WO2024207359A1

WO2024207359A1 - 认证方法和装置、网络设备及计算机存储介质

Info

Publication number: WO2024207359A1
Application number: PCT/CN2023/086706
Authority: WO
Inventors: 商正仪; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2023-04-06
Filing date: 2023-04-06
Publication date: 2024-10-10
Also published as: CN116965075A

Abstract

本公开提供了一种认证方法和装置、网络设备及计算机存储介质。该方法可以包括：接收第一消息，其中，第一消息用于触发对第一终端的认证过程，第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端；以及，将第二网元或第三网元确定为用于触发认证过程的第四网元，其中，第二网元为第一服务网络的网元，第三网元为第二服务网络的网元。在本公开中，能够实现在终端在不同服务网络中进行多种注册的情况下对终端的网络认证。

Description

认证方法和装置、网络设备及计算机存储介质

技术领域

本公开涉及无线通信技术领域，尤其涉及一种认证方法和装置、网络设备及计算机存储介质。

背景技术

随着科技的发展，在无线通信系统中，一个终端可以通过不同的接入类型接入到多个服务网络，即接入到不同公共陆地移动网络(public land mobile network，PLMN)的服务网络。终端可以通过3GPP接入类型接入到一个服务网络并完成在归属网络中的注册过程以及通过非3GPP接入类型接入到另一个服务网络并完成在归属网络中的注册过程。这样的情况可以被称为终端在不同服务网络中进行多种注册(即multiple registrations in different PLMNs)。

目前，在终端在不同服务网络中进行多种注册的情况下，如何实现归属网络对终端的认证过程是一个亟需解决的问题。

发明内容

本公开提供了一种认证方法和装置、设备及存储介质，以实现在终端在不同服务网络中进行多种注册的情况下对终端的网络认证。

在第一方面，本公开提供了一种认证方法。该认证方法应用于第一网元。上述认证方法包括：接收第一消息，其中，第一消息用于触发对第一终端的认证过程，第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端；将第二网元或第三网元确定为用于触发认证过程的第四网元，其中，第二网元为第一服务网络的网元，第三网元为第二服务网络的网元。

在一些可能的实施方式中，将第二网元或第三网元确定为用于触发认证过程的第四网元的过程可以包括：基于第一数据和/或缺省配置和/或运营商策略，将第二网元或第三网元确定为第四网元，其中，第一数据包括第一终端在第一服务网络中的注册信息和/或连接状态信息、以及第二服务网络中的注册信息和/或连接状态信息。

在一些可能的实施方式中，注册信息可以包括注册时间信息和可达性信息。

在一些可能的实施方式中，基于第一数据和/或缺省配置和/或运营商策略，将第二网元或第三网元确定为第四网元的操作可以包括：在可达性信息指示第一终端在第一服务网络中是可达的、并且在第二服务网络中不是可达的情况下，将第二网元确定为第四网元。

在一些可能的实施方式中，基于第一数据和/或缺省配置和/或运营商策略，将第二网元或第三网元确定为第四网元的操作可以包括：在连接状态信息指示第一终端在第一服务网络中处于连接态、并且在第二服务网络中处于空闲态的情况下，将第二网元确定为第四网元。

在一些可能的实施方式中，基于第一数据和/或缺省配置和/或运营商策略，将第二网元或第三网元确定为第四网元的操作可以包括：在可达性信息指示第一终端在第一服务网络和第二服务网络中的可达性相同、或连接状态信息指示第一终端在第一服务网络和第二服务网络中的连接状态相同的情况下，将第一服务网络的第二网元和第二服务网络的第三网元中第一终端的注册时间最近的服务网络的网元确定为第四网元。

在一些可能的实施方式中，基于第一数据和/或缺省配置和/或运营商策略，将第二网元或第三网元确定为第四网元的操作可以包括：在可达性信息指示第一终端在第一服务网络和第二服务网络中的可达性相同、或连接状态信息指示第一终端在第一服务网络和第二服务网络中的连接状态相同的情况下，将第二网元确定为第四网元。第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。

在一些可能的实施方式中，基于第一数据和/或缺省配置和/或运营商策略，将第二网元或第三网元确定为第四网元的操作可以包括：将第二网元缺省地确定为第四网元。第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。

在一些可能的实施方式中，基于第一数据和/或缺省配置和/或运营商策略，将第二网元或第三网元确定为第四网元的操作可以包括：根据运营商策略，将第二网元确认为第四网元。第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。

在一些可能的实施方式中，在将第二网元或第三网元确定为用于触发认证过程的第四网元之前，上述认证方法还可以包括：接收来自第二网元和/或第三网元的第二消息，其中，第二消息包含以下至少之一：第一终端在第一服务网络中的注册信息和/或连接状态信息，以及第一终端在第二服务网络中的注册信息和/或连接状态信息；保存所接收的注册信息和/或连接状态信息。

在一些可能的实施方式中，在将第二网元或第三网元确定为用于触发认证过程的第四网元之后，上述方法还可以包括：向第四网元发送第三消息。第三消息用于指示第四网元触发对第一终端的认证过程。

在一些可能的实施方式中，上述方法还可以包括：接收来自第四网元的第四消息。第四消息是第四网络针对第三消息发送的响应消息或确认消息。

在第二方面，本公开提供了一种认证方法。该认证方法应用于第四网元。上述方法包括：接收来自第一网元的第三消息，其中，第三消息用于指示第四网元触发对第一终端的认证过程，第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端。第四网元是第一网元从第二网元和第三网元中确定的。第二网元为第一服务网络的网元。第三网元为第二服务网络的网元。

在一些可能的实施方式中，上述方法还可以包括：向第一网元发送第四消息。第四消息是第四网络针对第三消息发送的响应消息或确认消息。

在一些可能的实施方式中，在接收来自第一网元的第三消息之后，上述方法还可以包括：触发对第一终端的认证过程。

在第三方面，本公开提供了一种认证装置。该认证装置设置于第一网元。上述认证装置包括接收模块和处理模块。接收模块被配置为接收第一消息。第一消息用于触发对第一终端的认证过程。第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端。处理模块被配置为将第二网元或第三网元确定为用于触发认证过程的第四网元，其中，第二网元为第一服务网络的网元，第三网元为第二服务网络的网元。

在一些可能的实施方式中，处理模块可以被配置为：基于第一数据和/或缺省配置和/或运营商策略，将第二网元或第三网元确定为第四网元。第一数据包括第一终端在第一服务网络中的注册信息和/或连接状态信息、以及第二服务网络中的注册信息和/或连接状态信息。

在一些可能的实施方式中，处理模块可以被配置为：在可达性信息指示第一终端在第一服务网络中是可达的、并且在第二服务网络中不是可达的情况下，将第二网元确定为第四网元。

在一些可能的实施方式中，处理模块可以被配置为：在连接状态信息指示第一终端在第一服务网络中处于连接态、并且在第二服务网络中处于空闲态的情况下，将第二网元确定为第四网元。

在一些可能的实施方式中，处理模块可以被配置为：在可达性信息指示第一终端在第一服务网络和第二服务网络中的可达性相同、或连接状态信息指示第一终端在第一服务网络和第二服务网络中的连接状态相同的情况下，将第一服务网络的第二网元和第二服务网络的第三网元中第一终端的注册时间最近的服务网络的网元确定为第四网元。

在一些可能的实施方式中，处理模块可以被配置为：在可达性信息指示第一终端在第一服务网络和第二服务网络中的可达性相同、或连接状态信息指示第一终端在第一服务网络和第二服务网络中的连接状态相同的情况下，将第二网元确定为第四网元。第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。

在一些可能的实施方式中，处理模块可以被配置为：将第二网元缺省地确定为第四网元。第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。

在一些可能的实施方式中，处理模块可以被配置为：根据运营商策略，将第二网元确认为第四网元。第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。

在一些可能的实施方式中，接收模块还可以被配置为接收来自第二网元和/或第三网元的第二消息。第二消息包含以下至少之一：第一终端在第一服务网络中的注册信息和/或连接状态信息，以及第一终端在第二服务网络中的注册信息和/或连接状态信息。处理模块还可以被配置为保存所接收的注册信息和/或连接状态信息。

在一些可能的实施方式中，上述认证装置还可以包括发送模块。发送模块被配置为：向第四网元发送第三消息。第三消息用于指示第四网元触发对第一终端的认证过程。

在一些可能的实施方式中，接收模块还可以被配置为：接收来自第四网元的第四消息。第四消息是第四网络针对第三消息发送的响应消息或确认消息。

在第四方面，本公开提供了一种认证装置。该认证装置设置于第四网元。上述认证装置包括接收模块。接收模块被配置为接收来自第一网元的第三消息。第三消息用于指示第四网元触发对第一终端的认证过程。第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端。第四网元是第一网元从第二网元和第三网元中确定的。第二网元为第一服务网络的网元。第三网元为第二服务网络的网元。

在一些可能的实施方式中，上述认证装置还可以包括发送模块。发送模块被配置为：向第一网元发送第四消息。第四消息是第四网络针对第三消息发送的响应消息或确认消息。

在一些可能的实施方式中，上述认证装置还可以包括处理模块。处理模块被配置为：触发对第一终端的认证过程。

在第五方面，本公开提供了一种网络设备。该网络设备包括存储器和处理器。存储器被配置为存储计算机可执行指令。处理器与存储器连接，并且被配置为执行存储器中的计算机可执行指令，以实现如第一方面和第二方面及其可能的实施方式中任一项所述的认证方法。

在第六方面，本公开提供一种计算机存储介质，其上存储有计算机可执行指令。计算机可执行指令被处理器执行后能够实现如第一方面和第二方面及其可能的实施方式中任一项所述的认证方法。

在第七方面，本公开提供一种计算机程序。该计算机程序包括可执行指令。可执行指令被处理器执行后能够实现如第一方面和第二方面及其可能的实施方式中任一项所述的认证方法。

在本公开中，针对终端通过不同的接入类型接入多个服务网络的场景，第一网元能够确定第一服务网络的第二网元或第二服务网络的第三网元作为用于触发对终端的认证过程的第四网元。以此方式，能够选择一种接入类型并确定对应的用于触发认证过程的第四网元，继而能够确定进行认证过程的网络路径，实现由网络触发的对终端的认证过程。如此，不需要挂起诸如漫游操纵、用户参数更新之类的业务，增强了网络的安全性并保证了服务质量。

应当理解的是，本公开的第三方面至七方面与本公开的第一方面和第二方面的技术方案一致，各方面及对应的可行实施方式所取得的有益效果相似，不再赘述。

附图说明

图1为本公开实施例中实现认证过程的网络架构的示意图。

图2为本公开实施例中的一种认证方法的一实施例的流程示意图。

图3为本公开实施例中的一种认证方法的另一实施例的流程示意图。

图4为本公开实施例中的另一种认证方法的一实施例的流程示意图。

图5为本公开实施例中的认证方法的示例性实施例的交互示意图。

图6为本公开实施例中的一种认证装置的结构示意图。

图7为本公开实施例中的一种通信设备的结构示意图。

图8为本公开实施例中的一种终端设备的结构示意图。

图9为本公开实施例中的一种网络设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。

应当理解，尽管在本公开实施例可能采用术语“第一”、“第二”、“第三”等来描述各种信息，但这些信息不应被理解为限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，“第一信息”也可以被称为“第二信息”，类似地，“第二信息”也可以被称为“第一信息”。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”等。

进一步地，在本公开实施例的描述中，“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系。例如，A和/或B可以表示以下三种情况：单独存在A，同时存在A和B，单独存在B。另外，在本公开实施例的描述中，“多个”可以指两个或多于两个。

在无线通信系统中，为了对漫游操纵(steering of roaming，SoR)服务和/或用户设备(user equipment，UE)参数更新(UE parameter update，UPU)服务进行保护，鉴权服务功能(authentication server function，AUSF)和终端需要为密钥(如K_AUSF)的生命周期保持相关的计数器(如Counter_SoR或Counter_UPU)。一旦计数器即将回绕(wrap around)，针对UE的SoR或UPU的保护服务将被挂起。只有在为UE生成新的K_AUSF之后，AUSF中的计数器才能够被重置，从而能够恢复针对终端的SoR或UPU的保护服务。因此，在K_AUSF失效之前需要对其进行及时刷新。

在一实施例中，主认证流程(primary authentication procedure)能够实现终端和网络之间的相互认证。在主认证成功完成之后，可以生成新的K_AUSF，如此，可以实现对K_AUSF的刷新。目前，归属网络中并没有触发对终端的主认证过程以刷新K_AUSF的机制。从安全性的角度看，核心网中的网络功能(network function，NF)需要具备能够触发主认证过程的能力。

这里，“主认证过程”是终端和网络之间的认证过程，也可以被称为“认证过程”、“网络认证过程”、“重认证”等。

在一实施例中，终端可能会通过不同的接入类型(access type)分别接入到不同PLMN的服务网络中。示例性的，终端可能通过3GPP接入类型接入到一个服务网络中，并且通过非3GPP接入类型接入到另一个服务网络中。在这种情况下，归属网络中的统一数据管理功能(unified data management，UDM)分别与不同PLMN的服务网络中的接入和移动管理功能(access and mobility management function，AMF)相连接。

那么，在终端在不同服务网络中进行多种注册的情况下，如何实现归属网络对终端的认证过程是一个亟需解决的问题。

为了解决上述问题，本公开实施例提供一种无线通信系统，以实现对终端的认证过程。图1为本公开实施例中的无线通信系统的系统架构的示意图。如图1所示，终端110(也可以称为第一终端)接入到第一服务网络120和第二服务网络130。此外，终端110归属于归属网络(home network，HN)140，例如，归属PLMN(home PLMN，HPLMN)的网络。

第一服务网络120包括AMF 121。第二服务网络130包括AMF 131。AMF 121和AMF 131具有接入和移动性管理功能，主要实现移动性管理、接入鉴权/授权等功能。此外，AMF 121和AMF 131还负责传递用户策略。可以理解的是，第一服务网络120和第二服务网络130还可以分别包括安全锚点功能(security anchor function，SEAF)。SEAF具有安全锚点功能，主要实现认证功能。可以理解的是，第一服务网络120中的SEAF可以与AMF 121集中部署，也可以独立于AMF 121部署；同样地，第二服务网络130中的SEAF可以与AMF 131集中部署，也可以独立于AMF 131部署，本公开实施例对此不做具体限定。

在一些情况下，如图1所示，终端110可以通过一种接入类型(如3GPP接入类型)接入到第一服务网络120，并且终端110还可以通过另一种接入类型(非3GPP接入类型)接入到第二服务网络130。示例性的，第一服务网络120与3GPP接入类型对应的接入网122相连接。接入网122中的接入网络功能(也可以称为接入网网元、接入网设备、接入网功能实体等)可以与诸如AMF 121之类的网络功能连接。第二服务网络130中与非3GPP接入类型对应的接入网132相连接。接入网132中的接入网络功能可以与核心网中的非3GPP互通功能(non-3GPP interworking function，N3IWF)133连接，并且借助于N3IWF 133与诸如AMF 121之类的网络功能间接连接。

在另一些情况下，终端110还可以通过3GPP接入类型接入第一服务网络120和第二服务网络130，或者可能通过非3GPP接入类型接入第一服务网络120和第二服务网络130，本公开实施例对此不做具体限定。

在一实施例中，归属网络140包括AUSF 141和UDM 142。AUSF 141具有鉴权服务功能，支持统一鉴权服务功能，实现对终端的认证。UDM 142具有用户标识、签约数据、鉴权数据的管理、用户的服务网元注册管理等功能。

需要说明的是，在本公开实施例中，第一服务网络120中的AMF 121、第二服务网络130中的AMF131、归属网络中的AUSF 141和UDM 142支持由归属网络140触发的认证过程。

上述终端110可以是一种具有无线通信功能的终端设备，也可以称为UE。终端可以部署在陆地上，包括室内或室外、手持、可穿戴或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。上述终端可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端装置、增强现实(augmented reality，AR)终端装置、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。终端也可以是具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备等。可选的，在不同的网络中终端还可以叫做不同的名称，例如：终端装置、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置、蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant，PDA)、5G网络或未来演进网络中的终端等。

上述接入网功能可以为接入网侧用于支持终端110接入无线通信系统的网元、网络设备、网络功能实体等。例如，接入网功能可以是5G接入技术通信系统中的下一代基站(next generation NodeB，gNB)、发送接收点(transmission reception point，TRP)、中继节点(relay node)、接入点(access point，AP)等。

需要说明的是，在图1所示的系统架构中，各网络功能(或网络设备、网元、网络功能实体等)以及连接关系仅为示例性的，各个网络功能在应用于本公开实施例中时，并非全部功能都是必需的。核心网的全部或者部分网络功能可以是物理上的实体设备，也可以是虚拟化的设备，在此不做限定。当然，本公开实施例中的系统架构还可以包括未在图1中示出的其他网络功能，在此不做限定。

为了解决前文所述的问题，本公开实施例提供一种认证方法，以在终端被在不同服务网络中进行多种注册的情况下实现对终端的认证过程。

在本公开实施例所述的“认证过程”可以为主认证过程，如可扩展身份验证协议和认证与密钥协商(EAP-AKA')的认证过程、5G AKA认证过程，具体可以参见3GPP TS 33.501的6.1.2节和6.1.3节所定义的主认证过程。

图2为本公开实施例中的一种认证方法的一实施例的流程示意图。本实施例中的认证方法应用于第一网元，如图1中的UDM 142。这里，第一网元也可以被称为第一网络功能、第一网络功能实体、第一核心网功能、第一核心网功能实体、第一网络设备、第一核心网设备等，本公开实施例对其的具体名称及描述不做具体限定。

如图2所示，上述认证方法可以包括步骤S210和步骤S220。

在步骤S210中，接收第一消息。

这里，第一消息用于触发对第一终端的认证过程，第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端。

在一实施例中，第一消息可以直接或间接地触发对第一终端的认证过程。

在一实施例中，第一消息可以显性指示触发对第一终端的认证过程。此时，第一消息可以是请求消息或通知消息，该请求消息或通知消息可以专用于请求或通知触发对第一终端的认证过程。在一示例中，第一消息可以是Nudm_reauthentication请求消息。在一示例中，第一消息可以是来自应用的认证和密钥管理(authentication and key management for application，AKMA)锚点功能(AKMA anchor function，AANF)的重认证(re-authentication)消息。

在一实施例中，第一消息可以隐性指示触发对第一终端的认证过程。此时，第一消息可以为用于触发其他功能的消息，在该消息中可以携带有一指示信息，该指示信息可以指示触发对第一终端的认证过程。在一示例中，上述指示信息可以是与第一终端的K_AUSF相关的计数器的值。在一示例中，第一消息可以是Nausf_SoRProtection响应消息。此时，第一消息可以来自于AUSF。与密钥K_AUSF相关的计数器例如可以是针对SoR服务的计数器Counter_SoR。在一示例中，第一消息可以是Nasuf_UPUProtection响应消息。此时，第一消息可以来自于AUSF。与密钥K_AUSF相关的计数器可以是针对UPU服务的计数器Counter_UPU。此外，指示信息可以是用于指示Counter_SoR或Counter_UPU的counter_wrap，或者指示进行重认证的其他标识。

当然，第一消息可以存在其他的实现方式，本公开实施例对此不做具体限定。

在一实施例中，第一网元可以为归属网络中的网元，第一网元与第一服务网络和第二服务网络连接。示例性的，第一网元可以是HPLMN中的UDM。可以理解的是，第一网元还可以是HPLMN中的其它网元，本公开实施例对此不做具体限定。

在步骤S220中，响应于第一消息，将第一服务网络的第二网元或第二服务网络的第三网元确定为用于触发认证过程的第四网元。

可以理解的，第二网元可以位于第一服务网络中，第三网元可以位于第二服务网络中。第二网元和第三网元均可以根据第一网元的指示触发认证过程。在此步骤中，第一网元从第二网元和第三网元中选择一个网元作为用于触发认证过程的第四网元。

示例性的，第二网元可以是第一服务网络的AMF，第三网元可以是第二服务网络的AMF。可以理解的是，第二网元和第三网元还可以是第一服务网络和第二服务网络中的其它网络功能，本公开实施例对此不做具体限定。

在一实施例中，第一网元在通过步骤S210接收到第一消息之后，在步骤S220中响应于第一消息，从第一服务网络的第二网元和第二服务网络的第三网元中确定一个，以用于触发对第一终端进行认证。

在一实施例中，在步骤S220中，第一网元可以响应于第一消息，基于第一数据、缺省配置和/或运营商策略，将第二网元或第三网元确定为第四网元。

在一实施例中，第一数据是第一网元上存储的与第一终端有关的数据。在一实施例中，第一数据可以包括以下至少之一：第一终端在第一服务网络中的注册信息和/或连接状态信息，以及第二服务网络中的注册信息和/或连接状态信息。

在一实施例中，注册信息(也可以被称为注册数据)可以是在第一终端在第一服务网络和/或第二服务网络的注册过程(或称为接入过程)中存储于第一网元上的。在一实施例中，对于基于3GPP接入类型的注册过程(即Amf3GppAccessRegistration)，注册信息可以是Amf3GppAccessRegistration数据。在一实施例中，对于基于非3GPP接入类型的注册过程(即AmfNon3GppAccessRegistration)，注册信息可以是AmfNon3GppAccessRegistration数据。

在一实施例中，对于第一服务网络和第二服务网络中的任何一个，注册信息至少可以包括注册时间信息和可达性信息。在一示例中，注册时间信息可以对应于“registrationTime”(注册时间)属性，并用于指示第一终端的注册时间。可达性信息可以对应于“ueReachableId”属性，并用于指示第一终端的可达性。这里，第一终端的可达性可以包括但不限于以下类型：可达(reachable)、不可达(unreachable)(例如，第一终端位于不允许的区域)、不确定(unknown)(例如，在初始注册过程中AMF并未接收到第一终端的服务限制区域)。这里，不可达和不确定可以统一理解为第一终端不是可达的。

在一实施例中，注册信息可以是第一网元在第一终端的注册过程中从第一服务网络的第二网元和/或第二服务网络的第三网元获取的。当然，注册信息也可以是第一网元在第一终端的注册过程中从第一服务网络和/或第二服务网络中的其它网络功能获取的，也可以是第一网元在第一终端的其他过程中从第一服务网络的第二网元和/或第二服务网络的第三网元获取的，本公开实施例对此不做具体限定。

在一实施例中，连接状态信息可以用于指示第一终端在第一服务网络和/或第二服务网络中的连接状态(或称为连接管理状态)。第一终端的连接状态可以包括但不限于：空闲态(IDLE或CM-IDLE)和连接态(CONNECTED或CM-CONNECTED)。在一实施例中，连接状态信息可以是第一网元从第一服务网络的第二网元和/或第二服务网络的第三网元获取的。

在一实施例中，上述方法可以包括：接收来自第二网元和/或第三网元的第二消息，其中，第二消息包含以下至少之一：第一终端在第一服务网络中的注册信息和/或连接状态信息，以及第一终端在第二服务网络中的注册信息和/或连接状态信息；以及，保存所接收的注册信息和/或连接状态信息。

在一些情况下，第二消息可以是第二网元和/或第三网元主动发送给第一网元的，也可以是第二网元和/或第三网元响应于来自第一网元的请求消息而发送给第一网元的。在一示例中，第二网元和/或第三网元可以周期性地向第一网元发送第二消息。在一示例中，第二网元和/或第三网元可以在第一终端的连接状态信息和/或注册信息发生变化时，向第一网元发送第二消息。示例性地，第一网元可以向第二网元和/或第三网元订阅第一终端的连接状态信息和/或注册信息。例如，第一网元可以采用Namf_EventExposure过程实现对连接状态信息和/或注册信息的订阅。在此情况下，第二消息可以是Namf_EventExposure_Notify消息。在一示例中，第一网元可以周期性或非周期性地向第二网元和/或第三网元发送查询/请求消息，第二网元和/或第三网元响应于该查询/请求消息向第一网元发送第二消息。当然，连接状态信息和/或注册信息也可以是第一网元从第一服务网络和第二服务网络中的其它网络功能获取的，本公开实施例对此不做具体限定。此外，连接状态信息可以采用CMInfoReport、CMInfo、CMState等属性信息携带于第二消息中。

在一实施例中，缺省(默认)配置可以是预先配置的策略。在一示例中，缺省配置可以指缺省地将第一终端通过3GPP接入方式接入的服务网络中的网元确定为第四网元。

在一实施例中，运营商策略可以是运营商制定的策略。在一实施例中，第一服务网络和第二服务网络可以属于同一运营商，则可以采用相同的运营商策略来确定第四网元。在一实施例中，第一服务网络和第二服务网络可以属于不同运营商，则可以采用不同的运营商策略来确定第四网元。例如，运营商策略可以是将第一终端通过3GPP接入类型接入的服务网络中的网元，如图1中的AMF 121确定为第四网元。

在一实施例中，在步骤S220中，在可达性信息指示第一终端在第一服务网络中是可达的、并且在第二服务网络中不是可达的情况下，将第二网元确定为第四网元。可以理解的，第一终端在第一服务网络中是可达的、并且在第二服务网络中不是可达的，则第一网元可以选择第一服务网络中的第二网元作为第四网元。或者，第一终端在第二服务网络中是可达的、并且在第一服务网络中不是可达的，则可以选择第二服务网络中的第三网元作为第四网元。

在一实施例中，在步骤S220中，在连接状态信息指示第一终端在第一服务网络中处于连接态、并且在第二服务网络中处于空闲态的情况下，将第二网元确定为第四网元。可以理解的，第一终端在第一服务网络中处于连接态、并且在第二服务网络中处于空闲态，则第一网元可以选择第一服务网络中的第二网元作为第四网元。或者，第一终端在第二服务网络中处于连接态、并且在第一服务网络中处于空闲态，则可以选择第二服务网络中的第三网元作为第四网元。

在上述实施例中，第一服务网络可以为第一终端以3GPP接入类型接入并注册的网络，此时，第二服务网络可以为第一终端以非3GPP接入类型接入并注册的网络。或者，第一服务网络还可以为第一终端以非3GPP接入类型接入并注册的网络，此时，第二服务网络还可以为第一终端以3GPP接入类型接入并注册的网络。

示例性的，假设，如图1所示，第一服务网络为第一终端以3GPP接入类型接入的网络，此时，第二服务网络为第一终端以非3GPP接入类型接入的网络。那么，在步骤S220中，在连接状态信息指示第一终端在第一服务网络中处于连接态，并且在第二服务网络中处于空闲态的情况下，第一网元将第二网元(如AMF 121)确定为第四网元。或者，在连接状态信息指示第一终端在第一服务网络中处于空闲态，并且在第二服务网络中处于连接态的情况下，第一网元将第三网元(如AMF 131)确定为第四网元。或者，在可达性信息指示第一终端在第一服务网络中是可达的，并且在第二服务网络中不是可达的的情况下，第一网元将第二网元(如AMF 121)确定为第四网元。或者，在可达性信息指示第一终端在第一服务网络中不是可达的，并且在第二服务网络中是可达的的情况下，第一网元将第三网元(如AMF 131)确定为第四网元。

在一实施例中，在步骤S220中，在可达性信息指示第一终端在第一服务网络和第二服务网络中的可达性相同的情况下，可以将第一服务网络的第二网元和第二服务网络的第三网元中第一终端的注册时间最近的服务网络的网元确定为第四网元。可以理解的，在第一终端在第一服务网络和第二服务网络中的可达性均是可达的或者均不是可达的情况下，可以基于第一终端在第一服务网络中的注册时间信息和第二服务网络中的注册时间信息，确定第一终端在哪个网络中注册时间较晚，或者注册时间距离当前时刻最近，此时，选择注册时间较晚或者注册时间距离当前时刻最近的服务网络中的网元作为第四网元。示例性的，在可达性信息指示第一终端在第一服务网络和第二服务网络中的可达性相同的情况下，若第一终端在第一服务网络中的注册时间晚于其在第二服务网络中的注册时间，则可以选择第二网元作为第四网元。或者，若第一终端在第一服务网络中的注册时间早于其在第二服务网络中的注册时间，则可以选择第三网元作为第四网元。

在一实施例中，在步骤S220中，在连接状态信息指示第一终端在第一服务网络和第二服务网络中的连接状态相同的情况下，可以将第一服务网络的第二网元和第二服务网络的第三网元中第一终端的注册时间最近的服务网络的网元确定为第四网元。可以理解的，在第一终端在第一服务网络和第二服务网络中的连接状态均是连接态或空闲态的情况下，可以基于第一终端在第一服务网络中的注册时间信息和第二服务网络中的注册时间信息，确定第一终端在哪个网络中注册时间较晚，或者注册时间距离当前时刻最近，此时，选择注册时间较晚或者注册时间距离当前时刻最近的服务网络中的网元作为第四网元。示例性的，在连接状态信息指示第一终端在第一服务网络和第二服务网络中的连接状态相同的情况下，若第一终端在第一服务网络中的注册时间晚于在第二服务网络中的注册时间，则可以选择第二网元作为第四网元。或者，若第一终端在第一服务网络中的注册时间早于在第二服务网络中的注册时间，则可以选择第三网元作为第四网元。

在一实施例中，第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。在此情况下，在步骤S220中，在可达性信息指示第一终端在第一服务网络和第二服务网络中的可达性相同的情况下，可以将第二网元确定为第四网元。换句话说，在第一终端在第一服务网络和第二服务网络中的可达性相同的情况下，可以选择第一终端通过3GPP接入类型接入的服务网络中的网元，即第二网元作为第四网元。

在一实施例中，第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。在此情况下，在步骤S220中，在连接状态信息指示第一终端在第一服务网络和第二服务网络中的连接状态相同的情况下，可以将第二网元确定为第四网元。换句话说，在第一终端在第一服务网络和第二服务网络中的连接状态相同的情况下，可以选择第一终端通过3GPP接入类型接入的服务网络中的网元，即第二网元作为第四网元。

在一实施例中，第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。在此情况下，在步骤220中，可以将第二网元缺省地确定为第四网元。换句话说，可以基于缺省配置，直接选择第一终端通过3GPP接入类型接入的服务网络中的网元，即第二网元作为第四网元。

在一实施例中，第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。在此情况下，在步骤220中，可以根据运营商策略，将第二网元确定为第四网元。换句话说，可以根据运营商策略，选择第一终端通过3GPP接入类型接入的服务网络中的网元，即第二网元作为第四网元。

需要说明的是，以上仅是对步骤S220中对第一数据、缺省配置和运营商策略分别用于确定第四网元的示例性说明，本公开实施例对此不做具体限定。

至此，第一网元通过以上步骤S210和步骤S220，确定用于触发对第一终端的认证过程的第四网元。

在一实施例中，图3为本公开实施例中的一种认证方法的另一实施例的流程示意图。本实施例中的认证方法也应用于第一网元。如图3所示，认证方法至少可以包括步骤S310至步骤S330。

在此，步骤S310和S320可以与图2所示实施例中的步骤S210和S220是相同的。为了简洁起见，在此对步骤S310和S320不做赘述。

在步骤S330中，向第四网元发送第三消息。

可以理解的，第一网元在通过步骤S310和S320确定用于触发对第一终端的认证过程的第四网元之后，可以向该第四网元发送第三消息。这里，第三消息用于指示第四网元触发对第一终端的认证过程。在一实施例中，第三消息可以是请求消息或通知消息。例如，第三消息可以是重认证请求消息。又例如，第三消息可以是重认证通知消息。

可以理解的是，第四网元在接收到第三消息之后，可以向第一网元回复消息，也可以不向第一网元回复消息。

在一实施例中，认证方法还可以包括步骤S340。

在步骤S340中，接收来自第四网元的第四消息。

在此，第四消息是第四网元针对第三消息向第一网元回复的消息。

在一实施例中，在第三消息是请求消息的情况下，第四消息可以是响应(response)消息。在一实施例中，在第三消息是通知消息的情况下，第四消息可以是通知确认消息。

至此，通过以上步骤S310至S330或通过步骤S310至S340，第一网元能够指示第一服务网络或第二服务网络中的第四网元触发对第一终端的认证过程。

图4为本公开实施例中的另一种认证方法的一实施例的流程示意图。本实施例中的认证方法应用于第四网元。如图4所示，认证方法可以包括步骤S410。

在步骤S410中，接收来自第一网元的第三消息。

在此，第三消息用于指示第四网元触发对第一终端的认证过程。第三消息可以是请求消息或通知消息。例如，第三消息可以是重认证请求消息。又例如，第三消息可以是重认证通知消息。

可以理解的是，第四网元位于第一服务网络或者第二服务网络中。第一终端通过不同的接入类型分别接入第一服务网络和第二服务网络。第四网元是第一网元通过图2和图3所示的认证方法从第一服务网络的第二网元和第二服务网络的第三网元中选择的。

在一实施例中，第一网元可以是UDM。在一实施例中，第二网元可以是AMF。可以理解的是，第一网元和第二网元还可以是其它网元，本公开实施例对此不做具体限定。

在一实施例中，认证方法还可以包括步骤S420。

在步骤S420中，响应于第三消息，向第一网元发送第四消息。

可以理解的是，步骤S420并不是必需的。也就是说，第四网元在接收到第三消息之后，可以向第一网元回复第四消息，也可以不向第一网元回复第四消息。

在一实施例中，认证方法还可以包括步骤S430。

在步骤S430中，响应于第三消息，触发认证过程。

具体地，第四网元在接收到第三消息之后，可以根据第三消息确认自身是用于触发对第一终端的认证过程的网元。如此，第四网元可以触发认证过程。

在此，认证过程可以是如标准文件3GPP TS 33.501的6.1.2和6.1.3节所定义的主认证过程。

为了便于对本公开实施例中的技术方案的理解，以下结合示例性实施例对本公开实施例的认证方法进行示例性说明。在以下示例性实施例中，第一终端可以是UE，第一网元可以是UDM，第二网元可以是第一终端通过3GPP接入方式接入的第一服务网络中的AMF(即AMF1)，第三网元可以是第一终端通过非3GPP接入方式接入的第二服务网络中的AMF(即AMF2)。在本示例性说明中，SEAF被整合在AMF中。当然，第一终端可以是其它类型的终端设备，第一网元、第二网元、第三网元可以是其它网元，本公开实施例对此不做具体限定。

图5为本公开实施例中的认证方法的示例性实施例的交互示意图。如图5所示，认证方法可以包括步骤S510至S550。

在步骤S510中，UDM接收第一消息。

在此，UDM可以接收来自不同网元的第一消息。在一实施例中，UDM可以接收Nausf_SoRProtection响应消息。该Nausf_SoRProtection响应消息可以包括COUNTER_WRAP或其他指示信息以用于指示与 UE的KAUSF相关的计数器CounterSoR将要回绕，需要触发重认证过程。在一实施例中，UDM可以接收Nasuf_UPUPtrotection响应消息。该Nasuf_UPUPtrotection响应消息可以包括COUNTER_WRAP或其他指示信息以用于指示与UE的KAUSF相关的计数器CounterUPU将要回绕，需要触发重认证过程。在一实施例中，UDM可以接收Nudm_reauthentication请求消息。在一实施例中，UDM可以接收来自AANF的重认证消息。

在步骤S520中，UDM确定用于触发认证的AMF。

在接收到第一消息之后，UDM应当发起认证过程，从而刷新K_AUSF。为此，UDM需要确认采用AMF1和AMF2之一作为触发对UE的认证过程的AMF(即第四网元)。可以理解的是，因为UE通过不同的接入类型接入第一服务网络和第二服务网络，所以确定AMF的过程即为在多种接入类型中确定一种接入类型。

UDM可以在本地存储有以下数据中至少之一：UE的注册信息、UE的连接状态信息、缺省配置和运营商策略。在一些情况下，注册信息、连接状态信息、缺省配置和运营商策略中的至少一部分也可以存储在统一数据仓库(unified data repository，UDR)中，并且UDM可以从UDR中获得。基于所存储的数据，UDM可以确定用于触发认证的AMF。

在一实施例中，若UE在一种接入类型下是可达的或处于连接态、并且在另一种接入类型下是不可达/未知的或处于空闲态，则UDM可以选择前一种接入类型接入的服务网络的AMF，并确定通过该AMF触发认证过程。例如，若UE在通过3GPP接入类型接入的第一服务网络中是可达的或处于连接态、并且在通过非3GPP接入类型接入的第二服务网络中是不可达/未知的或处于空闲态，则UDM可以选择AMF1。又例如，若UE在通过3GPP接入类型接入的第一服务网络中是不可达/未知的或处于空闲态、并且在通过非3GPP接入类型接入的第二服务网络中是可达的或处于连接态，则UDM可以选择AMF 2。

在一实施例中，若UE在3GPP接入类型和非3GPP接入类型下均是可达的或处于连接态，则UDM可以选择注册时间最近的接入类型的服务网络的AMF或缺省地选择AMF1，并确定通过该AMF(AMF1)触发认证过程。

在一实施例中，若UE在3GPP接入类型和非3GPP接入类型下均是不可达/未知的或处于空闲态，则UDM可以选择注册时间最近的接入类型的服务网络的AMF或缺省地选择AMF1，并确定通过该AMF(AMF1)触发认证过程。

在一实施例中，UDM可以缺省地选择AMF 1。

在一实施例中，UDM可以基于运营商策略选择AMF 1。

在步骤S530中，UDM向AMF发送第三消息。

在此，在UDM确定AMF之后，可以向所确定的AMF发送第三消息。

在一实施例中，所确定的AMF可以是AMF 1。在此情况下，步骤S530可以包括步骤S530a。在步骤S530a中，UDM向AMF1发送第三消息。例如，UDM可以向AMF1发送重认证通知消息。又例如，UDM可以向AMF1发送重认证请求消息。

在一实施例中，所确定的AMF可以是AMF2。在此情况下，步骤S530可以包括步骤S530b。在步骤S530b中，UDM向AMF 2发送第三消息。例如，UDM可以向AMF 2发送重认证通知消息。又例如，UDM可以向AMF 2发送重认证请求消息。

可以理解的是，因为UDM从AMF1和AMF2中择一触发认证过程，所以步骤S530a和步骤S530b是择一执行的。

在步骤S540中，AMF向UDM发送第四消息。

在此步骤中，AMF可以向UDM发送第四消息，以作为对第三消息的回复。如此，UDM能够知晓AMF将要触发对UE的认证过程。

在一实施例中，所确定的AMF可以是AMF1。在此情况下，步骤S540可以包括步骤S540a。在步骤S540a中，AMF1向UDM发送第四消息。例如，AMF1可以向UDM发送重认证通知确认消息。又例如，AMF1可以向UDM发送重认证响应消息。

在一实施例中，所确定的AMF可以是AMF2。在此情况下，步骤S540可以包括步骤S540b。在步骤S540b中，AMF2向UDM发送第四消息。例如，AMF2可以向UDM发送重认证通知确认消息。又例如，AMF2可以向UDM发送重认证响应消息。

需要说明的是，步骤S540是可选的。也就是说，在接收到第三消息之后，AMF可以向UDM发送第四消息，也可以不发送第四消息。

在步骤S550中，AMF触发对UE的认证过程。

在步骤S530中接收到第三消息之后，或者在步骤S540中发送第四消息之后，AMF1或AMF2可以触发认证过程。在此，认证过程可以是如标准文件3GPP TS 33.501的6.1.2和6.1.3节所定义的主认证过程。

在实际应用中，在认证过程完成之后，UDM可以根据使得UDM触发认证过程的原因来执行对应的过程。该过程例如可以是漫游操纵过程或用户参数更新过程。

在本公开实施例中，在本公开中，针对终端通过不同的接入类型接入多个服务网络的场景，第一网元能够确定第一服务网络的第二网元或第二服务网络的第三网元作为用于触发对终端的认证过程的第四网元。以此方式，能够选择一种接入类型并确定对应的用于触发认证过程的第四网元，继而能够确定进行认证过程的网络路径。如此，不需要挂起诸如漫游操纵、用户参数更新之类的业务，增强了网络的安全性并保证了服务质量。

基于相同的发明构思，本公开实施例还提供了一种认证装置。图6为本公开实施例中的一种认证装置的结构示意图。如图6所示，上述认证装置600包括以下至少之一接收模块601、处理模块602、以及发送模块603。

在一实施例中，该认证装置可以是上述通信系统中的第一网元或第一网元中的芯片或者片上系统，还可以为第一网元中用于实现上述各个实施例所述的认证方法的功能模块。该认证装置可以实现上述各实施例中第一网元所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。

在此实施例中，接收模块601可以被配置为接收第一消息。第一消息用于触发对第一终端的认证过程。第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端。处理模块可以 602被配置为响应于第一消息，将第一服务网络的第二网元或第二服务网络的第三网元确定为用于触发认证过程的第四网元。

在一些可能的实施方式中，处理模块602可以被配置为：响应于第一消息，基于第一数据和/或缺省配置和/或运营商策略，将第二网元或第三网元确定为第四网元。第一数据包括第一终端在第一服务网络和第二服务网络中的注册信息和/或连接状态信息。

在一些可能的实施方式中，处理模块602可以被配置为：在可达性信息指示第一终端在第一服务网络中是可达的、并且在第二服务网络中不是可达的情况下，将第二网元确定为第四网元。

在一些可能的实施方式中，处理模块602可以被配置为：在连接状态信息指示第一终端在第一服务网络中处于连接态、并且在第二服务网络中处于空闲态的情况下，将第二网元确定为第四网元。

在一些可能的实施方式中，处理模块602可以被配置为：在可达性信息指示第一终端在第一服务网络和第二服务网络中的可达性相同、或连接状态信息指示第一终端在第一服务网络和第二服务网络中的连接状态相同的情况下，将第一服务网络的第二网元和第二服务网络的第三网元中第一终端的注册时间最近的服务网络的网元确定为第四网元。

在一些可能的实施方式中，第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。处理模块602可以被配置为：在可达性信息指示第一终端在第一服务网络和第二服务网络中的可达性相同、或连接状态信息指示第一终端在第一服务网络和第二服务网络中的连接状态相同的情况下，将第二网元确定为第四网元。

在一些可能的实施方式中，第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。处理模块602可以被配置为：将第二网元缺省地确定为第四网元。

在一些可能的实施方式中，第一终端可以通过3GPP接入类型接入第一服务网络、且通过非3GPP接入类型接入第二服务网络。处理模块602可以被配置为：根据运营商策略，将第二网元确认为第四网元。

在一些可能的实施方式中，接收模块601还可以被配置为接收来自第二网元和/或第三网元的第二消息。第二消息包含以下至少之一：第一终端在第一服务网络中的注册信息和/或连接状态信息，以及第一终端在第二服务网络中的注册信息和/或连接状态信息。处理模块602还可以被配置为保存所接收的注册信息和/或连接状态信息。

在一些可能的实施方式中，发送模块603可以被配置为：向第四网元发送第三消息。第三消息用于指示第四网元触发对第一终端的认证过程。

在一些可能的实施方式中，接收模块601还可以被配置为：接收来自第四网元的第四消息。第四消息是第四网络针对第三消息发送的响应消息或确认消息。

在一实施例中，该认证装置可以是上述通信系统中的第四网元或第四网元中的芯片或者片上系统，还可以为第四网元中用于实现上述各个实施例所述的认证方法的功能模块。该认证装置可以实现上述各实施例中第四网元所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。

在此实施例中，接收模块601可以被配置为接收来自第一网元的第三消息。第三消息用于指示第四网元触发对第一终端的认证过程。第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端。第四网元是第一网元从第二网元和第三网元中确定的。第二网元为第一服务网络的网元。第三网元为第二服务网络的网元。

在一些可能的实施方式中，发送模块603可以被配置为：向第一网元发送第四消息。第四消息是第四网络针对第三消息发送的响应消息或确认消息。

在一些可能的实施方式中，处理模块602可以被配置为：触发对第一终端的认证过程。

需要说明的是，认证装置600的具体实现可参考图2至图4中实施例的详细描述，为了说明书的简洁，这里不再赘述。

基于相同的发明构思，本公开实施例提供了一种通信设备。该通信设备可以为上述一个或者多个实施例中所述的终端或者网元。图7为本公开实施例中的一种通信设备的结构示意图。如图7所示，通信设备700采用了通用的计算机硬件，即包括处理器701、存储器702、总线703、输入设备704和输出设备705。

在一些可能的实施方式中，存储器702可以包括以易失性和/或非易失性存储器形式的计算机存储介质，如只读存储器和/或随机存取存储器。存储器702可以存储操作系统、应用程序、其他程序模块、可执行代码、程序数据、用户数据等。

输入设备704可以用于向通信设备700输入命令和信息，输入设备704如键盘或指向设备，如鼠标、轨迹球、触摸板、麦克风、操纵杆、游戏垫、卫星电视天线、扫描仪或类似设备。这些输入设备可以通过总线703连接至处理器701。

输出设备705可以用于通信设备700输出信息，除了监视器之外，输出设备705还可以为其他外围输出设各，如扬声器和/或打印设备，这些输出设备705也可以通过总线703连接到处理器701。

通信设备700可以通过天线706连接到网络中，例如连接到局域网(local area network，LAN)。在联网环境下，控制备中存储的计算机执行指令可以存储在远程存储设备中，而不限于在本地存储。

当通信设备700中的处理器701执行存储器702中存储的可执行代码或应用程序时，通信设备700以执行以上实施例中的终端侧或者网元侧的通信方法，具体执行过程参见上述实施例，在此不再赘述。

上述存储器702中可以存储有用于实现图6中的接收模块601、处理模块602和发送模块603的功能的计算机可执行指令。图6中的接收模块601、处理模块602和发送模块603的功能/实现均可以通过图7中的处理器701调用存储器702中存储的计算机执行指令来实现，具体实现过程和功能参考上述相关实施例。

基于相同的发明构思，本公开实施例提供一种终端设备。该终端设备与上述一个或者多个实施例中的终端(或称为第一终端)一致。

图8为本公开实施例中的一种终端设备的结构示意图。如图8所示，终端设备800可以包括以下一个或多个组件：处理组件801、存储器802、电源组件803、多媒体组件804、音频组件805、输入/输出(I/O)的接口806、传感器组件807以及通信组件808。

处理组件801通常控制终端设备800的整体操作，诸如与显示、电话呼叫、数据通信、相机操作和记录操作相关联的操作。处理组件801可以包括一个或多个处理器810来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件801可以包括一个或多个模块，便于处理组件801和其他组件之间的交互。例如，处理组件801可以包括多媒体模块，以方便多媒体组件804和处理组件801之间的交互。

存储器802被配置为存储各种类型的数据以支持在终端设备800的操作。这些数据的示例包括用于在终端设备800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器802可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件803为终端设备800的各种组件提供电力。电源组件803可以包括电源管理系统，一个或多个电源，及其他与为终端设备800生成、管理和分配电力相关联的组件。

多媒体组件804包括在终端设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件804包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件805被配置为输出和/或输入音频信号。例如，音频组件805包括一个麦克风(MIC)，当终端设备800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器802或经由通信组件808发送。在一些实施例中，音频组件805还包括一个扬声器，用于输出音频信号。

I/O接口806为处理组件801和外围接口模块之间提供接口。上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件807包括一个或多个传感器，用于为终端设备800提供各个方面的状态评估。例如，传感器组件807可以检测到设备800的打开/关闭状态，组件的相对定位，例如组件为终端设备800的显示器和小键盘，传感器组件807还可以检测终端设备800或终端设备800中一个组件的位置改变，用户与终端设备800接触的存在或不存在，终端设备800方位或加速/减速和终端设备800的温度变化。传感器组件807可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件807还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件807还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件808被配置为便于终端设备800和其他设备之间有线或无线方式的通信。终端设备800可以接入基于通信标准的无线网络，如Wi-Fi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件808经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件808还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，终端设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

基于相同的发明构思，本公开实施例提供了一种网络设备。该网络设备与上述一个或者多个实施例中的网元一致。

图9为本公开实施例中的一种网络设备的结构示意图。该网络设备例如可以是接入网设备。如图9所示，网络设备900可以包括处理组件901，其进一步包括一个或多个处理器，以及由存储器902所代表的存储器资源，用于存储可由处理组件901的执行的指令，例如应用程序。存储器902中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件901被配置为执行指令，以执行前述应用在第一网元侧或第四网元侧上的认证方法。

网络设备900还可以包括一个电源组件903被配置为执行网络设备900的电源管理，一个有线或无线网络接口904被配置为将网络设备900连接到网络，和一个输入输出(I/O)接口905。网络设备900可以操作基于存储在存储器902的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。

基于相同的发明构思，本公开实施例还提供了一种计算机存储介质。计算机存储介质中存储有计算机可执行指令。当指令在计算机上运行时，用于执行上述一个或者多个实施例中第一网元侧或第四网元侧的认证方法。

基于相同的发明构思，本公开实施例还提供了一种计算机程序或计算机程序产品，当计算机程序产品在计算机上被执行时，使得计算机实现上述一个或者多个实施例中第一网元侧或第四网元侧的认证方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

一种认证方法，应用于第一网元，其中，所述方法包括：

接收第一消息，其中，所述第一消息用于触发对第一终端的认证过程，所述第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端；

将第二网元或第三网元确定为用于触发所述认证过程的第四网元，其中，所述第二网元为所述第一服务网络的网元，所述第三网元为所述第二服务网络的网元。
根据权利要求1所述的方法，其中，所述将第二网元或第三网元确定为用于触发所述认证过程的第四网元，包括：

基于第一数据和/或缺省配置和/或运营商策略，将所述第二网元或所述第三网元确定为所述第四网元；

其中，所述第一数据包括所述第一终端在所述第一服务网络的注册信息和/或连接状态信息、以及所述第二服务网络中的注册信息和/或连接状态信息。
根据权利要求2所述的方法，其中，所述注册信息包括注册时间信息和可达性信息。
根据权利要求3所述的方法，其中，所述基于第一数据和/或缺省配置和/或运营商策略，将所述第二网元或所述第三网元确定为所述第四网元，包括：

在所述可达性信息指示所述第一终端在所述第一服务网络中是可达的、并且在所述第二服务网络中不是可达的情况下，将所述第二网元确定为所述第四网元。
根据权利要求3所述的方法，其中，所述基于第一数据和/或缺省配置和/或运营商策略，将所述第二网元或所述第三网元确定为所述第四网元，包括：

在所述连接状态信息指示所述第一终端在所述第一服务网络中处于连接态、并且在所述第二服务网络中处于空闲态的情况下，将所述第二网元确定为所述第四网元。
根据权利要求3所述的方法，其中，所述基于第一数据和/或缺省配置和/或运营商策略，将所述第二网元或所述第三网元确定为所述第四网元，包括：

在所述可达性信息指示所述第一终端在所述第一服务网络和所述第二服务网络中的可达性相同、或所述连接状态信息指示所述第一终端在所述第一服务网络和所述第二服务网络中的连接状态相同的情况下，将所述第一服务网络的所述第二网元和所述第二服务网络的所述第三网元中所述第一终端的注册时间最近的服务网络的网元确定为所述第四网元。
根据权利要求3所述的方法，其中，所述基于第一数据和/或缺省配置和/或运营商策略，将所述第二网元或所述第三网元确定为所述第四网元，包括：

在所述可达性信息指示所述第一终端在所述第一服务网络和所述第二服务网络中的可达性相同、或所述连接状态信息指示所述第一终端在所述第一服务网络和所述第二服务网络中的连接状态相同的情况下，将所述第二网元确定为所述第四网元；

其中，所述第一终端通过3GPP接入类型接入所述第一服务网络、且通过非3GPP接入类型接入所述第二服务网络。
根据权利要求3所述的方法，其中，所述基于第一数据和/或缺省配置和/或运营商策略，将所述第二网元或所述第三网元确定为所述第四网元，包括：

将所述第二网元缺省地确定为所述第四网元；

其中，所述第一终端通过3GPP接入类型接入所述第一服务网络、且通过非3GPP接入类型接入所述第二服务网络。
根据权利要求3所述的方法，其中，所述基于第一数据和/或缺省配置和/或运营商策略，将所述第二网元或所述第三网元确定为所述第四网元，包括：

根据所述运营商策略，将所述第二网元确认为所述第四网元；

其中，所述第一终端通过3GPP接入类型接入所述第一服务网络、且通过非3GPP接入类型接入所述第二服务网络。
根据权利要求2至9中任一项所述的方法，其中，在所述将第二网元或第三网元确定为用于触发所述认证过程的第四网元之前，所述方法还包括：

接收来自所述第二网元和/或所述第三网元的第二消息，其中，所述第二消息包含以下至少之一：所述第一终端在所述第一服务网络中的注册信息和/或连接状态信息，以及所述第一终端在所述第二服务网络中的注册信息和/或连接状态信息；

保存所接收的注册信息和/或连接状态信息。
根据权利要求1至10中任一项所述的方法，其中，在所述将第二网元或第三网元确定为用于触发所述认证过程的第四网元之后，所述方法还包括：

向所述第四网元发送第三消息，其中，所述第三消息用于指示所述第四网元触发对所述第一终端的认证过程。
根据权利要求11所述的方法，其中，所述方法还包括：

接收来自所述第四网元的第四消息，其中，所述第四消息是所述第四网络针对所述第三消息发送的响应消息或确认消息。
一种认证方法，应用于第四网元，其中，所述方法包括：

接收来自第一网元的第三消息，其中，所述第三消息用于指示所述第四网元触发对所述第一终端的认证过程，所述第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端；

其中，所述第四网元是所述第一网元从第二网元和第三网元中确定的，所述第二网元为所述第一服务网络的网元，所述第三网元为所述第二服务网络的网元。
根据权利要求13所述的方法，其中，所述方法还包括：

向所述第一网元发送第四消息，其中，所述第四消息是所述第四网络针对所述第三消息发送的响应消息或确认消息。
根据权利要求13或14所述的方法，其中，在所述接收来自第一网元的第三消息之后，所述方法还包括：

触发对所述第一终端的认证过程。
一种认证装置，设置于第一网元，其中，所述装置包括：

接收模块，配置为接收第一消息，其中，所述第一消息用于触发对第一终端的认证过程，所述第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端；以及

处理模块，配置为将第二网元或第三网元确定为用于触发所述认证过程的第四网元，其中，所述第二网元为所述第一服务网络的网元，所述第三网元为所述第二服务网络的网元。
一种认证装置，设置于第四网元，其中，所述装置包括：

接收模块，配置为接收来自第一网元的第三消息，其中，所述第三消息用于指示所述第四网元触发对所述第一终端的认证过程，所述第一终端为通过不同的接入类型分别接入第一服务网络和第二服务网络的终端；

其中，所述第四网元是所述第一网元从第二网元和第三网元中确定的，所述第二网元为所述第一服务网络的网元，所述第三网元为所述第二服务网络的网元。
一种网络设备，包括：

存储器，配置为存储计算机可执行指令；以及

处理器，与所述存储器连接；

其中，所述处理器被配置为执行存储在所述存储器上的所述计算机可执行指令，以实现如权利要求1至12中任一项所述的认证方法。
一种网络设备，包括：

存储器，配置为存储计算机可执行指令；以及

处理器，与所述存储器连接；

其中，所述处理器被配置为执行存储在所述存储器上的所述计算机可执行指令，以实现如权利要求13至15中任一项所述的认证方法。
一种计算机存储介质，其上存储有计算机可执行指令，其中，所述计算机可执行指令被处理器执行后能够实现如权利要求1至15中任一项所述的认证方法。