WO2024036461A1

WO2024036461A1 - 通过非3gpp接入网络接入3gpp网络的认证方法、装置

Info

Publication number: WO2024036461A1
Application number: PCT/CN2022/112622
Authority: WO
Inventors: 梁浩然; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-08-15
Filing date: 2022-08-15
Publication date: 2024-02-22
Also published as: CN117897978A

Abstract

本公开提出一种通过非3GPP接入网络接入3GPP网络的认证方法、装置、设备及存储介质，属于通信技术领域。该方法包括当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据执行的注册操作，发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至非3GPP互通功能N3IWF。本公开针对一种"通过非3GPP接入网络接入3GPP网络的认证"这一情形提供了一种处理方法，以根据终端设备执行的注册操作，发送与该注册操作对应的信息至N3IWF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

Description

通过非3GPP接入网络接入3GPP网络的认证方法、装置

技术领域

本公开涉及通信技术领域，尤其涉及一种非第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)接入网络接入3GPP网络的认证方法、装置、设备及存储介质。

背景技术

在通信系统中，终端设备例如可以通过3GPP接入网络接入3GPP网络。但是，相关技术中，3GPP规范不支持通过非3GPP接入网络直接接入3GPP网络。例如可以使用称为“可扩展认证协议(Extensible Authentication Protocol，EAP)-第五代移动通信技术(5th Generation Mobile Communication Technology，5G)”的供应商特定EAP方法，利用“扩展”EAP类型和现有的3GPP网络供应商编号Vendor-Id，在管理信息结构SMI私有企业代码注册表下向互联网数字分配机构(The Internet Assigned Numbers Authority，IANA)注册。但是，该认证方式中并未涉及终端设备执行的注册操作，使得通过非3GPP接入网络接入3GPP网络的认证的准确性较低。

发明内容

本公开提出的一种通过非3GPP接入网络接入3GPP网络的认证方法、装置、设备及存储介质，以根据终端设备执行的注册操作，发送与该注册操作对应的信息至非3GPP互通功能(Non-3GPP InterWorking Function，N3IWF)，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

本公开一方面实施例提出的一种通过非3GPP接入网络接入3GPP网络的认证方法，所述方法由终端设备执行，所述方法包括：

当所述终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据执行的注册操作，发送与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至N3IWF。

可选地，在本公开的一个实施例之中，所述根据执行的注册操作，发送与所述注册操作对应的用户标识至N3IWF，包括：

响应于所述执行的注册操作为独立的非公共网络在线签约注册(SNPN Onboarding Registration)，发送以下用户标识中的至少一种至所述N3IWF：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

响应于所述执行的注册操作为执行初始注册或执行移动注册更新，发送以下用户标识中的至少一种至所述N3IWF：

用户隐藏标识符(Subscription Concealed Identifier，SUCI)；

用户永久标识符(Subscription Permanent Identifier，SUPI)。

可选地，在本公开的一个实施例之中，所述根据执行的注册操作，发送与所述注册操作对应的注册类型至所述N3IWF，包括以下中的至少一种：

响应于所述执行的注册操作为执行独立的非公共网络在线签约注册(SNPN Onboarding Registration)，发送SNPN Onboarding注册类型至所述N3IWF；

响应于所述执行的注册操作为执行初始注册，发送初始注册Initial Registration注册类型至所述N3IWF；

响应于所述执行的注册操作为执行移动注册更新，发送移动注册更新Mobility Registration Update注册类型至所述N3IWF。

在非公共网络(Non-Public Network，NPN)场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，根据所述终端设备的配置信息发送匿名SUCI至所述N3IWF。

可选地，在本公开的一个实施例之中，其中，所述匿名SUCI为通过忽略原用户隐藏标识符中的用户名部分username得到的匿名SUCI。

可选地，在本公开的一个实施例之中，其中，所述匿名SUCI为将原用户隐藏标识符中的用户名部分username统一设置为anonymous得到的匿名SUCI。

可选地，在本公开的一个实施例之中，所述方法还包括：

接收所述N3IWF发送的SUCI生成算法；

根据所述SUCI生成算法生成SUCI，并发送所述SUCI至所述N3IWF。

可选地，在本公开的一个实施例之中，所述方法还包括：

响应于未接收到所述N3IWF发送的SUCI生成算法，发送所述SUCI至所述N3IWF。

本公开另一方面实施例提出的一种通过非3GPP接入网络接入3GPP网络的认证方法，所述方法由N3IWF执行，所述方法包括：

当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种；

发送所述与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至接入与移动性管理功能(Access and Mobility Management Function，AMF)。

可选地，在本公开的一个实施例之中，所述根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的用户标识，包括：

响应于所述终端设备执行的注册操作为独立的非公共网络在线签约注册SNPN Onboarding Registration，接收所述终端设备发送的以下用户标识中的至少一种：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

响应于所述注册操作为初始注册或移动注册更新，接收所述终端设备发送的以下用户标识中的至少一种：

用户隐藏标识符SUCI；

用户永久标识符SUPI。

可选地，在本公开的一个实施例之中，所述根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的注册类型，包括以下中的至少一种：

响应于所述终端设备执行的注册操作为执行独立的非公共网络在线签约注册SNPN Onboarding Registration，接收所述终端设备发送的SNPN Onboarding注册类型；

响应于所述终端设备执行的注册操作为执行初始注册，接收所述终端设备发送的初始注册Initial Registration注册类型；

响应于所述终端设备执行的注册操作为执行移动注册更新，接收所述终端设备发送的移动注册更新Mobility Registration Update注册类型。

可选地，在本公开的一个实施例之中，所述根据执行的注册操作，发送所述终端设备发送的与所述注册操作对应的用户标识至N3IWF，包括：

在非公共网络NPN场景下，响应于可扩展认证协议(Extensible Authentication Protocol，EAP)方式支持用户永久标识符SUPI的隐私保护机制，接收所述终端设备根据所述终端设备的配置信息发送的匿名anonymousSUCI。

可选地，在本公开的一个实施例之中，所述方法还包括：

接收AMF发送的至少一个K _n3iwf、至少一个SUCI和/或所述至少一个SUCI的生成算法；

存储所述至少一个K _n3iwf和至少一个SUCI的映射关系。

可选地，在本公开的一个实施例之中，所述方法还包括：

发送SUCI生成算法至所述终端设备；

接收所述终端设备发送的SUCI，其中，所述SUCI是根据所述SUCI生成算法生成的；

根据所述SUCI与所述至少一个K _n3iwf和至少一个SUCI的映射关系，确定所述SUCI对应的K _n3iwf；

根据所述SUCI对应的K _n3iwf对所述终端设备进行认证。

可选地，在本公开的一个实施例之中，所述方法还包括：

响应于未发送SUCI生成算法至所述终端设备，接收所述终端设备发送的SUCI；

根据所述SUCI对应的K _n3iwf对所述终端设备进行认证。

可选地，在本公开的一个实施例之中，所述方法还包括：

根据所述SUCI与所述至少一个K _n3iwf和至少一个SUCI的映射关系，未确定所述SUCI对应的K _n3iwf时，发送所述SUCI至所述AMF；

接收所述AMF发送的根据所述SUCI确定的所述SUCI对应的K _n3iwf；

根据所述SUCI对应的K _n3iwf对所述终端设备进行认证。

本公开另一方面实施例提出的一种通过非3GPP接入网络接入3GPP网络的认证方法，所述方法由AMF执行，所述方法包括：

当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据所述终端设备执行的注册操作，接收N3IWF发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种。

可选地，在本公开的一个实施例之中，所述根据所述终端设备执行的注册操作，接收所述N3IWF发送的与所述注册操作对应的用户标识，包括：

响应于所述终端设备执行的注册操作为独立的非公共网络在线签约注册SNPN Onboarding Registration，接收所述N3IWF发送的以下用户标识中的至少一种：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

响应于所述注册操作为初始注册或移动注册更新，接收所述N3IWF发送的以下用户标识中的至少一种：

用户隐藏标识符SUCI；

用户永久标识符SUPI。

可选地，在本公开的一个实施例之中，所述根据所述终端设备执行的注册操作，接收所述N3IWF发送的与所述注册操作对应的注册类型，包括以下中的至少一种：

响应于所述终端设备执行的注册操作为执行独立的非公共网络在线签约注册SNPN Onboarding Registration，接收所述N3IWF发送的SNPN Onboarding注册类型；

响应于所述终端设备执行的注册操作为执行初始注册，接收所述N3IWF发送的初始注册Initial Registration注册类型；

响应于所述终端设备执行的注册操作为执行移动注册更新，接收所述N3IWF发送的移动注册更新Mobility Registration Update注册类型。

可选地，在本公开的一个实施例之中，所述方法还包括：

将本地配置的AMF配置数据应用于在线签约，其中，所述AMF配置数据用于限制所述终端设备的网络应用仅为在线签约；

在所述AMF中的所述终端设备的上下文中存储指示信息，其中，所述指示信息用于指示所述终端设备已在线签约注册。

可选地，在本公开的一个实施例之中，所述方法还包括：

基于在线签约SNPN(Onboarding-SNPN，ON-SNPN)策略，启动用于实现特定注销的计时器，其中，所述计时器为所述终端设备在线签约Onboarding配置的。

可选地，在本公开的一个实施例之中，所述根据执行的注册操作，发送所述N3IWF发送的与所述注册操作对应的用户标识至N3IWF，包括：

在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，接收所述N3IWF发送的匿名SUCI，其中，所述匿名SUCI为所述终端设备根据所述终端设备的配置信息发送至所述N3IWF的匿名SUCI。

可选地，在本公开的一个实施例之中，所述方法还包括：

采用以下至少一种认证方式对所述终端设备进行认证：

5G AKA认证方式；

EAP-AKA'认证方式；

任何其他生成密钥的EAP认证方式。

可选地，在本公开的一个实施例之中，所述方法还包括：

接收鉴权服务功能AUSF发送的安全锚功能SEAF密钥K _seaf、SUPI、SUCI和/或SUCI的生成算法；

根据所述K _seaf、所述SUPI，生成AMF密钥K _amf；

根据所述K _amf生成K _n3iwf，并存储所述SUPI、所述SUCI和所述K _n3iwf之间的映射关系。

可选地，在本公开的一个实施例之中，所述方法还包括：

发送至少一个K _n3iwf、至少一个SUCI和/或所述至少一个SUCI的生成算法至所述N3IWF。

可选地，在本公开的一个实施例之中，所述方法还包括：

接收所述N3IWF发送的SUCI，其中，所述SUCI为所述终端设备发送至所述N3IWF，且所述N3IWF未确定所述SUCI对应的K _n3iwf的SUCI；

发送所述SUCI至鉴权服务功能(Authentication Service Function，AUSF)；

接收所述AUSF针对所述SUCI发送的SUPI，并根据所述SUPI确定所述SUCI对应的K _n3iwf；

发送所述SUCI对应的K _n3iwf至所述N3IWF。

本公开又一方面实施例提出的一种通过非3GPP接入网络接入3GPP网络的认证装置，所述装置设置于终端设备侧，所述装置包括：

发送模块，用于如果所述终端设备通过不受信任的非3GPP接入网络接入3GPP网络，则根据执行的注册操作，发送与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至非3GPP互通功能N3IWF。

本公开又一方面实施例提出的一种通过非3GPP接入网络接入3GPP网络的认证装置，所述装置设置于N3IWF侧，所述装置包括：

接收模块，用于当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种；

发送模块，用于发送所述与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至接入与移动性管理功能AMF。

本公开又一方面实施例提出的一种通过非3GPP接入网络接入3GPP网络的认证装置，所述装置设置于AMF侧，所述装置包括：

接收模块，用于当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据所述终端设备执行的注册操作，接收N3IWF发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种。

本公开又一方面实施例提出的一种终端设备，所述设备包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如上一方面实施例提出的方法。

本公开又一方面实施例提出的一种N3IWF，所述设备包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如上一方面实施例提出的方法。

本公开又一方面实施例提出的一种AMF，所述设备包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如上一方面实施例提出的方法。

本公开又一方面实施例提出的通信装置，包括：处理器和接口电路；

所述接口电路，用于接收代码指令并传输至所述处理器；

所述处理器，用于运行所述代码指令以执行如上任一方面实施例提出的方法。

本公开又一方面实施例提出的计算机可读存储介质，用于存储有指令，当所述指令被执行时，使如上任一方面实施例提出的方法被实现。

本公开又一方面实施例提出的一种通信系统，所述系统包括：

终端设备，用于当所述终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据执行的注册操作，发送与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至N3IWF；

所述N3IWF，用于根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种，并发送所述与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至AMF；

所述AMF，用于根据所述终端设备执行的注册操作，接收N3IWF发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据执行的注册操作，发送与注册操作对应的注册类型，用户标识以及终端所需注册的非公共网络标识中的至少一种至非3GPP互通功能N3IWF。在本公开实施例之中，根据终端设备执行的注册操作，发送与该注册操作对应的信息至N3IWF，减少发送的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，发送与该注册操作对应的信息至N3IWF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

附图说明

本公开上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本公开一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的交互示意图；

图2为本公开一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图3为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图4为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图5为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图6为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图7为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图8为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图9为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图10为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图11为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图12为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图13为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图14为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图15为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图16为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的交互示意图；

图17为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的交互示意图；

图18为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图19为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图20为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图21为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图22为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图23为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图24为本公开又一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图；

图25为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的交互示意图；

图26为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的交互示意图；

图27为本公开实施例所提供的一种通信系统的架构示意图；

图28为本公开一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证装置的结构示意图；

图29为本公开另一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证装置的结构示意图；

图30为本公开另一个实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证装置的结构示意图；

图31为本公开一个实施例所提供的一种终端设备的框图；

图32为本公开一个实施例所提供的一种网络侧设备的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”及“若”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在本公开实施例中涉及的网元或是网络功能，其既可以是独立的硬件设备实现，也可以通过硬件设备中的软件实现，本公开实施例中并不对此做出限定。

图1示出为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的交互示意图。如图1所示，第一，终端设备使用3GPP范围之外的过程连接到不受信任的非3GPP接入网络。当终端设备决定连接到5G核心网5GC网络时，终端设备可以在5G公共陆地移动网(Public Land Mobile Network，PLMN)中选择N3IWF。第二，终端设备可以通过根据RFC 7296发起网络密匙交换协议IKE初始交换，继续与所选的N3IWF建立IPsec安全联盟(Security Association，SA)。其中，在第二步之后的所有IKE消息都可以使用在此步骤中建立的IKE SA进行加密和完整性保护。第三，终端设备可以通过发送IKE_鉴权AUTH请求消息来发起IKE_AUTH交换。其中，AUTH有效载荷不包含在IKE_AUTH请求消息中，这表明IKE_AUTH交换可以使用EAP信令，在本公开的实施例之中，EAP信令例如可以为EAP-5G信令。根据RFC7296，在数据信息段IDi中，终端设备应在该消息中将标识ID类型设置为ID_KEY-ID，并将其值设置为任意随机数。其中，IDi为包括ID信息的数据信息段。终端设备在此步骤中不应使用其全球唯一临时UE标识(Globally Unique Temporary UE Identity，GUTI)、SUCI和SUPI中任意一种作为标识Id。如果终端设备提供了N3IWF根证书，终端设备应在IKE_AUTH请求消息中包含验证请求信息CERTREQ有效负载以请求N3IWF的证书。

其中，在本公开的一个实施例之中，第四，N3IWF可以使用IKE_AUTH响应消息进行响应，其中，该IKE_AUTH响应消息中包括N3IWF身份、AUTH有效负载和EAP-Request或5G-Start数据包，其中，AUTH有效负载用于保护N3IWF发送给终端设备的先前消息(在IKE_SA_INIT交换中)。EAP-Request或5G-Start数据包用于通知终端设备启动EAP-5G会话，即开始发送封装在EAP-5G数据包中的网络附属存储(Network Attached Storage，NAS)消息。如果终端在第三步中发送了CERTREQ有效载荷，则N3IWF还应发送包含N3IWF证书的CERT有效载荷至终端设备。第五，终端设备将验证N3IWF证书并确认N3IWF身份与终端设备选择的N3IWF匹配。如果终端设备请求证书或身份确认不成功，则N3IWF缺少证书将导致连接失败。在N3IWF的身份确认时，终端设备应发送一个IKE_AUTH请求，该请求包括一个EAP-Response或5G-NAS数据包，该数据包包含一个注册请求消息，该消息包含终端设备安全能力和SUCI/入职SUCI/匿名值SUCI。其中，N3IWF不发送EAP-Identity请求，因为终端设备在第五步中的IKE_AUTH请求中包含其身份。

以及，在本公开的一个实施例之中，第六，N3IWF应选择TS 23.501第6.5.3节中规定的AMF。N3IWF将从终端设备接收到的注册请求转发给AMF。该注册请求携带与N2消息中。其中，终端设备与AMF之间的物理接口N2。第七，根据TS 23.501第6.1.3节中描述的认证执行认证操作。在来自归属网络的最终认证消息中，AUSF应将源自K _AUSF的锚密钥K _SEAF发送给安全锚功能SEAF。SEAF应从K _SEAF导出K _amf，并将其发送到AMF。AMF使用该K _amf导出NAS安全密钥。如果使用EAP-AKA'或生成密钥的EAP验证方法进行验证，则AUSF应包括可扩展认证协议成功EAP-Success。终端设备还可以导出锚密钥K _SEAF，并从该密钥导出K _amf，然后是NAS安全密钥。在终端设备和AMF处设置与NAS连接标识符“0x02”相关的NAS COUNT。其中，AMF和AUSF例如可以是合设的，即AMF和AUSF为一个设备。第八，AMF应向终端设备发送安全模式命令(SMC)，以激活与NAS连接标识符“0x02”相关的NAS安全。该消息首先发送到N3IWF(在N2消息中)。如果EAP-AKA'用于认证，AMF应将从AUSF接收到的EAP-Success封装在SMC消息中。

以及，在本公开的一个实施例之中，第九，N3IWF应在EAP-Request/5G-NAS数据包中将NAS SMC转发给终端设备。第十，终端设备完成认证(如果在步骤7中启动)并创建一个NAS安全上下文或基于NAS SMC中接收到的安全上下文标识ngKSI激活一个NAS安全上下文。终端设备应根据TS 23.501第6.7.2节中描述的所选算法和参数响应从AMF接收到的NAS SMC。UE应将NAS SMC完成Complete封装在EAP-5G响应中。第十一，N3IWF应通过N2接口将包含NAS SMC Complete的NAS数据包转发给AMF。第十二，AMF在接收到来自终端设备的NAS SMC Complete或完整性保护验证成功后，启动下一代应用协议(Next Generation Application Protocol，NGAP)过程以建立一个上下文。AMF应使用定义的NAS连接标识符“0x02”相关联的上行链路NAS COUNT计算N3IWF密钥K _N3IWF，以在终端设备和N3IWF之间建立IPsec SA，并发送NGAP初始上下文设置请求至N3IWF，其中，该NGAP初始上下文设置请求中包括K _N3IWF。第十三，N3IWF在接收到包含N3IWF密钥K _N3IWF的NGAP初始上下文设置请求时，可以向终端设备发送EAP-Success或EAP-5G。这样就完成了EAP-5G会话，不再交换EAP-5G数据包。如果N3IWF没有从AMF接收到K _N3IWF，则N3IWF应以EAP-Failure响应。

以及，在本公开的一个实施例之中，第十四，IPsec SA通过使用N3IWF密钥K _N3IWF在终端设备和N3IWF之间建立，该密钥是在终端设备中使用与定义的NAS连接标识符“0x02”相关联的上行链路NAS COUNT创建的，并且由N3IWF在第十二步从AMF接收的。第十五，在终端设备和N3IWF之间成功建立IPsec SA后，N3IWF将向AMF发送NGAP初始上下文设置响应NGAP Initial Context Setup Response消息。第十六，当AMF接收到UE的NGAP Initial Context Setup Response时，AMF将通过N2消息向N3IWF发送终端设备的NAS注册接受消息。第十七，在收到来自AMF的NAS注册接受消息后，N3IWF将通过已建立的IPsec SA将其转发给终端设备。终端设备和N3IWF之间的所有进一步NAS消息都应通过已建立的IPsec SA发送。

下面参考附图对本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法、装置、设备及存储介质进行详细描述。

图2为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由终端设备执行，如图2所示，该方法可以包括以下步骤：

步骤201、当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据执行的注册操作，发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至非3GPP互通功能N3IWF。

需要说明的是，在本公开的一个实施例之中，终端设备可以是指向用户提供语音和/或数据连通性的设备。终端设备可以经RAN(Radio Access Network，无线接入网)与一个或多个核心网进行通信，终端设备可以是物联网终端，如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网终端的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，订户站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程终端(remoteterminal)、接入终端(access terminal)、用户终端(user terminal)或用户代理(user agent)。或者，终端设备也可以是无人飞行器的设备。或者，终端设备也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线终端。或者，终端设备也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

其中，在本公开的一个实施例之中，该3GPP网络为非公共网络。

其中，在本公开的一个实施例之中，该非公共网络标识包括(公共陆地移动网络标识Public Land Mobile Network ID，PLMN ID)和网络标识符(network identifier，NID)。

其中，在本公开的一个实施例之中，根据执行的注册操作，发送与注册操作对应的用户标识至N3IWF，包括：

响应于执行的注册操作为独立的非公共网络在线签约注册(SNPN Onboarding Registration)，发送以下用户标识中的至少一种至N3IWF：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

以及，在本公开的一个实施例之中，根据执行的注册操作，发送与注册操作对应的用户标识至N3IWF，包括：

响应于执行的注册操作为执行初始注册或执行移动注册更新，发送以下用户标识中的至少一种至N3IWF：

用户隐藏标识符SUCI；

用户永久标识符SUPI。

示例地，在本公开的一个实施例之中，根据执行的注册操作，发送与注册操作对应的注册类型至N3IWF，包括以下中的至少一种：

响应于执行的注册操作为执行独立的非公共网络在线签约注册(SNPN Onboarding Registration)，发送SNPN Onboarding注册类型至N3IWF；

响应于执行的注册操作为执行初始注册，发送初始注册Initial Registration注册类型至N3IWF；

响应于执行的注册操作为执行移动注册更新，发送移动注册更新Mobility Registration Update注册类型至N3IWF。

在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，根据终端设备的配置信息发送匿名SUCI至N3IWF。

进一步地，在本公开的一个实施例之中，其中，匿名SUCI为通过忽略原用户隐藏标识符中的用户名部分username得到的匿名SUCI。

进一步地，在本公开的一个实施例之中，其中，匿名SUCI为将原用户隐藏标识符中的用户名部分username统一设置为anonymous得到的匿名SUCI。

进一步地，在本公开的一个实施例之中，方法还包括：

接收N3IWF发送的SUCI生成算法；

根据SUCI生成算法生成SUCI，并发送SUCI至N3IWF。

进一步地，在本公开的一个实施例之中，方法还包括：

响应于未接收到N3IWF发送的SUCI生成算法，发送SUCI至N3IWF。

图3为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由终端设备执行，如图3所示，该方法可以包括以下步骤：

步骤301、响应于执行的注册操作为独立的非公共网络在线签约注册(SNPN Onboarding Registration)，发送以下用户标识中的至少一种至N3IWF：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

其中，在本公开的一个实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于执行的注册操作为独立的非公共网络在线签约注册(SNPN Onboarding Registration)，终端设备发送以下用户标识中的至少一种至N3IWF：onboarding SUCI；onboarding SUPI。例如，终端设备可以发送onboarding SUCI至N3IWF，或者终端设备可以发送onboarding SUPI至N3IWF。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于执行的注册操作为独立的非公共网络在线签约注册(SNPN Onboarding Registration)，发送以下用户标识中的至少一种至N3IWF：onboarding SUCI；onboarding SUPI。在本公开实施例之中，根据终端设备执行的独立的非公共网络在线签约注册，发送与该注册操作对应的用户标识至N3IWF，减少发送的用户标识与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，发送与该注册操作对应的用户标识至N3IWF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图4为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由终端设备执行，如图4所示，该方法可以包括以下步骤：

步骤401、响应于执行的注册操作为执行初始注册或执行移动注册更新，发送以下用户标识中的至少一种至N3IWF：

用户隐藏标识符SUCI；

用户永久标识符SUPI。

其中，在本公开的一个实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于执行的注册操作为执行初始注册或执行移动注册更新，终端设备发送至N3IWF的用户标识可以以下至少一种：

用户隐藏标识符SUCI；

用户永久标识符SUPI。例如，终端设备可以发送SUCI至N3IWF，或者终端设备可以发送SUPI至N3IWF。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于执行的注册操作为执行初始注册或执行移动注册更新，发送以下用户标识中的至少一种至N3IWF：SUCI；SUPI。在本公开实施例之中，根据终端设备执行的初始注册或执行移动注册更新，发送与该注册操作对应的用户标识至N3IWF，减少发送的用户标识与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的初始注册或执行移动注册更新，发送与该注册操作对应的用户标识至N3IWF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图5为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由终端设备执行，如图5所示，该方法可以包括以下步骤：

步骤501、响应于执行的注册操作为执行独立的非公共网络在线签约注册(SNPN Onboarding Registration)，发送SNPN Onboarding注册类型至N3IWF。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于执行的注册操作为执行独立的非公共网络在线签约注册，发送SNPN Onboarding注册类型至N3IWF。在本公开实施例之中，根据终端设备执行的独立的非公共网络在线签约注册，发送与该注册操作对应的注册类型至N3IWF，减少发送的注册类型与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了独立的非公共网络在线签约注册对应的注册类型为SNPN Onboarding注册类型的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的独立的非公共网络在线签约注册，发送与该注册操作对应的注册类型至N3IWF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图6为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由终端设备执行，如图6所示，该方法可以包括以下步骤：

步骤601、响应于执行的注册操作为执行初始注册，发送初始注册Initial Registration注册类型至N3IWF。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于执行的注册操作为执行初始注册，发送初始注册Initial Registration注册类型至N3IWF。在本公开实施例之中，根据终端设备执行的初始注册，发送与该注册操作对应的注册类型至N3IWF，减少发送的注册类型与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了初始注册对应的注册类型为Initial Registration注册类型的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的初始注册，发送与该注册操作对应的注册类型至N3IWF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图7为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由终端设备执行，如图7所示，该方法可以包括以下步骤：

步骤701、响应于执行的注册操作为执行移动注册更新，发送移动注册更新Mobility Registration Update注册类型至N3IWF。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于执行的注册操作为执行移动注册更新，发送移动注册更新Mobility Registration Update注册类型至N3IWF。在本公开实施例之中，根据终端设备执行的移动注册更新，发送与该注册操作对应的注册类型至N3IWF，减少发送的注册类型与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了移动注册更新对应的注册类型为移动注册更新Mobility Registration Update注册类型的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的初始注册，发送与该注册操作对应的注册类型至N3IWF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图8为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由终端设备执行，如图8所示，该方法可以包括以下步骤：

步骤801、在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，根据终端设备的配置信息发送匿名SUCI至N3IWF。

其中，在本公开的一个实施例之中，其中，匿名SUCI为通过忽略原用户隐藏标识符中的用户名部分username得到的匿名SUCI。

其中，在本公开的一个实施例之中，其中，匿名SUCI为将原用户隐藏标识符中的用户名部分username统一设置为anonymous得到的匿名SUCI。

进一步地，在本公开的一个实施例之中，方法还包括：

接收N3IWF发送的SUCI生成算法；

根据SUCI生成算法生成SUCI，并发送SUCI至N3IWF。

进一步地，在本公开的一个实施例之中，方法还包括：

响应于未接收到N3IWF发送的SUCI生成算法，发送SUCI至N3IWF。

综上所述，在本公开实施例之中，在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，根据终端设备的配置信息发送匿名SUCI至N3IWF。在本公开实施例之中，响应于EAP方式支持SUPI的隐私保护机制，根据终端设备的配置信息发送匿名SUCI至N3IWF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了根据终端设备的配置信息发送匿名SUCI的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，发送与该注册操作对应的注册类型至N3IWF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图9为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由N3IWF执行，如图9所示，该方法可以包括以下步骤：

步骤901、当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种；

步骤902、发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至接入与移动性管理功能AMF。

其中，在本公开的一个实施例之中，根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的用户标识，包括：

响应于终端设备执行的注册操作为独立的非公共网络在线签约注册SNPN Onboarding Registration，接收终端设备发送的以下用户标识中的至少一种：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

示例地，在本公开的一个实施例之中，根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的用户标识，包括：

响应于注册操作为初始注册或移动注册更新，接收终端设备发送的以下用户标识中的至少一种：

用户隐藏标识符SUCI；

用户永久标识符SUPI。

示例地，在本公开的一个实施例之中，根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的注册类型，包括以下中的至少一种：

响应于终端设备执行的注册操作为执行独立的非公共网络在线签约注册SNPN Onboarding Registration，接收终端设备发送的SNPN Onboarding注册类型；

响应于终端设备执行的注册操作为执行初始注册，接收终端设备发送的初始注册Initial Registration注册类型；

响应于终端设备执行的注册操作为执行移动注册更新，接收终端设备发送的移动注册更新Mobility Registration Update注册类型。

示例地，在本公开的一个实施例之中，根据执行的注册操作，发送终端设备发送的与注册操作对应的用户标识至N3IWF，包括：

在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，接收终端设备根据终端设备的配置信息发送的匿名anonymousSUCI。

以及，在本公开的一个实施例之中，方法还包括：

接收AMF发送的至少一个K _n3iwf、至少一个SUCI和/或至少一个SUCI的生成算法；

存储至少一个K _n3iwf和至少一个SUCI的映射关系。

以及，在本公开的一个实施例之中，方法还包括：

发送SUCI生成算法至终端设备；

接收终端设备发送的SUCI，其中，SUCI是根据SUCI生成算法生成的；

根据SUCI与至少一个K _n3iwf和至少一个SUCI的映射关系，确定SUCI对应的K _n3iwf；

根据SUCI对应的K _n3iwf对终端设备进行认证。

以及，在本公开的一个实施例之中，方法还包括：

响应于未发送SUCI生成算法至终端设备，接收终端设备发送的SUCI；

根据SUCI对应的K _n3iwf对终端设备进行认证。

以及，在本公开的一个实施例之中，方法还包括：

根据SUCI与至少一个K _n3iwf和至少一个SUCI的映射关系，未确定SUCI对应的K _n3iwf时，发送SUCI至AMF；

接收AMF发送的根据SUCI确定的SUCI对应的K _n3iwf；

根据SUCI对应的K _n3iwf对终端设备进行认证。

示例地，在本公开的一个实施例之中，N3IWF每次向终端设备发送SUCI的生成算法都是可选的，即N3IWF每次可以向终端设备发送SUCI的生成算法，N3IWF每次也可以不向终端设备发送SUCI的生成算法。

示例地，在本公开的一个实施例之中，N3IWF接收到终端设备发送的SUCI时，N3IWF可以通过SUCI定位到K _n3iwf之后，用N3IWF密钥K _n3iwf与终端设备建立IPsec SA。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种；发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至AMF。在本公开实施例之中，根据终端设备执行的注册操作，接收与该注册操作对应的信息，减少接收的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图10为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由N3IWF执行，如图10所示，该方法可以包括以下步骤：

步骤1001、响应于终端设备执行的注册操作为独立的非公共网络在线签约注册SNPN Onboarding Registration，接收终端设备发送的以下用户标识中的至少一种：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)；

步骤1002、发送与注册操作对应的用户标识至AMF。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于终端设备执行的注册操作为独立的非公共网络在线签约注册SNPN Onboarding Registration，接收终端设备发送的以下用户标识中的至少一种：onboarding SUCI；onboarding SUPI；发送与注册操作对应的用户标识至AMF。在本公开实施例之中，根据终端设备执行的注册操作，接收与该注册操作对应的信息，减少接收的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了独立的非公共网络在线签约注册对应的用户标识的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图11为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由N3IWF执行，如图11所示，该方法可以包括以下步骤：

步骤1101、响应于注册操作为初始注册或移动注册更新，接收终端设备发送的以下用户标识中的至少一种：

用户隐藏标识符SUCI；

用户永久标识符SUPI；

步骤1102、发送与注册操作对应的用户标识至AMF。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于注册操作为初始注册或移动注册更新，接收终端设备发送的以下用户标识中的至少一种：用户隐藏标识符SUCI；用户永久标识符SUPI；发送与注册操作对应的用户标识至AMF。在本公开实施例之中，根据终端设备执行的注册操作，接收与该注册操作对应的信息，减少接收的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了初始注册或移动注册更新对应的用户标识的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图12为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由N3IWF执行，如图12所示，该方法可以包括以下步骤：

步骤1201、响应于终端设备执行的注册操作为执行独立的非公共网络在线签约注册SNPN Onboarding Registration，接收终端设备发送的SNPN Onboarding注册类型；

步骤1202、发送与注册操作对应的注册类型至AMF。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于终端设备执行的注册操作为执行独立的非公共网络在线签约注册SNPN Onboarding Registration，接收终端设备发送的SNPN Onboarding注册类型；发送与注册操作对应的注册类型至AMF。在本公开实施例之中，根据终端设备执行的注册操作，接收与该注册操作对应的信息，减少接收的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了独立的非公共网络在线签约注册对应的注册类型的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图13为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由N3IWF执行，如图13所示，该方法可以包括以下步骤：

步骤1301、响应于终端设备执行的注册操作为执行初始注册，接收终端设备发送的初始注册Initial Registration注册类型；

步骤1302、发送与注册操作对应的注册类型至AMF。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于终端设备执行的注册操作为执行初始注册，接收终端设备发送的初始注册Initial Registration注册类型；发送与注册操作对应的注册类型至AMF。在本公开实施例之中，根据终端设备执行的注册操作，接收与该注册操作对应的信息，减少接收的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了初始注册对应的注册类型的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图14为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由N3IWF执行，如图14所示，该方法可以包括以下步骤：

步骤1401、响应于终端设备执行的注册操作为执行移动注册更新，接收终端设备发送的移动注册更新Mobility Registration Update注册类型；

步骤1402、发送与注册操作对应的注册类型至AMF。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于终端设备执行的注册操作为执行移动注册更新，接收终端设备发送的移动注册更新Mobility Registration Update注册类型；发送与注册操作对应的注册类型至AMF。在本公开实施例之中，根据终端设备执行的注册操作，接收与该注册操作对应的信息，减少接收的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了移动注册更新对应的注册类型的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图15为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由N3IWF执行，如图15所示，该方法可以包括以下步骤：

步骤1501、在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，接收终端设备根据终端设备的配置信息发送的匿名SUCI；

步骤1502、发送匿名SUCI至AMF。

其中，在本公开的一个实施例之中，匿名SUCI为通过忽略原用户隐藏标识符中的用户名部分username得到的匿名SUCI。

其中，在本公开的一个实施例之中，匿名SUCI为将原用户隐藏标识符中的用户名部分username统一设置为anonymous得到的匿名SUCI。

其中，在本公开的一个实施例之中，方法还包括：

存储至少一个K _n3iwf和至少一个SUCI的映射关系。

其中，在本公开的一个实施例之中，方法还包括：

发送SUCI生成算法至终端设备；

根据SUCI对应的K _n3iwf对终端设备进行认证。

其中，在本公开的一个实施例之中，方法还包括：

根据SUCI对应的K _n3iwf对终端设备进行认证。

其中，在本公开的一个实施例之中，方法还包括：

接收AMF发送的根据SUCI确定的SUCI对应的K _n3iwf；

根据SUCI对应的K _n3iwf对终端设备进行认证。

综上所述，在本公开实施例之中，在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，接收终端设备根据终端设备的配置信息发送的匿名SUCI；发送匿名SUCI至AMF。在本公开实施例之中，响应于EAP方式支持SUPI的隐私保护机制，根据终端设备的配置信息发送匿名SUCI至N3IWF，N3IWF可以发送匿名SUCI至AMF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了接收终端设备根据终端设备的配置信息发送的匿名SUCI的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收与该注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图16为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的交互示意图，如图16所示，该方法可以包括以下步骤：

步骤1601、N3IWF发送SUCI生成算法至终端设备；

步骤1602、终端设备根据SUCI生成算法生成的SUCI，并发送SUCI至N3IWF；

步骤1603、N3IWF接收终端设备发送的SUCI，其中，SUCI是根据SUCI生成算法生成的；

步骤1604、N3IWF根据SUCI与至少一个K _n3iwf和至少一个SUCI的映射关系，确定SUCI对应的K _n3iwf；

步骤1605、N3IWF根据SUCI对应的K _n3iwf对终端设备进行认证。

综上所述，在本公开实施例之中，发送SUCI生成算法至终端设备；接收终端设备发送的SUCI，其中，SUCI是根据SUCI生成算法生成的；根据SUCI与至少一个K _n3iwf和至少一个SUCI的映射关系，确定SUCI对应的K _n3iwf；根据SUCI对应的K _n3iwf对终端设备进行认证。在本公开实施例之中，根据终端设备发送的SUCI确定SUCI对应的K _n3iwf，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了接收终端设备根据终端设备的配置信息发送的匿名SUCI的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收与该注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图17为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的交互示意图，如图17所示，该方法可以包括以下步骤：

步骤1701、响应于未接收到N3IWF发送的SUCI生成算法，终端设备发送SUCI至N3IWF

步骤1702、响应于未发送SUCI生成算法至终端设备，N3IWF接收终端设备发送的SUCI；

步骤1703、N3IWF根据SUCI与至少一个K _n3iwf和至少一个SUCI的映射关系，确定SUCI对应的K _n3iwf；

步骤1704、N3IWF根据SUCI对应的K _n3iwf对终端设备进行认证。

综上所述，在本公开实施例之中，响应于未发送SUCI生成算法至终端设备，接收终端设备发送的SUCI；N3IWF 根据SUCI与至少一个K _n3iwf和至少一个SUCI的映射关系，确定SUCI对应的K _n3iwf；N3IWF根据SUCI对应的K _n3iwf对终端设备进行认证在本公开实施例之中，根据终端设备发送的SUCI确定SUCI对应的K _n3iwf，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了接收终端设备根据终端设备的配置信息发送的匿名SUCI的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收与该注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图18为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由AMF执行，如图18所示，该方法可以包括以下步骤：

步骤1801、当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种。

其中，在本公开的一个实施例之中，根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的用户标识，包括：

响应于终端设备执行的注册操作为独立的非公共网络在线签约注册SNPN Onboarding Registration，接收N3IWF发送的以下用户标识中的至少一种：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

以及，在本公开的一个实施例之中，根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的用户标识，包括：

响应于注册操作为初始注册或移动注册更新，接收N3IWF发送的以下用户标识中的至少一种：

用户隐藏标识符SUCI；

用户永久标识符SUPI。

以及，在本公开的一个实施例之中，根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的注册类型，包括以下中的至少一种：

响应于终端设备执行的注册操作为执行独立的非公共网络在线签约注册SNPN Onboarding Registration，接收N3IWF发送的SNPN Onboarding注册类型；

响应于终端设备执行的注册操作为执行初始注册，接收N3IWF发送的初始注册Initial Registration注册类型；

响应于终端设备执行的注册操作为执行移动注册更新，接收N3IWF发送的移动注册更新Mobility Registration Update注册类型。

以及，在本公开的一个实施例之中，方法还包括：

将本地配置的AMF配置数据应用于在线签约，其中，AMF配置数据用于限制终端设备的网络应用仅为在线签约；

在AMF中的终端设备的上下文中存储指示信息，其中，指示信息用于指示终端设备已在线签约注册。

以及，在本公开的一个实施例之中，方法还包括：

基于ON-SNPN策略，启动用于实现特定注销的计时器，其中，计时器为终端设备在线签约Onboarding配置的。

示例地，在本公开的一个实施例之中，根据执行的注册操作，发送N3IWF发送的与注册操作对应的用户标识至N3IWF，包括：

在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，接收N3IWF发送的匿名SUCI，其中，匿名SUCI为终端设备根据终端设备的配置信息发送至N3IWF的匿名SUCI。

进一步地，在本公开的一个实施例之中，方法还包括：

采用以下至少一种认证方式对终端设备进行认证：

5G AKA认证方式；

EAP-AKA'认证方式；

任何其他生成密钥的EAP认证方式。

进一步地，在本公开的一个实施例之中，方法还包括：

接收AUSF发送的安全锚功能SEAF密钥K _seaf、SUPI、SUCI和/或SUCI的生成算法；

根据K _seaf、SUPI，生成AMF密钥K _amf；

根据K _amf生成K _n3iwf，并存储SUPI、SUCI和K _n3iwf之间的映射关系。

进一步地，在本公开的一个实施例之中，在完成3GPP网络或者默认凭证服务器完成终端设备的认证之后，AUSF获得终端设备的SUPI，同时AUSF将用户的SUPI加密成SUCI，并生成K _seaf。AUSF将生成的Kseaf，用于生成SUCI的算法，SUPI，SUCI发送给AMF或SEAF，其中，AMF或SEAF一般是合设的，就是AMF或SEAF为一个设备。SEAF可以根据K _seaf以及用户的SUPI，生成K _amf。AMF根据K _amf生成K _n3iwf。

进一步地，在本公开的一个实施例之中，方法还包括：

发送至少一个K _n3iwf、至少一个SUCI和/或至少一个SUCI的生成算法至N3IWF。

进一步地，在本公开的一个实施例之中，方法还包括：

接收N3IWF发送的SUCI，其中，SUCI为终端设备发送至N3IWF，且N3IWF未确定SUCI对应的K _n3iwf的SUCI；

发送SUCI至鉴权服务功能AUSF；

接收AUSF针对SUCI发送的SUPI，并根据SUPI确定SUCI对应的K _n3iwf；

发送SUCI对应的K _n3iwf至N3IWF。

示例地，在本公开的一个实施例之中，N3IWF接收到AUSF针对SUCI发送的SUPI时，N3IWF可以通过SUPI定位到K _n3iwf之后，用N3IWF密钥K _n3iwf与终端设备建立IPsec SA。

示例地，在本公开的一个实施例之中，AMF每次向N3IWF发送SUCI的生成算法都是可选的，即AMF每次可以向N3IWF发送SUCI的生成算法，AMF每次也可以不向N3IWF发送SUCI的生成算法。

示例地，在本公开的一个实施例之中，AUSF每次向AMF发送SUCI的生成算法都是可选的，即AUSF每次可以向AMF发送SUCI的生成算法，AUSF每次也可以不向AMF发送SUCI的生成算法。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种。在本公开实施例之中，根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的信息，减少接收的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图19为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由AMF执行，如图19所示，该方法可以包括以下步骤：

步骤1901、响应于终端设备执行的注册操作为独立的非公共网络在线签约注册SNPN Onboarding Registration，接收N3IWF发送的以下用户标识中的至少一种：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

综上所述，在本公开实施例之中，响应于终端设备执行的注册操作为独立的非公共网络在线签约注册SNPN Onboarding Registration，接收N3IWF发送的以下用户标识中的至少一种：onboarding SUCI；onboarding SUPI。在本公开实施例之中，根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的用户标识，减少接收的用户标识与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了独立的非公共网络在线签约注册对应的用户标识的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图20为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由AMF执行，如图20所示，该方法可以包括以下步骤：

步骤2001、响应于注册操作为初始注册或移动注册更新，接收N3IWF发送的以下用户标识中的至少一种：

用户隐藏标识符SUCI；

用户永久标识符SUPI。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于注册操作为初始注册或移动注册更新，接收N3IWF发送的以下用户标识中的至少一种：用户隐藏标识符SUCI；用户永久标识符SUPI。在本公开实施例之中，根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的用户标识，减少接收的用户标识与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了初始注册或移动注册更新对应的用户标识的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图21为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由AMF执行，如图21所示，该方法可以包括以下步骤：

步骤2101、响应于终端设备执行的注册操作为执行独立的非公共网络在线签约注册SNPN Onboarding Registration，接收N3IWF发送的SNPN Onboarding注册类型。

其中，在本公开的一个实施例之中，该方法还包括：AMF将本地配置的AMF配置数据应用于在线签约，其中，AMF配置数据用于限制终端设备的网络应用仅为在线签约；在AMF中的终端设备的上下文中存储指示信息，其中，指示信息用于指示终端设备已在线签约注册。

以及，在本公开的一个实施例之中，该方法还包括：基于ON-SNPN策略，AMF启动用于实现特定注销的计时器，其中，计时器为终端设备在线签约Onboarding配置的。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于终端设备执行的注册操作为执行独立的非公共网络在线签约注册SNPN Onboarding Registration，接收N3IWF发送的SNPN Onboarding注册类型。在本公开实施例之中，根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的注册类型，减少接收的注册类型与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了独立的非公共网络在线签约注册对应的注册类型的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图22为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由AMF执行，如图22所示，该方法可以包括以下步骤：

步骤2201、响应于终端设备执行的注册操作为执行初始注册，接收N3IWF发送的初始注册Initial Registration注册类型。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于终端设备执行的注册操作为执行初始注册，接收N3IWF发送的初始注册Initial Registration注册类型。在本公开实施例之中，根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的注册类型，减少接收的注册类型与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了初始注册对应的注册类型的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的注册类型，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图23为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由AMF执行，如图23所示，该方法可以包括以下步骤：

步骤2301、响应于终端设备执行的注册操作为执行移动注册更新，接收N3IWF发送的移动注册更新Mobility Registration Update注册类型。

综上所述，在本公开实施例之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，响应于终端设备执行的注册操作为执行移动注册更新，接收N3IWF发送的移动注册更新Mobility Registration Update注册类型。在本公开实施例之中，根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的注册类型，减少接收的注册类型与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了移动注册更新对应的注册类型的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的注册类型，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图24为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的流程示意图，该方法由AMF执行，如图24所示，该方法可以包括以下步骤：

步骤2401、在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，接收N3IWF发送的匿名SUCI，其中，匿名SUCI为终端设备根据终端设备的配置信息发送至N3IWF的匿名SUCI。

以及，在本公开的一个实施例之中，该方法还包括：

AMF采用以下至少一种认证方式对终端设备进行认证：

5G AKA认证方式；

EAP-AKA'认证方式；

任何其他生成密钥的EAP认证方式。

进一步地，在本公开的一个实施例之中，方法还包括：

根据K _seaf、SUPI，生成AMF密钥K _amf；

其中，在本公开的一个实施例之中，AMF存储SUPI、SUCI和K _n3iwf之间的映射关系，用于AMF根据SUPI或者SUCI查找K _n3iwf，提高K _n3iwf查找的便利性。

进一步地，在本公开的一个实施例之中，方法还包括：

发送SUCI至鉴权服务功能AUSF；

接收AUSF针对SUCI发送的SUPI，并根据SUPI确定SUCI对应的K _n3iwf；

发送SUCI对应的K _n3iwf至N3IWF。

综上所述，在本公开实施例之中，在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，接收N3IWF发送的匿名SUCI，其中，匿名SUCI为终端设备根据终端设备的配置信息发送至N3IWF的匿名SUCI。在本公开实施例之中，响应于EAP方式支持SUPI的隐私保护机制，接收N3IWF发送的匿名SUCI，其中，匿名SUCI为终端设备根据终端设备的配置信息发送至N3IWF的匿名SUCI，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开实施例具体公开了接收N3IWF发送的匿名SUCI的方案。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理方法，以根据终端设备执行的注册操作，接收与该注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图25为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的交互示意图，如图25所示，该方法可以包括以下步骤：

步骤2501、响应于未接收到N3IWF发送的SUCI生成算法，终端设备发送SUCI至N3IWF

步骤2502、响应于未发送SUCI生成算法至终端设备，N3IWF接收终端设备发送的SUCI；

步骤2503、N3IWF根据SUCI与至少一个K _n3iwf和至少一个SUCI的映射关系，未确定SUCI对应的K _n3iwf时，发送SUCI至AMF；

步骤2504、AMF接收N3IWF发送的SUCI，其中，SUCI为终端设备发送至N3IWF，且N3IWF未确定SUCI对应的K _n3iwf的SUCI；

步骤2505、AMF发送SUCI至鉴权服务功能AUSF；

步骤2506、AUSF根据SUCI解密为SUPI，并发送SUPI至AMF；

步骤2507、AMF接收AUSF针对SUCI发送的SUPI，并根据SUPI确定SUCI对应的K _n3iwf；

步骤2508、AMF发送SUCI对应的K _n3iwf至N3IWF；

步骤2509、N3IWF接收AMF发送的根据SUCI确定的SUCI对应的K _n3iwf；

步骤2510、N3IWF根据SUCI对应的K _n3iwf对终端设备进行认证。

综上所述，在本公开实施例之中，在N3IWF根据映射关系未确定SUCI对应的K _n3iwf时，可以接收AMF发送的K _n3iwf，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。

图26为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证方法的交互示意图，如图26所示，该方法可以包括以下步骤：

步骤2601、在完成3GPP网络或者默认凭证服务器完成终端设备的认证之后，AUSF获得终端设备的SUPI，AUSF将用户的SUPI加密成SUCI，并生成K _seaf；

步骤2602、AUSF将生成的Kseaf，用于生成SUCI的算法，SUPI，SUCI发送给AMF或SEAF；

步骤2603、SEAF可以根据K _seaf以及用户的SUPI，生成K _amf；

步骤2604、AMF根据K _amf生成K _n3iwf；

步骤2605、AMF将K _n3iwf，SUCI，SUCI生成算法发送给N3IWF；

步骤2606、N3IWF接收SUCI和K _n3iwf，以及存储SUCI和K _n3iwf之间的映射关系。

其中，在本公开的一个实施例之中，AMF或SEAF一般是合设的，就是AMF或SEAF为一个设备。

以及，在本公开的一个实施例之中，SUCI生成算法的发送都是可选，即可发可不发。例如AUSF可以发送SUCI生成算法至AMF或SEAF，AUSF也可以不发送SUCI生成算法至AMF或SEAF。例如AMF或SEAF可以发送SUCI生成算法至N3IWF，AMF或SEAF也可以不发送SUCI生成算法至N3IWF。例如N3IWF可以发送SUCI生成算法至终端设备，N3IWF也可以不发送SUCI生成算法至终端设备。

综上所述，在本公开实施例之中，N3IWF保持SUCI和K _n3iwf，以及SUCI和K _n3iwf之间的映射关系，可以减少N3IWF接收到终端设备发送的SUCI时确定与SUCI对应的K _n3iwf的时长，提高SUCI对应的K _n3iwf确定的便利性，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。

图27为本公开实施例所提供的一种通信系统的架构示意图，如图27所示，该系统包括：

终端设备，用于当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据执行的注册操作，发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至N3IWF；

N3IWF，用于根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种，并发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至AMF；

AMF，用于根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种。

综上所述，在本公开实施例的通信系统之中，当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，终端设备可以根据执行的注册操作，发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至N3IWF，N3IWF可以根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种，并发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至AMF；AMF可以根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种。在本公开实施例之中，根据终端设备执行的注册操作，发送与该注册操作对应的信息，减少发送的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理装置，以根据终端设备执行的注册操作，发送与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

图28为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证装置的结构示意图，如图28所示，该装置2800可以设置于终端设备侧，该装置2800可以包括：

发送模块2801，用于当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据执行的注册操作，发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至非3GPP互通功能N3IWF。

综上所述，在本公开实施例的通过非3GPP接入网络接入3GPP网络的认证装置之中，通过发送模块如果终端设备通过不受信任的非3GPP接入3GPP网络，则根据执行的注册操作，发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至非3GPP互通功能N3IWF。在本公开实施例之中，根据终端设备执行的注册操作，发送与该注册操作对应的信息至N3IWF，减少发送的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理装置，以根据终端设备执行的注册操作，发送与该注册操作对应的信息至N3IWF，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

可选地，在本公开的一个实施例之中，发送模块2801，用于根据执行的注册操作，发送与注册操作对应的用户标识至N3IWF时，具体用于：

响应于执行的注册操作为独立的非公共网络在线签约注册(SNPN Onboarding Registration)，发送以下用户标识中的至少一种至所述N3IWF：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

用户隐藏标识符SUCI；

用户永久标识符SUPI。

可选地，在本公开的一个实施例之中，发送模块2801，用于根据执行的注册操作，发送与注册操作对应的注册类型至N3IWF时，具体用于以下中的至少一种：

可选地，在本公开的一个实施例之中，其中，匿名SUCI为通过忽略原用户隐藏标识符中的用户名部分username得到的匿名SUCI。

可选地，在本公开的一个实施例之中，其中，匿名SUCI为将原用户隐藏标识符中的用户名部分username统一设置为anonymous得到的匿名SUCI。

可选地，在本公开的一个实施例之中，发送模块2801，还用于：

接收N3IWF发送的SUCI生成算法；

根据SUCI生成算法生成SUCI，并发送SUCI至N3IWF。

响应于未接收到N3IWF发送的SUCI生成算法，发送SUCI至N3IWF。

图29为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证装置的结构示意图，如图29所示，该装置2900可以设置于N3IWF侧，该装置2900可以包括：

接收模块2901，用于当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种；

发送模块2902，用于发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至接入与移动性管理功能AMF。

综上所述，在本公开实施例的通过非3GPP接入网络接入3GPP网络的认证装置之中，通过接收模块当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种；发送模块发送与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种至接入与移动性管理功能AMF。在本公开实施例之中，根据终端设备执行的注册操作，接收与该注册操作对应的信息，减少接收的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理装置，以根据终端设备执行的注册操作，接收与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

可选地，在本公开的一个实施例之中，接收模块2901，用于根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的用户标识时，具体用于：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

用户隐藏标识符SUCI；

用户永久标识符SUPI。

可选地，在本公开的一个实施例之中，接收模块2901，用于根据终端设备执行的注册操作，接收终端设备发送的与注册操作对应的注册类型时，具体用于以下中的至少一种：

可选地，在本公开的一个实施例之中，接收模块2901，用于根据执行的注册操作，发送终端设备发送的与注册操作对应的用户标识至N3IWF时，具体用于：

可选地，在本公开的一个实施例之中，接收模块2901，还用于：

存储至少一个K _n3iwf和至少一个SUCI的映射关系。

发送SUCI生成算法至终端设备；

根据SUCI对应的K _n3iwf对终端设备进行认证。

接收AMF发送的根据SUCI确定的SUCI对应的K _n3iwf；

根据SUCI对应的K _n3iwf对终端设备进行认证。

图30为本公开实施例所提供的一种通过非3GPP接入网络接入3GPP网络的认证装置的结构示意图，如图30所示，该装置3000可以设置于AMF侧，该装置3000可以包括：

接收模块3001，用于当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种。

综上所述，在本公开实施例的通过非3GPP接入网络接入3GPP网络的认证装置之中，通过接收模块当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的注册类型、用户标识以及终端设备所需注册的非公共网络标识中的至少一种。在本公开实施例之中，根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的信息，减少接收的信息与终端设备执行的注册操作不匹配的情况，提高通过非3GPP接入网络接入3GPP网络的认证的准确性，使得终端设备可以通过非3GPP接入网络接入3GPP网络。本公开针对一种“通过非3GPP接入网络接入3GPP网络的认证”这一情形提供了一种处理装置，以根据终端设备执行的注册操作，接收N3IWF发送的与该注册操作对应的信息，可以提高通过非3GPP接入网络接入3GPP网络的认证的准确性。

可选地，在本公开的一个实施例之中，接收模块3001，用于根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的用户标识时，具体用于：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。

用户隐藏标识符SUCI；

用户永久标识符SUPI。

可选地，在本公开的一个实施例之中，接收模块3001，用于根据终端设备执行的注册操作，接收N3IWF发送的与注册操作对应的注册类型时，具体用于以下中的至少一种：

可选地，在本公开的一个实施例之中，接收模块3001，还用于：

可选地，在本公开的一个实施例之中，接收模块3001，用于根据执行的注册操作，发送N3IWF发送的与注册操作对应的用户标识至N3IWF时，具体用于：

采用以下至少一种认证方式对终端设备进行认证：

5G AKA认证方式；

EAP-AKA'认证方式；

任何其他生成密钥的EAP认证方式。

根据K _seaf、SUPI，生成AMF密钥K _amf；

发送至少一个K _n3iwf、至少一个SUCI和至少一个SUCI的生成算法至N3IWF。

发送SUCI至鉴权服务功能AUSF；

接收AUSF针对SUCI发送的SUPI，并根据SUPI确定SUCI对应的K _n3iwf；

发送SUCI对应的K _n3iwf至N3IWF。

图31是本公开一个实施例所提供的一种终端设备UE3100的框图。例如，UE3100可以是移动电话，计算机，数字广播终端设备，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图31，UE3100可以包括以下至少一个组件：处理组件3102，存储器3104，电源组件3106，多媒体组件3108，音频组件3110，输入/输出(I/O)的接口3112，传感器组件3114，以及通信组件3116。

处理组件3102通常控制UE3100的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件3102可以包括至少一个处理器3120来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件3102可以包括至少一个模块，便于处理组件3102和其他组件之间的交互。例如，处理组件3102可以包括多媒体模块，以方便多媒体组件3108和处理组件3102之间的交互。

存储器3104被配置为存储各种类型的数据以支持在UE3100的操作。这些数据的示例包括用于在UE3100上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器3104可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件3106为UE3100的各种组件提供电力。电源组件3106可以包括电源管理系统，至少一个电源，及其他与为UE3100生成、管理和分配电力相关联的组件。

多媒体组件3108包括在所述UE3100和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括至少一个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的唤醒时间和压力。在一些实施例中，多媒体组件3108包括一个前置摄像头和/或后置摄像头。当UE3100处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件3110被配置为输出和/或输入音频信号。例如，音频组件3110包括一个麦克风(MIC)，当UE3100处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器3104或经由通信组件3116发送。在一些实施例中，音频组件3110还包括一个扬声器，用于输出音频信号。

I/O接口3112为处理组件3102和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件3114包括至少一个传感器，用于为UE3100提供各个方面的状态评估。例如，传感器组件3114可以检测到设备3100的打开/关闭状态，组件的相对定位，例如所述组件为UE3100的显示器和小键盘，传感器组件3114还可以检测UE3100或UE3100的一个组件的位置改变，用户与UE3100接触的存在或不存在，UE3100方位或加速/减速和UE3100的温度变化。传感器组件3114可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件3114还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件3114还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件3116被配置为便于UE3100和其他设备之间有线或无线方式的通信。UE3100可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件3116经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件3116还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，UE3100可以被至少一个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

图32是本公开实施例所提供的一种网络侧设备3200的框图。例如，网络侧设备3200可以被提供为一网络侧设备。参照图32，网络侧设备3200包括处理组件3222，其进一步包括至少一个处理器，以及由存储器3232所代表的存储器资源，用于存储可由处理组件3222的执行的指令，例如应用程序。存储器3232中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件3222被配置为执行指令，以执行上述方法前述应用在所述网络侧设备的任意方法，例如，如图8所示方法。

网络侧设备3200还可以包括一个电源组件3230被配置为执行网络侧设备3200的电源管理，一个有线或无线网络接口3250被配置为将网络侧设备3200连接到网络，和一个输入/输出(I/O)接口3258。网络侧设备3200可以操作基于存储在存储器3232的操作系统，例如Windows Server TM，Mac OS XTM，Unix TM,Linux TM，Free BSDTM或类似。

上述本公开提供的实施例中，分别从网络侧设备、UE的角度对本公开实施例提供的方法进行了介绍。为了实现上述本公开实施例提供的方法中的各功能，网络侧设备和UE可以包括硬件结构、软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能可以以硬件结构、软件模块、或者硬件结构加软件模块的方式来执行。

本公开实施例提供的一种通信装置。通信装置可包括收发模块和处理模块。收发模块可包括发送模块和/或接收模块，发送模块用于实现发送功能，接收模块用于实现接收功能，收发模块可以实现发送功能和/或接收功能。

通信装置可以是终端设备(如前述方法实施例中的终端设备)，也可以是终端设备中的装置，还可以是能够与终端设备匹配使用的装置。或者，通信装置可以是网络设备，也可以是网络设备中的装置，还可以是能够与网络设备匹配使用的装置。

本公开实施例提供的另一种通信装置。通信装置可以是网络设备，也可以是终端设备(如前述方法实施例中的终端设备)，也可以是支持网络设备实现上述方法的芯片、芯片系统、或处理器等，还可以是支持终端设备实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

通信装置可以包括一个或多个处理器。处理器可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对通信装置(如，网络侧设备、基带芯片，终端设备、终端设备芯片，DU或CU等)进行控制，执行计算机程序，处理计算机程序的数据。

可选地，通信装置中还可以包括一个或多个存储器，其上可以存有计算机程序，处理器执行所述计算机程序，以使得通信装置执行上述方法实施例中描述的方法。可选地，所述存储器中还可以存储有数据。通信装置和存储器可以单独设置，也可以集成在一起。

可选地，通信装置还可以包括收发器、天线。收发器可以称为收发单元、收发机、或收发电路等，用于实现收发功能。收发器可以包括接收器和发送器，接收器可以称为接收机或接收电路等，用于实现接收功能；发送器可以称为发送机或发送电路等，用于实现发送功能。

可选地，通信装置中还可以包括一个或多个接口电路。接口电路用于接收代码指令并传输至处理器。处理器运行所述代码指令以使通信装置执行上述方法实施例中描述的方法。

通信装置为终端设备(如前述方法实施例中的终端设备)：处理器用于执行图2-图9任一所示的方法。

通信装置为N3IWF：处理器用于执行图10-图17任一所示的方法。

通信装置为AMF：处理器用于执行图18-图26任一所示的方法。

在一种实现方式中，处理器中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路，或者是接口，或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在一种实现方式中，处理器可以存有计算机程序，计算机程序在处理器上运行，可使得通信装置执行上述方法实施例中描述的方法。计算机程序可能固化在处理器中，该种情况下，处理器可能由硬件实现。

在一种实现方式中，通信装置可以包括电路，所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本公开中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor，CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor，PMOS)、双极结型晶体管(bipolar junction transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的通信装置可以是网络设备或者终端设备(如前述方法实施例中的终端设备)，但本公开中描述的通信装置的范围并不限于此，而且通信装置的结构可以不受的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置可以是：

(1)独立的集成电路IC，或芯片，或，芯片系统或子系统；

(2)具有一个或多个IC的集合，可选地，该IC集合也可以包括用于存储数据，计算机程序的存储部件；

(3)ASIC，例如调制解调器(Modem)；

(4)可嵌入在其他设备内的模块；

(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等；

(6)其他等等。

对于通信装置可以是芯片或芯片系统的情况，芯片包括处理器和接口。其中，处理器的数量可以是一个或多个，接口的数量可以是多个。

可选地，芯片还包括存储器，存储器用于存储必要的计算机程序和数据。

本领域技术人员还可以了解到本公开实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本公开实施例保护的范围。

本公开还提供一种可读存储介质，其上存储有指令，该指令被计算机执行时实现上述任一方法实施例的功能。

本公开还提供一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时，全部或部分地产生按照本公开实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以理解：本公开中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本公开实施例的范围，也表示先后顺序。

本公开中的至少一个还可以描述为一个或多个，多个可以是两个、三个、四个或者更多个，本公开不做限制。在本公开实施例中，对于一种技术特征，通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征，该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims

一种通过非第三代合作伙伴计划3GPP接入网络接入3GPP网络的认证方法，其特征在于，所述方法由终端设备执行，所述方法包括：

当所述终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据执行的注册操作，发送与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至非3GPP互通功能N3IWF。
根据权利要求1所述的方法，其特征在于，所述根据执行的注册操作，发送与所述注册操作对应的用户标识至N3IWF，包括：

响应于所述执行的注册操作为独立的非公共网络在线签约注册(SNPN Onboarding Registration)，发送以下用户标识中的至少一种至所述N3IWF：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。
根据权利要求1所述的方法，其特征在于，所述根据执行的注册操作，发送与所述注册操作对应的用户标识至N3IWF，包括：

响应于所述执行的注册操作为执行初始注册或执行移动注册更新，发送以下用户标识中的至少一种至所述N3IWF：

用户隐藏标识符SUCI；

用户永久标识符SUPI。
根据权利要求1所述的方法，其特征在于，所述根据执行的注册操作，发送与所述注册操作对应的注册类型至所述N3IWF，包括以下中的至少一种：

响应于所述执行的注册操作为执行独立的非公共网络在线签约注册(SNPN Onboarding Registration)，发送SNPN Onboarding注册类型至所述N3IWF；

响应于所述执行的注册操作为执行初始注册，发送初始注册Initial Registration注册类型至所述N3IWF；

响应于所述执行的注册操作为执行移动注册更新，发送移动注册更新Mobility Registration Update注册类型至所述N3IWF。
根据权利要求1所述的方法，其特征在于，所述根据执行的注册操作，发送与所述注册操作对应的用户标识至N3IWF，包括：

在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，根据所述终端设备的配置信息发送匿名SUCI至所述N3IWF。
根据权利要求5所述的方法，其特征在于，其中，所述匿名SUCI为通过忽略原用户隐藏标识符中的用户名部分username得到的匿名SUCI。
根据权利要求5所述的方法，其特征在于，其中，所述匿名SUCI为将原用户隐藏标识符中的用户名部分username统一设置为anonymous得到的匿名SUCI。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

接收所述N3IWF发送的SUCI生成算法；

根据所述SUCI生成算法生成SUCI，并发送所述SUCI至所述N3IWF。
根据权利要求8所述的方法，其特征在于，所述方法还包括：

响应于未接收到所述N3IWF发送的SUCI生成算法，发送所述SUCI至所述N3IWF。
一种通过非3GPP接入网络接入3GPP网络的认证方法，其特征在于，所述方法由N3IWF执行，所述方法包括：

当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种；

发送所述与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至接入与移动性管理功能AMF。
根据权利要求10所述的方法，其特征在于，所述根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的用户标识，包括：

响应于所述终端设备执行的注册操作为独立的非公共网络在线签约注册SNPN Onboarding Registration，接收所述终端设备发送的以下用户标识中的至少一种：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。
根据权利要求10所述的方法，其特征在于，所述根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的用户标识，包括：

响应于所述注册操作为初始注册或移动注册更新，接收所述终端设备发送的以下用户标识中的至少一种：

用户隐藏标识符SUCI；

用户永久标识符SUPI。
根据权利要求10所述的方法，其特征在于，所述根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的注册类型，包括以下中的至少一种：

响应于所述终端设备执行的注册操作为执行独立的非公共网络在线签约注册SNPN Onboarding Registration，接收所述终端设备发送的SNPN Onboarding注册类型；

响应于所述终端设备执行的注册操作为执行初始注册，接收所述终端设备发送的初始注册Initial Registration注册类型；

响应于所述终端设备执行的注册操作为执行移动注册更新，接收所述终端设备发送的移动注册更新MobilityRegistration Update注册类型。
根据权利要求10所述的方法，其特征在于，所述根据执行的注册操作，发送所述终端设备发送的与所述注册操作对应的用户标识至N3IWF，包括：

在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，接收所述终端设备根据所述终端设备的配置信息发送的匿名anonymous SUCI。
根据权利要求14所述的方法，其特征在于，其中，所述匿名SUCI为通过忽略原用户隐藏标识符中的用户名部分username得到的匿名SUCI。
根据权利要求14所述的方法，其特征在于，其中，所述匿名SUCI为将原用户隐藏标识符中的用户名部分username统一设置为anonymous得到的匿名SUCI。
根据权利要求14所述的方法，其特征在于，所述方法还包括：

接收AMF发送的至少一个密钥K _n3iwf、至少一个SUCI和/或所述至少一个SUCI的生成算法；

存储所述至少一个K _n3iwf和至少一个SUCI的映射关系。
根据权利要求17所述的方法，其特征在于，所述方法还包括：

发送SUCI生成算法至所述终端设备；

接收所述终端设备发送的SUCI，其中，所述SUCI是根据所述SUCI生成算法生成的；

根据所述SUCI与所述至少一个K _n3iwf和至少一个SUCI的映射关系，确定所述SUCI对应的K _n3iwf；

根据所述SUCI对应的K _n3iwf对所述终端设备进行认证。
根据权利要求17所述的方法，其特征在于，所述方法还包括：

响应于未发送SUCI生成算法至所述终端设备，接收所述终端设备发送的SUCI；

根据所述SUCI与所述至少一个K _n3iwf和至少一个SUCI的映射关系，确定所述SUCI对应的K _n3iwf；

根据所述SUCI对应的K _n3iwf对所述终端设备进行认证。
根据权利要求18所述的方法，其特征在于，所述方法还包括：

响应于未发送SUCI生成算法至所述终端设备，接收所述终端设备发送的SUCI；

根据所述SUCI与所述至少一个K _n3iwf和至少一个SUCI的映射关系，未确定所述SUCI对应的K _n3iwf时，发送所述SUCI至所述AMF；

接收所述AMF发送的根据所述SUCI确定的所述SUCI对应的K _n3iwf；

根据所述SUCI对应的K _n3iwf对所述终端设备进行认证。
一种通过非3GPP接入网络接入3GPP网络的认证方法，其特征在于，所述方法由AMF执行，所述方法包括：

当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据所述终端设备执行的注册操作，接收N3IWF发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种。
根据权利要求21所述的方法，其特征在于，所述根据所述终端设备执行的注册操作，接收所述N3IWF发送的与所述注册操作对应的用户标识，包括：

响应于所述终端设备执行的注册操作为独立的非公共网络在线签约注册SNPN Onboarding Registration，接收所述N3IWF发送的以下用户标识中的至少一种：

在线签约用户隐藏标识符(onboarding SUCI)；

在线签约用户永久标识符(onboarding SUPI)。
根据权利要求21所述的方法，其特征在于，所述根据所述终端设备执行的注册操作，接收所述N3IWF发送的与所述注册操作对应的用户标识，包括：

响应于所述注册操作为初始注册或移动注册更新，接收所述N3IWF发送的以下用户标识中的至少一种：

用户隐藏标识符SUCI；

用户永久标识符SUPI。
根据权利要求21所述的方法，其特征在于，所述根据所述终端设备执行的注册操作，接收所述N3IWF发送的与所述注册操作对应的注册类型，包括以下中的至少一种：

响应于所述终端设备执行的注册操作为执行独立的非公共网络在线签约注册SNPN Onboarding Registration，接收所述N3IWF发送的SNPN Onboarding注册类型；

响应于所述终端设备执行的注册操作为执行初始注册，接收所述N3IWF发送的初始注册Initial Registration注册类型；

响应于所述终端设备执行的注册操作为执行移动注册更新，接收所述N3IWF发送的移动注册更新MobilityRegistration Update注册类型。
根据权利要求24所述的方法，其特征在于，所述方法还包括：

将本地配置的AMF配置数据应用于在线签约，其中，所述AMF配置数据用于限制所述终端设备的网络应用仅为在线签约；

在所述AMF中的所述终端设备的上下文中存储指示信息，其中，所述指示信息用于指示所述终端设备已在线签约注册。
根据权利要求24所述的方法，其特征在于，所述方法还包括：

基于在线签约SNPNON-SNPN策略，启动用于实现特定注销的计时器，其中，所述计时器为所述终端设备在线签约Onboarding配置的。
根据权利要求21所述的方法，其特征在于，所述根据执行的注册操作，发送所述N3IWF发送的与所述注册操作对应的用户标识至N3IWF，包括：

在非公共网络NPN场景下，响应于可扩展认证协议EAP方式支持用户永久标识符SUPI的隐私保护机制，接收所述N3IWF发送的匿名SUCI，其中，所述匿名SUCI为所述终端设备根据所述终端设备的配置信息发送至所述N3IWF的匿名SUCI。
根据权利要求27所述的方法，其特征在于，其中，所述匿名SUCI为通过忽略原用户隐藏标识符中的用户名部分username得到的匿名SUCI。
根据权利要求27所述的方法，其特征在于，其中，所述匿名SUCI为将原用户隐藏标识符中的用户名部分username统一设置为anonymous得到的匿名SUCI。
根据权利要求27所述的方法，其特征在于，所述方法还包括：

采用以下至少一种认证方式对所述终端设备进行认证：

5G AKA认证方式；

EAP-AKA'认证方式；

任何其他生成密钥的EAP认证方式。
根据权利要求27所述的方法，其特征在于，所述方法还包括：

接收鉴权服务功能AUSF发送的安全锚功能SEAF密钥K _seaf、SUPI、SUCI和/或SUCI的生成算法；

根据所述K _seaf、所述SUPI，生成AMF密钥K _amf；

根据所述K _amf生成K _n3iwf，并存储所述SUPI、所述SUCI和所述K _n3iwf之间的映射关系。
根据权利要求31所述的方法，其特征在于，所述方法还包括：

发送至少一个K _n3iwf、至少一个SUCI和/或所述至少一个SUCI的生成算法至所述N3IWF。
根据权利要求31所述的方法，其特征在于，所述方法还包括：

接收所述N3IWF发送的SUCI，其中，所述SUCI为所述终端设备发送至所述N3IWF，且所述N3IWF未确定所述SUCI对应的K _n3iwf的SUCI；

发送所述SUCI至AUSF；

接收所述AUSF针对所述SUCI发送的SUPI，并根据所述SUPI确定所述SUCI对应的K _n3iwf；

发送所述SUCI对应的K _n3iwf至所述N3IWF。
一种通过非3GPP接入网络接入3GPP网络的认证装置，其特征在于，所述装置设置于终端设备侧，所述装置包括：

发送模块，用于如果所述终端设备通过不受信任的非3GPP接入网络接入3GPP网络，则根据执行的注册操作，发送与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至非3GPP互通功能N3IWF。
一种通过非3GPP接入网络接入3GPP网络的认证装置，其特征在于，所述装置设置于N3IWF侧，所述装置包括：

接收模块，用于当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种；

发送模块，用于发送所述与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至接入与移动性管理功能AMF。
一种通过非3GPP接入网络接入3GPP网络的认证装置，其特征在于，所述装置设置于AMF侧，所述装置包括：

接收模块，用于当终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据所述终端设备执行的注册操作，接收N3IWF发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种。
一种终端设备，其特征在于，所述设备包括处理器和存储器，其中，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求1至9中任一项所述的方法。
一种N3IWF，其特征在于，所述设备包括处理器和存储器，其中，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求10至20中任一项所述的方法。
一种AMF，其特征在于，所述设备包括处理器和存储器，其中，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求21至33中任一项所述的方法。
一种通信装置，其特征在于，包括：处理器和接口电路，其中

所述接口电路，用于接收代码指令并传输至所述处理器；

所述处理器，用于运行所述代码指令以执行如权利要求1至9或10至20或21至33中任一项所述的方法。
一种计算机可读存储介质，其特征在于，用于存储有指令，当所述指令被执行时，使如权利要求1至9或10至20或21至33中任一项所述的方法被实现。
一种通信系统，其特征在于，所述系统包括：

终端设备，用于当所述终端设备通过不受信任的非3GPP接入网络接入3GPP网络时，根据执行的注册操作，发送与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至N3IWF；

所述N3IWF，用于根据所述终端设备执行的注册操作，接收所述终端设备发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种，并发送所述与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种至AMF；

所述AMF，用于根据所述终端设备执行的注册操作，接收N3IWF发送的与所述注册操作对应的注册类型、用户标识以及所述终端设备所需注册的非公共网络标识中的至少一种。