实现外部认证的方法、通信装置及通信系统制造方法及图纸

本申请提供实现外部认证的方法、通信装置及通信系统，用以实现对外部签约的终端的认证。该方法包括：移动管理网元获取外部认证指示信息；移动管理网元根据外部认证指示信息，向终端发送第一请求消息，第一请求消息用于请求外部认证；移动管理网元接收来自终端的第一非接入层NAS消息；移动管理网元根据第一NAS消息，向认证服务功能网元发送外部实体的相关信息，外部实体的相关信息用于寻址外部实体，外部实体用于对终端进行认证；移动管理网元接收来自认证服务功能网元的外部认证结果。来自认证服务功能网元的外部认证结果。来自认证服务功能网元的外部认证结果。

【技术实现步骤摘要】
实现外部认证的方法、通信装置及通信系统


[0001]本申请涉及通信
，尤其涉及实现外部认证的方法、通信装置及通信系统。

技术介绍

[0002]非公共网络(non-public network,NPN)是一种非公用的第五代移动通信系统(5
th Generation,5G)网络，区别于公共网络的为特定用户提供服务的网络。NPN可以和工业互联网进行很好的融合，可以为垂直行业提供专属接入网络，限制非垂直行业终端尝试接入专属基站或频段，保障垂直行业客户资源独享。同时NPN可以为局域网(local area network,LAN)服务提供支持，可以满足一些企业、住宅、学校等对于可靠且稳定的私有网络的需求。
[0003]NPN有以下两种类型：1、公网集成NPN(public network integrated NPN)，该网络依赖于公共陆地移动网络(public land mobile network，PLMN)提供的网络功能；2、独立NPN(Standalone NPN)，该网络不依赖于PLMN提供的网络功能。为保证NPN所服务的用户的签约数据独立于运营商，或者为使用NPN部署前的用户的签约数据，NPN支持外部签约的终端接入到网络，即终端的用户签约为独立于NPN的外部实体所有，NPN允许此类终端使用外部签约接入网络。
[0004]然而，如何在NPN中实现对外部签约的终端的认证，目前还没有相关的解决方案。

技术实现思路

[0005]本申请实施例提供实现外部认证的方法、通信装置及通信系统，用以实现对外部签约的终端的认证。
[0006]第一方面，本申请提供了一种实现外部认证的方法，该方法包括：移动管理网元获取外部认证指示信息；所述移动管理网元根据所述外部认证指示信息，向终端发送第一请求消息，所述第一请求消息用于请求外部认证；所述移动管理网元接收来自所述终端的第一非接入层NAS消息；所述移动管理网元根据所述第一NAS消息，向认证服务功能网元发送外部实体的相关信息，所述外部实体的相关信息用于寻址所述外部实体，所述外部实体用于对所述终端进行认证；所述移动管理网元接收来自所述认证服务功能网元的外部认证结果。
[0007]通过上述方法，移动管理网元根据获取的外部认证指示信息，启动外部认证，获取可信的第三方(即外部实体)的外部认证结果，从而实现移动管理网元所在网络对外部签约的终端的认证。
[0008]在第一方面的第一种可能的设计中，移动管理网元获取外部认证指示信息包括：所述移动管理网元接收来自所述终端的外部认证指示信息；或者所述移动管理网元接收来自所述认证服务功能网元的外部认证指示信息，或者所述移动管理网元接收来自数据管理网元的外部认证指示信息。
[0009]结合第一方面的第一种可能的设计，在第二种可能的设计中，移动管理网元获取来自所述终端的外部认证指示信息包括：所述移动管理网元接收来自所述终端的注册请求
消息，所述注册请求消息包括所述外部认证指示信息。
[0010]结合第一方面的第一种可能的设计，在第三种可能的设计中，所述方法还包括：所述移动管理网元接收来自所述终端的注册请求消息；如果所述移动管理网元对所述注册请求消息的完整性保护认证失败，则所述移动管理网元获取来自所述终端的外部认证指示信息包括：所述移动管理网元向所述终端发送标识请求消息；所述移动管理网元接收来自所述终端的标识响应消息，所述标识响应消息包括所述外部认证指示信息。
[0011]结合第二种或第三种可能的设计，在第四种可能的设计中，移动管理网元向所述终端发送所述第一请求消息前，所述方法还包括：所述移动管理网元确定本地没有所述终端的有效安全上下文。
[0012]结合第一方面的第一种可能的设计，在第五种可能的设计中，所述方法还包括：所述移动管理网元接收来自所述终端的注册请求消息；如果所述移动管理网元确定本地没有所述终端的有效安全上下文，则所述移动管理网元获取来自所述认证服务功能网元的外部认证指示信息包括：所述移动管理网元向所述认证服务功能网元发送终端认证请求消息；所述移动管理网元接收来自所述认证服务功能网元终端认证响应消息，所述终端认证响应消息包括所述外部认证指示信息。
[0013]结合第二种至第五种中任一种可能的设计，在第六种可能的设计中，所述第一NAS消息包括第三方标识，所述第三方标识用于标识所述外部实体。
[0014]结合第六种可能的设计，在第七种可能的设计中，所述外部实体的相关信息包括所述外部实体的通信地址，或者所述第三方标识。
[0015]结合第七种可能的设计中，在第八种可能的设计中，如果所述外部实体的相关信息包括所述外部实体的通信地址，则所述方法还包括：所述移动管理网元根据所述第三方标识，确定所述外部实体的通信地址。
[0016]结合第二种至第八种中任一种可能的设计，在第九种可能的设计中，所述方法还包括：所述移动管理网元接收来自所述认证服务功能网元的锚点秘钥，所述锚点秘钥用于建立所述终端的安全上下文。
[0017]结合第一种可能的设计，在第十种可能的设计中，所述移动管理网元接收来自数据管理网元的外部认证指示信息包括：所述移动管理网元向数据管理网元发送签约获取请求消息；所述移动管理网元接收来自所述数据管理网元的签约获取响应消息，所述签约获取响应消息包括外部认证指示信息。
[0018]结合第十种可能的设计，在第十一种可能的设计中，所述方法还包括：所述移动管理网元还接收来自数据管理网元的第三方标识，所述第三方标识用于标识所述外部实体。
[0019]结合第十一种可能的设计，在第十二种可能的设计中，所述第一请求消息包括所述第三方标识。
[0020]结合第十二中可能的设计，在第十三种可能的设计中，所述第一NAS消息包括所述第三方标识。
[0021]结合第一方面或第一至第十三种中任一种可能的设计，在第十四种可能的设计中，所述第一NAS消息包括外部认证请求，所述外部认证请求用于请求所述外部实体对所述终端进行认证。
[0022]结合第一方面或第一至十四种中任一种可能的设计，在第十五种可能的设计中，
所述外部认证结果为成功，所述移动管理网元为所述终端配置所述外部实体对应的第三方业务信息。
[0023]结合第一方面或第一至十五种中任一种可能的设计，在第十六种可能的设计中，所述外部认证指示信息用于指示执行外部认证，所述外部认证指示信息包括以下任意一项或多项：设为外部注册的注册类型值、用于指示终端支持外部认证的指示(UE能力的指示indication)、用于指示执行外部认证的信元、外部认证安全参数或设为特殊值的所述终端的标识。
[0024]结合第六至第八种中任一种，或第十一至第十三种中任一种可能的设计，在第十七种可能的设计中，所述第三方标识包括以下任意一项或多项：网络接入标识NAI、数据网络名称DNN、服务提供者标识SP-ID、或单个网络切片选择辅助信息S-NSSAI。
[0025]第二方面，本申请提供了一种本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种实现外部认证的方法，其特征在于，所述方法包括：移动管理网元获取外部认证指示信息；所述移动管理网元根据所述外部认证指示信息，向终端发送第一请求消息，所述第一请求消息用于请求外部认证；所述移动管理网元接收来自所述终端的第一非接入层NAS消息；所述移动管理网元根据所述第一NAS消息，向认证服务功能网元发送外部实体的相关信息，所述外部实体的相关信息用于寻址所述外部实体，所述外部实体用于对所述终端进行认证；所述移动管理网元接收来自所述认证服务功能网元的外部认证结果。2.如权利要求1所述的方法，其特征在于，所述移动管理网元获取外部认证指示信息包括：所述移动管理网元接收来自所述终端的外部认证指示信息；或者所述移动管理网元接收来自所述认证服务功能网元的外部认证指示信息；或者所述移动管理网元接收来自数据管理网元的外部认证指示信息。3.如权利要求2所述的方法，其特征在于，所述移动管理网元获取来自所述终端的外部认证指示信息包括：所述移动管理网元接收来自所述终端的注册请求消息，所述注册请求消息包括所述外部认证指示信息。4.如权利要求3所述的方法，其特征在于，所述移动管理网元向所述终端发送所述第一请求消息前，所述方法还包括：所述移动管理网元确定本地没有所述终端的有效安全上下文。5.如权利要求2所述的方法，其特征在于，所述方法还包括：所述移动管理网元接收来自所述终端的注册请求消息；如果所述移动管理网元确定本地没有所述终端的有效安全上下文，则所述移动管理网元获取来自所述认证服务功能网元的外部认证指示信息包括：所述移动管理网元向所述认证服务功能网元发送终端认证请求消息；所述移动管理网元接收来自所述认证服务功能网元终端认证响应消息，所述终端认证响应消息包括所述外部认证指示信息。6.如权利要求3-5任一项所述的方法，其特征在于，所述第一NAS消息包括第三方标识，所述第三方标识用于标识所述外部实体。7.如权利要求6所述的方法，其特征在于，所述外部实体的相关信息包括所述外部实体的通信地址，或者所述第三方标识。8.如权利要求3-7任一项所述的方法，其特征在于，所述方法还包括：所述移动管理网元接收来自所述认证服务功能网元的锚点秘钥，所述锚点秘钥用于建立所述终端的安全上下文。9.如权利要求2所述的方法，其特征在于，所述移动管理网元接收来自数据管理网元的外部认证指示信息包括：所述移动管理网元向数据管理网元发送签约获取请求消息；所述移动管理网元接收来自所述数据管理网元的签约获取响应消息，所述签约获取响
应消息包括外部认证指示信息。10.如权利要求9所述的方法，其特征在于，所述方法还包括：所述移动管理网元还接收来自数据管理网元的第三方标识，所述第三方标识用于标识所述外部实体。11.如权利要求10所述的方法，其特征在于，所述第一请求消息包括所述第三方标识。12.一种实现外部认证的方法，其特征在于，包括：终端向移动管理网元发送注册请求，所述注册请求包括外部认证指示信息，所述外部认证指示信息用于指示执行外部认证；所述终端接收来自所述移动管理网元的第一请求消息，所述第一请求消息用于请求外部认证；所述终端向所述移动管理网元发送第一非接入层NAS消息；所述终端接收来自所述移动管理网元的针对所述第一NAS消息的第二NAS消息，所述第二NAS消息包括外部认证结果。13.如权利要求12所述的方法，其特征在于，所述第一NAS消息包括第三方标识，所述第三方标识用于标识对所述终端进行认证的外部实体。14.一种实现外部认证的方法，其特征在于，包括：数据管理网元获取终端的标识；所述数据管理网元根据所述终端的签约数据，确定需要对所述终端执行外部认证；所述数据管理网元向移动管理网元发送外部认证指示信息，所述外部认证指示信息用于指示对所述终端执行外部认证。15.如权利要求14所述的方法，其特征在于，所述数据管理网元获取终端的标识包括：所述数据管理网元接收来自认证服务功能网元的终端的标识；或者所述数据管理网元接收来自所述移动管理网元的所述终端的标识。16.如权利要求14或15所述的方法，其特征在于，所述数据管理网元根据所述终端的签约数据，确定需要对所述终端执行外部认证包括：所述数据管理网元...

【专利技术属性】
技术研发人员：朱强华，吴问付，姚琦，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：