WO2024092826A1

WO2024092826A1 - 身份验证方法及装置

Info

Publication number: WO2024092826A1
Application number: PCT/CN2022/130134
Authority: WO
Inventors: 梁浩然; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-11-04
Filing date: 2022-11-04
Publication date: 2024-05-10

Abstract

本申请实施例公开了一种身份验证方法及装置，通过向NPN中的第一网络设备发送第一请求消息，该第一请求消息用于该第一网络设备确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该终端设备进行身份验证，接收该第一网络设备通过该接入网设备发送的第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功，使得终端设备与访问的网络之间能够相互认证，安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

Description

身份验证方法及装置

技术领域

本申请涉及通信技术领域，特别涉及一种身份验证方法及装置。

背景技术

在3GPP技术报告TR 23.700中研究了，“非公共网络(Non-Public Network，NPN)作为托管网络(hostingnetwork)以提供对本地化服务的访问”以及“终端发现、选择和访问作为托管网络的NPN并接收本地化服务”的关键问题。具体来说，也就是NPN可以充当托管网络来提供本地化服务。

然而，在相关技术中，终端设备和托管网络之间没有相互认证的机制，这导致该终端和该网络都有可能被冒充，进而导致信息泄露、恶意篡改等安全问题。

发明内容

本申请第一方面实施例提出了一种身份验证方法，所述方法由终端设备执行，所述方法包括：

通过接入网设备向非公共网络NPN中的第一网络设备发送第一请求消息，所述第一请求消息用于所述第一网络设备确定第二请求消息，所述第二请求消息用于请求与所述NPN对应的第二网络设备对所述终端设备进行身份验证；

接收所述第一网络设备通过所述接入网设备发送的第一响应消息，所述第一响应消息用于指示所述终端设备身份验证是否成功。

本申请第二方面实施例提出了一种身份验证方法，所述方法由第一核心网设备执行，所述方法包括：

接收终端设备通过接入网设备发送的第一请求消息；

根据所述第一请求消息，向与所述第一网络设备所在的非公共网络NPN对应的第二网络设备发送第二请求消息，所述第二请求消息用于请求所述第二网络设备对所述终端设备进行身份验证；

接收所述第二网络设备发送的所述终端设备身份验证的结果；

根据所述终端设备身份验证的结果，通过所述接入网设备向所述终端设备发送第一响应消息，所述第一响应消息用于指示所述终端设备身份验证是否成功。

本申请第三方面实施例提出了一种身份验证方法，所述方法由第二核心网设备执行，所述方法包括：

接收第一网络设备发送的第二请求消息，所述第二请求消息是所述第一网络设备根据终端设备发送的第一请求消息确定的，所述第二请求消息用于请求与所述第一网络设备所在的非公共网络NPN对应的所述第二网络设备对所述终端设备进行身份验证；

向所述第一网络设备发送所述终端设备身份验证的结果，所述终端设备身份验证的结果，用于确定第一响应消息，所述第一响应消息用于指示所述终端设备身份验证是否成功。

本申请第四方面实施例提出了一种身份验证装置，所述装置应用于终端设备，所述装置包括：

收发单元，用于通过接入网设备向非公共网络NPN中的第一网络设备发送第一请求消息，所述第一请求消息用于所述第一网络设备确定第二请求消息，所述第二请求消息用于请求与所述NPN对应的第二网络设备对所述装置进行身份验证；

所述收发单元，还用于接收所述第一网络设备通过所述接入网设备发送的第一响应消息，所述第一响应消息用于指示所述装置身份验证是否成功。

本申请第五方面实施例提出了一种身份验证装置，所述装置应用于第一核心网设备，所述装置包括：

收发单元，用于接收终端设备通过接入网设备发送的第一请求消息；

处理单元，用于根据所述第一请求消息，向与所述装置所在的非公共网络NPN对应的第二网络设备发送第二请求消息，所述第二请求消息用于请求所述第二网络设备对所述终端设备进行身份验证；

所述收发单元，还用于接收所述第二网络设备发送的所述终端设备身份验证的结果；

所述处理单元，还用于根据所述终端设备身份验证的结果，通过所述接入网设备向所述终端设备发送第一响应消息，所述第一响应消息用于指示所述终端设备身份验证是否成功。

本申请第六方面实施例提出了一种身份验证装置，所述装置应用于第二核心网设备，所述装置包括：

收发单元，用于接收第一网络设备发送的第二请求消息，所述第二请求消息是所述第一网络设备根据终端设备发送的第一请求消息确定的，所述第二请求消息用于请求与所述第一网络设备所在的非公共网络NPN对应的所述装置对所述终端设备进行身份验证；

所述收发单元，还用于向所述第一网络设备发送所述终端设备身份验证的结果，所述终端设备身份验证的结果，用于确定第一响应消息，所述第一响应消息用于指示所述终端设备身份验证是否成功。

本申请第七方面实施例提出了一种通信装置，所述装置包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行上述第一方面实施例所述的身份验证方法。

本申请第八方面实施例提出了一种通信装置，所述装置包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行上述第二方面实施例所述的身份验证方法，或者执行上述第三方面实施例所述的身份验证方法。

本申请第九方面实施例提出了一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第一方面实施例所述的身份验证方法。

本申请第十方面实施例提出了一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第二方面实施例所述的身份验证方法，或者执行上述第三方面实施例所述的身份验证方法。

本申请第十一方面实施例提出了一种计算机可读存储介质，用于存储有指令，当所述指令被执行时，使上述第一方面实施例所述的身份验证方法被实现。

本申请第十二方面实施例提出了一种计算机可读存储介质，用于存储有指令，当所述指令被执行时，使上述第二方面实施例所述的身份验证方法被实现，或者使上述第三方面实施例所述的身份验证方法被实现。

本申请第十三方面实施例提出了一种计算机程序，当其在计算机上运行时，使得计算机执行第一方面实施例所述的身份验证方法。

本申请第十四方面实施例提出了一种计算机程序，当其在计算机上运行时，使得计算机执行第二方面实施例所述的身份验证方法，或者执行上述第三方面实施例所述的身份验证方法。

本申请实施例提供的一种身份验证方法及装置，通过向非公共网络NPN中的第一网络设备发送第一请求消息，该第一请求消息用于该第一网络设备确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该终端设备进行身份验证，接收该第一网络设备通过该接入网设备发送的第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

为了更清楚地说明本申请实施例或背景技术中的技术方案，下面将对本申请实施例或背景技术中所需要使用的附图进行说明。

图1为本申请实施例提供的一种通信系统的架构示意图；

图2是本申请实施例提供的一种身份验证方法的流程示意图；

图3是本申请实施例提供的一种身份验证方法的流程示意图；

图4是本申请实施例提供的一种身份验证方法的流程示意图；

图5是本申请实施例提供的一种身份验证方法的流程示意图；

图6是本申请实施例提供的一种身份验证方法的流程示意图；

图7是本申请实施例提供的一种身份验证方法的流程示意图；

图8是本申请实施例提供的一种身份验证方法的流程示意图；

图9是本申请实施例提供的一种身份验证方法的流程示意图；

图10是本申请实施例提供的一种身份验证方法的流程示意图；

图11是本申请实施例提供的一种身份验证方法的流程示意图；

图12是本申请实施例提供的一种身份验证装置的结构示意图；

图13是本申请实施例提供的一种身份验证装置的结构示意图；

图14是本申请实施例提供的一种身份验证装置的结构示意图；

图15为本申请实施例提供的一种通信系统示意图；

图16是本申请实施例提供的另一种身份验证装置的结构示意图；

图17是本申请实施例提供的一种芯片的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请实施例的一些方面相一致的装置和方法的例子。

在本申请实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请实施例。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”及“若”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的要素。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

为了更好的理解本申请实施例公开的一种身份验证方法，下面首先对本申请实施例适用的通信系统进行描述。

请参见图1，图1为本申请实施例提供的一种通信系统的架构示意图。该通信系统可包括但不限于一个终端设备和一个核心网设备，图1所示的设备数量和形态仅用于举例并不构成对本申请实施例的限定，实际应用中可以包括两个或两个以上的网络设备和两个或两个以上的终端设备。图1所示的通信系统以包括一个终端设备101，一个第一网络设备102和一个第二网络设备103为例。

需要说明的是，本申请实施例的技术方案可以应用于各种通信系统。例如：长期演进(Long Term Evolution，LTE)系统、第五代移动通信系统、5G新空口系统，或者其他未来的新型移动通信系统等。

本申请实施例中的终端设备101是用户侧的一种用于接收或发射信号的实体，如手机。终端设备也可以称为终端设备(terminal)、用户设备(user equipment，UE)、移动台(Mobile Station，MS)、移动终端设备(Mobile Terminal，MT)等。终端设备可以是具备通信功能的汽车、智能汽车、手机(Mobile Phone)、穿戴式设备、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(Virtual Reality，VR)终端设备、增强现实(Augmented Reality，AR)终端设备、工业控制(Industrial Control)中的无线终端设备、无人驾驶(Self-Driving)中的无线终端设备、远程手术(Remote Medical Surgery)中的无线终端设备、智能电网(Smart Grid)中的无线终端设备、运输安全(Transportation Safety)中的无线终端设备、智慧城市(Smart City)中的无线终端设备、智慧家庭(Smart Home)中的无线终端设备等等。本申请的实施例对终端设备所采用的具体技术和具体设备形态不做限定。

在本申请实施例中，第一网络设备102是非公共网络NPN中的核心网设备。其中，第一网络设备102可以为鉴权服务功能(Authentication Server Function，AUSF)。可以理解的是，非公共网络NPN中中还可以有其他核心网设备，比如接入和移动性管理功能(Access and Mobility Management Function，AMF)，安全锚点功能(Security Anchor Fuction，SEAF)，统一数据管理(Unified Data Management，UDM)，网络切片特定的认证和授权功能(Network Slice-Specific Authentication and Authorization Function，NSSAAF)等等。

在本申请实施例中，第二网络设备103是网络侧的一种实体，能够为第一网络设备所在的非公共网络NPN提供服务。比如，该第二网络设备可以一个服务器，能够为该NPN提供认证服务等等。举例而言，该第二网络设备可以为认证授权计费(Authentication、Authorization、Accounting，AAA)服务器等等。

在本申请各实施例中，该非公共网络NPN可以为独立的非公共网络(Stand-aloneNon-Public Network，SNPN)。

然而，在相关技术中，终端设备和托管网络之间没有相互认证的机制，这导致该终端和该网络都有可能被冒充。如果终端设备未向网络认证，则该终端设备可能是冒充的；如果网络未向终端设备认证，则该网络也可能是冒充的。未相互认证的终端设备和托管网络之间的信息交互，可能导致信息泄露、恶意篡改等安全问题。

可以理解的是，在本申请各实施例中，终端设备和各核心网设备之间的信息交互是通过接入网设备的透传完成的。

可以理解的是，本申请实施例描述的通信系统是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

下面结合附图对本申请所提供的身份验证方法及其装置进行详细地介绍。

请参见图2，图2是本申请实施例提供的一种身份验证方法的流程示意图。需要说明的是，本申请实施例的身份验证方法由终端设备执行。该方法可以独立执行，也可以结合本申请任意一个其他实施例一起被执行。如图2所示，该方法可以包括如下步骤：

步骤201，通过接入网设备向NPN中的第一网络设备发送第一请求消息，该第一请求消息用于该第一网络设备确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该终端设备进行身份验证。

在本申请实施例中，终端设备可以通过接入网设备，向NPN中的第一网络设备发送第一请求消息，第一网络设备在接收到该第一请求消息后，能够根据该第一请求消息确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该终端设备进行身份验证。

在本申请实施例中，该第一网络设备可以为鉴权服务功能AUSF。

在本申请实施例中，对该终端设备进行身份验证的第二网络设备是与该第一网络设备所在的NPN对应的，一个第二网络设备仅为一个NPN提供服务，也就是该第二网络设备仅为该第一网络设备所在的NPN提供服务，而不为其他网络提供服务。

可选地，该第二网络设备为该NPN提供的服务包括认证、授权和计费中的至少一种。

可选地，该第二网络设备可以为AAA服务器。

在本申请实施例中，该第一请求消息可以包括该终端设备的标识和/或该终端设备请求访问的托管网络的标识，其中，该托管网络是基于该NPN构建的。

也就是，作为一种可能的实现，该第一请求消息中包括该终端设备的标识和该终端设备请求访问的托管网络的标识。

作为另一种可能的实现，该第一请求消息中包括该终端设备的标识。

可选地，该终端设备的标识可以为以下至少一种：用户永久标识符(Subscription Permanent Identifier，SUPI)，用户隐藏标识符(Subscription Concealed Identifier，SUCI)，匿名SUPI(anonymous SUPI)，匿名SUCI(anonymous SUCI)，在线签约SUCI(onboardingSUCI)，在线签约SUPI(onboardingSUPI)。

可以理解，在本申请实施例中，网络侧能够基于该NPN构建多个托管网络以提供对本地化服务的访问，构建的每个托管网络有自己的托管网络标识。

在一些实施方式中，该终端设备可能正在访问该NPN且该NPN中没有该终端设备的订阅数据，或者该终端设备是仅在该NPN在线签约(onboarding)以获取身份验证的凭证而不需要该NPN提供服务(该NPN中也就没有该终端设备的订阅信息)，该终端设备还能够向第一网络设备发送第一指示信息，该第一指示信息用于该第一网络设备确定省略向统一数据管理功能UDM发送消息。

需要说明的是，如果该NPN中包括该终端设备的订阅数据，第一网络设备向该UDM发送消息以请求UDM基于该终端设备的订阅数据决定与该终端设备执行身份验证。第一网络设备能够接收UDM发送的响应消息来确定与该终端设备执行身份验证，并通过NPN中的网络切片特定的认证和授权功能(Network Slice-Specific Authentication and Authorization Function，NSSAAF)，向第二网络设备发送该第二请求消息。

可选地，该第一网络设备启动Nudm_UEAuthentication_Get服务操作，第一网络设备向UDM发送Nudm_UEAuthentication_Get请求消息，该UDM向第一网络设备发送Nudm_UEAuthentication_Get响应消息。

如果该NPN中没有该终端设备的订阅数据，该终端设备向该第一网络设备发送的第一指示信息可以用于该第一网络设备确定省略向UDM发送消息。第一网络设备接收到该第一指示信息之后，可以不向UDM发送消息，而是直接通过NPN中的NSSAAF，向第二网络设备发送该第二请求消息。

可选地，该第一指示信息可以为该终端设备的标识，或者，该第一指示信息为用于指示该NPN中不包括该终端设备的订阅数据的指示信息。

其中，该终端设备的标识可以为以下至少一种：SUPI，SUCI，匿名SUPI，匿名SUCI，在线签约 SUCI，在线签约SUPI。

作为一种可能的实现，该第一指示信息为该终端设备的标识，第一网络设备接收到该第一指示信息之后，能够根据该第一网络设备的本地策略，确定省略向UDM发送消息。

可选地，该本地策略可以为基于该终端设备的标识中的区域(realm)部分决定忽略与UDM进行交互，而直接选择一个NSSAAF，并通过该NSSAAF向第二网络设备发送该第二请求消息。

可选地，该本地策略可以为基于该终端设备的标识决定，忽略向UDM查询该终端设备的标识是否有对应的订阅信息(subscriptioninformation)。

作为另一种可能的实现，该第一指示信息用于指示该NPN中不包括该终端设备的订阅数据，第一网络设备能够根据接收到的该第一指示信息，确定省略向UDM发送消息。

类似地，可选地，该第一网络设备可以根据该第一指示信息确定忽略与UDM进行交互，而直接选择一个NSSAAF，并通过该NSSAAF向第二网络设备发送该第二请求消息。

可选地，该第一网络设备可以根据该第一指示信息确定，忽略向UDM查询该终端设备的标识是否有对应的订阅信息(subscriptioninformation)。

在一些实施方式中，该NPN中可能不包括该终端设备的订阅数据，第一网络设备也可以不省略向UDM发送消息。第一网络设备依然可以向UDM发送消息，发起Nudm_UEAuthentication_Get服务操作，并接收到未查询到该终端设备的订阅信息的响应，该第一网络设备不拒绝该终端设备的第一请求，依然通过NPN中的NSSAAF，向第二网络设备发送该第二请求消息。

在本申请实施例中，该第二请求消息中包括该终端设备的SUPI或者匿名SUPI。

另外需要说明的是，在本申请实施例中，该第一请求消息是该终端设备通过该NPN中的接入和移动性管理功能AMF向该第一网络设备发送的。

在本申请实施例中，该终端设备能够和该第二网络设备执行相互认证，该相互认证方法可以是基于可扩展的身份验证协议(Extensible Authentication Protocol，EAP)的认证。终端设备与第二网络设备之间的相互认证还可以采用其他身份认证方法，本申请各实施例对该终端设备与第二网络设备之间的相互认证的方法不进行具体限定。

步骤202，接收该第一网络设备通过该接入网设备发送的第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功。

在本申请实施例中，终端设备能够接收第一网络设备通过接入网设备发送的第一响应消息，该第一响应消息能够指示该终端设备的身份验证是否成功。第一网络设备能够根据接收到的第二网络设备发送的身份认证结果，向该终端设备发送该第一响应消息。

需要说明的是，在本申请实施例中，该第一响应消息是该第一网络设备通过该NPN中的接入和移动性管理功能AMF向该终端设备发送的。

在一些实施方式中，该第一响应消息指示该终端设备身份验证成功，该终端设备能够确定主会话密钥(Master Session Key，MSK)，并能够根据该MSK确定第一安全密钥K _AUSF。终端设备能够基于一个密钥导出函数(key derivation function，KDF)，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN，与该NPN中的安全锚点功能SEAF进行信息交互。

其中，需要说明的是，该MSK是由认证成功的该终端设备和该第二网络设备协商确定的，也就是终端设备和第二网络设备能够确定相同的MSK。

另外需要说明的是，根据该MSK确定该第一安全密钥K _AUSF可以是，将该MSK的128位或者256位作为该第一安全密钥K _AUSF。

可选地，如果该第一请求消息中包括托管网络标识，则该服务网络名称为该托管网络标识。如果该第一请求消息中不包括托管网络标识，则该服务网络名称为该NPN的标识。

可选地，该SEAF中存储的第二安全密钥K _SEAF是由该第一网络设备发送给该SEAF的。

可以理解，如果该第一响应消息指示该终端设备的身份验证失败，则该终端设备被拒绝访问该NPN，无法获取该第二网络设备提供的身份认证成功的凭证。

综上，通过向非公共网络NPN中的第一网络设备发送第一请求消息，该第一请求消息用于该第一网络设备确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该终端设备进行身份验证，接收该第一网络设备通过该接入网设备发送的第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图3，图3是本申请实施例提供的一种身份验证方法的流程示意图。需要说明的是，本申请实施例的身份验证方法由终端设备执行。该方法可以独立执行，也可以结合本申请任意一个其他实施例一起被执行。如图3所示，该方法可以包括如下步骤：

步骤301，通过接入网设备向NPN中的第一网络设备发送第一请求消息，该第一请求消息用于该第一网络设备确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该终端设备进行身份验证。

可选地，该第二网络设备可以为AAA服务器。

可选地，该终端设备的标识可以为以下至少一种：SUPI，SUCI，匿名SUPI，匿名SUCI，在线签约SUCI，在线签约SUPI。

在一些实施方式中，该NPN中包括该终端设备的订阅数据，第一网络设备向该UDM发送消息以请求UDM基于该终端设备的订阅数据决定与该终端设备执行身份验证。第一网络设备能够接收UDM发送的响应消息来确定与该终端设备执行身份验证，并通过NPN中的NSSAAF，向第二网络设备发送该第二请求消息。

在一些实施方式中，该NPN中可能不包括该终端设备的订阅数据(比如该终端设备可能正在访问该NPN且该NPN中没有该终端设备的订阅数据，或者该终端设备是仅进行在线签约(onboarding)该NPN以获取身份验证的凭证而不需要该NPN提供服务等等)，第一网络设备也可以不省略向UDM发送消息。第一网络设备依然可以向UDM发送消息，发起Nudm_UEAuthentication_Get服务操作，并接收到未查询到该终端设备的订阅信息的响应，该第一网络设备不拒绝该终端设备的第一请求，依然通过NPN中的NSSAAF，向第二网络设备发送该第二请求消息。

在本申请实施例中，该终端设备能够和该第二网络设备执行相互认证，该相互认证方法可以是基于EAP的认证。终端设备与第二网络设备之间的相互认证还可以采用其他身份认证方法，本申请各实施例对该终端设备与第二网络设备之间的相互认证的方法不进行具体限定。

步骤302，接收该第一网络设备通过该接入网设备发送的第一响应消息，该第一响应消息用于指示该终端设备身份验证成功。

在本申请实施例中，终端设备能够接收第一网络设备通过接入网设备发送的第一响应消息，该第一响应消息能够指示该终端设备的身份验证成功。第一网络设备能够根据接收到的第二网络设备发送的身份认证结果，向该终端设备发送该第一响应消息。

步骤303，确定主会话密钥MSK。

在本申请实施例中，该第一响应消息指示该终端设备身份验证成功，该终端设备能够确定主会话密钥MSK，并能够根据该MSK确定第一安全密钥K _AUSF。

步骤304，根据该MSK，确定第一安全密钥K _AUSF。

在本申请实施例中，终端设备能够根据该MSK确定第一安全密钥K _AUSF。

可选地，根据该MSK确定该第一安全密钥K _AUSF可以是，将该MSK中的128位或者256位作为该第一安全密钥K _AUSF。

步骤305，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN。

在本申请实施例中，终端设备能够基于一个密钥导出函数KDF，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN。

作为一种示例，该密钥导出函数KDF的输入参数KEY为该第一安全密钥K _AUSF。该密钥导出函数KDF的输入参数S可以包括：

该密钥导出函数的编码号FC为0x6C；

参数P0为服务网络名称；

参数L0为参数P0中包括的数据的长度，也就是该服务网络名称的数据的长度。

可选地，该第二安全密钥K _SEAF能够用于该终端设备与该NPN中的安全锚点功能SEAF进行信息交互，该SEAF中存储的第二安全密钥K _SEAF是由该第一网络设备发送给该SEAF的。

综上，通过向NPN中的第一网络设备发送第一请求消息，该第一请求消息用于该第一网络设备确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该终端设备进行身份验证，接收该第一网络设备通过该接入网设备发送的第一响应消息，该第一响应消息用于指示该终端设备身份验证成功，确定主会话密钥MSK，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图4，图4是本申请实施例提供的一种身份验证方法的流程示意图。需要说明的是，本申请实施例的身份验证方法由终端设备执行。该方法可以独立执行，也可以结合本申请任意一个其他实施例一起被执行。如图4所示，该方法可以包括如下步骤：

步骤401，通过接入网设备向NPN中的第一网络设备发送第一请求消息，该第一请求消息用于该第一网络设备确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该终端设备进行身份验证。

可选地，该第二网络设备可以为AAA服务器。

步骤402，向该第一网络设备发送第一指示信息，该第一指示信息用于该第一网络设备确定省略向该NPN中的UDM发送消息。

在本申请实施例中，该终端设备可能正在访问该NPN且该NPN中没有该终端设备的订阅数据，或者该终端设备是在该NPN在线签约(onboarding)以获取身份验证的凭证而不需要该NPN提供服务(该NPN中也就没有该终端设备的订阅信息)，该终端设备还能够向第一网络设备发送第一指示信息，该第一指示信息用于该第一网络设备确定省略向统一数据管理功能UDM发送消息。

需要说明的是，如前所述，如果该NPN中包括该终端设备的订阅数据，第一网络设备向该UDM发送消息以请求UDM基于该终端设备的订阅数据决定与该终端设备执行身份验证。第一网络设备能够接收UDM发送的响应消息来确定与该终端设备执行身份验证，并通过NPN中的NSSAAF，向第二网络设备发送该第二请求消息。

在本申请实施例中，该NPN中没有该终端设备的订阅数据，该终端设备向该第一网络设备发送的第一指示信息可以用于该第一网络设备确定省略向UDM发送消息。第一网络设备接收到该第一指示信息之后，可以不向UDM发送消息，而是直接通过NPN中的NSSAAF，向第二网络设备发送该第二请求消息。

其中，该终端设备的标识可以为以下至少一种：SUPI，SUCI，匿名SUPI，匿名SUCI，在线签约SUCI，在线签约SUPI。

可选地，该本地策略可以为基于该终端设备的标识决定，忽略向UDM查询该终端设备的标识是否有对应的订阅信息(subscriptioninformation)。作为另一种可能的实现，该第一指示信息用于指示该NPN中不包括该终端设备的订阅数据，第一网络设备能够根据接收到的该第一指示信息，确定省略向UDM发送消息。

步骤403，接收该第一网络设备通过该接入网设备发送的第一响应消息，该第一响应消息用于指示该终端设备身份验证成功。

步骤404，确定主会话密钥MSK。

步骤405，根据该MSK，确定第一安全密钥K _AUSF。

可选地，根据该MSK确定该第一安全密钥K _AUSF可以是，将该MSK的128位或者256位作为该第一安全密钥K _AUSF。

步骤406，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN。

该密钥导出函数的编码号FC为0x6C；

参数P0为服务网络名称；

综上，通过向NPN中的第一网络设备发送第一请求消息，该第一请求消息用于该第一网络设备确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该终端设备进行身份验证，向该第一网络设备发送第一指示信息，该第一指示信息用于该第一网络设备确定省略向该NPN中的UDM发送消息，接收该第一网络设备通过该接入网设备发送的第一响应消息，该第一响应消息用于指示该终端设备身份验证成功，确定主会话密钥MSK，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图5，图5是本申请实施例提供的一种身份验证方法的流程示意图。需要说明的是，本申请实施例的身份验证方法由第一网络设备执行。该方法可以独立执行，也可以结合本申请任意一个其他实施例一起被执行。如图5所示，该方法可以包括如下步骤：

步骤501，接收终端设备通过接入网设备发送的第一请求消息。

在本申请实施例中，第一网络设备可以接收终端设备通过接入网设备发送的第一请求消息，第一网络设备在接收到该第一请求消息后，能够根据该第一请求消息确定第二请求消息，该第二请求消息用于请求与该第一网络设备所在的NPN对应的第二网络设备对该终端设备进行身份验证。

可选地，该第二网络设备可以为AAA服务器。

可选地，该终端设备的标识可以为以下至少一种：用户永久标识符SUPI，用户隐藏标识符SUCI，匿名SUPI，匿名SUCI，在线签约SUCI，在线签约SUPI。

步骤502，根据该第一请求消息，向与该第一网络设备所在的NPN对应的第二网络设备发送第二请求消息，该第二请求消息用于请求该第二网络设备对该终端设备进行身份验证。

在本申请实施例中，第一网络设备能够根据该第一请求消息，向与该第一网络设备所在的NPN对应的第二网络设备发送第二请求，请求该第二网络设备对该终端设备进行身份验证。

如前所述，在本申请实施例中，对该终端设备进行身份验证的第二网络设备是与该第一网络设备所在的NPN对应的，一个第二网络设备仅为一个NPN提供服务，也就是该第二网络设备仅为该第一网络设备所在的NPN提供服务，而不为其他网络提供服务。

在一些实施方式中，该终端设备可能正在访问该NPN且该NPN中没有该终端设备的订阅数据，或者该终端设备是仅在(onboarding)该NPN在线签约以获取身份验证的凭证而不需要该NPN提供服务(该NPN中也就没有该终端设备的订阅信息)，该第一网络设备还能够接收终端设备发送的第一指示信息，该第一指示信息用于该第一网络设备确定省略向统一数据管理功能UDM发送消息。

需要说明的是，如果该NPN中包括该终端设备的订阅数据，第一网络设备向该UDM发送消息以请求UDM基于该终端设备的订阅数据决定与该终端设备执行身份验证。第一网络设备能够接收UDM发送的响应消息来确定与该终端设备执行身份验证，并通过NPN中的网络切片特定的认证和授权功能NSSAAF，向第二网络设备发送该第二请求消息。

在本申请实施例中，该终端设备能够和该第二网络设备执行相互认证，该相互认证方法可以是基于可扩展的身份验证协议EAP的认证。终端设备与第二网络设备之间的相互认证还可以采用其他身份认证方法，本申请各实施例对该终端设备与第二网络设备之间的相互认证的方法不进行具体限定。

步骤503，接收该第二网络设备发送的终端设备身份验证的结果。

在本申请实施例中，第一网络设备能够接收第二网络设备发送的身份验证结果，并能够根据该身份验证结果，向该终端设备发送第一响应消息。

该第一网络设备能够通过该NSSAAF接收第二网络设备发送的验证结果。

可选地，该验证结果中可以包括该终端设备的SUPI。

步骤504，根据该终端设备身份验证的结果，通过该接入网设备向该终端设备发送第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功。

在本申请实施例中，第一网络设备能够通过接入网设备向终端设备发送第一响应消息，该第一响应消息能够指示该终端设备的身份验证是否成功。第一网络设备能够根据接收到的第二网络设备发送的身份认证结果，向该终端设备发送该第一响应消息。

在一些实施方式中，该第二网络设备发送的身份验证结果为验证成功，该第一响应消息指示该终端设备身份验证成功，该第一网络设备能够接收该第二网络设备发送的主会话密钥MSK，并能够根据该MSK确定第一安全密钥K _AUSF。第一网络设备能够基于一个密钥导出函数KDF，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN，与该NPN中的安全锚点功能SEAF进行信息交互。

可选地，该第一网络设备能够向该NPN中的安全锚点功能SEAF发送该第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备与该SEAF进行信息交互。

另外可以理解的是，如果该NPN中不包括该终端设备的订阅数据，第一网络设备省略向UDM发送消息，或者该第一网络设备接收到UDM发送的未查询到该终端设备的订阅信息的响应，第一网络设备在接收到第二网络设备发送的验证结果后，可以省略向UDM通知该终端设备的身份验证结果，以验证该终端设备在该UDM中是否存在有效订阅。

综上，通过接收终端设备通过接入网设备发送的第一请求消息，根据该第一请求消息，向与该第一网络设备所在的NPN对应的第二网络设备发送第二请求消息，该第二请求消息用于请求该第二网络设备对该终端设备进行身份验证，接收该第二网络设备发送的终端设备身份验证的结果，根据该终端设备身份验证的结果，通过该接入网设备向该终端设备发送第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图6，图6是本申请实施例提供的一种身份验证方法的流程示意图。需要说明的是，本申请实施例的身份验证方法由第一网络设备执行。该方法可以独立执行，也可以结合本申请任意一个其他实施例一起被执行。如图6所示，该方法可以包括如下步骤：

步骤601，接收终端设备通过接入网设备发送的第一请求消息。

可选地，该第二网络设备可以为AAA服务器。

步骤602，根据该第一请求消息，向与该第一网络设备所在的NPN对应的第二网络设备发送第二请求消息，该第二请求消息用于请求该第二网络设备对该终端设备进行身份验证。

在一些实施方式中，该NPN中包括该终端设备的订阅数据，第一网络设备向该UDM发送消息以请求UDM基于该终端设备的订阅数据决定与该终端设备执行身份验证。第一网络设备能够接收UDM发送的响应消息来确定与该终端设备执行身份验证，并通过NPN中的网络切片特定的认证和授权功能NSSAAF，向第二网络设备发送该第二请求消息。

在一些实施方式中，该NPN中可能不包括该终端设备的订阅数据(比如该终端设备可能正在访问该NPN且该NPN中没有该终端设备的订阅数据，或者该终端设备是仅在该NPN在线签约 (onboarding)以获取身份验证的凭证而不需要该NPN提供服务等等)，第一网络设备也可以不省略向UDM发送消息。第一网络设备依然可以向UDM发送消息，发起Nudm_UEAuthentication_Get服务操作，并接收到未查询到该终端设备的订阅信息的响应，该第一网络设备不拒绝该终端设备的第一请求，依然通过NPN中的NSSAAF，向第二网络设备发送该第二请求消息。

在本申请实施例中，该NSSAAF在收到第一网络设备发送的终端设备的标识后，可以基于本地策略判断向第二网络设备(比如AAA服务器/应用(Application)服务器等)发送的标识类型。例如，基于终端设备的标识的区域(realm)部分，判断向第二网络设备发送SUPI还是外部终端设备标识(比如通用公共用户标识(Generic Public Subscription Identifier，GPSI)，IP多媒体子系统(IP Multimedia Subsystem，IMS)私有用户标识(IP Multimedia Private Identity，IMPI)等)。

步骤603，接收该第二网络设备发送的终端设备身份验证的结果，该结果为身份验证成功。

可选地，该验证结果中可以包括该终端设备的SUPI。

可以理解的是，如果该NPN中包括该终端设备的订阅数据，第一网络设备在接收到第二网络设备发送的验证结果后，还可以向UDM通知该终端设备的身份验证结果，以验证该终端设备在该UDM中是否存在有效订阅。

另外可以理解的是，如果该NPN中不包括该终端设备的订阅数据，该第一网络设备接收到UDM发送的未查询到该终端设备的订阅信息的响应，第一网络设备在接收到第二网络设备发送的验证结果后，可以省略向UDM通知该终端设备的身份验证结果，以验证该终端设备在该UDM中是否存在有效订阅。

步骤604，接收第二网络设备发送的主会话密钥MSK。

在本申请实施例中，该终端设备身份验证成功，第一网络设备能够接收第二网络设备发送的主会话密钥MSK，并能够根据该MSK确定第一安全密钥K _AUSF。

可选地，该MSK可以包含在第二网络设备发送的该验证结果中。

步骤605，根据该MSK，确定第一安全密钥K _AUSF。

在本申请实施例中，第一网络设备能够根据该MSK确定第一安全密钥K _AUSF。

步骤606，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN。

在本申请实施例中，第一网络设备能够基于一个密钥导出函数KDF，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN。

可以理解的是，第一网络设备和终端设备是基于相同的密钥导出函数，从第一安全密钥K _AUSF导出该第二安全密钥K _SEAF。

该密钥导出函数的编码号FC为0x6C；

参数P0为服务网络名称；

步骤607，向该NPN中的安全锚点功能SEAF发送该第二安全密钥K _SEAF。

在本申请实施例中，第一网络设备还能够向该NPN中的SEAF发送该第二安全密钥K _SEAF，该第二安全密钥K _SEAF能够用于该终端设备与该NPN中的安全锚点功能SEAF进行信息交互。

步骤608，根据该终端设备身份验证的结果，通过该接入网设备向该终端设备发送第一响应消息，该第一响应消息用于指示该终端设备身份验证成功。

综上，通过接收终端设备通过接入网设备发送的第一请求消息，根据该第一请求消息，向与该第一网络设备所在的NPN对应的第二网络设备发送第二请求消息，该第二请求消息用于请求该第二网络设备对该终端设备进行身份验证，接收该第二网络设备发送的终端设备身份验证的结果，该结果为身份验证成功，接收第二网络设备发送的主会话密钥MSK，根据该MSK，确定第一安全密钥K _AUSF，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN，向该NPN中的安全锚点功能SEAF发送该第二安全密钥K _SEAF，根据该终端设备身份验证的结果，通过该接入网设备向该终端设备发送第一响应消息，该第一响应消息用于指示该终端设备身份验证成功，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图7，图7是本申请实施例提供的一种身份验证方法的流程示意图。需要说明的是，本申请实施例的身份验证方法由第一网络设备执行。该方法可以独立执行，也可以结合本申请任意一个其他实施例一起被执行。如图7所示，该方法可以包括如下步骤：

步骤701，接收终端设备通过接入网设备发送的第一请求消息。

可选地，该第二网络设备可以为AAA服务器。

步骤702，接收该终端设备发送的第一指示信息，该第一指示信息用于该第一网络设备确定省略向该NPN中的UDM发送消息。

在本申请实施例中，该终端设备可能正在访问该NPN且该NPN中没有该终端设备的订阅数据，或者该终端设备是仅在该NPN在线签约(onboarding)以获取身份验证的凭证而不需要该NPN提供服务(该NPN中也就没有该终端设备的订阅信息)，该第一网络设备还能够接收终端设备发送的第一指示信息，该第一指示信息用于该第一网络设备确定省略向统一数据管理功能UDM发送消息。

在本申请实施例中，该NSSAAF在收到第一网络设备发送的终端设备的标识后，可以基于本地策略判断向第二网络设备(比如AAA服务器/应用(Application)服务器等)发送的标识类型。例如，基于终端设备的标识的区域(realm)部分，判断向第二网络设备发送SUPI还是外部终端设备标识(比如通用公共用户标识GPSI，IMS私有用户标识IMPI等)。

步骤703，根据该第一请求消息，向与该第一网络设备所在的NPN对应的第二网络设备发送第二请求消息，该第二请求消息用于请求该第二网络设备对该终端设备进行身份验证。

步骤704，接收该第二网络设备发送的终端设备身份验证的结果，该结果为身份验证成功。

可选地，该验证结果中可以包括该终端设备的SUPI。

另外可以理解的是，如果该NPN中不包括该终端设备的订阅数据，该第一网络设备接收到该终端设备发送的第一指示信息，并确定省略向UDM发送消息，第一网络设备在接收到第二网络设备发送的验证结果后，可以省略向UDM通知该终端设备的身份验证结果，以验证该终端设备在该UDM中是否存在有效订阅。

步骤705，接收第二网络设备发送的主会话密钥MSK。

步骤706，根据该MSK，确定第一安全密钥K _AUSF。

步骤707，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN。

该密钥导出函数的编码号FC为0x6C；

参数P0为服务网络名称；

步骤708，向该NPN中的安全锚点功能SEAF发送该第二安全密钥K _SEAF。

步骤709，根据该终端设备身份验证的结果，通过该接入网设备向该终端设备发送第一响应消息，该第一响应消息用于指示该终端设备身份验证成功。

综上，通过接收终端设备通过接入网设备发送的第一请求消息，根据该第一请求消息，接收该终端设备发送的第一指示信息，该第一指示信息用于该第一网络设备确定省略向该NPN中的UDM发送消息，向与该第一网络设备所在的NPN对应的第二网络设备发送第二请求消息，该第二请求消息用于请求该第二网络设备对该终端设备进行身份验证，接收该第二网络设备发送的终端设备身份验证的结果，该结果为身份验证成功，接收第二网络设备发送的主会话密钥MSK，根据该MSK，确定第一安全密钥K _AUSF，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN，向该NPN中的安全锚点功能SEAF发送该第二安全密钥K _SEAF，根据该终端设备身份验证的结果，通过该接入网设备向该终端设备发送第一响应消息，该第一响应消息用于指示该终端设备身份验证成功，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图8，图8是本申请实施例提供的一种身份验证方法的流程示意图。需要说明的是，本申请实施例的身份验证方法由第二网络设备执行。该方法可以独立执行，也可以结合本申请任意一个其他实施例一起被执行。如图8所示，该方法可以包括如下步骤：

步骤801，接收第一网络设备发送的第二请求消息，该第二请求消息是该第一网络设备根据终端设备发送的第一请求消息确定的，该第二请求消息用于请求与该第一网络设备所在的NPN对应的该第二网络设备对该终端设备进行身份验证。

在本申请实施例中，第二网络设备能够接收第一网络设备发送的第二请求消息，该第二请求消息用于请求与该第一网络设备所在的NPN对应的第二网络设备对该终端设备进行身份验证，该第二请求消息是第一网络设备根据接收到的终端设备通过接入网设备发送的第一请求消息确定的，第一网络设备在接收到该第一请求消息后，能够根据该第一请求消息确定第二请求消息。

可选地，该第二网络设备可以为AAA服务器。

在本申请实施例中，第一网络设备能够通过NPN中的网络切片特定的认证和授权功能NSSAAF，向第二网络设备发送该第二请求消息。

步骤802，向该第一网络设备发送该终端设备身份验证的结果，该终端设备身份验证的结果，用于确定第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功。

在本申请实施例中，该第二网络设备能够通过该NSSAAF向该第一网络设备发送该验证结果。

可选地，该验证结果中可以包括该终端设备的SUPI。

在本申请实施例中，该身份验证的结果能够用于第一网络设备确定第一响应信息。第一网络设备能够通过接入网设备向终端设备发送第一响应消息，该第一响应消息能够指示该终端设备的身份验证是否成功。

在一些实施方式中，该第二网络设备发送的身份验证结果为验证成功，该第一响应消息指示该终端设备身份验证成功，该第二网络设备能够向该第一网络设备发送主会话密钥MSK，第一网络设备能够根据该MSK确定第一安全密钥K _AUSF。第一网络设备能够基于一个密钥导出函数KDF，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN，与该NPN中的安全锚点功能SEAF进行信息交互。

可选地，该第二安全密钥K _SEAF用于该终端设备与该NPN中的安全锚点功能SEAF进行信息交互，该SEAF中存储的第二安全密钥K _SEAF是由该第一网络设备发送给该SEAF的。

综上，通过接收第一网络设备发送的第二请求消息，该第二请求消息是该第一网络设备根据终端设备发送的第一请求消息确定的，该第二请求消息用于请求与该第一网络设备所在的NPN对应的该第二网络设备对该终端设备进行身份验证，向该第一网络设备发送该终端设备身份验证的结果，该终端设备身份验证的结果，用于确定第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图9，图9是本申请实施例提供的一种身份验证方法的流程示意图。需要说明的是，本申请实施例的身份验证方法由第二网络设备执行。该方法可以独立执行，也可以结合本申请任意一个其他实施例一起被执行。如图9所示，该方法可以包括如下步骤：

步骤901，接收第一网络设备发送的第二请求消息，该第二请求消息是该第一网络设备根据终端设备发送的第一请求消息确定的，该第二请求消息用于请求与该第一网络设备所在的NPN对应的该第二网络设备对该终端设备进行身份验证。

可选地，该第二网络设备可以为AAA服务器。

步骤902，向该第一网络设备发送该终端设备身份验证的结果，该终端设备身份验证的结果，用于确定第一响应消息，该第一响应消息用于指示该终端设备身份验证成功。

可选地，该验证结果中可以包括该终端设备的SUPI。

步骤903，向该第一网络设备发送主会话密钥MSK。

在本申请实施例中，该第二网络设备发送的身份验证结果为验证成功，该第一响应消息指示该终端设备身份验证成功，该第二网络设备能够向该第一网络设备发送主会话密钥MSK，第一网络设备能够根据该MSK确定第一安全密钥K _AUSF。第一网络设备能够基于一个密钥导出函数KDF，根据该第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，该第二安全密钥K _SEAF用于该终端设备访问该NPN，与该NPN中的安全锚点功能SEAF进行信息交互。

该密钥导出函数的编码号FC为0x6C；

参数P0为服务网络名称；

综上，通过接收第一网络设备发送的第二请求消息，该第二请求消息是该第一网络设备根据终端设备发送的第一请求消息确定的，该第二请求消息用于请求与该第一网络设备所在的NPN对应的该第二网络设备对该终端设备进行身份验证，向该第一网络设备发送该终端设备身份验证的结果，该终端设备身份验证的结果，用于确定第一响应消息，该第一响应消息用于指示该终端设备身份验证成功，向该第一网络设备发送主会话密钥MSK，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图10，图10是本申请实施例提供的一种身份验证方法的流程示意图。该方法可以独立执行，也可以结合本申请任意一个其他实施例一起被执行。如图10所示，该方法可以包括如下步骤：

1、终端设备能够选择一个NPN，并在该NPN中发起终端设备注册。该注册消息中可以包括该终端设备的标识和/或该终端设备请求访问的托管网络的标识。其中，该托管网络是基于该NPN构建的。

2、该NPN中的AMF应该向AUSF(第一网络设备)发送Nausf_UEAuthentication_Authenticate请求，来请求对该终端设备进行身份认证。该请求消息中包括该终端设备的标识和/或该终端设备请求访问的托管网络的标识。AMF可以根据3GPP技术规范TS 23.501中规定的标准发现并选择AUSF。

3、AUSF(第一网络设备)能够发起Nudm_UEAuthentication_Get服务操作，AUSF向UDM发送Nudm_UEAuthentication_Get请求。AUSF可以根据3GPP技术规范TS 23.501中规定的标准发现并选择UDM。

4、UDM能够基于订阅信息决定对该终端设备实体执行身份验证，或者能够基于网络访问标识符(Network Access Identifier，NAI)格式中的SUPI区域(realm)部分决定对该终端设备实体执行身份验证。

5、UDM应向AUSF(第一网络设备)提供SUPI或匿名SUPI，并应向AUSF指示使用与该NPN对应的第二网络设备执行身份验证。

如果该NPN中没有该终端设备的订阅信息，AUSF能够接收到该UDM发送的响应，UDM和AUSF不中止该过程。

6、根据UDM的指示，AUSF(第一网络设备)可以根据3GPP技术规范TS 23.501中的规定，发起Nnssaaf_AIWF_Authenticate服务操作，向NSSAAF发送Nnssaaf_AIWF_Authenticate请求。其中，NSSAAF的定义可以参考在3GPP技术规范TS 23.501。

如果该NPN中没有该终端设备的订阅信息，AUSF能够接收到该UDM发送的响应，UDM和AUSF不中止该过程，AUSF依然可以发起Nnssaaf_AIWF_Authenticate服务操作，向NSSAAF发送Nnssaaf_AIWF_Authenticate请求。

该Nnssaaf_AIWF_Authenticate请求中包括该终端设备的标识(SUPI或匿名SUPI)。

7、NSSAAF能够根据与SUPI的区域(realm)部分对应的域名选择第二网络设备。NSSAAF能够执行相关协议转换，并将EAP消息中继到第二网络设备。

8、终端设备和第二网络设备能够执行相互认证。第二网络设备能够作为提供认证服务的网络设备(比如作为EAP服务器)，用于身份验证。第二网络设备在步骤7中的EAP响应/标识消息中接收的EAP标识可以包含匿名的SUPI。在这种情况下，第二网络设备使用EAP方法特定的EAP身份请求/响应消息来获取终端设备的标识，作为终端设备和第二网络设备之间的EAP认证的一部分。

9、认证成功后，第二网络设备能够向NSSAAF提供MSK和SUPI(即用于成功EAP认证的终端设备的标识)。

10、NSSAAF使用Nnssaaf_AIWF_Authenticate响应消息将MSK和SUPI返回给AUSF(第一网络设备)。

11、AUSF(第一网络设备)通过发起Nudm_ueIdentification_ResultConfirmation服务操作，也就是向UDM发送Nudm_ueIdentification_ResultConfirmation请求，来向UDM通知有关接收到的SUPI的身份验证结果，以验证该SUPI是否对应于NPN中的有效订阅。

12、UDM存储SUPI的身份验证状态。

13、UDM向AUSF(第一网络设备)发送Nudm_ueIdentification_ResultConfirmation响应。如果没有对应于SUPI的订阅，则UDM应返回错误。

可以理解的是，如果该NPN中没有该终端设备的订阅信息，在步骤3-5中UDM和AUSF不中止该过程，AUSF依然可以发起Nnssaaf_AIWF_Authenticate服务操作。但在步骤11-13中，AUSF可以不向UDM通知有关接收到的SUPI的身份验证结果，以验证该SUPI是否对应于NPN中的有效订阅，也就是可以省略上述步骤11-13。

14、AUSF能够将MSK的256位或128位作为第一安全密钥K _AUSF。AUSF还能够根据一个密钥导出函数KDF从第一安全密钥K _AUSF中推导出第二安全密钥K _SEAF。该密钥导出函数如前各实施例所述，在此不再赘述。

15、AUSF能够将该终端设备身份验证成功的指示(第一响应消息)与该终端设备的SUPI，以及步骤14中计算出的第二安全密钥K _SEAF一起发送给AMF/SEAF。

16、AMF/SEAF能够在非接入层(non-access stratum，NAS)消息中向终端设备发送身份验证成功的指示(第一响应消息)。

17、终端设备在接收到验证成功的指示(第一响应消息)之后，能够确定主会话密钥MSK，并将MSK的256位或128位作为第一安全密钥K _AUSF。该终端设备还能够据一个同样的密钥导出函数KDF从第一安全密钥K _AUSF中推导出第二安全密钥K _SEAF。该密钥导出函数如前各实施例所述，在此不再赘述。

综上，本申请实施例提供的身份验证方法，能够提供一种终端设备与访问网络之间的相互认证机制，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图11，图11是本申请实施例提供的一种身份验证方法的流程示意图。该方法可以独立执行，也可以结合本申请任意一个其他实施例一起被执行。如图11所示，该方法可以包括如下步骤：

如果该NPN中没有该终端设备的订阅信息(比如该终端设备可能正在访问该NPN且该NPN中没有该终端设备的订阅数据，或者该终端设备是仅在该NPN在线签约(onboarding)以获取身份验证的凭证而不需要该NPN提供服务等等)，该终端设备向该AUSF发送的第一指示信息可以用于该AUSF确定省略向UDM发送消息(也就是省略图10所示的实施例中的步骤3-5)。AUSF接收到该第一指示信息之后，可以不向UDM发送消息，而是直接通过NPN中的NSSAAF，向第二网络设备发送该第二请求消息。

3、AUSF(第一网络设备)可以根据3GPP技术规范TS 23.501中的规定，发起Nnssaaf_AIWF_Authenticate服务操作，向NSSAAF发送Nnssaaf_AIWF_Authenticate请求。其中，NSSAAF的定义可以参考在3GPP技术规范TS 23.501。

4、NSSAAF能够根据与SUPI的区域(realm)部分对应的域名选择第二网络设备。NSSAAF能够执行相关协议转换，并将EAP消息中继到第二网络设备。

5、终端设备和第二网络设备能够执行相互认证。第二网络设备能够作为提供认证服务的网络设备(比如作为EAP服务器)，用于身份验证。第二网络设备在步骤7中的EAP响应/标识消息中接收的EAP标识可以包含匿名的SUPI。在这种情况下，第二网络设备使用EAP方法特定的EAP身份请求/响应消息来获取终端设备的标识，作为终端设备和第二网络设备之间的EAP认证的一部分。

6、认证成功后，第二网络设备能够向NSSAAF提供MSK和SUPI(即用于成功EAP认证的终端设备的标识)。

7、NSSAAF使用Nnssaaf_AIWF_Authenticate响应消息将MSK和SUPI返回给AUSF(第一网络设备)。

如果该NPN中没有该终端设备的订阅信息(比如该终端设备可能正在访问该NPN且该NPN中没有该终端设备的订阅数据，或者该终端设备是仅在该NPN在线签约(onboarding)以获取身份验证的凭证而不需要该NPN提供服务等等)，AUSF(第一网络设备)可以不向UDM通知有关接收到的SUPI的身份验证结果，以验证该SUPI是否对应于NPN中的有效订阅(也就是省略图10所示的实施例中的步骤11-13)。

8、AUSF能够将MSK的256位或128位作为第一安全密钥K _AUSF。AUSF还能够根据一个密钥导出函数KDF从第一安全密钥K _AUSF中推导出第二安全密钥K _SEAF。该密钥导出函数如前各实施例所述，在此不再赘述。

9、AUSF能够将该终端设备身份验证成功的指示(第一响应消息)与该终端设备的SUPI，以及步骤8中计算出的第二安全密钥K _SEAF一起发送给AMF/SEAF。

10、AMF/SEAF能够在非接入层(non-access stratum，NAS)消息中向终端设备发送身份验证成功的指示(第一响应消息)。

11、终端设备在接收到验证成功的指示(第一响应消息)之后，能够确定主会话密钥MSK，并将MSK的256位或128位作为第一安全密钥K _AUSF。该终端设备还能够据一个同样的密钥导出函数KDF从第一安全密钥K _AUSF中推导出第二安全密钥K _SEAF。该密钥导出函数如前各实施例所述，在此不再赘述。

与上述几种实施例提供的身份验证方法相对应，本申请还提供一种身份验证装置，由于本申请实施例提供的身份验证装置与上述几种实施例提供的方法相对应，因此在身份验证方法的实施方式也适用于下述实施例提供的身份验证装置，在下述实施例中不再详细描述。

请参见图12，图12为本申请实施例提供的一种身份验证装置的结构示意图。

如图12所示，该身份验证装置1200包括：收发单元1210，其中：

收发单元1210，用于通过接入网设备向非公共网络NPN中的第一网络设备发送第一请求消息，该第一请求消息用于该第一网络设备确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该装置进行身份验证；

该收发单元1210，还用于接收该第一网络设备通过该接入网设备发送的第一响应消息，该第一响应消息用于指示该装置身份验证是否成功。

可选地，该第二网络设备用于为与该第二网络设备对应的唯一一个NPN提供服务。

可选地，该第一请求消息包括该终端设备的标识和/或该终端设备请求访问的托管网络的标识；该托管网络是基于该NPN构建的。

可选地，该终端设备正在访问该NPN且该NPN中不包括该终端设备的订阅信息，该收发单元1210还用于：向该第一网络设备发送第一指示信息，该第一指示信息用于该第一网络设备确定省略向该NPN中的统一数据管理功能UDM发送消息。

可选地，该第一指示信息为该终端设备的标识；或者，该第一指示信息用于指示该NPN中不包括该终端设备的订阅信息。

可选地，该第一响应消息用于指示该终端设备身份验证成功，该装置还包括处理单元(图中未示出)，该处理单元用于：确定主会话密钥MSK；根据该MSK，确定第一安全密钥KAUSF；根据该第一安全密钥KAUSF和服务网络名称，确定第二安全密钥KSEAF，该第二安全密钥KSEAF用于该终端设备访问该NPN。

可选地，该第一请求消息中包括该托管网络的标识，该服务网络名称为该托管网络的标识。

可选地，该第一请求消息中不包括该托管网络的标识，该服务网络名称为该NPN的标识。

可选地，该第二安全密钥KSEAF用于该终端设备通过接入网设备与该NPN中的安全锚点功能SEAF进行交互，该SEAF中存储的该第二安全密钥KSEAF是由该第一网络设备发送给该SEAF的。

可选地，该第二网络设备为该NPN提供的服务包括：认证，授权和计费中的至少一种。

可选地，该第一请求消息是，该终端设备通过该接入网设备和该NPN中的接入和移动性管理功能AMF向该第一网络设备发送的；该第一响应消息是，该第一网络设备通过该NPN中的接入和移动性管理功能AMF和该接入网设备向该终端设备发送的。

本实施例的身份验证装置，可以通过向非公共网络NPN中的第一网络设备发送第一请求消息，该第一请求消息用于该第一网络设备确定第二请求消息，该第二请求消息用于请求与该NPN对应的第二网络设备对该终端设备进行身份验证，接收该第一网络设备通过该接入网设备发送的第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功，使得终端设备与访问的网络之间能够相互认证，安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图13，图13为本申请实施例提供的一种身份验证装置的结构示意图。

如图13所示，该身份验证装置1300包括：收发单元1310和处理单元1320，其中：

收发单元1310，用于接收终端设备通过接入网设备发送的第一请求消息；

处理单元1320，用于根据该第一请求消息，向与该装置所在的非公共网络NPN对应的第二网络设备发送第二请求消息，该第二请求消息用于请求该第二网络设备对该终端设备进行身份验证；

该收发单元1310，还用于接收该第二网络设备发送的该终端设备身份验证的结果；

该处理单元1320，还用于根据该终端设备身份验证的结果，通过该接入网设备向该终端设备发送第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功。

可选地，该终端设备正在访问该NPN且该NPN中不包括该终端设备的订阅信息，该收发单元1310还用于：接收该终端设备发送的第一指示信息，该第一指示信息用于该第一网络设备确定省略向该NPN中的统一数据管理功能UDM发送消息；通过该NPN中的网络切片特定的认证和授权功能NSSAAF，向该第二网络设备发送该第二请求消息。

可选地，该第一指示信息为该终端设备的标识，该第一指示信息用于指示该第一网络设备根据该第一网络设备的本地策略，省略向该UDM发送消息。

可选地，该第一指示信息用于指示该NPN中不包括该终端设备的订阅信息，该第一指示信息用于指示该第一网络设备根据该第一指示信息，省略向该UDM发送消息。

可选地，该终端设备正在访问该NPN且该NPN中不包括该终端设备的订阅信息，该收发单元1310还用于：向该NPN中的统一数据管理功能UDM查询该终端设备的订阅信息，且未查询到该终端设备的订阅信息；通过该NPN中的网络切片特定的认证和授权功能NSSAAF，向该第二网络设备发送该第二请求消息。

可选地，该第一响应消息用于指示该终端设备身份验证成功，该处理单元1320还用于：接收该第二网络设备发送的主会话密钥MSK；根据该MSK，确定第一安全密钥KAUSF；根据该第一安全密钥KAUSF和服务网络名称，确定第二安全密钥KSEAF，该第二安全密钥KSEAF用于该终端设备访问该 NPN。

可选地，该收发单元1310还用于：向该NPN中的安全锚点功能SEAF发送该第二安全密钥KSEAF，该第二安全密钥KSEAF用于该终端设备通过接入网设备与该NPN中的安全锚点功能SEAF进行交互。

本实施例的身份验证装置，可以通过接收终端设备通过接入网设备发送的第一请求消息，根据该第一请求消息，向与该第一网络设备所在的NPN对应的第二网络设备发送第二请求消息，该第二请求消息用于请求该第二网络设备对该终端设备进行身份验证，接收该第二网络设备发送的终端设备身份验证的结果，根据该终端设备身份验证的结果，通过该接入网设备向该终端设备发送第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功，使得终端设备与访问的网络之间能够相互认证，安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图14，图14为本申请实施例提供的一种身份验证装置的结构示意图。

如图14所示，该身份验证装置1400包括：收发单元1410，其中：

收发单元1410，用于接收第一网络设备发送的第二请求消息，该第二请求消息是该第一网络设备根据终端设备发送的第一请求消息确定的，该第二请求消息用于请求与该第一网络设备所在的非公共网络NPN对应的该装置对该终端设备进行身份验证；

该收发单元1410，还用于向该第一网络设备发送该终端设备身份验证的结果，该终端设备身份验证的结果，用于确定第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功。

可选地，该收发单元1410还用于：接收该第一网络设备通过该NPN中的网络切片特定的认证和授权功能NSSAAF，发送的该第二请求消息。

可选地，该第一响应消息用于指示该终端设备身份验证成功，该收发单元1410还用于：向该第一网络设备发送主会话密钥MSK；该MSK用于该第一网络设备确定第一安全密钥KAUSF，该第一安全密钥KAUSF和服务网络名称用于该第一网络设备确定第二安全密钥KSEAF。

本实施例的身份验证装置，可以通过接收第一网络设备发送的第二请求消息，该第二请求消息是该第一网络设备根据终端设备发送的第一请求消息确定的，该第二请求消息用于请求与该第一网络设备所在的NPN对应的该第二网络设备对该终端设备进行身份验证，向该第一网络设备发送该终端设备身份验证的结果，该终端设备身份验证的结果，用于确定第一响应消息，该第一响应消息用于指示该终端设备身份验证是否成功，使得终端设备与访问的网络之间能够相互认证，终端设备能够安全地访问该网络，获取该网络提供的服务，有效保护了终端设备与访问网络之间的信息交互安全，提高系统的安全性、私密性。

请参见图15，图15为本申请实施例提供的一种通信系统示意图。

如图15所示，该通信系统包括：终端设备，第一网络设备和第二网络设备，其中：

终端设备，用于执行图2至图4实施例所示的方法

第一网络设备，用于执行图5至图7实施例所示的方法；

第二网络设备，用于执行图8至图9实施例所示的方法。

为了实现上述实施例，本申请实施例还提出一种通信装置，包括：处理器和存储器，存储器中存储有计算机程序，处理器执行所述存储器中存储的计算机程序，以使装置执行图2至图4实施例所示的方法。

为了实现上述实施例，本申请实施例还提出一种通信装置，包括：处理器和存储器，存储器中存储有计算机程序，处理器执行所述存储器中存储的计算机程序，以使装置执行图5至图7实施例所示的方法，或者执行图8至图9实施例所示的方法。

为了实现上述实施例，本申请实施例还提出一种通信装置，包括：处理器和接口电路，接口电路，用于接收代码指令并传输至处理器，处理器，用于运行所述代码指令以执行图2至图4实施例所示的方法。

为了实现上述实施例，本申请实施例还提出一种通信装置，包括：处理器和接口电路，接口电路，用于接收代码指令并传输至处理器，处理器，用于运行所述代码指令以执行图5至图7实施例所示的方法，或者执行图8至图9实施例所示的方法。

请参见图16，图16是本申请实施例提供的另一种身份验证装置的结构示意图。身份验证装置1600可以是网络设备，也可以是终端设备，也可以是支持网络设备实现上述方法的芯片、芯片系统、或处理器等，还可以是支持终端设备实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

身份验证装置1600可以包括一个或多个处理器1601。处理器1601可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对身份验证装置(如，基站、基带芯片，终端设备、终端设备芯片，DU或CU等)进行控制，执行计算机程序，处理计算机程序的数据。

可选的，身份验证装置1600中还可以包括一个或多个存储器1602，其上可以存有计算机程序1603，处理器1601执行计算机程序1603，以使得身份验证装置1600执行上述方法实施例中描述的方法。计算机程序1603可能固化在处理器1601中，该种情况下，处理器1601可能由硬件实现。

可选的，存储器1602中还可以存储有数据。身份验证装置1600和存储器1602可以单独设置，也可以集成在一起。

可选的，身份验证装置1600还可以包括收发器1605、天线1606。收发器1605可以称为收发单元、收发机、或收发电路等，用于实现收发功能。收发器1605可以包括接收器和发送器，接收器可以称为接收机或接收电路等，用于实现接收功能；发送器可以称为发送机或发送电路等，用于实现发送功能。

可选的，身份验证装置1600中还可以包括一个或多个接口电路1607。接口电路1607用于接收代码指令并传输至处理器1601。处理器1601运行代码指令以使身份验证装置1600执行上述方法实施例中描述的方法。

在一种实现方式中，处理器1601中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路，或者是接口，或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在一种实现方式中，身份验证装置1600可以包括电路，电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor，CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor，PMOS)、双极结型晶体管(bipolar junction transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的身份验证装置可以是网络设备或者终端设备，但本申请中描述的身份验证装置的范围并不限于此，而且身份验证装置的结构可以不受图12-图14的限制。身份验证装置可以是独立的设备或者可以是较大设备的一部分。例如身份验证装置可以是：

(1)独立的集成电路IC，或芯片，或，芯片系统或子系统；

(2)具有一个或多个IC的集合，可选的，该IC集合也可以包括用于存储数据，计算机程序的存储部件；

(3)ASIC，例如调制解调器(Modem)；

(4)可嵌入在其他设备内的模块；

(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等；

(6)其他等等。

对于身份验证装置可以是芯片或芯片系统的情况，可参见图17所示的芯片的结构示意图。图17所示的芯片包括处理器1701和接口1702。其中，处理器1701的数量可以是一个或多个，接口1702的数量可以是多个。

对于芯片用于实现本申请实施例中网络设备的功能的情况：

接口1702，用于代码指令并传输至处理器；

处理器1701，用于运行代码指令以执行如图5至图7的方法，或者执行如图8至图9的方法。

对于芯片用于实现本申请实施例中终端设备的功能的情况：

接口1702，用于代码指令并传输至处理器；

处理器1701，用于运行代码指令以执行如图2至图4的方法。

可选的，芯片还包括存储器1703，存储器1703用于存储必要的计算机程序和数据。

本领域技术人员还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现的功能，但这种实现不应被理解为超出本申请实施例保护的范围。

本申请实施例还提供一种通信系统，该系统包括前述图12-图14实施例中作为终端设备的身份验证装置，或者，该系统包括前述图16实施例中作为终端设备的身份验证装置。

本申请还提供一种可读存储介质，其上存储有指令，该指令被计算机执行时实现上述任一方法实施例的功能。

本申请还提供一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行计算机程序时，全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机程序可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以理解：本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围，也表示先后顺序。

本申请中的至少一个还可以描述为一个或多个，多个可以是两个、三个、四个或者更多个，本申请不做限制。在本申请实施例中，对于一种技术特征，通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征，该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。

本申请中各表所示的对应关系可以被配置，也可以是预定义的。各表中的信息的取值仅仅是举例，可以配置为其他值，本申请并不限定。在配置信息与各参数的对应关系时，并不一定要求必须配置各表中示意出的所有对应关系。例如，本申请中的表格中，某些行示出的对应关系也可以不配置。又例如，可以基于上述表格做适当的变形调整，例如，拆分，合并等等。上述各表中标题示出参数的名称也可以采用通信装置可理解的其他名称，其参数的取值或表示方式也可以通信装置可理解的其他取值或表示方式。上述各表在实现时，也可以采用其他的数据结构，例如可以采用数组、队列、容器、栈、线性表、指针、链表、树、图、结构体、类、堆、散列表或哈希表等。

本申请中的预定义可以理解为定义、预先定义、存储、预存储、预协商、预配置、固化、或预烧制。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

应当理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本申请实施例中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明公开的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims

一种身份验证方法，其特征在于，所述方法由终端设备执行，所述方法包括：

通过接入网设备向非公共网络NPN中的第一网络设备发送第一请求消息，所述第一请求消息用于所述第一网络设备确定第二请求消息，所述第二请求消息用于请求与所述NPN对应的第二网络设备对所述终端设备进行身份验证；

接收所述第一网络设备通过所述接入网设备发送的第一响应消息，所述第一响应消息用于指示所述终端设备身份验证是否成功。
根据权利要求1所述的方法，其特征在于，所述第二网络设备用于为与所述第二网络设备对应的唯一一个NPN提供服务。
根据权利要求1所述的方法，其特征在于，所述第一请求消息包括所述终端设备的标识和/或所述终端设备请求访问的托管网络的标识；所述托管网络是基于所述NPN构建的。
根据权利要求1所述的方法，其特征在于，所述终端设备正在访问所述NPN且所述NPN中不包括所述终端设备的订阅信息，所述方法还包括：

向所述第一网络设备发送第一指示信息，所述第一指示信息用于所述第一网络设备确定省略向所述NPN中的统一数据管理功能UDM发送消息。
根据权利要求4所述的方法，其特征在于，所述第一指示信息为所述终端设备的标识；或者，所述第一指示信息用于指示所述NPN中不包括所述终端设备的订阅信息。
根据权利要求3所述的方法，其特征在于，所述第一响应消息用于指示所述终端设备身份验证成功，所述方法还包括：

确定主会话密钥MSK；

根据所述MSK，确定第一安全密钥K _AUSF；

根据所述第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，所述第二安全密钥K _SEAF用于所述终端设备访问所述NPN。
根据权利要求6所述的方法，其特征在于，所述第一请求消息中包括所述托管网络的标识，所述服务网络名称为所述托管网络的标识。
根据权利要求6所述的方法，其特征在于，所述第一请求消息中不包括所述托管网络的标识，所述服务网络名称为所述NPN的标识。
根据权利要求6所述的方法，其特征在于，所述第二安全密钥K _SEAF用于所述终端设备通过接入网设备与所述NPN中的安全锚点功能SEAF进行交互，所述SEAF中存储的所述第二安全密钥K _SEAF是由所述第一网络设备发送给所述SEAF的。
根据权利要求2所述的方法，其特征在于，所述第二网络设备为所述NPN提供的服务包括：认证，授权和计费中的至少一种。
根据权利要求1-10任一项所述的方法，其特征在于，

所述第一请求消息是，所述终端设备通过所述接入网设备和所述NPN中的接入和移动性管理功能AMF向所述第一网络设备发送的；

所述第一响应消息是，所述第一网络设备通过所述NPN中的接入和移动性管理功能AMF和所述接入网设备向所述终端设备发送的。
一种身份验证方法，其特征在于，所述方法由第一网络设备执行，所述方法包括：

接收终端设备通过接入网设备发送的第一请求消息；

根据所述第一请求消息，向与所述第一网络设备所在的非公共网络NPN对应的第二网络设备发送第二请求消息，所述第二请求消息用于请求所述第二网络设备对所述终端设备进行身份验证；

接收所述第二网络设备发送的所述终端设备身份验证的结果；

根据所述终端设备身份验证的结果，通过所述接入网设备向所述终端设备发送第一响应消息，所述第一响应消息用于指示所述终端设备身份验证是否成功。
根据权利要求12所述的方法，其特征在于，所述第二网络设备用于为与所述第二网络设备对应的唯一一个NPN提供服务。
根据权利要求12所述的方法，其特征在于，所述第一请求消息包括所述终端设备的标识和/或所述终端设备请求访问的托管网络的标识；所述托管网络是基于所述NPN构建的。
根据权利要求12所述的方法，其特征在于，所述终端设备正在访问所述NPN且所述NPN中不包括所述终端设备的订阅信息，所述方法还包括：

接收所述终端设备发送的第一指示信息，所述第一指示信息用于所述第一网络设备确定省略向所述NPN中的统一数据管理功能UDM发送消息；

通过所述NPN中的网络切片特定的认证和授权功能NSSAAF，向所述第二网络设备发送所述第二请求消息。
根据权利要求15所述的方法，其特征在于，所述第一指示信息为所述终端设备的标识；或者，所述第一指示信息用于指示所述NPN中不包括所述终端设备的订阅信息。
根据权利要求16所述的方法，其特征在于，所述第一指示信息为所述终端设备的标识，所述第一指示信息用于指示所述第一网络设备根据所述第一网络设备的本地策略，省略向所述UDM发送消息。
根据权利要求16所述的方法，其特征在于，所述第一指示信息用于指示所述NPN中不包括所述终端设备的订阅信息，所述第一指示信息用于指示所述第一网络设备根据所述第一指示信息，省略向所述UDM发送消息。
根据权利要求12所述的方法，其特征在于，所述终端设备正在访问所述NPN且所述NPN中不包括所述终端设备的订阅信息，所述方法还包括：

向所述NPN中的统一数据管理功能UDM查询所述终端设备的订阅信息，且未查询到所述终端设备的订阅信息；

通过所述NPN中的网络切片特定的认证和授权功能NSSAAF，向所述第二网络设备发送所述第二请求消息。
根据权利要求14所述的方法，其特征在于，所述第一响应消息用于指示所述终端设备身份验证成功，所述方法还包括：

接收所述第二网络设备发送的主会话密钥MSK；

根据所述MSK，确定第一安全密钥K _AUSF；

根据所述第一安全密钥K _AUSF和服务网络名称，确定第二安全密钥K _SEAF，所述第二安全密钥K _SEAF用于所述终端设备访问所述NPN。
根据权利要求20所述的方法，其特征在于，所述第一请求消息中包括所述托管网络的标识，所述服务网络名称为所述托管网络的标识。
根据权利要求20所述的方法，其特征在于，所述第一请求消息中不包括所述托管网络的标识，所述服务网络名称为所述NPN的标识。
根据权利要求20所述的方法，其特征在于，所述方法还包括：

向所述NPN中的安全锚点功能SEAF发送所述第二安全密钥K _SEAF，所述第二安全密钥K _SEAF用于所述终端设备通过接入网设备与所述NPN中的安全锚点功能SEAF进行交互。
根据权利要求13所述的方法，其特征在于，所述第二网络设备为所述NPN提供的服务包括：认证，授权和计费中的至少一种。
根据权利要求12-24任一项所述的方法，其特征在于，

所述第一请求消息是，所述终端设备通过所述接入网设备和所述NPN中的接入和移动性管理功能AMF向所述第一网络设备发送的；

所述第一响应消息是，所述第一网络设备通过所述NPN中的接入和移动性管理功能AMF和所述接入网设备向所述终端设备发送的。
一种身份验证方法，其特征在于，所述方法由第二网络设备执行，所述方法包括：

接收第一网络设备发送的第二请求消息，所述第二请求消息是所述第一网络设备根据终端设备发送的第一请求消息确定的，所述第二请求消息用于请求与所述第一网络设备所在的非公共网络NPN对应的所述第二网络设备对所述终端设备进行身份验证；

向所述第一网络设备发送所述终端设备身份验证的结果，所述终端设备身份验证的结果，用于确定第一响应消息，所述第一响应消息用于指示所述终端设备身份验证是否成功。
根据权利要求26所述的方法，其特征在于，所述第二网络设备用于为与所述第二网络设备对应的唯一一个NPN提供服务。
根据权利要求26所述的方法，其特征在于，所述第一请求消息包括所述终端设备的标识和/或所述终端设备请求访问的托管网络的标识；所述托管网络是基于所述NPN构建的。
根据权利要求26所述的方法，其特征在于，所述方法还包括：

接收所述第一网络设备通过所述NPN中的网络切片特定的认证和授权功能NSSAAF发送的所述第二请求消息。
根据权利要求28所述的方法，其特征在于，所述第一响应消息用于指示所述终端设备身份验证成功，所述方法还包括：

向所述第一网络设备发送主会话密钥MSK；

所述MSK用于所述第一网络设备确定第一安全密钥K _AUSF，所述第一安全密钥K _AUSF和服务网络名称用于所述第一网络设备确定第二安全密钥K _SEAF。
根据权利要求30所述的方法，其特征在于，所述第一请求消息中包括所述托管网络的标识，所述服务网络名称为所述托管网络的标识。
根据权利要求30所述的方法，其特征在于，所述第一请求消息中不包括所述托管网络的标识，所述服务网络名称为所述NPN的标识。
根据权利要求27所述的方法，其特征在于，所述第二网络设备为所述NPN提供的服务包括：认证，授权和计费中的至少一种。
一种身份验证装置，其特征在于，所述装置包括：

收发单元，用于通过接入网设备向非公共网络NPN中的第一网络设备发送第一请求消息，所述第一请求消息用于所述第一网络设备确定第二请求消息，所述第二请求消息用于请求与所述NPN对应的第二网络设备对所述装置进行身份验证；

所述收发单元，还用于接收所述第一网络设备通过所述接入网设备发送的第一响应消息，所述第一响应消息用于指示所述装置身份验证是否成功。
一种身份验证装置，其特征在于，所述装置包括：

收发单元，用于接收终端设备通过接入网设备发送的第一请求消息；

处理单元，用于根据所述第一请求消息，向与所述装置所在的非公共网络NPN对应的第二网络设备发送第二请求消息，所述第二请求消息用于请求所述第二网络设备对所述终端设备进行身份验证；

所述收发单元，还用于接收所述第二网络设备发送的所述终端设备身份验证的结果；

所述处理单元，还用于根据所述终端设备身份验证的结果，通过所述接入网设备向所述终端设备发送第一响应消息，所述第一响应消息用于指示所述终端设备身份验证是否成功。
一种身份验证装置，其特征在于，所述装置包括：

收发单元，用于接收第一网络设备发送的第二请求消息，所述第二请求消息是所述第一网络设备根据终端设备发送的第一请求消息确定的，所述第二请求消息用于请求与所述第一网络设备所在的非公共网络NPN对应的所述装置对所述终端设备进行身份验证；

所述处理单元，还用于向所述第一网络设备发送所述终端设备身份验证的结果，所述终端设备身份验证的结果，用于确定第一响应消息，所述第一响应消息用于指示所述终端设备身份验证是否成功。
一种通信装置，其特征在于，所述装置包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求1至11中任一项所述的方法，或者执行如权利要求12至25中任一项所述的方法，或者执行如权利要求26至33中任一项所述的方法。
一种通信装置，其特征在于，包括：处理器和接口电路；

所述接口电路，用于接收代码指令并传输至所述处理器；

所述处理器，用于运行所述代码指令以执行如权利要求1至11中任一项所述的方法，或者执行如权利要求12至25中任一项所述的方法，或者执行如权利要求26至33中任一项所述的方法。
一种计算机可读存储介质，用于存储有指令，当所述指令被执行时，使如权利要求1至11中任一项所述的方法被实现，或者使如权利要求11至25中任一项所述的方法被实现，或者使如权利要求26至33中任一项所述的方法被实现。
一种通信系统，其特征在于，所述通信系统包括：

终端设备，用于执行如权利要求1至11中任一项所述的方法；

第一网络设备，用于执行如权利要求12至25中任一项所述的方法；

第二网络设备，用于执行如权利要求26至33中任一项所述的方法。