开实施例提供一种EAP认证处理装置，包括：第一发送模块51，被配置为响应于SMF支持Diameter协议，向DN-AAA服务器发送DER消息，其中，DER消息包括EAP响应消息。

本公开实施例提供一种EAP认证处理装置，包括：第一发送模块51，被配置为响应于SMF支持RADIUS协议，向DN-AAA服务器发送第一访问请求包，其中，第一访问请求包，包括：EAP响应消息。

本公开实施例提供一种EAP认证处理装置，包括：

第一发送模块51，被配置为向DN-AAA服务器发送第二访问请求包；其中，第二访问请求包，用于触发DN-AAA服务器请求EAP响应消息；

第一发送模块51，被配置为若接收到基于第二访问请求确定的第一访问挑战包，向DN-AAA服务器发送第一访问请求包；其中，第一访问挑战包，用于请求EAP响应消息。

本公开实施例提供一种EAP认证处理装置，包括：第一接收模块，被配置为接收EAP成功消息，其中，EAP成功消息是DN-AAA服务器确定与UE的EAP认证成功后发送的。

本公开实施例提供一种EAP认证处理装置，包括：第一接收模块，被配置为接收DN-AAA发送的DEA消息，其中，DEA消息包括EAP成功消息。

本公开实施例提供一种EAP认证处理装置，包括：第一接收模块，被配置为接收DN-AAA发送的第二访问挑战包，其中，第二访问挑战包，包括EAP成功消息。

本公开实施例提供一种EAP认证处理装置，包括：第一处理模块，被配置为存储EAP成功认证的UE的身份信息。

本公开实施例提供一种EAP认证处理装置，包括：第一处理模块，被配置为将EAP成功认证的UE的身份信息发送给UDM，其中，UE的身份信息用于存储在UDM中。

本公开实施例提供一种EAP认证处理装置，包括：第一发送模块51，被配置为通过UPF向DN-AAA服务器发送EAP响应消息；和/或，

在一些实施例中，SMF包括H-SMF。

本公开实施例提供一种EAP认证处理装置，包括：第一接收模块，被配置为通过V-SMF接收UE发送的UE的身份信息。

如图9所示，本公开实施例提供一种EAP认证处理装置，包括：

第二接收模块61，被配置为接收EAP响应消息；

第二处理模块62，被配置为基于EAP响应消息，启动基于EAP的认证。

本公开实施例提供一种EAP认证处理装置，可应用于DN-AAA服务器中。

在一些实施例中，EAP响应消息，包括：UE的身份信息；

第二处理模块62，被配置为基于EAP响应消息，启动基于EAP的身份信息的认证。

本公开实施例提供一种EAP认证处理装置，包括：第二处理模块62，被配置为基于EAP响应消息，启动基于EAP的身份信息的认证。

本公开实施例提供一种EAP认证处理装置，包括：第二接收模块61，被配置为接SMF发送的DER消息，其中，DER消息包括EAP响应消息。

本公开实施例提供一种EAP认证处理装置，包括：第二接收模块61，被配置为接收SMF发送的第一访问请求包，其中，第一访问请求包，包括：EAP响应消息。

本公开实施例提供一种EAP认证处理装置，包括：

第二接收模块61，被配置为接收SMF发送的第二访问请求包；其中，第二访问请求包，用于触发DN-AAA服务器请求EAP响应消息；

本公开实施例提供一种EAP认证处理装置，包括：第二发送模块，被配置为响应于确定与UE的EAP认证成功，发送EAP成功消息。

本公开实施例提供一种EAP认证处理装置，包括：第二发送模块，被配置为向SMF发送的DEA消息，其中，DEA消息包括EAP成功消息。

本公开实施例提供一种EAP认证处理装置，包括：第二发送模块，被配置为向SMF发送的第二访问挑战包，其中，第二访问挑战包，包括EAP成功消息。

本公开实施例提供一种EAP认证处理装置，包括：第二接收模块61，被配置为通过UPF接收SMF发送的EAP响应消息。

本公开实施例提供一种EAP认证处理装置，包括：第二发送模块，被配置为通过UPF向SMF发送EAP成功消息。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的装置，可以被单独执行，也可以与本公开实施例中一些装置或相关技术中的一些装置一起被执行。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本公开实施例提供一种通信设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

在一个实施例中，通信设备可以包括但不限于至少之一：UE、SMF、DN-AAA服务器及UPF。

其中，处理器可包括各种类型的存储介质，该存储介质为非临时性计算机存储介质，在用户设备掉电之后能够继续记忆存储其上的信息。

处理器可以通过总线等与存储器连接，用于读取存储器上存储的可执行程序，例如，如图2至图7示的方法的至少其中之一。

本公开实施例还提供一种计算机存储介质，计算机存储介质存储有计算机可执行程序，可执行程序被处理器执行时实现本公开任意实施例的EAP认证处理方法。例如，如图2至图7所示的方法的至少其中之一。

关于上述实施例中的装置或者存储介质，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图10是根据一示例性实施例示出的一种用户设备800的框图。例如，用户设备800可以是移动电话，计算机，数字广播用户设备，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图10，用户设备800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制用户设备800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在用户设备800的操作。这些数据的示例包括用于在用户设备800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器 (EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为用户设备800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为用户设备800生成、管理和分配电力相关联的组件。

多媒体组件808包括在所述用户设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当用户设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当用户设备800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为用户设备800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如所述组件为用户设备800的显示器和小键盘，传感器组件814还可以检测用户设备800或用户设备800一个组件的位置改变，用户与用户设备800接触的存在或不存在，用户设备800方位或加速/减速和用户设备800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于用户设备800和其他设备之间有线或无线方式的通信。用户设备800可以接入基于通信标准的无线网络，如WiFi，4G或5G，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，用户设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由用户设备800的处理器820执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

如图11所示，本公开一实施例示出一种基站的结构。例如，基站900可以被提供为一网络侧设备。参照图11，基站900包括处理组件922，其进一步包括一个或多个处理器，以及由存储器932所代表的存储器资源，用于存储可由处理组件922的执行的指令，例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件922被配置为执行指令，以执行上述方法前述应用在所述基站的任意方法。

基站900还可以包括一个电源组件926被配置为执行基站900的电源管理，一个有线或无线网络接口950被配置为将基站900连接到网络，和一个输入输出(I/O)接口958。基站900可以操作基于存储在存储器932的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

一种EAP认证处理方法，其中，由会话管理功能实体SMF执行，包括：

发送可扩展认证协议EAP响应消息，其中，所述EAP响应消息用于数据网络认证授权计费DN-AAA服务器启动基于EAP的认证。
根据权利要求1所述的方法，其中，所述EAP响应消息，包括：用户设备UE的身份信息；所述EAP响应消息用于所述DN-AAA服务器启动基于EAP的所述身份信息的认证。
根据权利要求2所述的方法，其中，所述发送可扩展认证协议EAP响应消息，包括：

基于接收到所述UE的所述身份信息，向所述DN-AAA服务器发送所述EAP响应消息。
根据权利要求3所述的方法，其中，所述方法包括：

向所述UE发送EAP请求消息，其中，所述EAP请求消息，用于请求所述UE的所述身份信息。
根据权利要求2至4任一项所述的方法，其中，所述发送可扩展认证协议EAP响应消息，包括：

响应于所述SMF支持Diameter协议，向DN-AAA服务器发送DER消息，其中，所述DER消息包括EAP响应消息。
根据权利要求2至4任一项所述的方法，其中，所述发送可扩展认证协议EAP响应消息，包括：

响应于所述SMF支持RADIUS协议，向DN-AAA服务器发送第一访问请求包，其中，所述第一访问请求包，包括：所述EAP响应消息。
根据权利要求6所述的方法，其中，所述第一访问请求包，包括EAP消息属性；所述EAP消息属性包括所述EAP响应消息。
根据权利要求6所述的方法，其中，所述方法包括：

向所述DN-AAA服务器发送第二访问请求包；其中，所述第二访问请求包，用于触发所述DN-AAA服务器请求所述EAP响应消息；

所述向所述DN-AAA服务器发送第一访问请求包，包括：

若接收到基于第二访问请求确定的第一访问挑战包，向所述DN-AAA服务器发送所述第一访问请求包；其中，所述第一访问挑战包，用于请求所述EAP响应消息。
根据权利要求8所述的方法，其中，所述第二访问请求包，包括指示EAP开始消息的EAP消息属性，其中，所述EAP开始消息用于触发所述DN-AAA服务器请求所述EAP响应消息。
根据权利要求1至4任一项所述的方法，其中，所述方法包括：

接收EAP成功消息，其中，所述EAP成功消息是所述DN-AAA服务器确定与UE的EAP认证成功后发送的。
根据权利要求10所述的方法，其中，所述接收EAP成功消息，包括：

接收所述DN-AAA发送的DEA消息，其中，所述DEA消息包括所述EAP成功消息；

和/或，

接收所述DN-AAA发送的第二访问挑战包，其中，所述第二访问挑战包，包括所述EAP成功消息。
根据权利要求10所述的方法，其中，所述方法还包括：

存储EAP成功认证的UE的身份信息；

或者，

将EAP成功认证的UE的身份信息发送给UDM，其中，所述UE的身份信息用于存储在所述UDM中。
根据权利要求10所述的方法，其中，所述发送可扩展认证协议EAP响应消息，包括：

通过用户面功能UPF向所述DN-AAA服务器发送所述EAP响应消息；

和/或，

所述接收EAP成功消息，包括：

通过UPF接收所述DN-AAA服务器发送的所述EAP成功消息。
根据权利要求3或4所述的方法，其中，所述SMF包括归属会话功能实体H-SMF；

所述方法包括：

通过拜访地移动会话功能实体V-SMF接收所述UE发送的所述UE的所述身份信息。
一种EAP认证处理方法，其中，由数据网络认证授权计费DN-AAA服务器执行，包括：

接收可扩展认证协议EAP响应消息；

基于所述EAP响应消息，启动基于EAP的认证。
根据权利要求15所述的方法，其中，所述EAP响应消息，包括：用户设备UE的身份信息；

所述基于所述EAP响应消息，启动EAP认证，包括：

基于所述EAP响应消息，启动基于EAP的所述身份信息的认证。
根据权利要求15或16所述的方法，其中，所述接收可扩展认证协议EAP响应消息，包括：

接收会话管理功能实体SMF发送的DER消息，其中，所述DER消息包括EAP响应消息。
根据权利要求15或16所述的方法，其中，所述接收可扩展认证协议EAP响应消息，包括：

接收SMF发送的第一访问请求包，其中，所述第一访问请求包，包括：所述EAP响应消息。
根据权利要求18所述的方法，其中，所述第一访问请求包，包括EAP消息属性；所述EAP消息属性包括所述EAP响应消息。
根据权利要求18所述的方法，其中，所述接收SMF发送的第一访问请求包之前，包括：

接收所述SMF发送的第二访问请求包；其中，所述第二访问请求包，用于触发所述DN-AAA服务器请求所述EAP响应消息；

向所述SMF发送第一访问挑战包，其中，所述第一访问挑战包，用于请求所述EAP响应消息。
根据权利要求20所述的方法，其中，所述第二访问请求包，包括指示EAP开始消息的EAP消息属性，其中，所述EAP开始消息用于触发所述DN-AAA服务器请求所述EAP响应消息。
根据权利要求15或16所述的方法，其中，所述方法包括：

响应于确定与UE的EAP认证成功，发送EAP成功消息。
根据权利要求22所述的方法，其中，所述发送EAP成功消息，包括：

向SMF发送的DEA消息，其中，所述DEA消息包括所述EAP成功消息；

或者，

向所述SMF发送的第二访问挑战包，其中，所述第二访问挑战包，包括所述EAP成功消息。
根据权利要求22所述的方法，其中，所述接收可扩展认证协议EAP响应消息，包括：

通过UPF接收SMF发送的所述EAP响应消息；

和/或，

所述发送EAP成功消息，包括：

通过UPF向所述SMF发送所述EAP成功消息。
一种EAP认证处理装置，包括：

第一发送模块，被配置为发送可扩展认证协议EAP响应消息，其中，所述EAP响应消息用于数据网络认证授权计费DN-AAA服务器启动基于EAP的认证。
一种EAP认证处理装置，包括：

第二接收模块，被配置为接收可扩展认证协议EAP响应消息；

处理模块，被配置为基于所述EAP响应消息，启动基于EAP的认证。
一种通信设备，其中，所述通信设备，包括：

处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为：用于运行所述可执行指令时，实现权利要求1至14、或者权利要求15至24任一项所述的EAP认证处理方法。
一种计算机存储介质，其中，所述计算机存储介质存储有计算机可执行程序，所述可执行程序被处理器执行时实现权利要求1至14、或者权利要求15至24任一项所述的EAP认证处理方法。