本申請提供一種主鑒權方法及裝置，其中方法包括：AMF接收來自歸屬網絡設備的第一鑒權請求消息，第一鑒權請求消息用于觸發主鑒權流程，主鑒權流程用于對終端設備進行主鑒權；歸屬網絡設備為終端設備的歸屬網絡中的網絡設備；在AMF拒絕觸發主鑒權流程的情況下，向歸屬網絡設備發送第一鑒權響應消息，第一鑒權響應消息包括第一拒絕原因信息，第一拒絕原因信息用于指示拒絕觸發主鑒權流程的原因。通過該方法，歸屬網絡中的歸屬網絡設備觸發對終端設備進行主鑒權流程時，由AMF決定是否接受歸屬網絡設備觸發的請求，從而可以避免和由AMF觸發的主鑒權流程存在沖突或者頻繁執行主鑒權流程。

技術領域

本申請涉及通信技術領域，尤其涉及一種主鑒權方法及裝置。

背景技術

為了保證終端設備和網絡側之間通信的安全性，終端設備和網絡之間需要進行鑒權和密鑰協商(authentication?and?key?agreement，AKA)流程，AKA流程為一個雙向鑒權流程，包括用戶鑒權和網絡鑒權。用戶鑒權是指網絡對用戶進行鑒權，防止非法用戶占用網絡資源，網絡鑒權是指用戶對網絡進行鑒權，防止用戶接入了非法網絡，被調取關鍵信息。

在第五代(5-generation，5G)通信系統中，支持2種鑒權方法：5G-AKA和擴展鑒權協議-鑒權和密鑰協商(extensible?authentication?protocol-authentication?and?keyagreement，EAP-AKA’)。目前標準中觸發主鑒權流程，是由服務網絡(serving?network，SN)中的接入和移動性管理功能(access?and?mobility?management?function,AMF)決定?，F在又有方案提出可以由歸屬網絡(home?network，HN)觸發主鑒權流程，具體的可以由HN中的鑒權服務器功能(authentication?server?function，AUSF)向AMF請求觸發主鑒權流程或者由用戶數據管理(user?data?management，UDM)向AMF請求觸發主鑒權流程。

由于觸發主鑒權流程的設備增多，如何在保證通信安全的同時，提高鑒權效率，是一個亟待解決的問題。

發明內容

本申請提供一種主鑒權方法及裝置，用以解決如何在保證通信安全的同時，提高鑒權效率的問題。

本申請中，第一方面以及第三方面中的接入和移動性管理功能設備，可以執行圖2至圖5流程中AMF執行的步驟或流程；歸屬網絡設備可以執行圖2至圖5流程中UDM或者第二AUSF執行的步驟或流程；用戶數據管理設備可以執行圖2至圖5流程中UDM執行的步驟或流程；鑒權服務器功能設備可以執行圖2至圖5流程中第三AUSF執行的步驟或流程。

第一方面，本申請提供一種主鑒權方法，該方法包括：接入和移動性管理功能設備接收來自歸屬網絡設備的第一鑒權請求消息，第一鑒權請求消息包括終端設備的標識；其中，第一鑒權請求消息用于觸發針對終端設備的主鑒權流程；歸屬網絡設備為終端設備的歸屬網絡中的網絡設備；在接入和移動性管理功能設備拒絕觸發主鑒權流程的情況下，接入和移動性管理功能設備向歸屬網絡設備發送第一鑒權響應消息，第一鑒權響應消息包括第一拒絕原因信息，第一拒絕原因信息用于指示拒絕觸發主鑒權流程的原因。

通過實施上述方法，歸屬網絡中的歸屬網絡設備觸發對終端設備進行主鑒權流程時，由AMF決定是否接受歸屬網絡設備觸發的請求，從而可以避免和由AMF觸發的主鑒權流程存在沖突，也可以避免不必要的重復鑒權流程，提高鑒權效率。

一種可能的實現方式中，接入和移動性管理功能設備根據第一鑒權請求消息，確定拒絕觸發對終端設備進行主鑒權流程。

一種可能的實現方式中，接入和移動性管理功能設備根據第一鑒權請求消息，確定拒絕觸發主鑒權流程，包括：

接入和移動性管理功能設備根據標識，確定在預設時長內已經針對終端設備觸發過主鑒權流程，則確定拒絕觸發主鑒權流程。