一种终端标识的处理方法、装置及相关设备与流程

本申请涉及通信领域，尤其涉及一种终端标识的处理方法、装置及相关设备。

背景技术：

在通信领域，终端标识用于识别对应的终端，即用于对终端进行认证。

为了保证终端的安全性，避免使用一个终端标识标识对应终端，第三代合作伙伴计划(3gpp，3rdgenerationpartnershipproject)提出了一种移动终端标识的变换方案。

在这种方案中，终端标识的认证操作流程比较麻烦，这影响了认证操作的信令效率。

技术实现要素：

为解决现有存在的技术问题，本发明实施例提供一种终端标识的处理方法、装置及相关设备。

本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种终端标识的处理方法，应用于第一网络功能实体，所述方法包括：

依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。

上述方案中，所述依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示时，所述方法包括：

当没有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。

上述方案中，所述依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示时，所述方法包括：

当有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应的终端标识信息识别所述终端。

上述方案中，所述标识类型指示的表现形式为特定标识信息、或为非特定标识信息。

上述方案中，所述方法还包括：

接收第二网络功能实体发送的所述终端的标识信息；接收的所述终端的标识信息用于所述第一网络功能实体与所述第二网络功能实体交互所述终端的相关信息。

本发明实施例还提供了一种终端标识的处理方法，应用于终端，所述方法包括：

接收第一网络功能实体发送的标识类型指示；

依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

上述方案中，所述方法还包括：

当所述标识类型指示为第一类型指示时，在所述发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端；所述第一终端标识信息从所述第一网络功能实体接收。

上述方案中，所述方法还包括：

当所述标识类型指示为第二类型指示时，在所述发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

上述方案中，所述方法还包括：

依据与第二网络功能实体共享的信息，生成第二终端标识信息；所述第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

上述方案中，所述方法还包括：

接收所述第一网络功能实体发送的计算参数；所述计算参数是第二网络功能实体下发的；

依据与所述第二网络功能实体共享的信息及计算参数，生成第二终端标识信息；所述第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

上述方案中，所述标识类型指示的表现形式为特定标识信息、或为非特定标识信息。

本发明实施例又提供了一种终端标识的处理装置，包括：

确定单元；

发送单元，用于依据所述确定单元确定的针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。

上述方案中，当没有针对所述终端的能够使用的认证向量时，所述发送单元向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。

上述方案中，当有针对所述终端的能够使用的认证向量时，所述发送单元向所述终端发送的标识类型为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应的终端标识信息识别所述终端。

本发明实施例还提供了一种终端标识的处理装置，包括：

第二接收单元，用于接收第一网络功能实体发送的标识类型指示；

处理单元，用于依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

上述方案中，当所述标识类型指示为第一类型指示时，所述处理单元在所述发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端；所述第一终端标识信息从所述第一网络功能实体接收。

上述方案中，当所述标识类型指示为第二类型指示时，所述处理单元在发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

本发明实施例又提供了一种网络功能实体，为第一网络功能实体，所述第一网络功能实体包括：

第一处理器；

第一通信接口，用于依据所述第一处理器确定的针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。

上述方案中，当没有针对所述终端的能够使用的认证向量时，所述第一通信接口向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。

上述方案中，当有针对所述终端的能够使用的认证向量时，所述第一通信接口向所述终端发送的标识类型为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应的终端标识信息识别所述终端。

本发明实施例还提供了一种终端，包括：

第二通信接口，用于接收第一网络功能实体发送的标识类型指示；

第二处理器，用于依据所述标识类型指示，在通过所述第二通信接口向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

上述方案中，当所述标识类型指示为第一类型指示时，所述第二处理器在所述发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端；所述第一终端标识信息从所述第一网络功能实体接收。

上述方案中，当所述标识类型指示为第二类型指示时，所述第二处理器在发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

本发明实施例提供的终端标识的处理方法、装置及相关设备，第一网络功能实体依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述认证向量接收自第二网络功能实体；所述终端收到第一网络功能实体发送的标识类型指示后，依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息，由于向终端指示了标识类型，所以终端可以根据指示的类型在消息中携带对应的终端标识，以便后续可以由第一网络功能实体与所述终端直接进行认证操作，从而能够提高认证操作的信令效率。

附图说明

在附图(其不一定是按比例绘制的)中，相似的附图标记可在不同的视图中描述相似的部件。具有不同字母后缀的相似附图标记可表示相似部件的不同示例。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。

图1为相关技术中一种移动终端标识的变换流程示意图；

图2为本发明实施例一一种终端标识的处理的方法流程示意图；

图3为本发明实施例一另一种终端标识的处理的方法流程示意图；

图4为本发明实施例二终端标识变换的方法流程示意图；

图5为本发明实施例三终端标识变换的方法流程示意图；

图6为本发明实施例四终端标识变换的方法流程示意图；

图7为本发明实施例五一种终端标识的处理装置结构示意图；

图8为本发明实施例五另一种终端标识的处理装置结构示意图。

具体实施方式

下面结合附图及实施例对本发明再作进一步详细的描述。

如前所述，3gpp里提出了一种移动终端标识的变换方案，如图1所示，该方法的流程包括如下步骤：

步骤101：终端(ue，userequipment)向核心网网元发送附着请求，比如发送附着请求(attachrequest)消息，消息携带ue的标识id1；

这里，核心网网元可以是移动网络功能实体(mme，mobilitymanagemententity)或移动管理功能(mmf，mobilitymanagementfunction)等。

所述id1可以是国际移动台标识(imsi，internationalmobilesubscriberidentificationnumber)，或之前收到的标识等。

步骤102：核心网网元向认证数据下发网元发送认证数据请求，携带收到的id1；

这里，所述认证数据下发网元可以是归属签约用户服务器(hss，homesubscriberserver)或认证服务功能(ausf，authenticationserverfunction)等。

发送认证数据请求，具体可以是发送认证数据请求(authenticationdatarequest)消息等。

步骤103：认证数据下发网元为该ue生成新的标识id2；

步骤104：认证数据下发网元向核心网网元发送认证数据响应，携带一个认证向量，还携带加密的id2和计算参数；

这里，发送认证数据响应，具体可以是发送认证数据响应(authenticationdataresponse)消息等。

其中，所述计算参数用于ue验证id2。

步骤105：核心网网元向ue发送用户认证请求，携带收到的认证向量中的部分信息组成的认证参数，并携带加密的id2和计算参数；

这里，发送用户认证请求，具体可以是发送userauthenticationrequest消息等。

所述认证参数可以包含随机数(rand)和网络认证令牌(autn)等。

其中，autn用于ue验证网络，rand用于网络验证ue的用户。

步骤106：ue基于autn验证网络；并基于rand计算出响应值res，并向核心网网元发送用户认证响应，消息携带认证信息，即res；核心网网元比对res和该认证向量中的xres；如果res＝xres则网络验证用户通过，执行步骤107；

这里，核心网网元可以是mme等。

发送用户认证响应，具体可以是发送userauthenticationresponse消息。

步骤107：核心网网元向认证数据下发网元发送标识确认消息，比如发送sync消息，携带验证码。

这里，所述验证码用于验证标识确认消息。

至此，ue解密id2后，和认证数据下发网元可以使用id2相互通讯，从而防止其他人通过跟踪id1而导致ue位置信息的泄漏。

从上面的描述中可以看出，相关技术中，认证数据下发网元一次只能下发一个认证向量，后续认证操作必须通过归属网的认证数据下发网元执行，这影响了认证操作的信令效率。

基于此，在本发明的各种实施例中：第一网络功能实体依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体；所述终端收到第一网络功能实体发送的标识类型指示后，依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

实施例一

本发明实施例提供了一种终端标识的处理方法，应用于第一网络功能实体，如图2所示，该方法包括：

步骤201：所述第一网络功能实体依据针对终端的认证向量的有效性，确定终端的标识类型对应的标识类型指示；

换句话说，所述第一网络功能实体依据针对终端的认证向量的使用情况(可用性)，确定终端的标识类型对应的标识类型指示。

这里，所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息。

具体地，当没有针对所述终端的能够使用的认证向量时，确定所述终端的标识类型对应标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。

当有针对所述终端的能够使用的认证向量时，确定所述终端的标识类型对应标识类型指示为第二类型指示；所述第二类型指示表征第二网络功能实体能够根据对应终端标识信息识别所述终端。

其中，所述认证向量为所述第二网络功能实体下发的认证向量，即所述认证向量接收自第二网络功能实体。

从上面的描述中可以看出，所述认证向量的使用情况具体可以是有针对所述终端的能够使用的认证向量，或者可以是没有针对所述终端的能够使用的认证向量。简单地说，所述认证向量的使用情况可以分为有能使用的认证向量和没有能够使用的认证向量两种情况。

这里，所述认证向量用于所述终端与对应的网络进行相互认证。

实际应用时，第二网络功能实体可以根据需要下发至少一个认证向量。每个认证向量包含多个认证参数，这多个认证参数形成一个向量，即认证向量。

实际应用时，所述第一网络功能实体可以是接入网络的关键控制节点，比如核心网网元，具体可以是mme或mmf等。

实际应用时，所述第二网络功能实体可以是认证数据下发网元，即控制用户数据的节点，比如hss或ausf等。

在一实施例中，所述标识类型指示的表现形式可以为特定标识信息，也可以为非特定标识信息。

其中，当所述标识类型指示的表现形式为特定标识信息时，说明第一网络功能实体确定通过隐式的方式通知所述标识类型指示。比如，可以通过一种特定的终端标识信息，比如不是全零的标识信息，即指示了所述终端对应的终端标识信息，同时也指示了标识类型为第一类型还是第二类型，这样可以节约信令资源。

当所述标识类型指示的表现形式为特定标识信息时，说明第一网络功能实体确定通过显式的方式通知所述标识类型指示。比如，可以指示所述终端对应的终端标识信息，同时，再利用一个字段来指示标识类型为第一类型或是第二类型。

在一实施例中，该方法还可以包括：

接收第二网络功能实体发送的所述终端的标识信息；接收的所述终端的标识信息用于所述第一网络功能实体与所述第二网络功能实体交互所述终端的相关信息。

这里，实际应用时，有一种情况是，所述第二网络功能实体并不会通过所述第一网络功能实体直接向所述终端下发第二类型的终端标识信息，此时所述终端会基于与所述第二网络功能实体共享的信息生成第二类型的终端标识信息，此时，所述第二网络功能实体会向所述第一网络功能实体发送所述终端的标识信息，以便所述第一网络功能实体与所述第二网络功能实体交互所述终端的相关信息。

其中，在生成终端的标识信息时，当所述第二网络功能实体通过所述第一网络功能实体向所述终端发送了计算参数时，所述终端会基于与所述第二网络功能实体共享的信息以及计算参数生成第二类型的终端标识信息。

步骤202：所述第一网络功能实体依据确定的标识类型，向所述终端发送对应的标识类型指示。

具体地，当没有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第一类型指示。

当有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第二类型指示。

在一实施例中，向所述终端发送标识类型指示后，该方法还可以包括：

所述第一网络功能实体接收所述终端发送的消息；

当根据接收的消息中携带的终端标识信息不能识别所述终端时，所述第一网络功能实体向所述第二网络功能实体转发接收的消息中携带的终端标识信息，以对所述终端进行识别，以便由第二网络功能实体与所述终端基于对应的认证向量进行相互认证。

其中，当根据接收的消息中携带的终端标识信息能识别所述终端时，所述第一网络功能实体与所述终端基于对应的认证向量进行相互认证。

从上面的描述可以看出，本发明实施例中，所述第一网络功能实体依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。

另外，所述依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示时，当没有针对所述终端的能够使用的认证向量时，当没有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。当有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应终端标识信息识别所述终端。

对应地，本发明实施例还提供了一种终端标识的处理方法，应用于终端，如图3所示，该方法包括：

步骤301：所述终端接收第一网络功能实体发送的标识类型指示；

这里，所述标识类型指示用于指示所述终端发送消息时携带的终端标识信息。

在一实施例中，所述标识类型指示的表现形式可以为特定标识信息，也可以为非特定标识信息。

其中，当所述标识类型指示的表现形式为特定标识信息时，说明第一网络功能实体确定通过隐式的方式通知所述标识类型指示。比如，可以通过一种特定的终端标识信息，比如不是全零的标识信息，即指示了所述终端对应的终端标识信息，同时也指示了标识类型为第一类型还是第二类型，这样可以节约信令资源。

当所述标识类型指示的表现形式为特定标识信息时，说明第一网络功能实体确定通过显式的方式通知所述标识类型指示。比如，可以指示所述终端对应的终端标识信息，同时，再利用一个字段来指示标识类型为第一类型或是第二类型。

步骤302：依据所述标识类型指示，所述终端在向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

其中，当接收的标识类型指示为第一类型指示时，在发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端，进而与所述终端基于对应的认证向量进行相互认证。

当接收的标识类型指示为第二类型指示时，在发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端，进而由第二网络功能实体与所述终端基于对应的认证向量进行相互认证。

其中，所述第一终端标识信息从所述第一网络功能实体接收，比如可以是所述终端从接收标识类型指示的消息中获取第一终端标识信息。

这里，实际应用时，有一种情况是，第二网络功能实体并不会通过所述第一网络功能实体直接向所述终端下发第二类型的终端标识信息，此时在执行步骤302之前，所述终端会基于与所述第二网络功能实体共享的信息生成第二终端标识信息，此时，第二网络功能实体会向所述第一网络功能实体发送所述终端的标识信息，以便所述第一网络功能实体与所述第二网络功能实体交互所述终端的相关信息。

另外，在一实施例中，该方法还可以包括：

所述终端接收所述第一网络功能实体发送的计算参数；所述计算参数是所述第二网络功能实体下发的；

当然，所述终端依据与第二网络功能实体共享的信息及计算参数，生成所述第二终端标识信息。

其中，从上面的描述可以看出，所述第二网络功能实体能够根据第二终端标识信息识别所述终端，进而由第二网络功能实体与所述终端基于对应的认证向量进行相互认证。

基于上述方法，本实施例还提供了一种终端标识的处理方法，包括以下步骤：

步骤a：第一网络功能实体依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；

步骤b：所述终端接收到第一网络功能实体发送的标识类型指示后，依据所述标识类型指示，在向所述第一网络功能实体发发送的消息中携带对应的终端标识信息。

需要说明的是：实际应用时，本发明实施例所描述的终端标识信息可以根据需要来选择，只要可以标识终端的信息即可，本发明实施例不对此做限定。

另外，第一网络功能实体和终端的具体处理过程已在上文详述，这里不再赘述。

本发明实施例提供的终端标识的处理方法，第一网络功能实体依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述认证向量接收自第二网络功能实体；所述终端收到第一网络功能实体发送的标识类型指示后，依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息，由于向终端指示了标识类型，所以终端可以根据指示的类型在消息中携带对应的终端标识，以便后续可以由第一网络功能实体与所述终端直接进行认证操作，从而能够提高认证操作的信令效率。

当没有针对所述终端的能够使用的认证向量时，向所述终端发送标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端，以便由第一网络功能实体与所述终端直接进行认证操作，不需要第二网络功能实体的参与，从而提高了认证操作的信令效率。

实施例二

在实施例一的基础上，本实施例详细描述终端标识变换的过程。

本实施例终端标识变换的方法，如图4所示，包括以下步骤：

步骤401：ue向核心网网元发送附着请求；

这里，实际应用时，核心网网元可以是mme或mmf等。

发送附着请求，具体可以是发送attachrequest消息。

发送的附着请求中携带ue的标识id1。

其中，所述id1可以是imsi，或ue之前收到的标识等。

步骤402：核心网网元收到附着请求后，向认证数据下发网元发送认证数据请求；

这里，实际应用时，所述认证数据下发网元可以是hss或ausf等。

发送认证数据请求，具体可以是发authenticationdatarequest消息等。

发送的认证数据请求中携带id1。

步骤403：认证数据下发网元收到请求后，为ue生成新的标识id2；

步骤404：认证数据下发网元向核心网网元发送认证数据响应；

这里，实际应用时，发送认证数据响应，具体可以是发送authenticationdataresponse消息等。

发送的认证数据响应中携带一组认证向量以及id2。

步骤405：核心网网元收到响应后，向ue发送用户认证请求；

这里，实际应用时，发送用户认证请求，具体可以是发送userauthenticationrequest消息等。

发送的用户认证请求中携带所述一组认证向量中的一个认证向量的部分信息组成的认证参数，比如rand和autn，并携带id2。

其中，autn用于ue验证网络，rand用于网络验证ue的用户。

步骤406：ue收到请求后，基于autn验证网络；基于rand计算出响应值res，并向核心网网元发送用户认证响应；

这里，实际应用时，发送用户认证响应，具体可以是发送userauthenticationresponse消息等。

所述用户响应中携带认证信息，即res。

步骤407：核心网网元收到响应后，将res和对应认证向量中的xres进行比对，如果res＝xres则网络验证用户通过，执行步骤408；

步骤408：核心网网元向ue发送附着接受消息；

这里，实际应用时，发送附着接受消息，具体可以是发送附着接受(attachaccept)消息等。

所述附着接受消息中携带核心网网元分配的临时标识tid1。

其中，所述tid1不是特定标识信息，比如不是全0的标识信息，因此ue可以视其为标识类型指示。

或者，也可以在所述附着接受消息中携带tid1及标识类型指示，比如携带id-type字段以指示ue使用tid1。

终端接收到附着接受消息后，后续过程中，终端使用临时标识tid1发送消息。

步骤409：ue再次向核心网网元发送附着请求；

这里，所述附着请求中携带tid1。

步骤410：核心网网元收到请求后，向ue发送用户认证请求；

这里，实际应用时，发送用户认证请求，具体可以是发送userauthenticationrequest消息等。

所述用户认证请求中携带一个未被使用的针对该ue的认证向量中的部分信息组成的认证参数，比如rand和autn。

步骤411：ue收到用户认证请求后，基于autn验证网络；ue基于rand计算出响应值res，并向核心网网元发送用户认证响应；

这里，实际应用时，发送用户认证响应，具体可以是发送userauthenticationresponse消息等。

所述用户响应中携带认证信息，即res。

步骤412：核心网网元收到响应后，将res和对应认证向量中的xres进行比对，如果res＝xres则网络验证用户通过，则执行步骤413；

步骤413：核心网网元向终端发送附着接受消息。

这里，实际应用时，发送附着接受消息，具体可以是发送attachaccept消息等。

其中，在发送附着接受消息之前，核心网网元会判断是否还有可以使用的针对该ue的认证向量，如果还有，则附着接受消息携带核心网网元分配的临时标识tid2。与tid1类似的，tid2不是特定标识信息，比如不是全0的标识信息，因此ue可以视其为标识类型指示，也可以在该消息中携带标识类型指示，比如携带id-type字段以指示终端使用tid2。如果没有可以使用的针对该ue的认证向量，则附着接受消息携带标识类型指示以及核心网分配的临时标识信息tid2，或消息要携带特定的临时标识作为标识信息，比如全0标识信息，以指示终端临时标识不可用，需使用id2。

收到附着接受消息后，ue可以依据标识类型指示在发送的消息中携带相应的标识信息。当ue发送的消息中携带id2时，由于核心网网元无法识别ue，所以核心网网元会将id2转发给认证数据下发网元，由认证数据下发网元识别ue，并下发新的针对ue的认证向量组给核心网网元，以便核心网网元能够再次对ue进行识别。

需要说明的是：实际应用时，在步骤409中，ue还可以是向核心网网元发送业务请求，比如业务请求(servicerequest)消息，后续处理过程与步骤410～413完全相同。

实施例三

在实施例一、二的基础上，本实施例详细描述终端标识变换的过程。

本实施例终端标识变换的方法，如图5所示，包括以下步骤：

步骤501：ue向核心网网元发送附着请求；

这里，实际应用时，核心网网元可以是mme或mmf等。

发送附着请求，具体可以是发送attachrequest消息。

发送的附着请求中携带ue的标识id1。

其中，所述id1可以是imsi，或ue之前收到的标识等。

步骤502：核心网网元收到附着请求后，向认证数据下发网元发送认证数据请求；

这里，实际应用时，所述认证数据下发网元可以是hss或ausf等。

发送认证数据请求，具体可以是发authenticationdatarequest消息等。

发送的认证数据请求中携带id1。

步骤503：认证数据下发网元收到请求后，根据与该ue共享的密钥ki，id1或该终端的初始标识id0，生成新的标识id2；

这里，实际应用时，生成新的标识id2时，还可以根据与该ue共享的密钥ki，id1或该终端的初始标识id0，以及计算参数(比如随机数或认证参数组中的其它数值等)，生成新的标识id2。

其中，实际应用时，所述其它数值可以是认证参数组中变化的其它数值。

步骤504：认证数据下发网元向核心网网元发送认证数据响应；

这里，实际应用时，发送认证数据响应，具体可以是发送authenticationdataresponse消息等。

发送的认证数据响应中携带一组认证向量。当认证数据下发网元生成id2时使用了计算参数时，发送的认证数据响应还可以进一步携带计算参数。

步骤505：核心网网元收到响应后，向ue发送用户认证请求；

这里，实际应用时，发送用户认证请求，具体可以是发送userauthenticationrequest消息等。

发送的用户认证请求中携带所述一组认证向量中的一个认证向量的部分信息组成的认证参数，比如rand和autn。

相应地，当核心网网元收到的响应中携带了计算参数时，发送的用户认证请求还可以携带计算参数。

步骤506：ue收到请求后，利用与认证数据下发网元相同的信息计算新的标识id2；

具体地，当请求中未携带计算参数时，ue根据密钥ki，id1或该终端的初始标识id0计算id2；当请求中携带计算参数时，ue根据密钥ki，id1或该终端的初始标识id0，以及计算参数计算id2。

所述与认证数据下发网元相同的信息，可以认为是与认证数据下发网元共享的信息。

步骤507：ue基于autn验证网络；ue基于rand计算出响应值res，并向核心网网元发送用户认证响应；

这里，实际应用时，发送用户认证响应，具体可以是发送userauthenticationresponse消息等。

所述用户响应中携带认证信息，即res。

步骤508：核心网网元收到响应后，将res和该认证向量中的xres进行比对，如果res＝xres则网络验证用户通过，执行步骤509；

步骤509：核心网网元向ue发送附着接受消息；

这里，实际应用时，发送附着接受消息，具体可以是发送附着接受(attachaccept)消息等。

所述附着接受消息中携带核心网网元分配的临时标识tid1。

其中，所述tid1不是特定标识信息，比如不是全0的标识信息，因此ue可以视其为标识类型指示。

或者，也可以在所述附着接受消息中携带tid1及标识类型指示，比如携带id-type字段以指示终端使用tid1。

终端接收到附着接受消息后，后续过程中，终端使用临时标识tid1发送消息。

步骤510：ue再次向核心网网元发送附着请求；

这里，所述附着请求中携带tid1。

步骤511：核心网网元收到请求后，向ue发送用户认证请求；

这里，实际应用时，发送用户认证请求，具体可以是发送userauthenticationrequest消息等。

所述用户认证请求中携带一个未被使用的针对该ue的认证向量中的部分信息组成的认证参数，比如rand和autn。

步骤512：ue收到用户认证请求后，基于autn验证网络；ue基于rand计算出响应值res，并向核心网网元发送用户认证响应；

这里，实际应用时，发送用户认证响应，具体可以是发送userauthenticationresponse消息等。

所述用户响应中携带认证信息，即res。

步骤513：核心网网元收到响应后，将res和对应认证向量中的xres进行比对，如果res＝xres则网络验证用户通过，则执行步骤514；

步骤514：核心网网元向终端发送附着接受消息。

这里，实际应用时，发送附着接受消息，具体可以是发送attachaccept消息等。

其中，在发送附着接受消息之前，核心网网元会判断是否还有可以使用的针对该ue的认证向量，如果还有，则附着接受消息携带核心网网元分配的临时标识tid2。与tid1类似的，tid2不是特定标识信息，比如不是全0的标识信息，因此ue可以视其为标识类型指示，也可以在该消息中携带标识类型指示，比如携带id-type字段以指示终端使用tid2。如果没有可以使用的针对该ue的认证向量，则附着接受消息携带标识类型指示以及核心网分配的临时标识信息tid2，或消息要携带特定的临时标识作为标识信息，比如全0标识信息，以指示终端临时标识不可用，需使用id2。

收到附着接受消息后，ue可以依据标识类型指示在发送的消息中携带相应的标识信息。当ue发送的消息中携带id2时，由于核心网网元无法识别ue，所以核心网网元会将id2转发给认证数据下发网元，由认证数据下发网元识别ue，并下发新的针对ue的认证向量组给核心网网元。

需要说明的是：实际应用时，在步骤510中，ue还可以是向心网网元发送业务请求，比如servicerequest消息，后续处理过程与步骤511～514完全相同。

实施例四

本实施例详细描述终端标识变换的过程。

本实施例终端标识变换的方法，如图6所示，包括以下步骤：

步骤601：ue向核心网网元发送附着请求；

这里，实际应用时，核心网网元可以是mme或mmf等。

发送附着请求，具体可以是发送attachrequest消息。

发送的附着请求中携带ue的标识id1。

其中，所述id1可以是imsi，或ue之前收到的标识等。

步骤602：核心网网元收到附着请求后，向认证数据下发网元发送认证数据请求；

这里，实际应用时，所述认证数据下发网元可以是hss或ausf等。

发送认证数据请求，具体可以是发authenticationdatarequest消息等。

发送的认证数据请求中携带id1。

步骤603：认证数据下发网元收到请求后，根据与该ue共享的密钥ki，id1或该终端的初始标识id0，生成新的标识id2；

这里，实际应用时，生成新的标识id2时，还可以根据与该ue共享的密钥ki，id1或该终端的初始标识id0，以及计算参数(比如随机数或认证参数组中的其它数值等)，生成新的标识id2。

其中，实际应用时，所述其它数值可以是认证参数组中变化的其它数值。

步骤604：认证数据下发网元向核心网网元发送认证数据响应；

这里，实际应用时，发送认证数据响应，具体可以是发送authenticationdataresponse消息等。

发送的认证数据响应中携带一组认证向量和锚定标识aid1。

其中，aid1用于核心网网元与认证数据下发网元交互该ue的相关信息。

当认证数据下发网元生成id2时使用了计算参数时，发送的认证数据响应还可以进一步携带计算参数。

步骤605：核心网网元收到响应后，向ue发送用户认证请求；

这里，实际应用时，发送用户认证请求，具体可以是发送userauthenticationrequest消息等。

发送的用户认证请求中携带所述一组认证向量中的一个认证向量的部分信息组成的认证参数，比如rand和autn。

相应地，当核心网网元收到的响应中携带了计算参数时，发送的用户认证请求还可以携带计算参数。

步骤606：ue收到请求后，利用与认证数据下发网元相同的信息计算新的标识id2；

具体地，当请求中未携带计算参数时，ue根据密钥ki，id1或该终端的初始标识id0计算id2；当请求中携带计算参数时，ue根据密钥ki，id1或该终端的初始标识id0，以及计算参数计算id2。

所述与认证数据下发网元相同的信息，可以认为是与认证数据下发网元共享的信息。

步骤607：ue基于autn验证网络；ue基于rand计算出响应值res，并向核心网网元发送用户认证响应；

这里，实际应用时，发送用户认证响应，具体可以是发送userauthenticationresponse消息等。

所述用户响应中携带认证信息，即res。

步骤608：核心网网元收到响应后，将res和该认证向量中的xres进行比对，如果res＝xres则网络验证用户通过，执行步骤609；

步骤609：核心网网元向ue发送附着接受消息；

这里，实际应用时，发送附着接受消息，具体可以是发送附着接受(attachaccept)消息等。

所述附着接受消息中携带核心网网元分配的临时标识tid1。

其中，所述tid1不是特定标识信息，比如不是全0的标识信息，因此ue可以视其为标识类型指示。

或者，也可以在所述附着接受消息中携带tid1及标识类型指示，比如携带id-type字段以指示终端使用tid1。

终端接收到附着接受消息后，后续过程中，终端使用临时标识tid1发送消息。

步骤610：ue再次向核心网网元发送附着请求；

这里，所述附着请求中携带tid1。

实际应用时，

步骤611：核心网网元收到请求后，向ue发送用户认证请求；

这里，实际应用时，发送用户认证请求，具体可以是发送userauthenticationrequest消息等。

所述用户认证请求中携带一个未被使用的针对该ue的认证向量中的部分信息组成的认证参数，比如rand和autn。

步骤612：ue收到用户认证请求后，基于autn验证网络；ue基于rand计算出响应值res，并向核心网网元发送用户认证响应；

这里，实际应用时，发送用户认证响应，具体可以是发送userauthenticationresponse消息等。

所述用户响应中携带认证信息，即res。

步骤613：核心网网元收到响应后，将res和对应认证向量中的xres进行比对，如果res＝xres则网络验证用户通过，则执行步骤614；

步骤614：核心网网元向终端发送附着接受消息。

这里，实际应用时，发送附着接受消息，具体可以是发送attachaccept消息等。

其中，在发送附着接受消息之前，核心网网元会判断是否还有可以使用的针对该ue的认证向量，如果还有，则附着接受消息携带核心网网元分配的临时标识tid2。与tid1类似的，tid2不是特定标识信息，比如不是全0的标识信息，因此ue可以视其为标识类型指示，也可以在该消息中携带标识类型指示，比如携带id-type字段以指示终端使用tid2。如果没有可以使用的针对该ue的认证向量，则附着接受消息携带标识类型指示以及核心网分配的临时标识信息tid2，或消息要携带特定的临时标识作为标识信息，比如全0标识信息，以指示终端临时标识不可用，需使用id2。

收到附着接受消息后，ue可以依据标识类型指示在发送的消息中携带相应的标识信息。当ue发送的消息中携带id2时，由于核心网网元无法识别ue，所以核心网网元会将id2转发给认证数据下发网元，由认证数据下发网元识别ue，并下发新的针对ue的认证向量组给核心网网元。

需要说明的是：实际应用时，在步骤610中，ue还可以是向心网网元发送业务请求，比如servicerequest消息，后续处理过程与步骤611～614完全相同。

从实施例二至四可以看出，本发明实施例提供的方案，使用两种终端标识信息：一种由核心网网元分配，另一种由认证数据下发网元分配，并由核心网网元通知终端使用哪种终端标识信息，认证数据下发网元可以一次下发多个认证向量，使得认证操作可以在拜访地的核心网网元执行，从而提高了认证操作的信令效率。

实施例五

为实现本发明实施例的方法，本实施例提供一种终端标识的处理装置，设置在第一网络功能实体，如图7所示，该装置包括：

确定单元71；

发送单元72，用于依据所述确定单元71确定的针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息。

也就是说，所述确定单元71依据针对终端的认证向量的有效性(也可以理解为使用情况)，确定终端的标识类型对应的标识类型指示；相应地，所述发送单元72依据确定的标识类型指示，向所述终端发送对应的标识类型指示。

具体地，当没有针对所述终端的能够使用的认证向量时，所述确定单元71确定所述终端的标识类型对应标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。

当有针对所述终端的能够使用的认证向量时，所述第一确定单元71确定所述终端的标识类型对应标识类型指示为第二类型指示；所述第二类型指示表征第二网络功能实体能够根据对应终端标识信息识别所述终端。

相应地，对于发送单元72，当没有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型指示为第一类型指示；当有针对所述终端的能够使用的认证向量时，向所述终端发送的标识类型为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应的终端标识信息识别所述终端。

其中，所述认证向量为所述第二网络功能实体下发的认证向量，即所述认证向量接收自第二网络功能实体。

从上面的描述中可以看出，所述认证向量的使用情况具体可以是有针对所述终端的能够使用的认证向量，或者可以是没有针对所述终端的能够使用的认证向量。简单地说，所述认证向量的使用情况可以分为有能使用的认证向量和没有能够使用的认证向量两种情况。

这里，所述认证向量用于所述终端与对应的网络进行相互认证。

实际应用时，第二网络功能实体可以根据需要下发至少一个认证向量。每个认证向量包含多个认证参数，这多个认证参数形成一个向量，即认证向量。

实际应用时，所述第一网络功能实体可以是接入网络的关键控制节点，比如核心网网元，具体可以是mme或mmf等。

实际应用时，所述第二网络功能实体可以是认证数据下发网元，即控制用户数据的节点，比如hss或ausf等。

在一实施例中，所述标识类型指示的表现形式可以为特定标识信息，也可以为非特定标识信息。

其中，当所述标识类型指示的表现形式为特定标识信息时，说明第一网络功能实体确定通过隐式的方式通知所述标识类型指示。比如，可以通过一种特定的终端标识信息，比如不是全零的标识信息，即指示了所述终端对应的终端标识信息，同时也指示了标识类型为第一类型还是第二类型，这样可以节约信令资源。

当所述标识类型指示的表现形式为特定标识信息时，说明第一网络功能实体确定通过显式的方式通知所述标识类型指示。比如，可以指示所述终端对应的终端标识信息，同时，再利用一个字段来指示标识类型为第一类型或是第二类型。

在一实施例中，该装置还可以包括：

第一接收单元，用于接收第二网络功能实体发送的所述终端的标识信息；接收的所述终端的标识信息用于所述第一网络功能实体与所述第二网络功能实体交互所述终端的相关信息。

这里，实际应用时，有一种情况是，所述第二网络功能实体并不会通过所述第一网络功能实体直接向所述终端下发第二类型的终端标识信息，此时所述终端会基于与所述第二网络功能实体共享的信息生成第二类型的终端标识信息，此时，所述第二网络功能实体会向所述第一网络功能实体发送所述终端的标识信息，以便所述第一网络功能实体与所述第二网络功能实体交互所述终端的相关信息。

其中，在生成终端的标识信息时，当所述第二网络功能实体通过所述第一网络功能实体向所述终端发送了计算参数时，所述终端会基于与所述第二网络功能实体共享的信息以及计算参数生成第二类型的终端标识信息。

在一实施例中，第一接收单元，用于接收所述终端发送的消息；

所述发送单元72，还用于当根据接收的消息中携带的终端标识信息不能识别所述终端时，向所述第二网络功能实体转发接收的消息中携带的终端标识信息，以对所述终端进行识别，以便由第二网络功能实体与所述终端基于对应的认证向量进行相互认证。

其中，当根据接收的消息中携带的终端标识信息能识别所述终端时，所述第一网络功能实体与所述终端基于对应的认证向量进行相互认证。

实际应用时，确定单元71可由终端标识的处理装置中的处理器实现；所述发送单元72及第一接收单元可由终端标识的处理装置中的通信接口实现。

基于此，本发明实施例还提供了一种网络功能实体，为第一网络功能实体，所述第一网络功能实体包括：

第一处理器；

第一通信接口，用于依据所述第一处理器确定的针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；所述标识类型指示用于指示所述终端在发送后续消息时携带的终端标识信息；所述认证向量接收自第二网络功能实体。

其中，当没有针对所述终端的能够使用的认证向量时，所述第一通信接口向所述终端发送的标识类型指示为第一类型指示；所述第一类型指示表征所述第一网络功能实体能够根据对应的终端标识信息识别所述终端。

当有针对所述终端的能够使用的认证向量时，所述第一通信接口向所述终端发送的标识类型为第二类型指示；所述第二类型指示表征所述第二网络功能实体能够根据对应的终端标识信息识别所述终端。

第一处理器及第一通信接口的实现功能可参照前述方法和装置的相关描述而理解，这里不再赘述。

对应地，为实现本发明实施例终端侧的终端标识的处理方法，本发明实施例还提供了一种终端标识的处理装置，如图8所示，该装置包括：

第二接收单元81，用于接收第一网络功能实体发送的标识类型指示；

处理单元82，用于依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

这里，所述标识类型指示用于指示所述终端发送消息时携带的终端标识信息。

在一实施例中，所述标识类型指示的表现形式可以为特定标识信息，也可以为非特定标识信息。

其中，当所述标识类型指示的表现形式为特定标识信息时，说明第一网络功能实体确定通过隐式的方式通知所述标识类型指示。比如，可以通过一种特定的终端标识信息，比如不是全零的标识信息，即指示了所述终端对应的终端标识信息，同时也指示了标识类型为第一类型还是第二类型，这样可以节约信令资源。

当所述标识类型指示的表现形式为特定标识信息时，说明第一网络功能实体确定通过显式的方式通知所述标识类型指示。比如，可以指示所述终端对应的终端标识信息，同时，再利用一个字段来指示标识类型为第一类型或是第二类型。

在一实施例中，对于所述处理单元82：

当接收的标识类型指示为第一类型指示时，在发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端，进而与所述终端基于对应的认证向量进行相互认证；

或者，

当接收的标识类型指示为第二类型指示时，在发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端，进而由第二网络功能实体与所述终端基于对应的认证向量进行相互认证。

其中，所述第一终端标识信息从所述第一网络功能实体接收，比如可以是所述终端从接收标识类型指示的消息中获取第一终端标识信息。

这里，实际应用时，有一种情况是，第二网络功能实体并不会通过所述第一网络功能实体直接向所述终端下发第二类型的终端标识信息，此时所述处理单元82会基于与所述第二网络功能实体共享的信息生成第二终端标识信息，此时，第二网络功能实体会向所述第一网络功能实体发送所述终端的标识信息，以便所述第一网络功能实体与所述第二网络功能实体交互所述终端的相关信息。

另外，在一实施例中，所述第二接收单元81，还用于接收第一网络功能实体发送的计算参数；所述计算参数是所述第二网络功能实体下发的；

所述处理单元82，用于：依据与第二网络功能实体共享的信息及计算参数，生成所述第二终端标识信息。

其中，从上面的描述可以看出，所述第二网络功能实体能够根据第二终端标识信息识别所述终端，进而由第二网络功能实体与所述终端基于对应的认证向量进行相互认证。

实际应用时，第二接收单元81可由终端标识的处理装置中的通信接口实现；所述处理单元82可由终端标识的处理装置中的处理器实现。

基于此，本发明实施例还提供了一种终端，包括：

第二通信接口，用于接收第一网络功能实体发送的标识类型指示；

第二处理器，用于依据所述标识类型指示，在通过所述第二通信接口向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

其中，当所述标识类型指示为第一类型指示时，所述第二处理器在所述发送的消息中携带第一终端标识信息；所述第一类型指示表征所述第一网络功能实体能够根据所述第一终端标识信息识别所述终端；所述第一终端标识信息从所述第一网络功能实体接收。

当所述标识类型指示为第二类型指示时，所述第二处理器在发送的消息中携带第二终端标识信息；所述第二类型指示表征第二网络功能实体能够根据所述第二终端标识信息识别所述终端。

第二通信接口及第二处理器的实现功能可参照前述方法和装置的相关描述而理解，这里不再赘述。

基于上述装置，本发明实施例还提供了一种终端标识的处理系统，该系统包括：

第一网络功能实体，用于依据针对终端的认证向量的有效性，相应向所述终端发送对应的标识类型指示；

终端，用于接收到第一网络功能实体发送的标识类型指示后，依据所述标识类型指示，在向所述第一网络功能实体发送的消息中携带对应的终端标识信息。

需要说明的是：实际应用时，本发明实施例所描述的终端标识信息可以根据需要来选择，只要可以标识终端的信息即可，本发明实施例不对此做限定。

另外，第一网络功能实体和终端的具体处理过程已在上文详述，这里不再赘述。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。