一种鉴权的方法及装置与流程

1.本申请涉及通信技术领域，尤其涉及一种鉴权的方法及装置。


背景技术：

2.目前，在第五代(5th generation，5g)网络中，接入网络(access network，an)通过 n2接口接入接入和移动性管理功能(access and mobility management function，amf)，核心网基于服务化架构(service based architecture，sba)实现。
3.5g网络采用大量新的技术，比如服务化框架，超文本传输协议(hypertext transfer protocol，http)或者传输安全协议(transport layer security，tls)等，这些技术在移动通信网络内没有应用过，目前还不够成熟。另外，运营商为5g网络需要投资建设新的基础设施，投资成本较大。因此，目前5g网络的应用还比较受限。


技术实现要素：

4.本申请提供一种鉴权的方法及装置，用以实现通过5g技术接入4g网络中对终端设备的鉴权，保证终端设备的安全性。
5.第一方面，本申请提供了一种鉴权的方法，该方法可以包括：移动管理设备在接收终端设备发送的请求消息后，向家乡用户服务器发送鉴权向量请求消息，所述移动管理设备接收所述家乡用户服务器发送的鉴权向量响应消息，所述鉴权向量响应消息中包含5g安全向量或者4g安全向量，其中，所述鉴权向量请求消息中包含所述终端设备的接入类型。
6.通过上述方法，可以实现通过5g技术接入4g网络的过程中对终端设备的鉴权，以保证终端设备的安全性。
7.在一个可能的设计中，所述接入类型为所述终端设备接入的接入设备的类型，或者为无线接入网络的类型，或者为所述终端设备的类型；其中，所述接入设备的类型为演进型基站类型或者下一代基站类型；所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型；所述终端设备的类型为5g类型。这样，可以使家乡用户服务器根据所述接入类型确定需要为所述终端设备返回的安全向量。
8.在一个可能的设计中，当所述鉴权向量响应消息中包含所述4g安全向量时，所述移动管理设备向所述终端设备发送请求拒绝消息，所述请求拒绝消息中包含原因值，所述原因值用于指示所述终端设备接入4g网络。
9.通过上述方法，可以指示所述终端设备回落到4g网络。
10.在一个可能的设计中，当所述鉴权向量响应消息中包含所述5g安全向量时，所述移动管理设备根据所述5g安全向量对所述终端设备进行鉴权处理。这样可以保证终端设备的安全性。
11.在一个可能的设计中，所述移动管理设备根据所述5g安全向量对所述终端设备进行鉴权处理，具体方法可以为：所述移动管理设备根据所述5g安全向量中的期望响应xres* 生成哈希期望响应hxres*，以及根据所述5g安全向量中的鉴权服务功能密钥k
ausf
生成安全
锚点功能密钥k
seaf
；所述移动管理设备向所述终端设备发送鉴权请求消息，所述鉴权请求消息中包含所述5g安全向量中的随机数rand和鉴权令牌autn；所述移动管理设备接收所述终端设备发送的鉴权响应消息，所述鉴权响应消息中包含鉴权响应res*；所述移动管理设备根据所述res*得到哈希响应hres*，并将hres*和hxres*进行比较，若相同，则确定对所述终端设备的鉴权通过。
12.通过上述方法，所述移动管理设备可以准确地对所述终端设备进行鉴权，以保证终端设备的安全性。
13.在一个可能的设计中，所述移动管理设备向所述家乡用户服务器发送位置更新请求消息，所述位置更新请求消息中包含所述接入类型；所述移动管理设备接收所述家乡用户服务器发送的位置更新响应消息，所述位置更新响应消息中包含所述终端设备的签约数据。
14.通过上述方法，可以使所述终端设备的信息更新，以使所述终端设备的信息更准确，可以使后续业务准确进行。
15.第二方面，本申请提供了一种鉴权的方法，该方法可以包括：家乡用户服务器接收移动管理设备发送的鉴权向量请求消息，所述鉴权向量请求消息中包含所述终端设备的接入类型；所述家乡用户服务器向所述移动管理设备发送鉴权向量响应消息，所述鉴权向量响应消息中包含5g安全向量或者4g安全向量。
16.通过上述方法，可以实现通过5g技术接入4g网络的过程中对终端设备的鉴权，以保证终端设备的安全性。
17.在一个可能的设计中，所述接入类型为所述终端设备接入的接入设备的类型，或者为无线接入网络的类型，或者为所述终端设备的类型；其中，所述接入设备的类型为演进型基站类型或者下一代基站类型；所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型；所述终端设备的类型为5g类型。这样，可以使家乡用户服务器根据所述接入类型确定需要为所述终端设备返回的安全向量。
18.在一个可能的设计中，当所述家乡用户服务器根据所述接入类型，获知所述终端设备为5g用户时，所述鉴权向量响应消息中包含所述5g安全向量；或者，当所述家乡用户服务器不认识所述接入类型时，所述鉴权向量响应消息中包含所述4g安全向量。
19.通过上述方法，可以使移动管理设备根据接收到的鉴权向量响应消息中包含的内容而准确进行后续操作。
20.在一个可能的设计中，当所述鉴权向量响应消息中包含5g安全向量时，所述家乡用户服务器接收所述移动管理设备发送的位置更新请求消息，所述位置更新请求消息中包含所述接入类型；所述家乡用户服务器向所述移动管理设备发送位置更新响应消息，所述位置更新响应消息中包含所述终端设备的签约数据。
21.通过上述方法，可以使所述终端设备的信息更新，以使所述终端设备的信息更准确，可以使后续业务准确进行。
22.第三方面，本申请还提供了一种移动管理设备，所述移动管理设备具有实现上述第一方面方法实例中移动管理设备的功能。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。
23.在一个可能的设计中，所述移动管理设备的结构中包括处理单元和通信单元，这
些单元可以执行上述第一方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不做赘述。
24.在一个可能的设计中，所述移动管理设备的结构中包括通信接口和处理器，可选的还可以包括存储器，通信接口用于收发数据(信息或信号等)，以及与通信系统中的其他设备进行通信交互，处理器被配置为支持移动管理设备执行上述第一方面方法中移动管理设备相应的功能。存储器与处理器耦合，其保存移动管理设备必要的程序指令和数据。
25.第四方面，本申请还提供了一种家乡用户服务器，所述家乡用户服务器具有实现上述第二方面方法实例中家乡用户服务器的功能。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。
26.在一个可能的设计中，所述家乡用户服务器的结构中包括处理单元和通信单元，这些单元可以执行上述第二方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不做赘述。
27.在一个可能的设计中，所述家乡用户服务器的结构中包括通信接口和处理器，可选的还可以包括存储器，通信接口用于收发数据(信息或信号等)，以及与通信系统中的其他设备进行通信交互，处理器被配置为支持家乡用户服务器执行上述第二方面方法中家乡用户服务器相应的功能。存储器与处理器耦合，其保存家乡用户服务器必要的程序指令和数据。
28.第五方面，本申请还提供了一种通信系统，所述通信系统至少包括上述设计中提及的移动管理设备和家乡用户服务器。进一步地，所述通信系统中的所述移动管理设备可以执行上述方法中移动管理设备执行的任一种方法，以及所述通信系统中的所述家乡用户服务器可以执行上述方法中家乡用户服务器执行的任一种方法。
29.第六方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可执行指令，所述计算机可执行指令在被所述计算机调用时用于使所述计算机执行上述第一方面或第一方面的任意一种可能的设计、第二方面或第二方面的任意一种可能的设计中的任一种方法。
30.第七方面，本申请提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面或第一方面的任意一种可能的设计、第二方面或第二方面的任意一种可能的设计中的任一种方法。
31.第八方面，本申请提供了一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，以实现上述第一方面或第一方面的任意一种可能的设计、第二方面或第二方面的任意一种可能的设计中的任一种方法。
附图说明
32.图1为现有技术中的一种5g网络的架构图；
33.图2a为本申请提供的一种通信系统的架构图；
34.图2b为一种4g nsa架构图；
35.图3为本申请提供的一种鉴权的方法的流程图；
36.图4为本申请提供的一种鉴权的方法的示例的流程图；
37.图5为本申请提供的另一种鉴权的方法的示例的流程图；
38.图6为本申请提供的一种移动管理设备的结构示意图；
39.图7为本申请提供的一种家乡用户服务器的结构示意图；
40.图8为本申请提供的一种移动管理设备的结构图；
41.图9为本申请提供的一种家乡用户服务器的结构图。
具体实施方式
42.下面将结合附图对本申请作进一步地详细描述。
43.本申请实施例提供一种鉴权的方法及装置，用以实现通过5g技术接入4g网络中对终端设备的鉴权，保证终端设备的安全性。其中，本申请所述方法和装置基于同一发明构思，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。
44.为了更加清晰地描述本申请实施例的技术方案，下面结合附图，对本申请实施例提供的鉴权的方法及装置进行详细说明。
45.图1示出了现有技术中的一种5g网络的架构，所述5g网络的架构中包括网络切片选择功能(network slice selection function，nssf)设备、网络开放功能(network exposure function， nef)设备、网络功能库功能((network function，nf)repository function，nrf)设备、策略控制功能(policy control function，pcf)设备、统一数据管理(unified data management， udm)设备、应用功能(application function，af)设备、鉴权服务器功能(authentication server function，ausf)设备、接入和移动性管理功能(access and mobility management function， amf)设备、会话管理功能(session management function，smf)设备、服务通信代理scp、终端设备(又称为用户设备(user equipment，ue))、无线接入网(radio access network，ran)设备、用户面功能(user plane function，upf)和数据网络(data network，dn)。
46.在现有的5g网络中终端设备通过n1接口，接入网络通过n2接口接入接入和移动性管理功能设备，核心网基于服务化架构实现。
47.由于5g网络采用大量新的技术，比如服务化框架，超文本传输协议(hypertext transfer protocol，http)或者传输安全协议(transport layer security，tls)等，这些技术在移动通信网络内没有应用过，目前还不够成熟。另外，运营商为5g网络需要投资建设新的基础设施，投资成本较大，这样导致5g网络应用受限。基于此，本申请基于5g网络和第四代(4th generation，4g)网络的兼容出发，提出可以使终端设备和接入网络通过n1或n2接口接入演进的分组核心网络(evolved packet core，epc)，在重用epc网络基础设施的情况下，支持5g原生接入。在本申请中，可以实现通过5g技术接入4g网络时对终端设备的鉴权，以保证终端设备的安全性。
48.基于上述描述，本申请提供了一种可能的通信系统的架构，所述通信系统的架构为本申请实施例提供的鉴权的方法适用的一种可能的通信系统的架构，如图2a所示，所述通信系统的架构中可以包括终端设备、接入网络、移动管理设备、家乡用户服务器、服务网关、数据网关和报文数据网络，其中：
49.终端设备，又可以称之为用户设备(user equipment，ue)、移动台(mobile station， ms)、移动终端(mobile terminal，mt)等，是一种向用户提供语音和/或数据连通
性的设备。例如，所述终端设备可以包括具有无线连接功能的手持式设备、车载设备等。目前，所述终端设备可以是：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，mid)、可穿戴设备，虚拟现实(virtual reality，vr)设备、增强现实(augmented reality，ar)设备、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端，或智慧家庭(smart home)中的无线终端等。
50.终端设备通过本地的无线接入网络接入。
51.移动管理设备负责移动用户设备的位置管理、连接管理、安全认证、网关选择等功能。
52.服务网关是终端设备的本地接入网关，负责接入技术相关的连接管理和数据转发。
53.数据网关是终端设备访问外部数据网络的网关。
54.家乡用户服务器负责终端设备的签约数据管理，鉴权向量生成等。
55.其中，epc网络也可以为控制面和用户面分离的网络，即服务网关和数据网关的控制面和用户面分离，分为用户面的服务网关，控制面的服务网关，用户面的数据网关和控制面的数据网关。控制面的服务网关负责接入技术相关的连接管理和数据转发控制，用户面的服务网关负责数据转发。控制面的数据网关负责数据转发控制，用户面的数据网关负责数据转发。其中控制面的服务网关可以和控制面的数据网关合一部署，用户面的服务网关也可以和用户面的数据网关合一部署。
56.实际中，所述终端设备可以是5g终端；对于演进的通用陆地无线接入网(evolved universal terrestrial radio access network，evolved e-utran)、新无线(new radio，nr)接入网中，接入设备可以为下一代演进型基站(next generation evolved nodeb，ng-enb)或者 5g移动通信系统中的下一代基站(next generation nodeb，gnb)，核心网为epc网络的网元，移动管理设备可以是移动性管理实体(mobility management entity，mme)，服务网关可以是服务网关(serving gateway，s-gw)，数据网关可以是报文数据网络网关(packet data network gateway，pdn-gw)，家乡用户服务器可以是家乡用户服务器(home subscriber server， hss)。针对控制面和用户面分离的网络，服务网关可以是用户面的服务网关(serving gateway user plane，sgw-u)和控制面的服务网关(serving gateway control plane，sgw-c)，数据网关可以是用户面的数据网关(packet data network gateway user plane，pgw-u)和控制面的数据网关(packet data network gateway control plane，pgw-c)。移动管理设备、服务网关和数据网关可以在现有epc网络的基础上，进行一定的增强，以支持5g终端设备的原生接入。
57.需要说明的是，当移动管理设备和家乡用户服务器进行了增强时，移动管理设备可以称为增强移动管理设备，家乡用户服务器可以称为增强家乡用户服务器。
58.如图2b所示的4g非独立组网架构(non standalone architecture，nsa)中终端设备为 4g终端设备，通过4g nas接入移动管理设备，主接入网络通过4g s1接口接入移动管理设备。终端设备的用户面数据包可以同时通过主接入网络和第二接入网络转发，其中主
rand，期望响应(expected response，xres)，k
asme
和autn的四元组。
72.在一种具体的示例中，当所述鉴权向量响应消息中包含所述5g安全向量时，所述移动管理设备根据所述5g安全向量对所述终端设备进行鉴权处理。
73.在一种可选的实施方式中，所述移动管理设备根据所述5g安全向量对所述终端设备进行鉴权处理，具体方法可以为：所述移动管理设备根据所述5g安全向量中的xres*生成哈希期望响应hxres*，以及根据所述5g安全向量中的k
ausf
生成安全锚点功能密钥k
seaf
；所述移动管理设备向所述终端设备发送鉴权请求消息，所述鉴权请求消息中包含所述5g安全向量中的rand和autn；所述移动管理设备接收所述终端设备发送的鉴权响应消息，所述鉴权响应消息中包含鉴权响应res*；所述移动管理设备根据所述res*得到哈希响应 hres*，并将hres*和hxres*进行比较，若相同，则确定对所述终端设备的鉴权通过。
74.其中，所述终端设备在接收到所述移动管理设备发送的鉴权请求消息后，先验证所述鉴权请求消息中包含的rand和autn，在验证通过后向所述移动管理设备发送所述鉴权响应消息。
75.进一步地，当所述鉴权向量响应消息中包含5g安全向量时，在所述移动管理设备对所述终端设备的鉴权通过后，所述移动管理设备向所述家乡用户服务器发送位置更新请求消息，所述位置更新请求消息中包含所述接入类型；所述移动管理设备接收所述家乡用户服务器发送的位置更新响应消息，所述位置更新响应消息中包含所述终端设备的签约数据。
76.具体的，所述家乡用户服务器根据所述接入类型获知所述终端设备为5g用户时，所述家乡用户服务器向所述移动管理设备发送所述位置更新响应消息。
77.此外，所述移动管理设备向所述家乡用户服务器发送所述位置更新请求消息时，还用与注册所述移动管理设备的信息。
78.示例性的，所述移动管理设备通过diameter协议向所述家乡用户服务器发送所述位置更新请求消息。
79.在另一种具体的示例中，当所述鉴权向量响应消息中包含所述4g安全向量时，所述移动管理设备向所述终端设备发送请求拒绝消息，所述请求拒绝消息中包含原因值，所述原因值用于指示所述终端设备接入4g网络。具体的，当所述移动管理设备接收到所述鉴权向量响应消息后，发现所述鉴权向量响应消息中包含所述4g安全向量时，则获知所述家乡用户服务器不支持5g安全功能，会向所述终端设备发送所述请求拒绝消息，通过所述请求拒绝消息中的原因值来指示所述终端设备回落到4g网络进行业务。
80.在另一种具体的示例中，当家乡用户服务器拒绝所述鉴权向量请求消息时，所述移动管理设备向所述终端设备发送请求拒绝消息，所述请求拒绝消息中包含原因值，所述原因值用于指示所述终端设备接入4g网络。具体的，当所述移动管理设备接收到包含拒绝的原因值的鉴权向量响应消息时，则获知所述家乡用户服务器不支持5g安全功能，会向所述终端设备发送所述请求拒绝消息，通过所述请求拒绝消息中的原因值来指示所述终端设备回落到4g网络进行业务。
81.例如，所述原因值可以为n1接口不允许(#27n1mode not allowed)的原因值，或者其他用于此目的的原因值等等。
82.采用本申请实施例提供的鉴权的方法，移动管理设备在接收终端设备发送的请求
进行比较，若相同，则确定对所述终端设备的鉴权通过。
99.步骤408、所述增强移动管理设备向所述增强家乡用户服务器发送位置更新请求消息，所述位置更新请求消息中包含所述接入类型。
100.步骤409、所述增强家乡用户服务器向所述增强移动管理设备发送位置更新响应消息，所述位置更新响应消息中包含所述终端设备的签约数据。
101.可选的，所述签约数据为5g签约数据。
102.步骤410、所述增强移动管理设备向所述终端设备发送注册响应消息，所述注册响应消息用于指示注册流程成功完成。
103.具体的，所述增强移动管理网元通过所述接入设备向所述终端设备发送注册响应消息。
104.步骤411、所述终端设备向所述增强移动管理设备发送注册完成消息。
105.具体的，所述终端设备通过所述接入设备向所述增强移动管理设备发送注册完成消息。
106.通过上述示例，可以实现通过5g技术接入4g网络的过程中对终端设备的鉴权，以保证终端设备的安全性。
107.基于以上实施例，本申请实施例提供了另一种鉴权的方法的示例，在该示例中，对终端设备的鉴权发生在终端设备的注册流程中。具体的，终端设备的注册流程可以是终端设备注册到网络，当终端设备开机时触发初始注册流程接入网络，或者终端设备移动时，触发移动注册流程，或者终端设备空闲态一段时间时触发周期性注册流程，本申请对此不作限定。在该示例中，移动管理设备为增强移动管理设备，家乡用户服务器为普通的家乡用户服务器，不支持增强功能。例如，在终端设备漫游的场景，终端设备所在地移动管理设备已经支持增强功能，而终端设备的归属地的家乡用户服务器不支持增强功能。在该示例中以增强移动管理设备示出。参阅图5所示，该示例的具体流程可以包括：
108.步骤501、终端设备通过接入设备向增强移动管理设备发送请求消息，其中，所述请求消息为注册请求消息。
109.具体的，所述终端设备可以通过5g非接入层协议向增强移动管理设备发送请求消息。
110.步骤502、所述增强移动管理设备向家乡用户服务器发送鉴权向量请求消息，所述鉴权向量请求消息中包含所述终端设备的接入类型。
111.具体的，所述增强移动管理设备通过diameter协议向家乡用户服务器发送鉴权向量请求消息。
112.其中，所述接入类型的描述可以参见图3所示的是实施例中涉及的接入类型的描述，此处不再重复赘述。
113.步骤503、所述家乡用户服务器向所述增强移动管理设备发送鉴权向量响应消息，所述鉴权向量响应消息中包含4g安全向量。
114.或者，所述家乡用户服务器拒绝所述鉴权向量请求消息，回复鉴权向量响应消息，所述消息中包含拒绝的原因值。
115.具体的，所述家乡用户服务器通过diameter协议向所述增强移动管理设备发送鉴权向量响应消息。
116.其中，所述4g安全向量可以为rand，xres，k
asme
和autn的四元组。
117.步骤504、所述增强移动管理设备向所述终端设备发送请求拒绝消息，所述请求拒绝消息中包含原因值，所述原因值用于指示所述终端设备接入4g网络。在该示例中，所述请求拒绝消息为注册拒绝消息。
118.具体的，所述增强移动管理设备通过接入设备向所述终端设备发送所述请求拒绝消息。
119.具体的，所述增强移动管理设备通过5g非接入层协议向所述终端设备发送所述请求拒绝消息。
120.通过上述示例，可以实现通过5g技术接入4g网络的过程中对终端设备的鉴权，以保证终端设备的安全性。
121.基于以上实施例，本申请实施例还提供了一种移动管理设备，该移动管理设备应用于如图2a所示的通信系统，用于实现如图3、图4或图5所示的鉴权的方法。参阅图6所示，该移动管理设备600包括：通信单元601和处理单元602，其中：
122.所述通信单元601用于收发信息；
123.所述处理单元602，用于控制所述通信单元601在接收终端设备发送的请求消息后，控制所述通信单元601向家乡用户服务器发送鉴权向量请求消息，所述鉴权向量请求消息中包含所述终端设备的接入类型；控制所述通信单元601接收所述家乡用户服务器发送的鉴权向量响应消息，所述鉴权向量响应消息中包含5g安全向量或者4g安全向量。
124.示例性的，所述接入类型为所述终端设备接入的接入设备的类型，或者为无线接入网络的类型，或者为所述终端设备的类型；其中，所述接入设备的类型为演进型基站类型或者下一代基站类型；所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型；所述终端设备的类型为5g类型。
125.在一种可能的实施方式中，当所述鉴权向量响应消息中包含所述4g安全向量时，所述处理单元602还用于：控制所述通信单元601向所述终端设备发送请求拒绝消息，所述请求拒绝消息中包含原因值，所述原因值用于指示所述终端设备接入4g网络。
126.在另一种可能的实施方式中，当所述鉴权向量响应消息中包含所述5g安全向量时，所述处理单元602还用于：根据所述5g安全向量对所述终端设备进行鉴权处理。
127.具体的，所述处理单元602，在根据所述5g安全向量对所述终端设备进行鉴权处理时，具体用于：根据所述5g安全向量中的期望响应xres*生成哈希期望响应hxres*，以及根据所述5g安全向量中的鉴权服务功能密钥k
ausf
生成安全锚点功能密钥k
seaf
；控制所述通信单元601向所述终端设备发送鉴权请求消息，所述鉴权请求消息中包含所述5g安全向量中的随机数rand和鉴权令牌autn；控制所述通信单元601接收所述终端设备发送的鉴权响应消息，所述鉴权响应消息中包含鉴权响应res*；根据所述res*得到哈希响应 hres*，并将hres*和hxres*进行比较，若相同，则确定对所述终端设备的鉴权通过。
128.一种可选的实施方式中，所述处理单元602还用于：控制所述通信单元601向所述家乡用户服务器发送位置更新请求消息，所述位置更新请求消息中包含所述接入类型；控制所述通信单元601接收所述家乡用户服务器发送的位置更新响应消息，所述位置更新响应消息中包含所述终端设备的签约数据。
129.采用本申请实施例移动管理设备，可以实现通过5g技术接入4g网络的过程中对终
端设备的鉴权，以保证终端设备的安全性。
130.基于以上实施例，本申请实施例还提供了一种家乡用户服务器，该家乡用户服务器应用于如图2a所示的通信系统，用于实现如图3、图4或图5所示的鉴权的方法。参阅图7 所示，该家乡用户服务器700包括：通信单元701和处理单元702，其中：
131.所述通信单元701用于收发信息；
132.所述处理单元702用于控制所述通信单元701接收移动管理设备发送的鉴权向量请求消息，所述鉴权向量请求消息中包含所述终端设备的接入类型；控制所述通信单元701向所述移动管理设备发送鉴权向量响应消息，所述鉴权向量响应消息中包含5g安全向量或者 4g安全向量。
133.示例性的，所述接入类型为所述终端设备接入的接入设备的类型，或者为无线接入网络的类型，或者为所述终端设备的类型；其中，所述接入设备的类型为演进型基站类型或者下一代基站类型；所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型；所述终端设备的类型为5g类型。
134.在一种具体的示例中，所述处理单元702还用于：根据所述接入类型，获知所述终端设备为5g用户，或者确定不认识所述接入类型；当所述处理单元702根据所述接入类型，获知所述终端设备为5g用户时，所述鉴权向量响应消息中包含所述5g安全向量；或者，当所述处理单元702不认识所述接入类型时，所述鉴权向量响应消息中包含所述4g安全向量。
135.具体的，当所述鉴权向量响应消息中包含5g安全向量时，所述处理单元702还用于：控制所述通信单元701接收所述移动管理设备发送的位置更新请求消息，所述位置更新请求消息中包含所述接入类型；控制所述通信单元701向所述移动管理设备发送位置更新响应消息，所述位置更新响应消息中包含所述终端设备的签约数据。
136.采用本申请实施例家乡用户服务器，可以实现通过5g技术接入4g网络的过程中对终端设备的鉴权，以保证终端设备的安全性。
137.需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。在本申请的实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
138.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
139.基于以上实施例，本申请实施例还提供了一种移动管理设备，所述移动管理设备应用于如图2a所示的通信系统，用于实现如图3、图4或图5所示的鉴权的方法。参阅图8所示，所述移动管理设备800可以包括：通信接口801和处理器802，可选的还可以包括存储器
803。其中，所述处理器802可以是中央处理器(central processing unit，cpu)，网络处理器(network processor，np)或者cpu和np的组合等等。所述处理器802还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit， asic)，可编程逻辑器件(programmable logic device，pld)或其组合。上述pld可以是复杂可编程逻辑器件(complex programmable logic device，cpld)，现场可编程逻辑门阵列 (field-programmable gate array，fpga)，通用阵列逻辑(generic array logic，gal)或其任意组合。所述处理器802在实现上述功能时，可以通过硬件实现，当然也可以通过硬件执行相应的软件实现。
140.所述通信接口801和所述处理器802之间相互连接。可选的，所述通信接口801和所述处理器802通过总线804相互连接；所述总线804可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
141.所述存储器803，与所述处理器802耦合，用于存放所述srs的传输装置800必要的程序等。例如，程序可以包括程序代码，该程序代码包括计算机操作指令。所述存储器803 可能包括ram，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。所述处理器802执行所述存储器803所存放的应用程序，实现所述移动管理设备 800的功能。
142.具体的，所述移动管理设备800在实现图3、图4或图5所示的鉴权的方法时：
143.通信接口801，用于收发信息；
144.处理器802，用于控制所述通信接口801在接收终端设备发送的请求消息后，控制所述通信接口801向家乡用户服务器发送鉴权向量请求消息，所述鉴权向量请求消息中包含所述终端设备的接入类型；
145.控制所述通信接口801接收所述家乡用户服务器发送的鉴权向量响应消息，所述鉴权向量响应消息中包含5g安全向量或者4g安全向量。
146.示例性的，所述接入类型为所述终端设备接入的接入设备的类型，或者为无线接入网络的类型，或者为所述终端设备的类型；其中，所述接入设备的类型为演进型基站类型或者下一代基站类型；所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型；所述终端设备的类型为5g类型。
147.在一种可能的示例中，当所述鉴权向量响应消息中包含所述4g安全向量时，所述处理器802还用于：控制所述通信接口801向所述终端设备发送请求拒绝消息，所述请求拒绝消息中包含原因值，所述原因值用于指示所述终端设备接入4g网络。
148.在另一种可能的示例中，当所述鉴权向量响应消息中包含所述5g安全向量时，所述处理器802还用于：根据所述5g安全向量对所述终端设备进行鉴权处理。
149.具体的，所述处理器802，在根据所述5g安全向量对所述终端设备进行鉴权处理时，具体用于：根据所述5g安全向量中的期望响应xres*生成哈希期望响应hxres*，以及根据所述5g安全向量中的鉴权服务功能密钥k
ausf
生成安全锚点功能密钥k
seaf
；控制所述通信接口801向所述终端设备发送鉴权请求消息，所述鉴权请求消息中包含所述5g安全向量中的随机数rand和鉴权令牌autn；控制所述通信接口801接收所述终端设备发送的鉴权响应
消息，所述鉴权响应消息中包含鉴权响应res*；根据所述res*得到哈希响应hres*，并将hres*和hxres*进行比较，若相同，则确定对所述终端设备的鉴权通过。
150.一种可选的实施方式中，所述处理器802还用于：控制所述通信接口801向所述家乡用户服务器发送位置更新请求消息，所述位置更新请求消息中包含所述接入类型；控制所述通信接口801接收所述家乡用户服务器发送的位置更新响应消息，所述位置更新响应消息中包含所述终端设备的签约数据。
151.采用本申请实施例提供的移动管理设备，可以实现通过5g技术接入4g网络的过程中对终端设备的鉴权，以保证终端设备的安全性。
152.基于以上实施例，本申请实施例还提供了一种家乡用户服务器，所述家乡用户服务器应用于如图2a所示的通信系统，用于实现如图3、图4或图5所示的鉴权的方法。参阅图9 所示，所述家乡用户服务器900可以包括：通信接口901和处理器902，可选的还可以包括存储器903。其中，所述处理器902可以是中央处理器(central processing unit，cpu)，网络处理器(network processor，np)或者cpu和np的组合等等。所述处理器902还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit， asic)，可编程逻辑器件(programmable logic device，pld)或其组合。上述pld可以是复杂可编程逻辑器件(complex programmable logic device，cpld)，现场可编程逻辑门阵列 (field-programmable gate array，fpga)，通用阵列逻辑(generic array logic，gal)或其任意组合。所述处理器902在实现上述功能时，可以通过硬件实现，当然也可以通过硬件执行相应的软件实现。
153.所述通信接口901和所述处理器902之间相互连接。可选的，所述通信接口901和所述处理器902通过总线904相互连接；所述总线904可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
154.所述存储器903，与所述处理器902耦合，用于存放所述srs的传输装置900必要的程序等。例如，程序可以包括程序代码，该程序代码包括计算机操作指令。所述存储器903 可能包括ram，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。所述处理器902执行所述存储器903所存放的应用程序，实现所述家乡用户服务器900的功能。
155.具体的，所述家乡用户服务器900在实现图3、图4或图5所示的鉴权的方法时：
156.通信接口901用于收发信息；
157.处理器902用于控制所述通信接口901接收移动管理设备发送的鉴权向量请求消息，所述鉴权向量请求消息中包含所述终端设备的接入类型；控制所述通信接口901向所述移动管理设备发送鉴权向量响应消息，所述鉴权向量响应消息中包含5g安全向量或者4g安全向量。
158.具体的，所述接入类型为所述终端设备接入的接入设备的类型，或者为无线接入网络的类型，或者为所述终端设备的类型；其中，所述接入设备的类型为演进型基站类型或者下一代基站类型；所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型；所述终端设备的类型为5g类型。
159.一种可选的实施方式中，所述处理器902还用于：根据所述接入类型，获知所述终端设备为5g用户，或者确定不认识所述接入类型；当所述处理器902根据所述接入类型，获知所述终端设备为5g用户时，所述鉴权向量响应消息中包含所述5g安全向量；或者，当所述处理器902不认识所述接入类型时，所述鉴权向量响应消息中包含所述4g安全向量。
160.示例性的，当所述鉴权向量响应消息中包含5g安全向量时，所述处理器902还用于：控制所述通信接口901接收所述移动管理设备发送的位置更新请求消息，所述位置更新请求消息中包含所述接入类型；控制所述通信接口901向所述移动管理设备发送位置更新响应消息，所述位置更新响应消息中包含所述终端设备的签约数据。
161.采用本申请实施例家乡用户服务器，可以实现通过5g技术接入4g网络的过程中对终端设备的鉴权，以保证终端设备的安全性。
162.综上所述，通过本申请实施例提供一种鉴权的方法及装置，该方法为：移动管理设备在接收终端设备发送的请求消息后，向家乡用户服务器发送鉴权向量请求消息，所述鉴权向量请求消息中包含所述终端设备的接入类型；所述移动管理设备接收所述家乡用户服务器发送的鉴权向量响应消息，所述鉴权向量响应消息中包含5g安全向量或者4g安全向量。通过上述方法，可以实现通过5g技术接入4g网络的过程中对终端设备的鉴权，以保证终端设备的安全性。
163.本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
164.本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
165.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
166.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
167.显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。